JP2017215889A - Control device, program update method, and computer program - Google Patents

Control device, program update method, and computer program Download PDF

Info

Publication number
JP2017215889A
JP2017215889A JP2016110615A JP2016110615A JP2017215889A JP 2017215889 A JP2017215889 A JP 2017215889A JP 2016110615 A JP2016110615 A JP 2016110615A JP 2016110615 A JP2016110615 A JP 2016110615A JP 2017215889 A JP2017215889 A JP 2017215889A
Authority
JP
Japan
Prior art keywords
user
user information
vehicle
update
control program
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2016110615A
Other languages
Japanese (ja)
Inventor
竜介 関
Ryusuke Seki
竜介 関
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sumitomo Electric Industries Ltd
Original Assignee
Sumitomo Electric Industries Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sumitomo Electric Industries Ltd filed Critical Sumitomo Electric Industries Ltd
Priority to JP2016110615A priority Critical patent/JP2017215889A/en
Priority to PCT/JP2016/080047 priority patent/WO2017208474A1/en
Publication of JP2017215889A publication Critical patent/JP2017215889A/en
Pending legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R25/00Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
    • B60R25/20Means to switch the anti-theft system on or off
    • B60R25/24Means to switch the anti-theft system on or off using electronic identifiers containing a code not memorised by the user
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/445Program loading or initiating

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Mechanical Engineering (AREA)
  • Quality & Reliability (AREA)
  • Stored Programmes (AREA)

Abstract

PROBLEM TO BE SOLVED: To provide a control device which allows an administrator to appropriately manage updating of a control program for controlling a target device being run by an in-vehicle control device configured to control the target device mounted on a vehicle.SOLUTION: When updating a control program for controlling a target device being run by an ECU 30, an in-vehicle control device configured to control the target device mounted on a vehicle, the ECU that functions as a control device for controlling the update acquires (S6, S7) a result of determination on whether a user of the vehicle is an administrator or not, which is obtained by comparing first user information, representing information of the user of the vehicle, and second user information representing information of a user preregistered as the administrator for updating the control program. Processing associated with the control program update is controlled based on the determination result (S8).SELECTED DRAWING: Figure 5

Description

この発明は制御装置、プログラム更新方法、およびコンピュータプログラムに関し、特に、車載制御装置の制御プログラムの更新を制御する制御装置、プログラム更新方法、およびコンピュータプログラムに関する。   The present invention relates to a control device, a program update method, and a computer program, and more particularly to a control device, a program update method, and a computer program that control update of a control program of an in-vehicle control device.

近年、自動車の技術分野においては、車両の高機能化が進行しており、多種多様な車載機器が車両に搭載されている。従って、車両には、各車載機器を制御するための車載制御装置である、所謂ECU(Electronic Control Unit)が多数搭載されている。
ECUには、たとえば、アクセル、ブレーキ、ハンドルの操作に対してエンジンやブレーキ、EPS(Electric Power Steering)等の制御を行う走行系に関わるもの、乗員によるスイッチ操作に応じてヘッドライトの点灯/消灯やワイパーON/OFF、ドアロック/アンロック等、運転席近傍に配設されるメータ類の動作を行うものがある。 In recent years, in the technical field of automobiles, functions of vehicles have been advanced, and a wide variety of in-vehicle devices are mounted on vehicles. Therefore, a large number of so-called ECUs (Electronic Control Units), which are vehicle-mounted control devices for controlling each vehicle-mounted device, are mounted on the vehicle.
The ECU includes, for example, an engine, a brake, an EPS (Electric Power Steering) control for the operation of an accelerator, a brake, and a steering wheel, and a headlight is turned on / off according to a switch operation by an occupant. Some of them operate the meters arranged near the driver's seat, such as wiper ON / OFF and door lock / unlock.

一般的にECUは、マイクロコンピュータ等の演算処理装置によって構成されており、ROM(Read Only Memory)に記憶した制御プログラムを読み出して実行することにより、車載機器の制御が実現される。
ECUの制御プログラムは、車両の仕向け地やグレードなどに応じて異なることがあり、制御プログラムのバージョンアップに対応して、旧バージョンの制御プログラムを新バージョンの制御プログラムに書き換える必要がある。 In general, the ECU is configured by an arithmetic processing device such as a microcomputer, and the control of the in-vehicle device is realized by reading and executing a control program stored in a ROM (Read Only Memory).
The control program of the ECU may differ depending on the destination and grade of the vehicle, and it is necessary to rewrite the old version control program to the new version control program in response to the upgrade of the control program.

たとえば、特許文献1には、車載通信機などのゲートウェイが管理サーバから更新プログラムを受信し、受信した更新プログラム用いてECUが制御プログラムを旧バージョンから新バージョンに書き換えることにより、車両の各ECUに対するプログラム更新を無線通信によって遠隔で実行する技術が開示されている。   For example, in Patent Document 1, a gateway such as an in-vehicle communication device receives an update program from a management server, and an ECU rewrites a control program from an old version to a new version by using the received update program. A technique for performing program update remotely by wireless communication is disclosed.

特開2007−65856号公報JP 2007-65856 A

車両の用いられ方の一つに、複数ユーザで共有する用いられ方が挙げられる。たとえば、レンタカーとして不特定多数のユーザグループで共有されたり、家族等の特定のユーザグループで共有されたりする用いられ方が考えられる。   One of the ways in which vehicles are used is to share them among multiple users. For example, it may be used as a rental car that is shared by an unspecified number of user groups or shared by a specific user group such as a family.

たとえば車両の所有者などの当該車両の管理者が、当該車両のECUの制御プログラムの更新も管理したいというニーズがある。しかしながら、当該車両が複数ユーザによって共有されて用いられ、上記の管理者以外のユーザが使用している際にECUの制御プログラムが更新されると、管理者はECUの制御プログラムの更新を適切に管理できない場合が生じる。   For example, there is a need for an administrator of the vehicle, such as the owner of the vehicle, to manage the update of the control program of the ECU of the vehicle. However, when the vehicle is shared and used by a plurality of users and the ECU control program is updated when a user other than the administrator is using the vehicle, the administrator appropriately updates the ECU control program. There are cases where it cannot be managed.

本発明のある局面における目的は、管理者がプログラムの更新を適切に管理することができる制御装置、プログラム更新方法、およびコンピュータプログラムを提供することである。   An object of one aspect of the present invention is to provide a control device, a program update method, and a computer program that enable an administrator to appropriately manage program updates.

ある実施の形態に従うと、制御装置は、車両に搭載された対象機器を制御する車載制御装置の、対象機器の制御のための制御プログラムの更新を制御する制御装置であって、車両のユーザの情報である第1のユーザ情報と、制御プログラムの更新の管理者として予め登録されているユーザの情報である第2のユーザ情報とを照合することによって得られる、車両のユーザが管理者であるか否かの判定の結果を取得するユーザ認証部と、判定の結果に基づいて制御プログラムの更新に関する処理を制御する更新制御部と、を備える。   According to an embodiment, the control device is a control device that controls updating of a control program for controlling the target device of the in-vehicle control device that controls the target device mounted on the vehicle, The first user information that is information and the second user information that is user information registered in advance as an administrator for updating the control program is a manager of the vehicle user. A user authentication unit that acquires a result of the determination as to whether or not, and an update control unit that controls processing related to the update of the control program based on the result of the determination.

他の実施の形態に従うと、プログラム更新方法は、車両に搭載された対象機器を制御する車載制御装置の、対象機器の制御のための制御プログラムの更新方法であって、車両のユーザの情報である第1のユーザ情報と、制御プログラムの更新の管理者として予め登録されているユーザの情報である第2のユーザ情報とを照合することによって得られる、車両のユーザが管理者であるか否かの判定の結果を取得するステップと、判定の結果に基づいて制御プログラムの更新に関する処理を制御するステップと、を備える。   According to another embodiment, the program update method is an update method of a control program for controlling a target device of an in-vehicle control device that controls the target device mounted on a vehicle, and includes information on a user of the vehicle. Whether or not the user of the vehicle is an administrator obtained by collating certain first user information with second user information that is user information registered in advance as an administrator of control program update A step of obtaining a result of the determination, and a step of controlling processing related to the update of the control program based on the result of the determination.

他の実施の形態に従うと、コンピュータプログラムは、車両に搭載された対象機器を制御する車載制御装置の、対象機器の制御のための制御プログラムの更新を制御する制御装置としてコンピュータを機能させるためのコンピュータプログラムであって、コンピュータを、車両のユーザの情報である第1のユーザ情報と、制御プログラムの更新の管理者として予め登録されているユーザの情報である第2のユーザ情報とを照合することによって得られる、車両のユーザが管理者であるか否かの判定の結果を取得するユーザ認証部と、判定の結果に基づいて制御プログラムの更新に関する処理を制御する更新制御部と、として機能させる。   According to another embodiment, the computer program causes the computer to function as a control device that controls the update of the control program for controlling the target device of the in-vehicle control device that controls the target device mounted on the vehicle. It is a computer program, and the computer collates first user information, which is information on a vehicle user, and second user information, which is user information registered in advance as a control program update manager. And a user authentication unit that obtains a result of determination as to whether or not the user of the vehicle is an administrator, and an update control unit that controls processing related to control program update based on the result of the determination. Let

この発明によると、管理者が、車両に搭載された対象機器を制御する車載制御装置の、対象機器の制御のための制御プログラムの更新を適切に管理することができる。   According to the present invention, the administrator can appropriately manage the update of the control program for controlling the target device of the in-vehicle control device that controls the target device mounted on the vehicle.

本発明の実施形態に係るプログラム更新システムの全体構成図である。1 is an overall configuration diagram of a program update system according to an embodiment of the present invention. ゲートウェイの内部構成を示すブロック図である。It is a block diagram which shows the internal structure of a gateway. ECUの内部構成を示すブロック図である。It is a block diagram which shows the internal structure of ECU. 管理サーバの内部構成を示すブロック図である。It is a block diagram which shows the internal structure of a management server. ECUの制御プログラムの更新の一例を示すシーケンス図である。It is a sequence diagram which shows an example of the update of the control program of ECU. デバイスと通信可能なECUの機能構成の具体例を示したブロック図である。It is the block diagram which showed the specific example of the function structure of ECU which can communicate with a device. 図5のステップS6,7のユーザ認証の処理の流れの一例を表したフローチャートである。7 is a flowchart showing an example of a user authentication process flow in steps S6 and S7 of FIG.

