WO2022162815A1

WO2022162815A1 - ソフトウェア更新装置、車載端末装置及びソフトウェア更新システム

Info

Publication number: WO2022162815A1
Application number: PCT/JP2021/002961
Authority: WO
Inventors: 光彦菊池; 栄介大橋; 仁盛静; 洋平海江田; 秀俊林
Original assignee: 日産自動車株式会社
Priority date: 2021-01-28
Filing date: 2021-01-28
Publication date: 2022-08-04
Also published as: EP4287032A4; US20240061671A1; EP4287032A1; JPWO2022162815A1; JP7494944B2; CN116888580A

Abstract

コントローラ（１０）と、記憶装置（１１）とを備え、車両（２）のソフトウェアの更新データを用いて、ソフトウェアを更新するソフトウェア更新装置（１）であって、記憶装置（１１）は、少なくとも更新データを含む共通パッケージと、共通パッケージに割り当てられた共通パッケージ識別情報と共通パッケージ識別情報に対応づけられ車両を識別する車両識別情報とを含む識別パッケージとを記憶し、コントローラ（１０）は、ソフトウェアの更新対象となる対象車両に、対象車両に対応付けられた車両識別情報を含む識別パッケージを送信し、対象車両からの要求に応じて、識別パッケージに含まれる共通パッケージ識別情報が割り当てられた共通パッケージを対象車両に送信する。

Description

ソフトウェア更新装置、車載端末装置及びソフトウェア更新システム

　本発明は、ソフトウェア更新装置、車載端末装置及びソフトウェア更新システムに関するものである。

　車両の車載端末装置のソフトウェアをメンテナンスするメンテナンスシステムにおいて、情報センタが、車両側の保有ソフト／ハード情報に基づいて、バージョンアップ候補となる対象ソフトウェアを選択し、選択された対象ソフトウェアを車両に送信する技術が知られている（特許文献１）。

　特許文献１に係る技術では、車両側で、対象ソフトウェアによって実現される機能を示すデモ画像がユーザに表示され、ユーザが対象ソフトウェアをバージョンアップするか否かを選択する。そして、ユーザがバージョンアップをすることを選択した場合に、車両の車載端末装置は情報センタに対象ソフトウェアの送信を要求し、情報センタは対象ソフトウェアを車載端末装置に送信する。

特開平１１－０２７７４９号公報

　特許文献１の技術では、情報センタとして機能するサーバが対象ソフトウェアを記憶し、車載端末装置に対象ソフトウェアを送信する。更新の対象となるソフトウェアが車両ごとに準備される場合には、各車両の車載端末装置に記憶されたソフトウェアを更新するためにサーバが実行する処理の工程数、及びサーバの記憶装置の容量が増大するという問題がある。

　本発明が解決しようとする課題は、車両のソフトウェアを更新する処理において、サーバの処理負荷及び記憶容量を軽減させるソフトウェア更新装置、車載端末装置及びソフトウェア更新システムを提供することである。

　本発明は、車両のソフトウェアの更新データを用いて、ソフトウェアを更新するソフトウェア更新装置であって、少なくとも更新データを含む共通パッケージと、共通パッケージに割り当てられた共通パッケージ識別情報と共通パッケージ識別情報に対応づけられ車両を識別する車両識別情報とを含む識別パッケージとを記憶する記憶装置を備え、ソフトウェアの更新対象となる対象車両に、対象車両に対応付けられた車両識別情報を含む識別パッケージを送信し、対象車両からの要求に応じて、識別パッケージに含まれる共通パッケージ識別情報が割り当てられた共通パッケージを対象車両に送信することによって上記課題を解決する。

　本発明によれば、車両のソフトウェアを更新する処理において、サーバの処理負荷及び記憶容量を軽減させる。

図１は、本実施形態にかかるソフトウェア更新システムの構成の一例を示す図である。図２は、本実施形態にかかるソフトウェア更新リストの一例である。図３Ａは、共通パッケージと識別パッケージの関係を示す図である。図３Ｂは、本実施形態にかかる識別パッケージを示す一例である。図４Ａは、本実施形態にかかる共通パッケージを示す一例である。図４Ｂは、本実施形態にかかる共通パッケージを示す一例である。図５Ａは、本実施形態にかかる共通パッケージを示す一例である。図５Ｂは、本実施形態にかかる共通パッケージを示す一例である。図６は、本実施形態にかかるソフトウェア更新装置の制御フローを示す一例である。図７は、本実施形態にかかる車載端末装置の制御フローを示す一例である。図８は、本実施形態のソフトウェア更新システムにおける制御の流れを示すシーケンス図である。

　本発明に係るシステムの一実施形態を図面に基づいて説明する。本実施形態に係る車両のＥＣＵ（ＥｌｅｃｔｒｏｎｉｃＣｏｎｔｒｏｌＵｎｉｔ）のソフトウェアを更新するソフトウェア更新システムの構成を、図１を用いて説明する。図１は、本実施形態におけるソフトウェア更新装置１と、車両２に搭載された車載端末装置２０と、通信ネットワーク３と、を備えるソフトウェア更新システム１００の一例を示すブロック図である。ソフトウェア更新システム１００は、車両２に搭載されているＥＣＵのソフトウェアをＯＴＡ（ＯｖｅｒＴｈｅＡｉｒ）により更新することができるＦＯＴＡ（ＦｉｒｍｗａｒｅＯｖｅｒＴｈｅＡｉｒ）システムである。ソフトウェア更新装置１と車載端末装置２０は、通信ネットワーク３を介してお互いにデータの送受信が可能である。ソフトウェア更新装置１は、ソフトウェアの供給者により、ソフトウェアの書き換えを行うための更新データの入力があると、更新データを記憶する。そして、ソフトウェア更新装置１は、車載端末装置２０からソフトウェアの更新データの要求があると、通信ネットワーク３を介して、要求があった車載端末装置２０に、更新データを含む配信パッケージを送信する。車載端末装置２０は、ソフトウェア更新装置１から配信パッケージを受信すると、配信パッケージに含まれる更新データを用いて、更新対象となるＥＣＵのソフトウェアを書き換えて更新する。通信ネットワーク３は、例えば４Ｇ回線等による移動体通信ネットワークやインターネット等を含んで構成される。ソフトウェアの更新データは、車両２のＥＣＵのソフトウェアを更新するための更新用プログラムデータであって、ソフトウェアの供給者から提供される。更新データは、更新後のソフトウェアの全体に相当する全データであってもよいし、更新前のソフトウェアと更新後のソフトウェアとの差分に相当する差分データであってもよい。また、更新データは周知のデータ圧縮技術により圧縮されていても良い。

　ＯＴＡによるソフトウェア更新においては、サイバーセキュリティの観点から、ソフトウェアの供給者が意図しないソフトウェアの更新が行われることを防止するために、車両が受信したソフトウェアの更新データが自車両のソフトウェア更新のためのデータであることを保証してもよい。更新データが自車両のソフトウェア更新のためのデータであることを保証する方法としては、更新データと、更新対象となる車両を識別するための車両識別情報とを対応づけて配信パッケージに含めて、当該配信パッケージを更新対象となる車両に送信するという方法がある。この場合、配信パッケージを受信した車両は、配信パッケージに含まれる車両識別番号と、自車の車両識別番号とを比較することで、配信パッケージに含まれる更新データが自車両のソフトウェア更新のためのデータであることを確認することができる。しかしながら、配信パッケージのデータ構造は、車両識別情報と更新データとを対応させて格納する構造であるため、対象車両が複数ある場合には、車両数分の車両識別情報があり、それぞれの車両識別情報に対応させて更新データを格納することになるため、車両の数の配信パッケージが必要になる。そして、更新データは、車両識別情報と比べてデータサイズが大きいため、更新データを含む配信パッケージを車両数分準備して記憶装置に保存することになると、記憶容量が増大してしまう。また、対象車両全てのソフトウェア更新を行うために必要な処理工数も増大する。

　これに対して、本実施形態では、ソフトウェア更新装置１は、配信パッケージを２種類のパッケージに分けて車載端末装置２０に送信する。具体的には、ソフトウェア更新装置１は、更新データを含む共通パッケージを複数の車両間で共通して使用する。さらに、ソフトウェア更新装置１は、共通パッケージが自車両のソフトウェア更新のためのデータであることを判断するための情報として、車両識別情報と共通パッケージ識別情報を含む識別パッケージを更新対象となる車両ごとに準備する。すなわち、本実施形態では、データサイズの大きい更新データを含むパッケージを車両数に応じて準備するのではなく、データサイズの大きい当該パッケージを、更新対象となる全車両に共通するデータとして準備して、データサイズの小さい車両識別情報と共通パッケージ識別情報を含むパッケージを車両の数に応じて準備する。これにより、車両２が、車両識別番号を含むパッケージを用いて、更新データが自車両のソフトウェア更新のためのデータであることを確認することで、ソフトウェア更新のための処理工数及び記憶容量を低減しつつ、サイバーセキュリティを高めることができる。以下、より詳細に説明する。

　ソフトウェア更新装置１は、ソフトウェアの供給者等から提供されるソフトウェアの更新データを管理し、更新対象となる車両に更新データを送信するサーバである。ソフトウェア更新装置１は、コントローラ１０と、記憶装置１１と、通信装置１２と、入力装置１３とを有し、相互にデータ通信可能に構成されている。本実施形態におけるコントローラ１０は、ハードウェア及びソフトウェアを有するコンピュータを備えており、このコンピュータはプログラムを格納したＲＯＭ（ＲｅａｄＯｎｌｙＭｅｍｏｒｙ）と、ＲＯＭに格納されたプログラムを実行するＣＰＵ（ＣｅｎｔｒａｌＰｒｏｃｅｓｓｉｎｇＵｎｉｔ）と、アクセス可能な記憶装置として機能するＲＡＭ（ＲａｎｄｏｍＡｃｃｅｓｓＭｅｍｏｒｙ）を含むものである。

　コントローラ１０は、ソフトウェア更新リストを管理していて、ソフトウェアの供給者からソフトウェアの更新データの入力があると、更新データを管理するソフトウェア更新リストを更新する。また、コントローラ１０は、入力された更新データを含む共通パッケージ（詳細は後述する）を生成して、生成された共通パッケージを記憶装置１１に格納する。ソフトウェア更新リストには、例えば、図２に示すように、ソフトウェア更新のキャンペーンごとに、キャンペーンＩＤと、対象ＶＩＮと、対象ＥＣＵと、更新後のソフトウェアのソフトウェアバージョンと、共通パッケージへのリンクと、共通パッケージ識別子とが管理されている。更新データの入力があると、入力された更新データのキャンペーンごとに、更新データが管理される。キャンペーンとは、入力された更新データに対して、更新対象となる１以上の車両の情報等を紐付けして管理するための情報の単位を意味する。対象ＶＩＮは、更新対象となる車両の車両識別番号（ＶｅｈｉｃｌｅＩｄｅｎｔｉｆｉｃａｔｉｏｎＮｕｍｂｅｒ、略してＶＩＮ）である。対象ＥＣＵは、ソフトウェア更新対象となるＥＣＵである。ソフトウェア更新のキャンペーンにおいて、対象ＥＣＵがひとつのＥＣＵである場合に限らず、対象ＥＣＵが複数ある場合には、対象ＥＣＵには、複数のＥＣＵが入力されることとしてもよい。ソフトウェアバージョンは、車載端末装置２０に配信される更新後のソフトウェアのバージョンである。コントローラ１０は、ソフトウェアの供給者から更新データの入力があると、当該ソフトウェア更新のキャンペーンに対して、キャンペーンＩＤを付与する。キャンペーンＩＤは、ソフトウェア更新のキャンペーンを識別するために付与される識別番号である。また、コントローラ１０は、生成した共通パッケージを記憶装置１１に格納して、格納先のリンクを共通パッケージへのリンクとしてソフトウェア更新リストに入力する。共通パッケージ識別子は、共通パッケージを識別するための識別情報である。コントローラ１０は、共通パッケージごとに生成された共通パッケージ識別子をソフトウェア更新リストに入力する。コントローラ１０は、生成されたソフトウェア更新リストを記憶装置１１に格納する。

　コントローラ１０は、管理している全車両を対象として、ソフトウェアの更新が必要であるか否かの判定を行う。具体的には、まず、コントローラ１０は、車両ごとに、当該車両の車両識別番号と、ソフトウェアの更新対象として管理されている対象ＶＩＮとを比較し、車両識別番号が一致するか否かを判定する。車両識別番号が一致する場合には、コントローラ１０は、車両識別番号が一致する車両の現在のＥＣＵのソフトウェアバージョンと、更新後のソフトウェアのソフトウェアバージョンとを比較する。そして、コントローラ１０は、車両の現在のＥＣＵのソフトウェアバージョンが、更新後のソフトウェアのソフトウェアバージョンよりも前のソフトウェアバージョンである場合には、ソフトウェア更新が必要であると判定する。

　コントローラ１０は、ソフトウェア更新が必要であると判定された場合には、ソフトウェア更新が必要であると判定された車両ごとに、識別パッケージを生成して、当該車両の車載端末装置２０に、生成された識別パッケージを送信する。対象車両が複数ある場合には、コントローラ１０は、複数の対象車両ごとに、それぞれ異なる識別パッケージを生成する。識別パッケージは、対象車両ごとに、対象車両に対応する車両識別情報と、共通パッケージに割り当てられ、共通パッケージを識別するための共通パッケージ識別子とを含む。識別パッケージは、共通パッケージが自車両のソフトウェア更新のためのデータであることを車載端末装置２０で判断するためのデータである。例えば、識別パッケージは、車両識別情報として、車両識別番号（ＶＩＮ）を含む。図３Ａは、識別パッケージと共通パッケージの関係を示す図である。共通パッケージは、後述するとおり、更新データと共通パッケージ識別子とを含む。更新対象となる車両が車両Ａと車両Ｂと車両Ｃである場合には、識別パッケージとして、車両Ａの識別パッケージと、車両Ｂの識別パッケージと、車両Ｃの識別パッケージが生成される。それぞれの識別パッケージは、それぞれの車両のＶＩＮを含むとともに、複数の車両に共通する同一の共通パッケージ識別子を含む。それぞれの車両のＶＩＮは、共通パッケージ識別子に対応づけられている。具体的には、それぞれの車両のＶＩＮは、共通パッケージに含まれる更新データを用いたソフトウェア更新の対象となる車両のＶＩＮである。識別パッケージに含まれる共通パッケージ識別子と共通パッケージに含まれる共通パッケージ識別子は同一のものである。また、更新対象となる車両が車種によって識別される場合には、車両識別情報は、車両の車種の情報であってもよい。本実施形態では、更新データが自車両のソフトウェア更新のためのデータであることを確認できるように、識別パッケージを取得した車載端末装置２０が、識別パッケージに含まれる車両識別番号と、自車の車両識別番号を比較し、識別パッケージに含まれる車両識別番号と自車の車両識別番号が一致するか否かを判定する。車両識別番号が一致すれば、車載端末装置２０は、識別パッケージに含まれる共通パッケージ識別子に対応する共通パッケージが自車向けのパッケージであることを確認することができる。

　また、共通パッケージ識別子は、共通パッケージを識別する識別情報であり、車載端末装置２０に送信された共通パッケージが、車載端末装置２０が要求したデータであることを車載端末装置２０で証明するためのものである。共通パッケージ識別子は、例えば、ハッシュ関数を用いて共通パッケージから生成されるハッシュ値である。具体的には、共通パッケージ識別子は、共通パッケージに含まれるデータから生成される。例えば、共通パッケージ識別子は、更新データからハッシュ値を計算して生成される。本実施形態では、ハッシュ値を計算するための共通の計算式が、ソフトウェア更新装置１と車載端末装置２０に実装される。そして、ソフトウェア更新装置１と車載端末装置２０は、別々にハッシュ値を算出する。ハッシュ値の計算は、例えば、チェックサム、ＣＲＣ、ＮＤ５、ＳＨＡ－１等、各種計算式を用いて実行される。また、共通パッケージ識別子は、所定の値、例えば、キャンペーンに付されるキャンペーンＩＤであってもよい。本実施形態では、識別パッケージには、更新データ本体を含まない。識別パッケージに含まれるＶＩＮのデータサイズは１７バイトであり、ＶＩＮは、データサイズの小さいデータである。すなわち、識別パッケージは、サイズの大きいデータを含まず、サイズが小さいデータを含む。そのため、ソフトウェア本体と対象車両を識別する車両識別情報とを含むパッケージを車両ごとに生成して格納する場合よりも、コントローラ１０におけるソフトウェア更新に必要な処理工数、及び記憶装置１１の記憶容量を軽減することができる。

　また、コントローラ１０は、識別パッケージに含める共通パッケージ識別子として、更新対象となる車両２の車両識別番号を用いた識別子を生成してもよい。例えば、コントローラ１０は、共通パッケージから生成されたハッシュ値に車両２の車両識別番号を加算した値を共通パッケージ識別子として識別パッケージに含める。この場合、識別パッケージを取得した車両２は、識別パッケージに含まれる共通パッケージ識別子（ハッシュ値に車両識別番号を加算した値）から自車の車両識別番号を減算することで、共通パッケージから生成されたハッシュ値を算出することができる。また、コントローラ１０は、“共通パッケージ識別子”＝ｆ（共通パッケージのハッシュ値,ＶＩＮ)であり、かつ、“共通パッケージのハッシュ値＝ｇ（“共通パッケージ識別子”,ＶＩＮ)”となる演算式を用いてもよい。ソフトウェア更新装置１が、共通パッケージのハッシュ値とＶＩＮを用いて上記計算式により共通パッケージ識別子を計算して、計算された共通パッケージ識別子を車両２に送信する。そして、車両２は、共通パッケージ識別子とＶＩＮを用いて上記計算式により共通パッケージのハッシュ値を計算する。

　また、コントローラ１０は、車両識別番号と共通パッケージ識別子の他に、付帯データを含んで識別パッケージを生成してもよい。図３Ｂに示されるように、識別パッケージに含まれる付帯データは、例えば、共通パッケージのロケーションデータや共通パッケージの解凍用パスワードである。共通パッケージのロケーションデータは、例えば、共通パッケージが格納されているサーバのＵＲＬである。これにより、識別パッケージを取得した車載端末装置２０は、適切な保管サーバから共通パッケージを取得することを保証できる。共通パッケージの解凍用パスワードは、圧縮された共通パッケージを解凍するためのパスワードである。また、コントローラ１０は、識別パッケージに、識別パッケージに含まれるデータの暗号化及び復号化のための共通鍵を含んでもよい。共通鍵は、例えば、車両識別番号を用いることとしてもよい。また、データの暗号化及び復号化のための鍵は、共通鍵に限らず、公開鍵暗号方式で使用される公開鍵であってもよい。また、コントローラ１０は、共通パッケージをダウンロードするためのパスワード、又は、ソフトウェア更新装置１と車載端末装置２０との間の通信経路の暗号化に用いられるパスワードを識別パッケージに含んでもよい。また、コントローラ１０は、識別パッケージを暗号化し、暗号化した識別パッケージを車載端末装置２０に送信することとしてもよい。車載端末装置２０は、暗号化された識別パッケージを復号することで、識別パッケージに含まれるデータを取得する。これにより、識別パッケージのサイバーセキュリティを高めることができる。

　また、コントローラ１０は、識別パッケージを車載端末装置２０に送信した後、車載端末装置２０から共通パッケージの取得を要求する要求信号を受信する。コントローラ１０は、車載端末装置２０から要求信号を受信した場合には、要求信号において指定された共通パッケージ識別子を含む共通パッケージを車載端末装置２０に送信する。共通パッケージは、更新データと共通パッケージ識別子とを含むパッケージである。共通パッケージは、ソフトウェア更新のキャンペーンごとに生成されるパッケージである。すなわち、キャンペーンで更新対象となる車両が複数ある場合に、共通パッケージは、更新対象となる複数の車両に共通するパッケージである。例えば、キャンペーンにおいて、更新データの適用対象となる車両が１００万台あったとしても、コントローラ１０は、１００万台の車両が共通して使用する共通パッケージを準備して、それぞれの車両に、同一の共通パッケージを送信する。また、共通パッケージ識別子は、識別パッケージに含まれている共通パッケージ識別子と同一のものである。本実施形態では、コントローラ１０は、ソフトウェアの供給者から更新データの入力があった場合、共通パッケージを生成する。コントローラ１０は、生成された共通パッケージを記憶装置１１に格納する。

　共通パッケージは、更新データの他に、付帯データを含むこととしてもよい。付帯データは、例えば、更新後のソフトウェアのソフトウェアバージョンや電子署名が挙げられる。電子署名は、更新データの完全性、すなわち、改ざんや文字化け等がないことを証明するためのものである。電子署名は、例えば、更新データから計算されたハッシュ値を暗号化したものである。図４Ａは、共通パッケージの一例を示す図である。図４Ａでは、共通パッケージ（ＰＫＧ０３.ｚｉｐ）は、更新データ（ＥＣＭ＿ｖ３.ｂｉｎ）と電子署名（Ｓｉｇｎａｔｕｒｅ.ｔｘｔ）とを含むファイル（ＣＯＮＴＥＮＴＳ.ｚｉｐ）の他に、共通パッケージ識別子を含む。共通パッケージ識別子は、更新データ（ＥＣＭ＿ｖ３.ｂｉｎ）と、電子署名（Ｓｉｇｎａｔｕｒｅ.ｔｘｔ）とをｚｉｐやｔａｒ等のアーカイブフォーマットでひとつにしたファイル（ＣＯＮＴＥＮＴＳ.ｚｉｐ）から計算されたハッシュ値である。また、共通パッケージ識別子は、所定の値、例えば、キャンペーンＩＤであってもよい。また、図４Ｂで示されるように、キャンペーンにおいて、複数のＥＣＵのソフトウェアが更新される場合には、共通パッケージ識別子は、複数の更新データ（更新データ１、更新データ２及び更新データ３）と、複数の更新データそれぞれの電子署名（電子署名１、電子署名２及び電子署名３）とをひとつにしたファイル（ＣＯＮＴＥＮＴＳ.ｚｉｐ）からハッシュ値を計算して生成されてもよい。また、共通パッケージの識別子がキャンペーンＩＤ等の所定の値である場合には、共通パッケージは、複数の更新データと複数の更新データそれぞれの電子署名とをひとつにしたファイル（ＣＯＮＴＥＮＴＳ.ｚｉｐ）と、当該ファイルに対応する共通パッケージの識別子として、キャンペーンＩＤとを含んでもよい。

　また、共通パッケージは、共通パッケージ識別子を含まないこととしてもよい。この場合には、共通パッケージを受信した車載端末装置２０は、ハッシュ関数を用いて共通パッケージからハッシュ値を算出して、算出されたハッシュ値を共通パッケージ識別子として取得する。図５Ａは、共通パッケージの一例を示す図である。図５Ａでは、共通パッケージは、更新データ（ＥＣＭ＿ｖ３.ｂｉｎ）と、電子署名（Ｓｉｇｎａｔｕｒｅ.ｔｘｔ）とをまとめたファイル（ＰＫＧ０３.ｚｉｐ）として示されている。また、図５Ｂでは、キャンペーンにおいて更新データが複数ある場合に、共通パッケージは、複数の更新データ（更新データ１、更新データ２及び更新データ３）と、更新データそれぞれに対応する電子署名（電子署名１、電子署名２及び電子署名３）とをまとめたファイル（ＰＫＧ０３.ｚｉｐ）として示されている。この場合にも、共通パッケージを受信した車載端末装置２０は、ハッシュ関数を用いて共通パッケージからハッシュ値を算出して、算出されたハッシュ値を共通パッケージ識別子として取得する。

　記憶装置１１は、車両２のＥＣＵのソフトウェア更新に関する各種データを記憶している。具体的には、記憶装置１１は、共通パッケージを記憶する。また、記憶装置１１は、ソフトウェア更新リストを管理するデータベースを記憶する。また、記憶装置１１は、識別パッケージを記憶することとしてもよい。通信装置１２は、通信ネットワーク３を介して、車載端末装置２０の車載通信装置２２と接続していて、各種データの送受信を行う。例えば、通信装置１２は、コントローラ１０により生成された識別パッケージや共通パッケージを車載通信装置２２に送信する。入力装置１３は、ソフトウェアの供給者によるデータの入力を受け付ける。具体的には、入力装置１３は、車両２のソフトウェアの更新データの入力を受け付ける。また、入力装置１３は、更新データとともに、更新対象となる対象車両の車両識別情報と、更新対象となる対象ＥＣＵと、更新後のソフトウェアのソフトウェアバージョンとを含む付帯データを受け付ける。入力装置１３は、更新データの入力を受け付けると、更新データをコントローラ１０に出力する。

　車載端末装置２０は、車両に搭載された各種ＥＣＵを制御し、ソフトウェア更新装置１からＥＣＵのソフトウェアの更新データを受信した場合には、更新データを用いて、更新対象となるＥＣＵのソフトウェアを更新する。車載端末装置２０は、ＣＧＷ（Ｃｅｎｔｒａｌ　Ｇａｔｅｗａｙ）２１と、車載通信装置２２と、ＥＣＵ２３と、車載記憶装置２４とを備え、ＣＧＷ２１と車載通信装置２２との間、ＣＧＷ２１とＥＣＵ２３との間でデータ通信可能に接続されている。

　ＣＧＷ２１は、データ中継機能を有する車両用ゲートウェイ装置であり、車載通信装置２２から更新データを取得すると、当該更新データを更新対象となるＥＣＵに配信する。まず、ＣＧＷ２１は、ソフトウェア更新装置１から受信された識別パッケージに含まれる車両識別番号と、自車の車両識別番号とが一致しているか否かを判定する。具体的には、ＣＧＷ２１は、まず、車載記憶装置２４から、自車の車両識別番号を取得する。次に、ＣＧＷ２１は、ソフトウェア更新装置１から、車載通信装置２２を介して、識別パッケージを受信すると、識別パッケージから車両識別番号を取得し、識別パッケージに含まれる車両識別番号と、自車の車両識別番号とを比較する。そして、ＣＧＷ２１は、識別パッケージに含まれる車両識別番号と、自車の車両識別番号とが一致しているか否かを判定する。識別パッケージに含まれる車両識別番号と、自車の車両識別番号とが一致していると判定される場合には、ＣＧＷ２１は、車載通信装置２２を介して、ソフトウェア更新装置１に、共通パッケージの取得を要求する要求信号を送信する。具体的には、ＣＧＷ２１は、識別パッケージから共通パッケージ識別子を取得し、共通パッケージ識別子が割り当てられた共通パッケージの取得を要求する要求信号を送信する。以上のように、ＣＧＷ２１は、識別パッケージに含まれる車両識別番号と自車の車両識別番号とを比較することで、当該識別パッケージの情報が自車両のソフトウェア更新のためのものであることを確認できる。そして、ＣＧＷ２１は、当該識別パッケージに含まれる共通パッケージ識別子が割り当てられた共通パッケージの取得を要求することで、自車両のソフトウェア更新のためのデータである共通パッケージを取得できる。

　ＣＧＷ２１は、ソフトウェア更新装置１から共通パッケージを受信すると、共通パッケージから共通パッケージ識別子を取得する。例えば、ソフトウェア更新装置１において共通パッケージに共通パッケージ識別子を格納していた場合には、ＣＧＷ２１は、共通パッケージに格納されている共通パッケージ識別子を取得する。また、共通パッケージ識別子が、共通パッケージからハッシュ値を計算して生成されている場合には、ＣＧＷ２１は、取得された共通パッケージからハッシュ値を計算して共通パッケージ識別子を取得することとしてもよい。次に、ＣＧＷ２１は、取得された共通パッケージ識別子と、識別パッケージに含まれる共通パッケージ識別子とが一致しているか否かを判定する。そして、共通パッケージから取得された共通パッケージ識別子と、識別パッケージ内に含まれる共通パッケージ識別子とが一致していると判定される場合には、ＣＧＷ２１は、共通パッケージから更新データを抽出する。そして、ＣＧＷ２１は、更新対象となるＥＣＵに、抽出された更新データを送信し、更新データを用いて、更新対象となるＥＣＵのソフトウェアを更新する。以上のように、ＣＧＷ２１は、共通パッケージから取得された共通パッケージ識別子と、識別パッケージ内に含まれる共通パッケージ識別子とを比較することにより、ソフトウェア更新装置１から送信された共通パッケージが、要求した共通パッケージであることを確認することができる。これにより、ＣＧＷ２１は、ソフトウェアの供給者が意図しないソフトウェアの更新が行われることを防止できる。

　また、ＣＧＷ２１は、複数のＥＣＵ２３のソフトウェアのソフトウェアバージョンを集約する。具体的には、ＣＧＷ２１は、車両２のイグニッション電源がオンになった時に、その時点のＥＣＵのソフトウェアバージョンを集約する。また、ＣＧＷ２１は、一定の周期で、その時点のＥＣＵのソフトウェアバージョンを集約する。ＣＧＷ２１は、集約された各ＥＣＵのソフトウェアバージョンを、車載通信装置２２を介してソフトウェア更新装置１に送信する。

　車載通信装置２２は、ソフトウェア更新装置１との間で通信ネットワーク３を介してデータ通信を行う車載通信機であり、ソフトウェア更新装置１から、識別パッケージやソフトウェアを含む共通パッケージを受信すると、受信された識別パッケージや共通パッケージをＣＧＷ２１に転送する。また、車載通信装置２２は、受信するデータの種類によって、使用する通信経路を分けてもよい。具体的には、車載通信装置２２は、ソフトウェア更新装置１から更新データを受信する場合には、ソフトウェアを提供するための第１通信経路を介して、更新データを受信する。また、車載通信装置２２は、更新データ以外のデータを受信する場合には、ソフトウェアの更新データ以外のデータを提供するための第２通信経路を介して、更新データ以外のデータを送信する。例えば、外部の地図データ提供者が、車両で使用される地図データを車載端末装置２０に提供する際には、車載通信装置２２は、第２通信経路を介して、地図データを受信する。第１通信経路は、第２通信経路よりもセキュリティ度が高い通信経路である。セキュリティ度は、通信経路のセキュリティリスク分析においてセキュリティリスクが低いと評価される通信経路ほど高く設定される値である。

　ＥＣＵ２３は、例えば、ボディ系ＥＣＵと、走行系ＥＣＵと、情報系ＥＣＵとを含む。ボディ系ＥＣＵは、例えばドアのロック／アンロックを制御するドアＥＣＵ、メータ表示を制御するメータＥＣＵ、エアコンの駆動を制御するエアコンＥＣＵ、ウィンドウの開閉を制御するウィンドウＥＣＵ等のボディ系の制御を行うＥＣＵである。走行系ＥＣＵは、例えばエンジンの駆動を制御するエンジンＥＣＵ、ブレーキの駆動を制御するブレーキＥＣＵ、パワーステアリングの駆動を制御するパワーステアリングＥＣＵ等の走行系の制御を行うＥＣＵである。情報系ＥＣＵは、例えばナビゲーションシステムを制御するナビゲーションＥＣＵ、オーディオ機器を制御するオーディオＥＣＵ等の情報系の制御を行うＥＣＵである。ＥＣＵ２３の種類は例示した構成に限らない。ＥＣＵ２３は、ＣＧＷ２１から更新データを取得すると、当該更新データを用いてソフトウェアを更新する。また、ＥＣＵ２３は、ソフトウェアのソフトウェアバージョンを管理し、ＣＧＷ２１からの要求信号に応じて、ソフトウェアバージョンを送信する。

　車載記憶装置２４は、各種データを記憶する。本実施形態では、車載記憶装置２４は、自車に割り当てられた車両識別番号を記憶する。

　次に、ソフトウェア更新装置１により実行されるソフトウェア更新の制御処理を説明する。図６は、ソフトウェア更新装置１におけるソフトウェア更新の制御処理を実行するための制御フローを示している。本実施形態では、ソフトウェアの供給者が、入力装置１３に更新データを入力すると、ステップＳ１から制御フローを開始する。

　ステップＳ１では、ソフトウェア更新装置１は、ソフトウェアの供給者により入力される更新データを受け付ける。ステップＳ２では、ソフトウェア更新装置１は、ステップＳ１で取得された更新データに基づいて、ソフトウェア更新リストを作成する。ステップＳ３では、ソフトウェア更新装置１は、ステップＳ１で取得された更新データに基づいて、共通パッケージを生成する。具体的には、ソフトウェア更新装置１は、更新データと共通パッケージ識別子とを含む共通パッケージを生成する。ソフトウェア更新装置１は、更新データを含み、共通パッケージ識別子を含まない共通パッケージを生成してもよい。ステップＳ４では、ソフトウェア更新装置１は、車載端末装置２０から、車両２の車両識別番号と車両２のＥＣＵのソフトウェアバージョンとを受信する。ステップＳ５では、ソフトウェア更新装置１は、ソフトウェアの更新が必要であるか否かを判定する。具体的には、ソフトウェア更新装置１は、車両ごとに、車載端末装置２０から取得された車両識別番号と、ソフトウェア更新リストに記憶されている更新対象車両の車両識別番号とを比較する。そして、ソフトウェア更新装置１は、車両識別番号が一致する車両のＥＣＵのソフトウェアバージョンと、更新後のソフトウェアのソフトウェアバージョンとが一致するか否かを判定する。ソフトウェアを更新する必要があると判定される場合には、ソフトウェア更新装置１は、ステップＳ６に進む。ソフトウェアを更新する必要があると判定されない場合には、ソフトウェア更新装置１は、制御フローを終了する。また、ステップＳ４～Ｓ５の制御は、管理している全車両についてそれぞれ実行される。

　ステップＳ６では、ソフトウェア更新装置１は、ステップＳ５でソフトウェアの更新が必要と判定された車両ごとの識別パッケージを生成する。識別パッケージは、ステップＳ５でソフトウェアを更新する必要があると判定された車両２の車両識別番号と、ステップＳ３で生成された共通パッケージの共通パッケージ識別子とを含む。ステップＳ７では、ソフトウェア更新装置１は、ステップＳ６で生成された識別パッケージを車載端末装置２０に送信する。具体的には、ソフトウェア更新装置１は、ソフトウェアの更新対象となる対象車両に、対象車両に対応づけられた車両識別番号を含む識別パッケージを、当該対象車両の車載端末装置２０に送信する。ステップＳ８では、ソフトウェア更新装置１は、車載端末装置２０から、共通パッケージの取得を要求する要求信号を受信する。ステップＳ９では、ソフトウェア更新装置１は、車載端末装置２０から要求された共通パッケージ識別子が割り当てられた共通パッケージを検索する。具体的には、ソフトウェア更新装置１は、要求された共通パッケージ識別子に応じて、記憶装置１１に格納されている複数の共通パッケージから、当該共通パッケージ識別子が割り当てられた共通パッケージを検索する。ステップＳ１０では、ソフトウェア更新装置１は、ステップＳ９で検索された共通パッケージを車載端末装置２０に送信する。ステップＳ１０終了後、ソフトウェア更新装置１は、制御フローを終了する。また、本実施形態では、ステップＳ６～Ｓ１０までの制御は、ソフトウェア更新が必要であると判定された全車両について実行する。

　次に、車載端末装置２０により実行されるソフトウェア更新の制御処理を説明する。図７は、車載端末装置２０におけるソフトウェア更新の制御処理を実行するための制御フローを示している。本実施形態では、車載端末装置２０は、イグニッション電源がオンになった時に、ステップＳ２１から制御フローを開始する。また、車載端末装置２０は、一定の周期で、ステップＳ２１から制御フローを開始してもよい。

　ステップＳ２１では、ＣＧＷ２１は、車載記憶装置２４から、自車の車両識別番号を取得する。ステップＳ２２では、ＣＧＷ２１は、車両２のＥＣＵ２３のソフトウェアバージョンを集約する。具体的には、ＣＧＷ２１は、車両２に搭載されている全てのＥＣＵ２３から、当該ＥＣＵのソフトウェアバージョンを取得する。ステップＳ２３では、ＣＧＷ２１は、ステップＳ２１で取得された車両識別番号と、ステップＳ２２で取得されたソフトウェアバージョンとをソフトウェア更新装置１に送信する。ステップＳ２４では、ＣＧＷ２１は、ソフトウェア更新装置１から識別パッケージを受信したか否かを判定する。識別パッケージを受信したと判定される場合には、ＣＧＷ２１は、ステップＳ２５に進む。識別パッケージを受信したと判定されない場合には、ＣＧＷ２１は、制御フローを終了する。ステップＳ２５では、ＣＧＷ２１は、車両識別番号が一致しているか否かを判定する。すなわち、ＣＧＷ２１は、識別パッケージに含まれる車両識別番号と、自車の車両識別番号とを比較して、車両識別番号が一致しているか否かを判定する。車両識別番号が一致していると判定される場合には、ＣＧＷ２１は、ステップＳ２６に進む。車両識別番号が一致していないと判定される場合には、ＣＧＷ２１は、制御フローを終了する。

　ステップＳ２６ではＣＧＷ２１は、共通パッケージを要求する。具体的には、ＣＧＷ２１は、ステップＳ２４で受信した識別パッケージから、共通パッケージ識別子を取得して、当該共通パッケージ識別子が割り当てられた共通パッケージの取得を要求する要求信号をソフトウェア更新装置１に送信する。ステップＳ２７では、ＣＧＷ２１は、車載通信装置２２を介して、共通パッケージを受信する。ステップＳ２８では、ＣＧＷ２１は、共通パッケージ識別子が一致しているか否かを判定する。すなわち、ＣＧＷ２１は、ステップＳ２４で受信された識別パッケージに含まれる共通パッケージ識別子と、ステップＳ２７で受信された共通パッケージから取得された共通パッケージ識別子とを比較して、共通パッケージ識別子が一致しているか否かを判定する。共通パッケージ識別子が一致していると判定される場合には、ＣＧＷ２１は、ステップＳ２９に進む。共通パッケージ識別子が一致していると判定されない場合には、ＣＧＷ２１は、制御フローを終了する。ステップＳ２９では、ＣＧＷ２１は、ソフトウェアを更新する。具体的には、車載端末装置２０は、ステップＳ２７で受信された共通パッケージから更新データを取得して、更新データを用いて、車両２のＥＣＵのソフトウェアを更新する。

　次に、図８のフローチャートを用いて、本実施形態に係るソフトウェア更新システムのソフトウェア更新の制御処理を説明する。図８は、ソフトウェア更新システムにおけるソフトウェア更新の制御処理のシーケンス図である。本実施形態では、ソフトウェアの供給者が、入力装置１３にソフトウェアの更新データを入力すると、ステップＳ３１から制御フローを開始する。

　ステップＳ３１では、ソフトウェア更新装置１は、ソフトウェアの供給者により入力される更新データを受け付ける。ステップＳ３２では、ソフトウェア更新装置１は、ステップＳ１で取得された更新データに基づいて、ソフトウェア更新リストを作成する。ステップＳ３３では、ソフトウェア更新装置１は、ステップＳ３１で取得された更新データに基づいて、共通パッケージを生成する。ステップＳ３４では、車載端末装置２０は、自車の車両識別番号と、自車の各ＥＣＵのソフトウェアバージョンを取得する。ステップＳ３５では、車載端末装置２０は、ステップＳ３４で取得した、車両識別番号とソフトウェアバージョンをソフトウェア更新装置１に送信する。ステップＳ３６では、ソフトウェア更新装置１は、車載端末装置２０から受信した車両識別番号と、ソフトウェアバージョンとに基づいて、車両２のソフトウェアの更新が必要であるか否かを判定する。ソフトウェアの更新が必要であると判定された場合には、ソフトウェア更新装置１は、ステップＳ３７に進む。ソフトウェアの更新が必要ではないと判定された場合には、ソフトウェア更新装置１は、制御フローを終了する。また、ステップＳ３４～Ｓ３６の制御は、管理している全車両についてそれぞれ実行される。例えば、車両のイグニッション電源がオンになった時、あるいは、一定の周期で、ステップＳ４～６までの制御が実行される。

　ステップＳ３７では、ソフトウェア更新装置１は、ステップＳ３６でソフトウェアの更新が必要であると判定された車両２ごとの識別パッケージを生成する。ステップＳ３８では、ソフトウェア更新装置１は、ステップＳ３７で生成された識別パッケージを車載端末装置２０に送信する。ステップＳ３９では、車載端末装置２０は、ステップＳ３８で送信された識別パッケージに含まれる車両識別番号と、自車の車両識別番号とが一致しているか否かを判定する。車両識別番号が一致していると判定される場合には、車載端末装置２０は、ステップＳ４０に進む。車両識別番号が一致していると判定されない場合には、車載端末装置２０は、制御フローを終了する。ステップＳ４０では、車載端末装置２０は、共通パッケージの取得を要求する要求信号をソフトウェア更新装置１に送信する。

　ステップＳ４１では、ソフトウェア更新装置１は、ステップＳ４０で車載端末装置２０が要求した共通パッケージを検索する。ステップＳ４２では、ソフトウェア更新装置１は、ステップＳ４１で検索された共通パッケージを車載端末装置２０に送信する。ステップＳ４３では、車載端末装置２０は、ステップＳ３８で送信された識別パッケージに含まれる共通パッケージ識別子と、ステップＳ４２で送信された共通パッケージから取得された共通パッケージ識別子とが一致しているか否かを判定する。共通パッケージ識別子が一致していると判定される場合には、車載端末装置２０は、ステップＳ４４に進む。共通パッケージ識別子が一致していると判定されない場合には、車載端末装置２０は、制御フローを終了する。ステップＳ４４では、車載端末装置２０は、車両２のソフトウェアを更新する。また、本実施形態では、ステップＳ３７～Ｓ４４までの制御は、ソフトウェア更新が必要であると判定された全車両について実行する。

　以上のように、本実施形態では、車両の外部に設けられ、車両のソフトウェアの更新データを用いて、ソフトウェアを更新するソフトウェア更新装置であって、少なくとも更新データを含む共通パッケージと、共通パッケージに割り当てられた共通パッケージ識別情報と共通パッケージ識別情報に対応づけられ車両を識別する車両識別情報とを含む識別パッケージとを記憶する記憶装置を備え、ソフトウェアの更新対象となる対象車両に、対象車両に対応付けられた車両識別情報を含む識別パッケージを送信し、対象車両からの要求に応じて、識別パッケージに含まれる共通パッケージ識別情報が割り当てられた共通パッケージを対象車両に送信する。これにより、車両のソフトウェアを更新する処理において、サーバの処理負荷及び記憶容量を軽減させる。

　また、本実施形態では、対象車両が複数ある場合には、複数の対象車両ごとに、複数の対象車両に共通する共通パッケージ識別情報と、複数の対象車両ごとに割り当てられた車両識別情報とを含む識別パッケージを生成する。これにより、ソフトウェアを更新する車両が複数ある場合であっても、車両ごとに識別情報を生成するため、記憶容量を軽減することができる。

　また、本実施形態では、複数の対象車両に、同一の共通パッケージを送信する。これにより、ソフトウェアを更新する車両が複数ある場合であっても、同一の共通パッケージを送信するため、記憶容量を軽減することができる。

　また、本実施形態では、ハッシュ関数を用いて共通パッケージから生成されたハッシュ値を共通パッケージ識別情報として含む識別パッケージを生成する。これにより、更新データ全体を含むよりも識別パッケージのデータサイズを小さくできる。

　また、本実施形態では、対象車両の車両識別情報に基づいて、共通パッケージ識別情報を生成し、生成された共通パッケージ識別情報と、車両識別情報と、を含む識別パッケージを生成する。これにより、対象車両のみが共通パッケージを識別するための識別情報を取得できるため、サイバーセキュリティの強度を高めることができる。

　また、本実施形態では、車両の外部に設けられたサーバから、更新の対象となるソフトウェアの更新データを取得し、車両のソフトウェアを更新する車両の車載端末装置であって、更新データを含んでサーバに格納されている共通パッケージごとに割り当てられた共通パッケージ識別情報と、共通パッケージ識別情報に対応づけられた、車両を識別する車両識別情報と、を含んでサーバに格納されている識別パッケージをサーバから受信し、受信された識別パッケージから、共通パッケージ識別情報を取得し、取得された共通パッケージ識別情報が割り当てられた共通パッケージをサーバから受信し、受信された共通パッケージに含まれる更新データを用いて、車両のソフトウェアを更新する。これにより、車両のソフトウェアを更新する処理において、サーバの処理負荷及び記憶容量を軽減させる。

　また、本実施形態では、受信された識別パッケージに含まれる車両識別情報と、車両に割り当てられた車両識別情報とが一致するか否かを判定し、車両識別情報が一致すると判定される場合には、識別パッケージに含まれる共通パッケージ識別情報と、共通パッケージから取得される共通パッケージ識別情報とが一致するか否かを判定し、共通パッケージ識別情報が一致すると判定される場合には、ソフトウェアを更新する。これにより、車両は、更新データが自車両のソフトウェア更新のためのデータであることを保証することができる。

　また、本実施形態では、受信された識別パッケージに含まれる車両識別情報と、車両に割り当てられた車両識別情報とが一致するか否かを判定し、車両識別情報が一致すると判定される場合には、共通パッケージの取得を要求する要求信号をサーバに送信し、要求信号に対する応答信号として、共通パッケージをサーバから受信する。これにより、車両は、更新データが自車両のソフトウェア更新のためのデータであることを保証することができる。

　また、本実施形態では、更新データをサーバから取得するときに、第１通信経路を介して、更新データをサーバから取得し、第１通信経路は、更新データ以外のデータを供給するための第２通信経路よりもセキュリティ度が高い。これにより、更新データのサイバーセキュリティ強度を高めることができる。

　また、本実施形態では、車両に搭載された車載端末装置と、車両の外部に設けられたソフトウェア更新装置と、を備え、車両のソフトウェアの更新データを用いて、ソフトウェアを更新するソフトウェア更新システムであって、ソフトウェア更新装置は、少なくとも更新データを含む共通パッケージと、共通パッケージに割り当てられた共通パッケージ識別情報と共通パッケージ識別情報に対応づけられ車両を識別する車両識別情報とを含む識別パッケージとを記憶する記憶装置を備え、ソフトウェアの更新対象となる車両に、車両に対応づけられた車両識別情報を含む識別パッケージを送信し、車両からの要求に応じて、識別パッケージに含まれる共通パッケージ識別情報が割り当てられた共通パッケージを車両に送信し、車両は、車両の車両識別情報を含む識別パッケージをソフトウェア更新装置から受信し、受信された識別パッケージから、共通パッケージ識別情報を取得し、取得された共通パッケージ識別情報が割り当てられた共通パッケージをソフトウェア更新装置から受信し、受信された共通パッケージに含まれる更新データを用いて、車両のソフトウェアを更新する。これにより、車両のソフトウェアを更新する処理において、サーバの処理負荷及び記憶容量を軽減させる。

　なお、以上に説明した実施形態は、本発明の理解を容易にするために記載されたものであって、本発明を限定するために記載されたものではない。したがって、上記の実施形態に開示された各要素は、本発明の技術的範囲に属する全ての設計変更や均等物をも含む趣旨である。

１００…ソフトウェア更新システム
１…ソフトウェア更新装置
　１０…コントローラ
　１１…記憶装置
　１２…通信装置
　１３…入力装置
２…車両
　２０…車載端末装置
　２１…ＣＧＷ
　２２…車載通信装置
　２３…ＥＣＵ
　２４…車載記憶装置
３…通信ネットワーク

Claims

　車両の外部に設けられ、前記車両のソフトウェアの更新データを用いて、前記ソフトウェアを更新するソフトウェア更新装置であって、
　少なくとも前記更新データを含む共通パッケージと、前記共通パッケージに割り当てられた共通パッケージ識別情報と前記共通パッケージ識別情報に対応づけられ前記車両を識別する車両識別情報とを含む識別パッケージとを記憶する記憶装置を備え、
　前記ソフトウェアの更新対象となる対象車両に、前記対象車両に対応付けられた前記車両識別情報を含む前記識別パッケージを送信し、
　前記対象車両からの要求に応じて、前記識別パッケージに含まれる前記共通パッケージ識別情報が割り当てられた前記共通パッケージを前記対象車両に送信するソフトウェア更新装置。
　前記対象車両が複数ある場合には、複数の前記対象車両ごとに、複数の前記対象車両に共通する前記共通パッケージ識別情報と、複数の前記対象車両ごとに割り当てられた前記車両識別情報とを含む前記識別パッケージを生成する請求項１に記載のソフトウェア更新装置。
　複数の前記対象車両に、同一の前記共通パッケージを送信する請求項２に記載のソフトウェア更新装置。
　ハッシュ関数を用いて前記共通パッケージから生成されたハッシュ値を前記共通パッケージ識別情報として含む前記識別パッケージを生成する請求項１～３のいずれか一項に記載のソフトウェア更新装置。
　前記対象車両の前記車両識別情報に基づいて、前記共通パッケージ識別情報を生成し、
　生成された前記共通パッケージ識別情報と、前記車両識別情報と、を含む前記識別パッケージを生成する請求項１～３のいずれか一項に記載のソフトウェア更新装置。
　車両の外部に設けられたサーバから、更新の対象となるソフトウェアの更新データを取得し、前記車両の前記ソフトウェアを更新する前記車両の車載端末装置であって、
　前記更新データを含んで前記サーバに格納されている共通パッケージごとに割り当てられた共通パッケージ識別情報と、前記共通パッケージ識別情報に対応づけられた、前記車両を識別する車両識別情報と、を含んで前記サーバに格納されている識別パッケージを前記サーバから受信し、
　受信された前記識別パッケージから、前記共通パッケージ識別情報を取得し、
　取得された前記共通パッケージ識別情報が割り当てられた前記共通パッケージを前記サーバから受信し、
　受信された前記共通パッケージに含まれる前記更新データを用いて、前記車両の前記ソフトウェアを更新する車載端末装置。
　受信された前記識別パッケージに含まれる前記車両識別情報と、前記車両に割り当てられた前記車両識別情報とが一致するか否かを判定し、
　前記車両識別情報が一致すると判定される場合には、前記識別パッケージに含まれる前記共通パッケージ識別情報と、前記共通パッケージから取得される前記共通パッケージ識別情報とが一致するか否かを判定し、
　前記共通パッケージ識別情報が一致すると判定される場合には、前記ソフトウェアを更新する請求項６に記載の車載端末装置。
　受信された前記識別パッケージに含まれる前記車両識別情報と、前記車両に割り当てられた前記車両識別情報とが一致するか否かを判定し、
　前記車両識別情報が一致すると判定される場合には、前記共通パッケージの取得を要求する要求信号を前記サーバに送信し、
　前記要求信号に対する応答信号として、前記共通パッケージを前記サーバから受信する請求項７に記載の車載端末装置。
　前記更新データを前記サーバから取得するときに、第１通信経路を介して、前記更新データを前記サーバから取得し、
　前記第１通信経路は、前記更新データ以外のデータを供給するための第２通信経路よりもセキュリティ度が高い請求項６～８のいずれか一項に記載の車載端末装置。
　車両に搭載された車載端末装置と、前記車両の外部に設けられたソフトウェア更新装置と、を備え、
　前記車両のソフトウェアの更新データを用いて、前記ソフトウェアを更新するソフトウェア更新システムであって、
　前記ソフトウェア更新装置は、
　少なくとも前記更新データを含む共通パッケージと、前記共通パッケージに割り当てられた共通パッケージ識別情報と前記共通パッケージ識別情報に対応づけられ前記車両を識別する車両識別情報とを含む識別パッケージとを記憶する記憶装置を備え、
　前記ソフトウェアの更新対象となる車両に、前記車両に対応づけられた前記車両識別情報を含む前記識別パッケージを送信し、
　前記車両からの要求に応じて、前記識別パッケージに含まれる前記共通パッケージ識別情報が割り当てられた前記共通パッケージを前記車両に送信し、
　前記車両は、
　前記車両の前記車両識別情報を含む前記識別パッケージを前記ソフトウェア更新装置から受信し、
　受信された前記識別パッケージから、前記共通パッケージ識別情報を取得し、
　取得された前記共通パッケージ識別情報が割り当てられた前記共通パッケージを前記ソフトウェア更新装置から受信し、
　受信された前記共通パッケージに含まれる前記更新データを用いて、前記車両の前記ソフトウェアを更新するソフトウェア更新システム。