DE112022000914T5 - Steuervorrichtung und steuersystem - Google Patents

Steuervorrichtung und steuersystem Download PDF

Info

Publication number
DE112022000914T5
DE112022000914T5 DE112022000914.4T DE112022000914T DE112022000914T5 DE 112022000914 T5 DE112022000914 T5 DE 112022000914T5 DE 112022000914 T DE112022000914 T DE 112022000914T DE 112022000914 T5 DE112022000914 T5 DE 112022000914T5
Authority
DE
Germany
Prior art keywords
program
microcomputer
rewriting
unit
ecu
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE112022000914.4T
Other languages
English (en)
Inventor
Teruaki NOMURA
Nobuyoshi Morita
Masashi Yano
Mikio Kataoka
Yasuhiro Fujii
Shuhei Kaneko
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Astemo Ltd
Original Assignee
Hitachi Astemo Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Astemo Ltd filed Critical Hitachi Astemo Ltd
Publication of DE112022000914T5 publication Critical patent/DE112022000914T5/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/65Updates
    • G06F8/654Updates using techniques specially adapted for alterable solid state memories, e.g. for EEPROM or flash memories
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Stored Programmes (AREA)

Abstract

Es ist eine Aufgabe, eine Zeit zum Umprogrammieren einer Steuervorrichtung, die einen Einzelbank-Mikrocomputer enthält, zu verkürzen. Eine ECU 901 ist eine Steuervorrichtung, die einen ersten Mikrocomputer 1 und einen zweiten Mikrocomputer 2 enthält, die ein Programm ausführen, das in einem Umschreibbereich 13 gespeichert ist, in dem eine Speicherbank als eine Einzelbank konfiguriert ist. Der zweite Mikrocomputer 2 enthält eine Vorverarbeitungseinheit 214, die eine Vorverarbeitung an einem Umschreibprogramm 5 bei der Umprogrammierungsverarbeitung zum Umschreiben des in dem Umschreibbereich 13 gespeicherten Programms in das Umschreibprogramm ausführt, und eine Sendeeinheit 213, die das vorverarbeitete Umschreibprogramm 5 an den ersten Mikrocomputer 1 sendet. Der erste Mikrocomputer 1 enthält eine Empfangseinheit 121, die das vom zweiten Mikrocomputer 2 gesendete Umschreibprogramm 5 empfängt, und eine Schreibeinheit 122, die das empfangene Umschreibprogramm 5 in den Umschreibbereich 13 schreibt.

