JP7091630B2 - Electronic control device - Google Patents

Electronic control device Download PDF

Info

Publication number
JP7091630B2
JP7091630B2 JP2017199372A JP2017199372A JP7091630B2 JP 7091630 B2 JP7091630 B2 JP 7091630B2 JP 2017199372 A JP2017199372 A JP 2017199372A JP 2017199372 A JP2017199372 A JP 2017199372A JP 7091630 B2 JP7091630 B2 JP 7091630B2
Authority
JP
Japan
Prior art keywords
rewriting
voltage value
electronic control
control device
program
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017199372A
Other languages
Japanese (ja)
Other versions
JP2019073106A (en
Inventor
一浩 上原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2017199372A priority Critical patent/JP7091630B2/en
Priority to DE102018217311.7A priority patent/DE102018217311B4/en
Publication of JP2019073106A publication Critical patent/JP2019073106A/en
Application granted granted Critical
Publication of JP7091630B2 publication Critical patent/JP7091630B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F1/00Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
    • G06F1/26Power supply means, e.g. regulation thereof
    • G06F1/28Supervision thereof, e.g. detecting power-supply failure by out of limits supervision

Description

本発明は、電子制御装置に関する。 The present invention relates to an electronic control device.

従来より、車両ネットワークに接続されている電子制御装置において、外部装置との間や車両ネットワーク内で送受信されるプログラム又はデータをメモリに書き込んで蓄積する構成が供されている(例えば特許文献1参照)。 Conventionally, in an electronic control device connected to a vehicle network, a configuration has been provided in which a program or data transmitted / received to / from an external device or in the vehicle network is written and stored in a memory (see, for example, Patent Document 1). ).

特開2017-11374号公報Japanese Unexamined Patent Publication No. 2017-11374

この種の構成では、メモリに蓄積されているプログラム又はデータの書き換えが無人環境で実施されることがある。その場合、電子制御装置を遠隔操作により起動して書き換えを開始することになるが、電子制御装置への供給電圧値が書き換え保証電圧値を超えている状態で書き換えを終了する必要がある。即ち、供給電圧値が書き換え保証電圧値よりも低下している状態で書き換えられると、書き込まれたプログラム又はデータに化けや抜けが発生する等し、書き込まれたプログラム又はデータを保証し得なくなる虞がある。このような事情から、供給電圧値が書き換え保証電圧値よりも低下している状態でプログラム又はデータが書き換えられる事態の発生を未然に回避する仕組みが望まれている。 In this type of configuration, rewriting of programs or data stored in memory may be performed in an unmanned environment. In that case, the electronic control device is started by remote control to start rewriting, but it is necessary to end the rewriting in a state where the supply voltage value to the electronic control device exceeds the rewrite guaranteed voltage value. That is, if the supply voltage value is rewritten in a state where the voltage value is lower than the guaranteed rewrite voltage value, the written program or data may be garbled or missing, and the written program or data may not be guaranteed. There is. Under such circumstances, a mechanism for avoiding the occurrence of a situation in which a program or data is rewritten while the supply voltage value is lower than the rewrite guaranteed voltage value is desired.

本発明は、上記した事情に鑑みてなされたものであり、その目的は、供給電圧値が書き換え保証電圧値よりも低下している状態でプログラム又はデータが書き換えられる事態の発生を未然に回避することができる電子制御装置を提供することにある。 The present invention has been made in view of the above circumstances, and an object of the present invention is to avoid a situation in which a program or data is rewritten while the supply voltage value is lower than the rewrite guaranteed voltage value. It is to provide an electronic control device capable of.

請求項1に記載した発明によれば、メモリ(1a,2a,2b,3a,3b,4a,5a)は、外部装置(10~12)との間や車両ネットワーク(8,9)内で送受信されるプログラム又はデータを蓄積する。書き換え部(17c)は、メモリに蓄積されているプログラム又はデータを書き換える。推移状況取得部(17d)は、書き換え中の自装置への供給電圧値の推移状況を取得する。進捗状況取得部(17e)は、書き換えの進捗状況を取得する。判定部(17h)は、書き換え中の供給電圧値の推移状況と書き換えの進捗状況とを用い、書き込み完了前に当該自装置への供給電圧値が書き換え保証電圧値未満となるか否かにより、書き換えを継続実施可能であるか否かを、書き換え中に継続して判定する。 According to the invention described in claim 1, the memory (1a, 2a, 2b, 3a, 3b, 4a, 5a) transmits / receives to / from the external device (10 to 12) or in the vehicle network (8, 9). Accumulate the program or data to be used. The rewriting unit (17c) rewrites the program or data stored in the memory. The transition status acquisition unit (17d) acquires the transition status of the supply voltage value to the own device being rewritten. The progress status acquisition unit (17e) acquires the progress status of rewriting. The determination unit (17h) uses the transition status of the supply voltage value during rewriting and the progress status of rewriting, and determines whether or not the supply voltage value to the own device becomes less than the rewriting guaranteed voltage value before the completion of writing. Whether or not the rewriting can be continuously performed is continuously determined during the rewriting .

書き換え中の自装置への供給電圧値の推移状況と書き換えの進捗状況とを用い、書き込み完了前に当該自装置への供給電圧値が書き換え保証電圧値未満となるか否かにより、書き換えを継続実施可能であるか否かを、書き換え中に継続して判定するようにした。供給電圧値が書き換え保証電圧値よりも低下している状態でプログラム又はデータが書き換えられる事態の発生を未然に回避することができ、供給電圧値が書き換え保証電圧値を超えている状態でのプログラム又はデータの書き換えを担保することができる。これにより、供給電圧値が書き換え保証電圧値を超えている状態でプログラム又はデータが書き換えられることで、書き込まれたプログラム又はデータを適切に保証することができる。 Using the transition status of the supply voltage value to the own device during rewriting and the progress status of rewriting , rewriting is continued depending on whether the supply voltage value to the own device is less than the rewrite guaranteed voltage value before the writing is completed. Whether or not it is feasible is continuously determined during rewriting . It is possible to avoid the situation where the program or data is rewritten when the supply voltage value is lower than the rewrite guaranteed voltage value, and the program when the supply voltage value exceeds the rewrite guaranteed voltage value. Alternatively, the rewriting of data can be guaranteed. As a result, the written program or data can be appropriately guaranteed by rewriting the program or data in a state where the supply voltage value exceeds the rewrite guaranteed voltage value.

一実施形態を示す電子制御装置及び周辺の構成を示す図The figure which shows the electronic control apparatus which shows one Embodiment and the peripheral structure. 機能ブロック図Functional block diagram メモリ構成を示す図Diagram showing memory configuration 供給電圧値及び書き換え残量の推移を示す図(その1)Figure showing transition of supply voltage value and remaining amount of rewriting (No. 1) 供給電圧値及び書き換え残量の推移を示す図(その2)Figure showing transition of supply voltage value and remaining amount of rewriting (Part 2) ウェイクアップ処理を示すシーケンス図Sequence diagram showing wakeup processing 書き換え処理を示すシーケンス図Sequence diagram showing rewriting process 書き換え処理を示すフローチャート(その1)Flowchart showing rewriting process (1) 書き換え処理を示すフローチャート(その2)Flowchart showing rewriting process (Part 2)

以下、本発明の一実施形態について図面を参照して説明する。図1に示すように、車両内には複数の電子制御装置1~5と車載通信機6と電源制御装置7とが搭載されている。電子制御装置1~5は、それぞれ車両内においてノードとして機能し、プログラム又はデータを蓄積するメモリを有する。電子制御装置1はメモリ1aを有し、電子制御装置2はメモリ2a,2bを有し、電子制御装置3はメモリ3a,3bを有し、電子制御装置4はメモリ4aを有し、電子制御装置5はメモリ5aを有する。尚、電子制御装置1~5に設けられるメモリの個数や容量は任意である。 Hereinafter, an embodiment of the present invention will be described with reference to the drawings. As shown in FIG. 1, a plurality of electronic control devices 1 to 5, an in-vehicle communication device 6, and a power supply control device 7 are mounted in the vehicle. The electronic control devices 1 to 5 each function as a node in the vehicle and have a memory for storing a program or data. The electronic control device 1 has a memory 1a, the electronic control device 2 has the memories 2a and 2b, the electronic control device 3 has the memories 3a and 3b, and the electronic control device 4 has the memory 4a and is electronically controlled. The device 5 has a memory 5a. The number and capacity of the memories provided in the electronic control devices 1 to 5 are arbitrary.

電子制御装置1は、通信バス8(車両ネットワークに相当する)を介して電子制御装置2,3及び電源制御装置7と接続され、通信バス9(車両ネットワークに相当する)を介して電子制御装置4,5と接続されている。電子制御装置1は、例えばゲートウェイECUであり、電子制御装置2~5との間でプログラム又はデータを中継する中継機能を有する。電子制御装置1は、車両内においてプログラム又はデータを各ノードに配信することで、各ノードのメモリに蓄積されているプログラム又はデータの書き換えを管理する配信ノードとして機能する。 The electronic control device 1 is connected to the electronic control devices 2 and 3 and the power supply control device 7 via the communication bus 8 (corresponding to the vehicle network), and is an electronic control device via the communication bus 9 (corresponding to the vehicle network). It is connected to 4 and 5. The electronic control device 1 is, for example, a gateway ECU, and has a relay function of relaying a program or data between the electronic control devices 2 and 5. The electronic control device 1 functions as a distribution node that manages rewriting of the program or data stored in the memory of each node by distributing the program or data to each node in the vehicle.

電子制御装置2~5は、配信ノードとして機能する電子制御装置1から配信されたプログラム又はデータを受信することで、メモリに蓄積されているプログラム又はデータを書き換える書き換えノードとして機能する。電子制御装置2~5は、例えばエンジンの制御を行うエンジンECU、ブレーキの制御を行うブレーキECU、ステアリングの制御を行うステアリングECU、自動変速機の制御を行うトランスミッションECU、ナビゲーションの制御を行うナビゲーションECU、電子式料金収受システムとの通信制御を行うETCECU、ドアのロック/アンロックの制御を行うドアECU、メータの表示制御を行うメータECU、エアコンの制御を行うエアコンECU、ウィンドウの開閉制御を行うウィンドウECU等である。 The electronic control devices 2 to 5 function as a rewriting node that rewrites the program or data stored in the memory by receiving the program or data distributed from the electronic control device 1 that functions as the distribution node. The electronic control units 2 to 5 include, for example, an engine ECU that controls an engine, a brake ECU that controls a brake, a steering ECU that controls steering, a transmission ECU that controls an automatic transmission, and a navigation ECU that controls navigation. , ETC ECU that controls communication with the electronic toll collection system, door ECU that controls door lock / unlock, meter ECU that controls meter display, air conditioner ECU that controls air conditioner, and window open / close control. It is a window ECU or the like.

通信バス8,9は、例えばマルチメディア系の通信バス、パワートレイン系の通信バス、ボディ系の通信バス等であり、CAN(Controller Area Network、登録商標)、LIN(Local Interconnect Network)、CXPI(Clock Extension Peripheral Interface、登録商標)、FlexRay(登録商標)、MOST(Media Oriented Systems Transport、登録商標)等から構成されている。通信バス8,9は、通信プロトコルや通信速度や信号フォーマットが共通であっても良いし互いに異なっていても良い。又、電子制御装置の個数や通信バスの本数は例示した構成に限らない。 The communication buses 8 and 9 are, for example, a multimedia communication bus, a power train communication bus, a body communication bus, etc., and are CAN (Controller Area Network, registered trademark), LIN (Local Interconnect Network), CXPI ( It is composed of Clock Extension Peripheral Interface (registered trademark), FlexRay (registered trademark), MOST (Media Oriented Systems Transport, registered trademark) and the like. The communication buses 8 and 9 may have the same communication protocol, communication speed, and signal format, or may be different from each other. Further, the number of electronic control devices and the number of communication buses are not limited to the illustrated configuration.

電子制御装置1は、車両ボディのコネクタに対して配線ケーブルが装着されたことで車両診断ツール10(外部装置に相当する)と有線接続されると、車両診断ツール10との間でプログラム又はデータを送受信する。車両診断ツール10は、作業者が車両診断を行うために操作するツールである。 When the electronic control device 1 is wiredly connected to the vehicle diagnostic tool 10 (corresponding to an external device) by attaching a wiring cable to the connector of the vehicle body, a program or data is provided between the electronic control device 1 and the vehicle diagnostic tool 10. To send and receive. The vehicle diagnosis tool 10 is a tool operated by an operator to perform vehicle diagnosis.

又、電子制御装置1は、車載通信機6との間でプログラム又はデータを送受信する。車載通信機6は、クラウド11(外部装置に相当する)との間で広域通信ネットワークを介して無線接続されると、クラウド11との間でプログラム又はデータを送受信する。クラウド11は、例えばセンタ端末やサーバ等である。車載通信機6は、車両接続端末12(外部装置に相当する)との間で近距離通信ネットワークを介して無線接続されると、車両接続端末12との間でプログラム又はデータを送受信する。車両接続端末12は、例えばユーザが携帯可能なスマートフォンやタブレット端末等である。以下、車両診断ツール10、クラウド11、車両接続端末12を外部装置10~12と総称する。電源制御装置7は、車両に搭載されているバッテリから各ノードへの電源電圧の供給を制御する。 Further, the electronic control device 1 transmits / receives a program or data to / from the in-vehicle communication device 6. When the in-vehicle communication device 6 is wirelessly connected to the cloud 11 (corresponding to an external device) via a wide area communication network, the in-vehicle communication device 6 transmits / receives a program or data to / from the cloud 11. The cloud 11 is, for example, a center terminal, a server, or the like. When the in-vehicle communication device 6 is wirelessly connected to the vehicle connection terminal 12 (corresponding to an external device) via a short-range communication network, the in-vehicle communication device 6 transmits / receives a program or data to / from the vehicle connection terminal 12. The vehicle connection terminal 12 is, for example, a smartphone or tablet terminal that can be carried by the user. Hereinafter, the vehicle diagnostic tool 10, the cloud 11, and the vehicle connection terminal 12 are collectively referred to as external devices 10 to 12. The power supply control device 7 controls the supply of the power supply voltage from the battery mounted on the vehicle to each node.

次に、電子制御装置1~5の構成について説明する。尚、書き換えノードである電子制御装置2~5は基本的に同じ構成であるので、電子制御装置2を代表して説明する。即ち、配信ノードと書き換えノードの関係として電子制御装置1と電子制御装置2との関係について説明するが、電子制御装置1と電子制御装置3~5との関係についても同様である。 Next, the configurations of the electronic control devices 1 to 5 will be described. Since the electronic control devices 2 to 5 which are the rewriting nodes have basically the same configuration, the electronic control device 2 will be described as a representative. That is, the relationship between the electronic control device 1 and the electronic control device 2 will be described as the relationship between the distribution node and the rewrite node, but the same applies to the relationship between the electronic control device 1 and the electronic control devices 3 to 5.

図2に示すように、配信ノードである電子制御装置1は、ウェイクアップ制御部13と、マイクロコンピュータ(以下、マイコンと称する)14とを有する。ウェイクアップ制御部13は、ウェイクアップ要求やスリープ要求をマイコン14に出力し、マイコン14のウェイクアップ状態とスリープ状態とを切り換える。マイコン14は、スリープ状態では低消費電力で動作し、ウェイクアップ制御部13からのウェイクアップ要求の入力を監視する。マイコン14は、CPU、RAM、ROM、I/Oポート等を有し、ソフトウェア等により実現される内部の機能として、送受信部14aと、配信部14bと、バッテリ電圧値取得部14cと、供給電圧値取得部14dとを有する。 As shown in FIG. 2, the electronic control device 1 which is a distribution node has a wake-up control unit 13 and a microcomputer (hereinafter, referred to as a microcomputer) 14. The wake-up control unit 13 outputs a wake-up request or a sleep request to the microcomputer 14, and switches between the wake-up state and the sleep state of the microcomputer 14. The microcomputer 14 operates with low power consumption in the sleep state, and monitors the input of the wakeup request from the wakeup control unit 13. The microcomputer 14 has a CPU, RAM, ROM, I / O port, etc., and has internal functions realized by software, etc., such as a transmission / reception unit 14a, a distribution unit 14b, a battery voltage value acquisition unit 14c, and a supply voltage. It has a value acquisition unit 14d.

送受信部14aは、プログラム又はデータを通信バス8,9との間で送受信することで、車両側から外部装置10~12に送信される車両状態や制御履歴に関するデータを送信し、外部装置10~12から車両側に受信された車両制御に関するプログラム又はデータを受信する。配信部14bは、プログラム又はデータを、通信バス8,9を介して書き換えノードである電子制御装置2~5に配信する。 The transmission / reception unit 14a transmits / receives a program or data to / from the communication buses 8 and 9, thereby transmitting data related to the vehicle state and control history transmitted from the vehicle side to the external devices 10 to 12, and the external devices 10 to 10. The program or data related to vehicle control received from 12 to the vehicle side is received. The distribution unit 14b distributes the program or data to the electronic control devices 2 to 5 which are rewriting nodes via the communication buses 8 and 9.

バッテリ電圧値取得部14cは、バッテリ電圧値要求を電源制御装置7に送信し、車両バッテリのバッテリ電圧値を電源制御装置7から受信して取得する。供給電圧値取得部14dは、供給電圧値要求を電子制御装置2~5に送信し、電子制御装置2~5の供給電圧値を当該電子制御装置2~5から受信して取得する。 The battery voltage value acquisition unit 14c transmits a battery voltage value request to the power supply control device 7, and receives and acquires the battery voltage value of the vehicle battery from the power supply control device 7. The supply voltage value acquisition unit 14d transmits a supply voltage value request to the electronic control devices 2 to 5, and receives and acquires the supply voltage value of the electronic control devices 2 to 5 from the electronic control devices 2 to 5.

書き換えノードである電子制御装置2は、ウェイクアップ制御部15と、供給電圧値監視部16と、マイコン17とを有する。ウェイクアップ制御部15は、ウェイクアップ要求やスリープ要求をマイコン17に出力し、マイコン17のウェイクアップ状態とスリープ状態とを切り換える。供給電圧値監視部16は、電子制御装置2への供給電圧値を監視する。マイコン17は、スリープ状態では低消費電力で動作し、ウェイクアップ制御部15からのウェイクアップ要求の入力を監視する。マイコン17は、CPU、RAM、ROM、I/Oポート等を有し、ソフトウェア等により実現される内部の機能として、送受信部17aと、モード切り換え部17bと、書き換え部17cと、推移状況取得部17dと、進捗状況取得部17eと、書き込み完了タイミング算出部17fと、閾値タイミング算出部17gと、判定部17hと、制御実施部17iとを有する。 The electronic control device 2 which is a rewrite node has a wake-up control unit 15, a supply voltage value monitoring unit 16, and a microcomputer 17. The wake-up control unit 15 outputs a wake-up request or a sleep request to the microcomputer 17, and switches between the wake-up state and the sleep state of the microcomputer 17. The supply voltage value monitoring unit 16 monitors the supply voltage value to the electronic control device 2. The microcomputer 17 operates with low power consumption in the sleep state, and monitors the input of the wakeup request from the wakeup control unit 15. The microcomputer 17 has a CPU, RAM, ROM, I / O port, etc., and has a transmission / reception unit 17a, a mode switching unit 17b, a rewriting unit 17c, and a transition status acquisition unit as internal functions realized by software or the like. It has a 17d, a progress status acquisition unit 17e, a writing completion timing calculation unit 17f, a threshold timing calculation unit 17g, a determination unit 17h, and a control execution unit 17i.

図3に示すように、電子制御装置2のメモリ2aは、制御プログラム、制御データ、書き換えプログラムを記憶する制御用記憶領域18aと、プログラム又はデータを蓄積する第1蓄積専用領域18b及び第2蓄積専用領域18cと、フラグ情報を記憶する記憶領域18dとを有する。電子制御装置2のメモリ2aは、プログラム又はデータを2面構成で蓄積する。供給電圧値が書き換え保証電圧値を超えている状態でプログラム又はデータが書き換えられると、その書き込まれたプログラム又はデータを保証し得るが、供給電圧値が書き換え保証電圧値を低下している状態でプログラム又はデータが書き換えられると、その書き込まれたプログラム又はデータに化けや抜けが発生する等し、その書き込まれたプログラム又はデータを保証し得ない虞がある。 As shown in FIG. 3, the memory 2a of the electronic control device 2 has a control storage area 18a for storing a control program, control data, and a rewrite program, and a first storage-dedicated area 18b and a second storage area for storing the program or data. It has a dedicated area 18c and a storage area 18d for storing flag information. The memory 2a of the electronic control device 2 stores a program or data in a two-sided configuration. If the program or data is rewritten while the supply voltage value exceeds the rewrite guaranteed voltage value, the written program or data can be guaranteed, but the rewrite guaranteed voltage value is lowered. If the program or data is rewritten, the written program or data may be garbled or omitted, and the written program or data may not be guaranteed.

送受信部17aは、プログラム又はデータを通信バス8との間で送受信することで、車両側から外部装置10~12に送信される車両状態や制御履歴に関するプログラム又はデータを受信し、外部装置10~12から車両側に受信された車両制御に関するプログラム又はデータを受信する。モード切換部17bは、スリープモードとウェイクアップモードとを切り換える。 The transmission / reception unit 17a receives the program or data related to the vehicle state and control history transmitted from the vehicle side to the external devices 10 to 12 by transmitting / receiving the program or data to / from the communication bus 8, and the external device 10 to The program or data related to vehicle control received from 12 to the vehicle side is received. The mode switching unit 17b switches between the sleep mode and the wakeup mode.

書き換え部17cは、メモリ2aの第1蓄積専用領域18b及び第2蓄積専用領域18cのうち何れかに蓄積されているプログラム又はデータを書き換える。推移状況取得部17dは、書き換え中の供給電圧値の推移状況を取得する。進捗状況取得部17eは、書き換えの進捗状況を取得する。書き込み完了タイミング算出部17fは、書き換えの進捗状況から書き込み完了タイミングを算出する。閾値タイミング算出部17gは、書き換え中の供給電圧値の推移状況から当該供給電圧値が書き換え保証電圧値未満となる閾値タイミングを算出する。 The rewriting unit 17c rewrites the program or data stored in either the first storage-only area 18b or the second storage-only area 18c of the memory 2a. The transition status acquisition unit 17d acquires the transition status of the supply voltage value being rewritten. The progress status acquisition unit 17e acquires the progress status of rewriting. The writing completion timing calculation unit 17f calculates the writing completion timing from the progress of rewriting. The threshold timing calculation unit 17g calculates the threshold timing at which the supply voltage value is less than the rewrite guaranteed voltage value from the transition status of the supply voltage value during rewriting.

判定部17hは、書き換え中の供給電圧値の推移状況と書き換えの進捗状況とを用い、書き換えを継続実施可能であるか否かを判定する。即ち、判定部17hは、図4に示すように、供給電圧値の低下速度に対して書き換え残量の減少速度が相対的に速く、書き込み完了タイミングが閾値タイミングよりも前であると判定すると、書き換えを継続実施可能であると判定する。即ち、供給電圧値が書き換え保証電圧値を超えている状態でプログラム又はデータの書き換えを終了することになるので、その書き込まれたプログラム又はデータを保証し得る。 The determination unit 17h determines whether or not the rewriting can be continued by using the transition status of the supply voltage value during the rewriting and the progress status of the rewriting. That is, as shown in FIG. 4, the determination unit 17h determines that the rate of decrease in the remaining amount of rewriting is relatively fast with respect to the rate of decrease in the supply voltage value, and the write completion timing is before the threshold timing. It is determined that rewriting can be continued. That is, since the rewriting of the program or data is terminated in the state where the supply voltage value exceeds the rewriting guaranteed voltage value, the written program or data can be guaranteed.

一方、判定部17hは、図5に示すように、供給電圧値の低下速度に対して書き換え残量の減少速度が相対的に遅く、書き込み完了タイミングが閾値タイミングよりも後であると判定すると、書き換えを継続実施不能であると判定する。即ち、供給電圧値が書き換え保証電圧値を超えている状態でプログラム又はデータの書き換えを終了せず、供給電圧値が書き換え保証電圧値を低下している状態でプログラム又はデータを書き換えることなるので、その書き込まれたプログラム又はデータに化けや抜けが発生する等し、その書き込まれたプログラム又はデータを保証し得ない。 On the other hand, as shown in FIG. 5, the determination unit 17h determines that the rate of decrease in the remaining amount of rewriting is relatively slow with respect to the rate of decrease in the supply voltage value, and the write completion timing is later than the threshold timing. It is determined that rewriting cannot be continued. That is, the program or data is not rewritten when the supply voltage value exceeds the rewrite guaranteed voltage value, and the program or data is rewritten when the supply voltage value is lower than the rewrite guaranteed voltage value. The written program or data may be garbled or missing, and the written program or data cannot be guaranteed.

制御実施部17iは、メモリ2aの第1蓄積専用領域18b及び第2蓄積専用領域18cのうち何れかに蓄積されているプログラム又はデータを用いて車両制御を実施する。 The control executing unit 17i executes vehicle control using a program or data stored in either the first storage-only area 18b or the second storage-only area 18c of the memory 2a.

次に、上記した構成の作用について図6から図9を参照して説明する。
図6に示すように、配信ノードである電子制御装置1は、外部装置10~12から送信されたウェイクアップ要求を受信すると、スリープ状態からウェイクアップ状態に移行し、ウェイクアップ要求を電源制御装置7に送信し、バッテリ電圧値要求を電源制御装置7に送信する。電源制御装置7は、電子制御装置1から送信されたウェイクアップ要求を受信すると、スリープ状態からウェイクアップ状態に移行し、電子制御装置1から送信されたバッテリ電圧値要求を受信すると、その時点の車両バッテリのバッテリ電圧値を確認し、バッテリ電圧値が所定電圧値以上であれば、肯定応答を電子制御装置1に送信し、バッテリ電圧値が所定電圧値以上でなければ、否定応答を電子制御装置1に送信する。 Next, the operation of the above configuration will be described with reference to FIGS. 6 to 9.
As shown in FIG. 6, when the electronic control device 1 which is a distribution node receives the wakeup request transmitted from the external devices 10 to 12, it shifts from the sleep state to the wakeup state and sends the wakeup request to the power supply control device. 7 is transmitted, and the battery voltage value request is transmitted to the power supply control device 7. When the power supply control device 7 receives the wake-up request transmitted from the electronic control device 1, it shifts from the sleep state to the wake-up state, and when it receives the battery voltage value request transmitted from the electronic control device 1, it is at that time. Check the battery voltage value of the vehicle battery, send a positive response to the electronic control device 1 if the battery voltage value is above the predetermined voltage value, and electronically control the negative response if the battery voltage value is not above the predetermined voltage value. Send to device 1.

電子制御装置1は、電源制御装置7から肯定応答を受信すると、バッテリ電圧値を取得し、肯定応答を外部装置10~12に送信し、外部装置10~12からのプログラム又はデータの受信を待機する。電子制御装置1は、外部装置10~12からプログラム又はデータを受信すると、その受信したプログラム又はデータの配信先を特定し、肯定応答を外部装置10~12に送信し、ウェイクアップ要求をプログラム又はデータの配信先に送信する。即ち、電子制御装置1は、プログラム又はデータの配信先として電子制御装置2を特定すると、ウェイクアップ要求を電子制御装置2に送信する。
これ以降、書き換えノードである電子制御装置2のマイコン17の書き換え処理について説明する。 When the electronic control device 1 receives the affirmative response from the power supply control device 7, it acquires the battery voltage value, transmits the affirmative response to the external devices 10 to 12, and waits for the reception of the program or data from the external devices 10 to 12. do. When the electronic control device 1 receives a program or data from the external devices 10 to 12, it identifies a delivery destination of the received program or data, sends an acknowledgment to the external devices 10 to 12, and programs or wakes up a wakeup request. Send to the data delivery destination. That is, when the electronic control device 1 specifies the electronic control device 2 as the delivery destination of the program or data, the electronic control device 1 transmits a wakeup request to the electronic control device 2.
Hereinafter, the rewriting process of the microcomputer 17 of the electronic control device 2 which is the rewriting node will be described.

マイコン17は、スリープ状態において、ウェイクアップ制御部15からウェイクアップ要求を入力したか否かを判定する(S1)。マイコン17は、電子制御装置1からウェイクアップ要求が受信されたことで、ウェイクアップ制御部15からウェイクアップ要求を入力したと判定すると(S1:YES)、スリープ状態からウェイクアップ状態に移行し(S2)、書き換え処理を開始し、その入力したウェイクアップ要求が自ノード宛てのウェイクアップ要求であるか否かを判定する(S3)。マイコン17は、自ノード宛てのウェイクアップ要求でないと判定すると(S3:NO)、ウェイクアップ状態からスリープ状態から移行し(S4)、書き換え処理を終了する。 The microcomputer 17 determines whether or not a wakeup request has been input from the wakeup control unit 15 in the sleep state (S1). When the microcomputer 17 determines that the wakeup request has been input from the wakeup control unit 15 due to the reception of the wakeup request from the electronic control device 1 (S1: YES), the microcomputer 17 shifts from the sleep state to the wakeup state (S1: YES). S2), the rewriting process is started, and it is determined whether or not the input wakeup request is a wakeup request addressed to the own node (S3). When the microcomputer 17 determines that the wake-up request is not addressed to its own node (S3: NO), the microcomputer 17 shifts from the wake-up state to the sleep state (S4), and ends the rewriting process.

マイコン17は、自ノード宛てのウェイクアップ要求であると判定すると(S3:YES)、認証を実施する(S5)。マイコン17は、認証が成立したか否かを判定し(S6)、認証が成立しなかったと判定すると(S6:NO)、書き換え処理を終了する。 When the microcomputer 17 determines that the wake-up request is addressed to its own node (S3: YES), the microcomputer 17 performs authentication (S5). The microcomputer 17 determines whether or not the authentication is established (S6), and if it is determined that the authentication is not established (S6: NO), the rewriting process ends.

マイコン17は、認証が成立したと判定すると(S6:YES)、定応答を電子制御装置1に送信し(S7)、電子制御装置1からの供給電圧値要求の受信を待機する(S8)。マイコン17は、電子制御装置1から供給電圧値要求を受信したと判定すると(S8:YES)、その時点の供給電圧値を確認し(S9)、供給電圧値を所定電圧値以上であるか否かを判定する(S10)。マイコン17は、供給電圧値が所定電圧値以上でないと判定すると(S10:NO)、書き換え条件が成立していないと判定し、否定応答を電子制御装置1に送信し(S11)、書き換え処理を終了する。 When the microcomputer 17 determines that the authentication is established (S6: YES), the microcomputer 17 transmits a constant response to the electronic control device 1 (S7), and waits for the reception of the supply voltage value request from the electronic control device 1 (S8). When the microcomputer 17 determines that the supply voltage value request is received from the electronic control device 1 (S8: YES), the microcomputer 17 confirms the supply voltage value at that time (S9), and whether or not the supply voltage value is equal to or higher than the predetermined voltage value. (S10). When the microcomputer 17 determines that the supply voltage value is not equal to or higher than the predetermined voltage value (S10: NO), it determines that the rewriting condition is not satisfied, transmits a negative response to the electronic control device 1 (S11), and performs the rewriting process. finish.

マイコン17は、供給電圧値が所定電圧値以上であると判定すると(S10:YES)、書き換え条件が成立していると判定し、肯定応答を電子制御装置1に送信し(S12)、その供給電圧値を書き換え前電圧値として記憶し(S13)、電子制御装置1からの消去要求の受信を待機する(S14)。 When the microcomputer 17 determines that the supply voltage value is equal to or higher than the predetermined voltage value (S10: YES), it determines that the rewriting condition is satisfied, transmits an acknowledgment to the electronic control device 1 (S12), and supplies the positive response. The voltage value is stored as the voltage value before rewriting (S13), and the reception of the erasure request from the electronic control device 1 is waited for (S14).

マイコン17は、電子制御装置1から消去要求を受信したと判定すると(S14:YES)、その時点の供給電圧値を確認し(S15)、その供給電圧値を用い、その供給電圧値の推移状況から当該供給電圧値が書き換え保証電圧値未満となる閾値タイミングを算出する(S16)。マイコン17は、供給電圧値と書き換え保証電圧値とを比較し(S17)、供給電圧値が書き換え保証電圧値を超えていないと判定すると(S17:NO)、書き換え条件が成立していないと判定し、否定応答を電子制御装置1に送信し(S18)、書き換え処理を終了する。 When the microcomputer 17 determines that the erase request has been received from the electronic control device 1 (S14: YES), the microcomputer 17 confirms the supply voltage value at that time (S15), uses the supply voltage value, and changes the supply voltage value. From the above, the threshold timing at which the supply voltage value becomes less than the rewrite guaranteed voltage value is calculated (S16). The microcomputer 17 compares the supply voltage value with the rewrite guaranteed voltage value (S17), and if it is determined that the supply voltage value does not exceed the rewrite guaranteed voltage value (S17: NO), it is determined that the rewrite condition is not satisfied. Then, a negative response is transmitted to the electronic control device 1 (S18), and the rewriting process is terminated.

マイコン17は、供給電圧値が書き換え保証電圧値を超えていると判定すると(S17:YES)、書き換え条件が成立していると判定し、消去処理を実施し(S19)、消去処理を正常に終了すると、肯定応答を電子制御装置1に送信し(S20)、電子制御装置1からの書き込み対象のプログラム又はデータの受信を待機する(S21)。 When the microcomputer 17 determines that the supply voltage value exceeds the rewrite guaranteed voltage value (S17: YES), it determines that the rewrite condition is satisfied, performs the erasure process (S19), and normally performs the erasure process. When finished, an acknowledgment is transmitted to the electronic control device 1 (S20), and the reception of the program or data to be written from the electronic control device 1 is awaited (S21).

マイコン17は、電子制御装置1から書き込み対象のプログラム又はデータの受信を開始したと判定すると(S21:YES)、その時点の供給電圧値を確認し(S22)、その供給電圧値を用い、その供給電圧値の推移状況から当該供給電圧値が書き換え保証電圧値未満となる閾値タイミングを算出し(S23)、書き込み対象のプログラム又はデータの書き込み処理を実施し(S24)、書き換えの進捗状況から書き込み完了タイミングを算出する(S25)。 When the microcomputer 17 determines that the reception of the program or data to be written has started from the electronic control device 1 (S21: YES), the microcomputer 17 confirms the supply voltage value at that time (S22), uses the supply voltage value, and uses the supply voltage value. The threshold timing at which the supply voltage value becomes less than the guaranteed rewrite voltage value is calculated from the transition status of the supply voltage value (S23), the program to be written or the data is written (S24), and the writing is performed from the progress of the rewriting. The completion timing is calculated (S25).

マイコン17は、書き込み完了タイミングと閾値タイミングとを比較し(S26)、書き込み完了タイミングが閾値タイミングよりも後であると判定すると(S26:NO)、書き換え条件が成立していないと判定し、否定応答を電子制御装置1に送信し(S27)、書き換え処理を終了する。即ち、マイコン17は、書き換えを継続実施不能であると判定する。 The microcomputer 17 compares the write completion timing with the threshold timing (S26), and if it is determined that the write completion timing is later than the threshold timing (S26: NO), it is determined that the rewrite condition is not satisfied, and the result is negative. The response is transmitted to the electronic control device 1 (S27), and the rewriting process is terminated. That is, the microcomputer 17 determines that the rewriting cannot be continuously performed.

マイコン17は、書き込み完了タイミングが閾値タイミングよりも前であると判定すると(S26:YES)、書き換えを継続実施可能であると判定し、電子制御装置1から書き込み対象のプログラム又はデータの受信の終了を待機する(S28)。マイコン17は、電子制御装置1から書き込み対象のプログラム又はデータの受信を終了していないと判定すると(S28:NO)、ステップS22に戻り、ステップS22以降を繰り返す。即ち、マイコン17は、書き込み対象のプログラム又はデータの受信を開始すると、書き込み対象のプログラム又はデータの受信を終了するまで、供給電圧値を確認し続け、書き換えを継続実施可能であるか否かを判定し続ける。マイコン17は、電子制御装置1から書き込み対象のプログラム又はデータの受信を終了したと判定すると(S28:YES)、肯定応答を電子制御装置1に送信し(S29)、電子制御装置1からのベリファイ要求の受信を待機する(S30)。 When the microcomputer 17 determines that the write completion timing is earlier than the threshold timing (S26: YES), the microcomputer 17 determines that the rewriting can be continued, and ends the reception of the program or data to be written from the electronic control device 1. (S28). When the microcomputer 17 determines that the reception of the program or data to be written from the electronic control device 1 has not been completed (S28: NO), the microcomputer 17 returns to step S22 and repeats steps S22 and subsequent steps. That is, when the microcomputer 17 starts receiving the program or data to be written, the microcomputer 17 continues to check the supply voltage value until the reception of the program or data to be written is completed, and whether or not the rewriting can be continuously performed. Continue to judge. When the microcomputer 17 determines that the reception of the program or data to be written has been completed from the electronic control device 1 (S28: YES), the microcomputer 17 transmits an acknowledgment to the electronic control device 1 (S29), and verifies from the electronic control device 1. Wait for the request to be received (S30).

マイコン17は、電子制御装置1からベリファイ要求を受信したと判定すると(S30:YES)、ベリファイ処理を実施し(S31)、ベリファイ処理を正常に終了すると、肯定応答を電子制御装置1に送信し(S32)、ウェイクアップ状態からスリープ状態に自律的に移行し(S33)、書き換え処理を終了する。 When the microcomputer 17 determines that the verification request has been received from the electronic control device 1 (S30: YES), the verification process is performed (S31), and when the verification process is completed normally, an acknowledgment is transmitted to the electronic control device 1. (S32), the wake-up state is autonomously shifted to the sleep state (S33), and the rewriting process is terminated.

尚、以上は、書き換えノードである電子制御装置2について例示したが、書き換えノードである電子制御装置3~5についても同様である。即ち、電子制御装置3~5は、上記したように電子制御装置2が書き込み完了タイミングと閾値タイミングとを比較して書き換えを継続実施可能であるか否かを判定するのと同様に、書き換えを継続実施可能であるか否かを判定する。 Although the electronic control device 2 which is a rewrite node has been exemplified above, the same applies to the electronic control devices 3 to 5 which are rewrite nodes. That is, the electronic control devices 3 to 5 perform rewriting in the same manner as the electronic control device 2 compares the write completion timing with the threshold value timing to determine whether or not the rewriting can be continuously performed. Determine if continuous implementation is possible.

以上に説明したように本実施形態によれば、次に示す効果を得ることができる。
電子制御装置2~5において、プログラム又はデータの書き換え中の供給電圧値の推移状況と書き換えの進捗状況とを用い、書き換えを継続実施可能であるか否かを判定するようにした。供給電圧値が書き換え保証電圧値よりも低下している状態でプログラム又はデータが書き換えられる事態の発生を未然に回避することができ、供給電圧値が書き換え保証電圧値を超えている状態でのプログラム又はデータの書き換えを担保することができる。これにより、供給電圧値が書き換え保証電圧値を超えている状態でプログラム又はデータが書き換えられることで、書き込まれたプログラム又はデータを適切に保証することができる。 As described above, according to the present embodiment, the following effects can be obtained.
In the electronic control devices 2 to 5, it is determined whether or not the rewriting can be continuously performed by using the transition status of the supply voltage value during the rewriting of the program or data and the progress status of the rewriting. It is possible to avoid the situation where the program or data is rewritten when the supply voltage value is lower than the rewrite guaranteed voltage value, and the program when the supply voltage value exceeds the rewrite guaranteed voltage value. Alternatively, the rewriting of data can be guaranteed. As a result, the written program or data can be appropriately guaranteed by rewriting the program or data in a state where the supply voltage value exceeds the rewrite guaranteed voltage value.

又、電子制御装置2~5において、書き換えの進捗状況から書き込み完了タイミングを算出し、書き換え中の供給電圧値の推移状況から当該供給電圧値が書き換え保証電圧値未満となる閾値タイミングを算出し、書き込み完了タイミングが閾値タイミングよりも前である場合に書き換えを継続実施可能であると判定し、書き込み完了タイミングが閾値タイミングよりも後である場合に書き換えを継続実施不能であると判定するようにした。書き込み完了タイミングと閾値タイミングとを比較することで、書き換えを継続実施可能であるか否かを判定することができる。 Further, in the electronic control devices 2 to 5, the writing completion timing is calculated from the progress of rewriting, and the threshold timing at which the supply voltage value becomes less than the guaranteed rewriting voltage value is calculated from the transition status of the supply voltage value during rewriting. When the writing completion timing is before the threshold timing, it is determined that the rewriting can be continued, and when the writing completion timing is later than the threshold timing, it is determined that the rewriting cannot be continued. .. By comparing the write completion timing with the threshold timing, it is possible to determine whether or not rewriting can be continued.

又、電子制御装置2~5において、プログラム又はデータを2面構成で蓄積し、書き換えタイミングが古い方の面に蓄積されているプログラム又はデータの書き換えが中止されると、書き換えタイミングが新しい方の面に蓄積されているプログラム又はデータを用いて制御を実施するようにした。例えば書き換え中に供給電圧値が急激に低下する等して書き換えを正常に終了しない事態に陥っても、書き換えタイミングが新しい方の面に蓄積されているプログラム又はデータを用いて車両制御を実施することができる。 Further, in the electronic control devices 2 to 5, when the program or data is stored in a two-sided configuration and the rewriting of the program or data stored in the old side is stopped, the rewriting timing is newer. Control was performed using the program or data accumulated on the surface. For example, even if the rewriting does not end normally due to a sudden drop in the supply voltage value during rewriting, vehicle control is performed using the program or data stored in the newer side of the rewriting timing. be able to.

又、電子制御装置2~5において、配信ノードである電子制御装置1からウェイクアップ要求を受信したことでスリープモードからウェイクアップモードに移行した後に、そのウェイクアップ要求の送信元がプログラム又はデータの正規の配信元であることの認証が成立した場合に、書き換えを開始するようにした。書き換え対象の電子制御装置が書き換え時にスリープモードからウェイクアップモードに移行することで、消費電力の増大を適切に抑えることできる。 Further, in the electronic control devices 2 to 5, after the sleep mode is changed to the wakeup mode by receiving the wakeup request from the electronic control device 1 which is the distribution node, the source of the wakeup request is the program or data. Changed to start rewriting when the authentication of being a legitimate distributor is established. By shifting the electronic control device to be rewritten from the sleep mode to the wake-up mode at the time of rewriting, it is possible to appropriately suppress the increase in power consumption.

又、電子制御装置2~5において、書き換えを終了すると、ウェイクアップモードからスリープモードに自律的に移行するようにした。配信ノードである電子制御装置1からのスリープ要求を受信することなくスリープモードに移行することで、消費電力の増大を適切に抑えることできる。特に車両バッテリからの供給電力を駆動電力とする構成では、消費電力の増大を抑えることで、所謂バッテリ上がりを適切に回避することができる。この場合、電子制御装置1がスリープ要求を送信しないことで、通信バス8,9におけるバス負荷の増大を適切に抑えることもできる。 Further, in the electronic control devices 2 to 5, when the rewriting is completed, the wake-up mode is autonomously shifted to the sleep mode. By shifting to the sleep mode without receiving the sleep request from the electronic control device 1 which is the distribution node, it is possible to appropriately suppress the increase in power consumption. In particular, in a configuration in which the power supplied from the vehicle battery is used as the drive power, it is possible to appropriately avoid the so-called dead battery by suppressing the increase in power consumption. In this case, since the electronic control device 1 does not transmit the sleep request, it is possible to appropriately suppress the increase in the bus load on the communication buses 8 and 9.

又、電子制御装置2~5において、書き換えを継続実施不能であると判定すると、書き換えを中止し、書き換えを継続実施不能である旨を外部装置10~12に送信するようにした。書き換えを継続実施不能である旨を車両外部に通知することができる。 Further, when the electronic control devices 2 to 5 determine that the rewriting cannot be continued, the rewriting is stopped and the external devices 10 to 12 are notified that the rewriting cannot be continued. It is possible to notify the outside of the vehicle that rewriting cannot be continued.

又、電子制御装置1において、車両バッテリのバッテリ電圧値を電源制御装置7から取得し、バッテリ電圧値が書き換え保証電圧値以上である場合に、プログラム又はデータを配信先に配信するようにした。書き換え前のタイミングで書き換え可能な電圧環境であるか否かを車両バッテリのバッテリ電圧値により判定することで、プログラム又はデータを不要に配信する事態の発生を未然に回避することができる。 Further, in the electronic control device 1, the battery voltage value of the vehicle battery is acquired from the power supply control device 7, and when the battery voltage value is equal to or higher than the rewrite guaranteed voltage value, the program or data is delivered to the delivery destination. By determining whether or not the voltage environment is rewritable at the timing before rewriting based on the battery voltage value of the vehicle battery, it is possible to avoid the occurrence of a situation in which the program or data is unnecessarily distributed.

又、電子制御装置1において、プログラム又はデータの配信先の供給電圧値を取得し、配信先の供給電圧値が書き換え保証電圧値以上である場合に、プログラム又はデータを配信先に配信するようにした。書き換え前のタイミングで書き換え可能な電圧環境であるか否かを配信先の供給電圧値により判定することで、プログラム又はデータを不要に配信する事態の発生を未然に回避することができる。 Further, in the electronic control device 1, the supply voltage value of the delivery destination of the program or data is acquired, and when the supply voltage value of the delivery destination is equal to or higher than the rewrite guaranteed voltage value, the program or data is delivered to the delivery destination. did. By determining whether or not the voltage environment is rewritable at the timing before rewriting based on the supply voltage value of the delivery destination, it is possible to avoid the occurrence of a situation in which the program or data is unnecessarily delivered.

本開示は、実施例に準拠して記述されたが、当該実施例や構造に限定されるものではないと理解される。本開示は、様々な変形例や均等範囲内の変形をも包含する。加えて、様々な組み合わせや形態、更には、それらに一要素のみ、それ以上、或いはそれ以下を含む他の組み合わせや形態をも、本開示の範疇や思想範囲に入るものである。 The present disclosure has been described in accordance with the examples, but it is understood that the present disclosure is not limited to the examples and structures. The present disclosure also includes various variations and variations within a uniform range. In addition, various combinations and forms, as well as other combinations and forms containing only one element, more or less, are also within the scope of the present disclosure.

書き換えノードである電子制御装置2~5において、メモリに蓄積されているプログラム又はデータを、電子制御装置1から配信されたプログラム又はデータにしたがって書き換える構成を例示したが、配信ノードである電子制御装置1においても、メモリに蓄積されているプログラム又はデータを書き換える構成でも良い。 In the electronic control devices 2 to 5 which are rewrite nodes, a configuration in which the program or data stored in the memory is rewritten according to the program or data distributed from the electronic control device 1 is exemplified, but the electronic control device which is a distribution node is illustrated. In 1, the program or data stored in the memory may be rewritten.

電子制御装置2~5において、書き換えを終了すると、ウェイクアップモードからスリープモードに自律的に移行する構成を例示したが、電子制御装置1からスリープ要求を受信した場合にウェイクアップモードからスリープモードに移行する構成でも良い。このように構成すれば、スリープモードに自律的に切り換えることが不能な構成でも、電子制御装置1からスリープ要求を受信してスリープモードに移行することで、消費電力の増大を適切に抑えることできる。 In the electronic control devices 2 to 5, when the rewriting is completed, the configuration of autonomously shifting from the wake-up mode to the sleep mode is illustrated. However, when the sleep request is received from the electronic control device 1, the wake-up mode is changed to the sleep mode. It may be a configuration to be migrated. With this configuration, even if the configuration cannot autonomously switch to the sleep mode, the increase in power consumption can be appropriately suppressed by receiving the sleep request from the electronic control device 1 and shifting to the sleep mode. ..

外部装置10~12との間で送受信されるプログラム又はデータを対象とする構成を例示したが、車両ネットワーク内で送受信されるプログラム又はデータを対象としても良い。即ち、車両内のみで扱うプログラム又はデータを書き換える場合に適用しても良い。又、車両ネットワークからウェイクアップ要求やスリープ要求を受信する構成でも良く、書き換えを継続実施不能であると判定すると、書き換えを継続実施不能である旨を車両ネットワークに送信する構成でも良い。 Although the configuration for targeting the program or data transmitted / received between the external devices 10 to 12 is illustrated, the program or data transmitted / received within the vehicle network may be targeted. That is, it may be applied when rewriting a program or data handled only in the vehicle. Further, the configuration may be such that a wake-up request or a sleep request is received from the vehicle network, and if it is determined that the rewriting cannot be continuously executed, the configuration may be transmitted to the vehicle network to the effect that the rewriting cannot be continuously executed.

図面中、1~5は電子制御装置、1a,2a,2b,3a,3b,4a,5aはメモリ、8,9は通信バス(車両ネットワーク)、10は車両診断ツール(外部装置)、11はクラウド(外部装置)、12は車両接続端末(外部装置)、14bは配信部、14cはバッテリ電圧値取得部、14dは供給電圧値取得部、17aは送受信部、17bはモード切り換え部、17cは書き換え部、17dは推移状況取得部、17eは進捗状況取得部、17fは書き込み完了タイミング算出部、17gは閾値タイミング算出部、17hは判定部である。 In the drawings, 1 to 5 are electronic control devices, 1a, 2a, 2b, 3a, 3b, 4a, 5a are memories, 8 and 9 are communication buses (vehicle network), 10 are vehicle diagnostic tools (external devices), and 11 are. Cloud (external device), 12 is a vehicle connection terminal (external device), 14b is a distribution unit, 14c is a battery voltage value acquisition unit, 14d is a supply voltage value acquisition unit, 17a is a transmission / reception unit, 17b is a mode switching unit, and 17c is. The rewriting unit, 17d is a transition status acquisition unit, 17e is a progress status acquisition unit, 17f is a write completion timing calculation unit, 17g is a threshold timing calculation unit, and 17h is a determination unit.

Claims (9)

車両ネットワーク(8,9)に接続されている電子制御装置であって、
外部装置(10~12)との間や車両ネットワーク(8,9)内で送受信されるプログラム又はデータを蓄積するメモリ(1a,2a,2b,3a,3b,4a,5a)と、
前記メモリに蓄積されているプログラム又はデータを書き換える書き換え部(17c)と、
書き換え中の自装置への供給電圧値の推移状況を取得する推移状況取得部(17d)と、
書き換えの進捗状況を取得する進捗状況取得部(17e)と、
書き換え中の供給電圧値の推移状況と書き換えの進捗状況とを用い、書き込み完了前に当該自装置への供給電圧値が書き換え保証電圧値未満となるか否かにより、書き換えを継続実施可能であるか否かを、書き換え中に継続して判定する判定部(17h)と、を備えた電子制御装置。 An electronic control device connected to the vehicle network (8, 9).
A memory (1a, 2a, 2b, 3a, 3b, 4a, 5a) that stores programs or data transmitted / received to / from an external device (10 to 12) or in a vehicle network (8, 9).
A rewriting unit (17c) that rewrites the program or data stored in the memory, and
The transition status acquisition unit (17d) that acquires the transition status of the supply voltage value to the own device being rewritten, and
The progress acquisition unit (17e) that acquires the progress of rewriting,
Using the transition status of the supply voltage value during rewriting and the progress status of rewriting , rewriting can be continued depending on whether the supply voltage value to the own device is less than the rewriting guaranteed voltage value before the writing is completed . An electronic control device including a determination unit (17h) that continuously determines whether or not the voltage is present during rewriting . 書き換えの進捗状況から書き込み完了タイミングを算出する書き込み完了タイミング算出部(17f)と、
書き換え中の供給電圧値の推移状況から当該供給電圧値が書き換え保証電圧値未満となる閾値タイミングを算出する閾値タイミング算出部(17g)と、を備え、
前記書き換え部は、書き換え前の供給電圧値が所定電圧値以上であるときに書き換えを開始し、
前記判定部は、書き換えが開始された以降では、書き込み完了タイミングが閾値タイミングよりも前である場合には、書き換えを継続実施可能であると判定し、書き込み完了タイミングが閾値タイミングよりも後である場合には、書き換えを継続実施不能であると判定する請求項1に記載した電子制御装置。 The write completion timing calculation unit (17f) that calculates the write completion timing from the progress of rewriting,
It is equipped with a threshold timing calculation unit (17 g) that calculates the threshold timing at which the supply voltage value becomes less than the guaranteed rewrite voltage value from the transition status of the supply voltage value during rewriting.
The rewriting unit starts rewriting when the supply voltage value before rewriting is equal to or higher than the predetermined voltage value.
After the rewriting is started, the determination unit determines that the rewriting can be continued if the writing completion timing is before the threshold timing, and the writing completion timing is later than the threshold timing. In this case, the electronic control device according to claim 1, wherein it is determined that the rewriting cannot be continuously performed. 車両制御を実施する制御実施部(17i)を備え、
前記メモリは、プログラム又はデータを2面構成で蓄積し、
前記書き換え部は、書き換えタイミングが古い方の面に蓄積されているプログラム又はデータを書き換え、
前記制御実施部は、書き換えタイミングが古い方の面に蓄積されているプログラム又はデータの書き換えが中止されると、書き換えタイミングが新しい方の面に蓄積されているプログラム又はデータを用いて車両制御を実施する請求項1又は2に記載した電子制御装置。 It is equipped with a control implementation unit (17i) that implements vehicle control.
The memory stores a program or data in a two-sided configuration.
The rewriting unit rewrites the program or data stored in the side with the older rewriting timing.
When the rewriting of the program or data stored in the old side of the rewriting timing is stopped, the control executing unit controls the vehicle by using the program or data stored in the side having the new rewriting timing. The electronic control device according to claim 1 or 2 to be implemented. スリープモードとウェイクアップモードとを切り換えるモード切り換え部(17b)を備え、
前記モード切り換え部は、前記外部装置や前記車両ネットワークからウェイクアップ要求が受信されると、スリープモードからウェイクアップモードに切り換え、
前記書き換え部は、スリープモードからウェイクアップモードに切り換えられた後に、そのウェイクアップ要求の送信元がプログラム又はデータの正規の配信元であることの認証が成立した場合に、書き換えを開始する請求項1から3の何れか一項に記載した電子制御装置。 Equipped with a mode switching unit (17b) that switches between sleep mode and wakeup mode.
When the wakeup request is received from the external device or the vehicle network, the mode switching unit switches from the sleep mode to the wakeup mode.
The claim that the rewriting unit starts rewriting after the sleep mode is switched to the wakeup mode and the authentication that the source of the wakeup request is a legitimate distribution source of the program or data is established. The electronic control device according to any one of 1 to 3. 前記モード切り換え部は、書き換えが終了されると、ウェイクアップモードからスリープモードに自律的に切り換える請求項4に記載した電子制御装置。 The electronic control device according to claim 4, wherein the mode switching unit autonomously switches from the wake-up mode to the sleep mode when the rewriting is completed. 前記モード切り換え部は、書き換えが終了されると、前記外部装置や前記車両ネットワークからスリープ要求が受信された場合にウェイクアップモードからスリープモードに切り換える請求項4に記載した電子制御装置。 The electronic control device according to claim 4, wherein the mode switching unit switches from the wake-up mode to the sleep mode when a sleep request is received from the external device or the vehicle network when the rewriting is completed. 前記外部装置や前記車両ネットワークとの間で通知情報を送受信する送受信部(17a)を備え、
前記書き換え部は、書き換えを継続実施不能であると判定されると、書き換えを中止し、
前記送受信部は、書き換えが中止されると、書き換えを継続実施不能である旨を前記外部装置や前記車両ネットワークに送信する請求項1から6の何れか一項に記載した電子制御装置。 A transmission / reception unit (17a) for transmitting / receiving notification information to / from the external device or the vehicle network is provided.
When it is determined that the rewriting cannot be continued, the rewriting unit stops the rewriting and cancels the rewriting.
The electronic control device according to any one of claims 1 to 6, wherein the transmission / reception unit transmits to the external device or the vehicle network that the rewriting cannot be continued when the rewriting is stopped. プログラム又はデータを配信先に配信する配信部(14b)と、
車両電源の制御機能を有する電源制御装置(7)から車両バッテリのバッテリ電圧値を取得するバッテリ電圧値取得部(14c)と、を備え、
前記配信部は、車両バッテリのバッテリ電圧値が書き換え保証電圧値以上である場合に、プログラム又はデータを配信先に配信する請求項1から7の何れか一項に記載した電子制御装置。 The distribution unit (14b) that distributes the program or data to the distribution destination,
A battery voltage value acquisition unit (14c) that acquires a battery voltage value of a vehicle battery from a power supply control device (7) having a vehicle power supply control function is provided.
The electronic control device according to any one of claims 1 to 7, wherein the distribution unit distributes a program or data to a distribution destination when the battery voltage value of the vehicle battery is equal to or higher than the rewrite guaranteed voltage value. プログラム又はデータの配信先の供給電圧値を取得する供給電圧値取得部(14d)を備え、
前記配信部は、配信先の供給電圧値が書き換え保証電圧値以上である場合に、プログラム又はデータを配信先に配信する請求項8に記載した電子制御装置。 It is equipped with a supply voltage value acquisition unit (14d) that acquires the supply voltage value of the program or data distribution destination.
The electronic control device according to claim 8, wherein the distribution unit distributes a program or data to a distribution destination when the supply voltage value of the distribution destination is equal to or higher than the rewrite guaranteed voltage value.
JP2017199372A 2017-10-13 2017-10-13 Electronic control device Active JP7091630B2 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2017199372A JP7091630B2 (en) 2017-10-13 2017-10-13 Electronic control device
DE102018217311.7A DE102018217311B4 (en) 2017-10-13 2018-10-10 Electronic control unit

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017199372A JP7091630B2 (en) 2017-10-13 2017-10-13 Electronic control device

Publications (2)

Publication Number Publication Date
JP2019073106A JP2019073106A (en) 2019-05-16
JP7091630B2 true JP7091630B2 (en) 2022-06-28

Family

ID=65910010

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017199372A Active JP7091630B2 (en) 2017-10-13 2017-10-13 Electronic control device

Country Status (2)

Country Link
JP (1) JP7091630B2 (en)
DE (1) DE102018217311B4 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7323569B2 (en) 2021-04-07 2023-08-08 矢崎総業株式会社 IN-VEHICLE SOFTWARE UPDATE METHOD AND IN-VEHICLE SYSTEM
JP7403730B2 (en) 2021-11-16 2023-12-22 三菱電機株式会社 Vehicle control device

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006268554A (en) 2005-03-24 2006-10-05 Hitachi Ltd System and method for rewriting program
WO2007040119A1 (en) 2005-09-30 2007-04-12 Clarion Co., Ltd. In-vehicle device and vehicle
JP2011118682A (en) 2009-12-03 2011-06-16 Honda Motor Co Ltd Onboard control device
WO2015194406A1 (en) 2014-06-18 2015-12-23 日立オートモティブシステムズ株式会社 Vehicle-mounted program writing device
JP2016060407A (en) 2014-09-19 2016-04-25 日産自動車株式会社 Vehicle control program rewrite system and vehicle control program rewrite method
JP2017011374A (en) 2015-06-17 2017-01-12 マツダ株式会社 Vehicular information communication system

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006268554A (en) 2005-03-24 2006-10-05 Hitachi Ltd System and method for rewriting program
WO2007040119A1 (en) 2005-09-30 2007-04-12 Clarion Co., Ltd. In-vehicle device and vehicle
JP2011118682A (en) 2009-12-03 2011-06-16 Honda Motor Co Ltd Onboard control device
WO2015194406A1 (en) 2014-06-18 2015-12-23 日立オートモティブシステムズ株式会社 Vehicle-mounted program writing device
JP2016060407A (en) 2014-09-19 2016-04-25 日産自動車株式会社 Vehicle control program rewrite system and vehicle control program rewrite method
JP2017011374A (en) 2015-06-17 2017-01-12 マツダ株式会社 Vehicular information communication system

Also Published As

Publication number Publication date
DE102018217311B4 (en) 2022-08-25
DE102018217311A1 (en) 2019-04-18
JP2019073106A (en) 2019-05-16

Similar Documents

Publication Publication Date Title
JP6954422B2 (en) Concurrency device, concurrency method and concurrency system
US11392305B2 (en) Vehicle information communication system
JP5958975B2 (en) COMMUNICATION DEVICE, COMMUNICATION METHOD, AND COMMUNICATION SYSTEM
WO2018096755A1 (en) Parallel processing device and parallel processing program
JP6519708B2 (en) CONTROL DEVICE, PROGRAM UPDATE METHOD, AND COMPUTER PROGRAM
JP6525109B2 (en) Control device, transfer method, and computer program
JP4974706B2 (en) In-vehicle communication device and in-vehicle communication system
US10850685B2 (en) Onboard relay device, information processing method, storage medium storing program, relay device, and information processing system
US11704104B2 (en) Control apparatus, control method, and computer program
JP6390302B2 (en) Program transmission system and program transmission apparatus
JP7091630B2 (en) Electronic control device
JP6187339B2 (en) Communication system and relay device
JPWO2018189975A1 (en) Relay apparatus, transfer method, and computer program
JP2007251722A (en) Communication device, on-vehicle system, data storing method and program
JP2004038766A (en) Communication system for vehicle
JP5784786B1 (en) Electronic control unit
WO2020208952A1 (en) On-board computer, computer execution method and computer program
US20210065478A1 (en) Electronic control unit and non-transitory computer readable medium storing session establishment program
JP5867350B2 (en) Electronic control device for vehicle
JP7102704B2 (en) Electronic control device
US20220351555A1 (en) Center device and vehicle information communication system
WO2019221118A1 (en) Electronic control unit and session establishment program
JP7396216B2 (en) Server, update management method, update management program, and software update device
WO2023218910A1 (en) In-vehicle communication device and push server
JP2009010851A (en) On-vehicle gateway device

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200911

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20210708

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210713

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20220111

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220328

C60 Trial request (containing other claim documents, opposition documents)

Free format text: JAPANESE INTERMEDIATE CODE: C60

Effective date: 20220328

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20220406

C21 Notice of transfer of a case for reconsideration by examiners before appeal proceedings

Free format text: JAPANESE INTERMEDIATE CODE: C21

Effective date: 20220412

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220517

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220530

R151 Written notification of patent or utility model registration

Ref document number: 7091630

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151