JP7323569B2 - 車載ソフトウェア更新方法および車載システム - Google Patents

車載ソフトウェア更新方法および車載システム Download PDF

Info

Publication number
JP7323569B2
JP7323569B2 JP2021065457A JP2021065457A JP7323569B2 JP 7323569 B2 JP7323569 B2 JP 7323569B2 JP 2021065457 A JP2021065457 A JP 2021065457A JP 2021065457 A JP2021065457 A JP 2021065457A JP 7323569 B2 JP7323569 B2 JP 7323569B2
Authority
JP
Japan
Prior art keywords
update
update data
control unit
software
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021065457A
Other languages
English (en)
Other versions
JP2022160927A (ja
Inventor
潤 後藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yazaki Corp
Original Assignee
Yazaki Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yazaki Corp filed Critical Yazaki Corp
Priority to JP2021065457A priority Critical patent/JP7323569B2/ja
Priority to EP22161624.6A priority patent/EP4071604B1/en
Priority to US17/714,124 priority patent/US11816473B2/en
Priority to CN202210358027.2A priority patent/CN115202684A/zh
Publication of JP2022160927A publication Critical patent/JP2022160927A/ja
Application granted granted Critical
Publication of JP7323569B2 publication Critical patent/JP7323569B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/65Updates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/61Installation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/70Software maintenance or management
    • G06F8/71Version control; Configuration management

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Stored Programmes (AREA)

