车辆和软件更新系统

技术领域

本公开涉及车辆和软件更新系统。

背景技术

在日本特开2017-149323中公开有通过OTA(Over The Air：空中下载技术)来更新搭载于车辆的ECU(Electronic Control Unit：电子控制单元)的软件的技术。

车辆通过与外部的服务器(例如，OTA中心)进行无线通信，从而能够下载车载ECU的新的软件(数据)。而且，在车辆中，目标ECU(软件更新对象的ECU)通过依次执行安装、激活，能够更新软件。

在进行使用了这样的OTA技术的软件(控制程序)的更新的情况下，例如，从OTA中心经由车载的通信设备(例如，DCM(Data Communication Module)等通信模块)、用户所具有的终端(用户终端：例如，智能手机等的移动终端)进行软件的下载。

在执行车载ECU的软件的更新处理时，优选询问是否同意更新处理(软件的下载)，在由用户进行同意时，执行软件的更新处理。作为用户对更新处理的同意的询问进行同意操作的对象(设备)，存在搭载于车辆的HMI装置(人机界面：人机界面)、用户终端。在通过经由用户终端下载的软件进行更新处理的情况下，尽管在用户的手头存在用户终端，却仍要使用HMI装置来进行同意操作，会令用户感到厌烦。

发明内容

本公开提供一种在经由用户终端进行车载ECU的软件的更新处理时能够实现用户的便利性的车辆和软件更新系统。

(1)本公开的第1形态所涉及的车辆具备构成为进行软件的更新的电子控制单元(ECU)，上述车辆具备：通信部，构成为与用户终端进行通信；和控制部，构成为在经由上述用户终端向上述车辆下载从服务器分发的上述软件的情况下，向上述用户终端请求将在用户同意上述软件的下载时使用的第1操作部和上述用户终端的电池的蓄电量显示于上述用户终端的显示部。

根据该结构，车辆的通信部能够与用户终端进行通信，并能够经由用户终端向车辆下载从服务器分发的软件。在经由用户终端向车辆下载从服务器分发的软件的情况下，车辆的控制部向用户终端请求将用于同意下载的第1操作部和用户终端的电池的蓄电量显示于用户终端的显示部。在经由用户终端下载软件的情况下，对用户终端请求下载的同意，因此能够通过处于用户的手头的用户终端进行同意操作，从而能够实现用户的便利性。另外，用户能够在考虑显示于用户终端的显示部的电池的蓄电量后操作第1操作部来进行同意，因此能够抑制在软件的下载中用户终端的电力耗尽的可能性。

(2)优选：在(1)的基础上，车辆还具备人机界面(HMI)装置，上述控制部构成为在规定的条件成立时，在上述HMI装置的显示部显示在上述用户同意上述下载时使用的第2操作部。

根据该结构，在规定的条件成立时，控制部将用于同意下载的第2操作部显示于HMI装置的显示部。用户通过操作显示于HMI装置的显示部的第2操作部，能够同意下载，并且能够提高用户的便利性，另外，能够促进软件的更新处理。作为规定的条件，例如可以是不向车辆发送保存于用户终端的存储部的软件、安装未完成的情况等。

(3)优选：在(2)的基础上，上述控制部构成为在操作上述第2操作部而同意了上述下载时，在上述用户终端的上述电池的上述蓄电量为第1规定值以上的情况下，不对上述用户终端请求上述下载的同意就执行上述下载，在上述用户终端的上述电池的上述蓄电量不足上述第1规定值的情况下，向上述用户终端请求上述下载的同意。

根据该结构，在用户操作显示于HMI装置的第2操作部并同意了下载时，在用户终端的蓄电量不足第1规定值的情况下，向用户终端请求下载的同意。由此，在用户终端的蓄电量不足第1规定值而不足以进行软件的下载时，要求操作用户终端来进行同意操作，因此可推动用户在确认用户终端的蓄电量后进行同意操作。另外，在用户操作显示于HMI装置的第2操作部而同意了下载时，在用户终端的蓄电量为第1规定值以上的情况下，不对用户终端请求下载的同意就执行下载，因此能够抑制损害用户的便利性。

(4)本公开的第2形态所涉及的更新ECU的软件的软件更新系统具备：服务器，构成为分发上述软件；车辆，搭载有上述ECU；以及用户终端，构成为与上述服务器及上述车辆进行通信，上述车辆构成为：在经由上述用户终端向上述车辆下载上述软件的情况下，在用户操作上述用户终端而同意了上述软件的下载时，执行上述下载。

根据该结构，软件更新系统能够经由可以与服务器及车辆进行通信的用户终端来向车辆下载从服务器分发的软件，并更新搭载于车辆的ECU的软件。在经由用户终端向车辆下载软件的情况下，在用户操作用户终端而同意了下载时，软件更新系统执行下载。在经由用户终端下载软件的情况下，在用户操作用户终端而同意了下载时，执行下载，因此能够通过处于用户的手头的用户终端来进行同意操作，从而能够实现用户的便利性。

(5)优选：在(4)的基础上，上述用户终端构成为将在上述用户同意上述下载时使用的第1操作部和上述用户终端的电池的蓄电量显示于上述用户终端的显示部。

根据该结构，由于将用于同意下载的第1操作部和用户终端的电池的蓄电量显示于用户终端的显示部，因此用户能够在考虑显示于用户终端的显示部的电池的蓄电量后操作第1操作部来进行同意，从而能够抑制在软件的下载中用户终端的电力耗尽的可能性。

(6)优选：在(4)或者(5)的基础上，上述车辆包括HMI装置，上述车辆构成为若规定的条件成立，则将在上述用户同意上述下载时使用的第2操作部显示于上述HMI装置的显示部。

根据该结构，在规定的条件成立时，将用于同意下载的第2操作部显示于HMI装置的显示部。用户通过操作显示于HMI装置的显示部的第2操作部，能够同意下载，并且能够提高用户的便利性，另外能够促进软件的更新处理。作为规定的条件，例如可以是没有在规定期间的时间段内向车辆发送保存于用户终端的存储部的软件时、用户终端的存储部的容量不足规定值时等。

(7)优选：在(6)的基础上，构成为在操作上述第2操作部而同意了上述下载时，在上述用户终端的电池的蓄电量为第1规定值以上的情况下，不进行上述用户终端的操作就执行上述下载，在上述用户终端的上述电池的上述蓄电量不足上述第1规定值的情况下，在用户操作上述用户终端而同意了上述下载时，执行上述下载。

根据该结构，在用户操作显示于HMI装置的第2操作部而同意了下载时，在用户终端的蓄电量不足第1规定值的情况下，在用户操作用户终端而同意下载时，执行下载。由此，在用户终端的蓄电量不足第1规定值而不足以进行软件的下载时，在操作用户终端而同意了下载时，执行下载，因此可推动用户在确认用户终端的蓄电量后进行同意操作。另外，在用户操作显示于HMI装置的第2操作部而同意了下载时，在用户终端的蓄电量为第1规定值以上的情况下，不进行用户终端的操作就执行下载，因此能够抑制损害用户的便利性。

(8)优选：在(4)或者(5)的基础上，上述车辆包括HMI装置，构成为在上述车辆具备构成为与上述服务器进行通信的通信部的情况下，不将上述用户终端的电池的蓄电量显示于上述HMI装置，在上述车辆不具备构成为与上述服务器进行通信的上述通信部的情况下，将上述用户终端的上述电池的上述蓄电量显示于上述HMI装置。

根据该结构，在车辆具备能够与服务器进行通信的通信部的情况下，不在HMI装置显示用户终端的蓄电量。在车辆能够与服务器进行通信的情况下，车辆也存在不经由用户终端就下载从服务器分发的软件来执行软件的更新处理的情况。因此，在车辆具备能够与服务器进行通信的通信部的情况下，不将用户终端的蓄电量显示于HMI装置，由此不在车辆与用户终端之间授受用户终端的蓄电量的信息即可，因此能够减轻通信负荷。另外，在车辆不具备能够与服务器进行通信的通信部的情况下，将用户终端的蓄电量显示于HMI装置。在车辆不具备能够与服务器进行通信的通信部的情况下，经由用户终端来下载软件，因此将用户终端的蓄电量显示于HMI装置，由此能够在进行下载的同意操作时容易地确认用户终端的蓄电量，从而能够抑制在软件的下载中用户终端的电力耗尽的可能性。

根据本公开，在经由用户终端来进行车载ECU的软件的更新处理时，能够实现用户的便利性。

以下参考附图，对本发明的示例性实施例的特征、优点、以及技术和工业意义进行描述，在附图中，相同的附图标记表示相同的元件。

附图说明

图1是表示本公开的实施方式所涉及的软件更新系统的结构的图。

图2是用于对本实施方式所涉及的软件更新方法的概要进行说明的图。

图3是示意性地表示在本实施方式的软件更新系统执行的序列的一部分的图。

图4是表示显示于用户终端的触摸面板显示器的显示画面的一例的图。

图5是表示显示于HMI装置的触摸面板显示器的显示画面的一例的图。

图6是表示显示于用户终端的触摸面板显示器的显示画面的一例的图。

图7是示意性地表示变形例1所涉及的软件更新系统的序列的一部分的图。

图8是示意性地表示变形例2所涉及的软件更新系统的序列的一部分的图。

图9是表示显示于HMI装置的触摸面板显示器的显示画面的一例的图。

具体实施方式

边参照附图边对本公开的实施方式详细地进行说明。在附图中，对相同或者相当的部分标注相同的附图标记而不重复其说明。

图1是表示该实施方式所涉及的软件更新系统的结构的图。参照图1，该软件更新系统包括车辆100、车辆200、用户终端300、300a以及OTA中心500。此外，“OTA”是“Over TheAir：空中下载技术”的简称。

车辆100、200分别是例如不具备内燃机的电动汽车(BEV：Battery ElectricVehicle)。车辆100具有OTA访问功能(与OTA中心500直接无线通信的功能)，但是车辆200不具有OTA访问功能。车辆100能够与OTA中心500直接地进行无线通信，但是车辆200若不经由其他的通信装置(即，不是车辆200自身具备的通信装置的通信装置)，就无法与OTA中心500进行通信。车辆200经由用户终端300(经由用户终端300)与OTA中心500进行无线通信。另外，车辆100除了与OTA中心500直接地进行无线通信之外，还能够经由用户终端300a与OTA中心500进行无线通信。

用户终端300与用户终端300a的结构相同，因此，以下，对用户终端300进行说明。用户终端300构成为能够由用户携带。用户终端300是被车辆200的用户(车辆管理者)携带并操作的移动终端。在该实施方式中，作为用户终端300，采用具备触摸面板显示器(显示部)的智能手机。智能手机内置计算机，并具有扬声器功能。但是并不局限于此，作为用户终端300，能够采用车辆200的用户可携带的任意的终端。例如，也能够采用笔记本电脑、平板终端、便携式游戏机、可穿戴设备(智能手表、智能眼镜、智能手套等)等作为用户终端300。

用户终端300具备处理器310、存储器320以及通信模块330。处理器310例如包括CPU(Central Processing Unit：中央处理器)。存储器320例如包括闪存那样的非易失性存储器。通信模块330包括用于与OTA中心500直接进行无线通信的通信I/F(接口)。另外，通信模块330也包括与车辆200直接进行无线通信的通信I/F。由此，车辆200与OTA中心500能够经由用户终端300进行数据的交换。例如，用户终端300根据来自车辆200的请求指定OTA中心500的地址来访问通信网络NW，由此，能够经由用户终端300，进行车辆200(ECU210)与OTA中心500的数据的交换(通信)。

在用户终端300安装有用于利用OTA中心500提供的服务的应用程序软件(以下，称为“移动应用”)。通过移动应用，将用户终端300的识别信息(终端ID)与车辆200的识别信息(车辆ID)建立关联来登记于OTA中心500。另外，用户终端300能够通过移动应用与OTA中心500进行信息的交换。

用户终端300a是被车辆100的用户携带并操作的移动终端。将用户终端300a的识别信息(终端ID)与车辆100的识别信息(车辆ID)建立关联，并通过安装于用户终端300a的移动应用将其登记于OTA中心500，从而用户终端300a能够通过移动应用与OTA中心500进行信息的交换。用户终端300、300a的触摸面板显示器作为输入装置和显示装置发挥功能。此外，用户终端300与用户终端300a的功能相同，可以将用户终端300与车辆100建立关联并由车辆100的用户携带并操作，也可以将用户终端300a与车辆200建立关联并由车辆200的用户携带并操作。

OTA中心500是提供基于OTA技术的车辆软件更新服务的服务器。OTA中心500构成为从该中心经由通信区划实施远程的车载ECU软件更新。OTA中心500分发车载ECU的软件。“ECU”是指电子控制装置(Electronic Control Unit)。

OTA中心500具备处理器510、存储器520以及通信模块530。处理器510例如包括CPU。存储器520例如包括闪存那样的非易失性存储器。通信模块530以有线的方式与通信网络NW连接，并经由通信网络NW与多个车辆(包括车辆100)及多个移动终端(包括用户终端300)分别进行通信。通信网络NW例如是由因特网和无线基站构建的广域网络。通信网络NW也可以包括移动电话网。

车辆100具备OTA主机110和多个ECU(包括ECU121、122)。车辆200具备多个ECU(包括ECU210、221、222)。OTA主机110内置计算机，并作为车载诊断装置发挥功能。各车辆具备的ECU的数量是任意的。各车载ECU内置具备至少一个处理器和至少一个存储器的计算机。各车载ECU也可以以主微机和子微机那样的方式具备多个微机(微型计算机)。

在车辆100中，OTA主机110与各ECU经由通信总线连接，构成为能够相互有线通信。在车辆200中，ECU彼此经由通信总线连接，构成为能够进行有线通信。此外，各车辆中的控制装置间的通信方式并不特别地限定，但是例如也可以是CAN(Controller Area Network：控制器局域网)或者Ethernet(注册商标)。

OTA主机110具备处理器111、存储器112以及通信模块113。处理器111例如包括CPU。存储器112例如包括闪存那样的非易失性存储器。通信模块113包括用于与OTA中心500直接地进行无线通信的通信I/F(接口)。例如，通过通信模块113指定OTA中心500的地址并访问通信网络NW，从而确立车辆100(通信模块113)与OTA中心500之间的无线通信。通信模块113也可以包括进行无线通信的TCU(Telematics Control Unit：远程信息控制单元)和/或DCM(Data Communication Module：数据通信模块)。

在车辆200中，ECU210具备处理器211和存储器212。处理器211例如包括CPU。存储器212例如包括闪存那样的非易失性存储器。车辆200还具备通信装置290。ECU210通过通信装置290与车辆外部的装置进行通信。通信装置290包括用于与用户终端300直接进行无线通信的通信I/F(接口)。通信装置290与用户终端300也可以进行无线LAN(Local AreaNetwork：局域网)、NFC(Near Field Communication：近场通信)或者Bluetooth(注册商标)那样的近距离通信。通信装置290也可以与存在于车内或者车辆周边的范围内的用户终端300直接通信。在车辆200的停车中，车内或者车外的用户终端300与ECU210也可以经由通信装置290相互进行信息的交换。另外，在车辆200的行驶中，车内的用户终端300与ECU210也可以经由通信装置290相互进行信息的交换。ECU210通过如上述那样向用户终端300请求与OTA中心500的通信，从而能够经由用户终端300与OTA中心500进行通信。

在车辆100中，OTA主机110除了通信模块113之外，还能够通过通信装置190与用户终端300a进行通信。通信装置190包括用于与用户终端300a直接进行无线通信的通信I/F(接口)。通信装置190与用户终端300a也可以进行无线LAN、NFC、或者Bluetooth(注册商标)那样的近距离通信。通信装置190也可以与存在于车内或者车辆周边的范围内的用户终端300a直接进行通信。在车辆100的停车中，车内或者车外的用户终端300a与OTA主机110也可以经由通信装置190相互进行信息的交换。另外，在车辆100的行驶中，车内的用户终端300a与OTA主机110也可以经由通信装置190相互进行信息的交换。OTA主机110通过如上述的那样向用户终端300a请求与OTA中心500的通信，能够经由用户终端300a与OTA中心500进行通信。

如上述那样，车辆100的OTA主机110和车辆200的ECU210分别构成为能够与OTA中心500进行无线通信。车辆100、200的每一个在停车中与行驶中都能够与OTA中心500进行通信。OTA主机110和ECU210分别管理车辆内信息，接受宣传活动，并管理软件更新序列。以下，在不区别OTA主机110和ECU210的情况下，将它们称为“更新主机”。OTA主机110相当于车辆100的更新主机，ECU210相当于车辆200的更新主机。

车辆100、200分别是构成为能够进行自动驾驶的自动驾驶车辆。车辆100、200分别构成为能够执行有人行驶与无人行驶这两方。车辆100、200分别构成为能够以无人的方式进行自主行驶，但是也能够以由用户进行的手动驾驶来行驶(有人行驶)。另外，车辆100、200分别能够在有人行驶中执行自动驾驶(例如，自动巡航控制)。自动驾驶的等级可以是完全自动驾驶(等级5)，也可以是带条件的自动驾驶(例如，等级4)。

车辆100、200分别具备驾驶装置130、230、和ADS(Autonomous Driving System：自动驾驶系统)140、240。在车辆100中，构成为ECU121控制驾驶装置130。在车辆200中，构成为ECU221控制驾驶装置230。

驾驶装置130、230分别包括加速装置、制动装置以及转向操纵装置。加装置例如包括使车辆的驱动轮旋转的电动发电机(以下，表述为“MG”)、和驱动MG的PCU(Power ControlUnit：功率控制单元)、以及向PCU供给用于驱动MG的电力的电池。

ADS140、240分别包括识别车辆的外部环境的识别用传感器(例如，照相机、毫米波雷达、激光雷达的至少一个)，基于由识别用传感器依次取得的信息来执行自动驾驶所涉及的处理。ADS140、240分别与ECU121、221协作，并且生成与车辆的外部环境对应的行驶计划(表示今后的车辆的行为的信息)。而且，ADS140、240分别向ECU121、221请求驾驶装置130、230所包括的各种致动器的控制，以使得根据其行驶计划来使车辆100、200行驶。

车辆100、200分别具备启动开关150、250、和HMI(人机界面：人机界面)装置170、270。

启动开关150、250分别是用于用户使车辆系统(车辆100、200的控制系统)启动的开关，例如设置于车厢内。一般来说，启动开关被称为“电源开关”或者“点火开关”等。通过用户操作启动开关150、250来切换车辆系统(包括搭载于车辆的各ECU)的启动(工作)/关闭(停止)。通过对启动开关150、250进行启动操作，从而停止状态的车辆系统启动，车辆系统变为工作状态(以下，也称为“IG启动”)。另外，若在车辆系统正工作时对启动开关150、250进行关闭操作，则车辆系统变为停止状态(以下，也称为“IG关闭”)。

启动开关150、250的启动操作是用于将车辆的状态从IG关闭切换为IG启动的操作。若用户对启动开关150、250进行启动操作，则向各车载ECU输入启动请求。即，各车载ECU接受来自用户的启动请求。另一方面，启动开关150、250的关闭操作是用于将车辆的状态从IG启动切换为IG关闭的操作。若用户对启动开关150、250进行关闭操作，则向各车载ECU输入关机请求。即，各车载ECU接受来自用户的关机请求。但是，在行驶中的车辆，禁止启动开关150、250的关闭操作。

HMI装置170、270分别包括输入装置和显示装置。HMI装置170、270也可以分别包括作为输入装置和显示装置发挥功能的触摸面板显示器。HMI装置170、270也可以分别包括车辆导航系统的输入装置和显示装置。

图2是用于对利用了OTA的软件更新方法的概要进行说明的图。与图1一起参照图2，软件更新所涉及的处理以结构同步、宣传活动通知和应用同意、下载、安装、激活、软件更新完成通知那样的顺序来进行。以下说明的处理由OTA中心500、和接受从OTA中心500的软件分发的各车辆(包括车辆100、200)执行。接受从OTA中心500的分发的车辆的数量可以是50台左右，可以为100台以上且不足1000台，也可以为1000台以上。

每经过预先设定好的时间，IG启动状态的车辆就反复执行结构同步。另外，在从OTA中心500接受到结构同步的请求的情况下，IG启动状态的车辆也执行结构同步。由车辆进行的结构同步处理包括向OTA中心500发送车辆结构信息。车辆结构信息例如包含车辆所包括的每个ECU的硬件信息(表示硬件的编号、ECU的标识符等的信息)和软件信息(表示软件的编号等的信息)。

OTA中心500若从车辆接收到上述车辆结构信息，则确认在当前时刻发生的宣传活动(软件的更新)。而且，若存在能够应用于车辆的宣传活动，则OTA中心500发送向车辆的用户请求该宣传活动所涉及的新的软件(软件的更新版)的下载的同意的同意请求信号。同意请求信号包含与该宣传活动有关的信息(宣传活动信息)。宣传活动信息例如也可以包含宣传活动属性信息(表示软件更新的目的、和有可能因更新而受到影响的车辆的功能等的信息)、宣传活动对象车辆的清单、与宣传活动对象ECU有关的信息(例如，更新前后的软件信息)、以及与更新前后的对用户的通知有关的信息的至少一个。此外，所通知的宣传活动可能是新发生的宣传活动，也可能是以前未应用的宣传活动。以下，也将上述同意请求信号的发送称为“宣传活动通知”。

车辆若接受到宣传活动通知(同意请求信号)，则向用户要求是否同意该宣传活动的应用的输入。例如，车辆使“发现了新的软件。是否应用于该车？”这样的消息显示于车载HMI装置(HMI装置170、270)或者用户终端300、300a，并向用户请求表示“同意”与“拒绝”的任意一方的输入。而且，若进行表示“同意”的输入，则车辆执行以下说明的下载所涉及的处理。另一方面，若进行表示“拒绝”的输入，则车辆不执行下载所涉及的处理。在该情况下，OTA中心500不使软件更新所涉及的处理进入至下载阶段而使其结束。

在该实施方式中，OTA中心500和车辆的更新主机(例如，OTA主机110或者ECU210)以以下说明的顺序执行下载所涉及的处理。

车辆的更新主机向OTA中心500请求包含新的软件在内的分发数据包。而且，更新主机从OTA中心500执行该分发数据包的下载(接收和保存)。分发数据包除了新的软件(例如，成为宣传活动的对象的每个ECU的更新数据的集)之外，也可以包含数据包属性信息(表示更新分类、分发数据包中的更新数据数、各ECU的安装顺序等的信息)、和更新数据属性信息(目标ECU的标识符、用于验证更新数据的合理性的验证用数据等)。目标ECU是成为软件更新对象的ECU。例如，也可以构成为：目标ECU是ECU121或者221，所更新的软件是自动驾驶控制程序。

通过上述的下载所涉及的处理，将上述分发数据包保存于更新主机具备的存储装置(例如，存储器112或者212)。在下载完成后，更新主机验证所下载的分发数据包的真实性。而且，若验证的结果是“正常”，则更新主机向OTA中心500通知软件更新状态(下载完成)。进行该通知意味着下载成功。

若下载成功，则车辆执行安装。更新主机向至少一个目标ECU(例如，ECU121或者221)请求该目标ECU的状态和DTC(Diagnostic Trouble Code：故障诊断码)的输出。更新主机基于目标ECU的状态和DTC来判断能否在每个目标ECU执行安装。而且，更新主机向能够执行安装的目标ECU传输新的软件(更新数据)。接收到更新数据的目标ECU执行该更新数据的安装(向非易失性存储器的写入)。

若上述更新数据从更新主机向目标ECU的传输完成，则目标ECU向更新主机发送传输完成通知。而且，接受到传输完成通知的更新主机向目标ECU请求完整性验证。接受到该请求的目标ECU使用完整性验证数据(验证用数据)来进行验证，并向更新主机发送其验证结果。更新主机保存每个目标ECU的验证结果(安装的完成/失败/中止)。若所有的目标ECU的完整性验证完成、且所有的验证结果“正常”，则更新主机向OTA中心500通知软件更新状态(安装完成)。进行该通知意味着安装成功。

若继下载后安装也成功，则车辆变为待激活状态。其后，若对车辆的启动开关(例如，启动开关150或者250)进行关闭操作，则更新主机使车载HMI装置或者用户终端300、300a显示规定的消息来向用户请求表示“同意”与“拒绝”的任意一方的输入。而且，若进行表示“同意”的输入，则更新主机执行激活(所安装的软件的有效化)。在更新主机激活失败的情况下，更新主机向OTA中心500请求软件的复原。OTA中心500若从车辆接受到复原的请求，则向该车辆分发复原用的软件。由此，更新主机能够使用该复原用的软件来使激活失败的软件返回(复原)至原来的版本。另外，若用户进行表示“拒绝”的输入，则更新主机不执行激活就中止软件更新所涉及的处理，并将车辆系统关机。

若更新主机激活成功，则更新主机使软件更新的结果显示于车载HMI装置或者用户终端300、300a。其后，更新主机向OTA中心500通知软件更新状态(软件更新完成)。进行该通知意味着OTA软件更新成功。若进行该通知，则将车辆的控制系统关机，变为IG关闭。其后，若对车辆的启动开关进行启动操作，则车辆系统变为IG启动。由此，更新程序(新的版本的软件)在目标ECU启动。此外，所更新的软件并不局限于上述的自动驾驶控制程序那样的驾驶辅助系统的控制程序，而是任意的。

这样，在下载分发数据包(软件)并且更新目标ECU的软件的情况下，向用户请求是否同意软件的更新处理(是否同意宣传活动的应用)的输入。此时，在经由用户终端300、300a下载从OTA中心500分发的软件(分发数据包)的情况下，若使用车载HMI装置来进行同意操作，则存在尽管在用户的手头存在用户终端300、300a，也会给用户带来麻烦的担忧。在本实施方式中，通过在用户终端300、300a显示更新处理的可否同意(可否许可)，从而在经由用户终端300、300a进行车载ECU的软件的更新处理时，实现用户的便利性。

图3是示意性地表示在本实施方式的软件更新系统中执行的序列的一部分的图。该序列在OTA中心500、用户终端300或者用户终端300a、更新主机(OTA主机110、ECU210)中处理。通过在各设备中由1个以上的处理器读取并执行在1个以上的存储器存储的程序来实现该处理。

此外，图3所示的序列是在经由用户终端300或者用户终端300a下载软件时执行的序列。在车辆100中，能够使用OTA主机110的通信模块113(不经由用户终端300a)来下载从OTA中心500分发的软件，并能够经由用户终端300a来下载软件。在车辆100中，例如，在用户设定为经由用户终端300a下载软件的情况下，或者在根据通信环境等而存在从OTA主机110经由用户终端300a接收宣传活动通知这样的通知(指示)时等，执行图3的序列。

参照图3，若结构同步处理结束并存在能够应用的宣传活动，则在步骤(以下，将步骤省略为“S”)11中，OTA中心500向用户终端300、300a发送宣传活动信息(同意请求信号)。此外，在结构同步处理中，从更新主机(OTA主机110或者ECU210)经由用户终端300、300a向OTA中心500发送车辆结构信息。接收到宣传活动信息的用户终端300、300a向更新主机发送接收到的宣传活动信息(S21)。更新主机若接收到宣传活动信息，则向用户终端300、300a发送同意请求(S31)。该同意请求是对用户终端300、300a请求从OTA中心500分发的分发数据包(软件)的下载的同意的请求，并以在用户终端300、300a显示是否同意分发数据包的下载(是否同意宣传活动的应用)的显示的方式进行通知(指示)。此外，更新主机(OTA主机110、ECU210)相当于本公开的“控制部”的一例。

用户终端300、300a若接收到同意请求，则在触摸面板显示器340进行用于同意下载的操作部(操作按钮)的显示(S22)。图4是表示显示于用户终端300、300a的触摸面板显示器340的显示画面的一例的图。如图4所示，在触摸面板显示器340，与车辆软件的更新处理的消息一起显示用于同意软件的下载的操作部。在图4中，“是”按钮341是用于同意下载的操作部(操作按钮)，相当于本公开的“第1操作部”的一例。若由用户操作“是”按钮341，则执行软件的下载(软件的更新处理)。若由用户操作显示于触摸面板显示器340的“否”按钮342，则不执行软件的下载(软件的更新处理)，本序列结束。

参照图4，在触摸面板显示器340显示用户终端300、300a的电池的蓄电量343。蓄电量343示出电池的当前的蓄电量，例如，也可以显示用户终端300、300a的电池的SOC(Stateof Charge)。对于蓄电量343的显示而言，响应从更新主机发送的同意请求，被用户终端300、300a显示于触摸面板显示器340。另外，从更新主机发送的同意请求包括将用户终端300、300a的电池的蓄电量343显示于触摸面板显示器340的指示，根据该指示，也可以向触摸面板显示器340显示蓄电量343。

再次参照图3，若由用户操作触摸面板显示器340的“是”按钮341并进行下载(软件的更新处理)的同意操作，则用户终端300、300a向OTA中心500发送分发数据包发送请求(S23)。OTA中心500若接收到分发数据包发送请求，则向用户终端300、300a发送分发数据包(软件)(S12)。

接着，用户终端300、300a将从OTA中心500发送(分发)的分发数据包保存于存储器320，并进行下载(S24)。在用户终端300、300a，若分发数据包的下载结束，则用户终端300、300a向更新主机发送下载的分发数据包(S25)。更新主机被从用户终端300、300a发送分发数据包，则如上述那样，执行分发数据包的下载(接收和保存)，在其完成后，进行分发数据包的真实性的验证等，之后向目标ECU传输新的软件(更新数据)，并执行更新数据的安装(S32)。

在接下来的S33中，更新主机判定规定条件是否成立。规定条件例如可以是A)更新主机开始分发数据包的接收后，经过规定时间，下载仍没有完成的情况(在用户终端300、300a下载的分发数据包的一部分没有被发送给更新主机(更新主机无法接收到)的情况等)，B)更新主机开始分发数据包的接收后，经过规定时间，安装仍没有完成的情况等。在规定条件不成立的情况下，在S33中进行否定判定，因此更新主机变为待激活状态，其后，执行激活处理。

若规定条件成立，则在S33中做出肯定判定，因此向HMI装置170、270的触摸面板显示器610显示用于同意软件的下载的操作部(操作按钮)(S34)。图5是表示显示于HMI装置170、270的触摸面板显示器610的显示画面的一例的图。如图5所示，在触摸面板显示器610，与车辆软件的更新处理的消息一起显示用于同意软件的下载的操作部。在图5中，“是”按钮611是用于同意下载的操作部(操作按钮)，相当于本公开的“第2操作部”的一例。若由用户操作触摸面板显示器610的“是”按钮611，则进行下载(软件的发送)的同意操作，在S35中，更新主机判定用户终端300、300a的电池的蓄电量Sa是否小于规定值α。蓄电量Sa可以是电池的SOC。规定值α相当于本公开的“第1规定值”的一例。若由用户操作显示于触摸面板显示器610的“否”按钮622，则不执行软件从用户终端300、300a向更新主机的发送，本序列结束。

再次参照图3，在蓄电量Sa不足规定值α时(Sa＜α)，在S35中做出肯定判定，更新主机向用户终端300、300a发送同意请求(S36)。用户终端300、300a若接收到同意请求，则在触摸面板显示器340进行用于同意软件的下载(软件从用户终端300、300a向更新主机的发送)的操作部(操作按钮)的显示(S26)。图6是表示显示于用户终端300、300a的触摸面板显示器340的显示画面的一例的图。如图6所示，在触摸面板显示器340，与车辆软件的更新处理的消息一起显示用于同意软件的下载的操作部(用于同意保存于用户终端300、300a的存储部的软件向更新主机的发送的操作部)。在图6中，“是”按钮351是用于同意下载的操作部(用于同意软件的发送的操作部)。若由用户操作“是”按钮351，则用户终端300、300a向更新主机发送保存于存储器320的软件(分发数据包)(S27)。若由用户操作显示于触摸面板显示器340的“否”按钮352，则不执行软件(分发数据包)从用户终端300、300a向更新主机的发送，本序列结束。

再次参照图3，在蓄电量Sa为规定值α以上时(Sa≥α)，在S35中做出否定判定，更新主机向用户终端300、300a发送发送请求(S37)。用户终端300、300a若接收到发送请求，则向更新主机发送保存于存储器320的软件(分发数据包)(S27)。更新主机若从用户终端300、300a接收到软件(分发数据包)，则与S32相同地执行更新数据的安装(S38)。而且，更新主机变为待激活状态，其后，执行激活处理。

根据本实施方式，更新主机(OTA主机110、ECU210)能够经由通信装置190、290与用户终端300、300a进行通信，并能够经由用户终端300、300a下载从OTA中心500分发的软件(分发数据包)。在经由用户终端300、300a下载从OTA中心500分发的软件的情况下，更新主机对用户终端300、300a请求下载的同意(S31)。在经由用户终端300、300a下载软件的情况下，对用户终端300、300a请求下载的同意，因此能够通过处于用户的手头的用户终端300、300a进行同意操作，从而能够实现用户的便利性。

根据本实施方式，同意请求(S31)也可以包括将用于同意下载的“是”按钮341(第1操作部)和用户终端300、300a的电池的蓄电量显示于用户终端300、300a的触摸面板显示器340的请求。用户能够在考虑了显示于用户终端300、300a的触摸面板显示器340的蓄电量343后操作“是”按钮341来进行同意，因此能够抑制在软件的下载中用户终端300、300a的电力耗尽的可能性。

根据本实施方式，若规定的条件成立，则例如在更新主机开始分发数据包的接收后经过规定时间下载仍没有完成的情况下、在更新主机开始分发数据包的接收后经过规定时间安装仍没有完成的情况下，更新主机将用于同意下载的“是”按钮611(第2操作部)显示于HMI装置170、270的触摸面板显示器610。用户通过操作显示于触摸面板显示器610的“是”按钮611，能够同意下载，因此能够提高用户的便利性，另外，能够促进软件的更新处理。

根据本实施方式，在用户操作显示于HMI装置170、270的“是”按钮611(第2操作部)而同意了下载时，在用户终端300、300a的蓄电量Sa不足规定值α的情况下，向用户终端300、300a请求下载的同意(S36，S26)。由此，在蓄电量Sa不足规定值α、并且不足以进行软件的下载时，要求操作用户终端300、300a来进行同意操作，因此，可推动用户在确认用户终端300、300a的蓄电量Sa后进行同意操作。另外，在用户操作显示于HMI装置170、270的“是”按钮611而同意了下载时，在蓄电量Sa为规定值α以上的情况下，不对用户终端300、300a请求下载的同意就执行下载(S37)，因此能够不损害用户的便利性。

(变形例1)

图7是示意性地表示变形例1所涉及的软件更新系统的序列的一部分的图。在上述实施方式中，在S33中，更新主机(OTA主机110、ECU210)判定规定条件是否成立。在变形例1中，在用户终端300、300a判定规定条件是否成立。图7的序列将图6中的S33置换为S25a，并且追加了S25b的步骤。

参照图7，若用户终端300、300a向更新主机发送下载的分发数据包(S25)，则更新主机如上述那样向目标ECU传输新的软件，并执行更新数据的安装(S32)。用户终端300、300a在向更新主机发送下载的分发数据包(S25)后，在S25a中，判定规定条件是否成立。规定条件例如可以是：a)发送分发数据包后经过规定时间，在更新主机中下载仍没有完成的情况(在用户终端300、300a下载的分发数据包的一部分没有被发送给更新主机(更新主机无法接收到)的情况)；b)发送分发数据包后经过规定时间，在更新主机中下载尚未完成(在用户终端300、300a下载的分发数据包的一部分没有被向更新主机发送(更新主机无法接收到))，并且用户终端300、300a的存储区域(存储器320)的容量不足规定量的情况等。在规定条件不成立的情况下，在S25a中做出否定判定，因此用户终端300、300a变为待激活状态，其后，执行激活处理。

若规定条件成立，则在S25a中做出肯定判定，用户终端300、300a向更新主机发送同意请求(S25b)。更新主机若接收到同意请求，则在HMI装置170、270的触摸面板显示器610显示用于同意软件的下载的操作部(操作按钮)(S34)。以后与上述实施方式相同，因此省略其说明。

根据该变形例1，若规定的条件成立，例如，在发送分发数据包后经过规定时间在用户终端300、300a下载的分发数据包的一部分仍没有被发送给更新主机的情况、发送分发数据包后经过规定时间在用户终端300、300a下载的分发数据包的一部分仍没有发送给更新主机并且用户终端300、300a的存储区域的容量不足规定量的情况下，用户终端向更新主机请求将用于同意下载的“是”按钮611(第2操作部)显示于HMI装置170、270的触摸面板显示器610。用户通过操作显示于触摸面板显示器610的“是”按钮611，能够同意下载，因此能够提高用户的便利性，另外，能够促进软件的更新处理。此外，在变形例1中，也起到与上述实施方式相同的作用效果。

(变形例2)

图8是示意性地表示变形例2所涉及的软件更新系统的序列的一部分的图。在变形例2中，在上述实施方式的序列(图3)中，在S21的前段追加了S20a、S20b以及S30a。

参照图8，用户终端300、300a若接收到宣传活动信息，则判定更新主机OTA是否是主机110(S20a)。更新主机的信息(是OTA主机110、还是ECU210的信息)在结构同步处理中包含在从更新主机发送的车辆结构信息中。在更新主机是ECU210的情况下，在S20a中进行否定判定，用户终端300向更新主机(ECU210)发送宣传活动信息和用户终端300的电池蓄电量(SOC)的信息(S20b)。

更新主机(ECU210)若接收到宣传活动信息和蓄电量的信息，则在HMI装置270的触摸面板显示器610显示用户终端300的电池的蓄电量(S30a)。图9是表示显示于HMI装置270的触摸面板显示器610的显示画面的一例的图。如图9所示，在触摸面板显示器610，与车辆软件的更新处理的消息一起显示用户终端300的电池的蓄电量623。

在更新主机是OTA主机110的情况下，在S20a中做出肯定判定，用户终端300a向更新主机(OTA主机110)发送宣传活动信息(S21)。以后与上述实施方式的序列(图3)相同，因此省略其说明。

根据该变形例2，在车辆(例如，车辆100)具备能够与OTA中心500进行通信的通信部(OTA主机110、通信模块113)的情况下，不在HMI装置170显示用户终端300a的蓄电量。在车辆能够与OTA中心500进行通信的情况下，车辆也存在不经由用户终端300a就下载从OTA中心500分发的软件来执行软件的更新处理的情况。因此，在车辆具备能够与OTA中心500进行通信的通信部的情况下，不将用户终端300a的蓄电量显示于HMI装置170，由此不在车辆与用户终端300a之间交换用户终端300a的蓄电量的信息即可，因此能够减轻通信负荷。另外，在车辆(例如，车辆200)不具备能够与OTA中心500进行通信的通信部的情况下，将用户终端300的蓄电量显示于HMI装置270。在车辆不具备能够与OTA中心500进行通信的通信部的情况下，经由用户终端300来下载软件，因此通过将用户终端300的蓄电量显示于HMI装置270，在进行下载的同意操作时，能够容易地确认用户终端300的蓄电量，从而能够抑制在软件的下载中用户终端的电力耗尽的可能性。

此外，在上文中，在触摸面板显示器340显示各种信息，但是显示器并不限定于具有触摸面板功能的显示器，也可以是与显示器分开设置有操作部的装置(PC等)。

另外，车辆构成为能够进行自动驾驶这一情况并不是必需的。车辆也可以是BEV以外的xEV(电动车)。车辆也可以是具备内燃机(例如，汽油发动机、生物燃料发动机、或者氢发动机)的PHEV(插电式混合动力车)或者HEV(混合动力车)。车辆并不局限于4轮的乘用车，可以公共汽车或者卡车，也可以是3轮的xEV。车辆也可以具备飞行功能。车辆也可以是在MaaS(Mobility as a Service：出行即服务)中利用的车辆。车辆也可以是根据用户的使用目的而定制的多目的车辆。车辆也可以是移动店铺车辆、无人出租车、无人搬运车(AGV)、或者农业机械。车辆也可以是无人或者1人乘坐的小型BEV(例如，最后一英里用的BEV、电动轮椅、或者电动滑板)。

本次公开的实施方式全部的点应被认为是例示，并非是对本发明进行的限制。本发明的范围并非由上述的实施方式的说明限定，而是由权利要求书表示，意在包括与权利要求书等同的意思以及在其范围内的全部变更。