JP2014118071A - Vehicular information processing device and program update method - Google Patents
Vehicular information processing device and program update method Download PDFInfo
- Publication number
- JP2014118071A JP2014118071A JP2012275725A JP2012275725A JP2014118071A JP 2014118071 A JP2014118071 A JP 2014118071A JP 2012275725 A JP2012275725 A JP 2012275725A JP 2012275725 A JP2012275725 A JP 2012275725A JP 2014118071 A JP2014118071 A JP 2014118071A
- Authority
- JP
- Japan
- Prior art keywords
- program
- security
- vehicle
- update
- updated
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は、車載制御装置が用いるプログラムの更新技術に関するものである。 The present invention relates to a program update technique used by an in-vehicle control device.
CAN等の車載ネットワークにおいては各種ECUが機能に応じたプログラムを実行しており、当該プログラムを車両と無線通信を行うサービスセンターから配信される更新プログラムや、サービスステーション等で有線により車両に供給される更新プログラムに書き換えるシステムが存在する。車両走行中はプログラムを実行している最中のECUが多いことから、斯かるプログラム更新(リプログラミング)を車両停止状態、すなわちイグニション・オフ状態かつ車両電源のオン状態で行うことや走行に支障の無いようなプログラム更新方法が検討されている。 In an in-vehicle network such as CAN, various ECUs execute programs according to functions, and the programs are supplied to vehicles by an update program distributed from a service center that performs wireless communication with the vehicle or by a service station or the like. There is a system that rewrites the update program. Since many ECUs are executing programs while the vehicle is running, such program updates (reprogramming) can be performed when the vehicle is stopped, that is, when the ignition is off and the vehicle power is on, and there is an obstacle to running. Program update methods that do not have a problem are being studied.
特許文献1には、車載装置がエンジンの停止状態を検知するとセンターサーバより車載装置の更新プログラムを受信してプログラムの更新を行い、その後に車両電源を遮断することが記載されている。特許文献2には、車両ネットワークに接続されたメンテナンス専用のサービス端末から、車両診断を経て車両に搭載されるブレーキ制御システムの制御プログラムに対する書換え要求があった場合に、統合制御装置が車両を停止状態にするための制動指示を行った後、更新プログラムをダウンロードして書換え対象の制御装置に転送し、書換えを行わせることが記載されている。特許文献3には、車両走行中に制御ユニットによる制御処理が行われるか否かを確認し、制御処理が行われない場合に当該制御ユニットのプログラム更新を行う車両制御装置が記載されている。
Patent Document 1 describes that when an in-vehicle device detects a stop state of an engine, an in-vehicle device update program is received from a center server, the program is updated, and then the vehicle power supply is shut off. In
上述した従来のプログラム更新制御によれば、エンジン停止中や車両走行中の都合の良いタイミングでプログラム更新を行うので、車両走行中にプログラムの更新が行われることによって車両の走行に影響を与えてしまう、という問題を防ぐことができる。しかしながら、セキュリティ系プログラムの更新を、車両がエンジンを停止することや車両がパーキング状態でエンジンを動作させることのみを条件として実行しようとする場合には、セキュリティプログラムが実行されないため盗難防止装置が機能しないこととなる。従って、プログラム更新中に盗難の虞が生じる。 According to the conventional program update control described above, the program update is performed at a convenient timing while the engine is stopped or while the vehicle is running. Can be prevented. However, if the security program is to be updated only on condition that the vehicle stops the engine or the vehicle operates the engine in the parking state, the security program is not executed and the anti-theft device functions. Will not. Therefore, there is a risk of theft during program update.
本発明は、斯かる従来の問題点に鑑みてなされたものであり、車両がエンジン停止中やパーキング状態であっても盗難防止機能が発揮された状態でセキュリティ系プログラムの更新を行うことのできる車両用情報処理装置、およびプログラム更新方法を提供するものである。 The present invention has been made in view of such conventional problems, and it is possible to update a security program in a state where the anti-theft function is exhibited even when the vehicle is stopped or parked. An information processing apparatus for a vehicle and a program update method are provided.
本発明の第1の局面は、車両に備えられる制御装置が使用するプログラムの更新を制御する車両用情報処理装置であって、セキュリティ系プログラムの更新が可能であることを示す情報が車両に与えられた場合に、走行系装置と操舵系装置との少なくとも一方の装置が規定のロック状態にあれば前記セキュリティ系プログラムの更新が可能であると判定する一方、前記少なくとも一方の装置が前記規定のロック状態になければ前記セキュリティ系プログラムの更新が可能ではないと判定し、前記セキュリティ系プログラムの更新が可能であると判定した場合に、車両が取得した更新プログラムにより前記セキュリティ系プログラムを更新するよう前記セキュリティ系プログラムを使用する前記制御装置に指示することを特徴とする。 1st aspect of this invention is the information processing apparatus for vehicles which controls the update of the program which the control apparatus with which a vehicle is equipped, Comprising: The information which shows that the update of a security system program is possible is given to a vehicle If at least one of the traveling system device and the steering system device is in a specified lock state, it is determined that the security system program can be updated, while the at least one device is in the specified state. If it is determined that the security system program cannot be updated unless it is in the locked state, and it is determined that the security system program can be updated, the security system program is updated by the update program acquired by the vehicle. An instruction is given to the control device using the security program.
