JP2016107908A - On-vehicle network system - Google Patents

On-vehicle network system Download PDF

Info

Publication number
JP2016107908A
JP2016107908A JP2014249152A JP2014249152A JP2016107908A JP 2016107908 A JP2016107908 A JP 2016107908A JP 2014249152 A JP2014249152 A JP 2014249152A JP 2014249152 A JP2014249152 A JP 2014249152A JP 2016107908 A JP2016107908 A JP 2016107908A
Authority
JP
Japan
Prior art keywords
program data
gateway
external tool
control device
gateway ecu
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2014249152A
Other languages
Japanese (ja)
Inventor
岸 弘行
Hiroyuki Kishi
弘行 岸
英揮 矢加部
Hideki Yakabe
英揮 矢加部
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2014249152A priority Critical patent/JP2016107908A/en
Publication of JP2016107908A publication Critical patent/JP2016107908A/en
Pending legal-status Critical Current

Links

Images

Abstract

PROBLEM TO BE SOLVED: To provide an on-vehicle network system which can suppress a malfunction generated by return of an electronic control device to an ordinary state during a period in which program data stored in a storage part of a gateway control device is rewritten.SOLUTION: In an on-vehicle network system 1, a network NW1 connected with ECUs 20, 21 and a network NW2 connected with an external tool 30 are connected to each other via a gateway ECU 10. The ECUs 20, 21 are transited to non-ordinary states when program data of the gateway ECU 10 are rewritten, and restored to ordinary states on condition that a prescribed signal cannot be received for a preset restoration setting time. The gateway ECU 10 continuously transmits communication continuation signals to the ECUs 20, 21 during a period in which the program data is rewritten.SELECTED DRAWING: Figure 1

Description

本発明は、車載ネットワークシステムに関する。   The present invention relates to an in-vehicle network system.

従来、特許文献1に記載の車載ネットワークシステムがある。特許文献1に記載の車載ネットワークシステムは、各種電子制御装置(ECU)が接続される複数のネットワークと、複数のネットワーク間の通信を中継するゲートウェイ制御装置とを備えている。   Conventionally, there is an in-vehicle network system described in Patent Document 1. The in-vehicle network system described in Patent Literature 1 includes a plurality of networks to which various electronic control units (ECUs) are connected, and a gateway control device that relays communication between the plurality of networks.

特許第5375905号公報Japanese Patent No. 5375905

ところで、ゲートウェイ制御装置は、一般的に、ROM(Read Only Memory)に記憶されたプログラムデータに基づき各種通信制御を行う。ROMに格納されたプログラムデータは、例えばバージョンアップや機能追加等のために、書き換えが行われることがある。ROMの書き換えは、車両の外部からゲートウェイ制御装置を介して外部ツールを接続し、当該外部ツールによりROMに記憶されたプログラムデータを書き換えることで行われる。   Incidentally, the gateway control apparatus generally performs various communication controls based on program data stored in a ROM (Read Only Memory). The program data stored in the ROM may be rewritten, for example, for version upgrade or function addition. The ROM is rewritten by connecting an external tool from the outside of the vehicle via the gateway control device and rewriting the program data stored in the ROM by the external tool.

一方、ゲートウェイ制御装置のプログラムデータの書き換えの際には、ゲートウェイ制御装置の中継機能が中断されるため、ゲートウェイ制御装置と電子制御装置との間の通信が途絶える。この場合、電子制御装置が、ゲートウェイ制御装置と通信できないことに基づいて異常を検出する等、予期しない不都合が発生するおそれがある。これを解消するためには、例えばゲートウェイ制御装置のプログラムデータの書き換えが行われている期間、電子制御装置を、通常状態から、異常の検出等の特定の動作が禁止された非通常状態に移行させることが望ましい。具体的には、ゲートウェイ制御装置のプログラムデータの書き換えが行われている期間、電子制御装置に所定の信号を継続的に送信し、電子制御装置を非通常状態に維持することが望ましい。   On the other hand, when the program data of the gateway control device is rewritten, the relay function of the gateway control device is interrupted, and communication between the gateway control device and the electronic control device is interrupted. In this case, there is a possibility that unexpected inconveniences such as detection of an abnormality based on the inability of the electronic control device to communicate with the gateway control device may occur. In order to solve this problem, for example, during the period when the gateway controller program data is being rewritten, the electronic controller shifts from a normal state to an abnormal state in which a specific operation such as detection of an abnormality is prohibited. It is desirable to make it. Specifically, it is desirable to continuously transmit a predetermined signal to the electronic control device while the program data of the gateway control device is being rewritten to maintain the electronic control device in an abnormal state.

しかしながら、ゲートウェイ制御装置のプログラムデータの書き換えが行われている期間は、ゲートウェイ制御装置の中継機能が停止しているため、外部ツールから電子制御装置に所定の信号を送信することができない。ゲートウェイ制御装置のプログラムデータの書き換えが行われている期間に、電子制御装置が所定の信号を受信できないことに基づき非通常状態から通常状態に復帰すると、ゲートウェイ制御装置の異常を誤検出する等の不都合が生じかねない。   However, since the relay function of the gateway control device is stopped during the period when the program data of the gateway control device is being rewritten, a predetermined signal cannot be transmitted from the external tool to the electronic control device. If the electronic control unit returns from the normal state to the normal state based on the fact that the electronic control unit cannot receive the predetermined signal during the period when the program data of the gateway control unit is being rewritten, an error in the gateway control unit is erroneously detected. Inconvenience can occur.

本発明は、こうした実情に鑑みてなされたものであり、その目的は、ゲートウェイ制御装置の記憶部に記憶されたプログラムデータの書き換えが行われている期間に電子制御装置が通常状態に戻ることに起因して発生する不都合を抑制することのできる車載ネットワークシステムを提供することにある。   The present invention has been made in view of such circumstances, and its purpose is to return the electronic control device to the normal state during the period when the program data stored in the storage unit of the gateway control device is being rewritten. An object of the present invention is to provide an in-vehicle network system capable of suppressing inconveniences caused by the above.

上記課題を解決する車載ネットワークシステム(1)では、車載ネットワークシステム(1)電子制御装置(20,21)が接続されるネットワーク(NW1)と、外部ツール(30)が接続されるネットワーク(NW2)とがゲートウェイ制御装置(10)を介して接続されている。電子制御装置は、外部ツールを通じてゲートウェイ制御装置のプログラムデータの書き換えが行われる際、通常状態から非通常状態に移行するとともに、非通常状態に移行した際、所定の信号を予め定められた復帰設定時間受信できないことを条件に通常状態に復帰する。ゲートウェイ制御装置は、プログラムデータが記憶された記憶部(13)を有し、外部ツールにより記憶部のプログラムデータの書き換えが行われている期間、電子制御装置に所定の信号を継続的に送信する。   In the in-vehicle network system (1) that solves the above problems, the in-vehicle network system (1) the network (NW1) to which the electronic control devices (20, 21) are connected and the network (NW2) to which the external tool (30) is connected. Are connected via a gateway control device (10). When the program data of the gateway control device is rewritten through the external tool, the electronic control device shifts from the normal state to the non-normal state, and at the time of shifting to the non-normal state, a predetermined signal is set to a predetermined return setting. Return to normal condition on condition that time cannot be received. The gateway control device has a storage unit (13) in which program data is stored, and continuously transmits a predetermined signal to the electronic control unit while the program data in the storage unit is being rewritten by an external tool. .

