车载中继装置、信息处理方法及程序与流程

1.本公开涉及车载中继装置、信息处理方法及程序。
2.本技术主张基于在2020年3月26日提出申请的日本技术第2020-056688号的优先权，并援引所述日本技术记载的全部的记载内容。


背景技术：

3.在车辆搭载有发动机控制等动力传动系、空调控制等车身系等用于控制车载设备的车载ecu(electronic control unit)。车载ecu包括mpu等运算处理部、ram等能够改写的非易失性的存储部及与其他的车载ecu通信用的通信部，通过将存储于存储部的控制程序读入并执行而进行车载设备的控制。此外，在车辆安装有具备无线通信的功能的中继装置，经由中继装置与连接于车外的网络的程序提供装置通信，从该程序提供装置下载(接收)车载ecu的控制程序，能够对该车载ecu的控制程序进行更新(例如参照专利文献1)。
4.在先技术文献
5.专利文献
6.专利文献1：日本特开2017-97851号公报


技术实现要素：

7.本公开的一形态的车载中继装置搭载于车辆，其中，所述车载中继装置具备：多个通信部，包括用于与搭载于所述车辆的多个车载ecu进行通信的第一通信部和用于与所述车辆外的外部装置进行通信的第二通信部；存储部，存储有进行与所述多个车载ecu之间的通信的中继有关的控制的控制程序、进行与所述控制程序的更新有关的处理的更新处理程序及与所述多个通信部有关的网络构成信息；及控制部，选择性地执行在所述存储部中存储的所述控制程序或所述更新处理程序，所述控制部在执行所述控制程序时，参照存储于所述存储部的网络构成信息，确定将成为中继目的地的任一个车载ecu连接的第一通信部，所述控制部在执行所述更新处理程序时，参照存储于所述存储部的网络构成信息，确定用于与进行与所述控制程序的更新有关的处理的外部装置进行通信的第二通信部，禁止由该确定的用于与外部装置进行通信的第二通信部以外的通信部进行的通信。
附图说明
8.图1是例示包含实施方式1的车载中继装置的车载系统的结构的示意图。
9.图2是例示车载中继装置等的结构的框图。
10.图3是例示网络构成信息的一形态的说明图。
11.图4是例示本实施方式的车载中继装置的控制部的处理的流程图。
具体实施方式
12.[本公开要解决的课题]
[0013]
专利文献1的中继装置未考虑与对于由本装置执行的控制程序进行更新的处理有关的事项，因此可能无法有效地实施该本装置的控制程序的更新。
[0014]
本公开的目的在于提供一种能够有效地实施本装置的控制程序的更新的车载中继装置。
[0015]
[本公开的效果]
[0016]
根据本公开的一形态，能够提供一种有效地实施本装置的控制程序的更新的车载中继装置等。
[0017]
[本公开的实施方式的说明]
[0018]
首先，列举本公开的实施形态进行说明。而且，也可以将以下记载的实施方式的至少一部分任意组合。
[0019]
(1)本公开的一形态的车载中继装置搭载于车辆，其中，所述车载中继装置具备：多个通信部，包括用于与搭载于所述车辆的多个车载ecu进行通信的第一通信部和用于与所述车辆外的外部装置进行通信的第二通信部；存储部，存储有进行与所述多个车载ecu之间的通信的中继有关的控制的控制程序、进行与所述控制程序的更新有关的处理的更新处理程序及与所述多个通信部有关的网络构成信息；及控制部，选择性地执行在所述存储部中存储的所述控制程序或所述更新处理程序，所述控制部在执行所述控制程序时，参照存储于所述存储部的网络构成信息，确定将成为中继目的地的任一个车载ecu连接的第一通信部，所述控制部在执行所述更新处理程序时，参照存储于所述存储部的网络构成信息，确定用于与进行与所述控制程序的更新有关的处理的外部装置进行通信的第二通信部，禁止由该确定的用于与外部装置进行通信的第二通信部以外的通信部进行的通信。
[0020]
在本形态中，控制部在执行更新处理程序时参照在执行控制程序而进行中继控制时参照的网络构成信息。即，与多个通信部有关的网络构成信息能够从由控制部选择性地执行的控制程序向更新处理程序继承。控制部参照从控制程序继承的网络构成信息，执行更新处理程序。在更新处理程序的执行时，控制部使用于与进行与更新有关的处理的外部装置进行通信的第二通信部有效，使用于与进行与更新有关的处理的外部装置进行通信的第二通信部以外的通信部成为例如无效状态或非活性状态，禁止基于该通信部的通信。因此，防止经由用于与进行与更新有关的处理的外部装置进行通信的第二通信部以外的通信部，进行来自车辆内外的不正当的访问的情况，能够确保控制程序的更新处理中的安全性、可靠性，能够有效地实施该控制程序的更新。
[0021]
(2)本公开的一形态的车载中继装置中，执行所述控制程序期间的控制部基于所述存储部中的物理地址，将所述网络构成信息向所述存储部的存储区域写入，执行所述更新处理程序期间的控制部基于所述存储部中的物理地址，参照被写入有所述网络构成信息的所述存储区域。
[0022]
在本形态中，控制程序及更新处理程序例如由控制部在起动时首先执行的引导程序选择，由此，由该控制部选择性地执行。在这样不同的程序由同一控制部选择性地执行时，存在控制部访问存储部时使用的逻辑地址在各个程序中没有互换性的情况。相对于此，控制部每当执行控制程序及更新处理程序这双方的程序时，构成通过双方的程序能够共享地访问的存储区域，因此对于该存储区域，不是使用依靠各程序的逻辑地址而是使用硬件地决定的存储部的物理地址来访问。因此，在控制程序及更新处理程序中，即使在对于存储
部的逻辑地址的设定(寻址)不同的情况下，使用硬件地决定的存储部的物理地址，也能够将网络构成信息通过控制程序写入，在更新处理程序中参照。由此，能够将该网络构成信息有效地从控制程序向更新处理程序继承或传递。
[0023]
(3)本公开的一形态的车载中继装置中，所述控制部通过停止向确定的用于与所述外部装置进行通信的第二通信部以外的通信部的供电而禁止由该通信部进行的通信。
[0024]
在本形态中，控制部每当禁止基于确定的用于与外部装置进行通信的第二通信部以外的通信部的通信时，停止向该通信部的供电，因此在执行更新处理程序而更新控制程序期间，能够防止由这些不必要的通信部消耗电力的情况，抑制消耗电力。
[0025]
(4)本公开的一形态的车载中继装置中，所述车辆外的外部装置包括：诊断装置，连接于所述第二通信部；及外部服务器，经由连接于所述第二通信部的车外通信装置进行通信，所述网络构成信息中包含将对所述多个通信部分别进行识别的标识符与对分别连接于所述多个通信部的所述车载ecu、所述车外通信装置及所述诊断装置进行区分的信息建立关联而得到的信息，用于与进行与所述控制程序的更新有关的处理的外部装置进行通信的第二通信部是将所述诊断装置或所述车外通信装置连接的第二通信部。
[0026]
在本形态中，网络构成信息包含例如将物理端口编号等通信部各自的标识符与对连接于该通信部的外部装置(诊断装置、与外部服务器连接用的车外通信装置)及车载ecu进行区分的例如ip地址或mac地址等信息建立关联而得到的信息。在这样的网络构成信息中，用于与进行与更新有关的处理的外部装置进行通信的第二通信部设为将诊断装置或车外通信装置连接的第二通信部，由此，执行更新处理程序期间的控制部容易确定用于与进行与更新有关的处理的外部装置进行通信的第二通信部，能够有效地禁止基于将该诊断装置或车外通信装置连接的第二通信部以外的通信部的通信。
[0027]
(5)本公开的一形态的车载中继装置中，所述车辆外的外部装置包括：诊断装置，连接于所述第二通信部；及外部服务器，经由连接于所述第二通信部的车外通信装置进行通信，所述网络构成信息中包含将对所述多个通信部分别进行识别的标识符与对分别连接于所述多个通信部的所述车载ecu、所述车外通信装置及所述诊断装置进行区分的信息建立关联而得到的信息，执行所述控制程序期间的控制部在取得了从所述诊断装置输出的与更新有关的信息的情况下，在所述网络构成信息中包含如下意思：用于与进行与所述控制程序的更新有关的处理的外部装置进行通信的第二通信部是连接所述诊断装置的第二通信部，执行所述控制程序期间的控制部在取得了从所述外部服务器输出的与更新有关的信息的情况下，在网络构成信息中包含如下意思：用于与进行与所述控制程序的更新有关的处理的外部装置进行通信的第二通信部是连接所述车外通信装置的第二通信部。
[0028]
在本形态中，执行控制程序期间的控制部基于与更新有关的信息的输出目的地，在网络构成信息中包含如下意思：连接于该输出目的地的通信部是用于与进行与更新有关的处理的外部装置进行通信的第二通信部。因此，执行更新处理程序期间的控制部通过参照从控制程序继承的网络构成信息，容易地确定用于与进行与更新有关的处理的外部装置进行通信的第二通信部，能够有效地禁止基于连接该诊断装置的第二通信部以外的通信部的通信。
[0029]
(6)本公开的一形态的信息处理方法使计算机执行如下处理：选择性地执行与多个车载ecu之间的通信的中继有关的控制和与用于进行与所述中继有关的控制的程序的更
新有关的处理；在执行与所述中继有关的控制时，参照存储于存储部的网络构成信息，确定将成为中继目的地的任一个车载ecu连接的通信部；在执行与所述更新有关的处理时，参照存储于所述存储部的网络构成信息，确定用于与进行与更新有关的处理的外部装置进行通信的通信部，禁止由该确定的通信部以外的通信部进行的通信。
[0030]
在本形态中，能够提供一种通过计算机有效地实施作为本装置的车载中继装置的控制程序的更新的信息处理方法。
[0031]
(7)本公开的一形态的程序使计算机执行如下处理：选择性地执行与多个车载ecu之间的通信的中继有关的控制和与用于进行与所述中继有关的控制的程序的更新有关的处理；在执行与所述中继有关的控制时，参照存储于存储部的网络构成信息，确定将成为中继目的地的任一个车载ecu连接的通信部；在执行与所述更新有关的处理时，参照存储于所述存储部的网络构成信息，确定用于与进行与更新有关的处理的外部装置进行通信的通信部，禁止由该确定的通信部以外的通信部进行的通信。
[0032]
在本形态中，能够将计算机使用作为有效地实施本装置的控制程序的更新的车载中继装置。
[0033]
[本公开的实施方式的详情]
[0034]
以下，参照附图，说明本公开的实施方式的车载中继装置2的具体例。需要说明的是，本公开没有限定为上述的例示，由权利要求书公开，并意图包含与权利要求书等同的意思及范围内的全部变更。
[0035]
(实施方式1)
[0036]
以下，基于附图，说明实施方式。图1是例示包含实施方式1的车载中继装置2的车载系统的结构的示意图。图2是例示车载中继装置2等的结构的框图。车载系统包括搭载于车辆c的车外通信装置1及车载中继装置2，车载中继装置2经由车外通信装置1与外部服务器100进行通信。车载中继装置2与直接连接于本装置的诊断装置5通信。
[0037]
外部服务器100及诊断装置5相当于进行与车载中继装置2(本装置)的控制程序2c的更新有关的处理的外部装置。车载中继装置2通过从上述外部服务器100及诊断装置5取得更新程序而进行由本装置执行的控制程序2c的更新，即，通过将取得的更新程序适用作为该控制程序2c的新版本的控制程序2c而执行改编程序(改编)。
[0038]
外部服务器100是连接于例如互联网或公用线路网等车外网络n的服务器等计算机，具备基于ram(random access memory)、rom(read only memory)或硬盘等的存储部101。在存储部101保存有由车载中继装置2的制造厂商等制成的用于控制该车载中继装置2的程序或数据。该程序或数据作为更新程序如后所述向车辆c发送，为了对搭载于车辆c的车载中继装置2的控制程序2c或数据进行更新而使用。这样构成的外部服务器100也称为ota(over the air)服务器。搭载于车辆c的车载中继装置2从外部服务器100取得通过无线通信发送的更新程序，通过适用作为执行该更新程序的控制程序2c而能够对本装置执行的控制程序2c进行更新(改编)。在外部服务器100，除了作为本装置的车载中继装置2的控制程序2c以外，也可以还存储与该车载中继装置2连接的车载ecu3的程序或数据。车载中继装置2也可以是从外部服务器100取得与本装置连接的车载ecu3的程序等，将取得的程序等向更新对象(改编对象)的车载ecu3输出(发送)，作为进行该车载ecu3的程序的更新处理(改编处理)的改编主体发挥作用的结构。
[0039]
诊断装置5是由包含担任车载中继装置2或车载ecu3的检修作业等车辆c的修配的正规经销商等的车辆修配业者使用的装置(诊断工具)，例如是在个人计算机、平板pc或智能手机等通用信息终端安装有专用应用程序的装置、或者包含硬件而构成作为专用信息终端的装置。诊断装置5与后述的车载ecu同样地通过cpu或mpu而包括控制部(未图示)、存储部(未图示)及车内通信部23(未图示)。诊断装置5经由车内通信部23与车载中继装置2通信。诊断装置5的存储部与外部服务器100同样地保存有对车载中继装置2进行控制用的程序或数据。保存于诊断装置5的程序或数据与外部服务器100的情况同样，作为更新程序向车辆c发送，为了对搭载于车辆c的车载中继装置2的控制程序2c或数据进行更新而使用。
[0040]
在车辆c搭载有车外通信装置1、车载中继装置2、显示装置7及对各种车载设备进行控制用的多个车载ecu3。车外通信装置1与车载中继装置2通过例如与以太网(ethernet/注册商标)等的通信协议对应的通信线41(以太网线缆)连接成能够通信。车载中继装置2及车载ecu3通过与以太网等的通信协议对应的通信线41及车内lan4连接成能够通信。车载中继装置2及车载ecu3的连接没有限定为以太网，也可以是例如与can(control area network/注册商标)等的通信协议对应的can总线进行的连接。
[0041]
车外通信装置1包括车外通信部11及车内通信部12。车内通信部12例如是与由基于100base-t1或1000base-t1等以太网线缆的通信线41传送的tcp/ip的数据包对应的以太网phy部。车外通信装置1经由车内通信部12及以太网线缆等通信线41与车载中继装置2连接成能够通信。
[0042]
车外通信部11是使用3g、lte、4g、5g、wifi等移动体通信的协议进行无线通信用的通信装置，经由连接于车外通信部11的天线13与外部服务器100进行数据的收发。车外通信装置1与外部服务器100的通信经由例如公用线路网或互联网等车外网络n进行。
[0043]
在本实施方式中，车外通信装置1设为与车载中继装置2不同的装置，通过车内通信部12等将这些装置连接成能够通信，但是没有限定于此。车外通信装置1也可以是作为车载中继装置2的一构成部位而内置于车载中继装置2的结构。
[0044]
如图2所示，车载中继装置2包括控制部20、存储部21、输入输出i/f22、车内通信部23等。车载中继装置2例如对控制系的车载ecu3、安全系的车载ecu3及车身系的车载ecu3等的基于多个通信线41的系统的部分进行总控，对这些部分间的车载ecu3彼此的通信进行中继。车载中继装置2也可以是例如作为网关或以太网交换机、层2交换机、层3交换机及can网关发挥作用的结构。车载中继装置2也可以是例如作为对车辆c整体进行控制的车身ecu、对自动驾驶进行控制的自动驾驶ecu等一功能部而构成的结构。车载中继装置2也可以是除了与通信有关的中继之外，还对从蓄电装置(未图示)输出的电力进行分配及中继，也作为向与本装置连接的车载ecu3供给的电力分配装置发挥作用的plb(power lan box)。
[0045]
控制部20由cpu(central processing unit)或mpu(micro processing unit)等构成。控制部20通过将预先存储于存储部21的各程序及数据读出并执行而进行各种控制处理及运算处理等。需要说明的是，以下，“程序”的记载可包含程序和该程序的执行所需的数据。
[0046]
存储部21由ram(random access memory)等易失性的存储器元件或者rom(read only memory)、eeprom(electrically erasable programmable rom)或闪存等非易失性的存储器元件构成。存储部21中包含引导程序区域211、基本程序区域212、更新处理程序区域
215、共享区域216等。即，存储部21被区分化为基于引导程序区域211、基本程序区域212、更新处理程序区域215、共享区域216等的各自的存储区域。
[0047]
在引导程序区域211保存引导程序2a。引导程序2a是在车载中继装置2的重置后或起动时，首先起动的引导加载程序等程序。控制部20通过执行引导程序2a，根据与保存于共享区域216的更新的有无有关的信息，进行使基本程序2b和更新处理程序2g中的任一者选择性地起动的处理。
[0048]
与更新的有无有关的信息也可以是例如基于在共享区域216中的规定的物理地址的区块中保存的更新标志的有无，即在该区块中保存的0或1等标识符(比特值)而表示的信息。例如，在更新标志存在(标识符＝1)的情况下，控制部20使更新处理程序2g起动。在更新处理标志不存在(标识符＝0)的情况下，控制部20使基本程序2b起动。引导程序2a也可以在执行了使更新处理程序2g或基本程序2b起动的处理之后结束。
[0049]
在更新处理程序区域215保存更新处理程序2g。更新处理程序2g是在从外部服务器100或诊断装置5被输出或发送、提供更新程序的情况下，用于执行将作为更新对象的控制程序2c向更新程序更新的更新处理的程序(改编用软件)。控制部20通过执行更新处理程序2g而进行与车外通信装置1或诊断装置5等外部装置的通信，由此进行从该外部装置取得更新程序并将取得的更新程序保存于基本程序区域212的更新处理。在更新处理完成的情况下，控制部20也可以是将共享区域216的更新标志删除，将表示更新处理完成的情况的标识符保存于共享区域216的结构。控制部20通过执行更新处理程序2g，参照存储于共享区域216的网络构成信息，确定用于与进行与更新有关的处理的外部装置进行通信的车内通信部23，进行将确定的车内通信部23以外的车内通信部23无效化的处理，详情在后文叙述。
[0050]
基本程序区域212包含程序(代码闪存)区域213及数据区域(数据闪存)214。在程序区域213保存有基本程序2b、在该基本程序2b上执行的控制程序2c、诊断程序2d及安全程序2e等。数据区域214中包含由具有基本程序2b的输入输出功能(nvm)管理的nvm管理区域2f。基本程序2b是所谓操作系统，例如，也可以是遵照linux(注册商标)或autosar(automotive open system architecture)的标准的结构。
[0051]
控制程序2c、诊断程序2d及安全程序2e都是将基本程序2b作为平台而执行的程序。
[0052]
控制程序2c是在未实施基于更新处理程序2g的更新处理的状态下执行的程序，进行车载ecu3之间、或者外部服务器100及车载ecu3等的通信的中继。该控制程序2c是由从车载中继装置2发送的更新程序更新的对象。控制部20通过执行控制程序2c，例如参照存储于存储部21的网络构成信息，对从车载ecu3发送的ip数据包、can消息等进行中继。网络构成信息中包含在车内通信部23间对ip数据包等进行中继用的中继路径信息(路由表)及用于将哪个车内通信部23确定为用于与进行与更新有关的处理的外部装置进行通信的通信部的信息，详情在后文叙述。
[0053]
诊断程序2d构成作为控制程序2c中包含的一模块，是作为控制程序2c的进程的子进程而执行的程序。即，诊断程序2d是作为控制程序2c的一功能而执行的程序，监视与更新程序有关的信息的有无。控制部20通过执行诊断程序2d而进行与使用了车外通信装置1的外部服务器100的通信，由此定期地进行与搭载于车辆c的控制程序2c的更新有关的信息是否存在的询问。在与更新有关的信息存在的情况下，控制部20通过将表示更新要求存在的
情况的标识符(更新标志)保存于共享区域216，即向共享区域216写入，从而存储于存储部21。
[0054]
诊断程序2d没有限定为作为控制程序2c的进程的子进程而执行的程序。例如，诊断程序2d是与控制程序2c并行地执行的程序，监视与更新程序有关的信息的有无。在本实施方式中，在对于与更新程序有关的信息的处理中，控制程序2c及诊断程序2d为同义，以后，作为基于控制程序2c的功能来说明。
[0055]
控制部20通过执行控制程序2c，与诊断装置5或外部服务器100等进行与更新有关的处理的外部装置通信，在从外部装置取得了与更新有关的信息的情况下，将表示更新要求存在的情况的标识符(更新标志)保存(写入、存储)于共享区域216。此外，控制部20将网络构成信息与该表示更新要求存在的情况的标识符一起保存于该共享区域216。或者，执行控制程序2c期间的控制部20也可以是取代表示更新要求存在的情况的标识符而将网络构成信息保存于共享区域216的结构。即，控制部20也可以是通过在该共享区域216保存网络构成信息而作为表示更新要求存在的情况进行处理的结构。
[0056]
安全程序2e是与控制程序2c及诊断程序2d并行地执行的程序，管理上述控制程序2c及诊断程序2d中的安全信息。
[0057]
存储于存储部21的上述的引导程序2a、基本程序2b、控制程序2c、诊断程序2d、安全程序2e及更新处理程序2g也可以是分别存储有从车载中继装置2能够读取的记录介质2a读出的引导程序2a、基本程序2b、控制程序2c、诊断程序2d、安全程序2e及更新处理程序2g的结构。而且，也可以从与未图示的通信网连接的未图示的外部计算机分别下载引导程序2a、基本程序2b、控制程序2c、诊断程序2d、安全程序2e及更新处理程序2g而存储于存储部21。此外，在存储部21也可以存储车载中继装置2及搭载于车辆c的全部的车载ecu3的车辆构成信息。该车辆构成信息中也可以包含例如车辆c的vin(vehicle identification number)、车载中继装置2及车载ecu3的型号、安装的程序的名称及版本编号等。
[0058]
在上述中，说明了在基本程序2b上执行的控制程序2c、诊断程序2d及安全程序2e分别构成作为不同的程序模块的例子，但是本实施方式不受限定。例如，控制程序2c、诊断程序2d及安全程序2e也可以是作为基本程序2b的功能的一部分而包含于基本程序2b的结构。
[0059]
nvm管理区域2f是由基本程序2b中包含的输入输出功能(存储器管理功能)管理的数据保存区域。执行基本程序2b的控制部20在基于基本程序2b的通常的处理中，使用将逻辑地址变换成物理地址的输入输出功能而向nvm管理区域2f保存数据。即，执行基本程序2b的控制部20存储通过输入输出功能将逻辑地址与物理地址建立对应地变换的变换信息，在参照变换信息而确定的nvm管理区域2f保存数据。因此，nvm管理区域2f被限制从执行不具备该输入输出功能的基本程序2b以外的其他的程序的控制部20的访问。即，在执行引导程序2a及更新处理程序2g的情况下，控制部20无法参照nvm管理区域2f的信息。对于这样构成的nvm管理区域2f，使用基本程序2b具备的输入输出功能来执行输入输出处理，由此控制部20执行向该nvm管理区域2f的数据、程序等的读写。
[0060]
共享区域216是保存表示与更新的有无有关的信息的标识符、及网络构成信息的区域，是为了使更新处理程序从控制程序2c继承该标识符及网络构成信息而使用的区域。共享区域216是未由基本程序2b具备的输入输出功能管理的数据保存区域，是使用物理地
址能够唯一地指定部位的存储区域。执行基本程序2b具备的输入输出功能的控制部20无法访问共享区域216。执行诊断程序2d及控制程序2c的控制部20在识别出与更新的有无有关的信息的情况下，将标识符及网络构成信息保存于共享区域216。在该情况下，控制部20使用存储部21的非易失性存储器中的作为物理位置信息的物理地址来指定共享区域216，在该共享区域216保存标识符及网络构成信息。即，控制部20不进行通过基本程序2b的功能将逻辑地址与物理地址建立对应的变换处理，直接指定物理地址而在共享区域216保存标识符。由此，即使在控制部20基于引导程序2a而执行处理的情况下，不使基本程序2b起动而参照位置确定的共享区域216，能够识别表示与更新的有无有关的信息的标识符。而且，即使在控制部20基于更新处理程序而执行处理的情况下，也不使基本程序2b起动而参照位置确定的共享区域216，能够识别网络构成信息。
[0061]
输入输出i/f22例如是进行串行通信用的通信接口。车载中继装置2经由输入输出i/f22与显示器等显示装置7及进行车辆的起动及停止的ig开关6连接成能够通信。
[0062]
车内通信部23例如是使用了以太网或can等的通信协议的输入输出接口，控制部20与经由车内通信部23连接于车内lan4的车载ecu3、车外通信装置1及其他的中继装置等车载设备、或诊断装置5相互通信。
[0063]
车内通信部23设置多个，在车内通信部23分别连接构成车内lan4的通信线41。通过这样将车内通信部23设置多个，车内lan4分成多个部分，在各部分根据该车载ecu的功能(控制系功能、安全系功能、车身系功能)而连接车载ecu。
[0064]
在车内通信部23还连接用于与诊断装置5、外部服务器进行通信的车外通信装置1，经由该车内通信部23进行与上述的诊断装置5及外部服务器等外部装置的通信。即，将诊断装置5或车外通信装置1连接的车内通信部23相当于用于与进行与更新有关的处理的外部装置进行通信的通信部。
[0065]
车载ecu3包括控制部30、存储部31及车内通信部32。存储部31由ram(random access memory)等易失性的存储器元件、或者rom(read only memory)、eeprom(electrically erasable programmable rom)或闪存等非易失性的存储器元件构成，存储有车载ecu3的程序或数据。控制部30由cpu(central processing unit)或mpu(micro processing unit)等构成，将存储于存储部31的程序及数据读出并执行而进行控制处理等，控制包含该车载ecu3的车载设备或促动器等。
[0066]
在车载中继装置2的输入输出i/f22通过串行线缆等线束以能够通信的方式连接有进行车辆c的起动或停止的ig开关6(点火开关)。在ig开关6被接通或断开的情况下，车载中继装置2的控制部20经由输入输出i/f22取得(接收)从ig开关6输出(发送)的信号。
[0067]
显示装置7例如是车辆导航的显示器等hmi(human machine interface)装置。显示装置7通过串行线缆等线束与车载中继装置2的输入输出i/f22能够通信地连接。显示装置7显示从车载中继装置2的控制部20经由输入输出i/f22输出的数据或信息。
[0068]
图3是例示网络构成信息的一形态的说明图。如上所述，网络构成信息存储于车载中继装置2的存储部21。网络构成信息在存储部21中存储于共享区域216，所述共享区域216是从执行更新处理程序2g期间的控制部20及执行控制程序2c(诊断程序2d)期间的控制部20，即执行任一程序期间的控制部20都能够访问的区域。或者，执行控制程序2c期间的控制部20在基于该控制程序2c进行车载ecu3之间的通信的中继控制时，参照例如存储于nvm管
理区域2f等以通过基本程序2b设定的逻辑地址来管理的区域的网络构成信息。并且，执行控制程序2c期间的控制部20在从诊断装置5或外部服务器100取得了与更新有关的信息的情况下，该控制部20也可以是将保存于nvm管理区域2f等的网络构成信息进行复制等而写入于共享区域216。
[0069]
执行控制程序2c期间的控制部20将保存于nvm管理区域2f等的网络构成信息进行复制等而写入于共享区域216时，没有限定为将该网络构成信息中包含的全部的信息写入的情况。执行控制程序2c期间的控制部20也可以是在将保存于nvm管理区域2f等的网络构成信息向共享区域216写入时，将该网络构成信息中包含的信息中的至少确定用于与执行与更新有关的处理的外部装置进行通信的车内通信部23的信息向共享区域216写入的结构。
[0070]
网络构成信息例如以表格形式存储，包括车内通信部23的物理端口编号、ip地址、mac(media access control)地址、改编用端口及连接ecu作为管理项目(字段)。
[0071]
在车内通信部23的物理端口编号的字段保存有在各个车内通信部23不重复地设定的连续号码等的物理端口编号。在车内通信部23为以太网phy部的情况下，表示该以太网phy部的设备编号也可以保存于该物理端口编号的字段。
[0072]
在ip地址的字段保存有与对应的物理端口编号的车内通信部23连接的车载ecu3、车外通信装置1或诊断装置5的ip地址(与进行使用了tcp/ip的通信时的网络层对应的地址)。控制部20通过参照该ip地址而作为层3交换机发挥作用。
[0073]
在mac地址的字段保存有与对应的物理端口编号的车内通信部23连接的车载ecu3、车外通信装置1或诊断装置5的mac地址(与进行基于以太网的通信时的数据环层对应的地址)。控制部20通过参照该mac地址而作为层2交换机发挥作用。
[0074]
在改编用端口的字段保存有用于确定与进行有关作为本装置的车载中继装置2的控制程序2c的更新的处理的外部装置进行通信用的车内通信部23的标识符(标志)。在本实施方式中，设定1作为用于确定与进行与更新有关的处理的外部装置进行通信用的车内通信部23的标识符，如图所示，将eth02的物理端口(改编用端口：1)确定作为与该外部装置通信用的车内通信部23。即，在改编用端口保存成为1以外的0的其他的物理端口被确定作为与进行与更新有关的处理的外部装置进行通信用的车内通信部23以外的车内通信部23。这样网络构成信息中包含分别对于车载中继装置2具备的车内通信部23，确定哪个车内通信部23是与进行与更新有关的处理的外部装置进行通信用的车内通信部23的信息，因此执行更新处理程序2g期间的控制部20能够容易地确定与该外部装置通信用的车内通信部23。
[0075]
在连接ecu的字段保存有有关与对应的物理端口编号的车内通信部23连接的车载装置的名称、种类或区分的信息。
[0076]
图4是例示本实施方式的车载中继装置2的控制部20的处理的流程图。车载中继装置2的控制部20在例如车辆c为起动状态(ig开关6接通)或停止状态(ig开关6断开)下，稳态地进行以下的处理。
[0077]
车载中继装置2的控制部20将网络构成信息向存储部21(共享区域216)写入(s101)。每当进行本处理时，控制部20也可以使对车载ecu3间的通信进行中继用的控制程序2c为执行期间，使用该控制程序2c的输入输出功能，基于存储部21中的共享区域216的物理地址，将网络构成信息向该共享区域216写入。或者，控制部20也可以执行基本程序2b，进
而在基本程序2b上并行地执行控制程序2c及诊断程序2d，使用诊断程序2d的输入输出功能，基于共享区域216的物理地址，向该共享区域216写入网络构成信息。
[0078]
被写入网络构成信息的共享区域216是基于存储部21的物理地址而确定的区域，因此无论在控制部20执行了控制程序2c及更新处理程序2g中的哪个程序的情况下，控制部20都能够访问共享区域216。因此，通过使用该共享区域216，从控制程序2c向更新处理程序2g能够可靠地继承网络构成信息。
[0079]
控制部20也可以是每当将网络构成信息向存储部21(共享区域216)写入时，关于与从外部装置取得的更新有关的信息(宣传活动信息)，也向该共享区域216写入的结构。控制部20也可以是在将作为本装置的车载中继装置2与诊断装置5或外部服务器100等外部装置连接，且从上述外部装置发送(输出)了与更新有关的信息的情况下，将网络构成信息向存储部21(共享区域216)写入的结构。在该情况下，控制部20也可以是将用于确定为了与发送(输出)有关更新的信息的外部装置通信而使用的车内通信部23的信息反映到网络构成信息中，将该网络构成信息向存储部21(共享区域216)写入的结构。
[0080]
例如，在发送(输出)有关更新的信息的外部装置为诊断装置5的情况下，控制部20在网络构成信息中，将连接诊断装置5的车内通信部23的改编用端口的字段中保存的标志变更为1，将其他的车内通信部23的改编用端口的字段中保存的标志设为0，由此也可以确定为了与外部装置通信而使用的车内通信部23。而且，在发送(输出)有关更新的信息的外部装置为外部服务器100的情况下，控制部20在网络构成信息中，将连接与外部服务器100通信用的外部通信装置的车内通信部23的改编用端口的字段中保存的标志变更为1，将其他的车内通信部23的改编用端口的字段中保存的标志设为0，由此也可以确定为了与外部装置通信而使用的车内通信部23。
[0081]
这样基于发送(输出)了有关更新的信息的外部装置，对网络构成信息进行变更，由此，即使在与进行与更新有关的处理的外部装置进行通信用的车内通信部23存在多个的情况下，也能够容易地确定在与本次的更新有关的处理中使用的车内通信部23。因此，在与更新有关的处理中能够将不必要的车内通信部23可靠地无效化，禁止基于这些不必要的车内通信部23的通信，由此确保与该更新有关的处理的安全。
[0082]
控制部20没有限定为将网络构成信息中包含的全部的信息向该共享区域216写入的结构。控制部20也可以是在网络构成信息中，将与进行与更新有关的处理的外部装置进行通信用的车内通信部23的物理端口编号等用于确定该车内通信部23的信息向该共享区域216写入的结构。或者，控制部20也可以是将与进行与更新有关的处理的外部装置进行通信用的车内通信部23以外的车内通信部23的物理端口编号等，即，在后述的处理中，将无效化的车内通信部23的物理端口编号向该共享区域216写入的结构。
[0083]
车载中继装置2的控制部20判定车辆c是否停止(s102)。在车辆c未停止的情况下(s102：否)，车载中继装置2的控制部20为了再次执行处理s102而进行循环处理。在车辆c停止的情况下(s102：是)，车载中继装置2的控制部20结束控制程序2c(s103)。在本实施方式中，每当由车载中继装置2的控制部20执行的控制程序2c的结束，即进行车载中继装置2的重置时，将车辆c的停止(ig开关6的断开)作为触发使用，但是没有限定于此。该控制程序2c的结束也可以基于例如从诊断装置5等外部装置输出的重置信号等来进行。
[0084]
车载中继装置2的控制部20判定与更新有关的信息的有无(s104)。控制部20例如
执行引导程序2a，使用该引导程序2a中包含的输入输出功能，参照存储部21(共享区域216)，判定与更新有关的信息的有无。
[0085]
在与更新有关的信息不存在的情况下(s104：否)，车载中继装置2的控制部20结束本实施方式中的一连串的处理。在与更新有关的信息不存在的情况下，即从诊断装置5等进行与更新有关的处理的外部装置未取得与本装置的控制程序2c的更新有关的信息(宣传活动信息)的情况下，控制部20结束本实施方式中的一连串的处理，根据车辆c的停止状态而向例如停止状态或待机状态(休眠)转移。
[0086]
在与更新有关的信息存在的情况下(s104：是)，车载中继装置2的控制部20执行更新处理程序2g(s105)。在与更新有关的信息存在的情况下，即从诊断装置5等进行与更新有关的处理的外部装置取得与本装置的控制程序2c的更新有关的信息(宣传活动信息)的情况下，控制部20执行更新处理程序2g。
[0087]
控制部20判定为与更新有关的信息存在的情况没有限定为与本装置的控制程序2c的更新有关的信息(宣传活动信息)存储于存储部21(共享区域216)的情况。控制部20也可以是凭借在该存储部21(共享区域216)存储网络构成信息的情况而判定为与更新有关的信息存在的结构。即，网络构成信息相当于与更新有关的信息，车载中继装置2的控制部20也可以是判定与更新有关的信息的有无的结构。
[0088]
车载中继装置2的控制部20参照存储于存储部21(共享区域216)的网络构成信息(s106)。执行更新处理程序2g期间的控制部20例如使用物理地址访问存储部21(共享区域216)，参照存储于该共享区域216的网络构成信息。
[0089]
车载中继装置2的控制部20确定与进行与更新有关的处理的外部装置进行通信用的车内通信部23(s107)。执行更新处理程序2g期间的控制部20例如通过参照在网络构成信息中包含的改编用端口的字段中保存的各车内通信部23各自的标志信息，来确定与进行与更新有关的处理的外部装置进行通信用的车内通信部23。或者，也可以在从外部装置取得的有关更新的信息(宣传活动信息)中包含为了与该外部装置通信而使用的物理端口编号，控制部20基于该物理端口编号，来确定与进行与更新有关的处理的外部装置进行通信用的车内通信部23。或者，也可以在从外部装置取得的与更新有关的信息(宣传活动信息)中包含该外部装置的地址(ip地址、mac地址)，控制部20将与该地址对应的车内通信部23确定为与进行与更新有关的处理的外部装置进行通信用的车内通信部23。
[0090]
车载中继装置2的控制部20将确定的车内通信部23以外的车内通信部23无效化(s108)。执行更新处理程序2g期间的控制部20对于与进行与更新有关的处理的外部装置进行通信用的车内通信部23以外的车内通信部23输出例如断开信号，由此将上述车内通信部23无效化，禁止通过该车内通信部23进行中继的情况。
[0091]
控制部20也可以是通过停止对于与进行与更新有关的处理的外部装置进行通信用的车内通信部23以外的车内通信部23的电力的供给，来禁止通过上述车内通信部23进行中继的情况的结构。即，控制部20也可以是例如通过将设置在与上述车内通信部23连接的电力线上的开关断开而停止对于该车内通信部23的电力的供给的结构。
[0092]
车载中继装置2的控制部20从进行与更新有关的处理的外部装置取得更新程序(s109)。从外部装置取得的更新程序相当于到当前时点为止由本装置执行的控制程序2c的新版本的程序。控制部20从诊断装置5等外部装置取得(接收)更新程序，将取得的更新程序
作为从下次的起动时执行的控制程序2c，向存储部21的程序区域213(代码闪存)写入，由该存储部21存储。
[0093]
车载中继装置2的控制部20结束更新处理程序2g(s110)。控制部20在结束更新处理程序2g时，也可以将存储于存储部21(共享区域216)的网络构成信息及与本装置的控制程序2c的更新有关的信息(宣传活动信息)删除。控制部20通过结束更新处理程序2g，根据车辆c的停止状态向例如停止状态或待机状态(休眠)转移。
[0094]
通过将上述网络构成信息及与更新有关的信息从存储部21(共享区域216)删除，在下次车辆c起动时，车载中继装置2的控制部20判定为与更新有关的信息不存在，即本装置的控制程序2c不需要更新。由此，车载中继装置2的控制部20适用在s109的处理中取得的更新程序，执行基于新版本的控制程序2c。通过执行该新版本的控制程序2c而作为进行车载ecu3之间的中继处理的网关或以太网交换机发挥作用。控制部20也可以是每当执行该控制程序2c时，首先执行基本程序2b，在该基本程序2b上执行控制程序2c的结构。
[0095]
根据本实施方式，执行更新处理程序2g的控制部20参照从控制程序2c继承的网络构成信息。从控制程序2c继承的网络构成信息中包含用于确定与进行与更新有关的处理的外部装置进行通信用的车内通信部23的信息，因此执行更新处理程序2g的控制部20能够容易地确定与更新有关的处理中使用的车内通信部23。
[0096]
执行更新处理程序2g的控制部20使与进行与更新有关的处理的外部装置进行通信用的车内通信部23有效，使与进行与更新有关的处理的外部装置进行通信用的车内通信部23以外的车内通信部23为例如无效状态或非活性状态，禁止基于该车内通信部23的通信。因此，车载中继装置2在进行更新本装置的控制程序2c的处理(改编处理)时，防止经由不必要的车内通信部23进行不正当的访问，能够确保控制程序2c的更新处理中的安全性、可靠性，能够有效地实施该控制程序2c的更新。
[0097]
根据本实施方式，每当执行控制程序2c及更新处理程序2g这双方的程序时，例如，使用物理地址访问共享区域216，进行网络构成信息等的写入及参照。因此，在控制程序2c及更新处理程序2g由同一控制部20选择性地执行时，即使访问存储部21时使用的逻辑地址在各个程序中没有互换性的情况下，通过使用两程序能够一起访问的共享区域216，也能够将由控制程序2c使用的网络构成信息向更新处理程序2g继承。
[0098]
根据本实施方式，执行控制程序2c期间的控制部20基于与更新有关的信息的输出目的地，变更网络构成信息中包含的改编用端口的字段中保存的值(标志)，将确定与进行与更新有关的处理的外部装置进行通信用的车内通信部23的信息反映到该网络构成信息中。因此，车载中继装置2即使在具有多个与该外部装置进行通信用的车内通信部23的情况下，执行更新处理程序2g期间的控制部20通过参照从控制程序2c继承的网络构成信息，也能够可靠地确定与进行与更新有关的处理的外部装置进行通信用的车内通信部23。
[0099]
应考虑的是本次公开的实施方式在全部的点上为例示而不是限制性内容。本发明的范围不是由上述的意思而是由权利要求书公开，并意图包含与权利要求书等同的意思及范围内的全部变更。
[0100]
标号说明
[0101]
c 车辆
[0102]
n 车外网络
[0103]
100 外部服务器(外部装置)
[0104]
101 存储部
[0105]
1 车外通信装置
[0106]
11 车外通信部
[0107]
12 车内通信部
[0108]
13 天线
[0109]
2 车载中继装置
[0110]
20 控制部
[0111]
21 存储部
[0112]
211 引导程序区域
[0113]
212 基本程序区域
[0114]
213 程序区域
[0115]
214 数据区域
[0116]
215 更新处理程序区域
[0117]
216 共享区域
[0118]
2a 引导程序
[0119]
2b 基本程序
[0120]
2c 控制程序
[0121]
2d 诊断程序
[0122]
2e 安全程序
[0123]
2f nvm管理区域
[0124]
2g 更新处理程序
[0125]
2a 记录介质
[0126]
22 输入输出i/f
[0127]
23 车内通信部(通信部、第一通信部、第二通信部)
[0128]
3 车载ecu
[0129]
30 控制部
[0130]
31 存储部
[0131]
32 车内通信部
[0132]
4 车内lan
[0133]
41 通信线
[0134]
5 诊断装置(外部装置)
[0135]
6 ig开关
[0136]
7 显示装置。