WO2018189951A1

WO2018189951A1 - 中継装置、中継方法、およびコンピュータプログラム

Info

Publication number: WO2018189951A1
Application number: PCT/JP2017/044758
Authority: WO
Inventors: 中野　貴之
Original assignee: 住友電気工業株式会社
Priority date: 2017-04-12
Filing date: 2017-12-13
Publication date: 2018-10-18

Abstract

車載制御装置を含む車内ネットワークに属する中継装置であって、前記中継装置から前記車載制御装置に転送する当該車載制御装置の更新用プログラムを、無線通信を介してサーバから受信する通信部と、前記サーバから前記中継装置までに発生し得る通信異常の有無、および、異常ありの場合は当該通信異常の種類に応じて、前記更新用プログラムの受信タイミングを決定する制御部と、を備える、中継装置。

Description

中継装置、中継方法、およびコンピュータプログラム

　この発明は中継装置、中継方法、およびコンピュータプログラムムに関する。
　本出願は、２０１７年４月１２日出願の日本出願第２０１７－０７８８１２号に基づく優先権を主張し、前記日本出願に記載された全ての記載内容を援用するものである。

　近年、自動車の技術分野においては、車両の高機能化が進行しており、多種多様な車載機器が車両に搭載されている。従って、車両には、各車載機器を制御するための制御装置である、所謂ＥＣＵ（Electronic　Control　Unit）が多数搭載されている。
　ＥＣＵの種類には、例えば、アクセル、ブレーキ、ハンドルの操作に対してエンジンやブレーキ、ＥＰＳ（Electric　Power　Steering）等の制御を行う走行系に関わるもの、乗員によるスイッチ操作に応じて車内照明やヘッドライトの点灯／消灯と警報器の吹鳴等の制御を行うボディ系ＥＣＵ、運転席近傍に配設されるメータ類の動作を制御するメータ系ＥＣＵなどがある。

　一般的にＥＣＵは、マイクロコンピュータ等の演算処理装置によって構成されており、ＲＯＭ（Read　Only　Memory）に記憶した制御プログラムを読み出して実行することにより、車載機器の制御が実現される。
　ＥＣＵの制御プログラムは、車両の仕向け地やグレードなど応じて異なることがあり、制御プログラムのバージョンアップに対応して、旧バージョンの制御プログラムを新バージョンの制御プログラムに書き換える必要がある。また、たとえば地図情報や制御用のパラメータなど、制御プログラムの実行に必要なデータも書き換える必要がある。

　たとえば、特許文献１には、ネットワークを介して更新用プログラムをサーバからダウンロードし、プログラムの更新を行う技術（オンライン更新機能）が開示されている。

特開２０１２－１７８０３５号公報特開２０１２－１３２５３号公報特開２０１４－１１８０７１号公報

　ある実施の形態に従うと、中継装置は車載制御装置を含む車内ネットワークに属する中継装置であって、中継装置から車載制御装置に転送する当該車載制御装置の更新用プログラムを、無線通信を介してサーバから受信する通信部と、サーバから中継装置までに発生し得る通信異常の有無、および、異常ありの場合は当該通信異常の種類に応じて、更新用プログラムの受信タイミングを決定する制御部と、を備える。

　他の実施の形態に従うと、中継方法は、車載制御装置を含む車内ネットワークに属する中継装置において、サーバから送信される車載制御装置の更新用プログラムを受信し、当該車載制御装置に転送する、中継方法であって、更新用プログラムを、無線通信を介してサーバから受信するステップと、サーバから中継装置までに発生し得る通信異常の有無、および、異常ありの場合は当該通信異常の種類に応じて、更新用プログラムの受信タイミングを決定するステップと、を備える。

　他の実施の形態に従うと、コンピュータプログラムは、車載制御装置を含む車内ネットワークに属する中継装置としてコンピュータを機能させるためのコンピュータプログラムであって、コンピュータを、中継装置から車載制御装置に転送する当該車載制御装置の更新用プログラムを、無線通信を介してサーバから受信する通信部と、サーバから中継装置までに発生し得る通信異常の有無、および、異常ありの場合は当該通信異常の種類に応じて、更新用プログラムの受信タイミングを決定する制御部と、として機能させる。

図１は、プログラム更新システムの全体構成図である。図２は、ゲートウェイの内部構成を示すブロック図である。図３は、ＥＣＵの内部構成を示すブロック図である。図４は、管理サーバの内部構成を示すブロック図である。図５は、プログラム更新システムにおいて実行される、制御プログラムのオンライン更新の流れの一例を示すシーケンス図である。図６は、第１の実施の形態にかかるプログラム更新システムにおけるＤＬ制御処理の具体的な内容を表したフローチャートである。図７は、図６のステップＳ１０７の特定処理の一例を表したフローチャートである。図８は、ネットワーク情報の一例を示す図である。図９は、異常の種類と受信タイミングとの対応関係の一例を表した図である。図１０は、走行モデルの一例を示す図である。

＜本開示が解決しようとする課題＞
　特許文献１に開示されているようにオンライン更新を実行する場合、通信状況によってはダウンロード時間が長時間におよび、他の処理に影響を与えたり、ダウンロードに失敗したりする場合がある。また、通信が不通のタイミングにはダウンロードが成功せず、オンライン更新を行うことができない。

　本開示のある局面における目的は、通信状況に応じて、車載制御装置に転送する更新用プログラムの、サーバからの受信のために適切な対処をとることができる中継装置、中継方法、およびコンピュータプログラムを提供することである。

＜本開示の効果＞
　この開示によると、中継装置が、車載制御装置に転送する当該車載制御装置の更新用プログラムのサーバから受信ができない通信状況であっても、受信のために適切な対処をとることができる。

［実施の形態の説明］
　本実施の形態には、少なくとも以下のものが含まれる。すなわち、
　（１）本実施の形態に含まれる中継装置は車載制御装置を含む車内ネットワークに属する中継装置であって、中継装置から車載制御装置に転送する当該車載制御装置の更新用プログラムを、無線通信を介してサーバから受信する通信部と、サーバから中継装置までに発生し得る通信異常の有無、および、異常ありの場合は当該通信異常の種類に応じて、更新用プログラムの受信タイミングを決定する制御部と、を備える。
　サーバから中継装置までに発生し得る通信異常の有無、および、異常ありの場合は当該通信異常の種類に応じて受信タイミングが決定されるため、受信タイミングを異常の解消後に決定することによって、当該異常を避けて更新用プログラムをサーバから受信することができる。これにより、確実にサーバから更新用プログラムを受信することができ、車載制御装置に転送することができる。

　（２）好ましくは、制御部は、通信異常を検知した場合には、検知した当該通信異常が解消されるまで受信タイミングを遅らせる。
　これにより、異常を避けて更新用プログラムをサーバから受信することができる。このため、確実にサーバから更新用プログラムを受信することができ、車載制御装置に転送することができる。

　（３）好ましくは、制御部は、検知した通信異常が解消した場合に、サーバに対する更新用プログラムの送信要求を通信部に送信させる。
　これにより、通信異常が解消した後に、当該送信要求に応じたサーバから更新用プログラムを受信することができる。このため、確実にサーバから更新用プログラムを受信することができ、車載制御装置に転送することができる。

