JP2017215889A - Control device, program update method, and computer program - Google Patents
Control device, program update method, and computer program Download PDFInfo
- Publication number
- JP2017215889A JP2017215889A JP2016110615A JP2016110615A JP2017215889A JP 2017215889 A JP2017215889 A JP 2017215889A JP 2016110615 A JP2016110615 A JP 2016110615A JP 2016110615 A JP2016110615 A JP 2016110615A JP 2017215889 A JP2017215889 A JP 2017215889A
- Authority
- JP
- Japan
- Prior art keywords
- user
- user information
- vehicle
- update
- control program
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R16/00—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
- B60R16/02—Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60R—VEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
- B60R25/00—Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
- B60R25/20—Means to switch the anti-theft system on or off
- B60R25/24—Means to switch the anti-theft system on or off using electronic identifiers containing a code not memorised by the user
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/445—Program loading or initiating
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Mechanical Engineering (AREA)
- Quality & Reliability (AREA)
- Stored Programmes (AREA)
Abstract
Description
この発明は制御装置、プログラム更新方法、およびコンピュータプログラムに関し、特に、車載制御装置の制御プログラムの更新を制御する制御装置、プログラム更新方法、およびコンピュータプログラムに関する。 The present invention relates to a control device, a program update method, and a computer program, and more particularly to a control device, a program update method, and a computer program that control update of a control program of an in-vehicle control device.
近年、自動車の技術分野においては、車両の高機能化が進行しており、多種多様な車載機器が車両に搭載されている。従って、車両には、各車載機器を制御するための車載制御装置である、所謂ECU(Electronic Control Unit)が多数搭載されている。
ECUには、たとえば、アクセル、ブレーキ、ハンドルの操作に対してエンジンやブレーキ、EPS(Electric Power Steering)等の制御を行う走行系に関わるもの、乗員によるスイッチ操作に応じてヘッドライトの点灯/消灯やワイパーON/OFF、ドアロック/アンロック等、運転席近傍に配設されるメータ類の動作を行うものがある。
In recent years, in the technical field of automobiles, functions of vehicles have been advanced, and a wide variety of in-vehicle devices are mounted on vehicles. Therefore, a large number of so-called ECUs (Electronic Control Units), which are vehicle-mounted control devices for controlling each vehicle-mounted device, are mounted on the vehicle.
The ECU includes, for example, an engine, a brake, an EPS (Electric Power Steering) control for the operation of an accelerator, a brake, and a steering wheel, and a headlight is turned on / off according to a switch operation by an occupant. Some of them operate the meters arranged near the driver's seat, such as wiper ON / OFF and door lock / unlock.
一般的にECUは、マイクロコンピュータ等の演算処理装置によって構成されており、ROM(Read Only Memory)に記憶した制御プログラムを読み出して実行することにより、車載機器の制御が実現される。
ECUの制御プログラムは、車両の仕向け地やグレードなどに応じて異なることがあり、制御プログラムのバージョンアップに対応して、旧バージョンの制御プログラムを新バージョンの制御プログラムに書き換える必要がある。
In general, the ECU is configured by an arithmetic processing device such as a microcomputer, and the control of the in-vehicle device is realized by reading and executing a control program stored in a ROM (Read Only Memory).
The control program of the ECU may differ depending on the destination and grade of the vehicle, and it is necessary to rewrite the old version control program to the new version control program in response to the upgrade of the control program.
たとえば、特許文献1には、車載通信機などのゲートウェイが管理サーバから更新プログラムを受信し、受信した更新プログラム用いてECUが制御プログラムを旧バージョンから新バージョンに書き換えることにより、車両の各ECUに対するプログラム更新を無線通信によって遠隔で実行する技術が開示されている。
For example, in
車両の用いられ方の一つに、複数ユーザで共有する用いられ方が挙げられる。たとえば、レンタカーとして不特定多数のユーザグループで共有されたり、家族等の特定のユーザグループで共有されたりする用いられ方が考えられる。 One of the ways in which vehicles are used is to share them among multiple users. For example, it may be used as a rental car that is shared by an unspecified number of user groups or shared by a specific user group such as a family.
たとえば車両の所有者などの当該車両の管理者が、当該車両のECUの制御プログラムの更新も管理したいというニーズがある。しかしながら、当該車両が複数ユーザによって共有されて用いられ、上記の管理者以外のユーザが使用している際にECUの制御プログラムが更新されると、管理者はECUの制御プログラムの更新を適切に管理できない場合が生じる。 For example, there is a need for an administrator of the vehicle, such as the owner of the vehicle, to manage the update of the control program of the ECU of the vehicle. However, when the vehicle is shared and used by a plurality of users and the ECU control program is updated when a user other than the administrator is using the vehicle, the administrator appropriately updates the ECU control program. There are cases where it cannot be managed.
本発明のある局面における目的は、管理者がプログラムの更新を適切に管理することができる制御装置、プログラム更新方法、およびコンピュータプログラムを提供することである。 An object of one aspect of the present invention is to provide a control device, a program update method, and a computer program that enable an administrator to appropriately manage program updates.
ある実施の形態に従うと、制御装置は、車両に搭載された対象機器を制御する車載制御装置の、対象機器の制御のための制御プログラムの更新を制御する制御装置であって、車両のユーザの情報である第1のユーザ情報と、制御プログラムの更新の管理者として予め登録されているユーザの情報である第2のユーザ情報とを照合することによって得られる、車両のユーザが管理者であるか否かの判定の結果を取得するユーザ認証部と、判定の結果に基づいて制御プログラムの更新に関する処理を制御する更新制御部と、を備える。 According to an embodiment, the control device is a control device that controls updating of a control program for controlling the target device of the in-vehicle control device that controls the target device mounted on the vehicle, The first user information that is information and the second user information that is user information registered in advance as an administrator for updating the control program is a manager of the vehicle user. A user authentication unit that acquires a result of the determination as to whether or not, and an update control unit that controls processing related to the update of the control program based on the result of the determination.
他の実施の形態に従うと、プログラム更新方法は、車両に搭載された対象機器を制御する車載制御装置の、対象機器の制御のための制御プログラムの更新方法であって、車両のユーザの情報である第1のユーザ情報と、制御プログラムの更新の管理者として予め登録されているユーザの情報である第2のユーザ情報とを照合することによって得られる、車両のユーザが管理者であるか否かの判定の結果を取得するステップと、判定の結果に基づいて制御プログラムの更新に関する処理を制御するステップと、を備える。 According to another embodiment, the program update method is an update method of a control program for controlling a target device of an in-vehicle control device that controls the target device mounted on a vehicle, and includes information on a user of the vehicle. Whether or not the user of the vehicle is an administrator obtained by collating certain first user information with second user information that is user information registered in advance as an administrator of control program update A step of obtaining a result of the determination, and a step of controlling processing related to the update of the control program based on the result of the determination.
