WO2019187391A1

WO2019187391A1 - 制御装置、プログラム更新方法、コンピュータプログラム、プログラム送付方法、及びリムーバブルメディア

Info

Publication number: WO2019187391A1
Application number: PCT/JP2018/046356
Authority: WO
Inventors: 速人福嶋
Original assignee: 住友電気工業株式会社
Priority date: 2018-03-26
Filing date: 2018-12-17
Publication date: 2019-10-03

Abstract

車両に搭載された対象機器を制御する車載制御装置の制御プログラムの更新を制御する制御装置であって、リムーバブルメディアに記録されている更新用プログラムを取得する取得部と、前記更新用プログラムの認証用データを、サーバから無線通信により受信する通信部と、前記認証用データに基づいて前記更新用プログラムを認証する認証部と、前記更新用プログラムの認証に成功した場合に、当該更新用プログラムを用いて前記制御プログラムを更新する更新部と、を備える制御装置。

Description

制御装置、プログラム更新方法、コンピュータプログラム、プログラム送付方法、及びリムーバブルメディア

　本発明は、制御装置、プログラム更新方法、コンピュータプログラム、プログラム送付方法、及びリムーバブルメディアに関する。
　本出願は、２０１８年３月２６日出願の日本出願第２０１８－０５７６２１号に基づく優先権を主張し、前記日本出願に記載された全ての記載内容を援用するものである。

　近年、自動車の技術分野においては、車両の高機能化が進行しており、多種多様な車載機器が車両に搭載されている。従って、車両には、各車載機器を制御するための制御装置である、所謂ＥＣＵ（Electronic　Control　Unit）が多数搭載されている。
　ＥＣＵの種類には、例えば、アクセル、ブレーキ、ハンドルの操作に対してエンジンやブレーキ、ＥＰＳ（Electric　Power　Steering）等の制御を行う走行系に関わるもの、乗員によるスイッチ操作に応じて車内照明やヘッドライトの点灯／消灯と警報器の吹鳴等の制御を行うボディ系ＥＣＵ、運転席近傍に配設されるメータ類の動作を制御するメータ系ＥＣＵなどがある。

　一般的にＥＣＵは、マイクロコンピュータ等の演算処理装置によって構成されており、ＲＯＭ（Read　Only　Memory）に記憶した制御プログラムを読み出して実行することにより、車載機器の制御が実現される。
　ＥＣＵの制御プログラムは、車両の仕向け地やグレードなどに応じて異なることがあり、制御プログラムのバージョンアップに対応して、旧バージョンの制御プログラムを新バージョンの制御プログラムに書き換える必要がある。

　例えば、特許文献１には、車載通信機が管理サーバから更新用プログラムを受信し、受信した更新用プログラムを用いてＥＣＵが制御プログラムを旧バージョンから新バージョンに書き換えることにより、車両の各ＥＣＵに対するプログラム更新を無線通信によって遠隔で実行する技術が開示されている。

特開２０１７－１９９１８３号公報

　本開示の制御装置は、車両に搭載された対象機器を制御する車載制御装置の制御プログラムの更新を制御する制御装置であって、リムーバブルメディアに記録されている更新用プログラムを取得する取得部と、前記更新用プログラムの認証用データを、サーバから無線通信により受信する通信部と、前記認証用データに基づいて前記更新用プログラムを認証する認証部と、前記更新用プログラムの認証に成功した場合に、当該更新用プログラムを用いて前記制御プログラムを更新する更新部と、を備える制御装置である。

　本開示のプログラム更新方法は、車両に搭載された対象機器を制御する車載制御装置の制御プログラムの更新方法であって、リムーバブルメディアに記録されている更新用プログラムを取得するステップと、前記更新用プログラムの認証用データを、サーバから無線通信により受信するステップと、前記認証用データに基づいて前記更新用プログラムを認証するステップと、前記更新用プログラムの認証に成功した場合に、当該更新用プログラムを用いて前記制御プログラムを更新するステップと、を含むプログラム更新方法である。

　本開示のコンピュータプログラムは、コンピュータを、車両に搭載された対象機器を制御する車載制御装置の制御プログラムの更新を制御する制御装置として機能させるためのコンピュータプログラムであって、前記コンピュータを、リムーバブルメディアに記録されている更新用プログラムを取得する取得部と、通信部がサーバから無線通信により受信した前記更新用プログラムの認証用データに基づいて前記更新用プログラムを認証する認証部と、前記更新用プログラムの認証に成功した場合に、当該更新用プログラムを用いて前記制御プログラムを更新する更新部として機能させるコンピュータプログラムである。

　本開示のプログラム送付方法は、車両に搭載された対象機器を制御する車載制御装置の制御プログラムの更新用プログラムを送付する方法であって、前記更新用プログラムが記録されているリムーバブルメディアを前記車両のユーザに送付するステップと、前記更新用プログラムの認証用データを無線通信により前記車両に送信するステップと、を含むプログラム送付方法である。

　本開示のリムーバブルメディアは、車両に搭載された対象機器を制御する車載制御装置の制御プログラムの更新用プログラムが記録され、前記車両に関する通知を示す通知物に取り外し可能に取り付けられているリムーバブルメディアである。