[実施の形態の説明]
本実施の形態には、少なくとも以下のものが含まれる。
すなわち、本実施の形態に含まれる制御装置は、車両に搭載された対象機器を制御する車載制御装置の、対象機器の制御のための制御プログラムの更新を制御する制御装置であって、車両のユーザの情報である第1のユーザ情報と、制御プログラムの更新の管理者として予め登録されているユーザの情報である第2のユーザ情報とを照合することによって得られる、車両のユーザが前記管理者であるか否かの判定の結果を取得するユーザ認証部と、判定の結果に基づいて制御プログラムの更新に関する処理を制御する更新制御部と、を備える。
この構成によれば、車両のユーザが制御プログラムの更新の管理者である場合に車載制御装置の制御プログラムの更新に関する処理が行われ、車両のユーザが管理者でない場合には処理が行われないように制御することができる。そのため、制御プログラムの更新を管理者が適切に管理することができる。 [Description of Embodiment]
This embodiment includes at least the following.
That is, the control device included in the present embodiment is a control device that controls the update of a control program for controlling the target device of the in-vehicle control device that controls the target device mounted on the vehicle. The user of the vehicle, which is obtained by collating the first user information that is user information and the second user information that is user information registered in advance as an administrator for updating the control program, manages the management A user authentication unit that obtains a result of the determination as to whether or not the user is an authorized person, and an update control unit that controls processing related to the update of the control program based on the result of the determination.
According to this configuration, when the user of the vehicle is an administrator for updating the control program, the process related to the update of the control program of the in-vehicle control device is performed, and when the user of the vehicle is not the administrator, the process is not performed. Can be controlled. Therefore, the administrator can appropriately manage the update of the control program.

好ましくは、ユーザ認証部は、更新の際の車両のユーザの第1のユーザ情報を用いて行われた判定の結果を取得する。
これによって、制御プログラムの更新の管理の精度を向上させることができる。 Preferably, a user authentication part acquires the result of the determination performed using the 1st user information of the user of the vehicle in the case of an update.
As a result, it is possible to improve the accuracy of control program update management.

好ましくは、第1のユーザ情報は、車両のドアアンロック時、エンジンONの操作時、および電源ONの操作時のいずれかに車両から所定範囲にいるユーザのユーザ情報である。
このような構成にすることによって、判定に用いられるユーザ情報が制御プログラムの更新時の車両のユーザのユーザ情報である可能性を高めることができるために、制御プログラムの更新の管理の精度をより向上させることができる。 Preferably, the first user information is user information of a user who is within a predetermined range from the vehicle either when the vehicle door is unlocked, when the engine is turned on, or when the power is turned on.
With such a configuration, it is possible to increase the possibility that the user information used for the determination is the user information of the user of the vehicle at the time of updating the control program. Can be improved.

好ましくは、ユーザ認証部は、第1のユーザ情報を取得する取得部と、第1のユーザ情報を用いて判定を行う判定部と、を含む。
この構成によって、制御装置自身によって制御プログラムの更新の管理のための処理を行うことができる。 Preferably, the user authentication unit includes an acquisition unit that acquires first user information and a determination unit that performs determination using the first user information.
With this configuration, the control device itself can perform processing for managing control program updates.

好ましくは、取得部は、予め規定された通信範囲の通信機能によって車両のユーザの携帯端末装置と通信し、携帯端末装置から読み出される第1のユーザ情報を取得する。
この構成によって、判定に用いられるユーザ情報が制御プログラムの更新時の車両のユーザのユーザ情報である可能性を高めることができ、また、ユーザ操作を必要とせずにユーザ情報が取得される。そのため、ユーザの操作を不要として制御プログラムの更新の管理の精度をより向上させることができる。 Preferably, the acquisition unit communicates with the mobile terminal device of the user of the vehicle by a communication function within a predetermined communication range, and acquires first user information read from the mobile terminal device.
With this configuration, it is possible to increase the possibility that the user information used for the determination is the user information of the user of the vehicle when the control program is updated, and the user information is acquired without requiring a user operation. Therefore, it is possible to improve the accuracy of management of control program updates without requiring user operation.

好ましくは、取得部は、車両のユーザが第2のユーザ情報を入力可能な装置と通信し、装置にユーザによって入力された第2のユーザ情報を取得する。
この構成によって、判定に用いられるユーザ情報が制御プログラムの更新時の車両のユーザのユーザ情報である可能性を高めることができ、また、容易な構成によってユーザ情報が取得される。そのため、容易な構成で制御プログラムの更新の管理の精度をより向上させることができる。 Preferably, an acquisition part communicates with the apparatus in which the user of a vehicle can input 2nd user information, and acquires the 2nd user information input by the user at the apparatus.
With this configuration, it is possible to increase the possibility that the user information used for the determination is the user information of the user of the vehicle when the control program is updated, and the user information is acquired with an easy configuration. Therefore, it is possible to further improve the accuracy of control program update management with an easy configuration.

好ましくは、制御装置は第2のユーザ情報を記憶する記憶部をさらに備え、ユーザ認証部は、記憶部から第2のユーザ情報を読み出す読出部をさらに含み、判定部は、取得部によって取得された第1のユーザ情報と読出部によって読み出された第2のユーザ情報とを用いて判定を行う。
この構成によって、管理者とするユーザのユーザ情報(第2のユーザ情報)を記憶部に登録することで容易に制御プログラムの更新の管理を行うことができる。 Preferably, the control device further includes a storage unit that stores the second user information, the user authentication unit further includes a reading unit that reads the second user information from the storage unit, and the determination unit is acquired by the acquisition unit. The determination is performed using the first user information and the second user information read by the reading unit.
With this configuration, it is possible to easily manage the update of the control program by registering the user information (second user information) of the user who is an administrator in the storage unit.

好ましくは、ユーザ認証部は、他の装置の有する、第2のユーザ情報を記憶する記憶部から第2のユーザ情報を読み出す読出部をさらに含み、判定部は、取得部によって取得された第1のユーザ情報と読出部によって読み出された第2のユーザ情報とを用いて判定を行う。
この構成によって、管理者とするユーザのユーザ情報(第2のユーザ情報)を当該制御装置に登録する操作を行うことなく、容易に制御プログラムの更新の管理を行うことができる。 Preferably, the user authentication unit further includes a reading unit that reads the second user information from a storage unit that stores the second user information included in another device, and the determination unit is the first acquired by the acquisition unit. The user information and the second user information read by the reading unit are used for determination.
With this configuration, it is possible to easily manage control program updates without performing an operation of registering user information (second user information) of a user who is an administrator in the control device.

本実施の形態に含まれるプログラム更新方法は、車両に搭載された対象機器を制御する車載制御装置の、対象機器の制御のための制御プログラムの更新方法であって、車両のユーザの情報である第1のユーザ情報と、制御プログラムの更新の管理者として予め登録されているユーザの情報である第2のユーザ情報とを照合することによって得られる、車両のユーザが管理者であるか否かの判定の結果を取得するステップと、判定の結果に基づいて制御プログラムの更新に関する処理を制御するステップと、を備える。
この構成によれば、車両のユーザが制御プログラムの更新の管理者である場合に車載制御装置の制御プログラムの更新に関する処理が行われ、車両のユーザが管理者でない場合には処理が行われないように制御することができる。そのため、制御プログラムの更新を管理者が適切に管理することができる。 The program update method included in the present embodiment is a method for updating a control program for controlling a target device of an in-vehicle control device that controls the target device mounted on the vehicle, and is information on the user of the vehicle. Whether or not the user of the vehicle is an administrator, obtained by collating the first user information with the second user information, which is user information registered in advance as an administrator for updating the control program And a step of acquiring a result of the determination, and a step of controlling processing related to the update of the control program based on the result of the determination.
According to this configuration, when the user of the vehicle is an administrator for updating the control program, the process related to the update of the control program of the in-vehicle control device is performed, and when the user of the vehicle is not the administrator, the process is not performed. Can be controlled. Therefore, the administrator can appropriately manage the update of the control program.

本実施の形態に含まれるコンピュータプログラムは、車両に搭載された対象機器を制御する車載制御装置の、対象機器の制御のための制御プログラムの更新を制御する制御装置としてコンピュータを機能させるためのコンピュータプログラムであって、コンピュータを、車両のユーザの情報である第1のユーザ情報と、制御プログラムの更新の管理者として予め登録されているユーザの情報である第2のユーザ情報とを照合することによって得られる、車両のユーザが管理者であるか否かの判定の結果を取得するユーザ認証部と、判定の結果に基づいて制御プログラムの更新に関する処理を制御する更新制御部と、として機能させる。
この構成によれば、車両のユーザが制御プログラムの更新の管理者である場合に車載制御装置の制御プログラムの更新に関する処理が行われ、車両のユーザが管理者でない場合には処理が行われないように制御することができる。そのため、制御プログラムの更新を管理者が適切に管理することができる。 A computer program included in the present embodiment is a computer for causing a computer to function as a control device that controls update of a control program for controlling the target device of an in-vehicle control device that controls the target device mounted on the vehicle. The program is a computer for collating first user information that is vehicle user information and second user information that is user information registered in advance as an administrator of control program updates. And a user authentication unit that obtains a result of determination as to whether or not the user of the vehicle is an administrator, and an update control unit that controls processing related to the update of the control program based on the result of the determination. .
According to this configuration, when the user of the vehicle is an administrator for updating the control program, the process related to the update of the control program of the in-vehicle control device is performed, and when the user of the vehicle is not the administrator, the process is not performed. Can be controlled. Therefore, the administrator can appropriately manage the update of the control program.

[実施の形態の詳細]
以下に、図面を参照しつつ、好ましい実施の形態について説明する。以下の説明では、同一の部品および構成要素には同一の符号を付してある。それらの名称および機能も同じである。したがって、これらの説明は繰り返さない。 [Details of the embodiment]
Hereinafter, preferred embodiments will be described with reference to the drawings. In the following description, the same parts and components are denoted by the same reference numerals. Their names and functions are also the same. Therefore, these descriptions will not be repeated.

<第1の実施の形態>
〔システムの全体構成〕
図1は、本発明の実施形態に係るプログラム更新システムの全体構成図である。
図1に示すように、本実施形態のプログラム更新システムは、広域通信網2を介して通信可能な車両1、管理サーバ5およびDL(ダウンロード)サーバ6を含む。
管理サーバ5およびDLサーバ6は、たとえば、車両1のカーメーカーにより運営されており、予め会員登録されたユーザが所有する多数の車両1と通信可能である。 <First Embodiment>
[Overall system configuration]
FIG. 1 is an overall configuration diagram of a program update system according to an embodiment of the present invention.
As shown in FIG. 1, the program update system of this embodiment includes a vehicle 1, a management server 5, and a DL (download) server 6 that can communicate via a wide area communication network 2.
The management server 5 and the DL server 6 are operated by, for example, a car manufacturer of the vehicle 1 and can communicate with a large number of vehicles 1 owned by users who are registered as members in advance.