また、本発明の第2の局面は、車両に備えられる制御装置が使用するプログラムの更新を制御する車両用情報処理装置であって、セキュリティ系プログラムの更新が可能であることを示す情報が車両に与えられた場合に、走行系装置と操舵系装置との少なくとも一方の装置が規定のロック状態にあるか否かを検出するロック状態検出部と、前記ロック状態検出部によって前記少なくとも一方の装置が前記規定のロック状態にあることを検出した場合には前記セキュリティ系プログラムの更新が可能であると判定する一方、前記ロック状態検出部によって前記少なくとも一方の装置が前記規定のロック状態にないことを検出した場合には前記セキュリティ系プログラムの更新が可能ではないと判定する更新可否判定部と、前記更新可否判定部が前記セキュリティ系プログラムの更新が可能であると判定した場合に、車両が取得した更新プログラムにより前記セキュリティ系プログラムを更新するよう前記セキュリティ系プログラムを使用する前記制御装置に指示する更新指示部と、を備えていることを特徴とする。 According to a second aspect of the present invention, there is provided a vehicle information processing device that controls updating of a program used by a control device provided in a vehicle, and information indicating that a security program can be updated is stored in the vehicle. A lock state detection unit that detects whether or not at least one of the traveling system device and the steering system device is in a specified locked state, and the at least one device by the lock state detection unit. Is detected as being in the specified lock state, it is determined that the security program can be updated, while the lock state detection unit does not cause the at least one device to be in the specified lock state. An update availability determination unit that determines that the security program cannot be updated, and the update availability determination unit An update instruction unit for instructing the control device using the security program to update the security program by an update program acquired by a vehicle when it is determined that the security program can be updated. It is characterized by having.
また、本発明の第3の局面は、前記第2の局面において、前記更新可否判定部が前記セキュリティ系プログラムの更新が可能ではないと判定した場合に、前記セキュリティ系プログラムの更新を行わないことを特徴とする。 In addition, according to a third aspect of the present invention, in the second aspect, when the update availability determination unit determines that the security program cannot be updated, the security program is not updated. It is characterized by.
また、本発明の第4の局面は、前記第2の局面において、前記更新可否判定部が前記セキュリティ系プログラムの更新が可能でないと判定した場合に、前記少なくとも一方の装置を前記規定のロック状態とする制御の指示を行うロック指示部をさらに備えていることを特徴とする。 In addition, according to a fourth aspect of the present invention, in the second aspect, when the update availability determination unit determines that the security program cannot be updated, the at least one device is placed in the specified lock state. And a lock instructing unit for instructing the control to be performed.
また、本発明の第5の局面は、前記第4の局面において、前記ロック指示部が前記少なくとも一方の装置を前記規定のロック状態とする制御の指示を行ってから、前記更新可否判定部が前記セキュリティ系プログラムの更新が可能でないと判定した後は、前記セキュリティ系プログラムの更新を行わないようにすることを特徴とする。 According to a fifth aspect of the present invention, in the fourth aspect, after the lock instructing unit gives an instruction to control the at least one device to be in the prescribed locked state, the update availability determining unit The security system program is not updated after it is determined that the security system program cannot be updated.
また、本発明の第6の局面は、車両に備えられる制御装置が使用するプログラムの更新を制御するプログラム更新方法であって、セキュリティ系プログラムの更新が可能であることを示す情報が車両に与えられた場合に、走行系装置と操舵系装置との少なくとも一方の装置が規定のロック状態にあるか否かを検出するステップと、前記前記少なくとも一方の装置が前記規定のロック状態にあることを検出した場合には前記セキュリティ系プログラムの更新が可能であると判定する一方、前記少なくとも一方の装置が前記規定のロック状態にないことを検出した場合には前記セキュリティ系プログラムの更新が可能ではないと判定するステップと、前記セキュリティ系プログラムの更新が可能であると判定した場合に、車両が取得した更新プログラムにより前記セキュリティ系プログラムを更新するよう前記セキュリティ系プログラムを使用する前記制御装置に指示するステップと、を含むことを特徴とする。 According to a sixth aspect of the present invention, there is provided a program update method for controlling update of a program used by a control device provided in a vehicle, and information indicating that a security program can be updated is given to the vehicle. A step of detecting whether or not at least one of the traveling system device and the steering system device is in a prescribed locked state, and that the at least one device is in the prescribed locked state. When it is detected, it is determined that the security program can be updated. On the other hand, when it is detected that the at least one device is not in the specified lock state, the security program cannot be updated. And the update program acquired by the vehicle when it is determined that the security program can be updated. Characterized in that it comprises the steps of instructing the control unit to use the security system programmed to update the security-system program by the ram, the.
第1の局面、第2の局面、または第6の局面によれば、車両のエンジン停止中やパーキング状態時にセキュリティ系プログラムの更新を行っても、パーキングロックやステアリングロック等の所定の装置が盗難防止機能を発揮した状態でリプログラミングが行われる。従って、プログラム更新中にセキュリティ系プログラムが機能しないことにより盗難の虞が生じることを回避することができる。 According to the first aspect, the second aspect, or the sixth aspect, a predetermined device such as a parking lock or a steering lock is stolen even if the security program is updated while the engine of the vehicle is stopped or in a parking state. Reprogramming is performed in a state where the prevention function is exhibited. Therefore, it is possible to avoid the possibility of theft due to the security program not functioning during the program update.
第3の局面によれば、所定の装置の盗難防止機能が有効な状態でなければセキュリティ系プログラムの更新を行わないので、盗難防止効果を確実に優先させる更新ルールとすることができる。 According to the third aspect, since the security program is not updated unless the anti-theft function of a predetermined device is in an effective state, an update rule that reliably gives priority to the anti-theft effect can be obtained.
