ホーム > 特許ランキング > トヨタ自動車株式会社
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-11-11
(45)【発行日】2024-11-19
(54)【発明の名称】ソフトウェアの更新を制御するセンタ
(51)【国際特許分類】
G06F 8/65 20180101AFI20241112BHJP
B60R 16/02 20060101ALI20241112BHJP
【FI】
G06F8/65
B60R16/02 660U
【請求項の数】
1
(21)【出願番号】P 2021129287
(22)【出願日】2021-08-05
(65)【公開番号】P2023023616
(43)【公開日】2023-02-16
【審査請求日】2024-01-25
(73)【特許権者】
【識別番号】000003207
【氏名又は名称】トヨタ自動車株式会社
(74)【代理人】
【識別番号】110001276
【氏名又は名称】弁理士法人小笠原特許事務所
(72)【発明者】
【氏名】石川 智康
(72)【発明者】
【氏名】谷森 俊介
【審査官】西間木 祐紀
(56)【参考文献】
【文献】特開2017-097620(JP,A)
【文献】特開2019-125141(JP,A)
【文献】特開2017-041167(JP,A)
【文献】特開2017-167646(JP,A)
【文献】米国特許出願公開第2021/0051000(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 8/65
B60R 16/02
(57)【特許請求の範囲】
【請求項1】
車両に搭載された電子制御ユニットのソフトウェアの更新を制御するセンタであって、前記車両との間で通信を行う通信部と、
前記車両からの更新要求に基づいて、前記ソフトウェアの更新を制御する制御部と、を備え、
前記制御部は、前記車両に紐付いた情報端末のうちの予め定められた第1情報端末から前記車両に対して更新制限要求があった場合、前記ソフトウェアの更新を制限する、センタ。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、車両に搭載された電子制御ユニットのソフトウェアの更新を制御するセンタに関する。
【背景技術】
【0002】
車両には、車両の動作を制御するための複数の電子制御ユニット(ECU:Electronic Control Unit)が搭載されている。電子制御ユニットは、プロセッサと、RAMのような一時的な記憶部と、フラッシュROMのような不揮発性の記憶部である不揮発性メモリとを備え、プロセッサが不揮発性メモリに記憶されるソフトウェアを実行することにより電子制御ユニットの制御機能を実現する。各電子制御ユニットが記憶するソフトウェアは書き換え可能であり、より新しいバージョンのソフトウェアに更新することにより、各電子制御ユニットの機能を改善したり、新たな車両制御機能を追加したりすることができる。
【0003】
電子制御ユニットのソフトウェアを更新する技術として、車載ネットワークに接続された車載通信機器とインターネットなどの通信ネットワークとを無線で接続し、車両のソフトウェアの更新処理を担う装置が、無線通信を介してサーバーからソフトウェアをダウンロードし、ダウンロードしたソフトウェアを電子制御ユニットに書き込んでインストールし、インストールしたソフトウェアを有効化するアクティベートを行うことにより、電子制御ユニットのソフトウェアの更新や追加を行うOTA(Over The Air)技術が知られている。例えば、特許文献1を参照。
【先行技術文献】
【特許文献】
【0004】
【文献】特開2017-149323号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
OTAを用いたソフトウェア更新では、ソフトウェア更新に関するOTA機能がセンタから全ての車両のユーザーや管理者などに対して一律に与えられる。このため、OTA機能の一部又は全部に制限を設けたい場合でも、車両のユーザーや管理者などは自由に制限を掛けることができなかった。
【0006】
本開示は、上記課題を鑑みてなされたものであり、ソフトウェア更新に関するOTA機能の一部又は全部に制限を設けることができるソフトウェアの更新を制御するセンタを提供することを目的とする。
【課題を解決するための手段】
【0007】
上記課題を解決するために、本開示技術の一態様は、車両に搭載された電子制御ユニットのソフトウェアの更新を制御するセンタであって、車両との間で通信を行う通信部と、車両からの更新要求に基づいて、ソフトウェアの更新を制御する制御部と、を備え、制御部は、車両に紐付いた情報端末のうちの予め定められた第1情報端末から車両に対して更新制限要求があった場合、ソフトウェアの更新を制限する、センタである。
【発明の効果】
【0008】
本開示のセンタによれば、第1の情報端末を所持する車両のユーザーや管理者などがソフトウェア更新に関するOTA機能の一部又は全部に制限を掛けることができる。
【図面の簡単な説明】
【0009】
【図1】実施形態に係るネットワークシステムの全体構成を示すブロック図
【図2】センタの概略構成を示すブロック図
【図3】センタの機能ブロック図
【図4】OTAマスタの概略構成を示すブロック図
【図5】OTAマスタの機能ブロック図
【図6】権限を設定する情報端末をシステムに追加する処理のフローチャート
【図7A】ソフトウェア更新に関するOTA機能の制限処理のフローチャート
【図7B】ソフトウェア更新に関するOTA機能の制限処理のフローチャート
【発明を実施するための形態】
【0010】
本開示による車両に搭載された電子制御ユニットのソフトウェアの更新を制御するセンタは、車両に紐付いた情報端末のうち特定の情報端末から更新制限要求があった場合にソフトウェアの更新を制限する。これにより、特定の情報端末を所持する車両のユーザーや管理者などは、ソフトウェア更新に関するOTA機能の一部又は全部に制限を掛けることができる。
以下、本開示の一実施形態について、図面を参照しながら詳細に説明する。
以下、本開示の一実施形態について、図面を参照しながら詳細に説明する。
【0011】
<実施形態>
