JP2023110504A - 電子制御装置 - Google Patents

電子制御装置 Download PDF

Info

Publication number
JP2023110504A
JP2023110504A JP2022011998A JP2022011998A JP2023110504A JP 2023110504 A JP2023110504 A JP 2023110504A JP 2022011998 A JP2022011998 A JP 2022011998A JP 2022011998 A JP2022011998 A JP 2022011998A JP 2023110504 A JP2023110504 A JP 2023110504A
Authority
JP
Japan
Prior art keywords
data
backup
ecu
electronic control
management table
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2022011998A
Other languages
English (en)
Inventor
衣久深 香村
Ikumi Komura
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2022011998A priority Critical patent/JP2023110504A/ja
Publication of JP2023110504A publication Critical patent/JP2023110504A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Stored Programmes (AREA)

Abstract

【課題】システム全体の通信負荷の増大を未然に回避する。【解決手段】電子制御装置3は、電子制御装置に保存されている保存データのバックアップ先となり得る電子制御装置4~6を識別可能な管理テーブルを特定の電子制御装置2から受信する第1管理テーブル受信部11aと、管理テーブルに保存データの書き換え容量を記録する書き換え容量記録部11bと、保存データの書き換え容量が記録された管理テーブルをバックアップ先の電子制御装置へ送信する第1管理テーブル送信部11cと、保存データの少なくとも一部をバックアップデータとしてバックアップ先の電子制御装置へ送信する書き換え時バックアップデータ送信部11eと、バックアップデータがバックアップ先の電子制御装置に保存されたことを示す記録情報が記録された管理テーブルを当該バックアップ先の電子制御装置から受信する第2管理テーブル受信部11fと、を備える。【選択図】図1

