CN113168382A - 监视装置、监视程序及监视方法 - Google Patents
监视装置、监视程序及监视方法 Download PDFInfo
- Publication number
- CN113168382A CN113168382A CN201980076013.8A CN201980076013A CN113168382A CN 113168382 A CN113168382 A CN 113168382A CN 201980076013 A CN201980076013 A CN 201980076013A CN 113168382 A CN113168382 A CN 113168382A
- Authority
- CN
- China
- Prior art keywords
- vehicle
- update
- arrangement information
- program
- control unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012806 monitoring device Methods 0.000 title claims abstract description 123
- 238000000034 method Methods 0.000 title claims abstract description 44
- 238000012544 monitoring process Methods 0.000 title claims description 34
- 230000008569 process Effects 0.000 claims abstract description 37
- 238000004891 communication Methods 0.000 claims description 98
- 238000012545 processing Methods 0.000 claims description 27
- 238000003860 storage Methods 0.000 description 80
- 230000006870 function Effects 0.000 description 15
- 238000010586 diagram Methods 0.000 description 13
- 230000005540 biological transmission Effects 0.000 description 12
- 238000004519 manufacturing process Methods 0.000 description 8
- 230000002159 abnormal effect Effects 0.000 description 7
- 230000005856 abnormality Effects 0.000 description 4
- 230000008859 change Effects 0.000 description 4
- 230000008672 reprogramming Effects 0.000 description 3
- 235000008694 Humulus lupulus Nutrition 0.000 description 2
- 230000009471 action Effects 0.000 description 2
- 238000004378 air conditioning Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 230000008054 signal transmission Effects 0.000 description 1
Images
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/04—Monitoring the functioning of the control system
- B60W50/045—Monitoring control system parameters
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R16/00—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
- B60R16/02—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
- B60R16/023—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
- B60R16/0231—Circuits relating to the driving or the functioning of the vehicle
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/65—Updates
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C5/00—Registering or indicating the working of vehicles
- G07C5/008—Registering or indicating the working of vehicles communicating information to a remotely located station
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C5/00—Registering or indicating the working of vehicles
- G07C5/08—Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
- G07C5/0808—Diagnosing performance data
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W2050/0062—Adapting control system settings
- B60W2050/0075—Automatic parameter input, automatic initialising or calibrating means
- B60W2050/0083—Setting, resetting, calibration
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/04—Monitoring the functioning of the control system
- B60W50/045—Monitoring control system parameters
- B60W2050/046—Monitoring control system parameters involving external transmission of data to or from the vehicle, e.g. via telemetry, satellite, Global Positioning System [GPS]
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W2556/00—Input parameters relating to data
- B60W2556/45—External transmission of data to or from the vehicle
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/14—Digital output to display device ; Cooperation and interconnection of the display device with other functional units
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Automation & Control Theory (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Mechanical Engineering (AREA)
- Computer Security & Cryptography (AREA)
