WO2019009020A1

WO2019009020A1 - ソフトウェア更新装置

Info

Publication number: WO2019009020A1
Application number: PCT/JP2018/022274
Authority: WO
Inventors: シュテファンアウスト
Original assignee: 日本電気通信システム株式会社
Priority date: 2017-07-04
Filing date: 2018-06-11
Publication date: 2019-01-10
Also published as: JPWO2019009020A1; US20200125355A1; EP3651016A4; JP6888845B2; EP3651016A1

Abstract

ソフトウェア更新装置は、ソフトウェアを実行する電子機器に接続された通信ユニットと、ウェイクアップ受信ユニットとを含む。ウェイクアップ受信ユニットは、予め登録された無線アクセスポイントからウェイクアップ要求を受信すると、通信ユニットをスリープ状態からウェイクアップ状態に遷移させる。通信ユニットは、ウェイクアップ状態に遷移すると、外部装置との無線通信を開始し、外部装置から受信した更新ソフトウェアによって電子機器のソフトウェアを更新する。

Description

ソフトウェア更新装置

　本発明は、ソフトウェア更新装置、電子機器のソフトウェア更新方法、サーバ装置、サーバ装置によるソフトウェア更新方法、および記録媒体に関する。

　車両に搭載されたＥＣＵ（電子コントロールユニット：Ｅｌｅｃｔｒｏｎｉｃ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ）のソフトウェアを、無線通信によって更新するＳＯＴＡ（Ｓｏｆｔｗａｒｅ　Ｕｐｄａｔｅｓ　Ｏｖｅｒ－Ｔｈｅ－Ａｉｒ）が、各種提案されている。

　例えば特許文献１に、情報管理基地局装置が、管理下にある車両に搭載された複数のＥＣＵのソフトウェアを無線通信によってアップデートする方法（以下、第１の関連技術と記す）が記載されている。この第１の関連技術では、情報管理基地局装置（以下、基地局と記す）とその管理下にある車両とは、ＥＣＵのソフトウェア更新のために双方向に無線通信が行われる。無線通信は、Ｓ－バンド衛星通信、放送システム等の衛星通信、ＤＳＲＣ（Ｄｅｄｉｃａｔｅｄ　Ｓｈｏｒｔ　Ｒａｎｇｅ　Ｃｏｍｍｕｎｉｃａｔｉｏｎ）等の専用狭帯域通信、公衆回線による携帯電話網によって双方向に行われる。基地局は、先ず、アップデートの対象になるＥＣＵの有無を基地局からのアップデートリクエストによってスリープ状態からウェイクアップした全ての車両に対して確認する。次に、基地局は、ウェイクアップした車両からの返信によってアップデート対象のＥＣＵを選び出し、また、ウェイクアップした車両が更新可能な状況であるかを確認する。基地局は、車両のイグニッションスイッチがオフ、パーキングブレーキスイッチがオン、自動変速機のドライブポジションがＰレンジ、且つ車速が０の場合、車両が更新可能な状況であると判定する。次に、基地局は、ウェイクアップした車両からの返信によってウェイクアップした車両が更新可能であると判断したときに、アップデート対象のＥＣＵに対してＥＣＵ毎にアップデート内容をパケット分割してデータ送信するアップデートを実行する。

　また、特許文献２に、ＥＣＵのソフトウェアを無線通信によってアップデートする更新条件を動的に変更可能な方法（以下、第２の関連技術と記す）が記載されている。この第２の関連技術では、車両が所定の場所、すなわち自宅付近（例えば自宅の駐車場）、販売店、修理店などに存在することを無線通信によるソフトウェアの更新条件とする。車両の位置は、ＧＰＳ（Ｇｌｏｂａｌ　Ｐｏｓｉｔｉｏｎｉｎｇ　Ｓｙｓｔｅｍ）等の位置取得センサによって検出される。また、自宅位置情報（例えば住所）は、ユーザインタフェースを介してユーザによって入力される。また特許文献２には、所定の時間帯であることを無線通信によるソフトウェアの更新条件とすることも記載されている。

特許第４３６１９０２号公報特開２０１６－２１８９３２号公報

　第１の関連技術では、車両がどこに存在していてもウェイクアップして無線通信によってＥＣＵのソフトウェアをアップデートすることができる。このように、車両がどこにいてもソフトウェア更新のための無線通信が可能であると、悪意のある第三者による不正アクセスの危険性がある。

　また第２の関連技術では、車両が事前に定義された場所にいることを条件としてソフトウェアの更新を許可するため、一見、不正アクセスの危険性が低いようにみえる。しかし、第２の関連技術では、外部から不定期に到来する更新通知を受信し得るように車両はどこに存在していても外部との間で無線通信を行える状態になっている。そのため、第２の関連技術においても、悪意のある第三者による不正アクセスの危険性がある。

　本発明の目的は、上述した課題、即ち、どこに存在していても外部との間で無線通信を行える状態では悪意のある第三者による不正アクセスの危険性がある、という課題を解決するソフトウェア更新装置を提供することにある。

　本発明の一形態に係るソフトウェア更新装置は、
　ソフトウェアを実行する電子機器に接続された通信ユニットと、
　予め登録された無線アクセスポイントからウェイクアップ要求を受信すると、前記通信ユニットをスリープ状態からウェイクアップ状態に遷移させるウェイクアップ受信ユニットとを含み、
　前記通信ユニットは、前記ウェイクアップ状態に遷移すると、外部装置との無線通信を開始し、前記外部装置から受信した更新ソフトウェアによって前記電子機器の前記ソフトウェアを更新する。

　本発明の他の形態に係る電子機器のソフトウェア更新方法は、
　ウェイクアップ受信ユニットとソフトウェアを実行する電子機器に接続された通信ユニットとを含むソフトウェア更新装置が実行するソフトウェア更新方法であって、
　前記ウェイクアップ受信ユニットが、予め登録された無線アクセスポイントからウェイクアップ要求を受信すると、前記通信ユニットをスリープ状態からウェイクアップ状態に遷移させ、
　前記通信ユニットが、前記ウェイクアップ状態に遷移すると、外部装置との無線通信を開始し、前記外部装置から受信した更新ソフトウェアによって前記電子機器の前記ソフトウェアを更新する。

　本発明の他の形態に係るサーバ装置は、
　通信ユニットと、
　前記通信ユニットを通じて、予め登録された無線アクセスポイントからウェイクアップ要求を送信し、前記ウェイクアップ要求を受信しスリープ状態からウェイクアップ状態に遷移した機器から無線通信によって応答を受信すると、前記通信ユニットを通じて、前記機器のソフトウェアを更新するための更新ソフトウェアを前記無線アクセスポイントから前記機器へ送信する制御ユニットと、
を含む。

　本発明の他の形態に係るサーバ装置によるソフトウェア更新方法は、
　無線通信により機器のソフトウェアを更新するサーバ装置が実行するソフトウェア更新方法であって、
　予め登録された無線アクセスポイントからウェイクアップ要求を送信し、
　前記ウェイクアップ要求を受信しスリープ状態からウェイクアップ状態に遷移した機器から無線通信によって応答を受信すると、前記機器のソフトウェアを更新するための更新ソフトウェアを前記無線アクセスポイントから前記機器へ送信する。

　本発明の他の形態に係る記録媒体は、
　コンピュータを、
　ソフトウェアを実行する電子機器に接続された通信ユニットと、
　予め登録された無線アクセスポイントからウェイクアップ要求を受信すると、前記通信ユニットをスリープ状態からウェイクアップ状態に遷移させるウェイクアップ受信ユニットと、
して機能させ、
　前記通信ユニットは、前記ウェイクアップ状態に遷移すると、外部装置との無線通信を開始し、前記外部装置から受信した更新ソフトウェアによって前記電子機器の前記ソフトウェアを更新するためのプログラムを記録したコンピュータ読み取り可能な記録媒体である。

　本発明の他の形態に係る記録媒体は、
　コンピュータを、
　通信ユニットと、
　前記通信ユニットを通じて、予め登録された無線アクセスポイントからウェイクアップ要求を送信し、前記ウェイクアップ要求を受信しスリープ状態からウェイクアップ状態に遷移した機器から無線通信によって応答を受信すると、前記通信ユニットを通じて、前記機器のソフトウェアを更新するための更新ソフトウェアを前記無線アクセスポイントから前記機器へ送信する制御ユニットと、
して機能させるプログラムを記録したコンピュータ読み取り可能な記録媒体である。

