CN117156427A - 中心、控制方法以及非暂时性存储介质 - Google Patents

中心、控制方法以及非暂时性存储介质 Download PDF

Info

Publication number
CN117156427A
CN117156427A CN202310588984.9A CN202310588984A CN117156427A CN 117156427 A CN117156427 A CN 117156427A CN 202310588984 A CN202310588984 A CN 202310588984A CN 117156427 A CN117156427 A CN 117156427A
Authority
CN
China
Prior art keywords
frame
update
control unit
ota manager
software
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310588984.9A
Other languages
English (en)
Inventor
有我崇德
佐藤雄介
福与贤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toyota Motor Corp
Original Assignee
Toyota Motor Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toyota Motor Corp filed Critical Toyota Motor Corp
Publication of CN117156427A publication Critical patent/CN117156427A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/65Updates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/34Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters 
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W72/00Local resource management
    • H04W72/50Allocation or scheduling criteria for wireless resources
    • H04W72/535Allocation or scheduling criteria for wireless resources based on resource usage policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/22Processing or transfer of terminal data, e.g. status or physical capabilities
    • H04W8/24Transfer of terminal data
    • H04W8/245Transfer of terminal data from a network towards a terminal

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Databases & Information Systems (AREA)
  • Stored Programmes (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明涉及中心、控制方法以及非暂时性存储介质,该中心能够与对被搭载于车辆的电子控制单元的软件更新进行控制的OTA管理器通信,并具备:判定部,在从OTA管理器接收到软件更新的询问并存在电子控制单元的更新数据的情况下,判定许可帧的空闲状况;和控制部,在许可帧中的至少一个空闲的情况下,对OTA管理器分配许可帧中的空闲的许可帧来允许更新处理。在从OTA管理器存在分发数据包的发送请求的情况下,判定部判定复用帧的空闲状况。在复用帧中的至少一个空闲的情况下,控制部对OTA管理器分配复用帧中的空闲的复用帧来控制分发数据包的发送。

