JP7184855B2 - ソフトウェア更新装置、ソフトウェア更新方法 - Google Patents

ソフトウェア更新装置、ソフトウェア更新方法 Download PDF

Info

Publication number
JP7184855B2
JP7184855B2 JP2020148013A JP2020148013A JP7184855B2 JP 7184855 B2 JP7184855 B2 JP 7184855B2 JP 2020148013 A JP2020148013 A JP 2020148013A JP 2020148013 A JP2020148013 A JP 2020148013A JP 7184855 B2 JP7184855 B2 JP 7184855B2
Authority
JP
Japan
Prior art keywords
update
recovery
ecu
software
control information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020148013A
Other languages
English (en)
Other versions
JP2020201986A (ja
Inventor
秀敏 寺岡
康平 櫻井
健一 長田
憲一 黒澤
章晴 中原
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Astemo Ltd
Original Assignee
Hitachi Astemo Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Astemo Ltd filed Critical Hitachi Astemo Ltd
Priority to JP2020148013A priority Critical patent/JP7184855B2/ja
Publication of JP2020201986A publication Critical patent/JP2020201986A/ja
Application granted granted Critical
Publication of JP7184855B2 publication Critical patent/JP7184855B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、ソフトウェア更新装置、およびソフトウェア更新方法関する。
近年、運転支援機能や自動運転技術の進展により、自動車用の電子制御装置(ECU:Electric Control Unit)に搭載されるソフトウェアの規模が増大している。また、それに伴ってソフトウェア不具合に起因するリコールの回数だけでなく、1回あたりに対応が必要な台数も増加している。そのため、ECUに搭載されるソフトウェアを遠隔で更新する技術へのニーズが高まっている。遠隔でソフトウェアを更新するにあたっては、従来ディーラ等で整備士が更新作業を行っていた場合とは異なり、できるだけ処理を自動化する必要がある。そのため、たとえば電源断等の異常が発生して更新処理が中断した場合でも、整備士等の操作を前提とせずに正常な状態に復帰させることができることが重要となる。
たとえば、特許文献1には、実行ソフトウェアを格納するエリアを2面用意し、ソフトウェアの更新異常が発生した場合に、正常なソフトウェアを選択して実行することで更新異常時もシステムに影響を与えない技術が開示されている。
特許第4548601号
特許文献1に記載の発明は、ソフトウェアの更新に異常が発生した場合に、更新を完了できない
本発明の第1の態様によるソフトウェア更新装置は、制御装置と接続されるソフトウェア更新装置であって、前記制御装置のソフトウェアを更新前状態から更新完了状態へと遷移させる更新処理を行う更新制御部と、リカバリ制御情報を取得するリカバリ制御情報管理部と、前記更新処理の異常により前記ソフトウェアが前記更新完了状態へと遷移されていない場合に、前記リカバリ制御情報に基づき前記ソフトウェアを前記更新完了状態に遷移させるリカバリ処理を実行するリカバリ制御部とを備え、前記リカバリ制御部は、前記リカバリ処理を実行する場合は、前記ソフトウェア更新装置と前記制御装置との通信設定を変更し、前記リカバリ制御情報には、前記更新処理が中断された要因を示す中断要因および、前記中断要因に応じたリカバリ情報を含む。
本発明の第の態様によるソフトウェア更新方法は、制御装置と接続されるソフトウェア更新装置が実行するソフトウェア更新方法であって、前記制御装置のソフトウェアを更新前状態から更新完了状態へと遷移させる更新処理を行うことと、リカバリ制御情報を取得することと、前記更新処理の異常により前記ソフトウェアが前記更新完了状態へと遷移されていない場合に、前記リカバリ制御情報に基づき前記ソフトウェアを前記更新完了状態に遷移させるリカバリ処理を実行することと、前記リカバリ処理を実行する場合は、前記ソフトウェア更新装置と前記制御装置との通信設定を変更することとを含み、前記リカバリ制御情報には、前記更新処理が中断された要因を示す中断要因および、前記中断要因に応じたリカバリ情報が含まれる。
本発明によれば、更新完了状態に遷移させるリカバリ処理を迅速に実行できる
ソフトウェア更新システムの構成を示す図 図2(a)はゲートウェイのハードウェア構成を示すブロック図、図2(b)はゲートウェイ上で動作するゲートウェイプログラムの構成を示すブロック図 更新状態D1の一例を示す図 図4(a)はエンジン制御ECUのハードウェア構成を示すブロック図、図4(b)はエンジン制御ECU上で動作する制御プログラムの構成を示すブロック図 図5(a)は容量が少ないFROMの構成例を示す図、図5(b)は容量が多いFROMの構成例を示す図 図6(a)は第1の実施の形態における更新パッケージの構成を示す図、図6(b)は、第1の実施の形態におけるECUリカバリ制御情報の構成を示す図 エンジン制御ECUのソフトウェアを更新する更新処理全体を示すシーケンス図 図7のステップS4においてゲートウェイとエンジン制御ECUの間で実行されるソフトウェア更新処理の流れを示すシーケンス図 図9(a)はメモリの少ないECUにおける復元処理S407の処理を示す概念図、図9(b)は、メモリが多いECUにおける復元処理S407の処理を示す概念図 図10(a)はメモリの少ないECUの起動シーケンス図、図10(b)はメモリの多いECUの起動シーケンス図 ゲートウェイ10が起動時に行うリカバリ制御処理を示すフローチャート リカバリ処理S707の一例を示すフローチャート 図13(a)および図13(b)は自動運転ECUに対応する更新パッケージの一例を示す図、図13(c)は画面表示例を示す図 自動運転ECUのリカバリ処理の一例を示すシーケンス図 図15(a)および図15(b)はADAS ECUに対応する更新パッケージの一例を示す図、図15(c)は画面表示例を示す図 ADAS ECUのリカバリ処理の一例を示すシーケンス図 図17(a)および図17(b)はエンジン制御ECUに対応する更新パッケージの一例を示す図、図17(c)は画面表示例を示す図 エンジン制御ECUのリカバリ処理の一例を示すシーケンス図 図19(a)および図19(b)はブレーキ制御ECUに対応する更新パッケージの一例を示す図、図19(c)は画面表示例を示す図 ブレーキ制御ECUのリカバリ処理の一例を示すシーケンス図 図21(a)および図21(b)はHVAC ECUに対応する更新パッケージの一例を示す図、図21(c)は画面表示例を示す図 HVAC ECUのリカバリ処理の一例を示すシーケンス図 図23(a)および図23(b)はエアバッグECUに対応する更新パッケージの一例を示す図、図23(c)は画面表示例を示す図 エアバッグECUのリカバリ処理の一例を示すシーケンス図 変形例6における更新パッケージの一例を示す図 第2の実施の形態におけるエンジン制御ECU上で動作する制御プログラムの構成を示すブロック図 ゲートウェイがエンジン制御ECUからリカバリ制御情報を取得する処理を示すシーケンス図 図28(a)は第3の実施の形態における更新パッケージの構成を示す図、図28(b)は、第3の実施の形態におけるECUリカバリ制御情報の構成を示す図 図29(a)は自動運転ECUに対応するリカバリ制御情報の一例を示す図、図29(b)は画面表示例を示す図、図29(c)は、更新状態D1の一例を示す図 図30(a)は中断要因によって異なるリカバリ制御処理の一例を示すシーケンス図、図30(b)は、FROM故障時のリカバリ制御処理の一例を示すシーケンス図
―第1の実施の形態―
以下、図1~図24を参照して、第1の実施の形態に係るソフトウェア更新システムを説明する。なお本実施の形態ではソフトウェアの更新について説明するが、ソフトウェアに限定されずパラメータやデータなどに適用可能である。
<更新とリカバリの定義>
本実施の形態におけるソフトウェアの「更新」と「リカバリ」を以下のように定義する。すなわち本実施の形態におけるソフトウェアの「更新」とは、ソフトウェアを更新前状態から更新完了状態へと遷移させることである。また本実施の形態におけるソフトウェアの「リカバリ」とは、更新処理の異常によりソフトウェアが更新完了状態へと遷移されていない場合に、更新完了状態に遷移させることである。
ただしソフトウェアは、単一のプログラムから構成されてもよいし、複数のプログラムから構成されてもよい。さらにソフトウェアはプログラムだけでなくプログラムの実行に必要な各種パラメータ、テキスト情報、音声情報、画像情報などを含んでいてもよい。
<構成>
(システム構成)
図1は、第1の実施の形態にかかるソフトウェア更新システムSの構成を示す図である。ソフトウェア更新システムSは車両1、およびサーバ2を備える。車両1とサーバ2は、アクセスネットワークや拠点を接続するインターネット3、および通信サービスプロバイダが提供するアクセスネットワーク4を介して接続される。
車両1は、ゲートウェイ10、通信モジュール11、Human Machine Interface(HMI)12、エンジン制御ECU13、ブレーキ制御ECU14、自動運転ECU15、先進運転支援システム(ADAS) ECU16、エアバッグECU17、Heating Ventilation Air Conditioning(HVAC) ECU18、および車両管理ECU19等の車両1が走行等の機能を実現するために必要とするECU群と、これらECU群をつなぐ車内ネットワーク10a、10bとを備える。
本実施の形態では、エンジン制御ECU13の制御プログラムを現行のバージョン2から新バージョンであるバージョン3に更新する例を説明する。なおこの制御プログラムは、現行のバージョン2の直前の旧バージョンは1である。
車内ネットワークはControl Area Network(CAN)(登録商標)、Local Interconnect Network(LIN)、FlexRay、Ethernet(登録商標)などで構成される。本実施の形態では、車内ネットワーク10bはCANで、車内ネットワーク10aはEthernetで構成される。また、図1では図示しないが、各種ECUなどの車両内の各構成要素は電力線で蓄電池に接続され、電力供給を受けている。
ゲートウェイ10は、各種ECU間通信データの中継を行うとともに、ソフトウェア更新装置として、自機器および車内ネットワークを介して接続されたECUに搭載されるソフトウェアの更新を行う。
通信モジュール11は、ゲートウェイ10やHMI12、各種ECUとサーバ2との通信を中継する。HMI12は、車両1の乗員であるユーザへの情報提示やユーザからの入力を受け付けるための装置であり、画面表示を行う表示装置および各種スイッチ等の入力装置、またはこれらを組み合わせたタッチパネル等により構成される。エンジン制御ECU13は、エンジンの制御を行う。ブレーキ制御ECU14は、ブレーキの制御を行う。自動運転ECU15は、自動運転時に環境の認識や車両の起動指示等を行う。ADAS ECU16は、自動ブレーキなどの運転支援制御を行う。エアバッグECU17は、エアバッグの制御を行う。HVAC ECU18は、車内の空調制御を行う。車両管理ECU19は、車両状態の管理を行う。
サーバ2は不図示のCPU,ROM,およびRAMを備え、ソフトウェア更新に必要な更新パッケージ5をゲートウェイ10に送信する。更新パッケージ5の構成は後述する。ゲートウェイ10は、更新パッケージ5に含まれるデータに基づいて各ECUのソフトウェアを更新する。
(ゲートウェイの構成)
図2(a)は、ゲートウェイ10のハードウェア構成を示すブロック図である。ゲートウェイ10は、マイコン101、FROM(FlashROM)102、CAN用の通信I/F104、およびEthernet用の通信I/F105を備える。
マイコン101は、CPU1011、SRAM1012、FROM1013、CAN通信コントローラ1014、およびEthernet通信コントローラ1015を備える。マイコン101のCPU1011は、FROM1013に格納されるプログラムを実行し、ゲートウェイ10内の他の構成要素を制御するとともに、車内ネットワークにより接続された他の機器とデータ送受信指示を行うなどしてゲートウェイ10を機能させる。
FROM102は、不揮発メモリであり、受信した更新パッケージ5が格納される。
通信I/F104は、CAN通信用のインタフェースであり、マイコン101の指示に基づき車内ネットワーク10bを介して、車内ネットワーク10bに接続されたECUとの間でデータの送受信を行う。
通信I/F105は、Ethernet通信用のインタフェースであり、マイコン101の指示に基づき車内ネットワーク10aを介して、車内ネットワーク10aに接続された機器との間でデータの送受信を行う。
図2(b)は、ゲートウェイ10上で動作するゲートウェイプログラム100の構成を示すブロック図である。
ゲートウェイ10の機能を実現するゲートウェイプログラム100は、マイコン101のFROM1013に格納されCPU1011により実行される。図2(b)では、機能的なまとまりをブロックとして表現しており、各ブロックが複数に分割されてもよいし、いくつかのブロックが統合されてもよい。また制御プログラムは、1つのソフトウェアにより実現されてもよいし、2以上のソフトウェアの組合せにより実現されてもよい。
ゲートウェイプログラム100は、更新制御部10001、更新データ管理部10002、更新状態管理部10003、リカバリ制御部10004、リカバリ制御情報管理部10005、車両状態管理部10006、および通信制御部10007を含む。
更新制御部10001は、通信制御部10007を介して車内ネットワーク10aに接続された機器と通信を行い、更新パッケージ5の取得や車両の状態やソフトウェア更新処理の状況の送信を行う。更新制御部10001が取得した更新パッケージ5は、FROM102に格納される。詳しくは後述するが、更新パッケージ5は、更新制御情報501とリカバリ制御情報502とから構成される。また更新制御部10001は、通信制御部10007を介して車内ネットワーク10bに接続された機器と通信を行い、ECUを制御してECUに搭載されるソフトウェアを更新する。ここで、ソフトウェアの更新は、更新データ管理部10002を介して取得した更新制御情報501と車両状態管理部10006を介して取得した車両システム状態に基づいて実施される。
更新データ管理部10002は、FROM102から更新制御情報501を取得し、更新制御部10001に提供する。
更新状態管理部10003は、更新制御部10001から更新状態を取得し、FROM1013に更新状態D1として格納する。また、格納した更新状態D1をリカバリ制御部10004に提供する。
リカバリ制御部10004は、通信制御部10007を介して車内ネットワーク10bに接続された機器と通信を行い、ECUを制御してソフトウェアのリカバリ処理を実施する。ここで、ECUのリカバリ処理は、更新状態管理部10003を介して取得した更新状態D1と、リカバリ制御情報管理部10005を介して取得したリカバリ制御情報502と、車両状態管理部10006を介して取得した車両システム状態に基づいて実施される。
リカバリ制御情報管理部10005は、FROM102からリカバリ制御情報502を取得し、リカバリ制御部10004に提供する。
車両状態管理部10006は、通信制御部10007を介して車内ネットワーク10aおよび10bに接続された機器と通信を行い車両システムの状態を取得し、車両状態を更新制御部10001及びリカバリ制御部10004に提供する。車両状態とはたとえば、イグニッションのオンやオフ、走行の開始などである。
通信制御部10007は、更新制御部10001等の指示に従って、CAN通信コントローラ1014およびEthernet通信コントローラ1015を制御し、車内ネットワーク10aおよび10bに接続された機器と通信を行う。車内ネットワーク10aに接続された機器と通信する際には、通信制御部10007は、TCP/IPやUDP/IPなどのパケットを解析・生成する。また車内ネットワーク10aに接続された機器と通信する際には、通信制御部10007は、CANフレームを解析・生成する。また通信制御部10007は、Universal Diagnostic Service(UDS)等の診断通信プロトコルに準拠したコマンドの生成・解析を行う。
図3は、ゲートウェイ10の更新状態管理部10003が管理する更新状態D1の一例を示す図である。図3では、更新状態D1をテーブルとして管理し、ECU毎の更新状態を記録する場合の例が示されている。