Description

  • Technisches Gebiet
  • Die vorliegende Erfindung bezieht sich auf eine Steuervorrichtung und ein Steuersystem.
  • Stand der Technik
  • Eine Mikrosteuereinheit (nachstehend auch als „Mikrocomputer“ bezeichnet) wird in einer in einem Fahrzeug eingebauten elektronischen Steuereinheit (nachstehend auch als „ECU“ bezeichnet) verwendet. In einer ECU wird Software-Umprogrammierung im Markt ausgeführt, um zu einer Software, die in einer nichtflüchtigen Speichervorrichtung wie z. B. einem Flash-Speicher, der in einem Mikrocomputer vorgesehen ist, gespeichert ist, eine Funktion hinzuzufügen, in ihr einen Fehler zu beheben oder dergleichen.
  • Als ein Verfahren zur Umprogrammierung gibt es ein Verfahren zum Verteilen von Umprogrammierungs-Software aus einer Software-Umschreibvorrichtung wie z. B. einer Diagnosevorrichtung über drahtgebundene Kommunikation (beispielsweise PTL 1). Als ein weiteres Verfahren zur Umprogrammierung gibt es ein Verfahren zum Verteilen von Umprogrammierungs-Software über Drahtloskommunikation, die als „Over-the-Air“ (OTA) bezeichnet wird (beispielsweise PTL 2).
  • Entgegenhaltungsliste
  • Patentliteratur
    • PTL 1: JP 11-96082 A
    • PTL 2: JP 2004-326689 A
  • Zusammenfassung der Erfindung
  • Technisches Problem
  • Bei der Umprogrammierung durch OTA wird der Zeitpunkt des Umschreibens eines Programms durch die Konfiguration einer Speicherbank einer in einem Mikrocomputer vorgesehenen Speichervorrichtung eingeschränkt. Die Konfiguration der Speicherbank ist in eine Dualbank und eine Einzelbank unterteilt. In einem Mikrocomputer, der eine Dualbank-Speichervorrichtung enthält (nachstehend auch als „Dualbank-Mikrocomputer“ bezeichnet) sind eine Bedienoberfläche und eine Oberfläche zum Umschreiben eines Programms unabhängig voneinander. Infolgedessen kann der Dualbank-Mikrocomputer eine Umprogrammierung ausführen und gleichzeitig eine Steuerfunktion des Fahrzeugs auch während der Fahrt (wenn der Zündschalter im eingeschalteten Zustand ist) bereitstellen. Andererseits sind in einem Mikrocomputer, der eine Einzelbank-Speichervorrichtung (nachstehend auch als „Einzelbank-Mikrocomputer“ bezeichnet) enthält, die Bedienoberfläche und die Oberfläche zum Neuschreiben des Programms einander gleich. Infolgedessen ist es für den Einzelbank-Mikrocomputer schwierig, eine Umprogrammierung auszuführen, während er die Steuerfunktion des Fahrzeugs während der Fahrt bereitstellt.
  • Daher ist es beim Einzelbank-Mikrocomputer notwendig, die Umprogrammierung während des Parkens auszuführen (wenn der Zündschalter im ausgeschalteten Zustand ist), wenn es nicht erforderlich ist, die Steuerfunktion des Fahrzeugs bereitzustellen. Das heißt, wenn die Umprogrammierung während des Parkens oder dergleichen ausgeführt wird, ist es nicht möglich zu fahren (den Zündschalter in den eingeschalteten Zustand zu bringen), bis die Umprogrammierung abgeschlossen ist. Somit entsteht die Ausfallzeit eines Nutzers.
  • In den letzten Jahren nimmt mit dem Fortschreiten der technologischen Innovation im technischen Bereich wie z. B. CASE („Connected, Autonomous/Automated, Shared, Electric“) die Programmgröße von Software aufgrund der Weiterentwicklung der für die ECU erforderlichen Funktionen zu. Somit erhöht sich unweigerlich tendenziell die für die Umprogrammierung benötigte Zeit. Zusätzlich wird, um die Sicherheit zu erhöhen, die Software verschlüsselt oder elektronisch signiert, um die Vertraulichkeit und Integrität der Software zu gewährleisten. Daher sind in der ECU zum Zeitpunkt der Umprogrammierung Verschlüsselungsverarbeitung wie z. B. Entschlüsseln und Verifizierung einer elektronischen Signatur erforderlich, und die für die Umprogrammierung benötigte Zeit steigt tendenziell weiter an. Aus diesem Grund gibt es in der ECU, die den Einzelbank-Mikrocomputer enthält, die vorstehend beschriebene Einschränkung, und somit wird die Ausfallzeit des Benutzers länger. Ein solches Problem tritt auf ähnliche Weise auch in einer anderen Steuervorrichtung als der ECU auf.
  • Die vorliegende Erfindung wurde in Anbetracht der vorstehend genannten Umstände gemacht, und eine Aufgabe der vorliegenden Erfindung ist es, die Zeit zu verkürzen, die zur Umprogrammierung einer Steuervorrichtung, die einen Einzelbank-Mikrocomputer enthält, erforderlich ist.
  • Lösung der Aufgabe
  • Um die vorstehende Aufgabe zu lösen, enthält eine Steuervorrichtung gemäß der vorliegenden Erfindung eine erste Arithmetikverarbeitungsvorrichtung, die ein in einem vorgegebenen Bereich gespeichertes Programm ausführt, in der eine Speicherbank als eine Einzelbank konfiguriert ist, und eine zweite Arithmetikverarbeitungsvorrichtung. Die zweite Arithmetikverarbeitungsvorrichtung enthält eine Vorverarbeitungseinheit, die eine Vorverarbeitung an einem Umschreibprogramm bei der Umprogrammierungsverarbeitung des Umschreibens des in dem vorgegebenen Bereich gespeicherten Programms in das Umschreibprogramm ausführt, und eine Sendeeinheit, die das vorverarbeitete Umschreibprogramm an die erste Arithmetikverarbeitungsvorrichtung sendet. Die erste Arithmetikverarbeitungsvorrichtung enthält eine Empfangseinheit, die das von der zweiten Arithmetikverarbeitungsvorrichtung gesendete Umschreibprogramm empfängt, und eine Schreibeinheit, die das empfangene Umschreibprogramm in den vorgegebenen Bereich schreibt.
  • Vorteilhafte Effekte der Erfindung
  • Gemäß der vorliegenden Erfindung ist es möglich, eine Zeit zu verkürzen, die zur Umprogrammierung einer Steuervorrichtung, die einen Einzelbank-Mikrocomputer enthält, erforderlich ist.
  • Andere als die vorstehend beschriebenen Objekte, Konfigurationen und vorteilhaften Effekte werden durch die Beschreibung der folgenden Ausführungsformen verdeutlicht.
  • Kurzbeschreibung der Zeichnungen
    • [1] 1 ist ein Blockdiagramm, das eine funktionale Konfiguration einer ECU gemäß Ausführungsform 1 darstellt.
    • [2] 2 ist ein Diagramm, das einen Prozess zum Erzeugen der in 1 dargestellten Umschreibsoftware darstellt.
    • [3] 3 ist ein Ablaufdiagramm der Umprogrammierungsverarbeitung, die in der in 1 dargestellten ECU ausgeführt wird.
    • [4] 4 ist ein Diagramm zum Erläutern der in 3 dargestellten Umprogrammierungsverarbeitung.
    • [5] 5 ist ein Blockdiagramm, das eine funktionale Konfiguration eines Steuersystems gemäß Ausführungsform 2 darstellt.
    • [6] 6 ist ein Diagramm zum Erläutern eines Prozesses zum Bestimmen einer zweiten ECU, die eine Umprogrammierungsverarbeitung in Zusammenarbeit mit einer ersten ECU ausführt.
  • Beschreibung von Ausführungsformen
  • Nachstehend werden Ausführungsformen der vorliegenden Erfindung unter Bezugnahme auf die Zeichnungen beschrieben. Komponenten, die in den jeweiligen Ausführungsformen mit denselben Bezugszeichen bezeichnet sind, besitzen in den jeweiligen Ausführungsformen ähnliche Funktionen, sofern nichts anderes angegeben ist, und ihre Beschreibung wird weggelassen.
  • [Ausführungsform 1]
  • In der vorliegenden Ausführungsform wird eine ECU 901, die eine Vorrichtung ist, die in ein Fahrzeug eingebaut und ein Fahrzeug steuert, als Beispiel für eine Steuervorrichtung, die einen Einzelbank-Mikrocomputer enthält und eine Umprogrammierungsverarbeitung ausführt, beschrieben. Die Steuervorrichtung in der vorliegenden Erfindung kann jedoch eine Vorrichtung sein, die in einer Maschine oder einer anderen Vorrichtung als einem Fahrzeug eingebaut ist und die Maschine oder die andere Vorrichtung als das Fahrzeug steuert. Die ECU 901 ist ein Beispiel für eine in den Ansprüchen beschriebene „Steuervorrichtung“.
  • In der vorliegenden Ausführungsform ist die Umprogrammierungsverarbeitung eine Verarbeitung zum Umschreiben von Software, die ein Programm zum Realisieren der Funktionen der Steuervorrichtung enthält, in eine neue Software. In der vorliegenden Ausführungsform wird die durch die Umprogrammierungsverarbeitung neu geschriebene Software auch als „Umschreibsoftware 221“ bezeichnet. Die Umschreibsoftware 221 enthält mehrere „Umschreibprogramme 5“, die neue Programme zum Realisieren der Funktionen der Steuervorrichtung sind.
  • 1 ist ein Blockdiagramm, das eine funktionale Konfiguration der ECU 901 gemäß Ausführungsform 1 darstellt.
  • Die ECU 901 enthält einen ersten Mikrocomputer 1 und einen zweiten Mikrocomputer 2. Der erste Mikrocomputer 1 ist ein Beispiel für eine in den Ansprüchen beschriebene „erste Arithmetikverarbeitungsvorrichtung“. Der zweite Mikrocomputer 2 ist ein Beispiel für eine in den Ansprüchen beschriebene „zweite Arithmetikverarbeitungsvorrichtung“.
  • Der erste Mikrocomputer 1 und der zweite Mikrocomputer 2 sind über einen Kommunikationsbus 3 miteinander verbunden. Der Kommunikationsbus 3 wird zur Datenkommunikation durch eine Benachrichtigungseinheit 120, eine Empfangseinheit 121 und eine Sendeeinheit 213, die später beschrieben sind, verwendet. Der Kommunikationsstandard des Kommunikationsbusses 3 kann SPI, MII, CAN, Ethernet oder dergleichen sein und ist nicht besonders eingeschränkt.
  • Der erste Mikrocomputer 1 führt ein Programm aus, das in einem vorgegebenen Bereich (einem später zu beschreibenden Umschreibbereich 13), in dem eine Speicherbank als eine Einzelbank konfiguriert ist, gespeichert ist. Dieses Programm ist ein Programm zum Realisieren der Funktion der ECU 901. Der erste Mikrocomputer 1 ist ein Einzelbank-Mikrocomputer.
  • Der erste Mikrocomputer 1 führt eine Umprogrammierungsverarbeitung aus, wenn er in einen Stopp-Zustand, in dem die Ausführung des Programms gestoppt ist, wechselt. Insbesondere führt der erste Mikrocomputer 1 die Umprogrammierung aus, wenn die ECU 901 in einen Stopp-Zustand, in dem sie einen Steuerbetrieb stoppt, wechselt. Beispielsweise führt der erste Mikrocomputer 1 die Umprogrammierung aus, wenn die ECU 901 in den Stopp-Zustand wechselt, indem ein Zündschalter des Fahrzeugs in einen Aus-Zustand wechselt. In der ECU 901 könne mehrere erste Mikrocomputer 1 vorgesehen sein.
  • Der erste Mikrocomputer 1 enthält eine Steuereinheit 10, einen Pufferbereich 11, eine Umprogrammierungsverarbeitungsprogramm-Speichereinheit 12 und einen Umschreibbereich 13.
  • Die Steuereinheit 10 enthält einen Prozessor, wie z. B. eine CPU, eine MPU oder einen DSP, und führt ein Programm, das in der Umprogrammierungsverarbeitungsprogramm-Speichereinheit 12 speichert ist, oder ein Programm, im Umschreibbereich 13 gespeichert ist, aus. Infolgedessen führt die Steuereinheit 10 eine Verarbeitung in Bezug auf den ersten Mikrocomputer 1 aus, um eine Umprogrammierungsfunktion oder die Funktion der ECU 901 zu realisieren.
  • Der Pufferbereich 11 ist ein Pufferbereich zum vorübergehenden Speichern des durch die Empfangseinheit 121 empfangenen Umschreibprogramms 5, bevor das Umschreibprogramm 5 in den Umschreibbereich 13 geschrieben wird. Im Hinblick auf die Anzahl der Schreibvorgänge in den Pufferbereich 11 und die Schreibgeschwindigkeit ist der Pufferbereich 11 vorzugsweise durch eine flüchtige Speichervorrichtung wie z. B. einen DRAM oder einen SRAM konfiguriert. Der Pufferbereich 11 kann jedoch auch durch eine nichtflüchtige Speichervorrichtung wie einen EEPROM, einen Flash-Speicher oder eine SSD konfiguriert sein.
  • Die Umprogrammierungsverarbeitungsprogramm-Speichereinheit 12 (nachstehend auch als „Programmspeichereinheit 12“ bezeichnet) speichert ein Programm (nachstehend auch als „Umprogrammierungsverarbeitungsprogramm“ bezeichnet), das durch die Steuereinheit 10 ausgeführt wird, um die Umprogrammierungsfunktion der ECU 901 zu realisieren. Die Programmspeichereinheit 12 kann auch durch eine nichtflüchtige Speichervorrichtung wie einen EEPROM, einen Flash-Speicher oder eine SSD konfiguriert sein.
