CN104570823A - 信息处理方法和信息处理设备 - Google Patents
信息处理方法和信息处理设备 Download PDFInfo
- Publication number
- CN104570823A CN104570823A CN201410532506.7A CN201410532506A CN104570823A CN 104570823 A CN104570823 A CN 104570823A CN 201410532506 A CN201410532506 A CN 201410532506A CN 104570823 A CN104570823 A CN 104570823A
- Authority
- CN
- China
- Prior art keywords
- unit
- automobile
- group
- correction program
- classified
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/65—Updates
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/042—Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
- G05B19/0426—Programming the control sequence
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Automation & Control Theory (AREA)
- Stored Programmes (AREA)
- Electric Propulsion And Braking For Vehicles (AREA)
Abstract
本公开提供了一种信息处理方法和信息处理设备。程序使计算机执行的处理包括:从汽车接收关于用于控制安装在汽车上的装置的控制程序的更新请求,控制程序在汽车中操作;基于与汽车所属的车辆类型对应的电池的可用电能将与更新请求对应的多个校正程序分类成多个组,可用电能的量存储在存储单元中;以及针对每组将所分类的校正程序发送至汽车。
Description
技术领域
本文中所讨论的实施方式涉及信息处理方法和信息处理设备。
背景技术
作为信息处理设备的软件的更新方法的示例,具有以下方法:信息处理设备从经由网络连接的更新服务器获取更新文件,并且应用所获取的软件。作为经由网络更新软件的方法的示例,具有例如下面将要说明的第一技术、第二技术和第三技术。
在第一技术中,服务器包括表示预定管理员是否准许重写内置设备的信息的批准信息。当内置设备接收信息的重写请求时,内置设备发送批准确认请求。服务器返回对批准确认请求的响应。仅当内置设备接收表示准许的批准确认响应时,内置设备准许重写信息。
在第二技术中,公开了一种经由通信网络对于用户认证远程服务的方法。远程服务获取使用代码生成算法根据第一秘密密钥生成的服务认证代码。远程服务经由通信网络将服务认证代码发送至用户。服务认证代码由用户附带的认证装置接收或被输入至用户附带的认证装置。随后,认证装置使用相同的代码生成算法根据第二秘密密钥生成预期的代码值,并且将预期的代码值与服务认证代码进行比较。根据该比较,当预期的代码值与服务认证代码相关联时,认证装置向用户生成表示远程服务真实性的响应。
在第三技术中,主机(用于交付的计算机)交付执行服务提供处理的新模块。终端使用由主机交付的新模块来更新控制程序的旧模块,执行所更新的新模块的操作验证处理,并且当在操作验证处理中检测到错误时,执行错误应对处理。
专利文献1:日本公开特许公报No.2013-37474
专利文献2:国际专利申请No.2008-524727的日本国家公布
专利文献3:日本公开特许公报No.2004-326287。
发明内容
因此,根据一个方面,本发明的目标是提供一种防止在汽车中操作的软件的更新处理中电池耗尽的方法。
根据一个方面,提供了一种使计算机执行处理的程序,该处理包括:从在其中用于控制安装在其上的装置的控制程序操作的汽车接收关于控制程序的更新请求;基于与汽车所属的车辆类型对应的电池的可用电能将与更新请求对应的多个校正程序分类成多个组,可用电能的量存储在存储单元中;以及针对每个组将所分类的校正程序发送至汽车。
根据实施方式,可以提供一种防止在汽车中操作的软件的更新处理中电池耗尽的方法。
附图说明
图1是示出了实施方式中的信息处理设备的配置的功能框图;
图2示出了根据实施方式的安装在汽车上的ECU的更新系统的示例;
图3示出了根据实施方式的更新服务器的配置的示例;
图4示出了同意信息的配置的示例;
图5示出了根据实施方式的容量管理信息的配置的示例;
图6示出了电力消耗信息的示例;
图7示出了管理公共密钥和哈希函数的安全确保单元的密钥管理信息的示例;
图8是示出了更新服务器中的更新文件的发送处理的操作流的流程图;
图9示出了车载装置的配置的示例;
图10示出了车辆历史信息的配置的示例;
图11是示出了车载装置中的安装处理的操作流的流程图;
图12示出了根据实施方式的ECU的配置的示例;
图13示出了更新服务器的硬件配置的示例;以及
图14示出了车载装置的硬件配置的示例。
具体实施方式
当更新目标软件在汽车中操作时,可以设想在汽车的停止状态下执行软件的更新以防止该更新影响汽车的性能。因此,由安装在汽车上的电池提供用于软件的更新的电力。然而,安装在汽车上的电池的容量有限。当软件的更新量大时,则用于更新的电能也大。因此,消耗了电池的大量电力。在汽车的启动期间也使用安装在汽车上的电池。因此,例如,当在软件的更新中消耗了电池的大量的电力时,不能启动汽车。
图1是示出了实施方式中的信息处理设备的配置的功能框图。
信息处理设备7包括存储单元1、接收单元2、分类单元3、发送单元4、确认单元5和计算单元6。
存储单元1存储与汽车所属的车辆类型相关联的汽车的电池的可用电能的量。
接收单元2从在其中用于控制安装在其上的装置的控制程序操作的汽车接收关于控制程序的更新请求。
分类单元3基于与在其中控制程序操作的汽车对应的可用电能将与更新请求对应的多个校正程序分类成多组。当在被配置成执行控制程序并且被安装在汽车上的控制单元中,用于安装控制程序的校正程序的预期的电力消耗的总值大于可用电能时,分类单元3将多个校正程序分类成多组。分类单元3将多个校正程序分成组,组的数量基于电力消耗的总值和可用电能来确定。
发送单元4对于每组将所分类的校正程序发送至汽车。
确认单元5接收表示是否正常接收被分类成多个校正程序被分类成的多组中的第一组的校正程序的确认信息。然后,在确认正常接收被分类成第一组的校正程序的确认信息之后,发送单元4开始发送被分类成多组中的第二组的校正程序。
计算单元6基于与每个控制单元相关联地存储在存储单元1中且用于安装单位大小的校正程序的电力消耗来计算电力消耗的总值。
信息处理设备10包括接收单元8和处理单元9。
接收单元8对于每组接收校正程序,该校正程序基于与安装目标汽车所属的车辆类型对应的电池的可用电能被分类成多组。
处理单元9根据安装目标汽车的电池剩余容量对于每组来安装所分类的校正程序。当预期安装目标汽车停止预定时间或更长时,处理单元9安装被分类成多组中的任一组的校正程序。当安装目标汽车的电池剩余容量等于或大于预定阈值时,处理单元9安装被分类成多组中的任一组的校正程序。
图2示出了安装在汽车上的电子控制单元(ECU)的更新系统的示例。
在图2中,更新系统20包括汽车21和更新服务器22。汽车21包括车载装置23和ECU24A、24B和24C。更新服务器22和车载装置23经由网络连接。车载装置23和ECU24经由网络或总线连接。用于连接更新服务器22和车载装置23的网络的示例包括无线网络。用于连接ECU24和车载装置23的网络的示例包括控制器区域网(Controller AreaNetwork,CAN)和拐射线。在下面的说明中,当不具体区分ECU24A、24B和24C时,将ECU24A、24B和24C简称作ECU24。
更新服务器22是将在ECU24上操作的软件的更新文件分发给汽车21的信息处理设备。更新服务器22将更新文件发送至汽车21的车载装置23,之后从车载装置23接收应用有更新文件的ECU24的配置信息。更新服务器22基于所接收的配置信息来确定文件的更新是否成功。
车载装置23是能够经由网络执行与更新服务器22的信息通信的装置。车载装置23从更新服务器22接收更新文件,并且指示被设置为更新目标的ECU24安装(应用)所接收的更新文件。车载装置23采集表示在ECU24上操作的软件的状态的配置信息,并且将该配置信息发送至更新服务器22。不具体限制车载装置23,只要车载装置23可以与更新服务器22和ECU24通信即可。车载装置23可以是能够被设置在汽车21中的汽车导航装置、智能电话等。
ECU24控制传感器系统和安装在汽车上的各种装置,传感器系统包括用于发动机的控制、发动机的操作中的各种传感器。ECU24从车载装置23接收更新文件的安装指令,并且执行更新文件的安装处理。当更新文件的安装处理完成时,ECU24获取ECU24的配置信息,并且将该配置信息通知给车载装置23。在更新文件的安装处理和更新文件的有效化处理这两个阶段中执行软件的更新。在从更新服务器22接收有效化更新的指令之后执行更新文件的有效化。注意,例如,软件的配置信息是软件的各种参数。如果参数正常,则保证软件正常。
注意,更新文件可以是应用于有缺陷的软件的形式的软件,或可以是用于替换其中发现缺陷的软件的形式的软件。具体地,例如,更新文件是软件的补丁。注意,当在汽车中发现缺陷时,有时优选地安装多个更新文件以消除缺陷。在该实施方式的以下说明中,假定在安装在汽车上的ECU上操作的软件中发现缺陷,将用于消除缺陷的一个或更多个更新文件称作应用目标更新文件。
在下面的说明中,将从更新服务器22接收更新文件并且在汽车21中执行所接收的更新文件的应用称作远程维护。将安装处理目标车辆称作目标车辆。
对更新服务器22的配置进行说明。图3示出了根据该实施方式的更新服务器22的配置的示例。
更新服务器22包括认证单元31、电力计算单元32、划分单元33、发送单元34、安全确保单元35和验证单元36。
更新服务器22是信息处理设备7的示例。认证单元31是接收单元2的示例。电力计算单元32是计算单元6的示例。划分单元33是分类单元3的示例。发送单元34是发送单元4和确认单元5的示例。
在开始更新文件的发送处理和安装处理之前,认证单元31检查是否针对目标车辆的远程维护获得所有者的同意。关于是否获得来自所有者的对目标车辆的远程维护的同意的检查包括:使用预先注册的信息执行的同意检查,以及通过在更新工作的开始期间直接从所有者获得同意所执行的同意检查。注意,关于是否获得来自所有者的对目标车辆的远程维护的同意的检查可以是使用预先注册的信息执行的同意检查和通过在更新工作的开始期间直接从所有者获得同意所执行的同意检查中的任一种检查。当认证单元31从车载装置23接收检查请求时,可以由认证单元31执行使用预先注册的信息执行的同意检查。
为了检查是否获得了来自所有者的对目标车辆的远程维护的同意,认证单元31预先采集关于同意检查的信息,并且将该信息记录在预定存储区域中。可以将关于同意检查的这样的信息称作同意信息。
图4示出了同意信息的配置的示例。在图4中,同意信息40包括车辆ID41、同意标志42、所有者ID43、认证方法44和认证信息45。
车辆ID41是用于唯一地识别汽车21的识别信息。同意标志42是表示由车辆ID41表示的车辆是否从车辆的所有者获得对远程维护的事先同意的信息。所有者ID43是用于唯一地识别拥有由车辆ID41表示的车辆的所有者的识别信息。注意,关于所有者ID43,对于一个车辆可以注册多个人。认证方法44是表示在更新工作的开始期间认证单元31认证车辆的所有者的方法的信息。例如,认证方法44可以是使用所有者的指纹、语音或图像执行的认证等的各种方法。认证信息45是在更新工作的开始期间通过认证方法44在认证中所使用的信息。
关于使用预先注册的信息执行的同意检查,认证单元31参照同意信息40来确定远程维护的目标车辆是否从车辆的所有者预先获得对远程维护的同意。也就是说,认证单元31从同意信息40提取与目标车辆的识别信息一致的车辆ID41的记录。随后,认证单元31检查所提取的记录的同意标志42。如果同意标志42的值是表示车辆获得对远程维护的事先同意的值(例如,“真”),则认证单元31确定车辆从车辆的所有者获得对远程维护的同意。另一方面,如果同意标志42的值是表示车辆未从车辆的所有者获得对远程维护的事先同意的值(例如,“假”),则认证单元31确定未从车辆的所有者获得对远程维护的同意。
当确定从所有者获得对目标车辆的远程维护的事先同意时,认证单元31执行通过在更新工作的开始期间直接从所有者获得同意而执行的同意检查。
也就是说,认证单元31从目标车辆获取同意确认信息,同意确认信息是表示所有者同意远程维护的信息。同意确认信息包括用于确认同意远程维护的所有者是真实所有者的认证信息。认证信息包括例如关于所有者的指纹、语音和图像(脸部图片)的信息。认证单元31从同意信息40提取与目标车辆的识别信息一致的记录,并且将从目标车辆接收的认证信息与所提取的记录的认证信息45的值进行比较。当从目标车辆接收的认证信息与所提取的记录的认证信息45的值互相一致时,认证单元31确定从目标车辆的真实所有者获得对远程维护的同意。当从目标车辆接收的认证信息与所提取的记录的认证信息45的值互不一致时,认证单元31确定未从目标车辆的真实所有者获得对远程维护的同意。当确定从目标车辆的真实所有者获得对远程维护的同意时,认证单元31将从车辆接收的同意确认信息作为证据存储在预定存储区域中。
在图4中,存储了其中车辆ID41是“A”,内容标志42是“真”,所有者ID43是“3948A8C33”,认证方法44是“指纹”和认证信息45是“指纹数据1”的记录。这表示其车辆ID41是“A”的车辆从所有者获得对远程维护的事先同意,以及其车辆ID41是“A”的所有者是由所有者ID43“3948A8C33”表示的所有者。这也表示,在其车辆ID41是“A”的车辆的远程维护的开始期间,执行通过“指纹认证”对所有者的认证,并且对从所有者输入的指纹信息和“指纹数据1”的信息进行核对,以及当指纹信息与信息互相一致时,确定认证成功。
在图4中,存储了其中车辆ID41是“D”,同意标志42是“假”,所有者ID43,认证方法44和认证信息45是“-”的记录。这表示其车辆ID41是“D”的车辆未从所有者获得对远程维护的事先同意。因此,对于其车辆ID41是“D”的车辆不执行远程维护处理。
注意,在确认从所有者获得对目标车辆的远程维护的同意之后,执行将更新文件发送至目标车辆。因此,也可以将包括所有者同意远程维护的指示的同意确认信息理解为来自所有者的更新文件的递送请求。
电力计算单元32计算目标车辆中的所有应用目标更新文件的安装处理的电力消耗。电力计算单元32将所计算的电力消耗与可用于安装更新文件的目标车辆的电池的电能进行比较。根据该比较,电力计算单元32确定是否可以一次执行所有更新文件的更新处理。
具体地,电力计算单元32对于每种车辆类型将电池的容量中的作为可用于安装更新文件的最大电能的量的可用电能的量预先存储在预定存储区域中。
例如,由于安装在车辆上的电池用于发动机的启动,所以不是电池的所有容量都用于更新文件的更新处理。因此,作为一种策略,电力计算单元32存储电池的容量中的可用于更新文件的安装处理的电能的量。在下面的说明中,将电力计算单元32用来对每种车辆类型管理电池的容量中的可用于更新文件的安装处理的电能的信息称作容量管理信息。图5示出了根据该实施方式的容量管理信息的配置的示例。
容量管理信息50包括车辆类型ID51、最大容量52、基本电能53和可用电能54的数据项。车辆类型ID51是用于唯一地识别车辆类型的识别信息。最大容量52是表示安装在由车辆类型ID51表示的车辆上的电池的最大容量的信息。基本电能53是表示安装在由车辆类型ID51表示的车辆类型上的电池的容量中的必须至少被确保以用于例如电动机的启动的、电池的剩余容量的信息。可用电能54是表示安装在由车辆类型ID51表示的车辆类型上的电池的容量中的可用于更新文件的安装的最大电能的信息。例如,可用电能54可以是通过从电池的最大电能52减去基本电能53所获得的值的1/n(n是正整数)的值。
注意,在下面的说明中,将必须至少被确保以用于例如电动机的启动的电池的剩余容量称作基本电能。
电力计算单元32与ECU24相关联地将每单位大小的更新文件的安装处理的电力消耗的值预先存储在预定存储区域中。在下面的说明中,将用于管理与每个ECU24相关联的每单位大小的更新文件的更新处理的电力消耗的值的信息称作电力消耗信息。电力消耗信息用于计算目标车辆的更新文件的更新的电力消耗。由于在ECU24的处理能力方面存在个体差异并且更新每单位大小的更新文件的电力消耗也不同,所以以这种方式与每个ECU相关联地管理电力消耗。
图6示出了电力消耗信息的示例。电力消耗信息60包括ECU ID61和处理字节单位的电力消耗62。ECU ID61是用于唯一地识别ECU24的识别信息。处理字节单位的电力消耗62是表示由ECU ID61表示的ECU24中的例如1K字节的更新文件的安装处理中所消耗的电能的信息。
在目标车辆的所有更新文件的安装处理的电力消耗的计算中,首先,电力计算单元32基于电力消耗信息60和更新文件的大小来计算更新文件的安装处理的电力消耗。具体地,电力计算单元32提取电力消耗信息60中的更新文件在其上操作的ECU24的ECU ID61的记录,并且获取所提取的记录的处理字节单位的电力消耗62的值。电力计算单元32将更新文件的大小乘以所获取的处理字节单位的电力消耗62的值、来计算由更新文件的安装处理消耗的电能。以这种方式,关于包括在ECU24中的所有更新文件,电力计算单元32计算安装处理的电力消耗。电力计算单元32总计包括在ECU24中的所有更新文件的所计算的电力消耗、来计算目标车辆的所有更新文件的安装处理的电力消耗。在下面的说明中,将所有更新目标文件的安装处理的电力消耗的总值称作更新总电力消耗。
如上面所说明的,电力计算单元32计算更新总电力消耗,参照容量管理信息50获取与目标车辆的车辆类型对应的可用电能,并且将所计算的更新总电力消耗与所获取的可用电能进行比较。
当电力计算单元32确定更新总电力消耗大于可用电能时,划分单元33将多个应用目标更新文件划分(分类)成多组。
具体地,划分单元33将更新文件划分(分类)成组,组的数量等于将更新总电力消耗除以目标车辆的电池的可用电能所获得的值(四舍五入小数点后的数字)。对于以这种方式被分类(划分)的每组,在目标车辆中,执行控制以应用更新文件。在一个组的安装处理完成之后,执行控制以对电池进行充电,并且执行下一组的安装处理。因此,可以防止在安装处理中耗尽电池。
划分单元33对更新文件进行划分(分类),使得具有依赖关系的更新文件被包括在相同组中。具有依赖关系的文件表示更新文件的组中的、当一个文件被更新时其他文件同时被更新的做法更好的文件。具有依赖关系的更新文件的组包括例如某些软件与接收该软件的输出值作为输入的软件。
如果防止具有依赖关系的文件属于两个或更多个组,则可以顺序地执行针对每组的更新处理,且从更新处理结束的组依次执行更新的有效化。
然而,依赖于更新文件之间的关系和电池的可用电能,也有可能的是,具有依赖关系的文件属于两个或更多个组。在这种情况下,对包括具有依赖关系的多个文件的多组进行控制,使得在同一定时执行更新的有效化。因此,可以防止当车辆在应用具有依赖关系的更新文件的仅一部分的状态下启动时出现的缺陷。
发送单元34将更新文件发送至目标车辆的车载装置23。当由划分单元33执行更新文件的划分(分类)时,发送单元34对于每个划分的(分类的)组将更新文件发送至目标车辆。由于对于每组划分和发送更新文件,则接收更新文件的车载装置23可以容易地对于每组执行更新文件的安装。因此,可以减小应用于处理的负荷用于防止电池在车载装置23中耗尽。
发送单元34确认所发送的更新文件由车载装置23正确接收。在下面的说明中,将用于确认所发送的更新文件由车载装置23正确接收的处理称作发送处理状态确认。
在发送处理状态确认中,发送单元34从车载装置23接收表示是否正确接收所发送的更新文件的通知,并且对该通知进行检查,从而确定所发送的更新文件由车载装置23正确接收。
具体地,下面将对车载装置23上的处理进行说明。车载装置23使用数字签名等来确认可以正确接收所接收的文件。车载装置23将包括关于是否正确接收文件的信息和不能正确接收的文件的识别信息的状态信息通知给更新服务器22。发送单元34接收状态信息,并且参照状态信息的内容。当文件不能由车载装置23正确接收时,发送单元34执行文件的再次发送。关于被确认为由车载装置23正确接收的文件,发送单元34确定文件的发送处理完成。
当确认包括在组中的所有文件的发送处理完成时,发送单元34将表示该组的发送处理完成的发送完成通知发送至车载装置23。之后,发送单元34将包括在下一个未发送的组中的更新文件发送至车载装置23。
注意,关于更新文件的发送的定时,发送单元34可以在确认目标车辆的发动机启动之后发送更新文件。也就是说,在发送更新文件之前,发送单元34将关于目标车辆的发动机是否启动的查询发送至车载装置23。作为对来自车载装置23的查询的响应,发送单元34接收关于发动机是否启动的信息。当发动机启动时,发送单元34可以发送更新文件。当发动机停止时,车载装置23还可以针对电池的剩余容量查询车载装置23。当电池的剩余容量等于或大于预定阈值时,发送单元34可以发送更新文件。注意,预定阈值可以例如是通过将基本电能与在下载处理中所消耗的电能相加所获得的值。
如果启动发动机,由于由发动机的旋转执行电力生成,则提供充足的电能。发送单元34在确认启动目标车辆的发动机之后发送更新文件。因此,由发动机的旋转生成的电能可以在目标车辆中的下载处理中用作电能。当停止发动机时,在目标车辆的电池剩余容量等于或大于预定阈值时,发送单元34发送更新文件。因此,可以防止由于下载处理耗尽车辆的电池。
验证单元36验证是否正确安装(应用)更新文件。对于验证,验证单元36将在正确安装更新文件的情况下的正确的配置信息预先记录在预定存储区域中。在下面的说明中,将在正确安装更新文件的情况下的正确的配置信息称作白色列表。白色列表例如是通过使用验证器、再现目标车辆的环境的实际机器等所执行的验证所获得的配置信息。
验证单元36获取从车载装置23安装更新文件之后的配置信息,将所获取的配置信息与白色列表进行比较,并且确定更新文件的安装是否成功。当确定软件的更新不成功时,验证单元36指示车载装置23重试更新文件的安装处理。另一方面,当确定软件的更新成功时,验证单元36通知车载装置23更新文件的安装成功。
注意,当确定软件的更新不成功时,验证单元36可以指示车载装置23重新运行更新文件的安装处理。
当验证单元36确认所有应用目标更新文件的安装成功时,验证单元36通知车载装置23应用目标更新文件的安装成功。
注意,当具有依赖关系的文件不包括在组之间时,还可以确认以不包括具有依赖关系的文件的组为单位的安装成功,并且通知车载装置23应用目标更新文件的安装成功。例如,当具有依赖关系的多个更新文件不属于多个组时,每当验证单元36确认包括在组中的所有更新文件的安装成功时,验证单元36可以通知车载装置23应用目标更新文件的安装成功。在这种情况下,如果执行用于来自所有者的用于有效化更新文件的同意确认,并且由接收应用目标更新文件的安装成功的通知的车载装置23确认同意,则执行更新文件的有效化。也就是说,当更新文件的依赖关系没有影响时,在不等待所有应用目标更新文件的安装处理完成的情况下,可以执行根据确认安装成功的组的更新文件的、组的有效化。