- Human Computer Interaction (AREA)
- Transportation (AREA)
- Quality & Reliability (AREA)
- Stored Programmes (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明提供一种监视装置,装置搭载于车辆,与存储成为更新程序的应用对象的车载ECU的配置信息的车载更新装置以能够通信的方式连接,并监视该车载更新装置,其中,所述监视装置具备控制部,该控制部从所述车载更新装置取得所述车载ECU的配置信息,所述控制部在前次取得的第一配置信息与本次取得的第二配置信息不同的情况下,判定为所述车载更新装置被更换并执行规定的处理。
Description
技术领域
本发明涉及监视装置、监视程序及监视方法。
本申请要求基于2018年11月28日提出申请的日本申请第2018-222307号的优先权,并引用所述日本申请所记载的所有记载内容。
背景技术
在车辆搭载有车载ECU(Electronic Control Unit:电子控制单元),该车载ECU用于控制诸如发动机控制等的动力传动系统、空调控制等的车身系统等车载设备。车载ECU包括MPU等运算处理部、RAM等能够改写的非易失性存储部及用于与其他车载ECU进行通信的通信部,通过读入并执行存储部中所存储的控制程序,来进行车载设备的控制。而且,在车辆安装有具备无线通信功能的中继装置,能够经由中继装置与连接到车外的网络的程序提供装置进行通信,从该程序提供装置下载(接收)车载ECU的控制程序,并更新该车载ECU的控制程序(例如参照专利文献1)。
专利文献1的中继装置将识别各个车载ECU的装置标识符等作为车载ECU的管理数据存储于存储部,并参照管理数据生成用于取得作为更新对象的车载ECU的控制程序的取得请求。
现有技术文献
专利文献
专利文献1:日本特开2017-97851号公报
发明内容
本公开的一个方式的监视装置搭载于车辆,与存储成为更新程序的应用对象的车载ECU的配置信息的车载更新装置以能够通信的方式连接,并监视该车载更新装置,其中,所述监视装置具备控制部,该控制部从所述车载更新装置取得所述车载ECU的配置信息,所述控制部在前次取得的第一配置信息与本次取得的第二配置信息不同的情况下,判定为所述车载更新装置被更换并执行规定的处理。
附图说明
图1是例示包含实施方式1的监视装置的车载更新系统的结构的示意图。
图2是例示监视装置等的结构的框图。
图3是例示车载ECU的配置信息的一个方式的说明图。
图4是例示由监视装置进行的监视的一个方式的说明图。
图5是例示监视装置的控制部的处理的流程图。
图6是例示包含实施方式2的监视装置的车载更新系统的结构的示意图。
图7是例示监视装置等的结构的框图。
具体实施方式
[本公开所要解决的课题]
专利文献1的中继装置存在如下问题:没有考虑到集中存储车载ECU的装置标识符(识别信息)的中继装置(车载更新装置)被更换的情况下的应对。
本公开的目的在于提供一种在车载更新装置被更换的情况下能够检测出该更换的监视装置。
[本公开的效果]
根据本公开的一个方式,能够提供一种在车载更新装置被更换的情况下能够检测出该更换的监视装置。
[本公开的实施方式的说明]
首先列举本公开的实施方式来进行说明。另外,可以任意地组合以下所述的实施方式的至少一部分。
(1)本公开的一个方式的监视装置搭载于车辆,与存储成为更新程序的应用对象的车载ECU的配置信息的车载更新装置以能够通信的方式连接,并监视该车载更新装置,其中,所述监视装置具备控制部,该控制部从所述车载更新装置取得所述车载ECU的配置信息,所述控制部在前次取得的第一配置信息与本次取得的第二配置信息不同的情况下,判定为更换了所述车载更新装置并执行规定的处理。
在本方式中,控制部在前次从车载更新装置取得的第一配置信息与本次从车载更新装置取得的第二配置信息不同的情况下,判定为车载更新装置被更换并执行规定的处理,因此能够适当地应对该车载更新装置的更换。
(2)本公开的一个方式的监视装置中,所述控制部在所述车辆的点火开关被接通的情况下,取得所述第二配置信息,在所述被接通之前取得的所述第一配置信息与所述第二配置信息不同的情况下,判定为所述车载更新装置被更换,并执行规定的处理。
在本方式中,控制部在直到车辆的点火开关(IG开关)被接通之前的期间、即在从前次被断开到被接通为止的期间或在该被断开之前取得第一配置信息。并且,控制部在此后被接通之后取得第二配置信息,所以在从点火开关的断开到接通的期间、即在车辆停止的期间更换了车载更新装置的情况下,能够适当地对该车载更新装置的更换进行判定。
(3)本公开的一个方式的监视装置中,所述控制部在不包含对所述车载更新装置取得的所述车载ECU的配置信息进行存储的时间点的期间,取得所述第一配置信息及所述第二配置信息。
在本方式中,控制部在不包含对车载更新装置取得的车载ECU的配置信息进行存储的时间点的期间,取得第一配置信息和第二配置信息。即,由车载更新装置进行的从各个所述车载ECU的配置信息的取得在监视装置取得所述第一配置信息并取得所述第二配置信息之前的期间之外的期间进行,因此能够确保第一配置信息与第二配置信息的比较结果的精度。
(4)本公开的一个方式的监视装置中,所述控制部执行的所述规定的处理是将与所述判定相关的信息发送到提供所述更新程序的外部服务器或设置于所述车辆的显示装置的处理。
在本方式中,控制部通过将与判定相关的信息发送到所述外部服务器或设置于所述车辆的显示装置,能够将车载更新装置被更换的情况报知给外部服务器的管理者或车辆的操作者。
(5)本公开的一个方式的监视装置中,用于与提供所述更新程序的外部服务器进行通信的车外通信装置与本装置直接连接,所述控制部执行的所述规定的处理是将与所述判定相关的信息不经由所述车载更新装置而经由所述车外通信装置发送到提供所述更新程序的外部服务器的处理。
在本方式中,监视装置和用于与提供更新程序的外部服务器进行通信的车外通信装置例如通过串行电缆等线束将彼此的输入输出I/F之间直接连接。因此,监视装置能够不经由车外更新装置(网关)而经由车外通信装置与外部服务器进行通信。监视装置在判定为车载更新装置被更换并执行规定的处理时,该更换后的车载更新装置是非法装置的可能性高,但能够不经由这种担心是非法装置的车载更新装置而直接与车外通信装置连接,并经由该车外通信装置与外部服务器进行通信。因此,能够将车载更新装置被更换的情况可靠地发送到外部服务器。
(6)本公开的一个方式的监视装置中,所述控制部执行的所述规定的处理是向所述车载ECU发送用于禁止通过所述更新程序对存储于所述车载ECU的程序进行更新的信号的处理。
在本方式中,控制部通过向车载ECU发送用于禁止程序的更新的信号,能够防止车载ECU通过由更换后的车载更新装置发送的更新程序进行程序的更新的情况。
(7)本公开的一个方式的监视装置中,所述车载更新装置与本装置通过以太网电缆直接连接。
在本方式中,通过利用以太网电缆直接连接车载更新装置与监视装置,能够减少跳数,提高车载更新装置与监视装置之间的通信效率。
(8)本公开的一个方式的监视程序使计算机执行如下处理:从存储成为更新程序的应用对象的车载ECU的配置信息的车载更新装置取得所述车载ECU的配置信息;及在前次取得的第一配置信息与本次取得的第二配置信息不同的情况下,判定为所述车载更新装置被更换并执行规定的处理。
在本方式中,能够提供一种在车载更新装置被更换的情况下能够检测出该更换的监视程序。
(9)本公开的一个方式的监视方法执行如下处理:从存储成为更新程序的应用对象的车载ECU的配置信息的车载更新装置取得所述车载ECU的配置信息;及在前次取得的第一配置信息与本次取得的第二配置信息不同的情况下,判定为所述车载更新装置被更换并执行规定的处理。
在本方式中,能够提供一种在车载更新装置被更换的情况下能够检测出该更换的监视方法。
[本公开的实施方式的详细内容]
基于表示本公开的实施方式的附图对本公开进行具体说明。下面将参照附图对本公开的实施方式的监视装置5进行说明。另外,本公开并不限定于这些例示,而是由权利要求书示出,并旨在包括与权利要求书等同的含义和范围内的全部变更。
(实施方式1)
以下,基于附图对实施方式进行说明。图1是例示包含实施方式1的监视装置5的车载更新系统的结构的示意图。图2是例示监视装置5等的结构的框图。车载更新系统包括搭载于车辆C的车外通信装置1及车载更新装置2,将从经由车外网络N连接的程序提供装置100所取得的程序或数据发送到搭载于车辆C的车载ECU3(Electronic Control Unit:电子控制单元)。
