WO2021199575A1

WO2021199575A1 - プログラム更新システム、車両制御装置及びプログラム更新方法

Info

Publication number: WO2021199575A1
Application number: PCT/JP2021/001177
Authority: WO
Inventors: 佑介小暮; 崇顕野海道; 吉村　健太郎
Original assignee: 日立Astemo株式会社
Priority date: 2020-03-30
Filing date: 2021-01-15
Publication date: 2021-10-07
Also published as: DE112021000273T5; JPWO2021199575A1; JP7390476B2; US20230098588A1

Abstract

小さいサイズの一時記憶領域でもプログラムの更新を実現する。更新プログラム配信部から車両制御装置に更新プログラムを配信するプログラム更新システムであって、前記更新プログラム配信部は、更新プログラムを所定の暗号化単位で暗号化して、所定の転送単位で更新対象となる前記車両制御装置宛に送信し、前記車両制御装置は、前記受信した更新プログラムを、前記暗号化単位で復号化して、所定の書き込み単位でプログラム記憶部に格納するものであって、前記書き込み単位は、前記暗号化単位の整数倍であることを特徴とする。

Description

プログラム更新システム、車両制御装置及びプログラム更新方法

　本発明は、プログラム更新システム及びプログラムが更新可能な車両制御装置に関する。

　近年、車両の電子制御装置（ＥＣＵ：Ｅｌｅｃｔｒｏｎｉｃ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ）のプログラム更新方式の一つとして、プログラム配信センタより無線で配信されるプログラムをネットワーク経由でダウンロードし、ＥＣＵのプログラムを更新するオンライン更新機能が実用化されている。また、セキュリティ向上の観点から、更新用プログラムを暗号化して配信し、車両制御装置にダウンロードする技術が実用化されている。

　本技術分野の背景技術として、特開２０１８－７９７６８号公報（特許文献１）がある。特開２０１８－７９７６８号公報には、車両に設けられ、内部にデータを保存可能な複数の機器であって、非走行系に属する複数の機器と、前記車両に搭載される所定機器に保存される所定のデータを更新するための更新データを複数の分割データに分割するデータ分割部と、前記複数の分割データの各々の保存先として、前記複数の機器の何れか１つを対応付ける対応付け部と、前記複数の分割データの各々を、前記複数の機器のうちの前記対応付け部により対応付けられた機器に保存させる保存処理部と、を備える、更新データ保存システムが記載されている（請求項１参照）。

特開２０１８－７９７６８号公報

　車両制御装置の多機能化に伴って、車両制御装置における更新用プログラムのサイズが大きくなっている。そのため、ダウンロード途中の更新プログラムを車両制御装置に一時的に保存するために大きな記憶領域が必要になるという課題がある。

　このような問題を回避するため、前述の従来技術のように、更新プログラムを複数の車両制御装置に分割して保存し、一つの車両制御装置あたりでの一時保存用の記憶領域を小さくする方法が知られている。

　しかし、この方法では、プログラム更新の対象となる車両制御装置において、復号された暗号化プログラムデータを一時的に記憶するために大きな記憶領域が必要となるという課題がある。いわゆる公開鍵方式の暗号化では、プログラム更新の対象となる車両制御装置でのみで復号処理が実行できる。そのため、暗号化されたプログラムデータを、更新対象となる車両制御装置の一時記憶領域に記憶し、復号処理を実行し、復号されたプログラムデータを一時記憶領域に保存した後に、復号されたプログラムデータを不揮発性メモリに書き込む必要がある。

　本発明は、前述した課題に鑑みてなされたものであり、その目的とするところは、暗号化からプログラムメモリへの書き込みの一連の処理において、更新用プログラムデータを所定の単位で分割をすることによって、小さいサイズの一時記憶領域でもプログラムの更新を実現することにある。