他の実施の形態に従うと、コンピュータプログラムは、車両に搭載された対象機器を制御する車載制御装置の、対象機器の制御のための制御プログラムの更新を制御する制御装置としてコンピュータを機能させるためのコンピュータプログラムであって、コンピュータを、車両のユーザの情報である第1のユーザ情報と、制御プログラムの更新の管理者として予め登録されているユーザの情報である第2のユーザ情報とを照合することによって得られる、車両のユーザが管理者であるか否かの判定の結果を取得するユーザ認証部と、判定の結果に基づいて制御プログラムの更新に関する処理を制御する更新制御部と、として機能させる。 According to another embodiment, the computer program causes the computer to function as a control device that controls the update of the control program for controlling the target device of the in-vehicle control device that controls the target device mounted on the vehicle. It is a computer program, and the computer collates first user information, which is information on a vehicle user, and second user information, which is user information registered in advance as a control program update manager. And a user authentication unit that obtains a result of determination as to whether or not the user of the vehicle is an administrator, and an update control unit that controls processing related to control program update based on the result of the determination. Let
この発明によると、管理者が、車両に搭載された対象機器を制御する車載制御装置の、対象機器の制御のための制御プログラムの更新を適切に管理することができる。 According to the present invention, the administrator can appropriately manage the update of the control program for controlling the target device of the in-vehicle control device that controls the target device mounted on the vehicle.
[実施の形態の説明]
本実施の形態には、少なくとも以下のものが含まれる。
すなわち、本実施の形態に含まれる制御装置は、車両に搭載された対象機器を制御する車載制御装置の、対象機器の制御のための制御プログラムの更新を制御する制御装置であって、車両のユーザの情報である第1のユーザ情報と、制御プログラムの更新の管理者として予め登録されているユーザの情報である第2のユーザ情報とを照合することによって得られる、車両のユーザが前記管理者であるか否かの判定の結果を取得するユーザ認証部と、判定の結果に基づいて制御プログラムの更新に関する処理を制御する更新制御部と、を備える。
この構成によれば、車両のユーザが制御プログラムの更新の管理者である場合に車載制御装置の制御プログラムの更新に関する処理が行われ、車両のユーザが管理者でない場合には処理が行われないように制御することができる。そのため、制御プログラムの更新を管理者が適切に管理することができる。
[Description of Embodiment]
This embodiment includes at least the following.
That is, the control device included in the present embodiment is a control device that controls the update of a control program for controlling the target device of the in-vehicle control device that controls the target device mounted on the vehicle. The user of the vehicle, which is obtained by collating the first user information that is user information and the second user information that is user information registered in advance as an administrator for updating the control program, manages the management A user authentication unit that obtains a result of the determination as to whether or not the user is an authorized person, and an update control unit that controls processing related to the update of the control program based on the result of the determination.
According to this configuration, when the user of the vehicle is an administrator for updating the control program, the process related to the update of the control program of the in-vehicle control device is performed, and when the user of the vehicle is not the administrator, the process is not performed. Can be controlled. Therefore, the administrator can appropriately manage the update of the control program.
好ましくは、ユーザ認証部は、更新の際の車両のユーザの第1のユーザ情報を用いて行われた判定の結果を取得する。
これによって、制御プログラムの更新の管理の精度を向上させることができる。
Preferably, a user authentication part acquires the result of the determination performed using the 1st user information of the user of the vehicle in the case of an update.
As a result, it is possible to improve the accuracy of control program update management.
好ましくは、第1のユーザ情報は、車両のドアアンロック時、エンジンONの操作時、および電源ONの操作時のいずれかに車両から所定範囲にいるユーザのユーザ情報である。
このような構成にすることによって、判定に用いられるユーザ情報が制御プログラムの更新時の車両のユーザのユーザ情報である可能性を高めることができるために、制御プログラムの更新の管理の精度をより向上させることができる。
Preferably, the first user information is user information of a user who is within a predetermined range from the vehicle either when the vehicle door is unlocked, when the engine is turned on, or when the power is turned on.
With such a configuration, it is possible to increase the possibility that the user information used for the determination is the user information of the user of the vehicle at the time of updating the control program. Can be improved.
好ましくは、ユーザ認証部は、第1のユーザ情報を取得する取得部と、第1のユーザ情報を用いて判定を行う判定部と、を含む。
この構成によって、制御装置自身によって制御プログラムの更新の管理のための処理を行うことができる。
Preferably, the user authentication unit includes an acquisition unit that acquires first user information and a determination unit that performs determination using the first user information.
With this configuration, the control device itself can perform processing for managing control program updates.
好ましくは、取得部は、予め規定された通信範囲の通信機能によって車両のユーザの携帯端末装置と通信し、携帯端末装置から読み出される第1のユーザ情報を取得する。
この構成によって、判定に用いられるユーザ情報が制御プログラムの更新時の車両のユーザのユーザ情報である可能性を高めることができ、また、ユーザ操作を必要とせずにユーザ情報が取得される。そのため、ユーザの操作を不要として制御プログラムの更新の管理の精度をより向上させることができる。
Preferably, the acquisition unit communicates with the mobile terminal device of the user of the vehicle by a communication function within a predetermined communication range, and acquires first user information read from the mobile terminal device.
With this configuration, it is possible to increase the possibility that the user information used for the determination is the user information of the user of the vehicle when the control program is updated, and the user information is acquired without requiring a user operation. Therefore, it is possible to improve the accuracy of management of control program updates without requiring user operation.
好ましくは、取得部は、車両のユーザが第2のユーザ情報を入力可能な装置と通信し、装置にユーザによって入力された第2のユーザ情報を取得する。
この構成によって、判定に用いられるユーザ情報が制御プログラムの更新時の車両のユーザのユーザ情報である可能性を高めることができ、また、容易な構成によってユーザ情報が取得される。そのため、容易な構成で制御プログラムの更新の管理の精度をより向上させることができる。
Preferably, an acquisition part communicates with the apparatus in which the user of a vehicle can input 2nd user information, and acquires the 2nd user information input by the user at the apparatus.
With this configuration, it is possible to increase the possibility that the user information used for the determination is the user information of the user of the vehicle when the control program is updated, and the user information is acquired with an easy configuration. Therefore, it is possible to further improve the accuracy of control program update management with an easy configuration.
好ましくは、制御装置は第2のユーザ情報を記憶する記憶部をさらに備え、ユーザ認証部は、記憶部から第2のユーザ情報を読み出す読出部をさらに含み、判定部は、取得部によって取得された第1のユーザ情報と読出部によって読み出された第2のユーザ情報とを用いて判定を行う。
この構成によって、管理者とするユーザのユーザ情報(第2のユーザ情報)を記憶部に登録することで容易に制御プログラムの更新の管理を行うことができる。
Preferably, the control device further includes a storage unit that stores the second user information, the user authentication unit further includes a reading unit that reads the second user information from the storage unit, and the determination unit is acquired by the acquisition unit. The determination is performed using the first user information and the second user information read by the reading unit.
With this configuration, it is possible to easily manage the update of the control program by registering the user information (second user information) of the user who is an administrator in the storage unit.
好ましくは、ユーザ認証部は、他の装置の有する、第2のユーザ情報を記憶する記憶部から第2のユーザ情報を読み出す読出部をさらに含み、判定部は、取得部によって取得された第1のユーザ情報と読出部によって読み出された第2のユーザ情報とを用いて判定を行う。
この構成によって、管理者とするユーザのユーザ情報(第2のユーザ情報)を当該制御装置に登録する操作を行うことなく、容易に制御プログラムの更新の管理を行うことができる。
Preferably, the user authentication unit further includes a reading unit that reads the second user information from a storage unit that stores the second user information included in another device, and the determination unit is the first acquired by the acquisition unit. The user information and the second user information read by the reading unit are used for determination.
With this configuration, it is possible to easily manage control program updates without performing an operation of registering user information (second user information) of a user who is an administrator in the control device.
