WO2024080119A1 - 情報処理装置及び情報処理方法 - Google Patents

Abstract

本技術は、ソフトウエアのロールバックを適切に実行できるようにする情報処理装置及び情報処理方法に関する。 情報処理装置は、ソフトウエアを管理するソフトウエア管理部と、第１のソフトウエア領域、第２のソフトウエア領域、前記第１のソフトウエア領域に対応する第１のデータ領域、及び、前記第２のソフトウエア領域に対応する第２のデータ領域を備える記憶部とを備え、前記ソフトウエア管理部は、一方のソフトウエア領域に現ソフトウエアを格納し、他方のソフトウエア領域に旧ソフトウエアを格納し、一方のデータ領域に前記現ソフトウエアが対応するフォーマットのデータを格納し、他方のデータ領域に前記旧ソフトウエアが対応するフォーマットのデータを格納する。本技術は、例えば、車両に適用できる。

Description

情報処理装置及び情報処理方法

　本技術は、情報処理装置及び情報処理方法に関し、特に、ソフトウエアのロールバックを適切に実行できるようにした情報処理装置及び情報処理方法に関する。

　従来、複数の車載ＥＣＵ（Electronic Control Unit）のプログラムのアップデートをキャンセルする場合に、各ＥＣＵのキャンセル方法およびロールバック方法を管理することで、車載システム全体のソフトウエアを健全な状態に管理することが提案されている（例えば、特許文献１参照）。

特開２０２０－２７６３０号公報

　特許文献１に記載の発明は、単機能かつ独立性が高いＥＣＵを多数用いた従来の車両のシステム構成を前提にしたものであると想定される。また、従来の車両では、データ構造は、ソフトウエアを構成する重要な要素であり、出荷時より変更されないことが通常であった。

　一方、今後、コネクティッドカー等の高機能な車両においては、例えば、ＥＣＵに高性能なＳｏＣ（System on a Chip）が用いられ、ＥＣＵが集約され、多機能化することが想定される。そして、車両のソフトウエア化が進むにつれて、ソフトウエア制御が増大するだけでなく、昨今のＰＣ（Personal Computer）やスマートフォンのように、各種の動作データ（例えば、ユーザの好みの設定値等）が保持されるとともに、データ量が増大することが予測される。

　そして、ＰＣやスマートフォンの例から、ソフトウエアが継続的に進化する場合、ソフトウエアの進化に合わせて、データ構造が変更されることが想定される。データ構造が変更された場合、保持されているデータが新しいソフトウエアに適した構造になるように、データマイグレーションと呼ばれる処理が、ソフトウエアの更新直後に実行される必要がある。

　一方、車載用のソフトウエアでは、アップデート時又はアップデート後に不具合が発生した場合の緊急措置として、過去のバージョンのソフトウエアに戻すロールバックが義務付けられている。

　しかしながら、新バージョンのソフトウエア用にデータマイグレーションが実行され、データ構造が変更されると、ロールバックが実行された場合に、旧バージョンのソフトウエアと整合性が取れなくなり、車両が正常に動作しなくなるおそれがある。

　本技術は、このような状況に鑑みてなされたものであり、ソフトウエアのロールバックを適切に実行できるようにするものである。

　本技術の第１の側面の情報処理装置は、ソフトウエアを管理するソフトウエア管理部と、第１のソフトウエア領域、第２のソフトウエア領域、前記第１のソフトウエア領域に対応する第１のデータ領域、及び、前記第２のソフトウエア領域に対応する第２のデータ領域を備える記憶部とを備え、前記ソフトウエア管理部は、前記第１のソフトウエア領域及び前記第２のソフトウエア領域のうち一方のソフトウエア領域に、実行対象となるソフトウエアである第１の現ソフトウエアを格納し、他方のソフトウエア領域に、前記第１の現ソフトウエアより前のバージョンのソフトウエアである第１の旧ソフトウエアを格納し、前記第１のデータ領域及び前記第２のデータ領域のうち前記一方のソフトウエア領域に対応する一方のデータ領域に、前記第１の現ソフトウエアが対応するフォーマットのデータを格納し、他方のデータ領域に、前記第１の旧ソフトウエアが対応するフォーマットのデータを格納する。

　本技術の第２の側面の情報処理方法は、情報処理装置が、記憶部の第１のソフトウエア領域及び第２のソフトウエア領域のうち一方のソフトウエア領域に、実行対象となるソフトウエアである現ソフトウエアを格納し、他方のソフトウエア領域に、前記現ソフトウエアの前のバージョンのソフトウエアである旧ソフトウエアを格納し、前記記憶部の第１のデータ領域及び第２のデータ領域のうち前記一方のソフトウエア領域に対応する一方のデータ領域に、前記現ソフトウエアが対応するフォーマットのデータを格納し、他方のデータ領域に、前記旧ソフトウエアが対応するフォーマットのデータを格納する。

　本技術の第１の側面又は第２の側面においては、記憶部の第１のソフトウエア領域及び第２のソフトウエア領域のうち一方のソフトウエア領域に、実行対象となるソフトウエアである現ソフトウエアが格納され、他方のソフトウエア領域に、前記現ソフトウエアの前のバージョンのソフトウエアである旧ソフトウエアが格納され、前記記憶部の第１のデータ領域及び第２のデータ領域のうち前記一方のソフトウエア領域に対応する一方のデータ領域に、前記現ソフトウエアが対応するフォーマットのデータが格納され、他方のデータ領域に、前記旧ソフトウエアが対応するフォーマットのデータが格納される。

ＮＯＲ型フラッシュシステムの構成例を示すブロック図である。 ＮＡＮＤ型フラッシュシステムの構成例を示すブロック図である。 ＮＡＮＤ型フラッシュシステムのＮＡＮＤ型フラッシュメモリの第１のデータ構成例を示す図である。 ＮＡＮＤ型フラッシュシステムのＮＡＮＤ型フラッシュメモリの第２のデータ構成例を示す図である。 車両制御システムの構成例を示すブロック図である。 センシング領域の例を示す図である。 本技術を適用した情報処理システムの構成例を示すブロック図である。 高性能ＥＣＵの構成例を示すブロック図である。 レガシーＥＣＵの構成例を示すブロック図である。 高性能ＥＣＵのＦＷアップデート処理の第１の実施の形態を説明するためのシーケンス図である。 高性能ＥＣＵのＦＷアップデート処理の第１の実施の形態における高性能ＥＣＵのフラッシュメモリの状態の例を示す図である。 高性能ＥＣＵの起動処理を説明するためのシーケンス図である。 高性能ＥＣＵの起動処理における高性能ＥＣＵのフラッシュメモリの状態の例を示す図である。 高性能ＥＣＵのロールバック処理を説明するためのシーケンス図である。 高性能ＥＣＵのロールバック処理における高性能ＥＣＵのフラッシュメモリの状態の例を示す図である。 高性能ＥＣＵのバックアップ処理を説明するためのシーケンス図である。 高性能ＥＣＵのバックアップ処理における高性能ＥＣＵのフラッシュメモリの状態の例を示す図である。 高性能ＥＣＵのＦＷアップデート処理の第２の実施の形態を説明するためのシーケンス図である。 高性能ＥＣＵのＦＷアップデート処理の第２の実施の形態における高性能ＥＣＵのフラッシュメモリの状態の例を示す図である。 レガシーＥＣＵのＦＷアップデート処理の第１の実施の形態を説明するためのシーケンス図である。 レガシーＥＣＵのＦＷアップデート処理の第１の実施の形態を説明するためのシーケンス図である。 レガシーＥＣＵのＦＷアップデート処理の第１の実施の形態における高性能ＥＣＵのフラッシュメモリ及びレガシーＥＣＵのフラッシュメモリの状態の例を示す図である。 レガシーＥＣＵのロールバック処理を説明するためのシーケンス図である。 レガシーＥＣＵのロールバック処理における高性能ＥＣＵのフラッシュメモリ及びレガシーＥＣＵのフラッシュメモリの状態の例を示す図である。 レガシーＥＣＵのデータのバックアップ処理を説明するためのシーケンス図である。 レガシーＥＣＵのデータのバックアップ処理における高性能ＥＣＵのフラッシュメモリ及びレガシーＥＣＵのフラッシュメモリの状態の例を示す図である。 レガシーＥＣＵのＦＷアップデート処理の第２の実施の形態を説明するためのシーケンス図である。 レガシーＥＣＵのＦＷアップデート処理の第２の実施の形態を説明するためのシーケンス図である。 レガシーＥＣＵのＦＷアップデート処理の第２の実施の形態における高性能ＥＣＵのフラッシュメモリ及びレガシーＥＣＵのフラッシュメモリの状態の例を示す図である。 コンピュータの構成例を示すブロック図である。

　以下、本技術を実施するための形態について説明する。説明は以下の順序で行う。
　１．本技術の背景
　２．車両制御システムの構成例
　３．実施の形態
　４．変形例
　５．その他

　＜＜１．本技術の背景＞＞
　まず、図１乃至図４を参照して、本技術の背景について説明する。

　図１は、従来の車両に用いられているＮＯＲ型フラッシュシステム２００１の構成例を示している。ＮＯＲ型フラッシュシステム２００１は、ＣＰＵ（Central Processing Unit）２０１１、ＮＯＲ型フラッシュメモリ２０１２、及び、ＲＡＭ（Random Access Memory）２０１３を備える。ＲＡＭ２０１３には、例えば、ＳＲＡＭ（Static Random Access Memory）が用いられる。また、必要に応じて、外付けＮＶＲＡＭ（Non Volatile Random Access Memory）２０１３が設けられる。

　ＣＰＵ２０１１とＮＯＲ型フラッシュメモリ２０１２及びＲＡＭ２０１３とは、高速なメモリＩ／Ｆ（インタフェース）を用いて通信する。一方、ＣＰＵと外付けＮＶＲＡＭ２０１４とは、メモリＩ／Ｆより低速なストレージ用Ｉ／Ｆを用いて通信する。

　ＮＯＲ型フラッシュメモリ２０１２には、例えば、ＣＰＵ２０１１が実行するソフトウエア、及び、当該ソフトウエアが使用し、保持する必要があるデータが格納される。ＮＯＲ型フラッシュメモリ２０１２の容量が十分でない場合、当該データの一部が、外付けＮＶＲＡＭ２０１４に格納される。ＲＡＭ２０１３には、例えば、ソフトウエアが一時的に使用し、保持する必要がないデータが一時的に格納される。

　ＮＯＲ型フラッシュシステム２００１において、ＣＰＵ２０１１がプログラムを実行する場合、まずブートローダ（Boot Loader）が、ハードウエアを初期化後、プログラムカウンタをＮＯＲ型フラッシュメモリ２０１２上のメインプログラムのアドレスにセットする。これにより、メインプログラムがＮＯＲ型フラッシュメモリ２０１２に格納されたまま、メインプログラムの実行が開始される。

　図２は、スマートフォン等に用いられるＮＡＮＤ型フラッシュシステム２０５１の構成例を示している。ＮＡＮＤ型フラッシュシステム２０５１は、ＣＰＵ２０６１、ＮＡＮＤ型フラッシュメモリ２０６２、及び、ＲＡＭ２０６３を備える。ＲＡＭ２０６３には、例えば、ＤＤＲ　ＳＤＲＡＭ（Double-Data-Rate Synchronous Dynamic Random Access Memory）が用いられる。

　ＣＰＵ２０６１とＮＡＮＤ型フラッシュメモリ２０６２とは、高速なストレージ用Ｉ／Ｆを用いて通信する。ＣＰＵ２０６１とＲＡＭ２０６３とは、ストレージ用Ｉ／Ｆより低速なメモリＩ／Ｆを用いて通信する。

　ＮＡＮＤ型フラッシュメモリ２０６２には、例えば、ＣＰＵ２０６１が実行するソフトウエア、及び、当該ソフトウエアが使用し、保持する必要があるデータが格納される。ＲＡＭ２０１３には、例えば、実行対象となるソフトウエア、及び、当該ソフトウエアが一時的に使用し、保持する必要がないデータが一時的に格納される。

　ＮＡＮＤ型フラッシュシステム２０５１において、ＣＰＵ２０６１がプログラムを実行する場合、まずブートローダが、ハードウエアを初期化後、メインプログラムをＮＡＮＤ型フラッシュメモリ２０６２からＲＡＭ２０６３にコピーする（Shadow）。そして、ブートローダが、プログラムカウンタをＲＡＭ２０６３に配置したメインプログラムのアドレスにセットする。これにより、ＲＡＭ２０６３に配置されたメインプログラムの実行が開始される。また、必要に応じて、必要なプログラムがＲＡＭ２０６３に配置され、優先度が低いプログラムがＲＡＭ２０６３からパージされる。

　ＮＯＲ型フラッシュメモリ２０１２は、データの書き換えをビット単位で制御できるため、余計な処理が発生せず、ＮＡＮＤ型フラッシュメモリ２０６２と比較して、一般的に高信頼かつ長寿命である。また、ＮＯＲ型フラッシュメモリ２０１２は、ＸｉＰ（eXecute-in-Place）が可能であるため、ＮＡＮＤ型フラッシュシステム２０５１と比較して、プログラムの実行を開始するまでの時間が短い。一方、ＮＡＮＤ型フラッシュメモリ２０６２は、ＮＯＲ型フラッシュメモリ２０１２と比較して、ビット単価が安く、大容量である。

　従来の車両においては、通常ＥＣＵが機能毎に分散しており、各ＥＣＵに搭載されるソフトウエアは比較的小規模である。従って、従来の車両のＥＣＵにおいては、図１のＮＯＲ型フラッシュシステム２００１のように、ＮＯＲ型フラッシュメモリを用いたアーキテクチャが用いられてきた。

　一方、今後、コネクティッドカーなど車両のソフトウエア化が進み、ソフトウエアが大規模化したり、ソフトウエアが処理するデータ量が増大したりすることが想定される。例えば、車両のＨＭＩ（Human Machine Interface）等において、リッチＯＳ（Operating System）、アプリケーションフレームワーク、及び、ダウンロード型の大容量のコンテンツ等が使用されることが想定される。また、例えば、コストを削減したり、ソフトウエアの管理を簡素化したりするために、ＥＣＵの数が削減され、各ＥＣＵが高機能化することが想定される。そのため、ＮＯＲ型フラッシュメモリを用いたアーキテクチャでは、データ容量が不足したり、高コスト化したりすることが想定される。

　従って、今後は、車両のＥＣＵにおいて、ＮＡＮＤ型フラッシュシステム２０５１のように、ＮＡＮＤ型フラッシュメモリを用いたアーキテクチャが主流になると想定される。実際に、スマートフォン、デジタルカメラ等のＩＴ（Information Technology）機器やＣＥ（Consumer Electronics）機器では、ソフトウエアやデータの増大化に伴い、ＮＯＲ型フラッシュメモリを用いたアーキテクチャからＮＡＮＤ型フラッシュメモリを用いたアーキテクチャに遷移してきている。

　図３は、ＮＡＮＤ型フラッシュシステム２０５１のＮＡＮＤ型フラッシュメモリ２０６２のデータ構造の第１の例を示している。

　図３のＮＡＮＤ型フラッシュシステム２０５１では、ＮＡＮＤ型フラッシュメモリ２０６２に、メインシステム領域、アップデート用システム領域、及び、データ領域が設けられている。

　メインシステム領域は、ＣＰＵ２０６１が実行するソフトウエア（プログラム群）が格納される。メインシステム領域は、基本的にソフトウエアをアップデートする場合以外は書き換え不可（ＲＯ（Read Only））である。

　アップデート用システム領域は、メインシステム領域のソフトウエアをアップデートするためのソフトウエアが格納されている。アップデート用システム領域は、基本的に書き換え不可（ＲＯ）である。

　データ領域は、ＮＡＮＤ型フラッシュシステム２０５１で使用され、保持される必要があるデータが格納される。データ領域は、書き換え可能（ＲＷ（Rewritable））である。

　メインシステム領域のソフトウエアをアップデートする場合、メインシステム領域からＲＡＭ２０６３にコピーされたプログラムにより、メインシステム領域に格納されているソフトウエアを書き換えることは、技術的に可能である。しかし、この場合、ＲＡＭ２０６３からパージされたプログラムを再びロードすることができなくなるため、動作が不安定になるおそれがある。

　そこで、アップデート用システム領域のアップデート用プログラムが、ＲＡＭ２０６３にロードされ実行されることにより、メインシステム領域のソフトウエアがアップデートされる。この場合、ソフトウエアのアップデート中には、ＮＡＮＤ型フラッシュシステム２０５１は、通常の動作を停止する。そして、メインシステム領域のソフトウエアが書き換えられた後、ＮＡＮＤ型フラッシュシステム２０５１が再起動することにより、メインシステム領域に格納された新しいソフトウエアが実行され、ＮＡＮＤ型フラッシュシステム２０５１が通常の動作を開始する。

　このとき、新しいソフトウエアが処理可能なデータのフォーマットが変更されている場合、ソフトウエアの更新直後にデータマイグレーションが実行される。これにより、データ領域に格納されているデータのフォーマットが、新しいソフトウエアが処理可能なフォーマットに変換される。

　なお、データ領域に格納されるデータは、ＮＡＮＤ型フラッシュシステム２０５１を備える装置やシステム毎に異なるため、ソフトウエアのように一律にアップデートすることは不可能である。

　図４は、ＮＡＮＤ型フラッシュシステム２０５１のＮＡＮＤ型フラッシュメモリ２０６２のデータ構造の第２の例を示している。

　図４のＮＡＮＤ型フラッシュシステム２０５１では、ＮＡＮＤ型フラッシュメモリ２０６２に、メインシステム領域Ａ、メインシステム領域Ｂ、及び、データ領域が設けられている。

　このアーキテクチャでは、例えば、メインシステム領域Ａ及びメインシステム領域Ｂのうち一方の領域のソフトウエアの実行中に、他方の領域のソフトウエアを書き換え、更新することが可能である。

　従って、ＮＡＮＤ型フラッシュシステム２０５１が通常動作を行っている場合に、新しいソフトウエアをＮＡＮＤ型フラッシュメモリ２０６２にインストールし、再起動後に、新しいソフトウエアを実行させることが可能である。なお、新しいソフトウエアが処理可能なデータのフォーマットが変更された場合、例えば、新しいソフトウエアをインストールした後の再起動時に、データマイグレーションが実行される。

　これにより、図３の例と比較して、ソフトウエアの更新時にＮＡＮＤ型フラッシュシステム２０５１の通常動作を停止させる時間を短縮することができる。また、新しいソフトウエアと古いソフトウエアを、同時に格納することができるため、新しいソフトウエアが不具合等により正常に動作しない場合、古いソフトウエアに戻すロールバックを実行することが可能である。

　車両においては、ソフトウエアの更新中に車両が動作できない期間を短くしたり、新しいソフトウエアが正常に動作しなくても、古いソフトウエアで走行できるようにしたりするために、図４のアーキテクチャのように、ソフトウエアをＡ面及びＢ面の２面持ちすることが推奨されている。

　しかしながら、ソフトウエアの更新後にデータマイグレーションが実行されると、その後古いソフトウエアにロールバックしても、データ領域のデータが古いソフトウエアが対応するフォーマットになっていない。従って、古いソフトウエアが正常に動作しなくなるおそれがある。

　なお、例えば、データ領域のデータのファイル名をフォーマット毎に分けて、ソフトウエアのバージョン毎に使用するファイルを使い分ける方法も想定される。しかし、この場合、ファイル名が格納されているメインシステム領域も更新の対象となるため、実装及び検証が漏れ、不具合の温床となるおそれがある。

　これに対して、本技術は、ソフトウエアのロールバックを適切に実行できるようにするものである。

　＜＜２．車両制御システムの構成例＞＞
　図５は、本技術が適用される移動装置制御システムの一例である車両制御システム１１の構成例を示すブロック図である。

　車両制御システム１１は、車両１に設けられ、車両１の走行支援及び自動運転に関わる処理を行う。

　車両制御システム１１は、車両制御ＥＣＵ（Electronic Control Unit）２１、通信部２２、地図情報蓄積部２３、位置情報取得部２４、外部認識センサ２５、車内センサ２６、車両センサ２７、記憶部２８、走行支援・自動運転制御部２９、ＤＭＳ（Driver Monitoring System）３０、ＨＭＩ（Human Machine Interface）３１、及び、車両制御部３２を備える。

　車両制御ＥＣＵ２１、通信部２２、地図情報蓄積部２３、位置情報取得部２４、外部認識センサ２５、車内センサ２６、車両センサ２７、記憶部２８、走行支援・自動運転制御部２９、ドライバモニタリングシステム（ＤＭＳ）３０、ヒューマンマシーンインタフェース（ＨＭＩ）３１、及び、車両制御部３２は、通信ネットワーク４１を介して相互に通信可能に接続されている。通信ネットワーク４１は、例えば、ＣＡＮ（Controller Area Network）、ＬＩＮ（Local Interconnect Network）、ＬＡＮ（Local Area Network）、ＦｌｅｘＲａｙ（登録商標）、イーサネット（登録商標）といったディジタル双方向通信の規格に準拠した車載通信ネットワークやバス等により構成される。通信ネットワーク４１は、伝送されるデータの種類によって使い分けられてもよい。例えば、車両制御に関するデータに対してＣＡＮが適用され、大容量データに対してイーサネットが適用されるようにしてもよい。なお、車両制御システム１１の各部は、通信ネットワーク４１を介さずに、例えば近距離無線通信（ＮＦＣ（Near Field Communication））やＢｌｕｅｔｏｏｔｈ（登録商標）といった比較的近距離での通信を想定した無線通信を用いて直接的に接続される場合もある。

　なお、以下、車両制御システム１１の各部が、通信ネットワーク４１を介して通信を行う場合、通信ネットワーク４１の記載を省略するものとする。例えば、車両制御ＥＣＵ２１と通信部２２が通信ネットワーク４１を介して通信を行う場合、単に車両制御ＥＣＵ２１と通信部２２とが通信を行うと記載する。

　車両制御ＥＣＵ２１は、例えば、ＣＰＵ（Central Processing Unit）、ＭＰＵ（Micro Processing Unit）といった各種のプロセッサにより構成される。車両制御ＥＣＵ２１は、車両制御システム１１全体又は一部の機能の制御を行う。

　通信部２２は、車内及び車外の様々な機器、他の車両、サーバ、基地局等と通信を行い、各種のデータの送受信を行う。このとき、通信部２２は、複数の通信方式を用いて通信を行うことができる。

　通信部２２が実行可能な車外との通信について、概略的に説明する。通信部２２は、例えば、５Ｇ（第５世代移動通信システム）、ＬＴＥ（Long Term Evolution）、ＤＳＲＣ（Dedicated Short Range Communications）等の無線通信方式により、基地局又はアクセスポイントを介して、外部ネットワーク上に存在するサーバ（以下、外部のサーバと呼ぶ）等と通信を行う。通信部２２が通信を行う外部ネットワークは、例えば、インターネット、クラウドネットワーク、又は、事業者固有のネットワーク等である。通信部２２が外部ネットワークに対して行う通信方式は、所定以上の通信速度、且つ、所定以上の距離間でディジタル双方向通信が可能な無線通信方式であれば、特に限定されない。

　また例えば、通信部２２は、Ｐ２Ｐ（Peer To Peer）技術を用いて、自車の近傍に存在する端末と通信を行うことができる。自車の近傍に存在する端末は、例えば、歩行者や自転車等の比較的低速で移動する移動体が装着する端末、店舗等に位置が固定されて設置される端末、又は、ＭＴＣ（Machine Type Communication）端末である。さらに、通信部２２は、Ｖ２Ｘ通信を行うこともできる。Ｖ２Ｘ通信とは、例えば、他の車両との間の車車間（Vehicle to Vehicle）通信、路側器等との間の路車間（Vehicle to Infrastructure）通信、家との間（Vehicle to Home）の通信、及び、歩行者が所持する端末等との間の歩車間（Vehicle to Pedestrian）通信等の、自車と他との通信をいう。

　通信部２２は、例えば、車両制御システム１１の動作を制御するソフトウエアを更新するためのプログラムを外部から受信することができる（Over The Air)。通信部２２は、さらに、地図情報、交通情報、車両１の周囲の情報等を外部から受信することができる。また例えば、通信部２２は、車両１に関する情報や、車両１の周囲の情報等を外部に送信することができる。通信部２２が外部に送信する車両１に関する情報としては、例えば、車両１の状態を示すデータ、認識部７３による認識結果等がある。さらに例えば、通信部２２は、ｅコール等の車両緊急通報システムに対応した通信を行う。

　例えば、通信部２２は、電波ビーコン、光ビーコン、ＦＭ多重放送等の道路交通情報通信システム（ＶＩＣＳ（Vehicle Information and Communication System）（登録商標））により送信される電磁波を受信する。

　通信部２２が実行可能な車内との通信について、概略的に説明する。通信部２２は、例えば無線通信を用いて、車内の各機器と通信を行うことができる。通信部２２は、例えば、無線ＬＡＮ、Ｂｌｕｅｔｏｏｔｈ、ＮＦＣ、ＷＵＳＢ（Wireless USB）といった、無線通信により所定以上の通信速度でディジタル双方向通信が可能な通信方式により、車内の機器と無線通信を行うことができる。これに限らず、通信部２２は、有線通信を用いて車内の各機器と通信を行うこともできる。例えば、通信部２２は、図示しない接続端子に接続されるケーブルを介した有線通信により、車内の各機器と通信を行うことができる。通信部２２は、例えば、ＵＳＢ（Universal Serial Bus）、ＨＤＭＩ（High-Definition Multimedia Interface）（登録商標）、ＭＨＬ（Mobile High-definition Link）といった、有線通信により所定以上の通信速度でディジタル双方向通信が可能な通信方式により、車内の各機器と通信を行うことができる。

　ここで、車内の機器とは、例えば、車内において通信ネットワーク４１に接続されていない機器を指す。車内の機器としては、例えば、運転者等の搭乗者が所持するモバイル機器やウェアラブル機器、車内に持ち込まれ一時的に設置される情報機器等が想定される。

　地図情報蓄積部２３は、外部から取得した地図及び車両１で作成した地図の一方又は両方を蓄積する。例えば、地図情報蓄積部２３は、３次元の高精度地図、高精度地図より精度が低く、広いエリアをカバーするグローバルマップ等を蓄積する。

　高精度地図は、例えば、ダイナミックマップ、ポイントクラウドマップ、ベクターマップ等である。ダイナミックマップは、例えば、動的情報、準動的情報、準静的情報、静的情報の４層からなる地図であり、外部のサーバ等から車両１に提供される。ポイントクラウドマップは、ポイントクラウド（点群データ）により構成される地図である。ベクターマップは、例えば、車線や信号機の位置といった交通情報等をポイントクラウドマップに対応付け、ＡＤＡＳ（Advanced Driver Assistance System）やＡＤ（Autonomous Driving）に適合させた地図である。

　ポイントクラウドマップ及びベクターマップは、例えば、外部のサーバ等から提供されてもよいし、カメラ５１、レーダ５２、ＬｉＤＡＲ５３等によるセンシング結果に基づいて、後述するローカルマップとのマッチングを行うための地図として車両１で作成され、地図情報蓄積部２３に蓄積されてもよい。また、外部のサーバ等から高精度地図が提供される場合、通信容量を削減するため、車両１がこれから走行する計画経路に関する、例えば数百メートル四方の地図データが外部のサーバ等から取得される。

　位置情報取得部２４は、ＧＮＳＳ（Global Navigation Satellite System）衛星からＧＮＳＳ信号を受信し、車両１の位置情報を取得する。取得した位置情報は、走行支援・自動運転制御部２９に供給される。なお、位置情報取得部２４は、ＧＮＳＳ信号を用いた方式に限定されず、例えば、ビーコンを用いて位置情報を取得してもよい。

　外部認識センサ２５は、車両１の外部の状況の認識に用いられる各種のセンサを備え、各センサからのセンサデータを車両制御システム１１の各部に供給する。外部認識センサ２５が備えるセンサの種類や数は任意である。

　例えば、外部認識センサ２５は、カメラ５１、レーダ５２、ＬｉＤＡＲ（Light Detection and Ranging、Laser Imaging Detection and Ranging）５３、及び、超音波センサ５４を備える。これに限らず、外部認識センサ２５は、カメラ５１、レーダ５２、ＬｉＤＡＲ５３、及び、超音波センサ５４のうち１種類以上のセンサを備える構成でもよい。カメラ５１、レーダ５２、ＬｉＤＡＲ５３、及び、超音波センサ５４の数は、現実的に車両１に設置可能な数であれば特に限定されない。また、外部認識センサ２５が備えるセンサの種類は、この例に限定されず、外部認識センサ２５は、他の種類のセンサを備えてもよい。外部認識センサ２５が備える各センサのセンシング領域の例は、後述する。

　なお、カメラ５１の撮影方式は、特に限定されない。例えば、測距が可能な撮影方式であるＴｏＦ（Time Of Flight）カメラ、ステレオカメラ、単眼カメラ、赤外線カメラといった各種の撮影方式のカメラを、必要に応じてカメラ５１に適用することができる。これに限らず、カメラ５１は、測距に関わらずに、単に撮影画像を取得するためのものであってもよい。

　また、例えば、外部認識センサ２５は、車両１に対する環境を検出するための環境センサを備えることができる。環境センサは、天候、気象、明るさ等の環境を検出するためのセンサであって、例えば、雨滴センサ、霧センサ、日照センサ、雪センサ、照度センサ等の各種センサを含むことができる。

　さらに、例えば、外部認識センサ２５は、車両１の周囲の音や音源の位置の検出等に用いられるマイクロフォンを備える。

　車内センサ２６は、車内の情報を検出するための各種のセンサを備え、各センサからのセンサデータを車両制御システム１１の各部に供給する。車内センサ２６が備える各種センサの種類や数は、現実的に車両１に設置可能な種類や数であれば特に限定されない。

　例えば、車内センサ２６は、カメラ、レーダ、着座センサ、ステアリングホイールセンサ、マイクロフォン、生体センサのうち１種類以上のセンサを備えることができる。車内センサ２６が備えるカメラとしては、例えば、ＴｏＦカメラ、ステレオカメラ、単眼カメラ、赤外線カメラといった、測距可能な各種の撮影方式のカメラを用いることができる。これに限らず、車内センサ２６が備えるカメラは、測距に関わらずに、単に撮影画像を取得するためのものであってもよい。車内センサ２６が備える生体センサは、例えば、シートやステアリングホイール等に設けられ、運転者等の搭乗者の各種の生体情報を検出する。

　車両センサ２７は、車両１の状態を検出するための各種のセンサを備え、各センサからのセンサデータを車両制御システム１１の各部に供給する。車両センサ２７が備える各種センサの種類や数は、現実的に車両１に設置可能な種類や数であれば特に限定されない。

　例えば、車両センサ２７は、速度センサ、加速度センサ、角速度センサ（ジャイロセンサ）、及び、それらを統合した慣性計測装置（ＩＭＵ（Inertial Measurement Unit））を備える。例えば、車両センサ２７は、ステアリングホイールの操舵角を検出する操舵角センサ、ヨーレートセンサ、アクセルペダルの操作量を検出するアクセルセンサ、及び、ブレーキペダルの操作量を検出するブレーキセンサを備える。例えば、車両センサ２７は、エンジンやモータの回転数を検出する回転センサ、タイヤの空気圧を検出する空気圧センサ、タイヤのスリップ率を検出するスリップ率センサ、及び、車輪の回転速度を検出する車輪速センサを備える。例えば、車両センサ２７は、バッテリの残量及び温度を検出するバッテリセンサ、並びに、外部からの衝撃を検出する衝撃センサを備える。

　記憶部２８は、不揮発性の記憶媒体及び揮発性の記憶媒体のうち少なくとも一方を含み、データやプログラムを記憶する。記憶部２８は、例えばＥＥＰＲＯＭ(Electrically Erasable Programmable Read Only Memory)及びＲＡＭ(Random Access Memory)として用いられ、記憶媒体としては、ＨＤＤ（Hard Disc Drive）といった磁気記憶デバイス、半導体記憶デバイス、光記憶デバイス、及び、光磁気記憶デバイスを適用することができる。記憶部２８は、車両制御システム１１の各部が用いる各種プログラムやデータを記憶する。例えば、記憶部２８は、ＥＤＲ（Event Data Recorder）やＤＳＳＡＤ（Data Storage System for Automated Driving）を備え、事故等のイベントの前後の車両１の情報や車内センサ２６によって取得された情報を記憶する。

　走行支援・自動運転制御部２９は、車両１の走行支援及び自動運転の制御を行う。例えば、走行支援・自動運転制御部２９は、分析部６１、行動計画部６２、及び、動作制御部６３を備える。

　分析部６１は、車両１及び周囲の状況の分析処理を行う。分析部６１は、自己位置推定部７１、センサフュージョン部７２、及び、認識部７３を備える。

　自己位置推定部７１は、外部認識センサ２５からのセンサデータ、及び、地図情報蓄積部２３に蓄積されている高精度地図に基づいて、車両１の自己位置を推定する。例えば、自己位置推定部７１は、外部認識センサ２５からのセンサデータに基づいてローカルマップを生成し、ローカルマップと高精度地図とのマッチングを行うことにより、車両１の自己位置を推定する。車両１の位置は、例えば、後輪対車軸の中心が基準とされる。

　ローカルマップは、例えば、ＳＬＡＭ（Simultaneous Localization and Mapping）等の技術を用いて作成される３次元の高精度地図、占有格子地図（Occupancy Grid Map）等である。３次元の高精度地図は、例えば、上述したポイントクラウドマップ等である。占有格子地図は、車両１の周囲の３次元又は２次元の空間を所定の大きさのグリッド（格子）に分割し、グリッド単位で物体の占有状態を示す地図である。物体の占有状態は、例えば、物体の有無や存在確率により示される。ローカルマップは、例えば、認識部７３による車両１の外部の状況の検出処理及び認識処理にも用いられる。

　なお、自己位置推定部７１は、位置情報取得部２４により取得される位置情報、及び、車両センサ２７からのセンサデータに基づいて、車両１の自己位置を推定してもよい。

　センサフュージョン部７２は、複数の異なる種類のセンサデータ（例えば、カメラ５１から供給される画像データ、及び、レーダ５２から供給されるセンサデータ）を組み合わせて、新たな情報を得るセンサフュージョン処理を行う。異なる種類のセンサデータを組合せる方法としては、統合、融合、連合等がある。

　認識部７３は、車両１の外部の状況の検出を行う検出処理、及び、車両１の外部の状況の認識を行う認識処理を実行する。

　例えば、認識部７３は、外部認識センサ２５からの情報、自己位置推定部７１からの情報、センサフュージョン部７２からの情報等に基づいて、車両１の外部の状況の検出処理及び認識処理を行う。

　具体的には、例えば、認識部７３は、車両１の周囲の物体の検出処理及び認識処理等を行う。物体の検出処理とは、例えば、物体の有無、大きさ、形、位置、動き等を検出する処理である。物体の認識処理とは、例えば、物体の種類等の属性を認識したり、特定の物体を識別したりする処理である。ただし、検出処理と認識処理とは、必ずしも明確に分かれるものではなく、重複する場合がある。

　例えば、認識部７３は、レーダ５２又はＬｉＤＡＲ５３等によるセンサデータに基づくポイントクラウドを点群の塊毎に分類するクラスタリングを行うことにより、車両１の周囲の物体を検出する。これにより、車両１の周囲の物体の有無、大きさ、形状、位置が検出される。

　例えば、認識部７３は、クラスタリングにより分類された点群の塊の動きを追従するトラッキングを行うことにより、車両１の周囲の物体の動きを検出する。これにより、車両１の周囲の物体の速度及び進行方向（移動ベクトル）が検出される。

　例えば、認識部７３は、カメラ５１から供給される画像データに基づいて、車両、人、自転車、障害物、構造物、道路、信号機、交通標識、道路標示等を検出又は認識する。また、認識部７３は、セマンティックセグメンテーション等の認識処理を行うことにより、車両１の周囲の物体の種類を認識してもよい。

　例えば、認識部７３は、地図情報蓄積部２３に蓄積されている地図、自己位置推定部７１による自己位置の推定結果、及び、認識部７３による車両１の周囲の物体の認識結果に基づいて、車両１の周囲の交通ルールの認識処理を行うことができる。認識部７３は、この処理により、信号機の位置及び状態、交通標識及び道路標示の内容、交通規制の内容、並びに、走行可能な車線等を認識することができる。

　例えば、認識部７３は、車両１の周囲の環境の認識処理を行うことができる。認識部７３が認識対象とする周囲の環境としては、天候、気温、湿度、明るさ、及び、路面の状態等が想定される。

　行動計画部６２は、車両１の行動計画を作成する。例えば、行動計画部６２は、経路計画、経路追従の処理を行うことにより、行動計画を作成する。

　なお、経路計画（Global path planning）とは、スタートからゴールまでの大まかな経路を計画する処理である。この経路計画には、軌道計画と言われ、計画した経路において、車両１の運動特性を考慮して、車両１の近傍で安全かつ滑らかに進行することが可能な軌道生成（Local path planning）を行う処理も含まれる。

　経路追従とは、経路計画により計画された経路を計画された時間内で安全かつ正確に走行するための動作を計画する処理である。行動計画部６２は、例えば、この経路追従の処理の結果に基づき、車両１の目標速度と目標角速度を計算することができる。

　動作制御部６３は、行動計画部６２により作成された行動計画を実現するために、車両１の動作を制御する。

　例えば、動作制御部６３は、後述する車両制御部３２に含まれる、ステアリング制御部８１、ブレーキ制御部８２、及び、駆動制御部８３を制御して、軌道計画により計算された軌道を車両１が進行するように、加減速制御及び方向制御を行う。例えば、動作制御部６３は、衝突回避又は衝撃緩和、追従走行、車速維持走行、自車の衝突警告、自車のレーン逸脱警告等のＡＤＡＳの機能実現を目的とした協調制御を行う。例えば、動作制御部６３は、運転者の操作によらずに自律的に走行する自動運転等を目的とした協調制御を行う。

　ＤＭＳ３０は、車内センサ２６からのセンサデータ、及び、後述するＨＭＩ３１に入力される入力データ等に基づいて、運転者の認証処理、及び、運転者の状態の認識処理等を行う。認識対象となる運転者の状態としては、例えば、体調、覚醒度、集中度、疲労度、視線方向、酩酊度、運転操作、姿勢等が想定される。

　なお、ＤＭＳ３０が、運転者以外の搭乗者の認証処理、及び、当該搭乗者の状態の認識処理を行うようにしてもよい。また、例えば、ＤＭＳ３０が、車内センサ２６からのセンサデータに基づいて、車内の状況の認識処理を行うようにしてもよい。認識対象となる車内の状況としては、例えば、気温、湿度、明るさ、臭い等が想定される。

　ＨＭＩ３１は、各種のデータや指示等の入力と、各種のデータの運転者等への提示を行う。

　ＨＭＩ３１によるデータの入力について、概略的に説明する。ＨＭＩ３１は、人がデータを入力するための入力デバイスを備える。ＨＭＩ３１は、入力デバイスにより入力されたデータや指示等に基づいて入力信号を生成し、車両制御システム１１の各部に供給する。ＨＭＩ３１は、入力デバイスとして、例えばタッチパネル、ボタン、スイッチ、及び、レバーといった操作子を備える。これに限らず、ＨＭＩ３１は、音声やジェスチャ等により手動操作以外の方法で情報を入力可能な入力デバイスをさらに備えてもよい。さらに、ＨＭＩ３１は、例えば、赤外線又は電波を利用したリモートコントロール装置や、車両制御システム１１の操作に対応したモバイル機器又はウェアラブル機器等の外部接続機器を入力デバイスとして用いてもよい。

　ＨＭＩ３１によるデータの提示について、概略的に説明する。ＨＭＩ３１は、搭乗者又は車外に対する視覚情報、聴覚情報、及び、触覚情報の生成を行う。また、ＨＭＩ３１は、生成された各情報の出力、出力内容、出力タイミング及び出力方法等を制御する出力制御を行う。ＨＭＩ３１は、視覚情報として、例えば、操作画面、車両１の状態表示、警告表示、車両１の周囲の状況を示すモニタ画像等の画像や光により示される情報を生成及び出力する。また、ＨＭＩ３１は、聴覚情報として、例えば、音声ガイダンス、警告音、警告メッセージ等の音により示される情報を生成及び出力する。さらに、ＨＭＩ３１は、触覚情報として、例えば、力、振動、動き等により搭乗者の触覚に与えられる情報を生成及び出力する。

　ＨＭＩ３１が視覚情報を出力する出力デバイスとしては、例えば、自身が画像を表示することで視覚情報を提示する表示装置や、画像を投影することで視覚情報を提示するプロジェクタ装置を適用することができる。なお、表示装置は、通常のディスプレイを有する表示装置以外にも、例えば、ヘッドアップディスプレイ、透過型ディスプレイ、ＡＲ（Augmented Reality）機能を備えるウエアラブルデバイスといった、搭乗者の視界内に視覚情報を表示する装置であってもよい。また、ＨＭＩ３１は、車両１に設けられるナビゲーション装置、インストルメントパネル、ＣＭＳ（Camera Monitoring System）、電子ミラー、ランプ等が有する表示デバイスを、視覚情報を出力する出力デバイスとして用いることも可能である。

　ＨＭＩ３１が聴覚情報を出力する出力デバイスとしては、例えば、オーディオスピーカ、ヘッドホン、イヤホンを適用することができる。

　ＨＭＩ３１が触覚情報を出力する出力デバイスとしては、例えば、ハプティクス技術を用いたハプティクス素子を適用することができる。ハプティクス素子は、例えば、ステアリングホイール、シートといった、車両１の搭乗者が接触する部分に設けられる。

　車両制御部３２は、車両１の各部の制御を行う。車両制御部３２は、ステアリング制御部８１、ブレーキ制御部８２、駆動制御部８３、ボディ系制御部８４、ライト制御部８５、及び、ホーン制御部８６を備える。

　ステアリング制御部８１は、車両１のステアリングシステムの状態の検出及び制御等を行う。ステアリングシステムは、例えば、ステアリングホイール等を備えるステアリング機構、電動パワーステアリング等を備える。ステアリング制御部８１は、例えば、ステアリングシステムの制御を行うステアリングＥＣＵ、ステアリングシステムの駆動を行うアクチュエータ等を備える。

　ブレーキ制御部８２は、車両１のブレーキシステムの状態の検出及び制御等を行う。ブレーキシステムは、例えば、ブレーキペダル等を含むブレーキ機構、ＡＢＳ（Antilock Brake System）、回生ブレーキ機構等を備える。ブレーキ制御部８２は、例えば、ブレーキシステムの制御を行うブレーキＥＣＵ、ブレーキシステムの駆動を行うアクチュエータ等を備える。

　駆動制御部８３は、車両１の駆動システムの状態の検出及び制御等を行う。駆動システムは、例えば、アクセルペダル、内燃機関又は駆動用モータ等の駆動力を発生させるための駆動力発生装置、駆動力を車輪に伝達するための駆動力伝達機構等を備える。駆動制御部８３は、例えば、駆動システムの制御を行う駆動ＥＣＵ、駆動システムの駆動を行うアクチュエータ等を備える。

　ボディ系制御部８４は、車両１のボディ系システムの状態の検出及び制御等を行う。ボディ系システムは、例えば、キーレスエントリシステム、スマートキーシステム、パワーウインドウ装置、パワーシート、空調装置、エアバッグ、シートベルト、シフトレバー等を備える。ボディ系制御部８４は、例えば、ボディ系システムの制御を行うボディ系ＥＣＵ、ボディ系システムの駆動を行うアクチュエータ等を備える。

　ライト制御部８５は、車両１の各種のライトの状態の検出及び制御等を行う。制御対象となるライトとしては、例えば、ヘッドライト、バックライト、フォグライト、ターンシグナル、ブレーキライト、プロジェクション、バンパーの表示等が想定される。ライト制御部８５は、ライトの制御を行うライトＥＣＵ、ライトの駆動を行うアクチュエータ等を備える。

　ホーン制御部８６は、車両１のカーホーンの状態の検出及び制御等を行う。ホーン制御部８６は、例えば、カーホーンの制御を行うホーンＥＣＵ、カーホーンの駆動を行うアクチュエータ等を備える。

　図６は、図５の外部認識センサ２５のカメラ５１、レーダ５２、ＬｉＤＡＲ５３、及び、超音波センサ５４等によるセンシング領域の例を示す図である。なお、図６において、車両１を上面から見た様子が模式的に示され、左端側が車両１の前端（フロント）側であり、右端側が車両１の後端（リア）側となっている。

　センシング領域１０１Ｆ及びセンシング領域１０１Ｂは、超音波センサ５４のセンシング領域の例を示している。センシング領域１０１Ｆは、複数の超音波センサ５４によって車両１の前端周辺をカバーしている。センシング領域１０１Ｂは、複数の超音波センサ５４によって車両１の後端周辺をカバーしている。

　センシング領域１０１Ｆ及びセンシング領域１０１Ｂにおけるセンシング結果は、例えば、車両１の駐車支援等に用いられる。

　センシング領域１０２Ｆ乃至センシング領域１０２Ｂは、短距離又は中距離用のレーダ５２のセンシング領域の例を示している。センシング領域１０２Ｆは、車両１の前方において、センシング領域１０１Ｆより遠い位置までカバーしている。センシング領域１０２Ｂは、車両１の後方において、センシング領域１０１Ｂより遠い位置までカバーしている。センシング領域１０２Ｌは、車両１の左側面の後方の周辺をカバーしている。センシング領域１０２Ｒは、車両１の右側面の後方の周辺をカバーしている。

　センシング領域１０２Ｆにおけるセンシング結果は、例えば、車両１の前方に存在する車両や歩行者等の検出等に用いられる。センシング領域１０２Ｂにおけるセンシング結果は、例えば、車両１の後方の衝突防止機能等に用いられる。センシング領域１０２Ｌ及びセンシング領域１０２Ｒにおけるセンシング結果は、例えば、車両１の側方の死角における物体の検出等に用いられる。

　センシング領域１０３Ｆ乃至センシング領域１０３Ｂは、カメラ５１によるセンシング領域の例を示している。センシング領域１０３Ｆは、車両１の前方において、センシング領域１０２Ｆより遠い位置までカバーしている。センシング領域１０３Ｂは、車両１の後方において、センシング領域１０２Ｂより遠い位置までカバーしている。センシング領域１０３Ｌは、車両１の左側面の周辺をカバーしている。センシング領域１０３Ｒは、車両１の右側面の周辺をカバーしている。

　センシング領域１０３Ｆにおけるセンシング結果は、例えば、信号機や交通標識の認識、車線逸脱防止支援システム、自動ヘッドライト制御システムに用いることができる。センシング領域１０３Ｂにおけるセンシング結果は、例えば、駐車支援、及び、サラウンドビューシステムに用いることができる。センシング領域１０３Ｌ及びセンシング領域１０３Ｒにおけるセンシング結果は、例えば、サラウンドビューシステムに用いることができる。

　センシング領域１０４は、ＬｉＤＡＲ５３のセンシング領域の例を示している。センシング領域１０４は、車両１の前方において、センシング領域１０３Ｆより遠い位置までカバーしている。一方、センシング領域１０４は、センシング領域１０３Ｆより左右方向の範囲が狭くなっている。

　センシング領域１０４におけるセンシング結果は、例えば、周辺車両等の物体検出に用いられる。

　センシング領域１０５は、長距離用のレーダ５２のセンシング領域の例を示している。センシング領域１０５は、車両１の前方において、センシング領域１０４より遠い位置までカバーしている。一方、センシング領域１０５は、センシング領域１０４より左右方向の範囲が狭くなっている。

　センシング領域１０５におけるセンシング結果は、例えば、ＡＣＣ（Adaptive Cruise Control）、緊急ブレーキ、衝突回避等に用いられる。

　なお、外部認識センサ２５が含むカメラ５１、レーダ５２、ＬｉＤＡＲ５３、及び、超音波センサ５４の各センサのセンシング領域は、図６以外に各種の構成をとってもよい。具体的には、超音波センサ５４が車両１の側方もセンシングするようにしてもよいし、ＬｉＤＡＲ５３が車両１の後方をセンシングするようにしてもよい。また、各センサの設置位置は、上述した各例に限定されない。また、各センサの数は、１つでもよいし、複数であってもよい。

　＜＜３．実施の形態＞＞
　次に、図７乃至図１９を参照して、本技術の実施の形態について説明する。

　　＜情報処理システム２０１の構成例＞
　図７は、本技術を適用した情報処理システム２０１の構成例を示している。

　情報処理システム２０１は、例えば、図５の車両１の車両制御システム１１の機能のうち主にソフトウエアにより実行される機能を実現するシステムである。

　情報処理システム２０１は、高性能ＥＣＵ２１１－１乃至高性能ＥＣＵ２１１－ｍ、及び、レガシーＥＣＵ２１２－１乃至レガシーＥＣＵ２１２－ｎを備える。高性能ＥＣＵ２１１－１乃至高性能ＥＣＵ２１１－ｍ、及び、レガシーＥＣＵ２１２－１乃至レガシーＥＣＵ２１２－ｎは、バス２１３にそれぞれ接続され、互いに通信することが可能である。

　以下、高性能ＥＣＵ２１１－１乃至高性能ＥＣＵ２１１－ｍを個々に区別する必要がない場合、単に高性能ＥＣＵ２１１と称する。以下、レガシーＥＣＵ２１２－１乃至レガシーＥＣＵ２１２－ｎを個々に区別する必要がない場合、単にレガシーＥＣＵ２１２と称する。以下、各ＥＣＵがバス２１３を介して通信する場合、バス２１３の記載を省略する。例えば、高性能ＥＣＵ２１１とレガシーＥＣＵ２１２がバス２１３を介して通信する場合、単に高性能ＥＣＵ２１１とレガシーＥＣＵ２１２が通信すると記載する。

　高性能ＥＣＵ２１１は、例えば、ＳｏＣを搭載した高性能なＥＣＵである。高性能ＥＣＵ２１１は、例えば、様々な機能が集約されたＥＣＵである。すなわち、１つの高性能ＥＣＵ２１１により、車両１の様々な機能を実行することが可能である。また、高性能ＥＣＵ２１１は、必要に応じて、レガシーＥＣＵ２１２のソフトウエアのバージョンアップ及びロールバックを制御する。

　レガシーＥＣＵ２１２は、例えば、高性能ＥＣＵ２１１より性能が劣るＥＣＵである。例えば、レガシーＥＣＵ２１２は、従来の車両が搭載しているような機能が限定されたＥＣＵである。

　なお、高性能ＥＣＵ２１１及びレガシーＥＣＵ２１２の数は特に限定されない。また、必ずしもレガシーＥＣＵ２１２を情報処理システム２０１に設ける必要はない。

　　＜高性能ＥＣＵ２１１の構成例＞
　図８は、高性能ＥＣＵ２１１の構成例を示している。高性能ＥＣＵ２１１は、図２のＮＡＮＤ型フラッシュシステム２０５１と同様の構成を備えている。高性能ＥＣＵ２１１は、ＣＰＵ２５１、フラッシュメモリ２５２、及び、ＲＡＭ２５３を備える。フラッシュメモリ２５２には、例えば、ＮＡＮＤ型フラッシュメモリが用いられる。ＲＡＭ２５３には、例えば、ＤＤＲ　ＳＤＲＡＭが用いられる。

　ＣＰＵ２５１とフラッシュメモリ２５２とは、ストレージ用Ｉ／Ｆを用いて通信する。ＣＰＵ２５１とＲＡＭ２５３とは、メモリＩ／Ｆを用いて通信する。

　ＣＰＵ２５１は、所定の制御プログラムを実行することにより、フラッシュメモリ２５２が格納するソフトウエア及びデータの管理を行うソフトウエア管理部２６１を実現する。ソフトウエア管理部２６１は、メインモジュール２７１、バックアップモジュール２７２、及び、データマイグレーションモジュール２７３を備える。

　メインモジュール２７１は、外部と通信を行いながら、ソフトウエア管理部２６１全体を制御する。例えば、メインモジュール２７１は、高性能ＥＣＵ２１１のソフトウエアの実行制御、並びに、ソフトウエアのバージョンアップ及びロールダウンを制御する。また、例えば、メインモジュール２７１は、必要に応じて、レガシーＥＣＵ２１２のソフトウエアのバージョンアップ及びロールダウンを制御する。

　バックアップモジュール２７２は、例えば、高性能ＥＣＵ２１１のソフトウエア及びデータのバックアップを制御する。また、例えば、バックアップモジュール２７２は、必要に応じて、レガシーＥＣＵ２１２のソフトウエア及びデータのバックアップを制御する。

　データマイグレーションモジュール２７３は、例えば、高性能ＥＣＵ２１１のデータマイグレーションを制御する。また、例えば、データマイグレーションモジュール２７３は、必要に応じて、レガシーＥＣＵ２１２のデータマイグレーションを制御する。

　フラッシュメモリ２５２は、例えば、ＣＰＵ２５１が実行するソフトウエア、及び、当該ソフトウエアが使用し、保持する必要があるデータを格納する。また、フラッシュメモリ２５２は、例えば、必要に応じて、レガシーＥＣＵ２１２のソフトウエア及びデータを格納する（バックアップする）。

　フラッシュメモリ２５２は、メインシステム領域Ａ、不揮発データ領域Ａ、メインシステム領域Ｂ、不揮発データ領域Ｂ、他ＥＣＵ用ＳＷ領域、及び、他ＥＣＵ用データ領域を備える。

　メインシステム領域Ａ及びメインシステム領域Ｂは、それぞれＣＰＵ２５１が実行するソフトウエアを格納する。メインシステム領域Ａ及びメインシステム領域Ｂは、それぞれ異なるバージョンのソフトウエアを格納することができる。メインシステム領域Ａ及びメインシステム領域Ｂは、基本的にソフトウエアをアップデートする場合以外は書き換え不可（ＲＯ）である。

　不揮発データ領域Ａは、メインシステム領域Ａに対応する領域であり、メインシステム領域Ａに格納されているソフトウエアが使用するデータを格納する。不揮発データ領域Ａは、書き換え可能（ＲＷ）である。

　不揮発データ領域Ｂは、メインシステム領域Ｂに対応する領域であり、メインシステム領域Ｂに格納されているソフトウエアが使用するデータを格納する。不揮発データ領域Ｂは、書き換え可能（ＲＷ）である。

　他ＥＣＵ用ＳＷ領域は、レガシーＥＣＵ２１２のソフトウエアをバックアップするための領域である。他ＥＣＵ用ＳＷ領域は、基本的にソフトウエアをバックアップする場合以外は書き換え不可（ＲＯ）である。

　他ＥＣＵ用データ領域は、レガシーＥＣＵ２１２のデータをバックアップするための領域である。他ＥＣＵ用データ領域は、基本的にデータをバックアップする場合以外は書き換え不可（ＲＯ）である。

　なお、この図では、他ＥＣＵ用ＳＷ領域及び他ＥＣＵ用データ領域の数をそれぞれ１つずつ示しているが、他ＥＣＵ用ＳＷ領域及び他ＥＣＵ用データ領域の数は、特に限定されない。例えば、他ＥＣＵ用ＳＷ領域及び他ＥＣＵ用データ領域の数は、ソフトウエア及びデータをバックアップするレガシーＥＣＵ２１２の数に基づいて設定される。

　ＲＡＭ２５３には、例えば、実行対象となるソフトウエア、及び、ソフトウエアが一時的に使用し、保持する必要がないデータが一時的に格納される。

　　＜レガシーＥＣＵ２１２の構成例＞
　図９は、レガシーＥＣＵ２１２の構成例を示している。レガシーＥＣＵ２１２は、図１のＮＯＲ型フラッシュシステム２００１と同様の構成を備えている。レガシーＥＣＵ２１２は、ＣＰＵ３０１、フラッシュメモリ３０２、及び、ＲＡＭ３０３を備える。フラッシュメモリ３０２には、例えば、ＮＯＲ型フラッシュメモリが用いられる。ＲＡＭ３０３には、例えば、ＳＲＡＭが用いられる。また。必要に応じて、外付けＮＶＲＡＭ３０４が設けられる。

　ＣＰＵ３０１とフラッシュメモリ３０２及びＲＡＭ３０３とは、ストレージ用Ｉ／Ｆが用いて通信する。ＣＰＵ３０１と外付けＮＶＲＡＭ３０４とは、メモリＩ／Ｆを用いて通信する。

　ＣＰＵ３０１は、所定の制御プログラムを実行することにより、フラッシュメモリ３０２が格納するソフトウエア及びデータの管理を行うソフトウエア管理部３１１を実現する。ソフトウエア管理部３１１は、メインモジュール３２１、及び、データマイグレーションモジュール３２２を備える。

　メインモジュール３２１は、外部と通信を行いながら、ソフトウエア管理部３１１全体を制御する。例えば、メインモジュール３２１は、レガシーＥＣＵ２１２のソフトウエアの実行制御、並びに、ソフトウエアのバージョンアップ及びロールダウンを制御する。

　データマイグレーションモジュール３２２は、例えば、レガシーＥＣＵ２１２のデータマイグレーションを制御する。なお、データマイグレーションモジュール３２２は、必ずしも設けられなくてもよい。

　フラッシュメモリ３０２は、例えば、ＣＰＵ３０１が実行するソフトウエア、及び、当該ソフトウエアが使用し、保持する必要があるデータを格納する。

　フラッシュメモリ３０２は、メインシステム領域及び不揮発データ領域を備える。

　メインシステム領域は、ＣＰＵ３０１が実行するソフトウエアを格納する。メインシステム領域は、基本的にソフトウエアをアップデート又はロールダウンする場合以外は書き換え不可（ＲＯ）である。

　不揮発データ領域は、メインシステム領域Ａ対応する領域であり、メインシステム領域に格納されているソフトウエアが使用するデータを格納する。不揮発データ領域は、書き換え可能（ＲＷ）である。

　ＲＡＭ３０３には、例えば、ソフトウエアが一時的に使用し、保持する必要がないデータが一時的に格納される。

　外付けＮＶＲＡＭ３０４は、フラッシュメモリ３０２の容量が十分でない場合、データの一部を格納する。

　　＜情報処理システム２０１の処理＞
　次に、図１０乃至図２９を参照して、情報処理システム２０１の処理について説明する。具体的には、以下、高性能ＥＣＵ２１１及びレガシーＥＣＵ２１２に組み込まれ、実行されるソフトウエアであるファームウエア（以下、ＦＷと称する）のアップデート、ロールバック等に関する処理について説明する。

　　　＜高性能ＥＣＵ２１１のＦＷアップデート処理の第１の実施の形態＞
　まず、図１０のシーケンス図を参照して、高性能ＥＣＵ２１１のＦＷアップデート処理の第１の実施の形態について説明する。

　なお、以下、高性能ＥＣＵ２１１のフラッシュメモリ２５２が、図１１のＡに示される状態であるものとする。

　具体的には、現在実行対象となっているＦＷ（Ｖｅｒ．Ｘ）が、メインシステム領域Ａに格納されているものとする。ＦＷ（Ｖｅｒ．Ｘ）が対応するフォーマットに従い、ＦＷ（Ｖｅｒ．Ｘ）により使用されるＦＷ（Ｖｅｒ．Ｘ）用データが、不揮発データ領域Ａに格納されているものとする。ＦＷ（Ｖｅｒ．Ｘ）より１つ前のバージョンのＦＷ（Ｖｅｒ．Ｘ－１）が、メインシステム領域Ｂに格納されているものとする。ＦＷ（Ｖｅｒ．Ｘ－１）が対応するフォーマットに従い、ＦＷ（Ｖｅｒ．Ｘ－１）により使用されるＦＷ（Ｖｅｒ．Ｘ－１）用データが、不揮発データ領域Ｂに格納されているものとする。

　なお、以下、実行対象になっているＦＷが格納されているメインシステム領域、及び、当該メインシステム領域に対応する不揮発データ領域を、有効領域又は使用中領域と称する。以下、有効領域又は使用中領域に格納されているＦＷを、有効なＦＷ又は使用中のＦＷとも称する。以下、有効領域又は使用中領域に格納されているデータを、有効なデータ又は使用中のデータとも称する。以下、実行対象になっていないＦＷが格納されているメインシステム領域、及び、当該メインシステム領域に対応する不揮発データ領域を、予備領域と称する。

　なお、図１１内の斜線で示される領域は有効領域又は使用中領域を示し、白地の領域は予備領域を示す。これは、以降の図でも同様である。

　ステップＳ１において、高性能ＥＣＵ２１１は、例えば、外部のサーバ等から通信部２２等を介して、ＯＴＡにより、ＦＷアップデート要求を受信する。ＦＷアップデート要求には、例えば、バージョンアップ用のＦＷ（以下、更新用ＦＷと称する）が含まれる。

　ステップＳ２において、ＦＷアップデート要求が、メインモジュール２７１に供給される。

　ステップＳ３において、メインモジュール２７１は、アップデートモードへ移行する。これにより、高性能ＥＣＵ２１１は、通常動作を一時的に停止し、車両１の走行等の通常動作が一時的に不可となる。

　ステップＳ４において、メインモジュール２７１は、バックアップ要求をバックアップモジュール２７２に送信する。

　ステップＳ５において、バックアップモジュール２７２は、使用中の不揮発データ領域のデータを予備の不揮発データ領域にコピーする。これにより、予備の不揮発データ領域のデータが、使用中の不揮発データ領域のデータにより更新され、両者のデータが同期する。

　例えば、予備の不揮発データ領域Ｂのデータが、使用中の不揮発データ領域ＡのＦＷ（Ｖｅｒ．Ｘ）用データにより更新され、不揮発データ領域Ａのデータと不揮発データ領域Ｂのデータが同期する。

　ステップＳ６において、バックアップモジュール２７２は、バックアップの完了をメインモジュール２７１に通知する。

　ステップＳ７において、メインモジュール２７１は、予備のメインシステム領域へ更新用ＦＷを書き込む。これにより、予備のメインシステム領域のＦＷが、更新用ＦＷにより更新される。

　例えば、メインシステム領域ＢのＦＷが、１つ後のバージョンの更新用のＦＷ（Ｖｅｒ．Ｘ＋１）により更新される。その結果、図１１のＢに示されるように、図１１のＡの状態と比較して、メインシステム領域ＢのＦＷが、最新のＦＷ（Ｖｅｒ．Ｘ＋１）に更新され、不揮発データ領域Ｂのデータが、１つ前のバージョンのＦＷ（Ｖｅｒ．Ｘ）用データに更新された状態になる。

　ステップＳ８において、メインモジュール２７１は、起動システムを変更する。すなわち、メインモジュール２７１は、予備領域と使用中領域を入れ替え、変更後の使用中領域に格納されているＦＷを実行対象に設定する。これにより、次回以降の高性能ＥＣＵ２１１の起動時に、実行対象に設定したＦＷが起動されるようになる。

　例えば、図１１のＢに示されるように、メインシステム領域Ｂ及び不揮発データ領域Ｂが使用中領域に設定され、メインシステム領域Ａ及び不揮発データ領域Ａが予備領域に設定される。そして、メインシステム領域ＢのＦＷ（Ｖｅｒ．Ｘ＋１）が、実行対象に設定され、次回以降の高性能ＥＣＵ２１１の起動時に、ＦＷ（Ｖｅｒ．Ｘ＋１）が起動されるようになる。

　その後、高性能ＥＣＵ２１１のＦＷアップデート処理は終了する。そして、高性能ＥＣＵ２１１のアップデートモードが解除される。

　　　＜高性能ＥＣＵ２１１のシステム起動処理＞
　次に、図１２のシーケンス図を参照して、高性能ＥＣＵ２１１により実行されるシステム起動処理について説明する。

　なお、以下、フラッシュメモリ２５２の状態が、図１３のＡに示されるように、上述した図１１のＢと同様の状態であるものとする。

　ステップＳ２１において、高性能ＥＣＵ２１１は、例えば車両制御ＥＣＵ２１等から、起動要求を受信する。

　ステップＳ２２において、起動要求が、メインモジュール２７１に供給される。

　次に、高性能ＥＣＵ２１１がＦＷアップデート処理後に初めて起動される場合、すなわち、ＦＷアップデート処理後の初回起動時において、ステップＳ２３乃至ステップＳ２５の処理が実行される。

　具体的には、ステップＳ２３において、メインモジュール２７１は、データフォーマットの移行処理（データマイグレーション）の実行をデータマイグレーションモジュール２７３に要求する。

　ステップＳ２４において、データマイグレーションモジュール２７３は、バージョンアップ後のＦＷ（以下、新ＦＷと称する）が使用する不揮発データ領域のデータのフォーマットを更新する。すなわち、データマイグレーションモジュール２７３は、新ＦＷが使用する不揮発データ領域のデータのフォーマットを、新ＦＷが対応するフォーマットに変換する。

　例えば、図１３のＢに示されるように、新ＦＷであるＦＷ（Ｖｅｒ．Ｘ＋１）が使用する不揮発データ領域Ｂのデータが、ＦＷ（Ｖｅｒ．Ｘ＋１）が対応するフォーマットに変換される。すなわち、不揮発データ領域Ｂに格納されているＦＷ（Ｖｅｒ．Ｘ）用データが、ＦＷ（Ｖｅｒ．Ｘ＋１）用データに変換される。これにより、メインシステム領域Ｂに格納されているＦＷ（Ｖｅｒ．Ｘ＋１）が実行可能な状態になる。

　ステップＳ２５において、データマイグレーションモジュール２７３は、データマイグレーションの完了をメインモジュール２７１に通知する。

　その後、処理はステップＳ２６に進む。

　なお、新ＦＷにおいて、データのフォーマットが前のＦＷから変更されていない場合、ステップＳ２３乃至ステップＳ２５の処理を省略することが可能である。

　一方、高性能ＥＣＵ２１１がＦＷアップデート処理後に２回目以降に起動される場合、ステップＳ２３乃至ステップＳ２５の処理はスキップされ、処理はステップＳ２６に進む。

　ステップＳ２６において、メインモジュール２７１は、実行対象のＦＷを起動する。すなわち、メインモジュール２７１は、実行対象のＦＷの少なくとも一部をＲＡＭ２５３に配置した後、起動する。

　例えば、メインシステム領域Ｂに格納されているＦＷ（Ｖｅｒ．Ｘ＋１）の少なくとも一部が、ＲＡＭ２５３に配置された後、起動される。そして、不揮発データ領域Ｂに格納されているＦＷ（Ｖｅｒ．Ｘ＋１）用データが、適宜ＲＡＭ２５３に配置され、使用されながら、ＦＷ（Ｖｅｒ．Ｘ＋１）が実行される。

　その後、システム起動処理は終了する。

　　　＜高性能ＥＣＵ２１１のロールバック処理＞
　次に、図１４のシーケンス図を参照して、高性能ＥＣＵ２１１により実行されるロールバック処理について説明する。

　なお、以下、フラッシュメモリ２５２の状態が、図１５のＡに示されるように、上述した図１３のＢと同様の状態であるものとする。

　ステップＳ４１において、高性能ＥＣＵ２１１は、例えば、外部のサーバ等から通信部２２等を介して、ＯＴＡにより、ロールバック要求を受信する。

　ステップＳ４２において、ロールバック要求が、メインモジュール２７１に供給される。

　ステップＳ４３において、図１０のステップＳ８の処理と同様に、起動システムが変更される。

　例えば、図１５のＢに示されるように、メインシステム領域Ａ及び不揮発データ領域Ａが使用中領域に設定され、メインシステム領域Ｂ及び不揮発データ領域Ｂが予備領域に設定される。そして、メインシステム領域ＡのＦＷ（Ｖｅｒ．Ｘ）が、実行対象に設定され、次回以降の高性能ＥＣＵ２１１の起動時に、ＦＷ（Ｖｅｒ．Ｘ）が起動されるようになる。

　このように、ＦＷがアップデートされ、データマイグレーションが実行された後でも、ＦＷのロールバックを適切に実行することが可能になる。すなわち、前のバージョンのＦＷ（Ｖｅｒ．Ｘ）に対応するＦＷ（Ｖｅｒ．Ｘ）用データが、不揮発データ領域Ａにそのまま残されている。従って、ロールバック後に、特にデータの変換等を行わなくても、前のバージョンのＦＷ（Ｖｅｒ．Ｘ）をそのまま実行することが可能になる。

　その後、ロールバック処理は終了する。

　ここで、上述した図１０の高性能ＥＣＵ２１１のＦＷアップデート処理では、ステップＳ５において、使用中の不揮発データ領域のデータが予備の不揮発データ領域にコピーされる。従って、不揮発データ領域のデータ量が大きくなるほど、不揮発データ領域のデータのコピーの所要時間が長くなり、ＦＷアップデート処理の所要時間が長くなる。ＦＷアップデート処理中は、車両１は走行等の通常動作が行えないため、その結果、ユーザの利便性が低下するおそれがある。

　これに対して、以下、ＦＷアップデート処理の所要時間を短縮する方法について説明する。

　　　＜高性能ＥＣＵ２１１のデータのバックアップ処理＞
　まず、図１６のシーケンス図を参照して、ＦＷがアップデートされた後に実行される、高性能ＥＣＵ２１１のデータのバックアップ処理について説明する。

　なお、以下、フラッシュメモリ２５２の状態が、図１７のＡに示されるように、上述した図１３のＢと同様の状態であるものとする。

　例えば、メインモジュール２７１が、今後ロールバックが発生しない、かつ、バックアップするタイミングであると判定した場合、ステップＳ１０１乃至ステップＳ１０４の処理が実行される。

　ここで、今後ロールバックが発生するか否かの判定方法の具体例について説明する。

　例えば、メインモジュール２７１は、ＦＷの提供元等から今後ロールバックが発生しない旨が通知されるまで、今後ロールバックが発生する可能性があると判定する。一方、例えば、メインモジュール２７１は、ＦＷの提供元等からＯＴＡ等により今後ロールバックが発生しない旨が通知された場合、それ以降、今後ロールバックが発生しないと判定する。

　または、例えば、メインモジュール２７１は、前回高性能ＥＣＵ２１１のＦＷがアップデートされてから規定時間が経過するまでの間、今後ロールバックが発生する可能性があると判定する。一方、例えば、メインモジュール２７１は、前回高性能ＥＣＵのＦＷがアップデートされてから規定時間が経過した後、今後ロールバックが発生しないと判定する。

　なお、規定時間は、例えば、１週間、１か月等、所定の時間に予め設定されてもよい。または、例えば、規定時間は、ＦＷのアップデート時等に、ＦＷの提供元等から指定されるようにしてもよい。

　また、バックアップするタイミングは、例えば、車両１が使用される可能性が低いタイミングに設定される。例えば、バックアップするタイミングは、車両１が充電中、かつ、所定の日時に設定される。所定の日時は、例えば、毎日所定の時刻、所定の曜日の所定の時刻、又は、所定の日にちの所定の時刻等に設定される。

　そして、ステップＳ１０１において、メインモジュール２７１は、バックアップ要求をバックアップモジュール２７２に送信する。

　これに対して、今回のバックアップが初回である場合、すなわち、今回のバックアップが、ＦＷがアップデートされてから初めてのバックアップである場合、ステップＳ１０２の処理が実行される。

　具体的には、ステップＳ１０２において、図１０のステップＳ５の処理と同様に、使用中の不揮発データ領域のデータが予備の不揮発データ領域にコピーされる。

　例えば、図１７のＢに示されるように、使用中の不揮発データ領域ＢのＦＷ（Ｖｅｒ．Ｘ＋１）用データが、予備の不揮発データ領域Ａにコピーされる。これにより、予備の不揮発データ領域Ａのデータが、使用中の不揮発データ領域ＢのＦＷ（Ｖｅｒ．Ｘ＋１）用データにより更新され、不揮発データ領域Ａのデータと不揮発データ領域Ｂのデータが同期する。すなわち、不揮発データ領域ＢのＦＷ（Ｖｅｒ．Ｘ＋１）用データが、不揮発データ領域Ａにバックアップされる。

　その後、処理はステップＳ１０４に進む。

　一方、過去にバックアップ履歴がある場合、すなわち、今回のバックアップが、ＦＷがアップデートされてから２回目以降のバックアップである場合、ステップＳ１０３の処理が実行される。

　具体的には、ステップＳ１０３において、バックアップモジュール２７２は、使用中の不揮発データ領域との差分を予備の不揮発データ領域にコピーする。

　例えば、バックアップモジュール２７２は、予備の不揮発データ領域のデータに対する使用中の不揮発データ領域のデータの差分を、予備の不揮発データ領域にコピーする。すなわち、使用中の不揮発データ領域に存在し、予備の不揮発データ領域のデータに存在しないデータが、予備の不揮発データ領域にコピーされる。

　また、例えば、バックアップモジュール２７２は、使用中の不揮発データ領域のデータに対する予備の不揮発データ領域のデータの差分を、予備の不揮発データ領域から削除する。すなわち、予備の不揮発データ領域に存在し、使用中の不揮発データ領域のデータに存在しないデータが、予備の不揮発データ領域から削除される。

　これにより、使用中の不揮発データ領域のデータと予備の不揮発データ領域のデータが同期する。

　例えば、使用中の不揮発データ領域Ｂに存在し、予備の不揮発データ領域Ａに存在しないデータが、不揮発データ領域Ａにコピーされる。また、予備の不揮発データ領域Ａに存在し、使用中の不揮発データ領域Ｂに存在しないデータが、不揮発データ領域Ａから削除される。これにより、図１７のＢに示されるように、予備の不揮発データ領域Ａのデータが、使用中の不揮発データ領域ＢのＦＷ（Ｖｅｒ．Ｘ＋１）用データと同期する。

　その後、処理はステップＳ１０４に進む。

　ステップＳ１０４において、バックアップモジュール２７２は、バックアップの完了をメインモジュール２７１に通知する。

　その後、高性能ＥＣＵ２１１のバックアップ処理は終了する。

　これにより、今後ロールバックが発生しないと判定された後、例えば定期的に、予備の不揮発データ領域のデータが使用中の不揮発データ領域のデータに同期し、両者のデータが一致するようになる。

　　　＜高性能ＥＣＵ２１１のＦＷアップデート処理の第２の実施の形態＞
　次に、図１８のシーケンス図を参照して、高性能ＥＣＵ２１１のＦＷアップデート処理の第２の実施の形態について説明する。

　なお、以下、フラッシュメモリ２５２の状態が、図１９のＡに示されるように、上述した図１７のＢと同様の状態であるものとする。

　ステップＳ１２１乃至ステップＳ１２４において、図１０のステップＳ１乃至ステップＳ４と同様の処理が実行される。

　そして、不揮発データ領域間にデータの差分がある場合、ステップＳ１２５の処理が実行される。

　具体的には、ステップＳ１２５において、図１６のステップＳ１０３の処理と同様に、使用中の不揮発データ領域との差分を予備の不揮発データ領域にコピーされる。これにより、予備の不揮発データ領域のデータが、使用中の不揮発データ領域のデータに同期する。

　ステップＳ１２６乃至ステップＳ１２８において、図１０のステップＳ６乃至ステップＳ８と同様の処理が実行される。

　これにより、例えば、図１９のＢに示されるように、メインシステム領域ＡのＦＷが、ＦＷ（Ｖｅｒ．Ｘ＋２）により更新される。また、メインシステム領域Ａ及び不揮発データ領域Ａが使用中領域に設定され、メインシステム領域Ｂ及び不揮発データ領域Ｂが予備領域に設定される。そして、メインシステム領域ＡのＦＷ（Ｖｅｒ．Ｘ＋２）が、実行対象に設定され、次回以降の高性能ＥＣＵ２１１の起動時に、ＦＷ（Ｖｅｒ．Ｘ＋２）が起動されるようになる。

　以上のように、ＦＷのアップデート時に、使用中の不揮発データ領域と予備の不揮発データ領域との差分のみが、予備の不揮発データ領域にコピーされるため、不揮発データ領域のデータのコピーの所要時間が短縮される。その結果、ＦＷのアップデートの所要時間が短縮される。

　　　＜レガシーＥＣＵ２１２のＦＷアップデート処理の第１の実施の形態＞
　次に、図２０及び図２１のシーケンス図を参照して、レガシーＥＣＵ２１２のＦＷアップデート処理の第１の実施の形態について説明する。

　なお、以下、高性能ＥＣＵ２１１のフラッシュメモリ２５２及びレガシーＥＣＵ２１２のフラッシュメモリ３０２が、図２２のＡに示される状態であるもとする。

　具体的には、現在レガシーＥＣＵ２１２で実行対象となっているＦＷ（Ｖｅｒ．Ｙ）が、レガシーＥＣＵ２１２のフラッシュメモリ３０２のメインシステム領域に格納されているものとする。ＦＷ（Ｖｅｒ．Ｙ）が対応するフォーマットに従い、ＦＷ（Ｖｅｒ．Ｙ）により使用されるＦＷ（Ｖｅｒ．Ｙ）用データが、レガシーＥＣＵ２１２のフラッシュメモリ３０２の不揮発データ領域に格納されているものとする。１つ前のバージョンのＦＷ（Ｖｅｒ．Ｙ－１）が、高性能ＥＣＵ２１１のフラッシュメモリ２５２の他ＥＣＵ用ＳＷ領域に格納されているものとする。ＦＷ（Ｖｅｒ．Ｙ－１）が対応するフォーマットに従い、ＦＷ（Ｖｅｒ．Ｙ－１）により使用されるＦＷ（Ｖｅｒ．Ｙ－１）用データが、高性能ＥＣＵ２１１のフラッシュメモリ２５２の他ＥＣＵ用データ領域に格納されているものとする。

　ステップＳ２０１において、高性能ＥＣＵ２１１は、例えば、外部のサーバ等から通信部２２等を介して、ＯＴＡにより、レガシーＥＣＵ２１２のＦＷアップデート要求を受信する。レガシーＥＣＵ２１２のＦＷアップデート要求には、例えば、レガシーＥＣＵ２１２のバージョンアップ用のＦＷ（更新用ＦＷ）が含まれる。

　ステップＳ２０２において、レガシーＥＣＵ２１２のＦＷアップデート要求が、高性能ＥＣＵ２１１のメインモジュール２７１に供給される。

　ステップＳ２０３において、高性能ＥＣＵ２１１のメインモジュール２７１は、アップデートモードへ移行する。これにより、高性能ＥＣＵ２１１は、通常動作を一時的に停止し、車両１の走行等の通常動作が一時的に不可となる。

　ステップＳ２０４において、高性能ＥＣＵ２１１のメインモジュール２７１は、ＦＷ転送要求をレガシーＥＣＵ２１２に送信する。

　これに対して、レガシーＥＣＵ２１２のメインモジュール３２１は、ＦＷ転送要求を高性能ＥＣＵ２１１から受信する。

　ステップＳ２０５において、レガシーＥＣＵ２１２から高性能ＥＣＵ２１１のメインモジュール２７１に、ＦＷが転送される。

　具体的には、レガシーＥＣＵ２１２のメインモジュール３２１は、フラッシュメモリ３０２のメインシステム領域に格納されている、現在使用中であり、更新前のＦＷを高性能ＥＣＵ２１１に送信する。

　これに対して、高性能ＥＣＵ２１１のメインモジュール２７１は、ＦＷをレガシーＥＣＵ２１２から受信する。

　これにより、例えば、レガシーＥＣＵ２１２のメインシステム領域に格納されているＦＷ（Ｖｅｒ．Ｙ）が、レガシーＥＣＵ２１２から高性能ＥＣＵ２１１に転送される。

　ステップＳ２０６において、高性能ＥＣＵ２１１のメインモジュール２７１は、データ転送要求をレガシーＥＣＵ２１２に送信する。

　これに対して、レガシーＥＣＵ２１２のメインモジュール３２１は、データ転送要求を高性能ＥＣＵ２１１から受信する。

　ステップＳ２０７において、レガシーＥＣＵ２１２から高性能ＥＣＵ２１１のメインモジュール２７１に、データが転送される。

　具体的には、レガシーＥＣＵ２１２のメインモジュール３２１は、フラッシュメモリ３０２の不揮発データ領域に格納されて、現在使用中であり、更新前のデータを高性能ＥＣＵ２１１に送信する。

　これに対して、高性能ＥＣＵ２１１のメインモジュール２７１は、データをレガシーＥＣＵ２１２から受信する。

　これにより、例えば、レガシーＥＣＵ２１２の不揮発データ領域に格納されているＦＷ（Ｖｅｒ．Ｙ）用データが、レガシーＥＣＵ２１２から高性能ＥＣＵ２１１に転送される。

　ステップＳ２０８において、高性能ＥＣＵ２１１のメインモジュール２７１は、バックアップ要求をバックアップモジュール２７２に送信する。

　ステップＳ２０９において、高性能ＥＣＵ２１１のバックアップモジュール２７２は、更新前のレガシーＥＣＵ２１２のＦＷ及びデータをバックアップする。

　具体的には、バックアップモジュール２７２は、レガシーＥＣＵ２１２から受信したＦＷをフラッシュメモリ２５２の他ＥＣＵ用ＳＷ領域にコピーする。これにより、高性能ＥＣＵ２１１の他ＥＣＵ用ＳＷ領域のＦＷが、現在使用中であり、更新前のレガシーＥＣＵ２１２のＦＷにより更新される。すなわち、更新前のレガシーＥＣＵ２１２のＦＷが、高性能ＥＣＵ２１１の他ＥＣＵ用ＳＷ領域にバックアップされる。

　バックアップモジュール２７２は、レガシーＥＣＵ２１２から受信したデータをフラッシュメモリ２５２の他ＥＣＵ用データ領域にコピーする。これにより、高性能ＥＣＵ２１１の他ＥＣＵ用データ領域のデータが、現在使用中であり、更新前のレガシーＥＣＵ２１２のＦＷ用データにより更新される。すなわち、更新前のレガシーＥＣＵ２１２のＦＷ用データが、高性能ＥＣＵ２１１の他ＥＣＵ用データ領域にバックアップされる。

　例えば、図２２のＢに示されるように、高性能ＥＣＵ２１１の他ＥＣＵ用ＳＷ領域のＦＷが、現在使用中であり、更新前のＦＷ（Ｖｅｒ．Ｙ）により更新される。高性能ＥＣＵ２１１の他ＥＣＵ用データ領域のデータが、現在使用中であり、更新前のＦＷ（Ｖｅｒ．Ｙ）用データにより更新される。

　ステップＳ２１０において、高性能ＥＣＵ２１１のバックアップモジュール２７２は、バックアップの完了をメインモジュール２７１に通知する。

　ステップＳ２１１において、高性能ＥＣＵ２１１のメインモジュール２７１は、ＦＷ更新要求をレガシーＥＣＵ２１２に送信する。ＦＷ更新要求は、例えば、更新用ＦＷを含む。

　これに対して、レガシーＥＣＵ２１２のメインモジュール３２１は、ＦＷ更新要求を高性能ＥＣＵ２１１から受信する。

　ステップＳ２１２において、レガシーＥＣＵ２１２のメインモジュール３２１は、ＦＷを更新する。具体的には、メインモジュール３２１は、フラッシュメモリ３０２のメインシステム領域に更新用ＦＷを書き込む。これにより、フラッシュメモリ３０２のメインシステム領域のＦＷが、更新用ＦＷにより更新される。

　例えば、図２２のＢに示されるように、レガシーＥＣＵ２１２のメインシステム領域のＦＷが、最新のＦＷ（Ｖｅｒ．Ｙ＋１）により更新される。

　ステップＳ２１３において、レガシーＥＣＵ２１２のメインモジュール３２１は、ＦＷの更新の完了を高性能ＥＣＵ２１１のメインモジュール２７１に通知する。

　次に、レガシーＥＣＵ２１２がデータマイグレーションを実行できない場合、ステップＳ２１４乃至ステップＳ２１９の処理が実行される。

　具体的には、ステップＳ２１４において、高性能ＥＣＵ２１１のメインモジュール２７１は、データフォーマットの移行処理（データマイグレーション）の実行をデータマイグレーションモジュール２７３に要求する。

　ステップＳ２１５において、高性能ＥＣＵ２１１のデータマイグレーションモジュール２７３は、更新後のＦＷ用のデータを生成する。具体的には、データマイグレーションモジュール２７３は、高性能ＥＣＵ２１１の他ＥＣＵ用データ領域のデータを、更新後のＦＷが対応するフォーマットに変換したデータを生成する。

　これにより、例えば、更新後のＦＷ（Ｖｅｒ．Ｙ＋１）が対応するフォーマットに従ったＦＷ（Ｖｅｒ．Ｙ＋１）用データが生成される。

　ステップＳ２１６において、高性能ＥＣＵ２１１のデータマイグレーションモジュール２７３は、更新後のＦＷ用データをメインモジュール２７１に送信する。

　ステップＳ２１７において、高性能ＥＣＵ２１１のメインモジュール２７１は、データ更新要求をレガシーＥＣＵ２１２に送信する。データ更新要求は、例えば、更新後のＦＷ用データを含む。

　これに対して、レガシーＥＣＵ２１２のメインモジュール３２１は、データ更新要求を高性能ＥＣＵ２１１から受信する。

　ステップＳ２１８において、レガシーＥＣＵ２１２のメインモジュール３２１は、データを更新する。具体的には、メインモジュール３２１は、高性能ＥＣＵ２１１から受信した更新後のＦＷ用データを、フラッシュメモリ３０２の不揮発データ領域にコピーする。これにより、フラッシュメモリ３０２の不揮発データ領域のデータが、更新後のＦＷ用データにより更新される。

　例えば、図２２のＣに示されるように、レガシーＥＣＵ２１２の不揮発データ領域のデータが、ＦＷ（Ｖｅｒ．Ｙ＋１）用データにより更新される。その結果、レガシーＥＣＵ２１２が、ＦＷ（Ｖｅｒ．Ｙ＋１）を実行可能な状態になる。

　ステップＳ２１９において、レガシーＥＣＵ２１２のメインモジュール３２１は、データの更新の完了を高性能ＥＣＵ２１１のメインモジュール２７１に通知する。

　その後、レガシーＥＣＵ２１２のＦＷアップデート処理は終了する。

　一方、レガシーＥＣＵ２１２がデータマイグレーションを実行可能である場合、ステップＳ２２０乃至ステップＳ２２２の処理が実行される。

　具体的には、ステップＳ２２０において、高性能ＥＣＵ２１１のメインモジュール２７１は、データフォーマットの移行処理（データマイグレーション）の実行を、レガシーＥＣＵ２１２に要求する。

　ステップＳ２２１において、レガシーＥＣＵ２１２のデータマイグレーションモジュール３２２は、レガシーＥＣＵ２１２の不揮発データ領域のデータのフォーマットを更新する。

　例えば、図２２のＣに示されるように、レガシーＥＣＵ２１２の不揮発データ領域のＦＷ（Ｖｅｒ．Ｙ）用データが、ＦＷ（Ｖｅｒ．Ｙ＋１）が対応するフォーマットに従ったＦＷ（Ｖｅｒ．Ｙ＋１）用データに変換される。その結果、レガシーＥＣＵ２１２が、ＦＷ（Ｖｅｒ．Ｙ＋１）を実行可能な状態になる。

　ステップＳ２２２において、レガシーＥＣＵ２１２のデータマイグレーションモジュール２７３は、データマイグレーションの完了を高性能ＥＣＵ２１１のメインモジュール２７１に通知する。

　その後、レガシーＥＣＵ２１２のＦＷアップデート処理は終了する。そして、高性能ＥＣＵ２１１のアップデートモードが解除される。

　　　＜レガシーＥＣＵ２１２のロールバック処理＞
　次に、図２３のシーケンス図を参照して、レガシーＥＣＵ２１２のロールバック処理について説明する。

　なお、以下、高性能ＥＣＵ２１１のフラッシュメモリ２５２及びレガシーＥＣＵ２１２のフラッシュメモリ３０２の状態が、図２４のＡに示されるように、上述した図２２のＣと同様の状態であるものとする。

　ステップＳ２４１において、高性能ＥＣＵ２１１は、例えば、外部のサーバ等から通信部２２等を介して、ＯＴＡにより、レガシーＥＣＵ２１２のロールバック要求を受信する。

　ステップＳ２４２において、ロールバック要求が、高性能ＥＣＵ２１１のメインモジュール２７１に供給される。

　ステップＳ２４３において、高性能ＥＣＵ２１１のメインモジュール２７１は、ＦＷロールバック要求をレガシーＥＣＵ２１２に送信する。ＦＷロールバック要求は、例えば、高性能ＥＣＵ２１１の他ＥＣＵ用ＳＷ領域に格納されているＦＷ、すなわち前のバージョンのＦＷを含む。

　これに対して、レガシーＥＣＵ２１２のメインモジュール３２１は、ＦＷロールバック要求を高性能ＥＣＵ２１１から受信する。

　ステップＳ２４４において、レガシーＥＣＵ２１２のメインモジュール３２１は、ＦＷをロールバックする。具体的には、メインモジュール３２１は、ＦＷロールバック要求に含まれるＦＷ、すなわち前のバージョンのＦＷを、フラッシュメモリ３０２のメインシステム領域にコピーする。これにより、レガシーＥＣＵ２１２のメインシステム領域のＦＷが、前のバージョンのＦＷにロールバックされる。

　例えば、図２４のＢに示されるように、レガシーＥＣＵ２１２のメインシステム領域のＦＷが、ＦＷ（Ｖｅｒ．Ｙ＋１）からＦＷ（Ｖｅｒ．Ｙ）にロールバックされる。

　ステップＳ２４５において、レガシーＥＣＵ２１２のメインモジュール３２１は、ＦＷのロールバックの完了を高性能ＥＣＵ２１１のメインモジュール２７１に通知する。

　ステップＳ２４６において、高性能ＥＣＵ２１１のメインモジュール２７１は、データロールバック要求をレガシーＥＣＵ２１２に送信する。データロールバック要求は、例えば、高性能ＥＣＵ２１１の他ＥＣＵ用データ領域に格納されているデータ、すなわち前のバージョンのＦＷ用データを含む。

　これに対して、レガシーＥＣＵ２１２のメインモジュール３２１は、データロールバック要求を高性能ＥＣＵ２１１から受信する。

　ステップＳ２４７において、レガシーＥＣＵ２１２のメインモジュール３２１は、データをロールバックする。具体的には、メインモジュール３２１は、データロールバック要求に含まれるデータ、すなわち前のバージョンのＦＷ用データを、フラッシュメモリ３０２の不揮発データ領域にコピーする。これにより、レガシーＥＣＵ２１２の不揮発データ領域のデータが、前のバージョンのＦＷ用データにロールバックされる。

　例えば、図２４のＢに示されるように、レガシーＥＣＵ２１２の不揮発データ領域のデータが、ＦＷ（Ｖｅｒ．Ｙ＋１）用データからＦＷ（Ｖｅｒ．Ｙ）用データにロールバックされる。これにより、レガシーＥＣＵ２１２が、前のバージョンのＦＷ（Ｖｅｒ．Ｙ）を実行可能な状態になる。

　ステップＳ２４８において、レガシーＥＣＵ２１２のメインモジュール３２１は、データのロールバックの完了を高性能ＥＣＵ２１１のメインモジュール２７１に通知する。

　その後、レガシーＥＣＵ２１２のロールバック処理は終了する。

　このように、高性能ＥＣＵ２１１が、レガシーＥＣＵ２１２の前のバージョンのＦＷをバックアップしているため、レガシーＥＣＵ２１２のＦＷのロールバックが容易に実行される。また、高性能ＥＣＵ２１１が、レガシーＥＣＵ２１２の前のバージョンのＦＷ用データをバックアップしているため、特にデータの変換等を行わなくても、レガシーＥＣＵ２１２が、前のバージョンのＦＷをそのまま実行することが可能になる。

　ここで、上述した図２０のレガシーＥＣＵ２１２のＦＷアップデート処理では、ステップＳ２０９において、レガシーＥＣＵ２１２の不揮発データ領域のデータが高性能ＥＣＵ２１１の他ＥＣＵ用データ領域にコピーされる。従って、レガシーＥＣＵ２１２の不揮発データ領域のデータ量が大きくなるほど、データのコピーの所要時間が長くなり、レガシーＥＣＵ２１２のＦＷアップデート処理の所要時間が長くなる。レガシーＥＣＵ２１２のＦＷアップデート処理中は、車両１は走行等の通常動作が行えないため、その結果、ユーザの利便性が低下するおそれがある。

　これに対して、以下、レガシーＥＣＵ２１２のＦＷアップデート処理の所要時間を短縮する方法について説明する。

　　　＜レガシーＥＣＵ２１２のデータのバックアップ処理＞
　まず、図２５のシーケンス図を参照して、レガシーＥＣＵ２１２のＦＷがアップデートされた後に実行される、レガシーＥＣＵ２１２のデータのバックアップ処理について説明する。

　なお、以下、高性能ＥＣＵ２１１のフラッシュメモリ２５２及びレガシーＥＣＵ２１２のフラッシュメモリ３０２の状態が、図２６のＡに示されるように、上述した図２２のＣと同様の状態であるものとする。

　例えば、高性能ＥＣＵ２１１のメインモジュール２７１が、今後レガシーＥＣＵ２１２のロールバックが発生しない、かつ、バックアップするタイミングであると判定した場合、ステップＳ３０１乃至ステップＳ３０６の処理が実行される。

　なお、今後レガシーＥＣＵ２１２のロールバックが発生するか否かの判定方法は、例えば、図１６を参照して上述した高性能ＥＣＵ２１１のバックアップ処理における、高性能ＥＣＵ２１１のロールバックが発生するか否かの判定方法と同様とされる。

　また、バックアップするタイミングも、例えば、図１６を参照して上述した高性能ＥＣＵ２１１のバックアップ処理におけるタイミングと同様とされる。

　ステップＳ３０１乃至ステップＳ３０３において、上述した図２０のステップＳ２０６乃至ステップＳ２０８と同様の処理が実行される。

　そして、今回のバックアップが初回である場合、すなわち、今回のバックアップが、レガシーＥＣＵ２１２のＦＷがアップデートされてから初めてのバックアップである場合、ステップＳ３０４の処理が実行される。

　具体的には、ステップＳ３０４において、高性能ＥＣＵ２１１のバックアップモジュール２７２は、レガシーＥＣＵ２１２のデータを他ＥＣＵ用データ領域にコピーする。すなわち、バックアップモジュール２７２は、レガシーＥＣＵ２１２から受信したデータをフラッシュメモリ２５２の他ＥＣＵ用データ領域にコピーする。これにより、高性能ＥＣＵ２１１の他ＥＣＵ用データ領域のデータが、レガシーＥＣＵ２１２の不揮発データ領域のデータにより更新され、レガシーＥＣＵ２１２の不揮発データ領域のデータと高性能ＥＣＵ２１１の他ＥＣＵ用データ領域のデータとが同期する。

　例えば、図２６のＢに示されるように、高性能ＥＣＵ２１１の他ＥＣＵ用データ領域のデータが、レガシーＥＣＵ２１２の不揮発データ領域のＦＷ（Ｖｅｒ．Ｙ＋１）用データにより更新され、レガシーＥＣＵ２１２の不揮発データ領域のデータと高性能ＥＣＵ２１１の他ＥＣＵ用データ領域とが同期する。すなわち、レガシーＥＣＵ２１２の不揮発データ領域のＦＷ（Ｖｅｒ．Ｙ＋１）用データが、高性能ＥＣＵ２１１の他ＥＣＵ用データ領域にバックアップされる。

　その後、処理はステップＳ３０６に進む。

　一方、過去にレガシーＥＣＵ２１２のバックアップ履歴がある場合、すなわち、今回のバックアップが、レガシーＥＣＵ２１２のＦＷがアップデートされてから２回目以降のバックアップである場合、ステップＳ３０５の処理が実行される。

　具体的には、ステップＳ３０５において、高性能ＥＣＵ２１１のバックアップモジュール２７２は、レガシーＥＣＵ２１２のデータとの差分を他ＥＣＵ用データ領域にコピーする。

　例えば、バックアップモジュール２７２は、高性能ＥＣＵ２１１の他ＥＣＵ用データ領域のデータに対するレガシーＥＣＵ２１２の不揮発データ領域のデータの差分を、他ＥＣＵ用データ領域にコピーする。すなわち、レガシーＥＣＵ２１２の不揮発データ領域に存在し、高性能ＥＣＵ２１１の他ＥＣＵ用データ領域に存在しないデータが、他ＥＣＵ用データ領域にコピーされる。

　また、例えば、バックアップモジュール２７２は、レガシーＥＣＵ２１２の不揮発データ領域のデータに対する高性能ＥＣＵ２１１の他ＥＣＵ用データ領域のデータの差分を、他ＥＣＵ用データ領域から削除する。すなわち、高性能ＥＣＵ２１１の他ＥＣＵ用データ領域に存在し、レガシーＥＣＵ２１２の不揮発データ領域に存在しないデータが、他ＥＣＵ用データ領域から削除される。

　これにより、レガシーＥＣＵ２１２の不揮発データ領域のデータと高性能ＥＣＵ２１１の他ＥＣＵ用データ領域のデータが同期する。

　例えば、図２６のＢに示されるように、高性能ＥＣＵ２１１の他ＥＣＵ用データ領域のデータが、レガシーＥＣＵ２１２の不揮発データ領域のＦＷ（Ｖｅｒ．Ｙ＋１）用データと同期する。

　その後、処理はステップＳ３０６に進む。

　ステップＳ３０６において、高性能ＥＣＵ２１１のバックアップモジュール２７２は、バックアップの完了をメインモジュール２７１に通知する。

　その後、レガシーＥＣＵ２１２のデータのバックアップ処理は終了する。

　これにより、今後レガシーＥＣＵ２１２のロールバックが発生しないと判定された後、例えば定期的に、高性能ＥＣＵ２１１の他ＥＣＵ用データ領域が、レガシーＥＣＵ２１２の不揮発データ領域に同期し、両者のデータが一致するようになる。

　　　＜レガシーＥＣＵ２１２のＦＷアップデート処理の第２の実施の形態＞
　次に、図２７及び図２８のシーケンス図を参照して、レガシーＥＣＵ２１２のＦＷアップデート処理の第２の実施の形態について説明する。

　なお、以下、高性能ＥＣＵ２１１のフラッシュメモリ２５２及びレガシーＥＣＵ２１２のフラッシュメモリ３０２の状態が、図２９のＡに示されるように、上述した図２６のＢと同様の状態であるものとする。

　ステップＳ３０１乃至ステップＳ３０８において、図２０のステップＳ２０１乃至ステップＳ２０８と同様の処理が実行される。

　そして、高性能ＥＣＵ２１１のバックアップモジュール２７２が、レガシーＥＣＵ２１２のデータと他ＥＣＵ用データ領域の差分があると判定した場合、すなわち、レガシーＥＣＵ２１２の不揮発データ領域のデータと高性能ＥＣＵ２１１の他ＥＣＵ用データ領域のデータとの差分があると判定した場合、ステップＳ３０９の処理が実行される。

　具体的には、ステップＳ３０９において、高性能ＥＣＵ２１１のバックアップモジュール２７２は、更新前のレガシーＥＣＵ２１２のデータの差分及びＦＷをバックアップする。

　具体的には、バックアップモジュール２７２は、上述した図２０のステップＳ２０９の処理と同様に、レガシーＥＣＵ２１２から受信したＦＷをフラッシュメモリ２５２の他ＥＣＵ用ＳＷ領域にコピーする。

　また、バックアップモジュール２７２は、上述した図２５のステップＳ３０５の処理と同様に、レガシーＥＣＵ２１２のデータとの差分を他ＥＣＵ用データ領域にコピーする。

　これにより、例えば、図２９のＢに示されるように、高性能ＥＣＵ２１１の他ＥＣＵ用ＳＷ領域のＦＷが、ＦＷ（Ｖｅｒ．Ｙ＋１）により更新される。また、例えば、高性能ＥＣＵ２１１の他ＥＣＵ用データ領域のデータが、レガシーＥＣＵ２１２の不揮発データ領域のＦＷ（Ｖｅｒ．Ｙ＋１）用データと同期する。これにより、更新前のＦＷ（Ｖｅｒ．Ｙ＋１）及びＦＷ（Ｖｅｒ．Ｙ＋１）用データが、高性能ＥＣＵ２１１によりバックアップされる。

　その後、処理はステップＳ３１１に進む。

　一方、高性能ＥＣＵ２１１のバックアップモジュール２７２が、レガシーＥＣＵ２１２のデータと他ＥＣＵ用データ領域の差分がないと判定した場合、すなわち、レガシーＥＣＵ２１２の不揮発データ領域のデータと高性能ＥＣＵ２１１の他ＥＣＵ用データ領域のデータとの差分がないと判定した場合、ステップＳ３１０の処理が実行される。

　具体的には、ステップＳ３１０において、高性能ＥＣＵ２１１のバックアップモジュール２７２は、更新前のレガシーＥＣＵ２１２のＦＷをバックアップする。具体的には、バックアップモジュール２７２は、上述した図２０のステップＳ２０９の処理と同様に、レガシーＥＣＵ２１２から受信したＦＷをフラッシュメモリ２５２の他ＥＣＵ用ＳＷ領域にコピーする。

　これにより、例えば、図２９のＢに示されるように、高性能ＥＣＵ２１１の他ＥＣＵ用ＳＷ領域のＦＷが、ＦＷ（Ｖｅｒ．Ｙ＋１）により更新される。また、高性能ＥＣＵ２１１の他ＥＣＵ用データ領域のデータが、レガシーＥＣＵ２１２の不揮発データ領域のＦＷ（Ｖｅｒ．Ｙ＋１）用データとすでに同期している。これにより、更新前のＦＷ（Ｖｅｒ．Ｙ＋１）及びＦＷ（Ｖｅｒ．Ｙ＋１）用データが、高性能ＥＣＵ２１１によりバックアップされる。

　その後、処理はステップＳ３１１に進む。

　ステップＳ３１１乃至ステップＳ３２３において、上述した図２０のステップＳ２１０乃至図２１のステップＳ２２２と同様の処理が実行される。

　これにより、図２９のＢに示されるように、レガシーＥＣＵ２１２のメインシステム領域のＦＷが、ＦＷ（Ｖｅｒ．Ｙ＋２）により更新される。また、レガシーＥＣＵ２１２の不揮発データ領域のデータが、ＦＷ（Ｖｅｒ．Ｙ＋２）が対応するフォーマットに従ったＦＷ（Ｖｅｒ．Ｙ＋２）用データにより更新される。その結果、レガシーＥＣＵ２１２が、ＦＷ（Ｖｅｒ．Ｙ＋２）を実行可能な状態になる。

　その後、レガシーＥＣＵ２１２のＦＷアップデート処理は終了する。

　以上のように、レガシーＥＣＵ２１２のＦＷのアップデート時に、レガシーＥＣＵ２１２の不揮発データ領域のデータと高性能ＥＣＵ２１１の他ＥＣＵ用データ領域との差分のみが、高性能ＥＣＵ２１１の他ＥＣＵ用データ領域にコピーされる。従って、レガシーＥＣＵ２１２のデータのコピーの所要時間が短縮される。その結果、レガシーＥＣＵ２１２のＦＷのアップデートの所要時間が短縮される。

　＜＜４．変形例＞＞
　以下、上述した本技術の実施の形態の変形例について説明する。

　例えば、レガシーＥＣＵ２１２が、２以上のバージョンのＦＷを格納できる場合、高性能ＥＣＵ２１１は、必ずしもレガシーＥＣＵ２１２のＦＷをバックアップする必要はない。また、この場合、高性能ＥＣＵ２１１の他ＥＣＵ用ＳＷ領域を削除することが可能である。

　例えば、１つのレガシーＥＣＵ２１２に対して、それぞれ２つの他ＥＣＵ用ＳＷ領域及び他ＥＣＵ用データ領域を高性能ＥＣＵ２１１に設けるようにしてもよい。そして、高性能ＥＣＵ２１１が、実行対象となるＦＷ及び当該ＦＷ用データ、並びに、古いバージョンのＦＷ及び当該ＦＷ用データのバックアップを行うようにししてもよい。

　本技術は、例えば、フラッシュメモリ以外の、不揮発かつ書き換え可能なメモリ（記憶部）を用いる場合にも適用することができる。

　本技術は、車両以外にＯＴＡ等によりソフトウエアのアップデートやロールバックを実行する装置やシステムに適用することができる。例えば、スマートフォン、ＰＣ、タブレット端末、デジタルカメラ、ロボット、車両以外の移動体等が想定される。

　＜＜５．その他＞＞
　　＜コンピュータの構成例＞
　上述した一連の処理は、ハードウエアにより実行することもできるし、ソフトウエアにより実行することもできる。一連の処理をソフトウエアにより実行する場合には、そのソフトウエアを構成するプログラムが、コンピュータにインストールされる。ここで、コンピュータには、専用のハードウエアに組み込まれているコンピュータや、各種のプログラムをインストールすることで、各種の機能を実行することが可能な、例えば汎用のパーソナルコンピュータなどが含まれる。

　図３０は、上述した一連の処理をプログラムにより実行するコンピュータのハードウエアの構成例を示すブロック図である。

　コンピュータ１０００において、CPU（Central Processing Unit）１００１、ROM（Read Only Memory）１００２、RAM（Random Access Memory）１００３は、バス１００４により相互に接続されている。

　バス１００４には、さらに、入出力インタフェース１００５が接続されている。入出力インタフェース１００５には、入力部１００６、出力部１００７、記憶部１００８、通信部１００９、及びドライブ１０１０が接続されている。

　入力部１００６は、入力スイッチ、ボタン、マイクロフォン、撮像素子などよりなる。出力部１００７は、ディスプレイ、スピーカなどよりなる。記憶部１００８は、ハードディスクや不揮発性のメモリなどよりなる。通信部１００９は、ネットワークインタフェースなどよりなる。ドライブ１０１０は、磁気ディスク、光ディスク、光磁気ディスク、又は半導体メモリなどのリムーバブルメディア１０１１を駆動する。

　以上のように構成されるコンピュータ１０００では、CPU１００１が、例えば、記憶部１００８に記録されているプログラムを、入出力インタフェース１００５及びバス１００４を介して、RAM１００３にロードして実行することにより、上述した一連の処理が行われる。

　コンピュータ１０００（CPU１００１）が実行するプログラムは、例えば、パッケージメディア等としてのリムーバブルメディア１０１１に記録して提供することができる。また、プログラムは、ローカルエリアネットワーク、インターネット、デジタル衛星放送といった、有線または無線の伝送媒体を介して提供することができる。

　コンピュータ１０００では、プログラムは、リムーバブルメディア１０１１をドライブ１０１０に装着することにより、入出力インタフェース１００５を介して、記憶部１００８にインストールすることができる。また、プログラムは、有線または無線の伝送媒体を介して、通信部１００９で受信し、記憶部１００８にインストールすることができる。その他、プログラムは、ROM１００２や記憶部１００８に、あらかじめインストールしておくことができる。

　なお、コンピュータが実行するプログラムは、本明細書で説明する順序に沿って時系列に処理が行われるプログラムであっても良いし、並列に、あるいは呼び出しが行われたとき等の必要なタイミングで処理が行われるプログラムであっても良い。

　また、本明細書において、システムとは、複数の構成要素（装置、モジュール（部品）等）の集合を意味し、すべての構成要素が同一筐体中にあるか否かは問わない。したがって、別個の筐体に収納され、ネットワークを介して接続されている複数の装置、及び、１つの筐体の中に複数のモジュールが収納されている１つの装置は、いずれも、システムである。

　さらに、本技術の実施の形態は、上述した実施の形態に限定されるものではなく、本技術の要旨を逸脱しない範囲において種々の変更が可能である。

　例えば、本技術は、１つの機能をネットワークを介して複数の装置で分担、共同して処理するクラウドコンピューティングの構成をとることができる。

　また、上述のシーケンス図で説明した各ステップは、１つの装置で実行する他、複数の装置で分担して実行することができる。

　さらに、１つのステップに複数の処理が含まれる場合には、その１つのステップに含まれる複数の処理は、１つの装置で実行する他、複数の装置で分担して実行することができる。

　　＜構成の組み合わせ例＞
　本技術は、以下のような構成をとることもできる。

（１）
　ソフトウエアを管理するソフトウエア管理部と、
　第１のソフトウエア領域、第２のソフトウエア領域、前記第１のソフトウエア領域に対応する第１のデータ領域、及び、前記第２のソフトウエア領域に対応する第２のデータ領域を備える記憶部と
　を備え、
　前記ソフトウエア管理部は、前記第１のソフトウエア領域及び前記第２のソフトウエア領域のうち一方のソフトウエア領域に、実行対象となるソフトウエアである第１の現ソフトウエアを格納し、他方のソフトウエア領域に、前記第１の現ソフトウエアより前のバージョンのソフトウエアである第１の旧ソフトウエアを格納し、前記第１のデータ領域及び前記第２のデータ領域のうち前記一方のソフトウエア領域に対応する一方のデータ領域に、前記第１の現ソフトウエアが対応するフォーマットのデータを格納し、他方のデータ領域に、前記第１の旧ソフトウエアが対応するフォーマットのデータを格納する
　情報処理装置。
（２）
　前記ソフトウエア管理部は、前記第１の現ソフトウエアから前記第１の旧ソフトウエアにロールバックする場合、前記他方のソフトウエア領域の前記第１の旧ソフトウエアを実行し、前記他方のデータ領域のデータを使用するように制御する
　前記（１）に記載の情報処理装置。
（３）
　前記ソフトウエア管理部は、前記第１の現ソフトウエアから前記第１の旧ソフトウエアへのロールバックが発生しないと判定した場合、前記他方のデータ領域のデータを前記一方のデータ領域のデータにより更新する
　前記（２）に記載の情報処理装置。
（４）
　前記ソフトウエア管理部は、前記他方のデータ領域のデータを更新した後、所定のタイミングで、前記一方のデータ領域のデータと前記他方のデータ領域のデータとの差分を、前記他方のデータ領域にコピーする
　前記（３）に記載の情報処理装置。
（５）
　前記ソフトウエア管理部は、前記第１の現ソフトウエアから前記第１の現ソフトウエアより後のバージョンのソフトウエアである新ソフトウエアにバージョンアップする場合、前記他方のソフトウエア領域に前記新ソフトウエアを格納し、前記一方のデータ領域のデータと前記他方のデータ領域のデータとの差分があるとき、前記一方のデータ領域のデータと前記他方のデータ領域のデータとの差分を、前記他方のデータ領域にコピーする
　前記（４）に記載の情報処理装置。
（６）
　前記ソフトウエア管理部は、前記他方のデータ領域のデータを前記新ソフトウエアが対応するフォーマットに変換する
　前記（５）に記載の情報処理装置。
（７）
　前記情報処理装置は、車両に設けられ、
　前記ソフトウエア管理部は、前記第１の現ソフトウエアから前記第１の旧ソフトウエアへのロールバックが発生しないと判定した場合、前記車両の充電中に、前記他方のデータ領域のデータを前記一方のデータ領域のデータにより更新する
　前記（３）乃至（６）のいずれかに記載の情報処理装置。
（８）
　前記ソフトウエア管理部は、前記第１の現ソフトウエアから前記第１の現ソフトウエアより後のバージョンのソフトウエアである新ソフトウエアにバージョンアップする場合、前記他方のソフトウエア領域に前記新ソフトウエアを格納し、前記他方のデータ領域のデータを前記一方のデータ領域のデータにより更新し、更新後の前記他方のデータ領域のデータを前記新ソフトウエアが対応するフォーマットに変換する
　前記（１）に記載の情報処理装置。
（９）
　前記記憶部は、第３のデータ領域をさらに備え、
　前記ソフトウエア管理部は、他の情報処理装置の実行対象となるソフトウエアである第２の現ソフトウエアより前のバージョンのソフトウエアである第２の旧ソフトウエアが対応するフォーマットのデータである旧データを前記第３のデータ領域に格納する
　前記（１）に記載の情報処理装置。
（１０）
　前記ソフトウエア管理部は、前記第２の現ソフトウエアから前記第２の旧ソフトウエアにロールバックされる場合、前記第３のデータ領域の前記旧データを前記他の情報処理装置に送信する
　前記（９）に記載の情報処理装置。
（１１）
　前記ソフトウエア管理部は、前記第２の現ソフトウエアから前記第２の現ソフトウエアより後のバージョンのソフトウエアである新ソフトウエアにバージョンアップされる場合、前記第２の現ソフトウエアが対応するフォーマットのデータである現データを前記他の情報処理装置から取得し、前記第３のデータ領域のデータを前記現データにより更新する
　前記（９）又は（１０）に記載の情報処理装置。
（１２）
　前記ソフトウエア管理部は、前記現データを前記新ソフトウエアが対応するフォーマットに変換したデータである新データを生成し、前記新データを前記他の情報処理装置に送信する
　前記（１１）に記載の情報処理装置。
（１３）
　前記記憶部は、第３のソフトウエア領域をさらに備え、
　前記ソフトウエア管理部は、前記第２の旧ソフトウエアを前記第３のソフトウエア領域に格納する
　前記（９）乃至（１２）のいずれかに記載の情報処理装置。
（１４）
　前記ソフトウエア管理部は、前記第２の現ソフトウエアから前記第２の旧ソフトウエアにロールバックされる場合、前記第３のソフトウエア領域の前記第２の旧ソフトウエア、及び、前記第３のデータ領域の前記旧データを前記他の情報処理装置に送信する
　前記（１３）に記載の情報処理装置。
（１５）
　前記ソフトウエア管理部は、前記第２の現ソフトウエアから前記第２の現ソフトウエアより後のバージョンのソフトウエアである新ソフトウエアにバージョンアップされる場合、前記第２の現ソフトウエア、及び、前記第２の現ソフトウエアが対応するフォーマットのデータである現データを前記他の情報処理装置から取得し、前記第３のソフトウエア領域のソフトウエアを前記第２の現ソフトウエアにより更新し、前記第３のデータ領域のデータを前記現データにより更新する
　前記（１３）又は（１４）に記載の情報処理装置。
（１６）
　前記記憶部は、フラッシュメモリである
　前記（１）乃至（１５）のいずれかに記載の情報処理装置。
（１７）
　前記情報処理装置は、車両に設けられる
　前記（１）乃至（１６）のいずれかに記載の情報処理装置。
（１８）
　情報処理装置が、
　記憶部の第１のソフトウエア領域及び第２のソフトウエア領域のうち一方のソフトウエア領域に、実行対象となるソフトウエアである現ソフトウエアを格納し、他方のソフトウエア領域に、前記現ソフトウエアの前のバージョンのソフトウエアである旧ソフトウエアを格納し、
　前記記憶部の第１のデータ領域及び第２のデータ領域のうち前記一方のソフトウエア領域に対応する一方のデータ領域に、前記現ソフトウエアが対応するフォーマットのデータを格納し、他方のデータ領域に、前記旧ソフトウエアが対応するフォーマットのデータを格納する
　情報処理方法。

　なお、本明細書に記載された効果はあくまで例示であって限定されるものではなく、他の効果があってもよい。

　１　車両，　１１　車両制御システム，　２１　車両制御システム，　２０１　情報処理システム，　２１１－１乃至２１１－ｍ　高性能ＥＣＵ，　２１２－１乃至２１２－ｎ　レガシーＥＣＵ，　２５１　ＣＰＵ，　２５２　フラッシュメモリ，　２５３　ＲＡＭ，　２６１　ソフトウエア管理部，　２７１　メインモジュール，　２７２　バックアップモジュール，　２７３　データマイグレーションモジュール，　３０１　ＣＰＵ，　３０２　フラッシュメモリ，　３０３　ＲＡＭ，　３０４　外付けＮＶＲＡＭ，　３１１　ソフトウエア管理部，　３２１　メインモジュール，　３２２　データマイグレーションモジュール

Claims (18)

1. 　ソフトウエアを管理するソフトウエア管理部と、
   　第１のソフトウエア領域、第２のソフトウエア領域、前記第１のソフトウエア領域に対応する第１のデータ領域、及び、前記第２のソフトウエア領域に対応する第２のデータ領域を備える記憶部と
   　を備え、
   　前記ソフトウエア管理部は、前記第１のソフトウエア領域及び前記第２のソフトウエア領域のうち一方のソフトウエア領域に、実行対象となるソフトウエアである第１の現ソフトウエアを格納し、他方のソフトウエア領域に、前記第１の現ソフトウエアより前のバージョンのソフトウエアである第１の旧ソフトウエアを格納し、前記第１のデータ領域及び前記第２のデータ領域のうち前記一方のソフトウエア領域に対応する一方のデータ領域に、前記第１の現ソフトウエアが対応するフォーマットのデータを格納し、他方のデータ領域に、前記第１の旧ソフトウエアが対応するフォーマットのデータを格納する
   　情報処理装置。
2. 　前記ソフトウエア管理部は、前記第１の現ソフトウエアから前記第１の旧ソフトウエアにロールバックする場合、前記他方のソフトウエア領域の前記第１の旧ソフトウエアを実行し、前記他方のデータ領域のデータを使用するように制御する
   　請求項１に記載の情報処理装置。
3. 　前記ソフトウエア管理部は、前記第１の現ソフトウエアから前記第１の旧ソフトウエアへのロールバックが発生しないと判定した場合、前記他方のデータ領域のデータを前記一方のデータ領域のデータにより更新する
   　請求項２に記載の情報処理装置。
4. 　前記ソフトウエア管理部は、前記他方のデータ領域のデータを更新した後、所定のタイミングで、前記一方のデータ領域のデータと前記他方のデータ領域のデータとの差分を、前記他方のデータ領域にコピーする
   　請求項３に記載の情報処理装置。
5. 　前記ソフトウエア管理部は、前記第１の現ソフトウエアから前記第１の現ソフトウエアより後のバージョンのソフトウエアである新ソフトウエアにバージョンアップする場合、前記他方のソフトウエア領域に前記新ソフトウエアを格納し、前記一方のデータ領域のデータと前記他方のデータ領域のデータとの差分があるとき、前記一方のデータ領域のデータと前記他方のデータ領域のデータとの差分を、前記他方のデータ領域にコピーする
   　請求項４に記載の情報処理装置。
6. 　前記ソフトウエア管理部は、前記他方のデータ領域のデータを前記新ソフトウエアが対応するフォーマットに変換する
   　請求項５に記載の情報処理装置。
7. 　前記情報処理装置は、車両に設けられ、
   　前記ソフトウエア管理部は、前記第１の現ソフトウエアから前記第１の旧ソフトウエアへのロールバックが発生しないと判定した場合、前記車両の充電中に、前記他方のデータ領域のデータを前記一方のデータ領域のデータにより更新する
   　請求項３に記載の情報処理装置。
8. 　前記ソフトウエア管理部は、前記第１の現ソフトウエアから前記第１の現ソフトウエアより後のバージョンのソフトウエアである新ソフトウエアにバージョンアップする場合、前記他方のソフトウエア領域に前記新ソフトウエアを格納し、前記他方のデータ領域のデータを前記一方のデータ領域のデータにより更新し、更新後の前記他方のデータ領域のデータを前記新ソフトウエアが対応するフォーマットに変換する
   　請求項１に記載の情報処理装置。
9. 　前記記憶部は、第３のデータ領域をさらに備え、
   　前記ソフトウエア管理部は、他の情報処理装置の実行対象となるソフトウエアである第２の現ソフトウエアより前のバージョンのソフトウエアである第２の旧ソフトウエアが対応するフォーマットのデータである旧データを前記第３のデータ領域に格納する
   　請求項１に記載の情報処理装置。
10. 　前記ソフトウエア管理部は、前記第２の現ソフトウエアから前記第２の旧ソフトウエアにロールバックされる場合、前記第３のデータ領域の前記旧データを前記他の情報処理装置に送信する
    　請求項９に記載の情報処理装置。
11. 　前記ソフトウエア管理部は、前記第２の現ソフトウエアから前記第２の現ソフトウエアより後のバージョンのソフトウエアである新ソフトウエアにバージョンアップされる場合、前記第２の現ソフトウエアが対応するフォーマットのデータである現データを前記他の情報処理装置から取得し、前記第３のデータ領域のデータを前記現データにより更新する
    　請求項９に記載の情報処理装置。
12. 　前記ソフトウエア管理部は、前記現データを前記新ソフトウエアが対応するフォーマットに変換したデータである新データを生成し、前記新データを前記他の情報処理装置に送信する
    　請求項１１に記載の情報処理装置。
13. 　前記記憶部は、第３のソフトウエア領域をさらに備え、
    　前記ソフトウエア管理部は、前記第２の旧ソフトウエアを前記第３のソフトウエア領域に格納する
    　請求項９に記載の情報処理装置。
14. 　前記ソフトウエア管理部は、前記第２の現ソフトウエアから前記第２の旧ソフトウエアにロールバックされる場合、前記第３のソフトウエア領域の前記第２の旧ソフトウエア、及び、前記第３のデータ領域の前記旧データを前記他の情報処理装置に送信する
    　請求項１３に記載の情報処理装置。
15. 　前記ソフトウエア管理部は、前記第２の現ソフトウエアから前記第２の現ソフトウエアより後のバージョンのソフトウエアである新ソフトウエアにバージョンアップされる場合、前記第２の現ソフトウエア、及び、前記第２の現ソフトウエアが対応するフォーマットのデータである現データを前記他の情報処理装置から取得し、前記第３のソフトウエア領域のソフトウエアを前記第２の現ソフトウエアにより更新し、前記第３のデータ領域のデータを前記現データにより更新する
    　請求項１３に記載の情報処理装置。
16. 　前記記憶部は、フラッシュメモリである
    　請求項１に記載の情報処理装置。
17. 　前記情報処理装置は、車両に設けられる
    　請求項１に記載の情報処理装置。
18. 　情報処理装置が、
    　記憶部の第１のソフトウエア領域及び第２のソフトウエア領域のうち一方のソフトウエア領域に、実行対象となるソフトウエアである現ソフトウエアを格納し、他方のソフトウエア領域に、前記現ソフトウエアの前のバージョンのソフトウエアである旧ソフトウエアを格納し、
    　前記記憶部の第１のデータ領域及び第２のデータ領域のうち前記一方のソフトウエア領域に対応する一方のデータ領域に、前記現ソフトウエアが対応するフォーマットのデータを格納し、他方のデータ領域に、前記旧ソフトウエアが対応するフォーマットのデータを格納する
    　情報処理方法。

Images