WO2020170926A1

WO2020170926A1 - 車載通信装置、プログラム及び、通信方法

Info

Publication number: WO2020170926A1
Application number: PCT/JP2020/005524
Authority: WO
Inventors: 太郎板津
Original assignee: 株式会社オートネットワーク技術研究所; 住友電装株式会社; 住友電気工業株式会社
Priority date: 2019-02-18
Filing date: 2020-02-13
Publication date: 2020-08-27
Also published as: CN113366803A; US11958423B2; JP7103503B2; JPWO2020170926A1; CN113366803B; US20220126770A1

Abstract

車載通信装置は、車両に搭載された車載ＥＣＵと通信可能に接続され、前記車載ＥＣＵ夫々から送信される構成情報を取得する車載通信装置であって、前記車載ＥＣＵの交換又は追加を行う際に前記車両外から接続される外部認証装置との通信を制御する制御部を備え、前記制御部は、前回取得した構成情報が今回取得した構成情報と異なる場合、前記外部認証装置との通信を試み、前記外部認証装置との通信が正常に行われなかった場合、前記車載ＥＣＵは不正に交換又は追加されたと判定する。

Description

車載通信装置、プログラム及び、通信方法

　本発明は、車載通信装置、プログラム及び、通信方法に関する。
　本出願は、２０１９年２月１８日出願の日本出願第２０１９－０２６８２８号に基づく優先権を主張し、前記日本出願に記載された全ての記載内容を援用するものである。

　車両には、エンジン制御等のパワー・トレーン系、エアコン制御等のボディ系等の車載機器を制御するための車載ＥＣＵ（Electronic Control Unit）が搭載されている。車載ＥＣＵは、ＭＰＵ等の演算処理部、ＲＡＭ等の書き換え可能な不揮発性の記憶部、及び他の車載ＥＣＵと通信するための通信部を含み、記憶部に記憶した制御プログラムを読み込んで実行することにより、車載機器の制御を行う。更に車両には、無線通信の機能を備えた車載通信装置（中継装置）が実装されており、当該中継装置は、これら車載ＥＣＵに関する情報（車両仕様情報）を車両の外部の装置から取得し、記憶する（例えば特許文献１参照）。

特開２０１６－９４１５８号公報

　本開示の一態様に係る車載通信装置は、車両に搭載された車載ＥＣＵと通信可能に接続され、前記車載ＥＣＵ夫々から送信される構成情報を取得する車載通信装置であって、制御部を備え、前記制御部は、前記車載ＥＣＵの交換又は追加を行う際に前記車両外から接続される外部認証装置との通信を制御するものであり、前回取得した構成情報が今回取得した構成情報と異なる場合、前記外部認証装置との通信を試み、前記外部認証装置との通信が正常に行われなかった場合、前記車載ＥＣＵは不正に交換又は追加されたと判定する。

実施形態１に係る車載通信装置を含む車載通信システムの構成を例示する模式図である。車載通信装置等の構成を例示するブロック図である。車載ＥＣＵの構成情報の一態様を例示する説明図である。車載通信装置による判定の一態様を例示する説明図である。車載通信装置の制御部の処理を例示するフローチャートである。実施形態２に係る車載通信装置の制御部の処理を例示するフローチャートである。実施形態２に係る車載通信装置の制御部の処理を例示するフローチャートである。実施形態３に係る車載通信装置による判定の一態様を例示する説明図である。実施形態３に係る車載通信装置の制御部の処理を例示するフローチャートである。実施形態３に係る車載通信装置の制御部の処理を例示するフローチャートである。

［本開示が解決しようとする課題］
　特許文献１の中継装置は、車載ＥＣＵが交換された際、当該交換の正否の判定に関する考慮がされていないため、車載ＥＣＵが不正に交換された場合、当該不正な交換の検知が困難となることが懸念される。

　本開示の目的は、車載ＥＣＵが交換された際、当該交換が適正な交換であるか否かを判定することができる車載通信装置等を提供する。

［本開示の効果］
　本開示の一態様によれば、車載ＥＣＵが交換された際、当該交換が適正な交換であるか否かを判定することができる車載通信装置等を提供することができる。

［本開示の実施形態の説明］
　最初に本開示の実施態様を列挙して説明する。また、以下に記載する実施形態の少なくとも一部を任意に組み合わせてもよい。

（１）本開示の一態様に係る車載通信装置は、車両に搭載された車載ＥＣＵと通信可能に接続され、前記車載ＥＣＵ夫々から送信される構成情報を取得する車載通信装置であって、制御部を備え、前記制御部は、前記車載ＥＣＵの交換又は追加を行う際に前記車両外から接続される外部認証装置との通信を制御するものであり、前回取得した構成情報が今回取得した構成情報と異なる場合、前記外部認証装置との通信を試み、前記外部認証装置との通信が正常に行われなかった場合、前記車載ＥＣＵは不正に交換又は追加されたと判定する。

　本態様にあたっては、前回取得した構成情報が今回取得した構成情報と異なる場合、前回の構成情報の取得時点から、今回の構成情報の取得時点までの間に、車載ＥＣＵが交換又は追加されたことを意味する。車載ＥＣＵの適正な交換等の作業を行うにあたり、外部認証装置が車両に接続されるものとなるが、制御部と外部認証装置との通信が正常に行われなかった場合は、外部認証装置が車両に接続されていないことが想定される。従って、前回取得した構成情報が今回取得した構成情報と異なる場合であって、制御部と外部認証装置との通信が正常に行われなかった場合は、車載ＥＣＵは不正に交換されたと判定することにより、当該交換の正否を適切に判定することができる。

（２）本開示の一態様に係る車載通信装置は、前記制御部は、前記車両の起動時に前記車載ＥＣＵ夫々から構成情報を取得する。

　本態様にあたっては、制御部は、車両の起動時に前記構成情報を取得するため、車両の停止中に行われた車載ＥＣＵの交換等の交換の正否を適切に判定することができる。

（３）本開示の一態様に係る車載通信装置は、前記制御部は、前記車載ＥＣＵは不正に交換又は追加されたと判定した場合、前記前回取得した構成情報と前記今回取得した構成情報との差分に基づき、不正に交換又は追加された車載ＥＣＵを特定する。

　本態様にあたっては、制御部は、車載ＥＣＵは不正に交換されたと判定した場合、前記判定に関する情報を、車外の外部サーバ又は、前記車両に設けられている表示装置に送信するため、外部サーバの管理者又は車両の操作者に当該判定に関する情報を報知することができる。

（４）本開示の一態様に係る車載通信装置は、前記制御部は、前記車載ＥＣＵは不正に交換又は追加されたと判定した場合、前記判定に関する情報を前記車両に設けられている表示装置に送信する。

　本態様にあたっては、制御部は、前回取得した構成情報と今回取得した構成情報との差分に基づき、不正に交換又は追加された車載ＥＣＵを特定するので、効率的に不正に交換等された車載ＥＣＵを特定することができる。

（５）本開示の一態様に係る車載通信装置は、前記制御部は、前記今回取得した構成情報を前記外部認証装置に出力し、前記外部認証装置に出力された構成情報は、前記外部認証装置により車外の外部サーバに送信される。

　本態様にあたっては、制御部が取得した構成情報は、外部認証装置により車外の外部サーバに送信されるので、外部認証装置を経由するセキュアな通信環境を用いて当該構成情報を外部サーバに効率的に送信することができる。

（６）本開示の一態様に係る車載通信装置は、前記制御部は、前記外部認証装置との通信が正常に行われた場合、前記外部認証装置から前記外部サーバに送信された構成情報を、前記制御部と通信可能に接続された車外通信装置を介して前記外部サーバから取得し、前記外部サーバから取得した構成情報が、前記今回取得した構成情報と異なる場合、前記外部認証装置は、不正であると判定する。

　本態様にあたっては、制御部は、外部認証装置を介して外部サーバに送信された構成情報を、車外通信部を介して外部サーバから取得し、外部サーバから取得した構成情報が今回取得した構成情報と異なる場合、外部認証装置は、不正であると判定する。従って、車両に接続された外部認証装置が、正規な外部認証装置に成りすました不正な外部認証装置であり、当該不正な外部認証装置が制御部との間にて正常な通信を装った場合であっても、当該外部認証装置が不正であると判定することができる。又、外部認証装置が不正であると判定された場合、当該不正な外部認証装置が接続されて行われた車載ＥＣＵの交換等についても、不正であると判定するものであってもよい。

（７）本開示の一態様に係る車載通信装置は、前記制御部は、前記外部認証装置から前記外部サーバへの構成情報の送信が完了した旨を、該外部認証装置から取得した場合、前記外部認証装置から前記外部サーバに送信された構成情報を、前記制御部と通信可能に接続された車外通信装置を介して前記外部サーバから取得する。

　本態様にあたっては、当該外部認証装置は、構成情報を外部サーバに送信し、当該送信が正常に完了した場合、外部サーバへの構成情報の送信が完了した旨（送信完了通知）を車載通信装置に送信（出力）する。車載通信装置の制御部は、外部認証装置から外部サーバへの構成情報の送信が完了した旨（送信完了通知）を取得した場合、当該外部サーバから構成情報（外部認証装置が送信完了した構成情報）を取得する。このように制御部は、外部認証装置からの送信完了通知に基づき、外部サーバから構成情報を取得するため、外部サーバに記憶されている構成情報が更新される前、すなわち外部認証装置からの構成情報の送信が完了する前に、外部サーバから古い構成情報を取得することを防止することができる。

（８）本開示の一態様に係るプログラムは、コンピュータに、車両に搭載された車載ＥＣＵ夫々から送信される構成情報を取得し、前回取得した構成情報が今回取得した構成情報と異なる場合、前記車載ＥＣＵの交換又は追加を行う際に前記車両外から接続される外部認証装置との通信を試み、前記外部認証装置との通信が正常に行われなかった場合、前記車載ＥＣＵは不正に交換又は追加されたと判定する処理を実行させる。

　本態様にあたっては、コンピュータを、車載ＥＣＵが交換された際、当該交換が適正な交換であるか否かを判定することができる車載通信装置として機能させることができる。

（９）本開示の一態様に係る通信方法は、車両に搭載された車載ＥＣＵ夫々から送信される構成情報を取得し、前回取得した構成情報が今回取得した構成情報と異なる場合、前記車載ＥＣＵの交換又は追加を行う際に前記車両外から接続される外部認証装置との通信を試み、前記外部認証装置との通信が正常に行われなかった場合、前記車載ＥＣＵは不正に交換又は追加されたと判定する。

　本態様にあたっては、車載ＥＣＵが交換された際、当該交換が適正な交換であるか否かを判定することができる通信方法を提供することができる。

[本開示の実施形態の詳細]
　本開示をその実施の形態を示す図面に基づいて具体的に説明する。本開示の実施形態に係る車載通信装置２を、以下に図面を参照しつつ説明する。なお、本開示はこれらの例示に限定されるものではなく、請求の範囲によって示され、請求の範囲と均等の意味及び範囲内でのすべての変更が含まれることが意図される。

（実施形態１）
　以下、実施の形態について図面に基づいて説明する。図１は、実施形態１に係る車載通信装置を含む車載通信システムの構成を例示する模式図である。図２は、車載通信装置等の構成を例示するブロック図である。車載通信システムは、車両Ｃに搭載された車外通信装置１及び車載通信装置２を含み、車外ネットワークＮを介して接続された外部サーバ１００から取得したプログラム又はデータを、車両Ｃに搭載されている車載ＥＣＵ３（Electronic Control Unit）に送信する。また、車両Ｃに外部認証装置５が接続された場合、外部認証装置５は、車外ネットワークＮを介して外部サーバ１００と通信する。

　外部サーバ１００は、例えばインターネット又は公衆回線網等の車外ネットワークＮに接続されているサーバ等のコンピュータであり、ＲＡＭ（Random Access Memory）、ＲＯＭ（Read Only Memory）又はハードディスク等による記憶部１０１を備える。外部サーバ１００には、車載ＥＣＵ３の製造メーカ等によって作成された当該車載ＥＣＵ３を制御するためのプログラム又はデータが、記憶部１０１に保存されている。当該プログラム又はデータは、更新プログラムとして、後述のごとく車両Ｃに送信され、車両Ｃに搭載されている車載ＥＣＵ３のプログラム又はデータを更新するために用いられる。このように構成された外部サーバ１００は、ＯＴＡ（Over The Air）サーバとも称される。車両に搭載される車載ＥＣＵ３は、外部サーバ１００から無線通信により送信された更新プログラムを取得し、当該更新プログラムを実行するプログラムとして適用することにより、自ＥＣＵが実行するプログラムを更新（リプロ）することができる。外部サーバ１００の記憶部１０１には、外部認証装置５から送信された車載ＥＣＵ３夫々の構成情報が記憶される。当該構成情報には、車両Ｃを識別するための識別情報（ＶＩＮ：車両識別番号）が含まれている。外部サーバ１００は、当該識別情報に基づき車両Ｃを特定し、特定した車両Ｃとの間で、当該車両Ｃの車載ＥＣＵ３夫々の構成情報に関する通信を行う。

　車両Ｃには、車外通信装置１、車載通信装置２、表示装置７、及び種々の車載機器を制御するための複数の車載ＥＣＵ３が搭載されている。車外通信装置１と車載通信装置２とは、例えばシリアルケーブル等のハーネスにより通信可能に接続されている。車載通信装置２及び車載ＥＣＵ３は、ＣＡＮ（Control Area Network／登録商標）又はイーサネット（Ethernet／登録商標）等の通信プロトコルに対応した通信線４１及び車内ＬＡＮ４によって通信可能に接続されている。

　車外通信装置１は、車外通信部１１及び、車載通信装置２と通信するための入出力Ｉ／Ｆ（インターフェイス）１２を含む。車外通信部１１は、３Ｇ、ＬＴＥ、４Ｇ、ＷｉＦｉ等の移動体通信のプロトコルを用いて無線通信をするための通信装置であり、車外通信部１１に接続されたアンテナ１３を介して外部サーバ１００とデータの送受信を行う。車外通信装置１と外部サーバ１００との通信は、例えば公衆回線網又はインターネット等の車外ネットワークＮを介して行われる。

　入出力Ｉ／Ｆ１２は、車載通信装置２と、例えばシリアル通信するための通信インターフェイスである。車外通信装置１と車載通信装置２とは、入出力Ｉ／Ｆ１２及び入出力Ｉ／Ｆ１２に接続されたシリアルケーブル等のハーネスを介して相互に通信する。本実施形態では、車外通信装置１は、車載通信装置２と別装置とし、入出力Ｉ／Ｆ１２等によってこれら装置を通信可能に接続しているが、これに限定されない。車外通信装置１は、車載通信装置２の一構成部位として、車載通信装置２に内蔵されるものであってもよい。

　車載通信装置２は、制御部２０、記憶部２１、入出力Ｉ／Ｆ２２、及び車内通信部２３を含む。車載通信装置２は、例えば、制御系の車載ＥＣＵ３、安全系の車載ＥＣＵ３及び、ボディ系の車載ＥＣＵ３等の複数の通信線４１による系統のセグメントを統括し、これらセグメント間での車載ＥＣＵ３同士の通信を中継するゲートウェイ（中継器）である。又は、車載通信装置２は、車両Ｃ全体をコントロールするボディＥＣＵの一機能部として構成されるものであってもよい。車載通信装置２は、車外通信装置１が無線通信によって外部サーバ１００から受信した更新プログラムを、車外通信装置１から取得し、車内ＬＡＮ４を介して当該更新プログラムを所定の車載ＥＣＵ３（更新対象の車載ＥＣＵ３）に送信するように構成されているものであってもよい。

　制御部２０は、ＣＰＵ（Central Processing Unit）又はＭＰＵ（Micro Processing Unit）等により構成してあり、記憶部２１に予め記憶された制御プログラム及びデータを読み出して実行することにより、種々の制御処理及び演算処理等を行うようにしてある。制御部２０は、当該制御プログラムを実行することにより、外部サーバ１００から送信された車載ＥＣＵ３の構成情報又は更新プログラムを、車外通信装置１を介して取得する取得部として機能する。制御部２０は、当該制御プログラムを実行することにより、後述する外部認証装置５又は外部サーバ１００と通信し、車載ＥＣＵ３の交換等が適正にされたものか否かを判定する判定部として機能する。

　記憶部２１は、ＲＡＭ（Random Access Memory）等の揮発性のメモリ素子又は、ＲＯＭ（Read Only Memory）、ＥＥＰＲＯＭ（Electrically Erasable Programmable ROM）若しくはフラッシュメモリ等の不揮発性のメモリ素子により構成してあり、制御プログラム及び処理時に参照するデータがあらかじめ記憶してある。記憶部２１に記憶された制御プログラムは、車載通信装置２が読み取り可能な記録媒体２１１から読み出された制御プログラムを記憶したものであってもよい。また、図示しない通信網に接続されている図示しない外部コンピュータから制御プログラムをダウンロードし、記憶部２１に記憶させたものであってもよい。更に、記憶部２１には、車両Ｃに搭載される全ての車載ＥＣＵ３の構成情報が記憶される。記憶部２１には、外部サーバ１００から取得した更新プログラム、及び車載ＥＣＵ３に更新プログラムを送信する際の進捗状況に関する情報が、記憶されるものであってもよい。

　入出力Ｉ／Ｆ２２は、車外通信装置１の入出力Ｉ／Ｆ１２と同様に、例えばシリアル通信するための通信インターフェイスである。入出力Ｉ／Ｆ２２を介して、車載通信装置２は、車外通信装置１及びＩＧスイッチ６と通信可能に接続される。

　車内通信部２３は、例えばＣＡＮ（Control Area Network）又はイーサネット（Ethernet／登録商標）等の通信プロトコルを用いた入出力インターフェイスであり、制御部２０は、車内通信部２３を介して車内ＬＡＮ４に接続されている車載ＥＣＵ３又は他の中継装置等の車載機器と相互に通信する。車内通信部２３は、複数個設けられており、車内通信部２３夫々に、車内ＬＡＮ４を構成する通信線４１が接続されている。このように車内通信部２３を複数個設けることにより、車内ＬＡＮ４は複数個のセグメントに分け、各セグメントに車載ＥＣＵを、当該車載ＥＣＵの機能（制御系機能、安全系機能、ボディ系機能）に応じて接続する。車内通信部２３には、後述する外部認証装置５が必要に応じて接続され、外部認証装置５が接続された場合、制御部２０は、車内通信部２３を介して外部認証装置５と相互に通信する。

　車載ＥＣＵ３は、制御部３０、記憶部３１及び車内通信部３２を含む。記憶部３１は、ＲＡＭ（Random Access Memory）等の揮発性のメモリ素子又は、ＲＯＭ（Read Only Memory）、ＥＥＰＲＯＭ（Electrically Erasable Programmable ROM）若しくはフラッシュメモリ等の不揮発性のメモリ素子により構成してあり、車載ＥＣＵ３のプログラム又はデータが記憶されている。このプログラム又はデータが、車載通信装置２から送信される更新プログラムによって更新される対象である。又、記憶部３１には自ＥＣＵの構成情報が記憶されている。

　記憶部３１は、第１記憶領域（第１面）及び第２記憶領域（第２面）を含む。記憶部３１には、現状において車載ＥＣＵ３が実行（適用）しているプログラム（現バージョン）及び、現バージョンの以前に適用されていたプログラム（旧バージョン）の２つのプログラムが記憶されている。これら現バージョンのプログラムと、旧バージョンのプログラムとは、第１記憶領域又は第２記憶領域のいずれかの記憶領域に分かれて、記憶されている。すなわち、第１記憶領域に現バージョンのプログラムが記憶されている場合、第２記憶領域に旧バージョンのプログラムが記憶されている。第１記憶領域に旧バージョンのプログラムが記憶されている場合、第２記憶領域に現バージョンのプログラムが記憶されている。このように現バージョン及び旧バージョンの２つのプログラムを、所謂２面持ちとして記憶することにより、万が一現バージョンのプログラムに問題が生じた場合であっても、制御部３０は、以前に適用して正常に動作していた旧バージョンのプログラムを読み込み実行する（切替える）ことで、車載ＥＣＵ３の信頼性を担保することができる。記憶部３１は、２面持ちに限定されず、第１記憶領域のみを有する１面持ちとして記憶するものであってもよい。

　記憶部３１には、現バージョン及び旧バージョンの２つのプログラム夫々のバージョンに関する情報、及び現在実行（適用）しているプログラムが記憶されている領域（動作面）に関する情報が記憶されている。すなわち、現状において第１記憶領域（第１面）に記憶されているプログラムを実行している場合、記憶部３１には、動作面は第１記憶領域（第１面）であると記憶される。現状において第２記憶領域（第２面）に記憶されているプログラムを実行している場合、記憶部３１には、動作面は第２記憶領域（第２面）であると記憶される。記憶部３１には、プログラム（現バージョン及び旧バージョン）のバージョン情報及び動作面に関する情報を含め、自ＥＣＵの構成情報、車載通信装置２から更新プログラムを受信する際の進捗状況に関する情報、及び過去に行われた単数又は複数回の更新履歴に関する情報が、記憶される。

　制御部３０は、ＣＰＵ（Central Processing Unit）又はＭＰＵ（Micro Processing Unit）等により構成してあり、記憶部３１（動作面）に記憶されたプログラム及びデータを読み出し実行して制御処理等を行い、当該車載ＥＣＵ３を含む車載機器又はアクチュエータ等が制御される。

　外部認証装置５は、車載ＥＣＵ３の交換等の車両Ｃの整備作業を担う正規ディーラ等を含む車両Ｃ整備業者によって用いられる装置（ダイアグツール）であり、例えばパソコン、タブレットＰＣ又はスマートホン等の汎用情報端末に専用アプリケーションをインストールした装置、又はハードウェアを含み専用情報端末として構成された装置である。外部認証装置５は、前述の車載ＥＣＵ３と同様にＣＰＵ又はＭＰＵにより制御部（図示せず）、記憶部（図示せず）及び車内通信部（図示せず）を含む。外部認証装置５の車内通信部は、車載ＥＣＵ３と同様のＣＡＮ又はイーサネットに限定されず、例えばシリアルケーブル等のワイヤーハーネスによる通信するための入出力Ｉ／Ｆ又は通信モジュールであってもよい。外部認証装置５は、車内通信部によって、車内ＬＡＮ等を介して車載通信装置２又は車載ＥＣＵ３夫々と通信する。又は、外部認証装置５の車内通信部は、無線通信の機能を有し、外部認証装置５は無線通信により車載通信装置２と通信するものであってもよい。更に外部認証装置５は、外部サーバ１００と通信するための車外通信部（図示せず）を含む。外部認証装置５の車外通信部は、有線又は無線による通信機能を有する通信モジュールであり、外部認証装置５は、車外通信部によって、車外ネットワークＮを介して外部サーバ１００と通信する。外部認証装置５は、上述のごとく正規ディーラ等の作業環境下に配置されるものであり、当該正規ディーラ等と外部サーバ１００との通信環境を利用して、外部サーバ１００と確実に通信することができる。

　外部認証装置５の記憶部には、外部サーバ１００と正規に通信するための通信手順に関するプログラム及び公開鍵又は共通鍵を含む認証情報が記憶されている。外部認証装置５は、車載ＥＣＵ３を交換又は追加等の車両Ｃの整備作業を行う場合、図２に示すように車載通信装置２と直接接続、又は車載ＬＡＮ４のいずれかの箇所に接続されることにより、車載通信装置２と通信可能に接続される。車載ＥＣＵ３を交換又は追加した場合、外部認証装置５は、交換等を行った後の車両Ｃに搭載される車載ＥＣＵ３夫々の構成情報を取得し、予め定められている正規の通信手順に基づき、例えば公開鍵又は共通鍵を用いた認証情報と共に、当該取得した構成情報を外部サーバ１００に送信する。当該認証情報を用いることにより、外部認証装置５は、セキュアな通信環境にて、外部サーバ１００との通信（データの送受信）を行うことができる。認証情報は、例えばＳＳＬ（Secure Sockets Layer）／ＴＳＬ（Transport Layer Security）に準拠したクライアント証明書であってもよい。

　通常、車載ＥＣＵ３の交換等は、車両Ｃの停止中に行われる。車両Ｃの停止中は、車載ＥＣＵ３への給電も停止しているため、外部認証装置５は車載ＥＣＵ３との通信はできず、車載ＥＣＵ３夫々から構成情報を取得することはできない。車載ＥＣＵ３の交換等が終了した後、外部認証装置５が車載通信装置２に接続された状態にて、車両ＣのＩＧスイッチがオンにされ車両Ｃは起動する。車両Ｃが起動することにより、車載ＥＣＵ３夫々に車載バッテリー等の蓄電装置（図示せず）から給電がされ、車載ＥＣＵ３夫々が起動する。外部認証装置５は、この状態において、車載ＥＣＵ３夫々と通信し、車載ＥＣＵ３夫々の構成情報を取得する。又は、車載通信装置２はＩＧスイッチがオンにされた場合、車載ＥＵＣ夫々から構成情報を取得しており、車載通信装置２が構成情報を取得した後、外部認証装置５は、車載通信装置２から構成情報を取得（受信）するものであってもよい。外部認証装置５は、取得した構成情報を、認証情報を用いた正規の通信手段によって外部サーバ１００に送信する。

　外部認証装置５と外部サーバ１００との通信は、正規ディーラ等と外部サーバ１００との通信環境を利用することにより、４Ｇ等の広域無線通信の電波状況の影響を少なくして通信品質を向上させることができる。また、外部認証装置５と外部サーバ１００との通信は、上述の認証情報を用いた正規の通信手段によって行われるため、セキュアな通信を確保することができる。

　車載通信装置２の入出力Ｉ／Ｆ２２には、シリアルケーブル等のワイヤーハーネスにより、車両Ｃの起動又は停止を行うＩＧスイッチ６（イグニッションスイッチ）が通信可能に接続されている。ＩＧスイッチ６がオン又はオフにされた場合、ＩＧスイッチ６から出力（送信）された信号を、車載通信装置２の制御部２０は、入出力Ｉ／Ｆ２２を介して取得（受信）する。車載通信装置２の制御部２０は、取得した信号に基づき、当該ＩＧスイッチ６のオン又はオフに関する情報（ＩＧオンの信号又はＩＧオフの信号）を、車内通信部２３を介して全ての車載ＥＣＵ３及び、外部認証装置５が車両Ｃに接続されている場合は、外部認証装置５に対しても送信する。車載ＥＣＵ３及び外部認証装置５は、車載通信装置２から送信されたＩＧスイッチ６のオン又はオフに関する情報（ＩＧオンの信号又はＩＧオフの信号）を取得し、取得した情報に基づき所定の動作を行う。

　表示装置７は、例えばカーナビゲーションのディスプレイ等のＨＭＩ（Human Machine Interface）装置である。表示装置７は、車載通信装置２の入出力Ｉ／Ｆ２２とシリアルケーブル等のハーネスにより通信可能に接続されている。表示装置７には、車載通信装置２の制御部２０から入出力Ｉ／Ｆ２２を介して出力されたデータ又は情報が表示される。

　図３は、車載ＥＣＵの構成情報の一態様を例示する説明図である。車載通信装置２の制御部２０は、例えば、ＩＧスイッチ６がオンにされた場合、オフにされた場合又は、所定のタイミングにて、定常的に車両Ｃに搭載されている全ての車載ＥＣＵ３又は特定の車載ＥＣＵ３に対し、自ＥＣＵの構成情報及び当該構成情報の更新履歴を送信することを要求する。そして車載通信装置２は、車載ＥＣＵ３夫々から送信された構成情報及び更新履歴を取得してこれら構成情報等を集約し、集約した構成情報（車両構成情報）及び更新履歴（車両構成情報更新履歴）を記憶部２１に記憶する。又は、車載通信装置２の制御部２０は、車載ＥＣＵ３に対し構成情報及び更新履歴を送信することを要求することなく、車載ＥＣＵ３夫々が自発的に送信した構成情報夫々及び更新履歴夫々を取得し集約して、記憶部２１に記憶するものであってもよい。又は、車載通信装置２の制御部２０は、更新プログラムを車載ＥＣＵ３に送信し、当該送信が完了した都度、送信した更新プログラムに基づいて構成情報（車両構成情報）を変更してもよい。

　車載ＥＣＵ３夫々の記憶部２１には、自ＥＣＵの構成情報及び更新履歴が記憶されている。従って、車載通信装置２は、車載ＥＣＵ３夫々に記憶されている構成情報及び更新履歴の夫々を集約し、車載ＥＣＵ３夫々の構成情報及び更新履歴を記憶する。車載通信装置２は、集約して記憶した車載ＥＣＵ３夫々の構成情報及び更新履歴を、外部サーバ１００に送信するものであってもよい。構成情報及び更新履歴を外部サーバ１００に送信することにより、外部サーバ１００の記憶部１０１に、当該構成情報及び更新履歴のバックアップを行うことができる。車載通信装置２は、当該構成情報を、例えばＩＧオンの信号を受信した場合、又は外部認証装置５からの要求に応じて、当該外部認証装置５に送信するものであってもよい。

　図３に示すごとく、車載ＥＣＵ３の構成情報（車両構成情報マスターテーブル）は、例えば車載ＥＣＵ３の製造番号（シリアル番号）、ＥＣＵ部番（型番）、Ｓｏｆｔｗａｒｅ部番、プログラムの現バージョン、旧バージョン、動作面数、動作面、ＭＡＣ（Media Access Control）アドレス、ＩＰアドレス、前回更新完了日時、リプロステータス及びＶＩＮ（車両識別番号）を含み、個々の車載ＥＣＵ３において重複しないように設定された連番等によるＥＣＵ－ＩＤに関連付けられて管理される。

　製造番号（シリアル番号）は、車載ＥＣＵ３の製造時に付与される番号であり、生産拠点等を示すロット番号及び製造時の連番等により構成され、当該ＥＣＵを一意に特定することができるユニークな番号である。ＥＣＵ部番（型番）は、車載ＥＣＵの種類を特定する番号であり、例えば部品番号である。Ｓｏｆｔｗａｒｅ部番は、更新プログラムのソフトウェアの種類を特定するための番号である。

　動作面数とは、異なるバージョンの更新プログラムを記憶する記憶領域の数である。すなわち、動作面数が２つの場合、２つの異なるバージョンの更新プログラムを記録することができる。動作面数１つの場合、単一のバージョンの更新プログラムのみを記憶することができる。動作面は、現状において、車載ＥＣＵ３が実行（適用）しているプログラムが記憶されているいずれかの記憶領域（第１記憶領域又は第２記憶領域）を特定する情報である。

　現バージョンは、現状において、車載ＥＣＵ３が実行（適用）しているプログラムのバージョン番号であり、動作面に記憶されているプログラムのバージョン番号である。旧バージョンは、以前に車載ＥＣＵ３が実行（適用）していたプログラムのバージョン番号であり、非動作面（動作面でない記憶領域）に記憶されているプログラムのバージョン番号である。

　ＭＡＣアドレスは、車載ＥＣＵ３の車内通信部２３がイーサネットに対応した通信ポートである場合、データリング層に対応するアドレスである。ＭＡＣアドレスは、当該車内通信部２３の製造時付与される番号であり、製造者を示すベンダーコード及び製造時の連番等により構成され、当該ＥＣＵを一意に特定することができるユニークな番号である。ＩＰアドレスは、車内通信部２３がイーサネットに対応した通信ポートである場合、ＴＣＰ／ＩＰを用いた通信を行う際のネットワーク層に対応するアドレスである。

　ＶＩＮ（車両識別番号／Vehicle Identification Number）は、個々の車両Ｃを識別するために使用しているシリアル番号を含んだ一意のコードであり、ＩＳＯ３８３３によって規定されており１７桁の英数字で構成される。ＶＩＮは、車両に搭載される全ての車載ＥＣＵ３の記憶部３１に記憶されているものではなく、特定の車載ＥＣＵ３の記憶部３１に記憶されている。

　車載ＥＣＵ３の構成情報は、当該車載ＥＣＵ３を識別するための識別情報を含む。ＩＰアドレスは、車内通信部２３の設定に応じて任意に決定できるアドレスであるため、車載ＥＣＵ３を識別するための識別情報としては、シリアル番号又はＭＡＣアドレスを用いることが望ましい。又、識別情報には、当該シリアル番号又はＭＡＣアドレスに加え、車載ＥＣＵ３のＥＣＵ部番（型番）を含むものであってもよい。

　車載ＥＣＵ３の識別情報は、車載ＥＣＵ３の構成情報に含まれるシリアル番号又はＭＡＣアドレスを含む。車載通信装置２の制御部２０は、構成情報に含まれるシリアル番号又はＭＡＣアドレスによる車載ＥＣＵ３の識別情報と、前回更新完了日時及びリプロステータス等、当該車載ＥＣＵ３への更新プログラムの送信の進捗状況に関する情報とを関連づけて、記憶部２１に記憶する。

　車載ＥＣＵ３の構成情報に含まれる情報は、図３に示す項目の情報に限定されない。車載ＥＣＵ３がＣＡＮによって接続される場合、車載ＥＣＵ３の構成情報は、当該車載ＥＣＵ３がメッセージを送信する際に用いる（含める）ＣＡＮ－ＩＤを含むものであってよい。

　図４は、車載通信装置２による判定の一態様を例示する説明図である。図４において、車載ＥＣＵ３が交換等された場合、当該交換の適否に関する判定に関し、車載通信装置２が行う処理について、外部サーバ１００及び外部認証装置５等の処理を含むシーケンス図を用いて説明する。

　車載通信装置２は、車載ＥＣＵ３夫々から構成情報を取得し、自装置の記憶部２１に記憶する（Ｓ１）。車載通信装置２は、取得した構成情報を、前回取得した構成情報（前回の構成情報）として記憶部２１に記憶する。車載通信装置２は、後述するようにＩＧスイッチ６がオンにされた場合、構成情報を取得するようにしてあり、前回ＩＧスイッチ６がオンにされた場合に取得した構成情報を、前回の構成情報として記憶部２１に記憶するものであってもよい。又は、車載通信装置２は、構成情報を取得した時点に関する情報（日付及び時刻）と、当該取得した構成情報とを関連付けて記憶部２１に記憶し、取得した構成情報夫々の履歴管理を行うものであってもよい。

　ＩＧスイッチ６がオフ（Ｓ２）にされることにより、車両Ｃは停止状態となり、車載通信装置２及び車載ＥＣＵ３等の車載装置は、停止状態又は待機状態となる。通常、車載ＥＣＵ３の交換又は追加は、車両Ｃが停止状態の間に行われるものとなる。

　車載ＥＣＵ３の交換等を行うための準備作業として、外部認証装置５が車両Ｃに接続される（Ｓ３）。外部認証装置５と車両Ｃとの接続は、例えば図２に示すように、車載通信装置２の車内通信部２３に外部認証装置５が接続されることにより行われる。

　車載ＥＣＵ３の交換又は追加が行われる（Ｓ４）。車載ＥＣＵ３の交換等の作業を行うにあたり、外部認証装置５は交換対象となる車載ＥＣＵ３に対し、例えば、電力を供給して車載ＥＣＵ３を強制起動させ、当該車載ＥＣＵ３との間でダイアグモード等の通信を行い、交換された車載ＥＣＵ３の単体テストを行う。車載ＥＣＵ３の交換又は追加が行われることにより、車両Ｃに搭載される車載ＥＣＵ３の構成情報が変化するものとなる。

　ＩＧスイッチ６がオン（Ｓ５）にされることにより、車両Ｃは起動状態となり、車載通信装置２及び、交換された車載ＥＣＵ３も含め全ての車載ＥＣＵ３が、起動状態となる。

　車載通信装置２は、車載ＥＣＵ３夫々から構成情報を取得する（Ｓ６）。車載通信装置２は、Ｓ１の処理と同様にＩＧスイッチ６がオンにされた後における構成情報を取得し、今回取得した構成情報（今回の構成情報）として記憶部２１に記憶する。

　車載通信装置２は、取得した構成情報夫々を比較し、車載ＥＣＵ３が交換されたか否かを判定する（Ｓ７）。車載通信装置２は、今回取得した構成情報と、前回取得した構成情報と比較し、これら構成情報の同異に基づき、車載ＥＣＵ３が交換されたか否かを判定する。

　車載通信装置２は、外部認証装置５に対し、今回取得した構成情報を含むデータを出力（送信）する（Ｓ８）。又は、車載通信装置２は、外部認証装置５に対し、応答を要求する要求データを送信するものであってもよい。すなわち、車載通信装置２は、外部認証装置５との通信を試みる。

　外部認証装置５は、車載通信装置２からのデータの送信に対し、所定の応答データを車載通信装置２に送信する（Ｓ９）。車載通信装置２は、外部認証装置５から送信される応答データに基づき、車載ＥＣＵ３の交換の適否を判定する（Ｓ１０）。前回取得した構成情報と、今回取得した構成情報とが異なる場合、車両Ｃが停止している間に車載ＥＣＵ３が交換等されたものとなる。これに対し、車載通信装置２は、外部認証装置５から送信される応答データを受信できなかった場合、又は外部認証装置５から送信されたデータが予め決定されている応答データとは異なる場合等は、現在車両Ｃに接続されている外部認証装置５は、正規の外部認証装置５ではないことを意味する。従って、車載通信装置２は、応答データを受信できなかった場合等は、不正な外部認証装置５が接続されており、又は外部認証装置５が接続されていないとして、車載ＥＣＵ３の交換は不正に行われたと判定する。車載ＥＣＵ３の交換等が不正であるとは、例えば正規ディーラ等の外部認証装置５を有する業者以外の不正な者により行われた交換等であることを意味する。また、車載ＥＣＵ３の交換等が不正であるとは、当該交換等された車載ＥＣＵ３が正規の車載ＥＣＵ３でなく、不正な車載ＥＣＵ３であることを意味するものであってもよい。車載通信装置２は、応答データを正常に受信した場合は、車載ＥＣＵ３の交換は適正に行われたと判定する。車載通信装置２は、当該判定結果を、外部サーバ１００、表示装置７又は外部認証装置５に出力（送信）するものであってもよい。

　更に、車載通信装置２、外部認証装置５及び外部サーバ１００は、以下の処理を実行するものであってもよい。外部認証装置５は、車載通信装置２から今回取得した構成情報を含むデータが送信されなかった場合、車載ＥＣＵ３夫々と通信し、車載ＥＣＵ３夫々から構成情報を取得するものであってもよい（Ｓ１１）。

　外部認証装置５は、車載通信装置２又は車載ＥＣＵ３夫々から取得した構成情報を外部サーバ１００に出力（送信）する（Ｓ１２）。外部認証装置５が、外部サーバ１００に構成情報を送信するにあたり、認証情報が必要となる。従って、外部認証装置５が正規の装置である場合、当該外部認証装置５は認証情報を保有しており、外部サーバ１００への送信を正常に行うことができる。しかしながら、車両Ｃに接続され外部認証装置５が、正規の装置に成りすました不正な装置である場合、当該不正な装置は、認証情報を保有していないため、外部サーバ１００への送信を正常に行うことができないため、外部サーバ１００は構成情報を取得することができないものとなる。

　外部サーバ１００は、外部認証装置５から取得（受信）した構成情報を、自装置の記憶部１０１に記憶する（Ｓ１３）。外部認証装置５が正規の装置である場合、認証情報を用いた通信が外部サーバ１００と外部認証装置５との間で行われるため、外部サーバ１００は、外部認証装置５から取得した構成情報を、自装置の記憶部１０１に記憶する。当該構成情報には、ＶＩＮ（車両識別番号）含まれているため、外部サーバ１００は、ＶＩＮに基づき当該構成情報を有する車両Ｃを特定することができる。

　車載通信装置２は、車外通信装置１を介して外部サーバ１００と通信し、外部サーバ１００から自車の構成情報を取得する（Ｓ１４）。上述のごとく、外部サーバ１００が保有（記憶部１０１に記憶）してある構成情報夫々には、各車両Ｃを特定するためのＶＩＮ（車両識別番号）が含まれているため、車載通信装置２は、自車のＶＩＮに基づき、外部サーバ１００から自車の構成情報を取得する。

　車載通信装置２は、今回取得した構成情報（Ｓ６にて取得した構成情報）と、外部サーバ１００から取得した構成情報とを比較し、外部認証装置５の適否を判定する（Ｓ１５）。上述のとおり、車両Ｃに接続され外部認証装置５が、正規の装置に成りすました不正な装置である場合、外部サーバ１００は、車両Ｃに接続された外部認証装置５（不正な装置）から、構成情報を受信していない。従って、今回取得した構成情報（Ｓ６にて取得した構成情報）と、外部サーバ１００から取得した構成情報とが異なる場合、車載通信装置２は、車両Ｃに接続された外部認証装置５は、正規の装置に成りすました不正な装置であり、車載ＥＣＵ３の交換等は不正に行われたと判定する。今回取得した構成情報（Ｓ６にて取得した構成情報）と、外部サーバ１００から取得した構成情報とが同じ場合、車載通信装置２は、車両Ｃに接続され外部認証装置５は正規の装置であり、車載ＥＣＵ３の交換等は適正に行われたと判定する。

　車載通信装置２は、判定結果である車載ＥＵＣの交換等の有無、当該交換の適否及び、車両Ｃに接続され外部認証装置５の適否に関する情報を、外部サーバ１００、外部認証装置５又は表示装置７に出力（送信）する（Ｓ１６、Ｓ１７、Ｓ１８）。

　図５は、車載通信装置２の制御部２０の処理を例示するフローチャートである。実施形態１として説明するフローチャートは、図４のシーケンス図におけるＳ１からＳ１０までの処理に対応するものである。車載通信装置２の制御部２０は、車両Ｃが停止状態（ＩＧスイッチ６がオフ）において、定常的に以下の処理を行う。

　車載通信装置２の制御部２０は、ＩＧオンの信号を受信したか否かを判定する（Ｓ１００）。制御部２０は、入出力Ｉ／Ｆ２２を介してＩＧスイッチ６から送信される信号に基づき、ＩＧスイッチ６がオンにされた信号（ＩＧオンの信号）を受信したか否かを判定する。ＩＧオンの信号を受信しなかった場合（Ｓ１００：ＮＯ）、車載通信装置２の制御部２０は、再度Ｓ１００の処理を実行すべくループ処理を行う。すなわち、制御部２０は、ＩＧオンの信号を受信するまで待機処理を行う。

　ＩＧオンの信号を受信した場合（Ｓ１００：ＹＥＳ）、車載通信装置２の制御部２０は、車載ＥＣＵ３夫々から構成情報を取得する（Ｓ１０１）。制御部２０は、取得した構成情報を今回取得した構成情報として、記憶部２１に記憶する。なお、車載通信装置２の記憶部２１には、前回の処理、すなわち前回ＩＧオンの信号を受信した際に取得した構成情報が記憶されており、当該構成情報は、前回取得した構成情報として管理される。制御部２０は、車両Ｃが停止状態となる前の起動状態において、車載ＥＣＵ３夫々から構成情報を取得し、前回取得した構成情報として記憶部２１に記憶するものであってもよい。又は、車載通信装置２は構成情報を取得する都度、取得した時点（日付及び時刻）と当該構成情報とを関連づけ、取得した構成情報夫々を履歴管理することにより、今回取得した構成情報に対する前回取得した構成情報を特定するものであってもよい。

　車載通信装置２の制御部２０は、前回取得した構成情報を参照する（Ｓ１０２）。上述のごとく、前回取得した構成情報は、車載通信装置２の記憶部２１に記憶されており、制御部２０は記憶部２１を参照して、前回取得した構成情報を読み出す。すなわち、制御部２０は、今回の処理を実行する前に取得し、記憶部２１に記憶してある前回取得した構成情報を、記憶部２１を参照して読み出す。

　車載通信装置２の制御部２０は、今回取得した構成情報は、前回取得した構成情報と同一か否かの判定を行う（Ｓ１０３）。制御部２０は、今回取得した構成情報と、前回取得した構成情報とを比較し、当該構成情報夫々に含まれる車載ＥＣＵ３夫々のＥＣＵ製造番号、ＥＣＵ部番、Ｓｏｆｔｗａｒｅ部番又はプログラムの現バージョンの同異に基づき、いずれかの車載ＥＣＵ３が交換、追加又は除去（取り外し）されたか否かを判定する。

　今回取得した構成情報と、前回取得した構成情報とが同一の場合（Ｓ１０３：ＹＥＳ）、車載通信装置２の制御部２０は、車載ＥＣＵ３の交換、追加又は除去は、されていないと判定する（Ｓ１０４）。

　今回取得した構成情報と、前回取得した構成情報とが同一でない場合（Ｓ１０３：ＮＯ）、すなわち今回取得した構成情報と、前回取得した構成情報とが異なる場合、車載ＥＣＵ３の交換、追加又は除去は、されたと判定する（Ｓ１０５）。上述のごとく構成情報は、車載ＥＣＵ３の製造番号等のハードウェア関連の情報のみならず、プログラムのＳｏｆｔｗａｒｅ部番及びバージョン等のソフトウェア関連の情報を含む。従って、車載ＥＣＵ３の交換においては、車載ＥＣＵ３そのもの、すなわちハードウェアが交換された場合のみならず、車載ＥＣＵ３にインストールされているプログラムが交換（ソフトウェアの書換え）された場合についても、前回の構成情報と今回の構成情報とは、異なるものとなる。従って、車載ＥＣＵ３の交換とは、ハードウェアの交換及びソフトウェアの交換を含むものとなる。車載ＥＣＵ３が追加又は除去された場合、図３に示すようにＥＣＵ－ＩＤの増減が行われるため、当該ＥＣＵ－ＩＤの列数によって表される車載ＥＣＵ３の個数に基づき、車載ＥＣＵ３の追加又は除去を判定することができる。車載通信装置２の制御部２０は、当該判定結果に基づき、交換、追加又は除去された車載ＥＣＵ３を特定し、特定した車載ＥＣＵ３を記憶部２１に記憶するものであってもよい。

　車載通信装置２の制御部２０は、外部認証装置５と通信を行う（Ｓ１０６）。制御部２０は、車内通信部２３を介して、外部認証装置５との通信を行うべく、外部認証装置５への通信（アクセス）を試みる。制御部２０と外部認証装置５との通信は、例えば、制御部２０は車内通信部２３を介して、外部認証装置５に対し応答を要求する要求データを送信し、当該データに基づき外部認証装置５が送信した応答データを受信することにより行われる。又は、制御部２０は、今回取得した構成情報を外部認証装置５に送信し、当該送信に対する外部認証装置５からの応答データを受信するものであってもよい。又は、制御部２０は、何ら要求データ等を送信することなく、外部認証装置５から送信されるデータを所定期間、待つ処理を行うものであってもよい。このように車載通信装置２（制御部２０）と外部認証装置５との通信は、車載通信装置２からの要求に基づき外部認証装置５が応答するプル型通信、又は外部認証装置５から車載通信装置２へのプッシュ型通信により行われる。

　車載通信装置２の制御部２０は、外部認証装置５との通信は正常に行われたか否かを判定する（Ｓ１０７）。制御部２０は、上述のように外部認証装置５からの応答データ等を受信したか否かに基づき、外部認証装置５との通信の成否（正常に行われたか否か）を判定する。外部認証装置５との通信が正常に行われた場合（Ｓ１０７：ＹＥＳ）、車載通信装置２の制御部２０は、車載ＥＣＵ３の交換等は適正に行われたと判定する（Ｓ１０８）。外部認証装置５との通信が正常に行われなかった場合（Ｓ１０７：ＮＯ）、車載通信装置２の制御部２０は、車載ＥＣＵ３の交換等は不正に行われたと判定する（Ｓ１０９）。

　車載通信装置２の制御部２０は、Ｓ１０４，Ｓ１０８又はＳ１０９の処理の実行後、判定結果を出力する（Ｓ１１０）。制御部２０は、車載ＥＣＵ３の交換等の適否の判定結果（Ｓ１０８，Ｓ１０９の処理結果）、車載ＥＣＵ３の交換等の有無の判定結果（Ｓ１０４，Ｓ１０５の処理結果）、又はこれら両判定結果を、例えば表示装置７（ＨＭＩ装置）、外部サーバ１００又は外部認証装置５に出力（送信）する。車載通信装置２の制御部２０は、車載ＥＣＵ３の交換等が不正に行われたと判定した場合、交換等された車載ＥＣＵ３を特定し、当該判定結果と関連づけて記憶部２１に記憶してもよい。制御部２０は、車載ＥＣＵ３の交換等が不正に行われたと判定した場合、判定結果と共に、不正に交換等された車載ＥＣＵ３に関する情報を、表示装置７、外部サーバ１００又は外部認証装置５に出力（送信）するものであってもよい。これら判定結果を表示装置７（ＨＭＩ装置）、外部サーバ１００又は外部認証装置５に出力（送信）し、表示させることにより、車両Ｃの操作者、外部サーバ１００の管理者、又は車載ＥＣＵ３の交換等を行う作業者に対し、当該判定結果を報知し、適切な対応を行うことを喚起することができる。車載通信装置２の制御部２０は、当該判定結果を記憶部２１に記憶するものであってもよい。制御部２０は、当該判定結果を記憶部２１に記憶するにあたり、Ｓ１０１の処理にて取得した今回取得した構成情報と関連づけて、記憶するものであってもよい。

　車載通信装置２の制御部２０は、Ｓ１１０の処理を行った後、本フローチャートの処理を終了する。又は、制御部２０はＳ１１０の処理を行った後、再度Ｓ１００の処理を実行すべくループ処理を行うものであってもよい。

　外部認証装置５との通信が正常に行われなかった場合、すなわち外部認証装置５からの応答データ等を受信できなかった場合、外部認証装置５（正規の外部認証装置５）が接続されていないことを意味する。従って、車載ＥＣＵ３の交換等の作業を行うにあたり、当該作業を行うにあたり必要とされる外部認証装置５の接続を行うことなく、車載ＥＣＵ３の交換等が行われたものとなる。これに対し、車載通信装置２の制御部２０は、車載ＥＣＵ３の交換等がされたと判定、すなわち車載ＥＣＵ３の交換等を検知した場合、交換等の作業を行うにあたり必須となる外部認証装置５との通信の成否に基づき、当該車載ＥＣＵ３の交換等の適否を判定することができる。すなわち、外部認証装置５を接続することなく実施された車載ＥＣＵ３の交換等は、不正な交換等であるとして、判定することができる。

　車載通信装置２（制御部２０）と外部認証装置５との通信は、車内通信部２３による有線通信又は狭域無線通信により行われる。従って、例えば４Ｇ等による広域無線通信が困難な電波状況であっても、当該電波状況に影響を受けることなく、車載通信装置２（制御部２０）と外部認証装置５との通信を確実に行うことができる。

（実施形態２）
　図６は、実施形態２に係る車載通信装置２の制御部２０の処理を例示するフローチャートである。図７は、実施形態２に係る車載通信装置２の制御部２０の処理を例示するフローチャートである。実施形態２として説明するフローチャートは、図４のシーケンス図におけるＳ１からＳ１８までの処理に対応するものであり、特にＳ１１以降の処理に関するものである。車載通信装置２の制御部２０は、外部認証装置５との通信が正常に行われた場合であっても、外部サーバ１００と通信して車載ＥＣＵ３の交換等の正否を判定する点で実施形態１と異なる。車載通信装置２の制御部２０は、実施形態１と同様に、車両Ｃが停止状態（ＩＧスイッチ６がオフ）において、定常的に以下の処理を行う。

　車載通信装置２の制御部２０は、実施形態１のＳ１００からＳ１０４の処理と同様に、Ｓ２００からＳ２０４の処理を行い、今回取得した構成情報と、前回取得した構成情報との同異を比較し、車載ＥＣＵ３の交換等の有無を判定する（Ｓ２０３）。

　車載通信装置２の制御部２０は、実施形態１のＳ１０５からＳ１０７の処理と同様に、Ｓ２０５からＳ２０７の処理を行い、車載ＥＣＵ３の交換等がされた場合、外部認証装置５との通信が正常に行われたか否かを判定する（Ｓ２０７）。外部認証装置５との通信が正常に行われなかった場合（Ｓ２０７：ＮＯ）、車載通信装置２の制御部２０は、実施形態１と同様に車載ＥＣＵ３の交換等は不正に行われたと判定する（Ｓ２０９）。

　外部認証装置５との通信が正常に行われた場合（Ｓ２０７：ＹＥＳ）、車載通信装置２の制御部２０は、外部サーバ１００から構成情報を取得する（Ｓ２０８）。外部認証装置５は、取得した構成情報を外部サーバ１００に送信するようにしてある。従って、外部サーバ１００には、外部認証装置５から送信された構成情報が保存（外部サーバ１００の記憶部１０１に記憶）されていることが想定される。車載通信装置２の制御部２０は、車外通信装置１を介して外部サーバ１００と通信し、外部サーバ１００から当該構成情報を取得する。

　車載通信装置２の制御部２０は、今回取得した構成情報は、外部サーバ１００から取得した構成情報と同一か否かを判定する（Ｓ２０８１）。制御部２０は、Ｓ２０１の処理にて今回取得した構成情報と、外部サーバ１００から取得した構成情報とを比較し、これら構成情報が同一か否かを判定する。

　今回取得した構成情報と、外部サーバ１００から取得した構成情報とが同一である場合（Ｓ２０８１：ＹＥＳ）、車載通信装置２の制御部２０は、車載ＥＣＵ３の交換等は適正に行われたと判定する（Ｓ２０８２）。

　今回取得した構成情報と、外部サーバ１００から取得した構成情報とが同一でない場合（Ｓ２０８１：ＮＯ）、車載通信装置２の制御部２０は、車載ＥＣＵ３の交換等は不正に行われたと判定する（Ｓ２０８３）。すなわち、外部認証装置５は正規の装置でなく、不正な装置が外部認証装置５に成りすましているものであり、制御部２０は、車載ＥＣＵ３の交換等は、不正に行われたと判定する。外部認証装置５は、車載ＥＣＵ３を交換等した場合、交換等を行った後の車両Ｃに搭載される車載ＥＣＵ３夫々の構成情報を取得し、予め定められている正規の通信手順に基づき、例えば公開鍵又は共通鍵を含む認証情報と共に、当該取得し構成情報を外部サーバ１００に送信する。外部認証装置５による車載ＥＣＵ３夫々の構成情報の取得は、外部認証装置５が車載ＥＣＵ３夫々と直接通信し、これら車載ＥＣＵ３夫々から取得する又は、外部認証装置５は車載通信装置２と通信し、車載通信装置２が取得し記憶部２１に記憶してある構成情報を、車載通信装置２から取得するものであってもよい。

　外部サーバ１００は、外部認証装置５から送信された情報を受信し、認証情報に基づき外部認証装置５から送信された情報の正否を判定し、上述の正規の通信手順に基づくものである場合、外部認証装置５から送信された情報を取得し、例えば自装置の記憶部１０１に記憶する。しかしながら、当該外部認証装置５が正規の装置でなく、不正な装置が外部認証装置５に成りすましている場合、当該不正な装置は、Ｓ２０６の処理である車載通信装置２（制御部２０）との通信は正常に行われたように装うことができたとしても、外部サーバ１００との認証情報を用いた正規の通信手段による通信を行うことができない。従って、外部サーバ１００の記憶部２１に記憶されている構成情報と、今回の処理において制御部２０が取得した構成情報（今回取得した構成情報）との間に差異が発生する。そこで、制御部２０は、今回取得した構成情報は外部サーバ１００から取得した構成情報と同一でない、すなわち異なると判定した場合、外部認証装置５は正規の装置でなく、不正な装置が外部認証装置５に成りすましているものであり、車載ＥＣＵ３の交換等は不正に行われたと判定する。

　車載通信装置２の制御部２０は、Ｓ２０４，Ｓ２０８２、Ｓ２０８３又はＳ２０９の処理の実行後、実施形態１と同様に判定結果を出力（送信）する（Ｓ２１０）。制御部２０は、車載ＥＣＵ３の交換等の適否の判定結果（Ｓ２０８２，Ｓ２０８３，Ｓ２０９の処理結果）、車載ＥＣＵ３の交換等の有無の判定結果（Ｓ２０４，Ｓ２０５の処理結果）、又はこれら両判定結果を、例えば表示装置７（ＨＭＩ装置）、外部サーバ１００又は外部認証装置５に出力（送信）する。これら判定結果を表示装置７（ＨＭＩ装置）、外部サーバ１００又は外部認証装置５に出力（送信）することにより、車両Ｃの操作者、外部サーバ１００の管理者、又は車載ＥＣＵ３の交換等を行う作業者に対し、当該判定結果を報知し、適切な対応を行うことを喚起することができる。車載通信装置２の制御部２０は、当該判定結果を記憶部２１に記憶するものであってもよい。制御部２０は、当該判定結果を記憶部２１に記憶するにあたり、Ｓ２０１の処理にて取得した今回取得した構成情報と関連づけて、記憶するものであってもよい。

　車載通信装置２の制御部２０は、Ｓ２１０の処理を行った後、本フローチャートの処理を終了する。又は、制御部２０はＳ１１０の処理を行った後、再度Ｓ２００の処理を実行すべくループ処理を行うものであってもよい。

　外部認証装置５は正規の装置でなく、不正な装置が外部認証装置５に成りすまして車両Ｃに接続され、車載ＥＵＣが交換等される場合が想定される。更に当該不正な装置が車載通信装置２（制御部２０）と正常に通信するように装った場合であっても、車載通信装置２（制御部２０）は、外部サーバ１００から取得した構成情報に基づき、外部認証装置５に成りすました不正な装置を検知することができる。そして、車載通信装置２の制御部２０は、外部認証装置５に成りすました不正な装置が車両Ｃに接続された状態において実施された車載ＥＣＵ３の交換等は、不当に行われたものであると判定することができる。

（実施形態３）
　図８は、実施形態３に係る車載通信装置による判定の一態様を例示する説明図である。図８において、車載ＥＣＵ３が交換等された場合、当該交換の適否に関する判定に関し、車載通信装置２が行う処理について、外部サーバ１００及び外部認証装置５等の処理を含むシーケンス図を用いて説明する。外部サーバ１００、車載通信装置２、車載ＥＣＵ３夫々及び外部認証装置５は、実施形態１と同様にＳ１からＳ１３までの処理を行う。

　外部サーバ１００は、実施形態１と同様にＳ１３の処理を行い、当該処理（外部認証装置５から送信された構成情報の受信及び記憶）が正常に完了した場合、外部認証装置５から送信された構成情報を正常に受信（取得）した旨の通知を、外部認証装置５に送信（出力）する（Ｓ１３１）。

　外部認証装置５は、外部サーバ１００から送信された構成情報を正常に受信した旨の通知を受信した場合、外部サーバ１００への構成情報の送信が正常に完了した旨（送信完了通知）を、車載通信装置２に送信（出力）する（Ｓ１３２）。

　車載通信装置２は、外部認証装置５から当該送信完了通知を受信（取得）した場合、実施形態１と同様に車外通信装置１を介して外部サーバ１００と通信し、外部サーバ１００から自車の構成情報を取得する（Ｓ１４）。外部サーバ１００、車載通信装置２、車載ＥＣＵ３夫々及び外部認証装置５は、実施形態１と同様にＳ１５からＳ１８までの処理を行う。

　図９及び図１０は、実施形態３に係る車載通信装置の制御部の処理を例示するフローチャートである。車載通信装置２の制御部２０は、実施形態１又は２と同様に、車両Ｃが停止状態（ＩＧスイッチ６がオフ）において、定常的に以下の処理を行う。車載通信装置２の制御部２０は、実施形態２のＳ２００からＳ２０４の処理と同様に、Ｓ３００からＳ３０４の処理を行い、今回取得した構成情報と、前回取得した構成情報との同異を比較し、車載ＥＣＵ３の交換等の有無を判定する（Ｓ３０３）。

　車載通信装置２の制御部２０は、実施形態２のＳ２０５からＳ２０７の処理と同様に、Ｓ３０５からＳ３０７の処理を行い、車載ＥＣＵ３の交換等がされた場合、外部認証装置５との通信が正常に行われたか否かを判定する（Ｓ３０７）。外部認証装置５との通信が正常に行われなかった場合（Ｓ３０７：ＮＯ）、車載通信装置２の制御部２０は、実施形態１と同様に車載ＥＣＵ３の交換等は不正に行われたと判定する（Ｓ３０９）。

　外部認証装置５との通信が正常に行われた場合（Ｓ３０７：ＹＥＳ）、車載通信装置２の制御部２０は、外部認証装置５から、構成情報の送信完了の旨（送信完了通知）が送信されたか否かを判定する（Ｓ３０７１）。

　構成情報の送信完了の旨（送信完了通知）が送信されていない場合（Ｓ３０７１：ＮＯ）、すなわち制御部２０が送信完了通知を受信（取得）していない場合、制御部２０は、再度Ｓ３０７１の処理を実行すべくループ処理を行う。すなわち、制御部２０は、外部認証装置５から構成情報の送信完了の旨（送信完了通知）を受信するまで待機処理を行う。

　構成情報の送信完了の旨（送信完了通知）が送信された場合（Ｓ３０７１：ＹＥＳ）、すなわち制御部２０が送信完了通知を受信（取得）した場合、制御部２０は、実施形態１のＳ２０８の処理と同様に、外部サーバ１００から構成情報を取得する（Ｓ３０８）。

　車載通信装置２の制御部２０は、実施形態２のＳ２０８１からＳ２０８３、及びＳ２１０の処理と同様に、Ｓ３０８１からＳ３０８３、及びＳ３１０の処理を行う。

　外部サーバ１００は、構成情報を記憶部１０１に記憶することにより、当該構成情報を保存及び管理するサーバであり、所謂データベースサーバ（ＤＢサーバ）としての機能を有する。本実施形態における一連の処理において、ＤＢサーバとして機能する外部サーバ１００は、車載通信装置２及び外部認証装置５による異なる装置からのアクセスを受けるものとなる。これに対し、車載通信装置２は、外部認証装置５から外部サーバ１００への構成情報の送信が完了した旨（送信完了通知）を、当該外部認証装置５から受信（取得）した場合、外部サーバ１００から構成情報を取得するものとしている。従って、外部サーバ１００に記憶されている構成情報が更新される前、すなわち外部認証装置５からの構成情報の送信が完了する前に、車載通信装置２が、外部サーバ１００から古い構成情報を取得することを防止することができる。

　今回開示された実施形態はすべての点で例示であって、制限的なものではないと考えられるべきである。本発明の範囲は、上記した意味ではなく、請求の範囲によって示され、請求の範囲と均等の意味及び範囲内でのすべての変更が含まれることが意図される。

　Ｃ　車両
　Ｎ　車外ネットワーク
　１００　外部サーバ（ＯＴＡサーバ）
　１０１　記憶部
　１　車外通信装置
　１１　車外通信部
　１２　入出力Ｉ／Ｆ
　１３　アンテナ
　２　車載通信装置（中継装置、ゲートウェイ）
　２０　制御部
　２１　記憶部
　２１１　記録媒体
　２２　入出力Ｉ／Ｆ
　２３　車内通信部
　３　車載ＥＣＵ
　３０　制御部
　３１　記憶部
　３２　車内通信部
　４　車内ＬＡＮ
　４１　通信線
　５　外部認証装置
　６　ＩＧスイッチ
　７　表示装置（ＨＭＩ装置）

Claims

　車両に搭載された車載ＥＣＵと通信可能に接続され、前記車載ＥＣＵ夫々から送信される構成情報を取得する車載通信装置であって、
　制御部を備え、
　前記制御部は、
　前記車載ＥＣＵの交換又は追加を行う際に前記車両外から接続される外部認証装置との通信を制御するものであり、
　前回取得した構成情報が今回取得した構成情報と異なる場合、前記外部認証装置との通信を試み、
　前記外部認証装置との通信が正常に行われなかった場合、前記車載ＥＣＵは不正に交換又は追加されたと判定する
　車載通信装置。
　前記制御部は、前記車両の起動時に前記車載ＥＣＵ夫々から構成情報を取得する
　請求項１に記載の車載通信装置。
　前記制御部は、前記車載ＥＣＵは不正に交換又は追加されたと判定した場合、前記前回取得した構成情報と前記今回取得した構成情報との差分に基づき、不正に交換又は追加された車載ＥＣＵを特定する
　請求項１又は請求項２に記載の車載通信装置。
　前記制御部は、前記車載ＥＣＵは不正に交換又は追加されたと判定した場合、前記判定に関する情報を前記車両に設けられている表示装置に送信する
　請求項１から請求項３のいずれか１項に記載の車載通信装置。
　前記制御部は、前記今回取得した構成情報を前記外部認証装置に出力し、
　前記外部認証装置に出力された構成情報は、前記外部認証装置により車外の外部サーバに送信される
　請求項１から請求項４のいずれか１項に記載の車載通信装置。
　前記制御部は、
　前記外部認証装置との通信が正常に行われた場合、前記外部認証装置から前記外部サーバに送信された構成情報を、前記制御部と通信可能に接続された車外通信装置を介して前記外部サーバから取得し、
　前記外部サーバから取得した構成情報が、前記今回取得した構成情報と異なる場合、前記外部認証装置は、不正であると判定する
　請求項５に記載の車載通信装置。
　前記制御部は、前記外部認証装置から前記外部サーバへの構成情報の送信が完了した旨を、該外部認証装置から取得した場合、前記外部認証装置から前記外部サーバに送信された構成情報を、前記制御部と通信可能に接続された車外通信装置を介して前記外部サーバから取得する
　請求項６に記載の車載通信装置。
　コンピュータに、
　車両に搭載された車載ＥＣＵ夫々から送信される構成情報を取得し、
　前回取得した構成情報が今回取得した構成情報と異なる場合、前記車載ＥＣＵの交換又は追加を行う際に前記車両外から接続される外部認証装置との通信を試み、
　前記外部認証装置との通信が正常に行われなかった場合、前記車載ＥＣＵは不正に交換又は追加されたと判定する
　処理を実行させるプログラム。
　車両に搭載された車載ＥＣＵ夫々から送信される構成情報を取得し、
　前回取得した構成情報が今回取得した構成情報と異なる場合、前記車載ＥＣＵの交換又は追加を行う際に前記車両外から接続される外部認証装置との通信を試み、
　前記外部認証装置との通信が正常に行われなかった場合、前記車載ＥＣＵは不正に交換又は追加されたと判定する
　処理を実行させる通信方法。