WO2022239613A1

WO2022239613A1 - 車両用電子制御装置、車両用電子制御システム及び更新後構成情報判定プログラム

Info

Publication number: WO2022239613A1
Application number: PCT/JP2022/018189
Authority: WO
Inventors: 翔馬岡本
Original assignee: 株式会社デンソー
Priority date: 2021-05-14
Filing date: 2022-04-19
Publication date: 2022-11-17
Also published as: DE112022002574T5; US20240069905A1; JP2022175761A; CN117321567A

Abstract

車両用電子制御装置（１３）は、作業者が操作可能な有線ツールから更新データを有線通信により取得する更新データ取得部（３４ａ）と、有線ツールから更新後の構成情報を第１更新後構成情報として有線通信により取得する第１更新後構成情報取得部（３４ｂ）と、更新データを更新対象ノードに書込むことで更新対象ノードのソフトウェアを更新するソフトウェア更新部（３４ｃ）と、更新対象ノードを含む管理対象ノードから更新後の構成情報を第２更新後構成情報として取得する第２更新後構成情報取得部（３４ｄ）と、第１更新後構成情報と第２更新後構成情報とを照合して更新後構成情報の整合性を判定する第１整合性判定部（３４ｅ）と、を備える。

Description

車両用電子制御装置、車両用電子制御システム及び更新後構成情報判定プログラム

関連出願の相互参照

　本出願は、２０２１年５月１４日に出願された日本出願番号２０２１－０８２４３８号に基づくもので、ここにその記載内容を援用する。

　本開示は、車両用電子制御装置、車両用電子制御システム及び更新後構成情報判定プログラムに関する。

　近年、運転支援機能や自動運転機能等の車両制御の多様化に伴い、車両の電子制御装置（以下、ＥＣＵ（Electronic Control Unit）と称する）等のノードに搭載される車両制御や診断等のプログラムやデータを含むソフトウェアの規模が増大している。又、機能改善等によるバージョンアップに伴い、ノードの動作に必要なソフトウェアを更新する（リプログする）機会も増えつつある。一方、通信ネットワークの進展等に伴い、コネクッテッドカーの技術も普及している。このような事情から、車両側にゲートウェイＥＣＵとして機能する車両用電子制御装置が設けられ、車両用電子制御装置において、センター装置からダウンロードした更新データを更新対象ノードに配信し、更新対象ノードのソフトウェアをＯＴＡ（Over The Air）により更新する技術が提案されている。

　更新対象ノードのソフトウェアが更新されると、ノードのハードウェアのバージョンやソフトウェアのバージョン等を含む構成情報が更新される。そのため、更新対象ノードのソフトウェアが正常に更新されたか否かを判定するために、更新後の構成情報である更新後構成情報が正規であるか否かを検証する必要がある。例えば特許文献１には、車両用電子制御装置において、更新対象ノードを含む管理対象ノードから更新後構成情報を取得してセンター装置に送信し、センター装置において、予め記憶している更新後構成情報と、車両用電子制御装置から受信した更新後構成情報とを照合し、更新後構成情報が正規であるか否かを検証する構成が開示されている。

特開２０２０－２７６２３号公報

　上記した更新後構成情報が正規であるか否かをセンター装置において検証する構成は、ＯＴＡサービスの契約締結後であり、車両用電子制御装置がセンター装置と通信接続を確立可能な状況であることが前提である。一方、ＯＴＡサービスの契約締結前では、車両用電子制御装置がセンター装置と通信接続を確立不能な状況であるので、センター装置において更新後構成情報が正規であるか否かを検証することができない。そのため、例えばバックヤード等でＯＴＡサービスの契約締結前に有線ツールを使用してノードのソフトウェアを更新する場合には、更新後構成情報が正規であるか否かを検証することができない。

　本開示は、ＯＴＡサービスの契約締結前であり、センター装置と通信接続を確立不能な状況であっても、更新後構成情報が正規であるか否かを適切に検証することを目的とする。

　本開示の一態様によれば、更新データ取得部は、作業者が操作可能な有線ツールから更新データを有線通信により取得する。第１更新後構成情報取得部は、有線ツールから更新後の構成情報を第１更新後構成情報として有線通信により取得する。ソフトウェア更新部は、更新データを更新対象ノードに書込むことで更新対象ノードのソフトウェアを更新する。第２更新後構成情報取得部は、更新対象ノードを含む管理対象ノードから更新後の構成情報を第２更新後構成情報として取得する。第１整合性判定部は、第１更新後構成情報と第２更新後構成情報とを照合して更新後構成情報の整合性を判定する。

　有線ツールから取得した第１更新後構成情報と、更新対象ノードのソフトウェアを更新した後に更新対象ノードを含む管理対象ノードから取得した第２更新後構成情報とを照合して整合性を判定するようにした。ＯＴＡサービスの契約締結前であり、センター装置と通信接続を確立不能な状況であっても、更新後構成情報が正規であるか否かを適切に検証することができる。

　本開示についての上記目的及びその他の目的、特徴や利点は、添付の図面を参照しながら下記の詳細な記述により、より明確になる。その図面は、
図１は、一実施形態の全体構成を示す図であり、図２は、ＣＧＷの電気的な構成を示す図であり、図３は、ＥＣＵの電気的な構成を示す図であり、図４は、ＣＧＷの機能ブロック図であり、図５は、有線ツールからＣＧＷに転送される更新後の構成情報を示す図であり、図６は、有線ツールからＣＧＷに転送される更新後の構成情報を示す図であり、図７は、管理対象ＥＣＵからＣＧＷに転送される構成情報を示す図であり、図８は、ＲｘＳＷＩＮを示す図であり、図９は、処理の流れを示す図であり、図１０は、処理の流れを示す図であり、図１１は、処理の流れを示す図であり、図１２は、処理の流れを示す図であり、図１３は、フローチャートである。

　以下、一実施形態について図面を参照して説明する。車両用電子制御システムは、電子制御装置（以下、ＥＣＵ（Electronic Control Unit）と称する）に搭載されている車両制御や診断等のソフトウェアをＯＴＡ（Over The Air）により更新可能なシステムである。ソフトウェアは、車両制御や診断等の機能を実現するためのプログラムやデータを含み、アプリケーションと表現することもできる。本実施形態では、車両制御や診断等のソフトウェアを更新する場合について説明するが、例えば地図アプリや当該地図アプリで使用される地図データ等を更新する場合にも適用することができる。

　図１に示すように、車両用電子制御システム１は、通信ネットワーク２側のセンター装置３と、車両側の車両側システム４及び表示端末５とを有する。通信ネットワーク２は、例えば４Ｇ回線等による移動体通信ネットワーク、インターネット、ＷｉＦｉ（Wireless Fidelity）（登録商標）等を含んで構成される。

　表示端末５は、ユーザからの操作入力を受付ける機能や各種画面を表示する機能を有する端末であり、例えばユーザが携帯可能なスマートフォンやタブレット等の携帯端末６、車室内に配置されている車載ディスプレイ７である。携帯端末６は、移動体通信ネットワークの通信圏内であれば、通信ネットワーク２を介してセンター装置３とデータ通信可能である。車載ディスプレイ７は、車両側システム４に接続されており、ナビゲーション機能を兼用する構成であっても良い。又、車載ディスプレイ７は、ＥＣＵの機能を有する車載ディスプレイＥＣＵであっても良いし、センターディスプレイやメータディスプレイ等への表示を制御する機能を有していても良い。

　ユーザは、車室外であって移動体通信ネットワークの通信圏内であれば、ソフトウェアの更新に関与する各種画面を携帯端末６により確認しながら操作入力を行い、ソフトウェアの更新に関与する手続きを可能である。ユーザは、車室内では、ソフトウェアの更新に関与する各種画面を車載ディスプレイ７により確認しながら操作入力を行い、ソフトウェアの更新に関与する手続きを可能である。即ち、ユーザは、車室外と車室内で携帯端末６と車載ディスプレイ７を使い分け、ソフトウェアの更新に関与する手続きを可能である。

　センター装置３は、車両用電子制御システム１において通信ネットワーク２側のソフトウェアの更新機能を統括し、ＯＴＡサービスを提供するＯＴＡセンターとして機能する。センター装置３は、ファイルサーバ８と、ウェブサーバ９と、管理サーバ１０とを有し、各サーバ８～１０が相互にデータ通信可能に構成されている。即ち、センター装置３は、機能毎に異なる複数のサーバを含んで構成されている。

　ファイルサーバ８は、センター装置３から車両側システム４に配信されるソフトウェアのファイルを管理するサーバである。ファイルサーバ８は、センター装置３から車両側システム４に配信されるソフトウェアの提供事業者であるサプライヤ等から提供される更新データ、ＯＥＭ（Original Equipment Manufacturer）から提供される諸元データ、車両側システム４から取得する車両状態等を管理する。ファイルサーバ８は、通信ネットワーク２を介して車両側システム４との間でデータ通信可能であり、車両側システム４からパッケージデータのダウンロード要求を受信すると、更新データと諸元データとが１つのファイルにパッケージ化されたパッケージデータを含むダウンロードデータを車両側システム４に送信する。ダウンロードデータは、圧縮されているｚｉｐ形式のファイルを含む。尚、ファイルサーバ８は、更新データと諸元データとを同時に車両側システム４に送信せず、先に諸元データを車両側システム４に送信し、後から更新データが１つのファイルにパッケージ化されたパッケージデータを含むダウンロードデータを車両側システム４に送信しても良い。

　ウェブサーバ９は、ウェブ情報を管理するサーバである。ウェブサーバ９は、携帯端末６等が有するウェブブラウザからの要求に応じて自己が管理するウェブデータを送信する。管理サーバ１０は、ソフトウェアの更新のサービスに登録しているユーザの個人情報、車両毎のソフトウェアの更新履歴等を管理するサーバである。

　車両側システム４は、車両用マスタ装置１１を有する。車両用マスタ装置１１は、車両用電子制御システム１において車両側のソフトウェアの更新機能を統括し、ＯＴＡマスタとして機能する。車両用マスタ装置１１は、ＤＣＭ（Data Communication Module）１２と、ＣＧＷ（Central Gate Way）１３とを有する。ＤＣＭ１２は、センター装置３との間で通信ネットワーク２を介してデータ通信を行う。

　ＣＧＷ１３は、ゲートウェイＥＣＵとして機能し、車両用電子制御装置に相当する。ＤＣＭ１２とＣＧＷ１３とは、第１バス１４を介してデータ通信可能に接続されている。図１では、ＤＣＭ１２と車載ディスプレイ７が同一の第１バス１４に接続されている構成を例示しているが、ＤＣＭ１２と車載ディスプレイ７とが別々のバスに接続されている構成でも良い。又、ＤＣＭ１２の機能の一部又は全体をＣＧＷ１３が有する構成でも良いし、ＣＧＷ１３の機能の一部又は全体をＤＣＭ１２が有する構成でも良い。即ち、車両用マスタ装置１１において、ＤＣＭ１２とＣＧＷ１３との機能分担がどのように構成されていても良い。車両用マスタ装置１１は、ＤＣＭ１２及びＣＧＷ１３の２つのＥＣＵから構成されても良いし、ＤＣＭ１２の機能とＣＧＷ１３の機能とを有する１つの統合ＥＣＵで構成されても良い。

　ＣＧＷ１３には、第１バス１４に加え、第２バス１５と、第３バス１６と、第４バス１７と、第５バス１８とが車内側のバスとして接続されており、バス１５～１７を介して各種ＥＣＵ１９が接続されていると共に、バス１８を介して電源管理ＥＣＵ２０が接続されている。ＥＣＵ１９はノードに相当する。

　第２バス１５は、例えばボディ系ネットワークのバスである。第２バス１５に接続されているＥＣＵ１９は、ボディ系の制御を行うＥＣＵである。ボディ系の制御を行うＥＣＵは、例えばドアのロック／アンロックを制御するドアＥＣＵ、メータディスプレイへの表示を制御するメータＥＣＵ、エアコンの駆動を制御するエアコンＥＣＵ、ウィンドウの開閉を制御するウィンドウＥＣＵ、車両の盗難防止のために駆動するセキュリティＥＣＵ等である。

　第３バス１６は、例えば走行系ネットワークのバスである。第３バス１６に接続されているＥＣＵ１９は、走行系の制御を行うＥＣＵである。走行系の制御を行うＥＣＵは、例えばエンジンの駆動を制御するエンジンＥＣＵ、ブレーキの駆動を制御するブレーキＥＣＵ、自動変速機の駆動を制御するＥＣＴ（Electronic Controlled Transmission）ＥＣＵ、パワーステアリングの駆動を制御するパワーステアリングＥＣＵ等である。

　第４バス１７は、例えばマルチメディア系ネットワークのバスである。第４バス１７に接続されているＥＣＵ１９は、マルチメディア系の制御を行うＥＣＵである。マルチメディア系の制御を行うＥＣＵは、例えばナビゲーションシステムを制御するためのナビゲーションＥＣＵ、電子式料金収受システム（ＥＴＣ（Electronic Toll Collection System、登録商標））を制御するＥＴＣＥＣＵ等である。バス１５～１７は、ボディ系ネットワークのバス、走行系ネットワークのバス、マルチメディア系ネットワークのバス以外の系統のバスであっても良い。又、バスの本数やＥＣＵ１９の個数は例示した構成に限らない。
　電源管理ＥＣＵ２０は、ＤＣＭ１２、ＣＧＷ１３、各種ＥＣＵ１９等に供給する電源を管理するＥＣＵである。

　ＣＧＷ１３には、第６バス２１が車外側のバスとして接続されている。第６バス２１には、有線ツール２３が着脱可能に接続されるＤＬＣ（Data Link Coupler）コネクタ２２が接続されている。有線ツール２３は、ストレージ２４を着脱可能であり、ストレージ２４が接続されている状態で当該ストレージ２４に保存されている情報を読込み可能である。ストレージ２４は、例えばＵＳＢ（Universal Serial Bus）メモリ、メモリカード、ＳＳＤ（Solid State Drive）等のフラッシュメモリ記憶装置である。

　車内側のバス１４～１８及び車外側のバス２１は、例えばＣＡＮ（Controller Area Network、登録商標）バスにより構成されており、ＣＧＷ１３は、ＣＡＮのデータ通信規格や診断通信規格（ＵＤＳ（Unified Diagnosis Services）：ＩＳＯ１４２２９）にしたがってＤＣＭ１２と、ＥＣＵ１９と、有線ツール２３との間でデータ通信を行う。尚、ＤＣＭ１２とＣＧＷ１３とがイーサーネットにより接続されていても良いし、ＤＬＣコネクタ２２とＣＧＷ１３とがイーサーネットにより接続されても良い。

　ソフトウェアを無線で更新する場合には、ＤＣＭ１２は、ファイルサーバ８からダウンロードデータをダウンロードすると、そのダウンロードしたダウンロードデータをＣＧＷ１３に送信する。ＣＧＷ１３は、ＤＣＭ１２からダウンロードデータを受信すると、その受信したダウンロードデータを解凍してパッケージデータを取得し、その取得したパッケージデータから更新データ及び諸元データを取得する。ＣＧＷ１３は、更新データを書込むインストールを指示可能な条件が成立していることを条件とし、更新データをソフトウェアの更新対象である更新対象ＥＣＵ１９に送信し、その取得した更新データのインストールを更新対象ＥＣＵ１９に指示する。インストールを指示可能な条件とは、インストールの承諾が得られていること、車両状態がインストール可能な状態であること、更新対象ＥＣＵ１９がインストール可能な状態であること、リプログデータが正常なデータであること等である。更新対象ＥＣＵ１９は、ＣＧＷ１３から更新データのインストールが指示されると、インストールを実行可能な条件が成立していることを条件とし、更新データのインストールを実行する。

　ＣＧＷ１３は、更新対象ＥＣＵ１９において更新データのインストールが完了すると、更新完了後のソフトウェアを有効とするアクティベートを指示可能な条件が成立していることを条件とし、アクティベートを更新対象ＥＣＵ１９に指示する。アクティベートを指示可能な条件とは、アクティベートの承諾が得られていること、車両状態がアクティベート可能な状態であること、更新対象ＥＣＵ１９がアクティベート可能な状態であること等である。更新対象ＥＣＵ１９は、ＣＧＷ１３からアクティベートが指示されると、アクティベートを実行可能な条件が成立していることを条件とし、アクティベートを実行する。

　一方、ソフトウェアを有線で更新する場合には、有線ツール２３がＤＬＣコネクタ２２に接続されると、有線ツール２３は、更新データをＣＧＷ１３に転送する。ＣＧＷ１３は、有線ツール２３から更新データが転送されると、更新データを書込むインストールを指示可能な条件が成立していることを条件とし、更新データを更新対象ＥＣＵ１９に送信し、その取得した更新データのインストールを更新対象ＥＣＵ１９に指示する。更新対象ＥＣＵ１９は、ＣＧＷ１３から更新データのインストールが指示されると、インストールを実行可能な条件が成立していることを条件とし、更新データのインストールを実行する。

　ＣＧＷ１３は、更新対象ＥＣＵ１９において更新データのインストールが完了すると、更新完了後のソフトウェアを有効とするアクティベートを指示可能な条件が成立していることを条件とし、アクティベートを更新対象ＥＣＵ１９に指示する。更新対象ＥＣＵ１９は、ＣＧＷ１３からアクティベートが指示されると、アクティベートを実行可能な条件が成立していることを条件とし、アクティベートを実行する。

　図２に示すように、ＣＧＷ１３は、電気的な機能ブロックとして、マイクロコンピュータ（以下、マイコンと称する）２５と、ストレージ２６と、データ転送回路２７と、電源回路２８と、電源検出回路２９とを有する。マイコン２５は、ＣＰＵ（Central Processing Unit）２５ａと、ＲＯＭ（Read Only Memory）２５ｂと、ＲＡＭ（Random Access Memory）２５ｃと、フラッシュメモリ２５ｄとを有する。フラッシュメモリ２５ｄには、ＣＧＷ１３の外部から情報の読出しが不可であるセキュア領域が含まれる。マイコン２５は、非遷移的実体的記憶媒体に格納されている各種制御プログラムを実行して各種処理を行い、ＣＧＷ１３の動作を制御する。本実施形態では、ＣＧＷ１３に１個のマイコン２５が搭載されている構成を例示しているが、ＣＧＷ１３に搭載されるマイコンの個数、スペック、組み合わせは、ＣＧＷ１３に要求される処理能力に応じて決定される。即ち、ＣＧＷ１３に比較的高い処理能力が要求される場合であれば、比較的高いスペックのマイコンが採用されたり、分散処理や並列処理を実現するために複数のマイコンが採用されたりする。

　ストレージ２６は、例えばｅＭＭＣ（embedded Multi Media Card）、ＮｏｒＦｌａｓｈである。データ転送回路２７は、バス１４～１８，２１との間のＣＡＮのデータ通信規格や診断通信規格に準拠したデータ通信を制御する。電源回路２８は、バッテリ電源、アクセサリ電源、イグニッション電源を入力する。電源検出回路２９は、電源回路２８が入力するバッテリ電源の電圧値、アクセサリ電源の電圧値、イグニッション電源の電圧値を検出し、これらの検出した電圧値を所定の電圧閾値と比較し、その比較結果をマイコン２５～２６に出力する。マイコン２５～２６は、電源検出回路２９から入力する比較結果により、外部からＣＧＷ１３に供給されているバッテリ電源、アクセサリ電源、イグニッション電源が正常であるか異常であるかを判定する。

　図３に示すように、ＥＣＵ１９は、電気的な機能ブロックとして、マイコン３０と、データ転送回路３１と、電源回路３２と、電源検出回路３３とを有する。マイコン３０は、ＣＰＵ３０ａと、ＲＯＭ３０ｂと、ＲＡＭ３０ｃと、フラッシュメモリ３０ｄとを有する。フラッシュメモリ３０ｄには、ＥＣＵ１９の外部から情報の読出しが不可であるセキュア領域が含まれる。マイコン３０は、非遷移的実体的記憶媒体に格納されている各種制御プログラムを実行して各種処理を行い、ＥＣＵ１９の動作を制御する。

　データ転送回路３１は、バス１５～１７との間のＣＡＮのデータ通信規格に準拠したデータ通信を制御する。電源回路３２は、バッテリ電源、アクセサリ電源、イグニッション電源を入力する。電源検出回路３３は、電源回路３２が入力するバッテリ電源の電圧値、アクセサリ電源の電圧値、イグニッション電源の電圧値を検出し、これらの検出した電圧値を所定の電圧閾値と比較し、その比較結果をマイコン３０に出力する。マイコン３０は、電源検出回路２７から入力する比較結果により、外部からＥＣＵ１９に供給されているバッテリ電源、アクセサリ電源、イグニッション電源が正常であるか異常であるかを判定する。尚、ＥＣＵ１９は、自己が接続する例えばセンサやアクチュエータ等の負荷が異なり、基本的には同等の構成である。

　上記した構成では、ＯＴＡサービスの契約締結後であり、ＣＧＷ１３がセンター装置３と通信接続を確立可能な状況では、ソフトウェアを無線及び有線の何れでも更新することが可能である。一方、ＯＴＡサービスの契約締結前であり、ＣＧＷ１３がセンター装置３と通信接続を確立不能な状況では、ソフトウェアを無線で更新することが不能であり、ソフトウェアを有線でしか更新することができない。

　更新対象ＥＣＵ１９のソフトウェアが更新されると、ノードのハードウェアのバージョンやソフトウェアのバージョン等を含む構成情報が更新されるので、更新対象ＥＣＵ１９のソフトウェアが正常に更新されたか否かを判定するために、更新後の構成情報が正規であるか否かを検証する必要がある。又、ソフトウェアの更新が法規要求の対象であれば、構成情報に加え、ＲｘＳＷＩＮ（Rx Software Identification Number）も更新されるので、更新後のＲｘＳＷＩＮも正規であるか否かを検証する必要がある。ＲｘＳＷＩＮは、自動車の構造及び装置に関する規則（ＵＮ規則）におけるRegulation No.毎に関連するシステムのソフトウェアバージョンを管理するための識別子であり、システムソフトウェア識別情報に相当する。ソフトウェアの更新が法規要求の対象であるとは、例えばエンジンＥＣＵ等の走行制御に関与するＥＣＵ１９を更新対象ＥＣＵ１９に含むソフトウェアの更新を意味する。一方、ソフトウェアの更新が法規要求の対象でないとは、走行制御に関与するＥＣＵ１９を更新対象ＥＣＵ１９に含まず、例えばナビゲーションＥＣＵ等の走行制御に関与しないＥＣＵ１９だけを更新対象ＥＣＵ１９に含むソフトウェアの更新を意味する。

　ＯＴＡサービスの契約締結後では、ＣＧＷ１３がセンター装置３と通信接続を確立可能な状況であるので、更新後の構成情報や更新後のＲｘＳＷＩＮが正規であるか否かをセンター装置３において検証することができる。しかしながら、ＯＴＡサービスの契約締結前では、ＣＧＷ１３がセンター装置３と通信接続を確立不能な状況であるので、ソフトウェアを有線で更新する場合に、更新後の構成情報や更新後のＲｘＳＷＩＮが正規であるか否かをセンター装置３において検証することができない。本実施形態では、以下に説明する構成を採用することにより、ＯＴＡサービスの契約締結前であり、ＣＧＷ１３がセンター装置３と通信接続を確立不能な状況でソフトウェアを有線で更新した場合であっても、更新後の構成情報や更新後のＲｘＳＷＩＮが正規であるか否かを検証することを可能とする。

　図４に示すように、ＣＧＷ１３は、自己の動作を制御する制御部３４において、更新データ取得部３４ａと、第１更新後構成情報取得部３４ｂと、ソフトウェア更新部３４ｃと、第２更新後構成情報取得部３４ｄと、第１整合性判定部３４ｅと、第１更新後ＲｘＳＷＩＮ取得部３４ｆと、ＲｘＳＷＩＮ保持部３４ｇと、第２更新後ＲｘＳＷＩＮ取得部３４ｈと、第２整合性判定部３４ｉと、ロールバック実施部３４ｊと、表示制御部３４ｋとを備える。第１更新後ＲｘＳＷＩＮ取得部３４ｆは、第１更新後システムソフトウェア識別情報取得部に相当する。ＲｘＳＷＩＮ保持部３４ｇは、システムソフトウェア識別情報保持部に相当する。第２更新後ＲｘＳＷＩＮ取得部３４ｈは、第２更新後システムソフトウェア識別情報取得部に相当する。これらの各部３４ａ～３４ｋは更新後構成情報判定プログラムにより実行される機能に相当する。即ち、制御部３４は、更新後構成情報判定プログラムを実行することで各部３４ａ～３４ｋの機能を行う。

　ストレージ２４には更新データ及び更新後の構成情報が保存されている。ストレージ２４が有線ツール２３に接続されている状態で作業者が読込み操作を行うと、更新データ及び更新後の構成情報がストレージ２４から有線ツール２３に転送されて保存される。その後、有線ツール２３がＤＬＣコネクタ２２を介してＣＧＷ１３に有線接続されている状態で作業者が転送操作を行うと、有線ツール２３に保存されている更新データ及び更新後の構成情報がＣＧＷ１３に転送されて保存される。このとき、有線ツール２３はセンター装置３と通信接続を確立不能な状況である。即ち、有線ツール２３は、センター装置３と通信接続を確立不能な状況で、更新データ及び更新後の構成情報をＣＧＷ１３に転送する。

　ストレージ２４から有線ツール２３を介してＣＧＷ１３に転送されて保存される更新後の構成情報は、図５及び図６に示す構成要素を含む。更新後の構成情報は、ＲｘＳＷＩＮ、更新対象ＥＣＵ１９と非更新対象ＥＣＵ１９とを含む管理対象ＥＣＵ１９を示すターゲットＩＤ、管理対象ＥＣＵ１９のハードウェアのバージョンを示すＥＣＵハードウェアＩＤ（ＥＣＵ＿ＨＷ＿ＩＤ）、管理対象ＥＣＵ１９のソフトウェアのバージョンを示すＥＣＵソフトウェアＩＤ（ＥＣＵ＿ＳＷ＿ＩＤ）を含む。ソフトウェアの更新が法規要求の対象であれば、図５に示すように、ＲｘＳＷＩＮのデータは存在する。一方、ソフトウェアの更新が法規要求の対象外であり、法規要求の対象でなければ、図６に示すように、ＲｘＳＷＩＮのデータは存在しない。

　更新データ取得部３４ａは、作業者が有線ツール２３により転送操作を行ったことに伴い、有線ツール２３から更新データが転送されることで当該更新データを取得する。

　第１更新後構成情報取得部３４ｂは、作業者が有線ツール２３により転送操作を行ったことに伴い、有線ツール２３から更新後の構成情報が転送されると、その転送された更新後の構成情報を第１更新後構成情報として取得する。

　ソフトウェア更新部３４ｃは、更新データを更新対象ＥＣＵ１９に送信し、その取得した更新データのインストールを更新対象ＥＣＵ１９に指示し、更新対象ＥＣＵ１９において更新データのインストールが完了すると、アクティベートを更新対象ＥＣＵ１９に指示し、ソフトウェアを更新する。

　第２更新後構成情報取得部３４ｄは、更新対象ＥＣＵ１９においてソフトウェアの更新が完了すると、情報送信要求を管理対象である管理対象ＥＣＵ１９に送信する。管理対象ＥＣＵ１９とは、更新対象ＥＣＵ１９と、ソフトウェアの更新対象ではなく非更新対象であって更新対象ＥＣＵ１９と連携して動作する非更新対象ＥＣＵ１９とを含む。即ち、非更新対象ＥＣＵ１９は、更新対象ＥＣＵ１９のソフトウェアの更新が影響し得るＥＣＵ１９である。この場合、更新対象ＥＣＵ１９は、ＣＧＷ１３から情報送信要求を受信すると、更新後の構成情報をＣＧＷ１３に送信する。非更新対象ＥＣＵ１９は、ＣＧＷ１３から情報送信要求を受信すると、更新対象ＥＣＵ１９のソフトウェアの更新前後で変化していない構成情報を更新後の構成情報としてＣＧＷ１３に送信する。

　第２更新後構成情報取得部３４ｄは、管理対象ＥＣＵ１９から更新後の構成情報が受信されると、その受信された更新後の構成情報を第２更新後構成情報として取得する。管理対象ＥＣＵ１９からＣＧＷ１３に転送される構成情報は、上記したターゲットＩＤ、ＥＣＵハードウェアＩＤ、ＥＣＵソフトウェアＩＤを含む。第２更新後構成情報取得部３４ｄは、ソフトウェアの更新後では、図７に示す構成情報の中で更新後の構成情報を第２更新後構成情報として取得する。図７では、ＥＣＵ＿ＡのＥＣＵ＿ＳＷ＿ＩＤが「ＳＷ＿Ａ１」から「ＳＷ＿Ａ２」に更新され、ＥＣＵ＿ＢのＥＣＵ＿ＳＷ＿ＩＤが「ＳＷ＿Ｂ１」から「ＳＷ＿Ｂ２」に更新された場合を例示している。

　第１整合性判定部３４ｅは、第１更新後構成情報と第２更新後構成情報とを照合して両者が一致するか否かを判定し、更新後構成情報の整合性を判定する。この場合、ソフトウェアの更新を正常に完了していれば、第１更新後構成情報と第２更新後構成情報とが一致し、ソフトウェアの更新を正常に完了していなければ、第１更新後構成情報と第２更新後構成情報とが一致しない。第１整合性判定部３４ｅは、第１更新後構成情報と第２更新後構成情報との一致を判定すると、更新後構成情報の整合正、即ち、更新後構成情報が整合していることを判定する。一方、第１整合性判定部３４ｅは、第１更新後構成情報と第２更新後構成情報との不一致を判定すると、更新後構成情報の整合否、即ち、更新後構成情報が整合しておらず不整合であることを判定する。

　第１更新後ＲｘＳＷＩＮ取得部３４ｆは、更新後の構成情報が第１更新後構成情報として第１更新後構成情報取得部３４ｂにより取得された際に、更新後の構成情報に含まれているＲｘＳＷＩＮを第１更新後ＲｘＳＷＩＮとして取得する。即ち、第１更新後ＲｘＳＷＩＮ取得部３４ｆは、ソフトウェアの更新が法規要求の対象であれば、ＲｘＳＷＩＮのデータが存在するので、第１更新後ＲｘＳＷＩＮを取得する。第１更新後ＲｘＳＷＩＮ取得部３４ｆは、ソフトウェアの更新が法規要求の対象でなければ、ＲｘＳＷＩＮのデータが存在しないので、第１更新後ＲｘＳＷＩＮを取得しない。

　ＲｘＳＷＩＮ保持部３４ｇは、図８に示すように、ＲｘＳＷＩＮを保持しており、ソフトウェアの更新が法規要求の対象であれば、自己が保持しているＲｘＳＷＩＮをソフトウェアの更新の前後で更新する。例えばアクティベート完了後にＲｘＳＷＩＮ保持部３４ｇに保持されるＲｘＳＷＩＮは、第１更新後ＲｘＳＷＩＮ取得部３４ｆにより取得されたＲｘＳＷＩＮに更新される。一方、ＲｘＳＷＩＮ保持部３４ｇは、ソフトウェアの更新が法規要求の対象でなければ、自己が保持しているＲｘＳＷＩＮをソフトウェアの更新の前後で更新しない。図８では、ソフトウェアの更新が法規要求の対象である場合に、ＲｘＳＷＩＮが「０１２３４」から「０１２３４５」に更新された場合を例示している。

　第２更新後ＲｘＳＷＩＮ取得部３４ｈは、ＲｘＳＷＩＮ保持部３４ｇに保持されているＲｘＳＷＩＮが更新されたＲｘＳＷＩＮを第２更新後ＲｘＳＷＩＮとして取得する。即ち、第２更新後ＲｘＳＷＩＮ取得部３４ｈは、ソフトウェアの更新が法規要求の対象であれば、ＲｘＳＷＩＮがソフトウェアの更新の前後で更新されるので、第２更新後ＲｘＳＷＩＮを取得する。第２更新後ＲｘＳＷＩＮ取得部３４ｈは、ソフトウェアの更新が法規要求の対象でなければ、ＲｘＳＷＩＮがソフトウェアの更新の前後で更新されないので、第２更新後ＲｘＳＷＩＮを取得しない。

　第２整合性判定部３４ｉは、第１更新後ＲｘＳＷＩＮと第２更新後ＲｘＳＷＩＮとを照合して両者が一致するか否かを判定し、更新後ＲｘＳＷＩＮの整合性を判定する。この場合、ソフトウェアの更新が法規要求の対象であり、ソフトウェアの更新を正常に完了していれば、第１更新後ＲｘＳＷＩＮと第２更新後ＲｘＳＷＩＮとが一致し、ソフトウェアの更新を正常に完了していなければ、第１更新後ＲｘＳＷＩＮと第２更新後ＲｘＳＷＩＮとが一致しない。第２整合性判定部３４ｉは、第１更新後ＲｘＳＷＩＮと第２更新後ＲｘＳＷＩＮとの一致を判定すると、更新後ＲｘＳＷＩＮの整合正、即ち、更新後ＲｘＳＷＩＮが整合していることを判定する。一方、第２整合性判定部３４ｉは、第１更新後ＲｘＳＷＩＮと第２更新後ＲｘＳＷＩＮとの不一致を判定すると、更新後ＲｘＳＷＩＮの整合否、即ち、更新後ＲｘＳＷＩＮが整合しておらず不整合であることを判定する。

　ロールバック実施部３４ｊは、ソフトウェアの更新が法規要求の対象である場合に、更新後ＲｘＳＷＩＮ及び更新後構成情報のうち少なくとも何れかの整合否が判定され、ソフトウェアの更新の異常完了が判定されると、更新対象ＥＣＵ１９のソフトウェアを更新前に戻すロールバックを実施する。ロールバック実施部３４ｊは、ソフトウェアの更新が法規要求の対象でない場合に、更新後構成情報の整合否が判定され、ソフトウェアの更新の異常完了が判定されると、更新対象ＥＣＵ１９のソフトウェアを更新前に戻すロールバックを実施する。この場合、ロールバック実施部３４ｊは、更新対象ＥＣＵ１９に搭載されている不揮発性メモリのメモリ構成に応じたロールバックを実施する。

　表示制御部３４ｋは、ソフトウェアの更新が法規要求の対象である場合に、更新後ＲｘＳＷＩＮ及び更新後構成情報の両方の整合正が判定され、ソフトウェアの更新の正常完了が判定されると、正常完了通知を車載ディスプレイ７に送信し、ソフトウェアの更新が正常に完了したことを車載ディスプレイ７に表示させる。表示制御部３４ｋは、ソフトウェアの更新が法規要求の対象でない場合に、更新後構成情報の整合正が判定され、ソフトウェアの更新の正常完了が判定されると、正常完了通知を車載ディスプレイ７に送信し、ソフトウェアの更新が正常に完了したことを車載ディスプレイ７に表示させる。

　又、表示制御部３４ｋは、ソフトウェアの更新が法規要求の対象である場合に、更新後ＲｘＳＷＩＮ及び更新後構成情報のうち少なくとも何れかの整合否が判定され、ソフトウェアの更新の異常完了が判定されると、異常完了通知を車載ディスプレイ７に送信し、ソフトウェアの更新が正常に完了しなかったことを車載ディスプレイ７に表示させる。表示制御部３４ｋは、ソフトウェアの更新が法規要求の対象でない場合に、更新後構成情報の整合否が判定され、ソフトウェアの更新の異常完了が判定されると、異常完了通知を車載ディスプレイ７に送信し、ソフトウェアの更新が正常に完了しなかったことを車載ディスプレイ７に表示させる。

　次に、上記した構成の作用について図９から図１３を参照して説明する。ここでは、ソフトウェアの更新が法規要求の対象であり、更新データ、更新後の構成情報及び更新後のＲｘＳＷＩＮがストレージ２４から有線ツール２３に転送されて保存されていることを前提とする。

　作業者が有線ツール２３により転送操作を行うと、有線ツール２３は、更新データ、更新後の構成情報及び更新後のＲｘＳＷＩＮをＤＬＣ２２を介してＣＧＷ１３に転送する（ｔ１）。ＣＧＷ１３において、制御部３４は、更新データ、更新後の構成情報及び更新後のＲｘＳＷＩＮが有線ツール２３からＤＬＣ２２を介して転送されると、その転送された更新データを保存し、更新後の構成情報を第１更新後構成情報として保存し、更新後のＲｘＳＷＩＮを第１更新後ＲｘＳＷＩＮとして保存する（Ｓ１、更新データ取得手順、第１更新後構成情報取得手順、第１更新後システムソフトウェア識別情報取得手順に相当する）。

　作業者が有線ツール２３によりソフトウェア更新操作を行うと、有線ツール２３は、更新実行指示を、ＤＬＣ２２を介してＣＧＷ１３に転送する（ｔ２）。制御部３４は、更新実行指示が有線ツール２３からＤＬＣ２２を介して転送されると、更新処理を開始する（Ｓ２、ソフトウェア更新手順に相当する）。即ち、制御部３４は、インストールを指示可能な条件が成立していることを条件とし、更新データを更新対象ＥＣＵ１９に送信し、インストール指示を更新対象ＥＣＵ１９に送信する（ｔ３）。更新対象ＥＣＵ１９は、ＣＧＷ１３からインストール指示を受信すると、インストールを実行可能な条件が成立していることを条件とし、更新データのインストールを実行する。更新対象ＥＣＵ１９は、更新データのインストールを完了すると、インストール完了通知をＣＧＷ１３に送信する（ｔ４）。

　制御部３４は、更新対象ＥＣＵ１９からインストール完了通知を受信すると、更新対象ＥＣＵ１９において更新データのインストール完了を特定し、更新完了後のソフトウェアを有効とするアクティベートを指示可能な条件が成立していることを条件とし、アクティベート指示を更新対象ＥＣＵ１９に送信する（ｔ５）。更新対象ＥＣＵ１９は、ＣＧＷ１３からアクティベート指示を受信すると、アクティベートを実行可能な条件が成立していることを条件とし、アクティベートを実行する。更新対象ＥＣＵ１９は、アクティベートを完了すると、アクティベート完了通知をＣＧＷ１３に送信する（ｔ６）。このとき、更新対象ＥＣＵ１９は、更新処理を実施したことで構成情報を更新している。

　制御部３４は、更新対象ＥＣＵ１９からアクティベート完了通知を受信すると、更新処理を完了し（Ｓ３）、自己が保持しているＲｘＳＷＩＮを更新し（Ｓ４）、その更新後のＲｘＳＷＩＮを第２更新後ＲｘＳＷＩＮとして保存する（Ｓ５、第２更新後システムソフトウェア識別情報取得手順に相当する）。

　制御部３４は、承諾表示指示をＨＭＩとしての車載ディスプレイ７に送信する（ｔ７）。車載ディスプレイ７は、ＣＧＷ１３から承諾表示指示を受信すると、情報収集承諾画面を表示する。情報収集承諾画面は、更新後の構成情報の収集を承諾するか否かを作業者が選択可能な画面である。作業者が車載ディスプレイ７において承諾を許可する操作を行うと、車載ディスプレイ７は、承諾許可をＣＧＷ１３に送信する（ｔ８）。

　制御部３４は、車載ディスプレイ７から承諾許可を受信すると、情報収集の承諾許可を特定し（Ｓ６）、情報収集指示を管理対象ＥＣＵ１９に送信する（ｔ９）。管理対象ＥＣＵ１９は、ＣＧＷ１３から情報収集指示を受信すると、更新後の構成情報を読出し、その読出した更新後の構成情報をＣＧＷ１３に送信する（ｔ１０）。

　制御部３４は、更新後の構成情報が管理対象ＥＣＵ１９から受信されると、その受信された更新後の構成情報を第２更新後構成情報として保存する（Ｓ７、第２更新後構成情報取得手順に相当する）。

　制御部３４は、第１更新後ＲｘＳＷＩＮと第２更新後ＲｘＳＷＩＮとを照合し（Ｓ８）、両者が一致するか否かを判定する（Ｓ９、第２整合性判定手順に相当する）。制御部３４は、両者が一致すると判定し、更新後ＲｘＳＷＩＮが整合正であると判定すると（Ｓ９：ＹＥＳ）、第１更新後構成情報と第２更新後構成情報とを照合し（Ｓ１０）、両者が一致するか否かを判定する（Ｓ１１、第１整合性判定手順に相当する）。制御部３４は、両者が一致すると判定し、更新後構成情報が整合正であると判定すると（Ｓ１１：ＹＥＳ）、ソフトウェアの更新の正常完了を特定し（Ｓ１２）、正常完了通知を車載ディスプレイ７に送信する（ｔ１１）。車載ディスプレイ７は、ＣＧＷ１３から正常完了通知を受信すると、ソフトウェアの更新が正常に完了したことを表示する。

　具体的に説明すると、図５に示すＥＣＵ＿Ａ、ＥＣＵ＿Ｂ、ＥＣＵ＿Ｃが、それぞれ図９から図１２に示す第１更新対象ノード、第２更新対象ノード、非更新対象ノードに対応する。制御部３４は、図５に示すソフトウェアの更新後の構成情報に含まれているＲｘＳＷＩＮと、図７に示すソフトウェアの更新後のＲｘＳＷＩＮとが一致すると判定し、図５に示すソフトウェアの更新後の構成情報と、図８に示すソフトウェアの更新後の構成情報とが一致すると判定すると、ソフトウェアの更新の正常完了を特定する。

　一方、制御部３４は、第１更新後ＲｘＳＷＩＮと第２更新後ＲｘＳＷＩＮとが一致しないと判定し、更新後ＲｘＳＷＩＮが整合否であると判定すると（Ｓ９：ＮＯ）、又は更新後ＲｘＳＷＩＮが整合正であると判定したが、第１更新後構成情報と第２更新後構成情報とが一致しないと判定し、更新後構成情報が整合否であると判定すると（Ｓ１１：ＮＯ）、更新対象ＥＣＵ１９のソフトウェアを更新前に戻すロールバック処理を開始する（Ｓ１３）。即ち、制御部３４は、ロールバックデータを更新対象ＥＣＵ１９に送信し、インストール指示を更新対象ＥＣＵ１９に送信する（ｔ１４）。更新対象ＥＣＵ１９は、ＣＧＷ１３からインストール指示を受信すると、インストールを実行可能な条件が成立していることを条件とし、ロールバックデータのインストールを実行する。更新対象ＥＣＵ１９は、ロールバックデータのインストールを完了すると、インストール完了通知をＣＧＷ１３に送信する（ｔ１３）。

　制御部３４は、更新対象ＥＣＵ１９からインストール完了通知を受信すると、更新対象ＥＣＵ１９においてロールバックデータのインストール完了を特定し、更新完了後のソフトウェアを有効とするアクティベートを指示可能な条件が成立していることを条件とし、アクティベート指示を更新対象ＥＣＵ１９に送信する（ｔ１４）。更新対象ＥＣＵ１９は、ＣＧＷ１３からアクティベート指示を受信すると、アクティベートを実行可能な条件が成立していることを条件とし、アクティベートを実行する。更新対象ＥＣＵ１９は、アクティベートを完了すると、アクティベート完了通知をＣＧＷ１３に送信する（ｔ１５）。

　制御部３４は、更新対象ＥＣＵ１９からアクティベート完了通知を受信すると、ロールバック処理を完了し（Ｓ１４）、ソフトウェアの更新の異常完了を特定し（Ｓ１５）、異常完了通知を車載ディスプレイ７に送信する（ｔ１６）。車載ディスプレイ７は、ＣＧＷ１３から異常完了通知を受信すると、ソフトウェアの更新が正常に完了しなかったことを表示する。

　以上は、制御部３４において、ソフトウェアの更新が法規要求の対象である場合について説明したが、ソフトウェアの更新が法規要求の対象でない場合、又は更新後のＲｘＳＷＩＮが有線ツール２３からＤＬＣ２２を介してＣＧＷ１３に転送されなかった場合には、上記したＳ４，Ｓ５，Ｓ８，Ｓ９が省略され、自己が保持しているＲｘＳＷＩＮを更新することはなく、ＲｘＳＷＩＮを照合することもない。

　又、制御部３４において、承諾表示指示を車載ディスプレイ７に送信する構成を例示したが、承諾表示指示を有線ツール２３に送信しても良く、作業者が有線ツール２３において承諾を許可する操作を行うことで、有線ツール２３から承諾許可を受信する構成でも良い。又、制御部３４において、承諾表示指示を車載ディスプレイ７と有線ツール２３との両方に送信し、作業者が車載ディスプレイ７と有線ツール２３との何れでも承諾を許可する操作を可能としても良い。更に、承諾表示指示の送信先を作業者が選択可能としても良い。

　又、制御部３４において、正常完了通知や異常完了通知を車載ディスプレイ７に送信する構成を例示したが、正常完了通知や異常完了通知を有線ツール２３に送信しても良く、正常完了通知や異常完了通知を車載ディスプレイ７と有線ツール２３との両方に送信しても良い。更に、正常完了通知や異常完了通知の送信先を作業者が選択可能としても良い。

　又、制御部３４において、先に第１更新後ＲｘＳＷＩＮと第２更新後ＲｘＳＷＩＮとを照合し、更新後ＲｘＳＷＩＮが整合正であることを条件とし、第１更新後構成情報と第２更新後構成情報とを照合する場合を例示したが、先に第１更新後構成情報と第２更新後構成情報とを照合し、更新後構成情報が整合正であることを条件とし、第１更新後ＲｘＳＷＩＮと第２更新後ＲｘＳＷＩＮとを照合しても良い。

　又、有線ツール２３が更新データ、更新後の構成情報及び更新後のＲｘＳＷＩＮをＣＧＷ１３に同時に転送する場合を例示したが、更新データをＣＧＷ１３に転送タイミングと、更新後の構成情報及び更新後のＲｘＳＷＩＮをＣＧＷ１３に転送タイミングとが別であっても良い。又、ＣＧＷ１３に転送される更新後の構成情報の構成要素の一つとして更新後のＲｘＳＷＩＮが含まれる態様を例示したが、更新後のＲｘＳＷＩＮを更新後の構成情報と別としても良く、更新後のＲｘＳＷＩＮをＣＧＷ１３に転送するタイミングと、更新後の構成情報をＣＧＷ１３に転送するタイミングとが別であっても良い。

　以上に説明したように本実施形態によれば、次に示す作用効果を得ることができる。
　ＣＧＷ１３において、有線ツール２３から取得した第１更新後構成情報と、更新対象ＥＣＵ１９のソフトウェアを更新した後に更新対象ＥＣＵ１９を含む管理対象ＥＣＵ１９から取得した第２更新後構成情報とを照合して更新後構成情報の整合性を判定するようにした。ＯＴＡサービスの契約締結前であり、センター装置と通信接続を確立不能な状況であっても、更新後構成情報が正規であるか否かを適切に検証することができ、安心安全を適切に担保することができる。

　ＣＧＷ１３において、有線ツール２３から取得した第１更新後ＲｘＳＷＩＮと、自己が保持しているＲｘＳＷＩＮをソフトウェアの更新後に更新した第２更新後ＲｘＳＷＩＮとを照合して更新後ＲｘＳＷＩＮの整合性を判定するようにした。ソフトウェアの更新が法規要求の対象である場合に、安心安全をより適切に担保することができる。

　ＣＧＷ１３において、更新後ＲｘＳＷＩＮが整合否であると判定すると、又は更新後ＲｘＳＷＩＮが整合正であると判定したが更新後構成情報が整合否であると判定すると、ロールバックを実施するようにした。ロールバックを実施することで、更新対象ノードのソフトウェアを更新前の状態に戻すことができる。

　本開示は、実施例に準拠して記述されたが、当該実施例や構造に限定されるものではないと理解される。本開示は、様々な変形例や均等範囲内の変形をも包含する。加えて、様々な組み合わせや形態、更には、それらに一要素のみ、それ以上、或いはそれ以下を含む他の組み合わせや形態をも、本開示の範疇や思想範囲に入るものである。

　制御部３４は、更新データ、更新後の構成情報及び更新後のＲｘＳＷＩＮが有線ツール２３からＤＬＣ２２を介して転送されると、ＯＴＡサービスの契約締結前であるか否かを判定したり、センター装置３と通信接続を確立可能な状況であるか否かを判定したりしても良い。即ち、制御部３４は、ＯＴＡサービスの契約締結前であると判定し、且つセンター装置３と通信接続を確立不能な状況であると判定したことを条件とし、上記したステップＳ１以降を行っても良い。又、制御部３４は、ＯＴＡサービスの契約締結後であると判定したが、センター装置３と通信接続を確立不能な状況であると判定したことを条件とし、上記したステップＳ１以降を行っても良い。

　ＯＴＡサービスの契約締結後であり、センター装置３と通信接続を確立可能な状況である場合に、更新後構成情報の照合や更新後ＲｘＳＷＩＮの照合をセンター装置３及びＣＧＷ１３の両方で行っても良い。又、例えばセンター装置３と通信接続を確立可能な通常時には更新後構成情報の照合や更新後ＲｘＳＷＩＮの照合をセンター装置３で行い、センター装置３と通信接続を確立不能な非常時には更新後構成情報の照合や更新後ＲｘＳＷＩＮの照合をＣＧＷ１３で行う等、状況に応じて区分しても良い。

　本開示に記載の制御部及びそのパターンは、コンピュータプログラムにより具体化された一つ乃至は複数の機能を実行するようにプログラムされたプロセッサ及びメモリを構成することにより提供された専用コンピュータにより実現されても良い。或いは、本開示に記載の制御部及びそのパターンは、一つ以上の専用ハードウェア論理回路によりプロセッサを構成することにより提供された専用コンピュータにより実現されても良い。若しくは、本開示に記載の制御部及びそのパターンは、一つ乃至は複数の機能を実行するようにプログラムされたプロセッサ及びメモリと一つ以上のハードウェア論理回路により構成されたプロセッサとの組み合わせにより構成された一つ以上の専用コンピュータにより実現されても良い。又、コンピュータプログラムは、コンピュータにより実行されるインストラクションとして、コンピュータ読み取り可能な非遷移有形記録媒体に記憶されていても良い。

Claims

　作業者が操作可能な有線ツールから更新データを有線通信により取得する更新データ取得部（３４ａ）と、
　前記有線ツールから更新後の構成情報を第１更新後構成情報として有線通信により取得する第１更新後構成情報取得部（３４ｂ）と、
　前記更新データを更新対象ノードに書込むことで前記更新対象ノードのソフトウェアを更新するソフトウェア更新部（３４ｃ）と、
　前記更新対象ノードを含む管理対象ノードから更新後の構成情報を第２更新後構成情報として取得する第２更新後構成情報取得部（３４ｄ）と、
　前記第１更新後構成情報と前記第２更新後構成情報とを照合して更新後構成情報の整合性を判定する第１整合性判定部（３４ｅ）と、を備える車両用電子制御装置。
　前記構成情報は、前記管理対象ノードの識別情報と、前記管理対象ノードのハードウェアのバージョン情報と、前記管理対象ノードのソフトウェアのバージョン情報と、を含む請求項１に記載した車両用電子制御装置。
　前記有線ツールから更新後のシステムソフトウェア識別情報を第１更新後システムソフトウェア識別情報として有線通信により取得する第１更新後システムソフトウェア識別情報取得部（３４ｆ）と、
　システムソフトウェア識別情報を保持するシステムソフトウェア識別情報保持部（３０ｇ）と、
　前記システムソフトウェア識別情報保持部に保持されているシステムソフトウェア識別情報がソフトウェアの更新後に更新されたシステムソフトウェア識別情報を第２更新後システムソフトウェア識別情報として取得する第２更新後システムソフトウェア識別情報取得部（３４ｈ）と、
　前記第１更新後システムソフトウェア識別情報と前記第２更新後システムソフトウェア識別情報とを照合して更新後システムソフトウェア識別情報の整合性を判定する第２整合性判定部（３４ｉ）と、を備える請求項１又は２に記載した車両用電子制御装置。
　前記システムソフトウェア識別情報は、ＲｘＳＷＩＮとして表される請求項３に記載した車両用電子制御装置。
　前記更新後構成情報の整合否が前記第１整合性判定部により判定された場合に、前記更新対象ノードのソフトウェアを更新前の状態に戻すロールバックを実施するロールバック実施部（３４ｊ）を備える請求項１から４の何れか一項に記載した車両用電子制御装置。
　前記更新後構成情報の整合否が前記第１整合性判定部により判定された場合、又は前記更新後システムソフトウェア識別情報の整合否が前記第２整合性判定部により判定された場合に、前記更新対象ノードのソフトウェアを更新前の状態に戻すロールバックを実施するロールバック実施部（３４ｊ）を備える請求項３又は４に記載した車両用電子制御装置。
　前記第１整合性判定部の判定結果を表示端末及び前記有線ツールのうち少なくとも何れかに表示させる表示制御部（３４ｋ）を備える請求項１から６の何れか一項に記載した車両用電子制御装置。
　前記第１整合性判定部の判定結果及び前記第２整合性判定部の判定結果のうち少なくとも何れかを表示端末及び前記有線ツールのうち少なくとも何れかに表示させる表示制御部（３４ｋ）を備える請求項３、４及び６の何れか一項に記載した車両用電子制御装置。
　作業者が操作可能な有線ツール（２３）と、
　前記有線ツールと有線可能な車両用電子制御装置（１３）と、を備え、
　前記車両用電子制御装置は、
　前記有線ツールから更新データを有線通信により取得する更新データ取得部（３４ａ）と、
　前記有線ツールから更新後の構成情報を第１更新後構成情報として有線通信により取得する第１更新後構成情報取得部（３４ｂ）と、
　前記更新データを更新対象ノードに書込むことで前記更新対象ノードのソフトウェアを更新するソフトウェア更新部（３４ｃ）と、
　前記更新対象ノードを含む管理対象ノードから更新後の構成情報を第２更新後構成情報として取得する第２更新後構成情報取得部（３４ｄ）と、
　前記第１更新後構成情報と前記第２更新後構成情報とを照合して更新後構成情報の整合性を判定する第１整合性判定部（３４ｅ）と、を備える車両用電子制御システム。
　前記車両用電子制御装置は、
　前記有線ツールから更新後のシステムソフトウェア識別情報を第１更新後システムソフトウェア識別情報として有線通信により取得する第１更新後システムソフトウェア識別情報取得部（３４ｆ）と、
　システムソフトウェア識別情報を保持するシステムソフトウェア識別情報保持部（３０ｇ）と、
　前記システムソフトウェア識別情報保持部に保持されているシステムソフトウェア識別情報がソフトウェアの更新後に更新されたシステムソフトウェア識別情報を第２更新後システムソフトウェア識別情報として取得する第２更新後システムソフトウェア識別情報取得部（３４ｈ）と、
　前記第１更新後システムソフトウェア識別情報と前記第２更新後システムソフトウェア識別情報とを照合して更新後システムソフトウェア識別情報の整合性を判定する第２整合性判定部（３４ｉ）と、を備える請求項９に記載した車両用電子制御システム。
　車両用電子制御装置（１３）の制御部（３４）に、
　作業者が操作可能な有線ツールから更新データを有線通信により取得する更新データ取得手順と、
　前記有線ツールから更新後の構成情報を第１更新後構成情報として有線通信により取得する第１更新後構成情報取得手順と、
　前記更新データを更新対象ノードに書込むことで前記更新対象ノードのソフトウェアを更新するソフトウェア更新手順と、
　前記更新対象ノードを含む管理対象ノードから更新後の構成情報を第２更新後構成情報として取得する第２更新後構成情報取得手順と、
　前記第１更新後構成情報と前記第２更新後構成情報とを照合して更新後構成情報の整合性を判定する第１整合性判定手順と、を実行させる更新後構成情報判定プログラム。
　前記有線ツールから更新後のシステムソフトウェア識別情報を第１更新後システムソフトウェア識別情報として有線通信により取得する第１更新後システムソフトウェア識別情報取得手順と、
　保持しているシステムソフトウェア識別情報をソフトウェアの更新後に更新したシステムソフトウェア識別情報を第２更新後システムソフトウェア識別情報として取得する第２更新後システムソフトウェア識別情報取手順と、
　前記第１更新後システムソフトウェア識別情報と前記第２更新後システムソフトウェア識別情報とを照合して更新後システムソフトウェア識別情報の整合性を判定する第２整合性判定手順と、を実行させる請求項１１に記載した更新後構成情報判定プログラム。