WO2021024792A1

WO2021024792A1 - 車両制御装置、更新プログラム、プログラム更新システム、及び書込み装置

Info

Publication number: WO2021024792A1
Application number: PCT/JP2020/028222
Authority: WO
Inventors: 中原　章晴; 雄介阿部; 佑介小暮
Original assignee: 日立オートモティブシステムズ株式会社
Priority date: 2019-08-05
Filing date: 2020-07-21
Publication date: 2021-02-11
Also published as: JP7224472B2; US12086582B2; US20220276851A1; JPWO2021024792A1; CN113939802A

Abstract

車両制御装置の制御プログラムの更新に係る使い勝手を向上する。書込み装置から提供される更新内容に基づいて、格納している制御プログラムを更新可能な車両制御装置であって、前記制御プログラムは、制御コードと、前記制御コードの実行時に参照される制御用データとを含み、前記車両制御装置は、前記制御コードと前記制御用データとの両方を各々格納する第１のメモリ領域と第２のメモリ領域を切り替えて使用可能な不揮発メモリと、前記書込み装置からの更新要求が、前記制御コードと前記制御用データとの両方の更新が必要か、又は前記制御用データのみの更新かを判定する更新要求判定部とを備え、前記更新要求判定部は、前記制御用データのみの更新であると判定した場合、現在アクティブな制御プログラムが格納されるいずれかのメモリ領域に受信した制御用データを書き込む。

Description

車両制御装置、更新プログラム、プログラム更新システム、及び書込み装置

　本発明は、車両制御装置に関する。

　車両制御装置は、演算装置（例えばマイクロコンピュータ）と、制御プログラムを格納するＦｌａｓｈ　ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）などの記憶装置を有する。従来は、車両を販売店に持ち込み、専門の整備員がプログラム書込み装置を車両に接続して、制御プログラムを更新することが多かった。しかし、クルマがインターネットに常時接続する、いわゆる「コネクティッド・ビークル」の普及により、カーナビゲーションシステムにおける機能追加や地図データの更新にとどまらず、車両の制御プログラムも、無線を介して更新することが想定されている。

　一方、プログラムの書込み処理中に何らかの要因（通信の途絶、ハードウェア異常発生など）で更新が失敗した場合、新バージョン及び旧バージョンのソフトウェアが使用不能又は機能不全となり、最悪の場合、車両が動作しいことが想定される。

　本技術分野の背景技術として、以下の先行技術がある。特許文献１（特開２００６－３０１９６０号公報）には、自動車上に搭載される電子機器の制御処理を司る制御用ソフトウェアを格納するとともに、記憶内容が電気的に書換え可能であって、外部からのリセット信号を受けても当該記憶内容を保持する不揮発性メモリと、該制御用ソフトウェアの実行メモリとなるＲＡＭと、前記制御用ソフトウェアの実行に基づいて前記電子機器の制御処理を行なうＣＰＵとを備え、前記不揮発性メモリは、前記制御用ソフトウェアの現在使用中のバージョンプログラムである現行バージョンプログラムを格納するための主格納エリアと、前記現行バージョンプログラムからの更新点を含む更新バージョンプログラムを格納するための副格納エリアとを有し、さらに、外部から取得した前記更新バージョンプログラムを前記副格納エリアに格納するプログラム格納処理と、前記更新バージョンプログラムの前記副格納エリアへの書き込みに成功した場合は、現在主格納エリアとして使用されているメモリ領域に代え、前記更新バージョンプログラムの格納が完了した前記副格納エリアを、新たな主格納エリアとして切り替える一方、前記副格納エリアへの書き込みに失敗した場合は当該切替えを行わないメモリ切替え処理とを含むプログラム書換え処理とを実行するプログラム書換え手段を有してなることを特徴とする自動車用制御ユニットが記載されている。

特開２００６－３０１９６０号公報

　前述した特許文献１に記載された自動車用制御ユニットは、制御プログラムの現行バージョンを格納する主格納エリアと、更新バージョンを格納する副格納エリアとをＦｌａｓｈ　ＲＯＭに設け、プログラム更新の際、そのエリアを交互に使用することにより、万一更新バージョンプログラムの書き込みに失敗しても、旧バージョンは引き続き使用可能としている（２面ＲＯＭ更新）。

　また、一般的に、車両制御装置の制御プログラムには、処理を実行する制御コード（制御プログラムの命令コードそのもの）と制御時に参照されるデータマップや特性データなどの制御に使われる各種データ（以降、制御用データと呼ぶ）があり、いずれのデータも書換え可能な不揮発記憶装置内に格納することが多い。

　このような構成における制御プログラムの更新では、制御コードは同じ状態（同じバージョン）で、制御コードの実行時に参照される制御用データの一部を変更する要求がある。これは、必要の無い更新を省いて、制御プログラムの更新時間を短縮したいからである。

　このような場合、従来、制御コードと制御用データとをＦｌａｓｈ　ＲＯＭの異なる物理ブロックに区別して配置して、制御用データをのみを指定して更新を行い、変更のない制御コードの更新は行わない方法が採用されることがある。

　しかし、特許文献１に記載された自動車用制御ユニットでは、主格納エリアと副格納エリアを交互に使って制御プログラムを更新するので、更新先の格納エリアには、現在動作している制御プログラムの１つ前の古いバージョンが格納されている。このため、前述したような制御用データのみを更新できず、制御コードと制御用データとをペアで更新する必要があり、結果、制御プログラムの更新時間が長くなり、使い勝手が悪くなる。

　本発明は、前述の課題に鑑みてなされたものであり、制御コードと制御用データとから構成される制御プログラムを不揮発メモリに複数格納する車両制御装置において、短時間でかつ安全に制御プログラムを更新する手段を提供することで、車両制御装置の制御プログラムの更新に係る使い勝手の向上を目的とする。

　本願において開示される発明の代表的な一例を示せば以下の通りである。すなわち、書込み装置から提供される更新内容に基づいて、格納している制御プログラムを更新可能な車両制御装置であって、前記制御プログラムは、制御コードと、前記制御コードの実行時に参照される制御用データとを含み、前記車両制御装置は、前記制御コードと前記制御用データとの両方を各々格納する第１のメモリ領域と第２のメモリ領域を切り替えて使用可能な不揮発メモリと、前記書込み装置からの更新要求が、前記制御コードと前記制御用データとの両方の更新が必要か、又は前記制御用データのみの更新かを判定する更新要求判定部とを備え、前記更新要求判定部は、前記制御用データのみの更新であると判定した場合、現在アクティブな制御プログラムが格納されるいずれかのメモリ領域に受信した制御用データを書き込むことを特徴とする。

　本発明によれば、短時間でかつ安全に制御プログラムを更新できる。前述した以外の課題、構成及び効果は、以下の実施例の説明によって明らかにされる。

実施例１に係るプログラム更新システムの構成図である。車両が有する車載ネットワークシステムの構成図である。車両制御装置の構成図である。Ｆｌａｓｈ　ＲＯＭの内部の構成を示す図である。更新パッケージをサーバからゲートウェイにダウンロードする手順を示すシーケンス例である。ゲートウェイがサーバから取得する更新パッケージの構成例を示す図である。車両制御装置が制御プログラムを更新する手順の例を示すシーケンス図である。制御コードの更新処理（Ｓ７０３）及び制御用データの更新処理（Ｓ７０４）の詳細なシーケンス図である。正当性検証処理（Ｓ７０５）の詳細なシーケンス図である。シーケンスである。車両制御装置からゲートウェイに送信されるメッセージ（Ｍ７０２）の構成例を示す図である。ゲートウェイから車両制御装置に送信される通信メッセージの構成例を示す図である。データ転送開始要求処理（Ｓ８０１）の詳細なフローチャートである。データ書込み処理（Ｓ８０２）の詳細なフローチャートである。制御コード書込み処理（Ｓ８０２０２）の詳細なフローチャートである。制御用データを書込み処理（Ｓ８０２１０）の詳細なフローチャートである。正当性検証処理（Ｓ８０３）の詳細なフローチャートである。実施例２に係るゲートウェイの構成図である。実施例２に係る車両制御装置が制御プログラムを更新する手順の例を示すシーケンス図である。更新要求判定処理（Ｓ７１０）の詳細なフローチャートである。

　＜実施例１＞
　以下に、本発明の一実施例に係るプログラム更新システムについて、各図を参照して説明する。

　図１は、本発明の実施例１に係るプログラム更新システムの構成図である。実施例１のプログラム更新システムは、車両１、サーバ２、インターネット回線３、及び無線基地局４を有する。車両１は、インターネット回線３及び無線基地局４等のネットワークを介し、無線通信によりサーバ２と接続し、相互に通信する。無線通信は、例えば、３Ｇ／ＬＴＥなどの公衆回線による携帯電話網やＷｉＦｉなどの回線を用いることができる。サーバ２は、車両１が有する車両制御装置１１の制御プログラムの更新に必要な更新パッケージ５を、車両１に配信する。車両１の車両制御装置１１は、その更新パッケージ５を用いて制御プログラムを書き換える。

　図２は、車両１が有する車載ネットワークシステムの構成図である。車両制御装置１１は、車両１の動作を制御する制御プログラムを実行する装置であり、車載ネットワーク１３（例えばＣＡＮ（Ｃｏｎｔｒｏｌｌｅｒ　Ａｒｅａ　Ｎｅｔｗｏｒｋ））を介してゲートウェイ１２（プログラム書込み装置）と接続されている。車両制御装置１１は、ゲートウェイ１２を介して他の車両制御装置１１と通信できる。

　また、ゲートウェイ１２は、車両制御装置１１に対して制御プログラムの更新を制御するプログラム書込み装置としての役割も有する。ゲートウェイ１２は、サーバ２から更新パッケージ５を受信し、車両制御装置１１に対して制御プログラムの更新命令（リプログラミング命令）及び更新用の制御プログラムそのものを送信する。ゲートウェイ１２とは別に、プログラム書込み装置を設けてもよい。

　ゲートウェイ１２は、演算部１２１、Ｆｌａｓｈ　ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）１２２、ＳＲＡＭ（Ｓｔａｔｉｃ　Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）１２３、及び、ＣＡＮトランシーバ及び無線通信モジュールを含む通信装置１２４を有する。演算部１２１は、ＦｌａｓｈＲＯＭ１２２に格納されたプログラムを実行することによって、車載ネットワーク１３上の車両制御装置１１やサーバ２との間で通信する。

　また、車両制御装置１１の制御プログラムの更新時に、ゲートウェイ１２は、サーバ２から更新パッケージ５を受信してＦｌａｓｈ　ＲＯＭ１２２に一時的に格納し、更新制御部１２２１が、この更新パッケージ５を用いて車両制御装置１１の制御プログラムを更新する。

　また、ＨＭＩ（Ｈｕｍａｎ－Ｍａｃｈｉｎｅ　Ｉｎｔｅｒｆａｃｅ）１４は、例えば、車両１のダッシュボート中央に埋め込まれた各種表示用の液晶ディスプレイ装置、その近傍に配置された操作スイッチ類及び車載スピーカなどで構成される。ＨＭＩ１４は、車両１の乗員に各種表示を行ったり、各種入力操作を処理したりする。また、ＨＭＩ１４は、車両制御装置１１の制御プログラムの更新に係る表示をし、操作入力を受け付ける。

　図３は、車両制御装置１１の構成図である。車両制御装置１１は、演算部１１１、Ｆｌａｓｈ　ＲＯＭ１１２、ＳＲＡＭ１１３、通信装置１１４（例えばＣＡＮトランシーバ）を有する。

　演算部１１１は、Ｆｌａｓｈ　ＲＯＭ１１２に格納されている制御プログラムを実行する、例えばマイクロコンピュータなどの演算装置である。以下では記載の便宜上、各プログラムを動作主体として説明する場合があるが、実際にこれらプログラムを実行するのは演算部１１１である。

　Ｆｌａｓｈ　ＲＯＭ１１２は、書き換え可能な不揮発メモリであって、更新処理部１１２２と、第１の記憶領域としての第１エリア１１２３と、第２の記憶領域としての第２エリア１１２４と、第３の記憶領域としての第３エリアとを有する。以下、その構成について図４を用いて説明する。

　図４は、Ｆｌａｓｈ　ＲＯＭ１１２の内部の構成を示す図である。Ｆｌａｓｈ　ＲＯＭ１１２は、複数の物理ブロックで構成され、制御プログラムそのものが格納される第１エリア１１２３と、第２エリア１１２４と、制御プログラムの更新の際、作業用エリアとして使われる第３エリアとを含む。ここで、ブロックとは、Ｆｌａｓｈ　ＲＯＭ１１２の消去及び書換えの単位である。また、制御プログラムは、実行用のプログラム本体である制御コードＤ１１及びＤ２１と、プログラムを制御する際に参照される制御用データＤ１２及びＤ２２とから構成される。

　更に、Ｆｌａｓｈ　ＲＯＭ１１２は、ゲートウェイ１２と通信を行い、制御プログラムの更新処理を行う更新処理部１１２２を格納する。図４に示す状態では、第１エリア１１２３に格納された制御プログラムが現在動作しており、制御コードＤ１１のバージョン情報は「１０１」であり、制御用データＤ１２のバージョン情報は「１１」である。第２エリア１１２４には一つ前のバージョンの制御プログラム（バージョン「１００」の制御コードＤ２１と、バージョン「０１」の制御用データＤ２２）が格納されている。また、バージョン情報は、制御コードや制御用データと同様に、車両制御装置１１の不揮発領域に格納される。また、現在動作している制御プログラムが格納されているエリアを「Ａｃｔｉｖｅ面」、動作していないエリアを「非Ａｃｔｉｖｅ面」と呼ぶ。図４に示す状態では、第１エリアが「Ａｃｔｉｖｅ面」、第２エリアが「非Ａｃｔｉｖｅ面」である。なお、「非Ａｃｔｉｖｅ面」はプログラム更新を行う際には、制御プログラムの更新対象エリアとなる。

　図５は、更新パッケージ５をサーバ２からゲートウェイ１２にダウンロードする手順を示すシーケンス例である。

　車両制御装置１１の制御プログラムの修正や機能追加が行われると、ソフト更新の準備として、更新パッケージ５がサーバ２へ登録される。

　車両のイグニッションをＯＮにしたタイミングなどで、ゲートウェイ１２は、現行の制御プログラムの部品番号の要求メッセージを、車両制御装置１１に送信する（Ｍ５０１）。車両制御装置１１は、その要求に対し、車両制御装置１１の部品番号と現行プログラムのバージョン情報を応答する（Ｍ５０２）。部品番号は、車両制御装置１１を一意に識別する番号である。現行プログラムのバージョン情報は、現在のＡｃｔｉｖｅ面の情報と、Ａｃｔｉｖｅ面に格納される制御コードと制御用データの両方のバージョンを含む。

　次に、ゲートウェイ１２は、更新パッケージ取得要求メッセージを、サーバ２に送信する（Ｍ５０３）。更新パッケージ取得要求メッセージＭ５０３には、車両制御装置１１の部品番号と現行の制御プログラムのバージョン情報が含まれる。サーバ２は、ステップＳ５０１で、更新データ取得要求メッセージの部品番号と現行プログラムバージョン情報に基づいて、登録されている更新パッケージ５の中から該当するパッケージを選択し、ターゲットの車両へ配信する（Ｍ５０４）。なお、配信する更新パッケージ５は、該更新パッケージ５を書き込む面（第１エリア、第２エリア）を指定する情報を含む。

　ゲートウェイ１２では、配信された更新パッケージ５を蓄積し（Ｓ５０２）、ダウンロードが完了する。全てのデータの蓄積が完了したら、サーバ２に対して完了メッセージを送信する（Ｍ５０５）。この後、ゲートウェイ１２は、受信した更新パッケージ５に基づいて、ソフト更新を実行する。更新パッケージ５の構成やメッセージの構成は後述する。

　図６は、ゲートウェイ１２がサーバ２から取得する更新パッケージ５の構成例を示す図である。更新パッケージ５は、制御コードファイル６１及び制御データファイル６２を含む。

　制御コードファイル６１は、開始アドレス６１１、転送サイズ６１２、バージョン情報６１３、紐付け情報６１４、及び制御コード６１５を含む。開始アドレス６１１は、制御プログラム更新で、制御データの書込み先の車両制御装置１１のＦｌａｓｈ　ＲＯＭ１１２の開始アドレスを示す情報である。また、転送サイズ６１２は、制御コードの容量（バイト数）の情報である。バージョン情報６１３は、添付される制御コード６１５のバージョン情報であり、紐付け情報６１４は、制御コード６１５と制御用データ６２５とを関連付ける情報であり、具体的には制御コード６１５と制御用データ６２５とのバージョン情報で記述される。紐付け情報６１４は、制御コード６１５と制御用データ６２５とが１対１で関連付けられるものや、両者が１対多や多対１で関連付けられる場合もある。

　例えば、あるバージョンの制御コードで使用できる制御用データのバージョン情報を格納することによって、誤ったペアでは制御用データを使えないようにできる。制御データファイル６２の構成は制御コードファイル６１と同じであるため、その説明は省略する。

　図７は、車両制御装置１１が制御プログラムを更新する手順の例を示すシーケンス図である。以下、図７～図９を使い、実施例１における更新シーケンスについて説明する。

　配信された更新パッケージ５の蓄積（Ｓ５０２）が完了すると、制御プログラムの更新が開始する。具体的には、ゲートウェイ１２は、更新制御部１２２１を起動し、車両制御装置１１に対して現行の制御プログラムの情報を要求する（Ｍ７０１）。車両制御装置１１は、ステップＳ７０１で、現行の制御プログラムの情報取得処理を実行し、結果を応答する（Ｍ７０２）。ステップＳ７０１で取得される情報は、たとえば、ＥＣＵ　ＩＤや現行制御プログラムの制御コードのバージョン情報、制御用データのバージョン情報等である。

　ゲートウェイ１２は、ステップＳ７０２で受信した情報応答（Ｍ７０２）に誤りが無いか判定し、誤りが無ければ、車両制御装置１１を通常モードからリプログラミングモードに遷移させ、制御プログラムの更新処理を開始する。

　例えば、ここで、ゲートウェイ１２は、ＨＭＩ１４と連携し、車両制御装置１１から受信したＥＣＵ　ＩＤや制御プログラムのバージョン情報、又は、ゲートウェイ１２が保持する更新版の制御プログラムのバージョン情報をＨＭＩ１４に表示要求したり、制御プログラムの更新処理の開始判断をユーザに確認してもよい。

　プログラム更新処理は、制御コードの更新処理（Ｓ７０３）、制御用データの更新処理（Ｓ７０４）、正当性検証処理（Ｓ７０５）の順に処理を実行する。それぞれの処理の詳細なシーケンスは、図８及び図９で説明する。ゲートウェイ１２は、正当性検証処理Ｓ７０５が完了したら、リプログラミングモードを終了して通常モードへ遷移し、車両制御装置１１へリセット要求（Ｍ７０３）を送信する。車両制御装置１１は、リセット要求に従って再起動することによって、更新版の制御プログラムが適用される。

　次に、図８を使って、制御コードの更新処理（Ｓ７０３）及び制御用データの更新処理（Ｓ７０４）の詳細なシーケンスを説明する。ステップＳ７０３及びステップＳ７０４は同じシーケンスにて更新処理を実行することから、ここでは、制御コードの更新処理を例として説明する。

　ゲートウェイ１２の更新制御部１２２１は、車両制御装置１１に制御コードのデータ転送開始要求（Ｍ８０１）を送信する。データ転送開始要求は、制御コードの書込み先を示す書込み先アドレスや、送信予定のデータサイズの情報を含む。車両制御装置１１の更新処理部１１２２は、ステップＳ８０１で、データ転送開始要求処理を実行する。ここで、更新処理部１１２２は、受信したデータに基づいて、ゲートウェイ１２から送信しようとする更新データが制御コードか制御用データかを判定する。そして、ゲートウェイ１２に受諾応答（Ｍ８０２）を送信する。この受諾応答は、車両制御装置１１が一度に受信可能なデータサイズ等の情報を含む。

　次に、ゲートウェイ１２の更新制御部１２２１は、Ｓ５０２でサーバ２からダウンロードし蓄積された制御コードのデータを車両制御装置１１が一度に受信可能なデータサイズに分割し、データ転送メッセージ（Ｍ８０３）として車両制御装置１１に送信する。車両制御装置１１の更新処理部１１２２は、データ転送メッセージ（Ｍ８０３）を受信すると、ステップＳ８０２でデータ書込み処理を実行する。データ書込み処理（Ｓ８０２）は、最初に更新要求判定機能１１２２１にて、制御コードを更新するかを判定し、その判定結果に基づいて処理を行う。本判定処理の詳細は後述する。ゲートウェイ１２と車両制御装置１１は、更新データの転送がすべて完了するまでデータ書込み処理（Ｓ８０２）を実行する。更新データの転送がすべて完了したら、車両制御装置１１は、ゲートウェイ１２に完了応答（Ｍ８０４）を送信する。

　その後、ゲートウェイ１２は、車両制御装置１１へデータ転送完了要求（Ｍ８０５）を通知する。車両制御装置１１は、ゲートウェイ１２に受諾応答（Ｍ８０６）を送信する。以上で、制御コードの更新処理（Ｓ７０３）が完了する。

　制御コードの更新処理（Ｓ７０３）が完了したら、続いてステップＳ７０４で、制御用データの更新処理を実施する。制御用データの更新処理のシーケンス手順は、前述の制御コードの更新処理（Ｓ７０３）と同じシーケンスを使う。処理の詳細は、制御コードの更新処理とまとめて後述する。

　図９を使って、正当性検証処理（Ｓ７０５）の詳細シーケンスを説明する。

　ゲートウェイ１２は、車両制御装置１１に対して、書き込んだデータの正当性をチェックするように正当性検証要求メッセージ（Ｍ８１１）を送信する。車両制御装置１１の更新処理部１１２２は、正当性検証要求メッセージ（Ｍ８１１）を受信すると、ステップＳ８０３で、データ書込み処理（Ｓ８０２）で書き込んだ制御プログラムの正当性を検証する（Ｓ８０３）。この検証処理は、データ書込み処理（Ｓ８０２）で更新したエリアに基づいて、更新先エリアに書き込まれた更新版の制御プログラムのデータに誤りがないかを検証する。本検証処理の詳細は、後述する。車両制御装置１１は検証結果をゲートウェイ１２へ応答する（Ｍ８１２）。検証手段は、チェックサム、ＣＲＣ（Ｃｙｃｌｉｃ　Ｒｅｄｕｎｄａｎｃｙ　Ｃｈｅｃｋ）、ハッシュ値などを用いた誤り検出や誤り訂正によって実施できる。

　図１０は、前記制御プログラムの更新シーケンス（図７）において、車両制御装置１１が、ゲートウェイ１２からの現行プログラム情報要求メッセージ（Ｍ７０１）を受信した際に応答するメッセージ（Ｍ７０２）の構成例を示す図である。応答メッセージＭ７０２は、コマンドＭ７０２１、車両制御装置１１のＥＣＵ　ＩＤＭ７０２２、制御コードのバージョン情報Ｍ７０２３、及び制御用データのバージョン情報Ｍ７０２４を含む。

　図１１は、前記制御コード及び制御用データの更新処理（図８）及び正当性検証処理（図９）において、ゲートウェイ１２から車両制御装置１１に送信される通信メッセージの構成例を示す図である。

　データ転送開始要求（Ｍ８０１）は、コマンドＭ８０１１、更新データ種別フラグＭ８０１２、書込み先アドレスＭ８０１３、送信データサイズＭ８０１４を含む。

　データ転送（Ｍ８０３）は、更新データＭ８０３２を車両制御装置１１へ転送するメッセージであり、付属する更新データＭ８０３２は、更新データのバージョン情報Ｍ８０３２１、紐付け情報Ｍ８０３２２及び、更新データそのものである制御コード又は制御用データＭ８０３２３を含む。紐付け情報は、制御コードと制御用データとを関連付ける情報である。

　データ転送完了要求（Ｍ８０５）は、更新データの転送終了を示す命令である。

　正当性検証要求（Ｍ８１１）は、更新先のエリアに書き込まれた更新版の制御プログラムのデータに誤りがないかの検証を要求する命令である。

　以上のような更新シーケンスにて、実施例１の制御プログラムが更新される。次に、図１２～図１５を用いて、制御プログラムの更新処理において車両制御装置１１が実行する処理を説明する。

　図１２は、データ転送開始要求処理（Ｓ８０１）の詳細なフローチャートである。以下、図１２の各ステップについて説明する。

　（図１２：ステップＳ８０１）
　車両制御装置１１の演算部１１１は、ゲートウェイ１２からデータ転送開始要求Ｍ８０１を受信すると、図１２に示す処理を開始する。

　（図１２：ステップＳ８０１０１）
　演算部１１１は、受信したデータ転送開始要求Ｍ８０１に含まれる書込み先アドレスＭ８０１３に基づいて、ゲートウェイ１２から送信された更新データが制御コードか制御用データかを判定し、判定結果を更新データ種別として保持する。ここで、書き込み先アドレスに基づいて更新データ種別を判定するが、別の手段として、本データをゲートウェイ１２から更新データ種別フラグを取得してもよい。なお、データ転送開始要求Ｍ８０１の更新データ種別フラグＭ８０１２を使用して、更新データが制御コードか制御用データかを判定してもよい。

　（図１２：ステップＳ８０１０２）
　次に、演算部１１１は、ゲートウェイ１２へ許諾応答を送信し、処理を終了する。

　図１３は、データ書込み処理（Ｓ８０２）の詳細なフローチャートである。以下、図１３の各ステップについて説明する。

　（図１３：ステップＳ８０２）
　車両制御装置１１の演算部１１１は、ゲートウェイ１２からデータ転送要求Ｍ８０３を受信すると、　図１３に示す処理を開始する。

　（図１３：ステップＳ８０２０１～Ｓ８０２０２、Ｓ８０２１０）
　演算部１１１は、Ｓ８０１０１で求めた更新データ種別が制御コードか判定する（Ｓ８０２０１）。更新データ種別が制御コードである場合は、ステップＳ８０２０２で制御コードを書き込む。一方、更新データ種別が制御用データである場合は、ステップＳ８０２１０で制御用データを書き込む。

　図１４は、制御コード書込み処理（Ｓ８０２０２）の詳細なフローチャートである。本処理は、制御コードのデータ転送要求Ｍ８０３をゲートウェイ１２から受信した際に実行される。以下、図１４の各ステップについて説明する。

　（図１４：ステップＳ８０２０２１）
　ステップＳ８０２０２の制御コードの書込み処理では、最初に、演算部１１１は、ステップＳ８０２０２１で受信した更新データＭ８０３２に含まれる制御コードのバージョン情報Ｍ８０３２１を抽出する。

　（図１４：ステップＳ８０２０２２～Ｓ８０２０２４）
　次に、演算部１１１は、ステップＳ８０２０２２で、上で抽出した更新版の制御コードのバージョンと現行の制御コードのバージョンが同じかを比較する。比較の結果、更新版の制御コードのバージョンと現行の制御コードのバージョンが同じである場合は、制御コードのそれ以降のデータ受信をスキップし、以後のデータを更新しない（Ｓ８０２０２３）。更に、制御コードの更新処理をスキップする内容のメッセージをゲートウェイ１２へ通知する（Ｓ８０２０２４）。

　（図１４：ステップＳ８０２０２５）
　ステップＳ８０２０２２の比較の結果、更新版の制御コードのバージョンと現行の制御コードのバージョンが異なる場合は、制御コードのデータ受信を継続し、データ転送開始要求Ｍ８０１に含まれる書込み先のアドレス（Ｍ８０１３）から、データサイズ（Ｍ８０１４）分、Ｆｌａｓｈ　ＲＯＭ１１２へのデータ書き込みを繰り返し実行する（Ｓ８０２０２５）。

　本処理によって、車両制御装置１１は、更新データが現在Ａｃｔｉｖｅな制御プログラムの制御コードと同じバージョンである場合は、制御コードの更新処理を行わなくて済む。

　図１５は、制御用データを書込み処理（Ｓ８０２１０）の詳細なフローチャートである。本処理は、制御用データのデータ転送要求Ｍ８０３をゲートウェイ１２から受信した際に実行される。以下図１５の各ステップについて説明する。

　（図１５：ステップＳ８０２１０１）
　ステップＳ８０２１０制御用データの書込み処理では、最初に、演算部１１１は、ステップＳ８０２１０１で、制御コードの更新処理ステップＳ７０３がスキップされたかを判定する。

　（図１５：ステップＳ８０２１０２～Ｓ８０２１０６）
　制御コードの更新処理がスキップされている場合は、ステップＳ８０２１０２で、ゲートウェイ１２から受信した更新データＭ８０３２に含まれる制御用データのバージョン情報Ｍ８０３２１と紐付け情報Ｍ８０３２２を抽出し、ステップＳ８０２１０３で、車両制御装置１１の現在Ａｃｔｉｖｅな制御プログラムと受信した制御用データとの紐付け関係が妥当かを判定する。前述した通り、紐付け情報は、制御コードと制御用データとを関連付ける情報である。ここでは、受信する制御用データを車両制御装置１１のＦｌａｓｈ　ＲＯＭ１１２のＡｃｔｉｖｅ面へ書き込むための前処理として、現在Ａｃｔｉｖｅ面に書き込まれている制御コードのバージョンと受信する制御用データのバージョンの関係が妥当であるかを判定する。バージョンの関係が妥当であると判定した場合は、ステップＳ８０２１０４で、受信した制御用データを第３のエリアへ書き込み、書き込みが完了した後に、ゲートウェイ１２へ完了応答を送信する（Ｓ８０２１０５）。ステップＳ８０２１０３で、バージョンの関係が妥当でないと判定した場合は、ゲートウェイ１２へエラーを応答する（Ｓ８０２１０６）。

　（図１５：ステップＳ８０２１０７）
　ステップＳ８０２１０１の判定で、制御コードの更新処理ステップＳ７０３が実行されている場合、車両制御装置１１の演算部１１１は、受信される制御用データをデータ転送開始要求Ｍ８０１に含まれる書込み先のアドレス（Ｍ８０１３）から、データサイズ（Ｍ８０１４）分、Ｆｌａｓｈ　ＲＯＭ１１２の非Ａｃｔｉｖｅ面へ書き込む。書込み処理は、更新データの転送がすべて完了するまで実行する。

　本処理によって、車両制御装置１１は、更新データが現在Ａｃｔｉｖｅな制御プログラムの制御コードと同じバージョンである場合は、一旦、制御用データを第３エリア１１２５に書き込み、バージョンが異なる場合は、非Ａｃｔｉｖｅ面へ書き込むことができる。

　図１６は、正当性検証処理（Ｓ８０３）の詳細なフローチャートである。以下図１６の各ステップについて説明する。

　（図１６：ステップＳ８０３）
　車両制御装置１１の演算部１１１は、ゲートウェイ１２から正当性検証要求Ｍ８１１を受信すると、　図１６に示す処理を開始する。

　（図１６：ステップＳ８０３０１）
　演算部１１１は、まず、ステップＳ８０３０１で、データ書込み処理Ｓ８０２において、更新制御プログラムの書込み先のエリアを判定する。

　（図１６：ステップＳ８０３０２～Ｓ８０３０３）
　第３エリア１１２５に制御用データを書き込んでいる場合は、ステップＳ８０３０２で、第３エリア１１２５へ書き込んだデータの正当性をチェックする。非Ａｃｔｉｖｅ面のエリアへ書き込んでいる場合は、ステップＳ８０３０３で、該当するエリア（第１エリア１１２３又は第２エリア１１２４）の制御コードと制御用データ両方の正当性をチェックする。

　（図１６：ステップＳ８０３０４～Ｓ８０３０６）
　第３エリアへ書き込んだデータの正当性チェック（Ｓ８０３０２）の結果が妥当である場合、演算部１１１は、ステップＳ８０３０４で、第３エリア１１２５に格納される制御用データをＦｌａｓｈ　ＲＯＭ１１２のＡｃｔｉｖｅ面の制御用データ格納領域へコピーする。そして、コピーが完了したら、ゲートウェイ１２へ完了応答を送信する（Ｓ８０３０５）。一方、第３エリアへ書き込んだデータの正当性チェック（Ｓ８０３０２）が異常である場合は、ゲートウェイ１２へ異常応答を送信する（Ｓ８０３０６）。

　（図１６：ステップＳ８０３０７）
　非Ａｃｔｉｖｅ面に格納された更新データの正当性チェック（Ｓ８０３０３）が妥当である場合は、ゲートウェイ１２へ完了応答を送信し（Ｓ８０３０５）、異常である場合は、ゲートウェイ１２へ異常応答を送信する（Ｓ８０３０６）。

　なお、ステップＳ８０３０４の処理を実行するタイミングは、必ずしも前述でなくてもよく、データの正当性が確認されれば、たとえば、イグニッションＯＦＦのタイミング、車両が停止している状態、又は車両制御装置１１が動作していないタイミング等の安全な状況で実行してもよい。

　＜実施例１：まとめ＞
　以上に説明したように、実施例１に係る車両制御装置１１は、Ｆｌａｓｈ　ＲＯＭ１１２内に第１エリア１１２３と第２エリア１１２４を持ち、制御プログラムの更新を交互に行う２面ＲＯＭ構成のプログラム更新方式において、更新版の制御プログラムの制御コードが、車両制御装置１１のＡｃｔｉｖｅ面に格納されている制御プログラムと同じバージョンであれば、Ａｃｔｉｖｅ面のエリアへ制御用データのみを更新する（制御コードは更新しない）ことができる。これにより、制御プログラムの更新時間を短縮できる。また、制御用データのみの更新時に、制御用データを直接上書きすることなく、ゲートウェイ１２から受信するデータを第３エリア１１２５に書き込んだ後、受信したデータの内容の正当性を確認した後に、Ａｃｔｉｖｅ面の記憶領域へ格納することで、安全に制御用データを更新できる。

　＜実施例２＞
　実施例１において、車両制御装置１１が更新要求判定機能１１２２１を有し、ゲートウェイ１２からデータを受信して制御用データのみを更新する手段について述べた。しかし、ゲートウェイ１２が更新要求判定機能を有すれば、制御コードの更新が必要ない場合には、要求そのものを送信しなくてもよい。以下に実施例２の手段の一例を説明する。

　図１７は、本発明の実施例２に係るゲートウェイ１２の構成図である。

　実施例２においては、Ｆｌａｓｈ　ＲＯＭ１１２の更新制御部１２２１に、更新要求判定機能１２２１１を有する。実施例２では、ゲートウェイ１２が、更新要求判定機能１２２１１を用いて、車両制御装置１１の制御用データのみを更新するか、それとも、制御コードと制御用データの両方を更新するかを判定する。それ以外は、実施例１の車両制御装置１１の構成図と同じなので、それらの説明は省略する。

　図１８は、本発明の実施例２に係る車両制御装置が制御プログラムを更新する手順の例を示すシーケンス図である。実施例２においては、ゲートウェイ１２の更新要求判定機能１２２１１が、ステップＳ７１０で、車両制御装置１１の制御用データのみを更新するか、それとも、制御コードと制御用データの両方を更新するかを判定する。

　図１９は、更新要求判定処理（Ｓ７１０）の詳細なフローチャートである。以下、図１９の各ステップについて説明する。

　（図１９：ステップＳ７１０）
　ゲートウェイ１２の演算部１２１は、リプログラミングモードが開始され、更新データを送信する前に図１９に示す処理を実行する。

　（図１９：ステップＳ７１００１）
　最初に、ゲートウェイ１２の演算部１２１は、ステップＳ７１００１で、車両制御装置１１より受信した応答メッセージＭ７０２より現行の制御プログラムの制御コードのバージョン情報Ｍ７０２３と制御用データのバージョン情報Ｍ７０２４を抽出する。

　（図１９：ステップＳ７１００２）
　次に、演算部１２１は、ステップＳ７１００２で、サーバ２より受信した更新パッケージ５より、更新版の制御プログラムの制御コードのバージョン情報６１３と制御用データのバージョン情報６２３を抽出する。

　（図１９：ステップＳ７１００３、Ｓ７１００７）
　演算部１２１は、ステップＳ７１００３で、更新版の制御コードのバージョンと現行版の制御コードのバージョンが同じかを判定する。両者の制御コードのバージョンが異なる場合は、ステップＳ７１００７で、制御コードと制御用データの両方を更新する。

　（図１９：ステップＳ７１００４～Ｓ７１００６）
　一方、ステップＳ７１００３で、両者の制御コードのバージョンが同じだと判定された場合、更に、ステップＳ７１００４で、更新版の制御用データのバージョンと現行版の制御用データのバージョンが同じかを判定する。更新版と現行版の制御コードのバージョンが同じである場合は、制御コードも制御用データもバージョンが同じなので、どちらの更新処理を実施しない（Ｓ７１００５）。更新版と現行版の制御用データのバージョンが異なる場合は、制御コードのバージョンが同じなので、制御コードの更新処理はスキップし、制御用データの更新処理のみ実行する（Ｓ７１００６）。

　＜実施例２：まとめ＞
　以上に説明したように、本実施例２に係るゲートウェイ１２は、更新版の制御プログラムの制御コードが、車両制御装置１１のＡｃｔｉｖｅ面に格納される制御プログラムの制御コードと同じバージョンであれば、制御コードの更新処理（Ｓ７０３）をスキップし、制御用データの更新処理のみを実施するよう制御する。これにより、車両制御装置側で、制御コードの更新要否を判定する処理（図１４のＳ８０２０２２－Ｓ８０２０２３）が不要になり、車両制御装置での付加を軽減しつつ、更新時間を短縮できる。

　＜本発明の変形例について＞
　本発明は前述した実施例に限定されるものではなく、添付した特許請求の範囲の趣旨内における様々な変形例及び同等の構成が含まれる。例えば、前述した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を有するものに本発明は限定されない。また、ある実施例の構成の一部を他の実施例の構成に置き換えてもよい。また、ある実施例の構成に他の実施例の構成を加えてもよい。また、各実施例の構成の一部について、他の構成の追加・削除・置換をしてもよい。

　実施例１及び２においては、制御プログラムを格納するエリアとしてＦｌａｓｈ　ＲＯＭ１１２を例示したが、その他の不揮発記憶装置を用いてもよい。

　実施例１及び２においては、Ｆｌａｓｈ　ＲＯＭ１１２が第１エリア１１２３と第２エリア１１２４に分かれている構成例を説明したが、第１エリア１１２３と第２エリア１１２４を二つの記憶装置によって実現してもよい。また、記憶領域（又は記憶装置）を三つ以上設け、実施例１と同様の構成を実現してもよい。この場合、例えば各記憶領域（又は記憶装置）に順番に制御プログラムを格納することになる。

　更新シーケンスにおいては、制御プログラムの最新版を書き込むのが通常であるが、諸事情によってはダウンバージョンした制御プログラムで更新する可能性もある。この場合、制御プログラムの更新版とはそのダウンバージョンした制御プログラムである。すなわち制御プログラムの更新版とは、直前の更新シーケンスによって書き込まれた制御プログラムである。

　また、前述した各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等により、ハードウェアで実現してもよく、プロセッサがそれぞれの機能を実現するプログラムを解釈し実行することにより、ソフトウェアで実現してもよい。また構成上同一の機能が複数存在する場合、各機能を実現するハードウェア或いはソフトウェアは別個に実装されていても良いし、実装された一つのハードウェア或いはソフトウェアを時間多重で使用して複数の処理を行っても良い。また構成上単一の機能であっても、同一の機能を持つ複数のハードウェア或いはソフトウェアを用いて分散処理を行っても良い。

　各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリ、ハードディスク、ＳＳＤ（Solid State Drive）等の記憶装置、又は、ＩＣカード、ＳＤカード、ＤＶＤ等の記録媒体に格納することができる。

　また、制御線や情報線は説明上必要と考えられるものを示しており、実装上必要な全ての制御線や情報線を示しているとは限らない。実際には、ほとんど全ての構成が相互に接続されていると考えてよい。

　以上に説明したように、本実施例の車両制御装置は、制御コード６１５と制御用データ６２５との両方を各々格納する複数のブロックを有する第１のメモリ領域（第１エリア１１２３）と第２のメモリ領域（第２エリア１１２４）を切り替えて使用可能な不揮発メモリ（Ｆｌａｓｈ　ＲＯＭ１１２）と、書込み装置（ゲートウェイ１２）からの更新要求が、制御コード６１５と制御用データ６２５との両方の更新が必要か、又は制御用データ６２５のみの更新かを判定する更新要求判定部（更新要求判定機能１１２２１）とを備え、更新要求判定部１１２２１は、制御用データ６２５のみの更新であると判定した場合、受信した制御用データ６２５を現在アクティブな制御プログラムが格納される前記不揮発メモリの指定の領域（アクティブ面）に書き込むので、必要に応じて制御用データのみを更新でき、制御プログラムの更新時間を短くできる。

　また、不揮発メモリ１１２は、制御用データ６２５を一時的に記憶する第３のメモリ領域（第３エリア１１２５）を含み、更新要求判定部１１２２１は、制御用データ６２５のみの更新と判定した場合、受信した制御用データを第３のメモリ領域１１２５に書き込み、制御用データ６２５が第３のメモリ領域１１２５に正常に書込まれたことを確認した後に、第３のメモリ領域１１２５から現在アクティブな制御プログラムが格納される不揮発メモリ１１２の指定の領域（アクティブ面）へ制御用データを書き込むので、動作中の制御用データを直接上書きすることなく、制御用データを安全に更新できる。

　また、制御コード６１５及び制御用データ６２５の各々はバージョン情報を有し、更新要求判定部１１２２１は、車両制御装置１１から受信した制御コード６１５のバージョン情報と更新版の制御コード６１５のバージョン情報とを比較して、更新する対象を判定するので、制御コード６１５と制御用データ６２５とで別体系のバージョン情報を設定したので、制御用データのみの更新が可能となり、制御プログラムの更新時間を短くできる。

　また、更新要求判定部１１２２１は、現在アクティブな制御コード６１５のバージョン情報と更新版の制御コード６１５のバージョン情報とを比較し、両者の制御コード６１５のバージョンが同じである場合、制御用データ６２５のみを更新し、両者の制御コード６１５のバージョンが異なる場合、制御コード６１５と制御用データ６２５との両方を更新するので、必要に応じて制御用データのみを更新でき、制御プログラムの更新時間を短くできる。

　また、車両制御装置１１は、制御用データ６２５のみを更新する場合、不揮発メモリ１１２に格納されている現在アクティブな制御プログラムに含まれる制御コード６１５と、更新する制御用データ６２５との関連付けを確認し、前記関連付けが正しい場合に更新する制御用データ６２５を不揮発メモリ１１２に書き込むので、制御用データの更新による誤動作を防止し、制御用データを安全に更新できる。

　また、制御用データ６２５を現在アクティブな制御プログラムが格納される前記不揮発メモリの指定の領域（アクティブ面）に格納するタイミングは、車両のイグニッションＯＦＦの検出、及び車両の停止中の少なくとも一つとしたので、安全な状態で制御用データを更新できる。

　また、少なくともユーザに対して情報を提示する入出力装置（ＨＭＩ１４）を備え、前記制御プログラムの更新時に、前記制御コードのバージョン情報及び前記制御用データのバージョン情報の少なくとも一方をユーザに提示するので、ユーザ指示をトリガとして制御プログラムを更新でき、誤った更新を抑制できる。

　また、本実施例の書込み装置（ゲートウェイ１２）は、車両制御装置１１から制御プログラムのバージョン情報を取得する手段と、制御プログラムの更新が、制御コード６１５と制御用データ６２５との両方の更新が必要か、又は制御用データ６２５のみの更新かを判定する更新要求判定部（更新要求判定機能１２２１１）とを備え、更新要求判定部１２２１１は、制御用データ６２５のみの更新であると判定した場合、受信した制御用データ６２５を現在アクティブな制御プログラムが格納される前記不揮発メモリの指定の領域（アクティブ面）に格納するので、車両制御装置の付加を軽減しつつ、制御プログラムの更新時間を短くできる。

１　車両、２　サーバ、３　インターネット回線、４　無線基地局、５　更新パッケージ、１１　車両制御装置、１１１　演算部、１１２　Ｆｌａｓｈ　ＲＯＭ、１１２２　更新処理部、１１２３　第１エリア、１１２４　第２エリア、１１２５　第３エリア、１２　ゲートウェイ（プログラム書込み装置）、１３　車載ネットワーク、１４　ＨＭＩ（Human Machine Interface）、Ｄ１１　現行プログラムの制御コード、Ｄ１２　現行プログラムの制御用データ

Claims

　書込み装置から提供される更新内容に基づいて、格納している制御プログラムを更新可能な車両制御装置であって、
　前記制御プログラムは、制御コードと、前記制御コードの実行時に参照される制御用データとを含み、
　前記車両制御装置は、
　前記制御コードと前記制御用データとの両方を各々格納する第１のメモリ領域と第２のメモリ領域を切り替えて使用可能な不揮発メモリと、
　前記書込み装置からの更新要求が、前記制御コードと前記制御用データとの両方の更新が必要か、又は前記制御用データのみの更新かを判定する更新要求判定部とを備え、
　前記更新要求判定部は、前記制御用データのみの更新であると判定した場合、現在アクティブな制御プログラムが格納されるいずれかのメモリ領域に受信した制御用データを書き込むことを特徴とする車両制御装置。
　請求項１に記載の車両制御装置であって、
　前記不揮発メモリは、前記制御用データを一時的に記憶する第３のメモリ領域を含み、
　前記更新要求判定部は、
　前記制御用データのみの更新と判定した場合、受信した制御用データを前記第３のメモリ領域に書き込み、
　前記制御用データが前記第３のメモリ領域に正常に書き込まれたことを確認した後に、前記第３のメモリ領域から現在アクティブな制御プログラムが格納されるメモリ領域へ前記受信した制御用データを書き込むことを特徴とする車両制御装置。
　請求項１に記載の車両制御装置であって、
　前記制御コード及び前記制御用データの各々はバージョン情報を有し、
　前記更新要求判定部は、前記車両制御装置から受信した制御コードのバージョン情報と更新版の制御コードのバージョン情報とを比較して、更新する対象を判定することを特徴とする車両制御装置。
　請求項３に記載の車両制御装置であって、
　前記更新要求判定部は、
　現在アクティブな制御コードのバージョン情報と更新版の制御コードのバージョン情報とを比較し、
　両者のバージョンが同じである場合、制御用データのみを更新し、
　両者のバージョンが異なる場合、前記制御コードと前記制御用データとの両方を更新することを特徴とする車両制御装置。
　請求項４に記載の車両制御装置であって、
　前記車両制御装置は、制御用データのみを更新する場合、前記不揮発メモリに格納されている現在アクティブな制御プログラムに含まれる制御コードと、更新版の制御用データとの関連付けが正しい場合に、更新版の制御用データを前記不揮発メモリに書き込むことを特徴とする車両制御装置。
　請求項１に記載の車両制御装置であって、
　前記制御用データを前記いずれかのメモリ領域に格納するタイミングは、車両のイグニッションＯＦＦの検出、及び車両の停止中の少なくとも一つであることを特徴とする車両制御装置。
　請求項１に記載の車両制御装置であって、
　前記制御プログラムの更新時に、前記制御コードのバージョン情報及び前記制御用データのバージョン情報の少なくとも一方をユーザに提示するために出力することを特徴とする車両制御装置。
　書込み装置から提供される更新内容に基づいて、格納している制御プログラムを更新可能な車両制御装置において実行される更新プログラムであって、
　前記制御プログラムは、制御コードと、前記制御コードの実行時に参照される制御用データとを含み、
　前記車両制御装置は、前記制御コードと前記制御用データとの両方を各々格納する第１のメモリ領域と第２のメモリ領域を切り替えて使用可能な不揮発メモリを有し、
　前記更新プログラムは、
　前記書込み装置からの更新要求が、前記制御コードと前記制御用データとの両方の更新が必要か、又は前記制御用データのみの更新かを判定する手順と、
　前記制御用データのみの更新であると判定した場合、現在アクティブな制御プログラムが格納されるいずれかのメモリ領域に受信した制御用データを書き込む手順とを、前記車両制御装置に実行させるための更新プログラム。
　車両を制御する制御プログラムを更新するプログラム更新システムであって、
　前記車両に搭載され、格納している制御プログラムを更新可能な車両制御装置と、
　前記車両に搭載され、前記制御プログラムの更新を制御する書込み装置と、
　前記制御プログラムの差分データを含む更新パッケージを前記書込み装置に配信する外部装置とを備え、
　前記制御プログラムは、制御コードと、前記制御コードの実行時に参照される制御用データとを含み、
　前記車両制御装置は、
　前記制御コードと前記制御用データとの両方を各々格納する第１のメモリ領域と第２のメモリ領域を切り替えて使用可能な不揮発メモリと、
　前記書込み装置からの更新要求が、前記制御コードと前記制御用データとの両方の更新が必要か、又は前記制御用データのみの更新かを判定する更新要求判定部と、を備え、
　前記更新要求判定部は、前記制御用データのみの更新であると判定した場合、現在アクティブな制御プログラムが格納されるいずれかのメモリ領域に受信した制御用データを書き込むことを特徴とするプログラム更新システム。
　請求項９に記載のプログラム更新システムであって、
　少なくともユーザに対して情報を提示する入出力装置を備え、
　前記制御プログラムの更新時に、前記制御コードのバージョン情報及び前記制御用データのバージョン情報の少なくとも一方をユーザに提示することを特徴とするプログラム更新システム。
　車両制御装置に格納される制御プログラムの更新を制御する書込み装置であって、
　前記制御プログラムは、制御コードと、前記制御コードの実行時に参照される制御用データとを含み、
　前記書込み装置は、
　前記車両制御装置から制御プログラムのバージョン情報を取得する手段と、
　前記制御プログラムの更新が、前記制御コードと前記制御用データとの両方の更新が必要か、又は前記制御用データのみの更新かを判定する更新要求判定部と、を備え、
　前記更新要求判定部は、前記制御用データのみの更新であると判定した場合、現在アクティブな制御プログラムが格納されるいずれかのメモリ領域に受信した制御用データを書き込むことを特徴とする書込み装置。