特許 7540386 ＯＴＡマスタ、更新制御方法、更新制御プログラム及びＯＴＡセンタ

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】

(24)【登録日】2024-08-19

(45)【発行日】2024-08-27

(54)【発明の名称】ＯＴＡマスタ、更新制御方法、更新制御プログラム及びＯＴＡセンタ

(51)【国際特許分類】

   G06F 8/65 20180101AFI20240820BHJP

   B60R 16/02 20060101ALI20240820BHJP

【ＦＩ】

G06F8/65

B60R16/02 660U

【請求項の数】 4

(21)【出願番号】P 2021068295

(22)【出願日】2021-04-14

(65)【公開番号】P2022163396

(43)【公開日】2022-10-26

【審査請求日】2023-03-23

(73)【特許権者】

【識別番号】000003207

【氏名又は名称】トヨタ自動車株式会社

(74)【代理人】

【識別番号】110001276

【氏名又は名称】弁理士法人小笠原特許事務所

(72)【発明者】

【氏名】酒井 義和

【審査官】大倉 崚吾

(56)【参考文献】

【文献】特開２０２０－０２７６２１（ＪＰ，Ａ）

【文献】特開２０１２－０９１７５５（ＪＰ，Ａ）

【文献】特開２０２１－０２２０１８（ＪＰ，Ａ）

(58)【調査した分野】(Int.Cl.，ＤＢ名)

Ｇ０６Ｆ ８／６０－８／６５８

Ｂ６０Ｒ １６／０２

(57)【特許請求の範囲】

【請求項1】

車両に搭載された複数のターゲットＥＣＵのソフトウェア更新を制御するＯＴＡマスタであって、
前記複数のターゲットＥＣＵのソフトウェアの更新データ、および、当該ソフトウェアの更新順序を規定した更新順序情報をＯＴＡセンタから受信する通信部と、
前記更新順序に基づいて、前記複数のターゲットＥＣＵの前記更新データを用いたソフトウェア更新の実行を制御する制御部とを備え、
前記制御部は、
前記複数のターゲットＥＣＵについてソフトウェア更新が現在実行可能であるか否かを示す更新可否情報を取得し、
前記更新可否情報が示すソフトウェア更新が現在実行可能であるターゲットＥＣＵについて、前記更新順序に基づいてソフトウェア更新の実行を制御し、
複数のソフトウェア更新のグループである更新グループに、前記更新可否情報が示すソフトウェア更新が現在実行可能でないターゲットＥＣＵに係るソフトウェア更新が含まれている場合、前記更新可否情報が示すソフトウェア更新が現在実行可能であるターゲットＥＣＵについて、前記更新順序と異なる順序でソフトウェア更新の実行を制御することが可能である、ＯＴＡマスタ。

【請求項2】

前記制御部は、前記複数のターゲットＥＣＵのソフトウェア更新を並行して実行する制御が可能である、請求項１に記載のＯＴＡマスタ。

【請求項3】

プロセッサとメモリとを備え、車両に搭載された複数のターゲットＥＣＵのソフトウェア更新を制御するコンピュータが実行する更新制御方法であって、
前記複数のターゲットＥＣＵのソフトウェアの更新データ、および、当該ソフトウェアの更新順序を規定した更新順序情報をＯＴＡセンタから受信するステップと、
前記更新順序に基づいて、前記複数のターゲットＥＣＵの前記更新データを用いたソフトウェア更新の実行を制御するステップとを備え、
前記制御するステップでは、
前記複数のターゲットＥＣＵについてソフトウェア更新が現在実行可能であるか否かを示す更新可否情報を取得し、
前記更新可否情報が示すソフトウェア更新が現在実行可能であるターゲットＥＣＵについて、前記更新順序に基づいてソフトウェア更新の実行を制御し、
複数のソフトウェア更新のグループである更新グループに、前記更新可否情報が示すソフトウェア更新が現在実行可能でないターゲットＥＣＵに係るソフトウェア更新が含まれている場合、前記更新可否情報が示すソフトウェア更新が現在実行可能であるターゲットＥＣＵについて、前記更新順序と異なる順序でソフトウェア更新の実行を制御することが可能である、更新制御方法。

【請求項4】

プロセッサとメモリとを備え、車両に搭載された複数のターゲットＥＣＵのソフトウェア更新を制御するコンピュータが実行する更新制御プログラムであって、
前記複数のターゲットＥＣＵのソフトウェアの更新データ、および、当該ソフトウェアの更新順序を規定した更新順序情報をＯＴＡセンタから受信するステップと、
前記複数のターゲットＥＣＵについてソフトウェア更新が現在実行可能であるか否かを示す更新可否情報を取得し、前記更新可否情報が示すソフトウェア更新が現在実行可能であるターゲットＥＣＵについて、前記更新順序に基づいてソフトウェア更新の実行を制御し、複数のソフトウェア更新のグループである更新グループに、前記更新可否情報が示すソフトウェア更新が現在実行可能でないターゲットＥＣＵに係るソフトウェア更新が含まれている場合、前記更新可否情報が示すソフトウェア更新が現在実行可能であるターゲットＥＣＵについて、前記更新順序と異なる順序でソフトウェア更新の実行を制御することが可能であることによって、前記更新順序に基づいて、前記複数のターゲットＥＣＵの前記更新データを用いたソフトウェア更新の実行を制御するステップとを、前記コンピュータに実行させる、更新制御プログラム。

【発明の詳細な説明】

【技術分野】

【0001】

本開示は、ＥＣＵ（電子制御ユニット）のソフトウェアの更新を制御するためのＯＴＡマスタ、更新制御方法、更新制御プログラム及びＯＴＡセンタに関する。

【背景技術】

【0002】

車両には、車両の動作を制御するための複数のＥＣＵ（電子制御ユニット）が搭載されている。ＥＣＵは、プロセッサと、ＲＡＭのような一時的な記憶部と、フラッシュＲＯＭのような不揮発性の記憶部とを備え、プロセッサが不揮発性の記憶部に記憶されるソフトウェアを実行することによりＥＣＵの制御機能を実現する。各ＥＣＵが記憶するソフトウェアは書き換え可能であり、より新しいバージョンのソフトウェアに更新することにより、各ＥＣＵの機能を改善したり、新たな車両制御機能を追加したりすることができる。

【0003】

ＥＣＵのソフトウェアを更新する技術として、車載ネットワークに接続された車載通信機器とインターネット等の通信ネットワークとを無線で接続し、無線通信を介してＯＴＡセンタからソフトウェアをダウンロードし、ダウンロードしたソフトウェアをインストールすることによりＥＣＵのプログラム更新や追加を行うＯＴＡ（Ｏｖｅｒ Ｔｈｅ Ａｉｒ）技術が知られている（例えば、特許文献１参照）。

【先行技術文献】

【特許文献】

【0004】

【文献】特開２００４－３２６６８９号公報

【発明の概要】

【発明が解決しようとする課題】

【0005】

ＯＴＡのキャンペーンによって複数のＥＣＵに対してソフトウェア更新を行う場合、更新の順序に制約がある場合がある。例えば、ソフトウェア更新済みのＥＣＵ１から新たな信号（機能追加が目的のソフトウェア更新により新たに追加された信号等）が、ソフトウェア更新前のＥＣＵ２（旧ソフトウェアで動作しているＥＣＵ２）に送信された場合、この新たな信号を受信したＥＣＵ２が不明な信号を受信したとしてエラー判定をしてしまう場合がある。

【0006】

それ故に、本開示は、複数のＥＣＵについてソフトウェア更新の順序に制約がある場合において、適切にソフトウェア更新を行うことがきるＯＴＡマスタ、更新制御方法、更新制御プログラム等を提供することを目的とする。

【課題を解決するための手段】

【0007】

本開示に係るＯＴＡマスタは、車両に搭載された複数のターゲットＥＣＵのソフトウェア更新を制御するＯＴＡマスタであって、複数のターゲットＥＣＵのソフトウェアの更新データ、および、当該ソフトウェアの更新順序を規定した更新順序情報をＯＴＡセンタから受信する通信部と、上記の更新順序に基づいて、複数のターゲットＥＣＵの更新データを用いたソフトウェア更新の実行を制御する制御部とを備える。

【0008】

本開示に係る更新制御方法は、プロセッサとメモリとを備え、車両に搭載された複数のターゲットＥＣＵのソフトウェア更新を制御するコンピュータが実行する更新制御方法であって、複数のターゲットＥＣＵのソフトウェアの更新データ、および、当該ソフトウェアの更新順序を規定した更新順序情報をＯＴＡセンタから受信するステップと、上記の更新順序に基づいて、複数のターゲットＥＣＵの更新データを用いたソフトウェア更新の実行を制御するステップとを備える。

【0009】

本開示に係る更新制御プログラムは、プロセッサとメモリとを備え、車両に搭載された複数のターゲットＥＣＵのソフトウェア更新を制御するコンピュータが実行する更新制御プログラムであって、複数のターゲットＥＣＵのソフトウェアの更新データ、および、当該ソフトウェアの更新順序を規定した更新順序情報をＯＴＡセンタから受信するステップと、上記の更新順序に基づいて、複数のターゲットＥＣＵの更新データを用いたソフトウェア更新の実行を制御するステップとを、コンピュータに実行させる。

【0010】

本開示に係るＯＴＡセンタは、車両に搭載された、複数のターゲットＥＣＵのソフトウェア更新を制御するＯＴＡマスタと、ネットワークを介して通信可能なＯＴＡセンタであって、ＯＴＡマスタに、複数のターゲットＥＣＵのソフトウェアの更新データ、および、当該ソフトウェアの更新順序を規定した更新順序情報を送信する通信部と、通信部により更新データおよび更新順序情報を送信することによって、ＯＴＡマスタに、上記の更新順序に基づいて複数のターゲットＥＣＵのソフトウェア更新を行わせる制御部とを備える。

【発明の効果】

【0011】

本開示によれば、複数のＥＣＵについてソフトウェア更新の順序に制約がある場合において、適切にソフトウェア更新を行うことがきるＯＴＡマスタ、更新制御方法、更新制御プログラム等を提供できる。

【図面の簡単な説明】

【0012】

【図1】一実施形態に係るネットワークシステムの全体構成の一例を示すブロック図

【図2】図１に示したＯＴＡセンタの概略構成の一例を示すブロック図

【図3】図１に示したＯＴＡマスタの概略構成の一例を示すブロック図

【図4】図１に示したＯＴＡセンタの一例を示す機能ブロック図

【図5】図１に示したＯＴＡマスタの一例を示す機能ブロック図

【図6】更新可否情報の一例を説明するための図

【図7】更新順序情報の一例を説明するための図

【図8】図１に示したＯＴＡマスタが実行する制御処理の一例を示すフローチャート

【図9】更新順序情報の他の例を説明するための図

【発明を実施するための形態】

【0013】

（一実施形態）
図１は、一実施形態に係るネットワークシステムの全体構成の一例を示すブロック図である。図２は、図１に示したＯＴＡセンタの概略構成の一例を示すブロック図である。図３は、図１に示したＯＴＡマスタの概略構成の一例を示すブロック図である。

【0014】

図１に示すネットワークシステムは、車両に搭載されたＥＣＵ（Electronic Control Unit；電子制御ユニット）１３ａ～１３ｄのソフトウェアを更新するためのシステムであり、ＯＴＡセンタ１と、車両に搭載される車載ネットワーク２とを備える。

【0015】

ＯＴＡセンタ１は、インターネット等の通信ネットワーク５を介して車両に搭載されたＯＴＡマスタ１１と無線等で通信可能であり、車両に搭載されたＥＣＵ１３ａ～１３ｄのソフトウェア更新を管理する。

【0016】

図２に示すように、ＯＴＡセンタ１は、ＣＰＵ２１と、ＲＡＭ２２と、記憶装置２３と、通信装置２４とを備える。記憶装置２３は、ハードディスクやＳＳＤ等の読み書き可能な記憶媒体を備え、ソフトウェアの更新管理を実行するためのプログラムや、更新管理に用いる情報、ＥＣＵの更新データ等を記憶する。ＣＰＵ２１は、記憶装置２３から読み出したプログラムを、ＲＡＭ２２を作業領域として用いて実行することにより、制御処理を実行する。通信装置２４は、通信ネットワーク５を介してＯＴＡマスタ１１と通信を行う。

【0017】

図１に示すように、車載ネットワーク２は、ＯＴＡマスタ１１と、通信モジュール１２と、複数のＥＣＵ１３ａ～１３ｄと、ＨＭＩ（Human Machine Interface；例えば、入力操作が可能なカーナビゲーションシステムの表示装置）１４とを備える。ＯＴＡマスタ１１は、バス１５ａを介して通信モジュール１２と接続され、バス１５ｂを介してＥＣＵ１３ａ及び１３ｂと接続され、バス１５ｃを介してＥＣＵ１３ｃ及び１３ｄと接続され、バス１５ｄを介してＨＭＩ１４と接続されている。ＯＴＡマスタ１１は、通信モジュール１２を介してＯＴＡセンタ１と無線での通信が可能である。ＯＴＡマスタ１１は、ＯＴＡセンタ１から取得した更新データに基づいて、ＥＣＵ１３ａ～１３ｄのうちのソフトウェア（「ＳＷ」という場合がある）の更新対象であるＥＣＵ（「ターゲットＥＣＵ」という場合がある）のソフトウェア更新を制御する。通信モジュール１２は、車載ネットワーク２とＯＴＡセンタ１とを接続する通信機器である。ＥＣＵ１３ａ～１３ｄは、車両の各部の動作を制御する。ＨＭＩ１４は、ＥＣＵ１３ａ～１３ｄのソフトウェアの更新処理の際に、更新データがあることの表示や、ユーザや管理者にソフトウェア更新に対する承諾を求めるための承諾要求画面の表示、更新結果の表示等の各種表示を行うために用いられる。なお、図１では、４つのＥＣＵ１３ａ～１３ｄを例示したが、ＥＣＵの数は限定されない。

【0018】

図３に示すように、ＯＴＡマスタ１１は、ＣＰＵ３１と、ＲＡＭ３２と、ＲＯＭ３３と、記憶装置３４とを備えるマイクロコンピュータ３５と、通信装置３６とを備える。ＣＰＵ３１は、ＲＯＭ３３から読み出したプログラムを、ＲＡＭ３２を作業領域として用いて実行することにより、制御処理を実行する。通信装置３６は、図１に示したバス１５ａ～１５ｄを介して、通信モジュール１２、ＥＣＵ１３ａ～１３ｄ、ＨＭＩ１４と通信を行う。

【0019】

ここで、ソフトウェアの更新処理は、ＯＴＡセンタ１からＯＴＡマスタ１１に更新データをダウンロードするフェーズと、ダウンロードした更新データを更新対象であるターゲットＥＣＵに転送し、ターゲットＥＣＵの記憶領域に更新データをインストールするフェーズと、ターゲットＥＣＵにおいてインストールした更新版のソフトウェアを有効化するアクティベートのフェーズとからなる。

【0020】

ダウンロードは、ＯＴＡセンタ１から送信された、ＥＣＵのソフトウェアを更新するための更新データを受信して、記憶装置３４に記憶する処理である。ダウンロードのフェーズは、更新データの受信だけでなく、ダウンロードの実行可否判断、更新データの検証等、ダウンロードに関する一連の処理の制御を含む。インストールは、ダウンロードした更新データに基づいて、ターゲットＥＣＵの不揮発性メモリに更新版のプログラム（更新ソフトウェア）を書き込む処理である。インストールのフェーズは、インストールの実行だけでなく、インストールの実行可否判断、更新データの転送および更新版のプログラムの検証等、インストールに関する一連の処理の制御を含む。アクティベートは、インストールした更新版のプログラムをアクティベート（有効化）する処理である。アクティベートのフェーズは、アクティベートの実行だけでなく、アクティベートの実行可否判断、実行結果の検証等、アクティベートに関する一連の制御を含む。

【0021】

ＯＴＡセンタ１からＯＴＡマスタ１１に送信される更新データは、ＥＣＵの更新ソフトウェア、更新ソフトウェアを圧縮した圧縮データ、更新ソフトウェアまたは圧縮データを分割した分割データのいずれを含んでいても良い。また、更新データは、ターゲットＥＣＵを識別する識別子（ＥＣＵ ＩＤ）と、更新前のソフトウェアを識別する識別子（ＥＣＵ ソフトウェア ＩＤ）を含んでいても良い。更新データは、配信パッケージとしてダウンロードされるが、配信パッケージには、単一または複数のＥＣＵの更新データが含まれる。

【0022】

更新データが更新ソフトウェアそのものを含む場合は、インストールのフェーズにおいて、ＯＴＡマスタ１１が更新データ（つまり、更新ソフトウェア）をターゲットＥＣＵに転送する。また、更新データが更新ソフトウェアの圧縮データ、差分データあるいは分割データを含む場合、ＯＴＡマスタ１１がターゲットＥＣＵに更新データを転送し、ターゲットＥＣＵが更新データから更新ソフトウェアを生成しても良いし、ＯＴＡマスタ１１が更新データから更新ソフトウェアを生成してから、更新ソフトウェアをターゲットＥＣＵに転送しても良い。ここで、更新ソフトウェアの生成は、圧縮データの解凍、差分データまたは分割データの組み付けにより行うことができる。

【0023】

更新ソフトウェアのインストールは、ＯＴＡマスタ１１からのインストール要求に基づき、ターゲットＥＣＵが行うことができる。または、更新データを受信したターゲットＥＣＵが、ＯＴＡマスタ１１からの明示の指示を受けることなく、自律的にインストールを行っても良い。

【0024】

更新ソフトウェアのアクティベートは、ＯＴＡマスタ１１からのアクティベート要求に基づき、ターゲットＥＣＵが行うことができる。または、更新データを受信したターゲットＥＣＵが、ＯＴＡマスタ１１からの明示の指示を受けることなく、自律的にアクティベートを行っても良い。

【0025】

図４は、図１に示したＯＴＡセンタ１の機能ブロック図の一例である。図４に示すように、ＯＴＡセンタ１は、記憶部２６と、通信部２７と、制御部２８とを備える。通信部２７及び制御部２８は、図２に示したＣＰＵ２１がＲＡＭ２２を用いて記憶装置２３に記憶されるプログラムを実行することにより実現される。記憶部２６は、図２に示した記憶装置２３により実現される。

【0026】

図５は、図１に示したＯＴＡマスタ１１の機能ブロック図の一例である。図５に示すように、ＯＴＡマスタ１１は、記憶部３７と、通信部３８と、制御部３９とを備える。通信部３８及び制御部３９は、図３に示したＣＰＵ３１がＲＡＭ３２を用いてＲＯＭ３３に記憶されるプログラムを実行することにより実現される。記憶部３７は、図３に示した記憶装置３４によって実現される。

【0027】

図６は、更新可否情報の一例を説明するための模式図である。更新可否情報は、車両に搭載された各ＥＣＵ（ターゲットＥＣＵを含む各ＥＣＵ）について、ソフトウェア更新が現在実行可能な状況であるか否かを示す情報である。

【0028】

本実施形態において、車両に搭載されるＥＣＵには、車両が停車中の場合はソフトウェア更新を実行できる一方で走行中の場合はソフトウェア更新を実行できないＥＣＵ（「走行関連ＥＣＵ」という場合がある）と、車両が停車中の場合も走行中の場合もソフトウェア更新を実行できるＥＣＵ（「非走行関連ＥＣＵ」という場合がある）とがある。走行関連ＥＣＵは、車両の走行に関わる制御を行うＥＣＵであり、例えば、エンジンの制御を行うＥＣＵや、ブレーキの制御を行うＥＣＵや、ステアリングの制御を行うＥＣＵである。非走行関連ＥＣＵは、車両の走行に関わらない制御を行うＥＣＵであり、例えば、音響システムの制御を行うＥＣＵや、空調システムの制御を行うＥＣＵである。ここで、停車中は、例えば、ＩＧ－ＯＮ状態（イグニッション電源がＯＮの状態）であって車速が出ていない状態（車両が移動していない状態）である。また、走行中は、例えば、ＩＧ－ＯＮ状態であって車速が出ている状態（車両が移動している状態）である。

【0029】

図６に示す更新可否情報は、停車中には、車両に搭載されたＥＣＵ１～ＥＣＵ７の全てのＥＣＵのソフトウェア更新が可能であることを示す一方で、走行中には、ＥＣＵ１、ＥＣＵ４、ＥＣＵ５、ＥＣＵ７のみのソフトウェア更新が可能であることを示す。ここで、ＥＣＵ１、ＥＣＵ４、ＥＣＵ５、ＥＣＵ７は、非走行関連ＥＣＵであり、ＥＣＵ２、ＥＣＵ３、ＥＣＵ６は、走行関連ＥＣＵである。

【0030】

ＯＴＡマスタ１１は、更新可否情報を記憶しており、イグニッション電源の状態及び車速の状態を監視することによって車両の状態（停車中か走行中か）を判定し、この判定に応じて更新可否情報（つまり、ソフトウェア更新が可能なＥＣＵ）を常時更新している。なお、イグニッション電源の状態は、例えば電源状態を監視するデバイスから受信する信号を用いて監視でき、車速の状態は、例えば車速を制御するＥＣＵから受信する信号を用いて監視できる。

【0031】

図７は、更新順序情報の一例を説明するための模式図である。更新順序情報は、ＥＣＵのソフトウェアの更新順序を示す情報である。

【0032】

本実施形態では、１つのＥＣＵに複数のソフトウェアをインストールして稼働させることが可能であり、又、ソフトウェアの更新には順序がある。

【0033】

以下、図７に示す更新順序情報の一例を参照して具体的に説明する。図７に示す更新順序情報は、ソフトウェアの更新対象であるターゲットＥＣＵがＥＣＵ１、ＥＣＵ３及びＥＣＵ４であることを示している。また、ターゲットＥＣＵ１に実装されているソフトウェアａ１（図示なし）をソフトウェアＡ１に更新してから、ソフトウェアＡ１をソフトウェアＡ２に更新した後に、ソフトウェアＡ２をソフトウェアＡ３に更新することを示している。その後、ターゲットＥＣＵ３に実装されているソフトウェアａ２（図示なし）をソフトウェアＡ４に更新してから、ソフトウェアＡ４をソフトウェアＡ５に更新することを示している。更にその後、ターゲットＥＣＵ４に実装されているソフトウェアａ３（図示なし）をソフトウェアＡ６に更新してから、ソフトウェアＡ６をソフトウェアＡ７に更新することを示している。つまり、ターゲットＥＣＵ１、ＥＣＵ３及びＥＣＵ４について、ソフトウェアＡ１→Ａ２→Ａ３→Ａ４→Ａ５→Ａ６→Ａ７の順序で更新処理を実行することが規定されている。

【0034】

また、ターゲットＥＣＵ１に実装されているソフトウェアｂ１（図示なし）をソフトウェアＢ１に更新してから、ソフトウェアＢ１をソフトウェアＢ２に更新することを示している。その後、ターゲットＥＣＵ４に実装されているソフトウェアｂ２（図示なし）をソフトウェアＢ３に更新することを示している。つまり、ターゲットＥＣＵ１及びＥＣＵ４について、ソフトウェアＢ１→Ｂ２→Ｂ３の順序で更新処理を実行することが規定されている。

【0035】

また、図７に示すように、更新グループ１（Ａ１→Ａ２→Ａ３→Ａ４→Ａ５→Ａ６→Ａ７の更新グループ）は優先度１であり、更新グループ２（Ｂ１→Ｂ２→Ｂ３の更新グループ）は優先度２であることが規定されている。つまり、更新グループ１の方が、更新グループ２よりも、更新する優先度が高いことが規定されている。つまり、図７に示す更新順序情報は、ソフトウェアの更新順序を、「Ａ１→Ａ２→Ａ３→Ａ４→Ａ５→Ａ６→Ａ７→Ｂ１→Ｂ２→Ｂ３」に規定している。

【0036】

ここで、更新グループが示す更新順序は、ＥＣＵによるエラー判定発生の不具合防止等のために、必ず守られる必要がある。具体的には、更新グループ１が示す更新順序（Ａ１→Ａ２→Ａ３→Ａ４→Ａ５→Ａ６→Ａ７の更新順序）、及び、更新グループ２が示す更新順序（Ｂ１→Ｂ２→Ｂ３の更新順序）は、必ず守られる必要がある。一方で、更新グループの優先度が示す更新順序は、例えば更新の重要度に応じた順序であり、必ずしも守られる必要はない。具体的には、優先度１の更新グループ１よりも先に、優先度２の更新グループ２の更新を実行する場合があっても良い。

【0037】

図８は、本実施形態のＯＴＡマスタ１１が実行する制御処理の一例を示すフローチャートである。以下では、図８に示すフローチャートに沿って、本実施形態に係る制御処理について説明する。

【0038】

図８に示す処理は、ＯＴＡキャンペーンによりＯＴＡセンタ１から送信されたソフトウェアの更新データ及び更新順序情報（図７参照）をＯＴＡマスタ１１（図５参照）の通信部３８が受信することで開始される。なお、ソフトウェアの更新データ及び更新順序情報は、例えばＩＧ－ＯＮ状態（イグニッション電源がＯＮの状態）において受信され、記憶部３７に記憶される。

【0039】

ステップＳ１において、制御部３９は、記憶部３７に記憶されている更新可否情報（図６参照）に基づいて、ターゲットＥＣＵのうちソフトウェア更新が現在可能なＥＣＵを判定する。以下、図６に示した更新可否情報を用いて具体的に説明する。図６を用いて説明したように、制御部３９は、イグニッション電源の状態及び車速の状態を監視することによって車両の状態（停車中か走行中か）を判定し、この判定に応じて更新可否情報を常時更新している。そして、ステップＳ１において、制御部３９は、例えばターゲットＥＣＵがＥＣＵ１、ＥＣＵ３及びＥＣＵ４である場合において車両が走行中である場合には、図６に示す更新可否情報を参照してターゲットＥＣＵ１及びＥＣＵ４がソフトウェア更新可能であると判定する。また、ステップＳ１において、制御部３９は、例えばターゲットＥＣＵがＥＣＵ１、ＥＣＵ３及びＥＣＵ４である場合において車両が停車中である場合には、図６に示す更新可否情報を参照してターゲットＥＣＵ１、ＥＣＵ３及びＥＣＵ４がソフトウェア更新可能であると判定する。その後、処理はステップＳ２に移る。

【0040】

ステップＳ２において、制御部３９は、記憶部３７に記憶されている更新順序情報（図７参照）に基づいて、ステップＳ１でソフトウェア更新可能と判定したターゲットＥＣＵのソフトウェアのうち、更新するソフトウェアを判定する。以下、図７に示した更新順序情報（ターゲットＥＣＵがＥＣＵ１、ＥＣＵ３及びＥＣＵ４の場合における更新順序情報の一例）を用いて具体的に説明する。

【0041】

ステップＳ２において、制御部３９は、車両が停車中である場合には、ステップＳ１でターゲットＥＣＵ１、ＥＣＵ３及びＥＣＵ４がソフトウェア更新可能と判定されているので（図６参照）、図７に示す更新順序情報に基づいて、ターゲットＥＣＵ１、ＥＣＵ３及びＥＣＵ４のソフトウェアのうち更新するソフトウェアを判定する。例えば図８のフローチャートの処理を開始して最初にステップＳ２の処理を実行した時点であれば、ＥＣＵ１のソフトウェアａ１（図示なし）をソフトウェアＡ１に更新することを判定する。また、例えばソフトウェアＡ２への更新が終了している時点であれば、ＥＣＵ１のソフトウェアＡ２をソフトウェアＡ３に更新することを判定する。また、例えば（ＥＣＵ１について）ソフトウェアＡ３への更新が終了している時点であれば、ＥＣＵ３のソフトウェアａ２（図示なし）をソフトウェアＡ４に更新することを判定する。また、例えば（ＥＣＵ４について）ソフトウェアＡ７への更新が終了している時点であれば、ＥＣＵ１のソフトウェアｂ１（図示なし）をソフトウェアＢ１に更新することを判定する。このように車両が停車中の場合には、全てのターゲットＥＣＵについてソフトウェア更新が可能なので、更新順序情報が示す更新順序（つまり、図７に示す順序；Ａ１→Ａ２→Ａ３→Ａ４→Ａ５→Ａ６→Ａ７→Ｂ１→Ｂ２→Ｂ３）に従って、更新するソフトウェアが判定される。

【0042】

また、ステップＳ２において、制御部３９は、車両が走行中である場合には、ステップＳ１でターゲットＥＣＵ１及びＥＣＵ４がソフトウェア更新可能である（つまり、ターゲットＥＣＵ３はソフトウェア更新可能ではない）と判定されているので（図６参照）、ソフトウェア更新可能ではないターゲットＥＣＵ３のソフトウェア更新を含む更新グループ１（優先度１）のソフトウェア更新を実行する判定は行わず、更新グループ２（優先度２）のソフトウェア更新のうちから実行するものを判定する。例えば図８のフローチャートの処理を開始して最初にステップＳ２の処理を実行した時点であれば、ＥＣＵ１のソフトウェアｂ１（図示なし）をソフトウェアＢ１に更新することを判定する。また、例えば（ＥＣＵ１について）ソフトウェアＢ２への更新が終了している時点であれば、ＥＣＵ４のソフトウェアｂ２（図示なし）をソフトウェアＢ３に更新することを判定する。このように車両が走行中の場合には、ソフトウェア更新可能ではないターゲットＥＣＵのソフトウェア更新を含む更新グループのソフトウェア更新を実行する判定は行われず、ソフトウェア更新可能ではないターゲットＥＣＵのソフトウェア更新を含まない更新グループのソフトウェア更新を実行する判定が行われる。つまり、車両が走行中の場合には、更新順序情報が示す更新順序（つまり、図７に示す順序；Ａ１→Ａ２→Ａ３→Ａ４→Ａ５→Ａ６→Ａ７→Ｂ１→Ｂ２→Ｂ３）とは異なる順序で、更新するソフトウェアが判定される場合がある。以上に説明したステップ２の処理の次に、処理はステップＳ３に移る。

【0043】

ステップＳ３において、制御部３９は、ステップＳ２の処理において、更新するソフトウェアが判定された（つまり、更新するソフトウェアがある）か否かを判定する。ステップＳ３での判定がＹＥＳの場合、処理はステップＳ４に移り、この判定がＮＯの場合、処理はステップＳ１に戻る。

【0044】

ステップＳ４において、制御部３９は、ステップＳ２で判定した更新するソフトウェアについての更新処理を実行する。具体的には、制御部３９は、ステップＳ２で判定した更新するソフトウェアの更新データを記憶部３７から読み出して、ターゲットＥＣＵに送信してインストールさせ（ターゲットＥＣＵの不揮発性メモリに書き込みさせ）、インストールさせたソフトウェア（更新ソフトウェア）をアクティベート（有効化）させる。その後、処理はステップＳ５に移る。

【0045】

ステップＳ５において、制御部３９は、今回のＯＴＡキャンペーンに係る全てのソフトウェア更新を実行したか否かを判定する。ステップＳ５での判定がＹＥＳの場合、図８の処理を終了し、この判定がＮＯの場合、処理をステップＳ１に戻して残りのソフトウェア更新を実行する。

【0046】

以上に説明したように、本実施形態では、更新順序情報（図７参照）に基づいた更新順序で複数のターゲットＥＣＵのソフトウェア更新の実行を制御するので、更新順序に制約のある複数のソフトウェア更新（ＯＴＡキャンペーン）を適切に実行できる。

【0047】

また、本実施形態では、更新可否情報（図６参照）および更新可否情報に基づいてソフトウェア更新を実行するので、ターゲットＥＣＵのソフトウェア更新ができる状況か否かの制約も考慮して、更新可否情報で規定される更新順序に基づいてソフトウェア更新を適切に実行できる。

【0048】

また、本実施形態では、更新グループ（図７の更新グループ１参照）にソフトウェア更新が現在不可のＥＣＵ（ＥＣＵ３）のソフトウェア更新（Ａ４、Ａ５）が含まれる場合、ソフトウェア更新可能なＥＣＵ（例えば、ＥＣＵ１）について更新順序情報が示す更新順序と異なる順序でソフトウェア更新が可能（例えば、Ａ１より先にＢ１の更新が可能）である。これにより、本実施形態によれば、必ずしも守る必要のない更新順序（優先度による更新順序）でソフトウェア更新を実行できるので、効率的に更新処理を進めることができる。

【0049】

（変形例）
上記した本実施形態では、車両が走行中であることにより更新グループ（図７の更新グループ１参照）にソフトウェア更新が現在不可のＥＣＵ（ＥＣＵ３）のソフトウェア更新（Ａ４、Ａ５）が含まれる状況では、この更新グループに含まれるソフトウェア更新を全て行わない（保留する）制御例を挙げた。しかし、車両が走行中であっても、ソフトウェア更新が現在不可のＥＣＵのソフトウェア更新が含まれる更新グループのソフトウェア更新を、この更新グループ内の更新順序を守った上で、可能な範囲で実行しても良い。例えば、図７に示す更新順序情報の場合であって、車両が走行中であることによりターゲットＥＣＵ３のソフトウェア更新（Ａ４、Ａ５）ができない状況において（図６参照）、更新グループ１内の更新順序を守った上で、ターゲットＥＣＵ１のソフトウェア更新（Ａ１→Ａ２→Ａ３）や、ターゲットＥＣＵ４のソフトウェア更新（Ａ６→Ａ７）を実行する制御としても良い。

【0050】

また、上記した場合（車両が走行中であっても、ソフトウェア更新が現在不可のＥＣＵのソフトウェア更新が含まれる更新グループのソフトウェア更新を、この更新グループ内の更新順序を守った上で、可能な範囲で実行する場合）において、複数のターゲットＥＣＵについて、ソフトウェア更新を並行して実行させる制御を行っても良い。例えば、図７に示す更新順序情報の場合であって、車両が走行中であることによりターゲットＥＣＵ３のソフトウェア更新（Ａ４、Ａ５）ができない状況において、ターゲットＥＣＵ１のソフトウェア更新Ａ１の実行と並行して、ターゲットＥＣＵ４のソフトウェア更新Ｂ３を実行する制御としても良い。このように制御することで、ソフトウェア更新を効率的に進行できる。

【0051】

また、更新順序情報が示す複数の更新グループのソフトウェア更新の優先度が同じである場合には、複数のターゲットＥＣＵについて、ソフトウェア更新を並行して実行させる制御を行っても良い。図９は、図７に示す更新順序情報に対して、更新グループ３（更新グループ２と同じ優先度２）が追加されたものである。図９に示す更新順序情報の場合には、例えばターゲットＥＣＵ１のソフトウェア更新Ｂ１の実行と並行して、ターゲットＥＣＵ４のソフトウェア更新Ｃ１を実行する制御としても良い。このように制御することで、ソフトウェア更新を効率的に進行できる。

【0052】

また、上記した本実施形態では、車両に搭載されたＥＣＵが、シングルバンクメモリＥＣＵである場合について説明した。そのため、上記した本実施形態では、図８のステップＳ４において、ソフトウェアの更新処理として、更新データをターゲットＥＣＵ（シングルバンクメモリＥＣＵ）にインストールしてアクティベートする処理を説明した。
ここで、ＥＣＵには、ソフトウェアを格納するための１つのデータ格納領域（バンク）を有するシングルバンクメモリＥＣＵ（１面メモリＥＣＵ）と、ソフトウェアを格納するための２つのデータ格納領域（バンク）を有するダブルバンクメモリＥＣＵ（２面メモリＥＣＵ）とがある。シングルバンクメモリＥＣＵでは、データ格納領域に更新データをインストールしてアクティベートすることにより、ＥＣＵのソフトウェアに影響が生じる。一方、ダブルバンクメモリＥＣＵでは、２つのデータ格納領域（擬似的に２つのデータ格納領域を構成した場合も含む）のうち、いずれか一方を読み出し対象のデータ格納領域（運用面）とし、読み出し対象のデータ格納領域に格納されるソフトウェアを実行する。読み出し対象でない他方のデータ格納領域（非運用面）には、読み出し対象のデータ格納領域（運用面）のソフトウェアの実行中に、バックグラウンドで更新データを書き込み可能である。ソフトウェア更新処理におけるアクティベート時には、ソフトウェアの読み出し対象のデータ格納領域が切り替えられることにより、更新版のソフトウェアをアクティベート（有効化）することができる。
そして、上記した本実施形態において、車両に搭載されたＥＣＵが、ダブルバンクメモリＥＣＵであっても良い。この場合には、非運用領域のデータ格納領域に予め更新データ（更新版のソフトウェア）をインストールしておいて、図８のステップＳ４のソフトウェアの更新処理として、非運用領域のデータ格納領域を運用領域に切り替えるアクティベートを行うこととなる。

【0053】

また、上記した本実施形態で例示したＯＴＡセンタ１の機能は、プロセッサ（ＣＰＵ）とメモリと通信装置とを備えるコンピュータが実行する管理方法、あるいは、当該コンピュータに実行させる管理プログラム、管理プログラムを記憶したコンピュータ読み取り可能な非一時的記憶媒体として実現することも可能である。同様に、上記した本実施形態として例示したＯＴＡマスタ１１の機能は、プロセッサ（ＣＰＵ）とメモリと通信装置とを備える、車載されたコンピュータが実行する制御方法、あるいは、当該車載されたコンピュータに実行させる制御プログラム、制御プログラムを記憶したコンピュータ読み取り可能な非一時的記憶媒体として実現することも可能である。

【産業上の利用可能性】

【0054】

本開示技術は、ＥＣＵ（電子制御ユニット）のプログラムを更新するためのネットワークシステムに利用できる。

【符号の説明】

【0055】

１ ＯＴＡセンタ
１１ ＯＴＡマスタ
１３ａ～１３ｄ ＥＣＵ
２６、３７ 記憶部
２７、３８ 通信部
２８、３９ 制御部

【図1】

【図2】

【図3】

【図4】

【図5】

【図6】

【図7】

【図8】

【図9】