この構成によれば、外部ツールによりゲートウェイ制御装置のプログラムデータの書き換えが行われている期間、ゲートウェイ制御装置から電子制御装置に所定の信号が継続的に送信されるため、電子制御装置を非通常状態に維持することができる。これにより、プログラムデータの書き換えが行われている期間に電子制御装置が通常状態に戻ることに起因して発生する不都合を解消することができる。   According to this configuration, since the predetermined signal is continuously transmitted from the gateway control device to the electronic control device while the program data of the gateway control device is being rewritten by the external tool, the electronic control device is Can be maintained in a state. As a result, it is possible to eliminate the inconvenience caused by the electronic control device returning to the normal state during the period when the program data is being rewritten.

本発明によれば、ゲートウェイ制御装置の記憶部に記憶されたプログラムデータの書き換えが行われている期間に電子制御装置が通常状態に戻ることに起因して発生する不都合を抑制することができる。   ADVANTAGE OF THE INVENTION According to this invention, the trouble which arises when an electronic control apparatus returns to a normal state in the period when the program data memorize | stored in the memory | storage part of the gateway control apparatus is rewritten can be suppressed.

車載ネットワークシステムの第1実施形態についてその概略構成を示すブロック図。The block diagram which shows the schematic structure about 1st Embodiment of a vehicle-mounted network system. 第1実施形態の車載ネットワークシステムについてそのゲートウェイECUの概略構成を模式的に示す図。The figure which shows typically schematic structure of the gateway ECU about the vehicle-mounted network system of 1st Embodiment. 第1実施形態の車載ネットワークシステムについて外部ツール、ゲートウェイECU、及びその他のECUの動作例の一部を示すシーケンスチャート。The sequence chart which shows a part of operation example of an external tool, gateway ECU, and other ECU about the vehicle-mounted network system of 1st Embodiment. 第1実施形態の車載ネットワークシステムについて外部ツール、ゲートウェイECU、及びその他のECUの動作例の一部を示すシーケンスチャート。The sequence chart which shows a part of operation example of an external tool, gateway ECU, and other ECU about the vehicle-mounted network system of 1st Embodiment. 第1実施形態の車載ネットワークシステムについてゲートウェイECUにより実行される処理の手順を示すフローチャート。The flowchart which shows the procedure of the process performed by gateway ECU about the vehicle-mounted network system of 1st Embodiment. 車載ネットワークシステムの第2実施形態についてそのゲートウェイECUの概略構成を模式的に示す図。The figure which shows typically schematic structure of the gateway ECU about 2nd Embodiment of a vehicle-mounted network system. 第2実施形態の車載ネットワークシステムについてゲートウェイECUにより実行される処理の手順を示すフローチャート。The flowchart which shows the procedure of the process performed by gateway ECU about the vehicle-mounted network system of 2nd Embodiment. 第2実施形態の車載ネットワークシステムについて外部ツール、ゲートウェイECU、及びその他のECUの動作例の一部を示すシーケンスチャート。The sequence chart which shows a part of operation example of an external tool, gateway ECU, and other ECU about the vehicle-mounted network system of 2nd Embodiment. 車載ネットワークシステムの第3実施形態についてそのゲートウェイECUの概略構成を模式的に示す図。The figure which shows typically schematic structure of the gateway ECU about 3rd Embodiment of a vehicle-mounted network system.

<第1実施形態>
以下、車載ネットワークシステムの第1実施形態について説明する。
図1に示されるように、本実施形態の車載ネットワークシステム1は車両Cに搭載されている。車載ネットワークシステム1は、ゲートウェイ制御装置(ゲートウェイECU)10と、複数の電子制御装置(ECU)20,21とを有している。 <First Embodiment>
Hereinafter, a first embodiment of the in-vehicle network system will be described.
As shown in FIG. 1, the in-vehicle network system 1 of this embodiment is mounted on a vehicle C. The in-vehicle network system 1 includes a gateway control device (gateway ECU) 10 and a plurality of electronic control devices (ECU) 20 and 21.

ECU20,21は、車両Cに搭載された各種ECU、例えば車載エンジンの駆動を制御するエンジンECUや、自動変速機の駆動を制御するトランスミッションECU等を示す。また、ECU20,21には、ゲートウェイECU10とは別のゲートウェイECUも含まれる。ECU20,21はバスB1を介して通信可能に接続されている。   The ECUs 20 and 21 indicate various ECUs mounted on the vehicle C, for example, an engine ECU that controls driving of an in-vehicle engine, a transmission ECU that controls driving of an automatic transmission, and the like. Further, the ECUs 20 and 21 include a gateway ECU different from the gateway ECU 10. The ECUs 20 and 21 are communicably connected via the bus B1.

ゲートウェイECU10はバスB1を介してECU20,21に接続されている。また、ゲートウェイECU10はバスB2を介して外部端子T1に接続されている。外部端子T1には、接続端子T2を介して外部ツール30が接続される。ゲートウェイECU10は、バスB1により構成されるネットワークNW1と、バスB2により構成されるネットワークNW2とを接続するものであり、それらの間の通信を中継する。   The gateway ECU 10 is connected to the ECUs 20 and 21 via the bus B1. The gateway ECU 10 is connected to the external terminal T1 via the bus B2. The external tool 30 is connected to the external terminal T1 through the connection terminal T2. The gateway ECU 10 connects the network NW1 configured by the bus B1 and the network NW2 configured by the bus B2, and relays communication between them.

外部ツール30は、ゲートウェイECU10及びECU20,21のバージョンアップや機能追加等のために、それらのプログラムデータを書き換えるための装置である。外部ツール30は、例えばディーラにより手動で操作され、バスB2を介してゲートウェイECU10に更新用のプログラムデータを送信することにより、ゲートウェイECU10のプログラムデータを書き換える。また、外部ツール30は、バスB2、ゲートウェイECU10、及びバスB1を介してECU20,21に新たなプログラムデータを送信することにより、各ECU20,21のプログラムデータを書き換える。   The external tool 30 is a device for rewriting the program data in order to upgrade the version of the gateway ECU 10 and the ECUs 20 and 21 and add functions. The external tool 30 is manually operated by a dealer, for example, and rewrites the program data of the gateway ECU 10 by transmitting update program data to the gateway ECU 10 via the bus B2. Further, the external tool 30 rewrites the program data of each ECU 20, 21 by transmitting new program data to the ECU 20, 21 via the bus B2, the gateway ECU 10, and the bus B1.

次に、ゲートウェイECU10の構成について詳しく説明する。
ゲートウェイECU10は、マイクロコンピュータを中心に構成されており、図2に示されるように、CPU(中央演算処理装置)11と、RAM(Random Access Memory)12と、ROM(Read Only Memory)13とを備えている。 Next, the configuration of the gateway ECU 10 will be described in detail.
The gateway ECU 10 is configured around a microcomputer, and as shown in FIG. 2, a CPU (Central Processing Unit) 11, a RAM (Random Access Memory) 12, and a ROM (Read Only Memory) 13 are included. I have.

RAM12には、CPU11の演算途中のデータや演算結果等が一時的に記憶される。
ROM13には、通常制御用プログラムデータP1と、当該通常制御用プログラムデータを書き換えるための書き換え用プログラムデータP2とが記憶されている。 The RAM 12 temporarily stores data, calculation results, and the like during the calculation by the CPU 11.
The ROM 13 stores normal control program data P1 and rewrite program data P2 for rewriting the normal control program data.

通常制御用プログラムデータP1は、ゲートウェイECU10により通常行われる制御プログラムであり、例えばバスB1とバスB2との間でプロトコル変換を行うためのプログラムデータが該当する。通常制御用プログラムデータP1は、その主となるメインプログラムデータP10と、中継用プログラムデータP11と、通信用プログラムデータP12,P13とからなる。中継用プログラムデータP11は、外部ツール30とECU20,21との間で通信を中継するためのプログラムである。通信用プログラムデータP12は、外部ツール30と通信を行うためのプログラムである。通信用プログラムデータP13は、ECU20,21と通信を行うためのプログラムである。   The normal control program data P1 is a control program normally executed by the gateway ECU 10, and corresponds to, for example, program data for performing protocol conversion between the bus B1 and the bus B2. The normal control program data P1 is composed of main program data P10, relay program data P11, and communication program data P12 and P13. The relay program data P11 is a program for relaying communication between the external tool 30 and the ECUs 20 and 21. The communication program data P12 is a program for communicating with the external tool 30. The communication program data P13 is a program for communicating with the ECUs 20 and 21.

書き換え用プログラムデータP2は、外部ツール30からゲートウェイECU10に送信される新たなプログラムデータに基づいて通常制御用プログラムデータを書き換えるためのプログラムデータである。書き換え用プログラムデータP2は、そのメインプログラムデータP20と、通信継続用プログラムデータP21と、通信用プログラムデータP22,P23とからなる。通信継続用プログラムデータP21は、ゲートウェイECU10の通常制御用プログラムデータの書き換えが行われている際に、ECU20,21と継続して通信を行うためのプログラムである。通信用プログラムデータP22は、外部ツール30と通信を行うためのプログラムである。通信用プログラムP23は、ECU20,21と通信を行うためのプログラムである。   The rewriting program data P2 is program data for rewriting the normal control program data based on new program data transmitted from the external tool 30 to the gateway ECU 10. The rewrite program data P2 includes main program data P20, communication continuation program data P21, and communication program data P22 and P23. The communication continuation program data P21 is a program for continuously communicating with the ECUs 20 and 21 when the normal control program data of the gateway ECU 10 is being rewritten. The communication program data P22 is a program for communicating with the external tool 30. The communication program P23 is a program for communicating with the ECUs 20 and 21.

CPU11は、ROM13に記憶された通常制御用プログラムデータP1に基づいて、ゲートウェイECU10により行われる通常制御を実行する。すなわち、CPU11は、バスB1とバスB2との間でプロトコル変換を行う処理等を実行する。   The CPU 11 executes normal control performed by the gateway ECU 10 based on the normal control program data P1 stored in the ROM 13. That is, the CPU 11 executes a process for performing protocol conversion between the bus B1 and the bus B2.

また、CPU11は、外部端子T1に外部ツール30が接続された際、外部ツール30からの要求に応じて、ROM13に記憶された書き換え用プログラムデータP2を実行する。これにより、CPU11は、外部ツール30からゲートウェイECU10に送信される新たなプログラムデータに基づいて通常制御用プログラムデータP1を書き換える処理を実行する。   Further, when the external tool 30 is connected to the external terminal T1, the CPU 11 executes the rewrite program data P2 stored in the ROM 13 in response to a request from the external tool 30. As a result, the CPU 11 executes a process of rewriting the normal control program data P1 based on the new program data transmitted from the external tool 30 to the gateway ECU 10.

次に、外部ツール30による通常制御用プログラムデータP1の書き換え手順について詳しく説明する。なお、通常制御用プログラムデータP1の書き換え手順としては、例えばUDS(ISO14229)に準拠した手順を採用することができる。   Next, the rewriting procedure of the normal control program data P1 by the external tool 30 will be described in detail. As a rewriting procedure of the normal control program data P1, for example, a procedure based on UDS (ISO 14229) can be adopted.

図3に示されるように、外部ツール30は、まず、非通常状態移行要求信号をゲートウェイECU10に送信する(ステップS100)。ゲートウェイECU10は、非通常状態移行要求信号を受信すると(ステップS200)、これをECU20,21に中継して送信するとともに、通常状態(Default Session)から非通常状態(Non-Default Session)に移行する(ステップS201)。ECU20,21も、非通常状態移行要求信号を受信すると(ステップS300)、通常状態から非通常状態に移行する(ステップS301)。なお、通常状態とは、各ECU10,20,21がそれぞれの役割に応じた通常の制御を行う状態である。非通常状態とは、外部ツール30からの要求に応じて通常実行できない特殊な操作が可能となる状態である。各ECU10,20,21が非通常状態に移行することにより、例えば異常検出を禁止させたり、通信を停止させる等の特殊な操作が可能となる。   As shown in FIG. 3, the external tool 30 first transmits an abnormal state transition request signal to the gateway ECU 10 (step S100). When the gateway ECU 10 receives the non-normal state transition request signal (step S200), the gateway ECU 10 relays and transmits the signal to the ECUs 20 and 21, and shifts from the normal state (Default Session) to the non-normal state (Non-Default Session). (Step S201). When the ECUs 20 and 21 also receive the non-normal state transition request signal (step S300), the ECU 20 and 21 shift from the normal state to the non-normal state (step S301). Note that the normal state is a state in which the ECUs 10, 20, and 21 perform normal control according to their roles. The non-normal state is a state in which a special operation that cannot be normally performed in response to a request from the external tool 30 is possible. When each ECU 10, 20, 21 shifts to the non-normal state, for example, special operations such as prohibiting abnormality detection or stopping communication can be performed.

また、各ECU10,20,21は、非通常状態に移行した際、何らかの信号を所定の時間受信できないことを条件に、あるいは通常状態移行要求信号を受信することを条件に通常状態に復帰する。以下では、便宜上、この所定の時間を「復帰設定時間」と称する。本実施形態では、復帰設定時間よりも短い周期で各ECU10,20,21に何らかの信号を送信することにより、各ECU10,20,21を非通常状態に維持させることが可能である。   Each ECU 10, 20, 21 returns to the normal state on the condition that some signal cannot be received for a predetermined time when it shifts to the non-normal state, or on the condition that the normal state shift request signal is received. Hereinafter, for the sake of convenience, this predetermined time is referred to as “return set time”. In the present embodiment, each ECU 10, 20, 21 can be maintained in an abnormal state by transmitting some signal to each ECU 10, 20, 21 at a cycle shorter than the return setting time.