　（４）好ましくは、通信異常には、下記の第１～第３の異常のうちの少なくとも１つが含まれる。
　　第１の異常：サーバ側の通信障害
　　第２の異常：無線通信の混雑による通信障害
　　第３の異常：車両側の通信障害
　これにより、中継装置では、通信異常の種類を特定することができ、高い精度で通信異常が解消するタイミングを受信タイミングと決定することができる。これにより、確実にサーバから更新用プログラムを受信することができ、車載制御装置に転送することができる。

　（５）好ましくは、通信部は、第１の異常の発生期間を表す第１の情報を受信可能であり、制御部は、受信した第１の情報に基づいて第１の異常の有無を検知する。
　第１の情報を用いて第１の異常の有無を検知することで、容易に、かつ、精度よく第１の異常の有無を特定することができる。

　（６）好ましくは、通信部は、第２の異常の発生期間を表す第２の情報を受信可能であり、制御部は、受信した第２の情報に基づいて第２の異常の有無を検知する。
　これにより、容易に、かつ、精度よく第２の異常の有無を特定することができる。

　（７）好ましくは、通信部は、中継装置が搭載された車両の位置を表す第３の情報をいずれかの車載制御装置から受信可能であり、制御部は、受信した第３の情報に基づいて第３の異常の有無を検知する。
　これにより、容易に、かつ、精度よく第３の異常の有無を特定することができる。

　（８）好ましくは、制御部は、更新用プログラムをすべて受信するための所要時間が所定の閾値以上である場合に、受信タイミングを遅らせるか否かを決定する。
　サーバから中継装置まで通信状態が悪い状態では通信速度が遅くなるため、更新用プログラムをすべて受信するための所要時間が大きくなる。そのため、当該所要時間と閾値とを比較することで、容易に、サーバから中継装置まで通信異常の有無を検知することができる。

　（９）好ましくは、制御部は、中継装置が搭載された車両が運転中か否かを表す車両情報をいずれかの車載制御装置から受信可能であり、制御部は、受信した車両情報が運転中を表す場合に、受信タイミングを遅らせるか否かを決定する。
　これにより、当該車両が運転中の状態において更新用プログラムをサーバから受信することができる。そのため、車両を運転中に制御プログラムが更新されやすくなり、ユーザの利便性を向上させることができる。

　（１０）本実施の形態に含まれる中継方法は、（１）～（９）のいずれか１つに記載の中継装置において更新用プログラムをサーバから受信し、車載制御装置に転送する方法である。
　かかる中継方法は、上記（１）～（９）の中継装置と同様の効果を奏する。

　（１１）本実施の形態に含まれるコンピュータプログラムは、コンピュータを、（１）～（９）のいずれか１つに記載の中継装置として機能させる。
　かかるコンピュータプログラムは、上記（１）～（９）の中継装置と同様の効果を奏する。

［実施の形態の詳細］
　以下に、図面を参照しつつ、好ましい実施の形態について説明する。以下の説明では、同一の部品および構成要素には同一の符号を付してある。それらの名称および機能も同じである。したがって、これらの説明は繰り返さない。

　＜第１の実施の形態＞
　〔システムの全体構成〕
　図１は、実施形態にかかるプログラム更新システムの全体構成図である。
　図１に示すように、本実施形態のプログラム更新システムは、広域通信網２を介して通信可能な車両１、管理サーバ５およびＤＬ（ダウンロード）サーバ６を含む。
　管理サーバ５は、車両１の更新情報を管理する。ＤＬサーバ６は、更新用プログラムを保存する。管理サーバ５およびＤＬサーバ６は、たとえば、車両１のカーメーカーにより運営されており、予め会員登録されたユーザが所有する多数の車両１と通信可能である。

　車両１には、車内通信線で接続された複数のＥＣＵ３０とゲートウェイ１０とを含む車内ネットワーク（通信ネットワーク）４と、無線通信部１５と、各ＥＣＵ３０によりそれぞれ制御される各種の車載機器（図示せず）と、が搭載されている。
　車両１には、共通の車内通信線にバス接続された複数のＥＣＵ３０による通信グループが存在し、ゲートウェイ１０は、通信グループ間の通信を中継している。

　無線通信部１５は、携帯電話網などの広域通信網２に通信可能に接続され、車内通信線によりゲートウェイ１０に接続されている。ゲートウェイ１０は、広域通信網２を通じて管理サーバ５およびＤＬサーバ６などの車外装置から無線通信部１５が受信した情報を、車内通信線を介してＥＣＵ３０に送信する。
　ゲートウェイ１０は、ＥＣＵ３０から取得した情報を無線通信部１５に送信し、無線通信部１５は、その情報を管理サーバ５などの車外装置に送信する。
　また、ＥＣＵ３０同士は、車内通信線を介して情報を送受信する。

　車両１に搭載される無線通信部１５としては、車載の専用通信端末の他に、たとえば、ユーザが所有する携帯電話機、スマートフォン、タブレット型端末、ノートＰＣ（Personal　Computer）等の装置が考えられる。
　図１では、ゲートウェイ１０が無線通信部１５を介して車外装置と通信を行う場合が例示されているが、ゲートウェイ１０が無線通信の機能を有する場合には、ゲートウェイ１０自身が管理サーバ５などの車外装置と無線通信を行う構成としてもよい。

　また、図１のプログラム更新システムでは、管理サーバ５とＤＬサーバ６とが別個のサーバで構成されているが、これらのサーバ５，６を１つのサーバ装置で構成してもよい。また、管理サーバ５およびＤＬサーバ６は、いずれも、複数の装置からなるものであってもよい。

　〔ゲートウェイの内部構成〕
　図２は、ゲートウェイ１０の内部構成を示すブロック図である。
　図２に示すように、ゲートウェイ１０は、ＣＰＵ１１、ＲＡＭ（Random　Access　Memory）１２、記憶部１３、および車内通信部１４などを備える。ゲートウェイ１０は、無線通信部１５と車内通信線とを介して接続されているが、これらは一つの装置で構成してもよい。

　ＣＰＵ１１は、記憶部１３に記憶された一または複数のプログラムをＲＡＭ１２に読み出して実行することにより、ゲートウェイ１０を各種情報の中継装置として機能させる。
　ＣＰＵ１１は、たとえば時分割で複数のプログラムを切り替えて実行することにより、複数のプログラムを並列的に実行可能である。なお、ＣＰＵ１１は複数のＣＰＵ群を代表するものであってもよい。この場合、ＣＰＵ１１の実現する機能は、複数のＣＰＵ群が協働して実現するものである。ＲＡＭ１２は、ＳＲＡＭ（Static　ＲＡＭ）またはＤＲＡＭ（Dynamic　ＲＡＭ）等のメモリ素子で構成され、ＣＰＵ１１が実行するプログラムおよび実行に必要なデータ等が一時的に記憶される。

　ＣＰＵ１１が実現するコンピュータプログラムは、ＣＤ－ＲＯＭやＤＶＤ－ＲＯＭなどの周知の記録媒体に記録した状態で譲渡することもできるし、サーバコンピュータなどのコンピュータ装置からの情報伝送によって譲渡することもできる。
　この点は、後述のＥＣＵ３０のＣＰＵ３１（図３参照）が実行するコンピュータプログラム、および、後述の管理サーバ５のＣＰＵ５１（図４参照）が実行するコンピュータプログラムについても同様である。
　なお、以降の説明において、上位装置が下位装置にデータを転送（送信）することを「ダウンロードする」ともいう。

　記憶部１３は、フラッシュメモリ若しくはＥＥＰＲＯＭ等の不揮発性のメモリ素子などにより構成されている。記憶部１３は、ＣＰＵ１１が実行するプログラムおよび実行に必要なデータ等を記憶するとともに、ＤＬサーバ６から受信した、ダウンロード対象の各ＥＣＵ３０の更新用プログラムなどを記憶する。

　車内通信部１４には、車両１に配設された車内通信線を介して複数のＥＣＵ３０が接続されている。車内通信部１４は、たとえばＣＡＮ（Controller　Area　Network）の規格に応じて、ＥＣＵ３０との通信を行う。車内通信部１４の採用する通信規格はＣＡＮに限定されず、ＣＡＮＦＤ（ＣＡＮ　with　Flexible　Data　Rate）、ＬＩＮ（Local　Interconnect　Network）、Ｅｔｈｅｒｎｅｔ（登録商標）、またはＭＯＳＴ（Media　Oriented　Systems　Transport：ＭＯＳＴは登録商標）等であってもよい。複数の車内通信線の中には、通信規格の異なるものが含まれていてもよい。
　車内通信部１４は、ＣＰＵ１１から与えられた情報を対象のＥＣＵ３０へ送信するとともに、ＥＣＵ３０から受信した情報をＣＰＵ１１に与える。車内通信部１４は、上記の通信規格だけでなく、車内ネットワーク４に用いる他の通信規格によって通信してもよい。

　無線通信部１５は、アンテナと、アンテナからの無線信号の送受信を実行する通信回路とを含む無線通信機よりなる。無線通信部１５は、携帯電話網等の広域通信網２に接続されることにより車外装置との通信が可能である。
　無線通信部１５は、図示しない基地局により形成される広域通信網２を介して、ＣＰＵ１１から与えられた情報を管理サーバ５等の車外装置に送信するとともに、車外装置から受信した情報をＣＰＵ１１に与える。

　図２に示す無線通信部１５に代えて、車両１内の中継装置として機能する有線通信部を採用してもよい。この有線通信部は、ＵＳＢ（Universal　Serial　Bus）またはＲＳ２３２Ｃ等の規格に応じた通信ケーブルが接続されるコネクタを有し、通信ケーブルを介して接続された別の通信装置と有線通信を行う。
　別の通信装置と管理サーバ５等の車外装置とが広域通信網２を通じた無線通信が可能である場合には、車外装置→別の通信装置→有線通信部→ゲートウェイ１０の通信経路により、車外装置とゲートウェイ１０とが通信可能になる。

　〔ＥＣＵの内部構成〕
　図３は、ＥＣＵ３０の内部構成を示すブロック図である。
　図３に示すように、ＥＣＵ３０は、ＣＰＵ３１、ＲＡＭ３２、記憶部３３、および通信部３４などを備える。ＥＣＵ３０は、車両１に搭載された対象機器を個別に制御する車載制御装置である。ＥＣＵ３０の種類には、たとえば、電源制御ＥＣＵ、エンジン制御ＥＣＵ、ステアリング制御ＥＣＵ、およびドアロック制御ＥＣＵなどがある。

　ＣＰＵ３１は、記憶部３３に予め記憶された一または複数のプログラムをＲＡＭ３２に読み出して実行することにより、自身が担当する対象機器の動作を制御する。ＣＰＵ３１もまた複数のＣＰＵ群を代表するものであってもよく、ＣＰＵ３１による制御は、複数のＣＰＵ群が協働することによる制御であってもよい。
　ＲＡＭ３２は、ＳＲＡＭまたはＤＲＡＭ等のメモリ素子で構成され、ＣＰＵ３１が実行するプログラムおよび実行に必要なデータ等が一時的に記憶される。

　記憶部３３は、フラッシュメモリ若しくはＥＥＰＲＯＭ等の不揮発性のメモリ素子、或いは、ハードディスクなどの磁気記憶装置等により構成されている。
　記憶部３３は、ＣＰＵ３１が読み出して実行するプログラムを格納する。記憶部３３が記憶する情報には、たとえば、車内の制御対象である対象機器を制御するための情報処理をＣＰＵ３１に実行させるためのコンピュータプログラム（以下、「制御プログラム」という。）や、パラメータや地図情報などの、当該プログラムを実行する際に用いるデータが含まれる。

　通信部３４には、車両１に配設された車内通信線を介してゲートウェイ１０が接続されている。通信部３４は、たとえばＣＡＮ、Ｅｔｈｅｒｎｅｔ、またはＭＯＳＴ等の規格に応じて、ゲートウェイ１０との通信を行う。
　通信部３４は、ＣＰＵ３１から与えられた情報をゲートウェイ１０へ送信するとともに、ゲートウェイ１０から受信した情報をＣＰＵ３１に与える。通信部３４は、上記の通信規格だけなく、車載ネットワークに用いる他の通信規格によって通信してもよい。

　ＥＣＵ３０のＣＰＵ３１には、当該ＣＰＵ３１による制御モードを、「通常モード」または「リプログラミングモード」（以下、「リプロモード」ともいう。）のいずれかに切り替える起動部３５が含まれる。
　ここで、通常モードとは、ＥＣＵ３０のＣＰＵ３１が、対象機器に対する本来的な制御（たとえば、燃料エンジンに対するエンジン制御や、ドアロックモータに対するドアロック制御など）を実行する制御モードのことである。

　リプログラミングモードとは、対象機器の制御に用いる制御プログラムを更新する制御モードである。
　すなわち、リプログラミングモードは、ＣＰＵ３１が、記憶部３３のＲＯＭ領域に対して、制御プログラムのデータの消去や書き換えを行う制御モードのことである。ＣＰＵ３１は、この制御モードのときにのみ、記憶部３３のＲＯＭ領域に格納された制御プログラムを新バージョンに更新することが可能となる。

　リプロモードにおいてＣＰＵ３１が新バージョンの制御プログラムを記憶部３３に書き込むと、起動部３５は、ＥＣＵ３０をいったん再起動（リセット）させ、新バージョンの制御プログラムが書き込まれた記憶領域についてベリファイ処理を実行する。
　起動部３５は、上記のベリファイ処理の完了後に、ＣＰＵ３１を更新後の制御プログラムによって動作させる。
　ＤＬサーバ６からゲートウェイ１０を介してＥＣＵ３０に更新用プログラムがダウンロードされ、当該更新用プログラムを用いて制御プログラムを更新することを、オンライン更新とも称する。

　〔管理サーバの内部構成〕
　図４は、管理サーバ５の内部構成を示すブロック図である。
　図４に示すように、管理サーバ５は、ＣＰＵ５１、ＲＯＭ５２、ＲＡＭ５３、記憶部５４、および通信部５５などを備える。

　ＣＰＵ５１は、ＲＯＭ５２に予め記憶された一または複数のプログラムをＲＡＭ５３に読み出して実行することにより、各ハードウェアの動作を制御し、管理サーバ５をゲートウェイ１０と通信可能な車外装置として機能させる。ＣＰＵ５１もまた複数のＣＰＵ群を代表するものであってもよく、ＣＰＵ５１の実現する機能は、複数のＣＰＵ群が協働して実現するものであってもよい。
　ＲＡＭ５３は、ＳＲＡＭまたはＤＲＡＭ等のメモリ素子で構成され、ＣＰＵ５１が実行するプログラムおよび実行に必要なデータ等が一時的に記憶される。

　記憶部５４は、フラッシュメモリ若しくはＥＥＰＲＯＭ等の不揮発性のメモリ素子、または、ハードディスクなどの磁気記憶装置等により構成されている。
　通信部５５は、所定の通信規格に則って通信処理を実行する通信装置よりなり、携帯電話網等の広域通信網２に接続されて当該通信処理を実行する。通信部５５は、ＣＰＵ５１から与えられた情報を、広域通信網２を介して外部装置に送信するとともに、広域通信網２を介して受信した情報をＣＰＵ５１に与える。

　〔制御プログラムの更新シーケンス〕
　図５は、本実施形態のプログラム更新システムにおいて実行される、制御プログラムのオンライン更新の流れの一例を示すシーケンス図である。ＤＬサーバ６に１または複数の更新用プログラムが格納され、一例として、管理サーバ５が、予め登録された車両１について、当該車両１のＥＣＵの制御プログラムを更新するタイミングを決定する。更新のタイミングは、たとえば、車両１のカーメーカーなどによって設定されてもよい。

　なお、制御プログラムは、プログラムそのもののみならず、パラメータや地図情報などの、当該プログラムを実行する際に用いるデータも含む。それらを代表させて「制御プログラム」と表現している。そのため、更新用プログラムは、プログラムの更新用のプログラムのみならず、当該プログラムを実行する際に用いるデータの更新用のデータを含む。

　制御プログラムを更新するタイミングに達すると、管理サーバ５は、該当する車両１のゲートウェイ１０宛てに、更新を通知する（ステップＳ１）。ステップ１では、管理サーバ５からゲートウェイ１０に、ダウンロード要求とともに更新用プログラムの保存先ＵＲＬや更新用プログラムのサイズなどの更新用の情報が送られる。

　管理サーバ５から更新の通知を受信したゲートウェイ１０は、ダウンロード（ＤＬ）制御処理を実行する（ステップＳ２）。ＤＬ制御処理は、ＤＬサーバ６からゲートウェイ１０までの更新用プログラムのダウンロードにおいて発生し得る通信異常の有無を検知する処理を含む（検知処理）。また、ＤＬ制御処理は、検知された通信異常の種類を特定する処理を含む（特定処理）。また、ＤＬ制御処理は、ＤＬサーバ６から更新用プログラムを受信するタイミング（受信タイミング）に、更新用プログラムを受信するための処理を含む（ダウンロード処理）。ダウンロード処理は、通信異常が検知された場合に当該通信異常の種類に応じて受信タイミングを決定する処理（決定処理）を含む。ＤＬ制御処理については後述する。

　ダウンロード処理で、ゲートウェイ１０は、受信タイミングにＤＬサーバ６に、更新用プログラムのダウンロードの送信要求を送信する（ステップＳ３）。これにより、当該タイミングにＤＬサーバ６から更新用プログラムが送信され、ゲートウェイ１０によって受信される。

　ゲートウェイ１０からダウンロードが要求されたＤＬサーバ６は、ダウンロード対象の更新用プログラムをゲートウェイ１０に送信するとともに、制御プログラムの更新を要求する（ステップＳ４）。

　ゲートウェイ１０は、ＤＬサーバ６から送信された更新用プログラムを無線通信部１５で受信すると、対象のＥＣＵ３０に更新用プログラムを転送して、制御プログラムの更新を要求する（ステップＳ５）。ゲートウェイ１０は、ユーザから更新の許可を受けることによって更新用プログラムを転送してもよい。

　更新用プログラムを受信した対象のＥＣＵ３０は、ゲートウェイ１０からの要求に従って更新用プログラムを展開し、制御プログラムを更新する（ステップＳ６）。更新が完了すると、対象のＥＣＵ３０はゲートウェイ１０に更新完了を通知する（ステップＳ７）。この通知を受けたゲートウェイ１０は、ＤＬサーバ６に更新完了を通知する（ステップＳ８）。

　［ゲートウェイの機能構成］
　図２を参照して、ゲートウェイ１０のＣＰＵ１１は、ＤＬ制御処理を実行するための機能として、検知処理部１１１およびダウンロード（ＤＬ）制御部１１２を含む。これら機能は、ＣＰＵ１１が記憶部１３に記憶されている１つまたは複数のプログラムを読み出して実行することによって、ＣＰＵ１１において実現される機能である。しかしながら、少なくとも一部機能が、電子回路などのハードウェアによって実現されてもよい。

　検知処理部１１１で表されたＣＰＵ１１の機能（以下、検知処理部１１１）は、検知処理を実行する。具体的に、検知処理部１１１は、更新用プログラムをすべて受信するための、想定される所要時間（想定時間）Ｔに基づいて、ＤＬサーバ６からゲートウェイ１０までに発生し得る通信異常の有無を検知する。通信異常は、通信が不能な状態と、通信が可能であっても通常時よりも通信状態が悪い状態と、を含む。通信状態が悪い状態は、通信速度が規定速度よりも遅い状態、通信線の占有率が規定された占有率を超える状態、などを含む。

　検知処理部１１１は、想定時間Ｔを算出する。想定時間ＴはＤＬサーバ６が更新用プログラムの送信を開始してからゲートウェイ１０で受信を完了するまでの時間を指す。想定時間Ｔは、ＤＬサーバ６からゲートウェイ１０まで通信経路の現在の通信速度Ｖで、更新用プログラムのサイズＸを除して得られる（Ｔ＝Ｘ／Ｖ）。サイズＸは、たとえば、管理サーバ５からの更新の通知より取得される。通信速度Ｖは、たとえば、ＩＣＭＰ（Internet　Control　Message　Protocol）のｅｃｈｏコマンドを利用したコマンドであるｐｉｎｇコマンドを利用して測定される。検知処理部１１１は、対象の通信回線に接続されている他の装置に対してｐｉｎｇコマンドを出力し、当該コマンドに対する応答時間を測定することで、通信速度Ｖを得る。

　検知処理部１１１は、通信異常がない場合の通信最低速度を閾値Ｔｈ１として予め記憶しておき、通信速度Ｖと閾値Ｔｈ１とを比較する。通信異常があると判断した場合に、当該通信異常の種類に応じて受信タイミングを決定する。そのため、検知処理部１１１は、検知処理の結果が通信異常ありの場合に、特定処理を実行する。図１を参照して、通信異常は、ＤＬサーバ６側の通信障害である第１の異常（異常Ａ）、ＤＬサーバ６からゲートウェイ１０までの広域通信網２を介した通信に含まれる無線通信の混雑による通信障害である第２の異常（異常Ｂ）、および車両１に搭載された無線通信部１５の通信障害である第３の異常（異常Ｃ）の少なくとも１つを含む。検知処理部１１１は、異常Ａ～Ｃそれぞれの有無を特定することによって、検知された通信異常の種類を特定する。特定処理については、後述する。

　検知処理部１１１は、通信異常がない場合の最長所要時間を閾値Ｔｈ２として予め記憶しておき、算出した想定時間Ｔと閾値Ｔｈ２とを比較する。検知処理部１１１は、想定時間Ｔが閾値Ｔｈ２以下（Ｔ≦Ｔｈ２）の場合、通信を要する処理が同時に他の機器に存在した場合であっても、その処理に対する影響は生じないと判断する。想定時間Ｔが閾値Ｔｈ２より大きい（Ｔ＞Ｔｈ２）場合に、検知処理部１１１は、上記他の機器における通信を要する処理に障害を与える可能性があると判断する。この場合、対象の更新用プログラムをダウンロードする処理の優先順位を低下させる。検知処理部１１１において当該処理の優先順位を低下させる手法の一例として、ラウンドロビンスケジューリング処理または、現ダウンロード処理のスループットを低下させるといった手法が挙げられる。これにより、上記他の機器における通信を要する処理への影響を軽減することができる。

　ＤＬ制御部１１２で表されたＣＰＵ１１の機能（以下、ＤＬ制御部１１２）は、ダウンロード処理を実行する。具体的に、ＤＬ制御部１１２は、受信タイミングに、更新用プログラムをＤＬサーバ６から受信するための処理を実行する。そのために、ＤＬ制御部１１２は決定処理を実行し、受信タイミングを決定する。

　決定処理は、通信異常の有無、および、異常ありの場合は当該通信異常の種類に応じて、受信タイミングを決定する処理である。具体的に、ＤＬ制御部１１２は、異常なしの場合、管理サーバ５から通知を受けたタイミング（第１のタイミング）を受信タイミングと決定する。そして、第１のタイミングに、更新用プログラムをＤＬサーバ６から受信するための処理を実行する。

　異常ありの場合、ＤＬ制御部１１２は、特定処理によって特定された通信異常の種類に応じたタイミング（第２のタイミング）を受信タイミングと決定する。そして、第２のタイミングに、更新用プログラムをＤＬサーバ６から受信するための処理を実行する。
に変更し、第２のタイミングにダウンロードを開始する。

　第２のタイミングは、当該通信異常が解消された後のタイミングである。したがって、第２のタイミングを受信タイミングに決定するということは、受信タイミングを通信異常が解消されるまで遅らせることを意味する。

　ＤＬ制御部１１２は、第２のタイミングを特定するために、通信異常の種類と受信タイミング（第２のタイミング）との対応関係を予め記憶している。当該対応関係は、通信異常の種類ごとの当該異常の解消が予測されるタイミングである。当該対応関係を用いた決定処理については、後述する。

　好ましくは、ＤＬ制御部１１２は、第１のタイミングにおいて車両１が運転中であるか否かを判断し、運転中である場合に、検知処理および決定処理を実行して、第２のタイミングを受信タイミングと決定する。車両１が運転中であるか否かを判断するために、ＤＬ制御部１１２は、たとえば、エンジンなどの駆動系を制御するＥＣＵ３０から駆動状態、つまり、運転中であるか否かを表す車両情報を取得し、当該車両情報に基づいて判断する。

　［ＤＬ制御処理］
　図６は、本実施の形態にかかるプログラム更新システムにおけるＤＬ制御処理の具体的な内容を表したフローチャートである。図６のフローチャートに表された処理は、ゲートウェイ１０のＣＰＵ１１が、記憶部１３に記憶された１つまたは複数のプログラムをＲＡＭ１２上に読み出して実行することによって検知処理部１１１およびＤＬ制御部１１２の機能を実現することで実行される。図５の処理は、ＣＰＵ１１が起動中において、所定の時間間隔など、予め規定されたタイミングで繰り返し実行される。

　図５を参照して、ＣＰＵ１１は、管理サーバ５から更新用プログラムのダウンロードが要求されたか否かを判断する（ステップＳ１０１）。管理サーバ５からダウンロードが要求されていないときには（ステップＳ１０１でＮＯ）、一連の動作を終了する。

　管理サーバ５からダウンロードが要求されると（ステップＳ１０１でＹＥＳ）、ＣＰＵ１１は、通信速度Ｖを測定する（ステップＳ１０３）。そして、ＣＰＵ１１は、通信速度Ｖと閾値Ｔｈ１とを比較する（ステップＳ１０５）。

　通信速度Ｖが閾値Ｔｈ１より小さい（Ｖ＜Ｔｈ１）場合（ステップＳ１０５でＹＥＳ）、つまり、通信速度Ｖに基づいて通信異常があると判断される場合に、ＣＰＵ１１は、特定処理（ステップＳ１０７）を実行する。ステップＳ１０７の特定処理については、後に具体的に説明する。

　異常の種類が特定された場合（ステップＳ１０９でＮＯ）、ＣＰＵ１１は、決定処理（ステップＳ１１３）を実行する。ステップＳ１１３でＣＰＵ１１は、予め記憶している通信異常の種類と第２のタイミングとの対応関係を参照して、異常の種類に応じた第２のタイミングを特定し、受信タイミングに決定する。ステップＳ１１３の処理については、後に具体的に説明する。

　異常の種類が特定しきれず「不明」であった場合には（ステップＳ１０９でＹＥＳ）、ＣＰＵ１１は、管理サーバ５から更新用プログラムのダウンロードが要求されたタイミング（第１のタイミング）を受信タイミングと決定してダウンロード処理を実行する（ステップＳ１１１）。

　通信速度Ｖが閾値Ｔｈ１以上（Ｖ≧Ｔｈ１）の場合（ステップＳ１０５でＮＯ）、つまり、通信速度Ｖに基づいて通信異常がないと判断される場合に、ＣＰＵ１１は、検知処理（ステップＳ１１５，１１７）を実行する。すなわち、ＣＰＵ１１は、想定時間Ｔを算出する（ステップＳ１１５）。そして、ＣＰＵ１１は、算出した想定時間Ｔと閾値Ｔｈ２とを比較する（ステップＳ１１７）。

　想定時間Ｔが閾値Ｔｈ２以下（Ｔ≦Ｔｈ２）の場合（ステップＳ１１７でＮＯ）には、ＣＰＵ１１は、ダウンロード処理を実行する（ステップＳ１１１）。

　想定時間Ｔが閾値Ｔｈ２より大きい（Ｔ＞Ｔｈ２）場合（ステップＳ１１７でＹＥＳ）、ＣＰＵ１１は、更新用プログラムのダウンロード処理の優先順位を低下させる（ステップＳ１１９）。

　<<特定処理>>
　図７は、図６のステップＳ１０７の特定処理の一例を表したフローチャートである。図７を参照して、初めに、ＣＰＵ１１は、無線通信部１５の通信障害（異常Ｃ）の有無を特定する（ステップＳ２０１）。ステップＳ２０１でＣＰＵ１１は、たとえば、ゲートウェイ１０が搭載された車両１の現在位置が、無線通信部１５による通信状態が不良な不感エリアに含まれるか否かにより、無線通信部１５による通信が可能な状態であるか否かを判断する。

　車両１の現在位置は、たとえば、次のようにして取得することができる。すなわち、ＣＰＵ１１は、図示しないナビゲーション装置である車載機器を制御するＥＣＵ３０から、車両１の現在位置を示す位置情報（第３の情報）を取得する。または、ＣＰＵ１１は、ＧＰＳ（Global　Positioning　System）と通信可能な車載機器を制御するＥＣＵ３０から位置情報（第３の情報）を取得してもよい。

　現在位置が不感エリアに含まれるか否か判断するために、ＣＰＵ１１は、不感エリアを含むエリアマップを取得する。エリアマップは、たとえば、位置または範囲ごとに、当該位置または範囲における通信強度を示す情報である。エリアマップは、たとえば、無線通信部１５の行う無線通信を管理する通信会社などによって生成されて、ウェブサイトなどで提供されることが想定される。ＣＰＵ１１は当該ウェブサイトのＵＲＬを予め記憶しておき、当該ウェブサイトからエリアマップを取得することができる。異常Ｃの有無の特定に車両１の現在位置を利用することによって、容易に、かつ、精度よく異常Ｃの有無を特定することができる。

　無線通信部１５による通信が可能な場合（ステップＳ２０１でＹＥＳ）、ＣＰＵ１１は、異常Ｃがなしと特定し、次に、ＤＬサーバ６の通信障害（異常Ａ）および／または広域通信網２を介した通信に含まれる無線通信の混雑による通信障害（異常Ｂ）の有無を特定する。

　異常Ａおよび／または異常Ｂの有無を特定するために、一例として、ＣＰＵ１１はｐｉｎｇコマンドを利用して、ＤＬサーバ６に対して応答を要求する（ステップＳ２０３）。ＣＰＵ１１は、ＤＬサーバ６からの応答時間ＲＴを測定する。また、ＣＰＵ１１は、広域通信網２を介した無線通信に異常がない場合のＤＬサーバ６からの応答時間を閾値Ｒｔｈとして予め記憶しておく。そして、ＣＰＵ１１は、応答時間ＲＴと閾値Ｒｔｈとを比較することで、異常Ａおよび／または異常Ｂの有無を特定する。

　応答時間ＲＴが閾値Ｒｔｈよりも短い（ＲＴ≦Ｒｔｈ）場合（ステップＳ２０５でＮＯ）、ＣＰＵ１１は、異常Ａおよび異常Ｂのいずれもなしと特定し、異常の種類の特定結果を「異常なし」と返す（ステップＳ２０７）。

　ＤＬサーバ６から応答がなかった場合、または、応答があった場合でも、応答時間ＲＴが閾値Ｒｔｈよりも長い（ＲＴ＞Ｒｔｈ）場合（ステップＳ２０５でＹＥＳ）、ＣＰＵ１１は、異常Ａおよび異常Ｂの少なくとも一方が有りと特定する。そこで、ＣＰＵ１１は、異常Ａの有無を特定するために、ＤＬサーバ６の通信状態に関する情報（サーバ情報：第１の情報）を参照する（ステップＳ２０９）。

　サーバ情報は、ＤＬサーバ６の通信機能が完全でない期間つまり、異常Ａの発生期間（第１の期間）を示す情報を含む。第１の期間は、たとえば、メンテナンス等によって通信障害の発生が予定されている日時または時間帯、などである。サーバ情報は、たとえば、ＤＬサーバ６を運営するカーメーカーなどによって生成されて、ウェブサイトなどで提供されることが想定される。ＣＰＵ１１は、判断時点がサーバ情報に示される第１の期間に属しているか否かを判断することによって異常Ａの有無を特定する（ステップＳ２１１）。異常Ａの有無の特定にサーバ情報を利用することによって、容易に、かつ、精度よく異常Ａの有無を特定することができる。

　判断時点が第１の期間に属している場合、すなわち、判断時点においてＤＬサーバ６に通信障害が生じている場合（ステップＳ２１１でＹＥＳ）、ＣＰＵ１１は、異常Ａがありと特定し、異常の種類の特定結果を「異常Ａ検知」と返す（ステップＳ２１３）。

　判断時点が第１の期間に属していない場合、すなわち、判断時点においてＤＬサーバ６に通信障害が生じていない場合（ステップＳ２１１でＮＯ）、ＣＰＵ１１は、異常Ａがなしと特定する。この場合、ＣＰＵ１１は、異常Ｂの有無を特定するために、当該広域通信網２を介した通信の通信状態に関する情報（ネットワーク情報：第２の情報）を参照する（ステップＳ２１５）。

　ネットワーク情報は、無線通信の混雑による通信障害の発生期間、つまり、異常Ｂの発生期間（第２の期間）を示す情報を含む。ネットワーク情報は、たとえば、曜日、時間帯など、所定の単位期間ごとの通信量の統計情報（ネットワーク統計情報）である。ネットワーク統計情報は、たとえば、広域通信網２を介した無線通信を提供する通信会社などによって生成されて、ウェブサイトなどで提供されることが想定される。

　図８は、ネットワーク情報の一例を示す図であって、１時間ごとの通信量の統計情報を表している。図８では、第２の期間として、輻輳状態が生じて時間帯（混雑時間帯）が示され、さらに、輻輳状態の時間帯は輻輳度合いが二段階（混雑、最混雑）で示されている。

　ＣＰＵ１１は、判断時点がネットワーク統計情報に示される第２の期間に属しているか否かを判断することによって異常Ｂの有無を特定する（ステップＳ２１７）。異常Ｂの有無の特定にネットワーク情報を利用することによって、容易に、かつ、精度よく異常Ｂの有無を特定することができる。

　なお、ネットワーク情報は、図８のようなネットワーク統計情報のほか、所定期間ごとの輻輳状態の予測、測定位置ごとの現在の通信速度の測定値、現在の通信障害の発生の有無、メンテナンス等の予定されている通信障害の生じる時間帯、通信障害を引き起こす可能性のあるイベントの開催日時、これらの組み合わせ、などであってもよい。

　判断時点が第２の期間に属している場合、すなわち、判断時点が混雑時間帯に含まれる場合（ステップＳ２１７でＹＥＳ）、ＣＰＵ１１は、異常Ｂがありと特定し、異常の種類の特定結果を「異常Ｂ検知」と返す（ステップＳ２１９）。

　判断時点が第２の期間に属していない場合、すなわち、判断時点が混雑時間帯に含まれない場合には（ステップＳ２１７でＮＯ）、ＣＰＵ１１は、異常Ｂがなしと特定する。この場合、異常Ａ～Ｃのいずれもなしと特定され、通信異常の種類がこれらの種類の中で特定しきれない。そのため、ＣＰＵ１１は、異常の種類の特定結果を「不明」と返す（ステップＳ２２１）。

　無線通信部１５による通信が可能な状態でない場合には（ステップＳ２０１でＮＯ）、ＣＰＵ１１は、異常Ｃがありと特定して、異常の種類の特定結果を「異常Ｃ検知」と返す（ステップＳ２２３）。

　<<決定処理>>
　図９は、通信異常の種類と受信タイミングとの対応関係の一例を表した図である。図９の例では、特定処理における特定結果ごとにケース１～５の５つのケースに分類して、それぞれの場合に受信タイミングと決定する第２のタイミングが規定されている。第２のタイミングは、特定された種類の異常の解消が予測されるタイミングである。

