JP7087334B2 - Electronic control device - Google Patents

Electronic control device Download PDF

Info

Publication number
JP7087334B2
JP7087334B2 JP2017199373A JP2017199373A JP7087334B2 JP 7087334 B2 JP7087334 B2 JP 7087334B2 JP 2017199373 A JP2017199373 A JP 2017199373A JP 2017199373 A JP2017199373 A JP 2017199373A JP 7087334 B2 JP7087334 B2 JP 7087334B2
Authority
JP
Japan
Prior art keywords
information
memory
new information
old
new
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017199373A
Other languages
Japanese (ja)
Other versions
JP2019074847A (en
Inventor
一浩 上原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2017199373A priority Critical patent/JP7087334B2/en
Priority to DE102018217208.0A priority patent/DE102018217208A1/en
Publication of JP2019074847A publication Critical patent/JP2019074847A/en
Application granted granted Critical
Publication of JP7087334B2 publication Critical patent/JP7087334B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/70Software maintenance or management
    • G06F8/71Version control; Configuration management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/65Updates

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Stored Programmes (AREA)
  • Retry When Errors Occur (AREA)

Description

本発明は、電子制御装置に関する。 The present invention relates to an electronic control device.

従来より、電子制御装置において、外部装置との間や車両ネットワーク内で送受信されるプログラム又はデータをメモリに書き込んで蓄積する構成が供されている。メモリに蓄積されているプログラム又はデータは例えばバージョンのアップデートやバグ改修等の様々な理由により書き換えられることがある。例えば特許文献1には、メモリに蓄積されている旧情報とメモリに書き込まれる新情報との差分を示す差分情報により、プログラム又はデータを書き換える手法が開示されている。 Conventionally, an electronic control device has been provided with a configuration in which a program or data transmitted / received to / from an external device or in a vehicle network is written in a memory and stored. The program or data stored in the memory may be rewritten for various reasons such as version update or bug fix. For example, Patent Document 1 discloses a method of rewriting a program or data by using difference information indicating a difference between old information stored in a memory and new information written in the memory.

特開2014-182571号公報Japanese Unexamined Patent Publication No. 2014-182571

ここで、例えば電源断線等の物理障害が発生した場合でも、特に無人環境での無線による制御プログラムの書き換えにおいては、制御プログラムを確実に起動する必要があるので、メモリに旧情報と新情報とを2面持ちすることが理想である。しかしながら、旧情報と新情報とを2面持ちする構成では、必要となるメモリ容量が増大するので、コストアップが懸念される。又、旧情報から新情報への書き換えを終了後に、新情報の不備や既存のプログラム又はデータとの親和性の不具合等が検出された場合には、新情報から旧情報への書き戻しが必要となるが、例えば外部装置では車両毎に管理された新情報から旧情報への差分を示す情報を逐次配信する必要があるので、外部装置での旧情報の管理が煩雑になることも懸念される。 Here, even if a physical failure such as a power disconnection occurs, it is necessary to reliably start the control program, especially when rewriting the control program wirelessly in an unmanned environment, so old information and new information are stored in the memory. It is ideal to have two sides. However, in a configuration having two sides of old information and new information, the required memory capacity increases, so that there is a concern about cost increase. In addition, if a defect in the new information or a defect in the affinity with the existing program or data is detected after the rewriting from the old information to the new information is completed, it is necessary to write back from the new information to the old information. However, for example, in an external device, it is necessary to sequentially distribute information indicating the difference from the new information managed for each vehicle to the old information, so there is a concern that the management of the old information in the external device becomes complicated. To.

本発明は、上記した事情に鑑みてなされたものであり、その目的は、コストアップを抑えることができ、新情報から旧情報への書き戻しが必要となった場合でも、旧情報の管理が煩雑になることなく、新情報から旧情報に適切に書き戻すことができる電子制御装置を提供することにある。 The present invention has been made in view of the above circumstances, and an object thereof is to suppress an increase in cost and to manage old information even when it is necessary to write back from new information to old information. The purpose of the present invention is to provide an electronic control device that can appropriately write back new information to old information without becoming complicated.

請求項1に記載した発明によれば、メモリ(1a)は、外部装置(9~11)との間や車両ネットワーク(7,8)内で送受信されるプログラム又はデータを蓄積する。第1差分情報取得部(12a)は、プログラム又はデータに関する旧情報から新情報への差分を示す第1差分情報を外部装置や車両ネットワークから取得する。旧情報退避部(12b)は、メモリに蓄積されている旧情報を、当該メモリとは別であって自装置の一つ以上のメモリ(1b)、前記車両ネットワークを介して自装置と接続されている別装置の一つ以上のメモリ(2a,3a,4a)、又は前記外部装置のメモリのうち少なくとも何れか一つに退避させる。新情報生成部(12c)は、別のメモリに退避された旧情報と第1差分情報とから新情報を生成する。新情報書き込み部(12d)は、メモリに蓄積されていた旧情報が別のメモリに退避された状態で新情報をメモリに書き込む。第2差分情報取得部(12e)は、プログラム又はデータに関する新情報から旧情報への差分を示す第2差分情報を外部装置や車両ネットワークから取得する。新情報退避部(12h)は、新情報のメモリへの書き込み中に、当該メモリに書き込み中の新情報を旧情報に書き戻す条件が成立すると、新情報のメモリへの書き込み終了後に、メモリに蓄積されている新情報を、当該メモリとは別の一つ以上のメモリに退避させる。旧情報生成部(12i)は、別のメモリに退避された新情報と第2差分情報とから旧情報を生成する。旧情報書き込み部(12j)は、メモリに蓄積されていた新情報が別のメモリに退避された状態で、旧情報をメモリに書き込む。
According to the first aspect of the present invention, the memory (1a) stores a program or data transmitted / received to / from the external device (9 to 11) or in the vehicle network (7, 8). The first difference information acquisition unit (12a) acquires the first difference information indicating the difference from the old information to the new information regarding the program or data from the external device or the vehicle network. The old information saving unit (12b) connects the old information stored in the memory to the own device via one or more memories (1b) of the own device and the vehicle network separately from the memory. It is saved in at least one of the memory (2a, 3a, 4a) of another device or the memory of the external device. The new information generation unit (12c) generates new information from the old information saved in another memory and the first difference information. The new information writing unit (12d) writes new information to the memory in a state where the old information stored in the memory is saved in another memory. The second difference information acquisition unit (12e) acquires the second difference information indicating the difference from the new information about the program or data to the old information from the external device or the vehicle network. When the condition for writing back the new information being written to the memory to the old information is satisfied while the new information is being written to the memory, the new information saving unit (12h) stores the new information in the memory after the writing to the memory is completed. The stored new information is saved in one or more memories other than the memory concerned. The old information generation unit (12i) generates old information from the new information saved in another memory and the second difference information. The old information writing unit (12j) writes the old information to the memory in a state where the new information stored in the memory is saved in another memory.

メモリに蓄積されている旧情報を新情報に書き換える場合に、旧情報を別のメモリに退避させ、旧情報を別のメモリに退避させた状態で新情報をメモリに書き込むようにした。メモリに旧情報と新情報とを2面持ちする必要をなくすことで、コストアップを抑えることができる。又、旧情報を別のメモリに退避させたことで、新情報から旧情報への書き戻しが必要となった場合でも、その退避させた旧情報を使用して書き戻すことができる。例えば外部装置では車両毎に管理された新情報から旧情報への差分を示す情報を逐次配信する必要がなくなり、旧情報の管理が煩雑になることなく、新情報から旧情報に適切に書き戻すことができる。 When rewriting the old information stored in the memory to the new information, the old information is saved in another memory, and the new information is written in the memory with the old information saved in another memory. Cost increase can be suppressed by eliminating the need to have both old information and new information in the memory. Further, by saving the old information to another memory, even if it is necessary to write back from the new information to the old information, it is possible to write back using the saved old information. For example, with an external device, it is no longer necessary to sequentially distribute information indicating the difference from the new information managed for each vehicle to the old information, and the management of the old information is not complicated, and the new information is appropriately written back to the old information. be able to.

一実施形態を示す機能ブロック図Functional block diagram showing an embodiment メモリ構成を示す図Diagram showing memory configuration 旧情報、新情報、第1差分情報の関係を示す図Diagram showing the relationship between old information, new information, and first difference information 旧情報、新情報、第2差分情報の関係を示す図Diagram showing the relationship between old information, new information, and second difference information プログラム又はデータの書き換えの態様を示す図(その1)The figure which shows the mode of rewriting of a program or data (the 1) プログラム又はデータの書き換えの態様を示す図(その2)The figure which shows the mode of rewriting of a program or data (the 2) 旧情報から新情報への書き換え処理を示すフローチャート(その1)Flowchart showing rewriting process from old information to new information (Part 1) 旧情報から新情報への書き換え処理を示すフローチャート(その2)Flowchart showing rewriting process from old information to new information (Part 2) 旧情報の退避処理を示すフローチャートFlowchart showing the process of saving old information 新情報の書き込み中の新情報から旧情報への書き換え処理を示すフローチャートFlow chart showing rewriting process from new information to old information while writing new information 新情報の書き込み終了後の新情報から旧情報への書き換え処理を示すフローチャートA flowchart showing the process of rewriting the new information to the old information after the writing of the new information is completed. 新情報の退避処理を示すフローチャートFlowchart showing new information save processing

以下、本発明の一実施形態について図面を参照して説明する。図1に示すように、車両内には複数の電子制御装置1~4と中継装置5と車載通信機6とが搭載されている。電子制御装置1~4は、それぞれ車両内において接続ノードとして機能し、プログラム又はデータを蓄積するメモリを有する。電子制御装置1はメモリ1a,1bを有し、電子制御装置2はメモリ2aを有し、電子制御装置3はメモリ3aを有し、電子制御装置4はメモリ4aを有する。電子制御装置1~4に設けられるメモリの個数や容量は任意である。 Hereinafter, an embodiment of the present invention will be described with reference to the drawings. As shown in FIG. 1, a plurality of electronic control devices 1 to 4, a relay device 5, and an in-vehicle communication device 6 are mounted in the vehicle. The electronic control devices 1 to 4 each function as a connection node in the vehicle and have a memory for storing a program or data. The electronic control device 1 has memories 1a and 1b, the electronic control device 2 has a memory 2a, the electronic control device 3 has a memory 3a, and the electronic control device 4 has a memory 4a. The number and capacity of the memories provided in the electronic control devices 1 to 4 are arbitrary.

中継装置5は、通信バス7を介して電子制御装置1,2と接続され、通信バス8を介して電子制御装置3,4と接続されている。中継装置5は、例えばゲートウェイECUであり、電子制御装置1~4との間でプログラム又はデータを中継する中継機能を有する。 The relay device 5 is connected to the electronic control devices 1 and 2 via the communication bus 7, and is connected to the electronic control devices 3 and 4 via the communication bus 8. The relay device 5 is, for example, a gateway ECU, and has a relay function of relaying a program or data to and from the electronic control devices 1 to 4.

電子制御装置1~4は、例えばエンジンの制御を行うエンジンECU、ブレーキの制御を行うブレーキECU、ステアリングの制御を行うステアリングECU、自動変速機の制御を行うトランスミッションECU、ナビゲーションの制御を行うナビゲーションECU、電子式料金収受システムとの通信制御を行うETCECU、ドアのロック/アンロックの制御を行うドアECU、メータの表示制御を行うメータECU、エアコンの制御を行うエアコンECU、ウィンドウの開閉制御を行うウィンドウECU等である。 The electronic control units 1 to 4 include, for example, an engine ECU that controls an engine, a brake ECU that controls a brake, a steering ECU that controls steering, a transmission ECU that controls an automatic transmission, and a navigation ECU that controls navigation. , ETC ECU that controls communication with the electronic toll collection system, door ECU that controls door lock / unlock, meter ECU that controls meter display, air conditioner ECU that controls air conditioner, and window open / close control. It is a window ECU or the like.

通信バス7,8は、例えばマルチメディア系の通信バス、パワートレイン系の通信バス、ボディ系の通信バス等であり、CAN(Controller Area Network、登録商標)、LIN(Local Interconnect Network)、CXPI(Clock Extension Peripheral Interface、登録商標)、FlexRay(登録商標)、MOST(Media Oriented Systems Transport、登録商標)等から構成されている。通信バス7,8は、通信プロトコルや通信速度や信号フォーマットが共通であっても良いし互いに異なっていても良い。又、電子制御装置の個数や通信バスの本数は例示した構成に限らない。 The communication buses 7 and 8 are, for example, a multimedia communication bus, a power train communication bus, a body communication bus, etc., and are CAN (Controller Area Network, registered trademark), LIN (Local Interconnect Network), CXPI ( It is composed of Clock Extension Peripheral Interface (registered trademark), FlexRay (registered trademark), MOST (Media Oriented Systems Transport, registered trademark) and the like. The communication buses 7 and 8 may have the same communication protocol, communication speed, or signal format, or may be different from each other. Further, the number of electronic control devices and the number of communication buses are not limited to the illustrated configuration.

中継装置5は、車両ボディのコネクタに対して配線ケーブルが装着されたことで車両診断ツール9(外部装置に相当する)と有線接続されると、車両診断ツール9との間でプログラム又はデータを送受信する。車両診断ツール9は、作業者が車両診断を行うために操作するツールである。 When the relay device 5 is wiredly connected to the vehicle diagnostic tool 9 (corresponding to an external device) by attaching a wiring cable to the connector of the vehicle body, a program or data is transmitted to and from the vehicle diagnostic tool 9. Send and receive. The vehicle diagnosis tool 9 is a tool operated by an operator to perform vehicle diagnosis.

又、中継装置5は、車載通信機6との間でプログラム又はデータを送受信する。車載通信機6は、クラウド10(外部装置に相当する)との間で広域通信ネットワークを介して無線接続されると、クラウド10との間でプログラム又はデータを送受信する。クラウド10は、例えばセンタ端末やサーバ等である。車載通信機6は、車両接続端末11(外部装置に相当する)との間で近距離通信ネットワークを介して無線接続されると、車両接続端末11との間でプログラム又はデータを送受信する。車両接続端末11は、例えばユーザが携帯可能なスマートフォンやタブレット端末等である。以下、車両診断ツール9、クラウド10、車両接続端末11を外部装置9~11と総称する。 Further, the relay device 5 transmits / receives a program or data to / from the in-vehicle communication device 6. When the in-vehicle communication device 6 is wirelessly connected to the cloud 10 (corresponding to an external device) via a wide area communication network, the in-vehicle communication device 6 transmits / receives a program or data to / from the cloud 10. The cloud 10 is, for example, a center terminal, a server, or the like. When the in-vehicle communication device 6 is wirelessly connected to the vehicle connection terminal 11 (corresponding to an external device) via a short-range communication network, the in-vehicle communication device 6 transmits / receives a program or data to / from the vehicle connection terminal 11. The vehicle connection terminal 11 is, for example, a smartphone or tablet terminal that can be carried by the user. Hereinafter, the vehicle diagnostic tool 9, the cloud 10, and the vehicle connection terminal 11 are collectively referred to as external devices 9 to 11.

次に、電子制御装置1~4の構成について説明する。尚、電子制御装置1~4は基本的に同じ構成であるので、電子制御装置1を代表して説明する。電子制御装置1は、マイクロコンピュータ(以下、マイコンと称する)12を有し、上記したメモリ1aをマイコン12の内部に有し、メモリ1bをマイコン12の外部に有する。マイコン12は、CPU、RAM、ROM、I/Oポート等を有し、ソフトウェア等により実現される内部の機能として、第1差分情報取得部12aと、旧情報退避部12bと、新情報生成部12cと、新情報書き込み部12dと、第2差分情報取得部12eと、書き戻し要求取得部12fと、実施状態判定部12gと、新情報退避部12hと、旧情報生成部12iと、旧情報書き込み部12jとを有する。 Next, the configurations of the electronic control devices 1 to 4 will be described. Since the electronic control devices 1 to 4 have basically the same configuration, the electronic control device 1 will be described as a representative. The electronic control device 1 has a microcomputer (hereinafter referred to as a microcomputer) 12, has the above-mentioned memory 1a inside the microcomputer 12, and has the memory 1b outside the microcomputer 12. The microcomputer 12 has a CPU, RAM, ROM, I / O port, etc., and has the first difference information acquisition unit 12a, the old information storage unit 12b, and the new information generation unit as internal functions realized by software or the like. 12c, new information writing unit 12d, second difference information acquisition unit 12e, write-back request acquisition unit 12f, implementation state determination unit 12g, new information saving unit 12h, old information generation unit 12i, and old information. It has a writing unit 12j.

図2に示すように、電子制御装置1のメモリ1aは、プログラム又はデータをブロック単位で蓄積する蓄積専用領域13aと、書き換え完了フラグを記憶するフラグ記憶領域13bと、第1差分情報を記憶する記憶領域13cと、第2差分情報を記憶する記憶領域13dと、差分書き換えプログラムを記憶する記憶領域13eと、ブートプログラムを記憶する記憶領域13fとを有する。 As shown in FIG. 2, the memory 1a of the electronic control device 1 stores a storage-only area 13a for storing a program or data in block units, a flag storage area 13b for storing a rewrite completion flag, and a first difference information. It has a storage area 13c, a storage area 13d for storing the second difference information, a storage area 13e for storing the difference rewriting program, and a storage area 13f for storing the boot program.

マイコン12は、駆動電源がオンすると、ブートプログラムを起動し、書き換え完了フラグを参照する。マイコン12は、プログラム又はデータの書き換えが正常に完了しているか否かを書き換え完了フラグにより判定する。マイコン12は、書き換え完了フラグが正常であり、書き換えが正常に完了していると判定すると、蓄積専用領域13aに蓄積されているプログラムのうち車両制御を実施するための制御プログラムを起動する。一方、マイコン12は、書き換え完了フラグが正常でなく、書き換えが正常に完了していないと判定すると、記憶領域13eに記憶されている差分書き換えプログラムを起動する。 When the drive power is turned on, the microcomputer 12 starts the boot program and refers to the rewrite completion flag. The microcomputer 12 determines whether or not the rewriting of the program or data is normally completed by the rewriting completion flag. When the microcomputer 12 determines that the rewrite completion flag is normal and the rewriting is normally completed, the microcomputer 12 activates a control program for executing vehicle control among the programs stored in the storage-only area 13a. On the other hand, when the microcomputer 12 determines that the rewriting completion flag is not normal and the rewriting is not normally completed, the microcomputer 12 activates the differential rewriting program stored in the storage area 13e.

第1差分情報は、図3に示すように、プログラム又はデータに関する旧情報から新情報への差分を示す情報である。第2差分情報は、図4に示すように、プログラム又はデータに関する新情報から旧情報への差分を示す情報である。これら第1差分情報及び第2差分情報は、外部装置9~11から電子制御装置1に送信されるプログラム又はデータのバージョンを当該外部装置9~11が管理することで生成する情報であり、外部装置9~11から電子制御装置1に送信される情報である。 As shown in FIG. 3, the first difference information is information indicating a difference from old information to new information regarding a program or data. As shown in FIG. 4, the second difference information is information showing the difference from the new information to the old information regarding the program or data. The first difference information and the second difference information are information generated by the external devices 9 to 11 managing the version of the program or data transmitted from the external devices 9 to 11 to the electronic control device 1, and are external. This is information transmitted from the devices 9 to 11 to the electronic control device 1.

図5に示すように、現在のバージョンがバージョン1であれば、バージョン1から次世代のバージョン2にアップデートするときの差分を示す情報が第1差分情報である。又、バージョン1から次世代のバージョン2にアップデートした後に、バージョン2から前世代のバージョン1にダウングレードするときの差分を示す情報が第2差分情報である。即ち、バージョンが2世代の場合であれば、第1差分情報は1つであり、第2差分情報も1つである。一方、図6に示すように、現在のバージョンがバージョン2であれば、バージョン2から次世代のバージョン3にアップデートするときの差分を示す情報が第1差分情報である。又、バージョン2から次世代のバージョン3にアップデートした後に、バージョン3から前世代のバージョン2にダウングレードするときの差分を示す情報が第2差分情報であり、更にバーション3からバージョン2よりも前世代のバージョン1にダウングレードするときの差分を示す情報も第2差分情報である。即ち、バージョンが3世代の場合であれば、第1差分情報は1つであるが、第2差分情報は2つである。このように第1差分情報は世代数に関係なく1つであるが、第2差分情報は世代数に応じて複数となり得る。 As shown in FIG. 5, if the current version is version 1, the information indicating the difference when updating from version 1 to the next-generation version 2 is the first difference information. Further, the information indicating the difference when downgrading from version 2 to the previous generation version 1 after updating from version 1 to the next generation version 2 is the second difference information. That is, if the version is two generations, the first difference information is one and the second difference information is also one. On the other hand, as shown in FIG. 6, if the current version is version 2, the information indicating the difference when updating from version 2 to the next-generation version 3 is the first difference information. Further, the information indicating the difference when downgrading from version 3 to the previous generation version 2 after updating from version 2 to the next generation version 3 is the second difference information, and further, the information indicating the difference from version 3 to version 2 is higher than that of version 2. The information indicating the difference when downgrading to version 1 of the previous generation is also the second difference information. That is, if the version is the third generation, the first difference information is one, but the second difference information is two. As described above, the first difference information is one regardless of the number of generations, but the second difference information can be plural depending on the number of generations.

第1差分情報取得部12aは、外部装置9~11から送信された第1差分情報が電子制御装置1に受信されることで第1差分情報を取得する。旧情報退避部12bは、メモリ1aに蓄積されている旧情報を、メモリ1aとは別の予め設定されているメモリにブロック単位で退避させる。メモリ1aに蓄積されている旧情報の退避先のメモリは、同一接続ノード内のメモリ1b、別の接続ノード内のメモリ2a,3a,4a、外部装置9~11のメモリの何れであっても良く、予め1つが設定されていても良いし複数が設定されていても良い。又、旧情報退避部12bは、退避対象の旧情報が冗長を必要としなければ、その退避対象の旧情報を1つの退避先に退避させ、一方、退避対象の旧情報が冗長を必要とすれば、その退避対象の旧情報を複数の退避先に退避させる。 The first difference information acquisition unit 12a acquires the first difference information by receiving the first difference information transmitted from the external devices 9 to 11 to the electronic control device 1. The old information saving unit 12b saves the old information stored in the memory 1a to a preset memory different from the memory 1a in block units. The memory of the save destination of the old information stored in the memory 1a may be the memory 1b in the same connection node, the memories 2a, 3a, 4a in another connection node, or the memory of the external devices 9 to 11. At best, one may be set in advance, or a plurality of may be set in advance. Further, the old information saving unit 12b saves the old information of the saving target to one saving destination if the old information of the saving target does not require redundancy, while the old information of the saving target needs redundancy. If so, the old information of the evacuation target is evacuated to a plurality of evacuation destinations.

新情報生成部12cは、別のメモリに退避された旧情報と第1差分情報とから新情報を生成する。新情報書き込み部12dは、メモリ1aに蓄積されている旧情報が別のメモリに退避された状態で新情報をメモリ1aに書き込み、新情報の書き込みを終了すると、退避先のメモリに退避されていた旧情報を消去する。 The new information generation unit 12c generates new information from the old information saved in another memory and the first difference information. The new information writing unit 12d writes the new information to the memory 1a in a state where the old information stored in the memory 1a is saved in another memory, and when the writing of the new information is completed, the new information writing unit 12d is saved in the save destination memory. Delete the old information.

第2差分情報取得部12eは、外部装置9~11から送信された第2差分情報が電子制御装置1に受信されることで第2差分情報を取得する。書き戻し要求取得部12fは、外部装置9~11から送信された書き戻し要求が電子制御装置1に受信されることで書き戻し要求を取得する。実施状態判定部12gは、メモリ1aに書き込み中又は書き込まれた新情報による車両制御の実施状態を判定する。 The second difference information acquisition unit 12e acquires the second difference information by receiving the second difference information transmitted from the external devices 9 to 11 to the electronic control device 1. The write-back request acquisition unit 12f acquires the write-back request when the write-back request transmitted from the external devices 9 to 11 is received by the electronic control device 1. The implementation state determination unit 12g determines the implementation status of vehicle control based on the new information being written or written in the memory 1a.

新情報退避部12hは、新情報のメモリ1aへの書き込み中又は書き込みが終了すると、メモリ1aに書き込み中又は書き込まれた新情報を旧情報に書き戻す条件が成立したか否かを判定する。新情報退避部12hは、外部装置9~11から送信された書き戻し要求が電子制御装置1に受信されたことで書き戻し要求が取得されると、又はメモリ1aに書き込み中又は書き込まれた新情報による車両制御の実施状態が正常でないと判定されると、書き戻す条件が成立したと判定し、メモリ1aに蓄積されている新情報を、メモリ1aとは別の予め設定されているメモリに退避させる。メモリ1aに蓄積されている新情報の退避先のメモリも、同一接続ノード内のメモリ1b、別の接続ノード内のメモリ2a,3a,4a、外部装置9~11のメモリの何れであっても良く、予め1つが設定されていても良いし複数が設定されていても良い。又、新情報退避部12hは、退避対象の新情報が冗長を必要としなければ、その退避対象の新情報を1つの退避先に退避させ、一方、退避対象の新情報が冗長を必要とすれば、その退避対象の新情報を複数の退避先に退避させる。 The new information saving unit 12h determines whether or not the condition for writing back the new information being written or written to the memory 1a to the old information is satisfied when the new information is being written to the memory 1a or the writing is completed. When the write-back request transmitted from the external devices 9 to 11 is received by the electronic control device 1 and the write-back request is acquired, the new information saving unit 12h is writing or writing to the memory 1a. When it is determined that the execution state of the vehicle control based on the information is not normal, it is determined that the condition for writing back is satisfied, and the new information stored in the memory 1a is transferred to a preset memory different from the memory 1a. Evacuate. The memory to save the new information stored in the memory 1a may be the memory 1b in the same connection node, the memories 2a, 3a, 4a in another connection node, or the memory of the external devices 9 to 11. At best, one may be set in advance, or a plurality of may be set in advance. Further, if the new information to be saved does not require redundancy, the new information saving unit 12h saves the new information to be saved to one save destination, while the new information to be saved needs redundancy. If so, the new information to be evacuated is evacuated to a plurality of evacuation destinations.

旧情報生成部12iは、別のメモリに退避された新情報と第2差分情報とから旧情報を生成する。旧情報書き込み部12jは、メモリ1aに蓄積されている新情報が別のメモリに退避された状態で、旧情報をメモリ1aに書き込み、旧情報の書き込みを終了すると、退避先のメモリに退避されていた新情報を消去する。 The old information generation unit 12i generates old information from the new information saved in another memory and the second difference information. The old information writing unit 12j writes the old information to the memory 1a in a state where the new information stored in the memory 1a is saved in another memory, and when the writing of the old information is completed, the old information writing unit 12j is saved in the save destination memory. Erase the new information that was there.

次に、上記した構成の作用について図7から図12を参照して説明する。ここでは、旧情報から新情報への書き換え処理、新情報から旧情報への書き換え処理について説明する。 Next, the operation of the above configuration will be described with reference to FIGS. 7 to 12. Here, the rewriting process from the old information to the new information and the rewriting process from the new information to the old information will be described.

(1)旧情報から新情報への書き換え処理
電子制御装置1において、マイコン12は、電子制御装置1への供給電源のオンを待機しており、電子制御装置1への供給電源がオンしたと判定すると(S1)、書き換え完了フラグを判定する(S2)。マイコン12は、書き換え完了フラグが正常であると判定し、書き換えが正常に完了していると判定すると(S2:YES)、蓄積専用領域13aに蓄積されているプログラムのうち制御プログラムを起動する(S3)。一方、マイコン2は、書き換え完了フラグが正常でないと判定し、書き換えが正常に完了していないと判定すると(S2:NO)、旧情報から新情報への書き換え処理を開始し、記憶領域13eに記憶されている差分書き換えプログラムを起動する(S4)。 (1) Rewriting process from old information to new information In the electronic control device 1, the microcomputer 12 is waiting for the power supply to the electronic control device 1 to be turned on, and the power supply to the electronic control device 1 is turned on. When it is determined (S1), the rewrite completion flag is determined (S2). When the microcomputer 12 determines that the rewrite completion flag is normal and determines that the rewrite is normally completed (S2: YES), the microcomputer 12 activates the control program among the programs stored in the storage-only area 13a (S2: YES). S3). On the other hand, when the microcomputer 2 determines that the rewrite completion flag is not normal and determines that the rewrite is not completed normally (S2: NO), the microcomputer 2 starts the rewriting process from the old information to the new information and stores the storage area 13e. The stored difference rewriting program is started (S4).

マイコン12は、制御プログラム及び書き換えプログラムのうち何れかを起動すると、外部装置9~11からの書き換え時の認証要求を取得したか否かを判定する(S5)。マイコン12は、書き換え時の認証要求を取得したと判定すると(S5:YES)、書き換えの認証が成立したか否かを判定する(S6)。マイコン12は、書き換え時の認証要求の送信先が正規の外部装置9~11であると判定し、書き換えの認証が成立したと判定すると(S6:YES)、これよりも先に起動したプログラムが制御プログラム及び差分書き換え用プログラムの何れであるかを判定する(S7)。マイコン12は、制御プログラムを起動したと判定すると(S7:YES)、旧情報の退避処理に移行する(S8)。一方、マイコン12は、差分書き換え用プログラムを起動したと判定すると(S7:NO)、旧情報の退避処理に移行しない。 When any one of the control program and the rewriting program is started, the microcomputer 12 determines whether or not the authentication request at the time of rewriting from the external devices 9 to 11 has been acquired (S5). When the microcomputer 12 determines that the rewriting authentication request has been acquired (S5: YES), the microcomputer 12 determines whether or not the rewriting authentication has been established (S6). When the microcomputer 12 determines that the destination of the authentication request at the time of rewriting is a legitimate external device 9 to 11 and determines that the rewrite authentication is established (S6: YES), the program started earlier than this is determined. It is determined whether it is a control program or a difference rewriting program (S7). When the microcomputer 12 determines that the control program has been started (S7: YES), the microcomputer 12 shifts to the saving process of the old information (S8). On the other hand, when it is determined that the difference rewriting program has been started (S7: NO), the microcomputer 12 does not shift to the saving process of the old information.

マイコン12は、旧情報の退避処理を開始すると、退避対象の旧情報が冗長を必要とするか否かを判定する(S21)。マイコン12は、退避対象のプログラム又はデータが例えば鍵情報のセキュリティに関連する情報であれば、冗長を必要とすると判定し(S21:YES)、その退避対象の旧情報を複数の退避先に退避させる(S22)。マイコン12は、複数の全ての退避先への退避を終了したか否かを判定し(S23)、複数の全ての退避先への退避を終了したと判定すると(S23:YES)、退避対象の全ての旧情報の退避を終了したか否かを判定する(S24)。一方、マイコン12は、退避対象のプログラム又はデータが例えば鍵情報のセキュリティに関連する情報でなければ、冗長を必要としないと判定し(S21:NO)、その退避対象の旧情報を1つの退避先に退避させ(S25)、退避対象の全ての旧情報の退避を終了したか否かを判定する(S24)。 When the microcomputer 12 starts the saving process of the old information, it determines whether or not the old information to be saved requires redundancy (S21). If the program or data to be saved is, for example, information related to the security of key information, the microcomputer 12 determines that redundancy is required (S21: YES), and saves the old information to be saved to a plurality of save destinations. (S22). When the microcomputer 12 determines whether or not the evacuation to all the plurality of evacuation destinations has been completed (S23) and determines that the evacuation to all the plurality of evacuation destinations has been completed (S23: YES), the evacuation target It is determined whether or not the evacuation of all the old information has been completed (S24). On the other hand, the microcomputer 12 determines that redundancy is not required unless the program or data to be saved is information related to the security of key information (S21: NO), and saves the old information to be saved. It is evacuated first (S25), and it is determined whether or not all the old information to be evacuated has been evacuated (S24).

マイコン12は、避難対象の全ての旧情報の退避を終了していないと判定すると(S24:NO)、上記したステップS21に戻り、ステップS21~S25を繰り返す。マイコン12は、退避対象の全ての旧情報の退避を終了したと判定すると(S24:YES)、旧情報の退避処理を終了する。 When the microcomputer 12 determines that the evacuation of all the old information to be evacuated has not been completed (S24: NO), the microcomputer 12 returns to the above-mentioned step S21 and repeats steps S21 to S25. When the microcomputer 12 determines that the evacuation of all the old information to be saved has been completed (S24: YES), the microcomputer 12 ends the evacuation process of the old information.

マイコン12は、旧情報から新情報への書き換え処理に戻ると、メモリ1aに残っている旧情報を消去し(S9)、外部装置9~11から第1差分情報を取得したか否かを判定する(S10)。マイコン12は、外部装置9~11から送信された第1差分情報が電子制御装置1に受信されたことで第1差分情報を取得したと判定すると(S10:YES)、その取得した第1差分情報をメモリ1aに書き込む(S11)。 When the microcomputer 12 returns to the process of rewriting the old information to the new information, the microcomputer 12 erases the old information remaining in the memory 1a (S9), and determines whether or not the first difference information has been acquired from the external devices 9 to 11. (S10). When the microcomputer 12 determines that the first difference information has been acquired by receiving the first difference information transmitted from the external devices 9 to 11 to the electronic control device 1 (S10: YES), the acquired first difference information Information is written to the memory 1a (S11).

マイコン12は、外部装置9~11から第2差分情報を取得したか否かを判定する(S12)。マイコン12は、外部装置9~11から送信された第2差分情報が電子制御装置1に受信されたことで第2差分情報を取得したと判定すると(S12:YES)、その取得した第2差分情報をメモリ1aに書き込む(S13)。 The microcomputer 12 determines whether or not the second difference information has been acquired from the external devices 9 to 11 (S12). When the microcomputer 12 determines that the second difference information has been acquired by receiving the second difference information transmitted from the external devices 9 to 11 to the electronic control device 1 (S12: YES), the acquired second difference information Information is written to the memory 1a (S13).

マイコン12は、旧情報の退避先から旧情報を読み出し、その読み出した旧情報とメモリ1aに書き込んだ第1差分情報とから新情報を生成する(S14)。マイコン12は、新情報を生成すると、その生成した新情報をブロック単位でメモリ1aに書き込み(S15)、書き込み対象の全ての新情報の書き込みを終了したか否かを判定する(S16)。マイコン12は、書き込み対象の全ての新情報の書き込みを終了していないと判定すると(S16:NO)、上記したステップS10に戻り、ステップS10~S16を繰り返す。即ち、マイコン12は、外部装置9~11から第1差分情報及び第2差分情報を取得しながら書き込み対象の新情報を書き込む。マイコン12は、書き込み対象の全ての新情報の書き込みを終了したと判定すると(S16:YES)、消去要求を旧情報の退避先に送信し(S17)、退避先に退避させていた旧情報を消去し、旧情報から新情報への書き換え処理を終了する。 The microcomputer 12 reads the old information from the save destination of the old information, and generates new information from the read old information and the first difference information written in the memory 1a (S14). When the microcomputer 12 generates new information, the generated new information is written to the memory 1a in block units (S15), and it is determined whether or not all the new information to be written has been written (S16). When the microcomputer 12 determines that the writing of all the new information to be written has not been completed (S16: NO), the microcomputer 12 returns to the above-mentioned step S10 and repeats steps S10 to S16. That is, the microcomputer 12 writes the new information to be written while acquiring the first difference information and the second difference information from the external devices 9 to 11. When the microcomputer 12 determines that the writing of all the new information to be written has been completed (S16: YES), the microcomputer 12 transmits an erasure request to the save destination of the old information (S17), and saves the old information to the save destination. Erase and end the rewriting process from old information to new information.

このように、マイコン12は、内部のメモリ1aに蓄積されている旧情報を新情報に書き換える場合には、旧情報をメモリ1aとは別の車両内の接続ノード又は外部装置9~11のメモリに退避させる。そして、マイコン12は、その退避させた旧情報と外部装置9~11から取得した第1差分情報とから新情報を生成し、その生成した新情報をメモリ1aに書き込む。 In this way, when the microcomputer 12 rewrites the old information stored in the internal memory 1a into new information, the microcomputer 12 replaces the old information with the memory of the connection node in the vehicle or the memory of the external devices 9 to 11 different from the memory 1a. Evacuate to. Then, the microcomputer 12 generates new information from the saved old information and the first difference information acquired from the external devices 9 to 11, and writes the generated new information in the memory 1a.

尚、以上は、外部装置9~11から第1差分情報及び第2差分情報を取得しながら書き込み対象の新情報を書き込む構成を例示したが、外部装置9~11からの第1差分情報及び第2差分情報の取得を終了後に書き込み対象の新情報を書き込む構成でも良い。又、新情報を生成する前に第2差分情報を取得する構成を例示したが、書き込み対象の全ての新情報の書き込みを終了したと判定した後に第2差分情報を取得しても良い。更には、後述する旧情報から新情報への書き換え処理において第2差分情報を取得しても良い。 The above is an example of a configuration in which new information to be written is written while acquiring the first difference information and the second difference information from the external devices 9 to 11, but the first difference information and the first difference information from the external devices 9 to 11 are described. 2 The new information to be written may be written after the acquisition of the difference information is completed. Further, although the configuration for acquiring the second difference information before generating the new information is illustrated, the second difference information may be acquired after it is determined that the writing of all the new information to be written is completed. Further, the second difference information may be acquired in the rewriting process from the old information to the new information, which will be described later.

(2)新情報から旧情報への書き換え処理
マイコン12は、電子制御装置1への供給電源がオンし、旧情報から新情報への書き換え処理を開始するが、新情報の書き込み中に旧情報から新情報への書き換え処理を開始する場合と、新情報の書き込み終了後に旧情報から新情報への書き換え処理を開始する場合とがある。以下、新情報の書き込み中での新情報から旧情報への書き換え処理、新情報の書き込み終了後での新情報から旧情報への書き換え処理について説明する。 (2) Rewriting process from new information to old information The microcomputer 12 starts the rewriting process from old information to new information when the power supply to the electronic control device 1 is turned on, but the old information is being written while the new information is being written. There are cases where the rewriting process from the old information to the new information is started, and there are cases where the rewriting process from the old information to the new information is started after the writing of the new information is completed. Hereinafter, the process of rewriting the new information to the old information during the writing of the new information and the process of rewriting the new information to the old information after the writing of the new information is completed will be described.

(2-1)新情報の書き込み中での新情報から旧情報への書き換え処理
マイコン12は、電子制御装置1への供給電源がオンしたときに新情報の書き込み中において(S31)、書き込み中の新情報を旧情報に書き戻す条件が成立した否かを判定する(S32)。マイコン12は、外部装置9~11から書き戻し要求を取得した、又はメモリ1aに書き込み中に、書き戻す条件が成立したと判定すると(S32:YES)、新情報の書き込みの終了を待機し(S33)、新情報の書き込みが終了したと判定すると(S33:YES)、新情報から旧情報への書き換え処理を開始し、新情報の退避処理に移行する(S34)。 (2-1) Rewriting process from new information to old information while writing new information The microcomputer 12 is writing new information when the power supply to the electronic control device 1 is turned on (S31). It is determined whether or not the condition for writing back the new information of the above to the old information is satisfied (S32). When the microcomputer 12 determines that the write-back condition is satisfied while acquiring the write-back request from the external devices 9 to 11 or writing to the memory 1a (S32: YES), the microcomputer 12 waits for the end of writing the new information (S32: YES). S33), when it is determined that the writing of the new information is completed (S33: YES), the process of rewriting the new information to the old information is started, and the process shifts to the process of saving the new information (S34).

マイコン12は、新情報の退避処理を開始すると、退避対象の新情報が冗長を必要とするか否かを判定する(S51)。マイコン12は、退避対象のプログラム又はデータが例えば鍵情報のセキュリティに関連する情報であれば、冗長を必要とすると判定し(S51:YES)、その退避対象の新情報を複数の退避先に退避させる(S52)。マイコン12は、複数の全ての退避先への退避を終了したか否かを判定し(S53)、複数の全ての退避先への退避を終了したと判定すると(S53:YES)、退避対象の全ての新情報の退避を終了したか否かを判定する(S54)。一方、マイコン12は、退避対象のプログラム又はデータが例えば鍵情報のセキュリティに関連する情報でなければ、冗長を必要としないと判定し(S51:NO)、その退避対象の新情報を1つの退避先に退避させ(S55)、退避対象の全ての新情報の退避を終了したか否かを判定する(S54)。 When the new information save process is started, the microcomputer 12 determines whether or not the new information to be saved requires redundancy (S51). If the program or data to be saved is information related to the security of key information, for example, the microcomputer 12 determines that redundancy is required (S51: YES), and saves the new information to be saved to a plurality of save destinations. (S52). When the microcomputer 12 determines whether or not the evacuation to all the plurality of evacuation destinations has been completed (S53) and determines that the evacuation to all the plurality of evacuation destinations has been completed (S53: YES), the evacuation target It is determined whether or not the evacuation of all new information has been completed (S54). On the other hand, the microcomputer 12 determines that redundancy is not required unless the program or data to be evacuated is, for example, information related to the security of key information (S51: NO), and saves one new information to be evacuated. It is evacuated first (S55), and it is determined whether or not all the new information to be evacuated has been evacuated (S54).

