特許 5989193 ソフトウェア更新システム

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B1)

(11)【特許番号】5989193

(24)【登録日】2016年8月19日

(45)【発行日】2016年9月7日

(54)【発明の名称】ソフトウェア更新システム

(51)【国際特許分類】

   G06F 11/00 20060101AFI20160825BHJP

   B60R 16/02 20060101ALI20160825BHJP

【ＦＩ】

   G06F9/06 630A

   B60R16/02 660U

【請求項の数】8

【全頁数】11

(21)【出願番号】特願2015-121707(P2015-121707)

(22)【出願日】2015年6月17日

【審査請求日】2015年6月17日

(73)【特許権者】

【識別番号】000006013

【氏名又は名称】三菱電機株式会社

(73)【特許権者】

【識別番号】000003137

【氏名又は名称】マツダ株式会社

(74)【代理人】

【識別番号】100073759

【弁理士】

【氏名又は名称】大岩 増雄

(74)【代理人】

【識別番号】100088199

【弁理士】

【氏名又は名称】竹中 岑生

(74)【代理人】

【識別番号】100094916

【弁理士】

【氏名又は名称】村上 啓吾

(74)【代理人】

【識別番号】100127672

【弁理士】

【氏名又は名称】吉澤 憲治

(72)【発明者】

【氏名】谷本 大輔

(72)【発明者】

【氏名】守田 圭佑

(72)【発明者】

【氏名】伊藤 益夫

(72)【発明者】

【氏名】千田 修一郎

(72)【発明者】

【氏名】和田 佑太

(72)【発明者】

【氏名】道平 修

(72)【発明者】

【氏名】岡田 健治

(72)【発明者】

【氏名】清水 雅昭

(72)【発明者】

【氏名】疋田 尚之

【審査官】 多胡 滋

(56)【参考文献】

【文献】 特開２０１０−２１８０７０（ＪＰ，Ａ）

【文献】 特開２０１４−１０６８７５（ＪＰ，Ａ）

(58)【調査した分野】（Int.Cl.，ＤＢ名）

Ｇ０６Ｆ １１／００

Ｂ６０Ｒ １６／０２

(57)【特許請求の範囲】

【請求項1】

配信ユニットから配信される更新ソフトウェアを用いて更新対象ユニットのソフトウェアを更新するソフトウェア更新システムであって、
上記配信ユニットから配信される更新ソフトウェアおよびプロパティ情報を含む更新情報を受信し、この受信した更新情報に基づき、上記ソフトウェアの更新を管理する更新管理ユニットを備え、
上記更新管理ユニットは、
上記更新情報の上記プロパティ情報を解析して、上記更新管理ユニットおよび上記更新対象ユニットのいずれが、上記ソフトウェアの更新可否判定を含む更新制御を行うかを判定する更新プロパティ判定手段を有し、
上記更新対象ユニットは、
上記更新ソフトウェアを用いて上記ソフトウェアを更新する更新実行手段を有し、
上記更新管理ユニットおよび上記更新対象ユニットは、それぞれ
上記更新対象ユニットのソフトウェアの更新可否判定を含む更新制御を行う更新制御手段と、
上記更新ソフトウェアが差分ファイルの場合に全データの更新ファイルを生成する更新ファイル生成手段とを有し、
上記更新管理ユニットの更新プロパティ判定手段の判定に応じて、
上記更新管理ユニットの更新制御手段および上記更新対象ユニットの更新制御手段のいずれか一方が動作するとともに、
上記更新管理ユニットの更新ファイル生成手段および上記更新対象ユニットの更新ファイル生成手段のいずれか一方が動作することを特徴とするソフトウェア更新システム。

【請求項2】

上記プロパティ情報は、上記更新対象ユニットの信頼性情報および上記更新ソフトウェアのサイズ情報を含み、
上記更新プロパティ判定手段は、上記プロパティ情報に含まれる上記更新対象ユニットの信頼性情報および上記更新ソフトウェアのサイズ情報を、上記更新管理ユニットの信頼性およびメモリ容量と比較することにより、上記更新管理ユニットおよび上記更新対象ユニットのいずれの上記更新制御手段および上記更新ファイル生成手段が動作するかを判定することを特徴とする請求項１記載のソフトウェア更新システム。

【請求項3】

上記プロパティ情報に含まれる上記更新対象ユニットの信頼性の方が、上記更新管理ユニットの信頼性より高い場合には、
上記更新対象ユニットの更新制御手段および上記更新対象ユニットの更新ファイル生成手段が動作することを特徴とする請求項２記載のソフトウェア更新システム。

【請求項4】

上記プロパティ情報に含まれる上記更新対象ユニットの信頼性の方が、上記更新管理ユニットの信頼性より高くない場合で、かつ、上記更新管理ユニットのメモリ容量が上記更新ソフトウェアのサイズに対応できる場合には、
上記更新管理ユニットの更新制御手段および上記更新管理ユニットの更新ファイル生成手段が動作することを特徴とする請求項２または請求項３記載のソフトウェア更新システム。

【請求項5】

上記プロパティ情報に含まれる上記更新対象ユニットの信頼性の方が、上記更新管理ユニットの信頼性より高くない場合で、かつ、上記更新管理ユニットのメモリ容量が上記更新ソフトウェアのサイズに対応できない場合には、
上記更新管理ユニットの更新制御手段が動作するとともに、上記更新対象ユニットの更新ファイル生成手段が動作することを特徴とする請求項２から請求項４のいずれか一項記載のソフトウェア更新システム。

【請求項6】

上記プロパティ情報は、上記更新管理ユニットと上記更新対象ユニットの信頼性の関係から決定された更新制御を行うユニットを指定する情報を含み、
上記更新プロパティ判定手段は、上記プロパティ情報に含まれる上記更新制御を行うユニットを指定する情報に基づき、上記更新管理ユニットおよび上記更新対象ユニットのいずれの上記更新制御手段が動作するかを判定することを特徴とする請求項１記載のソフトウェア更新システム。

【請求項7】

上記更新管理ユニットおよび上記更新対象ユニットは、それぞれ、上記更新対象ユニットのソフトウェアの更新の完了後に、誤り検出により正しく更新できたことを確認する更新完了確認手段を有し、
上記更新制御手段が動作した上記更新管理ユニットまたは上記更新対象ユニットの更新完了確認手段が動作することを特徴とする請求項１から請求項６のいずれか一項記載のソフトウェア更新システム。

【請求項8】

上記更新対象ユニットは、車両に搭載された車載制御ユニットであり、
上記更新制御手段は、上記更新対象ユニットおよび上記車両に搭載された他の車載制御ユニットへの動作停止指示を行うことを特徴とする請求項１から請求項７のいずれか一項記載のソフトウェア更新システム。

【発明の詳細な説明】

【技術分野】

【0001】

この発明は、車両に搭載される車載制御ユニットのソフトウェアを更新するソフトウェア更新システムに関するものである。

【背景技術】

【0002】

従来、車両に搭載される車載制御ユニットの車載ソフトウェア更新方法は、サービスマンが車載ソフトウェアの更新装置を車両につないで更新を行っていたが、近年では外部サーバとの無線通信により更新ソフトウェアをダウンロードし、車載制御ユニットの車載ソフトウェア更新をリモートで行うことが提案されている。
特許文献１には、ゲートウェイＥＣＵが、更新可能な車両負荷状態を示す更新条件テーブルを有し、更新可能な低負荷状態であるかどうかを判断し、低負荷状態の場合に対象ユニットの車載ソフトウェアを更新することで、安全な更新ができる車載プログラム更新装置が記載されている。

【先行技術文献】

【特許文献】

【0003】

【特許文献1】特開２０１４−１０６８７５号公報（第５〜１２頁、第１図）

【発明の概要】

【発明が解決しようとする課題】

【0004】

しかしながら、特許文献１の車載プログラム更新装置では、車両の負荷状態による判断は可能であるが、更新する側のゲートウェイＥＣＵの信頼性は考慮されていないため、安全な更新を保証できないという問題がある。
また、ゲートウェイＥＣＵにより、車載のあらゆる制御装置の車載ソフトウェア更新を実施するためには信頼性の高い設計をする必要があり、メモリ容量も十分備える必要があるため、コストが高くなるという問題もあった。

【0005】

この発明は、上述のような課題を解決するためになされたものであり、車両に搭載される車載制御ユニットのソフトウェア更新を低コストの更新管理ユニットによって行えるソフトウェア更新システムを得ることを目的とする。

【課題を解決するための手段】

【0006】

この発明に係わるソフトウェア更新システムにおいては、配信ユニットから配信される更新ソフトウェアを用いて更新対象ユニットのソフトウェアを更新するソフトウェア更新システムであって、配信ユニットから配信される更新ソフトウェアおよびプロパティ情報を含む更新情報を受信し、この受信した更新情報に基づき、ソフトウェアの更新を管理する更新管理ユニットを備え、更新管理ユニットは、更新情報のプロパティ情報を解析して、更新管理ユニットおよび更新対象ユニットのいずれが、ソフトウェアの更新可否判定を含む更新制御を行うかを判定する更新プロパティ判定手段を有し、更新対象ユニットは、更新ソフトウェアを用いてソフトウェアを更新する更新実行手段を有し、更新管理ユニットおよび更新対象ユニットは、それぞれ更新対象ユニットのソフトウェアの更新可否判定を含む更新制御を行う更新制御手段と、更新ソフトウェアが差分ファイルの場合に全データの更新ファイルを生成する更新ファイル生成手段とを有し、更新管理ユニットの更新プロパティ判定手段の判定に応じて、更新管理ユニットの更新制御手段および更新対象ユニットの更新制御手段のいずれか一方が動作するとともに、更新管理ユニットの更新ファイル生成手段および更新対象ユニットの更新ファイル生成手段のいずれか一方が動作するものである。

【発明の効果】

【0007】

この発明によれば、配信ユニットから配信される更新ソフトウェアを用いて更新対象ユニットのソフトウェアを更新するソフトウェア更新システムであって、配信ユニットから配信される更新ソフトウェアおよびプロパティ情報を含む更新情報を受信し、この受信した更新情報に基づき、ソフトウェアの更新を管理する更新管理ユニットを備え、更新管理ユニットは、更新情報のプロパティ情報を解析して、更新管理ユニットおよび更新対象ユニットのいずれが、ソフトウェアの更新可否判定を含む更新制御を行うかを判定する更新プロパティ判定手段を有し、更新対象ユニットは、更新ソフトウェアを用いてソフトウェアを更新する更新実行手段を有し、更新管理ユニットおよび更新対象ユニットは、それぞれ更新対象ユニットのソフトウェアの更新可否判定を含む更新制御を行う更新制御手段と、更新ソフトウェアが差分ファイルの場合に全データの更新ファイルを生成する更新ファイル生成手段とを有し、更新管理ユニットの更新プロパティ判定手段の判定に応じて、更新管理ユニットの更新制御手段および更新対象ユニットの更新制御手段のいずれか一方が動作するとともに、更新管理ユニットの更新ファイル生成手段および更新対象ユニットの更新ファイル生成手段のいずれか一方が動作するので、プロパティ情報に応じて選択された更新管理ユニットまたは更新対象ユニットの更新制御によって、更新対象ユニットのソフトウェアの更新を行うことができる。

【図面の簡単な説明】

【0008】

【図1】この発明の実施の形態１におけるソフトウェア更新システムを示す構成図である。

【図2】この発明の実施の形態１におけるソフトウェア更新システムの更新管理ユニットの動作を示すフローチャートである。

【図3】この発明の実施の形態１におけるソフトウェア更新システムの動作を示す説明図である。

【図4】この発明の実施の形態２におけるソフトウェア更新システムの動作を示す説明図である。

【図5】この発明の実施の形態３におけるソフトウェア更新システムの動作を示す説明図である。

【発明を実施するための形態】

【0009】

実施の形態１．
以下に、本発明の実施の形態１について、図を用いて詳細に説明する。
図１は、この発明の実施の形態１におけるソフトウェア更新システムを示す構成図である。
図１において、配信ユニット１０は、更新ソフトウェアとプロパティ情報が含まれる更新情報１１を配信する。更新管理ユニット２０は、配信ユニット１０から更新情報１１を受信し、更新対象ユニット３０の車載ソフトウェアの更新管理を行う。更新対象ユニット３０は、車載ソフトウェアが更新される車載制御ユニットである。
ここで、配信ユニット１０は、外部サーバでもよいし、配信ツールでもよいし、記憶媒体でもよい。また、配信ユニット１０と更新管理ユニット２０の間の通信方法は無線でも有線でもよい。

【0010】

更新管理ユニット２０は、メモリを有する計算機であり、次のように構成されている。
更新情報取得手段２１は、配信ユニット１０の配信する更新情報１１を受信する。更新プロパティ判定手段２２は、更新情報取得手段２１によって受信された更新情報１１に含まれるプロパティ情報の内容を判定する。
更新情報送信手段２３は、更新情報取得手段２１によって受信された更新情報１１を更新対象ユニット３０に送信する。
更新制御手段２４は、更新情報１１に含まれる更新ソフトウェアの更新可否判断を行う。更新ファイル生成手段２５は、更新情報１１の更新ソフトウェアが差分ファイルの場合に、差分ファイルから全データを有する更新ファイルを生成する。更新指示手段２６は、更新対象ユニット３０に車載ソフトウェアの更新指示を出す。更新完了確認手段２７は、更新対象ユニット３０の更新が正しく完了したことを確認する。

【0011】

なお、更新情報１１のプロパティ情報には、更新ソフトウェアが適用される更新対象ユニットの信頼性と、更新ソフトウェアのサイズ情報が含まれる。
また、更新管理ユニット２０のメモリには、当該更新管理ユニット２０の信頼性情報が記憶されている。
また、更新管理ユニット２０が更新対象ユニット３０の更新制御を行う場合、更新対象ユニット３０から更新可否状態を取得し、取得した更新可否状態が更新可能状態の時のみ更新対象ユニット３０の車載ソフトウェアを更新するようにしてもよく、あるいは、更新管理ユニット２０が車両の状態を判断し、車両状態が更新可能状態の時のみ更新対象ユニット３０の車載ソフトウェアを更新するようにしてもよい。

【0012】

更新対象ユニット３０は、車載ソフトウェアによって車両の各種制御を行い、更新管理ユニット２０と車内ネットワークに接続されており、次のように構成されている。
更新情報取得手段３１は、更新管理ユニット２０から送信される更新情報１１を受信する。更新制御手段３２は、更新情報１１に含まれる更新ソフトウェアの更新可否判断を行う。更新ファイル生成手段３３は、更新情報１１の更新ソフトウェアが差分ファイルの場合に、差分ファイルから更新ファイルを生成する。
更新実行手段３４は、更新ソフトウェアにより車載ソフトウェアを書き換える更新を実行する。更新完了確認手段３５は、更新が正しく完了したことを確認する。

【0013】

なお、更新制御手段２４および更新制御手段３２、更新ファイル生成手段２５および更新ファイル生成手段３３、更新完了確認手段２７および更新完了確認手段３５は、それぞれ同じ機能を有する。

【0014】

図３は、この発明の実施の形態１におけるソフトウェア更新システムの動作を示す説明図である。
図３において、１０、１１、２０〜２３、３０〜３５は図１におけるものと同一のものである。

【0015】

次に、動作について説明する。
この発明は、更新管理ユニット２０と更新対象ユニット３０の信頼性の高い方のユニットにより、更新ソフトウェアの更新制御を行うようにしたものである。
まず、図２を用いて、更新管理ユニット２０の動作について説明する。
更新情報取得手段２１が、配信ユニット１０の配信する更新情報１１を受信する（Ｓ１）。
次いで、更新プロパティ判定手段２２が、更新情報１１に含まれるプロパティ情報から、更新対象ユニット３０の信頼性情報を抽出し（Ｓ２）、これと更新管理ユニット２０のメモリに記憶された信頼性情報と比較する（Ｓ３）。
更新対象ユニット３０の信頼性の方が高い場合には、更新情報送信手段２３により、更新情報１１を更新対象ユニット３０に送信し、車載ソフトウェアの更新制御を委ね、更新ソフトウェアが差分ファイルの場合には、更新ファイルを生成した上で、車載ソフトウェアの更新を実行してもらう（Ｓ４）。

【0016】

一方、更新管理ユニット２０の信頼性より、更新対象ユニット３０の信頼性が高くない場合には、プロパティ情報に含まれる更新ソフトウェアのサイズが、更新管理ユニット２０のメモリ容量で対応できるかどうかをチェックし（Ｓ５）、更新管理ユニット２０のメモリ容量で対応できる場合には、更新管理ユニット２０が、車載ソフトウェアの更新制御（更新可否の判断）を行うとともに、更新ソフトウェアが差分ファイルの場合に更新ファイル生成を行う（Ｓ６）。
Ｓ５で、更新管理ユニット２０のメモリ容量で対応できない場合には、更新管理ユニット２０が更新制御を行うとともに、更新対象ユニット３０により、更新ソフトウェアが差分ファイルの場合に更新ファイル生成を行う（Ｓ７）。
Ｓ６、Ｓ７の後に、更新管理ユニット２０は、更新ソフトウェアによる車載ソフトウェアの更新完了を確認する（Ｓ８）。
また、Ｓ４で、更新対象ユニット３０で、更新制御および更新ファイル生成を行った場合には、更新対象ユニット３０が更新ソフトウェアによる車載ソフトウェアの更新完了を確認する。

【0017】

次に、図３を用いて、具体例について説明する。
図３の例は、配信ユニット１０から受信したプロパティ情報の中の更新対象ユニット３０の信頼性情報が、更新管理ユニット２０の信頼性より高い場合、かつ更新ソフトウェアのサイズが、更新管理ユニット２０のメモリ容量より大きいかまたは小さい場合についてのものである。つまり、更新対象ユニット３０の信頼性情報が、更新管理ユニット２０の信頼性より高い場合は、更新ソフトウェアのサイズに関わりなく、以下の動作を行う。

【0018】

更新管理ユニット２０は、図２のＳ１〜Ｓ３、Ｓ５のとおり、配信ユニット１０からの更新情報１１を更新情報取得手段２１により受信し、更新プロパティ判定手段２２により、受信した更新情報１１のプロパティ情報に含まれる信頼性情報および更新ソフトウェアのサイズ情報と、更新管理ユニット２０が持つ信頼性および対応できるメモリ容量とを比較する。
図３の例では、更新対象ユニット３０の信頼性が、更新管理ユニット２０より高い場合、かつ更新ソフトウェアのサイズが、更新管理ユニット２０のメモリ容量より大きいかまたは小さい場合であるため、信頼性を優先して判断し、更新制御は更新対象ユニット３０により、実施することを決定する。

【0019】

次に、図２のＳ４のとおり、更新管理ユニット２０は、更新情報送信手段２３により、配信ユニット１０から受信した更新情報１１を更新対象ユニット３０に送信する。
更新対象ユニット３０は、更新情報取得手段３１により更新情報１１を受信すると、更新制御手段３２により、更新が可能な状態かどうかを判定する。また、更新に当たり、同一ネットワーク上に接続されている車載制御ユニットの動作の停止が必要であれば、動作停止指示も行う。
次に、更新情報１１に含まれる更新ソフトウェアが差分ファイルの場合は、更新ファイル生成手段３３により、差分ファイルから更新ファイルを生成する。更新ソフトウェアが差分ファイルではなく、全てのデータを含むファイルである場合は、更新ファイルの生成は実行しない。

【0020】

次に、更新実行手段３４により、更新ソフトウェアを用いて車載ソフトウェアの書き換えを実施し、書き換え完了後、更新完了確認手段３５により更新が確実に完了したことを誤り検出により確認する。
以上が、実施の形態１での車載ソフトウェア更新の動作である。

【0021】

実施の形態１によれば、信頼性の高い方の更新対象ユニットが更新制御を行うため、信頼性の高い更新が保証される。

【0022】

実施の形態２．
実施の形態２では、配信ユニット１０から受信したプロパティ情報の中の更新対象ユニット３０の信頼性情報が、更新管理ユニット２０の信頼性より低い場合、及び更新ソフトウェアのサイズが、更新管理ユニット２０のメモリ容量より小さい場合について説明する。

【0023】

図４は、この発明の実施の形態２におけるソフトウェア更新システムの動作を示す説明図である。
図４において、１０、１１、２０〜２２、２４〜２７、３０、３４は図１におけるものと同一のものである。

【0024】

次に、実施の形態２の具体的な車載ソフトウェア更新の流れを、図４を用いて説明する。
まず、更新管理ユニット２０は、図２のＳ１〜Ｓ３、Ｓ５のとおり、配信ユニット１０から更新情報１１を更新情報取得手段２１により受信する。更新管理ユニット２０は、更新プロパティ判定手段２２により、受信した更新情報１１のプロパティ情報に含まれる信頼性情報および更新ソフトウェアのサイズ情報と、更新管理ユニット２０が持つ信頼性および対応できるメモリ容量とを比較する。
実施の形態２では、プロパティ情報に含まれる更新対象ユニット３０の信頼性が、更新管理ユニット２０より低い場合、および更新ソフトウェアのサイズが、更新管理ユニット２０のメモリ容量より小さい場合であるため、信頼性は更新管理ユニット２０の方が高く、更新管理ユニット２０のメモリが、更新ソフトウェアのサイズに対応できるため、更新制御は更新管理ユニット２０により実施することを決定する。

【0025】

次に、図２のＳ６のとおり、更新管理ユニット２０は、更新制御手段２４により、車載ソフトウェアの更新が可能な状態かどうかを判定する。また、車載ソフトウェアの更新に当たり、同一ネットワーク上に接続されている車載制御ユニットの動作の停止が必要であれば、動作停止指示も行う。
次に、更新情報１１に含まれる更新ソフトウェアが差分ファイルの場合は、更新ファイル生成手段２５により、差分ファイルから更新ファイルを生成する。更新ソフトウェアが差分ファイルではなく全てのデータを含むファイルである場合は、更新ファイルの生成は実行しない。

【0026】

次に、更新指示手段２６により、更新対象ユニット３０に車載ソフトウェアの更新指示を出す。この更新指示の方法は問わない。例えば、更新対象ユニット３０が、ＣＡＮバス上に接続されているのであれば、ＩＳＯ１４２２９−１に規定されているソフトウェアダウンロード仕様などを使って、車載ソフトウェアの更新をすればよい。
更新対象ユニット３０は、更新指示を受けて、更新実行手段３４により車載ソフトウェアを書き換える。

【0027】

次に、更新管理ユニット２０は、更新指示が完了した後に、図２のＳ８のとおり、更新完了確認手段２７により、車載ソフトウェアの更新が確実に完了したことを誤り検出により確認する。
以上が、実施の形態２における車載ソフトウェア更新動作である。

【0028】

実施の形態２によれば、信頼性の高い方の更新管理ユニットにより更新制御を行うため、信頼性の高い更新が保証される。

【0029】

実施の形態３．
実施の形態３では、配信ユニット１０から受信した更新情報１１のプロパティ情報に含まれる信頼性情報が更新管理ユニット２０の信頼性より低い場合、及び更新管理ユニット２０のメモリ容量が、更新ソフトウェアのサイズより小さい場合について説明する。

【0030】

図５は、この発明の実施の形態３におけるソフトウェア更新システムの動作を示す説明図である。
図５において、１０、１１、２０〜２４、２７、３０、３１、３３、３４は図１におけるものと同一のものである。

【0031】

次に、実施の形態３の具体的な車載ソフトウェア更新の流れを説明する。
まず、更新管理ユニット２０は、図２のＳ１〜Ｓ３、Ｓ５のとおり、配信ユニット１０から更新情報１１を更新情報取得手段２１により受信する。更新管理ユニット２０は、更新プロパティ判定手段２２により、受信した更新情報１１のプロパティ情報に含まれる更新対象ユニット３０の信頼性情報および更新ソフトウェアのサイズ情報と、更新管理ユニット２０が持つ信頼性および対応できるメモリ容量とを比較する。
実施の形態３では、更新対象ユニット３０の信頼性が更新管理ユニット２０より低い場合、および更新管理ユニット２０のメモリ容量が更新ソフトウェアのサイズより小さい場合であるため、信頼性は更新管理ユニット２０の方が高いが、更新管理ユニット２０のメモリ容量では、更新ソフトウェアのサイズに対応できないため、更新制御は、更新管理ユニット２０により実施し、更新ファイルの生成と更新の実行は、更新対象ユニット３０が実施することを決定する。

【0032】

次に、図２のＳ７のとおり、更新管理ユニット２０は、更新制御手段２４により、車載ソフトウェアの更新が可能な状態かどうかを判定する。また、更新に当たり、同一ネットワーク上に接続されている車載制御ユニットの動作の停止が必要であれば、動作停止指示も行う。
次に、更新管理ユニット２０は、更新情報送信手段２３により、配信ユニット１０から受信した更新情報１１を更新対象ユニット３０に送信する。

【0033】

更新対象ユニット３０は、更新情報取得手段３１により更新情報１１を受信すると、更新情報１１に含まれる更新ソフトウェアが差分ファイルの場合は、更新ファイル生成手段３３により差分ファイルから更新ファイルを生成する。実施の形態３は、更新ソフトウェアのサイズが、更新管理ユニット２０のメモリ容量より大きい場合なので、基本的に更新ソフトウェアは差分ファイルとなる。
次に、更新実行手段３４により、車載ソフトウェアの書き換えを実行する。

【0034】

次に、更新管理ユニット２０は、図２のＳ８のとおり、更新完了確認手段２７により、更新が確実に完了したことを誤り検出により確認する。
以上が、実施の形態３での車載ソフトウェア更新動作である。

【0035】

実施の形態３によれば、信頼性の高い方の更新管理ユニットが更新制御を行うため、信頼性の高い更新が保証される。
また、更新ソフトウェアのサイズが更新管理ユニットのメモリ容量より大きいものは、差分ファイルを更新対象ユニットに送信し、更新対象ユニットが差分ファイルから更新ファイルを生成して更新を実行することにより、更新管理ユニットに大きいメモリを持たせる必要がなく、更新管理ユニットを低コストで製造することができる。

【0036】

なお、上述では、プロパティ情報として、更新対象ユニットの信頼性情報と、更新ソフトウェアのサイズ情報を持つ場合について説明したが、プロパティ情報は、これに限らず、更新管理ユニットと更新対象ユニットの信頼性の関係から決定された更新制御を行うユニットを指定する情報であってもよく、この場合、更新管理ユニットが、指定されたユニットに更新制御を行う決定をする。

【0037】

なお、本発明は、その発明の範囲内において、各実施の形態を自由に組み合わせたり、各実施の形態を適宜、変形、省略することが可能である。

【符号の説明】

【0038】

１０ 配信ユニット、１１ 更新情報、２０ 更新管理ユニット、２１ 更新情報取得手段、２２ 更新プロパティ判定手段、２３ 更新情報送信手段、２４ 更新制御手段、２５ 更新ファイル生成手段、２６ 更新指示手段、２７ 更新完了確認手段、３０ 更新対象ユニット、３１ 更新情報取得手段、３２ 更新制御手段、３３ 更新ファイル生成手段、３４ 更新実行手段、３５ 更新完了確認手段

【要約】

【課題】車両に搭載される車載制御ユニットのソフトウェア更新を低コストの更新管理ユニットによって行えるソフトウェア更新システムを得る。
【解決手段】更新管理ユニット２０は、配信ユニット１０から配信される更新ソフトウェアおよびプロパティ情報を含む更新情報１１を受信し、更新プロパティ判定手段２２により、更新情報１１のプロパティ情報に含まれる更新対象ユニット３０の信頼性情報および更新ソフトウェアのサイズ情報を、更新管理ユニット２０の信頼性およびメモリ容量と比較して、比較結果に応じて、更新管理ユニット２０および更新対象ユニット３０のいずれが、更新対象ユニット３０のソフトウェアの更新可否判定を含む更新制御を行うかを決定するようにした。
【選択図】図１

【図1】

【図2】

【図3】

【図4】

【図5】