程序提供装置100例如是与互联网或公共线路网等车外网络N连接的服务器等计算机,具备由RAM(Random Access Memory:随机存取存储器)、ROM(Read Only Memory:只读存储器)或硬盘等构成的存储部101,相当于车外的外部服务器。在程序提供装置100中,由车载ECU3的制造商等创建的用于控制该车载ECU3的程序或数据被保存于存储部101。该程序或数据作为更新程序如后述那样被发送到车辆C,用于对搭载于车辆C的车载ECU3的程序或数据进行更新。如此构成的程序提供装置100(外部服务器)也被称为OTA(Over The Air:空中下载)服务器。搭载于车辆的车载ECU3取得通过无线通信从程序提供装置100发送来的更新程序,通过将该更新程序应用为要执行的程序,能够更新(重新编程)本ECU执行的程序。
以下,将程序作为包含外部文件的程序进行说明,所述外部文件记载有包含供车载ECU3进行处理的控制语法等的程序代码及在执行该程序代码时参照的数据。在发送更新程序时,记载有这些程序代码和数据的外部文件例如作为加密后的档案文件从程序提供装置100发送。
车载更新装置2作为重新编程器而发挥功能,该重新编程器在每次这些车载ECU3分别更新(重新编程)程序时或者定期地从各个车载ECU3取得配置信息,且集中地存储并管理所取得的各个配置信息。监视装置5与车载更新装置2以能够通信的方式连接,并发挥如下的监视功能:在两个不同的时间点取得车载更新装置2所存储的配置信息,并通过比较在该不同的时间点所取得的各个配置信息,来判定是否更换了车载更新装置2。
在车辆C搭载有车外通信装置1、车载更新装置2、显示装置7、用于控制各种车载设备的多个车载ECU3及判定车载更新装置2是否被非法更换的监视装置5。车外通信装置1与车载更新装置2例如通过串行电缆等线束以能够通信的方式连接。车载更新装置2及车载ECU3通过与CAN(Control Area Network/注册商标)或以太网(Ethernet/注册商标)等通信协议对应的通信线41及车内LAN4以能够通信的方式连接。
车外通信装置1包括车外通信部11及用于与车载更新装置2进行通信的输入输出I/F(接口)12。车外通信部11是用于使用3G、LTE、4G、WiFi等移动体通信的协议进行无线通信的通信装置,经由与车外通信部11连接的天线13与程序提供装置100进行数据的收发。车外通信装置1与程序提供装置之间的通信例如经由公共线路网或因特网等外部网络进行。
输入输出I/F12是用于与车载更新装置2进行例如串行通信的通信接口。车外通信装置1与车载更新装置2经由输入输出I/F12及与输入输出I/F12连接的串行电缆等线束相互通信。在本实施方式中,车外通信装置1为与车载更新装置2不同的装置,并通过输入输出I/F12等将这些装置以能够通信的方式进行连接,但并不限定于此。车外通信装置1也可以作为车载更新装置2的一个构成部位而内置于车载更新装置2。
车载更新装置2包括控制部20、存储部21、输入输出I/F22、车内通信部23及车内通信部231。车载更新装置2构成为,从车外通信装置1取得车外通信装置1通过无线通信从程序提供装置100接收到的更新程序,并经由车内LAN4将该更新程序发送到规定的车载ECU3(作为更新对象的车载ECU3)。车载更新装置2例如是对控制系统的车载ECU3、安全系统的车载ECU3及车身系统的车载ECU3等基于通信线41的系统的区段进行总括,并对这些区段间的车载ECU3彼此之间的通信进行中继的网关(中继器)。或者,车载更新装置2也可以构成为对车辆C整体进行控制的车身ECU的一个功能部。
控制部20由CPU(Central Processing Unit:中央处理单元)或MPU(MicroProcessing Unit:微处理单元)等构成,通过读出并执行预先存储在存储部21中的控制程序及数据,从而进行各种控制处理及运算处理等。控制部20相当于经由车外通信装置1取得从程序提供装置100发送来的更新程序的取得部。
存储部21由RAM(Random Access Memory:随机存取存储器)等易失性的存储器元件或ROM(Read Only Memory:只读存储器)、EEPROM(Electrically ErasableProgrammable ROM:电可擦除可编程只读存储器)或闪速存储器等非易失性的存储器元件构成,预先存储有控制程序以及在处理时参照的数据。就存储在存储部21中的控制程序而言,也可以存储有从车载更新装置2能读取的记录介质读出的控制程序。另外,也可以从与未图示的通信网络连接的未图示的外部计算机下载控制程序,并将其存储于存储部21。而且,在存储部21存储有搭载于车辆C的所有车载ECU3的配置信息。在存储部21存储有从程序提供装置100取得的更新程序及与向车载ECU3发送更新程序时的进展状况相关的信息。
输入输出I/F22与车外通信装置1的输入输出I/F12同样地,例如是用于进行串行通信的通信接口。经由输入输出I/F22,车载更新装置2与车外通信装置1及IG开关6以能够通信的方式连接。
车内通信部23例如是使用CAN(Control Area Network:控制器局域网)或以太网(Ethernet/注册商标)等通信协议的输入输出接口,控制部20经由车内通信部23与连接到车内LAN4的车载ECU3或其他中继装置等车载设备相互通信。车内通信部23设置有多个(在附图上为3个),车内通信部23分别与构成车内LAN4的通信线41连接。通过这样设置多个车内通信部23,车内LAN4被分成多个区段,并根据车载ECU的功能(控制系统功能、安全系统功能、车身系统功能)将该车载ECU连接于各区段。车内通信部231例如是使用以太网等通信协议的输入输出接口,控制部20经由车内通信部231与监视装置5相互通信。
车载ECU3包括控制部30、存储部31及车内通信部32。第一存储部31由RAM(RandomAccess Memory:随机存取存储器)等易失性的存储器元件或ROM(Read Only Memory:只读存储器)、EEPROM(Electrically Erasable Programmable ROM:电可擦除可编程只读存储器)或闪速存储器等非易失性的存储器元件构成,存储有车载ECU3的程序或数据。该程序或数据是通过从车载更新装置2发送的更新程序进行更新的对象。另外,在存储部31存储有本ECU的配置信息。
存储部31包括第一存储区域(第一面)和第二存储区域(第二面)。在存储部31存储有当前由车载ECU3正在执行(应用)的程序(当前版本)及在当前版本以前所应用的程序(旧版本)这两个程序。这些当前版本的程序和旧版本的程序被分开存储于第一存储区域或第二存储区域中的任一存储区域。即,在第一存储区域存储有当前版本的程序的情况下,在第二存储区域存储有旧版本的程序。在第一存储区域存储有旧版本的程序的情况下,在第二存储区域存储有当前版本的程序。这样,通过将当前版本和旧版本这两个程序以所谓的双面存储的形式进行存储,即使在当前版本的程序产生了问题的情况下,控制部30通过读入并执行(切换)以前所应用并正常动作的旧版本的程序,也能够确保车载ECU3的可靠性。存储部31并不限定于双面存储,也可以仅具有第一存储区域而以单面存储的形式进行存储。
在存储部31存储有与当前版本和旧版本这两个程序各自的版本相关的信息、及与存储有当前正在执行(应用)的程序的区域(动作面)相关的信息。即,在当前状态下正在执行存储在第一存储区域(第一面)中的程序的情况下,在存储部31存储为动作面是第一存储区域(第一面)。在当前状态下正在执行存储在第二存储区域(第二面)中的程序的情况下,在存储部31存储为动作面是第二存储区域(第二面)。在存储部31,包括与程序(当前版本及旧版本)的版本信息及动作面相关的信息在内,存储有本ECU的配置信息、与从车载更新装置2接收更新程序时的进展状况相关的信息、及与过去进行的单次或多次更新历史相关的信息。
控制部30由CPU(Central Processing Unit:中央处理单元)或MPU(MicroProcessing Unit:微处理单元)等构成,读出并执行存储部31(动作面)所存储的程序及数据来进行控制处理等,对包含该车载ECU3的车载设备或致动器等进行控制。
车载ECU3的控制部30经由车内通信部32接收从车载更新装置2发送的更新程序,并取得该更新程序。因此,车载ECU3的控制部30经由车外通信装置1及车载更新装置2取得从程序提供装置100发送来的更新程序。控制部30将所取得的更新程序存储于不是动作面的存储区域(第一存储区域或第二存储区域)。即,控制部30在取得从车载更新装置2发送来的更新程序时,作为该取得的准备处理,删除存储在不是动作面的存储区域(非动作面)中的程序。通常,存储在不是动作面的存储区域中的程序是在当前版本的程序之前执行的旧版本的程序,因此能够在不停止车载ECU3的对车载装置的控制功能的条件下删除该旧版本。控制部30删除存储在不是动作面的存储区域(非动作面)中的旧版本的程序,并将从车载更新装置2发送来的更新程序存储于该非动作面。