マイコン12は、避難対象の全ての新情報の退避を終了していないと判定すると(S54:NO)、上記したステップS51に戻り、ステップS51~S55を繰り返す。マイコン12は、退避対象の全ての新情報の退避を終了したと判定すると(S54:YES)、新情報の退避処理を終了する。 When the microcomputer 12 determines that the evacuation of all new information to be evacuated has not been completed (S54: NO), the microcomputer 12 returns to the above-mentioned step S51 and repeats steps S51 to S55. When the microcomputer 12 determines that the evacuation of all the new information to be saved has been completed (S54: YES), the microcomputer 12 ends the evacuation process of the new information.

マイコン12は、新情報から旧情報への書き換え処理に戻ると、メモリ1aに残っている新情報を消去し(S35)、新情報の退避先から新情報を読み出し、その読み出した新情報とメモリ1aに書き込んでおいた第2差分情報とから旧情報を生成する(S36)。マイコン12は、旧情報を生成すると、その生成した旧情報をブロック単位でメモリ1aに書き込み(S37)、書き込み対象の全ての旧情報の書き込みを終了したか否かを判定する(S38)。マイコン12は、書き込み対象の全ての旧情報の書き込みを終了していないと判定すると(S38:NO)、上記したステップS36に戻り、ステップS36~S38を繰り返す。マイコン12は、書き込み対象の全ての旧情報の書き込みを終了したと判定すると(S38:YES)、消去要求を新情報の退避先に送信し(S39)、退避先に退避させていた新情報を消去し、新情報から旧情報への書き換え処理を終了する。 When the microcomputer 12 returns to the process of rewriting the new information to the old information, the new information remaining in the memory 1a is erased (S35), the new information is read from the new information save destination, and the read new information and the memory are read. Old information is generated from the second difference information written in 1a (S36). When the old information is generated, the microcomputer 12 writes the generated old information to the memory 1a in block units (S37), and determines whether or not all the old information to be written has been written (S38). When the microcomputer 12 determines that the writing of all the old information to be written has not been completed (S38: NO), the microcomputer 12 returns to the above-mentioned step S36 and repeats steps S36 to S38. When the microcomputer 12 determines that the writing of all the old information to be written has been completed (S38: YES), the microcomputer 12 transmits an erasure request to the new information save destination (S39), and saves the new information to the save destination. Erase and end the rewriting process from new information to old information.

(2-2)新情報の書き込み終了後での新情報から旧情報への書き換え処理
マイコン12は、新情報の書き込み終了後に電子制御装置1への供給電源がオンした状態において(S41)、書き込み終了後の新情報を旧情報に書き戻す条件が成立した否かを判定する(S42)。マイコン12は、書き戻す条件が成立したと判定すると(S42:YES)、新情報から旧情報への書き換え処理を開始し、新情報の退避処理に移行する(S43)。これ以降、マイコン12は、新情報の退避処理を開始し、新情報の退避処理を終了すると、上記したステップS35~S39と同様にステップS44~S48を行う。 (2-2) Rewriting process from new information to old information after the writing of new information is completed The microcomputer 12 writes in the state where the power supply to the electronic control device 1 is turned on after the writing of the new information is completed (S41). It is determined whether or not the condition for writing back the new information after the end to the old information is satisfied (S42). When the microcomputer 12 determines that the condition for writing back is satisfied (S42: YES), the microcomputer 12 starts the rewriting process from the new information to the old information, and shifts to the saving process of the new information (S43). After that, the microcomputer 12 starts the new information saving process, and when the new information saving process is completed, the microcomputer 12 performs steps S44 to S48 in the same manner as the above steps S35 to S39.

このように、マイコン12は、内部のメモリ1aに蓄積されている新情報を旧情報に書き換える場合には、新情報をメモリ1aとは別の車両内の接続ノード又は外部装置9~11のメモリに退避させる。そして、マイコン12は、その退避させた新情報と外部装置9~11から取得した第2差分情報とから旧情報を生成し、その生成した旧情報をメモリ1aに書き込む。 In this way, when the microcomputer 12 rewrites the new information stored in the internal memory 1a to the old information, the microcomputer 12 rewrites the new information in the memory of the connection node in the vehicle or the memory of the external devices 9 to 11 different from the memory 1a. Evacuate to. Then, the microcomputer 12 generates old information from the saved new information and the second difference information acquired from the external devices 9 to 11, and writes the generated old information in the memory 1a.

尚、以上は、マイコン12の内部のメモリ1aに蓄積されているプログラム又はデータを書き換える場合を説明したが、マイコン12の外部のメモリ1bに蓄積されているプログラム又はデータを書き換える場合も同様である。即ち、マイコン12は、外部のメモリ1bに蓄積されているプログラム又はデータに対する書き換えを、内部のメモリ1aに蓄積されているプログラム又はデータに対する書き換えと同様の手順にしたがって行う。 Although the case of rewriting the program or data stored in the memory 1a inside the microcomputer 12 has been described above, the same applies to the case of rewriting the program or data stored in the memory 1b outside the microcomputer 12. .. That is, the microcomputer 12 rewrites the program or data stored in the external memory 1b according to the same procedure as the rewriting of the program or data stored in the internal memory 1a.

以上に説明したように本実施形態によれば、次に示す効果を得ることができる。
電子制御装置1において、メモリ1aに蓄積されている旧情報を新情報に書き換える場合に、旧情報をメモリ1aとは別のメモリに退避させ、旧情報を別のメモリに退避させた状態で新情報をメモリ1aに書き込むようにした。メモリ1aに旧情報と新情報とを2面持ちする必要をなくすことで、コストアップを抑えることができる。又、旧情報を別のメモリに退避させたことで、新情報から旧情報への書き戻しが必要となった場合でも、その退避させた旧情報を使用して書き戻すことができる。外部装置9~11では車両毎に管理された新情報から旧情報への差分を示す情報を逐次配信する必要がなくなり、外部装置9~11での旧情報の管理が煩雑になることなく、新情報から旧情報に適切に書き戻すことができる。 As described above, according to the present embodiment, the following effects can be obtained.
In the electronic control device 1, when the old information stored in the memory 1a is rewritten to the new information, the old information is saved in a memory different from the memory 1a, and the old information is saved in another memory. Information is written to the memory 1a. By eliminating the need to have the old information and the new information on the memory 1a on two sides, it is possible to suppress the cost increase. Further, by saving the old information to another memory, even if it is necessary to write back from the new information to the old information, it is possible to write back using the saved old information. With the external devices 9 to 11, it is no longer necessary to sequentially distribute information indicating the difference from the new information managed for each vehicle to the old information, and the management of the old information with the external devices 9 to 11 is not complicated. You can properly write back from information to old information.

又、電子制御装置1において、新情報のメモリ1aへの書き込みを終了すると、別のメモリに退避させておいた旧情報を消去するようにした。旧情報の退避先とした別のメモリの資産を新情報の書き込み終了後において他の処理用途に有効に割り当てることができる。 Further, when the writing of the new information to the memory 1a is completed in the electronic control device 1, the old information saved in another memory is erased. The asset of another memory used as the save destination of the old information can be effectively allocated to other processing purposes after the writing of the new information is completed.

又、電子制御装置1において、新情報のメモリ1aへの書き込み中に書き戻す条件が成立すると、新情報のメモリ1aへの書き込み終了後に、新情報をメモリ1aとは別のメモリに退避させ、新情報を別のメモリに退避させた状態で旧情報をメモリ1aに書き込むようにした。又、電子制御装置1において、新情報のメモリ1aへの書き込み終了後に書き戻す条件が成立すると、この場合も、新情報をメモリ1aとは別のメモリに退避させ、新情報を別のメモリに退避させた状態で旧情報をメモリ1aに書き込むようにした。新情報の不備や既存のプログラム又はデータとの親和性の不具合等により車両制御を新情報により実施することができなくとも、新情報から旧情報に書き戻すことで、車両制御を旧情報により実施することができ、車両制御が不能となる事態の発生を未然に回避することができる。 Further, in the electronic control device 1, when the condition for writing back the new information to the memory 1a is satisfied, the new information is saved in a memory different from the memory 1a after the writing of the new information to the memory 1a is completed. The old information is written to the memory 1a with the new information saved in another memory. Further, when the condition for writing back the new information to the memory 1a is satisfied in the electronic control device 1, also in this case, the new information is saved in a memory different from the memory 1a and the new information is stored in another memory. The old information is written to the memory 1a in the saved state. Even if vehicle control cannot be performed with the new information due to inadequate new information or incompatibility with existing programs or data, vehicle control can be performed with the old information by writing back from the new information to the old information. It is possible to avoid the occurrence of a situation in which vehicle control becomes impossible.

又、電子制御装置1において、外部装置9~11から書き戻し要求が取得されたことを書き戻す条件とした。例えばユーザが車両診断ツール9や車両接続端末11を操作する等により、新情報から旧情報に手動で書き戻すことができる。 Further, in the electronic control device 1, it was set as a condition for writing back that the write-back request was acquired from the external devices 9 to 11. For example, the user can manually write back the new information to the old information by operating the vehicle diagnostic tool 9 or the vehicle connection terminal 11.

又、電子制御装置1において、新情報による車両制御の実施状態が正常でないと判定されたことを書き戻す条件とした。新情報による車両制御の実施状態が正常でないと判定されることで、例えばユーザが車両診断ツール9や車両接続端末11を操作する等しなくとも、新情報から旧情報に自動的に書き戻すことができる。 Further, in the electronic control device 1, it is set as a condition to write back that it is determined that the execution state of the vehicle control based on the new information is not normal. By determining that the vehicle control implementation status based on the new information is not normal, for example, the new information is automatically rewritten to the old information without the user having to operate the vehicle diagnostic tool 9 or the vehicle connection terminal 11. Can be done.

又、電子制御装置1において、旧情報のメモリ1aへの書き込みを終了すると、別のメモリに退避させておいた新情報を消去するようにした。新情報の退避先とした別のメモリの資産を旧情報の書き込み終了後において他の処理用途に有効に割り当てることができる。 Further, in the electronic control device 1, when the writing of the old information to the memory 1a is completed, the new information saved in another memory is erased. The asset of another memory used as the save destination of the new information can be effectively allocated to other processing purposes after the writing of the old information is completed.

又、電子制御装置1において、複数の世代毎の第2差分情報を外部装置9~11から取得するようにした。ユーザや車両システムの要求に応じて任意の世代の旧情報に書き戻すことができ、様々なユースケースに柔軟に対応した車両制御を実現することができる。 Further, in the electronic control device 1, the second difference information for each of a plurality of generations is acquired from the external devices 9 to 11. It is possible to write back the old information of any generation according to the request of the user or the vehicle system, and it is possible to realize the vehicle control flexibly corresponding to various use cases.

本開示は、実施例に準拠して記述されたが、当該実施例や構造に限定されるものではないと理解される。本開示は、様々な変形例や均等範囲内の変形をも包含する。加えて、様々な組み合わせや形態、更には、それらに一要素のみ、それ以上、或いはそれ以下を含む他の組み合わせや形態をも、本開示の範疇や思想範囲に入るものである。 The present disclosure has been described in accordance with the examples, but it is understood that the present disclosure is not limited to the examples and structures. The present disclosure also includes various variations and variations within a uniform range. In addition, various combinations and forms, as well as other combinations and forms containing only one element, more or less, are also within the scope of the present disclosure.

新情報から旧情報に書き戻す場合に何れの世代のバージョンにダウングレードするかを、電子制御装置1及び外部装置9~11の何れで決定しても良く、即ち、第2差分情報の受信側及び送信側の何れで決定しても良い。 Either the electronic control device 1 or the external devices 9 to 11 may determine which generation version to downgrade to when writing back from the new information to the old information, that is, the receiving side of the second difference information. And either of the transmitting side may decide.

外部装置9~11との間で送受信されるプログラム又はデータを対象とする構成を例示したが、車両ネットワーク内で送受信されるプログラム又はデータを対象としても良い。即ち、車両内のみで扱うプログラム又はデータを書き換える場合に適用しても良い。又、第1差分要求、第2差分情報、書き戻し要求を車両ネットワークから取得する構成でも良い。 Although the configuration for targeting the program or data transmitted / received between the external devices 9 to 11 is illustrated, the program or data transmitted / received within the vehicle network may be targeted. That is, it may be applied when rewriting a program or data handled only in the vehicle. Further, the first difference request, the second difference information, and the write-back request may be acquired from the vehicle network.

図面中、1~4は電子制御装置、1a,1b,2a,3a,4aはメモリ,7,8は通信バス(車両ネットワーク)、9は車両診断ツール(外部装置)、10はクラウド(外部装置)、11は車両接続端末(外部装置)、12aは第1差分情報取得部、12bは旧情報退避部、12cは新情報生成部、12dは新情報書き込み部、12eは第2差分情報取得部、12fは書き戻し要求取得部、12gは実施状態判定部、12hは新情報退避部、12iは旧情報生成部、12jは旧情報書き込み部である。 In the drawings, 1 to 4 are electronic control devices, 1a, 1b, 2a, 3a, 4a are memories, 7 and 8 are communication buses (vehicle network), 9 are vehicle diagnostic tools (external devices), and 10 are clouds (external devices). ), 11 is a vehicle connection terminal (external device), 12a is a first difference information acquisition unit, 12b is an old information storage unit, 12c is a new information generation unit, 12d is a new information writing unit, and 12e is a second difference information acquisition unit. , 12f is a write-back request acquisition unit, 12g is an implementation state determination unit, 12h is a new information storage unit, 12i is an old information generation unit, and 12j is an old information writing unit.

Claims (7)

外部装置(9~11)との間や車両ネットワーク(7,8)内で送受信されるプログラム又はデータを蓄積するメモリ(1a)と、
プログラム又はデータに関する旧情報から新情報への差分を示す第1差分情報を前記外部装置や前記車両ネットワークから取得する第1差分情報取得部(12a)と、
前記メモリに蓄積されている旧情報を、当該メモリとは別であって自装置の一つ以上のメモリ(1b)、前記車両ネットワークを介して自装置と接続されている別装置の一つ以上のメモリ(2a,3a,4a)、又は前記外部装置のメモリのうち少なくとも何れか一つに退避させる旧情報退避部(12b)と、
前記別のメモリに退避された旧情報と前記第1差分情報とから新情報を生成する新情報生成部(12c)と、
前記メモリに蓄積されていた旧情報が前記別のメモリに退避された状態で新情報を前記メモリに書き込む新情報書き込み部(12d)と、
プログラム又はデータに関する新情報から旧情報への差分を示す第2差分情報を前記外部装置や前記車両ネットワークから取得する第2差分情報取得部(12e)と、
新情報の前記メモリへの書き込み中に、当該メモリに書き込み中の新情報を旧情報に書き戻す条件が成立すると、新情報の前記メモリへの書き込み終了後に、前記メモリに蓄積されている新情報を、当該メモリとは別の一つ以上のメモリに退避させる新情報退避部(12h)と、
前記別のメモリに退避された新情報と前記第2差分情報とから旧情報を生成する旧情報生成部(12i)と、
前記メモリに蓄積されていた新情報が前記別のメモリに退避された状態で、旧情報を前記メモリに書き込む旧情報書き込み部(12j)と、を備えた電子制御装置。 A memory (1a) that stores programs or data transmitted / received between external devices (9 to 11) and in the vehicle network (7, 8).
The first difference information acquisition unit (12a) that acquires the first difference information indicating the difference from the old information to the new information regarding the program or data from the external device or the vehicle network.
The old information stored in the memory is different from the memory and is one or more memories (1b) of the own device, and one or more of another device connected to the own device via the vehicle network. (2a, 3a, 4a), or the old information saving unit (12b) that saves to at least one of the memories of the external device.
A new information generation unit (12c) that generates new information from the old information saved in the other memory and the first difference information, and
A new information writing unit (12d) that writes new information to the memory in a state where the old information stored in the memory is saved in the other memory.
The second difference information acquisition unit (12e) that acquires the second difference information indicating the difference from the new information about the program or data to the old information from the external device or the vehicle network.
If the condition for writing back the new information being written to the memory to the old information is satisfied while the new information is being written to the memory, the new information stored in the memory is stored after the writing of the new information to the memory is completed. With a new information saving unit (12h) that saves the information in one or more memories other than the memory.
The old information generation unit (12i) that generates old information from the new information saved in the other memory and the second difference information, and
An electronic control device including an old information writing unit (12j) for writing old information to the memory in a state where the new information stored in the memory is saved in the other memory . 前記新情報書き込み部は、新情報の前記メモリへの書き込み終了後に、前記別のメモリに退避された旧情報を消去する請求項1に記載した電子制御装置。 The electronic control device according to claim 1, wherein the new information writing unit erases old information saved in the other memory after the writing of the new information to the memory is completed. 前記新情報退避部は、新情報の前記メモリへの書き込み終了後にも、当該メモリに書き込まれた新情報を旧情報に書き戻す条件が成立すると、前記メモリに蓄積されている新情報を、当該メモリとは別の一つ以上のメモリに退避させる請求項1又は2に記載した電子制御装置。 When the condition for writing back the new information written in the memory to the old information is satisfied even after the writing of the new information to the memory is completed, the new information saving unit transfers the new information stored in the memory. The electronic control device according to claim 1 or 2, wherein the electronic control device is saved in one or more memories other than the memory . 前記外部装置や前記車両ネットワークから書き戻し要求を取得する書き戻し要求取得部(12f)を備え、
前記新情報退避部は、前記書き戻し要求が取得されたことを、前記メモリに書き込み中又は書き込まれた新情報を旧情報に書き戻す条件とする請求項1から3の何れか一項に記載した電子制御装置。 A write-back request acquisition unit (12f) for acquiring a write-back request from the external device or the vehicle network is provided.
The new information saving unit according to any one of claims 1 to 3 , wherein the acquisition of the write-back request is a condition for writing back the new information being written or written to the memory to the old information. Electronic control device. 前記メモリに書き込み中又は書き込まれた新情報による車両制御の実施状態を判定する実施状態判定部(12g)を備え、
前記新情報退避部は、新情報による車両制御の実施状態が正常でないと判定されたことを、前記メモリに書き込み中又は書き込まれた新情報を旧情報に書き戻す条件とする請求項1から3の何れか一項に記載した電子制御装置。 The memory is provided with an execution state determination unit (12 g) for determining an execution state of vehicle control based on new information being written or written.
Claims 1 to 3 that the new information saving unit determines that the execution state of the vehicle control by the new information is not normal as a condition for writing back the new information being written or written to the memory to the old information. The electronic control device according to any one of the above. 前記旧情報書き込み部は、旧情報の前記メモリへの書き込み終了後に、前記別のメモリに退避された新情報を消去する請求項1から5の何れか一項に記載した電子制御装置。 The electronic control device according to any one of claims 1 to 5, wherein the old information writing unit erases new information saved in the other memory after the writing of the old information to the memory is completed . 第2差分情報取得部は、複数の世代毎の第2差分情報を前記外部装置や前記車両ネットワークから取得する請求項からの何れか一項に記載した電子制御装置。 The electronic control device according to any one of claims 1 to 5 , wherein the second difference information acquisition unit acquires second difference information for each of a plurality of generations from the external device or the vehicle network .
JP2017199373A 2017-10-13 2017-10-13 Electronic control device Active JP7087334B2 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2017199373A JP7087334B2 (en) 2017-10-13 2017-10-13 Electronic control device
DE102018217208.0A DE102018217208A1 (en) 2017-10-13 2018-10-09 ELECTRONIC CONTROL DEVICE

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017199373A JP7087334B2 (en) 2017-10-13 2017-10-13 Electronic control device

Publications (2)

Publication Number Publication Date
JP2019074847A JP2019074847A (en) 2019-05-16
JP7087334B2 true JP7087334B2 (en) 2022-06-21

Family

ID=65909999

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017199373A Active JP7087334B2 (en) 2017-10-13 2017-10-13 Electronic control device

Country Status (2)

Country Link
JP (1) JP7087334B2 (en)
DE (1) DE102018217208A1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7298427B2 (en) * 2019-10-07 2023-06-27 トヨタ自動車株式会社 Program update system and program update method
JP7266216B2 (en) 2020-01-31 2023-04-28 パナソニックIpマネジメント株式会社 Information processing device and information processing method

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005215841A (en) 2004-01-28 2005-08-11 Mitsubishi Electric Corp Cellular phone terminal device with software correcting function
JP2006164030A (en) 2004-12-09 2006-06-22 Canon Inc Firmware update method of multi-function device
JP2010146257A (en) 2008-12-18 2010-07-01 Fujitsu Ten Ltd Information processor, program update method, and information processing system
JP2012190075A (en) 2011-03-08 2012-10-04 Clarion Co Ltd Update difference data creation device, data update system and update difference data creation program
JP2013250911A (en) 2012-06-04 2013-12-12 Canon Inc Image formation device, control method of image formation device and computer program
JP2014029619A (en) 2012-07-31 2014-02-13 Auto Network Gijutsu Kenkyusho:Kk Control system and program update method
JP2016118879A (en) 2014-12-19 2016-06-30 株式会社デンソー Microcomputer
JP2016224898A (en) 2015-05-27 2016-12-28 株式会社デンソー On-vehicle electronic control device

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014182571A (en) 2013-03-19 2014-09-29 Denso Corp On-vehicle electronic control device program rewriting system and on-vehicle relay device

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005215841A (en) 2004-01-28 2005-08-11 Mitsubishi Electric Corp Cellular phone terminal device with software correcting function
JP2006164030A (en) 2004-12-09 2006-06-22 Canon Inc Firmware update method of multi-function device
JP2010146257A (en) 2008-12-18 2010-07-01 Fujitsu Ten Ltd Information processor, program update method, and information processing system
JP2012190075A (en) 2011-03-08 2012-10-04 Clarion Co Ltd Update difference data creation device, data update system and update difference data creation program
JP2013250911A (en) 2012-06-04 2013-12-12 Canon Inc Image formation device, control method of image formation device and computer program
JP2014029619A (en) 2012-07-31 2014-02-13 Auto Network Gijutsu Kenkyusho:Kk Control system and program update method
JP2016118879A (en) 2014-12-19 2016-06-30 株式会社デンソー Microcomputer
JP2016224898A (en) 2015-05-27 2016-12-28 株式会社デンソー On-vehicle electronic control device

Also Published As

Publication number Publication date
JP2019074847A (en) 2019-05-16
DE102018217208A1 (en) 2019-04-18

Similar Documents

Publication Publication Date Title
JP6889296B2 (en) Gateway device, system and firmware update method
US11392305B2 (en) Vehicle information communication system
WO2018025685A1 (en) On-board update device, on-board update system, and communication device update method
JP6428652B2 (en) In-vehicle update device, update system, and update processing program
WO2014148003A1 (en) Program rewrite system for onboard electronic control device and onboard relay device
WO2018043381A1 (en) In-vehicle update system, in-vehicle update device, and method for updating communication device
JP5641244B2 (en) Vehicle network system and vehicle information processing method
WO2019216330A1 (en) In-vehicle update device, update process method, and update process program
JP5353545B2 (en) In-vehicle network device
CN110235100A (en) Vehicular communication system, gateway, switch, communication control method and communication control program
JP7087334B2 (en) Electronic control device
JP6913621B2 (en) Electronic control device for automobiles
US12087103B2 (en) Electronic control unit and non-transitory computer readable medium storing session establishment program
WO2019221058A1 (en) Vehicle-mounted relay device, communication system, bus determination method, and computer program
WO2020195034A1 (en) Vehicle-mounted update device, update processing system, update processing method, and processing program
CN115509565A (en) OTA manager, system, method, non-transitory storage medium, and vehicle
JP2009087107A (en) Control system for vehicle
JP2013192092A (en) On-vehicle device
JP7102704B2 (en) Electronic control device
JP6696452B2 (en) In-vehicle control device
JP2020189586A (en) Data rewriting method and data rewriting system
WO2019221118A1 (en) Electronic control unit and session establishment program
JP6489050B2 (en) Information processing apparatus and information processing system
CN115514743A (en) Center, OTA manager, method, non-transitory storage medium, and vehicle
JP2022126194A (en) Ota master, center, system, method, program, and vehicle

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200911

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210818

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210907

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20211027

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220315

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220411

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220510

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220523

R151 Written notification of patent or utility model registration

Ref document number: 7087334

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151