安全确保单元35提供用于确保更新服务器22与车载装置23之间的通信安全的机制。
在该实施方式中,使用加密和数字签名,以便确保更新服务器22与车载装置23之间的通信安全。对于更新服务器和车载装置的每种组合生成数字签名的一对公共密钥和秘密密钥。在车辆的装运期间生成车载装置的密钥对。由合作方的公共密钥对加密目标数据进行加密,而由自己的秘密密钥对其进行解密。通过根据分别由更新服务器和车载装置保留的自己的秘密密钥的签名来执行数字签名。因此,存在多对公共密钥和秘密密钥。作为第一对(更新服务器的密钥对),更新服务器22保留更新服务器22的秘密密钥,车载装置23保留更新服务器22的公共密钥。作为第二对(车载装置的密钥对),车载装置23保留车载装置23的秘密密钥,而更新服务器22保留车载装置23的公共密钥。
作为车载装置23的密钥对,可以使用由包括在车载装置23中的可信平台模块(Trusted Platform Modules,TPM)创建的密钥对。
更新服务器22的安全确保单元35保留更新服务器22的秘密密钥。更新服务器22对于每个车载装置管理车载装置23的公共密钥和用于发送数据与数字签名之间的比较的哈希函数。图7示出了用于管理车载装置23的公共密钥和哈希函数的安全确保单元35的密钥管理信息70的示例。密钥管理信息70包括车载装置ID71、公共密钥72、哈希函数73的数据项。车载装置ID71是用于唯一地识别车载装置23的识别信息。公共密钥72是关于由车载装置ID71识别的车载装置23的公共密钥的信息。公共密钥72对应于由车载装置ID71识别的车载装置23的秘密密钥。哈希函数73是用于比较发送数据与数字签名的哈希函数。作为哈希函数73,相同的哈希函数存储在由车载装置ID71识别的车载装置23中。在车辆的装运期间,注册密钥管理信息70。
作为由安全确保单元35认证车载装置23和检查来自车载装置23的数据的机密性的方法的示例,说明一种使用数字签名认证车载装置23和检查来自车载装置23的数据的机密性的方法。注意,机密性的认证和检查的方法不限于使用下面所说明的数字签名认证车载装置23和检查来自车载装置23的数据的机密性的方法。可以使用各种方法。下面说明以下示例:将安全确保单元35与车载装置23之间发送和接收的数据加密。
在认证中,首先,车载装置23使用存储在车载装置23中的哈希函数来计算发送目标数据的哈希值。随后,车载装置23使用自己的秘密密钥对所计算的哈希值进行加密,并且创建数字签名。车载装置23使用更新服务器22的公共密钥对所创建的数字签名和发送目标数据进行加密。车载装置23将所加密的发送数据和所加密的数字签名发送至更新服务器22。
当从车载装置23接收所加密的发送目标数据和所加密的数字签名时,安全确保单元35使用更新服务器22的秘密密钥对所接收的信息进行解密。随后,安全确保单元35从密钥管理信息70获取车载装置23的公共密钥72,使用公共密钥72对数字签名进行解密,并且获取哈希值。安全确保单元35从密钥管理信息70获取与车载装置23对应的哈希函数73,并且使用所获取的哈希函数73来计算发送目标数据的哈希值。安全确保单元35将所计算的哈希值与通过对数字签名进行解密所获得的哈希值进行比较。当哈希值互相一致时,安全确保单元35确定车载装置23是适当的车载装置23,并且确定从车载装置接收的数据未被篡改。当哈希值互不一致时,安全确保单元35请求车载装置23重发发送数据。
注意,关于安全确保单元35与车载装置23之间发送和接收的数据的加密,可以使用通过将共同的密钥加密和公共密钥加密组合所获得的混合加密系统,或可以使用各种方法。
以这种方式,更新服务器22的安全确保单元35确认车载装置23的认证和从车载装置23接收的信息未被篡改。
在发送之前,从更新服务器22发送至目标车辆的车载装置23的数据通过安全确保单元35与数字签名相加,被加密和发送。发送数据包括由发送单元34发送至车载装置23的更新文件。
图8是示出了更新服务器22中的更新文件的发送处理的操作流的流程图。
在图8中,首先,认证单元31检查是否从所有者获得对目标车辆的远程维护的同意(S101)。当认证单元31确定未从所有者获得对目标车辆的远程维护的同意时(S101中否),处理结束。
当认证单元31在S101中确定从所有者获得对目标车辆的远程维护的同意时(S101中是),电力计算单元32计算所有更新目标文件的安装处理的电力消耗的总值作为更新总电力消耗(S102)。电力计算单元32将更新总电力消耗与可用电能进行比较,并且确定更新总电力消耗是否大于目标车辆的电池的容量中的可用电能(S103),可用电能是可用于更新文件的安装的最大电能。当电力计算单元32确定更新总电力消耗等于或小于可用电能时(S103中否),处理转移至S105。
另一方面,当电力计算单元32在S103中确定更新总电力消耗大于可用电能时(S103中是),划分单元33对更新文件进行划分(S104)。
随后,发送单元34执行发送控制的控制变量的初始化处理(S105)。为了说明,将划分的组的数量表示为N,并且对于每个组从1开始以升序分配数量。定义表示由发送单元34在步骤S106中将其设置为发送目标的组的组数量的控制变量n,并且n被初始化为1。注意,当未执行更新文件的划分时,N的值为1。
发送单元34将包括在其组数量是变量n的组中的更新文件发送至车载装置23(S106)。
发送单元34确定是否完成包括在其组数量是变量n的组中的所有更新文件的发送(S107)。当确定未完成包括在其组数量是变量n的组中的文件中的任一文件的发送时(S107中否),发送单元34执行发送处理状态的确认(S108)。处理返回至S106。发送单元34将包括在其组数量是变量n的组中的文件中的未完成其发送的更新文件发送至车载装置23。
当在S107中确定完成包括在其组数量是变量n的组中的所有更新文件的发送时(S107中是),发送单元34通知车载装置23其组数量是变量n的组的发送完成(S109)。发送单元34增加变量n的值(S110)。
随后,发送单元34确定是否完成所有组的发送处理(S111)。也就是说,发送单元34确定n的值是否大于N。当发送单元34确定未完成组中的任一组的发送处理时(S111中否),也就是说,当n的值等于或小于N时,处理转移至S106。
另一方面,当在S111中确定完成所有组的发送处理时(S111中是),也就是说,当n的值大于N时,发送单元34确定完成所有组的发送处理。发送单元34通知车载装置23完成所有发送目标更新文件的发送处理(S112)。然后,处理结束。
对汽车21中的更新文件的安装处理进行说明。
在停止目标车辆的状态下执行更新文件的安装处理。因此,在该实施方式中,记录目标车辆处于停止状态下的时间段的历史,并且从该历史中预测当车辆被预期稳定停止的时间段。当车辆在车辆被预期稳定停止的时间段中停止时,执行控制以开始更新文件的安装处理。在开始更新文件的安装处理之前,确定在该时间点处电池的剩余容量是否足以用于执行安装处理。
此外,以由划分单元33划分的一个组为单位来执行更新文件的安装处理。在一个组的安装处理之后,在确认执行电池的充电之后,开始下一个组的安装处理。因此,在一些情况下,这需要几天来完成多个组的安装处理。例如,当存在三个组,并且每周仅一次执行充电时,有时这需要至少两周和一天用于所有文件的安装处理。
注意,更新文件从更新服务器22的下载处理与更新文件的安装处理在时间方面分离。更新文件的下载处理通常比安装处理消耗更多的电能。然而,可以通过在下载处理之后在电池充电之后执行安装处理来减轻电池的耗尽。
图9示出了车载装置23的配置的示例。
车载装置23包括记录单元81、状态确认单元82、剩余容量确认单元83、安装处理单元84、认证单元85、接收单元86、通信安全确保单元87、异常处理单元88、工作完成确认单元89和可靠性检查单元801。
车载装置23是信息处理设备10的示例。接收单元86是接收单元8的示例。安装处理单元84是处理单元9的示例。
记录单元81记录目标车辆停止时的时间段的历史信息。在下面的说明中,将由记录单元81记录的目标车辆的停止时间段的历史信息称作车辆历史信息。
具体地,记录单元81将停止时间段和某个时间段中的车辆的停止位置作为车辆停止历史信息存储在预定存储区域中。图10示出了车辆历史信息的配置的示例。
车辆历史信息90包括停止时间段91和停止位置92的数据项。停止时间段91是表示目标车辆的停止时间段的信息。停止位置92是表示在由停止时间段91表示的时间段中目标车辆的位置的信息。
当车辆停止时,记录单元81将车辆停止的时间和在该时间点处车辆的位置信息分别存储在车辆历史信息90的停止时间段91和停止位置92中。例如,记录单元81可以紧接在车辆停止之前记录停止时间,在下次启动车辆时记录启动时间,计算从所记录的停止时间和启动时间起的停止时间段,并且将停止时间段记录在停止时间段91中。记录单元81可以使用例如安装在车辆上的全球定位系统(GPS)来测量车辆在停止时间或启动时间处的位置,并且将测量结果存储在停止位置92中。
状态确认单元82确定在目标车辆被预期稳定停止的时间段中目标车辆是否停止。
具体地,首先,状态确认单元82参照车辆历史信息90指定当车辆周期性地停止在预定位置中的时间段。例如,状态确认单元82参照车辆历史信息90指定以下模式:在某个时间段例如一个月中车辆停止在预定位置中的时间段定期出现。在图10中示出的车辆历史信息90中,例如,记录了车辆在时间段“18:00至9:00”中周期性地停止在“坐标X,Y”中。因此,状态确认单元82确定车辆在时间段18:00至9:00”中周期性地停止在“坐标X,Y”中。
注意,假定被确定为车辆周期性地停止的时间段的时间段例如等于或长于预定时间宽度如5个小时。当将预定时间宽度的值表示为α时,α被预先存储在预定存储区域中。可以基于安装每组更新文件中的文件的时间来计算α。例如,α可以被设置成大于安装包括在一个组的所有更新文件的时间的值。
状态确认单元82确定在车辆被确定为周期性地停止的时间段和坐标中车辆是否停止。在下面的说明中,将其中在车辆被确定为周期性地停止的时间段和坐标中车辆停止的状态称作车辆的稳定停止状态。注意,由于车辆的停止位置有可能稍微偏移,所以可以对停止位置被确定为相同的坐标给予预定的纬度。
剩余容量确认单元83检查目标车辆的电池的现有剩余容量是否足以执行安装处理。具体地,剩余容量确认单元83确定目标车辆的电池的现有剩余容量是否等于或大于可用电能、基本电能和预定裕度值的合计值。注意,预定裕度值可以是0。可以由剩余容量确认单元83从更新服务器22的容量管理信息50获取可用电能和基本电能。注意,可以根据电压降的值和当施加电力负载时的内部电阻来估计电池的现有剩余容量。
在包括在目标组中的各个文件的安装处理的执行之前,剩余容量确认单元83确定电池的电压是否正常。具体地,剩余容量确认单元83确定电池的电压是否在预先存储在预定存储区域中的标准值的范围内。通过在更新文件的安装处理之前确认电池电压是否正常,当由于除了安装处理之外的意外因素电池的剩余容量下降时,可以防止执行安装处理。例如,由于温度、发动机的意外启动等电池的容量变化是意外因素的示例。
安装处理单元84执行更新文件的安装处理。也就是说,安装处理单元84将从更新服务器22接收的更新文件发送至被设置为更新文件的应用目标的ECU24,并且指示ECU24执行更新文件的安装处理。当从所指示的ECU24接收更新文件的安装的完成通知时,安装处理单元84将安装的完成通知传输至更新服务器22。ECU24将安装处理之后的配置信息包括在安装的完成通知中。更新服务器22的验证单元36使用配置信息来检查安装是否成功。当验证单元36确定安装不成功时,安装处理单元84从验证单元36接收安装的重试指令(或重新执行指令)。然后,安装处理单元84指示ECU24重试(或重新执行)安装。当验证单元36确定安装成功时,安装处理单元84从验证单元36接收关于更新文件的安装成功的通知。
认证单元85检查是否从所有者获得对目标车辆的远程维护的同意。
也就是说,首先,认证单元85请求更新服务器22检查是否存在所有者对目标车辆的远程维护的事先同意。当接收关于存在所有者对目标车辆的远程维护的事先同意的通知时,认证单元85在启动安装更新文件中获取所有者的同意。
在启动安装时获取所有者同意中,认证单元85通过由所有者预先注册的认证方法来获取认证信息。例如,当预先注册的认证方法是指纹认证(静脉认证)时,认证单元85向所有者输出用于敦促指纹的输入的消息,并且通过预定输入装置(例如,指纹传感器)来获取所有者的指纹。例如,在预先注册的认证方法是语音认证时,认证单元85向所有者输出用于敦促语音的输入的消息,并且通过预定输入装置(例如,麦克风)获取所有者的语音。例如,当预先注册的认证方法是图像认证时,认证单元85向所有者输出关于执行图像获取的消息,并且通过预定输入装置(例如,摄像机)获取所有者的图像。注意,认证方法对应于由更新服务器22管理的同意信息40的认证方法44。认证方法可以预先存储在车载装置23的预定存储区域中,或可以在启动远程安装时获取所有者同意之前从更新服务器22获取。
随后,认证单元85将从所有者获取的认证信息包括在同意确认信息中,并且将认证信息发送至更新服务器22。认证单元85从更新服务器22接收认证结果。认证单元85检查所接收的认证结果,并且检查关于认证是否成功的结果。当确认认证不成功时,认证单元85确定未获得来自所有者的对远程维护的同意。当确认认证成功时,认证单元85确定获得来自所有者的对远程维护的同意。
接收单元86接收由更新服务器22的发送单元34发送的更新文件。如上面所说明的,对于每个划分的(分类的)组,从发送单元34发送更新文件。接收单元86对于每个划分的(分类的)组接收更新文件,并且对于每个划分的(分类的)组将所接收的更新文件存储在预定存储区域。
接收单元86确定是否已经接收包括在由更新服务器22划分的(分类的)预定组中的所有更新文件。
关于是否已经接收包括在划分的(分类的)组中的所有更新文件的确定通过接收单元86检查是否从更新服务器22接收针对每组的发送完成通知来执行。当接收了针对每组的发送完成通知时,接收单元86确定已经接收了包括在组中的所有更新文件。
当确定未接收包括在目标组中的所有更新文件时,接收单元86将更新文件的发送请求发送至更新服务器22。当存在未成功接收的文件时,接收单元86可以指定未成功接收的文件,并且将该文件的发送请求发送至更新服务器22。
通信安全确保单元87确保与更新服务器22的通信安全。为了确保与更新服务器22的通信安全,通信安全确保单元87将更新服务器22的公共密钥、车载装置23的秘密密钥和哈希函数预先存储在预定存储区域中。在车辆的装运之前存储更新服务器22的公共密钥、车载装置23的秘密密钥和哈希函数。车载装置23的秘密密钥和哈希函数对应于密钥管理信息70的公共密钥72和哈希函数73。
类似于更新服务器22的安全确保单元35,通信安全确保单元87确保更新服务器22与车载装置23之间的通信安全。也就是说,以与由安全确保单元35执行的车载装置23的认证相同的方式执行由通信安全确保单元87执行的更新服务器22的认证以及由通信安全确保单元87执行的从更新服务器22接收的信息未被篡改的确定。在认证中,首先,更新服务器22的安全确保单元35使用哈希函数计算发送目标数据的哈希值。随后,安全确保单元35使用更新服务器22的秘密密钥对所计算的哈希值进行加密,并且创建数字签名。更新服务器22的安全确保单元35使用车载装置23的公共密钥对所创建的数字签名和发送目标数据进行加密。更新服务器22的安全确保单元35将所加密的发送目标数据和所加密的数字签名发送至车载装置23。
当从更新服务器22接收所加密的发送目标数据和所加密的数字签名时,通信安全确保单元87使用车载装置23的秘密密钥对所接收的信息进行解密。随后,通信安全确保单元87使用更新服务器22的公共密钥对数字签名进行解密,并且获取哈希值。通信安全确保单元87使用哈希函数来计算发送目标数据的哈希值。通信安全确保单元87将所计算的哈希值与通过对数字签名进行解密所获得的哈希值进行比较。当哈希值互相一致时,通信安全确保单元87确定更新服务器22是合适的,并且确定从更新服务器22接收的发送目标数据未被篡改。也就是说,通信安全确保单元87确定正确接收从更新服务器22发送的数据。另一方面,当哈希值互不一致时,通信安全确保单元87确定未正确接收从更新服务器22发送的数据。
假定从车载装置23发送至更新服务器22的数据在发送之前由通信安全确保单元87将其与数字签名相加,被加密和发送。发送数据包括由安装处理单元84发送至更新服务器22的配置信息。
当确定未正确接收由更新服务器22发送的更新文件时,通信安全确保单元87通知更新服务器22包括表示不能正确接收更新文件的信息和不能正确接收的文件的识别信息的状态信息。当确定正确接收由更新服务器22发送的更新文件时,通信安全确保单元87通知更新服务器22包括表示正确接收更新文件的信息的状态信息。
异常处理单元88执行当通过远程维护文件的更新不成功时所执行的各种异常处理。具体地,当在远程安装的启动期间未获得所有者的同意时,异常处理单元88输出关于由于未获得来自所有者的对远程维护的同意而不能执行远程维护的消息。当在远程安装的启动期间所有者的认证不成功时,异常处理单元88输出关于由于不能执行所有者的认证而不能执行远程维护的消息。当文件的更新处理之前电池的电压表示异常值时,异常处理单元88输出关于由于电池的剩余容量不足而不能执行远程维护的消息。注意,可以在下次启动发动机之后立即执行由异常处理单元88输出消息。异常处理单元88可以在输出消息之后将工作日志发送至更新服务器22。
当文件的更新处理不成功时,异常处理单元88输出关于文件的更新不成功的消息。当临界误差出现而不能确保汽车21的安全时,异常处理单元88可以控制车辆以防止发动机启动。
工作完成确认单元89执行当应用目标更新文件的安装成功时所执行的处理。也就是说,工作完成确认单元89从更新服务器22的验证单元36接收关于应用目标更新文件的安装成功的通知。然后,工作完成确认单元89通知所有者正确完成应用目标更新文件的安装处理。例如通过在车载装置23的显示装置上显示安装成功来执行通知所有者。工作完成确认单元89从所有者获取包括表示所有者确认正确完成更新文件的安装处理的信息和表示所有者同意更新文件的有效化的信息的最终确认信息。然后,工作完成确认单元89将最终确认信息作为证据存储在预定存储区域中,并且指示ECU24有效化更新文件。工作完成确认单元89将最终确认信息和一系列安装处理的工作日志信息发送至更新服务器22。注意,工作完成确认单元89记录接收处理的工作日志和更新文件的安装处理。
可靠性检查单元801检查在车载装置23中操作的应用的真实性。具体地,例如,可靠性检查单元801将用于检查在车载装置23中启动的应用的真实性的哈希值预先存储在预定存储区域中。当启动应用时,可靠性检查单元801将应用的哈希值与预先存储的用于检查真实性的哈希值进行比较,且当哈希值互相一致时,确定应用真实。其真实性由可靠性检查单元801检查的应用包括用于提供记录单元81、状态确认单元82、剩余容量确认单元83、安装处理单元84和认证单元85的功能的应用。此外,其真实性由可靠性检查单元801检查的应用包括用于提供接收单元86、通信安全性确保单元87、异常处理单元88和工作完成确认单元89的功能的应用。类似地,关于与安装处理单元84通信的ECU24的应用,可靠性检查单元801通过哈希值的比较来执行真实性检查。ECU24的应用包括例如用于获取ECU24的配置信息的应用。注意,可以由TPM提供可靠性检查单元801的功能。TPM是具有硬件防篡改特性的安全芯片。TPM可以用作可靠性参考以确保其哈希值被检查的应用的可靠性。
由车载装置23发送至更新服务器22的数据的可靠性可以由可靠性检查单元801确保。例如,可靠性检查单元801可以保证车辆历史信息90、认证信息、同意确认信息、状态信息、最终确认信息和工作日志的真实性。
图11是示出了车载装置23中的安装处理的操作流的流程图。
在图11中,首先,状态确认单元82确定目标车辆是否处于稳定停止状态(S201)。当状态确认单元82确定目标车辆不处于稳定停止状态时(S201中否),处理返回至S201。
当状态确认单元82在S201中确定目标车辆处于稳定停止状态时(S201中是),剩余容量确认单元83确定车辆的电池的现有剩余容量是否大于可用电能、基本电能和预定裕度值的合计值(S202)。当剩余容量确认单元83确定车辆的电池的现有剩余容量等于或小于可用电能、基本电能和预定裕度值的合计值时(S202中否),处理转移至S201。当剩余容量确认单元83确定车辆的电池的现有剩余容量等于或小于可用电能、基本电能和预定裕度值的合计值时,异常处理单元88可以例如显示关于由于电池的剩余容量不足而不能执行远程安装的消息。
当剩余容量确认单元83在S202中确定现有电池剩余容量大于可用电能、基本电能和预定余量值的合计值时(S202中是),认证单元85检查是否获得来自所有者的对目标车辆的远程维护的同意(S203)。
当认证单元85确定未获得来自所有者的对目标车辆的远程维护的同意时(S203中否),异常处理单元88执行异常处理(S204)。也就是说,当未获得来自所有者的对目标车辆的远程维护的同意时,异常处理单元88输出关于由于未从所有者获得同意远程维护而不能执行远程维护的消息。当在远程安装的启动期间所有者的认证不成功时,异常处理单元88输出关于由于不能执行用户的认证而不能执行远程维护的消息。然后,处理结束。
另一方面,当认证单元85在S203中确定获得来自所有者的对目标车辆的远程维护的同意时(S203中是),接收单元86确定是否已经接收包括在所划分的组中的所有更新文件(S205)。当确定未接收包括在目标组中的所有更新文件时(S205中否),接收单元86将更新文件的发送请求发送至更新服务器22(S206)。处理转移至S205。
当接收单元86在S205中确定已经接收包括在目标组中的所有更新文件时(S205中是),剩余容量确认单元83确定电池的电压是否正常(S207)。
当剩余容量确认单元83在S207中确定电池的电压异常时(S207中否),异常处理单元88执行异常处理(S208)。也就是说,例如,异常处理单元88输出关于由于电池的剩余容量不足而不能执行远程维护的消息。异常处理单元88可以执行组中的其安装成功的文件的重新执行处理。然后,处理结束。
另一方面,当剩余容量确认单元83在S207中确定电池的电压正常时(S207中是),安装处理单元84执行文件的安装(S209)。
随后,安装处理单元84确定目标组的所有文件的安装是否结束(S210)。当安装处理单元84确定目标组的文件中的任一文件的安装未结束时(S210中否),处理转移至S207。
另一方面,当安装处理单元84在S210中确定目标组的所有文件的安装结束时(S210中是),处理结束。
注意,对于每个划分的预定组来执行图11的流程。可以在完成从更新服务器22接收包括在预定组中的所有更新文件的状态下执行图11的流程的开始。当完成一个组的安装处理时(例如,当首次完成图11的流程时),通过例如在执行下一个组的安装处理(第二次图11的流程)之前行驶车辆来执行电池的充电。如果分离地执行更新文件的安装,则当在完成一个组的安装处理之后首次启动发动机时,记录单元81可以通知所有者关于在另一天计划剩余的安装工作。
当转动发动机停止钥匙时,可以立刻启动图11的流程。在这种情况下,可以在停止之后立即执行S203中在启动安装时获取所有者同意,这在检查是否获得来自所有者的对目标车辆的远程维护的同意中被执行。
对ECU24的配置进行说明。图12示出了根据该实施方式的ECU的配置的示例。在图12中,ECU24包括安装单元301和配置信息采集单元302。
安装单元301从车载装置23接收用于执行包括更新文件的安装处理的指令。然后,安装单元301安装所接收的更新文件。然而,在从车载装置23接收用于有效化的指令之前,安装处理单元不执行更新的有效化(例如,更新的软件的启动)。
在由安装单元301进行的更新文件的安装处理之后,配置信息采集单元302采集软件的配置信息。配置信息采集单元302将包括所采集的配置信息的安装的完成通知发送至车载装置23。
当从车载装置23接收重新执行的指令时,安装单元301废弃安装处理的变化,并且将软件返回紧接在应用处理之前的状态。安装单元301将工作日志发送至车载装置23。工作日志是由安装单元301进行的安装处理以及安装处理之后有效化处理或重新执行处理的工作日志的数据。
当从车载装置23接收安装的重试指令时,安装单元301再次执行更新文件的安装处理。
注意,可以通过在预定存储区域备份紧接在更新文件的安装处理的开始之前的软件的状态(或获取快照)来执行重新执行处理。在这种情况下,当从车载装置23接收目标文件的安装指令时,首先,安装单元301获取更新目标软件的备份。当完成备份的获取时,安装单元301安装更新文件。之后,当从车载装置23接收用于重新执行的指令时,安装单元301返回备份数据,从而将更新目标软件恢复到紧接在安装处理开始之前的状态。
注意,在该实施方式中,假定确保车载装置23与ECU24之间的通信安全。当未确保车载装置23与ECU24之间的安全时,如车载装置23与更新服务器22之间的通信一样,可以通过向通信数据添加签名来确保车载装置与ECU24之间的通信安全。
对ECU24中的更新文件的有效化进行说明。ECU24包括用于读出和用于更新处理的两种环境。用于读出的环境是其中操作当前有效化的软件的环境。用于更新处理的环境是用于更新文件的安装处理的环境。当将用于读出的环境的当前有效化的软件的版本表示为(A)时,用于更新处理的环境的软件是紧接在前的版本(A-1)。当将更新文件的安装应用于(A-1)的软件时,将软件更新成(A+1)的软件。之后,当确定安装成功时,指示ECU24有效化更新文件。在更新文件的有效化中,将用于更新处理的环境切换至用于读出的环境,而将用于读出的环境切换至用于更新处理的环境。然后,版本(A+1)的软件在ECU24上操作。以这种方式,在ECU24中执行更新文件的安装和有效化。
对更新服务器22的配置进行说明。图13示出了更新服务器22的硬件配置的示例。
更新服务器22包括中央处理单元(CPU)401、存储器402、存储装置403、读取装置404、通信接口405和输入/输出装置406。CPU(处理器)401、存储器402、存储装置403、读取装置404、通信接口405和输入/输出装置406通过总线连接。
CPU401使用存储402执行描述上面所说明的流程图的流程的计算机程序,从而提供认证单元31、电力计算单元32、划分单元33、发送单元34、安全确保单元35和验证单元36中的一部分或全部的功能。
存储器402例如是半导体存储器,并且包括随机存取存储器(RAM)区域和只读存储(ROM)区域。存储装置403例如是硬盘。注意,存储装置403可以是半导体存储器如闪速存储器。存储装置403可以是外部记录装置。存储装置403是存储单元1的示例。
读取装置404根据CPU401的指令来访问可移除存储介质450。可移除存储介质450由例如半导体装置(USB存储器等)、通过磁作用将信息输入至此或从其输出信息的介质(磁盘等)或通过光作用将信息输入至此或从其输出信息的介质(CD-ROM、DVD等)来实现。注意,读取装置404不一定被包括在更新服务器22中。
通信接口405连接至车载装置23,并且根据CPU401的指令经由网络将数据发送至车载装置23和从车载装置23接收数据。通信接口405可以连接至其他信息处理设备。
输入/输出装置406例如是从用户或显示信息的显示装置接收指令的装置。注意,输入/输出装置406不一定被包括在更新服务器22中。
在该实施方式中,例如以下述形式将计算机程序提供至更新服务器22。
(1)将计算机程序预先安装在存储装置403中。
(2)从可移除存储介质450提供计算机程序。
(3)经由通信接口405从程序服务器(未在图中示出)提供计算机程序。
此外,在该实施方式中,可以由硬件实现更新服务器22的一部分。可替代地,在该实施方式中,可以由软件和硬件的组合来实现更新服务器22。
对车载装置23的配置进行说明。图14示出了车载装置23的硬件配置的示例。
车载装置23包括CPU(处理器)501、存储器502、存储装置503、读取装置504、通信接口505、输入/输出装置506和TPM507。CPU501、存储器502、存储装置503、读取装置504、通信接口505、输入/输出装置506和TPM507通过总线连接。
CPU501使用存储器502执行描述流程图的流程的计算机程序,从而提供记录单元81、状态确认单元82、剩余容量确认单元83、安装处理单元84和认证单元85中的一部分或全部的功能。CPU501提供接收单元86、通信安全确保单元87和异常处理单元88中的一部分或全部的功能。
存储器502例如是半导体存储器,并且包括RAM区域和ROM区域。在该实施方式中,存储装置503例如是硬盘,并且存储计算机程序。注意,存储装置503可以是半导体存储器如闪速存储器。存储装置503可以是外部记录装置。
记录装置504根据CPU501的指令来访问可移除存储介质550。可移除存储介质550由例如半导体装置(USB存储器等)、通过磁作用将信息输入至此且从其输出信息的介质(磁盘等)或通过光作用将信息输入至此且从其输出信息的介质(CD-ROM、DVD等)来实现。注意,读取装置504不一定被包括在车载装置23中。
通信接口505连接至更新服务器22,并且根据CPU501的指令经由网络发送和接收数据。通信接口505连接至ECU24,并且根据CPU501的指令经由网络发送和接收数据。
输入/输出装置506例如是显示信息的显示装置。将对用户的警示和更新文件的安装结果输出至输入/输出装置506。例如,输入/输出装置506可以是摄像机、麦克风、指纹传感器、触摸板等。通过该输入/输出装置506获取所有者对远程维护的同意、认证信息和最终确认信息。
TPM507是能够检查在CPU501上操作的计算机程序的可靠性的安全芯片。TPM507提供可靠性检查单元801的一部分或全部功能。由可靠性检查单元801在检查应用的真实性中所使用的哈希值被存储在TPM507的预定存储区域中。
在该实施方式中,例如以下述形式将计算机程序提供至车载装置23。(1)将计算机程序预先安装在存储装置503中。
(2)从可移除存储介质550提供计算机程序。
(3)通过通信接口505从程序服务器(未在图中示出)或更新服务器22提供计算机程序。
此外,在该实施方式中,可以由硬件实现车载装置23的一部分。可替代地,在该实施方式中,可以由软件和硬件的组合来实现车载装置23。
注意,车载装置23的功能可以包括在ECU24中的任一个中。
本发明不限于上面所说明的实施方式,并且在不偏离本发明的精神的情况下可以采用各种配置或实施方式。
Claims (16)
1.一种信息处理方法,包括:
从汽车接收关于用于控制安装在所述汽车上的装置的控制程序的更新请求,其中所述控制程序在所述汽车中操作;
基于与所述汽车所属的车辆类型对应的电池的可用电能将与所述更新请求对应的多个校正程序分类成多个组,所述可用电能的量被存储在存储单元中;以及
针对所述组中的每个将所分类的校正程序发送至所述汽车。
2.根据权利要求1所述的信息处理方法,其中,
所述分类包括:当在被配置成执行所述控制程序并且被安装在所述汽车上的控制单元中,用于安装所述控制程序的校正程序的预期的电力消耗的总值大于所述可用电能的量时,将所述多个校正程序分类成多个组。
3.根据权利要求2所述的信息处理方法,其中,
所述分类包括:将所述多个校正程序分类成组,基于所述电力消耗的总值和所述可用电能确定所述组的数量。
4.根据权利要求1至3中任一项所述的信息处理方法,所述处理还包括:
接收表明是否正常接收被分类成所述多个组中的第一组的所述校正程序的确认信息,其中,
所述发送包括:在通过所述确认信息确认正常接收了被分类成所述第一组的所述校正程序之后,开始发送被分类成所述多个组中的第二组的校正程序。
5.根据权利要求2或3所述的信息处理方法,所述处理还包括:
基于与每个所述控制单元相关联地存储在存储单元中的用于安装单位大小的校正程序的电力消耗来计算所述电力消耗的总值。
6.一种信息处理方法,包括:
针对多个组中的每个组接收校正程序,其中所述校正程序基于与安装目标汽车所属的车辆类型对应的电池的可用电能被分类成所述多个组;以及
针对所述组中的每个根据所述安装目标汽车的电池剩余容量来安装所分类的校正程序。
7.根据权利要求6所述的信息处理方法,其中,
所述安装包括:当预期所述安装目标汽车停止预定时间或更多时间时,安装被分类成所述多个组中的任一组的校正程序。
8.根据权利要求6或7所述的信息处理方法,其中,
所述安装包括:当所述安装目标汽车的电池剩余容量等于或大于预定阈值时,安装被分类成所述多个组中的任一组的校正程序。
9.一种信息处理设备,包括:
存储单元,被配置成与汽车的车辆类型相关联地存储所述汽车的电池的可用电能的量;
接收单元,被配置成:从所述汽车接收关于用于控制安装在所述汽车上的装置的控制程序的更新请求,其中所述控制程序在所述汽车中操作;
分类单元,被配置成:在所述存储单元中参照与所述控制程序在其中操作的所述汽车对应的所述可用电能的量,并且基于所参照的所述可用电能的量将与所述更新请求对应的多个校正程序分类成多个组;以及
发送单元,被配置成:针对所述组的每个将所分类的校正程序发送至所述汽车。
10.根据权利要求9所述的信息处理设备,其中,
所述分类单元进一步地当在被配置成执行所述控制程序并且被安装在所述汽车上的控制单元中,用于安装所述控制程序的校正程序的预期的电力消耗的总值大于所述可用电能的量时,将所述多个校正程序分类成多个组。
11.根据权利要求10所述的信息处理设备,其中,
所述分类单元还将所述多个校正程序分类成组,所述组的数量基于所述电力消耗的总值和所述可用电能被确定。
12.根据权利要求9至11中任一项所述的信息处理设备,还包括:
确认单元,被配置成:接收表明是否正常接收被分类成所述多个组中的第一组的校正程序的确认信息,其中,
所述发送单元在通过所述确认信息确认正常接收了被分类成所述第一组的校正程序之后、开始发送被分类成所述多个组中的第二组的校正程序。
13.根据权利要求10或11所述的信息处理设备,还包括:
计算单元,被配置成:基于与每个所述控制单元相关联地存储在存储单元中的用于安装单位大小的校正程序的电力消耗来计算所述电力消耗的总值。
14.一种信息处理设备,包括:
接收单元,被配置成:针对多个组中的每个组接收校正程序,所述校正程序基于与安装目标汽车所属的车辆类型对应的电池的可用电能被分类成所述多个组;以及
处理单元,被配置成:针对所述组的每个根据所述安装目标汽车的电池剩余容量来安装所分类的校正程序。
15.根据权利要求14所述的信息处理设备,其中,
在预期所述安装目标汽车停止预定时间或更多时间时,所述处理单元安装被分类成所述多个组中的任一组的校正程序。
16.根据权利要求13或14所述的信息处理设备,其中,当所述安装目标汽车的电池剩余容量等于或大于预定阈值时,所述处理单元安装被分类成所述多个组中的任一组的校正程序。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013217834A JP5975964B2 (ja) | 2013-10-18 | 2013-10-18 | 情報処理プログラム、情報処理方法、情報処理装置、及び情報処理システム |
JP2013-217834 | 2013-10-18 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104570823A true CN104570823A (zh) | 2015-04-29 |
CN104570823B CN104570823B (zh) | 2017-12-26 |
Family
ID=51687795
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410532506.7A Active CN104570823B (zh) | 2013-10-18 | 2014-10-10 | 信息处理方法和信息处理设备 |
Country Status (4)
Country | Link |
---|---|
US (1) | US9904531B2 (zh) |
EP (1) | EP2876553B1 (zh) |
JP (1) | JP5975964B2 (zh) |
CN (1) | CN104570823B (zh) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106897627A (zh) * | 2017-02-21 | 2017-06-27 | 成都信息工程大学 | 一种保证汽车ecu免受攻击和自动更新的方法 |
CN108025684A (zh) * | 2015-09-29 | 2018-05-11 | 日立汽车系统株式会社 | 车载控制装置以及车载控制装置的信息更新系统 |
CN108136981A (zh) * | 2015-10-30 | 2018-06-08 | 奥迪股份公司 | 机动车中的控制器更新 |
CN108701065A (zh) * | 2016-03-02 | 2018-10-23 | 住友电气工业株式会社 | 控制设备、程序更新方法和计算机程序 |
CN111032439A (zh) * | 2017-08-16 | 2020-04-17 | 住友电气工业株式会社 | 控制设备、控制方法和计算机程序 |
CN112639723A (zh) * | 2018-08-10 | 2021-04-09 | 株式会社电装 | 车辆用主装置、车辆用电子控制系统、激活请求的指示方法以及激活请求的指示程序 |
CN113490911A (zh) * | 2019-02-22 | 2021-10-08 | 本田技研工业株式会社 | 软件更新装置、车辆和软件更新方法 |
CN113544602A (zh) * | 2019-03-15 | 2021-10-22 | 欧姆龙株式会社 | 控制系统、中继装置以及中继程序 |
US11704107B2 (en) | 2021-03-04 | 2023-07-18 | Toyota Motor North America, Inc. | Software updates based on transport-related actions |
Families Citing this family (66)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5267598B2 (ja) * | 2011-02-25 | 2013-08-21 | トヨタ自動車株式会社 | 車両制御装置のデータ書き換え支援システム及びデータ書き換え支援方法 |
US10333777B2 (en) * | 2013-08-06 | 2019-06-25 | Ciena Corporation | Configuring a secure network infrastructure device |
US9972054B1 (en) | 2014-05-20 | 2018-05-15 | State Farm Mutual Automobile Insurance Company | Accident fault determination for autonomous vehicles |
US10373259B1 (en) | 2014-05-20 | 2019-08-06 | State Farm Mutual Automobile Insurance Company | Fully autonomous vehicle insurance pricing |
US10185997B1 (en) | 2014-05-20 | 2019-01-22 | State Farm Mutual Automobile Insurance Company | Accident fault determination for autonomous vehicles |
US10599155B1 (en) | 2014-05-20 | 2020-03-24 | State Farm Mutual Automobile Insurance Company | Autonomous vehicle operation feature monitoring and evaluation of effectiveness |
US11669090B2 (en) | 2014-05-20 | 2023-06-06 | State Farm Mutual Automobile Insurance Company | Autonomous vehicle operation feature monitoring and evaluation of effectiveness |
US10475127B1 (en) | 2014-07-21 | 2019-11-12 | State Farm Mutual Automobile Insurance Company | Methods of providing insurance savings based upon telematics and insurance incentives |
DE102014116172A1 (de) * | 2014-11-06 | 2016-05-12 | Dr. Ing. H.C. F. Porsche Aktiengesellschaft | Datenübertragungseinheit für ein Fahrzeug |
US10007263B1 (en) | 2014-11-13 | 2018-06-26 | State Farm Mutual Automobile Insurance Company | Autonomous vehicle accident and emergency response |
JP2016224898A (ja) * | 2015-05-27 | 2016-12-28 | 株式会社デンソー | 車載電子制御装置 |
JP6281535B2 (ja) * | 2015-07-23 | 2018-02-21 | 株式会社デンソー | 中継装置、ecu、及び、車載システム |
JP6573500B2 (ja) * | 2015-07-28 | 2019-09-11 | 矢崎総業株式会社 | ソフトウェア更新システム |
DE102015216265A1 (de) * | 2015-08-26 | 2017-03-02 | Robert Bosch Gmbh | Verfahren und Teilsystem zum Installieren eines Softwareupdates in einem Fahrzeug |
US10163350B1 (en) | 2015-08-28 | 2018-12-25 | State Farm Mutual Automobile Insurance Company | Vehicular driver warnings |
KR101724486B1 (ko) * | 2015-09-21 | 2017-04-18 | 현대자동차 주식회사 | 차량 단말의 소프트웨어 업데이트 제어장치 및 그 방법이 구현된 컴퓨터로 판독 가능한 기록매체 |
US10469282B1 (en) | 2016-01-22 | 2019-11-05 | State Farm Mutual Automobile Insurance Company | Detecting and responding to autonomous environment incidents |
US11719545B2 (en) | 2016-01-22 | 2023-08-08 | Hyundai Motor Company | Autonomous vehicle component damage and salvage assessment |
US11441916B1 (en) | 2016-01-22 | 2022-09-13 | State Farm Mutual Automobile Insurance Company | Autonomous vehicle trip routing |
US10395332B1 (en) | 2016-01-22 | 2019-08-27 | State Farm Mutual Automobile Insurance Company | Coordinated autonomous vehicle automatic area scanning |
US10324463B1 (en) | 2016-01-22 | 2019-06-18 | State Farm Mutual Automobile Insurance Company | Autonomous vehicle operation adjustment based upon route |
US11242051B1 (en) | 2016-01-22 | 2022-02-08 | State Farm Mutual Automobile Insurance Company | Autonomous vehicle action communications |
US10134278B1 (en) | 2016-01-22 | 2018-11-20 | State Farm Mutual Automobile Insurance Company | Autonomous vehicle application |
JP6440643B2 (ja) * | 2016-01-26 | 2018-12-19 | 株式会社日立製作所 | ソフトウェア更新システム、サーバ |
JP6323480B2 (ja) | 2016-03-02 | 2018-05-16 | 住友電気工業株式会社 | プログラム更新システム、プログラム更新方法及びコンピュータプログラム |
JP6358286B2 (ja) * | 2016-06-02 | 2018-07-18 | 住友電気工業株式会社 | 制御装置、プログラム更新方法、およびコンピュータプログラム |
DE102016206489A1 (de) * | 2016-04-18 | 2017-10-19 | Robert Bosch Gmbh | Verfahren zur Programmierung von Steuergeräten eines Kraftfahrzeugs |
JP6414568B2 (ja) * | 2016-06-09 | 2018-10-31 | 株式会社デンソー | 車両用装置 |
US10656932B2 (en) * | 2016-07-12 | 2020-05-19 | United Radio, Inc. | Radio updating method |
US10042629B2 (en) * | 2016-07-28 | 2018-08-07 | GM Global Technology Operations LLC | Remote vehicle update installation scheduling |
EP3499792A4 (en) * | 2016-08-10 | 2020-01-01 | KDDI Corporation | DATA PROVIDING SYSTEM, DATA SECURITY DEVICE, DATA PROVIDING METHOD AND COMPUTER PROGRAM |
CN109314645B (zh) * | 2016-08-10 | 2021-08-13 | Kddi株式会社 | 数据提供系统、数据保护装置、数据提供方法以及存储介质 |
JP6724717B2 (ja) * | 2016-10-25 | 2020-07-15 | 株式会社オートネットワーク技術研究所 | 車載機器判定システム |
JP2018073238A (ja) * | 2016-11-01 | 2018-05-10 | 株式会社東芝 | 保護制御システム |
JP6620891B2 (ja) * | 2017-04-12 | 2019-12-18 | 住友電気工業株式会社 | 中継装置、中継方法、およびコンピュータプログラム |
US10353696B2 (en) | 2017-04-13 | 2019-07-16 | Blackberry Limited | Program release packages including program updates |
FR3066626A1 (fr) * | 2017-05-22 | 2018-11-23 | Peugeot Citroen Automobiles Sa | Dispositif et procede de controle des demarrages des mises a jour telechargees d'equipements d'un systeme |
CN107491326A (zh) * | 2017-07-31 | 2017-12-19 | 惠州市德赛西威汽车电子股份有限公司 | 一种车载导航自动适配软件升级方法 |
US20200215930A1 (en) * | 2017-08-10 | 2020-07-09 | Sumitomo Electric Industries, Ltd. | Control apparatus, control method, and computer program |
US20200089487A1 (en) * | 2017-10-03 | 2020-03-19 | Google Llc | Update courier for vehicular computing devices |
JP6464466B2 (ja) * | 2017-10-11 | 2019-02-06 | Kddi株式会社 | 保守装置、保守方法、及びコンピュータプログラム |
JP6915500B2 (ja) | 2017-11-06 | 2021-08-04 | トヨタ自動車株式会社 | 更新システム、電子制御装置、更新管理装置、及び更新管理方法 |
FR3075496B1 (fr) * | 2017-12-14 | 2019-11-08 | Psa Automobiles Sa | Dispositif et procede de controle de la recharge d’une batterie avant demarrage d’une mise a jour telechargee d’un equipement d’un systeme |
JP7013921B2 (ja) * | 2018-02-19 | 2022-02-01 | 株式会社デンソー | 検証端末 |
CN111989242B (zh) * | 2018-04-19 | 2024-04-09 | 住友电气工业株式会社 | 控制装置、控制方法和计算机程序 |
CN108984194B (zh) * | 2018-06-25 | 2021-08-10 | 上海艾拉比智能科技有限公司 | 一种基于4g网络的汽车远程迭代系统 |
JP7047819B2 (ja) * | 2018-08-10 | 2022-04-05 | 株式会社デンソー | 電子制御装置、車両用電子制御システム、アクティベートの実行制御方法及びアクティベートの実行制御プログラム |
KR102587084B1 (ko) * | 2018-09-05 | 2023-10-11 | 현대자동차주식회사 | 차량의 업데이트 제공 장치 및 방법 |
KR102610730B1 (ko) * | 2018-09-05 | 2023-12-07 | 현대자동차주식회사 | 차량의 업데이트 제공 장치 및 컴퓨터 기록 매체 |
JP7234548B2 (ja) * | 2018-09-11 | 2023-03-08 | 株式会社デンソー | センター装置、リプログデータの配信システム及びリプログデータの配信計画作成プログラム |
DE102018216288A1 (de) * | 2018-09-25 | 2020-03-26 | Ford Global Technologies, Llc | Verfahren zum Auffinden einer Ursache für die vorzeitige Entleerung einer Batterie in einem Fahrzeug |
JP7169637B2 (ja) * | 2018-10-11 | 2022-11-11 | みこらった株式会社 | 移動装置及び移動装置用プログラム |
JP6742381B2 (ja) | 2018-10-15 | 2020-08-19 | 本田技研工業株式会社 | 車両制御装置、車両制御方法、およびプログラム |
DE102018221954A1 (de) * | 2018-12-17 | 2020-06-18 | Robert Bosch Gmbh | Recheneinrichtung und Verfahren zum Betreiben einer Recheneinrichtung |
JP7212736B2 (ja) * | 2019-02-22 | 2023-01-25 | 本田技研工業株式会社 | ソフトウェア更新装置、車両及びソフトウェア更新方法 |
JP6943903B2 (ja) * | 2019-02-22 | 2021-10-06 | 本田技研工業株式会社 | ソフトウェア更新装置、車両及びソフトウェア更新方法 |
CN111619484B (zh) * | 2019-02-28 | 2022-03-25 | 北京新能源汽车股份有限公司 | 一种刷写程序的控制方法、装置和设备 |
JP2021002713A (ja) * | 2019-06-20 | 2021-01-07 | 富士通株式会社 | 更新装置、鍵更新プログラム |
JP7456270B2 (ja) * | 2020-05-07 | 2024-03-27 | 株式会社デンソー | 車両制御システム |
KR20220050620A (ko) * | 2020-10-16 | 2022-04-25 | 현대자동차주식회사 | 차량 제어기의 업데이트 제어 시스템 및 제어 방법 |
JP7333350B2 (ja) * | 2021-01-14 | 2023-08-24 | 本田技研工業株式会社 | 制御システム、移動体、制御方法及びプログラム |
US11782692B2 (en) | 2021-04-16 | 2023-10-10 | Toyota Motor North America, Inc. | Transport component acceptance |
JP7456414B2 (ja) | 2021-04-20 | 2024-03-27 | トヨタ自動車株式会社 | 車両制御装置のソフトウェア更新方法及び車両運行システム |
JP2022175761A (ja) * | 2021-05-14 | 2022-11-25 | 株式会社デンソー | 車両用電子制御装置、車両用電子制御システム及び更新後構成情報判定プログラム |
KR20230000808A (ko) * | 2021-06-25 | 2023-01-03 | 현대자동차주식회사 | 차량의 ota 업데이트 제어 장치 및 그 방법 |
DE102022205889A1 (de) | 2022-06-10 | 2023-12-21 | Volkswagen Aktiengesellschaft | Vorrichtung zum Aktualisieren einer elektronischen Rechnereinheit eines Kraftfahrzeuges, System, Kraftfahrzeug und Verfahren zum Aktualisieren einer elektronischen Rechnereinheit |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6715068B1 (en) * | 1999-03-31 | 2004-03-30 | Fuji Photo Optical Co., Ltd. | Multi-microcomputer system |
US20060075307A1 (en) * | 2004-09-17 | 2006-04-06 | Fujitsu Limited | Information processing apparatus, software renewal method for the same, program carrier signal and storage media |
US20080140941A1 (en) * | 2006-12-07 | 2008-06-12 | Dasgupta Gargi B | Method and System for Hoarding Content on Mobile Clients |
CN102378966A (zh) * | 2009-03-31 | 2012-03-14 | 丰田自动车株式会社 | 车载软件更新装置 |
CN103019759A (zh) * | 2011-09-22 | 2013-04-03 | 现代自动车株式会社 | 车辆更新系统及其方法 |
JP2013084143A (ja) * | 2011-10-11 | 2013-05-09 | Denso Corp | 車載通信機 |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004326287A (ja) | 2003-04-23 | 2004-11-18 | Mitsubishi Electric Corp | プログラム遠隔更新システム |
CN101084643B (zh) | 2004-12-21 | 2010-05-12 | Emue控股集团公司 | 认证装置和/或方法 |
AU2005318933B2 (en) | 2004-12-21 | 2011-04-14 | Emue Holdings Pty Ltd | Authentication device and/or method |
DE102007010182A1 (de) | 2007-03-02 | 2008-09-04 | Robert Bosch Gmbh | Getriebevorrichtung |
JP2009177686A (ja) * | 2008-01-28 | 2009-08-06 | Panasonic Corp | デジタル放送受信装置およびソフトウェアダウンロード方法 |
CN101677264B (zh) * | 2008-09-17 | 2013-05-22 | 艾威梯科技(北京)有限公司 | Ack发送方法 |
US20120005125A1 (en) * | 2010-07-01 | 2012-01-05 | Daniel Jammer | Payment system and method for provision of power to electric vehicle batteries |
JP5686697B2 (ja) | 2011-08-05 | 2015-03-18 | 三菱電機株式会社 | 組込み機器保守システム |
US8713562B2 (en) * | 2012-01-06 | 2014-04-29 | International Business Machines Corporation | Intelligent and automated code deployment |
US10061745B2 (en) * | 2012-04-01 | 2018-08-28 | Zonar Sytems, Inc. | Method and apparatus for matching vehicle ECU programming to current vehicle operating conditions |
US8813061B2 (en) * | 2012-10-17 | 2014-08-19 | Movimento Group | Module updating device |
US20140359593A1 (en) * | 2013-05-31 | 2014-12-04 | Microsoft Corporation | Maintaining known dependencies for updates |
-
2013
- 2013-10-18 JP JP2013217834A patent/JP5975964B2/ja not_active Expired - Fee Related
-
2014
- 2014-09-24 EP EP14186183.1A patent/EP2876553B1/en active Active
- 2014-09-24 US US14/494,903 patent/US9904531B2/en active Active
- 2014-10-10 CN CN201410532506.7A patent/CN104570823B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6715068B1 (en) * | 1999-03-31 | 2004-03-30 | Fuji Photo Optical Co., Ltd. | Multi-microcomputer system |
US20060075307A1 (en) * | 2004-09-17 | 2006-04-06 | Fujitsu Limited | Information processing apparatus, software renewal method for the same, program carrier signal and storage media |
US20080140941A1 (en) * | 2006-12-07 | 2008-06-12 | Dasgupta Gargi B | Method and System for Hoarding Content on Mobile Clients |
CN102378966A (zh) * | 2009-03-31 | 2012-03-14 | 丰田自动车株式会社 | 车载软件更新装置 |
CN103019759A (zh) * | 2011-09-22 | 2013-04-03 | 现代自动车株式会社 | 车辆更新系统及其方法 |
JP2013084143A (ja) * | 2011-10-11 | 2013-05-09 | Denso Corp | 車載通信機 |
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108025684B (zh) * | 2015-09-29 | 2021-03-02 | 日立汽车系统株式会社 | 车载控制装置以及车载控制装置的信息更新系统 |
CN108025684A (zh) * | 2015-09-29 | 2018-05-11 | 日立汽车系统株式会社 | 车载控制装置以及车载控制装置的信息更新系统 |
CN108136981A (zh) * | 2015-10-30 | 2018-06-08 | 奥迪股份公司 | 机动车中的控制器更新 |
CN108136981B (zh) * | 2015-10-30 | 2021-04-13 | 奥迪股份公司 | 在机动车的控制器中调整配置数据组的方法 |
CN108701065A (zh) * | 2016-03-02 | 2018-10-23 | 住友电气工业株式会社 | 控制设备、程序更新方法和计算机程序 |
CN108701065B (zh) * | 2016-03-02 | 2022-03-11 | 住友电气工业株式会社 | 控制设备、程序更新方法和计算机程序 |
CN106897627B (zh) * | 2017-02-21 | 2020-02-11 | 成都信息工程大学 | 一种保证汽车ecu免受攻击和自动更新的方法 |
CN106897627A (zh) * | 2017-02-21 | 2017-06-27 | 成都信息工程大学 | 一种保证汽车ecu免受攻击和自动更新的方法 |
CN111032439A (zh) * | 2017-08-16 | 2020-04-17 | 住友电气工业株式会社 | 控制设备、控制方法和计算机程序 |
CN111032439B (zh) * | 2017-08-16 | 2023-04-11 | 住友电气工业株式会社 | 控制设备、控制方法和非暂时性计算机可读存储介质 |
CN112639723A (zh) * | 2018-08-10 | 2021-04-09 | 株式会社电装 | 车辆用主装置、车辆用电子控制系统、激活请求的指示方法以及激活请求的指示程序 |
CN113490911A (zh) * | 2019-02-22 | 2021-10-08 | 本田技研工业株式会社 | 软件更新装置、车辆和软件更新方法 |
CN113490911B (zh) * | 2019-02-22 | 2023-10-20 | 本田技研工业株式会社 | 软件更新装置、车辆和软件更新方法 |
CN113544602A (zh) * | 2019-03-15 | 2021-10-22 | 欧姆龙株式会社 | 控制系统、中继装置以及中继程序 |
US11704107B2 (en) | 2021-03-04 | 2023-07-18 | Toyota Motor North America, Inc. | Software updates based on transport-related actions |
Also Published As
Publication number | Publication date |
---|---|
EP2876553A1 (en) | 2015-05-27 |
JP2015079468A (ja) | 2015-04-23 |
CN104570823B (zh) | 2017-12-26 |
JP5975964B2 (ja) | 2016-08-23 |
EP2876553B1 (en) | 2018-08-29 |
US20150113521A1 (en) | 2015-04-23 |
US9904531B2 (en) | 2018-02-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104570823A (zh) | 信息处理方法和信息处理设备 | |
US20220224548A1 (en) | Verifying vehicular identity | |
EP2863303B1 (en) | Method for confirming correction program, confirming program for confirming correction program, and information processing apparatus | |
CN101960464B (zh) | 信息处理装置 | |
US11240211B2 (en) | System and method to leverage EDR, ECU, CAN and OBD data from vehicles by means of blockchain technology | |
US20110093920A1 (en) | System and Method for Device Authentication with Built-In Tolerance | |
US20140123255A1 (en) | System and method for device authentication with built-in tolerance | |
US11722315B2 (en) | Factory data storage and recovery | |
CN103679005A (zh) | 启用安全电子控制单元的开发模式的方法 | |
CN103677892A (zh) | 在安全电子控制单元中启用特殊优先模式的授权方案 | |
US20210344481A1 (en) | Secure monitoring using block chain | |
US11356256B2 (en) | Secure vehicular part communication | |
CN112970020A (zh) | 使用分布式账本监视设备部件 | |
CN110011796B (zh) | 证书更新方法、装置、计算机设备和存储介质 | |
CN103425932A (zh) | 签名校验方法和终端设备 | |
CN112199439A (zh) | 数据存储设备和非暂态有形计算机可读存储介质 | |
US20210012033A1 (en) | Method for the computer-aided parameterisation of a technical system | |
CN112445705B (zh) | 基于可信校验的软件运行系统、方法、装置和计算机设备 | |
CN102096777B (zh) | 车辆模块的安全编程 | |
CN116842517A (zh) | 可信验证方法及装置 | |
KR101390677B1 (ko) | 임베디드 소프트웨어의 복제관리 방법 및 이를 위한 복제관리 프로그램을 기록한 컴퓨터로 판독가능한 기록매체 | |
CN117877150B (zh) | 一种钥匙管理方法、装置、设备及存储介质 | |
Malangoni | Design and development of a smart parking device | |
KR20240025970A (ko) | Rxswin 정보를 포함하는 차량 제어 장치 및 그를 포함한 차량 제어 시스템 | |
CN117400755A (zh) | 基于云端大数据的电池充电管理方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant |