WO2021117445A1

WO2021117445A1 - 情報処理装置、移動体および情報処理方法

Info

Publication number: WO2021117445A1
Application number: PCT/JP2020/043029
Authority: WO
Inventors: 孝彦上辻; 大輝松田; 宏和玉野
Original assignee: パナソニックＩｐマネジメント株式会社
Priority date: 2019-12-09
Filing date: 2020-11-18
Publication date: 2021-06-17
Also published as: JP7220397B2; DE112020001541T5; CN113678101B; US11947970B2; US20220027166A1; CN113678101A; JP2021092875A

Abstract

情報処理装置（２１０）は、ＥＣＵ（２３０）と、一方の記憶領域にＥＣＵ（２３０）が起動時に実行する第１プログラムが格納されている、第１記憶領域（２４１）および第２記憶領域（２４２）を有する仮想ストレージをＥＣＵ（２３０）に提供する管理ＥＣＵ（２２０）と、外部装置から第１プログラムの更新用の第２プログラムを取得し、取得した第２プログラムを第１記憶領域（２４１）および第２記憶領域（２４２）の他方の記憶領域に格納させる更新制御部（２２１）と、第２プログラムが他方の記憶領域に格納された後で、ＥＣＵ（２３０）が起動時に実行するプログラムを第１プログラムから他方の記憶領域に格納された第２プログラムに切り替える切替部（２２２）と、を備える。

Description

情報処理装置、移動体および情報処理方法

　本開示は、情報処理装置、移動体および情報処理方法に関する。

　特許文献１では、自動車に搭載される電子機器の制御用ソフトウェアの更新において、更新バージョンプログラムを現行バージョンプログラムとは異なる格納エリアに格納した後で、更新バージョンプログラムの格納エリアを現行バージョンプログラムの格納エリアに切り替える自動車用制御ユニットが開示されている。

特開２００６－３０１９６０号公報

　本開示は、更新対象の制御器のプログラムを当該制御器に影響を与えないように更新することができる情報処理装置などを提供する。

　本開示における情報処理装置は、第１制御器と、一方の記憶領域に前記第１制御器が起動時に実行する第１プログラムが格納されている、第１記憶領域および第２記憶領域を有する仮想ストレージを前記第１制御器に提供する第２制御器と、外部装置から前記第１プログラムの更新用の第２プログラムを取得し、取得した前記第２プログラムを前記第１記憶領域および前記第２記憶領域の他方の記憶領域に格納させる更新制御部と、前記第２プログラムが前記他方の記憶領域に格納された後で、前記第１制御器が起動時に実行するプログラムを前記第１プログラムから前記他方の記憶領域に格納された前記第２プログラムに切り替える切替部と、を備える。

　なお、これらの全般的または具体的な態様は、システム、方法、集積回路、コンピュータプログラムまたはコンピュータ読み取り可能なＣＤ－ＲＯＭなどの記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラムおよび記録媒体の任意な組み合わせで実現されてもよい。

　本開示における情報処理装置などは、更新対象の制御器のプログラムを当該制御器に影響を与えないように更新することができる。

図１は、実施の形態に係るデータ配信システムの概略図である。図２は、実施の形態に係るサーバのハードウェア構成の一例を示すブロック図である。図３は、実施の形態に係る移動体のハードウェア構成の一例を示すブロック図である。図４は、実施の形態に係る情報処理装置の機能構成の一例を示すブロック図である。図５は、実施の形態に係る情報処理装置によるプログラムの更新動作の一例を示すフローチャートである。図６は、実施の形態に係る情報処理装置によるプログラムの復旧動作の一例を示すフローチャートである。図７は、変形例１に係る情報処理装置の機能構成の一例を示すブロック図である。図８は、変形例２に係る情報処理装置の機能構成の一例を示すブロック図である。図９は、情報処理装置の機能を実現する仮想マシンの構成を示す図である。

　（本発明の基礎となった知見）
　本発明者らは、「背景技術」の欄において記載した、自動車用制御ユニットに関し、以下の問題が生じることを見出した。

　特許文献１の自動車用制御ユニット（ＥＣＵ：Ｅｌｅｃｔｒｏｎｉｃ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ）では、更新後のプログラムに不具合が生じている場合、ＥＣＵが更新後のプログラムを実行したときに起動不能になる、または、起動したとしてもデッドロックになることがある。このように、ＥＣＵが起動不能またはデッドロックになると、ＥＣＵが動作できなくなるため、新しいプログラムを古いプログラムとは異なる格納エリアに格納したとしても、古いプログラムを用いてＥＣＵを再起動することができないという課題がある。

　また、複数のＥＣＵがそれぞれで独立してプログラムの更新を行う場合、ＥＣＵ毎に処理能力が異なることが多いため、プログラムの更新品質にばらつきが生じてしまうという課題がある。例えば、プログラムの更新指示を更新対象とは異なる管理ＥＣＵが行う場合、更新対象のＥＣＵは、管理ＥＣＵからの更新指示に応じてプログラムの更新を自身で行うことがある。管理ＥＣＵは、プログラムの更新品質に各ＥＣＵでばらつきが生じないように各ＥＣＵにおけるプログラムの更新を管理しようとすると、例えば、各ＥＣＵの処理能力に応じた条件を満たすようにプログラムの更新指示をするなどの工夫が必要になる。つまり、管理ＥＣＵに各ＥＣＵのプログラムの更新品質を管理するための機能を実装する必要があり、当該機能を実現するためのプログラムを用意する必要がある。

