Login| Sign Up| Help| Contact|

Patent Searching and Data


Title:
METHOD FOR VERIFYING THE CONFORMITY OF ONE OR MORE VEHICLE COMPUTERS BY COMPARING IDENTIFIERS, AND ASSOCIATED VERIFICATION SYSTEM
Document Type and Number:
WIPO Patent Application WO/2019/135039
Kind Code:
A1
Abstract:
A method verifies a vehicle (V) having a vehicle identifier and a calculator (C1) associated with a hardware identifier and a software module identifier, said method involving: - a first step in which the activated computer (C1) communicates its hardware identifier and software module identifier to a verification computer (CC) of the vehicle (V), whereupon said verification computer (CC) compares said identifiers with stored identifiers and, in case of any discrepancy, transmits the communicated vehicle identifier, hardware identifier and software module identifier to a server (SC); and - a second step in which the server (SC) compares said transmitted hardware identifier and software module identifier with stored identifiers corresponding to the transmitted vehicle identifier and, in case of any discrepancy, transmits information representing a non-conformity to the vehicle (V) in order for this information to be stored in the verification computer (CC) of the vehicle.

Inventors:
LOPEZ THIERRY (FR)
Application Number:
PCT/FR2018/053355
Publication Date:
July 11, 2019
Filing Date:
December 18, 2018
Export Citation:
Click for automatic bibliography generation   Help
Assignee:
PSA AUTOMOBILES SA (FR)
International Classes:
G07C5/00; G07C5/08; H04L29/08
Foreign References:
US20140297109A12014-10-02
US20120116633A12012-05-10
US20140114497A12014-04-24
US20170076516A12017-03-16
FR2998237A12014-05-23
FR3032546A12016-08-12
Attorney, Agent or Firm:
JEANNIN, Laurent (FR)
Download PDF:
Claims:
REVENDICATIONS

1 . Procédé de contrôle d’un véhicule (V) ayant un identifiant de véhicule et comprenant un module de communication (MCN1 ) propre à échanger des données par voie d’ondes et au moins un calculateur (Cj) associé à au moins un identifiant de matériel et comportant au moins un module logiciel associé à un identifiant de module logiciel, caractérisé en ce qu’il comprend i) une première étape dans laquelle, après un réveil dudit calculateur (Cj), ce dernier (Cj) communique à un calculateur de contrôle (CC) dudit véhicule (V) lesdits identifiant(s) de matériel et identifiant(s) de module logiciel, puis ledit calculateur de contrôle (CC) compare ces derniers à des identifiant(s) de matériel et identifiant(s) de module logiciel stockés et en cas de différence transmet à un serveur (SC), via ledit module de communication (MCN1 ), ledit identifiant de véhicule et lesdits identifiant(s) de matériel et identifiant(s) de module logiciel communiqués, et ii) une seconde étape dans laquelle ledit serveur (SC) compare lesdits identifiant(s) de matériel et identifiant(s) de module logiciel transmis à des identifiant(s) de matériel et identifiant(s) de module logiciel stockés en correspondance dudit identifiant de véhicule transmis et en cas de différence transmet audit véhicule (V) une information représentative d’une non-conformité au sein dudit calculateur (Cj) en vue du stockage de cette information dans ledit calculateur de contrôle (CC).

2. Procédé selon la revendication 1 , caractérisé en ce que dans ladite première étape ledit calculateur (Cj) communique également audit calculateur de contrôle (CC) des paramètres de configuration de chaque module logiciel, puis ledit calculateur de contrôle (CC) compare ces derniers à des paramètres de configuration stockés et en cas de différence de l’un au moins desdits identifiant(s) de matériel, identifiant(s) de module logiciel et paramètres de configuration transmet audit serveur (SC), via ledit module de communication (MCN1 ), ledit identifiant de véhicule, lesdits identifiant(s) de matériel et identifiant(s) de module logiciel, et lesdits paramètres de configuration communiqués, et ii) dans ladite seconde étape ledit serveur (SC) compare lesdits identifiant(s) de matériel, identifiant(s) de module logiciel et paramètres de configuration transmis à des identifiant(s) de matériel, identifiant(s) de module logiciel et paramètres de configuration stockés en correspondance dudit identifiant de véhicule transmis et en cas de différence transmet audit véhicule (V) ladite information en vue du stockage de cette information dans ledit calculateur de contrôle (CC).

3. Procédé selon la revendication 1 ou 2, caractérisé en ce que dans ladite première étape ledit calculateur (Cj) communique audit calculateur de contrôle (CC) lesdits identifiant(s) de matériel et identifiant(s) de module logiciel, ainsi que les éventuels paramètres de configuration, après chacun de ses réveils.

4. Procédé selon l’une des revendications 1 à 3, caractérisé en ce que dans ladite première étape ledit calculateur (Cj) communique audit calculateur de contrôle (CC) chaque identifiant de matériel et/ou chaque identifiant de module logiciel et/ou lesdits éventuels paramètres de configuration tant que ledit calculateur de contrôle (CC) ne l’a pas informé qu’il les a tous reçus, et ledit calculateur de contrôle (CC) ne réalise ladite comparaison qu’une fois qu’il a reçu chaque identifiant de matériel, chaque identifiant de module logiciel, et les éventuels paramètres de configuration.

5. Procédé selon l’une des revendications 1 à 4, caractérisé en ce que dans ladite seconde étape ledit serveur (SC) transmet ladite information une unique fois.

6. Procédé selon l’une des revendications 1 à 4, caractérisé en ce que dans ladite seconde étape ledit serveur (SC) transmet ladite information plusieurs fois audit véhicule (V) afin qu’elle soit stockée à chaque fois dans ledit calculateur de contrôle (CC) à la place de la précédente information transmise et relative au même calculateur (Cj).

7. Système de contrôle (SY) pour contrôler des véhicules (V) ayant chacun un identifiant de véhicule et comprenant chacun un module de communication (MCN1 ) propre à échanger des données par voie d’ondes et au moins un calculateur (Cj) associé à au moins un identifiant de matériel et comportant au moins un module logiciel associé à un identifiant de module logiciel, caractérisé en ce qu’il comprend i) des calculateurs de contrôle (CC) implantés dans chacun desdits véhicules (V) et stockant des identifiant(s) de matériel et identifiant(s) de module logiciel de chaque calculateur (Cj) de leur véhicule (V), et ii) un serveur (SC) stockant des identifiant(s) de matériel et identifiant(s) de module logiciel de chaque calculateur (Cj) de chacun desdits véhicules (V), et en ce que chaque calculateur (Cj) d’un véhicule (V) communique, après un réveil, audit calculateur de contrôle (CC) dudit véhicule (V) ses identifiant(s) de matériel et identifiant(s) de module logiciel, puis ce calculateur de contrôle (CC) compare ces derniers auxdits identifiant(s) de matériel et identifiant(s) de module logiciel stockés et en cas de différence transmet audit serveur (SC), via ledit module de communication (MCN1 ) du véhicule (V), ledit identifiant de véhicule et lesdits identifiant(s) de matériel et identifiant(s) de module logiciel communiqués, puis ledit serveur (SC) compare lesdits identifiant(s) de matériel et identifiant(s) de module logiciel transmis par ledit véhicule (V) à des identifiant(s) de matériel et identifiant(s) de module logiciel stockés en correspondance dudit identifiant de véhicule transmis et en cas de différence transmet audit véhicule (V) une information représentative d’une non-conformité au sein d’un calculateur (Cj) qu’il comprend en vue du stockage de cette information dans son calculateur de contrôle (CC).

8. Système selon la revendication 7, caractérisé en ce que lesdits véhicules (V) sont de type automobile.

Description:
PROCÉDÉ DE CONTRÔLE DE LA CONFORMITÉ DE CALCULATEUR(S) D’UN VÉHICULE PAR COMPARAISON D’IDENTIFIANTS, ET SYSTÈME DE CONTRÔLE ASSOCIÉ

L’invention concerne les véhicules, éventuellement de type automobile, et plus précisément le contrôle des calculateurs de tels véhicules.

De très nombreux véhicules, et notamment ceux de type automobile, comprennent un ou plusieurs calculateurs comprenant du matériel (ou « hardware ») associé à au moins un identifiant de matériel et au moins un module logiciel (ou informatique ou encore « software ») associé à un identifiant de module logiciel. Souvent un même calculateur peut être associé à plusieurs versions de module(s) logiciel(s) afin d’offrir de la diversité, car il est plus simple et moins coûteux de reporter la diversité sur le logiciel plutôt que sur le matériel. Parfois des versions différentes de module(s) logiciel(s) sont adaptées respectivement à des règlements nationaux ou internationaux différents, comme par exemple les règlements d’émission des moteurs thermiques qui imposent les quantités de rejet de polluants admissibles. De tels modules logiciels sont notamment installés dans des calculateurs assurant le contrôle des moteurs thermiques ou des boîtes de vitesses automatiques.

On comprendra que lors d’un contrôle technique ou dans un service après-vente, on peut être contraint de connaître un calculateur d’un véhicule, et plus précisément ses matériel et module(s) logiciel(s) ainsi qu’éventuellement les paramètres de configuration de ce(s) dernier(s), afin de vérifier sa conformité et/ou de contrôler son fonctionnement ou la raison pour laquelle il induit un dysfonctionnement.

Pour connaître ces informations, on peut connecter un outil de diagnostic sur la prise de diagnostic centralisée du véhicule qui permet d’accéder à ses différents calculateurs via un média de communication, comme par exemple une ligne bidirectionnelle série de type K ou un réseau de communication de type CAN (ou « Controller Area Network ») ou Ethernet, et en utilisant un protocole normalisé, par exemple de type ISO 14230 ou ISO 14229. Ainsi, lors d’une session de communication l’outil de diagnostic transmet une requête de diagnostic à destination d’un calculateur particulier, et ce dernier fournit chaque information requise au sein d’un message de réponse. Les informations fournies par le calculateur peuvent alors être comparées par l’outil de diagnostic à des informations de référence qui sont normalement stockées dans une base de données du constructeur du véhicule depuis la sortie de ce dernier d’une chaîne de montage. Il est ainsi possible de déterminer si un calculateur est conforme à ce que l’on attend, et dans la négative de déterminer si c’est le calculateur ou un module logiciel de ce dernier qui a été remplacé.

On notera que le diagnostic peut être également effectué à distance (ou « over the air »), via le module de communication du véhicule, comme cela est notamment décrit dans les documents brevet FR 2998237 et FR 3032546. Cependant cette possibilité de contrôler les calculateurs embarqués dans les véhicules n’empêche pas et ne dissuade pas, d’une part, le démontage de certains calculateurs en vue de les remonter dans d’autres véhicules ou de les remplacer par d’autres calculateurs non conformes et donc potentiellement dangereux, et, d’autre part le remplacement de module(s) logiciel(s) par d’autre(s) module(s) logiciel(s) non conformes et donc potentiellement dangereux. Cela résulte notamment du fait que les calculateurs ne sont généralement pas vérifiés lors des contrôles techniques dont l’objet actuel est de s’assurer de l’aptitude des véhicules à rouler mais pas de contrôler leur conformité. L’invention a donc notamment pour but d’améliorer la situation.

Elle propose notamment à cet effet un procédé de contrôle destiné à contrôler un véhicule ayant un identifiant de véhicule et comprenant un module de communication propre à échanger des données par voie d’ondes et au moins un calculateur associé à au moins un identifiant de matériel et comportant au moins un module logiciel associé à un identifiant de module logiciel. Ce procédé de contrôle se caractérise par le fait qu’il comprend :

- une première étape dans laquelle, après un réveil de ce (d’un) calculateur, ce dernier communique à un calculateur de contrôle du véhicule ses identifiant(s) de matériel et identifiant(s) de module logiciel, puis ce calculateur de contrôle compare ces derniers à des identifiant(s) de matériel et identifiant(s) de module logiciel stockés et en cas de différence transmet à un serveur, via le module de communication, cet identifiant de véhicule et ces identifiant(s) de matériel et identifiant(s) de module logiciel communiqués, et

- une seconde étape dans laquelle le serveur compare les identifiant(s) de matériel et identifiant(s) de module logiciel transmis à des identifiant(s) de matériel et identifiant(s) de module logiciel stockés en correspondance de l’identifiant de véhicule transmis et en cas de différence transmet au véhicule une information représentative d’une non-conformité au sein du (d’un) calculateur en vue du stockage de cette information dans son calculateur de contrôle.

Grâce à l’invention, on dispose désormais dans le calculateur de contrôle du véhicule de la trace de chaque non-conformité matérielle ou logicielle de chacun de ses calculateurs contrôlés, ce qui permet de déterminer chaque non-conformité lors d’un contrôle technique ou dans un service après- vente.

Le procédé de contrôle selon l’invention peut comporter d’autres caractéristiques qui peuvent être prises séparément ou en combinaison, et notamment :

- dans sa première étape le (un) calculateur peut également communiquer au calculateur de contrôle des paramètres de configuration de chaque module logiciel qu’il comprend, puis le calculateur de contrôle peut comparer ces derniers à des paramètres de configuration stockés et en cas de différence de l’un au moins des identifiant(s) de matériel, identifiant(s) de module logiciel et paramètres de configuration transmet au serveur, via le module de communication, cet identifiant de véhicule, ces identifiant(s) de matériel et identifiant(s) de module logiciel, et ces paramètres de configuration communiqués. Dans ce cas, dans sa seconde étape le serveur peut comparer ces identifiant(s) de matériel, identifiant(s) de module logiciel et paramètres de configuration transmis à des identifiant(s) de matériel, identifiant(s) de module logiciel et paramètres de configuration stockés en correspondance de l’identifiant de véhicule transmis et en cas de différence peut transmettre au véhicule l’information en vue du stockage de cette information dans son calculateur de contrôle ;

- dans sa première étape le calculateur peut communiquer au calculateur de contrôle ses identifiant(s) de matériel et identifiant(s) de module logiciel, ainsi que les éventuels paramètres de configuration, après chacun de ses réveils ;

- dans sa première étape le calculateur peut communiquer au calculateur de contrôle son (ses) identifiant(s) de matériel et/ou son (ses) identifiant(s) de module logiciel et/ou ses éventuels paramètres de configuration tant que le calculateur de contrôle ne l’a pas informé qu’il les a tous reçus, et le calculateur de contrôle peut ne réaliser la comparaison qu’une fois qu’il a reçu cet (ces) identifiant(s) de matériel, cet (ces) identifiant(s) de module logiciel, et ces éventuels paramètres de configuration ;

- dans sa seconde étape le serveur peut transmettre l’information une unique fois. En variante, le serveur peut transmettre l’information plusieurs fois au véhicule afin qu’elle soit stockée à chaque fois dans le calculateur de contrôle à la place de la précédente information transmise et relative au même calculateur.

L’invention propose également un système chargé de contrôler des véhicules ayant chacun un identifiant de véhicule et comprenant chacun un module de communication propre à échanger des données par voie d’ondes et au moins un calculateur associé à au moins un identifiant de matériel et comportant au moins un module logiciel associé à un identifiant de module logiciel. Ce système se caractérise par le fait :

- qu’il comprend, d’une part, des calculateurs de contrôle implantés dans chacun des véhicules et stockant des identifiant(s) de matériel et identifiant(s) de module logiciel de chaque calculateur de leur véhicule, et, d’autre part, un serveur stockant des identifiant(s) de matériel et identifiant(s) de module logiciel de chaque calculateur de chacun des véhicules, et - que chaque calculateur d’un véhicule communique, après un réveil, au calculateur de contrôle de son véhicule ses identifiant(s) de matériel et identifiant(s) de module logiciel, puis ce calculateur de contrôle compare ces derniers aux identifiant(s) de matériel et identifiant(s) de module logiciel stockés et en cas de différence transmet au serveur, via le module de communication de son véhicule, cet identifiant de véhicule et ces identifiant(s) de matériel et identifiant(s) de module logiciel communiqués, puis le serveur compare ces identifiant(s) de matériel et identifiant(s) de module logiciel transmis par ce véhicule à des identifiant(s) de matériel et identifiant(s) de module logiciel stockés en correspondance de cet identifiant de véhicule transmis et en cas de différence transmet à ce véhicule une information représentative d’une non-conformité au sein d’un calculateur qu’il comprend en vue du stockage de cette information dans son calculateur de contrôle.

Par exemple, chaque calculateur d’un véhicule peut aussi communiquer au calculateur de contrôle de son véhicule des paramètres de configuration de chaque module logiciel qu’il comprend. Puis, ce calculateur de contrôle peut comparer ces derniers à des paramètres de configuration stockés, et en cas de différence de l’un au moins des identifiant(s) de matériel, identifiant(s) de module logiciel et paramètres de configuration peut transmettre au serveur, via le module de communication de son véhicule, cet identifiant de véhicule, ces identifiant(s) de matériel et identifiant(s) de module logiciel, et ces paramètres de configuration communiqués. Puis, le serveur peut comparer ces identifiant(s) de matériel, identifiant(s) de module logiciel et paramètres de configuration transmis à des identifiant(s) de matériel, identifiant(s) de module logiciel et paramètres de configuration stockés en correspondance de l’identifiant de véhicule transmis, et en cas de différence peut transmettre au véhicule désigné par cet identifiant de véhicule l’information en vue du stockage de cette information dans son calculateur de contrôle.

Egalement par exemple, les véhicules peuvent être de type automobile.

D’autres caractéristiques et avantages de l’invention apparaîtront à l’examen de la description détaillée ci-après, et du dessin annexé, sur lequel l’unique figure illustre schématiquement et fonctionnellement un véhicule placé sur un tronçon de route et équipé d’un calculateur central d’un système de contrôle selon l’invention et d’un module de communication couplé à un réseau de communication auquel est également couplé un serveur de ce système de contrôle.

L’invention a notamment pour but de proposer un procédé de contrôle, et un système de contrôle SY associé, destinés à contrôler les calculateurs Cj d’au moins un véhicule V, afin de contrôler leurs conformités respectives

Dans ce qui suit, on considère, à titre d’exemple non limitatif, que les véhicules V sont de type automobile. Il s’agit par exemple de voitures. Mais l’invention n’est pas limitée à ce type de véhicule. Elle concerne en effet tout type de véhicule comprenant un module de communication propre à échanger des données par voie d’ondes et au moins un calculateur. Par conséquent, elle concerne les véhicules terrestres, les véhicules fluviaux (ou maritimes), et les véhicules aériens.

On a schématiquement représenté sur l’unique figure un tronçon de route TR comprenant deux voies de circulation sur l’une desquelles circule un véhicule V ayant un identifiant de véhicule (par exemple un code VIN (« Véhiculé Identication Number » - numéro d’identification de véhicule)) et comprenant au moins un calculateur Cj associé à au moins un identifiant de matériel (ou « hardware ») et comportant au moins un module logiciel (ou « software ») associé à un identifiant de module logiciel.

Dans l’exemple de réalisation illustré non limitativement sur l’unique figure, le véhicule V comprend trois calculateurs C1 à C3 (j = 1 à 3). Mais il peut comprendre n’importe quel nombre de calculateurs, dès lors que ce nombre est supérieur ou égal à un (1 ). Par exemple, ces calculateurs Cj sont tous connectés à un réseau de communication embarqué dans le véhicule V et éventuellement multiplexé.

Comme évoqué précédemment, l’invention propose notamment un procédé de contrôle destiné à contrôler les calculateurs Cj d’au moins le véhicule V, afin de contrôler leurs conformités respectives. Un tel procédé de contrôle comprend des première et seconde étapes qui peuvent être mises en œuvre notamment par un système de contrôle SY selon l’invention.

Comme illustré sur l’unique figure, un système de contrôle SY, selon l’invention, comprend au moins un calculateur de contrôle CC installé dans un véhicule V à contrôler et un serveur SC.

On notera que le système de contrôle SY peut être agencé de manière à contrôler plusieurs véhicules, et dans ce cas, chaque véhicule à contrôler comprend un calculateur de contrôle CC.

On notera également qu’afin qu’un véhicule V puisse être contrôlé par le système de contrôle SY il faut qu’il comprenne également un premier module de communication MCN1 pouvant échanger des données par voie d’ondes via au moins un réseau de communication RC au moins partiellement non filaire. Ce premier module de communication MCN1 est notamment chargé d’échanger des données avec un second module de communication MCN2 installé dans le serveur SC.

La première étape du procédé de contrôle débute après un réveil du calculateur Cj. On entend ici par « réveil » le fait d’alimenter électriquement un calculateur Cj. Dans ce cas, ce calculateur Cj commence par communiquer au calculateur de contrôle CC de son véhicule V ses identifiant(s) de matériel et identifiant(s) de module logiciel. Puis, ce calculateur de contrôle CC compare ces identifiant(s) de matériel et identifiant(s) de module logiciel reçus à des identifiant(s) de matériel et identifiant(s) de module logiciel stockés dans des premiers moyens de stockage MS1. Cette comparaison est réalisée par des premiers moyens de comparaison MCP1 du calculateur de contrôle CC.

Pour qu’un calculateur Cj puisse communiquer au calculateur de contrôle CC de son véhicule V ses identifiant(s) de matériel et identifiant(s) de module logiciel, il faut qu’il comprenne un module logiciel dédié à cet effet.

Dans l’exemple de réalisation illustré non limitativement sur l’unique figure, les premiers moyens de stockage MS1 sont indépendants des premiers moyens de comparaison MCP1. Mais dans une variante de réalisation non illustrée ils (MS1 ) pourraient faire partie de ces derniers (MCP1 ). Par exemple, ces premiers moyens de stockage MS1 peuvent être agencés sous la forme d’une mémoire, éventuellement de type logiciel, et de préférence à accès très protégé.

Les premiers moyens de comparaison MCP1 peuvent être réalisés sous la forme de modules logiciels (ou informatiques ou encore software), ou bien d’une combinaison de circuits électroniques (ou hardware) et de modules logiciels.

Lorsque le résultat de la comparaison signale qu’il n’y a pas de différence entre les identifiants comparés, le procédé de contrôle prend fin pour le calculateur Cj considéré.

En revanche, lorsque le résultat de la comparaison signale une différence entre l’un au moins des identifiants comparés, la première étape se poursuit par la transmission par le calculateur de contrôle CC au serveur SC, via le premier module de communication MCN1 , des identifiant de véhicule, identifiant(s) de matériel et identifiant(s) de module logiciel communiqués par le calculateur Cj.

Dans la seconde étape du procédé de contrôle le serveur SC commence par comparer les identifiant(s) de matériel et identifiant(s) de module logiciel transmis par le véhicule V à des identifiant(s) de matériel et identifiant(s) de module logiciel qui sont stockés dans des seconds moyens de stockage MS2 en correspondance de l’identifiant de véhicule également transmis par le véhicule V. Cette comparaison est réalisée par des seconds moyens de comparaison MCP2 du serveur SC.

Toutes les informations, relatives à un véhicule V et stockées dans les seconds moyens de stockage MS2, sont mises à jour dès qu’un calculateur Cj de ce véhicule V fait l’objet d’une mise à jour logicielle et/ou d’un remplacement d’un calculateur Cj.

Dans l’exemple de réalisation illustré non limitativement sur l’unique figure, les seconds moyens de stockage MS2 sont indépendants des seconds moyens de comparaison MCP2. Mais dans une variante de réalisation non illustrée ils (MS2) pourraient faire partie de ces derniers (MCP2). Par exemple, ces seconds moyens de stockage MS2 peuvent être agencés sous la forme d’une base de données ou d’une mémoire, éventuellement de type logiciel, et de préférence à accès très protégé.

Les seconds moyens de comparaison MCP2 peuvent être réalisés sous la forme de modules logiciels, ou bien d’une combinaison de circuits électroniques et de modules logiciels.

On notera que lorsque le système de contrôle SY est chargé de contrôler plusieurs véhicules, les seconds moyens de stockage MS2 de son serveur SC stockent les identifiant(s) de matériel et identifiant(s) de module logiciel de chaque calculateur Cj de chacun de ces véhicules

Lorsque le résultat de la comparaison signale qu’il n’y a pas de différence entre les identifiants comparés, cela signifie qu’il n’y a pas d’erreur de stockage d’identifiants dans le calculateur de contrôle CC considéré.

En revanche, lorsque le résultat de la comparaison signale une différence entre l’un au moins des identifiants comparés, la seconde étape se poursuit par la transmission par le serveur SC au véhicule V considéré d’une information représentative d’une non-conformité au sein de son calculateur Cj en vue du stockage de cette information dans son calculateur de contrôle CC.

Par exemple, cette information peut signaler que c’est un identifiant de matériel du calculateur Cj qui est non conforme et/ou que c’est un identifiant de module logiciel du calculateur Cj qui est non conforme.

Egalement par exemple, chaque information de non-conformité peut être stockée dans les premiers moyens de stockage MS1 du calculateur de contrôle CC concerné. Mais cela n’est pas obligatoire. On pourrait en effet stocker chaque information de non-conformité dans des troisièmes moyens de stockage dédiés du calculateur de contrôle CC et dont l’accès est éventuellement accessible par fourniture d’un mot de passe.

Ainsi, on stocke dans le calculateur de contrôle CC la trace de chaque non-conformité de chaque calculateur Cj sur le plan matériel ou logiciel, et lors d’un contrôle technique ou dans un service après-vente on peut facilement déterminer chaque non-conformité en accédant aux premiers moyens de stockage MS1 (ou aux éventuels troisièmes moyens de stockage dédiés), par exemple au moyen d’un outil de diagnostic (et d’une éventuelle clef, par exemple de type PKI (« Public Key Infrastructure »)).

On notera que dans la première étape le calculateur Cj peut également communiquer au calculateur de contrôle CC des paramètres de configuration de chaque module logiciel qu’il comprend. Dans ce cas, le calculateur de contrôle CC compare ensuite ces paramètres de configuration à des paramètres de configuration qui sont stockés dans les premiers moyens de stockage MS1 . Puis, en cas de différence de l’un au moins des identifiant(s) de matériel, identifiant(s) de module logiciel et paramètres de configuration, le calculateur de contrôle CC transmet au serveur SC, via le premier module de communication MCN1 de son véhicule V, cet identifiant de véhicule, ces identifiant(s) de matériel et identifiant(s) de module logiciel, et ces paramètres de configuration qui lui ont été communiqués par le calculateur Cj. Ensuite, dans la seconde étape le serveur SC compare ces identifiant(s) de matériel, identifiant(s) de module logiciel et paramètres de configuration transmis par le véhicule V à des identifiant(s) de matériel, identifiant(s) de module logiciel et paramètres de configuration qui sont stockés dans les seconds moyens de stockage MS2 en correspondance de l’identifiant de véhicule également transmis par le véhicule V. Puis, en cas de différence entre ces identifiants (reçus et stockés) et paramètres de configuration (reçus et stockés), le serveur SC transmet au véhicule V cette information en vue du stockage de cette information dans le calculateur de contrôle CC.

On notera également que dans la première étape le calculateur Cj peut communiquer au calculateur de contrôle CC de son véhicule V les identifiant(s) de matériel et identifiant(s) de module logiciel, ainsi que les éventuels paramètres de configuration, après chacun de ses réveils. Mais cela n’est pas obligatoire. En effet, on pourrait envisager que cette communication se fasse tous les N réveils d’un calculateur Cj (avec N > 1 , par exemple N = 10 ou 50) ou bien sur requête du serveur SC après un réveil du véhicule V (et donc des calculateurs Cj), par exemple.

On notera également que dans la première étape le calculateur Cj peut communiquer au calculateur de contrôle CC de son véhicule V chaque identifiant de matériel et/ou chaque identifiant de module logiciel et/ou les éventuels paramètres de configuration tant que ce calculateur de contrôle CC ne l’a pas informé qu’il les a tous reçus. Dans ce cas, le calculateur de contrôle CC ne réalise la comparaison d’identifiants (reçus et stockés) et éventuels paramètres de configuration (reçus et stockés) qu’une fois qu’il a reçu chaque identifiant de matériel, chaque identifiant de module logiciel, et les éventuels paramètres de configuration du calculateur Cj.

A titre d’exemple, un calculateur Cj peut commencer par communiquer son identifiant de matériel au calculateur de contrôle CC de son véhicule V. Si ce calculateur de contrôle CC ne lui signale pas qu’il l’a bien reçu, il lui communique de nouveau son identifiant de matériel au bout d’un intervalle de temps prédéfini. En revanche, si ce calculateur de contrôle CC lui signale qu’il l’a bien reçu, il lui communique chaque identifiant de module logiciel. Si ce calculateur de contrôle CC ne lui signale pas qu’il a bien reçu chaque identifiant de module logiciel, il lui communique de nouveau chaque identifiant de module logiciel au bout d’un intervalle de temps prédéfini. En revanche, si ce calculateur de contrôle CC lui signale qu’il a bien reçu chaque identifiant de module logiciel, il lui communique ses éventuels paramètres de configuration. Si ce calculateur de contrôle CC ne lui signale pas qu’il a bien reçu les éventuels paramètres de configuration, il lui communique de nouveau ses éventuels paramètres de configuration au bout d’un intervalle de temps prédéfini. En revanche, si ce calculateur de contrôle CC lui signale qu’il a bien reçu ses éventuels paramètres de configuration, il cesse de communiquer avec lui.

On notera également que dans la seconde étape le serveur SC peut transmettre l’information de non-conformité une unique fois. Mais cela n’est pas obligatoire. En effet, il (SC) pourrait transmettre l’information de non-conformité plusieurs fois au véhicule V afin qu’elle soit stockée à chaque fois dans le calculateur de contrôle CC concerné à la place de la précédente information transmise et relative au même calculateur Cj. Afin de ne pas allonger le temps de démarrage (ou temps de « boot ») d’un calculateur Cj par une communication de ses identifiants et éventuels paramètres de configuration juste après son réveil, on peut envisager de différer cette communication afin que la fonctionnalité qu’il offre soit immédiatement disponible ou exécutée. Par conséquent, la confirmation que les identifiants et éventuels paramètres de configuration transmis par un calculateur Cj ont bien été reçus par le calculateur central CC peut être obtenue bien après le démarrage du véhicule V et donc pendant son utilisation. Cela permet avantageusement de s’adapter à tous les calculateurs Cj, quelles que soient leurs capacités numériques (ou CPUs). Ainsi on peut installer dans un même véhicule V un calculateur Cj capable de communiquer ses identifiants et éventuels paramètres de configuration en quelques millisecondes et un autre calculateur Cj’ (j’ ¹ j) pour lequel cette même opération nécessitera plusieurs secondes. Le procédé de contrôle est ainsi indépendant des contraintes de technologie (calculateurs et réseau auquel ces derniers sont connectés).

On notera également que la communication entre un calculateur Cj et le calculateur central CC peut, par exemple être réalisée au moyen d’un protocole de diagnostic tel que KWP2000 (ISO 14230) ou UDS (ISO 14229). Dans ce cas, le calculateur Cj communique chaque identifiant ou ses éventuels paramètres de configuration au calculateur central CC au moyen d’une requête de diagnostic et le calculateur central CC signale au calculateur Cj qu’il a bien reçu la requête de diagnostic et son contenu au moyen d’un message de réponse.

On notera également que chaque calculateur central CC est un calculateur disposant de capacités de traitement numérique importantes, et par exemple construit sur une plateforme de type LINUX, à la différence de la plupart des calculateurs Cj (notamment dédiés au moteur ou à la boîte de vitesses ou à la direction assistée ou encore au freinage) qui ne disposent généralement que d’une structure de type OSEK / AUTOSAR. On peut ainsi très facilement implémenter sur chaque calculateur central CC un mécanisme sécuritaire performant avec gestion de certificats (mécanisme de type PKI utilisant un jeton particulier lors de chaque transaction) sur les informations que l’on va inscrire en mémoire (MS1 à accès très protégé) alors que ce type de mécanisme n’est pas généralisable à l’ensemble des calculateurs Cj d’un véhicule V pour des problèmes de technologie mais aussi de coût associé. L’invention offre plusieurs avantages parmi lesquels :

- une grande facilité d’identification au sein d’un véhicule donné de l’échange de calculateur(s) et/ou de module(s) logiciel(s),

- une simplification notable de l’expertise de non-conformité d’un véhicule, par exemple en cas d’accident.