Description

中心、控制方法以及非暂时性存储介质
技术领域
本公开涉及中心、控制方法以及非暂时性存储介质。
背景技术
在车辆搭载有用于控制车辆的动作的多个电子控制单元。电子控制单元具备处理器、RAM那样的暂时性存储部、闪速ROM那样的非易失性的存储部亦即非易失性存储器,通过处理器执行存储于非易失性存储器的软件来实现电子控制单元的控制功能。各电子控制单元所存储的软件能够改写,通过更新为更新的版本的软件,能够改善各电子控制单元的功能、追加新的车辆控制功能。
作为更新电子控制单元的软件的技术,公知有下述的OTA(Over The Air:空中下载)技术:将与车载网络连接的车载通信设备和因特网等通信网络无线连接,担负车辆的软件的更新处理的装置经由无线通信从服务器下载软件,并将下载了的软件安装于电子控制单元,由此进行电子控制单元的软件更新、追加。例如参照日本特开2004-326689。
在OTA服务的提供时,存在不要压迫通信频段而对提供给车辆的其他服务造成影响这一要求。因此,在OTA服务中能够利用的通信频段受限。另一方面,在进行软件更新的情况下,还存在使成为对象的电子控制单元的全部的更新在规定的期间内完成之类的要求。为了兼顾这样的2个要求,需要高效地利用有限的通信频段来提供软件更新等OTA服务。
发明内容
本公开提供能够不压迫通信频段地通过高效的分发数据包的发送来执行软件更新的中心等。
本公开的第1方式所涉及的中心构成为与OTA管理器进行通信,该OTA管理器对被搭载于车辆的电子控制单元的软件更新进行控制。中心具备:判定部,构成为在从OTA管理器接收到软件更新的询问并存在电子控制单元的更新数据的情况下,对决定了允许更新处理的数量的许可帧的空闲状况进行判定;和控制部,构成为在许可帧中的至少一个空闲的情况下,向发送了询问的OTA管理器分配许可帧中的空闲的许可帧来允许更新处理。判定部构成为在从被分配了许可帧的OTA管理器接收到分发数据包的发送请求的情况下,对决定了允许分发数据包的并行发送的数量的复用帧的空闲状况进行判定。控制部构成为在复用帧中的至少一个空闲的情况下,向被分配了许可帧的OTA管理器分配复用帧中的空闲的复用帧来控制分发数据包的发送。
本公开的第2方式涉及一种控制方法,由具备处理器和存储器并构成为与OTA管理器通信的中心执行,该OTA管理器对被搭载于车辆的电子控制单元的软件更新进行控制。控制方法包括:在从OTA管理器接收到软件更新的询问并存在上述电子控制单元的更新数据的情况下,对决定了允许更新处理的数量的许可帧的空闲状况进行判定;在许可帧中的至少一个空闲的情况下,向发送了询问的OTA管理器分配许可帧中的空闲的许可帧来允许更新处理;在从被分配了许可帧的OTA管理器接收到分发数据包的发送请求的情况下,对决定了允许分发数据包的并行发送的数量的复用帧的空闲状况进行判定;以及在复用帧中的至少一个空闲的情况下,对被分配了许可帧的OTA管理器分配复用帧中的空闲的复用帧来控制分发数据包的发送。
本公开的第3方式涉及一种非暂时性存储介质,存储有能够由具备处理器和存储器并构成为与OTA管理器通信的中心的计算机执行且使计算机执行以下的功能的控制程序,该OTA管理器对被搭载于车辆的电子控制单元的软件更新进行控制。功能包括:在从OTA管理器接收到软件更新的询问并存在上述电子控制单元的更新数据的情况下,对决定了允许更新处理的数量的许可帧的空闲状况进行判定;在许可帧中的至少一个空闲的情况下,对发送了询问的OTA管理器分配许可帧中的空闲的许可帧来允许更新处理;在从被分配了许可帧的OTA管理器接收到分发数据包的发送请求的情况下,对决定了允许分发数据包的并行发送的数量的复用帧的空闲状况进行判定;以及在复用帧中的至少一个空闲的情况下,对被分配了许可帧的OTA管理器分配复用帧中的空闲的复用帧来控制分发数据包的发送。
根据本公开的各方式,能够不压迫通信频段地通过高效的分发数据包的发送来执行软件更新。
附图说明
以下,参照附图对本发明的示例性实施例的特征、优点、技术及工业重要性进行说明,在附图中相同的附图标记表示相同的构成要素,其中:
图1是表示本实施方式所涉及的网络系统的整体结构的框图。
图2是表示中心的简要结构的框图。
图3是中心的功能框图。
图4A是中心所存储的许可帧(permission frame)信息的一个例子。
图4B是中心所存储的复用帧信息的一个例子。
图5是表示OTA管理器的简要结构的框图。
图6是OTA管理器的功能框图。
图7A是中心所执行的更新控制的处理流程图。
图7B是中心所执行的更新控制的处理流程图。
图8是OTA管理器所执行的软件更新控制处理的流程图。
具体实施方式
本公开的中心使用许可帧来控制能够实现软件的更新的OTA管理器的数量,使用复用帧来控制能够实现同时发送的分发数据包的数量。通过该处理,能够不压迫通信频段地通过高效的分发数据包的发送来执行软件更新。
以下,参照附图来对本公开的一个实施方式详细地进行说明。
实施方式
结构
图1是表示本公开的一个实施方式所涉及的网络系统的整体结构的框图。图1所示的网络系统是用于对被搭载于车辆的多个电子控制单元40a~40d的软件进行更新的系统,具备位于车辆之外为中心10和在车辆内构建的车载网络20。
(1)中心
中心10能够经由网络70与车载网络20所具备的后述的OTA管理器30通信。中心10能够与OTA管理器30之间进行电子控制单元40a~40d的软件的更新数据的发送、表示软件更新处理的进展状况的通知的接收等,对与OTA管理器30连接的多个电子控制单元40a~40d的软件更新进行控制以及管理。该中心10具有作为所谓的服务器的功能。
图2是表示图1中的中心10的简要结构的框图。如图2所示,中心10具备CPU(Central Processing Unit)11、RAM(Random Access Memory)12、存储装置13以及通信装置14。存储装置13是具备硬盘驱动器(HDD)、固态驱动器(SSD)等可读写的存储介质的装置,对用于执行软件的更新管理的程序、在软件的更新控制以及更新管理中使用的信息、以及各电子控制单元的软件的更新数据等进行存储。CPU11、RAM12以及存储装置13也可以由多个构成。在中心10中,1个以上的CPU11通过使用1个以上的RAM12作为工作区域执行从1个以上的存储装置13读出的程序来执行与软件更新相关的规定的处理。通信装置14是用于经由网络70与OTA管理器30进行通信的装置。