本発明の一実施形態に係るプログラム更新システムの全体構成図である。中継装置の内部構成を示すブロック図である。ＥＣＵの内部構成を示すブロック図である。管理サーバの内部構成を示すブロック図である。カーディーラーがＵＳＢメモリをユーザに送付する際に用いる紙媒体の斜視図である。ＥＣＵの制御プログラムの更新の一例を示すシーケンス図である。

［本開示が解決しようとする課題］
　更新用プログラムのデータ量が増大すると、管理サーバから車載通信機への更新用プログラムの送信に時間がかかり、その分だけ通信コストが増大する。このため、特許文献１の管理サーバは、データ量を削減するために、更新前後の制御プログラム間の差分を更新用プログラムとして車載通信機に送信している。しかし、この場合でも、前記差分のデータ量が増大すれば、当該差分の送信に時間がかかり、結果的に通信コストが増大することになる。

　このような問題点に鑑み、制御プログラムの更新にかかる通信コストを低減することができる制御装置等を提供することを目的とする。

［本開示の効果］
　本開示によれば、制御プログラムの更新にかかる通信コストを低減することができる。

［本発明の実施形態の説明］
　最初に本発明の実施形態の内容を列記して説明する。
　（１）本発明の実施形態に係る制御装置は、車両に搭載された対象機器を制御する車載制御装置の制御プログラムの更新を制御する制御装置であって、リムーバブルメディアに記録されている更新用プログラムを取得する取得部と、前記更新用プログラムの認証用データを、サーバから無線通信により受信する通信部と、前記認証用データに基づいて前記更新用プログラムを認証する認証部と、前記更新用プログラムの認証に成功した場合に、当該更新用プログラムを用いて前記制御プログラムを更新する更新部と、を備える。

　前記制御装置によれば、サーバから無線通信により受信した認証用データに基づいて、リムーバブルメディアに記録されている更新用プログラムを認証し、その認証に成功した更新用プログラムを用いて制御プログラムを更新する。これにより、サーバから無線通信により受信するデータは認証用データだけで済むので、更新用プログラムを無線通信で受信する場合に比べて、制御プログラムの更新にかかる通信コストを低減することができる。

　（２）前記通信部は、前記サーバに前記車両の認証要求を送信し、前記サーバの認証処理により前記車両の認証に成功した場合に前記サーバから前記認証用データを受信するのが好ましい。
　この場合、制御装置は、サーバから正規の認証用データを取得することができる。

　（３）前記取得部は、複数の前記車載制御装置の制御プログラムそれぞれに対応する複数の前記更新用プログラムが記録されている前記リムーバブルメディアから、前記複数の更新用プログラムを取得するのが好ましい。
　この場合、複数の車載制御装置における制御プログラムの更新にかかる通信コストを低減することができる。

　（４）前記取得部は、更新対象の制御プログラムのバージョン種別に関わらず当該更新対象の制御プログラムを最新バージョンの制御プログラムに更新可能な前記更新用プログラムが記録されている前記リムーバブルメディアから、前記最新バージョンの制御プログラムに更新可能な更新用プログラムを取得するのが好ましい。
　更新前後の制御プログラム間の差分を更新する更新用プログラムを用いて制御プログラムを最新バージョンに更新する場合、リムーバブルメディアに記録されている更新用プログラムが更新対象の制御プログラムのバージョン種別に対応しているか否かを確認する必要がある。これに対して、上記（３）の更新用プログラムを用いれば、更新対象の制御プログラムのバージョン種別を確認しなくて済むので、制御プログラムの更新処理が容易となる。

　（５）前記取得部は、前記車両に関する通知を示す通知物に取り外し可能に取り付けられている前記リムーバブルメディアから、前記更新用プログラムを取得するのが好ましい。
　この場合、例えば、カーディーラーは、車両に関する通知を示す通知物と共に、制御プログラムの更新用プログラムを記録したリムーバブルメディアを車両のユーザに送付することができる。これにより、ユーザに対して、リムーバブルメディアに記録されている更新用プログラムを用いた制御プログラムの更新を促すことができる。

　（６）前記通知物はシート状媒体であるのが好ましい。
　この場合、シート状媒体に取り付けられたリムーバブルメディアを容易に取り外すことができる。

　（７）前記リムーバブルメディアはＵＳＢメモリであるのが好ましい。
　この場合、例えば、シート状媒体を用いてＵＳＢメモリを作製することで、車両に関する通知を示すシート状媒体に対して、ＵＳＢメモリを容易に取り外し可能に取り付けることができる。

　（８）本発明の実施形態に係るプログラム更新方法は、上述の制御装置において実行されるプログラム更新方法である。したがって、本実施形態のプログラム更新方法は、上述の制御装置と同様の作用効果を奏する。

　（９）本発明の実施形態に係るコンピュータプログラムは、コンピュータを、上述の制御装置として機能させるためのコンピュータプログラムである。従って、本実施形態のコンピュータプログラムは、上述の制御装置と同様の作用効果を奏する。

　（１０）本発明の実施形態に係るプログラム送付方法は、車両に搭載された対象機器を制御する車載制御装置の制御プログラムの更新用プログラムを送付する方法であって、前記更新用プログラムが記録されているリムーバブルメディアを前記車両のユーザに送付するステップと、前記更新用プログラムの認証用データを無線通信により前記車両に送信するステップと、を含む。
　前記プログラム送付方法によれば、更新用プログラムが記録されているリムーバブルメディアを車両のユーザに送付するため、無線通信により車両に送信するデータは更新用プログラムの認証用データだけで済む。これにより、更新用プログラムを無線通信で送信する場合に比べて、制御プログラムの更新にかかる通信コストを低減することができる。

　（１１）本発明の実施形態に係るリムーバブルメディアは、車両に搭載された対象機器を制御する車載制御装置の制御プログラムの更新用プログラムが記録され、前記車両に関する通知を示す通知物に取り外し可能に取り付けられている。
　前記リムーバブルメディアによれば、更新用プログラムを無線通信で送信する場合に比べて、制御プログラムの更新にかかる通信コストを低減することができる。また、例えば、カーディーラーは、車両に関する通知を示す通知物と共に、制御プログラムの更新用プログラムを記録したリムーバブルメディアを車両のユーザに送付することができる。これにより、ユーザに対して、リムーバブルメディアに記録されている更新用プログラムを用いた制御プログラムの更新を促すことができる。

［本発明の実施形態の詳細］
　以下、本発明の実施形態について添付図面に基づき詳細に説明する。なお、以下に記載する実施形態の少なくとも一部を任意に組み合わせてもよい。
　［システムの全体構成］
　図１は、本発明の一実施形態に係るプログラム更新システムの全体構成図である。
　図１に示すように、本実施形態のプログラム更新システムは、広域通信網２を介して通信可能な車両１、管理サーバ５およびＤＬ（ダウンロード）サーバ６を含む。
　管理サーバ５およびＤＬサーバ６は、たとえば、車両１のカーメーカー７Ａにより運営されており、予め会員登録されたユーザ８が所有する多数の車両１と通信可能である。なお、管理サーバ５およびＤＬサーバ６は、車両１のカーディーラー７Ｂにより運営されていてもよい。

　車両１には、中継装置１０と、車外通信機１５と、複数のＥＣＵ３０と、各ＥＣＵ３０によりそれぞれ制御される各種の車載機器（図示せず）とが搭載されている。車載機器は、音声出力、表示パネル、操作パネルなどを有するＨＭＩ（Human　Machine　Interface）装置１６を含む。本実施形態のＨＭＩ装置１６は、ＵＳＢ（Universal　Serial　Bus）ポート１６ａも有している。
　車両１には、共通の車内通信線にバス接続された複数のＥＣＵ３０による通信グループが存在し、中継装置１０は、通信グループ間の通信を中継している。このため、中継装置１０には、複数の車内通信線が接続されている。

　車外通信機１５は、携帯電話網などの広域通信網２に通信可能に接続され、車内通信線により中継装置１０に接続されている。または、車外通信機１５は、中継装置１０に搭載されていてもよい。中継装置１０は、広域通信網２を通じて管理サーバ５およびＤＬサーバ６などの車外装置から車外通信機１５が受信した情報を、ＥＣＵ３０に送信する。
　中継装置１０は、ＥＣＵ３０から取得した情報を車外通信機１５に送信し、車外通信機１５は、その情報を管理サーバ５などの車外装置に送信する。

　車両１に搭載される車外通信機１５は、たとえば、ユーザ８が所有する携帯電話機、スマートフォン、タブレット型端末、ノートＰＣ（Personal　Computer）等の装置であってもよい。
　図１のプログラム更新システムでは、管理サーバ５とＤＬサーバ６とが別個のサーバで構成されているが、これらのサーバ５，６を１つのサーバ装置で構成してもよい。

　［中継装置の内部構成］
　図２は、中継装置１０の内部構成を示すブロック図である。
　図２に示すように、中継装置１０は、ＣＰＵ１１、ＲＡＭ（Random　Access　Memory）１２、記憶部１３、および車内通信部１４などを備える。中継装置１０は、車外通信機１５と車内通信線とを介して接続されているが、これらは一つの装置で構成してもよい。

　ＣＰＵ１１は、記憶部１３に記憶された一または複数のプログラムをＲＡＭ１２に読み出して実行することにより、中継装置１０を各種情報の中継装置として機能させる。
　ＣＰＵ１１は、たとえば時分割で複数のプログラムを切り替えて実行することにより、複数のプログラムを並列的に実行可能である。なお、ＣＰＵ１１は複数のＣＰＵ群を代表するものであってもよい。この場合、ＣＰＵ１１の実現する機能は、複数のＣＰＵ群が協働して実現するものである。ＲＡＭ１２は、ＳＲＡＭ（Static　ＲＡＭ）またはＤＲＡＭ（Dynamic　ＲＡＭ）等のメモリ素子で構成され、ＣＰＵ１１が実行するプログラムおよび実行に必要なデータ等が一時的に記憶される。

　ＣＰＵ１１が実現するコンピュータプログラムは、ＣＤ－ＲＯＭやＤＶＤ－ＲＯＭなどの周知の記録媒体に記録した状態で譲渡することもできるし、サーバコンピュータなどのコンピュータ装置からの情報伝送（ダウンロード）によって譲渡することもできる。
　この点は、後述のＥＣＵ３０のＣＰＵ３１（図３参照）が実行するコンピュータプログラム、および、後述の管理サーバ５のＣＰＵ５１（図４参照）が実行するコンピュータプログラムについても同様である。

　記憶部１３は、フラッシュメモリ若しくはＥＥＰＲＯＭ等の不揮発性のメモリ素子などにより構成されている。記憶部１３は、ＣＰＵ１１が実行するプログラムおよび実行に必要なデータ等を記憶する記憶領域を有する。記憶部１３は、後述するＵＳＢメモリ９から読み出した各ＥＣＵ３０の更新用プログラム、及びＤＬサーバ６から受信した更新用プログラムの認証データなども記憶する。

　車内通信部１４には、車両１に配設された車内通信線を介して複数のＥＣＵ３０が接続されている。車内通信部１４は、たとえばＣＡＮ（Controller　Area　Network）、ＣＡＮＦＤ（ＣＡＮ　with　Flexible　Data　Rate）、ＬＩＮ（Local　Interconnect　Network）、Ｅｔｈｅｒｎｅｔ（登録商標）、またはＭＯＳＴ（Media　Oriented　Systems　Transport：ＭＯＳＴは登録商標）等の規格に応じて、ＥＣＵ３０との通信を行う。
　車内通信部１４は、ＣＰＵ１１から与えられた情報を対象のＥＣＵ３０へ送信するとともに、ＥＣＵ３０から受信した情報をＣＰＵ１１に与える。車内通信部１４は、上記の通信規格だけでなく、車載ネットワークに用いる他の通信規格によって通信してもよい。

　車外通信機１５は、アンテナと、アンテナからの無線信号の送受信を実行する通信回路とを含む無線通信機よりなる。車外通信機１５は、携帯電話網等の広域通信網２に接続されることにより車外装置との通信が可能である。
　車外通信機１５は、図示しない基地局により形成される広域通信網２を介して、ＣＰＵ１１から与えられた情報を管理サーバ５等の車外装置に送信するとともに、車外装置から受信した情報をＣＰＵ１１に与える。

　図２に示す車外通信機１５に代えて、車両１内の中継装置として機能する有線通信部を採用してもよい。この有線通信部は、ＵＳＢまたはＲＳ２３２Ｃ等の規格に応じた通信ケーブルが接続されるコネクタを有し、通信ケーブルを介して接続された別の通信装置と有線通信を行う。
　別の通信装置と管理サーバ５等の車外装置とが広域通信網２を通じた無線通信が可能である場合には、車外装置→別の通信装置→有線通信部→中継装置１０の通信経路により、車外装置と中継装置１０とが通信可能になる。

　［ＥＣＵの内部構成］
　図３は、ＥＣＵ３０の内部構成を示すブロック図である。
　図３に示すように、ＥＣＵ３０は、ＣＰＵ３１、ＲＡＭ３２、記憶部３３、および通信部３４などを備える。ＥＣＵ３０は、車両１に搭載された対象機器を個別に制御する車載制御装置である。ＥＣＵ３０の種類には、たとえば、電源制御ＥＣＵ、エンジン制御ＥＣＵ、ステアリング制御ＥＣＵ、及びドアロック制御ＥＣＵなどがある。

　ＣＰＵ３１は、記憶部３３に予め記憶された一または複数のプログラムをＲＡＭ３２に読み出して実行することにより、自身が担当する対象機器の動作を制御する。ＣＰＵ３１もまた複数のＣＰＵ群を代表するものであってもよく、ＣＰＵ３１による制御は、複数のＣＰＵ群が協働することによる制御であってもよい。
　ＲＡＭ３２は、ＳＲＡＭまたはＤＲＡＭ等のメモリ素子で構成され、ＣＰＵ３１が実行するプログラムおよび実行に必要なデータ等が一時的に記憶される。

　記憶部３３は、フラッシュメモリ若しくはＥＥＰＲＯＭ等の不揮発性のメモリ素子、或いは、ハードディスクなどの磁気記憶装置等により構成されている。
　記憶部３３が記憶する情報には、たとえば、車内の制御対象である対象機器を制御するための情報処理をＣＰＵ３１に実行させるためのコンピュータプログラム（以下、「制御プログラム」という。）が含まれる。

　通信部３４には、車両１に配設された車内通信線を介して中継装置１０が接続されている。通信部３４は、たとえばＣＡＮ、Ｅｔｈｅｒｎｅｔ、またはＭＯＳＴ等の規格に応じて、中継装置１０との通信を行う。
　通信部３４は、ＣＰＵ３１から与えられた情報を中継装置１０へ送信するとともに、中継装置１０から受信した情報をＣＰＵ３１に与える。通信部３４は、上記の通信規格だけなく、車載ネットワークに用いる他の通信規格によって通信してもよい。

　ＥＣＵ３０のＣＰＵ３１には、当該ＣＰＵ３１による制御モードを、「通常モード」または「リプログラミングモード」（以下、「リプロモード」ともいう。）のいずれかに切り替える起動部３５が含まれる。
　ここで、通常モードとは、ＥＣＵ３０のＣＰＵ３１が、対象機器に対する本来的な制御（たとえば、燃料エンジンに対するエンジン制御や、ドアロックモータに対するドアロック制御など）を実行する制御モードのことである。

　リプログラミングモードとは、対象機器の制御に用いる制御プログラムを更新する制御モードである。
　すなわち、リプログラミングモードは、ＣＰＵ３１が、記憶部３３のＲＯＭ領域に対して、制御プログラムの消去や書き換えを行う制御モードのことである。ＣＰＵ３１は、この制御モードのときにのみ、記憶部３３のＲＯＭ領域に格納された制御プログラムを新バージョンに更新することが可能となる。

　リプロモードにおいてＣＰＵ３１が新バージョンの制御プログラムを記憶部３３に書き込むと、起動部３５は、ＥＣＵ３０をいったん再起動（リセット）させ、新バージョンの制御プログラムが書き込まれた記憶領域についてベリファイ処理を実行する。
　起動部３５は、上記のベリファイ処理の完了後に、ＣＰＵ３１を更新後の制御プログラムによって動作させる。

　［管理サーバの内部構成］
　図４は、管理サーバ５の内部構成を示すブロック図である。
　図４に示すように、管理サーバ５は、ＣＰＵ５１、ＲＯＭ５２、ＲＡＭ５３、記憶部５４、および通信部５５などを備える。

　ＣＰＵ５１は、ＲＯＭ５２に予め記憶された一または複数のプログラムをＲＡＭ５３に読み出して実行することにより、各ハードウェアの動作を制御し、管理サーバ５を中継装置１０と通信可能な車外装置として機能させる。ＣＰＵ５１もまた複数のＣＰＵ群を代表するものであってもよく、ＣＰＵ５１の実現する機能は、複数のＣＰＵ群が協働して実現するものであってもよい。
　ＲＡＭ５３は、ＳＲＡＭまたはＤＲＡＭ等のメモリ素子で構成され、ＣＰＵ５１が実行するプログラムおよび実行に必要なデータ等が一時的に記憶される。

　記憶部５４は、フラッシュメモリ若しくはＥＥＰＲＯＭ等の不揮発性のメモリ素子、または、ハードディスクなどの磁気記憶装置等により構成されている。
　通信部５５は、所定の通信規格に則って通信処理を実行する通信装置よりなり、携帯電話網等の広域通信網２に接続されて当該通信処理を実行する。通信部５５は、ＣＰＵ５１から与えられた情報を、広域通信網２を介して外部装置に送信するとともに、広域通信網２を介して受信した情報をＣＰＵ５１に与える。

　［更新用プログラムの送付方法］
　図１において、カーディーラー７Ｂは、車両１のＥＣＵ３０の制御プログラムを更新するための更新用プログラムをカーメーカー７Ａから取得すると、その更新用プログラムを、例えばリムーバブルメディアであるＵＳＢメモリ９に記録する。そして、カーディーラー７Ｂは、更新用プログラムを記録したＵＳＢメモリ９を、郵便や宅配便などにより車両１のユーザ８に送付する。そして、カーディーラー７Ｂは、ＵＳＢメモリ９をどのユーザ８に送付したのかを管理サーバ５等で管理する。

　リムーバブルメディアは、ＵＳＢメモリ９以外に、ＣＤ－ＲＯＭ、ＤＶＤ－ＲＯＭ、ＳＤカード、ＩＣカードなど、他の可搬型の記録媒体であってもよい。
　ＵＳＢメモリ９は、複数のＥＣＵ３０の制御プログラムそれぞれに対応する複数の更新用プログラムを記録することができる記憶容量を有している。これにより、本実施形態のＵＳＢメモリ９には、前記複数の更新用プログラムが記録されている。

　ＵＳＢメモリ９に記録される更新用プログラムは、更新前後の制御プログラム間の差分を更新するプログラム（以下、差分更新用プログラムともいう）であってもよいし、更新対象の制御プログラム全体を最新バージョンの制御プログラムに更新するプログラム（以下、全体更新用プログラムともいう）であってもよい。全体更新用プログラムは、更新対象の制御プログラムのバージョン種別に関わらず、その制御プログラムを最新バージョンに更新することが可能である。

　本実施形態では、ＵＳＢメモリ９に記録される各ＥＣＵ３０の更新用プログラムとして、全体更新用プログラムが用いられる。これにより、カーディーラー７Ｂは、複数のＥＣＵ３０それぞれの制御プログラムのバージョンに対応した差分更新用プログラムを用意する必要がないので、ユーザ８へのＵＳＢメモリ９の送付処理を簡素化することができる。

　図５は、カーディーラー７ＢがＵＳＢメモリ９をユーザ８に送付する際に用いる通知物である紙媒体（シート状媒体）２０の斜視図である。この紙媒体２０は、例えば段ボール紙からなり、車両１に関する通知が印字された文書である。車両１に関する通知としては、キャンペーン、リコール、及び新機能などの通知が考えられる。なお、通知物としては、紙媒体２０以外に、樹脂シートなど、他の材質からなるシート状媒体を用いてもよいし、シート状媒体以外に箱などを用いてもよい。

　紙媒体２０には、ユーザ８に送付するためのＵＳＢメモリ９が取り外し可能に取り付けられている。例えば、本実施形態のＵＳＢメモリ９は、紙媒体２０と同じ材質の段ボール紙を用いて作製されている。ＵＳＢメモリ９の本体部９ａの紙厚内には、図示しないコントローラやメモリチップなどが埋め込まれている。また、ＵＳＢメモリ９のコネクタ部９ｂは、その表面において面一に露出する金属製の接続端子９ｃを有している。そして、本体部９ａは、紙媒体２０の角部において切り目２１を介して一体に取り付けられている。

　これにより、カーディーラー７ＢからＵＳＢメモリ９が取り付けられた紙媒体２０をユーザ８に送付することで、ユーザ８に対して、車両１に関する通知とともに、ＵＳＢメモリ９に記録されている更新用プログラムを用いた制御プログラムの更新を促すことができる。そして、ユーザ８は、紙媒体２０から切り目２１に沿ってＵＳＢメモリ９を切り離すことで、そのＵＳＢメモリ９を用いて制御プログラムの更新を行うことができる。
　なお、カーメーカー７Ａは、管理サーバ５から無線通信により、該当する車両１の中継装置１０に対して、ＵＳＢメモリ９をユーザ８に送付したことを示す情報などを送信してもよい。

　ＵＳＢメモリ９に記録される更新用プログラムは、改ざんや悪用されるのを防止するために、暗号化やデジタル署名などのセキュリティ処理が行われている。このため、図１に示すように、カーメーカー７Ａは、ＵＳＢメモリ９に記録した更新用プログラムの複合化や署名検証などに用いる認証用データを、無線通信により車両１に送信できるようにＤＬサーバ６に記憶する。これにより、ＤＬサーバ６に記憶された認証用データは、広域通信網２を通じて車両１の車外通信機１５で受信することが可能となる。

　［中継装置の機能構成］
　図２において、中継装置１０のＣＰＵ１１は、制御プログラムの更新を制御するための機能として、取得部１１１、認証部１１２、及び更新部１１３を含む。これらの機能は、ＣＰＵ１１が記憶部１３に記憶されている１つまたは複数のプログラムを読み出して実行することによって、ＣＰＵ１１において実現される機能である。しかしながら、少なくとも一部機能が、電子回路などのハードウェアによって実現されてもよい。

　取得部１１１は、ＵＳＢメモリ９に記録されている制御プログラムの更新用プログラムを取得する。具体的には、ユーザ８によりＵＳＢメモリ９のコネクタ部９ｂがＨＭＩ装置１６のＵＳＢポート１６ａに差し込まれると、ＵＳＢメモリ９からＨＭＩ装置１６に更新用プログラムが読み込まれる。取得部１１１は、ＨＭＩ装置１６に読み込まれた更新用プログラムを、当該ＨＭＩ装置１６を制御するＥＣＵ３０から取得する。

　認証部１１２は、車外通信機１５がＤＬサーバ６からダウンロードした認証用データに基づいて更新用プログラムを認証する。例えば、更新用プログラムが暗号化されている場合、認証部１１２は、認証用データに含まれる鍵情報を用いて更新用プログラムを複合化する。また、更新用プログラムにデジタル署名が付与されている場合、認証部１１２は、認証用データに含まれる鍵情報を用いて、更新用プログラムに付与されたデジタル署名を検証する。認証部１１２は、更新用プログラムの認証結果を更新部１１３に渡す。

　更新部１１３は、認証部１１２から取得した認証結果に基づいて、認証部１１２が更新用プログラムの認証に成功したか否かを判定する。そして、更新部１１３は、更新用プログラムの認証に成功したと判定した場合、更新用プログラムを用いて制御プログラムを更新する制御を実行する。一方、更新部１１３は、更新用プログラムの認証に失敗したと判定した場合、制御プログラムの更新制御は実行しない。

　［制御プログラムの更新シーケンス］
　図６は、本実施形態のプログラム更新システムにおいて実行される、ＥＣＵに対する制御プログラムの更新の一例を示すシーケンス図である。図６では、カーディーラー７Ｂから送付されたＵＳＢメモリ９がユーザ８に送達され、ユーザ８によりＨＭＩ装置１６のＵＳＢポート１６ａにＵＳＢメモリ９のコネクタ部９ｂが差し込まれた状態から実行される制御プログラムの更新を例示している。

　ユーザ８によりＨＭＩ装置１６のＵＳＢポート１６ａにＵＳＢメモリ９のコネクタ部９ｂが差し込まれると、ＵＳＢメモリ９に記録されている、ＥＣＵの制御プログラムの更新プログラムがＨＭＩ装置１６に読み込まれる。これにより、中継装置１０は、ＵＳＢメモリ９からＨＭＩ装置１６を介して更新用プログラムを取得する（ステップＳ１）。中継装置１０は、取得した更新用プログラムを自装置の記憶部１３に一時的に格納して保存する。
　なお、ステップＳ１では、中継装置１０は、ＵＳＢメモリ９から更新用プログラムを取得可能であることをユーザ８に通知して、取得を開始するユーザ８の操作に従って更新用プログラムを取得してもよい。

　中継装置１０は、更新用プログラムを取得すると、管理サーバ５に対して自車両の認証要求を送信する（ステップＳ２）。この認証要求には、例えば、自車両の車両ＩＤ等が含まれる。
　管理サーバ５は、車両１の認証要求を受信すると、その認証要求に含まれる車両ＩＤ等により、当該車両１の認証処理を行う（ステップＳ３）。この認証処理において、例えば、管理サーバ５は、認証要求に含まれる車両ＩＤが、ＵＳＢメモリ９を送付したユーザ８が所有する車両１の車両ＩＤと一致するか否かを確認する。

　管理サーバ５は、前記認証処理において車両１の認証に成功すると、認証に成功した車両１の中継装置１０宛てに、更新用プログラムの認証データの保存先ＵＲＬを送信する（ステップＳ４）。
　これにより、中継装置１０は、更新用プログラムの正規の認証データをＤＬサーバ６からダウンロードする（ステップＳ５）。中継装置１０は、受信した認証データを自装置の記憶部１３に一時的に格納して保存する。

　中継装置１０は、記憶部１３に認証用データを保存すると、その認証用データに基づいて、記憶部１３に保存している更新用プログラムの認証処理を行う（ステップＳ６）。中継装置１０は、前記認証処理において更新用プログラムの認証に成功した場合、その認証に成功した更新用プログラムを用いて制御プログラムを更新させるべく、該当するＥＣＵ３０に制御プログラムの更新要求を送信する（ステップＳ７）。なお、ステップＳ７では、中継装置１０は、制御プログラムの更新が可能であることをユーザ８に通知して、更新を開始するユーザ８の操作に従ってＥＣＵ３０に更新を要求してもよい。

　制御プログラムの更新要求を受信すると、ＥＣＵ３０は、自身の制御モードを通常モードからリプロモードに切り替える。これにより、当該ＥＣＵは制御プログラムの更新処理が可能な状態となる。

　ＥＣＵ３０は、受信した更新用プログラムを展開して旧バージョンの制御プログラムに適用する。その際、適用される更新用プログラムは、更新対象の制御プログラムのバージョン種別に関わらず、その制御プログラムを最新バージョンに更新することが可能な全体更新用プログラムである。このため、ＥＣＵ３０は、更新対象の制御プログラムを旧バージョンから最新バージョンに書き換える（ステップＳ８）。
　書き換えが完了すると、ＥＣＵ３０は、書き換えの完了通知を中継装置１０に送信する（ステップＳ９）。中継装置１０は、書き換えの完了通知を該当するＥＣＵ３０から受信すると、更新完了通知を管理サーバ５に送信する（ステップＳ１０）。

　管理サーバ５は、更新完了通知を受信することで、ＵＳＢメモリ９を送付したユーザ８の車両１のうち、どの車両１が制御プログラムの更新を行ったか否かを把握することができる。これにより、管理サーバ５は、例えば、ＵＳＢメモリ９を送付してから所定期間が経過したときに、制御プログラムの更新が行われていない車両１に対して、再度、制御プログラムの更新を促す通知を行うことができる。この通知は、シート状媒体でユーザ８に送付してもよいし、管理サーバ５から無線通信により中継装置１０に送信し、ＨＭＩ装置１６の表示パネルに表示させてもよい。

　本実施形態では、中継装置１０は、ステップＳ１でＵＳＢメモリ９から取得した更新用プログラム、及びステップＳ５でＤＬサーバ６からダウンロードした認証用データを自装置の記憶部１３に一時的に記憶しているが、取得した更新用プログラムに対応するＥＣＵ３０の記憶部３３に、当該更新用プログラム及び認証用データの少なくとも一方を一時的に記憶させてもよい。

　［効果］
　本実施形態に係るプログラム更新システムによれば、ＤＬサーバ６から無線通信により受信した認証用データに基づいて、ＵＳＢメモリ９に記録されている更新用プログラムを認証し、その認証に成功した更新用プログラムを用いて制御プログラムを更新する。
　これにより、ＤＬサーバ６から無線通信により受信するデータは認証用データだけで済むので、更新用プログラムを無線通信で受信する場合に比べて、制御プログラムの更新にかかる通信コストを低減することができる。また、例えば、車両１の駐車場所が無線通信の通信エリアの境界付近にあり、無線通信の通信速度が低下する場所に車両１が停車している場合であっても、無線通信により受信する認証用データのデータ量は、更新用プログラムのデータ量に比べて少ないので、制御プログラムの更新に必要なデータを短時間で受信することができる。

　また、中継装置１０は、管理サーバ５に自車両の認証要求を送信し、管理サーバ５の認証処理により自車両の認証に成功した場合に、管理サーバ５から認証用データを受信するので、管理サーバ５から正規の認証用データを取得することができる。

　また、ＵＳＢメモリ９には、複数の車載制御装置の制御プログラムそれぞれに対応する複数の更新用プログラムが記録されているので、複数の車載制御装置における制御プログラムの更新にかかる通信コストを低減することができる。

　また、更新前後の制御プログラム間の差分を更新する差分更新用プログラムを用いて制御プログラムを最新バージョンに更新する場合、中継装置１０は、ＵＳＢメモリ９に記録されている更新用プログラムが更新対象の制御プログラムのバージョン種別に対応しているか否かを確認する必要がある。これに対して、本実施形態のＵＳＢメモリ９には、更新対象の制御プログラムのバージョン種別に関わらず、当該更新対象の制御プログラムを最新バージョンの制御プログラムに更新可能な全体更新用プログラムが記録されている。このため、全体更新用プログラムを用いれば、更新対象の制御プログラムのバージョン種別を確認しなくて済むので、制御プログラムの更新処理が容易となる。
　また、カーディーラー７Ｂは、複数のＥＣＵ３０それぞれの制御プログラムのバージョンに対応した差分更新用プログラムを用意する必要がないので、ユーザ８へのＵＳＢメモリ９の送付処理を簡素化することができる。

　また、ＵＳＢメモリ９は、車両１に関する通知を示す紙媒体２０に取り外し可能に取り付けられている。このため、カーディーラー７Ｂは、車両１に関する通知を示す紙媒体２０と共に、制御プログラムの更新用プログラムを記録したＵＳＢメモリ９を車両１のユーザ８に送付することができる。これにより、ユーザ８に対して、車両１に関する通知とともに、ＵＳＢメモリ９に記録されている更新用プログラムを用いた制御プログラムの更新を促すことができる。

　また、紙媒体２０にＵＳＢメモリ９が取り付けられているので、紙媒体２０からＵＳＢメモリ９を容易に取り外すことができる。
　また、紙媒体２０を用いて作製されたＵＳＢメモリ９を使用しているので、車両１に関する通知を示す紙媒体２０に対して、ＵＳＢメモリ９を容易に取り外し可能に取り付けることができる。

　［その他］
　今回開示された実施の形態はすべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は、上記した意味ではなく、請求の範囲によって示され、請求の範囲と均等の意味、及び範囲内でのすべての変更が含まれることが意図される。

　１　車両
　２　広域通信網
　５　管理サーバ
　６　ＤＬサーバ
　７Ａ　カーメーカー
　７Ｂ　カーディーラー
　８　ユーザ
　９　ＵＳＢメモリ（リムーバブルメディア）
　９ａ　本体部
　９ｂ　コネクタ部
　９ｃ　接続端子
　１０　中継装置（制御装置）
　１１　ＣＰＵ
　１２　ＲＡＭ
　１３　記憶部
　１４　車内通信部
　１５　車外通信機（通信部）
　１６　ＨＭＩ装置
　１６ａ　ＵＳＢポート
　２０　紙媒体（通知物、シート状媒体）
　２１　切り目
　３０　ＥＣＵ（車載制御装置）
　３１　ＣＰＵ
　３２　ＲＡＭ
　３３　記憶部
　３４　通信部
　３５　起動部
　５１　ＣＰＵ
　５２　ＲＯＭ
　５３　ＲＡＭ
　５４　記憶部
　５５　通信部
　１１１　取得部
　１１２　認証部
　１１３　更新部

Claims

　車両に搭載された対象機器を制御する車載制御装置の制御プログラムの更新を制御する制御装置であって、
　リムーバブルメディアに記録されている更新用プログラムを取得する取得部と、
　前記更新用プログラムの認証用データを、サーバから無線通信により受信する通信部と、
　前記認証用データに基づいて前記更新用プログラムを認証する認証部と、
　前記更新用プログラムの認証に成功した場合に、当該更新用プログラムを用いて前記制御プログラムを更新する更新部と、を備える制御装置。
　前記通信部は、前記サーバに前記車両の認証要求を送信し、前記サーバの認証処理により前記車両の認証に成功した場合に前記サーバから前記認証用データを受信する、請求項１に記載の制御装置。
　前記取得部は、複数の前記車載制御装置の制御プログラムそれぞれに対応する複数の前記更新用プログラムが記録されている前記リムーバブルメディアから、前記複数の更新用プログラムを取得する、請求項１又は請求項２に記載の制御装置。
　前記取得部は、更新対象の制御プログラムのバージョン種別に関わらず当該更新対象の制御プログラムを最新バージョンの制御プログラムに更新可能な前記更新用プログラムが記録されている前記リムーバブルメディアから、前記最新バージョンの制御プログラムに更新可能な更新用プログラムを取得する、請求項１～請求項３のいずれか１項に記載の制御装置。
　前記取得部は、前記車両に関する通知を示す通知物に取り外し可能に取り付けられている前記リムーバブルメディアから、前記更新用プログラムを取得する、請求項１～請求項４のいずれか１項に記載の制御装置。
　前記通知物はシート状媒体である、請求項５に記載の制御装置。
　前記リムーバブルメディアはＵＳＢメモリである、請求項６に記載の制御装置。
　車両に搭載された対象機器を制御する車載制御装置の制御プログラムの更新方法であって、
　リムーバブルメディアに記録されている更新用プログラムを取得するステップと、
　前記更新用プログラムの認証用データを、サーバから無線通信により受信するステップと、
　前記認証用データに基づいて前記更新用プログラムを認証するステップと、
　前記更新用プログラムの認証に成功した場合に、当該更新用プログラムを用いて前記制御プログラムを更新するステップと、を含むプログラム更新方法。
　コンピュータを、車両に搭載された対象機器を制御する車載制御装置の制御プログラムの更新を制御する制御装置として機能させるためのコンピュータプログラムであって、
　前記コンピュータを、
　リムーバブルメディアに記録されている更新用プログラムを取得する取得部と、
　通信部がサーバから無線通信により受信した前記更新用プログラムの認証用データに基づいて前記更新用プログラムを認証する認証部と、
　前記更新用プログラムの認証に成功した場合に、当該更新用プログラムを用いて前記制御プログラムを更新する更新部として機能させるコンピュータプログラム。
　車両に搭載された対象機器を制御する車載制御装置の制御プログラムの更新用プログラムを送付する方法であって、
　前記更新用プログラムが記録されているリムーバブルメディアを前記車両のユーザに送付するステップと、
　前記更新用プログラムの認証用データを無線通信により前記車両に送信するステップと、を含むプログラム送付方法。
　車両に搭載された対象機器を制御する車載制御装置の制御プログラムの更新用プログラムが記録され、前記車両に関する通知を示す通知物に取り外し可能に取り付けられているリムーバブルメディア。