本実施の形態に含まれるプログラム更新方法は、車両に搭載された対象機器を制御する車載制御装置の、対象機器の制御のための制御プログラムの更新方法であって、車両のユーザの情報である第1のユーザ情報と、制御プログラムの更新の管理者として予め登録されているユーザの情報である第2のユーザ情報とを照合することによって得られる、車両のユーザが管理者であるか否かの判定の結果を取得するステップと、判定の結果に基づいて制御プログラムの更新に関する処理を制御するステップと、を備える。
この構成によれば、車両のユーザが制御プログラムの更新の管理者である場合に車載制御装置の制御プログラムの更新に関する処理が行われ、車両のユーザが管理者でない場合には処理が行われないように制御することができる。そのため、制御プログラムの更新を管理者が適切に管理することができる。
The program update method included in the present embodiment is a method for updating a control program for controlling a target device of an in-vehicle control device that controls the target device mounted on the vehicle, and is information on the user of the vehicle. Whether or not the user of the vehicle is an administrator, obtained by collating the first user information with the second user information, which is user information registered in advance as an administrator for updating the control program And a step of acquiring a result of the determination, and a step of controlling processing related to the update of the control program based on the result of the determination.
According to this configuration, when the user of the vehicle is an administrator for updating the control program, the process related to the update of the control program of the in-vehicle control device is performed, and when the user of the vehicle is not the administrator, the process is not performed. Can be controlled. Therefore, the administrator can appropriately manage the update of the control program.
本実施の形態に含まれるコンピュータプログラムは、車両に搭載された対象機器を制御する車載制御装置の、対象機器の制御のための制御プログラムの更新を制御する制御装置としてコンピュータを機能させるためのコンピュータプログラムであって、コンピュータを、車両のユーザの情報である第1のユーザ情報と、制御プログラムの更新の管理者として予め登録されているユーザの情報である第2のユーザ情報とを照合することによって得られる、車両のユーザが管理者であるか否かの判定の結果を取得するユーザ認証部と、判定の結果に基づいて制御プログラムの更新に関する処理を制御する更新制御部と、として機能させる。
この構成によれば、車両のユーザが制御プログラムの更新の管理者である場合に車載制御装置の制御プログラムの更新に関する処理が行われ、車両のユーザが管理者でない場合には処理が行われないように制御することができる。そのため、制御プログラムの更新を管理者が適切に管理することができる。
A computer program included in the present embodiment is a computer for causing a computer to function as a control device that controls update of a control program for controlling the target device of an in-vehicle control device that controls the target device mounted on the vehicle. The program is a computer for collating first user information that is vehicle user information and second user information that is user information registered in advance as an administrator of control program updates. And a user authentication unit that obtains a result of determination as to whether or not the user of the vehicle is an administrator, and an update control unit that controls processing related to the update of the control program based on the result of the determination. .
According to this configuration, when the user of the vehicle is an administrator for updating the control program, the process related to the update of the control program of the in-vehicle control device is performed, and when the user of the vehicle is not the administrator, the process is not performed. Can be controlled. Therefore, the administrator can appropriately manage the update of the control program.
[実施の形態の詳細]
以下に、図面を参照しつつ、好ましい実施の形態について説明する。以下の説明では、同一の部品および構成要素には同一の符号を付してある。それらの名称および機能も同じである。したがって、これらの説明は繰り返さない。
[Details of the embodiment]
Hereinafter, preferred embodiments will be described with reference to the drawings. In the following description, the same parts and components are denoted by the same reference numerals. Their names and functions are also the same. Therefore, these descriptions will not be repeated.
<第1の実施の形態>
〔システムの全体構成〕
図1は、本発明の実施形態に係るプログラム更新システムの全体構成図である。
図1に示すように、本実施形態のプログラム更新システムは、広域通信網2を介して通信可能な車両1、管理サーバ5およびDL(ダウンロード)サーバ6を含む。
管理サーバ5およびDLサーバ6は、たとえば、車両1のカーメーカーにより運営されており、予め会員登録されたユーザが所有する多数の車両1と通信可能である。
<First Embodiment>
[Overall system configuration]
FIG. 1 is an overall configuration diagram of a program update system according to an embodiment of the present invention.
As shown in FIG. 1, the program update system of this embodiment includes a
The
車両1には、ゲートウェイ10と、無線通信部15と、複数のECU30と、各ECU30によりそれぞれ制御される各種の車載機器(図示せず)とが搭載されている。
車両1には、共通の車内通信線にバス接続された複数のECU30による通信グループが存在し、ゲートウェイ10は、通信グループ間の通信を中継している。このため、ゲートウェイ10には、複数の車内通信線が接続されている。
The
In the
複数のECU30のうちの少なくとも1台のECU30Aは、デバイス7と無線通信可能である。デバイス7は、一例として、ユーザの携帯端末装置である。この場合、デバイス7は、ユーザ情報を記憶し、ECU30Aに対する通信機能を有する装置である。デバイス7は、たとえば、ユーザが所有する携帯電話機、スマートフォン、タブレット型端末、免許証等のユーザカードなどである。デバイス7は、他の例として、ユーザ情報を入力可能な入力装置である。この場合、デバイス7は、ユーザ情報を入力するための機能(たとえばボタン、タッチパネル、マイク、カメラ、指紋等の読取装置、等)と、ECU30Aに対する通信機能とを有する装置である。デバイス7は、たとえば、カーナビゲーション装置、ユーザが所有するスマートフォンなどである。
At least one
無線通信部15は、携帯電話網などの広域通信網2に通信可能に接続され、車内通信線によりゲートウェイ10に接続されている。ゲートウェイ10は、広域通信網2を通じて管理サーバ5およびDLサーバ6などの車外装置から無線通信部15が受信した情報を、ECU30に送信する。
ゲートウェイ10は、ECU30から取得した情報を無線通信部15に送信し、無線通信部15は、その情報を管理サーバ5などの車外装置に送信する。