[システム構成]
図1は、本開示の一実施形態に係るネットワークシステムの全体構成を示すブロック図である。図1に示すネットワークシステムは、車両に搭載された複数の電子制御ユニット(ECU)50a~50dのソフトウェアを更新するためのシステムであり、車両外にあるセンタ10と、車両内に構築される車載ネットワーク90と、車両と紐付いた情報端末95と、を備える。
[システム構成]
図1は、本開示の一実施形態に係るネットワークシステムの全体構成を示すブロック図である。図1に示すネットワークシステムは、車両に搭載された複数の電子制御ユニット(ECU)50a~50dのソフトウェアを更新するためのシステムであり、車両外にあるセンタ10と、車両内に構築される車載ネットワーク90と、車両と紐付いた情報端末95と、を備える。
【0012】
(1)センタ
センタ10は、ネットワーク100を介して、車載ネットワーク90が備える後述のOTAマスタ30と通信可能であり、車両のユーザーや管理者などに対するソフトウェア更新があることの通知やソフトウェア更新についての説明などの送信や、電子制御ユニット50a~50dのソフトウェアの更新データ及び更新処理の手順を定義した情報の送信や、ソフトウェア更新処理の進捗状況を示す通知の受信などを行って、OTAマスタ30に接続された複数の電子制御ユニット50a~50dのソフトウェア更新を制御及び管理することができる。このセンタ10は、いわゆるサーバーとしての機能を有する。
センタ10は、ネットワーク100を介して、車載ネットワーク90が備える後述のOTAマスタ30と通信可能であり、車両のユーザーや管理者などに対するソフトウェア更新があることの通知やソフトウェア更新についての説明などの送信や、電子制御ユニット50a~50dのソフトウェアの更新データ及び更新処理の手順を定義した情報の送信や、ソフトウェア更新処理の進捗状況を示す通知の受信などを行って、OTAマスタ30に接続された複数の電子制御ユニット50a~50dのソフトウェア更新を制御及び管理することができる。このセンタ10は、いわゆるサーバーとしての機能を有する。
【0013】
図2は、図1におけるセンタ10の概略構成を示すブロック図である。図2で示すように、センタ10は、CPU(Central Processing Unit)11と、RAM(Random Access Memory)12と、記憶装置13と、通信装置14と、を備える。記憶装置13は、ハードディスクドライブ(HDD)やソリッドステートドライブ(SSD)などの読み書き可能な記憶媒体を備えた装置であり、ソフトウェアの更新管理を実行するためのプログラム、ソフトウェアの更新制御及び更新管理に用いる情報、及び各電子制御ユニットのソフトウェアの更新データなどを記憶する。センタ10において、CPU11は、記憶装置13から読み出したプログラムを、RAM12を作業領域として用いて実行することにより、ソフトウェア更新に関する所定の処理を実行する。通信装置14は、ネットワーク100を介してOTAマスタ30と通信を行うための装置である。
【0014】
図3は、図2に示したセンタ10の機能ブロック図である。図3で示すセンタ10は、記憶部16と、通信部17と、制御部18と、を備える。記憶部16は、図2に示した記憶装置13によって実現される。通信部17及び制御部18は、図2に示したCPU11がRAM12を用いて記憶装置13に記憶されるプログラムを実行することによって実現される。
【0015】
記憶部16は、車両に搭載された1つ以上の電子制御ユニットのソフトウェア更新処理に関する情報を記憶する。ソフトウェア更新処理に関する情報として、記憶部16は、車両を識別する車両識別情報(車両ID)ごとに、電子制御ユニット50a~50dで利用可能なソフトウェアを示す情報を関連付けた更新管理情報と、電子制御ユニット50a~50dのソフトウェアの更新データとを、少なくとも記憶する。電子制御ユニット50a~50dで利用可能なソフトウェアを示す情報としては、例えば、複数の電子制御ユニット50a~50dの各ソフトウェアの最新のバージョン情報の組み合わせが定義される。ソフトウェア更新処理に関する情報として、記憶部16は、車両で実施されているソフトウェアの更新状態を示す更新ステータスを記憶することができる。また、ソフトウェア更新処理に関する情報として、記憶部16は、OTAマスタ30に対して制御の指示を行うための、ソフトウェア更新処理の手順を示した更新シーケンスに関する情報を記憶することができる。また、記憶部16は、後述する車両の権限制御機70から取得したソフトウェア更新に関するOTA機能の制限に関する情報を記憶することができる。
【0016】
通信部17は、OTAマスタ30(車両)との間や情報端末95との間で、データ、情報、通知、及び要求などの送信及び受信を行う送信部及び受信部として機能する。通信部17は、OTAマスタ30からソフトウェアの更新確認要求を受信する(受信部)。更新確認要求は、例えば、車両において電源又はイグニッションがオンされた(以下「電源ON」という)ときに、OTAマスタ30からセンタ10へと送信される情報であって、後述する車両構成情報に基づいて電子制御ユニット50a~50dの更新データがあるか否かの確認をセンタ10に要求するための情報である。また、通信部17は、OTAマスタ30から受信した更新確認要求に応答して、更新データの有無を示す情報をOTAマスタ30に送信する(送信部)。また、通信部17は、OTAマスタ30からの配信パッケージの送信要求(ダウンロード要求)を受信する(受信部)。また、通信部17は、配信パッケージのダウンロード要求を受信すると(受信部)、後述する制御部18で生成される電子制御ユニット50a~50dのソフトウェアの更新データなどを含む配信パッケージを、OTAマスタ30に送信する(送信部)。また、通信部17は、更新制限要求及び更新制限解除要求の有無に関する情報や、車両に紐付いた情報端末に関するソフトウェア更新に関するOTA機能の権限に関する情報を、車両から受信する(受信部)。また、通信部17は、更新制限要求や更新制限解除要求に基づくソフトウェア更新に関するOTA機能の制限を車両に通知する(送信部)。
【0017】
