Nothing Special   »   [go: up one dir, main page]

JP7423959B2 - vehicle reprogramming system - Google Patents

vehicle reprogramming system Download PDF

Info

Publication number
JP7423959B2
JP7423959B2 JP2019177735A JP2019177735A JP7423959B2 JP 7423959 B2 JP7423959 B2 JP 7423959B2 JP 2019177735 A JP2019177735 A JP 2019177735A JP 2019177735 A JP2019177735 A JP 2019177735A JP 7423959 B2 JP7423959 B2 JP 7423959B2
Authority
JP
Japan
Prior art keywords
reprogramming
ecu
vehicle
electronic device
program
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019177735A
Other languages
Japanese (ja)
Other versions
JP2021056655A (en
Inventor
光 青木
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Advics Co Ltd
Original Assignee
Advics Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Advics Co Ltd filed Critical Advics Co Ltd
Priority to JP2019177735A priority Critical patent/JP7423959B2/en
Publication of JP2021056655A publication Critical patent/JP2021056655A/en
Application granted granted Critical
Publication of JP7423959B2 publication Critical patent/JP7423959B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Stored Programmes (AREA)

Description

本開示は、車両リプログラミングシステムに関する。 The present disclosure relates to vehicle reprogramming systems.

従来、車両に搭載される電子装置のリプログラミングを実行するための技術について様々に検討されている。 Conventionally, various techniques for reprogramming electronic devices mounted on vehicles have been studied.

特開2014-194688号公報Japanese Patent Application Publication No. 2014-194688

上記のような従来の技術では、セキュリティの観点から、リプログラミング用のコンピュータプログラムが、暗号化された状態で電子装置に提供されることが一般的である。したがって、上記のような従来の技術では、たとえばコンピュータプログラムの書き換えおよび書き換えられたコンピュータプログラムの検証の目的でコンピュータプログラムを使用する度に、復号化を実行する必要があり、処理時間が長くなりやすい。 In the conventional technology as described above, from the viewpoint of security, a computer program for reprogramming is generally provided to an electronic device in an encrypted state. Therefore, with the conventional techniques described above, it is necessary to perform decryption every time a computer program is used, for example, for the purpose of rewriting a computer program and verifying a rewritten computer program, which tends to increase the processing time. .

そこで、本開示の課題の一つは、より短時間でのリプログラミングを実現することが可能な車両リプログラミングシステムを提供することである。 Therefore, one of the problems of the present disclosure is to provide a vehicle reprogramming system that can realize reprogramming in a shorter time.

本開示の一例としての車両リプログラミングシステムは、車載ネットワークに接続されるように車両に搭載された複数の車載電子装置であって、当該車載ネットワークと車両の外部の外部装置との通信を制御する車載電子装置である通信制御装置を含む複数の車載電子装置を備え、複数の車載電子装置のうち第1の電子装置とは異なる第2の電子装置は、通信制御装置を介して外部装置から受信された、第1の電子装置のリプログラミング用の暗号化されたコンピュータプログラムを復号化し、復号化されたコンピュータプログラムを、車載ネットワークを介して、第1の電子装置に送信し、第1の電子装置は、第2の電子装置から復号化されたコンピュータプログラムを受信した場合に、当該復号化されたコンピュータプログラムに基づいて、リプログラミングを実行する。 A vehicle reprogramming system as an example of the present disclosure includes a plurality of in-vehicle electronic devices installed in a vehicle so as to be connected to an in-vehicle network, and controls communication between the in-vehicle network and external devices outside the vehicle. The second electronic device, which is different from the first electronic device among the plurality of in-vehicle electronic devices, receives information from an external device via the communication control device. decrypts the encrypted computer program for reprogramming the first electronic device, and transmits the decrypted computer program to the first electronic device via the in-vehicle network; When the device receives the decrypted computer program from the second electronic device, the device performs reprogramming based on the decrypted computer program.

上述した車両リプログラミングシステムによれば、リプログラミングの実行にあたり、復号化されたコンピュータプログラムが車載ネットワークと外部との通信が通信制御装置により制御された状態の車載ネットワーク内で伝送されるので、車載ネットワーク内でのコンピュータプログラムの伝送が外部から盗み見られるようなことがなく、すなわち、セキュリティを損なうことなく、リプログラミング用のコンピュータプログラムを復号化したまま車載ネットワーク上で伝送することができる。したがって、コンピュータプログラムの書き換えおよび書き換えられたコンピュータプログラムの検証の目的でコンピュータプログラムを使用する度に復号化を実行する必要が無いので、より短時間でのリプログラミングを実現することができる。 According to the vehicle reprogramming system described above, when performing reprogramming, the decoded computer program is transmitted within the vehicle network in which communication between the vehicle network and the outside is controlled by the communication control device. To prevent the transmission of a computer program within a network from being secretly viewed from outside, that is, to transmit a computer program for reprogramming in a decrypted state over an in-vehicle network without compromising security. Therefore, it is not necessary to perform decoding every time a computer program is used for the purpose of rewriting the computer program and verifying the rewritten computer program, so reprogramming can be accomplished in a shorter time.

上述した車両リプログラミングシステムにおいて、通信制御装置は、リプログラミング用のコンピュータプログラムを第2の電子装置が通信制御装置を介して外部装置から受信した場合に、車載ネットワークと外部装置との通信経路を遮断する。このような構成によれば、リプログラミング中に通信制御装置により車載ネットワークと外部装置との通信経路を遮断することで、車両の外部からの車載ネットワークへのアクセスを防止し、リプログラミング中のセキュリティを高めることができる。 In the vehicle reprogramming system described above, the communication control device controls the communication path between the in-vehicle network and the external device when the second electronic device receives a reprogramming computer program from the external device via the communication control device. Cut off. According to this configuration, the communication control device blocks the communication path between the in-vehicle network and external devices during reprogramming, thereby preventing access to the in-vehicle network from outside the vehicle, and improving security during reprogramming. can be increased.

また、上述した車両リプログラミングシステムにおいて、第2の電子装置は、リプログラミング用のコンピュータプログラムとして互いに異なる複数のコンピュータプログラムが通信制御装置を介して外部装置から受信された場合に、当該複数のコンピュータプログラムの復号化を開始し、複数のコンピュータプログラムのうち少なくとも1つの復号化の完了に応じて、復号化されたコンピュータプログラムのうちの1つを、車載ネットワークを介して第1の電子装置に送信し、その後、所定の条件が成立するごとに、復号化された残りのコンピュータプログラムを1つずつ、車載ネットワークを介して第1の電子装置に送信し、第1の電子装置は、復号化されたコンピュータプログラムを第2の電子装置から1つ受信するごとに、リプログラミングを実行する。このような構成によれば、リプログラミング用の複数のコンピュータプログラムのうち少なくとも1つの復号化が完了した時点で1回目のリプログラミングを開始し、残りのコンピュータプログラムの復号化を1回目(以降)のリプログラミングと並行して実行することができるので、複数回のリプログラミングに要する時間のさらなる短縮化を図ることができる。 Further, in the vehicle reprogramming system described above, when a plurality of computer programs different from each other are received as reprogramming computer programs from an external device via the communication control device, the second electronic device is configured to initiating decryption of the programs, and upon completion of decryption of at least one of the plurality of computer programs, transmitting one of the decrypted computer programs to the first electronic device via the in-vehicle network; Thereafter, each time a predetermined condition is met, the remaining decrypted computer programs are transmitted one by one to the first electronic device via the in-vehicle network, and the first electronic device transmits the decrypted remaining computer programs one by one to the first electronic device. Reprogramming is performed each time a new computer program is received from the second electronic device. According to such a configuration, the first reprogramming is started when the decoding of at least one of the plurality of computer programs for reprogramming is completed, and the remaining computer programs are decoded for the first time (and thereafter). Since the reprogramming can be performed in parallel with the reprogramming, the time required for multiple reprogramming can be further shortened.

また、上述した車両リプログラミングシステムにおいて、第2の電子装置は、第1の電子装置のリプログラミングを実現するための専用の制御モードと、他の機能を実現するための他の制御モードと、を切り替え可能に構成されている。このような構成によれば、制御モードの切り替えにより、第2の電子装置のリソースを効率的に使用することができる。 Further, in the vehicle reprogramming system described above, the second electronic device has a dedicated control mode for realizing reprogramming of the first electronic device, and another control mode for realizing other functions, It is configured so that it can be switched. According to such a configuration, the resources of the second electronic device can be used efficiently by switching the control mode.

図1は、実施形態にかかる車両リプログラミングシステムの全体構成を示した例示的かつ模式的なブロック図である。FIG. 1 is an exemplary and schematic block diagram showing the overall configuration of a vehicle reprogramming system according to an embodiment. 図2は、実施形態にかかる車両リプログラミングシステムにおいて実現される機能を示した例示的かつ模式的なブロック図である。FIG. 2 is an exemplary and schematic block diagram showing functions realized in the vehicle reprogramming system according to the embodiment. 図3は、実施形態にかかる車両リプログラミングシステムが単発的なリプログラミングの際に実行する処理の流れをフローチャート的に示した例示的かつ模式的な図である。FIG. 3 is an exemplary and schematic diagram showing, in a flow chart manner, the flow of processing that the vehicle reprogramming system according to the embodiment executes during one-time reprogramming. 図4は、実施形態にかかる車両リプログラミングシステムが連続的なリプログラミングの際に実行する処理の流れの一部をフローチャート的に示した例示的かつ模式的な図である。FIG. 4 is an exemplary and schematic diagram showing in a flowchart a part of the process flow that the vehicle reprogramming system according to the embodiment executes during continuous reprogramming. 図5は、実施形態にかかる車両リプログラミングシステムが連続的なリプログラミングの際に図4に示される処理に続いて実行する処理の流れをフローチャート的に示した例示的かつ模式的な図である。FIG. 5 is an exemplary and schematic diagram showing in a flowchart the flow of processing that the vehicle reprogramming system according to the embodiment executes subsequent to the processing shown in FIG. 4 during continuous reprogramming. . 図6は、実施形態にかかる車両リプログラミングシステムの電子装置を実現するためのコンピュータのハードウェア構成を示した例示的かつ模式的なブロック図である。FIG. 6 is an exemplary and schematic block diagram showing the hardware configuration of a computer for realizing the electronic device of the vehicle reprogramming system according to the embodiment.

以下、本開示のいくつかの実施形態および変形例を図面に基づいて説明する。以下に記載する実施形態および変形例の構成、ならびに当該構成によってもたらされる作用および効果は、あくまで一例であって、以下の記載内容に限られるものではない。 Hereinafter, some embodiments and modified examples of the present disclosure will be described based on the drawings. The configurations of the embodiments and modified examples described below, as well as the effects and effects brought about by the configurations, are merely examples, and are not limited to the contents described below.

<実施形態>
図1は、実施形態にかかる車両リプログラミングシステムの全体構成を示した例示的かつ模式的なブロック図である。 <Embodiment>
FIG. 1 is an exemplary and schematic block diagram showing the overall configuration of a vehicle reprogramming system according to an embodiment.

図1に示されるように、実施形態にかかる車両リプログラミングシステムは、車載ネットワーク150に接続されるように車両に搭載された複数の電子装置100を備えている。なお、電子装置は、車載電子装置とも表現しうる。 As shown in FIG. 1, the vehicle reprogramming system according to the embodiment includes a plurality of electronic devices 100 mounted on a vehicle so as to be connected to an in-vehicle network 150. Note that the electronic device can also be expressed as an in-vehicle electronic device.

複数の電子装置100は、1つのゲートウェイECU(Electronic Control Unit)110と、複数のECU120と、を含んでいる。なお、実施形態において、ゲートウェイECU110は、複数のECU120よりも記憶容量および演算速度などの観点で高性能なハードウェアによって構成されているものとする。 The plurality of electronic devices 100 include one gateway ECU (Electronic Control Unit) 110 and a plurality of ECUs 120. In the embodiment, it is assumed that the gateway ECU 110 is configured of hardware that has higher performance than the plurality of ECUs 120 in terms of storage capacity, calculation speed, and the like.

ゲートウェイECU110は、車載ネットワーク150と、車両の外部との通信を制御する機能を有した通信制御装置である。たとえば、ゲートウェイECU110は、車両に外部から接続されるリプログラミングツールRT、および、インターネットのような外部ネットワークN上のサーバなどといった外部装置と車載ネットワーク150との間の通信を制御する機能などを有している。より具体的に、ゲートウェイECU110は、車載ネットワーク150に接続された電子装置100と車両の外部の外部装置との間の通信が適切に実行されているか否かを監視し、外部装置との異常な通信を検出した際に対応処置を実行し、通信経路170の遮断および当該遮断の解除などを実行する機能などを有している。 Gateway ECU 110 is a communication control device that has a function of controlling communication between in-vehicle network 150 and the outside of the vehicle. For example, the gateway ECU 110 has a reprogramming tool RT that is externally connected to the vehicle, and a function that controls communication between an external device such as a server on an external network N such as the Internet and the in-vehicle network 150. are doing. More specifically, the gateway ECU 110 monitors whether communication between the electronic device 100 connected to the in-vehicle network 150 and an external device outside the vehicle is being executed appropriately, and detects abnormal communication with the external device. It has a function of executing countermeasures when communication is detected, blocking the communication path 170, canceling the blocking, and the like.

また、複数のECU120は、それぞれ、車両に設けられる各種の機構を制御する機能を有した車両制御装置である。たとえば、複数のECU120は、車両に設けられるブレーキ機構を制御する機能を有したブレーキ制御装置などを含んでいる。このブレーキ制御装置は、複数の車輪のブレーキ機構を個別に制御する機能を有した複数の第1の電子装置と、当該第1のブレーキ装置を統括的に制御する第2の電子装置と、を含みうる。このような構成において、第2の電子装置は、第1の電子装置よりも記憶容量および演算速度などの観点で高性能なハードウェアによって構成されていることが一般的である。 Further, each of the plurality of ECUs 120 is a vehicle control device having a function of controlling various mechanisms provided in the vehicle. For example, the plurality of ECUs 120 include a brake control device having a function of controlling a brake mechanism provided in the vehicle. This brake control device includes a plurality of first electronic devices that have a function of individually controlling brake mechanisms of a plurality of wheels, and a second electronic device that collectively controls the first brake devices. It can be included. In such a configuration, the second electronic device is generally configured with hardware that has higher performance than the first electronic device in terms of storage capacity, calculation speed, and the like.

なお、詳細は後述するが、ゲートウェイECU110およびECU120を含む複数の電子装置100は、いずれも、コンピュータ600(図6参照)として構成される。したがって、複数の電子装置100は、いずれも、それぞれの機能を実現するために作成されたコンピュータプログラムに従って動作する。なお、以下では、簡単化のため、コンピュータプログラムを単にプログラムと表現することがある。 Although details will be described later, each of the plurality of electronic devices 100 including the gateway ECU 110 and the ECU 120 is configured as a computer 600 (see FIG. 6). Therefore, all of the plurality of electronic devices 100 operate according to computer programs created to implement their respective functions. Note that, below, for the sake of simplicity, a computer program may be simply expressed as a program.

ここで、たとえば市場に出た車両の機能のアップデート時および車両の機能の開発時などにおいて、電子装置100のプログラムを書き換えるリプログラミングを実行するための技術が求められることがある。この場合、リプログラミング用のプログラムは、リプログラミングツールRTおよび外部ネットワークN上のサーバなどといった外部装置から提供される。 Here, for example, when updating the functions of a vehicle on the market or developing functions of the vehicle, a technique for executing reprogramming to rewrite the program of the electronic device 100 may be required. In this case, the reprogramming program is provided from external devices such as the reprogramming tool RT and a server on the external network N.

従来から、電子装置100のリプログラミングを実行するための技術について様々に検討されている。このような従来の技術では、セキュリティの観点から、リプログラミング用のプログラムは、暗号化された状態で電子装置100に提供されることが一般的である。 Conventionally, various techniques for reprogramming the electronic device 100 have been studied. In such conventional technology, from the viewpoint of security, the reprogramming program is generally provided to the electronic device 100 in an encrypted state.

したがって、上記のような従来の技術では、たとえばプログラムの書き換えおよび書き換えられたプログラムの検証の目的でプログラムを使用する度に、復号化を実行する必要があり、リプログラミングに要する時間が長くなりやすい。特に、セキュリティ向上のために暗号化の方法の複雑化が進んでいる昨今においては、暗号化されたプログラムの復号化に要する時間が長期化する傾向にあり、リプログラミングに要する時間が長くなりやすい。 Therefore, with the conventional techniques described above, it is necessary to perform decryption each time a program is used, for example, for the purpose of rewriting the program and verifying the rewritten program, which tends to increase the time required for reprogramming. . In particular, as encryption methods are becoming more complex in order to improve security, the time required to decrypt an encrypted program tends to be longer, and the time required for reprogramming tends to be longer. .

そこで、実施形態は、以下に説明するような機能および処理により、より短時間でのリプログラミングを実現することを可能にする。 Therefore, the embodiment makes it possible to realize reprogramming in a shorter time by using the functions and processing described below.

図2は、実施形態にかかる車両リプログラミングシステムにおいて実現される機能を示した例示的かつ模式的なブロック図である。なお、以下では、リプログラミング対象のECU120をECU120a、リプログラミング対象ではない他のECU120をECU120bと記載する。 FIG. 2 is an exemplary and schematic block diagram showing functions realized in the vehicle reprogramming system according to the embodiment. Note that, hereinafter, the ECU 120 to be reprogrammed will be referred to as ECU 120a, and the other ECU 120 not to be reprogrammed will be referred to as ECU 120b.

図2に示されるように、ゲートウェイECU110は、通信処理部111と、復号化部112と、モード切替部113と、を備えている。 As shown in FIG. 2, the gateway ECU 110 includes a communication processing section 111, a decoding section 112, and a mode switching section 113.

通信処理部111は、ゲートウェイECU110が他の装置との間で実行する通信を制御する機能を有する。また、復号化部112は、プログラムの暗号化を解除するための復号化処理を実行する機能を有する。また、モード切替部113は、ゲートウェイECU110の制御モードを適宜切り替える機能を有する(詳細は後述する)。 The communication processing unit 111 has a function of controlling communication performed by the gateway ECU 110 with other devices. Furthermore, the decryption unit 112 has a function of executing decryption processing for decrypting a program. Further, the mode switching unit 113 has a function of appropriately switching the control mode of the gateway ECU 110 (details will be described later).

また、ECU120aは、通信処理部121aと、リプログラミング実行部122aと、を備えており、ECU120bは、通信処理部121bと、通知部122bと、条件判定部123bと、を備えている。 Further, the ECU 120a includes a communication processing section 121a and a reprogramming execution section 122a, and the ECU 120b includes a communication processing section 121b, a notification section 122b, and a condition determination section 123b.

通信処理部121aおよび121bは、それぞれ、ECU120aおよび120bが他の装置との間で実行する通信を制御する機能を有する。また、リプログラミング実行部122aは、ECU120aのリプログラミングのための各種の処理を実行する機能を有する。なお、通知部122bおよび条件判定部123bは、共に、ECU120aのプログラムを複数回連続的に書き換える連続的なリプログラミングの際にその機能を発揮する(詳細は後述する)。 The communication processing units 121a and 121b each have a function of controlling communication executed by the ECUs 120a and 120b with other devices. Furthermore, the reprogramming execution unit 122a has a function of executing various processes for reprogramming the ECU 120a. Note that both the notification unit 122b and the condition determination unit 123b perform their functions during continuous reprogramming in which the program of the ECU 120a is continuously rewritten multiple times (details will be described later).

以上のような機能モジュール群に基づき、実施形態にかかる車両リプログラミングシステムは、ECU120aのリプログラミングを、次の図3~図5に示されるような流れで実行される処理によって実現する。 Based on the above functional module group, the vehicle reprogramming system according to the embodiment realizes reprogramming of the ECU 120a through processes executed in the flow shown in FIGS. 3 to 5 below.

まず、ECU120aのプログラムを1回だけ書き換える単発的なリプログラミングは、一例として、次の図3に示されるような流れで実行される。 First, one-off reprogramming in which the program of the ECU 120a is rewritten only once is executed in the flow shown in FIG. 3, as an example.

図3は、実施形態にかかる車両リプログラミングシステムが単発的なリプログラミングの際に実行する処理の流れをフローチャート的に示した例示的かつ模式的な図である。 FIG. 3 is an exemplary and schematic diagram showing, in a flow chart manner, the flow of processing that the vehicle reprogramming system according to the embodiment executes during one-time reprogramming.

図3に示されるように、実施形態では、まず、ステップS310において、リプログラミングツールRTは、ECU120aのリプログラミングの実行にあたり、ECU120aで現在使用されているプログラムの消去を指示するためのプログラム消去指示を、ゲートウェイECU110に送信する。なお、実施形態では、ステップS310の処理の実行に当たり、リプログラミングツールRTとゲートウェイECU110との間で認証処理が実行されてもよい。 As shown in FIG. 3, in the embodiment, first, in step S310, the reprogramming tool RT issues a program erase instruction to instruct erasure of the program currently being used in the ECU 120a when reprogramming the ECU 120a. is transmitted to the gateway ECU 110. Note that in the embodiment, when executing the process of step S310, an authentication process may be executed between the reprogramming tool RT and the gateway ECU 110.

そして、ステップS330において、ゲートウェイECU110の通信処理部111は、ステップS310においてリプログラミングツールRTから受信されたプログラム消去指示を、車載ネットワーク150を介してECU120aに転送する。なお、実施形態では、ステップS330の処理の実行に当たり、ゲートウェイECU110とECU120aの間で認証処理が実行されてもよい。 Then, in step S330, the communication processing unit 111 of the gateway ECU 110 transfers the program deletion instruction received from the reprogramming tool RT in step S310 to the ECU 120a via the in-vehicle network 150. Note that in the embodiment, when executing the process of step S330, an authentication process may be executed between the gateway ECU 110 and the ECU 120a.

そして、ステップS350において、ECU120aの通信処理部121aは、ステップS330においてゲートウェイECU110から転送されたプログラム消去指示を受信する。 Then, in step S350, the communication processing unit 121a of the ECU 120a receives the program deletion instruction transferred from the gateway ECU 110 in step S330.

そして、ステップS351において、ECU120aのリプログラミング実行部122aは、ステップS350において受信されたプログラム消去指示に従って、ECU120aで現在使用されているプログラムを消去する。 Then, in step S351, the reprogramming execution unit 122a of the ECU 120a erases the program currently being used in the ECU 120a according to the program erase instruction received in step S350.

一方、ステップS310におけるプログラム消去指示の送信の後、ステップS311において、リプログラミングツールRTは、ECU120aのリプログラミング用のプログラムを、ゲートウェイECU110に送信する。このステップS311においてリプログラミングツールRTからゲートウェイECU110に送信されるプログラムは、暗号化されているので、以下では、暗号化プログラムと表現されることがある。 On the other hand, after transmitting the program deletion instruction in step S310, the reprogramming tool RT transmits a program for reprogramming the ECU 120a to the gateway ECU 110 in step S311. Since the program sent from the reprogramming tool RT to the gateway ECU 110 in step S311 is encrypted, it may be expressed as an encrypted program below.

そして、ステップS331において、ゲートウェイECU110の通信処理部111は、ステップS331においてリプログラミングツールRTから送信された暗号化プログラムを受信する。 Then, in step S331, the communication processing unit 111 of the gateway ECU 110 receives the encrypted program transmitted from the reprogramming tool RT in step S331.

そして、ステップS332において、ゲートウェイECU110の通信処理部111は、車載ネットワーク150と外部との通信経路170を遮断し、ゲートウェイECU110のモード切替部113は、ゲートウェイECU110の制御モードを、外部との通信を制御するという通常動作を実現するための通常の制御モードから、ECU120aの単発的なリプログラミングを実現するための専用の制御モードに切り替える。 Then, in step S332, the communication processing unit 111 of the gateway ECU 110 blocks the communication path 170 between the in-vehicle network 150 and the outside, and the mode switching unit 113 of the gateway ECU 110 changes the control mode of the gateway ECU 110 to the communication path 170 with the outside. The control mode is switched from a normal control mode for realizing a normal operation of controlling to a dedicated control mode for realizing one-time reprogramming of the ECU 120a.

そして、ステップS333において、ゲートウェイECU110の復号化部112は、ステップS331において受信された暗号化プログラムの復号化を実行する。 Then, in step S333, the decryption unit 112 of the gateway ECU 110 decrypts the encrypted program received in step S331.

そして、ステップS334において、ゲートウェイECU110の通信処理部111は、ステップS333における復号化を経たプログラムを、車載ネットワーク150を介してECU120aに送信する。なお、以下では、ステップS333における復号化を経たプログラムが、復号化プログラムと表現されることがある。 Then, in step S334, the communication processing unit 111 of the gateway ECU 110 transmits the program decoded in step S333 to the ECU 120a via the in-vehicle network 150. Note that hereinafter, the program that has been decrypted in step S333 may be expressed as a decryption program.

そして、ステップS352において、ECU120aの通信処理部121aは、ステップS334においてゲートウェイECU110から送信された復号化プログラムを受信する。 Then, in step S352, the communication processing unit 121a of the ECU 120a receives the decoding program transmitted from the gateway ECU 110 in step S334.

そして、ステップS353において、ECU120aのリプログラミング実行部122aは、ステップS352において受信された復号化プログラムに従って以後動作するように、当該復号化プログラムの書き込みを実行する。 Then, in step S353, the reprogramming execution unit 122a of the ECU 120a writes the decoding program so that the decoding program received in step S352 will operate thereafter.

そして、ステップS354において、ECU120aのリプログラミング実行部122aは、ステップS353における書き込みの完了に応じて、書き込み完了通知を、車載ネットワーク150を介してゲートウェイECU110に送信する。 Then, in step S354, the reprogramming execution unit 122a of the ECU 120a transmits a write completion notification to the gateway ECU 110 via the in-vehicle network 150 in response to the completion of the write in step S353.

そして、ステップS335において、ゲートウェイECU110の通信処理部111は、ステップS354においてECU120aから送信された書き込み完了通知を受信する。 Then, in step S335, the communication processing unit 111 of the gateway ECU 110 receives the write completion notification transmitted from the ECU 120a in step S354.

そして、ステップS336において、ゲートウェイECU110の通信処理部111は、ステップS353における書き込みの成否などをECU120aに検証させるために、ステップS334で送信した復号化プログラムの同一の復号化プログラムを、車載ネットワーク150を介してECU120aに送信する。 Then, in step S336, the communication processing unit 111 of the gateway ECU 110 transmits the same decryption program to the in-vehicle network 150 as the decryption program transmitted in step S334 in order to have the ECU 120a verify the success or failure of the writing in step S353. It is transmitted to the ECU 120a via the ECU 120a.

そして、ステップS355において、ECU120aの通信処理部121aは、ステップS336においてゲートウェイECU110から送信された復号化プログラムを受信する。 Then, in step S355, the communication processing unit 121a of the ECU 120a receives the decoding program transmitted from the gateway ECU 110 in step S336.

そして、ステップS356において、ECU120aのリプログラミング実行部122aは、ステップS355において受信された復号化プログラムに基づいて、ステップS353における書き込みの成否などを検証するためのベリファイ処理を実行する。 Then, in step S356, the reprogramming execution unit 122a of the ECU 120a executes a verify process for verifying the success or failure of writing in step S353, based on the decryption program received in step S355.

そして、ステップS357において、ECU120aの通信処理部121aは、ステップS356におけるベリファイ処理の完了に応じて、当該ベリファイ処理の結果を含むベリファイ完了通知を、車載ネットワーク150を介してゲートウェイECU110に送信する。ステップS353における書き込みが失敗していた場合、ECU120aは、ステップS350以降の一連の処理を再び実行する可能性があるが、ステップS353における書き込みが成功していた場合、ECU120aの処理は、ステップS357をもって終了する。 Then, in step S357, the communication processing unit 121a of the ECU 120a transmits a verification completion notification including the result of the verification process to the gateway ECU 110 via the in-vehicle network 150 in response to the completion of the verify process in step S356. If the write in step S353 has failed, the ECU 120a may re-execute the series of processes from step S350 onwards; however, if the write in step S353 has been successful, the process of the ECU 120a will end in step S357. finish.

そして、ステップS337において、ゲートウェイECU110の通信処理部111は、ステップS357においてECU120aから送信されたベリファイ完了通知を受信する。受信されたベリファイ完了通知が書き込みの失敗を示す場合、ゲートウェイECU110の通信処理部111は、プログラム消去指示をECU120aに再び送信する可能性があるが、受信されたベリファイ完了通知が書き込みの成功を示す場合、ゲートウェイECU110の通信処理部111は、次のステップS338の処理を実行する。 Then, in step S337, the communication processing unit 111 of the gateway ECU 110 receives the verification completion notification transmitted from the ECU 120a in step S357. If the received verification completion notification indicates a writing failure, the communication processing unit 111 of the gateway ECU 110 may send a program deletion instruction to the ECU 120a again, but the received verification completion notification indicates a writing success. In this case, the communication processing unit 111 of the gateway ECU 110 executes the process of the next step S338.

ステップS338において、ゲートウェイECU110の通信処理部111は、車載ネットワーク150と外部との通信経路170の遮断を解除し、ゲートウェイECU110のモード切替部113は、ゲートウェイECU110の制御モードを、ECU120aの単発的なリプログラミングを実現するための専用の制御モードから、外部との通信を制御するという通常動作を実現するための通常の制御モードに切り替える。 In step S338, the communication processing unit 111 of the gateway ECU 110 unblocks the communication path 170 between the in-vehicle network 150 and the outside, and the mode switching unit 113 of the gateway ECU 110 changes the control mode of the gateway ECU 110 to the one-off control mode of the ECU 120a. Switch from a dedicated control mode for realizing reprogramming to a normal control mode for realizing normal operation of controlling communication with the outside.