监视装置5与车载ECU3同样地包括控制部50、存储部51、车内通信部53,还包括输入输出I/F52。
控制部50与车载更新装置2或车载ECU3同样地由CPU或MPU构成,通过读出并执行预先存储在存储部51中的程序和数据,来进行各种控制处理和运算处理等。控制部50相当于通过执行该程序来取得从车载更新装置2或车载ECU3发送来的信息、数据或信号等的取得部。控制部50相当于通过执行该程序来判定车载更新装置2是否被更新的判定部。
第一存储部51与车载更新装置2或车载ECU3同样地,由RAM(Random AccessMemory:随机存取存储器)等易失性的存储器元件或ROM(Read Only Memory:只读存储器)、EEPROM(Electrically Erasable Programmable ROM:电可擦除可编程只读存储器)或闪速存储器等非易失性的存储器元件构成,存储有监视装置5的程序或数据。与车载更新装置2同样地,在存储部51存储有搭载于车辆C的所有车载ECU3的配置信息(车辆C的配置信息)。
车内通信部53是与车载更新装置2的车内通信部231同样的通信协议,例如是使用了以太网的输入输出接口。监视装置5与车载更新装置2通过各自的车内通信部53、231和通信线42(以太网电缆)直接连接。通过利用以太网电缆直接连接车载更新装置2与监视装置5,能够减少跳数,提高车载更新装置2与监视装置5之间的通信效率。或者,监视装置5也可以与其他车载ECU3同样地,通过基于CAN总线等的通信线41与车载更新装置2以能够通信的方式连接。
监视装置5包括与车载更新装置2同样的输入输出I/F52,在该输入输出I/F52连接有显示装置7。在存储部51存储有进行该显示装置7的显示控制的显示控制程序,通过控制部50执行显示控制程序,监视装置5构成为HMI(Human Machine Interface:人机接口)系统ECU。HMI系统ECU包含在搭载于车辆C的车载ECU3中。HMI系统ECU包含监视装置5,通过安装车载更新装置2的监视功能作为HMI系统ECU的一个功能,能够实现搭载于车辆C的部件数量的削减。HMI系统ECU由于与例如控制系统ECU等其他车载ECU3相比,与车辆C的行驶安全性相关的优先级较低,因此能够发挥车载更新装置2的监视功能而不对车辆C的行驶安全性造成影响。
显示装置7例如是汽车导航的显示器等HMI(Human Machine Interface:人机接口)装置。显示装置7通过串行电缆等线束与作为HMI系统ECU的监视装置5的输入输出I/F以能够通信的方式连接。在显示装置7显示从作为HMI系统ECU的监视装置5的控制部50经由输入输出I/F输出的数据或信息。
监视装置5为HMI系统ECU,但并不限定于此。监视装置5也可以构成为专用的ECU(监视ECU)。或者,监视装置5也可以包含于对车辆C整体进行控制的车身系统ECU。在监视装置5构成为专用的ECU(监视ECU)的情况下,HMI系统ECU不具有作为监视装置5的功能,而与车内LAN4连接。监视装置5经由车载更新装置2及车内LAN4与HMI系统ECU以能够通信的方式连接,通过向该HMI系统ECU发送数据,能够使与HMI系统ECU连接的显示装置7显示基于该数据的信息。
在车载更新装置2的输入输出I/F22,通过串行电缆等线束以能够通信的方式连接有进行车辆C的启动或停止的IG开关6(点火开关)。在IG开关6被接通或断开的情况下,车载更新装置2的控制部20经由输入输出I/F22取得(接收)从IG开关6输出(发送)的信号。车载更新装置2的控制部20基于所取得的信号,将与该IG开关6的接通或断开相关的信息(IG接通的信号或IG断开的信号)经由车内通信部23、231发送到所有的车载ECU3及监视装置5。车载ECU3和监视装置5取得从车载更新装置2发送来的与IG开关6的接通或断开有关的信息(IG接通的信号或IG断开的信号),并基于所取得的信息进行规定的动作。
图3是例示车载ECU的配置信息的一个方式的说明图。车载更新装置2的控制部20例如在IG开关6被接通的情况下、被断开的情况下、或在规定的定时,稳定地对搭载于车辆C的全部车载ECU3或特定的车载ECU3请求发送本ECU的配置信息及该配置信息的更新历史。然后,车载更新装置2取得从各个车载ECU3发送来的配置信息和更新历史并将这些配置信息等集中,将集中后的配置信息(车辆配置信息)和更新历史(车辆配置信息更新历史)存储于存储部21。或者,车载更新装置2的控制部20也可以不对车载ECU3请求发送配置信息和更新历史,而取得并集中各个车载ECU3主动发送的各个配置信息和各个更新历史,并存储于存储部21。或者,车载更新装置2的控制部20也可以向车载ECU3发送更新程序,每当该发送完成时,基于发送来的更新程序来变更配置信息(车辆配置信息)。
在车载ECU3各自的存储部21存储有本ECU的配置信息及更新历史。因此,车载更新装置2将存储在各个车载ECU3中的各个配置信息及各个更新历史集中,并存储各个车载ECU3的配置信息及更新历史。车载更新装置2也可以将集中存储的各个车载ECU3的配置信息及更新历史发送到程序提供装置100。通过将配置信息及更新历史发送到程序提供装置100,能够在程序提供装置100的存储部101进行该配置信息及更新历史的备份。车载更新装置2定期地或者根据来自监视装置5的请求,向该监视装置5发送该配置信息。
如图3所示,车载ECU3的配置信息(车辆配置信息主表)例如包括车载ECU3的制造编号(序列号)、ECU部件编号(型号)、软件部件编号、程序的当前版本、旧版本、动作面数量、动作面、MAC(Media Access Control:媒体访问控制)地址、IP地址、前次更新完成日期和时间、重新编程状态及VIN(车辆识别编号),并与由设定为在各个车载ECU3中不重复的连续编号等构成的ECU-ID相关联地进行管理。
制造编号(序列号)是在制造车载ECU3时被赋予的编号,由表示生产地点等的批号和制造时的连续编号等构成,是能够唯一确定该ECU的唯一的编号。ECU部件编号(型号)是确定车载ECU的种类的编号,例如是部件编号。软件部件编号是用于确定更新程序的软件的种类的编号。
所谓动作面数量,是存储不同版本的更新程序的存储区域的数量。即,在动作面数量为两个的情况下,能够记录两个不同版本的更新程序。在动作面数量为一个的情况下,能够仅存储单个版本的更新程序。动作面是确定存储有当前由车载ECU3正在执行(应用)的程序的任一存储区域(第一存储区域或第二存储区域)的信息。
当前版本是当前由车载ECU3正在执行(应用)的程序的版本号,并且是存储于动作面的程序的版本号。旧版本是在以前由车载ECU3所执行(应用)的程序的版本号,并且是存储于非动作面(不是动作面的存储区域)的程序的版本号。
在车载ECU3的车内通信部23是与以太网对应的通信端口的情况下,MAC地址是与数据链路层对应的地址。MAC地址是在制造该车内通信部23时被赋予的编号,由表示制造者的供应商代码和制造时的连续编号等构成,是能够唯一确定该ECU的唯一的编号。在车内通信部23是与以太网对应的通信端口的情况下,IP地址是与使用TCP/IP进行通信时的网络层对应的地址。
VIN(车辆识别编号/Vehicle Identification Number)是包含用于识别各个车辆C的序列号的唯一的代码,由ISO3833规定,并由17位的字母数字构成。VIN不是存储在搭载于车辆的所有车载ECU3的存储部31中,而是存储在特定的车载ECU3的存储部31中。
车载ECU3的配置信息包括用于识别该车载ECU3的识别信息。由于IP地址是能够根据车内通信部23的设定而任意决定的地址,因此作为用于识别车载ECU3的识别信息,优选使用序列号或MAC地址。另外,在识别信息中,除了该序列号或MAC地址以外,还可以包含车载ECU3的ECU部件编号(型号)。
车载ECU3的识别信息包括车载ECU3的配置信息所包含的序列号或MAC地址。车载更新装置2的控制部20将基于配置信息所包含的序列号或MAC地址的车载ECU3的识别信息与前次更新完成日期和时间及重新编程状态等与向该车载ECU3发送更新程序的进展状况相关的信息相关联地存储于存储部21。
车载ECU3的配置信息所包含的信息并不限定于图3所示的项目的信息。在车载ECU3通过CAN连接的情况下,车载ECU3的配置信息也可以包含在该车载ECU3发送消息时使用(包含)的CAN-ID。
图4是例示由监视装置5进行的监视的一个方式的说明图。在图4中,使用包含车载更新装置2及监视装置5等的处理的序列图来说明监视装置5对车载更新装置2的监视。
车载更新装置2经由车外通信装置1从程序提供装置100取得更新程序(S1、S2)。车载更新装置2参照取得的更新程序的报头信息等,确定应用该更新程序的车载ECU3,并向该车载ECU3发送更新程序(S3)。
