CN115686556A - 中心、方法、以及非暂时性存储介质 - Google Patents
中心、方法、以及非暂时性存储介质 Download PDFInfo
- Publication number
- CN115686556A CN115686556A CN202210640417.9A CN202210640417A CN115686556A CN 115686556 A CN115686556 A CN 115686556A CN 202210640417 A CN202210640417 A CN 202210640417A CN 115686556 A CN115686556 A CN 115686556A
- Authority
- CN
- China
- Prior art keywords
- vehicle
- software
- update
- information terminal
- electronic control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/65—Updates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/40—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
- H04W4/44—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for communication between vehicles and infrastructures, e.g. vehicle-to-cloud [V2C] or vehicle-to-home [V2H]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/50—Service provisioning or reconfiguring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/19—Connection re-establishment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/22—Processing or transfer of terminal data, e.g. status or physical capabilities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Stored Programmes (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明涉及中心、方法、以及非暂时性存储介质,该中心包括一个或者多个处理器,该一个或者多个处理器构成为与车辆以及和车辆建立了关联的信息终端之间进行过通信,判定车辆与信息终端的通信状态,在车辆与信息终端的通信未中断的情况下,基于从信息终端接收的更新同意通知来对被搭载于车辆的电子控制单元的软件的更新处理进行控制,在车辆与信息终端的通信中断的期间,限制软件的更新处理。
Description
技术领域
本公开涉及中心、中心所执行的方法以及非暂时性存储介质。
背景技术
在车辆搭载有用于控制车辆的动作的多个电子控制单元(ECU:ElectronicControl Unit)。电子控制单元具备处理器、RAM那样的暂时性存储部、以及闪速ROM那样的非易失性的存储部亦即非易失性存储器,通过处理器执行存储于非易失性存储器的软件来实现电子控制单元的控制功能。各电子控制单元所存储的软件可改写,通过更新为更新的版本的软件,能够改善各电子控制单元的功能、追加新的车辆控制功能。
作为更新电子控制单元的软件的技术,公知有一种如下所述的OTA(Over TheAir:空中下载)技术:将与车载网络连接了的车载通信设备和因特网等通信网络无线连接,担负车辆的软件的更新处理的装置经由无线通信从服务器下载软件,将下载了的软件写入至电子控制单元来进行安装,进行将安装了的软件有效化的激活,由此进行电子控制单元的软件的更新、追加。例如,参照日本特开2017-149323。
在使用了OTA的软件更新时,对于车辆的用户、管理者等进行存在软件更新这一通知、请求同意软件更新的处理等。通过被搭载于车辆的车辆导航装置、能够与车辆实现无线通信的智能手机等信息终端来对于车辆的用户、管理者等进行这些通知、同意请求等。
对于智能手机等移动信息终端而言,当在与车辆协作的状况下同意了软件的更新之后,可能发生离开车辆而不与车辆协作之类的情况。然而,在现状的软件的更新控制中,一旦软件的更新被同意,则此后即便是同意了的信息终端不与车辆协作的情况,也对于车辆继续执行软件的更新处理。因此,软件的更新处理的控制存在进一步改善的余地。
发明内容
本公开提供能够恰当地控制被搭载于车辆的电子控制单元的软件的更新处理的中心、方法以及非暂时性存储介质。
本公开的第一方式所涉及的中心包括:通信部,构成为与车辆以及和上述车辆建立了关联的信息终端之间进行通信;判定部,构成为对上述车辆与上述信息终端的通信状态进行判定;以及控制部,构成为基于上述通信部从上述信息终端接收的更新同意通知来对被搭载于上述车辆的电子控制单元的软件的更新处理进行控制,并在上述车辆与上述信息终端的通信中断的情况下,限制上述软件的更新处理。
本公开的第二方式所涉及的方法由具备一个或者多个处理器和一个或者多个存储器的中心执行。上述方法包括:与车辆以及和上述车辆建立了关联的信息终端之间进行通信;对上述车辆与上述信息终端的通信状态进行判定;基于从上述信息终端接收的更新同意通知来对被搭载于上述车辆的电子控制单元的软件的更新处理进行控制;以及在上述车辆与上述信息终端的通信中断的情况下,限制上述软件的更新处理。
本公开的第三方式所涉及的非暂时性存储介质储存有能够由具备一个或者多个处理器和一个或者多个存储器的中心的计算机执行且使上述计算机执行以下的功能的命令。上述功能包括:与车辆以及和上述车辆建立了关联的信息终端之间进行通信;对上述车辆与上述信息终端的通信状态进行判定;基于从上述信息终端接收的更新同意通知来对被搭载于上述车辆的电子控制单元的软件的更新处理进行控制;以及在上述车辆与上述信息终端的通信中断的情况下,限制上述软件的更新处理。
根据本公开的各方式,能够对被搭载于车辆的电子控制单元的软件的更新处理恰当地进行控制。
附图说明
以下,参照附图对本发明的示例性实施例的特征、优点、技术及工业重要性进行说明,在附图中相同的附图标记表示相同的构成要素,其中:
图1是表示实施方式所涉及的网络系统的整体结构的框图。
图2是表示中心的简要结构的框图。
图3是中心的功能框图。
图4是表示OTA管理器的简要结构的框图。
图5是OTA管理器的功能框图。
图6A是表示电子控制单元的简要结构的一个例子的框图。
图6B是表示电子控制单元的简要结构的一个例子的框图。
图7是表示类别信息的一个例子的图。
图8A是中心所进行的具体例1涉及的软件的更新处理的流程图。
图8B是中心所进行的具体例1涉及的软件的更新处理的流程图。
图9A是中心所进行的具体例2涉及的软件的更新处理的流程图
图9B是中心所进行的具体例2涉及的软件的更新处理的流程图。
具体实施方式
在通过车辆外的信息终端同意了被搭载于车辆的电子控制单元的软件更新的情况下,本公开涉及的中心还基于信息终端与车辆的协作状态来对软件的更新处理施加必要的限制。由此,能够实现电子控制单元的软件更新处理的安全且短时间的完成。
以下,参照附图对本公开的一个实施方式详细地进行说明。
实施方式
系统结构
图1是表示本公开的一个实施方式所涉及的网络系统的整体结构的框图。图1所示的网络系统是用于对被搭载于车辆的多个电子控制单元(ECU)50a~50d的软件进行更新的系统,具备位于车辆外的中心10、在车辆内构建的车载网络90、以及与车辆建立了关联的信息终端95。
(1)中心
中心10能够经由网络100与车载网络90所具备的后述的OTA管理器30通信,能够进行电子控制单元50a~50d的软件的更新数据以及定义了更新处理的步骤的信息的发送、表示软件更新处理的进展状况的通知的接收等来对与OTA管理器30连接的多个电子控制单元50a~50d的软件更新进行控制以及管理。该中心10具有作为所谓的服务器的功能。另外,中心10能够经由网络100与信息终端95通信,能够对于车辆的用户、管理者等进行存在电子控制单元50a~50d的软件更新的通知、软件更新的同意请求。
图2是表示图1中的中心10的简要结构的框图。如图2所示,中心10具备CPU(Central Processing Unit)11、RAM(Random Access Memory)12、存储装置13以及通信装置14。CPU11、RAM12、存储装置13以及通信装置14的数量分别不局限于1个,可以为多个。存储装置13是具备硬盘驱动器(HDD)、固态驱动器(SSD)等可读写的存储介质的装置,存储用于执行软件的更新管理的程序、在软件的更新控制以及更新管理中使用的信息、以及各电子控制单元的软件的更新数据等。在中心10中,CPU11通过使用RAM12作为工作区域执行从存储装置13读出的程序,来执行与软件更新相关的规定的处理。通信装置14是用于经由网络100与OTA管理器30、信息终端95进行通信的装置。
图3是图2所示的中心10的功能框图。图3所示的中心10具备存储部16、通信部17、控制部18、判定部19以及HMI功能部20。存储部16的功能通过图2所示的存储装置13来实现。通信部17、控制部18、判定部19以及HMI功能部20的功能通过图2所示的CPU11使用RAM12执行存储于存储装置13的程序来实现。
存储部16对与被搭载于车辆的1个以上的电子控制单元的软件更新处理相关的信息进行存储。作为与软件更新处理相关的信息,存储部16按识别车辆的每个车辆识别信息(车辆ID)至少存储将表示在电子控制单元50a~50d能够利用的软件的信息建立了关联的更新管理信息和电子控制单元50a~50d的软件的更新数据。作为表示在电子控制单元50a~50d能够利用的软件的信息,例如可定义多个电子控制单元50a~50d的各软件的最新的版本信息的组合。作为与软件更新处理相关的信息,存储部16能够存储表示正在车辆中实施的软件的更新状态的更新状况。另外,作为与软件更新处理相关的信息,存储部16能够存储用于对于OTA管理器30进行控制的指示的、与表示软件更新处理的步骤的更新时序相关的信息。
通信部17作为与OTA管理器30之间、与信息终端95之间进行数据、信息、通知以及请求等的发送及接收的发送部以及接收部发挥功能。通信部17从OTA管理器30接收软件的更新确认请求(接收部)。更新确认请求例如是在车辆中电源或者点火装置被接通(以下成为“电源接通”)时从OTA管理器30向中心10发送的信息,是用于请求中心10基于后述的车辆构成信息来确认是否存在电子控制单元50a~50d的更新数据的信息。另外,通信部17响应于从OTA管理器30接收到的更新确认请求而将表示更新数据的有无的信息发送至OTA管理器30(发送部)。另外,通信部17对来自OTA管理器30的分发数据包的发送请求(下载请求)进行接收(接收部)。另外,通信部17若接收到分发数据包的下载请求(接收部),则将由后述的控制部18生成的包括电子控制单元50a~50d的软件的更新数据等的分发数据包发送至OTA管理器30(发送部)。另外,通信部17能够基于HMI功能部20的指示来对于OTA管理器30、信息终端95进行面向车辆的用户、管理者等的存在软件更新的通知、软件更新的同意请求(发送部)。另外,通信部17能够从OTA管理器30(或者信息终端95)接收与车辆和信息终端95之间的通信状态、即是否处于车辆和信息终端95协作的状态相关的信息(以下称为“协作信息”)(接收部)。并且,通信部17能够从OTA管理器30以及/或者信息终端95接收对于软件更新的同意请求的来自车辆的用户、管理者等的响应(更新同意通知/更新不同意通知)(接收部)。
若通信部17从OTA管理器30接收到更新确认请求,则控制部18基于存储于存储部16的更新管理信息来针对被搭载于由更新确认请求所包括的车辆ID确定的车辆的电子控制单元50a~50d判定是否存在软件的更新数据。控制部18涉及的是否存在更新数据的判定结果由通信部17发送至OTA管理器30。在判定为存在电子控制单元50a~50d的软件的更新数据的情况下,若通信部17从OTA管理器30接收到分发数据包的下载请求,则控制部18生成包括存储于存储部16的相应的更新数据等的1个或者多个分发数据包。另外,控制部18基于针对HMI功能部20进行的软件更新的同意请求的来自车辆的用户、管理者等的指示以及由判定部19判定出的车辆与信息终端95的协作状态而根据需要来限制电子控制单元50a~50d的软件的更新处理。
判定部19基于通信部17从OTA管理器30(或者信息终端95)接收的车辆与信息终端95的协作信息来对是否处于车辆与信息终端95协作的状态进行判定。在本实施方式中,车辆与信息终端95协作的状态是指OTA管理器30与信息终端95通过规定的短距离无线通信方式连接为能够通信的状态,车辆与信息终端95未协作的状态是指OTA管理器30与信息终端95的基于短距离无线通信方式的通信中断的状态。
HMI功能部20根据需要而经由通信部17对于信息终端95执行进行存在被搭载于车辆的电子控制单元50a~50d的软件更新这一内容的通知、软件更新的同意请求、以及软件的更新状态等信息通知的处理等。
信息终端95是车辆的用户、管理者所拥有的智能手机等通信装置。该信息终端95能够通过被登记管理于车辆等来与车辆建立关联,作为为了进行与车辆相关的特定的操作(例如车辆门的上锁解锁操作、远程驻车操作)、信息的显示等而被使用的人机接口(HMI)来发挥功能。与车辆建立关联的信息终端95不局限于1个,也可以为多个。
(2)车载网络
车载网络90具备OTA管理器30、多个电子控制单元50a~50d、显示装置70以及通信模块80。OTA管理器30与通信模块80经由总线60a连接。OTA管理器30与电子控制单元50a以及50b经由总线60b连接。OTA管理器30与电子控制单元50c以及50d经由总线60c经由连接。OTA管理器30与显示装置70经由总线60d连接。
OTA管理器30能够经由总线60a以及通信模块80并通过网络100来与中心10实现无线通信。另外,OTA管理器30能够经由总线60a以及通信模块80与信息终端95之间实现使用了短距离无线通信方式的通信。另外,OTA管理器30能够经由总线60b~60d来与电子控制单元50a~50d以及显示装置70实现有线通信。该OTA管理器30管理OTA状态,是具有对软件更新处理的流程亦即更新时序进行控制来实施成为更新对象的电子控制单元(以下称为“目标电子控制单元”)的软件更新的功能的装置。OTA管理器30基于从中心10取得的更新数据等并根据与车辆和信息终端95的协作状态对应的更新的限制的有无来控制电子控制单元50a~50d中的目标电子控制单元的软件更新。OTA管理器30也存在被称为中央网关(CGW)的情况。
图4是表示图1中的OTA管理器30的简要结构的框图。如图4所示,OTA管理器30具备CPU31、RAM32、ROM(Read-Only Memory)33、存储装置34以及通信装置36。CPU31、RAM32、ROM33以及存储装置34构成微型计算机35。其中,微型计算机35并不局限于1个,也可以为多个。在OTA管理器30中,CPU31通过使用RAM32作为工作区域执行从ROM33读出的程序,来执行与软件更新相关的规定的处理。通信装置36是经由图1所示的总线60a~60d来与通信模块80、电子控制单元50a~50d以及显示装置70分别进行通信的装置。
图5是图4所示的OTA管理器30的功能框图。图5所示的OTA管理器30具备存储部37、通信部38以及控制部39。存储部37的功能由图4所示的存储装置34来实现。通信部38以及控制部39的功能通过图4所示的CPU31使用RAM32执行存储于ROM33的程序来实现。
存储部37除了存储用于执行多个电子控制单元50a~50d的软件更新的程序(OTA管理器30的控制用程序)、在执行软件更新时使用的各种数据之外,还存储从中心10下载了的软件的更新数据等。另外,存储部37能够存储与分别搭载于多个电子控制单元50a~50d的非易失性存储器的类别相关的信息(后述)。
通信部38作为与中心10之间、与信息终端95之间进行数据、信息、通知以及请求等的发送及接收的发送部以及接收部发挥功能。通信部38例如以车辆的电源接通为契机来将软件的更新确认请求发送至中心10(发送部)。更新确认请求例如包括用于识别车辆的车辆ID和与车载网络90连接的电子控制单元50a~50d的软件的当前版本所涉及的信息。为了通过与中心10按每个车辆ID保持的软件的最新版本的比较来判定是否存在电子控制单元50a~50d的软件的更新数据而使用车辆ID以及电子控制单元50a~50d的软件的当前版本。另外,通信部38从中心10接收表示更新数据的有无的通知作为对于更新确认请求的响应(接收部)。在存在电子控制单元50a~50d的软件的更新数据的情况下,通信部38将包括软件的更新数据等的分发数据包的下载请求发送至中心10(发送部),接收(下载)从中心10发送的分发数据包(接收部)。另外,通信部38将电子控制单元50a~50d发送的软件的更新状态发送至中心10(发送部)。另外,通信部38能够基于控制部39的指示来将软件的更新状态显示于显示装置70、通知给信息终端95。
控制部39基于通信部38接收到的对于更新确认请求的来自中心10的响应来判定是否存在电子控制单元50a~50d的软件的更新数据。另外,控制部39对通信部38从中心10通过分发数据包接收(下载)并储存于存储部37的更新数据的真实性进行验证。另外,控制部39使用从中心10下载了的更新数据来控制电子控制单元50a~50d的软件更新处理(安装、激活等)。具体而言,控制部39将下载了的更新数据转送至目标电子控制单元,使目标电子控制单元安装基于更新数据的更新软件。在安装完成后,控制部39对于目标电子控制单元指示使安装了的更新软件有效化的激活。在该软件更新处理时,控制部39根据从中心10接收的基于车辆和信息终端95的协作状态的与更新处理的限制有关的信息来执行安装、激活。
多个电子控制单元50a~50d是用于控制车辆的各部的动作的装置(ECU)。在图1中,示出了车载网络90具备4个电子控制单元50a~50d的例子,但电子控制单元的个数不特别限定。另外,将电子控制单元50a~50d与OTA管理器30连接的总线的条数也不特别限定。电子控制单元50a~50d的简要结构的一个例子如图6A以及图6B所示。
图6A所示的电子控制单元50a具备CPU51、RAM52、非易失性存储器53a以及通信装置54。CPU51通过使用RAM52作为工作区域执行从非易失性存储器53a读出的程序,来实现电子控制单元50a的功能。非易失性存储器53a是具有用于储存软件等数据的1个储存区域(库)55的存储器(以下称为“单库存储器”)。在本实施方式中,有时将作为单库存储器的非易失性存储器53a的存储器类别记作“第1类别”来与其他进行区别。有时在储存区域55除了储存有用于实现电子控制单元50a的功能的软件的之外还储存有版本信息、参数数据、启动用的引导程序、软件更新用的程序等。通信装置54是用于进行和OTA管理器30、与车载网络90连接的其他电子控制单元50b~50d的通信的装置。
图6B所示的电子控制单元50b与电子控制单元50a同样,具备CPU51、RAM52、非易失性存储器53b以及通信装置54。其中,搭载于电子控制单元50b的非易失性存储器53b是具有用于储存软件等数据的2个储存区域(库)56a以及56b的存储器(以下称为“双库存储器”)。在本实施方式中,有时将作为双库存储器的非易失性存储器53b的存储器类别记作“第2类别”来与其他进行区别。有时在储存区域56a以及56b除了储存有用于实现电子控制单元50b的功能的软件之外还储存有版本信息、参数数据、启动用的引导程序、软件更新用的程序等。电子控制单元50b的CPU51将非易失性存储器53b所具有的2个储存区域56a以及56b中的任一方作为读出对象的储存区域(运用面),执行被储存于读出对象的储存区域的软件。在不是读出对象的另一方的储存区域(非运用面、写入面),在执行读出对象的储存区域(运用面)的程序的过程中,能够在后台实现基于更新数据的更新软件(更新版的程序)的安装(写入)。在软件更新处理中的激活(更新软件的有效化)时,通过由电子控制单元50b的CPU51切换程序的读出对象的储存区域,能够激活更新软件。
作为具体例,设想在作为双库存储器的非易失性存储器53b的储存区域56a储存有现行的软件、在储存区域56b安装有更新软件的情况。若从OTA管理器30指示了更新软件的激活,则例如电子控制单元50b通过将CPU51的读出开始地址从储存区域56a的前端地址切换为储存区域56b的前端地址来切换该CPU51的读出对象(运用面)的储存区域,能够执行被安装于储存区域56b的更新软件。此外,在本公开中,将1个储存区域虚拟地划分为2个面并在执行储存于一方的面的程序的过程中能够在另一方的面实现程序的写入的被称为“单面挂起存储器”的非易失性存储器的结构也被分类为第2类别的存储器。
图7中表示了与分别搭载于多个电子控制单元50a~50d的非易失性存储器的类别相关的信息亦即类别信息的一个例子。在图7所例示的类别信息中,用于识别电子控制单元的编号亦即ECU_ID和搭载于该电子控制单元的非易失性存储器的类别(第1类别(单库)/第2类别(双库))建立了关联。该类别信息至少被存储于中心10的存储部16来管理。可以基于构成车载网络90的电子控制单元50a~50d的规格来预先创建类别信息,并在车辆的制造时等储存于存储部16等,也可以在软件的更新处理时通过车载网络90内的通信从目标电子控制单元取得。
显示装置70是为了在电子控制单元50a~50d的软件的更新处理时进行存在更新数据这一情况的显示、用于向车辆的用户、管理者请求对于软件更新的同意的同意请求画面的显示、以及软件更新的结果、状态的显示等各种显示而被使用的人机接口(HMI)。作为显示装置70,典型地能够使用汽车导航系统的显示装置,但只要能够显示软件的更新处理时所需的信息即可,不特别限定。此外,在图1所示的总线60d可以除了显示装置70之外还连接有电子控制单元等。
通信模块80是具有对中心10与车辆的通信进行控制的功能的单元,是用于将车载网络90与中心10连接的通信设备。通信模块80通过网络100来与中心10无线连接,进行OTA管理器30涉及的车辆的认证、更新数据的下载等。另外,通信模块80能够不经由网络100就与信息终端95实现无线连接。与信息终端95的无线连接能够使用Bluetooth(注册商标)、RF/LF通信等短距离无线通信方式。该通信模块80也可以构成为包含于OTA管理器30。
软件更新处理的概要
OTA管理器30例如以车辆的电源接通为契机来将软件的更新确认请求发送至中心10。更新确认请求包括用于识别车辆的车辆ID、和与车载网络90连接的电子控制单元50a~50d的硬件以及软件的当前版本等与电子控制单元的状态(系统构成)相关的信息亦即车辆构成信息。能够通过从与车载网络90连接的电子控制单元50a~50d取得电子控制单元的识别编号(ECU_ID)和电子控制单元的软件版本的识别编号(ECU_Software_ID)来创建车辆构成信息。为了通过与中心10按每个车辆ID保持的软件的最新版本的比较来判定是否存在电子控制单元50a~50d的软件的更新数据而使用车辆ID以及电子控制单元50a~50d的软件的当前版本。中心10将表示更新数据的有无的通知发送至OTA管理器30以及/或者信息终端95作为对于从OTA管理器30接收到的更新确认请求的响应。在存在电子控制单元50a~50d的软件的更新数据的情况下,OTA管理器30将分发数据包的下载请求发送至中心10。中心10根据从OTA管理器30接收到的下载请求来将包括更新数据等的分发数据包发送至OTA管理器30。分发数据包可以除了更新数据之外还包括用于验证更新数据的真实性的验证用数据、更新数据的数量、类别信息、在软件更新时使用的各种控制信息等。
OTA管理器30基于从中心10接收到的对于更新确认请的响应来判定是否存在电子控制单元50a~50d的软件的更新数据。另外,OTA管理器30对从中心10接收并储存于存储装置13的分发数据包的真实性进行验证。另外,OTA管理器30将通过分发数据包下载了的更新数据转送至目标电子控制单元,使目标电子控制单元安装更新数据。在安装完成后,OTA管理器30对于目标电子控制单元指示进行使安装了的更新版的软件有效的激活。
另外,中心10在同意请求处理中使输出装置输出对于软件更新需要同意这一内容的通知、催促同意软件更新这一内容的输入的通知。作为输出装置,能够利用设置于车载网络90的显示装置70、信息终端95等。例如,在同意请求处理中,当使用显示装置70作为输出装置的情况下,OTA管理器30能够使显示装置70显示用于向用户或者管理者请求软件更新的同意的同意请求画面,或者使显示装置70显示在用户或者管理者同意的情况下催促按下同意按钮等特定的输入操作的通知。在同意请求处理中,当使用信息终端95作为输出装置的情况下,OTA管理器30能够使信息终端95的显示画面显示用于向用户或者管理者请求软件更新的同意的同意请求、或者显示在用户或者管理者同意的情况下催促按下同意按钮等特定的输入操作的通知。另外,在同意请求处理中,中心10能够使显示装置70、信息终端95显示通知为存在电子控制单元50a~50d的软件的更新数据这一情况的语句、图标等,或者使显示装置70、信息终端95显示软件更新处理的执行中的限制事项等。中心10若经由OTA管理器30以及/或者信息终端95从用户或者管理者受理到同意这一内容的输入,则对于OTA管理器30指示上述的安装以及激活的控制处理的执行,更新目标电子控制单元的软件。
这里,在目标电子控制单元的非易失性存储器是具有用于储存软件等数据的1个储存区域的单库存储器的情况下,由于原则上连续地进行安装与激活,所以在安装的执行前进行对于软件更新的同意请求处理。此外,即便是单库存储器的目标电子控制单元,也可能根据从中心10指示的与更新时序相关的信息而被请求为在安装完成的状态下暂时停止更新处理、即暂缓(待机)激活。另外,在目标电子控制单元的非易失性存储器是具有用于储存软件等数据的2个储存区域的双库存储器的情况下,至少在安装的执行后且激活的执行前进行对于软件更新的同意请求处理。其中,在目标电子控制单元的非易失性存储器是双库存储器的情况下,安装执行前的对于软件的更新的同意请求处理可以进行,也可以省略。
软件更新处理由OTA管理器30从中心10下载更新数据的阶段(下载阶段)、OTA管理器30将下载了的更新数据转送至目标电子控制单元并在目标电子控制单元的储存区域安装基于更新数据的更新软件的阶段(安装阶段)、以及目标电子控制单元将安装了的更新软件有效化的阶段(激活阶段)构成。
下载是OTA管理器30接收从中心10通过分发数据包发送出的用于更新电子控制单元的软件的更新数据并存储于存储部37的处理。关于下载涉及的更新数据的接收,在下载阶段中不仅包括下载的执行,还包括下载的可否执行判断、更新数据的验证等与下载相关的一系列处理的控制。
从中心10发送至OTA管理器30的更新数据可以包括电子控制单元的更新软件(完整数据或者差分数据)、压缩更新软件而成的压缩数据、分割更新软件或者压缩数据而成的分割数据中的任一个。另外,更新数据可以包括目标电子控制单元的ECU_ID(或者序列号)和更新前的目标电子控制单元的ECU_Software_ID。更新数据被作为上述的分发数据包下载,但分发数据包中包括单个电子控制单元或者多个电子控制单元的更新数据。
安装是OTA管理器30基于从中心10下载了的更新数据将更新软件(更新版的程序)写入至目标电子控制单元的非易失性存储器的处理。在本实施方式的安装阶段中,不仅包括安装的执行,还包括安装的可否执行判断、更新数据的转送以及更新软件的验证等与安装相关的一系列处理的控制。
在更新数据包括更新软件本身(完整数据)的情况下,在安装阶段中,OTA管理器30将更新数据(更新软件)转送至目标电子控制单元。另外,在更新数据包括更新软件的压缩数据、或者差分数据、或分割数据的情况下,可以是OTA管理器30将更新数据转送至目标电子控制单元,目标电子控制单元根据更新数据来生成更新软件,也可以是在OTA管理器30根据更新数据生成更新软件之后将更新软件转送至目标电子控制单元。这里,更新软件的生成能够通过压缩数据的解压、差分数据或者分割数据的组合(整合)来进行。
更新软件的安装能够由目标电子控制单元按照从中心10接收的基于车辆与信息终端95的协作状态的更新的限制(后述)并根据来自OTA管理器30的安装请求来进行。此外,接收到更新数据的特定的目标电子控制单元可以自主地进行安装而不接受来自OTA管理器30的明确的指示。
激活是目标电子控制单元将已安装于自身的非易失性存储器的更新软件有效化(激活)的处理。在激活阶段中不仅包括激活的执行,还包括激活的可否执行判断、向车辆的用户或者管理者的对于激活的同意请求、执行结果的验证等与激活相关的一系列处理的控制。
更新软件的激活能够由目标电子控制单元按照从中心10接收的基于车辆与信息终端95的协作状态的更新的限制(后述)并根据来自OTA管理器30的激活请求来进行。此外,接收到更新数据的特定的目标电子控制单元可以在安装完成后自主地进行激活而不接受来自OTA管理器30的明确的指示。
其中,能够对于多个目标电子控制单元分别连续或并列地进行软件更新处理。
另外,本说明书中的“软件更新处理”不仅包括连续地进行下载、安装以及激活的全部的处理,还包括仅进行下载、安装、以及激活中的一部的处理。
处理
接下来,进而参照图8A、图8B、图9A以及图9B来对在本实施方式所涉及的网络系统中执行的与软件的更新处理相关的几个具体例进行说明。
(1)具体例1
图8A以及图8B是对中心10所进行的具体例1涉及的软件更新处理的步骤进行说明的流程图。图8A的处理与图8B的处理通过连接符X连结。该具体例1涉及的软件更新处理是在安装需要更新的软件的目标电子控制单元搭载了双库存储器的情况下由中心10进行按照基于信息终端95的更新同意来更新车辆的软件的处理的例子。
(步骤S801)
中心10对在成为对象的车辆中是否存在需要更新的软件进行判断。例如,能够基于从OTA管理器30发送的更新确认请求所包括的、根据车辆构成信息取得的搭载于车辆的各电子控制单元50a~50d的软件的当前版本和存储于中心10的存储部16的各软件的最新版本来进行该判断。仅当在成为对象的车辆中存在需要更新的软件的情况下(步骤S801,是),处理进入至步骤S802。
(步骤S802)
中心10判断是否存在基于信息终端95对更新软件(基于更新数据的软件)的下载的同意。例如,能够通过中心10从信息终端95接收对于中心10向信息终端95发送出的下载同意请求的响应(更新同意通知等)来进行该判断。仅在存在基于信息终端95对更新软件的下载的同意的情况下(步骤S802,是),处理进入至步骤S803。
(步骤S803)
中心10向OTA管理器30发送更新软件、使OTA管理器30下载更新软件。在更新软件的发送中能够使用规定的分发数据包。若OTA管理器30涉及的更新软件的下载完成,则处理进入至步骤S804。
(步骤S804)
中心10判断是否存在基于信息终端95对更新软件的安装的同意。例如,能够通过中心10从信息终端95接收对于中心10发送至信息终端95的安装同意请求的响应(更新同意通知等)来进行该判断。仅在存在基于信息终端95对更新软件的安装的同意的情况下(步骤S804,是),处理进入至步骤S805。
