JP6184575B1 - プログラム書き換え及び検証システム - Google Patents

プログラム書き換え及び検証システム Download PDF

Info

Publication number
JP6184575B1
JP6184575B1 JP2016203269A JP2016203269A JP6184575B1 JP 6184575 B1 JP6184575 B1 JP 6184575B1 JP 2016203269 A JP2016203269 A JP 2016203269A JP 2016203269 A JP2016203269 A JP 2016203269A JP 6184575 B1 JP6184575 B1 JP 6184575B1
Authority
JP
Japan
Prior art keywords
program
verification
node
rewriting
type node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016203269A
Other languages
English (en)
Other versions
JP2018067027A (ja
Inventor
松井 俊憲
俊憲 松井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Priority to JP2016203269A priority Critical patent/JP6184575B1/ja
Application granted granted Critical
Publication of JP6184575B1 publication Critical patent/JP6184575B1/ja
Publication of JP2018067027A publication Critical patent/JP2018067027A/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Stored Programmes (AREA)

Abstract

【課題】ネットワークに接続された制御装置のプログラムの書き換えに当たって、1つのノードがコスト高とならないようにするとともに、書き換えたのちにプログラムが変更されていないかどうかを検証可能なプログラム書き換え及び検証システムを得る。【解決手段】テスタ3が第1種ノードであるバッテリ制御装置1のプログラムの書き換え用プログラムを分割し、第2種ノードであるEPS制御装置2aとモータ制御装置2bに送信し、それぞれ記録装置に保存させ、各第2種ノードは、分割プログラムの送信可否を判断し、送信可の場合に分割プログラムをバッテリ制御装置1に送信し、バッテリ制御装置1がプログラムを書き換えたのちに、モータ制御装置2bの動作状態監視手段28により、バッテリ制御装置1の動作状態を監視し、異常があれば各第2種ノードでバッテリ制御装置1の書き換え部分を検証する。【選択図】図1