第4の局面によれば、所定の装置の盗難防止機能が有効な状態でない場合には当該盗難防止機能を発揮する状態とするので、更新プログラムが供給され得る機会ごとにリプログラミングを実行することが容易になる。 According to the fourth aspect, when the anti-theft function of a predetermined device is not in an effective state, the anti-theft function is activated, so that reprogramming is executed every opportunity that an update program can be supplied. Becomes easier.
第5の局面によれば、車両が所定の装置の盗難防止機能を有効にすることができない状態において、リプログラミングを行わずに、セキュリティ系プログラムを実行可能として車両を盗難の虞から保護することを優先することができる。 According to the fifth aspect, in a state where the vehicle cannot enable the anti-theft function of a predetermined device, the security system program can be executed without reprogramming to protect the vehicle from the possibility of theft. Can be prioritized.
〔第1の実施形態〕
本発明の一実施形態について図面を用いて説明すれば以下の通りである。
[First Embodiment]
An embodiment of the present invention will be described below with reference to the drawings.
図1に、本実施形態に係る車両用情報処理装置を備えた車載ネットワークシステム10の構成を示す。
In FIG. 1, the structure of the vehicle-mounted
車載ネットワークシステム10は、通信装置1、リプログラミングECU(車両用情報処理装置)2、セキュリティECU3、シフトバイワイヤ(SBW)ECU4、パーキングロック装置5、ステアリングECU6、および、ステアリングロック装置7を、通信バスを介して互いに接続されるように備えている。リプログラミングECU2、セキュリティECU3、シフトバイワイヤECU4、および、ステアリングECU6は、CANバス等のメインバスA1を介して互いに接続されている。
The in-
通信装置1は、車両に備えられる制御装置である各種ECUが使用するプログラムの更新プログラムの配信元であるサービスセンターのサーバと無線通信を行う。通信装置1はリプログラミングECU2の後述する内部バスA2に接続されており、前記サーバからのプログラム更新要求の受信や更新プログラムのダウンロード等を、リプログラミングECU2との間で中継する。あるいは、通信装置1は、サービスステーション等で更新プログラムを車両に供給する端末と有線で接続される通信インタフェースとして機能するものであってもよいし、無線機能と有線機能との両方を有する通信インタフェースであってもよい。以下では、無線通信の場合を例に取って説明を行うが、有線通信の場合には、車両に接続された更新プログラムを供給する端末との間で後述する通信を行うこととなる。また、更新プログラムの要求・確認の一部通信を無線で行い、更新プログラムの供給等の他の一通信部を有線で行う等の通信形態の変形は適宜可能である。
The communication device 1 performs wireless communication with a server of a service center that is a distribution source of program update programs used by various ECUs that are control devices provided in the vehicle. The communication device 1 is connected to an internal bus A2, which will be described later, of the reprogramming
リプログラミングECU2は、コンピュータ構成をなすプロセッサ2a、メモリ2b、およびトランシーバ2cを、内部バスA2を介して互いに接続されるように備えている。メモリ2bはROMおよびRAMを含んでおり、半導体メモリ、メモリカード、ディスク等の任意の記録媒体が使用可能である。プロセッサ2は、メモリ2bのROMに格納されている、プログラム更新手順を記述したプログラムと協働して、盗難防止動作検出部(ロック状態検出部)201、ソフトウェア書換え判定部(更新可否判定部)202、および、ソフトウェア書換えツール(更新指示部)203を構成可能である。トランシーバ2cは、メインバスA1との間でプログラムおよびデータの送受信を行うインタフェースである。
The reprogramming
盗難防止動作検出部201は、走行系装置や操舵装置が盗難防止動作を行っていることを示すロック状態を検出する。ソフトウェア書換え判定部202は、盗難防止動作検出部201によるロック状態の検出結果を受けて、ロック状態にあれば各種ECU、特にセキュリティECU3のリプログラミングが可能であると判定し、ロック状態になければ当該リプログラミングが可能でないと判定する。ソフトウェア書換えツール203は、ソフトウェア書換え判定部202がECUのリプログラミングが可能であると判定した場合に、更新プログラムを該当するECUに送信して書換えを指示する。
The anti-theft
リプログラミングECU2は、各種ECUが使用するプログラムに更新プログラムが存在するか否かを所定のタイミングで通信装置1を介してサービスセンターのサーバに確認し、更新プログラムが存在していればダウンロードして、メインバスA1に接続された図示しないメモリあるいはリプログラミングECU2自身のメモリ2bに格納する。メモリに格納された更新プログラムは、盗難防止動作検出部201、ソフトウェア書換え判定部202、および、ソフトウェア書換えツール203による処理結果を踏まえて、以降で説明するタイミングでメインバスA1を介して対応するECUへと個別に転送される。
The
セキュリティECU3は、コンピュータ構成をなすプロセッサ3a、メモリ3b、およびトランシーバ3cを、内部バスA3を介して互いに接続されるように備えている。メモリ3bは、ROMおよびRAMの他に、書換え可能な不揮発性メモリであるフラッシュROM301を含んでいる。フラッシュROM301には、セキュリティECU3が盗難防止装置を有効に機能させるための制御プラグラムが格納されている。メモリ3bのROMには、プログラム更新(リプログラミング)を行うための起動プログラムおよび書換えプログラムが格納されている。セキュリティECU3は、リプログラミングECU2から送信されたセキュリティECU3用の更新プログラムを、メインバスA1からトランシーバ3cを介して受信すると、ROMから起動プログラムおよび書換えプログラムを読み出して、フラッシュROM301に格納されている前記制御プログラムを前記更新プログラムに書き換える。
The