外部ツール30は、各ECU10,20,21を非通常状態に移行させた後、ダイアグマスク要求信号をゲートウェイECU10に送信する(ステップS101)。ゲートウェイECU10は、ダイアグマスク要求信号を受信すると(ステップS202)、これをECU20,21に中継して送信するとともに、ダイアグマスク状態に移行する(ステップS203)。ECU20,21も、ダイアグマスク要求信号を受信すると(ステップS302)、ダイアグマスク状態に移行する(ステップS303)。ダイアグマスク状態とは、非通常状態において選択可能な一状態であり、異常検出機能が無効化された状態を示す。各ECU10,20,21がダイアグマスク状態になることにより、ゲートウェイECU10の通常制御用プログラムデータP1の書き換えの際に各ECU10,20,21の間の通信が途絶えたとしても、それを理由に各ECU10,20,21が異常検出を行うことを回避できる。   The external tool 30 transmits a diagnostic mask request signal to the gateway ECU 10 after shifting the ECUs 10, 20, and 21 to the non-normal state (step S101). When the gateway ECU 10 receives the diagnostic mask request signal (step S202), the gateway ECU 10 relays the diagnostic mask request signal to the ECUs 20 and 21, and shifts to the diagnostic mask state (step S203). When the ECUs 20 and 21 also receive the diagnosis mask request signal (step S302), the ECUs 20 and 21 shift to the diagnosis mask state (step S303). The diagnostic mask state is a state that can be selected in the non-normal state, and indicates a state in which the abnormality detection function is invalidated. Even if communication between the ECUs 10, 20, 21 is interrupted when the normal control program data P1 of the gateway ECU 10 is rewritten due to the diagnosis mask state of the ECUs 10, 20, 21, each It is possible to avoid the ECUs 10, 20, and 21 from performing abnormality detection.

外部ツール30は、各ECU10,20,21をダイアグマスク状態に移行させた後、送信停止要求信号をゲートウェイECU10に送信する(ステップS102)。ゲートウェイECU10は、送信停止要求信号を受信すると(ステップS204)、これをECU20,21に中継して送信するとともに、送信停止状態に移行する(ステップS205)。ECU20,21も、送信停止要求信号を受信すると(ステップS304)、送信停止状態に移行する(ステップS305)。送信停止状態とは、非通常状態において選択可能な一状態であり、通常制御用プログラムデータP1の書き換えに必要な信号の送信を除き、他のECUへの信号の送信が停止された状態を示す。各ECU10,20,21が送信停止状態になることにより、通常制御用プログラムデータP1の書き換えに必要な通信のみが行われるようになるため、結果的に外部ツール30とゲートウェイECU10との間の通信速度を向上させることができる。よって、プログラムデータの書き換え速度を向上させることができる。   The external tool 30 transmits the transmission stop request signal to the gateway ECU 10 after shifting the ECUs 10, 20, and 21 to the diagnostic mask state (step S102). When the gateway ECU 10 receives the transmission stop request signal (step S204), the gateway ECU 10 relays it to the ECUs 20 and 21 and transmits it to the transmission stop state (step S205). When the ECUs 20 and 21 also receive the transmission stop request signal (step S304), the ECUs 20 and 21 shift to a transmission stop state (step S305). The transmission stopped state is a state that can be selected in the non-normal state, and indicates a state in which transmission of signals to other ECUs is stopped except for transmission of signals necessary for rewriting the normal control program data P1. . Since each ECU 10, 20, 21 is in a transmission stop state, only communication necessary for rewriting the normal control program data P1 is performed. As a result, communication between the external tool 30 and the gateway ECU 10 occurs. Speed can be improved. Therefore, the rewriting speed of program data can be improved.

外部ツール30は、各ECU10,20,21を送信停止状態に移行させた後、ゲートウェイECU10のセキュリティを解除する。具体的には、外部ツール30は、まず、シード要求信号をゲートウェイECU10に送信する(ステップS103)。ゲートウェイECU10は、シード要求信号を受信すると(ステップS206)、ランダムな文字列からなるシードを生成するとともに(ステップS207)、生成したシードを外部ツール30に送信する(ステップS208)。   The external tool 30 releases the security of the gateway ECU 10 after shifting the ECUs 10, 20, and 21 to the transmission stop state. Specifically, the external tool 30 first transmits a seed request signal to the gateway ECU 10 (step S103). Upon receiving the seed request signal (step S206), the gateway ECU 10 generates a seed including a random character string (step S207) and transmits the generated seed to the external tool 30 (step S208).

外部ツール30は、ゲートウェイECU10から送信されるシードを受信すると(ステップS104)、当該シードに基づいて暗号鍵を生成するとともに(ステップS105)、生成した暗号鍵をゲートウェイECU10に送信する(ステップS106)。ゲートウェイECU10は、外部ツール30にシードを送信した後(ステップS208)、当該シードに基づいて暗号鍵を生成する(ステップS209)。そして、ゲートウェイECU10は、外部ツール30から送信される暗号鍵を受信すると(ステップS210)、自らが生成した暗号鍵と、外部ツール30から送信された暗号鍵とを照合する(ステップS211)。ゲートウェイECU10は、それらの暗号鍵が互いに一致する場合には(ステップS211:YES)、セキュリティを解除し(ステップS212)、その旨を外部ツール30に送信する(ステップS213)。   When receiving the seed transmitted from the gateway ECU 10 (step S104), the external tool 30 generates an encryption key based on the seed (step S105), and transmits the generated encryption key to the gateway ECU 10 (step S106). . After transmitting the seed to the external tool 30 (step S208), the gateway ECU 10 generates an encryption key based on the seed (step S209). When the gateway ECU 10 receives the encryption key transmitted from the external tool 30 (step S210), the gateway ECU 10 collates the encryption key generated by itself with the encryption key transmitted from the external tool 30 (step S211). When these encryption keys match each other (step S211: YES), the gateway ECU 10 releases the security (step S212) and transmits a message to that effect to the external tool 30 (step S213).

外部ツール30は、ゲートウェイECU10のセキュリティが解除された旨を受信すると(ステップS107)、図4に示されるように書き換え許可状態移行要求信号をゲートウェイECU10に送信する(ステップS108)。ゲートウェイECU10は、セキュリティが解除されている状態で書き換え許可状態移行要求信号を受信すると(ステップS214)、書き換え許可状態(Programing Session)に移行する(ステップS215)。書き換え許可状態とは、非通常状態において選択可能な一状態であり、ゲートウェイECU10のROM13に記憶されたデータを書き換えることの可能な状態である。ゲートウェイECU10は、書き換え許可状態に移行すると、実行プログラムを通常制御用プログラムデータP1から書き換え用プログラムデータP2に切り替える。ゲートウェイECU10は、書き換え許可状態に移行した後、その旨を外部ツール30に送信する(ステップS216)。   When the external tool 30 receives that the security of the gateway ECU 10 has been released (step S107), the external tool 30 transmits a rewrite permission state transition request signal to the gateway ECU 10 as shown in FIG. 4 (step S108). When the gateway ECU 10 receives the rewrite permission state transition request signal in a state where the security is released (step S214), the gateway ECU 10 transitions to the rewrite permission state (programming session) (step S215). The rewrite permission state is a state that can be selected in the non-normal state, and is a state in which data stored in the ROM 13 of the gateway ECU 10 can be rewritten. When the gateway ECU 10 shifts to the rewrite permission state, the gateway ECU 10 switches the execution program from the normal control program data P1 to the rewrite program data P2. Gateway ECU10 transmits that to the external tool 30, after transfering to a rewriting permission state (step S216).

書き換え許可状態に移行したゲートウェイECU10は、図5に示される処理を所定の周期で実行する。   The gateway ECU 10 that has transitioned to the rewrite permission state executes the process shown in FIG. 5 at a predetermined cycle.

すなわち、ゲートウェイECU10は、まず、書き換え許可状態であるか否かを判断する(ステップS10)。ゲートウェイECU10は、書き換え許可状態である場合、第1カウンタC1及び第2カウンタC2のそれぞれの値をインクリメントする(ステップS11)。次に、ゲートウェイECU10は、外部ツール30から送信されるプログラムデータの書き換え要求信号を受信したか否かを判断する(ステップS12)。ゲートウェイECU10は、外部ツール30から送信されるプログラムデータの書き換え要求信号を受信した場合には(ステップS12:YES)、外部ツール30から送信される新たなプログラムデータに基づきROM13の通常制御用プログラムデータP1を書き換える処理を行う(ステップS13)。また、ゲートウェイECU10は、第1カウンタC1の値をクリアする(ステップS14)。   That is, the gateway ECU 10 first determines whether or not it is in a rewrite permitted state (step S10). When the gateway ECU 10 is in the rewrite permitted state, the gateway ECU 10 increments each value of the first counter C1 and the second counter C2 (step S11). Next, the gateway ECU 10 determines whether or not a rewrite request signal for program data transmitted from the external tool 30 has been received (step S12). When the gateway ECU 10 receives a rewrite request signal for program data transmitted from the external tool 30 (step S12: YES), the gateway ECU 10 performs normal control program data in the ROM 13 based on the new program data transmitted from the external tool 30. A process of rewriting P1 is performed (step S13). Further, the gateway ECU 10 clears the value of the first counter C1 (step S14).

ゲートウェイECU10は、プログラムデータの書き換え要求信号を受信していない場合には(ステップS12:NO)、外部ツール30から送信される移行要求信号を受信したか否かを判断する(ステップS15)。移行要求信号とは、通常状態移行要求信号、非通常状態移行要求信号、及び書き換え許可状態移行要求信号のいずれかを示す。ゲートウェイECU10は、外部ツール30から送信される移行要求信号を受信している場合には(ステップS15:YES)、移行要求信号に応じた状態へ移行する(ステップS16)。また、ゲートウェイECU10は、第1カウンタC1の値をクリアする(ステップS17)。   When the gateway ECU 10 has not received the program data rewrite request signal (step S12: NO), the gateway ECU 10 determines whether or not a transition request signal transmitted from the external tool 30 has been received (step S15). The transition request signal indicates any one of a normal state transition request signal, a non-normal state transition request signal, and a rewrite permission state transition request signal. When the gateway ECU 10 has received the transition request signal transmitted from the external tool 30 (step S15: YES), the gateway ECU 10 transitions to a state corresponding to the transition request signal (step S16). Further, the gateway ECU 10 clears the value of the first counter C1 (step S17).

ゲートウェイECU10は、移行要求信号を受信していない場合には(ステップS15:NO)、第1カウンタC1の値が第1閾値Cth1以上であるか否かを判断する(ステップS18)。ゲートウェイECU10は、第1カウンタC1の値が第1閾値Cth1以上である場合には(ステップS18:YES)、書き換え許可状態から非通常状態に移行する(ステップS19)。   If the transfer request signal has not been received (step S15: NO), the gateway ECU 10 determines whether or not the value of the first counter C1 is equal to or greater than the first threshold Cth1 (step S18). When the value of the first counter C1 is equal to or greater than the first threshold Cth1 (step S18: YES), the gateway ECU 10 shifts from the rewrite permission state to the non-normal state (step S19).

ゲートウェイECU10は、第1カウンタC1の値が第1閾値Cth1未満である場合(ステップS18;NO)、あるいはステップS14,17,19のいずれかの処理を実行した場合には、第2カウンタC2の値が第2閾値Cth2以上であるか否かを判断する(ステップS20)。なお、第2閾値Cth2は、第2カウンタC2の値が零から第2閾値Cth2に達するまでの経過時間がECU20,21の復帰設定時間よりも短くなるように設定されている。ゲートウェイECU10は、第2カウンタC2の値が第2閾値Cth2以上である場合には(ステップS20:YES)、通信継続信号を生成し(ステップS21)、これをECU20,21に送信する(ステップS22)。また、ゲートウェイECU10は、第2カウンタC2の値をクリアする(ステップS23)。すなわち、ゲートウェイECU10は、第2カウンタC2の値が第2閾値Cth2に達する都度、通信継続信号をECU20,21に送信する。ゲートウェイECU10は、ステップS23の処理を実行した場合、あるいは第2カウンタC2の値が第2閾値Cth2未満である場合には(ステップS20:NO)、ステップS10の処理に戻る。   When the value of the first counter C1 is less than the first threshold Cth1 (step S18; NO) or when the processing of any of steps S14, 17, 19 is executed, the gateway ECU 10 It is determined whether or not the value is greater than or equal to the second threshold Cth2 (step S20). The second threshold Cth2 is set so that the elapsed time until the value of the second counter C2 reaches the second threshold Cth2 from zero is shorter than the return setting time of the ECUs 20 and 21. When the value of the second counter C2 is greater than or equal to the second threshold Cth2 (step S20: YES), the gateway ECU 10 generates a communication continuation signal (step S21) and transmits it to the ECUs 20 and 21 (step S22). ). Further, the gateway ECU 10 clears the value of the second counter C2 (step S23). That is, the gateway ECU 10 transmits a communication continuation signal to the ECUs 20 and 21 each time the value of the second counter C2 reaches the second threshold value Cth2. Gateway ECU10 returns to the process of step S10, when the process of step S23 is performed or when the value of the 2nd counter C2 is less than 2nd threshold value Cth2 (step S20: NO).

なお、図5に示されるステップS20〜S23の処理は、図2に示される書き換え用プログラムデータP2の通信継続用プログラムデータP21の一部に相当する。   Note that the processing in steps S20 to S23 shown in FIG. 5 corresponds to a part of the communication continuation program data P21 of the rewrite program data P2 shown in FIG.

ゲートウェイECU10は、書き換え許可状態とは別の状態に移行した場合、ステップS10で書き換え許可状態でないと判断し(ステップS10:NO)、この処理を終了する。   When the gateway ECU 10 shifts to a state different from the rewrite permission state, the gateway ECU 10 determines that it is not in the rewrite permission state in step S10 (step S10: NO), and ends this process.

次に、図5に示される処理を実行するゲートウェイECU10の動作について図4を参照して説明する。   Next, the operation of the gateway ECU 10 that executes the processing shown in FIG. 5 will be described with reference to FIG.

図4に示されるように、外部ツール30は、書き換え許可状態に移行の旨がゲートウェイECU10から送信されると(ステップS109)、プログラムデータの書き換え要求信号をゲートウェイECU10に送信する(ステップS110)。ゲートウェイECU10は、プログラムデータの書き換え要求信号を受信すると(ステップS217)、当該信号に基づき、ROM13に記憶された通常制御用プログラムデータP1の書き換えを行う(ステップS218)。なお、図示は割愛するが、外部ツール30は、通常制御用プログラムデータP1の書き換えを行っている期間、ゲートウェイECU10と双方向通信を行うことにより、新たな通常制御用プログラムデータP1がROM13に正しく書き込まれているか否かを検証する、いわゆるベリファイ等を行う。また、外部ツール30は、所定の周期で通信継続信号をゲートウェイECU10に送信することにより(ステップS111)、ゲートウェイECU10を書き換え許可状態に維持させる。なお、所定の周期は、ゲートウェイECU10の復帰設定時間よりも短い時間に設定されている。   As shown in FIG. 4, when the external tool 30 transmits a message indicating the transition to the rewrite permission state from the gateway ECU 10 (step S109), the external tool 30 transmits a program data rewrite request signal to the gateway ECU 10 (step S110). Upon receiving the program data rewrite request signal (step S217), the gateway ECU 10 rewrites the normal control program data P1 stored in the ROM 13 based on the signal (step S218). Although not shown, the external tool 30 performs two-way communication with the gateway ECU 10 while the normal control program data P1 is being rewritten, so that the new normal control program data P1 is correctly stored in the ROM 13. A so-called verify or the like is performed to verify whether or not data has been written. In addition, the external tool 30 transmits the communication continuation signal to the gateway ECU 10 at a predetermined cycle (step S111), thereby maintaining the gateway ECU 10 in a rewrite permitted state. The predetermined period is set to a time shorter than the return setting time of the gateway ECU 10.

ゲートウェイECU10は、書き換え許可状態であるとき、第2カウンタC2の値が第2閾値Cth2に達するまでの時間が経過する都度、通信継続信号をECU20,21に送信する(ステップS219)。これにより、ECU20,21は、ダイアグマスク状態及び送信停止状態に維持される。   The gateway ECU 10 transmits a communication continuation signal to the ECUs 20 and 21 whenever the time until the value of the second counter C2 reaches the second threshold value Cth2 elapses in the rewrite permission state (step S219). Thereby, ECU20, 21 is maintained in a diagnostic mask state and a transmission stop state.

外部ツール30及びゲートウェイECU10は、プログラムデータの書き換えが行われている期間、ステップS110,S111及びステップS217,S218の処理を繰り返し実行する。   The external tool 30 and the gateway ECU 10 repeatedly execute the processes of steps S110 and S111 and steps S217 and S218 while the program data is being rewritten.

外部ツール30は、プログラムデータの書き換えが完了すると、通常状態移行要求信号をゲートウェイECU10に送信する(ステップS112)。ゲートウェイECU10は、外部ツール30から送信される通常状態移行要求信号を受信すると(ステップS220)、通常状態に移行する(ステップS221)。また、ゲートウェイECU10は、外部ツール30から送信される通常状態移行要求信号をECU20,21に中継して送信する。これにより、ECU20,21は、通常状態移行要求信号を受信すると(ステップS306)、通常状態に移行する(ステップS307)。   When the rewriting of the program data is completed, the external tool 30 transmits a normal state transition request signal to the gateway ECU 10 (step S112). Gateway ECU10 will transfer to a normal state, if the normal state transfer request signal transmitted from the external tool 30 is received (step S220) (step S221). Further, the gateway ECU 10 relays and transmits the normal state transition request signal transmitted from the external tool 30 to the ECUs 20 and 21. Thereby, ECU20, 21 will transfer to a normal state, if a normal state transfer request signal is received (step S306) (step S307).

以上説明した本実施形態の車載ネットワークシステム1によれば、以下の(1)に示される作用及び効果を得ることができる。   According to the in-vehicle network system 1 of the present embodiment described above, it is possible to obtain the operations and effects shown in the following (1).

(1)外部ツール30を通じてゲートウェイECU10のプログラムデータの書き換えが行われている期間、ゲートウェイECU10からECU20,21に通信継続信号が継続的に送信されるため、ECU20,21を非通常状態に、より詳しくは送信停止状態及びダイアグマスク状態に維持することができる。これにより、ゲートウェイECU10のプログラムデータの書き換えが行われている期間にECU20,21が通常状態に戻ることに起因して発生する不都合、例えばECU20,21がゲートウェイECU10の通信異常を誤検出する等の不都合を解消することができる。   (1) Since the communication continuation signal is continuously transmitted from the gateway ECU 10 to the ECUs 20 and 21 while the program data of the gateway ECU 10 is being rewritten through the external tool 30, the ECUs 20 and 21 are put in an abnormal state. Specifically, it can be maintained in a transmission stop state and a diagnosis mask state. Thereby, inconveniences caused by the ECUs 20 and 21 returning to the normal state during the period when the program data of the gateway ECU 10 is being rewritten, for example, the ECUs 20 and 21 erroneously detect a communication abnormality of the gateway ECU 10. Inconvenience can be eliminated.

<第2実施形態>
次に、車載ネットワークシステム1の第2実施形態について説明する。以下、第1実施形態との相違点を中心に説明する。 Second Embodiment
Next, a second embodiment of the in-vehicle network system 1 will be described. Hereinafter, the difference from the first embodiment will be mainly described.

図6に示されるように、本実施形態のゲートウェイECU10は、ROM13の書き換え用プログラムデータP2に、通信継続用プログラムデータP21に代えて、中継用プログラムデータP24を有している。中継用プログラムデータP24は、外部ツール30とECU20,21との間で通信を中継するためのプログラムである。   As shown in FIG. 6, the gateway ECU 10 of the present embodiment has relay program data P24 in place of the communication continuation program data P21 in the rewrite program data P2 of the ROM 13. The relay program data P24 is a program for relaying communication between the external tool 30 and the ECUs 20 and 21.

具体的には、ゲートウェイECU10は、図4に示される処理に代えて、図7に示される処理を実行する。なお、図7に示される各処理において、図4に示される処理と同一の処理には同一の符号を付すことにより重複する説明を割愛する。   Specifically, gateway ECU10 performs the process shown by FIG. 7 instead of the process shown by FIG. In each process shown in FIG. 7, the same processes as those shown in FIG.

図7に示されるように、ゲートウェイECU10は、第1カウンタC1の値が第1閾値Cth1未満である場合(ステップS18;NO)、外部ツール30から送信される通信継続信号を受信したか否かを判断する(ステップS30)。ゲートウェイECU10は、外部ツール30から送信される通信継続信号を受信した場合(ステップS30:YES)、当該通信継続信号をECU20,21に中継して送信する(ステップS31)。このステップS30,S31の処理が、図6に示される書き換え用プログラムデータP2の中継用プログラムデータP24の一部に相当する。   As shown in FIG. 7, when the value of the first counter C1 is less than the first threshold value Cth1 (step S18; NO), the gateway ECU 10 has received a communication continuation signal transmitted from the external tool 30 or not. Is determined (step S30). When the gateway ECU 10 receives the communication continuation signal transmitted from the external tool 30 (step S30: YES), the gateway ECU 10 relays and transmits the communication continuation signal to the ECUs 20 and 21 (step S31). The processes in steps S30 and S31 correspond to part of the relay program data P24 of the rewrite program data P2 shown in FIG.

ゲートウェイECU10は、ステップS14,S17,S19,S31のいずれかの処理を実行した場合、あるいは外部ツール30から送信される通信継続信号を受信していない場合には(ステップS30:NO)、ステップS10の処理に戻る。   When the gateway ECU 10 has executed any one of steps S14, S17, S19, and S31, or has not received a communication continuation signal transmitted from the external tool 30 (step S30: NO), step S10 is performed. Return to the process.

次に、図7に示される処理を実行するゲートウェイECU10の動作について図8を参照して説明する。なお、図8に示される各処理において、図4に示される処理と同一の符号を付すことにより重複する説明を割愛する。   Next, the operation of the gateway ECU 10 that executes the processing shown in FIG. 7 will be described with reference to FIG. In addition, in each process shown in FIG. 8, the description which overlaps by omitting the same code | symbol as the process shown in FIG. 4 is omitted.

図8に示されるように、ゲートウェイECU10は、書き換え許可状態であるとき、外部ツール30から送信される通信継続信号を受信する都度(ステップS230)、これをECU20,21に中継して送信する。   As shown in FIG. 8, when the gateway ECU 10 is in the rewrite permitted state, the gateway ECU 10 relays and transmits the communication continuation signal transmitted from the external tool 30 to the ECUs 20 and 21 each time it is received (step S230).

以上説明した本実施形態の車載ネットワークシステム1によれば、以下の(2)に示される作用及び効果を更に得ることができる。   According to the in-vehicle network system 1 of the present embodiment described above, the functions and effects shown in the following (2) can be further obtained.

(2)ゲートウェイECU10は、外部ツール30から送信される通信継続信号をECU20,21に中継して送信するだけであるため、第1実施形態のような第2カウンタC2による経過時間の管理が不要となる。すなわち、ゲートウェイECU10から第2カウンタC2を削減することができるため、ゲートウェイECU10の構造を簡素化することができる。   (2) Since the gateway ECU 10 only relays and transmits the communication continuation signal transmitted from the external tool 30 to the ECUs 20 and 21, it is not necessary to manage the elapsed time by the second counter C2 as in the first embodiment. It becomes. That is, since the second counter C2 can be reduced from the gateway ECU 10, the structure of the gateway ECU 10 can be simplified.

<第3実施形態>
次に、車載ネットワークシステム1の第3実施形態について説明する。以下、第2実施形態との相違点を中心に説明する。 <Third Embodiment>
Next, a third embodiment of the in-vehicle network system 1 will be described. Hereinafter, the difference from the second embodiment will be mainly described.

図9に示されるように、本実施形態のゲートウェイECU10では、ROM13の通常制御用プログラムデータP1がメインプログラムデータP10のみからなる。また、ROM13の書き換え用プログラムデータP2もメインプログラムデータP20のみからなる。   As shown in FIG. 9, in the gateway ECU 10 of the present embodiment, the normal control program data P1 in the ROM 13 is composed only of the main program data P10. Further, the rewrite program data P2 in the ROM 13 is composed only of the main program data P20.

本実施形態のROM13には、通常制御用プログラムデータP1及び書き換え用プログラムデータP2に共通して用いられる共通プログラムデータP3が記憶されている。共通プログラムデータP3は、中継用プログラムデータP30と、通信用プログラムデータP31,P32とからなる。中継用プログラムデータP30は、外部ツール30とECU20,21との間で通信を中継するためのプログラムである。中継用プログラムデータP30には、図7に示されるステップS30,S31の処理が含まれる。通信用プログラムデータP31は、外部ツール30と通信を行うためのプログラムである。通信用プログラムP32は、ECU20,21と通信を行うためのプログラムである。   The ROM 13 of this embodiment stores common program data P3 that is commonly used for the normal control program data P1 and the rewrite program data P2. The common program data P3 includes relay program data P30 and communication program data P31 and P32. The relay program data P30 is a program for relaying communication between the external tool 30 and the ECUs 20 and 21. The relay program data P30 includes steps S30 and S31 shown in FIG. The communication program data P31 is a program for communicating with the external tool 30. The communication program P32 is a program for communicating with the ECUs 20 and 21.

以上説明した本実施形態の車載ネットワークシステム1によれば、以下の(3)に示される作用及び効果を更に得ることができる。   According to the in-vehicle network system 1 of the present embodiment described above, the functions and effects shown in the following (3) can be further obtained.

(3)ゲートウェイECU10では、通常状態の際に外部ツール30とECU20,21との間で通信を中継するためのプログラムデータと、ROM13のプログラムデータの書き換えの際に外部ツール30とECU20,21との間で通信を中継するためのプログラムデータとを共通化することができる。これにより、第2実施形態のゲートウェイECU10と比較すると、ROM13の容量を少なくすることができる。   (3) In the gateway ECU 10, the program data for relaying communication between the external tool 30 and the ECUs 20 and 21 in the normal state, and the external tool 30 and the ECUs 20 and 21 in rewriting the program data in the ROM 13 And program data for relaying communication between them can be shared. Thereby, compared with gateway ECU10 of 2nd Embodiment, the capacity | capacitance of ROM13 can be decreased.

<他の実施形態>
なお、上記各実施形態は、以下の形態にて実施することもできる。
・通常制御用プログラムデータP1の書き換え中にゲートウェイECU10からECU20,21に送信される所定の信号は、通信継続信号に限らず、ECU20,21をダイアグマスク状態及び送信停止状態に維持させることの可能な適宜の信号を採用することができる。例えば、非通常状態移行要求信号やダイアグマスク要求信号、送信停止要求信号等を採用してもよい。 <Other embodiments>
In addition, each said embodiment can also be implemented with the following forms.
The predetermined signal transmitted from the gateway ECU 10 to the ECUs 20 and 21 during the rewriting of the normal control program data P1 is not limited to the communication continuation signal, and the ECUs 20 and 21 can be maintained in the diagnosis mask state and the transmission stop state. Any appropriate signal can be employed. For example, an abnormal state transition request signal, a diagnostic mask request signal, a transmission stop request signal, or the like may be employed.

・通常制御用プログラムデータP1及び書き換え用プログラムデータP2が記憶される記憶部は、ROM13に限らず、適宜の記憶装置を採用することができる。   The storage unit in which the normal control program data P1 and the rewrite program data P2 are stored is not limited to the ROM 13, and an appropriate storage device can be employed.

・各実施形態の構成は、ROM13に記憶された通常制御用プログラムデータP1の書き換えの際に限らず、ROM13に記憶された任意のプログラムデータの書き換えの際に用いることが可能である。   The configuration of each embodiment can be used not only when the normal control program data P1 stored in the ROM 13 is rewritten but also when any program data stored in the ROM 13 is rewritten.

・本発明は上記の具体例に限定されるものではない。すなわち、上記の具体例に、当業者が適宜設計変更を加えたものも、本発明の特徴を備えている限り、本発明の範囲に包含される。例えば、前述した各具体例が備える各要素及びその配置や条件等は、例示したものに限定されるわけではなく適宜変更することができる。また、前述した実施形態が備える各要素は、技術的に可能な限りにおいて組み合わせることができ、これらを組み合わせたものも本発明の特徴を含む限り本発明の範囲に包含される。   -This invention is not limited to said specific example. That is, the above-described specific examples that are appropriately modified by those skilled in the art are also included in the scope of the present invention as long as they have the characteristics of the present invention. For example, the elements included in each of the specific examples described above, their arrangement, conditions, and the like are not limited to those illustrated, and can be changed as appropriate. Moreover, each element with which embodiment mentioned above is provided can be combined as long as it is technically possible, and the combination of these is also included in the scope of the present invention as long as it includes the features of the present invention.

1:車載ネットワークシステム
10:ゲートウェイECU(ゲートウェイ制御装置)
13:記憶部
20,21:ECU(電子制御装置)
30:外部ツール
NW1,NW2:ネットワーク 1: In-vehicle network system 10: Gateway ECU (gateway control device)
13: Storage unit 20, 21: ECU (electronic control unit)
30: External tool NW1, NW2: Network

Claims (4)

電子制御装置(20,21)が接続されるネットワーク(NW1)と、外部ツール(30)が接続されるネットワーク(NW2)とがゲートウェイ制御装置(10)を介して接続される車載ネットワークシステム(1)であって、
前記電子制御装置は、
前記外部ツールを通じて前記ゲートウェイ制御装置のプログラムデータの書き換えが行われる際、通常状態から非通常状態に移行するとともに、
前記非通常状態に移行した際、所定の信号を予め定められた復帰設定時間受信できないことを条件に前記通常状態に復帰するものであり、
前記ゲートウェイ制御装置は、
前記プログラムデータが記憶された記憶部(13)を有し、
前記外部ツールにより前記記憶部の前記プログラムデータの書き換えが行われている期間、前記電子制御装置に前記所定の信号を継続的に送信することを特徴とする車載ネットワークシステム。 An in-vehicle network system (1) in which a network (NW1) to which the electronic control device (20, 21) is connected and a network (NW2) to which the external tool (30) is connected are connected via the gateway control device (10). ) And
The electronic control device
When rewriting the program data of the gateway control device through the external tool, the normal state shifts to the non-normal state,
When transitioning to the non-normal state, it is to return to the normal state on the condition that a predetermined signal cannot be received in a predetermined return setting time,
The gateway controller is
A storage unit (13) in which the program data is stored;
The in-vehicle network system, wherein the predetermined signal is continuously transmitted to the electronic control unit during a period when the program data in the storage unit is rewritten by the external tool. 前記ゲートウェイ制御装置は、前記外部ツールから送信される信号を前記所定の信号として前記電子制御装置に中継して送信することを特徴とする請求項1に記載の車載ネットワークシステム。   The in-vehicle network system according to claim 1, wherein the gateway control device relays a signal transmitted from the external tool to the electronic control device as the predetermined signal. 前記ゲートウェイ制御装置は、
前記外部ツールからの要求に基づき前記通常状態から書き換え許可状態に移行するとともに、前記書き換え許可状態になっている期間に限り、前記記憶部に記憶された前記プログラムデータの書き換えが可能になるとともに、
前記書き換え許可状態になっている期間、前記外部ツールから送信される通信継続信号を継続的に受信することに基づいて前記書き換え許可状態を維持するものであり、
前記通信継続信号を前記所定の信号として前記電子制御装置に中継して送信することを特徴とする請求項2に記載の車載ネットワークシステム。 The gateway controller is
Based on the request from the external tool, the program shifts from the normal state to the rewrite permitted state, and the program data stored in the storage unit can be rewritten only during the rewrite permitted state.
Maintaining the rewrite permission state based on continuously receiving a communication continuation signal transmitted from the external tool during the rewrite permission state,
The in-vehicle network system according to claim 2, wherein the communication continuation signal is relayed and transmitted to the electronic control device as the predetermined signal. 前記記憶部には、
前記ゲートウェイ制御装置が通常状態の際に実行する通常制御用プログラムデータと、
前記記憶部のプログラムデータの書き換えの際に実行される書き換え用プログラムデータと、
前記通常制御用プログラムデータ及び前記書き換え用プログラムデータに共通して用いられ、前記外部ツールと前記電子制御装置との間の通信を中継するための共通プログラムデータと、が記憶されることを特徴とする請求項1〜3のいずれか一項に記載の車載ネットワークシステム。 In the storage unit,
Program data for normal control executed when the gateway control device is in a normal state;
Rewrite program data executed when rewriting program data in the storage unit;
Common program data used for relaying communication between the external tool and the electronic control device, which is used in common for the normal control program data and the rewrite program data, is stored. The in-vehicle network system according to any one of claims 1 to 3.
JP2014249152A 2014-12-09 2014-12-09 On-vehicle network system Pending JP2016107908A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014249152A JP2016107908A (en) 2014-12-09 2014-12-09 On-vehicle network system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014249152A JP2016107908A (en) 2014-12-09 2014-12-09 On-vehicle network system

Publications (1)

Publication Number Publication Date
JP2016107908A true JP2016107908A (en) 2016-06-20

Family

ID=56122940

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014249152A Pending JP2016107908A (en) 2014-12-09 2014-12-09 On-vehicle network system

Country Status (1)

Country Link
JP (1) JP2016107908A (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011108167A (en) * 2009-11-20 2011-06-02 Toyota Infotechnology Center Co Ltd Computer system
US20110197187A1 (en) * 2010-02-08 2011-08-11 Seung Hyun Roh Vehicle software download system and method thereof
JP2014230140A (en) * 2013-05-23 2014-12-08 本田技研工業株式会社 Repeating device

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011108167A (en) * 2009-11-20 2011-06-02 Toyota Infotechnology Center Co Ltd Computer system
US20110197187A1 (en) * 2010-02-08 2011-08-11 Seung Hyun Roh Vehicle software download system and method thereof
JP2014230140A (en) * 2013-05-23 2014-12-08 本田技研工業株式会社 Repeating device

Similar Documents

Publication Publication Date Title
JP7105279B2 (en) Security device, attack detection method and program
JP6594732B2 (en) Fraud frame handling method, fraud detection electronic control unit, and in-vehicle network system
WO2016204081A1 (en) Vehicle-mounted relay device, vehicle-mounted communication system and relay program
US9081699B2 (en) Relay device
JP2017069941A (en) Fraud-detection electronic control unit, in-vehicle network system, and communication method
JP6692763B2 (en) Control device and control program updating method
JP6369341B2 (en) In-vehicle communication system
JP6284903B2 (en) COMMUNICATION DEVICE AND COMMUNICATION LIMIT PROGRAM
WO2017061079A1 (en) Security device, attack detection method, and program
US20180316721A1 (en) Information processing device, information processing system, information processing method, and information processing program
JP6036569B2 (en) Security equipment
JP6390398B2 (en) In-vehicle network system
JP2018132956A (en) Control unit and control program updating method
US20170272451A1 (en) Monitoring apparatus and communication system
JP2016107908A (en) On-vehicle network system
JP5492150B2 (en) Multiple controller system and its operation method
US10917387B2 (en) Information processing device, information processing system, information processing method, and information processing program
US10841284B2 (en) Vehicle communication network and method
JP2013112120A (en) In-vehicle communication system
JP6620696B2 (en) Electronic control unit
KR101570711B1 (en) Gateway for vehicle, and diagnostic communication method for MCU disable of the same, and reprogram method of the same
JP2018166309A (en) In-vehicle network system, electronic control device, communication method and computer program
JP2018093370A (en) On-vehicle electronic control device, on-vehicle electronic control system, and relay device
JP6561917B2 (en) Control device
JP2019021129A5 (en)

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170428

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180202

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180213

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20180807