Description

この発明は、ネットワークに接続された複数の制御装置であるノードのプログラムを書き換え、検証するプログラム書き換え及び検証システムに関するものである。
従来、ネットワークに接続された制御装置のプログラム書き換えシステム及び方法(以下、システムとして総称することがある。)として、例えば特許文献1に記載されたものが知られている。
この特許文献1におけるプログラム書き換えシステムは、車両のネットワークに、外部とのインターフェイス機能を有し、書き換えを実施する第1の制御装置と、統括制御装置と、プログラムのデータを書き換える対象である第2の制御装置と、複数ある第3の制御装置が接続され、第1の制御装置及び統括制御装置によって、第2の制御装置の記録媒体のプログラムが書き換えられるようになっている。
統括制御装置は、ゲートウェイを介して第1の制御装置に接続され、所定のデータを記憶し得る記憶媒体と、全体を制御するCPU(Central Processing Unit)とを有している。
この特許文献1では、第2の制御装置のプログラムデータの書き換えを実施する際に、プログラム書き換え用のデータが、第1の制御装置にデータ入力部から入力され、データ出力部を介してゲートウェイに出力される。その後、このデータは、ゲートウェイを経由して、統括制御装置の記録媒体に一時蓄積される。
さらに、そのプログラム書き換え用のデータは、電圧や温度範囲等の書き換え実施条件が満たされた時に、第2の制御装置の記録媒体へ車両のネットワークを介して送信される。
この特許文献1に提示されたプログラムの書き換えシステムでは、1つの通信ノードである統括制御装置内に、プログラム書き換え用のデータ全てを記録する容量を持つ記録媒体が必要であり、そのためにコストが上昇するという問題があった。
このような課題を解決するものとして、本出願人による特許文献2がある。
特許文献2では、複数のモータ制御装置等の第2種ノードに書き換え用プログラムの一部分である分割プログラムを保存させるようにし、各第2種ノードは、自身が保存する分割プログラムをそれぞれバッテリ制御装置等の第1種ノードに送信する。そして、第1種ノードは、各第2種ノードから分割プログラムを受信する度に、第1種ノードの動作を決定するプログラム中のその分割プログラムに該当する部分を書き換えるように構成されたプログラム書き換えシステム及びプログラム書き換え方法が記載されている。
特許第4668656号公報(第4〜8頁、第1図) 特許第5323151号公報(第7〜13頁、第1図)
しかしながら、特許文献2の場合には、第2種ノードによる第1種ノードの書き換えが完了し、書き換えたプログラムに従って動作した後に、意図的もしくは、無意識に第1種ノードのプログラムが改ざん、変更された場合について検証することができないという問題がある。
この発明は、上述のような課題を解決するためになされたものであり、ネットワークに接続された制御装置のプログラムの書き換えに当たって、1つのノードがコスト高とならないようにするとともに、書き換えたのちにプログラムが変更されていないかどうかを検証可能なプログラム書き換え及び検証システムを得ることを目的とする。
この発明に係わるプログラム書き換え及び検証システムにおいては、車両内のネットワークに接続された第1種ノード、及びネットワークにそれぞれ接続され、第1種ノードとの間及び互いの間で通信可能な複数の第2種ノードを備え、第1種ノードは、自ノードの動作を決定するプログラムを保存する第1の記録領域と、この第1の記録領域に保存されたプログラムを書き換え単位で書き換えるプログラム書き換え手段とを有し、第2種ノードは、プログラムを書き換えるための書き換え用プログラムの書き換え単位である分割プログラムを保存する第2の記録領域と、第1種ノードへの分割プログラムの送信可否を判断する送信可否判断手段と、第1種ノードのプログラムのプログラム書き換え手段によって書き換えられた部分の検証が必要かどうかを判断する検証要否判断手段と、第1種ノードのプログラムの書き換えられた部分を読み出す読み出し手段と、プログラムの書き換えられた部分と、第2の記録領域に保存された分割プログラムとを比較することにより、プログラムの書き換えられた部分が変更されていないかどうかを検証する分割プログラム検証手段とを有し、送信可否判断手段により第1種ノードへの分割プログラムの送信が可能であると判断された場合に、第2の記録領域に保存された分割プログラムをネットワークを介して第1種ノードに送信し、第1種ノードは、第2種ノードから分割プログラムを受信する度に、プログラム書き換え手段により、第1の記録領域に保存されたプログラムのうちの当該分割プログラムに該当する部分を書き換え、第2種ノードは、第1種ノードのプログラム書き換え手段による書き換え後に、検証要否判断手段により、第1種ノードのプログラムの書き換えられた部分の検証が必要と判断された場合に、分割プログラム検証手段による検証を行なうものである。
この発明によれば、車両内のネットワークに接続された第1種ノード、及びネットワークにそれぞれ接続され、第1種ノードとの間及び互いの間で通信可能な複数の第2種ノードを備え、第1種ノードは、自ノードの動作を決定するプログラムを保存する第1の記録領域と、この第1の記録領域に保存されたプログラムを書き換え単位で書き換えるプログラム書き換え手段とを有し、第2種ノードは、プログラムを書き換えるための書き換え用プログラムの書き換え単位である分割プログラムを保存する第2の記録領域と、第1種ノードへの分割プログラムの送信可否を判断する送信可否判断手段と、第1種ノードのプログラムのプログラム書き換え手段によって書き換えられた部分の検証が必要かどうかを判断する検証要否判断手段と、第1種ノードのプログラムの書き換えられた部分を読み出す読み出し手段と、プログラムの書き換えられた部分と、第2の記録領域に保存された分割プログラムとを比較することにより、プログラムの書き換えられた部分が変更されていないかどうかを検証する分割プログラム検証手段とを有し、送信可否判断手段により第1種ノードへの分割プログラムの送信が可能であると判断された場合に、第2の記録領域に保存された分割プログラムをネットワークを介して第1種ノードに送信し、第1種ノードは、第2種ノードから分割プログラムを受信する度に、プログラム書き換え手段により、第1の記録領域に保存されたプログラムのうちの当該分割プログラムに該当する部分を書き換え、第2種ノードは、第1種ノードのプログラム書き換え手段による書き換え後に、検証要否判断手段により、第1種ノードのプログラムの書き換えられた部分の検証が必要と判断された場合に、分割プログラム検証手段による検証を行なうので、第1種ノードのプログラムの書き換えと書き換え後の検証を効率良く実施することができるとともに、第2種ノードに全ての書き換え用プログラムを保存するほどの大きな記録容量を設ける必要がない。
この発明の実施の形態1によるプログラム書き換え及び検証システムが適用される車両制御システムの構成を示すブロック図である。 この発明の実施の形態1によるプログラム書き換え及び検証システムにおける第1種ノードと第2種ノードとテスタノードの記録装置の領域構成を示すメモリマップ図である。 この発明の実施の形態1によるプログラム書き換え及び検証システムの第1種ノードにおける処理の流れを示すフローチャートである。 この発明の実施の形態1によるプログラム書き換え及び検証システムの第2種ノードにおける書き換え時の処理の流れを示すフローチャートである。 この発明の実施の形態1によるプログラム書き換え及び検証システムの書き換えプログラム送信元のテスタノードにおける書き換え時の処理の流れを示すフローチャートである。 この発明の実施の形態1によるプログラム書き換え及び検証システムの第2種ノードにおける書き換え後の検証処理の流れを示すフローチャートである。 この発明の実施の形態1によるプログラム書き換えシステムにおける各ノードの書き換え時の処理の流れを時間軸に沿って示す図である。 この発明の実施の形態1によるプログラム書き換えシステムにおける各ノードの書き換え後の検証処理の流れを時間軸に沿って示す図である。 この発明の実施の形態2によるプログラム書き換え及び検証システムが適用される車両制御システムの構成を示すブロック図である。 この発明の実施の形態2によるプログラム書き換え及び検証システムにおける第3種ノードの記録装置の領域構成を示すメモリマップ図である。 この発明の実施の形態2によるプログラム書き換えシステムにおける各ノードの書き換え後の検証処理の流れを時間軸に沿って示す図である。
実施の形態1.
以下、実施の形態1について、図に基づいて説明する。
図1は、この発明の実施の形態1によるプログラム書き換え及び検証システムが適用される車両制御システムの構成を示すブロック図である。
図1において、プログラム書き換え及び検証システムは、車両制御システムに含まれる。各制御装置及びテスタは、図1に示す以外の構成物も備えているが、実施の形態1に直接関係しないものについては図示を省略している。
各制御装置及びテスタの構成については後述する。
実施の形態1に係る車両制御システムは、第1種ノードであるバッテリ制御装置1と、第2種ノードであるEPS(Electric Power Steering)制御装置2a及びモータ制御装置2bと、その他のノードであるテスタ3を有し、これらは車両のCAN(Controller Area Network)ネットワーク6(ネットワーク)を介して、互いに通信可能に接続されている。
図2は、この発明の実施の形態1によるプログラム書き換え及び検証システムにおける第1種ノードと第2種ノードとテスタノードの記録装置の領域構成を示すメモリマップ図である。
図2(a)はバッテリ制御装置1の記録装置13の領域構成を示す図、図2(b)はEPS制御装置2aの記録装置23aの領域構成を示す図、図2(c)はモータ制御装置2bの記録装置23bの領域構成を示す図、図2(d)はテスタ3の記録装置33の領域構
成を示す図である。各記憶装置の構成については後述する。
以下、図1の各制御装置及びテスタの詳細について、図2を参照して説明する。
バッテリ制御装置1は、バッテリ10に接続されて、これを制御し、同様にEPS制御装置2aは、EPS20aに、モータ制御装置2bは、駆動用モータ20bに接続され、それぞれを制御している。
なお、図1に示すテスタ3以外の制御装置は、常時、CANネットワーク6に接続されているが、テスタ3は、CANネットワーク6に常時接続されているものではなく、プログラムの書き換えや各ノードの故障診断時等、必要な時に随時接続される。
バッテリ制御装置1の構成と機能について説明する。
マイコン11は、バッテリ10の制御に関わる制御量や各種処理値を演算する。CANネットワーク用データ送受信手段であるデータ送受信手段12は、CANネットワーク6を介して接続された他の制御装置(EPS制御装置2a、モータ制御装置2b、テスタ3を含む)とデータを送受信する。記録装置13は、書き換え対象であるバッテリ制御プログラムを保存する第1の記録領域を有している。バッテリ制御プログラムは、バッテリ制御装置1の動作(制御内容)を決定し、演算を行うものである。
次に、記録装置13の領域構成について、図2(a)を用いて説明する。
記録装置13は、バッテリ制御プログラムを部分的に書き換えるためのプログラム書き換えプログラムを保存するプログラム書き換えプログラム記録領域131と、バッテリ制御プログラムを保存する第1の記録領域であるバッテリ制御プログラム記録領域132と、バッテリ10の制御に関わるデータ等を保存するバッテリ制御プログラム用記録領域(データ用)133を有する。
図1のバッテリ制御装置1のプログラム書き換え手段14は、記録装置13のバッテリ制御プログラム記録領域132に保存されたバッテリ制御プログラムを部分的に書き換える。その際には、記録装置13のプログラム書き換えプログラム記録領域131に記録されたプログラム書き換えプログラムを用いる。
第1の状態検出手段である状態検出手段15は、(第1種ノード)自身がバッテリ制御プログラムを書き換え可能な状態であるか否か、あるいはバッテリ制御プログラムが全て書き換えられているか否か等の状態を検出する。
状態検出手段15により書き換え可能であると検出された場合は、CANネットワーク6を介して、EPS制御装置2a及びモータ制御装置2bに通知し、通知を受けたEPS制御装置2a及びモータ制御装置2bは、自身が保存する分割プログラムを、CANネットワーク6を介してバッテリ制御装置1に送信する。
バッテリ制御装置1は、EPS制御装置2aまたはモータ制御装置2bから分割プログラムを受信する度に、バッテリ制御プログラム記録領域132に保存されたバッテリ制御プログラムのその分割プログラムに該当する部分を、プログラム書き換え手段14により書き換える。
次に、EPS制御装置2aの構成と機能について説明する。
マイコン21aは、EPS20aの制御量や各種処理値を演算する。データ送受信手段22aは、CANネットワーク6を介して、接続された他の制御装置(バッテリ制御装置1、モータ制御装置2b、テスタ3を含む)とデータを送受信する。
記録装置23aは、バッテリ制御プログラムの書き換え用プログラムの一部分である分割バッテリ制御プログラム(以下、分割プログラムと略す)を保存する第2の記録領域を有している。
ここで、記録装置23aの領域構成について、図2(b)を用いて説明する。
記録装置23aは、EPS20aの制御内容を決定するEPS制御プログラムを保存するEPS制御プログラム記録領域231aと、EPS20aの制御に関わるデータ等を保存するEPS制御プログラム用記録領域(データ用)232aと、分割プログラムを保存する第2の記録領域である分割バッテリ制御プログラム記録領域233aとを有する。
なお、分割バッテリ制御プログラム記録領域233aには、記録装置23aの空き領域等を割り当てることができる。
図1の送信可否判断手段24aは、バッテリ制御装置1への分割プログラムの送信可否を判断する。送信可否判断手段24aによりバッテリ制御装置1への分割プログラムの送信が可能であると判断された場合には、自身が保存する分割プログラムを、CANネットワーク6を介してバッテリ制御装置1に送信する。
検証要否判断手段25aは、バッテリ制御装置1を分割プログラムで書き換えた後に、後述する検証必要性通知手段29の通知に従い、検証が必要かどうかを判断する。
分割プログラム検証手段26aは、読み出し手段27aにより読み出されたバッテリ制御装置1の分割プログラムと、自ノードが分割バッテリ制御プログラム記録領域233aに保存している分割プログラムとを比較することで、分割プログラムが変更されていないかどうかを検証する。
読み出し手段27aは、自ノードが保存する分割プログラムで書き換えたバッテリ制御装置1の該当部分をCANネットワーク6経由で読み出す。
次に、モータ制御装置2bの構成と機能について説明する。
マイコン21bは、駆動用モータ20bの制御量や各種処理値を演算する。データ送受信手段22bは、CANネットワーク6を介して、接続された他の制御装置(バッテリ制御装置1、EPS制御装置2a、テスタ3を含む)とデータを送受信する。
記録装置23bは、バッテリ制御プログラムの書き換え用プログラムを分割した一部分である分割プログラムを保存する第2の記録領域を有している。
ここで、記録装置23bの領域構成について、図2(c)を用いて説明する。
記録装置23bは、駆動用モータ20bの制御内容を決定するモータ制御プログラムを保存するモータ制御プログラム記録領域231bと、駆動用モータ20bの制御に関わるデータ等が記録されるモータ制御プログラム用記録領域(データ用)232bと、分割プログラムを保存する第2の記録領域である分割バッテリ制御プログラム記録領域233bとを有する。
なお、分割バッテリ制御プログラム記録領域233bには、記録装置23bの空き領域等を割り当てることができる。
図1の送信可否判断手段24bは、バッテリ制御装置1への分割プログラムの送信可否を判断する。送信可否判断手段24bによりバッテリ制御装置1への分割プログラムの送信が可能であると判断された場合には、自ノードが保存する分割プログラムを、CANネットワーク6を介してバッテリ制御装置1に送信する。
検証要否判断手段25bは、バッテリ制御装置1を分割プログラムで書き換えた後に、後述する検証必要性通知手段29の通知に従い、検証が必要かどうかを判断する。
分割プログラム検証手段26bは、読み出し手段27bにより読み出されたバッテリ制御装置1の分割プログラムと、自ノードが分割バッテリ制御プログラム記録領域233bに保存している分割プログラムとを比較することで、分割プログラムが変更されていない
かどうかを検証する。
読み出し手段27bは、自身が保存する分割プログラムにより書き換えられたバッテリ制御装置1の該当部分をCANネットワーク6経由で読み出す。
動作状態監視手段28(第1の動作状態監視手段)は、バッテリ制御装置1の動作状態として、通常と異なる制御を実施していないかどうかを監視する。
検証必要性通知手段29(第1の検証必要性通知手段)は、動作状態監視手段28が異常を検出した時に、自ノードの検証要否判断手段25bとEPS制御装置2aの検証要否判断手段25aに、バッテリ制御装置1のプログラムの検証の必要性を通知する。
次に、テスタ3の構成と機能について説明する。
マイコン31は、テスタ3の動作に関わる各種処理を実施する。データ送受信手段32は、CANネットワーク6を介して、接続された他の制御装置(バッテリ制御装置1、EPS制御装置2a、モータ制御装置2bを含む)とデータを送受信する。
記録装置33は、図2(d)に示すように、バッテリ制御プログラムの書き換え用プログラムを保存する第3の記録領域であるバッテリ制御プログラム記録領域331を有する。
図1のプログラム分割手段34は、記録装置33のバッテリ制御プログラム記録領域331に保存された書き換え用プログラムを分割し、分割プログラムを作成する。プログラム分割手段34により作成された分割プログラムは、それぞれCANネットワーク6を介してEPS制御装置2a及びモータ制御装置2bに送信される。
図7は、この発明の実施の形態1によるプログラム書き換えシステムにおける各ノードの書き換え時の処理の流れを時間軸に沿って示す図である。
図7において、縦軸は各ノード、横軸は時間を示している。なお、図7では、テスタ3はすでにCANネットワーク6に接続されており、各ノード間の通信は、全てCANネットワーク6を介して行われる。また、EPS制御装置2a及びモータ制御装置2bは、それぞれ通常の処理を実施していないものとする。
図8は、この発明の実施の形態1によるプログラム書き換えシステムにおける各ノードの書き換え後の検証処理の流れを時間軸に沿って示す図である。
図8において、縦軸は各ノード、横軸は時間を示している。なお、図8では、図7で示した書き換え処理を終了しており、テスタ3はすでにCANネットワーク6から切断されている。また、ここでは、t52以降にバッテリ制御プログラム(分割プログラムAが該当する部分)が意図せず書き換えられてしまい、通常と異なる制御がなされているものとする。この書き換えられた原因としては、外部の悪意あるものが書き換えたり、バッテリ制御プログラム記憶領域が破損したりすることが考えられるが、実施の形態1の効果に影響しないため言及しない。
次に、動作について説明する。
実施の形態1に係わるプログラム書き換えシステムの各ノードにおける処理の流れについて、図3〜図5のフローチャートを用いて説明する。
まず、図3を用いて、第1種ノードであるバッテリ制御装置1におけるプログラム書き換えに関する処理の流れについて説明する。
