WO2024062898A1 - Brake control device, and software updating method - Google Patents

Brake control device, and software updating method Download PDF

Info

Publication number
WO2024062898A1
WO2024062898A1 PCT/JP2023/031868 JP2023031868W WO2024062898A1 WO 2024062898 A1 WO2024062898 A1 WO 2024062898A1 JP 2023031868 W JP2023031868 W JP 2023031868W WO 2024062898 A1 WO2024062898 A1 WO 2024062898A1
Authority
WO
WIPO (PCT)
Prior art keywords
control device
software
electronic control
actuator
ecu
Prior art date
Application number
PCT/JP2023/031868
Other languages
French (fr)
Japanese (ja)
Inventor
浩文 大竹
佳史 三阪
Original Assignee
株式会社アドヴィックス
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 株式会社アドヴィックス filed Critical 株式会社アドヴィックス
Publication of WO2024062898A1 publication Critical patent/WO2024062898A1/en

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/65Updates
    • G06F8/656Updates while running

Definitions

  • the present invention relates to a brake control device installed in a vehicle and a software update method.
  • the control device disclosed in Patent Document 1 includes a plurality of control devices and an electronic control device.
  • the electronic control device stores a storage unit that stores software for controlling a plurality of control devices, a CPU that controls the plurality of control devices by executing the software, and update software acquired from the outside. It has a storage section.
  • the CPU executes an update process to rewrite the software in the storage unit with the update software stored in the storage unit.
  • the braking control device for solving the above problem is a control device provided on a vehicle, the control device including an actuator that operates to generate a braking force in the vehicle, and an information processing device that acquires update software for controlling the actuator from outside the vehicle via wireless communication.
  • the braking control device is configured to be able to communicate with the information processing device via an in-vehicle network.
  • the braking control device includes a main electronic control device that controls the actuator, and a backup electronic control device that can communicate with the main electronic control device.
  • the main electronic control device has a storage device in which software is stored, and an execution device that controls the actuator by executing the software in the storage device.
  • the backup electronic control device has a storage device that stores software, and an execution device that executes the software in the storage device.
  • the execution device of the backup electronic control device When the execution device of the backup electronic control device is able to control the actuator by executing the software in the storage device of the backup electronic control device, the execution device of the main electronic control device allows the backup electronic control device to operate the actuator, and then executes an update process to rewrite the software in the storage device of the main electronic control device to the update software.
  • the backup electronic control device when it becomes necessary to operate the actuator while an update process is being executed to rewrite the software in the storage device of the main electronic control device to update software, the backup electronic control device operates the actuator. . That is, the brake control device can adjust the braking force generated in the vehicle by operating the actuator while updating the software in the storage device of the main electronic control device. Therefore, the brake control device can update the software in the storage device of the main electronic control device even when the actuator is operating.
  • a software update method for solving the above problem is a method of updating software in a storage device included in a main electronic control device that constitutes a brake control device that adjusts the braking force generated in a vehicle by operating an actuator.
  • the brake control device includes a backup electronic control device configured to be able to communicate with the main electronic control device.
  • the main electronic control device in a situation where an information processing device installed in the vehicle acquires update software from a data center external to the vehicle via wireless communication, the main electronic control device updates the backup electronic
  • the method includes a permission step for allowing a control device to control the actuator, and an updating step for the main electronic control device to rewrite software in its own storage device to the update software.
  • the software update method described above includes a series of steps for updating software in a storage device of a main electronic control unit in a situation where an information processing device of a vehicle is acquiring update software from a data center outside the vehicle via wireless communication. processing is started. That is, the main electronic control unit allows the backup electronic control unit to control the actuator. The main electronic control unit then rewrites the software in its own storage device to the update software. Therefore, even while the software in the storage device of the main electronic control device is being updated, the backup electronic control device operates the actuator to adjust the braking force generated in the vehicle. Therefore, even when the actuator is operating, the software in the storage device of the main electronic control unit can be updated.
  • FIG. 1 is a schematic diagram showing a vehicle equipped with a brake control device according to an embodiment and a data center provided outside the vehicle.
  • FIG. 2 is a block diagram showing a schematic configuration of the brake control device.
  • FIG. 3 is a flowchart showing a processing routine executed by the information processing device when updating the software in the storage device of the main electronic control device included in the brake control device.
  • (A) is a diagram showing the flow of processing executed by the first main electronic control unit when updating the software of the storage device of the first main electronic control unit
  • (B) is a diagram showing the flow of processing executed by the first main electronic control unit.
  • FIG. 1 is a diagram showing the flow of processing executed by the backup electronic control device when updating the software of the storage device of the first main electronic control device.
  • FIG. 5 (A) is a diagram showing the flow of processing executed by the second main electronic control unit when updating the software of the storage device of the second main electronic control unit, and (B) is a diagram showing the flow of processing executed by the second main electronic control unit.
  • FIG. 2 is a diagram showing the flow of processing executed by the backup electronic control device when updating the software of the storage device of the second main electronic control device.
  • ECU Electronice Control Unit
  • FIG. 1 illustrates a vehicle 10 and a data center 100 provided outside the vehicle 10 .
  • the data center 100 is configured to be able to transmit and receive various types of information to and from the vehicle 10 via the external vehicle network 200. That is, the data center 100 transmits and receives various types of information to and from the vehicle 10 by wireless communication.
  • the vehicle 10 includes a plurality of ECUs.
  • the data center 100 transmits the update software to the vehicle 10 via the external network 200.
  • the ECU whose software is to be updated is referred to as an "update target ECU.”
  • the vehicle 10 includes a communication device 20 and an information processing device 30.
  • the communication device 20 is a vehicle-side interface for transmitting and receiving information with the data center 100.
  • the information processing device 30 is configured to be able to communicate with the communication device 20 via the local network 51.
  • the local network 51 is a network for transmitting and receiving information only between the information processing device 30 and the communication device 20.
  • the information processing device 30 includes an execution device 31, a storage device 32, and a storage device 33.
  • the execution device 31 is a CPU.
  • the storage device 32 stores software executed by the execution device 31.
  • the storage device 33 temporarily stores information transmitted from the communication device 20 via the local network 51. That is, when the data center 100 transmits the information specifying the update target ECU and the update software to the vehicle 10, the communication device 20 receives the information transmitted by the data center 100. The communication device 20 then transmits the received information to the information processing device 30 via the local network 51. Then, the execution device 31 of the information processing device 30 causes the storage device 33 to store the information received via the local network 51, that is, the information specifying the update target ECU and the update software.
  • the vehicle 10 is equipped with a brake control device 60 that adjusts the braking force generated by the vehicle 10.
  • the brake control device 60 includes a plurality of ECUs.
  • the vehicle 10 also includes an ECU 40 other than the ECU that constitutes the brake control device 60.
  • the brake control device 60 and other ECUs 40 are configured to be able to communicate with the information processing device 30 via the global network 52.
  • the global network 52 corresponds to an "in-vehicle network" that allows information to be transmitted and received between the information processing device 30 and the brake control device 60.
  • global network 52 is a CAN bus.
  • CAN is an abbreviation for "Controller Area Network.”
  • the vehicle 10 is equipped with actuators that are controlled by the braking control device 60.
  • the actuators operate to generate braking force in the vehicle 10.
  • the vehicle 10 is equipped with a first actuator 11 and a second actuator 12 as actuators.
  • the vehicle 10 is equipped with a detection system 15 that detects the running state of the vehicle 10.
  • the detection system 15 outputs a signal according to the detection result to the brake control device 60.
  • the detection system 15 includes a plurality of sensors 151.
  • the plurality of sensors include, for example, a wheel speed sensor, an acceleration sensor, and a yaw rate sensor.
  • the brake control device 60 includes a main ECU that controls actuators.
  • the brake control device 60 includes a first main ECU 61 and a second main ECU 62 as main ECUs.
  • the first main ECU 61 is an ECU for controlling the first actuator 11, and calculates the control amount of the first actuator 11, for example.
  • the second main ECU 62 is an ECU for controlling the second actuator 12, and calculates, for example, a control amount of the second actuator 12.
  • the brake control device 60 includes a backup ECU 63 that can communicate with the main ECU.
  • the backup ECU 63 can communicate with the first main ECU 61 and the second main ECU 62 .
  • the backup ECU 63 can communicate with the first main ECU 61 via the local network, and can communicate with the second main ECU 62 via the local network.
  • the brake control device 60 further includes an input ECU 64 and an output ECU 65.
  • the input ECU 64 can communicate with the first main ECU 61, the second main ECU 62, and the backup ECU 63 via a local network.
  • the input ECU 64 functions as an input interface for the brake control device 60. For example, a signal output from the detection system 15 is input to the input ECU 64 . Further, for example, information transmitted to the global network 52 by the information processing device 30 and other ECUs 40 is input to the input ECU 64 .
  • the input ECU 64 then transmits the input information to the first main ECU 61, the second main ECU 62, and the backup ECU 63.
  • the output ECU 65 can communicate with the first main ECU 61, the second main ECU 62, and the backup ECU 63 via the local network.
  • the output ECU 65 functions as an output interface for the brake control device 60.
  • the output ECU 65 outputs a command signal to the first actuator 11 according to the control amount calculated by the first main ECU 61. This causes the first actuator 11 to operate.
  • the output ECU 65 outputs a command signal to the second actuator 12 according to the control amount calculated by the second main ECU 62. This causes the first actuator 11 to operate.
  • the output ECU 65 transmits the information acquired by the brake control device 60 and the information calculated by the brake control device 60 to the global network 52.
  • a plurality of ECUs 61 to 65 that constitute the brake control device 60 each include an execution device and a storage device.
  • the execution device is a CPU
  • the storage device is nonvolatile memory.
  • the storage device stores software that is executed by the execution device.
  • the input ECU 64 includes an execution device 641, a storage device 642, and a storage device 643.
  • the storage device 643 is a RAM. The storage device 643 temporarily stores information input to the input ECU 64.
  • Software for controlling the first actuator 11 is stored in the storage device 612 of the first main ECU 61.
  • the execution device 611 of the first main ECU 61 controls the first actuator 11 by executing software in the storage device 612.
  • the execution device 611 controls the first actuator 11 by calculating the control amount of the first actuator 11 and transmitting the control amount to the output ECU 65 .
  • Software for controlling the second actuator 12 is stored in the storage device 622 of the second main ECU 62.
  • the execution device 621 of the second main ECU 62 controls the second actuator 12 by executing software in the storage device 622.
  • the execution device 621 controls the second actuator 12 by calculating the control amount of the second actuator 12 and transmitting the control amount to the output ECU 65 .
  • the storage device 632 of the backup ECU 63 stores software executed by the execution device 631. For example, when the backup ECU 63 operates the first actuator 11, software for controlling the first actuator 11 is stored in the storage device 632. The execution device 631 then controls the first actuator 11 by executing the software in the storage device 632. Further, for example, when the backup ECU 63 operates the second actuator 12, software for controlling the second actuator 12 is stored in the storage device 632. The execution device 631 then controls the second actuator 12 by executing the software in the storage device 632.
  • FIG. 3 illustrates a processing routine showing update preparation processing executed by the execution device 31 of the information processing device 30.
  • the update preparation process is a series of processes executed by the execution device 31 in order to update the software in the storage device of the main ECU of the brake control device 60. If the owner of the vehicle 10 allows updating the software of the main ECU, the execution device 31 executes this processing routine.
  • step S11 the execution unit 31 determines whether the first main ECU 61 is an ECU to be updated. For example, if the first main ECU 61 is included among the ECUs indicated by the information stored in the storage unit 33, i.e., the information identifying the ECU to be updated, the execution unit 31 considers the first main ECU 61 to be an ECU to be updated. On the other hand, if the first main ECU 61 is not included among the ECUs indicated by the above information stored in the storage unit 33, the execution unit 31 considers the first main ECU 61 to be not an ECU to be updated.
  • the execution unit 31 determines that the first main ECU 61 is an ECU to be updated (S11: YES), the execution unit 31 shifts the process to step S13. On the other hand, if the execution unit 31 determines that the first main ECU 61 is not an ECU to be updated (S11: NO), the execution unit 31 shifts the process to step S19.
  • step S13 the execution device 31 notifies the brake control device 60 via the global network 52 that updating the software in the storage device 612 of the first main ECU 61 is permitted.
  • step S15 the execution device 31 transmits the update software for the first main ECU 61 stored in the storage device 33 to the brake control device 60 via the global network 52. Then, for example, in the brake control device 60, the update software is stored in the storage device 643 of the input ECU 64.
  • the brake control device 60 transmits a notification to the information processing device 30 via the global network 52 that the software update has been completed. Therefore, the execution device 31 can determine whether or not the software update of the storage device 612 of the first main ECU 61 is completed based on whether or not the notification has been received.
  • step S17 the execution unit 31 determines whether the software update of the storage device 612 of the first main ECU 61 has been completed. If the execution unit 31 determines that the software update has been completed (S17: YES), the process proceeds to step S19. On the other hand, if the execution unit 31 determines that the software update has not been completed (S17: NO), the execution unit 31 repeats the determination of step S17 until it determines that the update has been completed.
  • step S17 the execution device 31 determines that the software update of the storage device 612 is completed in any case, and shifts the process to step S19.
  • step S19 the execution device 31 determines whether the second main ECU 62 is an ECU to be updated. For example, if the second main ECU 62 is included in the ECUs indicated by the information stored in the storage device 33, that is, the information specifying the update target ECU, the second main ECU 62 is the update target ECU. regarded as. On the other hand, if the second main ECU 62 is not included in the ECUs indicated by the above information stored in the storage device 33, the second main ECU 62 is considered not to be an ECU to be updated.
  • the execution device 31 determines that the second main ECU 62 is the ECU to be updated (S19: YES)
  • the execution device 31 moves the process to step S21.
  • the execution device 31 determines that the second main ECU 62 is not the update target ECU (S19: NO)
  • step S21 the execution device 31 notifies the braking control device 60 via the global network 52 that it is permitted to update the software in the memory device 622 of the second main ECU 62.
  • step S23 the execution device 31 transmits the update software for the second main ECU 62 stored in the storage device 33 to the braking control device 60 via the global network 52.
  • the braking control device 60 transmits a notification that the software update has been completed to the information processing device 30 via the global network 52. Therefore, the execution device 31 can determine whether or not the software update of the storage device 622 of the second main ECU 62 has been completed based on whether or not the execution device 31 has received the notification.
  • step S25 the execution device 31 determines whether the software update of the storage device 622 of the second main ECU 62 is completed. When the execution device 31 determines that the software update has been completed (S25: YES), the execution device 31 ends this processing routine. On the other hand, if the execution device 31 determines that the software update has not been completed (S25: NO), it repeatedly executes the determination in step S25 until it determines that the update has been completed.
  • step S25 the execution device 31 determines that the software update of the storage device 622 is completed in any case, and ends this processing routine.
  • the information processing device 30 and the brake control device 60 function as a "vehicle control system" that updates software in the storage device of the main ECU of the brake control device 60.
  • FIG. 4(A) shows the flow of processing executed by the first main ECU 61.
  • FIG. 4(B) shows the flow of processing executed by the backup ECU 63.
  • step S41 the execution device 611 of the first main ECU 61 requests the backup ECU 63 to copy the software stored in the storage device 612 to the storage device 632 of the backup ECU 63.
  • the execution device 631 of the backup ECU 63 When the backup ECU 63 receives the request, the execution device 631 of the backup ECU 63 writes the software in the storage device 612 of the first main ECU 61 to the storage device 632 of the backup ECU 63 in step S51. When the writing of the software to the storage device 632 is completed, the execution device 631 can control the first actuator 11 by executing the software in the storage device 632. Then, when the execution device 631 completes writing the software to the storage device 632, the process moves to step S53. In step S53, the execution device 631 notifies the first main ECU 61 that writing of the software has been completed.
  • step S43 the execution device 611 grants control of the first actuator 11 to the backup ECU 63. That is, the execution device 611 allows the backup ECU 63 to operate the first actuator 11 when the backup ECU 63 can control the first actuator 11 .
  • step S43 corresponds to a "permission step".
  • step S55 the execution device 631 controls the first actuator 11. Specifically, the execution device 631 calculates the control amount of the first actuator 11 based on the output signal of the detection system 15, etc., and transmits the control amount to the output ECU 65.
  • the output ECU 65 outputs a command corresponding to the control amount to the first actuator 11.
  • the backup ECU 63 can operate the first actuator 11.
  • step S45 the execution device 611 updates the software in the storage device 612. That is, the execution device 611 stops controlling the first actuator 11 and then rewrites the software in the storage device 612 with the update software sent from the information processing device 30 . For example, the execution device 611 erases the unupdated software from the storage device 612, and then writes the update software into the storage device 612.
  • the process executed in step S43 and step S45 allows the backup ECU 63 to operate the first actuator 11, and then rewrites the software in the storage device 612 of the first main ECU 61 with update software. Corresponds to "update processing". Further, step S45 corresponds to an "update step”.
  • step S47 the execution device 611 executes a check process to determine whether the software in the storage device 612 has been updated normally. That is, the execution device 611 executes the check process after executing the update process. For example, the execution device 611 executes a verify check as the check process. Note that as long as it is possible to determine whether or not the software has been updated normally, a method other than the verify check may be employed as the check process. For example, a checksum may be used as the check process.
  • the execution device 611 moves the process to step S49.
  • step S49 the execution device 611 determines whether the software in the storage device 612 has been successfully updated based on the result of executing the check process.
  • the execution device 611 determines that the software has been updated normally (S49: YES)
  • the execution device 611 moves the process to step S413.
  • the execution device 611 determines that the software has not been updated normally (S49: NO)
  • the execution device 611 moves the process to step S411.
  • step S411 the execution device 611 executes a restoration process to rewrite the software in the storage device 612 to the software in the storage device 632 of the backup ECU 63. Specifically, the execution device 611 erases the software stored in the storage device 612 and then writes the software in the storage device 632 to the storage device 612. After executing the restoration process, the execution device 611 moves the process to step S413.
  • step S413 the execution device 611 requests the backup ECU 63 to return control of the first actuator 11. That is, if the execution device 611 is able to successfully update the software in the storage device 612, it requests the backup ECU 63 to return control on the condition that the software update is completed. Furthermore, if the execution device 611 is unable to update the software in the storage device 612 normally, it requests the backup ECU 63 to return control on the condition that the execution of the restoration process is completed.
  • the process of step S413 corresponds to "return process".
  • step S415 the execution device 611 resumes control of the first actuator 11 by executing the software in the storage device 612.
  • the execution device 631 of the backup ECU 63 is requested to return the control right of the first actuator 11, the execution device 631 shifts the process to step S57.
  • step S57 the execution device 631 stops controlling the first actuator 11. That is, the execution device 631 stops calculating the control amount of the first actuator 11 and stopping transmitting the control amount to the output ECU 65.
  • step S59 the execution device 631 executes a reset process to erase the software for controlling the first actuator 11 from the storage device 632.
  • the execution device 611 When this series of processes is executed, if the execution device 611 is able to successfully update the software in the storage device 612, it notifies the information processing device 30 via the output ECU 65 and the global network 52 that the software update has been completed. On the other hand, if the execution device 611 is unable to successfully update the software, it notifies the information processing device 30 via the output ECU 65 and the global network 52 that the software update has failed.
  • FIG. 5(A) shows the flow of processing executed by the second main ECU 62.
  • FIG. 5(B) shows the flow of processing executed by the backup ECU 63.
  • step S71 the execution device 621 of the second main ECU 62 requests the backup ECU 63 to copy the software stored in the storage device 622 to the storage device 632 of the backup ECU 63.
  • the execution device 631 of the backup ECU 63 When the backup ECU 63 receives the request, the execution device 631 of the backup ECU 63 writes the software in the storage device 622 of the second main ECU 62 to the storage device 632 of the backup ECU 63 in step S81.
  • the execution device 631 can control the second actuator 12 by executing the software in the storage device 632. Then, when the execution device 631 completes writing the software to the storage device 632, the process moves to step S83. In step S83, the execution device 631 notifies the second main ECU 62 that writing of the software has been completed.
  • step S73 the execution device 621 grants control of the second actuator 12 to the backup ECU 63. That is, the execution device 621 allows the backup ECU 63 to operate the second actuator 12 when the backup ECU 63 is capable of controlling the second actuator 12 .
  • step S73 corresponds to the "permission step".
  • step S85 the execution device 631 controls the second actuator 12. Specifically, the execution device 631 calculates the control amount for the second actuator 12 based on the output signal of the detection system 15 and the like, and transmits the control amount to the output ECU 65.
  • the output ECU 65 outputs a command corresponding to the control amount to the second actuator 12.
  • the backup ECU 63 can operate the second actuator 12.
  • step S75 the execution device 621 updates the software in the storage device 622. That is, the execution device 621 stops controlling the second actuator 12 and then rewrites the software in the storage device 622 with the update software transmitted from the information processing device 30.
  • the processes executed in steps S73 and S75 correspond to an "update process" in which the backup ECU 63 is permitted to operate the second actuator 12 and then the software in the storage device 622 of the second main ECU 62 is rewritten with the update software.
  • step S75 corresponds to an "update step".
  • step S77 the execution unit 621 executes a check process to determine whether or not the software in the storage device 622 has been normally updated, in the same manner as in step S47.
  • step S79 the process proceeds to step S79.
  • step S79 the execution device 621 determines whether the software in the storage device 622 has been updated normally, based on the result of executing the check process.
  • the execution device 621 determines that the software has been updated normally (S79: YES)
  • the process moves to step S713.
  • the execution device 621 determines that the software has not been updated normally (S79: NO)
  • the execution device 621 moves the process to step S711.
  • step S711 the execution device 621 executes a restoration process to rewrite the software in the storage device 622 to the software in the storage device 632 of the backup ECU 63, in the same manner as in step S411 above. After executing the restoration process, the execution device 621 transitions to step S713.
  • step S713 the execution device 621 requests the backup ECU 63 to return control of the second actuator 12. That is, if the execution device 621 is able to successfully update the software in the storage device 622, it requests the backup ECU 63 to return control on the condition that the software update is completed. Further, if the execution device 621 is unable to update the software in the storage device 612 normally, the execution device 621 requests the backup ECU 63 to return the control right on the condition that the execution of the restoration process is completed.
  • the process in step S713 corresponds to "return process".
  • step S715 the execution device 621 resumes control of the second actuator 12 by executing the software in the storage device 622.
  • the execution device 631 of the backup ECU 63 is requested to return control of the second actuator 12, the process moves to step S87.
  • step S87 the execution device 631 stops controlling the second actuator 12.
  • step S89 the execution device 631 executes a reset process to erase the software for controlling the second actuator 12 from the storage device 632.
  • the execution device 621 When such a series of processes is executed, if the software in the storage device 622 has been successfully updated, the execution device 621 notifies the user that the software update has been completed via the output ECU 65 and the global network 52 through information processing. The information is transmitted to the device 30. On the other hand, if the execution device 621 is unable to update the software normally, it sends a notification to the information processing device 30 via the output ECU 65 and the global network 52 that the software update has failed.
  • the first actuator 11 can be operated by the execution device 631 of the backup ECU 63 controlling the first actuator 11. That is, the brake control device 60 can adjust the braking force generated in the vehicle 10 by operating the first actuator 11 while updating the software in the storage device 612. Therefore, the brake control device 60 can update the software in the storage device 612 of the first main ECU 61 even when the first actuator 11 is operating.
  • the brake control device 60 can update the software in the storage device 622 of the second main ECU 62 even when the second actuator 12 is operating.
  • the execution device 611 of the first main ECU 61 executes a check process. Then, the execution device 611 executes a restoration process on the condition that it is determined that the software has been updated normally. In other words, if the software in the storage device 612 has been updated normally, the first actuator 11 can be operated by having the execution device 611 execute the updated software.
  • the execution device 611 writes the software in the storage device 632 of the backup ECU 63, that is, the software before the update, to the storage device 612, and then executes the recovery process. do.
  • the first main ECU 61 can operate the first actuator 11 by causing the execution device 611 to execute the software in the storage device 632. That is, even if the software update fails, it is possible to cause the first main ECU 61 to operate the first actuator 11.
  • the software in the storage device of the main ECU that is, the software before the update
  • the storage device 632 of the backup ECU 63 This allows the execution device 631 of the backup ECU 63 to control the actuator. That is, when the backup ECU 63 operates the actuator, the execution device 631 executes the software of the version immediately before the latest version. Therefore, during the software update, the actuator can be operated in the same way as before the software update.
  • the backup ECU 63 can function as a backup for the first main ECU 61 and can function as a backup for the second main ECU 62. Therefore, since there is no need to separately provide a backup ECU for the first main ECU 61 and a backup ECU for the second main ECU 62, it is possible to suppress an increase in the number of ECUs that constitute the brake control device 60.
  • Software for operating the first actuator 11 and software for operating the second actuator 12 may be stored in advance in the storage device 632 of the backup ECU 63. In this case, prior to updating the software in the storage device of the main ECU, the process of writing the software in the storage device into the storage device 632 of the backup ECU 63 can be omitted.
  • the restoration process is executed when it is determined by the check process that the software in the storage device of the main ECU has not been updated normally, but the present invention is not limited to this. For example, if it is determined through the check process that the software in the storage device of the main ECU has not been updated normally, update the software until it is determined that the software in the storage device has been updated normally. May be repeated.
  • control of the actuator is returned to the main ECU, the control is not limited thereto.
  • control of the actuator may be returned from the backup ECU 63 to the main ECU after adjustment of the braking force by actuating the actuator is completed.
  • the number of actuators controlled by the braking control device may be three or more.
  • the number of actuators is N, it is preferable that the braking control device is equipped with N main ECUs. Note that "N" is an integer of 3 or more.
  • the number of actuators controlled by the brake control device may be one. In this case, the number of main ECUs included in the brake control device is only one.
  • the brake control device may be configured to separately include a backup ECU for the first main ECU 61 and a backup ECU for the second main ECU 62.
  • the ECU is not limited to one that includes a CPU and a ROM and executes software processing. That is, the ECU may have any of the following configurations (a) to (c).
  • the ECU includes one or more processors that execute various processes according to computer programs.
  • the processor includes a CPU and memory such as RAM and ROM.
  • the memory stores program codes or instructions configured to cause the CPU to perform processes.
  • Memory, or computer-readable media includes any available media that can be accessed by a general purpose or special purpose computer.
  • the ECU includes one or more dedicated hardware circuits that execute various processes.
  • Dedicated hardware circuits may include, for example, application specific integrated circuits, ie ASICs or FPGAs. Note that ASIC is an abbreviation for "Application Specific Integrated Circuit,” and FPGA is an abbreviation for "Field Programmable Gate Array.”
  • the ECU includes a processor that executes some of the various processes according to a computer program, and a dedicated hardware circuit that executes the remaining of the various processes.
  • the expression “at least one” used in this specification means “one or more” of the desired options.
  • the expression “at least one” as used herein means “only one option” or “both of the two options” if the number of options is two.
  • the expression “at least one” as used herein means “only one option” or “any combination of two or more options” if there are three or more options. means.

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Hardware Redundancy (AREA)
  • Stored Programmes (AREA)

Abstract

A brake control device 60 comprises main ECUs 61, 62 and a backup ECU 63. If an execution device 631 of the backup ECU 63 is capable of controlling actuators 11, 12 by executing software in a memory device 632 of the backup ECU 63, permission is granted for the backup ECU 63 to operate the actuators 11, 12, and then execution devices 611, 621 of the main ECUs 61, 62 execute update processing to rewrite software in memory devices 612, 622 of the main ECUs 61, 62 with update software.

Description

制動制御装置及びソフトウェア更新方法Brake control device and software update method
 本発明は、車両に設けられる制動制御装置及びソフトウェア更新方法に関する。 The present invention relates to a brake control device installed in a vehicle and a software update method.
 特許文献1に開示されている制御装置は、複数の制御機器と、電子制御装置とを備えている。電子制御装置は、複数の制御機器を制御するためのソフトウェアを記憶する記憶部と、当該ソフトウェアを実行することによって複数の制御機器を制御するCPUと、外部から取得した更新用ソフトウェアが格納される格納部とを有している。当該制御装置では、複数の制御機器の何れもが停止している状態で、CPUが、記憶部のソフトウェアを、格納部に格納されている更新用ソフトウェアに書き換える更新処理を実行する。 The control device disclosed in Patent Document 1 includes a plurality of control devices and an electronic control device. The electronic control device stores a storage unit that stores software for controlling a plurality of control devices, a CPU that controls the plurality of control devices by executing the software, and update software acquired from the outside. It has a storage section. In the control device, while all of the plurality of control devices are stopped, the CPU executes an update process to rewrite the software in the storage unit with the update software stored in the storage unit.
特開2007-172200号公報Japanese Patent Application Publication No. 2007-172200
 上記の制御装置では、複数の制御機器の少なくとも1つが作動している場合、CPUは更新処理を実行できない。 In the above control device, when at least one of the plurality of control devices is operating, the CPU cannot execute the update process.
 上記課題を解決するための制動制御装置は、車両で制動力を発生させるべく作動するアクチュエータと、前記アクチュエータを制御するための更新用ソフトウェアを、前記車両の外部から無線通信を介して取得する情報処理装置と、を備える前記車両に設けられる制御装置である。同制動制御装置は、前記情報処理装置とは車内ネットワークを介して通信可能に構成されている。同制動制御装置は、前記アクチュエータを制御するメイン電子制御装置と、前記メイン電子制御装置と相互に通信可能なバックアップ電子制御装置と、を備えている。前記メイン電子制御装置は、ソフトウェアが記憶される記憶装置と、当該記憶装置のソフトウェアを実行することによって前記アクチュエータを制御する実行装置と、を有している。前記バックアップ電子制御装置は、ソフトウェアを記憶する記憶装置と、当該記憶装置のソフトウェアを実行する実行装置と、を有している。前記メイン電子制御装置の前記実行装置は、前記バックアップ電子制御装置の前記実行装置が当該バックアップ電子制御装置の前記記憶装置のソフトウェアを実行することによって前記アクチュエータを制御可能である場合に、前記バックアップ電子制御装置が前記アクチュエータを作動させることを許可した上で、前記メイン電子制御装置の前記記憶装置のソフトウェアを前記更新用ソフトウェアに書き換える更新処理を実行する。 The braking control device for solving the above problem is a control device provided on a vehicle, the control device including an actuator that operates to generate a braking force in the vehicle, and an information processing device that acquires update software for controlling the actuator from outside the vehicle via wireless communication. The braking control device is configured to be able to communicate with the information processing device via an in-vehicle network. The braking control device includes a main electronic control device that controls the actuator, and a backup electronic control device that can communicate with the main electronic control device. The main electronic control device has a storage device in which software is stored, and an execution device that controls the actuator by executing the software in the storage device. The backup electronic control device has a storage device that stores software, and an execution device that executes the software in the storage device. When the execution device of the backup electronic control device is able to control the actuator by executing the software in the storage device of the backup electronic control device, the execution device of the main electronic control device allows the backup electronic control device to operate the actuator, and then executes an update process to rewrite the software in the storage device of the main electronic control device to the update software.
 上記制動制御装置では、メイン電子制御装置の記憶装置のソフトウェアを更新用ソフトウェアに書き換える更新処理が実行されている状況下で、アクチュエータを作動させる必要が生じると、バックアップ電子制御装置がアクチュエータを作動させる。すなわち、上記制動制御装置は、メイン電子制御装置の記憶装置のソフトウェアを更新しつつも、アクチュエータを作動させることによって車両で発生する制動力を調整できる。したがって、上記制動制御装置は、アクチュエータが作動している場合であっても、メイン電子制御装置の記憶装置のソフトウェアを更新できる。 In the above-mentioned brake control device, when it becomes necessary to operate the actuator while an update process is being executed to rewrite the software in the storage device of the main electronic control device to update software, the backup electronic control device operates the actuator. . That is, the brake control device can adjust the braking force generated in the vehicle by operating the actuator while updating the software in the storage device of the main electronic control device. Therefore, the brake control device can update the software in the storage device of the main electronic control device even when the actuator is operating.
 上記課題を解決するためのソフトウェア更新方法は、アクチュエータを作動させることによって車両で発生する制動力を調整する制動制御装置を構成するメイン電子制御装置が備える記憶装置のソフトウェアを更新する方法である。前記制動制御装置は、前記メイン電子制御装置と相互に通信可能に構成されたバックアップ電子制御装置を備えるものである。同ソフトウェア更新方法は、前記車両に設けられた情報処理装置が、前記車両の外部のデータセンタから無線通信を介して更新用ソフトウェアを取得した状況下で、前記メイン電子制御装置が、前記バックアップ電子制御装置が前記アクチュエータを制御することを許可する許可ステップと、前記メイン電子制御装置が、自身の前記記憶装置のソフトウェアを前記更新用ソフトウェアに書き換える更新ステップと、を有する。 A software update method for solving the above problem is a method of updating software in a storage device included in a main electronic control device that constitutes a brake control device that adjusts the braking force generated in a vehicle by operating an actuator. The brake control device includes a backup electronic control device configured to be able to communicate with the main electronic control device. In the software update method, in a situation where an information processing device installed in the vehicle acquires update software from a data center external to the vehicle via wireless communication, the main electronic control device updates the backup electronic The method includes a permission step for allowing a control device to control the actuator, and an updating step for the main electronic control device to rewrite software in its own storage device to the update software.
 上記ソフトウェア更新方法では、車両の情報処理装置が、車両の外部のデータセンタから無線通信を介して更新用ソフトウェアを取得している状況下で、メイン電子制御装置の記憶装置のソフトウェアを更新する一連の処理が開始される。すなわち、メイン電子制御装置は、バックアップ電子制御装置がアクチュエータを制御することを許可する。その上で、メイン電子制御装置は、自身の記憶装置のソフトウェアを更新用ソフトウェアに書き換える。そのため、メイン電子制御装置の記憶装置のソフトウェアが更新されている最中であっても、バックアップ電子制御装置がアクチュエータを作動させることによって、車両で発生する制動力が調整される。したがって、アクチュエータが作動している場合であっても、メイン電子制御装置の記憶装置のソフトウェアを更新できる。 The software update method described above includes a series of steps for updating software in a storage device of a main electronic control unit in a situation where an information processing device of a vehicle is acquiring update software from a data center outside the vehicle via wireless communication. processing is started. That is, the main electronic control unit allows the backup electronic control unit to control the actuator. The main electronic control unit then rewrites the software in its own storage device to the update software. Therefore, even while the software in the storage device of the main electronic control device is being updated, the backup electronic control device operates the actuator to adjust the braking force generated in the vehicle. Therefore, even when the actuator is operating, the software in the storage device of the main electronic control unit can be updated.
図1は、実施形態の制動制御装置を備える車両と、車両の外部に設けられているデータセンタとを示す模式図である。FIG. 1 is a schematic diagram showing a vehicle equipped with a brake control device according to an embodiment and a data center provided outside the vehicle. 図2は、同制動制御装置の概略構成を示すブロック図である。FIG. 2 is a block diagram showing a schematic configuration of the brake control device. 図3は、同制動制御装置が備えるメイン電子制御装置の記憶装置のソフトウェアを更新させる際に情報処理装置で実行される処理ルーチンを示すフローチャートである。FIG. 3 is a flowchart showing a processing routine executed by the information processing device when updating the software in the storage device of the main electronic control device included in the brake control device. 図4において、(A)は、第1メイン電子制御装置の記憶装置のソフトウェアを更新する際に第1メイン電子制御装置で実行される処理の流れを示す図であり、(B)は、第1メイン電子制御装置の記憶装置のソフトウェアを更新する際にバックアップ電子制御装置で実行される処理の流れを示す図である。In FIG. 4, (A) is a diagram showing the flow of processing executed by the first main electronic control unit when updating the software of the storage device of the first main electronic control unit, and (B) is a diagram showing the flow of processing executed by the first main electronic control unit. FIG. 1 is a diagram showing the flow of processing executed by the backup electronic control device when updating the software of the storage device of the first main electronic control device. 図5において、(A)は、第2メイン電子制御装置の記憶装置のソフトウェアを更新する際に第2メイン電子制御装置で実行される処理の流れを示す図であり、(B)は、第2メイン電子制御装置の記憶装置のソフトウェアを更新する際にバックアップ電子制御装置で実行される処理の流れを示す図である。In FIG. 5, (A) is a diagram showing the flow of processing executed by the second main electronic control unit when updating the software of the storage device of the second main electronic control unit, and (B) is a diagram showing the flow of processing executed by the second main electronic control unit. FIG. 2 is a diagram showing the flow of processing executed by the backup electronic control device when updating the software of the storage device of the second main electronic control device.
 以下、制動制御装置及びソフトウェア更新方法の一実施形態を図1~図5に従って説明する。本明細書では、電子制御装置を「ECU」と記載する。「ECU」は「Electronic Control Unit」の略記である。 An embodiment of a brake control device and a software update method will be described below with reference to FIGS. 1 to 5. In this specification, the electronic control unit is referred to as "ECU". "ECU" is an abbreviation for "Electronic Control Unit."
 図1は、車両10と、車両10の外部に設けられているデータセンタ100とを図示している。
 <データセンタ>
 データセンタ100は、車外ネットワーク200を介して車両10と各種の情報の送受信ができるように構成されている。すなわち、データセンタ100は、無線通信によって車両10と各種情報の送受信を行う。 FIG. 1 illustrates a vehicle 10 and a data center 100 provided outside the vehicle 10 .
<Data Center>
The data center 100 is configured to be able to transmit and receive various types of information to and from the vehicle 10 via the external vehicle network 200. That is, the data center 100 transmits and receives various types of information to and from the vehicle 10 by wireless communication.
 詳しくは後述するが、車両10は複数のECUを備えている。複数のECUのうちの何れかのECUの記憶装置のソフトウェアを更新するための更新用ソフトウェアが用意できた場合、データセンタ100は、車外ネットワーク200を介して当該更新用ソフトウェアを車両10に送信する。なお、車載の複数のECUのうち、ソフトウェアを更新するECUを「更新対象ECU」という。 As will be described in detail later, the vehicle 10 includes a plurality of ECUs. When the update software for updating the software of the storage device of any one of the plurality of ECUs is prepared, the data center 100 transmits the update software to the vehicle 10 via the external network 200. . Note that among the plurality of ECUs installed in the vehicle, the ECU whose software is to be updated is referred to as an "update target ECU."
 <車両>
 車両10は、通信装置20と情報処理装置30とを備えている。通信装置20は、データセンタ100との情報を送受信するための車両側のインターフェースである。 <Vehicle>
The vehicle 10 includes a communication device 20 and an information processing device 30. The communication device 20 is a vehicle-side interface for transmitting and receiving information with the data center 100.
 図1及び図2に示すように、情報処理装置30は、ローカルネットワーク51を介して通信装置20と通信できるように構成されている。ローカルネットワーク51は、情報処理装置30と通信装置20との間のみで情報の送受信を行うためのネットワークである。 As shown in FIGS. 1 and 2, the information processing device 30 is configured to be able to communicate with the communication device 20 via the local network 51. The local network 51 is a network for transmitting and receiving information only between the information processing device 30 and the communication device 20.
 情報処理装置30は、実行装置31と、記憶装置32と、格納装置33とを備えている。例えば、実行装置31はCPUである。記憶装置32は、実行装置31によって実行されるソフトウェアを記憶している。格納装置33は、通信装置20からローカルネットワーク51を介して送信された情報を一時的に格納する。すなわち、データセンタ100が、更新対象ECUを特定する情報及び更新用ソフトウェアを車両10に送信すると、通信装置20が、データセンタ100が送信した情報を受信する。そして、通信装置20は、受信した情報を、ローカルネットワーク51を介して情報処理装置30に送信する。すると、情報処理装置30の実行装置31は、ローカルネットワーク51を介して受信した情報、すなわち更新対象ECUを特定する情報及び更新用ソフトウェアを格納装置33に記憶させる。 The information processing device 30 includes an execution device 31, a storage device 32, and a storage device 33. For example, the execution device 31 is a CPU. The storage device 32 stores software executed by the execution device 31. The storage device 33 temporarily stores information transmitted from the communication device 20 via the local network 51. That is, when the data center 100 transmits the information specifying the update target ECU and the update software to the vehicle 10, the communication device 20 receives the information transmitted by the data center 100. The communication device 20 then transmits the received information to the information processing device 30 via the local network 51. Then, the execution device 31 of the information processing device 30 causes the storage device 33 to store the information received via the local network 51, that is, the information specifying the update target ECU and the update software.
 車両10は、車両10で発生する制動力を調整する制動制御装置60を備えている。制動制御装置60は、複数のECUを備えている。また、車両10は、制動制御装置60を構成するECU以外の他のECU40も備えている。制動制御装置60及び他のECU40は、グローバルネットワーク52を介して情報処理装置30と通信可能に構成されている。グローバルネットワーク52が、情報処理装置30と制動制御装置60との間で情報の送受信を行わせる「車内ネットワーク」に対応する。例えば、グローバルネットワーク52はCANバスである。CANは「Controller Area Network」の略記である。 The vehicle 10 is equipped with a brake control device 60 that adjusts the braking force generated by the vehicle 10. The brake control device 60 includes a plurality of ECUs. The vehicle 10 also includes an ECU 40 other than the ECU that constitutes the brake control device 60. The brake control device 60 and other ECUs 40 are configured to be able to communicate with the information processing device 30 via the global network 52. The global network 52 corresponds to an "in-vehicle network" that allows information to be transmitted and received between the information processing device 30 and the brake control device 60. For example, global network 52 is a CAN bus. CAN is an abbreviation for "Controller Area Network."
 車両10は、制動制御装置60の制御対象であるアクチュエータを備えている。アクチュエータは、車両10で制動力を発生させるべく作動する。車両10は、アクチュエータとして、第1アクチュエータ11と第2アクチュエータ12とを備えている。 The vehicle 10 is equipped with actuators that are controlled by the braking control device 60. The actuators operate to generate braking force in the vehicle 10. The vehicle 10 is equipped with a first actuator 11 and a second actuator 12 as actuators.
 車両10は、車両10の走行状態を検出する検出系15を備えている。検出系15は、検出結果に応じた信号を制動制御装置60に出力する。検出系15は、複数のセンサ151を有している。複数のセンサは、例えば、車輪速センサ、加速度センサ及びヨーレートセンサを含んでいる。 The vehicle 10 is equipped with a detection system 15 that detects the running state of the vehicle 10. The detection system 15 outputs a signal according to the detection result to the brake control device 60. The detection system 15 includes a plurality of sensors 151. The plurality of sensors include, for example, a wheel speed sensor, an acceleration sensor, and a yaw rate sensor.
 <制動制御装置>
 図1及び図2に示すように、制動制御装置60は、アクチュエータを制御するメインECUを備えている。具体的には、制動制御装置60は、メインECUとして、第1メインECU61と第2メインECU62とを備えている。第1メインECU61は、第1アクチュエータ11を制御するためのECUであり、例えば第1アクチュエータ11の制御量を算出する。第2メインECU62は、第2アクチュエータ12を制御するためのECUであり、例えば第2アクチュエータ12の制御量を算出する。 <Brake control device>
As shown in FIGS. 1 and 2, the brake control device 60 includes a main ECU that controls actuators. Specifically, the brake control device 60 includes a first main ECU 61 and a second main ECU 62 as main ECUs. The first main ECU 61 is an ECU for controlling the first actuator 11, and calculates the control amount of the first actuator 11, for example. The second main ECU 62 is an ECU for controlling the second actuator 12, and calculates, for example, a control amount of the second actuator 12.
 制動制御装置60は、メインECUと相互に通信可能なバックアップECU63を備えている。バックアップECU63は、第1メインECU61と相互に通信可能であるとともに、第2メインECU62と相互に通信可能である。例えば、バックアップECU63は、ローカルネットワークを介して第1メインECU61と通信可能であり、ローカルネットワークを介して第2メインECU62と通信可能である。 The brake control device 60 includes a backup ECU 63 that can communicate with the main ECU. The backup ECU 63 can communicate with the first main ECU 61 and the second main ECU 62 . For example, the backup ECU 63 can communicate with the first main ECU 61 via the local network, and can communicate with the second main ECU 62 via the local network.
 制動制御装置60は、入力ECU64と出力ECU65とをさらに備えている。入力ECU64は、ローカルネットワークを介して第1メインECU61、第2メインECU62及びバックアップECU63と通信可能である。入力ECU64は、制動制御装置60の入力インターフェースとして機能する。例えば、入力ECU64には、検出系15から出力された信号が入力される。また例えば、入力ECU64には、情報処理装置30及び他のECU40がグローバルネットワーク52に送信した情報が入力される。そして、入力ECU64は、入力された情報を、第1メインECU61、第2メインECU62及びバックアップECU63に送信する。 The brake control device 60 further includes an input ECU 64 and an output ECU 65. The input ECU 64 can communicate with the first main ECU 61, the second main ECU 62, and the backup ECU 63 via a local network. The input ECU 64 functions as an input interface for the brake control device 60. For example, a signal output from the detection system 15 is input to the input ECU 64 . Further, for example, information transmitted to the global network 52 by the information processing device 30 and other ECUs 40 is input to the input ECU 64 . The input ECU 64 then transmits the input information to the first main ECU 61, the second main ECU 62, and the backup ECU 63.
 出力ECU65は、ローカルネットワークを介して第1メインECU61、第2メインECU62及びバックアップECU63と通信可能である。出力ECU65は、制動制御装置60の出力インターフェースとして機能する。例えば、出力ECU65は、第1メインECU61が算出した制御量に応じた指令信号を第1アクチュエータ11に出力する。これにより、第1アクチュエータ11が作動する。また例えば、出力ECU65は、第2メインECU62が算出した制御量に応じた指令信号を第2アクチュエータ12に出力する。これにより、第1アクチュエータ11が作動する。出力ECU65は、制動制御装置60が取得した情報、及び制動制御装置60が算出した情報をグローバルネットワーク52に送信する。 The output ECU 65 can communicate with the first main ECU 61, the second main ECU 62, and the backup ECU 63 via the local network. The output ECU 65 functions as an output interface for the brake control device 60. For example, the output ECU 65 outputs a command signal to the first actuator 11 according to the control amount calculated by the first main ECU 61. This causes the first actuator 11 to operate. For example, the output ECU 65 outputs a command signal to the second actuator 12 according to the control amount calculated by the second main ECU 62. This causes the first actuator 11 to operate. The output ECU 65 transmits the information acquired by the brake control device 60 and the information calculated by the brake control device 60 to the global network 52.
 制動制御装置60を構成する複数のECU61~65は、実行装置と記憶装置とをそれぞれ備えている。例えば、実行装置はCPUであり、記憶装置は不揮発性のメモリである。記憶装置には、実行装置によって実行されるソフトウェアが記憶される。 A plurality of ECUs 61 to 65 that constitute the brake control device 60 each include an execution device and a storage device. For example, the execution device is a CPU, and the storage device is nonvolatile memory. The storage device stores software that is executed by the execution device.
 詳しくは、入力ECU64は、実行装置641及び記憶装置642の他、格納装置643を備えている。例えば、格納装置643はRAMである。格納装置643には、入力ECU64に入力された情報が一時的に記憶される。 In more detail, the input ECU 64 includes an execution device 641, a storage device 642, and a storage device 643. For example, the storage device 643 is a RAM. The storage device 643 temporarily stores information input to the input ECU 64.
 第1メインECU61の記憶装置612には、第1アクチュエータ11を制御するためのソフトウェアが記憶される。第1メインECU61の実行装置611は、記憶装置612のソフトウェアを実行することにより、第1アクチュエータ11を制御する。本実施形態では、実行装置611は、第1アクチュエータ11の制御量を算出し、当該制御量を出力ECU65に送信することによって第1アクチュエータ11を制御する。 Software for controlling the first actuator 11 is stored in the storage device 612 of the first main ECU 61. The execution device 611 of the first main ECU 61 controls the first actuator 11 by executing software in the storage device 612. In this embodiment, the execution device 611 controls the first actuator 11 by calculating the control amount of the first actuator 11 and transmitting the control amount to the output ECU 65 .
 第2メインECU62の記憶装置622には、第2アクチュエータ12を制御するためのソフトウェアが記憶される。第2メインECU62の実行装置621は、記憶装置622のソフトウェアを実行することにより、第2アクチュエータ12を制御する。本実施形態では、実行装置621は、第2アクチュエータ12の制御量を算出し、当該制御量を出力ECU65に送信することによって第2アクチュエータ12を制御する。 Software for controlling the second actuator 12 is stored in the storage device 622 of the second main ECU 62. The execution device 621 of the second main ECU 62 controls the second actuator 12 by executing software in the storage device 622. In this embodiment, the execution device 621 controls the second actuator 12 by calculating the control amount of the second actuator 12 and transmitting the control amount to the output ECU 65 .
 バックアップECU63の記憶装置632には、実行装置631によって実行されるソフトウェアが記憶される。例えばバックアップECU63が第1アクチュエータ11を作動させる場合、第1アクチュエータ11を制御するためのソフトウェアが記憶装置632に記憶される。そして、実行装置631は、記憶装置632のソフトウェアを実行することによって第1アクチュエータ11を制御する。また例えばバックアップECU63が第2アクチュエータ12を作動させる場合、第2アクチュエータ12を制御するためのソフトウェアが記憶装置632に記憶される。そして、実行装置631は、記憶装置632のソフトウェアを実行することによって第2アクチュエータ12を制御する。 The storage device 632 of the backup ECU 63 stores software executed by the execution device 631. For example, when the backup ECU 63 operates the first actuator 11, software for controlling the first actuator 11 is stored in the storage device 632. The execution device 631 then controls the first actuator 11 by executing the software in the storage device 632. Further, for example, when the backup ECU 63 operates the second actuator 12, software for controlling the second actuator 12 is stored in the storage device 632. The execution device 631 then controls the second actuator 12 by executing the software in the storage device 632.
 出力ECU65の記憶装置652には、実行装置651によって実行されるソフトウェアが記憶されている。
 <更新準備処理>
 図3は、情報処理装置30の実行装置31が実行する更新準備処理を示す処理ルーチンを図示している。更新準備処理は、制動制御装置60のメインECUの記憶装置のソフトウェアを更新させるために実行装置31が実行する一連の処理である。メインECUのソフトウェアを更新することを車両10の所有者が許可している場合に、実行装置31は本処理ルーチンを実行する。 The storage device 652 of the output ECU 65 stores software to be executed by the execution device 651.
<Update preparation process>
FIG. 3 illustrates a processing routine showing update preparation processing executed by the execution device 31 of the information processing device 30. The update preparation process is a series of processes executed by the execution device 31 in order to update the software in the storage device of the main ECU of the brake control device 60. If the owner of the vehicle 10 allows updating the software of the main ECU, the execution device 31 executes this processing routine.
 ステップS11において、実行装置31は、第1メインECU61が更新対象ECUであるか否かを判定する。例えば、格納装置33に記憶されている情報、すなわち更新対象ECUを特定する情報によって示されるECUの中に、第1メインECU61が含まれている場合は、第1メインECU61が更新対象ECUであると見なす。一方、格納装置33に記憶されている上記情報によって示されるECUの中に、第1メインECU61は含まれていない場合は、第1メインECU61が更新対象ECUではないと見なす。実行装置31は、第1メインECU61が更新対象ECUであると判定した場合(S11:YES)、処理をステップS13に移行する。一方、実行装置31は、第1メインECU61が更新対象ECUではないと判定した場合(S11:NO)、処理をステップS19に移行する。 In step S11, the execution unit 31 determines whether the first main ECU 61 is an ECU to be updated. For example, if the first main ECU 61 is included among the ECUs indicated by the information stored in the storage unit 33, i.e., the information identifying the ECU to be updated, the execution unit 31 considers the first main ECU 61 to be an ECU to be updated. On the other hand, if the first main ECU 61 is not included among the ECUs indicated by the above information stored in the storage unit 33, the execution unit 31 considers the first main ECU 61 to be not an ECU to be updated. If the execution unit 31 determines that the first main ECU 61 is an ECU to be updated (S11: YES), the execution unit 31 shifts the process to step S13. On the other hand, if the execution unit 31 determines that the first main ECU 61 is not an ECU to be updated (S11: NO), the execution unit 31 shifts the process to step S19.
 ステップS13において、実行装置31は、第1メインECU61の記憶装置612のソフトウェアを更新することを許可する旨を、グローバルネットワーク52を介して制動制御装置60に通知する。次のステップS15において、実行装置31は、格納装置33に記憶されている第1メインECU61向けの更新用ソフトウェアを、グローバルネットワーク52を介して制動制御装置60に送信する。すると例えば、制動制御装置60では、入力ECU64の格納装置643に更新用ソフトウェアが格納される。 In step S13, the execution device 31 notifies the brake control device 60 via the global network 52 that updating the software in the storage device 612 of the first main ECU 61 is permitted. In the next step S15, the execution device 31 transmits the update software for the first main ECU 61 stored in the storage device 33 to the brake control device 60 via the global network 52. Then, for example, in the brake control device 60, the update software is stored in the storage device 643 of the input ECU 64.
 なお、第1メインECU61の記憶装置612のソフトウェアの更新が完了すると、制動制御装置60は、ソフトウェアの更新が完了した旨の通知を、グローバルネットワーク52を介して情報処理装置30に送信する。そのため、実行装置31は、当該通知を受信したか否かを基に、第1メインECU61の記憶装置612のソフトウェアの更新が完了したか否かを判定できる。 Note that when the software update of the storage device 612 of the first main ECU 61 is completed, the brake control device 60 transmits a notification to the information processing device 30 via the global network 52 that the software update has been completed. Therefore, the execution device 31 can determine whether or not the software update of the storage device 612 of the first main ECU 61 is completed based on whether or not the notification has been received.
 ステップS17において、実行装置31は、第1メインECU61の記憶装置612のソフトウェアの更新が完了したか否かを判定する。実行装置31は、ソフトウェアの更新が完了したと判定した場合(S17:YES)、処理をステップS19に移行する。一方、実行装置31は、ソフトウェアの更新が完了していないと判定した場合(S17:NO)、更新が完了したと判定するまでステップS17の判定を繰り返し実行する。 In step S17, the execution unit 31 determines whether the software update of the storage device 612 of the first main ECU 61 has been completed. If the execution unit 31 determines that the software update has been completed (S17: YES), the process proceeds to step S19. On the other hand, if the execution unit 31 determines that the software update has not been completed (S17: NO), the execution unit 31 repeats the determination of step S17 until it determines that the update has been completed.
 なお、記憶装置612のソフトウェアを正常に更新できる場合もあれば、記憶装置612のソフトウェアを正常に更新できない場合もある。ステップS17では、実行装置31は、何れの場合であっても記憶装置612のソフトウェアの更新が完了したと判定し、処理をステップS19に移行する。 Note that there are cases where the software on the storage device 612 can be updated normally, and there are cases where the software on the storage device 612 cannot be updated normally. In step S17, the execution device 31 determines that the software update of the storage device 612 is completed in any case, and shifts the process to step S19.
 ステップS19において、実行装置31は、第2メインECU62が更新対象ECUであるか否かを判定する。例えば、格納装置33に記憶されている情報、すなわち更新対象ECUを特定する情報によって示されるECUの中に、第2メインECU62が含まれている場合は、第2メインECU62が更新対象ECUであると見なす。一方、格納装置33に記憶されている上記の情報によって示されるECUの中に、第2メインECU62が含まれていない場合は、第2メインECU62は更新対象ECUではないと見なす。実行装置31は、第2メインECU62が更新対象ECUであると判定した場合(S19:YES)、処理をステップS21に移行する。一方、実行装置31は、第2メインECU62が更新対象ECUではないと判定した場合(S19:NO)、本処理ルーチンを終了する。 In step S19, the execution device 31 determines whether the second main ECU 62 is an ECU to be updated. For example, if the second main ECU 62 is included in the ECUs indicated by the information stored in the storage device 33, that is, the information specifying the update target ECU, the second main ECU 62 is the update target ECU. regarded as. On the other hand, if the second main ECU 62 is not included in the ECUs indicated by the above information stored in the storage device 33, the second main ECU 62 is considered not to be an ECU to be updated. When the execution device 31 determines that the second main ECU 62 is the ECU to be updated (S19: YES), the execution device 31 moves the process to step S21. On the other hand, if the execution device 31 determines that the second main ECU 62 is not the update target ECU (S19: NO), it ends this processing routine.
 ステップS21において、実行装置31は、第2メインECU62の記憶装置622のソフトウェアを更新することを許可する旨を、グローバルネットワーク52を介して制動制御装置60に通知する。次のステップS23において、実行装置31は、格納装置33に記憶されている第2メインECU62向けの更新用ソフトウェアを、グローバルネットワーク52を介して制動制御装置60に送信する。 In step S21, the execution device 31 notifies the braking control device 60 via the global network 52 that it is permitted to update the software in the memory device 622 of the second main ECU 62. In the next step S23, the execution device 31 transmits the update software for the second main ECU 62 stored in the storage device 33 to the braking control device 60 via the global network 52.
 なお、第2メインECU62の記憶装置622のソフトウェアの更新が完了すると、制動制御装置60は、ソフトウェアの更新が完了した旨の通知を、グローバルネットワーク52を介して情報処理装置30に送信する。そのため、実行装置31は、当該通知を受信したか否かを基に、第2メインECU62の記憶装置622のソフトウェアの更新が完了したか否かを判定できる。 When the software update of the storage device 622 of the second main ECU 62 is completed, the braking control device 60 transmits a notification that the software update has been completed to the information processing device 30 via the global network 52. Therefore, the execution device 31 can determine whether or not the software update of the storage device 622 of the second main ECU 62 has been completed based on whether or not the execution device 31 has received the notification.
 ステップS25において、実行装置31は、第2メインECU62の記憶装置622のソフトウェアの更新が完了したか否かを判定する。実行装置31は、ソフトウェアの更新が完了したと判定した場合(S25:YES)、本処理ルーチンを終了する。一方、実行装置31は、ソフトウェアの更新が完了していないと判定した場合(S25:NO)、更新が完了したと判定するまでステップS25の判定を繰り返し実行する。 In step S25, the execution device 31 determines whether the software update of the storage device 622 of the second main ECU 62 is completed. When the execution device 31 determines that the software update has been completed (S25: YES), the execution device 31 ends this processing routine. On the other hand, if the execution device 31 determines that the software update has not been completed (S25: NO), it repeatedly executes the determination in step S25 until it determines that the update has been completed.
 なお、記憶装置622のソフトウェアを正常に更新できる場合もあれば、記憶装置622のソフトウェアを正常に更新できない場合もある。ステップS25では、実行装置31は、何れの場合であっても記憶装置622のソフトウェアの更新が完了したと判定し、本処理ルーチンを終了する。 Note that there are cases where the software on the storage device 622 can be updated normally, and there are cases where the software on the storage device 622 cannot be updated normally. In step S25, the execution device 31 determines that the software update of the storage device 622 is completed in any case, and ends this processing routine.
 制動制御装置60を備える車両10において、情報処理装置30及び制動制御装置60が、制動制御装置60のメインECUの記憶装置のソフトウェアを更新する「車両制御システム」として機能する。 In the vehicle 10 equipped with the brake control device 60, the information processing device 30 and the brake control device 60 function as a "vehicle control system" that updates software in the storage device of the main ECU of the brake control device 60.
 <第1メインECUの記憶装置のソフトウェアを更新するソフトウェア更新方法>
 図4を参照し、第1メインECU61の記憶装置612のソフトウェアを更新する際の処理の流れを説明する。図4(A)は、第1メインECU61で実行される処理の流れを示している。図4(B)は、バックアップECU63で実行される処理の流れを示している。 <Software update method for updating the software of the storage device of the first main ECU>
With reference to FIG. 4, the flow of processing when updating the software in the storage device 612 of the first main ECU 61 will be described. FIG. 4(A) shows the flow of processing executed by the first main ECU 61. FIG. 4(B) shows the flow of processing executed by the backup ECU 63.
 ステップS41において、第1メインECU61の実行装置611は、記憶装置612に記憶されているソフトウェアを、バックアップECU63の記憶装置632にコピーすることをバックアップECU63に要求する。 In step S41, the execution device 611 of the first main ECU 61 requests the backup ECU 63 to copy the software stored in the storage device 612 to the storage device 632 of the backup ECU 63.
 当該要求をバックアップECU63が受信すると、ステップS51において、バックアップECU63の実行装置631は、第1メインECU61の記憶装置612のソフトウェアを、バックアップECU63の記憶装置632に書き込む。記憶装置632へのソフトウェアの書き込みが完了すると、実行装置631は、記憶装置632のソフトウェアを実行することによって第1アクチュエータ11を制御することが可能となる。そして、実行装置631は、記憶装置632へのソフトウェアの書き込みを完了させると、処理をステップS53に移行する。ステップS53において、実行装置631は、ソフトウェアの書き込みが完了した旨を第1メインECU61に通知する。 When the backup ECU 63 receives the request, the execution device 631 of the backup ECU 63 writes the software in the storage device 612 of the first main ECU 61 to the storage device 632 of the backup ECU 63 in step S51. When the writing of the software to the storage device 632 is completed, the execution device 631 can control the first actuator 11 by executing the software in the storage device 632. Then, when the execution device 631 completes writing the software to the storage device 632, the process moves to step S53. In step S53, the execution device 631 notifies the first main ECU 61 that writing of the software has been completed.
 上記の通知を第1メインECU61が受信すると、第1メインECU61の実行装置611は処理をステップS43に移行する。ステップS43において、実行装置611は、第1アクチュエータ11の制御権をバックアップECU63に付与する。すなわち、実行装置611は、バックアップECU63が第1アクチュエータ11を制御可能である場合に、バックアップECU63が第1アクチュエータ11を作動させることを許可する。本実施形態では、ステップS43が「許可ステップ」に対応する。 When the first main ECU 61 receives the above notification, the execution device 611 of the first main ECU 61 moves the process to step S43. In step S43, the execution device 611 grants control of the first actuator 11 to the backup ECU 63. That is, the execution device 611 allows the backup ECU 63 to operate the first actuator 11 when the backup ECU 63 can control the first actuator 11 . In this embodiment, step S43 corresponds to a "permission step".
 バックアップECU63の実行装置631は、第1アクチュエータ11の制御権を付与されると、処理をステップS55に移行する。ステップS55において、実行装置631は、第1アクチュエータ11を制御する。具体的には、実行装置631は、検出系15の出力信号などを基に第1アクチュエータ11の制御量を算出し、当該制御量を出力ECU65に送信する。 When the execution device 631 of the backup ECU 63 is given the right to control the first actuator 11, the execution device 631 moves the process to step S55. In step S55, the execution device 631 controls the first actuator 11. Specifically, the execution device 631 calculates the control amount of the first actuator 11 based on the output signal of the detection system 15, etc., and transmits the control amount to the output ECU 65.
 この場合、出力ECU65は、バックアップECU63から第1アクチュエータ11の制御量を受信すると、当該制御量に応じた指令を第1アクチュエータ11に出力する。これにより、バックアップECU63は、第1アクチュエータ11を作動させることができる。 In this case, upon receiving the control amount of the first actuator 11 from the backup ECU 63, the output ECU 65 outputs a command corresponding to the control amount to the first actuator 11. Thereby, the backup ECU 63 can operate the first actuator 11.
 一方、第1メインECU61の実行装置611は、第1アクチュエータ11の制御権をバックアップECU63に付与すると、処理をステップS45に移行する。ステップS45において、実行装置611は、記憶装置612のソフトウェアを更新する。すなわち、実行装置611は、自身が第1アクチュエータ11を制御することを停止した上で、記憶装置612のソフトウェアを、情報処理装置30から送信された更新用ソフトウェアに書き換える。例えば、実行装置611は、記憶装置612から更新前のソフトウェアを消去し、その上で更新用ソフトウェアを記憶装置612に書き込む。本実施形態では、ステップS43及びステップS45で実行される処理が、バックアップECU63が第1アクチュエータ11を作動させることを許可した上で、第1メインECU61の記憶装置612のソフトウェアを更新用ソフトウェアに書き換える「更新処理」に対応する。また、ステップS45が「更新ステップ」に対応する。 On the other hand, when the execution device 611 of the first main ECU 61 grants control of the first actuator 11 to the backup ECU 63, the process proceeds to step S45. In step S45, the execution device 611 updates the software in the storage device 612. That is, the execution device 611 stops controlling the first actuator 11 and then rewrites the software in the storage device 612 with the update software sent from the information processing device 30 . For example, the execution device 611 erases the unupdated software from the storage device 612, and then writes the update software into the storage device 612. In this embodiment, the process executed in step S43 and step S45 allows the backup ECU 63 to operate the first actuator 11, and then rewrites the software in the storage device 612 of the first main ECU 61 with update software. Corresponds to "update processing". Further, step S45 corresponds to an "update step".
 実行装置611は、記憶装置612のソフトウェアの更新を完了させると、処理をステップS47に移行する。
 ステップS47において、実行装置611は、記憶装置612のソフトウェアが正常に更新されたか否かを判定するチェック処理を実行する。すなわち、実行装置611は、更新処理の実行後にチェック処理を実行する。例えば、実行装置611は、チェック処理として、ベリファイチェックを実行する。なお、ソフトウェアが正常に更新されたか否かを判定できるのであれば、ベリファイチェック以外の手法をチェック処理として採用してもよい。例えば、チェック処理として、チェックサムを採用してもよい。実行装置611は、チェック処理を終了すると、処理をステップS49に移行する。 When the execution device 611 completes updating the software in the storage device 612, the execution device 611 moves the process to step S47.
In step S47, the execution device 611 executes a check process to determine whether the software in the storage device 612 has been updated normally. That is, the execution device 611 executes the check process after executing the update process. For example, the execution device 611 executes a verify check as the check process. Note that as long as it is possible to determine whether or not the software has been updated normally, a method other than the verify check may be employed as the check process. For example, a checksum may be used as the check process. When the execution device 611 completes the check process, the execution device 611 moves the process to step S49.
 ステップS49において、実行装置611は、チェック処理を実行した結果を基に、記憶装置612のソフトウェアが正常に更新されたか否かを判定する。実行装置611は、ソフトウェアが正常に更新されたと判定した場合(S49:YES)、処理をステップS413に移行する。一方、実行装置611は、ソフトウェアが正常に更新されていないと判定した場合(S49:NO)、処理をステップS411に移行する。 In step S49, the execution device 611 determines whether the software in the storage device 612 has been successfully updated based on the result of executing the check process. When the execution device 611 determines that the software has been updated normally (S49: YES), the execution device 611 moves the process to step S413. On the other hand, if the execution device 611 determines that the software has not been updated normally (S49: NO), the execution device 611 moves the process to step S411.
 ステップS411において、実行装置611は、記憶装置612のソフトウェアを、バックアップECU63の記憶装置632のソフトウェアに書き換える復元処理を実行する。具体的には、実行装置611は、記憶装置612に記憶されたソフトウェアを消去し、その上で記憶装置632のソフトウェアを記憶装置612に書き込む。実行装置611は、復元処理を実行すると、処理をステップS413に移行する。 In step S411, the execution device 611 executes a restoration process to rewrite the software in the storage device 612 to the software in the storage device 632 of the backup ECU 63. Specifically, the execution device 611 erases the software stored in the storage device 612 and then writes the software in the storage device 632 to the storage device 612. After executing the restoration process, the execution device 611 moves the process to step S413.
 ステップS413において、実行装置611は、第1アクチュエータ11の制御権の返却をバックアップECU63に要求する。すなわち、実行装置611は、記憶装置612のソフトウェアを正常に更新できた場合には、ソフトウェアの更新が完了したことを条件に制御権の返却をバックアップECU63に要求する。また、実行装置611は、記憶装置612のソフトウェアを正常に更新できなかった場合には、復元処理の実行が完了したことを条件に制御権の返却をバックアップECU63に要求する。本実施形態では、ステップS413の処理が「復帰処理」に対応する。 In step S413, the execution device 611 requests the backup ECU 63 to return control of the first actuator 11. That is, if the execution device 611 is able to successfully update the software in the storage device 612, it requests the backup ECU 63 to return control on the condition that the software update is completed. Furthermore, if the execution device 611 is unable to update the software in the storage device 612 normally, it requests the backup ECU 63 to return control on the condition that the execution of the restoration process is completed. In this embodiment, the process of step S413 corresponds to "return process".
 次のステップS415において、実行装置611は、記憶装置612のソフトウェアを実行することにより、第1アクチュエータ11の制御を再開する。
 一方、バックアップECU63の実行装置631は、第1アクチュエータ11の制御権の返却を要求されると、処理をステップS57に移行する。ステップS57において、実行装置631は、第1アクチュエータ11の制御を停止する。すなわち、実行装置631は、第1アクチュエータ11の制御量の算出、及び当該制御量の出力ECU65への送信を停止する。次のステップS59において、実行装置631は、第1アクチュエータ11を制御するためのソフトウェアを記憶装置632から消去するリセット処理を実行する。 In the next step S415, the execution device 611 resumes control of the first actuator 11 by executing the software in the storage device 612.
On the other hand, when the execution device 631 of the backup ECU 63 is requested to return the control right of the first actuator 11, the execution device 631 shifts the process to step S57. In step S57, the execution device 631 stops controlling the first actuator 11. That is, the execution device 631 stops calculating the control amount of the first actuator 11 and stopping transmitting the control amount to the output ECU 65. In the next step S59, the execution device 631 executes a reset process to erase the software for controlling the first actuator 11 from the storage device 632.
 こうした一連の処理が実行されると、実行装置611は、記憶装置612のソフトウェアを正常に更新できた場合には、ソフトウェアの更新が完了した旨を、出力ECU65及びグローバルネットワーク52を介して情報処理装置30に通知する。一方、実行装置611は、ソフトウェアを正常に更新できなかった場合には、ソフトウェアの更新が失敗した旨を、出力ECU65及びグローバルネットワーク52を介して情報処理装置30に通知する。 When this series of processes is executed, if the execution device 611 is able to successfully update the software in the storage device 612, it notifies the information processing device 30 via the output ECU 65 and the global network 52 that the software update has been completed. On the other hand, if the execution device 611 is unable to successfully update the software, it notifies the information processing device 30 via the output ECU 65 and the global network 52 that the software update has failed.
 <第2メインECUの記憶装置のソフトウェアを更新するソフトウェア更新方法>
 図5を参照し、第2メインECU62の記憶装置622のソフトウェアを更新する際の処理の流れを説明する。図5(A)は、第2メインECU62で実行される処理の流れを示している。図5(B)は、バックアップECU63で実行される処理の流れを示している。 <Software update method for updating the software of the storage device of the second main ECU>
With reference to FIG. 5, the flow of processing when updating the software in the storage device 622 of the second main ECU 62 will be described. FIG. 5(A) shows the flow of processing executed by the second main ECU 62. FIG. 5(B) shows the flow of processing executed by the backup ECU 63.
 ステップS71において、第2メインECU62の実行装置621は、記憶装置622に記憶されているソフトウェアを、バックアップECU63の記憶装置632にコピーすることをバックアップECU63に要求する。 In step S71, the execution device 621 of the second main ECU 62 requests the backup ECU 63 to copy the software stored in the storage device 622 to the storage device 632 of the backup ECU 63.
 当該要求をバックアップECU63が受信すると、ステップS81において、バックアップECU63の実行装置631は、第2メインECU62の記憶装置622のソフトウェアを、バックアップECU63の記憶装置632に書き込む。記憶装置632へのソフトウェアの書き込みが完了すると、実行装置631は、記憶装置632のソフトウェアを実行することによって第2アクチュエータ12を制御することが可能となる。そして、実行装置631は、記憶装置632へのソフトウェアの書き込みを完了させると、処理をステップS83に移行する。ステップS83において、実行装置631は、ソフトウェアの書き込みが完了した旨を第2メインECU62に通知する。 When the backup ECU 63 receives the request, the execution device 631 of the backup ECU 63 writes the software in the storage device 622 of the second main ECU 62 to the storage device 632 of the backup ECU 63 in step S81. When the writing of the software to the storage device 632 is completed, the execution device 631 can control the second actuator 12 by executing the software in the storage device 632. Then, when the execution device 631 completes writing the software to the storage device 632, the process moves to step S83. In step S83, the execution device 631 notifies the second main ECU 62 that writing of the software has been completed.
 上記の通知を第2メインECU62が受信すると、第2メインECU62の実行装置621は処理をステップS73に移行する。ステップS73において、実行装置621は、第2アクチュエータ12の制御権をバックアップECU63に付与する。すなわち、実行装置621は、バックアップECU63が第2アクチュエータ12を制御可能である場合に、バックアップECU63が第2アクチュエータ12を作動させることを許可する。本実施形態では、ステップS73が「許可ステップ」に対応する。 When the second main ECU 62 receives the above notification, the execution device 621 of the second main ECU 62 moves the process to step S73. In step S73, the execution device 621 grants control of the second actuator 12 to the backup ECU 63. That is, the execution device 621 allows the backup ECU 63 to operate the second actuator 12 when the backup ECU 63 is capable of controlling the second actuator 12 . In this embodiment, step S73 corresponds to the "permission step".
 バックアップECU63の実行装置631は、第2アクチュエータ12の制御権を付与されると、処理をステップS85に移行する。ステップS85において、実行装置631は、第2アクチュエータ12を制御する。具体的には、実行装置631は、検出系15の出力信号などを基に第2アクチュエータ12の制御量を算出し、当該制御量を出力ECU65に送信する。 When the execution device 631 of the backup ECU 63 is granted control of the second actuator 12, the process proceeds to step S85. In step S85, the execution device 631 controls the second actuator 12. Specifically, the execution device 631 calculates the control amount for the second actuator 12 based on the output signal of the detection system 15 and the like, and transmits the control amount to the output ECU 65.
 この場合、出力ECU65は、バックアップECU63から第2アクチュエータ12の制御量を受信すると、当該制御量に応じた指令を第2アクチュエータ12に出力する。これにより、バックアップECU63は、第2アクチュエータ12を作動させることができる。 In this case, upon receiving the control amount of the second actuator 12 from the backup ECU 63, the output ECU 65 outputs a command corresponding to the control amount to the second actuator 12. Thereby, the backup ECU 63 can operate the second actuator 12.
 一方、第2メインECU62の実行装置621は、第2アクチュエータ12の制御権をバックアップECU63に付与すると、処理をステップS75に移行する。ステップS75において、実行装置621は、記憶装置622のソフトウェアを更新する。すなわち、実行装置621は、自身が第2アクチュエータ12を制御することを停止した上で、記憶装置622のソフトウェアを、情報処理装置30から送信された更新用ソフトウェアに書き換える。本実施形態では、ステップS73及びステップS75で実行される処理が、バックアップECU63が第2アクチュエータ12を作動させることを許可した上で、第2メインECU62の記憶装置622のソフトウェアを更新用ソフトウェアに書き換える「更新処理」に対応する。また、ステップS75が「更新ステップ」に対応する。 On the other hand, when the execution device 621 of the second main ECU 62 grants control of the second actuator 12 to the backup ECU 63, the process proceeds to step S75. In step S75, the execution device 621 updates the software in the storage device 622. That is, the execution device 621 stops controlling the second actuator 12 and then rewrites the software in the storage device 622 with the update software transmitted from the information processing device 30. In this embodiment, the processes executed in steps S73 and S75 correspond to an "update process" in which the backup ECU 63 is permitted to operate the second actuator 12 and then the software in the storage device 622 of the second main ECU 62 is rewritten with the update software. Also, step S75 corresponds to an "update step".
 実行装置621は、記憶装置622のソフトウェアの更新を完了させると、処理をステップS77に移行する。
 ステップS77において、実行装置621は、上記ステップS47と同様の手法で、記憶装置622のソフトウェアが正常に更新されたか否かを判定するチェック処理を実行する。実行装置621は、チェック処理を終了すると、処理をステップS79に移行する。 When the execution device 621 completes the software update of the storage device 622, the process proceeds to step S77.
In step S77, the execution unit 621 executes a check process to determine whether or not the software in the storage device 622 has been normally updated, in the same manner as in step S47. When the execution unit 621 ends the check process, the process proceeds to step S79.
 ステップS79において、実行装置621は、チェック処理を実行した結果を基に、記憶装置622のソフトウェアが正常に更新されたか否かを判定する。実行装置621は、ソフトウェアが正常に更新されたと判定した場合(S79:YES)、処理をステップS713に移行する。一方、実行装置621は、ソフトウェアが正常に更新されていないと判定した場合(S79:NO)、処理をステップS711に移行する。 In step S79, the execution device 621 determines whether the software in the storage device 622 has been updated normally, based on the result of executing the check process. When the execution device 621 determines that the software has been updated normally (S79: YES), the process moves to step S713. On the other hand, if the execution device 621 determines that the software has not been updated normally (S79: NO), the execution device 621 moves the process to step S711.
 ステップS711において、実行装置621は、上記ステップS411と同様の手法で、記憶装置622のソフトウェアを、バックアップECU63の記憶装置632のソフトウェアに書き換える復元処理を実行する。実行装置621は、復元処理を実行すると、処理をステップS713に移行する。 In step S711, the execution device 621 executes a restoration process to rewrite the software in the storage device 622 to the software in the storage device 632 of the backup ECU 63, in the same manner as in step S411 above. After executing the restoration process, the execution device 621 transitions to step S713.
 ステップS713において、実行装置621は、第2アクチュエータ12の制御権の返却をバックアップECU63に要求する。すなわち、実行装置621は、記憶装置622のソフトウェアを正常に更新できた場合には、ソフトウェアの更新が完了したことを条件に制御権の返却をバックアップECU63に要求する。また、実行装置621は、記憶装置612のソフトウェアを正常に更新できなかった場合には、復元処理の実行が完了したことを条件に制御権の返却をバックアップECU63に要求する。本実施形態では、ステップS713の処理が「復帰処理」に対応する。 In step S713, the execution device 621 requests the backup ECU 63 to return control of the second actuator 12. That is, if the execution device 621 is able to successfully update the software in the storage device 622, it requests the backup ECU 63 to return control on the condition that the software update is completed. Further, if the execution device 621 is unable to update the software in the storage device 612 normally, the execution device 621 requests the backup ECU 63 to return the control right on the condition that the execution of the restoration process is completed. In this embodiment, the process in step S713 corresponds to "return process".
 次のステップS715において、実行装置621は、記憶装置622のソフトウェアを実行することにより、第2アクチュエータ12の制御を再開する。
 一方、バックアップECU63の実行装置631は、第2アクチュエータ12の制御権の返却を要求されると、処理をステップS87に移行する。ステップS87において、実行装置631は、第2アクチュエータ12の制御を停止する。次のステップS89において、実行装置631は、第2アクチュエータ12を制御するためのソフトウェアを記憶装置632から消去するリセット処理を実行する。 In the next step S715, the execution device 621 resumes control of the second actuator 12 by executing the software in the storage device 622.
On the other hand, when the execution device 631 of the backup ECU 63 is requested to return control of the second actuator 12, the process moves to step S87. In step S87, the execution device 631 stops controlling the second actuator 12. In the next step S89, the execution device 631 executes a reset process to erase the software for controlling the second actuator 12 from the storage device 632.
 こうした一連の処理が実行されると、実行装置621は、記憶装置622のソフトウェアを正常に更新できた場合には、ソフトウェアの更新が完了した旨を、出力ECU65及びグローバルネットワーク52を介して情報処理装置30に送信する。一方、実行装置621は、ソフトウェアを正常に更新できなかった場合には、ソフトウェアの更新が失敗した旨を、出力ECU65及びグローバルネットワーク52を介して情報処理装置30に送信する。 When such a series of processes is executed, if the software in the storage device 622 has been successfully updated, the execution device 621 notifies the user that the software update has been completed via the output ECU 65 and the global network 52 through information processing. The information is transmitted to the device 30. On the other hand, if the execution device 621 is unable to update the software normally, it sends a notification to the information processing device 30 via the output ECU 65 and the global network 52 that the software update has failed.
 <本実施形態の作用及び効果>
 (1)第1メインECU61の記憶装置612のソフトウェアを更新する場合、情報処理装置30の格納装置33に格納されている更新用ソフトウェアが、制動制御装置60の入力ECU64の格納装置33に一時的に格納される。続いて、第1メインECU61の記憶装置612に記憶されているソフトウェア、すなわち更新前のソフトウェアが、バックアップECU63の記憶装置632に書き込まれる。これにより、バックアップECU63が、第1アクチュエータ11を作動させることが可能となる。そして、第1メインECU61の実行装置611が、第1アクチュエータ11をバックアップECU63が作動させることを許可すると、実行装置611が、記憶装置612のソフトウェアを更新用ソフトウェアに更新する。 <Actions and Effects of the Present Embodiment>
(1) When updating the software in the storage device 612 of the first main ECU 61, the update software stored in the storage device 33 of the information processing device 30 is temporarily stored in the storage device 33 of the input ECU 64 of the braking control device 60. Then, the software stored in the storage device 612 of the first main ECU 61, i.e., the software before the update, is written to the storage device 632 of the backup ECU 63. This enables the backup ECU 63 to operate the first actuator 11. Then, when the execution device 611 of the first main ECU 61 allows the backup ECU 63 to operate the first actuator 11, the execution device 611 updates the software in the storage device 612 to the update software.
 ここで、記憶装置612のソフトウェアを更新している最中で、第1アクチュエータ11を作動させる必要が生じることがある。この場合、バックアップECU63の実行装置631が第1アクチュエータ11を制御することにより、第1アクチュエータ11を作動させることができる。すなわち、制動制御装置60は、記憶装置612のソフトウェアを更新しつつも、第1アクチュエータ11を作動させることによって車両10で発生する制動力を調整できる。したがって、制動制御装置60は、第1アクチュエータ11が作動している場合であっても、第1メインECU61の記憶装置612のソフトウェアを更新できる。 Here, while the software in the storage device 612 is being updated, it may be necessary to operate the first actuator 11. In this case, the first actuator 11 can be operated by the execution device 631 of the backup ECU 63 controlling the first actuator 11. That is, the brake control device 60 can adjust the braking force generated in the vehicle 10 by operating the first actuator 11 while updating the software in the storage device 612. Therefore, the brake control device 60 can update the software in the storage device 612 of the first main ECU 61 even when the first actuator 11 is operating.
 なお、第2メインECU62の記憶装置622のソフトウェアを更新する場合の処理の流れは、第1メインECU61の記憶装置612のソフトウェアを更新する場合と同様である。したがって、制動制御装置60は、第2アクチュエータ12が作動している場合であっても、第2メインECU62の記憶装置622のソフトウェアを更新できる。 Note that the process flow when updating the software on the storage device 622 of the second main ECU 62 is the same as when updating the software on the storage device 612 of the first main ECU 61. Therefore, the brake control device 60 can update the software in the storage device 622 of the second main ECU 62 even when the second actuator 12 is operating.
 (2)第1メインECU61の実行装置611は、記憶装置612のソフトウェアを更新した後に、チェック処理を実行する。そして、実行装置611は、ソフトウェアが正常に更新されたと判定したことを条件に復帰処理を実行する。すなわち、記憶装置612のソフトウェアが正常に更新された場合には、更新後のソフトウェアを実行装置611に実行させることにより、第1アクチュエータ11を作動させることができる。 (2) After updating the software in the storage device 612, the execution device 611 of the first main ECU 61 executes a check process. Then, the execution device 611 executes a restoration process on the condition that it is determined that the software has been updated normally. In other words, if the software in the storage device 612 has been updated normally, the first actuator 11 can be operated by having the execution device 611 execute the updated software.
 一方、実行装置611は、ソフトウェアが正常に更新されていないと判定された場合には、バックアップECU63の記憶装置632のソフトウェア、すなわち更新前のソフトウェアを記憶装置612に書き込んだ上で復帰処理を実行する。これにより、第1メインECU61は、記憶装置632のソフトウェアを実行装置611に実行させることにより、第1アクチュエータ11を作動させることができる。すなわち、ソフトウェアの更新が失敗した場合でも、第1メインECU61に第1アクチュエータ11を作動させることができる。 On the other hand, if it is determined that the software has not been updated normally, the execution device 611 writes the software in the storage device 632 of the backup ECU 63, that is, the software before the update, to the storage device 612, and then executes the recovery process. do. Thereby, the first main ECU 61 can operate the first actuator 11 by causing the execution device 611 to execute the software in the storage device 632. That is, even if the software update fails, it is possible to cause the first main ECU 61 to operate the first actuator 11.
 なお、第2メインECU62の記憶装置622のソフトウェアを更新した後の処理の流れは、第1メインECU61の記憶装置612のソフトウェアを更新した後の処理の流れと同様である。 Note that the process flow after updating the software in the storage device 622 of the second main ECU 62 is the same as the process flow after updating the software in the storage device 612 of the first main ECU 61.
 (3)メインECUの記憶装置のソフトウェアを更新する場合、更新処理に先立って、メインECUの記憶装置のソフトウェア、すなわち更新前のソフトウェアが、バックアップECU63の記憶装置632に書き込まれる。これにより、バックアップECU63の実行装置631がアクチュエータを制御できる状態になる。すなわち、バックアップECU63がアクチュエータを作動させる場合、最新バージョンの1つ前のバージョンのソフトウェアを実行装置631が実行することになる。したがって、ソフトウェアの更新中では、ソフトウェアの更新前と同じようにアクチュエータを作動させることができる。 (3) When updating the software in the storage device of the main ECU, prior to the update process, the software in the storage device of the main ECU, that is, the software before the update, is written to the storage device 632 of the backup ECU 63. This allows the execution device 631 of the backup ECU 63 to control the actuator. That is, when the backup ECU 63 operates the actuator, the execution device 631 executes the software of the version immediately before the latest version. Therefore, during the software update, the actuator can be operated in the same way as before the software update.
 また、制動制御装置60では、バックアップECU63が、第1メインECU61のバックアップとしても機能させることができるし、第2メインECU62のバックアップとして機能させることができる。そのため、第1メインECU61用のバックアップECUと、第2メインECU62用のバックアップECUとを個別に設ける必要がない分、制動制御装置60を構成するECUの数が増大することを抑制できる。 Furthermore, in the brake control device 60, the backup ECU 63 can function as a backup for the first main ECU 61 and can function as a backup for the second main ECU 62. Therefore, since there is no need to separately provide a backup ECU for the first main ECU 61 and a backup ECU for the second main ECU 62, it is possible to suppress an increase in the number of ECUs that constitute the brake control device 60.
 <変更例>
 上記実施形態は、以下のように変更して実施することができる。上記実施形態及び以下の変更例は、技術的に矛盾しない範囲で互いに組み合わせて実施することができる。 <Example of change>
The above embodiment can be modified and implemented as follows. The above embodiment and the following modifications can be implemented in combination with each other within a technically consistent range.
 ・バックアップECU63の記憶装置632には、第1アクチュエータ11を作動させるためのソフトウェアと、第2アクチュエータ12を作動させるためのソフトウェアとが予め記憶されていてもよい。この場合、メインECUの記憶装置のソフトウェアを更新するのに先立って、当該記憶装置のソフトウェアをバックアップECU63の記憶装置632に書き込む処理を省略できる。 - Software for operating the first actuator 11 and software for operating the second actuator 12 may be stored in advance in the storage device 632 of the backup ECU 63. In this case, prior to updating the software in the storage device of the main ECU, the process of writing the software in the storage device into the storage device 632 of the backup ECU 63 can be omitted.
 ・上記実施形態では、チェック処理によってメインECUの記憶装置のソフトウェアが正常に更新されていないと判定された場合には復元処理を実行していたが、これに限らない。例えば、チェック処理によってメインECUの記憶装置のソフトウェアが正常に更新されていないと判定された場合には、当該記憶装置のソフトウェアが正常に更新されたと判定されるようになるまで、ソフトウェアの更新を繰り返してもよい。 - In the above embodiment, the restoration process is executed when it is determined by the check process that the software in the storage device of the main ECU has not been updated normally, but the present invention is not limited to this. For example, if it is determined through the check process that the software in the storage device of the main ECU has not been updated normally, update the software until it is determined that the software in the storage device has been updated normally. May be repeated.
 ・上記実施形態では、チェック処理によってメインECUの記憶装置のソフトウェアが正常に更新されたと判定されると、アクチュエータの作動によって車両10で発生する制動力を調整している最中であっても、アクチュエータの制御権がメインECUに戻されるが、これに限らない。例えば、アクチュエータの作動による制動力の調整が終了した後に、アクチュエータの制御権をバックアップECU63からメインECUに戻すようにしてもよい。 - In the above embodiment, if it is determined by the check process that the software in the storage device of the main ECU has been updated normally, even if the braking force generated in the vehicle 10 is being adjusted by the operation of the actuator, Although control of the actuator is returned to the main ECU, the control is not limited thereto. For example, control of the actuator may be returned from the backup ECU 63 to the main ECU after adjustment of the braking force by actuating the actuator is completed.
 ・制動制御装置が制御するアクチュエータは、3つ以上であってもよい。例えば、アクチュエータの数がN個である場合、制動制御装置は、N個のメインECUを備えることが好ましい。なお、「N」は3以上の整数である。 - The number of actuators controlled by the braking control device may be three or more. For example, if the number of actuators is N, it is preferable that the braking control device is equipped with N main ECUs. Note that "N" is an integer of 3 or more.
 ・制動制御装置が制御するアクチュエータの数は1つであってもよい。この場合、制動制御装置が備えるメインECUの数は1つのみとなる。
 ・制動制御装置は、第1メインECU61用のバックアップECUと、第2メインECU62用のバックアップECUとを個別に備えた構成であってもよい。 - The number of actuators controlled by the brake control device may be one. In this case, the number of main ECUs included in the brake control device is only one.
- The brake control device may be configured to separately include a backup ECU for the first main ECU 61 and a backup ECU for the second main ECU 62.
 ・ECUは、CPUとROMとを備えて、ソフトウェア処理を実行するものに限らない。すなわち、ECUは、以下(a)~(c)の何れかの構成であればよい。
 (a)ECUは、コンピュータプログラムに従って各種処理を実行する一つ以上のプロセッサを備えている。プロセッサは、CPU並びに、RAM及びROMなどのメモリを含んでいる。メモリは、処理をCPUに実行させるように構成されたプログラムコード又は指令を格納している。メモリ、すなわちコンピュータ可読媒体は、汎用又は専用のコンピュータでアクセスできるあらゆる利用可能な媒体を含んでいる。 - The ECU is not limited to one that includes a CPU and a ROM and executes software processing. That is, the ECU may have any of the following configurations (a) to (c).
(a) The ECU includes one or more processors that execute various processes according to computer programs. The processor includes a CPU and memory such as RAM and ROM. The memory stores program codes or instructions configured to cause the CPU to perform processes. Memory, or computer-readable media, includes any available media that can be accessed by a general purpose or special purpose computer.
 (b)ECUは、各種処理を実行する一つ以上の専用のハードウェア回路を備えている。専用のハードウェア回路としては、例えば、特定用途向け集積回路、すなわちASIC又はFPGAを挙げることができる。なお、ASICは、「Application Specific Integrated Circuit」の略記であり、FPGAは、「Field Programmable Gate Array」の略記である。 (b) The ECU includes one or more dedicated hardware circuits that execute various processes. Dedicated hardware circuits may include, for example, application specific integrated circuits, ie ASICs or FPGAs. Note that ASIC is an abbreviation for "Application Specific Integrated Circuit," and FPGA is an abbreviation for "Field Programmable Gate Array."
 (c)ECUは、各種処理の一部をコンピュータプログラムに従って実行するプロセッサと、各種処理のうちの残りの処理を実行する専用のハードウェア回路とを備えている。
 なお、本明細書において使用される「少なくとも1つ」という表現は、所望の選択肢の「1つ以上」を意味する。一例として、本明細書において使用される「少なくとも1つ」という表現は、選択肢の数が2つであれば「1つの選択肢のみ」又は「2つの選択肢の双方」を意味する。他の例として、本明細書において使用される「少なくとも1つ」という表現は、選択肢の数が3つ以上であれば「1つの選択肢のみ」又は「2つ以上の任意の選択肢の組み合わせ」を意味する。
  (c) The ECU includes a processor that executes some of the various processes according to a computer program, and a dedicated hardware circuit that executes the remaining of the various processes.
Note that the expression "at least one" used in this specification means "one or more" of the desired options. As an example, the expression "at least one" as used herein means "only one option" or "both of the two options" if the number of options is two. As another example, the expression "at least one" as used herein means "only one option" or "any combination of two or more options" if there are three or more options. means.

Claims (6)

  1.  車両で制動力を発生させるべく作動するアクチュエータと、前記アクチュエータを制御するための更新用ソフトウェアを、前記車両の外部から無線通信を介して取得する情報処理装置と、を備える前記車両に設けられ、前記情報処理装置とは車内ネットワークを介して通信可能に構成された制動制御装置であって、
     前記アクチュエータを制御するメイン電子制御装置と、前記メイン電子制御装置と相互に通信可能なバックアップ電子制御装置と、を備え、
     前記メイン電子制御装置は、ソフトウェアが記憶される記憶装置と、当該記憶装置のソフトウェアを実行することによって前記アクチュエータを制御する実行装置と、を有し、
     前記バックアップ電子制御装置は、ソフトウェアを記憶する記憶装置と、当該記憶装置のソフトウェアを実行する実行装置と、を有し、
     前記メイン電子制御装置の前記実行装置は、前記バックアップ電子制御装置の前記実行装置が当該バックアップ電子制御装置の前記記憶装置のソフトウェアを実行することによって前記アクチュエータを制御可能である場合に、前記バックアップ電子制御装置が前記アクチュエータを作動させることを許可した上で、前記メイン電子制御装置の前記記憶装置のソフトウェアを前記更新用ソフトウェアに書き換える更新処理を実行する
     制動制御装置。     provided in the vehicle, comprising: an actuator that operates to generate braking force in the vehicle; and an information processing device that acquires update software for controlling the actuator from outside the vehicle via wireless communication; The information processing device is a brake control device configured to be able to communicate via an in-vehicle network,
    comprising a main electronic control device that controls the actuator, and a backup electronic control device that can communicate with the main electronic control device,
    The main electronic control device has a storage device in which software is stored, and an execution device that controls the actuator by executing the software in the storage device,
    The backup electronic control device has a storage device that stores software, and an execution device that executes the software in the storage device,
    The execution device of the main electronic control device is configured to control the actuator when the execution device of the backup electronic control device can control the actuator by executing software in the storage device of the backup electronic control device. A brake control device that executes an update process of rewriting software in the storage device of the main electronic control device to the update software after allowing the control device to operate the actuator.
  2.  前記メイン電子制御装置の前記実行装置は、
     前記更新処理を完了後に、当該メイン電子制御装置の前記記憶装置のソフトウェアが正常に更新されたか否かを判定するチェック処理を実行し、
     前記チェック処理によってソフトウェアが正常に更新されたと判定したことを条件に、自身が前記アクチュエータを制御することを可能とし、前記バックアップ電子制御装置が前記アクチュエータを作動させることの停止を当該バックアップ電子制御装置に要求する復帰処理を実行する
     請求項1に記載の制動制御装置。     The execution device of the main electronic control device includes:
    After completing the update process, executing a check process to determine whether the software of the storage device of the main electronic control unit has been updated normally;
    On condition that the software is determined to have been updated normally through the checking process, the backup electronic control device is enabled to control the actuator, and the backup electronic control device stops operating the actuator. The brake control device according to claim 1, wherein the brake control device executes a return process requested by.
  3.  前記メイン電子制御装置の前記実行装置は、
     前記チェック処理によってソフトウェアが正常に更新されていないと判定した場合には、前記メイン電子制御装置の前記記憶装置のソフトウェアを、前記バックアップ電子制御装置の前記記憶装置のソフトウェアに書き換える復元処理を実行し、
     前記復元処理の実行を終了させたことを条件に、前記復帰処理を実行する
     請求項2に記載の制動制御装置。     The execution device of the main electronic control device includes:
    If it is determined by the checking process that the software has not been updated normally, a restoration process is executed to rewrite the software in the storage device of the main electronic control unit to the software in the storage device of the backup electronic control unit. ,
    The brake control device according to claim 2, wherein the restoring process is executed on the condition that execution of the restoring process is finished.
  4.  前記バックアップ電子制御装置の前記実行装置は、
     前記メイン電子制御装置での前記更新処理の実行に先立って、当該メイン電子制御装置の前記記憶装置のソフトウェアを前記バックアップ電子制御装置の前記記憶装置に書き込むことにより、自身が前記アクチュエータを制御できる状態にする
     請求項1~請求項3のうち何れか一項に記載の制動制御装置。     The execution device of the backup electronic control device is
    A braking control device as described in any one of claims 1 to 3, wherein prior to executing the update process in the main electronic control device, software in the memory device of the main electronic control device is written to the memory device of the backup electronic control device, thereby making the main electronic control device capable of controlling the actuator.
  5.  前記車両は、前記アクチュエータとして、第1アクチュエータと、第2アクチュエータと、を有するものであり、
     前記制動制御装置は、前記メイン電子制御装置として、前記第1アクチュエータを制御する第1メイン電子制御装置と、前記第2アクチュエータを制御する第2メイン電子制御装置と、を備え、
     前記バックアップ電子制御装置の前記実行装置は、
     前記第1メイン電子制御装置で前記更新処理が実行される場合、当該更新処理の実行に先立って当該第1メイン電子制御装置の前記記憶装置のソフトウェアを前記バックアップ電子制御装置の前記記憶装置に書き込むことにより、自身が前記第1アクチュエータを制御できる状態にし、
     前記第2メイン電子制御装置で前記更新処理が実行される場合、当該更新処理の実行に先立って当該第2メイン電子制御装置の前記記憶装置のソフトウェアを当該バックアップ電子制御装置の前記記憶装置に書き込むことにより、自身が前記第2アクチュエータを制御できる状態にする
     請求項4に記載の制動制御装置。     The vehicle has a first actuator and a second actuator as the actuators,
    The braking control device includes, as the main electronic control device, a first main electronic control device that controls the first actuator and a second main electronic control device that controls the second actuator,
    The execution device of the backup electronic control device is
    When the update process is executed in the first main electronic control device, the software in the storage device of the first main electronic control device is written to the storage device of the backup electronic control device prior to the execution of the update process, thereby making the first main electronic control device capable of controlling the first actuator;
    5. The brake control device according to claim 4, wherein when the update process is executed in the second main electronic control device, the second main electronic control device writes software of the memory device of the second main electronic control device to the memory device of the backup electronic control device prior to execution of the update process, thereby making the second main electronic control device capable of controlling the second actuator.
  6.  アクチュエータを作動させることによって車両で発生する制動力を調整する制動制御装置を構成するメイン電子制御装置が備える記憶装置のソフトウェアを更新するソフトウェア更新方法であって、
     前記制動制御装置は、前記メイン電子制御装置と相互に通信可能に構成されたバックアップ電子制御装置を備えるものであり、
     前記車両に設けられた情報処理装置が、前記車両の外部のデータセンタから無線通信を介して更新用ソフトウェアを取得した状況下で、
     前記メイン電子制御装置が、前記バックアップ電子制御装置が前記アクチュエータを制御することを許可する許可ステップと、
     前記メイン電子制御装置が、自身の前記記憶装置のソフトウェアを前記更新用ソフトウェアに書き換える更新ステップと、を有する
     ソフトウェア更新方法。     A software update method for updating software in a storage device included in a main electronic control device that constitutes a brake control device that adjusts braking force generated in a vehicle by operating an actuator, the method comprising:
    The brake control device includes a backup electronic control device configured to be able to communicate with the main electronic control device,
    Under a situation where an information processing device installed in the vehicle has acquired update software via wireless communication from a data center external to the vehicle,
    a step in which the main electronic control unit allows the backup electronic control unit to control the actuator;
    A software update method comprising: an updating step in which the main electronic control device rewrites software in its own storage device to the update software.
PCT/JP2023/031868 2022-09-22 2023-08-31 Brake control device, and software updating method WO2024062898A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2022-151599 2022-09-22
JP2022151599A JP2024046295A (en) 2022-09-22 2022-09-22 Brake control device and software update method

Publications (1)

Publication Number Publication Date
WO2024062898A1 true WO2024062898A1 (en) 2024-03-28

Family

ID=90454190

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2023/031868 WO2024062898A1 (en) 2022-09-22 2023-08-31 Brake control device, and software updating method

Country Status (2)

Country Link
JP (1) JP2024046295A (en)
WO (1) WO2024062898A1 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018138775A1 (en) * 2017-01-24 2018-08-02 三菱電機株式会社 Shared backup unit and control system
WO2019187202A1 (en) * 2018-03-28 2019-10-03 日本電気株式会社 Control device, in-vehicle communication system, monitoring method, and program

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018138775A1 (en) * 2017-01-24 2018-08-02 三菱電機株式会社 Shared backup unit and control system
WO2019187202A1 (en) * 2018-03-28 2019-10-03 日本電気株式会社 Control device, in-vehicle communication system, monitoring method, and program

Also Published As

Publication number Publication date
JP2024046295A (en) 2024-04-03

Similar Documents

Publication Publication Date Title
US20220244945A1 (en) Vehicle controller, program updating method, and non-transitory storage medium that stores program for updating program
JP2020107355A (en) Virtual machine monitor, and update method of software and firmware
JP7280412B2 (en) GATEWAY DEVICE, IN-VEHICLE NETWORK SYSTEM AND FIRMWARE UPDATE METHOD
JP2019144669A5 (en)
US20230297368A1 (en) Software update apparatus, software update method, non-transitory storage medium storing program, vehicle, and ota master
US20220063646A1 (en) Onboard device, information generating method, non-transitory storage medium, and vehicle
WO2024062898A1 (en) Brake control device, and software updating method
US20220391194A1 (en) Ota master, system, method, non-transitory storage medium, and vehicle
US20220391192A1 (en) Ota master, center, system, method, non-transitory storage medium, and vehicle
US20220244946A1 (en) Ota master, update control method, non-transitory storage medium, and vehicle
US11995429B2 (en) Software update device, update control method, non-transitory storage medium, and server
WO2024062897A1 (en) Control system and software update method
JP2024048008A (en) Electronic control device and software update method
US11954480B2 (en) Center, OTA master, system, method, non-transitory storage medium, and vehicle
US20220391193A1 (en) Ota master, system, method, non-transitory storage medium, and vehicle
WO2024070483A1 (en) Control system
JP7464013B2 (en) Center, OTA master, method, program, and vehicle
US20220405080A1 (en) Ota master, system, method, non-transitory storage medium, and vehicle
JP7418494B2 (en) Update management system and update management method
US20230032451A1 (en) Center, method, and non-transitory storage medium
US20220405083A1 (en) Ota master, system, method, non-transitory storage medium, and vehicle
JP2023119314A (en) Electronic control device
US20220413831A1 (en) Center, ota master, method, non-transitory storage medium, and vehicle
JP2022126194A (en) Ota master, center, system, method, program, and vehicle
JP2023019099A (en) System for vehicle, center, method, and program

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 23868022

Country of ref document: EP

Kind code of ref document: A1