更新状態D1は、ECU ID D101、更新開始状態D102、処理中ブロックD103、完了コマンドD104、成功ブロックD105のフィールドを備える。
ECU ID D101は、ECUを識別するための情報が格納されるフィールドである。更新開始状態D102は、当該ECUの更新処理が開始済みかどうかを示す識別情報が格納されるフィールドであり、たとえば「開始未」、「開始済み」または「更新完」が格納される。処理中ブロックD103は、当該ECUの更新処理において、処理中のブロックの識別情報が格納されるフィールドであり、ブロック番号等が格納される。完了コマンドD104は、当該ECUの更新処理において、最後に成功したコマンドの識別情報が格納されるフィールドであり、「データ転送開始要求」等のコマンド識別情報が格納される。成功ブロックD105は、処理が成功したブロックの識別情報が格納されるフィールドであり、ブロック番号等が格納される。
レコードD11は自動運転ECU15の更新状態を示すレコードであり、ECU ID D101のフィールドには「自動運転ECU」が格納され、更新開始状態D102のフィールドには更新処理中であることを示す「開始済み」が格納され、処理中ブロックD103のフィールドにはブロックn-1が処理中であることを示す「Block n-1」が格納され、完了コマンドD104のフィールドには、データ転送開始要求が受諾済みであることを示す「データ転送開始要求」が格納され、成功ブロックD105のフィールドには最後に処理完了したブロックがブロックnであることを示す「Block n」が格納されている。
レコードD12は、エンジン制御ECU13の更新状態を示すレコードであり、ECU ID D101のフィールドには「エンジン制御ECU」が格納され、更新開始状態D102のフィールドには更新処理を開始していないことを示す「開始未」が格納されている。ここでは、エンジン制御ECUの更新は開始されていないため、レコードD12の他のフィールドには値が設定されていない。
ここではレコードD11とレコードD12の2つのレコードを説明したが、これらのレコードは次の場合に作成される。すなわち、ゲートウェイ10が受信した更新パッケージ5において、更新対象のECUとして記載されていた場合に作成される。またこの更新状態D1は後述するように逐次記録される。このように、更新状態D1を逐次記録することにより、更新中断後に正常に復帰して起動した際に更新が完了せずに中断していることや、更新が中断された箇所を認識して適切なリカバリ処理を開始することができる。
(ECUの構成)
図4(a)は、エンジン制御ECU13のハードウェア構成例を示すブロック図である。ただし本実施の形態においてソフトウェアが更新される対象となるECUはいずれも、少なくとも図4(a)に示すハードウェア構成を備える。エンジン制御ECU13は、マイコン131、およびCAN用の通信I/F133を備える。
マイコン131は、CPU1311、SRAM1312、FROM1313、通信コントローラ1314、およびI/Oコントローラ1315を備える。マイコン131は、FROM1313に格納される制御プログラムを実行し、エンジン制御ECU13内の他の構成要素やI/Oを介して接続されたセンサ/アクチュエータ132を制御するとともに、車内ネットワークで接続された他の機器とデータ送受信指示を行うなどしてエンジン制御を実施する。センサ/アクチュエータ132は、マイコン131の指示によってエンジン制御に必要となるデータを取得しつつ、エンジンの制御を実行する。
図4(b)は、エンジン制御ECU13上で動作する制御プログラム130の構成を示すブロック図である。ただし本実施の形態においてソフトウェアが更新される対象となるECUはいずれも、少なくとも図4(b)に示す制御プログラム130と同様の構成を備える。
ECU13の機能を実現する制御プログラム130は、マイコン131のFROM1313に格納されCPU1311で実行される。図4(b)では、機能的なまとまりをブロックとして表現しており、各ブロックが複数に分割されてもよいし、いくつかのブロックが統合されてもよい。また制御プログラムは、1つのソフトウェアにより実現されてもよいし、2以上のソフトウェアの組合せにより実現されてもよい。
制御プログラム130は、更新制御部13001、差分/圧縮復元部13002、更新状態管理部13003、FROM制御部13004、通信制御部13005、および制御処理部13006を備える。
更新制御部13001は、通信制御部10005を介してゲートウェイ10からの動作指令やソフトウェアの更新に用いるデータを受信し、差分/圧縮復元部13002およびFROM制御部13004を制御してソフトウェアの更新を制御する。差分/圧縮復元部13002は、更新制御部13001の指示に従い、受信した差分データや圧縮データから最新版のソフトウェア、すなわちバージョン3のソフトウェアを復元する。
更新状態管理部13003は、更新制御部13001から更新状態を取得し、FROM1313に更新状態D21として格納する。また、格納した更新状態D21を更新制御部13001に提供する。FROM制御部13004は、更新制御部13001の指示に従い、最新版のソフトウェアをFROM1313に書き込む。通信制御部13005は、更新制御部13001等の指示に従って、通信コントローラ1314を制御し、車内ネットワーク10bに接続された機器と通信を行う。通信の際には、CANフレームを解析・構成する。また通信制御部13005は、UDS等の診断通信プロトコルに準拠したコマンドの生成・解析を行う。制御処理部13006は、I/Oコントローラ1315を制御し、センサ/アクチュエータ132を制御してエンジン制御を実施する。
図5は、ECUのFROMの構成例を示す構成図である。FROM1313の容量の多少に基づき2とおりの構成を説明する。ただし以下では、FROM1313の容量が多いことを「メモリが多い」とも呼び、FROM1313の容量が少ないことを「メモリが少ない」とも呼ぶ。FROM1313の容量の多少、すなわちECUのメモリが多いか少ないかは、FROM1313の実用量、FROM1313に格納されるプログラムのサイズ、FROM1313に格納されるプログラムの性質、FROM1313に格納されるデータ量の傾向などに基づき判断される。一般に複雑な処理を実行するECUは本実施の形態におけるメモリが多いECUに分類され、簡素な処理のみを実行するECUは本実施の形態におけるメモリが少ないECUに分類される。たとえば、エンジン制御ECU13、ブレーキ制御ECU14、HVAC ECU18、エアバッグECU17などはメモリの少ないECUに分類されることが多く、自動運転ECU15、ADAS ECU16などはメモリが多いECUに分類されることが多い。
図5(a)は容量が少ない場合のFROM1313の構成例である。
FROM1313は、プログラムエリア1313aP0およびDataエリア1313aD0から構成される。
プログラムエリア1313aP0は、複数のブロックBlock0~BlockNで構成され、ブートローダP1と制御プログラムP2が格納される。この制御プログラムP2のバージョンは、現行のバージョン2(図中では「Ver.2」と記載)である。Dataエリア1313aD0には、パラメータD2が格納される。パラメータD2は、更新状態D21、および制御パラメータD22を含む。更新状態D21は、ソフトウェア更新の進捗等の状態を示す情報であり、後に詳述する。制御パラメータD22は、ECU本来のエンジン制御やブレーキ制御のために利用するパラメータ群である。
図5(b)は、容量が多い場合のFROM1313の構成例である。
FROM1313は、プログラムエリアおよびDataエリア1313bD0から構成される。プログラムエリアは2つの領域、すなわちBANK0とBANK1から構成され、以下ではそれぞれをプログラムエリア1313bP0、プログラムエリア1313bP1と呼ぶ。
プログラムエリア1313bP0、およびプログラムエリア1313bP1は、それぞれ複数のブロックBlock0~BlockNから構成される。プログラムエリア1313bP0にはブートローダP3と制御プログラムP4が格納される。この制御プログラムP4のバージョンは、現行のバージョン2である。また、プログラムエリア1313bP1には制御プログラムP5が格納される。この制御プログラムP5のバージョンは、旧版のバージョン1である。
Dataエリア1313bD0には、パラメータD3が格納される。パラメータD3は、更新状態D21、制御パラメータD22、および起動情報D33を含む。
起動情報D33には、2つのプログラムエリアのいずれに記録された制御プログラムを実行するかが設定され、たとえば「プログラムエリア1313bP0」や「プログラムエリア1313bP1」が設定される。更新状態D21、および制御パラメータD22は前述のとおりである。
図6(a)は、ゲートウェイ10がサーバ2から取得する更新パッケージ5の構成例である。更新パッケージ5は、更新制御情報501とリカバリ制御情報502から構成される。
更新制御情報501は、1つの共通更新制御情報5011と、1つ以上のECU更新制御情報5012と、1つ以上のECU更新データ5013から構成される。ECU更新制御情報5012、およびECU更新データ5013は、更新対象であるECUごとに存在し、共通更新制御情報5011は更新対象であるECUの台数に関わらず1つのみ存在する。
共通更新制御情報5011には、車両システム全体の状態確認に用いられる手順や閾値等の情報が含まれる。たとえば共通更新制御情報5011には、更新開始に必要な状態確認として、電池残量の確認や開始可能な残量閾値、HVACの有無の確認、車両走行状態の確認、に必要なECU IDやCAN ID、確認コマンドの情報が含まれる。
ECU更新制御情報5012は、更新対象のECUごとに構成され、ECU更新制御情報5012にはそれぞれのECUのチェック項目や更新制御手順の情報が含まれる。
ECU更新データ5013は、更新対象のECU毎に構成されるECUのソフトウェア更新に用いられるデータであり、たとえばソフトウェアそのもの、圧縮されたソフトウェアまたは新旧ソフトウェアの差分データである。
リカバリ制御情報502は、1つ以上のECUリカバリ制御情報5021から構成され、1つ以上のECUリカバリデータ5022を含む場合がある。ECUリカバリ制御情報5021は更新対象であるECUごとに存在し、ECUリカバリデータ5022はECUリカバリ制御情報5021の内容に基づき存在の有無が決定される。すなわちECUリカバリデータ5022は、最大でECUリカバリ制御情報5021と同数だけ存在し、最小でゼロである。
ECUリカバリデータ5022は、ECUのリカバリに追加データが必要な場合に付与されるデータであり、ソフトウェアそのもの、圧縮されたソフトウェアまたはBlock単位でソフトウェアのXORから生成したバックアップデータ等を備える。
図6(b)は、ECUリカバリ制御情報5021の構成を示す図である。ECUリカバリ制御情報5021は、ECUを識別するECU ID50211、リカバリを開始するタイミングを示す開始タイミング50212、HMI12の表示装置において画面表示する内容を示す表示内容50213、リカバリの方式であるリカバリ方式50214、および追加のリカバリデータを取得するためのリカバリデータURI50215から構成される。
ECU ID50211は、ECUを識別するための情報である。リカバリ開始タイミング50212は、ゲートウェイ10によるリカバリ処理を開始するタイミングを示す。リカバリ開始タイミング50212はたとえば、システムが異常から復旧した直後を示す「即時」、走行を開始して電源供給が安定した後を示す「走行開始」、次にエンジンが動作状態から停止状態に遷移するときを示す「IGN-OFF」などが設定される。
表示内容50213は、システムが異常から復旧した際等にユーザに提示するメッセージが格納された表示メッセージ情報、および表示内容の概要が格納される。表示内容の概要とは、たとえば「注意喚起」、「警告」、および「緊急」である。表示内容50213に基づき表示される具体的な例は後述する。
リカバリ方式50214は、当該ECUに対してどのような手順でリカバリを行うかを示し、「差分リジューム」、「圧縮リカバリ」、「サーバ連携」、「ブロックリカバリ」、などが設定される。「差分リジューム」は、異常中断した箇所から差分更新を再開するリカバリ処理の方式である。「圧縮リカバリ」は、圧縮されたソフトウェアをリカバリ制御情報502にECUリカバリデータ5022として同梱し、これを用いてソフトウェア全体を置き換えるいわゆるフル更新を行うリカバリ処理の方式である。「サーバ連携」は、サーバ2から圧縮されたソフトウェアを再ダウンロードしていわゆるフル更新を行うリカバリ処理の方式である。「ブロックリカバリ」は、ソフトウェアを複数のブロックに分割し各ブロックのXORを算出して得られたブロックXORデータをECUリカバリデータ5022として同梱し、ソフトウェアの欠損部分をブロックXORデータと欠損のないブロックから回復するリカバリ処理の方式である。
リカバリデータURI50215には、リカバリ方式50214が「サーバ連携」である場合に、ゲートウェイ10がリカバリデータを取得するURIが設定される。リカバリ方式50214が「サーバ連携」以外の場合は、リカバリデータURI50215は情報が設定されていないことを意味する「NULL」が設定される。なおこのURIが示すリソースが格納されている場所は、サーバ2でもよいしサーバ2以外でもよい。
図7は、エンジン制御ECU13のソフトウェアを更新する更新処理全体の流れを示すシーケンス図である。ここではエンジン制御ECU13のみが更新対象であり、他のECUは更新対象ではないとして説明する。
サーバ2のオペレータは、エンジン制御ECU13の新たなソフトウェアが作成されると、このソフトウェアをエンジン制御ECU13に配信するための準備を行い、更新パッケージ5を作成してサーバ2に登録する(S1)。なお更新パッケージ5の作成はオペレータが行ってもよいし、作成された新たなソフトウェアと設定ファイルに基づきサーバ2が行ってもよい。
配信準備完了後、エンジン起動時などにゲートウェイ10は、通信モジュール11を介してサーバ2から更新パッケージ5をダウンロードしてゲートウェイ10のFROM102に保持する(S2)。その後、エンジン状態が起動中から停止に状態が遷移したときなどに、更新対象であるエンジン制御ECU13のバージョンのチェック、更新対象のECUの状態取得、およびHMI12を用いたユーザへの承諾を得る前処理S3を実施したのち、エンジン制御ECU13のソフトウェア更新処理S4を行う。最後に、更新対象ECU13の書換え状態を確認する後処理S5を実施して、更新処理が完了する。更新処理である前処理S3、ソフトウェア更新処理S4、後処理S5の開始タイミングは、エンジン停止時以外にも、ダウンロード処理S2完了直後や、所定の時刻、などが考えられる。以下では符号S4で示したソフトウェア更新処理を詳細に説明する。
図8は、図7のステップS4においてゲートウェイ10とエンジン制御ECU13の間で実行されるソフトウェア更新処理の流れを示すシーケンス図である。ここでは、エンジン制御ECU13を更新する例を示すが、本動作は基本的に他のECUでも同様である。図8では状況により必要となる処理を破線の矢印で示している。
以下の説明において、ゲートウェイ10におけるデータの送受信は通信制御部10007を介して行われるものとし、エンジン制御ECU13におけるデータの送受信は通信制御部13005を介して行われるものとする。
最初に、ゲートウェイ10の更新制御部10001は、エンジン制御ECU13にセッション変更要求を送信する(S401)。このセッション変更要求は、ソフトウェア書換えを行うための特殊モードの識別情報を含む。エンジン制御ECU13の更新制御部13001は、ステップS402でゲートウェイ10から送信されたセッション変更要求を受信すると、セッション変更要求にて指定されたモードに内部状態を遷移させたのち、ゲートウェイ10に受諾応答を送信する(S402)。
ゲートウェイ10の更新制御部10001は、ステップS402でエンジン制御ECU13から送信された受諾応答を受信すると、更新状態管理部10003を介して更新状態D1に更新適用処理を開始したことを記録する(S402R)。次に、ゲートウェイ10の更新制御部10001は、更新データ管理部10002を介してECU更新制御情報5012を読み出し、ECU更新制御情報5012に記述された処理ブロック毎の処理を開始する。すなわち更新制御部10001は、ECU更新制御情報5012に記述された最初の処理ブロックを特定し、当該ブロックを「処理中ブロック」として更新状態管理部10003を介して更新状態D1に記録する(S403R)。
そして更新制御部10001は、エンジン制御ECU13に当該ブロックのデータ転送開始要求を送信する(S403)。このデータ転送開始要求は、たとえば、データフォーマット、送信予定のデータサイズ、送信したデータの書込み先を示す書込み先アドレス等の情報を含む。エンジン制御ECU13の通信制御部13005は、ステップS403でゲートウェイ10から送信されたデータ転送開始要求を受信すると、ゲートウェイ10に受諾応答を送信する(S404)。この受諾応答には、エンジン制御ECU13が一度に受信可能なデータサイズ等の情報が含まれる。ゲートウェイ10の更新制御部10001はこの受諾応答を受信すると、更新状態管理部10003を介して更新状態D1に成功したコマンドとして「データ転送開始要求」を記録する(S404R)。
次に、ゲートウェイ10の更新制御部10001は、現在処理中のブロックに該当する更新データを更新データ5013から読み出し、エンジン制御ECU13が一度に受信可能なデータサイズに分割し、エンジン制御ECU13に送信する(S405)。ここで、送信データはさらにCANフレームに分割されて送信される。エンジン制御ECU13の更新制御部13001は、ステップS405でゲートウェイ10から送信されたデータを受信すると、差分/圧縮復元部13002に指示して復元処理S407を開始する。この復元処理S407は後に詳述する。ここで、復元処理に時間がかかる場合は、ゲートウェイ10に待機応答を送信する(S406)。エンジン制御ECU13の更新制御部13001は、復元処理S407が完了すると、ゲートウェイ10に受信応答S408を送信する。ゲートウェイ10とエンジン制御ECU13は、分割した現在処理中のブロックに該当する更新データの転送がすべて完了するまで、ステップS405からS408までの処理(転送処理S430)を繰り返す。
ゲートウェイ10の更新制御部10001は、転送処理S430が完了すると、更新状態管理部10003を介して更新状態D1に成功したコマンドとして「データ転送」を記録し(S408R)、転送完了通知をエンジン制御ECU13に送信する(S409)。エンジン制御ECU13の更新制御部13001は、ステップS409でゲートウェイ10から送信された転送完了通知を受信すると、ステップS411においてFROM制御部13004にデータ書込み指示を行う。この指示に応じて、FROM制御部13004は、差分/圧縮復元部13002により復元され、SRAM1312またはFROM1313に一時的に格納されている新ソフトウェアまたはその一部をFROM1313に書き込む。ここで、FROM1313へのデータ書き込みに時間がかかる場合には、ゲートウェイ10に待機応答を送信する(S410)。更新制御部13001は、FROM1313への書込みに成功すると、更新状態管理部13003を介して、完了したブロックとして書きこんだブロックを更新状態D21に記録し(S411R)、ゲートウェイ10に受諾応答を送信する(S412)。
ゲートウェイ10の更新制御部10001は、ステップS412でエンジン制御ECU13から送信された受諾応答を受信すると、更新状態管理部10003を介して更新状態D1に当該ブロックの書換え処理が完了したことを記録する(S412R)。ゲートウェイ10とエンジン制御ECU13は、処理対象の全ブロックに該当する転送および書き込み処理をすべて完了するまで、ステップS403RからS412Rまでの処理(ブロック復元・書込み処理S420)を繰り返す。処理対象の全ブロックの復元・書込み処理S420が完了すると、ゲートウェイ10の更新制御部10001は、更新状態管理部10003を介して更新状態D1に書き換え処理が完了したことを記録する(S415R)。
次に、ゲートウェイ10の更新制御部10001は、エンジン制御ECU13にセッション変更要求を送信する(S413)。このセッション変更要求は、通常モードに復帰するための通常モードの識別情報を含む。エンジン制御ECU13の更新制御部13001は、ステップS413でゲートウェイ10から送信されたセッション変更要求を受信すると、セッション変更要求にて指定された通常モードに内部状態を遷移させたのち、ゲートウェイ10に受諾応答を送信する(S414)。
このように、更新状態を逐次記録することで、更新中断後、正常に復して起動した時に更新が完了せずに中断していること、および更新がどこまで進んだ状態で中断したか、を認識して適切なリカバリ処理を開始することができる。
図9は、ECUにおける復元処理S407の処理を示す概念図である。
図9(a)は、メモリの少ないECUにおける復元処理S407の処理を示す概念図である。差分/圧縮復元部13002は、更新制御部13001から復元指示を受けると、ゲートウェイ10から受信し、SRAM1312に格納された更新データ5013aの一部を読み出す。圧縮更新の場合は、更新データは圧縮されているため、これを伸長し復元領域D5にバージョン3の制御プログラムP22として出力する。差分更新の場合は、更新データは差分データであるため、差分/圧縮復元部13002はまず復元のために必要な現行のバージョン2の制御プログラムP21の一部または全部を読み出す。そして差分/圧縮復元部13002は、これらを組み合わせてバージョン3の制御プログラムP22を復元し、復元領域D5に出力する。
なお、本実施の形態では復元領域D5は、FROM1313のDataエリア1313aD0内に確保しているが、たとえば、プログラムエリアの空き領域(1313aP0のBlockN)や、SRAM1312に確保してもよい。復元領域D5としてFROM1313のDataエリア1313aD0やプログラムエリアの空き領域(1313aP0のBlockN)を用いる場合は、Flashの消去・書込み中に更新が中断しても、途中から再開することができる。ただし、マイコン131の仕様によっては、Dataエリア1313aへのアクセスには時間がかかり、更新時間が長くなってしまう場合がある。また、マイコン131の仕様によっては、ソフトウェアの空きエリアは書換え可能な回数が少ない場合がある。また、SRAM1312を復元領域として利用する場合は、Flash書き込み処理S411時に中断した場合は差分リジュームによるリカバリ処理は行えない。復元されたバージョン3の制御プログラムP22は、図8のFlash書き込み処理S411において、更新制御部13001がFROM制御部13004を介し、FROM1313の該当領域に上書きする。図9(a)では、更新制御部13001、およびFROM制御部13004は図示していない。
以上のように、受信したデータを逐次復元することで、バージョン3の制御プログラムP22を再構成するために必要なすべての差分データを蓄積しなくても、差分更新を行うことができる。
ただし、差分データが十分小さくメモリの余剰領域に格納できる場合は、必ずしも本手順に従い逐次復元する必要はなく、すべてのデータを受信後に復元処理を開始してもよい。しかしながらいずれの場合においても、実行中の制御プログラムを上書きする必要があるため、更新が中断した場合、制御プログラムは正常に動作しなくなる。
図9(b)は、メモリが多いECUにおける復元処理S407の処理を示す概念図である。差分/圧縮復元部13002は、更新制御部13001から復元指示を受けると、ゲートウェイ10から受信し、SRAM1312に格納された更新データの一部5013bを読み出す。圧縮更新の場合は、更新データは圧縮されたソフトウェアであるため、これを伸長し復元領域D100にバージョン3の制御プログラムP52として出力する。本実施の形態では、復元領域D100は、SRAM1312に確保している。差分更新の場合は、更新データは差分データであるため、差分/圧縮復元部13002は復元のために必要な現行の制御プログラムP4の一部または全部を読み出しこれらを組み合わせてバージョン3の制御プログラムP52を復元し、復元領域D100に出力する。復元された新ソフトウェアP52は、図8のFlash書き込み処理S411において、更新制御部13001がFROM制御部13004を介し、FROM1313の該当領域に上書きする。ここでは、バージョン3の制御プログラムP52は、BANK1のバージョン1の制御プログラムP51を上書きする。また、ここでは、更新制御部13001、FROM制御部13004は図示していない。
以上のように、2つ分の制御プログラムを格納するメモリを備えたECUの更新を行う場合は、制御プログラムの格納領域を2重化し、現在実行している制御プログラムを格納している領域とは別の領域に制御プログラムを復元・格納することで、更新が中断した場合も、実行中の制御プログラムを破損せず、正常動作を継続することができる。
図10は、ECUの起動シーケンス例である。
図10(a)は、メモリの少ないECUの起動シーケンス図である。
メモリの少ないECUでは、最初にブートローダP1が起動される(S601)。ブートローダP1は、プログラムエリアに格納されている制御プログラムP2を検証する(S602)。検証の結果、制御プログラムP2に問題がないと判断されると(S603:YES)制御プログラムP2が起動される(S604)。また、検証の結果、制御プログラムP2に問題があると判断すると、制御プログラムP2を実行せずに緊急モードとしてゲートウェイ10からの制御指示を待つ(S605)。この時、緊急モード特有の設定としてISO15765-2で規定される転送パラメータであるBlock Sizeを0に設定し、CANフレームのバースト転送を実施してもよい。これにより、通信の効率化を図ることができる。なお制御プログラムP2に問題があると判断する場合とは、たとえばソフトウェアが存在しない場合や、検証結果が異常な場合である。
図10(b)は、メモリの多いECUの起動シーケンス図である。
メモリの多いECUでは、最初にブートローダP3が起動される(S651)。ブートローダP3はDataエリア1313bD0のパラメータD3内の起動情報D33を読み出し(S652)、起動情報D33に記録された制御プログラムを実行する(S653)。たとえば起動情報D33が「プログラムエリア1313bP0」である場合は、プログラムエリア1313bP0上のバージョン2の制御プログラムP4を実行する。
図11は、ゲートウェイ10が起動時に行うリカバリ制御処理を示すフローチャートである。
ゲートウェイ10のリカバリ制御部10004は、ゲートウェイ10が起動すると更新状態管理部10003を介して更新状態D1に記録された更新開始状態D102を取得する(S701)。リカバリ制御部10004は、更新が開始済みのECUが存在しない、すなわち、中断した更新がないと判断する場合(S702:NO)は、通常のゲートウェイ10の起動処理を行う(S713)。
更新が開始済みのECUが存在する、すなわち、中断した更新があると判断する場合(S702:YES)は、リカバリ制御部10004は、サーバ2に中断した更新がある旨を通知する(S703)。そしてリカバリ制御部10004は、リカバリ制御情報管理部10005を介して、当該ECU IDに対応するECUリカバリ制御情報5021から、開始タイミング50212を取得する(S704)。
開始タイミング50212が「即時」であると判断する場合(S705:YES)は、リカバリ制御情報5021の表示内容50213に従って、HMI12に「緊急」の画面表示の指令を出力し(S706)、リカバリ処理を開始する(S707)。ただしこの場合はリカバリ処理を一刻も早く開始するために、HMI12への指令はリカバリ処理を開始してからでもよいし、2つの処理を同時に実行してもよい。リカバリ処理S707の詳細は後述する。
開始タイミング50212が「即時」以外の場合は、リカバリ制御情報5021の表示内容50213を取得し(S708)、表示内容が「注意喚起」であると判断する場合は、HMI12に「注意喚起」の画面表示要求を行う(S710)。
一方、表示内容が「警告」であると判断する場合は、HMI12に「警告」の画面表示要求を行う(S711)。画面表示要求送信後は、走行開始やIGN-OFF等の更新開始トリガを待つ(S712)。その後、更新開始のトリガイベント発生を検出したら、リカバリ処理を開始する(S707)。リカバリ処理S707が完了すると、通常起動処理を行う(S713)。
図12は、第1の実施の形態におけるリカバリ処理S707の一例を示すフローチャートである。
ゲートウェイ10のリカバリ制御部10004は、リカバリ制御情報管理部10005を介して、当該ECU IDに対応するリカバリ制御情報5021から、リカバリ方式50214を取得し(S70701)、ステップS70702に進む。
リカバリ方式50214が「差分リジューム」であると判断する場合(S70702:YES)、リカバリ制御部10004は、更新状態管理部10003を介して更新状態D1に記録された処理中ブロックを取得し(S70703)、ECUとの間で当該ブロックから差分更新処理を再開する(S70704)。
リカバリ方式50214が「差分リジューム」ではないと判断する場合(S70702:NO)、リカバリ制御部10004はリカバリ方式50214が「サーバ連携」であるか否かを判断する。リカバリ方式50214が「サーバ連携」であると判断する場合(S70705:YES)、リカバリ制御部10004は、リカバリ制御情報管理部10005を介して、当該ECU IDに対応するリカバリ制御情報5021からリカバリデータURI50215を取得し(S70706)、当該URIからリカバリデータとして圧縮データを取得する(S70707)。
リカバリ方式50214が「サーバ連携」ではないと判断する場合(S70705:NO)、リカバリ制御部10004は、リカバリ方式50214が「圧縮リカバリ」であるか否かを判断する。リカバリ方式50214が「圧縮リカバリ」であると判断する場合(S70709:YES)、リカバリ制御部10004は、リカバリ制御情報管理部10005を介して、当該ECU IDに対応するECUリカバリデータ5022から圧縮データを取得する(S70710)。
リカバリ制御部10004は、ステップS70707またはS70710で圧縮データを取得後、取得した圧縮データを用いてECUとの間でリカバリ処理を実施する(S70708)。
リカバリ方式50214が「圧縮リカバリ」ではないと判断する場合(S70709:NO)、リカバリ制御部10004は、リカバリ制御情報管理部10005を介して、当該ECU IDに対応するECUリカバリデータ5022からブロックXORデータを取得し(S70711)、ECUとの間でブロックリカバリによるリカバリ処理を実施する(S70712)。
このように、サーバ2から更新制御情報501と共に更新パッケージ5として送信されるリカバリ制御情報502に基づいて更新異常発生時のリカバリ制御処理を実行することで、リソースや特性の異なる多数のECUからなるシステムで更新異常が発生した場合も、車両システムへの影響に応じて、適切なタイミングでリカバリを開始し、更新中断によるシステムへの影響をユーザに的確に伝達し、更新対象のECUの特性に応じたリカバリシーケンスでリカバリ処理を実行して、ソフトウェアを正常に更新することができる。
(動作例)
以下、図13~図24を用いて、自動運転ECU15、ADAS ECU16、エンジン制御ECU13、ブレーキ制御ECU14、HVAC ECU18、エアバッグECU17のリカバリ処理の動作例を説明する。
(動作例―自動運転ECU)
図13および図14を用いて、自動運転ECU15に対応する更新パッケージ5aの構成、HMI12への表示例、および動作シーケンスを説明する。
図13(a)は更新対象が自動運転ECU15のみの場合の更新パッケージ5aの構成を示す図、図13(b)はその更新パッケージ5aに含まれる自動運転ECUリカバリ制御情報5021aの構成を示す図、図13(c)は自動運転ECUリカバリ制御情報5021aに基づくHMI12の表示例を示す図である。
更新対象が自動運転ECU15のみの場合の更新パッケージ5aは、図13(a)に示すように、共通更新制御情報5011、自動運転ECU更新制御情報5012a、自動運転ECU更新データ5013aを含む更新制御情報501aと、自動運転ECUリカバリ制御情報5021aを含むリカバリ制御情報502aと、から構成される。
自動運転ECUリカバリ制御情報5021aは、図13(b)に示すように、ECU ID50211aには「自動運転ECU」が設定され、開始タイミング50212aには「走行開始」が設定され、表示内容50213aには「注意喚起」および不図示の表示メッセージ情報が設定され、リカバリ方式50214aには「差分リジューム」が設定され、リカバリデータURI50215aには情報が設定されていないことを意味する「NULL」が設定される。
リカバリ制御部10004は、表示内容50213aに基づきHMI12の表示装置に図13(c)に示す画面表示G10aを出力させる。この画面表示G10aは、ソフトウェアの更新が中断されており、リカバリ処理による車両1の機能制限状態として更新後の機能がまだ使えない旨をユーザに告知するとともに、中断された更新については自動で適用されることを示す注意喚起である。
図14は、自動運転ECU15のリカバリ処理の1例を示すシーケンス図である。たとえば、自動運転ECU15の更新処理がゲートウェイ10への電源供給断などにより中断され、電源供給が再開されると、以下のようにリカバリ処理が実行される。なお自動運転ECU15は、メモリが多いECUに分類され、図5(b)に示すように2つの制御プログラムを格納できる。
ゲートウェイ10は起動すると図11に示した処理を開始する。すなわち、最初に、ステップS901aにおいて中断中の更新の有無を確認する(図11のS701、S702、図14のS901a)。
また、ゲートウェイ10の処理と並行して、自動運転ECU15では、図10(b)に示した起動処理を行う。ここでは、更新が中断し、起動情報D33はまだ書き換わっておらずプログラムエリア1313bP0に記録された制御プログラムの起動が指定されているため、自動運転ECU15は現行のバージョン2の制御プログラムP4を起動する。
ゲートウェイ10は、更新状態D21の更新開始状態D102から自動運転ECU15の更新が中断していると判定すると(S901a)、ステップS903aにおいて以下の処理を行う。すなわちゲートウェイ10は、自動運転ECU15に該当する自動運転ECUリカバリ制御情報5021aから開始タイミング50212aを読み出し、自動運転ECU15のリカバリ処理を開始するタイミングが、走行開始後であると判定する。
次にゲートウェイ10は、ステップS904aにおいて自動運転ECUリカバリ制御情報5021aから表示内容50213aを読み出し、表示内容50213aに基づく注意喚起画面を表示する要求をHMI12に発行する。HMI12は、この要求に基づき図13(c)のG10aに例示する注意喚起画面を表示装置に表示する(S905a)。ゲートウェイ10は、ステップS906aにおいてリカバリ処理を開始するトリガである走行開始を検出すると、自動運転ECUリカバリ制御情報5021aのリカバリ方式50214aを読み出し、リカバリ処理の方式が「差分リジューム」であると判定する(S907a)。前述のとおり「差分リジューム」によるリカバリとは、差分更新が中断した場合、中断したブロックから差分更新を再開することで、短時間で更新を完了できるようにする方式のことである。ゲートウェイ10は、リジュームを開始するポイントを決定するために、更新状態D21の処理中ブロックD103を読み出す(S908a)。ゲートウェイ10は、リジュームを開始するブロックを決定した後、ステップ909aにおいて、当該ブロックから図8のソフトウェア更新処理S4を実施し、自動運転ECU15の更新を完了する。
自動運転ECU15のように豊富なメモリを備え、制御プログラムが2重化できる場合は、現在実行している制御プログラムを格納している領域とは別の領域に更新後の制御プログラムを復元または格納することができるので以下の利点がある。すなわち、更新が中断した場合も実行中の制御プログラムを破損せず、再起動時に実行中の制御プログラムを起動することで正常な動作を維持することができる。このため、上記のとおりリカバリ制御情報502aを構成し、これを用いることで、ゲートウェイ10は、自動運転ECU15の更新が中断された場合でも即時に更新を完了させなくてもよく、次の走行時に更新を再開すればよい。
ゲートウェイ10は、更新が中断した旨と中断した更新の再開は走行中に自動的に行われる旨を、HMI12に注意喚起画面を表示させることでユーザに伝達する。また更新状態D1に更新状態が記録されているので、中断ポイントからリカバリの実行を開始、すなわち更新を再開し、迅速に更新を完了することができる。
なお前述の例では、自動運転ECU15の更新が中断した際に、注意喚起画面を表示させる例を示した。しかし、例えば自動運転ECU15の更新が走行中などに完全にバックグラウンドで実施されユーザが意識しない間に完了させる場合、注意喚起画面を表示させないように制御してもよい。この場合、図13の表示内容50213aには、「注意喚起」ではなく「画面表示なし」が設定される。
(動作例―ADAS ECU)
図15および図16を用いて、ADAS ECU16に対応する更新パッケージ5bの構成、HMI12への表示例、および動作シーケンスを説明する。
図15(a)は更新対象がADAS ECU16のみの場合の更新パッケージ5bの構成を示す図、図15(b)はその更新パッケージ5bに含まれるADAS ECUリカバリ制御情報5021bの構成を示す図、図15(c)はADAS ECUリカバリ制御情報5021bに基づくHMI12の表示例を示す図である。
更新対象がADAS ECU16のみの場合の更新パッケージ5bは、図15(a)に示すように、共通更新制御情報5011、ADAS ECU更新制御情報5012b、ADAS ECU更新データ5013bを含む更新制御情報501bと、ADAS ECUリカバリ制御情報5021bを含むリカバリ制御情報502bと、から構成される。
ADAS ECUリカバリ制御情報5021bは、図15(b)に示すように、ECU ID50211bには「ADAS ECU」が設定され、開始タイミング50212bには「IGN-OFF」が設定され、表示内容50213bには「注意喚起」および不図示の表示メッセージ情報が設定され、リカバリ方式50214bには「差分リジューム」が設定され、リカバリデータURI50215bには情報が設定されていないことを意味する「NULL」が設定される。
リカバリ制御部10004は、表示内容50213bに基づきHMI12の表示装置に図15(c)に示す画面表示G10bを出力させる。この画面表示G10bは、ソフトウェアの更新が中断されており、リカバリ処理による車両1の機能制限状態として更新後の機能がまだ使えない旨をユーザに告知するとともに、中断された更新については次にIGN-OFF、すなわちイグニッションがオフにされたタイミングで適用されることを示す注意喚起である。
図16は、ADAS ECU16のリカバリ処理の1例を示すシーケンス図である。たとえば、ADAS ECU16の更新処理がゲートウェイ10への電源供給断などにより中断され、電源供給が再開されると、以下のようにリカバリ処理が実行される。なおADAS ECU16は、メモリが多いECUに分類され、図5(b)に示すように2つの制御プログラムを格納できる。
ゲートウェイ10は起動すると図11に示した処理を開始する。すなわち、最初に、ステップS901bにおいて中断中の更新の有無を確認する(図11のS701、S702、図16のS901b)。
また、ゲートウェイ10の処理と並行して、ADAS ECU16では、図10(b)に示した起動処理を行う。ここでは、更新が中断し、起動情報D33はまだ書き換わっておらずプログラムエリア1313bP0に記録された制御プログラムの起動が指定されているため、ADAS ECU16は現行のバージョン2の制御プログラムP4を起動する。
ゲートウェイ10は、更新状態D21の更新開始状態D102からADAS ECU16の更新が中断していると判定すると(S901b)、ステップS903bにおいて以下の処理を行う。すなわちゲートウェイ10は、ADAS ECU16に該当するADAS ECUリカバリ制御情報5021bから開始タイミング50212bを読み出し、ADAS ECU16のリカバリ処理を開始するタイミングが、IGN-OFFであると判定する。
次にゲートウェイ10は、ステップS904bにおいてADAS ECUリカバリ制御情報5021bから表示内容50213bを読み出し、表示内容50213bに基づく注意喚起画面を表示する要求をHMI12に発行する。HMI12は、この要求に基づき図15(c)のG10bに例示する注意喚起画面を表示装置に表示する(S905b)。ゲートウェイ10は、ステップS906bにおいてリカバリ処理を開始するトリガであるイグニッションOFF信号が車両1から入力されると、これを検出し(S907b)、ADAS ECUリカバリ制御情報5021bのリカバリ方式50214bを読み出して、リカバリ処理の方式が「差分リジューム」であると判定する(S908b)。前述のとおり「差分リジューム」によるリカバリとは、差分更新が中断した場合、中断したブロックから差分更新を再開することで、短時間で更新を完了できるようにする方式のことである。ゲートウェイ10は、リジュームを開始するポイントを決定するために、更新状態D21の処理中ブロックD103を読み出す(S909b)。ゲートウェイ10は、リジュームを開始するブロックを決定した後、ステップ910bにおいて、当該ブロックから図8のソフトウェア更新処理S4を実施し、ADAS ECU16の更新を完了する。
ADAS ECU16も自動運転ECU15と同様に豊富なメモリを備えるので、自動運転ECU15と同様の利点がある。
ゲートウェイ10は、ユーザには更新が中断した旨と、中断した更新の再開はイグニッションオフにより行われる旨をHMI12に注意喚起画面を表示させることでユーザに伝達する。また更新状態D1に更新状態が記録されているので、中断ポイントからリカバリの実行を開始、すなわち更新を再開し、迅速に更新を完了することができる。
(動作例―エンジン制御ECU)
図17および図18を用いて、エンジン制御ECU13に対応する更新パッケージ5cの構成、HMI12への表示例、および動作シーケンスを説明する。
図17(a)は更新対象がエンジン制御ECU13のみの場合の更新パッケージ5cの構成を示す図、図17(b)はその更新パッケージ5cに含まれるエンジン制御ECUリカバリ制御情報5021cの構成を示す図、図17(c)はエンジン制御ECUリカバリ制御情報5021cに基づくHMI12の表示例を示す図である。
更新対象がエンジン制御ECU13のみの場合の更新パッケージ5cは、図17(a)に示すように、共通更新制御情報5011、エンジン制御ECU更新制御情報5012c、エンジン制御ECU更新データ5013cを含む更新制御情報501cと、エンジン制御ECUリカバリ制御情報5021cを含むリカバリ制御情報502cと、から構成される。
エンジン制御ECUリカバリ制御情報5021cは、図17(b)に示すように、ECU ID50211cには「エンジン制御ECU」が設定され、開始タイミング50212cには「即時」が設定され、表示内容50213cには「緊急」および不図示の表示メッセージ情報が設定され、リカバリ方式50214cには「差分リジューム」が設定され、リカバリデータURI50215cには情報が設定されていないことを意味する「NULL」が設定される。
リカバリ制御部10004は、表示内容50213cに基づきHMI12の表示装置に図17(c)に示す画面表示G10cを出力させる。この画面表示G10cは、ソフトウェアの更新が中断されており、リカバリ処理による車両1の機能制限状態として車両1が使えない旨をユーザに告知するとともに、中断された更新については即時リカバリ中であることを示す。
図18は、エンジン制御ECU13のリカバリ処理の1例を示すシーケンス図である。たとえば、エンジン制御ECU13の更新処理がゲートウェイ10への電源供給断などにより中断され、電源供給が再開されると、以下のようにリカバリ処理が実行される。なおエンジン制御ECU13は、メモリが少ないECUに分類され、図5(a)に示すように制御プログラムは1つのみ格納できる。
ゲートウェイ10は起動すると図11に示した処理を開始する。すなわち、最初に、ステップS901cにおいて中断中の更新の有無を確認する(図11のS701、S702、図18のS901c)。
また、ゲートウェイ10の処理と並行して、エンジン制御ECU13では、図10(a)に示した起動処理を行う。ここでは、更新が中断し、現行のバージョン2の制御プログラムの一部がバージョン3の制御プログラムの一部で上書きされてしまっている状態のため、制御プログラムP2の検証に問題が発生し、緊急モードで起動される(S902c)。
ゲートウェイ10は、更新状態D21の更新開始状態D102からエンジン制御ECU13の更新が中断していると判定すると(S901c)、ステップS903cにおいて以下の処理を行う。すなわちゲートウェイ10は、エンジン制御ECU13に該当するエンジン制御ECUリカバリ制御情報5021cから開始タイミング50212cを読み出し、エンジン制御ECU13のリカバリ処理を開始するタイミングが即時であると判定する。
次にゲートウェイ10は、ステップS904cにおいてエンジン制御ECUリカバリ制御情報5021cから表示内容50213cを読み出し、表示内容50213cに基づく緊急画面を表示する要求をHMI12に発行する。HMI12は、この要求に基づき図17(c)のG10cに例示する緊急画面を表示装置に表示する(S905c)。ゲートウェイ10は、リカバリ処理を開始するタイミングが即時なので、ステップS904cでHMI12に緊急画面の表示要求を発行すると即時にエンジン制御ECUリカバリ制御情報5021cのリカバリ方式50214cを読み出し、リカバリ処理の方式が「差分リジューム」であると判定する(S906c)。ゲートウェイ10は、ステップS907cにおいてリジュームを開始するポイントを決定するために、更新状態D21の処理中ブロックD103を読み出す。ゲートウェイ10は、リジュームを開始するブロックを決定した後、ステップ908cにおいて、当該ブロックから図8のソフトウェア更新処理S4を実施し、エンジン制御ECU13の更新を完了する。
エンジン制御ECU13のようなメモリが少ないECUの場合は、単一の制御プログラムを上書きしながら更新を行う必要があるため、更新が中断した場合は、制御プログラムは正常動作できなくなる。このため、エンジン制御ECU13の更新が中断した場合、エンジン制御が行えず、走行ができなくなってしまう。上記のとおりリカバリ制御情報502cを構成し、これを用いることで、ゲートウェイ10はエンジン制御ECU13の更新が中断した際は、中断した更新の再開を即時に行う必要があると判断する。またゲートウェイ10は、車両が使用できない旨と中断した更新の再開は即時開始されている旨をHMI12に緊急画面を表示させることでユーザに伝達する。また更新状態D1に更新状態が記録されているので、中断ポイントからリカバリの実行を開始、すなわち更新を再開し、迅速に更新を完了することができる。
(動作例―ブレーキ制御ECU)
図19および図20を用いて、ブレーキ制御ECU14に対応する更新パッケージ5dの構成、HMI12への表示例、および動作シーケンスを説明する。
図19(a)は更新対象がブレーキ制御ECU14のみの場合の更新パッケージ5dの構成を示す図、図19(b)はその更新パッケージ5dに含まれるブレーキ制御ECUリカバリ制御情報5021dの構成を示す図、図19(c)はブレーキ制御ECUリカバリ制御情報5021dに基づくHMI12の表示例を示す図である。
更新対象がブレーキ制御ECU14のみの場合の更新パッケージ5dは、図19(a)に示すように、共通更新制御情報5011、ブレーキ制御ECU更新制御情報5012d、およびブレーキ制御ECU更新データ5013dを含む更新制御情報501dと、ブレーキ制御ECUリカバリ制御情報5021d、およびブレーキ制御ECUリカバリデータ5022dを含むリカバリ制御情報502dと、から構成される。
ブレーキ制御ECUリカバリ制御情報5021dは、図19(b)に示すように、ECU ID50211dには「ブレーキ制御ECU」が設定され、開始タイミング50212dには「即時」が設定され、表示内容50213dには「緊急」および不図示の表示メッセージ情報が設定され、リカバリ方式50214dには「圧縮リカバリ」が設定され、リカバリデータURI50215dには情報が設定されていないことを意味する「NULL」が設定される。
リカバリ制御部10004は、表示内容50213dに基づきHMI12の表示装置に図19(c)に示す画面表示G10dを出力させる。この画面表示G10dは、ソフトウェアの更新が中断されており、リカバリ処理による車両1の機能制限状態として車両1が使えない旨をユーザに告知するとともに、中断された更新については即時リカバリ中であることを示す。
図20は、ブレーキ制御ECU14のリカバリ処理の1例を示すシーケンス図である。たとえば、ブレーキ制御ECU14の更新処理がゲートウェイ10への電源供給断などにより中断され、電源供給が再開されると、以下のようにリカバリ処理が実行される。なおブレーキ制御ECU14は、メモリが少ないECUに分類され、図5(a)に示すように制御プログラムは1つのみ格納できる。
ゲートウェイ10は起動すると図11に示した処理を開始する。すなわち、最初に、ステップS901dにおいて中断中の更新の有無を確認する(図11のS701、S702、図20のS901d)。
また、ゲートウェイ10の処理と並行して、ブレーキ制御ECU14では、図10(a)に示した起動処理を行う。ここでは、更新が中断し、現行のバージョン2の制御プログラムの一部がバージョン3の制御プログラムの一部で上書きされてしまっている状態のため、制御プログラムP2の検証に問題が発生し、緊急モードで起動される(S902d)。
ゲートウェイ10は、更新状態D21の更新開始状態D102からブレーキ制御ECU14の更新が中断していると判定すると(S901d)、ステップS903dにおいて以下の処理を行う。すなわちゲートウェイ10は、ブレーキ制御ECU14に該当するブレーキ制御ECUリカバリ制御情報5021dから開始タイミング50212dを読み出し、ブレーキ制御ECU14のリカバリ処理を開始するタイミングが即時であると判定する。
次にゲートウェイ10は、ステップS904dにおいてブレーキ制御ECUリカバリ制御情報5021dから表示内容50213dを読み出し、表示内容50213dに基づく緊急画面を表示する要求をHMI12に発行する。HMI12は、この要求に基づき図19(c)のG10dに例示する緊急画面を表示装置に表示する(S905c)。ゲートウェイ10は、リカバリ処理を開始するタイミングが即時なので、ステップS904dでHMI12に緊急画面の表示要求を発行すると即時にブレーキ制御ECUリカバリ制御情報5021dのリカバリ方式50214dを読み出し、リカバリ処理の方式が「圧縮リカバリ」であると判定する(S906d)。前述のとおり「圧縮リカバリ」方式によるリカバリとは、ソフトウェアの圧縮データを用いて、ソフトウェアの全領域の書込みまたは、破損した領域の書込み、すなわち修復を行うことで、確実にリカバリを行う方式である。ゲートウェイ10は、ステップS907dにおいて、更新パッケージ5dに同梱されたバージョン3の制御プログラムの圧縮データであるブレーキ制御ECUリカバリデータ5022dを読み出す。そしてゲートウェイ10は、読みだしたブレーキ制御ECUリカバリデータ5022dを用いて図8のソフトウェア更新処理S4を実施し、ブレーキ制御ECU14の更新を完了する。
ブレーキ制御ECU14もエンジン制御ECU13と同様にメモリが少ないので、上記のとおりリカバリ制御情報502cを構成し、これを用いることで、ゲートウェイ10はブレーキ制御ECU14の更新が中断した際は、中断した更新の再開を即時に行う必要があると判断する。またゲートウェイ10は、車両が使用できない旨と中断した更新の再開は即時開始されている旨をHMI12に緊急画面を表示させることでユーザに伝達する。さらに、ブレーキ制御ECUリカバリデータ5022dとしてバージョン3の制御プログラムを圧縮したデータを同梱して制御プログラムの修復を行うようにすることで、差分リジュームの以下の問題点を回避できる。すなわち差分リジュームでは、復元領域としてDataエリア1313aを用いることで処理時間が長くなってしまう問題点や、書換え回数の少ない可能性のあるプログラムエリアを使用してしまう問題点があるが、圧縮リカバリ方式ではこれらの問題点を回避できる。また、後述のブロックリカバリでは、ECUのソフトウェア修復中に再度中断した場合は、その後の復元ができなくなるが、圧縮データによる修復の場合は、再度中断した場合も対応が可能となる。
(動作例―HVAC ECU)
図21および図22を用いて、HVAC ECU18に対応する更新パッケージ5eの構成、HMI12への表示例、および動作シーケンスを説明する。
図21(a)は更新対象がHVAC ECU18のみの場合の更新パッケージ5eの構成を示す図、図21(b)はその更新パッケージ5eに含まれるHVAC ECUリカバリ制御情報5021eの構成を示す図、図21(c)はHVAC ECUリカバリ制御情報5021eに基づくHMI12の表示例を示す図である。
更新対象がHVAC ECU18のみの場合の更新パッケージ5eは、図21(a)に示すように、共通更新制御情報5011、HVAC ECU更新制御情報5012e、HVAC ECU更新データ5013eを含む更新制御情報501eと、HVAC ECUリカバリ制御情報5021eを含むリカバリ制御情報502eと、から構成される。
HVAC ECUリカバリ制御情報5021eは、図21(b)に示すように、ECU ID50211eには「HVAC ECU」が設定され、開始タイミング50212eには「IGN-OFF」が設定され、表示内容50213eには「警告」および不図示の表示メッセージ情報が設定され、リカバリ方式50214eには「サーバ連携」が設定され、リカバリデータURI50215eにはリカバリデータが格納されているURIである「htttps://example.jp/data」が設定される。
リカバリ制御部10004は、表示内容50213eに基づきHMI12の表示装置に図21(c)に示す画面表示G10eを出力させる。この画面表示G10eは、ソフトウェアの更新が中断されており、リカバリ処理による車両1の機能制限状態としてHVAC機能が使えない旨をユーザに告知するとともに、リカバリのためにはサーバ2との通信が必要であることを示す警告である。
図22は、HVAC ECU18のリカバリ処理の1例を示すシーケンス図である。たとえば、HVAC ECU18の更新処理がゲートウェイ10への電源供給断などにより中断され、電源供給が再開されると、以下のようにリカバリ処理が実行される。なおHVAC ECU18は、メモリが少ないECUに分類され、図5(a)に示すように制御プログラムは1つのみ格納できる。
ゲートウェイ10は起動すると図11に示した処理を開始する。すなわち、最初に、ステップS901eにおいて中断中の更新の有無を確認する(図11のS701、S702、図22のS901e)。
また、ゲートウェイ10の処理と並行して、HVAC ECU18では、図10(a)に示した起動処理を行う。ここでは、更新が中断し、現行のバージョン2の制御プログラムの一部がバージョン3の制御プログラムの一部で上書きされてしまっている状態のため、制御プログラムP2の検証に問題が発生し、緊急モードで起動される(S902e)。
ゲートウェイ10は、更新状態D21の更新開始状態D102からHVAC ECU18の更新が中断していると判定すると(S901e)、ステップS903eにおいて以下の処理を行う。すなわちゲートウェイ10は、HVAC ECU18に該当するHVAC ECUリカバリ制御情報5021eから開始タイミング50212eを読み出し、HVAC ECU18のリカバリ処理を開始するタイミングがイグニッションOFFであると判断する。
次にゲートウェイ10は、ステップS904eにおいてHVAC ECUリカバリ制御情報5021eから表示内容50213eを読み出し、表示内容50213eに基づく警告画面を表示する要求をHMI12に発行する。HMI12は、この要求に基づき図21(c)のG10eに例示する警告画面を表示する(S905e)。
ゲートウェイ10は、イグニッションOFF信号を受信すると(ステップS906e)これを検出する(S907e)。そしてHVAC ECUリカバリ制御情報5021eのリカバリ方式50214eを読み出し、リカバリ処理の方式が「サーバ連携」であると判定する(S908e)。前述のとおり「サーバ連携」方式によるリカバリとは、中断した更新を完了またはロールバックさせるために必要なデータを、リカバリ時にサーバ2から取得する方式である。通信モジュール11がサーバ2との通信が有効化されたことを検出すると、ゲートウェイ10は通信モジュール11からこの通知を受ける(S909e)。そしてゲートウェイ10は、通信モジュール11を経由してサーバ2のリカバリデータURI50215dに対してリカバリデータ取得要求を送信し(ステップ910e)、リカバリデータを受信する(S911e)。さらにゲートウェイ10は、受信したリカバリデータを用いて更新処理を実施し(S912e)、HVAC ECU18の更新を完了する。
HVAC ECU18もエンジン制御ECU13やブレーキ制御ECU14と同様にメモリが少なく、単一の制御プログラムを上書きしながら更新を行う必要があるため、更新が中断した場合は、制御プログラムは正常動作できなくなる。このため、HVAC ECU18の更新が中断した場合、HVAC制御が行えないが、車両1の走行への影響は少ない。上記のとおりリカバリ制御情報502eを構成し、これを用いてゲートウェイ10はHVAC ECU18の更新が中断した際は、すぐにHVAC ECU18を制御して更新を完了させなくてもよく、サーバ連携によりサーバ2から必要なデータをダウンロードした後、次のイグニッションOFF時に更新を再開する。またゲートウェイ10は、更新が中断したためHVAC機能が使えない旨、更新の再開のためには通信可能な環境に移動することが必要である旨、さらに中断した更新の再開はイグニッションOFF時に開始できる旨を、HMI12に警告画面を表示させることでユーザに伝達する。
またゲートウェイ10は、リカバリ処理に用いるデータをリカバリデータURI50215に記載されたURIから取得することができる。さらに、頻度の少ない異常発生時のみ、サーバから必要なリカバリデータを取得してECUのソフトウェアを修復する構成とすることで、ゲートウェイ10やECUにリカバリデータやバックアップデータを格納するための追加メモリを準備する必要がなくなり、低コストにシステムを構築できる。
(動作例―エアバッグECU)
図23および図24を用いて、エアバッグECU17に対応する更新パッケージ5fの構成、HMI12への表示例、および動作シーケンスを説明する。
図23(a)は更新対象がエアバッグECU17のみの場合の更新パッケージ5fの構成を示す図、図23(b)はその更新パッケージ5fに含まれるエアバッグECUリカバリ制御情報5021fの構成を示す図、図23(c)はエアバッグECUリカバリ制御情報5021fに基づくHMI12の表示例を示す図である。
更新対象がエアバッグECU17のみの場合の更新パッケージ5fは、図23(a)に示すように、共通更新制御情報5011、エアバッグECU更新制御情報5012f、エアバッグECU更新データ5013fを含む更新制御情報501fと、エアバッグECUリカバリ制御情報5021f、およびエアバッグECUリカバリデータ5022fを含むリカバリ制御情報502fと、から構成される。
エアバッグECUリカバリ制御情報5021fは、図23(b)に示すように、ECU ID50211fには「エアバッグECU」が設定され、開始タイミング50212fには「IGN-OFF」が設定され、表示内容50213fには「警告」および不図示の表示メッセージ情報が設定され、リカバリ方式50214fには「ブロックリカバリ」が設定され、リカバリデータURI50215fには情報が設定されていないことを意味する「NULL」が設定される。
リカバリ制御部10004は、表示内容50213fに基づきHMI12の表示装置に図23(c)に示す画面表示G10fを出力させる。この画面表示G10fは、ソフトウェアの更新が中断されており、リカバリ処理による車両1の機能制限状態としてエアバッグが使えない旨をユーザに告知するとともに、中断された更新を再開するタイミングは次のイグニッションOFFのタイミングであることを示す。
図24は、エアバッグECU17のリカバリ処理の1例を示すシーケンス図である。たとえば、エアバッグECU17の更新処理がゲートウェイ10への電源供給断などにより中断され、電源供給が再開されると、以下のようにリカバリ処理が実行される。なおエアバッグECU17は、メモリが少ないECUに分類され、図5(a)に示すように制御プログラムは1つのみ格納できる。
ゲートウェイ10は起動すると図11に示した処理を開始する。すなわち、最初に、ステップS901fにおいて中断中の更新の有無を確認する(図11のS701、S702、図24のS901f)。
また、ゲートウェイ10の処理と並行して、エアバッグECU17では、図10(a)に示した起動処理を行う。ここでは、更新が中断し、現行のバージョン2の制御プログラムの一部がバージョン3の制御プログラムの一部で上書きされてしまっている状態のため、制御プログラムP2の検証に問題が発生し、緊急モードで起動される(S902f)。
ゲートウェイ10は、更新状態D21の更新開始状態D102からエアバッグECU17の更新が中断していると判定すると(S901f)、ステップS903fにおいて以下の処理を行う。すなわちゲートウェイ10は、エアバッグECU17に該当するエアバッグECUリカバリ制御情報5021fから開始タイミング50212fを読み出し、エアバッグECU17のリカバリ処理を開始するタイミングがイグニッションOFFであると判定する。
次にゲートウェイ10は、ステップS904fにおいてエアバッグECUリカバリ制御情報5021fから表示内容50213fを読み出し、表示内容50213fに基づく警告画面を表示する要求をHMI12に発行する。HMI12は、この要求に基づき図23(c)のG10fに例示する警告画面を表示する(S905f)。ゲートウェイ10は、リカバリ処理を開始するトリガであるイグニッションOFF信号を受信すると(S906f)これを検出する(S907f)。そしてゲートウェイ10は、エアバッグECUリカバリ制御情報5021fのリカバリ方式50214fを読み出し、リカバリ処理の方式が「ブロックリカバリ」であると判定し(S908f)、更新パッケージ5fに同梱されたエアバッグECUリカバリデータ5022fを読み出す(S909f)。
ゲートウェイ10は、ステップS910fにおいてリジュームを開始するポイントを決定するために、更新状態D21の処理中ブロックD103を読み出す。ゲートウェイ10は、リジュームを開始するブロックを決定した後、ステップ911fにおいて、当該ブロックの次のブロックから図8のソフトウェア更新処理S4を実施し、中断したブロック以外のエアバッグECU17の更新を完了する。ゲートウェイ10は、ステップS912fにおいて、ステップS909fで取得したリカバリデータをエアバッグECU17に送信する。エアバッグECU17は、ステップS913fにおいて、受信したリカバリデータと中断したブロック以外の更新後ソフトウェアのブロックから、中断したブロック(破損ブロック)を復元する。
エアバッグECU17のようなメモリが少ないECUの場合は、単一の制御プログラムを上書きしながら更新を行う必要があるため、更新が中断した場合は、制御プログラムは正常動作できなくなる。このため、エアバッグECU17の更新が中断した場合、エアバッグ制御が行えないが、車両1の走行への影響は少ない。上記の通りリカバリ制御情報502fを構成し、これを用いることで、ゲートウェイ10はエアバッグECU17の更新が中断した際は、すぐにECUを制御して更新を完了させなくてもよく、次のイグニッションOFF時に更新を再開すればよいことがわかる。また、ユーザに対して、更新が中断した旨と、そのためエアバッグ機能が使えない旨、中断した更新の再開はイグニッションOFF時に開始できる旨を、HMI12に警告画面を表示させることでユーザに伝達する。
上述した第1の実施の形態によれば、次の作用効果が得られる。
(1)ソフトウェア更新装置、たとえばゲートウェイ10は、制御装置、たとえばECUと接続され、ECUのソフトウェア、たとえば制御プログラムを更新前状態から更新完了状態へと遷移させる更新処理を行う更新制御部10001と、リカバリ制御情報502を取得するリカバリ制御情報管理部10005と、更新処理の異常により制御プログラムが更新完了状態へと遷移されていない場合に、リカバリ制御情報502に基づき制御プログラムを更新完了状態に遷移させるリカバリ処理を実行するリカバリ制御部10004とを備える。
ゲートウェイ10は、リカバリ制御情報502に基づきECUのリカバリ処理を実行するので、リカバリ制御情報502の記載に基づき様々なリカバリ処理を実行可能であり、多様な装置、たとえば多様なECUに対応したリカバリ処理を実行できる。換言すると、リカバリ制御情報502に基づいて更新に異常が発生した際のリカバリ制御処理を実行することで、リソースや特性の異なる多数のECUからなるシステムで更新に異常が発生した場合でも、適切なリカバリ処理を行うことができる。
(2)リカバリ制御情報502はリカバリ処理を開始するタイミングの情報である開始タイミング50212を含む。そのため、ゲートウェイ10はリカバリ制御情報502に基づきリカバリを実行するタイミングを、即時実施や次回のイグニッションOFF時など多様な対応が可能である。リカバリ制御情報502における開始タイミング50212の設定は、たとえば車両におけるそのECUの役割に応じて決定される。
(3)ゲートウェイ10は、車両に搭載され制御装置が車両のエンジン、およびブレーキの少なくとも一方を制御する装置である場合に、リカバリ制御情報はリカバリ処理を開始するタイミングが即時であることを示す情報を含む。そのためゲートウェイ10は、車両の走行に不可欠なエンジン制御ECU13やブレーキ制御ECU14に対して、即時にリカバリ処理を開始することができる。
(4)リカバリ制御情報502は、リカバリ処理の方式を示す情報を含む。そのためゲートウェイ10は、差分リジューム、圧縮リカバリ、サーバ連携、ブロックリカバリなどのリカバリ処理の方式をリカバリ制御情報502に基づき、ECUごとに使い分けることができる。
(5)リカバリ処理の方式は、ECUの構成、たとえばメモリ容量の多少に基づき決定されている。ECUの種類により処理に必要なリソースの量がある程度特定されるため、ECUの構成はECUの種類とも関連がある。すなわち、リカバリ処理の方式はECUの種類に基づき決定されているとも言える。そのため、ECUの構成やECUの種類に応じて適切なリカバリ処理を実施できる。
(6)リカバリ制御情報502は、リカバリ処理の方式に対応するリカバリデータを含む。そのためゲートウェイ10は、リカバリ制御情報502に含まれるリカバリデータを用いてリカバリ処理を実行することができる。
(7)リカバリ制御情報502は、画面表示のための情報である表示内容50213を含み、ソフトウェア更新装置は画面表示のための情報に基づき、リカバリ処理による車両1の機能制限状態を車両1の乗員であるユーザに告知する画面として、図13(c)、図15(c)、図17(c)、図19(c)、図21(c)、図23(c)のような画面を表示するための信号をHMI12に出力する表示制御部、すなわちリカバリ制御部10004を備える。
そのためゲートウェイ10は、リカバリ処理の実行中には車両1の機能がどのように制限されるかをユーザに告知することができ、ユーザに状況を伝達することでユーザの利便性を向上させることができる。
(変形例1)
上述した実施の形態では、ゲートウェイ10がそれぞれのECUに搭載された制御プログラムを更新する、いわばソフトウェア更新装置の役割を担っていた。しかし、上述したゲートウェイプログラム100が有する機能が通信モジュール11やHMI12に搭載されていてもよい。さらに、車内ネットワーク10aや10bに接続される、不図示の他の装置がゲートウェイプログラム100が有する機能を備えてもよい。
(変形例2)
上述した第1の実施の形態では、ゲートウェイ10がリカバリデータURI50215にアクセスすると圧縮されたソフトウェアが得られるとした。しかしリカバリデータURI50215により識別されるリソースは、更新後のソフトウェアから現行のソフトウェアへロールバックするための差分データ、ソフトウエアのブロックのXORデータ、さらには破損したブロックのデータでもよい。そしてゲートウェイ10は、受信したデータに適合する処理を実行する。
(変形例3)
リカバリ制御情報502に含まれるリカバリデータURI50215には、リカバリ方式50214が「サーバ連携」以外の場合は、情報が設定されていないことを意味する「NULL」が設定された。しかしリカバリデータがECUリカバリ制御情報502に含まれる場合には、リカバリデータURI50215にそのことを示す「LOCAL」が設定されてもよい。
(変形例4)
第1の実施の形態では、リカバリは更新処理の異常によりソフトウェアが更新完了状態へと遷移されていない場合に、更新完了状態に遷移させることであると定義した。しかし、リカバリを更新処理の異常によりソフトウェアが更新完了状態へと遷移されていない場合に、更新前状態に遷移させることとしてもよい。換言すると、いわゆるロールバックをリカバリとしてもよい。この場合は、ECUリカバリデータ5022にロールバックを実行するために必要な情報、たとえば、更新前のソフトウェアのブロック間のXORデータが含まれ、リカバリ制御部10004はECUリカバリデータ5022を用いてロールバックを実行する。
(変形例5)
ゲートウェイ10は、リカバリ処理を実行する際にネットワーク帯域を通常より多く使用してもよい。たとえばゲートウェイ10は、通常は1秒あたりのデータ送信回数、または1秒あたりに送信するデータ量をネットワークの負荷に対して十分な余裕を持った設定とする。そしてゲートウェイ10は、リカバリ処理を実行する際は通常よりも多いデータ送信回数、または通常よりも多いデータ量を許容する。これにより、リカバリ処理を迅速に実行できる。
またゲートウェイ10は、ネットワーク帯域を通常より多く使用することに代えて、もしくはネットワーク帯域を通常より多く使用するとともに、リカバリ処理に関連するデータフレームの優先度を通常より高く設定してもよい。
さらにゲートウェイ10は、全てのリカバリ処理についてネットワーク帯域を通常より多く使用するのではなく、特定の条件下においてのみネットワーク帯域を通常より多く使用してもよい。特定の条件とは、たとえばECUリカバリ制御情報5021の表示内容50213が「緊急」であることや、リカバリ方式50214において帯域を増加させることが明示されていることである。
(変形例6)
ECU更新制御情報5012に含まれる更新制御手順と、ECUリカバリ制御情報5021のリカバリ方式50214の組み合わせが、特定の組み合わせであってもよい。たとえば更新制御手順が差分更新であり、リカバリ方式50214が圧縮リカバリの組み合わせであってもよい。
図25は、変形例6において更新対象がブレーキ制御ECU14のみの場合の更新パッケージ5dの構成を示す図である。ブレーキ制御ECU更新制御情報5012dは、図25(b)に示すように、たとえばECUを識別するECU ID50121d、更新を開始するタイミングを示す開始タイミング50122d、更新制御手順を示す更新方式50124dから構成される。更新方式50124dが差分更新なので、ブレーキ制御ECU更新データ5013dは最新ソフトウエアと現行ソフトウエアとの差分データである。リカバリ方式50214dは圧縮リカバリなので、ブレーキ制御ECUリカバリデータ5022dは圧縮された最新ソフトウエアである。
この場合は、通常は短時間で処理が完了する更新方式が差分更新を実行し、更新に異常が生じた場合はソフトウェアの全領域の書込みを行うことで、確実にリカバリを行うことができる。そのため、処理の迅速性と安全性の確保を両立させることができる。
なお、更新制御手順が差分更新であり、リカバリ方式50214がサーバ連携であり、リカバリデータURIに基づき取得されるデータが圧縮された最新版のソフトウエアであってもよい。
また、「リカバリ」の定義を、更新処理の異常によりソフトウェアが更新完了状態へと遷移されていない場合に、更新完了状態または更新前の状態に遷移させることとする場合は、図25に示した例は以下のとおりでもよい。すなわち、ブレーキ制御ECU更新データ5013dは最新ソフトウエアと現行ソフトウエアとの差分データであり、ブレーキ制御ECUリカバリデータ5022dは圧縮された現行のソフトウエアであってもよい。
―第2の実施の形態―
図26~図27を参照して、ソフトウェア更新システムSの第2の実施の形態を説明する。以下の説明では、第1の実施の形態と同じ構成要素には同じ符号を付して相違点を主に説明する。特に説明しない点については、第1の実施の形態と同じである。本実施の形態では、主に、ソフトウェアが更新されるECUにリカバリ制御情報が格納されている点で、第1の実施の形態と異なる。
(構成)
第2の実施の形態におけるゲートウェイ10のハードウェア構成、およびゲートウェイプログラム100の構成は第1の実施の形態と同様である。ただしゲートウェイプログラム100の動作が後述するように一部異なる。
第2の実施の形態におけるECUのハードウェア構成は第1の実施の形態と同様である。ECUの制御プログラムの構成を説明する。
図26は、第2の実施の形態におけるエンジン制御ECU13上で動作する制御プログラム130の構成を示すブロック図である。ただし本実施の形態においてソフトウェアが更新される対象となるECUはいずれも、少なくとも図26に示す制御プログラム130と同様の構成を備える。
第2の実施の形態における制御プログラム130は、第1の実施の形態における構成に加えてリカバリ制御情報13007の記憶領域をさらに備える。このリカバリ制御情報13007には、第1の実施の形態におけるリカバリ制御情報502と同様の情報が含まれる。ただしリカバリ制御情報13007はリカバリ制御情報13007を格納するECU、すなわちエンジン制御ECU13についての情報のみが格納される。換言すると、リカバリ制御情報13007には1つのECUリカバリ制御情報が含まれ、最大で1つのECUリカバリデータが含まれる。リカバリ制御情報13007は、エンジン制御ECU13の工場出荷時にあらかじめ設定されてもよいし、出荷後に設定されてもよい。リカバリ制御情報13007以外の構成要素は、図4(b)の構成と同様である。
(リカバリ制御情報の取得動作)
図27は、ゲートウェイ10がエンジン制御ECU13からリカバリ制御情報13007を取得する処理を示すシーケンス図である。ゲートウェイ10は、エンジン制御ECU13の制御ソフトウェアを更新する前、たとえば更新の直前に以下のようにエンジン制御ECU13からリカバリ制御情報13007を取得する。
ゲートウェイ10の更新制御部10001は、エンジン制御ECU13にリカバリ制御情報取得要求を送信する(S801)。エンジン制御ECU13の更新制御部13001は、リカバリ制御情報取得要求を受信すると、リカバリ制御情報13007を読み出し、これをゲートウェイ10に送信する(S802)。これを受信したゲートウェイ10は、受信したリカバリ制御情報13007を用いて第1の実施の形態と同様にリカバリ処理を実行する。
なおここでは、エンジン制御ECU13を例に説明を行ったが、他のECUも同様の構成及びシーケンスで実施できる。
上述した第2の実施の形態によれば、次の作用効果が得られる。
(1)ECUは、当該ECUのリカバリ処理に用いられる情報であるリカバリ制御情報13007の記憶領域を備え、ゲートウェイ10からの要求に応じてリカバリ制御情報13007を提供する。
そのためゲートウェイ10は、ECUごとのリカバリ処理に関する情報を、インターネット3を介して接続されるサーバ2ではなく物理的に近くに存在するECUから取得してリカバリ処理を行うことができる。また、ECUの追加・交換等により実際の車両の構成とサーバ2で管理されている車両の構成の不一致が生じた場合にはサーバからは適切なリカバリ制御情報が取得できなくなるが、サーバ2と実際の車両システムの構成に相違生じた場合でも、適切にリカバリ制御を行うことができる。
―第3の実施の形態―
図28~図30を参照して、ソフトウェア更新システムSの第3の実施の形態を説明する。以下の説明では、第1の実施の形態と同じ構成要素には同じ符号を付して相違点を主に説明する。特に説明しない点については、第1の実施の形態と同じである。本実施の形態では、主に、リカバリ制御情報が中断要因ごとに格納されている点で、第1の実施の形態と異なる。また、本実施の形態における「リカバリ」とは、更新処理の異常によりソフトウェアが更新完了状態へと遷移されていない場合であって、かつ、致命的な異常により更新完了状態に遷移させることができない場合に、ユーザにその旨を通知する動作も含む。ユーザは当該通知により、車両に致命的な異常が発生したことを確認し、ディーラに連絡等必要な手段を講じることができる。
(構成)
第3の実施の形態におけるゲートウェイ10のハードウェア構成、およびゲートウェイプログラム100の構成は第1の実施の形態と同様である。ただしゲートウェイプログラム100の動作が後述するように一部異なる。
第3の実施の形態におけるECUのハードウェア構成は第1の実施の形態と同様である。
図28(a)は、第3の実施の形態における更新パッケージ5の構成例である。図28(a)に示すように、第3の実施の形態における更新パッケージ5の構成は第1の実施の形態と同様であり、ECUリカバリ制御情報に符号5023を用いる点と以下に説明するようにECUリカバリ制御情報5023の構成が第1の実施の形態と異なる。
図28(b)は、第3の実施の形態におけるECUリカバリ制御情報5023の構成を示す図である。ECUリカバリ制御情報5023は、第1の実施の形態におけるECUリカバリ制御情報5021の構成に加えて、1つのリカバリ制御情報数50231、および1つ以上の中断要因50232をさらに備える。そしてECUリカバリ制御情報5023には、それぞれの中断要因50232に対応する、開始タイミング50212、表示内容50213、リカバリ方式50214、およびリカバリデータURI50215が含まれる。リカバリ制御情報数50231は、ECUリカバリ制御情報5023に中断要因50232がいくつ含まれるかを示す。中断要因50232は、更新が中断した要因を示す。以下では、ECUリカバリ制御情報5023に含まれる中断要因50232、開始タイミング50212、表示内容50213、リカバリ方式50214、およびリカバリデータURI50215の組み合わせを、要因別リカバリ制御情報50230と呼ぶ。
(動作例)
図29及び図30を用いて、自動運転ECU15について、中断要因ごとに異なるリカバリ制御を行う場合の場合のリカバリ制御情報5023aの構成例、HMI12への表示例、更新状態D1aの構成例、および動作シーケンスを示す。
第3の実施の形態におけるリカバリ制御情報5023aは、図29(a)に示すように、ECU ID50211a、リカバリ制御情報数50231a、および要因別リカバリ制御情報50230aから構成される。ECU ID50211aには「自動運転ECU」が設定され、リカバリ制御情報数50231には「2」が設定され、第1の中断要因50232aには「電源断・通信断」が設定され、開始タイミング50212aには「走行開始」が設定され、表示内容50213aには「注意喚起」および不図示の表示メッセージ情報が設定され、リカバリ方式50214aには「差分リジューム」が設定され、リカバリデータURI50215aには情報が設定されていないことを意味する「NULL」が設定される。第2の中断要因50232a2には「即時」が設定され、開始タイミング50212a2には「即時」が設定され、表示内容50213a2には「緊急」および不図示の表示メッセージ情報としてディーラへの誘導を促す情報が設定され、リカバリ方式50214a2には情報が設定されていないことを意味する「NULL」が設定され、リカバリデータURI50215a2には情報が設定されていないことを意味する「NULL」が設定される。
リカバリ制御部10004は、表示内容50213a2に基づきHMI12の表示装置に図29(b)に示す画面表示G10a2を出力させる。この画面表示G10a2は、ソフトウェアの更新が致命的エラーにより中断されており、リカバリするためにはディーラーに連絡する必要があることを示す表示である。
第3の実施の形態における更新状態D1aは、図29(c)に示すように、第1の実施の形態における更新状態D1の情報に加え、中断要因D106を備える。中断要因D106は、更新が中断した要因が格納されるフィールドであり、例えば「電源断」「通信断」「FROM故障」などが格納される。
レコードD11aは第3の実施の形態において自動運転ECU15の更新状態を示すレコードであり、中断要因D106のフィールドには「FROM故障」が格納されている。このように、中断要因D106を記録することにより、更新が中断した要因を認識して適切なリカバリ処理を開始することができる。
図30は、第3の実施の形態における自動運転ECU15のリカバリ処理の1例を示すシーケンス図である。たとえば、自動運転ECU15の更新処理が、ゲートウェイ10への電源供給断などにより中断された後で電源供給が再開された後や、自動運転ECU15のFROMの故障により中断した後に、再度イグニッションがONされると、以下のようにリカバリ処理が実行される。
ゲートウェイ10が起動すると、最初に、ステップS901aにおいて中断中の更新の有無を確認する(図11のS701、S702、図30のS901a)。
また、ゲートウェイ10の処理と並行して、自動運転ECU15では、図10(b)に示した起動処理を行う。ここでは、更新が中断し、起動情報D33はまだ書き換わっておらずプログラムエリア1313bP0に記録された制御プログラムの起動が指定されているため、自動運転ECU15は現行のバージョン2の制御プログラムP4を起動する。
ゲートウェイ10は、更新状態D21の更新開始状態D102から自動運転ECU15の更新が中断していると判定すると(S901a)、ステップS910a2において以下の処理を行う。すなわちゲートウェイ10は、更新状態D1aから自動運転ECU15に該当する中断要因D106を読み出し、中断要因を判定する。中断要因が「電源断・通信断」の場合(S910a2:「通信断・電源断」)、次に、ステップS911a2において自動運転ECUリカバリ制御情報5023aから中断要因が「電源断・通信断」であるリカバリ制御情報を読み出し、リカバリ制御情報に基づくリカバリ処理を行う。中断要因が「電源断・通信断」であるリカバリ制御情報に基づくリカバリ処理は、図14のステップS903aからステップS909aまでの処理と同じである。中断要因が「FROM故障」である場合(S910a2:「FROM故障」)、次に、ステップS912a2において自動運転ECUリカバリ制御情報5023aから中断要因が「FROM故障」であるリカバリ制御情報を読み出し、リカバリ制御情報に基づくリカバリ処理を行う。
中断要因が「FROM故障」であるリカバリ制御情報に基づくリカバリ処理は、図30(b)に示す手順で行われる。すなわち、ゲートウェイ10は、自動運転ECU15に該当する自動運転ECUリカバリ制御情報5023から中断要因が「FROM故障」である場合の開始タイミング50212a2を読み出し、自動運転ECU15のリカバリ処理を開始するタイミングが、即時であると判定する。次にゲートウェイ10は、ステップS903a2において自動運転ECUリカバリ制御情報5023から中断要因が「FROM故障」である場合の表示内容50213a2を読み出し、表示内容50213a2に基づく緊急画面を表示する要求をHMI12に発行する(S911a2)。HMI12は、この要求に基づき図29(b)のG10a2に例示する緊急画面を表示装置に表示する(S912a2)。
上述した第3の実施の形態によれば、以下の作用効果が得られる。
(1)リカバリ制御情報5023は、異常要因ごとのリカバリ制御情報を備え、ゲートウェイ10は、異常要因に応じて適用するリカバリ処理を選択する。
更新が中断する要因がFROMの故障の場合などは、ハードウェアの交換などが必要となり、システム単独でリカバリを行うことが困難であるなど、中断要因によっては、適用可能なリカバリ処理が異なる可能性がある。上記の通りリカバリ制御情報5023を構成し、これを用いることで、ゲートウェイ10は、例えばECUに致命的な異常が発生した場合とそうでない場合で、異なるリカバリ処理を実行し、ユーザに適切な情報を伝えることができる。
なお、本発明は上記した実施例に限定されるものではなく、様々な変形例が含まれる。たとえば、上記した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施例の構成の一部を他の実施例の構成に置き換えることが可能であり、また、ある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成の一部について、他の構成の追加・削除・置換をすることや各処理における処理の順番を入れ替えることも可能である。たとえば、本実施の形態ではソフトウェア更新装置はゲートウェイ10であるとしたが、通信モジュール11やHMI12がソフトウェア更新装置であってもよい。
また、上記の各構成、機能、処理部、処理手段等は、それらの一部又は全部を、たとえば集積回路で設計する等によりハードウェアで実現してもよい。また、上記の各構成、機能等は、プロセッサがそれぞれの機能を実現するソフトウェアを解釈し、実行することによりソフトウェアで実現してもよい。
また、制御線や情報線は説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。実際には殆ど全ての構成が相互に接続されていると考えてもよい。
上記では、種々の実施の形態および変形例を説明したが、本発明はこれらの内容に限定されるものではない。本発明の技術的思想の範囲内で考えられるその他の態様も本発明の範囲内に含まれる。
S … ソフトウェア更新システム
1 … 車両
2 … サーバ
10 … ゲートウェイ
13 … エンジン制御ECU
14 … ブレーキ制御ECU
10001 … 更新制御部
10004 … リカバリ制御部
10005 … リカバリ制御情報管理部
502 … ECUリカバリ制御情報
5021 … ECUリカバリ制御情報
5022 … ECUリカバリデータ
50212 … リカバリ開始タイミング
50212 … 開始タイミング
50213 … 表示内容
50214 … リカバリ方式

Claims (10)

  1. 制御装置と接続されるソフトウェア更新装置であって、
    前記制御装置のソフトウェアを更新前状態から更新完了状態へと遷移させる更新処理を行う更新制御部と、
    リカバリ制御情報を取得するリカバリ制御情報管理部と、
    前記更新処理の異常により前記ソフトウェアが前記更新完了状態へと遷移されていない場合に、前記リカバリ制御情報に基づき前記ソフトウェアを前記更新完了状態に遷移させるリカバリ処理を実行するリカバリ制御部とを備え、
    前記リカバリ制御部は、前記リカバリ処理を実行する場合は、前記ソフトウェア更新装置と前記制御装置との通信設定を変更し、
    前記リカバリ制御情報には、前記更新処理が中断された要因を示す中断要因および、前記中断要因に応じたリカバリ情報を含むことを特徴とするソフトウェア更新装置。
  2. 請求項1記載のソフトウェア更新装置において、
    前記リカバリ制御情報管理部は、前記制御装置から前記リカバリ制御情報を取得する、ソフトウェア更新装置。
  3. 請求項1または請求項2に記載のソフトウェア更新装置において、
    前記通信設定は、通信の帯域であることを特徴とするソフトウェア更新装置。
  4. 請求項1または請求項2に記載のソフトウェア更新装置において、
    前記通信設定は、通信の優先度であることを特徴とするソフトウェア更新装置。
  5. 請求項1から請求項までのいずれか一項に記載のソフトウェア更新装置において、
    前記リカバリ制御部は、前記リカバリ処理を実行する場合において、さらに所定の条件を満たす場合は、前記ソフトウェア更新装置と前記制御装置との通信設定を変更することを特徴とするソフトウェア更新装置。
  6. 制御装置と接続されるソフトウェア更新装置が実行するソフトウェア更新方法であって、
    前記制御装置のソフトウェアを更新前状態から更新完了状態へと遷移させる更新処理を行うことと、
    リカバリ制御情報を取得することと、
    前記更新処理の異常により前記ソフトウェアが前記更新完了状態へと遷移されていない場合に、前記リカバリ制御情報に基づき前記ソフトウェアを前記更新完了状態に遷移させるリカバリ処理を実行することと、
    前記リカバリ処理を実行する場合は、前記ソフトウェア更新装置と前記制御装置との通信設定を変更することとを含み、
    前記リカバリ制御情報には、前記更新処理が中断された要因を示す中断要因および、前記中断要因に応じたリカバリ情報が含まれることを特徴とするソフトウェア更新方法。
  7. 請求項6に記載のソフトウェア更新方法において、
    前記制御装置から前記リカバリ制御情報を取得することをさらに含む、ソフトウェア更新方法。
  8. 請求項6または請求項7に記載のソフトウェア更新方法において、
    前記通信設定は、通信の帯域であることを特徴とするソフトウェア更新方法。
  9. 請求項6または請求項7に記載のソフトウェア更新方法において、
    前記通信設定は、通信の優先度であることを特徴とするソフトウェア更新方法。
  10. 請求項から請求項までのいずれか一項に記載のソフトウェア更新方法において、
    前記リカバリ処理を実行する場合において、さらに所定の条件を満たす場合は、前記ソフトウェア更新装置と前記制御装置との通信設定を変更することを特徴とするソフトウェア更新方法。
JP2020148013A 2020-09-03 2020-09-03 ソフトウェア更新装置、ソフトウェア更新方法 Active JP7184855B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2020148013A JP7184855B2 (ja) 2020-09-03 2020-09-03 ソフトウェア更新装置、ソフトウェア更新方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2020148013A JP7184855B2 (ja) 2020-09-03 2020-09-03 ソフトウェア更新装置、ソフトウェア更新方法

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2016202767A Division JP6760813B2 (ja) 2016-10-14 2016-10-14 ソフトウェア更新装置、ソフトウェア更新方法、ソフトウェア更新システム

Publications (2)

Publication Number Publication Date
JP2020201986A JP2020201986A (ja) 2020-12-17
JP7184855B2 true JP7184855B2 (ja) 2022-12-06

Family

ID=73744330

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020148013A Active JP7184855B2 (ja) 2020-09-03 2020-09-03 ソフトウェア更新装置、ソフトウェア更新方法

Country Status (1)

Country Link
JP (1) JP7184855B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2023132307A (ja) * 2022-03-10 2023-09-22 トヨタ自動車株式会社 通信制御装置、通信制御方法及び通信制御プログラム

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000315157A (ja) 1994-09-19 2000-11-14 Hitachi Ltd プログラム更新/回復方法
JP2003337723A (ja) 2002-03-11 2003-11-28 Fujitsu Ltd 差分転送方法、プログラム及びシステム
JP2004048340A (ja) 2002-07-11 2004-02-12 Ntt Me Corp 広域コンピュータ通信ネットワークへのアクセス・接続品質制御システム
US20050210459A1 (en) 2004-03-12 2005-09-22 Henderson Gary S Controlling installation update behaviors on a client computer
JP2010198155A (ja) 2009-02-24 2010-09-09 Fujitsu Ten Ltd プログラム更新装置、プログラム更新方法、及び情報処理装置
JP2011155600A (ja) 2010-01-28 2011-08-11 Oki Electric Industry Co Ltd 通信制御装置
JP4901955B2 (ja) 2007-03-30 2012-03-21 富士通株式会社 基地局装置、通信システム及びコンピュータプログラム
JP2013543200A (ja) 2010-11-17 2013-11-28 アップル インコーポレイテッド ネットワーク化されたリカバリシステム
JP2015121987A (ja) 2013-12-24 2015-07-02 株式会社ノーリツ プログラム更新システム

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000315157A (ja) 1994-09-19 2000-11-14 Hitachi Ltd プログラム更新/回復方法
JP2003337723A (ja) 2002-03-11 2003-11-28 Fujitsu Ltd 差分転送方法、プログラム及びシステム
JP2004048340A (ja) 2002-07-11 2004-02-12 Ntt Me Corp 広域コンピュータ通信ネットワークへのアクセス・接続品質制御システム
US20050210459A1 (en) 2004-03-12 2005-09-22 Henderson Gary S Controlling installation update behaviors on a client computer
JP4901955B2 (ja) 2007-03-30 2012-03-21 富士通株式会社 基地局装置、通信システム及びコンピュータプログラム
JP2010198155A (ja) 2009-02-24 2010-09-09 Fujitsu Ten Ltd プログラム更新装置、プログラム更新方法、及び情報処理装置
JP2011155600A (ja) 2010-01-28 2011-08-11 Oki Electric Industry Co Ltd 通信制御装置
JP2013543200A (ja) 2010-11-17 2013-11-28 アップル インコーポレイテッド ネットワーク化されたリカバリシステム
JP2015121987A (ja) 2013-12-24 2015-07-02 株式会社ノーリツ プログラム更新システム

Also Published As

Publication number Publication date
JP2020201986A (ja) 2020-12-17

Similar Documents

Publication Publication Date Title
JP6760813B2 (ja) ソフトウェア更新装置、ソフトウェア更新方法、ソフトウェア更新システム
JP6780724B2 (ja) 車載更新装置、更新処理プログラム及び、プログラムの更新方法
JP2020107355A (ja) 仮想マシンモニタ、ソフトウェア及びファームウェア更新方法
WO2020080273A1 (ja) 車載更新装置、更新処理プログラム及び、プログラムの更新方法
CN110809755B (zh) 电子控制系统
JP7192415B2 (ja) プログラム更新システム及び更新処理プログラム
CN110244958B (zh) 用于更新车辆的标定数据的方法和装置
US11126422B2 (en) Program update system, control system, mobile body, program update method, recording medium
US20230315436A1 (en) Program update system, program transmission device, and program transmission method
JP7184855B2 (ja) ソフトウェア更新装置、ソフトウェア更新方法
US11449329B2 (en) Vehicle control device and program update system
JP7331818B2 (ja) 車載更新装置、更新処理プログラム及び、プログラムの更新方法
JP4593095B2 (ja) プログラム書込装置,プログラム書込システム,送信装置およびプログラム
US20220391192A1 (en) Ota master, center, system, method, non-transitory storage medium, and vehicle
JP2021071824A (ja) 制御通信システム
WO2023106072A1 (ja) 車載装置、プログラム、プログラムの更新方法、及び車載更新システム
JP2539367B2 (ja) 端末システム
US20220391193A1 (en) Ota master, system, method, non-transitory storage medium, and vehicle
JP2023131640A (ja) 車載装置、プログラム、及びプログラムの更新方法
JP2001022561A (ja) 制御装置
JP2022154449A (ja) Otaマスタ、更新制御方法、及び更新制御プログラム
JP2021135514A (ja) 情報処理装置、プログラム更新システム、及びプログラム更新方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200903

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20201030

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20211109

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20220107

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220225

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220712

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220829

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20221025

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20221124

R150 Certificate of patent or registration of utility model

Ref document number: 7184855

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150