DE102017220367A1 - Programm-Aktualisierungssteuersystem und Programm-Aktualisierungssteuerverfahren - Google Patents

Programm-Aktualisierungssteuersystem und Programm-Aktualisierungssteuerverfahren Download PDF

Info

Publication number
DE102017220367A1
DE102017220367A1 DE102017220367.6A DE102017220367A DE102017220367A1 DE 102017220367 A1 DE102017220367 A1 DE 102017220367A1 DE 102017220367 A DE102017220367 A DE 102017220367A DE 102017220367 A1 DE102017220367 A1 DE 102017220367A1
Authority
DE
Germany
Prior art keywords
control device
vehicle
program
safety program
ecu
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE102017220367.6A
Other languages
English (en)
Inventor
Hiroshi Okuyama
Toshinori Matsui
Hiroyuki Saito
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Publication of DE102017220367A1 publication Critical patent/DE102017220367A1/de
Granted legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/65Updates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Stored Programmes (AREA)

Abstract

Diese Erfindung betrifft eine Programm-Aktualisierungssteuerung, die einem Programm zum Realisieren einer Sicherheitsfunktion gestattet, zu einem angemessenen Zeitpunkt entsprechend einer Charakteristik einer ECU gestattet, und eine erste Steuervorrichtung beinhaltet eine Datenverarbeitungssteuerung, welche Information erzeugt und überträgt, die eine aktuelle Betriebsbedingung der ersten Steuervorrichtung ist, und Information, die eine aktuelle Operationsbedingung eines Fahrzeugs ist, auf Basis von durch die erste Steuervorrichtung detektierten Daten und aus einer anderen Steuervorrichtung erhaltenen Daten, und überträgt eine jüngste Version eines Sicherheitsprogramms, auf welches das Programm zu aktualisieren ist, an eine zweite Steuervorrichtung, während die zweite Steuervorrichtung, welche die jüngste Version des Sicherheitsprogramms aus der ersten Steuervorrichtung empfangen hat, die aktuelle Operationsbedingung des Fahrzeugs spezifiziert, auf Basis der aus der ersten Steuervorrichtung erhaltenen Information, und wenn die spezifizierte, aktuelle Operationsbedingung zu einer Fahrzeugoperationsbedingung passt, in welcher die Verarbeitung zum Aktualisieren des Programms auf die jüngste Version des Sicherheitsprogramms möglich ist, die Verarbeitung zum Aktualisieren des Programms auf die jüngste Version des Sicherheitsprogramms ausführt.