　本願において開示される発明の代表的な一例を示せば以下の通りである。すなわち、更新プログラム配信部から車両制御装置に更新プログラムを配信するプログラム更新システムであって、前記更新プログラム配信部は、更新プログラムを所定の暗号化単位で暗号化して、所定の転送単位で更新対象となる前記車両制御装置宛に送信し、前記車両制御装置は、前記受信した更新プログラムを、前記暗号化単位で復号化して、所定の書き込み単位でプログラム記憶部に格納するものであって、前記書き込み単位は、前記暗号化単位の整数倍であることを特徴とする。

　本発明によれば、更新対象の車両制御装置で必要となる一時記憶領域のサイズを小さくできる。前述した以外の課題、構成及び効果は、以下の実施例の説明によって明らかにされる。

本発明の実施例のプログラム更新システムの構成図である。本実施例の車両制御装置の構成図である。本実施例のプログラム更新処理のタイムチャートである。本実施例のプログラム更新処理部が実行する処理のフローチャートである。本実施例の各処理でのサイズの例を示す図である。

　本発明の実施例を図１から図５を参照して説明する。

　図１は、本実施例のプログラム更新システムの構成図であり、図２は、本実施例の車両制御装置１０の構成図である。

　図１に示すプログラム更新システムは、プログラムを配信する更新プログラム配信部３０と、更新プログラム配信部３０から配信されるプログラムを中継する中継部２０と、プログラムの配信を受ける車両制御装置１０とを有する。

　車両制御装置１０は、第一保存部１１と、第二保存部１２と、プログラム記憶部１３とを有する。第一保存部１１及び第二保存部１２は、車両制御装置１０の揮発性メモリ（ＲＡＭ）４５に設けられる記憶領域であり、第一保存部１１は更新プログラムの暗号文１１１を格納し、第二保存部１２は復号された分割更新プログラムを格納する。プログラム記憶部１３は、第一プログラム記憶部１３１と、第二プログラム記憶部１３２とを有する。
中継部２０は、暗号文保存部２１を有する。更新プログラム配信部３０は、更新対象すべき更新プログラム３１と、更新プログラム３１が分割して暗号化された暗号文３２とを記憶装置に格納する。

　更新プログラム配信部３０は、暗号文３２を中継部２０に送信する。中継部２０は、受信した暗号文をメモリ（暗号文保存部２１）に保存し、車両制御装置１０に送信する。車両制御装置１０は、分割されて暗号化された暗号文１１１を受信して、第一保存部１１に保存し、所定の単位で暗号を復号化して更新プログラム１２１として再構築し、第二保存部１２に保存する。車両制御装置１０は、プログラム記憶部１３の第一プログラム記憶部１３１と第二プログラム記憶部１３２のうち、待機中の（プログラム動作中ではない）プログラム記憶部１３のプログラム格納領域を選択し、選択されたプログラム格納領域に更新プログラム１２１を書き込んでプログラムを更新する。

　図２に示すように、車両制御装置１０は、電源４１と、演算部４２と、通信部４３と、判定部４４と、揮発性メモリ４５と、不揮発性メモリ４６とで構成される。揮発性メモリ４５は、プログラム一時格納部４５１と、暗号復号部４５２と、プログラム更新処理部４５３とを有し、不揮発性メモリ４６は、マスクＲＯＭで構成される非書き換え領域４６１と、データが書き換え可能なフラッシュメモリ４６２とを有する。電源４１は給電装置５０と接続されており、通信部４３は外部装置である中継部２０と接続されている。

