JP2017001567A - 更新マネジャおよびこれを用いた車載ソフトウェア更新システム - Google Patents
更新マネジャおよびこれを用いた車載ソフトウェア更新システム Download PDFInfo
- Publication number
- JP2017001567A JP2017001567A JP2015118878A JP2015118878A JP2017001567A JP 2017001567 A JP2017001567 A JP 2017001567A JP 2015118878 A JP2015118878 A JP 2015118878A JP 2015118878 A JP2015118878 A JP 2015118878A JP 2017001567 A JP2017001567 A JP 2017001567A
- Authority
- JP
- Japan
- Prior art keywords
- update
- update data
- data
- property information
- manager
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Stored Programmes (AREA)
Abstract
【課題】車載ソフトウェアの更新に当たって、不正な車載ソフトウェアの混入を防ぐことのできる更新マネジャを得る。【解決手段】配信装置100の配信するソフトウェアの更新データ110を通信装置200が取得し、この更新データ110は、更新マネジャ300の更新データ取得手段301によって取得され、さらに更新データ認証手段302によって更新データ110が認証され、この認証された更新データ110を、更新データ適用手段303によって更新対象400の車載ソフトウェアに適用するようにした。【選択図】図1
Description
この発明は、車載制御装置に搭載される車載ソフトウェアの更新を行う更新マネジャおよびこれを用いた車載ソフトウェア更新システムに関するものである。
自動車の制御ソフトウェアの更新は従来、サービスマンが車載ネットワークに接続した専用のツールを操作して行っていたが、近年、サーバと無線通信してリモートで更新する技術が注目されている。
このような車載ソフトウェア更新システムには、管理された環境で行う従来の方法と異なり、更新時に車両が安全な状態であることの保証、及び不正なソフトウェアが混入しないことの保証が課題となる。
このような車載ソフトウェア更新システムには、管理された環境で行う従来の方法と異なり、更新時に車両が安全な状態であることの保証、及び不正なソフトウェアが混入しないことの保証が課題となる。
この課題を解決するために、特許文献1では、更新マネジャが各制御装置の負荷状態を監視して、安全な状態であると判定したら更新を開始する更新可否判定の技術が記載されている。
また、特許文献2では、更新マネジャがサーバと認証を行うことで、サーバの成りすましなどによる不正なソフトウェアの混入を防止する方法が記載されている。
また、特許文献2では、更新マネジャがサーバと認証を行うことで、サーバの成りすましなどによる不正なソフトウェアの混入を防止する方法が記載されている。
上記のような対策を同時に実施する場合、まず、更新マネジャが更新可否判定を誤ったら、走行中に更新が始まり制御装置が急停止するなどの危険が考えられる。安全なシステムを設計するためには、更新マネジャには更新対象の制御装置と同等かそれ以上の信頼性の設計が必要となる。
一方で、更新マネジャがサーバと認証して無線通信を行う場合、このような通信装置としてのユニットは近年、通信を活用した様々なサービスを提供する役目を期待されることが多くなってきており、高機能なユニットとなるため、高信頼性の設計を行うにはコストが問題となる。
そのため車載ソフトウェア更新システムでは、サーバから更新ファイルを取得する機能を持つ通信装置を、更新マネジャから分離した構成が望ましい。
一方で、更新マネジャがサーバと認証して無線通信を行う場合、このような通信装置としてのユニットは近年、通信を活用した様々なサービスを提供する役目を期待されることが多くなってきており、高機能なユニットとなるため、高信頼性の設計を行うにはコストが問題となる。
そのため車載ソフトウェア更新システムでは、サーバから更新ファイルを取得する機能を持つ通信装置を、更新マネジャから分離した構成が望ましい。
しかしながら、この構成の場合、取得した更新ファイルが不正なものでないことを保証するのは通信装置である。通信装置は、前述の理由から更新マネジャに比べると低信頼性の設計であることが多く、相対的に誤作動が起こりやすい。
また、オンラインのため、セキュリティ攻撃の対象となりやすい。そのため、通信装置が誤作動やセキュリティ攻撃の影響で不正なデータを不正でないと判断した場合、これを受けた更新マネジャが不正なデータを用いて更新を行うという問題がある。
また、オンラインのため、セキュリティ攻撃の対象となりやすい。そのため、通信装置が誤作動やセキュリティ攻撃の影響で不正なデータを不正でないと判断した場合、これを受けた更新マネジャが不正なデータを用いて更新を行うという問題がある。
この発明は、上述のような課題を解決するためになされたものであり、車載ソフトウェアの更新に当たって、不正な車載ソフトウェアの混入を防ぐことのできる更新マネジャおよびこれを用いた車載ソフトウェア更新システムを得ることを目的とする。
この発明に係わる更新マネジャにおいては、配信装置から配信されたソフトウェアの更新データを取得する更新データ取得手段、この更新データ取得手段によって取得された更新データの認証を行う更新データ認証手段、およびこの更新データ認証手段によって認証された更新データを車載制御装置に対して適用する更新データ適用手段を備えたものである。
この発明によれば、配信装置から配信されたソフトウェアの更新データを取得する更新データ取得手段、この更新データ取得手段によって取得された更新データの認証を行う更新データ認証手段、およびこの更新データ認証手段によって認証された更新データを車載制御装置に対して適用する更新データ適用手段を備えたので、不正な車載ソフトウェアの混入を防ぐことができる。
実施の形態1.
以下に、本発明の実施の形態にかかる車載ソフトウェア更新システムを図に基づいて詳細に説明する。なお、この実施の形態によりこの発明が限定されるものではない。
以下に、本発明の実施の形態にかかる車載ソフトウェア更新システムを図に基づいて詳細に説明する。なお、この実施の形態によりこの発明が限定されるものではない。
図1は、この発明の実施の形態1における車載ソフトウェア更新システムを示す構成図である。
図1において、配信装置100は、認証情報を含む車載ソフトウェアの更新データ110を有する。通信装置200は、配信装置100から認証情報を含む更新データ110を取得し、更新マネジャ300に提供する。
更新マネジャ300は、更新データ110を認証し、適合と判断すれば、後述する更新対象400に適用する。この更新マネジャ300は、次のように構成されている。
更新データ取得手段301は、通信装置200から更新データ110を取得する。更新データ認証手段302は、更新データ110の認証を行う。更新データ適用手段303は、更新データ認証手段302による認証で適合の場合に、更新データ110を更新対象400に適用する。更新対象400(車載制御装置)は、更新データ110が適用され、搭載された車載ソフトウェアが更新される。
なお、更新マネジャ300は、通信装置200とは独立したユニットである。
図1において、配信装置100は、認証情報を含む車載ソフトウェアの更新データ110を有する。通信装置200は、配信装置100から認証情報を含む更新データ110を取得し、更新マネジャ300に提供する。
更新マネジャ300は、更新データ110を認証し、適合と判断すれば、後述する更新対象400に適用する。この更新マネジャ300は、次のように構成されている。
更新データ取得手段301は、通信装置200から更新データ110を取得する。更新データ認証手段302は、更新データ110の認証を行う。更新データ適用手段303は、更新データ認証手段302による認証で適合の場合に、更新データ110を更新対象400に適用する。更新対象400(車載制御装置)は、更新データ110が適用され、搭載された車載ソフトウェアが更新される。
なお、更新マネジャ300は、通信装置200とは独立したユニットである。
次に、動作について説明する。
実施の形態1は、更新マネジャ300が通信装置200から認証情報を含む車載ソフトウェアの更新データ110を取得し、この更新データ110について認証を行い、更新対象400に適用する車載ソフトウェア更新システムについてのものである。
すなわち、通信装置200は、配信装置100から、認証情報を含む車載ソフトウェアの更新データ110を取得し、更新マネジャ300に提供する。
更新マネジャ300は、更新データ取得手段301により通信装置200から更新データ110を取得し、更新データ認証手段302により更新データ110の認証を行い、適合と判断すれば、更新データ適用手段303により、更新データ110を更新対象400に適用し、更新対象400に搭載された車載ソフトウェアを更新する。
実施の形態1は、更新マネジャ300が通信装置200から認証情報を含む車載ソフトウェアの更新データ110を取得し、この更新データ110について認証を行い、更新対象400に適用する車載ソフトウェア更新システムについてのものである。
すなわち、通信装置200は、配信装置100から、認証情報を含む車載ソフトウェアの更新データ110を取得し、更新マネジャ300に提供する。
更新マネジャ300は、更新データ取得手段301により通信装置200から更新データ110を取得し、更新データ認証手段302により更新データ110の認証を行い、適合と判断すれば、更新データ適用手段303により、更新データ110を更新対象400に適用し、更新対象400に搭載された車載ソフトウェアを更新する。
ここで、配信装置100は、通信装置200に更新データ110を配信する機能を有すればその形態は問わない。すなわち、サーバや記憶媒体などを含む。また、通信装置200と配信装置100の間の通信方法も問わない。すなわち、無線でも有線でもよい。
また、更新データ110は、実際に更新対象400に適用される更新ファイルと、認証情報とを含む。これらはパッケージングして配信してもよいし、別々に配信してもよい。
また、認証情報の形式や更新データ認証手段302での認証の方式は問わないものとする。
また、認証情報の形式や更新データ認証手段302での認証の方式は問わないものとする。
更新データ110の更新ファイルは、更新対象400に実装したい更新ソフトウェアそのものでもよいし、更新対象400に現在実装されている車載ソフトウェアと、更新対象400に実装したい更新ソフトウェアとの差分情報でもよい。
差分情報の場合、更新マネジャ300または更新対象400において、更新対象400の現在の車載ソフトウェアと合成して実装したい更新ソフトウェアを生成する処理を含む。
差分情報の場合、更新マネジャ300または更新対象400において、更新対象400の現在の車載ソフトウェアと合成して実装したい更新ソフトウェアを生成する処理を含む。
更新対象400は、1つまたは複数存在する。更新マネジャ300と通信するユニットが含まれ、あるいは更新マネジャ300そのものが更新対象400に含まれる構成であってもよい。
また、1つの更新対象400に適用される更新データ110の個数は問わない。
また、1つの更新対象400に適用される更新データ110の個数は問わない。
また、更新データ適用手段303は、安全確保のため、更新対象400や車両全体の状態から更新開始や継続の可否を判定する機能や、車載ソフトウェアの更新後の更新対象400のROMの内容が更新ファイルと適合しているかどうかを確認する機能や、車載ソフトウェアの更新後の更新対象400が正しい挙動を行うかどうかを確認する機能を含んでいてもよい。
さらに、更新対象400や車両全体の状態から更新開始や継続の可否を判定する機能では、車速やシフトレバー位置、イグニッションスイッチ位置、バッテリー残量、サイドブレーキ状態、ドアロック状態、ネットワークのトラフィック、などの車両の情報を使用して、車両が車載ソフトウェアの更新を行うのに適切な状態であるかどうかを確認する処理を含んでいてもよい。
また、更新後の更新対象400のROMの内容が更新ファイルと適合しているかどうかを確認する機能では、更新マネジャ300が更新対象400から更新後のROMの状態を示す情報、すなわち、ROMデータ全て、またはハッシュ値、CRC、チェックサムの計算値などを取得して、更新データ110に含まれるか、または更新マネジャ300で計算したそれらの値と比較することで確認する機能を含んでいてもよい。
また、更新後の更新対象400が正しい挙動を行うかどうかを確認する機能では、ネットワーク通信で特定のメッセージに正しい応答が返ってくるかどうかを確認する処理を含んでいてもよい。
実施の形態1によれば、以上のように、通信装置を更新マネジャから分離し、通信装置が配信装置から取得した更新データを更新マネジャに提供する構成で、更新マネジャが更新データの認証を行うことによる高信頼性のため、誤作動が少なく、またオフラインのため、セキュリティリスクの少ない更新マネジャが、不正なデータが混入していないことを保証し、確実に車載ソフトウェアの更新を行うことができる。
実施の形態2.