Description

  • HINTERGRUND DER ERFINDUNG
  • Gebiet der Erfindung
  • Die Erfindung bezieht sich auf ein Programm-Aktualisierungssteuersystem und ein Programm-Aktualisierungssteuerverfahren zum Aktualisieren eines Programms, das eine Sicherheitsfunktion realisiert, um zu verhindern, dass inkorrekte Operationen auf einer Steuervorrichtung implementiert werden, die in einem Fahrzeug installiert ist.
  • Beschreibung verwandten Stands der Technik
  • In einem Fahrzeug wird eine Mehrzahl von Steuervorrichtungen installiert, die als Elektroniksteuereinheiten (ECUs) bekannt sind und die ECUs sind miteinander durch ein drahtloses oder kabelgebundenes Fahrzeugnetzwerk verbunden.
  • Die ECUs führen jeweils Programme entsprechend ihnen zugewiesenen Funktionen aus. Die Programme können umgeschrieben werden, auf aktualisierte Versionen der Programme, die im Fahrzeug durch eine Service-Station oder dergleichen über ein Kabel zugeführt werden, oder auf aktualisierte Version der Programme, die aus einem Service-Center verteilt werden, welches mit dem Fahrzeug per Funk kommuniziert.
  • Bei einer konventionellen Technik, wenn eine Programm-Umschreibeanfrage erteilt wird, stoppt eine Gesamtsteuervorrichtung das Fahrzeug und überträgt dann eine Programm-Aktualisierung, die aus einem Service-Endgerät, das damit über ein Netzwerk verbunden ist, gesendet wird, an eine Subjekt-Steuervorrichtung (siehe beispielsweise japanische Patentanmeldungs-Veröffentlichung Nr. 2007-230317).
  • ZUSAMMENFASSUNG DER ERFINDUNG
  • Jedoch, wenn die in diesem Dokument des Stands der Technik beschriebene Technik angewendet wird, tritt das folgende Problem auf.
  • In irgendeiner ECU kann ein Programm zum Sicherstellen der Sicherheit gegenüber inkorrekten Bedienungen einfach aktualisiert werden, wenn ein Motor des Fahrzeugs angehalten ist oder der Motor betrieben wird, während das Fahrzeug geparkt ist. In diesem Fall funktioniert eine zu diesem Zeitpunkt erforderliche Sicherheitsmaßnahme (beispielsweise Diebstahlschutzvorrichtung) nicht, und als Ergebnis ist das Fahrzeug einem Sicherheitsrisiko wie etwa Diebstahl ausgesetzt, während das Programm aktualisiert wird.
  • Diese Erfindung ist dafür entworfen worden, das oben beschriebene Problem zu lösen und eine Aufgabe derselben ist es, ein Programm-Aktualisierungssteuersystem und ein Programm-Aktualisierungssteuerverfahren zu erhalten, mit denen ein Programm zum Realisieren einer Sicherheitsfunktion gegen inkorrekte Bedienungen eines Fahrzeugnetzwerk-Systems zu einem angemessenen Zeitpunkt aktualisiert werden können, entsprechend einer Charakteristik einer ECU.
  • Ein Programm-Aktualisierungssteuersystem gemäß dieser Erfindung wird auf ein Fahrzeug angewendet, in dem eine erste Steuervorrichtung und eine oder mehrere zweite Steuervorrichtungen installiert sind, die kommunizierbar mit der ersten Steuervorrichtung verbunden sind, um eine Aktualisierungsverarbeitung an einem Sicherheitsprogramm durchzuführen, das in der zweiten Steuervorrichtung für den Zweck des Verhinderns inkorrekter Operationen implementiert ist, wobei: die erste Steuervorrichtung eine Datenverarbeitungssteuerung umfasst, die Information erzeugt, die eine aktuelle Betriebsbedingung der ersten Steuervorrichtung angibt, und Information, die eine aktuelle Betriebsbedingung des Fahrzeugs angibt, auf Basis von durch die erste Steuervorrichtung detektierten Daten und aus einer anderen Steuervorrichtung erhaltenen Daten, durch die andere Steuervorrichtung angeforderte Daten sammelt und die gesammelten Daten an die andere Steuervorrichtung sendet, und wenn eine jüngste Version des Sicherheitsprogramms, auf welches das Sicherheitsprogramm zu aktualisieren ist, in Relation zur zweiten Steuervorrichtung existiert, überträgt sie die jüngste Version des Sicherheitsprogramms an die zweite Steuervorrichtung; und die zweite Steuervorrichtung, welche die jüngste Version des Sicherheitsprogramms aus der ersten Steuervorrichtung empfangen hat, erhält aus der ersten Steuervorrichtung die Information, die die aktuelle Betriebsbedingung der ersten Steuervorrichtung angibt, und Information, welche die aktuelle Betriebsbedingung des Fahrzeugs angibt, spezifiziert die aktuelle Betriebsbedingung des Fahrzeugs anhand der Konsistenz zwischen der die aktuelle Betriebsbedingung der ersten Steuervorrichtung angebenden Information und der die aktuelle Betriebsbedingung des Fahrzeugs angebenden Information, und wenn die spezifizierte aktuelle Betriebsbedingung mit einer Fahrzeug-Betriebsbedingung übereinstimmt, in der eine Verarbeitung zum Aktualisieren des Sicherheitsprogramms auf die jüngste Version des Sicherheitsprogramms möglich ist, führt sie die Verarbeitung zum Aktualisieren des Sicherheitsprogramms auf die jüngste Version des Sicherheitsprogramms aus.
  • Weiter wird ein Programm-Aktualisierungssteuerverfahren gemäß dieser Erfindung auf ein Fahrzeug angewendet, in dem ein erste Steuervorrichtung und eine oder mehrere zweite Steuervorrichtungen installiert sind, die kommunizierbar mit der ersten Steuervorrichtung verbunden sind, um eine Aktualisierungsverarbeitung an einem Sicherheitsprogramm durchzuführen, das in der zweiten Steuervorrichtung für den Zweck des Verhinderns inkorrekter Operationen implementiert ist, und beinhaltet: einen ersten Schritt zum Erzeugen von Information, die eine aktuelle Betriebsbedingung der ersten Steuervorrichtung angibt, und Information, die eine aktuelle Betriebsbedingung des Fahrzeugs angibt, auf Basis von durch die erste Steuervorrichtung detektierten Daten und aus einer anderen Steuervorrichtung übermittelten Daten; einen zweiten Schritt zum Sammeln von durch die andere Steuervorrichtung benötigten Daten aus der im ersten Schritt erzeugten Information und Übertragen der gesammelten Daten an die andere Steuervorrichtung; und einen dritten Schritt zum Übertragen einer jüngsten Version des Sicherheitsprogramms, auf welche das Sicherheitsprogramm zu aktualisieren ist, an die zweite Steuervorrichtung, wenn die jüngste Version des Sicherheitsprogramms in Relation zur zweiten Steuervorrichtung existiert, wobei die ersten, zweiten und dritten Schritte durch die erste Steuervorrichtung implementiert werden; einen vierten Schritt zum Ermitteln der Information, welche die aktuelle Betriebsbedingung der ersten Steuervorrichtung angibt, und der Information, welche die aktuelle Betriebsbedingung des Fahrzeugs angibt, aus der ersten Steuervorrichtung nach Empfangen der jüngsten Version des Sicherheitsprogramms aus der ersten Steuervorrichtung und Spezifizieren der aktuellen Betriebsbedingung des Fahrzeugs aus einer Konsistenz zwischen der die aktuelle Betriebsbedingung der ersten Steuervorrichtung angebenden Information und der die aktuelle Betriebsbedingung des Fahrzeugs angebenden Information; und einen fünften Schritt zum Ausführen der Verarbeitung zum Aktualisieren des Sicherheitsprogramms auf die jüngste Version des Sicherheitsprogramms, wenn die im vierten Schritt spezifizierte aktuelle Betriebsbedingung mit einer Fahrzeug-Betriebsbedingung übereinstimmt, in welcher eine Verarbeitung zum Aktualisieren des Sicherheitsprogramms auf die jüngste Version des Sicherheitsprogramms möglich ist, wobei die vierten und fünften Schritte durch die zweite Steuervorrichtung implementiert werden.
  • Beim Programm-Aktualisierungssteuersystem und Programm-Aktualisierungssteuerverfahren gemäß dieser Erfindung kann eine Sicherheitsfunktion, die implementiert ist, sicherzustellen, dass das Fahrzeug nicht abnormal arbeitet, als Ergebnis einer inkorrekten Operation, zu einem Zeitpunkt aktualisiert werden, zu welchem inkorrekte Operationen nicht durchgeführt werden. Als Ergebnis ist es möglich, eine Programm-Aktualisierungssteuersystem und ein Programm-Aktualisierungssteuerverfahren zu erhalten, mit welchem ein Programm zum Realisieren einer Sicherheitsfunktion gegenüber inkorrekten Operationen in einem Fahrzeugnetzwerksystem zu einem angemessenen Zeitpunkt aktualisiert werden kann, entsprechend einer Charakteristik einer ECU und so weiter.
  • Figurenliste
    • 1 ist eine schematische Ansicht, die eine Netzwerkkonfiguration innerhalb und außerhalb eines Fahrzeugs, in dem ein Programm-Aktualisierungssteuersystem gemäß einer ersten Ausführungsform dieser Erfindung installiert ist, zeigt;
    • 2 ist ein Flussdiagramm, das eine Reihe von Prozessen eines Programm-Aktualisierungssteuerverfahrens zeigt, welches durch das Programm-Aktualisierungssteuersystem gemäß der ersten Ausführungsform dieser Erfindung ausgeführt wird;
