JP7081223B2 - マスタ装置、マスタ、ソフトウェアの整合性を確認するための方法及びプログラム、車両 - Google Patents

マスタ装置、マスタ、ソフトウェアの整合性を確認するための方法及びプログラム、車両 Download PDF

Info

Publication number
JP7081223B2
JP7081223B2 JP2018040981A JP2018040981A JP7081223B2 JP 7081223 B2 JP7081223 B2 JP 7081223B2 JP 2018040981 A JP2018040981 A JP 2018040981A JP 2018040981 A JP2018040981 A JP 2018040981A JP 7081223 B2 JP7081223 B2 JP 7081223B2
Authority
JP
Japan
Prior art keywords
software
vehicle
switching
unit
versions
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018040981A
Other languages
English (en)
Other versions
JP2019159399A5 (ja
JP2019159399A (ja
Inventor
優樹 三宅
哲平 福澤
修治 松野
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toyota Motor Corp
Original Assignee
Toyota Motor Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toyota Motor Corp filed Critical Toyota Motor Corp
Priority to JP2018040981A priority Critical patent/JP7081223B2/ja
Priority to US16/279,290 priority patent/US11169793B2/en
Priority to EP19158374.9A priority patent/EP3537287B1/en
Priority to EP22161702.0A priority patent/EP4033351B1/en
Priority to EP23207690.1A priority patent/EP4293553A3/en
Priority to CN201910165359.7A priority patent/CN110244961A/zh
Publication of JP2019159399A publication Critical patent/JP2019159399A/ja
Publication of JP2019159399A5 publication Critical patent/JP2019159399A5/ja
Priority to US17/347,897 priority patent/US11604636B2/en
Priority to JP2022084024A priority patent/JP7331989B2/ja
Application granted granted Critical
Publication of JP7081223B2 publication Critical patent/JP7081223B2/ja
Priority to US18/165,975 priority patent/US20230185566A1/en
Priority to JP2023130341A priority patent/JP2023138759A/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/65Updates
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/70Software maintenance or management
    • G06F8/71Version control; Configuration management

Description

本発明は、マスタ装置、マスタ、ソフトウェアの整合性を確認するための方法及びプログラム、車両に関する。
特許文献1には、ECUのプログラムを、サーバから送信されたバージョンアッププログラムで更新するシステムが記載されている。特許文献1のシステムでは、ECUのプログラム同士のバージョンの不整合に起因する動作不良の発生を防止するため、プログラムの更新前に、プログラム更新対象のECUのバージョンアッププログラムと他のECUのプログラムとの依存関係情報を参照して、プログラムの更新可否を決定している。
特開2009-53920号公報
複数の車載機のプログラムにバージョンの不整合がある場合、予期しない車両制御が行われる可能性がある。特許文献1のシステムでは、プログラムの更新時に他のプログラムとの依存関係を確認しているが、プログラムの更新時に依存関係を確認するだけでは、予期しない車両制御を十分に排除できない可能性がある。
それ故に、本発明は、複数の車載機のソフトウェアのバージョン不整合に起因して予期しない車両制御が行われる可能性をより低減することができるマスタ装置等を提供することを目的とする。
本発明の一実施態様は、複数の車載機に接続されるマスタ装置であって、複数の車載機のソフトウェアのバージョンの許可された組み合わせを含む整合情報を記憶する記憶部と、複数の車載機のソフトウェアの切替指示を行う第1の指示部と、切替指示に応じた複数の車載機の切替後のソフトウェアのバージョン情報を取得する取得部と、取得部により取得されたバージョン情報と整合情報と照合することにより、複数の車載機の切替後のソフトウェアのバージョンに整合性があるか否かを判定する判定部と、複数の車載機の切替後のソフトウェアのバージョンに整合性がないと判定されたことに基づいて、複数の車載機に対して、切替後のソフトウェアから切替前のソフトウェアに戻すよう指示する第2の指示部と、を備える。
本発明によれば、複数の車載機のソフトウェアのバージョン不整合に起因して予期しない車両制御が行われる可能性をより低減することが可能となる。
第1の実施形態に係る車両制御システムの概略構成を示すブロック図 図1に示した車両制御システムの機能ブロック図 図2に示した整合情報記憶部に記憶される整合テーブルの一例を示す図 第1の実施形態に係る車両制御システムにおいて、代表車載機が実行する整合性確認処理の一例を示すフローチャート 第2の実施形態に係る車両制御システムの機能ブロック図 第2の実施形態に係る車両制御システムにおいて、代表車載機が実行する整合性確認処理の一例を示すフローチャート 第3の実施形態に係る車両制御システムの背景を説明するための模式図 第3の実施形態に係る車両制御システムの機能ブロック図 第3の実施形態に係る車両制御システムにおいて、代表車載機が実行するソフトウェア取得処理の一例を示すフローチャート 第3の実施形態に係る車両制御システムにおいて、代表車載機が実行する整合性確認処理の一例を示すフローチャート
(概要)
本発明に係る車両制御システムでは、車両の電源がオンされるたびに、車両制御システムを構成する複数の車載機の1つがソフトウェアのバージョンの整合性を確認することにより、ソフトウェアのバージョン不整合に起因する予期しない車両制御が行われる可能性を低減する。
(第1の実施形態)
<構成>
図1は、第1の実施形態に係る車両制御システムの概略構成を示すブロック図である。
車両制御システム100は、相互に通信可能な車載機A~Dから構成され、車載機A~Dのそれぞれの機能を組み合わせることにより、所定の車両制御を実現するシステムである。図1の例では、車両制御システム100が4つの車載機A~Dで構成されているが、車両制御システム100を構成する車載機の数は4つに限定されない。車両制御システム100が実現する所定の車両制御としては、例えば自動運転を挙げることができる。車載機A~Dは、加速、減速、操舵など車両走行を制御するECUや、これらの車両走行を制御するECUを組み合わせて走行支援を行うECUに相当する。また、車載機A~Dは、無線通信機1を介して外部サーバ2と通信可能である。尚、以下の説明においては、車両制御システムを構成する複数の車載機A~Dのうちの1つである特定の車載機Aを「代表車載機A」という。
図2は、図1に示した車両制御システムの機能ブロック図であり、図3は、図2に示した整合情報記憶部に記憶される整合テーブルの一例を示す図である。
[代表車載機A]
代表車載機Aは、車両制御システム100の制御機能を提供する車載機の1つであるが、車載機A~Dのソフトウェアのバージョンの整合性確認処理においては、マスターデバイスとして機能する。代表車載機Aは、車両の電源がオンされたことを契機として、車両制御システム100を構成する全ての車載機A~Dのソフトウェアのバージョンの整合性を確認する。代表車載機Aは、ソフトウェア記憶部10と、整合情報記憶部11と、バージョン取得部12と、判定部13と、送信部14と、受信部15と、整合情報更新部16と、更新指示部17とを備える。
ソフトウェア記憶部10は、代表車載機Aを動作させるためのソフトウェアを記憶する。代表車載機Aは、ソフトウェア記憶部10に記憶されたソフトウェアを実行することにより、車両の動作を制御するための所定の機能を実現する。
整合情報記憶部11は、車両制御システム100を構成する全ての車載機A~Dのソフトウェアのバージョンの組み合わせを定義した整合テーブルを予め記憶する。整合テーブルに定義される車載機A~Dのソフトウェアのバージョンの組み合わせは、車両制御シス
テム100が正常に動作することが確認されており、同時に実行することが許可されたバージョンの組み合わせである。例えば、整合テーブルは、図3に示すように、車両制御システム100を特定するシステム番号と、車載機A~Dのそれぞれのソフトウェアのバージョンとを含むことができる。システム番号としては、車両制御システム100を特定するための識別子を用いても良いし、車両制御システム100のバージョンを用いても良い。また、図3の整合テーブルの例では、各車載機のバージョンとして単一のバージョンが定義されているが、組み合わせ可能な各車載機のバージョンの範囲を定義しても良い。また、整合テーブルには、同時に実行することが許可されるバージョン(またはバージョンの範囲)の組み合わせを複数セット定義しても良い。1つの車載機が複数のソフトウェアを保持している場合、整合テーブルには、複数のソフトウェアのそれぞれの許可されたバージョンが定義される。整合テーブルは、後述する判定部13が車載機A~Dのソフトウェアのバージョンに整合性があるか否かを判定するための整合情報(第1の整合情報)として使用される。
バージョン取得部12は、車両の電源がオンされるたびに、通信により他の車載機B~Dのそれぞれのソフトウェアのバージョンを取得する。車載機B~Dの中に複数のソフトウェアを保持している車載機がある場合、バージョン取得部12は、車載機が保持する全てのソフトウェアのバージョンを取得する。
判定部13は、バージョン取得部12によって他の車載機B~Dからソフトウェアのバージョンが取得されるたびに、車両制御システム100を構成する全ての車載機A~Dのソフトウェアのバージョンに整合性があるか否かを判定する。この判定は、判定部13が、代表車載機Aのソフトウェア記憶部10に記憶されソフトウェアのバージョンと、バージョン取得部12が他の車載機B~Dから取得したソフトウェアのバージョンとを、整合情報記憶部11に記憶される整合情報と照合することにより行う。判定部13は、整合情報記憶部11に記憶される整合テーブルに基づいて、車両制御システム100を構成する全ての車載機A~Dのソフトウェアのバージョンに整合性があると判定した場合は、車載機A~Dの機能を組み合わせにより実現される所定の車両制御の実行を許可する。
送信部14は、判定部13により車両制御システム100を構成する全ての車載機A~Dのソフトウェアのバージョンに整合性がないと判定された場合に、車載機A~Dのソフトウェアのバージョンを含むバージョン情報を外部サーバ2へと送信する。送信部14によって送信されたバージョン情報は、外部サーバ2において、車載機A~Dのソフトウェアのバージョンに整合性があるか否かを再度確認するために用いられる。
受信部15は、外部サーバ2から送信された各種情報を受信する。受信部15が外部サーバ2から受信する情報の1つとして判定結果情報がある。判定結果情報は、車載機A~Dのソフトウェアのバージョンに整合性があるか否かを表す情報であり、外部サーバ2が送信部14から受信したバージョン情報に基づいて判定を行うことにより得ることができる。
尚、送信部14及び受信部15は、図1に示した無線通信機1を介して外部サーバ2との通信を行う。
整合情報更新部16は、受信部15が受信した判定結果情報が、車載機A~Dのソフトウェアのバージョンに整合性があることを示す場合、整合情報記憶部11に記憶される整合情報を更新する。整合情報の更新は、整合情報更新部16が、整合情報記憶部11に記憶される整合テーブル(第1の整合情報)に含まれるソフトウェアのバージョンの組み合わせを、現在の車載機A~Dのソフトウェアのバージョンの組み合わせで置き換えたり、整合情報記憶部11に記憶される整合テーブルに、現在の車載機A~Dのソフトウェアの
バージョンの組み合わせを追加したりすることによって行うことができる。整合情報更新部16は、更新された整合テーブルを外部サーバ2から取得し、整合情報記憶部11に記憶される整合テーブルを外部サーバ2から取得した整合テーブルで置き換えることによって行っても良い。
更新指示部17は、受信部15が受信した判定結果情報が、車載機A~Dのソフトウェアのバージョンに整合性がないことを示す場合、許可されたバージョンの組み合わせに整合していないソフトウェアを保持する車載機に対して、ソフトウェアの更新を指示する。
[車載機B~D]
車載機B~Dは、ソフトウェア記憶部20と、送信部21と、受信部22とを備える。
ソフトウェア記憶部20は、車載機B~Dのそれぞれを動作させるためのソフトウェアを記憶する。車載機B~Dは、ソフトウェア記憶部10に記憶されたソフトウェアを実行することにより、それぞれ、車両の動作を制御するための所定の機能を実現する。
送信部21は、ソフトウェア記憶部20に記憶されているソフトウェアのバージョンを代表車載機Aに送信する。送信部21は、車両の電源がオンされたことを契機としてソフトウェアのバージョンを代表車載機Aに送信しても良いし、車両の電源がオンされたことを契機として送信された代表車載機Aからの要求に応答して、ソフトウェアのバージョンを代表車載機Aに送信しても良い。
受信部22は、代表車載機Aまたは外部サーバ2から送信された各種情報を受信する。
[外部サーバ2]
外部サーバ2は、整合情報記憶部30と、判定部31と、送信部32と、受信部33とを備える。
整合情報記憶部30は、車両制御システム100を構成する全ての車載機A~Dのソフトウェアのバージョンの組み合わせを定義した整合テーブルを予め記憶する。整合テーブルに定義される車載機A~Dのソフトウェアのバージョンの組み合わせは、車両制御システム100が正常に動作することが確認されており、同時に実行することが許可された組み合わせである。整合情報記憶部30に記憶する整合テーブルには、図3に例示したものと同様に、車両制御システム100を特定するシステム番号と、車載機A~Dのそれぞれのソフトウェアのバージョンとを含めることができる。整合テーブルは、後述する判定部31が車載機A~Dのソフトウェアのバージョンに整合性があるか否かを判定するための整合情報(第2の整合情報)として使用される。
判定部31は、車両制御システム100を構成する全ての車載機A~Dのソフトウェアのバージョンに整合性があるか否かを判定する。この判定は、判定部31が、代表車載機Aから受信したバージョン情報に含まれる車載機A~Dのソフトウェアのバージョンを、整合情報記憶部30に記憶される整合テーブルと照合することにより行う。外部サーバ2では、車載機A~Dの全てのバージョンのソフトウェアを管理することができる。したがって、整合情報記憶部30に記憶される整合テーブルには、代表車載機Aの整合情報記憶部11に記憶される整合テーブルと比べて、車載機A~Dのソフトウェアのバージョンの許可された組み合わせをより多く定義可能である。したがって、代表車載機Aにおいてソフトウェアのバージョンの整合性確認ができなかった場合でも、外部サーバ2で再度判定を行うことにより、車載機A~Dのソフトウェアのバージョンの整合性を精度良く判定することができる。
送信部32は、判定部31の判定結果である、車載機A~Dのソフトウェアのバージョンに整合性があるか否かを表す判定結果情報を代表車載機Aに送信する。
受信部33は、代表車載機Aから送信された各種情報を受信する
<制御処理>
以下、図2及び図4を併せて参照しながら、代表車載機Aが実行する制御処理を説明する。
図4は、第1の実施形態に係る車両制御システムにおいて、代表車載機が実行する整合性確認処理の一例を示すフローチャートである。図4に示す制御処理は、車両の電源がオンされたことを契機として実行される。
ステップS1:バージョン取得部12は、他の車載機B~Dのソフトウェアのバージョンを取得する。その後、処理はステップS2に移る。
ステップS2:判定部13は、代表車載機Aのソフトウェアのバージョンと、他の車載機B~Dから取得したソフトウェアのバージョンとを、整合情報記憶部11に記憶される整合テーブルと照合し、車載機A~Dのソフトウェアのバージョンに整合性があるか否かを判定する。ステップS2の判定がYESの場合、処理はステップS3に移り、それ以外の場合、処理はステップS4に移る。
ステップS3:判定部13は、車載機A~Dを組み合わせて用いた車両制御の実行を許可する。その後、処理を終了する。
ステップS4:送信部14は、代表車載機Aのソフトウェアのバージョンと、他の車載機B~Dから取得したソフトウェアのバージョンとを含むバージョン情報を外部サーバ2に送信する。その後、処理はステップS5に移る。
ステップS5:受信部15は、外部サーバ2から判定結果情報を受信したか否かを判定する。ステップS5の判定がYESの場合、処理はステップS6に移り、それ以外の場合、所定時間待機してから再度ステップS5の判定を行う。尚、ステップS5において、受信部15が外部サーバ2から判定結果情報を受信できない状態が予め定められた時間(タイムアウト時間)継続した場合、受信部15は、タイムアウトと判定してステップS5の処理を終了し、処理はステップS6に進む。
ステップS6:判定部13は、外部サーバ2から受信した判定結果情報に基づき、車載機A~Dのソフトウェアのバージョンに整合性があるか否かを判定する。ステップS6の判定がYESの場合、処理はステップS7に移り、それ以外の場合、処理はステップS9に移る。尚、ステップS5において、受信部15がタイムアウトと判定した場合は、ステップS6において、車載機A~Dのソフトウェアのバージョンに整合性がないと判定する。
ステップS7:判定部13は、車載機A~Dを組み合わせて用いた車両制御の実行を許可する。その後、処理はステップS8に移る。
ステップS8:整合情報更新部16は、整合情報記憶部11に記憶される整合テーブルを更新する。上述した通り、整合テーブルは、ステップS2の判定に用いたソフトウェアのバージョンを用いて更新しても良いし、受信部15を介して外部サーバ2から取得した整合テーブルを用いて更新しても良い。その後、処理を終了する。
ステップS9:判定部13は、車載機A~Dを組み合わせて用いた車両制御の実行を禁止する。その後、処理はステップS10に移る。
ステップS10:更新指示部17は、整合情報記憶部11に記憶される整合テーブルと整合しないバージョンのソフトウェアを保持する車載機に対して、ソフトウェアの更新を指示する。その後、処理を終了する。
尚、更新指示部17がソフトウェアの更新を指示した場合、更新対象の車載機がサーバ2から更新されたソフトウェアの受信を完了した時点で、実行対象とするソフトウェアを現在のバージョンのソフトウェアから更新されたソフトウェアに切り替えるために、車両の電源を一旦オフした後、再度電源をオンするように、ユーザに促しても良い。
また、ステップS10の更新指示に基づいていずれかの車載機のソフトウェアが更新された場合、整合情報更新部16は、必要に応じて整合情報記憶部11に記憶される整合テーブルを更新しても良い。
<効果等>
本実施形態に係る車両制御システム100では、車両の電源がオンされたことを契機として、代表車載機Aが車載機B~Dのソフトウェアのバージョンを取得し、予め用意された整合テーブルに基づいて、車載機A~Dのソフトウェアのバージョンに整合性があるか否かを判定する。車両の電源がオンされるたびにソフトウェアのバージョンの整合性が確認されるため、車載機A~Dのソフトウェアのバージョンに不整合があることに起因して予期しない車両制御が実行される可能性をより低減することができる。
また、本実施形態に係る車両制御システム100では、代表車載機Aによるソフトウェアのバージョンの整合性チェック(一次チェック)で整合性がないと判定された場合には、車載機A~Dのソフトウェアのバージョンを外部サーバ2に送信し、外部サーバ2が保持する整合テーブルを用いて、ソフトウェアのバージョンの整合性チェックを再度行う(二次チェック)。代表車載機Aが保持する情報で整合性を確認できなかった場合でも、外部サーバ2が保持する情報を利用して再度の整合性チェックを行うことにより、車載機A~Dのソフトウェアのバージョンに整合性があるか否かをより精度良く判定することができる。
また、本実施形態に係る車両制御システム100では、車載機A~Dのソフトウェアのバージョンに整合性があるか否かの判定を、予め用意された整合テーブルとの照合により行うため、照合の結果、どの車載機のソフトウェアのバージョンが整合テーブルと不整合であるかを特定することができる。整合テーブルと不整合である車載機を特定した情報は、ソフトウェアの更新や車載機の修理等に利用することができるので、ソフトウェアのバージョンに整合性がない状態を早期に改善することが可能となる。
また、本実施形態に係る車両制御システム100では、代表車載機Aにより車載機A~Dのソフトウェアのバージョンに整合性がないと判定された後、外部サーバ2により車載機A~Dのソフトウェアのバージョンに整合性があると判定された場合には、代表車載機Aの整合性情報記憶部11に記憶される整合テーブルを更新することが可能である。整合性情報記憶部11に記憶される整合テーブルを更新しておけば、車載機A~Dのソフトウェアが変更されない限り、次に車両の電源がオンされた際に代表車載機Aだけでソフトウェアのバージョンの整合性を確認することができるので、整合性の確認に要する時間を短縮することができる。
尚、図2に示した代表車載機Aの機能ブロックのうち、ソフトウェア記憶部10と、整合情報記憶部11と、バージョン取得部12と、判定部13のみで代表車載機Aを構成し、車両の電源がオンされたことを契機として、車載機A~Dのソフトウェアのバージョンの整合性のみを判定可能なシンプルな車両制御システムを構成することも可能である。この構成に更に、送信部14及び受信部15を追加し、代表車載機Aにおける一次チェックと外部サーバ2における二次チェックが可能な車両制御システムを構成しても良い。また、図2に示した代表車載機Aの機能ブロックのうち、整合情報更新部16または更新指示部17を省略した車両制御システムを構成しても良い。
(第2の実施形態)
<構成>
図5は、第2の実施形態に係る車両制御システムの機能ブロック図である。
第2の実施形態に係る車両制御システム200は、代表車載機Aによって車載機A~Dのソフトウェアのバージョンに整合性がないと判定された後、代表車載機Aと外部サーバ2とが通信できない状態にある場合でも、車載機A~Dのソフトウェアのバージョンの整合性を確保できる点に特徴を有する。以下では、本実施形態と第1の実施形態との相異点を中心に説明する。
[代表車載機A]
代表車載機Aのソフトウェア記憶部10には、代表車載機Aを動作させるためのソフトウェアとして、現在のバージョンのソフトウェアSa_curと、旧バージョンのソフトウェアSa_oldとが記憶されている。現在のバージョンのソフトウェアSa_cur及び旧バージョンのソフトウェアSa_oldは、ソフトウェア記憶部10の異なる記憶領域に記憶されており、ソフトウェアの更新時には、旧バージョンのソフトウェアSa_oldが削除され、現在のバージョンのソフトウェアが旧バージョンのソフトウェアとして保持され、更新されたソフトウェアが現在のバージョンのソフトウェアとして新たに記憶される。
整合情報記憶部11には、整合情報として、現在のバージョンの整合テーブルT_curと、旧バージョンの整合テーブルT_oldとが記憶されている。整合情報の更新時には、旧バージョンの整合テーブルT_oldが削除され、現在のバージョンの整合テーブルが旧バージョンの整合テーブルとして保持され、更新された整合テーブルが現在のバージョンの整合テーブルとして新たに記憶される。
代表車載機Aは、切替指示部18とソフトウェア切替部19とを更に備える。
切替指示部18は、判定部13によって車載機A~Dのソフトウェアのバージョンに整合性がないと判定され、かつ、代表車載機Aが外部サーバ2とが通信できない状態にある場合に、車載機A~Dのそれぞれに対し、実行対象とするソフトウェアを現在のバージョンのソフトウェアから旧バージョンのソフトウェアに切り替えるよう指示する。切替指示部18が車載機A~Dに対してソフトウェアの切り替えを指示した場合、表示部への表示や音声により、ソフトウェアを旧バージョンのバージョンに切り替える旨をユーザに通知しても良い。
ソフトウェア切替部19は、切替指示部18によってソフトウェアの切替指示が行われた場合、実行対象とするソフトウェアを現在のバージョンのソフトウェアSa_curから旧バージョンのソフトウェアSa_oldに切り替えると共に、判定部13が使用する整合情報を現在のバージョンの整合テーブルT_curから旧バージョンの整合テーブルT_oldへと切り替える。ソフトウェア切替部19によるソフトウェアの切り替えは、
次に車両の電源がオンされたことを契機として、車載機A~Dのソフトウェアのバージョンの整合性を確認する処理の前に実行する。
尚、切替指示部18によりソフトウェアの切り替え指示が行われた場合、次に車両の電源がオンされたことを契機として、バージョン取得部12及び判定部13により、車載機A~Dのソフトウェアのバージョンの整合性が確認される。バージョン取得部12及び判定部13が実行する処理は、電源がオンされた場合の通常時の処理と同じであるが、結果として、バージョン取得部12は、他の車載機B~Dから切り替え後のソフトウェアのバージョンを取得し、判定部13は、代表車載機Aの切り替え後のソフトウェアのバージョンと、他の車載機B~Dから取得した切り替え後のソフトウェアのバージョンとを、旧バージョンの整合テーブルと照合することにより、ソフトウェアのバージョンの整合性が確認される。
[車載機B~D]
車載機B、C及びDのソフトウェア記憶部20には、車載機B、C及びDを動作させるためのソフトウェアとして、現在のバージョンのソフトウェアSb_cur、Sc_cur及びSd_curと、旧バージョンのソフトウェアSb_old、Sc_old及びSd_oldとがそれぞれが記憶されている。車載機B~Dにおいても、現在のバージョンのソフトウェア及び旧バージョンのソフトウェアは、ソフトウェア記憶部20の異なる記憶領域に記憶されており、ソフトウェアの更新時には、旧バージョンのソフトウェアが削除され、更新されたソフトウェアが現在のバージョンのソフトウェアとして新たに記憶され、現在のバージョンのソフトウェアが旧バージョンのソフトウェアとして保持される。旧バージョンのソフトウェアSa_old~Sd_oldは、現在のバージョンのソフトウェアSa_cur~Sa_curの前に使用されていたソフトウェアの組み合わせであって、バージョンの整合性が取れているソフトウェアの組み合わせである。
また、車載機B~Dの各々は、ソフトウェア切替部23を更に備える。ソフトウェア切替部23は、切替指示部18によってソフトウェアの切替指示が行われた場合、実行対象とするソフトウェアを現在のバージョンのソフトウェアSb_cur、Sc_cur及びSd_curから、旧バージョンのソフトウェアSb_old、Sc_old及びSd_oldにそれぞれ切り替える。ソフトウェア切替部23によるソフトウェアの切り替えも、次に車両の電源がオンされたことを契機として、車載機A~Dのソフトウェアのバージョンの整合性を確認する処理の前に実行する。
<制御処理>
以下、図5及び図6を併せて参照しながら、代表車載機Aが実行する制御処理を説明する。
図6は、第2の実施形態に係る車両制御システムにおいて、代表車載機が実行する整合性確認処理の一例を示すフローチャートである。図6に示す制御処理は、車両の電源がオンされたことを契機として実行される。
ステップS21:ソフトウェア切替部19は、車両の電源がオンされる前に、ソフトウェアの切替指示が行われていたか否かを判定する。このステップS21は、後述するステップS28において、車載機A~Dの現在のバージョンのソフトウェアを旧バージョンのソフトウェアに切り替える指示が行われた場合に、当該指示がおこなわれた後の、最初の電源オンを契機としてソフトウェアの切り替えを行うために必要な判定である。車両の電源がオンされる前にソフトウェアの切替指示が行われたことは、不揮発性の記憶領域に立てられたフラグ等により判定することができる。ステップS21の判定がYESの場合、処理はステップS22に移り、それ以外の場合、処理はステップS23に移る。
ステップS22:ソフトウェア切替部19は、ステップS21でソフトウェアの切替指示があると判定された場合、実行対象とするソフトウェアを現在のバージョンのソフトウェアSa_curから旧バージョンのソフトウェアSa_oldに切り替える。また、ソフトウェア切替部19は、判定部13が使用する整合情報を現在の整合テーブルT_curから旧バージョンの整合テーブルT_oldへと切り替える。
尚、図示を省略しているが、ソフトウェアの切替を指示された他の車載機においても、代表車載機Aにおいてソフトウェアが切り替えられるのと同じタイミングで並行して、ソフトウェア切替部23が実行対象とするソフトウェアを現在のバージョンのソフトウェアから、旧バージョンのソフトウェアに切り替える。
ステップS23:バージョン取得部12は、他の車載機B~Dのソフトウェアのバージョンを取得する。その後、処理はステップS24に移る。
ステップS24:判定部13は、代表車載機Aのソフトウェアのバージョンと、他の車載機B~Dから取得したソフトウェアのバージョンとを、整合情報記憶部11に記憶される整合テーブルと照合し、車載機A~Dのソフトウェアのバージョンに整合性があるか否かを判定する。ステップS24の判定がYESの場合、処理はステップS25に移り、それ以外の場合、処理はステップS26に移る。
ステップS25:判定部13は、車載機A~Dを組み合わせて用いた車両制御の実行を許可する。その後、処理を終了する。
ステップS26:送信部14は、外部サーバ2と通信可能であるか否かを判定する。外部サーバ2と通信可能であるか否かは、例えば、受信部15が受信している無線信号の信号強度に基づいて判定することができる。ステップS26の判定がYESの場合、処理はステップS29に移り、それ以外の場合、処理はステップS27に移る。
ステップS27:判定部13は、車載機A~Dを組み合わせて用いた車両制御の実行を禁止する。その後、処理はステップS28に移る。
ステップS28:切替指示部18は、現在のバージョンのソフトウェアから旧バージョンのソフトウェアへの切り替えが必要な車載機に対して、現在のバージョンのソフトウェアを旧バージョンのソフトウェアに切り替えるよう指示する。その後、処理を終了する。
尚、切替指示部18が車載機A~Dに対してソフトウェアに切り替えを指示した場合、代表車載機Aは、ソフトウェアの切り替えを行う旨をユーザに通知しても良い。また、代表車載機Aは、ソフトウェアの切替処理の準備が完了した時点で、車両の電源を一旦オフした後、再度オンするように、ユーザに促しても良い。
ステップS29:送信部14は、代表車載機Aのソフトウェアのバージョンと、他の車載機B~Dから取得したソフトウェアのバージョンとを含むバージョン情報を外部サーバ2に送信する。その後、処理はステップS30に移る。
ステップS30:受信部15は、外部サーバ2から判定結果情報を受信したか否かを判定する。ステップS30の判定がYESの場合、処理はステップS31に移り、それ以外の場合、所定時間待機してから再度ステップS30の判定を行う。尚、ステップS30において、受信部15が外部サーバ2から判定結果情報を受信できない状態が予め定められた時間(タイムアウト時間)継続した場合、受信部15は、タイムアウトと判定してステ
ップS30の処理を終了し、処理はステップS31に進む。
ステップS31:判定部13は、外部サーバ2から受信した判定結果情報に基づき、車載機A~Dのソフトウェアのバージョンに整合性があるか否かを判定する。ステップS31の判定がYESの場合、処理はステップS32に移り、それ以外の場合、処理はステップS34に移る。尚、ステップS30において、受信部15がタイムアウトと判定した場合は、ステップS31において、車載機A~Dのソフトウェアのバージョンに整合性がないと判定する。
ステップS32:判定部13は、車載機A~Dを組み合わせて用いた車両制御の実行を許可する。その後、処理はステップS33に移る。
ステップS33:整合情報更新部16は、整合情報記憶部11に記憶される整合情報を更新する。その後、処理を終了する。
ステップS34:判定部13は、車載機A~Dを組み合わせて用いた車両制御の実行を禁止する。その後、処理はステップS35に移る。
ステップS35:更新指示部17は、整合情報記憶部11に記憶される整合テーブルと整合しないバージョンのソフトウェアを保持する車載機に対して、ソフトウェアの更新を指示する。その後、処理を終了する。
尚、更新指示部17がソフトウェアの更新を指示した場合、更新対象の車載機がサーバ2から更新されたソフトウェアの受信を完了した時点で、実行対象とするソフトウェアを現在のバージョンのソフトウェアから更新されたソフトウェアに切り替えるために、車両の電源を一旦オフした後、再度電源をオンするように、ユーザに促しても良い。
<効果等>
本実施形態に係る車両制御システム200では、第1の実施形態と同様に、車両の電源がオンされたことを契機として車載機A~Dのソフトウェアのバージョンに整合性があるか否かを判定するため、車載機A~Dのソフトウェアのバージョン不整合により、予期しない車両制御が実行される可能性をより低減することができる。
これに加えて、本実施形態に係る車両制御システム200では、各車載機が旧バージョンのソフトウェアを保持すると共に、代表車載機Aが旧バージョンの整合テーブルを保持している。したがって、代表車載機Aによって車載機A~Dのソフトウェアのバージョンに整合性がないと判定されたが、代表車載機Aと外部サーバ2とが通信できない状態にある場合には、旧バージョンのソフトウェアに切り替えることができる。この構成によれば、最新のソフトウェアのバージョンに整合性がなく、代表車載機Aが外部サーバと通信できない場合でも、車載機A~Dのソフトウェアのバージョンに整合性を確保することが可能となる。
尚、図5に示した代表車載機Aの機能ブロックのうち、整合情報更新部16または更新指示部17を省略した車両制御システムを構成しても良い。
(第3の実施形態)
<構成>
図7は、第3の実施形態に係る車両制御システムの背景を説明するための模式図である。
車両制御システム300を構成する車載機A~DのソフトウェアのバージョンSa~Sdは、車両の出荷時には整合が取れた状態となっている(図7の左欄)。車載機A~Dのソフトウェアのバージョンの整合性が崩れる原因として、車載機A~Dの交換や、車載機A~Dに含まれる基板等の部品の交換によるバージョンずれが考えられる。例えば、車載機Cが故障し(図7の中央欄)、故障した車載機Cを新しい物と交換した結果、新しい車載機CのソフトウェアSc’のバージョンが、交換前のソフトウェアScのバージョンから変わってしまう場合がある(図7の右欄)。この場合、新しい車載機CのソフトウェアのバージョンSc’は、必ずしも車載機A、B及びDのソフトウェアのバージョンと整合しているとは限らず、また、ソフトウェアSc’のバージョンによっては、代表車載機Aによる整合性確認処理だけ車載機A~Dのソフトウェアの整合性を確認できないことも考えられる。地下や山間部等の無線通信環境が整っていない場所で車両が使用される場合には、外部サーバとの通信により整合性確認を行うことができないため、車載機A~Dの組み合わせで実現される車両制御機能が制限されたり、ソフトウェアの更新に時間を要したりすることが想定され、ユーザの利便性が低下する可能性がある。
このような問題を想定し、第3の実施形態に係る車両制御システムでは、車載機A~Dの修理や交換が必要となった場合でも速やかに車載機A~Dのソフトウェアのバージョンの整合性を確保できる点に特徴を有する。以下、本実施形態と第1の実施形態との相異点を中心に説明する。
図8は、第3の実施形態に係る車両制御システムの機能ブロック図である。
[代表車載機A]
代表車載機Aは、第1の実施形態で説明したソフトウェア記憶部10と、整合情報記憶部11と、バージョン取得部12と、判定部13と、送信部14と、受信部15とに加えて、ソフトウェア取得部40と、ソフトウェア更新部41とを備える。
ソフトウェア取得部40は、他の車載機B~Dのいずれかが故障して交換または修理が必要となった場合に、外部サーバ2と通信が可能である間に、外部サーバ2から故障した車載機の現在のバージョンのソフトウェアを受信して記憶する。ソフトウェア取得部40は、車載機B~Dのいずれかに故障が発生したことを、故障した車載機から出力される故障通知により検出することができる。図7及び図8では、車載機Cが故障した例を示しているが、ソフトウェア取得部40は、車載機A、B及びDのソフトウェアSa、Sb及びSdのバージョンと整合していた、車載機CのソフトウェアScを外部サーバ2から取得して記憶している。ソフトウェア取得部40が外部サーバ2から取得するソフトウェアのバージョンは、故障した車載機Cから通信により取得しても良いし、整合情報記憶部11に記憶されている整合テーブルから取得しても良い。
ソフトウェア更新部41は、故障した車載機の交換または修理後に、判定部13によって、車載機A~Dのソフトウェアのバージョンに整合性がないと判定され、かつ、整合テーブルに整合していないと判定されたバージョンのソフトウェアを保持する車載機が、交換または修理された車載機であると判定された場合に、交換または修理された車載機のソフトウェア記憶部20に、ソフトウェア取得部40によって記憶されるソフトウェアを書き込む。その後、ソフトウェア更新部41は、交換または修理された車載機に対して、ソフトウェアの切り替えを指示する。
尚、ソフトウェア更新部41によりソフトウェアの切り替え指示が行われた場合、次に車両の電源がオンされたことを契機として、バージョン取得部12及び判定部13により、車載機A~Dのソフトウェアのバージョンの整合性が確認される。バージョン取得部12及び判定部13が実行する処理は、電源がオンされた場合の通常時の処理と同じである
[車載機B~D]
また、車載機B~Dの各々は、第2の実施形態で説明したものと同様の、ソフトウェア切替部23を更に備える。ソフトウェア切替部23は、ソフトウェア更新部41によってソフトウェアの切替指示が行われた場合、実行対象とするソフトウェアを現在のバージョンのソフトウェアから、ソフトウェア更新部41によって書き込まれたソフトウェアに切り替える。ソフトウェア切替部23によるソフトウェアの切り替えは、次に車両の電源がオンされたことを契機として、車載機A~Dのソフトウェアのバージョンの整合性を確認する処理の前に実行する。
<制御処理>
以下、図8~図10を併せて参照しながら、代表車載機Aが実行する制御処理を説明する。
図9は、第3の実施形態に係る車両制御システムにおいて、代表車載機が実行するソフトウェア取得処理の一例を示すフローチャートである。
ステップS41:受信部15は、他の車載機B~Dから故障通知を受信したか否かを判定する。ステップS41の判定がYESの場合、処理はステップS42に移り、それ以外の場合は処理を終了する。
ステップS42:ソフトウェア取得部40は、故障した車載機の現在のバージョンのソフトウェアを外部サーバ2から取得して記憶する。その後、処理を終了する。
図10は、第3の実施形態に係る車両制御システムにおいて、代表車載機が実行する整合性確認処理の一例を示すフローチャートである。図10に示す制御処理は、車両の電源がオンされたことを契機として実行される。
ステップS51:バージョン取得部12は、他の車載機B~Dのソフトウェアのバージョンを取得する。その後、処理はステップS52に移る。
ステップS52:判定部13は、代表車載機Aのソフトウェアのバージョンと、他の車載機B~Dから取得したソフトウェアのバージョンとを、整合情報記憶部11に記憶される整合テーブルと照合し、車載機A~Dのソフトウェアのバージョンに整合性があるか否かを判定する。ステップS52の判定がYESの場合、処理はステップS54に移り、それ以外の場合、処理はステップS53に移る。
ステップS53:判定部13は、車載機A~Dを組み合わせて用いた車両制御の実行を許可する。その後、処理を終了する。
ステップS54:判定部13は、整合テーブルと整合していないバージョンのソフトウェアを有する車載機が、交換または修理された車載機であるか否かを判定する。車載機が交換または修理されたか否かは、図9のステップS41で受信した故障通知に基づいて特定することができる。ステップS54の判定がYESの場合、処理はステップS55に移り、それ以外の場合、処理はステップS56に移る。
ステップS55:ソフトウェア更新部41は、交換または修理された車載機のソフトウェア記憶部20の所定の領域に、ソフトウェア取得部40に記憶されるソフトウェアを書き込む。そして、ソフトウェア更新部41は、交換または修理された車載機に対して、ソ
フトウェアの切り替えを指示する。その後、処理を終了する。
ステップS56:判定部13は、車載機A~Dを組み合わせて用いた車両制御の実行を禁止する。その後、処理を終了する。
尚、ソフトウェア更新部41がソフトウェアの切り替えを指示した場合、交換または修理された車載機が実行対象とするソフトウェアを現在のバージョンのソフトウェアから更新されたソフトウェアに切り替えるために、車両の電源を一旦オフした後、再度をオンするように、ユーザに促しても良い。また、代表車載機Aは、ソフトウェア更新部41がソフトウェアの切り替えを指示した車載機の電源を一旦オフにした後、再度オンしても良い。ソフトウェア更新部41によって、ソフトウェアの切り替えを指示された車載機は、次に電源がオンされたときに、ソフトウェア切替部23が、実行対象とするソフトウェアを、ソフトウェア更新部41によってソフトウェア記憶部20に書き込まれたソフトウェアに切り替える。
<効果等>
本実施形態に係る車両制御システム300では、第1の実施形態と同様に、車両の電源がオンされたことを契機として車載機A~Dのソフトウェアのバージョンに整合性があるか否かを判定するため、車載機A~Dのソフトウェアのバージョン不整合により、予期しない車両制御が実行される可能性をより低減することができる。
これに加えて、本実施形態に係る車両制御システム300では、故障により車載機B~Dの交換または修理が必要となった場合には、事前に整合性が確認されている、故障した車載機のソフトウェアを代表車載機Aが外部サーバ2から予め取得する。そして、故障した車載機の交換または修理の後に、交換または修理された車載機のソフトウェアのバージョンが整合テーブルと整合しない場合には、代表車載機Aが外部サーバ2から予め取得しておいたソフトウェアへの切り替えを行う。したがって、車載機の交換や修理に起因して車載機A~Dのソフトウェアのバージョンの整合が取れなくなり、かつ、車両の無線通信環境が整っていない場合でも、速やかに車載機A~Dの整合性がとれた状態に復帰させることができる。この結果、車載機A~Dの組み合わせにより実現される車両制御機能の制限を早期に解消でき、ユーザの利便性を向上できる。
尚、第3の実施形態に係るソフトウェアの整合性確認方法は、第1の実施形態に係る車両制御システム100または第2の実施形態に係る車両制御システム200と組み合わせても良い。具体的には、第1の実施形態に係る車両制御システム100または第2の実施形態に係る車両制御システム200に、ソフトウェア取得部40と、ソフトウェア更新部41を更に設け、図9に示したステップS41及びS42の処理と、図10に示したステップS54及びS55の処理とを実行可能となるように代表車載機Aを構成すれば良い。図10に示したステップS54及びS55の処理は、判定部13による一次チェックでソフトウェアのバージョンに整合性がないと判定されてから外部サーバ2での二次チェックを実行する前に実行することが好ましい。このように構成すれば、代表車載機Aが保持する情報を用いた整合性の判定を優先的に実行し、代表車載機Aだけで判定ができない場合に外部サーバ2での二次チェックを行うため、通信を行うことなく、ソフトウェアの整合性の判定処理を効率的に行うことができる。車両と外部サーバ2との通信可否を判定するステップ(図6のS26)がある場合は、車両が外部サーバ2と通信できない場合に、図10のステップS54及びS55の処理を実行すれば良い。
(その他の変形例等)
尚、上述した図4、図6、図9及び図10の制御処理は、専用の回路によって実現しても良いし、例えば、プロセッサ、ROM、RAM、ハードディスク等を有するECU等の
コンピュータに、各ステップの処理を実行させることにより実現しても良い。図4、図6、図9及び図10の制御処理をECU等のコンピュータに実行させる場合、これらの制御処理を実行可能に記述したプログラムを予めROMやハーディスク等の記憶装置に格納しておき、コンピュータが備えるプロセッサに記憶装置からプログラムを読み出させて実行させれば良い。
また、上記の各実施形態では、車両制御システムの制御機能を提供する車載機の1つが代表車載機としてソフトウェアのバージョンの整合性を確認する例を説明したが、ソフトウェアのバージョンの整合性を確認するための専用の車載機により、上記の制御処理を実行しても良い。
本発明は、複数の車載機の組み合わせにより所定の車両制御機能を実現する車両制御システムに利用できる。
2 外部サーバ
10 ソフトウェア記憶部
11 整合情報記憶部
12 バージョン取得部
13 判定部
14 送信部
15 受信部
16 整合情報更新部
17 更新指示部
18 切替指示部
19 ソフトウェア切替部
20 ソフトウェア記憶部
30 整合情報記憶部
31 判定部
32 送信部
33 受信部
40 ソフトウェア取得部
41 ソフトウェア更新部
100、200、300 車両制御システム
A 代表車載機
B~D 車載機

Claims (9)

  1. 複数の車載機に接続されるマスタ装置であって、
    前記複数の車載機のソフトウェアのバージョンの許可された組み合わせを含む整合情報を記憶する記憶部と、
    前記複数の車載機のソフトウェアの切替指示を行う第1の指示部と、
    前記切替指示に応じた前記複数の車載機の切替後のソフトウェアのバージョン情報を取得する取得部と、
    前記取得部により取得された前記バージョン情報と前記整合情報と照合することにより、前記複数の車載機の切替後のソフトウェアのバージョンに整合性があるか否かを判定する判定部と
    前記複数の車載機の切替後のソフトウェアのバージョンに整合性がないと判定されたことに基づいて、前記複数の車載機に対して、切替後のソフトウェアから切替前のソフトウェアに戻すよう指示する第2の指示部と、
    を備える、マスタ装置。
  2. 複数の電子制御ユニットに接続されるマスタであって、
    前記複数の電子制御ユニットのソフトウェアのバージョンの許可された組み合わせを含む整合情報を記憶する記憶部と、
    前記複数の電子制御ユニットのソフトウェアの切替指示を行う第1の指示部と、
    前記切替指示に応じた前記複数の電子制御ユニットの切替後のソフトウェアのバージョン情報を取得する取得部と、
    前記取得部により取得された前記バージョン情報と前記整合情報と照合することにより前記複数の電子制御ユニットの切替後のソフトウェアのバージョンに整合性があるか否かを判定する判定部と
    前記複数の電子制御ユニットの切替後のソフトウェアのバージョンに整合性がないと判定されたことに基づいて、前記複数の電子制御ユニットに対して、切替後のソフトウェアから切替前のソフトウェアに戻すよう指示する第2の指示部と、
    を備える、マスタ。
  3. 複数のターゲット電子制御ユニットに接続される装置が有するコンピュータがソフトウェアの整合性を確認するための方法であって、
    前記複数のターゲット電子制御ユニットのソフトウェアのバージョンの許可された組み合わせを含む整合情報を記憶するステップと、
    前記複数のターゲット電子制御ユニットのソフトウェアの切替指示を行うステップと、
    前記切替指示に応じた前記複数のターゲット電子制御ユニットの切替後のソフトウェアのバージョン情報を取得するステップと、
    前記取得された前記バージョン情報と前記整合情報と照合することにより、前記複数のターゲット電子制御ユニットの切替後のソフトウェアのバージョンに整合性があるか否かを判定するステップと
    前記複数のターゲット電子制御ユニットの切替後のソフトウェアのバージョンに整合性がないと判定されたことに基づいて、前記複数のターゲット電子制御ユニットに対して、切替後のソフトウェアから切替前のソフトウェアに戻すよう指示するステップと、
    を備える、方法。
  4. 複数のターゲット電子制御ユニットに接続される装置が有するコンピュータがソフトウェアの整合性を確認するためのプログラムであって、前記コンピュータに
    前記複数のターゲット電子制御ユニットのソフトウェアのバージョンの許可された組み合わせを含む整合情報を記憶するステップと、
    前記複数のターゲット電子制御ユニットのソフトウェアの切替指示を行うステップと、
    前記切替指示に応じた前記複数のターゲット電子制御ユニットの切替後のソフトウェアのバージョン情報を取得するステップと、
    前記取得された前記バージョン情報と前記整合情報と照合することにより、前記複数のターゲット電子制御ユニットの切替後のソフトウェアのバージョンに整合性があるか否かを判定するステップと
    前記複数のターゲット電子制御ユニットの切替後のソフトウェアのバージョンに整合性がないと判定されたことに基づいて、前記複数のターゲット電子制御ユニットに対して、切替後のソフトウェアから切替前のソフトウェアに戻すよう指示するステップと、
    を実行させるためのプログラム。
  5. 請求項に記載のマスタ装置を備える、車両。
  6. 前記記憶部は、前記切替前のソフトウェアのバージョンの許可された組み合わせと、前記切替後のソフトウェアのバージョンの許可された組み合わせとを記憶しており、
    前記第2の指示部によるソフトウェアの切り替え指示の後に、
    前記取得部は、前記複数の車載機のソフトウェアのバージョン情報を取得し、
    前記判定部は、前記取得部により取得されたソフトウェアのバージョン情報と、前記切替前のソフトウェアのバージョンの許可された組み合わせとを照合することにより、前記複数の車載機のソフトウェアのバージョンに整合性があるか否かを判定する、請求項1に記載のマスタ装置。
  7. 前記取得部によって取得された前記バージョン情報を外部サーバに送信可能な送信部を備え、
    前記複数の車載機の切替後のソフトウェアのバージョンに整合性がないと判定され、更に、前記送信部が前記外部サーバと通信できない場合、前記第2の指示部が、前記複数の車載機に対して、切替後のソフトウェアから切替前のソフトウェアに戻すよう指示する、請求項1または6に記載のマスタ装置。
  8. 前記送信部によって送信された前記バージョン情報に基づいて前記外部サーバによって判定された判定結果情報であって、前記複数の車載機のソフトウェアのバージョンに整合性があるか否かを示す判定結果情報を、前記外部サーバから受信可能な受信部を備え、
    前記複数の車載機の切替後のソフトウェアのバージョンに整合性がないと判定され、前記送信部が前記外部サーバと通信可能である場合、
    前記送信部は、前記取得部によって取得された前記バージョン情報を前記外部サーバに送信し、
    前記受信部は、前記外部サーバから前記判定結果情報を受信し、
    前記判定部は、前記受信部により受信された前記判定結果情報に基づいて、前記複数の車載機のソフトウェアのバージョンに整合性があるか否かを判定する、請求項7に記載のマスタ装置。
  9. 前記判定部は、前記複数の車載機のソフトウェアのバージョンに整合性があると判定し場合、前記複数の車載機により実現される所定の車両制御の実行を許可する、請求項1及び6~8のいずれかに記載のマスタ装置。
JP2018040981A 2018-03-07 2018-03-07 マスタ装置、マスタ、ソフトウェアの整合性を確認するための方法及びプログラム、車両 Active JP7081223B2 (ja)

Priority Applications (10)

Application Number Priority Date Filing Date Title
JP2018040981A JP7081223B2 (ja) 2018-03-07 2018-03-07 マスタ装置、マスタ、ソフトウェアの整合性を確認するための方法及びプログラム、車両
US16/279,290 US11169793B2 (en) 2018-03-07 2019-02-19 Vehicle control system and method for confirming software consistency
EP19158374.9A EP3537287B1 (en) 2018-03-07 2019-02-20 Vehicle control system and method for confirming software consistency
EP22161702.0A EP4033351B1 (en) 2018-03-07 2019-02-20 Vehicle control system and method for confirming software consistency
EP23207690.1A EP4293553A3 (en) 2018-03-07 2019-02-20 Vehicle control system and method for confirming software consistency
CN201910165359.7A CN110244961A (zh) 2018-03-07 2019-03-05 车辆控制系统及用于确认软件一致性的方法
US17/347,897 US11604636B2 (en) 2018-03-07 2021-06-15 Vehicle control system and method for confirming software consistency
JP2022084024A JP7331989B2 (ja) 2018-03-07 2022-05-23 ソフトウェアの整合性を確認する装置及びこれを備えた車両、ソフトウェアの整合性を確認する方法及びプログラム
US18/165,975 US20230185566A1 (en) 2018-03-07 2023-02-08 Vehicle control system and method for confirming software consistency
JP2023130341A JP2023138759A (ja) 2018-03-07 2023-08-09 ソフトウェアの整合性を確認する装置及びこれを備えた車両、ソフトウェアの整合性を確認する方法及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018040981A JP7081223B2 (ja) 2018-03-07 2018-03-07 マスタ装置、マスタ、ソフトウェアの整合性を確認するための方法及びプログラム、車両

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2022084024A Division JP7331989B2 (ja) 2018-03-07 2022-05-23 ソフトウェアの整合性を確認する装置及びこれを備えた車両、ソフトウェアの整合性を確認する方法及びプログラム

Publications (3)

Publication Number Publication Date
JP2019159399A JP2019159399A (ja) 2019-09-19
JP2019159399A5 JP2019159399A5 (ja) 2021-02-25
JP7081223B2 true JP7081223B2 (ja) 2022-06-07

Family

ID=65529437

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018040981A Active JP7081223B2 (ja) 2018-03-07 2018-03-07 マスタ装置、マスタ、ソフトウェアの整合性を確認するための方法及びプログラム、車両

Country Status (4)

Country Link
US (3) US11169793B2 (ja)
EP (3) EP4033351B1 (ja)
JP (1) JP7081223B2 (ja)
CN (1) CN110244961A (ja)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR3111447A1 (fr) * 2020-06-16 2021-12-17 Psa Automobiles Sa Gestion de versions de logiciels embarqués à partir d’une empreinte informatique
JP7367626B2 (ja) 2020-07-08 2023-10-24 トヨタ自動車株式会社 ソフトウェア更新装置、方法、プログラムおよび車両
JP2022109037A (ja) 2021-01-14 2022-07-27 トヨタ自動車株式会社 センタ、管理方法および管理プログラム
EP4307734A4 (en) * 2021-03-15 2024-04-10 Huawei Tech Co Ltd COMMUNICATION METHOD AND DEVICE BASED ON OTA (OVER-THE-AIR) TECHNOLOGY
JP7289867B2 (ja) * 2021-03-30 2023-06-12 本田技研工業株式会社 更新制御装置、移動体、更新制御方法、及びプログラム
CN115242417B (zh) * 2021-06-03 2023-07-25 广州汽车集团股份有限公司 车载功能控制方法、系统、装置和车辆
US20230315440A1 (en) * 2022-04-05 2023-10-05 Ford Global Technologies, Llc Vehicle software compatibility

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008290667A (ja) 2007-05-28 2008-12-04 Denso Corp 制御システム,制御装置およびプログラム
JP2009053920A (ja) 2007-08-27 2009-03-12 Auto Network Gijutsu Kenkyusho:Kk 車載用電子制御ユニットのプログラム管理システム
JP2017059210A (ja) 2015-09-14 2017-03-23 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America ゲートウェイ装置、ファームウェア更新方法及び制御プログラム

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH04239301A (ja) * 1991-01-11 1992-08-27 Yaskawa Electric Corp マルチcpuソフトウェアのバ−ジョン整合性検出方法
US7873959B2 (en) * 2005-02-01 2011-01-18 Microsoft Corporation Publishing the status of and updating firmware components
US20060259207A1 (en) * 2005-04-20 2006-11-16 Denso Corporation Electronic control system for automobile
US8495415B2 (en) * 2006-05-12 2013-07-23 International Business Machines Corporation Method and system for maintaining backup copies of firmware
US8327153B2 (en) 2009-12-04 2012-12-04 Electronics And Telecommunications Research Institute Method and system for verifying software platform of vehicle
US20120216183A1 (en) * 2011-02-23 2012-08-23 Amit Mahajan Firmware updation in electronic devices
FR2990531B1 (fr) * 2012-05-11 2014-06-06 Airbus Operations Sas Methode de mise a jour d'un logiciel embarque a bord d'un aeronef
WO2014088567A1 (en) * 2012-12-05 2014-06-12 Bendix Commercial Vehicle Systems Llc Methods and apparatus for updating software components in coordination with operational modes of a motor vehicle
WO2014147817A1 (ja) * 2013-03-22 2014-09-25 富士通株式会社 情報処理装置、プログラム更新方法、及びプログラム
US9116775B2 (en) * 2013-05-15 2015-08-25 Dell Products L.P. Relationship-based dynamic firmware management system
US10216514B2 (en) * 2014-09-25 2019-02-26 Hewlett Packard Enterprise Development Lp Identification of a component for upgrade
US9639344B2 (en) 2014-12-11 2017-05-02 Ford Global Technologies, Llc Telematics update software compatibility

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008290667A (ja) 2007-05-28 2008-12-04 Denso Corp 制御システム,制御装置およびプログラム
JP2009053920A (ja) 2007-08-27 2009-03-12 Auto Network Gijutsu Kenkyusho:Kk 車載用電子制御ユニットのプログラム管理システム
JP2017059210A (ja) 2015-09-14 2017-03-23 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America ゲートウェイ装置、ファームウェア更新方法及び制御プログラム

Also Published As

Publication number Publication date
CN110244961A (zh) 2019-09-17
US11604636B2 (en) 2023-03-14
EP4033351A1 (en) 2022-07-27
US11169793B2 (en) 2021-11-09
US20190278582A1 (en) 2019-09-12
US20230185566A1 (en) 2023-06-15
EP4293553A2 (en) 2023-12-20
US20210311721A1 (en) 2021-10-07
EP3537287A1 (en) 2019-09-11
EP3537287B1 (en) 2022-04-27
EP4033351B1 (en) 2024-01-03
EP4293553A3 (en) 2024-01-10
JP2019159399A (ja) 2019-09-19

Similar Documents

Publication Publication Date Title
JP7081223B2 (ja) マスタ装置、マスタ、ソフトウェアの整合性を確認するための方法及びプログラム、車両
JP2019159399A5 (ja)
CN110244959B (zh) 车辆控制系统及软件兼容性检查方法
JP4482029B2 (ja) 無線基地局および無線基地局の運用方法
WO2013114543A1 (ja) 列車情報管理装置及びその制御ソフトウェアの選択方法
US11392368B2 (en) Electronic control system for updating circuit
WO2016048845A1 (en) Over-the-air updates for ble devices
US11126422B2 (en) Program update system, control system, mobile body, program update method, recording medium
JP2023138759A (ja) ソフトウェアの整合性を確認する装置及びこれを備えた車両、ソフトウェアの整合性を確認する方法及びプログラム
US20230297368A1 (en) Software update apparatus, software update method, non-transitory storage medium storing program, vehicle, and ota master
JP2019159400A5 (ja)
US20220066768A1 (en) Software update device, update control method, and non-transitory storage medium
US20220276851A1 (en) Vehicle controller, updated program, program updating system, and writing device
KR101348843B1 (ko) 가상화 및 이중화를 이용한 전자제어유닛의 리프로그래밍 방법
CN113613954A (zh) 电子控制装置以及控制数据的设定方法
CN113196242A (zh) 电子控制装置以及非易失性存储器的使用方法
US20220391192A1 (en) Ota master, center, system, method, non-transitory storage medium, and vehicle
US11853742B2 (en) Server, software update system, distribution method, and non-transitory storage medium
JP7211189B2 (ja) 更新処理システム及び更新処理方法
CN111722856B (zh) 车载微控制器中固件的升级方法和装置
WO2017043026A1 (ja) 制御方法およびそれを利用した通信装置

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210112

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210112

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20211228

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220111

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220308

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220426

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220509

R151 Written notification of patent or utility model registration

Ref document number: 7081223

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151