接收到从车载更新装置2发送来的更新程序的车载ECU3将该更新程序存储于本ECU的存储部31,通过在规定的定时切换为该更新程序,由此完成本ECU的程序的更新、即重新编程处理(S4)。
车载更新装置2取得从完成了程序的更新的车载ECU3发送的配置信息(S5),并将所取得的配置信息存储于本装置的存储部21。或者,车载更新装置2也可以定期地向搭载于车辆C的所有车载ECU3发送请求本ECU的配置信息的发送的信号,并根据该请求集中并存储从各个车载ECU3发送来的各个配置信息。车载更新装置2将配置信息发送到监视装置5(S6)。车载更新装置2也可以将配置信息经由车外通信装置1发送到程序提供装置100(S7)。
监视装置5取得从车载更新装置2发送来的配置信息,并将所取得的配置信息作为第一配置信息存储于本装置的存储部51(S8)。通过车载更新装置2与监视装置5之间的配置信息的收发,最新的配置信息由车载更新装置2和监视装置5共享。
通过使IG开关6断开(S9),车辆C成为停止状态,车载更新装置2、车载ECU3及监视装置5等车载装置也成为停止状态或待机状态。在IG开关6断开的情况下,车载更新装置2不进行所存储的配置信息的变更。即,从监视装置5取得第一配置信息到取得后述的第二配置信息为止的期间,车载更新装置2不进行所存储的配置信息的变更或从车载ECU3的配置信息的取得。由于IG开关6被断开,从而向车载更新装置2发送来自IG开关6的点火断开信号。车载更新装置2基于接收到的IG断开信号,向车载ECU3及监视装置5发送与IG开关6被断开的意思相关的信息。车载ECU3和监视装置5基于从车载更新装置2发送来的信号,能够识别出IG开关6被接通或断开的情况。
在IG开关6被断开时,监视装置5也可以向车载更新装置2发送请求所存储的配置信息的发送的信号,取得车载更新装置2根据该请求发送来的配置信息(S9a),并将所取得的配置信息作为第一配置信息进行存储。如上所述,监视装置5通过S6和S8的处理,取得车载更新装置2所存储的配置信息,并作为第一配置信息存储于本装置的存储部51。但是,即使在例如S6中的车载更新装置2与监视装置5之间的通信失败的情况下,在IG开关6被断开时,通过监视装置5从车载更新装置2取得配置信息,也能够由车载更新装置2和监视装置5共享IG开关6被断开的时间点的最新的配置信息。
通过使IG开关6接通(S10),车辆C成为启动状态,车载更新装置2、车载ECU3及监视装置5等车载装置也成为启动状态。
监视装置5从车载更新装置2取得配置信息(S11),并将所取得的配置信息作为第二配置信息进行存储。在IG开关6被接通时,监视装置5向车载更新装置2发送请求所存储的配置信息的发送的信号,取得车载更新装置2根据该请求发送来的配置信息,并将所取得的配置信息作为第二配置信息进行存储。或者,也可以在IG开关6被接通时,车载更新装置2向监视装置5主动地发送配置信息,监视装置5接收并取得所发送的配置信息。
监视装置5比较所取得的两个配置信息、即第一配置信息和第二配置信息(S12)。这些配置信息的比较并不限定于在该配置信息所包含的所有项目中进行比较的情况,也可以仅对特定的项目进行比较。所谓特定的项目,例如是各个车载ECU3的制造编号、ECU部件编号等。或者,特定的项目也可以包含在任一车载ECU3中保持的VIN。即,这些配置信息的比较只要根据用于判定第一配置信息与第二配置信息之间的实质上的相同性所需的项目来进行即可。
监视装置5基于第一配置信息和第二配置信息的比较结果,判定车载更新装置2在IG开关6被断开后到被接通的期间、即在车辆C处于停止状态的期间是否被更换(S13)。
监视装置5基于判定结果进行规定的处理(S14)。该规定的处理例如是向车载ECU3发送禁止基于更新程序的程序更新的信号(S14a),并且是向程序提供装置100和显示装置7发送车载更新装置2处于异常状态的意思(异常通知)(S14b、S14c)。这些由监视装置5的控制部50进行的规定的处理的详细情况将在后面用流程图进行描述。
图5是例示监视装置5的控制部50的处理的流程图。监视装置5的控制部50在车辆C处于启动状态(IG开关6接通)或停止状态(IG开关6断开)下,稳定地进行以下的处理。
监视装置5的控制部50取得第一配置信息(S100)。控制部50取得从车载更新装置2发送的配置信息,并存储于本装置的存储部51。车载更新装置2向车载ECU3发送更新程序,在由该车载ECU3进行的更新程序的接收等完成后,将车载ECU3的配置信息发送到监视装置5及程序提供装置100,监视装置5的控制部50经由车内通信部53接收所发送的配置信息,从而取得该配置信息。或者,监视装置5的控制部50也可以定期地与车载ECU3进行通信,接收分别从这些车载ECU3发送的各个配置信息,并存储于本装置的存储部51。即,监视装置5及车载更新装置2中的各个装置稳定地独自与各个车载ECU3进行通信,并接收分别从这些车载ECU3发送的各个配置信息。并且,监视装置5和车载更新装置2也可以将车载ECU3各自的配置信息集中存储于各个本装置的存储部51、21,并且进行同步以使存储在各个本装置的存储部51、21中的配置信息(车辆配置信息)彼此相同。
监视装置5的控制部50判定是否接收到IG断开的信号(S101)。控制部50基于经由车载更新装置2从IG开关6发送的信号,判定是否接收到IG开关6被断开的信号(IG断开的信号)。
在没有接收到IG断开的信号的情况下(S101:否),车辆C处于启动中的状态,监视装置5的控制部50为了再次执行S100的处理而进行循环处理。即,监视装置5的控制部50通过重复S100的处理、即重复取得第一配置信息,能够始终取得并存储最新的车载ECU3的配置信息。
在接收到IG断开的信号的情况下(S101:是),车辆C成为停止中(电源被切断)的状态,监视装置5的控制部50判定是否接收到IG接通的信号(S102)。控制部50基于经由车载更新装置2从IG开关6发送的信号,判定是否接收到IG开关6被接通的信号(IG接通的信号)。
在没有接收到IG接通的信号的情况下(S102:否),监视装置5的控制部50进行循环处理以再次执行S102的处理。即,控制部50进行待机处理,直至接收到IG接通的信号为止(直至IG开关6被接通为止)。
在接收到IG接通的信号的情况下(S102:是),监视装置5的控制部50取得第二配置信息(S103)。控制部50例如向车载更新装置2发送请求所存储的配置信息的发送的信号,并取得车载更新装置2根据该请求发送的配置信息(第二配置信息)。或者,也可以是车载更新装置2在IG开关6被接通的情况下,将所存储的配置信息(第二配置信息)主动地发送到监视装置5,监视装置5的控制部50取得从车载更新装置2主动地发送来的配置信息。即,监视装置5的控制部50通过拉式或推式通信,取得存储在车载更新装置2中的配置信息,并将所取得的配置信息作为第二配置信息进行存储。
监视装置5的控制部50判断所取得的两个配置信息是否相同(S104)。控制部50对在S100的处理中所取得的第一配置信息和在S103的处理中所取得的第二配置信息进行比较,判定这两个配置信息是否相同。
在监视装置5取得第一配置信息后到取得第二配置信息为止的期间,车载更新装置2不进行所存储的配置信息的变更。因此,在第一配置信息与第二配置信息之间存在差异的情况下,能够判定为车载更新装置2被更换。所谓车载更新装置2被更换,并不限定于车载更新装置2的装置本身被更换的情况,包括仅车载更新装置2的存储部21被更换的情况、及存储在存储部21中的配置信息和程序等数据被改写的情况。
在第一配置信息与第二配置信息相同的情况下(S104:是),监视装置5的控制部50判定为车载更新装置2没有被更换(S105)。所谓第一配置信息与第二配置信息相同的情况,是配置信息所包含的项目即各个车载ECU3的制造编号、ECU部件编号、或任一车载ECU3所保持的VIN等作为比较对象的项目的内容相同的情况,表示第一配置信息与第二配置信息是实质上相同的配置信息。这样,在第一配置信息与第二配置信息相同的情况下,监视装置5的控制部50判定为取得第一配置信息的时间点的车载更新装置2与取得第二配置信息的时间点的车载更新装置2是同一车载更新装置2,车载更新装置2没有被更换。
监视装置5的控制部50发送车载更新装置2正常的意思(S106)。控制部50经由车外通信装置1向程序提供装置100、显示装置7或者程序提供装置100和显示装置7这两个装置发送车载更新装置2正常的意思和该判定结果。
在第一配置信息与第二配置信息不相同的情况下(S104:否),监视装置5的控制部50判定为车载更新装置2被更换(S1041)。所谓第一配置信息与第二配置信息不相同的情况,是配置信息所包含的项目即车载ECU3各自的制造编号、ECU部件编号、或任一车载ECU3所保持的VIN等作为比较对象的项目的内容不同的情况。在该项目的内容不同的情况下,监视装置5的控制部50判断为取得第一配置信息的时间点的车载更新装置2与取得第二配置信息的时间点的车载更新装置2是不同的车载更新装置2,车载更新装置2在从取得第一配置信息的时间点到取得第二配置信息的时间点为止的期间被更换。
监视装置5的控制部50例如在不能与车载更新装置2进行通信而不能取得第二配置信息的情况下,也可以判定为第一配置信息与第二配置信息不相同(不同)。在也假定非法更换的车载更新装置2没有对从监视装置5发送的信号(请求配置信息的发送的信号)进行响应的情况时,在不能取得第二配置信息的情况下,通过判定为第一配置信息与第二配置信息不相同,也能够适当地应对这样的非法更换的车载更新装置2。
监视装置5的控制部50发送车载更新装置2异常的意思(S1042)。控制部50经由车外通信装置1向程序提供装置100、显示装置7或者程序提供装置100和显示装置7这两个装置发送车载更新装置2异常的意思和该判定结果。所谓车载更新装置2异常的意思,是包含该车载更新装置2在从取得第一配置信息的时间点到取得第二配置信息的时间点为止的期间内被非法交换的情况的信息,并且包含取得第一配置信息的时间点和取得第二配置信息的时间点的时刻信息。另外,控制部50也可以将第一配置信息及第二配置信息包含于车载更新装置2异常的意思来进行发送。
这样,通过包含时刻信息、第一配置信息及第二配置信息而发送与车载更新装置2被更换相关的信息,能够使程序提供装置100的管理者或者车辆C的操作者认识到车载更新装置2异常的意思,并唤起其采取适当的应对措施。
监视装置5的控制部50发送禁止程序的更新的信号(S1043)。控制部50向车载ECU3发送禁止通过从车载更新装置2发送的更新程序对程序进行更新的信号。在假定车载更新装置2处于被非法更换的异常状态时,假定从这种异常的车载更新装置2发送的更新程序也是非法程序,即,是具有对车辆C进行攻击的恶意的程序。因此,监视装置5的控制部50向搭载于车辆C的车载ECU3发送禁止以后利用从车载更新装置2发送的更新程序对存储在本ECU中的程序进行更新的信号。
接收到从监视装置5发送来的该信号的车载ECU3例如变更存储在自身ECU的存储部31中的标志信息,并转移到拒绝接收从车载更新装置2发送来的更新程序的模式。这样,对于车载ECU3,通过禁止利用从车载更新装置2发送的更新程序对程序进行更新的情况,能够防御车载ECU3免受来自被非法更换的异常的车载更新装置2的攻击。
监视装置5的控制部50执行S106或S1043的处理,并结束一系列的处理。监视装置5的控制部50也可以在执行S106的处理后,进行循环处理以再次执行S100的处理。
在本实施方式中,监视装置5的控制部50在车辆C处于启动状态(IG开关6接通)下,取得第一配置信息,但不限定于此。监视装置5的控制部50也可以判定是否接收到IG断开(IG开关6断开)的信号,并在接收到IG断开的信号的情况下,取得第一配置信息。或者,也可以在监视装置5的控制部50开始配置信息的取得到完成配置信息的取得的期间内IG开关6被断开的情况下,例如使用电源维持电路维持车辆C的电源,在由监视装置5的控制部50进行的第一配置信息的取得及向存储部51的存储完成后,使该车辆C的电源断开。
在本实施方式中,监视装置5的控制部50在接收到IG接通的信号的情况下,进行S103的处理、即取得第二配置信息,但不限定于此。监视装置5的控制部50也可以使用该控制部50所具有的计时功能,发挥用于在规定的定时取得该第二配置信息的调度功能。即,监视装置5的控制部50例如也可以每天在规定的时间取得第二配置信息并执行(开始)S103以后的处理,作为基于调度功能的调度设定。
监视装置5的控制部50在第一配置信息与第二配置信息不同的情况下,判定为车载更新装置2被更换并执行规定的处理,因此能够适当地应对在从取得第一配置信息的时间点到取得第二配置信息的时间点为止的期间内该车载更新装置2被更换的情况。车载更新装置2在进行更新程序的发送等更新处理时,使用从车载ECU3稳定地取得的配置信息作为成为比较对象的信息,从而不需要保持作为比较对象的专用信息,能够效率地进行比较。
监视装置5在将该配置信息作为比较对象时,将第一配置信息存储于存储部51,该第一配置信息相当于车载更新装置2在正常状态下所存储的配置信息的备份。如上所述,车载更新装置2所存储的配置信息(车辆配置信息)是对各个车载ECU3所存储的本ECU的各个配置信息进行集中所得的信息。因此,通过监视装置将更换前的车载更新装置2所存储的配置信息作为第一配置信息进行存储,从而即使在车载更新装置2被非法更换的情况下,也能够防止更换前的车载更新装置2所存储的配置信息丢失的情况。
监视装置5的控制部50在车辆C的启动期间(IG开关6接通)或IG开关6被断开时取得第一配置信息,在此以后在IG开关6被再次接通而车辆C启动时取得第二配置信息。因此,在从IG开关6被断开到接通、即在车辆C的停止期间更换了车载更新装置2的情况下,能够适当地对该车载更新装置2的更换进行判定。
(实施方式2)
图6是例示包含实施方式2所涉及的监视装置5的车载更新系统的结构的示意图。图7是例示监视装置5等的结构的框图。实施方式2的监视装置5与实施方式1的监视装置5的不同点在于,不经由车载更新装置2而直接与车外通信装置1连接。
实施方式2的监视装置5经由输入输出I/F与车外通信装置1直接连接。即,监视装置5的输入输出I/F与车外通信装置1的输入输出I/F例如通过串行电缆等线束以能够通信的方式连接。另外,监视装置5与车外通信装置1之间的连接方式并不限定于连接各个输入输出I/F的串行电缆等线束,例如也可以通过CAN总线或以太网电缆将由CAN或以太网构成的车内通信部彼此连接。
监视装置5的控制部50与实施方式1同样地,在所取得的第一配置信息与第二配置信息不相同的情况下,判定为车载更新装置2被更换。控制部50不经由车载更新装置2而直接与车外通信装置1进行通信,并经由该车外通信装置1向程序提供装置100发送车载更新装置2异常的意思及该判定结果。
判定为被更换的车载更新装置2是非法装置的可能性高。因此,监视装置5能够不经由担心是非法装置的车载更新装置2而直接与车外通信装置1连接,并经由该车外通信装置1与外部服务器进行通信。因此,能够将车载更新装置2被更换的情况可靠地发送到外部服务器。
应当认为本次公开的实施方式在所有方面均是例示,而不是限制性的。本发明的范围并不是上述的含义,而是由权利要求书表示,并且意在包括与权利要求书等同的含义和范围内的所有改变。
标号说明
C 车辆
100 程序提供装置(外部服务器)
101 存储部
1 车外通信装置
11 车外通信部
12 输入输出I/F
13 天线
2 车载更新装置
20 控制部
21 存储部
22 输入输出I/F
23 车内通信部
231 车内通信部
3 车载ECU
30 控制部
31 存储部
32 车内通信部
4 车内LAN
41 通信线
42 通信线
5 监视装置(HMI系统ECU)
50 控制部
51 存储部
52 输入输出I/F
53 车内通信部
6 IG 开关(点火开关)
7 显示装置(HMI装置)
Claims (9)
1.一种监视装置,搭载于车辆,与存储成为更新程序的应用对象的车载ECU的配置信息的车载更新装置以能够通信的方式连接,并监视该车载更新装置,其中,
所述监视装置具备控制部,该控制部从所述车载更新装置取得所述车载ECU的配置信息,
所述控制部在前次取得的第一配置信息与本次取得的第二配置信息不同的情况下,判定为所述车载更新装置被更换并执行规定的处理。
2.根据权利要求1所述的监视装置,其中,
所述控制部在所述车辆的点火开关被接通的情况下,取得所述第二配置信息,在所述被接通之前取得的所述第一配置信息与所述第二配置信息不同的情况下,判定为所述车载更新装置被更换,并执行规定的处理。
3.根据权利要求1或2所述的监视装置,其中,
所述控制部在不包含对所述车载更新装置取得的所述车载ECU的配置信息进行存储的时间点的期间,取得所述第一配置信息及所述第二配置信息。
4.根据权利要求1至3中任一项所述的监视装置,其中,
所述控制部执行的所述规定的处理是将与所述判定相关的信息发送到提供所述更新程序的外部服务器或设置于所述车辆的显示装置的处理。
5.根据权利要求4所述的监视装置,其中,
用于与提供所述更新程序的外部服务器进行通信的车外通信装置与本装置直接连接,
所述控制部执行的所述规定的处理是将与所述判定相关的信息不经由所述车载更新装置而经由所述车外通信装置发送到提供所述更新程序的外部服务器的处理。
6.根据权利要求1至5中任一项所述的监视装置,其中,
所述控制部执行的所述规定的处理是向所述车载ECU发送用于禁止通过所述更新程序对存储于所述车载ECU的程序进行更新的信号的处理。
7.根据权利要求1至6中任一项所述的监视装置,其中,
所述车载更新装置与本装置通过以太网电缆直接连接。
8.一种监视程序,使计算机执行如下处理:
从存储成为更新程序的应用对象的车载ECU的配置信息的车载更新装置取得所述车载ECU的配置信息;及
在前次取得的第一配置信息与本次取得的第二配置信息不同的情况下,判定为所述车载更新装置被更换并执行规定的处理。
9.一种监视方法,执行如下处理:
从存储成为更新程序的应用对象的车载ECU的配置信息的车载更新装置取得所述车载ECU的配置信息;及
在前次取得的第一配置信息与本次取得的第二配置信息不同的情况下,判定为所述车载更新装置被更换并执行规定的处理。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018222307 | 2018-11-28 | ||
| JP2018-222307 | 2018-11-28 | ||
| PCT/JP2019/046269 WO2020111090A1 (ja) | 2018-11-28 | 2019-11-27 | 監視装置、監視プログラム及び監視方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113168382A true CN113168382A (zh) | 2021-07-23 |
Family
ID=70853786
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980076013.8A Pending CN113168382A (zh) | 2018-11-28 | 2019-11-27 | 监视装置、监视程序及监视方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20220024471A1 (zh) |
| JP (1) | JP7160111B2 (zh) |
| CN (1) | CN113168382A (zh) |
| WO (1) | WO2020111090A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115086366A (zh) * | 2022-05-27 | 2022-09-20 | 中国第一汽车股份有限公司 | 车载设备的配制方法、装置、存储介质及一种车辆 |
| WO2023124416A1 (zh) * | 2021-12-30 | 2023-07-06 | 比亚迪股份有限公司 | 电动汽车监控方法、装置及可读存储介质 |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7204726B2 (ja) | 2020-12-22 | 2023-01-16 | 本田技研工業株式会社 | 制御システム、移動体、サーバ、制御方法、更新制御方法、及びプログラム |
| JP2022107913A (ja) * | 2021-01-12 | 2022-07-25 | 日立Astemo株式会社 | 車両制御装置、車両システム、更新システム |
| JP7194760B2 (ja) * | 2021-01-13 | 2022-12-22 | 本田技研工業株式会社 | 制御システム、移動体、制御方法及びプログラム |
| JP7406522B2 (ja) * | 2021-03-25 | 2023-12-27 | 本田技研工業株式会社 | 制御装置、及び、端末装置 |
| CN114475481A (zh) * | 2022-03-24 | 2022-05-13 | 四川野马汽车股份有限公司 | 一种微型电动汽车零部件配置信息的传输系统及方法 |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20060108159A (ko) * | 2005-04-12 | 2006-10-17 | 삼성전자주식회사 | 무선 단말기의 유휴 상태 시 멀티미디어 데이터의 전처리를수행하는 시스템 및 방법 |
| JP2007312193A (ja) * | 2006-05-19 | 2007-11-29 | Auto Network Gijutsu Kenkyusho:Kk | 異常監視ユニット |
| US20080186870A1 (en) * | 2007-02-01 | 2008-08-07 | Nicholas Lloyd Butts | Controller Area Network Condition Monitoring and Bus Health on In-Vehicle Communications Networks |
| US20090009307A1 (en) * | 2005-04-08 | 2009-01-08 | Nissan Motor Co., Ltd. | On-Vehicle Communication Apparatus and Method |
| JP2010146457A (ja) * | 2008-12-22 | 2010-07-01 | Kddi Corp | 情報処理システムおよびプログラム |
| JP2014039085A (ja) * | 2012-08-10 | 2014-02-27 | Auto Network Gijutsu Kenkyusho:Kk | 車載通信システム及び中継装置 |
| JP2016143963A (ja) * | 2015-01-30 | 2016-08-08 | 株式会社デンソー | 車載通信システム |
| JP2017097851A (ja) * | 2015-11-13 | 2017-06-01 | 株式会社東芝 | 中継装置、中継方法およびプログラム |
| WO2017149825A1 (ja) * | 2016-03-02 | 2017-09-08 | 住友電気工業株式会社 | プログラム更新システム、プログラム更新方法及びコンピュータプログラム |
| WO2018043107A1 (ja) * | 2016-08-30 | 2018-03-08 | 株式会社オートネットワーク技術研究所 | 車載更新装置及び車載更新システム |
| US20180126930A1 (en) * | 2016-11-04 | 2018-05-10 | Toyota Jidosha Kabushiki Kaisha | In-vehicle network system |
| JP2018072920A (ja) * | 2016-10-25 | 2018-05-10 | 株式会社オートネットワーク技術研究所 | 車載機器判定システム及び情報収集装置 |
| US20180203685A1 (en) * | 2015-07-23 | 2018-07-19 | Denso Corporation | Relay device, electronic control unit, and vehicle-mounted system |
| JP2018120503A (ja) * | 2017-01-27 | 2018-08-02 | 住友電気工業株式会社 | 車載通信システム、ゲートウェイ、スイッチ装置、通信制御方法および通信制御プログラム |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8583781B2 (en) * | 2009-01-28 | 2013-11-12 | Headwater Partners I Llc | Simplified service network architecture |
| JP2011154465A (ja) * | 2010-01-26 | 2011-08-11 | Nec Corp | 情報処理装置の管理装置、管理方法及び管理プログラム |
| US10157423B1 (en) * | 2014-11-13 | 2018-12-18 | State Farm Mutual Automobile Insurance Company | Autonomous vehicle operating style and mode monitoring |
| JP6723829B2 (ja) * | 2015-09-14 | 2020-07-15 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America | ゲートウェイ装置、ファームウェア更新方法及び制御プログラム |
| JP6694145B2 (ja) * | 2017-01-17 | 2020-05-13 | 富士通クライアントコンピューティング株式会社 | 情報処理装置および管理プログラム |
