JP2022085861A - 電子制御装置、ソフトウェア更新方法、ソフトウェア更新プログラム、及び電子制御システム - Google Patents

電子制御装置、ソフトウェア更新方法、ソフトウェア更新プログラム、及び電子制御システム Download PDF

Info

Publication number
JP2022085861A
JP2022085861A JP2021178075A JP2021178075A JP2022085861A JP 2022085861 A JP2022085861 A JP 2022085861A JP 2021178075 A JP2021178075 A JP 2021178075A JP 2021178075 A JP2021178075 A JP 2021178075A JP 2022085861 A JP2022085861 A JP 2022085861A
Authority
JP
Japan
Prior art keywords
update
unit
virtual machine
software
file
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2021178075A
Other languages
English (en)
Inventor
史英 後藤
Fumihide Goto
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to US17/534,491 priority Critical patent/US20220171613A1/en
Priority to DE102021130899.2A priority patent/DE102021130899A1/de
Publication of JP2022085861A publication Critical patent/JP2022085861A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Stored Programmes (AREA)

Abstract

【課題】ソフトウェアの更新を管理する更新管理部と通信が不可能な更新部が存在する場合に、更新処理全体がエラーとして判断されるのを防ぐ電子制御装置、ソフトウェア更新方法及び電子制御システムを提供する。【解決手段】第1の仮想マシンを有する電子制御装置は、ソフトウェアを更新するためのファイルを取得するファイル取得部と、ソフトウェアの更新を管理する更新管理部と、を有する。更新管理部は、更新管理部と第1の仮想マシンのソフトウェアを更新する第1の更新部との間及び/又は更新管理部と第1の仮想マシンに接続された第2の仮想マシンのソフトウェアを更新する第2の更新部との間の通信が可能か否かを判定する判定部と、ファイル取得部からファイルを受領する受領部と、第1の更新部及び第2の更新部のうち判定部が通信可能と判定した更新部に対して、受領部が受領したファイルを用いたソフトウェアの更新を指示する更新指示部と、を有する。【選択図】図1

Description

本発明は、電子制御装置に関するものであり、主として車両用の電子制御装置、電子制御装置で実現する方法、電子制御装置で実行可能なプログラム、及び電子制御装置からなる電子制御システムに関する。
自動車においては、車載ネットワークで接続された様々な電子制御装置が搭載されている。近年の自動運転技術の発展に伴い自動車に求められる機能が複雑になりつつあり、自動車に搭載される電子制御装置の数は増加しつつある。そこで、複数の機能を1つの電子制御装置に統合することで電子制御装置全体の数を抑制することが可能な仮想化技術を適用することが提案されている。
例えば、特許文献1には、車載コンピュータにおいて、ハイパーバイザ(Hypervisor)等の仮想化オペレーティングシステムを利用して、複数の仮想ECUを構築することが開示されている。特許文献1に記載の技術によれば、ECUを介して車載コンピュータに接続された端末機器の動作に必要な物理リソースを車載コンピュータに集約させることで、物理リソースの効率的な利用が可能となる。
特開2020-173561号公報
ここで、本発明者は、以下の課題を見出した。
電子制御装置を仮想化した仮想マシンには、走行や操舵といった車両の動作を制御するものが含まれるため、車両の安全性を確保するために常に最新のソフトウェアにアップデートすることが望ましい。そのため、各仮想マシンには、仮想マシンのソフトウェアの更新を実行する機能が設けられる。ところが、複数の仮想マシンにおけるソフトウェアの更新を管理する更新管理機能と更新機能との間で通信ができず、一部の仮想マシンの更新が実行できない場合、更新管理機能は更新処理全体にエラーが発生したと判断して、車載システムや電子制御装置の更新処理全体を再試行するおそれがある。その結果、更新処理の完了に時間がかかり、不要なリソースが消費される。
そこで、本発明は、更新管理機能と通信ができない更新機能がある場合であっても、更新処理全体にエラーが発生したと判断されるのを防ぎ、更新処理に要する時間やリソースの消費が増大するのを防ぐことを目的とする。
本開示の一態様による電子制御装置は、第1の仮想マシン(130)を有する電子制御装置であって、ソフトウェアを更新するためのファイルを当該電子制御装置の外部から取得するファイル取得部(131)と、前記ソフトウェアの更新を管理する更新管理部(132)と、を有し、前記更新管理部は、前記更新管理部と、前記第1の仮想マシンのソフトウェアを更新する第1の更新部(133)との間、及び/又は、前記更新管理部と、前記第1の仮想マシンに接続された第2の仮想マシン(150,160,230)のソフトウェアを更新する第2の更新部との間、の通信が可能か否かを判定する判定部(135)と、前記ファイル取得部から前記ファイルを受領する受領部(137)と、前記第1の更新部及び前記第2の更新部のうち前記判定部が通信可能と判定した更新部に対して、前記受領部が受領した前記ファイルを用いたソフトウェアの更新を指示する更新指示部(139)と、を有する。
本開示の他の態様によるソフトウェア更新方法は、第1の仮想マシン(130)を有する電子制御装置(10)で実行するソフトウェア更新方法であって、前記電子制御装置は、ソフトウェアを更新するためのファイルを前記電子制御装置の外部から取得するファイル取得部(131)と、前記ソフトウェアの更新を管理する更新管理部(132)と、を有し、前記更新管理部と、前記第1の仮想マシンのソフトウェアを更新する第1の更新部(133)との間、及び/又は、前記更新管理部と、前記第1の仮想マシンに接続された第2の仮想マシン(150,160,230)のソフトウェアを更新する第2の更新部(151,161,231)との間、の通信が可能か否かを判定し(S104)、前記ファイル取得部から前記ファイルを受領し(S106)、前記第1の更新部及び前記第2の更新部のうち、通信が可能と判定した更新部に対して、前記ファイル取得部から受領した前記ファイルを用いたソフトウェアの更新を指示する(S108)。
本開示の他の態様によるソフトウェア更新プログラムは、第1の仮想マシン(130)を有する電子制御装置(10)で実行可能なソフトウェア更新プログラムであって、前記電子制御装置は、ソフトウェアを更新するためのファイルを前記電子制御装置の外部から取得するファイル取得部(131)と、前記ソフトウェアの更新を管理する更新管理部(132)と、を有し、前記更新管理部と、前記第1の仮想マシンのソフトウェアを更新する第1の更新部(133)との間、及び/又は、前記更新管理部と、前記第1の仮想マシンに接続された第2の仮想マシン(150,160,230)のソフトウェアを更新する第2の更新部(151,161,231)との間、の通信が可能か否かを判定し(S104)、前記ファイル取得部から前記ファイルを受領し(S106)、前記第1の更新部及び前記第2の更新部のうち、通信が可能と判定した更新部に対して、前記ファイル取得部から受領した前記ファイルを用いたソフトウェアの更新を指示する(S108)。
本開示の他の態様による電子制御システムは、第1の仮想マシン(130)を有する第1の電子制御装置(10)と、第2の仮想マシン(230)を有する第2の電子制御装置(20)とを有する電子制御システムであって、前記第1の仮想マシンは、ソフトウェアを更新するためのファイルを前記第1の電子制御装置の外部から取得するファイル取得部(131)と、前記ソフトウェアの更新を管理する更新管理部(132)と、を有し、前記更新管理部は、前記更新管理部と、前記第2の仮想マシンのソフトウェアを更新する第2の更新部(231)との間の通信が可能か否かを判定する判定部(135)と、前記ファイル取得部から前記ファイルを受領する受領部(137)と、通信が可能な前記第2の更新部に対して、前記受領部が受領した前記ファイルを用いたソフトウェアの更新を指示する更新指示部(139)と、を有し、前記第2の仮想マシンの前記第2の更新部は、前記更新指示部の指示に基づき、前記ファイルを用いて前記第2の仮想マシンのソフトウェアを更新する。
なお、特許請求の範囲、及び本項に記載した発明の構成要件に付した括弧内の番号は、本発明と後述の実施形態との対応関係を示すものであり、本発明を限定する趣旨ではない。
本開示の電子制御装置、ソフトウェア更新方法、ソフトウェア更新プログラム、及び電子制御システムによれば、電子制御装置又は電子制御システムにおいて、更新管理部と通信ができない更新部がある場合であっても、通信が可能な更新部が仮想マシンのソフトウェアの更新処理を行うことができる。
実施形態1~3の電子制御装置、及び当該電子制御装置を備える電子制御システムを説明する図 実施形態1、2の更新管理部の機能を説明する図 実施形態1~3の電子制御システム全体の動作を説明する図 実施形態1、2の更新管理部の動作を説明する図 実施形態1、2の更新部の動作を説明する図 実施形態3の更新管理部の機能を説明する図 実施形態3の更新管理部の動作を説明する図 実施形態1~3の電子制御装置、及び当該電子制御装置を備える電子制御システムの変形例を説明する図 実施形態1~3の電子制御システムを適用するドメイン・アーキテクチャを説明する図
以下、本発明の実施形態について、図面を参照して説明する。
なお、本発明とは、特許請求の範囲又は課題を解決するための手段の項に記載された発明を意味するものであり、以下の実施形態に限定されるものではない。また、少なくともかぎ括弧内の語句は、特許請求の範囲又は課題を解決するための手段の項に記載された語句を意味し、同じく以下の実施形態に限定されるものではない。
特許請求の範囲の従属項に記載の構成及び方法は、特許請求の範囲の独立項に記載の発明において任意の構成及び方法である。従属項に記載の構成及び方法に対応する実施形態の構成及び方法、並びに特許請求の範囲に記載がなく実施形態のみに記載の構成及び方法は、本発明において任意の構成及び方法である。特許請求の範囲の記載が実施形態の記載よりも広い場合における実施形態に記載の構成及び方法も、本発明の構成及び方法の例示であるという意味で、本発明において任意の構成及び方法である。いずれの場合も、特許請求の範囲の独立項に記載することで、本発明の必須の構成及び方法となる。
実施形態に記載した効果は、本発明の例示としての実施形態の構成を有する場合の効果であり、必ずしも本発明が有する効果ではない。
複数の実施形態がある場合、各実施形態に開示の構成は各実施形態のみで閉じるものではなく、実施形態をまたいで組み合わせることが可能である。例えば一の実施形態に開示の構成を、他の実施形態に組み合わせてもよい。また、複数の実施形態それぞれに開示の構成を集めて組み合わせてもよい。
発明が解決しようとする課題に記載した課題は公知の課題ではなく、本発明者が独自に知見したものであり、本発明の構成及び方法と共に発明の進歩性を肯定する事実である。
1.実施形態1
図1を用いて、実施形態1の電子制御装置、及び当該電子制御装置を備える電子制御システムを説明する。なお、各実施形態の電子制御装置及び電子制御システムは、「移動体」である車両に「搭載」されている車載装置及び車載システムを想定しているが、これらに限定されるものではない。
ここで、「移動体」とは、移動可能な物体をいい、移動速度は任意である。また移動体が停止している場合も当然含む。例えば、自動車、自動二輪車、自転車、歩行者、船舶、航空機、及びこれらに搭載される物を含み、またこれらに限らない。
また、「搭載」される、とは、移動体に直接固定されている場合の他、移動体に固定されていないが移動体と共に移動する場合も含む。例えば、移動体に乗った人が所持している場合、移動体に載置された積荷に搭載されている場合、が挙げられる。
電子制御システム1は、複数の「電子制御装置」(以下、ECU:Electronic Control Unit)から構成されるシステムである。図1は、2つのECU(ECU10、ECU20)を備える電子制御システム1を示しているが、任意の数のECUから構成される。ECU10及びECU20は、例えば、CAN(Controller Area Network)やLIN(Local Interconnect Network)といった車載ネットワーク、イーサネット(登録商標)、無線通信ネットワークを介して接続されている。
ここで、「電子制御装置」は、例えば、主に半導体装置で構成され、CPU(Central Processing Unit)、およびRAM(Random Access Memory)等の揮発性記憶部を有する、いわゆる情報処理装置として構成されていてもよい。この場合、情報処理装置はさらに、フラッシュメモリ等の不揮発性記憶部、通信ネットワーク等に接続されるネットワークインターフェース部等を有していてもよい。さらに、このような情報処理装置はパッケージ化された半導体装置(素子)であっても、配線基板において各半導体装置が配線接続された構成であってもよい。
ECU10は例えば、AUTOSAR(AUTomotive Open System ARchitecture)においてAdaptive Platform(以下、AP)と呼ばれる、動的な機能の拡張が可能なプラットフォームをベースとしたECUである。APは主に、自動運転用のECUに適したプラットフォームである。また、ECU20は例えば、AUTOSARにおいてClassic Platform(以下、CP)と呼ばれる、静的な機能を最適化したプラットフォームをベースとしたECUである。CPは主に、車両制御用のECUに適したプラットフォームである。
電子制御システム1を構成するECU10、ECU20はいずれも、ハイパーバイザによって管理される1以上の仮想マシンを有する。以下に、ECU10、ECU20、及び各ECUに搭載される仮想マシンの構成を説明する。図においては、仮想マシンをVM(Virtual Machine)と略する。
(1)ECU10について
ECU10は、ハイパーバイザ(HV)110、ハイパーバイザによって管理される複数の仮想マシン(VM)(130、150、160)、及びハードウェアである実ストレージ120を備える。
ハイパーバイザ110は、ECU10を仮想化するソフトウェアである。図1の例では、第1の仮想マシン130乃至第3の仮想マシン160はハイパーバイザ110上に構築される。ハイパーバイザ110上に構築された仮想マシン同士はそれぞれ仮想的に「接続」されている。
ここで、仮想マシンに「接続」とは、仮想マシン同士でデータのやり取りが可能な状態をいい、同一のハードウェア上で実現された仮想マシン同士が仮想的に接続されている場合の他、異なるハードウェア上で実現された仮想マシン同士がネットワーク等を介して接続されている場合も含む。また、データのやり取りが可能な状態とは、必ずしも実際にデータのやり取りが可能である必要はない。例えば、一方の仮想マシンが何らかのトラブルで一時的に停止していたり、スリープ状態にある場合であってもデータのやり取りが可能な状態である。
実ストレージ120は、ハードウェアのメモリであり、SRAMやDRAMといった揮発性メモリ、ROM、フラッシュメモリ、又はハードディスク等の不揮発性メモリである。後述する第1の仮想マシン130乃至第3の仮想マシン160の仮想ストレージは、実ストレージ120の保存領域を仮想化して実現される。図1では、一の実ストレージ120を示しているが、実ストレージ120は複数のストレージによって実現するものであってもよい。
実ストレージ120は、後述するパース処理部138で分割処理された更新ファイルを保存する。更新ファイルを保存する領域は、複数の仮想マシンで共有される保存領域であってもよく、あるいは、実ストレージ120を仮想化して実現した仮想ストレージの領域であってもよい。
(i)第1の仮想マシン130について
ハイパーバイザ110によって管理される第1の仮想マシン130は、ファイル取得部131、更新管理部132、更新部133、及び仮想ストレージ134を有する。
ファイル取得部131は、ECU10の外部に設けられたサーバ装置からOTA(Over The Air)又は有線通信を用いてファイルを取得する。ファイル取得部131が取得するファイルは、仮想マシンのソフトウェアを更新するための更新ファイルを含み、例えば、複数の仮想マシンを更新するための複数の更新ファイルを含む更新ファイル群であってもよい。ファイルはさらに、ソフトウェアを更新すべき対象の仮想マシンを特定する情報を含んでもよい。ファイル取得部131は、OTAクライアントとも称される。仮想マシンのソフトウェアを更新するための更新ファイルとは、仮想マシンを実現するソフトウェアを更新するものはもちろん、仮想マシン上に搭載されたアプリケーションやソフトウェアを更新するものであってもよい。
ファイル取得部131は、サーバ装置からファイルを取得すると、後述する更新管理部132に対し、更新管理部132と各仮想マシンの更新を実行する更新部との間の通信状況の送信を指示する。以下、ファイル取得部131から更新管理部132に対する通信状況の送信指示を、通信状況リクエストとする。この通信状況リクエストは、各仮想マシンのソフトウェアの更新を行うことを指示することにより、間接的に通信状況の送信を指示するものであってもよい。そして、通信状況リクエストに対して更新管理部132の判定結果通知部136から通知された通信状況の判定結果に基づいて、ファイル取得部131は、サーバ装置から取得したファイルのうち、更新管理部132に転送するファイルを選択するとともに、選択したファイルを更新管理部132に転送する。更新管理部132から送信される判定結果には、更新管理部132と通信が可能な更新部を特定する情報が含まれており、ファイル取得部131は、更新管理部132と通信が可能な更新部が仮想マシンのソフトウェアを更新するために必要なファイルのみを更新管理部132に転送する。すなわち、本実施形態では、ファイル取得部131は、更新管理部132と通信が可能な更新部が仮想マシンのソフトウェアを更新するために用いるファイルを選択して、転送する。
図1の例は、更新管理部132が、第1の仮想マシン130の更新部133、第2の仮想マシンの更新部151、及び第4の仮想マシン230の更新部231とは通信が可能であり、第3の仮想マシン160の更新部161とは通信が不可能な状態を示している。そのため、ファイル取得部131は、第1の仮想マシン130、第2の仮想マシン150、及び第4の仮想マシン230のソフトウェアの更新に必要なファイルのみを更新管理部132に転送することになる。
更新管理部132は、第1の仮想マシン130、及び第1の仮想マシン130に接続された各仮想マシンのソフトウェアの更新を管理する。図2は更新管理部132が実現する機能を示している。更新管理部132は、通信可否判定部135、判定結果通知部136、受領部137、パース処理部138、更新指示部139、及び配信部140を実現する。更新管理部132は例えば、AUTOSARにおいてUCM(Update and Configuration Management)マスタと称される機能の一部又は全部を実行するものである。
通信可否判定部135(「判定部」に相当)は、更新管理部132と、各仮想マシンのソフトウェアの更新処理を行う更新部との間の通信が可能か否かを判定する。通信可否判定部135は例えば、各更新部に対して検索信号を送信し、送信先の更新部から応答信号を受信した場合には、その更新部との間では通信が可能であると判定する。通信可否判定部135は、利用可能なサービスを探索して通信を確立する、いわゆるサービス・ディスカバリ(Service Discovery)と呼ばれる機能を利用して、通信が可能か否かを判定してもよい。
通信可否判定部135は、例えば、ファイル取得部131から通信状況リクエストを受信したタイミングで、各更新部に対して検索信号を送信する。この場合、通信可否判定部135は、更新管理部132と各仮想マシンの更新部との最新の通信可否の状況を判定することができる。しかしながら、通信可否判定部135は、通信状況リクエストを受信したタイミングに加えて、又はそのタイミングに代えて、定期的に各更新部に検索信号を送信して、更新部との通信可否を判定してもよい。通信可否判定部135はさらに、ECU10が起動(Boot)したタイミングで検索信号を送信してもよい。通信可否判定部135での判定結果は、実ストレージ120に記録される。
図1の例では、更新管理部132と更新部161との間の通信ネットワークに何らかの異常が発生しており、通信可否判定部135が送信した検索信号は更新部161に到達しない。その結果、通信可否判定部135は更新部161からの応答信号を受信できないため、更新部161とは通信が不可能であると判定する。一方、通信可否判定部135が送信した検索信号は更新部133、151、231には到達するため、これらの更新部は通信可否判定部135に対して応答信号を送信することができる。応答信号を受信した通信可否判定部135は、更新管理部132と、更新部133、151、231との通信は可能であると判定する。
判定結果通知部136(「通知部」に相当)は、通信可否判定部135での判定結果をファイル取得部131に通知する。判定結果通知部136は例えば、通信可否判定部135での判定結果として、通信が可能な更新部を有する仮想マシンの識別情報、通信が不可能な更新部を有する仮想マシンの識別情報、通信が可能又は不可能な仮想マシンの台数を示す情報のうち1つ以上をファイル取得部131に通知する。
受領部137は、ファイル取得部131から転送されたファイルを受領する。上述したとおり、受領部137が受領するファイルは、第1の仮想マシン130、第2の仮想マシン150、及び第4の仮想マシン230のソフトウェアを更新するためのファイルであり、第3の仮想マシン160のソフトウェアを更新するためのファイルは含まれていない。
パース処理部138は、受領部137で受領したファイルに含まれる更新ファイル群を、各仮想マシンそれぞれの更新ファイルに分割するパース処理を行う。パース処理した更新ファイルは、実ストレージ120に保存する。
更新指示部139は、通信可否判定部135が、通信が可能であると判定した更新部に対して、仮想マシンのソフトウェアの更新を指示する。更新指示部139は、例えば、後述する配信部140が配信する更新ファイルを用いて仮想マシンのソフトウェアを更新することを指示する。あるいは、更新指示部139による更新指示は、実ストレージ120にアクセスすることにより、実ストレージ120に保存されている更新ファイルを用いて仮想マシンのソフトウェアを更新することを指示するものであってもよい。更新部が実ストレージ120にアクセスすることができる場合、更新ファイルが配信されなくとも、実ストレージ120に保存されている更新ファイルを参照して仮想マシンのソフトウェアを更新することができる。
一方、更新指示部139は、通信可否判定部135が、通信が不可能であると判定した更新部、本実施形態では更新部161に対しては、仮想マシンのソフトウェアの更新を指示しない。
例えば、更新部133が、更新ファイルを保存している実ストレージ120の保存領域にアクセスすることができる場合、更新部133は実ストレージ120に保存された更新ファイルを参照して第1の仮想マシン130のソフトウェアを更新することができる。そこで、更新指示部139は、更新ファイルを配信しなくとも仮想マシンのソフトウェアを更新することが可能な更新部133に対しては、実ストレージ120にアクセスすることによって、保存されている更新ファイルを用いて仮想マシンのソフトウェアを更新することを指示する。
配信部140は、通信可否判定部135で通信が可能であると判定した更新部に対して、パース処理部138で分割した更新ファイルを配信する。図1の例では、更新部151及び更新部231に更新ファイルを配信する。ここで、更新ファイルの配信とは、通信ネットワークを介して更新ファイルを送信することの他、更新ファイルの保存領域を特定の仮想マシンがアクセス可能な領域に移動させることも含む。
なお、以下の実施形態では、配信部140は、更新部151及び更新部231に更新ファイルを配信する構成とした。しかしながら、これらの更新部が、更新部133と同様に実ストレージ120にアクセスできる場合、必ずしも更新ファイルを配信しなくともよい。
更新部133(「第1の更新部」に相当)は、更新指示部139からの指示に基づいて、第1の仮想マシン130のソフトウェアを更新する。上述したとおり、更新部133は実ストレージ120にアクセスすることにより、実ストレージ120に保存されている更新ファイルを用いて第1の仮想マシン130のソフトウェアを更新する。更新処理が完了すると、更新部133は更新管理部132に更新が完了したことを通知する。更新部133及び後述する他の仮想マシンの更新部151、161、231は例えば、AUTOSARにおいてUCMサブオーディネイト(UCM subordinate)と称される機能の一部又は全部を実行するものである。
仮想ストレージ134は、実ストレージ120の保存領域を仮想化することで、第1の仮想マシン130に仮想的に設けられた保存領域である。そのため、仮想ストレージ134に保存されたファイルは、実ストレージ120に保存されたファイルであるとも観念される。以下に説明する仮想ストレージ152、及び仮想ストレージ162についても同様である。
(ii)第2の仮想マシン150、第3の仮想マシン160について
第2の仮想マシン150及び第3の仮想マシン160は、第1の仮想マシン130と同様、ハイパーバイザ110によって管理される仮想マシンである。第2の仮想マシン150は更新部151、仮想ストレージ152を有し、第3の仮想マシン160は更新部161、仮想ストレージ162を有する。
更新部151及び更新部161(「第2の更新部」に相当)は、更新管理部132から検索信号を受信した場合、これに対する応答信号を送信する。更新部151及び更新部161はさらに、更新指示部139からの更新指示に基づいて、仮想マシンのソフトウェアの更新を行う。更新部151及び更新部161は、ソフトウェアの更新処理が完了すると、第1の仮想マシン130の更新管理部132に更新が完了したことを通知する。ただし、図1の例では、更新部161は検索信号を受信することができないため、応答信号を送信しない。また、更新部161は、更新指示部139から更新指示を受信しないため、ソフトウェアの更新処理を行わない。
仮想ストレージ152及び仮想ストレージ162は、第2の仮想マシン150及び第3の仮想マシン160にそれぞれ仮想的に設けられた保存領域である。第1の仮想マシン130の配信部140から更新ファイルが配信された場合、更新ファイルはそれぞれの仮想ストレージ152、162に保存される。
上述したとおり、第2の仮想マシン150及び第3の仮想マシン160(「第2の仮想マシン」に相当)は、第1の仮想マシン130と仮想的に接続されている。
(2)ECU20について
ECU20は、ハイパーバイザ210、ハードウェアである実ストレージ220、及びハイパーバイザ210によって管理される第4の仮想マシン230を備える。
ECU10とECU20とは車載ネットワークで接続されており、ECU10が有する第1の仮想マシン130と、ECU20が有する第4の仮想マシン230(「第2の仮想マシン」に相当)とは、車載ネットワークを介して仮想的に接続されている。
ハイパーバイザ210は、ECU20を仮想化するソフトウェアである。第4の仮想マシン230はハイパーバイザ210上に構築される。
実ストレージ220は、ECU10の実ストレージ120と同様、ハードウェアのメモリであり、SRAMやDRAMといった揮発性メモリ、ROM、フラッシュメモリ、又はハードディスク等の不揮発性メモリである。
ECU20が有する第4の仮想マシン230は、上述した第2の仮想マシン150及び第3の仮想マシン160と同様、更新部231及び仮想ストレージ232を有する。
更新部231(「第2の更新部」に相当)は、更新管理部132から検索信号を受信した場合、これに対する応答信号を送信する。更新部231はさらに、更新指示部139からの更新指示に基づいて第4の仮想マシン230のソフトウェアの更新を行い、ソフトウェアの更新処理が完了すると第1の仮想マシン130の更新管理部132に更新が完了したことを通知する。
仮想ストレージ232は、実ストレージ220に仮想的に設けられた保存領域である。配信部140から更新ファイルが配信された場合、更新ファイルを仮想ストレージ232に保存する。
(3)電子制御システム1の動作
次に、図3~図5を用いて、仮想マシンのソフトウェアの更新に関する動作を説明する。図3は、電子制御システム1全体の動作を示す図である。図4は、更新管理部132の動作を、図5は各仮想マシンが有する更新部の動作をそれぞれ示している。図3に示す符号と、図4、図5に示す符号はそれぞれ対応しており、同じ符号は同じ処理を示している。
なお、図4、図5に示す更新管理部132及び更新部の動作とは、各電子制御装置(ECU10、ECU20)の動作であるとも観念される。また、各電子制御装置の動作は、電子制御装置で実行されるソフトウェア更新方法を示すだけでなく、電子制御装置で実行可能なソフトウェア更新プログラムの処理手順を示すものである。そして、これらの処理は、図3~図5で示した順序には限定されない。すなわち、あるステップでその前段のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。後述する図7も同様である。
まず、図3、図4を用いて、主に更新管理部132の動作を説明する。
更新管理部132は、ファイル取得部131から通信状況リクエストを受信する(図3、図4:S101)。この通信状況リクエストは、ファイル取得部131が、仮想マシンのソフトウェアを更新するためのファイルをECU10の外部のサーバ装置から取得すると、更新管理部132に対して送信される。
更新管理部132の通信可否判定部135は、第1の仮想マシン130自身の更新部133、及び第1の仮想マシン130に接続された仮想マシンの更新部に対して検索信号を送信する(図3、図4:S102)。
通信可否判定部135は、S102の検索信号を受信した各仮想マシンの更新部から、応答信号を受信する(図3、図4:S103)。図3の例では、通信可否判定部135は、S102の検索信号を受信した更新部133、更新部151、及び更新部231から応答信号を受信する。しかしながら、通信可否判定部135は、S102の検索信号を受信できない更新部161からの応答信号を受信することはない。
通信可否判定部135は、S103で受信した応答信号に基づいて、更新管理部132と、各仮想マシンの更新部との間の通信が可能か否かを判定する(図3、図4:S104)。ここで、図3、図4には記載していないが、通信可否判定部135での判定結果を、実ストレージ120又は仮想ストレージ134に記録してもよい。
判定結果通知部136は、S104での判定結果をファイル取得部131に送信する(図3、図4:S105)。本実施形態の判定結果は、更新管理部132が、更新部133、更新部151、及び更新部231との間で通信が可能であることを示している。
受領部137は、ファイル取得部131から送信された更新ファイル群を受領する(図3、図4:S106)。この更新ファイルは、ファイル取得部131が、S105で送信された判定結果に基づいて、更新管理部132と通信が可能な更新部がソフトウェアを更新するためのファイルを選択して、転送したものである。したがって、受領部137がS106で受領した更新ファイル群は、第1の仮想マシン130、第2の仮想マシン150、及び第4の仮想マシン230のソフトウェアを更新するための更新ファイルのみを含んでいる。
パース処理部138は、S106で受信した更新ファイル群を、各仮想マシンの更新ファイルに分割するパース処理を行う(図3、図4:S107)。
更新指示部139は、通信可否判定部135が、更新管理部132と通信が可能であると判定した更新部、すなわち、更新部133、151、231に対し、仮想マシンのソフトウェアの更新を指示する(図3、図4:S108)。
配信部140は、更新部151及び更新部231に対して、S107で分割した更新ファイルを配信する(図3、図4:S109)。
ここで、S108において更新指示部139から更新指示を受けた各更新部は、仮想マシンのソフトウェアを更新する。第1の仮想マシン130の更新部130は、実ストレージ120に保存された更新ファイルを用いて、第1の仮想マシン130のソフトウェアを更新する。また、更新部151及び更新部231はそれぞれ、S109で配信部140から配信された更新ファイルを受信し、受信した更新ファイルを用いてそれぞれの仮想マシンのソフトウェアを更新する(図3:S110)。
更新管理部132は、S110の更新処理が完了した各仮想マシンの更新部から、更新処理が完了したことを示す更新完了通知を受信する(図3、図4:S111)。
更新管理部132は、各仮想マシンの更新部から更新処理が完了したことを示す通知を受信すると、ファイル取得部131に各仮想マシンの更新処理が完了したことを通知する(図3、図4:S112)。
次に、各仮想マシンが有する更新部の動作を、主に図5を用いて説明する。
各仮想マシンの更新部は、S102で更新管理部132から送信された検索信号を受信する(S201)。
そして、S201で検索信号を受信した各仮想マシンの更新部は、応答信号を通信可否判定部135に送信する(S202)。
更新部は、更新指示部139から、仮想マシンのソフトウェアの更新指示を受信する(S203)。S203において、更新指示部139から更新指示を受信する更新部は、S201で検索信号を受信し、S202で応答信号を送信した更新部、すなわち、更新部133、151、231である。ここで、S203で受信した更新指示が、実ストレージにアクセスすることによる更新指示でない場合、更新部はさらに、配信部140から送信された更新ファイルを受信する(S204)。
図3の説明で上述したとおり、更新部は、S203で受信した更新指示に基づいて、仮想マシンのソフトウェアを更新する(図3、図5:S110)。
S110の更新処理が完了すると、各仮想マシンの更新部は、更新管理部132に対して、更新処理が完了したことを通知する(S205)。
なお、図3~図5では、通信可否判定部135は、S101においてファイル取得部131から通信状況リクエストを受信した後に、S102で各更新部に対して検索信号を送信する処理を行っている。しかしながら、通信可否判定部135はS101乃至S103の処理を定期的に行い、通信状況リクエストを受信(S101)すると、実ストレージ120に保存した判定結果を送信(S105)する構成としてもよい。
(4)小括
仮想マシンのソフトウェアの更新処理の開始後に、更新管理部132と更新部との間の通信ができないことが判明した場合、更新処理全体にエラーが発生したと判断されて、更新処理が再試行される可能性がある。
これに対し、本実施形態によれば、ソフトウェアの更新にかかる一連の処理を開始する前に、更新管理部132が更新部との通信可否を判定することにより、更新処理全体にエラーが発生したと判断され、ひいては更新処理全体が再試行されるのを防ぐことができる。さらに、必要な更新ファイルのみについて転送及び分割処理を行うため、更新に要する時間を短縮しながら、不要なリソースの使用を抑制することも可能となる。
(5)実施形態1の変形例1
実施形態1では、ファイル取得部131は、ECU10外部のサーバ装置から更新ファイル群を受動的に取得することを想定している。しかしながら、ファイル取得部131は、サーバ装置に対して、特定の仮想マシンのソフトウェアを更新するための更新ファイルをリクエストして、必要な更新ファイルのみをサーバ装置から取得してもよい。
本変形例のファイル取得部131は、サーバ装置からファイルを取得する前に、更新管理部132に対して通信状況リクエストを送信する。そして、ファイル取得部131は、更新管理部132から判定結果を受信すると、更新管理部132と通信が可能な更新部を有する仮想マシンを示す情報をサーバ装置に送信する。ファイル取得部131は、更新管理部132から受信した判定結果を、そのままサーバ装置に転送してもよい。
サーバ装置は、ファイル取得部131から更新管理部132での判定結果を受信すると、更新管理部132と通信が可能な更新部を有する仮想マシンのソフトウェアを更新するための更新ファイルのみをファイル取得部131に送信する。つまり、上述した例では、サーバ装置は、第1の仮想マシン130、第2の仮想マシン150、及び第4の仮想マシン230のソフトウェアを更新するための更新ファイルのみをファイル取得部131に送信する。そして、サーバ装置から更新ファイルを取得したファイル取得部131は、更新ファイルを更新管理部132に転送する。
本変形例によれば、ファイル取得部131は、必要な更新ファイルのみをサーバ装置から取得するため、ファイル取得部131とサーバ装置との間の通信量を抑制することができる。さらに、本変形例においても、必要な更新ファイルのみについて転送及び分割処理が行われるため、更新に要する時間を短縮しながら、不要なリソースの使用を抑制することができる。
(6)実施形態1の変形例2
実施形態1では、通信可否判定部135は、更新管理部132と、各仮想マシンのソフトウェアの更新処理を行う更新部との間の通信が可能か否かを判定した。本変形例の通信可否判定部135は、これに加え、仮想マシン間でソフトウェアの更新が関連付けられているか否かも併せて判定する。
通信可否判定部135は、仮想マシン間でソフトウェアの更新が「関連付けられている」か否かを判定する。本変形例では、通信可否判定部135は、通信が可能でないと判定した第3の仮想マシン160(「第2の仮想マシン」に相当)のソフトウェアの更新と第2の仮想マシン150(「第3の仮想マシン」に相当)及び第4の仮想マシン230(「第3の仮想マシン」に相当)のソフトウェアの更新とが「関連付けられている」か否かを判定する。例えば、システム全体としての動作の安定を図るためにソフトウェアの更新を同時に行うことを条件としている場合や、仮想マシン間で動作や機能が連携している場合、ソフトウェアの更新が関連付けられていると判定する。
ここで、「関連付けられている」とは、時間的又は機能的に、一方の更新が他方の更新に依存していること、一方の更新が他方の更新の前提となっていること、又は一方の更新と他方の更新とが連携していることをいう。
なお、関連付けられているか否かの判定は通信可否判定部135が自律的に更新対象ソフトウェアの内容を判定して実施してもよいが、あらかじめ定めたフォーマット(ファイルやパケット)によって通信可否判定部135に伝えられてもよい。例えば、AUTOSAR仕様におけるVehiclePackage乃至SoftwarePackageと呼ばれる各パッケージをソフトウェアの更新のために使用する場合、それらパッケージに含まれるマニフェストと呼ばれる手順ファイルに、各ソフトウェア乃至各マシン間の関連付け情報が記載される。そのような構成では、通信可否判定部135は、当該関連付け情報を参照して仮想マシン間でソフトウェアの更新が関連付けられているか否かを判定する。
また、言うまでもないが当該関連付け情報の記載箇所はAUTOSAR仕様に規定されているものだけでなく、通信可否判定部135が理解可能なファイル形式もしくはパケット形式によるものでもよい。
図1の例において、例えば第4の仮想マシン230がセンサを制御している仮想マシンであり、第3の仮想マシン160がセンサから出力されたデータを集計している仮想マシンである場合、第4の仮想マシン230と第3の仮想マシン160とは機能的に連携しているのでソフトウェアの更新を同時に行うことが望ましいことから、通信可否判定部135は、第3の仮想マシン160(「第2の仮想マシン」に相当)のソフトウェアの更新と第4の仮想マシン230(「第3の仮想マシン」に相当)のソフトウェアの更新とが関連付けられていると判定する。
更新指示部139は、通信可否判定部135が、通信が可能であると判定した更新部に対して、仮想マシンのソフトウェアの更新を指示する。ただし、通信可否判定部135が、通信が可能であると判定した更新部であっても、通信が可能でないと判定した更新部を有する仮想マシンのソフトウェアの更新と関連付けられている仮想マシンの更新部である場合は、ソフトウェアの更新を指示しない。本変形例では、第4の仮想マシン230の更新部231は、第1の仮想マシン130の更新管理部132と通信が可能であると判定されているが、通信が可能でないと判定された第3の仮想マシン160とソフトウェアの更新が関連付けられていると判定されているので、第4の仮想マシン230のソフトウェアを更新する更新部231に対して、ソフトウェアの更新を指示しない。
なお、通信可否判定部135の判定は、ファイル取得部131が外部から更新ファイルを受領する前に、又は受領部137がファイル取得部131から更新ファイルを受領する前に行われるのが望ましい。これにより、ファイル取得部131とサーバ装置との間の通信量を抑制することができる。あるいは、第1の仮想マシン130での処理量を削減することができる。
また、パース処理部138や配信部140は、本変形例の通信可否判定部135の判定結果に基づき、更新ファイル分割し、分割した更新ファイルを配信してもよい。
本変形例によれば、ソフトウェアの更新が関連付けられた仮想マシンのソフトウェアの更新の可否を一括して決定するので、ソフトウェアの更新がされている仮想マシンとされていない仮想マシンとが存在することにより生じる動作不良を削減することができる。
例えば、異なる仮想マシン間で連携した動作が必要な場合は、仮想マシンで動作するソフトウェアのバージョンが一致していることが期待されるが、その際にソフトウェアの更新がされている仮想マシンとされていない仮想マシンとが存在することによる互換性の問題による不具合発生を防止することが可能となる。
2.実施形態2
実施形態1では、ファイル取得部131は、更新管理部132から送信された判定結果に基づいて、更新管理部132と通信が可能な更新部に送信する更新ファイルのみを更新管理部132に転送する構成を説明した。本実施形態では、ファイル取得部131は、更新管理部132と通信が不可能な更新部に送信すべき更新ファイルも更新管理部132に転送する構成を、実施形態1との相違点を中心に説明する。
実施形態1と同様、本実施形態のファイル取得部131は更新管理部132に通信状況リクエストを送信する。そして、ファイル取得部131から通信状況リクエストを受信した更新管理部132は、各更新部に検索信号を送信するとともに、応答信号に基づいて、更新管理部132と各更新部との間の通信が可能か否かを判定する。そして、更新管理部132は、判定結果をファイル取得部131に送信する。
ここで、ファイル取得部131は、更新対象となる全ての仮想マシン用の更新ファイルを更新管理部132に転送する。すなわち、図1に示す例では、通信が不可能な更新部161が第3の仮想マシン160のソフトウェアを更新するための更新ファイルも含めて、更新管理部132に転送する。
更新管理部132の受領部137は、ファイル取得部131から転送された更新ファイル群を受領する。上述したとおり、受領部137が受領するファイルは、更新対象となる全ての仮想マシンのソフトウェアを更新するための更新ファイルであり、第1の仮想マシン130乃至第4の仮想マシン230全てのソフトウェアを更新するための更新ファイルが含まれている。
パース処理部138は、受領部137で受領したファイルに含まれる更新ファイル群を、各仮想マシンそれぞれの更新ファイルに分割するパース処理を行う。パース処理した更新ファイルは実ストレージ120に保存する。
更新指示部139は、通信可否判定部135が通信が可能であると判定した更新部に対して、仮想マシンのソフトウェアの更新を指示する。本実施形態においても、更新指示部139は、更新部133、更新部151、及び更新部231に対して更新指示を行い、更新部161に対しては更新指示をしない。
配信部140は、通信可否判定部135で通信が可能であると判定した更新部に対して、パース処理部138で分割した更新ファイルを配信する。本実施形態においても、配信部140は、更新部151及び更新部231に更新ファイルを配信する。
更新管理部132は、各更新部から更新完了通知を受信すると、ファイル取得部131に対して更新が完了したことを示す更新完了通知を送信する。
上述したとおり、ファイル取得部131は、更新管理部132と更新部161との通信が不可能であることを示す判定結果を受信している。そのため、更新完了通知に、更新部161を有する仮想マシン160の更新が完了したことを示す情報が含まれていなくとも、電子制御システム1における更新処理全体にエラーが発生したと判断することはない。
本実施形態では、ファイル取得部131から転送された更新ファイル群に含まれる更新ファイルのうち、第3の仮想マシン160を更新するための更新ファイルについては、配信部140から送信されない。しかし、将来的に、更新管理部132と、通信が不可能であった更新部161との間の通信が復旧したときに、更新管理部132はファイル取得部131に対して、第3の仮想マシン160のソフトウェアを更新するための更新ファイルの送信を要求することなく、実ストレージ120に保存されている更新ファイルを更新部161に送信することができる。
3.実施形態3
更新管理部132と更新部161との通信が不可能な場合、更新部161を有する仮想マシン160のソフトウェアを最新の状態に更新することができず、セキュリティ及び安全性の観点から望ましくない。そこで、更新管理部132と通信が不可能な更新部が存在する場合には、更新部を有する仮想マシンや、電子制御装置を搭載する車両を再起動させることにより、通信の復旧を図る。
(1)更新管理部132について
図6は、本実施形態の更新管理部132を示している。図2に示す更新管理部132の各機能に加えて、更新管理部132はさらに再起動要求部141を有する。
再起動要求部141は、通信可否判定部135が、更新管理部132と更新部161との通信が不可能であると判定した場合に、車両のユーザに対して、車両の再起動要求を通知する。この再起動要求は、例えば、車両に搭載されたナビゲーション装置の画面に視覚的に表示することによって通知するものであってもよく、音声によって通知するものであってもよい。また、車両の再起動要求とは、車両のACC電源、IG電源、+B電源のオンオフを要求するものであってもよい。
あるいは、再起動要求部141は、更新管理部132との通信が不可能であると判定した更新部を有する仮想マシンの再起動要求を通知してもよい。図1の例では、再起動要求部141は、第3の仮想マシン160の再起動要求を通知する。なお、仮想マシンを再起動するためには、車両全体の再起動を必要としない。したがって、仮想マシンの再起動要求を通知する場合は、再起動要求部141は仮想マシンを管理するハイパーバイザに対して再起動要求を通知してもよい。
再起動要求部141は、所定の条件を満たす場合に再起動要求を通知してもよい。例えば、更新管理部132と通信が不可能な更新部が所定の数以上存在する場合や、更新期限が所定の期間内で終了するソフトウェアの更新を行う更新部と通信が不可能な場合に、再起動要求を通知する。あるいは、車両の安全走行に影響を与える可能性が高いソフトウェアの機能の更新を行う更新部と通信が不可能な場合に、再起動要求部141は再起動要求を通知してもよい。
なお、再起動要求部141から再起動要求が通知された場合であっても、車両や仮想マシンの状況に応じて再起動が可能な場合と、車両や仮想マシンの起動を維持する方が望ましい場合とがあるため、車両又は仮想マシンを再起動するかどうかは任意である。
(2)更新管理部132の動作
図7は、本実施形態の更新管理部132の動作を示している。図4と共通する符号は図4と同じ処理であるため、説明は省略する。
更新管理部132は、S104において各更新部との通信可否を判定する。ここで、通信不可能な更新部があると判定した場合、再起動要求部141は、車両又は通信不可能な更新部を有する仮想マシンの再起動要求を通知する(S121)。
(3)小括
本実施形態によれば、更新管理部132と通信が不可能な更新部が存在する場合には、ECU10を搭載する車両、又は更新部を有する仮想マシンの再起動要求を通知することにより、通信の復旧を図ることができる。
(4)実施形態3の変形例
本変形例では、実施形態3で説明した所定の条件として、実施形態1の変形例2で説明した通信可否判定部135を用いた例を説明する。
実施形態1の変形例2で説明した通り、通信可否判定部135は、仮想マシン間でソフトウェアの更新が「関連付けられている」か否かを判定する。本変形例では、通信可否判定部135は、通信が可能でないと判定した第3の仮想マシン160(「第2の仮想マシン」に相当)のソフトウェアの更新と第2の仮想マシン150(「第3の仮想マシン」に相当)及び第4の仮想マシン230(「第3の仮想マシン」に相当)のソフトウェアの更新とが「関連付けられている」か否かを判定する。
図1の例において、第3の仮想マシン160のソフトウェアの更新と第4の仮想マシン230のソフトウェアの更新とが関連付けられていると判定したとする。また、第3の仮想マシン160のソフトウェアの更新と第2の仮想マシン150のソフトウェアの更新とは関連付けられていないと判定したとする。
再起動要求部141は、通信可否判定部135が、更新管理部132と第3の仮想マシン160の更新部161との通信が可能でないと判定し、かつ、第3の仮想マシン160のソフトウェアの更新と第4の仮想マシン230のソフトウェアの更新とが関連付けられていると判定した場合、第3の仮想マシン160と第4の仮想マシン230の再起動要求を通知する。
また、再起動要求部141は、通信可否判定部135が、更新管理部132と第3の仮想マシン160の更新部161との通信が可能でないと判定し、かつ、第3の仮想マシン160のソフトウェアの更新と第2の仮想マシン150のソフトウェアの更新とが関連付けられていないと判定した場合、第3の仮想マシン160の再起動要求を通知し、第2の仮想マシン150の再起動要求の通知をしない。
なお、第3の仮想マシン160のソフトウェアの更新と第4の仮想マシン230のソフトウェアの更新とが関連付けられていると判定した場合で、第3の仮想マシン160を有する電子制御装置と第4の仮想マシン230を有する電子制御装置が異なる電子制御装置である場合、再起動要求部141は、車両の再起動要求を通知するようにしてもよい。図1の例において、第3の仮想マシン160を有するのはECU10であり、第4の仮想マシン230を有するのはECU2でありECU10と異なる電子制御装置であるから、再起動要求部141は車両の再起動要求を通知する。この場合、車両が停車中又は駐車中であることをさらなる条件とすることが望ましい。
本変形例によれば、ソフトウェアの更新が関連付けられているか否かに基づいて再起動要求の対象を定めているので、安定した動作のために必要かつ十分な範囲で再起動を行うことができる。
なお、ソフトウェアの更新の関連付けに代えて、仮想マシンが構築されているハイパーバイザの異同によって、再起動要求を通知する範囲を決定してもよい。例えば、図1の例において、第3の仮想マシン160の更新部161との通信が可能でないと判定した場合、同じハイパーバイザであるHV110上に構築された第2の仮想マシン150の更新部151との通信が可能であれば、再起動要求部141は、第3の仮想マシン160の再起動要求を通知してもよい。これに対し、第3の仮想マシン160の更新部161との通信が可能でないと判定した場合、同じハイパーバイザであるHV110上に構築された第2の仮想マシン150の更新部151との通信が可能でなければ、再起動要求部141は、同じハイパーバイザであるHV110上に構築された全ての仮想マシンの再起動要求を通知してもよい。
また、再起動要求に基づく再起動の後は、実施形態1で示した動作を再び行う。この場合、再起動動作と、再起動を伴わない仮想マシンのソフトウェアの更新とは、並行して実行してもよい。
4.電子制御装置及び電子制御システムの変形例
本項では、実施形態1~3に共通する電子制御装置及び電子制御システムの構成の変形例を説明する。
上述した例では、例えば、ECU10がAPをベースとしたECUであり、ECU20がCPをベースとしたECUである場合を説明した。しかしながら、ECUに構築される仮想マシンそれぞれが、AP、CPといったプラットフォームを有してもよい。図8は、各仮想マシンがそれぞれのプラットフォーム(以下、PF)を有する例を説明する図である。
図8では、第1の仮想マシン130は第1のPF1301を、第2の仮想マシン150は第2のPF1501を、第3の仮想マシン160は第3のPF1601を、第4の仮想マシン230は第4のPF2301を、それぞれ有している。図8はさらに、各仮想マシンのPF上で動作するアプリケーション(1302、1502、1602、2302)をそれぞれ示している。
PFには、AP、CPの他に、様々な種類のPFがあり、第1~第4のPF(1301、1501、1601、2301)として、任意のPFを適用することができる。例えば、第1のPF1301はAPを、第2のPF1501はCPを、第3のPF1601はAP、CP以外のPFを適用することにより、PFが異なる複数の仮想マシンが1つのECU内に混在して存在してもよい。このように1つのECU内に異なるPFを有する複数の仮想マシンを混在させることにより、1つのECUに複数の機能を統合させることが可能となり、ひいてはECUの総数を低減することが可能となる。
このような構成の場合、仮想マシンのOSは、例えば、ハイパーバイザとPFとの間に設けられる、あるいは、ハイパーバイザと一体として、又はPFに含まれるように構成されてもよい。
各仮想マシンの更新部は仮想マシンのソフトウェアの更新を行うものであるが、図8の構成では、更新部は、仮想マシンのソフトウェアの更新として、PF又はPF上で動作するアプリケーションを更新してもよい。例えば、更新部133は、第1のPF1301又は第1のアプリケーション1302の更新を行う。
なお、図8は、ファイル取得部131が第1のアプリケーション1302に含まれており、更新管理部132及び更新部133が第1のPF1301に含まれるものとして図示している。しかしながら、第1のPF1301に含まれるソフトウェアがファイル取得部131の一部又は全部の機能を実現してもよく、あるいは、第1のアプリケーション1302が更新管理部132及び更新部133の一部又は全部の機能を実現してもよい。同様に、第2~第4のアプリケーション(1502、1602、2302)がそれぞれの更新部(151、161、231)の一部又は全部の機能を実現してもよい。
図8はさらに、ECU10の実ストレージ120が、3つの保存領域、すなわち、共有保存領域121、ソフトウェア保存領域122、及び配信ファイル保存領域123を有する構成を示している。
共有保存領域121は、ファイル取得部131が取得し、更新部133のパース処理部138がパース処理を行った更新ファイルを保存する領域である。ソフトウェア保存領域122は、第1~第3のPF1301、1501、1601、及び第1~第3のアプリケーション1302、1502、1602といった、仮想マシンを構成するソフトウェアを保存する領域である。配信ファイル保存領域123は、配信部140から配信された更新ファイルを保存する領域である。配信ファイル保存領域123を仮想化することで、各仮想マシンに仮想ストレージを構築する。
本変形例では、第1の仮想マシン130の更新部133は、共有保存領域121にアクセスするとともに、共有保存領域121に保存されている更新ファイルを用いて、仮想マシンのソフトウェア、すなわち、ソフトウェア保存領域122に保存されているソフトウェアの更新を行う。これに対し、配信部140が配信する更新ファイルを用いて仮想マシンのソフトウェアを更新することを指示された更新部は、配信部140から配信され、配信ファイル保存領域123に保存された更新ファイルを用いて、ソフトウェア保存領域122に保存されているソフトウェアの更新を行う。
図8には図示していないが、ECU20の実ストレージ220は、実ストレージ120と同様、ソフトウェア保存領域及び配信ファイル保存領域(図示せず)を有していてもよい。しかしながら、ECU20では、ファイル取得部が取得した更新ファイルを保存する必要がないため、実ストレージ220は共有保存領域121に相当する保存領域を有しなくともよい。実ストレージ220のソフトウェア保存領域及び配信ファイル保存領域は、ソフトウェア保存領域122及び配信ファイル保存領域123と同様、仮想マシンを構成するソフトウェア、及び配信部140から配信された更新ファイルをそれぞれ保存する。
なお、図8は、実ストレージ120が、共有保存領域121、ソフトウェア保存領域122、及び配信ファイル保存領域123の全てを含むものとして図示しているが、実ストレージ120は複数の異なるストレージによって実現されるものであってもよい。例えば、本変形例のソフトウェア保存領域122は不揮発性メモリであるが、共有保存領域121、配信ファイル保存領域123は、不揮発メモリ又は揮発性メモリのいずれでもよい。したがって、共有保存領域121及び配信ファイル保存領域123が、揮発性メモリである実ストレージ120の保存領域にそれぞれ設けられ、ソフトウェア保存領域122が、不揮発性メモリである実ストレージ120の保存領域に設けられてもよい。
5.ドメイン・アーキテクチャへの適用
次に、各実施形態における電子制御システム1をドメイン・アーキテクチャに適用する場合の構成例を説明する。ドメイン・アーキテクチャとは、複数のECUを、その機能、役割、又はネットワーク接続に応じてドメインと称されるグループに分類するとともに、ドメイン毎に同じドメインに属する複数のECUを管理して制御するドメインコントローラECU(以下、DC-ECU)を配置するものである。ドメイン・アーキテクチャでは、機能やネットワークに応じてECUを整理して統合することができるため、車載システムのように多数のECUから構成されるシステムにおいて、将来的なECUの更新作業が容易になるだけでなく、増大しつつあるECUの総数を抑制することが可能となる。
(1)ドメイン・アーキテクチャの概要
図9は、ドメイン・アーキテクチャを簡略的に示した図である。図9に示すドメイン・アーキテクチャは、DC-ECU30A、30B、ゲートウェイECU(以下、GW-ECU)40、及びECU50A、51A、50B、51Bを有している。
さらに、図9に示すドメイン・アーキテクチャは2つのドメインを有しており、第1のドメイン2AはDC-ECU30A及びECU50A、51Aを、第2のドメイン2BはDC-ECU30B及びECU50B、51Bを、それぞれ有している。上述したとおり、ドメインは、ECUの機能やネットワークに応じて分類されるものであり、車載システムの場合、例えば、車両の駆動系を制御するドメイン、自動運転を制御するドメイン、車載テレビや車載コンピュータといった娯楽機器を制御するドメイン等が挙げられる。
DC-ECU30Aは第1のドメイン2Aに属するECU50A、51Aを制御し、DC-ECU30Bは第2のドメイン2Bに属するECU50B、51Bを制御する。例えば、第1のドメイン2Aが自動運転を制御するドメインの場合、DC-ECU30Aは、カメラECU、レーダECU、ライダECU、ロケータECU、又は各種の自動運転アプリケーションを搭載するECUといったECU50A、51Aを制御する。DC-ECU30Aはさらに、ECU50A、51Aから出力されたセンサ情報を統合するセンサフュージョンアプリケーションを有し、センサフュージョンアプリケーションからの出力をECU50A、51Aに提供してもよい。
GW-ECU40は、車載ネットワークにおいてゲートウェイ装置として機能するECUである。GW-ECU40は複数のバスに接続され、それぞれのバスを介して他のECUと接続されている。GW-ECU40は例えばドメイン間の通信を中継する。GW-ECU40はさらに、車両外部とドメインとの間のゲートウェイとしての機能も有する。
なお、図9では、DC-ECU30A、GW-ECU40、ECU50A、51Aをそれぞれ異なるECUとして記載しているが、上述した各ECUの機能を他のECUに統合してもよい。例えば、ECU50A、51Aの機能の一部をDC-ECU30Aに統合してもよい。この場合、DC-ECU30Aに統合された機能は、DC-ECU30Aに搭載される仮想マシンによって実現されてもよい。
(2)電子制御システム1へのドメイン・アーキテクチャの適用例
上述した実施形態では、ECU10及びECU20を有する電子制御システム1を説明した。ここで、図9のドメイン・アーキテクチャを電子制御システム1に適用する場合、更新ファイルを取得するECU10は、図9のDC-ECU30A、30Bとして構成されることが望ましい。この場合、ドメイン・アーキテクチャのDC-ECU30A、30Bはそれぞれ、同じドメインに属するECUに更新指示を行うとともに、必要に応じて更新ファイルの配信を行うことになる。したがって、DC-ECU30A、30Bは、異なるドメインに属するECUの仮想マシンに対して更新指示や更新ファイルの配信を行わない。
例えば、ECU10がDC-ECU30Aとして構成される場合、第2のドメイン2Bに含まれるECU(DC-ECU30B、ECU50B、51B)には更新指示及び更新ファイルの配信を行わない。同様に、DC-ECU30Bとして構成されたECU10は、第1のドメイン2Aに含まれるECUには更新指示及び更新ファイルの配信を行わない。
別の例として、ECU10は図9のGW-ECU40として構成されてもよい。この場合、ECU20はDC-ECU30A、30B又はECU50A,B、51A,Bとして構成される。
電子制御システム1をドメイン・アーキテクチャとすることにより、ECU間の通信を同一の又は関連するドメイン内に限定することができるため、車載ネットワーク全体の通信量を抑制することができ、ひいては、車載ネットワークにおける応答性を高めることが可能となる。
6.総括
以上、本発明の各実施形態における電子制御装置、及び当該電子制御装置を備える電子制御システムの特徴について説明した。
各実施形態で使用した用語は例示であるので、同義の用語、あるいは同義の機能を含む用語に置き換えてもよい。
実施形態の説明に用いたブロック図は、装置の構成を機能毎に分類及び整理したものである。それぞれの機能を示すブロックは、ハードウェア又はソフトウェアの任意の組み合わせで実現される。また、機能を示したものであることから、かかるブロック図は方法の発明、及び当該方法を実現するプログラムの発明の開示としても把握できるものである。
各実施形態に記載した処理、フロー、及び方法として把握できる機能ブロック、については、一のステップでその前段の他のステップの結果を利用する関係にある等の制約がない限り、順序を入れ替えてもよい。
各実施形態、及び特許請求の範囲で使用する、第1、第2、乃至、第N(Nは整数)、の用語は、同種の2以上の構成や方法を区別するために使用しており、順序や優劣を限定するものではない。
各実施形態の電子制御装置は、車両に搭載される車載装置を構成する電子制御装置であることを前提としているが、本発明の電子制御装置は、特許請求の範囲で特に限定する場合を除き、任意の電子制御システムに適用される。
また、本発明の装置の形態の例として、以下のものが挙げられる。
部品の形態として、半導体素子、電子回路、モジュール、マイクロコンピュータが挙げられる。
半完成品の形態として、電子制御装置(ECU(Electric Control Unit))、システムボードが挙げられる。
完成品の形態として、携帯電話、スマートフォン、タブレット、パーソナルコンピュータ(PC)、ワークステーション、サーバが挙げられる。
その他、通信機能を有するデバイス等を含み、例えばビデオカメラ、スチルカメラ、カーナビゲーションシステムが挙げられる。
また各装置に、アンテナや通信用インターフェースなど、必要な機能を追加してもよい。
加えて、本発明は、各実施形態で説明した構成及び機能を有する専用のハードウェアで実現できるだけでなく、メモリやハードディスク等の記録媒体に記録した本発明を実現するためのプログラム、及びこれを実行可能な専用又は汎用CPU及びメモリ等を有する汎用のハードウェアとの組み合わせとしても実現できる。
専用や汎用のハードウェアの非遷移的実体的記録媒体(例えば、外部記憶装置(ハードディスク、USBメモリ、CD/BD等)、又は内部記憶装置(RAM、ROM等))に格納されるプログラムは、記録媒体を介して、あるいは記録媒体を介さずにサーバから通信回線を経由して、専用又は汎用のハードウェアに提供することもできる。これにより、プログラムのアップグレードを通じて常に最新の機能を提供することができる。
本発明の電子制御装置は、主として自動車に搭載される車載用電子制御装置として説明したが、自動二輪車、船舶、鉄道、航空機等、移動する移動体全般に適用することが可能である。また、移動体に限らず、マイクロコンピュータを包含する製品全般に適用可能である。
1 電子制御システム、10,20 電子制御装置、130 第1の仮想マシン、131 ファイル取得部、132 更新管理部、133 更新部、135 更新可否判定部、136 通知部、137 受領部、139 更新指示部、140 配信部、141 再起動要求部、150 第2の仮想マシン、151 更新部、160 第3の仮想マシン、161 更新部、230 第4の仮想マシン、231 更新部

Claims (17)

  1. 第1の仮想マシン(130)を有する電子制御装置であって、
    ソフトウェアを更新するためのファイルを当該電子制御装置の外部から取得するファイル取得部(131)と、
    前記ソフトウェアの更新を管理する更新管理部(132)と、を有し、
    前記更新管理部は、
    前記更新管理部と、前記第1の仮想マシンのソフトウェアを更新する第1の更新部(133)との間、及び/又は、
    前記更新管理部と、前記第1の仮想マシンに接続された第2の仮想マシン(150,160,230)のソフトウェアを更新する第2の更新部との間、
    の通信が可能か否かを判定する判定部(135)と、
    前記ファイル取得部から前記ファイルを受領する受領部(137)と、
    前記第1の更新部及び前記第2の更新部のうち前記判定部が通信可能と判定した更新部に対して、前記受領部が受領した前記ファイルを用いたソフトウェアの更新を指示する更新指示部(139)と、を有する、
    電子制御装置(10)。
  2. 前記受領部が前記ファイル取得部から前記ファイルを受領する前に、前記判定部は判定を行う、
    請求項1記載の電子制御装置。
  3. 前記判定部の判定結果を前記ファイル取得部に通知する通知部(136)を有し、
    前記受領部は、前記通知部からの通知に基づいて前記ファイル取得部により選択されたファイルを受領する、
    請求項1又は2記載の電子装置。
  4. 前記ファイル取得部は、前記第1の更新部及び前記第2の更新部のうち前記判定部が通信可能と判定した更新部がソフトウェアの更新に用いる前記ファイルを選択して、前記受領部に送信する、
    請求項3記載の電子制御装置。
  5. 前記判定部が、前記第2の更新部との通信が不可能と判定した場合に、
    前記更新指示部は、前記第2の更新部に対して、前記受領部が受領した前記ファイルを用いたソフトウェアの更新を指示しない、
    請求項1記載の電子制御装置。
  6. さらに、前記第1の仮想マシンは第3の仮想マシンと接続されており、
    さらに、前記判定部は、前記第2の仮想マシンのソフトウェアの更新と前記第3の仮想マシンのソフトウェアの更新とが関連付けられているか否かを判定し、
    前記判定部が、前記第2の更新部との通信が不可能と判定し、かつ、前記第2の仮想マシンのソフトウェアの更新と前記第3の仮想マシンのソフトウェアの更新とが関連付けられていると判定した場合に、
    前記更新指示部は、前記第2の更新部、及び前記第3の仮想マシンのソフトウェアを更新する第3の更新部に対して、前記受領部が受領した前記ファイルを用いたソフトウェアの更新を指示しない、
    請求項1記載の電子制御装置。
  7. 前記ファイル取得部が外部から前記ファイルを受領する前に、又は前記受領部が前記ファイル取得部から前記ファイルを受領する前に、前記判定部は判定を行う、
    請求項6記載の電子制御装置。
  8. さらに、通信が可能な前記第2の更新部に前記ファイルを配信する配信部(140)を有する、
    請求項1記載の電子制御装置。
  9. さらに、前記受領部で受領した前記ファイルを分割するパース処理部(138)を有し、
    前記配信部は、前記パース処理部で分割された前記ファイルを通信が可能な前記第2の更新部に配信する、
    請求項8記載の電子制御装置。
  10. 前記判定部は、前記ファイル取得部から指示があった場合に判定を行う、
    請求項1記載の電子制御装置。
  11. 当該電子制御装置は移動体に搭載されている、
    請求項1乃至10のいずれかに記載の電子制御装置。
  12. 前記判定部が前記第2の更新部との通信が不可能と判定した場合に、当該電子制御装置が搭載された車両又は前記第2の仮想マシンの再起動要求を通知する再起動要求部(141)、を有する、
    請求項1記載の電子制御装置。
  13. さらに、前記第1の仮想マシンは第3の仮想マシンと接続されており、
    さらに、前記判定部は、前記第2の仮想マシンのソフトウェアの更新と前記第3の仮想マシンのソフトウェアの更新とが関連付けられているか否かを判定し、
    前記判定部が、前記第2の更新部との通信が不可能と判定し、かつ、前記第2の仮想マシンのソフトウェアの更新と前記第3の仮想マシンのソフトウェアの更新とが関連付けられていると判定した場合、前記再起動要求部は、前記第2の仮想マシン及び前記第3の仮想マシンの再起動要求を通知する、
    請求項12記載の電子制御装置。
  14. 前記第2の仮想マシンを有する電子制御装置と前記第3の仮想マシンを有する電子制御装置が異なる電子制御装置である場合、前記再起動要求部は、前記車両の再起動要求を通知する、
    請求項13記載の電子制御装置。
  15. 第1の仮想マシン(130)を有する電子制御装置(10)で実行するソフトウェア更新方法であって、
    前記電子制御装置は、
    ソフトウェアを更新するためのファイルを前記電子制御装置の外部から取得するファイル取得部(131)と、
    前記ソフトウェアの更新を管理する更新管理部(132)と、
    を有し、
    前記更新管理部と、前記第1の仮想マシンのソフトウェアを更新する第1の更新部(133)との間、及び/又は、
    前記更新管理部と、前記第1の仮想マシンに接続された第2の仮想マシン(150,160,230)のソフトウェアを更新する第2の更新部(151,161,231)との間、
    の通信が可能か否かを判定し(S104)、
    前記ファイル取得部から前記ファイルを受領し(S106)、
    前記第1の更新部及び前記第2の更新部のうち、通信が可能と判定した更新部に対して、前記ファイル取得部から受領した前記ファイルを用いたソフトウェアの更新を指示する(S108)、
    ソフトウェア更新方法。
  16. 第1の仮想マシン(130)を有する電子制御装置(10)で実行可能なソフトウェア更新プログラムであって、
    前記電子制御装置は、
    ソフトウェアを更新するためのファイルを前記電子制御装置の外部から取得するファイル取得部(131)と、
    前記ソフトウェアの更新を管理する更新管理部(132)と、
    を有し、
    前記更新管理部と、前記第1の仮想マシンのソフトウェアを更新する第1の更新部(133)との間、及び/又は、
    前記更新管理部と、前記第1の仮想マシンに接続された第2の仮想マシン(150,160,230)のソフトウェアを更新する第2の更新部(151,161,231)との間、
    の通信が可能か否かを判定し(S104)、
    前記ファイル取得部から前記ファイルを受領し(S106)、
    前記第1の更新部及び前記第2の更新部のうち、通信が可能と判定した更新部に対して、前記ファイル取得部から受領した前記ファイルを用いたソフトウェアの更新を指示する(S108)、
    ソフトウェア更新プログラム。
  17. 第1の仮想マシン(130)を有する第1の電子制御装置(10)と、第2の仮想マシン(230)を有する第2の電子制御装置(20)とを有する電子制御システムであって、
    前記第1の仮想マシンは、
    ソフトウェアを更新するためのファイルを前記第1の電子制御装置の外部から取得するファイル取得部(131)と、
    前記ソフトウェアの更新を管理する更新管理部(132)と、を有し、
    前記更新管理部は、
    前記更新管理部と、前記第2の仮想マシンのソフトウェアを更新する第2の更新部(231)との間の通信が可能か否かを判定する判定部(135)と、
    前記ファイル取得部から前記ファイルを受領する受領部(137)と、
    通信が可能な前記第2の更新部に対して、前記受領部が受領した前記ファイルを用いたソフトウェアの更新を指示する更新指示部(139)と、を有し、
    前記第2の仮想マシンの前記第2の更新部は、
    前記更新指示部の指示に基づき、前記ファイルを用いて前記第2の仮想マシンのソフトウェアを更新する、
    電子制御システム(1)。
JP2021178075A 2020-11-27 2021-10-29 電子制御装置、ソフトウェア更新方法、ソフトウェア更新プログラム、及び電子制御システム Pending JP2022085861A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
US17/534,491 US20220171613A1 (en) 2020-11-27 2021-11-24 Electronic control unit, software update method, software update program product and electronic control system
DE102021130899.2A DE102021130899A1 (de) 2020-11-27 2021-11-25 Elektronische steuerungseinheit, software-aktualisierungsverfahren, software-aktualisierungsprogramm und elektronisches steuerungssystem

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2020197110 2020-11-27
JP2020197110 2020-11-27

Publications (1)

Publication Number Publication Date
JP2022085861A true JP2022085861A (ja) 2022-06-08

Family

ID=81892235

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021178075A Pending JP2022085861A (ja) 2020-11-27 2021-10-29 電子制御装置、ソフトウェア更新方法、ソフトウェア更新プログラム、及び電子制御システム

Country Status (1)

Country Link
JP (1) JP2022085861A (ja)

Similar Documents

Publication Publication Date Title
JP4492618B2 (ja) 車両用制御システム
US11972247B2 (en) Software upgrading method, apparatus, and system
US20220171611A1 (en) Electronic control unit, software update method, software update program product and electronic control system
US20230146364A1 (en) Process running method and apparatus
KR20140061128A (ko) 오토사 기반 자동차 전장 및 자동차 전장 업데이트 방법
CN113824795A (zh) 车端与云端的通信方法、装置、系统
JP2015526792A (ja) コンピュータネットワークにおいて車両搭載可能コントローラを動作させるための方法、車両搭載可能コントローラおよびデバイス
US11377056B2 (en) In-vehicle system
US10606786B2 (en) Upgradable vehicular computing methods and apparatuses
US20220171613A1 (en) Electronic control unit, software update method, software update program product and electronic control system
EP4246844A1 (en) Data packet processing method and apparatus
CN116775085B (zh) 多核异构片上系统更新方法、装置、芯片及交通设备
CN111158872B (zh) 一种提交并守护spark任务的方法及装置
JP7039861B2 (ja) 車両用サービス管理装置及び車両用サービス管理プログラム
US12001538B2 (en) On-board computer, computer execution method, and computer program
JP2022085861A (ja) 電子制御装置、ソフトウェア更新方法、ソフトウェア更新プログラム、及び電子制御システム
JP7494712B2 (ja) 電子制御装置、ソフトウェア更新方法、ソフトウェア更新プログラム、及び電子制御システム
JP2023170662A (ja) 電子制御装置、ソフトウェア更新方法、ソフトウェア更新プログラム、及び電子制御システム
JP7464092B2 (ja) マスタ、センタ、および車両
EP4284035A1 (en) Map update method, device and system
US11755355B2 (en) Systems and methods for assigning domain identifiers to remote peripheral devices using a hypervisor
JP2022085863A (ja) 電子制御装置、ソフトウェア更新方法、ソフトウェア更新プログラム、及び電子制御システム
JP2022085862A (ja) 電子制御装置、ソフトウェア更新方法、ソフトウェア更新プログラム、及び電子制御システム
CN113973126A (zh) 车端子系统间的通信方法、装置、电子设备及介质
Patterson The Evolution of Embedded Architectures for the Next Generation of Vehicles

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20240510