　図３は、本実施例のプログラム更新処理のタイムチャートである。

　外部装置２０は、通信の単位に従って分割して暗号化されて、更新プログラム配信部３０から送信されたリプロデータ（暗号文）を車両制御装置１０に転送する（Ｓ１００）。
車両制御装置１０は、受信した暗号文を暗号状態のまま第一保存部１１に格納する。プログラム更新処理部４５３は、第一保存部１１に格納されたリプロデータの量を監視しており、格納されたデータ量が暗号復号部４５２の復号処理の単位になると、第一保存部１１にバッファされた暗号化データを復号処理の単位で読み出し（Ｓ１０３）、暗号復号部４５２に復号処理を要求する（Ｓ１０４）。暗号復号部４５２は、更新プログラム配信部３０から送信された暗号文を復号して、プログラム更新処理部４５３に返信する（Ｓ１０５）。このように、暗号復号部４５２は、リプロデータが復号処理の単位まで溜まり次第、受信したリプロデータをストリーミングで復号化する。プログラム更新処理部４５３は、復号されたリプロデータを暗号単位で第二保存部１２に格納する（Ｓ１０６）。このステップＳ１０３からＳ１０６の処理は、更新プログラム配信部３０からリプロデータ（暗号文）が送信される毎に実行され、復号されたリプロデータが第二保存部１２に蓄積される。

　プログラム更新処理部４５３は、第二保存部１２に格納されたリプロデータの量を監視しており、格納されたデータ量がプログラム記憶部１３を構成するフラッシュメモリ４６２の書き込み単位になると、復号されたリプロデータを第二保存部１２から読み出し（Ｓ１０９）、読み出した復号されたリプロデータをプログラム記憶部１３に書き込む（Ｓ１１０）。プログラム記憶部１３は、リプロデータの書き込みが完了すると、プログラム更新処理部４５３に書き込み完了を返信する（Ｓ１１１）。このステップＳ１０９からＳ１１１の処理は、第二保存部１２に格納されたリプロデータの量がフラッシュメモリ４６２の書き込み単位になる毎に実行され、復号されたリプロデータがプログラム記憶部１３に蓄積される。

　図３では、転送サイズが暗号化サイズより小さい場合を説明したが、後述する図５のパターン２のように、転送サイズは暗号化サイズより大きくてもよい。この場合、１単位（例えば、１パケットや１フレーム）のリプロデータ（暗号文）が転送されると、転送されたリプロデータから複数の暗号文を取り出して、暗号復号部４５２で順に復号されて、第二保存部１２に保存される。

　図４は、プログラム更新処理部４５３が実行する処理のフローチャートである。

　まず、プログラム更新処理部４５３は、第一保存部１１に格納されたリプロデータの量をチェックする（Ｓ１０１）。ステップＳ１０２において、第一保存部１１に格納されたリプロデータの量が暗号復号部４５２の復号処理の単位未満であれば、ステップ１０７に進む。一方、第一保存部１１に格納されたリプロデータの量が暗号復号部４５２の復号処理の単位以上であれば、プログラム更新処理部４５３は、復号処理の単位分のサイズの暗号化データを第一保存部１１から読み出し（Ｓ１０３）、暗号復号部４５２へ送信する（Ｓ１０４）。プログラム更新処理部４５３は、復号化データを暗号復号部４５２から受領し（Ｓ１０５）、第二保存部１２に格納する（Ｓ１０６）。

　その後、プログラム更新処理部４５３は、第二保存部１２に格納されたリプロデータの量をチェックする（Ｓ１０７）。ステップＳ１０８において、第二保存部１２に格納されたリプロデータの量がプログラム記憶部１３の書き込み単位未満であれば、書き込み単位に満たないサイズのデータを書き込むと、後続する処理も含めて書き込み処理の効率が悪いので、処理を終了する。一方、第二保存部１２に格納されたリプロデータの量がプログラム記憶部１３の書き込み単位以上であれば、プログラム更新処理部４５３は、プログラム記憶部１３の書き込み単位分のサイズの暗号化データを第二保存部１２から読み出し（Ｓ１０９）、プログラム記憶部１３の第一プログラム記憶部１３１と第二プログラム記憶部１３２のうち、待機中の（プログラム動作中ではない）プログラム格納領域にリプロデータを書き込んでプログラムを更新する。

　次に、各処理でのサイズの例について説明する。図５は、通信路の転送サイズ、暗号化及び復号化単位、フラッシュメモリ４６２への書き込み、更新されるプログラムのＲｅｓｕｍｅサイズの推奨値を示す。なお、ａ、ｍ、ｎ、ｋは所定の整数である。通信路のサイズは、１単位の通信で転送可能なデータ量（例えば、１パケットや１フレームのペイロードサイズ）である。暗号化サイズは、ブロック暗号で指定可能なサイズであり、書込みサイズは、車両制御装置１０の仕様（すなわち、プログラム記憶部１３を構成するフラッシュメモリ４６２の書き込み単位）として指定可能なサイズである。Ｒｅｓｕｍｅサイズは、プログラムの更新が途中で停止した場合に、プログラムの更新が完了している単位となるサイズを示し、Ｒｅｓｕｍｅサイズに満たない部分のプログラムの更新は再度実行される。

　例えば、ＣＡＮのように通信路の転送サイズが小さいパターン１では、転送サイズがａ、暗号化サイズがａ×ｍ、書き込みサイズがａ×ｍ×ｎのように整数倍の関係にあり、転送サイズが暗号化サイズより小さい。このとき、Ｒｅｓｕｍｅサイズをａ×ｍ×ｎ×ｋとするとよい。具体的には、転送サイズａ＝８ｂｙｔｅ、暗号化サイズａ×ｍ＝１６ｂｙｔｅ、書き込みサイズａ×ｍ×ｎ＝２５６ｂｙｔｅ、Ｒｅｓｕｍｅサイズａ×ｍ×ｎ×ｋ＝１６ｋｂｙｔｅとする。

　パターン１では、暗号化データの転送から、復号、フラッシュメモリ４６２への書き込みまで第一保存部１１及び第二保存部１２のＲＡＭ使用量と読み出し処理が少なくなり、処理に必要なリソースを低減できる。一方、転送サイズが小さく、通信回数が多いので、通信速度の高速化に限界がある。

　３２ｋｂｙｔｅ＋αまでフラッシュメモリ４６２への書き込みが完了していた場合、パターン１ではＲｅｓｕｍｅポイントが３２ｋｂｙｔｅなので、車両制御装置１０は、３２ｋｂｙｔｅからの再開要求を外部装置２０に送信する。Ｒｅｓｕｍｅサイズが暗号サイズの倍数となっていれば、外部装置２０や更新プログラム配信部３０では、再開要求のアドレスを見るだけで更新プログラムの暗号文を特定できる。一方、Ｒｅｓｕｍｅサイズが暗号サイズの倍数となっていなければ、Ｒｅｓｕｍｅポイントの一つ前の暗号文を特定する必要があり、処理が煩雑になる問題が生じる。

　また、イーサネットのように通信路の転送サイズが大きいパターン２では、転送サイズがａ、暗号化サイズがａ÷ｍ、書き込みサイズがａ÷ｍ×ｎのように整数倍の関係にあるが、転送サイズが暗号化サイズより大きい。このとき、Ｒｅｓｕｍｅサイズをａ÷ｍ×ｎ×ｋとするとよい。具体的には、転送サイズａ＝１２８０ｂｙｔｅ、暗号化サイズａ÷ｍ＝１６ｂｙｔｅ、書き込みサイズａ÷ｍ×ｎ＝２５６ｂｙｔｅ、Ｒｅｓｕｍｅサイズａ÷ｍ×ｎ×ｋ＝１６ｋｂｙｔｅとする。

　パターン２では、暗号化データの転送から、復号、フラッシュメモリ４６２への書き込みまで第一保存部１１及び第二保存部１２のＲＡＭ使用量と読み出し処理が大きくなり、処理に必要なリソースが増大する。一方、転送サイズが大きく、通信回数が少ないので、通信速度を高速化できる。

　本実施例ではこのようなパターンを採用する。暗号化サイズは、ブロック暗号で指定できるサイズ（６４ｂｉｔ、１２８ｂｉｔなど）が限られるため、暗号化サイズとフラッシュメモリ４６２への書き込み単位を自由に決めると、処理の効率が悪かった。このため、本発明では、通信路の転送サイズに基づいて、暗号化及び復号化のサイズ、フラッシュメモリ４６２へ書き込みサイズの推奨値を提案するものである。

　本実施例は、転送サイズと暗号化サイズと書き込みサイズの間を適切に定めて、処理を効率的に行うものであるが、前述したパターン１、２のように、転送サイズと暗号化サイズと書き込みサイズの他に、更新されるプログラムのＲｅｓｕｍｅサイズとの関係を定めてもよい。すなわち、Ｒｅｓｕｍｅサイズが、フラッシュメモリ４６２へ書き込みサイズの整数倍で、かつ暗号化サイズの整数倍であるとよい。

　以上に説明したように、本発明の実施例によると、更新プログラム配信部３０は、更新プログラムを所定の暗号化単位で暗号化して、所定の転送単位で更新対象となる車両制御装置１０宛に送信し、車両制御装置１０は、受信した更新プログラムを、暗号化単位で復号化して、所定の書き込み単位でプログラム記憶部１３に格納するものであって、書き込み単位は、前記暗号化単位の整数倍としたので、車両制御装置１０で必要となる一時記憶領域のサイズを小さくできる。また、プログラム記憶部１３の書き込みサイズに合わせた量のデータを書き込むので、フラッシュメモリ４６２で構成されるプログラム記憶部１３への書き込みにおいて無駄な処理が生じなく、車両制御装置１０の処理能力の低下を抑制できる。

　また、転送単位は暗号化単位の整数倍、又は、記暗号化単位は転送単位の整数倍であるので、多様なネットワークで更新プログラムを転送できる。

　また、車両制御装置１０は、暗号化して転送された更新プログラムを保存する第一保存部１１と、第一保存部１１に保存された更新プログラムを復号する暗号復号部４５２と、暗号復号部４５２で復号して得られる分割更新プログラムを保存する第二保存部１２とを有するので、複合化処理の前後のバッファによって、更新プログラム配信部３０からの転送単位と、プログラム記憶部１３への格納単位において、１回で処理されるデータ量を調整できる。

　また、プログラム記憶部１３は、同じサイズの二つのプログラム格納領域１３１、１３２を有し、車両制御装置１０は、一方のプログラム格納領域に格納されたプログラムを実行し、他方のプログラム格納領域に第二保存部１２に保存された分割更新プログラムを格納するので、車両制御装置１０の稼働を停止することなく、プログラムを更新できる。

　また、更新プログラム配信部３０から車両制御装置１０へのプログラムの転送が途中で失敗した場合に、プログラムの転送を再開する単位となるレジュームサイズが定められており、レジュームサイズは、書き込み単位の整数倍としたので、再開要求のレジュームポイントのアドレスを見るだけで再送すべき更新プログラムの暗号文を特定できる。

　なお、本発明は前述した実施例に限定されるものではなく、添付した特許請求の範囲の趣旨内における様々な変形例及び同等の構成が含まれる。例えば、前述した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに本発明は限定されない。また、ある実施例の構成の一部を他の実施例の構成に置き換えてもよい。また、ある実施例の構成に他の実施例の構成を加えてもよい。
また、各実施例の構成の一部について、他の構成の追加・削除・置換をしてもよい。

　また、前述した各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等により、ハードウェアで実現してもよく、プロセッサがそれぞれの機能を実現するプログラムを解釈し実行することにより、ソフトウェアで実現してもよい。

　各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリ、ハードディスク、ＳＳＤ（Ｓｏｌｉｄ　Ｓｔａｔｅ　Ｄｒｉｖｅ）等の記憶装置、又は、ＩＣカード、ＳＤカード、ＤＶＤ、ＢＤ等の記録媒体に格納することができる。

　また、制御線や情報線は説明上必要と考えられるものを示しており、実装上必要な全ての制御線や情報線を示しているとは限らない。実際には、ほとんど全ての構成が相互に接続されていると考えてよい。

１０　車両制御装置
１１　第一保存部
１２　第二保存部
１２１　分割更新プログラム
１３　プログラム記憶部
１３１　第一プログラム記憶部
１３２　第二プログラム記憶部
２０　外部装置（中継部）
３０　更新プログラム配信部
４１　電源
４２　演算部
４３　通信部
４４　判定部
４５　揮発性メモリ
４５１　プログラム一時格納部
４５２　暗号復号部
４５３　プログラム更新処理部
４６　不揮発性メモリ
４６１　非書き換え領域
４６２　フラッシュメモリ
５０　給電装置

Claims

　更新プログラム配信部から車両制御装置に更新プログラムを配信するプログラム更新システムであって、
　前記更新プログラム配信部は、更新プログラムを所定の暗号化単位で暗号化して、所定の転送単位で更新対象となる前記車両制御装置宛に送信し、
　前記車両制御装置は、前記受信した更新プログラムを、前記暗号化単位で復号化して、所定の書き込み単位でプログラム記憶部に格納するものであって、
　前記書き込み単位は、前記暗号化単位の整数倍であることを特徴とするプログラム更新システム。
　請求項１に記載のプログラム更新システムであって、
　前記転送単位は、前記暗号化単位の整数倍であることを特徴とするプログラム更新システム。
　請求項１に記載のプログラム更新システムであって、
　前記暗号化単位は、前記転送単位の整数倍であることを特徴とするプログラム更新システム。
　請求項１に記載のプログラム更新システムであって、
　前記車両制御装置は、
　暗号化して転送された更新プログラムを保存する第一保存部と、
　前記第一保存部に保存された更新プログラムを復号する暗号復号部と、
　前記暗号復号部で復号して得られる分割更新プログラムを保存する第二保存部とを有することを特徴とするプログラム更新システム。
　請求項４に記載のプログラム更新システムであって、
　前記プログラム記憶部は、同じサイズの二つのプログラム格納領域を有し、
　前記車両制御装置は、一方のプログラム格納領域に格納されたプログラムを実行し、他方のプログラム格納領域に前記第二保存部に保存された分割更新プログラムを格納することを特徴とするプログラム更新システム。
　請求項１に記載のプログラム更新システムであって、
　前記更新プログラム配信部から前記車両制御装置へのプログラムの転送が途中で失敗した場合に、プログラムの転送を再開する単位となるレジュームサイズが定められており、
　前記レジュームサイズは、前記書き込み単位の整数倍であることを特徴とするプログラム更新システム。
　更新プログラム配信部から更新プログラムが配信される車両制御装置であって、
　前記更新プログラム配信部で所定の暗号化単位で暗号化された更新プログラムを、所定の転送単位で受信し、
　前記受信した更新プログラムを、前記暗号化単位で復号化して、所定の書き込み単位でプログラム記憶部に格納するものであって、
　前記書き込み単位は、前記暗号化単位の整数倍であることを特徴とする車両制御装置。
　更新プログラム配信部から車両制御装置に更新プログラムを配信するプログラム更新システムにおけるプログラム更新方法であって、
　前記更新プログラム配信部が、更新プログラムを所定の暗号化単位で暗号化して、所定の転送単位で更新対象となる前記車両制御装置宛に送信する手順と、
　前記車両制御装置が、前記受信した更新プログラムを、前記暗号化単位で復号化して、所定の書き込み単位でプログラム記憶部に格納する手順とを含み、
　前記書き込み単位は、前記暗号化単位の整数倍であることを特徴とするプログラム更新方法。