制御部18は、通信部17がOTAマスタ30から更新確認要求を受信すると、記憶部16に記憶されている更新管理情報に基づいて、更新確認要求に含まれる車両IDで特定される車両に搭載された電子制御ユニット50a~50dについてソフトウェアの更新データがあるか否かを判定する。制御部18による更新データがあるか否かの判定結果は、通信部17によってOTAマスタ30に送信される。制御部18は、電子制御ユニット50a~50dのソフトウェアの更新データがあると判定した場合、OTAマスタ30から配信パッケージのダウンロード要求を受信すると、記憶部16に記憶されている該当する更新データなどを含む1つ又は複数の配信パッケージを生成する。また、制御部18は、車両に紐付いた情報端末95のうち、所定の情報端末(後述する)から車両に対して更新制限要求があった場合、電子制御ユニット50a~50dのソフトウェアの更新を制限する。
【0018】
(2)情報端末
情報端末95は、車両のユーザーや管理者が所有するスマートフォンやパソコンなどの装置である。この情報端末95は、固有の情報(端末IDなど)が車両に登録管理されることなどによって車両と紐付けられている。車両と紐付けられる情報端末95は、1つに限られず複数であっても構わない。本実施形態の情報端末95には、ソフトウェア更新に関するOTA機能の権限を管理するための情報端末95(以下「権限管理情報端末95」という)が、少なくとも1つ設けられる。1つ又は複数の情報端末95は、車両が備える権限制御機70と通信可能であり、権限制御機70と連携してソフトウェア更新に関するOTA機能を制限することが可能である。いずれの情報端末95にソフトウェア更新に関するOTA機能制限の権限を与えるかについては、権限管理情報端末95が決定することができる。
情報端末95は、車両のユーザーや管理者が所有するスマートフォンやパソコンなどの装置である。この情報端末95は、固有の情報(端末IDなど)が車両に登録管理されることなどによって車両と紐付けられている。車両と紐付けられる情報端末95は、1つに限られず複数であっても構わない。本実施形態の情報端末95には、ソフトウェア更新に関するOTA機能の権限を管理するための情報端末95(以下「権限管理情報端末95」という)が、少なくとも1つ設けられる。1つ又は複数の情報端末95は、車両が備える権限制御機70と通信可能であり、権限制御機70と連携してソフトウェア更新に関するOTA機能を制限することが可能である。いずれの情報端末95にソフトウェア更新に関するOTA機能制限の権限を与えるかについては、権限管理情報端末95が決定することができる。
【0019】
(3)車載ネットワーク
車載ネットワーク90は、OTAマスタ30と、複数の電子制御ユニット50a~50dと、権限制御機70と、通信モジュール80と、を備える。OTAマスタ30と通信モジュール80とは、バス60aを介して接続されている。OTAマスタ30と電子制御ユニット50a及び50bとは、バス60bを介して接続されている。OTAマスタ30と電子制御ユニット50c及び50dとは、バス60cを介して接続されている。OTAマスタ30と権限制御機70とは、バス60dを介して接続されている。
車載ネットワーク90は、OTAマスタ30と、複数の電子制御ユニット50a~50dと、権限制御機70と、通信モジュール80と、を備える。OTAマスタ30と通信モジュール80とは、バス60aを介して接続されている。OTAマスタ30と電子制御ユニット50a及び50bとは、バス60bを介して接続されている。OTAマスタ30と電子制御ユニット50c及び50dとは、バス60cを介して接続されている。OTAマスタ30と権限制御機70とは、バス60dを介して接続されている。
【0020】
OTAマスタ30は、バス60a及び通信モジュール80を介してネットワーク100経由でセンタ10と無線による通信が可能である。また、OTAマスタ30は、バス60b~60dを介して電子制御ユニット50a~50d及び権限制御機70と有線による通信が可能である。このOTAマスタ30は、OTA状態を管理し、ソフトウェア更新処理の流れである更新シーケンスを制御して更新対象となる電子制御ユニット(以下「ターゲット電子制御ユニット」という)のソフトウェア更新を実施する機能を有する装置である。OTAマスタ30は、センタ10から取得した更新データなどに基づき、電子制御ユニット50a~50dのうちターゲット電子制御ユニットのソフトウェア更新を制御する。また、OTAマスタ30は、センタ10から受信するソフトウェアの更新に関する情報や通知に基づいて、所定の表示装置に適切な画面表示を制御することができる。OTAマスタ30は、セントラルゲートウェイ(CGW)と称される場合もある。
【0021】
図4は、図1におけるOTAマスタ30の概略構成を示すブロック図である。図4で示すように、OTAマスタ30は、CPU31と、RAM32と、ROM(Read-Only Memory)33と、記憶装置34と、通信装置36と、を備える。CPU31、RAM32、ROM33、及び記憶装置34は、マイクロコンピューター35を構成する。OTAマスタ30において、CPU31は、ROM33から読み出したプログラムを、RAM32を作業領域として用いて実行することにより、ソフトウェア更新に関する所定の処理を実行する。通信装置36は、図1に示したバス60a~60dを介して、通信モジュール80、電子制御ユニット50a~50d、及び権限制御機70のそれぞれと通信を行うための装置である。
【0022】
図5は、図4に示したOTAマスタ30の機能ブロック図である。図5に示すOTAマスタ30は、記憶部37と、通信部38と、制御部39と、を備える。記憶部37は、図4に示した記憶装置34によって実現される。通信部38及び制御部39は、図4に示したCPU31がRAM32を用いてROM33に記憶されるプログラムを実行することによって実現される。
【0023】
記憶部37は、複数の電子制御ユニット50a~50dのソフトウェア更新を実行するためのプログラム(OTAマスタ30の制御用プログラム)や、ソフトウェア更新を実行する際に用いる各種データの他、センタ10からダウンロードしたソフトウェアの更新データなどを記憶する。また、記憶部37は、複数の電子制御ユニット50a~50dのそれぞれに搭載される不揮発性メモリの種別に関する情報を記憶することができる。
