CN115543369A - 中心、ota管理器、方法、非暂时性存储介质及车辆 - Google Patents
中心、ota管理器、方法、非暂时性存储介质及车辆 Download PDFInfo
- Publication number
- CN115543369A CN115543369A CN202210542343.5A CN202210542343A CN115543369A CN 115543369 A CN115543369 A CN 115543369A CN 202210542343 A CN202210542343 A CN 202210542343A CN 115543369 A CN115543369 A CN 115543369A
- Authority
- CN
- China
- Prior art keywords
- vehicle
- control unit
- electronic control
- center
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/65—Updates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/63—Location-dependent; Proximity-dependent
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C5/00—Registering or indicating the working of vehicles
- G07C5/008—Registering or indicating the working of vehicles communicating information to a remotely located station
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/35—Protecting application or service provisioning, e.g. securing SIM application provisioning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/02—Services making use of location information
- H04W4/025—Services making use of location information using location based information parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/30—Services specially adapted for particular environments, situations or purposes
- H04W4/40—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
- H04W4/44—Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for communication between vehicles and infrastructures, e.g. vehicle-to-cloud [V2C] or vehicle-to-home [V2H]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/50—Service provisioning or reconfiguring
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Stored Programmes (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明涉及中心、OTA管理器、方法、非暂时性存储介质以及车辆,该中心构成为与OTA管理器进行通信,该OTA管理器构成为对被搭载于车辆的电子控制单元的软件更新进行控制,上述中心具备:存储部,构成为对将地域与上述软件更新所要求的安全等级建立了关联的安全信息进行存储;接收部,构成为从上述车辆接收表示上述车辆的位置的位置信息;以及控制部,构成为基于上述安全信息和上述位置信息来生成被以与上述车辆所处的地域对应的安全等级实施了加密的分发数据包。
Description
技术领域
本公开涉及对电子控制单元的软件的更新进行控制的中心、OTA管理器方法、非暂时性存储介质以及车辆。
背景技术
在车辆搭载有用于控制车辆的动作的多个电子控制单元。电子控制单元具备处理器、RAM那样的暂时性存储部、闪速ROM那样的非易失性存储部亦即非易失性存储器。通过处理器执行存储于非易失性存储器的软件来实现电子控制单元的控制功能。各电子控制单元所存储的软件能够改写。通过软件更新为更新的版本的软件,能够改善各电子控制单元的功能、追加新的车辆控制功能。
作为更新电子控制单元的软件的技术,公知有OTA(Over The Air:空中下载)技术。在OTA技术中,担负车辆的软件的更新处理的装置将与车载网络连接的车载通信设备和因特网等通信网络通过无线而连接。例如参照日本特开2004-326689,其中,担负软件的更新处理的装置通过借助无线通信从服务器下载软件,并将下载了的软件安装于电子控制单元,由此进行电子控制单元的软件更新、追加。
使用了OTA的电子控制单元的软件更新所要求的安全等级根据使用车辆的地域(国家、州等)的法规限制而不同。因此,若将包括为了进行软件的更新所需的数据、信息的分发数据包的安全等级(加密等级)设定为一样,则可认为根据软件更新时车辆所存在的地域而无法按原样对数据包进行分发、安全等级过高而导致数据、信息的解密需要长的时间。因此,分发数据包的安全等级的设定存在改善的余地。
发明内容
本公开提供能够动态地设定安全等级来适宜地收发分发数据包的中心、OTA管理器方法、非暂时性存储介质以及车辆。
本公开技术的第一方式是一种中心,构成为与OTA管理器进行通信,该OTA管理器构成为对被搭载于车辆的电子控制单元的软件更新进行控制。上述中心具备:存储部,构成为对将地域与上述软件更新所要求的安全等级建立了关联的安全信息进行存储;接收部,构成为从上述车辆接收表示上述车辆的位置的位置信息;和控制部,构成为基于上述安全信息和上述位置信息来生成以与上述车辆所处的地域对应的安全等级实施了加密的分发数据包。
本公开技术的第一方式所涉及的中心可以还具备:上述接收部,构成为接收表示多个上述电子控制单元的各软件的版本的版本信息;判定部,构成为基于上述版本信息来对是否存在目标电子控制单元进行判定;上述控制部,构成为在由上述判定部判定为存在上述目标电子控制单元的情况下,基于上述安全信息和上述位置信息来生成以与上述车辆所处的地域对应的上述安全等级实施了上述加密的上述分发数据包;以及发送部,构成为基于来自上述OTA管理器的请求来将上述分发数据包发送至上述OTA管理器。上述目标电子控制单元可以是成为上述软件更新的对象的上述电子控制单元。
在本公开技术的第一方式所涉及的中心中,上述控制部可以构成为生成包括确定上述加密的手法的信息的上述分发数据包。
在本公开技术的第一方式所涉及的中心中,上述控制部可以构成为在与上述车辆所处的地域对应的上述安全等级为规定的阈值以上的情况下,生成被实施了基于上述车辆固有的信息的上述加密的分发数据包。
在本公开技术的第一方式所涉及的中心中,上述控制部可以构成为在与上述车辆所处的地域对应的上述安全等级小于规定的阈值的情况下,生成被实施了基于多个上述车辆共通的信息的上述加密的分发数据包。
本公开技术的第二方式是一种OTA管理器,构成为对被搭载于车辆的电子控制单元的软件更新进行控制。上述OTA管理器具备:发送部,构成为向中心发送表示上述车辆的位置的位置信息;接收部,构成为从上述中心接收基于上述位置信息而被以与上述车辆所处的地域对应的安全等级实施了加密的分发数据包;以及控制部,基于接收到的上述分发数据包来对目标电子控制单元的上述软件更新进行控制。上述目标电子控制单元是成为上述软件更新的对象的上述电子控制单元。
在本公开技术的第二方式所涉及的OTA管理器中,上述控制部可以构成为基于上述分发数据包所包括的确定上述加密的手法的信息来对上述分发数据包进行解密。
在本公开技术的第二方式所涉及的OTA管理器中,上述控制部可以构成为基于上述车辆固有的信息来对上述分发数据包进行解密。
在本公开技术的第二方式所涉及的OTA管理器中,上述控制部可以构成为基于多个上述车辆共通的信息来对上述分发数据包进行解密。
本公开技术的第三方式是一种方法,由构成为与OTA管理器进行通信的中心执行,该OTA管理器构成为对被搭载于车辆的电子控制单元的软件更新进行控制。上述中心具备存储器和1个以上的处理器。上述方法包括:对将地域与上述软件更新所要求的安全等级建立了关联的安全信息进行存储;从上述车辆接收表示上述车辆的位置的位置信息;基于上述安全信息和上述位置信息来生成被以与上述车辆所处的地域对应的安全等级实施了加密的分发数据包。
本公开技术的第四方式是一种方法,由OTA管理器执行,该OTA管理器构成为对被搭载于车辆的电子控制单元的软件更新进行控制。上述OTA管理器具备存储器和1个以上的处理器。上述方法包括:向中心发送上述车辆的位置信息;从上述中心接收基于上述位置信息而被以与上述车辆所处的地域对应的安全等级实施了加密的分发数据包;以及基于上述接收到的上述分发数据包来控制目标电子控制单元的上述软件更新。上述目标电子控制单元是成为上述软件更新的对象的上述电子控制单元。
本公开技术的第一方式所涉及的中心可以还具备非暂时性存储介质,该非暂时性存储介质储存有能够由上述中心的1个以上处理器执行且使上述1个以上的处理器执行以下功能的命令。上述功能可以包括:存储上述安全信息;从上述车辆接收上述位置信息;以及基于上述安全信息和上述位置信息来生成被以与上述车辆所处的上述地域对应的上述安全等级实施了上述加密的上述分发数据包。
本公开技术的第二方式所涉及的OTA管理器可以还具备非暂时性存储介质,该非暂时性存储介质储存有能够由上述OTA管理器的1个以上处理器执行且使上述1个以上的处理器执行以下功能的命令。上述功能可以具备:向中心发送上述车辆的上述位置信息;从上述中心接收基于上述位置信息而被以与上述车辆所处的上述地域对应的安全等级实施了加密的上述分发数据包;以及基于上述接收到的上述分发数据包来控制上述目标电子控制单元的上述软件更新。
本公开技术的第二方式所涉及的OTA管理器可以被搭载于车辆。
根据本公开,中心将基于软件更新时的车辆的位置的安全等级设定于分发数据包。因此,能够向OTA管理器分发对于软件更新时的车辆的位置来说适宜的安全等级的分发数据包。
附图说明
以下,参照附图对本发明的示例性实施例的特征、优点、技术及工业重要性进行说明,在附图中相同的附图标记表示相同的构成要素,其中:
图1是表示实施方式所涉及的网络系统的整体结构的框图。
图2是表示中心的简要结构的框图。
图3是中心的功能框图。
图4是中心所存储的安全信息的一个例子。
图5是表示OTA管理器的简要结构的框图。
图6是OTA管理器的功能框图。
图7是中心所执行的分发控制处理的流程图。
图8是OTA管理器所执行的软件更新控制处理的流程图。
具体实施方式
本公开的中心预先对将使用车辆的地域与软件更新所要求的安全等级建立了关联的信息进行存储。在从OTA管理器向中心存在更新数据的下载请求的情况下,中心生成以搭载有该OTA管理器的车辆所处的地域的安全等级被实施了加密的分发数据包,并将分发数据包发送至OTA管理器。通过该处理,能够以在分发地域中被要求的安全等级执行软件更新。
以下,参照附图对本公开的一个实施方式详细地进行说明。
实施方式
结构
图1是表示本公开的一个实施方式所涉及的网络系统的整体结构的框图。图1所示的网络系统是用于对被搭载于车辆的多个电子控制单元40a~40d的软件进行更新的系统。网络系统具备位于车辆之外的中心10、在车辆内构建的车载网络20、以及网络70。
(1)中心
