车载更新装置、更新处理程序、程序的更新方法及车载更新系统

摘要

一种车载更新装置，取得从车外的外部服务器发送的更新程序，进行用于对搭载于车辆的车载ECU的程序进行更新的处理，所述车载更新装置具备控制所述更新程序向所述车载ECU的发送的控制部，所述控制部在所述发送中断之后再次开始该发送时，在所述车载ECU的识别信息与所述发送中断之前的识别信息不同的情况下，判定为在所述发送中断的期间所述车载ECU被更换，执行规定的处理。

说明书

技术领域

本发明涉及车载更新装置、更新处理程序、程序的更新方法及车载更新系统。

背景技术

在车辆上搭载有用于对发动机控制等的动力/传动系统、空调控制等的车身系统等车载设备进行控制的车载ECU(Electronic Control Unit：电子控制单元)。车载ECU包括MPU等运算处理部、RAM等能够改写的非易失性的存储部、及用于与其他的车载ECU进行通信的通信部，通过将存储于存储部的控制程序读入并执行而进行车载设备的控制。此外，在车辆安装有具备无线通信的功能的中继装置，经由中继装置与连接于车外的网络的程序提供装置进行通信，从该程序提供装置下载(接收)车载ECU的控制程序，能够对该车载ECU的控制程序进行更新(例如参照专利文献1)。

在先技术文献

专利文献

专利文献1：日本特开2017-97851号公报

发明内容

本公开的一形态涉及的车载更新装置取得从车外的外部服务器发送的更新程序，进行用于对搭载于车辆的车载ECU的程序进行更新的处理，其中，所述车载更新装置具备控制所述更新程序向所述车载ECU的发送的控制部，所述控制部在所述发送中断之后再次开始该发送时，在所述车载ECU的识别信息与所述发送中断之前的识别信息不同的情况下，判定为在所述发送中断的期间所述车载ECU被更换，执行规定的处理。

附图说明

图1是例示实施方式1的车载更新系统的构成的示意图。

图2是例示车载更新装置等的构成的框图。

图3是例示车载ECU的构成信息的一形态的说明图。

图4是例示车载更新装置的控制部的处理的流程图。

图5是例示车载更新装置的控制部的处理的流程图。

图6是例示车载更新装置的控制部的处理的流程图。

图7是例示实施方式2的车载更新装置的控制部的处理的流程图。

图8是例示实施方式2的车载更新装置的控制部的处理的流程图。

图9是例示实施方式3的车载ECU3的构成的框图。

图10是例示车载ECU的构成信息的一形态的说明图。

具体实施方式

[本公开要解决的课题]

专利文献1的中继装置存在如下的问题点：在将下载的控制程序向车载ECU发送的处理中，未考虑在中继装置与车载ECU之间的发送被中断的期间更换了该车载ECU时的应对。

本公开的目的在于提供一种在更新车载ECU的程序时，在车载更新装置与车载ECU之间的发送中断的期间更换了该车载ECU的情况下，能够适当地应对的车载更新装置等。

[本公开的效果]

根据本公开的一形态，能够提供一种在更新车载ECU的程序时，在车载更新装置与车载ECU之间的发送中断的期间更换了该车载ECU的情况下，能够适当地应对的车载更新装置等。

[本公开的实施方式的说明]

首先，列举本公开的实施形态进行说明。而且，也可以将以下记载的实施方式的至少一部分任意组合。

(1)本公开的一形态涉及的车载更新装置取得从车外的外部服务器发送的更新程序，进行用于对搭载于车辆的车载ECU的程序进行更新的处理，其中，所述车载更新装置具备控制所述更新程序向所述车载ECU的发送的控制部，所述控制部在所述发送中断之后再次开始该发送时，在所述车载ECU的识别信息与所述发送中断之前的识别信息不同的情况下，判定为在所述发送中断的期间所述车载ECU被更换，执行规定的处理。

在本形态中，在发送中断之后再次开始该发送时，在车载ECU的识别信息与发送中断之前的识别信息不同的情况下，判定为在发送中断的期间所述车载ECU被更换而执行规定的处理，因此在该车载ECU被更换的情况下，能够适当地应对。

(2)本公开的一形态涉及的车载更新装置中，所述控制部执行的所述规定的处理是将与该判定有关的信息向所述外部服务器或设置于所述车辆的显示装置发送的处理。

在本形态中，在发送中断之后再次开始该发送时，在车载ECU的识别信息与发送中断之前的识别信息不同的情况下，判定为在发送中断的期间所述车载ECU被更换，将该判定结果向外部服务器或设置于所述车辆的显示装置发送，因此能够通知该判定结果。

(3)本公开的一形态涉及的车载更新装置中，所述控制部执行的所述规定的处理是存储与该判定有关的信息的处理。

在本形态中，在发送中断之后再次开始该发送时，在车载ECU的识别信息与发送中断之前的识别信息不同的情况下，判定为在发送中断的期间所述车载ECU被更换，将该判定结果存储于车载更新装置的存储部，因此能够保存该判定结果。

(4)本公开的一形态涉及的车载更新装置中，所述控制部执行的所述规定的处理是中止所述更新程序的发送的处理。

在本形态中，在发送中断之后再次开始该发送时，在车载ECU的识别信息与发送中断之前的识别信息不同的情况下，判定为在发送中断的期间所述车载ECU被更换，中止更新程序的发送，因此能够防止由更换后的车载ECU接收更新程序的情况。

(5)本公开的一形态涉及的车载更新装置中，所述控制部在所述发送中断之后再次开始该发送时，在所述车载ECU的识别信息中包含的规定项目与在所述发送中断之前的识别信息中包含的规定项目相同的情况下，从最初再次开始所述更新程序的发送，在所述车载ECU的识别信息中包含的规定项目与在所述发送中断之前的识别信息中包含的规定项目不相同的情况下，中止所述更新程序的发送。

在本形态中，基于识别信息中包含的规定项目的异同，从最初再次开始更新程序的发送，或者中止更新程序的发送，能够适当地应对在发送中断的期间车载ECU被更换的情况。

(6)本公开的一形态涉及的车载更新装置中，在所述车载ECU的识别信息中包含的规定项目是与该车载ECU的ECU部件号有关的信息。

在本形态中，车载ECU的识别信息中包含的规定项目设为与该车载ECU的ECU部件号有关的信息，由此，即使在发送中断的期间车载ECU被更换的情况下，在被更换的车载ECU的ECU部件号与发送中断时的车载ECU的部件号相同的情况下，从最初再次开始更新程序的发送。因此，能够更适当地应对在发送中断的期间车载ECU被更换的情况。需要说明的是，在车载更新装置从最初再次开始发送时，也可以在车载更新装置与车载ECU之间的编程会话确立后，从最初再次开始更新程序的发送(数据转送)。

(7)本公开的一形态涉及的车载更新装置中，所述控制部在所述发送中断之后再次开始该发送时，在所述车载ECU的识别信息与所述发送中断之前的识别信息相同的情况下，再次开始所述更新程序的发送。

在本形态中，在发送中断之后再次开始该发送时，在所述车载ECU的识别信息与所述发送中断之前的识别信息相同的情况下，再次开始所述更新程序的发送，因此能够可靠地进行车载ECU的程序的更新。

(8)本公开的一形态涉及的车载更新装置中，所述控制部存储与所述更新程序向所述车载ECU的发送状况有关的信息，所述控制部在所述发送中断的情况下，从所述车载ECU取得与所述更新程序的接收状况有关的信息，所述控制部在与所述发送状况有关的信息和与取得的所述接收状况有关的信息匹配的情况下，从基于与所述发送状况有关的信息或与所述接收状况有关的信息而决定的中断点起，再次开始所述更新程序向所述车载ECU的发送，所述控制部在与所述发送状况有关的信息和与取得的所述接收状况有关的信息不匹配的情况下，从最初再次开始所述更新程序向所述车载ECU的发送。

在本形态中，在与发送状况有关的信息和与取得的接收状况有关的信息匹配的情况下，从发送中断的中断点再次开始所述程序向车载ECU的发送，因此能够有效地再次开始该发送。

(9)本公开的一形态涉及的更新处理程序使计算机执行如下处理：取得从车外的外部服务器发送的更新程序，将所述更新程序向车载ECU发送，在所述发送中断之后再次开始该发送时，在所述车载ECU的识别信息与所述发送中断之前的识别信息不同的情况下，判定为在所述发送中断的期间所述车载ECU被更换，执行规定的处理。

在本形态中，能够使计算机作为车载更新装置发挥作用。

(10)本公开的一形态涉及的程序的更新方法中，取得从车外的外部服务器发送的更新程序，将所述更新程序向车载ECU发送，在所述发送中断之后再次开始该发送时，在所述车载ECU的识别信息与所述发送中断之前的识别信息不同的情况下，判定为在所述发送中断的期间所述车载ECU被更换，执行规定的处理。

在本形态中，在更新车载ECU的程序时，在车载更新装置与车载ECU之间的发送中断的期间该车载ECU被更换的情况下，能够适当地应对。

(11)本公开的一形态涉及的车载更新系统是搭载于车辆的车载更新系统，其中，所述车载更新系统具备：车外通信装置，接收从车外的外部服务器发送的更新程序；车载更新装置，经由所述车外通信装置取得从所述外部服务器发送的更新程序；及车载ECU，通过从所述车载更新装置发送的所述更新程序，进行程序的更新，所述车载更新装置包括控制部，该控制部控制所述更新程序向所述车载ECU的发送，所述控制部在所述发送中断之后再次开始该发送时，在所述车载ECU的识别信息与所述发送中断之前的识别信息不同的情况下，判定为在所述发送中断的期间所述车载ECU被更换，执行规定的处理。

在本形态中，在更新车载ECU的程序时，在车载更新装置与车载ECU之间的发送中断的期间该车载ECU被更换的情况下，能够适当地应对。

[本公开的实施方式的详情]

基于表示本公开的实施方式的附图而具体说明本公开。以下，参照附图，说明本公开的实施方式的车载更新装置2。需要说明的是，本公开没有限定为这些例示，由权利要求书公开，意图包括与权利要求书等同的意思及范围内的全部变更。

(实施方式1)

以下，基于附图，说明实施方式。图1是表示实施方式1的车载更新系统的构成的示意图。图2是表示车载更新装置2等的构成的框图。车载更新系统S包括搭载于车辆C的车外通信装置1及车载更新装置2，将从经由车外网络N连接的程序提供装置S1取得的程序或数据向搭载于车辆C的车载ECU3(Electronic Control Unit：电子控制单元)发送。

程序提供装置S1例如是与互联网或公共线路网等车外网络N连接的服务器等计算机，具备基于RAM(Random Access Memory)、ROM(Read Only Memory)或硬盘等的存储部S11，相当于车外的外部服务器。在程序提供装置S1中，由车载ECU3的制造厂商等制成的用于控制该车载ECU3的程序或数据保存于存储部S11(规定的存储区域)。该程序或数据作为更新程序如后所述向车辆C发送，为了对搭载于车辆C的车载ECU3的程序或数据进行更新而使用。这样构成的程序提供装置S1(外部服务器)也称为OTA(Over The Air：空中下载)服务器。搭载于车辆的车载ECU3从程序提供装置S1取得利用无线通信发送的更新程序，通过适用作为执行该更新程序的程序而能够对自身ECU执行的程序进行更新(重编程)。

以后，程序作为包含程序代码及外部文件的情况进行说明，该程序代码包含车载ECU3用于进行处理的控制文法等，该外部文件记载有在执行该程序代码时参照的数据。在更新程序的发送时，上述程序代码及记载有数据的外部文件作为例如加密的存档文件，从程序提供装置S1发送。

在车辆C搭载有车外通信装置1、车载更新装置2、显示装置5及用于控制各种车载设备的多个车载ECU3。车外通信装置1与车载更新装置2通过例如串行电缆等线束以能够通信的方式连接。车载更新装置2及车载ECU3通过与CAN(Control Area Network：控制器局域网络/注册商标)或以太网(Ethernet，注册商标)等通信协议对应的车内LAN4以能够通信的方式连接。

车外通信装置1包括车外通信部11及用于与车载更新装置2通信的输入输出I/F(接口)12。车外通信部11是用于使用3G、LTE、4G、WiFi等移动体通信的协议进行无线通信的通信装置，经由与车外通信部11连接的天线13而与程序提供装置S1进行数据的接收发送。车外通信装置1与程序提供装置的通信经由例如公共线路网或互联网等外部网络进行。

输入输出I/F12是用于与车载更新装置2进行例如串行通信的通信接口。车外通信装置1与车载更新装置2经由输入输出I/F12及与输入输出I/F12连接的串行电缆等线束而相互通信。在本实施方式中，车外通信装置1设为与车载更新装置2不同的装置，通过输入输出I/F12等将这些装置以能够通信的方式连接，但是没有限定于此。车外通信装置1也可以作为车载更新装置2的一构成部位而内置于车载更新装置2。

车载更新装置2包括控制部20、存储部21及车内通信部23。车载更新装置2从车外通信装置1取得车外通信装置1通过无线通信而从程序提供装置S1接收到的更新程序，经由车内LAN4将该更新程序向规定的车载ECU3(更新对象的车载ECU3)发送。车载更新装置2例如是对控制系统的车载ECU3、安全系统的车载ECU3及车身系统的车载ECU3等多个系统的部分进行总括，并对上述部分间的车载ECU3彼此的通信进行中继的网关(中继器)。或者，车载更新装置2也可以构成作为对车辆C整体进行控制的车身ECU的一功能部。

控制部20由CPU(Central Processing Unit)或MPU(Micro Processing Unit)等构成，通过将预先存储于存储部21中的控制程序及数据读出并执行而进行各种控制处理及运算处理等。控制部20相当于经由车外通信装置1取得从程序提供装置S1发送的更新程序的取得部。

存储部21由RAM(Random Access Memory)等易失性的存储器元件、或者ROM(ReadOnly Memory)、EEPROM(Electrically Erasable Programmable ROM)或闪存等非易失性的存储器元件构成，预先存储有控制程序及在处理时参照的数据。存储于存储部21中的控制程序也可以是存储有从车载更新装置2能够读取的记录介质22读出的控制程序的程序。而且，也可以是从连接于未图示的通信网的未图示的外部计算机下载控制程序而存储于存储部21的结构。此外，在存储部21(规定的存储区域)存储有搭载于车辆C的全部的车载ECU3的构成信息。在存储部21存储有从程序提供装置S1取得的更新程序及向车载ECU3发送更新程序时的与进展状况相关的信息。

车内通信部23是使用了CAN(Control Area Network)或以太网(Ethernet，注册商标)等通信协议的输入输出接口，控制部20经由车内通信部23与连接于车内LAN4的车载ECU3或其他的中继装置等车载设备相互通信。车内通信部23设置多个(在附图上为三个)，在车内通信部23上分别连接构成车内LAN4的通信线。通过这样设置多个车内通信部23而车内LAN4分为多个部分，将车载ECU根据该车载ECU的功能(控制系统功能、安全系统功能、车身系统功能)而连接于各部分。

车载ECU3包括控制部30、存储部31及车内通信部32。存储部31由RAM(RandomAccess Memory)等易失性的存储器元件、或者ROM(Read Only Memory)、EEPROM(Electrically Erasable Programmable ROM)或闪存等的非易失性的存储器元件构成，存储有车载ECU3的程序或数据。该程序或数据是通过从车载更新装置2发送的更新程序所更新的对象。

存储部31包括第一存储区域(第一面)311及第二存储区域(第二面)312。在存储部31存储有车载ECU3正在执行(适用)的程序(当前版本)及在当前版本的以前适用的程序(旧版本)这两个程序。上述当前版本的程序和旧版本的程序向第一存储区域311和第二存储区域312中的任一存储区域分开存储。即，在第一存储区域311存储当前版本的程序的情况下，在第二存储区域312存储旧版本的程序。在第一存储区域311存储旧版本的程序的情况下，在第二存储区域312存储当前版本的程序。这样将当前版本及旧版本这两个程序作为所谓具有双面进行存储，由此，即使万一当前版本的程序发生问题的情况下，控制部30通过将以前适用而正常地动作的旧版本的程序读入执行(切换)，也能够确保车载ECU3的可靠性。

在存储部31存储有与当前版本及旧版本这两个程序各自的版本相关的信息、及与存储有正在执行(适用)的程序的区域(动作面)相关的信息。即，在当前正在执行存储于第一存储区域(第一面)311的程序的情况下，在存储部31中，将动作面存储为第一存储区域(第一面)311。在当前正在执行存储于第二存储区域(第二面)312的程序的情况下，在存储部31中，将动作面存储为第二存储区域(第二面)312。在存储部31中，包括程序(当前版本及旧版本)的版本信息及与动作面相关的信息，存储有自身ECU的构成信息、从车载更新装置2接收更新程序时的与进展状况相关的信息、及与过去进行的单次或多次的更新历史相关的信息。

控制部30由CPU(Central Processing Unit)或MPU(Micro Processing Unit)等构成，将存储于存储部31(动作面)的程序及数据读出执行而进行控制处理等，来控制包含该车载ECU3的车载设备或促动器等。

车载ECU3的控制部30经由车内通信部32接收从车载更新装置2发送的更新程序，取得该更新程序。因此，车载ECU3的控制部30经由车外通信装置1及车载更新装置2取得从程序提供装置S1发送的更新程序。控制部30将取得的更新程序存储于不是动作面的存储区域(第一存储区域311或第二存储区域312)。即，控制部30每当取得从车载更新装置2发送的更新程序时，作为该取得的准备处理，将存储于不是动作面的存储区域(非动作面)的程序删除。通常，在不是动作面的存储区域中存储的程序是在当前版本的程序的以前执行的旧版本的程序，因此不使车载ECU3中的向车载装置的控制功能停止而能够删除该旧版本。控制部30将在不是动作面的存储区域(非动作面)中存储的旧版本的程序删除，将从车载更新装置2发送的更新程序存储于该非动作面。

从车载更新装置2的更新程序的发送将该更新程序按照例如以规定的数据尺寸分割的块单位进行，详情在后文叙述。向发送的块分别赋予用于单独地识别该块的块ID，车载ECU3的控制部30将接收到的块ID存储于存储部31，由此能够存储与更新程序的接收相关的进展状况。

车载ECU3的控制部30在正常结束了更新程序的接收，即正常结束了分割的全部的块的接收之后，在执行了车辆C的IG开关的接通及断开等规定的动作的情况下，进行动作面的切换，将接收到的更新程序作为当前版本的程序适用并执行。车载ECU3的控制部30也可以在正常结束了更新程序的接收的情况下或者正常地进行了动作面的切换的情况下，将程序的更新完成(正常结束)的情况存储于存储部31，进而向车载更新装置2发送(通知)。

显示装置5例如是车辆导航的显示器等HMI(Human Machine Interface：人机界面)装置。显示装置5与车载更新装置2的输入输出I/F24通过串行电缆等线束以能够通信的方式连接。在显示装置5上显示从车载更新装置2的控制部20经由输入输出I/F24输出的数据或信息。显示装置5与车载更新装置2的连接方式没有限定为基于输入输出I/F24等的连接方式，显示装置5与车载更新装置2也可以是经由车内LAN4的连接方式。

图3是例示车载ECU3的构成信息的一形态的说明图。车载更新装置2的控制部20在IG(点火器)开关接通的情况下或者在规定的时刻，要求对于稳定地搭载于车辆C的全部的车载ECU3发送车载ECU3的构成信息(车辆构成信息)及该构成信息的更新历史(车辆构成信息更新历史)，取得发送的构成信息及更新历史，存储于存储部21。或者，车载更新装置2的控制部20也可以不要求对于车载ECU3发送车载ECU3的构成信息及更新历史而取得车载ECU3分别自发地发送的构成信息及更新历史，存储于存储部21。如上所述，在车载ECU3各自的存储部21存储有自身ECU的构成信息及更新历史。因此，车载更新装置2将分别存储于车载ECU3的构成信息及更新历史分别汇集，存储车载ECU3各自的构成信息及更新历史。车载更新装置2也可以将汇集存储的车载ECU3各自的构成信息及更新历史向程序提供装置S1发送。通过将构成信息及更新历史向程序提供装置S1发送而能够在程序提供装置S1的存储部S11进行该构成信息及更新历史的备份。

如图3所示，车载ECU3的构成信息(车辆构成信息主表)包含例如车载ECU3的制造编号(序列号)、ECU部件号(部件号、型号)、软件(Software)部件号、程序的当前版本、旧版本、动作面数、动作面、MAC(Media Access Control：介质访问控制)地址、IP地址、上次更新完成日期时间及重编程状态，与基于在各个车载ECU3中不重复地设定的连续编号等的ECU-ID建立关联地管理。

制造编号(序列号)是在车载ECU3的制造时被赋予的编号，由表示生产基地等的批次编号及制造时的连续编号等构成，是能够唯一地确定该ECU的独特的编号。ECU部件号(部件号、型号)是确定车载ECU的种类的编号，例如为部件编号。软件(Software)部件号是用于确定更新程序的软件的种类的编号。

动作面数是存储不同的版本的更新程序的存储区域的个数。即，在动作面数为两个的情况下，能够记录两个不同的版本的更新程序。在动作面数为一个的情况下，能够仅存储单一的版本的更新程序。动作面是对存储有车载ECU3当前正在执行(适用)的程序的任一存储区域(第一存储区域311或第二存储区域312)进行确定的信息。

当前版本是车载ECU3当前正在执行(适用)的程序的版本编号，是存储于动作面的程序的版本编号。旧版本是车载ECU3以前执行(适用)的程序的版本编号，是存储于非动作面(不是动作面的存储区域)的程序的版本编号。

在车载ECU3的车内通信部23是与以太网(Ethernet)对应的通信端口的情况下，MAC地址是与数据链路层对应的地址。MAC地址是在该车内通信部23的制造时被赋予的编号，由表示制造者的厂商代码及制造时的连续编号等构成，是能够唯一地确定该ECU的独特的编号。

在车内通信部23是与以太网(Ethernet)对应的通信端口的情况下，IP地址是进行使用了TCP/IP的通信时的与网络层对应的地址。

车载ECU3的构成信息包含用于识别该车载ECU3的识别信息。IP地址是根据车内通信部23的设定而能够任意地决定的地址，因此作为用于识别车载ECU3的识别信息，优选使用序列号或MAC地址。而且，在识别信息中，除了该序列号或MAC地址之外，也可以包含车载ECU3的ECU部件号(部件号、型号)。通过使识别信息包含ECU部件号，能够进行与作为车载ECU3的部件的同一性相关的判定。即，是指在将两个构成信息进行比较时，虽然序列号或MAC地址不同，但是在ECU部件号相同的情况下，具有上述构成信息的车载ECU3分别作为部件(部件号、型号)而相同。