  • Die Programmspeichereinheit 12 speichert die Benachrichtigungseinheit 120, die Empfangseinheit 121, eine Schreibeinheit 122 und eine Löscheinheit 123 als ein Umprogrammierungsverarbeitungsprogramm.
  • Die Benachrichtigungseinheit 120 benachrichtigt den zweiten Mikrocomputer 2 über eine Startanforderung der Umprogrammierungsverarbeitung. Die Benachrichtigungseinheit 120 kann den zweiten Mikrocomputer 2 über die Startanforderung der Umprogrammierungsverarbeitung benachrichtigen, wenn die ECU 901 in den Stopp-Zustand wechselt. Zusätzlich kann die Benachrichtigungseinheit 120 die Notwendigkeit der Umprogrammierungsverarbeitung bestimmen, wenn die ECU 901 in den Stopp-Zustand wechselt, und basierend auf dem Bestimmungsergebnis den zweiten Mikrocomputer 2 über die Startanforderung der Umprogrammierungsverarbeitung benachrichtigen. Die Benachrichtigungseinheit 120 kann die Notwendigkeit der Umprogrammierungsverarbeitung basierend darauf bestimmen, ob die ECU 901 von einer externen Vorrichtung über Informationen, die angeben, dass die Umprogrammierungsverarbeitung erforderlich ist, benachrichtigt wird. Alternativ kann die Benachrichtigungseinheit 120 die Notwendigkeit der Umprogrammierungsverarbeitung basierend darauf bestimmen, ob das Herunterladen der Umschreibsoftware 221, die von der externen Vorrichtung über OTA oder dergleichen verteilt wird, abgeschlossen ist und die Umschreibsoftware 221 in einer Umprogrammierungs-Software-Speichereinheit 22 gespeichert ist oder nicht. Außerdem benachrichtigt die Benachrichtigungseinheit 120 den zweiten Mikrocomputer 2 über eine Sendeerlaubnis des Umschreibprogramms 5 in Übereinstimmung mit der Verfügbarkeit des Pufferbereichs 11.
  • Die Empfangseinheit 121 empfängt das vom zweiten Mikrocomputer 2 gesendete Umschreibprogramm 5 über den Kommunikationsbus 3. Die Empfangseinheit 121 speichert das empfangene Umschreibprogramm 5 vorübergehend im Pufferbereich 11.
  • Die Schreibeinheit 122 liest das im Pufferbereich 11 gespeicherte Umschreibprogramm 5 und schreibt das Umschreibprogramm 5 in den Umschreibbereich 13. Das heißt, die Schreibeinheit 122 schreibt das durch die Empfangseinheit 121 empfangene Umschreibprogramm 5 in den Umschreibbereich 13. Wenn das Schreiben in den Umschreibbereich 13 abgeschlossen ist, löscht die Schreibeinheit 122 das Umschreibprogramm 5 als ein Schreibziel aus dem Pufferbereich 11. Infolgedessen kann die Empfangseinheit 121 ein neues Umschreibprogramm 5 empfangen und das empfangene neue Umschreibprogramm 5 im Pufferbereich 11 speichern.
  • Die Löscheinheit 123 löscht das im Umschreibbereich 13 gespeicherte Programm, nachdem die Benachrichtigungseinheit 120 die Benachrichtigung über die Startanforderung der Umprogrammierungsverarbeitung ausgeführt hat. Wenn aufgrund des Löschens des Programms durch die Löscheinheit 123 ein freier Platz im Umschreibbereich 13 vorhanden ist, kann die Schreibeinheit 122 das im Pufferbereich 11 gespeicherte Umschreibprogramm 5 in den Umschreibbereich 13 schreiben und kann das Umschreibprogramm 5 aus dem Pufferbereich 11 löschen.
  • Der Umschreibbereich 13 ist ein Bereich zum Speichern eines Programms zum Realisieren der Funktion der ECU 901. Beispiele für das Programm zum Realisieren der Funktion der ECU 901 enthalten ein Programm zum Realisieren einer Steuerfunktion des Fahrzeugs und ein Hochlaufprogramm zum Starten des ersten Mikrocomputers 1. Der Umschreibbereich 13 kann auch durch eine nichtflüchtige Speichervorrichtung wie einen EEPROM, einen Flash-Speicher oder eine SSD konfiguriert sein.
  • Der zweite Mikrocomputer 2 besitzt mehr Betriebsmittel als der erste Mikrocomputer 1. Der zweite Mikrocomputer 2 kann ein Mikrocomputer sein, der Betriebsmittel besitzt, die verfügbar werden, wenn die ECU 901 in den Stopp-Zustand wechselt. Insbesondere kann der zweite Mikrocomputer 2 ein Mikrocomputer sein, in dem, wenn der Zündschalter in einem speziellen Fahrzyklus in den ausgeschalteten Zustand wechselt, die Betriebsmittel zum Verarbeiten zum Ausführen der Umprogrammierung auf dem ersten Mikrocomputer 1 ausreichend verfügbar werden. Beispielsweise kann der zweite Mikrocomputer 2 durch einen Dualbank-Mikrocomputer konfiguriert sein, der keine Umprogrammierung auf dem zweiten Mikrocomputers 2 ausführen muss, wenn der Zündschalter in den ausgeschalteten Zustand wechselt. Das liegt daran, dass der Dualbank-Mikrocomputer die Umprogrammierung auch dann ausführen kann, wenn der Zündschalter im eingeschalteten Zustand ist. Alternativ kann der zweite Mikrocomputer 2 durch einen Einzelbank-Mikrocomputer konfiguriert sein, der kein OTA-Umprogrammierungsziel ist. In der ECU 901 können mehrere zweite Mikrocomputer 2 vorgesehen sein.
  • Es wird darauf hingewiesen, dass der Fahrzyklus eine Zeitspanne ab einem Zustand, in dem der Zündschalter in den eingeschalteten Zustand wechselt und eine Energiequelle, wie z. B. eine Kraftmaschine, startet (mit Ausnahme eines Starts, der auf ein automatisches Abstellen der Kraftmaschine in einem mit dem Leerlauf-Stopp konformem Fahrzeug folgt), bis zu einem Zustand, in dem der Zündschalter in den ausgeschalteten Zustand wechselt und die Energiequelle stoppt (mit Ausnahme eines automatischen Stopps der Kraftmaschine in einem mit dem Leerlauf-Stopp konformem Fahrzeug) sein kann.
  • Der zweite Mikrocomputer 2 enthält eine Steuereinheit 20, eine Umprogrammierungsverarbeitungsprogramm-Speichereinheit 21 und eine Umschreibsoftware-Speichereinheit 22.
  • Die Steuereinheit 20 enthält einen Prozessor, wie z. B. eine CPU, eine MPU oder einen DSP, und führt ein in der Umprogrammierungsverarbeitungsprogramm-Speichereinheit 21 gespeichertes Programm oder ein Programm (nicht dargestellt) zum Realisieren der auf den zweiten Mikrocomputer 2 bezogenen Funktion der ECU 901 aus. Infolgedessen führt die Steuereinheit 20 eine Verarbeitung in Bezug auf den zweiten Mikrocomputer 2 aus, um eine Umprogrammierungsfunktion oder die Funktion der ECU 901 zu realisieren.
  • Die Umprogrammierungsverarbeitungsprogramm-Speichereinheit 21 (nachstehend auch als „Programmspeichereinheit 21“ bezeichnet) speichert ein Programm (nachstehend auch als „Umprogrammierungsverarbeitungsprogramm“ bezeichnet), das durch die Steuereinheit 20 ausgeführt wird, um die Umprogrammierungsfunktion der ECU 901 zu realisieren. Die Programmspeichereinheit 21 kann jedoch auch durch eine nichtflüchtige Speichervorrichtung wie u. B. einen EEPROM, einen Flash-Speicher oder eine SSD konfiguriert sein.
  • Die Programmspeichereinheit 21 speichert eine Erfassungseinheit 210, eine Verschlüsselungsverarbeitungseinheit 211 und eine Dekomprimierungsverarbeitungseinheit 212 als ein Umprogrammierungsverarbeitungsprogramm.
  • Die Erfassungseinheit 210 erfasst die Umschreibsoftware 221 (das Umschreibprogramm 5), die in der Umschreibsoftware-Speichereinheit 22 gespeichert ist, wenn die Benachrichtigung über die Startanforderung der Umprogrammierungsverarbeitung von der Benachrichtigungseinheit 120 des ersten Mikrocomputers 1 empfangen wird.
  • Die Verschlüsselungsverarbeitungseinheit 211 führt einen Verschlüsselungsprozess an der durch die Erfassungseinheit 210 erfassten Umschreibsoftware 221 (Umschreibprogramm 5) aus. Die Verschlüsselungsverarbeitungseinheit 211 ist nicht als das in der Programmspeichereinheit 21 enthaltene Umprogrammierungsverarbeitungsprogramm konfiguriert, sondern kann durch ein HSM, SHE, TPM mit Manipulationssicherheit oder einen anderen sicheren Mikrocomputer (auch als sicherer Kern bezeichnet) konfiguriert sein. Die Verschlüsselungsverarbeitungseinheit 211 enthält einen sicheren Mikrocomputer oder dergleichen mit Manipulationssicherheit, so dass eine Verfälschung des Programms verhindert werden kann. Somit ist es möglich, die Sicherheit der ECU 901 in Bezug auf die Umprogrammierungsverarbeitung zu erhöhen.
  • Die Verschlüsselungsverarbeitungseinheit 211 enthält eine Entschlüsselungseinheit 2111 und eine Signaturverifizierungseinheit 2112. Die Entschlüsselungseinheit 2111 entschlüsselt die zuvor verschlüsselte Umschreibsoftware 221 (Umschreibprogramm 5) unter Verwendung eines vorgegebenen Verschlüsselungsalgorithmus. Die Schlüsselinformationen eines gemeinsamen Schlüssels oder eines geheimen Schlüssels, der zur Entschlüsselung verwendet wird, können im Voraus in einer nichtflüchtigen Speichervorrichtung wie z. B. der Programmspeichereinheit 21 gespeichert werden oder können im Voraus in einer Speichervorrichtung mit Manipulationssicherheit gespeichert werden. Die Signaturverifizierungseinheit 2112 verifiziert die elektronische Signatur, die der Umschreibsoftware 221 (Umschreibprogramm 5) im Voraus hinzugefügt wurde, durch einen vorgegebenen Verschlüsselungsalgorithmus. Durch Verifizieren der elektronischen Signatur wird die Integrität der Umschreibsoftware 221 (Umschreibprogramm 5) verifiziert. Die Schlüsselinformationen eines öffentlichen Schlüssels oder des gemeinsamen Schlüssels, der zur Signaturverifizierung verwendet wird, können im Voraus in einer nichtflüchtigen Speichervorrichtung wie z. B. der Programmspeichereinheit 21 gespeichert werden oder können im Voraus in einer Speichervorrichtung mit Manipulationssicherheit gespeichert werden.
  • Die Dekomprimierungsverarbeitungseinheit 212 führt einen Dekomprimierungsprozess an der durch die Erfassungseinheit 210 erfassten Umschreibsoftware 221 (Umschreibprogramm 5) aus. Das heißt, die Dekomprimierungsverarbeitungseinheit 212 dekomprimiert im Voraus die komprimierte Umschreibsoftware 221 (Umschreibprogramm 5). Die Dekomprimierungsverarbeitungseinheit 212 kann durch einen Hardware-Beschleuniger, der im zweiten Mikrocomputer 2 vorgesehen ist, konfiguriert sein, anstatt als das in der Programmspeichereinheit 21 enthaltene Umprogrammierungsverarbeitungsprogramm konfiguriert zu sein.
  • In der vorliegenden Ausführungsform sind der Verschlüsselungsprozess (Signaturverifizierung und Entschlüsselung) der Verschlüsselungsverarbeitungseinheit 211 und der Dekomprimierungsprozess der Dekomprimierungsverarbeitungseinheit 212, die an der Umschreibsoftware 221 (Umschreibprogramm 5) ausgeführt werden, auch als „Verschlüsselungs- und Dekomprimierungsprozess“ bezeichnet. Der Verschlüsselungs- und Dekomprimierungsprozess ist ein Beispiel für einen „Vorprozess“, der ein Prozess ist, der an der Umschreibsoftware 221 (Umschreibprogramm 5) ausgeführt wird, bevor das im Umschreibbereich 13 des ersten Mikrocomputers 1 gespeicherte Programm bei der Umprogrammierungsverarbeitung in die Umschreibsoftware 221 (Umschreibprogramm 5) umgeschrieben wird. In der vorliegenden Ausführungsform sind die Verschlüsselungsverarbeitungseinheit 211 und die Dekomprimierungsverarbeitungseinheit 212 auch als eine „Vorverarbeitungseinheit 214“ bezeichnet.