The
The
車両1に搭載される無線通信部15としては、たとえば、ユーザが所有する携帯電話機、スマートフォン、タブレット型端末、ノートPC(Personal Computer)等の装置が考えられる。
図1では、ゲートウェイ10が無線通信部15を介して車外装置と通信を行う場合が例示されているが、ゲートウェイ10が無線通信の機能を有する場合には、ゲートウェイ10自身が管理サーバ5などの車外装置と無線通信を行う構成としてもよい。
Examples of the
In FIG. 1, the case where the
また、図1のプログラム更新システムでは、管理サーバ5とDLサーバ6とが別個のサーバで構成されているが、これらのサーバ5,6を1つのサーバ装置で構成してもよい。
In the program update system of FIG. 1, the
〔ゲートウェイの内部構成〕
図2は、ゲートウェイ10の内部構成を示すブロック図である。
図2に示すように、ゲートウェイ10は、CPU(Central Processing Unit)11、RAM(Random Access Memory)12、記憶部13、および車内通信部14などを備える。ゲートウェイ10は、無線通信部15と車内通信線とを介して接続されているが、これらは一つの装置で構成してもよい。
[Internal configuration of gateway]
FIG. 2 is a block diagram showing the internal configuration of the
As shown in FIG. 2, the
CPU11は、記憶部13に記憶された一または複数のプログラムをRAM12に読み出して実行することにより、ゲートウェイ10を各種情報の中継装置として機能させる。
CPU11は、たとえば時分割で複数のプログラムを切り替えて実行することにより、複数のプログラムを並列的に実行可能である。RAM12は、SRAM(Static RAM)またはDRAM(Dynamic RAM)等のメモリ素子で構成され、CPU11が実行するプログラムおよび実行に必要なデータ等が一時的に記憶される。
The
The
記憶部13は、フラッシュメモリ若しくはEEPROM(Electrically Erasable Programmable Read Only Memory)等の不揮発性のメモリ素子などにより構成されている。
記憶部13は、CPU11が実行するプログラムおよび実行に必要なデータ等を記憶する記憶領域を有する。記憶部13は、DLサーバ6から受信した各ECU30の更新プログラムなども記憶する。
The
The
車内通信部14には、車両1に配設された車内通信線を介して複数のECU30が接続されている。車内通信部14は、たとえばCAN(Controller Area Network)、CANFD(CAN with Flexible Data Rate)、LIN(Local Interconnect Network)、Ethernet(登録商標)、またはMOST(Media Oriented Systems Transport:MOSTは登録商標)等の規格に応じて、ECU30との通信を行う。
車内通信部14は、CPU11から与えられた情報を対象のECU30へ送信するとともに、ECU30から受信した情報をCPU11に与える。車内通信部14は、上記の通信規格だけでなく、車載ネットワークに用いる他の通信規格によって通信してもよい。
A plurality of
The in-
無線通信部15は、アンテナと、アンテナからの無線信号の送受信を実行する通信回路とを含む無線通信機よりなる。無線通信部15は、携帯電話網等の広域通信網2に接続されることにより車外装置との通信が可能である。
無線通信部15は、図示しない基地局により形成される広域通信網2を介して、CPU11から与えられた情報を管理サーバ5等の車外装置に送信するとともに、車外装置から受信した情報をCPU11に与える。
The
The
図2に示す無線通信部15に代えて、車両1内の中継装置として機能する有線通信部を採用してもよい。この有線通信部は、USB(Universal Serial Bus)またはRS232C等の規格に応じた通信ケーブルが接続されるコネクタを有し、通信ケーブルを介して接続された別の通信装置と有線通信を行う。
別の通信装置と管理サーバ5等の車外装置とが広域通信網2を通じた無線通信が可能である場合には、車外装置→別の通信装置→有線通信部→ゲートウェイ10の通信経路により、車外装置とゲートウェイ10とが通信可能になる。
Instead of the
When another communication device and an outside device such as the
〔ECUの内部構成〕
図3は、ECU30のうちのデバイス7と通信可能なECU30Aの内部構成を示すブロック図である。
図3に示すように、ECU30Aは、CPU31、RAM32、記憶部33、第1通信部34、および第2通信部36などを備える。ECU30は、車両1に搭載された対象機器を個別に制御する車載制御装置である。ECU30の種類には、たとえば、エンジン制御ECU、ステアリング制御ECU、およびドアロック制御ECUなどがある。
[Internal configuration of ECU]
FIG. 3 is a block diagram showing an internal configuration of the
As shown in FIG. 3, the
CPU31は、記憶部33に予め記憶された一または複数のプログラムをRAM32に読み出して実行することにより、自身が担当する対象機器の動作を制御する。
RAM32は、SRAMまたはDRAM等のメモリ素子で構成され、CPU31が実行するプログラムおよび実行に必要なデータ等が一時的に記憶される。
The
The
記憶部33は、フラッシュメモリ若しくはEEPROM等の不揮発性のメモリ素子、或いは、ハードディスクなどの磁気記憶装置等により構成されている。
記憶部33が記憶する情報には、たとえば、車内の制御対象である対象機器を制御するための情報処理をCPU31に実行させるためのコンピュータプログラム(以下、「制御プログラム」という。)が含まれる。
The
The information stored in the
第1通信部34には、車両1に配設された車内通信線を介してゲートウェイ10が接続されている。第1通信部34は、たとえばCAN、Ethernet、またはMOST等の規格に応じて、ゲートウェイ10との通信を行う。
第1通信部34は、CPU31から与えられた情報をゲートウェイ10へ送信するとともに、ゲートウェイ10から受信した情報をCPU31に与える。第1通信部34は、上記の通信規格だけなく、車載ネットワークに用いる他の通信規格によって通信してもよい。
The
The
なお、以上のCPU31〜第1通信部34は、デバイス7との通信機能を有さないECU30にも同様に含まれる。
The
第2通信部36は、たとえばNFC(Near Field Communication)やBluetooth(登録商標)などの規格に応じて、デバイス7と近距離無線通信を行う。
第2通信部36は、近距離無線通信によってデバイス7から受信した情報をCPU31に与える。
The
The
ECU30のCPU31には、当該CPU31による制御モードを、「通常モード」または「リプログラミングモード」(以下、「リプロモード」ともいう。)のいずれかに切り替える起動部35が含まれる。
ここで、通常モードとは、ECU30のCPU31が、対象機器に対する本来的な制御(たとえば、燃料エンジンに対するエンジン制御や、ドアロックモータに対するドアロック制御など)を実行する制御モードのことである。
The
Here, the normal mode is a control mode in which the
リプログラミングモードとは、対象機器の制御に用いる制御プログラムを更新する制御モードである。
すなわち、リプログラミングモードは、CPU31が、記憶部33のROM領域に対して、制御プログラムの消去や書き換えを行う制御モードのことである。CPU31は、この制御モードのときにのみ、記憶部33のROM領域に格納された制御プログラムを新バージョンに更新することが可能となる。
The reprogramming mode is a control mode in which a control program used for controlling the target device is updated.
That is, the reprogramming mode is a control mode in which the
リプロモードにおいてCPU31が新バージョンの制御プログラムを記憶部33に書き込むと、起動部35は、ECU30をいったん再起動(リセット)させ、新バージョンの制御プログラムが書き込まれた記憶領域についてベリファイ処理を実行する。
起動部35は、上記のベリファイ処理の完了後に、CPU31を更新後の制御プログラムによって動作させる。
When the
The
〔管理サーバの内部構成〕
図4は、管理サーバ5の内部構成を示すブロック図である。
図4に示すように、管理サーバ5は、CPU51、ROM52、RAM53、記憶部54、および通信部55などを備える。
[Management Server internal configuration]
FIG. 4 is a block diagram showing the internal configuration of the
As shown in FIG. 4, the
CPU51は、ROM52に予め記憶された一または複数のプログラムをRAM53に読み出して実行することにより、各ハードウェアの動作を制御し、管理サーバ5をゲートウェイ10と通信可能な車外装置として機能させる。
RAM53は、SRAMまたはDRAM等のメモリ素子で構成され、CPU51が実行するプログラムおよび実行に必要なデータ等が一時的に記憶される。
The CPU 51 reads out one or more programs stored in advance in the
The
記憶部54は、フラッシュメモリ若しくはEEPROM等の不揮発性のメモリ素子、または、ハードディスクなどの磁気記憶装置等により構成されている。
通信部55は、所定の通信規格に則って通信処理を実行する通信装置よりなり、携帯電話網等の広域通信網2に接続されて当該通信処理を実行する。通信部55は、CPU51から与えられた情報を、広域通信網2を介して外部装置に送信するとともに、広域通信網2を介して受信した情報をCPU51に与える。
