JP2020155026A - 車載更新装置、更新処理システム、更新処理方法及び処理プログラム - Google Patents

車載更新装置、更新処理システム、更新処理方法及び処理プログラム Download PDF

Info

Publication number
JP2020155026A
JP2020155026A JP2019055191A JP2019055191A JP2020155026A JP 2020155026 A JP2020155026 A JP 2020155026A JP 2019055191 A JP2019055191 A JP 2019055191A JP 2019055191 A JP2019055191 A JP 2019055191A JP 2020155026 A JP2020155026 A JP 2020155026A
Authority
JP
Japan
Prior art keywords
processing circuit
update
data
vehicle
program
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2019055191A
Other languages
English (en)
Other versions
JP7211189B2 (ja
Inventor
繁良 中出
Shigeyoshi Nakade
繁良 中出
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sumitomo Wiring Systems Ltd
Original Assignee
Sumitomo Wiring Systems Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sumitomo Wiring Systems Ltd filed Critical Sumitomo Wiring Systems Ltd
Priority to JP2019055191A priority Critical patent/JP7211189B2/ja
Priority to PCT/JP2020/001290 priority patent/WO2020195034A1/ja
Publication of JP2020155026A publication Critical patent/JP2020155026A/ja
Application granted granted Critical
Publication of JP7211189B2 publication Critical patent/JP7211189B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/65Updates

Abstract

【課題】車載装置が記憶するプログラムの更新処理に係るコマンドデータが車載装置に誤送信され、車両が予期せぬ動作を行うことを防ぐことができる車載更新装置を提供する。【解決手段】車載更新装置は、プログラムを書き換え可能に記憶した記憶部を有する車載装置と通信を行う通信部と、記憶部が記憶したプログラムを更新するための更新用プログラムを外部から取得し、取得した更新用プログラムにて記憶部が記憶するプログラムの更新処理を実行する第1処理回路と、第1処理回路の処理で作成されないデータを作成する処理を実行する第2処理回路とを備え、第1処理回路は、プログラムの更新を車載装置に命令するためのコマンドデータに第2処理回路が作成したデータを付加して通信部から車載装置へ送信させる処理を実行する。【選択図】図7