図2は、この発明の実施の形態2における車載ソフトウェア更新システムを示す構成図である。
図2において、100、110、200、300〜303、400は図1におけるものと同一のものである。図2では、配信装置100は、更新データ110に関連したプロパティ情報111を有する。更新マネジャ300には、プロパティ情報111を取得するプロパティ情報取得手段304と、プロパティ情報111を用いて、依存関係のある更新データを抽出する依存関係管理手段305(依存関係判定手段)とが設けられている。
図2は、この発明の実施の形態2における車載ソフトウェア更新システムを示す構成図である。
図2において、100、110、200、300〜303、400は図1におけるものと同一のものである。図2では、配信装置100は、更新データ110に関連したプロパティ情報111を有する。更新マネジャ300には、プロパティ情報111を取得するプロパティ情報取得手段304と、プロパティ情報111を用いて、依存関係のある更新データを抽出する依存関係管理手段305(依存関係判定手段)とが設けられている。
協調動作する複数のユニット(更新対象)を更新する場合、例えばネットワークメッセージの送信側と受信側のように、一部の更新を実行したら残りの更新も実行しないと協調動作のエラーとなる組み合わせが存在し得る。
このような更新データを依存関係があると呼ぶこととする。更新マネジャ300で更新データ110の認証を行う本発明の構成では、依存関係のある更新データ110のうち、一部の更新データが適用された状態で、残りの更新データが認証により不適合となると、この残りの更新データを更新対象400に適用できず、上述のようなエラーが発生する場合がある。
実施の形態2は、依存関係を破綻させないために、実施の形態1の構成に加えて、更新マネジャ300が、依存関係にある更新データを全て保持した状態で認証を行う処理を追加した構成についてのものである。
このような更新データを依存関係があると呼ぶこととする。更新マネジャ300で更新データ110の認証を行う本発明の構成では、依存関係のある更新データ110のうち、一部の更新データが適用された状態で、残りの更新データが認証により不適合となると、この残りの更新データを更新対象400に適用できず、上述のようなエラーが発生する場合がある。
実施の形態2は、依存関係を破綻させないために、実施の形態1の構成に加えて、更新マネジャ300が、依存関係にある更新データを全て保持した状態で認証を行う処理を追加した構成についてのものである。
次に、実施の形態1に付加した構成についてのみ説明する。
配信装置100は、更新データ110に関連したプロパティ情報111を配信する。プロパティ情報111は、複数の更新データ110の間の依存関係に関する情報を含む。通信装置200は、これを取得し、更新マネジャ300に提供する。
更新マネジャ300は、プロパティ情報取得手段304によりプロパティ情報111を取得し、依存関係管理手段305により、依存関係のある更新データ110を抽出して選択的に取得し、全て更新マネジャ300が保持した状態で認証を行い、全て不正なファイルでないと判定したら、それぞれ更新対象400への適用の処理を行う。
配信装置100は、更新データ110に関連したプロパティ情報111を配信する。プロパティ情報111は、複数の更新データ110の間の依存関係に関する情報を含む。通信装置200は、これを取得し、更新マネジャ300に提供する。
更新マネジャ300は、プロパティ情報取得手段304によりプロパティ情報111を取得し、依存関係管理手段305により、依存関係のある更新データ110を抽出して選択的に取得し、全て更新マネジャ300が保持した状態で認証を行い、全て不正なファイルでないと判定したら、それぞれ更新対象400への適用の処理を行う。
実施の形態2によれば、不正な更新データが混入したときでも、依存関係のある更新ファイルの一部だけを適用して協調動作が破綻するというエラーを防ぐことができる。
実施の形態3.
