WO2023171307A1

WO2023171307A1 - 車載装置、プログラム、及びプログラムの更新方法

Info

Publication number: WO2023171307A1
Application number: PCT/JP2023/005620
Authority: WO
Inventors: 孝之塩澤; 健古戸; 博志立石
Original assignee: 株式会社オートネットワーク技術研究所; 住友電装株式会社; 住友電気工業株式会社
Priority date: 2022-03-09
Filing date: 2023-02-17
Publication date: 2023-09-14
Also published as: JP2023131640A

Abstract

本開示の一態様に係る車載装置は、車外の外部サーバから取得した更新プログラムにより車両に搭載される車載ＥＣＵのプログラムを更新するための処理を行う更新装置と通信可能に接続される車載装置であって、前記更新装置におけるプログラムを更新するための処理を行う制御部を備え、前記制御部は、前記更新プログラムによる更新対象に前記更新装置が含まれる場合、前記更新装置にて行われる更新するための処理の少なくとも１部を代理する。

Description

車載装置、プログラム、及びプログラムの更新方法

　本開示は、車載装置、プログラム、及びプログラムの更新方法に関する。
　本出願は、２０２２年３月９日出願の日本出願第２０２２－０３６５１５号に基づく優先権を主張し、前記日本出願に記載された全ての記載内容を援用するものである。

　車両には、エンジン制御等の駆動制御系、エアコン制御等のボディ系等の車載機器を制御するためのＥＣＵ（Electronic Control Unit）が搭載されている。ＥＣＵは、ＭＰＵ等の演算処理部、例えばＥＥＰＲＯＭ等の書き換え可能な不揮発性の記憶部、及び他のＥＣＵと通信するための通信部を含み、記憶部に記憶した制御プログラムを読み込んで実行することにより、車載機器の制御を行う。更に車両には、無線通信の機能を備えた通信機（更新装置）が実装されており、通信機を介して、車外のネットワークに接続されているプログラム提供装置と通信し、当該プログラム提供装置からＥＣＵの制御プログラムをダウンロード受信）し、当該ＥＣＵの制御プログラムを更新することができる（例えば特許文献１参照）。

特開２０１７－９７８５１号公報

実施形態１に係る車載更新システムの構成を例示する模式図である。代理ＥＣＵの物理構成を例示するブロック図である。車両構成情報を例示する説明図である。実施形態１に係るプログラムの更新処理における更新装置、更新対象の車載ＥＣＵ及び代理ＥＣＵ等の状態遷移を例示する説明図である。実施形態１に係る更新装置、更新対象の車載ＥＣＵ及び代理ＥＣＵ等による処理の流れ（シーケンス）を例示する説明図である。実施形態１に係る代理ＥＣＵの制御部及び更新装置の制御部の処理を例示するフローチャートである。実施形態２に係る車載更新システムの構成を例示する模式図である。実施形態２に係るプログラムの更新処理における更新装置、更新対象の車載ＥＣＵ及び代理ＥＣＵ等の状態遷移を例示する説明図である。実施形態２に係る更新装置、更新対象の車載ＥＣＵ及び代理ＥＣＵ等による処理の流れ（シーケンス）を例示する説明図である。実施形態２に係る代理ＥＣＵの制御部及び更新装置の制御部の処理を例示するフローチャートである。

［本開示が解決しようとする課題］
　しかしながら、特許文献１においては、通信機（更新装置）に適用されている制御プログラム自体を更新する際の処理に関し、何ら考慮されていないという問題点がある。

　本開示の目的は、車載ＥＣＵのプログラムを更新する処理を行う更新装置が、当該更新自身に適用されているプログラムを更新する処理を行うにあたり、当該プログラムの更新処理を効率的に行うことができる車載装置等を提供する。

［本開示の効果］
　本開示の一態様によれば、車載ＥＣＵのプログラムを更新する処理を行う更新装置が、当該更新自身に適用されているプログラムを更新する処理を行うにあたり、当該プログラムの更新処理を効率的に行うことができる車載装置等を提供できる。

［本開示の実施形態の説明］
　最初に、本開示の実施態様を列挙して説明する。また、以下に記載する実施形態の少なくとも一部を任意に組み合わせてもよい。

（１）本開示の一態様に係る車載装置は、車外の外部サーバから取得した更新プログラムにより車両に搭載される車載ＥＣＵのプログラムを更新するための処理を行う更新装置と通信可能に接続される車載装置であって、前記更新装置におけるプログラムを更新するための処理を行う制御部を備え、前記制御部は、前記更新プログラムによる更新対象に前記更新装置が含まれる場合、前記更新装置にて行われる処理の少なくとも１部を代理する。

　本態様にあっては、車載装置（代理ＥＣＵ）の制御部は更新装置の処理を代理し、更新装置に更新装置自身（自装置）の更新に係る処理を指示することができる。更新装置は、自装置に対するプログラムの更新に関する処理について、車載装置（代理ＥＣＵ）からの指示に基づき行うことができる。即ち、更新装置は、自装置（更新装置自身）を更新する場合、当該更新の途中にて判断分岐等の処理内容が煩雑となることが懸念されるところ、車載装置（代理ＥＣＵ）に対し、自装置におけるプログラム更新（更新プログラムの適用等）を担わせることにより、更新装置におけるプログラム更新処理を円滑に行うことができる。

（２）本開示の一態様に係る車載装置は、前記代理する処理は、前記更新装置が取得した前記更新プログラムを、前記更新装置自身に適用するアクティベート処理を含む。

　本態様にあっては、更新装置は、自装置が更新対象である場合、車載装置（代理ＥＣＵ）からの指示に基づいてアクティベートされることで、更新に関わる処理を円滑に行うことができる。

（３）本開示の一態様に係る車載装置は、前記代理する処理は、アクティベート処理の結果に応じたロールバック処理を含む。

　本態様にあっては、車載装置（代理ＥＣＵ）からのアクティベート指示に応じて、更新装置がアクティベート処理を行った後、車載装置（代理ＥＣＵ）は、アクティベート処理後（更新プログラムの適用後）の更新装置に対し動作確認等の処理（異常検出シーケンス）を行う。車載装置（代理ＥＣＵ）は、アクティベート処理後の更新装置において、異常を検出した場合、ロールバック指示を当該更新装置に送信（出力）する。車載装置（代理ＥＣＵ）からロールバック指示を取得した更新装置は、更新プログラムを適用する前の元プログラムに戻すロールバック処理を行うため、アクティベート処理が失敗した場合であっても、更新装置は元プログラムを実行することができ、更新装置が車両に関する制御を行う機能を有する場合は、車両に関する制御を継続することができる。

（４）本開示の一態様に係る車載装置は、前記更新装置の記憶部には、前記代理する処理を行う代理ＥＣＵとして前記車載装置を特定する情報が、予め記憶されている。

　本態様にあっては、車載装置（代理ＥＣＵ）は、ＥＣＵ－ＩＤ、ＩＰアドレス等、又は、車載装置（代理ＥＣＵ）と通信するためのＣＡＮ－ＩＤ（メッセージＩＤにより実質的に車載装置を特定するものであってもよい）により特定される。更新プログラムの対象となる車載ＥＣＵに関わらず、更新装置の処理を代理する車載装置を一のＥＣＵ（代理ＥＣＵ）に予め定めておくこと（代理ＥＣＵを固定的に設定）により、更新装置は、更新装置の処理を代理する車載装置となるＥＣＵを都度決定（選定）する必要がなく、迅速に更新装置の更新処理を開始することが可能である。また、一のＥＣＵにのみ更新装置の処理を代理する車載装置（代理ＥＣＵ）としての機能を持たせれば足りるので、他の車載ＥＣＵの省メモリ化が可能である。

（５）本開示の一態様に係る車載装置は、前記制御部は、前記更新装置から、前記代理する処理を行う指示を示す指示信号を取得し、取得した前記指示信号に応じて、前記代理する処理を開始する。

　本態様にあっては、車載装置（代理ＥＣＵ）の制御部は、更新装置から、車載装置（代理ＥＣＵ）に代理する処理を行う指示を示す指示信号（代理指示信号）を取得した場合のみ、更新装置が行う処理を代理する。更新装置は、自装置が更新対象でない場合は自身で車載ＥＣＵの更新処理を行い、自装置が更新対象である場合のみ、車載装置（代理ＥＣＵ）に更新処理を代理させることができる。車載装置（代理ＥＣＵ）は、更新装置が更新プログラムを取得する毎に更新装置を代理して処理を行うのではなく、更新装置が更新対象である場合のみ更新装置を代理するので、不必要に更新装置の処理を代理することがなく、効率的に更新処理を行うことが可能である。

