Some content of this application is unavailable at the moment.
If this situation persist, please contact us atFeedback&Contact
1. (WO2019009020) SOFTWARE UPDATE DEVICE
Document

明 細 書

発明の名称 ソフトウェア更新装置

技術分野

0001  

背景技術

0002   0003   0004  

先行技術文献

特許文献

0005  

発明の概要

発明が解決しようとする課題

0006   0007   0008  

課題を解決するための手段

0009   0010   0011   0012   0013   0014  

発明の効果

0015  

図面の簡単な説明

0016  

発明を実施するための形態

0017   0018   0019   0020   0021   0022   0023   0024   0025   0026   0027   0028   0029   0030   0031   0032   0033   0034   0035   0036   0037   0038   0039   0040   0041   0042   0043   0044   0045   0046   0047   0048   0049   0050   0051   0052   0053   0054   0055   0056   0057   0058   0059   0060   0061   0062   0063   0064   0065   0066   0067   0068   0069   0070   0071   0072   0073   0074   0075   0076   0077   0078   0079   0080   0081   0082   0083   0084   0085   0086   0087  

産業上の利用可能性

0088   0089  

符号の説明

0090  

請求の範囲

1   2   3   4   5   6   7   8   9   10   11   12   13   14   15   16   17   18   19   20   21   22   23   24   25   26   27   28   29   30  

図面

1   2   3   4   5   6   7   8   9   10   11   12   13   14   15   16   17   18  

明 細 書

発明の名称 : ソフトウェア更新装置

技術分野

[0001]
 本発明は、ソフトウェア更新装置、電子機器のソフトウェア更新方法、サーバ装置、サーバ装置によるソフトウェア更新方法、および記録媒体に関する。

背景技術

[0002]
 車両に搭載されたECU(電子コントロールユニット:Electronic Control Unit)のソフトウェアを、無線通信によって更新するSOTA(Software Updates Over-The-Air)が、各種提案されている。
[0003]
 例えば特許文献1に、情報管理基地局装置が、管理下にある車両に搭載された複数のECUのソフトウェアを無線通信によってアップデートする方法(以下、第1の関連技術と記す)が記載されている。この第1の関連技術では、情報管理基地局装置(以下、基地局と記す)とその管理下にある車両とは、ECUのソフトウェア更新のために双方向に無線通信が行われる。無線通信は、S-バンド衛星通信、放送システム等の衛星通信、DSRC(Dedicated Short Range Communication)等の専用狭帯域通信、公衆回線による携帯電話網によって双方向に行われる。基地局は、先ず、アップデートの対象になるECUの有無を基地局からのアップデートリクエストによってスリープ状態からウェイクアップした全ての車両に対して確認する。次に、基地局は、ウェイクアップした車両からの返信によってアップデート対象のECUを選び出し、また、ウェイクアップした車両が更新可能な状況であるかを確認する。基地局は、車両のイグニッションスイッチがオフ、パーキングブレーキスイッチがオン、自動変速機のドライブポジションがPレンジ、且つ車速が0の場合、車両が更新可能な状況であると判定する。次に、基地局は、ウェイクアップした車両からの返信によってウェイクアップした車両が更新可能であると判断したときに、アップデート対象のECUに対してECU毎にアップデート内容をパケット分割してデータ送信するアップデートを実行する。
[0004]
 また、特許文献2に、ECUのソフトウェアを無線通信によってアップデートする更新条件を動的に変更可能な方法(以下、第2の関連技術と記す)が記載されている。この第2の関連技術では、車両が所定の場所、すなわち自宅付近(例えば自宅の駐車場)、販売店、修理店などに存在することを無線通信によるソフトウェアの更新条件とする。車両の位置は、GPS(Global Positioning System)等の位置取得センサによって検出される。また、自宅位置情報(例えば住所)は、ユーザインタフェースを介してユーザによって入力される。また特許文献2には、所定の時間帯であることを無線通信によるソフトウェアの更新条件とすることも記載されている。

先行技術文献

特許文献

[0005]
特許文献1 : 特許第4361902号公報
特許文献2 : 特開2016-218932号公報

発明の概要

発明が解決しようとする課題

[0006]
 第1の関連技術では、車両がどこに存在していてもウェイクアップして無線通信によってECUのソフトウェアをアップデートすることができる。このように、車両がどこにいてもソフトウェア更新のための無線通信が可能であると、悪意のある第三者による不正アクセスの危険性がある。
[0007]
 また第2の関連技術では、車両が事前に定義された場所にいることを条件としてソフトウェアの更新を許可するため、一見、不正アクセスの危険性が低いようにみえる。しかし、第2の関連技術では、外部から不定期に到来する更新通知を受信し得るように車両はどこに存在していても外部との間で無線通信を行える状態になっている。そのため、第2の関連技術においても、悪意のある第三者による不正アクセスの危険性がある。
[0008]
 本発明の目的は、上述した課題、即ち、どこに存在していても外部との間で無線通信を行える状態では悪意のある第三者による不正アクセスの危険性がある、という課題を解決するソフトウェア更新装置を提供することにある。

課題を解決するための手段

[0009]
 本発明の一形態に係るソフトウェア更新装置は、
 ソフトウェアを実行する電子機器に接続された通信ユニットと、
 予め登録された無線アクセスポイントからウェイクアップ要求を受信すると、前記通信ユニットをスリープ状態からウェイクアップ状態に遷移させるウェイクアップ受信ユニットとを含み、
 前記通信ユニットは、前記ウェイクアップ状態に遷移すると、外部装置との無線通信を開始し、前記外部装置から受信した更新ソフトウェアによって前記電子機器の前記ソフトウェアを更新する。
[0010]
 本発明の他の形態に係る電子機器のソフトウェア更新方法は、
 ウェイクアップ受信ユニットとソフトウェアを実行する電子機器に接続された通信ユニットとを含むソフトウェア更新装置が実行するソフトウェア更新方法であって、
 前記ウェイクアップ受信ユニットが、予め登録された無線アクセスポイントからウェイクアップ要求を受信すると、前記通信ユニットをスリープ状態からウェイクアップ状態に遷移させ、
 前記通信ユニットが、前記ウェイクアップ状態に遷移すると、外部装置との無線通信を開始し、前記外部装置から受信した更新ソフトウェアによって前記電子機器の前記ソフトウェアを更新する。
[0011]
 本発明の他の形態に係るサーバ装置は、
 通信ユニットと、
 前記通信ユニットを通じて、予め登録された無線アクセスポイントからウェイクアップ要求を送信し、前記ウェイクアップ要求を受信しスリープ状態からウェイクアップ状態に遷移した機器から無線通信によって応答を受信すると、前記通信ユニットを通じて、前記機器のソフトウェアを更新するための更新ソフトウェアを前記無線アクセスポイントから前記機器へ送信する制御ユニットと、
を含む。
[0012]
 本発明の他の形態に係るサーバ装置によるソフトウェア更新方法は、
 無線通信により機器のソフトウェアを更新するサーバ装置が実行するソフトウェア更新方法であって、
 予め登録された無線アクセスポイントからウェイクアップ要求を送信し、
 前記ウェイクアップ要求を受信しスリープ状態からウェイクアップ状態に遷移した機器から無線通信によって応答を受信すると、前記機器のソフトウェアを更新するための更新ソフトウェアを前記無線アクセスポイントから前記機器へ送信する。
[0013]
 本発明の他の形態に係る記録媒体は、
 コンピュータを、
 ソフトウェアを実行する電子機器に接続された通信ユニットと、
 予め登録された無線アクセスポイントからウェイクアップ要求を受信すると、前記通信ユニットをスリープ状態からウェイクアップ状態に遷移させるウェイクアップ受信ユニットと、
して機能させ、
 前記通信ユニットは、前記ウェイクアップ状態に遷移すると、外部装置との無線通信を開始し、前記外部装置から受信した更新ソフトウェアによって前記電子機器の前記ソフトウェアを更新するためのプログラムを記録したコンピュータ読み取り可能な記録媒体である。
[0014]
 本発明の他の形態に係る記録媒体は、
 コンピュータを、
 通信ユニットと、
 前記通信ユニットを通じて、予め登録された無線アクセスポイントからウェイクアップ要求を送信し、前記ウェイクアップ要求を受信しスリープ状態からウェイクアップ状態に遷移した機器から無線通信によって応答を受信すると、前記通信ユニットを通じて、前記機器のソフトウェアを更新するための更新ソフトウェアを前記無線アクセスポイントから前記機器へ送信する制御ユニットと、
して機能させるプログラムを記録したコンピュータ読み取り可能な記録媒体である。

発明の効果

[0015]
 本発明は上述した構成を有するため、悪意のある第三者による不正アクセスを有効に防止することができる。

図面の簡単な説明

[0016]
[図1] 本発明の第1の実施形態に係るソフトウェア更新システムの構成図である。
[図2] 本発明の第1の実施形態に係るソフトウェア更新のシーケンスチャートである。
[図3] 本発明の第2の実施形態におけるOTAシステムの概要を示す図である。
[図4] 本発明の第2の実施形態における車両ソフトウェアのアップデートのライフサイクルを示す図である。
[図5] 本発明の第2の実施形態におけるOTAクライアントおよびOTAサーバの構成例を示す図である。
[図6] 本発明の第2の実施形態における車載モジュールの詳細を示す図である。
[図7] 本発明の第2の実施形態におけるルールを記憶するテーブルの例を示す図である。
[図8] 本発明の第2の実施形態におけるOTAシステムの状態遷移を示す図である。
[図9] 本発明の第2の実施形態におけるウェイクアップID(WuRx-ID)をOTAシステムに適用する手順を示す図である。
[図10] 本発明の第2の実施形態におけるOTAシステムにおけるウェイクアップID(WuRx-ID)の送受信の手順を示す図である。
[図11] 本発明の第2の実施形態におけるOTAシステムの展開と登録の手順を示す図である。
[図12] 本発明の第2の実施形態において信頼できるゾーンを特定し、ソフトウェアアップデートを利用する手順を示す図である。
[図13] 本発明の第2の実施形態においてOEMが新しい車両の新しいウェイクアップIDを登録する手順を示す図である。
[図14] 本発明の第2の実施形態におけるOTAシステムの信頼ゾーンにおける動作を示す図である。
[図15] 本発明の第2の実施形態においてウェイクアップシーケンスまたは「ショルダータップ」を送信するプロセスを示す図である。
[図16] 本発明の第2の実施形態においてウェイクアップまたはショルダータップの選択プロセスを示す図である。
[図17] 本発明の第2の実施形態におけるセルラネットワーク経由によるOTA通信とWLAN経由によるOTA通信のフローチャートを示す図である。
[図18] 本発明の第3の実施形態に係るソフトウェア更新システムの構成図である。

発明を実施するための形態

[0017]
 次に本発明の実施の形態について図面を参照して詳細に説明する。
[第1の実施形態]
 図1を参照すると、本発明の第1の実施形態に係るソフトウェア更新システム100は、サーバ装置101と無線アクセスポイント102と車載機器103とを含む。
[0018]
 車載機器103は、車両104に搭載されている。図1には、車載機器103を搭載した車両104が1台示されている。一般には、車載機器103と同様な車載機器を搭載した車両が複数台存在する。車載機器103は、ECU105と通信ユニット106とウェイクアップ受信ユニット107とを含む。ECU105は、ソフトウェアを実行することにより、車両104のエンジン、変速機、ブレーキなどを制御する。通信ユニット106は、ECU105のソフトウェアを更新するためにサーバ装置101と無線通信を行う。通信ユニット106は、セキュリティを確保するためと省電力化のために、通常はスリープ状態になっている。ウェイクアップ受信ユニット107は、通信ユニット106およびECU105をウェイクアップする受信機である。ウェイクアップ受信ユニット107には、セキュリティ情報が記憶されている。セキュリティ情報は、例えば予め定義されたウェイクアップIDであってよい。或いはセキュリティ情報は、予め定義された時間に関する情報であってよい。或いはセキュリティ情報は、予め定義された人物に関する情報であってよい。或いはセキュリティ情報は、ソフトウェア更新を行う機器に関する情報であってよい。これらのセキュリティ情報は、複数の車両104あるいは車載機器103に共通であってもよいし、個々の車両104あるいは車載機器103に専用であってもよい。
[0019]
 サーバ装置101は、無線通信により車載機器103のソフトウェアを更新する情報処理装置である。サーバ装置101は、制御ユニット108と通信ユニット109とを含む。制御ユニット108には、車載機器103と同様なセキュリティ情報が記憶されている。また、制御ユニット108には、車載機器103のソフトウェアを更新するために使用する無線アクセスポイント102の情報(例えば、MACアドレスやIPアドレス)が記憶されている。無線アクセスポイント102の情報は、車載機器103あるいは車両104の識別子に対応付けて制御ユニット108に記憶されていてよい。通信ユニット109は、制御ユニット108が無線アクセスポイント102を通じて車載機器103のウェイクアップ受信ユニット107および通信ユニット106と無線通信を行うための無線通信機である。
[0020]
 無線アクセスポイント102は、サーバ装置101と車載機器103とを無線通信ネットワークにより相互に接続する無線機である。無線アクセスポイント102は、予め定められた場所に設置されている。ユーザの自宅、カーディーラーの店舗、修理工場などは、無線アクセスポイント102が設置される場所の例である。無線アクセスポイント102の無線カバレッジエリア110は、無線通信によってソフトウェア更新を行う物理的なエリアを限定する。無線カバレッジエリア110は、信頼ゾーンとも呼ぶ。
[0021]
 次に、サーバ装置101によって、車載機器103のECU105のソフトウェアを無線通信によって更新する動作を説明する。
[0022]
 車載機器103を搭載した車両104のユーザは、ECU105のソフトウェア更新を受ける際、事前に定められた場所へ車両104を移動させる。事前に定められた場所は、前述したように、ユーザの自宅、カーディーラーの店舗、修理工場などである。それら事前に定められた場所には、予め登録された無線アクセスポイント102が設置されている。
[0023]
 車載機器103を搭載した車両104が、図1に示すように、無線アクセスポイント102の無線カバレッジエリア110内に存在するとき、サーバ装置101の主導の下に、無線通信によるソフトウェア更新が実施される。図2は、本実施形態におけるソフトウェア更新のシーケンスチャートである。
[0024]
 サーバ装置101の制御ユニット108は、車載機器103を搭載した車両104が事前に定められた場所にいるとき、通信ユニット109を通じて、その場所に設置された無線アクセスポイント102へウェイクアップ要求121を送信する。例えば、制御ユニット108は、車両104がユーザの自宅にいるとき、そのユーザの自宅に対応して事前に登録された無線アクセスポイント102へウェイクアップ要求121を送信する。また、制御ユニット108は、車両104がカーディーラーの店舗にいるとき、その店舗に対応して事前に登録された無線アクセスポイント102へウェイクアップ要求121を送信する。サーバ装置101は、送信するウェイクアップ要求121にセキュリティ情報を含ませることができる。例えば、サーバ装置101は、対象とする車載機器103を搭載した車両104に設定されたセキュリティIDと同一のセキュリティIDをウェイクアップ要求121に含ませることができる。或いはサーバ装置101は、ソフトウェア更新を行う時間的条件が予め定義されている場合、定義された時間的条件を満たすようにウェイクアップ要求121を送信する。或いはサーバ装置101は、ソフトウェア更新を行う人的条件が予め定義されている場合、ソフトウェア更新を行う人的条件を示す人物情報をウェイクアップ要求121に含める。或いはサーバ装置101は、ソフトウェア更新を行う機器的条件が予め定義されている場合、ソフトウェア更新の対象となる機器情報をウェイクアップ要求121に含める。無線アクセスポイント102は、サーバ装置101から受信したウェイクアップ要求121をウェイクアップ要求122として無線カバレッジエリア110へ送信する。
[0025]
 無線カバレッジエリア110に存在する車両104に搭載された車載機器103のウェイクアップ受信ユニット107は、ウェイクアップ要求122を受信すると、セキュリティチェック123を実施する。このセキュリティチェック123では、受信したウェイクアップ要求122に含まれるウェイクアップIDとウェイクアップ受信ユニット107に事前に記憶されているウェイクアップIDとが比較される。ウェイクアップ受信ユニット107は、受信したウェイクアップIDと記憶されているウェイクアップIDとが一致しなければ、ウェイクアップ要求を無視する。ウェイクアップ受信ユニット107は、受信したウェイクアップIDと保存されているウェイクアップIDとが一致すれば、予め必須として定義された他のセキュリティチェックがなければ、ウェイクアップ要求を受理する。
[0026]
 またウェイクアップ受信ユニット107は、時間的条件のセキュリティチェックが必須の場合、ウェイクアップ要求122を受信した時間が予め定義された時間的条件を満足するか否かを確認する。またウェイクアップ受信ユニット107は、人的条件のセキュリティチェックが必須の場合、ウェイクアップ要求122に含まれる人物情報が予め定義された人的条件を満足するか否かを確認する。またウェイクアップ受信ユニット107は、機器的条件のセキュリティチェックが必須の場合、ウェイクアップ要求122に含まれる機器情報が予め定義された機器的条件を満足するか否かを確認する。ウェイクアップ受信ユニット107は、時間的条件、人的条件、機器的条件を満たさないウェイクアップ要求122を無視する。ウェイクアップ受信ユニット107は、時間的条件、人的条件、機器的条件を満たしていれば、他に問題がなければウェイクアップ要求122を受理する。
[0027]
 ウェイクアップ受信ユニット107は、ウェイクアップ要求122を受理すると、通信ユニット106へウェイクアップ要求124を送信する。通信ユニット106は、スリープ状態においてウェイクアップ要求124を受信すると、ウェイクアップ状態へと遷移する(125)。ウェイクアップ状態になった通信ユニット106は、ECU105へウェイクアップ要求126を送信する。ECU105は、スリープ状態においてウェイクアップ要求126を受信すると、ウェイクアップ状態へと遷移する(127)。ウェイクアップ状態になったECU105は、通信ユニット106へウェイクアップ完了通知128を送信する。このウェイクアップ完了通知128を受信した通信ユニット106は、ウェイクアップ完了通知129をウェイクアップ受信ユニット107へ送信する。このウェイクアップ完了通知129を受信したウェイクアップ受信ユニット107は、無線アクセスポイント102経由でサーバ装置101へ、ウェイクアップ要求121に対する応答であるウェイクアップ完了通知130を送信する。サーバ装置101の制御ユニット108は、通信ユニット109を通じてウェイクアップ完了通知130を受信することにより、所望のウェイクアップIDを有する車載機器103が所望の場所にてウェイクアップ状態になったことを認識する。
[0028]
 次に、サーバ装置101の制御ユニット108は、通信ユニット109により更新プログラム131を車両104が居る場所の無線アクセスポイント102を通じて車載機器103の通信ユニット106へ送信する。通信ユニット106は、更新プログラム131を受信すると、更新プログラム132としてECU105へ転送する。ECU105は、更新プログラム132を受信し、この受信した更新プログラム132によって現在使用しているプログラムを更新する(133)。次に、ECU105は、更新完了通知134を通信ユニット106へ送信する。通信ユニット106は、更新完了通知134を受信すると、無線アクセスポイント102を通じてサーバ装置101へ更新完了通知135を送信する。
[0029]
 サーバ装置101の制御ユニット108は、通信ユニット109を通じて更新完了通知135を受信することにより、車載機器103のソフトウェア更新が完了したことを認識する。
[0030]
 このように本実施形態によれば、車載機器103に対する悪意のある第三者による不正アクセスを有効に防止することができる。
[0031]
 その理由は、車載機器103のソフトウェアを更新するためには、通信ユニット106をウェイクアップ状態にする必要があり、通信ユニット106をウェイクアップ状態にするためには、車載機器103を搭載した車両104が事前に定められた無線アクセスポイントのカバレッジエリアに存在している必要があるためである。
[0032]
 また本実施形態では、ウェイクアップIDによるセキュリティチェックを実施しているため、有効なウェイクアップIDを知らない悪意のある第三者による不正アクセスをより有効に防止することができる。
[0033]
 また本実施形態では、時間的条件によるセキュリティチェックを実施しているため、予め定義された時間的条件を満足しない時間帯による不正アクセスを防止することができる。
[0034]
 また本実施形態では、人的条件によるセキュリティチェックを実施しているため、予め定義された人物以外の人物による不正アクセスを防止することができる。
[0035]
 また本実施形態では、機器的条件によるセキュリティチェックを実施しているため、予め定義された機器以外の機器に対する不正アクセスを防止することができる。
[0036]
[第2の実施形態]
 次に、本発明の第2の実施形態について詳細に説明する。
[0037]
<本実施形態の特徴>
 本実施形態は、無線ウェイクアップ受信機を使用して、車両のための安全な無線ソフトウェア更新を可能にする。ウェイクアップ受信機は、OTA(Over The Air:オーバー・ジ・エア)通信が実行可能な領域を制限する。その結果、高速道路などの不要な地域でのOTA通信が制限される。さらに、自動車メーカ、ガレージ、自宅などの信頼できる地域(信頼ゾーン)でのみ、OTA通信を実行することができる。これは、信頼ゾーン内の許可された担当者のみが可能なOTAソフトウェア更新キャンペーンにとって有益である。その結果、自動車およびそのコンポーネント、ゲートウェイ、ECUへの不正アクセスは制限される。その結果、車両用の安全なOTAソフトウェアアップデートが実現する。
[0038]
<本実施形態が解決しようとする課題>
 OTAは、車載ソフトウェアの無線通信による更新を実現する。リコール費用を削減するために、OTAはコスト削減に非常に役立つ。今日の車両には多くのソフトウェアがインストールされている。結果として、OTAは自動車メーカがソフトウェアの更新を容易にするために高度に使用されている。さらに、OTAは、新しいサービスやアプリケーションなど、新しい機能を車に適用することができる。
[0039]
 現在のOTA通信では、どこでもソフトウェアの更新が可能である。OTA通信はワイヤレスであるが、有線のソフトウェアアップデートも可能である。どこでもOTA通信が可能な場合、権限のない人が車両にアクセスし、誤動作したソフトウェアをインストールする可能性がある。ジープ/クライスラー(Jeep/Chrysler)の事件では、あらゆる場所からの無線アクセスがセキュリティリスクであることが明らかになった。事前定義された場所などの物理的な限定アクセスのみが安全なアクセスを保証することができる。
[0040]
 さらに、OTA通信は、通信モジュールをウェイクアップさせるためにウェイクアップ信号を必要とする。通信モジュールがスリープモードにある場合、不正アクセスは不可能であり、通信モジュールは安全である。通信モジュールがウェイクアップ状態にある場合、通信が開始され、誰もが通信モジュールにアクセスすることができる。セルラネットワークを介したOTAは、通信モジュールをウェイクアップするためにSMSシーケンスを必要とする。WLANが使用される場合、ウェイクアップシーケンスは標準化されていない。いわゆるショルダータップは不可能であり、OTAは実行できない。本実施形態は、WLANが使用されるときにOTAを可能にするWLANのためのウェイクアップ制御シーケンス(無線フレーム)を提供する。
[0041]
<本実施形態による解決手段>
 本実施形態は、車両用OTAソフトウェア更新のセキュリティを向上させる。これにより、いわゆる信頼ゾーンと呼ばれる安全ゾーンの作成が可能になる。これらの信頼できるゾーンは、自動車メーカ、OEM(Original Equipment Manufacturer,オリジナル機器メーカ)、ガレージ、および家庭にある。これらの事前定義された場所でのみ、OTA通信が可能である。信頼ゾーン内の許可された担当者のみが通信モジュールにアクセスできる。信頼ゾーン内でのみ、OTA通信が可能である。高速道路などの他の地域の通信モジュールへのアクセスは不可能である。その結果、より高度なセキュリティが達成される。
[0042]
 本実施形態は、ウェイクアップ受信機を使用して信頼ゾーンを確立する。ウェイクアップ受信機は、ウェイクアップシーケンスを受信することができる。ウェイクアップ受信機は、予め定義されたウェイクアップシーケンスのみを受信する専用ワイヤレスデバイスである。予め定義されたウェイクアップシーケンスは、予め定義されたウェイクアップIDを含む。予め定義されたウェイクアップシーケンスは、無線インターフェイスのMACアドレス、フレーム長、およびその他の変調方式(フレーム変調(FML)および周波数シフトキーイング(FSK))も関係することがある。
[0043]
 即ち、ターゲットのウェイクアップ受信機に送信される予め定義されたウェイクアップシーケンスが必要である。ウェイクアップ受信機は、ウェイクアップシーケンスが受信された場合、他の内部状態をオフからオン状態にトリガすることができる。例えばウェイクアップ受信機は、OTA通信モジュール(Data Communication Module,DCM)、ECUをウェイクアップすることが可能である。これは、OTA通信を開始するために必要である。ウェイクアップした通信モジュールは通信を開始することができる。ウェイクアップ受信機は、WLAN(Wireless Area Network)におけるOTA通信を可能にする。ウェイクアップ受信機は、例えば無線装置全体をスイッチオンした後に、通信全体が行われる同じ周波数帯域で動作する。
[0044]
 OTAソフトウェアの更新にWLANを使用すると、より高い帯域幅が可能になる。WLANを使用する場合、大規模なソフトウェアパッケージをOTAで送信することができる。さらに、家庭、ガレージ、OEMにはWLANがインストールされている。WLANは広く使用され、受け入れられている。新しいWLAN規格は、IEEE802.11baのような標準化されたウェイクアップ信号を可能にすることがある。新しいWLAN規格であるIEEE802.11baは、OTA通信にウェイクアップ信号を使用できるWLANのアクセスポイントとモジュールを作成するのに役立つ。但し、上記とは異なる無線周波数および無線プロトコルにおいても有用である。これらの周波数には、920MHz、サブ1GHz、2.4GHz、5GHz、6GHz、60GHzが含まれるが、これらに限定されない。
[0045]
 さらに、本実施形態では、アプリケーション、サーバ、およびOTAクライアント間のアクセスを保護するための識別子を使用する。いわゆるウェイクアップID(WuRx ID)は、OTAシステムの一意の識別子である。正しいウェイクアップIDは、車両とOTAクライアントの内部に格納されている。
[0046]
 以下、本実施形態の構成および動作を、図面を参照して詳細に説明する。
[0047]
 図3は、本実施形態に係るOTAシステムの概要を示す図である。図3を参照すると、OTAシステム200は、OTAサーバ201と、無線ネットワーク202と、OTAクライアント203とから構成されている。OTAサーバ201は、クラウドまたはインターネットのような無線ネットワーク202を介してOTAクライアント203に接続される。OTAサーバ201は、車のステータス、ウェイクアップID(WuRx-ID)およびその他のアクセス情報を含むメインアプリケーション(図示せず)に接続されている。
[0048]
 OTAサーバ201は、ソフトウェアのアップグレードを保存している。図3の204は、OTAサーバ201とデータベース205へのアクセスを組み込んだ保守システムを示している。また、各車両のソフトウェアステータスに関する情報を格納するために、ログファイル206が車両フリート207に接続されている。
[0049]
 OTAサーバ201は、クラウド経由で信頼ゾーンの階層に接続されている。各信頼ゾーン208には、無線アクセスポイント209が装備されている。無線アクセスポイント209は、信頼できるゾーン208内でウェイクアップシーケンスを送信することができる。無線アクセスポイント209には、ウェイクアップ信号を送信するための拡張ウェイクアップ機能が装備されている。ウェイクアップシーケンスは、好ましくは、今後のWLANプロトコルであるIEEE802.11baにも基づいている。ウェイクアップ信号は、ウェイクアップIDを含む。
[0050]
 ウェイクアップシーケンスは、車両内のウェイクアップ受信機210によって受信される。ウェイクアップ受信機210は、OTAクライアント203に接続されている。車両には、1以上のECU211が搭載されている。ウェイクアップ受信機210は、ウェイクアップシーケンスを受信すると、OTAクライアント203をウェイクアップさせる。ウェイクアップした後、OTAクライアント203は、OTAサーバ201からECU211のソフトウェアを更新するために、ソフトウェアのダウンロードを開始する。
[0051]
 図4は、車両ソフトウェアのアップデートのライフサイクルを示す。OEM、ディーラ/ガレージ、オーナ/ドライバの各段階で、本実施形態で提案するOTA通信は、ソフトウェアのアップグレードをより簡単にする。安全なOTA通信は、限定された場所、例えば、OEM、ディーラ、または自宅で行われる。これらの場所はすべて安全であり、OTA通信を確立することができる。さらに、OTAクライアント/サーバアプリケーションは、これらの場所でウェイクアップシーケンスが受信されたときにのみ開始される。
[0052]
 図5は、OTAクライアントおよびOTAサーバの構成例を示す。また図5は、OEM、ガレージ、バッテリ充電ステーション、および家庭を含む信頼ゾーンを示している。図5を参照すると、ウェイクアップ受信機210は、車両内部のWLANステーション(STA)212に接続されている。また、WLANステーション212は、ゲートウェイ(GW)213を介して車両バス214に接続されている。車両バス214は、CAN(Controller Access Network)、MOST(Media Oriented Systems Transport)、イーサネット(登録商標)、或いはAVB(Audio-Video Bridging)で構成される。車両バス214には、オンボード診断インターフェイス(ODB)215、ECU211、車両間インフォテインメント・ユニット(IVI)が接続されている。
[0053]
 図6は、車載モジュールの詳細を示す。ウェイクアップ信号217は、アンテナ218を介してウェイクアップ受信機210によって受信される。ウェイクアップ信号217には、ウェイクアップIDが含まれている。次に、受信されたウェイクアップ信号217およびそれに含まれるウェイクアップIDは、ウェイクアップID照合ユニット219によって、事前に車両に設定されたウェイクアップIDと照合され、両者のIDが一致するか否かが識別される。ウェイクアップ信号217に含まれるウェイクアップIDが有効であれば、WLANステーション212が起動される。WLANステーション212が起動すると、WLAN通信が開始され、WLAN信号220がアンテナ221を介して受信される。
[0054]
 ゲートウェイ213は、WLANデータをOTAクライアント203に転送する。次に、OTAクライアント203は、OTAサーバ201との通信を開始する。OTAクライアント203は、OTAサーバ201から受信した新しいソフトウェアを、車両バス214を介してECU211、IVI216または他の車載ユニットに転送する。代わりに、追加のソフトウェアコンポーネントを有線の通信路に接続されたOBD215を通じてECU211、IVI216に転送することもできる。
[0055]
 保守システム204には、ルールを記憶するテーブルがある。ルールは、どの人物がどのゾーンにアクセスできるかを定義する。即ち、信頼ゾーンを定義するのに役立つ一連のルールが定義されている。ルールセットは管理者によって定義される。管理者は、通信が許可される場所を定義する。ルールセットは、場所、人、およびスケジュールの組み合わせである。ソフトウェア更新キャンペーン中の車両ハードウェアへのアクセス権を制限する必要がある。
[0056]
 図7は、ルールを記憶するテーブルの例を示す。ルールは、ゾーン、ウェイクアップID、車両識別番号(VIN)、時間、人物、およびタスクの各項目から構成される。ルール中のゾーンは、そのルールが適用されるゾーンを特定する。ルール中のウェイクアップIDは、正しいウェイクアップOTAシステムを識別する。車両識別番号は、対象車両を識別するために使用される。時間は、タスクを実行するための時間的条件を定める。人物は、タスクを実行可能な人的条件を定める。タスクは、ターゲットとなるECUのソフトウェアアップグレードを示す。タスクは機器的条件を示す。なお、ルールセットには、無線ウェイクアップ信号の送受信が含まれていてよい。
[0057]
 図8は、本実施形態に係るOTAシステムの状態遷移を示す。OTAシステムは、ソフトウェアアップグレードの待機状態223から始まる。OTAシステムは、保留中のソフトウェアのアップグレードがない場合は、何もする必要はなく、待機状態223に留まる。OTAシステムは、保留中のソフトウェアアップグレードがある場合、ウェイクアップシーケンスを発行する(状態224)。ウェイクアップシーケンスは、無線ユニットを起動させるための「ショルダータップ」として使用される。ウェイクアップシーケンスは、信頼ゾーン208でのみ使用できる。
[0058]
 信頼ゾーン208内では、OTAシステムは、所定の評価225を行う。即ち、OTAシステムは、ソフトウェア更新対象の車両の車両識別番号(VIN)226、時間227、人物228に関するウェイクアップシーケンスが特定され、それらがルールに適合するか否かが評価される。ルールに適合する場合、OTAシステムは、車両がセーブ(save)として検出されなければならない場合にのみ、OTA通信を確立する(状態229)。また、OTAシステムは、車両が安全(safe)であると識別された場合にのみ、ソフトウェアのアップグレードを開始する。OTAシステムは、例えば、車両が移動しておらず、適切な人にアクセス権が与えられている場合、安全と判断する。OTAシステムは、車両の安全が確立されると、OTA通信を開始する(状態230)。
[0059]
 OTAシステムは、OTA通信を使用して、OTAサーバ201からソフトウェアのアップグレードをダウンロードする。OTAシステムは、ソフトウェアのアップグレードのインストールが失敗した場合、ロールバック機能231により、以前の安定版ソフトウェアのインストールを行う。ロールバック機能231は、車両が正しく動作することを保証する。ソフトウェアのアップグレードが失敗した場合、OTAサーバ201はOTAクライアント203を介してその旨が通知される。また、ソフトウェアのアップグレードに成功した場合、OTAサーバ201はOTAクライアント203を介してその旨が通知される。
[0060]
 以下では、OTAシステムの動作を、フローチャートを用いて詳細に説明する。
[0061]
 図9は、ウェイクアップID(WuRx-ID)をOTAシステムに適用する手順を示している。まず、ウェイクアップIDが、例えば、OTAサーバ201の管理者によって決定される(S1)。次に、ウェイクアップIDが目標車両に適用される(S2)。
[0062]
 図10は、OTAシステムにおけるウェイクアップID(WuRx-ID)の送受信の手順を示している。まず、無線ローカルエリアネットワーク(WLAN)のアクセスポイント209からウェイクアップIDが送信される(S11)。次に、ウェイクアップIDは車両内のウェイクアップ受信機によって受信される(S12)。ウェイクアップIDの受信が成功すると、OTAソフトウェアのアップグレードが開始される(S13)。
[0063]
 図11は、OTAシステムの展開と登録の手順を示している。まず、ROD(Radio On Demand Networks)の無線アクセスポイント(AP)あるいはIEEE802.11ba規格の無線アクセスポイント(AP)を配置する(S21)。次に、無線アクセスポイントのIPアドレスおよびMACアドレスを保守システム204に登録する(S22)。次に、無線アクセスポイントの位置を保守システム204に登録する(S23)。次に、ウェイクアップIDを保守システム204に登録する(S24)。次に、アクセス権およびアクション/ルールを保守システム204に登録する(S25)。
[0064]
 図12は、信頼できるゾーンを特定し、ソフトウェアアップデートを利用する手順を示している。まず、OTAシステムは、ソフトウェアアップデートを利用可能にする(S31)。次に、OTAシステムは、例えばOEM、ガレージ、バッテリ充電器ステーション、自宅などのターゲット車両の位置を知らせ、ソフトウェアを、スケジュールされた時間にソフトウェアが利用できるように、事前に転送する(S32)。次に、車両が信頼できるゾーンに到着し、ウェイクアップID(WuRx-ID)を含むウェイクアップシーケンスを受信する(S33)。次に、ウェイクアップシーケンスが正常に受信された後、車両が安全な位置にあるとき(エンジンが動かないなど)、ソフトウェアのアップグレードが開始される(S34)。
[0065]
 図13は、OEMが新しい車両の新しいウェイクアップIDを登録する手順を示している。まず、OEMは、新車両に、ウェイクアップIDを登録する(S41)。OEMは、ウェイクアップIDが登録されていない場合、QRコードを使用する(S42)。各車両には、車両識別番号(VIN)に類似したQRコード(車両のドアエントリー)が装備されている。QRコードは車両の登録に使用される。次に、車両を登録するためにQRコードを転送する(S43)。次に、QRコードと車両のオーナシップ(owner ship)が正しいかを保守システムで確認する(S44)。ウェイクアップIDとQRコードの確認後、登録プロセスは完了する(S45)。
[0066]
 図14は、OTAシステムの信頼ゾーンにおける動作を示している。まず、所定の無線アクセスポイントが動作している信頼ゾーンまで車両を移動させる(S51)。信頼ゾーンでは、RODの無線アクセスポイントまたはIEEE802.11baの無線アクセスポイントが動作している。ゾーンが見つからない場合、すなわち車両が信頼できるゾーンの外にある場合(S52でNO)、OTAおよびECUソフトウェアの更新などは実行できない(S53)。また、車両が信頼できるゾーンにない場合、ソフトウェアのアップグレードへのアクセスは許可されない(S54)。
[0067]
 信頼できるゾーン内の車両の場合(S52でYES)、そのゾーンで可能なアクションを定義するルールが検証される(S55)。ルールには、スケジュールアクセス時間、車両識別番号(VIN)、人物、およびタスクが含まれる。次に、自動車のIVIシステムを介して、例えば、ソフトウェア更新を確認し、ソフトウェア更新プロセスを開始するために、運転手または保守員といくらかの相互作用が存在し得る(S56)。ソフトウェアのアップグレードは、車両がセーブ状態にあるとき、例えば運転していない、エンジンが動かないなどのときにのみ可能である(S57)。
[0068]
 図15は、ウェイクアップシーケンスまたは「ショルダータップ」を送信するプロセスを示している。まず、ウェイクアップID(WuRx-ID)が車両によって受信される(S61)。次に、アクセスを検証するためにステーション/ECUが無線でウェイクアップされる(S62)。次に、受信したウェイクアップIDに基づいてアクセスが検証される(S63)。次に、保留中のOTAソフトウェアの更新についてドライバまたはメンテナンス担当者に通知される(S64)。次に、車両の安全性が識別される(S65)。車両が安全な位置にある場合、OTAソフトウェア・アップグレード・キャンペーンが開始される(S66)。
[0069]
 図16は、ウェイクアップまたはショルダータップの選択プロセスを示している。まず、ソフトウェアのアップグレードが保留中である(S71)。次に、ショルダータップはOTAサーバによって始められる(S72)。次に、OTAサーバは、無線アクセスシステムが、セルラネットワークまたはWi-Fi(WLAN)の何れであるかを確認する(S73)。セルラネットワークの場合、OTAサーバは、ショートメッセージサービス(SMS)のメッセージを送信することによって、OTAクライアントを起動するためのショルダータップ信号を開始し(S74)、SMSを送信する(S75)。Wi-Fi(WLAN)の場合、OTAサーバは、ウェイクアップシーケンスの形式で「Wi-Fiショルダータップ」を開始し(S76)、ウェイクアップ信号を送信する(S77)。ウェイクアップ(Wake-Up)信号とウェイクアップID(WuRx-ID)は、WLAN(Wi-Fi)通信のみが利用可能な場合にOTAクライアントを起動するために使用される。次に、OTAクライアントがウェイクアップシーケンスを受信すると(S78)、OTAソフトウェア・アップグレード・キャンペーンが開始される(S79)。
[0070]
 図17は、セルラネットワーク経由によるOTA通信とWLAN経由によるOTA通信のフローチャートを示す。初期状態は、OTAサーバ201においてソフトウェア更新が利用可能であり、OTAクライアント203はスリープ状態にある。
[0071]
 利用可能なセルラアクセスがある場合、SMSメッセージとしてのウェイクアップシーケンスがOTAサーバ201からOTAクライアント203に送信される(S81)。ウェイクアップメッセージは、OTAクライアント203をスリープ状態からウェイクアップするために送信される。OTAクライアント203がウェイクアップしてアクティブ状態になったことは、OTAサーバ201に通知される(S82)。OTAクライアント203が使用可能になると、OTAサーバ201は、ソフトウェアのアップグレードを開始する(S83)。ソフトウェアのアップグレードが完了すると、その旨がOTAクライアント203からOTAサーバ201に通知される(S84)。また、ソフトウェアのアップブレードが完了すると、OTAクライアントはスリープ状態に戻る。
[0072]
 WLANアクセスが利用可能である場合、ウェイクアップメッセージはWLANの無線アクセスポイントを介して送信される(S85)、OTAクライアント203がウェイクアップしてアクティブ状態になったことは、OTAサーバ201に通知される(S86)。OTAサーバ201は、OTAクライアント203がアクティブ状態の場合、ソフトウェアのアップグレードを開始する(S87)。ソフトウェアのアップグレードが完了すると、その旨がOTAクライアント203からOTAサーバ201に通知される(S88)。また、OTAソフトウェアのアップグレードが完了すると、OTAクライアントはスリープ状態に戻る。
[0073]
<第2の実施形態の変形>
 第2の実施形態は、車両のソフトウェア更新の安全な送信を可能にする。特に、IEEE802.11baのWLANプロトコルは、標準化されたウェイクアップ信号を可能にする。第2の実施形態の変形例としては、IEEE802.15.4のような無線パーソナルエリアネットワーク(WPAN)における使用がある。このようなWPANプロトコルは、センサノードにおいて使用され、実装される。IEEE802.15.4 WPANセンサへの本発明の適用は、IoT(Internet of Things)に対するOTAを可能にする。本発明が適用できるその他のWLANプロトコルには、IEEE802.11b/a/n/ac/ah/ai/ax、WiSUN、LoRA、およびSigfoxxが含まれる。WiSUNデバイスには、IEEE802.15.4e/gプロトコル企画が含まれる。
[0074]
 また、第2の実施形態は、データのアップロードのアプリケーションを提供してよい。車両内のOTAクライアントのウェイクアップ後、車両データはOTAサーバに転送することができる。車両データは、テレマティックデータ、位置データ、センサデータを含むことができる。このようなデータは、車両保守サービスを含む幅広いアプリケーションに役立つ。
[0075]
 また、第2の実施形態は、ウェイクアップシーケンスの送受信を利用するサービスプラットフォームと、車両の安全なソフトウェアアップグレードを保存するための信頼ゾーンを作成するためのルールのセットを含んでいてよい。サービスプラットフォームは、管理者がOTA通信のために車両にアクセスできるルールを設定するためのサービスプログラムで構成される。このサービスには、一連のルール、ウェイクアップID、および車両の詳細を格納することが含まれる。これらの詳細には、製造ID、製造年、ECUのステータス、ECUのソフトウェアステータス、タイムスタンプ、エラーメッセージなど、車両の情報が含まれる。このサービスは、車両データをデータベースに格納することを可能にする。データベースは、ソフトウェアキャンペーンや政府の要請に役立つ。
[0076]
<本実施形態の利用が考えられる分野>
 この発明は、車載内、車載外、OTA(オーバー・ジ・エア)、オートモーティブ、ソフトウェア、ソフトウェアのアップデート、クライアント、サーバ、ソリューション(OTAとWuRx)、ウェイクアップ、オンデマンド型OTA、消費する電力および電波資源を必要最小限とするRadio On Demand Networks(ROD)、Wake-up Receiver、オンデマンド型アクセスなどに利用できる。
[0077]
 本実施形態は、GPS(Global Positioning System)と組み合わせてセキュリティをさらに強化することができる。GPS、OTA、そしてWuRxの組み合わせは有益である。ただし、一部の地域では、GPSが完全に利用できない場合がある。
[0078]
[第3の実施形態]
 図18を参照すると、本発明の第3の実施形態に係るソフトウェア更新システム300は、サーバ装置301と無線アクセスポイント302とソフトウェア更新装置303とを含んで構成される。
[0079]
 ソフトウェア更新装置303は、通信ユニット304とウェイクアップ受信ユニット305とを含んで構成される。通信ユニット304は、ソフトウェアを実行する電子機器306に接続されている。ウェイクアップ受信ユニット305は、予め登録された無線アクセスポイント302からウェイクアップ要求を受信すると、通信ユニット304をスリープ状態からウェイクアップ状態に遷移させる。通信ユニット304は、ウェイクアップ状態に遷移すると、外部装置との無線通信を開始し、外部装置から受信した更新ソフトウェアによって電子機器306のソフトウェアを更新する。
[0080]
 サーバ装置301は、通信ユニット307と制御ユニット308とを含んで構成される。通信ユニット307は、無線アクセスポイント302を通じて、無線アクセスポイント302の無線カバレッジエリア309内に存在するソフトウェア更新装置303と無線通信する。制御ユニット308は、通信ユニット307を通じて、予め登録された無線アクセスポイント302からウェイクアップ要求を送信する。制御ユニット308は、上記ウェイクアップ要求を受信しスリープ状態からウェイクアップ状態に遷移したソフトウェア更新装置303から無線通信によって応答を受信すると、通信ユニット307を通じて、電子機器306のソフトウェアを更新するための更新ソフトウェアを無線アクセスポイント302からソフトウェア更新装置303へ送信する。
[0081]
 このように構成されたソフトウェア更新システム300は、以下のように機能する。即ち、サーバ装置301の制御ユニット308は、通信ユニット307を通じて、予め登録された無線アクセスポイント309からウェイクアップ要求を送信する。この送信されたウェイクアップ要求を受信した無線アクセスポイント309は、受信したウェイクアップ要求を無線カバレッジエリア309内に送信する。
[0082]
 ソフトウェア更新装置303のウェイクアップ受信ユニット305は、無線アクセスポイント309の無線カバレッジエリア309内に存在する場合に限り、ウェイクアップ要求を受信することができる。ウェイクアップ受信ユニット305は、無線アクセスポイント302からウェイクアップ要求を受信すると、通信ユニット304をスリープ状態からウェイクアップ状態に遷移させる。通信ユニット304は、ウェイクアップ状態に遷移すると、サーバ装置301との無線通信を開始する。
[0083]
 サーバ装置301の制御ユニット308は、ウェイクアップ要求を受信しスリープ状態からウェイクアップ状態に遷移した通信ユニット304から無線通信によって応答を受信すると、電子機器306のソフトウェアを更新するための更新ソフトウェアを通信ユニット307により無線アクセスポイント302から通信ユニット304へ送信する。通信ユニット304は、サーバ装置301から受信した更新ソフトウェアによって電子機器306のソフトウェアを更新する。
[0084]
 このように本実施形態によれば、電子機器306に対する悪意のある第三者による不正アクセスを有効に防止することができる。
[0085]
 その理由は、電子機器306のソフトウェアを更新するためには、通信ユニット304をウェイクアップ状態にする必要があるためである。また、通信ユニット304をウェイクアップ状態にするためには、ウェイクアップ受信ユニット305がウェイクアップ要求を受信する必要があり、そのためにはウェイクアップ受信ユニット305が予め定義された無線アクセスポイント302の無線カバレッジエリア309内に存在していなければならないためである。
[0086]
 以上、上記各実施形態を参照して本発明を説明したが、本発明は、上述した実施形態に限定されるものではない。本発明の構成や詳細には、本発明の範囲内で当業者が理解しうる様々な変更をすることができる。
[0087]
 なお、本発明は、日本国にて2017年7月4日に特許出願された特願2017-131130の特許出願に基づく優先権主張の利益を享受するものであり、当該特許出願に記載された内容は、全て本明細書に含まれるものとする。

産業上の利用可能性

[0088]
 本発明は、電子機器のソフトウェアを無線通信により更新するシステム、例えば車載電子機器のソフトウェアを無線ネットワーク経由でサーバ装置から更新するシステムに利用できる。
[0089]
 上記の実施形態の一部又は全部は、以下の付記のようにも記載され得るが、以下には限られない。
[付記1]
 ソフトウェアを実行する電子機器に接続された通信ユニットと、
 予め登録された無線アクセスポイントからウェイクアップ要求を受信すると、前記通信ユニットをスリープ状態からウェイクアップ状態に遷移させるウェイクアップ受信ユニットとを含み、
 前記通信ユニットは、前記ウェイクアップ状態に遷移すると、外部装置との無線通信を開始し、前記外部装置から受信した更新ソフトウェアによって前記電子機器の前記ソフトウェアを更新する、
ソフトウェア更新装置。
[付記2]
 前記ウェイクアップ受信ユニットは、予め定義されたウェイクアップIDが前記ウェイクアップ要求に含まれているか否かを確認するように構成されている、
付記1に記載のソフトウェア更新装置。
[付記3]
 前記ウェイクアップ受信ユニットは、前記ウェイクアップ信号を受信した時間が予め定義された時間であるか否かを確認するように構成されている、
付記1または2に記載のソフトウェア更新装置。
[付記4]
 前記ウェイクアップ受信ユニットは、前記ウェイクアップ信号の送出元が予め定義された人物であるか否かを確認するように構成されている、
付記1乃至3の何れかに記載のソフトウェア更新装置。
[付記5]
 前記ウェイクアップ受信ユニットは、前記電子機器の情報が前記ウェイクアップ信号に含まれているか否かを確認するように構成されている、
付記1乃至4の何れかに記載のソフトウェア更新装置。
[付記6]
 ウェイクアップ受信ユニットとソフトウェアを実行する電子機器に接続された通信ユニットとを含むソフトウェア更新装置が実行するソフトウェア更新方法であって、
 前記ウェイクアップ受信ユニットが、予め登録された無線アクセスポイントからウェイクアップ要求を受信すると、前記通信ユニットをスリープ状態からウェイクアップ状態に遷移させ、
 前記通信ユニットが、前記ウェイクアップ状態に遷移すると、外部装置との無線通信を開始し、前記外部装置から受信した更新ソフトウェアによって前記電子機器の前記ソフトウェアを更新する、
電子機器のソフトウェア更新方法。
[付記7]
 前記ウェイクアップ受信ユニットは、予め定義されたウェイクアップIDが前記ウェイクアップ要求に含まれているか否かを確認する、
付記6に記載の電子機器のソフトウェア更新装置。
[付記8]
 前記ウェイクアップ受信ユニットは、前記ウェイクアップ信号を受信した時間が予め定義された時間であるか否かを確認する、
付記6または7に記載の電子機器のソフトウェア更新装置。
[付記9]
 前記ウェイクアップ受信ユニットは、前記ウェイクアップ信号の送出元が予め定義された人物であるか否かを確認する、
付記6乃至8の何れかに記載の電子機器のソフトウェア更新装置。
[付記10]
 前記ウェイクアップ受信ユニットは、前記電子機器の情報が前記ウェイクアップ信号に含まれているか否かを確認する、
付記6乃至9の何れかに記載の電子機器のソフトウェア更新装置。
[付記11]
 通信ユニットと、
 前記通信ユニットを通じて、予め登録された無線アクセスポイントからウェイクアップ要求を送信し、前記ウェイクアップ要求を受信しスリープ状態からウェイクアップ状態に遷移した機器から無線通信によって応答を受信すると、前記通信ユニットを通じて、前記機器のソフトウェアを更新するための更新ソフトウェアを前記無線アクセスポイントから前記機器へ送信する制御ユニットと、
を含むサーバ装置。
[付記12]
 前記制御ユニットは、前記ウェイクアップ要求を、予め定義されたウェイクアップIDを付加して送信するように構成されている、
付記11に記載のサーバ装置。
[付記13]
 前記制御ユニットは、前記ウェイクアップ要求を、予め定義された時間に送信するように構成されている、
付記11または12に記載のサーバ装置。
[付記14]
 前記制御ユニットは、前記ウェイクアップ要求を、予め定義された人物の情報を付加して送信するように構成されている、
付記11乃至13の何れかに記載のサーバ装置。
[付記15]
 前記制御ユニットは、前記ウェイクアップ要求を、前記機器の情報を付加して送信するように構成されている、
付記11乃至14の何れかに記載のサーバ装置。
[付記16]
 無線通信により機器のソフトウェアを更新するサーバ装置が実行するソフトウェア更新方法であって、
 予め登録された無線アクセスポイントからウェイクアップ要求を送信し、
 前記ウェイクアップ要求を受信しスリープ状態からウェイクアップ状態に遷移した機器から無線通信によって応答を受信すると、前記機器のソフトウェアを更新するための更新ソフトウェアを前記無線アクセスポイントから前記機器へ送信する、
サーバ装置によるソフトウェア更新方法。
[付記17]
 前記ウェイクアップ要求を、予め定義されたウェイクアップIDを付加して送信する、
付記16に記載のサーバ装置によるソフトウェア更新方法。
[付記18]
 前記ウェイクアップ要求を、予め定義された時間に送信する、
付記16または17に記載のサーバ装置によるソフトウェア更新方法。
[付記19]
 前記ウェイクアップ要求を、予め定義された人物の情報を付加して送信する、
付記16乃至18の何れかに記載のサーバ装置によるソフトウェア更新方法。
[付記20]
 前記ウェイクアップ要求を、前記機器の情報を付加して送信する、
付記16乃至19の何れかに記載のサーバ装置によるソフトウェア更新方法。
[付記21]
 コンピュータを、
 ソフトウェアを実行する電子機器に接続された通信ユニットと、
 予め登録された無線アクセスポイントからウェイクアップ要求を受信すると、前記通信ユニットをスリープ状態からウェイクアップ状態に遷移させるウェイクアップ受信ユニットと、
して機能させ、
 前記通信ユニットは、前記ウェイクアップ状態に遷移すると、外部装置との無線通信を開始し、前記外部装置から受信した更新ソフトウェアによって前記電子機器の前記ソフトウェアを更新する、
プログラムを記録したコンピュータ読み取り可能な記録媒体。
[付記22]
 前記ウェイクアップ受信ユニットは、予め定義されたウェイクアップIDが前記ウェイクアップ要求に含まれているか否かを確認するように構成されている、
付記21に記載のプログラムを記録したコンピュータ読み取り可能な記録媒体。
[付記23]
 前記ウェイクアップ受信ユニットは、前記ウェイクアップ信号を受信した時間が予め定義された時間であるか否かを確認するように構成されている、
付記21または22に記載の記録媒体。
[付記24]
 前記ウェイクアップ受信ユニットは、前記ウェイクアップ信号の送出元が予め定義された人物であるか否かを確認するように構成されている、
付記21乃至23の何れかに記載の記録媒体。
[付記25]
 前記ウェイクアップ受信ユニットは、前記電子機器の情報が前記ウェイクアップ信号に含まれているか否かを確認するように構成されている、
付記21乃至24の何れかに記載の記録媒体。
[付記26]
 コンピュータを、
 通信ユニットと、
 前記通信ユニットを通じて、予め登録された無線アクセスポイントからウェイクアップ要求を送信し、前記ウェイクアップ要求を受信しスリープ状態からウェイクアップ状態に遷移した機器から無線通信によって応答を受信すると、前記通信ユニットを通じて、前記機器のソフトウェアを更新するための更新ソフトウェアを前記無線アクセスポイントから前記機器へ送信する制御ユニットと、
して機能させるためのプログラムを記録したコンピュータ読み取り可能な記録媒体。
[付記27]
 前記制御ユニットは、前記ウェイクアップ要求を、予め定義されたウェイクアップIDを付加して送信するように構成されている、
付記26に記載の記録媒体。
[付記28]
 前記制御ユニットは、前記ウェイクアップ要求を、予め定義された時間に送信するように構成されている、
付記26または27に記載の記録媒体。
[付記29]
 前記制御ユニットは、前記ウェイクアップ要求を、予め定義された人物の情報を付加して送信するように構成されている、
付記26乃至28の何れかに記載の記録媒体。
[付記30]
 前記制御ユニットは、前記ウェイクアップ要求を、前記機器の情報を付加して送信するように構成されている、
付記26乃至29の何れかに記載の記録媒体。

符号の説明

[0090]
100…ソフトウェア更新システム
101…サーバ装置
102…無線アクセスポイント
103…車載機器
104…車両
105…ECU
106…通信ユニット
107…ウェイクアップ受信ユニット
108…制御ユニット
109…通信ユニット
110…無線カバレッジエリア
200…OTAシステム
201…OTAサーバ
202…無線ネットワーク
203…OTAクライアント
204…保守システム
205…データベース
206…ログファイル
207…車両フリート
208…信頼ゾーン
209…無線アクセスポイント
210…ウェイクアップ受信機
211…ECU
212…WLANステーション
213…ゲートウェイ
214…車両バス
215…OBD
216…IVI
217…ウェイクアップ信号
218…アンテナ
219…ウェイクアップID照合ユニット
220…WLAN信号
221…アンテナ
222…通信路
223…待機状態
224…状態
225…評価
226…VIN
227…時間
228…人物
229…状態
230…状態
231…ロールバック状態
300…ソフトウェア更新システム
301…サーバ装置
302…無線アクセスポイント
303…ソフトウェア更新装置
304…通信ユニット
305…ウェイクアップ受信機
306…電子機器
307…通信ユニット
308…制御ユニット
309…無線カバレッジエリア

請求の範囲

[請求項1]
 ソフトウェアを実行する電子機器に接続された通信ユニットと、
 予め登録された無線アクセスポイントからウェイクアップ要求を受信すると、前記通信ユニットをスリープ状態からウェイクアップ状態に遷移させるウェイクアップ受信ユニットとを含み、
 前記通信ユニットは、前記ウェイクアップ状態に遷移すると、外部装置との無線通信を開始し、前記外部装置から受信した更新ソフトウェアによって前記電子機器の前記ソフトウェアを更新する、
ソフトウェア更新装置。
[請求項2]
 前記ウェイクアップ受信ユニットは、予め定義されたウェイクアップIDが前記ウェイクアップ要求に含まれているか否かを確認するように構成されている、
請求項1に記載のソフトウェア更新装置。
[請求項3]
 前記ウェイクアップ受信ユニットは、前記ウェイクアップ信号を受信した時間が予め定義された時間であるか否かを確認するように構成されている、
請求項1または2に記載のソフトウェア更新装置。
[請求項4]
 前記ウェイクアップ受信ユニットは、前記ウェイクアップ信号の送出元が予め定義された人物であるか否かを確認するように構成されている、
請求項1乃至3の何れかに記載のソフトウェア更新装置。
[請求項5]
 前記ウェイクアップ受信ユニットは、前記電子機器の情報が前記ウェイクアップ信号に含まれているか否かを確認するように構成されている、
請求項1乃至4の何れかに記載のソフトウェア更新装置。
[請求項6]
 ウェイクアップ受信ユニットとソフトウェアを実行する電子機器に接続された通信ユニットとを含むソフトウェア更新装置が実行するソフトウェア更新方法であって、
 前記ウェイクアップ受信ユニットが、予め登録された無線アクセスポイントからウェイクアップ要求を受信すると、前記通信ユニットをスリープ状態からウェイクアップ状態に遷移させ、
 前記通信ユニットが、前記ウェイクアップ状態に遷移すると、外部装置との無線通信を開始し、前記外部装置から受信した更新ソフトウェアによって前記電子機器の前記ソフトウェアを更新する、
電子機器のソフトウェア更新方法。
[請求項7]
 前記ウェイクアップ受信ユニットは、予め定義されたウェイクアップIDが前記ウェイクアップ要求に含まれているか否かを確認する、
請求項6に記載の電子機器のソフトウェア更新装置。
[請求項8]
 前記ウェイクアップ受信ユニットは、前記ウェイクアップ信号を受信した時間が予め定義された時間であるか否かを確認する、
請求項6または7に記載の電子機器のソフトウェア更新装置。
[請求項9]
 前記ウェイクアップ受信ユニットは、前記ウェイクアップ信号の送出元が予め定義された人物であるか否かを確認する、
請求項6乃至8の何れかに記載の電子機器のソフトウェア更新装置。
[請求項10]
 前記ウェイクアップ受信ユニットは、前記電子機器の情報が前記ウェイクアップ信号に含まれているか否かを確認する、
請求項6乃至9の何れかに記載の電子機器のソフトウェア更新装置。
[請求項11]
 通信ユニットと、
 前記通信ユニットを通じて、予め登録された無線アクセスポイントからウェイクアップ要求を送信し、前記ウェイクアップ要求を受信しスリープ状態からウェイクアップ状態に遷移した機器から無線通信によって応答を受信すると、前記通信ユニットを通じて、前記機器のソフトウェアを更新するための更新ソフトウェアを前記無線アクセスポイントから前記機器へ送信する制御ユニットと、
を含むサーバ装置。
[請求項12]
 前記制御ユニットは、前記ウェイクアップ要求を、予め定義されたウェイクアップIDを付加して送信するように構成されている、
請求項11に記載のサーバ装置。
[請求項13]
 前記制御ユニットは、前記ウェイクアップ要求を、予め定義された時間に送信するように構成されている、
請求項11または12に記載のサーバ装置。
[請求項14]
 前記制御ユニットは、前記ウェイクアップ要求を、予め定義された人物の情報を付加して送信するように構成されている、
請求項11乃至13の何れかに記載のサーバ装置。
[請求項15]
 前記制御ユニットは、前記ウェイクアップ要求を、前記機器の情報を付加して送信するように構成されている、
請求項11乃至14の何れかに記載のサーバ装置。
[請求項16]
 無線通信により機器のソフトウェアを更新するサーバ装置が実行するソフトウェア更新方法であって、
 予め登録された無線アクセスポイントからウェイクアップ要求を送信し、
 前記ウェイクアップ要求を受信しスリープ状態からウェイクアップ状態に遷移した機器から無線通信によって応答を受信すると、前記機器のソフトウェアを更新するための更新ソフトウェアを前記無線アクセスポイントから前記機器へ送信する、
サーバ装置によるソフトウェア更新方法。
[請求項17]
 前記ウェイクアップ要求を、予め定義されたウェイクアップIDを付加して送信する、
請求項16に記載のサーバ装置によるソフトウェア更新方法。
[請求項18]
 前記ウェイクアップ要求を、予め定義された時間に送信する、
請求項16または17に記載のサーバ装置によるソフトウェア更新方法。
[請求項19]
 前記ウェイクアップ要求を、予め定義された人物の情報を付加して送信する、
請求項16乃至18の何れかに記載のサーバ装置によるソフトウェア更新方法。
[請求項20]
 前記ウェイクアップ要求を、前記機器の情報を付加して送信する、
請求項16乃至19の何れかに記載のサーバ装置によるソフトウェア更新方法。
[請求項21]
 コンピュータを、
 ソフトウェアを実行する電子機器に接続された通信ユニットと、
 予め登録された無線アクセスポイントからウェイクアップ要求を受信すると、前記通信ユニットをスリープ状態からウェイクアップ状態に遷移させるウェイクアップ受信ユニットと、
して機能させ、
 前記通信ユニットは、前記ウェイクアップ状態に遷移すると、外部装置との無線通信を開始し、前記外部装置から受信した更新ソフトウェアによって前記電子機器の前記ソフトウェアを更新する、
プログラムを記録したコンピュータ読み取り可能な記録媒体。
[請求項22]
 前記ウェイクアップ受信ユニットは、予め定義されたウェイクアップIDが前記ウェイクアップ要求に含まれているか否かを確認するように構成されている、
請求項21に記載のプログラムを記録したコンピュータ読み取り可能な記録媒体。
[請求項23]
 前記ウェイクアップ受信ユニットは、前記ウェイクアップ信号を受信した時間が予め定義された時間であるか否かを確認するように構成されている、
請求項21または22に記載の記録媒体。
[請求項24]
 前記ウェイクアップ受信ユニットは、前記ウェイクアップ信号の送出元が予め定義された人物であるか否かを確認するように構成されている、
請求項21乃至23の何れかに記載の記録媒体。
[請求項25]
 前記ウェイクアップ受信ユニットは、前記電子機器の情報が前記ウェイクアップ信号に含まれているか否かを確認するように構成されている、
請求項21乃至24の何れかに記載の記録媒体。
[請求項26]
 コンピュータを、
 通信ユニットと、
 前記通信ユニットを通じて、予め登録された無線アクセスポイントからウェイクアップ要求を送信し、前記ウェイクアップ要求を受信しスリープ状態からウェイクアップ状態に遷移した機器から無線通信によって応答を受信すると、前記通信ユニットを通じて、前記機器のソフトウェアを更新するための更新ソフトウェアを前記無線アクセスポイントから前記機器へ送信する制御ユニットと、
して機能させるためのプログラムを記録したコンピュータ読み取り可能な記録媒体。
[請求項27]
 前記制御ユニットは、前記ウェイクアップ要求を、予め定義されたウェイクアップIDを付加して送信するように構成されている、
請求項26に記載の記録媒体。
[請求項28]
 前記制御ユニットは、前記ウェイクアップ要求を、予め定義された時間に送信するように構成されている、
請求項26または27に記載の記録媒体。
[請求項29]
 前記制御ユニットは、前記ウェイクアップ要求を、予め定義された人物の情報を付加して送信するように構成されている、
請求項26乃至28の何れかに記載の記録媒体。
[請求項30]
 前記制御ユニットは、前記ウェイクアップ要求を、前記機器の情報を付加して送信するように構成されている、
請求項26乃至29の何れかに記載の記録媒体。

図面

[ 図 1]

[ 図 2]

[ 図 3]

[ 図 4]

[ 図 5]

[ 図 6]

[ 図 7]

[ 図 8]

[ 図 9]

[ 図 10]

[ 図 11]

[ 図 12]

[ 図 13]

[ 図 14]

[ 図 15]

[ 図 16]

[ 図 17]

[ 図 18]