特許ウォッチ

公開番号2024154953
公報種別公開特許公報(A)
公開日2024-10-31
出願番号2023069206
出願日2023-04-20
発明の名称車載装置、更新方法、及び更新プログラム
出願人株式会社オートネットワーク技術研究所,住友電装株式会社,住友電気工業株式会社
代理人弁理士法人サンクレスト国際特許事務所
主分類G06F 21/57 20130101AFI20241024BHJP(計算;計数)
要約【課題】車載装置の部品点数を抑制しつつ、セキュリティを確保する。
【解決手段】
車載装置は、第1論理領域及び第2論理領域を含む記憶部と、前記第1論理領域に記憶され、前記車載ネットワークに対してデータの送受信が可能な第1ソフトウェアと、前記第2論理領域に記憶され、前記車載ネットワークに対してデータの送受信が制限された第2ソフトウェアと、前記第2ソフトウェアを更新する更新部と、前記第1論理領域との間でのデータの授受が可能であり、且つ、前記第2論理領域との間でのデータの授受が可能である領域間通信部と、を備え、前記領域間通信部は、前記第1ソフトウェアによって実現されるデータ通信部が前記車載ネットワークから受信した更新データを、前記データ通信部から受け取り、前記更新データを前記更新部へ引き渡し、前記更新部は、前記更新データに基づいて、前記第2ソフトウェアを更新する。
【選択図】図4
特許請求の範囲【請求項１】
車載ネットワークに接続された車載装置であって、
互いに論理的に分離され、データの授受が制限された第１論理領域及び第２論理領域を含む記憶部と、
前記第１論理領域に記憶され、前記車載ネットワークに対してデータの送受信が可能な第１ソフトウェアと、
前記第２論理領域に記憶され、前記車載ネットワークに対してデータの送受信が制限された第２ソフトウェアと、
前記第２ソフトウェアを更新する更新部と、
前記第１論理領域との間でのデータの授受が可能であり、且つ、前記第２論理領域との間でのデータの授受が可能である領域間通信部と、
を備え、
前記領域間通信部は、前記第１ソフトウェアをプロセッサが実行することによって実現されるデータ通信部が前記車載ネットワークから受信した更新データを、前記データ通信部から受け取り、受け取った前記更新データを前記更新部へ引き渡し、
前記更新部は、前記領域間通信部から引き渡された前記更新データに基づいて、前記第２ソフトウェアを更新する、
車載装置。
続きを表示（約 1,600 文字）【請求項２】
前記更新部は、前記第２論理領域に記憶された更新ソフトウェアを前記プロセッサが実行することによって実現される、
請求項１に記載の車載装置。
【請求項３】
前記更新部は、前記第１ソフトウェアを更新することが可能である、
請求項２に記載の車載装置。
【請求項４】
前記更新部は、前記第１ソフトウェアを更新する第１更新部と、前記第２ソフトウェアを更新する第２更新部とを含み、
前記第１更新部は、前記第１論理領域に記憶された第１更新ソフトウェアを前記プロセッサが実行することによって実現され、
前記第２更新部は、前記第２論理領域に記憶された第２更新ソフトウェアを前記プロセッサが実行することによって実現される、
請求項１に記載の車載装置。
【請求項５】
前記第１更新部は、前記車載ネットワークから前記データ通信部が受信した第１更新データを前記データ通信部から受け取り、受け取った前記第１更新データに基づいて、前記第１ソフトウェアを更新する、
請求項４に記載の車載装置。
【請求項６】
前記記憶部は、物理的に分離された第１記憶部と第２記憶部とを含み、
前記領域間通信部は、前記第１記憶部に記憶された第１管理ソフトウェアを前記プロセッサが実行することによって実現される第１領域間通信部と、前記第２記憶部に記憶された第２管理ソフトウェアを前記プロセッサが実行することによって実現される第２領域間通信部とを含み、
前記第１領域間通信部は、前記第２領域間通信部が停止している間に動作し、
前記第２領域間通信部は、前記第１領域間通信部が停止している間に動作する、
請求項１に記載の車載装置。
【請求項７】
前記第１領域間通信部は、前記第２管理ソフトウェアが更新さている間に動作し、
前記第２領域間通信部は、前記第１管理ソフトウェアが更新さている間に動作する、
請求項６に記載の車載装置。
【請求項８】
前記記憶部は、前記第１論理領域及び前記第２論理領域のそれぞれから論理的に分離され、前記第１論理領域及び前記第２論理領域のそれぞれに対するデータの授受が制限された第３論理領域を含み、
前記第１管理ソフトウェア及び前記第２管理ソフトウェアは、前記第３論理領域に記憶されている、
請求項６に記載の車載装置。
【請求項９】
前記第１論理領域は、前記第１記憶部の第１部分領域と、前記第２記憶部の第１部分領域とを含み、
前記第２論理領域は、前記第１記憶部の第２部分領域と、前記第２記憶部の第２部分領域とを含み、
前記第１記憶部の前記第１部分領域と、前記第２記憶部の前記第１部分領域とのそれぞれには、２つの前記第１ソフトウェアが記憶されており、
前記第１記憶部の前記第１部分領域に記憶された前記第１ソフトウェアが実行されている間、前記第２記憶部の前記第１部分領域に記憶された前記第１ソフトウェアが停止し、
前記第２記憶部の前記第１部分領域に記憶された前記第１ソフトウェアが実行されている間、前記第１記憶部の前記第１部分領域に記憶された前記第１ソフトウェアが停止する、
請求項６に記載の車載装置。
【請求項１０】
前記第１記憶部の前記第１部分領域に記憶された前記第１ソフトウェアが更新されている間、前記第２記憶部の前記第１部分領域に記憶された前記第１ソフトウェアが実行され、
前記第２記憶部の前記第１部分領域に記憶された前記第１ソフトウェアが更新されている間、前記第１記憶部の前記第１部分領域に記憶された前記第１ソフトウェアが実行される、
請求項９に記載の車載装置。
（【請求項１１】以降は省略されています）
発明の詳細な説明【技術分野】
【０００１】
本開示は、車載装置、更新方法、及び更新プログラムに関する。
続きを表示（約 2,700 文字）【背景技術】
【０００２】
車両には、エンジン、トランスミッション等を制御する制御系ＥＣＵ（Electronic Control Unit）、ヘッドライト、パワーウインドウ等を制御するボディ系ＥＣＵ、ナビゲーション装置、マルチメディア機器等の情報系ＥＣＵ等、多種の車載装置が搭載される。
【０００３】
特許文献１には、第１ＣＰＵ（Central Processing Unit）及び第２ＣＰＵを備える車載中継装置が開示されている。第１ＣＰＵは、車両の内部の車載ネットワーク２から切り離されており、車両の外部との通信は、第１ＣＰＵにより行われる。第２ＣＰＵは、車両の外部から切り離して設けられ、車載ネットワークに通信可能に接続されている。特許文献１に開示された車載中継装置は、物理的に分離された第１ＣＰＵ及び第２ＣＰＵによって、車両の外部からの車載ネットワークへの攻撃を多層的に防御することで、セキュリティを向上させている。
【先行技術文献】
【特許文献】
【０００４】
特開２０２２－１７３９２３号公報
【発明の概要】
【発明が解決しようとする課題】
【０００５】
しかしながら、特許文献１に開示された車載中継装置では、２つのＣＰＵを必要とするため、部品点数が多く、製品コストが嵩むという問題がある。
【課題を解決するための手段】
【０００６】
本開示の一態様に係る車載装置は、車載ネットワークに接続された車載装置であって、互いに論理的に分離され、データの授受が制限された第１論理領域及び第２論理領域を含む記憶部と、前記第１論理領域に記憶され、前記車載ネットワークに対してデータの送受信が可能な第１ソフトウェアと、前記第２論理領域に記憶され、前記車載ネットワークに対してデータの送受信が制限された第２ソフトウェアと、前記第２ソフトウェアを更新する更新部と、前記第１論理領域との間でのデータの授受が可能であり、且つ、前記第２論理領域との間でのデータの授受が可能である領域間通信部と、を備え、前記領域間通信部は、前記第１ソフトウェアをプロセッサが実行することによって実現されるデータ通信部が前記車載ネットワークから受信した更新データを、前記データ通信部から受け取り、受け取った前記更新データを前記更新部へ引き渡し、前記更新部は、前記領域間通信部から引き渡された前記更新データに基づいて、前記第２ソフトウェアを更新する。
【発明の効果】
【０００７】
本開示によれば、車載装置の部品点数を抑制しつつ、セキュリティを確保することができる。
【図面の簡単な説明】
【０００８】
図１は、第１実施形態に係る車載ネットワークの構成の一例を示すブロック図である。
図２は、第１実施形態に係るＥＣＵのハードウェア構成の一例を示すブロック図である。
図３は、第１実施形態に係るＥＣＵが搭載する不揮発性メモリの構成の一例を示すブロック図である。
図４は、第１実施形態に係る不揮発性メモリにおけるパーティションの構成を示す図である。
図５は、第１実施形態に係るＥＣＵにおけるデータの流れの一例を説明するための図である。
図６は、第１実施形態に係るＥＣＵにおけるデータの流れの他の例を説明するための図である。
図７は、第１実施形態に係るＥＣＵにおける第１ソフトウェアの更新の際のデータの流れの一例を説明するための図である。
図８は、第１実施形態に係るＥＣＵにおける第１ソフトウェアの更新を説明するための図である。
図９は、第１実施形態に係るＥＣＵにおける第２ソフトウェアの更新の際のデータの流れの一例を説明するための図である。
図１０は、第１実施形態に係るＥＣＵにおける第２ソフトウェアの更新を説明するための図である。
図１１は、第１実施形態に係るＥＣＵにおいて第２ソフトウェアの更新を行う場合の車載ネットワークにおけるデータの流れを示すシーケンス図である。
図１２は、第１実施形態に係るＥＣＵが第２ソフトウェアの更新を行う場合のＥＣＵの動作の一例を示すフローチャートである。
図１３は、第２実施形態に係るＥＣＵが搭載する不揮発性メモリの構成の一例を示すブロック図である。
図１４は、第２実施形態に係る不揮発性メモリにおけるパーティションの構成を示す図である。
図１５は、第１アプリケーションソフトウェア及び第２アプリケーションソフトウェアの実行対象が切り替わった場合のソフトウェアの稼働状態を示す図である。
図１６は、第３実施形態に係るＥＣＵが搭載する不揮発性メモリの構成の一例を示すブロック図である。
【発明を実施するための形態】
【０００９】
＜本開示の実施形態の概要＞
以下、本開示の実施形態の概要を列記して説明する。
【００１０】
（１）本実施形態に係る車載装置は、車載ネットワークに接続された車載装置であって、互いに論理的に分離され、データの授受が制限された第１論理領域及び第２論理領域を含む記憶部と、前記第１論理領域に記憶され、前記車載ネットワークに対してデータの送受信が可能な第１ソフトウェアと、前記第２論理領域に記憶され、前記車載ネットワークに対してデータの送受信が制限された第２ソフトウェアと、前記第２ソフトウェアを更新する更新部と、前記第１論理領域との間でのデータの授受が可能であり、且つ、前記第２論理領域との間でのデータの授受が可能である領域間通信部と、を備え、前記領域間通信部は、前記第１ソフトウェアをプロセッサが実行することによって実現されるデータ通信部が前記車載ネットワークから受信した更新データを、前記データ通信部から受け取り、受け取った前記更新データを前記更新部へ引き渡し、前記更新部は、前記領域間通信部から引き渡された前記更新データに基づいて、前記第２ソフトウェアを更新する。これにより、車載装置のハードウェアを冗長な構成とすることなく、第１ソフトウェア及び第２ソフトウェアを車載装置に搭載することができ、車載装置の部品点数を抑制することができる。さらに、第１ソフトウェア及び第２ソフトウェアを論理的に分離した第１論理領域及び第２論理領域のそれぞれに配置し、領域間通信部によってのみ第１ソフトウェアと第２ソフトウェアとの間のデータの授受を可能とすることにより、セキュリティを確保することができる。
（【００１１】以降は省略されています）

関連特許