中心10能够经由网络70与车载网络20所具备的后述的OTA管理器30通信。中心10进行电子控制单元40a~40d的软件的更新数据向OTA管理器30的发送、来自OTA管理器30的表示软件更新处理的进展状况的通知的接收等。中心10能够对与OTA管理器30连接的多个电子控制单元40a~40d的软件更新进行控制以及管理。该中心10具有作为所谓的服务器的功能。
图2是表示图1中的中心10的简要结构的框图。如图2所示,中心10具备CPU(Central Processing Unit)11、RAM(Random Access Memory)12、存储装置13、以及通信装置14。存储装置13是具备硬盘驱动器(HDD)、固态驱动器(SSD)等可读写的存储介质的装置。存储装置13对用于执行软件的更新管理的程序、在软件的更新控制以及软件更新管理中使用的信息、以及各电子控制单元的软件的更新数据等进行存储。在中心10中,CPU11通过使用RAM12作为工作区域执行从存储装置13读出的程序来执行与软件更新相关的规定的处理。通信装置14是用于经由网络70与OTA管理器30进行通信的装置。
图3是图2所示的中心10的功能框图。图3所示的中心10具备判定部15、存储部16、通信部17以及控制部18。存储部16由图2所示的存储装置13实现。判定部15、通信部17以及控制部18通过图2所示的CPU11使用RAM12执行存储于存储装置13的程序来实现。
存储部16对与搭载于车辆的1个以上的电子控制单元的软件更新处理相关的信息进行存储。作为与软件更新处理相关的信息,存储部16至少存储更新管理信息和电子控制单元40a~40d的软件的更新数据(或者包括更新数据的分发数据包)。更新管理信息是按识别车辆的每个车辆识别信息(车辆ID)将表示在电子控制单元40a~40d能够利用的软件的信息建立了关联的信息。作为表示在电子控制单元40a~40d能够利用的软件的信息,例如可定义多个电子控制单元40a~40d的各软件的最新的版本信息的组合。另外,作为与软件更新处理相关的信息,存储部16对按使用车辆的每个地域将软件更新所要求的安全等级建立了关联的安全信息进行存储。图4中示出了存储部16所存储的安全信息的一个例子。图4所例示的安全信息将使用车辆的地域与软件更新所要求的安全等级建立了关联。地域能够按照国家、州、市、街道、法规规定区域等单位来进行划分。另外,作为与软件更新处理相关的信息,存储部16能够存储正在车辆实施的软件的更新状况。并且,存储部16能够存储与分别被搭载于多个电子控制单元40a~40d的非易失性存储器的类别相关的信息。
通信部17作为与OTA管理器30之间进行数据、信息以及请求等的发送以及接收的发送部以及接收部发挥功能。通信部17从OTA管理器30接收软件的更新确认请求(接收部)。更新确认请求例如当在车辆中电源或者点火装置被接通(以下称为“电源接通”)时从OTA管理器30向中心10发送。更新确认请求是用于基于后述的车辆构成信息来请求中心10确认是否存在电子控制单元40a~40d的更新数据的信息。另外,通信部17响应于从OTA管理器30接收到的更新确认请求来将表示更新数据的有无的信息发送至OTA管理器30(发送部)。另外,通信部17对来自OTA管理器30的分发数据包的发送请求(下载请求)进行接收(接收部)。另外,通信部17若接收到分发数据包的下载请求,则在将包括电子控制单元40a~40d的软件的更新数据的分发数据包实施了和与车辆的位置对应的安全等级相应的加密之后(后述)发送至OTA管理器30。
若通信部17从OTA管理器30接收到更新确认请求,则判定部15基于存储于存储部16的更新管理信息(电子控制单元的版本等)来针对搭载于由更新确认请求所包括的车辆ID确定的车辆的电子控制单元40a~40d判定是否存在软件的更新数据。判定部15涉及的是否存在更新数据的判定结果被通信部17发送至OTA管理器30。
在判定部15判定为存在电子控制单元40a~40d的软件的更新数据的情况下,若从OTA管理器30接收到分发数据包的下载请求,则控制部18生成包括向OTA管理器30发送的更新数据的分发数据包。此时,控制部18基于存储部16所存储的安全信息和更新确认请求或者下载请求所包括的表示车辆的位置的位置信息来生成以规定的安全等级实施了加密的分发数据包。分发数据包中可以包括确定加密方法的信息。关于与该安全等级相应的加密将后述。
(2)车载网络
车载网络20具备OTA管理器30、多个电子控制单元40a~40d以及通信模块50。OTA管理器30与通信模块50经由总线60a连接。OTA管理器30与电子控制单元40a以及40b经由总线60b连接。OTA管理器30与电子控制单元40c以及40d经由总线60c连接。
OTA管理器30能够经由总线60a以及通信模块50通过网络70与中心10实现无线通信。该OTA管理器30管理OTA状态。OTA管理器30具有控制软件更新处理的流程亦即更新时序来实施成为更新对象的电子控制单元(以下称为“目标电子控制单元”)的软件更新的功能。OTA管理器30基于从中心10取得的更新数据等来控制电子控制单元40a~40d中的目标电子控制单元的软件更新。OTA管理器30也存在被称为中央网关(CGW)的情况。1个以上的目标电子控制单元可以作为OTA管理器30发挥功能。
图5是表示图1中的OTA管理器30的简要结构的框图。如图5所示,OTA管理器30具备CPU31、RAM32、ROM(Read-Only Memory)33、存储装置34以及通信装置36。CPU31、RAM32、ROM33以及存储装置34构成微型计算机35。在OTA管理器30中,CPU31通过使用RAM32作为工作区域执行从ROM33读出的程序来执行与软件更新相关的规定的处理。通信装置36经由图1所示的总线60a~60c与通信模块50以及电子控制单元40a~40d分别进行通信。
图6是图5所示的OTA管理器30的功能框图。图6所示的OTA管理器30具备存储部37、通信部38以及控制部39。存储部37由图5所示的存储装置34实现。通信部38以及控制部39通过图5所示的CPU31使用RAM32执行存储于ROM33的程序来实现。
存储部37除了储存用于执行多个电子控制单元40a~40d的软件更新的程序(OTA管理器30的控制用程序)、在执行软件更新时使用的各种数据之外,还存储从中心10下载了的软件的更新数据等。另外,存储部37能够存储与分别搭载于多个电子控制单元40a~40d的非易失性存储器的类别相关的信息。并且,存储部37可以预先存储有对从中心10发送来的分发数据包实施了的加密的手法。
通信部38作为与中心10之间进行数据、信息以及请求等的发送以及接收的发送部以及接收部发挥功能。通信部38例如以车辆的电源接通为契机来将软件的更新确认请求发送至中心10(发送部)。更新确认请求例如包括用于识别车辆的车辆ID、与车载网络20连接的电子控制单元40a~40d的软件的当前版本所涉及的版本信息、以及表示车辆的位置的位置信息。为了通过与中心10按每个车辆ID保持的软件的最新版本的比较来判定是否存在电子控制单元40a~40d的软件的更新数据而使用车辆ID以及电子控制单元40a~40d的软件的当前版本。为了中心10决定分发数据包的安全等级而使用位置信息。另外,通信部38从中心10接收表示软件的更新数据的有无的通知作为对于更新确认请求的响应(接收部)。在存在电子控制单元40a~40d的软件的更新数据的情况下,通信部38将软件的更新数据的分发数据包的下载请求发送至中心10(发送部)。其中,下载请求中可以包括位置信息。通信部38基于控制部39的控制来接收(下载)从中心10发送的分发数据包(接收部)。另外,通信部38将从电子控制单元40a~40d接收到的软件的更新状态发送至中心10(发送部)。
控制部39基于通信部38接收到的对于更新确认请求的来自中心10的响应来对是否存在电子控制单元40a~40d的软件的更新数据进行判定。另外,控制部39进行通信部38基于控制部39的控制从中心10接收(下载)并储存于存储部37的分发数据包的解密、真实性的验证。另外,控制部39使用从中心10接收(下载)到的更新数据来控制电子控制单元40a~40d的软件更新处理(各种验证、安装、激活等)。具体而言,控制部39将利用分发数据包下载了的1个以上的更新数据转送至目标电子控制单元,使目标电子控制单元安装基于更新数据的更新软件。在安装完成后,控制部39对于目标电子控制单元指示使安装了的更新软件有效化的激活。在该软件更新处理时,控制部39恰当地控制多个电子控制单元40a~40d中的各种验证、安装、激活等的步骤。
多个电子控制单元40a~40d是用于控制车辆的各部的动作的装置(ECU:Electronic Control Unit)。在图1中示出了车载网络20具备4个电子控制单元40a~40d的例子,但电子控制单元的数量不特别限定。另外,用于在电子控制单元40a~40d的软件的更新处理时进行存在更新数据这一显示、用于向车辆的用户、管理者请求对于软件更新的同意的同意请求画面的显示、以及软件更新的结果的显示等各种显示的显示装置(HMI)可以与OTA管理器30连接。作为显示装置,能够使用汽车导航系统等。另外,将电子控制单元与OTA管理器30连接的总线的数量也不特别限定。例如,上述的显示装置可以利用总线60a~60c以外的总线与OTA管理器30连接。
通信模块50是具有控制中心10与车辆的通信的功能的单元。通信模块50将车载网络20与中心10连接。通信模块50通过网络70与中心10无线连接。OTA管理器30经由通信模块50进行车辆的认证、更新数据的下载等。此外,该通信模块50可以构成为包含于OTA管理器30。
软件的更新处理的概要
OTA管理器30例如以车辆的电源接通为契机来将软件的更新确认请求发送至中心10。更新确认请求包括用于识别车辆的车辆ID、车辆构成信息、以及表示车辆的位置的位置信息。车辆构成信息是与车载网络20连接的电子控制单元40a~40d的硬件以及软件的当前版本等与电子控制单元的状态(系统构成)相关的信息。能够通过OTA管理器30从与车载网络20连接的电子控制单元40a~40d取得电子控制单元的识别编号(ECU_ID)和电子控制单元的软件版本的识别编号(ECU_Software_ID)来创建车辆构成信息。为了通过与中心10按每个车辆ID保持的软件的最新版本的比较来判定是否存在电子控制单元40a~40d的软件的更新数据而使用车辆ID以及电子控制单元40a~40d的软件的当前版本。位置信息能够利用由搭载于车辆的GPS系统取得的纬度/经度的信息等。中心10将表示更新数据的有无的通知作为对于从OTA管理器30接收到的更新确认请求的响应发送至OTA管理器30。在存在电子控制单元40a~40d的软件的更新数据的情况下,OTA管理器30将分发数据包的下载请求发送至中心10。中心10根据从OTA管理器30接收到的下载请求并基于中心10所存储的安全信息将包括更新数据的以与车辆的位置相应的安全等级加密了(后述)的分发数据包发送至OTA管理器30。分发数据包可以除了包括更新数据之外,还包括确定对分发数据包实施了的加密的手法的信息、用于验证更新数据的真实性的验证用数据、更新数据的数量、类别信息、以及在件更新时使用的各种控制信息等。此外,位置信息可以包含于下载请求而不包含于更新确认请求。确定对分发数据包实施了的加密的手法的信息可以能够在解密前读取。
OTA管理器30基于从中心10接收到的对于更新确认请求的响应来判定是否存在电子控制单元40a~40d的软件的更新数据。另外,OTA管理器30进行从中心10接收并储存于存储装置34的分发数据包的解密、真实性的验证。另外,OTA管理器30将利用分发数据包下载了的1个以上的更新数据转送至目标电子控制单元,使目标电子控制单元安装更新数据。在安装完成后,OTA管理器30指示目标电子控制单元进行使安装了的更新版的软件有效的激活。
另外,OTA管理器30在同意请求处理中使输出装置输出对于软件更新需要同意这一内容的通知、向车辆的用户或者管理者催促同意软件更新这一内容的输入的通知。作为输出装置,能够利用设置于车载网络20的进行基于显示的通知的显示装置(未图示)、进行基于声音的通知的声音输出装置(未图示)等。例如,当在同意请求处理中使用显示装置作为输出装置的情况下,OTA管理器30能够使显示装置显示用于向用户或者管理者请求软件更新的同意的同意请求画面、显示在用户或者管理者同意的情况下向用户或者管理者催促按下同意按钮等特定的输入操作的通知。另外,OTA管理器30能够使显示装置在同意请求处理中显示通知为存在电子控制单元40a~40d的软件的更新数据的语句、图标等、显示软件更新处理的执行中的限制事项等。OTA管理器30若从用户或者管理者受理到同意这一内容的输入,则执行上述的安装以及激活的控制处理,更新目标电子控制单元的软件。
这里,在目标电子控制单元的非易失性存储器是具有用于储存软件等数据的1个储存区域的单库存储器的情况下,原则上连续地进行安装与激活。因此,在更新软件的安装的执行前,进行对于软件更新的同意请求处理。此外,即便目标电子控制单元的非易失性存储器是单库存储器,也能够请求目标电子控制单元在安装完成的状态下暂时停止更新处理、即待机(暂缓)激活。另外,在目标电子控制单元的非易失性存储器是具有用于储存软件等数据的2个储存区域的双库存储器的情况下,至少在安装的执行后且激活的执行前进行对于软件更新的同意请求处理。此外,在目标电子控制单元的非易失性存储器为双库存储器的情况下,安装执行前的对于软件的更新的同意请求处理可以进行,也可以省略。
软件更新处理由下载阶段、安装阶段以及激活阶段构成。在下载阶段中,OTA管理器30从中心10下载更新数据。在安装阶段中,OTA管理器30将下载了的更新数据(更新软件)转送至目标电子控制单元,在目标电子控制单元的储存区域安装基于更新数据的更新软件。在激活阶段中,目标电子控制单元使安装了的更新软件有效化。
下载是OTA管理器30接收从中心10发送的用于更新电子控制单元的软件的更新数据并将更新数据存储于存储部37的处理。在下载中,进行使用了被实施与后述的规定的安全等级相应的加密的分发数据包的更新数据的下载。在下载阶段中,不仅包括下载的执行,还包括下载的可否执行判断、分发数据包的解密以及更新数据的验证等与下载相关的一系列处理的控制。
从中心10向OTA管理器30发送的更新数据可以包括电子控制单元的更新软件(完整数据或者差分数据)、压缩更新软件而成的压缩数据、分割更新软件或者压缩数据而成的分割数据中的任一个。另外,更新数据可以包括目标电子控制单元的ECU_ID(或者序列号)和更新前的目标电子控制单元的ECU_Software_ID。被下载的分发数据包中可包括仅单个电子控制单元的更新数据或者多个电子控制单元的更新数据。
安装是OTA管理器30基于从中心10下载了的更新数据将更新软件(更新版的程序)按照所决定的顺序写入至多个目标电子控制单元的非易失性存储器的处理。在安装阶段中,不仅包括安装的执行,还包括安装的可否执行判断、更新数据的转送以及更新软件的验证等与安装相关的一系列处理的控制。
在更新数据包括更新软件本身(完整数据)的情况下,在安装阶段中,OTA管理器30将更新数据(更新软件)转送至目标电子控制单元。另外,在更新数据包括更新软件的压缩数据、或者差分数据、或分割数据的情况下,可以是OTA管理器30向目标电子控制单元转送更新数据,目标电子控制单元根据更新数据来生成更新软件。或者,也可以是在OTA管理器30根据更新数据生成更新软件之后将更新软件转送至目标电子控制单元。这里,更新软件的生成能够通过压缩数据的解压、差分数据或者分割数据的组合(整合)来进行。
更新软件的安装能够由目标电子控制单元基于来自OTA管理器30的安装请求来进行。此外,接收到更新数据的特定的目标电子控制单元可以自主地进行更新软件的安装而不接受来自OTA管理器30的明确的指示。
激活是目标电子控制单元使安装于非易失性存储器的更新软件有效化(激活)的处理。在激活阶段中,不仅包括激活的执行,还包括激活的可否执行判断、向车辆的用户或者管理者的对于激活的同意请求、执行结果的验证等与激活相关的一系列控制。
更新软件的激活能够由目标电子控制单元基于来自OTA管理器30的激活请求来进行。此外,接收到更新数据的特定的目标电子控制单元可以在安装完成后自主地进行激活而不接受来自OTA管理器30的明确的指示。
其中,能够对于多个目标电子控制单元分别连续或并列地进行软件更新处理。
另外,“软件更新处理”不仅包括连续进行下载、安装以及激活的全部的处理,还包括仅进行下载、安装以及激活中的一部分的处理。
处理
接下来,进而参照图7以及图8来对在本实施方式所涉及的网络系统中执行的处理进行说明。
图7是对中心10的各构成所执行的分发控制处理的一个例子进行说明的流程图。因中心10接收到OTA管理器30发送的更新确认请求而开始该图7所示的分发控制处理。
步骤S701
中心10的控制部18对从OTA管理器30是否存在软件的更新确认请求(是否接收到软件的更新确认请求)进行判断。在存在更新确认请求的情况下(步骤S701,是),处理进入至步骤S702。在不存在更新确认请求的情况下(步骤S701,否),处理进入至步骤S704。
步骤S702
中心10的控制部18检查有无需要更新的软件。通过对从更新确认请求所包括的车辆构成信息取得的搭载于车辆的各电子控制单元40a~40d的软件的当前版本与存储于中心10的存储部16的各软件的最新版本进行比较来进行该检查。若进行了需要更新的软件的有无的检查,则处理进入至步骤S703。
步骤S703
中心10的控制部18基于存储于中心10的存储部16的更新管理信息来针对更新确认请求所包括的搭载于车辆的电子控制单元40a~40d判断是否存在软件的更新数据。中心10的控制部18基于判断结果来将表示更新数据的有无的信息发送至OTA管理器30。若发送了更新数据的有无,则处理进入至步骤S704。
步骤S704
中心10的通信部17对从OTA管理器30是否存在分发数据包的下载请求进行判断。在存在下载请求的情况下(步骤S704,是),处理进入至步骤S705。在不存在下载请求的情况下(步骤S704,否),处理进入至步骤S701。
步骤S705
中心10的控制部18基于中心10的存储部16所存储的安全信息来取得与根据从OTA管理器30接收到的请求(更新确认请求或者下载请求)所包括的位置信息获得的车辆的位置对应的安全等级。例如,在如图4的例子那样车辆位于地域A的情况下,取得“等级1”作为面向该车辆的分发数据包的安全等级。若取得了与车辆的位置对应的安全等级,则处理进入至步骤S706。
步骤S706
中心10的控制部18生成以与所取得的安全等级对应的强度实施了加密的分发数据包作为包括向OTA管理器30发送的更新数据等的分发数据包。作为加密的一个例子,在安全等级为规定的阈值以上(高)的情况下,基于车辆固有的信息(密钥)来对分发数据包实施加密。另一方面,在安全等级小于规定的阈值(低)的情况下,能够基于多个车辆共通的信息(密钥)来对分发数据包实施加密。安全等级为规定的阈值以上的情况下的车辆固有的信息可以使用VIN等车辆识别信息来生成,也可以按每个VIN(每个车辆)来实施不同的加密。另外,该分发数据包中也可以包括确定加密的手法的信息。若生成了基于与车辆的位置相应的安全等级实施了加密的分发数据包,则处理进入至步骤S707。
步骤S707
中心10的通信部17将基于与车辆的位置相应的安全等级实施了加密的分发数据包发送至OTA管理器30。若发送了分发数据包,则处理进入至步骤S701。
其中,在上述实施方式中,对中心10在从OTA管理器30接收到请求的时机生成基于与车辆的位置相应的安全等级被实施了加密的分发数据包的例子进行了说明。然而,中心10也可以在更新数据被登记至中心10的时机针对全部的车辆预先生成实施了基于与全部的地域相应的安全等级的加密的多个分发数据包。
图8是对OTA管理器30的各构成所执行的软件更新控制处理的一个例子进行说明的流程图。例如以车辆的电源接通为契机来执行该图8所示的软件更新控制处理。
步骤S801
OTA管理器30的通信部38将是否存在电子控制单元40a~40d的软件的更新数据的更新确认请求发送至中心10。该确认请求中包括车辆ID和电子控制单元40a~40d的软件的当前版本。若确认请求被发送至中心10,则处理进入至步骤S802。
步骤S802
OTA管理器30的通信部38从中心10接收对于更新确认请求的响应。若接收到对于更新确认请求的响应,则处理进入至步骤S803。
步骤S803
OTA管理器30的控制部39基于OTA管理器30的通信部38接收到的对于更新确认请求的响应来判断是否存在对于电子控制单元40a~40d中的至少1个的软件的更新数据。在软件的更新数据存在至少1个的情况下(步骤S803,是),处理进入至步骤S804。在完全不存在软件的更新数据的情况下(步骤S803,否),本软件更新控制处理结束。
步骤S804
OTA管理器30的控制部39进行更新数据的下载。更详细而言,OTA管理器30的通信部38向中心10发送包括更新数据的分发数据包的下载请求,对响应于下载请求而从中心10发送的分发数据包进行接收。通信部38将接收到的分发数据包储存于OTA管理器30的存储部37。若进行了更新数据的下载,则处理进入至步骤S805。
步骤S805
OTA管理器30的控制部39对于目标电子控制单元执行(指示)基于更新数据的软件的安装。更详细而言,控制部39将分发数据包所包括的更新数据转送至目标电子控制单元,对目标电子控制单元指示更新软件的安装。目标电子控制单元将从OTA管理器30接收到的更新软件写入至数据储存区域。若执行了更新软件的安装,则处理进入至步骤S806。
步骤S806
OTA管理器30的控制部39执行(指示)被安装于目标电子控制单元的更新软件的激活。更详细而言,控制部39对于更新软件已写入至数据储存区域的目标电子控制单元指示更新软件的激活。目标电子控制单元以进行了电源断开等特定的输入操作为契机来进行重启,执行更新软件。若执行了更新软件的激活处理,则本软件更新控制处理结束。
效果
如以上那样,根据本公开的一个实施方式所涉及的网络系统,中心预先存储将使用车辆的地域和软件更新所要求的安全等级建立了关联的信息(安全信息)。而且,在中心从OTA管理器接收到更新数据的下载请求的情况下,中心生成以与搭载有该OTA管理器的车辆所处的地域对应的安全等级被实施了加密的分发数据包,并发送至OTA管理器。通过该处理,即便是相同的软件更新,也能够以在被分发更新数据的地域(车辆所处的地域)中要求的安全等级恰当地执行软件更新。
该分发数据包中能够包括确定对分发数据包实施了的加密的手法的信息。接收到分发数据包的OTA管理器能够根据该信息而容易地对分发数据包进行解密。
另外,在车辆所处的地域的安全等级为规定的阈值以上(安全等级请求高于规定)的情况下,通过基于车辆固有的信息来实施加密,能够抑制篡改等。另外,在车辆所处的地域的安全等级小于规定的阈值(安全等级请求低于规定)的情况下,通过基于多个车辆共通的信息来实施加密,能够使分发数据包的解密简单。即,能够缩短软件更新所需的时间。
以上,对本公开技术的一个实施方式进行了说明,但本公开不仅能够理解为中心,还能够理解为可与中心通信的OTA管理器、具备处理器和存储器的中心、OTA管理器所执行的方法、程序、或存储有程序的计算机可读取的非暂时性存储介质、或具备OTA管理器的车辆等。中心可以具备1个以上的处理器。OTA管理器可以具备1个以上的处理器。
本公开技术能够在用于更新电子控制单元的软件的网络系统中利用。
Claims (14)
1.一种中心,构成为与OTA管理器进行通信,该OTA管理器构成为对被搭载于车辆的电子控制单元的软件更新进行控制,
所述中心的特征在于,包括:
存储部,构成为对将地域与上述软件更新所要求的安全等级建立了关联的安全信息进行存储;
接收部,构成为从上述车辆接收表示上述车辆的位置的位置信息;以及
控制部,构成为基于上述安全信息和上述位置信息来生成被以与上述车辆所处的地域对应的安全等级实施了加密的分发数据包。
2.根据权利要求1所述的中心,其特征在于,还包括:
上述接收部,构成为接收表示多个上述电子控制单元的各软件的版本的版本信息;
判定部,构成为基于上述版本信息来判定是否存在目标电子控制单元,上述目标电子控制单元是成为上述软件更新的对象的上述电子控制单元;
上述控制部,构成为在由上述判定部判定为存在上述目标电子控制单元的情况下,基于上述安全信息和上述位置信息来生成被以与上述车辆所处的地域对应的上述安全等级实施了上述加密的上述分发数据包;以及
发送部,构成为基于来自上述OTA管理器的请求来将上述分发数据包发送至上述OTA管理器。
3.根据权利要求1或2所述的中心,其特征在于,
上述控制部构成为生成包括确定上述加密的手法的信息的上述分发数据包。
4.根据权利要求1~3中任一项所述的中心,其特征在于,
上述控制部构成为在与上述车辆所处的地域对应的上述安全等级为规定的阈值以上的情况下,生成被实施了基于上述车辆固有的信息的上述加密的分发数据包。
5.根据权利要求1~4中任一项所述的中心,其特征在于,
上述控制部构成为在与上述车辆所处的地域对应的上述安全等级小于规定的阈值的情况下,生成被实施了基于多个上述车辆共通的信息的上述加密的分发数据包。
6.一种OTA管理器,构成为对被搭载于车辆的电子控制单元的软件更新进行控制,
所述OTA管理器的特征在于,包括:
发送部,构成为向中心发送表示上述车辆的位置的位置信息;
接收部,构成为从上述中心接收基于上述位置信息而被以与上述车辆所处的地域对应的安全等级实施了加密的分发数据包;以及
控制部,构成为基于接收到的上述分发数据包来控制目标电子控制单元的上述软件更新,上述目标电子控制单元是成为上述软件更新的对象的上述电子控制单元。
7.根据权利要求6所述的OTA管理器,其特征在于,
上述控制部构成为基于上述分发数据包所包括的确定上述加密的手法的信息来对上述分发数据包进行解密。
8.根据权利要求6或7所述的OTA管理器,其特征在于,
上述控制部构成为基于上述车辆固有的信息来对上述分发数据包进行解密。
9.根据权利要求6~8中任一项所述的OTA管理器,其特征在于,
上述控制部构成为基于多个上述车辆共通的信息来对上述分发数据包进行解密。
10.一种方法,由构成为与OTA管理器进行通信的中心执行,该OTA管理器构成为对被搭载于车辆的电子控制单元的软件更新进行控制,上述中心具备存储器和1个以上的处理器,
上述方法的特征在于,包括:
对将地域与上述软件更新所要求的安全等级建立了关联的安全信息进行存储;
从上述车辆接收表示上述车辆的位置的位置信息;以及
基于上述安全信息和上述位置信息来生成被以与上述车辆所处的地域对应的安全等级实施了加密的分发数据包。
11.一种方法,由构成为对被搭载于车辆的电子控制单元的软件更新进行控制的OTA管理器执行,上述OTA管理器具备存储器和1个以上的处理器,
上述方法的特征在于,包括:
向中心发送上述车辆的位置信息;
从上述中心接收基于上述位置信息而被以与上述车辆所处的地域对应的安全等级实施了加密的分发数据包;以及
基于上述接收到的上述分发数据包来控制目标电子控制单元的上述软件更新,上述目标电子控制单元是成为上述软件更新的对象的上述电子控制单元。
12.根据权利要求1所述的中心,其特征在于,
还包括非暂时性存储介质,该非暂时性存储介质储存有能够由上述中心的1个以上的处理器执行且使上述1个以上的处理器执行以下功能的命令,
上述功能包括:
存储上述安全信息;
从上述车辆接收上述位置信息;以及
基于上述安全信息和上述位置信息来生成被以与上述车辆所处的上述地域对应的上述安全等级实施了上述加密的上述分发数据包。
13.根据权利要求6所述的OTA管理器,其特征在于,
还包括非暂时性存储介质,该非暂时性存储介质储存有能够由上述OTA管理器的1个以上的处理器执行且使上述1个以上的处理器执行以下功能的命令,
上述功能包括:
向中心发送上述车辆的上述位置信息;
从上述中心接收基于上述位置信息而被以与上述车辆所处的上述地域对应的上述安全等级实施了加密的上述分发数据包;以及
基于上述接收到的上述分发数据包来控制上述目标电子控制单元的上述软件更新。
14.一种车辆,其特征在于,
搭载有权利要求6~9中任一项所述的OTA管理器。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2021-107731 | 2021-06-29 | ||
| JP2021107731A JP7533379B2 (ja) | 2021-06-29 | 2021-06-29 | センタ、otaマスタ、方法、プログラム、及び車両 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115543369A true CN115543369A (zh) | 2022-12-30 |
Family
ID=84541007
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210542343.5A Pending CN115543369A (zh) | 2021-06-29 | 2022-05-18 | 中心、ota管理器、方法、非暂时性存储介质及车辆 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US11947950B2 (zh) |
| JP (1) | JP7533379B2 (zh) |
| CN (1) | CN115543369A (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102021203940A1 (de) * | 2021-04-21 | 2022-10-27 | Robert Bosch Gesellschaft mit beschränkter Haftung | Verfahren und Vorrichtung zum Verarbeiten von mit einem elektronischen Gerät für ein Fahrzeug assoziierten Daten |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002229452A (ja) | 2001-02-02 | 2002-08-14 | Vision Arts Kk | 情報画像ファイルを記憶したデータ構造記憶媒体、当該情報画像ファイルを取り扱うシステム、当該システムを動作させる動作方法と動作させるプログラム、当該プログラムを記録した記録媒体、および情報端末装置、当該端末装置を動作させるためのプログラム、当該プログラムを記録した記録媒体。 |
| JP2004326689A (ja) | 2003-04-28 | 2004-11-18 | Nissan Motor Co Ltd | 車載機器のソフトウェア書き換え方法、テレマティクスシステムおよびテレマティクス装置 |
| JP2005099885A (ja) | 2003-09-22 | 2005-04-14 | Minolta Co Ltd | プリントジョブの処理プログラム、印刷装置、および印刷システム |
| US20080271025A1 (en) | 2007-04-24 | 2008-10-30 | Stacksafe, Inc. | System and method for creating an assurance system in a production environment |
| US9128798B2 (en) * | 2012-10-17 | 2015-09-08 | Movimento Group | Module updating device |
| JP6216730B2 (ja) | 2015-03-16 | 2017-10-18 | 日立オートモティブシステムズ株式会社 | ソフト更新装置、ソフト更新方法 |
| JP2017199068A (ja) | 2016-04-25 | 2017-11-02 | キヤノン株式会社 | 情報処理装置、制御方法、コンピュータプログラム、記憶媒体 |
| JP6884600B2 (ja) | 2017-03-02 | 2021-06-09 | 任天堂株式会社 | 無線通信システム、通信方法、情報処理装置、および、情報処理プログラム |
| JP7031643B2 (ja) | 2018-08-10 | 2022-03-08 | 株式会社デンソー | 車両情報通信システム |
| US11538287B2 (en) * | 2019-09-20 | 2022-12-27 | Sonatus, Inc. | System, method, and apparatus for managing vehicle data collection |
-
2021
- 2021-06-29 JP JP2021107731A patent/JP7533379B2/ja active Active
-
2022
- 2022-05-18 US US17/663,957 patent/US11947950B2/en active Active
- 2022-05-18 CN CN202210542343.5A patent/CN115543369A/zh active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| US11947950B2 (en) | 2024-04-02 |
| JP2023005670A (ja) | 2023-01-18 |
| US20220413831A1 (en) | 2022-12-29 |
| JP7533379B2 (ja) | 2024-08-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113873498B (zh) | 服务器、管理方法、非临时存储介质及软件更新装置、中心、空中下载主机 | |
| CN115514742A (zh) | Ota管理器、中心、系统、方法、非暂时性存储介质 | |
| CN115543369A (zh) | 中心、ota管理器、方法、非暂时性存储介质及车辆 | |
| CN114040360B (zh) | 服务器、更新管理方法、非临时存储介质、软件更新装置、带服务器及软件更新装置的系统 | |
| CN115509568A (zh) | Ota管理器、系统、方法、非暂时性存储介质以及车辆 | |
| CN115454462A (zh) | Ota管理器、系统、方法、非暂时性存储介质以及车辆 | |
| CN114385202A (zh) | 服务器、软件更新系统、分发方法及非临时存储介质 | |
| CN115208867B (zh) | 中心、分发控制方法以及非暂时性存储介质 | |
| CN115509565A (zh) | Ota管理器、系统、方法、非暂时性存储介质以及车辆 | |
| CN115686556A (zh) | 中心、方法、以及非暂时性存储介质 | |
| JP7447864B2 (ja) | Otaマスタ、方法およびプログラム | |
| JP7540402B2 (ja) | センタ、otaマスタ、システム、方法、プログラム、及び車両 | |
| JP7559684B2 (ja) | Otaマスタ、システム、方法、プログラム、及び車両 | |
| CN115586908A (zh) | 中心、ota管理器、方法、非暂时性存储介质以及车辆 | |
| CN115248695A (zh) | 中心、ota管理器、分发方法、非暂时性存储介质 | |
| CN115514743A (zh) | 中心、ota管理器、方法、非暂时性存储介质及车辆 | |
| CN114840228A (zh) | 中心、信息改写方法以及非暂时性存储介质 | |
| JP7582081B2 (ja) | Otaマスタ、システム、方法、プログラム、及び車両 | |
| CN115696311A (zh) | 系统、中心、方法、以及非暂时性存储介质 | |
| JP2023176397A (ja) | センタ、制御方法、及び制御プログラム | |
| CN115208868A (zh) | 中心、分发控制方法以及非暂时性存储介质 | |
| CN115686557A (zh) | 系统、方法以及非暂时性存储介质 | |
| JP2024007847A (ja) | センタ | |
| JP2022126194A (ja) | Otaマスタ、センタ、システム、方法、プログラム、及び車両 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |