[go: up one dir, main page]

JP2023018286A - Software update apparatus and software update control method - Google Patents

Software update apparatus and software update control method Download PDF

Info

Publication number
JP2023018286A
JP2023018286A JP2021122306A JP2021122306A JP2023018286A JP 2023018286 A JP2023018286 A JP 2023018286A JP 2021122306 A JP2021122306 A JP 2021122306A JP 2021122306 A JP2021122306 A JP 2021122306A JP 2023018286 A JP2023018286 A JP 2023018286A
Authority
JP
Japan
Prior art keywords
software
update
terminal
vehicle
permission
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2021122306A
Other languages
Japanese (ja)
Other versions
JP7739811B2 (en
Inventor
光彦 菊池
Mitsuhiko Kikuchi
洋平 海江田
Yohei Kaieda
仁盛 静
Yoshimori Shizuka
秀俊 林
Hidetoshi Hayashi
昌明 埋見
Masaaki Uzumi
ムネエスワラン エーイアプパン
Muneeswaran Eeiabhan
貴之 井上
Takayuki Inoue
栄介 大橋
Eisuke Ohashi
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nissan Motor Co Ltd
Original Assignee
Nissan Motor Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nissan Motor Co Ltd filed Critical Nissan Motor Co Ltd
Priority to JP2021122306A priority Critical patent/JP7739811B2/en
Publication of JP2023018286A publication Critical patent/JP2023018286A/en
Application granted granted Critical
Publication of JP7739811B2 publication Critical patent/JP7739811B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Stored Programmes (AREA)

Abstract

【課題】車両を利用したいユーザに対してソフトウェアの更新を通知することなく、ソフトウェアを更新するような事態を回避できるソフトウェア更新装置を提供する。【解決手段】車両用のソフトウェアの更新前に、ソフトウェアの更新に関する更新情報を通知する通知信号を複数の端末に送信する通信部と、ソフトウェアの更新を実行するか否かを判定する判定部とを備え、判定部は、通信部が、複数の端末のうち一の端末からソフトウェアの更新を許諾する許諾信号を受信し、複数の端末のうち他の端末からソフトウェアの更新を拒否する拒否信号を受信しない場合には、ソフトウェアの更新を実行すると判定する。【選択図】 図1[Problem] To provide a software update device that can avoid a situation where software is updated without notifying a user who wants to use a vehicle of the software update. [Solution] The device includes a communication unit that transmits a notification signal to multiple terminals to notify update information related to the software update before updating the software for the vehicle, and a determination unit that determines whether or not to execute the software update, and the determination unit determines to execute the software update when the communication unit receives an authorization signal that authorizes the software update from one of the multiple terminals and does not receive a refusal signal that rejects the software update from another of the multiple terminals. [Selected Figure] Figure 1

Description

本発明は、ソフトウェア更新装置及びソフトウェア更新制御方法に関するものである。 The present invention relates to a software update device and software update control method.

従来より、最新バージョンのソフトウェアが利用可能となった場合にはすぐに更新を実施させたいタイプや、新しいバージョンが利用可能となった後も、一定期間様子見てからソフトウェアの更新を実施させたいタイプ等、ユーザの好みのタイプに応じたタイミングで、ソフトウェアを自動的に更新することができる情報処理端末が知られている(特許文献1)。 Conventionally, when the latest version of software becomes available, we want to update it as soon as possible. There is known an information processing terminal capable of automatically updating software at timing according to a user's favorite type such as type (Patent Document 1).

特開2016-38634号公報JP 2016-38634 A

特許文献1記載の情報処理端末では、車両を利用したいユーザに対して通知することなく自動的に車両用のソフトウェアを更新する場合に、当該ユーザは、ソフトウェアの更新を把握できず、ソフトウェアの更新中、車両を利用できないという問題がある。 In the information processing terminal described in Patent Document 1, when the software for the vehicle is automatically updated without notifying the user who wants to use the vehicle, the user cannot grasp the update of the software. There is a problem that vehicles cannot be used.

本発明が解決しようとする課題は、車両を利用したいユーザに対してソフトウェアの更新を通知することなく、ソフトウェアを更新するような事態を回避できるソフトウェア更新装置及びソフトウェア更新制御方法を提供することである。 The problem to be solved by the present invention is to provide a software update device and a software update control method that can avoid a situation where software is updated without notifying the user who wants to use the vehicle of the software update. be.

本発明は、車両用のソフトウェアの更新前に、ソフトウェアの更新に関する更新情報を通知する通知信号を複数の端末に送信し、通信装置が、複数の端末のうち一の端末から前記ソフトウェアの更新を許諾する許諾信号を受信し、複数の端末のうち他の端末からソフトウェアの更新を拒否する拒否信号を受信しない場合には、ソフトウェアの更新を実行すると判定することによって上記課題を解決する。 According to the present invention, before updating software for a vehicle, a notification signal for notifying update information regarding software update is transmitted to a plurality of terminals, and a communication device updates the software from one of the plurality of terminals. The above problem is solved by determining that software update is to be executed when a permission signal for permission is received and a refusal signal for refusing software update is not received from another terminal among a plurality of terminals.

本発明によれば、車両を利用したいユーザに対してソフトウェアの更新を通知することなく、ソフトウェアを更新するような事態を回避できる。 According to the present invention, it is possible to avoid a situation in which the software is updated without notifying the user who wants to use the vehicle of the update of the software.

図1は、本実施形態にかかるソフトウェア更新システムの構成の一例を示すブロック図である。FIG. 1 is a block diagram showing an example of the configuration of the software update system according to this embodiment. 図2は、ユーザA、Bからソフトウェアの更新を許諾する旨の同意を得た場合の制御フローを説明するための概要図である。FIG. 2 is a schematic diagram for explaining the control flow when consent is obtained from users A and B to permit software update. 図3は、ユーザBからソフトウェアの更新を拒否する旨の通知を得た場合の制御フローを説明するための概要図である。FIG. 3 is a schematic diagram for explaining the control flow when receiving a notification from user B to the effect that the software update is rejected. 図4は、サーバによる制御処理のフローを説明するためのフローチャートである。FIG. 4 is a flowchart for explaining the flow of control processing by the server. 図5は、本発明の他の実施形態にかかるソフトウェア更新システムにおいて、ユーザAのユーザ端末が許諾対象端末として選択され、ユーザBが利用中の車両1の車載端末が許諾対象端末として選択されない場合の制御フローを説明するための図である。FIG. 5 shows a case where the user terminal of user A is selected as a licensed terminal in a software update system according to another embodiment of the present invention, and the in-vehicle terminal of vehicle 1 being used by user B is not selected as a licensed terminal. is a diagram for explaining the control flow of. 図6は、本発明の他の実施形態にかかるソフトウェア更新システムにおいて、端末に対して設定される許諾レベルを説明するための表である。FIG. 6 is a table for explaining permission levels set for terminals in a software update system according to another embodiment of the present invention.

以下、本発明に係るソフトウェア更新装置及びソフトウェア更新方法の一実施の形態を図面に基づいて説明する。本実施形態に係るソフトウェア更新装置は、図1に示すように、ソフトウェア更新システム100の一部として実現される。図1は、本実施形態に係るソフトウェア更新システム100の一例を示すブロック図である。ソフトウェア更新システム100は、車両1の電子制御装置(以下、ECU(Electronic Control Unit)と称する)に実現される車両制御や診断等のソフトウェアを、OTA(Over The Air)により更新可能なシステムである。このようなOTAによりソフトウェアを更新することは、FOTA(Firmware Over The Air)と称される。 An embodiment of a software update device and a software update method according to the present invention will be described below with reference to the drawings. The software update device according to this embodiment is implemented as part of a software update system 100 as shown in FIG. FIG. 1 is a block diagram showing an example of a software update system 100 according to this embodiment. The software update system 100 is a system that can update software such as vehicle control and diagnosis implemented in an electronic control unit (hereinafter referred to as an ECU (Electronic Control Unit)) of the vehicle 1 by OTA (Over The Air). . Updating software by such OTA is called FOTA (Firmware Over The Air).

ECUのソフトウェアは、ECUが備えるマイコンがプログラムを実行することで、実現される。本実施形態では、無線によるECUのソフトウェア更新として、ECUのマイコンが実行するプログラムを無線により書き換える場合を例に挙げて説明するが、ソフトウェア更新システム100は、例えば、車両1のナビゲーションシステムで使用される地図データ、ECUで使用される制御パラメータ等、各種ソフトウェアで使用されるデータを無線で書き換える場合にも適用することができる。またソフトウェア更新システム100は、ECUにFPGA(Field Programmable Gate Array)が用いられている場合、FPGAの機能(ロジック)を無線で書き換える場合にも適用することができる。また図1では、車両1として一台の車両が図示されているが、ソフトウェア更新システム100は、複数の車両1を対象にして、ソフトウェアの更新可能なシステムである。 Software of the ECU is realized by executing a program by a microcomputer included in the ECU. In the present embodiment, a case where a program executed by a microcomputer of an ECU is wirelessly rewritten will be described as an example of wireless software update of an ECU. The present invention can also be applied to wirelessly rewriting data used by various software such as map data used by an ECU, control parameters used by an ECU, and the like. The software update system 100 can also be applied to rewrite the function (logic) of the FPGA wirelessly when an FPGA (Field Programmable Gate Array) is used in the ECU. Although one vehicle is illustrated as the vehicle 1 in FIG. 1 , the software update system 100 is a system capable of updating software for a plurality of vehicles 1 .

また本実施形態において、「ECUのソフトウェア更新」とは、ECUのソフトウェアのバージョンが新しいバージョンに変わること、すなわち、マイコンの実行対象であるプログラムが新しいバージョンに変わることを意味する。また無線によるソフトウェアの更新は、新しいバージョンのプログラムそのものを車両1の外部から無線を介して取得して書き換えることに加え、新しいバージョンのプログラムが実行される際に使用される各種データ、及び新しいバージョンのプログラムと古いバージョンのプログラムの差分データを、車両1の外部から無線を介して取得して書き換えることも含む。 Further, in the present embodiment, "updating the software of the ECU" means that the version of the software of the ECU is changed to a new version, that is, the program to be executed by the microcomputer is changed to a new version. Further, the wireless software update involves obtaining a new version of the program itself from outside the vehicle 1 wirelessly and rewriting it, as well as various data used when the new version of the program is executed and the new version of the program. It also includes acquiring the difference data between the program and the old version of the program from the outside of the vehicle 1 via radio and rewriting it.

図1に示すように、ソフトウェア更新システム100は、車両1と、サーバ2と、ユーザ端末3を含む。ソフトウェア更新システム100に含まれる各構成は、無線通信回線網4を介して、情報の授受が可能になっている。無線通信回線網4は、例えば4G回線等による移動体通信ネットワーク、インターネット、Wifi(Wireless Fidelity)(登録商標)等を含んで構成される。
まず、ソフトウェア更新システム100において、車両1、サーバ2、及びユーザ端末3それぞれの役割について説明する。 As shown in FIG. 1 , software update system 100 includes vehicle 1 , server 2 , and user terminal 3 . Each component included in the software update system 100 can exchange information via the wireless communication network 4 . The wireless communication network 4 includes, for example, a mobile communication network such as a 4G line, the Internet, Wifi (Wireless Fidelity) (registered trademark), and the like.
First, roles of the vehicle 1, the server 2, and the user terminal 3 in the software update system 100 will be described.

車両1は、更新対象のソフトウェアを有するECUを搭載する。車両1は、サーバ2との間でソフトウェア更新に関する各種情報の授受を行う。車両1からサーバ2には、車両1に搭載される各ECUに関する情報が送信される。そして、車両1は、サーバ2から受信した更新データを用いて、ECUに含まれるソフトウェアを更新する。 The vehicle 1 is equipped with an ECU having software to be updated. The vehicle 1 exchanges various information regarding software update with the server 2 . Information about each ECU mounted on the vehicle 1 is transmitted from the vehicle 1 to the server 2 . Then, the vehicle 1 uses the update data received from the server 2 to update the software included in the ECU.

また車両1は、サーバ2から、ソフトウェア更新に関する情報を受信する。ソフトウェア更新に関する情報としては、例えば、キャンペーン情報、更新データ等が挙げられる。キャンペーンとは、サーバ2が配信パッケージを車両1に配信するイベントである。配信パッケージには、更新データ、更新データの認証処理に用いられる認証用データ等が含まれる。ユーザが車両1での更新処理の開始を承諾した場合、車両1では、ソフトウェアの更新処理が実行される。車両1で更新処理が開始されると、車両1は、更新処理の経過状況を表す情報を、サーバ2に送信する。 Vehicle 1 also receives information about software updates from server 2 . Information about software updates includes, for example, campaign information and update data. A campaign is an event in which the server 2 delivers a delivery package to the vehicle 1 . The distribution package includes update data, authentication data used for authentication processing of the update data, and the like. When the user approves the start of the update process in the vehicle 1 , the software update process is executed in the vehicle 1 . When the vehicle 1 starts the update process, the vehicle 1 transmits information indicating the progress of the update process to the server 2 .

サーバ2は、ソフトウェア更新システム100においてソフトウェア更新処理を統括し、OTAセンターとして機能するサーバである。サーバ2は、車両1との間で上述したソフトウェア更新に関する各種情報の授受を行う。またサーバ2は、ユーザ端末3との間でも、各種情報の授受を行う。 The server 2 is a server that controls software update processing in the software update system 100 and functions as an OTA center. The server 2 exchanges with the vehicle 1 various types of information regarding the software update described above. The server 2 also exchanges various information with the user terminal 3 .

サーバ2は、更新データを格納する格納機能、各ソフトウェアのバージョン、更新対象となる車両1の車両識別番号(VIN:Vehicle Identification Number)、更新対象のECU等を管理するデータ管理機能、更新データを配信する配信機能等を有している。サーバ2は、例えば、ソフトウェアの供給者から、更新データを含む各種情報を受信すると、更新データをデータベース22に格納する。サーバ2は、提供事業者から受信した情報に基づき、更新データの配信対象であるVIN及び更新対象のECUを特定する。サーバ2は、キャンペーン情報の配信タイミングを設定し、キャンペーン情報の配信タイミングになると、情報を車両1及び/又はユーザ端末3に送信する。サーバ2による車両1への配信パッケージの送信が完了し、ユーザがソフトウェアの更新を承諾した後に、車両1で更新処理が開始される。 The server 2 has a storage function for storing update data, a version of each software, a vehicle identification number (VIN: Vehicle Identification Number) of the vehicle 1 to be updated, a data management function for managing an ECU to be updated, and update data. It has a distribution function for distribution. For example, when receiving various information including update data from a software supplier, the server 2 stores the update data in the database 22 . Based on the information received from the provider, the server 2 identifies the VIN to which the update data is to be distributed and the ECU to be updated. The server 2 sets the distribution timing of the campaign information, and transmits the information to the vehicle 1 and/or the user terminal 3 at the distribution timing of the campaign information. After the transmission of the distribution package to the vehicle 1 by the server 2 is completed and the user approves the software update, the vehicle 1 starts the update process.

ユーザ端末3は、ユーザからの操作入力を受け付ける機能や各種画面を表示する機能を有する。ユーザ端末3としては、例えば、ユーザが携帯可能なスマートフォンやタブレット等が挙げられる。ユーザ端末3は、サーバ2との間で、キャンペーン情報等の各種情報の授受を行う。ユーザ端末3は、サーバ2からキャンペーン情報を受信すると、キャンペーン情報をユーザに通知する。ユーザがユーザ端末3を操作して、配信パッケージの配信を承諾した場合、ユーザ端末3は、ユーザが承諾したことを表す情報を、サーバ2に送信する。サーバ2による車両1への配信パッケージの送信が完了後、車両1で更新処理が開始されると、ユーザ端末3は、サーバ2から、更新処理の進捗状況を表す情報を受信し、進捗状況を表す情報をユーザに通知する。 The user terminal 3 has a function of receiving operation input from the user and a function of displaying various screens. As the user terminal 3, for example, a smart phone, a tablet, or the like that can be carried by the user can be used. The user terminal 3 exchanges various information such as campaign information with the server 2 . When receiving the campaign information from the server 2, the user terminal 3 notifies the user of the campaign information. When the user operates the user terminal 3 and approves the distribution of the distribution package, the user terminal 3 transmits information indicating the user's approval to the server 2 . After the transmission of the distribution package to the vehicle 1 by the server 2 is completed, when the update process is started in the vehicle 1, the user terminal 3 receives information indicating the progress of the update process from the server 2, and updates the progress. Notify users of the information they represent.

次に、車両1、サーバ2、及びユーザ端末3それぞれの構成について、図1を用いて説明する。まずサーバ2の構成について説明する。図1に示すように、サーバ2は、通信装置21と、データベース22と、制御装置23を備える。なお、本発明の「ソフトウェア更新装置」は少なくとも制御装置23を有した装置に相当し、本発明の「ソフトウェア更新方法」は制御装置23で実行される制御処理を有した方法に相当する。 Next, configurations of the vehicle 1, the server 2, and the user terminal 3 will be described with reference to FIG. First, the configuration of the server 2 will be described. As shown in FIG. 1, the server 2 includes a communication device 21, a database 22, and a control device 23. The “software update device” of the present invention corresponds to a device having at least the control device 23 , and the “software update method” of the present invention corresponds to a method having control processing executed by the control device 23 .

通信装置21は、無線通信回線網4を介して、車両1の車載通信装置12及びユーザ端末3の端末通信装置31と接続しており、各種データの送受信を行う。通信装置21は、ソフトウェアの更新前に、ソフトウェアの更新に関する通知信号を車両1及び/又はユーザ端末3に送信する。また通信装置21は、更新データ管理部231により生成された識別パッケージや共通パッケージを車両1に送信する。データベース22は、車両1の登録情報、キャンペーン情報、更新データ、端末情報等を記憶する。車両1の登録情報は、少なくとも、車両1のVIN、車両1が搭載するECUの数及び各ECUの種別、及び各ECUのソフトウェアのバージョンを含む。キャンペーン情報は、更新データのデータサイズ、更新対象のECUを識別する情報(ECU名、ECUのID等)、更新対象ソフトウェアのバージョンの情報(バージョン名、バージョンのID等)、更新される機能の概要説明等を含む。端末情報は、端末に含まれるアプリケーションから入力される情報であって、ユーザの個人情報や、端末識別情報、ユーザ所有の車両と関連付けるための情報等である。 The communication device 21 is connected to the in-vehicle communication device 12 of the vehicle 1 and the terminal communication device 31 of the user terminal 3 via the wireless communication network 4, and transmits and receives various data. The communication device 21 transmits a notification signal regarding software update to the vehicle 1 and/or the user terminal 3 before updating the software. The communication device 21 also transmits the identification package and common package generated by the update data management unit 231 to the vehicle 1 . The database 22 stores registration information of the vehicle 1, campaign information, update data, terminal information, and the like. The registration information of the vehicle 1 includes at least the VIN of the vehicle 1, the number of ECUs mounted on the vehicle 1, the type of each ECU, and the software version of each ECU. The campaign information includes the data size of the update data, information identifying the ECU to be updated (ECU name, ECU ID, etc.), version information of the software to be updated (version name, version ID, etc.), and the number of functions to be updated. Including outline explanation etc. The terminal information is information input from an application included in the terminal, and includes user's personal information, terminal identification information, information for associating with the vehicle owned by the user, and the like.

制御装置23は、サーバ2の司令塔として機能する装置であって、例えば、コンピュータプログラムにより具体化された一又は複数の機能を実行するようにプログラムされたプロセッサとメモリとで構成される。制御装置23は、機能ブロックとして、ソフトウェアの更新データを管理する更新データ管理部231と、ソフトウェアの更新を実行するか否か判定する判定部232を有している。制御装置23に含まれる機能ブロックは、更新データ管理部231及び判定部232に限らず、機能に応じた他の機能ブロックを含んでいてもよい。 The control device 23 is a device that functions as a control tower for the server 2, and is composed of, for example, a processor and memory programmed to execute one or more functions embodied by a computer program. The control device 23 has, as functional blocks, an update data management unit 231 that manages software update data, and a determination unit 232 that determines whether or not to update software. The functional blocks included in the control device 23 are not limited to the update data management unit 231 and the determination unit 232, and may include other functional blocks according to their functions.

ソフトウェアの供給者等から、新たな更新データが提供された場合には、更新データ管理部231は、更新データを配信パッケージに格納する。配信パッケージは、共通パッケージと、車両毎に用意される識別パッケージを有している。共通パッケージは、複数の車両間で共通して使用されるパッケージである。共通パッケージは更新データと共通パッケージ識別情報を含んでいる。共通パッケージ識別情報は、共通パッケージに含まれる更新データを識別するための情報であり、更新データのID、更新データのデータ量、更新データのバージョン情報等を含んでいる。識別パッケージは、車両毎に付与されている車両識別情報(VIN)と、共通パッケージ識別情報を含んでいる。車両識別情報は、更新対象となる車両を識別するための情報である。 When new update data is provided by a software supplier or the like, the update data management unit 231 stores the update data in the distribution package. The distribution package has a common package and an identification package prepared for each vehicle. A common package is a package that is commonly used among a plurality of vehicles. A common package contains update data and common package identification information. The common package identification information is information for identifying update data included in the common package, and includes update data ID, update data amount, update data version information, and the like. The identification package includes vehicle identification information (VIN) assigned to each vehicle and common package identification information. Vehicle identification information is information for identifying a vehicle to be updated.

更新データ管理部231は、更新データを管理するソフトウェア更新リストを管理している。ソフトウェア更新リストは、更新データのキャンペーンにより、更新データに関する情報をリスト化したものである。ソフトウェア更新リストは、例えば、キャンペーンIDと、更新対象のVINと、対象ECUと、ソフトウェアバージョンと、共通パッケージへのリンクと、共通パッケージ識別情報等を含んでいる。 The update data management unit 231 manages a software update list that manages update data. The software update list is a list of information about update data by an update data campaign. The software update list includes, for example, campaign ID, VIN to be updated, target ECU, software version, link to common package, common package identification information, and the like.

更新データ管理部231は、新たな更新データが入力された場合には、更新データに対応する共通パッケージ識別情報を生成し、更新データ及び共通パッケージ識別情報を共通パッケージに格納する。また、更新データ管理部231は、ソフトウェア更新のキャンペーンに対してキャンペーンIDを付与し、更新データに含まれる更新情報から、ソフトウェア更新リストの各項目に該当する情報を特定し、特定されたリスト項目の情報、付与したキャンペーンID等を対応づけて、ソフトウェア更新リストを更新する。さらに、更新データ管理部231は、共通パッケージへのリンク情報をソフトウェア更新リストに格納する。更新データ管理部231は、ソフトウェア更新リストに含まれる対象VIN毎に、VINと共通パッケージ識別情報とを対応付けて、識別パッケージとして格納する。更新データ管理部231は、各種ECUのソフトウェアのバージョン情報、ソフトウェアの更新履歴、及びVINを、車両毎のリストで管理している。 When new update data is input, the update data management unit 231 generates common package identification information corresponding to the update data, and stores the update data and the common package identification information in the common package. Further, the update data management unit 231 assigns a campaign ID to the software update campaign, identifies information corresponding to each item of the software update list from the update information included in the update data, and identifies the identified list item. , the given campaign ID, etc. are associated with each other, and the software update list is updated. Furthermore, the update data management unit 231 stores link information to the common package in the software update list. The update data management unit 231 associates the VIN with the common package identification information for each target VIN included in the software update list, and stores them as an identification package. The update data management unit 231 manages software version information of various ECUs, software update history, and VIN in a list for each vehicle.

判定部232は、管理している全車両を対象として、ソフトウェアの更新が必要であるか否かの判定を行う。具体的には、まず、判定部232は、車両ごとに、当該車両の車両識別番号と、ソフトウェアの更新対象として管理されている対象VINとを比較し、車両識別番号が一致するか否かを判定する。車両識別番号が一致する場合には、制御装置23は、車両識別番号が一致する車両の現在のECUのソフトウェアバージョンと、最新のソフトウェアのソフトウェアバージョンとを比較する。そして、制御装置23は、車両1の現在のECUのソフトウェアバージョンが、その車両に適用可能な最新のソフトウェアのソフトウェアバージョンではない場合には、ソフトウェア更新が必要であると判定する。制御装置23は、ソフトウェア更新が必要であると判定された場合には、ソフトウェア更新が必要であると判定された車両ごとに、識別パッケージを生成する。 The determination unit 232 determines whether software update is necessary for all vehicles under management. Specifically, first, for each vehicle, the determination unit 232 compares the vehicle identification number of the vehicle with the target VIN managed as a software update target, and determines whether or not the vehicle identification numbers match. judge. If the vehicle identification numbers match, the controller 23 compares the software version of the current ECU of the vehicle with the matching vehicle identification number and the software version of the latest software. Then, when the current software version of the ECU of the vehicle 1 is not the latest software version applicable to the vehicle, the control device 23 determines that software update is necessary. When it is determined that software update is required, control device 23 generates an identification package for each vehicle determined to require software update.

判定部232は、ソフトウェアバージョンに基づきソフトウェアの更新が必要であると判定した場合には、ソフトウェアの更新を実行してよいか許諾を得るために、ソフトウェアの更新に関する更新通知をユーザに対して行う。更新通知は、通信装置21から車両1及びユーザ端末3に対して通知信号を送信することで行われる。通知信号は、ソフトウェアの更新に関する更新情報を通知するための信号であり、更新情報は例えばソフトウェアの更新に要する時間や更新内容等である。また更新情報は、ソフトウェアの更新を許諾するか拒否するかをユーザに選択させるための通知情報、更新に関する免責情報、警告情報等を含んでいる。 If the determination unit 232 determines that the software update is necessary based on the software version, the determination unit 232 notifies the user of the software update in order to obtain permission to update the software. . The update notification is performed by transmitting a notification signal from the communication device 21 to the vehicle 1 and the user terminal 3 . The notification signal is a signal for notifying update information regarding software update, and the update information is, for example, the time required for updating the software, update contents, and the like. The update information also includes notification information for allowing the user to select whether to approve or reject the software update, disclaimer information regarding the update, warning information, and the like.

ここで、ECUに含まれるソフトウェアの更新と、車両1の利用との関係について説明する。車両1に含まれるECUは、走行系ECUや、マルチメディア系ECU、電源管理用ECUなどがある。例えば、マルチメディア系ECUの一例として、ナビゲーションシステムのECUのソフトウェアを更新する場合には、ソフトウェアの更新中、地図情報を表示できない等、マルチメディア系ECUの処理が一時的に停止する可能性がある。このようなマルチメディア系ECUにおける制御処理の中断は、車両の走行機能には直接関係はない。一方、走行系ECUのソフトウェアを更新する場合には、車両の走行機能そのもののソフトウェアの更新となるため、ソフトウェアの更新中、ユーザは車両1を利用できない。そこで、本実施形態に係るソフトウェア更新システム100は、ソフトウェアの更新を実行する前に、ソフトウェアの更新を実行してよいかユーザに許諾を求めて、ユーザが許諾した場合に、ソフトウェアの更新処理を実行する。なお、ソフトウェアの更新前のユーザへの通知内容と、ユーザからの意思表示に基づくソフトウェアの更新の要否判定については後述する。 Here, the relationship between updating software included in the ECU and use of the vehicle 1 will be described. The ECUs included in the vehicle 1 include a travel system ECU, a multimedia system ECU, a power management ECU, and the like. For example, when updating the software of a navigation system ECU as an example of a multimedia system ECU, there is a possibility that the processing of the multimedia system ECU will temporarily stop, such as map information being unable to be displayed during the software update. be. Such interruption of control processing in the multimedia system ECU has no direct relation to the running function of the vehicle. On the other hand, when updating the software of the travel system ECU, the software of the travel function of the vehicle itself is updated, so the user cannot use the vehicle 1 while the software is being updated. Therefore, the software update system 100 according to the present embodiment asks the user for permission to update the software before executing the software update. Execute. Note that the content of the notification to the user before updating the software and the necessity determination of the software update based on the user's declaration of intention will be described later.

ユーザ端末3の構成について説明する。図1に示すように、ユーザ端末3は、端末通信装置31と、端末HMI(Human Machine Interface)32と、端末制御装置33を備える。 A configuration of the user terminal 3 will be described. As shown in FIG. 1 , the user terminal 3 includes a terminal communication device 31 , a terminal HMI (Human Machine Interface) 32 and a terminal control device 33 .

端末通信装置31は、無線通信回線網4を介して、サーバ2との間でデータ通信を行う機能を有する。端末HMI32は、ユーザの操作入力を受け付ける装置及びユーザに情報を知らせる装置のうち少なくとも何れか一方として機能する。端末HMI32としては、例えば、タッチパネルディスプレイ等が挙げられる。なお、端末HMI32は、情報を表示する装置に限られず、例えば、スピーカー等、情報を音声出力する装置であってもよい。なお、ユーザ端末3が、Bluetooth(登録商標)等を通じて車載装置と直接接続している場合にはユーザ端末3は、車両1の車載通信装置12を介してサーバ2とデータ通信を行ってもよい。また、車載装置とユーザ端末3が直接接続している場合には、車載装置は、ユーザ端末3から無線通信回線網4を介してサーバ2と通信してもよい。 The terminal communication device 31 has a function of performing data communication with the server 2 via the wireless communication network 4 . The terminal HMI 32 functions as at least one of a device that receives user's operation input and a device that informs the user of information. Examples of the terminal HMI 32 include a touch panel display and the like. Note that the terminal HMI 32 is not limited to a device that displays information, and may be a device that outputs information by voice, such as a speaker. Note that when the user terminal 3 is directly connected to the in-vehicle device via Bluetooth (registered trademark) or the like, the user terminal 3 may perform data communication with the server 2 via the in-vehicle communication device 12 of the vehicle 1. . Further, when the in-vehicle device and the user terminal 3 are directly connected, the in-vehicle device may communicate with the server 2 from the user terminal 3 via the wireless communication network 4 .

端末制御装置33は、ユーザ端末3の司令塔として機能する装置であって、例えば、コンピュータプログラムにより具体化された一又は複数の機能を実行するようにプログラムされたプロセッサとメモリとで構成される。端末制御装置33は、車両1のECUのソフトウェア更新処理において、キャンペーン情報及び更新処理の進捗情報をユーザに通知するための処理を実行する。また端末制御装置33は、車両1のECUのソフトウェア更新処理において、ユーザに許諾を求めるための処理を実行する。更新処理開始の承諾をユーザに求める場合を例に挙げると、端末制御装置33は、更新処理開始の許諾をユーザに求めるための画像を生成し、生成した画像を端末HMI32に出力して、ユーザに許諾を求めるための画像を端末HMI32に表示させる。 The terminal control device 33 is a device that functions as a control tower for the user terminal 3, and is composed of, for example, a processor and memory programmed to execute one or more functions embodied by a computer program. The terminal control device 33 performs processing for notifying the user of campaign information and progress information of the update processing in the software update processing of the ECU of the vehicle 1 . In addition, the terminal control device 33 executes processing for requesting permission from the user in software update processing of the ECU of the vehicle 1 . Taking the case of asking the user for permission to start the update process as an example, the terminal control device 33 generates an image for asking the user for permission to start the update process, outputs the generated image to the terminal HMI 32, and display an image on the terminal HMI 32 to ask for permission.

次に、車両1の構成について説明する。図1に示すように、車両1は、CGW(Central Gateway)11と、車載通信装置12と、ECU13と、車載HMI(Human Interface)14とを備え、互いにデータ通信可能な状態で通信網により接続されている。 Next, the configuration of the vehicle 1 will be described. As shown in FIG. 1, a vehicle 1 includes a CGW (Central Gateway) 11, an in-vehicle communication device 12, an ECU 13, and an in-vehicle HMI (Human Interface) 14, which are connected to each other by a communication network so as to enable data communication. It is

CGW11は、データ中継機能を有する車両用ゲートウェイ装置であり、車載通信装置12から更新データを取得すると、当該更新データを更新対象となるECUに配信する。まず、CGW11は、サーバ2から送信された識別パッケージに含まれる車両識別番号と、自車の車両識別番号とが一致しているか否かを判定する。CGW11は、まず、車載メモリから、自車の車両識別番号を取得する。次に、CGW11は、サーバ2から、車載通信装置12を介して識別パッケージを受信すると、識別パッケージから車両識別番号を取得し、識別パッケージに含まれる車両識別番号と、自車の車両識別番号とを比較する。識別パッケージに含まれる車両識別番号と、自車の車両識別番号とが一致している場合には、CGW11は、車載通信装置12を介して、サーバ2に共通パッケージの取得を要求する要求信号を送信する。 The CGW 11 is a vehicle gateway device having a data relay function, and when update data is acquired from the vehicle-mounted communication device 12, it distributes the update data to the ECU to be updated. First, the CGW 11 determines whether or not the vehicle identification number included in the identification package transmitted from the server 2 matches the vehicle identification number of its own vehicle. The CGW 11 first acquires the vehicle identification number of its own vehicle from the vehicle-mounted memory. Next, when the identification package is received from the server 2 via the in-vehicle communication device 12, the CGW 11 acquires the vehicle identification number from the identification package, and the vehicle identification number included in the identification package and the vehicle identification number of the own vehicle. compare. When the vehicle identification number included in the identification package matches the vehicle identification number of the own vehicle, the CGW 11 sends a request signal to the server 2 via the in-vehicle communication device 12 to request acquisition of the common package. Send.

CGW11は、サーバ2から共通パッケージを受信すると、共通パッケージから共通パッケージ識別子を取得する。CGW11は、共通パッケージから取得された共通パッケージ識別子と、識別パッケージ内に含まれる共通パッケージ識別子とが一致しているか否か判定する。共通パッケージ識別子が一致している場合には、CGW11は、共通パッケージから更新データを抽出する。そして、CGW11は、更新対象となるECUに、抽出された更新データを送信し、更新データを用いて、更新対象となるECUのソフトウェアを更新する。なお、ソフトウェアの更新は、後述するようにユーザ端末3及び/又は車載HMI(Human Interface)14から、ソフトウェアの更新を許諾する許諾信号を受信した場合には、実行される。 Upon receiving the common package from the server 2, the CGW 11 acquires a common package identifier from the common package. The CGW 11 determines whether or not the common package identifier obtained from the common package matches the common package identifier included in the identification package. If the common package identifiers match, the CGW 11 extracts update data from the common package. Then, the CGW 11 transmits the extracted update data to the update target ECU, and uses the update data to update the software of the update target ECU. Note that the software update is executed when a permission signal for permitting the software update is received from the user terminal 3 and/or the in-vehicle HMI (Human Interface) 14, as will be described later.

また、CGW11は、複数のECU13のソフトウェアのソフトウェアバージョンを集約する。CGW11は、車両1のイグニッション電源がオンになった時に、その時点のECUのソフトウェアバージョンを集約する。また、CGW11は、一定の周期で、その時点のECUのソフトウェアバージョンを集約する。CGW11は、集約された各ECUのソフトウェアバージョンを、車載通信装置12を介してサーバ2に送信する。 Moreover, CGW11 aggregates the software version of the software of some ECU13. When the ignition power of the vehicle 1 is turned on, the CGW 11 aggregates the software versions of the ECUs at that time. In addition, the CGW 11 aggregates the software versions of the ECUs at that time at regular intervals. The CGW 11 transmits the integrated software version of each ECU to the server 2 via the in-vehicle communication device 12 .

車載通信装置12は、無線通信回線網4を介して、サーバ2との間でデータ通信を行う機能を有する。車載通信装置12としては、例えば、テレマティクスコントロールユニット(TCU:Telematics Control Unit)が挙げられる。 The in-vehicle communication device 12 has a function of performing data communication with the server 2 via the wireless communication network 4 . The in-vehicle communication device 12 may be, for example, a telematics control unit (TCU).

ECU13は、例えば、ボディ系ECUと、走行系ECUと、情報系ECUとを含む。ボディ系ECUは、例えばドアのロック/アンロックを制御するドアECU、メータ表示を制御するメータECU、エアコンの駆動を制御するエアコンECU、ウィンドウの開閉を制御するウィンドウECU等のボディ系の制御を行うECUである。走行系ECUは、例えばエンジンの駆動を制御するエンジンECU、ブレーキの駆動を制御するブレーキECU、パワーステアリングの駆動を制御するパワーステアリングECU等の走行系の制御を行うECUである。情報系ECUは、例えばナビゲーションシステムを制御するナビゲーションECU、オーディオ機器を制御するオーディオECU等の情報系の制御を行うECUである。ECU13の種類は例示した構成に限らない。ECU13は、CGW11から更新データを取得すると、当該更新データを用いてソフトウェアを更新する。また、ECU13は、ソフトウェアのソフトウェアバージョンを管理し、CGW11からの要求信号に応じて、ソフトウェアバージョンを送信する。 The ECU 13 includes, for example, a body system ECU, a travel system ECU, and an information system ECU. The body system ECU controls body systems such as a door ECU that controls door locking/unlocking, a meter ECU that controls meter display, an air conditioner ECU that controls the operation of the air conditioner, and a window ECU that controls the opening and closing of windows. It is an ECU that performs The traveling system ECU is an ECU that controls the traveling system, such as an engine ECU that controls the driving of the engine, a brake ECU that controls the driving of the brake, and a power steering ECU that controls the driving of the power steering. The information system ECU is an ECU that controls information systems such as a navigation ECU that controls a navigation system and an audio ECU that controls audio equipment. The type of ECU 13 is not limited to the illustrated configuration. When the update data is acquired from the CGW 11, the ECU 13 updates the software using the update data. Moreover, ECU13 manages the software version of software, and transmits a software version according to the request signal from CGW11.

車載HMI14は、ユーザの操作入力を受け付ける装置及びユーザに情報を知らせる装置として機能する。車載HMI14の形態は特に限定されず、車載HMI14としては、例えば、タッチパネルディスプレイ、車両1のイグニッションをオン又はオフするイグニッションスイッチ等が挙げられる。車載HMI14は、例えば、サーバ2から、ソフトウェアの更新を許諾するか拒否するかをユーザに選択させるための通知情報を含む信号が入力された場合、ユーザに許諾を求めるための画像を表示する。また車載HMI14は、例えば、ユーザが更新処理開始を許諾する操作を車載HMI14に対して行った場合、ユーザの操作内容を表す信号をサーバ2に出力する。また車載HMI14は、例えば、ユーザがイグニッションをオンからオフにする操作を車載HMI14に対して行った場合、ユーザの操作内容を表す信号をサーバ2に出力する。なお、車載HMI14は、情報を表示する装置に限られず、例えば、スピーカー等、情報を音声出力する装置であってもよい。 The in-vehicle HMI 14 functions as a device that receives a user's operation input and as a device that informs the user of information. The form of the in-vehicle HMI 14 is not particularly limited, and examples of the in-vehicle HMI 14 include a touch panel display, an ignition switch that turns on or off the ignition of the vehicle 1, and the like. For example, when a signal including notification information for allowing the user to select whether to approve or reject the software update is input from the server 2, the in-vehicle HMI 14 displays an image for asking the user for permission. Further, the in-vehicle HMI 14 outputs to the server 2 a signal representing the content of the user's operation, for example, when the user performs an operation for permitting the start of the update process to the in-vehicle HMI 14 . Further, the in-vehicle HMI 14 outputs to the server 2 a signal representing the content of the user's operation, for example, when the user performs an operation to turn off the ignition from on to the in-vehicle HMI 14 . Note that the in-vehicle HMI 14 is not limited to a device that displays information, and may be a device that outputs information by voice, such as a speaker.

ところで、上記のとおり、ソフトウェアの更新中、車両1は利用できなくなる。例えば、車両1に乗車中のユーザBが店舗での買い物のために一時的に車両を停車させて、店舗での買い物を終えて、再び車両1を利用するシーン(以下、「買い物シーン」と称する)を想定する。このような「買い物シーン」において、自宅に滞在していたユーザAが、ソフトウェアの更新が必要であることに気づき、ユーザ端末3を操作して、ソフトウェアの更新を要求したとする。このとき、ユーザBがソフトウェアの更新に関する通知を受けずに、ソフトウェアの更新が始まってしまうと、ユーザBの知らない間に、ソフトウェアの更新処理が始まってしまう。「買い物シーン」では、店舗付近の駐車場に車両1を停車させている間に、ソフトウェアの更新が始まってしまい、ユーザBはソフトウェアの更新が終わるまで、車両1を利用できなくなる。 By the way, as described above, the vehicle 1 cannot be used during the software update. For example, a scene in which a user B who is riding in the vehicle 1 temporarily stops the vehicle for shopping at a store, finishes shopping at the store, and uses the vehicle 1 again (hereinafter referred to as a “shopping scene”). ) is assumed. In such a "shopping scene", assume that user A, who is staying at home, notices that the software needs to be updated, and operates the user terminal 3 to request the software update. At this time, if the software update starts without the user B receiving a notification regarding the software update, the software update process will start without the user B knowing. In the "shopping scene", the software update starts while the vehicle 1 is parked in a parking lot near the store, and the user B cannot use the vehicle 1 until the software update is completed.

このような事態をさけるべく、本実施形態に係るソフトウェア更新システムでは、ユーザA及びユーザBに対してソフトウェアの更新に関する通知を行い、ユーザA及びユーザBからソフトウェアの更新を許諾する旨の同意(コンセンサス)を得た場合に、ソフトウェアの更新処理を実行する。一方、ユーザA及びユーザBのいずれか一方のユーザがソフトウェアの更新を拒否した場合には、ソフトウェアの更新処理を実行しない。 In order to avoid such a situation, the software update system according to the present embodiment notifies users A and B of the software update, and gives user A and user B consent to the software update ( If a consensus is obtained, software update processing is executed. On the other hand, if either user A or user B refuses to update the software, the software update process is not executed.

図2及び図3を参照して、ユーザA及びユーザBに対してソフトウェアの更新に関する通知を行い、ユーザA、Bからソフトウェアの更新を許諾する旨の同意(コンセンサス)を得た場合と、ユーザBからソフトウェアの更新を拒絶された場合の制御フローについて説明する。図2はユーザA、Bの両方が許諾した場合の制御フロー、図3はユーザBが拒絶した場合の制御フロー示している。なお、図2、3の例では、ユーザは2人であるが、3人以上でもよい。また、ユーザ端末3は複数でもよい。 With reference to FIGS. 2 and 3, user A and user B are notified of the software update, and consent (consensus) is obtained from users A and B to allow the software update; A control flow when software update is rejected by B will be described. FIG. 2 shows the control flow when both users A and B approve, and FIG. 3 shows the control flow when user B refuses. In the examples of FIGS. 2 and 3, there are two users, but there may be three or more users. Moreover, the number of user terminals 3 may be plural.

本実施形態では、ソフトウェアの更新の許諾を得る対象端末(以下、許諾対象端末とも称す)が予め決まっている。許諾対象端末に関する情報はサーバ2で管理されている。ユーザは、ソフトウェア更新システムを利用する際に、ユーザの個人情報、端末情報等を入力して、許諾対象端末をシステムに登録する(事前登録)。許諾対象端末の情報は車両1と関連付けて登録されている。ユーザにより入力された端末情報はデータベース22に格納される。なお本実施形態において、車両1の車載端末は許諾対象端末であり、車両1の車載端末の情報は、必ずしもシステム利用前に入力する必要なく、車載端末はデォルト設定で登録されていてもよい。図2、3の例では、ユーザAはユーザ端末3を利用しており、ユーザBは車両1の乗車し車載端末を利用している。車載端末は、車載HMI14に相当する。 In the present embodiment, a target terminal (hereinafter also referred to as a license target terminal) for which permission for updating software is obtained is predetermined. The server 2 manages information about the licensed terminal. When using the software update system, the user inputs the user's personal information, terminal information, etc., and registers the license target terminal in the system (pre-registration). Information on the license target terminal is registered in association with the vehicle 1 . The terminal information entered by the user is stored in the database 22 . In this embodiment, the in-vehicle terminal of the vehicle 1 is a licensed terminal, and the information of the in-vehicle terminal of the vehicle 1 does not necessarily need to be input before using the system, and the in-vehicle terminal may be registered with default settings. In the examples of FIGS. 2 and 3, the user A uses the user terminal 3, and the user B gets into the vehicle 1 and uses the in-vehicle terminal. The in-vehicle terminal corresponds to the in-vehicle HMI 14 .

図2に示すように、新たな更新データが提供されると、更新データ管理部231は更新データを配信パッケージに格納し、ソフトウェア更新リストを更新する。判定部232は、ソフトウェア更新リストに含まれる対象ECU、ソフトウェアバージョン等の情報に基づき、対象ECUを含む車両毎に、ソフトウェアの更新が必要か否か判定する。判定部232は、ソフトウェアの更新が必要であると判定された車両1を、更新対象車両として特定する。更新データ管理部231は、更新対象車両と関連付けられた許諾対象端末に対して、ECU13のソフトウェアの更新が必要であることを通知する。この通知は、ソフトウェアの更新が必要であると判定されたタイミングでサーバ2から車両1及びユーザ端末3に通知する必要はなく、車両1及びユーザ端末3がサーバ2と接続したタイミングでサーバ2から車両1及びユーザ端末3に通知してもよい。 As shown in FIG. 2, when new update data is provided, the update data management unit 231 stores the update data in the distribution package and updates the software update list. Based on information such as the target ECU and the software version included in the software update list, determination unit 232 determines whether software update is necessary for each vehicle including the target ECU. The determination unit 232 identifies the vehicle 1 determined to require software update as an update target vehicle. The update data management unit 231 notifies the license target terminal associated with the update target vehicle that the software of the ECU 13 needs to be updated. This notification does not need to be sent from the server 2 to the vehicle 1 and the user terminal 3 at the timing when it is determined that software update is necessary. The vehicle 1 and the user terminal 3 may be notified.

図2の例では、ユーザAが、端末HMI32のディスプレイの通知画面から、ソフトウェアの更新が必要であることを確認して、ソフトウェアを更新するために、ユーザ端末3を操作する(ソフトウェア更新操作)。端末制御装置33は、ユーザの操作に応じて端末通信装置31を制御し、ソフトウェアの更新をシステムに要求する要求信号をサーバ2に送信する。サーバ2の通信装置21は要求信号を受信し、制御装置23は、要求信号に基づき、ソフトウェアの更新要求があったことを特定し、ソフトウェアの更新の許諾を得るために許諾対象端末を特定する。 In the example of FIG. 2, user A confirms that software update is necessary from the notification screen on the display of terminal HMI 32, and operates user terminal 3 to update the software (software update operation). . The terminal control device 33 controls the terminal communication device 31 according to the user's operation, and transmits to the server 2 a request signal requesting the system to update the software. The communication device 21 of the server 2 receives the request signal, and the control device 23 identifies that there is a software update request based on the request signal, and identifies the terminal subject to permission to obtain permission to update the software. .

制御装置23は、通信装置21を制御し、ソフトウェアの更新に関する通知信号を車両1及びユーザ端末3に送信する。通知信号は、ソフトウェアの更新に関する更新情報を通知するための信号である。更新情報は、ソフトウェアの更新を許諾するか又は拒否するかをユーザに選択させるための情報を少なくとも含んでいる。さらに、図2の例では、更新情報は、ソフトウェア更新にあたっての免責事項を示す情報及び/又は警告に関する情報を含んでいる。免責事項の通知は、例えば、車載装置のメモリ等に保存したデータがソフトウェアの更新により消える可能性があり、データが消失した場合でもシステム提供者に対して損害金を支払う責任を負わないことを、ユーザに許諾させるための通知である。警告は、例えば、ソフトウェアの更新中、車両1を利用できない旨の通知である。車載通信装置12が更新情報を含む通知信号を受信すると、車載HMI14は、ソフトウェアの更新の許諾又は拒否を選択させる選択画面と、免責及び/又は警告に関する通知画面を表示する。 The control device 23 controls the communication device 21 and transmits a notification signal regarding software update to the vehicle 1 and the user terminal 3 . The notification signal is a signal for notifying update information regarding software update. The update information includes at least information for allowing the user to select whether to approve or reject the software update. Furthermore, in the example of FIG. 2, the update information includes information about disclaimers and/or warnings for updating software. For example, the notice of the disclaimer may indicate that the data saved in the memory of the in-vehicle device may disappear due to a software update, and that even if the data disappears, the system provider will not be held responsible for paying damages. , is a notification for allowing the user to consent. The warning is, for example, a notification that the vehicle 1 cannot be used while the software is being updated. When the in-vehicle communication device 12 receives the notification signal containing the update information, the in-vehicle HMI 14 displays a selection screen for allowing or rejecting the update of the software and a notification screen regarding disclaimer and/or warning.

ユーザBは、ソフトウェアの更新を許諾する場合には、車載HMI14のディスプレイで、免責及び/又は警告に関する通知画面を確認した上で、選択画面に含まれる、ソフトウェアの更新を許諾するボタンをタッチする(許諾操作)。CGW11は、車載HMI14における許諾操作に基づき、ソフトウェアの更新を許諾する許諾信号を車載通信装置12から送信させる。 When user B approves the update of the software, after confirming the notification screen regarding disclaimer and/or warning on the display of the in-vehicle HMI 14, the user B touches the button to approve the update of the software included in the selection screen. (permissive operation). The CGW 11 causes the in-vehicle communication device 12 to transmit a permission signal for permitting the update of the software based on the permission operation in the in-vehicle HMI 14 .

ユーザ端末3の端末通信装置31が、サーバ2から、更新情報を含む通知信号を受信すると、端末HMI32は、ソフトウェアの更新の許諾又は拒否を選択させる選択画面と、免責及び/又は警告に関する通知画面を表示する。ユーザAは、フトウェアの更新を許諾する場合には、端末HMI32のディスプレイで、免責及び/又は警告に関する通知画面を確認し、選択画面上でソフトウェアの更新を許諾するボタンをタッチする(許諾操作)。端末制御装置33は、端末HMI32における許諾操作に基づき、ソフトウェアの更新を許諾する許諾信号を端末通信装置31から送信させる。 When the terminal communication device 31 of the user terminal 3 receives a notification signal including update information from the server 2, the terminal HMI 32 displays a selection screen for selecting permission or refusal of software update, and a notification screen regarding disclaimer and/or warning. display. When user A approves the update of the software, the user A confirms the notification screen regarding the disclaimer and/or warning on the display of the terminal HMI 32, and touches the button to approve the update of the software on the selection screen (permission operation). . The terminal control device 33 causes the terminal communication device 31 to transmit a permission signal that permits the update of the software based on the permission operation in the terminal HMI 32 .

サーバ2の通信装置21が車両1及びユーザ端末3から許諾信号を受信した場合には、判定部232は、ソフトウェアの更新を実行すると判定する。判定部232によりソフトウェアの更新を実行すると判定された場合には、更新データ管理部231は、通信装置21を制御して、キャンペーン情報及び配信パッケージ等ソフトウェアの更新に必要なデータを車両1に送信する。これにより、車両1において更新データのダウンロードが開始する。 When the communication device 21 of the server 2 receives the permission signal from the vehicle 1 and the user terminal 3, the determination unit 232 determines to execute software update. When the determination unit 232 determines that the software update is to be executed, the update data management unit 231 controls the communication device 21 to transmit data necessary for software update, such as campaign information and distribution packages, to the vehicle 1. do. As a result, the vehicle 1 starts downloading the update data.

CGW11は、アクティベーション条件を満たすか否かを判定する。アクティベーション条件は、車両状態がソフトウェアの更新に適した状態であることを示した条件であって、車速、車両1のメインスイッチ(イグニッションスイッチ)のオン/オフ等で決められている。ソフトウェアの更新は、車両1の停車/駐車状態の時が適している。例えば、車両1の車速がゼロの時には、CGW11はアクティベーション条件を満たしていると判定し、ソフトウェアの更新処理を実行する。そして、更新対象のECU13において、ソフトウェアの更新が開始される。 The CGW 11 determines whether or not activation conditions are satisfied. The activation condition is a condition indicating that the vehicle state is suitable for software update, and is determined by vehicle speed, on/off of the main switch (ignition switch) of the vehicle 1, and the like. Software update is suitable when the vehicle 1 is stopped/parked. For example, when the vehicle speed of the vehicle 1 is zero, the CGW 11 determines that the activation condition is satisfied, and executes software update processing. Then, software update is started in the ECU 13 to be updated.

次に、ユーザBがソフトウェアの更新を拒否した場合について説明する。ユーザAの操作、及び、ユーザ端末3とサーバ2との間の制御フローは、図2の制御フローと同じである。また、サーバ2から車両1に通信信号が送信されて、車載HMI14に、ソフトウェアの更新の許諾又は拒否を選択させる選択画面と、免責及び/又は警告に関する通知画面を表示するまでの制御フローは、図2の制御フローと同じである。 Next, a case where user B refuses to update software will be described. User A's operation and the control flow between the user terminal 3 and the server 2 are the same as the control flow in FIG. In addition, the control flow until a communication signal is transmitted from the server 2 to the vehicle 1 and the in-vehicle HMI 14 displays a selection screen for selecting approval or rejection of software update and a notification screen regarding disclaimer and/or warning is as follows. The control flow is the same as in FIG.

ユーザBは、選択画面に含まれる、ソフトウェアの更新を拒否するボタンをタッチする(拒否操作)。CGW11は、車載HMI14における拒否操作に基づき、ソフトウェアの更新を拒否する拒否信号を送信するよう車載通信装置12を制御する。サーバ2の判定部232は、拒否信号に基づき、ソフトウェアの更新を実行しないと判定する。制御装置23は、ソフトウェアの更新を実行しない旨を示す通信信号を、車両1とユーザ端末3に送信する。車載HMI14のディスプレイは、ソフトウェアの更新を実行しない旨の通知信号に基づき、ソフトウェアの更新を実行しないことを示す画面を表示する。端末HMI32のディスプレイも、ソフトウェアの更新を実行しないことを示す画面を表示する。ユーザAは、端末HMI32のディスプレイの表示画面から、ソフトウェアの更新が拒否されたことを確認できる。このとき、端末HMI32のディスプレイは、ユーザBが拒否したことを表示してもよい。 User B touches a button for rejecting software update included in the selection screen (rejection operation). The CGW 11 controls the in-vehicle communication device 12 to transmit a refusal signal for refusing the software update based on the refusal operation in the in-vehicle HMI 14 . Based on the rejection signal, the determination unit 232 of the server 2 determines not to update the software. The control device 23 transmits to the vehicle 1 and the user terminal 3 a communication signal indicating that software update is not to be executed. The display of the in-vehicle HMI 14 displays a screen indicating that the software update will not be executed based on the notification signal to the effect that the software update will not be executed. The display of the terminal HMI 32 also displays a screen indicating that the software update will not be executed. User A can confirm that the software update has been rejected from the display screen of the terminal HMI 32 . At this time, the display of terminal HMI 32 may indicate that user B has refused.

次に、図4を参照して、サーバ2の制御装置23の制御フローについて説明する。なお、図4の制御フローは、ソフトウェアの更新の許諾をユーザから得るために通知信号を送信する制御以降の制御フローを示している。更新許諾のための通知信号を送信する前の制御処理として、例えば、新たな更新データに基づき配信パッケージ及びソフトウェア更新リスト等を更新する制御処理、ソフトウェアの更新の要否を判定する制御処理、ソフトウェアの更新を要求する要求信号の受信処理等があり、これらの制御は図4の制御フローよりも前に実行されている。 Next, a control flow of the control device 23 of the server 2 will be described with reference to FIG. Note that the control flow of FIG. 4 shows the control flow after the control of transmitting the notification signal in order to obtain the user's permission to update the software. Control processing prior to sending a notification signal for permission to update includes, for example, control processing for updating distribution packages and software update lists based on new update data, control processing for determining whether software update is necessary, software and the like, and these controls are executed before the control flow of FIG.

ステップS1にて、更新データ管理部231は、ソフトウェアの更新を許諾するか又は拒否するかをユーザに選択させるために、ソフトウェアの更新情報を含む通知信号を、許諾対象端末に送信する。図2及び図3の例では、許諾対象端末は、車両1の車載端末及びユーザ端末3である。 In step S1, the update data management unit 231 transmits a notification signal including software update information to the permission target terminal so that the user can select whether to approve or reject the software update. In the examples of FIGS. 2 and 3 , the terminals to be licensed are the in-vehicle terminal of the vehicle 1 and the user terminal 3 .

ステップS2にて、更新データ管理部231は、許諾受付期間のタイマを開始する。許諾受付期間は、通知信号を送信した後に、ソフトウェアの更新の許諾を受け付ける時間である。許諾受付期間中にサーバ2で受信した許諾信号が有効になる。許諾受付期間のタイマは、通知信号の送信時点から開始する。なお、タイマーのカウント方法は、カウントダウン、カウントアップ等、任意の方法でよい。 In step S2, the update data management unit 231 starts a timer for the license acceptance period. The license acceptance period is the time period during which the software update license is accepted after the notification signal is transmitted. The permission signal received by the server 2 during the permission acceptance period becomes valid. The license acceptance period timer starts at the time of transmission of the notification signal. It should be noted that the counting method of the timer may be any method such as countdown or countup.

ステップS3にて、判定部232は、通信装置21により拒否信号を受信したか否か判定する。通信装置21が拒否信号を受信した場合には、ステップS8の制御処理が実行される。通信装置21が拒否信号を受信しない場合には、ステップS4にて、判定部232は、全ての許諾対象端末から許諾信号を受信したか否か判定する。全ての許諾対象端末から許諾信号を受信した場合には、ステップS6の制御フローが実行される。全ての許諾対象端末から許諾信号を受信していない場合には、ステップS5にて、判定部232は、許諾受付期間を経過したか否か判定する。許諾受付期間を経過していない場合には、ステップS3の制御処理が実行される。許諾受付期間を経過した場合、すなわち許諾受付期間内に全ての許諾対象端末から許可信号を受信できなかった場合には、ステップS8の制御処理が実行される。 In step S<b>3 , the determination unit 232 determines whether or not the communication device 21 has received a rejection signal. When the communication device 21 receives the rejection signal, the control process of step S8 is executed. If the communication device 21 does not receive the refusal signal, in step S4, the determination unit 232 determines whether or not the permission signal has been received from all of the permission target terminals. When permission signals have been received from all permission target terminals, the control flow of step S6 is executed. If permission signals have not been received from all permission target terminals, in step S5, the determination unit 232 determines whether or not the permission reception period has elapsed. If the license acceptance period has not passed, the control process of step S3 is executed. If the permission acceptance period has passed, that is, if permission signals have not been received from all of the permission target terminals within the permission acceptance period, the control process of step S8 is executed.

全ての許諾対象端末から許諾信号を受信した場合には、ステップS6にて、判定部232は「ソフトウェアの更新を実行する」と判定する。ステップS7にて、判定部232は、ソフトウェアの更新を実行させるための制御指令を車両1に送信する。その後、制御フローを終了する。 When permission signals have been received from all permission target terminals, in step S6, the determination unit 232 determines that "software update is to be executed." In step S7, the determination unit 232 transmits to the vehicle 1 a control command for updating the software. After that, the control flow ends.

少なくとも1つの許諾対象端末から拒否信号を受信した場合、又は、全ての許諾対象端末から許可信号を受信できておらず許諾受付期間を経過した場合には、ステップS8にて、判定部232は「ソフトウェアの更新を実行しない」と判定する。ステップS9にて、判定部232は、ソフトウェアの更新が拒否されたことを示す信号を送信するよう、通信装置21を制御することで、更新拒否をユーザに通知する。その後、制御フローを終了する。 If a refusal signal has been received from at least one permission target terminal, or if permission signals have not been received from all permission target terminals and the permission acceptance period has passed, in step S8, the determination unit 232 reads " Software update will not be executed." In step S9, the determination unit 232 notifies the user of the rejection of the update by controlling the communication device 21 to transmit a signal indicating that the software update has been rejected. After that, the control flow ends.

以上のとおり、本実施形態に係るソフトウェア更新装置及びソフトウェア更新制御方法は、車両用のソフトウェアの更新前に、ソフトウェアの更新に関する更新情報を通知する通知信号を複数の端末に送信し、通信装置21が複数の端末のうち一の端末からソフトウェアの更新を許諾する許諾信号を受信し、複数の端末のうち他の端末からソフトウェアの更新を拒否する拒否信号を受信しない場合には、ソフトウェアの更新を実行すると判定する。これにより、車両を利用したいユーザに対してソフトウェアの更新を通知することなく、ソフトウェアを更新するような事態を回避できる。 As described above, the software update device and the software update control method according to the present embodiment transmit a notification signal for notifying update information regarding software update to a plurality of terminals before updating software for a vehicle, and the communication device 21 does not receive a software update approval signal from one of the multiple terminals and does not receive a software update refusal signal from another terminal, the software update is not permitted. Determine to execute. As a result, it is possible to avoid a situation in which the software is updated without notifying the user who wants to use the vehicle of the software update.

また、本実施形態に係るソフトウェア更新装置及びソフトウェア更新制御方法は、通信装置21が、許諾受付期間内に、ユーザ端末又は車載端末から拒否信号を受信しない場合には、ソフトウェアの更新を実行すると判定する。これにより、車両を利用したいユーザに対してソフトウェアの更新を通知することなく、ソフトウェアを更新するような事態を回避できる。 Further, the software update device and the software update control method according to the present embodiment determine that the software update is executed when the communication device 21 does not receive a rejection signal from the user terminal or the vehicle-mounted terminal within the license acceptance period. do. As a result, it is possible to avoid a situation in which the software is updated without notifying the user who wants to use the vehicle of the software update.

また、本実施形態に係るソフトウェア更新装置及びソフトウェア更新制御方法は、通信装置21が通知信号の送信先となる全ての端末(「許諾対象端末」に相当)から許諾信号を受信した場合に、ソフトウェアの更新を実行すると判定する。これにより、全ての許諾対象端末からの同意(コンセンサス)を得たことを条件に、ソフトウェアを更新できるため、許諾対象端末を操作するユーザが認識せずに、ソフトウェアを更新するような事態を回避できる。 Further, the software update device and the software update control method according to the present embodiment, when the communication device 21 receives permission signals from all terminals (corresponding to "licensed terminals") to which notification signals are transmitted, the software is determined to be updated. As a result, software can be updated on the condition that consent (consensus) has been obtained from all licensed terminals, thus avoiding situations in which software is updated without the knowledge of the users operating the licensed terminals. can.

また、本実施形態に係るソフトウェア更新装置及びソフトウェア更新制御方法は、通信装置21が複数の許諾対象端末うち少なくとも1つの端末から拒否信号を受信した場合には、ソフトウェアの更新を実行しないと判定する。これにより、車両を利用したいユーザが1人でもいる場合には、ソフトウェアの更新が実行されないため、ユーザの利便性を高めることができる。 Further, the software update device and the software update control method according to the present embodiment determine not to update the software when the communication device 21 receives a rejection signal from at least one of the plurality of licensed terminals. . As a result, even if there is only one user who wants to use the vehicle, the software is not updated, so that user convenience can be improved.

また、本実施形態に係るソフトウェア更新装置及びソフトウェア更新制御方法は、通信装置21が許諾受付期間内に全ての許諾対象端末から許諾信号を受信しない場合に、ソフトウェアの更新を実行しないと判定する。これにより、全ての許諾対象端末からの同意(コンセンサス)を得られない場合には、ソフトウェアの更新が実行されないため、許諾対象端末を操作するユーザが認識せずに、ソフトウェアを更新するような事態を回避できる。 Further, the software update device and software update control method according to the present embodiment determine not to update the software when the communication device 21 does not receive the permission signal from all the permission target terminals within the permission acceptance period. As a result, if consent (consensus) cannot be obtained from all of the licensed terminals, the software will not be updated. can be avoided.

また、本実施形態に係るソフトウェア更新装置及びソフトウェア更新制御方法は、複数の端末のうち、他の端末から拒否信号を受信した場合には、ソフトウェアの更新を実行しないことを示す信号を一の端末に送信する。これにより、ソフトウェアの更新を許諾したユーザに対して、他のユーザがソフトウェアの更新を拒否したことを通知できる。 Further, in the software update device and software update control method according to the present embodiment, when a rejection signal is received from another terminal among a plurality of terminals, the signal indicating that the software update is not executed is sent to one terminal. Send to This makes it possible to notify the user who has given permission to update the software that another user has refused to update the software.

本実施形態において、配信パッケージは、共通パッケージと識別パッケージの複数パッケージとしたが、1つのパッケージであってもよい。 In this embodiment, the distribution package is a plurality of packages including a common package and an identification package, but may be a single package.

なお本実施形態の変形例として、ソフトウェア更新装置及びソフトウェア更新制御方法は、通信装置21が、許諾受付期間内に、ユーザ端末又は車載端末から拒否信号を受信せず、少なくとも1つの許諾対象端末から許諾信号を受信した場合に、ソフトウェアの更新を実行すると判定してもよい。変形例では、制御装置23は、図4に示す制御フローにおいて以下の制御処理を追加する。ステップS5の判定において、許諾受付期間を経過したと判定された場合(ステップS5の判定結果「Yes」の場合)に、判定部232は、少なくとも1つの許諾対象端末から許諾信号を受信したか否か判定する。少なくとも1つの許諾対象端末から許諾信号を受信した場合には、ステップS6の制御処理が実行される。少なくとも1つの許諾対象端末から許諾信号を受信していないと判定された場合、すなわち、全ての許諾対象端末から許諾信号を受信しておらず、許諾受付期間を経過した場合には、制御フローを終了する。 As a modification of this embodiment, the software update device and the software update control method are such that the communication device 21 does not receive a rejection signal from the user terminal or the vehicle-mounted terminal within the license acceptance period, and It may be determined that the software update is executed when the permission signal is received. In the modified example, the control device 23 adds the following control processing to the control flow shown in FIG. If it is determined in step S5 that the license acceptance period has elapsed (if the determination result in step S5 is "Yes"), the determination unit 232 determines whether or not a license signal has been received from at least one license target terminal. determine whether When the permission signal is received from at least one terminal subject to permission, the control process of step S6 is executed. If it is determined that no permission signal has been received from at least one terminal subject to permission, that is, if permission signals have not been received from all terminals subject to permission and the permission acceptance period has passed, the control flow is executed. finish.

本実施形態における通信装置21が本発明の「通信部」に相当し、データベース22が本発明の「記憶部」に相当する。 The communication device 21 in this embodiment corresponds to the "communication unit" of the invention, and the database 22 corresponds to the "storage unit" of the invention.

≪第2実施形態≫
次に、第2実施形態に係るソフトウェア更新システムについて説明する。第2実施形態に係るソフトウェア更新システムは、上述した第1実施形態に係るソフトウェア更新システムに対して、判定部232の一部の機能が異なる以外は、第1実施形態と同じ構成のため、第1実施形態と同じ構成については、既述の説明を援用する。 <<Second embodiment>>
Next, a software update system according to the second embodiment will be described. The software update system according to the second embodiment has the same configuration as the software update system according to the first embodiment described above, except for some functions of the determination unit 232. For the same configuration as that of the first embodiment, the description given above is used.

本実施形態では、システムに登録されている端末の中から、車両1及び/又はユーザ端末の状態に応じて許諾対象端末を選択する。例えば、システム更新の許諾を得る対象端末として、車両1の車載端末が登録されている場合に、車両1のメインスイッチがオフになっている時には、車載HMI14は、ソフトウェアの更新に関する通知を表示できず、サーバ2は、ソフトウェア更新の許諾/拒否の信号を車両1から受信できない。このような場合に、メインスイッチがオフになっている車載端末が許諾対象端末に含まれていると、全ての許諾対象端末からソフトウェアの更新に関する同意(コンセンサス)を得ることができない。そのため本実施形態では、サーバ2からの更新情報をユーザに通知不可能な状態である端末を、許諾対象端末から除外する。更新情報をユーザに通知不可能な状態は、サーバ2と通信不可能な状態、HMIに含まれるディスプレイで画面表示できない状態等である。 In this embodiment, the terminal to be licensed is selected from among the terminals registered in the system according to the state of the vehicle 1 and/or the user terminal. For example, when the on-vehicle terminal of the vehicle 1 is registered as the target terminal for obtaining permission for system update, and the main switch of the vehicle 1 is turned off, the on-vehicle HMI 14 can display a notification regarding software update. Therefore, the server 2 cannot receive the software update approval/rejection signal from the vehicle 1 . In such a case, if an in-vehicle terminal whose main switch is turned off is included in the license target terminals, it is not possible to obtain agreement (consensus) regarding software update from all the license target terminals. Therefore, in this embodiment, a terminal that cannot notify the user of the update information from the server 2 is excluded from the licensed terminals. The state in which update information cannot be notified to the user includes a state in which communication with the server 2 is not possible, a state in which screen display is not possible on a display included in the HMI, and the like.

図5は、ユーザAのユーザ端末が許諾対象端末として選択され、ユーザBが利用中の車両1の車載端末が許諾対象端末として選択されない場合の制御フローを説明するための図である。図5の例では、車両1のメインスイッチ(イグニッションスイッチ)がオフになっており、車載HMI14のディスプレイの画面表示ができない。 FIG. 5 is a diagram for explaining the control flow when the user terminal of user A is selected as a permitted terminal and the in-vehicle terminal of vehicle 1 being used by user B is not selected as a permitted terminal. In the example of FIG. 5, the main switch (ignition switch) of the vehicle 1 is turned off, and the screen display of the in-vehicle HMI 14 cannot be displayed.

図5の例では、ユーザAが端末HMI32のディスプレイの通知画面から、ソフトウェアの更新が必要であることを確認して、ソフトウェアを更新するために、ユーザ端末3を操作する(ソフトウェア更新操作)。端末制御装置33は、ユーザの操作に応じて端末通信装置31を制御し、ソフトウェアの更新をシステムに要求する要求信号をサーバ2に送信する。サーバ2の通信装置21は要求信号を受信し、制御装置23は、要求信号に基づき、ソフトウェアの更新要求があったことを特定する。判定部232は、ソフトウェアの更新が必要な対象車両と関連付けられた端末の中から許諾対象端末を選択する。具体的には、通信装置21は車両1のメインスイッチの状態信号を受信し、判定部232は、受信された状態信号から、車両1のメインスイッチがオンであるかオフであるか判定する。また、通信装置21はユーザ端末3のメインスイッチの状態信号を受信し、判定部232は、受信された状態信号から、ユーザ端末3のメインスイッチがオンであるかオフであるか判定する。メインスイッチの状態信号は、例えば車両1及びユーザ端末3のメインスイッチのオンとオフが切り替わったタイミングで、車両1及びユーザ端末3からサーバ2に送信されればよい。 In the example of FIG. 5, user A confirms that software update is necessary from the notification screen on the display of terminal HMI 32, and operates user terminal 3 to update the software (software update operation). The terminal control device 33 controls the terminal communication device 31 according to the user's operation, and transmits to the server 2 a request signal requesting the system to update the software. The communication device 21 of the server 2 receives the request signal, and the control device 23 identifies that there is a software update request based on the request signal. The determination unit 232 selects a license target terminal from among the terminals associated with the target vehicle requiring software update. Specifically, the communication device 21 receives a state signal of the main switch of the vehicle 1, and the determination unit 232 determines whether the main switch of the vehicle 1 is on or off from the received state signal. Also, the communication device 21 receives a state signal of the main switch of the user terminal 3, and the determination unit 232 determines whether the main switch of the user terminal 3 is on or off from the received state signal. The state signal of the main switch may be transmitted from the vehicle 1 and the user terminal 3 to the server 2 at the timing when the main switch of the vehicle 1 and the user terminal 3 is switched on and off, for example.

判定部232は、メインスイッチがオンになっている端末を許諾対象端末として選択し、メインスイッチがオフになっている端末を許諾対象端末として選択しない。すなわち、メインスイッチがオフになっている場合には、端末は、ソフトウェアの更新に関する通知信号を受信できない可能性があり、また端末のディスプレイは、ソフトウェアの更新に関する通知画面を表示できない。そのため、このような端末を許諾対象端末として選択しない。図5の例では、ユーザAのユーザ端末3は許諾対象端末として選択され、車両1の車載端末は許諾対象端末として選択されない。制御装置23は、通信装置21を制御し、ソフトウェアの更新に関する通知信号を許諾対象端末に送信する。図5の例では、許諾対象端末はユーザ端末3のみであるが、許諾対象端末が複数ある場合には、制御装置23は複数の許諾対象端末に通信信号を送信するように、通信装置21を制御する。 The determination unit 232 selects a terminal whose main switch is turned on as a terminal to be licensed, and does not select a terminal whose main switch is turned off as a terminal to be licensed. That is, when the main switch is turned off, the terminal may not be able to receive the notification signal regarding the software update, and the display of the terminal cannot display the notification screen regarding the software update. Therefore, such terminals are not selected as licensed terminals. In the example of FIG. 5, the user terminal 3 of the user A is selected as a licensed terminal, and the in-vehicle terminal of the vehicle 1 is not selected as a licensed terminal. The control device 23 controls the communication device 21 and transmits a notification signal regarding the software update to the license target terminal. In the example of FIG. 5, the terminal subject to permission is only the user terminal 3, but if there are a plurality of terminals subject to permission, the control device 23 controls the communication device 21 so as to transmit communication signals to the plurality of terminals subject to permission. Control.

サーバ2からユーザ端末3に通知信号を送信した後の制御フローは、第1実施形態と同様である。車両1の車載端末には通知信号が送信されず、車載HMI14のディスプレイは、ソフトウェアの更新の許諾又は拒否を選択させる選択画面と、免責及び/又は警告に関する通知画面を表示しない。サーバ2の通信装置21がユーザ端末3から許諾信号を受信した場合には、判定部232は、ソフトウェアの更新を実行すると判定する。すなわち、判定部232は、通信装置21が許諾対象端末から許諾信号を受信した場合に、ソフトウェアの更新を実行すると判定する。そして、判定部232によりソフトウェアの更新を実行すると判定した後の制御フローは第1実施形態と同様である。このように、本実施形態では、ソフトウェアの更新に関する通知画面を表示できない端末や、ソフトウェアの更新を許諾するか否か回答を得られない端末を、許諾を得る対象端末から除外し、有効な端末から許諾を得るように構成されている。 The control flow after transmitting the notification signal from the server 2 to the user terminal 3 is the same as in the first embodiment. No notification signal is sent to the in-vehicle terminal of the vehicle 1, and the display of the in-vehicle HMI 14 does not display the selection screen for selecting whether to accept or reject the software update and the notification screen regarding disclaimer and/or warning. When the communication device 21 of the server 2 receives the permission signal from the user terminal 3, the determination unit 232 determines to update the software. That is, the determination unit 232 determines that the software update is to be executed when the communication device 21 receives the permission signal from the permission target terminal. The control flow after the determining unit 232 determines to execute software update is the same as in the first embodiment. As described above, in this embodiment, a terminal that cannot display a notification screen regarding software update or a terminal that cannot obtain an answer as to whether or not to approve the software update is excluded from the target terminals for which approval is obtained. It is configured to obtain permission from

以上のとおり、本実施形態に係るソフトウェア更新装置及びソフトウェア更新制御方法は、ソフトウェアの更新の許諾を得る対象とする許諾対象端末を複数の端末の中から選択し、通信装置21が許諾対象端末から許諾信号を受信した場合に、ソフトウェアの更新を実行すると判定する。これにより、ソフトウェアの更新を許諾するか否か回答できる端末から同意(コンセンサス)を得たことを条件に、ソフトウェアを更新できるため、許諾対象端末を操作するユーザが認識せずに、ソフトウェアを更新するような事態を回避できる。 As described above, the software update device and the software update control method according to the present embodiment select a license target terminal from among a plurality of terminals for which permission for software update is obtained, and the communication device 21 If the permission signal is received, it is determined that the software is to be updated. As a result, software can be updated on the condition that consent (consensus) has been obtained from terminals that can answer whether or not to allow software updates. You can avoid situations like this.

また本実施形態に係るソフトウェア更新装置及びソフトウェア更新制御方法は、複数の端末のうち、更新情報をユーザに通知可能な状態である端末を許諾対象端末として選択し、前記更新情報をユーザに通知不可能な状態である端末を許諾対象端末として選択しない。これにより、ソフトウェアの更新を許諾するか否か回答できない端末を、許諾を得る対象端末から除外できる。 In addition, the software update device and software update control method according to the present embodiment select, from among a plurality of terminals, a terminal capable of notifying the user of update information as a licensed terminal, Do not select a terminal that is in the enabled state as a licensed terminal. As a result, a terminal that cannot answer whether or not to approve the update of the software can be excluded from the target terminals for which permission is obtained.

なお、本実施形態では、車両1及びユーザ端末3のメインスイッチの状態から、サーバ2と通信可能な状態で接続されているか否かを判定するが、メインスイッチの状態信号の代わりに、例えば、サーバ2から車両1及びユーザ端末3に確認信号を送信し、車両1及びユーザ端末3から応答信号を受信できたか否かで、サーバ2と通信可能な状態で接続されているか否かを判定してもよい。 In this embodiment, it is determined whether or not the vehicle 1 and the user terminal 3 are connected to the server 2 in a communicable state based on the states of the main switches of the vehicle 1 and the user terminal 3. Instead of the state signal of the main switch, for example, A confirmation signal is transmitted from the server 2 to the vehicle 1 and the user terminal 3, and based on whether or not a response signal has been received from the vehicle 1 and the user terminal 3, it is determined whether or not the vehicle is connected to the server 2 in a communicable state. may

また本実施形態の変形例として、ソフトウェア更新装置及びソフトウェア更新制御方法は、車両1の車載端末とユーザ端末3が互いに通信可能な状態で接続されている場合には、車載端末を許諾対象端末として選択し、車両1の車載端末と通信可能な状態で接続されているユーザ端末3を許諾対象端末として選択しない。例えば、メインスイッチがオンになっている車内において、ユーザ端末3が車内のホットスポットに接続している場合には、ユーザは、車載HMI14のディスプレイで、ソフトウェアの更新に関する通知画面を確認できるため、ユーザ端末3のディスプレイに通知画面を表示させる必要はない。また車室内のユーザに対して、ユーザ端末3を操作することで許諾/拒否の信号を送信させる必要はない。サーバ2の制御装置23は、車両1、又は、車両1の車載端末と接続している端末から、ユーザ端末が車両1と車載端末と接続していること示す信号を受信することで、車載端末とユーザ端末3が互いに通信可能な状態で接続されているか否か判定すればよい。サーバ2の制御装置23は、車両1の位置情報とユーザ端末3の位置情報から、車載端末とユーザ端末3が互いに通信可能な状態で接続されているか否か判定してもよい。これにより、例えば、ユーザ端末3が車内にあり、車内にあるユーザ端末3と車載端末の両方から、ソフトウェアの更新に関する同意を得る必要ない場合には、車内にあるユーザ端末3を、許諾対象端末から除外できる。なお、車両1の車載端末とユーザ端末3との接続は、有線、又は、Bluetooth(登録商標)やWi-fi等の近距離の無線で接続されればよい。 As a modification of the present embodiment, the software update device and the software update control method are configured such that, when the on-board terminal of the vehicle 1 and the user terminal 3 are connected in a communicable state, the on-board terminal is set as the license target terminal. Select, and do not select the user terminal 3 that is connected to the in-vehicle terminal of the vehicle 1 in a communicable state as a license target terminal. For example, when the user terminal 3 is connected to an in-vehicle hotspot in a vehicle with the main switch turned on, the user can check the notification screen regarding the software update on the display of the in-vehicle HMI 14. It is not necessary to display the notification screen on the display of the user terminal 3. Moreover, it is not necessary to send a consent/refusal signal to the user in the vehicle by operating the user terminal 3 . The control device 23 of the server 2 receives a signal indicating that the user terminal is connected to the vehicle 1 and the in-vehicle terminal from the vehicle 1 or the terminal connected to the in-vehicle terminal of the vehicle 1, thereby and the user terminal 3 are connected in a communicable state. The control device 23 of the server 2 may determine whether or not the in-vehicle terminal and the user terminal 3 are connected in a communicable state from the position information of the vehicle 1 and the position information of the user terminal 3 . As a result, for example, when the user terminal 3 is inside the vehicle and it is not necessary to obtain consent for updating the software from both the user terminal 3 inside the vehicle and the vehicle-mounted terminal, the user terminal 3 inside the vehicle can be used as a licensed terminal. can be excluded from The connection between the in-vehicle terminal of the vehicle 1 and the user terminal 3 may be made by wire or by short-range wireless such as Bluetooth (registered trademark) or Wi-fi.

≪第3実施形態≫
次に、第3実施形態に係るソフトウェア更新システムについて説明する。第3実施形態に係るソフトウェア更新システムは、上述した第1実施形態に係るソフトウェア更新システムに対して、判定部232の一部の機能が異なる以外は、第1実施形態と同じ構成のため、第1実施形態と同じ構成については、第1実施形態及び第2実施形態の記載を援用する。 <<Third Embodiment>>
Next, a software update system according to the third embodiment will be described. The software update system according to the third embodiment has the same configuration as the software update system according to the first embodiment described above, except for some functions of the determination unit 232. The descriptions of the first and second embodiments are used for the same configuration as that of the first embodiment.

本実施形態では、ソフトウェアの更新のために許諾を得る必要のある端末が、許諾必要端末としてシステムに登録されている。許諾を必須として登録された端末から、ソフトウェアの更新に関する許諾を得ることを、ソフトウェア更新開始の必須条件としている。 In this embodiment, a terminal for which permission is required for updating software is registered in the system as a permission-requiring terminal. Obtaining permission for updating software from a terminal registered as requiring permission is an essential condition for starting software update.

ソフトウェア更新システムは、ソフトウェアの更新に関する許諾レベルを分けて、端末情報を登録できる。図6は、許可レベルを示す表である。図6に示すように、許諾レベルは3段階ある。許諾レベルの最も高い「レベル3」では、ソフトウェアの更新に関する通知を受け取ることができ、ソフトウェアの更新の拒否権を有しており、かつ、ソフトウェアの更新の同意が必要な端末として登録される。許諾レベル「レベル3」の端末が許諾必要端末に相当する。許諾レベル「レベル2」では、ソフトウェアの更新に関する通知を受け取ることができ、ソフトウェアの更新の拒否権を有しているが、ソフトウェアの更新の同意は必要ない端末として登録される。許諾レベルの最も低い「レベル1」では、ソフトウェアの更新に関する通知を受け取ることはできるが、ソフトウェアの更新の拒否権を有しておらず、ソフトウェアの更新の同意は必要ない端末として登録される。ユーザは、端末情報をシステムに登録する際に、許諾レベルを選択できる。 The software update system can register terminal information by dividing permission levels regarding software updates. FIG. 6 is a table showing permission levels. As shown in FIG. 6, there are three permission levels. At "Level 3", the highest authorization level, a terminal can receive notifications regarding software updates, has the right to refuse software updates, and is registered as a terminal that requires consent to software updates. A terminal with permission level “level 3” corresponds to a permission-required terminal. At permission level "Level 2", the terminal is registered as a terminal that can receive notifications regarding software updates, has the right to refuse software updates, but does not require consent for software updates. At "Level 1", the lowest permission level, users can receive notifications about software updates, but they do not have the right to refuse software updates and are registered as terminals that do not require consent for software updates. A user can select a permission level when registering terminal information in the system.

通信装置21が許諾レベル3の全ての端末から許諾信号を受信した場合には、「ソフトウェアの更新を実行する」と判定する。一方、通信装置21が許諾レベル2以上の少なくとも1つの端末から拒否信号を受信した場合、又は、通信装置21が許諾レベル3の少なくとも1つの端末から許諾信号を受信していない場合には、判定部232は「ソフトウェアの更新を実行しない」と判定する。これにより、ソフトウェアの更新のために許諾を得る必要のある全ての端末から同意(コンセンサス)を得たことを条件に、ソフトウェアを更新する。 When the communication device 21 receives permission signals from all the terminals of permission level 3, it determines that "software update is to be executed". On the other hand, if the communication device 21 has received a rejection signal from at least one terminal of permission level 2 or higher, or if the communication device 21 has not received a permission signal from at least one terminal of permission level 3, the decision The unit 232 determines that "software update is not executed". As a result, software is updated on the condition that consent (consensus) has been obtained from all terminals that need to obtain permission for updating software.

以上のとおり、本実施形態に係るソフトウェア更新装置及びソフトウェア更新制御方法は、ソフトウェアの更新のために許諾を得る必要のある許諾必要端末(「レベル3」の端末に相当)の情報をデータベース22に記憶し、通信装置21が全ての許諾必要端末から許諾信号を受信した場合に、ソフトウェアの更新を実行すると判定する。これにより、全ての許諾必要端末からの同意(コンセンサス)を得たことを条件に、ソフトウェアを更新できるため、許諾必要端末を操作するユーザが認識せずに、ソフトウェアを更新するような事態を回避できる。 As described above, the software update device and software update control method according to the present embodiment store information on license-requiring terminals (equivalent to "level 3" terminals) for which approval is required for updating software in the database 22. When the communication device 21 receives permission signals from all permission-required terminals, it determines to execute the software update. As a result, software can be updated on the condition that consent (consensus) has been obtained from all terminals that require permission, so it is possible to avoid situations in which users who operate terminals that require permission update software without their knowledge. can.

また本実施形態に係るソフトウェア更新装置及びソフトウェア更新制御方法は、通信装置21が複数の端末のうち許諾必要端末以外の端末(「レベル2」の端末に相当)から拒否信号を受信した場合には、ソフトウェアの更新を実行しないと判定する。これにより、ソフトウェアの拒否権限を有するユーザがソフトウェアを更新したくない場合には、そのユーザの意思を反映されるため、ユーザの利便性を高めることができる。 Further, in the software update device and software update control method according to the present embodiment, when the communication device 21 receives a rejection signal from a terminal other than a license-requiring terminal (corresponding to a "level 2" terminal) among a plurality of terminals, , it is determined that the software update is not executed. As a result, when a user who has software refusal authority does not want to update software, the user's intention is reflected, so that convenience for the user can be improved.

なお本実施形態において、許諾レベルは3段階にしたが、例えば「レベル2」と「レベル3」の2段階にしてもよく、あるいは4段階以上にしてもよい。 In this embodiment, three permission levels are used, but for example, two levels of "level 2" and "level 3" may be used, or four or more levels may be used.

なお、以上に説明した実施形態は、本発明の理解を容易にするために記載されたものであって、本発明を限定するために記載されたものではない。したがって、上記の実施形態に開示された各要素は、本発明の技術的範囲に属する全ての設計変更や均等物をも含む趣旨である。 It should be noted that the embodiments described above are described to facilitate understanding of the present invention, and are not described to limit the present invention. Therefore, each element disclosed in the above embodiments is meant to include all design changes and equivalents that fall within the technical scope of the present invention.

1…車両
2…サーバ
3…ユーザ端末
4…無線通信回線網
11…CGW
12…車載通信装置
13…ECU
14…車載HMI
21…通信装置
22…データベース
23…制御装置
31…端末通信装置
32…端末HMI
33…端末制御装置
100…ソフトウェア更新システム
231…更新データ管理部
232…判定部 Reference Signs List 1 Vehicle 2 Server 3 User terminal 4 Wireless communication network 11 CGW
12... In-vehicle communication device 13... ECU
14... In-vehicle HMI
21... Communication device 22... Database 23... Control device 31... Terminal communication device 32... Terminal HMI
33... Terminal control device 100... Software update system 231... Update data management unit 232... Judgment unit

Claims (12)

車両用のソフトウェアの更新前に、前記ソフトウェアの更新に関する更新情報を通知する通知信号を複数の端末に送信する通信部と、
前記ソフトウェアの更新を実行するか否かを判定する判定部とを備え、
前記判定部は、前記通信部が、前記複数の端末のうち一の端末から前記ソフトウェアの更新を許諾する許諾信号を受信し、前記複数の端末のうち他の端末から前記ソフトウェアの更新を拒否する拒否信号を受信しない場合には、前記ソフトウェアの更新を実行すると判定するソフトウェア更新装置。 a communication unit configured to transmit, to a plurality of terminals, a notification signal for notifying update information regarding the update of the software before updating the software for the vehicle;
A determination unit that determines whether to update the software,
The determining unit receives, from one of the plurality of terminals, a permission signal for permitting the update of the software from one of the plurality of terminals, and rejects the update of the software from another terminal of the plurality of terminals. A software updating device that determines to update the software if a rejection signal is not received. 請求項1記載のソフトウェア更新装置であって、
前記判定部は、前記通信部が、前記ソフトウェアの更新の許諾を受け付ける許諾受付期間内に、前記他の端末から前記拒否信号を受信しない場合には、前記ソフトウェアの更新を実行すると判定するソフトウェア更新装置。 The software update device according to claim 1,
The determination unit determines that the software update is to be executed when the communication unit does not receive the rejection signal from the other terminal within a license acceptance period for accepting the license to update the software. Device. 請求項1又は2記載のソフトウェア更新装置であって、
前記判定部は、前記通信部が、前記通知信号の送信先となる全ての前記端末から前記許諾信号を受信した場合に、前記ソフトウェアの更新を実行すると判定するソフトウェア更新装置。 The software update device according to claim 1 or 2,
The software updating device, wherein the determination unit determines to update the software when the communication unit receives the permission signal from all the terminals to which the notification signal is to be transmitted. 請求項1~3のいずれか一項に記載のソフトウェア更新装置であって、
前記判定部は、前記通信部が、前記通知信号の送信先となる前記複数の端末のうち少なくとも1つの前記端末から前記拒否信号を受信した場合には、前記ソフトウェアの更新を実行しないと判定するソフトウェア更新装置。 The software update device according to any one of claims 1 to 3,
The determination unit determines not to update the software when the communication unit receives the rejection signal from at least one of the plurality of terminals to which the notification signal is sent. Software update device. 請求項2記載のソフトウェア更新装置であって、
前記判定部は、前記通信部が、前記許諾受付期間内に、前記通知信号の送信先となる全ての前記端末から前記許諾信号を受信しない場合に、前記ソフトウェアの更新を実行しないと判定するソフトウェア更新装置。 The software update device according to claim 2,
software for determining that the software is not to be updated when the communication unit does not receive the permission signal from all the terminals to which the notification signal is to be sent within the permission acceptance period. update device. 請求項1~5のいずれか一項に記載のソフトウェア更新装置であって、
前記判定部は、
前記ソフトウェアの更新の許諾を得る対象とする許諾対象端末を前記複数の端末の中から選択し、
前記通信部が前記許諾対象端末から前記許諾信号を受信した場合に、前記ソフトウェアの更新を実行すると判定するソフトウェア更新装置。 The software update device according to any one of claims 1 to 5,
The determination unit is
selecting a licensed terminal from among the plurality of terminals for which permission for updating the software is to be obtained;
A software update device that determines to update the software when the communication unit receives the permission signal from the terminal subject to permission. 請求項6記載のソフトウェア更新装置であって、
前記判定部は、
前記複数の端末のうち、前記更新情報をユーザに通知可能な状態である端末を前記許諾対象端末として選択し、前記更新情報をユーザに通知不可能な状態である端末を前記許諾対象端末として選択しないソフトウェア更新装置。 The software update device according to claim 6,
The determination unit is
Among the plurality of terminals, a terminal capable of notifying the user of the update information is selected as the terminal subject to permission, and a terminal not capable of notifying the user of the update information is selected as the terminal subject to permission. Not a software updater. 請求項6又は7記載のソフトウェア更新装置であって、
前記複数の端末は、前記車両に搭載される車載端末と、前記車載端末とは異なるユーザ端末を含み、
前記判定部は、前記車載端末と前記ユーザ端末が互いに通信可能な状態で接続されている場合には、前記車載端末を前記許諾対象端末として選択し、前記車載端末と通信可能な状態で接続されている前記ユーザ端末を前記許諾対象端末として選択しないソフトウェア更新装置。 The software update device according to claim 6 or 7,
The plurality of terminals includes an in-vehicle terminal mounted in the vehicle and a user terminal different from the in-vehicle terminal,
When the in-vehicle terminal and the user terminal are communicably connected to each other, the determination unit selects the in-vehicle terminal as the permission target terminal, and selects the in-vehicle terminal to be connected to the in-vehicle terminal in a communicable state. a software update device that does not select the user terminal that is currently in use as the licensed terminal. 請求項1~8のいずれか一項に記載のソフトウェア更新装置であって、
前記通信部は、前記他の端末から前記拒否信号を受信した場合には、前記ソフトウェアの更新を実行しないことを示す信号を前記一の端末に送信するソフトウェア更新装置。 The software update device according to any one of claims 1 to 8,
The software update device, wherein the communication unit transmits a signal indicating that the update of the software is not executed to the one terminal when the rejection signal is received from the other terminal. 請求項1~9のいずれか一項に記載のソフトウェア更新装置であって、
前記ソフトウェアの更新のために許諾を得る必要のある許諾必要端末の情報を記憶する記憶部を有し、
前記判定部は、前記通信部が全ての前記許諾必要端末から前記許諾信号を受信した場合に、前記ソフトウェアの更新を実行すると判定するソフトウェア更新装置。 The software update device according to any one of claims 1 to 9,
having a storage unit for storing information of a permission-requiring terminal for which permission must be obtained for updating the software;
The software updating device, wherein the determination unit determines to update the software when the communication unit receives the permission signal from all of the permission-requiring terminals. 請求項10記載のソフトウェア更新装置であって、
前記判定部は、前記通信部が、前記複数の端末のうち、前記許諾必要端末以外の端末から前記拒否信号を受信した場合には、前記ソフトウェアの更新を実行しないと判定するソフトウェア更新装置。 The software update device according to claim 10,
The software updating device, wherein the determination unit determines not to update the software when the communication unit receives the rejection signal from a terminal other than the permission-requiring terminal among the plurality of terminals. 車両に含まれるソフトウェアの更新を制御するプロセッサにより実行されるソフトウェア更新制御方法であって、
前記プロセッサは、
車両用のソフトウェアの更新前に、前記ソフトウェアの更新に関する更新情報を通知する通知信号を複数の端末に送信し、
通信部が、前記複数の端末のうち一の端末から前記ソフトウェアの更新を許諾する許諾信号を受信し、前記複数の端末のうち他の端末から前記ソフトウェアの更新を拒否する拒否信号を受信しない場合には、前記ソフトウェアの更新を実行すると判定するソフトウェア更新制御方法。 A software update control method executed by a processor controlling update of software included in a vehicle, comprising:
The processor
before updating software for a vehicle, transmitting a notification signal to a plurality of terminals for notifying update information regarding the update of the software;
When the communication unit receives a permission signal permitting the update of the software from one of the plurality of terminals and does not receive a rejection signal rejecting the update of the software from another terminal among the plurality of terminals. A software update control method for determining to execute update of the software.
JP2021122306A 2021-07-27 2021-07-27 Software update device and software update control method Active JP7739811B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2021122306A JP7739811B2 (en) 2021-07-27 2021-07-27 Software update device and software update control method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021122306A JP7739811B2 (en) 2021-07-27 2021-07-27 Software update device and software update control method

Publications (2)

Publication Number Publication Date
JP2023018286A true JP2023018286A (en) 2023-02-08
JP7739811B2 JP7739811B2 (en) 2025-09-17

Family

ID=85158151

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021122306A Active JP7739811B2 (en) 2021-07-27 2021-07-27 Software update device and software update control method

Country Status (1)

Country Link
JP (1) JP7739811B2 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010277397A (en) * 2009-05-29 2010-12-09 Brother Ind Ltd Peripheral device, program, and network system
JP2020132042A (en) * 2019-02-22 2020-08-31 株式会社デンソー Center device, data distribution system and distribution control program
JP2020176974A (en) * 2019-04-22 2020-10-29 本田技研工業株式会社 Software update device, software update system, and software update method

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010277397A (en) * 2009-05-29 2010-12-09 Brother Ind Ltd Peripheral device, program, and network system
JP2020132042A (en) * 2019-02-22 2020-08-31 株式会社デンソー Center device, data distribution system and distribution control program
JP2020176974A (en) * 2019-04-22 2020-10-29 本田技研工業株式会社 Software update device, software update system, and software update method

Also Published As

Publication number Publication date
JP7739811B2 (en) 2025-09-17

Similar Documents

Publication Publication Date Title
US11934823B2 (en) Electronic control system for vehicle, program update approval determination method and program update approval determination program
US11709666B2 (en) Electronic control system for vehicle, program update approval determination method and program update approval determination program
JP7318230B2 (en) Center equipment, data distribution system and distribution control program
JP7647894B2 (en) Software update device, software update system, and software update method
CN111355701A (en) Policy and token based authorization framework for connectivity
US11614930B2 (en) Center device, vehicle electronic control system, program update progress control method, and program update progress control program
US9201843B2 (en) Control device
JP6837508B2 (en) Vehicle control system
JP2017105309A (en) In-vehicle communication device, in-vehicle communication system, and vehicle specific processing prohibition method
CN113424561B (en) Method for controlling data exchange, control device and motor vehicle
US20250381846A1 (en) Vehicle control system, vehicle control method, and storage medium thereof
JP2026015439A (en) Vehicle and software update system
JP2025105856A (en) Software update device, software update system, and software update method
JP2023018286A (en) Software update apparatus and software update control method
US12275372B2 (en) Control apparatus, control method, and storage medium
JPWO2023007577A5 (en)
JP2025134522A (en) Method, information processing device and program
CN113010893B (en) Software management method, device and system
CN118585213A (en) Vehicle software management system, vehicle software management method, and non-transitory storage medium
JP2024127751A (en) VEHICLE AUTHENTICATION SYSTEM, VEHICLE AUTHENTICATION METHOD, AND VEHICLE AUTHENTICATION PROGRAM
JP2025148730A (en) Program update system and display control method
JP2024127753A (en) VEHICLE CONTROL SYSTEM, VEHICLE CONTROL METHOD, AND VEHICLE CONTROL PROGRAM
JP2024127752A (en) VEHICLE CONTROL SYSTEM, VEHICLE CONTROL METHOD, AND VEHICLE CONTROL PROGRAM
WO2024185445A1 (en) Vehicle authentication system, vehicle authentication method, and vehicle authentication program
CN117784650A (en) Control device and control method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20240514

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20250221

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20250401

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20250527

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20250805

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20250818

R150 Certificate of patent or registration of utility model

Ref document number: 7739811

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150