WO2023203768A1

WO2023203768A1 - 電子制御装置及び書込制御方法

Info

Publication number: WO2023203768A1
Application number: PCT/JP2022/018588
Authority: WO
Inventors: 保徳磯崎; 雄介阿部; 隆博飯田
Original assignee: 日立Astemo株式会社
Priority date: 2022-04-22
Filing date: 2022-04-22
Publication date: 2023-10-26

Abstract

電子制御装置であって、所定のプログラムを実行するプロセッサを含むマイコンと、前記マイコンに接続される外部不揮発性メモリとを備え、前記マイコンは、内部不揮発性メモリと、前記外部不揮発性メモリと通信する第１通信部と、外部装置と通信する第２通信部とを有し、前記マイコンは、前記内部不揮発性メモリを書き換えるための前記外部装置から受信したデータを、前記内部不揮発性メモリ及び前記外部不揮発性メモリに書き込む。

Description

電子制御装置及び書込制御方法

　本発明は、車載用電子制御装置に関する。

　ＥＣＵ（Electrical Control Unit）などの電子制御装置は、マイクロコンピュータ（以下、マイコン）により制御される。電子制御装置に搭載されるマイコンは様々な機能を実現し、さらに、それらの機能に対応した外部回路が設けられており、マイコンの内部の不揮発性メモリ（以下、内部不揮発性メモリ）に記憶されている制御用ソフトウェアによって外部回路として接続された装置を制御する。

　ＥＣＵは、外部からの信号よって内部不揮発性メモリに格納された制御用ソフトウェアを書き換える機能を有する。従来は例えば、ＯＢＤ（On-board Diagnostic）コネクタを介して有線で診断ツールをＥＣＵへ接続し、ＣＡＮ（Controller Area Network）などの通信手段で、ＵＤＳ（Unified Diagnostic Services）やＸＣＰ（Universal measurement and Calibration Protocol）等の所定のプロトコルに従って、更新すべき制御用ソフトウェアを転送し、それによって内部不揮発性メモリの書き換えを行っていた。しかし、近年ではＯＴＡ（Over-the-air）という無線通信によって制御用ソフトウェアを転送する方式もある。

　ＯＴＡによる制御用ソフトウェアの書き換えは、例えば、以下の手順で行われる。車両使用中にデータサーバから無線で転送された更新用データを車載の受信機で受信し、転送された更新用データはゲートウェイ及び車載ネットワークの伝送路を介して更新対象のＥＣＵに送られる。更新用データの受信が終了した後、車内モニタ等に、ユーザへ制御用ソフトウェアのアップデートが可能となった通知を出し、ユーザからの操作を待つ。その後、ユーザからの操作よる制御用ソフトウェアの更新リクエストに従って、受信した更新用データで制御用ソフトウェアを更新する。

　ＯＴＡによる制御用ソフトウェア書換方法がなかった時、ＥＣＵの制御用ソフトウェアの更新が必要な際、修理工場への入庫が必要でありユーザへの手間がかかる。しかし、ＯＴＡでは普段の車両の使用中に制御用ソフトウェアが更新可能であり、修理工場への入庫が必要ない。また、車両メーカにとっても、制御用ソフトウェアの書換対応のための手間やコストを削減でき、ＥＣＵを最適な状態にアップデートしやすい。このようにＯＴＡは、車両メーカ、及びユーザの双方にメリットがある。このため、ＥＣＵの制御用ソフトウェアをＯＴＡ方式によって更新するケースは、増加すると予想される。

　しかしながら、有線で制御用ソフトウェアを転送する書換方法は、ＥＣＵの制御用ソフトウェアを高速で書き換えできるため、工場での製造工程においてＥＣＵへ制御用ソフトウェアを書き込むＥＯＬＰ（End of Line Programming）や修理工場での制御用ソフトウェアの書き換えの場面で必要である。すなわち、今後はＥＣＵの制御用ソフトウェアの書換方法として、従来の有線による方法とＯＴＡによる方法のいずれも対応可能なものが増えると予想される。この場合、例えば有線による方法で制御用ソフトウェアの書き換えを実施しても、ＯＴＡに関する仕様を逸脱しない（その逆も同様）よう、各々の方法を整合させ、いずれの方法も選択できるような設計が必要である。

　両者の方法による書き換えに対応するために、ＥＣＵのハードウェアに主にＤｏｕｂｌｅ　Ｂａｎｋ方式と呼ばれる構成が採用されることがある。Ｄｏｕｂｌｅ　Ｂａｎｋ方式では、マイコン内の内部不揮発性メモリが２分割されており、一方の領域には現在実行中の制御プログラムが格納されており、他方の領域には、転送された更新用データを書き込む。なお、前者を表面、後者を裏面と称する。

　Ｄｏｕｂｌｅ　Ｂａｎｋ方式を用いたＯＴＡによる制御用ソフトウェアの書き換えは、例えば、以下の手順で行われる。車両使用中にデータサーバから無線で転送される更新用データを不揮発性メモリの裏面に書き込む。なお、転送される更新用データは通信処理の高速化やセキュリティの確保のため圧縮や暗号化などがされている場合がある。その場合は、解凍や復号を行ってから不揮発性メモリの裏面に書き込む。

　全ての更新用データの受信が完了し、裏面への書き込みが終了した後、ユーザからの要求によって制御用ソフトウェアを更新する。具体的には、内部レジスタの設定値を変更して、次回ＥＣＵ立ち上げ時に、制御用ソフトウェアの起動する面を現在と反対側（裏面）にする。この更新の処理の間は車両を起動できないが、このＤｏｕｂｌｅ　Ｂａｎｋ方式では起動面の切り替えで済むため、車両を起動できない時間が短くて済む。そのため、Ｄｏｕｂｌｅ　Ｂａｎｋ方式は使い勝手がよく、広く採用されている。

　しかしながら、Ｄｏｕｂｌｅ　Ｂａｎｋ方式の場合、制御用ソフトウェアのデータサイズの２倍の容量を持つ内部不揮発性メモリが必要になる。今後、自動運転などの処理の高度化、車両の集中制御化などの観点からソフトウェアが大容量化すると予想される。そのため、ソフトウェアの必要容量が大きくになるにつれ、その２倍の内部不揮発性メモリの容量を持つマイコン製品が市場に存在しない可能性がある。このようなマイコン製品が存在しても、マイコンの価格が内部不揮発性メモリの容量に依存するため、コストが高くなる。特に、車載用製品は、大量生産品という観点から、製造コストが大きく増加する。現状では、必要な容量が比較的小さいため、必要な容量の２倍も大きな値ではなく、このデメリットが小さいが、将来的には大きなデメリットになるケースが予想される。

　この欠点に対応するＥＣＵのハードウェア構成として、マイコンの内部不揮発性メモリを分割せずに、マイコン外部にフラッシュメモリ（以降、外部不揮発性メモリ）を設けるＥｘｔｅｒｎａｌ　Ｂａｎｋ方式が採用されることがある。マイコンと外部不揮発性メモリはマイコン内部の通信部と接続し、マイコンからの通信内容によって、外部不揮発性メモリの消去や書込を行うことができる。

　Ｅｘｔｅｒｎａｌ　Ｂａｎｋ方式を用いたＯＴＡによる制御用ソフトウェアの書き換えは、例えば、以下の手順で行われる。車両使用中にデータサーバから無線で転送される更新用データを外部不揮発性メモリに書き込む。なお、転送される更新用データは通信処理の高速化やセキュリティの確保のため圧縮や暗号化などがされている場合がある。その場合は、解凍や復号を行わずにそのまま外部不揮発性メモリ面に書き込むとよい。

　全ての更新用データの受信が完了し、外部不揮発性メモリへの書き込みが終了した後、Ｄｏｕｂｌｅ　Ｂａｎｋ方式と同様に、ユーザからのリクエストによって制御用ソフトウェアを更新する。具体的には、外部不揮発性メモリに格納されたデータを読み出し、復号・解凍などの必要な処理を行って、内部不揮発性メモリを書き換え、制御用ソフトウェアを更新する。

　Ｅｘｔｅｒｎａｌ　Ｂａｎｋ方式では、必要な内部不揮発性メモリの容量は制御用ソフトウェアの必要容量と同等に抑えられる。外部不揮発性メモリを別に設ける必要があるが、大量生産品で汎用品のチップを使用できるため、ＥＣＵのコストは、Ｄｏｕｂｌｅ　Ｂａｎｋ方式より抑えられる。そのため、今後のソフトウェアのサイズの増加が予想される中でもＯＴＡに対応するための有効な方式と考えられる。

　しかしながら、Ｅｘｔｅｒｎａｌ　Ｂａｎｋ方式にも解決すべき課題がある。前述したように、制御用ソフトウェアの書き換えは、いかなる場合でも、ＯＴＡ及び有線による方法を、どちらでも実施できる状態にする必要がある。Ｅｘｔｅｒｎａｌ　Ｂａｎｋ方式の場合、この観点から問題がある。

　ＯＴＡによる更新にはロールバックと呼ばれる機能が設けられる。ロールバックとは、制御用ソフトウェアの書き換えを失敗した場合に、予め保存された更新前の制御用ソフトウェアのデータを用いて、制御用ソフトウェアを更新前に戻すことである。ＯＴＡによる制御用ソフトウェアの更新に失敗した場合、車両が走行不可能になる可能性があるため、ＯＴＡを採用するＥＣＵにはロールバック機能は必須の機能である。

　本技術分野の背景技術として、以下の先行技術がある。特許文献１（特表２０１６－３７１５７号公報）には、マルチコア型演算処理ユニット（ＭＣＵ）のコア２１が、外部装置からコア２２の制御プログラム（ＲＯＭ）の書き換え要求を受信したときは、コア２２が書き換え処理を実行する。コア２２は書き換え用データを受信してキャッシュメモリ（ＣＡＭ）に格納する受信処理、及びＣＡＭに格納したデータをＲＯＭへ書き込む処理を実行する。コア２２が書き換え用データをＲＯＭに書き込む処理を実行しているときは、コア２１及び２３の作動を休止させる車両用制御装置が記載されている。

特開２０１６－３７１５７号公報

　Ｄｏｕｂｌｅ　Ｂａｎｋ方式の場合、更新前の制御用ソフトウェアのデータは、表面で起動しているソフトウェアそのものである。Ｅｘｔｅｒｎａｌ　Ｂａｎｋ方式の場合、更新前の制御用ソフトウェアのデータは、外部不揮発性メモリに格納される。そのため、ＯＴＡのみで制御用ソフトウェアの更新を行う場合は特段これに関する問題は起こらない。

　しかし、従来の有線による方法は、内部不揮発性メモリのみを書き換えるため、外部不揮発性メモリに更新前の制御用ソフトウェアが格納されない。すなわち、仮に有線による方法で制御用ソフトウェアを更新後に、ＯＴＡによる更新が実施され、それが失敗した場合、外部不揮発性メモリに更新前のプログラムが格納されていないため、ロールバックが実施できず、車両が起動不可能となる。

　有線による更新後、ＯＴＡによる更新のケースは、Ｅｘｔｅｒｎａｌ　Ｂａｎｋ方式を採用するすべての工場出荷後のＥＣＵに当てはまる。すなわち、Ｅｘｔｅｒｎａｌ　Ｂａｎｋ方式を採用する場合は、ＯＴＡによる更新時のロールバックを可能とする対策が必要である。

　この問題を回避する一つの案として、ＯＴＡによって外部不揮発性メモリへの更新用データが格納された後、内部不揮発性メモリの更新前に、現在の内部不揮発性メモリの内容を、外部不揮発性メモリへバックアップ（コピー）する方法が考えられる。

　しかし、この方法にはＯＴＡが主に車両使用中に処理する点を考慮した場合、ＯＴＡの処理負荷はなるべく低くすることが望ましいという観点から以下の問題がある。

　セキュリティ上の観点から、外部不揮発性メモリに格納される制御用ソフトウェアのデータの暗号化が実用上は必須である。内部不揮発性メモリに格納されるデータはプレーンなソフトウェアのデータ（生データ）なので、内部不揮発性メモリから外部不揮発性メモリへのバックアップの過程で暗号化処理が必要となり、暗号化による処理負荷が増加する。

　また、ＯＴＡによる更新用データの転送時間の短縮のため、更新用データは圧縮されているとよい。その場合、外部不揮発性メモリへ格納されるデータは、内部不揮発性メモリに格納されたデータを圧縮する処理が必要となる。一般的に圧縮処理はＣＰＵとメモリのリソースを大きく消費するため、処理負荷への影響は大きい。もし、圧縮せずに暗号化のみでコピーをすると、外部不揮発性メモリの大きな容量が必要となるため、ハードウェアのコストが増加する。

　以上の観点から、この方法によるバックアップは、処理負荷やハードウェアコストの増加の影響が生じる。

　この問題を解決する別の方法として、有線による場合、内部不揮発性メモリの書き換えだけでなく、外部不揮発性メモリにもバックアップデータを書き込む方法が考えられる。このようにすることで、ＯＴＡによる内部不揮発性メモリの更新実施前には、内部不揮発性メモリに格納されたデータが既に外部不揮発性メモリにバックアップされている状態なので、前述のコピー処理は不要となる。そのため、前述の方法における問題を解消できる。

　しかしながら、この方法では、外部不揮発性メモリに対する処理の追加によって全体の処理時間が増加する。単純に計算すると、各不揮発性メモリに書き込む処理時間の和の時間が必要となる。なお、一般的に同量のデータの書き換えにかかる処理時間は、外部不揮発性メモリは内部不揮発性メモリより長いため、時間の増加分は大きい。

　この処理時間の増加が特に問題となるのは、工場内で出荷時に初期プログラムを書き込む（ＥＯＬＰ）ケースである。車両は大量生産品のため、製造工程は厳密に管理されている。特に、処理時間の増加によって生産性が低下する。また、このために生産設備を強化すると対策コストが必要となる。すなわち、ソフトウェア上の処理による高速化が現実的である。処理時間の高速化は、今後のＥｘｔｅｒｎａｌ　Ｂａｎｋ方式の利便性を左右する非常に重要な課題である。

　特許文献１に記載された技術では、書き換え処理にかかる消費電力を抑えつつ高速で書換処理を実行できるものの、書き換え対象はそのコアに対応する（内部）不揮発性メモリのみである。外部装置からの制御によって、別のメモリにバックアップとしてのプログラムを同時に書き込むことはできない。