図3は、この発明の実施の形態3における車載ソフトウェア更新システムを示す構成図である。
図3において、100、110、111、200、300〜305、400は図2におけるものと同一のものである。図3では、更新マネジャ300に、中断処理判定手段306を設け、依存関係の程度から依存関係が破綻した状態での車両の使用を許容するか否か
を判定する。
図3は、この発明の実施の形態3における車載ソフトウェア更新システムを示す構成図である。
図3において、100、110、111、200、300〜305、400は図2におけるものと同一のものである。図3では、更新マネジャ300に、中断処理判定手段306を設け、依存関係の程度から依存関係が破綻した状態での車両の使用を許容するか否か
を判定する。
更新データ110の依存関係の破綻によって起こるエラーの内容が、全く車両が動かないとか、ドライバーを危険にさらすといった内容でなければ、ユーザに車両を即座に使用する強い要求があった場合、更新対象400に対する更新を中断して依存関係の破綻した状態での車両の使用を許容する運用も考えられる。
実施の形態3は、このような運用を実現するため、実施の形態2の構成に加えて、さらに依存関係の程度に応じて、依存関係が破綻した状態で車両を動作させることを許容する処理を追加した構成についてのものである。
実施の形態3は、このような運用を実現するため、実施の形態2の構成に加えて、さらに依存関係の程度に応じて、依存関係が破綻した状態で車両を動作させることを許容する処理を追加した構成についてのものである。
次に、図3を用いて、実施の形態2に付加した構成についてのみ説明する。
プロパティ情報111は、依存関係のある更新データ110における依存関係の程度を示す情報を含む。更新マネジャ300は、中断処理判定手段306により、依存関係の程度から依存関係が破綻した状態での車両の使用を許容するか否かを判定し、許容する場合はユーザの要求に応じて、依存関係が破綻した状態での更新処理を中断し、車両の使用を許容する。
プロパティ情報111は、依存関係のある更新データ110における依存関係の程度を示す情報を含む。更新マネジャ300は、中断処理判定手段306により、依存関係の程度から依存関係が破綻した状態での車両の使用を許容するか否かを判定し、許容する場合はユーザの要求に応じて、依存関係が破綻した状態での更新処理を中断し、車両の使用を許容する。
実施の形態3によれば、更新データの依存関係が破綻していてもユーザに危険が及ばない場合などに、ユーザが緊急で車両を使用したいなどの要求に応じて、更新処理を中断し、即座に車両を使用できる状態にすることができる。
実施の形態4.
図4は、この発明の実施の形態4における車載ソフトウェア更新システムを示す構成図である。
図4において、100、110、111、200、300〜306、400は図3におけるものと同一のものである。図4では、更新マネジャ300に、更新データ110の依存関係が破綻することで起こりうるエラーをユーザに通知する通知手段307を設けている。
図4は、この発明の実施の形態4における車載ソフトウェア更新システムを示す構成図である。
図4において、100、110、111、200、300〜306、400は図3におけるものと同一のものである。図4では、更新マネジャ300に、更新データ110の依存関係が破綻することで起こりうるエラーをユーザに通知する通知手段307を設けている。
実施の形態4は、実施の形態3の構成に加えて、依存関係が破綻した状態で車両を使用する場合に起こりうるエラーの内容をユーザに通知する処理を追加した構成についてのものである。
次に、図4を用いて、実施の形態4に付加した構成についてのみ説明する。
プロパティ情報111は、依存関係のある更新データ110において、依存関係が破綻したときに起こりうるエラーに関する情報を含む。
更新マネジャ300は、通知手段307により、依存関係が破綻した状態で車両を使用することを許容する際に、依存関係が破綻することで起こりうるエラーをユーザに通知する。
プロパティ情報111は、依存関係のある更新データ110において、依存関係が破綻したときに起こりうるエラーに関する情報を含む。
更新マネジャ300は、通知手段307により、依存関係が破綻した状態で車両を使用することを許容する際に、依存関係が破綻することで起こりうるエラーをユーザに通知する。
実施の形態4によれば、依存関係が破綻した状態で車両を使用していることをユーザに認識させ、緊急で車両を使用するケースを除いて、極力依存関係を破綻させないように運用することができる。
実施の形態5.
図5は、この発明の実施の形態5における車載ソフトウェア更新システムを示す構成図である。
図5において、100、110、111、200、300〜307、400は図4におけるものと同一のものである。図5では、更新マネジャ300に、更新マネジャ300が依存関係のある更新データを全て保持する際に、自身のメモリに格納しきれるかどうかを
判定する保存容量管理手段308(記憶容量判定手段)を設けている。
図5は、この発明の実施の形態5における車載ソフトウェア更新システムを示す構成図である。
図5において、100、110、111、200、300〜307、400は図4におけるものと同一のものである。図5では、更新マネジャ300に、更新マネジャ300が依存関係のある更新データを全て保持する際に、自身のメモリに格納しきれるかどうかを
判定する保存容量管理手段308(記憶容量判定手段)を設けている。
実施の形態5は、実施の形態4の構成に加えて、更新マネジャ300が依存関係のある更新データを全て保持する際に、自身のメモリに格納しきれるかどうかを判定する処理を追加した構成についてのものである。
次に、図5を用いて、実施の形態4に付加した構成についてのみ説明する。
プロパティ情報111は、各更新データ110のサイズに関する情報を含む。更新マネジャ300は、保存容量管理手段308により、依存関係にある更新データ110の合計サイズを算出し、自身のメモリに全て保持できるかどうかを判定し、可能なら更新データ110の取得を行い、不可能なら更新データ110の取得を行わないようにした。
なお、実施の形態5は、図5の構成に限らず、中断処理判定手段306と通知手段307とを持たない構成であってもよいことは勿論である。
プロパティ情報111は、各更新データ110のサイズに関する情報を含む。更新マネジャ300は、保存容量管理手段308により、依存関係にある更新データ110の合計サイズを算出し、自身のメモリに全て保持できるかどうかを判定し、可能なら更新データ110の取得を行い、不可能なら更新データ110の取得を行わないようにした。
なお、実施の形態5は、図5の構成に限らず、中断処理判定手段306と通知手段307とを持たない構成であってもよいことは勿論である。
実施の形態5によれば、依存関係のある更新データを更新マネジャが保持できるかどうかを予め判定できるため、保持できない場合の更新データを取得する処理を省略することができる。
実施の形態6.
図6は、この発明の実施の形態6における車載ソフトウェア更新システムを示す構成図である。
図6において、100、110、200、300〜303、400は図1におけるものと同一のものである。図6では、配信装置100は更新データ110に関連したプロパティ情報111を有する。更新マネジャ300には、プロパティ情報111を取得するプロパティ情報取得手段304と、プロパティ情報取得手段304により取得されたプロパティ情報111を用いて、更新データ110の更新順序を管理する更新順序管理手段309(更新順序取得手段)とが設けられている。
図6は、この発明の実施の形態6における車載ソフトウェア更新システムを示す構成図である。
図6において、100、110、200、300〜303、400は図1におけるものと同一のものである。図6では、配信装置100は更新データ110に関連したプロパティ情報111を有する。更新マネジャ300には、プロパティ情報111を取得するプロパティ情報取得手段304と、プロパティ情報取得手段304により取得されたプロパティ情報111を用いて、更新データ110の更新順序を管理する更新順序管理手段309(更新順序取得手段)とが設けられている。
依存関係のある更新データ110においても、例えば更新対象400a(a、bは個別の更新対象400を示す)にセンシングデータを送信する機能を追加する更新を行い、更新対象400bにこれを受信して演算に利用する機能を追加する更新を行うとき、更新対象400bの更新のみを行った場合は、受信すべきメッセージが存在せず処理が破綻するが、更新対象400aの更新のみを行った場合は、更新対象400bは更新対象400aに追加されたメッセージを無視するだけで大きな問題とはならないような組み合わせが存在し得る。
この場合、更新対象400aの更新を先に行うことで、更新対象400bの更新データ110が不正だった場合でも協調動作を破綻させない更新を行うことができる。
実施の形態6では、これに対応して、実施の形態1の構成に加えて、更新マネジャ300に、更新順序に従い更新データ110を取得する処理を追加した構成についてのものである。
この場合、更新対象400aの更新を先に行うことで、更新対象400bの更新データ110が不正だった場合でも協調動作を破綻させない更新を行うことができる。
実施の形態6では、これに対応して、実施の形態1の構成に加えて、更新マネジャ300に、更新順序に従い更新データ110を取得する処理を追加した構成についてのものである。
次に、図6を用いて、実施の形態1に付加した構成についてのみ説明する。
配信装置100は、更新データ110に関連したプロパティ情報111を配信する。プロパティ情報111は、更新データ110の更新順序に関する情報を含む。通信装置200は、このプロパティ情報111を取得し、更新マネジャ300に提供する。
更新マネジャ300は、プロパティ情報取得手段304によりプロパティ情報111を取得し、更新順序管理手段309により、更新データ110の更新順序を判定し、その順番に更新データ110を取得し、実施の形態1で述べたような認証・適用を行う。
配信装置100は、更新データ110に関連したプロパティ情報111を配信する。プロパティ情報111は、更新データ110の更新順序に関する情報を含む。通信装置200は、このプロパティ情報111を取得し、更新マネジャ300に提供する。
更新マネジャ300は、プロパティ情報取得手段304によりプロパティ情報111を取得し、更新順序管理手段309により、更新データ110の更新順序を判定し、その順番に更新データ110を取得し、実施の形態1で述べたような認証・適用を行う。
実施の形態6によれば、優先的に実施すべき更新を先に実施することができ、更新デー
タ間の依存関係の内容によっては、依存関係を持つ更新データの一部のみを適用しても協調動作を破綻させない車載ソフトウェア更新システムを提供できる。
タ間の依存関係の内容によっては、依存関係を持つ更新データの一部のみを適用しても協調動作を破綻させない車載ソフトウェア更新システムを提供できる。
図7は、この発明の実施の形態1〜実施の形態6に記載のすべての機能を備えた車載ソフトウェア更新システムを示す構成図である。
図7においては、100、110、111、200、300〜308、400は図5におけるものと、309は図6におけるものとそれぞれ同一のものである。
この発明は、上述の実施の形態1〜実施の形態6で述べた機能をすべて有する図7の構成とすることも可能である。
この場合、例えば、更新データの依存関係の程度に応じて、依存関係のある更新データのうち更新順序の早い更新データを適用した後に、次の更新データの更新を中断させるようにすることも可能である。
このように、図7の構成では、実施の形態1〜実施の形態6で述べた効果をすべて有することは言うまでもない。
図7においては、100、110、111、200、300〜308、400は図5におけるものと、309は図6におけるものとそれぞれ同一のものである。
この発明は、上述の実施の形態1〜実施の形態6で述べた機能をすべて有する図7の構成とすることも可能である。
この場合、例えば、更新データの依存関係の程度に応じて、依存関係のある更新データのうち更新順序の早い更新データを適用した後に、次の更新データの更新を中断させるようにすることも可能である。
このように、図7の構成では、実施の形態1〜実施の形態6で述べた効果をすべて有することは言うまでもない。
なお、本発明は、その発明の範囲内において、各実施の形態を自由に組み合わせたり、各実施の形態を適宜、変形、省略することが可能である。
100 配信装置
110 更新データ
111 プロパティ情報
200 通信装置
300 更新マネジャ
301 更新データ取得手段
302 更新データ認証手段
303 更新データ適用手段
304 プロパティ情報取得手段
305 依存関係管理手段
306 中断処理判定手段
307 通知手段
308 保存容量管理手段
309 更新順序管理手段
400 更新対象
110 更新データ
111 プロパティ情報
200 通信装置
300 更新マネジャ
301 更新データ取得手段
302 更新データ認証手段
303 更新データ適用手段
304 プロパティ情報取得手段
305 依存関係管理手段
306 中断処理判定手段
307 通知手段
308 保存容量管理手段
309 更新順序管理手段
400 更新対象
この発明に係わる更新マネジャにおいては、配信装置から配信されたソフトウェアの更新データを取得する更新データ取得手段、この更新データ取得手段によって取得された更新データの認証を行う更新データ認証手段、この更新データ認証手段によって認証された更新データを車載制御装置に対して適用する更新データ適用手段、配信装置から配信され、更新データ間の依存関係を定義したプロパティ情報を取得するプロパティ情報取得手段、およびこのプロパティ情報取得手段によって取得されたプロパティ情報から更新データ間の依存関係を判定する依存関係判定手段を備え、更新データ認証手段は、依存関係判定手段によって判定された依存関係のある更新データを同時に保持した状態で認証を行い、更新データ適用手段は、依存関係のあるすべての更新データが認証された場合に車載制御装置に対して適用するものである。
この発明によれば、配信装置から配信されたソフトウェアの更新データを取得する更新データ取得手段、この更新データ取得手段によって取得された更新データの認証を行う更新データ認証手段、この更新データ認証手段によって認証された更新データを車載制御装置に対して適用する更新データ適用手段、配信装置から配信され、更新データ間の依存関係を定義したプロパティ情報を取得するプロパティ情報取得手段、およびこのプロパティ情報取得手段によって取得されたプロパティ情報から更新データ間の依存関係を判定する依存関係判定手段を備え、更新データ認証手段は、依存関係判定手段によって判定された依存関係のある更新データを同時に保持した状態で認証を行い、更新データ適用手段は、依存関係のあるすべての更新データが認証された場合に車載制御装置に対して適用するので、不正な車載ソフトウェアの混入を防ぐとともに、依存関係のある更新データの一部だけを適用して協調動作が破綻するというエラーを防ぐことができる。
Claims (8)
- 配信装置から配信されたソフトウェアの更新データを取得する更新データ取得手段、
この更新データ取得手段によって取得された上記更新データの認証を行う更新データ認証手段、
およびこの更新データ認証手段によって認証された上記更新データを車載制御装置に対して適用する更新データ適用手段を備えたことを特徴とする更新マネジャ。 - 上記配信装置から配信され、上記更新データ間の依存関係を定義したプロパティ情報を取得するプロパティ情報取得手段、
およびこのプロパティ情報取得手段によって取得された上記プロパティ情報から上記更新データ間の依存関係を判定する依存関係判定手段を備え、
上記更新データ認証手段は、上記依存関係判定手段によって判定された上記依存関係のある更新データを同時に保持した状態で認証を行い、
上記更新データ適用手段は、上記依存関係のあるすべての更新データが認証された場合に上記車載制御装置に対して適用することを特徴とする請求項1記載の更新マネジャ。 - 上記プロパティ情報は、上記更新データ間の依存関係の程度を示す情報を含み、このプロパティ情報を参照して、依存関係のある更新データの一部だけを上記車載制御装置に適用し、残りの更新データを適用しない状態にすることを許容するか否か判定する中断処理判定手段を備えたことを特徴とする請求項2記載の更新マネジャ。
- 上記中断処理判定手段により許容すると判断された場合に、ユーザに発生し得るエラーを通知する通知手段を備えたことを特徴とする請求項3記載の更新マネジャ。
- 上記プロパティ情報は、上記更新データのサイズ情報を含み、このプロパティ情報を参照して、依存関係のある更新データを同時に内部メモリに保持できるかどうかを判定する記憶容量判定手段を備え、
上記記憶容量判定手段により、依存関係のある更新データを同時に内部メモリに保持できる場合にのみ、上記更新データ取得手段は、上記依存関係のある更新データを取得することを特徴とする請求項2から請求項4のいずれか一項記載の更新マネジャ。 - 上記プロパティ情報は、上記更新データを上記車載制御装置に適用する場合の更新順序を含み、このプロパティ情報から上記更新データの更新順序を取得する更新順序取得手段を備え、
上記更新データ適用手段は、上記更新順序取得手段により取得された更新順序にしたがって上記車載制御装置への上記更新データの適用を行うことを特徴とする請求項2から請求項5のいずれか一項記載の更新マネジャ。 - 上記プロパティ情報は、上記更新データを上記車載制御装置に適用する場合の更新順序を含み、このプロパティ情報から上記更新データの更新順序を取得する更新順序取得手段を備え、
上記中断処理判定手段は、上記更新順序にしたがって、依存関係のある更新データの一部だけを上記車載制御装置に適用し、残りの更新データを適用しない状態にすることを許容するか否か判定することを特徴とする請求項3または請求項4記載の更新マネジャ。 - 請求項1から請求項7のいずれか一項記載の更新マネジャ、
および上記配信装置から上記更新データを取得し、上記更新マネジャに提供する通信装置を備えたことを特徴とする車載ソフトウェア更新システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015118878A JP6009622B1 (ja) | 2015-06-12 | 2015-06-12 | 更新マネジャおよびこれを用いた車載ソフトウェア更新システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2015118878A JP6009622B1 (ja) | 2015-06-12 | 2015-06-12 | 更新マネジャおよびこれを用いた車載ソフトウェア更新システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP6009622B1 JP6009622B1 (ja) | 2016-10-19 |
| JP2017001567A true JP2017001567A (ja) | 2017-01-05 |
Family
ID=57140186
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2015118878A Active JP6009622B1 (ja) | 2015-06-12 | 2015-06-12 | 更新マネジャおよびこれを用いた車載ソフトウェア更新システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6009622B1 (ja) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108182072A (zh) * | 2017-12-28 | 2018-06-19 | 上汽通用五菱汽车股份有限公司 | 车辆电子设备的远程升级方法、服务器及存储介质 |
| WO2019073932A1 (ja) * | 2017-10-12 | 2019-04-18 | 日立オートモティブシステムズ株式会社 | 情報更新装置、情報更新方法 |
| WO2020032045A1 (ja) * | 2018-08-10 | 2020-02-13 | 株式会社デンソー | 車両用マスタ装置、書換え対象のグループ管理方法、書換え対象のグループ管理プログラム及び諸元データのデータ構造 |
| JP2020027633A (ja) * | 2018-08-10 | 2020-02-20 | 株式会社デンソー | 車両用マスタ装置、書換え対象のグループ管理方法、書換え対象のグループ管理プログラム及び諸元データのデータ構造 |
| JP2020528629A (ja) * | 2017-07-25 | 2020-09-24 | オーロラ ラブズ リミテッド | 車両ecuソフトウェアのためのソフトウェアデルタ更新の構築およびツールチェーンに基づく異常検出 |
| JP2021071986A (ja) * | 2019-10-31 | 2021-05-06 | 株式会社リコー | 情報処理装置、更新制御方法、更新制御プログラム、及び情報処理システム |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE112016007494T5 (de) * | 2016-11-30 | 2019-08-29 | Mitsubishi Electric Corporation | Informationverarbeitungsvorrichtung und Informationsverarbeitungsverfahren |
| JP6787769B2 (ja) * | 2016-12-13 | 2020-11-18 | トヨタ自動車株式会社 | プログラム更新装置 |
| WO2018142750A1 (ja) * | 2017-02-01 | 2018-08-09 | 住友電気工業株式会社 | 制御装置、プログラム更新方法、およびコンピュータプログラム |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009053920A (ja) * | 2007-08-27 | 2009-03-12 | Auto Network Gijutsu Kenkyusho:Kk | 車載用電子制御ユニットのプログラム管理システム |
| JP2013125517A (ja) * | 2011-12-16 | 2013-06-24 | Clarion Co Ltd | 車載装置,更新システム,サーバ |
| WO2014119380A1 (ja) * | 2013-01-31 | 2014-08-07 | 株式会社オートネットワーク技術研究所 | アクセス制限装置、車載通信システム及び通信制限方法 |
-
2015
- 2015-06-12 JP JP2015118878A patent/JP6009622B1/ja active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009053920A (ja) * | 2007-08-27 | 2009-03-12 | Auto Network Gijutsu Kenkyusho:Kk | 車載用電子制御ユニットのプログラム管理システム |
| JP2013125517A (ja) * | 2011-12-16 | 2013-06-24 | Clarion Co Ltd | 車載装置,更新システム,サーバ |
| WO2014119380A1 (ja) * | 2013-01-31 | 2014-08-07 | 株式会社オートネットワーク技術研究所 | アクセス制限装置、車載通信システム及び通信制限方法 |
Cited By (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11704111B2 (en) | 2017-07-25 | 2023-07-18 | Aurora Labs Ltd. | Using data deltas in controllers and managing interdependencies between software versions in controllers using tool chain |
| US11789720B2 (en) | 2017-07-25 | 2023-10-17 | Aurora Labs Ltd. | Opportunistic software updates during select operational modes |
| US11442721B2 (en) | 2017-07-25 | 2022-09-13 | Aurora Labs Ltd. | Opportunistic software updates during select operational modes |
| US11455165B2 (en) | 2017-07-25 | 2022-09-27 | Aurora Labs Ltd. | Hot updates to controller software using tool chain |
| US11829750B2 (en) | 2017-07-25 | 2023-11-28 | Aurora Labs Ltd. | Orchestrator reporting of probability of downtime from machine learning process |
| JP2020528629A (ja) * | 2017-07-25 | 2020-09-24 | オーロラ ラブズ リミテッド | 車両ecuソフトウェアのためのソフトウェアデルタ更新の構築およびツールチェーンに基づく異常検出 |
| US11822917B2 (en) | 2017-07-25 | 2023-11-21 | Aurora Labs Ltd. | Detecting anomalies online using controller processing activity |
| US11526348B2 (en) | 2017-07-25 | 2022-12-13 | Aurora Labs Ltd. | Detecting anomalies online using controller processing activity |
| US11650807B2 (en) | 2017-07-25 | 2023-05-16 | Aurora Labs Ltd. | Self-healing learning system for one or more controllers |
| US11416242B2 (en) | 2017-07-25 | 2022-08-16 | Aurora Labs Ltd. | Roll back of data delta updates |
| US11422794B2 (en) | 2017-07-25 | 2022-08-23 | Aurora Labs Ltd. | Using data deltas in controllers and managing interdependencies between software versions in controllers using tool chain |
| US11422793B2 (en) | 2017-07-25 | 2022-08-23 | Aurora Labs Ltd. | Orchestrator reporting of probability of downtime from machine learning process |
| US11467823B2 (en) | 2017-07-25 | 2022-10-11 | Aurora Labs Ltd. | Constructing software delta updates for controller software and abnormality detection based on toolchain |
| US11635955B2 (en) | 2017-07-25 | 2023-04-25 | Aurora Labs Ltd. | Roll back of data delta updates |
| US11650808B2 (en) | 2017-07-25 | 2023-05-16 | Aurora Labs Ltd. | Hot updates to controller software using tool chain |
| JP7169340B2 (ja) | 2017-07-25 | 2022-11-10 | オーロラ ラブズ リミテッド | 車両ecuソフトウェアのためのソフトウェアデルタ更新の構築およびツールチェーンに基づく異常検出 |
| JP2021192280A (ja) * | 2017-10-12 | 2021-12-16 | 日立Astemo株式会社 | 情報更新装置、情報更新方法 |
| US11360762B2 (en) | 2017-10-12 | 2022-06-14 | Hitachi Astemo, Ltd. | Information update apparatus and information update method |
| JP7280319B2 (ja) | 2017-10-12 | 2023-05-23 | 日立Astemo株式会社 | 情報更新装置 |
| WO2019073932A1 (ja) * | 2017-10-12 | 2019-04-18 | 日立オートモティブシステムズ株式会社 | 情報更新装置、情報更新方法 |
| JP2019074800A (ja) * | 2017-10-12 | 2019-05-16 | 日立オートモティブシステムズ株式会社 | 情報更新装置、情報更新方法 |
| CN108182072A (zh) * | 2017-12-28 | 2018-06-19 | 上汽通用五菱汽车股份有限公司 | 车辆电子设备的远程升级方法、服务器及存储介质 |
| US11941384B2 (en) | 2018-08-10 | 2024-03-26 | Denso Corporation | Vehicle master device, rewrite target group administration method, computer program product and data structure of specification data |
| JP2020027633A (ja) * | 2018-08-10 | 2020-02-20 | 株式会社デンソー | 車両用マスタ装置、書換え対象のグループ管理方法、書換え対象のグループ管理プログラム及び諸元データのデータ構造 |
| WO2020032045A1 (ja) * | 2018-08-10 | 2020-02-13 | 株式会社デンソー | 車両用マスタ装置、書換え対象のグループ管理方法、書換え対象のグループ管理プログラム及び諸元データのデータ構造 |
| JP7427879B2 (ja) | 2018-08-10 | 2024-02-06 | 株式会社デンソー | 車両用マスタ装置、書換え対象のグループ管理方法及び書換え対象のグループ管理プログラム |
| JP7395962B2 (ja) | 2019-10-31 | 2023-12-12 | 株式会社リコー | 情報処理装置、更新制御方法、更新制御プログラム、及び情報処理システム |
| JP2021071986A (ja) * | 2019-10-31 | 2021-05-06 | 株式会社リコー | 情報処理装置、更新制御方法、更新制御プログラム、及び情報処理システム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6009622B1 (ja) | 2016-10-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6009622B1 (ja) | 更新マネジャおよびこれを用いた車載ソフトウェア更新システム | |
| CN110351314B (zh) | 汽车控制器的远程升级方法及计算机可读存储介质 | |
| CN109804597B (zh) | 车载网关、密钥管理装置 | |
| US10499219B2 (en) | Information sharing system, computer, and information sharing method without using confidential information provided in advance | |
| JP2019169952A (ja) | モバイル通信装置およびその動作方法 | |
| US20150113259A1 (en) | Computer with Flexible Operating System | |
| CN102859935A (zh) | 利用虚拟机远程维护电子网络中的多个客户端的系统和方法 | |
| JP2011108167A (ja) | コンピューターシステム | |
| EP4016955B1 (en) | Security protection method and device for vehicle-mounted system | |
| JP2014021923A (ja) | 情報処理装置および制御方法 | |
| EP3982587A1 (en) | Authentication method, device, and system | |
| CN111404993B (zh) | 一种数字钥匙共享方法、装置及设备 | |
| US20150112507A1 (en) | Method, a vehicle mountable controller and a device for operating a vehicle mountable controller in a computer network | |
| CN110371081A (zh) | 车辆防篡改方法、装置以及车辆 | |
| CN103780580A (zh) | 提供能力访问策略的方法、服务器和系统 | |
| CN112669104B (zh) | 租赁设备的数据处理方法 | |
| KR102002517B1 (ko) | 전자식 제어기 보안 기능 설정 방법 및 시스템 | |
| CN105183799A (zh) | 一种权限管理的方法及客户端 | |
| JP2021037889A (ja) | 端末、車両操作システム、車両操作方法およびプログラム | |
| JP5736346B2 (ja) | 仮想化装置、仮想化制御方法、仮想化装置制御プログラム | |
| WO2016177051A1 (zh) | 安全认证的方法及装置 | |
| WO2020090418A1 (ja) | 電子制御装置、電子制御装置のリプログラミング方法 | |
| US10715527B2 (en) | Method of managing profiles in a secure element | |
| KR20160137032A (ko) | 네트워크 기기 간 원격 인증 장치 및 그 방법 | |
| US20240070258A1 (en) | User-customized vehicle control using serverless functions |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160817 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160914 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6009622 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |