车载更新装置和更新处理程序的制作方法

1.本公开涉及车载更新装置和更新处理程序。
2.本技术主张基于2019年11月19日申请的日本技术第2019－208892号的优先权，援引所述日本技术中记载的全部记载内容。


背景技术：

3.在车辆中，搭载有用于控制发动机控制等的动力传动系统、空调控制等的车身系统等车载设备的车载ecu(electronic control unit：电子控制单元)。车载ecu包括mpu(micro processing unit：微处理单元)等运算处理部、eeprom(electrically erasable programmable rom：电可擦除可编程rom)或者闪存存储器等能够改写的非易失性的存储部及用于与其他车载ecu进行通信的通信部。车载ecu通过读入在存储部中存储的控制程序来执行，从而进行车载设备的控制。进一步地，在车辆中，安装有具备无线通信的功能的中继装置(车载更新装置)，经由中继装置，与连接于车外的网络的程序提供装置进行通信。通过从该程序提供装置下载(接收)车载ecu的控制程序，从而能够更新该车载ecu的控制程序(例如参照专利文献1)。
4.现有技术文献
5.专利文献
6.专利文献1：日本特开2017－97851号公报


技术实现要素：

7.本公开的一种方式的车载更新装置具备对更新程序向搭载于车辆的车载ecu的应用进行控制的控制部，在将保存于所述车辆内的预定的存储区域的所述更新程序应用于作为更新对象的车载ecu时，所述控制部尝试进行与所述车辆外的外部服务器的通信，在与所述外部服务器的通信成功的情况下，在能够取得与所述更新程序的中止相关的信息的情况下，中止所述更新程序向所述作为更新对象的车载ecu的应用，在无法取得与所述中止相关的信息的情况下，进行所述更新程序向所述作为更新对象的车载ecu的应用，在与所述外部服务器的通信失败的情况下，进行所述更新程序向所述作为更新对象的车载ecu的应用。
附图说明
8.图1是示出实施方式1的车载更新系统的结构的示意图。
9.图2是示出实施方式1的车载更新装置的结构的框图。
10.图3是示出识别信息表格的内容例的概念图。
11.图4是示出由车载更新装置实施的作为更新对象的车载ecu的程序更新的一种方式的说明图(时序图)。
12.图5是示例出车载更新装置的控制部进行的更新程序的应用所涉及的处理的主例程的流程图。
13.图6是示例出与外部服务器的通信试行的子例程所涉及的控制部的处理次序的流程图。
具体实施方式
14.[本公开所要解决的课题]
[0015]
然而，专利文献1的中继装置在将控制程序下载到车辆之后，在直至由该控制程序对作为更新对象的车载ecu进行应用(激活)的时刻为止的期间内，未进行关于从程序提供装置进行了与控制程序的应用的中止相关的通知的情况下的应对措施的考虑。
[0016]
本公开是鉴于上述情形而完成的，其目的在于，提供如下车载更新装置等：在将控制程序下载到车辆之后，在直至该控制程序应用于作为更新对象的车载ecu的时刻为止的期间内，在从程序提供装置进行了与控制程序的应用的中止相关的通知的情况下，能够适当地应对。
[0017]
[本公开的效果]
[0018]
根据本公开的一种方式，在将控制程序下载到车辆之后，在直至该控制程序应用于作为更新对象的车载ecu的时刻为止的期间内，在从程序提供装置进行了与控制程序的应用的中止相关的通知的情况下，能够适当地应对。
[0019]
[本公开的实施方式的说明]
[0020]
首先，列举本公开的实施方式来进行说明。另外，也可以将以下记载的实施方式的至少一部分任意地组合。
[0021]
(1)本公开的一种方式的车载更新装置具备对更新程序向搭载于车辆的车载ecu的应用进行控制的控制部，在将保存于所述车辆内的预定的存储区域的所述更新程序应用于作为更新对象的车载ecu时，所述控制部尝试进行与所述车辆外的外部服务器的通信，在与所述外部服务器的通信成功的情况下，在能够取得与所述更新程序的中止相关的信息的情况下，中止所述更新程序向所述作为更新对象的车载ecu的应用，在无法取得与所述中止相关的信息的情况下，进行所述更新程序向所述作为更新对象的车载ecu的应用，在与所述外部服务器的通信失败的情况下，进行所述更新程序向所述作为更新对象的车载ecu的应用。
[0022]
在本方式中，在将更新程序保存于车辆内的预定的存储区域之后，为了确认在外部服务器中是否保持有与该更新程序的中止相关的信息，控制部尝试进行与外部服务器的通信。因此，在发觉已经保存的更新程序有问题、并且在外部服务器中保持(准备)有与该更新程序的中止相关的信息的情况下，能够取得与该中止相关的信息。更新程序例如从外部服务器取得。在与外部服务器的通信成功的情况下，并且在能够取得与所保存的更新程序的中止相关的信息的情况下，控制部中止更新程序的应用。在与外部服务器的通信成功的情况下，并且在无法取得与所保存的更新程序的中止相关的信息的情况下，控制部进行更新程序的应用。因此，能够防止将与中止相关的信息所涉及的更新程序应用于作为更新对象的车载ecu。在与外部服务器的通信失败的情况下，控制部进行所保存的更新程序向作为更新对象的车载ecu的应用。因此，即使在无法进行与外部服务器的通信的状况持续的情况下，也能够进行更新程序向作为更新对象的车载ecu的应用，谋求该作为更新对象的车载ecu所使用的程序的合适化。车辆内的预定的存储区域包括车载更新装置的存储部、车载
ecu的存储部或者能够从车载更新装置进行访问的存储装置。
[0023]
(2)关于本公开的一种方式的车载更新装置，与所述外部服务器的通信包括经由设置于所述车辆且与本装置连接的车外通信装置的通信及经由与所述本装置连接的便携终端的通信，所述车外通信装置的通信相对于所述便携终端的通信优先地进行，在所述车外通信装置和所述便携终端这两者的通信失败的情况下，所述控制部进行所述更新程序向所述作为更新对象的车载ecu的应用。
[0024]
在本方式中，控制部(车载更新装置)与外部服务器的通信经由车外通信装置或者便携终端来进行。因此，即使在车辆处于车外通信装置的通信网的服务区外的情况下，也能够使用便携终端的通信网来尝试进行与外部服务器的通信。车外通信装置的通信相对于便携终端的通信优先地进行。在确立车外通信装置与外部服务器的通信的情况下，控制部通过经由车外通信装置而与外部服务器进行通信，从而能够不使用便携终端的带宽而进行与外部服务器的通信。另外，能够不消耗由便携终端确定了上限值的通信量而进行与外部服务器的通信。控制部在车外通信装置和便携终端这两者的通信失败的情况下，进行所保存的更新程序向作为更新对象的车载ecu的应用。因此，即使在无法进行与外部服务器的通信的状况持续的情况下，也能够进行更新程序向作为更新对象的车载ecu的应用，谋求该作为更新对象的车载ecu所使用的程序的合适化。
[0025]
(3)关于本公开的一种方式的车载更新装置，在所述车辆内的预定的存储区域中，存储有用于识别所述便携终端的识别信息，所述识别信息与所述车辆的车辆识别号码建立关联而存储于所述外部服务器能够参照的存储区域中，所述控制部基于所述识别信息来确立与所述便携终端的通信。
[0026]
在本方式中，在车辆内的预定的存储区域中，存储有用于识别便携终端的识别信息。车载更新装置为了经由便携终端而与外部服务器进行通信，例如在进行与便携终端的配对时，能够基于该识别信息来确认作为配对对象的便携终端的正当性。能够确保车载更新装置与便携终端的配对中的安全性。识别信息与车辆的车辆识别号码建立关联地存储于外部服务器能够参照的存储区域中。外部服务器在被进行了经由便携终端的来自车载更新装置的通信的情况下，能够基于搭载车载更新装置的车辆的车辆识别号码与便携终端的识别信息的组合来判断该便携终端的正当性。能够确保外部服务器与车载更新装置的经由便携终端的通信中的安全性。外部服务器能够参照的存储区域包括外部服务器的存储部或者能够从外部服务器进行访问的存储装置。
[0027]
(4)关于本公开的一种方式的车载更新装置，在所述车辆内的预定的存储区域中，存储有被赋予了与所述外部服务器的通信中的优先位次的多个所述识别信息，所述控制部进行的经由所述便携终端与所述外部服务器通信的尝试基于所述优先位次来进行。
[0028]
在本方式中，即使在由乘用人员将多个便携终端带入到车辆内的情况下，控制部也参照例如本装置的存储部等车辆内的预定的存储区域，读出优先位次，基于该优先位次而经由某一个便携终端尝试进行与外部服务器的通信。因此，能够抑制同时确立由多个便携终端分别实施的与外部服务器的多个通信，防止在车载更新装置与外部服务器之间发生拥挤。
[0029]
(5)关于本公开的一种方式的车载更新装置，在将所述更新程序应用于所述作为更新对象的车载ecu时，所述控制部输出构成确认画面的确认画面数据，所述确认画面用于
确认是否需要应用，当在所述确认画面中进行了需要应用的输入的情况下，进行所述更新程序向所述作为更新对象的车载ecu的应用，在未取得与所述中止相关的信息的情况和与所述外部服务器的通信失败的情况下，所输出的所述确认画面数据不同。
[0030]
在本方式中，控制部输出构成用于确认是否需要应用更新程序的确认画面的确认画面数据。在该确认画面数据中，在与外部服务器的通信成功且无法取得与所保存的更新程序的中止相关的信息的情况和与外部服务器的通信失败的情况下，所输出的内容不同。因此，根据这些情况而输出不同的确认画面数据，从而能够对车辆的操作者等、关于是否需要应用更新程序的确认者提供适当的信息。
[0031]
(6)关于本公开的一种方式的车载更新装置，在取得与所述中止相关的信息的情况下，所述控制部输出构成通知画面的通知画面数据，所述通知画面用于通知中止所述更新程序向所述作为更新对象的车载ecu的应用这一内容。
[0032]
在本方式中，在取得与所保存的更新程序的中止相关的信息的情况下，控制部输出构成用于通知中止该更新程序向作为更新对象的车载ecu的应用这一内容的通知画面的通知画面数据。通过输出通知画面数据，从而能够对车辆的乘用人员通知该更新程序的应用的中止。
[0033]
(7)关于本公开的一种方式的车载更新装置，在与所述外部服务器的通信失败的情况下，在进行所述更新程序向所述作为更新对象的车载ecu的应用时，所述控制部保存所述作为更新对象的车载ecu的当前时刻下的程序。
[0034]
在本方式中，在与外部服务器的通信失败的情况下，在进行更新程序的应用的时刻下，无法确认有没有与该更新程序的中止相关的信息。控制部在进行更新程序的应用时，进行用于保存作为更新对象的车载ecu的当前时刻下的程序、即成为更新程序的以前版本的程序的处理。因此，在与外部服务器的通信失败的情况下，当在该应用之后取得与应用于作为更新对象的车载ecu的更新程序的中止相关的信息时，控制部能够使用所保存的上述当前时刻下的程序来进行回滚处理。
[0035]
(8)关于本公开的一种方式的车载更新装置，在进行了所述更新程序向所述作为更新对象的车载ecu的应用的情况下，所述控制部在所述车辆内的预定的存储区域中保存将表示进行了所述更新程序向所述作为更新对象的车载ecu的应用的信息和关于与所述外部服务器的通信是否正确的信息建立关联地记录的历史信息。
[0036]
在本方式中，所保存的更新程序向作为更新对象的车载ecu的应用在与外部服务器的通信成功且无法取得与该更新程序的中止相关的信息的情况下和与外部服务器的通信失败的情况下进行。与此相对地，在进行了更新程序向作为更新对象的车载ecu的应用的情况下，在预定的存储区域中保存将表示进行了向作为更新对象的车载ecu的应用的信息和关于与外部服务器的通信是否正确的信息建立关联地记录的历史信息。因此，能够将在哪种情况下实施了该更新程序向作为更新对象的车载ecu的应用存储为历史信息，能够确保与车载ecu的程序的更新相关的可追溯性。
[0037]
(9)本公开的一种方式的更新处理程序使计算机执行如下处理：在将保存于车辆内的预定的存储区域的更新程序应用于作为更新对象的车载ecu时，尝试进行与所述车辆外的外部服务器的通信，在与所述外部服务器的通信成功的情况下，在能够取得与所述更新程序的中止相关的信息的情况下，中止所述更新程序向所述作为更新对象的车载ecu的
应用，在无法取得与所述中止相关的信息的情况下，进行所述更新程序向所述作为更新对象的车载ecu的应用，在与所述外部服务器的通信失败的情况下，进行所述更新程序向所述作为更新对象的车载ecu的应用。
[0038]
在本方式中，能够使计算机作为本公开的一种方式的车载更新装置发挥功能。
[0039]
[本公开的实施方式的详细内容]
[0040]
基于表示本公开的实施方式的附图来具体说明本公开。下面，参照附图，说明本公开的实施方式的车载更新装置2。此外，本公开不限定于这些示例，而是通过权利要求书来表示，旨在包括与权利要求书等同的含义和范围内的全部变更。
[0041]
(实施方式1)
[0042]
下面，基于附图来说明实施方式。图1是示出实施方式1的车载更新系统s的结构的示意图。图2是示出实施方式1的车载更新装置2的结构的框图。
[0043]
车载更新系统s包括搭载于车辆c的第1车外通信装置1a、第2车外通信装置1b和车载更新装置2及便携终端8。另外，通过将从经由车外网络n连接的外部服务器(程序提供装置)100取得的更新程序应用于搭载于车辆c的车载ecu(车载控制装置)3，从而进行车载ecu3的程序更新。
[0044]
外部服务器100是连接于例如因特网或者公共线路网等车外网络n的服务器等计算机，具备由ram、rom(read only memory：只读存储器)或者硬盘等形成的存储部110。在外部服务器100中，将由车载ecu3的制造商等制作的用于控制该车载ecu3的程序或者数据保存于存储部110。将该程序或者数据作为更新程序发送给车辆c，用于更新搭载于车辆c的车载ecu3的程序或者数据。在存储部110中，保存与更新程序的中止相关的信息。与更新程序的中止相关的信息例如在发觉更新程序有问题的情况下保存(准备)，从外部服务器100发送给车辆c。这样构成的外部服务器100也称为ota(over the air：空中)服务器。与更新程序的中止相关的信息也可以保存于例如外部服务器100能够进行通信的未图示的计算机的由非易失性存储器构成的存储部。搭载于车辆c的车载ecu3通过将从外部服务器100通过无线通信发送的更新程序作为所执行的程序来应用，从而能够更新(重编)本ecu执行的程序。更新程序也可以由车载ecu3从例如车载ecu3可读的记录介质读出。在外部服务器100的存储部110中，存储有将车辆c的车辆识别号码(vin，vehicle identification number)与后述的识别信息212建立关联地记录的车辆db(数据库)111。
