WO2018066353A1

WO2018066353A1 - 車載更新システム、車載更新装置、車載機器及び更新方法

Info

Publication number: WO2018066353A1
Application number: PCT/JP2017/033794
Authority: WO
Inventors: 友洋水谷; 井上　雅之; 博志立石; 誠佐分利
Original assignee: 株式会社オートネットワーク技術研究所; 住友電装株式会社; 住友電気工業株式会社
Priority date: 2016-10-04
Filing date: 2017-09-20
Publication date: 2018-04-12
Also published as: CN110300953A; JP2018060323A; JP6756225B2; US20190294429A1; DE112017005031T5

Abstract

ユーザの車両使用に関する利便性の低下を防止して車載機器の更新処理を行うことができる車載更新システム、車載更新装置、車載機器及び更新方法を提供する。　車載機器の記憶部に記憶されたプログラム又はデータを更新する車載更新システムは、更新用記憶部に記憶された更新用のプログラム又はデータを車載機器へ送信すると共に、車両周辺の状況に応じて、更新用のプログラム又はデータの車載機器への送信を中断する処理を行う。車載機器は、更新前のプログラム又はデータが記憶された第１記憶領域及び更新用のプログラム又はデータを記憶する第２記憶領域を記憶部に有し、更新用のプログラム又はデータの送信が中断された場合に、更新前のプログラム又はデータの実行に復帰する処理を行う。

Description

車載更新システム、車載更新装置、車載機器及び更新方法

　本発明は、車両に搭載された車載機器のプログラム又はデータを更新する車載更新システム、車載更新装置、車載機器及び更新方法に関する。

　従来、車両には複数のＥＣＵ（Electronic Control Unit）などの通信装置が搭載され、複数のＥＣＵがＣＡＮ（Controller Area Network）バスなどの通信線を介して接続されて相互に情報の送受信を行うことが可能とされている。各ＥＣＵは、フラッシュメモリ又はＥＥＰＲＯＭ（Electrically Erasable Programmable Read Only Memory）等の記憶部に記憶されたプログラムをＣＰＵ（Central Processing Unit）などの処理装置が読み出して実行することにより、車両の制御などの種々の処理を行っている。ＥＣＵの記憶部に記憶されたプログラム又はデータは、例えば機能追加、不具合の修正又はバージョンアップ等の必要が生じた際には、新たなプログラム又はデータに書き換える更新処理を行う必要がある。この場合、更新処理の対象となるＥＣＵに対して、通信線を介して更新用のプログラム又はデータを送信することが行われている。

　特許文献１においては、更新対象の制御装置に対する更新制御プログラムと、更新制御プログラムに係るダイジェスト値を算出する手段、更新後の制御装置の動作が正常であるか否かを判定する手段及び判定結果を返答する手段を実現するコンピュータプログラムとを含む更新データを制御装置が受信し、受信した更新データに含まれる更新制御プログラムにより制御プログラムを更新すると共に、前記コンピュータプログラムを実行して更新後の動作が正常であるか否かを判定することにより、プログラムの更新の正当性を検証できるプログラム更新システムが提案されている。

特開２０１５－１０３１６３号公報

　ＥＣＵの記憶部に記憶されたプログラム又はデータの更新を行っている場合、このＥＣＵは更新処理が完了するまでの間には通常の処理を行うができない。このため、ＥＣＵの更新処理が完了するまで、車両が走行することができなくなる。ユーザが緊急に車両を使用する必要が生じた場合などに、ＥＣＵの更新処理によって車両が使用不可能な状態である虞があり、ユーザの車両使用に関する利便性が低下するという問題があった。

　本発明は、斯かる事情に鑑みてなされたものであって、その目的とするところは、ユーザの車両使用に関する利便性の低下を防止して車載機器の更新処理を行うことができる車載更新システム、車載更新装置、車載機器及び更新方法を提供することにある。

　本発明に係る車載更新システムは、車両に搭載され、プログラム又はデータを記憶する記憶部並びに前記記憶部に記憶されたプログラム又はデータを読み出して実行する処理部を有する車載機器の前記記憶部に記憶されたプログラム又はデータを更新する処理を行う車載更新システムであって、更新用のプログラム又はデータを記憶する更新用記憶部と、前記更新用記憶部に記憶された更新用のプログラム又はデータを前記車載機器へ送信する更新用情報送信部と、前記更新用情報送信部による更新用のプログラム又はデータの前記車載機器への送信を中断する処理を行う中断処理部とを備え、前記車載機器の記憶部は、前記処理部が実行しているプログラム又はデータを記憶した第１記憶領域、及び、更新用のプログラム又はデータを記憶する第２記憶領域を含み、前記車載機器は、前記更新用情報送信部が送信した更新用のプログラム又はデータを受信する更新用情報受信部と、前記更新用情報受信部が更新用のプログラム又はデータを受信した場合、前記処理部による前記第１記憶領域に記憶されたプログラム又はデータの実行を停止し、前記更新用情報受信部が受信した更新用のプログラム又はデータを前記第２記憶領域に書き込む処理を行う更新用情報書込処理部と、前記中断処理部が送信を中断した場合に、前記処理部による前記第１記憶領域に記憶されたプログラム又はデータの実行に復帰する処理を行う復帰処理部と、更新用のプログラム又はデータの前記第２記憶領域への書き込みを完了した後、前記処理部によるプログラム又はデータの実行対象を前記第１記憶領域から前記第２記憶領域へ変更する更新処理部とを有することを特徴とする。

　また、本発明に係る車載更新システムは、前記中断処理部は、前記車両の周辺の状況に応じて、前記更新用のプログラム又はデータの送信を中断することを特徴とする。

　また、本発明に係る車載更新システムは、前記中断処理部が、前記車両の周辺に、前記車両の利用者が存在する場合に、前記更新用のプログラム又はデータの送信を中断することを特徴とする。

　また、本発明に係る車載更新システムは、可搬型の通信器との間で無線通信を行う無線通信部を備え、前記中断処理部は、前記無線通信部による前記通信器との通信結果に応じて、前記更新用のプログラム又はデータの送信を中断することを特徴とする。

　また、本発明に係る車載更新システムは、前記無線通信部による前記通信器との通信結果に応じて、前記通信器までの距離を判定する距離判定部を備え、前記中断処理部は、前記距離判定部が判定した距離が所定距離より近い場合に、送信を中断することを特徴とする。

　また、本発明に係る車載更新システムは、前記無線通信部、前記距離判定部、及び、前記距離判定部の判定結果を送信する距離判定結果送信部を有する無線通信装置と、前記更新用記憶部、前記車両外の装置から更新用のプログラム又はデータを取得して前記更新用記憶部に記憶する更新用情報取得部、前記無線通信装置の距離判定結果送信部が送信した判定結果を受信する距離判定結果受信部、及び、前記中断処理部を有する車載更新装置とを備えることを特徴とする。

　また、本発明に係る車載更新システムは、前記無線通信部、及び、前記無線通信部による前記通信器との通信結果を送信する通信結果送信部を有する無線通信装置と、前記更新用記憶部、前記車両外の装置から更新用のプログラム又はデータを取得して前記更新用記憶部に記憶する更新用情報取得部、前記無線通信装置の通信結果送信部が送信した通信結果を受信する通信結果受信部、前記距離判定部、及び、前記中断処理部を有する車載更新装置とを備えることを特徴とする。

　また、本発明に係る車載更新システムは、前記無線通信部、前記距離判定部、前記更新用記憶部、前記車両外の装置から更新用のプログラム又はデータを取得して前記更新用記憶部に記憶する更新用情報取得部、及び、前記中断処理部を有する車載更新装置を備えることを特徴とする。

　また、本発明に係る車載更新システムは、前記車両の周辺を撮像するカメラを備え、前記中断処理部は、前記カメラの撮像結果に応じて、前記更新用のプログラム又はデータの送信を中断することを特徴とする。

　また、本発明に係る車載更新システムは、人の生体情報を取得する生体情報取得部を備え、前記中断処理部は、前記生体情報取得部が取得した生体情報に応じて、前記更新用のプログラム又はデータの送信を中断することを特徴とする。

　また、本発明に係る車載更新装置は、車両に搭載され、プログラム又はデータを記憶する記憶部並びに前記記憶部に記憶されたプログラム又はデータを読み出して実行する処理部を有する車載機器の前記記憶部に記憶されたプログラム又はデータを更新する処理を行う車載更新装置であって、前記車両外の装置から更新用のプログラム又はデータを取得する更新用情報取得部と、前記更新用情報取得部が取得した更新用のプログラム又はデータを記憶する更新用記憶部と、前記更新用記憶部に記憶された更新用のプログラム又はデータを前記車載機器へ送信する更新用情報送信部と、前記更新用情報送信部による更新用のプログラム又はデータの前記車載機器への送信を中断する処理を行う中断処理部とを備えることを特徴とする。

　また、本発明に係る車載機器は、車両に搭載され、プログラム又はデータを記憶する記憶部と、前記記憶部に記憶されたプログラム又はデータを読み出して実行する処理部とを備える車載機器において、前記記憶部は、前記処理部が実行しているプログラム又はデータを記憶した第１記憶領域、及び、更新用のプログラム又はデータを記憶する第２記憶領域を含み、更新用のプログラム又はデータを受信する更新用情報受信部と、前記更新用情報受信部が更新用のプログラム又はデータを受信した場合、前記処理部による前記第１記憶領域に記憶されたプログラム又はデータの実行を停止し、前記更新用情報受信部が受信した更新用のプログラム又はデータを前記第２記憶領域に書き込む処理を行う更新用情報書込処理部と、更新用のプログラム又はデータの送信が中断された場合に、前記処理部による前記第１記憶領域に記憶されたプログラム又はデータの実行に復帰する処理を行う復帰処理部と、更新用のプログラム又はデータの前記第２記憶領域への書き込みを完了した後、前記処理部によるプログラム又はデータの実行対象を前記第１記憶領域から前記第２記憶領域へ変更する更新処理部とを備えることを特徴とする。

　また、本発明に係る更新方法は、車両に搭載され、プログラム又はデータを記憶する記憶部並びに前記記憶部に記憶されたプログラム又はデータを読み出して実行する処理部を有する車載機器の前記記憶部に記憶されたプログラム又はデータを更新する更新方法であって、前記車載機器の記憶部は、前記処理部が実行しているプログラム又はデータを記憶した第１記憶領域、及び、更新用のプログラム又はデータを記憶する第２記憶領域を含み、更新用記憶部に記憶された更新用のプログラム又はデータを前記車載機器へ送信し、前記車両の周辺の状況に応じて、更新用のプログラム又はデータの前記車載機器への送信を中断し、前記車載機器が、更新用のプログラム又はデータを受信した場合、前記処理部による前記第１記憶領域に記憶されたプログラム又はデータの実行を停止し、受信した更新用のプログラム又はデータを前記第２記憶領域に書き込み、前記車載機器が、更新用のプログラム又はデータの送信が中断された場合、前記処理部による前記第１記憶領域に記憶されたプログラム又はデータの実行に復帰し、前記車載機器が、更新用のプログラム又はデータの前記第２記憶領域への書き込みを完了した後、前記処理部によるプログラム又はデータの実行対象を前記第１記憶領域から前記第２記憶領域へ変更することを特徴とする。

　本発明においては、更新用記憶部に記憶された更新用のプログラム又はデータを車載機器へ送信し、車載機器が受信した更新用のプログラム又はデータを自身の記憶部に書き込むことによって更新処理が行われる。ただし車載機器は、その時点で実行しているプログラム又はデータ（更新前のプログラム又はデータ）を記憶した第１記憶領域と、更新用のプログラム又はデータを書き込む第２記憶領域とを記憶部に有しており、第１記憶領域のプログラム又はデータを上書きすることなく、受信した更新用のプログラム又はデータを記憶部の第２記憶領域に書き込む。車載機器は、書き込み完了後に、プログラム又はデータの実行対象を第１記憶領域から第２記憶領域へ変更することで、プログラム又はデータを更新する。なお更新処理の完了後には、車載機器の記憶部の第１記憶領域及び第２記憶領域の関係は反転し、次回の更新処理を行う際には前回の更新処理で更新用のプログラム又はデータを書き込んだ領域が第１領域となる。

　更に本発明においては、車載機器への更新用のプログラム又はデータの送信を中断することを可能とする。更新用のプログラム又はデータの送信が中断された場合、車載機器は、第２記憶領域への書き込みを中断し、第１記憶領域に記憶されたプログラム又はデータの実行に復帰する。車載機器の更新処理を中断し、更新前の状態での動作に復帰することを可能とすることにより、更新処理の途中であってもユーザが車両を使用することが可能となる。

　また本発明においては、車両周辺の状況に応じて更新用のプログラム又はデータの送信を中断する。例えば、車両周辺に車両の資料者が存在する場合に中断を行う構成とすることができる。これにより車両が利用される可能性がある場合に更新処理を中断することが可能となる。

　また本発明においては、車両のユーザなどが所持する可搬型の通信器との無線通信を行い、その通信結果に応じて車載機器への更新用のプログラム又はデータの送信を中断する。可搬型の通信器は、例えば車両のドアのロックを遠隔で操作する無線キーとすることができる。無線キーとの通信結果に応じて、ユーザが車両を使用する可能性があるか否かを推測することができる。可搬型の通信器との通信結果に応じて車載機器の更新処理を中断し、更新前の状態での動作に復帰することを可能とすることにより、更新処理の途中であってもユーザが車両を使用することが可能となる。

　また本発明においては、可搬型の通信器との通信結果に応じて、通信器までの距離を判定する。例えば通信器から送信される無線信号の信号強度に応じて距離を推定することができ、この距離が所定距離より近いか又は遠いかを判定することができる。通信器までの距離が近い場合、この通信器を所持するユーザが車両の近くに存在し、ユーザが車両を利用する可能性が高いと推測できる。このような場合に車載機器の更新処理を中断しておくことにより、ユーザが車両を走行させようとした際に、円滑に車両の走行を開始することができる。

　また本発明においては、可搬型の通信器との無線通信を行う無線通信装置が通信結果に基づく距離判定を行って判定結果を送信し、更新用のプログラム又はデータの記憶及び送信を行う車載更新装置が無線通信装置からの判定結果を受信して中断処理を行う。
　又は、本発明においては、可搬型の通信器との無線通信を行う無線通信装置が通信結果を送信し、更新用のプログラム又はデータの記憶及び送信を行う車載更新装置が無線通信装置からの通信結果に基づく距離判定を行って中断処理を行う。
　これらの構成により、無線通信装置及び車載更新装置が協働して車載機器の更新処理を中断する処理を実現できる。

　また本発明においては、可搬型の通信器との無線通信を行う機能を、更新用のプログラム又はデータの記憶及び送信を行う車載更新装置に設け、車載更新装置が可搬型通信器との通信結果に基づく距離判定を行って中断処理を行う。このように、可搬型の通信器との無線通信と、更新用のプログラム又はデータの車載機器への送信を１つの装置にて行う構成としてもよい。

　また本発明においては、車両周辺をカメラで撮像し、撮像結果に応じて更新用のプログラム又はデータの送信を中断する。例えば、カメラの撮像画像から人の顔検出を行い、顔が検出された場合に更新用のプログラム又はデータの送信を中断する構成とすることができる。また更に、検出された顔が車両のユーザとして登録された顔と一致するか否かの顔認証を行い、認証結果に応じて更新用のプログラム又はデータの送信を中断する構成とすることができる。これらにより、車両を利用する可能性があるユーザが車両周辺に存在する場合に更新処理を中断することが可能となる。

　また本発明においては、人の生体情報を取得して、取得した生体情報に応じて更新用のプログラム又はデータの送信を中断する。例えば、車両のユーザの指紋情報又は静脈情報等を取得し、指紋認証又は静脈認証等の認証処理を行って、認証成功した場合にのみ車両のドアのアンロック又はエンジンの始動等を行うことができるシステムにおいて、認証成功した場合に更新処理を中断する構成とすることができる。これにより、ユーザが車両を利用する可能性が高い場合に更新処理を中断することが可能となる。

　本発明による場合は、車載機器の更新処理を中断し、車載機器を更新前のプログラム又はデータによる動作に復帰させることが可能な構成とすることにより、更新処理の途中であってもユーザが車両を使用することが可能となり、ユーザの車両使用に関する利便性の低下を防止して車載機器の更新処理を行うことができる

本実施の形態に係る車載更新システムの構成を示す模式図である。ＥＣＵの構成を示すブロック図である。ＥＣＵが行う更新処理を説明するための模式図である。ゲートウェイの構成を示すブロック図である。ＢＣＭの構成を示すブロック図である。ゲートウェイが行う更新用プログラム取得処理の手順を示すフローチャートである。サーバ装置が行う更新用プログラム送信処理の手順を示すフローチャートである。ゲートウェイが行う更新処理の手順を示すフローチャートである。ＢＣＭが行う処理の手順を示すフローチャートである。ＥＣＵが行う更新処理の手順を示すフローチャートである。実施の形態２に係るＢＣＭの構成を示すブロック図である。実施の形態２に係るゲートウェイの構成を示すブロック図である。実施の形態３に係るゲートウェイの構成を示すブロック図である。実施の形態４に係る車載更新システムの構成を示す模式図である。実施の形態４に係るゲートウェイの構成を示すブロック図である。実施の形態５に係る車載更新システムの構成を示す模式図である。

（実施の形態１）
　図１は、本実施の形態に係る車載更新システムの構成を示す模式図である。本実施の形態に係る車載更新システムは、車両１に搭載されたＥＣＵ（Electronic Control Unit）２及びＢＣＭ（Body Control Module）６等の複数の装置が、車両１内に配された通信線及びゲートウェイ４を介して相互に通信を行うシステムである。本実施の形態に係る車載更新システムでは、ＥＣＵ２が更新処理の対象となる車載機器に相当し、ゲートウェイ４が更新用のプログラム又はデータを送信する車載更新装置に相当し、ＢＣＭ６が可搬型の通信器に相当する無線キー７との無線通信を行う無線通信装置に相当する。また本実施の形態に係る車載更新システムでは、ゲートウェイ４に通信線を介してＴＣＵ（Telematics Communication Unit）５が接続されており、ゲートウェイ４はＴＣＵ５を介して車両１外に設置されたサーバ装置９との通信を行うことができる。

　ＥＣＵ２は、例えば車両１のエンジンの動作を制御するＥＣＵ、エアバッグの動作を制御するＥＣＵ、及び、ＡＢＳ（Antilock Brake System）の動作を制御するＥＣＵ等の種々のＥＣＵが含まれ得る。各ＥＣＵ２は、車両１内に配された通信線に接続され、この通信線を介して他のＥＣＵ２、ゲートウェイ４及びＢＣＭ６等との間でデータの送受信を行うことができる。ＥＣＵ２は、内部の記憶部に記憶されたプログラム及びデータを読み出して実行することによって、各々の処理を行っている。ＥＣＵ２が記憶するプログラム又はデータは、例えば機能追加又は不具合修正等の目的で更新が行われる場合がある。

　ゲートウェイ４は、車両１の車内ネットワークを構成する複数の通信線が接続され、通信線間のデータの送受信を中継する処理を行う。図１に示す例においては、ゲートウェイ４には４つの通信線が接続されている。ゲートウェイ４は、いずれかの通信線から受信したデータを他の通信線へ送信することによって、データの中継を行う。

　ＴＣＵ５は、例えば携帯電話通信網を利用した無線通信を行うことによって、サーバ装置９との間でデータの送受信を行うことができる。ＴＣＵ５は、車両１内に配された通信線を介してゲートウェイ４に接続されており、ゲートウェイ４との間で有線通信によるデータの送受信を行うことができる。これによりＴＣＵ５は、ゲートウェイ４及びサーバ装置９の間の通信を中継することができ、ゲートウェイ４から与えられたデータをサーバ装置９へ送信すると共に、サーバ装置９から受信したデータをゲートウェイ４へ与える。

　サーバ装置９は、車両１に搭載されるＥＣＵ２にて実行されるプログラム及びデータを管理及び記憶している。サーバ装置９は、車両１からの問合わせに応じてプログラムなどの更新が必要であるか否かを通知すると共に、更新が必要である場合には更新用のプログラム及びデータを車両１へ配信する処理を行う。

　ＢＣＭ６は、車両１のドアのロック／アンロック、照明の点灯／消灯、及び、ワイパーの動作等を制御する装置である。ＢＣＭ６は、可搬型の無線キー７との間で無線通信を行う機能を有しており、無線キー７との通信結果に応じて例えばドアのロック／アンロックを制御する。本実施の形態に係るＢＣＭ６は、例えば無線キー７から送信された無線信号の受信強度に基づいて、無線キー７との距離を算出する機能を有している。ＢＣＭ６は、算出した無線キー７との距離に関する情報を、車両１内の通信線を介してゲートウェイ４へ送信する。

　また本実施の形態に係るゲートウェイ４は、例えば車両１の走行中にＴＣＵ５を介してサーバ装置９との通信を行い、ＥＣＵ２の更新処理に必要な更新用のプログラム又はデータをサーバ装置９から取得して記憶しておく。ゲートウェイ４は、例えば車両１が停車状態となり、所定時刻に至るなどの所定の更新条件が満たされた場合に、記憶しておいた更新用のプログラム又はデータを更新対象のＥＣＵ２へ送信することによって、ＥＣＵ２の記憶部に記憶されたプログラム又はデータを更新する処理を行う。また少なくともこの更新処理を行っている間、ゲートウェイ４は、ＢＣＭ６が算出する無線キー７との距離に関する情報を取得し、無線キー７が車両１の近くに存在する場合（無線キー７までの距離が所定距離より近い場合）に、ＥＣＵ２の更新処理を中断する。更新処理が中断された場合、ＥＣＵ２は、更新前のプログラム又はデータによる動作に復帰する。

　図２は、ＥＣＵ２の構成を示すブロック図である。なお本図においては、複数のＥＣＵ２に共通の機能ブロックを抜き出して示しており、ＥＣＵ２毎に異なる機能ブロックについては図示を省略している。本実施の形態に係るＥＣＵ２は、処理部２１、記憶部２２及び通信部２３等を備えて構成されている。処理部２１は、例えばＣＰＵ（Central Processing Unit）又はＭＰＵ（Micro-Processing Unit）等の演算処理装置を用いて構成され、記憶部２２に記憶されたプログラム２２ａを読み出して実行することにより、種々の演算処理を行う。なお記憶部２２に記憶されるプログラム２２ａは、ＥＣＵ２毎にその内容が異なっている。

　記憶部２２は、フラッシュメモリ又はＥＥＰＲＯＭ（Electrically Erasable Programmable Read Only Memory）等の不揮発性のメモリ素子を用いて構成されている。記憶部２２は、処理部２１が実行するプログラム２２ａと、このプログラム２２ａの実行に必要なデータとを記憶する。なお以下において”プログラム２２ａ”との記載には、プログラム２２ａと、このプログラム２２ａの実行に必要なデータとを含み得る。

　通信部２３は、車内ネットワークを構成する通信線に接続され、例えばＣＡＮ（Controller Area Network）などの通信プロトコルに従ってデータの送受信を行う。通信部２３は、処理部２１から与えられたデータを電気信号に変換して通信線へ出力することによってデータを送信すると共に、通信線の電位をサンプリングして取得することによりデータを受信し、受信したデータを処理部２１へ与える。

　また本実施の形態に係るＥＣＵ２の処理部２１には、更新用情報受信部２１ａ、更新用情報書込処理部２１ｂ、更新処理部２１ｃ及び復帰処理部２１ｄが設けられている。更新用情報受信部２１ａ～復帰処理部２１ｄは、記憶部２２に記憶されたプログラム２２ａの更新（アップデート）処理を行うための機能ブロックである。更新用情報受信部２１ａ～復帰処理部２１ｄは、更新処理の対象となるプログラム２２ａとは別のプログラム（図示は省略する）を処理部２１が実行することにより実現されるソフトウェア的な機能ブロックである。

　更新用情報受信部２１ａは、通信線を介してゲートウェイ４から送信される更新用のプログラムを通信部２３にて受信し、受信した更新用のプログラムをバッファメモリ（図示は省略する）などに蓄積する処理を行う。更新用情報書込処理部２１ｂは、更新用情報受信部２１ａが蓄積した更新用のプログラムを、記憶部２２の空き領域に書き込む処理を行う。更新処理部２１ｃは、更新用情報書込処理部２１ｂが更新用のプログラムの書き込みを完了した後、記憶部２２に記憶されている更新前のプログラムを無効化し、新たに書き込んだ更新用のプログラムを有効化することによって、プログラム２２ａの更新を行う。復帰処理部２１ｄは、ゲートウェイ４からの更新用のプログラムの送信が中断された場合に、記憶部２２に記憶されている更新前のプログラムによる処理を開始し、更新処理を行う前の状態での動作に復帰する処理を行う。

　図３は、ＥＣＵ２が行う更新処理を説明するための模式図である。本実施の形態に係るＥＣＵ２の記憶部２２は、少なくともプログラム２２ａを２セット分記憶しておくのに十分な記憶容量を有している。図３の上段に示す例では、記憶部２２には、プログラム２２ａと、このプログラム２２ａと同程度の容量の空き領域２２ｂとが存在している。このときに記憶部２２に記憶されているプログラム２２ａは有効とされ、処理部２１がこのプログラム２２ａを読み出して実行している。

　更新用情報受信部２１ａがゲートウェイ４から更新用のプログラムを受信した場合、更新用情報書込処理部２１ｂは、更新前のプログラム２２ａに上書きすることなく、記憶部２２の空き領域２２ｂに受信した更新用のプログラム２２ａを記憶する。更新用情報書込処理部２１ｂが更新用のプログラム２２ａをエラーなく記憶部２２に書き込み完了した後、更新処理部２１ｃは、更新前のプログラム２２ａを無効化し、新たに記憶した更新用のプログラム２２ａを有効化することによって、更新処理を完了する。その後、ＥＣＵ２の処理部２１は、有効化された更新用のプログラム２２ａを読み出して実行する。なお無効化した更新前のプログラム２２ａは、例えば何らかのタイミングで消去されてもよく、また例えば消去されることなく記憶部２２内に残され、次の更新処理の際に空き領域２２ｂと扱われてもよい。

　このように、本実施の形態に係るＥＣＵ２は、更新前のプログラム２２ａを記憶する領域（第１の領域）と、更新用のプログラム２２ａを記憶する領域（第２の領域）とを少なくとも記憶部２２に設けている。即ち各ＥＣＵ２はプログラム２２ａを少なくとも２セット分は記憶することができる記憶領域を有している。更新処理のためにゲートウェイ４が送信した更新用のプログラム２２ａを受信したＥＣＵ２は、更新前のプログラム２２ａが記憶された領域とは別の領域に、受信した更新用のプログラム２２ａを記憶する。即ちＥＣＵ２では、更新前のプログラム２２ａが上書きされることなく、更新用のプログラム２２ａが記憶部２２に記憶される。ＥＣＵ２は、更新用のプログラム２２ａを記憶部２２に記憶し終えた後、更新前のプログラム２２ａを無効化し、更新用のプログラム２２ａを有効化することによって、処理部２１が実行するプログラム２２ａを切り替える。即ちＥＣＵ２は、処理部２１のブート対象とするプログラムの切り替えを行うことによって、更新処理を完了する。

　図４は、ゲートウェイ４の構成を示すブロック図である。本実施の形態に係るゲートウェイ４は、処理部４１、記憶部４２、及び、４つの車内通信部４３等を備えて構成されている。処理部４１は、例えばＣＰＵ又はＭＰＵ等の演算処理装置を用いて構成され、記憶部４２又は図示しないＲＯＭ（Read Only Memory）等に記憶されたプログラムを読み出して実行することにより、種々の演算処理を行う。本実施の形態において処理部４１は、車内ネットワークを構成する通信線間のデータ送受信を中継する処理、及び、ＥＣＵ２の更新処理等に必要な演算処理を行う。

　記憶部４２は、フラッシュメモリ又はＥＥＰＲＯＭ等の不揮発性のメモリ素子を用いて構成されている。記憶部４２は、例えば処理部４１が実行するプログラム及びこのプログラムの実行に必要なデータなどを記憶する。また記憶部４２は、ＥＣＵ２の更新用のプログラムを記憶する。記憶部４２は、処理部４１の処理の過程で生成されたデータなどを記憶してもよい。

　車内通信部４３は、車内ネットワークを構成する通信線にそれぞれ接続され、例えばＣＡＮなどの通信プロトコルに従ってデータの送受信を行う。車内通信部４３は、処理部４１から与えられたデータを電気信号に変換して通信線へ出力することによって情報を送信すると共に、通信線の電位をサンプリングして取得することによりデータを受信し、受信したデータを処理部４１へ与える。なおゲートウェイ４が備える４つの車内通信部４３は、それぞれ異なる通信プロトコルに従って通信を行うものであってもよい。

　また処理部４１には、記憶部４２又はＲＯＭ等に記憶されたプログラムが実行されることによって、更新用情報取得部４１ａ、更新用情報送信部４１ｂ、通信結果受信部４１ｃ、距離判定部４１ｄ及び中断処理部４１ｅ等がソフトウェア的な機能ブロックとして実現される。更新用情報取得部４１ａは、所定のタイミングでＴＣＵ５を介したサーバ装置９との通信を行い、車両１に搭載されたＥＣＵ２のプログラム２２ａの更新が必要であるか否かを問い合わせる。更新要否の問合わせを行う所定のタイミングは、例えば１日毎又は１週間毎等のように所定周期としてよく、また例えば車両１のＩＧスイッチがオフ状態からオン状態へ切り替えられる都度などとしてもよい。更新が必要であるとの通知をサーバ装置９から与えられた場合、更新用情報取得部４１ａは、ＴＣＵ５を介してサーバ装置９から更新に必要なプログラム及びデータ等（以下、単に更新用のプログラムという）を取得して記憶部４２に記憶する。このときに更新用情報取得部４１ａは、更新が必要な全てのＥＣＵ２について、更新用プログラムの取得を行う。

　更新用情報送信部４１ｂは、所定のタイミングで、サーバ装置９から取得して記憶部４２に記憶された更新用のプログラムを読み出し、読み出した更新用のプログラムを更新処理の対象となるＥＣＵ２へ送信する処理を行う。更新用のプログラムの送信を行う所定のタイミングは、例えば車両のＩＧスイッチがオフ状態になり、且つ、午前２時などの所定時刻に至った場合としてもよく、また例えばＩＧスイッチがオフ状態となった後すぐとしてもよく、これら以外のタイミングとしてもよい。更新処理の対象となるＥＣＵ２が複数存在する場合、更新用情報送信部４１ｂは、適宜の順序で更新用のプログラムの送信を行い、更新処理対象の全てのＥＣＵ２について更新用のプログラムの送信を行う。ゲートウェイ４から更新用のプログラムを受信したＥＣＵ２は、受信した更新用のプログラムを記憶部２２の空き領域２２ｂに書き込む。

　通信結果受信部４１ｃは、車内通信部４３により車内ネットワークを介して、ＢＣＭ６から無線キー７との通信結果に関する情報を受信する処理を行う。本実施の形態に係るＢＣＭ６は、無線キー７との間で無線信号の送受信を行い、無線キー７から受信した無線信号の信号強度を検出する機能を有しており、検出した信号強度に関する情報を含むメッセージをゲートウェイ４へ送信する。このメッセージを受信した通信結果受信部４１ｃは、無線キー７から受信した無線信号の信号強度に関する情報を距離判定部４１ｄへ与える。

　距離判定部４１ｄは、通信結果受信部４１ｃがＢＣＭ６から受信した情報に基づいて、無線キー７から受信した無線信号の信号強度が所定強度を超えるか否かを判定することによって、無線キー７が車両１から所定距離内に存在するか否かを判定する。距離判定部４１ｄは、無線キー７が車両１から所定距離内に存在するか否かの判定結果を、中断処理部４１ｅへ与える。

　中断処理部４１ｅは、距離判定部４１ｄの判定結果に応じて、更新用情報送信部４１ｂによるＥＣＵ２への更新用のプログラムの送信処理を中断し、ＥＣＵ２のプログラム２２ａの更新処理を中断する処理を行う。即ち中断処理部４１ｅは、無線キー７が車両１から所定距離内に存在すると判定された場合に、更新用情報送信部４１ｂによるＥＣＵ２への更新用のプログラムの送信処理を中断する。またこのときに中断処理部４１ｅは、更新処理の中段をＥＣＵ２へ通知してもよい。更新処理が中断されたＥＣＵ２は、復帰処理部２１ｄにより更新前のプログラム２２ａによる動作に復帰する。

　なお、中断処理部４１ｅによりＥＣＵ２の更新処理が中断された後、無線キー７が車両１から所定距離内に存在しないと距離判定部４１ｄが判定した場合、中断処理部４１ｅは更新処理の中断を解除してよい。中断が解除された場合、更新用情報送信部４１ｂは、更新用のプログラムの送信を再開してよい。なお更新用のプログラムの送信を再開する場合、更新用情報送信部４１ｂは、中断された続きから送信を再開してもよく、中断された更新用のプログラムの最初から再び送信を行ってもよい。また更新用のプログラムの送信を再開するタイミングは、例えば無線キー７が車両１から所定距離内に存在しないと判定された直後であってもよく、また例えばこの判定がなされた後に所定時間が経過した場合など、無線キー７が車両１から所定距離内に存在しないと判定され且つ所定の条件が満たされたタイミングとしてもよい。

　図５は、ＢＣＭ６の構成を示すブロック図である。本実施の形態に係るＢＣＭ６は、処理部６１、記憶部６２、車内通信部６３、制御信号出力部６４、無線通信部６５及び信号強度判定部６７等を備えて構成されている。処理部６１は、例えばＣＰＵ又はＭＰＵ等の演算処理装置を用いて構成され、記憶部６２又は図示しないＲＯＭ等に記憶されたプログラムを読み出して実行することにより、種々の演算処理を行う。本実施の形態において処理部６１は、無線キー７との間で無線通信を行う処理、この無線通信の結果に応じて車両１のドアのロック／アンロックを制御する処理、及び、無線キー７から受信した無線信号の信号強度をゲートウェイ４へ通知する処理等を行う。

　記憶部６２は、フラッシュメモリ又はＥＥＰＲＯＭ等の不揮発性のメモリ素子を用いて構成されている。記憶部６２は、例えば処理部６１が実行するプログラム及びこのプログラムの実行に必要なデータなどを記憶し、処理部６１の処理の過程で生成されたデータなどを記憶してもよい。車内通信部６３は、車内ネットワークを構成する通信線に接続され、例えばＣＡＮなどの通信プロトコルに従ってデータの送受信を行う。車内通信部６３は、処理部６１から与えられたデータを電気信号に変換して通信線へ出力することによって情報を送信すると共に、通信線の電位をサンプリングして取得することによりデータを受信し、受信したデータを処理部６１へ与える。

　制御信号出力部６４は、車両１の各ドアに設けられたドアロック機構６８と制御信号線を介して接続されている。制御信号出力部６４は、処理部６１の処理に基づき、ドアロック機構６８の動作を制御する制御信号を出力する。ドアロック機構６８は、車両１のドアのロック／アンロックを行う機械機構と、この機械機構を動作させるモータ又はアクチュエータ等とを有し、ＢＣＭ６から与えられる制御信号に応じてドアのロック／アンロックを行う。

　無線通信部６５は、車両１内の適所に配されたアンテナ６６が接続されており、アンテナ６６を介して無線信号の送受信を行うことによって、無線キー７との間で無線通信を行う。なおアンテナ６６は、送信用のものと受信用のものとが別に設けられてよい。無線通信部６５は、送信メッセージを変調した信号をアンテナ６６へ出力することによって無線キー７へのメッセージ送信を行うと共に、アンテナ６６にて受信した信号を復調して無線キー７からのメッセージを取得する。無線通信部６５は、処理部６１から与えられたメッセージを無線キー７へ送信すると共に、無線キー７から受信したメッセージを処理部６１へ与える。

　信号強度判定部６７は、無線信号の信号強度を判定するものであり、いわゆるＲＳＳＩ（Received Signal Strength Indication）の機能を有する。信号強度判定部６７は、無線通信部６５が無線キー７から受信した無線信号の信号強度を判定し、判定結果を処理部６１へ与える。

　また処理部６１には、記憶部６２又はＲＯＭ等に記憶されたプログラムが実行されることによって、通信処理部６１ａ、ドアロック制御処理部６１ｂ及び通信結果送信部６１ｃ等がソフトウェア的な機能ブロックとして実現される。通信処理部６１ａは、無線キー７との間で行う無線通信に係る処理を行う。本実施の形態において通信処理部６１ａは、車両１のＩＧスイッチがオフ状態であっても、周期的に無線キー７へ所定の無線信号を送信する処理を行っている。無線キー７は、車両１から所定の無線信号を受信した場合に応答を行う。通信処理部６１ａは、所定の無線信号の送信に対する無線キー７からの応答が得られた場合に、無線キー７との間で必要な情報交換を無線通信により行い、例えば認証処理などを行って無線キー７が正当なものであるか否かを判定する。通信処理部６１ａは、正当な無線キー７との無線通信が成立した場合、その旨をドアロック制御処理部６１ｂへ通知する。

　ドアロック制御処理部６１ｂは、通信処理部６１ａによる無線キー７との通信結果に応じて、ドアロック機構６８による車両１のドアのロック／アンロックを制御する。ドアロック制御処理部６１ｂは、例えば正当な無線キー７との無線通信が成立した場合にドアをアンロックし、正当な無線キー７との無線通信を行うことができない場合にドアをロックする。ドアロック制御処理部６１ｂは、ドアのロック／アンロックを行う命令を制御信号出力部６４へ与え、制御信号出力部６４はこの命令に応じてドアロック機構６８への制御信号を生成して出力する。

　通信結果送信部６１ｃは、無線通信部６５にて無線キー７との無線通信が行われる都度、無線キー７との間で行った無線通信の結果に係る情報、本実施の形態においては信号強度判定部６７が判定した無線キー７からの無線信号の信号強度の情報を、ゲートウェイ４へ送信する。

　図６は、ゲートウェイ４が行う更新用プログラム取得処理の手順を示すフローチャートである。ゲートウェイ４の処理部４１の更新用情報取得部４１ａは、車両１のＩＧスイッチがオフ状態からオン状態へ切り替えられたか否かを判定する（ステップＳ１）。ＩＧスイッチがオン状態へ切り替えられていない場合（Ｓ１：ＮＯ）、更新用情報取得部４１ａは、ＩＧスイッチがオン状態へ切り替えられるまで待機する。ＩＧスイッチがオン状態へ切り替えられた場合（Ｓ１：ＹＥＳ）、更新用情報取得部４１ａは、ＴＣＵ５を介した無線通信を行い、サーバ装置９へ車両１に搭載されたＥＣＵ２のプログラムの更新の有無を問い合わせる（ステップＳ２）。

　更新用情報取得部４１ａは、問い合わせに対してサーバ装置９から送信される応答を、ＴＣＵ５を介して受信する（ステップＳ３）。この応答には、更新の有無の他に、更新が必要なプログラムに係る情報、例えばプログラムの識別情報及びデータ量等の情報が含まれている。更新用情報取得部４１ａは、サーバ装置９からの応答に基づいて、車両１に搭載されたＥＣＵ２のプログラムの更新の有無を判定する（ステップＳ４）。更新がない場合（Ｓ４：ＮＯ）、更新用情報取得部４１ａは、ステップＳ１へ処理を戻す。更新がある場合（Ｓ４：ＹＥＳ）、更新用情報取得部４１ａは、サーバ装置９へ更新用プログラムの送信を要求する（ステップＳ５）。更新用情報取得部４１ａは、要求に応じてサーバ装置９から送信される更新用プログラムを、ＴＣＵ５を介して受信し（ステップＳ６）、受信した更新用プログラムを記憶部１２に記憶して（ステップＳ７）、ステップＳ１へ処理を戻す。

　図７は、サーバ装置９が行う更新用プログラム送信処理の手順を示すフローチャートである。サーバ装置９は、車両１のゲートウェイ４からＥＣＵ２のプログラムの更新有無の問合わせを受信したか否かを判定する（ステップＳ２１）。問合わせを受信していない場合（Ｓ２１：ＮＯ）、サーバ装置９は、ステップＳ２４へ処理を進める。問合わせを受信した場合（Ｓ２１：ＹＥＳ）、サーバ装置９は、車両１のプログラムのバージョンなどを記録するデータベースにアクセスすることによって、問合わせに係る車両１のＥＣＵ２のプログラムについての更新の有無を調査する（ステップＳ２２）。サーバ装置９は、調査結果として得られた更新の有無を応答として問合わせ元のゲートウェイ４へ送信し（ステップＳ２３）、ステップＳ２４へ処理を進める。

　次いでサーバ装置９は、車両１のゲートウェイ４から更新用プログラムの送信要求を受信したか否かを判定する（ステップＳ２４）。送信要求を受信していない場合（Ｓ２４：ＮＯ）、サーバ装置９は、ステップＳ２１へ処理を戻す。送信要求を受信した場合（Ｓ２４：ＹＥＳ）、サーバ装置９は、要求元の車両１のＥＣＵ２にて更新処理を行うべき更新用プログラムを読み出し、要求元のゲートウェイ４へ送信する（ステップＳ２５）。更新用プログラムの送信完了後、サーバ装置９は、更新用プログラムを送信した旨を記録するためにデータベースを更新し（ステップＳ２６）、ステップＳ２１へ処理を戻す。

　図８は、ゲートウェイ４が行う更新処理の手順を示すフローチャートである。ゲートウェイ４の処理部４１は、例えば車両１のＩＧスイッチがオフ状態となり且つ所定の時刻に至った場合など、所定の更新処理を行うタイミングに至ったか否かを判定する（ステップＳ３１）。更新処理を行うタイミングに至っていない場合（Ｓ３１：ＮＯ）、処理部４１は、更新処理を行うタイミングに至るまで待機する。更新処理を行うタイミングに至った場合（Ｓ３１：ＹＥＳ）、処理部４１は、記憶部１２に未使用の更新処理プログラムが記憶されているか否かを調べることによって、更新処理を行う必要があるか否かを判定する（ステップＳ３２）。更新処理を行う必要がない場合（Ｓ３２：ＮＯ）、処理部４１は、ステップＳ３１へ処理を戻す。更新処理を行う必要がある場合（Ｓ３２：ＹＥＳ）、処理部４１は、車内通信部４３にて、更新処理を行うＥＣＵ２に対して更新処理を行う旨を通知する（ステップＳ３３）。

　次いで処理部４１は、通信結果受信部４１ｃがＢＣＭ６から受信した通信結果に基づき、ＢＣＭ６が無線キー７から受信した無線信号の信号強度が閾値を超えるか否かを距離判定部４１ｄが判定することにより、無線キー７が車両１の近くに存在するか否かを判定する（ステップＳ３４）。無線キー７が車両１の近くに存在しない場合（Ｓ３４：ＮＯ）、処理部４１の更新用情報送信部４１ｂは、記憶部４２に記憶された更新用のプログラムを読み出して、更新対象のＥＣＵ２へ送信する（ステップＳ３５）。このときに更新用情報送信部４１ｂは、記憶部４２に記憶された更新用のプログラムを所定のデータサイズに分割し、分割した更新用のプログラムを順次的にＥＣＵ２へ送信する。更新用情報送信部４１ｂは、記憶部４２に記憶されている更新前のプログラムのＥＣＵ２への送信を完了したか否かを調べることにより、ＥＣＵ２の更新処理が完了したか否かを判定する（ステップＳ３６）。更新処理が完了していない場合（Ｓ３６：ＮＯ）、処理部４１は、ステップＳ３４へ処理を戻す。

　またステップＳ３４にて、無線キー７が車両１の近くに存在する場合（Ｓ３４：ＹＥＳ）、処理部４１の中断処理部４１ｅは、更新用情報送信部４１ｂによる更新用のプログラムの送信を中断し、更新処理を中断する旨をＥＣＵ２へ通知する処理を行う（ステップＳ３７）。中断処理部４１ｅは、無線キー７が車両１の近くに存在しなくなり、更新処理を中断する要因がなくなった場合、更新処理を中断したＥＣＵ２に対して更新処理を行う旨の通知を再送し、ステップＳ３４へ処理を戻す。処理部４１は、更新用のプログラムのＥＣＵ２への送信と、必要に応じて送信の中断とを行いながら、更新用のプログラムのＥＣＵ２への送信を継続して行う。更新処理が完了した場合（Ｓ３６：ＹＥＳ）、処理部４１は、更新完了した更新用プログラムを記憶部４２から消去して（ステップＳ３８）、ステップＳ３１へ処理を戻す。

　図９は、ＢＣＭ６が行う処理の手順を示すフローチャートである。ＢＣＭ６は例えば数ミリ秒～数秒程度の周期で無線キー７との無線通信を試みており、処理部６１の通信処理部６１ａは、無線キー７との無線通信を行うタイミングに至ったか否かを判定する（ステップＳ４１）。無線通信を行うタイミングに至っていない場合（Ｓ４１：ＮＯ）、通信処理部６１ａは、無線通信を行うタイミングに至るまで待機する。無線通信を行うタイミングに至った場合（Ｓ４１：ＹＥＳ）、通信処理部６１ａは、所定の無線信号をアンテナ６６から送信する（ステップＳ４２）。この無線信号の到達範囲内に無線キー７が存在する場合には、無線信号を受信した無線キー７は受信した旨を無線通信にて応答する。

　ＢＣＭ６の通信処理部６１ａは、無線キー７から応答が得られたか否かを判定する（ステップＳ４３）。応答が得られなかった場合（Ｓ４３：ＮＯ）、通信処理部６１ａは、ステップＳ４１へ処理を戻す。無線キー７からの応答が得られた場合（Ｓ４３：ＹＥＳ）、通信処理部６１ａは、無線キー７との間で無線通信による情報交換を行い、得られた情報に基づいて認証処理を行う（ステップＳ４４）。認証処理の結果に基づいて、通信処理部６１ａは、無線通信相手の無線キー７が正当な無線キー７であるか否かを判定する（ステップＳ４５）。正当な無線キー７でない場合（Ｓ４５：ＮＯ）、通信処理部６１ａは、ステップＳ４１へ処理を戻す。

　無線通信相手が正当な無線キー７である場合（Ｓ４５：ＹＥＳ）、処理部６１の通信結果送信部６１ｃは、信号強度判定部６７による無線キー７から受信した無線信号の信号強度の判定結果を取得する（ステップＳ４６）。通信結果送信部６１ｃは、取得した信号強度の判定結果を、車内通信部６３にてゲートウェイ４へ送信する（ステップＳ４７）。また処理部６１のドアロック制御処理部６１ｂは、無線キー７との無線通信に応じて、車両１のドアのロック／アンロックを制御し（ステップＳ４８）、ステップＳ４１へ処理を戻す。

　図１０は、ＥＣＵ２が行う更新処理の手順を示すフローチャートである。ＥＣＵ２の処理部２１は、記憶部２２に記憶されたプログラム２２ａの更新処理を行う旨の通知をゲートウェイ４から受信したか否かを判定する（ステップＳ５１）。通知を受信していない場合（Ｓ５１：ＮＯ）、処理部２１は、更新処理を行う旨の通知を受信するまで待機する。更新処理を行う旨の通知を受信した場合Ｓ（５１：ＹＥＳ）、処理部２１は、記憶部２２に記憶されたプログラム２２ａによる通常の処理を停止し（ステップＳ５２）、通常の動作モードから更新処理を行うモードへと切り替わる。

　処理部２１の更新用情報受信部２１ａは、ゲートウェイ４から送信される更新用のプログラム（所定のデータサイズに分割された更新用のプログラム）を受信したか否かを判定する（ステップＳ５３）。更新用のプログラムを受信した場合（Ｓ５３：ＹＥＳ）、処理部２１の更新用情報書込処理部２１ｂは、受信した更新用のプログラムを、記憶部２２の空き領域２２ｂへ書き込む（ステップＳ５５）。処理部２１は、ゲートウェイ４から受信すべき更新用のプログラムの全てを受信して書き込みを完了したか否かを判定する（ステップＳ５６）。更新用のプログラムの全てについての書き込みが完了していない場合（Ｓ５６：ＮＯ）、処理部２１は、ステップＳ５３へ処理を戻す。更新用のプログラムの全ての書き込みが完了した場合（Ｓ５６：ＹＥＳ）、処理部２１の更新処理部２１ｃは、記憶部２２に記憶されている更新前のプログラム２２ａを無効化し、新たに記憶した更新用のプログラム２２ａを有効化することによって、処理部２１が実行するプログラム２２ａの切り替えを行い（ステップＳ５７）、ステップＳ５１へ処理を戻す。これによりＥＣＵ２は、更新処理を行うモードから、更新されたプログラム２２ａによる通常動作モードへと切り替わる。

　ゲートウェイ４から更新用のプログラムを受信していない場合（Ｓ５３：ＮＯ）、処理部２１は、ゲートウェイ４から更新処理を中断する旨の通知を受信したか否かを判定する（ステップＳ５４）。中断の通知を受信していない場合（Ｓ５４：ＮＯ）、処理部２１は、ステップＳ５３へ処理を戻し、ゲートウェイ４から更新用のプログラム又は更新処理中断の通知を受信するまで待機する。更新処理を中断する旨の通知を受信した場合（Ｓ５４：ＹＥＳ）、処理部２１の復帰処理部２１ｄは、更新用のプログラムの受信及び書き込みを中断して、記憶部２２に記憶されている更新前のプログラム２２ａによる動作に復帰する処理を行い（ステップＳ５８）、ステップＳ５１へ処理を戻す。これによりＥＣＵ２は、更新処理を行うモードから、更新前のプログラム２２ａによる通常動作モードへと切り替わる。

　以上の構成の本実施の形態に係る車載更新システムでは、ゲートウェイ４の記憶部４２に記憶された更新用のプログラムをＥＣＵ２へ送信し、ＥＣＵ２が受信した更新用のプログラムを自身の記憶部２２に書き込むことによって更新処理が行われる。ただしＥＣＵ２は、更新前のプログラム２２ａを記憶した第１の記憶領域と、更新用のプログラムを書き込む第２の記憶領域（空き領域２２ｂ）とを記憶部２２に有しており、更新前のプログラム２２ａを上書きすることなく、ゲートウェイ４から受信した更新前のプログラムを記憶部２２に書き込むことができる。ＥＣＵ２は、更新用のプログラムの書き込み完了後に、記憶部２２に記憶された更新前のプログラム２２ａから新たに書き込んだ更新用のプログラム２２ａへ処理部２１のブート対象を変更することで、プログラム２２ａの更新を行う。

　更に本実施の形態に係る車載更新システムでは、車両１のユーザなどが所持する無線キー７との無線通信をＢＣＭ６が行い、その通信結果である受信信号の信号強度に関する情報をＢＣＭ６がゲートウェイ４へ送信する。ゲートウェイ４は、信号強度が閾値を超えるか否かに応じて無線キー７が車両１の近くに存在するか否かを判定し、無線キー７が近くに存在する場合には、ＥＣＵ２への更新用のプログラムの送信を中断し、更新処理を中断する。更新用のプログラムの送信が中断され、更新処理が中断されたＥＣＵ２は、更新用のプログラムの記憶部２２への書き込みを中断し、記憶部２２に記憶されている更新前のプログラムによる動作に復帰する。

　無線キー７が車両１の近くに存在する場合、これを所持するユーザが車両１の近くに存在し、車両１が使用される可能性が高いと推測できる。このような場合にＥＣＵ２の更新処理を中断して元の状態へ復帰させておくことによって、更新処理の途中であってもユーザは車両１を利用することができる。よって本実施の形態に係る車載更新システムは、ユーザの車両使用に関する利便性の低下を防止して、ＥＣＵ２の更新処理を行うことができる。

　なお本実施の形態においては、ＢＣＭ６が無線通信を行う可搬型の通信器を車両１の無線キー７としたが、これに限るものではない。例えばユーザが所持する携帯電話機又はスマートフォン等の通信機器との無線通信を行い、これらの通信機器が車両１の近くに存在するか否かを判定する構成としてもよい。また、車両１に搭載されたゲートウェイ４がサーバ装置９からの更新用のプログラムの取得及び各ＥＣＵ２への更新用のプログラムの送信等を行う構成、即ちゲートウェイ４が車載更新装置として機能する構成としたが、これに限るものではない。いずれかのＥＣＵ２、ＴＣＵ５、ＢＣＭ６又はこれら以外の車載機器が車載更新装置としての処理を行う構成としてもよい。また更新用のプログラムを無線通信にて車外のサーバ装置９から取得する構成としたが、これに限るものではない。例えば更新用のプログラムが記録された記録媒体をゲートウェイ４が読み込むことによって更新用のプログラムを取得する構成としてもよい。また更新対象の通信装置をＥＣＵ２としたが、これに限るものではなく、ＥＣＵ２以外の種々の通信装置を更新処理の対象としてよい。

　また、車両１のディーラなどにおいてプログラム２２ａを更新する更新装置を車内ネットワークに接続し、この更新装置からＥＣＵ２へ更新用のプログラムを送信することで更新処理を行う機能を、上述のサーバ装置９から取得した更新用のプログラムをゲートウェイ４がＥＣＵ２へ送信することで更新処理を行う機能と併用してもよい。ただしこの構成の場合、ディーラなどで更新装置を用いた更新処理を行っている際に無線キー７が車両１の近くに存在していても、更新処理を中断する必要はない。

　また本実施の形態においては、ユーザが所持する無線キー７が車両１に近づいた場合にドアをアンロックする構成としたが、これに限るものではない。例えば、無線キー７を所持するユーザが車両１のドアに設けられたスイッチを操作した場合、又は、ユーザが無線キー７に設けられたスイッチを操作した場合に、車両１のドアをアンロックする構成としてもよい。このような構成の場合、ＢＣＭ６は周期的な無線信号の送信を行う必要はない。ＢＣＭ６は、例えば車両１のドアのスイッチが操作された場合、又は、無線キー７から操作に応じた無線信号を受信した場合に、無線キー７との認証処理などを行い、正当な無線キー７との無線通信が成立した旨をゲートウェイ４へ通信結果として通知する構成とすることができる。ゲートウェイ４は、ＢＣＭ６から正当な無線キー７との無線通信が成立した旨の通知を受信した場合に、ＥＣＵ２の更新処理を中断する構成とすることができる。

（実施の形態２）
　上述の実施の形態１に係る車載更新システムでは、ＢＣＭ６が無線キー７から受信した無線信号の信号強度に係る情報をゲートウェイ４へ送信し、ゲートウェイ４がこの信号強度に基づいて無線キー７が車両１の近くに存在するか否かを判定する構成であった。
　これに対して実施の形態２に係る車載更新システムは、無線キー７から受信した無線信号の信号強度に基づいて、無線キー７が車両１の近くに存在するか否かの判定をＢＣＭ６が行う構成である。

　図１１は、実施の形態２に係るＢＣＭ２０６の構成を示すブロック図である。実施の形態２に係るＢＣＭ２０６は、図５に示した実施の形態１に係るＢＣＭ６の処理部６１に設けられた通信結果送信部６１ｃに代えて、距離判定部２６１ｃ及び距離判定結果送信部２６１ｄが処理部６１に設けられた構成である。距離判定部２６１ｃは、信号強度判定部６７が判定した無線キー７からの無線信号の信号強度に基づいて、この信号強度が所定強度を超えるか否かを判定することによって、無線キー７が車両１から所定距離内に存在するか否かを判定する。距離判定結果送信部２６１ｄは、無線通信部６５にて無線キー７との無線通信が行われる都度、距離判定部２６１ｃの判定結果をゲートウェイ２０４へ送信する。

　図１２は、実施の形態２に係るゲートウェイ２０４の構成を示すブロック図である。実施の形態２に係るゲートウェイ２０４は、図４に示した実施の形態１に係るゲートウェイ４の処理部４１に設けられた距離判定部４１ｄが設けられておらず、且つ、通信結果受信部４１ｃに代えて距離判定結果受信部２４１ｃが設けられた構成である。距離判定結果受信部２４１ｃは、車内通信部４３により車内ネットワークを介して、ＢＣＭ２０６から無線キー７が車両１の近くに存在するか否かの判定結果を受信する処理を行う。距離判定結果受信部２４１ｃは、受信した判定結果を中断処理部４１ｅへ与える。中断処理部４１ｅは、距離判定結果受信部２４１ｃから与えられた判定結果に応じて、更新用情報送信部４１ｂによるＥＣＵ２への更新用のプログラムの送信処理を中断し、ＥＣＵ２のプログラム２２ａの更新処理を中断する処理を行う。

　以上の構成の実施の形態２に係る車載更新システムは、無線キー７から受信した無線信号の信号強度に基づく距離判定をＢＣＭ２０６が行って判定結果をゲートウェイ２０４へ送信する構成である。このように、無線キー７から受信した無線信号の信号強度に基づく距離判定は、車両１に搭載されたいずれの装置が行ってもよい。

　なお、実施の形態２に係る車載更新システムのその他の構成は、実施の形態１に係る車載更新システムと同様であるため、同様の箇所には同じ符号を付し、詳細な説明を省略する。

（実施の形態３）
　実施の形態３に係る車載通信システムは、実施の形態１に係る車載通信システムのゲートウェイ４及びＢＣＭ６の機能を、１つのゲートウェイに集約した構成である。図１３は、実施の形態３に係るゲートウェイ３０４の構成を示すブロック図である。実施の形態３に係るゲートウェイ３０４は、処理部４１、記憶部４２、複数の車内通信部４３、制御信号出力部３６４、無線通信部３６５及び信号強度判定部３６７等を備えて構成されている。なお図１３においては、通信線を介してＥＣＵ２が接続された車内通信部４３を１つのみ図示しているが、これは図面を簡略化するためであり、ゲートウェイ３０４は実際には同様の車内通信部４３を２つ以上備えている。

　処理部４１は、通信線間のデータ送受信を中継する処理、無線キー７との間で無線通信を行う処理、この無線通信の結果に応じて車両１のドアのロック／アンロックを制御する処理、及び、ＥＣＵ２の更新処理等に必要な演算処理を行う。記憶部４２は、例えば処理部４１が実行するプログラム及びこのプログラムの実行に必要なデータなどを記憶すると共に、ＥＣＵ２の更新用のプログラムを記憶する。車内通信部４３は、処理部４１から与えられたデータを電気信号に変換して通信線へ出力することによって情報を送信すると共に、通信線の電位をサンプリングして取得することによりデータを受信し、受信したデータを処理部４１へ与える。

　制御信号出力部３６４は、処理部４１の処理に基づいてドアロック機構６８の動作を制御する制御信号を出力し、車両１のドアのロック／アンロックを行う。無線通信部３６５は、車両１内の適所に配されたアンテナ６６を介して無線信号の送受信を行うことによって、無線キー７との間で無線通信を行う。信号強度判定部３６７は、無線通信部３６５が無線キー７から受信した無線信号の信号強度を判定し、判定結果を処理部４１へ与える。

　また処理部４１には、記憶部４２又はＲＯＭ等に記憶されたプログラムが実行されることによって、更新用情報取得部４１ａ、更新用情報送信部４１ｂ、通信処理部３４１ｃ、距離判定部４１ｄ、中断処理部４１ｅ及びドアロック制御処理部３４１ｆ等がソフトウェア的な機能ブロックとして実現される。更新用情報取得部４１ａは、ＴＣＵ５を介してサーバ装置９から更新用のプログラムを取得して記憶部４２に記憶する。更新用情報送信部４１ｂは、所定のタイミングで、サーバ装置９から取得して記憶部４２に記憶された更新用のプログラムを読み出し、読み出した更新用のプログラムを更新処理の対象となるＥＣＵ２へ送信する処理を行う。

　通信処理部３４１ｃは、無線キー７との間で行う無線通信に係る処理を行う。距離判定部４１ｄは、信号強度判定部３６７が判定した無線キー７からの無線信号の信号強度に基づいて、この信号強度が所定強度を超えるか否かを判定することによって、無線キー７が車両１から所定距離内に存在するか否かを判定する。中断処理部４１ｅは、距離判定部４１ｄの判定結果に応じて、更新用情報送信部４１ｂによるＥＣＵ２への更新用のプログラムの送信処理を中断し、ＥＣＵ２のプログラム２２ａの更新処理を中断する処理を行う。ドアロック制御処理部３４１ｆは、通信処理部３４１ｃによる無線キー７との通信結果に応じて、ドアロック機構６８による車両１のドアのロック／アンロックを制御する。

　以上の構成の実施の形態３に係る車載更新システムは、通信線間の通信を中継する処理、無線キー７との無線通信処理、車両１のドアのロック／アンロック処理、及び、ＥＣＵ２の更新処理等を１つの装置（ゲートウェイ３０４）が行う構成である。１つの装置にてこれらの処理を行う構成とすることにより、車両１に搭載される装置の数を削減できる。また更に、ゲートウェイ３０４がＴＣＵ５の機能を兼ね備える構成としてもよい。

　なお、実施の形態３に係る車載更新システムのその他の構成は、実施の形態１に係る車載更新システムと同様であるため、同様の箇所には同じ符号を付し、詳細な説明を省略する。

（実施の形態４）
　図１４は、実施の形態４に係る車載更新システムの構成を示す模式図である。実施の形態４に係る車載更新システムは、車両１の周辺を撮像する車外カメラ４０６を備えている。車外カメラ４０６は、所定の周期で車両１の周辺を撮像し、撮像により得られた画像を、車内ネットワークを介してゲートウェイ４０４へ入力する。なお車外カメラ４０６は、車両１の周囲を３６０°に亘って撮像することが可能な構成が好ましいが、車両１の周辺の一部のみを撮像する構成であってもよい。この場合に車外カメラ４０６は、車両１の運転席のドアの近傍を少なくとも撮像する構成であることが好ましい。なお車外カメラ４０６は、複数のカメラで実現されるものであってよい。

　図１５は、実施の形態４に係るゲートウェイ４０４の構成を示すブロック図である。実施の形態４に係るゲートウェイ４０４には、顔検出処理部４４１ｆが処理部４１にソフトウェア的な機能ブロックとして設けられている。顔検出処理部４４１ｆは、車外カメラ４０６から入力される画像から人の顔を検出する処理を行う。

　また更に、顔検出処理部４４１ｆは、車外カメラ４０６の撮像画像から検出した顔が、予め登録された車両１のユーザの顔と一致するか否かの判定を行う。なお顔検出処理部４４１ｆが行う人の顔の検出処理及び検出した顔が登録された顔と一致するか否かの判定処理は、既存の技術であるため、詳細な説明を省略する。

　実施の形態４に係るゲートウェイ４０４の中断処理部４１ｅは、顔検出処理部４４１ｆが車外カメラ４０６の撮像画像から車両１のユーザの顔を検出した場合、更新用情報送信部４１ｂによるＥＣＵ２への更新用のプログラムの送信処理を中断し、ＥＣＵ２のプログラム２２ａの更新処理を中断する処理を行う。更新処理が中断されたＥＣＵ２は、復帰処理部２１ｄにより更新前のプログラム２２ａによる動作に復帰する。

　以上の構成の実施の形態４に係る車載更新システムは、車両１の周辺を車外カメラ４０６にて撮像し、撮像結果に応じてゲートウェイ４０４がＥＣＵ２への更新用プログラムの送信を中断する。例えばゲートウェイ４０４は、車外カメラ４０６の撮像画像から人の顔検出を行い、顔が検出された場合に更新用プログラムの送信を中断する構成とすることができる。また更に、検出された顔が車両１のユーザとして登録された顔と一致するか否かの顔認証を行い、認証結果に応じて更新用プログラムの送信を中断する構成とすることができる。これらにより、車両１を利用する可能性があるユーザが車両１の周辺に存在する場合に、更新処理を中断することが可能となる。

　なお、実施の形態４においては、車外カメラ４０６の撮像画像をゲートウェイ４０４が取得し、ゲートウェイ４０４が顔検出などの処理を行う構成としたが、これに限るものではない。例えば、車外カメラ４０６が顔検出などの処理を行い、処理結果をゲートウェイ４０４へ通知する構成としてもよい。

　また実施の形態４に係る車載更新システムのその他の構成は、実施の形態１に係る車載更新システムと同様であるため、同様の箇所には同じ符号を付し、詳細な説明を省略する。

（実施の形態５）
　図１６は、実施の形態５に係る車載更新システムの構成を示す模式図である。実施の形態５に係る車載更新システムは、認証装置５０７を備えている。認証装置５０７は、例えばユーザの生体情報である指紋又は静脈の情報を取得し、取得した生体情報が予め登録された生体情報と一致するか否かを判定することにより、ユーザの認証を行う装置である。

　実施の形態５に係る車載更新システムでは、車両１のドアの外側に、ユーザの生体情報を取得するための装置（認証装置５０７の一部であってよい）が設けられており、この装置が取得した生体情報に基づいて認証装置５０７が認証処理を行う。認証装置５０７による認証処理の結果は、ＢＣＭ５０６へ与えられる。取得した生体情報が登録されたものと一致すると認証装置５０７が判定した場合、即ち認証成功の結果が認証装置５０７から与えられた場合、ＢＣＭ５０６は、車両１のドアをアンロックする。

　また実施の形態５に係る車載更新システムでは、認証装置５０７の認証結果がゲートウェイ５０４へ与えられる。ゲートウェイ５０４の中断処理部４１ｅは、認証装置５０７から認証成功の結果が与えられた場合、更新用情報送信部４１ｂによるＥＣＵ２への更新用のプログラムの送信処理を中断し、ＥＣＵ２のプログラム２２ａの更新処理を中断する処理を行う。更新処理が中断されたＥＣＵ２は、復帰処理部２１ｄにより更新前のプログラム２２ａによる動作に復帰する。

　以上の構成の実施の形態５に係る車載更新システムは、人の生体情報を取得して、取得した生体情報に応じて更新用プログラムの送信を中断する。例えば、車両１のユーザの指紋情報又は静脈情報等の生体情報を認証装置５０７が取得し、指紋認証又は静脈認証等の認証処理を行って、認証成功した場合にのみＢＣＭ５０６が車両１のドアのアンロック又はエンジンの始動等を行うことができるシステムにおいて、認証成功した場合にゲートウェイ５０４が更新処理を中断する構成とすることができる。これにより、ユーザが車両１を利用する可能性が高い場合に更新処理を中断することが可能となる。

　なお、実施の形態５においては、認証装置５０７が生体情報の取得及び認証処理を行い、認証結果をゲートウェイ５０４及びＢＣＭ５０６へ通知する構成としたが、これに限るものではない。例えばＢＣＭ５０６が生体情報の取得及び認証処理を行い、認証結果をゲートウェイ５０４へ通知する構成としてもよい。また例えばゲートウェイ５０４が生体情報の取得及び認証処理を行い、認証結果をＢＣＭ５０６へ通知する構成としてもよい。

　また実施の形態５に係る車載更新システムのその他の構成は、実施の形態１に係る車載更新システムと同様であるため、同様の箇所には同じ符号を付し、詳細な説明を省略する。

　１　車両
　２　ＥＣＵ（車載機器）
　４　ゲートウェイ（車載更新装置）
　５　ＴＣＵ
　６　ＢＣＭ（無線通信装置）
　７　無線キー
　９　サーバ装置
　２１　処理部
　２１ａ　更新用情報受信部
　２１ｂ　更新用情報書込処理部
　２１ｃ　更新処理部
　２１ｄ　復帰処理部
　２２　記憶部
　２２ａ　プログラム
　２２ｂ　空き領域
　２３　通信部
　４１　処理部
　４１ａ　更新用情報取得部
　４１ｂ　更新用情報送信部
　４１ｃ　通信結果受信部
　４１ｄ　距離判定部
　４１ｅ　中断処理部
　４２　記憶部（更新用記憶部）
　４３　車内通信部
　６１　処理部
　６１ａ　通信処理部
　６１ｂ　ドアロック制御処理部
　６１ｃ　通信結果送信部
　６２　記憶部
　６３　車内通信部
　６４　制御信号出力部
　６５　無線通信部
　６６　アンテナ
　６７　信号強度判定部
　６８　ドアロック機構
　２０４　ゲートウェイ（車載更新装置）
　２０６　ＢＣＭ（無線通信装置）
　２４１ｃ　距離判定結果受信部
　２６１ｃ　距離判定部
　２６１ｄ　距離判定結果送信部
　３０４　ゲートウェイ（車載更新装置）
　３４１ｃ　通信処理部
　３４１ｆ　ドアロック制御処理部
　３６４　制御信号出力部
　３６５　無線通信部
　３６６　信号強度判定部
　４０４　ゲートウェイ（車載更新装置）
　４０６　車外カメラ（カメラ）
　４４１ｆ　顔検出処理部
　５０４　ゲートウェイ（車載更新装置）
　５０６　ＢＣＭ
　５０７　認証装置（生体情報取得部）

Claims

　車両に搭載され、プログラム又はデータを記憶する記憶部並びに前記記憶部に記憶されたプログラム又はデータを読み出して実行する処理部を有する車載機器の前記記憶部に記憶されたプログラム又はデータを更新する処理を行う車載更新システムであって、
　更新用のプログラム又はデータを記憶する更新用記憶部と、
　前記更新用記憶部に記憶された更新用のプログラム又はデータを前記車載機器へ送信する更新用情報送信部と、
　前記更新用情報送信部による更新用のプログラム又はデータの前記車載機器への送信を中断する処理を行う中断処理部と
　を備え、
　前記車載機器の記憶部は、前記処理部が実行しているプログラム又はデータを記憶した第１記憶領域、及び、更新用のプログラム又はデータを記憶する第２記憶領域を含み、
　前記車載機器は、
　前記更新用情報送信部が送信した更新用のプログラム又はデータを受信する更新用情報受信部と、
　前記更新用情報受信部が更新用のプログラム又はデータを受信した場合、前記処理部による前記第１記憶領域に記憶されたプログラム又はデータの実行を停止し、前記更新用情報受信部が受信した更新用のプログラム又はデータを前記第２記憶領域に書き込む処理を行う更新用情報書込処理部と、
　前記中断処理部が送信を中断した場合に、前記処理部による前記第１記憶領域に記憶されたプログラム又はデータの実行に復帰する処理を行う復帰処理部と、
　更新用のプログラム又はデータの前記第２記憶領域への書き込みを完了した後、前記処理部によるプログラム又はデータの実行対象を前記第１記憶領域から前記第２記憶領域へ変更する更新処理部と
　を有すること
　を特徴とする車載更新システム。
　前記中断処理部は、前記車両の周辺の状況に応じて、前記更新用のプログラム又はデータの送信を中断すること
　を特徴とする請求項１に記載の車載更新システム。
　前記中断処理部は、前記車両の周辺に、前記車両の利用者が存在する場合に、前記更新用のプログラム又はデータの送信を中断すること
　を特徴とする請求項２に記載の車載更新システム。
　可搬型の通信器との間で無線通信を行う無線通信部を備え、
　前記中断処理部は、前記無線通信部による前記通信器との通信結果に応じて、前記更新用のプログラム又はデータの送信を中断すること
　を特徴とする請求項１乃至請求項３のいずれか１つに記載の車載更新システム。
　前記無線通信部による前記通信器との通信結果に応じて、前記通信器までの距離を判定する距離判定部を備え、
　前記中断処理部は、前記距離判定部が判定した距離が所定距離より近い場合に、送信を中断すること
　を特徴とする請求項４に記載の車載更新システム。
　前記無線通信部、前記距離判定部、及び、前記距離判定部の判定結果を送信する距離判定結果送信部を有する無線通信装置と、
　前記更新用記憶部、前記車両外の装置から更新用のプログラム又はデータを取得して前記更新用記憶部に記憶する更新用情報取得部、前記無線通信装置の距離判定結果送信部が送信した判定結果を受信する距離判定結果受信部、及び、前記中断処理部を有する車載更新装置と
　を備えることを特徴とする請求項５に記載の車載更新システム。
　前記無線通信部、及び、前記無線通信部による前記通信器との通信結果を送信する通信結果送信部を有する無線通信装置と、
　前記更新用記憶部、前記車両外の装置から更新用のプログラム又はデータを取得して前記更新用記憶部に記憶する更新用情報取得部、前記無線通信装置の通信結果送信部が送信した通信結果を受信する通信結果受信部、前記距離判定部、及び、前記中断処理部を有する車載更新装置と
　を備えることを特徴とする請求項５に記載の車載更新システム。
　前記無線通信部、前記距離判定部、前記更新用記憶部、前記車両外の装置から更新用のプログラム又はデータを取得して前記更新用記憶部に記憶する更新用情報取得部、及び、前記中断処理部を有する車載更新装置を備えること
　を特徴とする請求項５に記載の車載更新システム。
　前記車両の周辺を撮像するカメラを備え、
　前記中断処理部は、前記カメラの撮像結果に応じて、前記更新用のプログラム又はデータの送信を中断すること
　を特徴とする請求項１乃至請求項３のいずれか１つに記載の車載更新システム。
　人の生体情報を取得する生体情報取得部を備え、
　前記中断処理部は、前記生体情報取得部が取得した生体情報に応じて、前記更新用のプログラム又はデータの送信を中断すること
　を特徴とする請求項１に記載の車載更新システム。
　車両に搭載され、プログラム又はデータを記憶する記憶部並びに前記記憶部に記憶されたプログラム又はデータを読み出して実行する処理部を有する車載機器の前記記憶部に記憶されたプログラム又はデータを更新する処理を行う車載更新装置であって、
　前記車両外の装置から更新用のプログラム又はデータを取得する更新用情報取得部と、
　前記更新用情報取得部が取得した更新用のプログラム又はデータを記憶する更新用記憶部と、
　前記更新用記憶部に記憶された更新用のプログラム又はデータを前記車載機器へ送信する更新用情報送信部と、
　前記更新用情報送信部による更新用のプログラム又はデータの前記車載機器への送信を中断する処理を行う中断処理部と
　を備えることを特徴とする車載更新装置。
　車両に搭載され、プログラム又はデータを記憶する記憶部と、前記記憶部に記憶されたプログラム又はデータを読み出して実行する処理部とを備える車載機器において、
　前記記憶部は、前記処理部が実行しているプログラム又はデータを記憶した第１記憶領域、及び、更新用のプログラム又はデータを記憶する第２記憶領域を含み、
　更新用のプログラム又はデータを受信する更新用情報受信部と、
　前記更新用情報受信部が更新用のプログラム又はデータを受信した場合、前記処理部による前記第１記憶領域に記憶されたプログラム又はデータの実行を停止し、前記更新用情報受信部が受信した更新用のプログラム又はデータを前記第２記憶領域に書き込む処理を行う更新用情報書込処理部と、
　更新用のプログラム又はデータの送信が中断された場合に、前記処理部による前記第１記憶領域に記憶されたプログラム又はデータの実行に復帰する処理を行う復帰処理部と、
　更新用のプログラム又はデータの前記第２記憶領域への書き込みを完了した後、前記処理部によるプログラム又はデータの実行対象を前記第１記憶領域から前記第２記憶領域へ変更する更新処理部と
　を備えることを特徴とする車載機器。
　車両に搭載され、プログラム又はデータを記憶する記憶部並びに前記記憶部に記憶されたプログラム又はデータを読み出して実行する処理部を有する車載機器の前記記憶部に記憶されたプログラム又はデータを更新する更新方法であって、
　前記車載機器の記憶部は、前記処理部が実行しているプログラム又はデータを記憶した第１記憶領域、及び、更新用のプログラム又はデータを記憶する第２記憶領域を含み、
　更新用記憶部に記憶された更新用のプログラム又はデータを前記車載機器へ送信し、
　前記車両の周辺の状況に応じて、更新用のプログラム又はデータの前記車載機器への送信を中断し、
　前記車載機器が、更新用のプログラム又はデータを受信した場合、前記処理部による前記第１記憶領域に記憶されたプログラム又はデータの実行を停止し、受信した更新用のプログラム又はデータを前記第２記憶領域に書き込み、
　前記車載機器が、更新用のプログラム又はデータの送信が中断された場合、前記処理部による前記第１記憶領域に記憶されたプログラム又はデータの実行に復帰し、
　前記車載機器が、更新用のプログラム又はデータの前記第２記憶領域への書き込みを完了した後、前記処理部によるプログラム又はデータの実行対象を前記第１記憶領域から前記第２記憶領域へ変更すること
　を特徴とする更新方法。