シフトバイワイヤECU4は、車両のシフトポジションを電気的に制御するECUであり、パーキングロック装置5に対してはパーキングロック制御を行うことができる。また、シフトバイワイヤECU4は、車両のシフトポジションをパーキング位置として当該パーキングロック制御を行い、さらに車両電源のオフ移行を行う、いわゆるオートパーキングロック(オートP)制御を実行することができる。パーキングロック装置5は、運転者のエンジンスイッチによるパーキング位置へのシフト操作を受けたシフトバイワイヤECU4からのパーキングロック指示があると、あるいは、シフトバイワイヤECU4からのオートP制御がなされると、駆動輪の移動を機械的にロックする。また、パーキングロック装置5は、車両のイグニッション・オン状態への移行に連動したシフトバイワイヤECU4からの制御により、パーキングロックを解除する。このように、シフトバイワイヤECU4は、走行系装置のロック状態を制御する。
The shift-by-
ステアリングECU6は、ステアバイワイヤ方式によるステアリングシステムの動作を制御するECUであり、ステアリングロック装置7に対しては、車両のイグニッション・オフ状態への移行に連動してステアリングロック制御を行うことができる。ステアリングロック装置7は、ステアリングECU6からのステアリングロック制御がなされると、ステアリングホイールの操作を機械的にロックする。また、ステアリングロック装置7は、車両のイグニッション・オン状態への移行に連動したステアリングECU6からの制御により、ステアリングロックを解除する。このように、ステアリングECU6は、操舵系装置のロック状態を制御する。
The
次に、図2のフローチャートを用いて、リプログラミングECU2が盗難防止動作検出部201、ソフトウェア書換え判定部202、およびソフトウェア書換えツール203により実行する動作について説明する。
Next, operations executed by the
リプログラミングECU2は所定のタイミングで通信装置1を介してサービスセンターのサーバや中継サーバ等に、各種ECUの更新プログラムが存在するか否かを問い合わせる。当該所定のタイミングとして各ECUに適した個別のタイミングが設定されてよく、走行時および停車時を含めて車両電源がONである間に更新プログラムの存在可否を把握しておく。更新プログラムが存在する場合には、配信元となるサーバから各更新プログラムについてリプログラミングの要求が返信されてくる。以下では、セキュリティECU3のリプログラミングを行う例を説明するが、他のECUのリプログラミングも同様の手順により併せて行ってもよい。
The
ステップS101において、リプログラミングECU2がサーバからセキュリティECU3のリプログラミングの要求を受けると、ステップS102において盗難防止動作検出部201は、車両電源のオン状態を維持したイグニッション・オフ動作を処理開始条件として、あるいは車両のイグニッション・オンを処理開始条件として、パーキングロック装置5がパーキングロック状態にあるか否かを、シフトバイワイヤECU4に問い合わせて検出する。また、盗難防止動作検出部201は、車両のイグニッション・オフ状態かつ車両電源オン状態において、ステアリングロック装置7がステアリングロック状態にあるか否かを、ステアリングECU6に問い合わせて検出する。パーキングロック状態とステアリングロック状態とは両方とも検出してもよいし、いずれか所定の一方のみを検出してもよい。
In step S101, when the
ステップS102において、(a)パーキングロック装置5がパーキングロック状態にあることを条件として、あるいは、(b)ステアリングロック装置7がステアリングロック状態にあることを条件として、またあるいは(c)パーキングロック装置5がパーキングロック状態にあるかステアリングロック装置7がステアリングロック状態にあるかの少なくとも一方であることを条件として、さらにあるいは、(d)パーキングロック装置5がパーキングロック状態にあり、かつ、ステアリングロック装置7がステアリングロック状態にあることを条件として、ソフトウェア書換え判定部202がセキュリティECU3のリプログラミングが可能であると判定し、ステップS103へ進む。上記の条件(a)〜(d)についていずれを採用するかは任意であり、いずれか1つの条件が採用されるように定められていればよい。
In step S102, (a) the
ステップS103では、ソフトウェア書換えツール203によるソフトウェアの書換え、すなわちセキュリティECU3のリプログラミングを実行する。当該ステップS103において、リプログラミングECU2はサーバから更新プログラムをダウンロードして、メインバスA1に接続されたメモリあるいはメモリ2bに格納する。このダウンロード処理は、サーバからリプログラミングの要求がなされた時点で即時に行ったり、走行中の処理負荷が小さい任意のタイミング等で行ったりしてもよい。ソフトウェア書換えツール203は、メモリ2bに格納された更新プログラムをセキュリティECU3に送信して、プログラムの書換えを行うよう指示する。あるいは、ソフトウェア書換えツール203は、セキュリティECU3にメインバスA1上のメモリに格納された更新プログラムを取得してプログラムの書換えを行うよう指示する。
In step S103, software rewriting by the
セキュリティECU3は、トランシーバ3cを介して更新プログラムを受信し、メモリ3bのROMに格納されている起動プログラムおよび書換えプログラムを起動させて、フラッシュROM301に格納されていた制御プログラムであるセキュリティソフトウェアを書き換える。これにより、パーキングロックやステアリングロック等の盗難防止機能が発揮された状態でリプログラミングが行われる。
The
ステップS102において、条件(a)および条件(d)に対応してパーキングロック装置5がパーキングロック状態にない場合は、あるいは、条件(b)および条件(d)に対応してステアリングロック装置7がステアリングロック状態にない場合は、またあるいは、条件(c)に対応してパーキングロック装置5がパーキングロック状態になく、かつ、ステアリングロック装置7がステアリングロック状態にない場合は、ステップS104へ進む。ステップS104では、ソフトウェア書換えツール203によるソフトウェアの書換え、すなわちセキュリティECU3の図2で示されるリプログラミング処理を強制的に中止し、セキュリティECU3のリプログラミングを行わない。これにより、パーキングロック装置5やステアリングロック装置7といった所定の装置の盗難防止機能が有効な状態でなければセキュリティ系プログラムの更新を行わないので、盗難防止効果を確実に優先させる更新ルールとすることができる。
In step S102, when the
なお、以上の処理をオートパーキングロック制御と組み合わせて、リプログラミングの処理が終了した後に、また、リプログラミング処理が中止された場合に車両電源のオフが可能な状態にあればリプログラミング処理の中止後に、車両電源のオフ動作までを自動的に完了させるようにしてもよい。 The above process is combined with the auto parking lock control, and after the reprogramming process is completed or if the vehicle power can be turned off when the reprogramming process is stopped, the reprogramming process is canceled. Later, the operation until the vehicle power supply is turned off may be automatically completed.
以上のように、本実施形態によれば、車両がエンジン停止状態やパーキング状態にある時にセキュリティ系プログラムの更新を行っても、パーキングロックやステアリングロック等の盗難防止機能が発揮された状態でリプログラミングが行われる。従って、プログラム更新中にセキュリティ系プログラムが機能しないことにより盗難の虞が生じることを回避することができる。 As described above, according to the present embodiment, even if the security program is updated when the vehicle is in the engine stop state or the parking state, the anti-theft function such as the parking lock or the steering lock is displayed in a state where the anti-theft function is exhibited. Programming is done. Therefore, it is possible to avoid the possibility of theft due to the security program not functioning during the program update.
なお、ロック制御対象は上記のようにパーキングロック装置やステアリングロック装置に限らず、ペダル機構等その他の任意の走行系装置や操舵装置であってもよいし、同時に3つ以上のロックを条件とする動作でもよい。 The lock control target is not limited to the parking lock device or the steering lock device as described above, but may be any other traveling system device or steering device such as a pedal mechanism, and at the same time three or more locks are required as conditions. It is also possible to do this.
〔第2の実施形態〕
本発明の他の実施形態について図面を用いて説明すれば以下の通りである。
[Second Embodiment]
Another embodiment of the present invention will be described below with reference to the drawings.
図3に、本実施形態に係る車両用情報処理装置を備えた車載ネットワークシステム20の構成を示す。
FIG. 3 shows a configuration of the in-
車載ネットワークシステム20は、図1の車載ネットワークシステム10において、リプログラミングECU2のプロセッサ2aとプログラム更新手順を記述したプログラムとが協働して、さらに盗難防止動作指示部(ロック指示部)204を構成可能としたものである。図1と同一の符号が付されたその他の部材については、図1および図2と特に異なる点についてのみ説明する。
The in-
盗難防止動作指示部204は、盗難防止動作検出部201が、パーキングロック装置5がパーキングロック状態にないことやステアリングロック装置7がステアリングロック状態にないこと、すなわち車両が盗難防止動作を行っていないことを検出した場合に、シフトバイワイヤECU4やステアリングECU6に盗難防止動作を行うよう指示する。
The anti-theft
次に、図4のフローチャートを用いて、リプログラミングECU2が盗難防止動作検出部201、ソフトウェア書換え判定部202、ソフトウェア書換えツール203、および盗難防止動作指示部204により実行する動作について説明する。
Next, operations performed by the
ステップS201において、リプログラミングECU2がサーバからセキュリティECU3のリプログラミングの要求を受けると、ステップS202において盗難防止動作検出部201は、車両のイグニッション・オフ状態かつ車両電源オン状態において、パーキングロック装置5がパーキングロック状態にあるか否かを、シフトバイワイヤECU4に問い合わせて検出する。また、盗難防止動作検出部201は、車両のイグニッション・オフ状態かつ車両電源オン状態において、ステアリングロック装置7がステアリングロック状態にあるか否かを、ステアリングECU6に問い合わせて検出する。パーキングロック状態とステアリングロック状態とは両方とも検出してもよいし、いずれか一方のみを検出してもよい。
In step S201, when the
ステップS202において、(a)パーキングロック装置5がパーキングロック状態にあることを条件として、あるいは、(b)ステアリングロック装置7がステアリングロック状態にあることを条件として、またあるいは(c)パーキングロック装置5がパーキングロック状態にあるかステアリングロック装置7がステアリングロック状態にあるかの少なくとも一方であることを条件として、さらにあるいは、(d)パーキングロック装置5がパーキングロック状態にあり、かつ、ステアリングロック装置7がステアリングロック状態にあることを条件として、ソフトウェア書換え判定部202がセキュリティECU3のリプログラミングが可能であると判定し、ステップS203へ進む。上記の条件(a)〜(d)についていずれを採用するかは任意であり、いずれか1つの条件が採用されるように定められていればよい。
In step S202, (a) the
ステップS203では、ソフトウェア書換えツール203によるソフトウェアの書換え、すなわちセキュリティECU3のリプログラミングを実行する。当該ステップS203において、リプログラミングECU2はサーバから更新プログラムをダウンロードして、メインバスA1に接続されたメモリあるいはメモリ2bに格納する。このダウンロード処理は、サーバからリプログラミングの要求がなされた時点で即時に行ったり、走行中の処理負荷が小さい任意のタイミング等で行ったりしてもよい。ソフトウェア書換えツール203は、メモリ2bに格納された更新プログラムをセキュリティECU3に送信して、プログラムの書換えを行うよう指示する。あるいは、ソフトウェア書換えツール203は、セキュリティECU3にメインバスA1上のメモリに格納された更新プログラムを取得してプログラムの書換えを行うよう指示する。
In step S203, software rewriting by the
セキュリティECU3は、トランシーバ3cを介して更新プログラムを受信し、メモリ3bのROMに格納されている起動プログラムおよび書換えプログラムを起動させて、フラッシュROM301に格納されていた制御プログラムであるセキュリティソフトウェアを書き換える。これにより、パーキングロックやステアリングロック等の盗難防止機能が発揮された状態でリプログラミングが行われる。
The
ステップS202において、条件(a)および条件(d)に対応してパーキングロック装置5がパーキングロック状態にない場合は、あるいは、条件(b)および条件(d)に対応してステアリングロック装置7がステアリングロック状態にない場合は、またあるいは、条件(c)に対応してパーキングロック装置5がパーキングロック状態になく、かつ、ステアリングロック装置7がステアリングロック状態にない場合は、ソフトウェア書換え判定部はセキュリティECU3のリプログラミングが可能でないと判定し、ステップS204へ進む。
In step S202, when the
ステップS204において、盗難防止動作指示部204は、条件(a)に対応してシフトバイワイヤECU4にパーキングロック装置5をパーキングロック状態とするように指示する、あるいは、条件(b)に対応してステアリングECU6にステアリングロック装置7をステアリングロック状態とするように指示する、またあるいは、条件(c)に対応してシフトバイワイヤECU4にパーキングロック装置5をパーキングロック状態とするように指示するとともにステアリングECU6にステアリングロック装置7をステアリングロック状態とするように指示する、さらにあるいは、条件(d)に対応してパーキングロック装置5がパーキングロック状態になければシフトバイワイヤECU4にパーキングロック装置5をパーキングロック状態とするように指示するとともに、ステアリングロック装置7がステアリングロック状態になければステアリングECU6にステアリングロック装置7をステアリングロック状態とするように指示する。
In step S204, the anti-theft
ステップS204の次はステップS205に進む。ステップS205では、盗難防止動作検出部201は、パーキングロック装置5がパーキングロック状態にあるか否かを、シフトバイワイヤECU4に問い合わせて検出すること、および、ステアリングロック装置7がステアリングロック状態にあるか否かを、ステアリングECU6に問い合わせて検出することを、条件(a)〜(d)に対応して再び行う。
After step S204, the process proceeds to step S205. In step S205, the anti-theft
ステップS205において、条件(a)〜(d)の所定のものが満たされればソフトウェア書換え判定部202がセキュリティECU3のリプログラミングは可能であると判定し、ステップS203へ進んで、ソフトウェア書換えツール203によるソフトウェアの書換え、すなわちセキュリティECU3のリプログラミングを行う。これにより、パーキングロックやステアリングロック等の盗難防止機能が発揮された状態でリプログラミングが行われる。
In step S205, if the predetermined conditions (a) to (d) are satisfied, the software
一方、ステップS205において条件(a)〜(d)の所定のものが満たされなければ、ソフトウェア書換え判定部202は、リプログラミングが可能でないと判定し、ステップS206へ進む。ソフトウェア書換え判定部202がリプログラミングが可能でないと判定する限り、盗難防止動作指示部204がパーキングロックやステアリングロックを指示し続けてもよいが、ロック指示後にソフトウェア書換え判定部202がリプログラミングが可能でないと判定した後は、ステップS206において、リプログラミングECU2が、車両がロック可能な状態ではない、ロック動作の異常等の理由でリプログラミングが可能でないと判定し、ソフトウェア書換えツール203によるソフトウェアの書換え、すなわちセキュリティECU3のリプログラミング処理を強制的に中止し、セキュリティECU3のリプログラミングを行わない。このように、車両がパーキングロック装置5やステアリングロック装置7といった所定の装置の盗難防止機能を有効にすることができない状態においては、リプログラミングを行わずに、セキュリティ系プログラムを実行可能として車両を盗難の虞から保護することを優先することができる。
On the other hand, if the predetermined conditions (a) to (d) are not satisfied in step S205, the software
以上のように、本実施形態によれば、車両がエンジン停止状態やパーキング状態にある時にセキュリティ系プログラムの更新を行っても、パーキングロックやステアリングロック等の盗難防止機能が発揮された状態でリプログラミングが行われる。従って、プログラム更新中に盗難の虞が生じることを回避することができる。また、パーキングロック装置5やステアリングロック装置7といった所定の装置の盗難防止機能が有効な状態でない場合には当該盗難防止機能を発揮する状態とするので、サーバから更新プログラムが配信される機会ごとにリプログラミングを実行することが容易になる。
As described above, according to the present embodiment, even if the security program is updated when the vehicle is in the engine stop state or the parking state, the anti-theft function such as the parking lock or the steering lock is displayed in a state where the anti-theft function is exhibited. Programming is done. Therefore, the possibility of theft during the program update can be avoided. In addition, when the anti-theft function of a predetermined device such as the
なお、以上の処理をオートパーキングロック制御と組み合わせて、リプログラミングの処理が終了した後に、車両電源のオフ動作までを自動的に完了させるようにしてもよい。 Note that the above process may be combined with the auto parking lock control, and after the reprogramming process is completed, the operation until the vehicle power is turned off may be automatically completed.
以上、本実施形態について説明した。なお、上述した各実施例を本発明の趣旨を逸脱しない範囲で変更した構成で実施することも可能である。 The present embodiment has been described above. It should be noted that each of the above-described embodiments can be implemented with a configuration changed without departing from the spirit of the present invention.
本発明は、盗難防止装置を搭載した車両等に適用可能である。 The present invention is applicable to a vehicle or the like equipped with an anti-theft device.
2 リプログラミングECU
3 セキュリティECU
4 シフトバイワイヤECU
5 パーキングロック装置
6 ステアリングECU
7 ステアリングロック装置
10、20 車載ネットワークシステム
201 盗難防止動作検出部
202 ソフトウェア書換え判定部
203 ソフトウェア書換えツール
301 フラッシュROM
2 Reprogramming ECU
3 Security ECU
4 Shift-by-wire ECU
5
7
Claims (6)
セキュリティ系プログラムの更新が可能であることを示す情報が車両に与えられた場合に、走行系装置と操舵系装置との少なくとも一方の装置が規定のロック状態にあれば前記セキュリティ系プログラムの更新が可能であると判定する一方、前記少なくとも一方の装置が前記規定のロック状態になければ前記セキュリティ系プログラムの更新が可能ではないと判定し、
前記セキュリティ系プログラムの更新が可能であると判定した場合に、車両が取得した更新プログラムにより前記セキュリティ系プログラムを更新するよう前記セキュリティ系プログラムを使用する前記制御装置に指示することを特徴とする車両用情報処理装置。 An information processing device for a vehicle that controls updating of a program used by a control device provided in the vehicle,
When information indicating that the security system program can be updated is given to the vehicle, if at least one of the traveling system device and the steering system device is in a prescribed locked state, the security system program is updated. While determining that it is possible, it is determined that the security program cannot be updated unless the at least one device is in the prescribed lock state,
A vehicle characterized by instructing the control device using the security program to update the security program by an update program acquired by the vehicle when it is determined that the security program can be updated. Information processing device.
セキュリティ系プログラムの更新が可能であることを示す情報が車両に与えられた場合に、走行系装置と操舵系装置との少なくとも一方の装置が規定のロック状態にあるか否かを検出するロック状態検出部と、
前記ロック状態検出部によって前記少なくとも一方の装置が前記規定のロック状態にあることを検出した場合には前記セキュリティ系プログラムの更新が可能であると判定する一方、前記ロック状態検出部によって前記少なくとも一方の装置が前記規定のロック状態にないことを検出した場合には前記セキュリティ系プログラムの更新が可能ではないと判定する更新可否判定部と、
前記更新可否判定部が前記セキュリティ系プログラムの更新が可能であると判定した場合に、車両が取得した更新プログラムにより前記セキュリティ系プログラムを更新するよう前記セキュリティ系プログラムを使用する前記制御装置に指示する更新指示部と、
を備えていることを特徴とする車両用情報処理装置。 An information processing device for a vehicle that controls updating of a program used by a control device provided in the vehicle,
A lock state that detects whether or not at least one of the traveling system device and the steering system device is in a prescribed locked state when information indicating that the security system program can be updated is given to the vehicle A detection unit;
When the lock state detection unit detects that the at least one device is in the specified lock state, the lock state detection unit determines that the security program can be updated, while the lock state detection unit detects the at least one An update availability determination unit that determines that the security program cannot be updated when it is detected that the device is not in the specified lock state;
When the update possibility determination unit determines that the security program can be updated, the control device that uses the security program is instructed to update the security program by an update program acquired by a vehicle. An update instruction section;
An information processing apparatus for a vehicle, comprising:
セキュリティ系プログラムの更新が可能であることを示す情報が車両に与えられた場合に、走行系装置と操舵系装置との少なくとも一方の装置が規定のロック状態にあるか否かを検出するステップと、
前記前記少なくとも一方の装置が前記規定のロック状態にあることを検出した場合には前記セキュリティ系プログラムの更新が可能であると判定する一方、前記少なくとも一方の装置が前記規定のロック状態にないことを検出した場合には前記セキュリティ系プログラムの更新が可能ではないと判定するステップと、
前記セキュリティ系プログラムの更新が可能であると判定した場合に、車両が取得した更新プログラムにより前記セキュリティ系プログラムを更新するよう前記セキュリティ系プログラムを使用する前記制御装置に指示するステップと、
を含むことを特徴とするプログラム更新方法。 A program update method for controlling update of a program used by a control device provided in a vehicle,
Detecting whether or not at least one of the traveling system device and the steering system device is in a prescribed locked state when information indicating that the security system program can be updated is given to the vehicle; ,
When it is detected that the at least one device is in the prescribed lock state, it is determined that the security program can be updated, while the at least one device is not in the prescribed lock state. Determining that the security program cannot be updated if detected,
Instructing the control device using the security program to update the security program by an update program acquired by a vehicle when it is determined that the security program can be updated;
A program update method comprising:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012275725A JP5939149B2 (en) | 2012-12-18 | 2012-12-18 | Information processing apparatus for vehicle and program update method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012275725A JP5939149B2 (en) | 2012-12-18 | 2012-12-18 | Information processing apparatus for vehicle and program update method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2014118071A true JP2014118071A (en) | 2014-06-30 |
JP5939149B2 JP5939149B2 (en) | 2016-06-22 |
Family
ID=51173305
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012275725A Active JP5939149B2 (en) | 2012-12-18 | 2012-12-18 | Information processing apparatus for vehicle and program update method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5939149B2 (en) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2018200510A (en) * | 2017-05-25 | 2018-12-20 | 株式会社デンソーテン | Software update apparatus, software update system and software update method |
WO2019087820A1 (en) * | 2017-11-06 | 2019-05-09 | 株式会社オートネットワーク技術研究所 | Program updating device, program updating system and program updating method |
US10296322B2 (en) | 2017-02-15 | 2019-05-21 | Fujitsu Ten Limited | Controller and control program updating method |
WO2019221118A1 (en) * | 2018-05-15 | 2019-11-21 | 株式会社デンソー | Electronic control unit and session establishment program |
JP2019200789A (en) * | 2018-05-15 | 2019-11-21 | 株式会社デンソー | Electronic controller and session establishing program |
US10963241B2 (en) | 2017-02-01 | 2021-03-30 | Sumitomo Electric Industries, Ltd. | Control apparatus, program update method, and computer program |
WO2021186247A1 (en) * | 2020-03-18 | 2021-09-23 | 日産自動車株式会社 | Software update device, software update method, and software update processing program |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004028000A (en) * | 2002-06-27 | 2004-01-29 | Mitsubishi Electric Corp | Memory rewriting device of on-vehicle ecu by communication |
JP2006082648A (en) * | 2004-09-15 | 2006-03-30 | Denso Corp | Program rewriting system |
-
2012
- 2012-12-18 JP JP2012275725A patent/JP5939149B2/en active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004028000A (en) * | 2002-06-27 | 2004-01-29 | Mitsubishi Electric Corp | Memory rewriting device of on-vehicle ecu by communication |
JP2006082648A (en) * | 2004-09-15 | 2006-03-30 | Denso Corp | Program rewriting system |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10963241B2 (en) | 2017-02-01 | 2021-03-30 | Sumitomo Electric Industries, Ltd. | Control apparatus, program update method, and computer program |
US10296322B2 (en) | 2017-02-15 | 2019-05-21 | Fujitsu Ten Limited | Controller and control program updating method |
JP2018200510A (en) * | 2017-05-25 | 2018-12-20 | 株式会社デンソーテン | Software update apparatus, software update system and software update method |
CN111247038A (en) * | 2017-11-06 | 2020-06-05 | 株式会社自动网络技术研究所 | Program updating device, program updating system, and program updating method |
WO2019087820A1 (en) * | 2017-11-06 | 2019-05-09 | 株式会社オートネットワーク技術研究所 | Program updating device, program updating system and program updating method |
JP2019086963A (en) * | 2017-11-06 | 2019-06-06 | 株式会社オートネットワーク技術研究所 | Program update device, program update system, and program update method |
US11157262B2 (en) | 2017-11-06 | 2021-10-26 | Autonetworks Technologies, Ltd. | Program updating device, program updating system and program updating method |
JP2020021506A (en) * | 2018-05-15 | 2020-02-06 | 株式会社デンソー | Electronic controller and session establishing program |
JP2019200789A (en) * | 2018-05-15 | 2019-11-21 | 株式会社デンソー | Electronic controller and session establishing program |
WO2019221118A1 (en) * | 2018-05-15 | 2019-11-21 | 株式会社デンソー | Electronic control unit and session establishment program |
JP7131475B2 (en) | 2018-05-15 | 2022-09-06 | 株式会社デンソー | Electronic controller, session establishment program and control program |
JP7230768B2 (en) | 2018-05-15 | 2023-03-01 | 株式会社デンソー | Electronic controller, session establishment program and control program |
WO2021186247A1 (en) * | 2020-03-18 | 2021-09-23 | 日産自動車株式会社 | Software update device, software update method, and software update processing program |
Also Published As
Publication number | Publication date |
---|---|
JP5939149B2 (en) | 2016-06-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5939149B2 (en) | Information processing apparatus for vehicle and program update method | |
JP6519708B2 (en) | CONTROL DEVICE, PROGRAM UPDATE METHOD, AND COMPUTER PROGRAM | |
JP6525105B2 (en) | CONTROL DEVICE, PROGRAM UPDATE METHOD, AND COMPUTER PROGRAM | |
JP4809418B2 (en) | Software updating apparatus and software updating method | |
JP6856100B2 (en) | Replog Master | |
WO2017212772A1 (en) | Vehicular device | |
CN111038414B (en) | Vehicle control device, vehicle control method, and storage medium | |
WO2018079004A1 (en) | Control device, program update method, computer program | |
JP4286633B2 (en) | Software updating apparatus and software updating method | |
US11169797B2 (en) | Vehicle controller configuration backup and restoration using data snapshots | |
JP7327304B2 (en) | SOFTWARE UPDATE APPARATUS, METHOD, PROGRAM AND VEHICLE | |
WO2019087820A1 (en) | Program updating device, program updating system and program updating method | |
WO2017208890A1 (en) | Control device, control method, and computer program | |
JP6394678B2 (en) | Control device, control program update determination method, and computer program | |
EP3627756A1 (en) | Vehicular system for processing cipher key and electronic control device | |
JP7327325B2 (en) | In-vehicle device, information generation method, information generation program, and vehicle | |
CN112009459A (en) | Vehicle control system and vehicle control interface | |
EP4122775A1 (en) | Software update device, software update method, and software update processing program | |
CN114115931A (en) | Software updating device, software updating method, non-temporary storage medium, and vehicle | |
JP7396216B2 (en) | Server, update management method, update management program, and software update device | |
JP7367630B2 (en) | Server, software update device, vehicle, software update system, method and program | |
JP2009087107A (en) | Control system for vehicle | |
JP6857000B2 (en) | Electronic control system for vehicles | |
EP3933572B1 (en) | Software update device, software update method, non-transitory storage medium, and vehicle | |
JP2015178323A (en) | Vehicle control device and password setting method for vehicle |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150115 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150928 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150929 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20151110 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160419 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160502 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 5939149 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |