Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP7314775B2 - VEHICLE CONTROL DEVICE, VEHICLE SYSTEM, AND VEHICLE CONTROL METHOD - Google Patents
[go: Go Back, main page]

JP7314775B2 - VEHICLE CONTROL DEVICE, VEHICLE SYSTEM, AND VEHICLE CONTROL METHOD - Google Patents

VEHICLE CONTROL DEVICE, VEHICLE SYSTEM, AND VEHICLE CONTROL METHOD Download PDF

Info

Publication number
JP7314775B2
JP7314775B2 JP2019208263A JP2019208263A JP7314775B2 JP 7314775 B2 JP7314775 B2 JP 7314775B2 JP 2019208263 A JP2019208263 A JP 2019208263A JP 2019208263 A JP2019208263 A JP 2019208263A JP 7314775 B2 JP7314775 B2 JP 7314775B2
Authority
JP
Japan
Prior art keywords
vehicle
control device
identification information
connection
authentication level
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019208263A
Other languages
Japanese (ja)
Other versions
JP2021081939A (en
Inventor
伸彦 谷端
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2019208263A priority Critical patent/JP7314775B2/en
Priority to PCT/JP2020/035655 priority patent/WO2021100310A1/en
Publication of JP2021081939A publication Critical patent/JP2021081939A/en
Application granted granted Critical
Publication of JP7314775B2 publication Critical patent/JP7314775B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/65Updates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Small-Scale Networks (AREA)
  • Stored Programmes (AREA)

Description

本開示は、車両用制御装置、車両用システム、及び車両用制御方法に関するものである。 The present disclosure relates to a vehicle control device, a vehicle system, and a vehicle control method.

従来、車両用制御装置のソフトウェアの更新を行って機能を更新又は拡張していく技術が知られている。例えば、特許文献1には、データ通信装置から送信されるバージョンアップデータによって車載ECUの制御プログラムのバージョンアップを行う技術が開示されている。 2. Description of the Related Art Conventionally, a technique is known in which software of a vehicle control device is updated to update or extend functions. For example, Patent Literature 1 discloses a technique of upgrading a control program of an in-vehicle ECU using version upgrade data transmitted from a data communication device.

特開2004-28000号公報Japanese Unexamined Patent Application Publication No. 2004-28000

車両の製品寿命は比較的長い。よって、車両用制御装置のソフトウェアの更新を重ねていく場合、更新後のソフトウェアに対して車両用制御装置の能力が不足してソフトウェアの更新を行うことができなくなることも考えられる。この場合、ソフトウェアの更新が可能な車両用制御装置が必要となるが、車両における車両用制御装置の入れ替えは容易ではない。この問題を解決する手段として、車両に搭載済みの車両用制御装置に対して、制御装置を後から接続して足りない性能を補い、ソフトウェアの更新を可能にすることが考えられる。 Vehicles have a relatively long product life. Therefore, when the software of the vehicle control device is repeatedly updated, it is conceivable that the software cannot be updated due to the lack of capability of the vehicle control device for the updated software. In this case, a vehicle control device whose software can be updated is required, but it is not easy to replace the vehicle control device in the vehicle. As means for solving this problem, it is conceivable to connect a control device to the vehicle control device installed in the vehicle afterward to compensate for the lack of performance and to enable software update.

このように、車両に搭載済みの車両用制御装置に足りない性能を、制御装置を後から接続することで補う場合、以下のような要求が考えられる。制御装置の製品グレード別に、許可する機能を変更することで、個々の顧客が求める価格帯に合った製品グレードを複数設定できるようにする要求が考えられる。 In this way, when supplementing the insufficient performance of the vehicle control device already installed in the vehicle by connecting the control device later, the following requirements can be considered. It is conceivable that by changing the permitted functions for each product grade of the control device, it is possible to set multiple product grades that match the price range required by individual customers.

この開示のひとつの目的は、ソフトウェアの更新のために車両に搭載済みの車両用制御装置に足りない性能を、制御装置を後から接続することで補う場合に、制御装置の製品グレード別に、許可する機能を変更することを可能にする車両用制御装置、車両用システム、及び車両用制御方法を提供することにある。 One object of this disclosure is to provide a vehicle control device, a vehicle system, and a vehicle control method that make it possible to change the permitted functions for each product grade of the control device when supplementing the insufficient performance of the vehicle control device installed in the vehicle due to software update by connecting the control device later.

上記目的は独立請求項に記載の特徴の組み合わせにより達成され、また、下位請求項は、開示の更なる有利な具体例を規定する。特許請求の範囲に記載した括弧内の符号は、ひとつの態様として後述する実施形態に記載の具体的手段との対応関係を示すものであって、本開示の技術的範囲を限定するものではない。 The above objects are achieved by the combination of features stated in the independent claims, and the subclaims define further advantageous embodiments of the disclosure. The symbols in parentheses described in the claims indicate the corresponding relationship with specific means described in the embodiments described later as one aspect, and do not limit the technical scope of the present disclosure.

上記目的を達成するために、本開示の車両用制御装置は、車両に搭載されて複数の車載装置(34,35,36,37,38)の制御を行うことが可能な車両用制御装置であって、車両用制御装置に、制御に用いるソフトウェアの更新のために制御装置が新たに接続されて追加される場合に、個々の制御装置を識別するための端末識別情報を、車両用制御装置に接続される制御装置である接続制御装置(39)から取得する端末識別情報取得部(301)と、端末識別情報取得部で取得する端末識別情報から、制御装置に許可する機能のレベルである認証レベルと端末識別情報とを予め対応付けた対応関係をもとに決定される接続制御装置の認証レベルに応じて、接続制御装置に許可する機能を変更する機能制限部(304)と、端末識別情報取得部で取得する端末識別情報を、対応関係を格納した車両の外部のサーバ(2)に送信させる送信処理部(302)と、送信処理部で送信させた端末識別情報からサーバで対応関係をもとに決定される接続制御装置の認証レベルを取得する結果取得部(303)とを備え、機能制限部は、結果取得部で取得する認証レベルに応じて、接続制御装置に許可する機能を変更するものであって、対応関係には、認証レベルと端末識別情報とに加え、個々の車両用制御装置を識別するための車両側識別情報も予め対応付けられているものであって、認証レベルは、車両用制御装置への接続も許可しない接続不許可の認証レベルも含むものであり、送信処理部は、端末識別情報に加え、自装置にあたる車両用制御装置の車両側識別情報もサーバに送信させ、結果取得部は、送信処理部で送信させた端末識別情報と車両側識別情報とが対応関係で対応付けられていない場合には、接続不許可の認証レベルを取得する一方、送信処理部で送信させた端末識別情報と車両側識別情報とが対応関係で対応付けられている場合には、接続不許可の認証レベルよりもレベルの高い、接続不許可でない認証レベルを取得し、機能制限部は、結果取得部で取得する認証レベルが、接続不許可の認証レベルの場合には、車両用制御装置への接続を許可しない一方、結果取得部で取得する認証レベルが、接続不許可でない認証レベルの場合には、車両用制御装置への接続を許可するとともに、接続制御装置にその認証レベルに応じた機能を許可する。 In order to achieve the above object, a vehicle control device of the present disclosure is a vehicle control device that is mounted in a vehicle and capable of controlling a plurality of in-vehicle devices (34, 35, 36, 37, 38), and a terminal identification information acquisition unit (30) that acquires terminal identification information for identifying each control device from a connection control device (39) that is a control device connected to the vehicle control device when a control device is newly connected and added to the vehicle control device for updating software used for control. 1), a function restriction unit (304) that changes the function permitted to the connection control device according to the authentication level of the connection control device determined based on the correspondence relationship in which the authentication level, which is the level of the function permitted to the control device, and the terminal identification information are associated in advance from the terminal identification information acquired by the terminal identification information acquisition unit;A transmission processing unit (302) for transmitting the terminal identification information acquired by the terminal identification information acquisition unit to the server (2) outside the vehicle storing the correspondence relationship, and a result acquisition unit (303) for acquiring the authentication level of the connection control device determined by the server based on the correspondence relationship from the terminal identification information transmitted by the transmission processing unit. In addition to information, vehicle-side identification information for identifying each vehicle control device is associated in advance, and the authentication level includes an authentication level of connection disapproval that does not permit connection to the vehicle control device. The transmission processing unit causes the server to transmit not only the terminal identification information but also the vehicle-side identification information of the vehicle control device corresponding to the own device, and the result acquisition unit authenticates connection disapproval when the terminal identification information and the vehicle-side identification information transmitted by the transmission processing unit are not associated with each other. On the other hand, if the terminal identification information transmitted by the transmission processing unit and the vehicle-side identification information are associated with each other in a corresponding relationship, an authentication level that is higher than the connection disapproval authentication level and does not disallow connection is obtained, and the function restriction unit disallows connection to the vehicle control device when the authentication level obtained by the result acquisition unit is the connection disapproval authentication level, and permits connection to the vehicle control device when the authentication level obtained by the result acquisition unit is not the connection disapproval authentication level. , which permits the connection controller to function according to its authentication level.be.

また、上記目的を達成するために、本開示の車両用制御方法は、車両に搭載されて複数の車載装置(34,35,36,37,38)の制御を行うことが可能な車両用制御装置(30)に、制御に用いるソフトウェアの更新のために制御装置を新たに接続して追加する場合に、コンピュータにより実施される車両用制御方法であって、個々の制御装置を識別するための端末識別情報を、車両用制御装置に接続される制御装置である接続制御装置(39)から取得する端末識別情報取得ステップと、取得する端末識別情報から、制御装置に許可する機能のレベルである認証レベルと端末識別情報とを予め対応付けた対応関係をもとに決定される接続制御装置の認証レベルに応じて、接続制御装置に許可する機能を変更する機能制限ステップと、端末識別情報取得ステップで取得する端末識別情報を、対応関係を格納した車両の外部のサーバ(2)に送信させる送信処理ステップと、送信処理ステップで送信させた端末識別情報からサーバで対応関係をもとに決定される接続制御装置の認証レベルを取得する結果取得ステップとを含み、機能制限ステップでは、結果取得ステップで取得する認証レベルに応じて、接続制御装置に許可する機能を変更するものであって、対応関係には、認証レベルと端末識別情報とに加え、個々の車両用制御装置を識別するための車両側識別情報も予め対応付けられているものであって、認証レベルは、車両用制御装置への接続も許可しない接続不許可の認証レベルも含むものであり、送信処理ステップでは、端末識別情報に加え、自装置にあたる車両用制御装置の車両側識別情報もサーバに送信させ、結果取得ステップでは、送信処理ステップで送信させた端末識別情報と車両側識別情報とが対応関係で対応付けられていない場合には、接続不許可の認証レベルを取得する一方、送信処理ステップで送信させた端末識別情報と車両側識別情報とが対応関係で対応付けられている場合には、接続不許可の認証レベルよりもレベルの高い、接続不許可でない認証レベルを取得し、機能制限ステップでは、結果取得ステップで取得する認証レベルが、接続不許可の認証レベルの場合には、車両用制御装置への接続を許可しない一方、結果取得ステップで取得する認証レベルが、接続不許可でない認証レベルの場合には、車両用制御装置への接続を許可するとともに、接続制御装置にその認証レベルに応じた機能を許可する In order to achieve the above purpose, the control method for vehicles displayed in the present disclosed vehicle is compiled by adding a new control device to a vehicle control device (30) that can control multiple vehicle devices (34, 35, 36, 37,38, 38) on the vehicle to update the software used for control. Acquisition information for vehicles implemented by the tutor and the terminal identification information for identifying individual control devices is obtained from a connection control device (39), a control device connected to a vehicle control device.a terminal identification information acquisition step for, From the terminal identification information to be acquired, the function to be permitted to the connection control device is changed according to the authentication level of the connection control device determined based on the corresponding relationship in which the authentication level, which is the level of the function to be permitted to the control device, and the terminal identification information are associated in advance.Functional restrictiona step;A transmission processing step of transmitting the terminal identification information acquired in the terminal identification information acquisition step to a server (2) outside the vehicle storing the correspondence relationship, and a result acquisition step of acquiring the authentication level of the connection control device determined by the server based on the correspondence relationship from the terminal identification information transmitted in the transmission processing step.includesIn the function restriction step, the function permitted to the connection control device is changed according to the authentication level acquired in the result acquisition step. In addition to the authentication level and the terminal identification information, the corresponding relationship is associated with vehicle side identification information for identifying each vehicle control device in advance. If the terminal identification information transmitted in the transmission processing step and the vehicle-side identification information are not associated with each other in a corresponding relationship, the result acquisition step acquires a connection disapproval authentication level if the terminal identification information transmitted in the transmission processing step and the vehicle-side identification information are associated in a corresponding relationship. While not permitting connection to the vehicle control device, if the authentication level obtained in the result acquisition step is not a connection disapproval, it permits connection to the vehicle control device and permits the connection control device to perform a function corresponding to the authentication level..

これらによれば、車両用制御装置に接続される制御装置である接続制御装置の個々を識別するための端末識別情報を取得し、取得する端末識別情報から、制御装置に許可する機能のレベルである認証レベルと端末識別情報とを予め対応付けた対応関係をもとに決定される接続制御装置の認証レベルに応じて、接続制御装置に許可する機能を変更するので、制御装置の製品グレード別に、許可する機能を変更することが可能になる。また、この端末識別情報は、車両に搭載されて複数の車載装置の制御を行うことが可能な車両用制御装置に、制御に用いるソフトウェアの更新のために制御装置が新たに接続されて追加される場合に取得されるので、ソフトウェアの更新のために車両に搭載済みの車両用制御装置に足りない性能を、制御装置を後から接続することで補う場合に、制御装置の製品グレード別に、許可する機能を変更することが可能になる。 According to these, the terminal identification information for identifying each connection control device, which is a control device connected to the vehicle control device, is acquired, and from the terminal identification information acquired, the authentication level of the function permitted to the control device is determined based on the correspondence relationship in which the terminal identification information is associated with the authentication level of the connection control device in accordance with the authentication level of the connection control device. Further, this terminal identification information is acquired when a control device is newly connected to and added to a vehicle control device that is mounted on a vehicle and is capable of controlling a plurality of on-board devices in order to update software used for control. Therefore, when supplementing the lack of performance in the vehicle control device that is already mounted on the vehicle for software update by connecting the control device later, it is possible to change the permitted functions for each product grade of the control device.

また、上記目的を達成するために、本開示の車両用システムは、車両に搭載されて複数の車載装置(34,35,36,37,38)の制御を行うことが可能な、前述の車両用制御装置(30)と、車両用制御装置に、制御に用いるソフトウェアの更新のために新たに接続されて追加される制御装置である接続制御装置(39)とを含む。 In order to achieve the above object, the vehicle system of the present disclosure includes the aforementioned vehicle control device (30) which is mounted on a vehicle and is capable of controlling a plurality of vehicle-mounted devices (34, 35, 36, 37, 38), and a connection control device (39) which is a control device newly connected to and added to the vehicle control device for updating software used for control.

これによれば、前述の車両用制御装置を含むので、ソフトウェアの更新のために車両に搭載済みの車両用制御装置に足りない性能を、制御装置を後から接続することで補う場合に、制御装置の製品グレード別に、許可する機能を変更することが可能になる。 According to this, since the above-mentioned vehicle control device is included, when supplementing the insufficient performance of the vehicle control device already installed in the vehicle due to software update by connecting the control device later, it is possible to change the permitted function according to the product grade of the control device.

車両用システム1の概略的な構成の一例を示す図である。1 is a diagram showing an example of a schematic configuration of a vehicle system 1; FIG. サーバ2の概略的な構成の一例を示す図である。2 is a diagram showing an example of a schematic configuration of a server 2; FIG. 車両側ユニット3の概略的な構成の一例を示す図である。3 is a diagram showing an example of a schematic configuration of a vehicle-side unit 3; FIG. 統合ECU30の概略的な構成の一例を示す図である。2 is a diagram showing an example of a schematic configuration of an integrated ECU 30; FIG. 認証レベルに応じて追加ECU39に許可される機能の一例を説明するための図である。4 is a diagram for explaining an example of functions permitted to an additional ECU 39 according to an authentication level; FIG. 車両用システム1での接続時認証関連処理の流れの一例を示すシーケンス図である。4 is a sequence diagram showing an example of a flow of authentication-related processing at the time of connection in the vehicle system 1; FIG. 車両用システム1での接続解除関連処理の流れの一例を示すシーケンス図である。FIG. 3 is a sequence diagram showing an example of the flow of disconnection-related processing in the vehicle system 1;

図面を参照しながら、開示のための複数の実施形態を説明する。なお、説明の便宜上、複数の実施形態の間において、それまでの説明に用いた図に示した部分と同一の機能を有する部分については、同一の符号を付し、その説明を省略する場合がある。同一の符号を付した部分については、他の実施形態における説明を参照することができる。 A number of embodiments for the disclosure are described with reference to the drawings. For convenience of explanation, parts having the same functions as the parts shown in the drawings used in the previous explanation may be denoted by the same reference numerals, and the explanation thereof may be omitted among a plurality of embodiments. The description in the other embodiments can be referred to for the parts with the same reference numerals.

(実施形態1)
<車両用システム1の概略構成>
以下、本実施形態について図面を用いて説明する。まず、図1を用いて、車両用システム1の説明を行う。図1に示すように、車両用システム1は、サーバ2及び複数の車両の各々で用いられる車両側ユニット3を含んでいる。 (Embodiment 1)
<Schematic Configuration of Vehicle System 1>
Hereinafter, this embodiment will be described with reference to the drawings. First, the vehicle system 1 will be described with reference to FIG. As shown in FIG. 1, the vehicle system 1 includes a server 2 and vehicle-side units 3 used in each of a plurality of vehicles.

サーバ2は、車両の外部に設置されたサーバ装置である。サーバ2は、公衆通信網に接続されている。サーバ2は、車両側ユニット3から送信される情報を、公衆通信網を介して取得する。また、サーバ2は、公衆通信網を介して、車両側ユニット3に情報を送信する。 The server 2 is a server device installed outside the vehicle. Server 2 is connected to a public communication network. The server 2 acquires information transmitted from the vehicle-side unit 3 via a public communication network. The server 2 also transmits information to the vehicle-side unit 3 via the public communication network.

サーバ2は、例えばプロセッサ、メモリ、I/O、これらを接続するバスを備えるマイクロコンピュータ(以下、マイコン)を主体として構成される。サーバ2は、メモリに記憶された制御プログラムを実行することで、後述の追加ECU39に許可する機能のレベル(以下、認証レベル)の決定に関する各種の処理を実行する。ここで言うところのメモリは、コンピュータによって読み取り可能なプログラム及びデータを非一時的に格納する非遷移的実体的記憶媒体(non-transitory tangible storage medium)である。また、非遷移的実体的記憶媒体は、半導体メモリ又は磁気ディスクなどによって実現される。 The server 2 is mainly composed of a microcomputer (hereinafter referred to as a microcomputer) having, for example, a processor, memory, I/O, and a bus connecting them. The server 2 executes the control program stored in the memory to execute various processes related to determining the level of functions (hereinafter referred to as the authentication level) to be permitted to the additional ECU 39 described later. Memory, as used herein, is a non-transitory tangible storage medium for non-transitory storage of computer-readable programs and data. A non-transitional physical storage medium is realized by a semiconductor memory, a magnetic disk, or the like.

サーバ2は、1つのサーバ装置からなるものであってもよいし、複数のサーバ装置からなっているものであってもよい。サーバ2は、クラウド上に配置されたサーバ装置であってもよい。サーバ2の詳細については後述する。 The server 2 may consist of one server device, or may consist of a plurality of server devices. The server 2 may be a server device arranged on the cloud. Details of the server 2 will be described later.

車両側ユニット3は、前述したように車両で用いられる。車両側ユニット3は、サーバ2との間で通信を行うことが可能となっている。車両側ユニット3の詳細については後述する。 The vehicle-side unit 3 is used in a vehicle as described above. The vehicle-side unit 3 can communicate with the server 2 . Details of the vehicle-side unit 3 will be described later.

<サーバ2の概略構成>
続いて、図2を用いて、サーバ2の概略的な構成について説明を行う。図2に示すように、サーバ2は、登録部20、情報取得部21、認証レベル決定部22、解除処理部23、及び応答部24を機能ブロックとして備えている。なお、サーバ2が実行する機能の一部又は全部を、1つ或いは複数のIC等によりハードウェア的に構成してもよい。また、サーバ2が備える機能ブロックの一部又は全部は、プロセッサによるソフトウェアの実行とハードウェア部材の組み合わせによって実現されてもよい。 <Schematic configuration of server 2>
Next, a schematic configuration of the server 2 will be described with reference to FIG. As shown in FIG. 2, the server 2 includes a registration unit 20, an information acquisition unit 21, an authentication level determination unit 22, a cancellation processing unit 23, and a response unit 24 as functional blocks. Note that part or all of the functions executed by the server 2 may be configured as hardware using one or a plurality of ICs or the like. Also, some or all of the functional blocks provided by the server 2 may be implemented by a combination of software executed by a processor and hardware members.

登録部20は、後述の統合ECU30の個々を識別するための識別情報(以下、車両側ID)と、後述の追加ECU39の個々を識別するための識別情報(以下、端末ID)と、認証レベルとの対応関係(以下、登録対応関係)が予め格納されている。この登録対応関係は、例えばディーラー等の端末で正規の手順を踏んで予め格納されるものとする。この登録対応関係は、複数の車両で用いられる後述の統合ECU30のそれぞれについて、登録部20に格納されるものとする。つまり、サーバ2は、複数の統合ECU30に共有のものとなっている。なお、登録部20としては、例えば不揮発性メモリを用いればよい。 The registration unit 20 stores in advance identification information (hereinafter referred to as vehicle ID) for identifying each integrated ECU 30 described later, identification information (hereinafter referred to as terminal ID) for identifying each additional ECU 39 described later, and a correspondence relationship between authentication levels (hereinafter referred to as registration correspondence relationship). It is assumed that this registered correspondence relationship is stored in advance through regular procedures, for example, on a terminal of a dealer or the like. It is assumed that this registered correspondence relationship is stored in the registration unit 20 for each of the integrated ECUs 30 described later used in a plurality of vehicles. In other words, the server 2 is shared by the multiple integrated ECUs 30 . Note that a nonvolatile memory, for example, may be used as the registration unit 20 .

情報取得部21は、車両側ユニット3から送信されてくる情報を取得する。車両側ユニット3から送信されてくる情報としては、認証要求,解除要求等がある。認証要求は、端末IDの認証の要求である。一例として、認証要求には、認証要求を行う車両側ユニット3の統合ECU30の車両側IDと、その統合ECU30に接続される追加ECU39の端末IDとを含む構成とすればよい。解除要求は、登録部20に格納されている登録対応関係の解除の要求である。解除要求には、少なくとも解除要求を行う車両側ユニット3の統合ECU30の車両側IDを含む構成とすればよい。なお、解除要求に、この統合ECU30と接続されている追加ECU39の端末IDも含む構成としてもよい。 The information acquisition section 21 acquires information transmitted from the vehicle-side unit 3 . Information transmitted from the vehicle-side unit 3 includes an authentication request, a cancellation request, and the like. The authentication request is a request for authentication of the terminal ID. As an example, the authentication request may include the vehicle-side ID of the integrated ECU 30 of the vehicle-side unit 3 that issues the authentication request and the terminal ID of the additional ECU 39 connected to the integrated ECU 30 . The cancellation request is a request for canceling the registered correspondence stored in the registration unit 20 . The release request may include at least the vehicle-side ID of the integrated ECU 30 of the vehicle-side unit 3 that issues the release request. The cancellation request may include the terminal ID of the additional ECU 39 connected to the integrated ECU 30 .

認証レベル決定部22は、情報取得部21で車両側ユニット3から認証要求を取得した場合に、認証要求に含まれる端末ID及び車両側IDを用いて、端末IDの認証及び認証レベルの決定を行う。一例として、認証要求に含まれる端末ID及び車両側IDの組み合わせが、登録部20に格納されている登録対応関係に存在する場合に、端末IDの認証成立とする。端末IDの認証成立の場合、接続許可とし、登録部20に格納されている登録対応関係において、認証要求に含まれる端末ID及び車両側IDに対応付けられている認証レベルを、その端末IDの追加ECU39についての認証レベルと決定する。 When the information acquisition unit 21 acquires an authentication request from the vehicle-side unit 3, the authentication level determination unit 22 uses the terminal ID and the vehicle-side ID included in the authentication request to authenticate the terminal ID and determine the authentication level. As an example, when the combination of the terminal ID and the vehicle side ID included in the authentication request exists in the registration correspondence relationship stored in the registration unit 20, the authentication of the terminal ID is established. When the terminal ID is authenticated, the connection is permitted, and the authentication level associated with the terminal ID and the vehicle side ID included in the authentication request is determined as the authentication level for the additional ECU 39 of the terminal ID in the registration correspondence relationship stored in the registration part 20. - 特許庁

一方、認証要求に含まれる端末ID及び車両側IDの組み合わせが、登録部20に格納されている登録対応関係に存在しない場合に、端末IDの認証不成立とする。このような場合の例としては、認証要求に含まれる端末IDが、登録部20に格納されている登録対応関係に含まれていない場合が挙げられる。追加ECU39が正規の製品でなく、この追加ECU39の端末IDが登録部20に格納されていない場合に、このような状況が生じる。また、認証要求に含まれる端末IDが、認証要求に含まれる車両側IDと異なる車両側IDと、登録部20に格納されている登録対応関係で対応付けられている場合も挙げられる。追加ECU39が他車両からの盗難品であって、この追加ECU39の端末IDがこの他車両の統合ECU30の車両側IDと既に対応付けられている場合に、このような状況が生じる。端末IDの認証不成立の場合、接続不許可とし、接続不許可にあたる認証レベルを決定する。 On the other hand, if the combination of the terminal ID and the vehicle ID included in the authentication request does not exist in the registered correspondence relationship stored in the registration unit 20, the authentication of the terminal ID fails. An example of such a case is a case where the terminal ID included in the authentication request is not included in the registration correspondence stored in the registration unit 20 . This situation occurs when the additional ECU 39 is not a legitimate product and the terminal ID of the additional ECU 39 is not stored in the registration unit 20 . In addition, the terminal ID included in the authentication request may be associated with a vehicle-side ID different from the vehicle-side ID included in the authentication request in the registered correspondence relationship stored in the registration unit 20 . Such a situation occurs when the additional ECU 39 is a stolen item from another vehicle and the terminal ID of this additional ECU 39 is already associated with the vehicle-side ID of the integrated ECU 30 of this other vehicle. If the terminal ID authentication fails, the connection is not permitted, and the authentication level corresponding to the connection refusal is determined.

以降では、認証レベルがA~Dの4段階である場合を例に挙げて説明を行う。認証レベルA~Dのレベルの高さは、A>B>C>Dの関係にあるものとする。つまり、認証レベルAが最もレベルが高く、認証レベルDが最もレベルが低い。最もレベルが低い認証レベルDが、接続不許可にあたる認証レベルとする。認証レベルA~Cは、接続許可にあたる認証レベルとする。 In the following description, a case in which there are four authentication levels A to D will be described as an example. It is assumed that the heights of authentication levels A to D have a relationship of A>B>C>D. That is, authentication level A is the highest level, and authentication level D is the lowest level. The authentication level D, which is the lowest level, is set as the authentication level corresponding to disapproval of connection. Authentication levels A to C are authentication levels corresponding to connection permission.

解除処理部23は、情報取得部21で車両側ユニット3から解除要求を取得した場合に、解除要求に含まれる車両側IDを用いて、登録部20に格納されている登録対応関係の解除を行う。一例として、登録部20に格納されている登録対応関係のうち、解除要求に含まれる車両側IDが含まれる登録対応関係を解除すればよい。例えば、解除要求に含まれる車両側IDが含まれる登録対応関係を登録部20から消去することで、この登録対応関係を解除すればよい。 When the information acquisition unit 21 acquires a cancellation request from the vehicle-side unit 3, the cancellation processing unit 23 cancels the registration correspondence relationship stored in the registration unit 20 using the vehicle-side ID included in the cancellation request. As an example, among the registered correspondences stored in the registration unit 20, the registered correspondence that includes the vehicle-side ID included in the cancellation request may be canceled. For example, the registered correspondence relationship including the vehicle-side ID included in the cancellation request may be deleted from the registration unit 20 to cancel the registered correspondence relationship.

なお、車両側IDの代わりに、解除要求に含まれる端末IDを用いて、登録部20に格納されている登録対応関係のうち、この端末IDが含まれる登録対応関係を解除する構成としてもよい。しかしながら、他車両から盗難した追加ECU39を用いた不正な登録対応関係の解除の可能性を低減する観点からは、車両側IDを用いる構成の方が好ましい。 Note that the terminal ID included in the cancellation request may be used instead of the vehicle-side ID to cancel the registered correspondence that includes this terminal ID among the registered correspondences stored in the registration unit 20 . However, from the viewpoint of reducing the possibility of illegal cancellation of the registered correspondence relationship using the additional ECU 39 stolen from another vehicle, the configuration using the vehicle-side ID is preferable.

応答部24は、認証レベル決定部22で決定した認証レベルを、認証要求の送信元の車両側ユニット3に応答する。また、応答部24は、解除処理部23で解除処理を行った場合に、解除済みであることを、解除要求の送信元に車両側ユニット3に応答する。 The response unit 24 responds with the authentication level determined by the authentication level determination unit 22 to the vehicle-side unit 3 that has transmitted the authentication request. Further, when the cancellation processing is performed by the cancellation processing unit 23, the response unit 24 responds to the transmission source of the cancellation request to the vehicle-side unit 3 that the cancellation has been completed.

<車両側ユニット3の概略構成>
続いて、図3を用いて、車両側ユニット3の概略的な構成について説明を行う。図3に示すように、車両側ユニット3は、統合ECU30、通信モジュール31、車内LAN32、コネクタ33、メータMID(Multi Information Display)34、CID(Center Information Display)35、HUD(Head-Up Display)装置36、スピーカ37、エアコンユニット38、及び追加ECU39を含んでいる。 <Schematic configuration of vehicle-side unit 3>
Next, a schematic configuration of the vehicle-side unit 3 will be described with reference to FIG. As shown in FIG. 3, the vehicle-side unit 3 includes an integrated ECU 30, a communication module 31, an in-vehicle LAN 32, a connector 33, a meter MID (Multi Information Display) 34, a CID (Center Information Display) 35, a HUD (Head-Up Display) device 36, a speaker 37, an air conditioner unit 38, and an additional ECU 39.

通信モジュール31は、車載の通信モジュールである。通信モジュール31は、公衆通信網に接続することで、サーバ2と通信を行う。通信モジュール31としては、例えばDCM(Data Communication Module)を用いればよい。車内LAN32は、車載のECU等の車載機器同士を通信可能に接続する車内ネットワークである。本実施形態の例では、統合ECU30とエアコンユニット38とが車内LAN32に接続される。 The communication module 31 is an in-vehicle communication module. The communication module 31 communicates with the server 2 by connecting to a public communication network. As the communication module 31, for example, a DCM (Data Communication Module) may be used. The in-vehicle LAN 32 is an in-vehicle network that communicably connects in-vehicle devices such as an in-vehicle ECU. In the example of this embodiment, the integrated ECU 30 and the air conditioner unit 38 are connected to the in-vehicle LAN 32 .

コネクタ33は、統合ECU30と他機器とを情報のやり取り可能に接続するコネクタである。本実施形態では、コネクタ33は、統合ECU30と追加ECU39とを接続する。コネクタ33は、機器同士を接続する際に利用可能な通信規格を変更可能なものとする。ここで言うところの通信規格とは、機器同士の通信に用いる規格であって、インターフェース規格と言い換えることもできる。 The connector 33 is a connector that connects the integrated ECU 30 and other devices so that information can be exchanged. In this embodiment, the connector 33 connects the integrated ECU 30 and the additional ECU 39 . The connector 33 can change the communication standard that can be used when connecting devices. The communication standard referred to here is a standard used for communication between devices, and can be rephrased as an interface standard.

本実施形態では、コネクタ33として、例えばUSB(Universal Serial Bus) Type‐Cのコネクタを用いる場合を例に挙げて説明を行う。本実施形態では、コネクタ33は、通信規格として、例えばUSB2.0と、USB3.0と、映像信号の転送のための通信規格(以下、映像ライン)とが利用可能となっている。映像ラインの一例としては、HDMI(登録商標),DisplayPort等が挙げられる。 In this embodiment, a case where a USB (Universal Serial Bus) Type-C connector, for example, is used as the connector 33 will be described as an example. In this embodiment, the connector 33 can use, for example, USB 2.0, USB 3.0, and a communication standard for video signal transfer (hereinafter referred to as video line) as communication standards. Examples of video lines include HDMI (registered trademark), DisplayPort, and the like.

メータMID34は、車室内のうちの例えば運転席の正面に設けられるディスプレイである。一例として、メータMID34は、メータパネルに設けられる構成とすればよい。メータMID34としては、液晶ディスプレイ、有機ELディスプレイ等を用いることができる。一例として、メータMID34には、主にメータ情報等の安全安心機能の情報が表示される。このメータMID34が車載装置に相当する。 The meter MID 34 is a display provided inside the vehicle, for example, in front of the driver's seat. As an example, the meter MID 34 may be configured to be provided on the meter panel. A liquid crystal display, an organic EL display, or the like can be used as the meter MID 34 . As an example, the meter MID 34 mainly displays safety/security function information such as meter information. This meter MID34 corresponds to an in-vehicle device.

CID35は、車室内のうちの例えばセンタクラスタに設けられるディスプレイである。CID35としては、液晶ディスプレイ、有機ELディスプレイ等を用いることができる。一例として、CID35には、主にナビ情報,オーディオ情報等のマルチメディア機能の情報が表示される。ナビ情報は、ナビゲーション機能に関する情報であって、例えば経路案内画像等である。オーディオ情報は、オーディオ機器の操作に関する画像等である。CID35には、空調情報等も表示される。空調情報は、エアコンユニット38の操作に関する画像等である。このCID35も車載装置に相当する。 The CID 35 is a display provided in, for example, a center cluster inside the vehicle. A liquid crystal display, an organic EL display, or the like can be used as the CID 35 . As an example, the CID 35 mainly displays multimedia function information such as navigation information and audio information. The navigation information is information relating to the navigation function, and is, for example, a route guidance image. The audio information is an image or the like related to the operation of the audio equipment. Air conditioning information and the like are also displayed on the CID 35 . The air-conditioning information is an image or the like regarding the operation of the air-conditioning unit 38 . This CID 35 also corresponds to an in-vehicle device.

HUD装置36は、車室内のうちの例えばインストルメントパネルに設けられる。HUD装置36は、プロジェクタによって形成される表示像を、投影部材としてのフロントウインドシールドに既定された投影領域に投影する。フロントウインドシールドによって車室内側に反射された画像の光は、運転席に着座するドライバによって知覚される。これにより、ドライバは、フロントウインドシールドの前方にて結像される表示像の虚像を、前景の一部と重ねて視認可能となる。表示像の一例としては、例えば車速等の自車状態を示す画像がある。なお、HUD装置36が表示像を投影する投影部材は、フロントウインドシールドに限らず、透光性コンバイナであっても構わない。このHUD装置36も車載装置に相当する。 The HUD device 36 is provided, for example, on an instrument panel in the vehicle interior. The HUD device 36 projects the display image formed by the projector onto a predetermined projection area on the front windshield as a projection member. The image light reflected by the front windshield to the interior of the vehicle is perceived by the driver seated in the driver's seat. As a result, the driver can visually recognize the virtual image of the display image formed in front of the front windshield overlapping a part of the foreground. An example of the display image is an image showing the state of the vehicle, such as vehicle speed. The projection member onto which the HUD device 36 projects the display image is not limited to the front windshield, and may be a translucent combiner. This HUD device 36 also corresponds to an in-vehicle device.

スピーカ37は、車室内に設けられる複数のスピーカ群である。このスピーカが音声出力装置に相当する。本実施形態の例では、スピーカ37は、ステレオ(つまり、2.0ch)音声と5.1chサラウンド音響とのいずれにも対応可能な数及び配置となっているものとする。以下では、ステレオ音声を2.0ch出力と呼び、5.1chサラウンド音響を5.1ch出力と呼ぶ。2.0ch出力では、2つのスピーカが用いられる。5.1ch出力では、6つのスピーカが用いられる。例えば5.1ch出力では、車両の前方側の左右の2つと、車両の前方側の中央の1つと、車両の後方側の左右の1つと、サブウーファー1つとの計6つのスピーカが用いられる構成とすればよい。なお、2.0ch出力では、5.1ch出力で用いる6つのスピーカのうち、車両の前方側の左右の2つを用いる構成とすればよい。このスピーカ37も車載装置に相当する。 The speaker 37 is a group of speakers provided inside the vehicle. This speaker corresponds to the audio output device. In the example of the present embodiment, the number and arrangement of the speakers 37 are such that they can support both stereo (that is, 2.0ch) sound and 5.1ch surround sound. Hereinafter, stereo sound will be referred to as 2.0ch output, and 5.1ch surround sound will be referred to as 5.1ch output. Two speakers are used for 2.0ch output. Six speakers are used for 5.1ch output. For example, in the case of 5.1ch output, a total of six speakers, two on the left and right in front of the vehicle, one in the center on the front of the vehicle, one on the left and right in the rear of the vehicle, and one subwoofer, may be used. For 2.0ch output, of the six speakers used for 5.1ch output, two on the front left and right sides of the vehicle may be used. This speaker 37 also corresponds to an in-vehicle device.

エアコンユニット38は、車室内の空調を行うためのユニットである。エアコンユニット38は、インストルメントパネル等に設けられた吹出口から車室内に冷風又は温風を供給することで空調を行う。このエアコンユニット38も車載装置に相当する。 The air conditioner unit 38 is a unit for air conditioning the interior of the vehicle. The air conditioner unit 38 air-conditions the vehicle by supplying cool air or warm air from an outlet provided in an instrument panel or the like. This air conditioner unit 38 also corresponds to an in-vehicle device.

統合ECU30は、複数の車載装置を制御する機能を集約した電子制御装置である。統合ECU30は、車両に搭載されているものとする。本実施形態の例では、統合ECU30は、メータMID34、CID35、HUD装置36、及びスピーカ37といった車載装置と直接的に接続されている。また、統合ECU30は、エアコンユニット38といった車載装置と車内LAN32を介して間接的に接続されている。 The integrated ECU 30 is an electronic control unit that integrates functions for controlling a plurality of in-vehicle devices. It is assumed that the integrated ECU 30 is mounted on the vehicle. In the example of this embodiment, the integrated ECU 30 is directly connected to in-vehicle devices such as a meter MID 34 , a CID 35 , a HUD device 36 and a speaker 37 . In addition, the integrated ECU 30 is indirectly connected to an in-vehicle device such as an air conditioner unit 38 via an in-vehicle LAN 32 .

統合ECU30は、メータMID34、CID35、及びHUD装置36に種々の画像を表示させることが可能となっている。統合ECU30は、スピーカ37から音声を出力させることが可能となっている。統合ECU30は、車内LAN32を介してエアコンユニット38から空調を行うことが可能となっている。 The integrated ECU 30 can cause the meter MID 34, CID 35, and HUD device 36 to display various images. The integrated ECU 30 can output sound from the speaker 37 . The integrated ECU 30 can perform air conditioning from an air conditioner unit 38 via the in-vehicle LAN 32 .

統合ECU30は、車内LAN32に接続されており、車内LAN32に接続されるセンサ,他のECU等からの情報が入力される。車内LAN32を介して統合ECU30に入力される情報としては、例えば車速及び走行距離等の車両情報,デジタルテレビの映像情報,スマートフォンと連携するスマートフォン連携情報等が挙げられる。統合ECU30は、入力情報と出力情報とを一括管理する構成であって、各種情報の入力元と出力先とを自由に組み替え可能となっている。 The integrated ECU 30 is connected to the in-vehicle LAN 32 and receives information from sensors, other ECUs, etc. connected to the in-vehicle LAN 32 . The information input to the integrated ECU 30 via the in-vehicle LAN 32 includes, for example, vehicle information such as vehicle speed and travel distance, video information of digital television, and smart phone link information linked with a smart phone. The integrated ECU 30 collectively manages input information and output information, and is capable of freely rearranging the input sources and output destinations of various types of information.

統合ECU30は、例えばプロセッサ、メモリ、I/O、これらを接続するバスを備えるマイクロコンピュータ(以下、マイコン)を主体として構成される。統合ECU30は、メモリに記憶された制御プログラムを実行することで、複数の車載装置の制御に関する各種の処理を実行する。この統合ECU30が車両用制御装置に相当する。ここで言うところのメモリは、コンピュータによって読み取り可能なプログラム及びデータを非一時的に格納する非遷移的実体的記憶媒体(non-transitory tangible storage medium)である。また、非遷移的実体的記憶媒体は、半導体メモリ又は磁気ディスクなどによって実現される。 The integrated ECU 30 is mainly composed of a microcomputer (hereinafter referred to as a microcomputer) having, for example, a processor, memory, I/O, and a bus connecting them. The integrated ECU 30 executes a control program stored in the memory to execute various processes related to control of a plurality of in-vehicle devices. The integrated ECU 30 corresponds to a vehicle control device. Memory, as used herein, is a non-transitory tangible storage medium for non-transitory storage of computer-readable programs and data. A non-transitional physical storage medium is realized by a semiconductor memory, a magnetic disk, or the like.

統合ECU30は、ソフトウェア上で、複数の車載装置の制御に関するアプリケーションを実行することで、複数の車載装置の制御を行うことが可能となっている。このソフトウェアは、例えば基本ソフトウェア(以下、OS)であるものとして以降の説明を行う。このOSは、統合ECU30のスペックが動作環境を満たす範囲内で、更新プログラムによってアップデート,アップグレード等の更新を行うことが可能とすればよい。なお、更新プログラムは、例えば通信モジュール31を介して車両外部から取得する構成とすればよい。ここで言うところの動作環境は、推奨環境と置き換えてもよい。また、スペックは、性能と言い換えることができる。統合ECU30のスペックとは、例えばプロセッサのクロック数,メモリの容量等である。なお、統合ECU30は、複数のOSを動作させる構成としてもよい。 The integrated ECU 30 can control a plurality of in-vehicle devices by executing an application related to control of the plurality of in-vehicle devices on software. In the following description, this software is, for example, basic software (OS). This OS may be capable of being updated, upgraded, etc., by an update program within a range in which the specifications of the integrated ECU 30 satisfy the operating environment. Note that the update program may be configured to be acquired from outside the vehicle via the communication module 31, for example. The operating environment referred to here may be replaced with the recommended environment. Also, specs can be rephrased as performance. The specifications of the integrated ECU 30 are, for example, the number of clocks of the processor, memory capacity, and the like. Note that the integrated ECU 30 may be configured to operate multiple OSs.

追加ECU39は、統合ECU30にOSのアップグレードのために新たに接続されて追加される制御装置である。この追加ECU39が接続制御装置に相当する。統合ECU30と追加ECU39との接続は、コネクタ33を介して行われる。アップグレードのための接続とは、統合ECU30のスペックではOSの更新を行うことができないが追加ECU39を新たに接続することでOSの更新が可能になる場合の接続を指している。追加ECU39は、例えば単体では用いられないものとすればよい。単体では用いられないとは、他の機器に接続されない状態では機能を果さないことを指す。言い換えると、単体では機能を発揮しないことを指す。 The additional ECU 39 is a control device that is newly connected to and added to the integrated ECU 30 for upgrading the OS. This additional ECU 39 corresponds to a connection control device. A connection between the integrated ECU 30 and the additional ECU 39 is made via a connector 33 . The connection for upgrading refers to the connection in the case where the specification of the integrated ECU 30 does not allow the OS to be updated, but the OS can be updated by newly connecting the additional ECU 39 . The additional ECU 39 may not be used alone, for example. Not being used alone means that it does not function without being connected to other devices. In other words, it means that it does not function by itself.

一例として、統合ECU30は車両の車室内外に露出しない位置に内蔵されており、統合ECU30と接続するためのコネクタ33の接続部分が車室内に露出している構成とすればよい。そして、追加ECU39は、車室内において、後付けでコネクタ33に接続される構成とすればよい。なお、コネクタ33の接続部分は、車室内から容易に開閉可能な収納スペース内であれば、車室内に露出している構成に限らない。例えば、見栄えを考慮して、コネクタ33の接続部分が例えばダッシュボードの収納スペースに設けられ、後付けでコネクタ33に接続される追加ECU39を収納スペースの収納できる構成としてもよい。 As an example, the integrated ECU 30 may be built in a position not exposed to the outside of the vehicle interior, and the connecting portion of the connector 33 for connecting with the integrated ECU 30 may be exposed to the interior of the vehicle. The additional ECU 39 may be configured to be connected to the connector 33 as a retrofit in the vehicle interior. Note that the connecting portion of the connector 33 is not limited to being exposed in the vehicle interior as long as it is in a storage space that can be easily opened and closed from the vehicle interior. For example, in consideration of the appearance, the connecting portion of the connector 33 may be provided in a storage space of the dashboard, for example, and the additional ECU 39 connected to the connector 33 may be stored in the storage space.

<統合ECU30の概略構成>
続いて、図4を用いて、統合ECU30の概略的な構成について説明を行う。本実施形態では、便宜上、統合ECU30の構成のうち、追加ECU39が接続される場合の追加ECU39に許可する機能の変更に関連する構成以外の説明を省略する。図4に示すように、統合ECU30は、端末ID取得部301、送信処理部302、結果取得部303、機能制限部304、及び保存部305を機能ブロックとして備えている。なお、統合ECU30が実行する機能の一部又は全部を、1つ或いは複数のIC等によりハードウェア的に構成してもよい。また、統合ECU30が備える機能ブロックの一部又は全部は、プロセッサによるソフトウェアの実行とハードウェア部材の組み合わせによって実現されてもよい。 <Schematic Configuration of Integrated ECU 30>
Next, a schematic configuration of the integrated ECU 30 will be described with reference to FIG. 4 . In this embodiment, for the sake of convenience, the description of the configuration of the integrated ECU 30 other than the configuration related to the change of the function permitted to the additional ECU 39 when the additional ECU 39 is connected will be omitted. As shown in FIG. 4, the integrated ECU 30 includes a terminal ID acquisition section 301, a transmission processing section 302, a result acquisition section 303, a function restriction section 304, and a storage section 305 as functional blocks. A part or all of the functions executed by the integrated ECU 30 may be configured as hardware using one or a plurality of ICs or the like. Also, some or all of the functional blocks included in the integrated ECU 30 may be implemented by a combination of software executed by a processor and hardware members.

端末ID取得部301は、統合ECU30に、OSの更新のために追加ECU39が新たに接続されて追加される場合に、この追加ECU39からこの追加ECU39の端末IDを取得する。この端末IDが端末識別情報に相当し、端末ID取得部301が端末識別情報取得部に相当する。端末ID取得部301は、コネクタ33に追加ECU39が接続されたことを検出した場合に、追加ECU39に端末IDの要求を行い、追加ECU39から端末IDを取得すればよい。コネクタ33に追加ECU39が接続されたことは、例えばプルダウン抵抗等をもとに検出すればよい。 A terminal ID acquisition unit 301 acquires the terminal ID of the additional ECU 39 from the additional ECU 39 when the additional ECU 39 is newly connected and added to the integrated ECU 30 for updating the OS. This terminal ID corresponds to the terminal identification information, and the terminal ID obtaining section 301 corresponds to the terminal identification information obtaining section. When detecting that the additional ECU 39 is connected to the connector 33 , the terminal ID obtaining section 301 may request the additional ECU 39 for the terminal ID and obtain the terminal ID from the additional ECU 39 . The connection of the additional ECU 39 to the connector 33 may be detected based on, for example, a pull-down resistor.

送信処理部302は、追加ECU39が新たに接続される場合に、端末ID取得部301で取得する端末ID及び自装置としての統合ECU30の車両側IDを含む認証要求を、通信モジュール31を介してサーバ2に送信させる。なお、車両側IDは、統合ECU30の個々を識別できる識別情報であればよい。車両側IDは、統合ECU30の機器IDに限らず、統合ECU30が搭載される車両の車両IDとしてもよい。この車両側IDが車両側識別情報に相当する。 When the additional ECU 39 is newly connected, the transmission processing unit 302 transmits an authentication request including the terminal ID acquired by the terminal ID acquisition unit 301 and the vehicle side ID of the integrated ECU 30 as its own device to the server 2 via the communication module 31. In addition, the vehicle side ID should just be the identification information which can identify each integrated ECU30. The vehicle-side ID is not limited to the device ID of the integrated ECU 30, and may be the vehicle ID of the vehicle in which the integrated ECU 30 is mounted. This vehicle-side ID corresponds to vehicle-side identification information.

結果取得部303は、送信処理部302で送信させた認証要求に対する応答として、サーバ2で決定される追加ECU39の認証レベルを、通信モジュール31を介して取得する。言い換えると、送信処理部302で送信させた端末IDからサーバ2で登録対応関係をもとに決定される追加ECU39の認証レベルを取得する。 The result acquisition unit 303 acquires the authentication level of the additional ECU 39 determined by the server 2 via the communication module 31 as a response to the authentication request transmitted by the transmission processing unit 302 . In other words, from the terminal ID transmitted by the transmission processing unit 302, the server 2 acquires the authentication level of the additional ECU 39 determined based on the registered correspondence relationship.

結果取得部303は、送信処理部302で送信させた端末IDと車両側IDとが登録対応関係で対応付けられていない場合には、接続不許可の認証レベルを取得する。結果取得部303は、送信処理部302で送信させた端末IDが、送信処理部302で送信させた車両側IDと異なる車両側IDと登録対応関係で対応付けられている場合にも、接続不許可の認証レベルを取得する。接続不許可の認証レベルは、本実施形態では認証レベルDである。 If the terminal ID transmitted by the transmission processing unit 302 and the vehicle-side ID are not associated with each other in a registered correspondence relationship, the result acquisition unit 303 acquires an authentication level of connection disapproval. A result acquisition part 303 acquires a connection disapproval authentication level even when the terminal ID transmitted by the transmission processing part 302 is associated with a vehicle-side ID different from the vehicle-side ID transmitted by the transmission processing part 302 in a registered correspondence relationship. The authentication level for connection disapproval is authentication level D in this embodiment.

一方、結果取得部303は、送信処理部302で送信させた端末IDと車両側IDとが登録対応関係で対応付けられている場合には、接続不許可の認証レベルDよりもレベルの高い、接続不許可でない認証レベルを取得する。接続不許可でない認証レベルは、本実施形態では認証レベルA~Cである。結果取得部303は、この認証レベルA~Cのうち、登録対応関係において、送信処理部302で送信させた端末IDと車両側IDとの組に対応付けられている認証レベルを取得することになる。 On the other hand, when the terminal ID transmitted by the transmission processing part 302 and the vehicle side ID are associated with each other in a registered correspondence relationship, the result acquisition part 303 acquires an authentication level not disallowing connection, which is higher than the authentication level D disallowing connection. Authentication levels that do not prohibit connection are authentication levels A to C in this embodiment. The result acquisition unit 303 acquires the authentication level associated with the combination of the terminal ID and the vehicle ID transmitted by the transmission processing unit 302 in the registered correspondence relation among the authentication levels A to C.

機能制限部304は、結果取得部303で取得する認証レベルに応じて、追加ECU39に許可する機能を変更する。機能制限部304は、結果取得部303で取得する認証レベルが、接続不許可の認証レベルの場合には、追加ECU39の統合ECU30への接続を許可しない。この場合、例えば機能制限部304は、コネクタ33の電気的な接続を遮断し、追加ECU39が統合ECU30と接続されないようにすればよい。一方、機能制限部304は、結果取得部303で取得する認証レベルが、接続不許可でない認証レベルの場合には、追加ECU39の統合ECU30への接続を許可するとともに、追加ECU39にその認証レベルに応じた機能を許可する。 The function restricting unit 304 changes the functions permitted to the additional ECU 39 according to the authentication level acquired by the result acquiring unit 303 . The function restriction unit 304 does not permit connection of the additional ECU 39 to the integrated ECU 30 when the authentication level acquired by the result acquisition unit 303 is an authentication level that does not permit connection. In this case, for example, the function restriction unit 304 cuts off the electrical connection of the connector 33 so that the additional ECU 39 is not connected to the integrated ECU 30 . On the other hand, when the authentication level acquired by the result acquiring unit 303 is an authentication level that does not prohibit connection, the function restricting unit 304 permits the additional ECU 39 to be connected to the integrated ECU 30, and permits the additional ECU 39 to perform functions corresponding to the authentication level.

ここで、図5を用いて、認証レベルに応じて追加ECU39に許可される機能の一例について説明を行う。図5の例では、機能を大きく分けて、「表示」,「音声出力」,「データ転送」,「車内LANアクセス」に分類して説明を行う。「表示」は、メータMID34、CID35、及びHUD装置36といったディスプレイでの表示に関する機能である。「音声出力」は、スピーカ37での音声出力に関する機能である。「データ転送」は、コネクタ33を介したデータ転送に関する機能である。「車内LANアクセス」は、車内LAN32への接続に関する機能である。 Here, an example of the functions permitted to the additional ECU 39 according to the authentication level will be described with reference to FIG. 5 . In the example of FIG. 5, the functions are roughly classified into "display", "audio output", "data transfer", and "vehicle LAN access". “Display” is a function related to display on displays such as the meter MID 34 , CID 35 and HUD device 36 . “Audio output” is a function related to audio output from the speaker 37 . “Data transfer” is a function related to data transfer via the connector 33 . “In-vehicle LAN access” is a function related to connection to the in-vehicle LAN 32 .

まず、認証レベルが最も低い認証レベルDの場合には、追加ECU39の統合ECU30への接続も許可されず、全ての機能が不許可となる。認証レベルが認証レベルDの次に低い認証レベルCの場合には、「表示」の機能については、メータMID34、CID35、及びHUD装置36のうちのCID35の画面一部のみの表示を許可する。また、車両が走行中である場合に表示を許可しない走行強制の対象とする。認証レベルCの場合には、「音声出力」の機能については、スピーカ37の音声出力を2ch出力及び5.1ch出力のうちの2ch出力のみ許可する。認証レベルCの場合には、「データ転送」の機能については、コネクタ33を介したデータ転送に用いる通信規格としてUSB2.0の使用を許可する。認証レベルCの場合には、「車内LANアクセス」の機能については、車内LAN32への接続を許可しない。 First, in the case of authentication level D, which is the lowest authentication level, connection of the additional ECU 39 to the integrated ECU 30 is not permitted, and all functions are not permitted. If the authentication level is authentication level C, which is the next lowest authentication level after authentication level D, only a part of the screen of meter MID 34, CID 35, and CID 35 of HUD device 36 is allowed to be displayed for the "display" function. In addition, it is subject to forced running, in which display is not permitted when the vehicle is running. In the case of authentication level C, only 2ch output of 2ch output and 5.1ch output is permitted for the function of "audio output". In the case of authentication level C, the use of USB 2.0 as a communication standard for data transfer via the connector 33 is permitted for the “data transfer” function. In the case of authentication level C, connection to the in-vehicle LAN 32 is not permitted for the function of "in-vehicle LAN access".

認証レベルが認証レベルCの次に低い認証レベルBの場合には、「表示」の機能については、メータMID34、CID35、及びHUD装置36のうちのCID35の画面全体の表示までを許可する。また、車両が走行中である場合に表示を許可しない走行強制の対象とする。認証レベルBの場合には、「音声出力」の機能については、スピーカ37の音声出力を5.1ch出力まで許可する。認証レベルBの場合には、「データ転送」の機能については、コネクタ33を介したデータ転送に用いる通信規格としてUSB3.0の使用を許可する。認証レベルBの場合には、「車内LANアクセス」の機能については、車内LAN32への接続を一部許可する。一例として、車内LAN32を介したエアコンユニット38の制御を許可する。エアコンユニット38の制御は、音声認識による制御まで許可する構成としてもよい。なお、エアコンユニット38の制御時は、エアコンユニット38を制御するための制御マイコンを介して制御する構成としてもよい。 In the case of authentication level B, which is the next lowest authentication level after authentication level C, the display of the entire screen of meter MID 34, CID 35, and CID 35 of HUD device 36 is permitted for the function of "display". In addition, it is subject to forced running, in which display is not permitted when the vehicle is running. In the case of authentication level B, the "audio output" function permits audio output from the speaker 37 up to 5.1ch output. In the case of authentication level B, the use of USB 3.0 as a communication standard for data transfer via the connector 33 is permitted for the "data transfer" function. In the case of authentication level B, connection to the in-vehicle LAN 32 is partially permitted for the function of "in-vehicle LAN access". As an example, control of the air conditioner unit 38 via the in-vehicle LAN 32 is permitted. The control of the air conditioner unit 38 may be configured to permit even control by voice recognition. It should be noted that the air conditioner unit 38 may be controlled via a control microcomputer for controlling the air conditioner unit 38 .

認証レベルが最も高い認証レベルAの場合には、「表示」の機能については、メータMID34、CID35、及びHUD装置36の全てでの表示を許可する。また、車両が走行中である場合に表示を許可しない走行強制の対象としない。認証レベルAの場合には、「音声出力」の機能については、スピーカ37の音声出力を5.1ch出力まで許可する。認証レベルAの場合には、「データ転送」の機能については、コネクタ33を介したデータ転送に用いる通信規格としてUSB2.0及び映像ラインの使用を許可する。認証レベルAの場合には、「車内LANアクセス」の機能については、車内LAN32への接続を全面的に許可する。一例として、車内LAN32を介したエアコンユニット38の制御だけでなく、車内LAN32からの情報の取得,サンルーフの開閉制御等まで許可する。 In the case of the authentication level A with the highest authentication level, the display in all of meter MID34, CID35, and the HUD apparatus 36 is permitted about the function of a "display." Also, when the vehicle is running, it is not subject to forced running that does not permit display. In the case of authentication level A, for the "audio output" function, audio output from the speaker 37 is permitted up to 5.1ch output. In the case of authentication level A, for the “data transfer” function, USB 2.0 and video line are permitted as communication standards used for data transfer via the connector 33 . In the case of authentication level A, connection to the in-vehicle LAN 32 is entirely permitted for the function of "in-vehicle LAN access". As an example, not only control of the air conditioner unit 38 via the in-vehicle LAN 32 but also acquisition of information from the in-vehicle LAN 32, opening/closing control of the sunroof, and the like are permitted.

前述したように、機能制限部304は、結果取得部303で取得する認証レベルに応じて、統合ECU30と追加ECU39とを接続する際に利用可能な通信規格を変更する。例えば、認証レベルが高くなるのに応じて、単位時間あたりにデータ転送可能な容量を増加させるように通信規格を変更する。これによれば、追加ECU39の製品グレードに応じて、利用可能な通信規格を変更することが可能になる。よって、例えば追加ECU39の製品グレードが高くなるのに応じて、単位時間あたりにデータ転送可能な容量を増加させるように通信規格を変更することが可能になる。 As described above, function restriction unit 304 changes the communication standard that can be used when connecting integrated ECU 30 and additional ECU 39 according to the authentication level acquired by result acquisition unit 303 . For example, as the authentication level increases, the communication standard is changed so as to increase the data transferable capacity per unit time. According to this, according to the product grade of additional ECU39, it becomes possible to change the communication standard which can be used. Therefore, for example, as the product grade of the additional ECU 39 increases, it becomes possible to change the communication standard so as to increase the data transferable capacity per unit time.

前述したように、機能制限部304は、結果取得部303で取得する認証レベルが高くなるのに応じて、車内LAN32への接続を許可する。これによれば、追加ECU39の製品グレードが高くなるのに応じて、車内LAN32への接続を許可することが可能になる。 As described above, the function restriction unit 304 permits connection to the in-vehicle LAN 32 as the authentication level acquired by the result acquisition unit 303 increases. According to this, it becomes possible to permit connection to the in-vehicle LAN 32 as the product grade of the additional ECU 39 increases.

前述したように、機能制限部304は、結果取得部303で取得する認証レベルが高くなるのに応じて、情報表示が可能なディスプレイ(つまり、表示装置)を増加させる。これによれば、追加ECU39の製品グレードが高くなるのに応じて、情報表示が可能なディスプレイを増加させることが可能になる。 As described above, the function restriction unit 304 increases the number of displays (that is, display devices) capable of displaying information as the authentication level acquired by the result acquisition unit 303 increases. This makes it possible to increase the number of displays capable of displaying information as the product grade of the additional ECU 39 increases.

前述したように、機能制限部304は、結果取得部303で取得する認証レベルが高くなるのに応じて、音声を出力するのに利用可能なスピーカ37を増加させる。これによれば、追加ECU39の製品グレードが高くなるのに応じて、音声を出力するのに利用可能なスピーカ37を増加させることが可能になる。 As described above, the function restricting unit 304 increases the number of speakers 37 that can be used to output audio as the authentication level acquired by the result acquiring unit 303 increases. According to this, it becomes possible to increase the number of speakers 37 that can be used for outputting sound as the product grade of the additional ECU 39 increases.

以上のように、追加ECU39の製品グレード別に、許可する機能を変更することで、顧客が求める価格帯にあった追加ECU39のグレードを複数設定することが可能になる。 As described above, by changing the permitted functions for each product grade of the additional ECU 39, it is possible to set a plurality of grades of the additional ECU 39 that meet the price range desired by the customer.

また、端末ID取得部301は、結果取得部303で接続不許可でない認証レベルを取得し、統合ECU30への追加ECU39の接続が許可された接続許可の後も、所定のトリガの検出ごとに、自装置にあたる統合ECU30に接続される追加ECU39から端末IDを取得する。所定のトリガは、例えば車両の起動とすればよい。車両の起動は、例えばIG電源がオンになったことをもとに検出したりすればよい。 In addition, the terminal ID acquisition part 301 acquires an authentication level that does not prohibit connection in the result acquisition part 303, and acquires the terminal ID from the additional ECU 39 connected to the integrated ECU 30 corresponding to the terminal ID each time a predetermined trigger is detected even after the connection of the additional ECU 39 to the integrated ECU 30 is permitted. The predetermined trigger may be, for example, activation of the vehicle. Activation of the vehicle may be detected based on, for example, that the IG power supply is turned on.

保存部305は、送信処理部302から送信させた認証要求に対して、結果取得部303で接続不許可でない認証レベルを取得した場合に、その認証レベルを取得する際に送信処理部302で送信させた認証要求に含まれていた端末IDを保存しておく。保存部305としては、不揮発性メモリを用いればよい。なお、保存部305は、この端末IDと結果取得部303で取得した認証レベルとを紐付けて保存しておく構成としてもよい。 A storage part 305 stores the terminal ID included in the authentication request transmitted by the transmission processing part 302 when acquiring the authentication level, when the result acquisition part 303 acquires an authentication level not disallowing connection in response to the authentication request transmitted from the transmission processing part 302.例文帳に追加A nonvolatile memory may be used as the storage unit 305 . Note that the storage unit 305 may store the terminal ID and the authentication level acquired by the result acquisition unit 303 in association with each other.

機能制限部304は、前述の接続許可の後は、所定のトリガの検出ごとに端末ID取得部301で取得する端末IDが、保存部305に保存されている端末IDと一致する場合に、統合ECU30への追加ECU39の接続の許可を維持する。一方、端末ID取得部301で取得する端末IDが、保存部305に保存されている端末IDと一致しない場合には、統合ECU30への追加ECU39の接続を許可しない。接続を許可しない場合には、機能制限部304が、コネクタ33の電気的な接続を遮断し、追加ECU39が統合ECU30と接続されないようにすればよい。つまり、前述の接続許可の後は、サーバ2ではなく、統合ECU30で端末IDの認証を行う。 After the aforementioned connection permission, the function restriction unit 304 maintains the connection permission of the additional ECU 39 to the integrated ECU 30 when the terminal ID acquired by the terminal ID acquisition unit 301 upon detection of a predetermined trigger matches the terminal ID stored in the storage unit 305. On the other hand, if the terminal ID acquired by the terminal ID acquisition unit 301 does not match the terminal ID stored in the storage unit 305, connection of the additional ECU 39 to the integrated ECU 30 is not permitted. If the connection is not permitted, the function restriction unit 304 cuts off the electrical connection of the connector 33 so that the additional ECU 39 is not connected to the integrated ECU 30 . That is, after the connection is permitted as described above, the terminal ID is authenticated not by the server 2 but by the integrated ECU 30 .

これによれば、一旦サーバ2で端末IDの認証が成立した場合には、統合ECU30で端末IDの認証を行うことになる。よって、所定のトリガの検出ごとにサーバ2で端末IDの認証を行う構成に比べて、サーバ2での処理負荷及びサーバ2との通信負荷を低減することが可能になる。 According to this, once the server 2 authenticates the terminal ID, the integrated ECU 30 authenticates the terminal ID. Therefore, it is possible to reduce the processing load on the server 2 and the communication load with the server 2 compared to a configuration in which the server 2 authenticates the terminal ID each time a predetermined trigger is detected.

なお、保存部305に端末IDと認証レベルとを紐付けて保存する構成の場合には、端末IDの認証に加えて、認証レベルの決定も所定のトリガの検出ごとに統合ECU30で行う構成としてもよい。保存部305に端末IDと認証レベルとを紐付けて保存しない構成の場合には、所定のトリガの検出ごとに統合ECU30で端末IDの認証を行い、認証が成立する場合に認証レベルも維持する構成とすればよい。 In the case of a configuration in which the terminal ID and the authentication level are linked and stored in the storage unit 305, in addition to the authentication of the terminal ID, the integrated ECU 30 may determine the authentication level each time a predetermined trigger is detected. In the case of a configuration in which the terminal ID and the authentication level are not linked and stored in the storage unit 305, the terminal ID is authenticated by the integrated ECU 30 each time a predetermined trigger is detected, and the authentication level is maintained when the authentication is established.

また、送信処理部302は、統合ECU30への追加ECU39の接続を解除する場合(以下、接続解除時)に、解除要求を、通信モジュール31を介してサーバ2へ送信させる。接続解除時であることは、例えばディーラー等で正規の手順で接続解除を行うための入力が行われたことを検出するなどして送信処理部302が判断すればよい。 Further, the transmission processing unit 302 transmits a disconnection request to the server 2 via the communication module 31 when disconnecting the additional ECU 39 from the integrated ECU 30 (hereinafter, when disconnecting). The transmission processing unit 302 may determine that it is time to disconnect, for example, by detecting that an input for disconnecting according to a regular procedure has been made at a dealer or the like.

結果取得部303は、送信処理部302から送信させた解除要求に対してサーバ2から返信される解除済みの応答を取得する。結果取得部303で解除済みの応答を取得した場合であって、且つ、保存部305に端末IDが保存されている場合には、保存部305に保存している端末IDを消去する構成とすればよい。保存部305に端末IDと認証レベルとが紐付けて保存されている場合には、この端末IDに加えてこの認証レベルも保存部305から消去する構成とすればよい。また、結果取得部303で解除済みの応答を取得した場合には、機能制限部304が、コネクタ33の電気的な接続を遮断し、追加ECU39が統合ECU30と接続されないようにすればよい。 The result acquisition unit 303 acquires a canceled response returned from the server 2 in response to the cancellation request transmitted from the transmission processing unit 302 . When the result acquisition unit 303 acquires a release response and the terminal ID is stored in the storage unit 305, the terminal ID stored in the storage unit 305 may be deleted. When the terminal ID and the authentication level are stored in the storage unit 305 in association with each other, the authentication level may be deleted from the storage unit 305 in addition to the terminal ID. Also, when the result acquisition unit 303 acquires a response indicating that the cancellation has been completed, the function restriction unit 304 cuts off the electrical connection of the connector 33 so that the additional ECU 39 is not connected to the integrated ECU 30 .

<車両用システム1での接続時認証関連処理>
続いて、図6のシーケンス図を用いて、車両用システム1での統合ECU30への追加ECU39の接続時の認証に関連する処理(以下、接続時認証関連処理)の流れの一例について説明を行う。図6の例では、端末IDの認証が成立する場合を例に挙げて説明を行う。図6の処理は、追加ECU39がコネクタ33に接続されたことを端末ID取得部301で検出した場合に開始すればよい。なお、接続が統合ECU30で許可されるまでの仮接続の段階では、例えばUSB2.0といった予め定められた通信規格で統合ECU30と追加ECU39とのデータ転送を行う構成とすればよい。コンピュータによって接続時認証関連処理に含まれるステップが実行されることが、車両用制御方法が実行されることに相当する。 <Processing related to authentication at the time of connection in vehicle system 1>
Next, an example of the flow of processing related to authentication when connecting the additional ECU 39 to the integrated ECU 30 in the vehicle system 1 (hereinafter referred to as authentication-related processing at connection) will be described using the sequence diagram of FIG. 6 . In the example of FIG. 6, the case where the authentication of the terminal ID is established will be described as an example. The process of FIG. 6 may be started when the terminal ID acquisition unit 301 detects that the additional ECU 39 is connected to the connector 33 . In the temporary connection stage until the connection is permitted by the integrated ECU 30, data transfer between the integrated ECU 30 and the additional ECU 39 may be performed according to a predetermined communication standard such as USB 2.0. Execution of the steps included in the connection authentication-related process by the computer corresponds to execution of the vehicle control method.

まず、t1では、統合ECU30の端末ID取得部301が、コネクタ33を介して追加ECU39に端末IDの要求を行う。t2では、端末IDの要求を受けた追加ECU39が、コネクタ33を介して自装置の端末IDを統合ECU30に送信する。これにより、端末ID取得部301が追加ECU39から端末IDを取得する。 First, at t1, the terminal ID acquisition unit 301 of the integrated ECU 30 requests the additional ECU 39 for the terminal ID via the connector 33 . At t<b>2 , the additional ECU 39 that has received the terminal ID request transmits the terminal ID of its own device to the integrated ECU 30 via the connector 33 . As a result, the terminal ID acquisition unit 301 acquires the terminal ID from the additional ECU 39 .

t3では、統合ECU30の送信処理部302が、通信モジュール31を介してサーバ2に認証要求を送信させる。t4では、サーバ2の認証レベル決定部22が、認証要求に含まれる端末IDを用いて認証及び認証レベルの決定を行う。t5では、サーバ2の応答部24が、通信モジュール31を介して統合ECU30に認証レベルを応答する。統合ECU30では、結果取得部303が、サーバ2から応答された認証レベルを取得する。 At t3, the transmission processing unit 302 of the integrated ECU 30 causes the server 2 to transmit an authentication request via the communication module 31 . At t4, the authentication level determining unit 22 of the server 2 performs authentication and authentication level determination using the terminal ID included in the authentication request. At t5, the response unit 24 of the server 2 responds to the integrated ECU 30 via the communication module 31 with the authentication level. In integrated ECU 30 , result acquisition unit 303 acquires the authentication level returned from server 2 .

t6では、統合ECU30の機能制限部304が、結果取得部303で取得した認証レベルに応じて、追加ECU39に機能を許可する。t7では、端末ID取得部301が、t2で取得していた端末IDを保存部305に保存する。なお、図6のシーケンス図では、端末IDの認証が成立する場合の例を示したが、t4で端末IDの認証が成立しなかった場合は、t6で統合ECU30への追加ECU39の接続を許可せずに処理を終了する。この場合、機能制限部304が、コネクタ33の電気的な接続を遮断し、追加ECU39が統合ECU30と接続されないようにする。 At t<b>6 , the function restriction unit 304 of the integrated ECU 30 permits the additional ECU 39 to function according to the authentication level acquired by the result acquisition unit 303 . At t7, the terminal ID acquisition unit 301 stores the terminal ID acquired at t2 in the storage unit 305. FIG. The sequence diagram of FIG. 6 shows an example in which the terminal ID is authenticated. However, if the terminal ID is not authenticated at t4, connection of the additional ECU 39 to the integrated ECU 30 is not permitted at t6, and the process ends. In this case, the function limiting unit 304 cuts off the electrical connection of the connector 33 so that the additional ECU 39 is not connected to the integrated ECU 30 .

t8では、端末ID取得部301が、IG電源のオンといったトリガを検出する。t9では、端末ID取得部301が、コネクタ33を介して追加ECU39に端末IDの要求を行う。t10では、端末IDの要求を受けた追加ECU39が、コネクタ33を介して自装置の端末IDを統合ECU30に送信する。これにより、端末ID取得部301が追加ECU39から端末IDを取得する。 At t8, the terminal ID acquisition unit 301 detects a trigger such as turning on the IG power. At t9, the terminal ID acquisition unit 301 requests a terminal ID from the additional ECU 39 via the connector 33 . At t<b>10 , the additional ECU 39 that has received the request for the terminal ID transmits the terminal ID of its own device to the integrated ECU 30 via the connector 33 . As a result, the terminal ID acquisition unit 301 acquires the terminal ID from the additional ECU 39 .

t11では、統合ECU30の例えば機能制限部304が、t10で取得した端末IDが保存部305に保存しているか否かで端末IDの認証を行う。t12では、端末IDの認証が成立した場合に、機能制限部304が、統合ECU30と追加ECU39との接続を維持する。端末IDの認証が成立した場合、機能制限部304は、認証レベルも維持すればよい。以降は、トリガを検出するごとに、t8~t12の処理を繰り返す。 At t11, for example, the function restriction unit 304 of the integrated ECU 30 authenticates the terminal ID based on whether the terminal ID acquired at t10 is stored in the storage unit 305 or not. At t12, the function restriction unit 304 maintains the connection between the integrated ECU 30 and the additional ECU 39 when the terminal ID is authenticated. If the terminal ID is successfully authenticated, the function restriction unit 304 may also maintain the authentication level. After that, the processing from t8 to t12 is repeated each time a trigger is detected.

なお、図6のシーケンス図では、端末IDの認証が成立する場合の例を示したが、t11で端末IDの認証が成立しなかった場合は、t12で統合ECU30への追加ECU39の接続を許可せずに処理を終了すればよい。t11で端末IDの認証が成立しなくなる状況としては、車両のIG電源オフ時に不正に追加ECU39が付け替えられた場合が挙げられる。 The sequence diagram of FIG. 6 shows an example in which the terminal ID is authenticated. However, if the terminal ID is not authenticated at t11, the connection of the additional ECU 39 to the integrated ECU 30 is not permitted at t12, and the process ends. A situation in which the authentication of the terminal ID is not established at t11 includes the case where the additional ECU 39 is illegally replaced while the IG power source of the vehicle is turned off.

<車両用システム1での接続解除関連処理>
続いて、図7のシーケンス図を用いて、車両用システム1での統合ECU30とECU39との接続解除に関連する処理(以下、接続解除関連処理)の流れの一例について説明を行う。図7の処理は、例えばディーラー等で正規の手順で接続解除を行うための入力が行われたことを統合ECU30で検出した場合に開始すればよい。 <Processing Related to Disconnection in Vehicle System 1>
Next, an example of the flow of processing related to disconnection between the integrated ECU 30 and the ECU 39 in the vehicle system 1 (hereinafter referred to as disconnection related processing) will be described using the sequence diagram of FIG. 7 . The process of FIG. 7 may be started, for example, when the integrated ECU 30 detects that an input has been made for disconnection according to a regular procedure at a dealer or the like.

まず、t21では、統合ECU30の送信処理部302が、通信モジュール31を介してサーバ2に解除要求を送信させる。t22では、サーバ2の解除処理部23が、解除要求に含まれる車両側IDを用いて、登録部20に格納されている登録対応関係のうちの、この車両側IDが含まれる登録対応関係の解除を行う。 First, at t<b>21 , the transmission processing unit 302 of the integrated ECU 30 causes the server 2 to transmit a release request via the communication module 31 . At t22, the cancellation processing unit 23 of the server 2 uses the vehicle-side ID included in the cancellation request to cancel the registered correspondence containing the vehicle-side ID among the registered correspondences stored in the registration unit 20.

t23では、サーバ2の応答部24が、通信モジュール31を介して統合ECU30に解除済みであることを応答する。統合ECU30では、結果取得部303が、サーバ2から応答された解除済みである通知を取得する。t24では、統合ECU30の機能制限部304が、コネクタ33の電気的な接続を遮断し、追加ECU39が統合ECU30と接続されないようにする。この際、統合ECU30は、サーバ2での統合ECU30と追加ECU39との登録対応関係が解除されたことを示す表示を前述のディスプレイに表示させればよい。 At t23, the response unit 24 of the server 2 responds to the integrated ECU 30 via the communication module 31 that the release has been completed. In the integrated ECU 30 , the result acquisition unit 303 acquires the notification from the server 2 indicating that the cancellation has been completed. At t<b>24 , the function limiting unit 304 of the integrated ECU 30 cuts off the electrical connection of the connector 33 so that the additional ECU 39 is not connected to the integrated ECU 30 . At this time, the integrated ECU 30 may cause the aforementioned display to display an indication that the registered correspondence between the integrated ECU 30 and the additional ECU 39 in the server 2 has been cancelled.

<実施形態1のまとめ>
実施形態1の構成によれば、統合ECU30に接続される追加ECU39の個々を識別するための端末IDを取得し、取得する端末IDから決定される追加ECU39の認証レベルに応じて、追加ECU39に許可する機能を変更するので、追加ECU39の製品グレード別に、許可する機能を変更することが可能になる。また、この端末IDは、統合ECU30に、制御に用いるソフトウェアの更新のために追加ECU39が新たに接続されて追加される場合に取得される。よって、ソフトウェアの更新のために車両に搭載済みの車両用制御装置に足りない性能を、制御装置を後から接続することで補う場合に、制御装置の製品グレード別に、許可する機能を変更することが可能になる。 <Summary of Embodiment 1>
According to the configuration of the first embodiment, the terminal ID for identifying each of the additional ECUs 39 connected to the integrated ECU 30 is acquired, and the function to be permitted to the additional ECU 39 is changed according to the authentication level of the additional ECU 39 determined from the acquired terminal ID. Also, this terminal ID is acquired when an additional ECU 39 is newly connected to and added to the integrated ECU 30 for updating software used for control. Therefore, when supplementing the insufficient performance of the vehicle control device installed in the vehicle for software update by connecting the control device later, it becomes possible to change the permitted functions according to the product grade of the control device.

また、実施形態1の構成によれば、端末IDの認証及び認証レベルの決定に用いる登録対応関係を格納するサーバ2が、複数の統合ECU30に共有のものであるので、セキュリティ性をより高めることが可能になる。詳しくは、以下の通りである。ある車両(以下、第1の車両)に搭載された統合ECU30に紐付けられた追加ECU39を盗難して他の車両(以下、第2の車両)に搭載された統合ECU30に接続しようとした場合でも、サーバ2には登録対応関係が格納済みであるために、登録対応関係で紐付けられている統合ECU30以外に追加ECU39を接続することができなくなる。 Further, according to the configuration of the first embodiment, the server 2 that stores the registration correspondence relationship used for terminal ID authentication and authentication level determination is shared by a plurality of integrated ECUs 30, so security can be further enhanced. Details are as follows. Even if an additional ECU 39 linked to an integrated ECU 30 mounted on a certain vehicle (hereinafter referred to as a first vehicle) is stolen and an attempt is made to connect it to an integrated ECU 30 mounted on another vehicle (hereinafter referred to as a second vehicle), the additional ECU 39 cannot be connected to anything other than the integrated ECU 30 linked by the registered correspondence since the server 2 has already stored the registered correspondence.

なお、機能制限部304が許可する機能は、実施形態1で述べた機能に限らない。例えば、実施形態1で述べた機能の一部であってもよいし、他の機能であってもよい。また、機能制限部304が制御を行うことが可能な車載装置も、実施形態1で述べた車載装置に限らない。例えば、実施形態1で述べた車載装置の一部であってもよいし、他の車載装置であってもよい。 Note that the functions permitted by the function restriction unit 304 are not limited to the functions described in the first embodiment. For example, it may be part of the functions described in the first embodiment, or may be other functions. Further, the in-vehicle device that can be controlled by the function restriction unit 304 is not limited to the in-vehicle device described in the first embodiment. For example, it may be a part of the in-vehicle device described in the first embodiment, or may be another in-vehicle device.

(実施形態2)
実施形態1では、統合ECU30と追加ECU39との接続はコネクタ33を介した有線接続である構成を示したが、必ずしもこれに限らない。例えば、統合ECU30と追加ECU39との接続は無線通信による接続であってもよい。この場合、統合ECU30と追加ECU39との接続は、近距離無線通信によるものとすればよい。追加ECU39は、車両において用いられる構成とすればよい。また、認証レベルに応じて通信規格を変更する場合には、この近距離無線通信に利用することができる通信規格を変更する構成とすればよい。この場合、例えば認証レベルが高くなるのに応じて、単位時間あたりにデータ転送可能な容量を増加させるように通信規格を変更する構成とすればよい。 (Embodiment 2)
In the first embodiment, the connection between the integrated ECU 30 and the additional ECU 39 is a wired connection via the connector 33, but the configuration is not necessarily limited to this. For example, the connection between the integrated ECU 30 and the additional ECU 39 may be a connection through wireless communication. In this case, the connection between the integrated ECU 30 and the additional ECU 39 may be established by short-range wireless communication. The additional ECU 39 may be configured to be used in a vehicle. Further, when changing the communication standard according to the authentication level, the configuration may be such that the communication standard that can be used for this short-range wireless communication is changed. In this case, for example, as the authentication level increases, the communication standard may be changed so as to increase the amount of data that can be transferred per unit time.

(実施形態3)
実施形態1では、車両用システム1にサーバ2を含む構成を示したが、必ずしもこれに限らない。例えば、車両用システム1にサーバ2を含まない構成としてもよい。この場合、統合ECU30が、登録部20、認証レベル決定部22、及び解除処理部23と同様の機能を担う機能ブロックを備える一方、送信処理部302及び結果取得部303を省く構成とすればよい。そして、統合ECU30で端末IDの認証及び認証レベルの決定を行う構成とすればよい。また、この場合、保存部305の代わりに登録部20を備える構成とすればよい。 (Embodiment 3)
Although the configuration including the server 2 in the vehicle system 1 is shown in the first embodiment, the configuration is not necessarily limited to this. For example, the vehicle system 1 may be configured without the server 2 . In this case, the integrated ECU 30 may include functional blocks that perform the same functions as the registration unit 20, the authentication level determination unit 22, and the cancellation processing unit 23, but the transmission processing unit 302 and the result acquisition unit 303 may be omitted. Then, the integrated ECU 30 may authenticate the terminal ID and determine the authentication level. Also, in this case, the configuration may include the registration unit 20 instead of the storage unit 305 .

なお、本開示は、上述した実施形態に限定されるものではなく、請求項に示した範囲で種々の変更が可能であり、異なる実施形態にそれぞれ開示された技術的手段を適宜組み合わせて得られる実施形態についても本開示の技術的範囲に含まれる。また、本開示に記載の制御部及びその手法は、コンピュータプログラムにより具体化された1つ乃至は複数の機能を実行するようにプログラムされたプロセッサを構成する専用コンピュータにより、実現されてもよい。あるいは、本開示に記載の装置及びその手法は、専用ハードウェア論理回路により、実現されてもよい。もしくは、本開示に記載の装置及びその手法は、コンピュータプログラムを実行するプロセッサと1つ以上のハードウェア論理回路との組み合わせにより構成された1つ以上の専用コンピュータにより、実現されてもよい。また、コンピュータプログラムは、コンピュータにより実行されるインストラクションとして、コンピュータ読み取り可能な非遷移有形記録媒体に記憶されていてもよい。 The present disclosure is not limited to the above-described embodiments, and various modifications are possible within the scope of the claims, and embodiments obtained by appropriately combining technical means disclosed in different embodiments are also included in the technical scope of the present disclosure. The controller and techniques described in this disclosure may also be implemented by a special purpose computer comprising a processor programmed to perform one or more functions embodied by a computer program. Alternatively, the apparatus and techniques described in this disclosure may be implemented by dedicated hardware logic circuitry. Alternatively, the apparatus and techniques described in this disclosure may be implemented by one or more special purpose computers configured by a combination of a processor executing a computer program and one or more hardware logic circuits. The computer program may also be stored as computer-executable instructions on a computer-readable non-transitional tangible recording medium.

1 車両用表示システム、2 サーバ、3 車両側ユニット、20 登録部、21 情報取得部、22 認証レベル決定部、23 解除処理部、24 応答部、30 統合ECU(車両用制御装置)、31 通信モジュール、32 車内LAN(車内ネットワーク)、33 コネクタ、34 メータMID(車載装置)、35 CID(車載装置)、36 HUD装置(車載装置)、37 スピーカ(車載装置)、38 エアコンユニット(車載装置)、39 追加ECU(接続制御装置)、301 端末ID取得部(端末識別情報取得部)、302 送信処理部、303 結果取得部、304 機能制限部、305 保存部 1 vehicle display system, 2 server, 3 vehicle side unit, 20 registration unit, 21 information acquisition unit, 22 authentication level determination unit, 23 cancellation processing unit, 24 response unit, 30 integrated ECU (vehicle control device), 31 communication module, 32 vehicle LAN (vehicle network), 33 connector, 34 meter MID (vehicle device), 35 CID (vehicle device), 36 HUD device (vehicle device), 37 speaker ( in-vehicle device), 38 air conditioner unit (in-vehicle device), 39 additional ECU (connection control device), 301 terminal ID acquisition unit (terminal identification information acquisition unit), 302 transmission processing unit, 303 result acquisition unit, 304 function restriction unit, 305 storage unit

Claims (10)

車両に搭載されて複数の車載装置(34,35,36,37,38)の制御を行うことが可能な車両用制御装置であって、
前記車両用制御装置に、前記制御に用いるソフトウェアの更新のために制御装置が新たに接続されて追加される場合に、個々の前記制御装置を識別するための端末識別情報を、前記車両用制御装置に接続される前記制御装置である接続制御装置(39)から取得する端末識別情報取得部(301)と、
前記端末識別情報取得部で取得する前記端末識別情報から、前記制御装置に許可する機能のレベルである認証レベルと前記端末識別情報とを予め対応付けた対応関係をもとに決定される前記接続制御装置の前記認証レベルに応じて、前記接続制御装置に許可する機能を変更する機能制限部(304)と、
前記端末識別情報取得部で取得する前記端末識別情報を、前記対応関係を格納した前記車両の外部のサーバ(2)に送信させる送信処理部(302)と、
前記送信処理部で送信させた前記端末識別情報から前記サーバで前記対応関係をもとに決定される前記接続制御装置の前記認証レベルを取得する結果取得部(303)とを備え、
前記機能制限部は、前記結果取得部で取得する前記認証レベルに応じて、前記接続制御装置に許可する機能を変更するものであって、
前記対応関係には、前記認証レベルと前記端末識別情報とに加え、個々の前記車両用制御装置を識別するための車両側識別情報も予め対応付けられているものであって、
前記認証レベルは、前記車両用制御装置への接続も許可しない接続不許可の認証レベルも含むものであり、
前記送信処理部は、前記端末識別情報に加え、自装置にあたる前記車両用制御装置の前記車両側識別情報も前記サーバに送信させ、
前記結果取得部は、前記送信処理部で送信させた前記端末識別情報と前記車両側識別情報とが前記対応関係で対応付けられていない場合には、前記接続不許可の前記認証レベルを取得する一方、前記送信処理部で送信させた前記端末識別情報と前記車両側識別情報とが前記対応関係で対応付けられている場合には、前記接続不許可の前記認証レベルよりもレベルの高い、前記接続不許可でない前記認証レベルを取得し、
前記機能制限部は、前記結果取得部で取得する前記認証レベルが、前記接続不許可の前記認証レベルの場合には、前記車両用制御装置への接続を許可しない一方、前記結果取得部で取得する前記認証レベルが、前記接続不許可でない前記認証レベルの場合には、前記車両用制御装置への接続を許可するとともに、前記接続制御装置にその認証レベルに応じた機能を許可する車両用制御装置。 A vehicle control device mounted on a vehicle and capable of controlling a plurality of on-vehicle devices (34, 35, 36, 37, 38),
a terminal identification information acquisition unit (301) for acquiring terminal identification information for identifying each control device from a connection control device (39), which is the control device connected to the vehicle control device, when a control device is newly connected to the vehicle control device for updating software used for control;
a function restriction unit (304) for changing the function permitted to the connection control device according to the authentication level of the connection control device determined from the terminal identification information acquired by the terminal identification information acquisition unit, based on a correspondence relationship in which an authentication level, which is the level of the function permitted to the control device, and the terminal identification information are associated in advance;
a transmission processing unit (302) for transmitting the terminal identification information acquired by the terminal identification information acquisition unit to a server (2) outside the vehicle storing the correspondence relationship;
a result acquisition unit (303) for acquiring the authentication level of the connection control device determined by the server based on the correspondence relationship from the terminal identification information transmitted by the transmission processing unit;
The function restriction unit changes a function permitted to the connection control device according to the authentication level acquired by the result acquisition unit,
In addition to the authentication level and the terminal identification information, the correspondence relationship is associated in advance with vehicle-side identification information for identifying each of the vehicle control devices,
The authentication level includes a connection disapproval authentication level that does not allow connection to the vehicle control device,
The transmission processing unit transmits to the server not only the terminal identification information but also the vehicle side identification information of the vehicle control device corresponding to the own device,
When the terminal identification information transmitted by the transmission processing unit and the vehicle-side identification information are not associated in the correspondence relationship, the result acquisition unit acquires the connection disapproval authentication level, and when the terminal identification information and the vehicle-side identification information transmitted by the transmission processing unit are associated in the correspondence relationship, the result acquisition unit acquires the authentication level that is higher than the connection disapproval authentication level and is not the connection disapproval,
The function restriction unit does not permit connection to the vehicle control device when the authentication level acquired by the result acquisition unit is the authentication level for disallowing connection, but permits connection to the vehicle control device when the authentication level acquired by the result acquisition unit is the authentication level that does not prohibit connection, and permits the connection control device to perform a function corresponding to the authentication level. 前記車両用制御装置に接続されて追加される前記接続制御装置は、前記接続制御装置単体では用いられないものである請求項1に記載の車両用制御装置。 2. The vehicle control device according to claim 1, wherein the connection control device added by being connected to the vehicle control device is not used by the connection control device alone. 前記サーバは、複数の前記車両用制御装置に共有のものであって、
前記対応関係には、複数の前記車両用制御装置について、前記認証レベルと前記端末識別情報と前記車両側識別情報とが予め対応付けられているものであり、
前記結果取得部は、前記送信処理部で送信させた前記端末識別情報が、前記送信処理部で送信させた前記車両側識別情報と異なる前記車両側識別情報と前記対応関係で対応付けられている場合にも、前記接続不許可の前記認証レベルを取得する請求項1又は2に記載の車両用制御装置。 The server is shared by a plurality of the vehicle control devices,
In the correspondence relationship, the authentication level, the terminal identification information, and the vehicle side identification information are associated in advance with respect to a plurality of the vehicle control devices,
3. The vehicle control device according to claim 1 or 2 , wherein the result acquisition unit acquires the authentication level of the connection disapproval even when the terminal identification information transmitted by the transmission processing unit is associated with the vehicle-side identification information different from the vehicle-side identification information transmitted by the transmission processing unit. 前記端末識別情報取得部は、前記結果取得部で前記接続不許可でない前記認証レベルを取得し、前記車両用制御装置への接続が許可された接続許可の後も、所定のトリガの検出ごとに、自装置にあたる前記車両用制御装置に接続される前記接続制御装置から前記端末識別情報を取得するものであり、
前記結果取得部で前記接続不許可でない前記認証レベルを取得した場合に、その認証レベルを取得する際に前記送信処理部で送信させた前記端末識別情報を保存しておく保存部(305)を備え、
前記機能制限部は、前記接続許可の後は、前記端末識別情報取得部で取得する前記端末識別情報が、前記保存部に保存されている前記端末識別情報と一致する場合に、前記車両用制御装置への接続の許可を維持する一方、前記端末識別情報取得部で取得する前記端末識別情報が、前記保存部に保存されている前記端末識別情報と一致しない場合に、前記車両用制御装置への接続を許可しない請求項1~3のいずれか1項に記載の車両用制御装置。 The terminal identification information acquisition unit acquires the authentication level that is not the connection disapproval in the result acquisition unit, and acquires the terminal identification information from the connection control device connected to the vehicle control device corresponding to the own device each time a predetermined trigger is detected even after the connection is permitted when connection to the vehicle control device is permitted.
a storage unit (305) for storing the terminal identification information transmitted by the transmission processing unit when acquiring the authentication level when the result acquisition unit acquires the authentication level that is not the connection disapproval,
The vehicle control device according to any one of claims 1 to 3, wherein after the connection permission, the function restriction unit maintains permission for connection to the vehicle control device when the terminal identification information acquired by the terminal identification information acquisition unit matches the terminal identification information stored in the storage unit, and does not permit connection to the vehicle control device when the terminal identification information acquired by the terminal identification information acquisition unit does not match the terminal identification information stored in the storage unit. 前記車両用制御装置と前記接続制御装置とを接続する際に利用可能な通信規格は変更可能であって、
前記機能制限部は、前記対応関係をもとに決定される前記認証レベルに応じて、前記車両用制御装置と前記接続制御装置とを接続する際に利用可能な通信規格を変更する請求項1~のいずれか1項に記載の車両用制御装置。 A communication standard that can be used when connecting the vehicle control device and the connection control device can be changed,
The vehicle control device according to any one of claims 1 to 4 , wherein the function restriction unit changes a communication standard that can be used when connecting the vehicle control device and the connection control device according to the authentication level determined based on the correspondence relationship. 複数の前記車載装置は、前記車両の車内ネットワークを介して前記車両用制御装置に接続される前記車載装置及び前記車内ネットワークを介して得られるデータを利用する前記車載装置の少なくともいずれかを含むものであり、
前記機能制限部は、前記対応関係をもとに決定される前記認証レベルが高くなるのに応じて、前記車内ネットワークへの接続を許可する請求項1~のいずれか1項に記載の車両用制御装置。 The plurality of in-vehicle devices include at least one of the in-vehicle device connected to the vehicle control device via an in-vehicle network of the vehicle and the in-vehicle device using data obtained via the in-vehicle network,
The vehicle control device according to any one of claims 1 to 5 , wherein the function restriction unit permits connection to the in-vehicle network as the authentication level determined based on the correspondence relationship increases. 複数の前記車載装置は、複数種類の表示装置を含むものであり、
前記機能制限部は、前記対応関係をもとに決定される前記認証レベルが高くなるのに応じて、情報表示が可能な前記表示装置を増加させる請求項1~のいずれか1項に記載の車両用制御装置。 The plurality of in-vehicle devices include a plurality of types of display devices,
The vehicle control device according to any one of claims 1 to 6 , wherein the function restriction unit increases the number of display devices capable of displaying information as the authentication level determined based on the correspondence relationship increases. 複数の前記車載装置は、音声を出力する複数の音声出力装置を含むものであり、
前記機能制限部は、前記対応関係をもとに決定される前記認証レベルが高くなるのに応じて、音声を出力するのに利用可能な前記音声出力装置を増加させる請求項1~のいずれか1項に記載の車両用制御装置。 The plurality of in-vehicle devices include a plurality of audio output devices that output audio,
8. The vehicle control device according to any one of claims 1 to 7 , wherein the function restricting unit increases the number of the audio output devices that can be used to output audio as the authentication level determined based on the correspondence relationship increases. 車両に搭載されて複数の車載装置(34,35,36,37,38)の制御を行うことが可能な、請求項1~のいずれか1項に記載の車両用制御装置(30)と、
前記車両用制御装置に、前記制御に用いるソフトウェアの更新のために新たに接続されて追加される制御装置である接続制御装置(39)とを含む車両用システム。 A vehicle control device (30) according to any one of claims 1 to 8 , which is mounted on a vehicle and capable of controlling a plurality of in-vehicle devices (34, 35, 36, 37, 38);
A vehicle system including a connection control device (39) which is a control device newly connected to and added to the vehicle control device for updating software used for the control. 車両に搭載されて複数の車載装置(34,35,36,37,38)の制御を行うことが可能な車両用制御装置(30)に、前記制御に用いるソフトウェアの更新のために制御装置を新たに接続して追加する場合に、コンピュータにより実施される車両用制御方法であって、
個々の前記制御装置を識別するための端末識別情報を、前記車両用制御装置に接続される前記制御装置である接続制御装置(39)から取得する端末識別情報取得ステップと
取得する前記端末識別情報から、前記制御装置に許可する機能のレベルである認証レベルと前記端末識別情報とを予め対応付けた対応関係をもとに決定される前記接続制御装置の前記認証レベルに応じて、前記接続制御装置に許可する機能を変更する機能制限ステップと、
前記端末識別情報取得ステップで取得する前記端末識別情報を、前記対応関係を格納した前記車両の外部のサーバ(2)に送信させる送信処理ステップと、
前記送信処理ステップで送信させた前記端末識別情報から前記サーバで前記対応関係をもとに決定される前記接続制御装置の前記認証レベルを取得する結果取得ステップとを含み、
前記機能制限ステップでは、前記結果取得ステップで取得する前記認証レベルに応じて、前記接続制御装置に許可する機能を変更するものであって、
前記対応関係には、前記認証レベルと前記端末識別情報とに加え、個々の前記車両用制御装置を識別するための車両側識別情報も予め対応付けられているものであって、
前記認証レベルは、前記車両用制御装置への接続も許可しない接続不許可の認証レベルも含むものであり、
前記送信処理ステップでは、前記端末識別情報に加え、自装置にあたる前記車両用制御装置の前記車両側識別情報も前記サーバに送信させ、
前記結果取得ステップでは、前記送信処理ステップで送信させた前記端末識別情報と前記車両側識別情報とが前記対応関係で対応付けられていない場合には、前記接続不許可の前記認証レベルを取得する一方、前記送信処理ステップで送信させた前記端末識別情報と前記車両側識別情報とが前記対応関係で対応付けられている場合には、前記接続不許可の前記認証レベルよりもレベルの高い、前記接続不許可でない前記認証レベルを取得し、
前記機能制限ステップでは、前記結果取得ステップで取得する前記認証レベルが、前記接続不許可の前記認証レベルの場合には、前記車両用制御装置への接続を許可しない一方、前記結果取得ステップで取得する前記認証レベルが、前記接続不許可でない前記認証レベルの場合には、前記車両用制御装置への接続を許可するとともに、前記接続制御装置にその認証レベルに応じた機能を許可する車両用制御方法。 A vehicle control method implemented by a computer when adding a new control device to a vehicle control device (30) mounted on a vehicle and capable of controlling a plurality of in-vehicle devices (34, 35, 36, 37, 38) for updating software used for the control, the method comprising:
a terminal identification information acquisition step of acquiring terminal identification information for identifying each of the control devices from a connection control device (39) which is the control device connected to the vehicle control device;
a function restriction step of changing a function permitted to the connection control device according to the authentication level of the connection control device determined from the acquired terminal identification information based on a correspondence relationship in which an authentication level, which is a level of a function permitted to the control device, and the terminal identification information are associated in advance;
a transmission processing step of transmitting the terminal identification information acquired in the terminal identification information acquisition step to a server (2) outside the vehicle storing the correspondence relationship;
a result acquisition step of acquiring the authentication level of the connection control device determined by the server based on the correspondence relationship from the terminal identification information transmitted in the transmission processing step ;
In the function restriction step, a function permitted to the connection control device is changed according to the authentication level acquired in the result acquisition step,
In addition to the authentication level and the terminal identification information, the correspondence relationship is associated in advance with vehicle-side identification information for identifying each of the vehicle control devices,
The authentication level includes a connection disapproval authentication level that does not allow connection to the vehicle control device,
In the transmission processing step, in addition to the terminal identification information, the vehicle side identification information of the vehicle control device corresponding to the own device is also transmitted to the server;
In the result obtaining step, when the terminal identification information transmitted in the transmission processing step and the vehicle-side identification information are not associated in the correspondence relationship, the authentication level for disallowing connection is obtained, and when the terminal identification information and the vehicle-side identification information transmitted in the transmission processing step are associated in the correspondence relationship, the authentication level for not disallowing connection, which is higher than the authentication level for disallowing connection, is obtained;
In the function restricting step, when the authentication level obtained in the result obtaining step is the authentication level of the connection disapproval, connection to the vehicle control device is not permitted, while when the authentication level obtained in the result obtaining step is the authentication level not disallowing the connection, connection to the vehicle control device is permitted, and the connection control device is permitted to perform a function corresponding to the authentication level.
JP2019208263A 2019-11-18 2019-11-18 VEHICLE CONTROL DEVICE, VEHICLE SYSTEM, AND VEHICLE CONTROL METHOD Active JP7314775B2 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2019208263A JP7314775B2 (en) 2019-11-18 2019-11-18 VEHICLE CONTROL DEVICE, VEHICLE SYSTEM, AND VEHICLE CONTROL METHOD
PCT/JP2020/035655 WO2021100310A1 (en) 2019-11-18 2020-09-21 Vehicular control device, vehicular system, and vehicular control method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019208263A JP7314775B2 (en) 2019-11-18 2019-11-18 VEHICLE CONTROL DEVICE, VEHICLE SYSTEM, AND VEHICLE CONTROL METHOD

Publications (2)

Publication Number Publication Date
JP2021081939A JP2021081939A (en) 2021-05-27
JP7314775B2 true JP7314775B2 (en) 2023-07-26

Family

ID=75965207

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019208263A Active JP7314775B2 (en) 2019-11-18 2019-11-18 VEHICLE CONTROL DEVICE, VEHICLE SYSTEM, AND VEHICLE CONTROL METHOD

Country Status (2)

Country Link
JP (1) JP7314775B2 (en)
WO (1) WO2021100310A1 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2023141422A (en) * 2022-03-24 2023-10-05 パナソニックIpマネジメント株式会社 Information processing device, information processing system, and information processing method
CN120418845A (en) * 2022-12-28 2025-08-01 株式会社电装 Information processing system for vehicle and electronic control device
JP2024158867A (en) * 2023-04-28 2024-11-08 株式会社オートネットワーク技術研究所 In-vehicle device, setting method, and setting program

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009147734A1 (en) 2008-06-04 2009-12-10 株式会社ルネサステクノロジ Vehicle, maintenance device, maintenance service system, and maintenance service method
JP2016016707A (en) 2014-07-07 2016-02-01 株式会社東海理化電機製作所 Vehicle operation permission determination device

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6024564B2 (en) * 2013-03-28 2016-11-16 株式会社オートネットワーク技術研究所 In-vehicle communication system
JP6408832B2 (en) * 2014-08-27 2018-10-17 ルネサスエレクトロニクス株式会社 Control system, relay device, and control method
US20200151972A1 (en) * 2017-05-09 2020-05-14 Mitsubishi Electric Corporation In-vehicle authentication system, vehicle communication apparatus, authentication management apparatus, in-vehicle authentication method, and computer readable medium

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009147734A1 (en) 2008-06-04 2009-12-10 株式会社ルネサステクノロジ Vehicle, maintenance device, maintenance service system, and maintenance service method
JP2016016707A (en) 2014-07-07 2016-02-01 株式会社東海理化電機製作所 Vehicle operation permission determination device

Also Published As

Publication number Publication date
JP2021081939A (en) 2021-05-27
WO2021100310A1 (en) 2021-05-27

Similar Documents

Publication Publication Date Title
US20140121891A1 (en) Automobile data abstraction and communication
JP4942261B2 (en) Vehicle relay device and in-vehicle communication system
JP7314775B2 (en) VEHICLE CONTROL DEVICE, VEHICLE SYSTEM, AND VEHICLE CONTROL METHOD
US11683693B1 (en) In-vehicle control system for vehicle accessory integration
JP2013507294A (en) Method and system for processing information about vehicles
CN104955680A (en) Access limiting device, on-board communication system, and communication limiting method
Wang et al. Automotive domain controller
US9363266B2 (en) Secured electronic device
CN105103150A (en) Smart antenna sharing in vehicle
EP4325354A1 (en) Software upgrade method and related product
KR20250048258A (en) Method and system for securing access to operational data
WO2021024739A1 (en) Vehicle-mounted relay device, vehicle-mounted communication system, communication program, and communication method
US20120330498A1 (en) Secure data store for vehicle networks
US11604865B2 (en) Method for the secured access of data of a transportation vehicle
US11539714B2 (en) Assigning categories for messages and symmetric key per category to localize the impact in case of key compromise
CN114996692B (en) Vehicle-mounted software control method and system
CN106564452B (en) Power supply control device, vehicle having the same, and vehicle control method
US11853232B2 (en) Device, method and computer program
US11403155B2 (en) Integration of vehicle manufacturer user management system with automotive operating system
JP2022114164A (en) Device for vehicle, system for vehicle, and external device
TWI899607B (en) Device interaction method, device, portable display device, and storage medium
JP7643640B2 (en) Authentication system and relay device
CN120561899A (en) Display method, vehicle computer and storage medium
JP2023141422A (en) Information processing device, information processing system, and information processing method
US20250168234A1 (en) Managing In-Vehicle Ecosystems

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20211208

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20221220

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230215

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230613

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230626

R151 Written notification of patent or utility model registration

Ref document number: 7314775

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151