Description

本開示は、車載更新装置、更新処理システム、更新処理方法及び処理プログラムに関する。
車両には複数のECU(Electronic Control Unit)などの車載装置が搭載されている。複数のECUはCAN(Controller Area Network)バスなどの通信線を介して接続されており、相互に情報の送受信を行うことができる。各ECUは、フラッシュメモリ又はEEPROM(Electrically Erasable Programmable Read Only Memory)等の記憶部に記憶されたプログラムをCPU(Central Processing Unit)などの処理回路が読み出して実行することにより、車両の制御などの種々の処理を行う。ECUのプログラムは、例えば機能追加、不具合の修正又はバージョンアップ等の必要が生じた場合、新たなプログラムに書き換え又は更新する必要がある。各ECUのプログラムを更新するための処理を実行する車載更新装置は、更新に係る処理を命令するコマンドデータ、更新用プログラム等を、通信線を介してECUへ送信することによって、各ECUのプログラムを更新する。
特開2018−45515号公報 特開2015−41334号公報 特開2007−200040号公報
しかしながら、誤動作により更新処理に係るコマンドデータが車載更新装置から車載装置に送信された場合、車両が予期せぬ動作を行う可能性がある。
本開示の目的は、車載装置が記憶するプログラムの更新処理に係るコマンドデータが車載装置に誤送信され、車両が予期せぬ動作を行うことを防ぐことができる車載更新装置、更新処理システム、更新処理方法及び処理プログラムを提供することにある。
本開示に係る車載更新装置は、プログラムを書き換え可能に記憶した記憶部を有する車載装置と通信を行う通信部と、前記プログラムを更新するための更新用プログラムにて前記記憶部が記憶する前記プログラムの更新処理を実行する第1処理回路と、前記第1処理回路の処理で作成されないデータを作成する処理を実行する第2処理回路とを備え、前記第1処理回路は、前記プログラムの更新に係る処理を前記車載装置に命令するためのコマンドデータに前記第2処理回路が作成した前記データを付加して前記通信部から前記車載装置へ送信させる処理を実行する。
本開示に係る更新処理方法は、プログラムを書き換え可能に記憶した記憶部を有する車載装置と通信を行う通信部と、前記プログラムを更新するための更新用プログラムにて前記記憶部が記憶する前記プログラムの更新処理を実行する第1処理回路と、第2処理回路とを備えた車載更新装置を用いて前記プログラムを更新する更新処理方法であって、前記第1処理回路の処理で作成されないデータを、前記第2処理回路に作成させるステップと、前記プログラムの更新に係る処理を前記車載装置に命令するためのコマンドデータに前記第2処理回路が作成したデータを付加して前記通信部から前記車載装置へ送信させるステップとを備える。
本開示に係る処理プログラムは、プログラムを書き換え可能に記憶した記憶部を有する車載装置と通信を行う通信部と、前記プログラムを更新するための更新用プログラムにて前記記憶部が記憶する前記プログラムの更新処理を実行する第1処理回路と、第2処理回路とを備えた車載更新装置の前記第1処理回路に、前記第1処理回路の処理で作成されないデータを、前記第2処理回路に作成させるステップと、前記プログラムの更新に係る処理を前記車載装置に命令するためのコマンドデータに前記第2処理回路が作成したデータを付加して前記通信部から前記車載装置へ送信させるステップとを実行させる。
なお、本願は、このような特徴的な処理部を備える更新処理装置として実現することができるだけでなく、上記の通り、かかる特徴的な処理をステップとする更新処理方法として実現したり、かかるステップをコンピュータに実行させるためのプログラムとして実現したりすることができる。また、更新処理装置の一部又は全部を実現する半導体集積回路として実現したり、更新処理装置を含むその他のシステムとして実現したりすることができる。
上記によれば、車載装置が記憶するプログラムの更新処理に係るコマンドデータが車載装置に誤送信され、車両が予期せぬ動作を行うことを防ぐことができる車載更新装置、更新処理システム、更新処理方法及び処理プログラムを提供することができる。
図1は本実施形態に係る更新処理システムの構成を示す模式図である。 図2は本実施形態に係る更新処理システム及びゲートウェイの構成を示すブロック図である。 図3はECUの構成を示す模式図である。 図4はプログラム更新処理の手順を示すフローチャートである。 図5はアクティベーションに係る処理の手順を示すフローチャートである。 図6はアクティベーションに係る処理の手順を示すフローチャートである。 図7は再起動コマンドの作成及び送信の方法を示す説明図である。
[本開示の実施形態の説明]
最初に本開示の実施態様を列記して説明する。また、以下に記載する実施形態の少なくとも一部を任意に組み合わせてもよい。
(1)本開示に係る車載更新装置は、プログラムを書き換え可能に記憶した記憶部を有する車載装置と通信を行う通信部と、前記プログラムを更新するための更新用プログラムにて前記記憶部が記憶する前記プログラムの更新処理を実行する第1処理回路と、前記第1処理回路の処理で作成されないデータを作成する処理を実行する第2処理回路とを備え、前記第1処理回路は、前記プログラムの更新に係る処理を前記車載装置に命令するためのコマンドデータに前記第2処理回路が作成した前記データを付加して前記通信部から前記車載装置へ送信させる処理を実行する。
本開示によれば、第1処理回路は、第2処理回路で作成されるデータが付加されたコマンドデータを車載装置へ送信する。車載装置は、上記データが付加されたコマンドデータを受信した場合、当該コマンドデータに従ってプログラムの更新に係る処理を実行する。
従って、第1処理回路の誤動作によりコマンドデータが車載装置へ送信された場合であっても、第2処理回路で作成されるデータがコマンドデータに付加されていないと、車載装置は動作しない。また、誤動作により第2処理回路が上記データを作成した場合であっても、第1処理回路が正常に動作していると、コマンドデータは車載装置へ送信されない。
従って、誤動作により更新処理に係るコマンドデータが車載装置に送信され、車両が予期せぬ動作を行うことを防ぐことができる。
(2)前記第1処理回路は乱数データを作成し、作成された前記乱数データを前記第2処理回路に与え、前記第2処理回路は前記第1処理回路が作成した前記乱数データに基づいて前記データを作成し、作成された前記データを前記第1処理回路に与え、前記第1処理回路は前記乱数データ及び前記データを前記コマンドデータに付加して前記通信部から前記車載装置へ送信させるようにしてある構成が好ましい。
本開示によれば、第2処理回路は、第1処理回路が作成した乱数データに基づいて、コマンドデータに付加すべき上記データを作成する。第1処理回路は、自身が作成した乱数データと、第2処理回路が当該乱数データに基づいて生成したデータとをコマンドデータに付加する。第1処理回路は、乱数データ及び当該データが付加されたコマンドデータを通信部から車載装置へ送信する。
車載装置は、コマンドデータに付加された乱数データ及び上記データを参照することによって、第1処理回路及び第2処理回路の双方が動作して送信されたコマンドデータであるか否かを確認することができる。車載装置は、上記データが乱数データから第2処理回路によって作成されたものとして矛盾が無いかどうかを確認することによって、正常に作成及び送信されたコマンドデータであるか否かを確認することができる。
従って、誤動作により更新処理に係るコマンドデータが車載装置に送信され、車両が予期せぬ動作を行うことをより効果的に防ぐことができる。
(3)前記第2処理回路が作成する前記データは、前記乱数データに基づいて作成される誤り検出データ又はハッシュ値である構成が好ましい。
本開示によれば、第2処理回路は、第1処理回路が作成した乱数データに基づく誤り検出データ又はハッシュ値を作成する。第1処理回路は、自身が作成した乱数データと、当該乱数データに基づいて作成された誤り検出データ又はハッシュ値をコマンドデータに付加して車載装置へ送信させる。車載装置は、コマンドデータに付加された乱数データと、上記データとが整合しているか否かを判定することによって、正常動作で作成及び送信されたコマンドデータであるか否かを確認することができる。
従って、誤動作により更新処理に係るコマンドデータが車載装置に送信され、車両が予期せぬ動作を行うことをより効果的に防ぐことができる。
(4)前記第1処理回路は、複数の前記車載装置と通信を行う場合、前記車載装置毎に異なる前記乱数データに基づいて作成された前記データを前記コマンドデータに付加して前記複数の車載装置それぞれへ送信する構成が好ましい。
本開示によれば、複数の車載装置それぞれのプログラムを更新する場合、第1処理回路は、車載装置毎に異なるデータが付加されたコマンドデータが車載装置それぞれに送信される。
従って、複数の車載装置が同時的に予期せぬ動作を行う事態を防ぐことができる。
(5)本開示に係る更新処理システムは、態様(1)から態様(4)のいずれか一つの車載更新装置と、前記プログラムを書き換え可能に記憶した前記記憶部を有する前記車載装置とを備え、前記車載更新装置は、前記車載装置の前記プログラムの更新処理を実行する。
本開示によれば、態様(1)同様、誤動作により更新処理に係るコマンドデータが車載装置に送信され、車両が予期せぬ動作を行うことを防ぐことができる。
(6)本開示に係る更新処理システムは、態様(2)から態様(4)のいずれか一つの車載更新装置と、前記プログラムを書き換え可能に記憶した前記記憶部を有する前記車載装置とを備え、前記車載装置は、前記コマンドデータに含まれる前記乱数データと、前記データとが整合している場合、前記コマンドデータに従って更新に係る処理を実行する。
本開示によれば、態様(2)同様、誤動作により更新処理に係るコマンドデータが車載装置に送信されることを防ぐことができる。車載装置は、第1処理回路及び第2処理回路の正常な動作で作成及び送信されたコマンドデータであるか否かを確認することができる。
従って、誤動作により更新処理に係るコマンドデータが車載装置に送信され、車両が予期せぬ動作を行うことをより効果的に防ぐことができる。
(7)本開示に係る更新処理方法は、プログラムを書き換え可能に記憶した記憶部を有する車載装置と通信を行う通信部と、前記プログラムを更新するための更新用プログラムにて前記記憶部が記憶する前記プログラムの更新処理を実行する第1処理回路と、第2処理回路とを備えた車載更新装置を用いて前記プログラムを更新する更新処理方法であって、前記第1処理回路の処理で作成されないデータを、前記第2処理回路に作成させるステップと、前記プログラムの更新に係る処理を前記車載装置に命令するためのコマンドデータに前記第2処理回路が作成したデータを付加して前記通信部から前記車載装置へ送信させるステップとを備える。
本開示によれば、態様(1)同様、誤動作により更新処理に係るコマンドデータが車載装置に送信され、車両が予期せぬ動作を行うことを防ぐことができる。
(8)本開示に係る処理プログラムは、プログラムを書き換え可能に記憶した記憶部を有する車載装置と通信を行う通信部と、前記プログラムを更新するための更新用プログラムにて前記記憶部が記憶する前記プログラムの更新処理を実行する第1処理回路と、第2処理回路とを備えた車載更新装置の前記第1処理回路に、前記第1処理回路の処理で作成されないデータを、前記第2処理回路に作成させるステップと、前記プログラムの更新に係る処理を前記車載装置に命令するためのコマンドデータに前記第2処理回路が作成したデータを付加して前記通信部から前記車載装置へ送信させるステップとを実行させる。
本開示によれば、態様(1)同様、誤動作により更新処理に係るコマンドデータが車載装置に送信され、車両が予期せぬ動作を行うことを防ぐことができる。
[本開示の実施形態の詳細]
本開示の実施形態に係る車載更新装置、更新処理システム、更新処理方法及び処理プログラムの具体例を、以下に図面を参照しつつ説明する。なお、本開示はこれらの例示に限定されるものではなく、特許請求の範囲によって示され、特許請求の範囲と均等の意味及び範囲内でのすべての変更が含まれることが意図される。
以下、本開示をその実施形態を示す図面に基づいて具体的に説明する。
図1は本実施形態に係る更新処理システム100の構成を示す模式図、図2は本実施形態に係る更新処理システム100及びゲートウェイ(車載更新装置)1の構成を示すブロック図である。本実施形態に係る更新処理システム100は、車両Cに搭載された複数のECU2と、無線通信装置3と、ゲートウェイ1とを備える。
各ECU2は、通信線1a又は1bに接続されており、接続された通信線1a又は1bを介した通信を行うことができる。ゲートウェイ1は通信線1a、1b間の通信を中継し、これにより複数のECU2は通信線1a、1b及びゲートウェイ1を介して通信を行うことができる。ECU2は、例えば車両Cのエンジンの動作を制御する車載制御装置、ドアの施解錠を制御する車載制御装置、使用者の認証処理を行う車載制御装置等である。
本実施形態に係る更新処理システム100では、ゲートウェイ1に通信線1cを介して無線通信装置3が接続されている。ゲートウェイ1は、無線通信装置3を介して車両Cの外部に設置されたサーバ装置9との通信を行うことができる。
無線通信装置3は、例えば携帯電話通信網又は無線LAN(Local Area Network)等の無線通信を行うことによって、車両Cの外部に設置されたサーバ装置9との間で通信を行うことができる。無線通信装置3は、ゲートウェイ1及びサーバ装置9の間の通信を中継することができ、ゲートウェイ1から与えられたデータをサーバ装置9へ送信すると共に、サーバ装置9から受信したデータをゲートウェイ1へ与える。
サーバ装置9は、車両Cに搭載されるECU2にて実行されるプログラム22a(図3参照)を管理及び記憶している。サーバ装置9は、車両Cからの問合わせに応じて、各ECU2が記憶するプログラム22aなどの更新が必要であるか否かを通知すると共に、更新が必要である場合には更新用のプログラム22aを車両Cへ配信する処理を行う。ゲートウェイ1は、サーバ装置9と通信を行い、ECU2が記憶する後述のプログラム22aを更新するための更新用プログラムを取得する。ゲートウェイ1は、取得した更新用プログラムをECU2へ送信し、更新処理に係る各種コマンドデータをすることによって、ECU2のプログラム22aを更新させる。
本実施形態に係る更新処理システム100では、ゲートウェイ1が無線通信装置3を介して定期的にサーバ装置9との通信を行い、ECU2が記憶しているプログラム22aの更新の有無を確認する。更新がある場合、ゲートウェイ1は、更新用プログラムをサーバ装置9から取得して自身の記憶部13に記憶する。更新用プログラムの取得が完了した後、ゲートウェイ1は、通信線1a、1bを介して更新対象のECU2へ更新用プログラムを送信することによって、ECU2の更新処理を行う。ECU2は、ゲートウェイ1から送信された更新用プログラムを受信して自身の記憶部22に蓄積し、更新用プログラムを全て受信し終えた後に自身の実行するプログラム22aを更新用プログラムに変更することによって、プログラム22aの更新を行う。
本実施形態に係るゲートウェイ1は、図2に示すように、第1処理回路(第1プロセッサ)11、第2処理回路(第2プロセッサ)12、記憶部(ストレージ)13及び第1ないし第3通信部(トランシーバ)14a、14b、14c等を備える。
第1処理回路11は、例えばCPU(Central Processing Unit)又はMPU(Micro-Processing Unit)等の演算処理装置を備える。第1処理回路11は、記憶部13に記憶された処理プログラム13aを読み出して実行することにより、種々の演算処理を行う。本実施形態において第1処理回路11は、車内ネットワークの通信線1a、1b、1c間のデータ送受信を中継する処理、ECU2のプログラム22aを更新する処理等に必要な演算処理を行う。
第2処理回路12は、第1処理回路11と同様の構成であり、CPU又はMPU等の演算処理装置を備える。第2処理回路12は、例えばハードウェアセキュリティモジュール(HSM:Hardware Security Module)のプロセッサである。第1処理回路11と、第2処理回路12とは、別個のハードウェアである。第1処理回路11及び第2処理回路12は独立して個々の処理を実行することができる。第1処理回路11は、第2処理回路12との間でデータをやり取りすることができる。例えば第1処理回路11は、第2処理回路12に特定の処理を実行し、処理結果を第1処理回路11に戻す要求を行うことができる。本実施形態では、第2処理回路12は、第1処理回路11から与えられた任意のデータに基づいて、当該データの誤り検出データ又はハッシュ値を算出し、算出された誤り検出データ又はハッシュ値を第1処理回路11に与える処理を実行することができる。
記憶部13は、フラッシュメモリ又はEEPROM(Electrically Erasable Programmable Read Only Memory)等の不揮発性のメモリ素子を用いて構成されている。記憶部13は、第1処理回路11が実行する各種コンピュータプログラム、及び、第1処理回路11の処理に必要な各種のデータを記憶する。本実施形態において記憶部13は、第1処理回路11が実行する処理プログラム13aを記憶している。なお処理プログラム13aは、例えばゲートウェイ1の製造段階において記憶部13に書き込まれてもよく、また例えば図示しないサーバなどが配信するものをゲートウェイ1が通信にて取得してもよく、また例えばメモリカード又は光ディスク等の記録媒体101に記録されたものをゲートウェイ1が読み出して記憶部13に記憶してもよく、記録媒体101に記録されたものを書込装置が読み出してゲートウェイ1の記憶部13に書き込んでもよい。要するに処理プログラム13aは、ネットワークを介した配信の態様で提供されてもよく、記録媒体101に記録された態様で提供されてもよい。
ゲートウェイ1は、第1通信部14a、第2通信部14b及び第3通信部14cを備える。第1通信部14a、第2通信部14b及び第3通信部14cは、車内ネットワークを構成する通信線1a、1b、1cにそれぞれ接続され、所定の通信プロトコルに従ってECU2、サーバ装置9とデータの送受信を行う。本実施形態において、第1ないし第3通信部14a、14b、14cはCANの通信規格に基づくデータの送受信を行うものとするが、通信規格はCAN以外のどのようなものであってもよい。第1ないし第3通信部14a、14b、14cは、第1処理回路11から与えられたデータを電気信号に変換して通信線1a、1b、1cへ出力することによって情報を送信すると共に、通信線1a、1b、1cの電位をサンプリングして取得することによりデータを受信し、受信したデータを第1処理回路11へ与える。なおゲートウェイ1が備える4つの第1ないし第3通信部14a、14b、14cは、それぞれ異なる通信プロトコルに従って通信を行うものであってもよい。
図3はECU2の構成を示す模式図である。なお本図においては、車両Cに搭載された複数のECU2のうち、一のECU2の構成を図示しているが、他のECU2も同様の構成である。ECU2は、制御部(プロセッサ)21、記憶部(ストレージ)22及びECU通信部(トランシーバ)23等を備える。制御部21には、ECU2の機能に応じて、各種センサ、アクチュエータ等が接続されている。制御部21は、例えばCPU又はMPU等の演算処理装置を用いて構成され、記憶部22に記憶されたプログラム22aを読み出して実行することにより、種々の演算処理を行う。なお記憶部22に記憶されるプログラム22aは、ECU2毎にその内容が異なる。
記憶部22は、フラッシュメモリ又はEEPROM等の不揮発性のメモリ素子を用いて構成されている。記憶部22は、制御部21が実行するプログラム22aと、このプログラム22aの実行に必要なデータとを記憶する。最初期のプログラム22aは、例えばECU2の製造段階において記憶部22に書き込まれてもよく、メモリカード又は光ディスク等の記録媒体101に記録されたものをECU2が読み出して記憶部22に記憶してもよく、記録媒体101に記録されたものを書込装置が読み出してECU2の記憶部22に書き込んでもよい。
また本実施形態においては、ECU2が車両Cに搭載された後、ゲートウェイ1から通信線1aを介して送信された更新用プログラムをECU2が受信し、受信した更新用プログラムによりECU2が記憶部22のプログラム22aを更新する。
本実施形態においてECU2の記憶部22は、プログラム22aを記憶するための2つの領域が設けられている。2つの領域は、いずれもプログラム22aを記憶する十分な記憶容量を有している。制御部21は記憶部22の一方の領域からプログラム22aを読み出して処理を行い、ゲートウェイ1から受信した更新用プログラムが記憶部22の他方の領域に記憶される。ECU2は、ゲートウェイ1から更新用プログラムの全ての受信を完了した後、制御部21がプログラム22aを読み出す領域を切り替えることによって、プログラム22aの更新を行う。
ECU通信部23は、車内ネットワークを構成する通信線1aに接続され、例えばCANの通信プロトコルに従ってデータの送受信を行う。ECU通信部23は、制御部21から与えられたデータを電気信号に変換して通信線1aへ出力することによってデータを送信すると共に、通信線1aの電位をサンプリングして取得することによりデータを受信し、受信したデータを制御部21へ与える。
図4はプログラム更新処理の手順を示すフローチャートである。ゲートウェイ1の第1処理回路11は、サーバ装置9から、ECU2のプログラム更新を求める更新要求を受信したか否かを判定する(ステップS1)。更新要求を受信していないと判定した場合(ステップS1:NO)、第1処理回路11は、更新要求を受信するまで待機する。
更新要求を受信したと判定した場合(ステップS1:YES)、第1処理回路11は、更新要求の送信元のサーバ装置9から送信される更新用プログラムを受信することにより、更新処理に用いる更新用プログラムを取得する(ステップS2)。
第1処理回路11は、ステップS12で取得した更新用プログラムを、第1通信部14a又は第2通信部14bにてプログラム更新対象のECU2へ送信し、当該ECU2に更新用プログラムをインストールさせる(ステップS3)。
更新用プログラムのインストールが完了した場合、第1処理回路11は更新用プログラムにてECU2を再起動させることによって、更新用プログラムのアクティベーション処理を実行し(ステップS4)、処理を終える。
図4は、一のECU2が記憶するプログラム22aを更新する処理を示したものであるが、更新処理システム100は、他のECU2のプログラム22aを更新する際、同様の処理を実行すれば良い。
図5及び図6はアクティベーションに係る処理の手順を示すフローチャート、図7は再起動コマンドの作成及び送信の方法を示す説明図である。図5及び図6に示すフローチャートは、図4に示すアクティベーション処理の詳細を示すものであり、本実施形態に係る更新処理方法を示すものである。ここでは、一のECU2のアクティベーション処理を説明する。
サーバ装置9は、ECU2のアクティベーションを要求する要求信号を車両Cへ送信する(ステップS11)。ゲートウェイ1の第1処理回路11は、サーバ装置9から送信された当該要求信号を第3通信部14cにて受信する(ステップS12)。アクティベーションの要求信号を受信した第1処理回路11は、起動面の切り替えを要求する切替要求を第1通信部14a又は第2通信部14bからECU2へ送信する(ステップS13)。つまり、第1処理回路11は、ECU2の再起動時にプログラム22aが読み出される記憶部22の領域を、更新用プログラムが書き込まれた領域へ切り替えるための切替要求をECU2へ送信する。
ECU2は、ゲートウェイ1から送信された起動面の切替要求を受信する(ステップS14)。当該切替要求を受信したECU2は起動面を、更新用プログラムを記憶した領域に切り替える(ステップS15)。ECU2は、起動面の切り替え結果を第1処理回路11へ送信する(ステップS16)。
ECU2から送信された起動面の切替結果を受信する(ステップS17)。正常に起動面の切り替えが行われたことを確認した第1処理回路11は、図7中(1)に示すよう、ECU2の再起動を命令するためのコマンド前半部を作成する(ステップS18)。ECU2はコマンド前半部として、例えば乱数データ又はカウント値データを作成する。カウント値データは、ゲートウェイ1からECU2へコマンドデータが送信される都度、値がカウントアップ又はカウントダウンされる数値を示したデータである。乱数データ又はカウント値データは、128ビット以上が好ましい。コマンド前半部は乱数データ又はカウント値データであるため、他のECU2のプログラム22aを更新する処理が実行された場合、ステップS18では異なる値のコマンド前半部が作成される。
次いで、第1処理回路11は、図7中(2)に示すように、ステップS17で作成した乱数データ又はカウント値データであるコマンド前半部と、コマンド後半部の作成を要求する作成要求を第2処理回路12へ送信する(ステップS19)。
第2処理回路12は、コマンド前半部と、コマンド後半部の作成要求を受信する(ステップS20)。第2処理回路12は、図7中(3)に示すように、第1処理回路11が作成したコマンド前半部に基づいて、コマンド後半部を作成する(ステップS21)。コマンド後半部は、コマンド前半部の誤り検出データ又はハッシュ値である。
第2処理回路12は、図7中(4)に示すように、ステップS21で作成したコマンド後半部を第1処理回路11へ送信する(ステップS22)。第1処理回路11は、第2処理回路12が作成したコマンド後半部を受信する(ステップS23)。第1処理回路11は、図7中(5)に示すように、ECU2の再起動を命令する再起動コマンドを作成する(ステップS24)。具体的には、図7に示すように、送信先のECU2を識別するための識別子と、ECU2の再起動要求とを含むコマンドデータに、第1処理回路11が作成したコマンド前半部と、第2処理回路12が作成したコマンド後半部とを付加することによって、再起動コマンドを作成する。
第1処理回路11は、図7中(6)に示すように、再起動コマンドを第1通信部14a又は第2通信部14bにてECU2へ送信する(ステップS25)。ECU2は、ゲートウェイ1から送信された再起動コマンドを受信する(ステップS26)。ECU2は、図7中(7)に示すように、再起動コマンドを解析し(ステップS27)、コマンド前半部と、コマンド後半部とが整合しているか否かを判定する(ステップS28)。例えば、コマンド後半部が誤り検出データである場合、ECU2は、コマンド前半部のデータが、コマンド後半部の誤り検出データに基づいて、誤りなしと判定さたとき、コマンド前半部及びコマンド後半部が整合していると判断する。また、コマンド後半部がハッシュ値である場合、ECU2は、コマンド前半部に基づいて算出されるハッシュ値と、コマンド後半部のハッシュ値とが一致しているとき、コマンド前半部及びコマンド後半部が整合していると判断する。
コマンド前半部及びコマンド後半部が整合していると判定した場合(ステップS28:YES)、ECU2は再起動を実行する(ステップS29)。起動面を切り替えてECU2を再起動することによって、更新用プログラムが読み出され、プログラム22aの更新が完了する。ステップS29の処理を終えた場合、又はコマンド前半部及びコマンド後半部が整合していないと判定した場合(ステップS28:NO)、ECU2は、再起動コマンドに従った処理結果をゲートウェイ1へ送信する(ステップS30)。処理結果は、再起動を実行したか否か、正常に再起動処理が完了したか否か等を示すデータである。
ゲートウェイ1の第1処理回路11は、ECU2から送信された処理結果を受信する(ステップS31)。そして、第1処理回路11は、アクティベーション処理の結果を第3通信部14cにてサーバ装置9へ送信する(ステップS32)。
サーバ装置9は、車両Cのゲートウェイ1から送信されたアクティベーション結果を受信し(ステップS33)、アクティベーション処理を終える。
このように構成された本実施形態によれば、ECU2が記憶するプログラム22aの更新処理に係る再起動コマンドがECU2に誤送信され、車両Cが予期せぬ動作を行うことを防ぐことができる。
例えば、第1処理回路11の誤動作により、コマンド後半部の作成要求が第2処理回路12に送信されたとしても、その後、第1処理回路11が正常に動作している限り、再起動コマンドはECU2に送信されることはない。
また、第1処理回路11の誤動作により、再起動コマンドがECU2に送信されたとしても、第2処理回路12によってコマンド後半部が作成されていない場合、ECU2が再起動することはない。
本実施形態によれば、第2処理回路12は、第1処理回路11が作成したコマンド前半部の乱数データ又はカウント値データに基づいて後半部データを作成する。第1処理回路11は、第1処理回路11及び第2処理回路12にて作成されるコマンド前半部及びコマンド後半部が付加された更新コマンドをECU2へ送信する。
ECU2は、第1処理回路11及び第2処理回路12にて作成されたコマンド前半部及びコマンド後半部がコマンドデータに付加されていない限り、コマンドデータに従った処理を実行しない。従って、誤動作により更新処理に係る再起動コマンドがECU2に送信され、車両Cが予期せぬ動作を行うことをより効果的に防ぐことができる。
本実施形態によれば、第2処理回路12が作成するコマンド後半部は、コマンド前半部である乱数データ又はカウント値データに基づいて算出される誤り検出データ又はハッシュ値である。従って、ECU2は、コマンド前半部及びコマンド後半部の整合性を確認して、ECU2を再起動させることができる。従って、誤動作により更新処理に係る再起動コマンドがECU2に送信され、車両Cが予期せぬ動作を行うことをより効果的に防ぐことができる。
本実施形態によれば、複数のECU2それぞれのプログラム22aを更新する場合、第1処理回路11は、ECU2毎に異なるコマンド前半部及びコマンド後半部が付加された再起動コマンドをECU2それぞれに送信する。
従って、複数のECU2が同時的に予期せぬ動作を行う事態を防ぐことができる。
なお、本実施形態では、ECU2のプログラム更新処理を制御するリプロマスタ(更新処理装置)をゲートウェイ1として構成する例を説明したが、リプロマスタをゲートウェイ1と別体で構成しても良い。また、ECU2のプログラム22aを更新する例を説明したが、車内ネットワークに有線接続又は無線接続される任意のリプロスレーブのプログラム22aを更新するように構成しても良い。
また、本実施形態では、第1処理回路11及び第2処理回路12にて作成したコマンド前半部及びコマンド後半部が付加されたコマンドデータとして、ECU2の再起動を命令するコマンドデータを説明したが、特に限定されるものではない。ECU2が記憶するプログラム22aの更新処理に係る任意のコマンドデータに本発明を適用することができる。
更に、本実施形態では、第1処理回路11及び第2処理回路12にて作成されたコマンド前半部及びコマンド後半部をコマンドデータに付加する例を説明したが、第1処理回路11及び第2処理回路12双方の処理によって作成されたコマンドであることをECU2が確認できる態様であれば、特に本実施形態に係る処理に限定されるものではない。
例えば、第1処理回路11は、当該第1処理回路11にて作成されるデータを付加せず、第2処理回路12にて作成されるデータを、コマンドデータに付加してECU2へ送信しても良い。
また、第2処理回路12が乱数データと、当該乱数データに基づくデータとを算出し、第1処理回路11に送信しても良い。第1処理回路11は、第1処理回路11は、第2処理回路12で作成された乱数データ及び上記データをコマンドデータに付加し、ECU2へ送信することができる。
更にまた、本実施形態では、第2処理回路12は、コマンド前半部の電子署名をコマンド後半部として作成しても良い。また、第2処理回路12は、コマンド前半部の暗号化データをコマンド後半部として作成しても良い。更に、第2処理回路12は、コマンド前半部及びコマンド後半部を暗号化するように構成しても良い。ゲートウェイ1及びECU2間の通信の信頼性を向上させることができる。
1 ゲートウェイ
1a、1b、1c 通信線
2 ECU
3 無線通信装置
9 サーバ装置
11 第1処理回路
12 第2処理回路
13 記憶部
13a 処理プログラム
14a 第1通信部
14b 第2通信部
14c 第3通信部
21 制御部
22 記憶部
22a プログラム
23 ECU通信部
100 更新処理システム
101 記録媒体
C 車両

Claims (8)

  1. プログラムを書き換え可能に記憶した記憶部を有する車載装置と通信を行う通信部と、
    前記プログラムを更新するための更新用プログラムにて前記記憶部が記憶する前記プログラムの更新処理を実行する第1処理回路と、
    前記第1処理回路の処理で作成されないデータを作成する処理を実行する第2処理回路と
    を備え、
    前記第1処理回路は、
    前記プログラムの更新に係る処理を前記車載装置に命令するためのコマンドデータに前記第2処理回路が作成した前記データを付加して前記通信部から前記車載装置へ送信させる処理を実行する
    車載更新装置。
  2. 前記第1処理回路は乱数データを作成し、作成された前記乱数データを前記第2処理回路に与え、
    前記第2処理回路は前記第1処理回路が作成した前記乱数データに基づいて前記データを作成し、作成された前記データを前記第1処理回路に与え、
    前記第1処理回路は前記乱数データ及び前記データを前記コマンドデータに付加して前記通信部から前記車載装置へ送信させる
    ようにしてある請求項1に記載の車載更新装置。
  3. 前記第2処理回路が作成する前記データは、前記乱数データに基づいて作成される誤り検出データ又はハッシュ値である
    請求項2に記載の車載更新装置。
  4. 前記第1処理回路は、
    複数の前記車載装置と通信を行う場合、前記車載装置毎に異なる前記乱数データに基づいて作成された前記データを前記コマンドデータに付加して前記複数の車載装置それぞれへ送信する
    請求項2又は請求項3に記載の車載更新装置。
  5. 請求項1から請求項4のいずれか1項に記載の車載更新装置と、
    前記プログラムを書き換え可能に記憶した前記記憶部を有する前記車載装置と
    を備え、
    前記車載更新装置は、
    前記車載装置の前記プログラムの更新処理を実行する
    更新処理システム。
  6. 請求項2から請求項4のいずれか1項に記載の車載更新装置と、
    前記プログラムを書き換え可能に記憶した前記記憶部を有する前記車載装置と
    を備え、
    前記車載装置は、
    前記コマンドデータに含まれる前記乱数データと、前記データとが整合している場合、前記コマンドデータに従って更新に係る処理を実行する
    更新処理システム。
  7. プログラムを書き換え可能に記憶した記憶部を有する車載装置と通信を行う通信部と、前記プログラムを更新するための更新用プログラムにて前記記憶部が記憶する前記プログラムの更新処理を実行する第1処理回路と、第2処理回路とを備えた車載更新装置を用いて前記プログラムを更新する更新処理方法であって、
    前記第1処理回路の処理で作成されないデータを、前記第2処理回路に作成させるステップと、
    前記プログラムの更新に係る処理を前記車載装置に命令するためのコマンドデータに前記第2処理回路が作成したデータを付加して前記通信部から前記車載装置へ送信させるステップと
    を備える更新処理方法。
  8. プログラムを書き換え可能に記憶した記憶部を有する車載装置と通信を行う通信部と、前記プログラムを更新するための更新用プログラムにて前記記憶部が記憶する前記プログラムの更新処理を実行する第1処理回路と、第2処理回路とを備えた車載更新装置の前記第1処理回路に、
    前記第1処理回路の処理で作成されないデータを、前記第2処理回路に作成させるステップと、
    前記プログラムの更新に係る処理を前記車載装置に命令するためのコマンドデータに前記第2処理回路が作成したデータを付加して前記通信部から前記車載装置へ送信させるステップと
    を実行させるための処理プログラム。
JP2019055191A 2019-03-22 2019-03-22 更新処理システム及び更新処理方法 Active JP7211189B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2019055191A JP7211189B2 (ja) 2019-03-22 2019-03-22 更新処理システム及び更新処理方法
PCT/JP2020/001290 WO2020195034A1 (ja) 2019-03-22 2020-01-16 車載更新装置、更新処理システム、更新処理方法及び処理プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019055191A JP7211189B2 (ja) 2019-03-22 2019-03-22 更新処理システム及び更新処理方法

Publications (2)

Publication Number Publication Date
JP2020155026A true JP2020155026A (ja) 2020-09-24
JP7211189B2 JP7211189B2 (ja) 2023-01-24

Family

ID=72559414

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019055191A Active JP7211189B2 (ja) 2019-03-22 2019-03-22 更新処理システム及び更新処理方法

Country Status (2)

Country Link
JP (1) JP7211189B2 (ja)
WO (1) WO2020195034A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7438924B2 (ja) 2020-12-15 2024-02-27 株式会社東芝 情報処理装置、方法及びプログラム

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004086771A (ja) * 2002-08-28 2004-03-18 Ntt Data Corp 処理装置、処理方法、及びプログラム
JP2014138380A (ja) * 2013-01-18 2014-07-28 Toyota Motor Corp 車両不正状態検出方法、車載システムにおける制御方法、およびシステム
JP2016212608A (ja) * 2015-05-08 2016-12-15 セイコーエプソン株式会社 印刷装置、プログラム更新システム、及び、制御方法
JP2017011491A (ja) * 2015-06-22 2017-01-12 トヨタ自動車株式会社 認証システム
JP2018073245A (ja) * 2016-11-01 2018-05-10 パナソニックIpマネジメント株式会社 検査装置、検査システム、情報処理装置、検査方法およびコンピュータプログラム
JP2019036251A (ja) * 2017-08-21 2019-03-07 株式会社東芝 更新制御装置、ソフトウェア更新システムおよび更新制御方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004086771A (ja) * 2002-08-28 2004-03-18 Ntt Data Corp 処理装置、処理方法、及びプログラム
JP2014138380A (ja) * 2013-01-18 2014-07-28 Toyota Motor Corp 車両不正状態検出方法、車載システムにおける制御方法、およびシステム
JP2016212608A (ja) * 2015-05-08 2016-12-15 セイコーエプソン株式会社 印刷装置、プログラム更新システム、及び、制御方法
JP2017011491A (ja) * 2015-06-22 2017-01-12 トヨタ自動車株式会社 認証システム
JP2018073245A (ja) * 2016-11-01 2018-05-10 パナソニックIpマネジメント株式会社 検査装置、検査システム、情報処理装置、検査方法およびコンピュータプログラム
JP2019036251A (ja) * 2017-08-21 2019-03-07 株式会社東芝 更新制御装置、ソフトウェア更新システムおよび更新制御方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7438924B2 (ja) 2020-12-15 2024-02-27 株式会社東芝 情報処理装置、方法及びプログラム

Also Published As

Publication number Publication date
WO2020195034A1 (ja) 2020-10-01
JP7211189B2 (ja) 2023-01-24

Similar Documents

Publication Publication Date Title
JP6390644B2 (ja) プログラム更新システム、プログラム更新方法及びコンピュータプログラム
JP6665728B2 (ja) 車載更新装置、車載更新システム及び通信装置の更新方法
JP6380461B2 (ja) 中継装置、プログラム更新システム、およびプログラム更新方法
JP6696468B2 (ja) 車載更新装置及び車載更新システム
JP7136278B2 (ja) 車載更新装置、更新処理方法及び更新処理プログラム
WO2014148003A1 (ja) 車載電子制御装置のプログラム書換システム及び車載中継装置
JP6562134B2 (ja) 中継装置、プログラム更新システム、およびプログラム更新方法
WO2017149823A1 (ja) プログラム更新システム、プログラム更新方法及びコンピュータプログラム
WO2017119345A1 (ja) 車載更新装置、更新システム及び更新処理プログラム
WO2019202965A1 (ja) 車載更新装置、車載更新システム、更新処理方法及び更新処理プログラム
JP6756225B2 (ja) 車載更新システム、車載更新装置及び更新方法
JP7280412B2 (ja) ゲートウェイ装置、車載ネットワークシステム及びファームウェア更新方法
JP6798413B2 (ja) 車載中継装置、制御プログラム及びメモリ共有方法
WO2018154949A1 (ja) プログラム更新システム、制御装置、プログラム更新方法、及びコンピュータプログラム
JP2014204315A (ja) 中継装置
JP6562133B2 (ja) 中継装置、プログラム更新システム、およびプログラム更新方法
WO2020195034A1 (ja) 車載更新装置、更新処理システム、更新処理方法及び処理プログラム
WO2018142749A1 (ja) 制御装置、プログラム更新方法、およびコンピュータプログラム
JP7087334B2 (ja) 電子制御装置
WO2019221058A1 (ja) 車載中継装置、通信システム、バス決定方法及びコンピュータプログラム
JP6631676B2 (ja) 車載更新装置、更新システム及び更新処理プログラム
JP7081415B2 (ja) 通信装置、通信方法、および通信プログラム
JP2020017220A (ja) 更新制御装置、電子装置、更新システムおよび更新制御方法
JP2018205896A (ja) ソフトウェア管理システム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210722

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220705

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220830

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20221213

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20221226

R150 Certificate of patent or registration of utility model

Ref document number: 7211189

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150