(步骤S805)
中心10使OTA管理器30以及目标电子控制单元执行将OTA管理器30下载了的更新软件转送并写入至目标电子控制单元的处理亦即安装。若更新软件向目标电子控制单元的安装完成,则处理进入至步骤S806。
(步骤S806)
中心10判断是否存在基于信息终端95对更新软件的激活的同意。例如,能够通过中心10从信息终端95接收对于中心10发送至信息终端95的激活同意请求的响应(更新同意通知等)来进行该判断。仅在存在基于信息终端95对更新软件的激活的同意的情况下(步骤S806,是),处理进入至步骤S807。
(步骤S807)
中心10取得表示车辆与信息终端95的协作状态的协作信息。作为协作信息,可例示若车辆与信息终端95通过短距离无线通信连接则“协作成功”、若车辆与信息终端95未通过短距离无线通信连接则“协作失败”。该协作信息基本上从车辆(OTA管理器30)取得,但也能够从信息终端95取得。若取得了车辆与信息终端95之间的协作信息,则处理进入至步骤S808。
(步骤S808)
中心10基于在上述步骤S807中取得的协作信息来对车辆与信息终端95是否正在协作进行判定。在该判定中成为对象的信息终端95是进行了激活的同意的信息终端95。在中心10判定为进行了激活的同意的信息终端95正与车辆协作的情况下(步骤S808,是),处理进入至步骤S809,在中心10判定为进行了激活的同意的信息终端95与车辆中断而没有协作的情况下(步骤S808,否),处理进入至步骤S807。
(步骤S809)
中心10允许使安装于目标电子控制单元的更新软件有效化的处理亦即激活,使OTA管理器30以及目标电子控制单元执行激活。若目标电子控制单元的更新软件的激活完成,则本软件更新处理结束。
(2)具体例2
图9A以及图9B是对中心10所进行的具体例2涉及的软件更新处理的步骤进行说明的流程图。图9A的处理与图9B的处理通过连接符Y连结。该具体例2涉及的软件更新处理是在安装需要更新的软件的目标电子控制单元搭载了单库存储器的情况下由中心10进行按照基于信息终端95的更新同意来更新车辆的软件的处理的例子。
(步骤S901)
中心10对在成为对象的车辆中是否存在需要更新的软件进行判断。例如,能够基于从OTA管理器30发送的更新确认请求所包括的、从车辆构成信息取得的搭载于车辆的各电子控制单元50a~50d的软件的当前版本和存储于中心10的存储部16的各软件的最新版本来进行该判断。仅在成为对象的车辆中存在需要更新的软件的情况下(步骤S901,是),处理进入至步骤S902。
(步骤S902)
中心10判断是否存在基于信息终端95对更新软件(基于更新数据的软件)的下载的同意。例如,能够通过中心10从信息终端95接收对于中心10发送至信息终端95的下载同意请求的响应(更新同意通知等)来进行该判断。仅在存在基于信息终端95对更新软件的下载的同意的情况下(步骤S902,是),处理进入至步骤S903。
(步骤S903)
中心10向OTA管理器30发送更新软件,使OTA管理器30下载更新软件。在更新软件的发送中能够使用规定的分发数据包。若OTA管理器30涉及的更新软件的下载完成,则处理进入至步骤S904。
(步骤S904)
中心10判断是否存在基于信息终端95对更新软件的安装的同意。例如,能够通过中心10从信息终端95接收对于中心10发送至信息终端95的安装同意请求的响应(更新同意通知等)来进行该判断。仅在存在基于信息终端95对更新软件的安装的同意的情况下(步骤S904,是),处理进入至步骤S905。
(步骤S905)
中心10取得表示车辆与信息终端95的协作状态的协作信息。作为协作信息,可例示若车辆与信息终端95通过短距离无线通信连接则“协作成功”、若车辆与信息终端95未通过短距离无线通信连接则“协作失败”。该协作信息基本上从车辆(OTA管理器30)取得,但也可以从信息终端95取得。若取得了车辆与信息终端95之间的协作信息,则处理进入至步骤S906。
(步骤S906)
中心10基于在上述步骤S905中取得的协作信息来对车辆与信息终端95是否正在协作进行判定。在该判定中成为对象的信息终端95是进行了安装的同意的信息终端95。在中心10判定为进行了安装的同意的信息终端95正与车辆协作的情况下(步骤S906,是),处理进入至步骤S907,在中心10判定为进行了安装的同意的信息终端95与车辆中断而未协作的情况下(步骤S906,否),处理进入至步骤S905。
(步骤S907)
中心10允许将OTA管理器30下载了的更新软件转送并写入至目标电子控制单元的处理亦即安装,使OTA管理器30以及目标电子控制单元执行安装。并且,中心10使OTA管理器30以及目标电子控制单元执行将安装于目标电子控制单元的更新软件有效化的处理亦即激活。若对于目标电子控制单元的更新软件的安装以及激活完成,则本软件更新处理结束。
其中,在上述的具体例1以及2中,对当进行了安装或者激活的同意的信息终端95在安装或者激活的处理前未与车辆协作的通信中断的情况下、等待至信息终端95与车辆的协作恢复(通信状态恢复)之后进行(允许)更新软件的安装以及激活的处理的例子进行说明。然而,也可以当信息终端95在安装或者激活的处理前未与车辆协作的通信中断的情况下、立即中止更新处理而不等待此后的协作恢复(通信状态的恢复)(即,在图8B的步骤S808的“否”中结束软件更新处理,在图9B的步骤S906的“否”中结束软件更新处理)。
作用/效果
如以上那样,根据本公开的一个实施方式所涉及的网络系统,在由信息终端95同意了被搭载于车辆的目标电子控制单元的软件的更新的情况下,中心10还基于信息终端95与车辆的协作状态来对软件的更新处理施加必要的限制。更具体而言,在目标电子控制单元的非易失性存储器为双库存储器的情况下,即便被同意也不允许将安装于目标电子控制单元的更新软件有效化的激活以后的处理。另外,在目标电子控制单元的非易失性存储器为单库存储器的情况下,即便被同意也不允许将更新软件写入至目标电子控制单元的安装以后的处理。
通过该限制处理,例如在未搭载能够提示与OTA涉及的软件更新相关的信息的功能的车辆等需要经由与车辆建立了关联的信息终端95进行同意处理那样的情况下,能够仅限于进行了更新同意的信息终端95位于车辆的附近的情况才允许更新处理。因此,能够使软件的更新安全且以短时间完成。
另外,根据本实施方式所涉及的网络系统,在目标电子控制单元的非易失性存储器为双库存储器的情况下,能够将更新处理推进至安装为止,且信息终端95与车辆的协作一恢复就立刻执行激活以后的处理。在目标电子控制单元的非易失性存储器为单库存储器的情况下,能够将更新处理推进至下载为止,信息终端95与车辆的协作一恢复就立刻执行安装以后的处理。由此,能够恰当地控制被搭载于车辆的电子控制单元的软件的更新处理
此外,在上述实施方式中,仅基于车辆与信息终端95的协作状态来实施软件的更新处理的限制,但也可以与车辆的行驶状态组合来进行。例如,在车辆与信息终端95的通信中断且车辆处于行驶中的情况下,能够限制软件的更新处理。
另外,在上述实施方式中,对在即便车辆与信息终端95的通信中断但此后恢复了的情况下解除软件的更新处理的限制的例子进行了说明,但也可以不解除限制而中止软件的更新处理。
本公开技术能够在用于更新被搭载于车辆的电子控制单元的软件的网络系统中利用。
Claims (7)
1.一种中心,其特征在于,包括:
通信部,构成为与车辆以及和所述车辆建立了关联的信息终端之间进行通信;
判定部,构成为对所述车辆与所述信息终端的通信状态进行判定;以及
控制部,构成为基于所述通信部从所述信息终端接收的更新同意通知来对被搭载于所述车辆的电子控制单元的软件的更新处理进行控制,并在所述车辆与所述信息终端的通信中断的情况下,限制所述软件的更新处理。
2.根据权利要求1所述的中心,其特征在于,
所述控制部构成为在搭载了具有2个储存区域的非易失性存储器的所述电子控制单元的所述软件的更新处理中,当所述通信部接收到所述更新同意通知且所述车辆与所述信息终端的通信中断的情况下,不允许将写入至所述储存区域的更新软件有效化的激活以后的处理。
3.根据权利要求1所述的中心,其特征在于,
所述控制部构成为在搭载了具有1个储存区域的非易失性存储器的所述电子控制单元的所述软件的更新处理中,当所述通信部接收到所述更新同意通知且所述车辆与所述信息终端的通信中断的情况下,不允许在所述储存区域写入更新软件的安装以后的处理。
4.根据权利要求2所述的中心,其特征在于,
所述控制部构成为在所述判定部判定为所述车辆与所述信息终端的通信恢复了的情况下,允许所述激活以后的处理。
5.根据权利要求3所述的中心,其特征在于,
所述控制部构成为在所述判定部判定为所述车辆与所述信息终端的通信恢复了的情况下,允许所述安装以后的处理。
6.一种方法,由具备一个或者多个处理器和一个或者多个存储器的中心执行,
所述方法的特征在于,包括:
与车辆以及和所述车辆建立了关联的信息终端之间进行通信;
对所述车辆与所述信息终端的通信状态进行判定;
基于从所述信息终端接收的更新同意通知来对被搭载于所述车辆的电子控制单元的软件的更新处理进行控制;以及
在所述车辆与所述信息终端的通信中断的情况下,限制所述软件的更新处理。
7.一种非暂时性存储介质,储存有能够由具备一个或者多个处理器和一个或者多个存储器的中心的计算机执行且使所述计算机执行以下的功能的命令,
所述非暂时性存储介质的特征在于,所述功能包括:
与车辆以及和所述车辆建立了关联的信息终端之间进行通信;
对所述车辆与所述信息终端的通信状态进行判定;
基于从所述信息终端接收的更新同意通知来对被搭载于所述车辆的电子控制单元的软件的更新处理进行控制;以及
在所述车辆与所述信息终端的通信中断的情况下,限制所述软件的更新处理。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021123510A JP2023019048A (ja) | 2021-07-28 | 2021-07-28 | センタ、方法、及びプログラム |
| JP2021-123510 | 2021-07-28 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115686556A true CN115686556A (zh) | 2023-02-03 |
Family
ID=85038233
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210640417.9A Pending CN115686556A (zh) | 2021-07-28 | 2022-06-08 | 中心、方法、以及非暂时性存储介质 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20230032451A1 (zh) |
| JP (1) | JP2023019048A (zh) |
| CN (1) | CN115686556A (zh) |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8813061B2 (en) * | 2012-10-17 | 2014-08-19 | Movimento Group | Module updating device |
| JP6185789B2 (ja) * | 2013-08-23 | 2017-08-23 | 矢崎エナジーシステム株式会社 | 車載ソフトウェア更新装置 |
| CN107660335B (zh) * | 2015-05-14 | 2020-10-09 | 爱尔比奎特公司 | 对移动辅助机动车辆软件升级和车辆数据分析的集中管理 |
| JP6281535B2 (ja) * | 2015-07-23 | 2018-02-21 | 株式会社デンソー | 中継装置、ecu、及び、車載システム |
| US20180107473A1 (en) * | 2016-10-13 | 2018-04-19 | GM Global Technology Operations LLC | Determining whether to install a vehicle system update in a vehicle |
| CN111133412A (zh) * | 2017-07-25 | 2020-05-08 | 奥罗拉实验室有限公司 | 基于工具链构建车辆ecu软件的软件增量更新和异常检测 |
| JP7024765B2 (ja) * | 2018-08-10 | 2022-02-24 | 株式会社デンソー | 車両用マスタ装置、更新データの配信制御方法及び更新データの配信制御プログラム |
| JP7124627B2 (ja) * | 2018-10-16 | 2022-08-24 | 株式会社オートネットワーク技術研究所 | 車載更新装置、更新処理プログラム及び、プログラムの更新方法 |
| US11449327B2 (en) * | 2018-11-30 | 2022-09-20 | Paccar Inc | Error-resilient over-the-air software updates for vehicles |
| DE112020004103T5 (de) * | 2019-08-28 | 2022-06-15 | Denso Corporation | Elektronisches fahrzeugsteuersystem, fahrzeugmastervorrichtung, umschreibanweisungsverfahren basierend auf einem überschreiben von konfigurationsfestlegungsinformationen und umschreibanweisungsprogramm basierend auf einem überschreiben von konfigurationsfestlegungsinformationen |
| JP2021128362A (ja) * | 2020-02-10 | 2021-09-02 | 本田技研工業株式会社 | ソフトウェア更新装置およびソフトウェア更新方法 |
| JP7472781B2 (ja) * | 2020-12-25 | 2024-04-23 | 株式会社デンソー | データ保存装置、データ保存方法、およびデータ保存プログラム |
| JP2023170662A (ja) * | 2022-05-19 | 2023-12-01 | 株式会社デンソー | 電子制御装置、ソフトウェア更新方法、ソフトウェア更新プログラム、及び電子制御システム |
-
2021
- 2021-07-28 JP JP2021123510A patent/JP2023019048A/ja active Pending
-
2022
- 2022-06-08 CN CN202210640417.9A patent/CN115686556A/zh active Pending
- 2022-06-09 US US17/806,181 patent/US20230032451A1/en active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| US20230032451A1 (en) | 2023-02-02 |
| JP2023019048A (ja) | 2023-02-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20240069906A1 (en) | Server, software update system, distribution method, and non-transitory storage medium | |
| CN114115929A (zh) | 软件更新装置、更新控制方法以及非临时存储介质 | |
| CN115514742A (zh) | Ota管理器、中心、系统、方法、非暂时性存储介质 | |
| US11995437B2 (en) | Center, distribution control method, and non-transitory storage medium | |
| CN115454462A (zh) | Ota管理器、系统、方法、非暂时性存储介质以及车辆 | |
| US11995429B2 (en) | Software update device, update control method, non-transitory storage medium, and server | |
| CN115686556A (zh) | 中心、方法、以及非暂时性存储介质 | |
| JP7363853B2 (ja) | Otaマスタ、センタ、システム、更新方法、更新プログラム、及び車両 | |
| US20220405080A1 (en) | Ota master, system, method, non-transitory storage medium, and vehicle | |
| US20220405083A1 (en) | Ota master, system, method, non-transitory storage medium, and vehicle | |
| JP7355061B2 (ja) | センタ、otaマスタ、システム、配信方法、配信プログラム、及び車両 | |
| JP7380468B2 (ja) | ソフトウェア更新装置、更新制御方法、更新制御プログラム、サーバ、otaマスタ及びセンタ | |
| CN115509565A (zh) | Ota管理器、系统、方法、非暂时性存储介质以及车辆 | |
| US11954480B2 (en) | Center, OTA master, system, method, non-transitory storage medium, and vehicle | |
| CN115514743A (zh) | 中心、ota管理器、方法、非暂时性存储介质及车辆 | |
| CN115696311A (zh) | 系统、中心、方法、以及非暂时性存储介质 | |
| CN115686557A (zh) | 系统、方法以及非暂时性存储介质 | |
| JP2022126194A (ja) | Otaマスタ、センタ、システム、方法、プログラム、及び車両 | |
| CN115586908A (zh) | 中心、ota管理器、方法、非暂时性存储介质以及车辆 | |
| CN115208868A (zh) | 中心、分发控制方法以及非暂时性存储介质 | |
| JP2023023616A (ja) | ソフトウェアの更新を制御するセンタ |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |