WO2019038855A1

WO2019038855A1 - 車載電子機器、サーバ装置、およびソフトウェア更新方法

Info

Publication number: WO2019038855A1
Application number: PCT/JP2017/030111
Authority: WO
Inventors: 良弘中井
Original assignee: 三菱電機株式会社
Priority date: 2017-08-23
Filing date: 2017-08-23
Publication date: 2019-02-28

Abstract

マスタ機器（２０）は、サーバ装置（１０）からソフトウェア更新要求を受信した場合、車内ネットワーク（３）に接続されたスレーブ機器（３０Ａ～３０Ｆ）が有する複数の空メモリ（３３）の空き容量を示すメモリマップ情報をサーバ装置（１０）へ送信する。マスタ機器（２０）は、サーバ装置（１０）から、ソフトウェア更新対象のスレーブ機器（３０Ａ）に対する更新用ソフトウェアのうち、スレーブ機器（３０Ａ～３０Ｆ）が有する複数の空メモリ（３３）の空き容量より小さい容量を更新対象とした更新データを受信した場合、これらの空メモリ（３３）を使用してスレーブ機器（３０Ａ）にソフトウェア更新を行わせる。

Description

車載電子機器、サーバ装置、およびソフトウェア更新方法

　この発明は、サーバ装置と連携して車載電子機器のソフトウェアを更新するための車載電子機器、サーバ装置、およびソフトウェア更新方法に関するものである。

　自動車の電子化にともないソフトウェア依存度が高まり、また自動車の公衆ネットワーク接続により、車載電子機器はＣＥ（Ｃｏｎｓｕｍｅｒ　Ｅｌｅｃｔｒｏｎｉｃｓ）機器と同様にセキュリティの脅威にさらされるようになった。車載電子機器のセキュリティ対応およびその他の利便性のため、ＯＴＡ（Ｏｎ　Ｔｈｅ　Ａｉｒ）によるソフトウェア更新が広まっている。ただし、車載電子機器のＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）は、ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）およびＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）等の限られたリソースで動作しているため、ソフトウェア更新に必要となるリソースを低減する必要がある。

　特許文献１に係る電子制御装置は、２つの記憶領域を有し、通常時はそれぞれの記憶領域に同一プログラムをミラーリングして記憶している。プログラム更新時、電子制御装置は、一方の記憶領域を圧縮して情報格納領域を確保し、この情報格納領域にプログラムの更新用データを一時的に格納する。

特開２０１４－１９１５７４号公報

　特許文献１に係る電子制御装置は以上のように構成されているので、情報格納領域のサイズより更新用データのサイズが大きい場合、ソフトウェア更新に必要となるリソースを確保できないという課題があった。

　この発明は、上記のような課題を解決するためになされたもので、車載電子機器のソフトウェア更新に必要となるリソースを確保することを目的とする。

　この発明に係る車載電子機器は、車内ネットワークに接続された複数の車載電子機器のうちの１つの車載電子機器であって、無線通信ネットワークを介して車外のサーバ装置からソフトウェア更新要求を受信した場合、車内ネットワークに接続された複数の車載電子機器が有する複数の記憶部の空き容量を示すメモリマップ情報を、無線通信ネットワークを介してサーバ装置へ送信し、無線通信ネットワークを介してサーバ装置から、複数の車載電子機器のうちのソフトウェア更新対象となる車載電子機器に対する更新用ソフトウェアのうち、複数の車載電子機器が有する複数の記憶部の空き容量より小さい容量を更新対象とした更新データを受信し、複数の車載電子機器が有する複数の記憶部の空き容量を使用してソフトウェア更新対象となる車載電子機器にソフトウェア更新を行わせる更新マスタ処理部を備えるものである。

　この発明によれば、車内ネットワークに接続された複数の車載電子機器が有する複数の記憶部の空き容量を使用してソフトウェア更新を行うようにしたので、車載電子機器のソフトウェア更新に必要となるリソースを確保することができる。

実施の形態１に係るソフトウェア更新システムの構成例を示すブロック図である。実施の形態１に係るサーバ装置の構成例を示すブロック図である。実施の形態１に係る車載電子機器であるマスタ機器の構成例を示すブロック図である。実施の形態１に係る車載電子機器であるスレーブ機器の構成例を示すブロック図である。実施の形態１に係るサーバ装置および車載電子機器に共通するハードウェア構成例を示すブロック図である。実施の形態１においてＲＯＭに記憶されているプログラムの概要を示す図である。実施の形態１における旧ソフトウェアイメージ、新ソフトウェアイメージ、および更新データの関係を示す図である。実施の形態１に係るソフトウェア更新システムのソフトウェア更新方法の概要を示すフローチャートである。実施の形態１に係るサーバ装置の動作例を示すフローチャートである。実施の形態１に係るマスタ機器の動作例を示すフローチャートである。図８のステップＳＴ２１０における動作の詳細を示すフローチャートである。実施の形態１に係るスレーブ機器の動作例を示すフローチャートである。実施の形態１におけるシステムメモリマップの一例を示す図である。図８のステップＳＴ２２０における動作の詳細を示すフローチャートである。図８のステップＳＴ２３０における動作の詳細を示すフローチャートである。図１３のステップＳＴ２３３における動作の詳細を示すフローチャートである。実施の形態１に係るスレーブ機器の異常時の動作例を示すフローチャートである。図８のステップＳＴ２７０における動作の詳細を示すフローチャートである。実施の形態１に係るソフトウェア更新システムの変形例を示すブロック図である。

　以下、この発明をより詳細に説明するために、この発明を実施するための形態について、添付の図面に従って説明する。
実施の形態１．
　図１は、実施の形態１に係るソフトウェア更新システム１の構成例を示すブロック図である。ソフトウェア更新システム１は、サーバ装置１０と、車載電子機器であるマスタ機器２０およびスレーブ機器３０Ａ～３０Ｆとを含む。１台の車両には、マスタ機器２０およびスレーブ機器３０Ａ～３０Ｆが搭載されている。マスタ機器２０は、無線通信ネットワーク２を介して、車外のサーバ装置１０と通信可能である。無線通信ネットワーク２は、例えば、ＷＷＡＮ（Ｗｉｒｅｌｅｓｓ　Ｗｉｄｅ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）、ＬＴＥ（Ｌｏｎｇ　Ｔｅｒｍ　Ｅｖｏｌｕｔｉｏｎ）、または３Ｇである。また、マスタ機器２０およびスレーブ機器３０Ａ～３０Ｆは、車内ネットワーク３を介して接続されている。車内ネットワーク３は、例えばＣＡＮ（Ｃｏｎｔｒｏｌｌｅｒ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）、ＭＯＳＴ（Ｍｅｄｉａ　Ｏｒｉｅｎｔｅｄ　Ｓｙｓｔｅｍ　Ｔｒａｎｓｐｏｒｔ）、またはＥｔｈｅｒｎｅｔ（登録商標）である。

　実施の形態１では、サーバ装置１０と通信可能な車載電子機器はマスタ機器２０のみであるものとし、ソフトウェア更新対象となる車載電子機器はスレーブ機器３０Ａ～３０Ｆのいずれかであるものとする。また、実施の形態１におけるソフトウェアイメージとは、各スレーブ機器に書き込まれたソフトウェアの一部または全部のイメージを言う。ソフトウェアの一部と全部とに区別が必要な場合はその旨記載する。