【0024】
通信部38は、センタ10との間で、データ、情報、通知、及び要求などの送信及び受信を行う送信部及び受信部として機能する。通信部38は、例えば、車両の電源ONを契機として、ソフトウェアの更新確認要求をセンタ10に送信する(送信部)。更新確認要求は、例えば、車両を識別するための車両IDと、車載ネットワーク90に接続される電子制御ユニット50a~50dのソフトウェアの現バージョンに関する情報とを含む。車両ID及び電子制御ユニット50a~50dのソフトウェアの現バージョンは、センタ10が車両IDごとに保持するソフトウェアの最新バージョンとの比較により、電子制御ユニット50a~50dのソフトウェアの更新データがあるか否かを判定するために用いられる。また、通信部38は、更新確認要求に対する応答としてセンタ10から更新データの有無を示す通知を受信する(受信部)。電子制御ユニット50a~50dのソフトウェアの更新データがある場合、通信部38は、ソフトウェアの更新データなどを含む配信パッケージのダウンロード要求をセンタ10に送信し(送信部)、センタ10から送信される配信パッケージを受信(ダウンロード)する(受信部)。また、通信部38は、電子制御ユニット50a~50dが送信するソフトウェアの更新状態を、センタ10に送信する(送信部)。また、通信部38は、制御部39の指示に基づいて、ソフトウェアの更新に関する情報やその情報の送信に関する通知、ソフトウェアの更新状態を、表示装置に表示させることができる。
【0025】
制御部39は、通信部38が受信した更新確認要求に対するセンタ10からの応答に基づいて、電子制御ユニット50a~50dのソフトウェアの更新データがあるか否かを判定する。また、制御部39は、通信部38がセンタ10から配信パッケージで受信(ダウンロード)して記憶部37に格納した更新データの真正性を検証する。また、制御部39は、センタ10からダウンロードした更新データを用い、電子制御ユニット50a~50dのソフトウェア更新処理(インストール、アクティベートなど)を制御する。具体的には、制御部39は、ダウンロードした更新データをターゲット電子制御ユニットに転送し、ターゲット電子制御ユニットに更新データに基づく更新ソフトウェアをインストールさせる。インストールの完了後、制御部39は、ターゲット電子制御ユニットに対して、インストールした更新ソフトウェアを有効化させるアクティベートを指示する。なお、制御部39は、ソフトウェア更新処理の際、センタ10によって指示される情報端末95からの更新制限要求に基づいてソフトウェアの更新を制限して実行する。
【0026】
複数の電子制御ユニット50a~50dは、車両の各部の動作を制御するための装置(ECU)である。図1においては、車載ネットワーク90が4つの電子制御ユニット50a~50dを備えている例を示したが、電子制御ユニットの個数は特に限定されない。また、電子制御ユニット50a~50dをOTAマスタ30に接続するバスの本数も特に限定されない。
【0027】
権限制御機70は、ソフトウェア更新に関するOTA機能の権限を管理/判断することができる機器である。この権限制御機70には、電子制御ユニット50a~50dのソフトウェアの更新処理時に更新データがあることの表示、ソフトウェア更新についての説明などの表示、車両のユーザーや管理者にソフトウェア更新に対する承諾を求めるための承諾要求画面の表示、及びソフトウェア更新の結果や状態の表示など、各種の表示を行うことが可能なカーナビゲーションシステムなどの表示装置(HMI)を用いることができる。本実施形態では、権限制御機70が、OTAマスタ30を介してセンタ10や情報端末95と通信する場合を説明したが、OTAマスタ30を介さず通信モジュール80から直接あるいは通信モジュール80ではなく図示しない他の通信機器(DCMやスマホなど)を介して直接通信してもよい。なお、図1に示すバス60dには、権限制御機70に加えて電子制御ユニットなどがさらに接続されていてもよい。
【0028】
権限制御機70において管理されるソフトウェア更新に関するOTA機能の権限としては、OTAによるソフトウェア更新の内容を通知するか否か[更新通知制限]、OTAによるソフトウェアの更新処理をどこまで(ダウンロード、インストール、アクティベート)の実行を制限又は許諾するのか[更新実行制限]、更新対象の機能(エンターテインメント系、走行制御系、ブレーキ系など)のうちどの機能を有効にするのか[機能選択]、などの権限を例示できる。これらのOTA機能のいずれを有効/無効にするかなどについては、権限の付与を許可した情報端末95によってそれぞれ予め設定される。設定方法としては、権限制御機70の表示画面に制限に関する項目を選択的に表示して、情報端末95の所有者などに項目を選択させることなどを例示できる。設定されたOTA機能の権限の内容は、情報端末95の個体情報(ID)と紐付けられて、権限制御機70(及びセンタ10)において管理される。
【0029】
通信モジュール80は、センタ10と車両との通信を制御する機能を持ったユニットであり、車載ネットワーク90をセンタ10や情報端末95に接続するための通信機器である。通信モジュール80は、ネットワーク100経由でセンタ10と無線で接続され、OTAマスタ30による車両の認証や更新データのダウンロードなどが行われる。この通信モジュール80は、OTAマスタ30に含まれて構成されてもよい。
【0030】
[ソフトウェア更新処理の概要]
OTAマスタ30は、例えば、車両の電源ONを契機として、ソフトウェアの更新確認要求をセンタ10に送信する。更新確認要求は、車両を識別するための車両IDと、車載ネットワーク90に接続される電子制御ユニット50a~50dのハードウェア及びソフトウェアの現バージョンなどの電子制御ユニットの状態(システム構成)に関する情報である車両構成情報と、を含む。車両構成情報は、車載ネットワーク90に接続される電子制御ユニット50a~50dから電子制御ユニットの識別番号(ECU_ID)と、電子制御ユニットのソフトウェアバージョンの識別番号(ECU_Software_ID)とを、取得することで作成可能である。車両ID及び電子制御ユニット50a~50dのソフトウェアの現バージョンは、センタ10が車両IDごとに保持するソフトウェアの最新バージョンとの比較により、電子制御ユニット50a~50dのソフトウェアの更新データがあるか否かを判定するために用いられる。センタ10は、OTAマスタ30から受信した更新確認要求に対する応答として、更新データの有無を示す通知やソフトウェアの更新に関する情報などをOTAマスタ30に送信する。電子制御ユニット50a~50dのソフトウェアの更新データがある場合、OTAマスタ30は、配信パッケージのダウンロード要求をセンタ10に送信する。また、OTAマスタ30は、情報端末95からの更新制限要求/更新制限解除要求に基づくソフトウェア更新に関するOTA機能の権限を、必要に応じてセンタ10に送信する。センタ10は、OTAマスタ30から受信したダウンロード要求及びソフトウェア更新に関するOTA機能の権限に基づいて、更新データなどを含む配信パッケージをOTAマスタ30に送信する。配信パッケージは、更新データの他に、更新データの真正性を検証するための検証用データや、更新データの数、種別情報、ソフトウェア更新時に用いる各種の制御情報などを含んでいてもよい。
OTAマスタ30は、例えば、車両の電源ONを契機として、ソフトウェアの更新確認要求をセンタ10に送信する。更新確認要求は、車両を識別するための車両IDと、車載ネットワーク90に接続される電子制御ユニット50a~50dのハードウェア及びソフトウェアの現バージョンなどの電子制御ユニットの状態(システム構成)に関する情報である車両構成情報と、を含む。車両構成情報は、車載ネットワーク90に接続される電子制御ユニット50a~50dから電子制御ユニットの識別番号(ECU_ID)と、電子制御ユニットのソフトウェアバージョンの識別番号(ECU_Software_ID)とを、取得することで作成可能である。車両ID及び電子制御ユニット50a~50dのソフトウェアの現バージョンは、センタ10が車両IDごとに保持するソフトウェアの最新バージョンとの比較により、電子制御ユニット50a~50dのソフトウェアの更新データがあるか否かを判定するために用いられる。センタ10は、OTAマスタ30から受信した更新確認要求に対する応答として、更新データの有無を示す通知やソフトウェアの更新に関する情報などをOTAマスタ30に送信する。電子制御ユニット50a~50dのソフトウェアの更新データがある場合、OTAマスタ30は、配信パッケージのダウンロード要求をセンタ10に送信する。また、OTAマスタ30は、情報端末95からの更新制限要求/更新制限解除要求に基づくソフトウェア更新に関するOTA機能の権限を、必要に応じてセンタ10に送信する。センタ10は、OTAマスタ30から受信したダウンロード要求及びソフトウェア更新に関するOTA機能の権限に基づいて、更新データなどを含む配信パッケージをOTAマスタ30に送信する。配信パッケージは、更新データの他に、更新データの真正性を検証するための検証用データや、更新データの数、種別情報、ソフトウェア更新時に用いる各種の制御情報などを含んでいてもよい。
【0031】
OTAマスタ30は、センタ10から受信した更新確認要求に対する応答に基づいて、電子制御ユニット50a~50dのソフトウェアの更新データがあるか否かを判定する。また、OTAマスタ30は、センタ10から受信して記憶装置13に格納した配信パッケージの真正性を検証する。また、OTAマスタ30は、ソフトウェア更新に関するOTA機能の権限に応じてセンタ10から通知される内容に基づいて、配信パッケージでダウンロードした更新データをターゲット電子制御ユニットに転送し、ターゲット電子制御ユニットに更新データをインストールさせる。インストールの完了後、OTAマスタ30は、ターゲット電子制御ユニットに対して、インストールさせた更新版のソフトウェアを有効とするアクティベートを行うように指示をする。
【0032】
また、センタ10は、承諾要求処理において、ソフトウェアの更新を説明する情報、ソフトウェア更新に対して承諾が必要である旨の通知やソフトウェア更新を承諾した旨の入力を促す通知を、ソフトウェア更新に関するOTA機能の権限に応じて出力装置に出力させる。出力装置としては、車載ネットワーク90に設けられた権限制御機などを利用できる。例えば、承諾要求処理において、車両のユーザーや管理者などに対して事前に説明すべき情報を権限制御機70の画面で表示することが可能であれば、権限制御機70が出力装置として用いられる。権限制御機70を出力装置として用いる場合、OTAマスタ30は、ソフトウェアの更新に関する情報、ユーザー又は管理者にソフトウェア更新の承諾を求めるための承諾要求画面、ユーザー又は管理者が承諾する場合には承諾ボタンを押下するなどの特定の入力操作を促す通知などを、権限制御機70に表示させることができる。センタ10は、OTAマスタ30を介して、ユーザー又は管理者から承諾した旨の入力を受け付けると、ソフトウェア更新に関するOTA機能の権限に応じてOTAマスタ30に対して上述したインストール及びアクティベートの制御処理の実行を指示し、ターゲット電子制御ユニットのソフトウェアを更新する。
【0033】
ここで、ターゲット電子制御ユニットの不揮発性メモリが、ソフトウェアなどのデータを格納するための1つの格納領域を有するシングルバンクメモリである場合は、原則的にインストールとアクティベートとがひと続きに行われるため、インストールの実行前に、ソフトウェア更新に対する承諾要求処理が行われる。なお、シングルバンクメモリのターゲット電子制御ユニットであっても、センタ10から指示される更新シーケンスに関する情報によっては、インストール完了の状態で更新処理を一時的に停止、つまりアクティベートを保留(待機)することが要求されることもあり得る。また、ターゲット電子制御ユニットの不揮発性メモリが、ソフトウェアなどのデータを格納するための2つの格納領域を有するデュアルバンクメモリである場合は、少なくとも、インストールの実行後かつアクティベートの実行前に、ソフトウェア更新に対する承諾要求処理が行われる。なお、ターゲット電子制御ユニットの不揮発性メモリがデュアルバンクメモリである場合には、インストール実行前のソフトウェアの更新に対する承諾要求処理は、行われてもよいし、省略されてもよい。