图3是图2所示的中心10的功能框图。图3所示的中心10具备判定部15、存储部16、通信部17以及控制部18。存储部16通过图2所示的存储装置13来实现。判定部15、通信部17以及控制部18通过图2所示的1个以上的CPU11使用1个以上的RAM12执行存储于1个以上的存储装置13的程序来实现。
存储部16对与搭载于车辆的1个以上的电子控制单元的软件更新处理相关的信息进行存储。作为与软件更新处理相关的信息,存储部16至少存储更新管理信息和电子控制单元40a~40d的软件的更新数据,该更新管理信息是按识别车辆的每个车辆识别信息(车辆ID)将表示在电子控制单元40a~40d能够利用的软件的信息建立了关联的信息。作为表示在电子控制单元40a~40d能够利用的软件的信息,例如可定义多个电子控制单元40a~40d的各软件的最新的版本信息的组合。
另外,作为与软件更新处理相关的信息,存储部16存储与决定了允许软件的更新处理的数量的许可帧(票据帧:ticket frame)的状态相关的信息(使用以及空闲的状况)、以及与决定了允许分发数据包的并行发送的数量的复用帧(时隙帧:slot frame)的状态相关的信息(使用以及空闲的状况)。图4A中示出了存储部16所存储的许可帧信息的一个例子,图4B中示出了存储部16所存储的复用帧信息的一个例子。图4A以及图4B中例示的许可帧信息以及复用帧信息关于各帧(T01、T02、T03、…、S01、S02、S03、…)存储有其使用状况(使用中/空闲)和处于使用中的情况下所分配的车辆的信息(车辆ID等)。该许可帧的数量以及复用帧的数量能够基于成为软件更新的对象的车辆的数量、更新中能够使用的通信频段等来任意设定。
另外,作为与软件更新处理相关的信息,存储部16能够存储表示正在车辆中被实施的软件的更新状态的更新状况。并且,存储部16能够存储与分别被搭载于多个电子控制单元40a~40d的非易失性存储器的类别相关的信息。
通信部17与OTA管理器30之间进行数据、信息以及请求等的发送以及接收。通信部17从OTA管理器30接收软件的更新确认请求。更新确认请求例如是当在车辆中电源或者点火装置被接通(以下称为“电源接通”)时从OTA管理器30向中心10发送的信息,是用于基于车辆构成信息来请求中心10确认是否存在电子控制单元40a~40d的更新数据的信息。另外,通信部17若从OTA管理器30接收到更新确认请求,则基于许可帧的分配状态来将表示更新数据的有无的信息发送至OTA管理器30。另外,通信部17接收来自OTA管理器30的分发数据包的发送请求(下载请求)。另外,通信部17若接收到分发数据包的下载请求,则基于复用帧的分配状态来将包括电子控制单元40a~40d的软件的更新数据的分发数据包发送至OTA管理器30。
若通信部17从OTA管理器30接收到更新确认请求,则判定部15基于存储于存储部16的更新管理信息(电子控制单元的版本等)来针对搭载于由更新确认请求所包含的车辆ID确定的车辆的电子控制单元40a~40d判定是否存在软件的更新数据,在存在更新数据的情况下,基于存储于存储部16的许可帧信息来判定许可帧中的至少一个是否空闲(第1判定)。而且,判定部15基于第1判定的结果来通过通信部17将表示是否存在更新数据的信息发送至OTA管理器30。另外,若通信部17从OTA管理器30接收到分发数据包的发送请求,则判定部15基于存储于存储部16的复用帧信息来判定复用帧中的至少一个是否空闲(第2判定)。而且,判定部15基于第2判定的结果来通过通信部17将分发数据包发送至OTA管理器30。
在由判定部15判定为存在电子控制单元40a~40d的软件的更新数据且许可帧中的至少一个空闲的情况下,控制部18向进行了更新确认请求的OTA管理器30新分配许可帧来允许软件的更新,另一方面,在由判定部15判定为虽存在电子控制单元40a~40d的软件的更新数据但许可帧没有空闲的情况下,控制部18向进行了更新确认请求的OTA管理器30通知为无更新(第1控制)。另外,在由判定部15判定为复用帧中的至少一个空闲的情况下,控制部18向进行了分发数据包的发送请求的OTA管理器30新分配复用帧,生成包括更新数据的分发数据包并发送,另一方面,在由判定部15判定为复用帧无空闲的情况下,控制部18向进行了分发数据包的发送请求的OTA管理器30通知为正在等待分发数据包的发送(第2控制)。
(2)车载网络
车载网络20具备OTA管理器30、多个电子控制单元40a~40d以及通信模块50。OTA管理器30与通信模块50经由总线60a连接。OTA管理器30与电子控制单元40a以及40b经由总线60b连接。OTA管理器30与电子控制单元40c以及40d经由总线60c连接。
OTA管理器30能够经由总线60a以及通信模块50并通过网络70与中心10实现无线通信。该OTA管理器30是管理OTA状态并具有控制软件更新处理的流程亦即更新时序来实施成为更新对象的电子控制单元(以下称为“目标电子控制单元”)的软件更新的功能的装置。OTA管理器30基于从中心10取得的更新数据等来控制电子控制单元40a~40d中的目标电子控制单元的软件更新。也存在OTA管理器30被称为中央网关(CGW)的情况。
图5是表示图1中的OTA管理器30的简要结构的框图。如图5所示,OTA管理器30具备CPU31、RAM32、ROM(Read-Only Memory)33、存储装置34以及通信装置36。CPU31、RAM32、ROM33以及存储装置34构成微型计算机35。在OTA管理器30中,CPU31通过使用RAM32作为工作区域执行从ROM33读出的程序来执行与软件更新相关的规定的处理。通信装置36是用于经由图1所示的总线60a~60c与通信模块50以及电子控制单元40a~40d分别进行通信的装置。
图6是图5所示的OTA管理器30的功能框图。图6所示的OTA管理器30具备存储部37、通信部38以及控制部39。存储部37由图5所示的存储装置34实现。通信部38以及控制部39通过图5所示的CPU31使用RAM32执行存储于ROM33的程序来实现。
存储部37除了储存用于执行多个电子控制单元40a~40d的软件更新的程序(OTA管理器30的控制用程序)、在执行软件更新时使用的各种数据之外,还存储从中心10下载的软件的更新数据等。另外,存储部37能够存储与分别搭载于多个电子控制单元40a~40d的非易失性存储器的类别相关的信息。
通信部38与中心10之间进行数据、信息以及请求等的发送以及接收。通信部38例如以车辆的电源接通为契机来将软件的更新确认请求发送至中心10。更新确认请求例如包括用于识别车辆的车辆ID和与车载网络20连接的电子控制单元40a~40d的软件的当前版本所涉及的版本信息。另外,该更新确认请求可以包括与车载网络20连接的电子控制单元40a~40d的种类所涉及的信息。为了通过与中心10按每个车辆ID保持的软件的最新版本的比较来判定是否存在电子控制单元40a~40d的软件的更新数据而使用车辆ID以及电子控制单元40a~40d的软件的当前版本。另外,通信部38从中心10接收表示更新数据的有无的通知作为对于更新确认请求的响应。在存在电子控制单元40a~40d的软件的更新数据的情况下,通信部38将软件的更新数据的分发数据包的下载请求发送至中心10,并基于控制部39的控制来接收(下载)从中心10发送的分发数据包。另外,通信部38将电子控制单元40a~40d发送的软件的更新状态发送至中心10。
控制部39基于通信部38接收到的对于更新确认请求的来自中心10的响应来对是否存在电子控制单元40a~40d的软件的更新数据进行判定。另外,控制部39基于自身的控制来进行通信部38从中心10接收(下载)并储存于存储部37的分发数据包的解密、真实性的验证。另外,控制部39使用从中心10接收(下载)到的更新数据来控制电子控制单元40a~40d的软件更新处理(各种验证、安装、激活等)。具体而言,控制部39将利用分发数据包下载了的1个以上的更新数据转送至目标电子控制单元,使目标电子控制单元安装基于更新数据的更新软件。在安装完成后,控制部39对于目标电子控制单元指示使安装了的更新软件有效化的激活。在该软件更新处理时,控制部39适宜地控制多个电子控制单元40a~40d中的各种验证、安装、激活等的步骤。
多个电子控制单元40a~40d是用于控制车辆的各部的动作的装置(ECU:Electronic Control Unit)。在图1中示出了车载网络20具备4个电子控制单元40a~40d的例子,但电子控制单元的数量不特别限定。例如,用于在电子控制单元40a~40d的软件的更新处理时进行存在更新数据这一显示、用于向车辆的用户、管理者请求对于软件更新的同意的同意请求画面的显示、以及软件更新的结果的显示等各种显示的显示装置(HMI)可以与OTA管理器30连接。作为显示装置,能够使用汽车导航系统等。另外,将电子控制单元与OTA管理器30连接的总线的数量也不特别限定。例如,上述的显示装置可以利用总线60a~60c以外的总线与OTA管理器30连接。
通信模块50是具有控制中心10与车辆的通信的功能的单元,是用于将车载网络20与中心10连接的通信设备。通信模块50通过网络70与中心10无线连接,进行OTA管理器30涉及的车辆的认证、更新数据的下载等。此外,该通信模块50可以构成为包含于OTA管理器30。
软件的更新处理的概要
OTA管理器30例如以车辆的电源接通为契机来将软件的更新确认请求发送至中心10。更新确认请求至少包括用于识别车辆的车辆ID和车辆构成信息,该车辆构成信息是与车载网络20连接的电子控制单元40a~40d的硬件以及软件的当前版本等与电子控制单元的状态(系统构成)相关的信息。能够通过从与车载网络20连接的电子控制单元40a~40d取得电子控制单元的识别编号(ECU_ID)和电子控制单元的软件版本的识别编号(ECU_Software_ID)来创建车辆构成信息。为了通过与中心10按每个车辆ID保持的软件的最新版本的比较来判定是否存在电子控制单元40a~40d的软件的更新数据而使用车辆ID以及电子控制单元40a~40d的软件的当前版本。作为对于从OTA管理器30接收到的更新确认请求的响应,中心10基于许可帧的分配状态来将表示更新数据的有无的通知发送至OTA管理器30。被分配了许可帧的OTA管理器30将分发数据包的下载请求发送至中心10。中心10基于复用帧的分配状态来向接收到下载请求的OTA管理器30发送包括更新数据的分发数据包。分发数据包可以除了更新数据之外还包括确定对分发数据包实施了的加密的手法的信息、用于验证更新数据的真实性的验证用数据、更新数据的数量、类别信息、以及在软件更新时使用的各种控制信息等。
OTA管理器30基于从中心10分配的许可帧来判定是否存在电子控制单元40a~40d的软件的更新数据。另外,OTA管理器30进行从中心10接收并储存于存储装置13的分发数据包的解密、真实性的验证。另外,OTA管理器30将利用分发数据包下载了的1个以上的更新数据转送至目标电子控制单元,使目标电子控制单元安装更新数据。在安装完成后,OTA管理器30指示目标电子控制单元进行使安装了的更新版的软件有效的激活。
另外,OTA管理器30在同意请求处理中使输出装置输出对于软件更新需要同意这一内容的通知、催促同意软件更新这一内容的输入的通知。作为输出装置,能够利用设置于车载网络20的进行基于显示的通知的显示装置(未图示)、进行基于声音的通知的声音输出装置(未图示)等。例如,当在同意请求处理中使用显示装置作为输出装置的情况下,OTA管理器30能够使显示装置显示用于向用户或者管理者请求软件更新的同意的同意请求画面,使显示装置显示在用户或者管理者同意的情况下催促按下同意按钮等特定的输入操作的通知。另外,OTA管理器30能够使显示装置在同意请求处理中显示通知为存在电子控制单元40a~40d的软件的更新数据的语句、图标等,使显示装置显示软件更新处理的执行中的限制事项等。OTA管理器30若从用户或者管理者受理到表示同意的信息的输入,则执行上述的安装以及激活的控制处理,更新目标电子控制单元的软件。
软件更新处理由OTA管理器30从中心10下载更新数据的阶段(下载阶段)、OTA管理器30将下载好的更新数据转送至目标电子控制单元并在目标电子控制单元的储存区域安装基于更新数据的更新软件的阶段(安装阶段)、以及使目标电子控制单元所安装的更新软件有效化的阶段(激活阶段)构成。
下载是OTA管理器30接收从中心10发送的用于更新电子控制单元的软件的更新数据并存储于存储部37的处理。在下载中,进行使用了被实施与规定的安全等级相应的加密的分发数据包的更新数据的下载。在下载阶段中,不仅包括下载的执行,还包括下载的可否执行判断、分发数据包的解密以及更新数据的验证等与下载相关的一系列处理的控制。
从中心10向OTA管理器30发送的更新数据可以包括电子控制单元的更新软件(完整数据或者差分数据)、压缩更新软件而成的压缩数据、分割更新软件或者压缩数据而成的分割数据中的任一个。另外,更新数据可以包括目标电子控制单元的ECU_ID(或者序列号)和更新前的目标电子控制单元的ECU_Software_ID。被下载的分发数据包中可包括仅单个电子控制单元的更新数据或者多个电子控制单元的更新数据。
安装是OTA管理器30基于从中心10下载了的更新数据将更新软件(更新版的程序)按照所决定的顺序写入至多个目标电子控制单元的非易失性存储器的处理。在安装阶段中,不仅包括安装的执行,还包括安装的可否执行判断、更新数据的转送以及更新软件的验证等与安装相关的一系列处理的控制。
在更新数据包括更新软件本身(完整数据)的情况下,在安装阶段中,OTA管理器30将更新数据(更新软件)转送至目标电子控制单元。另外,在更新数据包括更新软件的压缩数据、或者差分数据、或分割数据的情况下,可以是OTA管理器30向目标电子控制单元转送更新数据,目标电子控制单元根据更新数据来生成更新软件,也可以是在OTA管理器30根据更新数据生成更新软件之后将更新软件转送至目标电子控制单元。这里,更新软件的生成能够通过压缩数据的解压、差分数据或者分割数据的组合(整合)来进行。
更新软件的安装能够由目标电子控制单元基于来自OTA管理器30的安装请求来进行。此外,接收到更新数据的特定的目标电子控制单元可以自主地进行安装而不接受来自OTA管理器30的明确的指示。
激活是目标电子控制单元使安装于非易失性存储器的更新软件有效化(激活)的处理。在激活阶段中,不仅包括激活的执行,还包括激活的可否执行判断、向车辆的用户或者管理者的对于激活的同意请求、执行结果的验证等与激活相关的一系列控制。
更新软件的激活能够由目标电子控制单元基于来自OTA管理器30的激活请求来进行。此外,接收到更新数据的特定的目标电子控制单元可以在安装完成后自主地进行激活而不接受来自OTA管理器30的明确的指示。
其中,能够对于多个目标电子控制单元分别连续或并列地进行软件更新处理。
另外,本说明书中的“软件更新处理”不仅包括连续进行下载、安装以及激活的全部的处理,还包括仅进行下载、安装以及激活中的一部分的处理。
控制
接下来,还参照图7A、图7B以及图8来对在本实施方式所涉及的网络系统中执行的控制进行说明。
(1)中心的控制
图7A以及图7B是对中心10的各结构所执行的软件更新控制的处理步骤进行说明的流程图。图7A的处理与图7B的处理通过连结符X、Y、Z来分别连结。
步骤S701
通信部17判断从OTA管理器30是否存在软件的更新确认请求作为软件更新的询问。在由通信部17判断为存在更新确认请求的情况下(步骤S701,是),处理进入至步骤S702,在判断为不存在更新确认请求的情况下(步骤S701,否),反复进行更新确认请求的有无的判断。
步骤S702
判定部15针对搭载有进行了更新确认请求的OTA管理器30的车辆的电子控制单元40a~40d判定是否存在软件的更新数据。该判定能够基于存储于存储部16的更新管理信息(电子控制单元的版本等)和更新确认请求所包括的车辆ID来进行。在由判定部15判断为存在更新数据的情况下(步骤S702,是),处理进入至步骤S703,在判断为无更新数据的情况下(步骤S702,否),处理进入至步骤S706。
步骤S703
判定部15检查许可帧(票据帧)的状态。基于存储于存储部16的许可帧信息来进行该检查。在由判定部15检查许可帧的状态时,处理进入至步骤S704。
步骤S704
判定部15判断状态检查的结果是否是许可帧中的至少一个空闲。许可帧的空闲状态是许可帧未被分配给任何OTA管理器30的状态。在由判定部15判断为许可帧中的至少一个空闲的情况下(步骤S704,是),处理进入至步骤S705,在判断为许可帧无空闲的情况下(步骤S704,否),处理进入至步骤S706。
步骤S705
控制部18对于在上述步骤S701中进行了软件的更新确认请求的OTA管理器30通知“有更新”。若由控制部18完成了有更新的通知,则处理进入至步骤S707。
步骤S706
控制部18对于在上述步骤S701中进行了软件的更新确认请求的OTA管理器30通知“无更新”。在该处理中,即便是实际上存在更新数据的情况,若许可帧无空闲,则也被通知为无更新。若由控制部18对于OTA管理器30完成了无更新的通知,则处理进入至步骤S701。
步骤S707
控制部18将许可帧中的处于空闲的许可帧分配给进行了软件的更新确认请求的OTA管理器30。由此,存储于存储部16的许可帧信息被改写。若由控制部18进行了许可帧的分配,则处理进入至步骤S708。
步骤S708
通信部17判断从被分配了许可帧的OTA管理器30是否存在下载请求。这里判断的下载请求是来自还包括在上述步骤S707中新被分配了许可帧的OTA管理器30在内已经被分配了许可帧的全部OTA管理器30的请求。中心10基本上按受理顺序来处理下载请求。在由通信部17判断为存在下载请求的情况下(步骤S708,是),处理进入至步骤S709,在判断为无下载请求的情况下(步骤S701,否),反复进行下载请求的有无的判断。
步骤S709
判定部15检查复用帧(slot frame)的状态。基于存储于存储部16的复用帧信息来进行该检查。若由判定部15检查了复用帧的状态,则处理进入至步骤S710。
步骤S710
判定部15判断状态检查的结果是否是复用帧中的至少一个空闲。复用帧空闲的状态是在分发数据包的发送中复用帧未被使用的状态。在由判定部15判断为复用帧中的至少一个空闲的情况下(步骤S710,是),处理进入至步骤S711,在判断为复用帧无空闲的情况下(步骤S710,否),处理进入至步骤S713。
步骤S711
控制部18将复用帧中的空闲的复用帧分配给分发数据包向进行了下载请求的OTA管理器30的发送。由此,存储于存储部16的复用帧信息被改写。此外,根据空闲状态、下载的进展情形等,对于1个下载请求分配的复用帧可以为1个,也可以为多个。若由控制部18进行了复用帧的分配,则处理进入至步骤S712。
步骤S712
控制部18经由通信部17对于被分配了复用帧的OTA管理器30发送分发数据包。所发送的分发数据包可以是包括全部更新数据的数据包,也可以是分割为多个数据的数据包。若由控制部18发送了分发数据包,则处理进入至步骤S713。
步骤S713
控制部18对于进行了下载请求的OTA管理器30进行因无法立即进行分发数据包的发送而在等待分发数据包的发送这一通知(发送等待通知)。等待的时间可以由控制部18决定,也可以由接受了通知的OTA管理器30决定。若由控制部18向OTA管理器30通知了发送等待,则处理进入至步骤S708。
步骤S714
在分发数据包的发送完成之后,控制部18为了其他的发送而将在该发送中使用的复用帧释放(分配的解除)。由此,存储于存储部16的复用帧信息被改写。若由控制部18释放了复用帧,则处理进入至步骤S715。
步骤S715
控制部18判断在被分配了许可帧的OTA管理器30中是否存在更新数据的下载全部完成了的OTA管理器30。能够基于从OTA管理器30发送的下载完成通知等来判断更新数据的下载全部完成这一情况。在由控制部18判断为存在更新数据的下载全部完成了的OTA管理器30的情况下(步骤S715,是),处理进入至步骤S716,在判断为不存在更新数据的下载全部完成的OTA管理器30的情况下(步骤S715,否),处理进入至步骤S708。
步骤S716
控制部18为了其他的OTA管理器30而将分配给更新数据的下载全部完成了的OTA管理器30的许可帧释放(分配的解除)。由此,存储于存储部16的许可帧信息被改写。若控制部18释放了分配给OTA管理器30的许可帧,则处理进入至步骤S701。
其中,在上述实施方式中,以存在与软件更新处理相关的用户等车辆利用者的同意为前提进行了说明,但也可以根据需要来请求车辆利用者对于各处理的同意。该情况下,可以是若车辆利用者不同意则释放所分配的许可帧、复用帧。
(2)OTA管理器的控制
图8是对OTA管理器30的各结构所执行的软件更新控制的处理步骤进行说明的流程图。例如,以车辆的电源接通为契机来执行该图8所示的软件更新控制。
步骤S801
通信部38向中心10发送是否存在电子控制单元40a~40d的软件的更新数据的确认请求。该确认请求包括车辆ID和电子控制单元40a~40d的软件的当前版本。若通过通信部38向中心10发送了确认请求,则处理进入至步骤S802。
步骤S802
通信部38从中心10接收对于更新数据的确认请求的确认结果(有更新、无更新)。若通过通信部38接收到确认结果,则处理进入至步骤S803。
步骤S803
控制部39基于通信部38接收到的确认结果来判断是否存在对于电子控制单元40a~40d中的至少1个的软件的更新数据。在由控制部39判断为软件的更新数据存在至少1个的情况下(步骤S803,是),处理进入至步骤S804,在判断为完全没有软件的更新数据的情况下(步骤S803,否),本软件更新控制结束。
步骤S804
控制部39进行更新数据的下载。具体而言,通信部38向中心10发送包括更新数据的分发数据包的下载请求,通信部38接收响应于下载请求而从中心10发送的分发数据包。通信部38将接收到的分发数据包储存于OTA管理器30的存储部37。若通过控制部39进行了更新数据的下载,则处理进入至步骤S805。
步骤S805
控制部39对于目标电子控制单元执行基于更新数据的软件的安装。具体而言,控制部39将分发数据包所包括的更新数据转送至目标电子控制单元,指示更新软件的安装。目标电子控制单元将从OTA管理器30接收到的更新数据写入至数据储存区域。若通过控制部39执行了更新软件的安装,则处理进入至步骤S806。
步骤S806
控制部39执行安装于目标电子控制单元的更新软件的激活。具体而言,控制部39对于将更新软件写入至数据储存区域的目标电子控制单元指示更新软件的激活。目标电子控制单元以进行了电源断开等特定的输入操作为契机来进行重启,执行更新软件。若通过控制部39执行了更新软件的激活处理,则本软件更新控制结束。
效果
如以上那样,根据本公开的一个实施方式所涉及的网络系统,中心在从OTA管理器接收到软件更新的有无的询问并存在OTA管理器控制软件更新的电子控制单元的更新数据的情况下,仅在许可帧(票据帧)中的至少一个空闲的情况下对于该OTA管理器允许更新处理。在许可帧无空闲的情况下,即便存在更新数据也对于OTA管理器通知为无更新,由此推迟更新处理。通过该处理,由于能够缩减并行进行软件更新的车辆,所以能够避免大量的请求在同时期重复之类的情况。
另外,根据本公开的一个实施方式所涉及的网络系统,在从通过许可帧的分配而允许了更新处理的车辆的OTA管理器存在分发数据包的发送请求的情况下,中心在复用帧(slot frame)的可分配的范围内实施分发数据包的发送。在复用帧无空闲的情况下,等待分发数据包的发送。通过该处理,能够不压迫具有制约的通信频段地通过高效的分发数据包的发送来执行软件更新。
以上,对本公开技术的一个实施方式进行了说明,但本公开不仅能够理解为中心,还能够理解为具备处理器和存储器的中心执行的方法以及程序、或存储有程序的计算机可读取的非暂时性存储介质等。
本公开技术能够在为了更新电子控制单元的软件的网络系统中利用。

Claims (9)

1.一种中心,构成为与OTA管理器进行通信,该OTA管理器对被搭载于车辆的电子控制单元的软件更新进行控制,
所述中心的特征在于,包括:
判定部,构成为在从所述OTA管理器接收到软件更新的询问并存在所述电子控制单元的更新数据的情况下,对决定了允许更新处理的数量的许可帧的空闲状况进行判定;和
控制部,构成为在所述许可帧中的至少一个空闲的情况下,对发送了所述询问的所述OTA管理器分配所述许可帧中的空闲的许可帧来允许更新处理,
所述判定部构成为在从被分配了所述许可帧的所述OTA管理器接收到分发数据包的发送请求的情况下,对决定了允许所述分发数据包的并行发送的数量的复用帧的空闲状况进行判定,
所述控制部构成为在所述复用帧中的至少一个空闲的情况下,对被分配了所述许可帧的所述OTA管理器分配所述复用帧中的空闲的复用帧来控制所述分发数据包的发送。
2.根据权利要求1所述的中心,其特征在于,
所述控制部构成为在所述许可帧没有空闲的情况下,向发送了所述询问的所述OTA管理器通知为无更新。
3.根据权利要求1所述的中心,其特征在于,
所述控制部构成为在所述复用帧没有空闲的情况下,向被分配了所述许可帧的所述OTA管理器通知为等待所述分发数据包的发送。
4.根据权利要求1所述的中心,其特征在于,
所述控制部构成为若所述分发数据包对于分配了所述复用帧的所述OTA管理器的发送完成,则将被分配给所述OTA管理器的所述复用帧释放。
5.根据权利要求1所述的中心,其特征在于,
所述控制部构成为若在分配了所述许可帧的所述OTA管理器中完成了所述软件更新,则将被分配给所述OTA管理器的所述许可帧释放。
6.根据权利要求4或5所述的中心,其特征在于,
还包括分别存储所述许可帧的状态以及所述复用帧的状态的存储部。
7.根据权利要求6所述的中心,其特征在于,
所述控制部构成为:
根据所述许可帧的分配以及释放来改写存储于所述存储部的所述许可帧的状态,
根据所述复用帧的分配以及释放来改写存储于所述存储部的所述复用帧的状态。
8.一种控制方法,由具备处理器和存储器并构成为与OTA管理器进行通信的中心执行,该OTA管理器对被搭载于车辆的电子控制单元的软件更新进行控制,
所述控制方法的特征在于,包括:
在从所述OTA管理器接收到软件更新的询问并存在所述电子控制单元的更新数据的情况下,对决定了允许更新处理的数量的许可帧的空闲状况进行判定;
在所述许可帧中的至少一个空闲的情况下,对发送了所述询问的所述OTA管理器分配所述许可帧中的空闲的许可帧来允许更新处理;
在从被分配了所述许可帧的所述OTA管理器接收到分发数据包的发送请求的情况下,对决定了允许所述分发数据包的并行发送的数量的复用帧的空闲状况进行判定;以及
在所述复用帧中的至少一个空闲的情况下,对被分配了所述许可帧的所述OTA管理器分配所述复用帧中的空闲的复用帧来控制所述分发数据包的发送。
9.一种非暂时性存储介质,存储有能够由具备处理器和存储器并构成为与OTA管理器进行通信的中心的计算机执行且使所述计算机执行以下的功能的控制程序,该OTA管理器对被搭载于车辆的电子控制单元的软件更新进行控制,
所述非暂时性存储介质的特征在于,所述功能包括:
在从所述OTA管理器接收到软件更新的询问并存在所述电子控制单元的更新数据的情况下,对决定了允许更新处理的数量的许可帧的空闲状况进行判定;
在所述许可帧中的至少一个空闲的情况下,对发送了所述询问的所述OTA管理器分配所述许可帧中的空闲的许可帧来允许更新处理;
在从被分配了所述许可帧的所述OTA管理器接收到分发数据包的发送请求的情况下,对决定了允许所述分发数据包的并行发送的数量的复用帧的空闲状况进行判定;以及
在所述复用帧中的至少一个空闲的情况下,对被分配了所述许可帧的所述OTA管理器分配所述复用帧中的空闲的复用帧来控制所述分发数据包的发送。
CN202310588984.9A 2022-05-31 2023-05-24 中心、控制方法以及非暂时性存储介质 Pending CN117156427A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2022-088654 2022-05-31
JP2022088654A JP2023176397A (ja) 2022-05-31 2022-05-31 センタ、制御方法、及び制御プログラム

Publications (1)

Publication Number Publication Date
CN117156427A true CN117156427A (zh) 2023-12-01

Family

ID=88877278

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310588984.9A Pending CN117156427A (zh) 2022-05-31 2023-05-24 中心、控制方法以及非暂时性存储介质

Country Status (3)

Country Link
US (1) US20230385050A1 (zh)
JP (1) JP2023176397A (zh)
CN (1) CN117156427A (zh)

Also Published As

Publication number Publication date
JP2023176397A (ja) 2023-12-13
US20230385050A1 (en) 2023-11-30

Similar Documents

Publication Publication Date Title
CN113873498B (zh) 服务器、管理方法、非临时存储介质及软件更新装置、中心、空中下载主机
US20240069906A1 (en) Server, software update system, distribution method, and non-transitory storage medium
CN115514742A (zh) Ota管理器、中心、系统、方法、非暂时性存储介质
CN115454462A (zh) Ota管理器、系统、方法、非暂时性存储介质以及车辆
CN114040360B (zh) 服务器、更新管理方法、非临时存储介质、软件更新装置、带服务器及软件更新装置的系统
CN113961214A (zh) 软件更新装置、更新控制方法、非临时存储介质、服务器、ota主机及中心
JP7533379B2 (ja) センタ、otaマスタ、方法、プログラム、及び車両
US11995429B2 (en) Software update device, update control method, non-transitory storage medium, and server
US20220405080A1 (en) Ota master, system, method, non-transitory storage medium, and vehicle
US20230032451A1 (en) Center, method, and non-transitory storage medium
CN117156427A (zh) 中心、控制方法以及非暂时性存储介质
JP7540402B2 (ja) センタ、otaマスタ、システム、方法、プログラム、及び車両
CN115509565A (zh) Ota管理器、系统、方法、非暂时性存储介质以及车辆
KR20220147020A (ko) 센터, ota 마스터, 시스템, 배신 방법, 비일시적인 기억 매체 및 차량
JP7464013B2 (ja) センタ、otaマスタ、方法、プログラム、及び車両
US20220317995A1 (en) Center, distribution control method, and non-transitory storage medium
US20220405081A1 (en) Center, ota master, method, non-transitory storage medium, and vehicle
WO2022244588A1 (ja) 車両用電子制御装置、更新プログラム及びデータ構造
JP2022118493A (ja) センタ、情報書き換え方法、及び情報書き換えプログラム
JP2022126194A (ja) Otaマスタ、センタ、システム、方法、プログラム、及び車両
JP2023023616A (ja) ソフトウェアの更新を制御するセンタ
JP2023019099A (ja) 車両用のシステム、センタ、方法、及びプログラム
CN115686557A (zh) 系统、方法以及非暂时性存储介质
JP2022109039A (ja) センタ、更新管理方法及び更新管理プログラム

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination