KR20240079141A - 차량, 소프트웨어 갱신 방법, 및 비일시적 기억 매체 - Google Patents

차량, 소프트웨어 갱신 방법, 및 비일시적 기억 매체 Download PDF

Info

Publication number
KR20240079141A
KR20240079141A KR1020230123705A KR20230123705A KR20240079141A KR 20240079141 A KR20240079141 A KR 20240079141A KR 1020230123705 A KR1020230123705 A KR 1020230123705A KR 20230123705 A KR20230123705 A KR 20230123705A KR 20240079141 A KR20240079141 A KR 20240079141A
Authority
KR
South Korea
Prior art keywords
software
ecu
vehicle
update
activate
Prior art date
Application number
KR1020230123705A
Other languages
English (en)
Inventor
도모야스 이시카와
히로시 이노우에
šœ스케 다니모리
나나 기쿠이레
Original Assignee
도요타지도샤가부시키가이샤
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 도요타지도샤가부시키가이샤 filed Critical 도요타지도샤가부시키가이샤
Publication of KR20240079141A publication Critical patent/KR20240079141A/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/65Updates
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/61Installation

Abstract

서버로부터 배신되는 소프트웨어를 사용하여, 소프트웨어의 갱신이 행해지도록 구성된 ECU를 구비하는 차량은, 오프 조작됨으로써 상기 차량의 제어 시스템을 정지하도록 구성되는 기동 스위치(150, 250)와, 제어 장치(110, 210)를 구비한다. 상기 제어 장치(110, 210)는 상기 기동 스위치가 상기 오프 조작되고 나서, 액티베이트를 실행하는 것의 승낙을 요구하도록 구성된다. 상기 제어 장치(110, 210)는 상기 ECU가 싱글 뱅크 타입의 컴퓨터인 경우, 상기 소프트웨어를 다운로드한 후, 유저에 의해, 액티베이트를 실행하는 것의 승낙이 이루어지고 나서, 다운로드된 상기 소프트웨어를 상기 ECU에 인스톨하여 액티베이트를 실행하도록 상기 ECU에 지시하도록 구성된다. 상기 제어 장치(110, 210)는 상기 ECU가 듀얼 뱅크 타입의 컴퓨터인 경우, 유저에 의해, 액티베이트를 실행하는 것의 승낙이 이루어지고 나서, 인스톨된 상기 소프트웨어의 액티베이트를 실행하도록 상기 ECU에 지시하도록 구성된다.

Description

차량, 소프트웨어 갱신 방법, 및 비일시적 기억 매체{VEHICLE, SOFTWARE UPDATE METHOD, AND NON-TRANSITORY STORAGE MEDIUM}
본 개시는 차량, 소프트웨어 갱신 방법, 및 비일시적 기억 매체에 관한 것이다.
일본 특허 공개 제2017-149323호에는, OTA(Over The Air)에 의해, 차량에 탑재된 ECU(Electronic Control Unit)의 소프트웨어를 갱신하는 기술이 개시되어 있다.
차량은, OTA 센터와 무선 통신을 행함으로써, OTA 센터로부터 차량 탑재 ECU의 새로운 소프트웨어를 다운로드할 수 있다. 그리고, 차량에 있어서, 타깃 ECU(소프트웨어 갱신 대상인 ECU)가 새로운 소프트웨어를 인스톨, 액티베이트를 차례로 실행함으로써, 소프트웨어가 갱신될 수 있다.
전형적인 차량 탑재 ECU는, 하나 이상의 컴퓨터(마이크로컴퓨터)를 구비한다. 차량 탑재 ECU 내의 전형적인 컴퓨터는, 듀얼 뱅크 타입과 싱글 뱅크 타입으로 크게 구별된다.
듀얼 뱅크 타입에서는, 2개의 메모리 영역에 의해 2개의 뱅크가 형성된다. 듀얼 뱅크 타입에서는, 실행 중인 소프트웨어(프로그램)를 기억하는 영역과, 갱신용(새로운) 소프트웨어를 기억하는 영역을 갖고 있다. 현재의 소프트웨어의 실행 중에, 갱신용 소프트웨어의 인스톨을 행하는 것이 가능하다.
싱글 뱅크 타입에서는, 하나의 메모리 영역에 의해 하나의 뱅크가 형성된다. 그리고, 싱글 뱅크 타입에서는, 현재의 소프트웨어를 기억하는 영역과 갱신용 소프트웨어를 기억하는 영역이 동일하다. 그 때문에, 현재의 소프트웨어의 실행 중에 갱신용 소프트웨어의 인스톨을 행하는 것이 곤란하다.
차량 탑재 ECU로서, 싱글 뱅크 타입의 컴퓨터와 듀얼 뱅크 타입의 컴퓨터가 혼재되어 있는 경우, 싱글 뱅크 타입의 차량 탑재 ECU가 소프트웨어(프로그램)의 실행을 정지하는 상태, 예를 들어 차량 시스템의 정지 상태에 있어서, 차량 탑재 ECU(타깃 ECU)의 인스톨을 개시하는 것을 생각할 수 있다. 그러나, 이 경우, 소프트웨어의 갱신 타이밍이 제한되거나, 보류(연기)되거나 할 우려가 있다.
본 개시는, 차량 탑재 ECU로서, 싱글 뱅크 타입의 컴퓨터와 듀얼 뱅크 타입의 컴퓨터가 혼재되어 있는 경우에도, 적절하고 신속한 소프트웨어의 갱신을 가능하게 한다.
본 개시의 제1 양태에 있어서, 서버로부터 배신되는 소프트웨어를 사용하여, 소프트웨어의 갱신이 행해지도록 구성된 ECU를 구비하는 차량은, 온 조작됨으로써 상기 차량의 제어 시스템을 기동하고, 오프 조작됨으로써 상기 차량의 제어 시스템을 정지하도록 구성되는 기동 스위치와, 제어 장치를 구비하고, 상기 제어 장치는, 상기 소프트웨어의 갱신 처리를 제어하도록 구성된다. 상기 제어 장치는, 상기 기동 스위치가 오프 조작되고 나서, 액티베이트를 실행하는 것의 승낙을 요구하도록 구성된다. 상기 제어 장치는, 상기 ECU가 싱글 뱅크 타입의 컴퓨터인 경우, 상기 서버로부터 배신된 상기 소프트웨어를 다운로드한 후, 유저에 의해, 액티베이트를 실행하는 것의 승낙이 이루어지고 나서, 다운로드된 상기 소프트웨어를 상기 ECU에 인스톨하여 액티베이트를 실행하도록 상기 ECU에 지시하도록 구성된다. 상기 제어 장치는, 상기 ECU가 듀얼 뱅크 타입의 컴퓨터인 경우, 상기 서버로부터 배신된 상기 소프트웨어를 다운로드하고 상기 ECU에 다운로드된 상기 소프트웨어를 인스톨하는 지시를 한 후, 유저에 의해, 액티베이트를 실행하는 것의 승낙이 이루어지고 나서, 인스톨된 상기 소프트웨어의 액티베이트를 실행하도록 상기 ECU에 지시하도록 구성된다.
이 구성에 의하면, ECU로서, 싱글 뱅크 타입의 컴퓨터와 듀얼 뱅크 타입의 컴퓨터가 혼재되어 있을 때, 제어 장치는, 싱글 뱅크 타입의 컴퓨터로 구성되는 ECU에서는, 서버로부터 배신된 소프트웨어를 다운로드한 후, 유저에 의해, 액티베이트를 실행하는 것의 승낙이 이루어지고 나서, 다운로드된 소프트웨어를 ECU에 인스톨하여 액티베이트를 실행한다. 또한, 제어 장치는, 듀얼 뱅크 타입의 컴퓨터로 구성되는 ECU에서는, 서버로부터 배신된 소프트웨어를 다운로드하여 ECU에 인스톨한 후, 유저에 의해, 액티베이트를 실행하는 것의 승낙이 이루어지고 나서, 인스톨된 소프트웨어의 액티베이트를 실행한다.
기동 스위치가 오프 조작되면, 차량의 제어 시스템을 정지 상태로 하는 것이 가능하게 된다. 그 때문에 싱글 뱅크 타입의 컴퓨터에 있어서, 소프트웨어의 인스톨을 실행하는 것이 가능하게 된다. 그 때문에, 싱글 뱅크 타입의 컴퓨터로 구성되는 ECU에서는, 기동 스위치가 오프 조작된 후, 액티베이트를 실행하는 것의 승낙이 이루어지면, 인스톨을 실행하고, 액티베이트를 행한다. 듀얼 뱅크 타입의 컴퓨터로 구성되는 ECU에서는, 기동 스위치가 오프 조작되기 전에, 소프트웨어의 인스톨을 실행하고, 기동 스위치가 오프 조작되고, 액티베이트를 실행하는 것의 승낙이 이루어지면, 액티베이트를 실행한다. 이에 의해, 각 ECU에 있어서, 적절하고 신속한 소프트웨어의 갱신을 행하는 것이 가능하게 된다.
ECU의 소프트웨어를 갱신할 때, 차량의 유저에게, 승낙을 얻는 것이 바람직하다. 이때, ECU로서, 싱글 뱅크 타입의 컴퓨터와 듀얼 뱅크 타입의 컴퓨터가 혼재되어 있을 때, 기동 스위치가 오프 조작되고 나서, 싱글 뱅크 타입의 ECU에 관한 「인스톨 및 액티베이트」의 승낙을 요구하고, 또한 듀얼 뱅크 타입의 ECU에 관한 「액티베이트」의 승낙을 요구한다. 이 경우, 유저에게 2종류의 승낙을 요구하게 되어, 번잡해진다.
이 구성에 의하면, 제어 장치는, 기동 스위치가 오프 조작되면, 액티베이트를 실행하는 것의 승낙을 요구한다. 그리고, 유저에 의해, 액티베이트를 실행하는 것의 승낙이 이루어졌을 때, ECU가 싱글 뱅크 타입의 컴퓨터인 경우, 소프트웨어의 인스톨 및 액티베이트가 실행된다. ECU가 듀얼 뱅크 타입의 컴퓨터인 경우, 유저에 의해, 액티베이트를 실행하는 것의 승낙이 이루어졌을 때, 인스톨된 소프트웨어의 액티베이트가 실행된다. 따라서, 「액티베이트」의 승낙이 이루어짐으로써, 싱글 뱅크 타입의 ECU에 있어서, 인스톨 및 액티베이트가 실행된다. 그 때문에, 기동 스위치가 오프 조작된 이후의 승낙을 1종류로 할 수 있어, 번잡을 완화할 수 있다.
본 개시의 제1 양태에 관한 차량에 있어서, 상기 ECU는, 상기 차량의 주행 제어를 행하는 ECU여도 된다. 기동 스위치가 오프 조작되면, ECU에 의한 소프트웨어(프로그램)의 실행을 정지하여, 차량의 제어 시스템을 정지 상태로 하는 것이 가능하게 된다.
본 개시의 제2 양태에 있어서 서버로부터 배신되는 소프트웨어를 사용하여, 차량 탑재 ECU의 소프트웨어의 갱신을 행하는 소프트웨어 갱신 방법은 이하를 포함한다: 온 조작됨으로써 차량의 제어 시스템을 기동하고, 오프 조작됨으로써 상기 차량의 제어 시스템을 정지하도록 구성되는 기동 스위치가 오프 조작되면, 액티베이트를 실행하는 것의 승낙을 요구하는 것; 상기 차량 탑재 ECU가 싱글 뱅크 타입의 컴퓨터인 경우, 상기 서버로부터 배신된 상기 소프트웨어를 다운로드한 후, 유저에 의해, 액티베이트를 실행하는 것의 승낙이 이루어지고 나서, 다운로드된 상기 소프트웨어를 상기 차량 탑재 ECU에 인스톨하여 액티베이트를 실행하도록 상기 차량 탑재 ECU에 지시하는 것; 및
상기 차량 탑재 ECU가 듀얼 뱅크 타입의 컴퓨터인 경우, 상기 서버로부터 배신된 상기 소프트웨어를 다운로드하고 상기 차량 탑재 ECU에 다운로드된 상기 소프트웨어를 인스톨하는 지시를 한 후, 유저에 의해, 액티베이트를 실행하는 것의 승낙이 이루어지고 나서, 인스톨된 상기 소프트웨어의 액티베이트를 실행하도록 상기 차량 탑재 ECU에 지시하는 것.
이 방법에 의하면, 싱글 뱅크 타입의 컴퓨터로 구성되는 ECU에서는, 기동 스위치가 오프 조작되고, 액티베이트를 실행하는 것의 승낙이 이루어지면, 인스톨을 실행하고, 액티베이트를 행한다. 그리고, 듀얼 뱅크 타입의 컴퓨터로 구성되는 ECU에서는, 기동 스위치가 오프 조작되기 전에, 소프트웨어의 인스톨을 실행하고, 기동 스위치가 오프 조작되고, 액티베이트를 실행하는 것의 승낙이 이루어지면, 액티베이트를 실행한다. 이에 의해, 각 ECU에 있어서, 적절하고 신속한 소프트웨어의 갱신을 행하는 것이 가능하게 된다.
이 방법에 의하면, 기동 스위치가 오프 조작되면, 액티베이트를 실행하는 것의 승낙이 요구된다. 유저의 승낙이 이루어짐으로써, 싱글 뱅크 타입의 ECU에 있어서, 인스톨 및 액티베이트가 실행된다. 그 때문에, 기동 스위치가 오프 조작된 이후의 승낙을 1종류로 할 수 있어, 번잡을 완화할 수 있다.
또한, 본 개시의 제3 양태에 관한 비일시적 기억 매체는, 소프트웨어 갱신 방법을 제어 장치에 실행시키는 프로그램을 기억하도록 구성된다.
본 개시의 제4 양태에 관한, 서버로부터 배신되는 데이터를 사용하여, 갱신 전 소프트웨어를 갱신 후 소프트웨어로 소프트웨어 갱신을 실행하도록 구성된 ECU를 구비하는 차량은, 오프 조작됨으로써 상기 차량의 제어 시스템을 정지하도록 구성되는 스위치와, 제어 장치를 구비한다. 상기 제어 장치는, 상기 소프트웨어 갱신의 처리를 제어하도록 구성된다. 상기 제어 장치는, 상기 스위치가 오프 조작되고 나서, 액티베이트를 실행하는 것의 승낙을 요구하도록 구성된다. 상기 제어 장치는, 상기 ECU가 싱글 뱅크 타입의 컴퓨터인지, 듀얼 뱅크 타입의 컴퓨터인지 판정하도록 구성된다. 상기 ECU가 싱글 뱅크 타입의 컴퓨터인 경우, 상기 제어 장치가 액티베이트를 실행하는 것의 승낙을 수신한 경우에, 상기 제어 장치는, 갱신 후 소프트웨어를 상기 ECU에 인스톨하여 액티베이트를 실행하도록 상기 ECU에 지시하도록 구성된다. 상기 ECU가 듀얼 뱅크 타입의 컴퓨터인 경우, 상기 제어 장치가 액티베이트를 실행하는 것의 승낙을 수신한 경우에, 상기 제어 장치는, 상기 갱신 후 소프트웨어의 액티베이트를 실행하도록 상기 ECU에 지시하도록 구성된다.
본 개시의 제4 양태의 차량에 있어서도, 스위치가 오프 조작된 이후의 승낙을 1종류로 할 수 있어, 번잡을 완화할 수 있다
본 개시에 의하면, 차량 탑재 ECU로서, 싱글 뱅크 타입의 컴퓨터와 듀얼 뱅크 타입의 컴퓨터가 혼재되어 있는 경우에도, 적절하고 신속한 소프트웨어의 갱신이 가능하게 된다.
하기에서는 본 발명의 예시적인 실시 형태들의 특징, 이점 및 기술적 및 산업적 중요성에 대해 첨부 도면들을 참조하여 설명되며, 도면들에서 유사한 부호들은 유사한 요소들을 나타낸다.
도 1은 본 실시 형태에 관한 차량을 포함하는 소프트웨어 갱신 시스템의 개략 구성을 나타내는 도면이다.
도 2는 OTA를 이용한 소프트웨어 갱신 방법의 개요에 대하여 설명하기 위한 도면이다.
도 3은 본 실시 형태의 소프트웨어 갱신 시스템에 있어서 실행되는, 시퀀스의 일부를 개략적으로 나타내는 도면이다.
도 4는 HMI 장치의 터치 패널 디스플레이에 표시되는 표시 화면의 일례를 나타내는 도면이다.
도 5는 HMI 장치의 터치 패널 디스플레이에 표시되는 표시 화면의 일례를 나타내는 도면이다.
도 6은 HMI 장치의 터치 패널 디스플레이에 표시되는 표시 화면의 일례를 나타내는 도면이다.
본 개시의 실시 형태에 대하여, 도면을 참조하면서 상세하게 설명한다. 도면 중, 동일 또는 상당 부분에는 동일 부호를 부여하여 그 설명은 반복하지 않는다.
도 1은 본 실시 형태에 관한 차량을 포함하는 소프트웨어 갱신 시스템의 개략 구성을 나타내는 도면이다. 이 소프트웨어 갱신 시스템은, 차량(100)과, 차량(200)과, 유저 단말기(300, 400)와, OTA 센터(500)와 네트워크 NW를 포함한다. 또한, 「OTA」는, 「Over The Air」의 약어이다.
차량(100, 200)의 각각은, 예를 들어 내연 기관을 구비하지 않는 전기 자동차(BEV: Battery Electric Vehicle)이다. 차량(100)은 OTA 액세스 기능(OTA 센터(500)와 직접 무선 통신하는 기능)을 갖는다. 한편 차량(200)은 OTA 액세스 기능을 갖지 않는다. 즉, 차량(100)은, OTA 센터(500)와 직접적으로 무선 통신을 행할 수 있다. 한편, 차량(200)은, 다른 통신 장치(즉, 차량(200) 자신이 구비하는 통신 장치가 아닌 통신 장치)를 경유하지 않으면 OTA 센터(500)와 통신할 수 없다. 차량(200)은, 유저 단말기(300)를 통해(유저 단말기(300)를 경유하여), OTA 센터(500)와 무선 통신을 행한다.
유저 단말기(300)는, 유저에 의해 휴대 가능하게 구성된다. 유저 단말기(300)는, 차량(200)의 유저(차량 관리자)에 의해 휴대되어 조작되는, 모바일 단말기이다. 이 실시 형태에서는, 유저 단말기(300)로서, 터치 패널 디스플레이(표시부)를 구비하는 스마트폰을 채용한다. 스마트폰은, 컴퓨터를 내장하고, 스피커 기능을 갖는다. 단, 이에 한정되지 않고, 유저 단말기(300)로서는, 차량(200)의 유저가 휴대 가능한 임의의 단말기를 채용 가능하다. 예를 들어, 랩톱, 태블릿 단말기, 휴대형 게임기, 웨어러블 디바이스(스마트 워치, 스마트 글라스, 스마트 글러브 등) 등도, 유저 단말기(300)로서 채용 가능하다.
유저 단말기(300)는, 프로세서(310), 메모리(320), 및 통신 모듈(330)을 구비한다. 프로세서(310)는, 예를 들어 CPU(Central Processing Unit)를 포함한다. 메모리(320)는, 예를 들어 플래시 메모리와 같은 불휘발성 메모리를 포함한다. 통신 모듈(330)은, OTA 센터(500)와 직접적으로 무선 통신을 행하기 위한 통신 I/F(인터페이스)를 포함한다. 또한, 통신 모듈(330)은, 차량(200)과 직접적으로 무선 통신을 행하기 위한 통신 I/F도 포함한다. 이에 의해, 차량(200)과 OTA 센터(500)는, 유저 단말기(300)를 경유하여, 데이터의 수수가 가능하게 되어 있다. 예를 들어, 유저 단말기(300)가, 차량(200)으로부터의 요구에 따라, OTA 센터(500)의 어드레스를 지정하여 통신 네트워크 NW에 액세스한다. 이에 의해, 유저 단말기(300)를 경유하여, 차량(200)(ECU(210))과 OTA 센터(500)의 데이터의 수수(통신)가 가능하게 된다.
유저 단말기(300)에는, OTA 센터(500)가 제공하는 서비스를 이용하기 위한 애플리케이션 소프트웨어(이하, 「모바일 애플리케이션」이라고 칭함)가 인스톨되어 있다. 모바일 애플리케이션에 의해, 유저 단말기(300)의 식별 정보(단말기 ID)가 차량(200)의 식별 정보(차량 ID)와 연관지어져 OTA 센터(500)에 등록된다. 또한, 유저 단말기(300)는, 모바일 애플리케이션을 통하여, OTA 센터(500)와 정보의 교환을 행할 수 있다. 또한, 유저 단말기(300)는, 입력 장치 및 표시 장치로서도 기능한다.
OTA 센터(500)는, OTA기술에 의한 차량 소프트웨어 갱신 서비스를 제공하는 서버이다. OTA 센터(500)는, 당해 센터로부터 통신 구획을 경유하여 원격으로의 차량 탑재 ECU 소프트웨어 갱신을 실시하도록 구성된다. OTA 센터(500)는, 차량 탑재 ECU의 소프트웨어를 배신한다. 「ECU」는, 전자 제어 장치(Electronic Control Unit)를 의미한다.
OTA 센터(500)는, 프로세서(510), 메모리(520), 및 통신 모듈(530)을 구비한다. 프로세서(510)는, 예를 들어 CPU를 포함한다. 메모리(520)는, 예를 들어 플래시 메모리와 같은 불휘발성 메모리를 포함한다. 통신 모듈(530)은, 유선으로 통신 네트워크 NW와 접속되어, 통신 네트워크 NW를 통해 복수의 차량(차량(100)을 포함함)과 복수의 모바일 단말기(유저 단말기(300)를 포함함)의 각각과 통신한다. 통신 네트워크 NW는, 예를 들어 인터넷과 무선 기지국에 의해 구축되는 광역 네트워크이다. 통신 네트워크 NW는 휴대 전화망을 포함해도 된다. 통신 모듈(530)과 통신 네트워크 NW는, 무선으로 접속되어도 된다.
차량(100)은, OTA 마스터(110)와, 복수의 ECU(ECU(121, 122)를 포함함)를 구비한다. 차량(200)은, 복수의 ECU(ECU(210, 221, 222)를 포함함)를 구비한다. OTA 마스터(110)는, 컴퓨터를 내장하고, 차량 탑재 진단 장치로서 기능한다. 각 차량이 구비하는 ECU의 수는 임의이다. 각 차량 탑재 ECU는, 적어도 하나의 프로세서와, 적어도 하나의 메모리를 구비하는 컴퓨터를 내장한다. 각 차량 탑재 ECU는, 메인 마이크로컴퓨터 및 서브 마이크로컴퓨터와 같은 형태로, 복수의 마이크로컴퓨터를 구비해도 된다.
차량(100)에 있어서는, OTA 마스터(110)와 각 ECU가, 통신 버스를 통해 접속되어 있고, 서로 유선 통신 가능하게 구성된다. 차량(200)에 있어서는, ECU끼리가, 통신 버스를 통해 접속되어 있고, 유선 통신 가능하게 구성된다. 또한, 각 차량에 있어서의 제어 장치 간의 통신 방식은, 특별히 한정되지 않는다. 통신 방식은, 예를 들어 CAN(Controller Area Network) 또는 Ethernet(등록상표)이어도 된다.
OTA 마스터(110)는, 프로세서(111), 메모리(112), 및 통신 모듈(113)을 구비한다. 프로세서(111)는, 예를 들어 CPU를 포함한다. 메모리(112)는, 예를 들어 플래시 메모리와 같은 불휘발성 메모리를 포함한다. 통신 모듈(113)은, OTA 센터(500)와 직접적으로 무선 통신을 행하기 위한 통신 I/F(인터페이스)를 포함한다. 예를 들어, 통신 모듈(113)이, OTA 센터(500)의 어드레스를 지정하여 통신 네트워크 NW에 액세스함으로써, 차량(100)(통신 모듈(113))과 OTA 센터(500) 사이에서의 무선 통신이 확립한다. 통신 모듈(113)은, 무선 통신을 행하는 TCU(Telematics Control Unit) 및/또는 DCM(Data Communication Module)을 포함해도 된다.
차량(200)에 있어서, ECU(210)는, 프로세서(211) 및 메모리(212)를 구비한다. 프로세서(211)는, 예를 들어 CPU를 포함한다. 메모리(212)는, 예를 들어 플래시 메모리와 같은 불휘발성 메모리를 포함한다. 차량(200)은 통신 장치(290)를 더 구비한다. ECU(210)는 통신 장치(290)를 통하여 차량 외부의 장치와 통신을 행한다. 통신 장치(290)는, 유저 단말기(300)와 직접적으로 무선 통신을 행하기 위한 통신 I/F(인터페이스)를 포함한다. 통신 장치(290)와 유저 단말기(300)는, 무선 LAN(Local Area Network), NFC(Near Field Communication) 또는 Bluetooth(등록상표)와 같은 근거리 통신을 행해도 된다. 통신 장치(290)는, 차내 또는 차량 주변의 범위 내에 존재하는 유저 단말기(300)와 직접 통신해도 된다. 차량(200)의 정차 중에 차내 또는 차외의 유저 단말기(300)와 ECU(210)가 통신 장치(290)를 통해 서로 정보의 교환을 행해도 된다. 또한, 차량(200)의 주행 중에 차내의 유저 단말기(300)와 ECU(210)가 통신 장치(290)를 통해 서로 정보의 교환을 행해도 된다. ECU(210)는, 전술한 바와 같이 OTA 센터(500)와의 통신을 유저 단말기(300)에 요구함으로써, 유저 단말기(300)를 통해 OTA 센터(500)와 통신할 수 있다.
차량(100)에 있어서, OTA 마스터(110)는, 통신 모듈(113)을 통하여 유저 단말기(400)와 통신을 행하는 것이 가능하게 되어 있다. 통신 모듈(113)은, 유저 단말기(400)와 직접적으로 무선 통신을 행하기 위한 통신 I/F(인터페이스)를 포함한다. 통신 모듈(113)과 유저 단말기(400)는, 무선 LAN, NFC 또는 Bluetooth(등록상표)와 같은 근거리 통신을 행해도 된다. 유저 단말기(400)는, 터치 패널 디스플레이(표시부)를 구비하는 스마트폰이어도 되고, 입력 장치 및 표시 장치로서도 기능한다. 차량(100)은, OTA 마스터(110)와 달리, 네트워크 NW 또는 유저 단말기(400)와 통신하는 통신 장치를 구비해도 된다.
상기한 바와 같이, 차량(100)의 OTA 마스터(110)와 차량(200)의 ECU(210)의 각각이, OTA 센터(500)와 무선 통신 가능하게 구성된다. 차량(100, 200)의 각각은, 정차 중과 주행 중의 어느 것에 있어서도, OTA 센터(500)와 통신할 수 있다. OTA 마스터(110)와 ECU(210)의 각각은, 차량내 정보를 관리하고, 캠페인을 수취하고, 소프트웨어 갱신 시퀀스를 관리한다. 이하에서는, OTA 마스터(110)와 ECU(210)을 구별하지 않는 경우에는, 이들을 「갱신 마스터」라고 칭한다. OTA 마스터(110)는 차량(100)의 갱신 마스터에 상당하고, ECU(210)는 차량(200)의 갱신 마스터에 상당한다.
차량(100, 200)의 각각은, 자동 운전 가능하게 구성되는 자동 운전 차량이다. 차량(100, 200)의 각각은, 유인 주행과 무인 주행의 양쪽을 실행 가능하게 구성된다. 차량(100, 200)의 각각은, 무인으로 자율 주행 가능하게 구성되지만, 유저에 의한 수동 운전으로 주행(유인 주행)할 수도 있다. 또한, 차량(100, 200)의 각각은, 유인 주행 중에 자동 운전(예를 들어, 오토 크루즈 컨트롤)을 실행하는 것도 가능하다. 자동 운전의 레벨은, 완전 자동 운전(레벨 5)이어도 되고, 조건부의 자동 운전(예를 들어, 레벨 4)이어도 된다.
차량(100, 200)은, 각각 운전 장치(130, 230)와, ADS(Autonomous Driving System)(140, 240)을 구비한다. 차량(100)에 있어서는, ECU(121)가 운전 장치(130)를 제어하도록 구성된다. 차량(200)에 있어서는, ECU(221)가 운전 장치(230)를 제어하도록 구성된다.
운전 장치(130, 230)의 각각은, 액셀러레이터 장치, 브레이크 장치, 및 조타 장치를 포함한다. 액셀러레이터 장치는, 예를 들어 차량의 구동륜을 회전시키는 모터 제너레이터(이하, 「MG」라고 표기함)와, MG를 구동하는 PCU(Power Control Unit)와, MG를 구동하기 위한 전력을 PCU에 공급하는 배터리를 포함한다.
ADS(140, 240)의 각각은, 차량의 외부 환경을 인식하는 인식용 센서(예를 들어, 카메라, 밀리미터파 레이더, 라이더 중 적어도 하나)를 포함한다. ADS(140, 240)의 각각은, 인식용 센서에 의해 축차 취득되는 정보에 기초하여 자동 운전에 관한 처리를 실행한다. ADS(140, 240)는, 각각 ECU(121, 221)와 연계하면서, 차량의 외부 환경에 따른 주행 계획(향후의 차량의 거동을 나타내는 정보)을 생성한다. 그리고, ADS(140, 240)는, 각각 그 주행 계획에 따라 차량(100, 200)을 주행시키도록, 운전 장치(130, 230)에 포함되는 각종 액추에이터의 제어를 ECU(121, 221)에 요구한다.
차량(100, 200)은, 각각 기동 스위치(150, 250)와, HMI(Human Machine Interface) 장치(170, 270)를 구비한다.
기동 스위치(150, 250)의 각각은, 유저가 차량 시스템(차량(100, 200)의 제어 시스템)을 기동시키기 위한 스위치이며, 예를 들어 차실 내에 설치된다. 일반적으로, 기동 스위치는 「파워 스위치」 또는 「이그니션 스위치」 등이라고 칭해진다. 유저가 기동 스위치(150, 250)를 조작함으로써 차량 시스템(차량에 탑재된 각 ECU를 포함함)의 온(작동)/오프(정지)가 전환된다. 기동 스위치(150, 250)가 온 조작됨으로써 정지 상태의 차량 시스템이 기동되어, 차량 시스템은 작동 상태(이하, 「IG 온」이라고도 칭함)가 된다. 또한, 차량 시스템이 작동하고 있을 때, 기동 스위치(150, 250)가 오프 조작되면, 차량 시스템은 정지 상태(이하, 「IG 오프」라고도 칭함)가 된다.
기동 스위치(150, 250)의 온 조작은, 차량의 상태를 IG 오프로부터 IG 온으로 전환하기 위한 조작이다. 유저가 기동 스위치(150, 250)를 온 조작하면, 기동 요구가 각 차량 탑재 ECU에 입력된다. 즉, 각 차량 탑재 ECU는, 유저로부터의 기동 요구를 접수한다. 한편, 기동 스위치(150, 250)의 오프 조작은, 차량의 상태를 IG 온으로부터 IG 오프로 전환하기 위한 조작이다. 유저가 기동 스위치(150, 250)를 오프 조작하면, 셧다운 요구가 각 차량 탑재 ECU에 입력된다. 즉, 각 차량 탑재 ECU는, 유저로부터의 셧다운 요구를 접수한다. 단, 주행 중인 차량에 있어서는, 기동 스위치(150, 250)의 오프 조작이 금지된다.
HMI 장치(170, 270)의 각각은, 입력 장치 및 표시 장치를 포함한다. HMI 장치(170, 270)의 각각은, 입력 장치 및 표시 장치로서 기능하는 터치 패널 디스플레이를 포함해도 된다. HMI 장치(170, 270)의 각각은, 카 내비게이션 시스템의 입력 장치 및 표시 장치를 포함해도 된다.
도 2는 OTA를 이용한 소프트웨어 갱신 방법의 개요에 대하여 설명하기 위한 도면이다. 도 1과 함께 도 2를 참조하면, 소프트웨어 갱신에 관한 처리는, 구성 동기, 캠페인 통지와 적용 승낙, 다운로드, 인스톨, 액티베이트, 소프트웨어 갱신 완료 통지와 같은 수순으로 행해진다. 이하에 설명하는 처리는, OTA 센터(500)와, OTA 센터(500)로부터의 소프트웨어 배신을 받는 각 차량(차량(100, 200)을 포함함)에 의해 실행된다. OTA 센터(500)로부터의 배신을 받는 차량의 수는, 50대 정도여도 되고, 100대 이상 1000대 미만이어도 되고, 1000대 이상이어도 된다. 또한, 이하의 설명은, 소프트웨어의 갱신 대상이 되는 ECU(이하, 「타깃 ECU」라고도 칭함)가 듀얼 뱅크 타입의 컴퓨터로 구성되어 있는 경우에 대한 설명이다.
IG 온 상태의 차량은, 미리 설정된 시간이 경과할 때마다 반복하여 구성 동기를 실행한다. 또한, IG 온 상태의 차량은, OTA 센터(500)로부터 구성 동기의 요구를 받은 경우에도 구성 동기를 실행한다. 차량에 의한 구성 동기 처리는, 차량 구성 정보를 OTA 센터(500)에 송신하는 것을 포함한다. 차량 구성 정보는, 예를 들어 차량에 포함되는 ECU마다의 하드웨어 정보(하드웨어의 제품 번호, ECU의 식별자 등을 나타내는 정보) 및 소프트웨어 정보(소프트웨어의 제품 번호 등을 나타내는 정보)를 포함한다.
OTA 센터(500)가 차량으로부터 상기 차량 구성 정보를 수신하면, OTA 센터(500)는, 현시점에서 발생하고 있는 캠페인(소프트웨어의 갱신)을 확인한다. 그리고, 차량에 적용 가능한 캠페인이 존재하면, OTA 센터(500)는, 그 캠페인에 관한 새로운 소프트웨어(소프트웨어의 갱신판)의 다운로드의 승낙을 차량의 유저에게 요구하는 승낙 요구 신호를 송신한다. 승낙 요구 신호는, 그 캠페인에 관한 정보(캠페인 정보)를 포함한다. 캠페인 정보는, 예를 들어 캠페인 속성 정보(소프트웨어 갱신의 목적 및 갱신으로 영향의 가능성이 있는 차량의 기능 등을 나타내는 정보)와, 캠페인 대상 차량의 리스트와, 캠페인 대상 ECU에 관한 정보(예를 들어, 갱신 전후의 소프트웨어 정보)와, 갱신 전후의 유저에의 통지에 관한 정보 중 적어도 하나를 포함해도 된다. 또한, 통지되는 캠페인은, 새롭게 발생한 캠페인일 수도 있고, 이전에 적용하지 않은 캠페인일 수도 있다. 이하에서는, 상기 승낙 요구 신호의 송신을, 「캠페인 통지」라고도 칭한다.
차량은, 캠페인 통지(승낙 요구 신호)를 받으면, 그 캠페인의 적용을 승낙할지 여부의 입력을 유저에 요구한다. 예를 들어, 차량은, 「새로운 소프트웨어를 찾았습니다. 이 차에 적용할까요?」와 같은 메시지를 HMI(HMI 장치(170, 270) 혹은 유저 단말기(300, 400))에 표시시켜, 「승낙」과 「거부」 중 어느 한쪽을 나타내는 입력을 유저에게 요구한다. 그리고, 유저가 「승낙」을 나타내는 입력을 행하면, 차량은, 이하에 설명하는 다운로드에 관한 처리를 실행한다. 한편, 유저가 「거부」를 나타내는 입력을 행하면, 차량은 다운로드에 관한 처리를 실행하지 않는다. 이 경우, OTA 센터(500)는, 소프트웨어 갱신에 관한 처리를 다운로드 페이즈로 진행시키지 않고 종료시킨다.
이 실시 형태에서는, OTA 센터(500)와 차량의 갱신 마스터(예를 들어, OTA 마스터(110) 또는 ECU(210))가 이하에 설명하는 수순으로 다운로드에 관한 처리를 실행한다.
차량의 갱신 마스터는, 새로운 소프트웨어를 포함하는 배신 패키지를 OTA 센터(500)에 요구한다. 그리고, 갱신 마스터는, OTA 센터(500)로부터, 그 배신 패키지의 다운로드(수신 및 보존)를 실행한다. 배신 패키지는, 새로운 소프트웨어(예를 들어, 캠페인의 대상이 되는 ECU마다의 갱신 데이터의 세트)에 더하여, 패키지 속성 정보(갱신 구분, 배신 패키지 중의 갱신 데이터 수, 각 ECU의 인스톨 순서 등을 나타내는 정보), 및 갱신 데이터 속성 정보(타깃 ECU의 식별자, 갱신 데이터의 정당성을 검증하기 위한 검증용 데이터 등)를 포함해도 된다. 타깃 ECU는, 차량(100, 200)에 있어서 복수여도 된다.
상술한 다운로드에 관한 처리에 의해, 갱신 마스터가 구비하는 기억 장치(예를 들어, 메모리(112 또는 212))에 상기 배신 패키지가 보존된다. 다운로드 완료 후, 갱신 마스터는, 다운로드된 배신 패키지의 진정성을 검증한다. 그리고, 검증의 결과가 「정상」이면, 갱신 마스터는 소프트웨어 갱신 상태(다운로드 완료)를 OTA 센터(500)에 통지한다. 이 통지가 행해지는 것은, 다운로드가 성공한 것을 의미한다.
다운로드가 성공하면, 차량은 인스톨을 실행한다. 갱신 마스터는, 적어도 하나의 타깃 ECU(예를 들어, ECU(121 또는 221))에, 당해 타깃 ECU의 상태 및 DTC(Diagnostic Trouble Code)의 출력을 요구한다. 갱신 마스터는, 타깃 ECU의 상태 및 DTC에 기초하여, 타깃 ECU마다 인스톨 실행 가부를 판단한다. 그리고, 갱신 마스터가, HMI에 소정의 메시지를 표시시켜, 「승낙」과 「거부」 중 어느 한쪽을 나타내는 입력을 유저에게 요구한다. 그리고, 유저가 「승낙」을 나타내는 입력을 행하면, 갱신 마스터는, 인스톨 실행 가능한 타깃 ECU에 새로운 소프트웨어(갱신 데이터)를 전송한다. 갱신 데이터를 수신한 타깃 ECU는, 그 갱신 데이터의 인스톨(불휘발성 메모리에의 기입)을 실행한다. 또한, 유저가 「거부」를 나타내는 입력을 행하면, 갱신 마스터는 인스톨을 실행하지 않고 소프트웨어 갱신에 관한 처리를 중지한다.
갱신 마스터로부터 타깃 ECU로의 상기 갱신 데이터의 전송이 완료되면, 타깃 ECU는, 전송 완료 통지를 갱신 마스터에 송신한다. 그리고, 전송 완료 통지를 받은 갱신 마스터는, 타깃 ECU에 완전성 검증을 요구한다. 이 요구를 받은 타깃 ECU는, 완전성 검증 데이터(검증용 데이터)를 사용하여 검증을 행하고, 그 검증 결과를 갱신 마스터에 송신한다. 갱신 마스터는, 타깃 ECU마다의 검증 결과(인스톨의 완료/실패/중지)를 보존한다. 모든 타깃 ECU의 완전성 검증이 완료되고, 모든 검증 결과가 「정상」이면, 갱신 마스터는, 소프트웨어 갱신 상태(인스톨 완료)를 OTA 센터(500)에 통지한다. 이 통지가 행해지는 것은, 인스톨이 성공한 것을 의미한다.
다운로드에 이어서 인스톨에도 성공하면, 차량은 액티베이트 대기 상태가 된다. 그 후, 차량의 기동 스위치(예를 들어, 기동 스위치(150 또는 250))에 오프 조작이 행해지면, 갱신 마스터가, HMI에 소정의 메시지를 표시시켜, 「승낙」과 「거부」 중 어느 한쪽을 나타내는 입력을 유저에게 요구한다. 그리고, 유저가 「승낙」을 나타내는 입력을 행하면, 갱신 마스터가 액티베이트(인스톨된 소프트웨어의 유효화)를 실행한다. 갱신 마스터가 액티베이트에 실패한 경우에는, 갱신 마스터가 OTA 센터(500)에 소프트웨어의 롤백을 요구한다. OTA 센터(500)는, 차량으로부터 롤백의 요구를 받으면, 그 차량에 롤백용의 소프트웨어를 배신한다. 이에 의해, 갱신 마스터는, 그 롤백용의 소프트웨어를 사용하여, 액티베이트에 실패한 소프트웨어를 원래의 버전으로 되돌리는 것(롤백)을 할 수 있다. 또한, 유저가 「거부」를 나타내는 입력을 행하면, 갱신 마스터는 액티베이트를 실행하지 않고 소프트웨어 갱신에 관한 처리를 중지하고, 차량 시스템이 셧다운된다.
갱신 마스터가 액티베이트에 성공하면, 갱신 마스터가 소프트웨어 갱신의 결과를 HMI에 표시시킨다. 그 후, 갱신 마스터는, 소프트웨어 갱신 상태(소프트웨어 갱신 완료)를 OTA 센터(500)에 통지한다. 이 통지가 행해지는 것은, OTA 소프트웨어 갱신이 성공한 것을 의미한다. 이 통지가 행해지면, 차량의 제어 시스템이 셧다운되어, IG 오프가 된다. 그 후, 차량의 기동 스위치에 온 조작이 행해지면, 차량 시스템이 IG 온이 된다. 이에 의해, 타깃 ECU에서 갱신 프로그램(새로운 버전의 소프트웨어)이 기동된다. 또한, 갱신되는 소프트웨어는, 상술한 자동 운전 제어 프로그램과 같은 운전 지원계의 제어 프로그램에 한정되지 않고 임의이다.
이와 같이, 배신 패키지(소프트웨어)가 다운로드되고, 타깃 ECU의 소프트웨어가 갱신되는 경우, 타깃 ECU가, 싱글 뱅크 타입의 컴퓨터로 구성되어 있으면, 현재의 소프트웨어를 기억하는 영역과 갱신용 소프트웨어를 기억하는 영역이 동일하기 때문에, 현재의 소프트웨어의 실행 중에 갱신용 데이터(갱신용 소프트웨어)의 인스톨을 행하는 것이 곤란하다. 이 때문에, 본 실시 형태에서는, 타깃 ECU에, 싱글 뱅크 타입과 듀얼 뱅크 타입의 컴퓨터가 혼재하는 경우, 싱글 뱅크 타입과 듀얼 뱅크 타입에 있어서, 기동 스위치(150, 250)의 오프 조작의 전후에 있어서의 처리를 다르게 하여, 적절하고 신속한 소프트웨어의 갱신을 가능하게 한다.
도 3은 본 실시 형태의 소프트웨어 갱신 시스템에 있어서 실행되는, 시퀀스의 일부를 개략적으로 나타내는 도면이다. 이 시퀀스는, OTA 센터(500), 갱신 마스터(OTA 마스터(110), ECU(210)), HMI(HMI 장치(170, 270), 유저 단말기(300, 400)), 타깃 ECU에 있어서 처리된다. 이 처리는, 각 기기에 있어서, 1 이상의 프로세서가 1 이상의 메모리에 기억된 프로그램을 읽어들여 실행함으로써 실현된다.
도 3을 참조하면, 구성 동기 처리가 종료되면, OTA 센터(500)는, 스텝 S10에 있어서, 적용 가능한 캠페인이 존재하는지 여부를 판정한다. 적용 가능한 캠페인이 존재하면, 스텝 S11에 있어서, OTA 센터(500)는, 캠페인 정보(승낙 요구 신호)를 갱신 마스터(OTA 마스터(110), ECU(210))에 송신한다. 캠페인 정보를 수신한 갱신 마스터는, 캠페인 정보를 수신하면, 승낙 표시 요구를 HMI(HMI 장치(170, 270) 혹은 유저 단말기(300, 400))에 송신한다(스텝 S20). 이 승낙 표시 요구는, 배신 패키지의 다운로드를 승낙할지 여부(캠페인의 적용을 승낙할지 여부)의 표시를, HMI에서 표시하여, 소프트웨어의 갱신 처리를 승낙할지 여부의 입력을 유저에게 요구하는 것이다. 갱신 마스터(OTA 마스터(110), ECU(210))는 본 개시의 「제어 장치」의 일례이다.
HMI(HMI 장치(170, 270) 혹은 유저 단말기(300, 400))는 승낙 표시 요구를 수신하면, 터치 패널 디스플레이에, 소프트웨어의 갱신(배신 패키지의 다운로드)을 승낙하기 위한 조작부(조작 버튼)의 표시를 행한다(스텝 S30).
도 4는 HMI 장치(170)의 터치 패널 디스플레이 D에 표시되는 표시 화면의 일례를 나타내는 도면이다. 도 4에 나타내는 바와 같이, 터치 패널 디스플레이 D에는, 차량 소프트웨어의 갱신 처리의 메시지와 함께, 소프트웨어의 다운로드를 승낙하기 위한 조작부가 표시된다. 도 4에 있어서, 「예」 버튼(341)이, 다운로드를 승낙하기 위한 조작부(조작 버튼)이다. 「예」 버튼(341)이, 유저에 의해 조작되면, 소프트웨어(배신 패키지)의 다운로드(소프트웨어의 갱신 처리)가 실행된다. 터치 패널 디스플레이 D에 표시된 「아니오」 버튼(342)이, 유저에 의해 조작되면, 소프트웨어의 다운로드(소프트웨어의 갱신 처리)가 실행되지 않고, 본 시퀀스는, 종료된다. 도 4는 HMI 장치(170)의 터치 패널 디스플레이 D를 나타내고 있지만, HMI 장치(170)가 아니라, HMI 장치(270) 또는 유저 단말기(300, 400)에 마찬가지의 화면이 표시되어도 된다.
다시 도 3을 참조하면, 터치 패널 디스플레이 D의 「예」 버튼(341)이, 유저에 의해 조작되어, 다운로드(소프트웨어의 갱신 처리)의 승낙 조작이 행해지면, HMI는, 승낙 조작 정보를 갱신 마스터에 송신한다(스텝 S31). 갱신 마스터는, 승낙 조작 정보를 수신하면, OTA 센터(500)에, 배신 패키지 송신 요구를 송신한다(스텝 S21). OTA 센터(500)는, 배신 패키지 송신 요구를 수신하면, 갱신 마스터에, 배신 패키지(소프트웨어)를 송신한다(스텝 S12).
이어서, 갱신 마스터는, OTA 센터(500)로부터 송신(배신)된 배신 패키지를, 메모리(112) 혹은 메모리(212)에 보존하고, 다운로드를 행한다(스텝 S22). 배신 패키지의 다운로드가 종료되면, 갱신 마스터는, 배신 패키지의 진정성의 검증 등을 행한 후, 소프트웨어의 갱신 대상이 되는 ECU(타깃 ECU)에, 듀얼 뱅크 타입의 컴퓨터(메모리)가 포함되어 있는지 여부를 판정한다(스텝 S23). 타깃 ECU에 듀얼 뱅크 타입의 컴퓨터가 포함되어 있을 때에는, 스텝 S23에서 긍정 판정되어, 스텝 S24에 있어서, 승낙 표시 요구를 HMI에 송신한다. 이 승낙 표시 요구는, 배신 패키지(소프트웨어)의 인스톨을 승낙할지 여부의 표시를, HMI에서 표시하여, 인스톨의 승낙을 유저에게 요구하는 것이다.
HMI는, 승낙 표시 요구를 수신하면, 터치 패널 디스플레이에, 소프트웨어의 인스톨을 승낙하기 위한 조작부(조작 버튼)의 표시를 행한다(스텝 S32).
도 5는 HMI 장치(170)의 터치 패널 디스플레이 D에 표시되는 표시 화면의 일례를 나타내는 도면이다. 도 5에 나타내는 바와 같이, 터치 패널 디스플레이 D에는, 차량 소프트웨어의 갱신 처리의 메시지와 함께, 소프트웨어의 인스톨을 승낙하기 위한 조작부가 표시된다. 도 5에 있어서, 「예」 버튼(351)이, 인스톨을 승낙하기 위한 조작부(조작 버튼)이다. 「예」 버튼(351)이, 유저에 의해 조작되면, 인스톨이 실행된다. 터치 패널 디스플레이 D에 표시된 「아니오」 버튼(352)이, 유저에 의해 조작되면, 소프트웨어의 갱신 처리가 중단되어, 본 시퀀스는, 종료된다. 도 5는 HMI 장치(170)의 터치 패널 디스플레이 D를 나타내고 있지만, HMI 장치(170)가 아니라, HMI 장치(270) 또는 유저 단말기(300, 400)에 마찬가지의 화면이 표시되어도 된다.
다시 도 3을 참조하면, 터치 패널 디스플레이 D의 「예」 버튼(351)이, 유저에 의해 조작되어, 인스톨의 승낙 조작이 행해지면, HMI는, 승낙 조작 정보를 갱신 마스터에 송신한다(스텝 S33). 갱신 마스터는, 승낙 조작 정보(스텝 S33)를 수신하면, 듀얼 뱅크 타입의 타깃 ECU에, 배신 패키지(갱신용 소프트웨어(갱신 데이터))를 송신함과 함께, 갱신 데이터의 인스톨의 실행을 지시한다(스텝 S25). 갱신 데이터를 수신한 타깃 ECU(듀얼 뱅크 타입)는 그 갱신용 소프트웨어의 인스톨(불휘발성 메모리에의 기입)을 실행한다(스텝 S40). 듀얼 뱅크 타입의 타깃 ECU는, 갱신용 소프트웨어의 인스톨이 완료되면, 완료 통지를 갱신 마스터에 송신한다(스텝 S41). 타깃 ECU로부터 완료 통지를 수신한 갱신 마스터는, 기동 스위치(150, 250)의 오프 조작을 대기하게 된다.
타깃 ECU에, 듀얼 뱅크 타입의 컴퓨터가 포함되어 있지 않은 경우, S23에서 부정 판정되어, 갱신 마스터는, 배신 패키지의 송신 등을 실행하지 않고, 기동 스위치(150, 250)의 오프 조작을 대기하게 된다.
기동 스위치(150, 250)의 오프 조작의 대기의 상태에서, 유저에 의해, 기동 스위치(150, 250)의 오프 조작이 행해지면, 갱신 마스터는, 승낙 표시 요구를 HMI에 송신한다(스텝 S26). 이 승낙 표시 요구는, 타깃 ECU에 인스톨된 소프트웨어의 유효화(액티베이트)를 승낙할지 여부(캠페인의 적용을 승낙할지 여부)의 표시를, HMI에서 표시하여, 유저의 승낙을 요구하는 것이다.
HMI는, 승낙 표시 요구를 수신하면, 터치 패널 디스플레이에, 소프트웨어의 유효화(액티베이트)를 승낙하기 위한 조작부를 표시한다(스텝 S34).
도 6은 HMI 장치(170)의 터치 패널 디스플레이 D에 표시되는 표시 화면의 일례를 나타내는 도면이다. 도 6에 나타내는 바와 같이, 터치 패널 디스플레이 D에는, 차량 소프트웨어의 갱신 처리의 메시지와 함께, 소프트웨어의 유효화(액티베이트)를 승낙하기 위한 조작부가 표시된다. 도 6에 있어서, 「예」 버튼(361)이, 유효화를 승낙하기 위한 조작부(조작 버튼)이다. 「예」 버튼(361)이, 유저에 의해 조작되면, 소프트웨어의 액티베이트(소프트웨어의 유효화 처리)가 유저에 의해 승낙되어, 액티베이트가 실행된다. 터치 패널 디스플레이 D에 표시된 「아니오」 버튼(362)이, 유저에 의해 조작되면, 소프트웨어의 갱신 처리가 중단되어, 본 시퀀스는, 종료된다. 도 6은 HMI 장치(170)의 터치 패널 디스플레이 D를 나타내고 있지만, HMI 장치(170)가 아니라, HMI 장치(270) 또는 유저 단말기(300, 400)에 마찬가지의 화면이 표시되어도 된다.
다시 도 3을 참조하면, 터치 패널 디스플레이 D의 「예」 버튼(361)이, 유저에 의해 조작되어, 액티베이트(소프트웨어의 갱신 처리)의 승낙 조작이 행해지면, HMI는, 승낙 조작 정보를 갱신 마스터에 송신한다(스텝 S35). 갱신 마스터는, 승낙 조작 정보를 수신하면, 스텝 S27에 있어서, 타깃 ECU에 싱글 뱅크 타입의 컴퓨터가 포함되어 있는지 여부를 판정한다. 타깃 ECU에 싱글 뱅크 타입의 컴퓨터가 포함되어 있을 때에는, 스텝 S27에서 긍정 판정되어, S28에 있어서, 싱글 뱅크 타입의 타깃 ECU에, 배신 패키지를 송신함과 함께, 갱신 데이터의 인스톨의 실행을 지시한다. 갱신 데이터를 수신한 타깃 ECU(싱글 뱅크 타입)는 그 갱신용 소프트웨어의 인스톨(불휘발성 메모리에의 기입)을 실행한다(스텝 S42). 싱글 뱅크 타입의 타깃 ECU는, 갱신용 소프트웨어의 인스톨이 완료되면, 완료 통지를 갱신 마스터에 송신한다(스텝 S43).
타깃 ECU에 싱글 뱅크 타입의 컴퓨터가 포함되고 있지 않고, 스텝 S27에서 부정 판정되었을 때, 혹은, 싱글 뱅크 타입의 타깃 ECU로부터, 갱신용 소프트웨어의 인스톨의 완료 통지(스텝 S43)를 수신했을 때, 갱신 마스터는, 타깃 ECU에, 액티베이트 지시를 송신한다(스텝 S29). 타깃 ECU는, 갱신 마스터로부터 액티베이트 지시를 수신하면, 인스톨되어 있는 갱신용 소프트웨어의 액티베이트(유효화)를 실행한다(스텝 S44). 액티베이트가 성공하면, 타깃 ECU는, 갱신 마스터에, 갱신 완료 통지를 송신한다(스텝 S45).
본 실시 형태에 따르면, 타깃 ECU(ECU(121, 122, 221, 222))를 구비한 차량(100, 200)은, 온 조작됨으로써 차량(100, 200)의 제어 시스템을 기동하는 기동 스위치(150, 250)와, OTA 센터(500)로부터 배신되는 소프트웨어의 갱신 처리를 제어하는 갱신 마스터(OTA 마스터(110), ECU(210))를 구비한다. 타깃 ECU로서, 싱글 뱅크 타입의 컴퓨터와 듀얼 뱅크 타입의 컴퓨터가 혼재되어 있을 때, 갱신 마스터는, 싱글 뱅크 타입의 컴퓨터로 구성되는 타깃 ECU에서는, OTA 센터(500)로부터 배신된 소프트웨어를 다운로드(스텝 S22)한 후, 기동 스위치(150, 250)가 오프 조작되고 나서, 다운로드된 소프트웨어를 타깃 ECU에 인스톨(스텝 S42)하여 액티베이트(스텝 S44)를 실행한다. 또한, 갱신 마스터는, 듀얼 뱅크 타입의 컴퓨터로 구성되는 타깃 ECU에서는, OTA 센터(500)로부터 배신된 소프트웨어를 다운로드(스텝 S22)하고, 타깃 ECU에 인스톨(스텝 S40)한 후, 기동 스위치(150, 250)가 오프 조작되고 나서, 인스톨된 소프트웨어의 액티베이트(스텝 S44)를 실행한다.
기동 스위치(150, 250)가 오프 조작되면, 차량(100, 200)의 제어 시스템을 정지 상태로 하는 것이 가능하게 된다. 이에 의해, 싱글 뱅크 타입의 컴퓨터에 있어서, 소프트웨어의 인스톨을 실행하는 것이 가능하게 된다. 그 때문에, 싱글 뱅크 타입의 컴퓨터로 구성되는 타깃 ECU에서는, 기동 스위치(150, 250)가 오프 조작된 후, 인스톨을 실행하고, 액티베이트를 행한다. 듀얼 뱅크 타입의 컴퓨터로 구성되는 타깃 ECU에서는, 기동 스위치(150, 250)가 오프 조작되기 전에, 소프트웨어의 인스톨을 실행하고, 기동 스위치(150, 250)가 오프 조작된 후, 액티베이트를 실행한다. 이에 의해, 각각의 타깃 ECU의 타입에 따라, 적절하고 신속한 소프트웨어의 갱신을 행하는 것이 가능하게 된다.
본 실시 형태에 따르면, 갱신 마스터는, 기동 스위치(150, 250)가 오프 조작되면, 액티베이트를 실행하는 것의 승낙을 요구한다(스텝 S26). 그리고, 유저에 의해, 액티베이트의 승낙이 이루어졌을 때, 타깃 ECU가 싱글 뱅크 타입의 컴퓨터인 경우, 소프트웨어의 인스톨(스텝 S42) 및 액티베이트(스텝 S44)를 실행한다. 타깃 ECU가 듀얼 뱅크 타입의 컴퓨터인 경우, 인스톨된 소프트웨어의 액티베이트(스텝 S44)를 실행한다. 따라서, 싱글 뱅크 타입의 ECU에 있어서는, 액티베이트의 승낙이 이루어지는 것(스텝 S35)에 의해, 인스톨 및 액티베이트가 실행되므로, 타깃 ECU에, 싱글 뱅크 타입의 컴퓨터와 듀얼 뱅크 타입의 컴퓨터가 혼재되어 있어도, 기동 스위치가 오프 조작된 후에 HMI에 표시되는 승낙 요구의 표시를, 하나로 할 수 있다.
또한, 차량은, BEV 이외의 xEV(전동차)여도 된다. 차량은, 내연 기관(예를 들어, 가솔린 엔진, 바이오 연료 엔진 또는 수소 엔진)을 구비하는 PHEV(플러그인 하이브리드 차) 또는 HEV(하이브리드 차)여도 된다. 차량은, 4륜의 승용차에 한정되지 않고, 버스 또는 트럭이어도 되고, 3륜의 xEV여도 된다. 차량은 비행 기능을 구비해도 된다. 차량은, MaaS(Mobility as a Service)에서 이용되는 차량이어도 된다. 차량은, 유저의 사용 목적에 따라 커스터마이즈되는 다목적 차량이어도 된다. 차량은, 이동 점포 차량, 로보 택시, 무인 반송차(AGV), 또는 농업 기계여도 된다. 차량은, 무인 또는 1인승의 소형 BEV(예를 들어, 라스트 원 마일용의 BEV, 전동 휠체어 또는 전동 스케이터)여도 된다.
또한, 상기 실시 형태에 있어서는, 타깃 ECU가 듀얼 뱅크 타입인 경우, 인스톨의 승낙 요구의 표시를 행하고 있었지만(스텝 S24, S32), 인스톨의 실행에 수반하여, 타깃 ECU의 동작이 제한되지 않는 경우에는, 이 승낙 요구가 생략되어도 된다.
또한, 본 실시 형태에서는, 기동 스위치(150, 250)가 오프 조작된 후에, 타깃 ECU에 싱글 뱅크 타입의 컴퓨터가 포함되어 있는지 여부를 판정하고 있다(스텝 S27). 그러나, 기동 스위치(150, 250)가 오프 조작되기 전에 타깃 ECU에 싱글 뱅크 타입의 컴퓨터가 포함되어 있는지 여부를 판정해도 된다. 이 경우에 있어서 스텝 S27에서 긍정 판정된 경우, 갱신 마스터는 기동 스위치(150, 250)의 오프 조작 대기의 상태로 이행한다. 그 후, 기동 스위치(150, 250)가 오프 조작되면, 갱신 마스터는 승낙 표시 요구를 HMI에 송신한다(스텝 S26). 그 후, 갱신 마스터가 승낙 조작 정보를 수신한 경우(스텝 S35), 갱신 마스터는, 싱글 뱅크 타입의 타깃 ECU에, 배신 패키지를 송신함과 함께, 갱신 데이터의 인스톨의 실행을 지시한다(스텝 S28). 그 후의 처리에 대해서는 도 3과 마찬가지이다. 한편 스텝 S27에서 부정 판정된 경우, 갱신 마스터는 상기와 동일한 처리를 행하고, 스텝 S35에 있어서 승낙 조작 정보를 수신한 경우, 스텝 S29로 이행한다. 기동 스위치(150, 250)가 오프 조작되기 전에, 갱신 마스터가 스텝 S27을 실행함으로써, 스텝 S35에서 갱신 마스터가 승낙 조작 정보를 수신 후, 액티베이트가 완료될 때까지의 시간을 단축시킬 수 있다.
본 실시 형태에서는, 갱신 마스터는, 각각 하나의 프로세서와 메모리를 구비했지만, 갱신 마스터는, 각각 복수의 프로세서와 복수의 메모리를 구비해도 된다. 또한, 본 실시 형태에서는, 갱신 마스터와 다른 타깃 ECU의 소프트웨어 갱신에 대하여 설명했지만, 갱신 마스터 자신의 소프트웨어를 갱신해도 된다.
이번에 개시된 실시 형태는, 모든 점에서 예시이며 제한적인 것은 아니라고 생각되어야 한다. 본 개시의 범위는, 상기한 실시 형태의 설명이 아닌 특허 청구 범위에 의해 나타내어지고, 특허 청구 범위와 균등한 의미 및 범위 내에서의 모든 변경이 포함되는 것이 의도된다.

Claims (5)

  1. 서버로부터 배신되는 소프트웨어를 사용하여, 소프트웨어의 갱신이 행해지도록 구성된 ECU를 구비하는 차량으로서,
    온 조작됨으로써 상기 차량의 제어 시스템을 기동하고, 오프 조작됨으로써 상기 차량의 제어 시스템을 정지하도록 구성되는 기동 스위치(150, 250); 및
    제어 장치(110, 210)를 포함하고,
    상기 제어 장치는,
    상기 소프트웨어의 갱신 처리를 제어하고,
    상기 기동 스위치(150, 250)가 오프 조작되고 나서, 액티베이트를 실행하는 것의 승낙을 요구하고,
    상기 ECU가 싱글 뱅크 타입의 컴퓨터인 경우, 상기 서버로부터 배신된 상기 소프트웨어를 다운로드한 후, 유저에 의해, 액티베이트를 실행하는 것의 승낙이 이루어지고 나서, 다운로드된 상기 소프트웨어를 상기 ECU에 인스톨하여 액티베이트를 실행하도록 상기 ECU에 지시하고;
    상기 ECU가 듀얼 뱅크 타입의 컴퓨터인 경우, 상기 서버로부터 배신된 상기 소프트웨어를 다운로드하고 상기 ECU에 다운로드된 상기 소프트웨어를 인스톨하는 지시를 한 후, 유저에 의해, 액티베이트를 실행하는 것의 승낙이 이루어지고 나서, 인스톨된 상기 소프트웨어의 액티베이트를 실행하도록 상기 ECU에 지시하도록 구성되는, 차량.
  2. 제1항에 있어서,
    상기 ECU는, 상기 차량의 주행 제어를 행하는 ECU인, 차량.
  3. 서버로부터 배신되는 소프트웨어를 사용하여, 차량 탑재 ECU의 소프트웨어의 갱신을 행하는 소프트웨어 갱신 방법으로서,
    온 조작됨으로써 차량의 제어 시스템을 기동하고, 오프 조작됨으로써 상기 차량의 제어 시스템을 정지하도록 구성되는 기동 스위치(150, 250)가 오프 조작되면, 액티베이트를 실행하는 것의 승낙을 요구하는 것;
    상기 차량 탑재 ECU가 싱글 뱅크 타입의 컴퓨터인 경우, 상기 서버로부터 배신된 상기 소프트웨어를 다운로드한 후, 유저에 의해, 액티베이트를 실행하는 것의 승낙이 이루어지고 나서, 다운로드된 상기 소프트웨어를 상기 차량 탑재 ECU에 인스톨하여 액티베이트를 실행하도록 상기 차량 탑재 ECU에 지시하는 것; 및
    상기 차량 탑재 ECU가 듀얼 뱅크 타입의 컴퓨터인 경우, 상기 서버로부터 배신된 상기 소프트웨어를 다운로드하고 상기 차량 탑재 ECU에 다운로드된 상기 소프트웨어를 인스톨하는 지시를 한 후, 유저에 의해, 액티베이트를 실행하는 것의 승낙이 이루어지고 나서, 인스톨된 상기 소프트웨어의 액티베이트를 실행하도록 상기 차량 탑재 ECU에 지시하는 것을
    포함하는, 소프트웨어 갱신 방법.
  4. 제3항에 기재된 소프트웨어 갱신 방법을 제어 장치(110, 210)에게 실행시키는, 프로그램을 기억하도록 구성되는 비일시적 기억 매체.
  5. 서버로부터 배신되는 데이터를 사용하여, 갱신 전 소프트웨어를 갱신 후 소프트웨어로 소프트웨어 갱신을 실행하도록 구성된 ECU를 구비하는 차량으로서,
    오프 조작됨으로써 상기 차량의 제어 시스템을 정지하도록 구성되는 스위치(150, 250); 및
    제어 장치(110, 210)를 포함하고,
    상기 제어 장치는,
    상기 소프트웨어 갱신의 처리를 제어하고,
    상기 스위치가 오프 조작되고 나서, 액티베이트를 실행하는 것의 승낙을 요구하고,
    상기 ECU가 싱글 뱅크 타입의 컴퓨터인지, 듀얼 뱅크 타입의 컴퓨터인지 판정하고,
    상기 ECU가 싱글 뱅크 타입의 컴퓨터인 경우, 상기 제어 장치(110, 210)가 액티베이트를 실행하는 것의 승낙을 수신한 경우에, 갱신 후 소프트웨어를 상기 ECU에 인스톨하여 액티베이트를 실행하도록 상기 ECU에 지시하고;
    상기 ECU가 듀얼 뱅크 타입의 컴퓨터인 경우, 상기 제어 장치(110, 210)가 액티베이트를 실행하는 것의 승낙을 수신한 경우에, 상기 갱신 후 소프트웨어의 액티베이트를 실행하도록 상기 ECU에 지시하도록 구성되는, 차량.
KR1020230123705A 2022-11-28 2023-09-18 차량, 소프트웨어 갱신 방법, 및 비일시적 기억 매체 KR20240079141A (ko)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JPJP-P-2022-189045 2022-11-28

Publications (1)

Publication Number Publication Date
KR20240079141A true KR20240079141A (ko) 2024-06-04

Family

ID=

Similar Documents

Publication Publication Date Title
US20210141631A1 (en) Electronic control system for vehicle, program update approval determination method and program update approval determination program
JP2016060407A (ja) 車両制御プログラム書換システム及び車両制御プログラム書換方法
WO2018230314A1 (ja) 制御装置、制御方法、およびコンピュータプログラム
CN112860299A (zh) 车辆无线更新设备和方法
US20240069906A1 (en) Server, software update system, distribution method, and non-transitory storage medium
KR20240079141A (ko) 차량, 소프트웨어 갱신 방법, 및 비일시적 기억 매체
US20240176612A1 (en) Vehicle, software update method, and non-transitory storage medium
US20240012634A1 (en) Control system, control device, control program update method, and non-transitory storage medium
US20240118885A1 (en) User equipment, software update system, control method, and non-transitory storage medium
US20240103839A1 (en) Mobile terminal and software distribution system
US20240126535A1 (en) Vehicle and software update system
US20240069893A1 (en) Server, software update system, software update method, and non-transitory storage medium
US20240069900A1 (en) Server, software update system, and software update method
JP2024504495A (ja) 車載端末に対して機能支援を行うための方法及び機器
US20240118886A1 (en) Mobile equipment and software distribution system
US20240201977A1 (en) Server, vehicle, and software management method
US20240143311A1 (en) Mobile terminal and software update system
US20240118882A1 (en) Server and software distribution system
CN118233893A (zh) 服务器、车辆以及软件管理方法
WO2022249846A1 (ja) 車両用電子制御装置及び更新プログラム
US20240078104A1 (en) Vehicle Software Update System and Method Thereof
CN118092419A (zh) 车辆泊出方法、装置、电子设备及计算机可读存储介质
JP2023019048A (ja) センタ、方法、及びプログラム