そして、ステップS339において、ゲートウェイECU110の通信処理部339は、ECU120aのリプログラミングが完了した旨を通知するための書き換え完了通知をリプログラミングツールRTに送信する。これにより、ゲートウェイECU110の処理が終了する。 Then, in step S339, the communication processing unit 339 of the gateway ECU 110 transmits a rewriting completion notification to the reprogramming tool RT to notify that the reprogramming of the ECU 120a has been completed. Thereby, the processing of the gateway ECU 110 ends.

そして、ステップS312において、プログラミングツールRTは、ステップS339においてゲートウェイECU110から送信された書き換え完了通知を受信する。そして、プログラミングツールRTは、リプログラミングが完了した旨を、たとえばプログラミングツールRTのオペレータなどの作業者に通知し、処理を終了する。 Then, in step S312, the programming tool RT receives the rewriting completion notification transmitted from the gateway ECU 110 in step S339. Then, the programming tool RT notifies a worker, such as an operator of the programming tool RT, that the reprogramming has been completed, and ends the process.

このように、実施形態では、暗号化プログラムの復号化が、ECU120aではなく、当該ECU120aよりも記憶容量および演算速度などの観点で高性能なハードウェアによって構成されたゲートウェイECU110によって実行される。したがって、実施形態によれば、暗号化プログラムの復号化に要する時間を短縮することができるので、より短時間でのリプログラミングを実現することができる。 In this way, in the embodiment, the decryption of the encrypted program is executed not by the ECU 120a but by the gateway ECU 110, which is configured with hardware that has higher performance than the ECU 120a in terms of storage capacity, calculation speed, and the like. Therefore, according to the embodiment, the time required to decrypt an encrypted program can be shortened, and reprogramming can be accomplished in a shorter time.

また、実施形態では、リプログラミングの実行にあたり、車載ネットワーク150と外部との通信経路170が遮断されるので、セキュリティを損なうことなく、リプログラミング用のプログラムを復号化プログラムのまま車載ネットワーク150上で伝送することができる。したがって、実施形態によれば、プログラムの書き換えおよび書き換えられたプログラムの検証の目的でプログラムを使用する度に復号化を実行する必要が無いので、より短時間でのリプログラミングを実現することができる。 Furthermore, in the embodiment, when performing reprogramming, the communication path 170 between the in-vehicle network 150 and the outside is cut off, so the reprogramming program can be used as a decrypted program on the in-vehicle network 150 without compromising security. can be transmitted. Therefore, according to the embodiment, there is no need to perform decryption every time a program is used for the purpose of rewriting the program and verifying the rewritten program, so reprogramming can be accomplished in a shorter time. .

一方、ECU120aのプログラムを複数回連続的に書き換える連続的なリプログラミングは、一例として、次の図4および図5に示されるような流れで実行される。 On the other hand, continuous reprogramming in which the program of the ECU 120a is continuously rewritten a plurality of times is executed in the flow shown in FIGS. 4 and 5, as an example.

図4は、実施形態にかかる車両リプログラミングシステムが連続的なリプログラミングの際に実行する処理の流れの一部をフローチャート的に示した例示的かつ模式的な図である。また、図5は、実施形態にかかる車両リプログラミングシステムが連続的なリプログラミングの際に図4に示される処理に続いて実行する処理の流れをフローチャート的に示した例示的かつ模式的な図である。 FIG. 4 is an exemplary and schematic diagram showing in a flowchart a part of the process flow that the vehicle reprogramming system according to the embodiment executes during continuous reprogramming. Further, FIG. 5 is an exemplary and schematic diagram showing in a flowchart the flow of processing that the vehicle reprogramming system according to the embodiment executes subsequent to the processing shown in FIG. 4 during continuous reprogramming. It is.

図4に示されるように、実施形態では、まず、ステップS410において、リプログラミングツールRTは、ECU120aの連続的なリプログラミング用の複数の暗号化プログラムを、ゲートウェイECU110に送信する。なお、実施形態では、ステップS410の処理の実行に当たり、リプログラミングツールRTとゲートウェイECU110との間で認証処理が実行されてもよい。 As shown in FIG. 4, in the embodiment, first, in step S410, the reprogramming tool RT transmits a plurality of encrypted programs for continuous reprogramming of the ECU 120a to the gateway ECU 110. Note that in the embodiment, when executing the process of step S410, an authentication process may be executed between the reprogramming tool RT and the gateway ECU 110.

ステップS330の後のリプログラミングツールRTの処理は、連続的なリプログラミングの完了に応じて通知を出力する処理などを経て終了する(図3に基づく上記の説明から類推できるので詳細な説明は省略する)。 The processing of the reprogramming tool RT after step S330 ends after outputting a notification in response to the completion of continuous reprogramming (detailed explanation will be omitted as it can be inferred from the above explanation based on FIG. 3). do).

そして、ステップS430において、ゲートウェイECU110の通信処理部111は、ステップS410においてリプログラミングツールRTから受信された複数の暗号化プログラムを受信する。 Then, in step S430, the communication processing unit 111 of the gateway ECU 110 receives the plurality of encrypted programs received from the reprogramming tool RT in step S410.

そして、ステップS431において、ゲートウェイECU110の通信処理部111は、ゲートウェイECU110の通信処理部111は、車載ネットワーク150と外部との通信経路170を遮断し、ゲートウェイECU110のモード切替部113は、ゲートウェイECU110の制御モードを、外部との通信を制御するという通常動作を実現するための通常の制御モードから、ECU120aの連続的なリプログラミングを実現するための専用の制御モードに切り替える。 Then, in step S431, the communication processing unit 111 of the gateway ECU 110 blocks the communication path 170 between the in-vehicle network 150 and the outside, and the mode switching unit 113 of the gateway ECU 110 blocks the communication path 170 between the in-vehicle network 150 and the outside. The control mode is switched from a normal control mode for realizing normal operation of controlling communication with the outside to a dedicated control mode for realizing continuous reprogramming of the ECU 120a.

そして、ステップS432において、ゲートウェイECU110の通信処理部111は、ECU120aで現在使用されているプログラムの消去を指示するためのプログラム消去指示を、車載ネットワーク150を介してECU120aに送信する。なお、実施形態では、ステップS432の処理の実行に当たり、ゲートウェイECU110とECU120aとの間で認証処理が実行されてもよい。 Then, in step S432, the communication processing unit 111 of the gateway ECU 110 transmits a program deletion instruction to the ECU 120a via the in-vehicle network 150 to instruct deletion of the program currently being used in the ECU 120a. Note that in the embodiment, when executing the process of step S432, an authentication process may be executed between the gateway ECU 110 and the ECU 120a.

そして、ステップS450において、ECU120aの通信処理部121aは、ステップS432においてゲートウェイECU110から送信されたプログラム消去指示を受信する。 Then, in step S450, the communication processing unit 121a of the ECU 120a receives the program deletion instruction transmitted from the gateway ECU 110 in step S432.

そして、ステップS451において、ECU120aのリプログラミング実行部122aは、ステップS450において受信されたプログラム消去指示に従って、ECU120aで現在使用されているプログラムを消去する。 Then, in step S451, the reprogramming execution unit 122a of the ECU 120a erases the program currently being used in the ECU 120a according to the program erase instruction received in step S450.

一方、ステップS433において、ゲートウェイECU110の復号化部112は、ステップS430において受信された複数の暗号化プログラムの復号化を実行する。ステップS433においては、少なくとも1つの暗号化プログラムの復号化が完了すればよく、残りの暗号化プログラムの復号化は、以降の処理と並行して実行されうる。 On the other hand, in step S433, the decryption unit 112 of the gateway ECU 110 decrypts the plurality of encrypted programs received in step S430. In step S433, it is sufficient that the decryption of at least one encrypted program is completed, and the decryption of the remaining encrypted programs can be executed in parallel with the subsequent processing.

そして、少なくとも1つの暗号化プログラムの復号化が完了した後、ステップS434において、ゲートウェイECU110の通信処理部111は、1つの復号化プログラムを、車載ネットワーク150を介してECU120aに送信する。 After the decryption of at least one encrypted program is completed, in step S434, the communication processing unit 111 of the gateway ECU 110 transmits the one decrypted program to the ECU 120a via the in-vehicle network 150.

そして、ステップS452において、ECU120aの通信処理部121aは、ステップS434においてゲートウェイECU110から送信された復号化プログラムを受信する。 Then, in step S452, the communication processing unit 121a of the ECU 120a receives the decoding program transmitted from the gateway ECU 110 in step S434.

そして、ステップS453において、ECU120aのリプログラミング実行部122aは、ステップS452において受信された復号化プログラムに従って以後動作するように、当該復号化プログラムの書き込みを実行する。 Then, in step S453, the reprogramming execution unit 122a of the ECU 120a writes the decoding program so that the decoding program received in step S452 will operate thereafter.

そして、ステップS454において、ECU120aのリプログラミング実行部122aは、ステップS453における書き込みの完了に応じて、書き込み完了通知を、車載ネットワーク150を介してゲートウェイECU110に送信する。 Then, in step S454, the reprogramming execution unit 122a of the ECU 120a transmits a write completion notification to the gateway ECU 110 via the in-vehicle network 150 in response to the completion of the write in step S453.

そして、ステップS435において、ゲートウェイECU110の通信処理部111は、ステップS454においてECU120aから送信された書き込み完了通知を受信する。 Then, in step S435, the communication processing unit 111 of the gateway ECU 110 receives the write completion notification transmitted from the ECU 120a in step S454.

そして、ステップS436において、ゲートウェイECU110の通信処理部111は、ステップS453における書き込みの成否などをECU120aに検証させるために、ステップS434で送信した復号化プログラムの同一の復号化プログラムを、車載ネットワーク150を介してECU120aに送信する。 Then, in step S436, the communication processing unit 111 of the gateway ECU 110 transmits the same decryption program to the in-vehicle network 150 as the decryption program transmitted in step S434 in order to have the ECU 120a verify the success or failure of the writing in step S453. It is transmitted to the ECU 120a via the ECU 120a.

そして、ステップS455において、ECU120aの通信処理部121aは、ステップS436においてゲートウェイECU110から送信された復号化プログラムを受信する。 Then, in step S455, the communication processing unit 121a of the ECU 120a receives the decoding program transmitted from the gateway ECU 110 in step S436.

そして、ステップS456において、ECU120aのリプログラミング実行部122aは、ステップS455において受信された復号化プログラムに基づいて、ステップS453における書き込みの成否などを検証するためのベリファイ処理を実行する。 Then, in step S456, the reprogramming execution unit 122a of the ECU 120a executes a verify process for verifying the success or failure of writing in step S453, based on the decryption program received in step S455.

そして、ステップS457において、ECU120aの通信処理部121aは、ステップS456におけるベリファイ処理の完了に応じて、当該ベリファイ処理の結果を含むベリファイ完了通知を、車載ネットワーク150を介してゲートウェイECU110に送信する。ステップS453における書き込みが失敗していた場合、ECU120aは、ステップS450以降の一連の処理を再び実行する可能性があるが、ステップS453における書き込みが成功していた場合、ステップS457をもって、ECU120aの1回目のリプログラミングが完了する。 Then, in step S457, the communication processing unit 121a of the ECU 120a transmits a verification completion notification including the result of the verification process to the gateway ECU 110 via the in-vehicle network 150 in response to the completion of the verify process in step S456. If the writing in step S453 has failed, the ECU 120a may re-execute the series of processes from step S450 onwards; however, if the writing in step S453 has succeeded, the ECU 120a may perform the first reprogramming is completed.

そして、ステップS437において、ゲートウェイECU110の通信処理部111は、ステップS457においてECU120aから送信されたベリファイ完了通知を受信する。受信されたベリファイ完了通知が書き込みの失敗を示す場合、ゲートウェイECU110の通信処理部111は、ステップS432以降の一連の処理を再び実行する可能性があるが、受信されたベリファイ完了通知が書き込みの成功を示す場合、ゲートウェイECU110の通信処理部111は、次のステップS438の処理を実行する。 Then, in step S437, the communication processing unit 111 of the gateway ECU 110 receives the verification completion notification transmitted from the ECU 120a in step S457. If the received verification completion notification indicates a writing failure, the communication processing unit 111 of the gateway ECU 110 may re-execute the series of processes from step S432 onwards, but the received verification completion notification indicates that the writing was successful. If so, the communication processing unit 111 of the gateway ECU 110 executes the process of the next step S438.

ステップS438において、ゲートウェイECU110の通信処理部111は、ECU120aの1回目のリプログラミングが完了した旨を通知するための書き換え完了通知を、車載ネットワーク150を介してECU120bに送信する。 In step S438, the communication processing unit 111 of the gateway ECU 110 transmits a rewriting completion notification to the ECU 120b via the in-vehicle network 150 to notify that the first reprogramming of the ECU 120a has been completed.

そして、ステップS470において、ECU120bの通信処理部121bは、ステップS438においてゲートウェイECU110から送信された書き換え完了通知を受信する。 Then, in step S470, the communication processing unit 121b of the ECU 120b receives the rewriting completion notification transmitted from the gateway ECU 110 in step S438.

そして、ステップS471において、ECU120bの通知部122bは、ステップS470における書き換え完了通知の受信に応じて、ECU120bのプログラムの書き換えが完了した旨の通知を作業者が視覚または聴覚で認識可能な態様で出力する。なお、この通知をリプログラミングツールRTではなくECU120bから出力する理由は、復号化プログラムが伝送されている状態においては、特に工場などの外部からの不正なアクセスに対する安全が確保されている環境以外では、セキュリティの観点から、外部からの不正アクセスに対する安全性をより高めるために、外部との通信の遮断を継続することが好ましいからである。また、リプログラミング用のプログラムを送信した後は、すぐに車両とリプログラミングツールRTの接続を解除できるため、リプログラミングの完了を待たずに、適合試験のための車両の走行が容易になる効果もある。 Then, in step S471, in response to receiving the rewriting completion notification in step S470, the notification unit 122b of the ECU 120b outputs a notification that the rewriting of the program of the ECU 120b has been completed in a manner that the operator can visually or audibly recognize. do. The reason why this notification is output from the ECU 120b rather than the reprogramming tool RT is that while the decryption program is being transmitted, it is not possible to do so in environments other than those where safety is ensured against unauthorized access from outside, such as a factory. This is because, from a security perspective, it is preferable to continue blocking communication with the outside in order to further enhance safety against unauthorized access from the outside. Additionally, after sending the reprogramming program, you can immediately disconnect the vehicle from the reprogramming tool RT, making it easier to drive the vehicle for compliance testing without waiting for reprogramming to complete. There is also.

そして、作業者は、ステップS471における通知により、1回目のリプログラミングが完了した旨を認識した後、リプログラミング後のECU120aの機能のチェックなどを実行する。このチェックは、たとえば運転操作に応じた車両の挙動を調べることなどを含んでいる。 Then, after the operator recognizes that the first reprogramming has been completed by the notification in step S471, the operator checks the functions of the ECU 120a after the reprogramming. This check includes, for example, examining the behavior of the vehicle in response to driving operations.

そして、図5に示されるように、ステップS570において、ECU120bの条件判定部123bは、次回のリプログラミングを開始するための所定の条件が成立したか否かを判定する条件判定を実行する。所定の条件とは、たとえば、車両に対する特定の運転操作が作業者により実行されることである。より具体的に、条件判定部123bは、たとえば、ライトを点灯したのち所定の時間内にブレーキのON/OFFを所定回数繰り返すなどの決められた手順での操作が実行されたか否かの判定を実行する。ステップS570における条件判定は、たとえば、所定の条件が成立したと判定されるまで繰り返し実行される。 Then, as shown in FIG. 5, in step S570, the condition determination unit 123b of the ECU 120b executes condition determination to determine whether a predetermined condition for starting the next reprogramming is satisfied. The predetermined condition is, for example, that the operator performs a specific driving operation on the vehicle. More specifically, the condition determination unit 123b determines whether or not a predetermined operation has been performed, such as turning on a light and then repeatedly turning the brake ON/OFF a predetermined number of times within a predetermined time. Execute. The condition determination in step S570 is repeatedly executed, for example, until it is determined that a predetermined condition is satisfied.

ステップS570において所定の条件が成立したと判定された場合、ステップS571に処理が進む。そして、ステップS571において、ECU120bの通信処理部121bは、次のリプログラミングをECU120aに開始させるための書き換え開始指示を、車載ネットワーク150を介してゲートウェイECU110に送信する。 If it is determined in step S570 that the predetermined condition is satisfied, the process proceeds to step S571. Then, in step S571, the communication processing unit 121b of the ECU 120b transmits a rewriting start instruction to the gateway ECU 110 via the in-vehicle network 150 to cause the ECU 120a to start the next reprogramming.

そして、ステップS530において、ゲートウェイECU110の通信処理部111は、ステップS571においてECU120bから送信された書き換え開始指示を受信する。 Then, in step S530, the communication processing unit 111 of the gateway ECU 110 receives the rewriting start instruction transmitted from the ECU 120b in step S571.

そして、ステップS531において、ゲートウェイECU110の通信処理部111は、ECU120aで現在使用されているプログラムの消去を指示するためのプログラム消去指示を、車載ネットワーク150を介してECU120aに送信する。なお、実施形態では、ステップS531の処理の実行に当たり、ゲートウェイECU110とECU120aとの間で再度の認証処理が実行されてもよい。 Then, in step S531, the communication processing unit 111 of the gateway ECU 110 transmits a program deletion instruction to the ECU 120a via the in-vehicle network 150 to instruct deletion of the program currently being used in the ECU 120a. In addition, in the embodiment, upon execution of the process of step S531, the authentication process may be executed again between the gateway ECU 110 and the ECU 120a.

そして、ステップS550において、ECU120aの通信処理部121aは、ステップS531においてゲートウェイECU110から送信されたプログラム消去指示を受信する。 Then, in step S550, the communication processing unit 121a of the ECU 120a receives the program deletion instruction transmitted from the gateway ECU 110 in step S531.

そして、ステップS551において、ECU120aのリプログラミング実行部122aは、ステップS550において受信されたプログラム消去指示に従って、ECU120aで現在使用されているプログラムを消去する。 Then, in step S551, the reprogramming execution unit 122a of the ECU 120a erases the program currently being used in the ECU 120a according to the program erase instruction received in step S550.

一方、ステップS532において、ゲートウェイECU110の復号化部112は、リプログラミング用の次の復号化プログラムを、車載ネットワーク150を介してECU120aに送信する。 On the other hand, in step S532, the decoding unit 112 of the gateway ECU 110 transmits the next decoding program for reprogramming to the ECU 120a via the in-vehicle network 150.

そして、ステップS552において、ECU120aの通信処理部121aは、ステップS532においてゲートウェイECU110から送信された復号化プログラムを受信する。 Then, in step S552, the communication processing unit 121a of the ECU 120a receives the decoding program transmitted from the gateway ECU 110 in step S532.

そして、ステップS553において、ECU120aのリプログラミング実行部122aは、ステップS552において受信された復号化プログラムに従って以後動作するように、当該復号化プログラムの書き込みを実行する。 Then, in step S553, the reprogramming execution unit 122a of the ECU 120a writes the decoding program so that the decoding program received in step S552 will operate thereafter.

そして、ステップS554において、ECU120aのリプログラミング実行部122aは、ステップS553における書き込みの完了に応じて、書き込み完了通知を、車載ネットワーク150を介してゲートウェイECU110に送信する。 Then, in step S554, the reprogramming execution unit 122a of the ECU 120a transmits a write completion notification to the gateway ECU 110 via the in-vehicle network 150 in response to the completion of the write in step S553.

そして、ステップS533において、ゲートウェイECU110の通信処理部111は、ステップS554においてECU120aから送信された書き込み完了通知を受信する。 Then, in step S533, the communication processing unit 111 of the gateway ECU 110 receives the write completion notification transmitted from the ECU 120a in step S554.

そして、ステップS534において、ゲートウェイECU110の通信処理部111は、ステップS553における書き込みの成否などをECU120aに検証させるために、ステップS532で送信した復号化プログラムの同一の復号化プログラムを、車載ネットワーク150を介してECU120aに送信する。 Then, in step S534, the communication processing unit 111 of the gateway ECU 110 transmits the same decryption program to the in-vehicle network 150 as the decryption program transmitted in step S532 in order to have the ECU 120a verify the success or failure of the writing in step S553. It is transmitted to the ECU 120a via the ECU 120a.

そして、ステップS555において、ECU120aの通信処理部121aは、ステップS534においてゲートウェイECU110から送信された復号化プログラムを受信する。 Then, in step S555, the communication processing unit 121a of the ECU 120a receives the decoding program transmitted from the gateway ECU 110 in step S534.

そして、ステップS556において、ECU120aのリプログラミング実行部122aは、ステップS555において受信された復号化プログラムに基づいて、ステップS553における書き込みの成否などを検証するためのベリファイ処理を実行する。 Then, in step S556, the reprogramming execution unit 122a of the ECU 120a executes a verify process for verifying the success or failure of writing in step S553, based on the decryption program received in step S555.

そして、ステップS557において、ECU120aの通信処理部121aは、ステップS456におけるベリファイ処理の完了に応じて、当該ベリファイ処理の結果を含むベリファイ完了通知を、車載ネットワーク150を介してゲートウェイECU110に送信する。ステップS553における書き込みが失敗していた場合、ECU120aは、ステップS550以降の一連の処理を再び実行する可能性があるが、ステップS553における書き込みが成功していた場合、ステップS557をもって、ECU120aの2回目のリプログラミングが完了する。 Then, in step S557, the communication processing unit 121a of the ECU 120a transmits a verification completion notification including the result of the verification process to the gateway ECU 110 via the in-vehicle network 150 in response to the completion of the verify process in step S456. If the writing in step S553 has failed, the ECU 120a may re-execute the series of processes from step S550 onwards. However, if the writing in step S553 has been successful, the ECU 120a may perform the second process in step S557. reprogramming is completed.

そして、ステップS535において、ゲートウェイECU110の通信処理部111は、ステップS557においてECU120aから送信されたベリファイ完了通知を受信する。受信されたベリファイ完了通知が書き込みの失敗を示す場合、ゲートウェイECU110の通信処理部111は、ステップS531以降の一連の処理を再び実行する可能性があるが、受信されたベリファイ完了通知が書き込みの成功を示す場合、ゲートウェイECU110の通信処理部111は、次のステップS536の処理を実行する。 Then, in step S535, the communication processing unit 111 of the gateway ECU 110 receives the verification completion notification transmitted from the ECU 120a in step S557. If the received verification completion notification indicates a writing failure, the communication processing unit 111 of the gateway ECU 110 may re-execute the series of processes from step S531 onwards, but the received verification completion notification indicates that the writing was successful. If so, the communication processing unit 111 of the gateway ECU 110 executes the process of the next step S536.

ステップS536において、ゲートウェイECU110の通信処理部111は、ECU120aの2回目のリプログラミングが完了した旨を通知するための書き換え完了通知を、車載ネットワーク150を介してECU120bに送信する。 In step S536, the communication processing unit 111 of the gateway ECU 110 transmits a rewriting completion notification to the ECU 120b via the in-vehicle network 150 to notify that the second reprogramming of the ECU 120a has been completed.

そして、ステップS572において、ECU120bの通信処理部121bは、ステップS536においてゲートウェイECU110から送信された書き換え完了通知を受信する。 Then, in step S572, the communication processing unit 121b of the ECU 120b receives the rewriting completion notification transmitted from the gateway ECU 110 in step S536.

そして、ステップS573において、ECU120bの通知部122bは、ステップS572における書き換え完了通知の受信に応じて、ECU120bのプログラムの書き換えが完了した旨の通知を作業者が視覚または聴覚で認識可能な態様で出力する。 Then, in step S573, in response to receiving the rewriting completion notification in step S572, the notification unit 122b of the ECU 120b outputs a notification that the rewriting of the program of the ECU 120b has been completed in a manner that the operator can visually or audibly recognize. do.

そして、作業者は、ステップS572における通知により、2回目のリプログラミングが完了した旨を認識した後、リプログラミング後のECU120aの機能のチェックなどを実行する。 After the operator recognizes that the second reprogramming has been completed based on the notification in step S572, the operator checks the functions of the ECU 120a after the reprogramming.

3回目以降のリプログラミングも、上記と同様の流れで実行される。そして、全てのリプログラミングが完了した場合、車載ネットワーク150と外部との通信経路170の遮断を解除、および、ゲートウェイECU110の制御モードの通常の制御モードへの切り替えなどが実行された上で、各装置の処理が終了する。 Reprogramming for the third and subsequent times is also performed in the same manner as above. When all reprogramming is completed, the communication path 170 between the in-vehicle network 150 and the outside is unblocked, the control mode of the gateway ECU 110 is switched to the normal control mode, and then each Device processing ends.

このように、実施形態では、連続的なリプログラミングが実行される場合においても、前述した単発的なリプログラミングが実行されると同様に、暗号化プログラムの復号化がECU120aではなくゲートウェイECU110によって実行されるとともに、車載ネットワーク150と外部との通信経路170が遮断された上で、リプログラミング用のプログラムが復号化プログラムのまま車載ネットワーク150上で伝送される。したがって、実施形態によれば、連続的なリプログラミングが実行される場合においても、前述した単発的なリプログラミングが実行されると同様に、より短時間でのリプログラミングを実現することができる。 In this way, in the embodiment, even when continuous reprogramming is performed, the decryption of the encrypted program is performed by the gateway ECU 110 instead of the ECU 120a, as in the case where the above-described one-off reprogramming is performed. At the same time, the communication path 170 between the in-vehicle network 150 and the outside is cut off, and the reprogramming program is transmitted over the in-vehicle network 150 as the decrypted program. Therefore, according to the embodiment, even when continuous reprogramming is performed, reprogramming can be achieved in a shorter time, as in the case where the above-described one-off reprogramming is performed.

また、実施形態によれば、連続的なリプログラミングが実行される場合に、リプログラミング用の複数の暗号化プログラムのうち少なくとも1つの復号化が完了した時点で1回目のリプログラミングを開始し、残りの暗号化プログラムの復号化を当該1回目のリプログラミングと並行して実行することができるので、全てのリプログラミングに要する時間のさらなる短縮化を図ることができる。 Further, according to the embodiment, when continuous reprogramming is performed, the first reprogramming is started when decryption of at least one of the plurality of encrypted programs for reprogramming is completed, Since the remaining encrypted programs can be decrypted in parallel with the first reprogramming, the time required for all reprogramming can be further shortened.

なお、実施形態にかかるゲートウェイECU110およびECU120のような電子装置100は、たとえば次の図6に示されるようなコンピュータ600によって実現される。 Note that the electronic device 100 such as the gateway ECU 110 and the ECU 120 according to the embodiment is realized by, for example, a computer 600 as shown in FIG. 6 below.

図6は、実施形態にかかる車両リプログラミングシステムの電子装置100を実現するためのコンピュータ600のハードウェア構成を示した例示的かつ模式的なブロック図である。 FIG. 6 is an exemplary and schematic block diagram showing the hardware configuration of a computer 600 for realizing the electronic device 100 of the vehicle reprogramming system according to the embodiment.

図6に示されるように、実施形態にかかるコンピュータ600は、プロセッサ610と、メモリ620と、ストレージ630と、入出力インターフェース(I/F)640と、通信インターフェース(I/F)650と、を備えている。これらのハードウェアは、バス660に接続されている。 As shown in FIG. 6, the computer 600 according to the embodiment includes a processor 610, a memory 620, a storage 630, an input/output interface (I/F) 640, and a communication interface (I/F) 650. We are prepared. These hardware are connected to bus 660.

プロセッサ610は、たとえばCPU(Central Processing Unit)として構成され、コンピュータ600の各部の動作を統括的に制御する。メモリ620は、たとえばROM(Read Only Memory)およびRAM(Random Access Memory)を含み、プロセッサ610により実行されるプログラムなどの各種のデータの揮発的または不揮発的な記憶、およびプロセッサ610がプログラムを実行するための作業領域の提供などを実現する。 Processor 610 is configured as, for example, a CPU (Central Processing Unit), and centrally controls the operations of each part of computer 600. The memory 620 includes, for example, a ROM (Read Only Memory) and a RAM (Random Access Memory), and has volatile or nonvolatile storage of various data such as programs executed by the processor 610, and programs executed by the processor 610. The goal is to provide work areas for

ストレージ630は、たとえばHDD(Hard Disk Drive)またはSSD(Solid State Drive)を含み、各種のデータを不揮発的に記憶する。入出力インターフェース640は、コンピュータ600へのデータの入力およびコンピュータ600からのデータの出力を制御する。通信インターフェース650は、コンピュータ600が上述した車載ネットワーク150または外部ネットワークNのようなネットワークを介して他の装置と通信を実行することを可能にする。 The storage 630 includes, for example, an HDD (Hard Disk Drive) or an SSD (Solid State Drive), and stores various data in a non-volatile manner. Input/output interface 640 controls inputting data to and outputting data from computer 600. Communication interface 650 allows computer 600 to communicate with other devices via a network, such as in-vehicle network 150 or external network N described above.

上述した図2に示される機能モジュール群は、プロセッサ610がメモリ620またはストレージ630に記憶された所定のプログラムを実行した結果として、ハードウェアとソフトウェアとの協働により実現される。ただし、実施形態では、上述した図2に示される機能モジュール群の少なくとも一部が、専用のハードウェア(回路)として実現されてもよい。 The functional module group shown in FIG. 2 described above is realized by the cooperation of hardware and software as a result of processor 610 executing a predetermined program stored in memory 620 or storage 630. However, in the embodiment, at least a part of the functional module group shown in FIG. 2 described above may be realized as dedicated hardware (circuit).

以上説明したように、実施形態にかかる車両リプログラミングシステムは、車載ネットワーク150に接続されるように車両に搭載された複数の電子装置100を備えている。複数の電子装置100は、車載ネットワーク150と車両の外部との通信を制御する通信制御装置としてのゲートウェイECU110を含んでいる。 As described above, the vehicle reprogramming system according to the embodiment includes a plurality of electronic devices 100 mounted on the vehicle so as to be connected to the in-vehicle network 150. The plurality of electronic devices 100 include a gateway ECU 110 as a communication control device that controls communication between the in-vehicle network 150 and the outside of the vehicle.

ゲートウェイECU110は、複数の電子装置100のうちゲートウェイECU110とは異なる第1の電子装置としてのECU120aのリプログラミング用の、暗号化されたプログラムを外部から受信した場合に、車載ネットワーク150と外部との通信経路170を遮断する。そして、複数の電子装置100のうち第1の電子装置とは異なる第2の電子装置としてのゲートウェイECU110は、ゲートウェイECU110により受信された、暗号化されたプログラムを復号化し、復号化されたプログラムを、車載ネットワーク150を介して、第1の電子装置としてのECU120aに送信する。そして、第1の電子装置としてのECU120aは、第2の電子装置としてのゲートウェイECU110から復号化されたプログラムを受信した場合に、当該復号化されたプログラムに基づいて、リプログラミングを実行する。 When gateway ECU 110 receives from the outside an encrypted program for reprogramming ECU 120a, which is a first electronic device different from gateway ECU 110 among the plurality of electronic devices 100, gateway ECU 110 connects in-vehicle network 150 and the outside. Communication path 170 is cut off. The gateway ECU 110, which is a second electronic device different from the first electronic device among the plurality of electronic devices 100, decrypts the encrypted program received by the gateway ECU 110, and reads the decrypted program. , is transmitted to the ECU 120a as the first electronic device via the in-vehicle network 150. Then, when the ECU 120a serving as the first electronic device receives the decrypted program from the gateway ECU 110 serving as the second electronic device, the ECU 120a executes reprogramming based on the decrypted program.

上記のような構成によれば、リプログラミングの実行にあたり、復号化プログラムが車載ネットワーク150と外部との通信がゲートウェイECU110により制御された状態の車載ネットワーク150内で伝送されるので、車載ネットワーク150内での復号化プログラムの伝送が外部から盗み見られるようなことがなく、すなわち、セキュリティを損なうことなく、リプログラミング用のプログラムを復号化したまま車載ネットワーク150上で伝送することができる。したがって、プログラムの書き換えおよび書き換えられたプログラムの検証の目的でプログラムを使用する度に復号化を実行する必要が無いので、より短時間でのリプログラミングを実現することができる。特に、実施形態では、プログラムの復号化が、ECU120aではなく、当該ECU120aよりも記憶容量および演算速度などの観点で高性能なハードウェアによって構成されたゲートウェイECU110によって実行されるので、暗号化プログラムの復号化に要する時間を短縮し、より短時間でのリプログラミングを実現することができる。また、上記のような構成によれば、リプログラミング中にゲートウェイECU110により車載ネットワーク150と外部との通信経路170を遮断することで、車両の外部からの車載ネットワーク150へのアクセスを防止し、リプログラミング中のセキュリティを高めることができる。 According to the above configuration, when performing reprogramming, the decryption program is transmitted within the in-vehicle network 150 in which communication between the in-vehicle network 150 and the outside is controlled by the gateway ECU 110. The transmission of the decrypted program at the reprogramming program can be transmitted over the in-vehicle network 150 without being intercepted from outside, that is, without compromising security. Therefore, it is not necessary to perform decoding every time a program is used for the purpose of rewriting the program and verifying the rewritten program, so reprogramming can be realized in a shorter time. In particular, in the embodiment, the decryption of the program is executed not by the ECU 120a but by the gateway ECU 110, which is configured with hardware having higher performance than the ECU 120a in terms of storage capacity and calculation speed. It is possible to shorten the time required for decoding and realize reprogramming in a shorter time. Further, according to the above configuration, by blocking the communication path 170 between the in-vehicle network 150 and the outside by the gateway ECU 110 during reprogramming, access to the in-vehicle network 150 from outside the vehicle is prevented, and reprogramming is performed. Security during programming can be increased.

また、実施形態において、第2の電子装置としてのゲートウェイECU110は、リプログラミング用のプログラムとして互いに異なる複数のプログラムが受信された場合に、当該複数のプログラムの復号化を開始する。そして、ゲートウェイECU110は、複数のプログラムのうち少なくとも1つの復号化の完了に応じて、復号化されたプログラムのうちの1つを、車載ネットワーク150を介して第1の電子装置としてのECU120aに送信し、その後、所定の条件が成立するごとに、復号化された残りのプログラムを1つずつ、車載ネットワーク150を介してECU120aに送信する。そして、第1の電子装置としてのECU120aは、復号化されたプログラムを第2の電子装置としてのゲートウェイECU110から1つ受信するごとに、リプログラミングを実行する。 Furthermore, in the embodiment, when a plurality of different programs are received as reprogramming programs, the gateway ECU 110 as the second electronic device starts decoding the plurality of programs. Then, upon completion of the decoding of at least one of the plurality of programs, the gateway ECU 110 transmits one of the decoded programs to the ECU 120a as the first electronic device via the in-vehicle network 150. Thereafter, each time a predetermined condition is satisfied, the remaining decrypted programs are transmitted one by one to the ECU 120a via the in-vehicle network 150. The ECU 120a serving as the first electronic device executes reprogramming each time it receives one decrypted program from the gateway ECU 110 serving as the second electronic device.

上記のような構成によれば、リプログラミング用の複数のプログラムのうち少なくとも1つの復号化が完了した時点で1回目のリプログラミングを開始し、残りのプログラムの復号化を1回目(以降)のリプログラミングと並行して実行することができるので、複数回のリプログラミングに要する時間のさらなる短縮化を図ることができる。 According to the above configuration, the first reprogramming is started when at least one of the multiple programs for reprogramming has been decrypted, and the remaining programs are decrypted during the first (subsequent) decryption. Since it can be executed in parallel with reprogramming, it is possible to further shorten the time required for reprogramming multiple times.

また、実施形態において、第2の電子装置としてのゲートウェイECU110は、第2の電子装置としてのECU120aのリプログラミングを実現するための専用の制御モードと、たとえば上述した通常の制御モードのような、他の機能を実現するための他の制御モードと、を切り替え可能に構成されている。 Further, in the embodiment, the gateway ECU 110 as the second electronic device has a dedicated control mode for realizing reprogramming of the ECU 120a as the second electronic device, and a normal control mode, such as the above-mentioned normal control mode. It is configured to be switchable between other control modes for realizing other functions.

上記のような構成によれば、制御モードの切り替えにより、第2の電子装置としてのゲートウェイECU110のリソースを効率的に使用することができる。 According to the above configuration, by switching the control mode, the resources of the gateway ECU 110 as the second electronic device can be used efficiently.

<変形例>
なお、上述した実施形態では、通信制御装置としてのゲートウェイECU110が、暗号化プログラムの復号化を実行する第2の電子装置に設定されている構成が例示されている。このように通信制御装置と第2の電子装置が同一である場合も、第2の電子装置は通信制御装置を介して外部装置からプログラムを受信する、と表現することができる。しかしながら、上述した実施形態では、ECU120が第2の電子装置に設定されてもよい。この場合、第2の電子装置に設定されたECU120は、暗号化プログラムをゲートウェイECU110から車載ネットワーク150を介して受信し、ゲートウェイECU110による通信経路170の遮断後に、復号化を実行するように構成される。なお、このとき、第2の電子装置が、リプログラミング対象の第1の電子装置よりも高性能なハードウェアによって構成されていれば、リプログラミングに要する時間をより短縮することができる。また、上述した実施形態では、ECU120ではなくゲートウェイECU110が、リプログラミング対象の第1の電子装置に設定されてもよい。 <Modified example>
Note that in the embodiment described above, a configuration is exemplified in which the gateway ECU 110 as a communication control device is set as a second electronic device that executes decryption of an encrypted program. In this way, even when the communication control device and the second electronic device are the same, it can be expressed that the second electronic device receives the program from the external device via the communication control device. However, in the embodiment described above, the ECU 120 may be set as the second electronic device. In this case, the ECU 120 set in the second electronic device is configured to receive the encrypted program from the gateway ECU 110 via the in-vehicle network 150, and execute decryption after the gateway ECU 110 blocks the communication path 170. Ru. Note that at this time, if the second electronic device is configured of hardware with higher performance than the first electronic device to be reprogrammed, the time required for reprogramming can be further reduced. Furthermore, in the embodiment described above, the gateway ECU 110 instead of the ECU 120 may be set as the first electronic device to be reprogrammed.

また、上述した実施形態では、リプログラミング対象のECU120aは、複数のECU120間で適宜選択的に切り替えられうる。したがって、複数のECU120は、いずれも、リプログラミング対象のECU120aとしての機能と、リプログラミング対象ではない他のECU120bとしての機能と、を適宜選択的に実現しうる。 Furthermore, in the embodiment described above, the ECU 120a to be reprogrammed can be selectively switched between the plurality of ECUs 120 as appropriate. Therefore, each of the plurality of ECUs 120 can selectively realize the function of the ECU 120a to be reprogrammed and the function of another ECU 120b not to be reprogrammed.

また、“通信制御装置による通信経路170の遮断”は、物理的な通信経路の遮断や、あるいは、物理的な通信経路は接続されていても、外部からの受信を受け付けず外部への送信も禁止するような通信を途絶する処理などには限られない。“通信制御装置による通信経路170の遮断”は、たとえば、外部からの通信に対し、通常の通信状態にないことを示す所定の回答を外部へ送信する処理も含みうる。 Furthermore, "blocking the communication path 170 by the communication control device" means blocking the physical communication path, or even if the physical communication path is connected, reception from the outside is not accepted and transmission to the outside is not possible. This is not limited to processing that discontinues communication such as prohibition. "Blocking off the communication path 170 by the communication control device" may include, for example, a process of transmitting to the outside a predetermined response indicating that the communication is not in a normal communication state in response to communication from the outside.

以上、本開示の実施形態および変形例を説明したが、上述した実施形態および変形例はあくまで一例であって、発明の範囲を限定することは意図していない。上述した新規な実施形態および変形例は、様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。上述した実施形態および変形例は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。 Although the embodiments and modifications of the present disclosure have been described above, the embodiments and modifications described above are merely examples, and are not intended to limit the scope of the invention. The novel embodiments and modified examples described above can be implemented in various forms, and various omissions, substitutions, and changes can be made without departing from the gist of the invention. The above-described embodiments and modifications are included within the scope and gist of the invention, as well as within the scope of the invention described in the claims and its equivalents.

100 電子装置(車載電子装置)
110 ゲートウェイECU(車載電子装置、通信制御装置、第2の電子装置)
120 ECU(車載電子装置)
120a ECU(車載電子装置、第1の電子装置)
150 車載ネットワーク 100 Electronic devices (vehicle electronic devices)
110 Gateway ECU (vehicle electronic device, communication control device, second electronic device)
120 ECU (vehicle electronic unit)
120a ECU (vehicle electronic device, first electronic device)
150 In-vehicle network

Claims (4)

車載ネットワークに接続されるように車両に搭載された複数の車載電子装置であって、当該車載ネットワークと前記車両の外部の外部装置との通信を制御する車載電子装置である通信制御装置を含む複数の車載電子装置を備え、
前記複数の車載電子装置のうち第1の電子装置とは異なる第2の電子装置は、前記通信制御装置を介して前記外部装置から受信された、前記第1の電子装置のリプログラミング用の暗号化されたコンピュータプログラムを復号化し、復号化されたコンピュータプログラムを、前記車載ネットワークを介して、前記第1の電子装置に送信し、
前記第1の電子装置は、前記第2の電子装置から前記復号化されたコンピュータプログラムを受信した場合に、当該復号化されたコンピュータプログラムに基づいて、前記リプログラミングを実行し、
前記第2の電子装置は、前記リプログラミング用の前記コンピュータプログラムとして互いに異なる複数のコンピュータプログラムが前記通信制御装置を介して前記外部装置から受信された場合に、当該複数のコンピュータプログラムの復号化を開始し、前記複数のコンピュータプログラムのうち少なくとも1つの復号化の完了に応じて、復号化されたコンピュータプログラムのうちの1つを、前記車載ネットワークを介して前記第1の電子装置に送信し、その後、所定の開始条件が成立するごとに、復号化された残りのコンピュータプログラムを1つずつ、前記車載ネットワークを介して前記第1の電子装置に送信し、
前記第1の電子装置は、前記復号化されたコンピュータプログラムを前記第2の電子装置から1つ受信するごとに、前記リプログラミングを実行し、
前記開始条件は、車両に対する特定の運転操作である、
車両リプログラミングシステム。 A plurality of in-vehicle electronic devices mounted on a vehicle to be connected to an in-vehicle network, including a communication control device that is an in-vehicle electronic device that controls communication between the in-vehicle network and an external device outside the vehicle. Equipped with onboard electronic equipment,
A second electronic device different from the first electronic device among the plurality of in-vehicle electronic devices receives a code for reprogramming the first electronic device received from the external device via the communication control device. decoding the encoded computer program and transmitting the decoded computer program to the first electronic device via the in-vehicle network;
When the first electronic device receives the decrypted computer program from the second electronic device, the first electronic device executes the reprogramming based on the decrypted computer program,
When a plurality of different computer programs are received from the external device via the communication control device as the computer programs for reprogramming, the second electronic device decrypts the plurality of computer programs. and upon completion of decoding of at least one of the plurality of computer programs, transmitting one of the decrypted computer programs to the first electronic device via the in-vehicle network; Thereafter, each time a predetermined starting condition is satisfied, transmitting the remaining decrypted computer programs one by one to the first electronic device via the in-vehicle network;
The first electronic device performs the reprogramming each time it receives one of the decrypted computer programs from the second electronic device,
The starting condition is a specific driving operation for the vehicle;
Vehicle reprogramming system. 前記通信制御装置は、前記リプログラミング用の前記コンピュータプログラムを前記第2の電子装置が前記通信制御装置を介して前記外部装置から受信した場合に、前記車載ネットワークと前記外部装置との通信経路を遮断する、
請求項1に記載の車両リプログラミングシステム。 The communication control device controls a communication path between the in-vehicle network and the external device when the second electronic device receives the computer program for reprogramming from the external device via the communication control device. Cut off,
The vehicle reprogramming system according to claim 1. 前記開始条件は、ライトを点灯したのち所定の時間内にブレーキのON/OFFを所定回数繰り返すことである、
請求項1または2に記載の車両リプログラミングシステム。 The start condition is that the brake is turned on and off a predetermined number of times within a predetermined time after the light is turned on.
The vehicle reprogramming system according to claim 1 or 2. 前記第2の電子装置は、前記第1の電子装置のリプログラミングを実現するための専用の制御モードと、他の機能を実現するための他の制御モードと、を切り替え可能に構成されている、
請求項1~3のうちいずれか1項に記載の車両リプログラミングシステム。 The second electronic device is configured to be switchable between a dedicated control mode for realizing reprogramming of the first electronic device and another control mode for realizing other functions. ,
The vehicle reprogramming system according to any one of claims 1 to 3.
JP2019177735A 2019-09-27 2019-09-27 vehicle reprogramming system Active JP7423959B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2019177735A JP7423959B2 (en) 2019-09-27 2019-09-27 vehicle reprogramming system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019177735A JP7423959B2 (en) 2019-09-27 2019-09-27 vehicle reprogramming system

Publications (2)

Publication Number Publication Date
JP2021056655A JP2021056655A (en) 2021-04-08
JP7423959B2 true JP7423959B2 (en) 2024-01-30

Family

ID=75272558

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019177735A Active JP7423959B2 (en) 2019-09-27 2019-09-27 vehicle reprogramming system

Country Status (1)

Country Link
JP (1) JP7423959B2 (en)

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007334602A (en) 2006-06-14 2007-12-27 Brother Ind Ltd Update data delivery system, terminal device therein, update data delivery device, connection control device, update data delivery method, and program used therefor
JP2013240946A (en) 2012-05-22 2013-12-05 Seiko Epson Corp Updating apparatus, updating method, and program
WO2014083775A1 (en) 2012-11-29 2014-06-05 株式会社デンソー Vehicle-mounted program update device
JP2014182571A (en) 2013-03-19 2014-09-29 Denso Corp On-vehicle electronic control device program rewriting system and on-vehicle relay device
JP2015202710A (en) 2014-04-11 2015-11-16 三菱電機株式会社 Electronic control device
WO2016190377A1 (en) 2015-05-26 2016-12-01 京セラ株式会社 Software update device, software update system, and software update method
JP2017059894A (en) 2015-09-14 2017-03-23 株式会社オートネットワーク技術研究所 Communication system
JP2017175208A (en) 2016-03-18 2017-09-28 トヨタ自動車株式会社 Network system
JP2019105946A (en) 2017-12-11 2019-06-27 株式会社オートネットワーク技術研究所 In-vehicle updating apparatus, program, and method of updating program or data

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007334602A (en) 2006-06-14 2007-12-27 Brother Ind Ltd Update data delivery system, terminal device therein, update data delivery device, connection control device, update data delivery method, and program used therefor
JP2013240946A (en) 2012-05-22 2013-12-05 Seiko Epson Corp Updating apparatus, updating method, and program
WO2014083775A1 (en) 2012-11-29 2014-06-05 株式会社デンソー Vehicle-mounted program update device
JP2014182571A (en) 2013-03-19 2014-09-29 Denso Corp On-vehicle electronic control device program rewriting system and on-vehicle relay device
JP2015202710A (en) 2014-04-11 2015-11-16 三菱電機株式会社 Electronic control device
WO2016190377A1 (en) 2015-05-26 2016-12-01 京セラ株式会社 Software update device, software update system, and software update method
JP2017059894A (en) 2015-09-14 2017-03-23 株式会社オートネットワーク技術研究所 Communication system
JP2017175208A (en) 2016-03-18 2017-09-28 トヨタ自動車株式会社 Network system
JP2019105946A (en) 2017-12-11 2019-06-27 株式会社オートネットワーク技術研究所 In-vehicle updating apparatus, program, and method of updating program or data

Also Published As

Publication number Publication date
JP2021056655A (en) 2021-04-08

Similar Documents

Publication Publication Date Title
JP6227794B2 (en) Vehicle control device, reprogramming system
CN102105883A (en) Electronic device and method of software or firmware updating of an electronic device
JP2012090286A (en) Memory system having encryption/decryption function of in stream data
JPWO2002057904A1 (en) Control device with download function
KR102007532B1 (en) Hardware security module with means to selectively activate or inhibit debugging and corresponding debugging method
CN111786820B (en) Firmware updating method and device and network equipment
WO2018230084A1 (en) Updating control device, control method, and computer program
US20200233676A1 (en) Bios management device, bios management system, bios management method, and bios management program-stored recording medium
CN105279441A (en) Methods and architecture for encrypting and decrypting data
WO2019116922A1 (en) Onboard updating device, program, and method for updating program or data
KR101533813B1 (en) Apparatus and method for controlling power relay assembly
JP7423959B2 (en) vehicle reprogramming system
CN115314253A (en) Data processing method, device, system, equipment and working machine
KR20120068745A (en) Hardware security module and treatment process therein
JP7363853B2 (en) OTA master, center, system, update method, update program, and vehicle
JP2007507020A (en) Method for reloading software into the boot sector of a programmable read-only memory
CN108877859B (en) Semiconductor memory device, memory controller, and memory monitoring method
JP2006523870A (en) Method for checking data consistency of software in a control unit
JP2007316800A (en) Onboard program rewriting controller
CN112764787B (en) UDS-based safe upgrade Bootloader design method
US20240004633A1 (en) Electronic control device
JP2007072695A (en) Redundancy storage method and program to flash memory
JP2022168516A (en) Ota master, method, and program
US20240160433A1 (en) Control device and control system
JP2023016643A (en) electronic controller

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220830

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230719

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230801

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230927

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20231219

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240101

R150 Certificate of patent or registration of utility model

Ref document number: 7423959

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150