Description

本発明は、電子制御装置に関する。
例えば車載用の電子制御装置(以下、ECU(Electronic Control Unit)と称する)においては、機能の向上や不具合の解消等を目的としてソフトウェア(以下、ソフトと称する)を書き換え可能に構成されている。ソフトを書き換える際には、例えば不安定な通信環境でのソフトの書き換えに備え、更新データを書き換え対象ECUに書き込む前に、書き換え対象ECUに保存されている保存データをバックアップしておく必要がある。即ち、書き換え対象ECUとは別のバックアップ先ECUを確保し、更新データを書き換え対象ECUに書き込む前に、保存データをバックアップデータとしてバックアップ先ECUに保存することで、書き換え対象ECUにおいてソフトの書き換えを正常完了しなかった場合に、バックアップ先ECUに保存しておいたバックアップデータによりソフトの書き換え前の状態に復旧させることが可能となる。
保存データをバックアップするには、何れのECUをバックアップ先ECUとして確保するかを特定する必要があり、バックアップ先ECUを管理する必要がある。例えば特許文献1には、特定のECUが管理テーブルを保持し、その管理テーブルによりバックアップ先ECUとなり得る複数のECUの空き容量を管理する構成が開示されている。
特開2018-79768号公報
しかしながら、特定のECUが管理テーブルを保持する構成では、バックアップ先ECUとなり得る複数のECUがそれぞれ特定のECUへアクセスして他のECUの空き容量を参照する必要があり、特定のECUへのアクセスが集中することになる。その結果、バックアップ先ECUとなり得る複数のECUと特定のECUとの間でのデータ通信量が増大し、システム全体の通信負荷が増大する問題がある。
本発明は、上記した事情に鑑みてなされたものであり、その目的は、更新データを書き換え対象の電子制御装置に書き込む前に、書き換え対象の電子制御装置に保存されている保存データをバックアップデータとしてバックアップ先の電子制御装置に保存する構成において、システム全体の通信負荷の増大を未然に回避することができる電子制御装置を提供することにある。
請求項1に記載した発明によれば、更新データを書き込むことでソフトウェアを書き換え可能である。第1管理テーブル受信部(11a)は、電子制御装置に保存されている保存データのバックアップ先となり得る電子制御装置(4~6)を識別可能な管理テーブルを特定の電子制御装置(2)から受信する。書き換え容量記録部(11b)は、管理テーブルに保存データの書き換え容量を記録する。第1管理テーブル送信部(11c)は、保存データの書き換え容量が書き換え容量記録部により記録されると、その保存データの書き換え容量が記録された管理テーブルをバックアップ先の電子制御装置へ送信する。書き換え時バックアップデータ送信部(11e)は、保存データの少なくとも一部をバックアップデータとしてバックアップ先の電子制御装置へ送信する。第2管理テーブル受信部(11f)は、バックアップデータがバックアップ先の電子制御装置に保存されたことを示す記録情報が記録された管理テーブルを当該バックアップ先の電子制御装置から受信する。
更新データを書き換え対象の電子制御装置に書き込む前に、書き換え対象の電子制御装置に保存されている保存データをバックアップデータとしてバックアップ先の電子制御装置に保存する構成において、特定の電子制御装置が管理テーブルを保持する従来とは異なり、書き換え対象の電子制御装置とバックアップ先の電子制御装置との間で管理テーブルを送受信することで、書き換え対象の電子制御装置とバックアップ先の電子制御装置とが管理テーブルを保持するようにした。特定の電子制御装置へのアクセスの集中を未然に回避することができ、バックアップ先の電子制御装置となり得る複数の電子制御装置と特定の電子制御装置との間でのデータ通信量の増大を未然に回避することができる。これにより、システム全体の通信負荷の増大を未然に回避することができる。
一実施形態を示す車両側システムの構成図 管理テーブルを示す図 電子制御装置の機能ブロック図 制御部の機能ブロック図 書き換え時書き換え対象処理のうち書き換え要求の発生判定処理を示すフローチャート 書き換え時書き換え対象処理のうちバックデータ送信処理を示すフローチャート 書き換え時バックアップ先処理を示すフローチャート 保存データの配置を示す図 管理テーブルを示す図 管理テーブルを示す図 管理テーブルを示す図 保存データの移動を示す図 管理テーブルの移動を示す図 復旧時書き換え対象処理を示すフローチャート 復旧時書き換え対象処理を示すフローチャート 復旧時バックアップ先処理を示すフローチャート 保存データの移動を示す図 削除時書き換え対象処理を示すフローチャート 削除時バックアップ先処理を示すフローチャート 管理テーブルを示す図 管理テーブルを示す図 管理テーブルを示す図 管理テーブルの移動を示す図
以下、一実施形態について図面を参照して説明する。図1に示すように、車両に搭載される車両側システム1は、セントラルゲートウェイとして機能するセントラルECU2と、セントラルECU2によるソフトの書き換えの制御対象となる各ECU3~6とが車載ネットワーク7を介してデータ通信可能に接続されている。ソフトとは、特定の機能を実現するためのアプリケーションを含み、プログラムと称することもできる。セントラルECU2は、特定のECUに相当する。各ECU3~6は、更新データを書き込むことでソフトを書き換える書き換え対象のECU及び保存データのバックアップ先となるバックアップ先のECUの何れかに相当する。セントラルECU2及び各ECU3~6は、それぞれ後述する管理テーブルを記憶可能であり、管理テーブルを他のECUとの間で送受信可能である。
各ECU3~6は、例えば駆動系の制御を行う機能を有するECU、ADAS(Advanced Driving Assistant System)系の制御を行う機能を有するECU、マルチメディア系の制御を行う機能を有するECU等である。車載ネットワーク7は、例えばCAN(Controller Area Network)(登録商標)、FLEXRAY(登録商標)、CXPI(Clock Extension Peripheral Interface)(登録商標)等である。又、異なる制御系毎に複数の車載ネットワーク7が配置されていても良い。
車両側システム1においては、機能の向上や不具合の解消等を目的として各ECU3~6のソフトを書き換え可能に構成されている。ソフトを書き換える際には、例えば不安定な通信環境でのソフトの書き換えに備え、書き換え対象ECUに保存されている動作実績のある保存データをバックアップしておく必要がある。即ち、書き換え対象ECUとは別のバックアップ先ECUを確保し、更新データを書き換え対象ECUに書き込む前に、保存データをバックアップデータとしてバックアップ先ECUに保存しておく必要がある。
例えばECU3が書き換え対象ECUであるときには、ECU4~6のうち少なくとも一つがバックアップ先ECUとなる。尚、セントラルECU2が自装置のソフトの書き換えを制御し、セントラルECU2が書き換え対象ECUであるときには、ECU3~6のうち少なくとも一つがバックアップ先ECUとなる。又、ECU3~6のうち何れかが書き換え対象ECUであるときに、ECU3~6のうち少なくとも一つがバックアップ先ECUとなることに加え、セントラルECU2もバックアップ先ECUとなっても良い。