The
The
〔制御プログラムの更新シーケンス〕
図5は、本実施形態のプログラム更新システムにおいて実行される、ECUに対する制御プログラムの更新の一例を示すシーケンス図である。一例として、管理サーバ5が、予め会員登録されたユーザが所有する車両1について、当該車両1のECUの制御プログラムを更新するタイミングを決定する。更新のタイミングは、たとえば、車両1のカーメーカーなどによって設定されてもよい。
[Control program update sequence]
FIG. 5 is a sequence diagram illustrating an example of control program update for the ECU, which is executed in the program update system of the present embodiment. As an example, the
ECUの制御プログラムを更新するタイミングに達すると、管理サーバ5は、該当する車両1のゲートウェイ10宛てに、ECU30の更新プログラムの保存先URLとダウンロード要求とを送信する(ステップS1)。
これにより、ゲートウェイ10は、ECU30のための更新プログラムをDLサーバ6からダウンロードする(ステップS2)。ゲートウェイ10は、受信した更新プログラムを自装置の記憶部13に一時的に格納して保存する。
When the timing for updating the ECU control program is reached, the
Thereby, the
更新プログラムの保存が完了すると、ゲートウェイ10は、DLが正常に完了したことを管理サーバ5に送信する(ステップS3)。引き続き自動で更新を行う場合、DL完了通知を受信した管理サーバ5は、制御プログラムの更新要求をゲートウェイ10に送信する。管理サーバ5は、DL完了後、一時中断し外部から更新要求を受けてから、制御プログラムの更新要求をゲートウェイ10に送信してもよい(ステップS4)。
更新要求を受信したゲートウェイ10は、記憶部13に保存した更新プログラムを用いて制御プログラムを更新させるべく、該当するECU30に制御プログラムの更新要求を送信する(ステップS5)。
When the saving of the update program is completed, the
The
制御プログラムの更新要求を受信すると、該当するECU30はユーザ認証を実行する(ステップS6,7)。ユーザ認証は、制御プログラムの更新処理実行時の車両1のユーザが、当該ECU30の制御プログラムの更新の権限を有する管理者である更新管理者として登録されているユーザであるか否かを判定する処理である。具体的には、該当するECU30がデバイス7と通信可能なECU30Aである場合、ECU30Aはデバイス7からユーザ情報を読み出して(ステップS6)、制御プログラムの更新管理者として予め登録されているユーザのユーザ情報と比較することによって、デバイス7のユーザ情報、すなわち車両1の現在のユーザが更新管理者であるか否かを判定する(ステップS7)。なお、車両1のユーザとは、車両1内にいるユーザを指す。また、車両1のユーザは、車両1から所定範囲内にいるユーザを含んでもよい。所定範囲は、たとえば、ECU30Aの第2通信部36がデバイス7と近距離無線通信が可能な範囲である。
When the control program update request is received, the corresponding
該当するECU30がデバイス7と通信可能なECU30Aではない場合、ステップS6で当該ECU30はデバイス7と通信可能なECU30Aを経由してデバイス7からユーザ情報を読み出してもよい。または、当該ECU30は、デバイス7と通信可能なECU30Aにユーザ認証を指示してECU30AにステップS6〜S7を実行させて、ECU30Aから認証結果を取得してもよい。すなわち、ステップS6〜S7のECU30におけるユーザ認証は、該当するECU30A自身でデバイス7からユーザ情報の取得またはECU30が他のECU30Aを介してデバイス7からユーザ情報の取得を行ってユーザ認証を行うもの、ならびに、ECU30が他のECU30Aで実行させたユーザ認証の結果を取得するものを含む。
If the
ユーザ認証によって車両1のユーザが更新管理者であると判定されると、自身の制御モードを通常モードからリプロモードに切り替える。これにより、当該ECUは制御プログラムの更新処理が可能な状態となる。
If it is determined by user authentication that the user of the
ECU30は、受信した更新プログラムを展開して旧バージョンの制御プログラムに適用することにより、制御プログラムを旧バージョンから新バージョンに書き換える(ステップS8)。書き換えが完了すると、ECU30は、書き換えの完了通知をゲートウェイ10に送信する(ステップS9)。ゲートウェイ10は、書き換えの完了通知を該当するECU30から受信すると、更新完了通知を管理サーバ5に送信する(ステップS10)。
The
[ECUの機能構成]
図6は、デバイス7と通信可能なECU30Aの、制御プログラムの更新処理を行うための機能構成の具体例を示したブロック図である。図6の各機能は、ECU30AのCPU31が記憶部33に記憶されているプログラムをRAM32上に読み出して実行することによって、主にCPU31によって実現される。
[Functional structure of ECU]
FIG. 6 is a block diagram illustrating a specific example of a functional configuration for performing control program update processing of the
詳しくは、図6を参照して、ECU30AのCPU31は、第2通信部36での近距離無線通信によってデバイス7からユーザ情報Y1(第1のユーザ情報)を取得する取得部311と、記憶部33に用意されている、ユーザ情報を記憶するデータベースDBから更新管理者のユーザ情報Y2(第2のユーザ情報)を読み出す読出部312と、ユーザ情報Y1とユーザ情報Y2とを照合することで、車両1のユーザが更新管理者であるか否かを判定する判定部313と、その判定結果に応じて制御プログラムの更新を制御する更新処理部(更新制御部)314と、を含む。取得部311と読出部312と判定部313とは、上記ステップS6,7で表されたユーザ認証を行うためのユーザ認証部であり、更新処理部は、制御プログラムの更新に関する処理を制御する更新制御部の一例である。
Specifically, referring to FIG. 6, the
ユーザ情報Y1は、たとえば、デバイス7が携帯電話機、スマートフォン、タブレット型端末などの携帯端末装置である場合、それら装置に記憶されているユーザ名や電話番号やメールアドレスやそれらの組み合わせなどが挙げられる。デバイス7が免許証や携帯端末装置などである場合、それら装置に記憶されている、ユーザ名やユーザに付与されている識別子(番号等)やそれらの組み合わせなどが挙げられる。デバイス7がカーナビゲーション装置やスマートフォンなどの入力装置である場合、ユーザに付与されたIDやパスワードや顔画像や音声情報や指紋または虹彩情報やそれらの組み合わせなどが挙げられる。
For example, when the
データベースDBは、自装置(ECU30A)の記憶部33に用意されていてもよいし、他の複数のECU30のいずれかの記憶部33に用意されていてもよい。たとえば、他のECU30としては、たとえばドアロック/アンロック等を行うECU30であってよく、この場合、ドアロック/アンロック等の際のユーザ認証用のユーザ情報と兼用されてもよい。このようにすることで、ユーザ情報を記憶するための記憶容量を抑えることができる。ECU30AまたはECU30のデータベースDBに記憶されている更新管理者のユーザ情報は、車両1のユーザの操作に従ってデータベースDBに登録されてもよい。このようにすることで、ユーザは任意に更新管理者を登録することができ、ユーザの利便性を向上させることができる。または、更新管理者のユーザ情報は管理サーバ5からの登録要求に応じて自動的にデータベースDBに登録されてもよい。このようにすることで更新管理者の登録を容易にすることができる。
The database DB may be prepared in the
また、データベースDBはECU30ごとに用意されて、当該ECU30の制御プログラムの更新の際のユーザ認証には自装置のデータベースDBに登録されているユーザ情報Y2が用いられてもよい。このようにすることで、ECU30ごとに異なる更新管理者を設定することができ、より細やかな管理を可能にする。
Further, a database DB may be prepared for each
また、データベースDBは、管理サーバ5の記憶部54やDLサーバ6に用意されていてもよい。管理サーバ5やDLサーバ6に記憶されている更新管理者のユーザ情報は、たとえば、ユーザが会員登録するなどの際に併せて登録される。このようにすることで、更新管理者の登録を容易にすることができる。
The database DB may be prepared in the
データベースDBには、更新管理者として複数のユーザのユーザ情報Y2が記憶されていてもよい。データベースDBに複数の更新管理者のユーザ情報が登録されている場合、判定部313は、デバイス7から取得されたユーザ情報Y1が複数のユーザ情報Y2のうちの少なくとも1つと一致することで車両1のユーザが更新管理者であると判定してもよい。または、判定部313は、取得部311から複数のユーザ情報Y1を受け取り、その中に複数のユーザ情報Y2がすべて含まれていた場合に車両1のユーザが更新管理者であると判定してもよい。このようにすることで、制御プログラムの更新の管理をより厳格にしたり、柔軟にしたりすることができる。
The database DB may store user information Y2 of a plurality of users as update managers. When user information of a plurality of update managers is registered in the database DB, the
データベースDBに更新管理者として複数のユーザのユーザ情報を記憶可能な構成の場合、さらに、更新管理者ごとに更新を許可可能なレベルが設定され、ユーザ認証には制御プログラムの更新のレベルに応じたユーザ情報が用いられてもよい。たとえば、同じECUの制御プログラムであっても、管理者1に対してはすべての更新を許可し、管理者2に対しては一部の更新を許可する、などのレベルが挙げられる。このようにすることで、より細やかな管理を可能にする。
In a configuration in which user information of a plurality of users can be stored as an update manager in the database DB, a level at which updating can be permitted is set for each update manager, and user authentication depends on the level of control program update User information may also be used. For example, even if it is the control program of the same ECU, all the updates are permitted for the
なお、デバイス7との通信機能を有さないECU30の場合もCPU31は図6の各機能を有していてもよい。この場合、取得部311は、デバイス7と通信可能なECU30Aと通信し、ECU30Aがデバイス7から取得したユーザ情報Y1を受信する。
Even in the case of the
[ユーザ認証]
図7は、上記ステップS6,7のユーザ認証の処理の流れの一例を表したフローチャートである。図7のフローチャートに表された処理は、一例として、ECU30AのCPU31が記憶部33に記憶されているプログラムをRAM32上に読み出して実行し、図6の各機能を発揮することによって実現される。
[User Authentication]
FIG. 7 is a flowchart showing an example of the flow of the user authentication process in steps S6 and S7. The process shown in the flowchart of FIG. 7 is realized, for example, by the
ユーザ認証は、予め規定されたタイミングでECU30Aにおいて行われる。予め規定されたタイミングは、たとえば、図5に表されたようにECU30Aがゲートウェイ10から制御プログラムの更新要求(ステップS5)を受けたタイミングである。またたとえば、ECU30Aがゲートウェイ10から更新要求と共に更新プログラムを受け取り、記憶部33に記憶したタイミングにユーザ認証が行われてもよい。またたとえば、ゲートウェイ10から以前に受け取り、制御プログラムの更新を未だ行っていない更新プログラムが記憶部33に記憶されている場合に、予め規定された所定の時間間隔でユーザ認証が行われてもよい。つまり、一例として、ユーザ認証は制御プログラムを更新する直前に行われる。この場合、ユーザ情報Y1は制御プログラムの更新時の車両1のユーザのものとなり、管理精度を向上させることができる。
User authentication is performed in the
またたとえば、更新要求または更新プログラムの有無に関わらず、車両1のドアアンロックのタイミングや、電源ON操作を受け付けたタイミングや、エンジンON操作を受け付けたタイミングなどの、予め規定された、ユーザが車両1の運転を開始する、または内部にいるタイミングにユーザ認証が行われてもよい。つまり、一例として、ユーザ認証は制御プログラムを更新するより以前に行われて、制御プログラムの更新の際にユーザ認証の結果が用いられる。同様に、デバイス7からのユーザ情報Y1の取得を上記の予め規定されたタイミングに行っておき、制御プログラムを更新する直前に記憶しているユーザ情報Y1を用いてユーザ認証を行ってもよい。この場合、管理精度を確保しつつ、制御プログラムの更新の直前にユーザ認証を開始するよりもすばやく認証を行うことができ、制御プログラムの更新に要する時間を短縮することができる。
なお、この場合のユーザ認証の結果は、ユーザが車両1の運転を終了する、または外部に出るタイミングにメモリから破棄される。破棄のタイミングは、たとえば、ドアロックのタイミングや、電源OFF操作を受け付けたタイミングや、エンジンOFF操作を受け付けたタイミングなどである。または、ユーザが車両1の運転を開始する、または内部にいるタイミングごとにユーザ認証が行われて、メモリに記憶されているユーザ認証が上書きされてもよい。このようにすることで、制御プログラムの更新の際の車両1のユーザのユーザ認証の結果を、制御プログラムの更新の判断に用いることができて、管理精度を向上させることができる。
Further, for example, regardless of whether there is an update request or an update program, a user who has been defined in advance, such as a door unlock timing of the
Note that the result of user authentication in this case is discarded from the memory when the user finishes driving the
CPU31は、上記のタイミングに達すると図7の処理を開始する。図7を参照して、ユーザ認証を開始すると、CPU31は、デバイス7と通信することによってユーザ情報Y1を取得する(ステップS101)。デバイス7がカーナビゲーション装置やスマートフォンなどのユーザ情報を入力するための機能とECU30Aに対する通信機能とを有する装置であり、ユーザ情報Y1が上記のようにユーザに付与されたIDやパスワードやそれらの組み合わせなどの場合、ステップS101でCPU31は、デバイス7にユーザ情報Y1の入力を受け付ける画面を表示するための情報や入力を促すメッセージなどを送信することで、ユーザからのデバイス7に対するユーザ情報Y1の入力を促してもよい。
The
また、CPU31は、記憶部33のデータベースDB、または管理サーバ5などの他の装置の有するデータベースDBから、更新管理者のユーザ情報Y2を読み出す(ステップS103)。そして、CPU31は、これらユーザ情報Y1,Y2を照合する(ステップS105)。
Further, the
照合の結果がOKである場合、つまり、車両1のユーザが更新管理者であると判定された場合(ステップS105で「OK」)、CPU31は、受信した更新プログラムを用いて制御プログラムを更新する(ステップS107)。
When the collation result is OK, that is, when it is determined that the user of the
照合の結果がNGである場合、つまり、車両1のユーザが更新管理者であると判定されなかった場合には(ステップS105で「NG」)、ステップS107をスキップする。つまり、この場合には制御プログラムの更新は行われない。また、この場合には、上記のような画面表示もなされない。
If the result of the collation is NG, that is, if it is not determined that the user of the
なお、ユーザ認証の結果は、制御プログラムの更新処理を含む、制御プログラムの更新に関するあらゆる処理の実行の可否に用いられてもよい。たとえば、制御プログラムの更新に先立って図示しない出力装置(たとえばナビゲーション装置やデバイス7のディスプレイ、スピーカ等)に更新の可否を問い合わせる画面表示やメッセージ出力などを行い、ユーザによる認証操作を受け付けてから制御プログラムの更新が開始される場合、出力を行うか否かがユーザ認証の結果に応じて決定されてもよい。
Note that the user authentication result may be used to determine whether or not to execute any process related to control program update, including control program update processing. For example, prior to the update of the control program, a screen display or message output for inquiring whether the update is possible is performed on an output device (not shown) such as a navigation device or the display of the
[第1の実施の形態の効果]
第1の実施の形態にかかるプログラム更新システムによれば、ECUの制御プログラムの更新に先立って車両のユーザのユーザ認証が行われて、更新管理者である場合に制御プログラムが更新される。更新管理者でないユーザが車両のユーザである場合には制御プログラムの更新が行われない。つまり、更新管理者が把握せずに制御プログラムが更新されてしまう事態を回避できる。このため、制御プログラムの更新を更新管理者が管理することができる。
[Effect of the first embodiment]
According to the program update system according to the first embodiment, the user authentication of the vehicle user is performed prior to the update of the control program of the ECU, and the control program is updated when the user is an update manager. When the user who is not the update manager is a vehicle user, the control program is not updated. That is, it is possible to avoid a situation in which the control program is updated without the update manager grasping it. Therefore, the update manager can manage the update of the control program.
