JP6390398B2 - In-vehicle network system - Google Patents

In-vehicle network system Download PDF

Info

Publication number
JP6390398B2
JP6390398B2 JP2014250497A JP2014250497A JP6390398B2 JP 6390398 B2 JP6390398 B2 JP 6390398B2 JP 2014250497 A JP2014250497 A JP 2014250497A JP 2014250497 A JP2014250497 A JP 2014250497A JP 6390398 B2 JP6390398 B2 JP 6390398B2
Authority
JP
Japan
Prior art keywords
control device
external tool
program data
ecu
electronic control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2014250497A
Other languages
Japanese (ja)
Other versions
JP2016112909A (en
Inventor
岸 弘行
弘行 岸
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2014250497A priority Critical patent/JP6390398B2/en
Publication of JP2016112909A publication Critical patent/JP2016112909A/en
Application granted granted Critical
Publication of JP6390398B2 publication Critical patent/JP6390398B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Stored Programmes (AREA)

Description

本発明は、車載ネットワークシステムに関する。   The present invention relates to an in-vehicle network system.

従来、特許文献1に記載の車載ネットワークシステムがある。特許文献1に記載の車載ネットワークシステムは、各種電子制御装置(ECU: Electronic Control Unit)が接続される複数のネットワークと、複数のネットワーク間の通信を中継するゲートウェイ制御装置とを備えている。   Conventionally, there is an in-vehicle network system described in Patent Document 1. The in-vehicle network system described in Patent Literature 1 includes a plurality of networks to which various electronic control units (ECUs) are connected, and a gateway control device that relays communication between the plurality of networks.

特許第5375905号公報Japanese Patent No. 5375905

ところで、ECUは、一般に、ROM(Read Only Memory)に記憶されたプログラムデータに基づいて各種制御を行う。ROMに格納されたプログラムデータは、例えばバージョンアップや機能追加等のために、書き換えが必要な場合がある。ROMの書き換えは、例えば車両の外部からゲートウェイ制御装置を介して外部ツールを接続し、当該外部ツールによりROMに記憶されたプログラムデータを書き換えることで行われる。   By the way, the ECU generally performs various controls based on program data stored in a ROM (Read Only Memory). The program data stored in the ROM may need to be rewritten, for example, for version upgrade or function addition. The rewriting of the ROM is performed, for example, by connecting an external tool from the outside of the vehicle via the gateway control device and rewriting the program data stored in the ROM by the external tool.

ここで、ゲートウェイ制御装置には、ROMの書き換えが行われるECU以外にも様々なECUが接続されている。以下では、便宜上、ROMの書き換えが行われるECUを「書き換え対象ECU」と称し、それ以外のECUを「書き換え対象外ECU」と称する。外部ツールから送信されるプログラムデータをゲートウェイ制御装置を介して書き換え対象ECUに送信している間、ゲートウェイ制御装置が書き換え対象外ECUの通信を中継すると、ゲートウェイ制御装置と書き換え対象ECUとの間の通信速度が低下し、プログラムデータの書き換え完了時間が遅延するおそれがある。   Here, various ECUs are connected to the gateway control device in addition to the ECU in which the ROM is rewritten. Hereinafter, for the sake of convenience, the ECU in which the ROM is rewritten is referred to as “rewrite target ECU”, and the other ECUs are referred to as “non-rewrite ECU”. While the program data transmitted from the external tool is being transmitted to the rewrite target ECU via the gateway control device, when the gateway control device relays the communication of the non-rewrite target ECU, between the gateway control device and the rewrite target ECU. There is a possibility that the communication speed is lowered and the program data rewrite completion time is delayed.

また、ゲートウェイ制御装置が通信の中継処理以外に所定の車両制御を併せて実行するものである場合、その制御処理の実行分だけゲートウェイ制御装置の中継処理が遅延する。これに起因してゲートウェイ制御装置と書き換え対象ECUとの間の通信速度が低下すると、同様にプログラムデータの書き換え完了時間が遅延するおそれがある。   Further, when the gateway control device executes predetermined vehicle control in addition to the communication relay processing, the gateway control device relay processing is delayed by the amount of execution of the control processing. If the communication speed between the gateway control device and the rewrite target ECU decreases due to this, the program data rewrite completion time may similarly be delayed.

本発明は、こうした実情に鑑みてなされたものであり、その目的は、ゲートウェイ制御装置に接続された電子制御装置のプログラムデータの書き換え速度を向上させることのできる車載ネットワークシステムを提供することにある。   The present invention has been made in view of such circumstances, and an object thereof is to provide an in-vehicle network system capable of improving the rewrite speed of program data of an electronic control device connected to a gateway control device. .

上記課題を解決する車載ネットワークシステム(1)では、電子制御装置(20,30)が接続されるネットワーク(NW1)と、外部ツール(40)が接続されるネットワーク(NW2)とがゲートウェイ制御装置(10)を介して接続されている。外部ツールは、ゲートウェイ制御装置を介した電子制御装置との通信に基づいて電子制御装置のプログラムデータの書き換えを行う。ゲートウェイ制御装置は、電子制御装置のプログラムデータの書き換えの際に外部ツールと電子制御装置との間で通信される特定の信号の中継に基づいて、プログラムデータの書き換えに関連する通信を優先するように通信の中継を制限する書き換え専用状態に移行する。電子制御装置は、プログラムデータの書き換えに先立ち、外部ツールとの通信に基づいて当該外部ツールの認証を行い、当該認証が成立することを条件にセキュリティを解除して、当該セキュリティが解除されていることを条件にプログラムデータの書き換えが許可される書き換え許可状態への移行が可能となるとともに、外部ツールとの通信に基づいてセキュリティを解除した際に、その旨を示すセキュリティ解除信号を外部ツールにゲートウェイ制御装置を介して送信する。外部ツールは、電子制御装置から送信されるセキュリティ解除信号を受信した際に、書き換え許可状態への移行を要求する移行要求信号を電子制御装置にゲートウェイ制御装置を介して送信する。特定の信号は、セキュリティ解除信号である。
また、上記課題を解決する車載ネットワークシステム(1)では、電子制御装置(20,30)が接続されるネットワーク(NW1)と、外部ツール(40)が接続されるネットワーク(NW2)とがゲートウェイ制御装置(10)を介して接続されている。外部ツールは、ゲートウェイ制御装置を介した電子制御装置との通信に基づいて電子制御装置のプログラムデータの書き換えを行う。ゲートウェイ制御装置は、電子制御装置のプログラムデータの書き換えの際に外部ツールと電子制御装置との間で通信される特定の信号の中継に基づいて、プログラムデータの書き換えに関連する通信を優先するように通信の中継を制限する書き換え専用状態に移行する。電子制御装置は、プログラムデータの書き換えに先立ち、外部ツールとの通信に基づいて当該外部ツールの認証を行い、当該認証が成立することを条件にセキュリティを解除して、当該セキュリティが解除されていることを条件にプログラムデータの書き換えが許可される書き換え許可状態への移行が可能となるとともに、外部ツールとの通信に基づいてセキュリティを解除した際に、その旨を示すセキュリティ解除信号を外部ツールにゲートウェイ制御装置を介して送信する。外部ツールは、電子制御装置から送信されるセキュリティ解除信号を受信した際に、書き換え許可状態への移行を要求する移行要求信号を電子制御装置にゲートウェイ制御装置を介して送信する。特定の信号は、移行要求信号である。 In the in-vehicle network system (1) that solves the above problem, the network (NW1) to which the electronic control device (20, 30) is connected and the network (NW2) to which the external tool (40) is connected are the gateway control device ( 10). The external tool rewrites the program data of the electronic control device based on communication with the electronic control device via the gateway control device. The gateway control device gives priority to the communication related to the rewriting of the program data based on the relay of a specific signal communicated between the external tool and the electronic control device when rewriting the program data of the electronic control device. Transition to a rewrite-only state that restricts relaying of communications. Prior to rewriting the program data, the electronic control device authenticates the external tool based on communication with the external tool, releases the security on the condition that the authentication is established, and the security is released. It is possible to shift to a rewrite-permitted state where program data can be rewritten on the condition that a security release signal indicating that is released to the external tool when security is released based on communication with the external tool. Transmit via the gateway controller. When the external tool receives the security release signal transmitted from the electronic control device, the external tool transmits a transition request signal requesting the transition to the rewrite permission state to the electronic control device via the gateway control device. The specific signal is a security release signal.
In the in-vehicle network system (1) that solves the above problem, the network (NW1) to which the electronic control unit (20, 30) is connected and the network (NW2) to which the external tool (40) is connected are gateway-controlled. It is connected via a device (10). The external tool rewrites the program data of the electronic control device based on communication with the electronic control device via the gateway control device. The gateway control device gives priority to the communication related to the rewriting of the program data based on the relay of a specific signal communicated between the external tool and the electronic control device when rewriting the program data of the electronic control device. Transition to a rewrite-only state that restricts relaying of communications. Prior to rewriting the program data, the electronic control device authenticates the external tool based on communication with the external tool, releases the security on the condition that the authentication is established, and the security is released. It is possible to shift to a rewrite-permitted state where program data can be rewritten on the condition that a security release signal indicating that is released to the external tool when security is released based on communication with the external tool. Transmit via the gateway controller. When the external tool receives the security release signal transmitted from the electronic control device, the external tool transmits a transition request signal requesting the transition to the rewrite permission state to the electronic control device via the gateway control device. The specific signal is a transition request signal.

この構成によれば、電子制御装置のプログラムデータの書き換えの際に外部ツールと電子制御装置との間で通信が行われると、当該通信に用いられる特定の信号に基づいてゲートウェイ制御装置が自動的に書き換え専用状態に移行する。すなわち、ゲートウェイ制御装置は、プログラムデータの書き換えに関連する通信を優先するように通信の中継を制限する状態に自動的に移行する。そのため、電子制御装置のプログラムデータの書き換え速度を向上させることができる。   According to this configuration, when communication is performed between the external tool and the electronic control device when the program data of the electronic control device is rewritten, the gateway control device is automatically set based on the specific signal used for the communication. Move to the rewrite-only state. That is, the gateway control device automatically shifts to a state in which communication relay is restricted so that communication related to rewriting of program data is given priority. Therefore, the rewriting speed of the program data of the electronic control device can be improved.

本発明によれば、ゲートウェイ制御装置に接続された電子制御装置のプログラムデータの書き換え速度を向上させることができる。   According to the present invention, the rewriting speed of program data of the electronic control device connected to the gateway control device can be improved.

車載ネットワークシステムの一実施形態についてその概略構成を示すブロック図。The block diagram which shows the schematic structure about one Embodiment of a vehicle-mounted network system. 実施形態の車載ネットワークシステムについてそのゲートウェイECUの概略構成を模式的に示す図。The figure which shows typically schematic structure of the gateway ECU about the vehicle-mounted network system of embodiment. 実施形態の車載ネットワークシステムについて外部ツール、ゲートウェイECU、書き換え対象ECU、及び書き換え対象外ECUの動作例の一部を示すシーケンスチャート。The sequence chart which shows a part of operation example of external tool, gateway ECU, rewriting object ECU, and non-rewriting object ECU about the vehicle-mounted network system of embodiment. 実施形態の車載ネットワークシステムについて外部ツール、ゲートウェイECU、書き換え対象ECU、及び書き換え対象外ECUの動作例の一部を示すシーケンスチャート。The sequence chart which shows a part of operation example of external tool, gateway ECU, rewriting object ECU, and non-rewriting object ECU about the vehicle-mounted network system of embodiment. 実施形態の車載ネットワークシステムについてゲートウェイECUにより実行される処理の手順を示すフローチャート。The flowchart which shows the procedure of the process performed by gateway ECU about the vehicle-mounted network system of embodiment. 車載ネットワークシステムの変形例について外部ツール、ゲートウェイECU、書き換え対象ECU、及び書き換え対象外ECUの動作例の一部を示すシーケンスチャート。The sequence chart which shows a part of operation example of external tool, gateway ECU, rewriting object ECU, and non-rewriting object ECU about the modification of a vehicle-mounted network system. 車載ネットワークシステムの他の変形例についてゲートウェイECUにより実行される処理の手順を示すフローチャート。The flowchart which shows the procedure of the process performed by gateway ECU about the other modification of a vehicle-mounted network system. 車載ネットワークシステムの他の変形例についてゲートウェイECUにより実行される処理の手順を示すフローチャート。The flowchart which shows the procedure of the process performed by gateway ECU about the other modification of a vehicle-mounted network system.

以下、車載ネットワークシステムの一実施形態について説明する。はじめに、図1を参照して、本実施形態の車載ネットワークシステムの概要について説明する。   Hereinafter, an embodiment of the in-vehicle network system will be described. First, with reference to FIG. 1, the outline | summary of the vehicle-mounted network system of this embodiment is demonstrated.

図1に示されるように、本実施形態の車載ネットワークシステム1は車両Cに搭載されている。車載ネットワークシステム1は、ゲートウェイ制御装置(ゲートウェイECU)10と、複数の電子制御装置(ECU)20,30とを有している。   As shown in FIG. 1, the in-vehicle network system 1 of this embodiment is mounted on a vehicle C. The in-vehicle network system 1 includes a gateway control device (gateway ECU) 10 and a plurality of electronic control devices (ECU) 20 and 30.

ECU20,30は、車両Cに搭載された各種ECU、例えば車載エンジンの駆動を制御するエンジンECUや、自動変速機の駆動を制御するトランスミッションECU等を示す。また、ECU20,30には、ゲートウェイECU10とは別のゲートウェイECUも含まれる。ECU20,30は、マイクロコンピュータを中心に構成されており、CPU(中央演算処理装置)21,31やRAM(Random Access Memory)22,32、ROM(Read Only Memory)23,33等をそれぞれ有している。CPU21,31は、ROM22,32に記憶されたプログラムデータPa,Pbに基づいて各種制御処理をそれぞれ実行する。ECU20,30はバスB1を介して通信可能に接続されている。   The ECUs 20 and 30 indicate various ECUs mounted on the vehicle C, for example, an engine ECU that controls driving of an in-vehicle engine, a transmission ECU that controls driving of an automatic transmission, and the like. Further, the ECUs 20 and 30 include a gateway ECU different from the gateway ECU 10. The ECUs 20 and 30 are configured around a microcomputer, and have CPUs (Central Processing Units) 21 and 31, RAMs (Random Access Memory) 22 and 32, ROMs (Read Only Memory) 23 and 33, respectively. ing. The CPUs 21 and 31 execute various control processes based on the program data Pa and Pb stored in the ROMs 22 and 32, respectively. The ECUs 20 and 30 are communicably connected via the bus B1.

ゲートウェイECU10はバスB1を介してECU20,30に接続されている。また、ゲートウェイECU10はバスB2を介して外部端子T1に接続されている。外部端子T1には、接続端子T2を介して外部ツール40が接続される。ゲートウェイECU10は、バスB1により構成されるネットワークNW1と、バスB2により構成されるネットワークNW2との間の通信を中継する。また、ゲートウェイECU10は、バスB2と、バスB2とは別の図示しない車両内のバスとの間の通信を中継する。なお、ゲートウェイECU10は、通信を中継する機能に限らず、例えば車両ドアのロック/アンロック制御やヘッドライトの点灯制御等の車両制御を併せて実行するものであってもよい。   The gateway ECU 10 is connected to the ECUs 20 and 30 via the bus B1. The gateway ECU 10 is connected to the external terminal T1 via the bus B2. The external tool 40 is connected to the external terminal T1 via the connection terminal T2. The gateway ECU 10 relays communication between the network NW1 configured by the bus B1 and the network NW2 configured by the bus B2. Further, the gateway ECU 10 relays communication between the bus B2 and a bus in the vehicle (not shown) different from the bus B2. The gateway ECU 10 is not limited to the function of relaying communication, and may execute vehicle control such as vehicle door lock / unlock control and headlight lighting control, for example.

外部ツール40は、ゲートウェイECU10及びECU20,30のバージョンアップや機能追加等のために、それらのプログラムデータを書き換えるための装置である。外部ツール40は、作業者により手動で操作される。外部ツール40は、例えばバスB2、ゲートウェイECU10、及びバスB1を介してECU20,30に新たなプログラムデータを送信することにより、各ECU20,30のプログラムデータPa,Pbを書き換える。なお、プログラムデータPa,Pbの書き換えは、車両が使用されていない状態でディーラや工場等で行われる。   The external tool 40 is a device for rewriting program data for upgrading the version of the gateway ECU 10 and the ECUs 20 and 30 and adding functions. The external tool 40 is manually operated by an operator. The external tool 40 rewrites the program data Pa, Pb of each ECU 20, 30 by transmitting new program data to the ECU 20, 30 via, for example, the bus B2, the gateway ECU 10, and the bus B1. Note that the program data Pa and Pb are rewritten at a dealer, a factory, or the like when the vehicle is not being used.

本実施形態では、外部ツール40によるプログラムデータの書き換えがECU20を対象として行われる場合について例示する。すなわち、本実施形態では、ECU20が「書き換え対象ECU」となっており、ECU21が「書き換え対象外ECU」となっている。   In this embodiment, the case where rewriting of the program data by the external tool 40 is performed for the ECU 20 is illustrated. That is, in the present embodiment, the ECU 20 is a “rewrite target ECU”, and the ECU 21 is a “non-rewrite ECU”.

次に、図2を参照して、ゲートウェイECU10の構成について詳しく説明する。
ゲートウェイECU10は、マイクロコンピュータを中心に構成されており、図2に示されるように、CPU11と、RAM12と、ROM13とを備えている。 Next, the configuration of the gateway ECU 10 will be described in detail with reference to FIG.
The gateway ECU 10 is configured around a microcomputer, and includes a CPU 11, a RAM 12, and a ROM 13, as shown in FIG.

RAM12には、CPU11の演算途中のデータや演算結果等が一時的に記憶される。
ROM13には、通常制御用プログラムデータP1と、書き換え専用プログラムデータP2とが記憶されている。 The RAM 12 temporarily stores data, calculation results, and the like during the calculation by the CPU 11.
The ROM 13 stores normal control program data P1 and rewrite-only program data P2.

通常制御用プログラムデータP1は、ゲートウェイECU10により通常行われる制御プログラムであり、例えばバスB1とバスB2との間でプロトコル変換を行うためのプログラムデータや、バスB2と図示しない社内の他のバスとの間でプロトコル変換を行うためのプログラムデータ等が含まれている。また、ゲートウェイECU10が、例えば車両ドアのロック/アンロック制御やヘッドライトの点灯制御等を併せて実行する場合には、それらの制御用プログラムデータも通常制御用プログラムデータP1に含まれている。   The normal control program data P1 is a control program that is normally performed by the gateway ECU 10. For example, program data for performing protocol conversion between the bus B1 and the bus B2, and bus B2 and other internal buses not shown in the figure. Program data and the like for performing protocol conversion between them are included. Further, when the gateway ECU 10 executes, for example, vehicle door lock / unlock control and headlight lighting control, the control program data is also included in the normal control program data P1.

書き換え専用プログラムデータP2は、プログラムデータの書き換えに関連する通信を優先するように通信の中継に制限を設ける処理を実行するためのプログラムデータである。   The rewrite-only program data P2 is program data for executing processing for limiting communication relay so that communication related to rewriting of program data is prioritized.

CPU11は、ROM13に記憶された通常制御用プログラムデータP1に基づいて、ゲートウェイECU10により行われる通常制御を実行する。また、CPU11は、外部端子T1に外部ツール40が接続された際、外部ツール40からの要求に応じて、ROM13に記憶された書き換え専用プログラムデータP2を実行する。これにより、CPU11は、プログラムデータの書き換えに関連する通信を優先する状態になる。   The CPU 11 executes normal control performed by the gateway ECU 10 based on the normal control program data P1 stored in the ROM 13. Further, when the external tool 40 is connected to the external terminal T1, the CPU 11 executes the rewrite-only program data P2 stored in the ROM 13 in response to a request from the external tool 40. As a result, the CPU 11 is in a state of giving priority to communication related to rewriting of program data.

次に、図3を参照して、外部ツール40による書き換え対象ECU20のプログラムデータPaの書き換え手順について詳しく説明する。なお、図3に示される処理は、例えば車両が使用されていない状態で工場やディーラにおいて作業者が外部ツール40を操作することにより行われる。また、図3に示されるプログラムデータPaの書き換え手順としては、例えばUDS(ISO14229)に準拠した手順を採用することができる。   Next, with reference to FIG. 3, the rewriting procedure of the program data Pa of the rewriting target ECU 20 by the external tool 40 will be described in detail. Note that the process shown in FIG. 3 is performed, for example, when an operator operates the external tool 40 in a factory or a dealer in a state where the vehicle is not used. As a rewrite procedure of the program data Pa shown in FIG. 3, for example, a procedure based on UDS (ISO 14229) can be adopted.

図3に示されるように、外部ツール40は、まず、ゲートウェイECU10を介して各ECU20,30に非通常状態移行要求信号を送信する(ステップS100)。ゲートウェイECU10は、非通常状態移行要求信号を中継すると(ステップS200)、通常状態( Default Session)から非通常状態(Non-Default Session)に移行する(ステップS201)。各ECU20,30は、非通常状態移行要求信号を受信すると(ステップS300,S400)、通常状態から非通常状態に移行する(ステップS301,S401)。なお、通常状態とは、各ECU10,20,30がそれぞれの役割に応じた通常の制御を行う状態である。非通常状態とは、外部ツール40からの要求に応じて通常実行できない特殊な操作が可能となる状態である。各ECU10,20,30が非通常状態に移行することにより、例えば異常検出を禁止させたり、通信を停止させる等の特殊な操作が可能となる。   As shown in FIG. 3, the external tool 40 first transmits an abnormal state transition request signal to each ECU 20, 30 via the gateway ECU 10 (step S100). When the gateway ECU 10 relays the non-normal state transition request signal (step S200), the gateway ECU 10 shifts from the normal state (Default Session) to the non-normal state (Non-Default Session) (step S201). When each of the ECUs 20 and 30 receives the non-normal state transition request signal (steps S300 and S400), the ECU 20 and 30 transition from the normal state to the non-normal state (steps S301 and S401). Note that the normal state is a state in which the ECUs 10, 20, and 30 perform normal control according to their roles. The non-normal state is a state in which a special operation that cannot be normally performed in response to a request from the external tool 40 is possible. When each of the ECUs 10, 20, and 30 shifts to the non-normal state, for example, a special operation such as prohibiting abnormality detection or stopping communication becomes possible.

また、各ECU10,20,30は、非通常状態に移行した際、何らかの信号を所定の時間受信できないことを条件に、あるいは通常状態移行要求信号を受信することを条件に通常状態に復帰する。以下では、便宜上、この所定の時間を「復帰設定時間」と称する。本実施形態では、復帰設定時間よりも短い周期で各ECU10,20,30に何らかの信号を送信することにより、各ECU10,20,30を非通常状態に維持させることが可能となっている。   In addition, each ECU 10, 20, 30 returns to the normal state on the condition that some signal cannot be received for a predetermined time when it shifts to the non-normal state, or on the condition that the normal state shift request signal is received. Hereinafter, for the sake of convenience, this predetermined time is referred to as “return set time”. In this embodiment, each ECU 10, 20, 30 can be maintained in an abnormal state by transmitting some signal to each ECU 10, 20, 30 at a cycle shorter than the return set time.

外部ツール40は、各ECU10,20,30を非通常状態に移行させた後、ゲートウェイECU10を介して各ECU20,30にダイアグマスク要求信号を送信する(ステップS101)。ゲートウェイECU10は、ダイアグマスク要求信号を中継すると(ステップS202)、ダイアグマスク状態に移行する(ステップS203)。各ECU20,30は、ダイアグマスク要求信号を受信すると(ステップS302,S402)、ダイアグマスク状態に移行する(ステップS303,S403)。ダイアグマスク状態とは、非通常状態において選択可能な一状態であり、異常検出機能が無効化された状態を示す。各ECU10,20,30がダイアグマスク状態になることにより、書き換え対象ECU20のプログラムデータPaの書き換えの際に書き換え対象ECU20とそれ以外のECU10,30との間の通信が途絶えたとしても、それを理由に各ECU10,20,30が異常検出を行うことを回避できる。   The external tool 40 transmits a diagnostic mask request signal to each ECU 20, 30 via the gateway ECU 10 after shifting each ECU 10, 20, 30 to the non-normal state (step S101). When the gateway ECU 10 relays the diagnosis mask request signal (step S202), the gateway ECU 10 shifts to a diagnosis mask state (step S203). When each of the ECUs 20 and 30 receives the diagnosis mask request signal (steps S302 and S402), the ECUs 20 and 30 shift to the diagnosis mask state (steps S303 and S403). The diagnostic mask state is a state that can be selected in the non-normal state, and indicates a state in which the abnormality detection function is invalidated. Even if communication between the rewrite target ECU 20 and the other ECUs 10 and 30 is interrupted when the program data Pa of the rewrite target ECU 20 is rewritten by the diagnosis mask state of each ECU 10, 20, 30, For this reason, it is possible to avoid that each ECU 10, 20, 30 detects an abnormality.

外部ツール40は、各ECU10,20,30をダイアグマスク状態に移行させた後、ゲートウェイECU10を介して各ECU20,30に送信停止要求信号を送信する(ステップS102)。各ECU20,30は、送信停止要求信号を受信すると(ステップS304,S404)、送信停止状態に移行する(ステップS305,S405)。送信停止状態とは、非通常状態において選択可能な一状態であり、プログラムデータPaの書き換えに関連する通信を除き、他のECUへの信号の送信が停止された状態を示す。各ECU20,30が送信停止状態になることにより、プログラムデータPaの書き換えに関連する通信が優先されるため、結果的に外部ツール40と書き換え対象ECU20との間の通信速度を向上させることができる。よって、プログラムデータPaの書き換え速度を向上させることができる。   The external tool 40 transmits each ECU 10, 20, 30 to the diagnosis mask state, and then transmits a transmission stop request signal to each ECU 20, 30 via the gateway ECU 10 (step S102). When each of the ECUs 20 and 30 receives the transmission stop request signal (steps S304 and S404), it shifts to a transmission stop state (steps S305 and S405). The transmission stop state is a state that can be selected in the non-normal state, and indicates a state in which transmission of signals to other ECUs is stopped except for communication related to rewriting of program data Pa. Since each ECU 20 and 30 is in a transmission stop state, communication related to rewriting of the program data Pa is prioritized, and as a result, the communication speed between the external tool 40 and the rewriting target ECU 20 can be improved. . Therefore, the rewriting speed of the program data Pa can be improved.

外部ツール40は、各ECU20,30を送信停止状態に移行させた後、書き換え対象ECU20のセキュリティを解除する。具体的には、外部ツール40は、まず、ゲートウェイECU10を介して書き換え対象ECU20にシード要求信号を送信する(ステップS103)。書き換え対象ECU20は、シード要求信号を受信すると(ステップS306)、ランダムな文字列からなるシードを生成するとともに(ステップS307)、生成したシードを含むシード応答信号を外部ツール40にゲートウェイECU10を介して送信する(ステップS308)。   The external tool 40 releases the security of the rewriting target ECU 20 after shifting the ECUs 20 and 30 to the transmission stop state. Specifically, the external tool 40 first transmits a seed request signal to the rewriting target ECU 20 via the gateway ECU 10 (step S103). When receiving the seed request signal (step S306), the rewrite target ECU 20 generates a seed consisting of a random character string (step S307), and sends a seed response signal including the generated seed to the external tool 40 via the gateway ECU 10. Transmit (step S308).

外部ツール40は、書き換え対象ECU20から送信されるシード応答信号を受信すると(ステップS104)、当該シード応答信号に含まれるシードに基づいて暗号鍵を生成するとともに(ステップS105)、生成した暗号鍵を含む暗号鍵応答信号を書き換え対象ECU20にゲートウェイECU10を介して送信する(ステップS106)。書き換え対象ECU20は、外部ツール40にシード応答信号を送信した後(ステップS308)、当該シードに基づいて暗号鍵を生成する(ステップS309)。そして、書き換え対象ECU20は、外部ツール40から送信される暗号鍵応答信号を受信すると(ステップS310)、自らが生成した暗号鍵と、暗号鍵応答信号に含まれる暗号鍵とを照合することにより、外部ツール40の認証を行う(ステップS311)。書き換え対象ECU20は、それらの暗号鍵が互いに一致する場合には、外部ツール40の認証が成立したと判断し(ステップS312:YES)、セキュリティを解除するとともに(ステップS313)、その旨を示すセキュリティ解除信号を外部ツール40にゲートウェイECU10を介して送信する(ステップS314)。   When the external tool 40 receives the seed response signal transmitted from the rewrite target ECU 20 (step S104), the external tool 40 generates an encryption key based on the seed included in the seed response signal (step S105), and generates the generated encryption key. The encryption key response signal including this is transmitted to the rewrite target ECU 20 via the gateway ECU 10 (step S106). The rewrite target ECU 20 transmits a seed response signal to the external tool 40 (step S308), and then generates an encryption key based on the seed (step S309). Then, when the rewrite target ECU 20 receives the encryption key response signal transmitted from the external tool 40 (step S310), the rewrite target ECU 20 collates the encryption key generated by itself with the encryption key included in the encryption key response signal. The external tool 40 is authenticated (step S311). If the encryption keys coincide with each other, the rewrite target ECU 20 determines that the authentication of the external tool 40 has been established (step S312: YES), releases the security (step S313), and indicates the security indicating that. A release signal is transmitted to the external tool 40 via the gateway ECU 10 (step S314).

ゲートウェイECU10は、セキュリティ解除信号を中継すると(ステップS205)、書き換え専用状態に移行する(ステップS206)。具体的には、ゲートウェイECU10は、実行プログラムを通常制御用プログラムデータP1から書き換え専用プログラムデータP2に切り替えることにより、書き換え専用状態に移行する。これにより、ゲートウェイECU10は、書き換え対象ECU20のプログラムデータPaの書き換えに関連する通信を優先する状態となる。   When the gateway ECU 10 relays the security release signal (step S205), the gateway ECU 10 shifts to a rewrite-only state (step S206). Specifically, the gateway ECU 10 shifts to the rewrite-only state by switching the execution program from the normal control program data P1 to the rewrite-only program data P2. Thereby, gateway ECU10 will be in the state which gives priority to the communication relevant to rewriting of program data Pa of rewriting object ECU20.

外部ツール40は、書き換え対象ECU20から送信されるセキュリティ解除信号を受信すると(ステップS107)、図4に示されるように書き換え許可状態移行要求信号を書き換え対象ECU20にゲートウェイECU10を介して送信する(ステップS108)。書き換え対象ECU20は、セキュリティが解除されている状態で書き換え許可状態移行要求信号を受信すると(ステップS315)、書き換え許可状態( Programing Session)に移行する(ステップS316)。書き換え許可状態とは、非通常状態において選択可能な一状態であり、ゲートウェイECU10のROM13に記憶されたデータを書き換えることの可能な状態である。書き換え対象ECU20は、書き換え許可状態に移行した後、その旨を示す移行完了信号を外部ツール40にゲートウェイECU10を介して送信する(ステップS317)。   When the external tool 40 receives the security release signal transmitted from the rewrite target ECU 20 (step S107), the external tool 40 transmits a rewrite permission state transition request signal to the rewrite target ECU 20 via the gateway ECU 10 as shown in FIG. 4 (step S107). S108). When the rewrite target ECU 20 receives a rewrite permission state transition request signal in a state where security is released (step S315), the rewrite target ECU 20 transitions to a rewrite permission state (programming session) (step S316). The rewrite permission state is a state that can be selected in the non-normal state, and is a state in which data stored in the ROM 13 of the gateway ECU 10 can be rewritten. The rewrite target ECU 20 transmits a transition completion signal indicating that to the external tool 40 via the gateway ECU 10 after shifting to the rewrite permission state (step S317).

外部ツール40は、移行完了信号を受信すると(ステップS109)、プログラムデータPaの書き換え要求信号を書き換え対象ECU20にゲートウェイECU10を介して送信する(ステップS110)。書き換え対象ECU20は、プログラムデータPaの書き換え要求信号を受信すると(ステップS318)、当該信号に基づいて、ROM13に記憶されたプログラムデータPaの書き換えを行う(ステップS319)。なお、図示は割愛するが、外部ツール40は、プログラムデータPaの書き換えを行っている期間、ゲートウェイECU10と双方向通信を行うことにより、新たなプログラムデータPaがROM13に正しく書き込まれているか否かを検証する、いわゆるベリファイ等を行う。   When receiving the transition completion signal (step S109), the external tool 40 transmits a rewrite request signal for the program data Pa to the rewrite target ECU 20 via the gateway ECU 10 (step S110). When the rewrite target ECU 20 receives a rewrite request signal for the program data Pa (step S318), the rewrite target ECU 20 rewrites the program data Pa stored in the ROM 13 based on the signal (step S319). Although illustration is omitted, the external tool 40 performs two-way communication with the gateway ECU 10 while the program data Pa is being rewritten, so that whether or not the new program data Pa is correctly written in the ROM 13. So-called verify or the like is performed.

また、外部ツール40は、所定の周期で通信継続信号を書き換え対象ECU20及び書き換え対象外ECU30にゲートウェイECU10を介して継続的に送信することにより(ステップS111)、各ECU10,20,30の状態を維持する。本実施形態では、外部ツール40から書き換え対象ECU20へのプログラムデータPaの書き換え要求信号の送信と、外部ツール40から各ECU10,20,30への通信継続信号の送信とが、プログラムデータPaの書き換えに関連する通信となっている。   Further, the external tool 40 continuously transmits a communication continuation signal to the rewrite target ECU 20 and the non-rewrite target ECU 30 via the gateway ECU 10 at a predetermined cycle (step S111), thereby changing the state of each ECU 10, 20, 30. maintain. In the present embodiment, transmission of a rewrite request signal for program data Pa from the external tool 40 to the rewrite target ECU 20 and transmission of a communication continuation signal from the external tool 40 to each of the ECUs 10, 20, and 30 It has become communication related to.

外部ツール40は、プログラムデータPaの書き換えが行われている期間、ステップS110,S111の処理を繰り返し実行する。外部ツール40は、プログラムデータPaの書き換えが完了すると、通常状態移行要求信号を各ECU20,30にゲートウェイECU10を介して送信する(ステップS112)。ゲートウェイECU10は、通常状態移行要求信号を中継すると(ステップS207)、通常状態に移行する(ステップS208)。各ECU20,30は、通常状態移行要求信号を受信すると(ステップS320,S406)、通常状態に移行する(ステップS321,S407)。   The external tool 40 repeatedly executes the processes of steps S110 and S111 while the program data Pa is being rewritten. When the rewriting of the program data Pa is completed, the external tool 40 transmits a normal state transition request signal to each ECU 20, 30 via the gateway ECU 10 (step S112). When the gateway ECU 10 relays the normal state transition request signal (step S207), the gateway ECU 10 transitions to the normal state (step S208). When each of the ECUs 20 and 30 receives the normal state transition request signal (steps S320 and S406), the ECUs 20 and 30 transition to the normal state (steps S321 and S407).

次に、ゲートウェイECU10の動作について図5を参照して総括する。なお、ゲートウェイECU10は、非通常状態に移行した際に図5に示される動作を所定の周期で繰り返し実行する。   Next, the operation of the gateway ECU 10 will be summarized with reference to FIG. Note that the gateway ECU 10 repeatedly executes the operation shown in FIG. 5 at a predetermined cycle when the gateway ECU 10 shifts to the non-normal state.

図5に示されるように、ゲートウェイECU10は、書き換え対象ECU20のプログラムデータPaの書き換えの際に外部ツール40と書き換え対象ECU20との間で通信される特定の信号を中継したか否かを判断する(ステップS1)。本実施形態では、特定の信号としてセキュリティ解除信号が用いられている。ゲートウェイECU10は、セキュリティ解除信号を中継していない場合には(ステップS1:NO)、この処理を終了する。   As shown in FIG. 5, the gateway ECU 10 determines whether or not a specific signal communicated between the external tool 40 and the rewrite target ECU 20 is relayed when the program data Pa of the rewrite target ECU 20 is rewritten. (Step S1). In this embodiment, a security cancellation signal is used as the specific signal. Gateway ECU10 complete | finishes this process, when the security cancellation | release signal is not relayed (step S1: NO).

ゲートウェイECU10は、セキュリティ解除信号を中継した場合には(ステップS1:YES)、書き換え専用状態に移行する(ステップS2)。書き換え専用状態に移行したゲートウェイECU10は、通常状態移行要求信号を中継したか否かを判断する(ステップS3)。ゲートウェイECU10は、通常状態移行要求信号を中継していない場合には(ステップS3:NO)、信号の未受信時間が復帰設定時間以内であるか否かを判断する(ステップS4)。ゲートウェイECU10は、信号の未受信時間が復帰設定時間以内である場合には(ステップS4:YES)、ステップS3の判断処理に戻る。   When the gateway ECU 10 relays the security release signal (step S1: YES), the gateway ECU 10 shifts to a rewrite-only state (step S2). The gateway ECU 10 that has transitioned to the rewrite-only state determines whether or not the normal state transition request signal has been relayed (step S3). When the normal state transition request signal is not relayed (step S3: NO), the gateway ECU 10 determines whether or not the signal non-reception time is within the set recovery time (step S4). The gateway ECU 10 returns to the determination process in step S3 when the signal non-reception time is within the set recovery time (step S4: YES).

ゲートウェイECU10は、通常状態移行要求信号を中継した場合(ステップS3:YES)、あるいは信号の未受信時間が復帰設定時間を超えた場合には(ステップS4:NO)、通常状態に移行する(ステップS5)。   When the gateway ECU 10 relays the normal state transition request signal (step S3: YES), or when the signal non-reception time exceeds the return set time (step S4: NO), the gateway ECU 10 transitions to the normal state (step S4). S5).

以上説明した本実施形態の車載ネットワークシステム1によれば、以下の(1)及び(2)に示される作用及び効果を得ることができる。   According to the in-vehicle network system 1 of the present embodiment described above, the operations and effects shown in the following (1) and (2) can be obtained.

(1)書き換え対象ECU20のプログラムデータPaの書き換えの際に当該ECU20から外部ツール40に送信されるセキュリティ解除信号をゲートウェイECU10が中継すると、ゲートウェイECU10が自動的に書き換え専用状態に移行する。すなわち、ゲートウェイECU10は、プログラムデータPaの書き換えに関連する通信を優先させる状態に自動的に移行する。そのため、書き換え対象ECU20のプログラムデータの書き換え速度を向上させることができる。   (1) When the gateway ECU 10 relays a security release signal transmitted from the ECU 20 to the external tool 40 when the program data Pa of the rewrite target ECU 20 is rewritten, the gateway ECU 10 automatically shifts to a rewrite-only state. That is, the gateway ECU 10 automatically shifts to a state in which communication related to rewriting of the program data Pa is prioritized. Therefore, the rewriting speed of the program data of the rewriting target ECU 20 can be improved.

なお、本実施形態では、車両が使用されていない状態で工場やディーラにおいて書き換え対象ECU20のプログラムデータPaの書き換えが行われることを前提としている。車両が使用されていない状態であるが故に、プログラムデータPaの書き換えに関連する通信にゲートウェイECU10を専念させることが可能となる。   In the present embodiment, it is assumed that the program data Pa of the rewriting target ECU 20 is rewritten at a factory or dealer in a state where the vehicle is not used. Since the vehicle is not being used, the gateway ECU 10 can be dedicated to communication related to rewriting of the program data Pa.

(2)接続端子T2に不正な外部ツールが接続されたような場合、当該不正な外部ツールから書き換え対象ECU20に送信される信号に基づいてゲートウェイECU10が書き換え専用状態に移行するようなことがあると、意図せずにゲートウェイECU10の中継機能が無効化されるおそれがあるため、セキュリティの面で好ましくない。この点、本実施形態のように、ゲートウェイECU10が書き換え専用状態に移行する際のトリガとなる特定の信号として、セキュリティ解除信号を採用すれば、書き換え対象ECU20の認証結果に基づいてゲートウェイECU10を書き換え専用状態に移行させることができるため、セキュリティ性を向上させることができる。   (2) When an unauthorized external tool is connected to the connection terminal T2, the gateway ECU 10 may shift to a rewrite-only state based on a signal transmitted from the unauthorized external tool to the rewrite target ECU 20. Since the relay function of the gateway ECU 10 may be invalidated unintentionally, it is not preferable in terms of security. In this regard, as in this embodiment, if the security release signal is employed as a specific signal that triggers when the gateway ECU 10 shifts to the rewrite-only state, the gateway ECU 10 is rewritten based on the authentication result of the rewrite target ECU 20. Since it is possible to shift to a dedicated state, security can be improved.

なお、上記実施形態は、以下の形態にて実施することもできる。
・図6に示されるように、ゲートウェイECU10は、外部ツール40から送信される書き換え許可状態移行要求信号の中継に基づいて(ステップS210)、書き換え専用状態に移行してもよい(ステップS211)。すなわち、図6に示されるステップS1の処理の特定の信号として書き換え許可状態移行要求信号を採用してもよい。このような構成であっても、上記の(1)に記載の作用及び効果を得ることができる。また、外部ツール40は、セキュリティ解除信号に基づいて書き換え許可状態移行要求信号を送信する、換言すれば書き換え対象ECU20により外部ツール40の認証が成立した場合に限って書き換え許可状態移行要求信号を送信する。したがって、上記(2)に記載の作用及び効果を得ることもできる。同様に、特定の信号として移行完了信号を採用した場合でも、上記の(1)及び(2)に記載の作用及び効果を得ることができる。 In addition, the said embodiment can also be implemented with the following forms.
As shown in FIG. 6, the gateway ECU 10 may shift to the rewrite-only state based on the relay of the rewrite permission state shift request signal transmitted from the external tool 40 (step S210). That is, the rewrite permission state transition request signal may be adopted as the specific signal in the process of step S1 shown in FIG. Even if it is such a structure, the effect | action and effect as described in said (1) can be acquired. The external tool 40 transmits a rewrite permission state transition request signal based on the security release signal. In other words, the external tool 40 transmits the rewrite permission state transition request signal only when the rewriting target ECU 20 authenticates the external tool 40. To do. Therefore, the operation and effect described in (2) above can also be obtained. Similarly, even when the transition completion signal is adopted as the specific signal, the operations and effects described in (1) and (2) above can be obtained.

・ゲートウェイECU10は、特定の信号として、非通常状態移行要求信号、ダイアグマスク要求信号、送信停止要求信号、シード要求信号、シード応答信号、暗号鍵応答信号等を採用してもよい。要は、ゲートウェイECU10は、書き換え対象ECU20のプログラムデータPaの書き換えの際に外部ツール40と書き換え対象ECU20との間で通信される特定の信号の中継に基づいて書き換え専用状態に移行するものであればよい。   The gateway ECU 10 may adopt an abnormal state transition request signal, a diagnosis mask request signal, a transmission stop request signal, a seed request signal, a seed response signal, an encryption key response signal, or the like as a specific signal. The point is that the gateway ECU 10 shifts to a rewrite-only state based on relay of a specific signal communicated between the external tool 40 and the rewrite target ECU 20 when rewriting the program data Pa of the rewrite target ECU 20. That's fine.

・図7に示されるように、ゲートウェイECU10は、図5に示されるステップS1の判断処理に代えて、予め定められた特定の複数の信号を中継したか否かを判断する処理を行ってもよい(ステップS6)。すなわち、ゲートウェイECU10は、予め定められた特定の複数の信号を中継することを条件に(ステップS6:YES)、書き換え専用状態に移行する(ステップS2)。特定の複数の信号としては、書き換え対象ECU20のプログラムデータPaの書き換えの際に外部ツール40と書き換え対象ECU20との間で通信される複数の信号が該当する。例えば、セキュリティ解除信号及び書き換え許可状態移行要求信号を採用することができる。このような構成によれば、不正な外部ツールを用いた不正操作をより回避し易くなるため、セキュリティ性を更に向上させることができる。   As shown in FIG. 7, the gateway ECU 10 may perform a process of determining whether or not a plurality of predetermined signals are relayed in place of the determination process of step S1 shown in FIG. Good (step S6). That is, the gateway ECU 10 shifts to a rewrite-only state (step S2) on condition that a plurality of predetermined signals are relayed (step S6: YES). The plurality of specific signals correspond to a plurality of signals communicated between the external tool 40 and the rewrite target ECU 20 when the program data Pa of the rewrite target ECU 20 is rewritten. For example, a security release signal and a rewrite permission state transition request signal can be employed. According to such a configuration, since it becomes easier to avoid an unauthorized operation using an unauthorized external tool, the security can be further improved.

・図8に示されるように、ゲートウェイECU10は、図7に示されるステップS6の判断処理に代えて、特定の複数の信号を予め定められた順序で中継したか否かを判断する処理を行ってもよい(ステップS7)。すなわち、ゲートウェイECU10は、特定の複数の信号を予め定められた順序で中継することを条件に(ステップS7:YES)、書き換え専用状態に移行する(ステップS2)。例えば、ゲートウェイECU10は、セキュリティ解除信号を中継した後に、書き換え許可状態移行要求信号を中継することに基づいてステップS7の判断処理を肯定判断する。このような構成によれば、不正な外部ツールを用いた不正操作をより的確に回避することができるため、セキュリティ性を一層向上させることができる。   As shown in FIG. 8, the gateway ECU 10 performs a process of determining whether or not a plurality of specific signals are relayed in a predetermined order instead of the determination process of step S6 shown in FIG. (Step S7). That is, the gateway ECU 10 shifts to a rewrite-only state on condition that a plurality of specific signals are relayed in a predetermined order (step S7: YES) (step S2). For example, after relaying the security release signal, the gateway ECU 10 affirms the determination process in step S7 based on relaying the rewrite permission state transition request signal. According to such a configuration, since an unauthorized operation using an unauthorized external tool can be more accurately avoided, security can be further improved.

・ゲートウェイECU10の書き換え専用状態は、プログラムデータの書き換えに関連する通信のみを中継するように通信の中継を制限する状態であってもよい。すなわち、ゲートウェイECU10は、書き換え専用状態に移行した際、書き換え対象ECU20へのプログラムデータPaの書き換え要求信号の中継、及び各ECU10,20,30への通信継続信号の中継のみを行う状態になってもよい。   The rewrite-only state of the gateway ECU 10 may be a state in which relaying of communication is limited so as to relay only communication related to rewriting of program data. That is, when the gateway ECU 10 shifts to the rewrite-only state, the gateway ECU 10 is in a state of only relaying the rewrite request signal of the program data Pa to the rewrite target ECU 20 and relaying the communication continuation signal to each ECU 10, 20, 30. Also good.

・本発明は上記の具体例に限定されるものではない。すなわち、上記の具体例に、当業者が適宜設計変更を加えたものも、本発明の特徴を備えている限り、本発明の範囲に包含される。例えば、前述した各具体例が備える各要素及びその配置や条件等は、例示したものに限定されるわけではなく適宜変更することができる。また、前述した実施形態が備える各要素は、技術的に可能な限りにおいて組み合わせることができ、これらを組み合わせたものも本発明の特徴を含む限り本発明の範囲に包含される。   -This invention is not limited to said specific example. That is, the above-described specific examples that are appropriately modified by those skilled in the art are also included in the scope of the present invention as long as they have the characteristics of the present invention. For example, the elements included in each of the specific examples described above, their arrangement, conditions, and the like are not limited to those illustrated, and can be changed as appropriate. Moreover, each element with which embodiment mentioned above is provided can be combined as long as it is technically possible, and the combination of these is also included in the scope of the present invention as long as it includes the features of the present invention.

1:車載ネットワークシステム
10:ゲートウェイECU(ゲートウェイ制御装置)
20,30:ECU(電子制御装置)
40:外部ツール
NW1,NW2:ネットワーク 1: In-vehicle network system 10: Gateway ECU (gateway control device)
20, 30: ECU (electronic control unit)
40: External tool NW1, NW2: Network

Claims (4)

電子制御装置(20,30)が接続されるネットワーク(NW1)と、外部ツール(40)が接続されるネットワーク(NW2)とがゲートウェイ制御装置(10)を介して接続される車載ネットワークシステム(1)であって、
前記外部ツールは、前記ゲートウェイ制御装置を介した前記電子制御装置との通信に基づいて前記電子制御装置のプログラムデータの書き換えを行い、
前記ゲートウェイ制御装置は、前記電子制御装置の前記プログラムデータの書き換えの際に前記外部ツールと前記電子制御装置との間で通信される特定の信号の中継に基づいて、前記プログラムデータの書き換えに関連する通信を優先するように通信の中継を制限する書き換え専用状態に移行し、
前記電子制御装置は、
前記プログラムデータの書き換えに先立ち、前記外部ツールとの通信に基づいて当該外部ツールの認証を行い、当該認証が成立することを条件にセキュリティを解除して、当該セキュリティが解除されていることを条件に前記プログラムデータの書き換えが許可される書き換え許可状態への移行が可能となるとともに、
前記外部ツールとの通信に基づいて前記セキュリティを解除した際に、その旨を示すセキュリティ解除信号を前記外部ツールに前記ゲートウェイ制御装置を介して送信するものであり、
前記外部ツールは、
前記電子制御装置から送信される前記セキュリティ解除信号を受信した際に、前記書き換え許可状態への移行を要求する移行要求信号を前記電子制御装置に前記ゲートウェイ制御装置を介して送信するものであり、
前記特定の信号は、
前記セキュリティ解除信号であることを特徴とする車載ネットワークシステム。 In-vehicle network system (1) in which a network (NW1) to which the electronic control device (20, 30) is connected and a network (NW2) to which the external tool (40) is connected are connected via the gateway control device (10). ) And
The external tool rewrites the program data of the electronic control device based on communication with the electronic control device via the gateway control device,
The gateway control device is related to rewriting of the program data based on relay of a specific signal communicated between the external tool and the electronic control device when rewriting the program data of the electronic control device. Shift to a rewrite-only state that restricts relaying of communication so that communication is prioritized ,
The electronic control device
Prior to rewriting the program data, the external tool is authenticated based on communication with the external tool, the security is released on the condition that the authentication is established, and the security is released. It is possible to shift to a rewrite permission state in which rewriting of the program data is permitted,
When releasing the security based on communication with the external tool, a security release signal indicating that is transmitted to the external tool via the gateway control device,
The external tool is
When the security release signal transmitted from the electronic control device is received, a transition request signal for requesting transition to the rewrite permission state is transmitted to the electronic control device via the gateway control device,
The specific signal is:
An in-vehicle network system characterized by being the security release signal . 電子制御装置(20,30)が接続されるネットワーク(NW1)と、外部ツール(40)が接続されるネットワーク(NW2)とがゲートウェイ制御装置(10)を介して接続される車載ネットワークシステム(1)であって、
前記外部ツールは、前記ゲートウェイ制御装置を介した前記電子制御装置との通信に基づいて前記電子制御装置のプログラムデータの書き換えを行い、
前記ゲートウェイ制御装置は、前記電子制御装置の前記プログラムデータの書き換えの際に前記外部ツールと前記電子制御装置との間で通信される特定の信号の中継に基づいて、前記プログラムデータの書き換えに関連する通信を優先するように通信の中継を制限する書き換え専用状態に移行し、
前記電子制御装置は、
前記プログラムデータの書き換えに先立ち、前記外部ツールとの通信に基づいて当該外部ツールの認証を行い、当該認証が成立することを条件にセキュリティを解除して、当該セキュリティが解除されていることを条件に前記プログラムデータの書き換えが許可される書き換え許可状態への移行が可能となるとともに、
前記外部ツールとの通信に基づいて前記セキュリティを解除した際に、その旨を示すセキュリティ解除信号を前記外部ツールに前記ゲートウェイ制御装置を介して送信するものであり、
前記外部ツールは、
前記電子制御装置から送信される前記セキュリティ解除信号を受信した際に、前記書き換え許可状態への移行を要求する移行要求信号を前記電子制御装置に前記ゲートウェイ制御装置を介して送信するものであり、
前記特定の信号は、前記移行要求信号であることを特徴とする車載ネットワークシステム。 In-vehicle network system (1) in which a network (NW1) to which the electronic control device (20, 30) is connected and a network (NW2) to which the external tool (40) is connected are connected via the gateway control device (10). ) And
The external tool rewrites the program data of the electronic control device based on communication with the electronic control device via the gateway control device,
The gateway control device is related to rewriting of the program data based on relay of a specific signal communicated between the external tool and the electronic control device when rewriting the program data of the electronic control device. Shift to a rewrite-only state that restricts relaying of communication so that communication is prioritized,
The electronic control device
Prior to rewriting the program data, the external tool is authenticated based on communication with the external tool, the security is released on the condition that the authentication is established, and the security is released. It is possible to shift to a rewrite permission state in which rewriting of the program data is permitted,
When releasing the security based on communication with the external tool, a security release signal indicating that is transmitted to the external tool via the gateway control device,
The external tool is
When the security release signal transmitted from the electronic control device is received, a transition request signal for requesting transition to the rewrite permission state is transmitted to the electronic control device via the gateway control device,
The specific signal, the car mounting network systems that wherein a transition request signal. 前記ゲートウェイ制御装置は、前記外部ツールと前記電子制御装置との間で通信される予め定められた特定の複数の信号を中継することに基づいて前記書き換え専用状態に移行することを特徴とする請求項1又は2に記載の車載ネットワークシステム。 The gateway control device shifts to the rewrite-only state based on relaying a plurality of predetermined specific signals communicated between the external tool and the electronic control device. Item 3. The in-vehicle network system according to Item 1 or 2 . 前記ゲートウェイ制御装置は、前記複数の信号を予め定められた順序で中継することに基づいて前記書き換え専用状態に移行することを特徴とする請求項に記載の車載ネットワークシステム。 The in-vehicle network system according to claim 3 , wherein the gateway control device shifts to the rewrite-only state based on relaying the plurality of signals in a predetermined order.
JP2014250497A 2014-12-11 2014-12-11 In-vehicle network system Active JP6390398B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014250497A JP6390398B2 (en) 2014-12-11 2014-12-11 In-vehicle network system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014250497A JP6390398B2 (en) 2014-12-11 2014-12-11 In-vehicle network system

Publications (2)

Publication Number Publication Date
JP2016112909A JP2016112909A (en) 2016-06-23
JP6390398B2 true JP6390398B2 (en) 2018-09-19

Family

ID=56140618

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014250497A Active JP6390398B2 (en) 2014-12-11 2014-12-11 In-vehicle network system

Country Status (1)

Country Link
JP (1) JP6390398B2 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102017107277A1 (en) * 2017-04-05 2018-10-11 Hanon Systems Arrangement and method for updating a control software in a high-voltage control unit
US11279370B2 (en) 2017-07-26 2022-03-22 Mitsubishi Electric Corporation Driving control system and drive assist method
KR102238380B1 (en) 2019-02-08 2021-04-08 효성중공업 주식회사 Sub-module for dc-dc converting and update method of sub-module program

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4942261B2 (en) * 2001-07-31 2012-05-30 株式会社デンソー Vehicle relay device and in-vehicle communication system
JP5353545B2 (en) * 2009-08-07 2013-11-27 トヨタ自動車株式会社 In-vehicle network device
KR20110092007A (en) * 2010-02-08 2011-08-17 주식회사 만도 Software downloading system and method for a vehicle using the same
JP5900007B2 (en) * 2012-02-20 2016-04-06 株式会社デンソー VEHICLE DATA COMMUNICATION AUTHENTICATION SYSTEM AND VEHICLE GATEWAY DEVICE

Also Published As

Publication number Publication date
JP2016112909A (en) 2016-06-23

Similar Documents

Publication Publication Date Title
US11807176B2 (en) On-board communication device, on-board communication system, and specific processing prohibition method for a vehicle
JP5729337B2 (en) VEHICLE AUTHENTICATION DEVICE AND VEHICLE AUTHENTICATION SYSTEM
JP6477281B2 (en) In-vehicle relay device, in-vehicle communication system, and relay program
US11671498B2 (en) Vehicle master device, update data verification method and computer program product
KR101600460B1 (en) System for electric control unit upgrade with security functions and method thereof
US11822366B2 (en) Electronic control unit, vehicle electronic control system, rewrite execution method, rewrite execution program, and data structure of specification data
EP2757497B1 (en) Vehicular electronic control device
CN109941228B (en) Device and method for unlocking vehicle component, vehicle and vehicle communication module
US20180281748A1 (en) In-vehicle communication system, vehicle control device, and communication management device
JP6390398B2 (en) In-vehicle network system
US11941384B2 (en) Vehicle master device, rewrite target group administration method, computer program product and data structure of specification data
JP4253979B2 (en) Inspection method for in-vehicle control unit
JP5790551B2 (en) COMMUNICATION SYSTEM, RELAY DEVICE, EXTERNAL DEVICE, AND COMMUNICATION METHOD
JP5664562B2 (en) Relay device
JP2014204315A (en) Relay device
JP5783013B2 (en) In-vehicle communication system
JP6404848B2 (en) Monitoring device and communication system
JP2018093370A (en) On-vehicle electronic control device, on-vehicle electronic control system, and relay device
US10841284B2 (en) Vehicle communication network and method
JP2015113693A (en) Vehicle control system
JP2015227157A (en) Data gateway, and method for interfering with vehicular operation thereof
JP7211189B2 (en) Update processing system and update processing method
JP2013141949A (en) On-vehicle system and relay device
JP2020096320A (en) Illegal signal processing device
JP2016107908A (en) On-vehicle network system

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170509

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180202

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180213

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180404

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180724

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180806

R151 Written notification of patent or utility model registration

Ref document number: 6390398

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250