セントラルECU2は、センター装置(図示せず)と無線接続して当該センター装置から送信される配信パッケージを受信可能であり、配信パッケージを受信すると、その受信した配信パッケージから更新データを抽出する。又、セントラルECU2は、ダイアグツール(図示せず)と有線接続して当該ダイアグツールから送信される配信パッケージを受信可能であり、配信パッケージを受信すると、その受信した配信パッケージから更新データを抽出する。
セントラルECU2は、書き換え対象ECUに対するインストール実施可能条件が成立すると、更新データを書き換え対象ECUへ配信すると共にインストール指示を書き換え対象ECUへ通知し、更新データのインストールを書き換え対象ECUに実施させる。インストール実施可能条件は、例えばユーザがインストールの承諾操作を行ったこと、車載バッテリのバッテリ残量が所定容量以上であること、不正な環境下でないこと、車両状態がインストール可能な状態であること、更新データが正常なデータであること、更新データのインストール先のメモリ構造が正常であること、車載ネットワーク7の通信負荷が所定レベル未満であること等である。
セントラルECU2は、書き換え対象ECUにおいて更新データのインストールが完了し、書き換え対象ECUに対するアクティベート実施可能条件が成立すると、そのインストールした更新データを有効とするアクティベート指示を書き換え対象ECUへ通知し、更新データのアクティベートを書き換え対象ECUに実施させる。アクティベート実施可能条件は、例えばユーザがアクティベートの承諾操作を行ったこと、車載バッテリのバッテリ残量が所定容量以上であること、車両状態がアクティベート可能な状態であること、インストールされた更新データが正常なデータであること等である。
書き換え対象ECUが保存データのバックアップを実施する際には、セントラルECU2及び各ECU3~6は、図2に示す管理テーブルを他のECUとの間で送受信する。管理テーブルは、書き換え容量、空き容量、受信データアドレス、データ量、CANID、優先度を単位レコードとするデータである。書き換え容量の記録領域には、保存データのデータ量が記録される。空き容量の記録領域には、対応するCANIDのECUが保存可能なデータ量が記録される。受信データアドレスの記録領域には、受信された保存データの先頭アドレスと末尾アドレスが記録され、先頭アドレスから末尾アドレスまでにより特定されるデータ領域が記録される。データ量の記録領域には、受信データアドレスのデータ領域により示されるデータ量が記録される。CANIDの記録領域には、各ECU3~6に付与されているユニークな番号が記録される。優先度の記録領域には、管理テーブルの送信先の優先度が記録される。
管理テーブルは、セントラルECU2及び各ECU3~6に択一的に保持され、セントラルECU2が保存データのバックアップ指示を書き換え対象ECUへ通知していないときには当該セントラルECU2に保持される。セントラルECU2は、空き容量、CANID、優先度の各記録領域に各情報が記録されているが、書き換え容量、受信データアドレス、データ量の各記録領域に情報が記録されていない管理テーブルを保持している。各ECU3~6が車両に組み付けられる時に、空き容量、CANID、優先度が記録された管理テーブルが作成され、保存データがバックアップされる都度に空き容量、優先度が最新の状態に更新される。図2の例示では、ECU3について空き容量が「20MByte」、CANIDが「1」、優先度が「1」であり、ECU4について空き容量が「4MByte」、CANIDが「2」、優先度が「3」であり、ECU5について空き容量が「3MByte」、CANIDが「3」、優先度が「4」であり、ECU6について空き容量が「5MByte」、CANIDが「4」、優先度が「2」である場合を示している。本実施形態では、空き容量が大きい順序にしたがって優先度の順序が付与されている場合を例示しているが、空き容量に加え、各ECU3~6の処理能力等のスペックが考慮されて優先度の順序が付与されても良い。セントラルECU2は、インストール指示を書き換え対象ECUへ通知するときには、その保持している管理テーブルを書き換え対象ECUへ送信する。
各ECU3~6は基本的に同じ構成であり、図3に示すように、制御部8と、通信インタフェース部9と、入出力インタフェース部10とを備える。制御部8は、CPU、ROM、RAM及びI/O等を有するマイクロコンピュータ(以下、マイコンと称する)を主体として構成され、非遷移的実体的記憶媒体に格納されているコンピュータプログラムを実行することでコンピュータプログラムに対応する処理を実行し、各ECU3~6の動作を制御する。通信インタフェース部9は、車載ネットワーク7との間のデータ通信を制御する。入出力インタフェース部10は、各種デバイスとの間のデータ入出力を制御し、例えばセンサからのセンシングデータの入力、例えばアクチュエータへの駆動データの出力等を制御する。
制御部8は、上記したように各ECU3~6が書き換え対象ECU及びバックアップ先ECUの何れにもなり得ることから、ソフトの書き換え時に機能する機能部と、ソフトの復旧時に機能する機能部と、バックアップデータの削除時に機能する機能部とを備える。即ち、制御部8は、ソフトの書き換え時に書き換え対象ECUとして機能する書き換え時書き換え対象機能部11と、ソフトの書き換え時にバックアップ先ECUとして機能する書き換え時バックアップ先機能部12と、ソフトの復旧時に書き換え対象ECUとして機能する復旧時書き換え対象機能部13と、ソフトの復旧時にバックアップ先ECUとして機能する復旧時バックアップ先機能部14と、バックアップデータの削除時に書き換え対象ECUとして機能する削除時書き換え対象機能部15と、バックアップデータの削除時にバックアップ先ECUとして機能する削除時バックアップ先機能部16とを備える。
図4に示すように、書き換え時書き換え対象機能部11は、第1管理テーブル受信部11aと、書き換え容量記録部11bと、第1管理テーブル送信部11cと、書き換え時データ送信要求受信部11dと、書き換え時バックアップデータ送信部11eと、第2管理テーブル受信部11fとを備える。
第1管理テーブル受信部11aは、セントラルECU2から送信された管理テーブルを受信する。書き換え容量記録部11bは、セントラルECU2から送信された管理テーブルが第1管理テーブル受信部11aにより受信されると、その受信された管理テーブルに保存データの書き換え容量を記録する。第1管理テーブル送信部11cは、保存データの書き換え容量が書き換え容量記録部11bにより記録されると、優先度にしたがって何れかのECUをバックアップ先ECUとして特定し、その保存データの書き換え容量が記録された管理テーブルを、その特定したバックアップ先ECUへ送信する。
書き換え時データ送信要求受信部11dは、バックアップ先ECUから送信された書き換え時データ送信要求を受信する。書き換え時バックアップデータ送信部11eは、管理テーブルを参照してバックアップ先ECUとして特定したECUの空き容量を取得し、バックアップ先ECUから送信された書き換え時データ送信要求が書き換え時データ送信要求受信部11dにより受信されると、保存データのうちバックアップ先ECUの空き容量分のデータ量をバックアップデータとしてバックアップ先ECUへ送信する。第2管理テーブル受信部11fは、バックアップデータがバックアップ先ECUに保存されたことを示す記録情報が記録された管理テーブルをバックアップ先ECUから受信する。
書き換え時バックアップ先機能部12は、書き換え時データ送信要求送信部12aと、書き換え時バックアップデータ受信部12bとを備える。書き換え時データ送信要求送信部12aは、書き換え時データ送信要求を書き換え対象ECUへ送信する。書き換え時バックアップデータ受信部12bは、書き換え対象ECUから送信されたバックアップデータを受信する。
復旧時書き換え対象機能部13は、復旧要請判定部13aと、復旧時データ送信要求送信部13bと、復旧時バックアップデータ受信部13cとを備える。復旧要請判定部13aは、データ復旧要請の発生を判定する。復旧時データ送信要求送信部13bは、ソフトの書き換えが正常完了しなかったことでデータ復旧要請の発生が復旧要請判定部13aにより判定されると、管理テーブルに記録されている優先度にしたがって復旧時データ送信要求の送信先を特定し、復旧時データ送信要求を当該送信先として特定したバックアップ先ECUへ送信する。復旧時バックアップデータ受信部13cは、バックアップ先ECUに保存されているバックアップデータを当該バックアップ先ECUから受信する。
復旧時バックアップ先機能部14は、復旧時データ送信要求受信部14aと、復旧時バックアップデータ送信部14bとを備える。復旧時データ送信要求受信部14aは、書き換え対象ECUから送信された復旧時データ送信要求を受信する。復旧時バックアップデータ送信部14bは、復旧時データ送信要求が復旧時データ送信要求受信部14aにより受信されると、バックアップデータを書き換え対象ECUへ送信する。
削除時バックアップ先機能部16は、記録情報削除部16aを備える。記録情報削除部16aは、管理テーブルに記録されている記録情報を当該管理テーブルから削除する。
次に、上記した構成の作用について図5から図23を参照して説明する。この場合、各ECU3~6は、ソフトの書き換え時において、書き換え対象ECUとして動作する場合には書き換え時書き換え対象機能部11により書き換え時書き換え対象処理を行い、バックアップ先ECUとして動作する場合には書き換え時バックアップ先機能部12により書き換え時バックアップ先処理を行う。各ECU3~6は、ソフトの復旧時において、書き換え対象ECUとして動作する場合には復旧時書き換え対象機能部13により復旧時書き換え対象処理を行い、バックアップ先ECUとして動作する場合には復旧時バックアップ先機能部14により復旧時バックアップ先処理を行う。各ECU3~6は、バックアップデータの削除時において、書き換え対象ECUとして動作する場合には削除時書き換え対象機能部15により削除時書き換え対象処理を行い、バックアップ先ECUとして動作する場合には削除時バックアップ先機能部16により削除時バックアップ先処理を行う。以下、各ECU3~6において、ソフトの書き換え時、ソフトの復旧時、バックアップデータの削除時について制御部8が行う処理について順次説明する。
(1)ソフトの書き換え時
最初に、ソフトの書き換え時における書き換え時書き換え対象処理及び書き換え時バックアップ先処理について図5から図13を参照して説明する。
(1-1)書き換え時書き換え対象処理(図5から図6参照)
制御部8は、書き換え時書き換え対象処理として、書き換え要求の発生判定処理と、バックデータ送信処理とを行う。
(1-1-1)書き換え要求の発生判定処理(図5参照)
制御部8は、書き換え要求の発生判定処理を開始すると、外部からの書き換え要求が発生したか否かを判定する(S101)。制御部8は、外部からの書き換え要求が発生していないと判定すると(S101:NO)、書き換え要求の発生判定処理を終了する。制御部8は、外部からの書き換え要求が発生したと判定すると(S101:YES)、セントラルECU2から送信された管理テーブルを受信し(S102)、保存データの書き換え容量を管理テーブルに記録する(S103)。
制御部8は、最も高い優先度が付与されているECUを最初のバックアップ先ECUとして特定し(S104)、その保存データの書き換え容量が記録された管理テーブルを最初のバックアップ先ECUへ送信し(S105)、書き換え要求の発生判定処理を終了する。
(1-1-2)バックデータ送信処理(図6参照)
制御部8は、バックデータ送信処理を開始すると、データ要求処理を、バックアップデータがバックアップ先ECUに保存されたことを示す記録情報が記録された管理テーブルをバックアップ先ECUから受信するまで繰り返して行う(S111~S114)。制御部8は、バックアップ先ECUから送信された書き換え時データ送信要求を受信すると(S112)、保存データのうちバックアップ先ECUの空き容量分のデータ量をバックアップデータとしてバックアップ先ECUへ送信する(S113)。
制御部8は、バックアップデータがバックアップ先ECUに保存されたことを示す記録情報が記録された管理テーブルをバックアップ先ECUから受信したと判定すると、バックデータ送信処理を終了する。
(1-2)書き換え時バックアップ先処理(図7参照)
制御部8は、書き換え時バックアップ先処理を開始すると、管理テーブル移動処理を、データ量の合計が保存データの書き換え容量に達するまで繰り返して行う(S201~S212)。制御部8は、書き換え対象ECUから送信された管理テーブルを受信すると(S202)、最新の空き容量を管理テーブルに記録し(S203)、データ書き換え処理を、書き換え対象ECUから受信したバックアップデータのデータ量が空き容量に達しない限り繰り返して行う(S204~S209)。
制御部8は、書き換え対象ECUから受信したバックアップデータのデータ量の合計が保存データの書き換え容量を超えたか否かを判定する(S205)。制御部8は、書き換え対象ECUから受信したバックアップデータのデータ量の合計が保存データの書き換え容量を超えていない判定すると(S205:NO)、書き換え時データ送信要求を書き換え対象ECUへ送信する(S206)。制御部8は、書き換え対象ECUから送信されたバックアップデータを受信すると(S207)、その受信したバックアップデータのデータ量を管理テーブルに記録する(S208)。
制御部8は、書き換え対象ECUから受信したバックアップデータのデータ量が空き容量に達したと判定すると、次に高い優先度が付与されているECUを次のバックアップ先ECUとして特定し(S210)、管理テーブルを次のバックアップ先ECUへ送信する(S211)。制御部8は、データ量の合計が保存データの書き換え容量に達したと判定すると、管理テーブルを書き換え対象ECUへ送信し(S213)、書き換え時バックアップ先処理を終了する。
以下、ソフトの書き換え時における保存データ及び管理テーブルの移動について図8から図13を参照して説明する。図8に示すように、ECU3が書き換え対象ECUであり、その書き換え対象ECUであるECU3に保存データとしてデータA(2MByte)、データB(3MByte)、データC(2MByte)が保存されている場合を例示して説明する。尚、データA、データB、データCは、例えばソフトの機能ブロック単位で区分される。
ECU3は、セントラルECU2から送信された管理テーブルを受信すると、図9に示すように、データA、データB、データCの合計である「7MByte」を保存データの書き換え容量の欄に記録する。ECU3は、次に高い優先度が付与されているECU6を最初のバックアップ先ECUとして特定し、その保存データの書き換え容量が記録された管理テーブルを最初のバックアップ先ECUとして特定したECU6へ送信する。
ECU6は、ECU3から送信された管理テーブルを受信すると、書き換え時データ送信要求をECU3へ送信する。ECU6は、ECU3から送信されたバックアップデータを受信すると、図10に示すように、その受信したバックアップデータの受信データアドレスとデータ量を管理テーブルに記録する。ECU6は、ECU3から受信したバックアップデータのデータ量が空き容量に達したと判定すると、次に高い優先度が付与されているECU4を次のバックアップ先ECUとして特定し、管理テーブルを次のバックアップ先ECUとして特定したECU4へ送信する。即ち、ECU6は、ECU3から送信されたデータA及びデータBをバックアップデータとして受信し、その受信したバックアップデータを保存すると、バックアップデータのデータ量が空き容量に達したと判定し、ECU4を次のバックアップ先ECUとして特定し、管理テーブルを次のバックアップ先ECUとして特定したECU4へ送信する。
ECU4は、ECU6から送信された管理テーブルを受信すると、書き換え時データ送信要求をECU3へ送信する。ECU4は、ECU3から送信されたバックアップデータを受信すると、図11に示すように、その受信したバックアップデータの受信データアドレスとデータ量を管理テーブルに記録する。ECU4は、データ量の合計が保存データの書き換え容量に達したと判定すると、管理テーブルをECU3へ送信する。即ち、ECU4は、ECU3から送信されたデータCをバックアップデータとして受信し、その受信したバックアップデータを保存すると、データ量の合計が保存データの書き換え容量に達したと判定し、管理テーブルをECU3へ送信する。
上記した例示では、図12に示すように、データA及びデータBがECU3からECU6へ送信され、ECU6において、データA及びデータBをバックアップデータとして保存し、データCがECU3からECU4へ送信され、ECU4において、データCをバックアップデータとして保存する。又、図13に示すように、管理テーブルを、セントラルECU2から書き換え対象ECUであるECU3(矢印A1参照)、ECU3から最初のバックアップ先ECUであるECU6(矢印A2参照)、ECU6から次のバックアップ先ECUであるECU4(矢印A3参照)、ECU4からECU3(矢印A4参照)の順序で転送する。
(2)ソフトの復旧時
次に、ソフトの復旧時における復旧時書き換え対象処理及び復旧時バックアップ先処理について図14から図17を参照して説明する。
(2-1)復旧時書き換え対象処理(図14から図15参照)
制御部8は、復旧時書き換え対象処理を開始すると、ソフトの書き換えが終了したか否かを判定する(S301)。制御部8は、例えば2面メモリの構成であれば、非運用面と運用面との切り替えを終了したか否かを判定することで、ソフトの書き換えが終了したか否かを判定する。制御部8は、ソフトの書き換えが終了したと判定すると(S301:YES)、書き換え後のソフトにより正常動作しているか否かを判定する(S302)。制御部8は、書き換え後のソフトにより正常動作していると判定すると(S302:YES)、管理テーブルを最も高い優先度が付与されているECUへ送信し(S303)、復旧時書き換え対象処理を終了する。一方、制御部8は、何らかの不具合が発生して書き換え後のソフトにより正常動作していないと判定すると(S302:NO)、データ復旧処理に移行する(S304)。
制御部8は、データ復旧処理を開始すると、データ復旧要請が発生したか否かを判定する(S311)。制御部8は、データ復旧要請が発生したと判定すると(S301:YES)、復旧時データ送信要求の送信先を最も高い優先度が付与されているバックアップ先ECUとして特定し(S312)、優先度処理を、優先度の個数分まで繰り返して行う(S313~S321)。
制御部8は、管理テーブルを参照してデータ量が空であるか否かを判定する(S314)。制御部8は、データ量が空でないと判定すると(S314:NO)、バックアップデータ要求処理を、優先度内で全てのバックアップデータを受信するまで繰り返して行う(S315~S319)。制御部8は、復旧時データ送信要求の送信先を特定し(S316)、復旧時データ送信要求を送信先として特定したバックアップ先ECUへ送信し(S317)、バックアップ先ECUから送信されたバックアップデータを受信する(S318)。
制御部8は、優先度内で全てのバックアップデータを受信したと判定すると、バックアップ先ECUを次に高い優先度が付与されているECUに変更する(S320)。制御部8は、優先度の個数分を終了したと判定すると、データ復旧処理を終了し、復旧時書き換え対象処理に戻る。
(2-2)復旧時バックアップ先処理(図16参照)
制御部8は、復旧時バックアップ先処理を開始すると、書き換え対象ECUから復旧時データ送信要求を受信したか否かを判定する(S401)。制御部8は、書き換え対象ECUから復旧時データ送信要求を受信したと判定すると(S401:YES)、バックアップデータを書き換え対象ECUへ送信し(S402)、復旧時バックアップ先処理を終了する。
以下、ソフトの復旧時におけるバックアップデータの移動について図17を参照して説明する。図17に示すように、ECU6にバックアップデータとして保存されているデータA及びデータBがECU6からECU3へ送信され、ECU4にバックアップデータとして保存されているデータCがECU4からECU3へ送信される。
(3)バックアップデータの削除時
次に、バックアップデータの削除時における削除時書き換え対象処理及び削除時バックアップ先処理について図18から図23を参照して説明する。
(3-1)削除時書き換え対象処理(図18参照)
制御部8は、削除時書き換え対象処理を開始すると、管理テーブルを受信し(S501)、保存データの書き換え容量の記録を削除し(S502)、最新状態を空き容量の欄に記録する(S503)。制御部8は、その記録した最新状態の空き容量にしたがって優先度を再計算し(S504)、その再計算結果を優先度の欄に記録する(S505)。制御部8は、管理テーブルをセントラルECU2へ送信し(S506)、削除時書き換え対象処理を終了する。
(3-2)削除時バックアップ先処理(図19参照)
制御部8は、削除時バックアップ先処理を開始すると、管理テーブル移動処理を、全てのバックアップECUのデータ量が空になるまで繰り返して行う(S601~608)。制御部8は、記録削除処理を、対象のバックアップECUのデータ量が空になるまで繰り返して行う(S602~S606)。制御部8は、管理テーブルを取得し(S603)、バックアップデータを削除し(S604)、その削除したバックアップデータのデータ量の記録を管理テーブルから削除する(S605)。制御部8は、対象のバックアップECUのデータ量の記録が空になったと判定すると、管理テーブルを次に高い優先度が付与されているバックアップ先ECUへ送信する(S607)。制御部8は、全てのバックアップECUのデータ量が空になったと判定すると、管理テーブルを書き換え対象ECUへ送信し(S609)、削除時バックアップ先処理を終了する。
以下、バックアップデータの削除時における管理テーブルの移動について図20から図23を参照して説明する。最初のバックアップ先ECUであるECU6は、ECU3から送信された管理テーブルを受信すると、図20に示すように、自装置のバックアップデータのデータ量の記録を管理テーブルから削除する。ECU6は、全てのデータ量が空でないと判定すると、そのバックアップデータのデータ量の記録を削除した管理テーブルを次に優先度が高いバックアップ先ECUであるECU4へ送信する。
ECU4は、ECU6から送信された管理テーブルを受信すると、図21に示すように、自装置のバックアップデータのデータ量の記録を管理テーブルから削除する。ECU6は、全てのデータ量が空であると判定すると、そのバックアップデータの記録を削除した管理テーブルをECU3へ送信する。
ECU3は、ECU4から送信された管理テーブルを受信すると、図22に示すように、保存データの書き換え容量の記録を削除し、最新状態を空き容量の欄に記録する。ECU3は、その記録した最新状態の空き容量にしたがって優先度を再計算し、その再計算結果を優先度の欄に記録し、その再計算結果を優先度の欄に記録した管理テーブルをセントラルECU2へ送信する。
上記した例示では、図23に示すように、管理テーブルを、書き換え対象ECUであるECU3から最初のバックアップ先ECUであるECU6(矢印B1参照)、ECU6から次のバックアップ先ECUであるECU4(矢印B2参照)、ECU4から書き換え対象ECUであるECU3(矢印B3参照)、ECU3からセントラルECU2(矢印B4参照)の順序で転送する。
以上は、ECU3が書き換え対象ECUである場合を例示したが、ECU3とは別のECUが書き換え対象ECUである場合も同様である。又、ECU6とECU4の2個のECUがバックアップ先ECUとなる場合を例示したが、3個以上のECUがバックアップ先ECUとなる場合も同様である。
以上に説明したように実施形態によれば、次に示す作用効果を得ることができる。
更新データを書き換え対象ECUに書き込む前に、書き換え対象ECUに保存されている保存データをバックアップデータとしてバックアップ先ECUに保存する構成において、特定のECUが管理テーブルを保持する従来とは異なり、書き換え対象ECUとバックアップ先ECUとが管理テーブルを保持するようにした。セントラルECU2へのアクセスの集中を未然に回避することができ、バックアップ先ECUとなり得る複数のECU3~6とセントラルECU2との間でのデータ通信量が増大する事態を未然に回避することができる。これにより、システム全体の通信負荷の増大を未然に回避することができる。
管理テーブルに記録されている優先度にしたがって当該管理テーブルの送信先を特定し、管理テーブルを当該送信先として特定したバックアップ先ECUへ送信するようにした。ソフトの書き換え時において、バックアップ先ECUの空き容量が少なければ管理テーブルが頻繁に移動する可能性があるが、空き容量が多いECUの優先度を高く設定すると共に空き容量が少ないECUの優先度を低く設定することで、空き容量が多いECUを優先してバックアップ先ECUとすることができ、管理テーブルが移動する機会を低減することができ、システム全体の通信負荷の増大をより適切に回避することができる。又、優先度を定義することで、次のバックアップ先ECUを即座に特定することができ、次のバックアップ先ECUを特定するために費やす時間を極力抑制することができる。
バックアップ先ECUから書き換え時データ送信要求を受信したことを条件として、保存データをバックアップデータとしてバックアップ先ECUへ送信するようにした。書き換え対象ECUにおいて、バックアップ先ECUからの書き換え時データ送信要求の受信を契機として保存データをバックアップデータとしてバックアップ先ECUへ送信することができる。又、書き換え時データ送信要求の送信先を特定することで、バックアップデータの誤送信を回避することができる。
保存データの一部ずつをバックアップデータとして複数のバックアップ先ECUへ分割して送信するようにした。バックアップデータを複数のバックアップ先ECUに分散して保存することができる。
データ復旧要請の発生を判定すると、復旧時データ送信要求をバックアップ先ECUへ送信し、バックアップ先ECUに保存されているバックアップデータを当該バックアップ先ECUから受信するようにした。バックアップ先ECUに保存されているバックアップデータを当該バックアップ先ECUから受信することで、ソフトの書き換え前の状態に復旧することができる。
管理テーブルに記録されている優先度にしたがって復旧時データ送信要求の送信先を特定し、復旧時データ送信要求を当該送信先として特定したバックアップ先ECUへ送信するようにした。ソフトの復旧時においても、バックアップ先ECUの空き容量が少なければ管理テーブルが頻繁に移動する可能性があるが、空き容量が多いECUの優先度を高く設定すると共に空き容量が少ないECUの優先度を低く設定することで、空き容量が多いECUを優先してバックアップ先ECUとすることができ、管理テーブルが移動する機会を低減することができ、システム全体の通信負荷の増大をより適切に回避することができる。
書き換え対象ECUから復旧時データ送信要求を受信したことを条件として、バックアップデータを書き換え対象ECUへ送信するようにした。バックアップ先ECUにおいて、書き換え対象ECUからの復旧時データ送信要求の受信を契機としてバックアップデータを書き換え対象ECUへ送信することができる。又、復旧時データ送信要求の送信先を特定することで、バックアップデータの誤送信を回避することができる。
本開示は、実施例に準拠して記述されたが、当該実施例や構造に限定されるものではないと理解される。本開示は、様々な変形例や均等範囲内の変形をも包含する。加えて、様々な組み合わせや形態、更には、それらに一要素のみ、それ以上、或いはそれ以下を含む他の組み合わせや形態をも、本開示の範疇や思想範囲に入るものである。
本開示に記載の制御部及びその手法は、コンピュータプログラムにより具体化された一つ乃至は複数の機能を実行するようにプログラムされたプロセッサ及びメモリを構成することにより提供された専用コンピュータにより実現されても良い。或いは、本開示に記載の制御部及びその手法は、一つ以上の専用ハードウェア論理回路によりプロセッサを構成することにより提供された専用コンピュータにより実現されても良い。若しくは、本開示に記載の制御部及びその手法は、一つ乃至は複数の機能を実行するようにプログラムされたプロセッサ及びメモリと一つ以上のハードウェア論理回路により構成されたプロセッサとの組み合わせにより構成された一つ以上の専用コンピュータにより実現されても良い。又、コンピュータプログラムは、コンピュータにより実行されるインストラクションとして、コンピュータ読み取り可能な非遷移有形記録媒体に記憶されていても良い。
図面中、2はセントラルECU(特定の電子制御装置)、3はECU(書き換え対象の電子制御装置)、4~6はECU(バックアップ先の電子制御装置)、11は書き換え時書き換え対象機能部、11aは第1管理テーブル受信部、11bは書き換え容量記録部、11cは第1管理テーブル送信部、11dは書き換え時データ送信要求受信部、11eは書き換え時バックアップデータ送信部、11fは第2管理テーブル受信部、12は書き換え時バックアップ先機能部、12aは書き換え時データ送信要求送信部、12bは書き換え時バックアップデータ受信部、13は復旧時書き換え対象機能部、13aは復旧要請判定部、13bは復旧時データ送信要求送信部、13cは復旧時バックアップデータ受信部13c、14は復旧時バックアップ先機能部、14aは復旧時データ送信要求受信部、14bは復旧時バックアップデータ送信部、15は削除時書き換え対象機能部、16は削除時バックアップ先機能部、16aは記録情報削除部である。

Claims (9)

  1. 更新データを書き込むことでソフトウェアを書き換え可能な電子制御装置であって、
    前記電子制御装置に保存されている保存データのバックアップ先となり得る電子制御装置(4~6)を識別可能な管理テーブルを特定の電子制御装置(2)から受信する第1管理テーブル受信部(11a)と、
    前記管理テーブルに前記保存データの書き換え容量を記録する書き換え容量記録部(11b)と、
    前記保存データの書き換え容量が記録された前記管理テーブルを前記バックアップ先の電子制御装置へ送信する第1管理テーブル送信部(11c)と、
    前記保存データの少なくとも一部をバックアップデータとして前記バックアップ先の電子制御装置へ送信する書き換え時バックアップデータ送信部(11e)と、
    前記バックアップデータが前記バックアップ先の電子制御装置に保存されたことを示す記録情報が記録された前記管理テーブルを当該バックアップ先の電子制御装置から受信する第2管理テーブル受信部(11f)と、を備える電子制御装置。
  2. 前記第1管理テーブル送信部は、前記管理テーブルに記録されている優先度にしたがって当該管理テーブルの送信先を特定し、前記管理テーブルを当該送信先として特定した前記バックアップ先の電子制御装置へ送信する請求項1に記載した電子制御装置。
  3. 前記バックアップ先の電子制御装置から書き換え時データ送信要求を受信する書き換え時データ送信要求受信部(11d)を備え、
    前記書き換え時バックアップデータ送信部は、前記書き換え時データ送信要求が前記書き換え時データ送信要求受信部により受信されたことを条件として、前記保存データの少なくとも一部をバックアップデータとして前記バックアップ先の電子制御装置へ送信する請求項1又は2に記載した電子制御装置。
  4. 前記書き換え時バックアップデータ送信部は、前記保存データの一部ずつを前記バックアップデータとして複数の前記バックアップ先の電子制御装置へ分割して送信する請求項1から3の何れか一項に記載した電子制御装置。
  5. 前記書き換え時データ送信要求を前記書き換え対象の電子制御装置へ送信する書き換え時データ送信要求送信部(12a)と、
    前記バックアップデータを前記書き換え対象の電子制御装置から受信する書き換え時バックアップデータ受信部(12b)と、を備える請求項1から4の何れか一項に記載した電子制御装置。
  6. データ復旧要請の発生を判定する復旧要請判定部(13a)と、
    前記データ復旧要請の発生が判定されると、復旧時データ送信要求を前記バックアップ先の電子制御装置へ送信する復旧時データ送信要求送信部(13b)と、
    前記バックアップ先の電子制御装置に保存されている前記バックアップデータを当該バックアップ先の電子制御装置から受信する復旧時バックアップデータ受信部(13c)と、を備える請求項1から5の何れか一項に記載した電子制御装置。
  7. 前記復旧時データ送信要求送信部は、前記管理テーブルに記録されている優先度にしたがって前記復旧時データ送信要求の送信先を特定し、前記復旧時データ送信要求を当該送信先として特定した前記バックアップ先の電子制御装置へ送信する請求項6に記載した電子制御装置。
  8. 書き換え対象の電子制御装置から前記復旧時データ送信要求を受信する復旧時データ送信要求受信部(14a)と、
    前記復旧時データ送信要求が前記復旧時データ送信要求受信部により受信されたことを条件として、前記バックアップデータを前記書き換え対象の電子制御装置へ送信する復旧時バックアップデータ送信部(14b)と、を備える請求項6又は7に記載した電子制御装置。
  9. 前記記録情報を前記管理テーブルから削除する記録情報削除部(16a)を備える請求項1から8の何れか一項に記載した電子制御装置。
JP2022011998A 2022-01-28 2022-01-28 電子制御装置 Pending JP2023110504A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2022011998A JP2023110504A (ja) 2022-01-28 2022-01-28 電子制御装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2022011998A JP2023110504A (ja) 2022-01-28 2022-01-28 電子制御装置

Publications (1)

Publication Number Publication Date
JP2023110504A true JP2023110504A (ja) 2023-08-09

Family

ID=87546250

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022011998A Pending JP2023110504A (ja) 2022-01-28 2022-01-28 電子制御装置

Country Status (1)

Country Link
JP (1) JP2023110504A (ja)

Similar Documents

Publication Publication Date Title
CN100538667C (zh) 用于存储器地址转换和钉扎的方法和系统
EP2187308B1 (en) Method, device and system for storing data in cache in case of power failure
CN102402442B (zh) 信息处理装置、启动控制方法
JP6443372B2 (ja) 車両用ソフトウェア割当てシステム
CN102594858A (zh) 云存储环境中的镜像解决方案
JP5273043B2 (ja) 情報処理装置、実行環境転送方法及びそのプログラム
US20080133695A1 (en) Information processing system and backing up data method
CN112130959B (zh) 一种虚拟机的保护系统及方法
JP5250955B2 (ja) データ処理システムのバックアップ制御装置及びシステム
JP6913621B2 (ja) 自動車用電子制御装置
US10545885B2 (en) Information processing device, information processing method, and computer program product
JP2023110504A (ja) 電子制御装置
JP5158576B2 (ja) 入出力制御システム、入出力制御方法、及び、入出力制御プログラム
KR20200121657A (ko) 차량의 업데이트 제공 장치 및 방법
JP2001109642A (ja) クラスタシステム、及びそのデータ複写方法
EP4036712A1 (en) Ota master, update control method, non-transitory storage medium, and vehicle
CN102043741A (zh) 用于管道仲裁的电路和方法
JP5782962B2 (ja) Raidグループ制御装置
CN104794084A (zh) 用于高效地传送数据的方法
JP2004334739A (ja) データのバックアップ方法及びバックアップデータ復旧方法、並びに、ネットワーク蓄積装置及びネットワーク蓄積プログラム
WO2024009656A1 (ja) 車両制御装置
JPH04288638A (ja) コンピュータシステム
KR20090053164A (ko) 상태 정보를 관리하는 플래시 메모리 제어 장치 및 방법
US20240177532A1 (en) Information processing device, information processing method, and storage medium storing information processing program
JP2023160069A (ja) 電子制御装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20240510