| US10402192B2 (en) * | 2017-07-25 | 2019-09-03 | Aurora Labs Ltd. | Constructing software delta updates for vehicle ECU software and abnormality detection based on toolchain |
| JP6943903B2 (ja) * | 2019-02-22 | 2021-10-06 | 本田技研工業株式会社 | ソフトウェア更新装置、車両及びソフトウェア更新方法 |
-
2019
- 2019-11-27 CN CN201980076013.8A patent/CN113168382A/zh active Pending
- 2019-11-27 JP JP2020557756A patent/JP7160111B2/ja active Active
- 2019-11-27 US US17/295,758 patent/US20220024471A1/en active Pending
- 2019-11-27 WO PCT/JP2019/046269 patent/WO2020111090A1/ja active Application Filing
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090009307A1 (en) * | 2005-04-08 | 2009-01-08 | Nissan Motor Co., Ltd. | On-Vehicle Communication Apparatus and Method |
| KR20060108159A (ko) * | 2005-04-12 | 2006-10-17 | 삼성전자주식회사 | 무선 단말기의 유휴 상태 시 멀티미디어 데이터의 전처리를수행하는 시스템 및 방법 |
| JP2007312193A (ja) * | 2006-05-19 | 2007-11-29 | Auto Network Gijutsu Kenkyusho:Kk | 異常監視ユニット |
| US20080186870A1 (en) * | 2007-02-01 | 2008-08-07 | Nicholas Lloyd Butts | Controller Area Network Condition Monitoring and Bus Health on In-Vehicle Communications Networks |
| JP2010146457A (ja) * | 2008-12-22 | 2010-07-01 | Kddi Corp | 情報処理システムおよびプログラム |
| JP2014039085A (ja) * | 2012-08-10 | 2014-02-27 | Auto Network Gijutsu Kenkyusho:Kk | 車載通信システム及び中継装置 |
| JP2016143963A (ja) * | 2015-01-30 | 2016-08-08 | 株式会社デンソー | 車載通信システム |
| US20180203685A1 (en) * | 2015-07-23 | 2018-07-19 | Denso Corporation | Relay device, electronic control unit, and vehicle-mounted system |
| JP2017097851A (ja) * | 2015-11-13 | 2017-06-01 | 株式会社東芝 | 中継装置、中継方法およびプログラム |
| WO2017149825A1 (ja) * | 2016-03-02 | 2017-09-08 | 住友電気工業株式会社 | プログラム更新システム、プログラム更新方法及びコンピュータプログラム |
| WO2018043107A1 (ja) * | 2016-08-30 | 2018-03-08 | 株式会社オートネットワーク技術研究所 | 車載更新装置及び車載更新システム |
| JP2018072920A (ja) * | 2016-10-25 | 2018-05-10 | 株式会社オートネットワーク技術研究所 | 車載機器判定システム及び情報収集装置 |
| US20180126930A1 (en) * | 2016-11-04 | 2018-05-10 | Toyota Jidosha Kabushiki Kaisha | In-vehicle network system |
| JP2018120503A (ja) * | 2017-01-27 | 2018-08-02 | 住友電気工業株式会社 | 車載通信システム、ゲートウェイ、スイッチ装置、通信制御方法および通信制御プログラム |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023124416A1 (zh) * | 2021-12-30 | 2023-07-06 | 比亚迪股份有限公司 | 电动汽车监控方法、装置及可读存储介质 |
| CN115086366A (zh) * | 2022-05-27 | 2022-09-20 | 中国第一汽车股份有限公司 | 车载设备的配制方法、装置、存储介质及一种车辆 |
| CN115086366B (zh) * | 2022-05-27 | 2024-01-05 | 中国第一汽车股份有限公司 | 车载设备的配置方法、装置、存储介质及一种车辆 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2020111090A1 (ja) | 2020-06-04 |
| US20220024471A1 (en) | 2022-01-27 |
| JPWO2020111090A1 (ja) | 2021-09-30 |
| JP7160111B2 (ja) | 2022-10-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113168382A (zh) | 监视装置、监视程序及监视方法 | |
| US11507365B2 (en) | On-board update device, update processing program, program update method, and on-board update system | |
| JP7124627B2 (ja) | 車載更新装置、更新処理プログラム及び、プログラムの更新方法 | |
| JP7111030B2 (ja) | 車載更新装置、更新処理プログラム及び、プログラムの更新方法 | |
| JP6780724B2 (ja) | 車載更新装置、更新処理プログラム及び、プログラムの更新方法 | |
| JP6958308B2 (ja) | 車載更新装置、プログラム及び、プログラム又はデータの更新方法 | |
| JP7192415B2 (ja) | プログラム更新システム及び更新処理プログラム | |
| WO2018088505A1 (ja) | 車載更新システム、車載更新装置及びゲートウェイ | |
| US20220206909A1 (en) | Substitution apparatus, substitution control program, and substitution method | |
| US20220413832A1 (en) | Onboard Update Apparatus and Update Processing Program | |
| JP7310570B2 (ja) | 車載更新装置、プログラム及び、プログラムの更新方法 | |
| JP2021015618A (ja) | 車載更新装置、更新処理プログラム及び、プログラムの更新方法 | |
| WO2021205825A1 (ja) | 車載装置、情報処理方法及びコンピュータプログラム | |
| US11958423B2 (en) | On-board communication device, program, and communication method | |
| WO2023171307A1 (ja) | 車載装置、プログラム、及びプログラムの更新方法 | |
| WO2023106072A1 (ja) | 車載装置、プログラム、プログラムの更新方法、及び車載更新システム | |
| JP2023057798A (ja) | 車載装置、プログラム及び、プログラムの更新方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |