JP2010167997A - 車両のための書き換えシステム - Google Patents

車両のための書き換えシステム Download PDF

Info

Publication number
JP2010167997A
JP2010167997A JP2009014354A JP2009014354A JP2010167997A JP 2010167997 A JP2010167997 A JP 2010167997A JP 2009014354 A JP2009014354 A JP 2009014354A JP 2009014354 A JP2009014354 A JP 2009014354A JP 2010167997 A JP2010167997 A JP 2010167997A
Authority
JP
Japan
Prior art keywords
control device
rewriting
state
rewrite
ignition
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2009014354A
Other languages
English (en)
Inventor
Kazuyoshi Wakita
和慶 脇田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Honda Motor Co Ltd
Original Assignee
Honda Motor Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Honda Motor Co Ltd filed Critical Honda Motor Co Ltd
Priority to JP2009014354A priority Critical patent/JP2010167997A/ja
Publication of JP2010167997A publication Critical patent/JP2010167997A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Stored Programmes (AREA)

Abstract

【課題】複数の制御装置のうちのいずれかの制御装置を書き換える際に、他の制御装置の不必要な稼働状態によるバッテリーの電力の消費を抑制する。
【解決手段】車両のイグニションがオンの状態において、記憶媒体または通信を介して書き換え情報を取り込み、書き換え対象となる制御装置を特定し、該特定された制御装置に対して書き換え対象である旨の通知を行う書き換え実行制御装置と、車両のイグニションがオフされたことを検出する手段とを備える。イグニションのオフの検出に応じて、書き換え対象制御装置および書き換え実行制御装置以外の制御装置は、メイン電源が遮断されて動作が停止する停止状態に移行すると共に、書き換え実行制御装置は、書き換え対象制御装置が書き換え可能な状態になったことに応じて、取り込んだ書き換え情報によって書き換え対象制御装置への書き換えを実行する。こうして、書き換える際のバッテリの消費電力を低減する。
【選択図】図3

Description

この発明は、車両に搭載された制御装置に記憶されている情報を書き換えるためのシステムに関する。
従来より、車両に搭載された制御装置に記憶されている情報を書き換えるための手法が提案されている。下記の特許文献1には、車載機器のソフトウェアを無線配信し、該配信されたソフトウェアを受信してダウンロードし、該ダウンロードされたソフトウェアを用いて車載機器のソフトウェアを書き換えることが記載されている。
特開2004−326689号公報
最近の車両には、複数の制御装置が搭載され、これらの制御装置は、自己のメモリに記憶されたプログラムおよびデータを用いて車両の様々な制御を実現している。上記の従来の手法によれば、このような制御装置に記憶された情報を書き換えるためのソフトウェアを無線配信を介してダウンロードするので、車両を販売店やサービスセンターに持ち込む必要がなく、車両のユーザの利便性を向上させることができる。
しかしながら、この手法によれば、車両を販売店やサービスセンターに持ち込む必要がない。制御装置に記憶された情報を書き換える際には、書き換え対象となる制御装置が通電中の状態であることが必要とされる。したがって、従来、車両を停止し、かつイグニションがオンの状態(バッテリが充電中の状態)において、書き換えを実行していた。
イグニションがオンの状態では、書き換え対象となる制御装置以外の制御装置すなわち書き換えを必要としない制御装置も稼動可能な状態となっている。しかしながら、書き換え実行中、該書き換えを必要としない制御装置の稼動は実際には不要であり、このような制御装置の稼動は、バッテリの電力を不必要に消費することとなる。
したがって、複数の制御装置のうちのいずれかの制御装置を書き換える際に、他の制御装置の不必要な稼動状態によるバッテリの電力の消費を抑制する手法が望まれている。
この発明の一つの側面によると、車両に設けられ、複数の制御装置のうちの書き換え対象となる制御装置に記憶されている情報を書き換えるための書き換えシステムは、前記複数の制御装置のうちの一つであって、前記車両のイグニションがオンの状態において、記憶媒体または通信を介して書き換え情報を取り込み、前記複数の制御装置のうちの前記書き換え対象となる制御装置を特定し、該特定された制御装置に対して書き換え対象である旨の通知を行うよう構成された書き換え実行制御装置と、前記車両のイグニションがオフされたことを検出する手段と、を備える。前記イグニションのオフの検出に応じて、前記書き換え対象となる制御装置および前記書き換え実行制御装置以外の制御装置は、メイン電源が遮断されて動作が停止する停止状態に移行すると共に、前記書き換え実行制御装置は、前記書き換え対象となる制御装置が書き換え可能な状態になったことに応じて、前記取り込んだ書き換え情報によって前記書き換え対象となる制御装置への書き換えを実行する。
この発明によれば、イグニションがオンの状態で、書き換え実行制御装置が、書き換え対象となる制御装置に対し、書き換えを実行することを予め通知するので、書き換え対象制御装置は、自身が、イグニションがオフされた後も動作する必要のあることを認識することができる。したがって、イグニションがオフされたことに応じて、書き換え実行制御装置と書き換え対象制御装置以外の制御装置は通常通り停止状態になるが、書き換え対象制御装置と書き換え実行制御装置は、書き換え処理の実行を認識しているので、停止状態に移行しないことができる。イグニションがオフされた後、書き換え実行制御装置と書き換え対象制御装置のみに電力が供給された状態で書き換えを実行するので、バッテリの消費電力を抑制することができる。
また、イグニションがオフされた状態は、乗員が車両を必要としない状態である。したがって、このような状態で書き換えを実行することにより、乗員に対する書き換えの影響を最小限にすることができる。
この発明の一実施形態によると、前記イグニションのオフの検出に応じて、前記書き換え実行制御装置は、低消費電力で動作する待機状態に移行し、該待機状態にある間、前記書き換え実行制御装置は、前記書き換え対象となる制御装置が前記書き換え可能な状態になったかどうかを監視し、該書き換え可能な状態になったとの判断に応じて、前記待機状態から、通常の消費電力で動作する稼動状態に移行して、前記書き換えを開始する。
この発明によれば、書き換え対象の制御装置が書き換え可能な状態になるまで、書き換え実行制御装置は、低消費電力の待機状態にあるので、バッテリの消費電力をさらに抑制することができる。また、書き換え実行制御装置が書き換え対象制御装置を監視することにより、待機状態から脱して書き換えを開始するタイミングを見極めることができる。
この発明の一実施形態によると、前記イグニションのオフの検出に応じて、前記書き換え実行制御装置は、低消費電力で動作する待機状態に移行し、前記書き換え対象となる制御装置は、前記書き換え可能な状態になったならば、前記書き換え実行制御装置に所定の通知を行い、前記書き換え実行制御装置は、該通知に応じて、前記待機状態から、通常の消費電力で動作する稼動状態に移行して、前記書き換えを開始する。
この発明によれば、書き換え対象の制御装置が書き換え可能な状態になるまで、書き換え実行制御装置は、低消費電力の待機状態にあるので、バッテリの消費電力をさらに抑制することができる。また、書き換え対象制御装置が、書き換え可能状態になったことを書き換え実行制御装置に通知するので、書き換え実行制御装置は、待機状態から脱して書き換えを開始するタイミングを見極めることができる。
本発明のその他の特徴及び利点については、以下の詳細な説明から明らかである。
この発明の一実施例に従う、車両の書き換えシステムの概略的な構成を示す図。 この発明の一実施例に従う、各制御装置の構成を示す図。 この発明の一実施例に従う、イグニションがオンの状態における書き換えシステムの通電状態および書き換え処理の概略的なフローを示す図。 この発明の一実施例に従う、イグニションがオフの状態における書き換えシステムの通電状態および書き換え処理の概略的なフローを示す図。 この発明の一実施例に従う、書き換え処理のタイムチャート。 この発明の一実施例に従う、イグニションがオフされた後の書き換え処理の起動の手法を説明するための図。 この発明の一実施例に従う、予期せぬ異常が生じた場合の書き換え処理のタイムチャート。 この発明の一実施例に従う、イグニションがオンの状態における実行制御装置の処理(IGON処理)を示すフローチャート。 この発明の一実施例に従う、イグニションがオンの状態における実行制御装置の処理(IGON処理)を示すフローチャート。 この発明の一実施例に従う、イグニションがオフの状態における実行制御装置の処理(IGOFF処理)を示すフローチャート。 この発明の一実施例に従う、待機状態における実行制御装置の処理(待機処理)を示すフローチャート。
次に図面を参照してこの発明の実施の形態を説明する。図1は、この発明の一実施形態に従う、車両に搭載された複数の制御装置を備える書き換えシステムの概略的な構成を示す。
複数の電子制御装置(ECU)は、図では10a〜10gで表されている。これらの制御装置10a〜10gは、車両の様々な制御を実現するために設けられており、たとえば、エンジンを制御するための制御装置、ランプやドアなどの制御を行うための制御装置、トランスミッションを制御するための制御装置、エアバッグを制御するための制御装置等を含むことができる。
これらの制御装置10a〜10gのそれぞれは、中央処理装置(CPU)およびメモリを備えるコンピュータである。制御装置は、CPUが演算を行うのに用いる一時的な記憶領域である揮発性のRAM、および、たとえばEEPROMおよびフラッシュメモリなど、電源の供給がなくても記憶内容を保持する不揮発性メモリを備える。また、この実施形態では、制御装置は、メイン電源が遮断されても小さい待機電流で記憶内容を保持することができるバックアップ用のRAM(SRAM)を備えている。
複数の制御装置10a〜10gは、メイン電源ライン12を介してバッテリ14に接続されており、バッテリ14からの電力供給によって動作する。また、車両には、車載LAN16(たとえば、CAN通信システム)が搭載されており、制御装置10a〜10gは、車載LAN16に接続されている。こうして、制御装置10a〜10gは、車載LAN16を介して互いに通信することができる。
制御装置10a〜10gの不揮発性メモリには、前述したように、該制御装置が車両の制御を実現するために実行すべきプログラムおよび該プログラムの実行において用いられるデータが記憶されている。これら記憶されているプログラムおよびデータ(以下、総称して「情報」と呼ぶ)を、新しい情報で書き換えることが必要とされることがある。たとえば、プログラムのバージョンアップが必要とされることがあり、この場合、メモリに記憶されている古いバージョンのプログラムを消去し、新しいバージョンのプログラムを書き込むことによって、書き換え処理を実現する。なお、以下の説明において、「書き換え」には、このような消去を伴うものだけでなく、不揮発性メモリの空き領域に新たな情報を書き込む場合をも含むとする。書き換え対象となる情報は、プログラムでもよいし、データでもよい。
複数の制御装置のうちの少なくとも1つが、書き換え対象となる制御装置に対し、書き換えを実行する制御装置(以下、実行制御装置と呼ぶ)として予め決められている。実行制御装置は、書き換え情報を取り込んで、自己のメモリに記憶するよう構成されている。この実施形態では、メイン電源が遮断された場合でも内容が保持されるように、書き換え情報は、不揮発性メモリまたはバックアップ用RAMに記憶される。代替的に、取り込んだ書き換え情報を、該実行制御装置がアクセス可能な外部記憶装置に記憶してもよい。ここで、「書き換え情報」は、書き換え対象となる制御装置の不揮発性メモリに、新たに書き込まれるべき情報を示す。
書き換え情報の取り込みは、この実施例では、無線通信または記憶媒体を介して行われる。車両には、所定のコンピュータ(たとえば、サーバ)と無線で通信する通信機器(図示せず)が搭載されており、該通信機器を介して書き換え情報を受信し、それをメモリに記憶する。
また、車両には、たとえばCD−ROMなどの記憶媒体のドライブが設けられている。実行制御装置は、該ドライブを介して、記憶媒体に記憶された書き換え情報を読み出すことができ、該読み出した書き換え情報を自己のメモリに記憶する。
代替的に、車両に、所定の外部機器を有線で接続し、該外部機器に記憶されている書き換え情報を通信によって受信するようにしてもよい。書き換え実行制御装置は、該受信した書き換え情報を自己のメモリに記憶する。
ここで図2を参照すると、各制御装置10(図1の複数の制御装置を区別しない場合には、符号「10」を用いる)には、イグニションスイッチ(IGSW)のオンおよびオフを示す信号IGSWが入力されるイグニションスイッチライン21が接続されている。また、各制御装置10には、メイン電源系統を構成する、バッテリ14からのメイン電源ライン12と、バックアップ電源系統を構成する、バッテリ14からのバックアップ電源ライン23とが接続されている。
メイン電源ライン12の途中にはメインリレー22が設けられており、制御装置10がメインリレー22のスイッチを閉じると、制御装置10は、バッテリ14からの電力供給を受け、制御装置10は、通常の消費電力で動作を行う稼動状態となる。他方、制御装置10がメインリレー22のスイッチを開くと、バッテリ14からのメイン電源ライン12を介した電力供給は遮断される。制御装置10のメイン電源はオフとなり、制御装置10のCPUは完全に停止する停止状態となる。
バックアップ電源系統は、制御装置10に設けられたバックアップ用のRAMに待機電流を流すために設けられている。バックアップ電源ライン23により、メインリレー22のオンおよびオフにかかわらず、バックアップ用のRAMを常時通電状態にして、その記憶内容を保持することができる。
この実施例では、実行制御装置については、上記稼動状態と停止状態の他に、待機状態というモードを有する。待機状態は、稼動状態に比べて消費電力の低い状態である。メイン電源系統は遮断されている(すなわち、メインリレーのスイッチ22は開かれる)が、バックアップ電源系統を利用して、CPUの限られた動作のみを許容するよう構成されたモードである。これについての詳細は、後述される。
次に、図3および図4を参照して、書き換え動作の概略を説明する。この実施例では、図1の制御装置10gが実行制御装置であるとする。
図3において、(a)は、イグニションがオンにされている状態(IG−ON状態)における、図1の複数の制御装置の通電状態を示し、(b)は、イグニションがオンにされている状態における書き換えシステムの動作の概略的なフローを示す。なお、(b)に示す動作は、車両が通常の走行状態中に行われてもよいし、イグニションがオンにされていれば、車両の走行が停止している状態で行われてもよい。
(a)に示すように、イグニションがオンにされた状態では、エンジンの動作によって発電機(図示せず)からバッテリ14の充電動作が行われると共に、制御装置10a〜10gは、メイン電源ライン12を介してバッテリ14と通電中であり(ライン12への接続が実線で表されている)、通常の消費電力で動作を行う稼動状態にある。また、制御装置10a〜10gは、車載LAN16を介して互いに通信可能な状態になっている(ライン16への接続が実線で表されている)。
(b)に示すように、ステップS1において、実行制御装置10gは、前述したような手法で書き換え情報を取り込み、書き換え対象となる制御装置(以下、対象制御装置と呼ぶ)10aを識別する。対象制御装置の識別は、任意の手法で実現されることができる。たとえば、書き換え情報に、書き換え対象となる制御装置10aを識別するためのコードを予め含ませることにより、実行制御装置10gは、該取り込んだ書き換え情報に基づいて、対象制御装置10aを識別することができる。代替的に、書き換え情報とは別個のファイル情報に、書き換え対象となる制御装置10aを識別するコードを予め含ませ、該ファイル情報を、該書き換え情報と共に取り込むことにより、対象制御装置10aを識別するようにしてもよい。
ステップS2において、実行制御装置10gは、対象制御装置10aに対し、次のイグニションオフ状態において書き換えを実施することを、車載LAN16を介して通知する。これにより、対象制御装置10aは、自身が書き換え対象として特定されたことを認識することができる。こうして、対象制御装置10aは、次にイグニションがオフされても、停止状態に移行することなく、書き換えを実行する必要があることを認識することができる。
ステップS3において、実行制御装置10gは、乗員に対し、車両が次にイグニションオフされたときに、対象制御装置10aの書き換えが必要なことを通知する。通知は、任意の手法で行われることができる。たとえば、車両に搭載された表示装置(たとえば、ナビゲーションシステムの表示装置)や、インスツルメントパネル上の所定の表示パネルに、書き換えが必要なことを示すメッセージを表示することによって通知することができる。また、音声によって通知するようにしてもよい。
好ましくは、上記書き換えの通知と共に、乗員に対し、書き換えに要する時間を通知する。書き換えに要する時間は、書き換え情報のデータ量と、対象制御装置10aがメモリを書き換える速度とに基づいて、実行制御装置10gが計算により算出することができる。たとえば、取り込んだ書き換え情報のデータ量を調べ、これを、対象制御装置10aの所定の書き換え速度で除算することにより、書き換えに要する時間(書き換え時間)を算出することができる。代替的に、予め計算された書き換え時間を示すデータを、通信を介してまたは記憶媒体から読み込み、これを通知するようにしてもよい。通知は、前述したように、表示および(または)音声によって行うことができる。こうして、乗員は、書き換えにどの程度時間がかかるかを認識することができる。
ステップS4において、乗員は、ステップS3における通知に対し、書き換えを許可するか否かを示す応答を行う。応答は、任意の手段によって行うことができる。たとえば、表示装置上に表示された所定の許可を示すボタン(OKボタン)および不許可を示すボタン(NGボタン)のいずれかを選択することにより、このような応答を行うことができる。応答を受け取った実行制御装置10gは、該応答の結果をメモリに記憶する。このように、乗員は、自己の都合に合わせて、書き換えの許可または不許可を選択することができる。また、乗員からの許可に応じて書き換えを実行するので、乗員に対する書き換えの影響を抑止することができる。
なお、ステップS4において乗員からの応答が書き換えの不許可を示すならば、次回イグニションがオンされた時に、再度、書き換えの許可および不許可について乗員に対し通知するのがよい。
上記実施例では、ステップS2で対象制御装置10aに対して通知を行った後、乗員に対する通知および乗員からの応答の受け取りをステップS3およびS4で行っている。代替的に、乗員に対する通知および乗員からの応答の受け取りを行った後に、対象制御装置10aに対する通知を行ってもよい。たとえば、乗員から、書き換えの許可がなされた場合にのみ、対象制御装置10aに対する書き換えの通知を行うようにしてもよい。
図4の(a)は、イグニションがオフされている状態(IG−OFF状態)における、図1の複数の制御装置の通電状態を示し、(b)は、イグニションがオフされている状態における書き換えシステムの動作の概略的なフローを示す。
(a)に示すように、イグニションがオフされた状態では、エンジンが停止しているのでバッテリ14の放電動作が行われると共に、実行制御装置10gと対象制御装置10a以外の制御装置10b〜fのメイン電源ライン12を介した電力供給は遮断され、制御装置10b〜fは停止状態に至る(ライン12への接続が点線で表されている)。したがって、実行制御装置10gと対象制御装置10a以外の制御装置10b〜fによる車載LAN16を介した通信も行われない(ライン16への接続が点線で表されている)。他方、実行制御装置10gと対象制御装置10aは、書き換えの際には、メイン電源ライン12を介してバッテリ14からの電力供給を受け、稼動状態となると共に、車載LAN16を介した通信も行われる。
(b)に示すように、イグニションがオフされたことが検出されたならば、ステップS5において、実行制御装置10gと対象制御装置10a以外の制御装置10b〜10fは、所定の後処理を終えた後、自己のメインリレー22のスイッチを開くことによってメイン電源ライン12を介した電力供給を遮断し、停止状態に入る。しかし、対象制御装置10aは、所定の後処理を終えても、メインリレー22のスイッチを開くことはせず、よって、メイン電源ライン12から電力供給を受けた稼動状態を維持する。また、実行制御装置10gは、好ましくは、対象制御装置10aが後処理を終えることによって書き換え可能な状態になるまで、自己のメインリレー22を開くことによってメイン電源ライン12を介した電力供給を遮断し、バックアップ電源系統からの電力で動作する待機状態にある。前述したように、待機状態は、低消費電力モードであるので、稼動状態に比べて消費電力を低減することができる。
ステップS6において、実行制御装置10gは、対象制御装置10aが書き換え可能な状態になったことに応じて、自己のメインリレー22を閉じることによってメイン電源ライン12を介した電力供給を開始し、これにより、待機状態から稼動状態に復帰し、書き換え処理を開始する。書き換え処理では、自己のメモリに取り込んだ書き換え情報を読み出し、これを、対象制御装置10aに車載LAN16を介して送信して、書き換えを実行するよう指示する。この指示に応じて、対象制御装置10aは、受け取った書き換え情報で、自己の不揮発性メモリを書き換える。
ステップS7において、書き換えが終了したならば、実行制御装置10gおよび対象制御装置10aは、それぞれ、自己のメインリレー22のスイッチを開くことによってメイン電源ライン12を介した電力供給を遮断し、停止状態に移行する。
従来では、イグニションスイッチとメイン電源系統とは連動しており、イグニションがオフされるとメイン電源系統の通電が遮断され、よって、それぞれの制御装置は、動作を停止する停止状態に入るのが通常であった。いずれかの制御装置の書き換えを行うには、イグニションを再びオンにし、これによってすべての制御装置のメイン電源系統を通電状態にして、すべての制御装置を稼動状態にする必要があった。
それに対し、本願発明では、書き換えは、イグニションがオフされた後に行われる。イグニションがオンにされた状態で、書き換えを実行する制御装置および書き換えの対象となる制御装置だけは、書き換え実行を行う必要性を認識している。したがって、これらの制御装置だけは、イグニションがオフにされても、それに連動して自己のメイン電源系統を遮断することは行わず、メイン電源系統を通電状態にして稼動状態を維持することができる。書き換えに必要な制御装置のみを稼動状態にして書き換えを実行するので、バッテリの消費電力を低減することができる。
また、好ましくは、実行制御装置10gは、対象制御装置10aが書き換え可能な状態になるまで、低消費電力で動作する待機状態にある。これにより、バッテリの消費電力をより低減することができる。
図5は、図1に示す各制御装置10a〜10gの状態遷移を示すタイムチャートである。イグニション(IGSW)がオンである間(〜時間t1)は、すべての制御装置10a〜10gは、メイン電源がオンされた稼動状態にある。実行制御装置10gは、図3を参照して説明したような書き換えのための事前処理(IGON処理と呼ぶ)を実行しており、他の制御装置10a〜10fは、予め決められた車両のための通常の制御(たとえば、エンジン制御、トランスミッション制御等)を行っている。時間t1においてイグニションのオフが検出されたならば、制御装置10a〜10fは、所定の後処理を行う。後処理は、通常の制御に応じて予め決められており、たとえば、必要なデータをバックアップ用のRAMに記憶したり、実行中の制御プロセスを正常終了させたりする処理を含むことができる。他方、イグニションのオフが検出されたならば、実行制御装置10gは、待機状態に入り、低消費電力で動作する。
対象制御装置10aの後処理が終わると(時間t2)、対象制御装置10aは書き換え可能な状態になる。実行制御装置10gは、メイン電源をオンにすることによって待機状態から稼動状態に移行し、書き換え処理(IGOFF処理と呼ぶ)を開始し、対象制御装置10aに書き換え情報を送信して、書き換えを実行するよう指示する。これに応じて、対象制御装置10aは、受信した書き換え情報で、自己の不揮発性メモリに対する書き換え処理を実行する。時間t3において書き換え処理が終了したならば、実行制御装置10gおよび対象制御装置10aは、それぞれ、自己のメイン電源をオフにし、停止状態に入る。
他の制御装置10b〜10fは、それぞれ、自己の後処理を終えたことに応じて自己のメイン電源をオフにし、停止状態に移行する(時間t2’)。
ここで、実行制御装置10gが、待機状態から稼動状態に移行するのに、以下のような2つの方法がある。図6を参照すると、(a)は一方の方法を示し、(b)は他方の方法を示す。
(a)では、実行制御装置10gが待機状態にあるとき、対象制御装置10aに対し、間欠的に(たとえば、一定の時間間隔で)、後処理が終了したかどうかを確認するための監視信号を出す。対象制御装置10aは、車載LAN16を介して監視信号を受け取り、これに応じて、後処理が終了したか否かを示す信号を返す。実行制御装置10gは、後処理が終了したことを示す信号を受け取るまで、この間欠動作を行う。後処理が終了したことを示す信号を受け取ったならば、メインリレー22のスイッチを閉じることによってメイン電源をオンにして稼動状態に移行し、書き換え処理(IGOFF処理)を開始する。このように、(a)では、実行制御装置10gが主導で書き換え処理の開始タイミングを特定する。待機状態においては、実行制御装置10gは、間欠的に対象制御装置10aを監視して、対象制御装置10aが書き換え可能な状態になったかどうかを判断するという限られた動作のみ行う。このように、書き換え処理を開始するまでは、低消費電力モードで動作する待機状態であるので、消費電力を低減することができる。
(b)では、対象制御装置10aが、後処理を終了したことに応じて、車載LAN16を介して起動信号を実行制御装置10gに送信する。この起動信号の受信に応じて、実行制御装置10gは待機状態から稼動状態に移行し、書き換え処理(IGOFF処理)を開始する。このように、(b)では、対象制御装置10aが主導で書き換え処理の開始タイミングを特定する。待機状態においては、実行制御装置10gは、対象制御装置10aが書き換え可能な状態になったことを示す起動信号に応じるという限られた動作のみを行う。(a)と同様に、書き換え処理を開始するまでは、低消費電力モードで動作する待機状態であるので、消費電力を低減することができる。
(a)および(b)のいずれでも、待機中の消費電力を低減することができるが、特に(a)の方法は、予期せぬ不良によって書き換え処理を開始できなくなった場合に、実行制御装置10gが自己のメイン電源をオフすることができるので、望ましい。
すなわち、車載LAN16の通信異常等によって、対象制御装置10aと実行制御装置10gの間で通信することができない場合が生じうる。(a)の場合には、間欠的に監視信号を対象制御装置10aに送り、その応答を調べるので、所定時間内に応答があるかどうかで、このような異常が生じたかどうかを判断することができる。異常と判定したならば、実行制御装置10gは停止状態に移行する。その後にイグニションがオンされたときに、乗員に当該異常を知らせることができる。
(b)の場合には、実行制御装置10gが、(a)のような監視を行わないので、上記のような異常が生じたかどうかを判断することが(a)に比べて困難である。異常が生じた場合に、これを判定できずに待機状態を継続すると、消費電力を不必要に消費するおそれがある。したがって、(b)の場合には、実行制御装置10gは、イグニションがオフされてから所定時間内に起動信号を受信しなければ異常と判定するのが好ましい。異常と判定したならば、実行制御装置10gは停止状態に移行する。その後にイグニションがオンされたときに、乗員に当該異常を知らせることができる。
図7には、図5と同様の図が示されており、これは、異常が生じた場合の制御装置10a〜10gの状態遷移のタイムチャートである。実行制御装置10gの待機状態から稼動状態への移行は、図6の(a)の方法に従っている。
図5の場合と同様に、イグニションのオフに応じて(時間t1)、実行制御装置10gは待機状態に入り、対象制御装置10aに対して間欠的に監視信号を送る。時間t2において対象制御装置10aは後処理を終了するので、実行制御装置10gは書き換え処理(IGOFF処理)を開始すべきである。しかしながら、車載LAN16による通信の異常により、実行制御装置10gは、監視信号に対する応答を受け取ることができず、待機状態が継続される。
他方、対象制御装置10aにおいても、実行制御装置10gから書き換えの指示が無いので、対象制御装置10aは、実行制御装置10gからの指示を待つ。
実行制御装置10gは、対象制御装置10aに監視信号を発してから所定時間経過しても応答が無ければ、予期せぬ異常が生じたと判断し、時間t4において、自己のメイン電源をオンにして稼動状態に移行し、当該異常の判定を記憶すると共に、時間t5において、メイン電源をオフにして停止状態に移行する。異常判定の記憶および停止状態への移行は、この実施例では、前述したIGOFF処理の実行を介して行われる。
代替的に、予期せぬ異常が生じたと判断したならば、IGOFF処理を実行することなく、時間t4において待機状態から停止状態に直接移行してもよい(メイン電源はオフのままである)。この場合、待機状態において、異常判定を記憶すればよい。
こうして記憶された異常判定は、その後イグニションがオンされたときに、乗員への異常の通知に用いられる。
対象制御装置10aは、後処理を終了してから所定時間が経過するまでに、実行制御装置10gから指示が無ければ、自己のメイン電源を強制的にオフにし、停止状態に入る。この実施例では、時間t3においてメイン電源をオフにしており、これは、実行制御装置10gの異常判断時期t4よりも早いが、この形態に限定されるものではない。対象制御装置10aは、実行制御装置10gの異常判断時期t4よりも遅い時点で停止状態に移行するようにしてもよい。
次に、図8および図9を参照して、図3および図5を参照して説明したイグニションがオンされている状態において実行制御装置10gのCPUによって実行されるプロセス(IGON処理)の詳細を説明する。IGON処理は、イグニションのオンの検出に応じて起動され、イグニションがオンの間、繰り返し実行されることができる。
ステップS11は、書き換え情報を自己のメモリにダウンロードする前に、書き換えるべき新しい情報が存在するかどうかを判断するための処理であり、任意の適切な手法で判断することができる。たとえば、実行制御装置10gは、各制御装置について、どのバージョンのプログラムおよびデータが記憶されているかについてのテーブルを有することができる。したがって、記憶媒体から新しい書き換え情報を読み込む場合には、該記憶媒体に予め記憶された該書き換え情報に関するファイル情報(たとえば、対象制御装置を識別するコードと、新しい書き換え情報のバージョンを識別するコードを含むことができる)を調べ、書き換え対象となる対象制御装置10aを識別し、該新しい書き換え情報が、該対象制御装置10aにすでに書き込まれている情報よりも新しいバージョンかどうかを、該テーブルを参照して調べ、新しいバージョンであれば、新しい書き換え情報が存在すると判断する。無線通信により書き換え情報を受信する場合には、書き換え情報に関する上記のようなファイル情報を受信することにより、同様の判断を行う。こうして、同じ書き換え情報を何度もダウンロードすることを防止することができる。
ステップS11において新しい書き換え情報が存在すれば(Yesとなる)、書き換え情報存在フラグに値1をセットして、ステップS12に進む。ステップS11において新しい書き換え情報が存在しなければ(Noとなる)、当該プロセス(IGON処理)を抜ける。
ステップS12において、対象制御装置10aが異常状態にあるかどうかを判断する。対象制御装置10aの異常状態が判定された時に値1にセットされる異常状態フラグ(後述のステップS57、S75を参照)を調べることにより、この判断を行うことができる。ステップS12の判断がYesである(異常状態である)ならば、ステップS13において、乗員に対し、対象制御装置10aが異常状態にあることを通知して、当該プロセスを抜ける。この通知に伴い、車両のサービスセンター等に車両の修理を促すような通知を行ってもよい。こうして、書き換え中に対象制御装置10aが異常になったことを乗員は認識することができる。前述したように、乗員に対する通知は、表示装置を介して行うことができ、また、音声による通知でもよい。この点は、以下も同様である。
ステップS12の判断がNo(異常状態ではない)ならば、ステップS14において、車載LAN16の通信が異常かどうかを判断する。これは、車載LAN16の通信が異常と判定された時に値1にセットされる通信異常フラグ(後述されるステップS85を参照)を調べることにより、判断することができる。
ステップS14の判断がYesである(通信が異常である)ならば、ステップS15において、乗員に対し、車載LAN16の通信に異常があることを通知して、当該プロセスを終える。ステップS13と同様に、この通知に伴い、車両のサービスセンター等に車両の修理を促すような通知を行ってもよい。こうして、書き換え中に車載LAN16が異常になったことを乗員は認識することができる。
ステップS14の判断がNo(通信異常ではない)ならば、ステップS16において、実行制御装置10gが書き換え実行待ち状態になった時に値1がセットされる実行待ち状態フラグを調べ、書き換え実行待ち状態にあるかどうかを判断する。書き換え情報をまだダウンロード(取り込み)していない場合には、書き換え実行待ち状態になっていないので、ステップS17に進む。
ステップS17において、新しい書き換え情報のダウンロードを、たとえば記憶媒体または通信を介して実行する。書き換え情報と共に、必要に応じて、書き換えのための実行プログラムをダウンロードすることができる。ダウンロードされた書き換え情報は、前述したように、実行制御装置10gのメモリに記憶される。
ステップS18において、ダウンロードが正常に終了したかどうかを判断する。正常に終了しなかったならば、当該プロセスを抜ける。正常に終了したならば、ステップS19に進み、実行制御装置10gは、書き換え実行待ち状態に移行する(実行待ち状態フラグの値を1にセット)。こうして、実行待ち状態フラグが値1である間は、ステップS16の判断はYesとなり、同じ書き換え情報のダウンロードの繰り返しを回避することができる。たとえば、実行待ち状態フラグの値が1である間にイグニションがオフされて、その後再びイグニションがオンされた場合、ステップS16の判断はYesとなり、ダウンロードは行われない。
ステップS20において、対象制御装置10aにおける書き換えが正常に終了した時点で値1にセットされる正常終了状態フラグ(後述されるステップS56、S73を参照)を調べ、対象制御装置10aが正常終了状態かどうかを判断する。書き換えが未だ開始されていない間は、このフラグはゼロであるので、ステップS21に進む。ステップS21において、対象制御装置10aにおける書き換えが実行中の時に値1にセットされる書き換え実行状態フラグ(後述されるステップS70を参照)を調べ、対象制御装置10aにおける書き換えが実行中かどうかを判断する。書き換えが未だ開始されていない間は、このフラグはゼロであるので、ステップS22に進む。ステップS22において、実行制御装置10gによる書き換えが乗員によって許可された時に値1がセットされる書き換え許可状態フラグ(後述されるステップS36を参照)を調べ、実行制御装置10gが書き換え許可状態かどうかを判断する。書き換えがまだ許可されていない場合、ステップS31(図9)に進む。
ステップS31において、実行制御装置10gは対象制御装置10aに対し、車載LAN16を介して、所定の信号を用い、次のイグニションオフの状態で書き換えを実施することを通知する。対象制御装置10aは、この通知に応答して、書き換えを受け付けるかどうかを示す応答を返す。ステップS32において、対象制御装置10aからの該応答を受け取り、これが、書き換えが受け付けられたことを示す肯定応答ならば、対象制御装置10aは書き換え待ち状態に移行したと判定し、ステップS34に進む。他方、書き換えが受け付けられないことを示す否定応答ならば、ステップS37において、実行制御装置10gは、書き換え不許可状態に移行し(書き換え許可状態フラグをゼロに維持)、当該プロセスを抜ける。
ステップS34において、乗員に対し、次のイグニションオフによって、対象制御装置10aの書き換えを実行することを通知し、乗員に対し、この書き換え実行に対して許可するかどうかの指示を促す。乗員は、たとえば表示装置の画面上に表示される所定の許可(OK)または不許可(NG)のボタンを選択することにより、実行制御装置10gに対し、許可または不許可を指示することができる。こうして、乗員は、書き換え実行について、自己の都合に合わせて許可または不許可を選択することができる。この通知とともに、前述したように、書き換えに要する時間を知らせるのが好ましい。これにより、乗員は、該書き換え時間を考慮して、許可または不許可を選択することができる。さらに、この通知と共に、乗員に対する注意事項等を知らせるようにしてもよい。たとえば、書き換えが終了するまではイグニションをオンにしないよう注意を促すことができる。
ステップS35において、乗員からの指示が許可を示すならば、実行制御装置10gは書き換え許可状態に移行し(書き換え許可状態フラグに値1をセット)、当該プロセスを抜ける。他方、ステップS35において、乗員からの指示が不許可を示すならば、実行制御装置10gは、書き換え不許可状態に移行し(書き換え許可状態フラグをゼロに維持)、当該プロセスを抜ける。
なお、後述するように、不許可状態のままイグニションがオフされても書き換え処理は開始されない(図10参照)。書き換え処理が開始されることなく再びイグニションがオンにされると、ステップS34において再び乗員に書き換えの通知が行われ、乗員からの許可または不許可の指示を受け取る。許可の指示を受け取ったならば、ステップS36に進んで許可状態に移行し、その後のイグニションオフ状態で実行されるIGOFF処理(図10)において、書き換え処理が開始される。このように、乗員から許可の指示を受け取るまで、イグニションがオンされるたびに乗員に対して許可を求めるようにするのが好ましい。
なお、許可状態のままイグニションのオフおよびオンが瞬間的になされると、書き換え処理が開始されることなく当該プロセス(IGON処理)が再び開始されることがありうる。このとき、一旦許可状態に移行していれば、ステップS22の判断はYesとなり、当該プロセスを抜ける。こうして、乗員から許可を一旦受けたならば、再び乗員に問い合わせることはないので、乗員の煩雑さを低減することができる。
こうして、許可状態に移行した後でイグニションがオフにされたならば、書き換えが実行される(図10を参照して後述)。その後、再びイグニションがオンにされたとき、IGON処理が開始する。ステップS20において、対象制御装置10aの書き換えが正常終了であるときに値1にセットされる正常終了状態フラグ(後述されるステップS56、S73を参照)を調べ、対象制御装置10aが正常終了状態にあるかどうかを判断する。正常終了状態にあれば、ステップS41(図9)に進む。
ステップS41は、通信機器による無線通信を介して所定のコンピュータ(たとえば、サーバ)から書き換え情報を受信した場合に実行され、対象制御装置10aの書き換えが終了してバージョンアップが完了したことを該コンピュータに送信する。こうすることにより、該コンピュータは、対象制御装置10aに書き込まれた当該書き換え情報を再び送信する必要がないことを認識すると共に、対象制御装置10aに次に送信すべきバージョンを識別することが可能となる。記憶媒体を介して書き換え情報を取り込んだ場合には、ステップS41はスキップされる。
ステップS42において、書き換え処理が正常に終了したので、ステップS11を参照して述べた書き換え情報存在フラグをゼロにリセット(初期化)し、新しい書き換え情報は存在しない(「なし」)とする。ステップ43において、実行制御装置10gの状態は、新しい書き換え情報を待つ書き換え情報待ち状態に初期化される。これに伴い、すべてのフラグがゼロに初期化される。ステップS44において、乗員に対し、書き換えが正常に終了したことを通知する。こうして、書き換えが正常終了した後にイグニションがオンにされたとき、乗員には該書き換えの正常終了が知らされる。
なお、イグニションがオフされて書き換え処理の実行中に、乗員によってイグニションがオンにされることがありうる。イグニションがオンにされると、図8および図9の当該プロセス(IGON処理)が開始される。この場合、書き換え実行状態フラグの値が1であるので、ステップS21の判断はYesとなる。ステップS51(図9)に進み、書き換え処理を続行するための処理を実行する。
この実施例では、イグニションがオンにされることに応じて、複数の制御装置は、相互に通信して動作を監視し、故障かどうかを判定する故障検知処理を行うよう構成されている。図1の例では、たとえば、対象制御装置10aに対し、他の制御装置10b〜fが信号を送信して該対象制御装置10aから応答があるかどうかを判断し、応答が無ければ対象制御装置10aは異常と判断する故障検知処理が実行される。しかしながら、対象制御装置10aは書き換え中であるため、応答することができない。したがって、このような故障検知処理を行うと、対象制御装置10aについて、故障していると誤って判断されるおそれがある。これを回避するため、ステップS51において、実行制御装置10gは、他の制御装置10b〜fに対し、対象制御装置10aに対する該故障検知処理を停止するよう指示する。
ステップS52において、乗員に対し、対象制御装置10aは書き換えの最中であって正常に動作しないことを通知し、乗員に対し、車両に対する操作(たとえば、ハンドルやアクセル、ブレーキペダル等の操作)を待つよう要求する。代替的に、イグニションオフを促すようにしてもよい。イグニションをオフにすることにより、消費電力を低減することができる。イグニションがオフされると、後述する図10のIGOFF処理が実行され、この中で書き換え処理は継続される。
ステップS53において、対象制御装置10aについて、書き換え実行中であることを示す書き換え実行状態を維持する(書き換え実行状態フラグの値は1)。ステップS54において、実行制御装置10gは、対象制御装置10aに対し、書き換え情報を送信して、書き換え処理を継続するよう指示する。この実施例では、書き換え情報は、所定のデーブロック(たとえば、128バイトのブロック)に分割され、該所定のデータブロック単位で、車載LAN16を介して対象制御装置10aに送信される。対象制御装置10aは、受信したデータブロックで、自己の不揮発性メモリを書き換える。したがって、実行制御装置10gは、後述するイグニションオフ時の書き換え処理(図11のIGOFF処理)に続くように、対象制御装置10aに未だ送信していないデータブロックを対象制御装置10aに送信し、対象制御装置10aは、受け取ったデータブロックで、自己のメモリを書き換える。
ステップS55において、対象制御装置10aにおける書き換えが正常に終了したかどうかを判定する。たとえば、実行制御装置10gは、書き換え情報の最後のデータブロックを送信した後、対象制御装置10aから、該データブロックの書き換えを終了したとの応答を受け取ったならば、正常終了したと判定することができる。正常に終了したと判定したならば(Yesの場合)、ステップS56において、対象制御装置10aが正常終了状態に移行したと判定する(正常終了状態フラグに値1をセット)。こうして、次に当該プロセスが実行されるときには、ステップS20の判断がYesとなり、ステップS41〜S44が実行されることとなる。
ステップS55において、書き換えが正常に終了しなかったと判定したならば(Noの場合)、ステップS57において、対象制御装置10aが異常状態に移行したと判定する(異常状態フラグに値1をセット)。このような異常状態は、実行制御装置10gの書き換え手順は正常だが、対象制御装置10aが書き換えを正常に終了できない場合や、書き換え中に何らかの通信異常が発生して書き換えを続行することができない場合等に起因して生じる。こうして、異常状態と判定されたならば、次に当該プロセスを実行するとき、ステップS12の判断はYesとなり、乗員に対して異常が通知される。
図8、9において、点線のボックスA〜Dで囲まれる処理は、他の装置との通信または乗員との対話を含んでおり、好ましくは、イグニションのオフとオンの間の遷移にかかわらず継続される処理を示す。このような継続性により、実行制御装置10gの該他の装置や乗員とのやりとりを円滑にすることができる。以下、各ボックスA〜Dについて簡単に述べる。
ボックスAおよびDについては、通信機器による通信や記憶媒体のドライブによる読み込み動作の冗長性を回避するためである。ボックスAの場合、ステップS17のダウンロードを終えてからボックスAの処理を完了するまでの間にイグニションがオフされると、通信機器による通信は正常に終了していても、実行制御装置10gが書き換え実行待ち状態に移行していない状態が生じうる。このような状態でイグニションが再びオンされると、ステップS16の判断がNoとなるので、ダウンロードが再度行われるおそれがある。このような冗長性を回避するため、ステップS17でダウンロードを終えたならば、たとえその後のボックスAの処理を終えるまでの間にイグニションがオフされても、ステップS18およびS19は実行される。これにより、イグニションがその後オンされたときにはステップS16の判断がYesとなるので、再度のダウンロードを回避することができる。
ボックスDについても同様であり、ステップS41では、通信機器を介してバージョンアップ完了の送信が行われるが、その後にボックスDの処理が完了するまでの間にイグニションがオフされると、実行制御装置10gは書き換え情報待ちの状態に移行していない状態が生じうる。このような状態でイグニションが再びオンされると、該バージョンアップ完了の送信が再び行われるおそれがある。このような冗長性を回避するため、ステップS41でバージョンアップ完了の送信を終えたならば、たとえその後のボックスDの処理を終えるまでの間にイグニションがオフされても、ステップS42およびS43は実行される。これにより、イグニションがその後オンされたときにはステップS11の判断はNoとなるので、再度のバージョンアップ送信は行われない。
ボックスBは、実行制御装置10gと対象制御装置10aとの通信を円滑にするために設けられている。ステップS55の正常終了判定は、前述したように、ステップS54の書き換えが終了する際に対象制御装置10aが出す応答を受け取って行うものであるが、対象制御装置10aが該応答を出してから、ボックスBの処理を完了するまでの間にイグニションがオフされると、対象制御装置10aは、応答を返したにもかかわらず、実行制御装置10gによって正常終了状態に遷移したと判断されないおそれがある。これは、応答を無駄にするものとなり、また、実行制御装置10gは、対象制御装置10aの状態を明瞭に認識することができないので、その後の処理を正常に続行することができないおそれがある。したがって、この実施例では、ステップS54を終えてから、ボックスBの処理を終えるまでの間にイグニションがオフされても、ボックスB中のステップを実行する。
なお、対象制御装置10aが書き換えを終了して上記のような応答を出す直前に、イグニションがオフされる場合もありうる。この場合には、実行制御装置10gは、応答時間(たとえば、対象制御装置10aに最後のデータブロックを送信してから、その書き換え処理の終了を示す応答を受け取るまでの時間)を計測し、これが所定時間以上経過したことに応じてタイムアウトと判定し、ステップS55の判断を行うことなくIGON処理を終了することができる。
ボックスCについては、乗員との対話を円滑にするために設けられている。ステップS35では、ステップS34に応じて乗員が出した指示の内容を判断するが、乗員が指示を出してから、ボックスCの処理が完了するまでの間にイグニションがオフされると、実行制御装置10gは書き換え許可状態に移行していない状態が生じうる。このような状態でイグニションが再びオンされると、乗員への指示を再び促すおそれがある。このような冗長性を回避するため、ステップS34で乗員への通知を行ったならば、たとえその後のボックスCの処理を終えるまでの間にイグニションがオフされても、ステップS35およびS36は実行される。これにより、イグニションがその後オンされたときにはステップS12またはステップS22の判断がYesとなるので、ステップS34の乗員への通知処理は行われない。
なお、ステップS34に応じて乗員が指示を出す前にイグニションがオフされる場合もありうる。この場合には、実行制御装置10gは、S34の通知を出してからの応答時間を計測し、これが所定時間以上経過したことに応じてタイムアウトと判定し、ステップS35の判断を行うことなくIGON処理を終了することができる。
図10を参照して、図4および図5を参照して説明したイグニションがオフされている状態において実行制御装置10gのCPUによって実行されるプロセス(IGOFF処理)の詳細を説明する。IGOFF処理は、実行制御装置10gが待機状態から稼動状態に移行した後に、実行制御装置10gによって起動される。その後、後述するステップS62、S65、S76においてIGOFF処理が停止されるまで、繰り返し実行される。
ステップS60において、異常状態フラグを調べることにより、対象物制御装置10aが異常状態かどうかを判断する。このフラグは、図9のステップS57または後述のステップS75において異常と判定されたならば値1にセットされる。異常状態にあれば(Yesの場合)、実行制御装置10gは、ステップS61において、停止状態に移行した後も記憶内容が保持されるように、異常状態フラグの値1をバックアップ用RAMに記憶する。ステップS62において当該プロセス(IGOFF処理)を停止するとともに、自己のメイン電源をオフ(遮断)する。前述したように、自己のメインリレーのスイッチを開くことにより、メイン電源を遮断することができる。
こうして、対象制御装置10aが異常であるときには書き換えを実行することができないので、実行制御装置10gは書き換えを停止して停止状態に入る。対象制御装置10aについても、停止状態に入るようにするのがよい。これは、対象制御装置10aが自己のメイン電源をオフすることによって行うようにしてもよいし、対象制御装置10aが、何らかの異常で自己のメイン電源をオフにすることができない場合も考えられるので、たとえば実行制御装置10gが対象制御装置10aのメイン電源を強制的にオフするようにしてもよい。代替的に、各制御装置のメイン電源を強制的にオフする機構を設け、この機構を用いて対象制御装置10aのメイン電源をオフするようにしてもよい。
ステップS60において対象制御装置10aが異常状態ではないと判断されれば(Noの場合)、ステップS63において、通信異常フラグ(後述するステップS85を参照)を調べることにより、車載LAN16の通信が異常かどうかを判断する。異常であるならば(Yesの場合)、ステップS64において、停止状態に移行した後も記憶内容が保持されるように、通信異常フラグの値1をバックアップ用RAMに記憶する。ステップS65において、当該プロセスを停止して、自己のメイン電源をオフにする。
このように、記憶された対象制御装置10aの異常状態および車載LANによる通信の異常は、次にイグニションがオンされて実行されるIGON処理で用いられ、ここでステップS12およびS14の判断がYesとなり、ステップS13およびS15において乗員に対し、これらの異常を通知することができる。なお、乗員に通知した後、値1にセットされた通信異常フラグまたは異常状態フラグをゼロに初期化して、書き換え処理の実行を再度試みることができるようにしてもよい。
ステップS63において通信が異常でないならば(Noの場合)、ステップS66において、実行状態フラグを調べることにより、対象制御装置10aが書き換え実行中かどうかを判断する。書き換えがまだ開始されていない時は、この判断はNoであるので、ステップS67に進む。
ステップS67およびS68において、それぞれ、実行制御装置10gは、実行待ち状態フラグおよび書き換え許可状態フラグを調べることにより、書き換え実行待ち状態にあるかどうか、および書き換え許可状態にあるかどうかを調べる。これらのフラグは、それぞれ、ステップS19(図8)およびS36(図9)において値1にセットされる。これらの判断のいずれかがNoであれば、当該プロセスを抜ける。これらの判断の両方がYesであれば、ステップS69に進む。こうして、イグニションがオンされている間に実行制御装置10gが書き換え情報を取り込み、かつ書き換え許可状態になっている場合に、書き換えを開始するようにする。
ステップS69において、対象制御装置10a以外の他の制御装置10b〜fに対し、所定の信号を送信して、応答があるかどうかを調べる。これは、これらの制御装置10b〜fの後処理が確実に終了しているかどうかを調べるための処理である。すなわち、いずれかの制御装置で後処理が実行されている間に書き換えを開始すると、該後処理および(または)書き換えに何らかの影響が出るおそれがある。たとえば、制御装置10b〜fが自己の後処理において車載LANを介して通信している場合があり、このような通信中に書き換え処理を開始すると、これらの後処理が妨げられるだけでなく、書き換え処理が遅延するおそれがある。このような現象を回避するため、ステップS69の判断を介して、制御装置10b〜fが後処理を終えて停止状態になるのを待つ。
ステップS69において、いずれかの制御装置からの応答があれば(Yesの場合)、後処理が終わっていないことを示すので、当該プロセスを抜ける。いずれの制御装置からも応答がなければ(Noの場合)、すべての制御装置が停止状態に入ったことを示す。ステップS70に進み、対象制御装置10aが書き換え実行状態に移行したと判定する(実行状態フラグの値を1にセット)。ステップS71において、実行制御装置10gは、対象制御装置10aに対して書き換え情報を車載LAN16を介して送信し、書き換え処理を実行するよう指示する。
前述したように、この実施例では、書き換え情報は、所定のデーブロックに分割され、該所定のデータブロック単位で対象制御装置10aに送信される。対象制御装置10aは、受信したデータブロックで、自己の不揮発性メモリを書き換える。
なお、ステップS71において書き換えが実行されている最中に、イグニションのオンおよびオフが瞬間的に行われると、当該プロセス(IGOFF処理)が再び実行される。この場合、ステップS66の判断がYesとなり、ステップS71において、書き換え処理が継続される。
ステップS72は、ステップS55(図9)と同様の処理であり、対象制御装置10aの書き換えが正常に終了したかどうかを判定し、正常終了と判定したならば(Yesの場合)、ステップS73において、対象制御装置10aは、正常終了状態に移行したと判定する(正常終了状態フラグの値を1にセット)。この判定結果は、停止状態に移行した後も記憶内容が保持されるバックアップ用RAMに記憶される。
書き換えが終了したので、ステップS74において、実行制御装置10gは、当該プロセスを停止すると共に、自己のメイン電源をオフにし停止状態に移行する。図示していないが、対象制御装置10aも同様に、自己のメイン電源をオフにして停止状態に移行する。これは、実行制御装置10gからの何らかの信号に応答してメイン電源をオフしてもよいし、書き換え処理の終了から所定時間経過後に自己のメイン電源をオフしてもよい。
ステップS72において正常終了と判定しなければ(Noの場合)、ステップS75に進む。ステップS75は、ステップS57(図9)と同様の処理であり、対象制御装置10aが異常状態に移行したと判定する(異常状態フラグの値を1にセット)。この判定結果は、停止状態に移行した後も記憶内容が保持されるバックアップ用RAMに記憶される。ステップS76において、実行制御装置10gは、当該プロセスを停止すると共に、自己のメイン電源をオフにして停止状態に移行する。対象制御装置10aも同様に、自己のメイン電源をオフして停止状態に移行する。対象制御装置10aについては、何らかの異常で自己のメイン電源をオフにすることができない場合も考えられるので、ステップS62の所で述べたように、たとえば実行制御装置10gにより、または他の機構を用いて、対象制御装置10aのメイン電源を強制的にオフするようにしてもよい。
前述したように、当該プロセスの実行中に、乗員によってイグニションがオンされることがありうる。この場合、図8および図9を参照して説明したように、対象制御装置10aが書き換え実行状態にあれば、ステップS51〜S57が実行され、これにより、イグニションがオフからオンに遷移しても、書き換え処理は継続される。その後、再びイグニションがオフされることもありうる。この場合、図10のステップS66の判断がYesとなり、ステップS71〜S76が実行され、これにより、イグニションがオンからオフに遷移しても、書き換え処理は継続される。こうして、書き換えの最中にイグニションのオンとオフの間の遷移が生じても、書き換え処理は継続されるので、書き換えをより効率的に行うことができる。
図10の点線のボックスBは、図9の点線のボックスBと同様であるので、説明を省略する。
図11は、イグニションがオフされた後に実行制御装置10gが低消費電力モードで動作する待機状態にあるときに、該実行制御装置10gのCPUによって実行されるプロセス(待機処理)の詳細である。このプロセスは、図6(a)に従うプロセスであり、前述したように、実行制御装置10gが対象制御装置10aを監視することにより、書き換え処理(IGOFF処理)を開始するタイミングを見極める。このプロセスは、間欠的に実行され、たとえば、所定の時間間隔で実行されることができる。
ステップS81において、対象制御装置10aに対して後処理が終了したかどうかを確認するために送信した監視信号に対し、対象制御装置10aから応答があるかどうかを調べる。応答があったならば(Yesの場合)、ステップS82において、該応答の内容を調べ、後処理が終了したかどうかを判断する。まだ処理中であれば(Noの場合)、当該プロセス(待機処理)を抜ける。後処理が終了したならば(Yesの場合)、ステップS83において当該プロセスを停止すると共に、メイン電源をオンにして稼動状態に移行する。こうして、後処理が終了することによって対象制御装置10aは書き換えが可能な状態となるので、待機状態から稼動状態に移行し、これにより、図10のIGOFF処理の実行に移る。
ステップS81において応答がなければ(Noの場合)、ステップS84において、該監視信号の送信から所定時間が経過したかどうかを調べる。所定時間が経過していなければ(Noの場合)、実行制御装置10gは、応答を待つため当該プロセスを抜ける。所定時間が経過していれば(Yesの場合)、ステップS85において、車載LAN16の通信に何らかの異常が生じたと判定する(通信異常フラグに値1をセット)。ステップS83において、当該プロセスを停止すると共に、自己のメイン電源をオンにして稼動状態に移行する。ここでメイン電源をオンにするのは、図7を参照して説明したように、図10のIGOFF処理を実行するためである。IGOFF処理を実行すると、ステップS63の判断がYesとなり、ステップS64において通信異常の状態が記憶され、ステップS65においてメイン電源が遮断されて停止状態に移行する。その後、イグニションがオンされたときには、図8のIGON処理が実行され、通信異常フラグの値1が保持されているのでステップS14の判断がYesとなり、ステップS15において乗員に対し通信異常を知らせることができる。こうして、通信異常等の予期せぬ異常が生じた場合には、該異常を記憶した状態で停止状態に入る。なお、対象制御装置10aについても、図7を参照して説明したように、たとえば後処理を終了してから所定時間が経過するまでに、実行制御装置10gから書き換えの指示(図10のステップS71)がなければ、自己のメイン電源を強制的にオフして停止状態に入る。
図7を参照して前述したように、代替的に、実行制御装置10gは、ステップS85において通信異常と判定した後、ステップS83を実行することなく、待機処理を停止すると共に、メイン電源をオフにしたまま停止状態に移行してもよい。この場合、ステップS85において、通信異常フラグの値1は、停止状態においても保持されるように、バックアップ用RAMに記憶される。こうして、その後にイグニションがオンされた時には、保持された通信異常フラグの値が1であるので、ステップS14の判断がYesとなり、ステップS15において、乗員に対して通信異常が通知される。
以上のように、この発明の特定の実施形態について説明したが、本願発明は、これら実施形態に限定されるものではない。
10a〜10g 制御ユニット
10a 書き換え対象制御ユニット
10g 書き換え実行制御ユニット
12 メイン電源ライン
14 バッテリ
16 車載LAN

Claims (9)

  1. 車両に設けられ、複数の制御装置のうちの書き換え対象となる制御装置に記憶されている情報を書き換えるための書き換えシステムであって、
    前記複数の制御装置のうちの一つであって、前記車両のイグニションがオンの状態において、記憶媒体または通信を介して書き換え情報を取り込み、前記複数の制御装置のうちの前記書き換え対象となる制御装置を特定し、該特定された制御装置に対して書き換え対象である旨の通知を行うよう構成された書き換え実行制御装置と、
    前記車両のイグニションがオフされたことを検出する手段と、を備え、
    前記イグニションのオフの検出に応じて、前記書き換え対象となる制御装置および前記書き換え実行制御装置以外の制御装置は、自己のメイン電源を遮断して動作が停止する停止状態に移行すると共に、前記書き換え実行制御装置は、前記書き換え対象となる制御装置が書き換え可能な状態になったことに応じて、前記取り込んだ書き換え情報によって前記書き換え対象となる制御装置への書き換えを実行する、
    書き換えシステム。
  2. 前記イグニションのオフの検出に応じて、前記書き換え実行制御装置は、低消費電力で動作する待機状態に移行し、該待機状態にある間、前記書き換え実行制御装置は、前記書き換え対象となる制御装置が前記書き換え可能な状態になったかどうかを監視し、該書き換え可能な状態になったとの判断に応じて、前記待機状態から、通常の消費電力で動作する稼動状態に移行して、前記書き換えを開始する、
    請求項1に記載の制御装置。
  3. 前記イグニションのオフの検出に応じて、前記書き換え実行制御装置は、低消費電力で動作する待機状態に移行し、
    前記書き換え対象となる制御装置は、前記書き換え可能な状態になったならば、前記書き換え実行制御装置に所定の通知を行い、前記書き換え実行制御装置は、該通知に応じて、前記待機状態から、通常の消費電力で動作する稼動状態に移行して、前記書き換えを開始する、
    請求項1に記載の制御装置。
  4. 前記書き換え実行制御装置は、前記書き換えを終了した後、自己のメイン電源を遮断にする、
    請求項1から3のいずれかに記載の書き換えシステム。
  5. 前記書き換え対象となる制御装置は、前記書き換えを終了した後、自己のメイン電源を遮断にする、
    請求項1から4のいずれかに記載の書き換えシステム。
  6. 前記書き換え実行制御装置は、前記書き換えを許可するか否かについての通知を乗員に発行し、乗員によって書き換えが許可されたことに応じて、前記書き換えを実行する、
    請求項1から5のいずれかに記載の書き換えシステム。
  7. 前記書き換え実行制御装置は、前記書き換えに要する時間を乗員に通知する、
    請求項1から6のいずれかに記載の書き換えシステム。
  8. 前記書き換えが実行されている最中に、前記イグニションのオンが検出された場合、前記書き換え対象となる制御装置以外の制御装置に対し、故障検知を停止するよう通知する、
    請求項1から7のいずれかに記載の装置。
  9. 前記書き換えが実行されている最中に、前記イグニションのオンが検出されたならば、該書き換えが実行中である旨の通知を乗員に対して行う、
    請求項1から8のいずれかに記載の装置。
JP2009014354A 2009-01-26 2009-01-26 車両のための書き換えシステム Pending JP2010167997A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009014354A JP2010167997A (ja) 2009-01-26 2009-01-26 車両のための書き換えシステム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009014354A JP2010167997A (ja) 2009-01-26 2009-01-26 車両のための書き換えシステム

Publications (1)

Publication Number Publication Date
JP2010167997A true JP2010167997A (ja) 2010-08-05

Family

ID=42700551

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009014354A Pending JP2010167997A (ja) 2009-01-26 2009-01-26 車両のための書き換えシステム

Country Status (1)

Country Link
JP (1) JP2010167997A (ja)

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012035725A (ja) * 2010-08-06 2012-02-23 Yazaki Corp 電子制御装置及びプログラム書換システム
CN103085733A (zh) * 2011-10-31 2013-05-08 株式会社电装 用于车辆的控制单元
JP2013084143A (ja) * 2011-10-11 2013-05-09 Denso Corp 車載通信機
JP2015232815A (ja) * 2014-06-10 2015-12-24 カルソニックカンセイ株式会社 車載プログラムのアップデート装置
JP2016035725A (ja) * 2014-08-05 2016-03-17 本田技研工業株式会社 車両用制御装置
JP2017027549A (ja) * 2015-07-28 2017-02-02 矢崎総業株式会社 ソフトウェア更新装置及びソフトウェア更新システム
JP2018036745A (ja) * 2016-08-30 2018-03-08 コベルコ建機株式会社 ソフトウェアの更新装置及びソフトウェアの更新方法
WO2019146169A1 (ja) * 2018-01-26 2019-08-01 住友電気工業株式会社 制御装置、制御方法、およびコンピュータプログラム
JP2020017220A (ja) * 2018-07-27 2020-01-30 株式会社デンソーテン 更新制御装置、電子装置、更新システムおよび更新制御方法
WO2020032116A1 (ja) * 2018-08-10 2020-02-13 株式会社デンソー 車両用マスタ装置、セキュリティアクセス鍵の管理方法、セキュリティアクセス鍵の管理プログラム及び諸元データのデータ構造
JP2020028120A (ja) * 2018-08-10 2020-02-20 株式会社デンソー 車両用マスタ装置、セキュリティアクセス鍵の管理方法、セキュリティアクセス鍵の管理プログラム及び諸元データのデータ構造
JP2020164113A (ja) * 2019-03-29 2020-10-08 マツダ株式会社 自動車用演算装置
WO2021075361A1 (ja) * 2019-10-18 2021-04-22 日立Astemo株式会社 冗長系システム及び負荷駆動制御装置
CN113353004A (zh) * 2021-06-01 2021-09-07 新石器慧通(北京)科技有限公司 支持车辆vcu后台远程升级的电源控制电路、方法和无人车
WO2022113597A1 (ja) 2020-11-27 2022-06-02 株式会社クボタ 情報更新システム

Cited By (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012035725A (ja) * 2010-08-06 2012-02-23 Yazaki Corp 電子制御装置及びプログラム書換システム
JP2013084143A (ja) * 2011-10-11 2013-05-09 Denso Corp 車載通信機
CN103085733A (zh) * 2011-10-31 2013-05-08 株式会社电装 用于车辆的控制单元
JP2013095238A (ja) * 2011-10-31 2013-05-20 Denso Corp 車両用制御装置
US9328711B2 (en) 2011-10-31 2016-05-03 Denso Corporation Control unit for vehicle
JP2015232815A (ja) * 2014-06-10 2015-12-24 カルソニックカンセイ株式会社 車載プログラムのアップデート装置
JP2016035725A (ja) * 2014-08-05 2016-03-17 本田技研工業株式会社 車両用制御装置
JP2017027549A (ja) * 2015-07-28 2017-02-02 矢崎総業株式会社 ソフトウェア更新装置及びソフトウェア更新システム
JP2018036745A (ja) * 2016-08-30 2018-03-08 コベルコ建機株式会社 ソフトウェアの更新装置及びソフトウェアの更新方法
WO2019146169A1 (ja) * 2018-01-26 2019-08-01 住友電気工業株式会社 制御装置、制御方法、およびコンピュータプログラム
JP2020017220A (ja) * 2018-07-27 2020-01-30 株式会社デンソーテン 更新制御装置、電子装置、更新システムおよび更新制御方法
JP7221604B2 (ja) 2018-07-27 2023-02-14 株式会社デンソーテン 制御システムおよび制御システムの制御方法
JP2020028120A (ja) * 2018-08-10 2020-02-20 株式会社デンソー 車両用マスタ装置、セキュリティアクセス鍵の管理方法、セキュリティアクセス鍵の管理プログラム及び諸元データのデータ構造
CN112640358A (zh) * 2018-08-10 2021-04-09 株式会社电装 车辆用主装置、安全访问密钥的管理方法、安全访问密钥的管理程序以及规格数据的数据结构
JP7111074B2 (ja) 2018-08-10 2022-08-02 株式会社デンソー 車両用マスタ装置、セキュリティアクセス鍵の管理方法、セキュリティアクセス鍵の管理プログラム及び車両用電子制御システム
WO2020032116A1 (ja) * 2018-08-10 2020-02-13 株式会社デンソー 車両用マスタ装置、セキュリティアクセス鍵の管理方法、セキュリティアクセス鍵の管理プログラム及び諸元データのデータ構造
JP2020164113A (ja) * 2019-03-29 2020-10-08 マツダ株式会社 自動車用演算装置
WO2020203023A1 (ja) * 2019-03-29 2020-10-08 マツダ株式会社 自動車用演算装置
JP7238547B2 (ja) 2019-03-29 2023-03-14 マツダ株式会社 自動車用演算装置
WO2021075361A1 (ja) * 2019-10-18 2021-04-22 日立Astemo株式会社 冗長系システム及び負荷駆動制御装置
JPWO2021075361A1 (ja) * 2019-10-18 2021-04-22
JP7312268B2 (ja) 2019-10-18 2023-07-20 日立Astemo株式会社 冗長系システム及び負荷駆動制御装置
WO2022113597A1 (ja) 2020-11-27 2022-06-02 株式会社クボタ 情報更新システム
CN113353004A (zh) * 2021-06-01 2021-09-07 新石器慧通(北京)科技有限公司 支持车辆vcu后台远程升级的电源控制电路、方法和无人车

Similar Documents

Publication Publication Date Title
JP2010167997A (ja) 車両のための書き換えシステム
JP5629927B2 (ja) 車載機のオンライン更新方法
CN107402847B (zh) 一种整车控制器软件的远程升级方法及系统
JP4809418B2 (ja) ソフトウェア更新装置およびソフトウェア更新方法
JP6332580B1 (ja) 制御装置、プログラム更新方法、およびコンピュータプログラム
KR100545131B1 (ko) 제어시스템
US7343239B2 (en) Program rewriting system and program rewriting method
WO2012056773A1 (ja) 車両用プログラム書換えシステム
JP6465258B1 (ja) 制御装置、制御方法、およびコンピュータプログラム
CN113335208B (zh) 倒车影像下线配置方法、系统、存储介质及计算机设备
US11928459B2 (en) Electronic control unit, retry point specifying method and computer program product for specifying retry point
JP4706778B2 (ja) 電子制御装置、及び車両制御システム
CN113189907A (zh) 一种车载系统恢复方法和装置
JP2001123874A (ja) 電子制御装置のプログラム書換システム及びメモリ書換装置
JP2006202117A (ja) 処理装置およびそのファームウェアダウンロード方法。
JP2020021506A (ja) 電子制御装置及びセッション確立プログラム
JP5551045B2 (ja) 車両用プログラム書換えシステム
JP2003172199A (ja) 車両用電子制御装置のプログラム書き換えシステム
JP2007316800A (ja) 車載プログラム書換え制御装置
JP2008265618A (ja) 車載電子制御装置
JP2005088779A (ja) 車載情報端末
JP2005078324A (ja) プログラム書込装置,プログラム書込システム,送信装置およびプログラム
CN116126368A (zh) 整车ota升级方法、装置、电子设备及车辆
JP2004151021A (ja) 車両用故障診断装置
JP2024129478A (ja) 車両用の情報処理装置、及び車両用のプログラム