　本発明では、内部不揮発性メモリの書き換えと外部不揮発性メモリへのバックアップを高速で実行することを目的とする。

　本願において開示される発明の代表的な一例を示せば以下の通りである。すなわち、電子制御装置であって、所定のプログラムを実行するプロセッサを含むマイコンと、前記マイコンに接続される外部不揮発性メモリとを備え、前記マイコンは、内部不揮発性メモリと、前記外部不揮発性メモリと通信する第１通信部と、外部装置と通信する第２通信部とを有し、前記マイコンは、前記内部不揮発性メモリを書き換えるための前記外部装置から受信したデータを、前記内部不揮発性メモリ及び前記外部不揮発性メモリに書き込むことを特徴とする。

　本発明の代表的な実施の形態によれば、内部不揮発性メモリの書き換えと外部不揮発性メモリへのバックアップを高速で実行できる。前述した以外の課題、構成及び効果は、以下の実施例の説明により明らかにされる。

本発明の実施例のシステムの構成を示す図である。実施例１の制御プログラムの配置の一例を示す図である。実施例１の制御プログラムの配置の一例を示す図である。実施例１の制御用プログラムの更新のために使用されるファイルの一例を示す図である。実施例１のプロセッサが外部不揮発性メモリに対して実行する処理のフローチャートである。実施例１の内部不揮発性メモリの書き換えと共に外部不揮発性メモリへのバックアップデータを書き込む手順を示す図である。実施例２の制御プログラムの配置の一例を示す図である。実施例２の制御プログラムの配置の一例を示す図である。実施例２の受信データ格納部の構成を示す図である。実施例２のプロセッサが外部不揮発性メモリに対して実行する制御処理のフローチャートである。実施例２の内部不揮発性メモリの書き換えと共に外部不揮発性メモリへのバックアップデータを書き込む手順を示す図である。実施例３の処理とタスクとの対応を示す図である。実施例３の制御プログラムの配置の一例を示す図である。実施例３の制御プログラムの配置の一例を示す図である。本実施例３のタスク実行の制御を表すフローチャートである。実施例３の内部不揮発性メモリの書き換えと共に外部不揮発性メモリへのバックアップデータを書き込む手順を示す図である。

　以下、本発明の実施例を、添付された図面を参照しつつ説明する。

　図１は、本発明の実施例のシステムの構成を示す図である。

　本実施例のシステムはＥＣＵ１と通信線１１を介して接続される外部装置１０とを有する。

　外部装置１０は、マイクロコンピュータを主要部とした装置、例えばパーソナルコンピュータに搭載され、ＥＣＵ１と通信できる機能を有し、かつ本実施例の動作に必要な機能を実現するソフトウェアを有する。外部装置１０は、ＥＣＵ１に設けられた外部コネクタ又は当該外部コネクタに繋がる車両のコネクタなどのインターフェースを介してＥＣＵ１に接続される。

　ＥＣＵ１には、マイコン２が搭載されている。マイコン２は、ソフトウェアを実行する少なくとも一つ以上のプロセッサ３ａと（複数のプロセッサが搭載される場合は、プロセッサ３ａ、プロセッサ３ｂ・・・とする）、少なくとも一つの揮発性ＲＡＭ５と、外部装置と通信するための少なくとも一つの通信部６と、プログラムを保持する内部不揮発性メモリ７と、外部不揮発性メモリ９と通信するための少なくとも一つの通信部８と、それぞれの要素を接続するバス４とを有する。マイコン２は、通信部８を介して外部不揮発性メモリ９と接続される。外部不揮発性メモリ９には、後述するように、内部不揮発性メモリ７で実行される制御用プログラムのバックアップデータが格納され、このバックアップデータは制御用プログラムの更新に失敗した場合のロールバック用に使用される。ＥＣＵ１は、少なくとも一つの通信部６を介して、接続される外部装置１０と通信可能である。

　［実施例１］
　実施例１では、外部装置１０からの指令を本来とは別の目的に使用することで、高速化を達成する方法について説明する。

　実施例１では、プロセッサ３ａ以外のプロセッサがある場合、一連の処理を妨げないように、それらのプロセッサの処理を停止する、又はＲＡＭ上で動作（図２参照）など適切な処理を行われているものとする。

　図２Ａ、図２Ｂは、本実施例の制御プログラムの構成の一例を示す図であり、図２ＡはＲＡＭ５内の配置を示し、図２Ｂは内部不揮発性メモリ７内の配置を示す。

　プロセッサ３ａが実行する主なプログラムは、外部装置１０との通信制御や、受信した書込データの解凍処理及び復号処理などを実行する通信兼データ処理部２３、内部不揮発性メモリ７に格納されたデータに対する処理を実行する内部不揮発性メモリ書換部２１、及び外部不揮発性メモリ９に対する処理を実行する外部不揮発性メモリ制御部２４がある。

　内部不揮発性メモリ書換部２１は、ＲＡＭ５に配置される。ＲＡＭ５には、内部不揮発性メモリ書換部２１の他に、プロセッサ３ａの動作に関与しない他のプロセッサが参照するプログラム２２が格納される。

　このようにプログラムが配置される理由は、内部不揮発性メモリ７を書き換える際、内部不揮発性メモリ７を通常状態から書換可能状態に移行する必要があるが、書換可能状態では内部不揮発性メモリ７に格納されているプログラムを実行できないためである。そのため、書換直前にプロセッサ３ａの制御をＲＡＭ５上の内部不揮発性メモリ書換部２１に移してから、書換可能状態に移行後に内部不揮発性メモリ７のデータを書き換え、書き換えが終了して通常状態に戻した後に、プロセッサ３ａの制御を内部不揮発性メモリ７上の通信兼データ処理部２３に戻す制御を行う。

　なお、他のプロセッサについても、内部不揮発性メモリ７が書換可能状態では、内部不揮発性メモリ７に格納されるプログラムを実行できない。すなわち、内部不揮発性メモリ７が書換可能状態では、他のプロセッサのプログラムもＲＡＭ５上で実行される必要がある。各プロセッサは各々独立して動くことを考慮し、前述の配置によって、この条件を満たすようにしている。

　なお、ＲＡＭ５は、その特性上、電源を遮断すると書き込まれたデータは保持されずに、消失する。このため、ＲＡＭ５に配置されるプログラムは、内部不揮発性メモリ７のその他のデータ２５の一部として格納されており、一連の内部不揮発性メモリ７の書換処理を実行する前に、その他のデータ２５からＲＡＭ５にプログラムがコピーされる。その後、プロセッサ３ａ以外のプロセッサは、ＲＡＭ５上の所定のアドレスからプログラムを読み出して処理を実行する。

　図３は、制御用プログラムの更新のために使用されるファイルの一例を示す図である。

　制御用プログラムを更新するために使用されるファイルは、更新用の制御用ソフトウェア本体と、書換制御用情報に大別される。書換制御用情報は、書き込み対象のアドレス、書き込み対象のプログラムサイズ、書き込まれるデータのフォーマット、書き換え後に正しく書き込めたか検証するための値などである。このファイルを外部装置１０に対して指定することによって、このファイルを外部装置１０に付与する。その後、適切なタイミングで、それらの情報をＥＣＵ１に対して送付することで、プログラムの書き換えを適切に制御できる。

　図４は、プロセッサ３ａが外部不揮発性メモリ９に対して実行する処理のフローチャートである。

　プロセッサ３ａは、外部装置１０から書込データの受信を契機に処理を開始する（Ｓ０１）。

　次に、プロセッサ３ａは、現在の書き込み対象アドレスと外部装置１０から受信したデータのサイズから、外部不揮発性メモリ９の消去処理の必要性を判定し（Ｓ０２）、消去処理が必要であると判定された場合、外部不揮発性メモリ９に格納されたデータを所定の消去単位で消去する（Ｓ０３）。

　その後、プロセッサ３ａは、受信した書込データを一定の単位で、外部不揮発性メモリ９に書き込む（Ｓ０４）。その後、プロセッサ３ａは、書込データがまだあるか判定し（Ｓ０５）、全ての書込データの書込処理が終了するまで、ステップＳ０４の処理を繰り返す。そして、全ての書込データの書き込みが完了すると、正常に処理が終了したので、外部装置へ正常応答を返信して、次の書込データを要求する（Ｓ０６）。

　なお、消去処理（Ｓ０３）又は書込処理（Ｓ０４）が正常終了しなかった場合は、処理を終了し、外部装置へ異常応答を返信する（Ｓ０７）。外部装置は、適切なエラーメッセージをユーザに報知する。

　次に、図５を参照して、実施例１のシステムによる、内部不揮発性メモリ７の書き換えと共に外部不揮発性メモリ９へのバックアップデータを書き込む手順を説明する。

　まず、図３に一例を示すような、ＥＣＵ１に書き込まれる更新後の制御用ソフトウェアと、当該ソフトウェアに関する制御用情報を含むファイルを用意し、そのファイルを外部装置１０にて指定する。その後、ユーザからの開始操作の指示によって処理を開始する（Ｓ１１）。外部装置１０は、指定されたファイルを読み込み、格納する（Ｓ１２）。

　その後、外部装置１０は、ＥＣＵ１に対する書き込みのための初期化命令を送信する（Ｓ１３）。この初期化命令によって、ステップＳ１２で読み込まれたファイルの書き換え対象、サイズ、データの種別などの情報をＥＣＵ１に伝達する。ＥＣＵ１は、この情報に基づいて、書換制御に必要な準備を行う。

　その後、外部装置１０は、更新用ソフトウェアの書込用データを複数回に分けて送信する（Ｓ１４～Ｓ１６）。プロセッサ３ａは、図４に示す処理を実行し、通信部８を適切に制御することで外部不揮発性メモリ９に対する書き込み処理を実行する。図４で示す一連の処理が正常に終了したら（Ｓ０６）、ＥＣＵ１は次の書込データを外部装置１０に要求する。処理が異常終了したら（Ｓ０７）、外部装置１０は異常終了した旨の応答をユーザ報知し、処理を途中で終了する。以上の処理を全ての書込データが書き込まれるまで繰り返す。

　最後の書込データを受領（Ｓ１６）し、受領した最後の書込データの処理が完了して、外部装置１０へ正常応答を送信すると、外部装置１０から終了通知を受領する（Ｓ１７）。本来、ステップＳ１７の終了通知は、ＥＣＵ１に書換処理の終了する通知するために送信されるが、実施例１では、ＥＣＵ１が終了通知を受領したタイミングで、外部不揮発性メモリ９に書き込んだデータを読み出して内部不揮発性メモリ７に書き込む、書換処理を実行する。具体的には、外部不揮発性メモリ９に書き込んだデータを先頭から所定量を読み出し、復号処理、解凍処理などの適切な処理を実行して、内部不揮発性メモリ７を書き換える処理を繰り返す。

　なお、内部不揮発性メモリ７の書き換え直前には、プロセッサ３ａによる制御を通信兼データ処理部２３から内部不揮発性メモリ書換部２１に移し、内部不揮発性メモリ７の状態を書換可能状態に移行した後に、内部不揮発性メモリ７を書き換える。書き換え終了後は、内部不揮発性メモリ７を通常の状態に戻した後、プロセッサ３ａによる制御を通信兼データ処理部２３に戻す。

　以上の処理が実行され、内部不揮発性メモリ７の書き換えが正常に完了した場合、終了通知（Ｓ１７）に対して正常応答を外部装置１０に返信する。外部装置１０は、この正常応答を受信すると、ユーザに一連の処理が正常完了した旨を報知する（Ｓ１８）。一方、内部不揮発性メモリ７の書き換えが途中で失敗した場合、終了通知（Ｓ１７）に対して異常終了を外部装置１０に応答し、ユーザに異常終了した旨を報知する。

　実施例１の方法による高速化の効果は以下の通りである。一見、二つの不揮発性メモリ（外部不揮発性メモリ９、内部不揮発性メモリ７）に順にデータを書き込んでいるため、二つの不揮発性メモリの各々へデータを書き込む場合（２回の書き込みを実施する場合）と処理時間は変わらないように見える。しかし、更新用データは外部装置１０から１回転送すればよい。特に、現在主流のＣＡＮに実施例１を適用する場合、処理時間の多くがＥＣＵ１への更新用データの転送時間である。ＣＡＮを介したＥＣＵ１へのデータ転送時間と比較し、外部不揮発性メモリ９から書込データを読み出す速度の方が速いため、その差だけ、内部不揮発性メモリ７の書き換えを高速化できる。

　以上、図５を用いて不揮発性メモリの書き換えの一例を説明したが、プログラムの本来の動作に影響を与えない範囲で、他の処理を前後に実行してもよい。実際の運用に基づいた一例をあげると、書換前にＥＣＵ１の固有情報を読み出すための指令や、初期化（Ｓ１３）の前に書換後に意図したソフトウェアに更新できたか検証するための値を送信し、終了通知（Ｓ１７）による処理完了後に、外部装置１０からの指令に基づいて、ＥＣＵ１が所定の方法によって書込後のメモリのデータを用いて演算を行って、事前に送信された値と照合してもよい。

　また、内部不揮発性メモリ７への書き込みは、内部不揮発性メモリ７へ書き込まれたデータを用いて各プロセッサが制御するものであることから、変換前の生データを書き込む必要があるが、外部不揮発性メモリ９に書き込むデータはバックアップ目的である。その点に着目すると、図５において、外部不揮発性メモリ９へ書き込まれるデータは、受信した書込データそのものであるが、何らかの方法によって変換されたデータを外部不揮発性メモリ９に書き込んでもよい。具体的には、圧縮や暗号化された書込データを、復号してから書き込み、解凍してから書き込み、復号及び解凍してから（内部不揮発性メモリ７と同一のデータを）書き込みのいずれでもよい。すなわち、外部不揮発性メモリ９に書き込まれるデータは、プロセッサの処理によって何らかの変換を行って変換前のデータと同一になればよい。なお、前述したとおり、実用上は外部不揮発性メモリ９に書き込むデータは暗号化されていることは必須である。

　また、図５では、外部不揮発性メモリ９にデータを書き込んだ後、内部不揮発性メモリ７を書き換える手順としたが、逆の手順、すなわち内部不揮発性メモリ７を書き換えた後、外部不揮発性メモリ９にデータを書き込んでもよい。

　一般的には、外部装置１０から転送される書込データは暗号化や圧縮されている。内部不揮発性メモリ７を書き換える際には、転送されたデータを復号・解凍によって元のデータに戻してから書き込む。すなわち、外部不揮発性メモリ９に書き込む際は、解凍済データを書き込むため、書き込むデータ量が増える。もしくは、暗号化や圧縮が行われて２度手間になる。この点を考慮すると、内部不揮発性メモリ７を書き換えた後に外部不揮発性メモリ９にデータを書き込む順では、処理効率が低下する。

　［実施例２］
　実施例２では、二つのプロセッサ３ａ、３ｂを用いて、並列に書込処理を行うことで高速化を達成する手順の一例を示す。以下、添付された図面を参照しつつ説明する。

　実施例２のシステムの構成については、ソフトウェアを実行する少なくとも二つのプロセッサ（ＣＰＵ）３ａ、３ｂが必要となる。この点以外は図１と同じである。

　プロセッサ３ａとプロセッサ３ｂのそれぞれは、内部不揮発性メモリ７、外部不揮発性メモリ９に対する処理を実行する。これ以外のプロセッサは、一連の処理を妨げないように処理を停止する、又は、内部不揮発性メモリ７と異なるメモリ（例えばＲＡＭ５）に格納されたプログラムを実行してもよい（図６Ａ参照）。

　図６Ａ、図６Ｂは、本実施例の制御プログラムの構成の一例を示す図であり、図６ＡはＲＡＭ５内の配置を示し、図６Ｂは内部不揮発性メモリ７内の配置を示す。

　プロセッサ３ａが実行する主なプログラムは、内部不揮発性メモリ書換部３１及び通信兼データ処理部３５である。内部不揮発性メモリ書換部３１及び通信兼データ処理部３５は、実施例１の内部不揮発性メモリ書換部２１及び通信兼データ処理部２３と同じである。また、内部不揮発性メモリ書換部３１がＲＡＭ５に配置されるのも実施例１と同様の理由である。

　ＲＡＭ５には、内部不揮発性メモリ書換部３１の他に、プロセッサ３ａ、３ｂの動作に関与しないプロセッサが参照するプログラム３４が格納される。プログラム３４をＲＡＭ５に配置する理由も実施例１と同じである。

　実施例２は、実施例１と以下の２点で相違する。一つは、プロセッサ３ａが外部装置１０から受信した書込データを格納し、かつ、プロセッサ３ｂが格納されたデータを読み取り、外部不揮発性メモリ９に書き込む処理を実行するためのバッファである受信データ格納部３２が設けられる点である。もう一つは、プロセッサ３ｂが実行する主なプログラムである外部不揮発性メモリ制御部３３がＲＡＭ５に格納される点である。外部不揮発性メモリ制御部３３をＲＡＭ５に格納する理由は実施例１と同様に、内部不揮発性メモリ７の書換可能状態において、内部不揮発性メモリ７に格納されるプログラムを実行できないためである。本実施例では、内部不揮発性メモリ７に対する処理の実行中に、外部不揮発性メモリ９への自由な制御を行うために、外部不揮発性メモリ制御部３３はＲＡＭ５に配置する。

　なお、ＲＡＭ５は、その特性上、電源を遮断すると書き込まれたデータは保持されずに、消失する。このため、ＲＡＭ５に配置されるプログラムは、内部不揮発性メモリ７のその他のデータ３６の一部として格納されており、一連の内部不揮発性メモリ７の書換処理を実行する前に、その他のデータ３６からＲＡＭ５にプログラムがコピーされる。その後、プロセッサ３ａ以外のプロセッサは、ＲＡＭ５上の所定のアドレスからプログラムを読み出して処理を実行する。

　図７は、受信データ格納部３２の構成を示す図である。

　受信データ格納部３２に対し、外部装置１０から受信した書込データが書き込まれている末端を示す受信完了ポインタ４１と、外部不揮発性メモリ９に対する書込処理が完了したデータの末端を示す書込完了ポインタ４２の二つのポインタが設けられている。受信完了ポインタ４１と書込完了ポインタ４２の間が、外部装置１０から受信した書込データが外部不揮発性メモリ９に書き込まれていない未処理データである。これらポインタの値は一定方向に増加又は減少し（ＲＡＭ５のアドレスに関して一定の方向で増減し）、受信データ格納部３２のサイズによって定まる上限値が存在する。言い換えると、この上限値は受信データ格納部３２の末端を示す。

　初期状態は両ポインタ４１、４２の値（両ポインタが示すアドレス）が同じであるが、一連の処理の中で、下記のように動作する。プロセッサ３ａは、通信兼データ処理部３５によって、外部装置１０から受信した書込データを受信データ格納部３２へ一定の方向に書き込む処理を実行する。書込処理終了後、データを書き込んだ分だけ受信完了ポインタ４１の値を変化する。その後、プロセッサ３ａが担当する内部不揮発性メモリ７に対する処理の終了後、外部装置１０へ処理の結果を応答する。

　一方、プロセッサ３ｂは以下のように処理を実行する。受信完了ポインタ４１と書込完了ポインタ４２に差がある場合、外部不揮発性メモリ９に書き込まれていない未処理データが存在する。そのため、プロセッサ３ｂは、書込完了ポインタ４２が示す場所から所定量のデータを読み出して、外部不揮発性メモリ９に書き込む。その後、データを書き込んだ分だけ書込完了ポインタ４２の値を受信完了ポインタ４１と同じ方向に変化する。受信完了ポインタ４１と書込完了ポインタ４２が一致している場合、未処理データが存在しないため、プロセッサ３ｂは書き込み処理を行わずに待つ。その後、プロセッサ３ａにより受信完了ポインタ４１が進んだ場合、受信完了ポインタ４１と書込完了ポインタ４２に差が生じるので、プロセッサ３ｂは外部不揮発性メモリ９へのデータ書き込みを再開する。

　プロセッサ３ａ、３ｂの各々は前述した処理を独立して実行するが、以下の２点に該当する場合には、プロセッサ３ａ、３ｂは同期して処理を実行する。一つは、受信完了ポインタ４１の値が上限値に達した場合に、プロセッサ３ａの処理が完了しても、書込完了ポインタ４２の値が上限値に達するまで、外部装置１０への応答を待つ。受信完了ポインタ４１及び書込完了ポインタ４２が上限値に達した後、プロセッサ３ａは外部装置１０へ応答した後、受信完了ポインタ４１及び書込完了ポインタ４２を初期値に戻す。以後、前述の処理を実行する。

　もう一つは、外部装置１０から受信した書込データが最後のデータである場合、受信完了ポインタ４１及び書込完了ポインタ４２が一致するまで待ってからプロセッサ３ａは応答を行う。なお、書込データが最後かは、例えば、外部装置１０から予め送られたプログラムのサイズ情報と、ＥＣＵ１内部で計測している外部装置１０から受信したデータ量と、今回受信した書込データのサイズに基づいて判定できる。

　図８は、プロセッサ３ｂが外部不揮発性メモリに対して実行する制御処理のフローチャートである。

　プロセッサ３ｂは、ユーザの操作に従って処理を開始すると、プロセッサ３ａからの指令を待ち受ける（Ｓ２１）。その後、プロセッサ３ｂは、外部装置１０から初回の書込データを受信すると、プロセッサ３ａの操作によってステップＳ２２に移行し、処理を開始する。

　ステップＳ２２では、書込データを書き込むべき領域の外部不揮発性メモリ９の消去処理が必要かを判定し、必要があれば外部不揮発性メモリ９の消去単位でデータを消去する（Ｓ２３）。

　その後、図７で説明した手順で、書込可能なデータがあるかを判定する（Ｓ２４）。未書込のデータがない場合はＳ２４で待機する。書き込むべきデータがある場合は受信データ格納部３２から書込データを読み出し、外部不揮発性メモリ９に書き込む（Ｓ２５、Ｓ２６）。書込後は、書き込まれたデータを検証するベリファイを実施する（Ｓ２７）。例えば、ステップＳ２６によって書き込んだ場所と同じ範囲のデータを外部不揮発性メモリ９から読み出し、書き込んだデータとの一致を確認する。一致した場合、正しく書き込めたとして書込完了ポインタ４２を進める。その後、書込完了ポインタ４２が上限値に達している、又は書き込んだデータが最終データであるの、いずれかの条件に該当するかを判定する（Ｓ２８）。条件に該当する場合はステップＳ２１に戻り、どちらの条件にも該当しない場合はステップＳ２４に戻る。

　なお、書込完了ポインタ４２が上限値に達したことよってステップＳ２１に移行した場合、プロセッサ３ａによって受信完了ポインタ４１及び書込完了ポインタ４２がクリアされた後で、プロセッサ３ａからの操作によってステップＳ２２に移行して、消去の要否を判定する。

　書き込むデータがなくなるまで以上の処理を繰り返す。

　なお、ステップＳ２２に関して、受信データ格納部３２のサイズと外部不揮発性メモリ９の消去単位が一致している場合、必ずＹＥＳと判定される。このため、受信データ格納部３２のサイズを設定し、ステップＳ２２の判定を行わずに、ステップＳ２３を実行するように、処理を簡略化してもよい。

　次に、図９を参照して、実施例２による、内部不揮発性メモリ７の書き換えと外部不揮発性メモリ９への書き込みを並列に行う手順を説明する。

　ステップＳ３１～Ｓ３３は、実施例１のＳ１１～Ｓ１３と同じである。

　ステップＳ３４で外部装置１０から初回の書込データが転送される。プロセッサ３ａは受信した書込データを、受信データ格納部３２に保存した後、受信完了ポインタ４１を進める。同時にプロセッサ３ｂに対しステップＳ２２への移行を指令し、プロセッサ３ｂの処理を開始する。その後、内部不揮発性メモリ７への書換処理ができれば実行する。Ｓ３４では必要なデータ量に達していないため実行していない。内部不揮発性メモリ７への書換処理の終了後、外部装置１０に処理結果を返信する。

　外部装置１０から次の書込データを受領すると（Ｓ３５）、同様に受信データ格納部３２に保存する。その後、内部不揮発性メモリ７を書き換える。書換直前に一度内部不揮発性メモリ書換部３１に移行して、内部不揮発性メモリ７を書換可能状態に移行した後にデータを書き換える。書換終了後、内部不揮発性メモリ７を通常状態に戻した後、プロセッサ３ａの制御を通信兼データ処理部３５に戻し、その後に外部装置１０に処理結果を返信する。

　一方、ステップＳ３４、Ｓ３５において、プロセッサ３ｂはプロセッサ３ａの動きとは関係なく、図８に示す処理を実行する。ステップＳ３４によって受信完了ポインタ４１と書込完了ポインタ４２に差分が生じるため、通信部８を介して外部不揮発性メモリ９に適切に制御して、データを書き込む。データ書込終了後は、書き込んだ分だけ書込完了ポインタ４２を進める。図９では、プロセッサ３ａが、ステップＳ３６で書込データを受信する前に、受信完了ポインタ４１と書込完了ポインタ４２が一致し待機状態となる。ステップＳ３６によって、プロセッサ３ａが、新たな書込データを受信し、受信完了ポインタ４１が進めば書き込み処理が再開される。

　この後、受信完了ポインタ４１が上限値に達するまで、前述した処理を繰り返す。そして、ステップＳ３７で、受信完了ポインタ４１が上限値に達した場合、図７で説明した通り、書込完了ポインタ４２が上限値に達するまで、プロセッサ３ａは外部装置１０への応答を待つ。そして、書込完了ポインタ４２が上限値に達するのを待って（Ｓ３８）、プロセッサ３ａが外部装置１０へ処理結果を返信する。次の書込データの受信では（Ｓ３９）、プロセッサ３ａが受信完了ポインタ４１と書込完了ポインタ４２を初期値に設定して、Ｓ３４からの処理を繰り返す。

　そして、最後の書込データを受信した場合（Ｓ４０）、現在のポインタの位置にかかわらず、ステップＳ３７及びＳ３８と同じ処理を実行する（Ｓ４１）。

　全ての書込データを受信し、ＥＣＵ１の処理が終わった後、外部装置１０が終了命令を送信する（Ｓ４２）。外部装置１０は、ＥＣＵ１から正常応答を受信した場合、処理完了をユーザへ通知し（Ｓ４３）、一連の処理を終了する。

　以上の処理を順に行うが、途中で何らかの要因で処理が失敗した場合、外部装置１０は処理の異常終了をユーザに通知する。なお、プロセッサ３ａとプロセッサ３ｂの各々は独立して処理を実行するが、外部不揮発性メモリ９の処理の過程において何らかのエラーが生じた場合、その旨をプロセッサ３ｂからプロセッサ３ａに通知して、プロセッサ３ａが自身の処理が正常終了していても、外部装置１０に対してエラーを返信し処理を終了する。

　実施例２の方法による高速化の効果は以下の通りである。プロセッサ３ａが担当する内部不揮発性メモリ７側は、受信データ格納部３２への書き込みや、外部不揮発性メモリ９側との同期など異なる点はあるが、今までの有線による方法とほぼ同じように処理できる。その処理時間を利用して、プロセッサ３ｂが外部不揮発性メモリ９へのバックアップ処理を行うことができれば、内部不揮発性メモリ７の書き換えとほぼ同じ時間で処理できる。内部不揮発性メモリ７に比べ、外部不揮発性メモリ９の書換性能が著しく悪い場合は、それが達成できないが、その場合でも外部装置１０から外部不揮発性メモリ９への書き込み処理と比較し、データ転送が不要（内部不揮発性メモリ７側で処理される）ため、データ転送時間の減少分で高速化できる。以上をまとめると、最速で今までと同等、最遅でも外部不揮発性メモリ９に単独で書き込むための処理時間より高速化ができる。

　以上、図９を用いて不揮発性メモリの書き換えの一例を説明したが、プログラムの本来の動作に影響を与えない範囲で、実施例１で説明した他の処理を前後に実行してもよい。

　［実施例３］
　実施例３では一つのプロセッサを用いて、マルチタスク処理によって、二つの不揮発性メモリに対して同時に処理を実行する手順の一例を示す。以下、添付された図面を参照しつつ説明する。

　実施例３におけるシステムの構成は実施例１と同様である。実施例１と同様、プロセッサ３ａ以外のプロセッサがある場合、一連の処理を妨げないように、それらのプロセッサの処理を停止する、又はＲＡＭ５上で動作（図１１参照）など適切に処理する。

　一連の書き換え手順において、プロセッサが処理する内容を、図１０に示すように細かく分解し、通信兼データ処理タスク５５、内部不揮発性メモリ書換タスク５１、外部不揮発性メモリ制御タスク５３の三つに分類する。

　通信兼データ処理タスク５５は、外部装置１０との送受信処理、既定のプロトコルによる受信処理、受信データ格納部５２への格納処理、書込データの復号、及び書込データの解凍処理を含み、現在の内部状態に応じていずれかの処理を実行する。内部不揮発性メモリ書換タスク５１は、内部不揮発性メモリ７の消去、内部不揮発性メモリ７の書込、及び消去・書込の終了確認処理を含み、現在の内部状態に応じていずれかの処理を実行する。外部不揮発性メモリ制御タスク５３は、外部不揮発性メモリ９の消去、外部不揮発性メモリ９の書込、外部不揮発性メモリ９の読込、及び消去・書込処理の終了確認処理を含み、現在の内部状態に応じていずれかの処理を実行する。

　一般的に不揮発性メモリの消去・書込は、命令を送信してからその命令を完了するまで時間がかかる。その間、プロセッサが他の処理を実行しない待機状態にすると全体の処理効率が低下する。そのため、消去・書込処理のための命令処理と、その処理が完了したかを確認する処理を分けることで、処理効率を高めることができる。

　図１１Ａ、図１１Ｂは、本実施例の制御プログラムの構成の一例を示す図であり、図１１ＡはＲＡＭ５内の配置を示し、図１１Ｂは内部不揮発性メモリ７内の配置を示す。

　通信兼データ処理タスク５５に含まれる処理プログラムは内部不揮発性メモリ７に配置され、内部不揮発性メモリ書換タスク５１に含まれる処理プログラムと、外部不揮発性メモリ制御タスク５３に含まれる処理プログラムはＲＡＭ５上に配置される。

　ここで、実施例３の内部不揮発性メモリ書換タスク５１、外部不揮発性メモリ制御タスク５３、通信兼データ処理タスク５５は、実施例１の内部不揮発性メモリ書換部３１、外部不揮発性メモリ制御部３３、通信兼データ処理部３５と同じである。また、その他のデータ５６や受信データ格納部５２なども実施例１と同じである。

　前述のようにタスクを分けて、一つのプロセッサで図１２に示すシーケンスに従って処理を繰り返し、プロセッサの待機時間を可能な限りなくして、高速で処理を実行する。図１２に示す通り、通常時は、通信兼データ処理タスク５５を実行し（Ｓ５２）、その後、外部不揮発性メモリ制御タスク５３（Ｓ５４）を実行する。但し、内部不揮発性メモリ７を書き換えるときは、通信兼データ処理タスク５５の代わりに内部不揮発性メモリ書換タスク５１（Ｓ５３）を実行する。

　なお、通信兼データ処理タスク５５と内部不揮発性メモリ書換タスク５１の切り替えは、例えば以下の方法で実施できる。通信兼データ処理タスク５５によって、受信した書込データの復号・解凍などの処理が終わり、次回に内部不揮発性メモリ７を書き換える際は、外部不揮発性メモリ制御タスク５３の終了時に通信兼データ処理タスク５５ではなく内部不揮発性メモリ書換タスク５１を実施することを示すフラグを設定する。そして、外部不揮発性メモリ制御タスク５３の終了後、内部不揮発性メモリ書換タスク５１が起動する。以後、内部不揮発性メモリ７の書換中はこの状態が続き、内部不揮発性メモリ７の書換終了後に内部不揮発性メモリ書換タスク５１がフラグを初期化することで、次の外部不揮発性メモリ制御タスク５３の実行後に、通信兼データ処理タスク５５が実行される状態に戻る。

　実施例３は、以上のような設計をするので、実施例２と同様の設計が可能である。例えば、受信データ格納部５２の構造は実施例２の図７と同じものを使用できる。受信完了ポインタ４１と書込完了ポインタ４２を用いた処理手順も実施例２（図７）と同じでよい。また、外部不揮発性メモリ９への処理手順も実施例２（図８）と同じでよい。詳細には、前述の通り、処理効率の観点から、消去・書込の命令処理と完了確認処理は別に設けられるため、Ｓ２３とＳ２６は「消去／書込の命令」、「確認」の２段階に分けられる。

　但し、実施例３は以下の点で実施例２と相違する。図１２からも分かるように、各タスクの処理を交互に実行する点である。実施例２では、内部不揮発性メモリ７の書換処理と外部不揮発性メモリ９の書換処理を独立して同時に並行で実行するため、お互いの状況に依存せず、待ち時間がなく処理できる。しかし、実施例３の場合、他のタスクの処理が終わり、自身のタスクまで待たないと次の処理が進まない。このような観点から、実施例３による処理の高速化は、実施例２と比べるとやや限定的である。しかし、外部装置１０との通信制御や内部不揮発性メモリ７の処理の間に、外部不揮発性メモリ９への処理を実行できる点は実施例２と同様であるため、処理を高速化できる。また、プロセッサの処理性能が高速であれば、実施例２と実施例３の差は小さくなる。

　図１３を参照して実施例３の具体的な処理について説明する。全体の制御のフローは図９と同じため、ステップＳ６４とＳ６５（図１３のＳ３４とＳ３５に対応）での内部動作に焦点をあてて説明する。

　なお、図１３は図９と違い時間軸を考慮に入れて表している。前述した通り、プロセッサ３ａは、図１２のように通信兼データ処理タスク５５又は内部不揮発性メモリ書換タスク５１のいずれかと、外部不揮発性メモリ制御タスク５３を交互に実行する。図１３では、内部不揮発性メモリ書換タスク５１による内部不揮発性メモリ７の書換処理と、外部不揮発性メモリ制御タスク５３による外部不揮発性メモリ９の書込処理とを交互に行っていることを示す。なお、各処理を示す矢印の間隔は実際の処理時間の長さとは関連していない。

　Ｓ６４では、外部装置１０から書込データを受け取った後、通信兼データ処理タスク５５により、受信データ格納部５２に格納する。その次の外部不揮発性メモリ制御タスク５３では、受信データ格納部５２に書き込みデータが格納されたので、外部不揮発性メモリ９に対する処理を開始する。具体的には、外部不揮発性メモリ制御タスク５３はステップＳ２２の処理（消去の必要性の判定）を実行し、必要があればステップＳ２３の処理（消去コマンド）を通信部８介して外部不揮発性メモリ９に発行する。

　外部不揮発性メモリ制御タスク５３の終了後、プロセッサの処理が通信兼データ処理タスク５５に移るが、ステップＳ６４では内部不揮発性メモリ７に対する処理を実行せず、外部装置１０への応答処理を実行する。そして、次の外部不揮発性メモリ制御タスク５３では、消去処理が終了したかを確認するコマンドを外部不揮発性メモリ９に発行し、その応答により消去処理が終わったか確認する。以後、外部不揮発性メモリ制御タスク５３では消去処理の終了が確認できるまでこれを繰り返す。その後、外部不揮発性メモリ制御タスク５３の実行時に図８に示す処理を実行する。

　外部装置１０に対する応答処理実行後は、通信兼データ処理タスク５５で、外部装置１０から次の書込データＳ６５を受信する。受信後、受信データ格納部５２に書き込むまではステップＳ６４と同じである。その後、数回の通信兼データ処理タスク５５によって、復号・解凍などの書込データ処理を実行する。書込データの処理の終了後は、それを内部不揮発性メモリ７に書き込むため、次回は通信兼データ処理タスク５５の代わりに、内部不揮発性メモリ書換タスク５１を実行するようにフラグを設定する。外部不揮発性メモリ制御タスク５３の終了後、内部不揮発性メモリ書換タスク５１を実行し、以後、外部不揮発性メモリ９と同様に、消去、確認、書き込み、確認の処理を実行する。書き換えが終了し、次の外部不揮発性メモリ制御タスク５３の終了後、通信兼データ処理タスク５５を実行するようにフラグを初期化する。

　以後、実施例２と同様の流れで処理を実行する。いずれかのタスクおいて何らかのエラーが生じた場合、外部装置１０に対してエラー通知を送信して、処理を中断する。

　また、プログラムの本来の動作に影響を与えない範囲で、実施例１で説明した他の処理を前後に実行してもよい。

　［変形例］
　以上に説明した実施例は、それぞれ実用上の観点から通信線１１が有線で構成され、有線通信を介して書換データが転送されるものであるが、通信線１１が無線で構成されてもよく、無線通信を介して書換データが転送されるものでもよい。

　以上に説明したように、本発明の実施例の電子制御装置は、所定のプログラムを実行するプロセッサを含むマイコン２と、マイコン２に接続される外部不揮発性メモリ９とを備え、前記マイコン２は、内部不揮発性メモリ７と、外部不揮発性メモリ９と通信する通信部８と、外部装置１０と通信する通信部６とを有し、マイコン２は、内部不揮発性メモリ７を書き換えるために、外部装置１０から受信したデータを、内部不揮発性メモリ７及び外部不揮発性メモリ９に書き込むので、マイコンが内部不揮発性メモリ７と外部不揮発性メモリ９にアクセスできる構成において、外部装置１０からの制御に基づいてマイコン２の内部不揮発性メモリ７に格納されたＥＣＵ１の制御用ソフトウェアを書き換える際に、内部不揮発性メモリ７の書き換えと外部不揮発性メモリ９へのバックアップデータの書き込みを高速に実行できる。特に、外部装置１０から１回のデータ転送で、内部不揮発性メモリ７及び外部不揮発性メモリ９の両方にデータを書き込むので、処理を高速化できる。

　また、マイコン２は、外部装置１０から受信したデータを格納する受信データ格納部３２を有し、受信データ格納部３２に格納されるデータと同じデータを、内部不揮発性メモリ７及び外部不揮発性メモリ９に書き込むので、内部処理が簡単でプログラムを高速化できる。

　また、前記内部不揮発性メモリに書き込み処理を行う第１プロセッサ３ａと、外部不揮発性メモリに書き込み処理を行う第２プロセッサ３ｂとを有し、第１プロセッサ３ａは、外部装置１０から受信したデータを受信データ格納部３２及び内部不揮発性メモリ７に書き込み、第２プロセッサ３ｂは、受信データ格納部３２に格納されたデータを外部不揮発性メモリ９に書き込むので、プロセッサ間で処理を分散でき、処理速度を向上できる。

　また、前記インターフェースが受信したデータが暗号化されている場合、マイコン２は、外部装置１０から受信したデータを復号して内部不揮発性メモリ７に書き込み、外部装置１０から受信したデータを復号せずに外部不揮発性メモリ９に書き込むので、セキュリティ維持しつつ、ロールバック用のデータを外部不揮発性メモリ９に格納できる。

　なお、本発明は前述した実施例に限定されるものではなく、添付した特許請求の範囲の趣旨内における様々な変形例及び同等の構成が含まれる。例えば、前述した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに本発明は限定されない。また、ある実施例の構成の一部を他の実施例の構成に置き換えてもよい。また、ある実施例の構成に他の実施例の構成を加えてもよい。また、各実施例の構成の一部について、他の構成の追加・削除・置換をしてもよい。

　また、前述した各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等により、ハードウェアで実現してもよく、プロセッサがそれぞれの機能を実現するプログラムを解釈し実行することにより、ソフトウェアで実現してもよい。

　各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリ、ハードディスク、ＳＳＤ（Solid State Drive）等の記憶装置、又は、ＩＣカード、ＳＤカード、ＤＶＤ等の記録媒体に格納することができる。

　また、制御線や情報線は説明上必要と考えられるものを示しており、実装上必要な全ての制御線や情報線を示しているとは限らない。実際には、ほとんど全ての構成が相互に接続されていると考えてよい。

Claims

　電子制御装置であって、
　所定のプログラムを実行するプロセッサを含むマイコンと、
　前記マイコンに接続される外部不揮発性メモリとを備え、
　前記マイコンは、内部不揮発性メモリと、前記外部不揮発性メモリと通信する第１通信部と、外部装置と通信する第２通信部とを有し、
　前記マイコンは、前記内部不揮発性メモリを書き換えるための前記外部装置から受信したデータを、前記内部不揮発性メモリ及び前記外部不揮発性メモリに書き込むことを特徴とする電子制御装置。
　請求項１に記載の電子制御装置であって、
　前記内部不揮発性メモリを書き換えるためのデータを、前記内部不揮発性メモリ及び前記外部不揮発性メモリの一方に書き込んだ後、当該一方の不揮発性メモリに書き込まれたデータと同じデータを他方の不揮発性メモリに書き込むことを特徴とする電子制御装置。
　請求項２に記載の電子制御装置であって、
　前記内部不揮発性メモリを書き換えるためのデータを、前記外部不揮発性メモリに書き込んだ後、前記外部不揮発性メモリに書き込まれたデータと同じデータを前記内部不揮発性メモリに書き込むことを特徴とする電子制御装置。
　請求項１に記載の電子制御装置であって、
　前記マイコンは、前記外部装置から受信したデータを格納する受信データ格納部を有し、
　前記受信データ格納部に格納されるデータと同じデータを、前記内部不揮発性メモリ及び前記外部不揮発性メモリに書き込むことを特徴とする電子制御装置。
　請求項４に記載の電子制御装置であって、
　前記内部不揮発性メモリへの書き込み処理を行う第１プロセッサと、
　前記外部不揮発性メモリへの書き込み処理を行う第２プロセッサとを有し、
　前記第１プロセッサは、前記外部装置から受信したデータを前記受信データ格納部及び前記内部不揮発性メモリに書き込み、
　前記第２プロセッサは、前記受信データ格納部に格納されたデータを前記外部不揮発性メモリに書き込むことを特徴とする電子制御装置。
　請求項１に記載の電子制御装置であって、
　前記外部装置から受信したデータが圧縮・暗号化されている場合、前記マイコンは、前記外部装置から受信したデータを解凍・復号して前記内部不揮発性メモリに書き込み、
　前記外部装置から受信したデータを解凍・復号せずに前記外部不揮発性メモリに書き込むことを特徴とする電子制御装置。
　電子制御装置が実行する書込制御方法であって、
　前記電子制御装置は、所定のプログラムを実行するプロセッサを含むマイコンと、前記マイコンに接続される外部不揮発性メモリとを有し、
　前記マイコンは、内部不揮発性メモリと、前記外部不揮発性メモリと通信する第１通信部と、外部装置と通信する第２通信部とを有し、
　前記書込制御方法は、
　前記マイコンが、前記内部不揮発性メモリを書き換えるためのデータを前記外部装置から受信し、
　前記マイコンが、前記外部装置から受信したデータを、前記内部不揮発性メモリ及び前記外部不揮発性メモリに書き込むことを特徴とする書込制御方法。