【0034】
ソフトウェア更新処理は、OTAマスタ30がセンタ10から更新データをダウンロードするフェーズ(ダウンロードフェーズ)、ダウンロードした更新データをOTAマスタ30がターゲット電子制御ユニットに転送し、ターゲット電子制御ユニットの格納領域に更新データに基づく更新ソフトウェアをインストールするフェーズ(インストールフェーズ)、及びターゲット電子制御ユニットがインストールした更新ソフトウェアを有効化するフェーズ(アクティベートフェーズ)からなる。
【0035】
ダウンロードは、OTAマスタ30が、センタ10から配信パッケージによって送信された電子制御ユニットのソフトウェアを更新するための更新データを、受信して記憶部37に記憶する処理である。ダウンロードによる更新データの受信については、ダウンロードフェーズでは、ダウンロードの実行だけでなく、ダウンロードの実行可否判断、更新データの検証など、ダウンロードに関する一連の処理の制御を含む。
【0036】
センタ10からOTAマスタ30に送信される更新データは、電子制御ユニットの更新ソフトウェア(全データ又は差分データ)、更新ソフトウェアを圧縮した圧縮データ、更新ソフトウェア又は圧縮データを分割した分割データのいずれを含んでいてもよい。また、更新データは、ターゲット電子制御ユニットのECU_ID(又はシリアル番号)と、更新前のターゲット電子制御ユニットのECU_Software_IDとを、含んでいてもよい。更新データは、上述した配信パッケージとしてダウンロードされるが、配信パッケージには、単一の電子制御ユニット又は複数の電子制御ユニットの更新データが含まれる。
【0037】
インストールは、OTAマスタ30が、センタ10からダウンロードした更新データに基づいて、ターゲット電子制御ユニットの不揮発性メモリに更新ソフトウェア(更新版のプログラム)を書き込む処理である。インストールフェーズでは、インストールの実行だけでなく、インストールの実行可否判断、更新データの転送及び更新ソフトウェアの検証など、インストールに関する一連の処理の制御を含む。
【0038】
更新データが更新ソフトウェアそのもの(全データ)を含む場合は、インストールフェーズにおいて、OTAマスタ30が更新データ(更新ソフトウェア)をターゲット電子制御ユニットに転送する。また、更新データが更新ソフトウェアの圧縮データ、又は差分データ、あるいは分割データを含む場合は、OTAマスタ30がターゲット電子制御ユニットに更新データを転送し、ターゲット電子制御ユニットが更新データから更新ソフトウェアを生成してもよいし、OTAマスタ30が更新データから更新ソフトウェアを生成してから、更新ソフトウェアをターゲット電子制御ユニットに転送してもよい。ここで、更新ソフトウェアの生成は、圧縮データの解凍や、差分データ又は分割データの組み付け(統合)により行うことができる。
【0039】
更新ソフトウェアのインストールは、OTAマスタ30からのインストール要求に基づいて、ターゲット電子制御ユニットが行うことができる。なお、更新データを受信した特定のターゲット電子制御ユニットについては、OTAマスタ30からの明示の指示を受けることなく、自律的にインストールを行ってもよい。
【0040】
アクティベートは、ターゲット電子制御ユニットが、自身の不揮発性メモリにインストールした更新ソフトウェアを有効化(アクティベート)する処理である。アクティベートフェーズでは、アクティベートの実行だけでなく、アクティベートの実行可否判断、アクティベートに対する車両のユーザー又は管理者への承諾要求、実行結果の検証など、アクティベートに関する一連の制御を含む。
【0041】
更新ソフトウェアのアクティベートは、OTAマスタ30からのアクティベート要求に基づいて、ターゲット電子制御ユニットが行うことができる。なお、更新データを受信した特定のターゲット電子制御ユニットについては、OTAマスタ30からの明示の指示を受けることなく、インストールの完了後に自律的にアクティベートを行ってもよい。
【0042】
なお、ソフトウェア更新処理は、複数のターゲット電子制御ユニットのそれぞれに対して、連続的あるいは並列的に行うことができる。
【0043】
また、本明細書における「ソフトウェア更新処理」は、ダウンロード、インストール、及びアクティベートの全てを連続して行う処理だけでなく、ダウンロード、インストール、及びアクティベートのうちの一部のみを行う処理も含む。
【0044】
【0045】
図6は、権限管理情報端末95によって、ソフトウェア更新に関するOTA機能の権限を付与する情報端末95をネットワークシステムに追加する処理の一例を説明するフローチャートである。
【0046】
(ステップS601)
権限管理情報端末95は、権限制御機70と通信して(認証、連携)、権限制御機70を通常モードから権限管理モードに移行させる。通常モードとは、情報端末95から受け付ける更新制限要求及び更新制限解除要求に基づいて、ソフトウェア更新に関するOTA機能を制限できる状態をいう。権限管理モードとは、ソフトウェア更新に関するOTA機能の権限を設定できる状態をいう。権限制御機70が権限管理モードに移行すると、ステップS602に処理が進む。
権限管理情報端末95は、権限制御機70と通信して(認証、連携)、権限制御機70を通常モードから権限管理モードに移行させる。通常モードとは、情報端末95から受け付ける更新制限要求及び更新制限解除要求に基づいて、ソフトウェア更新に関するOTA機能を制限できる状態をいう。権限管理モードとは、ソフトウェア更新に関するOTA機能の権限を設定できる状態をいう。権限制御機70が権限管理モードに移行すると、ステップS602に処理が進む。
【0047】
(ステップS602)
権限管理情報端末95は、新たにソフトウェア更新に関するOTA機能の権限の付与を許可する情報端末95を権限制御機70と通信させて(認証、連携)、この情報端末95をソフトウェア更新に関するOTA機能の権限を有する「第1情報端末」として追加する。第1情報端末95が追加されると、ステップS603に処理が進む。