Description

本発明は、車載ソフトウェア更新方法および車載システムに関する。
近年の車両においては、無線通信を利用して車載システムのソフトウェアを更新するOTA(Over The Air)ソフトウェア更新システムの採用が試みられている。
例えば、特許文献1の車載システムは、無線通信によりクラウドと接続し、プログラムやデータを取得できるように構成されている。また、車載システムの書き換えノードのメモリに、制御用記憶領域、第1蓄積専用領域、第2蓄積専用領域などが存在することが示されている。
また、特許文献2においては、現行バージョンプログラムを格納するための主格納エリアと、更新バージョンプログラムを格納するための副格納エリアとが形成されていることが開示されている。
特開2019-73106号公報 特開2006-301960号公報
ところで、近年の車載システムには多数の電子制御ユニット(ECU)が搭載されており、それぞれのECUが制御用の独立したコンピュータを内蔵している。したがって、例えば車載システムに新たな機能を追加したり、車載システム全体の性能を向上させるためにソフトウェアの更新(アップデート)を行うような場合には、多数のECUのそれぞれのコンピュータが利用するソフトウェアをそれぞれ更新する必要がある。
したがって、更新が必要なソフトウェアのデータ量は膨大になり、更新の処理にも膨大な時間がかかることが予想される。また、特許文献1の車載システムでは、書き換えノードのそれぞれに、更新用のプログラムやデータを蓄積するためのメモリに記憶領域を確保しなければならない。
つまり、ソフトウェアの更新を可能にするために容量の大きい専用の記憶領域をECU毎にそれぞれ用意しなければならない。また、システム全体ではかなり膨大な記憶容量が必要になる。
しかしながら、更新用ソフトウェアの保存などの目的で用意された記憶領域は更新処理を行う時以外は使用されないので、ソフトウェア更新のために大容量の記憶領域を確保することはシステム全体のメモリ利用効率低下に繋がり、コスト増の要因になる。
また、ソフトウェアの更新がいつまでも完了しないような異常な状況が発生する可能性もある。例えば、1つのソフトウェア更新が完了する前に、車載バッテリなどの電源電圧が低下した場合や、更新が許可された状態でなくなった場合は、更新を中断しなければならない。また、ソフトウェア自身の不具合などに起因して更新を完了できない可能性もある。そして、中断などに起因してソフトウェアの更新を完了できなかった場合には、次回の更新が可能になった時に、同じ更新処理を最初から実行しなければならない。
本発明は、上述した事情に鑑みてなされたものであり、その目的は、ソフトウェア更新に伴って必要とされる記憶領域の容量を削減することが可能な車載ソフトウェア更新方法および車載システムを提供することにある。
前述した目的を達成するために、本発明に係る車載ソフトウェア更新方法および車載システムは、下記(1)~(5)を特徴としている。
(1) 最上位制御部と、その下流に接続されたゾーン制御部と、その下流に接続された複数の下位制御部とを有する車載システムに含まれるソフトウェアを更新するための車載ソフトウェア更新方法であって、
前記ゾーン制御部上のメモリに、前記ゾーン制御部及び前記下位制御部を更新対象とする1つの更新用データを格納可能な第1領域を予め確保し、
所定のソフトウェア供給元に存在する更新用データの有無を繰り返し確認し、
第1のダウンロード条件を満たす更新用データが存在する場合に、前記更新用データを前記ソフトウェア供給元からダウンロードして前記第1領域に格納すると共に、前記第1のダウンロード条件を満たす複数の更新用データが同時に存在する場合には、前記複数の更新用データの中で優先順位の高いものを優先的に選択してダウンロードを実施する、
車載ソフトウェア更新方法。
(2) 最上位制御部と、その下流に接続されたゾーン制御部と、その下流に接続された複数の下位制御部とを有する車載システムであって、
前記ゾーン制御部上のメモリが、前記ゾーン制御部および前記複数の下位制御部のいずれか1つのソフトウェアを更新するために必要な1つの更新用データを格納可能な第1領域を有し、
前記ゾーン制御部が、
前記第1領域に格納する更新用データの更新対象を選択する更新対象選択部と、
所定のソフトウェア供給元に存在する更新用データの有無および更新対象を確認する更新制御部と、
を備え、前記更新制御部は、第1のダウンロード条件を満たす更新用データが存在する場合に、前記更新用データを前記ソフトウェア供給元からダウンロードして前記第1領域に格納すると共に、前記第1のダウンロード条件を満たす複数の更新用データが同時に存在する場合には、前記複数の更新用データの中で優先順位の高いものを優先的に選択してダウンロードを実施する、
車載システム。
(3) 前記更新制御部は、自車両のイグニッション信号がオンの時に更新用データの確認およびダウンロードを実施して前記第1領域へ更新用データを格納し、前記イグニッション信号がオフに切り替わった後で、前記第1領域に格納されている更新用データを利用して更新対象の制御部のソフトウェア更新を実行する、
上記(2)に記載の車載システム。
(4) 前記更新制御部は、前記ソフトウェア供給元に、前記ゾーン制御部を更新対象とする第1の更新用データと、前記下位制御部を更新対象とする第2の更新用データとが同時に存在する場合には、前記第1の更新用データを優先的に選択する、
上記(2)又は(3)に記載の車載システム。
(5) 前記更新制御部は、前記ソフトウェア供給元に複数の更新用データが同時に存在する場合には、複数の中で更新処理の試行回数がより少ない更新用データを優先的に選択する、
上記(2)乃至(4)のいずれかに記載の車載システム。
上記(1)の構成の車載ソフトウェア更新方法によれば、ゾーン制御部、及び複数の下位制御部のいずれを対象としてソフトウェア更新する場合でも、ダウンロードした更新用データの格納先を第1領域に固定することができる。したがって、ソフトウェア更新のために必要な記憶領域を第1領域以外に確保する必要がない。つまり、第1領域を全ての更新対象が共通に利用できるので、複数の下位制御部のいずれにも更新用データを格納するための特別な記憶領域を用意する必要がなく、システム全体のメモリ領域を効率よく利用できる。また、複数の更新用データが同時に存在する場合には、優先順位の高い更新用データだけを優先的に選択してダウンロードするので、第1領域の記憶容量を削減できる。また、更新の失敗などに起因して同じ更新対象の更新用データが繰り返しダウンロードされるような状況を避けることが可能になる。
上記(2)の構成の車載システムによれば、ゾーン制御部、及び複数の下位制御部のいずれを対象としてソフトウェア更新する場合でも、ダウンロードした更新用データの格納先を第1領域に固定することができる。したがって、ソフトウェア更新のために必要な記憶領域を第1領域以外に確保する必要がない。つまり、第1領域を全ての更新対象が共通に利用できるので、複数の下位制御部のいずれにも更新用データを格納するための特別な記憶領域を用意する必要がなく、システム全体のメモリ領域を効率よく利用できる。また、複数の更新用データが同時に存在する場合には、優先順位の高い更新用データだけを優先的に選択してダウンロードするので、第1領域の記憶容量を削減できる。また、更新の失敗などに起因して同じ更新対象の更新用データが繰り返しダウンロードされるような状況を避けることが可能になる。
上記(3)の構成の車載システムによれば、更新用データの確認およびダウンロードを実施する時には、車両の発電機(オルタネータ)から出力される電力を利用できるので、車載バッテリの消耗を考慮する必要がなくなる。したがって、必要な全てのECU及び通信機能をフルに利用できる状態に電源を制御することができ、効率よくダウンロードを実施できる。また、ソフトウェア更新を実行する時には、多数のECUの多くが動作休止状態になるのでソフトウェアの更新に影響を及ぼすような状況が生じにくい。したがって、効率よくソフトウェア更新を実行できる。
上記(4)の構成の車載システムによれば、ゾーン制御部と1つ以上の下位制御部のそれぞれを更新するための更新用データが存在する場合に、ゾーン制御部の更新を先に行うことができる。これにより、最新のソフトウェアに更新されたゾーン制御部の制御下で、これ以降のソフトウェア更新処理を安定した状態で行うことが可能になる。
上記(5)の構成の車載システムによれば、同じ更新用データについてダウンロード及び更新処理の開始がループ状に繰り返されるような異常な状況の発生を避けることができる。また、例えばデータサイズが大きくて時間切れで更新が中断しやすいような更新用データについては処理の順序が後回しになり、短時間で更新可能な更新用データの処理を効率よく行うことが可能になる。
本発明の車載ソフトウェア更新方法および車載システムによれば、ソフトウェア更新に伴って必要とされる記憶領域の容量を削減できる。すなわち、ゾーン制御部、及び複数の下位制御部のいずれを対象としてソフトウェア更新する場合でも、ダウンロードした更新用データの格納先が第1領域だけに固定されるので、ソフトウェア更新のために必要な記憶領域を第1領域以外に確保する必要がない。
以上、本発明について簡潔に説明した。更に、以下に説明される発明を実施するための形態(以下、「実施形態」という。)を添付の図面を参照して通読することにより、本発明の詳細は更に明確化されるであろう。
図1は、本発明の実施形態に係る車載システムの主要部の構成を示すブロック図である。 図2は、図1とは異なる状態の車載システムを示すブロック図である。 図3は、イグニッションオンの状態におけるゾーンECUの動作を示すフローチャートである。 図4は、イグニッションオフの状態におけるゾーンECUの動作を示すフローチャートである。
本発明に関する具体的な実施形態について、各図を参照しながら以下に説明する。
<車載システムの構成>
図1は、本発明の実施形態に係る車載システム10の主要部の構成を示すブロック図である。また、図2は、図1とは異なる状態の車載システム10を示すブロック図である。
図1に示した車両17に搭載されている車載システム10は、セントラルECU11、ゾーンECU12、末端ECU13、スマートアクチュエータ14などを備えている。セントラルECU11とゾーンECU12との間は通信線18で接続され、ゾーンECU12と末端ECU13及びスマートアクチュエータ14との間は通信線19で接続されている。
なお、実際の車両においては同じ車両17上に複数のゾーンが形成され、ゾーン毎にそれぞれ独立したゾーンECU12が配置される。つまり、セントラルECU11は複数のゾーンECU12と接続される。また、ゾーンは例えば同じ車両17上の空間における左右などの場所の違いを表す複数の区域として割り当てられる場合もあるし、機能上のグループの違いを表す複数の区域として割り当てられる場合もある。
セントラルECU11は、複数のゾーンを含む車載システム10全体を統合して管理すると共に、無線通信機能を利用して車両外のインターネットなどの通信網と安全に接続するためのゲートウェイの機能も有している。
したがって、図1に示したゾーンECU12は、この車両17上で最上位に位置するセントラルECU11の下流側に接続されている。また、ゾーンECU12はその下流側に接続された末端ECU13及びスマートアクチュエータ14を管理している。
セントラルECU11、ゾーンECU12、及び末端ECU13は、それぞれ独立した制御が可能なマイクロコンピュータ及び通信機能を内蔵している。また、スマートアクチュエータ14はアクチュエータの機能をソフトウェアにより変更する機能及び通信機能を有している。
したがって、図1に示したゾーンECU12、末端ECU13、及びスマートアクチュエータ14は、それぞれが自身の動作に必要なプログラムやデータにより構成されるソフトウェアを備えている。また、それぞれのソフトウェアは例えば不揮発性メモリ上に配置することにより書き換え可能な状態になっている。そのため、それぞれのソフトウェアを必要に応じて更新(アップデート)することができる。本実施形態では、これらのソフトウェア更新(SU)は、無線通信を利用したOTA(Over The Air)として行うことができる。
図1に示した車載システム10においては、ゾーンECU12がそれ自身が使うソフトウェアの更新と、末端ECU13及びスマートアクチュエータ14のそれぞれが使うソフトウェアの更新とを全て管理するようになっている。また、ゾーンECU12は、アップデート専用(OTA SU用)メモリ領域12aを備えている。そして、末端ECU13及びスマートアクチュエータ14のいずれも、アップデート用のメモリ領域を備えていない。
したがって、図1の車載システム10においてはゾーンECU12上の1つのアップデート専用メモリ領域12aを、更新対象が異なる複数種類の更新データを処理するために共通の記憶領域として利用する。つまり、ゾーンECU12自身が使うソフトウェアと、末端ECU13及びスマートアクチュエータ14のそれぞれが使うソフトウェアを、いずれも共通のアップデート専用メモリ領域12aを利用して更新する。
アップデート専用メモリ領域12aのために予め確保しておく記憶容量は、全ての種類の更新データの中でデータ容量が最大の1つの更新データを記憶できる大きさに決定される。したがって、例えば比較的容量が小さい更新データであれば、複数種類の更新データを同時にアップデート専用メモリ領域12a上に格納することも可能であるが、容量が大きい更新データは同時に複数を格納することができない。
図1の車両17において、車載システム10が動作するために必要とする電源電力は、車両17に備わっている車載バッテリ15及びオルタネータ16から供給できる。但し、エンジンが停止するとオルタネータ16の発電が止まるので、車両17が駐車しているような場合には車載バッテリ15に蓄積されている電力だけしか利用できない。
また、車載バッテリ15が異常に消耗したような場合には、車載バッテリ15からの電力供給が制限される可能性がある。オルタネータ16が動作しているかどうかはイグニッションのオンオフにより識別できる。図1に示したゾーンECU12は、車両17側から出力されるイグニッション信号SG-IGを監視することで、イグニッションのオンオフを識別する。
本実施形態の車載システム10では、各部のソフトウェアを更新するための更新データの供給元としてクラウド20が用意されている。このクラウド20は、例えば所定のデータセンタのサーバ上に配置される。このクラウド20は、車載システム10のソフトウェア更新のために必要な更新データを提供する機能を有している。
したがって、ゾーンECU12用のソフトウェア、末端ECU13用のソフトウェア、及びスマートアクチュエータ14用のソフトウェアのそれぞれを更新するための準備ができている場合には、図1に示すようにクラウド20上に更新対象のそれぞれに対応したアップデートプログラム31、32、及び33が格納されている。
図1の状態において、車載システム10は3つのアップデートプログラム31、32、及び33をそれぞれ無線データ通信25によりダウンロードして取得することが可能である。但し、ダウンロードした更新データを記憶する場所が、車載システム10上にはアップデート専用メモリ領域12aだけしか存在しない。
そのため、実際のアップデート専用メモリ領域12aの使用状況などを確認しながら、優先順位も考慮しながら適切に各々の更新データのダウンロード及びアップデートを処理する必要がある。本実施形態では、車載システム10の中でゾーンECU12が主体となってこのような処理を制御する。
通常、無線データ通信25により容量の大きい更新データをダウンロードする際には、車載システム10の各部が長い時間に亘って比較的大きな電源電力を消費することが予想される。したがって、本実施形態では車両17のイグニッションがオンの時に各更新データのダウンロードを実施する。
一方、ダウンロード済みの更新データを使用して車載システム10上のソフトウェアを実際に更新する際には、更新対象とは無関係の他のECUからの割り込みなどの影響を受けにくくすることが望ましい。また、ソフトウェアを実際に更新する際には、更新対象とは無関係の他のECUの動作を制限してシステム全体の消費電力を抑制することが可能である。したがって、本実施形態の車載システム10は、車両17のイグニッションがオフの時にソフトウェアの更新を実行する。
図1に示した状況では、クラウド20上に3種類のアップデートプログラム31、32、及び33が存在するが、本実施形態では更新対象がゾーンECU12であるアップデートプログラム31の優先順位が他よりも高い。したがって、ゾーンECU12は、最初にアップデートプログラム31のみを無線データ通信25によりダウンロードする。その結果、クラウド20上のアップデートプログラム31と同じそのコピーであるアップデートプログラム31Aがアップデート専用メモリ領域12aに格納される。
また、図1に示すように、アップデート専用メモリ領域12aにアップデートプログラム31Aが格納されている時には、ゾーンECU12のアップデート処理部12bがアップデートプログラム31Aをアップデート専用メモリ領域12aから読み込んでその更新処理を実行し、これをゾーンECU12自身に更新インストールする。
図1に示した車載システム10において、アップデートプログラム31Aの更新インストールが正常に完了した場合には、アップデート専用メモリ領域12a上のアップデートプログラム31Aは不要になる。その場合は、ゾーンECU12がアップデート専用メモリ領域12aを開放する。
これにより、アップデート専用メモリ領域12aが空き状態になり、この記憶領域を再び利用できる状態になる。そのため、ゾーンECU12は、クラウド20上にある優先順位の低いアップデートプログラム32又は33をダウンロードしてアップデート専用メモリ領域12aに格納することができる。また、アップデートプログラム32及び33の容量が比較的小さい場合には、それらの両方を同時にアップデート専用メモリ領域12aに格納することも可能である。
図2に示した状態においては、ゾーンECU12が無線データ通信25によりクラウド20からダウンロードした結果として、クラウド20上のアップデートプログラム32と同じコピーであるアップデートプログラム32Aがアップデート専用メモリ領域12aに格納されている。また、アップデートプログラム33と同じコピーであるアップデートプログラム33Aも同時にアップデート専用メモリ領域12aに格納されている。
したがって、図2に示したアップデート処理部13aは、ゾーンECU12内のアップデート専用メモリ領域12aに格納されているアップデートプログラム32Aを利用して末端ECU13上のソフトウェアを更新することができる。また、図2に示したアップデート処理部14aはゾーンECU12のアップデート専用メモリ領域12aに格納されているアップデートプログラム33Aを利用してスマートアクチュエータ14上のソフトウェアを更新することができる。
実際には、通信線19を介してゾーンECU12と末端ECU13との間でデータ通信を行いながらアップデート処理部13aが末端ECU13上のソフトウェアを更新する。また、通信線19を介してゾーンECU12とスマートアクチュエータ14との間でデータ通信を行いながらアップデート処理部14aがスマートアクチュエータ14上のソフトウェアを更新する。
なお、ゾーンECU12がアップデートプログラム31Aを利用して正常にソフトウェア更新を完了した場合には、それをゾーンECU12がクラウド20に通知する。これにより、クラウド20は不要になった車載システム10用のアップデートプログラム31を削除することができる。
<ゾーンECUの動作>
<イグニッションオンの場合の動作>
図3は、イグニッションオンの状態におけるゾーンECU12の動作を示すフローチャートである。すなわち、ゾーンECU12に入力されるイグニッション信号SG-IGがオンの時に、図3の動作をゾーンECU12内のコンピュータが実行する。図3に示した動作について以下に説明する。
ゾーンECU12は、まだ更新インストールが完了していない必要なソフトウェア(プログラムやデータ)がアップデート専用メモリ領域12a上に存在するか否かをS11で確認する。そして、アップデート専用メモリ領域12aが空き状態の場合にS12の処理に進む。
ゾーンECU12は、S12で無線データ通信25を行うことにより、クラウド20上における必要な更新プログラム(又はデータ)の存在有無、及び更新対象などの種類を確認する。クラウド20上に更新プログラムがある場合は、ゾーンECU12はS13からS14の処理に進む。そして、該当する更新プログラムのインストール履歴を確認する。このインストール履歴は、ゾーンECU12自身が管理するか、又はクラウド20側で管理する。
ゾーンECU12がS14でインストール履歴を確認するのは、効率的なインストール進行を可能にするためである。例えば、更新プログラムに含まれるミスなどの影響により更新に失敗したような場合は、該当する更新プログラムをインストールする優先順位を下げるか、又はその処理の再試行を後回しにすることで、同じ処理がいつまでも終了しない異常なループ状態の継続を回避できる。したがって、インストール履歴は、更新プログラム毎のインストール試行回数を管理するデータを履歴として保持している。
ゾーンECU12は、クラウド20上に存在している更新プログラムの中で、インストール試行回数が最小の更新プログラムの数を確認する(S15)。そして、インストール試行回数が最小の更新プログラムの数が1であればS16の処理に進み、複数であればS17の処理に進む。
ゾーンECU12は、次のS16で、該当する1つの更新プログラムをクラウド20から無線データ通信25によりダウンロードしてアップデート専用メモリ領域12aに格納する。
ゾーンECU12は、次のS17で、該当する複数の更新プログラムの中に、ゾーンECU12自身を更新対象とする更新プログラムが含まれているか否かを識別する。該当する複数の更新プログラムの中に、ゾーンECU12自身を更新対象とする更新プログラムが含まれている場合はS18に進み、そうでない場合はS19に進む。
ゾーンECU12は、S18でゾーンECU12自身を更新対象とする1つの更新プログラムをクラウド20から無線データ通信25によりダウンロードしてアップデート専用メモリ領域12aに格納する。
ゾーンECU12は、S19で末端ECU13、又はスマートアクチュエータ14を更新対象とする1つ又は複数の更新プログラムをクラウド20から無線データ通信25によりダウンロードしてアップデート専用メモリ領域12aに格納する。それぞれの更新プログラムの容量が比較的小さい場合は複数の更新プログラムを同時にダウンロードしてアップデート専用メモリ領域12aに格納することができるが、更新プログラムの容量が大きい場合には適切な順番で1つずつダウンロードしてアップデート専用メモリ領域12aに格納する。
<イグニッションオフの場合の動作>
図4は、イグニッションオフの状態におけるゾーンECU12の動作を示すフローチャートである。
例えば、車両17の運転を終了して駐車する場合には、イグニッションをオフにしてエンジンが停止して、オルタネータ16も止まるので、車両17上の電源電力の供給源は車載バッテリ15だけになる。車両17上の多くのECUはスリープなどの休止状態に移行する。そのような状況において、ゾーンECU12が図4の動作を実行する。図4の動作について以下に説明する。
ゾーンECU12は、まだ更新インストールが完了していない必要なソフトウェア(プログラムやデータ)がアップデート専用メモリ領域12a上に存在するか否かをS21で確認する。そして、アップデート専用メモリ領域12aに更新すべきソフトウェアの更新データが存在する場合にS22の処理に進む。