バッテリ制御装置1では、バッテリ10の制御に関わる通常の処理と、バッテリ制御プログラムの書き換えに関する処理が実施される。プログラム書き換えに関する処理は、テスタ3から書き換え実施の通知(書き換え指示)があった場合に実施される。図3は、テスタ3からの書き換え実施の通知を受信した後の処理フローを示している。
まず、ステップS302において、関連ノードへ分割書き換えを実施することを通知し、ステップS303へ進む。ステップS303において、状態検出手段15は、通常の処理が実施されているかどうかを判断し、通常の処理が実施されていなければ、書き換え可能(YES)であるため、ステップS304へ進み、通常の処理が実施されている場合には、終了まで待機する。
続いて、ステップS304において、状態検出手段15は、記録装置13のバッテリ制御プログラム記録領域132に保存されたバッテリ制御プログラムの全ての領域(部分)が書き換えられているか否かを判断する。全て書き換えられている場合は(YES)、本処理を終了し、書き換えられていなければ(NO)、ステップS305へ進む。
S305において、状態検出手段15は、バッテリ制御プログラム記録領域132に保存されたバッテリ制御プログラムが書き換え中であるか否かを判断する。いずれの部分も書き換え中でなければ(NO)、ステップS306へ進み、書き換え中であれば(YES)、書き換えが終了するまで待機する。
ステップS306において、状態検出手段15は、書き換えが終了していないバッテリ制御プログラムの部分に該当する分割プログラムを保存している第2種ノードに対し、データ送受信手段12により送信指示をし、ステップS307へ進む。
ステップS307では、データ送受信手段12により分割プログラムを受信し、ステップS308へ進む。
ステップS308において、プログラム書き換え手段14は、プログラム書き換えプログラムを用い、受信した分割プログラムに該当するバッテリ制御プログラムの部分を書き換える。
次に、第2種ノードであるEPS制御装置2a及びモータ制御装置2bにおけるプログラム書き換えに関する処理の流れについて、図4を用いて説明する。
EPS制御装置2a(またはモータ制御装置2b)では、EPS20a(または駆動用モータ20b)の制御に関わる通常の処理と、バッテリ制御装置1のプログラム書き換えに関する処理が実施される。プログラム書き換えに関する処理は、テスタ3から書き換え実施の通知があった場合に実施されるが、通常の処理が実施されている時には書き換えに関する処理は実施しない。
なお、EPS制御装置2aとモータ制御装置2bにおけるプログラム書き換えに関する処理は同じであるので、ここではEPS制御装置2aを例に挙げて説明する。
EPS制御装置2aは、テスタ3から書き換え実施の通知を受信後、ステップS401において、分割プログラムの受信を待つ。データ送受信手段22aにより分割プログラムを受信した場合(YES)は、ステップS402へ進み、受信した分割プログラムを記録装置23aの分割バッテリ制御プログラム記録領域233aに保存し、ステップS403へ進む。
ステップS403において、EPS制御装置2aは、バッテリ制御装置1からの分割プログラムの送信指示を待つ。送信指示を受信しない場合(NO)は、受信するまで待機する。
送信指示を受信した場合(YES)、ステップS404へ進み、送信可否判断手段24aは、分割プログラムを送信すると判断し、データ送受信手段22aにより、分割バッテリ制御プログラム記録領域233aに保存している分割プログラムをバッテリ制御装置1へ送信し、処理を終了する。
次に、テスタ3におけるプログラム書き換えに関する処理の流れについて、図5を用い
て説明する。
テスタ3では、関連ノードへのプログラム書き換え実施の通知と、書き換え用プログラムの送信処理を実施する。なお、図5は、各ノードに対し、バッテリ制御装置1のプログラム書き換え実施を通知した後の処理フローを示している。
まず、ステップS411において、テスタ3のプログラム分割手段34は、記録装置33のバッテリ制御プログラム記録領域331に記録されている書き換え用プログラムを分割し、分割プログラムを作成する。
続いて、ステップS412において、データ送受信手段32により、分割プログラムをそれぞれ各第2種ノードへ送信する。実施の形態1では、第2種ノードを2つ備えているため、書き換え用プログラムを2つに分割し、分割プログラムAと分割プログラムBを作成し、例えば分割プログラムAをEPS制御装置2aに、分割プログラムBをモータ制御装置2bに送信する。
次に、ステップS413において、全ての分割プログラムが送信されたか否かを判断する。全ての分割プログラムが送信されていない場合(NO)、ステップS412へ進み、全て送信されていた場合には(YES)、処理を終了する。
以上、図3〜図5のフローチャートにより、各ノードのプログラム書き換えに関する処理の流れについて説明した。
次に、図6のフローチャートにより書き換えが完了したのちに、バッテリ制御装置1のプログラムが改ざんもしくは意図しない変更がされていないかどうかを検証する処理の流れについて説明する。
なお、EPS制御装置2aとモータ制御装置2bにおけるプログラム書き換え後の検証に関する処理は同じであるため、ここではEPS制御装置2aを例に挙げて説明する。
EPS制御装置2aは、バッテリ制御装置1のプログラム書き換え完了後、ステップS421において、検証要否判断手段25aが、モータ制御装置2bの検証必要性通知手段29からのバッテリ制御装置1のプログラムの検証実施の通知の受信を待つ。検証実施通知を受信した場合には(YES)、検証が必要と判断し、ステップS422へ進む。
続いて、ステップS422において、読み出し手段27aにより、自ノードが保存する分割プログラムで書き換えたバッテリ制御装置1の該当部分をCANネットワーク6経由で読み出す。
次に、ステップS423において、読み出し手段27aが読み出したバッテリ制御装置1の分割プログラムと、自ノードが分割バッテリ制御プログラム記録領域233bに保存している分割プログラムとを比較することで、この分割プログラムが変更されていないかどうかを検証する。
続いて、ステップS424において、検証の結果、異常が検出された場合には(YES)、処理を終了し、異常が検出されなかった場合には(NO)、ステップS425へ進む。
続いて、ステップS425において、読み出し手段27aがすべての分割プログラム部分を読み出したかどうかを判断する。すべてを読み出した場合には(YES)、処理を終了し、すべてを読み出せていない場合には(NO)、ステップS422へ進む。
次に、これら全てのノードの書き換えに関する処理の流れを、図7、図8のタイムチャートに沿って説明する。
まず、図7について説明する。図7では、テスタ3はすでにCANネットワーク6に接続され、各ノード間の通信は、全てCANネットワーク6を介して行われる。また、EP
S制御装置2a及びモータ制御装置2bは、それぞれ通常の処理を実施していないものとする。
図7のt10において、バッテリ制御装置1は、バッテリ10の制御に関わる通常の処理を実施している(処理10)。続いて、t11において、テスタ3は、データ送受信手段32により、バッテリ制御装置1に対し、プログラム書き換えを実施することを通知する(処理40)。
テスタ3から書き換え実施通知を受信したバッテリ制御装置1の状態検出手段15は、バッテリ制御プログラムを書き換え可能な状態であるか否かを判断する(処理11)。ここでは、通常の処理を実施しているため、書き換え不可と判断される。
続いて、t12において、バッテリ制御装置1は、EPS制御装置2a、モータ制御装置2b、及びテスタ3に対し、書き換え実施不可であることを通知する(処理12)。EPS制御装置2a、モータ制御装置2b、及びテスタ3は、それぞれバッテリ制御装置1が書き換え不可であることを受信する(処理20、処理30、処理41)。
次に、t13において、バッテリ制御装置1は、バッテリ10の制御に関わる通常の処理を再開する(処理10)。t14において、テスタ3は、自身が保存しているバッテリ制御プログラムの書き換え用プログラムを、プログラム分割手段34により分割し、分割プログラムを作成する(処理42)。なお、ここでは、書き換え用プログラムを分割プログラムAと分割プログラムBの2つに分割するものとする。
続いて、t15において、テスタ3は、分割プログラムAをEPS制御装置2aへ送信する(処理43)。これを受信したEPS制御装置2aは、分割プログラムAを分割バッテリ制御プログラム記録領域233aに保存する(処理21)。
次に、t16において、テスタ3は、まず、全ての分割プログラムを送信したか否かを確認する。ここでは、分割プログラムBが未送信のため、処理を継続し、分割プログラムBをモータ制御装置2bへ送信する(処理44)。
分割プログラムBを受信したモータ制御装置2bは、分割プログラムBを分割バッテリ制御プログラム記録領域233bに保存する(処理31)。さらに、テスタ3は、全ての分割プログラムを送信したか否かを確認し、ここでは全ての分割プログラムが送信済みのため、処理を終了する。
ここまでの処理が終了すると、テスタ3をCANネットワーク6から取り外すことが可能となる。
その後、t17において、バッテリ制御装置1が通常の処理を終了すると、t18において、状態検出手段15は、バッテリ制御プログラムの書き換えが可能な状態であるか否かを判断する。ここでは、通常の処理を実施していないため、書き換え可能であると判断される。
次に、状態検出手段15は、記録装置13のバッテリ制御プログラム記録領域132に保存されているバッテリ制御プログラムの全ての領域(部分)が書き換えられているか否かを判断する。ここでは、書き換えられていないと判断される。
さらに、状態検出手段15は、バッテリ制御プログラム記録領域132に保存されたバッテリ制御プログラムが書き換え中であるか否かを判断する。ここでは、いずれの部分も書き換え中でないため、バッテリ制御装置1は、EPS制御装置2aへ分割プログラムの送信を指示し(処理13)、EPS制御装置2aのデータ送受信手段22aは、分割プログラムの送信指示を受信する(処理22)。
続いて、t19において、EPS制御装置2aの送信可否判断手段24aは、バッテリ制御装置1へ分割プログラムを送信すると判断し、記録装置23aの分割バッテリ制御プログラム記録領域233aに保存している分割プログラムAを、データ送受信手段22aにより送信する(処理23)。これにより、EPS制御装置2aは処理を終了する。
分割プログラムAを受信したバッテリ制御装置1は、プログラム書き換え手段14により、バッテリ制御プログラムの分割プログラムAに該当する部分を書き換える(処理14)。
次に、t20において、状態検出手段15は、バッテリ制御プログラム記録領域132に保存されているバッテリ制御プログラムの全ての領域(部分)が書き換えられているか否かを判断する。ここでは、書き換えられていないと判断される。
さらに、状態検出手段15は、バッテリ制御プログラム記録領域132に保存されたバッテリ制御プログラムが書き換え中であるか否かを判断する。ここでは、いずれの部分も書き換え中でないため、バッテリ制御装置1は、モータ制御装置2bへ分割プログラムの送信を指示し(処理15)、モータ制御装置2bのデータ送受信手段22bは、分割プログラムの送信指示を受信する(処理32)。
続いて、t21において、モータ制御装置2bの送信可否判断手段24bは、バッテリ制御装置1へ分割プログラムを送信すると判断し、記録装置23bの分割バッテリ制御プログラム記録領域233bに保存している分割プログラムBを、データ送受信手段22bにより送信する(処理33)。これにより、モータ制御装置2bは処理を終了する。
分割プログラムBを受信したバッテリ制御装置1は、プログラム書き換え手段14により、バッテリ制御プログラムの分割プログラムBに該当する部分を書き換える(処理16)。
その後、状態検出手段15は、全てのバッテリ制御プログラムの書き換えが終了しているか否かを判断する。ここでは、全て書き換えられているため、書き換えに関する処理を終了する。
次に、これらノードの検証に関わる処理を図8のタイムチャートに沿って説明する。なお、図8では、図7で示した書き換え処理を終了しており、テスタ3はすでにCANネットワーク6から切断されている。
また、ここでは、t52以降にバッテリ制御プログラム(分割プログラムAが該当する部分)が意図せず書き換えられてしまい、通常と異なる制御がなされているものとする。書き換えられた原因としては、外部の悪意あるものが書き換えたり、バッテリ制御プログラム記憶領域が破損したりすることが考えられるが、本実施の形態の効果に影響しないため言及しない。
t50において、バッテリ制御装置1は、バッテリ10の制御に関わる通常の処理を実施している(処理10)。続いて、t51において、モータ制御装置2bは、動作状態監視手段28により、バッテリ制御装置1の動作状態として通常と異なる制御を実施していないかどうかを監視する(処理34)。ここでは通常通りの制御がなされていると判断する。
t52において、バッテリ制御装置1は、バッテリ10の制御に関わる処理を実施している(処理10)。続いて、t53において、モータ制御装置2bは、動作状態監視手段28により、バッテリ制御装置1の動作状態として通常と異なる制御を実施していないかどうかを監視する(処理35)。ここでは、バッテリ制御プログラムが意図せず書き換えられたとしていることから、通常と異なる制御がなされていると判断する。
そこで、検証必要性通知手段29は、自身の検証要否判断手段25bとEPS制御装置2aの検証要否判断手段25aに、バッテリ制御装置1のプログラムの検証実施の必要性
をCANネットワーク6経由で通知する(処理35)。そして、EPS制御装置2aの検証要否判断手段25aはこれを受け取る(処理24)。
続いて、t54において、モータ制御装置2bは、通知を受けた検証要否判断手段25bにより検証が必要と判断され、読み出し手段27bは、バッテリ制御装置1のバッテリ制御プログラム記録領域132のうち自身が記録している分割バッテリ制御プログラムに該当する部分を読み出す。
ここでは、CANネットワーク6経由で読み出し指示を送信し、それを受けたバッテリ制御装置1が該当プログラムを送信する(処理11)。ただし、読み出し方はこれに限るものではない。
続いて、モータ制御装置2bの分割プログラム検証手段26bは、読み出したプログラムと、分割バッテリ制御プログラム記録領域233bに記録されている分割プログラムBとを比較する。ここでは違いがなく、異常がないとする(処理36)。
続いて、t55において、EPS制御装置2aは、通知を受けた検証要否判断手段25aにより検証が必要と判断され、読み出し手段27aは、バッテリ制御装置1のバッテリ制御プログラム記録領域132のうち、自ノードが記録している分割バッテリ制御プログラムに該当する部分を読み出す。ここでは、CANネットワーク6経由で読みだし指示を送信し、それを受けたバッテリ制御装置1が該当プログラムを送信する(処理12)。ただし、読み出し方はこれに限るものではない。
続いて、EPS制御装置2aの分割プログラム検証手段26aは、読み出したプログラムと、分割バッテリ制御プログラム記録領域233aに記録されている分割プログラムAとを比較する。ここでは違いがあり、異常があることが検出される(処理25)。
以上のように、本実施の形態1に係わるプログラム書き換え及び検証システムでは、テスタ3からバッテリ制御装置1へプログラム書き換え実施を通知し、テスタ3は、バッテリ制御プログラムの書き換え用プログラムを分割して分割プログラムを作成し、EPS制御装置2aとモータ制御装置2bそれぞれに送信する。
その後、バッテリ制御装置1がプログラム書き換え実施可能となった時点で、EPS制御装置2aとモータ制御装置2bは、自身が保存する分割プログラムをそれぞれバッテリ制御装置1に送信し、バッテリ制御装置1は、これらを受信する度に、受信した分割プログラムに該当するバッテリ制御プログラムの部分を書き換える。
書き換え後は、バッテリ制御装置1は書き替えたプログラムで動作し、モータ制御装置2bは、検証の必要性を判断するためにバッテリ制御装置1の動作状態を監視する。
ここで、モータ制御装置2bは、バッテリ制御装置1の動作状態として制御内容を監視し、通常と異なる動作状態が検出されたときは、自身の検証要否判断手段25bとEPS制御装置2aの検証要否判断手段25aに、バッテリ制御装置1のプログラムの検証必要性を通知し、EPS制御装置2aとモータ制御装置2bは、それぞれ検証が必要と判断し、自ノードが書き換え時に記録した分割プログラムとバッテリ制御装置1のプログラムとを比較することで、バッテリ制御装置1の制御プログラムの検証を実施する。
実施の形態1によれば、バッテリ制御装置1が通常の処理を実施中であっても、テスタ3は、書き換え用プログラムを分割し、EPS制御装置2aとモータ制御装置2bにそれぞれ分割プログラムを送信し、送信が終了すると所定のタイミングを待つことなく、CANネットワーク6から切り離すことが可能となるため、効率の良いプログラムの書き換えを実施することができる。
また、書き換え用プログラムを分割して複数の第2種ノード(本実施の形態1ではEP
S制御装置2aとモータ制御装置2bの2つ)に保存するため、第2種ノードに全ての書き換え用プログラムを保存できるほどの大きな記録容量を設ける必要がなく、一つのノードがコスト高になることを防ぐことができ、全体としてのコストが抑えられる。
また、書き換え時に第2種ノードに保存したプログラムを用いて、第1種ノードの動作状態に応じて検証することができるので、効率の良い書き換え後のプログラムの検証を実施することができる。
実施の形態2.
以下、実施の形態2について、図に基づいて説明する。
図9は、この発明の実施の形態2によるプログラム書き換え及び検証システムが適用される車両制御システムの構成を示すブロック図である。
図9において、符号1、2a、2b、3、6、10〜15、20a〜27a、20b〜27b、31〜34は図1におけるものと同一のものである。図9では、CANネットワーク6に第3種ノードである車載充電器制御装置4が接続されている。車載充電器制御装置4は、車載充電器40を制御するとともに、CANネットワーク6を介して、第1種ノードであるバッテリ制御装置1と、及び第2種ノードであるEPS制御装置2a及びモータ制御装置2bと、通信可能になっている。車載充電器制御装置4の構成は後述する。
なお、図9において、各制御装置は、図9に示す以外の構成物も備えているが、実施の形態2に直接関係しないものについては図示を省略する。
図10は、この発明の実施の形態2によるプログラム書き換え及び検証システムにおける第3種ノードの記録装置の領域構成を示すメモリマップ図である。
図10において、記録装置43は、車載充電器40の制御内容を決定する車載充電器制御プログラムを保存する車載充電器制御プログラム記録領域431と、車載充電器40の制御に関わるデータ等を保存する車載充電器制御プログラム用記録領域(データ用)432とを有する。
次に、車載充電器制御装置4の構成と機能について説明する。
マイコン41は、車載充電器40の動作に関わる各種処理を実施する。データ送受信手段42は、CANネットワーク6を介して、接続された他の制御装置(バッテリ制御装置1、EPS制御装置2a、モータ制御装置2b及びテスタ3を含む)とデータを送受信する。記録装置43は、自ノードの制御に関わるプログラム及びデータの記録領域であり、図10のように構成されている。
動作状態監視手段44(第2の動作状態監視手段)は、バッテリ制御装置1の動作状態として、通常と異なる制御を実施していないかどうかを監視する。
検証必要性通知手段45(第2の検証必要性通知手段)は、動作状態監視手段44により異常が検出された時に、EPS制御装置2aの検証要否判断手段25aとモータ制御装置2bの検証要否判断手段25bとに、バッテリ制御装置1のプログラムの検証の必要性を通知する。
図11は、この発明の実施の形態2によるプログラム書き換えシステムにおける各ノードの書き換え後の検証処理の流れを時間軸に沿って示す図である。
図11において、縦軸は各ノード、横軸は時間を示している。なお、図11では、書き換え処理を終了しており(図7参照)、テスタ3はすでにCANネットワーク6から切断されている。
また、t62以降にバッテリ制御プログラム(分割プログラムAが該当する部分)が意図せず書き換えられてしまい、通常と異なる制御がなされているものとする。この書き換えられた原因としては、外部の悪意あるものが書き換えたり、バッテリ制御プログラム記憶領域が破損したりすることが考えられるが、本実施の形態2の効果に影響しないため言
及しない。
次に、動作について説明する。
本実施の形態2のプログラム書き換えシステムの各ノードにおける処理の流れは、実施の形態1と同じであるため、その説明を省略する(図3〜図6参照)。
また、各ノードの時間軸に沿った処理の流れについては、書き換えでは、車載充電器制御装置4は処理に介入せず、実施の形態1と同じであるため、その説明を省略する(図7参照)。
次に、これらノードの検証に関わる処理を、図11のタイムチャートに沿って説明する。
t60において、バッテリ制御装置1は、バッテリ10の制御に関わる通常の処理を実施している(処理10)。続いて、t61において、車載充電器制御装置4は、動作状態監視手段44により、バッテリ制御装置1の動作状態として、通常と異なる制御を実施していないかどうかを監視する(処理41)。ここでは通常通りの制御がなされていると判断する。
t62において、バッテリ制御装置1は、バッテリ10の制御に関わる処理を実施している(処理10)。続いて、t63において、車載充電器制御装置4は、動作状態監視手段44により、バッテリ制御装置1の動作状態として、通常と異なる制御を実施していないかどうかを監視する(処理42)。ここでは、バッテリ制御プログラムが意図せず書き換えられたものとしていることから、通常と異なる制御がなされていると判断する。
そこで、検証必要性通知手段45は、EPS制御装置2aの検証要否判断手段25aとモータ制御装置2bの検証要否判断手段25bとに、バッテリ制御装置1のプログラムの検証実施の必要性をCANネットワーク6経由で通知する(処理42)。
EPS制御装置2aの検証要否判断手段25aは、これを受け取り(処理24)、また、モータ制御装置2bの検証要否判断手段25bもこれを受け取る(処理37)。
続いて、t64において、モータ制御装置2bは、通知を受けた検証要否判断手段25bにより検証が必要と判断し、読み出し手段27bは、バッテリ制御装置1のバッテリ制御プログラム記録領域132のうち自身が記録している分割バッテリ制御プログラムに該当する部分を読み出す。ここでは、CANネットワーク6経由で読みだし指示を送信し、それを受けたバッテリ制御装置1が該当プログラムを送信する(処理11)。ただし、読み出し方はこれに限るものではない。
続いて、モータ制御装置2bの分割プログラム検証手段26bは、読み出したプログラムと、分割バッテリ制御プログラム記録領域233bに記録されている分割プログラムBとを比較する。ここでは違いがなく、異常がないとする(処理36)。
続いて、t65において、EPS制御装置2aは、通知を受けた検証要否判断手段25aにより検証が必要と判断し、読み出し手段27aは、バッテリ制御装置1のバッテリ制御プログラム記録領域132のうち、自身が記録している分割バッテリ制御プログラムに該当する部分を読み出す。ここでは、CANネットワーク6経由で読みだし指示を送信し、それを受けたバッテリ制御装置1が該当プログラムを送信する(処理12)。ただし、読み出し方はこれに限るものではない。
続いて、EPS制御装置2aの分割プログラム検証手段26aは、読み出したプログラムと、分割バッテリ制御プログラム記録領域233aに記録されている分割プログラムAとを比較する。ここでは違いがあり、異常があることが検出される(処理25)。
以上のように、実施の形態2のプログラム書き換え及び検証システムでは、テスタ3からバッテリ制御装置1へプログラム書き換え実施を通知し、テスタ3は、バッテリ制御プ
ログラムの書き換え用プログラムを分割して分割プログラムを作成し、EPS制御装置2aとモータ制御装置2bのそれぞれに送信する。
その後、バッテリ制御装置1がプログラム書き換え実施可能となった時点で、EPS制御装置2aとモータ制御装置2bは、自身が保存する分割プログラムをそれぞれバッテリ制御装置1に送信し、バッテリ制御装置1は、これらを受信する度に、受信した分割プログラムに該当するバッテリ制御プログラムの部分を書き換える。
書き換え後は、バッテリ制御装置1は、書き換えたプログラムで動作し、車載充電器制御装置4は、検証の必要性を判断するためにバッテリ制御装置1の動作状態を監視する。ここでは、バッテリ制御装置1の動作状態として、制御内容を監視し、通常と異なる動作状態が検出されたときは、EPS制御装置2aの検証要否判断手段25aとモータ制御装置2bの検証要否判断手段25bとに、バッテリ制御装置1のプログラムの検証必要性を通知する。
EPS制御装置2aとモータ制御装置2bは、それぞれ検証が必要と判断し、自身が書き換え時に記録した分割プログラムとバッテリ制御装置1のプログラムとを比較することで、バッテリ制御装置1の制御プログラムの検証を実施する。
実施の形態2によれば、バッテリ制御装置1が通常の処理を実施中であっても、テスタ3は、書き換え用プログラムを分割し、EPS制御装置2aとモータ制御装置2bとにそれぞれ分割プログラムを送信し、送信が終了すると所定のタイミングを待つことなく、CANネットワーク6から切り離すことが可能となるため、効率の良いプログラムの書き換えを実施することができる。
また、書き換え用プログラムを分割して、複数の第2種ノード(本実施の形態2ではEPS制御装置2aとモータ制御装置2bの2つ)に保存するため、第2種ノードに全ての書き換え用プログラムを保存できるほどの大きな記録容量を設ける必要がなく、一つのノードがコスト高になることを防ぐことができ、全体としてのコストが抑えられる。
また、書き換え時に第2種ノードに保存したプログラムを用いて、動作状態に応じて検証することができるので、効率の良い書き換え後のプログラムの検証を実施することができる。
さらに、検証の開始の判断を、書き換えに介入しない第3種ノードから実施することで、書き換えと書き換え後の検証をシステムとして負荷を分散することができる。
なお、実施の形態1〜実施の形態2では、書き換え後の検証実施判断に動作状態監視手段による動作状態の監視結果を用いたが、ネットワークに流れるデータを監視する通信状態監視手段(第1、第2の通信状態監視手段)を設けて、バッテリ制御装置1の送信データの変化を検証必要性の判断に用いてもよい。
このようにすることで、制御装置の設置位置が遠い場合においても、ネットワークを通して異常を検出でき、効率のよい検証ができるという効果が得られる。
また、実施の形態1〜実施の形態2では、書き換え後の検証実施判断に動作状態監視手段による動作状態の監視結果を用いたが、GPS信号を受信することで車両の位置を測定できる車両位置測定手段(第1、第2の車両位置測定手段)を設けて、車両位置情報に基づき特定の位置に到達したときを、検証必要性の判断に用いてもよい。
このようにすることで、車内の状況に限らず、固定されたタイミングで効率のよい検証ができるという効果が得られる。
また、実施の形態1〜実施の形態2では、書き換え後の検証実施判断に動作状態監視手
段による動作状態の監視結果を用いたが、車両の動きを測定できる車両挙動測定手段(第1、第2の車両挙動測定手段)を設けて、あらかじめ定めておく所定の車両挙動を検出したときを、検証必要性の判断に用いてもよい。
このようにすることで、車両の実状況に応じた効率のよい検証ができるという効果が得られる。
さらに、実施の形態1〜実施の形態2では、2つの第2種ノードを備えた車両制御システムを例に挙げて説明したが、第2種ノードの数はこれに限定されるものではない。
第2種ノードの数を増やすことにより、各分割プログラムの容量を低減することができ、各第2種ノードに必要となる記録容量を抑えることができる。
また、ネットワークとしてCANネットワーク6を挙げて説明したが、ネットワークの種類はこれに限るものではない。
なお、本発明は、その発明の範囲内において、各実施の形態を自由に組み合わせたり、各実施の形態を適宜、変形、省略することが可能である。
本発明は、ネットワークに接続された複数の制御装置を含むシステム(例えば車両制御システム)におけるプログラムの書き換え及び書き換え後の検証方法として利用することができる。
1 バッテリ制御装置(第1種ノード)、2a EPS制御装置(第2種ノード)、
2b モータ制御装置(第2種ノード)、3 テスタ、
4 車載充電器制御装置(第3種ノード)、6 CANネットワーク、10 バッテリ、11、21a、21b、31、41 マイコン、
12、22a、22b、32、42 データ送受信手段、
13、23a、23b、33、43 記録装置、14 プログラム書き換え手段、
15 状態検出手段、20a EPS、20b 駆動用モータ、
24a、24b 送信可否判断手段、25a、25b 検証要否判断手段、
26a、26b 分割プログラム検証手段、27a、27b 読み出し手段、
28、44 動作状態監視手段、29、45 検証必要性通知手段、
34 プログラム分割手段、40 車載充電器

Claims (9)

  1. 車両内のネットワークに接続された第1種ノード、
    及び上記ネットワークにそれぞれ接続され、上記第1種ノードとの間及び互いの間で通信可能な複数の第2種ノードを備え、
    上記第1種ノードは、
    自ノードの動作を決定するプログラムを保存する第1の記録領域と、
    この第1の記録領域に保存された上記プログラムを書き換え単位で書き換えるプログラム書き換え手段とを有し、
    上記第2種ノードは、
    上記プログラムを書き換えるための書き換え用プログラムの上記書き換え単位である分割プログラムを保存する第2の記録領域と、
    上記第1種ノードへの上記分割プログラムの送信可否を判断する送信可否判断手段と、
    上記第1種ノードの上記プログラムの上記プログラム書き換え手段によって書き換えられた部分の検証が必要かどうかを判断する検証要否判断手段と、
    上記第1種ノードの上記プログラムの上記書き換えられた部分を読み出す読み出し手段と、
    上記プログラムの上記書き換えられた部分と、上記第2の記録領域に保存された上記分割プログラムとを比較することにより、上記プログラムの上記書き換えられた部分が変更されていないかどうかを検証する分割プログラム検証手段とを有し、
    上記送信可否判断手段により上記第1種ノードへの上記分割プログラムの送信が可能であると判断された場合に、上記第2の記録領域に保存された上記分割プログラムを上記ネットワークを介して上記第1種ノードに送信し、
    上記第1種ノードは、
    上記第2種ノードから上記分割プログラムを受信する度に、上記プログラム書き換え手段により、上記第1の記録領域に保存された上記プログラムのうちの当該分割プログラムに該当する部分を書き換え、
    上記第2種ノードは、
    上記第1種ノードの上記プログラム書き換え手段による上記書き換え後に、上記検証要否判断手段により、上記第1種ノードの上記プログラムの上記書き換えられた部分の検証が必要と判断された場合に、上記分割プログラム検証手段による検証を行なうことを特徴とするプログラム書き換え及び検証システム。
  2. 上記第2種ノードは、
    上記第1種ノードの動作状態を監視する第1の動作状態監視手段と、
    この第1の動作状態監視手段により、上記第1種ノードで通常の動作と異なる動作が検出された場合に、自ノード及び他の第2種ノードに上記プログラムの検証必要性を通知する第1の検証必要性通知手段とを有し、
    上記第1の検証必要性通知手段から上記通知を受けた自ノード及び上記他の第2種ノードは、
    上記検証要否判断手段により、上記第1種ノードの上記プログラムの上記書き換えられた部分の検証が必要と判断することを特徴とする請求項1に記載のプログラム書き換え及び検証システム。
  3. 上記第2種ノードは、
    上記ネットワークに流れるデータを監視する第1の通信状態監視手段と、
    この第1の通信状態監視手段により、上記ネットワークで、通常のデータと異なるデータの流れが検出された場合に、自ノード及び他の第2種ノードに上記プログラムの検証必要性を通知する第1の検証必要性通知手段とを有し、
    上記第1の検証必要性通知手段から上記通知を受けた自ノード及び上記他の第2種ノー
    ドは、
    上記検証要否判断手段により、上記第1種ノードの上記プログラムの上記書き換えられた部分の検証が必要と判断することを特徴とする請求項1に記載のプログラム書き換え及び検証システム。
  4. 上記第2種ノードは、
    上記車両の位置を測定する第1の車両位置測定手段と、
    この第1の車両位置測定手段により車両が所定の位置に到着したことが検出された場合に、自ノード及び他の第2種ノードに上記プログラムの検証必要性を通知する第1の検証必要性通知手段とを有し、
    上記第1の検証必要性通知手段から上記通知を受けた自ノード及び上記他の第2種ノードは、
    上記検証要否判断手段により、上記第1種ノードの上記プログラムの上記書き換えられた部分の検証が必要と判断することを特徴とする請求項1に記載のプログラム書き換え及び検証システム。
  5. 上記第2種ノードは、
    上記車両の挙動を測定する第1の車両挙動測定手段と、
    上記第1の車両挙動測定手段により、車両の挙動が所定の範囲を超えたことが検出された場合に、自ノード及び他の第2種ノードに上記プログラムの検証必要性を通知する第1の検証必要性通知手段とを有し、
    上記第1の検証必要性通知手段から上記通知を受けた自ノード及び上記他の第2種ノードは、
    上記検証要否判断手段により、上記第1種ノードの上記プログラムの上記書き換えられた部分の検証が必要と判断することを特徴とする請求項1に記載のプログラム書き換え及び検証システム。
  6. 上記ネットワークに随時接続され、上記ネットワークを介して、上記第1種ノード及び複数の上記第2種ノードと通信可能な第3種ノードを備え、
    上記第3種ノードは、
    上記第1種ノードの動作状態を監視する第2の動作状態監視手段と、
    この第2の動作状態監視手段により、上記第1種ノードで、通常の動作と異なる動作が検出された場合に、上記第2種ノードに上記プログラムの検証必要性を通知する第2の検証必要性通知手段とを有し、
    上記第2の検証必要性通知手段から上記通知を受けた上記第2種ノードは、
    上記検証要否判断手段により、上記第1種ノードの上記プログラムの上記書き換えられた部分の検証が必要と判断することを特徴とする請求項1に記載のプログラム書き換え及び検証システム。
  7. 上記ネットワークに随時接続され、上記ネットワークを介して、上記第1種ノード及び複数の上記第2種ノードと通信可能な第3種ノードを備え、
    上記第3種ノードは、
    上記ネットワークに流れるデータを監視する第2の通信状態監視手段と、
    この上記第2の通信状態監視手段により、上記ネットワークで、通常のデータと異なるデータの流れが検出された場合に、上記第2種ノードに上記プログラムの検証必要性を通知する第2の検証必要性通知手段とを有し、
    上記第2の検証必要性通知手段から上記通知を受けた上記第2種ノードは、
    上記検証要否判断手段により、上記第1種ノードの上記プログラムの上記書き換えられた部分の検証が必要と判断することを特徴とする請求項1に記載のプログラム書き換え及び検証システム。
  8. 上記ネットワークに随時接続され、上記ネットワークを介して、上記第1種ノード及び複数の上記第2種ノードと通信可能な第3種ノードを備え、
    上記第3種ノードは、
    上記車両の位置を測定する第2の車両位置測定手段と、
    この第2の車両位置測定手段により、車両が所定の位置に到着したことが検出された場合に、上記第2種ノードに上記プログラムの検証必要性を通知する第2の検証必要性通知手段とを有し、
    上記第2の検証必要性通知手段から上記通知を受けた上記第2種ノードは、
    上記検証要否判断手段により、上記第1種ノードの上記プログラムの上記書き換えられた部分の検証が必要と判断することを特徴とする請求項1に記載のプログラム書き換え及び検証システム。
  9. 上記ネットワークに随時接続され、上記ネットワークを介して、上記第1種ノード及び複数の上記第2種ノードと通信可能な第3種ノードを備え、
    上記第3種ノードは、
    車両の挙動を測定する第2の車両挙動測定手段と、
    この第2の車両挙動測定手段により、車両の挙動が所定の範囲を超えたことが検出された場合に、上記第2種ノードに上記プログラムの検証必要性を通知する第2の検証必要性通知手段とを有し、
    上記第2の検証必要性通知手段から上記通知を受けた上記第2種ノードは、
    上記検証要否判断手段により、上記第1種ノードの上記プログラムの上記書き換えられた部分の検証が必要と判断することを特徴とする請求項1に記載のプログラム書き換え及び検証システム。
JP2016203269A 2016-10-17 2016-10-17 プログラム書き換え及び検証システム Active JP6184575B1 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016203269A JP6184575B1 (ja) 2016-10-17 2016-10-17 プログラム書き換え及び検証システム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016203269A JP6184575B1 (ja) 2016-10-17 2016-10-17 プログラム書き換え及び検証システム

Publications (2)

Publication Number Publication Date
JP6184575B1 true JP6184575B1 (ja) 2017-08-23
JP2018067027A JP2018067027A (ja) 2018-04-26

Family

ID=59678149

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016203269A Active JP6184575B1 (ja) 2016-10-17 2016-10-17 プログラム書き換え及び検証システム

Country Status (1)

Country Link
JP (1) JP6184575B1 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108138074B (zh) * 2015-09-29 2021-08-31 Kh新化株式会社 冷冻机油组合物及使用该组合物的冷冻机用工作流体组合物
WO2022190408A1 (ja) * 2021-03-09 2022-09-15 日立Astemo株式会社 分析装置
WO2024018684A1 (ja) * 2022-07-19 2024-01-25 日立Astemo株式会社 状態判定装置

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5323151B2 (ja) * 2011-08-31 2013-10-23 三菱電機株式会社 プログラム書き換えシステム及びプログラム書き換え方法
JP6103565B1 (ja) * 2016-02-17 2017-03-29 三菱電機株式会社 プログラム書き換えシステム及びプログラム書き換え方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5323151B2 (ja) * 2011-08-31 2013-10-23 三菱電機株式会社 プログラム書き換えシステム及びプログラム書き換え方法
JP6103565B1 (ja) * 2016-02-17 2017-03-29 三菱電機株式会社 プログラム書き換えシステム及びプログラム書き換え方法

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108138074B (zh) * 2015-09-29 2021-08-31 Kh新化株式会社 冷冻机油组合物及使用该组合物的冷冻机用工作流体组合物
WO2022190408A1 (ja) * 2021-03-09 2022-09-15 日立Astemo株式会社 分析装置
WO2024018684A1 (ja) * 2022-07-19 2024-01-25 日立Astemo株式会社 状態判定装置

Also Published As

Publication number Publication date
JP2018067027A (ja) 2018-04-26

Similar Documents

Publication Publication Date Title
KR102203247B1 (ko) 무선 배터리 관리 장치 및 이를 포함하는 배터리팩
CN110406485B (zh) 非法检测方法及车载网络系统
JP4668656B2 (ja) プログラムの書き換えシステム及びプログラムの書き換え方法
US11061659B2 (en) Control apparatus, transfer method, and computer program
JP6314775B2 (ja) 通信システム、車載装置、通信装置、及びコンピュータプログラム
JP5353545B2 (ja) 車載ネットワーク装置
JP6184575B1 (ja) プログラム書き換え及び検証システム
JPWO2012056773A1 (ja) 車両用プログラム書換えシステム
JP2012091755A (ja) 車両用プログラム書換えシステム
KR20180056088A (ko) 센싱 장치 및 이를 포함하는 배터리 관리 시스템
JP5323151B2 (ja) プログラム書き換えシステム及びプログラム書き換え方法
JP6165243B2 (ja) コンピュータネットワークにおいて車両搭載可能コントローラを動作させるための方法、車両搭載可能コントローラおよびデバイス
CN110324806B (zh) 控制装置、记录介质以及控制方法
JP7176488B2 (ja) データ保存装置、及びデータ保存プログラム
US10800365B2 (en) Method, device, vehicle and central station for determining the actuality of a local user setting
CN110709932A (zh) 记录控制装置
US20220385553A1 (en) Vehicle-mounted relay device and information processing method
JPWO2018189975A1 (ja) 中継装置、転送方法、およびコンピュータプログラム
JP5551045B2 (ja) 車両用プログラム書換えシステム
CN113631430B (zh) 车载计算机、计算机执行方法及计算机程序
JP6783578B2 (ja) 車両制御システム
JP2020021506A (ja) 電子制御装置及びセッション確立プログラム
WO2021025061A1 (ja) 電池管理システム、電池装置、電池管理方法、及びコンピュータプログラム
JP6103565B1 (ja) プログラム書き換えシステム及びプログラム書き換え方法
JP2017033159A (ja) 車載電子制御装置

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170627

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170725

R151 Written notification of patent or utility model registration

Ref document number: 6184575

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250