権限管理情報端末95は、新たにソフトウェア更新に関するOTA機能の権限の付与を許可する情報端末95を権限制御機70と通信させて(認証、連携)、この情報端末95をソフトウェア更新に関するOTA機能の権限を有する「第1情報端末」として追加する。第1情報端末95が追加されると、ステップS603に処理が進む。
【0048】
(ステップS603)
権限制御機70は、新たに追加した第1情報端末95にソフトウェア更新に関するOTA機能の権限を設定する。設定する権限は、権限管理情報端末95が設定してもよいし、新たに追加した第1情報端末95が自ら設定してもよい。設定された権限の内容は、第1情報端末95の固有の情報(端末IDなど)と紐付けて登録され、権限制御機70及び/又はセンタ10で管理される。新たに追加した第1情報端末95のソフトウェア更新に関するOTA機能の権限が設定されると、ステップS604に処理が進む。
権限制御機70は、新たに追加した第1情報端末95にソフトウェア更新に関するOTA機能の権限を設定する。設定する権限は、権限管理情報端末95が設定してもよいし、新たに追加した第1情報端末95が自ら設定してもよい。設定された権限の内容は、第1情報端末95の固有の情報(端末IDなど)と紐付けて登録され、権限制御機70及び/又はセンタ10で管理される。新たに追加した第1情報端末95のソフトウェア更新に関するOTA機能の権限が設定されると、ステップS604に処理が進む。
【0049】
(ステップS604)
権限管理情報端末95は、権限制御機70を権限管理モードから通常モードに移行させる。権限制御機70が通常モードに移行すると、本処理が終了する。
権限管理情報端末95は、権限制御機70を権限管理モードから通常モードに移行させる。権限制御機70が通常モードに移行すると、本処理が終了する。
【0050】
図7A及び図7Bは、センタ10及び権限制御機70が行うソフトウェア更新に関するOTA機能の一部又は全部に制限に関する処理の手順を説明するフローチャートである。図7Aの処理と図7Bの処理とは、結合子X、Y、及びZで結ばれる。
【0051】
(ステップS701)
センタ10は、車両において更新が必要なソフトウェアがあるか否かを判断する。この判断は、例えば、OTAマスタ30から送信される更新確認要求に含まれる、車両構成情報から取得する車両に搭載される各電子制御ユニット50a~50dのソフトウェアの現バージョンと、センタ10の記憶部16に記憶されている各ソフトウェアの最新バージョンと、に基づいて行うことができる。対象となる車両において更新が必要なソフトウェアがある場合は(ステップS701、はい)、ステップS702に処理が進む。一方、対象となる車両において更新が必要なソフトウェアがない場合は(ステップS701、いいえ)、本処理が終了する。
センタ10は、車両において更新が必要なソフトウェアがあるか否かを判断する。この判断は、例えば、OTAマスタ30から送信される更新確認要求に含まれる、車両構成情報から取得する車両に搭載される各電子制御ユニット50a~50dのソフトウェアの現バージョンと、センタ10の記憶部16に記憶されている各ソフトウェアの最新バージョンと、に基づいて行うことができる。対象となる車両において更新が必要なソフトウェアがある場合は(ステップS701、はい)、ステップS702に処理が進む。一方、対象となる車両において更新が必要なソフトウェアがない場合は(ステップS701、いいえ)、本処理が終了する。
【0052】
(ステップS702)
権限制御機70は、情報端末95から更新制限要求を受信したか否かを判断する。すなわち、権限制御機70は、ソフトウェア更新に関するOTA機能の一部又は全部について制限が可能な権限が付与された第1情報端末から、車両に対して更新制限要求があるか否かを判断する。例えば、ドライバーがOTA機能の制限を設定した情報端末95を所持して乗車し、その情報端末95と権限制御機70とが連携する(Bluetooth(登録商標)など)ことによって、権限制御機70が更新制限要求を受信することができる。第1情報端末95から更新制限要求がある場合は(ステップS702、はい)、ステップS703に処理が進む。一方、第1情報端末95から更新制限要求がない場合は(ステップS702、いいえ)、ステップS707に処理が進む。
権限制御機70は、情報端末95から更新制限要求を受信したか否かを判断する。すなわち、権限制御機70は、ソフトウェア更新に関するOTA機能の一部又は全部について制限が可能な権限が付与された第1情報端末から、車両に対して更新制限要求があるか否かを判断する。例えば、ドライバーがOTA機能の制限を設定した情報端末95を所持して乗車し、その情報端末95と権限制御機70とが連携する(Bluetooth(登録商標)など)ことによって、権限制御機70が更新制限要求を受信することができる。第1情報端末95から更新制限要求がある場合は(ステップS702、はい)、ステップS703に処理が進む。一方、第1情報端末95から更新制限要求がない場合は(ステップS702、いいえ)、ステップS707に処理が進む。
【0053】
(ステップS703)
権限制御機70は、更新制限要求があった情報端末95である第1情報端末95の認証が成功したか否かを判断する。第1情報端末95の認証が成功した場合は(ステップS703、はい)、ステップS704に処理が進む。第1情報端末95の認証が成功したこと(及び必要に応じて制限されるOTA機能)は、センタ10に通知される。一方、第1情報端末95の認証が失敗した場合は(ステップS703、いいえ)、ステップS702に処理が進む。
権限制御機70は、更新制限要求があった情報端末95である第1情報端末95の認証が成功したか否かを判断する。第1情報端末95の認証が成功した場合は(ステップS703、はい)、ステップS704に処理が進む。第1情報端末95の認証が成功したこと(及び必要に応じて制限されるOTA機能)は、センタ10に通知される。一方、第1情報端末95の認証が失敗した場合は(ステップS703、いいえ)、ステップS702に処理が進む。
【0054】
(ステップS704)
センタ10は、権限制御機70による認証が成功した第1情報端末95から受け付けた更新制限要求に基づいて、ソフトウェアの更新処理(送信、指示、通知、許諾など)を制限して実行する。例えば、更新制限要求に基づく更新処理の制限が「ソフトウェアのインストール禁止」であれば、センタ10は、車両が更新ソフトウェアをダウンロードするまでに必要な処理(通知、送信など)を実行する。ソフトウェアの更新が制限して実行されると、ステップS705に処理が進む。
センタ10は、権限制御機70による認証が成功した第1情報端末95から受け付けた更新制限要求に基づいて、ソフトウェアの更新処理(送信、指示、通知、許諾など)を制限して実行する。例えば、更新制限要求に基づく更新処理の制限が「ソフトウェアのインストール禁止」であれば、センタ10は、車両が更新ソフトウェアをダウンロードするまでに必要な処理(通知、送信など)を実行する。ソフトウェアの更新が制限して実行されると、ステップS705に処理が進む。
【0055】
(ステップS705)
権限制御機70は、情報端末95から更新制限解除要求を受信したか否かを判断する。すなわち、権限制御機70は、ソフトウェア更新に関するOTA機能の一部又は全部について制限が可能な権限が付与された第1情報端末から、更新制限解除要求があるか否かを判断する。なお、この更新制限解除要求は、更新制限要求を発信した第1情報端末95が行うだけでなく、更新制限要求を発信した情報端末95以外が行うこともできるし、権限管理情報端末95が行うこともできる。情報端末95から更新制限解除要求がある場合は(ステップS705、はい)、ステップS706に処理が進む。一方、情報端末95から更新制限解除要求がない場合は(ステップS706、いいえ)、ステップS705に処理が進む。
権限制御機70は、情報端末95から更新制限解除要求を受信したか否かを判断する。すなわち、権限制御機70は、ソフトウェア更新に関するOTA機能の一部又は全部について制限が可能な権限が付与された第1情報端末から、更新制限解除要求があるか否かを判断する。なお、この更新制限解除要求は、更新制限要求を発信した第1情報端末95が行うだけでなく、更新制限要求を発信した情報端末95以外が行うこともできるし、権限管理情報端末95が行うこともできる。情報端末95から更新制限解除要求がある場合は(ステップS705、はい)、ステップS706に処理が進む。一方、情報端末95から更新制限解除要求がない場合は(ステップS706、いいえ)、ステップS705に処理が進む。
【0056】
(ステップS706)
権限制御機70は、更新制限解除要求があった情報端末95の認証が成功したか否かを判断する。情報端末95の認証が成功した場合は(ステップS706、はい)、ステップS707に処理が進む。この情報端末95の認証が成功したことは、センタ10に通知される。一方、情報端末95の認証が失敗した場合は(ステップS706、いいえ)、ステップS705に処理が進む。
権限制御機70は、更新制限解除要求があった情報端末95の認証が成功したか否かを判断する。情報端末95の認証が成功した場合は(ステップS706、はい)、ステップS707に処理が進む。この情報端末95の認証が成功したことは、センタ10に通知される。一方、情報端末95の認証が失敗した場合は(ステップS706、いいえ)、ステップS705に処理が進む。
【0057】
(ステップS707)
センタ10は、権限制御機70による認証が成功した情報端末95からの更新制限解除要求に基づいて、制限を解除してソフトウェアの更新を実行するために必要な処理(通知、送信など)を行う。制限が解除されてソフトウェアの更新が実行されると、本処理が終了する。
センタ10は、権限制御機70による認証が成功した情報端末95からの更新制限解除要求に基づいて、制限を解除してソフトウェアの更新を実行するために必要な処理(通知、送信など)を行う。制限が解除されてソフトウェアの更新が実行されると、本処理が終了する。
【0058】
<作用・効果>
以上のように、本開示の一実施形態に係る車両に搭載された電子制御ユニットのソフトウェアの更新を制御するセンタによれば、車両に紐付いた情報端末のうち予め権限を設定しておいた特定の情報端末から更新制限要求があった場合に、車両におけるソフトウェアの更新を制限する。この処理により、特定の情報端末を所持する車両のユーザーや管理者などは、ソフトウェア更新に関するOTA機能の一部又は全部に制限を掛けることができる。
以上のように、本開示の一実施形態に係る車両に搭載された電子制御ユニットのソフトウェアの更新を制御するセンタによれば、車両に紐付いた情報端末のうち予め権限を設定しておいた特定の情報端末から更新制限要求があった場合に、車両におけるソフトウェアの更新を制限する。この処理により、特定の情報端末を所持する車両のユーザーや管理者などは、ソフトウェア更新に関するOTA機能の一部又は全部に制限を掛けることができる。
【0059】
以上、本開示技術の一実施形態を説明したが、本開示は、センタだけでなく、プロセッサとメモリを備えたセンタが実行する方法、プログラム、プログラムを記憶したコンピューター読み取り可能な非一時的な記憶媒体、センタと通信可能なOTAマスタ、あるいはOTAマスタを備えた車両など、として捉えることが可能である。
【産業上の利用可能性】
【0060】
本開示技術は、車両に搭載された電子制御ユニットのソフトウェアの更新を制御するセンタに利用できる。
【符号の説明】
【0061】
10 センタ
11、31 CPU
12、32 RAM
13、34 記憶装置
14、36 通信装置
16、37 記憶部
17、38 通信部
18、39 制御部
30 OTAマスタ
33 ROM
35 マイクロコンピューター
50a~50d 電子制御ユニット(ECU)
60a~60d バス
70 表示装置
80 通信モジュール
90 車載ネットワーク
95 情報端末
100 ネットワーク
11、31 CPU
12、32 RAM
13、34 記憶装置
14、36 通信装置
16、37 記憶部
17、38 通信部
18、39 制御部
30 OTAマスタ
33 ROM
35 マイクロコンピューター
50a~50d 電子制御ユニット(ECU)
60a~60d バス
70 表示装置
80 通信モジュール
90 車載ネットワーク
95 情報端末
100 ネットワーク
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7A】
【図7B】