ゾーンECU12は、アップデート専用メモリ領域12aに格納されている更新データを利用して、それが更新対象とするソフトウェアのアップデート実行を開始する。例えば、図1に示した状態であれば、アップデートプログラム31Aがアップデート専用メモリ領域12aに存在するので、アップデート処理部12bがゾーンECU12自身のソフトウェアをアップデートプログラム31Aで更新するように処理する。また、図2に示したようにアップデートプログラム32Aがアップデート専用メモリ領域12aに存在する場合は、ゾーンECU12とアップデート処理部13aとの通信により、アップデート専用メモリ領域12a上のアップデートプログラム32Aを利用して末端ECU13のソフトウェアを更新する。アップデートプログラム33Aの処理についても同様である。
ゾーンECU12がソフトウェアのアップデートを開始した後で、例えば車載バッテリ15の出力電圧が異常に低下したような場合は、そのアップデートを中断してそれ以上の電源電圧低下を回避する必要がある。その場合は図4の動作を一旦終了する。その場合は、更新インストールを完了していないアップデート専用メモリ領域12a上の更新データはそのまま維持する。
ゾーンECU12は、何の問題もなく最後までソフトウェアのアップデートを終了した場合は、該当するアップデートの成功をS24で検出し、次のS26の処理に進む。一方、更新データにおけるプログラムミスなどの要因により、ソフトウェアのアップデートを正しく完了できないような場合は、ゾーンECU12はS24で該当するアップデートの失敗を検出し、それを履歴に記録して次のS25に進む。その場合は、ゾーンECU12は該当するアップデートを開始する前のソフトウェアバージョンの状態に復元するように、S25でロールバックを実施する。
アップデートの成功を検出した場合、又はアップデートの失敗を検出した場合には、ゾーンECU12は該当するアップデート用の更新データを格納しているアップデート専用メモリ領域12aを開放する(S26)。つまり、更新の完了により不要になった更新データ、又は何らかの問題があって更新を完了できない不要な更新データをアップデート専用メモリ領域12a上から廃棄してその分の空き領域を確保し、他の更新データの格納にアップデート専用メモリ領域12aを利用できるようにする。
以上のように、図1に示した車載システム10及び図3、図4の動作を実施する車載ソフトウェア更新方法によれば、1つの更新データを格納可能なアップデート専用メモリ領域12aを確保するだけで、ゾーンECU12及びその下流に接続されている末端ECU13、スマートアクチュエータ14のような複数の負荷のそれぞれのソフトウェアの更新が可能になる。つまり、1つのアップデート専用メモリ領域12aを有効活用することで、システム全体についてソフトウェア更新に必要とされる記憶領域を大幅に削減できる。
また、図3、図4に示したように車両17のイグニッションのオンオフに連動して更新データのダウンロード及びアップデートを実施するので、安定した動作が期待できる。すなわち、イグニッションがオンの時には比較的長い時間に亘って省電力動作を行う必要がないので、比較的容量が大きい更新データであってもクラウド20等から無線通信を利用して効率よくダウンロードすることができる。また、イグニッションがオフの時にはアップデート対象部位以外のECUはほぼ休止状態になるので、他のECUによる割り込み処理などの影響を受けにくくなり、安定した状況下でソフトウェアの更新処理を実行できる。
また、クラウド20上に複数種類の更新データが同時に存在する場合には、ゾーンECU12を更新対象とする1つの更新データのダウンロードを優先的に実行する(S17、S18)ので、システム全体のソフトウェアを最新の状態でゾーンECU12が管理することが容易になる。
また、クラウド20上に複数種類の更新データが同時に存在する場合には、ダウンロードの試行回数を考慮して試行回数が少ない一部の更新データを優先的に選択する(S15、S16)ので、システム各部のソフトウェア更新のためのダウンロードを効率よく実施できる。
ここで、上述した本発明の実施形態に係る車載ソフトウェア更新方法および車載システムの特徴をそれぞれ以下[1]~[5]に簡潔に纏めて列記する。
[1] 最上位制御部(セントラルECU11)と、その下流に接続されたゾーン制御部(ゾーンECU12)と、その下流に接続された複数の下位制御部(末端ECU13、スマートアクチュエータ14)とを有する車載システム(10)に含まれるソフトウェアを更新するための車載ソフトウェア更新方法であって、
前記ゾーン制御部上のメモリに、前記ゾーン制御部及び前記下位制御部を更新対象とする1つの更新用データを格納可能な第1領域(アップデート専用メモリ領域12a)を予め確保し、
所定のソフトウェア供給元に存在する更新用データ(アップデートプログラム31~33)の有無を繰り返し確認し、
第1のダウンロード条件を満たす更新用データが存在する場合に、前記更新用データを前記ソフトウェア供給元(クラウド20)からダウンロードして前記第1領域に格納すると共に、前記第1のダウンロード条件を満たす複数の更新用データが同時に存在する場合には、前記複数の更新用データの中で優先順位の高いものを優先的に選択してダウンロードを実施する(S15~S18)、
車載ソフトウェア更新方法。
[2] 最上位制御部(セントラルECU11)と、その下流に接続されたゾーン制御部(ゾーンECU12)と、その下流に接続された複数の下位制御部(末端ECU13、スマートアクチュエータ14)とを有する車載システム(10)であって、
前記ゾーン制御部上のメモリが、前記ゾーン制御部および前記複数の下位制御部のいずれか1つのソフトウェアを更新するために必要な1つの更新用データを格納可能な第1領域(アップデート専用メモリ領域12a)を有し、
前記ゾーン制御部が、
前記第1領域に格納する更新用データの更新対象を選択する更新対象選択部(S15~S19)と、
所定のソフトウェア供給元に存在する更新用データの有無および更新対象を確認する更新制御部(S12)と、
を備え、前記更新制御部は、第1のダウンロード条件を満たす更新用データが存在する場合に、前記更新用データを前記ソフトウェア供給元からダウンロードして前記第1領域に格納すると共に、前記第1のダウンロード条件を満たす複数の更新用データが同時に存在する場合には、前記複数の更新用データの中で優先順位の高いものを優先的に選択してダウンロードを実施する(S16、S18)、
車載システム。
[3] 前記更新制御部は、自車両のイグニッション信号がオンの時に更新用データの確認およびダウンロードを実施して前記第1領域へ更新用データを格納し(S11~S19)、前記イグニッション信号がオフに切り替わった後で、前記第1領域に格納されている更新用データを利用して更新対象の制御部のソフトウェア更新を実行する(S21~S26)、
上記[2]に記載の車載システム。
[4] 前記更新制御部は、前記ソフトウェア供給元に、前記ゾーン制御部を更新対象とする第1の更新用データ(アップデートプログラム31)と、前記下位制御部を更新対象とする第2の更新用データ(アップデートプログラム32、33)とが同時に存在する場合には、前記第1の更新用データを優先的に選択する(S17)、
上記[2]又は[3]に記載の車載システム。
[5] 前記更新制御部は、前記ソフトウェア供給元に複数の更新用データが同時に存在する場合には、複数の中で更新処理の試行回数がより少ない更新用データを優先的に選択する(S15)、
上記[2]乃至[4]のいずれかに記載の車載システム。
10 車載システム
11 セントラルECU
12 ゾーンECU
12a アップデート専用メモリ領域(第1領域)
12b アップデート処理部
13 末端ECU
13a アップデート処理部
14 スマートアクチュエータ
14a アップデート処理部
15 車載バッテリ
16 オルタネータ
17 車両
18,19 通信線
20 クラウド
25 無線データ通信
31,31A,32,32A,33,33A アップデートプログラム
SG-IG イグニッション信号

Claims (5)

  1. 最上位制御部と、その下流に接続されたゾーン制御部と、その下流に接続された複数の下位制御部とを有する車載システムに含まれるソフトウェアを更新するための車載ソフトウェア更新方法であって、
    前記ゾーン制御部上のメモリに、前記ゾーン制御部及び前記下位制御部を更新対象とする1つの更新用データを格納可能な第1領域を予め確保し、
    所定のソフトウェア供給元に存在する更新用データの有無を繰り返し確認し、
    第1のダウンロード条件を満たす更新用データが存在する場合に、前記更新用データを前記ソフトウェア供給元からダウンロードして前記第1領域に格納すると共に、前記第1のダウンロード条件を満たす複数の更新用データが同時に存在する場合には、前記複数の更新用データの中で優先順位の高いものを優先的に選択してダウンロードを実施する、
    車載ソフトウェア更新方法。
  2. 最上位制御部と、その下流に接続されたゾーン制御部と、その下流に接続された複数の下位制御部とを有する車載システムであって、
    前記ゾーン制御部上のメモリが、前記ゾーン制御部および前記複数の下位制御部のいずれか1つのソフトウェアを更新するために必要な1つの更新用データを格納可能な第1領域を有し、
    前記ゾーン制御部が、
    前記第1領域に格納する更新用データの更新対象を選択する更新対象選択部と、
    所定のソフトウェア供給元に存在する更新用データの有無および更新対象を確認する更新制御部と、
    を備え、前記更新制御部は、第1のダウンロード条件を満たす更新用データが存在する場合に、前記更新用データを前記ソフトウェア供給元からダウンロードして前記第1領域に格納すると共に、前記第1のダウンロード条件を満たす複数の更新用データが同時に存在する場合には、前記複数の更新用データの中で優先順位の高いものを優先的に選択してダウンロードを実施する、
    車載システム。
  3. 前記更新制御部は、自車両のイグニッション信号がオンの時に更新用データの確認およびダウンロードを実施して前記第1領域へ更新用データを格納し、前記イグニッション信号がオフに切り替わった後で、前記第1領域に格納されている更新用データを利用して更新対象の制御部のソフトウェア更新を実行する、
    請求項2に記載の車載システム。
  4. 前記更新制御部は、前記ソフトウェア供給元に、前記ゾーン制御部を更新対象とする第1の更新用データと、前記下位制御部を更新対象とする第2の更新用データとが同時に存在する場合には、前記第1の更新用データを優先的に選択する、
    請求項2又は請求項3に記載の車載システム。
  5. 前記更新制御部は、前記ソフトウェア供給元に複数の更新用データが同時に存在する場合には、複数の中で更新処理の試行回数がより少ない更新用データを優先的に選択する、
    請求項2乃至請求項4のいずれか1項に記載の車載システム。
JP2021065457A 2021-04-07 2021-04-07 車載ソフトウェア更新方法および車載システム Active JP7323569B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2021065457A JP7323569B2 (ja) 2021-04-07 2021-04-07 車載ソフトウェア更新方法および車載システム
EP22161624.6A EP4071604B1 (en) 2021-04-07 2022-03-11 Updating method for in-vehicle software and in-vehicle system
US17/714,124 US11816473B2 (en) 2021-04-07 2022-04-05 Updating method for in-vehicle software and in-vehicle system
CN202210358027.2A CN115202684A (zh) 2021-04-07 2022-04-06 车载软件更新方法以及车载系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021065457A JP7323569B2 (ja) 2021-04-07 2021-04-07 車載ソフトウェア更新方法および車載システム

Publications (2)

Publication Number Publication Date
JP2022160927A JP2022160927A (ja) 2022-10-20
JP7323569B2 true JP7323569B2 (ja) 2023-08-08

Family

ID=80739043

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021065457A Active JP7323569B2 (ja) 2021-04-07 2021-04-07 車載ソフトウェア更新方法および車載システム

Country Status (4)

Country Link
US (1) US11816473B2 (ja)
EP (1) EP4071604B1 (ja)
JP (1) JP7323569B2 (ja)
CN (1) CN115202684A (ja)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015194406A1 (ja) 2014-06-18 2015-12-23 日立オートモティブシステムズ株式会社 車載プログラム書込み装置
JP2017157003A (ja) 2016-03-02 2017-09-07 住友電気工業株式会社 プログラム更新システム、プログラム更新方法及びコンピュータプログラム
WO2018142751A1 (ja) 2017-02-01 2018-08-09 住友電気工業株式会社 制御装置、プログラム更新方法、およびコンピュータプログラム
JP2020144682A (ja) 2019-03-07 2020-09-10 パナソニックIpマネジメント株式会社 プログラム更新システム、制御システム、移動体、プログラム更新方法及びプログラム
WO2021002261A1 (ja) 2019-07-04 2021-01-07 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 異常検知装置および異常検知方法
JP2021047875A (ja) 2020-11-16 2021-03-25 株式会社オートネットワーク技術研究所 車載装置、制御プログラム及びメモリ共有方法

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060259207A1 (en) 2005-04-20 2006-11-16 Denso Corporation Electronic control system for automobile
JP4548601B2 (ja) 2005-04-20 2010-09-22 株式会社デンソー 自動車用制御ユニット
US9720680B2 (en) * 2015-07-23 2017-08-01 Honda Motor Co., Ltd. Methods and apparatus for wirelessly updating vehicle systems
US10042629B2 (en) * 2016-07-28 2018-08-07 GM Global Technology Operations LLC Remote vehicle update installation scheduling
JP6696468B2 (ja) * 2016-08-30 2020-05-20 株式会社オートネットワーク技術研究所 車載更新装置及び車載更新システム
JP7091630B2 (ja) 2017-10-13 2022-06-28 株式会社デンソー 電子制御装置
JP7047444B2 (ja) * 2018-02-16 2022-04-05 トヨタ自動車株式会社 車両制御装置、電子制御ユニット、制御方法、制御プログラム、車両、otaマスタ、システム及びセンタ

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015194406A1 (ja) 2014-06-18 2015-12-23 日立オートモティブシステムズ株式会社 車載プログラム書込み装置
JP2017157003A (ja) 2016-03-02 2017-09-07 住友電気工業株式会社 プログラム更新システム、プログラム更新方法及びコンピュータプログラム
WO2018142751A1 (ja) 2017-02-01 2018-08-09 住友電気工業株式会社 制御装置、プログラム更新方法、およびコンピュータプログラム
JP2020144682A (ja) 2019-03-07 2020-09-10 パナソニックIpマネジメント株式会社 プログラム更新システム、制御システム、移動体、プログラム更新方法及びプログラム
WO2021002261A1 (ja) 2019-07-04 2021-01-07 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 異常検知装置および異常検知方法
JP2021047875A (ja) 2020-11-16 2021-03-25 株式会社オートネットワーク技術研究所 車載装置、制御プログラム及びメモリ共有方法

Also Published As

Publication number Publication date
CN115202684A (zh) 2022-10-18
US20220326936A1 (en) 2022-10-13
EP4071604A1 (en) 2022-10-12
US11816473B2 (en) 2023-11-14
JP2022160927A (ja) 2022-10-20
EP4071604B1 (en) 2023-11-22

Similar Documents

Publication Publication Date Title
JP6390644B2 (ja) プログラム更新システム、プログラム更新方法及びコンピュータプログラム
KR100201796B1 (ko) 데이타를 네트워크 노드에 다운로딩하는 방법 및 시스템
JP5428738B2 (ja) 情報処理装置及びファームウェア更新方法
JP5006941B2 (ja) 通信端末
JP2010198155A (ja) プログラム更新装置、プログラム更新方法、及び情報処理装置
US11809853B2 (en) In-vehicle software updating method and in-vehicle system
CN110865822B (zh) 整车控制器用Bootloader刷写程序的启动架构及方法
WO2006125391A1 (fr) Systeme de traitement informatique pour la mise a niveau de donnees et procede de mise a niveau de donnees
EP2110748B1 (en) Cluster control apparatus, cluster system and control program
JP7323569B2 (ja) 車載ソフトウェア更新方法および車載システム
CN1327325A (zh) 在网络处理系统中下载软件管理树的方法和系统
EP3701371B1 (en) Method for updating a bootloader of a controller of a light
WO2023241458A1 (zh) 车载控制器的软件升级方法、装置、设备和存储介质
CN113360175A (zh) 车辆控制器的应用更新方法及车辆控制器
US20220391194A1 (en) Ota master, system, method, non-transitory storage medium, and vehicle
US20220391192A1 (en) Ota master, center, system, method, non-transitory storage medium, and vehicle
JP7230768B2 (ja) 電子制御装置、セッション確立プログラム及び制御プログラム
JP2004151944A (ja) 不揮発性記憶装置へのデータの書き込み方法、プログラム、および装置、ならびに車載電子制御装置
US20220405085A1 (en) Method for updating a digital system
JP4630741B2 (ja) 省電力時バックアップ型情報処理装置
JP2021197079A (ja) ソフトウェア更新装置、マスタ、otaマスタ、ネットワークシステム、方法、プログラム、センタ、および車両
US8036800B2 (en) Method for operating a motor vehicle control unit
US20220391193A1 (en) Ota master, system, method, non-transitory storage medium, and vehicle
US20220342651A1 (en) Center, ota master, system, distribution method, non-transitory storage medium, and vehicle
US20220405080A1 (en) Ota master, system, method, non-transitory storage medium, and vehicle

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220805

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230607

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230725

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230727

R150 Certificate of patent or registration of utility model

Ref document number: 7323569

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150