車両1には、ゲートウェイ10と、無線通信部15と、複数のECU30と、各ECU30によりそれぞれ制御される各種の車載機器(図示せず)とが搭載されている。
車両1には、共通の車内通信線にバス接続された複数のECU30による通信グループが存在し、ゲートウェイ10は、通信グループ間の通信を中継している。このため、ゲートウェイ10には、複数の車内通信線が接続されている。 The vehicle 1 is equipped with a gateway 10, a wireless communication unit 15, a plurality of ECUs 30, and various in-vehicle devices (not shown) controlled by the ECUs 30.
In the vehicle 1, there is a communication group including a plurality of ECUs 30 that are bus-connected to a common in-vehicle communication line, and the gateway 10 relays communication between the communication groups. Therefore, a plurality of in-vehicle communication lines are connected to the gateway 10.

複数のECU30のうちの少なくとも1台のECU30Aは、デバイス7と無線通信可能である。デバイス7は、一例として、ユーザの携帯端末装置である。この場合、デバイス7は、ユーザ情報を記憶し、ECU30Aに対する通信機能を有する装置である。デバイス7は、たとえば、ユーザが所有する携帯電話機、スマートフォン、タブレット型端末、免許証等のユーザカードなどである。デバイス7は、他の例として、ユーザ情報を入力可能な入力装置である。この場合、デバイス7は、ユーザ情報を入力するための機能(たとえばボタン、タッチパネル、マイク、カメラ、指紋等の読取装置、等)と、ECU30Aに対する通信機能とを有する装置である。デバイス7は、たとえば、カーナビゲーション装置、ユーザが所有するスマートフォンなどである。   At least one ECU 30 </ b> A among the plurality of ECUs 30 can wirelessly communicate with the device 7. The device 7 is a user's portable terminal device as an example. In this case, the device 7 is a device that stores user information and has a communication function with respect to the ECU 30A. The device 7 is, for example, a user phone such as a mobile phone, a smartphone, a tablet terminal, or a license owned by the user. As another example, the device 7 is an input device capable of inputting user information. In this case, the device 7 is a device having a function for inputting user information (for example, a reading device such as a button, a touch panel, a microphone, a camera, and a fingerprint) and a communication function for the ECU 30A. The device 7 is, for example, a car navigation device or a smartphone owned by the user.

無線通信部15は、携帯電話網などの広域通信網2に通信可能に接続され、車内通信線によりゲートウェイ10に接続されている。ゲートウェイ10は、広域通信網2を通じて管理サーバ5およびDLサーバ6などの車外装置から無線通信部15が受信した情報を、ECU30に送信する。
ゲートウェイ10は、ECU30から取得した情報を無線通信部15に送信し、無線通信部15は、その情報を管理サーバ5などの車外装置に送信する。 The wireless communication unit 15 is communicably connected to a wide area communication network 2 such as a mobile phone network, and is connected to the gateway 10 via an in-vehicle communication line. The gateway 10 transmits information received by the wireless communication unit 15 from the external devices such as the management server 5 and the DL server 6 to the ECU 30 through the wide area communication network 2.
The gateway 10 transmits information acquired from the ECU 30 to the wireless communication unit 15, and the wireless communication unit 15 transmits the information to an external device such as the management server 5.

車両1に搭載される無線通信部15としては、たとえば、ユーザが所有する携帯電話機、スマートフォン、タブレット型端末、ノートPC(Personal Computer)等の装置が考えられる。
図1では、ゲートウェイ10が無線通信部15を介して車外装置と通信を行う場合が例示されているが、ゲートウェイ10が無線通信の機能を有する場合には、ゲートウェイ10自身が管理サーバ5などの車外装置と無線通信を行う構成としてもよい。 Examples of the wireless communication unit 15 mounted on the vehicle 1 include devices such as mobile phones, smartphones, tablet terminals, and notebook PCs (Personal Computers) owned by users.
In FIG. 1, the case where the gateway 10 communicates with an external device via the wireless communication unit 15 is illustrated, but when the gateway 10 has a wireless communication function, the gateway 10 itself is a management server 5 or the like. It is good also as a structure which performs radio | wireless communication with an external device.

また、図1のプログラム更新システムでは、管理サーバ5とDLサーバ6とが別個のサーバで構成されているが、これらのサーバ5,6を1つのサーバ装置で構成してもよい。   In the program update system of FIG. 1, the management server 5 and the DL server 6 are configured as separate servers, but the servers 5 and 6 may be configured as a single server device.

〔ゲートウェイの内部構成〕
図2は、ゲートウェイ10の内部構成を示すブロック図である。
図2に示すように、ゲートウェイ10は、CPU(Central Processing Unit)11、RAM(Random Access Memory)12、記憶部13、および車内通信部14などを備える。ゲートウェイ10は、無線通信部15と車内通信線とを介して接続されているが、これらは一つの装置で構成してもよい。 [Internal configuration of gateway]
FIG. 2 is a block diagram showing the internal configuration of the gateway 10.
As shown in FIG. 2, the gateway 10 includes a CPU (Central Processing Unit) 11, a RAM (Random Access Memory) 12, a storage unit 13, an in-vehicle communication unit 14, and the like. The gateway 10 is connected via the wireless communication unit 15 and the in-vehicle communication line, but these may be configured by a single device.

CPU11は、記憶部13に記憶された一または複数のプログラムをRAM12に読み出して実行することにより、ゲートウェイ10を各種情報の中継装置として機能させる。
CPU11は、たとえば時分割で複数のプログラムを切り替えて実行することにより、複数のプログラムを並列的に実行可能である。RAM12は、SRAM(Static RAM)またはDRAM(Dynamic RAM)等のメモリ素子で構成され、CPU11が実行するプログラムおよび実行に必要なデータ等が一時的に記憶される。 The CPU 11 causes the gateway 10 to function as a relay device for various types of information by reading one or more programs stored in the storage unit 13 into the RAM 12 and executing them.
The CPU 11 can execute a plurality of programs in parallel, for example, by switching and executing a plurality of programs in a time division manner. The RAM 12 is composed of a memory element such as SRAM (Static RAM) or DRAM (Dynamic RAM), and temporarily stores a program executed by the CPU 11, data necessary for execution, and the like.

記憶部13は、フラッシュメモリ若しくはEEPROM(Electrically Erasable Programmable Read Only Memory)等の不揮発性のメモリ素子などにより構成されている。
記憶部13は、CPU11が実行するプログラムおよび実行に必要なデータ等を記憶する記憶領域を有する。記憶部13は、DLサーバ6から受信した各ECU30の更新プログラムなども記憶する。 The storage unit 13 includes a nonvolatile memory element such as a flash memory or an EEPROM (Electrically Erasable Programmable Read Only Memory).
The storage unit 13 has a storage area for storing programs executed by the CPU 11 and data necessary for execution. The storage unit 13 also stores an update program for each ECU 30 received from the DL server 6.

車内通信部14には、車両1に配設された車内通信線を介して複数のECU30が接続されている。車内通信部14は、たとえばCAN(Controller Area Network)、CANFD(CAN with Flexible Data Rate)、LIN(Local Interconnect Network)、Ethernet(登録商標)、またはMOST(Media Oriented Systems Transport:MOSTは登録商標)等の規格に応じて、ECU30との通信を行う。
車内通信部14は、CPU11から与えられた情報を対象のECU30へ送信するとともに、ECU30から受信した情報をCPU11に与える。車内通信部14は、上記の通信規格だけでなく、車載ネットワークに用いる他の通信規格によって通信してもよい。 A plurality of ECUs 30 are connected to the in-vehicle communication unit 14 via an in-vehicle communication line disposed in the vehicle 1. The in-vehicle communication unit 14 is, for example, CAN (Controller Area Network), CANFD (CAN with Flexible Data Rate), LIN (Local Interconnect Network), Ethernet (registered trademark), or MOST (Media Oriented Systems Transport: MOST is a registered trademark). Communication with the ECU 30 is performed according to the standard.
The in-vehicle communication unit 14 transmits the information given from the CPU 11 to the target ECU 30 and gives the information received from the ECU 30 to the CPU 11. The in-vehicle communication unit 14 may communicate according to other communication standards used for the in-vehicle network as well as the above communication standards.

無線通信部15は、アンテナと、アンテナからの無線信号の送受信を実行する通信回路とを含む無線通信機よりなる。無線通信部15は、携帯電話網等の広域通信網2に接続されることにより車外装置との通信が可能である。
無線通信部15は、図示しない基地局により形成される広域通信網2を介して、CPU11から与えられた情報を管理サーバ5等の車外装置に送信するとともに、車外装置から受信した情報をCPU11に与える。 The wireless communication unit 15 includes a wireless communication device including an antenna and a communication circuit that performs transmission / reception of a wireless signal from the antenna. The wireless communication unit 15 can communicate with an external device by being connected to a wide area communication network 2 such as a mobile phone network.
The wireless communication unit 15 transmits information given from the CPU 11 to an external device such as the management server 5 via the wide area communication network 2 formed by a base station (not shown), and receives information received from the external device to the CPU 11. give.

図2に示す無線通信部15に代えて、車両1内の中継装置として機能する有線通信部を採用してもよい。この有線通信部は、USB(Universal Serial Bus)またはRS232C等の規格に応じた通信ケーブルが接続されるコネクタを有し、通信ケーブルを介して接続された別の通信装置と有線通信を行う。
別の通信装置と管理サーバ5等の車外装置とが広域通信網2を通じた無線通信が可能である場合には、車外装置→別の通信装置→有線通信部→ゲートウェイ10の通信経路により、車外装置とゲートウェイ10とが通信可能になる。 Instead of the wireless communication unit 15 illustrated in FIG. 2, a wired communication unit that functions as a relay device in the vehicle 1 may be employed. The wired communication unit has a connector to which a communication cable conforming to a standard such as USB (Universal Serial Bus) or RS232C is connected, and performs wired communication with another communication device connected via the communication cable.
When another communication device and an outside device such as the management server 5 are capable of wireless communication through the wide area communication network 2, the outside of the vehicle depends on the communication path of the outside device → another communication device → the wired communication unit → the gateway 10. The apparatus and the gateway 10 can communicate with each other.

〔ECUの内部構成〕
図3は、ECU30のうちのデバイス7と通信可能なECU30Aの内部構成を示すブロック図である。
図3に示すように、ECU30Aは、CPU31、RAM32、記憶部33、第1通信部34、および第2通信部36などを備える。ECU30は、車両1に搭載された対象機器を個別に制御する車載制御装置である。ECU30の種類には、たとえば、エンジン制御ECU、ステアリング制御ECU、およびドアロック制御ECUなどがある。 [Internal configuration of ECU]
FIG. 3 is a block diagram showing an internal configuration of the ECU 30A that can communicate with the device 7 in the ECU 30. As shown in FIG.
As shown in FIG. 3, the ECU 30A includes a CPU 31, a RAM 32, a storage unit 33, a first communication unit 34, a second communication unit 36, and the like. The ECU 30 is an in-vehicle control device that individually controls target devices mounted on the vehicle 1. Examples of the ECU 30 include an engine control ECU, a steering control ECU, and a door lock control ECU.

CPU31は、記憶部33に予め記憶された一または複数のプログラムをRAM32に読み出して実行することにより、自身が担当する対象機器の動作を制御する。
RAM32は、SRAMまたはDRAM等のメモリ素子で構成され、CPU31が実行するプログラムおよび実行に必要なデータ等が一時的に記憶される。 The CPU 31 controls the operation of the target device that it is in charge of by reading one or more programs stored in advance in the storage unit 33 into the RAM 32 and executing them.
The RAM 32 is configured by a memory element such as SRAM or DRAM, and temporarily stores programs executed by the CPU 31, data necessary for execution, and the like.

記憶部33は、フラッシュメモリ若しくはEEPROM等の不揮発性のメモリ素子、或いは、ハードディスクなどの磁気記憶装置等により構成されている。
記憶部33が記憶する情報には、たとえば、車内の制御対象である対象機器を制御するための情報処理をCPU31に実行させるためのコンピュータプログラム(以下、「制御プログラム」という。)が含まれる。 The storage unit 33 is configured by a nonvolatile memory element such as a flash memory or an EEPROM, or a magnetic storage device such as a hard disk.
The information stored in the storage unit 33 includes, for example, a computer program (hereinafter referred to as “control program”) for causing the CPU 31 to perform information processing for controlling a target device that is a control target in the vehicle.

第1通信部34には、車両1に配設された車内通信線を介してゲートウェイ10が接続されている。第1通信部34は、たとえばCAN、Ethernet、またはMOST等の規格に応じて、ゲートウェイ10との通信を行う。
第1通信部34は、CPU31から与えられた情報をゲートウェイ10へ送信するとともに、ゲートウェイ10から受信した情報をCPU31に与える。第1通信部34は、上記の通信規格だけなく、車載ネットワークに用いる他の通信規格によって通信してもよい。 The gateway 10 is connected to the first communication unit 34 via an in-vehicle communication line disposed in the vehicle 1. The first communication unit 34 communicates with the gateway 10 according to a standard such as CAN, Ethernet, or MOST.
The first communication unit 34 transmits the information given from the CPU 31 to the gateway 10 and gives the information received from the gateway 10 to the CPU 31. The first communication unit 34 may communicate according to other communication standards used for the in-vehicle network, as well as the above communication standards.

なお、以上のCPU31〜第1通信部34は、デバイス7との通信機能を有さないECU30にも同様に含まれる。   The CPU 31 to the first communication unit 34 described above are similarly included in the ECU 30 that does not have a communication function with the device 7.

第2通信部36は、たとえばNFC(Near Field Communication)やBluetooth(登録商標)などの規格に応じて、デバイス7と近距離無線通信を行う。
第2通信部36は、近距離無線通信によってデバイス7から受信した情報をCPU31に与える。 The second communication unit 36 performs short-range wireless communication with the device 7 in accordance with a standard such as NFC (Near Field Communication) or Bluetooth (registered trademark).
The second communication unit 36 gives information received from the device 7 to the CPU 31 by short-range wireless communication.

ECU30のCPU31には、当該CPU31による制御モードを、「通常モード」または「リプログラミングモード」(以下、「リプロモード」ともいう。)のいずれかに切り替える起動部35が含まれる。
ここで、通常モードとは、ECU30のCPU31が、対象機器に対する本来的な制御(たとえば、燃料エンジンに対するエンジン制御や、ドアロックモータに対するドアロック制御など)を実行する制御モードのことである。 The CPU 31 of the ECU 30 includes an activation unit 35 that switches the control mode by the CPU 31 to either “normal mode” or “reprogramming mode” (hereinafter also referred to as “repro mode”).
Here, the normal mode is a control mode in which the CPU 31 of the ECU 30 executes an original control for the target device (for example, engine control for the fuel engine, door lock control for the door lock motor, etc.).

リプログラミングモードとは、対象機器の制御に用いる制御プログラムを更新する制御モードである。
すなわち、リプログラミングモードは、CPU31が、記憶部33のROM領域に対して、制御プログラムの消去や書き換えを行う制御モードのことである。CPU31は、この制御モードのときにのみ、記憶部33のROM領域に格納された制御プログラムを新バージョンに更新することが可能となる。 The reprogramming mode is a control mode in which a control program used for controlling the target device is updated.
That is, the reprogramming mode is a control mode in which the CPU 31 erases or rewrites the control program in the ROM area of the storage unit 33. Only in this control mode, the CPU 31 can update the control program stored in the ROM area of the storage unit 33 to a new version.

リプロモードにおいてCPU31が新バージョンの制御プログラムを記憶部33に書き込むと、起動部35は、ECU30をいったん再起動(リセット)させ、新バージョンの制御プログラムが書き込まれた記憶領域についてベリファイ処理を実行する。
起動部35は、上記のベリファイ処理の完了後に、CPU31を更新後の制御プログラムによって動作させる。 When the CPU 31 writes the new version of the control program in the storage unit 33 in the repro mode, the activation unit 35 once restarts (resets) the ECU 30 and executes the verify process on the storage area in which the new version of the control program is written. .
The activation unit 35 causes the CPU 31 to operate according to the updated control program after the above-described verification processing is completed.

〔管理サーバの内部構成〕
図4は、管理サーバ5の内部構成を示すブロック図である。
図4に示すように、管理サーバ5は、CPU51、ROM52、RAM53、記憶部54、および通信部55などを備える。 [Management Server internal configuration]
FIG. 4 is a block diagram showing the internal configuration of the management server 5.
As shown in FIG. 4, the management server 5 includes a CPU 51, a ROM 52, a RAM 53, a storage unit 54, a communication unit 55, and the like.

CPU51は、ROM52に予め記憶された一または複数のプログラムをRAM53に読み出して実行することにより、各ハードウェアの動作を制御し、管理サーバ5をゲートウェイ10と通信可能な車外装置として機能させる。
RAM53は、SRAMまたはDRAM等のメモリ素子で構成され、CPU51が実行するプログラムおよび実行に必要なデータ等が一時的に記憶される。 The CPU 51 reads out one or more programs stored in advance in the ROM 52 to the RAM 53 and executes them, thereby controlling the operation of each hardware and causing the management server 5 to function as an external device that can communicate with the gateway 10.
The RAM 53 is configured by a memory element such as SRAM or DRAM, and temporarily stores programs executed by the CPU 51 and data necessary for execution.

記憶部54は、フラッシュメモリ若しくはEEPROM等の不揮発性のメモリ素子、または、ハードディスクなどの磁気記憶装置等により構成されている。
通信部55は、所定の通信規格に則って通信処理を実行する通信装置よりなり、携帯電話網等の広域通信網2に接続されて当該通信処理を実行する。通信部55は、CPU51から与えられた情報を、広域通信網2を介して外部装置に送信するとともに、広域通信網2を介して受信した情報をCPU51に与える。 The storage unit 54 includes a nonvolatile memory element such as a flash memory or an EEPROM, or a magnetic storage device such as a hard disk.
The communication unit 55 includes a communication device that executes communication processing in accordance with a predetermined communication standard, and is connected to the wide area communication network 2 such as a mobile phone network to execute the communication processing. The communication unit 55 transmits the information given from the CPU 51 to the external device via the wide area communication network 2 and gives the information received via the wide area communication network 2 to the CPU 51.

〔制御プログラムの更新シーケンス〕
図5は、本実施形態のプログラム更新システムにおいて実行される、ECUに対する制御プログラムの更新の一例を示すシーケンス図である。一例として、管理サーバ5が、予め会員登録されたユーザが所有する車両1について、当該車両1のECUの制御プログラムを更新するタイミングを決定する。更新のタイミングは、たとえば、車両1のカーメーカーなどによって設定されてもよい。 [Control program update sequence]
FIG. 5 is a sequence diagram illustrating an example of control program update for the ECU, which is executed in the program update system of the present embodiment. As an example, the management server 5 determines the timing for updating the control program of the ECU of the vehicle 1 for the vehicle 1 owned by a user who is registered as a member in advance. The update timing may be set by, for example, the car manufacturer of the vehicle 1.

ECUの制御プログラムを更新するタイミングに達すると、管理サーバ5は、該当する車両1のゲートウェイ10宛てに、ECU30の更新プログラムの保存先URLとダウンロード要求とを送信する(ステップS1)。
これにより、ゲートウェイ10は、ECU30のための更新プログラムをDLサーバ6からダウンロードする(ステップS2)。ゲートウェイ10は、受信した更新プログラムを自装置の記憶部13に一時的に格納して保存する。 When the timing for updating the ECU control program is reached, the management server 5 transmits the update program storage URL of the ECU 30 and the download request to the gateway 10 of the vehicle 1 (step S1).
Thereby, the gateway 10 downloads the update program for the ECU 30 from the DL server 6 (step S2). The gateway 10 temporarily stores and stores the received update program in the storage unit 13 of its own device.

更新プログラムの保存が完了すると、ゲートウェイ10は、DLが正常に完了したことを管理サーバ5に送信する(ステップS3)。引き続き自動で更新を行う場合、DL完了通知を受信した管理サーバ5は、制御プログラムの更新要求をゲートウェイ10に送信する。管理サーバ5は、DL完了後、一時中断し外部から更新要求を受けてから、制御プログラムの更新要求をゲートウェイ10に送信してもよい(ステップS4)。
更新要求を受信したゲートウェイ10は、記憶部13に保存した更新プログラムを用いて制御プログラムを更新させるべく、該当するECU30に制御プログラムの更新要求を送信する(ステップS5)。 When the saving of the update program is completed, the gateway 10 transmits to the management server 5 that the DL has been normally completed (step S3). When the update is continuously performed automatically, the management server 5 that has received the DL completion notification transmits a control program update request to the gateway 10. After the DL is completed, the management server 5 may temporarily suspend and receive an update request from the outside, and then send a control program update request to the gateway 10 (step S4).
The gateway 10 that has received the update request transmits a control program update request to the corresponding ECU 30 in order to update the control program using the update program stored in the storage unit 13 (step S5).