上次更新完成日期时间是上次实施的更新(更新程序的发送)完成的日期时间。重编程状态表示与更新相关的最新的状态。需要说明的是，这些信息保持与后述的更新历史涉及的信息(车辆构成信息更新历史表)的关联性。

如图3的下段所示，在车载更新装置2的存储部21中，除了车载ECU3各自的构成信息之外，还存储有与该构成信息的更新历史相关的信息。车载ECU3各自的构成信息(车辆构成信息主表)与该构成信息的更新历史(车辆构成信息更新管理表)也可以通过例如另外的表来登记或管理。与构成信息的更新历史相关的信息包含历史内容及进行了该历史内容的日期时间，将上述历史内容及日期时间与各车载ECU的ECU-ID建立关联地登记或管理。历史内容包含例如从接收更新程序起至发送更新完成的通知(完成通知)为止的各处理(更新程序接收开始、更新程序接收完成、动作面切换及完成通知)。而且，历史内容也可以包含成为上述各处理的对象的更新程序的版本。也可以是车辆构成信息主表与车辆构成信息更新管理表保持关联性，根据各车载ECU中的最新的日期时间的历史内容来导出构成信息中的重编程状态。

车载ECU3的构成信息中包含的信息没有限定为图3所示的项目的信息。在车载ECU3由CAN连接的情况下，车载ECU3的构成信息也可以包含该车载ECU3发送消息时使用(包含)的CAN-ID。

车载ECU3的识别信息包含在车载ECU3的构成信息中包含的序列号或MAC地址。车载更新装置2的控制部20将基于构成信息中包含的序列号或MAC地址的车载ECU3的识别信息与向该车载ECU3的更新程序的发送的进展状况涉及的信息建立关联地存储于存储部21。

图4是表示车载更新装置2的控制部20的处理的流程图。图5是表示车载更新装置2的控制部20的处理的流程图。图6是表示车载更新装置2的控制部20的处理的流程图。车载更新装置2的控制部20在车辆C为起动状态(IG开关接通)下，经由车外通信装置1稳定地与程序提供装置S1通信，进行以下的处理。

车载更新装置2的控制部20判定是否存在更新中途的车载ECU3(S11)。控制部20参照在存储部21中存储的与上次的更新程序的发送的进展状况有关的信息，判定是否存在更新中途的车载ECU3。与更新程序的发送的进展状况有关的信息包含对更新对象的车载ECU3进行确定的识别信息(例如，序列号或MAC地址)和发送的更新程序的块ID，详情在后文叙述。此外，与更新程序的发送的进展状况有关的信息包含与向该车载ECU3的更新程序的发送是否完成相关的信息。控制部20例如在上次发送的更新程序的块ID不是在发送更新程序时最后的块的块ID的情况下或者更新程序的发送未完成的车载ECU3存在的情况下，判定为存在更新中途的车载ECU3。控制部20例如在上次发送的更新程序的块ID是在发送更新程序时最后的块的块ID的情况下或者更新程序的发送为中途的车载ECU3不存在的情况下，判定为不存在更新中途的车载ECU3。

在存在更新中途的车载ECU3的情况下(S11：是)，车载更新装置2的控制部20取得更新对象的车载ECU3的识别信息(S12)。车载更新装置2的控制部20向更新对象的车载ECU3要求发送自身ECU的识别信息。控制部20接收、取得从该车载ECU3发送的识别信息。从车载ECU3发送的识别信息包含例如该车载ECU3的序列号或MAC地址、及ECU部件号。此外，从车载ECU3发送的识别信息也可以包含与该车载ECU3的程序的版本相关的信息。或者，该车载ECU3也可以将存储于存储部31的自身ECU的构成信息的全部向车载更新装置2发送。

车载更新装置2的控制部20判定从更新对象的车载ECU3取得的识别信息是否不同(S13)。控制部20将从更新对象的车载ECU3取得的识别信息与在更新程序的发送过程中存储于存储部21的车载ECU3的识别信息进行比较，判定这些识别信息分别是相同还是不同。在判定是相同还是不同时，控制部20也可以将识别信息中包含的全部的项目进行比较。即，例如在识别信息中包含序列号、MAC地址及ECU部件号作为规定的项目的情况下，在序列号、MAC地址及ECU部件号这全部的项目相同的情况下，也可以判定为这些识别信息分别一致。更新对象的车载ECU3未对发送要求进行响应而无法取得识别信息的情况包含于识别信息不一致的情况，控制部20判定为取得的识别信息不相同即不同。

在判定为识别信息不同的情况下(S13：是)，车载更新装置2的控制部20判定为更新对象的车载ECU3在更新程序的发送中断的期间被更换(S14)。控制部20在从更新对象的车载ECU3取得的识别信息与在更新程序的发送过程中存储的车载ECU3的识别信息不一致的情况下，或者该更新对象的车载ECU3对发送要求未进行响应而无法取得识别信息的情况下，判定为在更新程序的发送中断的期间车载ECU3被更换。车载更新装置2的控制部20在该更新对象的车载ECU3对发送要求未进行响应而无法取得识别信息的情况下，也可以判定为在更新程序的发送中断的期间该更新对象的车载ECU3被拆卸。而且，控制部20在该更新对象的车载ECU3对发送要求未进行响应而无法取得识别信息的情况下，也可以中止更新程序的发送。

车载更新装置2的控制部20判定在识别信息中包含的ECU部件号是否不同(S15)。如上所述，识别信息中包含唯一地决定车载ECU3的特有的项目即序列号或MAC地址、及表示作为车载ECU3的部件的同一性的ECU部件号。控制部20将中断之前的识别信息及再次开始时的识别信息中包含的ECU部件号分别进行比较，判定上述ECU部件号是相同还是不同。

在ECU部件号不同的情况下(S15：是)，车载更新装置2的控制部20中止更新程序的发送(S16)。在该情况下，再次开始发送时的车载ECU3是序列号、MAC地址及ECU部件号与发送中断之前的车载ECU3不同的另一个车载ECU3。因此，控制部20判定为在发送中断的期间进行的车载ECU3的更换为不适当的更换，不再次开始向更新对象的车载ECU3的更新程序的发送而中止该更新程序的发送。

在ECU部件号没有不同的情况下(S15：否)，即ECU部件号相同的情况下，车载更新装置2的控制部20从最初开始发送更新程序(S151)。在中断之前的识别信息与再次开始时的识别信息之间，存在虽然序列号或MAC地址不同但是ECU部件号相同的情况。在这样的情况下，虽然在发送中断的期间车载ECU3被更换，但是在该更换的前后，上述车载ECU3是同一型号或部件号的部件。因此，判定为在发送中断的期间进行的车载ECU3的更换为正当的更换，从最初开始发送向更新对象的车载ECU3的更新程序，再次开始该发送。控制部20也可以在从最初开始发送更新程序时，与后述的S114、S115及S116同样地以块单位进行发送，在发送了全部块之后将更新完成存储于存储部21。

车载更新装置2的控制部20发送及存储判定结果(S17)。控制部20将更新对象的车载ECU3在更新程序的发送中断的期间被更换或拆卸的判定结果向车外的程序提供装置S1、设置于车辆C的显示装置5、或者程序提供装置S1及设置于车辆C的显示装置5这两个装置发送，通知该更换或拆卸的意思。控制部20也可以在判定结果中包含更新程序的发送过程中存储于存储部21的车载ECU3的识别信息，进行发送、通知。而且，控制部20也可以在判定结果中包含与ECU部件号的异同相关的判定。而且，控制部20关于判定为在更新程序的发送中断的期间被更换的车载ECU3的识别信息(从更换后的车载ECU3接收到的识别信息)，也可以与判定结果一起发送、通知。或者，车载更新装置2的控制部20也可以经由车外通信装置1向车辆C的操作者持有的智能手机等便携终端发送，来通知更新对象的车载ECU3被更换或拆卸的意思。控制部20将接收到的识别信息或包含无法接收的意思、更新对象的车载ECU3被更换或拆卸的意思与更新程序的发送过程中的车载ECU3的构成信息建立关联地存储于存储部21。

在不存在更新中途的车载ECU3的情况下(S11：否)，车载更新装置2的控制部20取得更新信息及更新程序(S111)。车载更新装置2的控制部20经由车外通信装置1与程序提供装置S1通信，确认更新信息的有无，如果更新信息存在，则取得对应的更新程序。控制部20基于取得的更新信息，来确定更新对象的车载ECU3。更新信息没有限定为与更新程序不同的数据文件的情况。更新信息也可以作为例如标题信息而包含在更新程序的数据文件中。

车载更新装置2的控制部20对更新开始进行存储(S112)。控制部20与更新对象的车载ECU3的识别信息建立关联地将该车载ECU3的更新开始的情况(该车载ECU3为更新过程中的情况)存储于存储部21。

车载更新装置2的控制部20向车载ECU3发送更新程序(S113)。控制部20开始更新程序的发送。控制部20在开始更新程序的发送时，也可以与成为发送目的地的车载ECU3确立会话。在S11中，控制部20基于取得的更新信息，来确定更新对象的车载ECU3，但是没有限定于此。控制部20将例如基于更新信息而生成的规定的数据包或消息利用组播向搭载于车辆C的全部的车载ECU3发送。并且，控制部20也可以将对于该组播包含自身ECU的构成信息地回信而响应的车载ECU3确定作为更新对象的车载ECU3，将该车载ECU3的更新开始的情况(该车载ECU3为更新过程中的情况)存储于存储部21。

车载更新装置2的控制部20将更新程序以块单位进行发送(S114)。控制部20将更新程序按照以规定的数据尺寸分割的块单位发送。或者，控制部20也可以提取更新程序中包含的分隔符，基于该分隔符对更新程序进行分割并作为块。向块赋予用于识别各个块的块ID。控制部20将包含发送的块的块ID及发送时间点在内的与更新程序的发送的进展状况(发送状况)相关的信息存储于存储部21。

车载更新装置2的控制部20判定本次发送的块是否为最后的块(S115)。控制部20例如在将更新程序以规定的数据尺寸分割而进行块化时，确定生成的块的个数。该确定的块的个数成为块ID的末尾的编号，控制部20根据本次发送的块的块ID是否为末尾的编号，来判定在更新程序的发送完成时是否为最后的块。

在本次发送的块不是最后的块的情况下(S115：否)，车载更新装置2的控制部20为了再次执行S114的处理而进行循环处理。通过循环处理而再次进行块单位的发送的处理(S114)时，控制部20发送成为上次发送的块ID的下一顺序的块ID。通过这样进行循环处理，控制部20向更新对象的车载ECU3顺次发送将更新程序以规定的数据尺寸进行了分割的块。

接收到从车载更新装置2发送的块的更新对象的车载ECU3将该块存储于非动作面的存储区域(第一存储区域311或第二存储区域312)，将包含接收到的块的块ID及接收时间点在内的与更新程序的接收的进展状况(接收状况)相关的信息存储于存储部31。

在进行该循环处理期间，即利用循环处理(S115)顺序进行块单位的发送(S114)期间，例如，在车辆C的电源被断开(IG开关断开)的情况下，该块单位的发送被中断。并且，在车载更新装置2的存储部21保留更新程序及最后发送的块的块ID的信息。而且，在车载更新装置2的存储部21中作为该车载ECU3为更新过程中(重编程状态为更新过程中)来存储。因此，通过这些存储于存储部21的信息来表示向更新对象的车载ECU3的更新程序的发送为中途状态(该车载ECU3为程序更新过程中/重编程状态为更新过程中)的情况。

在本次发送的块为最后的块的情况下(S115：是)，车载更新装置2的控制部20将更新完成存储于存储部21(S116)。车载更新装置2的控制部20通过发送最后的块而结束车载ECU3的更新程序的发送，将该车载ECU3的更新完成的情况与该车载ECU3的识别信息建立关联地存储于存储部21。

车载ECU3在接收到从车载更新装置2发送的最后的块之后，将自身ECU的更新完成的情况存储于存储部31。车载ECU3也可以在最后的块的接收及向完成了接收的更新程序的切换，即将动作面切换为存储更新程序的存储区域之后，将向更新程序的切换完成的情况向车载更新装置2发送(通知)。车载更新装置2的控制部20也可以在接收到从更新对象的车载ECU3向更新程序的切换完成的通知之后，将包含进行了动作面的切换的情况在内的该车载ECU3的更新完成的情况与该车载ECU3的识别信息建立关联地存储于存储部21。车载更新装置2的控制部20也可以在将车载ECU3的更新完成的情况存储于存储部21之后，删除更新程序。

在判定为识别信息没有不同的情况下(S13：否)，即判定为识别信息相同的情况下，车载更新装置2的控制部20从更新对象的车载ECU3取得与更新程序的接收状况相关的信息(S131)。控制部20参照与存储于存储部21的上次的更新程序的发送的进展状况有关的信息，根据更新中途的车载ECU3的识别信息来确定该车载ECU3。控制部20对于更新中途的车载ECU3要求发送与由该车载ECU3进行的更新程序的接收状况相关的信息。在更新中途的车载ECU3的存储部21存储有接收到的块ID及接收时间点等的与更新程序的接收的进展状况(接收状况)有关的信息，车载ECU3的控制部30经由车内通信部32将更新程序的接收状况向车载更新装置2发送。车载更新装置2的控制部20从车载ECU3取得更新程序的接收状况。或者，车载ECU3的控制部30在上次发送的更新程序的接收未完成的情况下，也可以自发地向车载更新装置2发送更新程序的接收状况。

车载更新装置2的控制部20判定与发送状况有关的信息和与接收状况有关的信息是否匹配(S132)。控制部20例如将存储于存储部21的最后发送的块的块ID与从车载ECU3取得的该车载ECU3最后接收到的块的块ID进行比较。控制部20根据这些块ID是否相同，来判定与发送的进展状况(发送状况)有关的信息和与接收的进展状况(接收状况)有关的信息是否匹配。

控制部20例如在接收发送的块各自的块ID相同的情况下，判定为与发送状况有关的信息和与接收状况有关的信息匹配。控制部20例如在接收发送的块各自的块ID不同的情况下，或者更新对象的车载ECU3对发送要求未进行响应而无法取得与更新程序的接收状况有关的信息的情况下，判定为与发送状况有关的信息和与接收状况有关的信息不匹配。或者，车载更新装置2及车载ECU3分别存储根据接收发送的块的块ID而决定的检测点。车载更新装置2的控制部20也可以将本装置存储的检测点与车载ECU3中存储的检测点进行比对，来判定与发送状况有关的信息和与接收状况有关的信息是否匹配。这样根据接收发送的块各自的块ID，能够确定上次的更新程序的接收发送中断的中断点。

在匹配的情况下(S132：是)，车载更新装置2的控制部20从中断点再次开始更新程序的发送(S133)。控制部20进行在上次的更新程序的发送中最后发送的块的块ID的下一顺序的块的发送，再次开始更新程序的发送。控制部20也可以在再次开始更新程序的发送时，在再次确立了与车载ECU之间的编程会话之后，进行成为该下一顺序的块的发送。该编程会话也可以基于例如ISO14229-1的UDS(Unified diagnostic services：统一诊断服务)。通过从中断点再次开始更新程序的发送，不需要发送在上次的更新程序的发送中已经发送的块的处理，能够缩短从更新程序的再次开始至完成所需的所需时间，并抑制车内LAN4的信息量的增加。

车载更新装置2的控制部20与S114、S115及S116的处理同样地进行S134、S135及S136的处理。

在不匹配的情况下(S132：否)，车载更新装置2的控制部20从最初开始发送更新程序(S1321)。在该情况下，在更新程序的接收发送中断的前后，更新对象的车载ECU3相同，在发送中断的期间，不更换该车载ECU3。然而，例如，由于因更新程序的接收发送的中断而产生的通信错误等，存在车载更新装置2最后发送的块ID与车载ECU3最后接收到的块ID不同的情况。即使在这样的情况下，也是在更新程序的接收发送中断的前后更新对象的车载ECU3相同，因此车载更新装置2的控制部20将更新程序从最初即从最初的块再次开始发送。控制部20在从最初开始发送更新程序时，在车载更新装置2与车载ECU3之间的编程会话确立后，从最初再次开始更新程序的发送(数据转送)。控制部20在将更新程序以块单位发送的情况下，进行从最初的块ID的块开始的发送。该编程会话也可以基于例如ISO14229-1的UDS(Unified diagnostic services)。而且，也可以在编程会话确立后，车载更新装置2的控制部20对于车载ECU3进行了将在上次中断的发送中接收到的更新程序(接收到的块)删除的指示(通知)，之后，从最初再次开始更新程序的发送。因此，即使接收发送的块各自的块ID不同，在车载更新装置2及车载ECU3之间在中断点存在背离的情况下，通过从最初再次开始更新程序的发送，也能够将该更新程序可靠地向车载ECU3发送。

车载更新装置2的控制部20与S114、S115及S116的处理同样地进行S1322、S1323及S1324的处理。

在本实施方式中，在ECU部件号不同的情况下，中止了更新程序的发送，但是没有限定于此。车载更新装置2的控制部20也可以在判定为识别信息不同的情况下，判定为在发送中断的期间更新对象的车载EUC3被更换，不用再次开始向该更新对象的车载ECU的更新程序的发送而中止该更新程序的发送。即，控制部20也可以不用考虑ECU部件号的异同，基于识别信息各自包含的序列号或MAC地址的对比结果，判定这些识别信息的异同，在不同的情况下，判定为车载ECU3在发送中断的期间被更换，中止更新程序的发送。

更新对象的车载ECU3在更新程序的发送中断的期间被更换或拆卸的情况下，中止该更新程序的发送，中止该发送。这样的更换或拆卸也担心不正确地进行的情况，对于不正确地被更换的车载ECU3，不再次开始更新程序的发送，因此能够防止该更新程序由不正确地被更换的车载ECU3接收的情况。而且，将更新对象的车载ECU3被更换或拆卸的意思向车辆C的操作者等通知，因此该操作者能够进行适当的应对。

更新对象的车载ECU3的更换等在更新程序中断的期间进行，控制部20在更新程序的以块单位的发送中，将与各块的发送时间点有关的信息包含在与发送状况有关的信息中来存储。因此，控制部20基于与该发送时间点有关的信息和再次开始更新程序的时间点，导出更新程序中断的时间带，能够确定为在导出的时间带车载ECU3被更换等。控制部20也可以将该导出的时间带包含在判定结果中而输出(发送)、通知。车辆C的操作者等能够识别与车载ECU3的更换或拆卸有关的更详细的信息。

(实施方式2)

图7是表示车载更新装置2的控制部20的处理的流程图。图8是表示车载更新装置2的控制部20的处理的流程图。车载更新装置2的控制部20在车辆C为起动状态(IG开关接通)下，经由车外通信装置1稳定地与程序提供装置S1通信，进行以下的处理。

车载更新装置2的控制部20判定是否存在更新中途的车载ECU3(S21)。控制部20参照与在存储部21中存储的上次的更新程序的发送的进展状况有关的信息，判定是否存在更新中途的车载ECU3。与更新程序的发送的进展状况有关的信息包括确定更新对象的车载ECU3的识别信息(例如，序列号或MAC地址)和发送的更新程序的块ID，详情在后文叙述。此外，与更新程序的发送的进展状况有关的信息包括与向该车载ECU3的更新程序的发送是否完成有关的信息。控制部20例如在上次发送的更新程序的块ID不是在发送更新程序时最后的块的块ID的情况下，或者存在更新程序的发送未完成的车载ECU3的情况下，判定为存在更新中途的车载ECU3。控制部20例如在上次发送的更新程序的块ID是在发送更新程序时最后的块的块ID的情况下，或者不存在更新程序的发送为中途的车载ECU3的情况下，判定为不存在更新中途的车载ECU3。

在不存在更新中途的车载ECU3的情况下(S21：否)，车载更新装置2的控制部20取得更新信息及更新程序(S211)。车载更新装置2的控制部20经由车外通信装置1与程序提供装置S1通信，确认更新信息的有无，如果更新信息存在，则取得对应的更新程序。控制部20基于取得的更新信息，来确定更新对象的车载ECU3。

车载更新装置2的控制部20对更新开始进行存储(S212)。控制部20与更新对象的车载ECU3的识别信息建立关联地将开始该车载ECU3的更新的情况(该车载ECU3为更新过程中的情况)存储于存储部21。

车载更新装置2的控制部20向车载ECU3发送更新程序(S213)。控制部20开始更新程序的发送。控制部20在开始更新程序的发送时，也可以与成为发送目的地的车载ECU3确立会话。在S21中，控制部20基于取得的更新信息，来确定更新对象的车载ECU3，但是没有限定于此。控制部20例如将基于更新信息而生成的规定的数据包或消息以组播向搭载于车辆C的全部的车载ECU3发送。并且，控制部20也可以将对于该组播包含自身ECU的构成信息地回信而响应的车载ECU3确定作为更新对象的车载ECU3，将该车载ECU3的开始更新的情况(该车载ECU3为更新过程中的情况)存储于存储部21。

车载更新装置2的控制部20将更新程序以块单位发送(S214)。控制部20将更新程序按照以规定的数据尺寸分割的块单位发送。或者，控制部20也可以提取在更新程序中包含的分隔符，基于该分隔符，对更新程序进行分割并作为块。向块赋予用于识别各个块的块ID。控制部20将包含发送的块的块ID及发送时间点的与更新程序的发送的进展状况(发送状况)有关的信息存储于存储部21。

车载更新装置2的控制部20判定本次发送的块是否为最后的块(S215)。控制部20例如在将更新程序以规定的数据尺寸分割而进行块化时，确定生成的块的个数。该确定的块的个数成为块ID的末尾的编号，控制部20根据本次发送的块的块ID是否为末尾的编号，来判定在更新程序的发送完成时是否为最后的块。

在本次发送的块不是最后的块的情况下(S215：否)，车载更新装置2的控制部20为了再次执行S214的处理而进行循环处理。在通过循环处理而再次进行块单位的发送的处理(S214)时，控制部20发送成为上次发送的块ID的下一顺序的块ID。通过这样进行循环处理，控制部20向更新对象的车载ECU3顺次发送将更新程序以规定的数据尺寸分割后的块。

接收到从车载更新装置2发送的块的更新对象的车载ECU3将该块存储于非动作面的存储区域(第一存储区域311或第二存储区域312)，将包含接收到的块的块ID及接收时间点的与更新程序的接收的进展状况(接收状况)有关的信息存储于存储部31。

在进行该循环处理期间，即以循环处理(S215)顺次进行块单位的发送(S214)期间，例如，在车辆C的电源断开(IG开关断开)的情况下，中断该块单位的发送。并且，在车载更新装置2的存储部21中保留更新程序及最后发送的块的块ID的信息。而且，在车载更新装置2的存储部21中，该车载ECU3作为更新过程中(重编程状态为更新过程中)来存储。因此，通过这些存储于存储部21的信息，来表示向更新对象的车载ECU3的更新程序的发送为中途状态(该车载ECU3为程序更新过程中/重编程状态为更新过程中)的情况。