　本発明は上述した構成を有するため、悪意のある第三者による不正アクセスを有効に防止することができる。

本発明の第１の実施形態に係るソフトウェア更新システムの構成図である。本発明の第１の実施形態に係るソフトウェア更新のシーケンスチャートである。本発明の第２の実施形態におけるＯＴＡシステムの概要を示す図である。本発明の第２の実施形態における車両ソフトウェアのアップデートのライフサイクルを示す図である。本発明の第２の実施形態におけるＯＴＡクライアントおよびＯＴＡサーバの構成例を示す図である。本発明の第２の実施形態における車載モジュールの詳細を示す図である。本発明の第２の実施形態におけるルールを記憶するテーブルの例を示す図である。本発明の第２の実施形態におけるＯＴＡシステムの状態遷移を示す図である。本発明の第２の実施形態におけるウェイクアップＩＤ（ＷｕＲｘ－ＩＤ）をＯＴＡシステムに適用する手順を示す図である。本発明の第２の実施形態におけるＯＴＡシステムにおけるウェイクアップＩＤ（ＷｕＲｘ－ＩＤ）の送受信の手順を示す図である。本発明の第２の実施形態におけるＯＴＡシステムの展開と登録の手順を示す図である。本発明の第２の実施形態において信頼できるゾーンを特定し、ソフトウェアアップデートを利用する手順を示す図である。本発明の第２の実施形態においてＯＥＭが新しい車両の新しいウェイクアップＩＤを登録する手順を示す図である。本発明の第２の実施形態におけるＯＴＡシステムの信頼ゾーンにおける動作を示す図である。本発明の第２の実施形態においてウェイクアップシーケンスまたは「ショルダータップ」を送信するプロセスを示す図である。本発明の第２の実施形態においてウェイクアップまたはショルダータップの選択プロセスを示す図である。本発明の第２の実施形態におけるセルラネットワーク経由によるＯＴＡ通信とＷＬＡＮ経由によるＯＴＡ通信のフローチャートを示す図である。本発明の第３の実施形態に係るソフトウェア更新システムの構成図である。

　次に本発明の実施の形態について図面を参照して詳細に説明する。
[第１の実施形態]
　図１を参照すると、本発明の第１の実施形態に係るソフトウェア更新システム１００は、サーバ装置１０１と無線アクセスポイント１０２と車載機器１０３とを含む。

　車載機器１０３は、車両１０４に搭載されている。図１には、車載機器１０３を搭載した車両１０４が１台示されている。一般には、車載機器１０３と同様な車載機器を搭載した車両が複数台存在する。車載機器１０３は、ＥＣＵ１０５と通信ユニット１０６とウェイクアップ受信ユニット１０７とを含む。ＥＣＵ１０５は、ソフトウェアを実行することにより、車両１０４のエンジン、変速機、ブレーキなどを制御する。通信ユニット１０６は、ＥＣＵ１０５のソフトウェアを更新するためにサーバ装置１０１と無線通信を行う。通信ユニット１０６は、セキュリティを確保するためと省電力化のために、通常はスリープ状態になっている。ウェイクアップ受信ユニット１０７は、通信ユニット１０６およびＥＣＵ１０５をウェイクアップする受信機である。ウェイクアップ受信ユニット１０７には、セキュリティ情報が記憶されている。セキュリティ情報は、例えば予め定義されたウェイクアップＩＤであってよい。或いはセキュリティ情報は、予め定義された時間に関する情報であってよい。或いはセキュリティ情報は、予め定義された人物に関する情報であってよい。或いはセキュリティ情報は、ソフトウェア更新を行う機器に関する情報であってよい。これらのセキュリティ情報は、複数の車両１０４あるいは車載機器１０３に共通であってもよいし、個々の車両１０４あるいは車載機器１０３に専用であってもよい。

　サーバ装置１０１は、無線通信により車載機器１０３のソフトウェアを更新する情報処理装置である。サーバ装置１０１は、制御ユニット１０８と通信ユニット１０９とを含む。制御ユニット１０８には、車載機器１０３と同様なセキュリティ情報が記憶されている。また、制御ユニット１０８には、車載機器１０３のソフトウェアを更新するために使用する無線アクセスポイント１０２の情報（例えば、ＭＡＣアドレスやＩＰアドレス）が記憶されている。無線アクセスポイント１０２の情報は、車載機器１０３あるいは車両１０４の識別子に対応付けて制御ユニット１０８に記憶されていてよい。通信ユニット１０９は、制御ユニット１０８が無線アクセスポイント１０２を通じて車載機器１０３のウェイクアップ受信ユニット１０７および通信ユニット１０６と無線通信を行うための無線通信機である。

　無線アクセスポイント１０２は、サーバ装置１０１と車載機器１０３とを無線通信ネットワークにより相互に接続する無線機である。無線アクセスポイント１０２は、予め定められた場所に設置されている。ユーザの自宅、カーディーラーの店舗、修理工場などは、無線アクセスポイント１０２が設置される場所の例である。無線アクセスポイント１０２の無線カバレッジエリア１１０は、無線通信によってソフトウェア更新を行う物理的なエリアを限定する。無線カバレッジエリア１１０は、信頼ゾーンとも呼ぶ。

　次に、サーバ装置１０１によって、車載機器１０３のＥＣＵ１０５のソフトウェアを無線通信によって更新する動作を説明する。

　車載機器１０３を搭載した車両１０４のユーザは、ＥＣＵ１０５のソフトウェア更新を受ける際、事前に定められた場所へ車両１０４を移動させる。事前に定められた場所は、前述したように、ユーザの自宅、カーディーラーの店舗、修理工場などである。それら事前に定められた場所には、予め登録された無線アクセスポイント１０２が設置されている。

　車載機器１０３を搭載した車両１０４が、図１に示すように、無線アクセスポイント１０２の無線カバレッジエリア１１０内に存在するとき、サーバ装置１０１の主導の下に、無線通信によるソフトウェア更新が実施される。図２は、本実施形態におけるソフトウェア更新のシーケンスチャートである。

　サーバ装置１０１の制御ユニット１０８は、車載機器１０３を搭載した車両１０４が事前に定められた場所にいるとき、通信ユニット１０９を通じて、その場所に設置された無線アクセスポイント１０２へウェイクアップ要求１２１を送信する。例えば、制御ユニット１０８は、車両１０４がユーザの自宅にいるとき、そのユーザの自宅に対応して事前に登録された無線アクセスポイント１０２へウェイクアップ要求１２１を送信する。また、制御ユニット１０８は、車両１０４がカーディーラーの店舗にいるとき、その店舗に対応して事前に登録された無線アクセスポイント１０２へウェイクアップ要求１２１を送信する。サーバ装置１０１は、送信するウェイクアップ要求１２１にセキュリティ情報を含ませることができる。例えば、サーバ装置１０１は、対象とする車載機器１０３を搭載した車両１０４に設定されたセキュリティＩＤと同一のセキュリティＩＤをウェイクアップ要求１２１に含ませることができる。或いはサーバ装置１０１は、ソフトウェア更新を行う時間的条件が予め定義されている場合、定義された時間的条件を満たすようにウェイクアップ要求１２１を送信する。或いはサーバ装置１０１は、ソフトウェア更新を行う人的条件が予め定義されている場合、ソフトウェア更新を行う人的条件を示す人物情報をウェイクアップ要求１２１に含める。或いはサーバ装置１０１は、ソフトウェア更新を行う機器的条件が予め定義されている場合、ソフトウェア更新の対象となる機器情報をウェイクアップ要求１２１に含める。無線アクセスポイント１０２は、サーバ装置１０１から受信したウェイクアップ要求１２１をウェイクアップ要求１２２として無線カバレッジエリア１１０へ送信する。

　無線カバレッジエリア１１０に存在する車両１０４に搭載された車載機器１０３のウェイクアップ受信ユニット１０７は、ウェイクアップ要求１２２を受信すると、セキュリティチェック１２３を実施する。このセキュリティチェック１２３では、受信したウェイクアップ要求１２２に含まれるウェイクアップＩＤとウェイクアップ受信ユニット１０７に事前に記憶されているウェイクアップＩＤとが比較される。ウェイクアップ受信ユニット１０７は、受信したウェイクアップＩＤと記憶されているウェイクアップＩＤとが一致しなければ、ウェイクアップ要求を無視する。ウェイクアップ受信ユニット１０７は、受信したウェイクアップＩＤと保存されているウェイクアップＩＤとが一致すれば、予め必須として定義された他のセキュリティチェックがなければ、ウェイクアップ要求を受理する。

　またウェイクアップ受信ユニット１０７は、時間的条件のセキュリティチェックが必須の場合、ウェイクアップ要求１２２を受信した時間が予め定義された時間的条件を満足するか否かを確認する。またウェイクアップ受信ユニット１０７は、人的条件のセキュリティチェックが必須の場合、ウェイクアップ要求１２２に含まれる人物情報が予め定義された人的条件を満足するか否かを確認する。またウェイクアップ受信ユニット１０７は、機器的条件のセキュリティチェックが必須の場合、ウェイクアップ要求１２２に含まれる機器情報が予め定義された機器的条件を満足するか否かを確認する。ウェイクアップ受信ユニット１０７は、時間的条件、人的条件、機器的条件を満たさないウェイクアップ要求１２２を無視する。ウェイクアップ受信ユニット１０７は、時間的条件、人的条件、機器的条件を満たしていれば、他に問題がなければウェイクアップ要求１２２を受理する。

　ウェイクアップ受信ユニット１０７は、ウェイクアップ要求１２２を受理すると、通信ユニット１０６へウェイクアップ要求１２４を送信する。通信ユニット１０６は、スリープ状態においてウェイクアップ要求１２４を受信すると、ウェイクアップ状態へと遷移する（１２５）。ウェイクアップ状態になった通信ユニット１０６は、ＥＣＵ１０５へウェイクアップ要求１２６を送信する。ＥＣＵ１０５は、スリープ状態においてウェイクアップ要求１２６を受信すると、ウェイクアップ状態へと遷移する（１２７）。ウェイクアップ状態になったＥＣＵ１０５は、通信ユニット１０６へウェイクアップ完了通知１２８を送信する。このウェイクアップ完了通知１２８を受信した通信ユニット１０６は、ウェイクアップ完了通知１２９をウェイクアップ受信ユニット１０７へ送信する。このウェイクアップ完了通知１２９を受信したウェイクアップ受信ユニット１０７は、無線アクセスポイント１０２経由でサーバ装置１０１へ、ウェイクアップ要求１２１に対する応答であるウェイクアップ完了通知１３０を送信する。サーバ装置１０１の制御ユニット１０８は、通信ユニット１０９を通じてウェイクアップ完了通知１３０を受信することにより、所望のウェイクアップＩＤを有する車載機器１０３が所望の場所にてウェイクアップ状態になったことを認識する。

　次に、サーバ装置１０１の制御ユニット１０８は、通信ユニット１０９により更新プログラム１３１を車両１０４が居る場所の無線アクセスポイント１０２を通じて車載機器１０３の通信ユニット１０６へ送信する。通信ユニット１０６は、更新プログラム１３１を受信すると、更新プログラム１３２としてＥＣＵ１０５へ転送する。ＥＣＵ１０５は、更新プログラム１３２を受信し、この受信した更新プログラム１３２によって現在使用しているプログラムを更新する（１３３）。次に、ＥＣＵ１０５は、更新完了通知１３４を通信ユニット１０６へ送信する。通信ユニット１０６は、更新完了通知１３４を受信すると、無線アクセスポイント１０２を通じてサーバ装置１０１へ更新完了通知１３５を送信する。

　サーバ装置１０１の制御ユニット１０８は、通信ユニット１０９を通じて更新完了通知１３５を受信することにより、車載機器１０３のソフトウェア更新が完了したことを認識する。

　このように本実施形態によれば、車載機器１０３に対する悪意のある第三者による不正アクセスを有効に防止することができる。

　その理由は、車載機器１０３のソフトウェアを更新するためには、通信ユニット１０６をウェイクアップ状態にする必要があり、通信ユニット１０６をウェイクアップ状態にするためには、車載機器１０３を搭載した車両１０４が事前に定められた無線アクセスポイントのカバレッジエリアに存在している必要があるためである。

　また本実施形態では、ウェイクアップＩＤによるセキュリティチェックを実施しているため、有効なウェイクアップＩＤを知らない悪意のある第三者による不正アクセスをより有効に防止することができる。

　また本実施形態では、時間的条件によるセキュリティチェックを実施しているため、予め定義された時間的条件を満足しない時間帯による不正アクセスを防止することができる。

　また本実施形態では、人的条件によるセキュリティチェックを実施しているため、予め定義された人物以外の人物による不正アクセスを防止することができる。

　また本実施形態では、機器的条件によるセキュリティチェックを実施しているため、予め定義された機器以外の機器に対する不正アクセスを防止することができる。

[第２の実施形態]
　次に、本発明の第２の実施形態について詳細に説明する。

＜本実施形態の特徴＞
　本実施形態は、無線ウェイクアップ受信機を使用して、車両のための安全な無線ソフトウェア更新を可能にする。ウェイクアップ受信機は、ＯＴＡ（Ｏｖｅｒ　Ｔｈｅ　Ａｉｒ：オーバー・ジ・エア）通信が実行可能な領域を制限する。その結果、高速道路などの不要な地域でのＯＴＡ通信が制限される。さらに、自動車メーカ、ガレージ、自宅などの信頼できる地域（信頼ゾーン）でのみ、ＯＴＡ通信を実行することができる。これは、信頼ゾーン内の許可された担当者のみが可能なＯＴＡソフトウェア更新キャンペーンにとって有益である。その結果、自動車およびそのコンポーネント、ゲートウェイ、ＥＣＵへの不正アクセスは制限される。その結果、車両用の安全なＯＴＡソフトウェアアップデートが実現する。

＜本実施形態が解決しようとする課題＞
　ＯＴＡは、車載ソフトウェアの無線通信による更新を実現する。リコール費用を削減するために、ＯＴＡはコスト削減に非常に役立つ。今日の車両には多くのソフトウェアがインストールされている。結果として、ＯＴＡは自動車メーカがソフトウェアの更新を容易にするために高度に使用されている。さらに、ＯＴＡは、新しいサービスやアプリケーションなど、新しい機能を車に適用することができる。

　現在のＯＴＡ通信では、どこでもソフトウェアの更新が可能である。ＯＴＡ通信はワイヤレスであるが、有線のソフトウェアアップデートも可能である。どこでもＯＴＡ通信が可能な場合、権限のない人が車両にアクセスし、誤動作したソフトウェアをインストールする可能性がある。ジープ／クライスラー（Ｊｅｅｐ／Ｃｈｒｙｓｌｅｒ）の事件では、あらゆる場所からの無線アクセスがセキュリティリスクであることが明らかになった。事前定義された場所などの物理的な限定アクセスのみが安全なアクセスを保証することができる。

　さらに、ＯＴＡ通信は、通信モジュールをウェイクアップさせるためにウェイクアップ信号を必要とする。通信モジュールがスリープモードにある場合、不正アクセスは不可能であり、通信モジュールは安全である。通信モジュールがウェイクアップ状態にある場合、通信が開始され、誰もが通信モジュールにアクセスすることができる。セルラネットワークを介したＯＴＡは、通信モジュールをウェイクアップするためにＳＭＳシーケンスを必要とする。ＷＬＡＮが使用される場合、ウェイクアップシーケンスは標準化されていない。いわゆるショルダータップは不可能であり、ＯＴＡは実行できない。本実施形態は、ＷＬＡＮが使用されるときにＯＴＡを可能にするＷＬＡＮのためのウェイクアップ制御シーケンス（無線フレーム）を提供する。

＜本実施形態による解決手段＞
　本実施形態は、車両用ＯＴＡソフトウェア更新のセキュリティを向上させる。これにより、いわゆる信頼ゾーンと呼ばれる安全ゾーンの作成が可能になる。これらの信頼できるゾーンは、自動車メーカ、ＯＥＭ（Ｏｒｉｇｉｎａｌ　Ｅｑｕｉｐｍｅｎｔ　Ｍａｎｕｆａｃｔｕｒｅｒ，オリジナル機器メーカ）、ガレージ、および家庭にある。これらの事前定義された場所でのみ、ＯＴＡ通信が可能である。信頼ゾーン内の許可された担当者のみが通信モジュールにアクセスできる。信頼ゾーン内でのみ、ＯＴＡ通信が可能である。高速道路などの他の地域の通信モジュールへのアクセスは不可能である。その結果、より高度なセキュリティが達成される。

　本実施形態は、ウェイクアップ受信機を使用して信頼ゾーンを確立する。ウェイクアップ受信機は、ウェイクアップシーケンスを受信することができる。ウェイクアップ受信機は、予め定義されたウェイクアップシーケンスのみを受信する専用ワイヤレスデバイスである。予め定義されたウェイクアップシーケンスは、予め定義されたウェイクアップＩＤを含む。予め定義されたウェイクアップシーケンスは、無線インターフェイスのＭＡＣアドレス、フレーム長、およびその他の変調方式（フレーム変調（ＦＭＬ）および周波数シフトキーイング（ＦＳＫ））も関係することがある。

　即ち、ターゲットのウェイクアップ受信機に送信される予め定義されたウェイクアップシーケンスが必要である。ウェイクアップ受信機は、ウェイクアップシーケンスが受信された場合、他の内部状態をオフからオン状態にトリガすることができる。例えばウェイクアップ受信機は、ＯＴＡ通信モジュール（Ｄａｔａ　Ｃｏｍｍｕｎｉｃａｔｉｏｎ　Ｍｏｄｕｌｅ，ＤＣＭ）、ＥＣＵをウェイクアップすることが可能である。これは、ＯＴＡ通信を開始するために必要である。ウェイクアップした通信モジュールは通信を開始することができる。ウェイクアップ受信機は、ＷＬＡＮ（Ｗｉｒｅｌｅｓｓ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）におけるＯＴＡ通信を可能にする。ウェイクアップ受信機は、例えば無線装置全体をスイッチオンした後に、通信全体が行われる同じ周波数帯域で動作する。

　ＯＴＡソフトウェアの更新にＷＬＡＮを使用すると、より高い帯域幅が可能になる。ＷＬＡＮを使用する場合、大規模なソフトウェアパッケージをＯＴＡで送信することができる。さらに、家庭、ガレージ、ＯＥＭにはＷＬＡＮがインストールされている。ＷＬＡＮは広く使用され、受け入れられている。新しいＷＬＡＮ規格は、ＩＥＥＥ８０２．１１ｂａのような標準化されたウェイクアップ信号を可能にすることがある。新しいＷＬＡＮ規格であるＩＥＥＥ８０２．１１ｂａは、ＯＴＡ通信にウェイクアップ信号を使用できるＷＬＡＮのアクセスポイントとモジュールを作成するのに役立つ。但し、上記とは異なる無線周波数および無線プロトコルにおいても有用である。これらの周波数には、９２０ＭＨｚ、サブ１ＧＨｚ、２．４ＧＨｚ、５ＧＨｚ、６ＧＨｚ、６０ＧＨｚが含まれるが、これらに限定されない。

　さらに、本実施形態では、アプリケーション、サーバ、およびＯＴＡクライアント間のアクセスを保護するための識別子を使用する。いわゆるウェイクアップＩＤ（ＷｕＲｘ　ＩＤ）は、ＯＴＡシステムの一意の識別子である。正しいウェイクアップＩＤは、車両とＯＴＡクライアントの内部に格納されている。

　以下、本実施形態の構成および動作を、図面を参照して詳細に説明する。

　図３は、本実施形態に係るＯＴＡシステムの概要を示す図である。図３を参照すると、ＯＴＡシステム２００は、ＯＴＡサーバ２０１と、無線ネットワーク２０２と、ＯＴＡクライアント２０３とから構成されている。ＯＴＡサーバ２０１は、クラウドまたはインターネットのような無線ネットワーク２０２を介してＯＴＡクライアント２０３に接続される。ＯＴＡサーバ２０１は、車のステータス、ウェイクアップＩＤ（ＷｕＲｘ－ＩＤ）およびその他のアクセス情報を含むメインアプリケーション（図示せず）に接続されている。

　ＯＴＡサーバ２０１は、ソフトウェアのアップグレードを保存している。図３の２０４は、ＯＴＡサーバ２０１とデータベース２０５へのアクセスを組み込んだ保守システムを示している。また、各車両のソフトウェアステータスに関する情報を格納するために、ログファイル２０６が車両フリート２０７に接続されている。

　ＯＴＡサーバ２０１は、クラウド経由で信頼ゾーンの階層に接続されている。各信頼ゾーン２０８には、無線アクセスポイント２０９が装備されている。無線アクセスポイント２０９は、信頼できるゾーン２０８内でウェイクアップシーケンスを送信することができる。無線アクセスポイント２０９には、ウェイクアップ信号を送信するための拡張ウェイクアップ機能が装備されている。ウェイクアップシーケンスは、好ましくは、今後のＷＬＡＮプロトコルであるＩＥＥＥ８０２．１１ｂａにも基づいている。ウェイクアップ信号は、ウェイクアップＩＤを含む。

　ウェイクアップシーケンスは、車両内のウェイクアップ受信機２１０によって受信される。ウェイクアップ受信機２１０は、ＯＴＡクライアント２０３に接続されている。車両には、１以上のＥＣＵ２１１が搭載されている。ウェイクアップ受信機２１０は、ウェイクアップシーケンスを受信すると、ＯＴＡクライアント２０３をウェイクアップさせる。ウェイクアップした後、ＯＴＡクライアント２０３は、ＯＴＡサーバ２０１からＥＣＵ２１１のソフトウェアを更新するために、ソフトウェアのダウンロードを開始する。

　図４は、車両ソフトウェアのアップデートのライフサイクルを示す。ＯＥＭ、ディーラ／ガレージ、オーナ／ドライバの各段階で、本実施形態で提案するＯＴＡ通信は、ソフトウェアのアップグレードをより簡単にする。安全なＯＴＡ通信は、限定された場所、例えば、ＯＥＭ、ディーラ、または自宅で行われる。これらの場所はすべて安全であり、ＯＴＡ通信を確立することができる。さらに、ＯＴＡクライアント／サーバアプリケーションは、これらの場所でウェイクアップシーケンスが受信されたときにのみ開始される。

　図５は、ＯＴＡクライアントおよびＯＴＡサーバの構成例を示す。また図５は、ＯＥＭ、ガレージ、バッテリ充電ステーション、および家庭を含む信頼ゾーンを示している。図５を参照すると、ウェイクアップ受信機２１０は、車両内部のＷＬＡＮステーション（ＳＴＡ）２１２に接続されている。また、ＷＬＡＮステーション２１２は、ゲートウェイ（ＧＷ）２１３を介して車両バス２１４に接続されている。車両バス２１４は、ＣＡＮ（Ｃｏｎｔｒｏｌｌｅｒ　Ａｃｃｅｓｓ　Ｎｅｔｗｏｒｋ）、ＭＯＳＴ（Ｍｅｄｉａ　Ｏｒｉｅｎｔｅｄ　Ｓｙｓｔｅｍｓ　Ｔｒａｎｓｐｏｒｔ）、イーサネット（登録商標）、或いはＡＶＢ（Ａｕｄｉｏ－Ｖｉｄｅｏ　Ｂｒｉｄｇｉｎｇ）で構成される。車両バス２１４には、オンボード診断インターフェイス（ＯＤＢ）２１５、ＥＣＵ２１１、車両間インフォテインメント・ユニット（ＩＶＩ）が接続されている。

　図６は、車載モジュールの詳細を示す。ウェイクアップ信号２１７は、アンテナ２１８を介してウェイクアップ受信機２１０によって受信される。ウェイクアップ信号２１７には、ウェイクアップＩＤが含まれている。次に、受信されたウェイクアップ信号２１７およびそれに含まれるウェイクアップＩＤは、ウェイクアップＩＤ照合ユニット２１９によって、事前に車両に設定されたウェイクアップＩＤと照合され、両者のＩＤが一致するか否かが識別される。ウェイクアップ信号２１７に含まれるウェイクアップＩＤが有効であれば、ＷＬＡＮステーション２１２が起動される。ＷＬＡＮステーション２１２が起動すると、ＷＬＡＮ通信が開始され、ＷＬＡＮ信号２２０がアンテナ２２１を介して受信される。

　ゲートウェイ２１３は、ＷＬＡＮデータをＯＴＡクライアント２０３に転送する。次に、ＯＴＡクライアント２０３は、ＯＴＡサーバ２０１との通信を開始する。ＯＴＡクライアント２０３は、ＯＴＡサーバ２０１から受信した新しいソフトウェアを、車両バス２１４を介してＥＣＵ２１１、ＩＶＩ２１６または他の車載ユニットに転送する。代わりに、追加のソフトウェアコンポーネントを有線の通信路に接続されたＯＢＤ２１５を通じてＥＣＵ２１１、ＩＶＩ２１６に転送することもできる。

　保守システム２０４には、ルールを記憶するテーブルがある。ルールは、どの人物がどのゾーンにアクセスできるかを定義する。即ち、信頼ゾーンを定義するのに役立つ一連のルールが定義されている。ルールセットは管理者によって定義される。管理者は、通信が許可される場所を定義する。ルールセットは、場所、人、およびスケジュールの組み合わせである。ソフトウェア更新キャンペーン中の車両ハードウェアへのアクセス権を制限する必要がある。

　図７は、ルールを記憶するテーブルの例を示す。ルールは、ゾーン、ウェイクアップＩＤ、車両識別番号（ＶＩＮ）、時間、人物、およびタスクの各項目から構成される。ルール中のゾーンは、そのルールが適用されるゾーンを特定する。ルール中のウェイクアップＩＤは、正しいウェイクアップＯＴＡシステムを識別する。車両識別番号は、対象車両を識別するために使用される。時間は、タスクを実行するための時間的条件を定める。人物は、タスクを実行可能な人的条件を定める。タスクは、ターゲットとなるＥＣＵのソフトウェアアップグレードを示す。タスクは機器的条件を示す。なお、ルールセットには、無線ウェイクアップ信号の送受信が含まれていてよい。

　図８は、本実施形態に係るＯＴＡシステムの状態遷移を示す。ＯＴＡシステムは、ソフトウェアアップグレードの待機状態２２３から始まる。ＯＴＡシステムは、保留中のソフトウェアのアップグレードがない場合は、何もする必要はなく、待機状態２２３に留まる。ＯＴＡシステムは、保留中のソフトウェアアップグレードがある場合、ウェイクアップシーケンスを発行する（状態２２４）。ウェイクアップシーケンスは、無線ユニットを起動させるための「ショルダータップ」として使用される。ウェイクアップシーケンスは、信頼ゾーン２０８でのみ使用できる。

　信頼ゾーン２０８内では、ＯＴＡシステムは、所定の評価２２５を行う。即ち、ＯＴＡシステムは、ソフトウェア更新対象の車両の車両識別番号（ＶＩＮ）２２６、時間２２７、人物２２８に関するウェイクアップシーケンスが特定され、それらがルールに適合するか否かが評価される。ルールに適合する場合、ＯＴＡシステムは、車両がセーブ（ｓａｖｅ）として検出されなければならない場合にのみ、ＯＴＡ通信を確立する（状態２２９）。また、ＯＴＡシステムは、車両が安全（ｓａｆｅ）であると識別された場合にのみ、ソフトウェアのアップグレードを開始する。ＯＴＡシステムは、例えば、車両が移動しておらず、適切な人にアクセス権が与えられている場合、安全と判断する。ＯＴＡシステムは、車両の安全が確立されると、ＯＴＡ通信を開始する（状態２３０）。

　ＯＴＡシステムは、ＯＴＡ通信を使用して、ＯＴＡサーバ２０１からソフトウェアのアップグレードをダウンロードする。ＯＴＡシステムは、ソフトウェアのアップグレードのインストールが失敗した場合、ロールバック機能２３１により、以前の安定版ソフトウェアのインストールを行う。ロールバック機能２３１は、車両が正しく動作することを保証する。ソフトウェアのアップグレードが失敗した場合、ＯＴＡサーバ２０１はＯＴＡクライアント２０３を介してその旨が通知される。また、ソフトウェアのアップグレードに成功した場合、ＯＴＡサーバ２０１はＯＴＡクライアント２０３を介してその旨が通知される。

　以下では、ＯＴＡシステムの動作を、フローチャートを用いて詳細に説明する。

　図９は、ウェイクアップＩＤ（ＷｕＲｘ－ＩＤ）をＯＴＡシステムに適用する手順を示している。まず、ウェイクアップＩＤが、例えば、ＯＴＡサーバ２０１の管理者によって決定される（Ｓ１）。次に、ウェイクアップＩＤが目標車両に適用される（Ｓ２）。

　図１０は、ＯＴＡシステムにおけるウェイクアップＩＤ（ＷｕＲｘ－ＩＤ）の送受信の手順を示している。まず、無線ローカルエリアネットワーク（ＷＬＡＮ）のアクセスポイント２０９からウェイクアップＩＤが送信される（Ｓ１１）。次に、ウェイクアップＩＤは車両内のウェイクアップ受信機によって受信される（Ｓ１２）。ウェイクアップＩＤの受信が成功すると、ＯＴＡソフトウェアのアップグレードが開始される（Ｓ１３）。

　図１１は、ＯＴＡシステムの展開と登録の手順を示している。まず、ＲＯＤ（Ｒａｄｉｏ　Ｏｎ　Ｄｅｍａｎｄ　Ｎｅｔｗｏｒｋｓ）の無線アクセスポイント（ＡＰ）あるいはＩＥＥＥ８０２．１１ｂａ規格の無線アクセスポイント（ＡＰ）を配置する（Ｓ２１）。次に、無線アクセスポイントのＩＰアドレスおよびＭＡＣアドレスを保守システム２０４に登録する（Ｓ２２）。次に、無線アクセスポイントの位置を保守システム２０４に登録する（Ｓ２３）。次に、ウェイクアップＩＤを保守システム２０４に登録する（Ｓ２４）。次に、アクセス権およびアクション／ルールを保守システム２０４に登録する（Ｓ２５）。

　図１２は、信頼できるゾーンを特定し、ソフトウェアアップデートを利用する手順を示している。まず、ＯＴＡシステムは、ソフトウェアアップデートを利用可能にする（Ｓ３１）。次に、ＯＴＡシステムは、例えばＯＥＭ、ガレージ、バッテリ充電器ステーション、自宅などのターゲット車両の位置を知らせ、ソフトウェアを、スケジュールされた時間にソフトウェアが利用できるように、事前に転送する（Ｓ３２）。次に、車両が信頼できるゾーンに到着し、ウェイクアップＩＤ（ＷｕＲｘ－ＩＤ）を含むウェイクアップシーケンスを受信する（Ｓ３３）。次に、ウェイクアップシーケンスが正常に受信された後、車両が安全な位置にあるとき（エンジンが動かないなど）、ソフトウェアのアップグレードが開始される（Ｓ３４）。

　図１３は、ＯＥＭが新しい車両の新しいウェイクアップＩＤを登録する手順を示している。まず、ＯＥＭは、新車両に、ウェイクアップＩＤを登録する（Ｓ４１）。ＯＥＭは、ウェイクアップＩＤが登録されていない場合、ＱＲコードを使用する（Ｓ４２）。各車両には、車両識別番号（ＶＩＮ）に類似したＱＲコード（車両のドアエントリー）が装備されている。ＱＲコードは車両の登録に使用される。次に、車両を登録するためにＱＲコードを転送する（Ｓ４３）。次に、ＱＲコードと車両のオーナシップ（ｏｗｎｅｒ　ｓｈｉｐ）が正しいかを保守システムで確認する（Ｓ４４）。ウェイクアップＩＤとＱＲコードの確認後、登録プロセスは完了する（Ｓ４５）。

　図１４は、ＯＴＡシステムの信頼ゾーンにおける動作を示している。まず、所定の無線アクセスポイントが動作している信頼ゾーンまで車両を移動させる（Ｓ５１）。信頼ゾーンでは、ＲＯＤの無線アクセスポイントまたはＩＥＥＥ８０２．１１ｂａの無線アクセスポイントが動作している。ゾーンが見つからない場合、すなわち車両が信頼できるゾーンの外にある場合（Ｓ５２でＮＯ）、ＯＴＡおよびＥＣＵソフトウェアの更新などは実行できない（Ｓ５３）。また、車両が信頼できるゾーンにない場合、ソフトウェアのアップグレードへのアクセスは許可されない（Ｓ５４）。

　信頼できるゾーン内の車両の場合（Ｓ５２でＹＥＳ）、そのゾーンで可能なアクションを定義するルールが検証される（Ｓ５５）。ルールには、スケジュールアクセス時間、車両識別番号（ＶＩＮ）、人物、およびタスクが含まれる。次に、自動車のＩＶＩシステムを介して、例えば、ソフトウェア更新を確認し、ソフトウェア更新プロセスを開始するために、運転手または保守員といくらかの相互作用が存在し得る（Ｓ５６）。ソフトウェアのアップグレードは、車両がセーブ状態にあるとき、例えば運転していない、エンジンが動かないなどのときにのみ可能である（Ｓ５７）。

　図１５は、ウェイクアップシーケンスまたは「ショルダータップ」を送信するプロセスを示している。まず、ウェイクアップＩＤ（ＷｕＲｘ－ＩＤ）が車両によって受信される（Ｓ６１）。次に、アクセスを検証するためにステーション／ＥＣＵが無線でウェイクアップされる（Ｓ６２）。次に、受信したウェイクアップＩＤに基づいてアクセスが検証される（Ｓ６３）。次に、保留中のＯＴＡソフトウェアの更新についてドライバまたはメンテナンス担当者に通知される（Ｓ６４）。次に、車両の安全性が識別される（Ｓ６５）。車両が安全な位置にある場合、ＯＴＡソフトウェア・アップグレード・キャンペーンが開始される（Ｓ６６）。

　図１６は、ウェイクアップまたはショルダータップの選択プロセスを示している。まず、ソフトウェアのアップグレードが保留中である（Ｓ７１）。次に、ショルダータップはＯＴＡサーバによって始められる（Ｓ７２）。次に、ＯＴＡサーバは、無線アクセスシステムが、セルラネットワークまたはＷｉ－Ｆｉ（ＷＬＡＮ）の何れであるかを確認する（Ｓ７３）。セルラネットワークの場合、ＯＴＡサーバは、ショートメッセージサービス（ＳＭＳ）のメッセージを送信することによって、ＯＴＡクライアントを起動するためのショルダータップ信号を開始し（Ｓ７４）、ＳＭＳを送信する（Ｓ７５）。Ｗｉ－Ｆｉ（ＷＬＡＮ）の場合、ＯＴＡサーバは、ウェイクアップシーケンスの形式で「Ｗｉ－Ｆｉショルダータップ」を開始し（Ｓ７６）、ウェイクアップ信号を送信する（Ｓ７７）。ウェイクアップ（Ｗａｋｅ－Ｕｐ）信号とウェイクアップＩＤ（ＷｕＲｘ－ＩＤ）は、ＷＬＡＮ（Ｗｉ－Ｆｉ）通信のみが利用可能な場合にＯＴＡクライアントを起動するために使用される。次に、ＯＴＡクライアントがウェイクアップシーケンスを受信すると（Ｓ７８）、ＯＴＡソフトウェア・アップグレード・キャンペーンが開始される（Ｓ７９）。

　図１７は、セルラネットワーク経由によるＯＴＡ通信とＷＬＡＮ経由によるＯＴＡ通信のフローチャートを示す。初期状態は、ＯＴＡサーバ２０１においてソフトウェア更新が利用可能であり、ＯＴＡクライアント２０３はスリープ状態にある。

　利用可能なセルラアクセスがある場合、ＳＭＳメッセージとしてのウェイクアップシーケンスがＯＴＡサーバ２０１からＯＴＡクライアント２０３に送信される（Ｓ８１）。ウェイクアップメッセージは、ＯＴＡクライアント２０３をスリープ状態からウェイクアップするために送信される。ＯＴＡクライアント２０３がウェイクアップしてアクティブ状態になったことは、ＯＴＡサーバ２０１に通知される（Ｓ８２）。ＯＴＡクライアント２０３が使用可能になると、ＯＴＡサーバ２０１は、ソフトウェアのアップグレードを開始する（Ｓ８３）。ソフトウェアのアップグレードが完了すると、その旨がＯＴＡクライアント２０３からＯＴＡサーバ２０１に通知される（Ｓ８４）。また、ソフトウェアのアップブレードが完了すると、ＯＴＡクライアントはスリープ状態に戻る。

　ＷＬＡＮアクセスが利用可能である場合、ウェイクアップメッセージはＷＬＡＮの無線アクセスポイントを介して送信される（Ｓ８５）、ＯＴＡクライアント２０３がウェイクアップしてアクティブ状態になったことは、ＯＴＡサーバ２０１に通知される（Ｓ８６）。ＯＴＡサーバ２０１は、ＯＴＡクライアント２０３がアクティブ状態の場合、ソフトウェアのアップグレードを開始する（Ｓ８７）。ソフトウェアのアップグレードが完了すると、その旨がＯＴＡクライアント２０３からＯＴＡサーバ２０１に通知される（Ｓ８８）。また、ＯＴＡソフトウェアのアップグレードが完了すると、ＯＴＡクライアントはスリープ状態に戻る。

＜第２の実施形態の変形＞
　第２の実施形態は、車両のソフトウェア更新の安全な送信を可能にする。特に、ＩＥＥＥ８０２．１１ｂａのＷＬＡＮプロトコルは、標準化されたウェイクアップ信号を可能にする。第２の実施形態の変形例としては、ＩＥＥＥ８０２．１５．４のような無線パーソナルエリアネットワーク（ＷＰＡＮ）における使用がある。このようなＷＰＡＮプロトコルは、センサノードにおいて使用され、実装される。ＩＥＥＥ８０２．１５．４　ＷＰＡＮセンサへの本発明の適用は、ＩｏＴ（Ｉｎｔｅｒｎｅｔ　ｏｆ　Ｔｈｉｎｇｓ）に対するＯＴＡを可能にする。本発明が適用できるその他のＷＬＡＮプロトコルには、ＩＥＥＥ８０２．１１ｂ／ａ／ｎ／ａｃ／ａｈ／ａｉ／ａｘ、ＷｉＳＵＮ、ＬｏＲＡ、およびＳｉｇｆｏｘｘが含まれる。ＷｉＳＵＮデバイスには、ＩＥＥＥ８０２．１５．４ｅ／ｇプロトコル企画が含まれる。

　また、第２の実施形態は、データのアップロードのアプリケーションを提供してよい。車両内のＯＴＡクライアントのウェイクアップ後、車両データはＯＴＡサーバに転送することができる。車両データは、テレマティックデータ、位置データ、センサデータを含むことができる。このようなデータは、車両保守サービスを含む幅広いアプリケーションに役立つ。

　また、第２の実施形態は、ウェイクアップシーケンスの送受信を利用するサービスプラットフォームと、車両の安全なソフトウェアアップグレードを保存するための信頼ゾーンを作成するためのルールのセットを含んでいてよい。サービスプラットフォームは、管理者がＯＴＡ通信のために車両にアクセスできるルールを設定するためのサービスプログラムで構成される。このサービスには、一連のルール、ウェイクアップＩＤ、および車両の詳細を格納することが含まれる。これらの詳細には、製造ＩＤ、製造年、ＥＣＵのステータス、ＥＣＵのソフトウェアステータス、タイムスタンプ、エラーメッセージなど、車両の情報が含まれる。このサービスは、車両データをデータベースに格納することを可能にする。データベースは、ソフトウェアキャンペーンや政府の要請に役立つ。

＜本実施形態の利用が考えられる分野＞
　この発明は、車載内、車載外、ＯＴＡ（オーバー・ジ・エア）、オートモーティブ、ソフトウェア、ソフトウェアのアップデート、クライアント、サーバ、ソリューション（ＯＴＡとＷｕＲｘ）、ウェイクアップ、オンデマンド型ＯＴＡ、消費する電力および電波資源を必要最小限とするＲａｄｉｏ　Ｏｎ　Ｄｅｍａｎｄ　Ｎｅｔｗｏｒｋｓ（ＲＯＤ）、Ｗａｋｅ－ｕｐ　Ｒｅｃｅｉｖｅｒ、オンデマンド型アクセスなどに利用できる。

　本実施形態は、ＧＰＳ（Ｇｌｏｂａｌ　Ｐｏｓｉｔｉｏｎｉｎｇ　Ｓｙｓｔｅｍ）と組み合わせてセキュリティをさらに強化することができる。ＧＰＳ、ＯＴＡ、そしてＷｕＲｘの組み合わせは有益である。ただし、一部の地域では、ＧＰＳが完全に利用できない場合がある。

［第３の実施形態］
　図１８を参照すると、本発明の第３の実施形態に係るソフトウェア更新システム３００は、サーバ装置３０１と無線アクセスポイント３０２とソフトウェア更新装置３０３とを含んで構成される。

　ソフトウェア更新装置３０３は、通信ユニット３０４とウェイクアップ受信ユニット３０５とを含んで構成される。通信ユニット３０４は、ソフトウェアを実行する電子機器３０６に接続されている。ウェイクアップ受信ユニット３０５は、予め登録された無線アクセスポイント３０２からウェイクアップ要求を受信すると、通信ユニット３０４をスリープ状態からウェイクアップ状態に遷移させる。通信ユニット３０４は、ウェイクアップ状態に遷移すると、外部装置との無線通信を開始し、外部装置から受信した更新ソフトウェアによって電子機器３０６のソフトウェアを更新する。

　サーバ装置３０１は、通信ユニット３０７と制御ユニット３０８とを含んで構成される。通信ユニット３０７は、無線アクセスポイント３０２を通じて、無線アクセスポイント３０２の無線カバレッジエリア３０９内に存在するソフトウェア更新装置３０３と無線通信する。制御ユニット３０８は、通信ユニット３０７を通じて、予め登録された無線アクセスポイント３０２からウェイクアップ要求を送信する。制御ユニット３０８は、上記ウェイクアップ要求を受信しスリープ状態からウェイクアップ状態に遷移したソフトウェア更新装置３０３から無線通信によって応答を受信すると、通信ユニット３０７を通じて、電子機器３０６のソフトウェアを更新するための更新ソフトウェアを無線アクセスポイント３０２からソフトウェア更新装置３０３へ送信する。

　このように構成されたソフトウェア更新システム３００は、以下のように機能する。即ち、サーバ装置３０１の制御ユニット３０８は、通信ユニット３０７を通じて、予め登録された無線アクセスポイント３０９からウェイクアップ要求を送信する。この送信されたウェイクアップ要求を受信した無線アクセスポイント３０９は、受信したウェイクアップ要求を無線カバレッジエリア３０９内に送信する。

　ソフトウェア更新装置３０３のウェイクアップ受信ユニット３０５は、無線アクセスポイント３０９の無線カバレッジエリア３０９内に存在する場合に限り、ウェイクアップ要求を受信することができる。ウェイクアップ受信ユニット３０５は、無線アクセスポイント３０２からウェイクアップ要求を受信すると、通信ユニット３０４をスリープ状態からウェイクアップ状態に遷移させる。通信ユニット３０４は、ウェイクアップ状態に遷移すると、サーバ装置３０１との無線通信を開始する。

　サーバ装置３０１の制御ユニット３０８は、ウェイクアップ要求を受信しスリープ状態からウェイクアップ状態に遷移した通信ユニット３０４から無線通信によって応答を受信すると、電子機器３０６のソフトウェアを更新するための更新ソフトウェアを通信ユニット３０７により無線アクセスポイント３０２から通信ユニット３０４へ送信する。通信ユニット３０４は、サーバ装置３０１から受信した更新ソフトウェアによって電子機器３０６のソフトウェアを更新する。

　このように本実施形態によれば、電子機器３０６に対する悪意のある第三者による不正アクセスを有効に防止することができる。

　その理由は、電子機器３０６のソフトウェアを更新するためには、通信ユニット３０４をウェイクアップ状態にする必要があるためである。また、通信ユニット３０４をウェイクアップ状態にするためには、ウェイクアップ受信ユニット３０５がウェイクアップ要求を受信する必要があり、そのためにはウェイクアップ受信ユニット３０５が予め定義された無線アクセスポイント３０２の無線カバレッジエリア３０９内に存在していなければならないためである。

　以上、上記各実施形態を参照して本発明を説明したが、本発明は、上述した実施形態に限定されるものではない。本発明の構成や詳細には、本発明の範囲内で当業者が理解しうる様々な変更をすることができる。

　なお、本発明は、日本国にて２０１７年７月４日に特許出願された特願２０１７－１３１１３０の特許出願に基づく優先権主張の利益を享受するものであり、当該特許出願に記載された内容は、全て本明細書に含まれるものとする。

　本発明は、電子機器のソフトウェアを無線通信により更新するシステム、例えば車載電子機器のソフトウェアを無線ネットワーク経由でサーバ装置から更新するシステムに利用できる。

　上記の実施形態の一部又は全部は、以下の付記のようにも記載され得るが、以下には限られない。
［付記１］
　ソフトウェアを実行する電子機器に接続された通信ユニットと、
　予め登録された無線アクセスポイントからウェイクアップ要求を受信すると、前記通信ユニットをスリープ状態からウェイクアップ状態に遷移させるウェイクアップ受信ユニットとを含み、
　前記通信ユニットは、前記ウェイクアップ状態に遷移すると、外部装置との無線通信を開始し、前記外部装置から受信した更新ソフトウェアによって前記電子機器の前記ソフトウェアを更新する、
ソフトウェア更新装置。
［付記２］
　前記ウェイクアップ受信ユニットは、予め定義されたウェイクアップＩＤが前記ウェイクアップ要求に含まれているか否かを確認するように構成されている、
付記１に記載のソフトウェア更新装置。
［付記３］
　前記ウェイクアップ受信ユニットは、前記ウェイクアップ信号を受信した時間が予め定義された時間であるか否かを確認するように構成されている、
付記１または２に記載のソフトウェア更新装置。
［付記４］
　前記ウェイクアップ受信ユニットは、前記ウェイクアップ信号の送出元が予め定義された人物であるか否かを確認するように構成されている、
付記１乃至３の何れかに記載のソフトウェア更新装置。
［付記５］
　前記ウェイクアップ受信ユニットは、前記電子機器の情報が前記ウェイクアップ信号に含まれているか否かを確認するように構成されている、
付記１乃至４の何れかに記載のソフトウェア更新装置。
［付記６］
　ウェイクアップ受信ユニットとソフトウェアを実行する電子機器に接続された通信ユニットとを含むソフトウェア更新装置が実行するソフトウェア更新方法であって、
　前記ウェイクアップ受信ユニットが、予め登録された無線アクセスポイントからウェイクアップ要求を受信すると、前記通信ユニットをスリープ状態からウェイクアップ状態に遷移させ、
　前記通信ユニットが、前記ウェイクアップ状態に遷移すると、外部装置との無線通信を開始し、前記外部装置から受信した更新ソフトウェアによって前記電子機器の前記ソフトウェアを更新する、
電子機器のソフトウェア更新方法。
［付記７］
　前記ウェイクアップ受信ユニットは、予め定義されたウェイクアップＩＤが前記ウェイクアップ要求に含まれているか否かを確認する、
付記６に記載の電子機器のソフトウェア更新装置。
［付記８］
　前記ウェイクアップ受信ユニットは、前記ウェイクアップ信号を受信した時間が予め定義された時間であるか否かを確認する、
付記６または７に記載の電子機器のソフトウェア更新装置。
［付記９］
　前記ウェイクアップ受信ユニットは、前記ウェイクアップ信号の送出元が予め定義された人物であるか否かを確認する、
付記６乃至８の何れかに記載の電子機器のソフトウェア更新装置。
［付記１０］
　前記ウェイクアップ受信ユニットは、前記電子機器の情報が前記ウェイクアップ信号に含まれているか否かを確認する、
付記６乃至９の何れかに記載の電子機器のソフトウェア更新装置。
［付記１１］
　通信ユニットと、
　前記通信ユニットを通じて、予め登録された無線アクセスポイントからウェイクアップ要求を送信し、前記ウェイクアップ要求を受信しスリープ状態からウェイクアップ状態に遷移した機器から無線通信によって応答を受信すると、前記通信ユニットを通じて、前記機器のソフトウェアを更新するための更新ソフトウェアを前記無線アクセスポイントから前記機器へ送信する制御ユニットと、
を含むサーバ装置。
［付記１２］
　前記制御ユニットは、前記ウェイクアップ要求を、予め定義されたウェイクアップＩＤを付加して送信するように構成されている、
付記１１に記載のサーバ装置。
［付記１３］
　前記制御ユニットは、前記ウェイクアップ要求を、予め定義された時間に送信するように構成されている、
付記１１または１２に記載のサーバ装置。
［付記１４］
　前記制御ユニットは、前記ウェイクアップ要求を、予め定義された人物の情報を付加して送信するように構成されている、
付記１１乃至１３の何れかに記載のサーバ装置。
［付記１５］
　前記制御ユニットは、前記ウェイクアップ要求を、前記機器の情報を付加して送信するように構成されている、
付記１１乃至１４の何れかに記載のサーバ装置。
［付記１６］
　無線通信により機器のソフトウェアを更新するサーバ装置が実行するソフトウェア更新方法であって、
　予め登録された無線アクセスポイントからウェイクアップ要求を送信し、
　前記ウェイクアップ要求を受信しスリープ状態からウェイクアップ状態に遷移した機器から無線通信によって応答を受信すると、前記機器のソフトウェアを更新するための更新ソフトウェアを前記無線アクセスポイントから前記機器へ送信する、
サーバ装置によるソフトウェア更新方法。
［付記１７］
　前記ウェイクアップ要求を、予め定義されたウェイクアップＩＤを付加して送信する、
付記１６に記載のサーバ装置によるソフトウェア更新方法。
［付記１８］
　前記ウェイクアップ要求を、予め定義された時間に送信する、
付記１６または１７に記載のサーバ装置によるソフトウェア更新方法。
［付記１９］
　前記ウェイクアップ要求を、予め定義された人物の情報を付加して送信する、
付記１６乃至１８の何れかに記載のサーバ装置によるソフトウェア更新方法。
［付記２０］
　前記ウェイクアップ要求を、前記機器の情報を付加して送信する、
付記１６乃至１９の何れかに記載のサーバ装置によるソフトウェア更新方法。
［付記２１］
　コンピュータを、
　ソフトウェアを実行する電子機器に接続された通信ユニットと、
　予め登録された無線アクセスポイントからウェイクアップ要求を受信すると、前記通信ユニットをスリープ状態からウェイクアップ状態に遷移させるウェイクアップ受信ユニットと、
して機能させ、
　前記通信ユニットは、前記ウェイクアップ状態に遷移すると、外部装置との無線通信を開始し、前記外部装置から受信した更新ソフトウェアによって前記電子機器の前記ソフトウェアを更新する、
プログラムを記録したコンピュータ読み取り可能な記録媒体。
［付記２２］
　前記ウェイクアップ受信ユニットは、予め定義されたウェイクアップＩＤが前記ウェイクアップ要求に含まれているか否かを確認するように構成されている、
付記２１に記載のプログラムを記録したコンピュータ読み取り可能な記録媒体。
［付記２３］
　前記ウェイクアップ受信ユニットは、前記ウェイクアップ信号を受信した時間が予め定義された時間であるか否かを確認するように構成されている、
付記２１または２２に記載の記録媒体。
［付記２４］
　前記ウェイクアップ受信ユニットは、前記ウェイクアップ信号の送出元が予め定義された人物であるか否かを確認するように構成されている、
付記２１乃至２３の何れかに記載の記録媒体。
［付記２５］
　前記ウェイクアップ受信ユニットは、前記電子機器の情報が前記ウェイクアップ信号に含まれているか否かを確認するように構成されている、
付記２１乃至２４の何れかに記載の記録媒体。
［付記２６］
　コンピュータを、
　通信ユニットと、
　前記通信ユニットを通じて、予め登録された無線アクセスポイントからウェイクアップ要求を送信し、前記ウェイクアップ要求を受信しスリープ状態からウェイクアップ状態に遷移した機器から無線通信によって応答を受信すると、前記通信ユニットを通じて、前記機器のソフトウェアを更新するための更新ソフトウェアを前記無線アクセスポイントから前記機器へ送信する制御ユニットと、
して機能させるためのプログラムを記録したコンピュータ読み取り可能な記録媒体。
［付記２７］
　前記制御ユニットは、前記ウェイクアップ要求を、予め定義されたウェイクアップＩＤを付加して送信するように構成されている、
付記２６に記載の記録媒体。
［付記２８］
　前記制御ユニットは、前記ウェイクアップ要求を、予め定義された時間に送信するように構成されている、
付記２６または２７に記載の記録媒体。
［付記２９］
　前記制御ユニットは、前記ウェイクアップ要求を、予め定義された人物の情報を付加して送信するように構成されている、
付記２６乃至２８の何れかに記載の記録媒体。
［付記３０］
　前記制御ユニットは、前記ウェイクアップ要求を、前記機器の情報を付加して送信するように構成されている、
付記２６乃至２９の何れかに記載の記録媒体。

１００…ソフトウェア更新システム
１０１…サーバ装置
１０２…無線アクセスポイント
１０３…車載機器
１０４…車両
１０５…ＥＣＵ
１０６…通信ユニット
１０７…ウェイクアップ受信ユニット
１０８…制御ユニット
１０９…通信ユニット
１１０…無線カバレッジエリア
２００…ＯＴＡシステム
２０１…ＯＴＡサーバ
２０２…無線ネットワーク
２０３…ＯＴＡクライアント
２０４…保守システム
２０５…データベース
２０６…ログファイル
２０７…車両フリート
２０８…信頼ゾーン
２０９…無線アクセスポイント
２１０…ウェイクアップ受信機
２１１…ＥＣＵ
２１２…ＷＬＡＮステーション
２１３…ゲートウェイ
２１４…車両バス
２１５…ＯＢＤ
２１６…ＩＶＩ
２１７…ウェイクアップ信号
２１８…アンテナ
２１９…ウェイクアップＩＤ照合ユニット
２２０…ＷＬＡＮ信号
２２１…アンテナ
２２２…通信路
２２３…待機状態
２２４…状態
２２５…評価
２２６…ＶＩＮ
２２７…時間
２２８…人物
２２９…状態
２３０…状態
２３１…ロールバック状態
３００…ソフトウェア更新システム
３０１…サーバ装置
３０２…無線アクセスポイント
３０３…ソフトウェア更新装置
３０４…通信ユニット
３０５…ウェイクアップ受信機
３０６…電子機器
３０７…通信ユニット
３０８…制御ユニット
３０９…無線カバレッジエリア

Claims

　ソフトウェアを実行する電子機器に接続された通信ユニットと、
　予め登録された無線アクセスポイントからウェイクアップ要求を受信すると、前記通信ユニットをスリープ状態からウェイクアップ状態に遷移させるウェイクアップ受信ユニットとを含み、
　前記通信ユニットは、前記ウェイクアップ状態に遷移すると、外部装置との無線通信を開始し、前記外部装置から受信した更新ソフトウェアによって前記電子機器の前記ソフトウェアを更新する、
ソフトウェア更新装置。
　前記ウェイクアップ受信ユニットは、予め定義されたウェイクアップＩＤが前記ウェイクアップ要求に含まれているか否かを確認するように構成されている、
請求項１に記載のソフトウェア更新装置。
　前記ウェイクアップ受信ユニットは、前記ウェイクアップ信号を受信した時間が予め定義された時間であるか否かを確認するように構成されている、
請求項１または２に記載のソフトウェア更新装置。
　前記ウェイクアップ受信ユニットは、前記ウェイクアップ信号の送出元が予め定義された人物であるか否かを確認するように構成されている、
請求項１乃至３の何れかに記載のソフトウェア更新装置。
　前記ウェイクアップ受信ユニットは、前記電子機器の情報が前記ウェイクアップ信号に含まれているか否かを確認するように構成されている、
請求項１乃至４の何れかに記載のソフトウェア更新装置。
　ウェイクアップ受信ユニットとソフトウェアを実行する電子機器に接続された通信ユニットとを含むソフトウェア更新装置が実行するソフトウェア更新方法であって、
　前記ウェイクアップ受信ユニットが、予め登録された無線アクセスポイントからウェイクアップ要求を受信すると、前記通信ユニットをスリープ状態からウェイクアップ状態に遷移させ、
　前記通信ユニットが、前記ウェイクアップ状態に遷移すると、外部装置との無線通信を開始し、前記外部装置から受信した更新ソフトウェアによって前記電子機器の前記ソフトウェアを更新する、
電子機器のソフトウェア更新方法。
　前記ウェイクアップ受信ユニットは、予め定義されたウェイクアップＩＤが前記ウェイクアップ要求に含まれているか否かを確認する、
請求項６に記載の電子機器のソフトウェア更新装置。
　前記ウェイクアップ受信ユニットは、前記ウェイクアップ信号を受信した時間が予め定義された時間であるか否かを確認する、
請求項６または７に記載の電子機器のソフトウェア更新装置。
　前記ウェイクアップ受信ユニットは、前記ウェイクアップ信号の送出元が予め定義された人物であるか否かを確認する、
請求項６乃至８の何れかに記載の電子機器のソフトウェア更新装置。
　前記ウェイクアップ受信ユニットは、前記電子機器の情報が前記ウェイクアップ信号に含まれているか否かを確認する、
請求項６乃至９の何れかに記載の電子機器のソフトウェア更新装置。
　通信ユニットと、
　前記通信ユニットを通じて、予め登録された無線アクセスポイントからウェイクアップ要求を送信し、前記ウェイクアップ要求を受信しスリープ状態からウェイクアップ状態に遷移した機器から無線通信によって応答を受信すると、前記通信ユニットを通じて、前記機器のソフトウェアを更新するための更新ソフトウェアを前記無線アクセスポイントから前記機器へ送信する制御ユニットと、
を含むサーバ装置。
　前記制御ユニットは、前記ウェイクアップ要求を、予め定義されたウェイクアップＩＤを付加して送信するように構成されている、
請求項１１に記載のサーバ装置。
　前記制御ユニットは、前記ウェイクアップ要求を、予め定義された時間に送信するように構成されている、
請求項１１または１２に記載のサーバ装置。
　前記制御ユニットは、前記ウェイクアップ要求を、予め定義された人物の情報を付加して送信するように構成されている、
請求項１１乃至１３の何れかに記載のサーバ装置。
　前記制御ユニットは、前記ウェイクアップ要求を、前記機器の情報を付加して送信するように構成されている、
請求項１１乃至１４の何れかに記載のサーバ装置。
　無線通信により機器のソフトウェアを更新するサーバ装置が実行するソフトウェア更新方法であって、
　予め登録された無線アクセスポイントからウェイクアップ要求を送信し、
　前記ウェイクアップ要求を受信しスリープ状態からウェイクアップ状態に遷移した機器から無線通信によって応答を受信すると、前記機器のソフトウェアを更新するための更新ソフトウェアを前記無線アクセスポイントから前記機器へ送信する、
サーバ装置によるソフトウェア更新方法。
　前記ウェイクアップ要求を、予め定義されたウェイクアップＩＤを付加して送信する、
請求項１６に記載のサーバ装置によるソフトウェア更新方法。
　前記ウェイクアップ要求を、予め定義された時間に送信する、
請求項１６または１７に記載のサーバ装置によるソフトウェア更新方法。
　前記ウェイクアップ要求を、予め定義された人物の情報を付加して送信する、
請求項１６乃至１８の何れかに記載のサーバ装置によるソフトウェア更新方法。
　前記ウェイクアップ要求を、前記機器の情報を付加して送信する、
請求項１６乃至１９の何れかに記載のサーバ装置によるソフトウェア更新方法。
　コンピュータを、
　ソフトウェアを実行する電子機器に接続された通信ユニットと、
　予め登録された無線アクセスポイントからウェイクアップ要求を受信すると、前記通信ユニットをスリープ状態からウェイクアップ状態に遷移させるウェイクアップ受信ユニットと、
して機能させ、
　前記通信ユニットは、前記ウェイクアップ状態に遷移すると、外部装置との無線通信を開始し、前記外部装置から受信した更新ソフトウェアによって前記電子機器の前記ソフトウェアを更新する、
プログラムを記録したコンピュータ読み取り可能な記録媒体。
　前記ウェイクアップ受信ユニットは、予め定義されたウェイクアップＩＤが前記ウェイクアップ要求に含まれているか否かを確認するように構成されている、
請求項２１に記載のプログラムを記録したコンピュータ読み取り可能な記録媒体。
　前記ウェイクアップ受信ユニットは、前記ウェイクアップ信号を受信した時間が予め定義された時間であるか否かを確認するように構成されている、
請求項２１または２２に記載の記録媒体。
　前記ウェイクアップ受信ユニットは、前記ウェイクアップ信号の送出元が予め定義された人物であるか否かを確認するように構成されている、
請求項２１乃至２３の何れかに記載の記録媒体。
　前記ウェイクアップ受信ユニットは、前記電子機器の情報が前記ウェイクアップ信号に含まれているか否かを確認するように構成されている、
請求項２１乃至２４の何れかに記載の記録媒体。
　コンピュータを、
　通信ユニットと、
　前記通信ユニットを通じて、予め登録された無線アクセスポイントからウェイクアップ要求を送信し、前記ウェイクアップ要求を受信しスリープ状態からウェイクアップ状態に遷移した機器から無線通信によって応答を受信すると、前記通信ユニットを通じて、前記機器のソフトウェアを更新するための更新ソフトウェアを前記無線アクセスポイントから前記機器へ送信する制御ユニットと、
して機能させるためのプログラムを記録したコンピュータ読み取り可能な記録媒体。
　前記制御ユニットは、前記ウェイクアップ要求を、予め定義されたウェイクアップＩＤを付加して送信するように構成されている、
請求項２６に記載の記録媒体。
　前記制御ユニットは、前記ウェイクアップ要求を、予め定義された時間に送信するように構成されている、
請求項２６または２７に記載の記録媒体。
　前記制御ユニットは、前記ウェイクアップ要求を、予め定義された人物の情報を付加して送信するように構成されている、
請求項２６乃至２８の何れかに記載の記録媒体。
　前記制御ユニットは、前記ウェイクアップ要求を、前記機器の情報を付加して送信するように構成されている、
請求項２６乃至２９の何れかに記載の記録媒体。