　ケース１は、異常Ａ～Ｃのいずれもなしと特定され、異常の種類の特定結果が「異常なし」であるケースである（図７のステップＳ２０７）。ケース１では、管理サーバ５から通知されたタイミングから受信タイミングを遅らせない。したがって、この場合、受信タイミングは第１のタイミングと決定される。

　ケース２は、異常Ａがあり、かつ、異常Ｃがなしと特定され、異常Ｂについて有無が特定されず、異常の種類の特定結果が「異常Ａ」であるケースである（図７のステップＳ２１３）。ケース２では、サーバ情報に基づいて第２のタイミングを特定する。具体的に、ＣＰＵ１１は、サーバ情報に示される第１の期間に属さないタイミングを第２のタイミングと特定する。第１の期間に属さないタイミングは異常Ａが解消されていると予測されるため、第２のタイミングを受信タイミングと決定することによって更新用プログラムの受信に成功する可能性が高くなる。

　ケース３は、異常Ａおよび異常Ｃともになし、かつ、異常Ｂがありと特定され、異常の種類の特定結果が「異常Ｂ」であるケースである（図７のステップＳ２１９）。ケース３では、ネットワーク統計情報（図８）に基づいて第２のタイミングを特定する。具体的に、ＣＰＵ１１は、ネットワーク統計情報に示される第２の期間に属さないタイミングを第２のタイミングと特定する。第２の期間に属さないタイミングは異常Ｂが解消されていると予測されるため、第２のタイミングを受信タイミングと決定することによって更新用プログラムの受信に成功する可能性が高くなる。

　ケース４は、異常Ｃがありと特定され、異常Ａおよび異常Ｂについて有無が特定されず、異常の種類の特定結果が「異常Ｃ」であるケースである（図７のステップＳ２０７）。ケース４では、当該車両１の移動後のタイミングを第２のタイミングと特定する。具体的に、ＣＰＵ１１は、車両１の移動が予測されるタイミングを第２のタイミングと特定する。車両１が現在位置から移動することによって無線通信部１５が不感エリアから脱し、通信可能になる可能性が高くなる。そのため、移動後のタイミングは異常Ｃが解消されていると予測されるため、第２のタイミングを受信タイミングと決定することによって更新用プログラムの受信に成功する可能性が高くなる。

　車両１の移動を予測する方法の一例として、次のような方法が挙げられる。すなわち、ＣＰＵ１１は、車両１の走行履歴に基づく走行モデルを取得し、当該走行モデルから走行経路を予測する。図１０は走行モデルの一例である。走行履歴は、たとえば、曜日、時間などの所定期間ごとの車両１の走行位置（たとえば緯度経度）や走行状態（走行中か、停車中か、等）であって、走行モデルは、当該走行履歴を統計処理して得られる。統計処理は、一例として、所定期間ごとに走行している可能性の最も高い位置および走行状態を特定して当該期間の走行位置および走行状態と決定する処理である。たとえば、月曜日から金曜日まで出勤に車両１が使用されている場合、通勤時間帯（たとえば朝８時から８時３０分まで）の走行履歴は自宅から会社までの走行経路を示す。統計処理の方法は特定方法に限定されず、あらゆる方法が採用され得る。図１０の走行モデルが記憶部１３に記憶されている場合、ＣＰＵ１１は、当該走行モデルに示される走行経路を車両１の走行経路と予測する。

　ＣＰＵ１１は、予測される走行経路とエリアマップとを比較し、予測される走行経路において、現在属している不感エリアを脱するタイミングを読み出して、当該タイミングを第２のタイミングと決定する。

　車両１の移動を予測する方法の他の例として、次のような方法が挙げられる。すなわち、ＣＰＵ１１は、車両１に搭載された図示しないナビゲーション装置と通信することで、当該ナビゲーション装置から車両１の走行経路を取得してもよい。ナビゲーション装置で生成される走行経路は、走行経路と各位置を通過するまでの時間とを含む。ＣＰＵ１１は、ナビゲーション装置で生成される走行経路を車両１の走行経路と予測し、エリアマップとを比較することによって第２のタイミングを特定してもよい。

　ケース５は、異常Ｃがなしと特定され、異常Ａおよび異常Ｂについて有無が特定されず、異常の種類の特定結果が「不明」であるケースである（図７のステップＳ２２１）。ケース５では、判断時点から予め規定した期間後のタイミングを第２のタイミングと特定する。異常の種類が不明である場合には、一時的な通信不良が含まれる。その場合、そのタイミングの後には当該状態を脱する可能性がある。そこで、判断時点から予め規定した期間後の第２のタイミングを受信タイミングと決定することによって更新用プログラムの受信に成功する可能性が高くなる。

　［第１の実施の形態の効果］
　第１の実施の形態にかかるプログラム更新システムにおいては、更新用プログラムをＤＬサーバ６から受信する際に通信異常が検知された場合に、通信異常の種類に応じて、受信タイミングが決定される。具体的には、当該通信異常が解消されると予測されるタイミングまで、受信タイミングを遅らせる。そのため、更新用プログラムの受信が成功する可能性が高くなる。

　このとき、特に、異常Ａと異常Ｂとのそれぞれの有無を特定することによって、それぞれの有無、つまり、異常の原因に応じて第２のタイミングを特定することができる。そのため、第２のタイミングにおいて当該通信異常が解消されている可能性を高くすることができるとともに、第２のタイミングをできるだけ早いタイミングに特定することができる。つまり、更新用プログラムの受信が成功する可能性を高くできるとともに、早期に更新用プログラムを受信できる。

　好ましくは、第１の実施の形態にかかるプログラム更新システムにおいては、車両１の運転中に管理サーバ５から更新用プログラムのダウンロードの通知があった場合に、上記のＤＬ制御処理を実行する。これにより、車両１の運転中に更新用プログラムの受信に成功する可能性が高くなる。そのため、車両１の運転中に制御プログラムの更新が可能になる可能性が高くなる。これによって、ユーザは、車両１を停車させてリプロモードとして制御プログラムを更新したり、車両１をディーラーに入庫して制御プログラムの更新を依頼したりする必要が少なくなる。そのため、ユーザの利便性を向上させることができる。
　また、大規模な（サイズの大きい）更新用プログラムの配信があったときも、当該更新用プログラムのダウンロードによる通信帯域の圧迫を事前に防ぐことが出来、他の機器の通信要求に対してもリアルタイムで対応ができる。

　＜第２の実施の形態＞
　第２の実施の形態にかかるプログラム更新システムでは、確実に更新用プログラムを受信するために、第１の実施の形態にかかるプログラム更新システムにおいて受信タイミングに決定された第２のタイミングに、さらに、通信異常が解消されているか否かを確認した上で、更新用プログラムを受信する。

　第２の実施の形態にかかるゲートウェイ１０のＣＰＵ１１は、上記ステップＳ１１３で決定した第２のタイミングに達すると、再度、上記ステップＳ１０３以降の動作を繰り返す。そして、通信異常が検知された場合（ステップＳ１０５でＹＥＳ）、特定処理（ステップＳ１０７）を実行する。

　第２のタイミングにおいて通信異常が検知されなかった場合（ステップＳ１０９でＹＥＳ）、受信タイミングを第２のタイミングに遅らせたことによって、先に検知された通信異常が解消されている。この場合、ＣＰＵ１１は、第２のタイミングにＤＬサーバ６に対して更新用プログラムの送信要求を送信する（ステップＳ１１１）。