さらに、ユーザの承認を得てから制御プログラムの更新が行われる場合には、更新管理者以外のユーザによっては制御プログラムの更新が行われないために、更新管理者以外のユーザが車両を使用している場合には制御プログラムの更新の承認を得るための通知も行われない。このため、制御プログラムの更新を更新管理者が適切に管理することができる。 Further, when the control program is updated after obtaining the user's approval, the control program is not updated by a user other than the update manager, so that a user other than the update manager uses the vehicle. In such a case, the notification for obtaining the control program update approval is not performed. For this reason, the update manager can appropriately manage the update of the control program.
<第2の実施の形態>
第1の実施の形態にかかるプログラム更新システムでは、制御プログラムを更新するECU30においてユーザ認証が行われる。しかしながら、ユーザ認証は、ECU30での制御プログラムの更新を制御可能ないずれの装置(制御装置)で行われてもよい。たとえば、制御装置は、たとえば、制御プログラムを更新する第1のECUとは異なる第2のECUであってもよい。
<Second Embodiment>
In the program update system according to the first embodiment, user authentication is performed in the
上記のように、第2のECUもまた、図6に表された各機能を有する。第2のECUは、ユーザが車両1に乗車してから第1のECUが制御プログラムを更新するまでの間に(たとえば上記のタイミングで)図7のユーザ認証を実行し、認証結果を第1のECUに渡す、または、認証結果を記憶部33に記憶しておいて第1のECUからの要求に応じて渡す。
As described above, the second ECU also has the functions shown in FIG. The second ECU executes the user authentication in FIG. 7 after the user gets on the
第2のECU30は、たとえば、ドアロック/アンロックを行うECU30、エンジンON/OFFを行うECU30などであってよい。この場合、ドアロック/アンロックの際のユーザ認証や、エンジンON/OFFの際のユーザ認証の認証結果を第1のECU30に渡してもよい。
The
<第3の実施の形態>
ユーザ認証を行う制御装置は、ECU30以外の装置であってもよい。一例として、ECU30での制御プログラムの更新に関する処理を制御する制御装置であるゲートウェイ10においてユーザ認証が行なわれてもよい。
<Third Embodiment>
The control device that performs user authentication may be a device other than the
ゲートウェイ10がユーザ認証を行なう場合、ゲートウェイ10のCPU11が記憶部13に記憶されているプログラムをRAM12上に読み出して実行することによって、図6の各機能はCPU11によって実現される。この場合、取得部311は、制御プログラムを更新するECU30またはその他のECU30Aと通信することで、当該ECU30がデバイス7から取得したユーザ情報Y1を取得する。更新管理者のユーザ情報を記憶するデータベースDBは記憶部13に用意されていて、読出部312が記憶部13からユーザ情報Y2を読み出してもよい。または、読出部312は、制御プログラムを更新するECU30またはその他のECU30Aもしくは管理サーバ5と通信することで、これら装置に記憶されているユーザ情報Y2を読み出してもよい。
When the
ゲートウェイ10は、ECU30に更新プログラムを渡して制御プログラムの更新を要求する(ステップS5)前にユーザ認証を行う。たとえば、ゲートウェイ10は、管理サーバ5から更新プログラムのダウンロードが要求された際(ステップS1)にユーザ認証を行ってもよいし、車両1のドアロック/アンロックのタイミングや電源ON操作を受け付けたタイミングなどのユーザが車両1の運転を開始する、または内部にいるタイミングにユーザ認証を行ってもよい。なお、ゲートウェイ10は、ユーザ認証より前に更新プログラムをECU30に渡し、ユーザ認証に成功した場合に当該ECU30に制御プログラムの更新を要求してもよい。
The
<第4の実施の形態>
ユーザ認証を行う制御装置は、車外の制御装置であってもよい。図5に示されたように、管理サーバ5はECU30での制御プログラムの更新をゲートウェイ10に要求するため(ステップS4)、管理サーバ5もECU30での制御プログラムの更新に関する処理を制御する制御装置であると言える。従って、管理サーバ5においてユーザ認証が行なわれてもよい。
<Fourth embodiment>
The control device that performs user authentication may be a control device outside the vehicle. As shown in FIG. 5, since the
管理サーバ5がユーザ認証を行なう場合、管理サーバ5のCPU51がROM52に記憶されているプログラムをRAM53上に読み出して実行することによって、図6の各機能はCPU51によって実現される。この場合、取得部311は、制御プログラムを更新するECU30またはその他のECU30Aと通信することで、当該ECU30がデバイス7から取得したユーザ情報Y1を取得する。更新管理者のユーザ情報を記憶するデータベースDBは記憶部54に用意されていて、読出部312が記憶部54からユーザ情報Y2を読み出してもよい。または、読出部312は、制御プログラムを更新するECU30やゲートウェイ10と通信することで、これら装置に記憶されているユーザ情報Y2を読み出してもよい。
When the
管理サーバ5は、制御プログラムの更新をゲートウェイ10に要求する(ステップS4)前にユーザ認証を行う。たとえば、管理サーバ5は、ゲートウェイ10に更新プログラムのダウンロードを要求する(ステップS1)前にユーザ認証を行ってもよいし、ECU30の制御プログラムの更新をゲートウェイ10に要求する(ステップS4)前にユーザ認証を行ってもよい。また、管理サーバ5とDLサーバ6とが同一のサーバ装置で構成される場合には、これらサーバがゲートウェイ10に更新プログラムを送信する(ステップS2)前にユーザ認証を行ってもよい。
The
今回開示された実施の形態はすべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は上記した説明ではなくて特許請求の範囲によって示され、特許請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。 The embodiment disclosed this time should be considered as illustrative in all points and not restrictive. The scope of the present invention is defined by the terms of the claims, rather than the description above, and is intended to include any modifications within the scope and meaning equivalent to the terms of the claims.
1 車両
2 広域通信網
5 管理サーバ(制御装置)
6 DLサーバ(制御装置)
7 デバイス
10 ゲートウェイ(制御装置)
11 CPU
12 RAM
13 記憶部
14 車内通信部
15 無線通信部
30 ECU(車載制御装置)
31 CPU
32 RAM
33 記憶部
34 第1通信部
35 起動部
36 第2通信部
51 CPU
52 ROM
53 RAM
54 記憶部
55 通信部
311 取得部(ユーザ認証部)
312 読出部(ユーザ認証部)
313 判定部(ユーザ認証部)
314 更新処理部(更新制御部)
Y1,Y2 ユーザ情報
1
6 DL server (control device)
7
11 CPU
12 RAM
DESCRIPTION OF
31 CPU
32 RAM
33
52 ROM
53 RAM
54
312 Reading unit (user authentication unit)
313 determination unit (user authentication unit)
314 Update processing unit (update control unit)
Y1, Y2 User information
Claims (10)
前記車両のユーザの情報である第1のユーザ情報と、前記制御プログラムの更新の管理者として予め登録されているユーザの情報である第2のユーザ情報とを照合することによって得られる、前記車両のユーザが前記管理者であるか否かの判定の結果を取得するユーザ認証部と、
前記判定の結果に基づいて前記制御プログラムの更新に関する処理を制御する更新制御部と、を備える、制御装置。 A control device for controlling an update of a control program for controlling the target device of an in-vehicle control device for controlling the target device mounted on a vehicle,
The vehicle obtained by collating first user information that is user information of the vehicle and second user information that is user information registered in advance as an administrator of the update of the control program A user authenticating unit for obtaining a result of the determination as to whether or not the user is the administrator;
And an update control unit that controls processing related to the update of the control program based on the result of the determination.
前記第1のユーザ情報を取得する取得部と、
前記第1のユーザ情報を用いて前記判定を行う判定部と、を含む、請求項1〜請求項3のいずれか一項に記載の制御装置。 The user authentication unit includes:
An acquisition unit for acquiring the first user information;
The control apparatus as described in any one of Claims 1-3 including the determination part which performs the said determination using said 1st user information.
前記ユーザ認証部は、前記記憶部から前記第2のユーザ情報を読み出す読出部をさらに含み、
前記判定部は、前記取得部によって取得された第1のユーザ情報と前記読出部によって読み出された前記第2のユーザ情報とを用いて前記判定を行う、請求項4〜請求項6のいずれか一項に記載の制御装置。 A storage unit for storing the second user information;
The user authentication unit further includes a reading unit that reads the second user information from the storage unit,
7. The determination unit according to claim 4, wherein the determination unit performs the determination using the first user information acquired by the acquisition unit and the second user information read by the reading unit. A control device according to claim 1.
前記判定部は、前記取得部によって取得された第1のユーザ情報と前記読出部によって読み出された前記第2のユーザ情報とを用いて前記判定を行う、請求項4〜請求項6のいずれか一項に記載の制御装置。 The user authentication unit further includes a reading unit that reads the second user information from a storage unit that stores the second user information included in another device,
7. The determination unit according to claim 4, wherein the determination unit performs the determination using the first user information acquired by the acquisition unit and the second user information read by the reading unit. A control device according to claim 1.
前記車両のユーザの情報である第1のユーザ情報と、前記制御プログラムの更新の管理者として予め登録されているユーザの情報である第2のユーザ情報とを照合することによって得られる、前記車両のユーザが前記管理者であるか否かの判定の結果を取得するステップと、
前記判定の結果に基づいて前記制御プログラムの更新に関する処理を制御するステップと、を備える、プログラム更新方法。 An in-vehicle control device for controlling a target device mounted on a vehicle, a method for updating a control program for controlling the target device,
The vehicle obtained by collating first user information that is user information of the vehicle and second user information that is user information registered in advance as an administrator of the update of the control program Obtaining a result of the determination as to whether or not the user is the administrator;
And a step of controlling processing related to the update of the control program based on the result of the determination.
前記車両のユーザの情報である第1のユーザ情報と、前記制御プログラムの更新の管理者として予め登録されているユーザの情報である第2のユーザ情報とを照合することによって得られる、前記車両のユーザが前記管理者であるか否かの判定の結果を取得するユーザ認証部と、
前記判定の結果に基づいて前記制御プログラムの更新に関する処理を制御する更新制御部と、として機能させる、コンピュータプログラム。 A computer program for causing a computer to function as a control device for controlling an update of a control program for controlling the target device of an in-vehicle control device for controlling the target device mounted on a vehicle, the computer comprising:
The vehicle obtained by collating first user information that is user information of the vehicle and second user information that is user information registered in advance as an administrator of the update of the control program A user authenticating unit for obtaining a result of the determination as to whether or not the user is the administrator;
A computer program that functions as an update control unit that controls processing related to update of the control program based on a result of the determination.
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016110615A JP2017215889A (en) | 2016-06-02 | 2016-06-02 | Control device, program update method, and computer program |
PCT/JP2016/080047 WO2017208474A1 (en) | 2016-06-02 | 2016-10-11 | Control device, program update method, and computer program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016110615A JP2017215889A (en) | 2016-06-02 | 2016-06-02 | Control device, program update method, and computer program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2017215889A true JP2017215889A (en) | 2017-12-07 |
Family
ID=60479507
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016110615A Pending JP2017215889A (en) | 2016-06-02 | 2016-06-02 | Control device, program update method, and computer program |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP2017215889A (en) |
WO (1) | WO2017208474A1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2019221133A (en) * | 2018-06-14 | 2019-12-26 | インテグレーテッド・デバイス・テクノロジー・インコーポレーテッド | Bi-directional communication in wireless power transmission |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7218623B2 (en) * | 2019-03-08 | 2023-02-07 | 住友電装株式会社 | VEHICLE UPDATE DEVICE, UPDATE PROCESSING SYSTEM, UPDATE PROCESSING METHOD, AND COMPUTER PROGRAM |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002044742A (en) * | 2000-07-28 | 2002-02-08 | Omron Corp | Operating system for vehicle control apparatus and the apparatus |
JP2012224239A (en) * | 2011-04-20 | 2012-11-15 | Toyota Motor Corp | Authentication system, and authentication method |
CN103154959B (en) * | 2011-09-12 | 2016-05-11 | 丰田自动车株式会社 | Electronic control device for vehicle |
-
2016
- 2016-06-02 JP JP2016110615A patent/JP2017215889A/en active Pending
- 2016-10-11 WO PCT/JP2016/080047 patent/WO2017208474A1/en active Application Filing
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2019221133A (en) * | 2018-06-14 | 2019-12-26 | インテグレーテッド・デバイス・テクノロジー・インコーポレーテッド | Bi-directional communication in wireless power transmission |
Also Published As
Publication number | Publication date |
---|---|
WO2017208474A1 (en) | 2017-12-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6069039B2 (en) | Gateway device and service providing system | |
US9464905B2 (en) | Over-the-air vehicle systems updating and associate security protocols | |
JP6962252B2 (en) | Program update system, program update method and computer program | |
JP6465258B1 (en) | Control device, control method, and computer program | |
CN109102593B (en) | Method and apparatus for managing vehicle control authority | |
WO2014119380A1 (en) | Access limiting device, on-board communication system, and communication limiting method | |
WO2017149821A1 (en) | Control device, program update method, and computer program | |
CN113873498A (en) | Server, management method, non-temporary storage medium, software updating device, center, and over-the-air host | |
US9691204B2 (en) | Method and apparatus for secure vehicle system access from a remote system | |
US10939296B2 (en) | Vehicle smart connection | |
US20200204371A1 (en) | Policy and Token Based Authorization Framework for Connectivity | |
WO2019035275A1 (en) | Vehicle safety system and vehicle safety method | |
JP6358286B2 (en) | Control device, program update method, and computer program | |
WO2022078193A1 (en) | Vehicle control method and apparatus, and storage medium | |
WO2017208474A1 (en) | Control device, program update method, and computer program | |
US20240069906A1 (en) | Server, software update system, distribution method, and non-transitory storage medium | |
WO2018142749A1 (en) | Control device, program updating method, and computer program | |
JP2020021161A (en) | Communication device | |
US11670117B2 (en) | Vehicle and software update method | |
CN113254047A (en) | Vehicle configuration upgrading method, vehicle-mounted terminal, server, vehicle and medium | |
US11941126B2 (en) | Center, information rewriting method, and non-transitory storage medium | |
KR102651345B1 (en) | A method of updating vehicle software using the Wi-Fi function of a cellphone | |
CN107729757B (en) | Software authentication before software update | |
JP2022015168A (en) | Software update apparatus, method, program, system, center, and vehicle | |
CN117319973A (en) | Bluetooth connection method, terminal device and storage medium |