　図２Ａは、実施の形態１に係るサーバ装置１０の構成例を示すブロック図である。サーバ装置１０は、イメージデータベース１１、更新データ生成部１２、更新サーバ処理部１３、無線通信部１４、およびＰＣ（Ｐｅｒｓｏｎａｌ　Ｃｏｍｐｕｔｅｒ）１５を備える。イメージデータベース１１は、スレーブ機器３０Ａ～３０Ｆのそれぞれの旧ソフトウェアイメージの全部および新ソフトウェアイメージの全部を記憶する。旧ソフトウェアイメージは更新前のソフトウェアであり、新ソフトウェアイメージは更新用ソフトウェアである。更新データ生成部１２は、スレーブ機器３０Ａ～３０Ｆのうちのソフトウェア更新対象のスレーブ機器の新旧ソフトウェアイメージをイメージデータベース１１から読み出して、新旧ソフトウェアイメージの差分を抽出し差分データを生成する。差分データは、スレーブ機器３０Ａ～３０Ｆのうちのいずれかのソフトウェアを更新するための更新データである。更新サーバ処理部１３は、無線通信部１４を介してマスタ機器２０と通信して、ソフトウェア更新対象のスレーブ機器のソフトウェア更新処理を実施させる。無線通信部１４は、無線通信ネットワーク２を介してマスタ機器２０と通信する。ＰＣ１５は、イメージデータベース１１に新ソフトウェアイメージの全部を記憶させる。また、ＰＣ１５は、サーバ装置１０を管理する。

　図２Ｂは、実施の形態１に係る車載電子機器であるマスタ機器２０の構成例を示すブロック図である。マスタ機器２０は、例えばヘッドユニットまたはゲートウェイである。このマスタ機器２０は、スレーブ機器３０Ａ～３０Ｆのソフトウェア更新処理を制御する。

　マスタ機器２０は、更新マスタ処理部２１、新イメージ生成部２２、空メモリ２３、無線通信部２４、および車内通信部２５を備える。更新マスタ処理部２１は、無線通信部２４が受信したサーバ装置１０からの要求に応じて、無線通信部２４を介してサーバ装置１０に応答するとともに車内通信部２５を介してスレーブ機器３０Ａ～３０Ｆへ指示することにより、スレーブ機器３０Ａ～３０Ｆのソフトウェア更新処理を行う。また、更新マスタ処理部２１は、スレーブ機器３０Ａ～３０Ｆが有する空きメモリの容量を示すシステムメモリマップを生成する。システムメモリマップを示す情報は「メモリマップ情報」に相当する。新イメージ生成部２２は、ソフトウェア更新対象のスレーブ機器の旧ソフトウェアイメージとサーバ装置１０が送信した更新データとを用いて新ソフトウェアイメージを生成する。空メモリ２３は、ソフトウェア更新時にシステムメモリマップ情報等を記憶するための不揮発性メモリである。この不揮発性メモリは、現在は使用されていないため空メモリ２３と称され、後述するＲＯＭ１０２の空メモリ１０２ｃである。無線通信部２４は、無線通信ネットワーク２を介してサーバ装置１０と通信する。車内通信部２５は、車内ネットワーク３を介してスレーブ機器３０Ａ～３０Ｆと通信する。

　図２Ｃは、実施の形態１に係る車載電子機器であるスレーブ機器３０の構成例を示すブロック図である。スレーブ機器３０は、例えばエンジンを制御するＥＣＵ（Ｅｌｅｃｔｒｏｎｉｃ　Ｃｏｎｔｒｏｌ　Ｕｎｉｔ）、またはエアコンを制御するＥＣＵ等である。このスレーブ機器３０は、マスタ機器２０の制御下で自身のソフトウェアを更新する。

　スレーブ機器３０は、更新スレーブ処理部３１、ソフトウェア更新部３２、空メモリ３３、および車内通信部３４を備える。更新スレーブ処理部３１は、車内通信部３４が受信したマスタ機器２０からの要求に応じて、車内通信部３４を介してマスタ機器２０に応答する。ソフトウェア更新部３２は、自身がソフトウェア更新対象のスレーブ機器である場合に、自身の旧ソフトウェアイメージを消去して新ソフトウェアイメージを書き込むことによってソフトウェア更新処理を行う。空メモリ３３は、ソフトウェア更新時にバックアップデータ等を一時的に記憶するための不揮発性メモリである。この不揮発性メモリは、現在は使用されていないため空メモリ３３と称され、後述するＲＯＭ１０２の空メモリ１０２ｃである。車内通信部３４は、車内ネットワーク３を介してマスタ機器２０と通信する。

　なお、図１に示されるスレーブ機器３０Ａ～３０Ｆのそれぞれは、図２Ｃに示されるスレーブ機器３０と同様に更新スレーブ処理部３１、ソフトウェア更新部３２、空メモリ３３、および車内通信部３４を備える。以下では、スレーブ機器３０Ａ～３０Ｆを区別する必要がない場合、スレーブ機器３０と称する。

　図３は、実施の形態１に係るサーバ装置１０ならびに車載電子機器であるマスタ機器２０およびスレーブ機器３０に共通するハードウェア構成例を示すブロック図である。
　サーバ装置１０は、バス１００に接続されたＣＰＵ１０１、ＲＯＭ１０２、およびＲＡＭ１０３を備える。サーバ装置１０における更新データ生成部１２および更新サーバ処理部１３の各機能は、ソフトウェアにより実現される。ソフトウェアはプログラムとして記述され、ＲＯＭ１０２に記憶される。ＣＰＵ１０１は、ＲＯＭ１０２に記憶されたプログラムをＲＡＭ１０３に読み出して実行することにより、各部の機能を実現する。即ち、サーバ装置１０は、ＣＰＵ１０１により実行されるときに、後述するフローチャートで示されるステップが結果的に実行されることになるプログラムを格納するためのＲＯＭ１０２を備える。また、このプログラムは、更新データ生成部１２および更新サーバ処理部１３の手順または方法をコンピュータ等に実行させるものであるとも言える。
　なお、サーバ装置１０におけるイメージデータベース１１は、例えばＨＤＤ（Ｈａｒｄ　Ｄｉｓｋ　Ｄｒｉｖｅ）である。

　マスタ機器２０は、バス１００に接続されたＣＰＵ１０１、ＲＯＭ１０２、およびＲＡＭ１０３を備える。マスタ機器２０における更新マスタ処理部２１および新イメージ生成部２２の各機能は、ソフトウェアにより実現される。ソフトウェアはプログラムとして記述され、ＲＯＭ１０２に記憶される。ＣＰＵ１０１は、ＲＯＭ１０２に記憶されたプログラムをＲＡＭ１０３に読み出して実行することにより、各部の機能を実現する。即ち、マスタ機器２０は、ＣＰＵ１０１により実行されるときに、後述するフローチャートで示されるステップが結果的に実行されることになるプログラムを格納するためのＲＯＭ１０２を備える。また、このプログラムは、更新マスタ処理部２１および新イメージ生成部２２の手順または方法をコンピュータ等に実行させるものであるとも言える。

　スレーブ機器３０は、バス１００に接続されたＣＰＵ１０１、ＲＯＭ１０２、およびＲＡＭ１０３を備える。スレーブ機器３０における更新スレーブ処理部３１およびソフトウェア更新部３２の各機能は、ソフトウェアにより実現される。ソフトウェアはプログラムとして記述され、ＲＯＭ１０２に記憶される。ＣＰＵ１０１は、ＲＯＭ１０２に記憶されたプログラムをＲＡＭ１０３に読み出して実行することにより、各部の機能を実現する。即ち、スレーブ機器３０は、ＣＰＵ１０１により実行されるときに、後述するフローチャートで示されるステップが結果的に実行されることになるプログラムを格納するためのＲＯＭ１０２を備える。また、このプログラムは、更新スレーブ処理部３１およびソフトウェア更新部３２の手順または方法をコンピュータ等に実行させるものであるとも言える。

　図４は、実施の形態１においてＲＯＭ１０２に記憶されているプログラムの概要を示す図である。マスタ機器２０およびスレーブ機器３０のＲＯＭ１０２は、ブートプログラム１０２ａ、アプリケーションプログラム１０２ｂ、および空メモリ１０２ｃを含む。ブートプログラム１０２ａは、電源投入直後に読み出されてＲＡＭ１０３に展開される。アプリケーションプログラム１０２ｂは、ブートプログラム１０２ａがＣＰＵ１０１の検査を終了した後、読み出されてＲＡＭ１０３に展開される。主に、ブートプログラム１０２ａおよびアプリケーションプログラム１０２ｂがソフトウェア更新対象となる。空メモリ１０２ｃは、空メモリ２３または空メモリ３３であり、記憶部である。

　図５は、実施の形態１における旧ソフトウェアイメージ、新ソフトウェアイメージ、および更新データの関係を示す図である。サーバ装置１０の更新データ生成部１２は、マスタ機器２０から受信したシステムメモリマップ情報を用いて、スレーブ機器３０Ａ～３０Ｆの合計空メモリ容量に合わせた容量で更新処理が可能な更新データを生成する。例えば、イメージデータベース１１に記憶されている新旧ソフトウェアイメージのうち更新対象となる更新対象ソフトウェアイメージの容量が１００ＫＢｙｔｅであり、システムメモリマップ情報が示すスレーブ機器３０Ａ～３０Ｆの合計空メモリ容量が３０ＫＢｙｔｅである場合、更新データ生成部１２は、３０ＫＢｙｔｅより小さい容量の一部更新対象ソフトウェアイメージを対象とした更新データを生成する。更新データ生成部１２は、一部更新対象ソフトウェアイメージ１つあたりの容量に余裕を持たせて２０ＫＢｙｔｅに設定した場合、１００ＫＢｙｔｅの更新対象ソフトウェアイメージを２０ＫＢｙｔｅ毎に分割して５つの一部更新対象ソフトウェアイメージにし、分割した５つの一部更新対象ソフトウェアイメージのそれぞれを比較処理して差分データを５つ生成し、５つの更新データとすることになる。もし、更新対象ソフトウェアイメージの容量が３０ＫＢｙｔｅより小さければ分割は不要であり、更新データ生成部１２は１つの差分データをそのまま１つの更新データとする。

　更新データ生成部１２は、スレーブ機器３０Ａ～３０Ｆが有するＣＰＵ１０１のＲＯＭ構成に応じて、更新データの生成対象となる新旧ソフトウェアイメージ１つあたりの容量を設定してもよい。例えば、ＣＰＵ１０１は、ブロックメモリ単位でＲＯＭ１０２に記憶されているデータを更新するため、更新データ生成部１２は、比較する新旧ソフトウェアイメージの容量をブロックメモリのＮ倍（Ｎは自然数）として更新データを生成するのが好ましい。即ち、更新データを用いて書き換えを行う新ソフトウェアイメージがブロックメモリのＮ倍になることが好ましい。

　図６は、実施の形態１に係るソフトウェア更新システム１のソフトウェア更新方法の概要を示すフローチャートである。ここでは、ソフトウェア更新対象のスレーブ機器３０がスレーブ機器３０Ａであるものと仮定する。
　ステップＳＴ１において、サーバ装置１０は、無線通信ネットワーク２を介して車載電子機器であるマスタ機器２０へ更新要求を送信する。
　ステップＳＴ２において、マスタ機器２０は、無線通信ネットワーク２を介してサーバ装置１０から更新要求を受信し、車内ネットワーク３に接続された複数のスレーブ機器３０Ａ～３０Ｆが有する複数の空メモリ３３の空き容量を示すシステムメモリマップ情報を、無線通信ネットワーク２を介してサーバ装置１０へ送信する。
　ステップＳＴ３において、サーバ装置１０は、無線通信ネットワーク２を介してマスタ機器２０からシステムメモリマップ情報を受信し、システムメモリマップ情報を用いて、スレーブ機器３０Ａ～３０Ｆのうちのソフトウェア更新対象となるスレーブ機器３０Ａに対する更新用ソフトウェアのうち、複数のスレーブ機器３０Ａ～３０Ｆが有する複数の空メモリ３３の空き容量より小さい新旧ソフトウェアイメージを対象とした更新データを生成し、無線通信ネットワーク２を介してマスタ機器２０へ更新データを送信する。
　ステップＳＴ４において、マスタ機器２０は、無線通信ネットワーク２を介してサーバ装置１０から更新データを受信し、複数のスレーブ機器３０Ａ～３０Ｆが有する複数の空メモリ３３の空き容量を使用してソフトウェア更新対象となるスレーブ機器３０Ａにソフトウェア更新を行わせる。
　これにより、ソフトウェア更新に必要なリソースをマスタ機器２０またはスレーブ機器３０Ａが準備できなくとも、スレーブ機器３０Ａに接続されている他のスレーブ機器３０Ｂ～３０Ｆのリソースを使用してソフトウェア更新を行うことができる。

　次に、ソフトウェア更新システム１におけるソフトウェア更新方法を詳細に説明する。
　図７は、実施の形態１に係るサーバ装置１０の動作例を示すフローチャートである。サーバ装置１０は、図７のフローチャートに示される動作を定期的に繰り返す。
　ステップＳＴ１００において、更新サーバ処理部１３は、イベントの発生有無およびイベントの種類を判定する。更新サーバ処理部１３は、イベントが発生していない場合（ステップＳＴ１００“ＮＯ”）、ステップＳＴ１００を繰り返し、イベントが発生した場合（ステップＳＴ１００“ＹＥＳ”）、以下のようにイベントの種類を判別する。

　オペレータがＰＣ１５を操作して更新サーバ処理部１３に対してソフトウェア更新対象のスレーブ機器３０を指定するとともにイメージデータベース１１に新ソフトウェアイメージの全部を記憶させた場合、更新サーバ処理部１３は、「更新イベント」有りと判定し、ステップＳＴ１１０へ進む。
　ステップＳＴ１１０において、更新サーバ処理部１３は、無線通信部１４を介してマスタ機器２０へ、更新要求を送信する。

　マスタ機器２０がサーバ装置１０へシステムメモリマップ情報を送信した場合、更新サーバ処理部１３は、無線通信部１４を介してシステムメモリマップ情報を受信し、ステップＳＴ１００において「システムメモリマップ通知」有りと判定し、ステップＳＴ１２０へ進む。ステップＳＴ１２０およびステップＳＴ１３０における動作は後述する。

　マスタ機器２０がサーバ装置１０へソフトウェア更新処理の部分完了応答を送信した場合、更新サーバ処理部１３は、無線通信部１４を介して部分完了応答を受信し、ステップＳＴ１００において「部分完了応答」有りと判定し、ステップＳＴ１４０へ進む。ステップＳＴ１４０における動作は後述する。

　マスタ機器２０がサーバ装置１０へソフトウェア更新処理の全完了応答を送信した場合、更新サーバ処理部１３は、無線通信部１４を介して全完了応答を受信し、ステップＳＴ１００において「全完了応答」有りと判定し、ステップＳＴ１５０へ進む。ステップＳＴ１５０における動作は後述する。

　図８は、実施の形態１に係るマスタ機器２０の動作例を示すフローチャートである。マスタ機器２０は、図８のフローチャートに示される動作を定期的に繰り返す。
　ステップＳＴ２００において、更新マスタ処理部２１は、イベントの発生有無およびイベントの種類を判定する。更新マスタ処理部２１は、イベントが発生していない場合（ステップＳＴ２００“ＮＯ”）、ステップＳＴ２００を繰り返し、イベントが発生した場合（ステップＳＴ２００“ＹＥＳ”）、イベントの種類を判別する。
　サーバ装置１０がマスタ機器２０へ更新要求を送信した場合、更新マスタ処理部２１は、無線通信部２４を介して更新要求を受信し、「更新要求」有りと判定し、ステップＳＴ２１０へ進む。
　ステップＳＴ２１０において、更新マスタ処理部２１は、スレーブ機器３０Ａ～３０Ｆの空メモリ３３を調査する。ステップＳＴ２１０における動作の詳細は図９に示す。

　ソフトウェア更新対象のスレーブ機器３０がマスタ機器２０へＲＯＭ異常通知を送信した場合、更新マスタ処理部２１は、車内通信部２５を介してＲＯＭ異常通知を受信し、「ＲＯＭ異常通知」有りと判定し、ステップＳＴ２７０へ進む。ステップＳＴ２７０における動作は後述する

　図９は、図８のステップＳＴ２１０における動作の詳細を示すフローチャートである。
　ステップＳＴ２１１において、更新マスタ処理部２１は、車内通信部２５を介して、車内ネットワーク３に接続されたスレーブ機器３０Ａ～３０Ｆに対して空メモリ情報要求をブロードキャストする。

　図１０は、実施の形態１に係るスレーブ機器３０の動作例を示すフローチャートである。スレーブ機器３０は、図１０のフローチャートに示される動作を定期的に繰り返す。
　ステップＳＴ３１０において、更新スレーブ処理部３１は、イベントの発生有無およびイベントの種類を判定する。更新スレーブ処理部３１は、イベントが発生していない場合（ステップＳＴ３１０“ＮＯ”）、ステップＳＴ３００を繰り返し、イベントが発生した場合（ステップＳＴ３１０“ＹＥＳ”）、イベントの種類を判別する。

　マスタ機器２０がスレーブ機器３０へ空メモリ情報要求を送信した場合、更新スレーブ処理部３１は、車内通信部３４を介して空メモリ情報要求を受信し、「空メモリ情報要求」有りと判定し、ステップＳＴ３２０へ進む。
　ステップＳＴ３２０において、更新スレーブ処理部３１は、自身の空メモリ３３の容量および空メモリ３３のアドレス位置等を調査し、車内通信部３４を介してマスタ機器２０へ空メモリ情報を送信する。

　図９のステップＳＴ２１２において、更新マスタ処理部２１は、空メモリ情報要求に対するスレーブ機器３０Ａ～３０Ｆの応答を待つ。更新マスタ処理部２１は、車内通信部２５を介して、スレーブ機器３０Ａ～３０Ｆのいずれかから空メモリ情報要求に対する応答である空メモリ情報を受信した場合（ステップＳＴ２１２“ＹＥＳ”）、ステップＳＴ２１３へ進み、受信していない場合（ステップＳＴ２１２“ＮＯ”）、ステップＳＴ２１２を繰り返す。

　ステップＳＴ２１３において、更新マスタ処理部２１は、スレーブ機器３０Ａ～３０Ｆのいずれかから受信した空メモリ情報を記憶する。
　ステップＳＴ２１４において、更新マスタ処理部２１は、スレーブ機器３０Ａ～３０Ｆのすべてから空メモリ情報を受信し終えた場合（ステップＳＴ２１４“ＹＥＳ”）、ステップＳＴ２１５へ進み、受信し終えていない場合（ステップＳＴ２１４“ＮＯ”）、ステップＳＴ２１２へ戻る。なお、更新マスタ処理部２１は、ステップＳＴ２１１で空メモリ情報要求をしてから一定時間（例えば、１０秒）を経過してもスレーブ機器３０Ａ～３０Ｆから応答がない場合、タイムアウト処理としてステップＳＴＳＴ２１４で全応答ありと判断し（ステップＳＴ２１４“ＹＥＳ”）、ステップＳＴ２１５へ進んでもよい。
　ステップＳＴ２１５において、更新マスタ処理部２１は、スレーブ機器３０Ａ～３０Ｆのすべてから受信した空メモリ情報を用いてシステムメモリマップを生成し、マスタ機器２０のＲＯＭ１０２に記憶する。
　その後、更新マスタ処理部２１は、図８のステップＳＴ２２０へ進む。

　図１１は、実施の形態１におけるシステムメモリマップの一例を示す図である。更新マスタ処理部２１は、例えば、スレーブ機器３０Ａから受信した空メモリ情報を用いて、スレーブ機器ＩＤ「Ａ」の「空メモリ容量」の欄に「５ＫＢｙｔｅ」と登録する。図１１の例では、スレーブ機器３０Ａ～３０Ｆ全体の空メモリ容量の合計は「３０ＫＢｙｔｅ」である。

　図８のステップＳＴ２２０において、更新マスタ処理部２１は、サーバ装置１０との間で情報を交換する。ステップＳＴ２２０における動作の詳細は図１２に示す。

　図１２は、図８のステップＳＴ２２０における動作の詳細を示すフローチャートである。
　ステップＳＴ２２１において、更新マスタ処理部２１は、無線通信部２４を介してサーバ装置１０へシステムメモリマップ情報を送信する。

　図７のステップＳＴ１２０において、更新データ生成部１２は、マスタ機器２０から受信したシステムメモリマップ情報を用いて、スレーブ機器３０Ａ～３０Ｆの合計空メモリ容量より小さい容量の新旧ソフトウェアイメージを対象として１つ以上の更新データを生成する。ここでは、更新データ生成部１２が、図５に示されるような５つの更新データを生成したものとする。この例では、１つの更新データは、数百Ｂｙｔｅから数ＫＢｙｔｅ程度である。

　ステップＳＴ１３０において、更新サーバ処理部１３は、更新データ生成部１２がステップＳＴ１２０にて生成した５つの更新データのうちの１つを、無線通信部１４を介してマスタ機器２０へ送信する。その際、更新サーバ処理部１３は、全更新データ合計容量である差分データ容量（例えば、数ＫＢｙｔｅ）、更新処理回数（例えば、５回）、更新データの生成対象である新旧ソフトウェアイメージの開始位置を示すアドレスである更新対象アドレス、および更新対象機器名（例えば、スレーブ機器３０Ａ）等を、更新データと合わせて送信する。

　図１２のステップＳＴ２２２において、更新マスタ処理部２１は、システムメモリマップ情報送信に対するサーバ装置１０の応答を待つ。更新マスタ処理部２１は、無線通信部２４を介してサーバ装置１０から更新データ等を受信した場合（ステップＳＴ２２２“ＹＥＳ”）、ステップＳＴ２２３へ進み、受信していない場合（ステップＳＴ２２２“ＮＯ”）、ステップＳＴ２２２を繰り返す。
　ステップＳＴ２２３において、更新マスタ処理部２１は、サーバ装置１０から受信した更新データ等を、マスタ機器２０のＲＡＭ１０３に記憶する。
　その後、更新マスタ処理部２１は、図８のステップＳＴ２３０へ進む。

　図８のステップＳＴ２３０において、更新マスタ処理部２１は、ソフトウェア更新対象のスレーブ機器３０に対するソフトウェア更新処理を実施する。ステップＳＴ２３０における動作の詳細は図１３に示す。

　図１３は、図８のステップＳＴ２３０における動作の詳細を示すフローチャートである。ここでは、ソフトウェア更新対象のスレーブ機器３０を、スレーブ機器３０Ａと仮定する。
　ステップＳＴ２３１において、更新マスタ処理部２１は、車内通信部２５を介してソフトウェア更新対象のスレーブ機器３０Ａへ、旧イメージ送信要求を送信する。旧イメージ送信要求は、スレーブ機器３０Ａの更新対象アドレスのソフトウェアイメージを取得するための要求である。

　マスタ機器２０がスレーブ機器３０Ａへ旧イメージ送信要求を送信した場合、スレーブ機器３０Ａの更新スレーブ処理部３１は、車内通信部３４を介して旧イメージ送信要求を受信する。そして、スレーブ機器３０Ａの更新スレーブ処理部３１は、図１０のステップＳＴ３１０にて「旧イメージ送信要求」有りと判定し、ステップＳＴ３３０へ進む。
　ステップＳＴ３３０において、スレーブ機器３０Ａの更新スレーブ処理部３１は、更新前のソフトウェアイメージにおける旧イメージ送信要求で指定された更新対象アドレスのソフトウェアイメージ、つまり旧ソフトウェアイメージを、車内通信部３４を介してマスタ機器２０へ送信する。

　図１３のステップＳＴ２３２において、更新マスタ処理部２１は、旧イメージ送信要求に対するスレーブ機器３０Ａの応答を待つ。更新マスタ処理部２１は、車内通信部２５を介して、スレーブ機器３０Ａから更新対象アドレスの旧ソフトウェアイメージを受信した場合（ステップＳＴ２３２“ＹＥＳ”）、受信した旧ソフトウェアイメージをマスタ機器２０のＲＡＭ１０３に記憶し、ステップＳＴ２３３へ進む。一方、更新マスタ処理部２１は、旧ソフトウェアイメージを受信していない場合（ステップＳＴ２３２“ＮＯ”）、ステップＳＴ２３２を繰り返す。
　ステップＳＴ２３３において、更新マスタ処理部２１は、ステップＳＴ２３２にて受信した旧ソフトウェアイメージのバックアップ処理を行う。ステップＳＴ２３３における動作の詳細は図１４に示す。

　図１４は、図１３のステップＳＴ２３３における動作の詳細を示すフローチャートである。
　ステップＳＴ２３３－１において、更新マスタ処理部２１は、システムメモリマップを参照し、旧ソフトウェアイメージをどのように分割しどのスレーブ機器３０Ａ～３０Ｆに記憶させるかを算出する。もし、旧ソフトウェアイメージの全部が単独の空メモリ３３に記憶できるのであれば分割は不要である。更新マスタ処理部２１は、例えば、旧ソフトウェアイメージを５ＫＢｙｔｅずつ４つに分割して、スレーブ機器３０Ｂ～３０Ｅにそれぞれ５ＫＢｙｔｅの旧ソフトウェアイメージをバックアップとして記憶させる旨を算出する。そして、更新マスタ処理部２１は、図１１のように、システムメモリマップのスレーブ機器ＩＤ「Ｂ」、「Ｃ」、「Ｄ」および「Ｅ」の「バックアップ有無」の欄に「有」と登録するとともに、「バックアップメモリ位置」の欄に「５ＫＢｙｔｅ」と登録する。「バックアップメモリ位置」は、スレーブ機器３０Ｂ～３０Ｅがマスタ機器２０からの空メモリ情報要求に対して応答した空メモリ３３のアドレス位置である。

　ステップＳＴ２３３－２において、更新マスタ処理部２１は、ステップＳＴ２３３－１で算出した通り、車内通信部２５を介してスレーブ機器３０Ｂへ、分割した旧ソフトウェアイメージとバックアップ要求を送信する。

　ステップＳＴ２３３－３において、更新マスタ処理部２１は、バックアップ対象であるスレーブ機器３０Ｂ～３０Ｅのすべてに対して分割した旧ソフトウェアイメージとバックアップ要求を送信し終えた場合（ステップＳＴ２３３－３“ＹＥＳ”）、図１３のステップＳＴ２３４へ進み、送信し終えていない場合（ステップＳＴ２３３－３“ＮＯ”）、ステップＳＴ２３３－１へ戻る。

　マスタ機器２０がスレーブ機器３０Ｂ～３０Ｅへ分割した旧ソフトウェアイメージとバックアップ要求を送信した場合、スレーブ機器３０Ｂ～３０Ｅの更新スレーブ処理部３１は、車内通信部３４を介して分割した旧ソフトウェアイメージとバックアップ要求を受信する。そして、スレーブ機器３０Ｂ～３０Ｅの更新スレーブ処理部３１は、図１０のステップＳＴ３１０にて「バックアップ要求」有りと判定し、ステップＳＴ３５０へ進む。
　ステップＳＴ３５０において、スレーブ機器３０Ｂ～３０Ｅの更新スレーブ処理部３１は、マスタ機器２０から受信した旧ソフトウェアイメージを、スレーブ機器３０Ｂ～３０Ｅの空メモリ３３におけるアドレス位置にバックアップデータとして記憶する。このアドレス位置は、スレーブ機器３０Ｂ～３０Ｅがマスタ機器２０からの空メモリ情報要求に対して応答した空メモリ３３のアドレス位置である。

　なお、図１３のステップＳＴ２３３のバックアップ処理において、更新マスタ処理部２１は、旧ソフトウェアイメージだけでなく更新データも、スレーブ機器３０の空メモリ３３に記憶させてもよい。更新データをバックアップすることで、後述する図１５および図１６の復旧処理においてマスタ機器２０からサーバ装置１０へ更新データを要求する必要がなくなる。

　図１３のステップＳＴ２３４において、新イメージ生成部２２は、ステップＳＴ２２０にてサーバ装置１０から受信した更新データと、ステップＳＴ２３１にてソフトウェア更新対象のスレーブ機器３０Ａから受信した旧ソフトウェアイメージとを用いて、新ソフトウェアイメージを生成する。新イメージ生成部２２は、生成した新ソフトウェアイメージをマスタ機器２０のＲＡＭ１０３に記憶する。
　ステップＳＴ２３５において、更新マスタ処理部２１は、車内通信部２５を介してソフトウェア更新対象のスレーブ機器３０Ａへ、新イメージ生成部２２が生成した新ソフトウェアイメージとソフトウェア書換え要求を送信する。

　マスタ機器２０がスレーブ機器３０Ａへ新ソフトウェアイメージとソフトウェア書換え要求を送信した場合、スレーブ機器３０Ａの更新スレーブ処理部３１は、車内通信部３４を介して新ソフトウェアイメージとソフトウェア書換え要求を受信する。そして、スレーブ機器３０Ａの更新スレーブ処理部３１は、図１０のステップＳＴ３１０にて「ソフトウェア書換え要求」有りと判定し、ステップＳＴ３７０へ進む。
　ステップＳＴ３７０において、スレーブ機器３０Ａのソフトウェア更新部３２は、スレーブ機器３０ＡのＲＯＭ１０２の更新対象アドレスにおける旧ソフトウェアイメージを消去し、受信した新ソフトウェアイメージを書き込む。

　ステップＳＴ３８０において、スレーブ機器３０Ａの更新スレーブ処理部３１は、ソフトウェア更新部３２のソフトウェア書換え処理が成功した場合（ステップＳＴ３８０“ＹＥＳ”）、ステップＳＴ３９０へ進み、失敗した場合（ステップＳＴ３８０“ＮＯ”）、ステップＳＴ４００へ進む。
　ステップＳＴ３９０において、スレーブ機器３０Ａの更新スレーブ処理部３１は、車内通信部３４を介してマスタ機器２０へ、成功応答を送信する。
　ステップＳＴ４００において、スレーブ機器３０Ａの更新スレーブ処理部３１は、車内通信部３４を介してマスタ機器２０へ、失敗応答を送信する。

　図１３のステップＳＴ２３６において、更新マスタ処理部２１は、ソフトウェア書換え要求に対するスレーブ機器３０Ａの応答を待つ。更新マスタ処理部２１は、車内通信部２５を介してスレーブ機器３０Ａから成功応答を受信した場合（ステップＳＴ２３７“ＹＥＳ”）、ステップＳＴ２３７へ進む。一方、更新マスタ処理部２１は、スレーブ機器３０Ａから失敗応答を受信した場合（ステップＳＴ２３７“ＮＯ”）、ステップＳＴ２３５へ戻り、スレーブ機器３０Ａに対して新ソフトウェアイメージとソフトウェア書換え要求を再送する。新ソフトウェアイメージはマスタ機器２０のＲＡＭ１０３に残っているため、更新マスタ処理部２１は再度のソフトウェア書換え要求が可能である。

　ステップＳＴ２３７において、更新マスタ処理部２１は、車内通信部２５を介して、車内ネットワーク３に接続されたスレーブ機器３０Ａ～３０Ｆに対してバックアップデータ消去要求をブロードキャストする。
　その後、更新マスタ処理部２１は、図８のステップＳＴ２４０へ進む。

　マスタ機器２０がスレーブ機器３０Ａ～３０Ｆへバックアップデータ消去要求をブロードキャストした場合、スレーブ機器３０Ａ～３０Ｆの更新スレーブ処理部３１は、車内通信部３４を介してバックアップデータ消去要求を受信する。バックアップデータをもつスレーブ機器３０Ｂ～３０Ｅの更新スレーブ処理部３１は、図１０のステップＳＴ３１０にて「バックアップデータ消去要求」有りと判定し、ステップＳＴ３６０へ進む。
　ステップＳＴ３６０において、スレーブ機器３０Ｂ～３０Ｅの更新スレーブ処理部３１は、スレーブ機器３０Ｂ～３０Ｅの空メモリ３３に記憶されているバックアップデータを消去する。

　図８のステップＳＴ２４０において、更新マスタ処理部２１は、分割された複数の更新データのうちの１つの更新データを用いたソフトウェア更新処理が終了したので、無線通信部２４を介してサーバ装置１０へ、部分完了応答を送信する。
　ステップＳＴ２５０において、更新マスタ処理部２１は、分割された複数の更新データすべてを用いたソフトウェア更新処理が完了した場合（ステップＳＴ２５０“ＹＥＳ”）、ステップＳＴ２６０へ進み、完了していない場合（ステップＳＴ２５０“ＮＯ”）、ステップＳＴ２２０へ戻る。
　ステップＳＴ２６０において、更新マスタ処理部２１は、無線通信部２４を介してサーバ装置１０へ、全完了応答を送信する。

　マスタ機器２０がサーバ装置１０へソフトウェア更新処理の部分完了応答を送信した場合、更新サーバ処理部１３は、無線通信部１４を介して部分完了応答を受信し、ステップＳＴ１００において「部分完了応答」有りと判定し、ステップＳＴ１４０へ進む。
　ステップＳＴ１４０において、更新サーバ処理部１３は、分割された複数の更新データのうちのどの更新データを用いたソフトウェア更新処理が完了したかを記憶する。これにより、更新サーバ処理部１３は、異常時にソフトウェアイメージのどこまで更新が完了し、現在どの部分を更新中か判断できる。
　その後、更新サーバ処理部１３は、ステップＳＴ１３０へ進み、残りの更新データをマスタ機器２０へ送信する。

　マスタ機器２０がサーバ装置１０へソフトウェア更新処理の全完了応答を送信した場合、更新サーバ処理部１３は、無線通信部１４を介して全完了応答を受信し、ステップＳＴ１００において「全完了応答」有りと判定し、ステップＳＴ１５０へ進む。
　ステップＳＴ１５０において、更新サーバ処理部１３は、分割された複数の更新データすべてを用いたソフトウェア更新処理が完了したことを記憶する。

　次に、図８のステップＳＴ２７０における復旧処理を説明する。
　図１０のステップＳＴ３７０におけるソフトウェア書換え処理中、特に、旧ソフトウェアイメージを消去してから新ソフトウェアイメージの書換えが完了するまでに、マスタ機器２０またはスレーブ機器３０Ａ等の電源が落ちた場合、ソフトウェア更新対象のスレーブ機器３０Ａは、ソフトウェアイメージが欠損した状態となる。また、マスタ機器２０は、新ソフトウェアイメージをマスタ機器２０のＲＡＭ１０３に記憶しているだけなので、マスタ機器２０の電源が落ちるとＲＡＭ１０３の新ソフトウェアイメージが消える。

　上述のようにステップＳＴ３７０におけるソフトウェア書換え処理中に電源が落ちた後、マスタ機器２０またはスレーブ機器３０Ａ等は起動を開始する。このとき、ソフトウェア更新対象のスレーブ機器３０Ａは、図１５のフローチャートに示される動作を行う。

　図１５は、実施の形態１に係るスレーブ機器３０Ａの異常時の動作例を示すフローチャートである。
　ステップＳＴ４１１において、ソフトウェア更新対象のスレーブ機器３０Ａにおける更新スレーブ処理部３１は、ＲＯＭ１０２におけるアプリケーションプログラム１０２ｂのソフトウェアイメージが欠損しているか否かを判定する。上述のようにステップＳＴ３７０におけるソフトウェア書換え処理中に電源が落ちた場合ソフトウェアイメージが欠損しているため、スレーブ機器３０Ａの更新スレーブ処理部３１は欠損ありと判定し（ステップＳＴ４１１“ＹＥＳ”）、ステップＳＴ４１２へ進む。一方、スレーブ機器３０Ａの更新スレーブ処理部３１は、ソフトウェアイメージが欠損していない場合（ステップＳＴ４１１“ＮＯ”）、図１５のフローチャートに示される動作を終了する。
　ステップＳＴ４１２において、スレーブ機器３０Ａの更新スレーブ処理部３１は、車内通信部３４を介してマスタ機器２０へ、ＲＯＭ異常通知を送信する。

　スレーブ機器３０Ａがマスタ機器２０へＲＯＭ異常通知を送信した場合、マスタ機器２０の更新マスタ処理部２１は、車内通信部２５を介してＲＯＭ異常通知を受信する。更新マスタ処理部２１は、図８のステップＳＴ２００にて「ＲＯＭ異常通知」有りと判定し、ステップＳＴ２７０へ進む。
　ステップＳＴ２７０において、更新マスタ処理部２１は、ソフトウェア更新対象のスレーブ機器３０Ａのソフトウェアイメージの復旧処理を行う。ステップＳＴ２７０における動作の詳細は図１６に示す。

　図１６は、図８のステップＳＴ２７０における動作の詳細を示すフローチャートである。
　ステップＳＴ２７１において、更新マスタ処理部２１は、システムメモリマップを参照し、どこに旧ソフトウェアイメージおよび更新データが記憶されているかを確認する。

　ステップＳＴ２７２において、更新マスタ処理部２１は、車内通信部２５を介して旧ソフトウェアイメージおよび更新データを記憶しているスレーブ機器３０Ｂ～３０Ｅへ、バックアップデータ送信要求を送信する。
　なお、マスタ機器２０またはスレーブ機器３０Ａ～３０Ｆのいずれもが更新データを記憶していない場合、更新マスタ処理部２１は、無線通信部２４を介してサーバ装置１０へ、更新データの再送を要求すればよい。

　マスタ機器２０がスレーブ機器３０Ｂ～３０Ｅへバックアップデータ送信要求を送信した場合、スレーブ機器３０Ｂ～３０Ｅの更新スレーブ処理部３１は、車内通信部３４を介してバックアップデータ送信要求を受信する。そして、スレーブ機器３０Ｂ～３０Ｅの更新スレーブ処理部３１は、図１０のステップＳＴ３１０にて「バックアップデータ送信要求」有りと判定し、ステップＳＴ３４０へ進む。
　ステップＳＴ３４０において、スレーブ機器３０Ｂ～３０Ｅの更新スレーブ処理部３１は、スレーブ機器３０Ｂ～３０Ｅの空メモリ３３に記憶されているバックアップデータ、つまり分割された旧ソフトウェアイメージを、車内通信部３４を介してマスタ機器２０へ送信する。

　ステップＳＴ２７３において、更新マスタ処理部２１は、バックアップデータ送信要求に対するスレーブ機器３０Ｂ～３０Ｅからの応答を待つ。更新マスタ処理部２１は、車内通信部２５を介してスレーブ機器３０Ｂ～３０Ｅのいずれかからバックアップデータを受信した場合（ステップＳＴ２７３“ＹＥＳ”）、ステップＳＴ２７４へ進み、受信していない場合（ステップＳＴ２７３“ＮＯ”）、ステップＳＴ２７３を繰り返す。

　ステップＳＴ２７４において、更新マスタ処理部２１は、受信したバックアップデータをマスタ機器２０のＲＡＭ１０３に記憶する。

　ステップＳＴ２７５において、更新マスタ処理部２１は、バックアップデータ送信要求を送信したスレーブ機器３０Ｂ～３０Ｅのすべてからバックアップデータを受信した場合（ステップＳＴ２７５“ＹＥＳ”）、ステップＳＴ２７６へ進み、すべてのバックアップデータの受信が完了していない場合（ステップＳＴ２７５“ＮＯ”）、ステップＳＴ２７３へ戻る。

　ステップＳＴ２７６において、新イメージ生成部２２は、バックアップデータを統合した旧ソフトウェアイメージと更新データとを用いて、新ソフトウェアイメージを生成する。
　その後、更新マスタ処理部２１は、図１３のステップＳＴ２３５へ進む。

　以上のように、実施の形態１に係るマスタ機器２０は、更新マスタ処理部２１を備える。更新マスタ処理部２１は、無線通信ネットワーク２を介してサーバ装置１０から更新要求を受信した場合、車内ネットワーク３に接続されたスレーブ機器３０Ａ～３０Ｆが有する複数の空メモリ３３の空き容量を示すシステムメモリマップ情報を、無線通信ネットワーク２を介してサーバ装置１０へ送信する。また、更新マスタ処理部２１は、無線通信ネットワーク２を介してサーバ装置１０から、スレーブ機器３０Ａ～３０Ｆのうちのソフトウェア更新対象となるスレーブ機器３０Ａに対する新ソフトウェアイメージのうち、スレーブ機器３０Ａ～３０Ｆが有する複数の空メモリ３３の空き容量より小さい容量の新旧ソフトウェアイメージを対象とした更新データを受信し、スレーブ機器３０Ａ～３０Ｆが有する複数の空メモリ３３の空き容量を使用してソフトウェア更新対象となるスレーブ機器３０Ａにソフトウェア更新を行わせる。このように、車内ネットワーク３に接続されたスレーブ機器３０Ａ～３０Ｆが有する複数の空メモリ３３の空き容量を使用してソフトウェア更新を行うようにしたので、車載電子機器のソフトウェア更新に必要となるリソースを確保することができる。また、マスタ機器２０がスレーブ機器３０Ａ～３０Ｆのソフトウェア更新を制御するため、スレーブ機器３０Ａ～３０Ｆのそれぞれがソフトウェア更新を制御する機能を備える必要はない。

　また、実施の形態１によれば、更新マスタ処理部２１は、ソフトウェア更新対象となるスレーブ機器３０Ａの旧ソフトウェアイメージを、バックアップデータとしてスレーブ機器３０Ａ～３０Ｆが有する複数の空メモリ３３の空き容量に記憶させる。これにより、ソフトウェア更新対象の車載電子機器がもつ旧ソフトウェアイメージのバックアップに必要となるリソースを確保することができる。また、差分データを使用したソフトウェア更新である場合、ソフトウェア更新が失敗し再トライする際に必要となる旧ソフトウェアイメージを残すことができる。

　また、実施の形態１において、更新データが、ソフトウェア更新対象となるスレーブ機器３０Ａの旧ソフトウェアイメージと新ソフトウェアイメージとの差分データである場合、マスタ機器２０は、サーバ装置１０から受信した更新データおよびスレーブ機器３０Ａ～３０Ｆが有する複数の空メモリ３３の空き容量に記憶されているバックアップデータを用いて、新ソフトウェアイメージを生成する新イメージ生成部２２を備える。サーバ装置１０からマスタ機器２０へ送信する更新データを、新ソフトウェアイメージではなく差分データのみにしたので、通信量を削減することができる。また、少なくともマスタ機器２０が新イメージ生成部２２を備えていればよいため、スレーブ機器３０Ａ～３０Ｆのそれぞれが新ソフトウェアイメージを生成する機能を備える必要はない。

　なお、実施の形態１におけるマスタ機器２０は、ソフトウェア更新対象外であったが、ソフトウェア更新対象であってもよい。
　その場合、マスタ機器２０は、自身がソフトウェア更新対象の車載電子機器である場合に更新データを使用してソフトウェア更新を行うソフトウェア更新部３２を備える。これにより、マスタ機器２０は、スレーブ機器３０Ａ～３０Ｆにソフトウェア更新を行わせるだけでなく、自身のソフトウェア更新を行うこともできる。また、自身のソフトウェア更新を行う場合に、スレーブ機器３０Ａ～３０Ｆを利用することによってソフトウェア更新に必要となるリソースを確保することができる。

　実施の形態１に係るサーバ装置１０は、更新サーバ処理部１３および更新データ生成部１２を備える。更新サーバ処理部１３は、無線通信ネットワーク２を介してマスタ機器２０へ更新要求を送信し、マスタ機器２０から、車内ネットワーク３に接続されたスレーブ機器３０Ａ～３０Ｆが有する複数の空メモリ３３の空き容量を示すシステムメモリマップ情報を受信する。更新データ生成部１２は、システムメモリマップ情報を用いて、スレーブ機器３０Ａ～３０Ｆのうちのソフトウェア更新対象となるスレーブ機器３０Ａに対する更新用の新ソフトウェアイメージのうち、スレーブ機器３０Ａ～３０Ｆが有する複数の空メモリ３３の空き容量より小さい容量の新旧ソフトウェアイメージを対象とした更新データを受信し、無線通信ネットワーク２を介してマスタ機器２０へ更新データを送信することによってソフトウェア更新対象となるスレーブ機器３０Ａのソフトウェア更新を行わせる。このように、車内ネットワーク３に接続されたスレーブ機器３０Ａ～３０Ｆが有する複数の空メモリ３３の空き容量を使用してソフトウェア更新を行うようにしたので、車載電子機器のソフトウェア更新に必要となるリソースを確保することができる。

　また、実施の形態１によれば、更新データ生成部１２は、ソフトウェア更新対象となるスレーブ機器３０Ａの旧ソフトウェアイメージと新ソフトウェアイメージとの差分データから更新データを生成する。サーバ装置１０からマスタ機器２０へ送信する更新データを、新ソフトウェアイメージではなく差分データのみにしたので、通信量を削減することができる。

　また、実施の形態１によれば、更新データ生成部１２は、スレーブ機器３０Ａ～３０Ｆが有する複数の空メモリ３３の空き容量およびソフトウェア更新対象となるスレーブ機器３０Ａの処理能力に応じて、差分データを分割して更新データを生成する。これにより、ソフトウェア更新時にリソースを効率的に使用することができる。

　なお、実施の形態１におけるマスタ機器２０は、システムメモリマップを生成する際、自身が有する空メモリ２３を空き容量として扱わなかったが、自身が有する空メモリ２３を空き容量としてシステムメモリマップに登録し、ソフトウェア更新用のリソースとして使用してもよい。

　また、実施の形態１では、サーバ装置１０と通信可能な車載電子機器がマスタ機器２０の１つだけであったが、複数あってもよい。
　図１７は、実施の形態１に係るソフトウェア更新システム１の変形例を示すブロック図である。なお、図１７においてサーバ装置１０および無線通信ネットワーク２の図示を省略する。車両には、ヘッドユニット２００、ゲートウェイ２０１～２０４、およびＥＣＵ２０５～２２２が搭載されている。ヘッドユニット２００、ゲートウェイ２０１～２０４、およびＥＣＵ２０５～２２２は、車載電子機器である。

　図１７において、ヘッドユニット２００およびゲートウェイ２０１～２０４は、マスタ機器２０の機能を備える。ＥＣＵ２０５～２２２は、スレーブ機器３０の機能を備える。この場合、ヘッドユニット２００またはゲートウェイ２０１～２０４のうちのいずれか１つがマスタ機器２０として機能し、ＥＣＵ２０５～２２２のソフトウェア更新処理を制御する。

　または、図１７において、ヘッドユニット２００およびゲートウェイ２０１～２０４は、マスタ機器２０の機能に加えて、スレーブ機器３０の機能を備えてもよい。この場合、ヘッドユニット２００またはゲートウェイ２０１～２０４のうちのいずれか１つがマスタ機器２０として機能し、それ以外のヘッドユニット２００もしくはゲートウェイ２０１～２０４、またはＥＣＵ２０５～２２２のソフトウェア更新処理を制御する。

　なお、本発明はその発明の範囲内において、実施の形態の任意の構成要素の変形、または実施の形態の任意の構成要素の省略が可能である。

　この発明に係る車載電子機器は、ソフトウェア更新に必要なリソースを単一機器で準備できなくともソフトウェア更新を行うことができるので、限られたリソースで動作している自動車の電子機器などに用いるのに適している。

　１　ソフトウェア更新システム、２　無線通信ネットワーク、３　車内ネットワーク、１０　サーバ装置、１１　イメージデータベース、１２　更新データ生成部、１３　更新サーバ処理部、１４　無線通信部、１５　ＰＣ、２０　マスタ機器（車載電子機器）、２１　更新マスタ処理部、２２　新イメージ生成部、２３　空メモリ（記憶部）、２４　無線通信部、２５　車内通信部、３０，３０Ａ～３０Ｆ　スレーブ機器（車載電子機器）、３１　更新スレーブ処理部、３２　ソフトウェア更新部、３３　空メモリ（記憶部）、３４　車内通信部、１００　バス、１０１　ＣＰＵ、１０２　ＲＯＭ、１０２ａ　ブートプログラム、１０２ｂ　アプリケーションプログラム、１０２ｃ　空メモリ（記憶部）、１０３　ＲＡＭ、２００　ヘッドユニット、２０１～２０４　ゲートウェイ、２０５～２２２　ＥＣＵ。

Claims

　車内ネットワークに接続された複数の車載電子機器のうちの１つの車載電子機器であって、
　無線通信ネットワークを介して車外のサーバ装置からソフトウェア更新要求を受信した場合、前記車内ネットワークに接続された前記複数の車載電子機器が有する複数の記憶部の空き容量を示すメモリマップ情報を、前記無線通信ネットワークを介して前記サーバ装置へ送信し、
　前記無線通信ネットワークを介して前記サーバ装置から、前記複数の車載電子機器のうちのソフトウェア更新対象となる車載電子機器に対する更新用ソフトウェアのうち、前記複数の車載電子機器が有する複数の記憶部の空き容量より小さい容量を更新対象とした更新データを受信し、前記複数の車載電子機器が有する複数の記憶部の空き容量を使用して前記ソフトウェア更新対象となる車載電子機器にソフトウェア更新を行わせる更新マスタ処理部を備えることを特徴とする車載電子機器。
　前記更新マスタ処理部は、前記ソフトウェア更新対象となる車載電子機器の更新前のソフトウェアを、バックアップデータとして前記複数の車載電子機器が有する複数の記憶部の空き容量に記憶させることを特徴とする請求項１記載の車載電子機器。
　前記更新データが、前記ソフトウェア更新対象となる車載電子機器の更新前のソフトウェアと前記更新用ソフトウェアとの差分データである場合、
　前記サーバ装置から受信した前記更新データおよび前記バックアップデータを用いて、前記更新用ソフトウェアを生成する新イメージ生成部を備えることを特徴とする請求項２記載の車載電子機器。
　自身がソフトウェア更新対象の車載電子機器である場合に前記更新データを使用してソフトウェア更新を行うソフトウェア更新部を備えることを特徴とする請求項１記載の車載電子機器。
　車内ネットワークに接続された複数の車載電子機器のソフトウェアを更新させる、車外のサーバ装置であって、
　無線通信ネットワークを介して前記複数の車載電子機器のうちの１つの車載電子機器へソフトウェア更新要求を送信し、前記１つの車載電子機器から、前記車内ネットワークに接続された前記複数の車載電子機器が有する複数の記憶部の空き容量を示すメモリマップ情報を受信する更新サーバ処理部と、
　前記メモリマップ情報を用いて、前記複数の車載電子機器のうちのソフトウェア更新対象となる車載電子機器に対する更新用ソフトウェアのうち、前記複数の車載電子機器が有する複数の記憶部の空き容量より小さい容量を更新対象とした更新データを生成し、前記無線通信ネットワークを介して前記１つの車載電子機器へ前記更新データを送信することによって前記ソフトウェア更新対象となる車載電子機器のソフトウェア更新を行わせる更新データ生成部とを備えることを特徴とするサーバ装置。
　前記更新データ生成部は、前記ソフトウェア更新対象となる車載電子機器の更新前のソフトウェアと前記更新用ソフトウェアとの差分データから前記更新データを生成することを特徴とする請求項５記載のサーバ装置。
　前記更新データ生成部は、前記複数の車載電子機器が有する複数の記憶部の空き容量および前記ソフトウェア更新対象となる車載電子機器の処理能力に応じて、前記差分データを分割して前記更新データを生成することを特徴とする請求項６記載のサーバ装置。
　請求項１記載の車載電子機器と、
　請求項５記載のサーバ装置とを備えるソフトウェア更新システム。
　車内ネットワークに接続された複数の車載電子機器と、前記複数の車載電子機器のうちの少なくとも１つの車載電子機器と無線通信ネットワークを介して通信可能な車外のサーバ装置とを備えるソフトウェア更新システムのソフトウェア更新方法であって、
　前記サーバ装置が、前記無線通信ネットワークを介して前記複数の車載電子機器のうちの１つの車載電子機器へソフトウェア更新要求を送信するステップと、
　前記１つの車載電子機器が、前記無線通信ネットワークを介して前記サーバ装置からソフトウェア更新要求を受信し、前記車内ネットワークに接続された前記複数の車載電子機器が有する複数の記憶部の空き容量を示すメモリマップ情報を、前記無線通信ネットワークを介して前記サーバ装置へ送信するステップと、
　前記サーバ装置が、前記無線通信ネットワークを介して前記１つの車載電子機器からメモリマップ情報を受信し、前記メモリマップ情報を用いて、前記複数の車載電子機器のうちのソフトウェア更新対象となる車載電子機器に対する更新用ソフトウェアのうち、前記複数の車載電子機器が有する複数の記憶部の空き容量より小さい容量を更新対象とした更新データを生成し、前記無線通信ネットワークを介して前記１つの車載電子機器へ前記更新データを送信するステップと、
　前記１つの車載電子機器が、前記無線通信ネットワークを介して前記サーバ装置から更新データを受信し、前記複数の車載電子機器が有する複数の記憶部の空き容量を使用して前記ソフトウェア更新対象となる車載電子機器にソフトウェア更新を行わせるステップと備えることを特徴とするソフトウェア更新方法。