　このような課題を解決するために、発明者らは、更新対象の制御器のプログラムを、当該制御器に影響を与えないように、更新対象の制御器とは別の制御器に管理させることができる情報処理装置および情報処理方法を見出すに至った。

　本開示の一態様に係る情報処理装置は、第１制御器と、一方の記憶領域に前記第１制御器が起動時に実行する第１プログラムが格納されている、第１記憶領域および第２記憶領域を有する仮想ストレージを前記第１制御器に提供する第２制御器と、外部装置から前記第１プログラムの更新用の第２プログラムを取得し、取得した前記第２プログラムを前記第１記憶領域および前記第２記憶領域の他方の記憶領域に格納させる更新制御部と、前記第２プログラムが前記他方の記憶領域に格納された後で、前記第１制御器が起動時に実行するプログラムを前記第１プログラムから前記他方の記憶領域に格納された前記第２プログラムに切り替える切替部と、を備える。

　これによれば、第１制御器が実行する第１プログラムは、第２制御器が提供する仮想ストレージの第１記憶領域および第２記憶領域の一方の記憶領域に格納されており、更新用の第２プログラムが取得されると第２プログラムは他方の記憶領域に格納される。その後、第１制御器が起動時に実行するプログラムが第２プログラムに切り替えられるため、第１制御器のプログラムの更新を、第１制御器を用いずに行うことができる。よって、更新対象の第１制御器のプログラムを第１制御器に影響を与えないように更新することができる。

　また、前記切替部は、前記第２プログラムを実行した第１制御器に異常が検知された場合、前記第１制御器が起動時に実行するプログラムを前記第２プログラムから前記一方の記憶領域に格納されている前記第１プログラムに再変更してもよい。

　これによれば、第２プログラムに異常が検知された場合、第１制御器とは異なる切替部が、第１制御器が起動時に実行するプログラムを第２プログラムから第１プログラムに切り替えることができる。よって、第１制御器が異常がある第２プログラムを実行することで起動不能またはデッドロックになったとしても、第１制御器を、正常に動作する第１プログラムを実行するように再起動することができる。このため、第１制御器が機能しなくなることを抑制することができる。

　また、前記第１制御器は、前記更新制御部を有してもよい。

　このため、第１制御器が第２プログラムを他方の記憶領域に格納することができる。

　また、前記第２制御器は、前記更新制御部を有してもよい。

　このため、第２制御器が第２プログラムを他方の記憶領域に格納することができる。

　また、前記情報処理装置は、複数の前記第１制御器を備え、前記第２制御器による前記仮想ストレージは、前記複数の第１制御器にそれぞれアクセスされる、複数の前記第１記憶領域および複数の前記第２記憶領域を有してもよい。

　このため、複数の第１制御器のそれぞれについて、当該第１制御器のプログラムを当該第１制御器に影響を与えないように更新することができる。

　また、前記複数の第１制御器は、依存関係にある複数の依存制御器を有し、前記複数の依存制御器のそれぞれについて、前記仮想ストレージは、当該依存制御器に対応する前記第１記憶領域および前記第２記憶領域を有し、当該依存制御器に対応する前記第１記憶領域および前記第２記憶領域の一方の記憶領域は、当該依存制御器の起動時に前記当該依存制御器が実行する第１プログラムを格納しており、前記更新制御部は、前記外部装置から当該依存制御器に対応する更新用の第２プログラムを取得した場合、取得した前記第２プログラムを当該依存制御器に対応する前記第１記憶領域および前記第２記憶領域の他方の記憶領域に格納させ、前記切替部は、前記第２プログラムが前記他方の記憶領域に格納された後で、当該依存制御器が起動時に実行するプログラムを前記第１プログラムから前記他方の記憶領域に格納された前記第２プログラムに切り替え、前記切替部は、前記複数の依存制御器のうちの少なくとも１つの依存制御器が第２プログラムを実行したときに異常が検知された場合、前記複数の依存制御器がそれぞれ起動時に実行するプログラムを、前記第２プログラムから前記一方の記憶領域に格納されている前記第１プログラムに再変更してもよい。

　これによれば、複数の依存制御器のうちの１つの依存制御器の第２プログラムに異常が検知された場合、複数の依存制御器とは異なる切替部が、全ての依存制御器が起動時に実行するプログラムを第２プログラムから第１プログラムに切り替えることができる。よって、一部の依存制御器が異常がある第２プログラムを実行することで起動不能またはデッドロックになって他の依存制御器に悪影響を及ぼす状態となったとしても、全ての複数の依存制御器を、正常に動作する第１プログラムを実行するように再起動することができる。このため、複数の依存制御器が機能しなくなることを抑制することができる。

　また、前記第１制御器と前記第２制御器はＥＣＵであってもよい。

　また、前記第１制御器と前記第２制御器は、ＣＡＮにより相互に通信可能であってもよい。

　また、本開示の一態様に係る移動体は、上記の情報処理装置と、前記情報処理装置が搭載された移動体本体と、を備える。

　これによれば、移動体本体に搭載される情報処理装置では、第１制御器が実行する第１プログラムは、第２制御器が提供する仮想ストレージの第１記憶領域および第２記憶領域の一方の記憶領域に格納されており、更新用の第２プログラムが取得されると第２プログラムは他方の記憶領域に格納される。その後、第１制御器が起動時に実行するプログラムが第２プログラムに切り替えられるため、第１制御器のプログラムの更新を、第１制御器を用いずに行うことができる。よって、更新対象の第１制御器のプログラムを第１制御器に影響を与えないように更新することができる。

　以下、適宜図面を参照しながら、実施の形態を詳細に説明する。但し、必要以上に詳細な説明は省略する場合がある。例えば、既によく知られた事項の詳細説明や実質的に同一の構成に対する重複説明を省略する場合がある。これは、以下の説明が不必要に冗長になるのを避け、当業者の理解を容易にするためである。

　なお、発明者らは、当業者が本開示を十分に理解するために添付図面および以下の説明を提供するのであって、これらによって請求の範囲に記載の主題を限定することを意図するものではない。

　（実施の形態）
　以下、図１～図９を用いて、実施の形態を説明する。

　［構成］
　図１は、実施の形態に係る自動車への更新用のプログラムを配信するシステムの概略図である。

　具体的には、図１において、サーバ１００、自動車２００、通信ネットワーク３００および移動体通信網の基地局３１０が示されている。

　サーバ１００は、自動車２００が備えるＥＣＵなどの電子機器のプログラム（ファームウェア）を記憶しており、自動車２００に当該プログラムを通信ネットワーク３００を介して提供する装置である。

　自動車２００は、基地局３１０を介して移動体通信網に通信接続することが可能な移動体である。

　このように、図１では、ＯＴＡ（Ｏｖｅｒ　Ｔｈｅ　Ａｉｒ）で、自動車２００のＥＣＵの更新用のプログラムが自動車２００に配信されることで、ＥＣＵのプログラムが更新されるための構成例が示されている。なお、ＥＣＵのプログラムの更新方法は、ＯＴＡを用いて更新することに限らない。例えば、更新用の装置を自動車２００に有線接続して、更新用の装置を介して記録媒体に記録された更新用プログラムを、自動車２００のＥＣＵに適用するようにしてもよい。

　図２は、実施の形態に係るサーバのハードウェア構成の一例を示すブロック図である。

　図２に示すように、サーバ１００は、ハードウェア構成として、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）１１と、メインメモリ１２と、ストレージ１３と、通信ＩＦ（Ｉｎｔｅｒｆａｃｅ）１４とを備える。

　ＣＰＵ１１は、ストレージ１３等に記憶された制御プログラムを実行するプロセッサである。

　メインメモリ１２は、ＣＰＵ１１が制御プログラムを実行するときに使用するワークエリアとして用いられる揮発性の記憶領域である。

　ストレージ１３は、制御プログラム、コンテンツなどを保持する不揮発性の記憶領域である。

　通信ＩＦ１４は、通信ネットワーク３００を介して複数の自動車２００と通信する通信インタフェースである。通信ＩＦ１４は、例えば、有線ＬＡＮインタフェースである。なお、通信ＩＦ１４は、無線ＬＡＮインタフェースであってもよい。また、通信ＩＦ１４は、ＬＡＮインタフェースに限らずに、通信ネットワークとの通信接続を確立できる通信インタフェースであれば、どのような通信インタフェースであってもよい。

　図３は、実施の形態に係る自動車２００が備える情報処理装置２１０のハードウェア構成の一例を示すブロック図である。

　図３に示すように、情報処理装置２１０は、ハードウェア構成として、ＴＣＵ（Ｔｅｌｅｍａｔｉｃｓ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ）２１と、ｎ個のＥＣＵ２２とを備える。なお、図３には、複数の自動車２００それぞれの構成が示されている。なお、情報処理装置２１０は、図３に示されるハードウェア構成を全て含んでいなくてもよい。例えば、情報処理装置２１０は、ＴＣＵ２１を有していなくてもよい。

　ＴＣＵ２１は、自動車２００が通信ネットワーク３００との間で無線通信を行う通信ユニットである。ＴＣＵ２１は、移動体通信網の規格に対応したセルラモジュールを含む通信ユニットである。

　ｎ個のＥＣＵ２２は、自動車２００が備えるエンジン、モータ、メータ、トランスミッション、ブレーキ、ステアリング、パワーウィンドウ、エアコンなどの各種機器の制御を実行する制御回路である。例えば、ｎ個のＥＣＵ２２は、これらの各種機器のそれぞれに対応して設けられている。ｎ個のＥＣＵ２２のそれぞれは、図示しないが、プログラムを記憶する記憶部を備える。記憶部は、例えば、不揮発性のメモリである。また、ｎ個のＥＣＵは、例えば、イーサネット（登録商標）に準拠した通信方式やＣＡＮ（Ｃｏｎｔｒｏｌｌｅｒ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）等の通信方式により相互に通信可能に構成されている。

　ストレージ２３は、制御プログラムなどを保持する不揮発性の記憶領域である。

　次に、自動車２００の情報処理装置２１０の機能構成について図４を用いて説明する。

　図４は、実施の形態に係る情報処理装置２１０の機能構成の一例を示すブロック図である。

　情報処理装置２１０は、管理ＥＣＵ２２０と、ＥＣＵ２３０と、記憶部２４０とを備える。ＥＣＵ２２０とＥＣＵ２３０とは、例えば、イーサネット（登録商標）に準拠した通信方式やＣＡＮ等の通信方式により相互に通信可能に構成されている。

　管理ＥＣＵ２２０は、ＥＣＵ２３０が実行するプログラムの更新を管理するＥＣＵである。管理ＥＣＵ２２０は、ＥＣＵ２３０に仮想ストレージとして機能する記憶部２４０を提供する。管理ＥＣＵ２２０は、例えば、ｎ個のＥＣＵ２２のうちの少なくとも１つのＥＣＵにより実現される。管理ＥＣＵ２２０は、ＴＣＵ２１を含んでいてもよい。管理ＥＣＵ２２０は、第２制御器の一例である。

　記憶部２４０は、管理ＥＣＵ２２０を介して仮想ストレージとしてＥＣＵ２３０に提供される。仮想ストレージは、第１記憶領域２４１および第２記憶領域２４２を有する。第１記憶領域２４１および第２記憶領域２４２の一方の記憶領域には、ＥＣＵ２３０が起動時に実行する第１プログラムが格納されている。第１プログラムは、ＥＣＵ２３０が現在使用中のプログラムである。記憶部２４０は、ストレージ２３により実現される。

　ＥＣＵ２３０は、記憶部２４０の第１プログラムが格納されている記憶領域にアクセスし、第１プログラムを実行する。ＥＣＵ２３０は、起動時に第１プログラムを実行することで自身の機能を実現する。ＥＣＵ２３０は、例えば、ｎ個のＥＣＵ２２のうちの管理ＥＣＵ２２０を実現するＥＣＵ２２とは異なる少なくとも１つのＥＣＵにより実現される。ＥＣＵ２３０は、第１制御器の一例である。

　以下、管理ＥＣＵ２２０およびＥＣＵ２３０の具体的な機能について説明する。

　管理ＥＣＵ２２０は、具体的には、更新制御部２２１と、切替部２２２と、仮想ストレージホスト部２２３とを有する。

　更新制御部２２１は、ＥＣＵ２３０が実行するプログラムの更新を制御する。更新制御部２２１は、具体的には、外部装置から第１プログラムの更新用の第２プログラムを取得し、取得した第２プログラムを、仮想ストレージの第１記憶領域２４１および第２記憶領域２４２の他方の記憶領域に格納させる。他方の記憶領域は、第１記憶領域２４１および第２記憶領域２４２のうちで、ＥＣＵ２３０が現在使用している第１プログラムが格納されていない方の記憶領域である。なお、外部装置は、例えば、サーバ１００、または、更新用の装置である。

　また、更新制御部２２１は、ＥＣＵ２３０が第２プログラムを実行したときに、ＥＣＵ２３０の動作に異常が生じたことを検知する。更新制御部２２１は、例えば、ＥＣＵ２３０の動作状態をＥＣＵ２３０から定期的に取得しており、ＥＣＵ２３０が第２プログラムを実行したときに、ＥＣＵ２３０の動作状態を前回取得した時から所定期間以上取得できない場合に、ＥＣＵ２３０に異常が生じたと判定してもよい。また、ＥＣＵ２３０の動作状態を前回取得した時から所定期間以上取得できない場合、更新制御部２２１は、ＥＣＵ２３０を所定回数以上再起動させてもＥＣＵ２３０の動作状態を取得できない場合に、ＥＣＵ２３０に異常が生じたと判定してもよい。また、更新制御部２２１は、ＥＣＵ２３０の動作状態を取得できても、動作状態が事前の想定から大きく異なる動作状態である場合には、ＥＣＵ２３０に異常が生じたと判定してもよい。ここで、動作状態とは、例えば、ＥＣＵ２３０を構成するＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）およびメモリ（ＲＡＭ：Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）についての、ＣＰＵの利用量、メモリの利用量、通信頻度、通信パターンなどである。つまり、動作状態が事前の想定から大きく異なる動作状態である場合とは、ＣＰＵの利用量、メモリの利用量、通信頻度、及び通信パターンの少なくとも１つがそれぞれの想定される範囲から逸脱する場合である。

　第２プログラムが他方の記憶領域に格納された後では、仮想ストレージの第１記憶領域２４１および第２記憶領域２４２の両方にＥＣＵ２３０が実行するプログラムが格納されることとなるため、切替部２２２は、ＥＣＵ２３０が実行するプログラムとして２つの記憶領域にそれぞれ記憶されている２つのプログラムのうちの１つを選択する処理部である。具体的には、切替部２２２は、第２プログラムが他方の記憶領域に格納された後で、ＥＣＵ２３０が起動時に実行するプログラムを第１プログラムから他方の記憶領域に格納された第２プログラムに切り替える。また、切替部２２２は、更新制御部２２１により第２プログラムを実行したＥＣＵ２３０に異常が検知された場合、ＥＣＵ２３０が起動時に実行するプログラムを第２プログラムから一方の記憶領域に格納されている第１プログラムに再変更する。

　仮想ストレージホスト部２２３は、記憶部２４０を実現しているストレージ２３を用いて、ＥＣＵ２３０に対して仮想ストレージとしての記憶部２４０を提供する処理部である。仮想ストレージホスト部２２３は、仮想クライアント機能を有するＥＣＵ２３０からアクセスされ、ストレージ２３の実記憶領域を、仮想的な第１記憶領域２４１および第２記憶領域２４２として提供する。

　ＥＣＵ２３０は、具体的には、制御部２３１と、状態検知部２３２と、仮想ストレージクライアント部２３３とを有する。

　制御部２３１は、第１プログラムを実行して、ＥＣＵ２３０の機能を実現する処理部である。制御部２３１は、具体的には、仮想ストレージクライアント部２３３を制御して、管理ＥＣＵ２２０を介して記憶部２４０にアクセスし、第１記憶領域２４１および第２記憶領域２４２の一方の記憶領域に格納されている第１プログラムを実行する。

　状態検知部２３２は、ＥＣＵ２３０が起動中において、一定間隔で定期的にＥＣＵ２３０の動作状態を取得し、取得した動作状態を管理ＥＣＵ２２０に通知する。状態検知部２３２は、ＥＣＵ２３０に異常が生じて動作できなくなると、動作状態を管理ＥＣＵ２２０に通知できなくなる。つまり、状態検知部２３２が動作状態を管理ＥＣＵ２２０に通知できないことが、ＥＣＵ２３０の動作に異常が生じたことを示している。

　仮想ストレージクライアント部２３３は、管理ＥＣＵ２２０の仮想ストレージホスト部２２３との間で情報をやり取りすることで、仮想ストレージホスト部２２３から仮想ストレージとして機能する記憶部２４０の提供を受ける処理部である。

　［動作］
　以上のように構成された情報処理装置２１０について、その動作を以下に説明する。

　図５は、実施の形態に係る情報処理装置２１０によるプログラムの更新動作の一例を示すフローチャートである。

　管理ＥＣＵ２２０は、第２プログラムを取得したか否かを判定する（Ｓ１１）。

　管理ＥＣＵ２２０は、第２プログラムを取得したと判定した場合（Ｓ１１でＹｅｓ）、仮想ストレージの第１記憶領域２４１および第２記憶領域２４２のうちでＥＣＵ２３０が起動時に使用していない記憶領域に第２プログラムを格納する（Ｓ１２）。管理ＥＣＵ２２０は、第２プログラムを取得していないと判定した場合、ステップＳ１１に戻る。

　次に、管理ＥＣＵ２２０は、ＥＣＵ２３０が起動時に使用する記憶領域を、第１記憶領域２４１および第２記憶領域２４２のうちで第２プログラムを格納した記憶領域に切り替える（Ｓ１３）。これにより、管理ＥＣＵ２２０は、ＥＣＵ２３０の起動時に第２プログラムを実行させる。なお、管理ＥＣＵ２２０は、ＥＣＵ２３０が起動時に使用する記憶領域を切り替えた後で、ＥＣＵ２３０を再起動する。

　図６は、実施の形態に係る情報処理装置２１０によるプログラムの復旧動作の一例を示すフローチャートである。復旧動作は、図５で説明した更新動作が行われた後に行われる。

　管理ＥＣＵ２２０は、第２プログラムを実行したＥＣＵ２３０に異常が生じたか否かを判定する（Ｓ２１）。

　管理ＥＣＵ２２０は、ＥＣＵ２３０に異常が生じたと判定した場合（Ｓ２１でＹｅｓ）、ＥＣＵ２３０が起動時に使用する記憶領域を、第１記憶領域２４１および第２記憶領域２４２のうちで、第２プログラムが記憶されている記憶領域から第１プログラムが記憶されている記憶領域に切り替える（Ｓ２２）。これにより、管理ＥＣＵ２２０は、ＥＣＵ２３０の起動時に第１プログラムを実行させる。なお、管理ＥＣＵ２２０は、ＥＣＵ２３０が起動時に使用する記憶領域を切り替えた後で、ＥＣＵ２３０を再起動する。

　［効果など］
　本実施の形態に係る情報処理装置２１０によれば、ＥＣＵ２３０が実行する第１プログラムは、管理ＥＣＵ２２０が提供する仮想ストレージの第１記憶領域２４１および第２記憶領域２４２の一方の記憶領域に格納されており、更新用の第２プログラムが取得されると第２プログラムは他方の記憶領域に格納される。その後、ＥＣＵ２３０が起動時に実行するプログラムが第２プログラムに切り替えられるため、ＥＣＵ２３０のプログラムの更新を、ＥＣＵ２３０を用いずに行うことができる。よって、更新対象のＥＣＵ２３０のプログラムを動作中のＥＣＵ２３０に影響を与えないように更新することができる。

　また、本実施の形態に係る情報処理装置２１０において、切替部２２２は、第２プログラムを実行したＥＣＵ２３０に異常が検知された場合、ＥＣＵ２３０が起動時に実行するプログラムを第２プログラムから一方の記憶領域に格納されている第１プログラムに再変更する。これによれば、第２プログラムに異常が検知された場合、ＥＣＵ２３０とは異なる管理ＥＣＵ２２０が有する切替部２２２が、ＥＣＵ２３０が起動時に実行するプログラムを第２プログラムから第１プログラムに切り替えることができる。よって、ＥＣＵ２３０が異常がある第２プログラムを実行することで起動不能またはデッドロックになったとしても、ＥＣＵ２３０を、正常に動作する第１プログラムを実行するように再起動することができる。このため、ＥＣＵ２３０が機能しなくなることを抑制することができる。

　［変形例］
　（変形例１）
　上記実施の形態に係る情報処理装置２１０では、１つのＥＣＵ２３０に対して仮想ストレージとしての第１記憶領域２４１および第２記憶領域２４２が管理ＥＣＵ２２０によって提供される例を説明したが、複数のＥＣＵ２３０ａ、２３０ｂに対して仮想ストレージが提供されてもよい。図７は、変形例１に係る情報処理装置２１０Ａの機能構成の一例を示すブロック図である。

　情報処理装置２１０Ａは、実施の形態の情報処理装置２１０と比較して、管理ＥＣＵ２２０Ａが複数のＥＣＵ２３０ａ、２３０ｂに対して仮想ストレージとしての記憶部２４０Ａを提供している点が異なる。以下では、主に、実施の形態の情報処理装置２１０の異なる点について説明する。

　管理ＥＣＵ２２０Ａでは、仮想ストレージホスト部２２３Ａが複数のＥＣＵ２３０ａ、２３０ｂに記憶部２４０Ａを提供している。仮想ストレージホスト部２２３Ａは、複数のＥＣＵ２３０ａ、２３０ｂにそれぞれアクセスされる、複数の第１記憶領域２４１、２４３、および、複数の第２記憶領域２４２、２４４を有する。具体的には、仮想ストレージホスト部２２３Ａは、ＥＣＵ２３０ａに第１記憶領域２４１および第２記憶領域２４２を提供し、ＥＣＵ２３０ｂに第１記憶領域２４３および第２記憶領域２４４を提供する。このように、仮想ストレージホスト部２２３Ａは、複数のＥＣＵ２３０ａ、２３０ｂに対してそれぞれ独立した２つの記憶領域を提供する。第１記憶領域２４１および第２記憶領域２４２の一方の記憶領域には、ＥＣＵ２３０ａが起動時に実行する第１プログラムが格納されている。同様に、第１記憶領域２４３および第２記憶領域２４４の一方の記憶領域には、ＥＣＵ２３０ｂが起動時に実行する第１プログラムが格納されている。

　更新制御部２２１Ａは、複数のＥＣＵ２３０ａ、２３０ｂのそれぞれに対して、実施の形態の更新制御部２２１と同様の処理を行う。更新制御部２２１Ａは、具体的には、外部装置からＥＣＵ２３０ａの第１プログラムの更新用の第２プログラムを取得し、取得した第２プログラムを、仮想ストレージの第１記憶領域２４１および第２記憶領域２４２の他方の記憶領域に格納させる。同様に、更新制御部２２１Ａは、外部装置からＥＣＵ２３０ｂの第１プログラムの更新用の第２プログラムを取得し、取得した第２プログラムを、仮想ストレージの第１記憶領域２４３および第２記憶領域２４４の他方の記憶領域に格納させる。

　切替部２２２Ａは、ＥＣＵ２３０ａの第２プログラムが第１記憶領域２４１および第２記憶領域２４２の他方の記憶領域に格納された後で、ＥＣＵ２３０ａが起動時に実行するプログラムを第１プログラムから他方の記憶領域に格納された第２プログラムに切り替える。同様に、切替部２２２Ａは、ＥＣＵ２３０ｂの第２プログラムが第１記憶領域２４３および第２記憶領域２４４の他方の記憶領域に格納された後で、ＥＣＵ２３０ｂが起動時に実行するプログラムを第１プログラムから他方の記憶領域に格納された第２プログラムに切り替える。

　また、切替部２２２Ａは、更新制御部２２１Ａにより第２プログラムを実行したＥＣＵ２３０ａに異常が検知された場合、ＥＣＵ２３０ａが起動時に実行するプログラムを第２プログラムから一方の記憶領域に格納されている第１プログラムに再変更する。同様に、切替部２２２Ａは、更新制御部２２１Ａにより第２プログラムを実行したＥＣＵ２３０ｂに異常が検知された場合、ＥＣＵ２３０ｂが起動時に実行するプログラムを第２プログラムから一方の記憶領域に格納されている第１プログラムに再変更する。

　変形例１の情報処理装置２１０Ａでは、複数のＥＣＵ２３０ａ、２３０ｂのそれぞれについて、当該ＥＣＵのプログラムを当該ＥＣＵに影響を与えないように更新することができる。

　なお、変形例１において、複数のＥＣＵ２３０ａ、２３０ｂが依存関係にある場合がある。依存関係にあるとは、一のＥＣＵの機能が実現されていることが前提で他のＥＣＵの機能が実現されている関係にあることである。つまり、依存関係のＥＣＵでは、一のＥＣＵの動作が正常に行われないと、他のＥＣＵの動作も正常に行われない。このため、切替部２２２Ａは、依存関係について考慮して、プログラムの切り替えを行ってもよい。具体的には、切替部２２２Ａは、依存関係にある複数のＥＣＵ２３０ａ、２３０ｂのうちの少なくとも１つのＥＣＵが第２プログラムを実行したときに異常が検知された場合、複数のＥＣＵ２３０ａ、２３０ｂがそれぞれ起動時に実行するプログラムを、第２プログラムから一方の記憶領域に格納されている第１プログラムに再変更する。

　これによれば、複数のＥＣＵ２３０ａ、２３０ｂのうちの１つのＥＣＵが第２プログラムを実行したときに当該１つのＥＣＵから異常が検知された場合、複数のＥＣＵ２３０ａ、２３０ｂとは異なる管理ＥＣＵ２２０Ａの切替部２２２Ａが、依存関係にある全てのＥＣＵ２３０ａ、２３０ｂが起動時に実行するプログラムを第２プログラムから第１プログラムに切り替えることができる。よって、ＥＣＵ２３０ａが異常がある第２プログラムを実行することで起動不能またはデッドロックになってＥＣＵ２３０ｂに悪影響を及ぼす状態となったとしても、全ての複数のＥＣＵ２３０ａ、２３０ｂを、正常に動作する第１プログラムを実行するように再起動することができる。このため、複数のＥＣＵ２３０ａ、２３０ｂが機能しなくなることを抑制することができる。

　（変形例２）
　上記実施の形態では、管理ＥＣＵ２２０と、ＥＣＵ２３０とは、ｎ個のＥＣＵ２２のうちのいずれかで実現されるとしたが、これに限らずに、１以上のプロセッサ、および、仮想化環境を実現するためのプログラムが格納されているメモリまたはストレージにより実現されてもよい。

　図８は、変形例２に係る情報処理装置２１０Ｂの機能構成の一例を示すブロック図である。図９は、情報処理装置２１０Ｂの機能を実現する仮想マシンの構成を示す図である。

　情報処理装置２１０Ｂは、図８に示すように、管理ＶＭ（Ｖｉｒｔｕａｌ　Ｍａｃｈｉｎｅ）２２０Ｂと、複数のＶＭ（Ｖｉｒｔｕａｌ　Ｍａｃｈｉｎｅ）２３０Ｂａ、２３０Ｂｂと、監視部２５０と、共有メモリ２６０とを備える。情報処理装置２１０Ｂは、図９に示すように、１以上のハードウェアの上にソフトウェアにより仮想的に実現される仮想マシンを有する。例えば、情報処理装置２１０Ｂの機能は、ハイパーバイザー型の仮想化環境で実現される。

　管理ＶＭ２２０Ｂは、実施の形態に係る管理ＥＣＵ２２０と同様の機能を有する。複数のＶＭ２３０Ｂａ、２３０Ｂｂは、実施の形態に係るＥＣＵ２３０ａ、２３０ｂと同様の機能を有する。

　監視部２５０は、ＶＭ２３０Ｂａ、２３０Ｂｂの状態検知部２３２から動作状態を定期的に取得し、取得した動作状態を管理ＶＭ２２０Ｂの更新制御部２２１に出力する。このように、監視部２５０は、管理ＶＭ２２０ＢおよびＶＭ２３０Ｂａ、２３０Ｂｂとは異なる処理部として実現されているため、管理ＶＭ２２０ＢおよびＶＭ２３０Ｂａ、２３０Ｂｂに依存することなく、より効果的に各ＶＭからの動作状態を取得することができる。

　共有メモリ２６０は、仮想ストレージ機能による記憶領域を提供する。このように、共有メモリ２６０により、各ＶＭのプログラムの記憶領域が実現されているため、管理ＶＭ２２０ＢおよびＶＭ２３０Ｂａ、２３０Ｂｂ間の情報の受け渡しを高速に行うことができる。

　（変形例３）
　上記実施の形態では、管理ＥＣＵ２２０が有する更新制御部２２１において、外部装置から第１プログラムの更新用の第２プログラムを取得し、取得した第２プログラムを、仮想ストレージの第１記憶領域２４１および第２記憶領域２４２の他方の記憶領域に格納させる処理を行うとしたが、これに限らずに、ＥＣＵ２３０が当該処理を行う更新制御部をさらに有していてもよい。これにより、ＥＣＵ２３０の書き換え機能が特殊な場合に、ＥＣＵ２３０の機能に応じた書き換えを実現することができる。

　（変形例４）
　上記実施の形態では、切替部２２２、２２２Ａは、管理ＥＣＵ２２０が有するとしたが、これに限らずに、管理ＥＣＵ２２０およびＥＣＵ２３０とは異なる処理部または制御器が有していてもよい。

　（変形例５）
　上記実施の形態では、自動車２００を移動体の一例として挙げたが、移動体は、自動車２００に限らずに、他の乗り物であってもよいし、無人の車両、ドローンなどの飛行体などであってもよい。移動体は、情報処理装置２１０と、情報処理装置２１０が搭載された移動体本体と、を備える。また、情報処理装置２１０は、例えば、移動体に搭載されるコンピュータシステムに限らずに、複数の制御器を備えていればどのようなコンピュータシステムに適用されてもよい。

　［その他］
　なお、上記実施の形態およびその変形例１～４において、各構成要素は、専用のハードウェアで構成されるか、各構成要素に適したソフトウェアプログラムを実行することによって実現されてもよい。各構成要素は、ＣＰＵまたはプロセッサなどのプログラム実行部が、ハードディスクまたは半導体メモリなどの記録媒体に記録されたソフトウェアプログラムを読み出して実行することによって実現されてもよい。ここで、上記各実施の形態の配信ルール生成方法などを実現するソフトウェアは、次のようなプログラムである。

　すなわち、このプログラムは、コンピュータに、第１制御器と、一方の記憶領域に前記第１制御器が起動時に実行する第１プログラムが格納されている、第１記憶領域および第２記憶領域を有する仮想ストレージを前記第１制御器に提供する第２制御器と、を備える情報処理装置により実行される情報処理方法であって、外部装置から前記第１プログラムの更新用の第２プログラムを取得し、取得した前記第２プログラムを前記第１記憶領域および前記第２記憶領域の他方の記憶領域に格納させ、前記第２プログラムが前記他方の記憶領域に格納された後で、前記第１制御器が起動時に実行するプログラムを前記第１プログラムから前記他方の記憶領域に格納された前記第２プログラムに切り替える情報処理方法を実行させる。

　以上のように、本開示における技術の例示として、実施の形態を説明した。そのために、添付図面および詳細な説明を提供した。

　したがって、添付図面および詳細な説明に記載された構成要素の中には、課題解決のために必須な構成要素だけでなく、上記技術を例示するために、課題解決のためには必須でない構成要素も含まれ得る。そのため、それらの必須ではない構成要素が添付図面や詳細な説明に記載されていることをもって、直ちに、それらの必須ではない構成要素が必須であるとの認定をするべきではない。

　また、上述の実施の形態は、本開示における技術を例示するためのものであるから、請求の範囲またはその均等の範囲において種々の変更、置き換え、付加、省略などを行うことができる。

　本開示は、更新対象の制御器のプログラムを当該制御器に影響を与えないように更新することができる情報処理装置等に適用可能である。

　１１　　ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）
　１２　　メインメモリ
　１３　　ストレージ
　１４　　通信ＩＦ（Ｉｎｔｅｒｆａｃｅ）
　２１　　ＴＣＵ（Ｔｅｌｅｍａｔｉｃｓ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ）
　２２　　ＥＣＵ（Ｅｌｅｃｔｒｏｎｉｃ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ）
　２３　　ストレージ
１００　　サーバ
２００　　自動車
２１０、２１０Ａ、２１０Ｂ　　情報処理装置
２２０、２２０Ａ　　管理ＥＣＵ
２２０Ｂ　　管理ＶＭ
２２１、２２１Ａ　　更新制御部
２２２、２２２Ａ　　切替部
２２３、２２３Ａ　　仮想ストレージホスト部
２３０、２３０ａ，２３０ｂ　　ＥＣＵ
２３０Ｂａ、２３０Ｂｂ　　ＶＭ
２３１　　制御部
２３２　　状態検知部
２３３　　仮想ストレージクライアント部
２４０、２４０Ａ　　記憶部
２４１、２４３　　第１記憶領域
２４２、２４４　　第２記憶領域
２５０　　監視部
２６０　　共有メモリ
３００　　通信ネットワーク
３１０　　基地局

Claims

　第１制御器と、
　一方の記憶領域に前記第１制御器が起動時に実行する第１プログラムが格納されている、第１記憶領域および第２記憶領域を有する仮想ストレージを前記第１制御器に提供する第２制御器と、
　外部装置から前記第１プログラムの更新用の第２プログラムを取得し、取得した前記第２プログラムを前記第１記憶領域および前記第２記憶領域の他方の記憶領域に格納させる更新制御部と、
　前記第２プログラムが前記他方の記憶領域に格納された後で、前記第１制御器が起動時に実行するプログラムを前記第１プログラムから前記他方の記憶領域に格納された前記第２プログラムに切り替える切替部と、を備える
　情報処理装置。
　前記切替部は、前記第２プログラムを実行した第１制御器に異常が検知された場合、前記第１制御器が起動時に実行するプログラムを前記第２プログラムから前記一方の記憶領域に格納されている前記第１プログラムに再変更する
　請求項１に記載の情報処理装置。
　前記第１制御器は、前記更新制御部を有する
　請求項１または２に記載の情報処理装置。
　前記第２制御器は、前記更新制御部を有する
　請求項１または２に記載の情報処理装置。
　前記情報処理装置は、複数の前記第１制御器を備え、
　前記第２制御器による前記仮想ストレージは、前記複数の第１制御器にそれぞれアクセスされる、複数の前記第１記憶領域および複数の前記第２記憶領域を有する
　請求項１から４のいずれか１項に記載の情報処理装置。
　前記複数の第１制御器は、依存関係にある複数の依存制御器を有し、
　前記複数の依存制御器のそれぞれについて、
　　前記仮想ストレージは、当該依存制御器に対応する前記第１記憶領域および前記第２記憶領域を有し、
　　当該依存制御器に対応する前記第１記憶領域および前記第２記憶領域の一方の記憶領域は、当該依存制御器の起動時に前記当該依存制御器が実行する第１プログラムを格納しており、
　　前記更新制御部は、前記外部装置から当該依存制御器に対応する更新用の第２プログラムを取得した場合、取得した前記第２プログラムを当該依存制御器に対応する前記第１記憶領域および前記第２記憶領域の他方の記憶領域に格納させ、
　　前記切替部は、前記第２プログラムが前記他方の記憶領域に格納された後で、当該依存制御器が起動時に実行するプログラムを前記第１プログラムから前記他方の記憶領域に格納された前記第２プログラムに切り替え、
　前記切替部は、前記複数の依存制御器のうちの少なくとも１つの依存制御器が第２プログラムを実行したときに異常が検知された場合、前記複数の依存制御器がそれぞれ起動時に実行するプログラムを、前記第２プログラムから前記一方の記憶領域に格納されている前記第１プログラムに再変更する
　請求項５に記載の情報処理装置。
　前記第１制御器と前記第２制御器はＥＣＵである、
　請求項１から６のいずれか１項に記載の情報処理装置。
　前記第１制御器と前記第２制御器は、ＣＡＮにより相互に通信可能である、
　請求項１から７のいずれか１項に記載の情報処理装置。
　請求項１からのいずれか１項に記載の情報処理装置と、
　前記情報処理装置が搭載された移動体本体と、を備える、
　移動体。
　第１制御器と、一方の記憶領域に前記第１制御器が起動時に実行する第１プログラムが格納されている、第１記憶領域および第２記憶領域を有する仮想ストレージを前記第１制御器に提供する第２制御器と、を備える情報処理装置により実行される情報処理方法であって、
　外部装置から前記第１プログラムの更新用の第２プログラムを取得し、
　取得した前記第２プログラムを前記第１記憶領域および前記第２記憶領域の他方の記憶領域に格納させ、
　前記第２プログラムが前記他方の記憶領域に格納された後で、前記第１制御器が起動時に実行するプログラムを前記第１プログラムから前記他方の記憶領域に格納された前記第２プログラムに切り替える
　情報処理方法。