　第２のタイミングにおいてさらに通信異常が検知された場合（ステップＳ１０９でＮＯ）、先に検知された通信異常が未だ解消されていない、または、新たに通信異常が生じている。この場合には（ステップＳ１０９でＮＯ）。ＣＰＵ１１は、さらに、決定処理（ステップＳ１１３）を実行して、通信タイミングを遅らせる。

　また、第２のタイミングにおける想定時間Ｔが閾値Ｔｈ２より大きい（Ｔ＞Ｔｈ２）場合には（ステップＳ１１７でＹＥＳ）、ＣＰＵ１１は、更新用プログラムのダウンロード処理の優先順位を低下させる（ステップＳ１１９）。

　［第２の実施の形態の効果］
　第２の実施の形態にかかるプログラム更新システムでは、検知処理→特定処理→決定処理→検知処理→…と図６の動作が繰り返される。これにより、通信異常がないことが確認されてから更新用プログラムを受信することになる。そのため、更新用プログラムの受信を成功させることができる。

　開示された特徴は、１つ以上のモジュールによって実現される。たとえば、当該特徴は、回路素子その他のハードウェアモジュールによって、当該特徴を実現する処理を規定したソフトウェアモジュールによって、または、ハードウェアモジュールとソフトウェアモジュールとの組み合わせによって実現され得る。

　上述の動作をコンピュータに実行させるための、１つ以上のソフトウェアモジュールの組み合わせであるプログラムとして提供することもできる。このようなプログラムは、コンピュータに付属するフレキシブルディスク、ＣＤ－ＲＯＭ（Compact　Disk-Read　Only　Memory）、ＲＯＭ、ＲＡＭおよびメモリカードなどのコンピュータ読取り可能な記録媒体にて記録させて、プログラム製品として提供することもできる。あるいは、コンピュータに内蔵するハードディスクなどの記録媒体にて記録させて、プログラムを提供することもできる。また、ネットワークを介したダウンロードによって、プログラムを提供することもできる。

　なお、本開示にかかるプログラムは、コンピュータのオペレーティングシステム（ＯＳ）の一部として提供されるプログラムモジュールのうち、必要なモジュールを所定の配列で所定のタイミングで呼出して処理を実行させるものであってもよい。その場合、プログラム自体には上記モジュールが含まれずＯＳと協働して処理が実行される。このようなモジュールを含まないプログラムも、本開示にかかるプログラムに含まれ得る。

　また、本開示にかかるプログラムは他のプログラムの一部に組込まれて提供されるものであってもよい。その場合にも、プログラム自体には上記他のプログラムに含まれるモジュールが含まれず、他のプログラムと協働して処理が実行される。このような他のプログラムに組込まれたプログラムも、本開示にかかるプログラムに含まれ得る。提供されるプログラム製品は、ハードディスクなどのプログラム格納部にインストールされて実行される。なお、プログラム製品は、プログラム自体と、プログラムが記録された記録媒体とを含む。

　今回開示された実施の形態はすべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は上記した説明ではなくて請求の範囲によって示され、請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。

　１　車両
　２　広域通信網
　４　車内ネットワーク
　５　管理サーバ
　６　ＤＬサーバ
　１０　ゲートウェイ（中継装置）
　１５　無線通信部（通信部）
　１１　ＣＰＵ
　１２　ＲＡＭ
　１３　記憶部
　１４　車内通信部
　３０　ＥＣＵ（車載制御装置）
　３１　ＣＰＵ
　３２　ＲＡＭ
　３３　記憶部
　３４　通信部
　３５　起動部
　５１　ＣＰＵ
　５２　ＲＯＭ
　５３　ＲＡＭ
　５４　記憶部
　５５　通信部
　１１１　検知処理部（制御部）
　１１２　ＤＬ制御部（制御部）

Claims

　車載制御装置を含む車内ネットワークに属する中継装置であって、
　前記中継装置から前記車載制御装置に転送する当該車載制御装置の更新用プログラムを、無線通信を介してサーバから受信する通信部と、
　前記サーバから前記中継装置までに発生し得る通信異常の有無、および、異常ありの場合は当該通信異常の種類に応じて、前記更新用プログラムの受信タイミングを決定する制御部と、を備える、中継装置。
　前記制御部は、前記通信異常を検知した場合には、検知した当該通信異常が解消されるまで前記受信タイミングを遅らせる、請求項１に記載の中継装置。
　前記制御部は、検知した前記通信異常が解消した場合に、前記サーバに対する前記更新用プログラムの送信要求を前記通信部に送信させる、請求項２に記載の中継装置。
　前記通信異常には、下記の第１～第３の異常のうちの少なくとも１つが含まれる、請求項１～請求項３のいずれか一項に記載の中継装置。
　　第１の異常：サーバ側の通信障害
　　第２の異常：無線通信の混雑による通信障害
　　第３の異常：車両側の通信障害
　前記通信部は、前記第１の異常の発生期間を表す第１の情報を受信可能であり、
　前記制御部は、受信した前記第１の情報に基づいて前記第１の異常の有無を検知する、請求項４に記載の中継装置。
　前記通信部は、前記第２の異常の発生期間を表す第２の情報を受信可能であり、
　前記制御部は、受信した前記第２の情報に基づいて前記第２の異常の有無を検知する、請求項４または請求項５に記載の中継装置。
　前記通信部は、前記中継装置が搭載された車両の位置を表す第３の情報をいずれかの前記車載制御装置から受信可能であり、
　前記制御部は、受信した前記第３の情報に基づいて前記第３の異常の有無を検知する、請求項４～請求項６のいずれか一項に記載の中継装置。
　前記制御部は、前記更新用プログラムをすべて受信するための所要時間が所定の閾値以上である場合に、前記受信タイミングを遅らせるか否かを決定する、請求項１～請求項７のいずれか一項に記載の中継装置。
　前記制御部は、前記中継装置が搭載された車両が運転中か否かを表す車両情報をいずれかの前記車載制御装置から受信可能であり、
　前記制御部は、受信した前記車両情報が運転中を表す場合に、前記受信タイミングを遅らせるか否かを決定する、請求項１～請求項８のいずれか一項に記載の中継装置。
　車載制御装置を含む車内ネットワークに属する中継装置において、サーバから送信される前記車載制御装置の更新用プログラムを受信し、当該車載制御装置に転送する、中継方法であって、
　前記更新用プログラムを、無線通信を介して前記サーバから受信するステップと、
　前記サーバから前記中継装置までに発生し得る通信異常の有無、および、異常ありの場合は当該通信異常の種類に応じて、前記更新用プログラムの受信タイミングを決定するステップと、を備える、中継方法。
　車載制御装置を含む車内ネットワークに属する中継装置としてコンピュータを機能させるためのコンピュータプログラムであって、
　前記コンピュータを、
　前記中継装置から前記車載制御装置に転送する当該車載制御装置の更新用プログラムを、無線通信を介してサーバから受信する通信部と、
　前記サーバから前記中継装置までに発生し得る通信異常の有無、および、異常ありの場合は当該通信異常の種類に応じて、前記更新用プログラムの受信タイミングを決定する制御部と、として機能させる、コンピュータプログラム。