JP7194760B2 - 制御システム、移動体、制御方法及びプログラム - Google Patents

制御システム、移動体、制御方法及びプログラム Download PDF

Info

Publication number
JP7194760B2
JP7194760B2 JP2021003346A JP2021003346A JP7194760B2 JP 7194760 B2 JP7194760 B2 JP 7194760B2 JP 2021003346 A JP2021003346 A JP 2021003346A JP 2021003346 A JP2021003346 A JP 2021003346A JP 7194760 B2 JP7194760 B2 JP 7194760B2
Authority
JP
Japan
Prior art keywords
control unit
update
program
diagnostic device
mobile
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021003346A
Other languages
English (en)
Other versions
JP2022108390A (ja
Inventor
知明 滝
陽介 塩ノ谷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Honda Motor Co Ltd
Original Assignee
Honda Motor Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Honda Motor Co Ltd filed Critical Honda Motor Co Ltd
Priority to JP2021003346A priority Critical patent/JP7194760B2/ja
Priority to CN202111477894.XA priority patent/CN114763110A/zh
Priority to US17/560,302 priority patent/US12073203B2/en
Publication of JP2022108390A publication Critical patent/JP2022108390A/ja
Application granted granted Critical
Publication of JP7194760B2 publication Critical patent/JP7194760B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • B60R16/0231Circuits relating to the driving or the functioning of the vehicle
    • B60R16/0232Circuits relating to the driving or the functioning of the vehicle for measuring vehicle parameters and indicating critical, abnormal or dangerous conditions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/65Updates
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/08Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
    • G07C5/0808Diagnosing performance data
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/08Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
    • G07C5/0816Indicating performance data, e.g. occurrence of a malfunction
    • G07C5/0825Indicating performance data, e.g. occurrence of a malfunction using optical means
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02MAPPARATUS FOR CONVERSION BETWEEN AC AND AC, BETWEEN AC AND DC, OR BETWEEN DC AND DC, AND FOR USE WITH MAINS OR SIMILAR POWER SUPPLY SYSTEMS; CONVERSION OF DC OR AC INPUT POWER INTO SURGE OUTPUT POWER; CONTROL OR REGULATION THEREOF
    • H02M1/00Details of apparatus for conversion
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/008Registering or indicating the working of vehicles communicating information to a remotely located station

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Power Engineering (AREA)
  • Automation & Control Theory (AREA)
  • Mechanical Engineering (AREA)
  • Stored Programmes (AREA)
  • Test And Diagnosis Of Digital Computers (AREA)

Description

本発明は、制御システム、移動体、制御方法及びプログラムに関する。
特許文献1には、車両用のECUとして、アプリプログラムを書換え可能なECUが開示されている。
[先行技術文献]
[特許文献]
[特許文献1] 特開2020-27666号公報
第1の態様において、制御システムが提供される。制御システムは、移動体を制御する移動体制御部を備える。制御システムは、移動体制御部のプログラム更新を制御する更新制御部を備える。制御システムは、移動体制御部と更新制御部とを情報通信する経路である通信経路を備える。移動体制御部の診断を行う外部診断装置と接続され外部診断装置に移動体の情報を送信するための経路と通信経路とが少なくとも一部が共通である。制御システムは、プログラム更新と、外部診断装置による移動体制御部の診断とが行われる場合に、外部診断装置による診断及びプログラム更新の一方を制限する制限制御部を備える。
制限制御部は、プログラム更新と、外部診断装置による移動体制御部の診断とが行われる場合に、外部診断装置による診断が中止するまで、プログラム更新を禁止してよい。
制限制御部は、プログラム更新と、外部診断装置による移動体制御部の診断とが行われる場合に、外部診断装置による診断を停止する旨のユーザ通知を実行させてよい。
更新制御部は、移動体の起動時に、移動体制御部のプログラム更新に必要な移動体制御部の少なくともバージョンを含む情報であり移動体制御部が記憶する管理情報を通信経路を通じて取得する構成同期を実施してよい。制限制御部は、移動体の起動時に外部診断装置が移動体に接続されていることが検知された場合に、外部診断装置の接続が解除されるまで、構成同期を禁止してよい。
制限制御部は、移動体の起動時に外部診断装置が移動体に接続されていることが検知された場合に、移動体制御部の更新プログラムを送信するサーバからの更新プログラムの受信を禁止してよい。
更新制御部は、移動体制御部の更新プログラムを送信するサーバから、更新プログラムの存在通知を受信する制御を行ってよい。制限制御部は、移動体の起動時に外部診断装置が移動体に接続されていることが検知された場合に、更新プログラムが存在する旨のユーザ通知と、外部診断装置の接続の解除を要求するユーザ通知とを実行させてよい。
制限制御部は、移動体の起動時に外部診断装置が移動体に接続されていることが検知された後、外部診断装置の接続が解除された場合に、サーバからの更新プログラムの受信を開始させてよい。
制限制御部は、移動体制御部のプログラム更新のための更新プログラムを移動体制御部に書き込み中に外部診断装置が移動体に接続されたことが検知された場合に、移動体制御部への更新プログラムの書き込みを中断してよい。
制限制御部は、移動体制御部への更新プログラムを書き込み中に外部診断装置が移動体に接続されたことが検知された場合に、外部診断装置の接続の解除を要求するユーザ通知をさらに実行させてよい。
第2の態様において、移動体が提供される。移動体は、上記の制御システムを備える。
移動体は車両であってよい。
第3の態様において、制御方法が提供される。制御方法は、制御システムが実行する制御方法である。制御システムは、移動体を制御する移動体制御部と、移動体を制御する移動体制御部のプログラム更新を制御する更新制御部と、更新制御部とが情報通信する経路である通信経路とを備える。移動体制御部の診断を行う外部診断装置と接続され外部診断装置に移動体の情報を送信するための経路と通信経路とが少なくとも一部が共通である。制御方法は、プログラム更新と、外部診断装置による移動体制御部の診断とが行われる場合に、外部診断装置による診断及びプログラム更新の一方を制限する段階を備える。
第4の態様において、プログラムが提供される。プログラムは、コンピュータを、移動体を制御する移動体制御部として機能させる。プログラムは、コンピュータを、移動体制御部のプログラム更新を制御する更新制御部として機能させる。コンピュータは、移動体制御部と更新制御部とが情報通信する経路である通信経路を備える。移動体制御部の診断を行う外部診断装置と接続され外部診断装置に移動体の情報を送信するための経路と通信経路とが少なくとも一部が共通である。プログラムは、コンピュータを、プログラム更新と、外部診断装置による移動体制御部の診断とが行われる場合に、外部診断装置による診断及びプログラム更新の一方を制限する制限制御部として機能させる。
なお、上記の発明の概要は、本発明の必要な特徴の全てを列挙したものではない。また、これらの特徴群のサブコンビネーションもまた、発明となりうる。
一実施形態に係る更新システム10を模式的に示す。 制御システム200が備えるシステム構成を模式的に示す。 更新制御部220が記憶する管理情報データのデータ構造を示す。 プログラム更新処理に関するタイムチャートの一例を模式的に示す。 プログラム更新処理に関するタイムチャートの他の例を模式的に示す。 IVI299に表示されるユーザ通知情報600の一例を示す。 MID298に表示されるユーザ通知情報700の一例を示す。 プログラム更新に関する処理の実行手順の一例を示すフローチャートである。 プログラム更新に関する処理の実行手順の一例を示すフローチャートである。 プログラム更新に関する処理の実行手順の一例を示すフローチャートである。 コンピュータ2000の例を示す。
以下、発明の実施の形態を通じて本発明を説明するが、以下の実施形態は特許請求の範囲にかかる発明を限定するものではない。また、実施形態の中で説明されている特徴の組み合わせの全てが発明の解決手段に必須であるとは限らない。
図1は、一実施形態に係る更新システム10を模式的に示す。更新システム10は、車両20と、サーバ70とを備える。車両20は、制御システム200を備える。制御システム200は、車両20の制御と、通信ネットワーク90を通じたサーバ70との間の通信とを担う。通信ネットワーク90は、インターネット等のIPネットワーク、P2Pネットワーク、VPNを含む専用回線、仮想ネットワーク、移動体通信網等を含む。
車両20において、制御システム200は、車両20の制御を行う複数のECU(Electronic Control Unit)を備える。制御システム200は、制御システム200が備えるECUの更新プログラムを外部から取得する。例えば、制御システム200は、通信ネットワーク90を通じて、サーバ70から送信された更新プログラムを無線通信により受信する。制御システム200は、更新プログラムによって制御システム200が備えるECUをリプログラミングする。リプログラミングは、制御システム200が備えるECUの機能のアップグレード等を目的として行われる。このように、制御システム200は、OTA(Over The Air)によりECUをリプログラミングすることによってECUを更新する。本実施形態において、更新プログラムによってECU等の機器を更新することを「プログラム更新」と呼ぶ。
制御システム200は、診断装置30を接続するための診断ポート34を備える。診断ポートは、例えばOBD(On Board Diagnostics)コネクタである。診断装置30は、ケーブル32を通じて診断ポート34に接続される。診断ポート34は車両20のネットワークを介して複数のECUと通信を行うことができる。診断装置30は、例えばディーラー等で車両整備を行う場合等に使用される専用スキャンツールである。専用スキャンツールは、制御システム200が備える各ECUに記憶されている情報を車両20のネットワークを介して収集するために用いられる。診断ポート34は、このような専用スキャンツールを接続することを主な目的として用意される。したがって、診断ポート34に専用スキャンツールが接続されて情報を収集する際は車両20内のネットワークには専用スキャンツールが要求した情報が展開するため、専用スキャンツールが接続されていない状態と比較して車両20内のネットワークに流れる情報量は多様化する。一方、専用スキャンツールとは別に市販のスキャンツールも流通しているため、診断ポート34に市販のスキャンツールが接続される可能性がある。市販のスキャンツールが診断ポート34に接続されている場合、プログラム更新対象のECUが市販のスキャンツールと通信している場合に、プログラム更新対象のECUが他のECUと通信できない場合が生じ得るため、プログラム更新に支障が生じる可能性がある。
制御システム200は、ECUのプログラム更新を実行する場合に、診断ポート34に何らかの診断装置が接続されているか否かを判断する。制御システム200は、診断ポート34に何らかの診断装置が接続されている場合、ECUのプログラム更新に関連する処理の少なくとも一部を制限する。例えば、制御システム200は、ECUに更新プログラムを書き込む処理を停止して、以後のプログラム更新の処理を停止する。これにより、市販のスキャンツールまたは専用スキャンツールによってプログラム更新に支障が生じる可能性を低減することができる。
図2は、制御システム200が備えるシステム構成を模式的に示す。制御システム200は、TCU201と、ECU202と、ECU204と、ECU205と、ECU206と、MID298と、IVI299と、診断ポート34とを備える。図2において、FI294、バッテリ295、及び空調機器296は、車両20が備える機器である。FI294、バッテリ295、及び空調機器296は、車両20の被制御機器の一例である。
ECU202は、TCU201、ECU204、ECU205及びECU206と車内通信回線280を通じて接続される。ECU202は、TCU201、ECU204、ECU205、ECU206、MID298及びIVI299と車内通信回線280を通じて情報通信を行う。ECU202は、TCU201、ECU204、ECU205、ECU206、MID298及びIVI299を統括制御する。車内通信回線280は、例えばCAN(Controller Area Network)やイーサ・ネットワーク等を含んで構成されてよい。車内通信回線280は、情報通信を行うための経路である「通信経路」の一例である。
TCU201は、テレマティクス制御ユニット(Telematics Control Unit)である。TCU201は、主として移動体通信を担う。TCU201は、ECU202の制御に基づいて、サーバ70との間でデータの送受信を行う。TCU201は、ECU202の制御に基づいて、サーバ70から送信された更新プログラムを移動体通信によって受信する。TCU201は、無線通信部として機能し得る。
MID298は、マルチインフォメーションディスプレイである。IVI299は、例えば車内インフォテインメント情報機器(IVI)である。MID298及びIVI299は表示制御部として機能し得る。IVI299は、無線LAN通信機能を備える。IVI299は、ECU202の制御に基づいて、サーバ70から送信された更新プログラムを無線LАN通信によって受信する。
診断ポート34は、ECU202、ECU204、ECU205、ECU206、MID298及びIVI299の診断を行う診断装置30と接続される。診断ポート34は、車内通信回線280に接続される。診断ポート34に診断装置30が接続されている場合、診断装置30は、ECU202、ECU204、ECU205、ECU206、MID298及びIVI299が記憶している車両20の情報は車内通信回線280を通じて受信する。このように、診断装置30と接続され診断装置30に車両20の情報を送信するための経路と車内通信回線280とは、少なくとも一部が共通である。なお、診断ポート34は、車内通信回線280の一部を構成するCANに接続され、診断装置30は、ECU202、ECU204、ECU205、ECU206、MID298及びIVI299とCAN通信により車両20の情報を受信するとしてよい。
ECU204、ECU205及びECU206は、それぞれ車両20を制御する車両制御部としてのECUである。ECU204、ECU205及びECU206は、「移動体制御部」の一例である。ECU204、ECU205及びECU206は、車両20が備える各種の機器を制御する。例えば、ECU204は、燃料噴射装置であるFI294等を制御する。ECU205は、高圧バッテリであるバッテリ295等を制御する。ECU206は、空調機器296等を制御する。
本実施形態では、制御システム200がTCU201、ECU202、ECU204、ECU205、ECU206、MID298及びIVI299を備えるシステム構成を例示するが、制御システム200のシステム構成は本実施形態の例に限られない。また、本実施形態では、例示として、プログラム更新の対象となり得る移動体制御部がECU205であり、ECU202がプログラム更新を制御する更新制御部として機能するものとして説明する。なお、プログラム更新の対象となり得る移動体制御部はECU205に限られない。プログラム更新の対象となり得る移動体制御部は、TCU201、ECU202、ECU204、ECU205、ECU206、MID298及びIVI299のいずれであってよい。
ECU202は、更新制御部220と、制限制御部250とを備える。更新制御部220と、ECU205のプログラム更新を制御する。制限制御部250は、プログラム更新と、診断装置30によるECU205の診断とが行われる場合に、診断装置30による診断及びプログラム更新の一方を制限する。例えば、制限制御部250は、プログラム更新と、診断装置30によるECU205の診断とが行われる場合に、プログラム更新を制限する。
制限制御部250は、プログラム更新と、診断装置30によるECU205の診断とが行われる場合に、診断装置30による診断が中止するまで、プログラム更新を禁止してよい。制限制御部250は、プログラム更新と、診断装置30によるECU205の診断とが行われる場合に、診断装置30による診断を停止する旨のユーザ通知を実行させてよい。ユーザとは例えば車両20の搭乗者であってよい。制限制御部250は、例えばMID298及びIVI299にユーザ通知を実行させてよい。例えば制限制御部250は、ユーザへの通知情報をMID298及びIVI299に表示させてよい。
更新制御部220は、車両20の起動時に、ECU205のプログラム更新に必要なECU205の少なくともバージョンを含む情報でありECU205が記憶する管理情報を車内通信回線280を通じて取得する構成同期を実施してよい。例えば、更新制御部220は、車両20のイグニッション(IG)電源がオンされた場合に、構成同期を実施してよい。制限制御部250は、車両20の起動時に診断装置30が車両20に接続されていることが検知された場合に、診断装置30の接続が解除されるまで、構成同期を禁止してよい。
制限制御部250は、車両20の起動時に診断装置30が車両20に接続されていることが検知された場合に、ECU205の更新プログラムを送信するサーバからの更新プログラムの受信を禁止してよい。
更新制御部220は、ECU205の更新プログラムを送信するサーバから、更新プログラムの存在通知を受信する制御を行ってよい。制限制御部250は、車両20の起動時に診断装置30が車両20に接続されていることが検知された場合に、更新プログラムが存在する旨のユーザ通知と、診断装置30の接続の解除を要求するユーザ通知とを実行さてよい。
制限制御部250は、車両20の起動時に診断装置30が車両20に接続されていることが検知された後、診断装置30の接続が解除された場合に、サーバからの更新プログラムの受信を開始させてよい。
制限制御部250は、ECU205への更新プログラムの書き込み中に診断装置30が車両20に接続されたことが検知された場合に、ECU205への更新プログラムの書き込みを中断してよい。制限制御部250は、ECU205への更新プログラムを書き込み中に診断装置30が車両20に接続されたことが検知された場合に、診断装置30の接続の解除を要求するユーザ通知をさらに実行させてよい。
ここで、プログラム更新について説明する。プログラム更新の対象となる機器がECUであり、ECUのファームウェア格納用のメモリがシングルバンクメモリ(いわゆる1面ROM)である場合のプログラム更新処理を説明する。この場合、ECUのファームウェア格納用のプログラム記憶領域は1つであるため、ECUがプログラム記憶領域内に格納されたプログラムに従って動作している場合には、更新プログラムをプログラム記憶領域に書き込むことができない。ECUのプログラム更新を行う場合、更新制御部220は、ECUに更新プログラムを転送してECUの予め定められたデータ記憶領域に更新プログラムを格納させた後、ECUにプログラム更新を指示する。ECUは、プログラム更新が指示されると、プログラム更新を行う制御コードを実行して、データ記憶領域に転送された更新プログラムをプログラム記憶領域に書き込み、更新プログラムをアクティベートする。更新プログラムのアクティベートは、例えばECUの起動時に更新プログラムをロードして更新プログラムに基づく制御を開始するように、ECUの起動パラメータを設定する処理を含む。なお、ECUのファームウェア格納用のメモリがシングルバンクメモリである場合において、「ECUのプログラム更新が可能な状態」は、ECUの予め定められたデータ記憶領域に更新プログラムが格納されている状態であってよい。
次に、ECUの内部メモリがダブルバンクメモリ(いわゆる2面ROM)である場合のプログラム更新処理を説明する。この場合、ECUはファームウェア格納用のプログラム記憶領域を2つ有しているため、第1のプログラム記憶領域に格納されたプログラムに従ってECUが動作している場合に、第2のプログラム記憶領域に更新プログラムを書き込むことができる。例えば、例えば車両20の走行中であっても、第2のプログラム記憶領域に更新プログラムを書き込むことができる。そのため、更新制御部220は、更新プログラムをECUに転送すると、更新プログラムを第2のプログラム記憶領域に書き込むようECUに指示する。ECUの第2のプログラム記憶領域への更新プログラムの書き込みが完了すると、ECUのプログラム更新が可能な状態となる。更新制御部220がECUのプログラム更新を行う場合、更新制御部220は、第2のプログラム記憶領域に書き込まれた更新プログラムをアクティベートするようECUに指示する。更新プログラムのアクティベートは、例えばECUの起動時に、第2のプログラム記憶領域に格納された更新プログラムをロードして更新プログラムに基づく制御を開始するように、ECUの起動パラメータを設定する処理を含む。例えば、更新プログラムのアクティベートは、第2のプログラム記憶領域をプログラムの読み出し領域として有効化するとともに、第1のプログラム記憶領域をプログラムの読み出し領域として無効化する処理を含む。このように、「ECUのプログラム更新」は、更新プログラムをECUのプログラム記憶領域に書き込むことを含む概念である。また、「ECUのプログラム更新」は、プログラム記憶領域に書き込まれた更新プログラムをアクティベートすることを含む概念である。
本実施形態において、プログラム更新の対象となる機器がECU205である場合を説明する。また、ECU205の内部メモリはダブルバンクメモリであるものとする。
図3は、更新制御部220が記憶する管理情報データのデータ構造を示す。更新制御部220は、車両20のIG電源がオンされた場合に、プログラム更新の対象となる機器(TCU201、ECU204、ECU205、ECU206、MID298及びIVI299)のそれぞれから、それぞれの機器が記憶する管理情報を車内通信回線280を通じて取得する。本実施形態では、管理情報を車内通信回線280を通じて取得することを「車内構成同期」と呼ぶ。
管理情報は、各機器のバージョン情報及び識別情報を含む。バージョン情報は、各機器のソフトウェアバージョン情報を含んでよい。バージョン情報は、各機器のハードウェアバージョン情報をさらに含んでよい。識別情報は、各機器のシリアル番号を含んでよい。更新制御部220は、各機器から取得した管理情報を、ECUに割り振られたID情報に対応づけてECU202の内部メモリに記憶する。
ECU202は、IG電源オン時に、各機器から収集した管理情報をサーバ70に送信する。サーバ70は、車両20から受信した各機器の管理情報を記憶する。サーバ70は、車両20から受信した管理情報に基づいて、各機器のプログラム更新が可能であるか否かを判断して、各機器のプログラム更新が可能である場合に、車両20に更新プログラムの存在通知を送信する。例えば、管理情報の現在のソフトウェアバージョンより新しいソフトウェアバージョンの更新プログラムが存在する場合に、更新プログラムの存在通知を車両20に送信する。更新制御部220は、更新プログラムの存在通知を受信すると、サーバ70から更新プログラムを受信する。このように、サーバ70は、車両20から受信した管理情報に基づいて更新プログラムの存在を判断する。管理情報は制御システム200が備える機器のプログラム更新に必要な情報の一例である。
なお、ECU202は、IG電源がオンされた場合に診断装置30が車内通信回線280に接続されている場合、車内構成同期を行わずに、管理情報がないことをサーバ70に送信する。本実施形態では、サーバ70に管理情報を送信すること、又は、管理情報がないことを送信することを「外部構成同期」と呼ぶ。
図4は、プログラム更新処理に関するタイムチャートの一例を模式的に示す。図4は、IGスイッチの状態、更新関連処理の実行状態、電源状態、車両20の走行状態、及び診断装置30の接続状態を示す。図4のタイムチャートは、IGスイッチがオンされる前に診断装置30が診断ポート34に接続されている場合のタイムチャートである。なお、プログラム更新の対象となる機器はECU205であるものとする。
時刻t1において、ユーザによってIGスイッチがオフになると、更新制御部220は構成同期を行う。このとき、更新制御部220は、車内通信回線280に診断装置30が接続されていることが検出されると、車内構成同期を行わずに外部構成同期のみを行う(構成同期1)。この場合、サーバ70は、サーバ70が記憶している管理情報に基づいて更新プログラムの存在を判断し、更新プログラムが存在する場合は存在通知を車両20に送信する。更新制御部220は、サーバ70から存在通知を受信すると、更新プログラムの存在をユーザに通知するとともに、診断装置30を診断ポート34から取り外すよう通知し(更新通知)、更新処理を中断する(待機中)。
時刻t2において、更新制御部220は、診断ポート34から診断装置30が取り外されたことを検知すると、車内構成同期及び外部構成同期を行い(構成同期2)、更新プログラムをサーバ70からダウンロードする(ダウンロード)。ダウンロードが完了すると、更新制御部220は、プログラム更新の対象となるECU205に更新プログラムの書き込む(書き込み)。なお、ECU205は、ファームウェア格納用の内部メモリがダブルバンクメモリであるため、ECU205に更新プログラムの書き込みは車両20の走行中に実行することができる。
時刻t3において、IGスイッチがオフされると、更新制御部220は、診断ポート34に診断装置30が接続されていないことを確認して、ECU205のプログラム更新を実行する(更新)。このプログラム更新で実行される処理は、上述した更新プログラムのアクティベートである。なお、プログラム更新を実行する場合、プログラム更新を実行するために必要な機器の電源状態はオンとし、他の機器の電源状態はオフとなる(更新中状態)。プログラム更新が完了すると、IG電源はオフ状態となる。
図4のタイムチャートに示されるように、IG電源がオンされたときに診断装置30が診断ポート34に接続されている場合には、更新プログラムが存在する場合であっても、サーバ70からの更新プログラムを受信する処理、更新プログラムの書き込む処理、及び更新プログラムをアクティベートする処理を禁止することができる。また、診断装置30が診断ポート34から取り外された場合に、あらためて車内構成同期を含む構成同期を実行してから更新プログラムを受信することが可能になる。これにより、診断装置30が診断ポート34に接続されていない状態で適正に車内構成同期を行い、適正な更新プログラムを受信することが可能になる。
図5は、プログラム更新処理に関するタイムチャートの他の例を模式的に示す。図5は、図4と同様に、IGスイッチの状態、更新関連処理の実行状態、電源状態、車両20の走行状態、及び診断装置30の接続状態を示す。図5のタイムチャートは、車両20の起動中に診断装置30が診断ポート34に接続される場合のタイムチャートである。なお、プログラム更新の対象となる機器はECU205であるものとする。
図5のタイムチャートの開始タイミングにおいて、車両20が走行中であり、ECU205の更新プログラムをダウンロード中であるとする。ダウンロードが完了すると、更新制御部220は、プログラム更新の対象となるECU205に更新プログラムの書き込む(書き込み1)。
車両20の停車後、更新制御部220は、更新プログラムの書き込み中に時刻t1において診断装置30が診断ポート34に接続されたことを検知すると、ECU205への更新プログラムの書き込みを中断して、診断装置30の取り外しをユーザに要求する(取り外し通知)。
時刻t2において、更新制御部220は、診断ポート34から診断装置30が取り外されたことを検知すると、取り外し通知を停止して、更新プログラムの書き込み開始を待機する待機状態とする。
時刻t3においてIGスイッチがオフされてIG電源がオフ状態となり、時刻t4においてIGスイッチがオンされると、更新制御部220は、診断ポート34に診断装置30が接続されていないことを確認して、ECU205への更新プログラムの書き込みを再開し(書き込み2)、更新プログラムの書き込みが完了すると、ECU205のプログラム更新を実行する(更新)。このプログラム更新で実行される処理は、上述した更新プログラムのアクティベートである。ECU205のプログラム更新が完了すると、車両20は走行可能な状態となる。
図6は、IVI299に表示されるユーザ通知情報600の一例を示す。更新制御部220は、診断ポート34に診断装置30が接続されていることを検知した場合、ユーザ通知情報600をIVI299に表示させる。ユーザ通知情報600は、図4のタイムチャートの「更新通知」の期間に表示される。また、ユーザ通知情報600は、図5のタイムチャートにおける「取り外し通知」の期間に表示される。
ユーザ通知情報600は、ユーザへの通知情報610及び通知情報620を含む。通知情報610は、更新プログラムが存在することを示す。通知情報620は、診断装置30の接続を解除する旨の情報である。通知情報620は、診断装置30による診断を停止する旨の情報であり得る。更新制御部220は、診断装置30が診断ポート34に接続されている間、ユーザ通知情報600をIVI299に表示させてよい。更新制御部220は、通知情報620の内容をIVI299に音声で再生させてよい。
図7は、MID298に表示されるユーザ通知情報700の一例を示す。更新制御部220は、診断ポート34に診断装置30が接続されていることを検知した場合、ユーザ通知情報700をMID298に表示させる。ユーザ通知情報700は、図4のタイムチャートの「更新通知」の期間に表示される。また、ユーザ通知情報700は、図5のタイムチャートにおける「取り外し通知」の期間に表示される。
ユーザ通知情報700は、ユーザへの通知情報720を含む。通知情報720は、診断装置30の接続を解除する旨の情報である。通知情報720は、診断装置30による診断を停止する旨の情報であり得る。更新制御部220は、診断装置30が診断ポート34に接続されている間、ユーザ通知情報700をMID298に表示させてよい。
更新制御部220は、IVI299に加えて、MID298を通じてユーザ通知情報を表示させる。これにより、更新プログラムを行うために診断装置30の接続を解除する必要があることをユーザに確実に認知させることができる。例えば、仮にIVI299が故障していた場合でも、MID298を通じてユーザに通知することができる。
なお、更新制御部220は、車両20の車速が0であり、かつ、シフトポジションがパーキングポジションであることを条件として、ユーザ通知情報600及びユーザ通知情報720を表示させてよい。これにより、ユーザが診断装置30を取り外すことができるようなタイミングで適切に通知することができる。
図8は、プログラム更新に関する処理の実行手順の一例を示すフローチャートである。図8のフローチャートの処理は、IGスイッチがオンされた場合に開始される。図8のフローチャートは、IGスイッチのオフ操作に応じてIG電源がオンになった後に構成同期を実行するまでの処理を示す。
S802において、更新制御部220は、診断装置30が診断ポート34に接続されているか否かを判断する。更新制御部220は、車内通信回線280の信号状態に基づいて、診断ポート34に診断装置30が接続されているか否かを判断してよい。更新制御部220は、IGスイッチがオンされてから予め定められた時間が経過するまでの期間、診断ポート34に診断装置30が接続されているか否かを判断してよい。
診断ポート34に診断装置30が接続されていない場合、S804において、更新制御部220は車内構成同期を行う。続いて、S806において、更新制御部220は、S804の車内構成同期で取得した管理情報をサーバ70に送信する(外部構成同期)。S802の判断において診断装置30が診断ポート34に接続されていると判断した場合、S808において、更新制御部220は、「構成情報なし」を示す情報をサーバ70に送信する。
なお、図8は、IG電源がオンされた場合に、中断状態のプログラム更新処理が存在していない場合のフローチャートである。例えば図4に関連して説明したように、IGスイッチがオンされる前にECU205への更新プログラムの書き込みを中断していた場合は、プログラム更新処理は中断状態にある。この場合、更新制御部220は、診断装置30が診断ポート34に接続されていないことを条件として、プログラム更新処理を再開する。例えば、更新制御部220は、ECU205への更新プログラムの書き込みを再開する。一方、診断装置30が診断ポート34に接続されている場合、更新制御部220は、診断装置30を診断ポート34から取り外す旨のユーザ通知を行う。例えば、更新制御部220は、IVI299にユーザ通知情報700を表示させるとともに、MID298にユーザ通知情報600を表示させる。
図9は、プログラム更新に関する処理の実行手順の一例を示すフローチャートである。図9のフローチャートの処理は、サーバ70から更新プログラムの存在通知情報を受信した場合の処理である。
更新制御部220は、サーバ70から更新プログラムの存在通知情報を受信すると、S902において、診断装置30が診断ポート34に接続されているか否かを判断する。診断装置30が診断ポート34に接続されている場合はS904に移行し、診断装置30が診断ポート34に接続されていない場合はS910に移行する。
S904において、更新制御部220は、診断装置30を診断ポート34から取り外す旨のユーザ通知を行い、本フローチャートの処理を終了する。S904において、更新制御部220は、例えばIVI299にユーザ通知情報700を表示させるとともに、MID298にユーザ通知情報600を表示させる。これにより、診断装置30が診断ポート34に接続されている場合でも、更新プログラムの存在をユーザに通知することができるので、重要な更新プログラムが適用されない状態で長期間放置されることがないようにすることができる。
S902の判断において診断装置30が診断ポート34に接続されていないと判断した場合、S910において、更新制御部220は、サーバ70から更新プログラムを含む更新データをダウンロードし、プログラム更新の対象となるECU205に転送する。
更新プログラムの転送が完了すると、S912において、更新制御部220は、ECU205に転送された更新プログラムを書き込むようECU205に指示する。S914において、診断装置30が診断ポート34に接続されたか否かを判断する。診断装置30が診断ポート34に接続されていない場合は、S916に移行し、診断装置30が診断ポート34に接続されている場合は、S918に移行する。
S916において、更新制御部220は、更新プログラムの書き込みが完了したか否かを判断する。更新制御部220は、ECU205から更新プログラムの書き込みが完了した旨の通知を車内通信回線280を通じて受信した場合に、更新プログラムの書き込みが完了したと判断する。更新プログラムの書き込みが完了していない場合はS914に移行し、更新プログラムの書き込みが完了した場合は本フローチャートの処理を終了する。
S914において診断装置30が診断ポート34に接続されていると判断した場合、S918において更新制御部220は更新プログラムの書き込みを停止するようECU205に指示し、S904に移行する。
図10は、プログラム更新に関する処理の実行手順の一例を示すフローチャートである。図10のフローチャートの処理は、IGスイッチがオフされた場合に開始される。
S1002において、更新制御部220は、更新準備が完了したか否かを判断する。例えば、更新制御部220は、IGスイッチがオフされる前にECU205から更新プログラムの書き込みが完了した旨の通知を受信していた場合に、更新準備が完了していると判断する。更新準備が完了していない場合は本フローチャートの処理を終了する。更新準備が完了している場合、S1004において、診断装置30が診断ポート34に接続されているか否かを判断する。診断装置30が診断ポート34に接続されている場合はS1006に移行し、診断装置30が診断ポート34に接続されていない場合はS1010に移行する。
診断装置30が診断ポート34に接続されていない場合、S1010において、システム更新の実行がユーザから許諾されたか否かを判断する。例えば、更新制御部220は、システム更新を実行する旨のユーザ指示を受け付ける画面をIVI299に表示させ、システム更新を実行する旨のユーザ指示をIVI299から取得した場合に、システム更新の実行がユーザから許諾されたと判断する。システム更新の実行がユーザから許諾されていない場合、本フローチャートの処理を終了する。
システム更新の実行がユーザから許諾された場合、S1012において、ECU205のプログラム更新を開始するようECU205に指示する。更新制御部220は、ECU205からプログラム更新が完了した旨の通知を車内通信回線280を通じて受信した場合、S1014においてプログラム更新が完了した旨をサーバ70に通知し、本フローチャートの処理を終了する。
S1004において診断装置30が診断ポート34に接続されていると判断した場合は、S1006において、更新制御部220は診断装置30を診断ポート34から取り外す旨のユーザ通知を行い、本フローチャートの処理を終了する。S1006において、更新制御部220は、例えばIVI299にユーザ通知情報700を表示させるとともに、MID298にユーザ通知情報600を表示させる。
続いて、S1008において、更新制御部220は、予め定められた時間内に診断装置30が診断ポート34から取り外されたか否かを判断する。予め定められた時間内に診断装置30が診断ポート34から取り外された場合はS1010に移行し、予め定められた時間内に診断装置30が診断ポート34から取り外されなかった場合は本フローチャートの処理を終了する。本フローチャートの処理が終了すると、車両20のIG電源状態はオフとなる。
以上に説明したように、本実施形態に係る制御システム200の制御によれば、プログラム更新を実行する場合に、診断ポート34に何らかの診断装置が接続されているときは、ECUのプログラム更新を制限する。これにより、市販のスキャンツールによってプログラム更新に支障が生じる可能性を低減することができる。また、プログラム更新のように、診断ポート34を通じた外部との通信を遮断する必要がある処理を行う場合に、ECUのプログラム更新を停止して診断装置30の取り外しを通知するので、診断ポート34の利用を通常時にまで禁止することがないため、ユーザの利便性が高まる。
なお、以上に説明した実施形態では、主として診断ポート34に診断装置が接続されている場合にプログラム更新を制限する場合の具体例を説明した。これに対し、プログラム更新が行われる場合に、診断ポート34に診断装置が接続されているときには、診断装置による診断を制限してよい。例えば制限制御部250は制御システム200内の各機器が診断装置と通信することを禁止してよい。また、制限制御部250は、診断ポート34と車内通信回線280との間の通信回線を切断してもよい。例えば、診断ポート34と車内通信回線280との接続点に診断ポート34と車内通信回線280との間の接続と非接続とを切り替える切替回路を設け、切替回路によって診断ポート34と車内通信回線280との間の通信回線を切断してもよい。
なお、車両20は、輸送機器の一例としての車両である。車両は、内燃機関を備える自動車、電気自動車、燃料電池自動車(FCV)等の自動車であってよい。自動車は、バス、トラック、二輪自動車等を含む。車両は、鞍乗型車両等であってよく、バイクであってよい。輸送機器としては、車両の他に、無人航空機を含む航空機、船舶等の機器を含む。輸送機器は、人又は物品を輸送する任意の機器であってよい。輸送機器は移動体の一例である。移動体は、輸送機器に限らず、移動可能な任意の機器であってよい。
図11は、本発明の複数の実施形態が全体的又は部分的に具現化され得るコンピュータ2000の例を示す。コンピュータ2000にインストールされたプログラムは、コンピュータ2000を、実施形態に係る制御システム等のシステム、装置又は当該装置の各部として機能させる、当該装置又は当該装置の各部に関連付けられるオペレーションを実行させる、及び/又は、実施形態に係るプロセス又は当該プロセスの段階を実行させることができる。そのようなプログラムは、コンピュータ2000に、本明細書に記載の処理手順及びブロック図のブロックのうちのいくつか又はすべてに関連付けられた特定のオペレーションを実行させるべく、CPU2012によって実行されてよい。
本実施形態によるコンピュータ2000は、CPU2012、及びRAM2014を含み、それらはホストコントローラ2010によって相互に接続されている。コンピュータ2000はまた、ROM2026、フラッシュメモリ2024、通信インタフェース2022、及び入力/出力チップ2040を含む。ROM2026、フラッシュメモリ2024、通信インタフェース2022、及び入力/出力チップ2040は、入力/出力コントローラ2020を介してホストコントローラ2010に接続されている。
CPU2012は、ROM2026及びRAM2014内に格納されたプログラムに従い動作し、それにより各ユニットを制御する。
通信インタフェース2022は、ネットワークを介して他の電子デバイスと通信する。フラッシュメモリ2024は、コンピュータ2000内のCPU2012によって使用されるプログラム及びデータを格納する。ROM2026は、アクティブ化時にコンピュータ2000によって実行されるブートプログラム等、及び/又はコンピュータ2000のハードウエアに依存するプログラムを格納する。入力/出力チップ2040はまた、キーボード、マウス及びモニタ等の様々な入力/出力ユニットをシリアルポート、パラレルポート、キーボードポート、マウスポート、モニタポート、USBポート、HDMI(登録商標)ポート等の入力/出力ポートを介して、入力/出力コントローラ2020に接続してよい。
プログラムは、CD-ROM、DVD-ROM、又はメモリカードのようなコンピュータ可読記憶媒体又はネットワークを介して提供される。RAM2014、ROM2026、又はフラッシュメモリ2024は、コンピュータ可読記憶媒体の例である。プログラムは、フラッシュメモリ2024、RAM2014、又はROM2026にインストールされ、CPU2012によって実行される。これらのプログラム内に記述される情報処理は、コンピュータ2000に読み取られ、プログラムと上記様々なタイプのハードウエアリソースとの間の連携をもたらす。装置又は方法が、コンピュータ2000の使用に従い情報のオペレーション又は処理を実現することによって構成されてよい。
例えば、コンピュータ2000及び外部デバイス間で通信が実行される場合、CPU2012は、RAM2014にロードされた通信プログラムを実行し、通信プログラムに記述された処理に基づいて、通信インタフェース2022に対し、通信処理を命令してよい。通信インタフェース2022は、CPU2012の制御下、RAM2014及びフラッシュメモリ2024のような記録媒体内に提供される送信バッファ処理領域に格納された送信データを読み取り、読み取った送信データをネットワークに送信し、ネットワークから受信された受信データを、記録媒体上に提供される受信バッファ処理領域等に書き込む。
また、CPU2012は、フラッシュメモリ2024等のような記録媒体に格納されたファイル又はデータベースの全部又は必要な部分がRAM2014に読み取られるようにし、RAM2014上のデータに対し様々な種類の処理を実行してよい。CPU2012は次に、処理されたデータを記録媒体にライトバックする。
様々なタイプのプログラム、データ、テーブル、及びデータベースのような様々なタイプの情報が記録媒体に格納され、情報処理にかけられてよい。CPU2012は、RAM2014から読み取られたデータに対し、本明細書に記載され、プログラムの命令シーケンスによって指定される様々な種類のオペレーション、情報処理、条件判断、条件分岐、無条件分岐、情報の検索/置換等を含む、様々な種類の処理を実行してよく、結果をRAM2014にライトバックする。また、CPU2012は、記録媒体内のファイル、データベース等における情報を検索してよい。例えば、各々が第2の属性の属性値に関連付けられた第1の属性の属性値を有する複数のエントリが記録媒体内に格納される場合、CPU2012は、第1の属性の属性値が指定されている、条件に一致するエントリを当該複数のエントリの中から検索し、当該エントリ内に格納された第2の属性の属性値を読み取り、それにより予め定められた条件を満たす第1の属性に関連付けられた第2の属性の属性値を取得してよい。
上で説明したプログラム又はソフトウェアモジュールは、コンピュータ2000上又はコンピュータ2000近傍のコンピュータ可読記憶媒体に格納されてよい。専用通信ネットワーク又はインターネットに接続されたサーバーシステム内に提供されるハードディスク又はRAMのような記録媒体が、コンピュータ可読記憶媒体として使用可能である。コンピュータ可読記憶媒体に格納されたプログラムを、ネットワークを介してコンピュータ2000に提供してよい。
コンピュータ2000にインストールされ、コンピュータ2000を制御システム200として機能させるプログラムは、CPU2012等に働きかけて、コンピュータ2000を、制御システム200の各部としてそれぞれ機能させてよい。これらのプログラムに記述された情報処理は、コンピュータ2000に読込まれることにより、ソフトウエアと上述した各種のハードウエア資源とが協働した具体的手段である制御システム200の各部として機能する。そして、これらの具体的手段によって、本実施形態におけるコンピュータ2000の使用目的に応じた情報の演算又は加工を実現することにより、使用目的に応じた特有の制御システム200が構築される。
様々な実施形態が、ブロック図等を参照して説明された。ブロック図において各ブロックは、(1)オペレーションが実行されるプロセスの段階又は(2)オペレーションを実行する役割を持つ装置の各部を表わしてよい。特定の段階及び各部が、専用回路、コンピュータ可読記憶媒体上に格納されるコンピュータ可読命令と共に供給されるプログラマブル回路、及び/又はコンピュータ可読記憶媒体上に格納されるコンピュータ可読命令と共に供給されるプロセッサによって実装されてよい。専用回路は、デジタル及び/又はアナログハードウエア回路を含んでよく、集積回路(IC)及び/又はディスクリート回路を含んでよい。プログラマブル回路は、論理AND、論理OR、論理XOR、論理NAND、論理NOR、及び他の論理オペレーション、フリップフロップ、レジスタ、フィールドプログラマブルゲートアレイ(FPGA)、プログラマブルロジックアレイ(PLA)等のようなメモリ要素等を含む、再構成可能なハードウエア回路を含んでよい。
コンピュータ可読記憶媒体は、適切なデバイスによって実行される命令を格納可能な任意の有形なデバイスを含んでよく、その結果、そこに格納される命令を有するコンピュータ可読記憶媒体は、処理手順又はブロック図で指定されたオペレーションを実行するための手段をもたらすべく実行され得る命令を含む製品の少なくとも一部を構成する。コンピュータ可読記憶媒体の例としては、電子記憶媒体、磁気記憶媒体、光記憶媒体、電磁記憶媒体、半導体記憶媒体等が含まれてよい。コンピュータ可読記憶媒体のより具体的な例としては、フロッピー(登録商標)ディスク、ディスケット、ハードディスク、ランダムアクセスメモリ(RAM)、リードオンリメモリ(ROM)、消去可能プログラマブルリードオンリメモリ(EPROM又はフラッシュメモリ)、電気的消去可能プログラマブルリードオンリメモリ(EEPROM)、静的ランダムアクセスメモリ(SRAM)、コンパクトディスクリードオンリメモリ(CD-ROM)、デジタル多用途ディスク(DVD)、ブルーレイ(RTM)ディスク、メモリスティック、集積回路カード等が含まれてよい。
コンピュータ可読命令は、アセンブラ命令、命令セットアーキテクチャ(ISA)命令、マシン命令、マシン依存命令、マイクロコード、ファームウェア命令、状態設定データ、又はSmalltalk(登録商標)、JAVA(登録商標)、C++等のようなオブジェクト指向プログラミング言語、及び「C」プログラミング言語又は同様のプログラミング言語のような従来の手続型プログラミング言語を含む、1又は複数のプログラミング言語の任意の組み合わせで記述されたソースコード又はオブジェクトコードのいずれかを含んでよい。
コンピュータ可読命令は、汎用コンピュータ、特殊目的のコンピュータ、若しくは他のプログラム可能なデータ処理装置のプロセッサ又はプログラマブル回路に対し、ローカルに又はローカルエリアネットワーク(LAN)、インターネット等のようなワイドエリアネットワーク(WAN)を介して提供され、説明された処理手順又はブロック図で指定されたオペレーションを実行するための手段をもたらすべく、コンピュータ可読命令を実行してよい。プロセッサの例としては、コンピュータプロセッサ、処理ユニット、マイクロプロセッサ、デジタル信号プロセッサ、コントローラ、マイクロコントローラ等を含む。
以上、本発明を実施の形態を用いて説明したが、本発明の技術的範囲は上記実施の形態に記載の範囲には限定されない。上記実施の形態に、多様な変更または改良を加えることが可能であることが当業者に明らかである。その様な変更または改良を加えた形態も本発明の技術的範囲に含まれ得ることが、特許請求の範囲の記載から明らかである。
特許請求の範囲、明細書、及び図面中において示した装置、システム、プログラム、及び方法における動作、手順、ステップ、及び段階等の各処理の実行順序は、特段「より前に」、「先立って」等と明示しておらず、また、前の処理の出力を後の処理で用いるのでない限り、任意の順序で実現しうることに留意すべきである。特許請求の範囲、明細書、及び図面中の動作フローに関して、便宜上「まず、」、「次に、」等を用いて説明したとしても、この順で実施することが必須であることを意味するものではない。
10 更新システム
20 車両
30 診断装置
32 ケーブル
34 診断ポート
70 サーバ
90 通信ネットワーク
200 制御システム
201 TCU
202 ECU
204 ECU
205 ECU
206 ECU
220 更新制御部
250 制限制御部
280 車内通信回線
294 FI
295 バッテリ
296 空調機器
298 MID
299 IVI
600 ユーザ通知情報
610 通知情報
620 通知情報
700 ユーザ通知情報
720 通知情報
2000 コンピュータ
2010 ホストコントローラ
2012 CPU
2014 RAM
2020 入力/出力コントローラ
2022 通信インタフェース
2024 フラッシュメモリ
2026 ROM
2040 入力/出力チップ

Claims (13)

  1. 移動体を制御する移動体制御部と、
    前記移動体制御部のプログラム更新を制御する更新制御部と、
    前記移動体制御部と前記更新制御部とを情報通信する経路である通信経路と
    を備え、
    前記移動体制御部の診断を行う外部診断装置と接続され前記外部診断装置に前記移動体の情報を送信するための経路と前記通信経路とが少なくとも一部が共通であり、
    前記プログラム更新と、前記外部診断装置による前記移動体制御部の診断とが行われる場合に、前記外部診断装置による診断及び前記プログラム更新の一方を制限する制限制御部
    を備える制御システム。
  2. 前記制限制御部は、前記プログラム更新と、前記外部診断装置による前記移動体制御部の診断とが行われる場合に、前記外部診断装置による診断が中止するまで、前記プログラム更新を禁止する
    請求項1に記載の制御システム。
  3. 前記制限制御部は、前記プログラム更新と、前記外部診断装置による前記移動体制御部の診断とが行われる場合に、前記外部診断装置による診断を停止する旨のユーザ通知を実行させる
    請求項2に記載の制御システム。
  4. 前記更新制御部は、前記移動体の起動時に、前記移動体制御部のプログラム更新に必要な前記移動体制御部の少なくともバージョンを含む情報であり前記移動体制御部が記憶する管理情報を前記通信経路を通じて取得する構成同期を実施し、
    前記制限制御部は、前記移動体の起動時に前記外部診断装置が前記移動体に接続されていることが検知された場合に、前記外部診断装置の前記接続が解除されるまで、前記構成同期を禁止する
    請求項2又は3に記載の制御システム。
  5. 前記制限制御部は、前記移動体の起動時に前記外部診断装置が前記移動体に接続されていることが検知された場合に、前記移動体制御部の更新プログラムを送信するサーバからの前記更新プログラムの受信を禁止する
    請求項2から4のいずれか一項に記載の制御システム。
  6. 前記更新制御部は、前記移動体制御部の更新プログラムを送信するサーバから、前記更新プログラムの存在通知を受信する制御を行い、
    前記制限制御部は、前記移動体の起動時に前記外部診断装置が前記移動体に接続されていることが検知された場合に、前記更新プログラムが存在する旨のユーザ通知と、前記外部診断装置の前記接続の解除を要求するユーザ通知とを実行させる
    請求項2から5のいずれか一項に記載の制御システム。
  7. 前記制限制御部は、前記移動体の起動時に前記外部診断装置が前記移動体に接続されていることが検知された後、前記外部診断装置の前記接続が解除された場合に、前記サーバからの前記更新プログラムの受信を開始させる
    請求項5又は6に記載の制御システム。
  8. 前記制限制御部は、前記プログラム更新のための更新プログラムを移動体制御部に書き込み中に前記外部診断装置が前記移動体に接続されたことが検知された場合に、前記移動体制御部への前記更新プログラムの書き込みを中断する
    請求項2から7のいずれか一項に記載の制御システム。
  9. 前記制限制御部は、前記更新プログラムを前記移動体制御部に書き込み中に前記外部診断装置が前記移動体に接続されたことが検知された場合に、前記外部診断装置の前記接続の解除を要求するユーザ通知をさらに実行させる
    請求項8に記載の制御システム。
  10. 請求項1から9のいずれか一項に記載の制御システム
    を備える移動体。
  11. 前記移動体は車両である
    請求項10に記載の移動体。
  12. 制御システムが実行する制御方法であって、
    前記制御システムは、移動体を制御する移動体制御部と、移動体を制御する移動体制御部のプログラム更新を制御する更新制御部と、前記更新制御部とが情報通信する経路である通信経路とを備え、
    前記移動体制御部の診断を行う外部診断装置と接続され前記外部診断装置に前記移動体の情報を送信するための経路と前記通信経路とが少なくとも一部が共通であり、
    前記制御方法は、
    前記プログラム更新と、前記外部診断装置による前記移動体制御部の診断とが行われる場合に、前記外部診断装置による診断及び前記プログラム更新の一方を制限する段階
    を備える制御方法。
  13. プログラムであって、コンピュータを、
    移動体を制御する移動体制御部、及び
    前記移動体制御部のプログラム更新を制御する更新制御部
    として機能させ、
    前記コンピュータは、前記移動体制御部と前記更新制御部とが情報通信する経路である通信経路を備え、
    前記移動体制御部の診断を行う外部診断装置と接続され前記外部診断装置に前記移動体の情報を送信するための経路と前記通信経路とが少なくとも一部が共通であり、
    前記プログラムは、前記コンピュータを、
    前記プログラム更新と、前記外部診断装置による前記移動体制御部の診断とが行われる場合に、前記外部診断装置による診断及び前記プログラム更新の一方を制限する制限制御部
    として機能させるためのプログラム。
JP2021003346A 2021-01-13 2021-01-13 制御システム、移動体、制御方法及びプログラム Active JP7194760B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2021003346A JP7194760B2 (ja) 2021-01-13 2021-01-13 制御システム、移動体、制御方法及びプログラム
CN202111477894.XA CN114763110A (zh) 2021-01-13 2021-12-06 控制系统、移动体、控制方法和计算机可读存储介质
US17/560,302 US12073203B2 (en) 2021-01-13 2021-12-23 Control system, movable object, control method, and computer readable storage medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021003346A JP7194760B2 (ja) 2021-01-13 2021-01-13 制御システム、移動体、制御方法及びプログラム

Publications (2)

Publication Number Publication Date
JP2022108390A JP2022108390A (ja) 2022-07-26
JP7194760B2 true JP7194760B2 (ja) 2022-12-22

Family

ID=82321875

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021003346A Active JP7194760B2 (ja) 2021-01-13 2021-01-13 制御システム、移動体、制御方法及びプログラム

Country Status (3)

Country Link
US (1) US12073203B2 (ja)
JP (1) JP7194760B2 (ja)
CN (1) CN114763110A (ja)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009175947A (ja) 2008-01-23 2009-08-06 Denso Corp 車載電子制御装置及びその車載電子制御装置の情報更新方法
WO2020111090A1 (ja) 2018-11-28 2020-06-04 株式会社オートネットワーク技術研究所 監視装置、監視プログラム及び監視方法

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3780697B2 (ja) * 1998-05-13 2006-05-31 株式会社デンソー 車両診断システム
US20120221188A1 (en) * 2011-02-24 2012-08-30 General Motors Llc Vehicle hmi replacement
US9529580B2 (en) * 2015-01-21 2016-12-27 Ford Global Technologies, Llc Vehicle control update methods and systems
JP6683049B2 (ja) * 2016-07-20 2020-04-15 富士通株式会社 情報処理装置、情報処理方法、情報処理システム及びプログラム
JP6724717B2 (ja) * 2016-10-25 2020-07-15 株式会社オートネットワーク技術研究所 車載機器判定システム
JP6819467B2 (ja) * 2017-05-31 2021-01-27 トヨタ自動車株式会社 リモート始動システム、センタサーバ、リモート始動方法
KR102286050B1 (ko) * 2017-06-23 2021-08-03 현대자동차주식회사 차량 네트워크에서 진단 오류 방지를 위한 방법 및 장치
JP6897630B2 (ja) * 2018-05-11 2021-07-07 株式会社オートネットワーク技術研究所 車載更新装置、更新処理方法及び更新処理プログラム
WO2020032122A1 (ja) 2018-08-10 2020-02-13 株式会社デンソー 電子制御装置、車両用電子制御システム、書換えの実行制御方法、書換えの実行制御プログラム及び諸元データのデータ構造
JP7484096B2 (ja) 2018-08-10 2024-05-16 株式会社デンソー 電子制御装置、書換えの実行制御方法及び書換えの実行制御プログラム
US11540082B2 (en) * 2018-09-28 2022-12-27 Intel Corporation Processing system, update server and method for updating a processing system

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009175947A (ja) 2008-01-23 2009-08-06 Denso Corp 車載電子制御装置及びその車載電子制御装置の情報更新方法
WO2020111090A1 (ja) 2018-11-28 2020-06-04 株式会社オートネットワーク技術研究所 監視装置、監視プログラム及び監視方法

Also Published As

Publication number Publication date
US12073203B2 (en) 2024-08-27
CN114763110A (zh) 2022-07-19
JP2022108390A (ja) 2022-07-26
US20220222057A1 (en) 2022-07-14

Similar Documents

Publication Publication Date Title
US20180341476A1 (en) Software updating device, software updating system, and software updating method
US11204757B2 (en) Server, software update system, and software update apparatus
JP7248727B2 (ja) プログラム更新制御装置、プログラム更新制御方法、及びプログラム
JP7284143B2 (ja) 制御システム、移動体、制御方法及びプログラム
US20220222062A1 (en) Information processing apparatus, control system, system, information processing method, control method and computer-readable storage medium
JP7257375B2 (ja) 制御システム、移動体、制御方法及びプログラム
US11670117B2 (en) Vehicle and software update method
JP7194760B2 (ja) 制御システム、移動体、制御方法及びプログラム
JP7291734B2 (ja) 制御システム、移動体、情報処理装置、制御方法、情報処理方法及びプログラム
JP2020021506A (ja) 電子制御装置及びセッション確立プログラム
JP7204726B2 (ja) 制御システム、移動体、サーバ、制御方法、更新制御方法、及びプログラム
JP7320547B2 (ja) プログラム更新制御装置、プログラム更新制御方法、及びプログラム
JP7333350B2 (ja) 制御システム、移動体、制御方法及びプログラム
JP7250056B2 (ja) 制御システム、移動体及び通信制御方法
JP7289867B2 (ja) 更新制御装置、移動体、更新制御方法、及びプログラム
JP7307755B2 (ja) 制御システム、移動体、サーバ、制御方法、及びプログラム
JP2022144761A (ja) プログラム更新制御装置、プログラム更新制御方法、及びプログラム
JP7217767B2 (ja) 更新管理サーバ、更新管理方法、及びプログラム
JP7484814B2 (ja) 車両用電子制御装置及び更新プログラム
JP2023135982A (ja) ソフトウェア更新制御装置、車両、プログラム、及び方法
JP2023135559A (ja) ソフトウェア更新制御装置、車両、プログラム、及びソフトウェア更新制御方法
JP2022154558A (ja) 車載電子システム、車両、制御方法、及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210928

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20221129

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20221212

R150 Certificate of patent or registration of utility model

Ref document number: 7194760

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150