（６）本開示の一態様に係る車載装置は、前記代理する処理は、前記車載ＥＣＵのプログラムを更新するための処理を含み、前記更新装置は、車載ＥＣＵ間にて送受信されるデータを中継する中継機能を有し、前記制御部は、前記更新プログラムによる更新対象に前記更新装置が含まれる際、前記更新装置が中継機能を維持するか否かに応じて、前記車載ＥＣＵのプログラムを更新するための処理を異ならせる。

　本態様にあっては、車載装置（代理ＥＣＵ）の制御部は、更新プログラムによる更新対象に更新装置が含まれる際、すなわち更新装置が自装置のプログラムを更新する処理中において、当該更新装置が中継機能を維持するか否かを判定し、判定結果に応じて、車載ＥＣＵのプログラムを更新するための処理を異ならせる。従って、制御部が代理する処理に、車載ＥＣＵのプログラムを更新するための処理が含まれる場合であっても、更新装置による中継機能が維持されるか否かによって更新対象となる車載ＥＣＵに対し、異なる処理を行うことができ、更新装置に対する更新処理に応じた適切な代理処理を行うことができる。即ち、前記更新装置が中継機能を維持する場合、車載装置（代理ＥＣＵ）が直接、車載ＥＣＵに対してアクティベート処理又はロールバック処理を指示しすることが可能である。車載装置（代理ＥＣＵ）は、更新装置及び車載ＥＣＵに、同時にアクティベート処理又はロールバック処理を実行させることが可能なので、一段階の処理によって、迅速に更新に係る処理を行うことができる。

（７）本開示の一態様に係る車載装置は、前記更新装置には、前記外部サーバ側の通信線と、前記車載ＥＣＵ側の通信線とが接続され、前記外部サーバ側の通信線に接続される。

　本態様にあっては、車載装置（代理ＥＣＵ）は、外部サーバ側の通信線に接続されるため、外部サーバから送信された更新プログラムを、更新装置を介することなく、取得することができる。このように外部サーバ側の通信線に接続される車載装置（代理ＥＣＵ）は、例えば、外部サーバと通信する車外通信装置又は不正な通信を監視するセキュリティ装置等、外部サーバと更新装置との間に設けられる装置としても、機能させるものであってもよい。

（８）本開示の一態様に係る車載装置は、前記制御部は、前記更新装置を介することなく、外部サーバから前記更新プログラムを取得し、取得した前記更新プログラムに基づいて、前記代理する処理を開始することを、前記更新装置に対し要求する要求信号を出力する。

　本態様にあっては、車載装置（代理ＥＣＵ）は、更新装置を介することなく更新プログラムを取得するので、更新装置による処理とは独立し（別個に）、更新装置が更新対象であるか否かを判定することが可能である。これにより、更新装置が更新対象である場合、更新装置は、車載装置（代理ＥＣＵ）からの要求信号に応じて、車載装置（代理ＥＣＵ）に代理する処理を行う指示を示す指示信号（代理指示信号）を送信することができる。車載装置（代理ＥＣＵ）は、更新装置よりも先に更新プログラムを取得するので、更新装置が更新対象であるか否かを判定することが可能である。更新装置が更新対象である場合、更新装置は、車載ＥＣＵにアクティベート処理を指示した後、要求信号に基づいて、車載装置（代理ＥＣＵ）に代理する処理を行う指示を示す指示信号（代理指示信号）を送信することが可能であるので、更新装置自身で車載装置（代理ＥＣＵ）に代理指示信号を送信するか否かを判定する必要がなく、車載装置（代理ＥＣＵ）に処理を迅速に引き継ぐことができる。

（９）本開示の一態様に係る車載装置は、前記外部サーバ側の通信線には、外部サーバと無線通信するための車外通信装置が接続され、前記車外通信装置に含まれる。

　本態様にあっては、車載装置は、車外通信装置に含まれ、すなわち車外通信装置の一部位として構成されるものであってよい。このように車外通信装置に車載装置を内蔵することにより、同じ筐体に、これら装置を収納することができ、これら車外通信装置及び車載装置が別体として構成されるよりも、軽量化及び小型化することができる。

（１０）本開示の一態様に係るプログラムは、車外の外部サーバから取得した更新プログラムにより車両に搭載される車載ＥＣＵのプログラムを更新するための処理を行う更新装置と通信可能に接続されるコンピュータに、前記更新装置におけるプログラムを更新するための処理を行い、前記更新プログラムによる更新対象に前記更新装置が含まれる場合、前記更新装置にて行われる更新するための処理の少なくとも１部を代理する処理を実行させる。

　本態様にあっては、更新装置は、車載装置（代理ＥＣＵ）に対し、自装置におけるプログラム更新（更新プログラムの適用等）を担わせることにより、更新装置におけるプログラム更新処理を円滑に行うことができる。

（１１）本開示の一態様に係るプログラムの更新方法は、車外の外部サーバから取得した更新プログラムにより車両に搭載される車載ＥＣＵのプログラムを更新するための処理を行う更新装置と通信可能に接続されるコンピュータに、前記更新装置におけるプログラムを更新するための処理を行い、前記更新プログラムによる更新対象に前記更新装置が含まれる場合、前記更新装置にて行われる更新するための処理の少なくとも１部を代理する処理を実行させる。

［本開示の実施形態の詳細］
　本開示をその実施の形態を示す図面に基づいて具体的に説明する。本開示の実施形態に係る更新装置３を、以下に図面を参照しつつ説明する。なお、本開示はこれらの例示に限定されるものではなく、請求の範囲によって示され、請求の範囲と均等の意味及び範囲内での全ての変更が含まれることが意図される。

（実施形態１）
　以下、実施の形態について図面に基づいて説明する。図１は、実施形態１に係る車載更新システムＳの構成を示す模式図である。図２は、代理ＥＣＵ２の物理構成を例示するブロック図である。車載更新システムＳは、車両Ｃに搭載された車外通信装置１及び更新装置３を含み、車外ネットワークＮを介して接続された外部サーバＳ１（プログラム提供装置、ＯＴＡサーバ）から取得した更新プログラムを、車両Ｃに搭載されている車載ＥＣＵ４（Electronic Control Unit）に送信する。また、車載更新システムＳは、更新装置３と車載ＥＣＵとに接続する、車載ＥＣＵ側の通信線（車内側通信線５１）と、更新装置３と車外通信装置とに接続する、外部サーバ側の通信線（車外側通信線５２）とを含み、車外側通信線５２には、更新装置３の処理を代理する車載装置（代理ＥＣＵ２）が接続される。

　外部サーバＳ１は、例えばインターネット又は公衆回線網等の車外ネットワークＮに接続されているサーバ等のコンピュータであり、ＲＡＭ（Random Access Memory）、ROM（Read Only Memory）又はハードディスク等による記憶部Ｓ１１を備え、車外のプログラム提供装置に相当する。外部サーバＳ１には、車載ＥＣＵ４の製造メーカ等によって作成された当該車載ＥＣＵ４を制御するためのプログラム又はデータが、記憶部Ｓ１１に保存されている。当該プログラム又はデータは、更新プログラムとして、後述のごとく車両Ｃに送信され、車両Ｃに搭載されている車載ＥＣＵ４のプログラム又はデータを更新するために用いられる。このように構成された外部サーバＳ１（プログラム提供装置）は、ＯＴＡ（Over The Air）サーバとも称される。

　代理ＥＣＵ２は、車外側通信線５２に接続され、更新装置３を介さずに外部サーバＳ１から送信された更新プログラムを取得することが可能である。代理ＥＣＵ２は、取得した更新プログラムに基づき、更新装置３が更新対象であるか否かを判定する。代理ＥＣＵ２は、更新装置３が更新対象である場合、更新装置３を代理する処理を開始することを、前記更新装置に対し要求する要求信号を出力する。代理ＥＣＵ２は、更新装置３から送信される代理指示信号に応じて、更新装置３へのアクティベート指示、アクティベート処理後の更新装置３における動作確認、動作不備を検出した際のロールバック指示を行う。

　更新装置３は、外部サーバＳ１から取得した更新プログラムを、更新対象の車載ＥＣＵ４への送信、及び送信した更新プログラムを、当該車載ＥＣＵ４に適用させるためのアクティベート指示を送信するＯＴＡマスタとして機能する。ＯＴＡマスタとして機能する更新装置３は、自装置に対し更新プログラムを適用（アクティベート処理）するにあたり、代理ＥＣＵ２に更新装置３を代理する処理を行う指示を示す代理指示信号を送信し、代理ＥＣＵ２の指示に応じてアクティベート処理又はロールバック処理を行う。車両Ｃに搭載される車載ＥＣＵ４は、更新装置３を介して、外部サーバＳ１から無線通信により送信された更新プログラムを取得し、アクティベート指示に応じて当該更新プログラムを適用（アクティベート処理）することにより、自ＥＣＵが実行するプログラムを更新（リプロ）する。

　以降、プログラムは、車載ＥＣＵ４が処理を行うための制御構文等を含むプログラムコード及び、当該プログラムコードを実行するにあたり参照するデータが記載される外部ファイルを含むものとして説明する。更新プログラムの送信時において、これらプログラコード及びデータが記載される外部ファイルは、例えば暗号化されたアーカイブファイルとして、外部サーバＳ１から送信される。外部サーバＳ１は、更新プログラムを送信する際、当該更新プログラムを含むパッケージを生成し、生成したパッケージを車両Ｃに送信する。パッケージは、例えば、プログラム更新に関する情報であるパッケージ情報（キャンペーン情報）、更新対象となる車載ＥＣＵ４に関する情報（ターゲット情報）、更新対象の車載ＥＣＵ４に対し適用される更新プログラムを含む。

　車両Ｃには、車外通信装置１、更新装置３、表示装置（図示略）、及び種々の車載機器を制御するための複数の車載ＥＣＵ４が搭載されている。車外通信装置１と更新装置３とは、例えばシリアルケーブル等のハーネスにより通信可能に接続されている。更新装置３及び車載ＥＣＵ４は、ＣＡＮ（Control Area Network）又はＥｔｈｅｒｎｅｔ（登録商標）等の通信プロトコルに対応した車載ネットワーク５によって通信可能に接続されている。

　車外通信装置１は、車外通信部（図示せず）及び、更新装置３と通信するための入出力Ｉ／Ｆ（図示せず）（インターフェイス）を含む。車外通信部は、ＬＴＥ（登録商標）、４Ｇ、５Ｇ、ＷｉＦｉ（登録商標）等の移動体通信のプロトコルを用いて無線通信をするための通信装置であり、車外通信部に接続されたアンテナ１１を介して外部サーバＳ１とデータの送受信を行う。車外通信装置１と外部サーバＳ１との通信は、例えば公衆回線網又はインターネット等の車外ネットワークＮを介して行われる。

　車外通信装置１の入出力Ｉ／Ｆは、更新装置３と、例えばシリアル通信するための通信インターフェイスである。車外通信装置１と更新装置３とは、入出力Ｉ／Ｆ間に接続されたシリアルケーブル等のハーネスを介して相互に通信する。本実施形態では、車外通信装置１は、更新装置３と別装置とし、入出力Ｉ／Ｆ等によってこれら装置を通信可能に接続しているが、これに限定されない。車外通信装置１は、更新装置３の一構成部位として、更新装置３に内蔵されるものであってもよい。又は、車外通信装置１と更新装置３は、ＣＡＮ等の車載ネットワーク５により接続されていてもよい。

　代理ＥＣＵ２は、制御部２０、記憶部２１、及び車内通信部２２を含む。代理ＥＣＵ２は、更新装置３から代理指示信号が送信された場合以外は、例えば、不正な通信を監視するセキュリティ装置として機能する。なお、代理ＥＣＵ２は、車外通信装置１の一構成部位として、車外通信装置１に内蔵されるものであってもよい。

　代理ＥＣＵ２の制御部２０は、ＣＰＵ（Central Processing Unit）又はＭＰＵ（Micro Processing Unit）等により構成してあり、記憶部に予め記憶された制御プログラムＰ（プログラム製品）及びデータを読み出して実行することにより、種々の制御処理及び演算処理等を行うようにしてある。

　代理ＥＣＵ２の記憶部２１は、ＲＡＭ（Random Access Memory）等の揮発性のメモリ素子又は、ROM（Read Only Memory）、ＥＥＰＲＯＭ（Electrically Erasable Programmable ROM）若しくはフラッシュメモリ等の不揮発性のメモリ素子により構成される。記憶部２１には、代理ＥＣＵ２の制御プログラムが記憶される。また、記憶部２１には、外部サーバＳ１から取得した更新プログラムが記憶される。記憶部２１に記憶された制御プログラムＰ（プログラム製品）は、更新装置３が読み取り可能な記録媒体２１１から読み出された制御プログラムＰ（プログラム製品）を記憶したものであってもよい。また、図示しない通信網に接続されている図示しない外部コンピュータから制御プログラムＰをダウンロードし、記憶部に記憶させたものであってもよい。また、代理ＥＣＵ２の記憶部２１には、自身が代理する機能を有するＥＣＵであることを示すフラグ値又は設定ファイル等が記憶されているものであってもよい。

　車内通信部２２は、例えばＣＡＮ又はイーサネット（Ethernet／登録商標）等の通信プロトコルを用いた入出力インターフェイスであり、制御部は、車内通信部２２を介して、車外側通信線５２に接続された車外通信装置１又は更新装置３と相互に通信する。

　更新装置３は、制御部、記憶部（第１記憶部、第２記憶部）、入出力Ｉ／Ｆ、及び車内通信部（すべて図示略）を含む。更新装置３は、車外通信装置１が無線通信によって外部サーバＳ１から受信した更新プログラム（パッケージ）を、車外通信装置１から取得し、車載ネットワーク５を介して当該更新プログラムを所定の車載ＥＣＵ４（更新対象の車載ＥＣＵ４）に送信するように構成されている。すなわち、更新装置３は、更新象の車載ＥＣＵ４におけるプログラム更新を制御するＯＴＡマスタ（リプロマスタ）として機能する。

　更新装置３は、例えば、制御系の車載ＥＣＵ４、安全系の車載ＥＣＵ４及び、ボディ系の車載ＥＣＵ４等の複数の系統のバス（セグメント）を統括し、これらバス（セグメント）間での車載ＥＣＵ４同士の通信を中継するゲートウェイ（車載中継装置）である。すなわち、更新装置３には、これら複数のバス（セグメント）を構成する車内側通信線５１それぞれが接続され、当該更新装置３によって集約される複数の車内側通信線５１（セグメント）により車載ネットワーク５が構成される。更新装置３は、ＣＡＮプロトコルの中継においてはＣＡＮゲートウェイとして機能し、ＴＣＰ／ＩＰプロトコルの中継においてはレイヤー２スイッチ又はレイヤー３スイッチとして機能する。更新装置３は、通信に関する中継に加え、二次電池等の電源装置から出力された電力を分配及び中継し、自装置に接続されるアクチュエータ等の車載器に電力を供給する電力分配装置としても機能するＰＬＢ（Power Lan Box）であってもよい。又は、更新装置３は、車両Ｃ全体をコントロールするボディＥＣＵの一機能部として構成されるものであってもよい。又は、更新装置３は、例えばヴィークルコンピュータ等の中央制御装置にて構成され、車両Ｃの全体的な制御を行う統合ＥＣＵであってもよい。

　更新装置３の制御部は、ＣＰＵ（Central Processing Unit）又はＭＰＵ（Micro Processing Unit）等により構成してあり、記憶部に予め記憶された更新装置３の制御プログラム及びデータを読み出して実行することにより、種々の制御処理及び演算処理等を行うようにしてある。

　更新装置３の記憶部は、第１記憶部、及び第２記憶部による２つの記憶領域により構成され、これら第１記憶部及び第２記憶部それぞれは、ＲＡＭ（Random Access Memory）等の揮発性のメモリ素子又は、ROM（Read Only Memory）、ＥＥＰＲＯＭ（Electrically Erasable Programmable ROM）若しくはフラッシュメモリ等の不揮発性のメモリ素子により構成される。第１記憶部及び第２記憶部には、制御プログラム及び処理時に参照するデータが予め記憶してある。当該制御プログラムが、外部サーバＳ１から取得した更新プログラムによって、更新される対象である。記憶部（第１記憶部、第２記憶部）に記憶された制御プログラムは、更新装置３が読み取り可能な記録媒体から読み出された制御プログラム（プログラム製品）を記憶したものであってもよい。なお、図示しない通信網に接続されている図示しない外部コンピュータから制御プログラムをダウンロードし、記憶部に記憶させたものであってもよい。また、更新装置３の記憶部には、代理ＥＣＵを特定するＥＣＵ－ＩＤ、ＩＰアドレス等、又は、車載装置（代理ＥＣＵ）と通信するためのＣＡＮ－ＩＤ（メッセージＩＤにより実質的に車載装置を特定するものであってもよい）等が記憶されてもよい。

　更新装置３の記憶部（第１記憶部、第２記憶部）には、現バージョン及び旧バージョンの２つのプログラム（更新装置３の制御プログラム）夫々のバージョンに関する情報、及び現在実行（適用）している制御プログラムが記憶されている領域（動作面）に関する情報が記憶されている。すなわち、現状において第１記憶部（第１面）に記憶されている制御プログラムを実行している場合、第１記憶部には、動作面は第１記憶部（第１面）であると記憶される。この場合、非動作面は、第２記憶部（第２面）であると記憶される。動作面である第１記憶部には、現バージョンの制御プログラムが記憶されている。非動作面である第２記憶部には、旧バージョンの制御プログラムが記憶されている。又は、非動作面である第２記憶部には、旧バージョンの制御プログラム等が記憶されておらず、空き容量となる記憶領域であってもよい。このように非動作面が、空き容量の記憶領域又は旧バージョンの制御プログラム等が記憶されている状態となっていることにより、更新時に、当該非運用面に新バージョンの制御プログラムを書き込むことで、旧バージョンに戻せる状態を担保することができる。

　更新装置３の入出力Ｉ／Ｆは、車外通信装置１の入出力Ｉ／Ｆと同様に、例えばシリアル通信するための通信インターフェイスである。入出力Ｉ／Ｆを介して、更新装置３は、表示装置及びＩＧスイッチ（図示略）と通信可能に接続される。

　更新装置３の車内通信部は、例えばＣＡＮ又はイーサネット（Ethernet／登録商標）等の通信プロトコルを用いた入出力インターフェイスであり、制御部は、車内通信部を介して車載ネットワーク５に接続されている車載ＥＣＵ４又は他の中継装置等の車載機器と相互に通信する。車内通信部は、複数個（本実施形態では４個）設けられており、４個の車内通信部のうち３個には、車内通信部夫々に、車載ネットワーク５を構成する車内側通信線５１（セグメント）が接続されている。このように車内通信部を複数個設けることにより車載ネットワーク５を複数個のセグメントに分け、例えば車載ＥＣＵ４の機能（制御系機能、安全系機能、ボディ系機能）に応じて、個々の車載ＥＣＵ４を各セグメントに接続する。４個の車内通信部のうち、車内側通信線が接続されない車内通信部には、車外側通信線５２が接続されており、該車内通信部は、車外側通信線５２を介して車外通信装置１又は代理ＥＣＵ２と相互に通信する。

　車載ＥＣＵ４は、代理ＥＣＵ２と同様に制御部、記憶部及び車内通信部（図示せず）を含む。記憶部は、ＲＡＭ（Random Access Memory）等の揮発性のメモリ素子又は、ROM（Read Only Memory）、ＥＥＰＲＯＭ（Electrically Erasable Programmable ROM）若しくはフラッシュメモリ等の不揮発性のメモリ素子により構成してあり、車載ＥＣＵ４のプログラム又はデータが記憶されている。なお、車載ＥＣＵ４の記憶部は、更新装置３の記憶部と同様に、第１記憶部、及び第２記憶部による２つの記憶領域により構成される。このプログラム又はデータが、プログラム提供装置から送信され、更新装置３によって中継される更新プログラムによって、更新される対象である。車載ＥＣＵ４の車内通信部は、更新装置３と同様に、例えば、ＣＡＮトランシーバ又はイーサネットＰＨＹ部等により構成され、当該車内通信部を介して更新装置３と通信する。

図３は、車両構成情報を例示する説明図である。更新装置３は、定期的、周期的又は定常的に車両Ｃ（自車）に搭載されている全ての車載ＥＣＵ４と通信し、これら車載ＥＣＵ４に関する情報を取得する。更新装置３は、例えば、ＩＧスイッチがオンにされた場合、オフにされた場合又は、所定のタイミングにて、定常的に車両Ｃに搭載されている全ての車載ＥＣＵ４又は特定の車載ＥＣＵ４に対し、自ＥＣＵの構成情報及び当該構成情報の更新履歴を送信することを要求する。更新装置３は、車載ＥＣＵ４夫々から送信された構成情報及び更新履歴を取得してこれら構成情報等を集約し、集約した構成情報及び更新履歴を車両構成情報として記憶する。

　更新装置３は、車載ＥＣＵ４に対し構成情報及び更新履歴を送信することを要求することなく、車載ＥＣＵ４夫々が自発的に送信した構成情報夫々及び更新履歴夫々を取得し集約して、記憶部に記憶するものであってもよい。又は、更新装置３は、更新プログラムを車載ＥＣＵ４に送信し、当該送信が完了した都度、送信した更新プログラムに基づいて構成情報（車両構成情報）を変更してもよい。更新装置３は、これら複数の車載ＥＣＵ４から取得した個々の車載ＥＣＵ４に関する情報を集約することにより、例えばテーブル形式にて車両構成情報を生成し、自装置の記憶部に記憶する。車両構成情報を記憶する記憶部は、第１記憶部、第２記憶部又は、第１記憶部及び第２記憶部の双方に重複して記憶するものであってもよい。

　一例としてテーブル形式に保存される車両構成情報は、管理項目（フィールド）として、例えば車載ＥＣＵ４の製造番号（シリアル番号）、ＥＣＵ部番（型番）、Ｓｏｆｔｗａｒｅ部番、プログラムの現バージョン、旧バージョン、動作面、状態（リプロステータス）、セグメント番号、及び更新対象(キャンペーン番号)、を含み、個々の車載ＥＣＵ４において重複しないように設定された連番等によるＥＣＵ－ＩＤに関連付けられて管理される。ＥＣＵ－ＩＤの管理項目には、車両Ｃに搭載される全ての車載ＥＣＵ４において、これら車載ＥＣＵ４を一意に識別するための連番等による識別番号が格納される。更に、車両構成情報は、管理項目（フィールド）として、車載ＥＣＵ４のＭＡＣ（Media Access Control）アドレス、及びＩＰアドレスを含むものであってもよい。

　製造番号（シリアル番号）は、車載ＥＣＵ４の製造時に付与される番号であり、生産拠点等を示すロット番号及び製造時の連番等により構成され、当該ＥＣＵを一意に特定することができるユニークな番号である。ＥＣＵ部番（型番）は、車載ＥＣＵ４の種類を特定する番号であり、例えば部品番号である。Ｓｏｆｔｗａｒｅ部番は、更新プログラム（更新対象となる制御プログラムＰ）のソフトウェアの種類を特定するための番号である。更新装置３は、外部サーバＳ１から取得したターゲット情報に含まれる製造番号又はＥＣＵ部番と、車両構成情報に含まれる製造番号又はＥＣＵ部番とを照らし合わせることにより、自車に搭載されている車載ＥＣＵ４のうち、更新対象の車載ＥＣＵ４を特定するものであってもよい。

　現バージョンは、現状において、車載ＥＣＵ４が実行（適用）しているプログラムのバージョン番号であり、動作面に記憶されているプログラムのバージョン番号である。旧バージョンは、以前に車載ＥＣＵ４が実行（適用）していたプログラムのバージョン番号であり、非動作面（動作面でない記憶領域）に記憶されているプログラムのバージョン番号である。動作面は、現状において、車載ＥＣＵ４が実行（適用）しているプログラムが記憶されているいずれかの記憶領域（１面：第１記憶部又は、２面：第２記憶部）を特定する情報である。これら運用面とバージョン情報は、更新時に書き込まれた新バージョンのプログラムから、旧バージョンのプログラムにロールバックされる場合に用いられるように記憶されている。

　状態の管理項目には、対応する車載ＥＣＵ４（同じレコードのＥＣＵ－ＩＤ）における更新プログラムの適用に関する状態情報（リプロステータス）が格納される。更新装置３は、アクティベート指示の送信先となる車載ＥＣＵ４と通信し、当該車載ＥＣＵ４の状態情報（リプロステータス）を取得することにより、個々の車載ＥＣＵ４の状態（状態の管理項目）を更新するものであってもよい。これにより、更新装置３は、アクティベート処理後の車載ＥＣＵ４それぞれにおける状態情報（リプロステータス）を集約して、保存及び管理することができる。更新装置３は、更新時の新バージョンのプログラムのインストール時、アクティベート時、及びロールバック処理時に、これらのデータを参照又は更新を行うものであってもよい。

　セグメント番号の管理項目には、対応する車載ＥＣＵ４が接続されている車内側通信線５１（セグメント）の番号が格納されている。当該車内側通信線５１（セグメント）の番号は、更新装置３が備える複数の車内通信部それぞれの番号（通信ポート番号）に対応している。これにより、更新装置３は、車内側通信線５１（セグメント）を介して、自装置における車内通信部２２それぞれに直接的に接続されている個々の車載ＥＣＵ４を特定することができる。

　更新対象(キャンペーン番号)の管理項目には、今回の更新（キャンペーン）の対象となる車載ＥＣＵ４に対し、例えば、キャンペーン番号が格納される。例えば、複数の車載ＥＣＵ４が同時に更新されるグループ更新を行う際、当該更新対象（キャンペーン対象）となる複数の車載ＥＣＵ４のバージョンのセットで整合性を判断することが必要である。これに対し、車両Ｃに搭載される全ての車載ＥＣＵ４において、今回の更新（キャンペーン）の対象となる車載ＥＣＵ４のフィールドには、当該キャンペーンの番号を格納することにより、更新対象となる車載ＥＣＵ４を効率的に特定することができる。本実施形態における図示のとおり、更新対象外の車載ＥＣＵ４フィールドには、例えば、空白（null値を格納）とするものであってもよい。更に、当該キャンペーンの番号が更新対象のフィールドに格納されている複数の車載ＥＣＵ４に関する情報（ＥＣＵ部番、ソフトウェアバージョン等）を抜き出し、別個のテーブルにてリスト管理等を行うものであってよい。

　図４は、実施形態１に係るプログラムの更新処理における更新装置３、更新対象の車載ＥＣＵ４及び代理ＥＣＵ２等の状態遷移を例示する説明図である。更新対象の更新装置３及び車載ＥＣＵ４において、更新プログラムを記憶する前の状態と、記憶した後の状態とは、表示形態を反転して示している。

　更新プログラムを記憶する前（書換え前）の状態において、更新装置３及び車載ＥＣＵ４は、動作面に記憶されている制御プログラムＰを実行している。更新装置３が外部サーバＳ１から取得した自装置用の更新プログラムを自装置の非動作面に記憶すると共に、車載ＥＣＵ４に車載ＥＣＵ４用の更新プログラムを送信することにより、更新装置３及び車載ＥＣＵ４の非動作面に更新プログラムが記憶される。

　更新装置３は、代理ＥＣＵ２に代理指示を送信すると共に、更新対象の車載ＥＣＵ４にアクティベート指示を送信する。代理指示に応答した代理ＥＣＵ２は処理シーケンスを開始し、更新装置３にアクティベート指示を送信する。アクティベート指示の送信後、代理ＥＣＵ２は、アクティベート処理を行った更新装置３における動作不備の有無を検出する。

　代理ＥＣＵ２は、アクティベート処理後の更新装置３に動作不備を検出した場合（動作不備：有）、更新装置３にロールバック指示を送信する。代理ＥＣＵ２からのロールバック指示を受信した更新装置３は、更新プログラムを適用する前の元プログラムを実行することにより、ロールバック処理を行う。ロールバック処理を行い、更新プログラムを適用する前の元プログラムを実行する更新装置３は、更新対象の車載ＥＣＵ４に対し、ロールバック指示を送信する。なお、更新装置３が、更新処理の際にも通信中継機能を保持している場合、代理ＥＣＵ２が更新装置３の中継機能を介して車載ＥＣＵ４にロールバック指示を送信してもよい。

　代理ＥＣＵ２からのロールバック指示を受信した更新装置３は、更新プログラムを適用する前の元プログラムを実行することにより、ロールバック処理を行う。これにより、更新装置３及び車載ＥＣＵ４は、更新プログラムが適用される前の元プログラムを実行するものとなる。

　このように代理ＥＣＵ２によって更新装置３におけるアクティベート処理及びロールバック処理を行うことにより、更新対象である更新装置３及び車載ＥＣＵ４に対し、２段階でのアクティベート処理及びロールバック処理を行うものとなる。これに対し、これら更新装置３及び車載ＥＣＵ４へのプログラムの更新に関する一連の処理を、エンジン始動又はトラクションモータ駆動が禁止される期間等、車両Ｃが起動状態となることを禁止される期間にて行う。当該禁止期間に行うことにより、適用されたプログラム間での一時的な不整合（バージョン違い）が発生した状態にて、エンジン始動等が行われることを防止することができる。更新装置３は、更新プログラムに関する一連の処理を、車両Ｃが起動状態となることを禁止される期間にて行うにあたり、入出力Ｉ／Ｆ等を介してＩＧスイッチから出力されるオン信号を、例えばマスク処理等行うことにより一時的に無効化するものであってもよい。

　図５は、実施形態１に係る更新装置３、更新対象の車載ＥＣＵ４及び代理ＥＣＵ２等による処理の流れ（シーケンス）を例示する説明図である。更新プログラムを用いて、更新装置３（ＯＴＡマスタ）及び更新対象の車載ＥＣＵ４におけるプログラム更新に関する処理を行うにあたり、外部サーバＳ１（ＯＴＡサーバ）、更新装置３（ＯＴＡマスタ）、更新対象の車載ＥＣＵ４（ターゲットＥＣＵ）、及び代理ＥＣＵ２それぞれの処理シーケンスについて説明する。

　更新装置３は、更新プログラムを外部サーバＳ１から取得する（Ｓ０１）。更新装置３は、例えば、自装置が搭載されている車両Ｃ（自車）の識別番号（ＶＩＮ：Vehicle Identification Number）を用いて、外部サーバＳ１にアクセスし、当該外部サーバＳ１から自車に対して適用される更新プログラムを含むパッケージを取得する。当該パッケージには、例えば、プログラム更新に関する情報であるパッケージ情報（キャンペーン情報）、更新対象となる更新装置３及び車載ＥＣＵ４に関する情報（ターゲット情報）、プログラムの更新対象である更新装置３及び車載ＥＣＵ４に適用される更新プログラムが含まれている。

　更新装置３は、自装置用の更新プログラムを記憶する（Ｓ０２）。更新装置３は、自装置用の更新プログラムを、非動作面である記憶領域（記憶部）に記憶する。更新装置３は、プログラムを記憶する記憶領域として、第１記憶部及び第２記憶部を備えており、例えば、現時点にて実行しているプログラムが第１記憶部の場合、当該第１記憶部が動作面に相当する。この場合、非動作面である第２記憶部には、現時点にて実行しているプログラムよりも前のバージョン（旧バージョン）のプログラムが、バックアップとして保存されている。更新装置３は、非動作面である第２記憶部に、外部サーバＳ１から取得した自装置用の更新プログラムを記憶する。これにより、現時点にて実行しているプログラムは、上書きされることなく、第１記憶部にて記憶されている状態を維持することができる。　

　代理ＥＣＵ２は、更新プログラムを外部サーバＳ１から取得する（Ｓ０３）。上述のとおり、代理ＥＣＵ２は、車外通信装置１と同じ車外側通信線５２に接続されており、外部サーバから更新装置３に当該車外側通信線５２を介して、更新プログラムが送信される際、代理ＥＣＵ２も、更新装置３を介することなく、更新プログラムを受信することができる。例えば、外部サーバからの更新プログラムがマルチキャストを用いて送信される場合、これら代理ＥＣＵ２及び更新装置３による複数の通信ノードが、当該更新プログラムを同時に取得するものであってもよい。このように、代理ＥＣＵ２は、更新装置３が更新プログラムを取得する際に、車外通信装置１と更新装置３との通信を確認することで、更新プログラムを取得するものとなる。なお、本実施形態において、代理ＥＣＵ２は、更新装置３を介することなく更新プログラムを受信するとしたがこれに限定されず、更新装置３から更新プログラムを取得するものであってもよい。

　代理ＥＣＵ２は、更新装置３に、要求信号を送信する（Ｓ０４）。代理ＥＣＵ２は、取得した更新プログラムに基づき、更新装置３が更新の対象であるか否かを判定し、更新装置３が更新の対象である場合、更新装置３を代理する処理を開始することを、前記更新装置に対し要求する要求信号を出力する。

　更新装置３は、更新対象の車載ＥＣＵ４へ、当該車載ＥＣＵ４用の更新プログラムを出力（送信）する（Ｓ０５）。更新装置３は、外部サーバＳ１から取得したターゲット情報に基づき更新対象の車載ＥＣＵ４を特定し、特定した車載ＥＣＵ４に対し、当該車載ＥＣＵ４用の更新プログラムを送信する。

　更新対象の車載ＥＣＵ４は、更新装置３から取得（受信）した更新プログラムを記憶する（Ｓ０６）。更新対象の車載ＥＣＵ４は、更新装置３と同様に、取得した更新プログラムを非動作面に記憶することにより、現時点にて実行しているプログラム（動作面に記憶）が、上書きされることを回避することができる。

　更新装置３は、代理ＥＣＵ２に、代理指示信号を送信する（Ｓ０７）。更新装置３は、代理ＥＣＵ２から要求信号を取得（受信）していた場合、要求信号を送信した代理ＥＣＵ２に更新装置３を代理する処理を行う指示を示す代理指示信号を送信する。

　更新装置３からの代理指示信号に応答した代理ＥＣＵ２は、例えば、当該代理指示信号をトリガーとし、更新装置３を代理する処理ルーチンを開始する。これにより、代理ＥＣＵ２は、更新装置３にアクティベート指示を行うアクティベート指示部、アクティベート処理を行った更新装置３に対する異常検出部及び復旧制御部として機能を発揮する。

　更新装置３は、更新対象の車載ＥＣＵ４へ、アクティベート指示を出力（送信）する（Ｓ０８）。更新装置３は、更新対象の車載ＥＣＵ４それぞれにアクティベート指示を出力し、これら車載ＥＣＵ４にアクティベート処理を実行させる。

　更新対象の車載ＥＣＵ４は、更新装置３から出力されたアクティベート指示に応じて、アクティベート処理を行う（Ｓ０９）。更新装置３から出力されたアクティベート指示を取得（受信）した車載ＥＣＵ４は、更新プログラムが記憶された記憶領域を動作面として再起動することにより、当該更新プログラムを適用するアクティベート処理を行う。

　代理ＥＣＵ２は、更新装置３に対し、アクティベート指示を出力（送信）する（Ｓ１０）。更新装置３は、代理ＥＣＵ２から出力されたアクティベート指示に応じて、アクティベート処理を行う（Ｓ１１）。代理ＥＣＵ２から出力されたアクティベート指示を取得（受信）した更新装置３は、更新プログラムが記憶された記憶領域を動作面として再起動することにより、当該更新プログラムを適用するアクティベート処理を行う。

　代理ＥＣＵ２は、アクティベート処理を行った更新装置３に対し、動作確認（動作不備検出）の処理を行う（Ｓ１２）。代理ＥＣＵ２（異常検出部）は、例えば、アクティベート処理後の更新装置３から送信される定期的な自発送信フレームの有無を監視し、当該自発送信フレームを受信した場合はアクティベート処理後の更新装置３は正常であると判定し、受信できなかった場合は異常であると判定（動作不備検出）する。又は、代理ＥＣＵ２は、動作不備検出を行うためのテスト用信号をアクティベート処理後の更新装置３に送出し、当該テスト用信号に対する応答信号を受信したか否かに基づき、当該更新装置３の動作確認（動作不備検出）を行うものであってもよい。すなわち、代理ＥＣＵ２は、アクティベート処理後の更新装置３から、テスト用信号に対する応答信号を受信した場合は正常であると判定し、受信できなかった場合は異常であると判定（動作不備検出）するものであってもよい。

　代理ＥＣＵ２は、動作確認結果に応じて、更新装置３に対し正常通知又はロールバック指示を出力（送信）する（Ｓ１３）。代理ＥＣＵ２は、動作確認結果が正常である場合、正常通知を更新装置３に出力（送信）する。代理ＥＣＵ２（復旧制御部）は、動作確認結果が異常（動作不備を検出）である場合、ロールバック指示を更新装置３に出力（送信）する。当該ロールバック指示は、更新装置３におけるアクティベート処理（更新プログラムの適用）が失敗したことを示す異常通知に相当する。

　更新装置３は、代理ＥＣＵ２から出力されたロールバック指示に基づき、ロールバック処理を行う（Ｓ１４）。代理ＥＣＵ２から出力されたロールバック指示を受信した更新装置３は、更新プログラムを適用（アクティベート処理）する前に実行していたプログラム（元プログラム）を実行すべく再起動を行うことにより、ロールバック処理を行う。当該元プログラムは、更新プログラムが記憶されている記憶領域（動作面）とは、異なる記憶領域（非動作面）にバックアップとして記憶（保存）されている。更新装置３は、当該元プログラムが記憶されている記憶領域を動作面として再起動することにより、更新プログラムが記憶されている記憶領域を非動作面とし、ロールバック処理を行うことができる。

　更新装置３は、更新対象の車載ＥＣＵ４へ、ロールバック指示を出力（送信）する（Ｓ１５）。更新装置３は、自装置のロールバック処理した場合、更新対象の車載ＥＣＵ４に対してもロールバック指示を出力することにより、これら更新装置３及び車載ＥＣＵ４においてプログラムのバージョンの差異等による不整合が発生することを解消する。

　更新装置３は、自装置のロールバック処理しなかった場合、すなわち自装置のアクティベート処理が正常終了した場合であっても、更新対象の車載ＥＣＵ４のうち、いずれかの車載ＥＣＵ４にてアクティベート処理が失敗した場合、更新対象の全ての車載ＥＣＵ４へロールバック指示を出力（送信）する。この場合、更新装置３は、更に自装置のロールバック処理を行う。これにより、更新装置３及び車載ＥＣＵ４においてプログラムのバージョンの差異等による不整合が発生することを解消することができる。

　更新対象の車載ＥＣＵ４は、更新装置３から出力されたロールバック指示に応じて、ロールバック処理を行う（Ｓ１６）。更新対象の車載ＥＣＵ４は、更新装置３と同様に、更新プログラムが記憶されている記憶領域と、元プログラムが記憶されている記憶領域とにおける動作面及び非動作面の対応関係を切り替えて再起動することにより、元プログラムの実行環境に戻すロールバック処理を行う。

　更新装置３は、更新プログラムに関する処理結果を外部サーバＳ１に出力（送信）する（Ｓ１７）。更新装置３は、更新プログラムに関する処理の結果として、更新対象である更新装置３及び車載ＥＣＵ４への更新プログラムの適用が成功した旨を示す更新成功通知、又は更新プログラムの適用が失敗しロールバックした旨を示す更新失敗通知を外部サーバＳ１に出力（送信）する。更新装置３は、更新プログラムに関する処理の結果を表示装置に出力し、当該処理結果を表示装置に表示させるものであってもよい。更新装置３は、当該更新プログラムの処理結果に基づき、更新対象である更新装置３及び車載ＥＣＵ４に関する車両構成情報を修正するものであってもよい。

　本実施形態において、代理ＥＣＵ２は、更新装置３におけるプログラムの更新処理を代理するとしたが、これに限定されず、代理ＥＣＵ２は、更新対象である更新装置３及び車載ＥＣＵ４におけるプログラムの更新処理の全てを代理するものであってもよい。

　図６は、実施形態１に係る代理ＥＣＵ２の制御部２０及び更新装置３の制御部の処理を例示するフローチャートである。更新装置３の制御部は、例えば車両Ｃが停止状態（ＩＧスイッチがオフ）において、定常的に以下の処理を行う。

　更新装置３の制御部は、外部サーバＳ１から更新プログラムを取得する（Ｓ１０１）。更新装置３の制御部は、自装置用の更新プログラムを記憶する（Ｓ１０２）。更新装置３の制御部は、外部サーバＳ１から、自装置及び車載ＥＣＵ４に適用するための更新プログラムを含むパッケージを取得し、自装置用の更新プログラムを、非動作面の記憶領域に記憶する。例えば、第１記憶部２３１が動作面であり、現時点にて実行しているプログラムが記憶されている場合、更新装置３の制御部は、非動作面である第２記憶部２３２に、自装置用の更新プログラムを記憶する。

　代理ＥＣＵ２の制御部２０は、外部サーバＳ１から更新プログラムを取得する（Ｓ１０３）。代理ＥＣＵ２の制御部２０は、取得した更新プログラムに基づいて、更新装置３が更新対象であると判定した場合、要求信号を更新装置３に送信する（Ｓ１０４）。更新装置３の制御部は、代理ＥＣＵ２から要求信号を受信する（Ｓ１０５）。

　更新装置３の制御部は、更新対象の車載ＥＣＵ４へ、当該車載ＥＣＵ４用の更新プログラムを出力（送信）する（Ｓ１０６）。更新装置３の制御部は、外部サーバＳ１から取得したパッケージに含まれるターゲット情報に基づき、更新対象の車載ＥＣＵ４を特定し、特定した車載ＥＣＵ４に対し当該車載ＥＣＵ４用の更新プログラムを送信する。

　更新装置３の制御部は、代理ＥＣＵ２に代理指示信号を送信し（Ｓ１０７）、代理ＥＣＵ２は、更新装置３から代理指示信号を受信する（Ｓ１０８）。その上で、更新装置３の制御部は、更新対象の車載ＥＣＵ４が接続されていない車内側通信線５１（セグメント）に接続されている車内通信部２２への給電を停止し、当該車内通信部２２による電力消費を削減するものであってもよい。更新装置３が備える車内通信部２２それぞれに対し、当該車内通信部２２への電力の供給及び遮断を制御するリレーが設けられており、更新装置３の制御部は、当該リレーをオフにする。これにより、更新対象の車載ＥＣＵ４が接続されていない車内側通信線５１（セグメント）に接続されている車内通信部２２への給電を停止するものであってもよい。プログラムの更新処理は、エンジンの停止期間中に行うことを要するため、鉛バッテリー等の蓄電装置の電力を消費するものとなるところ、当該車内通信部２２への通電を停止することにより、電力消費量を低減することができる。

　更新装置３の制御部は、更新対象の車載ＥＣＵ４へ、アクティベート指示を出力（送信）する（Ｓ１０９）。更新装置３の制御部は、更新対象の車載ＥＣＵ４それぞれにアクティベート指示を出力し、これら車載ＥＣＵ４にアクティベート処理を実行させる。

　代理ＥＣＵの制御部２０は、更新装置３に、アクティベート指示を出力し（Ｓ１１０）、更新装置３の制御部は、代理ＥＣＵ２からのアクティベート指示を取得（受信）する（Ｓ１１１）。更新装置３の制御部は、アクティベート指示に応じて、アクティベート処理を行う（Ｓ１１２）。更新装置３の制御部は、アクティベート処理を行うことにより更新プログラムを実行（適用）し、自装置にて実行する制御プログラムＰのバージョンアップを行う。更新装置３の制御部は、当該更新プログラムを実行することにより、例えば、定期的又は周期的に所定のデータ（フレーム又はメッセージ）をブロードキャスト又はマルチキャストにて出力する。

　代理ＥＣＵ２は、アクティベート処理を行った（更新プログラムを適用した）更新装置３から、定期的に送信される所定のデータを受信したか否かを判定し、当該判定結果に基づき、アクティベート処理後の更新装置３において、動作不備が発生したか否かを判定する。又は、代理ＥＣＵ２は、アクティベート処理を行った（更新プログラムを適用した）更新装置３に対し、テスト用信号を送信し、当該更新装置３からの応答の有無に基づき、アクティベート処理後の更新装置３において、動作不備が発生したか否かを判定するものであってもよい。代理ＥＣＵ２は、アクティベート処理後の更新装置３において動作不備が発生したと判定した場合、更新装置３にロールバック指示を出力（送信）する（Ｓ１１３）。代理ＥＣＵ２は、アクティベート処理後の更新装置３において動作不備が発生しなかった判定した場合、更新装置３に正常通知を出力（送信）する。

　更新装置３の制御部は、代理ＥＣＵ２からロールバック指示を取得（受信）したか否かを判定する（Ｓ１１４）。代理ＥＣＵ２からロールバック指示を取得した場合（Ｓ１１４：ＹＥＳ）、更新装置３の制御部は、ロールバック処理を行う（Ｓ１１５）。更新装置３の制御部は、代理ＥＣＵ２からロールバック指示を取得した場合、更新プログラムを適用（アクティベート処理）する前に実行していたプログラム（元プログラム）を実行すべく再起動を行うことにより、ロールバック処理を行う。

　代理ＥＣＵ２からロールバック指示を取得しなかった場合（Ｓ１１４：ＮＯ）、更新装置３の制御部は、更新対象の全ての車載ＥＣＵ４のアクティベート処理が正常に行われたか否かを判定する（Ｓ１１４１）。更新装置３の制御部は、代理ＥＣＵ２からロールバック指示を取得しなかった場合、自装置における更新プログラムの適用（アクティベート処理）は正常に完了したと判定する。又は、更新装置３の制御部は、代理ＥＣＵ２から正常通知を取得した場合、自装置における更新プログラムの適用（アクティベート処理）は正常に完了したと判定するものであってもよい。その上で、更新装置３の制御部は、更新対象の全ての車載ＥＣＵ４における更新プログラムの適用（アクティベート処理）が正常に完了したか否かを判定する。更新装置３の制御部は、更新対象の全ての車載ＥＣＵ４それぞれに対し、例えばテスト用の通信データを送信し、当該通信データに対する応答データを受信したか否かに基づき、これら車載ＥＣＵ４それぞれのアクティベート処理が正常に完了したか否かを判定するものであってもよい。

　更新対象の全ての車載ＥＣＵ４のアクティベート処理が正常に行われなかったと判定した場合、すなわち更新対象の車載ＥＣＵ４のうち、いずれか１つの車載ＥＣＵ４でもアクティベート処理が正常に行われなかったと判定した場合（Ｓ１１４１：ＮＯ）、又は、自装置のロールバック処理を行った（Ｓ１１５）後、更新対象の車載ＥＣＵ４へ、ロールバック指示を出力（送信）する（Ｓ１１６）。更新対象の車載ＥＣＵ４は、更新装置３から出力されたロールバック指示に応じて、ロールバック処理を行う。

　更新対象の全ての車載ＥＣＵ４のアクティベート処理が正常に行われた判定した場合（Ｓ１１４１：ＹＥＳ）、又は、更新対象の車載ＥＣＵ４へ、ロールバック指示を出力した（Ｓ１１６）後、更新装置３の制御部は、更新プログラムに関する処理結果を外部サーバＳ１に出力（送信）する（Ｓ１１７）。更新装置３の制御部は、更新プログラムに関する処理結果を外部サーバＳ１及び表示装置に出力し、更に当該処理結果に基づき、更新対象である更新装置３及び車載ＥＣＵ４に関する車両構成情報を修正するものであってもよい。また、更新装置３の処理部は、更新対象の車載ＥＣＵ４へ、当該車載ＥＣＵ４用の更新プログラムを出力（送信）後、更新対象の全ての車載ＥＣＵ４のアクティベート処理が正常に行われたか否かを判定し、アクティベート処理が正常に行われた場合、代理ＥＣＵ２に代理指示信号を送信してもよい。

（実施形態２）
　図７は、実施形態２に係る車載更新システムＳの構成を例示する模式図である。実施形態２に係る代理ＥＣＵは、車内側通信線５１に接続される。また、実施形態１に係る更新装置３は、自装置の更新の際に通信の中継機能を保持せず、代理ＥＣＵ２と車載ＥＣＵ４とは通信を行えなかったが、これに限られるものではない。本実施形態に係る更新装置３は、自装置の更新の際に通信の中継機能を保持し、代理ＥＣＵ２と、代理ＥＣＵが繋がれる車内側通信線５１（セグメント）とは別の車内側通信線５１（セグメント）に接続される車載ＥＣＵ４は、該中継機能を介して通信をすることが可能である。

　図８は、実施形態２に係るプログラムの更新処理における更新装置３、更新対象の車載ＥＣＵ４及び代理ＥＣＵ２等の状態遷移を例示する説明図である。代理ＥＣＵ２は、アクティベート処理後の更新装置３に動作不備を検出した場合（動作不備：有）、更新装置３にロールバック指示を送信すると共に、更新装置３の中継機能を介して車載ＥＣＵ４にもロールバック指示を送信する。図８に示すように、本実施形態によれば、代理ＥＣＵ２による一段階のロールバック指示により、更新装置３及び車載ＥＣＵ４のロールバックを行うことが可能である。

　図９は、実施形態２に係る更新装置３、更新対象の車載ＥＣＵ４及び代理ＥＣＵ２等による処理の流れ（シーケンス）を例示する説明図である。Ｓ２１～Ｓ３２は、図５におけるＳ０１、Ｓ０２、及びＳ０５～Ｓ１４と同様の処理である。代理ＥＣＵ２は、更新装置３にロールバック指示を出力（Ｓ３１）すると同時に、又は出力した後、車載ＥＣＵ４にロールバック指示を出力する（Ｓ３３）。車載ＥＣＵ４は、代理ＥＣＵ２から出力されたロールバック指示に応じて、ロールバック処理を行う（Ｓ３４）。更新装置３は、更新プログラムに関する処理結果を外部サーバＳ１に出力（送信）する（Ｓ３５）。

　図１０は、実施形態１に係る代理ＥＣＵ２の制御部２０及び更新装置３の制御部の処理を例示するフローチャートである。Ｓ２０１～Ｓ２１１は、図６におけるＳ１０１，Ｓ１０２、及びＳ１０６～Ｓ１１４と同様の処理である。代理ＥＣＵ２の制御部２０は、更新装置３に、ロールバック指示を出力（Ｓ２１０）後、更新装置３の中継機能を介して、車載ＥＣＵ４へ、ロールバック指示を出力する（Ｓ２１３）。

　更新装置３の制御部は、代理ＥＣＵ２からロールバック指示を取得しなかった場合（Ｓ２１１：ＮＯ）、更新対象の全ての車載ＥＣＵ４のアクティベート処理が正常に行われたか否かを判定する（Ｓ２１１１）。更新対象の全ての車載ＥＣＵ４のアクティベート処理が正常に行われた判定した場合（Ｓ２１１１：ＹＥＳ）、更新装置３の制御部は、更新プログラムに関する処理結果を外部サーバＳ１に出力（送信）する（Ｓ２１４）。更新対象の全ての車載ＥＣＵ４のアクティベート処理が正常に行われなかったと判定した場合、すなわち更新対象の車載ＥＣＵ４のうち、いずれか１つの車載ＥＣＵ４でもアクティベート処理が正常に行われなかったと判定した場合（Ｓ２１１１：ＮＯ）、更新装置３の処理部は、車載ＥＣＵ４へロールバック指示を出力し（Ｓ２１１２）、更新プログラムに関する処理結果を外部サーバＳ１に出力（送信）する（Ｓ２１４）。

　以上の処理によれば、更新装置３のアクティベート処理が正常に行われなかった場合、代理ＥＣＵ２が更新装置３及び車載ＥＣＵ４にロールバック指示を出力し、更新装置３のアクティベート処理が正常に行われ、車載ＥＣＵ４のアクティベート処理が正常に行われなかった場合、更新装置３が車載ＥＣＵ４へロールバック指示を出力する。これにより、状況に応じて、効率的にロールバック処理が行われることが可能である。

　今回開示した実施の形態は、全ての点で例示であって、制限的なものではないと考えられるべきである。各実施例にて記載されている技術的特徴は互いに組み合わせることができ、本発明の範囲は、請求の範囲内での全ての変更及び請求の範囲と均等の範囲が含まれることが意図される。

　以上の実施形態１または２を含む実施形態に関し、さらに以下の付記を開示する。

（付記１）
　車外の外部サーバから取得した更新プログラムにより車両に搭載される車載ＥＣＵのプログラムを更新するための処理を行う更新装置と、前記更新装置に通信可能に接続される車載装置とを含む車載更新システムであって、前記車載装置は、前記更新装置におけるプログラムを更新するための処理を行う制御部を備え、前記制御部は、前記更新プログラムによる更新対象に前記更新装置が含まれる場合、前記更新装置にて行われる更新するための処理の少なくとも１部を代理する車載更新システム。

　Ｃ　車両
　Ｓ　車載更新システム
　Ｓ１　外部サーバ（ＯＴＡサーバ）
　Ｓ１１　記憶部
　Ｎ　車外ネットワーク
　１　車外通信装置
　２　代理ＥＣＵ（車載装置）
　２０　制御部
　２１　記憶部
　２１１　記録媒体
　２２　車内通信部
　Ｐ　制御プログラム（プログラム製品）
　３　更新装置（ＯＴＡマスタ）
　４　車載ＥＣＵ
　５　車載ネットワーク
　５１　車内側通信線（セグメント）
　５２　車外側通信線

Claims

　車外の外部サーバから取得した更新プログラムにより車両に搭載される車載ＥＣＵのプログラムを更新するための処理を行う更新装置と通信可能に接続される車載装置であって、
　前記更新装置におけるプログラムを更新するための処理を行う制御部を備え、
　前記制御部は、
　前記更新プログラムによる更新対象に前記更新装置が含まれる場合、前記更新装置にて行われる処理の少なくとも１部を代理する
　車載装置。
　前記代理する処理は、
　前記更新装置が取得した前記更新プログラムを、前記更新装置自身に適用するアクティベート処理を含む
　請求項１に記載の車載装置。
　前記代理する処理は、
　アクティベート処理の結果に応じたロールバック処理を含む
　請求項１又は請求項２に記載の車載装置。
　前記更新装置の記憶部には、前記代理する処理を行う代理ＥＣＵとして前記車載装置を特定する情報が、予め記憶されている
　請求項１から請求項３のいずれか１項に記載の車載装置。
　前記制御部は、
　前記更新装置から、前記代理する処理を行う指示を示す指示信号を取得し、
　取得した前記指示信号に応じて、前記代理する処理を開始する
　請求項１から請求項４のいずれか１項に記載の車載装置。
　前記代理する処理は、前記車載ＥＣＵのプログラムを更新するための処理を含み、
　前記更新装置は、車載ＥＣＵ間にて送受信されるデータを中継する中継機能を有し、
　前記制御部は、
　前記更新プログラムによる更新対象に前記更新装置が含まれる際、前記更新装置が中継機能を維持するか否かに応じて、前記車載ＥＣＵのプログラムを更新するための処理を異ならせる
　請求項１から請求項５のいずれか１項に記載の車載装置。
　前記更新装置には、前記外部サーバ側の通信線と、前記車載ＥＣＵ側の通信線とが接続され、
　前記外部サーバ側の通信線に接続される
　請求項１から請求項６のいずれか１項に記載の車載装置。
　前記制御部は、
　前記更新装置を介することなく、外部サーバから前記更新プログラムを取得し、
　取得した前記更新プログラムに基づいて、前記代理する処理を開始することを、前記更新装置に対し要求する要求信号を出力する
　請求項７に記載の車載装置。
　前記外部サーバ側の通信線には、外部サーバと無線通信するための車外通信装置が接続され、
　前記車外通信装置に含まれる
　請求項７又は請求項８に記載の車載装置。
　車外の外部サーバから取得した更新プログラムにより車両に搭載される車載ＥＣＵのプログラムを更新するための処理を行う更新装置と通信可能に接続されるコンピュータに、
　前記更新装置におけるプログラムを更新するための処理を行い、
　前記更新プログラムによる更新対象に前記更新装置が含まれる場合、前記更新装置にて行われる更新するための処理の少なくとも１部を代理する
　処理を実行させるプログラム。
　車外の外部サーバから取得した更新プログラムにより車両に搭載される車載ＥＣＵのプログラムを更新するための処理を行う更新装置と通信可能に接続されるコンピュータに、
　前記更新装置におけるプログラムを更新するための処理を行い、
　前記更新プログラムによる更新対象に前記更新装置が含まれる場合、前記更新装置にて行われる更新するための処理の少なくとも１部を代理する
　処理を実行させるプログラムの更新方法。