JP2020017220A - 更新制御装置、電子装置、更新システムおよび更新制御方法 - Google Patents

更新制御装置、電子装置、更新システムおよび更新制御方法 Download PDF

Info

Publication number
JP2020017220A
JP2020017220A JP2018141652A JP2018141652A JP2020017220A JP 2020017220 A JP2020017220 A JP 2020017220A JP 2018141652 A JP2018141652 A JP 2018141652A JP 2018141652 A JP2018141652 A JP 2018141652A JP 2020017220 A JP2020017220 A JP 2020017220A
Authority
JP
Japan
Prior art keywords
data
repro
update
ecu
target device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018141652A
Other languages
English (en)
Other versions
JP7221604B2 (ja
Inventor
清也 宮田
Seiya Miyata
清也 宮田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Ten Ltd
Original Assignee
Denso Ten Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Ten Ltd filed Critical Denso Ten Ltd
Priority to JP2018141652A priority Critical patent/JP7221604B2/ja
Publication of JP2020017220A publication Critical patent/JP2020017220A/ja
Application granted granted Critical
Publication of JP7221604B2 publication Critical patent/JP7221604B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

【課題】リプログラミングを実行中の電子装置を異常と誤検出してしまうのを防止する更新制御装置、電子装置、更新システム及び更新制御方法を提供する。【解決手段】更新制御装置は、起動状態にある時に他の電子装置からのデータ受信状況に基づいて異常検出を行う複数の電子装置を備えた制御システムに設けられ、複数の電子装置のうち、データの書き換え対象となる対象装置へ更新用データを配信してかかる更新用データによって上記データを書き換えさせる更新制御装置であって、制御部を備える。制御部は、対象装置以外の電子装置の電源供給が行われていない時に対象装置に対するデータの書き換えを行い、かかるデータの書き換えの実行中に、対象装置以外の電子装置への電源供給の開始を検出したならば、対象装置以外の電子装置に対し、対象装置でデータの書き換えを実行中であることを通知する。【選択図】図1C

Description

開示の実施形態は、更新制御装置、電子装置、更新システムおよび更新制御方法に関する。
従来、車両に搭載され、エンジンやトランスミッション、カーナビゲーションといった車両の各種システムをそれぞれ電子制御するECU(Electronic Control Unit)が知られている。かかるECUでは、たとえばマイクロコンピュータ(以下、「マイコン」と記載する)が、ECUの内部に予め記憶された制御プログラムを読み出して実行することで、各ECUに割り当てられた各種機能を実行する。
なお、このようなECUの制御プログラムは、機能を追加する場合や事後的に不具合が発見された場合などに、更新(リプログラミング)が必要となる場合がある。そこで、近年では、管理センタから無線通信を介して更新用データを取得するとともに、かかる更新用データをCAN(Controller Area Network)等を介して各ECUへ配信し、各ECUのリプログラミングを実行する技術が提案されている(たとえば、特許文献1参照)。
特開2012−178035号公報
しかしながら、上述した従来技術には、リプログラミングを実行中のECUを異常と誤検出してしまうのを防止するうえで、さらなる改善の余地がある。
具体的には、複数のECUが搭載されたシステムでは、電源スイッチ等で制御されるシステムの電源状態がオンの状態(車載ECUであれば、例えばIGスイッチがオンされた状態)では制御プログラムが通常動作してしまうため、かかる制御プログラムを書き換えるリプログラミングは、システムの電源状態がオフの状態のときに、更新対象のECUを起動状態にして実行される。
ところが、システムの電源スイッチがオフの状態で、あるECUのリプログラミングを実行中に、システムの電源スイッチがオンされてしまうことがある。かかる場合、リプログラミング対象外の他のECUは通常動作を開始するものの、リプログラミングを実行中のECUはリプログラミングを実行中のため、通常動作が不可の状態である。
すると、他のECUは、通常動作が不可の状態にあるリプログラミング中のECUとの間で、たとえば起動時に実行される異状検出処理によって通信途絶等を検出し、リプログラミング中のECUを異常と誤検出してしまうおそれがある。
なお、このような課題は、ECUに限らず、リプログラミングの対象となりうる電子装置全般に共通する課題である。
実施形態の一態様は、上記に鑑みてなされたものであって、リプログラミングを実行中の電子装置を異常と誤検出してしまうのを防止することができる更新制御装置、電子装置、更新システムおよび更新制御方法を提供することを目的とする。
実施形態の一態様に係る更新制御装置は、起動状態にある時に他の電子装置からのデータ受信状況に基づいて異常検出を行う複数の電子装置を備えた制御システムに設けられ、前記複数の電子装置のうち、データの書き換え対象となる対象装置へ更新用データを配信して該更新用データによって前記データを書き換えさせる更新制御装置であって、制御部を備える。前記制御部は、前記対象装置以外の電子装置の電源供給が行われていない時に前記対象装置に対する前記データの書き換えを行い、当該データの書き換えの実行中に、前記対象装置以外の電子装置への電源供給の開始を検出したならば、該対象装置以外の電子装置に対し、前記対象装置で前記データの書き換えを実行中であることを通知する。
実施形態の一態様によれば、リプログラミングを実行中の電子装置を異常と誤検出してしまうのを防止することができる。
図1Aは、実施形態に係る車載システムの概要説明図である。 図1Bは、比較例に係る更新制御方法の概要説明図である。 図1Cは、実施形態に係る更新制御方法の概要説明図である。 図2は、実施形態に係る車載システムのブロック図である。 図3は、実施形態に係る車載システムの電源系統の構成例を示す図である。 図4Aは、リプロ関連データの具体例を示す図である。 図4Bは、リプロ管理情報の具体例を示す図である。 図4Cは、ECU管理情報の具体例を示す図である。 図5は、実施形態に係るリプロ制御装置が実行する処理手順を示すフローチャートである。
以下、添付図面を参照して、本願の開示する更新制御装置、電子装置、更新システムおよび更新制御方法の実施形態を詳細に説明する。なお、以下に示す実施形態によりこの発明が限定されるものではない。
また、以下では、「リプログラミング」という用語については、短縮して「リプロ」と記載する場合がある。また、以下では、「/」を「または」の意味で用いる場合がある。たとえば、「オン/オフ」と記載した場合、「オンまたはオフ」を意味する。
また、以下では、本実施形態に係る更新制御方法の概要について図1A〜図1Cを用いて説明した後に、かかる更新制御方法を適用したリプロ制御装置10(「更新制御装置」の一例に相当)を含む車載システム1(「更新システム」の一例に相当)の具体的な構成例について、図2〜図5を用いて説明することとする。
まず、本実施形態に係る更新制御方法の概要について、図1A〜図1Cを用いて説明する。図1Aは、本実施形態に係る車載システム1の概要説明図である。また、図1Bは、比較例に係る更新制御方法の概要説明図である。また、図1Cは、本実施形態に係る更新制御方法の概要説明図である。
図1Aに示すように、車両Cは、車載システム1を備える。車載システム1は、複数のECU20−1〜20−nを備える。ECU20−1〜20−nは、CAN等の車載ネットワークCNにより相互通信可能に接続され、それぞれ制御プログラムを実行することによって、たとえばエンジンやトランスミッション、カーナビゲーションといった各種システムを電子制御する。
また、車載システム1は、リプロ制御装置10を備える。リプロ制御装置10は、ECU20−1〜20−nのリプログラミングを制御する制御装置であって、OBD(On-Board Diagnostics)コネクタ30を介して車載ネットワークCNにより、ECU20−1〜20−nと相互通信可能に接続される。
また、リプロ制御装置10は、通信ネットワークNを介してデータセンタのセンタサーバ100と無線通信可能に設けられている。通信ネットワークNは、たとえば携帯電話回線網である。
なお、データセンタは、ECU20−1〜20−nで動作させる各種プログラムに関するデータを管理する管理センタであり、たとえば車両Cのメーカーによって運営される。センタサーバ100は、かかるデータセンタによって管理・運用され、ECU20−1〜20−nの少なくともいずれかに適用する更新用データがある場合に、当該更新用データをリプロ制御装置10へ向けてダウンロードする。
リプロ制御装置10は、かかるセンタサーバ100からダウンロードされるリプロに関連するデータを取得し、リプロ関連データ131として図示略の記憶部13(図2参照)へ保持する。なお、リプロ関連データ131には、プログラム等の更新用データのほか、リプロ対象となるECU(以下、「リプロ対象ECU」と言う)の識別情報、リプロ時に必要となる暗号鍵などが含まれる。
そして、リプロ制御装置10は、保持したリプロ関連データ131に基づき、リプロ対象ECU(ECU20−1〜20−nのうちの少なくともいずれか)へ更新用データを配信して、リプロ対象ECUにリプロを実行させる。
ところで、こうしたリプロは、ECU20−1〜20−nそれぞれにおいて動作する制御プログラムが通常動作していると、これを書き換えることができないため、IG電源がオフの状態のときに実行される必要がある。
たとえば、リプロ制御装置10は、IG電源がオンの間に通信ネットワークNを介して更新用データを取得したならば、次にIG電源がオフされたタイミングでリプロ対象ECUにリプロを実行させる。
ここで、図1Bに示すように、時間t1以前において、IG電源がオフ(図中の「IG−OFF」参照)の状態で、ECU20−1に対し、「リプロ実行中」であるものとする。なお、図1Bに二重の枠線で囲んで示すように、本実施形態では、つねにECU20−1がリプロ対象ECUであるものとして、以下説明する。
そして、時間t1においてIG電源がオン(図中の「IG−ON」参照)されたものとする。すると、リプロ対象外であるECU20−2〜20−nは、かかるIG電源のオンにより、「通常動作を開始」する。
ところが、ECU20−1は、「リプロ実行中」であるため、少なくともリプロが完了するまでは、通常動作へ移行することができない。一方で、リプロ対象外のECU20−2〜20−nは、通常動作の初期起動チェック等において他のECUとの通信チェック等を行う。しかしながら、ECU20−1は、通常動作が不可の状態にあるため、たとえばECU20−2〜20−nに対する応答等を返すことができない。
すると、ECU20−2〜20−nは、ECU20−1との間でたとえば通信途絶等を検出し、「リプロ対象ECUを異常と誤検出」してしまう。かかる異常を検出すれば、実際は故障などではないにも関わらず、車両Cを動作させることができない。
そこで、本実施形態に係る更新制御方法では、リプロ制御装置10が、リプロ対象ECUへのリプロ実行中にIG電源のオンを検出した場合に、リプロ対象外の各ECUに対して、当該リプロ対象ECUがリプロ実行中であることを通知することとした。
具体的には、図1Cに示すように、本実施形態に係る更新制御方法では、リプロ制御装置10は、IG電源がオフの状態でECU20−1の「リプロ実行中」に、時間t1においてIG電源のオンを検出した場合、リプロ対象外のECU20−2〜20−nに対し、ECU20−1の「リプロ実行中」を通知する(ステップS1)。
そして、かかる通知を受けたECU20−2〜20−nは、リプロが実行中の間、「リプロ対象ECUの異常を検出しない」(ステップS2)。たとえばECU20−2〜20−nは、ECU20−1に対するリプロが完了するまでの間、通常動作を待ち合わせる。
そして、ECU20−1に対するリプロが完了したならば、ECU20−1を含むECU20−1〜20−n全体が通常動作を開始し、車両Cを動作させることが可能となる。
なお、図1Cでは略しているが、リプロ制御装置10は、リプロ対象外の各ECUに対して、リプロ対象ECUがリプロ実行中であることを通知するほかに、ユーザ(たとえば車両Cの搭乗者)に対して、リプロ実行中であるため車両Cの始動に時間がかかるといった旨のガイダンスを報知することができる。報知の形態は、音声であっても、ディスプレイ表示であってもよい。
これにより、本実施形態に係る更新制御方法によれば、リプロを実行中のECU20−1を、リプロ対象外のECU20−2〜20−nが異常と誤検出してしまうのを防止することができる。また、ユーザが、車両Cを故障と誤認識してしまうのを防止することができる。
なお、車載システム1は、IG電源がオンである場合に、ECU20−1〜20−nに対してバッテリ電圧を一括に供給する第1の電源系統とは別に、リプロ時にECU20−1〜20−nそれぞれに対し個別にバッテリ電圧を供給可能な第2の電源系統を備えている。リプロ制御装置10は、リプロに際して、かかる第2の電源系統によってリプロ対象ECUに対してのみ電源を供給する制御を行うことによって、IG電源がオフの状態でリプロを実行させることができる。かかる電源系統の具体的な構成例については、図3を用いた説明で後述する。
以下、上述した更新制御方法を適用したリプロ制御装置10を含む車載システム1について、さらに具体的に説明する。
図2は、本実施形態に係る車載システム1のブロック図である。なお、図2では、本実施形態の特徴を説明するために必要な構成要素のみを表しており、一般的な構成要素についての記載を省略している。
換言すれば、図2に図示される各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。例えば、各ブロックの分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することが可能である。
また、既に説明済みの構成要素については、図2を用いた説明では、説明を簡略化するか省略する場合がある。
図2に示すように、車両Cは、車載システム1を備える。車載システム1は、リプロ制御装置10と、ECU20−1〜20−nと、OBDコネクタ30と、IGスイッチ50と、スピーカ60とを備える。
OBDコネクタ30は、たとえばOBD2(On-Board Diagnostics second generation)等の規格に沿った、車両Cのいわゆる自己診断機能用の接続インタフェースである。リプロ制御装置10は、かかるOBDコネクタ30を介して車載ネットワークCNと接続される。
上述した第1の電源系統および第2の電源系統は、IGスイッチ50からのIGオン信号またはリプロ制御装置10からの指示コマンドに基づき、たとえば図示略のEFI(Electric Fuel Injection)−ECU40(図3参照)によって切り替えられる。
ここで、図3を用いて、本実施形態に係る車載システム1の電源系統の具体的な構成例について説明しておく。図3は、本実施形態に係る車載システム1の電源系統の構成例を示す図である。
図3に示すように、車載システム1は、EFI−ECU40と、第1の電源系統である主系統MSと、第2の電源系統である副系統SSとを備える。
EFI−ECU40は、電子制御式燃料噴射装置の制御装置であって、車載ネットワークCNに接続され、上述した第1の電源系統および第2の電源系統を、IGスイッチ50からのIGオン信号またはリプロ制御装置10からの指示コマンドに基づいて切り替える。
主系統MSは、分岐して各ECU20−1〜20−nへ接続されるとともに、メインリレーMRyのオン/オフにより、バッテリ電圧が供給/停止される。EFI−ECU40は少なくとも、バッテリから+B電源、すなわち常時電源の供給を受けており、IGスイッチ50からIGオン信号が入力された場合には、メインリレーMRyをオンさせて主系統MSへIG電源としてバッテリ電圧を供給する。
また、EFI−ECU40は、IGスイッチ50からIGオフ信号が入力された場合には、メインリレーMRyをオフさせて、主系統MSへのIG電源の供給を停止する。
一方、副系統SSは、ECU20−1〜20−nのそれぞれに対応して設けられるサブリレー20Ry−1〜20Ry−nを備える。サブリレー20Ry−1〜20Ry−nは、EFI−ECU40から個別にオン/オフされることによって、それぞれ対応するECU20−1〜20−nへバッテリ電圧を供給/停止する。
EFI−ECU40は、リプロに際したリプロ制御装置10からの指示に基づいて、サブリレー20Ry−1〜20Ry−nをオン/オフさせる。
具体的には、副系統SSは、リプロ時以外の通常時には、サブリレー20Ry−1〜20Ry−nのすべてがオフされた状態となっている。そして、かかる通常時においては、IGスイッチ50からのIGオン信号/IGオフ信号に基づいて、EFI−ECU40がメインリレーMRyをオン/オフし、ECU20−1〜20−nへIG電源を一括に供給/停止する。
一方で、リプロに際しては、リプロ制御装置10がIGスイッチ50からのIGオフ信号を検出したならば、リプロ制御装置10は、EFI−ECU40に対し、副系統SSを用いてリプロ対象ECUにのみ電源を供給するよう指示する。
そして、かかる指示を受けたEFI−ECU40は、かかる指示に含まれるリプロ対象ECUに対応するサブリレー20Ry−1〜20Ry−nのいずれかをオンし、リプロ対象ECUのみについて電源を供給する。
リプロ対象ECUに電源が供給されたならば、リプロ制御装置10は、リプロ対象ECUに対してリプロ実行を指示することとなる。
図2の説明に戻り、つづいてリプロ制御装置10について説明する。リプロ制御装置10は、通信部11と、記憶部13と、制御部14とを備える。
通信部11は、たとえば、国際電気通信連合が定める無線通信規格に準拠するNIC(Network Interface Card)等によって実現される。通信部11は、通信ネットワークNと無線で接続され、通信ネットワークNを介してセンタサーバ100との間で情報の送受信を行う。
記憶部13は、たとえば、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、または、ハードディスク、光ディスク等の記憶装置によって実現され、図2の例では、リプロ関連データ131と、ECU管理情報132とを記憶する。
リプロ関連データ131は、後述する取得部142aによって取得される、センタサーバ100からのデータである。なお、既に述べたように、リプロ関連データ131には、プログラム等の更新用データのほか、リプロ対象ECUの識別情報、リプロ時に必要となる暗号鍵など、リプロに関連する種々の情報が含まれる。
ECU管理情報132は、車載ネットワークCNにおける各ECU20−1〜20−nに関する情報である。ここで、リプロ関連データ131およびECU管理情報132の具体例について説明しておく。図4Aは、リプロ関連データ131の具体例を示す図である。また、図4Bは、リプロ管理情報131aの具体例を示す図である。また、図4Cは、ECU管理情報132の具体例を示す図である。
図4Aに示すように、リプロ関連データ131は、リプロ管理情報131aと、更新用データ131bとを含む。リプロ管理情報131aは、ダウンロードされた更新用データ131bの適用対象がどのECU20−1〜20−nであるか、すなわちリプロ対象ECUがどれであるかを示す情報である。
図4Bに示すように、リプロ管理情報131aは、たとえば「リプロ対象ECU」項目と、「更新用データID」項目とを含む。「リプロ対象ECU」項目には、リプロ対象となるECU20−1〜20−nの識別情報が格納される。「更新用データID」項目には、「リプロ対象ECU」項目で識別されるECU20−1〜20−nに対し、適用すべき更新用データ131bの識別情報が格納される。図4Bに示す例では、リプロ対象ECUである「ECU20−1」に対し、更新用データIDが「0001」の更新用データ131bを適用すべきことを示している。
また、図4Cに示すように、ECU管理情報132は、たとえば「搭載ECU」項目と、「宛先ID」項目とを含む。「搭載ECU」項目には、車両Cに搭載され、車載ネットワークCNに接続されたECU20−1〜20−nの識別情報が格納される。なお、「搭載ECU」項目は、たとえばリプロ管理情報131aの「リプロ対象ECU」項目とリンクしている。
また、「宛先ID」項目には、「搭載ECU」項目で識別されるECU20−1〜20−nごとの、車載ネットワークCN上におけるアドレス情報が格納される。
後述する制御部14は、図4Bで説明したリプロ管理情報131aを参照して、ダウンロードされた更新用データ131bに対応するリプロ対象ECUを特定し、そのリプロ対象ECUのアドレス情報を、図4Cで説明したECU管理情報132を参照して特定する。また、制御部14は、リプロ管理情報131aを参照して特定したリプロ対象ECUに基づき、ECU管理情報132を参照してリプロ対象外の各ECUを特定する。
そして、制御部14は、リプロに際し、EFI−ECU40に特定したリプロ対象ECUのみへの電源供給を行わせ、特定したアドレス情報に基づきリプロ対象ECUへ更新用データ131bを配信し、リプロ対象ECUにリプロを実行させることとなる。また、制御部14は、リプロ実行中にIG電源のオンを検出した場合に、特定したリプロ対象外の各ECUに対し、リプロ対象ECUにてリプロ実行中であることを通知する。
図2の説明に戻り、制御部14について説明する。制御部14は、コントローラ(controller)であり、たとえば、CPU(Central Processing Unit)やMPU(Micro Processing Unit)等によって、記憶部13に記憶されている図示略の各種プログラムがRAMを作業領域として実行されることにより実現される。また、制御部14は、たとえば、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array)等の集積回路により実現することができる。
たとえば、本実施形態に係るリプロ制御装置10では、図2に示すように、制御部14は、メインマイコン141およびサブマイコン142の2つのマイコンによって構成される。メインマイコン141およびサブマイコン142は、たとえばシリアル通信等により、相互通信可能に設けられている。
メインマイコン141は、指示部141aと、通知部141bとを有し、サブマイコン142は、取得部142aと、データ管理部142bと、ユーザ出力部142cとを有し、以下に説明する情報処理の機能や作用を実現または実行する。
サブマイコン142の方から説明する。取得部142aは、通信部11を介してセンタサーバ100から更新用データ131bほかリプロに関するデータを取得する。また、取得部142aは、取得したリプロに関するデータを、リプロ関連データ131として記憶部13に保持させる。
データ管理部142bは、リプロ関連データ131を管理する。たとえば、データ管理部142bは、IG電源がオフされた際の、メインマイコン141側からのリプロ実行の要否の問い合わせに対し、リプロ関連データ131を参照して、リプロ管理情報131aおよび更新用データ131bがあれば、リプロ実行が必要との応答を返す。かかる応答には、たとえばリプロ対象ECUの識別情報や、対応する上述の「更新用データID」、「宛先ID」等が含まれる。
また、データ管理部142bは、上記のリプロ実行の要否の問い合わせに対し、リプロ管理情報131aおよび更新用データ131bがなければ、リプロ実行が不要との応答をメインマイコン141側へ返す。また、データ管理部142bは、リプロ実行が必要な場合で、かかるリプロ実行が正常に終了したならば、たとえばリプロ管理情報131aおよび更新用データ131bを消去する。
また、たとえば、データ管理部142bは、IG電源がオンされた際の、メインマイコン141側からのリプロ実行中のリプロ対象ECUがあるか否かの問い合わせに対し、リプロ関連データ131を参照して、リプロ管理情報131aおよび更新用データ131bがあれば、リプロ実行中との応答を返す。かかる応答には、たとえばリプロ対象ECUの識別情報や、対応する上述の「更新用データID」、「宛先ID」等が含まれる。
また、データ管理部142bは、上記のリプロ実行中のリプロ対象ECUがあるか否かの問い合わせに対し、リプロ管理情報131aおよび更新用データ131bがなければ、リプロ実行中のリプロ対象ECUがないとの応答をメインマイコン141側へ返す。
ユーザ出力部142cは、リプロ対象ECUのリプロ実行中にIG電源がオンされた場合に、ユーザに対して、リプロ実行中であるため車両Cの始動に時間がかかるといった旨の音声ガイダンスをたとえばスピーカ60へ出力する。スピーカ60は、車両Cに搭載される報知装置の一例である。
つづいて、メインマイコン141の方について説明する。指示部141aは、サブマイコン142側からの応答に基づき、リプロ実行が必要な場合に、IGスイッチ50からのIGオフ信号を検出したならば、リプロ対象ECUについてのみ電源を供給するように、EFI−ECU40に対し指示する。
また、指示部141aは、リプロ対象ECUへの電源供給が開始されたならば、サブマイコン142を介してリプロ対象ECUへ更新用データ131bを配信するとともに、リプロ対象ECUに対してリプロ実行を指示する。
かかる指示に基づき、リプロ対象ECUはリプロを実行し、そのリプロが終了したならば、指示部141aは、リプロ対象ECUへの電源の供給を停止するように、EFI−ECU40に対し指示する。
また、指示部141aは、IGスイッチ50からのIGオン信号を検出したならば、サブマイコン142側にへ、リプロ実行中のリプロ対象ECUがあるか否かの問い合わせを行う。そして、指示部141aは、かかる問い合わせに対するサブマイコン142側からの応答に基づき、リプロ実行中のリプロ対象ECUがあれば、通知部141bに、リプロ対象ECUにてリプロ実行中であることをリプロ対象外の各ECUに対し通知させる。
リプロ対象外の各ECUは、かかる通知を受け付けた場合に、当該実行中のリプロが完了するまでの間、リプロ対象ECUについての異常を検出しないとともに、通常動作を待ち合わせる。
また、指示部141aは、リプロが完了したならば、通知部141bに、リプロ対象ECUのリプロが完了したことをリプロ対象外の各ECUに対し通知させる。
また、指示部141aは、リプロ実行中のリプロ対象ECUがなければ、通知部141bに、リプロ対象外の各ECUに対する通知を行わせない。したがって、この場合は、ECU20−1〜20−nは一斉に通常動作へ移行することとなる。
通知部141bは、指示部141aからの指示に基づき、リプロ実行中のリプロ対象ECUがある場合に、当該リプロ対象ECUにてリプロ実行中であることをリプロ対象外の各ECUに対し通知する。また、通知部141bは、リプロ対象ECUのリプロが完了した場合に、当該リプロ対象ECUのリプロが完了したことをリプロ対象外の各ECUに対し通知する。
次に、実施形態に係るリプロ制御装置10が実行する処理手順について、図5を用いて説明する。図5は、実施形態に係るリプロ制御装置10が実行する処理手順を示すフローチャートである。
まず、前提として、センタサーバ100には、ダウンロードすべきリプロに関するデータが存在し、車両Cは、IG電源がオンであるものとする。
かかる場合に、取得部142aは、センタサーバ100から更新用データ131bを取得し(ステップS101)、また、リプロ管理情報131aを保存する(ステップS102)。
そして、メインマイコン141が、IG電源のオフを検出し、リプロ対象ECUに対応するサブリレー20Ry−1〜20Ry−nのいずれかがオンされて、リプロ対象ECUへの電源供給が開始されたならば、指示部141aが、リプロ対象ECUへリプロを指示してリプロを開始する(ステップS103)。
そして、メインマイコン141が、IG電源がオンされたか否かを検出する(ステップS104)。ここで、IG電源のオンが検出された場合(ステップS104,Yes)、ステップS105で、通知部141bがリプロ対象外の各ECUへリプロ実行中を通知するとともに、ユーザ出力部142cがユーザへリプロ実行中を通知する。
そして、リプロが完了したか否かを判定する(ステップS106)。リプロが完了していない場合(ステップS106,No)、ステップS106を繰り返す。一方、リプロが完了した場合(ステップS106,Yes)、通知部141bが、リプロ対象外の各ECUに対し、リプロ対象ECUでのリプロ完了を通知する(ステップS107)。リプロ完了の通知を受けたリプロ対象外の各ECUは、通常動作の待ち合わせを解除して、それぞれ通常動作へ移行する。
なお、ステップS104でIG電源のオンが検出されなかった場合(ステップS104,No)、リプロが完了したか否かを判定し(ステップS108)、リプロが完了していなければ(ステップS108,No)、ステップS104からの処理を繰り返す。
一方、リプロが完了した場合(ステップS108,Yes)、ステップS109へ移行する。
そして、データ管理部142bが、リプロ管理情報131aを消去する(ステップS109)。なお、あわせて更新用データ131bも消去してよい。
そして、処理を終了する。なお、以降は、図示は略しているが、リプロ実行中にIG電源がオンされた場合(ステップS104の「Yes」へ分岐した場合)は、通常の車両動作へ移行する。また、IG電源がオフのままリプロが完了した場合(ステップS108の「Yes」へ分岐した場合)は、指示部141aが、リプロ対象ECUへの電源供給を停止させ、そのまま処理終了となる。
上述してきたように、本実施形態に係るリプロ制御装置10(「更新制御装置」の一例に相当)は、起動状態にある時に他のECU(「電子装置」の一例に相当)からのデータ受信状況に基づいて異常検出を行う複数のECU20−1〜20−nを備えた車載システム1(「制御システム」の一例に相当)に設けられ、複数のECU20−1〜20−nのうち、リプロ(「データの書き換え」の一例に相当)対象となるリプロ対象ECU(「対象装置」の一例に相当)へ更新用データ131bを配信してかかる更新用データ131bによってデータを書き換えさせるリプロ制御装置10であって、制御部14を備える。制御部14は、リプロ対象外の各ECU(「対象装置以外の電子装置」の一例に相当)の電源供給が行われていない時にリプロ対象ECUに対するリプロを行い、かかるリプロの実行中に、リプロ対象外の各ECUへの電源供給の開始を検出したならば、リプロ対象外の各ECUに対し、リプロ対象ECUでリプロを実行中であることを通知する。
したがって、本実施形態に係るリプロ制御装置10によれば、リプロ実行中のリプロ対象ECUを異常と誤検出してしまうのを防止することができる。
また、各ECUへの電源の供給はユーザの操作に基づいて行われるものであり、制御部14は、リプロ対象ECUに対するリプロ実行中に、リプロ対象外の各ECUへの電源の供給を検出したならば、ユーザに対し、リプロ対象ECUでリプロ実行中であることを報知する。
したがって、本実施形態に係るリプロ制御装置10によれば、ユーザが、車両Cを故障と誤認識してしまうのを防止することができる。
また、制御部14は、リプロ実行前に、センタサーバ100(「外部」の一例に相当)から更新用データ131bおよびリプロ対象ECUの識別情報を取得して保持し、かかる識別情報に基づいてリプロ対象外の各ECUを特定する。
したがって、本実施形態に係るリプロ制御装置10によれば、リプロ対象ECUでリプロ実行中である場合に、かかる旨を、リプロ対象外の各ECUへ通知することができる。
また、本実施形態に係るECU20−1〜20−nは、リプロ制御装置10に接続されるECU20−1〜20−nであって、リプロ対象ECUでリプロ実行中であることを示す通知を受け付けた場合に、かかるリプロが完了するまでの間は、リプロ対象ECUについての異常検出を実施しない。
したがって、本実施形態に係るリプロ制御装置10によれば、リプロ実行中のリプロ対象ECUを異常と誤検出してしまうのを防止することができる。
また、本実施形態に係る車載システム1(「更新システム」の一例に相当)は、リプロ制御装置10と、ECU20−1〜20−nと、主系統MS(「第1の電源系統」の一例に相当)と、副系統SS(「第2の電源系統」の一例に相当)とを備える。主系統MSは、リプロ時以外の通常時に電源が供給される。副系統SSは、リプロ時に電源が供給される。また、ECU20−1〜20−nはそれぞれ、主系統MSに接続されるとともに、副系統SSにサブリレー20Ry−1〜20Ry−n(「リレー」の一例に相当)を介して接続される。また、制御部14は、リプロを要する場合に、主系統MSにおける電源供給の停止を検出したならば、リプロ対象ECUに対応するサブリレー20Ry−1〜20Ry−nをオンすることによって当該リプロ対象ECUについてのみ電源を供給させる。
したがって、本実施形態に係るリプロ制御装置10によれば、リプロに際し、リプロ対象ECUについてのみ電源を供給することができる。
なお、上述した実施形態では、リプロ制御装置10が、EFI−ECU40に対し、リプロ対象ECUに対応するサブリレー20Ry−1〜20Ry−nのいずれかをオン/オフさせる例を挙げたが、EFI−ECU40に限らず、他の装置にオン/オフさせてもよい。
たとえば、常時電源に接続され、かつ、ECU20−1〜ECU−20nを統合する統合ECUが車載ネットワークCN上に存在すれば、かかる統合ECUに行わせてもよい。また、リプロ制御装置10が、統合ECUを兼ねるのであれば、リプロ制御装置10が行ってもよい。あるいは、リプロ制御装置10の指示に基づいてサブリレー20Ry−1〜20Ry−nをオン/オフする機能に特化した装置を設けてもよい。
また、上述した実施形態では、制御部14が、メインマイコン141とサブマイコン142の2つのマイコンによって構成される例を挙げたが、1つのマイコンによって構成されてもよい。また、3つ以上のマイコンによって構成されてもよい。
また、上述した実施形態では、リプロ制御装置10が車載システム1に搭載され、ECU20−1〜20−nと接続されて、これらに更新用データ131bを配信し、リプロを実行する例を挙げたが、リプロ制御装置10の搭載先を限定するものではない。
すなわち、リプロ制御装置10は、ECU20−1〜20−nに対応するリプロ対象となる各種装置が含まれるものであれば、車載システム1に限らず、列車、工業用車両、農業用車両、船舶、航空機などの移動機械ほかの各種システムに搭載させることが可能である。
さらなる効果や変形例は、当業者によって容易に導き出すことができる。このため、本発明のより広範な態様は、以上のように表しかつ記述した特定の詳細および代表的な実施形態に限定されるものではない。したがって、添付の特許請求の範囲およびその均等物によって定義される総括的な発明の概念の精神または範囲から逸脱することなく、様々な変更が可能である。
1 車載システム
10 リプロ制御装置
13 記憶部
131 リプロ関連データ
131a リプロ管理情報
131b 更新用データ
132 ECU管理情報
14 制御部
141 メインマイコン
141a 指示部
141b 通知部
142 サブマイコン
142a 取得部
142b データ管理部
142c ユーザ出力部
20−1〜20−n ECU
20Ry−1〜20Ry−n サブリレー
30 OBDコネクタ
40 EFI−ECU
50 IGスイッチ
60 スピーカ
C 車両
CN 車載ネットワーク
MRy メインリレー
MS 主系統
SS 副系統

Claims (6)

  1. 起動状態にある時に他の電子装置からのデータ受信状況に基づいて異常検出を行う複数の電子装置を備えた制御システムに設けられ、前記複数の電子装置のうち、データの書き換え対象となる対象装置へ更新用データを配信して該更新用データによって前記データを書き換えさせる更新制御装置であって、
    前記対象装置以外の電子装置の電源供給が行われていない時に前記対象装置に対する前記データの書き換えを行い、当該データの書き換えの実行中に、前記対象装置以外の電子装置への電源供給の開始を検出したならば、該対象装置以外の電子装置に対し、前記対象装置で前記データの書き換えを実行中であることを通知する制御部
    を備えることを特徴とする更新制御装置。
  2. 電子装置への電源の供給はユーザの操作に基づいて行われるものであり、
    前記制御部は、
    前記対象装置に対する前記データの書き換え実行中に、該対象装置以外の電子装置への電源の供給を検出したならば、ユーザに対し、前記対象装置で前記データの書き換え実行中であることを報知する
    ことを特徴とする請求項1に記載の更新制御装置。
  3. 前記制御部は、
    前記データの書き換え実行前に、外部から前記更新用データおよび前記対象装置となる電子装置の識別情報を取得して保持し、該識別情報に基づいて前記対象装置以外の電子装置を特定する
    ことを特徴とする請求項1または2に記載の更新制御装置。
  4. 請求項1、2または3に記載の更新制御装置に接続される電子装置であって、
    前記対象装置で前記データの書き換え実行中であることを示す通知を受け付けた場合に、前記データの書き換えが完了するまでの間は、前記対象装置についての前記異常検出を実施しない
    ことを特徴とする電子装置。
  5. 請求項1、2または3に記載の更新制御装置と、
    請求項4に記載の電子装置と、
    前記データの書き換え時以外の通常時に電源が供給される第1の電源系統と、
    前記データの書き換え時に電源が供給される第2の電源系統と
    を備え、
    電子装置はそれぞれ、
    前記第1の電源系統に接続されるとともに、前記第2の電源系統にリレーを介して接続され、
    前記制御部は、
    前記データの書き換えを要する場合に、前記第1の電源系統における電源供給の停止を検出したならば、前記対象装置に対応する前記リレーをオンすることによって当該対象装置についてのみ電源を供給させる
    ことを特徴とする更新システム。
  6. 起動状態にある時に他の電子装置からのデータ受信状況に基づいて異常検出を行う複数の電子装置を備えた制御システムに設けられ、前記複数の電子装置のうち、データの書き換え対象となる対象装置へ更新用データを配信して該更新用データによって前記データを書き換えさせる更新制御装置を用いた更新制御方法であって、
    前記対象装置以外の電子装置の電源供給が行われていない時に前記対象装置に対する前記データの書き換えを行い、当該データの書き換えの実行中に、該対象装置以外の電子装置への電源供給の開始を検出したならば、該対象装置以外の電子装置に対し、前記対象装置で前記データの書き換えを実行中であることを通知する制御工程
    を含むことを特徴とする更新制御方法。
JP2018141652A 2018-07-27 2018-07-27 制御システムおよび制御システムの制御方法 Active JP7221604B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018141652A JP7221604B2 (ja) 2018-07-27 2018-07-27 制御システムおよび制御システムの制御方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018141652A JP7221604B2 (ja) 2018-07-27 2018-07-27 制御システムおよび制御システムの制御方法

Publications (2)

Publication Number Publication Date
JP2020017220A true JP2020017220A (ja) 2020-01-30
JP7221604B2 JP7221604B2 (ja) 2023-02-14

Family

ID=69580500

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018141652A Active JP7221604B2 (ja) 2018-07-27 2018-07-27 制御システムおよび制御システムの制御方法

Country Status (1)

Country Link
JP (1) JP7221604B2 (ja)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006082649A (ja) * 2004-09-15 2006-03-30 Denso Corp プログラム書き換えシステム
JP2010167997A (ja) * 2009-01-26 2010-08-05 Honda Motor Co Ltd 車両のための書き換えシステム
JP2012035725A (ja) * 2010-08-06 2012-02-23 Yazaki Corp 電子制御装置及びプログラム書換システム
JP2018095066A (ja) * 2016-12-13 2018-06-21 株式会社オートネットワーク技術研究所 車載電力供給システム、リレーボックス及びリレー制御装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006082649A (ja) * 2004-09-15 2006-03-30 Denso Corp プログラム書き換えシステム
JP2010167997A (ja) * 2009-01-26 2010-08-05 Honda Motor Co Ltd 車両のための書き換えシステム
JP2012035725A (ja) * 2010-08-06 2012-02-23 Yazaki Corp 電子制御装置及びプログラム書換システム
JP2018095066A (ja) * 2016-12-13 2018-06-21 株式会社オートネットワーク技術研究所 車載電力供給システム、リレーボックス及びリレー制御装置

Also Published As

Publication number Publication date
JP7221604B2 (ja) 2023-02-14

Similar Documents

Publication Publication Date Title
JP6665728B2 (ja) 車載更新装置、車載更新システム及び通信装置の更新方法
JP6380461B2 (ja) 中継装置、プログラム更新システム、およびプログラム更新方法
CN107531198B (zh) 程序改写装置和程序改写方法
JP2017157004A (ja) プログラム更新システム、プログラム更新方法及びコンピュータプログラム
US10936306B2 (en) Vehicle control system and software compatibility checking method
JP6562134B2 (ja) 中継装置、プログラム更新システム、およびプログラム更新方法
JP2009053920A (ja) 車載用電子制御ユニットのプログラム管理システム
JP2019084941A (ja) 更新システム、電子制御装置、更新管理装置、及び更新管理方法
CN111193649B (zh) 车辆通信系统及其控制方法
US10625754B2 (en) Control apparatus, control method, and computer program
JP2018132957A (ja) 制御装置および制御プログラム更新方法
CN110574015A (zh) 车载中继装置、控制程序及存储器共有方法
US20210132937A1 (en) Vehicle control device, program update method, and program update system
WO2018230084A1 (ja) 更新制御装置、制御方法、およびコンピュータプログラム
JP2016188017A (ja) プログラム書換装置及びプログラム書換方法
JP2014204315A (ja) 中継装置
JP2020017221A (ja) 更新制御装置および更新制御方法
WO2018142749A1 (ja) 制御装置、プログラム更新方法、およびコンピュータプログラム
JP6795389B2 (ja) 車載用データ更新装置
CN106095474A (zh) 用于更新运输工具中的软件的方法和装置
JP7221604B2 (ja) 制御システムおよび制御システムの制御方法
KR102109125B1 (ko) Autosar 기반 차량 ecu 상태 관리 방법
US20220391194A1 (en) Ota master, system, method, non-transitory storage medium, and vehicle
US20220391192A1 (en) Ota master, center, system, method, non-transitory storage medium, and vehicle
WO2020195034A1 (ja) 車載更新装置、更新処理システム、更新処理方法及び処理プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210715

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20220621

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220712

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220909

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230110

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230202

R150 Certificate of patent or registration of utility model

Ref document number: 7221604

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150