在本次发送的块为最后的块的情况下(S215：是)，车载更新装置2的控制部20将更新完成存储于存储部21(S216)。车载更新装置2的控制部20通过发送最后的块而结束车载ECU3的更新程序的发送，将该车载ECU3的更新完成的情况与该车载ECU3的识别信息建立关联地存储于存储部21。

车载ECU3在接收到从车载更新装置2发送的最后的块之后，将自身ECU的更新完成的情况存储于存储部31。车载ECU3也可以在最后的块的接收及完成了接收的向更新程序的切换，即将动作面切换为存储更新程序的存储区域之后，将向更新程序的切换完成的情况向车载更新装置2发送(通知)。车载更新装置2的控制部20也可以在从更新对象的车载ECU3接收到向更新程序的切换完成的通知之后，将包含进行了动作面的切换的情况在内的该车载ECU3的更新完成的情况与该车载ECU3的识别信息建立关联地存储于存储部21。车载更新装置2的控制部20也可以在将车载ECU3的更新完成的情况存储于存储部21之后，删除更新程序。

在存在更新中途的车载ECU3的情况下(S21：是)，车载更新装置2的控制部20从更新对象的车载ECU3取得与更新程序的接收状况有关的信息(S22)。控制部20参照与存储在存储部21的上次的更新程序的发送的进展状况有关的信息，根据更新中途的车载ECU3的识别信息来确定该车载ECU3。控制部20对于更新中途的车载ECU3要求发送与基于该车载ECU3的更新程序的接收状况有关的信息。在更新中途的车载ECU3的存储部21中存储有接收到的块ID及接收时间点等的与更新程序的接收的进展状况(接收状况)有关的信息，车载ECU3的控制部30经由车内通信部32将更新程序的接收状况向车载更新装置2发送。车载更新装置2的控制部20从车载ECU3取得更新程序的接收状况。或者，车载ECU3的控制部30在上次发送的更新程序的接收未完成的情况下，也可以自发地向车载更新装置2发送更新程序的接收状况。

车载更新装置2的控制部20判定与发送状况有关的信息和与接收状况有关的信息是否匹配(S23)。控制部20例如将存储于存储部21的最后发送的块的块ID与从车载ECU3取得的该车载ECU3最后接收到的块的块ID进行比较。控制部20根据这些块ID是否相同，来判定与发送的进展状况(发送状况)有关的信息和与接收的进展状况(接收状况)有关的信息是否匹配。

控制部20例如在接收发送的块各自的块ID相同的情况下，判定为与发送状况有关的信息和与接收状况有关的信息匹配。控制部20例如在接收发送的块各自的块ID不相同的情况下或者更新对象的车载ECU3对发送要求未进行响应而无法取得与更新程序的接收状况有关的信息的情况下，判定为与发送状况有关的信息和与接收状况有关的信息不匹配。或者，车载更新装置2及车载ECU3分别存储根据接收发送的块的块ID而决定的检测点。车载更新装置2的控制部20也可以将存储于本装置的检测点与存储于车载ECU3的检测点进行比对，来判定与发送状况有关的信息和与接收状况有关的信息是否匹配。根据这样接收发送的块各自的块ID，能够确定上次的更新程序的接收发送中断的中断点。

在匹配的情况下(S23：是)，车载更新装置2的控制部20从中断点再次开始更新程序的发送(S24)。控制部20进行成为在上次的更新程序的发送中最后发送的块的块ID的下一顺序的块的发送，再次开始更新程序的发送。控制部20在再次开始更新程序的发送时，也可以在再次确立了与车载ECU之间的编程会话之后，进行该成为下一顺序的块的发送。该编程会话也可以基于例如ISO14229-1的UDS(Unified diagnostic services)。通过从中断点再次开始更新程序的发送，由此不需要发送在上次的更新程序的发送中已经发送的块的处理，能够缩短从更新程序的再次开始至完成所需的所需时间，并抑制车内LAN4的信息量的增加。

车载更新装置2的控制部20与S214、S215及S216的处理同样地进行S25、S26及S27的处理。

在未匹配的情况下(S23：否)，车载更新装置2的控制部20取得更新对象的车载ECU3的识别信息(S231)。车载更新装置2的控制部20向更新对象的车载ECU3要求发送自身ECU的识别信息。控制部20接收、取得从该车载ECU3发送的识别信息。从车载ECU3发送的识别信息包含例如该车载ECU3的序列号或MAC地址。此外，从车载ECU3发送的识别信息也可以包含与该车载ECU3的程序的版本有关的信息。或者，该车载ECU3也可以将存储于存储部31的自身ECU的构成信息的全部向车载更新装置2发送。

车载更新装置2的控制部20判定从更新对象的车载ECU3取得的识别信息是否正当(S232)。控制部20将从更新对象的车载ECU3取得的识别信息与更新程序为发送过程中的存储于存储部21的车载ECU3的识别信息进行比较，在一致的情况下，判定为取得的识别信息正当。在不一致的情况下，控制部20判定为取得的识别信息不正当，即不适当。需要说明的是，更新对象的车载ECU3对发送要求未进行响应而无法取得识别信息的情况包含于识别信息不一致的情况，控制部20判定为取得的识别信息不正当，即不适当。

控制部20将存储于存储部21的车载ECU3的识别信息进行比较，但是没有限定于此。也可以使搭载于车辆C的车载ECU3的构成信息预先存储于程序提供装置S1，控制部20基于从程序提供装置S1发送的车载ECU3的构成信息，来导出更新程序为发送过程中的车载ECU3的识别信息。通过使车载ECU3的构成信息存储于程序提供装置S1，能够确保车载更新装置2的存储部21的空余容量。而且，即使在车载更新装置2被更换的情况下也能够降低该更换的影响。

在判定为正当的情况下(S232：是)，车载更新装置2的控制部20从最初开始发送更新程序(S233)。在判定为正当的情况下，在更新程序的接收发送中断的前后，更新对象的车载ECU3相同。然而，例如，由于因更新程序的接收发送的中断而发生的通信错误等，存在车载更新装置2最后发送的块ID与车载ECU3最后接收到的块ID不同的情况。即使在这样的情况下，在更新程序的接收发送中断的前后，更新对象的车载ECU3也相同，因此车载更新装置2的控制部20将更新程序从最初即从最初的块再次开始发送。控制部20在从最初开始发送更新程序时，在车载更新装置2与车载ECU3之间的编程会话确立后，从最初再次开始更新程序的发送(数据转送)。控制部20将更新程序以块单位发送的情况下，进行从最初的块ID的块开始的发送。该编程会话也可以基于例如ISO14229-1的UDS(Unified diagnosticservices)。而且，在编程会话确立后，车载更新装置2的控制部20也可以对于车载ECU3进行了将在上次中断的发送中接收到的更新程序(接收到的块)删除的指示(通知)，之后，从最初再次开始更新程序的发送。因此，即使接收发送的块各自的块ID不同，在车载更新装置2及车载ECU3之间中断点存在背离的情况下，通过从最初再次开始更新程序的发送，也能够将该更新程序可靠地向车载ECU3发送。

车载更新装置2的控制部20与S214、S215及S216的处理同样地进行S234、S235及S236的处理。

在判定为不正当(不适当)的情况下(S232：否)，车载更新装置2的控制部20判定为车载ECU3被更换(S2321)。控制部20在从更新对象的车载ECU3取得的识别信息与更新程序为发送过程中的存储的车载ECU3的识别信息不一致的情况下，或者该更新对象的车载ECU3对发送要求未进行响应而无法取得识别信息的情况下，判定为在更新程序的发送中断的期间车载ECU3被更换。车载更新装置2的控制部20在该更新对象的车载ECU3对发送要求未进行响应而无法取得识别信息的情况下，也可以判定为在更新程序的发送中断的期间该更新对象的车载ECU3被拆卸。控制部20判定为车载ECU3被更换或拆卸，不用再次开始更新程序的发送而中止该发送。

更新程序的发送的中断由于例如车辆C的电源断开(IG开关断开)而发生。因此，在更新程序的发送中途而车辆C的电源断开且该更新程序的发送中断的期间，即使更新对象的车载ECU3被更换或拆卸的情况下，也能够可靠地检测该更换或拆卸的事态。

车载更新装置2的控制部20发送及存储判定结果(S2322)。控制部20将更新对象的车载ECU3在更新程序的发送中断的期间被更换或拆卸的判定结果向车外的程序提供装置S1、设置于车辆C的显示装置5、或者程序提供装置S1及设置于车辆C的显示装置5这两装置输出(发送)，通知该更换或拆卸的意思。控制部20也可以将更新程序为发送过程中的存储于存储部21的车载ECU3的识别信息包含于判定结果，进行输出(发送)、通知。而且，控制部20关于判定为在更新程序的发送中断的期间被更换的车载ECU3的识别信息(从更换后的车载ECU3接收到的识别信息)，也可以与判定结果一起输出(发送)、通知。或者，车载更新装置2的控制部20也可以经由车外通信装置1向车辆C的操作者持有的智能手机等便携终端发送，通知更新对象的车载ECU3被更换或拆卸的意思。控制部20将接收到的识别信息或包含无法接收的意思在内的更新对象的车载ECU3被更换或拆卸的意思与更新程序为发送过程中的车载ECU3的构成信息建立关联地存储于存储部21。

在本实施方式中，车载更新装置2是将多个车载ECU3的系统的部分进行总括的网关(中继器)，但是没有限定于此。车载更新装置2也可以是连接于特定的部分且与网关不同的专用装置。

在本实施方式中，车载更新装置2的控制部20进行车载EUC的构成信息的汇集、与接收发送的状况有关的信息的匹配性判定、及更新对象的车载ECU3的识别信息的正当性判定，但是没有限定于此。进行构成信息的汇集、与接收发送的状况有关的信息的匹配性判定、及更新对象的车载ECU3的识别信息的正当性判定的各个功能部也可以分散于网关及车身ECU等多个车载设备地构成，通过相互通信而协同或协作来发挥作用。

(实施方式3)

图9是例示实施方式3的车载ECU3的构成的框图。实施方式3的车载ECU3包含由控制部20及存储部21构成的多个微机，车载更新装置2的控制部20从该车载ECU3取得与这样的包含多个微机的车载ECU3对应的构成信息(车辆构成信息)及该构成信息的更新历史(车辆构成信息更新历史)，并存储于存储部21。

车载ECU3与实施方式1同样地包含控制部30、存储部31及车内通信部32。控制部30、存储部31及车内通信部32的各自的构成与实施方式1同样。

车载ECU3包含多个(附图上为两个)由控制部30及存储部31构成的微机或基板电路，在各微机等的存储部31分别存储有不同的程序。车载ECU3的控制部30分别执行在与自身相同的微机等配置的存储于存储部21的程序而并行地进行基于不同的程序的不同的处理。这样包含多个微机的车载ECU3的车辆构成信息对于同一制造编号(序列号)及ECU部件号(部件号、型号)，具有与该微机的个数相对应的多个软件(Software)部件号、程序的当前版本、旧版本。

图10是例示车载ECU3的构成信息的一形态的说明图。在车载更新装置2的存储部21，与实施方式1同样地存储有搭载于车辆C的全部的车载ECU3的构成信息。本实施方式的车载ECU3的构成信息(车辆构成信息主表)包含与实施方式1同样的管理项目(字段)。车载更新装置2的控制部20在从包含多个微机的车载ECU3取得了车辆构成信息的情况下，也可以将例如与车载ECU3包含的微机的个数对应的分支号向ECU-ID赋予(001-1、001-2、001-n)，从而将包含于单一的车载ECU3的存储于各个微机的存储部21的程序存储作为另外记录，进行管理。如图10所示，在本实施方式中，这样的带有分支号的ECU-ID设为例如将ECU-ID的根编号(001)与分支编号(1、2、n)利用“-”连接的编号方式。如上所述，包含多个微机的车载ECU3的车辆构成信息对于同一制造编号(序列号)及ECU部件号(部件号、型号)，包含与该微机的个数对应的多个软件(Software)部件号等。车载更新装置2的控制部20也可以向与同一制造编号(序列号)及ECU部件号(部件号、型号)对应的相同ECU-ID发表赋予了分支号的带有分支号的ECU-ID，将该带有分支号的ECU-ID作为独特的编号，将由微机分别执行的程序的软件(Software)部件号、程序的当前版本、旧版本、动作面数、动作面登记于车辆构成信息主表。在该情况下，与根编号相同的带有分支号的ECU-ID分别建立关联地登记的制造编号(序列号)及ECU部件号(部件号、型号)相同。

车载更新装置2的控制部20在与实施方式1同样进行判定从更新对象的车载ECU3取得的识别信息是否不同的处理(S13)或判定在识别信息中包含的ECU部件号是否不同的处理(S15)时，基于与车载ECU3包含的微机的个数对应的带有分支号的ECU-ID，进行上述判定处理。

通过这样与车载ECU3包含的微机的个数对应的带有分支号的ECU-ID，能够应对具有同一制造编号(序列号)及ECU部件号(部件号、型号)且包含多个不同的程序的软件(Software)部件号、程序的当前版本等的车辆构成信息的车载ECU3(包含多个微机的车载ECU3)。即，即使在该包含多个微机的车载ECU3中的仅任一个微机在更新程序的发送中断的期间被更换或拆卸的情况下，也能够检测该更换等，与实施方式1同样地适当应对。

在本实施方式中，将带有分支号的ECU-ID保存于ECU-ID的字段，但是没有限定于此。例如，在车辆构成信息主表中，也可以将ECU-ID的根编号用字段和分支编号用字段设定作为不同的字段，在根编号用字段中保存ECU-ID的根编号(001)，在分支编号用字段中保存分支编号(1、2、n)。

在本实施方式中，包含多个微机的车载ECU3的车辆构成信息使用带有分支号的ECU-ID来存储及管理，但是该形态为一例示，没有限定于此。车载更新装置2的控制部20在从包含多个微机的车载ECU3取得了车辆构成信息的情况下，也可以与实施方式1同样地将单一的ECU-ID设为独特键，将由微机分别执行的程序分别保存并存储于同一记录的字段。即，车载更新装置2的控制部20也可以从包含多个微机的车载ECU3将在车辆构成信息中包含的程序各自的软件(Software)部件号等分别进行文字列结合，将文字列结合后的值保存于ECU-ID的记录中的软件(Software)部件号的字段。通过这样将软件(Software)部件号等分别进行文字列结合来管理，从而即使在包含多个微机的车载ECU3中的任一个微机被不正当地更换的情况下，也能够检测该更换等，与实施方式1同样地适当应对。

应考虑的是本次公开的实施方式在全部的点上为例示而不是限制性内容。本发明的范围不是由上述的意思而是由权利要求书示出，并意图包含与权利要求书等同的意思及范围内的全部变更。

标号说明

C 车辆

S 车载更新系统

S1 程序提供装置(外部服务器)

S11 存储部(规定的存储区域)

1 车外通信装置

11 车外通信部

12 输入输出I/F

13 天线

2 车载更新装置

20 控制部

21 存储部(规定的存储区域)

22 记录介质

23 车内通信部

24 输入输出I/F

3 车载ECU

30 控制部

31 存储部

311 第一存储区域(第一面)

312 第二存储区域(第二面)

32 车内通信部

4 车内LAN

5 显示装置。