    • 3 ist ein Flussdiagramm, das eine Reihe von Prozessen des Programm-Aktualisierungssteuerverfahrens zeigt, welche durch das Programm-Aktualisierungssteuersystem gemäß der ersten Ausführungsform dieser Erfindung ausgeführt wird;
    • 4 ist ein Flussdiagramm, das eine Reihe von Prozessen zeigt, die sich auf einen Programm-Aktualisierungs-Zeitpunkt beziehen, ausgeführt durch ein Programm-Aktualisierungssteuersystem gemäß einer zweiten Ausführungsform dieser Erfindung; und
    • 5 ist ein Flussdiagramm, das eine Reihe von Prozessen zeigt, die sich auf eine Mitteilungsanzeige beziehen, welche durch ein Programm-Aktualisierungssteuersystem gemäß einer dritten Ausführungsform dieser Erfindung ausgeführt wird.
  • BESCHREIBUNG DER BEVORZUGTEN AUSFÜHRUNGSFORMEN
  • Bevorzugte Ausführungsformen eines Programm-Aktualisierungssteuersystems und eines Programm-Aktualisierungssteuerverfahrens gemäß dieser Erfindung werden unten unter Verwendung der Zeichnungen beschrieben.
  • Erste Ausführungsform
  • 1 ist ein schematische Ansicht, die eine Netzwerkkonfiguration innerhalb und außerhalb eines Fahrzeugs 202 zeigt, in dem ein Programm-Aktualisierungssteuersystem gemäß einer ersten Ausführungsform dieser Erfindung installiert ist. Das Fahrzeug 202 beinhaltet als individuelle Steuervorrichtung eine Kopfeinheit-ECU 101, eine Gateway-ECU 102, eine Antriebssystem-ECU 103, eine Sensor-ECU 104 und eine Aufbau- bzw. Karosseriesystem-ECU 105.
  • Ein Server 201 ist außerhalb des Fahrzeugs 202 vorgesehen. Der Server 201 ist mit der Kopfeinheit-ECU 101 über Funkkommunikation 301 verbunden. Die Kopfeinheit-ECU 101 und die Gateway-ECU 102 sind mit einer Hochgeschwindigkeits-Kommunikationsleitung 401 verbunden. Die Gateway-ECU 102 ist jeweils mit der Antriebssystem-ECU 103, der Sensor-ECU 104 und der Karosseriesystem-ECU 105 durch eine Niedriggeschwindigkeits-Kommunikationsleitung 402 verbunden.
  • Sicherheitsmaßnahmen 151 bis 155, wie etwa Authentifizierung von Nachrichten, die auf den verschiedenen Kommunikationsleitungen wandern, und Zugriffsbeschränkungen werden durch die entsprechenden ECUs 101 bis 105 in Übereinstimmung mit den ECUs 101 bis 105 ergriffen. Es ist anzumerken, dass die in 1 gezeigte Netzwerkkonfiguration ein Beispiel ist und andere Konfigurationen eingesetzt werden können.
  • Als Nächstes werden Operationen und Funktionen der in 1 gezeigten Bestandteilselemente beschrieben.
  • Zuerst wird der Server 201 beschrieben. Der Server 201 beinhaltet Programme für entsprechende ECU1 101 bis 105. Jedes Programm beinhaltet nicht nur eine aktuell installierte Version, sondern auch eine alte Version und eine neue Version, auf welche die aktuelle Version zu aktualisieren ist. Die Programme sind in dem Server 201 durch einen Manager, ein Verwaltungssystem oder dergleichen zum Verwalten des Servers 201 gespeichert.
  • In einem Programm-Aktualisierungssteuersystem wie etwa dem in 1 gezeigten kann das Programm jeder der ECUs nach Bedarf auf die neue Version des Programms aktualisiert werden, um auf neue Herausforderungen und Verletzlichkeiten zu antworten. Wenn das Programm der ECU zu aktualisieren ist, wird eine Programm-Aktualisierung für die ECU aus dem Server 201 über die Funkkommunikation 301 an die Kopfeinheit-ECU 101 des Fahrzeugs 202 gesendet.
  • Als Nächstes wird die Kopfeinheit-ECU 101 beschrieben.
  • Die Kopfeinheit-ECU 101 erhält die Programm-Aktualisierung für die ECU aus dem Server 201 über die Funkkommunikation 301. Weiter überträgt die Kopfeinheit-ECU 101 die erhaltene Programm-Aktualisierung an die Gateway-ECU 102. Zu dieser Zeit überträgt die Kopfeinheit-ECU 101 keine Programm-Aktualisierung, die sich auf die Kopfeinheit-ECU 101 selbst bezieht.
  • Als Nächstes wird die Gateway-ECU 102 beschrieben.
  • Die Gateway-ECU 102 sammelt von der Kopfeinheit-ECU 101, der Antriebssystem-ECU 103, der Sensor-ECU 104 und dem Karosseriesystem-ECU 105 erforderte Daten aus durch die jeweiligen ECUs ermittelten Daten und überträgt die gesammelten Daten daran.
  • Beispielsweise überträgt während des Fahrens die Gateway-ECU 102 aus der Sensor-ECU 104 erhaltene Information über die Niedriggeschwindigkeitsleitung 402 an die Antriebssystem-ECU 103. In Reaktion bestimmt die Antriebssystem-ECU 103 aus der Gateway-ECU 102 übertragene Werte und implementiert Betriebsänderungen.
  • Weiter erhält die Gateway-ECU 102 eine Programm-Aktualisierung aus der Kopfeinheit-ECU 101 über die Hochgeschwindigkeits-Kommunikationsleitung 401. Weiterhin überträgt die Gateway-ECU 102 die ermittelte Programm-Aktualisierung an die damit verbundene Aktualisierungssubjekt-ECU durch die Niedriggeschwindigkeits-Kommunikationsleitung 402. Zu dieser Zeit überträgt die Gateway-ECU 102 keine Programm-Aktualisierung, die sich auf die Gateway-ECU 102 selbst bezieht.
  • Als Nächstes wird die Antriebssystem-ECU 103 beschrieben.
  • Die Antriebssystem-ECU 103 ist eine ECU zum Steuern von Lenken, Bremsen und so weiter. Weiter ist ein Sicherheitsprogramm 153 zum Verhindern von Operationen, die durch einen Fahrer oder eine Steuervorrichtung nicht beabsichtigt sind, wie etwa plötzliche Beschleunigung oder abruptes Lenken, daran am Fahrzeug 202 als ein Ergebnis einer inkorrekten Operation implementiert zu werden, im Antriebssystem-ECU 103 implementiert.
  • Wenn das Sicherheitsprogramm 153 der Antriebssystem-ECU 103 zu aktualisieren ist, aktualisiert die Antriebssystem-ECU 103 das Sicherheitsprogramm 153 auf eine aus der Gateway-ECU 102 über die Niedriggeschwindigkeitsleitung 402 erhaltene Programm-Aktualisierung.
  • Als Nächstes wird die Sensor-ECU 104 beschrieben.
  • Die Sensor-ECU 104 ist eine ECU zum Detektieren von Bedingungen innerhalb und außerhalb des Fahrzeugs unter Verwendung von Kameras, Radar und so weiter. Weiter wird ein Sicherheitsprogramm 154, welches verhindert, das manipulierte Bilder, Reflektionswellen und so weiter als Ergebnis einer inkorrekten Operation detektiert werden, in der Sensor-ECU 104 implementiert.
  • Wenn das Sicherheitsprogramm 154 der Sensor-ECU 104 zu aktualisieren ist, aktualisiert die Sensor-ECU 104 das Sicherheitsprogramm 154 auf eine Programm-Aktualisierung, die aus der Gateway-ECU 102 über die Niedriggeschwindigkeitsleitung 402 erhalten wird.
  • Als Nächstes wird die Karosseriesystem-ECU 105 beschrieben.
  • Die Karosseriesystem-ECU 105 ist eine ECU zum Steuern von Türschlössern, einer Wegfahrsperre, Fenstern und so weiter. Weiter wird ein Sicherheitsprogramm 155, um Diebstahl des Fahrzeugs 202 zu verhindern oder sicherzustellen, dass ein ungültiger Schlüssel für das Fahrzeug 202 nicht authentifiziert wird, in der Karosseriesystem-ECU 105 implementiert.
  • Wenn das Sicherheitsprogramm 155 der Karosseriesystem-ECU 105 zu aktualisieren ist, aktualisiert die Karosseriesystem-ECU 105 das Sicherheitsprogramm 155 auf eine aus der Gateway-ECU 102 über die Niedriggeschwindigkeitsleitung 402 erhaltene Programm-Aktualisierung.
  • Als Nächstes wird das durch das Programm-Aktualisierungssteuersystem gemäß der ersten Ausführungsform, welches die obige Konfiguration aufweist, ausgeführte Programm-Aktualisierungssteuerverfahren im Detail unter Verwendung von Flussdiagrammen beschrieben. 2 und 3 sind Flussdiagramme, die eine Reihe von Prozessen des durch das Programm-Aktualisierungssteuersystem gemäß der ersten Ausführungsform dieser Erfindung ausgeführten Programm-Aktualisierungssteuerverfahrens zeigen.
  • Ein Fall, in welchem das Programm der Karosseriesystem-ECU 105 aktualisiert wird, wird als ein spezifisches Beispiel unter Verwendung des in 2 gezeigten Flussdiagramms beschrieben. Eine Programm-Aktualisierung für die Karosseriesystem-ECU 105 wird im Server 201 gespeichert. Im Schritt S101 startet der Server 201 die Programm-Aktualisierungsverarbeitung. Es wird hier angenommen, dass die Programm-Aktualisierung spezifisch eine aktualisierte Version des in der Karosseriesystem-ECU 105 implementierten Sicherheitsprogramms 155 ist, um auf inkorrekte Operationen zu antworten.
  • Im Schritt S201 sendet der Server 201 die aktualisierte Version des Sicherheitsprogramms 155 an die Kopfeinheit-ECU 101, um das Programm der Karosseriesystem-ECU 105 zu aktualisieren. Im Schritt S202 empfängt die Kopfeinheit-ECU 101 das daran aus dem Server 201 gesendete Sicherheitsprogramm 155.
  • Als nächstes sendet im Schritt S301 die Kopfeinheit-ECU 101 die aktualisierte Version des Sicherheitsprogramms 155 an die Gateway-ECU 102, um das Programm der Karosseriesystem-ECU 105 zu aktualisieren. Im Schritt S302 empfängt die Gateway-ECU 102 das daran aus der Kopfeinheit-ECU 101 gesendete Sicherheitsprogramm 155.