制御プログラムの更新要求を受信すると、該当するECU30はユーザ認証を実行する(ステップS6,7)。ユーザ認証は、制御プログラムの更新処理実行時の車両1のユーザが、当該ECU30の制御プログラムの更新の権限を有する管理者である更新管理者として登録されているユーザであるか否かを判定する処理である。具体的には、該当するECU30がデバイス7と通信可能なECU30Aである場合、ECU30Aはデバイス7からユーザ情報を読み出して(ステップS6)、制御プログラムの更新管理者として予め登録されているユーザのユーザ情報と比較することによって、デバイス7のユーザ情報、すなわち車両1の現在のユーザが更新管理者であるか否かを判定する(ステップS7)。なお、車両1のユーザとは、車両1内にいるユーザを指す。また、車両1のユーザは、車両1から所定範囲内にいるユーザを含んでもよい。所定範囲は、たとえば、ECU30Aの第2通信部36がデバイス7と近距離無線通信が可能な範囲である。   When the control program update request is received, the corresponding ECU 30 executes user authentication (steps S6 and S7). In the user authentication, it is determined whether or not the user of the vehicle 1 at the time of executing the update process of the control program is a user registered as an update manager who is an administrator who has the authority to update the control program of the ECU 30. It is processing. Specifically, when the corresponding ECU 30 is an ECU 30A that can communicate with the device 7, the ECU 30A reads the user information from the device 7 (step S6), and the user's user registered in advance as the control program update manager By comparing with the information, it is determined whether or not the user information of the device 7, that is, the current user of the vehicle 1 is an update manager (step S7). Note that the user of the vehicle 1 refers to a user in the vehicle 1. The user of the vehicle 1 may include a user who is within a predetermined range from the vehicle 1. The predetermined range is, for example, a range in which the second communication unit 36 of the ECU 30A can perform near field communication with the device 7.

該当するECU30がデバイス7と通信可能なECU30Aではない場合、ステップS6で当該ECU30はデバイス7と通信可能なECU30Aを経由してデバイス7からユーザ情報を読み出してもよい。または、当該ECU30は、デバイス7と通信可能なECU30Aにユーザ認証を指示してECU30AにステップS6〜S7を実行させて、ECU30Aから認証結果を取得してもよい。すなわち、ステップS6〜S7のECU30におけるユーザ認証は、該当するECU30A自身でデバイス7からユーザ情報の取得またはECU30が他のECU30Aを介してデバイス7からユーザ情報の取得を行ってユーザ認証を行うもの、ならびに、ECU30が他のECU30Aで実行させたユーザ認証の結果を取得するものを含む。   If the corresponding ECU 30 is not an ECU 30A that can communicate with the device 7, the ECU 30 may read user information from the device 7 via the ECU 30A that can communicate with the device 7 in step S6. Alternatively, the ECU 30 may instruct user authentication to the ECU 30A that can communicate with the device 7, cause the ECU 30A to execute steps S6 to S7, and obtain an authentication result from the ECU 30A. That is, in the user authentication in the ECU 30 in steps S6 to S7, the corresponding ECU 30A itself acquires user information from the device 7 or the ECU 30 acquires user information from the device 7 through another ECU 30A to perform user authentication. And what includes the result of user authentication which ECU30 performed with other ECU30A is included.

ユーザ認証によって車両1のユーザが更新管理者であると判定されると、自身の制御モードを通常モードからリプロモードに切り替える。これにより、当該ECUは制御プログラムの更新処理が可能な状態となる。   If it is determined by user authentication that the user of the vehicle 1 is an update manager, the user's own control mode is switched from the normal mode to the repro mode. Thus, the ECU is in a state where the control program can be updated.

ECU30は、受信した更新プログラムを展開して旧バージョンの制御プログラムに適用することにより、制御プログラムを旧バージョンから新バージョンに書き換える(ステップS8)。書き換えが完了すると、ECU30は、書き換えの完了通知をゲートウェイ10に送信する(ステップS9)。ゲートウェイ10は、書き換えの完了通知を該当するECU30から受信すると、更新完了通知を管理サーバ5に送信する(ステップS10)。   The ECU 30 rewrites the received update program and applies it to the old version control program, thereby rewriting the control program from the old version to the new version (step S8). When the rewriting is completed, the ECU 30 transmits a rewriting completion notification to the gateway 10 (step S9). When the gateway 10 receives the rewriting completion notification from the corresponding ECU 30, the gateway 10 transmits the update completion notification to the management server 5 (step S10).

[ECUの機能構成]
図6は、デバイス7と通信可能なECU30Aの、制御プログラムの更新処理を行うための機能構成の具体例を示したブロック図である。図6の各機能は、ECU30AのCPU31が記憶部33に記憶されているプログラムをRAM32上に読み出して実行することによって、主にCPU31によって実現される。 [Functional structure of ECU]
FIG. 6 is a block diagram illustrating a specific example of a functional configuration for performing control program update processing of the ECU 30 </ b> A capable of communicating with the device 7. Each function of FIG. 6 is mainly realized by the CPU 31 when the CPU 31 of the ECU 30A reads out and executes the program stored in the storage unit 33 on the RAM 32.

詳しくは、図6を参照して、ECU30AのCPU31は、第2通信部36での近距離無線通信によってデバイス7からユーザ情報Y1(第1のユーザ情報)を取得する取得部311と、記憶部33に用意されている、ユーザ情報を記憶するデータベースDBから更新管理者のユーザ情報Y2(第2のユーザ情報)を読み出す読出部312と、ユーザ情報Y1とユーザ情報Y2とを照合することで、車両1のユーザが更新管理者であるか否かを判定する判定部313と、その判定結果に応じて制御プログラムの更新を制御する更新処理部(更新制御部)314と、を含む。取得部311と読出部312と判定部313とは、上記ステップS6,7で表されたユーザ認証を行うためのユーザ認証部であり、更新処理部は、制御プログラムの更新に関する処理を制御する更新制御部の一例である。   Specifically, referring to FIG. 6, the CPU 31 of the ECU 30 </ b> A acquires an acquisition unit 311 that acquires user information Y <b> 1 (first user information) from the device 7 by short-range wireless communication in the second communication unit 36, and a storage unit By comparing the reading unit 312 that reads the user information Y2 (second user information) of the update manager from the database DB that stores the user information prepared in 33, the user information Y1 and the user information Y2 are collated, The determination part 313 which determines whether the user of the vehicle 1 is an update manager, and the update process part (update control part) 314 which controls the update of a control program according to the determination result are included. The acquisition unit 311, the reading unit 312, and the determination unit 313 are user authentication units for performing user authentication represented in steps S <b> 6 and S <b> 7, and the update processing unit is an update that controls processing related to control program update. It is an example of a control part.

ユーザ情報Y1は、たとえば、デバイス7が携帯電話機、スマートフォン、タブレット型端末などの携帯端末装置である場合、それら装置に記憶されているユーザ名や電話番号やメールアドレスやそれらの組み合わせなどが挙げられる。デバイス7が免許証や携帯端末装置などである場合、それら装置に記憶されている、ユーザ名やユーザに付与されている識別子(番号等)やそれらの組み合わせなどが挙げられる。デバイス7がカーナビゲーション装置やスマートフォンなどの入力装置である場合、ユーザに付与されたIDやパスワードや顔画像や音声情報や指紋または虹彩情報やそれらの組み合わせなどが挙げられる。   For example, when the device 7 is a mobile terminal device such as a mobile phone, a smartphone, or a tablet terminal, the user information Y1 includes a user name, a telephone number, a mail address, or a combination thereof stored in the device. . When the device 7 is a license, a portable terminal device, or the like, a user name, an identifier (number or the like) given to the user, a combination thereof, or the like stored in the device can be used. When the device 7 is an input device such as a car navigation device or a smartphone, an ID, a password, a face image, voice information, fingerprint or iris information, a combination thereof, or the like given to the user can be used.

データベースDBは、自装置(ECU30A)の記憶部33に用意されていてもよいし、他の複数のECU30のいずれかの記憶部33に用意されていてもよい。たとえば、他のECU30としては、たとえばドアロック/アンロック等を行うECU30であってよく、この場合、ドアロック/アンロック等の際のユーザ認証用のユーザ情報と兼用されてもよい。このようにすることで、ユーザ情報を記憶するための記憶容量を抑えることができる。ECU30AまたはECU30のデータベースDBに記憶されている更新管理者のユーザ情報は、車両1のユーザの操作に従ってデータベースDBに登録されてもよい。このようにすることで、ユーザは任意に更新管理者を登録することができ、ユーザの利便性を向上させることができる。または、更新管理者のユーザ情報は管理サーバ5からの登録要求に応じて自動的にデータベースDBに登録されてもよい。このようにすることで更新管理者の登録を容易にすることができる。   The database DB may be prepared in the storage unit 33 of its own device (ECU 30A), or may be prepared in any of the storage units 33 of the plurality of ECUs 30. For example, the other ECU 30 may be, for example, an ECU 30 that performs door locking / unlocking. In this case, the ECU 30 may also be used as user information for user authentication at the time of door locking / unlocking. By doing in this way, the memory capacity for memorizing user information can be suppressed. The update manager user information stored in the ECU 30A or the database DB of the ECU 30 may be registered in the database DB according to the operation of the user of the vehicle 1. By doing in this way, the user can register an update manager arbitrarily and can improve a user's convenience. Alternatively, the user information of the update manager may be automatically registered in the database DB in response to a registration request from the management server 5. In this way, registration of the update manager can be facilitated.

また、データベースDBはECU30ごとに用意されて、当該ECU30の制御プログラムの更新の際のユーザ認証には自装置のデータベースDBに登録されているユーザ情報Y2が用いられてもよい。このようにすることで、ECU30ごとに異なる更新管理者を設定することができ、より細やかな管理を可能にする。   Further, a database DB may be prepared for each ECU 30, and user information Y2 registered in the database DB of the own apparatus may be used for user authentication when updating the control program of the ECU 30. By doing in this way, a different update manager can be set for every ECU 30, and finer management is enabled.

また、データベースDBは、管理サーバ5の記憶部54やDLサーバ6に用意されていてもよい。管理サーバ5やDLサーバ6に記憶されている更新管理者のユーザ情報は、たとえば、ユーザが会員登録するなどの際に併せて登録される。このようにすることで、更新管理者の登録を容易にすることができる。   The database DB may be prepared in the storage unit 54 or the DL server 6 of the management server 5. The user information of the update manager stored in the management server 5 or the DL server 6 is registered together when the user registers as a member, for example. In this way, registration of the update manager can be facilitated.

データベースDBには、更新管理者として複数のユーザのユーザ情報Y2が記憶されていてもよい。データベースDBに複数の更新管理者のユーザ情報が登録されている場合、判定部313は、デバイス7から取得されたユーザ情報Y1が複数のユーザ情報Y2のうちの少なくとも1つと一致することで車両1のユーザが更新管理者であると判定してもよい。または、判定部313は、取得部311から複数のユーザ情報Y1を受け取り、その中に複数のユーザ情報Y2がすべて含まれていた場合に車両1のユーザが更新管理者であると判定してもよい。このようにすることで、制御プログラムの更新の管理をより厳格にしたり、柔軟にしたりすることができる。   The database DB may store user information Y2 of a plurality of users as update managers. When user information of a plurality of update managers is registered in the database DB, the determination unit 313 determines that the user information Y1 acquired from the device 7 matches at least one of the plurality of user information Y2, so that the vehicle 1 It may be determined that the user is an update manager. Alternatively, the determination unit 313 receives a plurality of pieces of user information Y1 from the acquisition unit 311 and determines that the user of the vehicle 1 is an update manager when all the pieces of user information Y2 are included therein. Good. By doing in this way, management of update of the control program can be made more strict or flexible.

データベースDBに更新管理者として複数のユーザのユーザ情報を記憶可能な構成の場合、さらに、更新管理者ごとに更新を許可可能なレベルが設定され、ユーザ認証には制御プログラムの更新のレベルに応じたユーザ情報が用いられてもよい。たとえば、同じECUの制御プログラムであっても、管理者1に対してはすべての更新を許可し、管理者2に対しては一部の更新を許可する、などのレベルが挙げられる。このようにすることで、より細やかな管理を可能にする。   In a configuration in which user information of a plurality of users can be stored as an update manager in the database DB, a level at which updating can be permitted is set for each update manager, and user authentication depends on the level of control program update User information may also be used. For example, even if it is the control program of the same ECU, all the updates are permitted for the manager 1, and some updates are permitted for the manager 2. In this way, more detailed management is possible.

なお、デバイス7との通信機能を有さないECU30の場合もCPU31は図6の各機能を有していてもよい。この場合、取得部311は、デバイス7と通信可能なECU30Aと通信し、ECU30Aがデバイス7から取得したユーザ情報Y1を受信する。   Even in the case of the ECU 30 that does not have a communication function with the device 7, the CPU 31 may have the functions shown in FIG. In this case, the acquisition unit 311 communicates with the ECU 30A that can communicate with the device 7, and receives the user information Y1 acquired from the device 7 by the ECU 30A.

[ユーザ認証]
図7は、上記ステップS6,7のユーザ認証の処理の流れの一例を表したフローチャートである。図7のフローチャートに表された処理は、一例として、ECU30AのCPU31が記憶部33に記憶されているプログラムをRAM32上に読み出して実行し、図6の各機能を発揮することによって実現される。 [User Authentication]
FIG. 7 is a flowchart showing an example of the flow of the user authentication process in steps S6 and S7. The process shown in the flowchart of FIG. 7 is realized, for example, by the CPU 31 of the ECU 30A reading out and executing the program stored in the storage unit 33 on the RAM 32 and exhibiting the functions of FIG.

ユーザ認証は、予め規定されたタイミングでECU30Aにおいて行われる。予め規定されたタイミングは、たとえば、図5に表されたようにECU30Aがゲートウェイ10から制御プログラムの更新要求(ステップS5)を受けたタイミングである。またたとえば、ECU30Aがゲートウェイ10から更新要求と共に更新プログラムを受け取り、記憶部33に記憶したタイミングにユーザ認証が行われてもよい。またたとえば、ゲートウェイ10から以前に受け取り、制御プログラムの更新を未だ行っていない更新プログラムが記憶部33に記憶されている場合に、予め規定された所定の時間間隔でユーザ認証が行われてもよい。つまり、一例として、ユーザ認証は制御プログラムを更新する直前に行われる。この場合、ユーザ情報Y1は制御プログラムの更新時の車両1のユーザのものとなり、管理精度を向上させることができる。   User authentication is performed in the ECU 30A at a predetermined timing. The predefined timing is, for example, the timing when the ECU 30A receives a control program update request (step S5) from the gateway 10 as shown in FIG. Further, for example, the user authentication may be performed at a timing when the ECU 30 </ b> A receives the update program together with the update request from the gateway 10 and is stored in the storage unit 33. Further, for example, when an update program that has been received from the gateway 10 and has not been updated yet is stored in the storage unit 33, user authentication may be performed at a predetermined time interval. . That is, as an example, user authentication is performed immediately before the control program is updated. In this case, the user information Y1 is that of the user of the vehicle 1 when the control program is updated, and the management accuracy can be improved.

またたとえば、更新要求または更新プログラムの有無に関わらず、車両1のドアアンロックのタイミングや、電源ON操作を受け付けたタイミングや、エンジンON操作を受け付けたタイミングなどの、予め規定された、ユーザが車両1の運転を開始する、または内部にいるタイミングにユーザ認証が行われてもよい。つまり、一例として、ユーザ認証は制御プログラムを更新するより以前に行われて、制御プログラムの更新の際にユーザ認証の結果が用いられる。同様に、デバイス7からのユーザ情報Y1の取得を上記の予め規定されたタイミングに行っておき、制御プログラムを更新する直前に記憶しているユーザ情報Y1を用いてユーザ認証を行ってもよい。この場合、管理精度を確保しつつ、制御プログラムの更新の直前にユーザ認証を開始するよりもすばやく認証を行うことができ、制御プログラムの更新に要する時間を短縮することができる。
なお、この場合のユーザ認証の結果は、ユーザが車両1の運転を終了する、または外部に出るタイミングにメモリから破棄される。破棄のタイミングは、たとえば、ドアロックのタイミングや、電源OFF操作を受け付けたタイミングや、エンジンOFF操作を受け付けたタイミングなどである。または、ユーザが車両1の運転を開始する、または内部にいるタイミングごとにユーザ認証が行われて、メモリに記憶されているユーザ認証が上書きされてもよい。このようにすることで、制御プログラムの更新の際の車両1のユーザのユーザ認証の結果を、制御プログラムの更新の判断に用いることができて、管理精度を向上させることができる。 Further, for example, regardless of whether there is an update request or an update program, a user who has been defined in advance, such as a door unlock timing of the vehicle 1, a timing of accepting a power ON operation, a timing of accepting an engine ON operation, User authentication may be performed at the timing when the driving of the vehicle 1 is started or inside. That is, as an example, the user authentication is performed before the control program is updated, and the result of the user authentication is used when the control program is updated. Similarly, acquisition of user information Y1 from the device 7 may be performed at the above-specified timing, and user authentication may be performed using the user information Y1 stored immediately before the control program is updated. In this case, it is possible to perform authentication faster than starting user authentication immediately before updating the control program while ensuring management accuracy, and to shorten the time required for updating the control program.
Note that the result of user authentication in this case is discarded from the memory when the user finishes driving the vehicle 1 or goes outside. The timing of discarding is, for example, a door lock timing, a timing when a power-off operation is accepted, a timing when an engine-off operation is accepted, or the like. Alternatively, user authentication may be performed at every timing when the user starts driving the vehicle 1 or is inside, and the user authentication stored in the memory may be overwritten. By doing in this way, the result of the user authentication of the user of the vehicle 1 at the time of the update of the control program can be used for the determination of the update of the control program, and the management accuracy can be improved.

CPU31は、上記のタイミングに達すると図7の処理を開始する。図7を参照して、ユーザ認証を開始すると、CPU31は、デバイス7と通信することによってユーザ情報Y1を取得する(ステップS101)。デバイス7がカーナビゲーション装置やスマートフォンなどのユーザ情報を入力するための機能とECU30Aに対する通信機能とを有する装置であり、ユーザ情報Y1が上記のようにユーザに付与されたIDやパスワードやそれらの組み合わせなどの場合、ステップS101でCPU31は、デバイス7にユーザ情報Y1の入力を受け付ける画面を表示するための情報や入力を促すメッセージなどを送信することで、ユーザからのデバイス7に対するユーザ情報Y1の入力を促してもよい。   The CPU 31 starts the process of FIG. 7 when the above timing is reached. Referring to FIG. 7, when user authentication is started, CPU 31 acquires user information Y1 by communicating with device 7 (step S101). The device 7 is a device having a function for inputting user information, such as a car navigation device and a smartphone, and a communication function for the ECU 30A, and the user information Y1 is an ID, a password assigned to the user as described above, or a combination thereof. In step S101, the CPU 31 transmits information for displaying a screen for accepting input of the user information Y1 to the device 7, a message for prompting input, and the like, so that the user inputs the user information Y1 to the device 7 in step S101. You may be prompted.

また、CPU31は、記憶部33のデータベースDB、または管理サーバ5などの他の装置の有するデータベースDBから、更新管理者のユーザ情報Y2を読み出す(ステップS103)。そして、CPU31は、これらユーザ情報Y1,Y2を照合する(ステップS105)。   Further, the CPU 31 reads the update manager user information Y2 from the database DB of the storage unit 33 or the database DB of another device such as the management server 5 (step S103). And CPU31 collates these user information Y1, Y2 (step S105).

照合の結果がOKである場合、つまり、車両1のユーザが更新管理者であると判定された場合(ステップS105で「OK」)、CPU31は、受信した更新プログラムを用いて制御プログラムを更新する(ステップS107)。   When the collation result is OK, that is, when it is determined that the user of the vehicle 1 is an update manager (“OK” in step S105), the CPU 31 updates the control program using the received update program. (Step S107).

照合の結果がNGである場合、つまり、車両1のユーザが更新管理者であると判定されなかった場合には(ステップS105で「NG」)、ステップS107をスキップする。つまり、この場合には制御プログラムの更新は行われない。また、この場合には、上記のような画面表示もなされない。   If the result of the collation is NG, that is, if it is not determined that the user of the vehicle 1 is an update manager (“NG” in step S105), step S107 is skipped. That is, in this case, the control program is not updated. In this case, the screen display as described above is not performed.

なお、ユーザ認証の結果は、制御プログラムの更新処理を含む、制御プログラムの更新に関するあらゆる処理の実行の可否に用いられてもよい。たとえば、制御プログラムの更新に先立って図示しない出力装置(たとえばナビゲーション装置やデバイス7のディスプレイ、スピーカ等)に更新の可否を問い合わせる画面表示やメッセージ出力などを行い、ユーザによる認証操作を受け付けてから制御プログラムの更新が開始される場合、出力を行うか否かがユーザ認証の結果に応じて決定されてもよい。   Note that the user authentication result may be used to determine whether or not to execute any process related to control program update, including control program update processing. For example, prior to the update of the control program, a screen display or message output for inquiring whether the update is possible is performed on an output device (not shown) such as a navigation device or the display of the device 7, a speaker, etc. When updating of the program is started, whether to perform output may be determined according to the result of user authentication.

[第1の実施の形態の効果]
第1の実施の形態にかかるプログラム更新システムによれば、ECUの制御プログラムの更新に先立って車両のユーザのユーザ認証が行われて、更新管理者である場合に制御プログラムが更新される。更新管理者でないユーザが車両のユーザである場合には制御プログラムの更新が行われない。つまり、更新管理者が把握せずに制御プログラムが更新されてしまう事態を回避できる。このため、制御プログラムの更新を更新管理者が管理することができる。 [Effect of the first embodiment]
According to the program update system according to the first embodiment, the user authentication of the vehicle user is performed prior to the update of the control program of the ECU, and the control program is updated when the user is an update manager. When the user who is not the update manager is a vehicle user, the control program is not updated. That is, it is possible to avoid a situation in which the control program is updated without the update manager grasping it. Therefore, the update manager can manage the update of the control program.

さらに、ユーザの承認を得てから制御プログラムの更新が行われる場合には、更新管理者以外のユーザによっては制御プログラムの更新が行われないために、更新管理者以外のユーザが車両を使用している場合には制御プログラムの更新の承認を得るための通知も行われない。このため、制御プログラムの更新を更新管理者が適切に管理することができる。   Further, when the control program is updated after obtaining the user's approval, the control program is not updated by a user other than the update manager, so that a user other than the update manager uses the vehicle. In such a case, the notification for obtaining the control program update approval is not performed. For this reason, the update manager can appropriately manage the update of the control program.

<第2の実施の形態>
第1の実施の形態にかかるプログラム更新システムでは、制御プログラムを更新するECU30においてユーザ認証が行われる。しかしながら、ユーザ認証は、ECU30での制御プログラムの更新を制御可能ないずれの装置(制御装置)で行われてもよい。たとえば、制御装置は、たとえば、制御プログラムを更新する第1のECUとは異なる第2のECUであってもよい。 <Second Embodiment>
In the program update system according to the first embodiment, user authentication is performed in the ECU 30 that updates the control program. However, the user authentication may be performed by any device (control device) that can control the update of the control program in the ECU 30. For example, the control device may be, for example, a second ECU different from the first ECU that updates the control program.

上記のように、第2のECUもまた、図6に表された各機能を有する。第2のECUは、ユーザが車両1に乗車してから第1のECUが制御プログラムを更新するまでの間に(たとえば上記のタイミングで)図7のユーザ認証を実行し、認証結果を第1のECUに渡す、または、認証結果を記憶部33に記憶しておいて第1のECUからの要求に応じて渡す。   As described above, the second ECU also has the functions shown in FIG. The second ECU executes the user authentication in FIG. 7 after the user gets on the vehicle 1 until the first ECU updates the control program (for example, at the above timing), and the authentication result is the first authentication result. Or the authentication result is stored in the storage unit 33 and passed in response to a request from the first ECU.

第2のECU30は、たとえば、ドアロック/アンロックを行うECU30、エンジンON/OFFを行うECU30などであってよい。この場合、ドアロック/アンロックの際のユーザ認証や、エンジンON/OFFの際のユーザ認証の認証結果を第1のECU30に渡してもよい。   The second ECU 30 may be, for example, an ECU 30 that performs door locking / unlocking, an ECU 30 that performs engine ON / OFF, and the like. In this case, the authentication result of user authentication at the time of door lock / unlock and user authentication at the time of engine ON / OFF may be passed to the first ECU 30.

<第3の実施の形態>
ユーザ認証を行う制御装置は、ECU30以外の装置であってもよい。一例として、ECU30での制御プログラムの更新に関する処理を制御する制御装置であるゲートウェイ10においてユーザ認証が行なわれてもよい。 <Third Embodiment>
The control device that performs user authentication may be a device other than the ECU 30. As an example, user authentication may be performed in the gateway 10 that is a control device that controls processing related to the update of the control program in the ECU 30.

ゲートウェイ10がユーザ認証を行なう場合、ゲートウェイ10のCPU11が記憶部13に記憶されているプログラムをRAM12上に読み出して実行することによって、図6の各機能はCPU11によって実現される。この場合、取得部311は、制御プログラムを更新するECU30またはその他のECU30Aと通信することで、当該ECU30がデバイス7から取得したユーザ情報Y1を取得する。更新管理者のユーザ情報を記憶するデータベースDBは記憶部13に用意されていて、読出部312が記憶部13からユーザ情報Y2を読み出してもよい。または、読出部312は、制御プログラムを更新するECU30またはその他のECU30Aもしくは管理サーバ5と通信することで、これら装置に記憶されているユーザ情報Y2を読み出してもよい。   When the gateway 10 performs user authentication, the CPU 11 of the gateway 10 reads out the program stored in the storage unit 13 onto the RAM 12 and executes it, whereby each function of FIG. In this case, the acquisition unit 311 acquires user information Y1 acquired from the device 7 by the ECU 30 by communicating with the ECU 30 or other ECU 30A that updates the control program. A database DB for storing user information of the update manager may be prepared in the storage unit 13, and the reading unit 312 may read the user information Y <b> 2 from the storage unit 13. Or the reading part 312 may read the user information Y2 memorize | stored in these apparatuses by communicating with ECU30 which updates the control program, other ECU30A, or the management server 5. FIG.

ゲートウェイ10は、ECU30に更新プログラムを渡して制御プログラムの更新を要求する(ステップS5)前にユーザ認証を行う。たとえば、ゲートウェイ10は、管理サーバ5から更新プログラムのダウンロードが要求された際(ステップS1)にユーザ認証を行ってもよいし、車両1のドアロック/アンロックのタイミングや電源ON操作を受け付けたタイミングなどのユーザが車両1の運転を開始する、または内部にいるタイミングにユーザ認証を行ってもよい。なお、ゲートウェイ10は、ユーザ認証より前に更新プログラムをECU30に渡し、ユーザ認証に成功した場合に当該ECU30に制御プログラムの更新を要求してもよい。   The gateway 10 passes the update program to the ECU 30 and requests the control program to be updated (step S5), and performs user authentication. For example, the gateway 10 may perform user authentication when a download of an update program is requested from the management server 5 (step S1), or receives a door lock / unlock timing of the vehicle 1 or a power ON operation. User authentication may be performed at a timing when the user starts driving the vehicle 1 such as timing or is inside. The gateway 10 may pass the update program to the ECU 30 before the user authentication, and may request the ECU 30 to update the control program when the user authentication is successful.

<第4の実施の形態>
ユーザ認証を行う制御装置は、車外の制御装置であってもよい。図5に示されたように、管理サーバ5はECU30での制御プログラムの更新をゲートウェイ10に要求するため(ステップS4)、管理サーバ5もECU30での制御プログラムの更新に関する処理を制御する制御装置であると言える。従って、管理サーバ5においてユーザ認証が行なわれてもよい。 <Fourth embodiment>
The control device that performs user authentication may be a control device outside the vehicle. As shown in FIG. 5, since the management server 5 requests the gateway 10 to update the control program in the ECU 30 (step S <b> 4), the management server 5 also controls processing related to the control program update in the ECU 30. It can be said that. Therefore, user authentication may be performed in the management server 5.

管理サーバ5がユーザ認証を行なう場合、管理サーバ5のCPU51がROM52に記憶されているプログラムをRAM53上に読み出して実行することによって、図6の各機能はCPU51によって実現される。この場合、取得部311は、制御プログラムを更新するECU30またはその他のECU30Aと通信することで、当該ECU30がデバイス7から取得したユーザ情報Y1を取得する。更新管理者のユーザ情報を記憶するデータベースDBは記憶部54に用意されていて、読出部312が記憶部54からユーザ情報Y2を読み出してもよい。または、読出部312は、制御プログラムを更新するECU30やゲートウェイ10と通信することで、これら装置に記憶されているユーザ情報Y2を読み出してもよい。   When the management server 5 performs user authentication, the CPU 51 of the management server 5 reads out the program stored in the ROM 52 onto the RAM 53 and executes it, whereby the functions shown in FIG. In this case, the acquisition unit 311 acquires user information Y1 acquired from the device 7 by the ECU 30 by communicating with the ECU 30 or other ECU 30A that updates the control program. The database DB for storing the user information of the update manager may be prepared in the storage unit 54, and the reading unit 312 may read the user information Y2 from the storage unit 54. Or the reading part 312 may read the user information Y2 memorize | stored in these apparatuses by communicating with ECU30 and the gateway 10 which update a control program.

管理サーバ5は、制御プログラムの更新をゲートウェイ10に要求する(ステップS4)前にユーザ認証を行う。たとえば、管理サーバ5は、ゲートウェイ10に更新プログラムのダウンロードを要求する(ステップS1)前にユーザ認証を行ってもよいし、ECU30の制御プログラムの更新をゲートウェイ10に要求する(ステップS4)前にユーザ認証を行ってもよい。また、管理サーバ5とDLサーバ6とが同一のサーバ装置で構成される場合には、これらサーバがゲートウェイ10に更新プログラムを送信する(ステップS2)前にユーザ認証を行ってもよい。   The management server 5 performs user authentication before requesting the gateway 10 to update the control program (step S4). For example, the management server 5 may perform user authentication before requesting the gateway 10 to download an update program (step S1), or before requesting the gateway 10 to update the control program of the ECU 30 (step S4). User authentication may be performed. When the management server 5 and the DL server 6 are configured by the same server device, these servers may perform user authentication before transmitting the update program to the gateway 10 (step S2).

今回開示された実施の形態はすべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は上記した説明ではなくて特許請求の範囲によって示され、特許請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。   The embodiment disclosed this time should be considered as illustrative in all points and not restrictive. The scope of the present invention is defined by the terms of the claims, rather than the description above, and is intended to include any modifications within the scope and meaning equivalent to the terms of the claims.

1 車両
2 広域通信網
5 管理サーバ(制御装置)
6 DLサーバ(制御装置)
7 デバイス
10 ゲートウェイ(制御装置)
11 CPU
12 RAM
13 記憶部
14 車内通信部
15 無線通信部
30 ECU(車載制御装置)
31 CPU
32 RAM
33 記憶部
34 第1通信部
35 起動部
36 第2通信部
51 CPU
52 ROM
53 RAM
54 記憶部
55 通信部
311 取得部(ユーザ認証部)
312 読出部(ユーザ認証部)
313 判定部(ユーザ認証部)
314 更新処理部(更新制御部)
Y1,Y2 ユーザ情報 1 Vehicle 2 Wide Area Communication Network 5 Management Server (Control Device)
6 DL server (control device)
7 Device 10 Gateway (control device)
11 CPU
12 RAM
DESCRIPTION OF SYMBOLS 13 Memory | storage part 14 In-vehicle communication part 15 Wireless communication part 30 ECU (vehicle-mounted control apparatus)
31 CPU
32 RAM
33 Storage Unit 34 First Communication Unit 35 Start-up Unit 36 Second Communication Unit 51 CPU
52 ROM
53 RAM
54 storage unit 55 communication unit 311 acquisition unit (user authentication unit)
312 Reading unit (user authentication unit)
313 determination unit (user authentication unit)
314 Update processing unit (update control unit)
Y1, Y2 User information

Claims (10)

車両に搭載された対象機器を制御する車載制御装置の、前記対象機器の制御のための制御プログラムの更新を制御する制御装置であって、
前記車両のユーザの情報である第1のユーザ情報と、前記制御プログラムの更新の管理者として予め登録されているユーザの情報である第2のユーザ情報とを照合することによって得られる、前記車両のユーザが前記管理者であるか否かの判定の結果を取得するユーザ認証部と、
前記判定の結果に基づいて前記制御プログラムの更新に関する処理を制御する更新制御部と、を備える、制御装置。 A control device for controlling an update of a control program for controlling the target device of an in-vehicle control device for controlling the target device mounted on a vehicle,
The vehicle obtained by collating first user information that is user information of the vehicle and second user information that is user information registered in advance as an administrator of the update of the control program A user authenticating unit for obtaining a result of the determination as to whether or not the user is the administrator;
And an update control unit that controls processing related to the update of the control program based on the result of the determination. 前記ユーザ認証部は、前記更新の際の前記車両のユーザの前記第1のユーザ情報を用いて行われた前記判定の結果を取得する、請求項1に記載の制御装置。   The control device according to claim 1, wherein the user authentication unit acquires a result of the determination performed using the first user information of the user of the vehicle at the time of the update. 前記第1のユーザ情報は、前記車両のドアアンロック時、エンジンONの操作時、および電源ONの操作時のいずれかに前記車両から所定範囲にいるユーザのユーザ情報である、請求項2に記載の制御装置。   The first user information is user information of a user who is within a predetermined range from the vehicle at any time when the door of the vehicle is unlocked, when the engine is turned on, and when the power is turned on. The control device described. 前記ユーザ認証部は、
前記第1のユーザ情報を取得する取得部と、
前記第1のユーザ情報を用いて前記判定を行う判定部と、を含む、請求項1〜請求項3のいずれか一項に記載の制御装置。 The user authentication unit includes:
An acquisition unit for acquiring the first user information;
The control apparatus as described in any one of Claims 1-3 including the determination part which performs the said determination using said 1st user information. 前記取得部は、予め規定された通信範囲の通信機能によって前記車両のユーザの携帯端末装置と通信し、前記携帯端末装置から読み出される前記第1のユーザ情報を取得する、請求項4に記載の制御装置。   The said acquisition part communicates with the portable terminal device of the user of the said vehicle by the communication function of the communication range prescribed | regulated previously, The said 1st user information read from the said portable terminal device is acquired. Control device. 前記取得部は、前記車両のユーザが前記第2のユーザ情報を入力可能な装置と通信し、前記装置に前記ユーザによって入力された前記第2のユーザ情報を取得する、請求項4に記載の制御装置。   The said acquisition part communicates with the apparatus in which the user of the said vehicle can input the said 2nd user information, and acquires the said 2nd user information input by the said user into the said apparatus. Control device. 前記第2のユーザ情報を記憶する記憶部をさらに備え、
前記ユーザ認証部は、前記記憶部から前記第2のユーザ情報を読み出す読出部をさらに含み、
前記判定部は、前記取得部によって取得された第1のユーザ情報と前記読出部によって読み出された前記第2のユーザ情報とを用いて前記判定を行う、請求項4〜請求項6のいずれか一項に記載の制御装置。 A storage unit for storing the second user information;
The user authentication unit further includes a reading unit that reads the second user information from the storage unit,
7. The determination unit according to claim 4, wherein the determination unit performs the determination using the first user information acquired by the acquisition unit and the second user information read by the reading unit. A control device according to claim 1. 前記ユーザ認証部は、他の装置の有する、前記第2のユーザ情報を記憶する記憶部から前記第2のユーザ情報を読み出す読出部をさらに含み、
前記判定部は、前記取得部によって取得された第1のユーザ情報と前記読出部によって読み出された前記第2のユーザ情報とを用いて前記判定を行う、請求項4〜請求項6のいずれか一項に記載の制御装置。 The user authentication unit further includes a reading unit that reads the second user information from a storage unit that stores the second user information included in another device,
7. The determination unit according to claim 4, wherein the determination unit performs the determination using the first user information acquired by the acquisition unit and the second user information read by the reading unit. A control device according to claim 1. 車両に搭載された対象機器を制御する車載制御装置の、前記対象機器の制御のための制御プログラムの更新方法であって、
前記車両のユーザの情報である第1のユーザ情報と、前記制御プログラムの更新の管理者として予め登録されているユーザの情報である第2のユーザ情報とを照合することによって得られる、前記車両のユーザが前記管理者であるか否かの判定の結果を取得するステップと、
前記判定の結果に基づいて前記制御プログラムの更新に関する処理を制御するステップと、を備える、プログラム更新方法。 An in-vehicle control device for controlling a target device mounted on a vehicle, a method for updating a control program for controlling the target device,
The vehicle obtained by collating first user information that is user information of the vehicle and second user information that is user information registered in advance as an administrator of the update of the control program Obtaining a result of the determination as to whether or not the user is the administrator;
And a step of controlling processing related to the update of the control program based on the result of the determination. 車両に搭載された対象機器を制御する車載制御装置の、前記対象機器の制御のための制御プログラムの更新を制御する制御装置としてコンピュータを機能させるためのコンピュータプログラムであって、前記コンピュータを、
前記車両のユーザの情報である第1のユーザ情報と、前記制御プログラムの更新の管理者として予め登録されているユーザの情報である第2のユーザ情報とを照合することによって得られる、前記車両のユーザが前記管理者であるか否かの判定の結果を取得するユーザ認証部と、
前記判定の結果に基づいて前記制御プログラムの更新に関する処理を制御する更新制御部と、として機能させる、コンピュータプログラム。 A computer program for causing a computer to function as a control device for controlling an update of a control program for controlling the target device of an in-vehicle control device for controlling the target device mounted on a vehicle, the computer comprising:
The vehicle obtained by collating first user information that is user information of the vehicle and second user information that is user information registered in advance as an administrator of the update of the control program A user authenticating unit for obtaining a result of the determination as to whether or not the user is the administrator;
A computer program that functions as an update control unit that controls processing related to update of the control program based on a result of the determination.
JP2016110615A 2016-06-02 2016-06-02 Control device, program update method, and computer program Pending JP2017215889A (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2016110615A JP2017215889A (en) 2016-06-02 2016-06-02 Control device, program update method, and computer program
PCT/JP2016/080047 WO2017208474A1 (en) 2016-06-02 2016-10-11 Control device, program update method, and computer program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016110615A JP2017215889A (en) 2016-06-02 2016-06-02 Control device, program update method, and computer program

Publications (1)

Publication Number Publication Date
JP2017215889A true JP2017215889A (en) 2017-12-07

Family

ID=60479507

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016110615A Pending JP2017215889A (en) 2016-06-02 2016-06-02 Control device, program update method, and computer program

Country Status (2)

Country Link
JP (1) JP2017215889A (en)
WO (1) WO2017208474A1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019221133A (en) * 2018-06-14 2019-12-26 インテグレーテッド・デバイス・テクノロジー・インコーポレーテッド Bi-directional communication in wireless power transmission

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7218623B2 (en) * 2019-03-08 2023-02-07 住友電装株式会社 VEHICLE UPDATE DEVICE, UPDATE PROCESSING SYSTEM, UPDATE PROCESSING METHOD, AND COMPUTER PROGRAM

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002044742A (en) * 2000-07-28 2002-02-08 Omron Corp Operating system for vehicle control apparatus and the apparatus
JP2012224239A (en) * 2011-04-20 2012-11-15 Toyota Motor Corp Authentication system, and authentication method
CN103154959B (en) * 2011-09-12 2016-05-11 丰田自动车株式会社 Electronic control device for vehicle

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019221133A (en) * 2018-06-14 2019-12-26 インテグレーテッド・デバイス・テクノロジー・インコーポレーテッド Bi-directional communication in wireless power transmission

Also Published As

Publication number Publication date
WO2017208474A1 (en) 2017-12-07

Similar Documents

Publication Publication Date Title
JP6069039B2 (en) Gateway device and service providing system
US9464905B2 (en) Over-the-air vehicle systems updating and associate security protocols
JP6962252B2 (en) Program update system, program update method and computer program
JP6465258B1 (en) Control device, control method, and computer program
CN109102593B (en) Method and apparatus for managing vehicle control authority
WO2014119380A1 (en) Access limiting device, on-board communication system, and communication limiting method
WO2017149821A1 (en) Control device, program update method, and computer program
CN113873498A (en) Server, management method, non-temporary storage medium, software updating device, center, and over-the-air host
US9691204B2 (en) Method and apparatus for secure vehicle system access from a remote system
US10939296B2 (en) Vehicle smart connection
US20200204371A1 (en) Policy and Token Based Authorization Framework for Connectivity
WO2019035275A1 (en) Vehicle safety system and vehicle safety method
JP6358286B2 (en) Control device, program update method, and computer program
WO2022078193A1 (en) Vehicle control method and apparatus, and storage medium
WO2017208474A1 (en) Control device, program update method, and computer program
US20240069906A1 (en) Server, software update system, distribution method, and non-transitory storage medium
WO2018142749A1 (en) Control device, program updating method, and computer program
JP2020021161A (en) Communication device
US11670117B2 (en) Vehicle and software update method
CN113254047A (en) Vehicle configuration upgrading method, vehicle-mounted terminal, server, vehicle and medium
US11941126B2 (en) Center, information rewriting method, and non-transitory storage medium
KR102651345B1 (en) A method of updating vehicle software using the Wi-Fi function of a cellphone
CN107729757B (en) Software authentication before software update
JP2022015168A (en) Software update apparatus, method, program, system, center, and vehicle
CN117319973A (en) Bluetooth connection method, terminal device and storage medium