[go: up one dir, main page]

JP2017010098A - Software update system - Google Patents

Software update system Download PDF

Info

Publication number
JP2017010098A
JP2017010098A JP2015121707A JP2015121707A JP2017010098A JP 2017010098 A JP2017010098 A JP 2017010098A JP 2015121707 A JP2015121707 A JP 2015121707A JP 2015121707 A JP2015121707 A JP 2015121707A JP 2017010098 A JP2017010098 A JP 2017010098A
Authority
JP
Japan
Prior art keywords
update
unit
software
management unit
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2015121707A
Other languages
Japanese (ja)
Other versions
JP5989193B1 (en
Inventor
大輔 谷本
Daisuke Tanimoto
大輔 谷本
圭佑 守田
Keisuke Morita
圭佑 守田
伊藤 益夫
Masuo Ito
益夫 伊藤
修一郎 千田
Shuichiro Senda
修一郎 千田
佑太 和田
Yuta Wada
佑太 和田
道平 修
Osamu Michihira
修 道平
岡田 健治
Kenji Okada
健治 岡田
清水 雅昭
Masaaki Shimizu
雅昭 清水
尚之 疋田
Naoyuki Hikita
尚之 疋田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mazda Motor Corp
Mitsubishi Electric Corp
Original Assignee
Mazda Motor Corp
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mazda Motor Corp, Mitsubishi Electric Corp filed Critical Mazda Motor Corp
Priority to JP2015121707A priority Critical patent/JP5989193B1/en
Application granted granted Critical
Publication of JP5989193B1 publication Critical patent/JP5989193B1/en
Publication of JP2017010098A publication Critical patent/JP2017010098A/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Stored Programmes (AREA)

Abstract

【課題】車両に搭載される車載制御ユニットのソフトウェア更新を低コストの更新管理ユニットによって行えるソフトウェア更新システムを得る。【解決手段】更新管理ユニット20は、配信ユニット10から配信される更新ソフトウェアおよびプロパティ情報を含む更新情報11を受信し、更新プロパティ判定手段22により、更新情報11のプロパティ情報に含まれる更新対象ユニット30の信頼性情報および更新ソフトウェアのサイズ情報を、更新管理ユニット20の信頼性およびメモリ容量と比較して、比較結果に応じて、更新管理ユニット20および更新対象ユニット30のいずれが、更新対象ユニット30のソフトウェアの更新可否判定を含む更新制御を行うかを決定するようにした。【選択図】図1[Problem] To obtain a software update system that can perform software updates for an on-board control unit installed in a vehicle using a low-cost update management unit. [Solution] An update management unit 20 receives update information 11 including update software and property information distributed from a distribution unit 10, and an update property determination means 22 compares reliability information of an update target unit 30 and size information of the update software included in the property information of the update information 11 with the reliability and memory capacity of the update management unit 20, and determines whether the update management unit 20 or the update target unit 30 will perform update control, including determining whether the software of the update target unit 30 can be updated, depending on the comparison result. [Selected Figure] Figure 1

Description

この発明は、車両に搭載される車載制御ユニットのソフトウェアを更新するソフトウェア更新システムに関するものである。   The present invention relates to a software update system for updating software of an in-vehicle control unit mounted on a vehicle.

従来、車両に搭載される車載制御ユニットの車載ソフトウェア更新方法は、サービスマンが車載ソフトウェアの更新装置を車両につないで更新を行っていたが、近年では外部サーバとの無線通信により更新ソフトウェアをダウンロードし、車載制御ユニットの車載ソフトウェア更新をリモートで行うことが提案されている。
特許文献1には、ゲートウェイECUが、更新可能な車両負荷状態を示す更新条件テーブルを有し、更新可能な低負荷状態であるかどうかを判断し、低負荷状態の場合に対象ユニットの車載ソフトウェアを更新することで、安全な更新ができる車載プログラム更新装置が記載されている。 Conventionally, the in-vehicle software update method for the in-vehicle control unit installed in the vehicle has been updated by a serviceman connecting the in-vehicle software update device to the vehicle. However, it has been proposed to remotely update the in-vehicle software of the in-vehicle control unit.
In Patent Document 1, the gateway ECU has an update condition table indicating an updatable vehicle load state, determines whether or not it is an updatable low load state, and in the case of the low load state, the in-vehicle software of the target unit An in-vehicle program update device is described that can be updated safely by updating.

特開2014−106875号公報(第5〜12頁、第1図)JP 2014-106875 A (pages 5 to 12, FIG. 1)

しかしながら、特許文献1の車載プログラム更新装置では、車両の負荷状態による判断は可能であるが、更新する側のゲートウェイECUの信頼性は考慮されていないため、安全な更新を保証できないという問題がある。
また、ゲートウェイECUにより、車載のあらゆる制御装置の車載ソフトウェア更新を実施するためには信頼性の高い設計をする必要があり、メモリ容量も十分備える必要があるため、コストが高くなるという問題もあった。 However, in the in-vehicle program update device of Patent Document 1, although it is possible to make a determination based on the load state of the vehicle, there is a problem in that a safe update cannot be guaranteed because the reliability of the gateway ECU on the update side is not considered. .
In addition, in order to perform in-vehicle software update of all in-vehicle control devices by the gateway ECU, it is necessary to design with high reliability, and it is necessary to provide sufficient memory capacity, which increases the cost. It was.

この発明は、上述のような課題を解決するためになされたものであり、車両に搭載される車載制御ユニットのソフトウェア更新を低コストの更新管理ユニットによって行えるソフトウェア更新システムを得ることを目的とする。   The present invention has been made to solve the above-described problems, and an object of the present invention is to provide a software update system in which software update of an in-vehicle control unit mounted on a vehicle can be performed by a low-cost update management unit. .

この発明に係わるソフトウェア更新システムにおいては、配信ユニットから配信される更新ソフトウェアを用いて更新対象ユニットのソフトウェアを更新するソフトウェア更新システムであって、配信ユニットから配信される更新ソフトウェアおよびプロパティ情報を含む更新情報を受信し、この受信した更新情報に基づき、ソフトウェアの更新を管理する更新管理ユニットを備え、更新管理ユニットは、更新情報のプロパティ情報を解析して、更新管理ユニットおよび更新対象ユニットのいずれが、ソフトウェアの更新可否判定を含む更新制御を行うかを判定する更新プロパティ判定手段を有し、更新対象ユニットは、更新ソフトウェアを用いてソフトウェアを更新する更新実行手段を有し、更新管理ユニットおよび更新対象ユニットは、それぞれ更新対象ユニットのソフトウェアの更新可否判定を含む更新制御を行う更新制御手段と、更新ソフトウェアが差分ファイルの場合に全データの更新ファイルを生成する更新ファイル生成手段とを有し、更新管理ユニットの更新プロパティ判定手段の判定に応じて、更新管理ユニットの更新制御手段および更新対象ユニットの更新制御手段のいずれか一方が動作するとともに、更新管理ユニットの更新ファイル生成手段および更新対象ユニットの更新ファイル生成手段のいずれか一方が動作するものである。   In the software update system according to the present invention, the software update system updates the software of the update target unit using the update software distributed from the distribution unit, and includes the update software distributed from the distribution unit and the property information. An update management unit that receives the information and manages software updates based on the received update information. The update management unit analyzes the property information of the update information and determines which of the update management unit and the update target unit is , Having update property determination means for determining whether to perform update control including determination of whether or not software can be updated, and the update target unit has update execution means for updating software using the update software, the update management unit and the update The target unit is Each of the update target units has update control means for performing update control including determination of whether or not software can be updated, and update file generation means for generating an update file of all data when the update software is a differential file, and update management Either the update control unit of the update management unit or the update control unit of the update target unit operates according to the determination of the update property determination unit of the unit, and the update file generation unit and update unit of the update management unit are updated. Either one of the file generation means operates.

この発明によれば、配信ユニットから配信される更新ソフトウェアを用いて更新対象ユニットのソフトウェアを更新するソフトウェア更新システムであって、配信ユニットから配信される更新ソフトウェアおよびプロパティ情報を含む更新情報を受信し、この受信した更新情報に基づき、ソフトウェアの更新を管理する更新管理ユニットを備え、更新管理ユニットは、更新情報のプロパティ情報を解析して、更新管理ユニットおよび更新対象ユニットのいずれが、ソフトウェアの更新可否判定を含む更新制御を行うかを判定する更新プロパティ判定手段を有し、更新対象ユニットは、更新ソフトウェアを用いてソフトウェアを更新する更新実行手段を有し、更新管理ユニットおよび更新対象ユニットは、それぞれ更新対象ユニットのソフトウェアの更新可否判定を含む更新制御を行う更新制御手段と、更新ソフトウェアが差分ファイルの場合に全データの更新ファイルを生成する更新ファイル生成手段とを有し、更新管理ユニットの更新プロパティ判定手段の判定に応じて、更新管理ユニットの更新制御手段および更新対象ユニットの更新制御手段のいずれか一方が動作するとともに、更新管理ユニットの更新ファイル生成手段および更新対象ユニットの更新ファイル生成手段のいずれか一方が動作するので、プロパティ情報に応じて選択された更新管理ユニットまたは更新対象ユニットの更新制御によって、更新対象ユニットのソフトウェアの更新を行うことができる。   According to the present invention, there is provided a software update system that updates software of a unit to be updated using update software distributed from a distribution unit, and receives update information including update software distributed from the distribution unit and property information. And an update management unit that manages software updates based on the received update information. The update management unit analyzes the property information of the update information, and either the update management unit or the update target unit Update property determination means for determining whether to perform update control including availability determination, the update target unit has update execution means for updating software using update software, and the update management unit and the update target unit are: Each update target unit's software Update control means for performing update control including determination of whether or not update is possible, and update file generation means for generating an update file of all data when the update software is a difference file, and the update property determination means of the update management unit Depending on the determination, either the update control unit of the update management unit or the update control unit of the update target unit operates, and either the update file generation unit of the update management unit or the update file generation unit of the update target unit Therefore, the software of the update target unit can be updated by the update control of the update management unit or the update target unit selected according to the property information.

この発明の実施の形態1におけるソフトウェア更新システムを示す構成図である。It is a block diagram which shows the software update system in Embodiment 1 of this invention. この発明の実施の形態1におけるソフトウェア更新システムの更新管理ユニットの動作を示すフローチャートである。It is a flowchart which shows operation | movement of the update management unit of the software update system in Embodiment 1 of this invention. この発明の実施の形態1におけるソフトウェア更新システムの動作を示す説明図である。It is explanatory drawing which shows operation | movement of the software update system in Embodiment 1 of this invention. この発明の実施の形態2におけるソフトウェア更新システムの動作を示す説明図である。It is explanatory drawing which shows operation | movement of the software update system in Embodiment 2 of this invention. この発明の実施の形態3におけるソフトウェア更新システムの動作を示す説明図である。It is explanatory drawing which shows operation | movement of the software update system in Embodiment 3 of this invention.

実施の形態1.
以下に、本発明の実施の形態1について、図を用いて詳細に説明する。
図1は、この発明の実施の形態1におけるソフトウェア更新システムを示す構成図である。
図1において、配信ユニット10は、更新ソフトウェアとプロパティ情報が含まれる更新情報11を配信する。更新管理ユニット20は、配信ユニット10から更新情報11を受信し、更新対象ユニット30の車載ソフトウェアの更新管理を行う。更新対象ユニット30は、車載ソフトウェアが更新される車載制御ユニットである。
ここで、配信ユニット10は、外部サーバでもよいし、配信ツールでもよいし、記憶媒体でもよい。また、配信ユニット10と更新管理ユニット20の間の通信方法は無線でも有線でもよい。 Embodiment 1 FIG.
Embodiment 1 of the present invention will be described below in detail with reference to the drawings.
FIG. 1 is a block diagram showing a software update system according to Embodiment 1 of the present invention.
In FIG. 1, a distribution unit 10 distributes update information 11 including update software and property information. The update management unit 20 receives the update information 11 from the distribution unit 10 and performs update management of the in-vehicle software of the update target unit 30. The update target unit 30 is an in-vehicle control unit in which in-vehicle software is updated.
Here, the distribution unit 10 may be an external server, a distribution tool, or a storage medium. The communication method between the distribution unit 10 and the update management unit 20 may be wireless or wired.

更新管理ユニット20は、メモリを有する計算機であり、次のように構成されている。
更新情報取得手段21は、配信ユニット10の配信する更新情報11を受信する。更新プロパティ判定手段22は、更新情報取得手段21によって受信された更新情報11に含まれるプロパティ情報の内容を判定する。
更新情報送信手段23は、更新情報取得手段21によって受信された更新情報11を更新対象ユニット30に送信する。
更新制御手段24は、更新情報11に含まれる更新ソフトウェアの更新可否判断を行う。更新ファイル生成手段25は、更新情報11の更新ソフトウェアが差分ファイルの場合に、差分ファイルから全データを有する更新ファイルを生成する。更新指示手段26は、更新対象ユニット30に車載ソフトウェアの更新指示を出す。更新完了確認手段27は、更新対象ユニット30の更新が正しく完了したことを確認する。 The update management unit 20 is a computer having a memory, and is configured as follows.
The update information acquisition unit 21 receives the update information 11 distributed by the distribution unit 10. The update property determination unit 22 determines the content of the property information included in the update information 11 received by the update information acquisition unit 21.
The update information transmission unit 23 transmits the update information 11 received by the update information acquisition unit 21 to the update target unit 30.
The update control unit 24 determines whether or not the update software included in the update information 11 can be updated. The update file generation means 25 generates an update file having all data from the difference file when the update software of the update information 11 is a difference file. The update instructing unit 26 issues an in-vehicle software update instruction to the update target unit 30. The update completion confirmation unit 27 confirms that the update of the update target unit 30 has been correctly completed.

なお、更新情報11のプロパティ情報には、更新ソフトウェアが適用される更新対象ユニットの信頼性と、更新ソフトウェアのサイズ情報が含まれる。
また、更新管理ユニット20のメモリには、当該更新管理ユニット20の信頼性情報が記憶されている。
また、更新管理ユニット20が更新対象ユニット30の更新制御を行う場合、更新対象ユニット30から更新可否状態を取得し、取得した更新可否状態が更新可能状態の時のみ更新対象ユニット30の車載ソフトウェアを更新するようにしてもよく、あるいは、更新管理ユニット20が車両の状態を判断し、車両状態が更新可能状態の時のみ更新対象ユニット30の車載ソフトウェアを更新するようにしてもよい。 The property information of the update information 11 includes the reliability of the update target unit to which the update software is applied and the size information of the update software.
Further, the reliability information of the update management unit 20 is stored in the memory of the update management unit 20.
In addition, when the update management unit 20 performs update control of the update target unit 30, the update availability state is acquired from the update target unit 30, and the in-vehicle software of the update target unit 30 is acquired only when the acquired update availability state is the updateable state. Alternatively, the update management unit 20 may determine the state of the vehicle and update the in-vehicle software of the update target unit 30 only when the vehicle state is an updatable state.

更新対象ユニット30は、車載ソフトウェアによって車両の各種制御を行い、更新管理ユニット20と車内ネットワークに接続されており、次のように構成されている。
更新情報取得手段31は、更新管理ユニット20から送信される更新情報11を受信する。更新制御手段32は、更新情報11に含まれる更新ソフトウェアの更新可否判断を行う。更新ファイル生成手段33は、更新情報11の更新ソフトウェアが差分ファイルの場合に、差分ファイルから更新ファイルを生成する。
更新実行手段34は、更新ソフトウェアにより車載ソフトウェアを書き換える更新を実行する。更新完了確認手段35は、更新が正しく完了したことを確認する。 The update target unit 30 performs various types of vehicle control using in-vehicle software, and is connected to the update management unit 20 and the in-vehicle network, and is configured as follows.
The update information acquisition unit 31 receives the update information 11 transmitted from the update management unit 20. The update control unit 32 determines whether or not the update software included in the update information 11 can be updated. The update file generation unit 33 generates an update file from the difference file when the update software of the update information 11 is a difference file.
The update execution means 34 executes an update for rewriting the in-vehicle software with the update software. The update completion confirmation means 35 confirms that the update has been completed correctly.

なお、更新制御手段24および更新制御手段32、更新ファイル生成手段25および更新ファイル生成手段33、更新完了確認手段27および更新完了確認手段35は、それぞれ同じ機能を有する。   The update control unit 24 and the update control unit 32, the update file generation unit 25 and the update file generation unit 33, the update completion confirmation unit 27, and the update completion confirmation unit 35 have the same functions.

図3は、この発明の実施の形態1におけるソフトウェア更新システムの動作を示す説明図である。
図3において、10、11、20〜23、30〜35は図1におけるものと同一のものである。 FIG. 3 is an explanatory diagram showing the operation of the software update system according to Embodiment 1 of the present invention.
In FIG. 3, numerals 10, 11, 20-23, and 30-35 are the same as those in FIG.

次に、動作について説明する。
この発明は、更新管理ユニット20と更新対象ユニット30の信頼性の高い方のユニットにより、更新ソフトウェアの更新制御を行うようにしたものである。
まず、図2を用いて、更新管理ユニット20の動作について説明する。
更新情報取得手段21が、配信ユニット10の配信する更新情報11を受信する(S1)。
次いで、更新プロパティ判定手段22が、更新情報11に含まれるプロパティ情報から、更新対象ユニット30の信頼性情報を抽出し(S2)、これと更新管理ユニット20のメモリに記憶された信頼性情報と比較する(S3)。
更新対象ユニット30の信頼性の方が高い場合には、更新情報送信手段23により、更新情報11を更新対象ユニット30に送信し、車載ソフトウェアの更新制御を委ね、更新ソフトウェアが差分ファイルの場合には、更新ファイルを生成した上で、車載ソフトウェアの更新を実行してもらう(S4)。 Next, the operation will be described.
In the present invention, update control of update software is performed by a unit having higher reliability of the update management unit 20 and the update target unit 30.
First, the operation of the update management unit 20 will be described with reference to FIG.
The update information acquisition means 21 receives the update information 11 distributed by the distribution unit 10 (S1).
Next, the update property determination unit 22 extracts the reliability information of the update target unit 30 from the property information included in the update information 11 (S2), and the reliability information stored in the memory of the update management unit 20 and Compare (S3).
When the reliability of the update target unit 30 is higher, the update information transmitting means 23 transmits the update information 11 to the update target unit 30 and entrusts the update control of the in-vehicle software, and the update software is a difference file. Generates an update file and updates the in-vehicle software (S4).

一方、更新管理ユニット20の信頼性より、更新対象ユニット30の信頼性が高くない場合には、プロパティ情報に含まれる更新ソフトウェアのサイズが、更新管理ユニット20のメモリ容量で対応できるかどうかをチェックし(S5)、更新管理ユニット20のメモリ容量で対応できる場合には、更新管理ユニット20が、車載ソフトウェアの更新制御(更新可否の判断)を行うとともに、更新ソフトウェアが差分ファイルの場合に更新ファイル生成を行う(S6)。
S5で、更新管理ユニット20のメモリ容量で対応できない場合には、更新管理ユニット20が更新制御を行うとともに、更新対象ユニット30により、更新ソフトウェアが差分ファイルの場合に更新ファイル生成を行う(S7)。
S6、S7の後に、更新管理ユニット20は、更新ソフトウェアによる車載ソフトウェアの更新完了を確認する(S8)。
また、S4で、更新対象ユニット30で、更新制御および更新ファイル生成を行った場合には、更新対象ユニット30が更新ソフトウェアによる車載ソフトウェアの更新完了を確認する。 On the other hand, when the reliability of the update target unit 30 is not higher than the reliability of the update management unit 20, it is checked whether the size of the update software included in the property information can be handled by the memory capacity of the update management unit 20. (S5) If the memory capacity of the update management unit 20 can cope, the update management unit 20 performs update control of the in-vehicle software (determination of whether update is possible) and updates the update file when the update software is a difference file. Generation is performed (S6).
In S5, when the memory capacity of the update management unit 20 cannot cope, the update management unit 20 performs update control, and the update target unit 30 generates an update file when the update software is a difference file (S7). .
After S6 and S7, the update management unit 20 confirms the completion of the update of the in-vehicle software by the update software (S8).
In S4, when update control and update file generation are performed in the update target unit 30, the update target unit 30 confirms completion of updating the in-vehicle software by the update software.

次に、図3を用いて、具体例について説明する。
図3の例は、配信ユニット10から受信したプロパティ情報の中の更新対象ユニット30の信頼性情報が、更新管理ユニット20の信頼性より高い場合、かつ更新ソフトウェアのサイズが、更新管理ユニット20のメモリ容量より大きいかまたは小さい場合についてのものである。つまり、更新対象ユニット30の信頼性情報が、更新管理ユニット20の信頼性より高い場合は、更新ソフトウェアのサイズに関わりなく、以下の動作を行う。 Next, a specific example will be described with reference to FIG.
In the example of FIG. 3, when the reliability information of the update target unit 30 in the property information received from the distribution unit 10 is higher than the reliability of the update management unit 20, and the size of the update software is that of the update management unit 20. This is for cases where the memory capacity is larger or smaller. That is, when the reliability information of the update target unit 30 is higher than the reliability of the update management unit 20, the following operation is performed regardless of the size of the update software.

更新管理ユニット20は、図2のS1〜S3、S5のとおり、配信ユニット10からの更新情報11を更新情報取得手段21により受信し、更新プロパティ判定手段22により、受信した更新情報11のプロパティ情報に含まれる信頼性情報および更新ソフトウェアのサイズ情報と、更新管理ユニット20が持つ信頼性および対応できるメモリ容量とを比較する。
図3の例では、更新対象ユニット30の信頼性が、更新管理ユニット20より高い場合、かつ更新ソフトウェアのサイズが、更新管理ユニット20のメモリ容量より大きいかまたは小さい場合であるため、信頼性を優先して判断し、更新制御は更新対象ユニット30により、実施することを決定する。 The update management unit 20 receives the update information 11 from the distribution unit 10 by the update information acquisition unit 21 and the property information of the received update information 11 by the update property determination unit 22 as shown in S1 to S3 and S5 of FIG. Are compared with the reliability information and update software size information included in the update management unit 20 and the reliability of the update management unit 20 and the corresponding memory capacity.
In the example of FIG. 3, since the reliability of the update target unit 30 is higher than that of the update management unit 20 and the size of the update software is larger or smaller than the memory capacity of the update management unit 20, the reliability is improved. Judgment is made with priority, and update control is determined by the update target unit 30.

次に、図2のS4のとおり、更新管理ユニット20は、更新情報送信手段23により、配信ユニット10から受信した更新情報11を更新対象ユニット30に送信する。
更新対象ユニット30は、更新情報取得手段31により更新情報11を受信すると、更新制御手段32により、更新が可能な状態かどうかを判定する。また、更新に当たり、同一ネットワーク上に接続されている車載制御ユニットの動作の停止が必要であれば、動作停止指示も行う。
次に、更新情報11に含まれる更新ソフトウェアが差分ファイルの場合は、更新ファイル生成手段33により、差分ファイルから更新ファイルを生成する。更新ソフトウェアが差分ファイルではなく、全てのデータを含むファイルである場合は、更新ファイルの生成は実行しない。 Next, as shown in S <b> 4 of FIG. 2, the update management unit 20 transmits the update information 11 received from the distribution unit 10 to the update target unit 30 by the update information transmission unit 23.
When the update target unit 30 receives the update information 11 from the update information acquisition unit 31, the update control unit 32 determines whether the update is possible. In addition, if it is necessary to stop the operation of the in-vehicle control unit connected on the same network for the update, an operation stop instruction is also given.
Next, when the update software included in the update information 11 is a difference file, the update file generation unit 33 generates an update file from the difference file. When the update software is not a difference file but a file including all data, generation of the update file is not executed.

次に、更新実行手段34により、更新ソフトウェアを用いて車載ソフトウェアの書き換えを実施し、書き換え完了後、更新完了確認手段35により更新が確実に完了したことを誤り検出により確認する。
以上が、実施の形態1での車載ソフトウェア更新の動作である。 Next, the update execution means 34 rewrites the in-vehicle software using the update software, and after completion of the rewrite, the update completion confirmation means 35 confirms that the update has been completed by error detection.
The above is the operation of in-vehicle software update in the first embodiment.

実施の形態1によれば、信頼性の高い方の更新対象ユニットが更新制御を行うため、信頼性の高い更新が保証される。   According to the first embodiment, since the update target unit with higher reliability performs update control, highly reliable update is guaranteed.

実施の形態2.
実施の形態2では、配信ユニット10から受信したプロパティ情報の中の更新対象ユニット30の信頼性情報が、更新管理ユニット20の信頼性より低い場合、及び更新ソフトウェアのサイズが、更新管理ユニット20のメモリ容量より小さい場合について説明する。 Embodiment 2. FIG.
In the second embodiment, when the reliability information of the update target unit 30 in the property information received from the distribution unit 10 is lower than the reliability of the update management unit 20, and the size of the update software is that of the update management unit 20. A case where the memory capacity is smaller will be described.

図4は、この発明の実施の形態2におけるソフトウェア更新システムの動作を示す説明図である。
図4において、10、11、20〜22、24〜27、30、34は図1におけるものと同一のものである。 FIG. 4 is an explanatory diagram showing the operation of the software update system according to the second embodiment of the present invention.
In FIG. 4, 10, 11, 20-22, 24-27, 30, 34 are the same as those in FIG.

次に、実施の形態2の具体的な車載ソフトウェア更新の流れを、図4を用いて説明する。
まず、更新管理ユニット20は、図2のS1〜S3、S5のとおり、配信ユニット10から更新情報11を更新情報取得手段21により受信する。更新管理ユニット20は、更新プロパティ判定手段22により、受信した更新情報11のプロパティ情報に含まれる信頼性情報および更新ソフトウェアのサイズ情報と、更新管理ユニット20が持つ信頼性および対応できるメモリ容量とを比較する。
実施の形態2では、プロパティ情報に含まれる更新対象ユニット30の信頼性が、更新管理ユニット20より低い場合、および更新ソフトウェアのサイズが、更新管理ユニット20のメモリ容量より小さい場合であるため、信頼性は更新管理ユニット20の方が高く、更新管理ユニット20のメモリが、更新ソフトウェアのサイズに対応できるため、更新制御は更新管理ユニット20により実施することを決定する。 Next, a specific flow of in-vehicle software update according to the second embodiment will be described with reference to FIG.
First, the update management unit 20 receives the update information 11 from the distribution unit 10 by the update information acquisition means 21 as shown in S1 to S3 and S5 of FIG. The update management unit 20 uses the update property determination means 22 to obtain the reliability information and the size information of the update software included in the received property information of the update information 11, the reliability of the update management unit 20, and the memory capacity that can be handled. Compare.
In the second embodiment, since the reliability of the update target unit 30 included in the property information is lower than that of the update management unit 20 and the size of the update software is smaller than the memory capacity of the update management unit 20, the reliability The update management unit 20 is higher in performance, and the memory of the update management unit 20 can cope with the size of the update software, so that the update control is determined to be performed by the update management unit 20.

次に、図2のS6のとおり、更新管理ユニット20は、更新制御手段24により、車載ソフトウェアの更新が可能な状態かどうかを判定する。また、車載ソフトウェアの更新に当たり、同一ネットワーク上に接続されている車載制御ユニットの動作の停止が必要であれば、動作停止指示も行う。
次に、更新情報11に含まれる更新ソフトウェアが差分ファイルの場合は、更新ファイル生成手段25により、差分ファイルから更新ファイルを生成する。更新ソフトウェアが差分ファイルではなく全てのデータを含むファイルである場合は、更新ファイルの生成は実行しない。 Next, as shown in S <b> 6 of FIG. 2, the update management unit 20 determines whether the in-vehicle software can be updated by the update control unit 24. In addition, when updating the in-vehicle software, if it is necessary to stop the operation of the in-vehicle control unit connected on the same network, an operation stop instruction is also given.
Next, when the update software included in the update information 11 is a difference file, the update file generation unit 25 generates an update file from the difference file. When the update software is not a difference file but a file including all data, generation of the update file is not executed.

次に、更新指示手段26により、更新対象ユニット30に車載ソフトウェアの更新指示を出す。この更新指示の方法は問わない。例えば、更新対象ユニット30が、CANバス上に接続されているのであれば、ISO14229−1に規定されているソフトウェアダウンロード仕様などを使って、車載ソフトウェアの更新をすればよい。
更新対象ユニット30は、更新指示を受けて、更新実行手段34により車載ソフトウェアを書き換える。 Next, the update instruction means 26 issues an in-vehicle software update instruction to the update target unit 30. The method of this update instruction is not limited. For example, if the update target unit 30 is connected on the CAN bus, the in-vehicle software may be updated using a software download specification defined in ISO14229-1.
The update target unit 30 receives the update instruction and rewrites the in-vehicle software by the update execution unit 34.

次に、更新管理ユニット20は、更新指示が完了した後に、図2のS8のとおり、更新完了確認手段27により、車載ソフトウェアの更新が確実に完了したことを誤り検出により確認する。
以上が、実施の形態2における車載ソフトウェア更新動作である。 Next, after the update instruction is completed, the update management unit 20 uses the update completion confirmation unit 27 to confirm that the update of the in-vehicle software has been completed by error detection, as shown in S8 of FIG.
The above is the in-vehicle software update operation in the second embodiment.

実施の形態2によれば、信頼性の高い方の更新管理ユニットにより更新制御を行うため、信頼性の高い更新が保証される。   According to the second embodiment, since update control is performed by the update management unit with higher reliability, reliable update is guaranteed.

実施の形態3.
実施の形態3では、配信ユニット10から受信した更新情報11のプロパティ情報に含まれる信頼性情報が更新管理ユニット20の信頼性より低い場合、及び更新管理ユニット20のメモリ容量が、更新ソフトウェアのサイズより小さい場合について説明する。 Embodiment 3 FIG.
In the third embodiment, when the reliability information included in the property information of the update information 11 received from the distribution unit 10 is lower than the reliability of the update management unit 20, and the memory capacity of the update management unit 20 is the size of the update software The case where it is smaller will be described.

図5は、この発明の実施の形態3におけるソフトウェア更新システムの動作を示す説明図である。
図5において、10、11、20〜24、27、30、31、33、34は図1におけるものと同一のものである。 FIG. 5 is an explanatory diagram showing the operation of the software update system according to the third embodiment of the present invention.
In FIG. 5, 10, 11, 20-24, 27, 30, 31, 33, 34 are the same as those in FIG.

次に、実施の形態3の具体的な車載ソフトウェア更新の流れを説明する。
まず、更新管理ユニット20は、図2のS1〜S3、S5のとおり、配信ユニット10から更新情報11を更新情報取得手段21により受信する。更新管理ユニット20は、更新プロパティ判定手段22により、受信した更新情報11のプロパティ情報に含まれる更新対象ユニット30の信頼性情報および更新ソフトウェアのサイズ情報と、更新管理ユニット20が持つ信頼性および対応できるメモリ容量とを比較する。
実施の形態3では、更新対象ユニット30の信頼性が更新管理ユニット20より低い場合、および更新管理ユニット20のメモリ容量が更新ソフトウェアのサイズより小さい場合であるため、信頼性は更新管理ユニット20の方が高いが、更新管理ユニット20のメモリ容量では、更新ソフトウェアのサイズに対応できないため、更新制御は、更新管理ユニット20により実施し、更新ファイルの生成と更新の実行は、更新対象ユニット30が実施することを決定する。 Next, a specific flow of in-vehicle software update according to the third embodiment will be described.
First, the update management unit 20 receives the update information 11 from the distribution unit 10 by the update information acquisition means 21 as shown in S1 to S3 and S5 of FIG. The update management unit 20 uses the update property determination unit 22 to update the reliability information of the update target unit 30 and the size information of the update software included in the received property information of the update information 11 and the reliability and correspondence of the update management unit 20. Compare the available memory capacity.
In the third embodiment, the reliability of the update target unit 30 is lower than that of the update management unit 20 and the memory capacity of the update management unit 20 is smaller than the size of the update software. However, since the memory capacity of the update management unit 20 cannot cope with the size of the update software, the update control is performed by the update management unit 20, and the update target unit 30 executes update file generation and update execution. Decide what to do.

次に、図2のS7のとおり、更新管理ユニット20は、更新制御手段24により、車載ソフトウェアの更新が可能な状態かどうかを判定する。また、更新に当たり、同一ネットワーク上に接続されている車載制御ユニットの動作の停止が必要であれば、動作停止指示も行う。
次に、更新管理ユニット20は、更新情報送信手段23により、配信ユニット10から受信した更新情報11を更新対象ユニット30に送信する。 Next, as shown in S <b> 7 of FIG. 2, the update management unit 20 determines whether the in-vehicle software can be updated by the update control unit 24. In addition, if it is necessary to stop the operation of the in-vehicle control unit connected on the same network for the update, an operation stop instruction is also given.
Next, the update management unit 20 transmits the update information 11 received from the distribution unit 10 to the update target unit 30 by the update information transmission unit 23.

更新対象ユニット30は、更新情報取得手段31により更新情報11を受信すると、更新情報11に含まれる更新ソフトウェアが差分ファイルの場合は、更新ファイル生成手段33により差分ファイルから更新ファイルを生成する。実施の形態3は、更新ソフトウェアのサイズが、更新管理ユニット20のメモリ容量より大きい場合なので、基本的に更新ソフトウェアは差分ファイルとなる。
次に、更新実行手段34により、車載ソフトウェアの書き換えを実行する。 When the update information acquisition unit 31 receives the update information 11, the update target unit 30 generates an update file from the difference file by the update file generation unit 33 when the update software included in the update information 11 is a difference file. In the third embodiment, since the size of the update software is larger than the memory capacity of the update management unit 20, the update software is basically a difference file.
Next, the update execution means 34 rewrites the in-vehicle software.

次に、更新管理ユニット20は、図2のS8のとおり、更新完了確認手段27により、更新が確実に完了したことを誤り検出により確認する。
以上が、実施の形態3での車載ソフトウェア更新動作である。 Next, as shown in S8 of FIG. 2, the update management unit 20 uses the update completion confirmation unit 27 to confirm that the update has been completed by error detection.
The above is the in-vehicle software update operation in the third embodiment.

実施の形態3によれば、信頼性の高い方の更新管理ユニットが更新制御を行うため、信頼性の高い更新が保証される。
また、更新ソフトウェアのサイズが更新管理ユニットのメモリ容量より大きいものは、差分ファイルを更新対象ユニットに送信し、更新対象ユニットが差分ファイルから更新ファイルを生成して更新を実行することにより、更新管理ユニットに大きいメモリを持たせる必要がなく、更新管理ユニットを低コストで製造することができる。 According to the third embodiment, since the update management unit with higher reliability performs update control, reliable update is guaranteed.
If the update software size is larger than the memory capacity of the update management unit, the update management unit sends the difference file to the update target unit, and the update target unit generates the update file from the difference file and executes the update. The unit does not need to have a large memory, and the update management unit can be manufactured at low cost.

なお、上述では、プロパティ情報として、更新対象ユニットの信頼性情報と、更新ソフトウェアのサイズ情報を持つ場合について説明したが、プロパティ情報は、これに限らず、更新管理ユニットと更新対象ユニットの信頼性の関係から決定された更新制御を行うユニットを指定する情報であってもよく、この場合、更新管理ユニットが、指定されたユニットに更新制御を行う決定をする。   In the above description, the case where the property information includes the reliability information of the update target unit and the size information of the update software has been described. However, the property information is not limited to this, and the reliability of the update management unit and the update target unit. In this case, the update management unit determines to perform update control on the designated unit.

なお、本発明は、その発明の範囲内において、各実施の形態を自由に組み合わせたり、各実施の形態を適宜、変形、省略することが可能である。   It should be noted that the present invention can be freely combined with each other within the scope of the invention, and each embodiment can be appropriately modified or omitted.

10 配信ユニット、11 更新情報、20 更新管理ユニット、21 更新情報取得手段、22 更新プロパティ判定手段、23 更新情報送信手段、24 更新制御手段、25 更新ファイル生成手段、26 更新指示手段、27 更新完了確認手段、30 更新対象ユニット、31 更新情報取得手段、32 更新制御手段、33 更新ファイル生成手段、34 更新実行手段、35 更新完了確認手段 DESCRIPTION OF SYMBOLS 10 Distribution unit, 11 Update information, 20 Update management unit, 21 Update information acquisition means, 22 Update property determination means, 23 Update information transmission means, 24 Update control means, 25 Update file generation means, 26 Update instruction means, 27 Update completion Confirmation means, 30 update target unit, 31 update information acquisition means, 32 update control means, 33 update file generation means, 34 update execution means, 35 update completion confirmation means

Claims (8)

配信ユニットから配信される更新ソフトウェアを用いて更新対象ユニットのソフトウェアを更新するソフトウェア更新システムであって、
上記配信ユニットから配信される更新ソフトウェアおよびプロパティ情報を含む更新情報を受信し、この受信した更新情報に基づき、上記ソフトウェアの更新を管理する更新管理ユニットを備え、
上記更新管理ユニットは、
上記更新情報の上記プロパティ情報を解析して、上記更新管理ユニットおよび上記更新対象ユニットのいずれが、上記ソフトウェアの更新可否判定を含む更新制御を行うかを判定する更新プロパティ判定手段を有し、
上記更新対象ユニットは、
上記更新ソフトウェアを用いて上記ソフトウェアを更新する更新実行手段を有し、
上記更新管理ユニットおよび上記更新対象ユニットは、それぞれ
上記更新対象ユニットのソフトウェアの更新可否判定を含む更新制御を行う更新制御手段と、
上記更新ソフトウェアが差分ファイルの場合に全データの更新ファイルを生成する更新ファイル生成手段とを有し、
上記更新管理ユニットの更新プロパティ判定手段の判定に応じて、
上記更新管理ユニットの更新制御手段および上記更新対象ユニットの更新制御手段のいずれか一方が動作するとともに、
上記更新管理ユニットの更新ファイル生成手段および上記更新対象ユニットの更新ファイル生成手段のいずれか一方が動作することを特徴とするソフトウェア更新システム。 A software update system for updating software of an update target unit using update software distributed from a distribution unit,
An update management unit that receives update information including update software and property information distributed from the distribution unit, and manages the update of the software based on the received update information,
The update management unit
Analyzing the property information of the update information, and having update property determination means for determining which of the update management unit and the update target unit performs update control including determination of whether or not the software can be updated,
The above update target unit is
Having update execution means for updating the software using the update software;
The update management unit and the update target unit, respectively, update control means for performing update control including determination of whether or not software of the update target unit can be updated,
An update file generation means for generating an update file of all data when the update software is a difference file;
According to the update property determination means of the update management unit,
Either one of the update control unit of the update management unit and the update control unit of the update target unit operates,
One of the update file generation means of the update management unit and the update file generation means of the update target unit operates. 上記プロパティ情報は、上記更新対象ユニットの信頼性情報および上記更新ソフトウェアのサイズ情報を含み、
上記更新プロパティ判定手段は、上記プロパティ情報に含まれる上記更新対象ユニットの信頼性情報および上記更新ソフトウェアのサイズ情報を、上記更新管理ユニットの信頼性およびメモリ容量と比較することにより、上記更新管理ユニットおよび上記更新対象ユニットのいずれの上記更新制御手段および上記更新ファイル生成手段が動作するかを判定することを特徴とする請求項1記載のソフトウェア更新システム。 The property information includes reliability information of the update target unit and size information of the update software,
The update property determination unit compares the reliability information of the update target unit and the size information of the update software included in the property information with the reliability and memory capacity of the update management unit, thereby obtaining the update management unit. 2. The software update system according to claim 1, wherein the update control unit and the update file generation unit of the update target unit are operated. 上記プロパティ情報に含まれる上記更新対象ユニットの信頼性の方が、上記更新管理ユニットの信頼性より高い場合には、
上記更新対象ユニットの更新制御手段および上記更新対象ユニットの更新ファイル生成手段が動作することを特徴とする請求項2記載のソフトウェア更新システム。 When the reliability of the update target unit included in the property information is higher than the reliability of the update management unit,
3. The software update system according to claim 2, wherein the update control unit for the update target unit and the update file generation unit for the update target unit operate. 上記プロパティ情報に含まれる上記更新対象ユニットの信頼性の方が、上記更新管理ユニットの信頼性より高くない場合で、かつ、上記更新管理ユニットのメモリ容量が上記更新ソフトウェアのサイズに対応できる場合には、
上記更新管理ユニットの更新制御手段および上記更新管理ユニットの更新ファイル生成手段が動作することを特徴とする請求項2または請求項3記載のソフトウェア更新システム。 When the reliability of the update target unit included in the property information is not higher than the reliability of the update management unit, and the memory capacity of the update management unit can correspond to the size of the update software Is
4. The software update system according to claim 2, wherein an update control unit of the update management unit and an update file generation unit of the update management unit operate. 上記プロパティ情報に含まれる上記更新対象ユニットの信頼性の方が、上記更新管理ユニットの信頼性より高くない場合で、かつ、上記更新管理ユニットのメモリ容量が上記更新ソフトウェアのサイズに対応できない場合には、
上記更新管理ユニットの更新制御手段が動作するとともに、上記更新対象ユニットの更新ファイル生成手段が動作することを特徴とする請求項2から請求項4のいずれか一項記載のソフトウェア更新システム。 When the reliability of the update target unit included in the property information is not higher than the reliability of the update management unit, and the memory capacity of the update management unit cannot correspond to the size of the update software Is
5. The software update system according to claim 2, wherein an update control unit of the update management unit operates and an update file generation unit of the update target unit operates. 6. 上記プロパティ情報は、上記更新管理ユニットと上記更新対象ユニットの信頼性の関係から決定された更新制御を行うユニットを指定する情報を含み、
上記更新プロパティ判定手段は、上記プロパティ情報に含まれる上記更新制御を行うユニットを指定する情報に基づき、上記更新管理ユニットおよび上記更新対象ユニットのいずれの上記更新制御手段が動作するかを判定することを特徴とする請求項1記載のソフトウェア更新システム。 The property information includes information for designating a unit that performs update control determined from the reliability relationship between the update management unit and the update target unit,
The update property determination unit determines which of the update management unit and the update target unit the update control unit operates based on information specifying a unit that performs the update control included in the property information. The software update system according to claim 1. 上記更新管理ユニットおよび上記更新対象ユニットは、それぞれ、上記更新対象ユニットのソフトウェアの更新の完了後に、誤り検出により正しく更新できたことを確認する更新完了確認手段を有し、
上記更新制御手段が動作した上記更新管理ユニットまたは上記更新対象ユニットの更新完了確認手段が動作することを特徴とする請求項1から請求項6のいずれか一項記載のソフトウェア更新システム。 Each of the update management unit and the update target unit has update completion confirmation means for confirming that the update was successfully performed by error detection after completion of the software update of the update target unit,
7. The software update system according to claim 1, wherein the update management unit in which the update control unit is operated or the update completion confirmation unit of the update target unit is operated. 上記更新対象ユニットは、車両に搭載された車載制御ユニットであり、
上記更新制御手段は、上記更新対象ユニットおよび上記車両に搭載された他の車載制御ユニットへの動作停止指示を行うことを特徴とする請求項1から請求項7のいずれか一項記載のソフトウェア更新システム。 The update target unit is an in-vehicle control unit mounted on a vehicle,
The software update according to any one of claims 1 to 7, wherein the update control means issues an operation stop instruction to the update target unit and another vehicle-mounted control unit mounted on the vehicle. system.
JP2015121707A 2015-06-17 2015-06-17 Software update system Active JP5989193B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015121707A JP5989193B1 (en) 2015-06-17 2015-06-17 Software update system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015121707A JP5989193B1 (en) 2015-06-17 2015-06-17 Software update system

Publications (2)

Publication Number Publication Date
JP5989193B1 JP5989193B1 (en) 2016-09-07
JP2017010098A true JP2017010098A (en) 2017-01-12

Family

ID=56871748

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015121707A Active JP5989193B1 (en) 2015-06-17 2015-06-17 Software update system

Country Status (1)

Country Link
JP (1) JP5989193B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2024111200A (en) * 2021-04-06 2024-08-16 トヨタ自動車株式会社 Center, distribution control method, and distribution control program

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7524939B2 (en) * 2022-01-12 2024-07-30 トヨタ自動車株式会社 System, program update confirmation method and update confirmation program

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010218070A (en) * 2009-03-16 2010-09-30 Toyota Motor Corp Management device
JP6056424B2 (en) * 2012-11-29 2017-01-11 株式会社デンソー In-vehicle program update device

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2024111200A (en) * 2021-04-06 2024-08-16 トヨタ自動車株式会社 Center, distribution control method, and distribution control program
JP7715253B2 (en) 2021-04-06 2025-07-30 トヨタ自動車株式会社 Center, distribution control method, and distribution control program

Also Published As

Publication number Publication date
JP5989193B1 (en) 2016-09-07

Similar Documents

Publication Publication Date Title
US9223559B2 (en) Information processing apparatus, electronic control unit, information processing method, and program
KR102720909B1 (en) Software Upgrade Methods, Devices and Systems
US20200226015A1 (en) Hot updates to controller software using tool chain
JP6432611B2 (en) Automobile repair system providing security support and fault tolerance support
CN104423378B (en) The method and system of Vehicle Electronic Control Unit calibration
CA2952045C (en) System, method, and apparatus for generating vital messages on an on-board system of a vehicle
JP2018036972A (en) File format conversion apparatus and conversion method therefor
US11924726B2 (en) In-vehicle control device, information processing device, vehicle network system, method of providing application program, and recording medium with program recorded thereon
KR101977401B1 (en) Commucation device providing dynamic modbus protocol mapping
JP5989193B1 (en) Software update system
KR101453671B1 (en) Integrated interface system for monitoring and controling electric power system
US20130282908A1 (en) Method and System for Deploying and Modifying a Service-Oriented Architecture Deployment Environment
CN105549974A (en) Chip firmware updating method and system
KR101601074B1 (en) ECU Updating Apparatus, ECU Updating Method and ECU Updating Network using the same
CN112650099B (en) A control method and control system for a battery monitoring platform
JP5891917B2 (en) Communication recovery support device and communication recovery support interface
JP5790514B2 (en) Electronic equipment
KR102713479B1 (en) Method, apparatus, and system for aircraft control
US20150295911A1 (en) Apparatus and method for controlling authorization to access resources in a communication network
KR20150043732A (en) System and method for software update of vehicle controller
JP2019067236A (en) Electronic control device
JP2007257386A (en) Data verification method and verification system for vehicle electronic control unit
CN112333038A (en) Vehicle gateway detection method and device
US20170023935A1 (en) Method and Control System
US11782702B2 (en) Generation of code for a system

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160630

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160712

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160809

R150 Certificate of patent or registration of utility model

Ref document number: 5989193

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250