  • Als nächstes sendet im Schritt S401 die Gateway-ECU 102 die jüngste Version des Sicherheitsprogramms 155 an die Karosseriesystem-ECU 105, um das Programm der Karosseriesystem-ECU 105 zu aktualisieren. Im Schritt S402 empfängt die Karosseriesystem-ECU 105 das daran aus der Gateway-ECU 102 gesendete Sicherheitsprogramm 155.
  • Im Schritt S501 bestimmt die Karosseriesystem-ECU 105, ob das in der Karosseriesystem-ECU 105 implementierte Sicherheitsprogramm 155 aktualisiert werden kann. Wenn Aktualisieren möglich ist, rückt die Routine zu Schritt S601 vor, und wenn Aktualisieren nicht möglich ist, rückt die Routine zu Schritt S102 vor.
  • Als Nächstes wird die im Schritt S501 ausgeführte Verarbeitung im Detail unter Verwendung des in 3 gezeigten Flussdiagramms beschrieben. Es ist anzumerken, dass die in 3 gezeigten Schritte durch Unternummern, die an S501 über einen Bindestrich angehängt sind, identifiziert werden.
  • Im Schritt S501-11 prüft die Karosseriesystem-ECU 105 die Betriebsbedingung, um zu bestimmen, ob das Sicherheitsprogramm 155 aktualisiert werden kann oder nicht. Hier werden die Funktionen der Karosseriesystem-ECU 105, nämlich Authentifizieren der Gültigkeit des Schlüssels des Fahrzeugs 202 und Verhindern des Diebstahls des Fahrzeugs 202, ausgeführt, während das Fahrzeug 202 angehalten ist.
  • Daher kann das Sicherheitsprogramm 155 gleichermaßen eingestellt sein, nur aktiviert zu werden, wenn das Fahrzeug 202 gestoppt ist. Mit anderen Worten muss während des Fahrens das Sicherheitsprogramm 155 nicht aktiviert werden und kann daher aktualisiert werden.
  • Als Nächstes erteilt im Schritt S501-21 die Karosseriesystem-ECU 105 eine Anfrage an die Gateway-ECU 102, die mit den anderen ECUs über die Hochgeschwindigkeits-Kommunikationsleitung 401 oder die Niedriggeschwindigkeitsleitung 402 verbunden ist, die Betriebsbedingung des Fahrzeugs 202 zu senden. Hier bezeichnet die Betriebsbedingung spezifisch Bedingungen wie etwa Fahren, Anhalten und Laden.
  • Die Gateway-ECU 102 kann eine Fahrzeuggeschwindigkeit aus der Antriebssystem-ECU 103 ermitteln und die Betriebsbedingung aus der ermittelten Fahrzeuggeschwindigkeit vorab in Schritten S501-101 und S501-102 bestimmen, bevor die Anfrage aus der Karosseriesystem-ECU 105 empfangen wird. Dann sendet, nachdem sie die Anfrage aus der Karosseriesystem-ECU 105 erhalten hat, die Gateway-ECU 102 die im Schritt S501-102 bestimmte Betriebsbedingung an die Karosseriesystem-ECU 105 im Schritt S501-22.
  • Als Nächstes empfängt im Schritt S501-23 die Karosseriesystem-ECU 105 die daran aus der Gateway-ECU 102 gesendete Betriebsbedingung, woraufhin die Routine zu Schritt S501-31 vorrückt.
  • Als Nächstes erteilt im Schritt S501-31 die Karosseriesystem-ECU 105 eine Anfrage an die Gateway-ECU 102, um die Betriebsbedingung der Gateway-ECU 102 selbst zu senden.
  • Als Nächstes sendet im Schritt S501-32 die Gateway-ECU 102 die Betriebsbedingung davon an die Karosseriesystem-ECU 105 in Reaktion auf die Anfrage aus der Karosseriesystem-ECU 105.
  • Als Nächstes ermittelt im Schritt S501-33 die Karosseriesystem-ECU 105 die Betriebsbedingung der Gateway-ECU 102 aus der Gateway-ECU 102.
  • Es ist anzumerken, dass die Betriebsbedingung der Gateway-ECU 102, die im Schritt S501-32 gesendet wird, andere Information als die Betriebsbedingung des Fahrzeugs ist, die im Schritt S501-22 gesendet wird.
  • Während des Fahrens führt die Gateway-ECU 102 die Verarbeitung zum Übertragen von aus der Sensor-ECU 104 erhaltener Information an die Antriebssystem-ECU 103 aus. Zu dieser Zeit variieren Radar-Detektionswerte, welche durch die Gateway-ECU 102 über die Sensor-ECU 104 erhalten werden, sukzessive.
  • Daher, zusätzlich zu der Betriebsbedingung des Fahrzeugs 202, kann die Gateway-ECU 102 sukzessive die Bedingungen der ECUs, die zu dieser Zeit operativ sind, erhalten. Als Ergebnis kann die Abgabeöffnung 102 die aus den anderen ECUs zu einer aktuellen Zeit erhaltene, jüngste Information an die Karosseriesystem-ECU 105 als die Betriebsbedingung der Gateway-ECU 102 selbst senden.
  • Als Nächstes bestimmt im Schritt S501-41 die Karosseriesystem-ECU 105, ob das Sicherheitsprogramm 155 aktualisiert werden kann oder nicht, durch Bestimmen, ob das Fahrzeug 202 fährt oder nicht, auf Basis der in Relation zu der Betriebsbedingung des Fahrzeugs 202 und der Betriebsbedingung der Gateway-ECU 102 empfangenen Ergebnisse.
  • Spezifischer bestimmt die Karosseriesystem-ECU 105, ob die Betriebsbedingung des Fahrzeugs 202, die im Schritt S501-23 erhalten wird, konsistent mit der Betriebsbedingung der Gateway-ECU 102 ist, die in Schritt S501-33 ermittelt wird. Wenn die sich auf die zwei Betriebsbedingungen beziehende Information konsistent ist, bestimmt die Karosseriesystem-ECU 105 aus der Ergebnis, ob das Fahrzeug 202 fährt oder nicht.
  • Wenn die zwei Sätze von Information inkonsistent sind, kann jedoch die Karosseriesystem-ECU 105 nicht genau bestimmen, ob das Fahrzeug 202 fährt oder nicht, und daher wird die Aktualisierungsverarbeitung unterbrochen. Die Routine rückt dann zu Schritt S102 vor, wo die Reihe von Prozessen beendet wird.
  • Wenn die Information als konsistent bestimmt wird und das Fahrzeug 202 als fahrend bestimmt wird, kann das Sicherheitsprogramm 155 aktualisiert werden und daher rückt die Routine zu Schritt S601 vor. Wenn die Information als konsistent bestimmt wird, aber das Fahrzeug 202 bestimmt wird, angehalten zu sein, kann andererseits das Sicherheitsprogramm 155 nicht aktualisiert werden und daher rückt die Routine zu Schritt S102 vor, wo die Reihe von Prozessen beendet wird.
  • Als Nächstes, zurückkehrend zu 2, aktualisiert im Schritt S601 die Karosseriesystem-ECU 105 das Sicherheitsprogramm 155. Es ist anzumerken, dass während der Aktualisierung das Vor-Aktualisierungs-Sicherheitsprogramm inoperativ verbleibt.
  • Als Nächstes teilt im Schritt S701 die Karosseriesystem-ECU 105 der Gateway-ECU 102 mit, dass die Aktualisierung des Sicherheitsprogramms 155 der Karosseriesystem-ECU 105 abgeschlossen ist. Im Schritt S702 empfängt die Gateway-ECU 102 die Mitteilung der Aktualisierungsabschließung aus der Karosseriesystem-ECU 105.
  • Als Nächstes teilt im Schritt S801 die Gateway-ECU 102 der Kopfeinheit-ECU 101 mit, dass die Aktualisierung des Sicherheitsprogramms 155 der Karosseriesystem-ECU 105 abgeschlossen ist. Im Schritt S802 empfängt die Kopfeinheit-ECU 101 die Mitteilung des Aktualisierungsabschlusses aus der Gateway-ECU 102.
  • Als Nächstes teilt im Schritt S901 die Kopfeinheit-ECU 101 dem Server 201 mit, dass die Aktualisierung des Sicherheitsprogramms 155 der Karosseriesystem-ECU 105 abgeschlossen ist. Im Schritt S902 empfängt der Server 201 die Mitteilung des Aktualisierungsabschlusses aus der Kopfeinheit-ECU 101.
  • Im Schritt S102 beendet der Server 201 die Reihe von Prozessen nachfolgend dem Abschluss oder der Unterbrechung des Programm-Aktualisierungsverarbeitens.
  • Durch Ausführen dieser Reihe von Prozessen kann ein Sicherheitsprogramm, das implementiert ist, sicherzustellen, dass das Fahrzeug 202 nicht abnormal arbeitet, als Ergebnis einer inkorrekten Operation, in den jeweiligen ECUs zu einem Zeitpunkt aktualisiert werden, zu welchem inkorrekte Operationen nicht durchgeführt werden. Als Ergebnis kann das Fahrzeug 202 vor inkorrekten Operationen während der Aktualisierung des Sicherheitsprogramms geschützt werden, wenn das Fahrzeug 202 für inkorrekte Operationen anfällig ist.
  • Es ist anzumerken, dass in der ersten Ausführungsform ein Fall, in welchem das Sicherheitsprogramm 155 der Karosseriesystem-ECU 105 auf die über die Kopfeinheit-ECU 101 erhaltene Programm-Aktualisierung aktualisiert wird, beschrieben wurde. Jedoch ist diese Erfindung nicht auf Programm-Aktualisierung über diese Route beschränkt.
  • Eine andere Konfiguration, wie etwa eine Konfiguration, in welcher die Karosseriesystem-ECU 105 durch direkten Zugriff auf die Niedriggeschwindigkeits-Kommunikationsleitung 402 über einen DLC-Verbinder oder dergleichen umgeschrieben wird, oder eine Konfiguration, in welcher die Programm-Aktualisierung direkt an die Karosseriesystem-ECU 105 aus dem Server 201 gesendet wird, kann verwendet werden, um das Programm zu aktualisieren.
  • Weiter wurde in der ersten Ausführungsform ein Beispiel, in welchem das Sicherheitsprogramm der Karosseriesystem-ECU 105 aktualisiert wurde, beschrieben, aber ähnliche Aktualisierungsprozeduren können auf die anderen ECUs angewendet werden.
  • Beispielsweise werden Funktionen, die aktiviert werden, während das Fahrzeug 202 fährt, in der Antriebssystem-ECU 103 implementiert. Daher, unter Verwendung von Mitteln zum Bestätigen, dass das Fahrzeug 202 nicht fährt, oder mit anderen Worten, dass das Fahrzeug 202 angehalten ist, kann ein Sicherheitsprogramm, das implementiert ist, sicherzustellen, dass das Fahrzeug 202 nicht abnormal arbeitet während des Fahrens als Ergebnis einer inkorrekten Operation, zu einem Zeitpunkt aktualisiert werden, zu welchem inkorrekte Operationen nicht durchgeführt werden.
  • Weiterhin wurde in der ersten Ausführungsform das in 1 gezeigte spezifische Beispiel beschrieben als die Netzwerkkonfiguration, aber diese Erfindung kann auf eine andere Netzwerkkonfiguration als die in 1 gezeigt angewendet werden. Die Merkmale dieser Erfindung können auf jegliche Netzwerkkonfiguration angewendet werden, in welcher ein Sicherheitsprogramm neu geschrieben wird.
  • Darüber hinaus wird in der ersten Ausführungsform die Bestimmung, ob Aktualisierung möglich ist oder nicht, nachdem die als Aktualisierungssubjekt-ECU dienende Karosseriesystem-ECU 105 die Programm-Aktualisierung empfängt, aber diese Erfindung ist nicht auf diese Prozedur beschränkt und stattdessen kann die Programm-Aktualisierung empfangen werden, nach der Bestimmung, ob Aktualisierung möglich ist oder nicht.
  • Zweite Ausführungsform
  • Bezugszeichen in den Zeichnungen, die identisch zu den ersten und dritten Ausführungsformen sind, bezeichnen Komponenten mit identischen Basisfunktionen. Die nachfolgende Beschreibung fokussiert auf Zusatzfunktionen der zweiten Ausführungsform.
  • Die Kopfeinheit-ECU 101 gemäß der zweiten Ausführungsform ist in der Lage, die sich auf die Gateway-ECU 102 beziehende Information und die sich auf die jeweiligen ECUs beziehende Information zu erhalten, welche durch die Gateway-ECU 102 über die Niedriggeschwindigkeits-Kommunikationsleitung 402 der Gateway-ECU 102 erhalten werden kann, über die Hochgeschwindigkeits-Kommunikationsleitung 401.
  • Entsprechend erzeugt die Kopfeinheit-ECU 101 eine Antriebsverlaufsinformation, die sich auf den Fahrer oder das Fahrzeug selbst bezieht, durch Assoziieren der sich auf die jeweiligen ECUs 102 bis 105 beziehenden Information mit Positionsinformation, welche die Position des Fahrzeugs 202 angibt, Peripherie-Einrichtungsinformation und Zeitinformation, welche durch die Kopfeinheit-ECU 101 selbst detektiert werden, und speichert die Antriebsverlaufsinformation in einer Speichereinheit.
  • Weiter sagt die Kopfeinheit-ECU 101 eine nachfolgende Route und eine nachfolgende Operation voraus, welche durch den Fahrer oder das Fahrzeug selbst zu ergreifen ist, auf Basis der vergangenen Antriebsverlaufsinformation, wie auch Positionsinformation und peripherer Einrichtungsinformation, die in Relation auf das Fahrzeug 202 unter Verwendung der aktuellen Zeit und Karteninformation erhalten wird. Beispielsweise wenn der Fahrer zu der Nähe seines/ihres Heims mehrere Stunden nach Verlassen für ein Ziel weg von zuhause rückkehrt, kann angenommen werden, dass das Fahrzeug 202 geparkt wird.
  • Weiterhin, wenn eine Sicherheitsprogramm-Aktualisierung für eine der in dem Fahrzeug 202 vorgesehenen ECUs im Server 201 existiert, sendet die Kopfeinheit-ECU 101 die Sicherheitsprogramm-Aktualisierung an die Aktualisierungssubjekt-ECU.
  • Ein durch das Programm-Aktualisierungssteuersystem gemäß der zweiten Ausführungsform ausgeführtes Programm-Aktualisierungssteuerverfahren, welches die obige Konfiguration aufweist, wird nunmehr im Detail unter Verwendung eines Flussdiagramms beschrieben. 4 ist ein Flussdiagramm, das eine Reihe von Prozessen zeigt, die sich auf das Programm-Aktualisierungs-Timing bezieht, die durch das Programm-Aktualisierungssteuersystem gemäß der zweiten Ausführungsform dieser Erfindung ausgeführt wird.
  • Im Schritt S1101 startet die Kopfeinheit-ECU 101 das Steuerverfahren gemäß der zweiten Ausführungsform.
  • Als Nächstes prüft im Schritt S1201 die Kopfeinheit-ECU 101, ob irgendwelche Aktualisierung für die Sicherheitsprogramme der in dem Fahrzeug 202 vorgesehenen ECUs im Server 201 existieren oder nicht.
  • Als Nächstes prüft im Schritt S1202 der Server 201, ob jegliche Programm-Aktualisierungen, die auf die Sicherheitsprogramme der in dem Fahrzeug 202 vorgesehenen ECUs anzuwenden sind, darin existieren oder nicht, und sendet das Ergebnis der Prüfung an die Kopfeinheit-ECU 101.
  • Als Nächstes empfängt im Schritt S1203 die Kopfeinheit-ECU 101 das Ergebnis der Prüfung. Als Nächstes bestimmt im Schritt S1301 die Kopfeinheit-ECU 101, welche das Ergebnis der Prüfung im Schritt S1203 empfangen hat, ob jegliches der Sicherheitsprogramme aktualisiert werden muss oder nicht.
  • Wenn die Kopfeinheit-ECU 101 bestimmt, dass eine Aktualisierung erforderlich ist, rückt die Routine zu Schritt S1401 vor. Wenn eine Aktualisierung nicht erforderlich ist, rückt andererseits die Route zu Schritt S1102 vor, wo die Reihe von Prozessen beendet wird.
  • Als Nächstes sagt im Schritt S1401 die Kopfeinheit-ECU 101 die nachfolgende Route und die durch den Fahrer oder das Fahrzeug selbst zu ergreifende Operation vorher, auf Basis der vergangene Fahrverlaufsinformation wie auch der Positionsinformation und periphere Einrichtungsinformation, die in Relation auf das Fahrzeug 202 erhalten wird, unter Verwendung von aktueller Zeit und Karteninformation.
  • Als Nächstes sagt im Schritt S1501 die Kopfeinheit-ECU 101 die Bedingung des Fahrzeugs 202 voraus, das heißt, ob das Fahrzeug 202 bei einer voreingestellten Zeit t in der Zukunft gestoppt wird oder fährt, auf Basis des im Schritt S1401 erhaltenen Vorhersageergebnisses.
  • Hier wählt die Kopfeinheit-ECU 101 entweder, dass das Fahrzeug 202 gestoppt wird, oder dass das Fahrzeug 202 fährt, zur Zeit t und danach. Wenn der Zustand des Fahrzeugs 202, das das Sicherheitsprogramm, das zu aktualisieren ist, aktualisieren muss, zur ausgewählten Bedingung passt, rückt die Routine zu Schritt S1601 vor. Wenn die Bedingungen nicht passen, kehrt die Routine zu Schritt S1401 zurück, wo die Kopfeinheit-ECU 101 die Fahrzeugoperation wieder vorhersagt.
  • Mit anderen Worten, wenn die Kopfeinheit-ECU 101 vorhersagt, dass das Fahrzeug 202 zur Zeit t und danach fährt, bestimmt die Kopfeinheit-ECU 101, ob das zu aktualisierende Sicherheitsprogramm ein Sicherheitsprogramm ist, das während der Fahrt aktualisiert werden kann, und während eines Haltens erforderlich ist.
  • Weiter, wenn die Kopfeinheit-ECU 101 vorhersagt, dass das Fahrzeug 202 zu einer Zeit t und danach angehalten ist, bestimmt die Kopfeinheit-ECU 101, ob das zu aktualisierende Sicherheitsprogramm ein Sicherheitsprogramm ist, das aktualisiert werden kann während eines Anhaltens und während des Fahrens erforderlich ist.
  • Weiterhin berechnet zu dieser Zeit die Kopfeinheit-ECU 101 eine Zeit tupdate, zu welcher das Neuschreiben der ECU, für welche ein Sicherheitsprogramm-Aktualisierung existiert, zu starten ist. Die Zeit tupdate ist früher als die vorgenannte Zeit t und wird auf Basis einer Zeitmenge berechnet, die erforderlich ist, das Programm zu aktualisieren, als eine Zeit zum Abschließen einer Aktualisierungs-Vorbereitungsoperation vor der Zeit t.
  • Als Nächstes prüft in Schritt S1601 die Kopfeinheit-ECU 101, ob die aktuelle Zeit zur Zeit tupdate passt oder nicht, und wenn die Zeiten passen, bestimmt sie, dass die Aktualisierungszeit gekommen ist. Die Routine rückt dann zu Schritt S1701 vor.
  • Als Nächstes wird im Schritt S1701 die Kopfeinheit-ECU 101, die vorhergesagt hat, dass das Fahrzeug 202 angehalten wird zur Zeit t2 beim Empfangen eines im Schritt S1501 erhaltenen Vorhersageergebnisses, eine ECU mit einem Sicherheitsprogramm auswählen, das während des Anhaltens aktualisiert werden kann. Die Antriebssystem-ECU 103 und so weiter können als ein Beispiel von ECUs mit Sicherheitsprogramm zitiert werden, die während des Fahrens erforderlich sind, aber während eines Anhaltens aktualisiert werden können.
  • Weiter, nach Vorhersage, dass das Fahrzeug 202 zur Zeit t beim Empfangen des Vorhersageergebnisses im Schritt S1501 fahren wird, wählt die Kopfeinheit-ECU 101 eine ECU mit einem Sicherheitsprogramm aus, das während des Fahrens aktualisiert werden kann. Die Karosseriesystem-ECU 105 kann als ein Beispiel einer ECU zitiert werden, die ein Sicherheitsprogramm aufweist, das während eines Anhaltens erforderlich ist, aber während des Fahrens aktualisiert werden kann.
  • Zu dieser Zeit bestätigt die Kopfeinheit-ECU 101, dass die im Schritt S1701 ausgewählte ECU zur ECU passt, die das zu aktualisierende Sicherheitsprogramm aufweist, wie im Schritt S1201 geprüft. Nachfolgend der Bestätigung empfängt die Kopfeinheit-ECU 101 die jüngste Version des sich auf die ausgewählte ECU beziehenden Sicherheitsprogramms aus dem Server 201.
  • Die Routine rückt dann zu Schritt S301 in 2 vor, wo die Kopfeinheit-ECU 101 die jüngste Version des Sicherheitsprogramms, empfangen aus dem Server 201, an die ausgewählte ECU vor der Zeit t sendet. Ab Schritt S301 wird eine identische Verarbeitung zu derjenigen von 2 durchgeführt. 2 zeigt einen Fall, bei welchem die Karosseriesystem-ECU 105 ausgewählt ist.
  • Durch Steuern des Timings, zu welchem die jüngste Version des Sicherheitsprogramms in der oben beschriebenen Weise heruntergeladen wird, kann jede der ECUs auf die jüngsten Versionen der Sicherheitsprogramme zu einem Timing aktualisiert werden, wenn Aktualisieren möglich ist und unmittelbar bevor ein Übergehen zu einer Bedingung, in der inkorrekte Operationen ausgeführt werden können. Wenn einmal die jüngste Version des Sicherheitsprogramms heruntergeladen worden ist, ist es möglich, auf Verletzbarkeiten, die durch die vorherige Version des Sicherheitsprogramms nicht abgedeckt sind, zu antworten.
  • Es ist anzumerken, dass in der zweiten Ausführungsform ein Fall, in welchem das Sicherheitsprogramm 155 der Karosseriesystem-ECU 105 auf die über die Kopfeinheit-ECU 101 erhaltene Programm-Aktualisierung aktualisiert ist, beschrieben wurde, aber diese Erfindung ist nicht auf Programm-Aktualisieren über diese Route beschränkt.
  • Eine andere Konfiguration, wie etwa eine Konfiguration, in der die Karosseriesystem-ECU 105 durch direktes Zugreifen auf die Niedriggeschwindigkeits-Kommunikationsleitung 402 über einen DLC-Verbinder oder dergleichen neu beschrieben wird, oder eine Konfiguration, in der die Programm-Aktualisierung direkt an die Karosseriesystem-ECU 105 aus dem Server 201 gesendet wird, kann eingesetzt werden, um das Programm zu aktualisieren.
  • Weiter wurde in der zweiten Ausführungsform ein Beispiel, in welchem das Sicherheitsprogramm der Karosseriesystem-ECU 105 aktualisiert wird, beschrieben, aber ähnliche Aktualisierungsprozeduren können auf die andere ECUs angewendet werden.
  • Weiterhin wurde in der zweiten Ausführungsform das in 1 gezeigte Beispiel als die Netzwerkkonfiguration beschrieben, aber diese Erfindung kann auf eine andere Netzwerkkonfiguration als die in 1 gezeigte angewendet werden. Die Merkmale dieser Erfindung können auf jegliche Netzwerkkonfiguration angewendet werden, in der ein Sicherheitsprogramm neu geschrieben wird.
  • Darüber hinaus wurde in der zweiten Ausführungsform ein Fall, in welchem die Kopfeinheit-ECU 101 zuerst im Server 201 nach jeglichen Sicherheitsprogramm-Aktualisierungen im Schritt S1201 prüft, beschrieben, aber diese Erfindung ist nicht auf diese Prozedur beschränkt und stattdessen kann der Server 201 die Existenz einer Sicherheitsprogramm-Aktualisierung detektieren und der Kopfeinheit-ECU 101 dies mitteilen.
  • Dritte Ausführungsform
  • Bezugszeichen in den Zeichnungen, die identisch zu den ersten und zweiten Ausführungsformen sind, bezeichnen Komponenten mit identischen Basisfunktionen. Die nachfolgende Beschreibung wird auf Zusatzfunktionen der dritten Ausführungsform fokussieren.
  • Die Kopfeinheit-ECU 101 gemäß der dritten Ausführungsform ist konfiguriert, zum Senden einer Anzeigeanweisung an ein Instrumentenpaneel 106 in der Lage zu sein, welches durch Installieren einer LED zum Mitteilen, dem Fahrer, einer vorbestimmten Bedingung in einem Instrumentenpaneel gebildet ist.
  • Die Instrumenten-Paneel 106 wird aus der Kopfeinheit-ECU 101 gesteuert. Die Kopfeinheit-ECU 101 ist in der Lage, entweder eine Bedingung anzuzeigen, in der ein Sicherheitsprogramm aktualisiert werden kann, oder eine Bedingung, in der das Sicherheitsprogramm nicht erkenntlich aktualisiert werden kann.
  • Ein Programm-Aktualisierungssteuerverfahren, welches durch das Programm-Aktualisierungssteuersystem gemäß der dritten Ausführungsform ausgeführt wird, welches die oben beschriebene Konfiguration aufweist, wird nunmehr im Detail unter Verwendung eines Flussdiagramms beschrieben. 5 ist ein Flussdiagramm, das eine Reihe von Prozessen zeigt, die sich auf Mitteilungsanzeige beziehen, die durch das Programm-Aktualisierungssteuersystem gemäß der dritten Ausführungsform dieser Erfindung ausgeführt wird. Es ist anzumerken, dass eingekreiste Buchstaben A und B in 5 Verbindungen zu eingekreisten Zeichen A und B, die in 4 gezeigt sind, angeben.
  • Im Schritt S1301 bestimmt die Kopfeinheit-ECU 101, ob es unmöglich ist, die Bestimmungsverarbeitung von Schritt S1501 der zweiten Ausführungsform zu implementieren oder nicht, die in 4 gezeigt ist, eine vorbestimmte Anzahl von Malen, die vorab eingestellt ist. Wenn die Kopfeinheit-ECU 101 bestimmt, dass die Bestimmungsverarbeitung für die vorgegebene Anzahl von Malen nicht implementiert worden ist, rückt die Routine zu Schritt S3201 vor.
  • Im Schritt S3102 bestimmt die Kopfeinheit-ECU 101, ob die im Schritt S1501 der zweiten Ausführungsform verwendete Zeit t, in 4 gezeigt, früher oder später als eine Zeit tlimit ist. Die Zeit tlimit wird durch die Kopfeinheit-ECU 101 auf Basis der Wahrscheinlichkeit eingestellt, dass eine vorgestellte Bedrohung materialisieren würde, als ein Ergebnis einer inkorrekten Operation oder einen Grad, in welchem das Fahrzeug 202 durch eine solche Bedrohung beeinträchtigt würde, falls die jüngste Version des Sicherheitsprogramms nicht installiert wäre. Der Zeitpunkt tlimit wird als konstant näher zu einer aktuellen Zeit tcurrent eingestellt, wenn die Wahrscheinlichkeit oder der Grad der Bedrohung ansteigt.
  • Wenn die Kopfeinheit-ECU 101 bestimmt, dass die Zeit t später als die Zeit tlimit ist, rückt die Routine zu Schritt S3201 vor. Wenn die Kopfeinheit-ECU 101 bestimmt, dass die Zeit t nicht später als die Zeit tlimit ist, rückt andererseits die Routine zur Verarbeitung von Schritt S1601 fortfolgende in 4 vor.
  • Wenn die Routine zu Schritt S3201 vorrückt, teilt die Kopfeinheit-ECU 101 der Instrumenten-Paneel LED 106 mit, dass das Sicherheitsprogramm nicht aktualisiert werden kann, weil entweder das Aktualisierungs-Timing nicht bestimmt werden kann oder das Aktualisierungs-Timing später als die Zeit tlimit ist.
  • Als Nächstes wird im Schritt S3202 eine vorbestimmte LED der Instrumenten-Paneel LED 106 eingeschaltet, um so die Tatsache anzuzeigen, dass das Sicherheitsprogramm nicht erkennbar aktualisiert werden kann und als Ergebnis wird dem Fahrer des Fahrzeugs 202 dies mitgeteilt.
  • Im Schritt S3203 bestätigt der Fahrer den Inhalt der angezeigten Mitteilung. Weiter teilt im Schritt S3301 der Fahrer die Bedingung des Fahrzeugs 202 auf Basis des Bestätigungsergebnisses des Mitteilungsinhalts so, dass das Sicherheitsprogramm aktualisiert werden kann. Wenn beispielsweise die Programm-Aktualisierung für das Sicherheitsprogramm der Antriebssystem-ECU 103 ist und der Fahrer aus dem angezeigten Inhalt erfährt, dass das Sicherheitsprogramm nicht aktualisiert werden kann, stoppt der Fahrer das Fahrzeug 202, so dass das Sicherheitsprogramm aktualisiert werden kann.
  • Durch Involvieren des Fahrers in der Verarbeitung in der oben beschriebenen Weise kann das Sicherheitsprogramm früher in einem Fall aktualisiert werden, bei dem es aus dem Fahrverlauf nicht klar ist, wenn die Sicherheitsprogramm-Aktualisierung angewendet wird, oder einem Fall, bei dem die Anwendung der Sicherheitsprogramm-Aktualisierung verzögert wird. Als Ergebnis kann die jüngste Version des Sicherheitsprogramms früh angewendet werden, wodurch der Schutz gegenüber böswilligen inkorrekten Operationen realisiert wird.
  • Es ist anzumerken, dass in der dritten Ausführungsform dem Fahrer eine Bedingung mitgeteilt wird, in welcher eine Aktualisierung unmöglich ist, aber das Mitteilungssubjekt ist nicht auf den Fahrer beschränkt. Beispielsweise in dem Fall eines selbstfahrenden Fahrzeugs oder dergleichen, in welchem ein Fahrer nicht anwesend ist, kann das Mitteilungssubjekt eine andere ECU (mit anderen Worten eine Fahrzeuginformations-Verwaltungsvorrichtung) sein, die in dem Fahrzeug vorgesehen ist, um die Fahrbedingung des Fahrzeugs zu verwalten und zu manipulieren, oder eine Verwaltungsvorrichtung (mit anderen Worten eine externe Informations-Verwaltungsvorrichtung) wie etwa ein Server, der die Fahrbedingung des Fahrzeugs aus dem Äußeren des Fahrzeugs überwachen und manipulieren kann.

Claims (5)

  1. Programm-Aktualisierungssteuersystem, angewandt auf ein Fahrzeug, in dem eine erste Steuervorrichtung (102) und eine oder mehrere zweite Steuervorrichtungen (103, 104, 105) installiert sind, die kommunizierbar mit der ersten Steuervorrichtung (102) verbunden sind, um eine Aktualisierungsverarbeitung an einem Sicherheitsprogramm durchzuführen, das in der zweiten Steuervorrichtung (103, 104, 105) für den Zweck des Verhinderns inkorrekter Operationen implementiert ist, wobei: die erste Steuervorrichtung (102) eine Datenverarbeitungssteuerung umfasst, die Information erzeugt, die eine aktuelle Betriebsbedingung der ersten Steuervorrichtung (102) angibt, und Information, die eine aktuelle Betriebsbedingung des Fahrzeugs angibt, auf Basis von durch die erste Steuervorrichtung (102) detektierten Daten und aus einer anderen Steuervorrichtung erhaltenen Daten, durch die andere Steuervorrichtung angeforderte Daten sammelt und die gesammelten Daten an die andere Steuervorrichtung überträgt, und wenn eine jüngste Version des Sicherheitsprogramms, auf welches das Sicherheitsprogramm zu aktualisieren ist, in Relation zur zweiten Steuervorrichtung (103, 104, 105) existiert, sie die jüngste Version des Sicherheitsprogramms an die zweite Steuervorrichtung (103, 104, 105) überträgt; und die zweite Steuervorrichtung (103, 104, 105), welche die jüngste Version des Sicherheitsprogramms aus der ersten Steuervorrichtung (102) empfangen hat, von der ersten Steuervorrichtung (102) die Information erhält, die die aktuelle Betriebsbedingung der ersten Steuervorrichtung (102) angibt, und Information, welche die aktuelle Betriebsbedingung des Fahrzeugs angibt, die aktuelle Betriebsbedingung des Fahrzeugs anhand der Konsistenz zwischen der die aktuelle Betriebsbedingung der ersten Steuervorrichtung (102) angebenden Information und der die aktuelle Betriebsbedingung des Fahrzeugs angebenden Information spezifiziert, und wenn die spezifizierte aktuelle Betriebsbedingung mit einer Fahrzeug-Betriebsbedingung so abgestimmt ist, dass eine Verarbeitung zum Aktualisieren des Sicherheitsprogramms auf die jüngste Version des Sicherheitsprogramms möglich ist, sie die Verarbeitung zum Aktualisieren des Sicherheitsprogramms auf die jüngste Version des Sicherheitsprogramms ausführt.
  2. Programm-Aktualisierungssteuersystem gemäß Anspruch 1, wobei die Datenverarbeitungssteuerung der ersten Steuervorrichtung (102) weiter Fahrverlaufsinformation auf Basis der durch die erste Steuervorrichtung (102) detektierten Daten und der aus der anderen Steuervorrichtung erhaltenen Daten erzeugt und speichert, eine erste Zeitoperations-Bedingung vorhersagt, die eine Operationsbedingung des Fahrzeugs zu einer ersten Zeit nachfolgend dem Verstreichen einer voreingestellten Zeit ab einer aktuellen Zeit ist, auf Basis der Fahrverlaufsinformation, wobei die Information die momentane Operationsbedingung der ersten Steuervorrichtung (102) angibt, und die Information, welche die momentane Operationsbedingung des Fahrzeugs angibt, und wenn die erste Zeitoperationsbedingung mit der Fahrzeugoperations-Bedingung abgestimmt ist, in welcher die Verarbeitung zum Aktualisieren des Sicherheitsprogramms auf die jüngste Version des Sicherheitsprogramms zu einer zweiten Zeit möglich ist, die zu einer Zeit vor der ersten Zeit eingestellt wird, sie die jüngste Version des Sicherheitsprogramms an die zweite Steuervorrichtung (103, 104, 105) überträgt, so dass die Übertragung der jüngsten Version des Sicherheitsprogramms an die zweite Steuervorrichtung (103, 104, 105) vor der ersten Zeit abgeschlossen ist.
  3. Programm-Aktualisierungssteuersystem gemäß Anspruch 2, wobei, wenn ein Zustand, in welchem die erste ZeitOperationsbedingung nicht mit der FahrzeugOperationsbedingung abgestimmt, in welcher die Verarbeitung zum Aktualisieren des Sicherheitsprogramms auf die jüngste Version des Sicherheitsprogramms möglich ist, zumindest gemäß einer voreingestellten konsekutiven Anzahl auftritt, die Datenverarbeitungssteuerung der ersten Steuervorrichtung (102) entweder über eine in dem Fahrzeug vorgesehene Warnvorrichtung ankündigt, dass das Sicherheitsprogramm nicht auf die jüngste Version des Sicherheitsprogramms aktualisiert werden kann, oder einer innerhalb oder außerhalb des Fahrzeugs vorgesehenen Informationsverwaltungsvorrichtung zum Überwachen der Fahrbedingung des Fahrzeugs mitteilt, dass das Sicherheitsprogramm nicht auf die jüngste Version des Sicherheitsprogramms aktualisiert werden kann.
  4. Programm-Aktualisierungssteuersystem gemäß Anspruch 2, wobei die Datenverarbeitungssteuerung der ersten Steuervorrichtung (102) eine Zeitgrenze, zu welcher die Verarbeitung zum Aktualisieren des Sicherheitsprogramms auf die jüngste Version des Sicherheitsprogramms durchzuführen ist, anhand eines Grades bestimmt, in welchem das Fahrzeug durch eine inkorrekte Operation in einem Fall beeinträchtigt wird, bei dem die Verarbeitung zum Aktualisieren des Sicherheitsprogramms auf die jüngste Version des Sicherheitsprogramms nicht durchgeführt wird, und wenn die erste Zeit später als die Zeitgrenze ist, sie entweder über eine in dem Fahrzeug vorgesehene Warnvorrichtung ankündigt, dass das Sicherheitsprogramm nicht auf die jüngste Version des Sicherheitsprogramms aktualisiert werden kann, oder einer Informationsverwaltungsvorrichtung, die innerhalb oder außerhalb des Fahrzeugs vorgesehen ist, zum Überwachen eine Fahrbedingung des Fahrzeugs, mitteilt, dass das Sicherheitsprogramm nicht auf die jüngste Version des Sicherheitsprogramms aktualisiert werden kann.
  5. Programm-Aktualisierungssteuerverfahren, das auf ein Fahrzeug angewendet wird, in dem ein erste Steuervorrichtung (102) und eine oder mehrere zweite Steuervorrichtungen (103, 104, 105) installiert sind, die kommunizierbar mit der ersten Steuervorrichtung (102) verbunden sind, um eine Aktualisierungsverarbeitung an einem Sicherheitsprogramm durchzuführen, das in der zweiten Steuervorrichtung (103, 104, 105) für den Zweck des Verhinderns inkorrekter Operationen implementiert ist, wobei das Verfahren umfasst: einen ersten Schritt zum Erzeugen von Information, die eine aktuelle Betriebsbedingung der ersten Steuervorrichtung (102) angibt, und Information, die eine aktuelle Betriebsbedingung des Fahrzeugs angibt, auf Basis von durch die erste Steuervorrichtung (102) detektierten Daten und aus einer anderen Steuervorrichtung übermittelten Daten; einen zweiten Schritt zum Sammeln von durch die andere Steuervorrichtung benötigten Daten aus der im ersten Schritt erzeugten Information und zum Übertragen der gesammelten Daten an die andere Steuervorrichtung; und einen dritten Schritt zum Übertragen einer jüngsten Version des Sicherheitsprogramms, auf welche das Sicherheitsprogramm zu aktualisieren ist, an die zweite Steuervorrichtung (103, 104, 105), wenn die jüngste Version des Sicherheitsprogramms in Relation zur zweiten Steuervorrichtung (103, 104, 105) existiert, wobei die ersten, zweiten und dritten Schritte durch die erste Steuervorrichtung (102) implementiert werden; einen vierten Schritt zum Ermitteln der Information, welche die aktuelle Betriebsbedingung der ersten Steuervorrichtung (102) angibt, und der Information, welche die aktuelle Betriebsbedingung des Fahrzeugs angibt, aus der ersten Steuervorrichtung (102) nach Empfangen der jüngsten Version des Sicherheitsprogramms aus der ersten Steuervorrichtung (102) und zum Spezifizieren der aktuellen Betriebsbedingung des Fahrzeugs anhand einer Konsistenz zwischen der die momentane Betriebsbedingung der ersten Steuervorrichtung (102) angebenden Information und der die momentane Betriebsbedingung des Fahrzeugs angebenden Information; und einen fünften Schritt zum Ausführen der Verarbeitung zum Aktualisieren des Sicherheitsprogramms auf die jüngste Version des Sicherheitsprogramms, wenn die im vierten Schritt spezifizierte momentane Betriebsbedingung mit einer Fahrzeug-Betriebsbedingung abgestimmt ist, in welcher eine Verarbeitung zum Aktualisieren des Sicherheitsprogramms auf die jüngste Version des Sicherheitsprogramms möglich ist, wobei die vierten und fünften Schritte durch die zweite Steuervorrichtung (103, 104, 105) implementiert werden.
DE102017220367.6A 2016-11-16 2017-11-15 Programm-Aktualisierungssteuersystem und Programm-Aktualisierungssteuerverfahren Granted DE102017220367A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2016-222908 2016-11-16
JP2016222908A JP6270965B1 (ja) 2016-11-16 2016-11-16 プログラムの更新制御システムおよびプログラムの更新制御方法

Publications (1)

Publication Number Publication Date
DE102017220367A1 true DE102017220367A1 (de) 2018-05-17

Family

ID=61074712

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102017220367.6A Granted DE102017220367A1 (de) 2016-11-16 2017-11-15 Programm-Aktualisierungssteuersystem und Programm-Aktualisierungssteuerverfahren

Country Status (3)

Country Link
US (1) US10496393B2 (de)
JP (1) JP6270965B1 (de)
DE (1) DE102017220367A1 (de)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11496506B2 (en) * 2017-07-03 2022-11-08 Denso Corporation Program generation method and electronic control unit for changing importance of functions based on detected operation state in a vehicle
JP7010049B2 (ja) * 2018-02-16 2022-01-26 トヨタ自動車株式会社 車両制御装置、プログラムの更新確認方法および更新確認プログラム
US10909050B2 (en) * 2018-03-19 2021-02-02 Toyota Jidosha Kabushiki Kaisha Gateway apparatus and communication method
JP6638945B2 (ja) * 2018-03-20 2020-02-05 本田技研工業株式会社 電子キー管理システム補助装置、電子キー管理システム、方法、およびプログラム
JP6552674B1 (ja) * 2018-04-27 2019-07-31 三菱電機株式会社 検査システム
JP6718483B2 (ja) * 2018-06-29 2020-07-08 株式会社Subaru 車両
KR102564020B1 (ko) * 2018-09-05 2023-08-07 현대자동차주식회사 차량의 업데이트 제공 장치 및 방법
WO2021024589A1 (ja) * 2019-08-06 2021-02-11 日本電気株式会社 モビリティ制御システム、方法、および、プログラム
JP7132904B2 (ja) * 2019-12-19 2022-09-07 本田技研工業株式会社 プログラム更新方法
JP7327304B2 (ja) * 2020-07-08 2023-08-16 トヨタ自動車株式会社 ソフトウェア更新装置、方法、プログラムおよび車両
JP7495890B2 (ja) * 2021-02-15 2024-06-05 日立Astemo株式会社 車載型コンピュータシステムおよび自動運転支援システム
JPWO2023166759A1 (de) * 2022-03-01 2023-09-07
JP2023131640A (ja) * 2022-03-09 2023-09-22 株式会社オートネットワーク技術研究所 車載装置、プログラム、及びプログラムの更新方法

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3109413B2 (ja) * 1995-07-31 2000-11-13 株式会社デンソー 機械制御装置
US6202207B1 (en) * 1998-01-28 2001-03-13 International Business Machines Corporation Method and a mechanism for synchronized updating of interoperating software
US7698700B2 (en) * 2003-04-17 2010-04-13 International Business Machines Corporation System quiesce for concurrent code updates
JP2007230317A (ja) 2006-02-28 2007-09-13 Hitachi Ltd ブレーキ制御システム及びそのプログラム更新方法
US20090300595A1 (en) * 2008-05-30 2009-12-03 Ise Corporation System and Method for Remotely Updating Control Software in a Vehicle With an Electric Drive System
CN102378966B (zh) * 2009-03-31 2014-02-19 丰田自动车株式会社 车载软件更新装置
JP2010243339A (ja) * 2009-04-07 2010-10-28 Honda Motor Co Ltd プログラム管理装置
JP6056424B2 (ja) * 2012-11-29 2017-01-11 株式会社デンソー 車載プログラム更新装置
WO2014088567A1 (en) * 2012-12-05 2014-06-12 Bendix Commercial Vehicle Systems Llc Methods and apparatus for updating software components in coordination with operational modes of a motor vehicle
JP5900390B2 (ja) * 2013-01-31 2016-04-06 株式会社オートネットワーク技術研究所 アクセス制限装置、車載通信システム及び通信制限方法
JP6507884B2 (ja) * 2015-06-29 2019-05-08 コベルコ建機株式会社 建設機械及びこれを備えたプログラム書き換えシステム
US9720680B2 (en) * 2015-07-23 2017-08-01 Honda Motor Co., Ltd. Methods and apparatus for wirelessly updating vehicle systems
JP6417348B2 (ja) * 2016-03-07 2018-11-07 日立建機株式会社 建設機械のプログラム書換え装置
US20190050294A1 (en) * 2017-12-29 2019-02-14 Intel Corporation Context aware software update framework for autonomous vehicles

Also Published As

Publication number Publication date
JP6270965B1 (ja) 2018-01-31
US10496393B2 (en) 2019-12-03
US20180136924A1 (en) 2018-05-17
JP2018081470A (ja) 2018-05-24

Similar Documents

Publication Publication Date Title
DE102017220367A1 (de) Programm-Aktualisierungssteuersystem und Programm-Aktualisierungssteuerverfahren
DE102016218982B3 (de) Verfahren zur Kommunikation von Fahrzeugen
DE102016206143A1 (de) Steuersystem für ein Fernparken und Steuerverfahren dafür
EP3207683B1 (de) Verfahren und vorrichtung zum rückwirkungsfreien erfassen von daten
DE60204480T2 (de) Fernüberwachung und motorfahrzeugsteuerung
DE102014202453B4 (de) Verfahren und Systeme zur Erkennung von autonom betriebenen Fahrzeugen, zur Abstandsmessung und zur Abstandssteuerung
DE102020124163A1 (de) Verifizierung von fahrzeugdaten
DE102013209055A1 (de) Datenquellenidentifizierung, Datensammlung und Datenspeicherung für Verkehrsereignisse
DE102019214448A1 (de) Verfahren zum Assistieren eines Kraftfahrzeugs
WO2018114577A1 (de) System und verfahren zum diebstahlschutz für fahrzeugräder eines fahrzeuges
EP3741094B1 (de) Steuerungssystem für ein kraftfahrzeug, verfahren zum betreiben des steuerungssystems sowie kraftfahrzeug mit einem derartigen steuerungssystem
WO2021058176A1 (de) Verfahren zum zumindest assistierten überqueren eines knotenpunkts durch ein kraftfahrzeug
DE102019214445A1 (de) Verfahren zum Assistieren eines Kraftfahrzeugs
DE102017214661A1 (de) Verfahren zum Erkennen einer Manipulation zumindest eines Steuergeräts eines Kraftfahrzeugs sowie Prozessorvorrichtung für ein Kraftfahrzeug und Kraftfahrzeug
DE102018118190A1 (de) Verfahren und Vorrichtung zur Kontrolle eines Fahrverhaltens eines hochautomatisiert fahrenden Fahrzeugs sowie Infrastrukturanlage, Fahrzeug oder Überwachungsfahrzeug mit der Vorrichtung
EP4035138A1 (de) Verfahren zum zumindest assistierten einfädeln eines kraftfahrzeugs in einen fahrstreifen
DE112020005622B4 (de) Informationsverarbeitungsvorrichtung, Informationsverarbeitungsverfahren und Computerprogramm
EP3407307A1 (de) Parksystem und verfahren zum betreiben eines parksystems
DE102021127139A1 (de) Systeme und verfahren zum sicheren einschränken der fahrbarkeit eines fahrzeugs durch beeinträchtigte benutzer
DE102018214712A1 (de) Fahrzeugsteuervorrichtung und -verfahren zum Erkennen von Verkehrszeichen
WO2019015871A1 (de) Verfahren und vorrichtungen für teilnehmer übergreifende kommunikation
WO2021058177A1 (de) Verfahren zum zumindest assistierten durchfahren eines kreisverkehrs durch ein kraftfahrzeug
DE102016209679A1 (de) Verfahren zum Verhindern von Kraftfahrzeugdiebstählen
DE102021208459B4 (de) Verfahren zur authentischen Datenübertragung zwischen Steuergeräten eines Fahrzeugs, Anordnung mit Steuergeräten, Computerprogramm und Fahrzeug
DE102016209681A1 (de) Verfahren zum Verhindern von Kraftfahrzeugdiebstählen

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R084 Declaration of willingness to licence
R016 Response to examination communication
R018 Grant decision by examination section/examining division