  • Die Sendeeinheit 213 sendet das durch die Verschlüsselungsverarbeitungseinheit 211 und die Dekomprimierungsverarbeitungseinheit 212 dem Verschlüsselungs- und Dekomprimierungsprozess unterzogene Umschreibprogramm 5 über den Kommunikationsbus 3 an den ersten Mikrocomputer 1. Insbesondere wenn die Benachrichtigung über die Sendeerlaubnis des Umschreibprogramms 5 von der Benachrichtigungseinheit 120 des ersten Mikrocomputers 1 empfangen wird, sendet die Sendeeinheit 213 das durch die Verschlüsselungsverarbeitungseinheit 211 und die Dekomprimierungsverarbeitungseinheit 212 einem Verschlüsselungs- und Dekomprimierungsprozess unterzogene Umschreibprogramm 5 an den ersten Mikrocomputer 1. Das heißt, wenn die Benachrichtigung über die Sendeerlaubnis des Umschreibprogramms 5 von dem ersten Mikrocomputer 1 empfangen wird, sendet die Sendeeinheit 213 das durch die Vorverarbeitungseinheit 214 vorverarbeitete Umschreibprogramm 5 an den ersten Mikrocomputer 1.
  • Die Umschreibsoftware-Speichereinheit 22 speichert die Umschreibsoftware 221, die das Umschreibprogramm 5 zum Umschreiben des im Umschreibbereich 13 des ersten Mikrocomputers 1 gespeicherten Programms enthält. Die Umschreibsoftware-Speichereinheit 22 kann durch eine nichtflüchtige Speichervorrichtung, die im zweiten Mikrocomputer 2 vorgesehen ist, konfiguriert sein. Die Umschreibsoftware-Speichereinheit 22 kann durch eine nichtflüchtige Speichervorrichtung, die extern an die ECU 901 angeschlossen ist, wie z. B. einen externen Flash, konfiguriert sein. Wenn die Umschreibsoftware-Speichereinheit 22 eine extern angeschlossene Speichervorrichtung ist, kann die Datenkommunikation zwischen der Umschreibsoftware-Speichereinheit 22 und dem zweiten Mikrocomputer 2 unter Verwendung eines Kommunikationsstandards wie z. B. SPI ausgeführt werden.
  • Wenn der Zündschalter im eingeschalteten Zustand ist, das heißt bevor die ECU 901 in den Stopp-Zustand wechselt, kann der zweite Mikrocomputer 2 die Umschreibsoftware 221 durch Herunterladen der Umschreibsoftware 221, die von der externen Vorrichtung durch OTA oder dergleichen verteilt wird, empfangen und die empfangene Umschreibsoftware 221 in der Umschreibsoftware-Speichereinheit 22 speichern. Alternativ kann der zweite Mikrocomputer 2 die Umschreibsoftware 221 von einer anderen ECU, die mit der ECU 901 über ein Kommunikationsnetz wie z. B. CAN oder Ethernet verbunden ist, empfangen und die empfangene Umschreibsoftware in der Umschreibsoftware-Speichereinheit 22 speichern. Ein Verfahren, durch das der zweite Mikrocomputer 2 die Umschreibsoftware 221 empfängt, ist nicht besonders eingeschränkt.
  • 2 ist ein Diagramm, das einen Prozess zum Erzeugen der in 1 dargestellten Umschreibsoftware 221 darstellt. Es wird darauf hingewiesen, dass die in 2 dargestellten Pfeile den konzeptionellen Fluss von Befehlen oder Daten angeben und eine Kommunikationsrichtung oder Befehlsrichtung nicht einschränken. Zusätzlich kann ein Fluss von Befehlen oder Daten, der nicht durch Pfeile dargestellt ist, vorhanden sein. Das Gleiche gilt für 3 und die folgenden Zeichnungen.
  • Das Umschreibprogramm 5 ist als ein Objektcode oder eine Ausführungsdatei ausgedrückt, in der die mit einer speziellen Programmiersprache erstellten Quellcodes durch eine Software wie z. B. einen Compiler oder einen Interpreter umgesetzt werden.
  • Eine Umschreibsoftware-Erzeugungsvorrichtung 4 ist eine Software, die ein oder mehrere Umschreibprogramme 5 als Eingabe empfängt und die Umschreibsoftware 221 basierend auf einem vorgegebenen Format ausgibt. Die Umschreibsoftware-Erzeugungsvorrichtung 4 enthält eine Komprimierungseinheit 41, eine Verschlüsselungseinheit 42 und eine Signaturhinzufügungseinheit 43, die das Umschreibprogramm 5 nach einem vorgegebenen Algorithmus komprimieren, verschlüsseln bzw. ihm eine Signatur hinzufügen.
  • Die Ausführungsreihenfolge der Prozesse der Komprimierungseinheit 41, der Verschlüsselungseinheit 42 und der Signaturhinzufügungseinheit 43 kann in Übereinstimmung mit dem Format der Umschreibsoftware 221 frei eingestellt werden. Wenn die Umschreibsoftware 221 in Übereinstimmung mit dem in 2 dargestellten Beispiel für die Ausführungsreihenfolge der Prozesse erzeugt wird, werden in der Umprogrammierungsverarbeitung im zweiten Mikrocomputer 2 die Prozesse der Signaturverifizierung, Entschlüsselung und Dekomprimierung in der umgekehrten Reihenfolge (Signaturprüfung → Entschlüsselung → Dekomprimierung) wie bei der Umschreibsoftware-Erzeugungsvorrichtung 4 ausgeführt.
  • Es wird darauf hingewiesen, dass in der Umschreibsoftware-Erzeugungsvorrichtung 4 nicht alle aus der Komprimierungseinheit 41, der Verschlüsselungseinheit 42 und der Signaturhinzufügungseinheit 43 wesentlich sind. Darüber hinaus kann die Umschreibsoftware-Erzeugungsvorrichtung 4 abhängig vom Format der Umschreibsoftware 221 die Prozesse der Komprimierung, Verschlüsselung und zum Hinzufügen einer Signatur für jede beliebige Größe des Umschreibprogramms 5 ausführen. Zu diesem Zeitpunkt, beispielsweise wenn die Umschreibsoftware-Erzeugungsvorrichtung 4 dem Umschreibprogramm 5 zwei elektronische Signaturen hinzufügt, wird die Signaturverifizierung zweimal ausgeführt, was dem zweimaligen Hinzufügen einer Signatur bei der Umprogrammierungsverarbeitung im zweiten Mikrocomputer 2 entspricht.
  • 3 ist ein Ablaufdiagramm der Umprogrammierungsverarbeitung, die in der in 1 dargestellten ECU 901 ausgeführt wird.
  • Die in 3 dargestellte Umprogrammierungsverarbeitung wird gestartet, wenn der Zündschalter in den ausgeschalteten Zustand wechselt (Schritt S101).
  • Der erste Mikrocomputer 1 bestimmt die Notwendigkeit der Umprogrammierungsverarbeitung (Schritt S102). Wenn beispielsweise die Umschreibsoftware 221 nicht in der Umschreibsoftware-Speichereinheit 22 gespeichert ist (Nein in Schritt S102), bestimmt erste Mikrocomputer 1, dass die Umprogrammierungsverarbeitung nicht notwendig ist. Dann beendet der erste Mikrocomputer 1 die Umprogrammierungsverarbeitung. Wenn andererseits die Umschreibsoftware 221 in der Umschreibsoftware-Speichereinheit 22 gespeichert ist (Ja in Schritt S102), bestimmt erste Mikrocomputer 1, dass die Umprogrammierungsverarbeitung notwendig ist. Dann benachrichtigt der erste Mikrocomputer 1 den zweiten Mikrocomputer 2 über eine Startanforderung für die Umprogrammierungsverarbeitung (Schritt S103).
  • Wenn die Benachrichtigung über die Startanforderung für die Umprogrammierungsverarbeitung vom ersten Mikrocomputer 1 empfangen wird, erfasst der zweite Mikrocomputer 2 die in der Umschreibsoftware-Speichereinheit 22 gespeicherte Umschreibsoftware 221 (Schritt S104). Dann verifiziert der zweite Mikrocomputer 2 eine elektronische Signatur, die der erfassten Umschreibsoftware 221 hinzugefügt wurde (Schritt S105), und benachrichtigt den ersten Mikrocomputer 1 über das Verifizierungsergebnis (Schritt S106).
  • Wenn die Benachrichtigung über das Verifizierungsergebnis der elektronischen Signatur von dem zweiten Mikrocomputer 2 empfangen wird, bestimmt der erste Mikrocomputer 1, ob das Verifizierungsergebnis einen Verifizierungserfolg angibt (Schritt S107). Wenn das Verifizierungsergebnis einen Verifizierungsfehlschlag angibt (Nein in Schritt S107), führt der erste Mikrocomputer 1 einen vorgegebenen Ausnahmeprozess aus (Schritt S108). Als dieser Ausnahmeprozess kann beispielsweise die Umprogrammierungsverarbeitung in und nach Schritt S109 unterbrochen werden, und die ECU 901 kann in einen Stromabschaltungszustand wechseln. Wenn andererseits das Verifizierungsergebnis den Verifizierungserfolg angibt (Ja in Schritt S107), beginnt der erste Mikrocomputer 1 mit dem Löschen des im Umschreibbereich 13 gespeicherten Programms (Schritt S109).
  • Parallel zu Schritt S109 erfasst der zweite Mikrocomputer 2 das Umschreibprogramm 5 aus der in der Umschreibsoftware-Speichereinheit 22 gespeicherten Umschreibsoftware 221 in Einheiten von vorgegebenen Datenblöcken (Schritt S110). Dann führt der zweite Mikrocomputer 2 einen Verschlüsselungs- und Dekomprimierungsprozess an dem erfassten Umschreibprogramm 5 aus (Schritt S111), um das Umschreibprogramm 5 zu entschlüsseln und zu dekomprimieren. Der zweite Mikrocomputer 2 führt den Verschlüsselungs- und Dekomprimierungsprozess parallel zum Löschen des Programms durch den ersten Mikrocomputer 1 aus (Schritt S109), so dass die ECU 901 die zum Umprogrammieren erforderliche Zeit verkürzen kann.
  • Nach Schritt S109 bestimmt der erste Mikrocomputer 1, ob der Pufferbereich 11 genügend freien Platz zum Speichern des Umschreibprogramms 5 aufweist (Schritt S112). Wenn kein freier Platz im Pufferbereich 11 vorhanden ist (Nein in Schritt S112), fragt der erste Mikrocomputer 1 in jeder vorgegebenen Zeitspanne ab, ob ein freier Platz im Pufferbereich 11 vorhanden ist oder nicht. Wenn andererseits im Pufferbereich 11 ein freier Platz vorhanden ist (Ja in Schritt S112), benachrichtigt der erste Mikrocomputer 1 den zweiten Mikrocomputer 2 über eine Sendeerlaubnis für das Umschreibprogramm 5 (Schritt S113). Das heißt, der erste Mikrocomputer 1 benachrichtigt den zweiten Mikrocomputer 2 über eine Sendeerlaubnis für das Umschreibprogramm 5 in Übereinstimmung mit der Verfügbarkeit des Pufferbereichs 11.
  • Wenn der erste Mikrocomputer 1 den zweiten Mikrocomputer 2 über die Sendeerlaubnis für das Umschreibprogramm 5 benachrichtigt, sendet der zweite Mikrocomputer 2 das Umschreibprogramm 5 in Einheiten von vorgegebenen Datenblöcken an den ersten Mikrocomputer 1 (Schritt S114). Der erste Mikrocomputer 1 empfängt das vom zweiten Mikrocomputer 2 gesendete Umschreibprogramm 5 (Schritt S115) und speichert das empfangene Umschreibprogramm 5 im Pufferbereich 11. Dann liest der erste Mikrocomputer 1 das im Pufferbereich 11 gespeicherte Umschreibprogramm 5 in Einheiten von vorgegebenen Datenblöcken und schreibt das Umschreibprogramm 5 in den Umschreibbereich 13 (Schritt S116). Hier wird das im Pufferbereich 11 gespeicherte Umschreibprogramm 5 durch den ersten Mikrocomputer 1 gelöscht, bis nach Abschluss des Schreibens in den Umschreibbereich 13 ein neues Umschreibprogramm 5 empfangen wird.
  • Nach Schritt S114 bestimmt der zweite Mikrocomputer 2, ob das Senden des Umschreibprogramms 5 an den ersten Mikrocomputer 1 bis zum letzten Datenblock, der die Umschreibsoftware 221 bildet, abgeschlossen ist oder nicht (Schritt S117). Das heißt, der zweite Mikrocomputer 2 bestimmt, ob alle Umschreibprogramme 5 an den ersten Mikrocomputer 1 gesendet worden sind oder nicht. Wenn das Senden des Umschreibprogramms 5 nicht bis zum letzten Datenblock abgeschlossen ist (Nein in Schritt S117), fährt der zweite Mikrocomputer 2 mit Schritt S110 fort. Wenn andererseits das Senden des Umschreibprogramms 5 bis zum letzten Datenblock abgeschlossen ist (Ja in Schritt S117), beendet der zweite Mikrocomputer 2 die Umprogrammierungsverarbeitung in Bezug auf den zweiten Mikrocomputer 2.
  • Nach Schritt S116 bestimmt der erste Mikrocomputer 1, ob das Schreiben des Umschreibprogramms 5 in den Umschreibbereich 13 bis zum letzten Datenblock, der die Umschreibsoftware 221 bildet, abgeschlossen ist oder nicht (Schritt S118). Das heißt, der erste Mikrocomputer 1 bestimmt, ob alle Umschreibprogramme 5 in den Umschreibbereich 13 geschrieben worden sind oder nicht. Wenn das Schreiben des Umschreibprogramms 5 nicht bis zum letzten Datenblock abgeschlossen ist (Nein in Schritt S118), fährt der erste Mikrocomputer 1 mit Schritt S112 fort. Wenn andererseits das Schreiben des Umschreibprogramms 5 bis zum letzten Datenblock abgeschlossen ist (Ja in Schritt S118), beendet der zweite Mikrocomputer 2 die Umprogrammierungsverarbeitung in Bezug auf den ersten Mikrocomputer 1.
  • Wenn das Schreiben und das Senden des Umschreibprogramms 5 bis zum letzten Datenblock abgeschlossen sind, bestimmen der erste Mikrocomputer 1 und der zweite Mikrocomputer 2, dass der die Umprogrammierungsverarbeitung abgeschlossen ist. Dann können der erste Mikrocomputer 1 und der zweite Mikrocomputer 2 die ECU 901 in den Stromabschaltungszustand versetzen.
  • Es wird darauf hingewiesen, dass der zweite Mikrocomputer 2 ein neues Umschreibungsprogramm 5 erfassen und den Verschlüsselungs- und Dekomprimierungsprozess im Voraus während einer Zeitspanne ab der Ausführung des Verschlüsselungs- und Dekomprimierungsprozesses bis zum Empfangen der Benachrichtigung über die Sendeerlaubnis für das Umschreibungsprogramm 5 vom ersten Mikrocomputer 1 ausführen kann (zwischen Schritt S111 und Schritt S113).
  • 4 ist ein Diagramm zum Erläutern der in 3 dargestellten Umprogrammierungsverarbeitung. Es wird darauf hingewiesen, dass in 4 die Richtung nach rechts auf der Papieroberfläche die positive Richtung der Zeitachse angibt.
  • In 4 verifiziert der zweite Mikrocomputer 2 die elektronische Signatur, die der Umschreibsoftware 221 hinzugefügt wurde, und eine Zeitspanne T1 wird im ersten Mikrocomputer 1 gestartet, nachdem bestätigt wurde, dass die Signaturverifizierung erfolgreich ist.
  • In der Zeitspanne T1 löscht der erste Mikrocomputer 1 das im Umschreibbereich 13 gespeicherte Programm. Parallel dazu führt der zweite Mikrocomputer 2 den Verschlüsselungs- und Dekomprimierungsprozess des Umschreibprogramms 5 aus. Zusätzlich kann der zweite Mikrocomputer 2 das Umschreibprogramm 5 in Einheiten von vorgegebenen Datenblöcken in Übereinstimmung mit der Verfügbarkeit des Pufferbereichs 11 an den ersten Mikrocomputer 1 senden. Während des Löschens des im Umschreibbereich 13 gespeicherten Programms kann der erste Mikrocomputer 1 das Umschreibprogramm 5 nicht in den Umschreibbereich 13 schreiben. Somit kann das Umschreibprogramm 5 (B1, B2) im Pufferbereich 11 gespeichert bleiben.
  • In einer Zeitspanne T2 schreibt der erste Mikrocomputer 1 das in der Zeitspanne T1 im Pufferbereich 11 gespeicherte Umschreibprogramm 5 (B1, B2) in den Umschreibbereich 13. Wenn dieses Schreiben abgeschlossen ist, löscht der erste Mikrocomputer 1 das im Pufferbereich 11 gespeicherte Umschreibprogramm 5 (B1, B2). Bis der Pufferbereich 11 einen freien Platz aufweist, kann der zweite Mikrocomputer 2 den Verschlüsselungs- und Dekomprimierungsprozess des Umschreibprogramms 5 im Voraus ausführen. Der erste Mikrocomputer 1 benachrichtigt den zweiten Mikrocomputer 2 über die Sendeerlaubnis für das Umschreibprogramm 5 zu einem Zeitpunkt, zu dem der Pufferbereich 11 frei wird. Dann kann der zweite Mikrocomputer 2 das Umschreibprogramm 5 (B3, B4), das zuvor dem Verschlüsselungs- und Dekomprimierungsprozess unterzogen worden ist, an den ersten Mikrocomputer 1 senden. Der erste Mikrocomputer 1 kann das Umschreibprogramm 5 (B3, B4) als Ganzes in den Umschreibbereich 13 schreiben.
  • Auch in und nach einer Zeitspanne T3 sind die grundlegenden Verarbeitungsprozeduren des ersten Mikrocomputers 1 und des zweiten Mikrocomputers 2 ähnlich wie in den Zeitspannen T1 und T2. Das heißt, der zweite Mikrocomputer 2 führt den Verschlüsselungs- und Dekomprimierungsprozess im Voraus aus und sendet das Umschreibprogramm 5 an den ersten Mikrocomputer 1 dadurch, dass der freie Platz des Pufferbereichs 11 entstanden ist. Der erste Mikrocomputer 1 schreibt das im Pufferbereich 11 gespeicherte Umschreibprogramm 5 in den Umschreibbereich 13 und löscht das im Pufferbereich 11 gespeicherte Umschreibprogramm 5, wenn das Schreiben abgeschlossen ist.
  • Wie vorstehend beschrieben, ist die ECU 901 gemäß der Ausführungsform 1 eine Steuervorrichtung, die einen ersten Mikrocomputer 1 und einen zweiten Mikrocomputer 2 enthält, die ein Programm ausführen, das in einem Umschreibbereich 13 gespeichert ist, in dem eine Speicherbank als eine Einzelbank konfiguriert ist. Der zweite Mikrocomputer 2 enthält die Vorverarbeitungseinheit 214, die eine Vorverarbeitung wie z. B. den Verschlüsselungs- und Dekomprimierungsprozess an dem Umprogrammierungsprogramm 5 bei der Umprogrammierungsverarbeitung ausführt, und die Sendeeinheit 213, die das vorverarbeitete Umschreibprogramm 5 an den ersten Mikrocomputer 1 sendet. Der erste Mikrocomputer 1 enthält eine Empfangseinheit 121, die das vom zweiten Mikrocomputer 2 gesendete Umschreibprogramm 5 empfängt, und eine Schreibeinheit 122, die das empfangene Umschreibprogramm 5 in den Umschreibbereich 13 schreibt.
  • Mit einer solchen Konfiguration kann die ECU 901 in Ausführungsform 1 eine Vorverarbeitung, die an dem Umschreibprogramm 5 auszuführen ist, vor dem Umschreiben des Programms des ersten Mikrocomputers 1 in das Umschreibprogramm 5 nicht durch den ersten Mikrocomputer 1, sondern durch den zweiten Mikrocomputer 2 ausführen. Das heißt, in der ECU 901 in Ausführungsform 1 arbeiten der erste Mikrocomputer 1 und der zweite Mikrocomputer 2 zusammen, um eine Umprogrammierungsverarbeitung auszuführen, so dass das Programm des ersten Mikrocomputers 1 in das Umschreibprogramm 5 umgeschrieben werden kann. Infolgedessen kann die ECU 901 in Ausführungsform 1 die Verarbeitungszeit der Umprogrammierungsverarbeitung in Bezug auf den ersten Mikrocomputer 1 mit im Vergleich zum zweiten Mikrocomputer 2 begrenzten Betriebsmitteln verkürzen. Daher kann die ECU 901 in Ausführungsform 1 die Zeit verkürzen, die zum Umprogrammieren durch die OTA der Steuervorrichtung, die den Einzelbank-Mikrocomputer enthält, erforderlich ist.
  • Der erste Mikrocomputer 1 in Ausführungsform 1 enthält ferner die Benachrichtigungseinheit 120, die den zweiten Mikrocomputer 2 über die Startanforderung des Umprogrammierungsprozesses benachrichtigt, und die Löscheinheit 123, die das im Umschreibbereich 13 gespeicherte Programm löscht, nachdem die Benachrichtigungseinheit 120 die Benachrichtigung über die Startanforderung ausgeführt hat. Der zweite Mikrocomputer 2 in Ausführungsform 1 enthält ferner die Erfassungseinheit 210, die das Umschreibprogramm 5 erfasst, wenn die Benachrichtigung über die Startanforderung der Umprogrammierungsverarbeitung vom ersten Mikrocomputer 1 empfangen wird. Die Vorverarbeitungseinheit 214 des zweiten Mikrocomputers 2 führt eine Vorverarbeitung an dem durch die Erfassungseinheit 210 erfassten Umschreibprogramm 5 aus.
  • Mit einer solchen Konfiguration kann der zweite Mikrocomputer 2 in Ausführungsform 1 während des Löschens des Programms im Umschreibbereich 13, in den der erste Mikrocomputer 1 das Umschreibprogramm 5 nicht schreiben kann, eine Vorverarbeitung an einem neuen Umschreibprogramm 5 im Voraus ausführen. Infolgedessen kann der erste Mikrocomputer 1 in der ECU 901 in Ausführungsform 1, wenn das Programm im Umschreibbereich 13 gelöscht wird, durch effektive Nutzung der Betriebsmittel des zweiten Mikrocomputers 2 das Umschreibprogramm 5 sofort in den Umschreibbereich 13 schreiben. Daher kann die ECU 901 in Ausführungsform 1 die Umprogrammierungsverarbeitung in Bezug auf den ersten Mikrocomputer 1 effizient ausführen und kann ferner die Verarbeitungszeit verkürzen. Somit kann die ECU 901 in Ausführungsform 1 ferner die Zeit verkürzen, die für zum Umprogrammieren durch die OTA der Steuervorrichtung, die den Einzelbank-Mikrocomputer enthält, erforderlich ist.
  • Der erste Mikrocomputer 1 in Ausführungsform 1 enthält ferner den Pufferbereich 11 zum vorübergehenden Speichern des empfangenen Umschreibprogramms 5, bevor das empfangene Umschreibprogramm 5 in den Umschreibbereich 13 geschrieben wird. Die Benachrichtigungseinheit 120 des ersten Mikrocomputers 1 benachrichtigt den zweiten Mikrocomputer 2 über die Sendeerlaubnis für das Umschreibprogramm 5 in Übereinstimmung mit der Verfügbarkeit des Pufferbereichs 11. Wenn die Benachrichtigung über die Sendeerlaubnis vom ersten Mikrocomputer 1 empfangen wird, sendet die Sendeeinheit 213 des zweiten Mikrocomputers 2 das vorverarbeitete Umschreibprogramm 5 an den ersten Mikrocomputer 1.
  • Mit einer solchen Konfiguration kann der zweite Mikrocomputer 2 in Ausführungsform 1 das vorverarbeitete Umschreibprogramm 5 an den ersten Mikrocomputer 1 senden, selbst wenn der erste Mikrocomputer 1 das Umschreibprogramm 5 in den Umschreibbereich 13 schreibt oder das Programm aus dem Umschreibbereich 13 löscht. Infolgedessen kann in der ECU 901 in Ausführungsform 1 der erste Mikrocomputer 1 das Umschreibprogramm 5 sofort in den Umschreibbereich 13 zu einem Zeitpunkt schreiben, zu dem das Umschreibprogramm 5 in den Umschreibbereich 13 geschrieben werden kann. Daher kann die ECU 901 in Ausführungsform 1 die Umprogrammierungsverarbeitung in Bezug auf den ersten Mikrocomputer 1 effizient ausführen und kann ferner die Verarbeitungszeit verkürzen. Somit kann die ECU 901 in Ausführungsform 1 ferner die Zeit verkürzen, die zum Umprogrammieren durch die OTA der Steuervorrichtung, die den Einzelbank-Mikrocomputer enthält, erforderlich ist.
  • Zusätzlich bestimmt die Benachrichtigungseinheit 120 des ersten Mikrocomputers 1 in Ausführungsform 1 die Notwendigkeit der Umprogrammierungsverarbeitung, wenn die ECU 901 in den Stopp-Zustand wechselt, und benachrichtigt zweiten Mikrocomputer 2 über die Startanforderung der Umprogrammierungsverarbeitung basierend auf dem Bestimmungsergebnis.
  • Mit einer solchen Konfiguration kann die ECU 901 in Ausführungsform 1 die Umprogrammierungsverarbeitung zu einem Zeitpunkt, zu dem es ungünstig ist, die Umprogrammierungsverarbeitung auszuführen, unterdrücken. Daher kann die ECU 901 in Ausführungsform 1 die das Umprogrammieren durch die OTA der Steuervorrichtung, die den Einzelbank-Mikrocomputer enthält, effizient ausführen.
  • Die Vorverarbeitungseinheit 214 des zweiten Mikrocomputers 2 in Ausführungsform 1 enthält ferner die Verschlüsselungsverarbeitungseinheit 211, die die Signaturverifizierungseinheit 2112 und die Entschlüsselungseinheit 2111 enthält, sowie die Dekomprimierungsverarbeitungseinheit 212.
  • Mit einer solchen Konfiguration kann die ECU 901 in Ausführungsform 1 die Verarbeitungszeit der Umprogrammierungsverarbeitung in Bezug auf den ersten Mikrocomputer 1 verkürzen, während die Vertraulichkeit, Integrität und dergleichen des Umschreibprogramms 5 gewährleistet ist und die Datenkommunikationszeit des Umschreibprogramms 5 unterdrückt wird. Daher kann die ECU 901 in Ausführungsform 1 die Zeit verkürzen, die für die Umprogrammierung durch die OTA der Steuervorrichtung, die den Einzelbank-Mikrocomputer enthält, erforderlich ist, und kann die Sicherheit im Zusammenhang mit der Umprogrammierung verbessern.
  • Ferner ist die ECU 901 in Ausführungsform 1 eine Vorrichtung, die in einem Fahrzeug eingebaut ist und das Fahrzeug steuert. Die Benachrichtigungseinheit 120 des ersten Mikrocomputers 1 benachrichtigt den zweiten Mikrocomputer 2 über die Startanforderung der Umprogrammierungsverarbeitung, wenn die ECU 901 in den Stopp-Zustand wechselt, wenn der Zündschalter des Fahrzeugs in den ausgeschalteten Zustand wechselt.
  • Mit einer solchen Konfiguration kann die ECU 901 von Ausführungsform 1 die Umprogrammierungsverarbeitung zu einem geeigneten Zeitpunkt, zu dem nicht notwendig ist, die Steuerfunktion des Fahrzeugs bereitzustellen, ausführen. Daher kann die ECU 901 in Ausführungsform 1 die Umprogrammierungsverarbeitung durch die OTA effizient ausführen.
  • [Ausführungsform 2]
  • Ein Steuersystem 991 gemäß Ausführungsform 2 wird unter Bezugnahme auf die 5 und 6 beschrieben. In dem Steuersystem 991 in Ausführungsform 2 wird die Beschreibung der Konfiguration und des Betriebs, die ähnlich denen in Ausführungsform 1 sind, weggelassen.
  • 5 ist ein Blockdiagramm, das eine funktionale Konfiguration des Steuersystems 991 gemäß Ausführungsform 2 darstellt.
  • Die Umprogrammierungsverarbeitung von Ausführungsform 1 wird innerhalb der ECU 901 abgeschlossen. Andererseits ist die Umprogrammierungsverarbeitung in Ausführungsform 2 eine Verarbeitung, die in dem Steuersystem 991, das mehrere ECUs enthält, ausgeführt wird, und ist eine Verarbeitung, die über die mehreren ECUs ausgeführt wird.
  • Insbesondere enthält das Steuersystem 991 eine erste ECU 911, die ein Programm ausführt, das in einem vorgegebenen Bereich (Umschreibbereich 13) gespeichert ist, in dem eine Speicherbank als eine Einzelbank konfiguriert ist, und eine zweite ECU 912. Die erste ECU 911 ist ein Beispiel für eine in den Ansprüchen beschriebene „erste Steuervorrichtung“. Die zweite ECU 912 ist ein Beispiel für eine in den Ansprüchen beschriebene „zweite Steuervorrichtung“. Das Steuersystem 991 ist ein Beispiel für ein in den Ansprüchen beschriebenes „Steuersystem“.
  • Die erste ECU 911 ist eine ECU, die einen Einzelbank-Mikrocomputer enthält. Die zweite ECU 912 besitzt mehr Betriebsmittel als die erste ECU 911. Die zweite ECU 912 kann beispielsweise eine ECU, die so konfiguriert ist, dass sie einen Dualbank-Mikrocomputer enthält, oder eine ECU, die so konfiguriert ist, dass sie einen Einzelbank-Mikrocomputer enthält, der kein OTA-Umprogrammierungsziel ist, sein.
  • Die zweite ECU 912 vorverarbeitet das Umschreibprogramm 5 in der Umprogrammierungsverarbeitung zum Umschreiben eines in einem vorgegebenen Bereich (Umschreibbereich 13) der ersten ECU 911 gespeicherten Programms in das Umschreibprogramm 5. Die zweite ECU 912 sendet das vorverarbeitete Umschreibprogramm 5 an die erste ECU 911. Die erste ECU 911 empfängt das von der zweiten ECU 912 gesendete Umschreibprogramm 5. Die erste ECU 911 schreibt das empfangene Umschreibprogramm 5 in den vorgegebenen Bereich (Umschreibbereich 13).
  • Mit einer solchen Konfiguration kann das Steuersystem 991 in Ausführungsform 2 eine Vorverarbeitung, die an dem Umschreibprogramm 5 auszuführen ist, vor dem Umschreiben des Programms der ersten ECU 911 in das Umschreibprogramm 5 nicht durch die erste ECU 911, sondern durch die zweite ECU 912 ausführen. Das heißt, in dem Steuersystem 991 in Ausführungsform 2 arbeiten die erste ECU 911 und die zweite ECU 912 zusammen, um eine Umprogrammierungsverarbeitung auszuführen, so dass das Programm der ersten ECU 911 in das Umschreibprogramm 5 umgeschrieben werden kann. Infolgedessen kann das Steuersystem 991 in Ausführungsform 2 die Verarbeitungszeit der Umprogrammierungsverarbeitung in Bezug auf die erste ECU 911 mit im Vergleich zur zweiten ECU 912 begrenzten Betriebsmitteln verkürzen. Daher kann das Steuersystem 991 in Ausführungsform 1 die Zeit verkürzen, die für zum Umprogrammieren durch die OTA der Steuervorrichtung, die den Einzelbank-Mikrocomputer enthält, erforderlich ist.
  • Wie in 5 dargestellt, ist die Konfiguration des Steuersystems 991 in Bezug auf die Umprogrammierungsverarbeitung grundsätzlich ähnlich der Konfiguration der ECU 901 in Bezug auf die Umprogrammierungsverarbeitung, die in 1 dargestellt ist. In dem Steuersystem 991 ist es jedoch, wenn die Benachrichtigungseinheit 120 der ersten ECU 911 die zweite ECU 912 über die Startanforderung des Umprogrammierungsprozesses benachrichtigt, denkbar, ein Verfahren wie in 6 dargestellt zu verwenden. Die erste ECU 911 und die zweite ECU 912 sind über ein Kommunikationsnetz 6 wie z. B. CAN oder Ethernet miteinander verbunden.
  • 6 ist ein Diagramm zum Erläutern eines Prozesses zum Bestimmen der zweiten ECU 912, die eine Umprogrammierungsverarbeitung in Zusammenarbeit mit der ersten ECU 911 ausführt. 6(a) ist ein Diagramm zum Erläutern einer ersten Stufe des Prozesses zum Bestimmen der zweiten ECU 912, die eine Umprogrammierungsverarbeitung in Zusammenarbeit mit der ersten ECU 911 ausführt. 6(b) ist ein Diagramm zum Erläutern einer zweiten Stufe des Prozesses zum Bestimmen der zweiten ECU 912, die eine Umprogrammierungsverarbeitung in Zusammenarbeit mit der ersten ECU 911 ausführt. 6(c) ist ein Diagramm zum Erläutern einer dritten Stufe des Prozesses zum Bestimmen der zweiten ECU 912, die eine Umprogrammierungsverarbeitung in Zusammenarbeit mit der ersten ECU 911 ausführt.
  • In dem in 6 dargestellten Beispiel enthält die zweite ECU 912 mehrere zweite ECUs 912a bis 912c. Jede der mehreren zweiten ECUs 912a bis 912c ist über das Kommunikationsnetz 6 mit der ersten ECU 911 verbunden. In dem in 6 dargestellten Beispiel wird die zweite ECU 912, die die Umprogrammierungsverarbeitung in Zusammenarbeit mit der ersten ECU 911 ausführt, durch Ausführen des dreistufigen Handshakes von 6(a) bis 6(c) zwischen der ersten ECU 911 und den mehreren zweiten ECUs 912a bis 912c bestimmt.
  • Als die in 6(a) dargestellte erste Stufe sendet die erste ECU 911 für jeden Fahrzyklus eine Abfrage, die abfragt, ob die Umprogrammierungsverarbeitung ausgeführt wird oder nicht, an die mehreren zweiten ECUs 912a bis 912c. Die erste ECU 911 kann eine Tabelle speichern, in der ein Ziel, an das die Abfrage gesendet werden soll, vorgegeben ist, und die Abfrage an die spezifische zweite ECU 912 senden, indem es sich auf die Tabelle bezieht (zum Beispiel Unicast-Verfahren). Alternativ kann die erste ECU 911 die Abfrage an eine nicht spezifizierte Anzahl von zweiten ECUs 912 durch ein Rundsende-Verfahren senden. 6(a) stellt ein Beispiel dar, in dem die erste ECU 911 die Abfrage an jede der mehreren zweiten ECUs 912a bis 912c sendet.
  • Als die in 6(b) dargestellte zweite Stufe senden die mehreren zweiten ECUs 912a bis 912c eine Antwort auf die Abfrage von 6(a) an die erste ECU 911. Unter den mehreren zweiten ECUs 912a bis 912c kann nur die zweite ECU 912, die zum Ausführen der Umprogrammierungsverarbeitung fähig ist, die Antwort an die erste ECU 911 senden. Alternativ können auch alle zweiten ECUs 912, die die Anfrage von den mehreren zweiten ECUs 912a bis 912c empfangen haben, die Antwort an die erste ECU 911 senden. 6(b) stellt ein Beispiel dar, in dem jede der mehreren zweiten ECUs 912a bis 912c, die die Anfrage empfangen haben, eine Antwort an die erste ECU 911 sendet.
  • Als die in 6(c) dargestellte dritte Stufe sendet die erste ECU 911 eine Startanforderung für die Umprogrammierungsverarbeitung basierend auf der in 6(b) dargestellten Antwort. Beim Empfang von Antworten von den mehreren zweiten ECUs 912a bis 912c bestimmt die erste ECU 911 die zweite ECU 912, die die Umprogrammierungsverarbeitung kooperativ ausführt, unter den mehreren zweiten ECUs 912a bis 912c, die die Antworten empfangen haben. In diesem Fall kann die erste ECU 911 eine Prioritätstabelle speichern, in der die Priorität der zu bestimmenden zweiten ECU 912 im Voraus bestimmt wird, und die zweite ECU 912 bestimmen, die die Umprogrammierungsverarbeitung kooperativ ausführt, indem sie auf die Prioritätstabelle Bezug nimmt. Diese Priorität kann im Voraus bestimmt werden, beispielsweise basierend auf Verarbeitungsgeschwindigkeit und dergleichen jeder der mehreren zweiten ECUs 912a bis 912c zum Zeitpunkt der Ausführung der Umprogrammierungsverarbeitung. 6(c) stellt ein Beispiel dar, bei dem die erste ECU 911 die zweite ECU 912c als die zweite ECU 912, die die Umprogrammierungsverarbeitung kooperativ ausführt, bestimmt.
  • Es wird darauf hingewiesen, dass im Prozess zum Bestimmen der zweiten ECU 912, die die Umprogrammierungsverarbeitung in Zusammenarbeit mit der ersten ECU 911 ausführt, jede der mehreren zweiten ECUs 912a bis 912c freiwillig an die erste ECU 911 für jeden Fahrzyklus senden kann, ob die Umprogrammierungsverarbeitung ausgeführt wird oder nicht. In diesem Fall muss die erste ECU 911 keine Abfrage, wie in 6(a) dargestellt, an mehreren zweiten ECUs 912a bis 912c senden.
  • Wie vorstehend beschrieben, kann das Steuersystem 991 auch dann, wenn die zweite ECU 912 mehrere zweite ECUs 912a bis 912c enthält, auf geeignete Weise die zweite ECU 912 bestimmen, die die Umprogrammierungsverarbeitung in Zusammenarbeit mit der ersten ECU 911 ausführt. Infolgedessen können im Steuersystem 991 die erste ECU 911 und die zweite ECU 912 die Umprogrammierungsverarbeitung in Zusammenarbeit miteinander ausführen, selbst wenn die zweite ECUs 912 durch die mehreren zweiten ECUs 912a bis 912c konfiguriert ist. Daher kann das Steuersystem 991 selbst dann, wenn die zweite ECU 912 die mehreren zweiten ECUs 092a bis 0912c enthält, die zum Umprogrammieren durch die OTA der Steuervorrichtung, die den Einzelbank-Mikrocomputer enthält, erforderliche Zeit verkürzen.
  • [Sonstiges]
  • Die vorliegende Erfindung ist nicht auf die vorstehenden Ausführungsformen beschränkt, und verschiedene Modifikationsbeispiele können vorgesehen werden. Beispielsweise sind die vorstehenden Ausführungsformen genau beschrieben worden, um die vorliegende Erfindung auf eine leicht verständliche Weise zu erläutern, und die vorstehenden Ausführungsformen sind nicht notwendigerweise auf einen Fall beschränkt, der alle beschriebenen Konfigurationen enthält. Ferner können einige Komponenten in einer Ausführungsform durch die Komponenten einer anderen Ausführungsform ersetzt werden, und die Konfiguration einer anderen Ausführungsform kann der Konfiguration einer Ausführungsform hinzugefügt werden. Hinsichtlich einiger Komponenten in den Ausführungsformen können andere Komponenten hinzugefügt, entfernt und ersetzt werden.
  • Einige der oder alle Konfigurationen, Funktionen, Verarbeitungseinheiten, Verarbeitungsmittel und dergleichen können durch Hardware, die beispielsweise mit einer integrierten Schaltung konstruiert ist, realisiert werden. Ferner können die vorstehend beschriebenen jeweiligen Komponenten, Funktionen und dergleichen durch Software realisiert werden, indem der Prozessor ein Programm zum Realisieren der jeweiligen Funktionen interpretiert und ausführt. Informationen wie z. B. ein Programm, ein Band und eine Datei, die jede Funktion realisieren, können in einem Speicher, einer Aufzeichnungsvorrichtung wie z. B. einer Festplatte und einem Festkörperlaufwerk (SSD) oder einem Aufzeichnungsmedium wie z. B. einer IC-Karte, einer SD-Karte und einer DVD gespeichert sein.
  • Steuerleitungen und Informationsleitungen, die für die Beschreibungen als notwendig erachtet werden, sind dargestellt, und es sind nicht notwendigerweise alle Steuerleitungen und Informationsleistungen im Produkt gezeigt. In der Praxis kann davon ausgegangen werden, dass fast alle Komponenten miteinander verbunden sind.
  • Bezugszeichenliste
    • 1
    erster Mikrocomputer (erste Arithmetikverarbeitungsvorrichtung)
    11
    Pufferbereich
    120
    Benachrichtigungseinheit
    121
    Empfangseinheit
    122
    Schreibeinheit
    123
    Löscheinheit
    13
    Umschreibbereich (vorgegebener Bereich)
    2
    zweiter Mikrocomputer (zweite Arithmetikverarbeitungsvorrichtung)
    210
    Erfassungseinheit
    211
    Verschlüsselungsverarbeitungseinheit
    2111
    Entschlüsselungseinheit
    2112
    Signaturverifizierungseinheit
    212
    Dekomprimierungsverarbeitungseinheit
    213
    Sendeeinheit
    214
    Vorverarbeitungseinheit
    5
    Umschreibprogramm
    901
    ECU (Steuervorrichtung)
    911
    erste ECU (erste Steuervorrichtung)
    912
    zweite ECU (zweite Steuervorrichtung)
    991
    Steuersystem
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • JP 11096082 A [0003]
    • JP 2004326689 A [0003]

Claims (7)

  1. Steuervorrichtung, die umfasst: eine erste Arithmetikverarbeitungsvorrichtung, die ein Programm ausführt, das in einem vorgegebenen Bereich gespeichert ist, in dem eine Speicherbank als eine Einzelbank konfiguriert ist; und eine zweite Arithmetikverarbeitungsvorrichtung, wobei die zweite Arithmetikverarbeitungsvorrichtung enthält: eine Vorverarbeitungseinheit, die eine Vorverarbeitung an einem Umschreibprogramm bei der Umprogrammierungsverarbeitung zum Umschreiben des in dem vorgegebenen Bereich gespeicherten Programms in das Umschreibprogramm ausführt, und eine Sendeeinheit, die das vorverarbeitete Umschreibprogramm an die erste Arithmetikverarbeitungsvorrichtung sendet, und wobei die erste Arithmetikverarbeitungsvorrichtung enthält: eine Empfangseinheit, die das von der zweiten Arithmetikverarbeitungsvorrichtung gesendete Umschreibprogramm empfängt, und eine Schreibeinheit, die das empfangene Umschreibprogramm in den vorgegebenen Bereich schreibt.
  2. Steuervorrichtung nach Anspruch 1, wobei die erste Arithmetikverarbeitungsvorrichtung ferner enthält: eine Benachrichtigungseinheit, die die zweite Arithmetikverarbeitungsvorrichtung über eine Startanforderung der Umprogrammierungsverarbeitung benachrichtigt, und eine Löscheinheit, die das in dem vorgegebenen Bereich gespeicherte Programm löscht, nachdem die Benachrichtigungseinheit eine Benachrichtigung über die Startanforderung ausgeführt hat, wobei die zweite Arithmetikverarbeitungsvorrichtung ferner eine Erfassungseinheit enthält, die das Umschreibprogramm erfasst, wenn die Benachrichtigung über die Startanforderung von der ersten Arithmetikverarbeitungsvorrichtung empfangen wird, und die Vorverarbeitungseinheit die Vorverarbeitung an dem durch die Erfassungseinheit erfassten Umschreibprogramm ausführt.
  3. Steuervorrichtung nach Anspruch 2, wobei die erste Arithmetikverarbeitungsvorrichtung einen Pufferbereich enthält, in dem das empfangene Umschreibprogramm vorübergehend gespeichert wird, bevor es in den vorgegebenen Bereich geschrieben wird, die Benachrichtigungseinheit die zweite Arithmetikverarbeitungsvorrichtung über eine Sendeerlaubnis für das Umschreibprogramm in Übereinstimmung mit der Verfügbarkeit des Pufferbereichs benachrichtigt, und wenn eine Benachrichtigung über die Sendeerlaubnis von der ersten Arithmetikverarbeitungsvorrichtung empfangen wird, die Sendeeinheit das vorverarbeitete Umschreibprogramm an die erste Arithmetikverarbeitungsvorrichtung sendet.
  4. Steuervorrichtung nach Anspruch 2, wobei die Benachrichtigungseinheit die Notwendigkeit der Umprogrammierung bestimmt, wenn die Steuervorrichtung in einen Stopp-Zustand zum Stoppen eines Steuerbetriebs wechselt, und die zweite Arithmetikverarbeitungsvorrichtung über die Startanforderung basierend auf einem Bestimmungsergebnis benachrichtigt.
  5. Steuervorrichtung nach Anspruch 2, wobei die Vorverarbeitungseinheit enthält: eine Verschlüsselungsverarbeitungseinheit, die eine Signaturverifizierungseinheit, die eine dem Umschreibprogramm hinzugefügte elektronische Signatur im Voraus verifiziert, und eine Entschlüsselungseinheit, die das im Voraus verschlüsselte Umschreibprogramm entschlüsselt, und eine Dekomprimierungsverarbeitungseinheit, die das komprimierte Umschreibprogramm im Voraus dekomprimiert.
  6. Steuervorrichtung nach Anspruch 2, wobei die Steuervorrichtung in einem Fahrzeug eingebaut ist und das Fahrzeug steuert, und die Benachrichtigungseinheit die zweite Arithmetikverarbeitungsvorrichtung über die Startanforderung benachrichtigt, wenn die Steuervorrichtung in einen Stopp-Zustand zum Stoppen eines Steuerbetriebs wechselt, indem ein Zündschalter des Fahrzeug in einen ausgeschalteten Zustand wechselt.
  7. Steuersystem, das umfasst: eine erste Steuervorrichtung, die ein Programm ausführt, das in einem vorgegebenen Bereich gespeichert ist, in dem eine Speicherbank als eine Einzelbank konfiguriert ist; und eine zweite Steuervorrichtung, wobei die zweite Steuervorrichtung eine Vorverarbeitung an einem Umschreibprogramm bei der Umprogrammierungsverarbeitung zum Umschreiben des in dem vorgegebenen Bereich gespeicherten Programms in das Umschreibprogramm ausführt, und das vorverarbeitete Umschreibprogramm an die erste Steuervorrichtung sendet, und die erste Steuervorrichtung das von der zweiten Arithmetikverarbeitungsvorrichtung gesendete Umschreibprogramm empfängt und das empfangene Umschreibprogramm in den vorgegebenen Bereich schreibt.
DE112022000914.4T 2021-04-14 2022-03-01 Steuervorrichtung und steuersystem Pending DE112022000914T5 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2021068551A JP2022163546A (ja) 2021-04-14 2021-04-14 制御装置及び制御システム
JP2021-068551 2021-04-14
PCT/JP2022/008675 WO2022219948A1 (ja) 2021-04-14 2022-03-01 制御装置及び制御システム

Publications (1)

Publication Number Publication Date
DE112022000914T5 true DE112022000914T5 (de) 2023-11-23

Family

ID=83639608

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112022000914.4T Pending DE112022000914T5 (de) 2021-04-14 2022-03-01 Steuervorrichtung und steuersystem

Country Status (4)

Country Link
US (1) US20240160433A1 (de)
JP (1) JP2022163546A (de)
DE (1) DE112022000914T5 (de)
WO (1) WO2022219948A1 (de)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH1196082A (ja) 1997-09-19 1999-04-09 Nissan Motor Co Ltd 車両用メモリ書換え装置
JP2004326689A (ja) 2003-04-28 2004-11-18 Nissan Motor Co Ltd 車載機器のソフトウェア書き換え方法、テレマティクスシステムおよびテレマティクス装置

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007230317A (ja) * 2006-02-28 2007-09-13 Hitachi Ltd ブレーキ制御システム及びそのプログラム更新方法
JP2014182571A (ja) * 2013-03-19 2014-09-29 Denso Corp 車載電子制御装置のプログラム書換システム及び車載中継装置
JP5949732B2 (ja) * 2013-11-27 2016-07-13 株式会社オートネットワーク技術研究所 プログラム更新システム及びプログラム更新方法
JP6421635B2 (ja) * 2015-02-16 2018-11-14 株式会社デンソー 電子制御装置およびメモリ書換方法
JP6468168B2 (ja) * 2015-11-05 2019-02-13 株式会社デンソー 電子制御装置
JP6902722B2 (ja) * 2019-03-07 2021-07-14 パナソニックIpマネジメント株式会社 プログラム更新システム、制御システム、移動体、プログラム更新方法及びプログラム
JP2021024555A (ja) * 2019-08-06 2021-02-22 日本電産エレシス株式会社 電動パワーステアリング制御装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH1196082A (ja) 1997-09-19 1999-04-09 Nissan Motor Co Ltd 車両用メモリ書換え装置
JP2004326689A (ja) 2003-04-28 2004-11-18 Nissan Motor Co Ltd 車載機器のソフトウェア書き換え方法、テレマティクスシステムおよびテレマティクス装置

Also Published As

Publication number Publication date
JP2022163546A (ja) 2022-10-26
WO2022219948A1 (ja) 2022-10-20
US20240160433A1 (en) 2024-05-16

Similar Documents

Publication Publication Date Title
EP1883906B1 (de) Tragbarer datenträger mit sicherer datenverarbeitung
DE112011105688T5 (de) Ent- und Verschlüsselung von Anwendungsdaten
DE102020208245A1 (de) Datenspeicherungsvorrichtung und Datenspeicherungsprogramm
DE60317024T2 (de) Methode zum Setzen der Konfigurationsinformationen eines Speichergerätes
EP3811261B1 (de) Kryptografiemodul und betriebsverfahren hierfür
DE102020103846A1 (de) Verfahren zum Betreiben eines Speichersystems mit Gegenmaßnahme gegen Replay-Angriff und Speichersystem, das dasselbe durchführt
EP3224756B1 (de) Verfahren zum nachladen von software auf eine chipkarte durch einen nachladeautomaten
DE60037342T2 (de) Verfahren und system für kommunizierende geräte, und vorrichtungen dafür, mit geschützter datenübertragung
DE112022000914T5 (de) Steuervorrichtung und steuersystem
WO2010089083A2 (de) Vorrichtung und verfahren zum verhindern von unautorisierter verwendung und/oder manipulation von software
EP3308278B1 (de) Verfahren zum aktualisieren von personalisierungsdaten
EP3286872B1 (de) Bereitstellen eines gerätespezifischen kryptographischen schlüssels aus einem systemübergreifenden schlüssel für ein gerät
DE102020216030A1 (de) Verfahren zum abgesicherten Start einer Recheneinheit
DE102021126509B4 (de) Tragbare Chipvorrichtung und Verfahren zum Ausführen eines Softwaremodul-Updates in einer tragbaren Chipvorrichtung
EP0977160B1 (de) Verfahren und Datenverarbeitungsanordnung zum gesicherten Ausführen von Befehlen
DE102022107393A1 (de) Center, verteilungssteuerungsverfahren undnicht-transitorisches speichermedium
EP3215957B1 (de) Chipkarte, chipkartensystem und verfahren zum zugriff auf eine chipkarte
DE102023109180A1 (de) Elektronische steuerungsvorrichtung
EP3175383B1 (de) Verfahren zur änderung der kontrolldaten einer chipkarte und chipkartensystem
DE102022203327A1 (de) Verfahren und Vorrichtung zum Verarbeiten von mit einem Sicherheitsmodul assoziierten Daten
DE102021211591A1 (de) Verfahren und Vorrichtung zum Verarbeiten von Daten

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R081 Change of applicant/patentee

Owner name: HITACHI ASTEMO, LTD., HITACHINAKA-SHI, JP

Free format text: FORMER OWNER: HITACHI ASTEMO, LTD., HITACHINAKA-SHI, IBARAKI-KEN, JP