[0045]
在车辆c中，搭载有第1车外通信装置1a、第2车外通信装置1b、显示装置5、ig(点火)开关6、输入装置7及用于控制各种车载设备的多个车载ecu3。车载更新装置2与第1车外通信装置1a和第2车外通信装置1b例如通过串行缆线等导线线束以能够进行通信的方式连接。车载更新装置2和车载ecu3通过与can(control area network/注册商标)或者以太网(ethernet/注册商标)等通信协议对应的车内lan4以能够进行通信的方式连接。
[0046]
第1车外通信装置1a和第2车外通信装置1b分别包括车外通信部(未图示)及用于与车载更新装置2进行通信的输入输出i/f(接口/未图示)。车外通信部是用于使用3g、lte、4g、5g、wi－fi(注册商标)或者bluetooth(蓝牙)(注册商标)等移动通信的协议来进行无线通信的通信装置。第1车外通信装置1a的车外通信部例如使用3g、lte、4g或者5g来进行无线通信，经由连接于该车外通信部的天线11a，与外部服务器100进行通信(数据的发送接收)。第1车外通信装置1a与外部服务器100的通信经由例如公共线路网或者因特网等车外网络n
进行。第1车外通信装置1a与车载更新装置2稳定地连接，相当于技术方案中的车外通信装置。
[0047]
第2车外通信装置1b的车外通信部使用wi－fi(注册商标)或者bluetooth(注册商标)来进行无线通信，经由连接于该车外通信部的天线11b，与后述的便携终端8进行通信。即使在车辆c处于第1车外通信装置1a的通信网的服务区外的情况下，车载更新装置2也能够使用便携终端8的通信网来尝试进行与外部服务器100的通信。经由第1车外通信装置1a的车载更新装置2与外部服务器100的通信(不经由便携终端8的车载更新装置2与外部服务器100的通信)相对于经由便携终端8的车载更新装置2与外部服务器100的通信优先地进行。在确立经由第1车外通信装置1a的车载更新装置2与外部服务器100的通信的情况下，车载更新装置2能够不使用便携终端8的带宽而进行与外部服务器100的通信。另外，能够不消耗由便携终端8确定了上限值的通信量而进行与外部服务器100的通信。第1车外通信装置1a和第2车外通信装置1b中的一方也可以进行与外部服务器100的通信及与便携终端8的通信这两者。在该情况下，不需要第1车外通信装置1a和第2车外通信装置1b中的另一方。
[0048]
第1车外通信装置1a的输入输出i/f和第2车外通信装置1b的输入输出i/f是用于与车载更新装置2进行例如串行通信的通信接口。第1车外通信装置1a和第2车外通信装置1b与车载更新装置2经由输入输出i/f及连接于输入输出i/f的串行缆线等导线线束相互进行通信。在本实施方式中，第1车外通信装置1a和第2车外通信装置1b作为与车载更新装置2不同的装置，由输入输出i/f等将这些装置以能够进行通信的方式连接，但不限定于此。第1车外通信装置1a和第2车外通信装置1b也可以作为车载更新装置2的一个构成部位而内置于车载更新装置2。
[0049]
车载更新装置2包括控制部20、存储部21、车内通信部23和输入输出i/f24。车载更新装置2从第1车外通信装置1a取得例如第1车外通信装置1a通过无线通信从外部服务器100接收到的更新程序。车载更新装置2构成为经由车内lan4将该更新程序发送到预定的车载ecu3(作为更新对象的车载ecu3)。车载更新装置2例如是将控制系统的车载ecu3、安全系统的车载ecu3和车身系统的车载ecu3等多个系统的分部归拢而对这些分部之间的车载ecu3彼此的通信进行中继的网关(中继器)。或者，车载更新装置2也可以作为管控车辆c整体的车身ecu的一个功能部而构成。
[0050]
控制部20由cpu(central processing unit：中央处理单元)或者mpu等构成，通过读出预先存储于存储部21的控制程序211和数据来执行，从而进行各种控制处理和运算处理等。
[0051]
控制部20通过执行在存储部21中存储的控制程序211，从而控制更新程序向作为更新对象的车载ecu3的应用。控制部20通过执行在存储部21中存储的控制程序211，从而作为取得与更新程序的中止相关的信息的取得部而发挥功能。控制部20通过执行在存储部21中存储的控制程序211，从而在将更新程序应用于作为更新对象的车载ecu3时，作为尝试进行与外部服务器100的通信的通信试行部而发挥功能。控制部20通过执行在存储部21中存储的控制程序211，从而在将更新程序应用于作为更新对象的车载ecu3时，作为输出构成用于确认是否需要应用的确认画面的确认画面数据的第1输出部而发挥功能。控制部20通过执行在存储部21中存储的控制程序211，从而作为输出构成用于通知中止更新程序向作为更新对象的车载ecu3的应用这一内容的通知画面的通知画面数据的第2输出部而发挥功
能。
[0052]
存储部21由ram等易失性的存储器元件或rom、eeprom(electrically erasable programmable rom：电可擦除可编程rom)、或者闪存存储器等非易失性的存储器元件构成。在存储部21中，预先存储有控制程序211和识别信息212。关于在存储部21中存储的控制程序211，也可以存储有从车载更新装置2可读的记录介质22读出的控制程序211。另外，也可以从连接于未图示的通信网的未图示的外部计算机下载控制程序211，并存储到存储部21中。详细情况在后面叙述，识别信息212是在车载更新装置2与便携终端8进行通信时用于便携终端8的识别的信息，例如是便携终端8的电话号码。在存储部21中，存储历史信息213。在历史信息213中，将表示进行了更新程序向作为更新对象的车载ecu3的应用的信息和关于应用时的与外部服务器100的通信是否正确的信息建立关联地记录。存储部21相当于车辆c内的预定的存储区域。车辆c内的预定的存储区域不限于存储部21，例如也可以是后述的车载ecu3的存储部31或者车辆c内的未图示的由非易失性存储器构成的存储部。
[0053]
车内通信部23是使用can(注册商标)或者ethernet(注册商标)等通信协议的输入输出接口。控制部20经由车内通信部23，与连接于车内lan4的车载ecu3或者其他中继装置等车载设备相互进行通信。车内通信部23设置有多个(在附图上是3个)。分别对车内通信部23连接有构成车内lan4的通信线。通过这样设置多个车内通信部23，从而将车内lan4分成多个分部。根据该车载ecu3的功能(控制系统功能、安全系统功能、车身系统功能)而将车载ecu3分别连接到各分部。
[0054]
输入输出i/f24与第1车外通信装置1a的输入输出i/f和第2车外通信装置1b的输入输出i/f同样地，是用于进行例如串行通信的通信接口。经由输入输出i/f24，车载更新装置2与第1车外通信装置1a、第2车外通信装置1b、显示装置5、ig开关6和输入装置7进行通信。
[0055]
显示装置5例如是汽车导航的显示器等hmi(human machine interface：人机接口)装置。输入装置7例如是汽车导航的触摸面板。显示装置5和输入装置7通过串行缆线等线束，与车载更新装置2的输入输出i/f24以能够进行通信的方式连接。在显示装置5中，显示从车载更新装置2的控制部20经由输入输出i/f24输出的数据或者信息。输入装置7受理来自车辆c的乘用人员例如车辆c的操作者的输入，将输入结果经由输入输出i/f24输出到控制部20。显示装置5和输入装置7与车载更新装置2的连接方式不限定于利用输入输出i/f24的连接方式，显示装置5和输入装置7与车载更新装置2也可以是经由车内lan4的连接方式。
[0056]
ig开关6是切换车辆c的发动机等原动机(未图示)的动作状态的开关。例如，车辆c的操作者将ig开关6从断开切换成接通而启动车辆c，开始车辆c的行驶。其后，终止车辆c的行驶，车辆c的操作者将ig开关6从接通切换成断开，使车辆c停止。ig开关6通过串行缆线等线束，与车载更新装置2的输入输出i/f24以能够进行通信的方式连接。经由输入输出i/f24对车载更新装置2的控制部20通知ig开关6的切换状态(接通或者断开)。例如，经由输入输出i/f24，将表示ig开关6的接通或者断开的信号从ig开关6输入到车载更新装置2的控制部20。ig开关6与车载更新装置2的连接方式不限定于利用输入输出i/f24的连接方式，ig开关6与车载更新装置2也可以是经由车内lan4的连接方式。
[0057]
车载ecu3包括控制部30、存储部31和车内通信部32。存储部31由ram等易失性存储
器元件或rom、eeprom、或者闪存存储器等非易失性的存储器元件构成。在存储部31中，存储有车载ecu3的程序或者数据。该程序或者数据是通过从车载更新装置2发送的更新程序进行更新的对象。
[0058]
存储部31也可以包括第1存储区域(第1面)和第2存储区域(第2面)。在该情况下，在存储部31中，存储有在现状下车载ecu3执行(应用)的程序(当前版本)及在当前版本以前应用过的程序(旧版本)这2种程序。将这些当前版本的程序与旧版本的程序分开地存储于第1存储区域和第2存储区域中的某一方的存储区域。即，当在第1存储区域中存储有当前版本的程序的情况下，在第2存储区域中存储有旧版本的程序。当在第1存储区域中存储有旧版本的程序的情况下，在第2存储区域中存储有当前版本的程序。存储部31在包括第1存储区域和第2存储区域的情况下，这样将当前版本和旧版本这2种程序存储为所谓的双面形式。因此，即使在万一当前版本的程序产生问题的情况下，控制部30通过读入以前应用过的正常进行动作的旧版本的程序来执行(切换)，也能够确保车载ecu3的可靠性。下面，将存储部31包括第1存储区域和第2存储区域的情况称为存储部31是双面形式的情况，将存储部31仅包括第1存储区域和第2存储区域中的一方的情况称为存储部31是单面形式的情况。
[0059]
在存储部31是双面形式的情况下，在存储部31中，存储有与当前版本和旧版本这2种程序各自的版本相关的信息及与存储当前执行(应用)的程序的区域(动作面)相关的信息。即，当在现状下执行在第1存储区域中存储的程序的情况下，在存储部31中，存储为动作面是第1存储区域。当在现状下执行在第2存储区域中存储的程序的情况下，在存储部31中，存储为动作面是第2存储区域。在存储部31中，存储程序(当前版本和旧版本)的版本信息及与动作面相关的信息。
[0060]
控制部30由cpu或者mpu等构成。控制部30读出在存储部31(在存储部31是双面形式的情况下是存储部31的动作面)中存储的程序和数据来执行，进行控制处理等，控制包括该车载ecu3的车载设备或者致动器等。
[0061]
车载ecu3的控制部30经由车内通信部32接收从车载更新装置2发送的更新程序，取得该更新程序。在存储部31是单面形式的情况下，通过将控制部30取得的更新程序存储到存储部31中，从而应用更新程序。控制部30在取得从车载更新装置2发送的更新程序时，作为该取得的准备处理，删除在存储部31中存储的程序(当前版本的程序)。为了进行该删除，需要使车载ecu3中的对车载装置的控制功能停止。在存储部31是双面形式的情况下，控制部30将所取得的更新程序存储到不是动作面的存储区域(非动作面)中。即，控制部30在取得从车载更新装置2发送的更新程序时，作为该取得的准备处理，删除在非动作面中存储的程序。通常，在非动作面中存储的程序是在当前版本的程序以前执行的旧版本的程序。因此，控制部30不使车载ecu3中的对车载装置的控制功能停止而删除该旧版本的程序，将从车载更新装置2发送的更新程序存储到该非动作面。通过控制部30对存储部31的动作面与非动作面进行切换，从而将所接收(存储)的更新程序作为当前版本的程序来应用。
[0062]
便携终端8是智能手机、移动电话或者平板终端等移动型的计算机，由车辆c的乘用人员携带。便携终端8如上所述能够经由第2车外通信装置1b而与车载更新装置2进行通信，每次与车载更新装置2连接。便携终端8与车载更新装置2的通信也可以通过便携终端8与车载更新装置2的有线连接来进行。在便携终端8与车载更新装置2的通信时，车载更新装置2确认预先存储于存储部21的便携终端8的识别信息212例如便携终端8的电话号码与进
行通信的便携终端8的识别信息212是否一致。即，车载更新装置2进行便携终端8的认证。在识别信息212一致的情况下(认证成功的情况下)，车载更新装置2持续进行与便携终端8的通信。进行便携终端8与车载更新装置2的所谓配对(经认证的通信的确立)。在识别信息212不一致的情况下(认证失败的情况下)，车载更新装置2中止与便携终端8的通信。在进行车载更新装置2与便携终端8的配对时，能够基于识别信息212确认作为配对对象的便携终端8的正当性，能够确保车载更新装置2与便携终端8的配对中的安全性。识别信息212不限于便携终端8的电话号码。识别信息212例如也可以是在与车载更新装置2的通信中便携终端8执行的程序(应用程序)的用户id(identification)。
[0063]
识别信息212向存储部21的存储例如在车辆c的购入时或者便携终端8的变更时通过由携带便携终端8的车辆c的乘用人员实施的便携终端8的操作及向输入装置7的输入来进行。在识别信息212向存储部21存储时，车载更新装置2将车辆c的车辆识别号码和所存储的识别信息212发送到外部服务器100。将由外部服务器100接收到的车辆识别号码与识别信息212建立关联，作为车辆db111存储到外部服务器100的存储部110中。存储部110相当于外部服务器100能够参照的存储区域。外部服务器100能够参照的存储区域不限于存储部110，例如，也可以是外部服务器100能够进行通信的未图示的计算机的由非易失性存储器构成的存储部。
[0064]
便携终端8的认证(便携终端8与车载更新装置2的配对)例如在便携终端8的携带者乘上车辆c时自动地进行。便携终端8的认证也可以通过由该携带者实施的便携终端8的操作或者向输入装置7的输入来进行。在便携终端8与车载更新装置2的配对中，也可以除了由车载更新装置2实施的便携终端8的认证之外，还进行由便携终端8实施的车载更新装置2(车辆c)的认证。在该情况下，在便携终端8的未图示的由非易失性存储器构成的存储部中，存储有车辆c的车辆识别号码。便携终端8在与车载更新装置2进行通信时，确认例如预先存储于存储部21的车辆识别号码与在便携终端8的存储部中存储的车辆识别号码是否一致，进行车载更新装置2的认证。
[0065]
进一步地，便携终端8能够经由车外网络n而与外部服务器100进行通信。车载更新装置2与外部服务器100能够经由便携终端8和车外网络n进行通信。在该通信时，外部服务器100参照在存储部110中存储的车辆db111，确认是否将进行通信的便携终端8的识别信息212和车辆c的车辆识别号码建立关联地存储。即，外部服务器100进行车辆c与便携终端8的认证。外部服务器100在已将车辆c的车辆识别号码与便携终端8的识别信息212建立关联地存储的情况下(认证成功的情况下)，持续进行经由便携终端8和车外网络n的与车载更新装置2的通信。外部服务器100在未将车辆c的车辆识别号码与便携终端8的识别信息212建立关联地存储的情况下(认证失败的情况下)，中止与便携终端8的通信，结束与车载更新装置2的通信。外部服务器100在进行了经由便携终端8的与车载更新装置2的通信的情况下，能够基于搭载车载更新装置2的车辆c的车辆识别号码与便携终端8的识别信息212的组合来判断该便携终端8的正当性。能够确保外部服务器100与车载更新装置2的经由便携终端8的通信中的安全性。
[0066]
在车载更新装置2的存储部21中，也可以存储有多个便携终端8的识别信息212。在该情况下，对多个识别信息212分别赋予与外部服务器100的通信中的优先位次。例如，在存储部21中存储将多个便携终端8的识别信息212与由各便携终端8实施的通信中的优先位次
建立关联地记录的识别信息表格。图3是示出识别信息表格的内容例的概念图。在图3的识别信息表格中，将2个便携终端8的识别信息212与由各个便携终端8实施的通信中的优先位次相对应地记录。
[0067]
通信中的优先位次例如在识别信息212向存储部21存储时通过由携带便携终端8的车辆c的乘用人员实施的便携终端8的操作及向输入装置7的输入来赋予。在该情况下，将车辆c的车辆号码与多个识别信息212建立关联，作为车辆db111存储到外部服务器100的存储部110中。车载更新装置2基于优先位次，经由便携终端8尝试与外部服务器100进行通信。例如当在存储部21中存储有2个识别信息212的情况下，并且在经由便携终端8而与外部服务器100进行通信的情况下，车载更新装置2首先经由优先位次第一的便携终端8尝试进行与外部服务器100的通信。在经由优先位次第一的便携终端8的与外部服务器100的通信失败的情况下，例如在优先位次第一的便携终端8在服务区外的情况下，车载更新装置2经由优先位次第二的便携终端8尝试进行与外部服务器100的通信。通过基于优先位次进行通信，从而能够抑制由多个便携终端8分别实施的与外部服务器100的多个通信同时确立。能够防止在车载更新装置2与外部服务器100之间发生拥挤。
[0068]
图4是示出由车载更新装置2实施的作为更新对象的车载ecu3的程序更新的一种方式的说明图(时序图)。在图4中，关于车载更新装置2执行作为更新对象的车载ecu3的程序更新的处理，使用包括外部服务器100、车载ecu3和便携终端8的处理的时序图来进行说明。作为程序更新的一个例子，说明从外部服务器100发送更新程序的情况。下面，将步骤省略为s。
[0069]
车载更新装置2在车辆c是启动状态(ig开关6接通)的情况下，经由第1车外通信装置1a，与外部服务器100定期或者非定期地进行通信。车载更新装置2确认在外部服务器100中是否准备有应该更新的程序或者数据、即更新程序。即，车载更新装置2确认有没有更新程序(s1)。
[0070]
当在外部服务器100中准备有更新程序的情况下，外部服务器100将更新程序发送给车载更新装置2(s2)。车载更新装置2从外部服务器100取得更新程序，并保存于车辆c内的预定的存储区域。在作为更新对象的车载ecu3的存储部31是单面形式的情况下，将所取得的更新程序存储(保存)到车载更新装置2的存储部21中。在作为更新对象的车载ecu3的存储部31是双面形式的情况下，车载更新装置2将所取得的更新程序发送给作为更新对象的车载ecu3(s3)。将所发送的更新程序存储(保存)到车载ecu3的存储部31的非动作面中。
[0071]
在ig开关6变成断开的情况下(s4)，车载更新装置2尝试进行与外部服务器100的通信。详细来说，车载更新装置2首先经由第1车外通信装置1a尝试进行与外部服务器100的通信。车载更新装置2在经由第1车外通信装置1a的与外部服务器100的通信成功的情况下，进行以下的处理。车载更新装置2确认在外部服务器100中有没有与所发送的更新程序的中止相关的信息(是否准备有与中止相关的信息)，在有与该中止相关的信息的情况下，取得与该中止相关的信息(s5)。车载更新装置2在经由第1车外通信装置1a的与外部服务器100的通信失败的情况下，经由第2车外通信装置1b和便携终端8，尝试进行与外部服务器100的通信。
[0072]
在经由第1车外通信装置1a的与外部服务器100的通信失败的情况下，例如在第1车外通信装置1a在服务区外的情况下，车载更新装置2向经配对的便携终端8请求向外部服
务器100确认有没有与上述中止相关的信息(s6)。便携终端8在外部服务器100中确认有没有与上述中止相关的信息，在有与该中止相关的信息的情况下，取得与该中止相关的信息(s7)。此外，在便携终端8与外部服务器100进行通信时，如上所述进行由外部服务器100实施的车辆c与便携终端8的认证。便携终端8在取得与上述中止相关的信息的情况下，将与该中止相关的信息发送给车载更新装置2，当在外部服务器100中未准备有与上述中止相关的信息的情况下，将表示没有与该中止相关的信息这一内容的信息发送给车载更新装置2(s8)。
[0073]
在关于有没有与上述中止相关的信息的确认中，当在外部服务器100中未准备有与上述中止相关的信息的情况下，车载更新装置2进行以下的处理。此外，在关于有没有与上述中止相关的信息的确认中，在外部服务器100中未准备有与上述中止相关的信息的情况相当于车载更新装置2与外部服务器100的通信成功的情况下无法取得与上述中止相关的信息的情况。详细情况在后面叙述，车载更新装置2输出构成用于确认是否需要(允诺)应用更新程序的确认画面的确认画面数据。车载更新装置2通过输出确认画面数据来对车辆c的乘用人员确认是否需要应用更新程序(s9)。当在该确认画面中受理了需要应用的输入的情况下(进行了需要应用的输入的情况下)，车载更新装置2进行所保存的更新程序向作为更新对象的车载ecu3的应用。详细来说，在作为更新对象的车载ecu3的存储部31是单面形式的情况下，车载更新装置2将所保存的更新程序发送给作为更新对象的车载ecu3(s10)。将所发送的更新程序存储到存储部31中，并应用于作为更新对象的车载ecu3。在作为更新对象的车载ecu3的存储部31是双面形式的情况下，由于更新程序存储于存储部31的非动作面中，所以，车载更新装置2向作为更新对象的车载ecu3请求进行存储部31的动作面与非动作面的切换。通过由作为更新对象的车载ecu3实施的存储部31的动作面与非动作面的切换来应用更新程序。即，车载更新装置2在存储部31是双面形式的情况下，向作为更新对象的车载ecu3请求应用更新程序。
[0074]
作为更新对象的车载ecu3向车载更新装置2通知更新程序的应用完成、即本ecu的程序的更新完成(s11)。车载更新装置2也可以向作为更新对象的车载ecu3请求重启(再启动)。接下来，在ig开关6变成接通时，作为更新对象的车载ecu3能够更加可靠地启动。
[0075]
在关于有没有与上述中止相关的信息的确认中，当在外部服务器100中准备有与上述中止相关的信息的情况下，即在取得与上述中止相关的信息的情况下，车载更新装置2中止更新程序向作为更新对象的车载ecu的应用。即，车载更新装置2中止该车载ecu3的程序的更新。此外，在关于有没有与上述中止相关的信息的确认中，在外部服务器100中准备有与上述中止相关的信息的情况相当于车载更新装置2与外部服务器100的通信成功的情况下能够取得与上述中止相关的信息的情况。
[0076]
车载更新装置2进行用于删除所保存的更新程序的处理来代替s9的处理。省略s10和s11的处理。在作为更新对象的车载ecu3的存储部31是单面形式的情况下，车载更新装置2删除在存储部21中存储(保存)的更新程序。在作为更新对象的车载ecu3的存储部31是双面形式的情况下，车载更新装置2向作为更新对象的车载ecu3请求删除在存储部31的非动作面中存储(保存)的更新程序。作为更新对象的车载ecu3删除在存储部31的非动作面中存储的更新程序，向车载更新装置2通知更新程序的删除完成。
[0077]
在ig开关6变成接通的情况下(s12)，车载更新装置2向外部服务器100通知车载
ecu3的程序的更新完成或者更新程序的应用中止的完成、即车载ecu3的程序的更新中止完成(s13)。该通知既可以通过经由第1车外通信装置1a的车载更新装置2与外部服务器100的通信来进行，也可以通过经由便携终端8的车载更新装置2与外部服务器100的通信来进行。外部服务器100也可以是如下结构：当在外部服务器100中准备有与上述中止相关的信息的情况下，不进行向车载更新装置2的新更新程序的发送或者与新更新程序相关的通知，直至从车载更新装置2通知更新中止完成为止。
[0078]
图5是示例出车载更新装置2的控制部20进行的更新程序的应用所涉及的处理的主例程的流程图。图6是示例出与外部服务器100的通信试行的子例程所涉及的控制部20的处理次序的流程图。车载更新装置2的控制部20在车辆c是启动状态(ig开关6接通)的情况下，经由第1车外通信装置1a，与外部服务器100定期或者非定期地进行通信。当在外部服务器100中准备有应该更新的程序或者数据、即更新程序的情况下，进行以下的处理。或者，控制部20也可以基于经由第1车外通信装置1a取得的来自外部服务器100的更新通知而进行以下的处理。控制部20也可以使显示装置5显示更新通知，基于经由输入装置7从车辆c的操作者输入的更新的同意而进行以下的处理。
[0079]
如图5所示，控制部20从外部服务器100取得更新程序(s21)，并保存到车辆c内的预定的存储区域。将所取得的更新程序如上所述地存储(保存)到存储部21中，或者发送给作为更新对象的车载ecu3并存储(保存)到该车载ecu3的存储部31的非动作面中。
[0080]
在ig开关6变成断开的情况下，控制部20调出与外部服务器100的通信试行所涉及的子例程来执行(s22)，尝试进行与外部服务器100的通信。如图6所示，控制部20尝试进行经由第1车外通信装置1a的与外部服务器100的通信(s41)，判定该通信是否成功(s42)。控制部20在经由第1车外通信装置1a的与外部服务器100的通信成功的情况下(s42：“是”)，返回到主例程。控制部20在经由第1车外通信装置1a的与外部服务器100的通信未成功的情况下(s42：“否”)，例如在第1车外通信装置1a在服务区外的情况下，尝试进行经由便携终端8的与外部服务器100的通信(s43)，返回到主例程。当在存储部21中存储有多个便携终端8的识别信息212的情况下，控制部20在s43中，基于对各个识别信息212赋予的优先位次(参照图3)，尝试进行经由各个便携终端8的与外部服务器100的通信。
[0081]
如图5所示，在从与外部服务器100的通信试行所涉及的子例程返回的情况下，控制部20判定与外部服务器100的通信是否成功(s23)。在与外部服务器100的通信成功的情况下(s23：“是”)，控制部20确认在外部服务器100中是否准备有与所保存的更新程序的中止相关的信息(有没有与中止相关的信息)(s24)。在准备有与该中止相关的信息的情况下，控制部20取得与该中止相关的信息。
[0082]
控制部20在取得与该中止相关的信息(准备有与该中止相关的信息)的情况下(s24：“是”)，输出构成用于通知中止更新程序向作为更新对象的车载ecu3的应用这一内容的通知画面的通知画面数据(s25)，使显示装置5显示通知画面。通知画面数据例如预先存储于存储部21。通知画面数据也可以包括在所取得的与上述中止相关的信息中。通过使显示装置5显示通知画面，从而能够对车辆c的操作者等乘用人员通知中止更新程序向作为更新对象的车载ecu3的应用这一内容(中止车载ecu3的程序的更新这一内容)。在通知画面中，显示例如“由于更新程序不完备，所以中止更新。”那样的消息。该消息的数据包括在例如通知画面数据中。在通知画面中，也可以包括受理由车辆c的操作者实施的更新中止的允
诺(与更新程序的应用的中止相关的允诺)的输入的按钮。也可以在输入了更新中止的允诺的情况下，将受理该允诺的输入的时刻存储到存储部21中。能够确保与车载ecu3的程序的更新相关的可追溯性。显示装置5也可以保持与通知画面相关的数据、例如用于显示通知画面的图像数据。在s25中，控制部20向显示装置5输出指示显示通知画面的通知画面信号来作为通知画面数据。显示装置5取得所输出的通知画面信号，显示通知画面。与通知画面相关的数据也可以在制造车载更新装置2时预先存储于存储部21。另外，在s25中，控制部20也可以向显示装置5输出通知画面来作为通知画面数据。显示装置5显示从控制部20输出的通知画面。
[0083]
控制部20在输入了更新中止的允诺的情况下，或者当在输出通知画面数据后经过了一定时间的情况下，中止更新程序的应用(s26)。车载更新装置2如上所述地删除在存储部21中存储的更新程序，或者向作为更新对象的车载ecu3请求删除在存储部31的非动作面中存储的更新程序。
[0084]
在ig开关6变成接通的情况下，控制部20进行s27的处理，结束处理。s27的处理是控制部20向外部服务器100和车辆c的乘用人员通知车载ecu3的程序的更新完成或者车载ecu3的程序的更新中止完成的处理。向外部服务器100通知更新完成或者更新中止完成既可以通过经由第1车外通信装置1a的通信来进行，也可以通过经由便携终端8的通信来进行。控制部20在中止了更新的情况下，即在中止了更新程序的应用的情况下，向外部服务器100和车辆c的乘用人员通知更新中止完成。在向外部服务器100通知更新中止完成时，也可以将上述在存储部21中存储的受理更新中止的允诺的输入的时刻经由第1车外通信装置1a或者便携终端8发送给外部服务器100。控制部20例如通过使显示装置5显示“更新的中止完成。”那样的消息，从而向车辆c的乘用人员通知更新中止完成。该消息例如存储于存储部21中。关于控制部20向外部服务器100和车辆c的乘用人员通知更新完成的情况、即更新完成的情况，在后面叙述。
[0085]
控制部20在未取得与上述中止相关的信息的情况下(s24：“否”)，即在未准备有与上述中止相关的信息的情况下，输出确认画面数据(s28)。确认画面数据是在控制部20将所存储(保存)的更新程序应用于作为更新对象的车载ecu时构成用于确认是否需要应用的确认画面的数据。确认画面数据例如预先存储于存储部21中。
[0086]
控制部20通过输出确认画面数据，从而使显示装置5显示确认画面。在确认画面中，例如显示“执行ecu的程序的更新。”那样的消息。该消息的数据包括在例如确认画面数据中。在确认画面中，还显示受理由车辆c的乘用人员实施的更新的允诺的输入(确认是否需要应用)的按钮。例如，车辆c的乘用人员通过输入装置7的操作来输入更新的允诺。控制部20判定是否有需要应用的输入(s29)。在输入了更新的允诺的情况下，即在有需要应用的输入的情况下(s29：“是”)，控制部20进行更新程序向作为更新对象的车载ecu3的应用(s30)。输入了更新的允诺的情况相当于进行了需要应用的输入的情况。在作为更新对象的车载ecu3的存储部31是单面形式的情况下，控制部20将在存储部21中存储的更新程序发送给作为更新对象的车载ecu3。将所发送的更新程序存储到作为更新对象的车载ecu3的存储部31中，并应用于该车载ecu3。在作为更新对象的车载ecu3的存储部31是双面形式的情况下，控制部20向作为更新对象的车载ecu3请求进行存储部31的动作面与非动作面的切换。通过动作面与非动作面的切换，将更新程序应用于作为更新对象的车载ecu3。从作为更新
对象的车载ecu3向控制部20通知更新程序的应用完成(更新完成)。控制部20进行后述的s31的处理。
[0087]
在不输入更新的允诺的情况下，即在没有需要应用的输入的情况下(s29：“否”)，为了再次进行s29的处理而进行循环处理。在进行该循环处理时，控制部20也可以执行预定时间的待机处理(休眠)。控制部20也可以当在一定时间以上没有需要应用的输入的情况下，结束处理。
[0088]
在s22中的控制部20与外部服务器100的通信的试行中，控制部20在与外部服务器100的通信未成功的情况下(s23：“否”)，进行更新程序向作为更新对象的车载ecu3的应用。此外，详细来说，与上述外部服务器100的通信未成功的情况是经由第1车外通信装置1a的通信和经由便携终端8的通信这两者失败的情况，下面，也称为与外部服务器100的通信失败的情况。与外部服务器100的通信失败的情况例如是第1车外通信装置1a和便携终端8都在服务区外的情况。控制部20也可以例如当在一定时间以上无法与外部服务器100进行通信(连接)的情况下，判断为与外部服务器100的通信失败。
[0089]
在与外部服务器100的通信失败的情况下，控制部20输出与在上述s28中输出的确认画面数据不同的确认画面数据(s32)，使显示装置5显示确认画面。即，在与外部服务器100的通信成功的情况和与外部服务器100的通信失败的情况下，所输出的确认画面数据及所显示的确认画面不同。在与外部服务器100的通信失败的情况下，在确认画面中，例如，除了上述“执行ecu的程序的更新。”那样的消息及上述的受理更新的允诺的输入的按钮之外，还显示如下的消息。在确认画面中，例如显示表示在通信服务区外这一内容及无法确认有没有当前时刻下的最新的与上述中止相关的信息(最新的更新中止信息)这一内容的消息。具体来说，在确认画面中，显示“在通信服务区外，无法确认有没有最新的更新中止信息。”那样的消息。在确认画面中，也可以显示表示进行后述的备份这一内容的消息、例如“在更新时，对当前时刻的程序进行备份。”那样的消息。这些消息例如包括在确认画面数据中，并预先存储于存储部21中。在确认画面中，也可以除消息以外，还显示例如表示通信服务区外的标记。s28所涉及的确认画面(与外部服务器100的通信成功的情况下的确认画面)的颜色与s32所涉及的确认画面(与外部服务器100的通信失败的情况下的确认画面)的颜色也可以不同。例如，确认画面也可以是将s28所涉及的确认画面的颜色设为蓝色、将s32所涉及的确认画面的颜色设为黄色的结构。通过在s28与s32中输出不同的确认画面数据，从而能够对车辆c的操作者等关于是否需要应用更新程序的确认者提供适当的信息、例如与外部服务器100的通信状况及未确认有没有最新的更新中止信息。
[0090]
显示装置5也可以保持与确认画面相关的数据、例如用于显示各个确认画面的多个图像数据(用于显示s28所涉及的确认画面的图像数据和用于显示s32所涉及的确认画面的图像数据)。在该情况下，在s32中，控制部20向显示装置5输出指示显示s32所涉及的确认画面的确认画面信号来作为确认画面数据。显示装置5取得所输出的该确认画面信号，显示s32所涉及的确认画面。在上述s28中，控制部20向显示装置5输出指示显示s28所涉及的确认画面的确认画面信号来作为确认画面数据。显示装置5取得所输出的该确认画面信号，显示s28所涉及的确认画面。与确认画面相关的数据也可以在制造车载更新装置2时预先存储于存储部21中。在s32中，控制部20例如从用于显示各个确认画面的多个图像数据选择用于显示s32所涉及的确认画面的图像数据，将所选择出的该图像数据输出给显示装置5。显示
装置5取得所输出的该图像数据，显示s32所涉及的确认画面。在上述s28中，控制部20例如从用于显示各个确认画面的多个图像数据选择用于显示s28所涉及的确认画面的图像数据，将所选择出的该图像数据输出给显示装置5。显示装置5取得所输出的该图像数据，显示s28所涉及的确认画面。另外，在s28、s32中，控制部20也可以向显示装置5输出确认画面来作为确认画面数据。显示装置5显示从控制部20输出的确认画面。
[0091]
控制部20与s29的处理同样地，判定是否有需要应用的输入(s33)。在没有需要应用的输入的情况下(s33：“否”)，进行与上述的s29：“否”的情况相同的处理，所以，省略没有需要应用的输入的情况下的说明。在有需要应用的输入的情况下(s33：“是”)，即在进行了需要应用的输入的情况下，控制部20保存作为更新对象的车载ecu3的当前时刻下的程序(当前程序)(s34)。即，控制部20进行作为更新对象的车载ecu3的当前程序的备份。当前程序例如存储(保存)到车载更新装置2的存储部21中。控制部20进行s30的处理。即，控制部20进行更新程序向作为更新对象的车载ecu3的应用。
[0092]
控制部20在应用更新程序之后，保存历史信息213(s31)。历史信息213例如存储(保存)到存储部21中。在历史信息213中，将表示进行了更新程序向作为更新对象的车载ecu3的应用的信息和关于应用时的与外部服务器100的通信是否正确的信息建立关联地记录。在表示进行了更新程序向作为更新对象的车载ecu3的应用的信息中，例如包括作为更新对象的车载ecu3的识别号码及所应用的更新程序的名字(版本)。在表示进行了更新程序向作为更新对象的车载ecu3的应用的信息中，也可以还包括更新的允诺的输入时刻及更新的完成时刻、例如从车载ecu3通知更新的完成的时刻。在关于应用时的与外部服务器100的通信是否正确的信息中，除了表示通信的成功或者失败的信息之外，也可以还包括在通信成功的情况下表示是经由第1车外通信装置1a的通信还是经由便携终端8的通信的信息。另外，在是经由便携终端8的通信的情况下，也可以包括所使用的便携终端的识别信息212。通过保存历史信息213，从而能够确保与车载ecu3的程序的更新相关的可追溯性。
[0093]
在ig开关6变成接通的情况下，控制部20进行s27的处理，结束处理。在s27中，控制部20在车载ecu3的程序的更新完成的情况下，即在更新程序的应用完成的情况下，向外部服务器100和车辆c的乘用人员通知更新完成。控制部20例如通过使显示装置5显示“更新完成。”那样的消息，从而向车辆c的乘用人员通知更新完成。该消息例如存储于存储部21中。在向外部服务器100通知更新完成时，也可以将历史信息213或者历史信息213的一部分例如更新的完成时刻经由第1车外通信装置1a或者便携终端8发送给外部服务器100。
[0094]
当在s23中与外部服务器100的通信失败的情况下，在向外部服务器100通知更新完成时，控制部20确认在外部服务器100中是否准备有与所应用的更新文件的中止相关的信息。在准备有与该中止相关的信息的情况下，控制部20取得与该中止相关的信息，进行以下的处理。在作为更新对象的车载ecu3的存储部31是单面形式的情况下，控制部20将在s34中保存的更新前的程序(s34中的当前程序)、即成为更新程序的以前版本的程序发送给作为更新对象的车载ecu3。将所发送的更新前的程序存储到该车载ecu3的存储部31中，并应用于该车载ecu3。在作为更新对象的车载ecu3的存储部31是双面形式的情况下，更新前的程序存储于存储部31的第1存储区域或者第2存储区域(非动作面)中。控制部20向作为更新对象的车载ecu3请求进行动作面与非动作面的切换。通过动作面与非动作面的切换，将更新前的程序应用于作为更新对象的车载ecu3。在作为更新对象的车载ecu3的存储部31是双
面形式的情况下，能够省略s34的处理。当在进行更新程序的应用的时刻下无法确认有没有与该更新程序的中止相关的信息的情况下，进行保存作为更新对象的车载ecu3的当前时刻下的程序的处理。当在该应用之后取得与应用于作为更新对象的车载ecu3的更新程序的中止相关的信息时，能够使用所保存的上述当前时刻下的程序来进行回滚处理。
[0095]
车载更新装置2在将更新程序保存于车辆内的预定的存储区域之后，为了确认在外部服务器100中是否准备有与该更新程序的中止相关的信息，尝试进行与外部服务器100的通信。在发觉已经保存的更新程序有问题、并且在外部服务器100中准备有与该更新程序的中止相关的信息的情况下，能够取得与该中止相关的信息。
[0096]
车载更新装置2在与外部服务器100的通信成功的情况下，并且在能够取得与所保存的更新程序的中止相关的信息的情况下，中止更新程序的应用。另外，在无法取得与所取得的更新程序的中止相关的信息的情况下，进行更新程序的应用。能够防止将与中止相关的信息所涉及的更新程序应用于作为更新对象的车载ecu3。
[0097]
在与外部服务器100的通信成功的情况下，在向外部服务器100通知更新完成时，车载更新装置2也可以确认在外部服务器100中是否准备有与所应用的更新文件的中止相关的信息。在准备有与该中止相关的信息的情况下，并且在作为更新对象的车载ecu3的存储部31是双面形式的情况下，车载更新装置2如上所述地进行回滚处理。在存储部31是单面形式的情况下，例如将更新前的程序从外部服务器100发送给车载更新装置2。所发送的更新前的程序由车载更新装置2发送给作为更新对象的车载ecu3，并应用于该车载ecu3。也可以和与外部服务器100的通信失败的情况同样地，在应用更新程序时，保存更新前的程序。能够有效地防止将与中止相关的信息所涉及的更新程序应用于作为更新对象的车载ecu3。
[0098]
车载更新装置2在与外部服务器100的通信失败的情况下，进行所保存的更新程序向作为更新对象的车载ecu3的应用。即使在无法进行与外部服务器100的通信的状况持续的情况下，通过更新程序的应用，也能够谋求作为更新对象的车载ecu3所使用的程序的合适化。
[0099]
应该认为，本次公开的实施方式在所有方面都是示例性的，而非限制性的。本发明的范围不通过上述含义而是通过权利要求书来表示，旨在包括与权利要求书等同的含义和范围内的全部变更。
[0100]
附图标记说明
[0101]
c车辆
[0102]
s车载更新系统
[0103]
n车外网络
[0104]
1a第1车外通信装置
[0105]
1b第2车外通信装置
[0106]
2车载更新装置
[0107]
3车载ecu
[0108]
4车内lan
[0109]
5显示装置
[0110]
6ig开关
[0111]
7输入装置
[0112]
8便携终端
[0113]
11a天线
[0114]
11b天线
[0115]
20控制部
[0116]
21存储部
[0117]
22记录介质
[0118]
23车内通信部
[0119]
24输入输出i/f
[0120]
30控制部
[0121]
31存储部
[0122]
32车内通信部
[0123]
100外部服务器
[0124]
110存储部
[0125]
111车辆db
[0126]
211控制程序
[0127]
212识别信息
[0128]
213历史信息。