WO2023187999A1 - データ更新システム、そのプログラムが記録された非一時的なコンピュータ可読媒体及び方法 - Google Patents

Abstract

一実施の形態にかかるデータ更新システムは、利用者端末において、充電スタンドに表示される認証コードと、事前に登録した利用者情報と、充電スタンド及び利用者端末の位置情報と、を少なくとも含む認証情報をセンターサーバに送信する認証要求処理（Ｓ５）を行い、センターサーバにおいて、認証情報の正当性を確認する認証処理（Ｓ６）と、認証処理が合格したことに応じて、充電スタンドに更新対象のソフトウェアをダウンロードさせる配信処理（Ｓ１０）と、を行い、充電スタンドにおいて、車両に充電ケーブルが接続されたことに応じて、認証コードを表示する認証コード提供処理（Ｓ２）と、ダウンロードしたソフトウェアを通信線を介して更新対象車両に与えることで更新対象車両のソフトウェアを更新するデータ更新処理（Ｓ１１）と、を行う。

Description

データ更新システム、そのプログラムが記録された非一時的なコンピュータ可読媒体及び方法

　本発明はデータ更新システム、そのプログラムが記録された非一時的なコンピュータ可読媒体及び方法に関し、特に、車両に搭載されるデータの更新を行うデータ更新システム、そのプログラム及び方法に関する。

　近年、自動車（以下、車両と称す）に搭載されるソフトウェアは膨大な量になってきており、車両制御を担うソフトウェアも複雑になってきている。そのため、車両の不具合対応或いは機能改善の為に車両に搭載されるソフトウェアを更新する必要が生じている。しかし、車両を制御するソフトウェアは、車両の安全に関わるものであり、更新する際に高いセキュリティを確保する必要がある。そこで、車両に搭載されるプログラム更新に関する技術の一例が特許文献１に開示されている。

　特許文献１に記載では、例えば、図１９３及び段落０６４９において、プログラムの伝送方法が有線であるのか無線であるのかの通信形態に応じてプログラム格納領域をわけることでセキュリティを確保することが開示されている。

特開２０２０－２７６２６号公報

　しかしながら、特許文献１に記載の方法では、車両にダウンロードさせるソフトウェアや、車両からダウンロードする車体データなどのデータの重要性に応じたデータの格納を行うことが出来ず、セキュリティが十分とは言えない問題がある。

　本発明の目的は、上述した課題を鑑み、データ更新を高いセキュリティレベルを維持したまま行うデータ更新システム、そのプログラム及び方法を提供することにある。

　一実施の形態にかかるデータ更新システムは、ユーザーが操作する利用者端末と、認証処理及びデータの配信を行うセンターサーバと、車両に接続される充電ケーブル及び前記車両とデータ通信を行う通信線と、を備え、前記車両に対して充電を行う充電スタンドと、を有し、前記利用者端末は、充電スタンドにより提供される認証コードを少なくとも含む認証情報を前記センターサーバに送信する認証要求処理を行い、前記センターサーバは、前記認証情報の正当性を確認する認証処理と、前記認証処理が合格したことに応じて、前記充電スタンドに更新対象の前記ソフトウェアをダウンロードさせる配信処理と、を行い、前記充電スタンドは、前記車両に前記充電ケーブルが接続されたことに応じて、前記認証コードを提供する認証コード提供処理と、ダウンロードした前記データを前記通信線を介して更新対象車両に与えることで前記更新対象車両のデータを更新するデータ更新処理と、を行う。

　一実施の形態にかかるデータ更新プログラムは、センターサーバと、充電スタンドと、利用者端末と、を有するデータ更新システムにおいて、各装置内の演算部で実行されるデータ更新プログラムであって、前記利用者端末で実行される第１のプログラムは、前記充電スタンドに表示される認証コードを少なくとも含む認証情報を前記センターサーバに送信する認証要求処理を、行い、前記センターサーバで実行される第２のプログラムは、前記認証情報の正当性を確認する認証処理と、前記認証処理が合格したことに応じて、前記充電スタンドに更新対象のデータをダウンロードさせる配信処理と、を行い、前記充電スタンドは、車両に接続される充電ケーブル及び前記車両とデータ通信を行う通信線と、を備え、前記充電スタンドで実行される第３のプログラムは、前記車両に前記充電ケーブルが接続されたことに応じて、前記認証コードを提供する認証コード提供処理と、ダウンロードした前記データを前記通信線を介して更新対象車両に与えるデータ更新処理と、を行う。

　一実施の形態にかかるデータ更新方法は、センターサーバと、充電スタンドと、利用者端末と、を有するデータ更新システムにおけるデータ更新方法であって、前記利用者端末において、前記充電スタンドに表示される認証コードを少なくとも含む認証情報として前記センターサーバに送信する認証要求処理を、行い、前記センターサーバにおいて、前記認証情報の正当性を確認する認証処理と、前記認証処理が合格したことに応じて、前記充電スタンドに更新対象のデータをダウンロードさせる配信処理と、を行い、前記充電スタンドは、車両に接続される充電ケーブル及び前記車両とデータ通信を行う通信線と、を備え、前記充電スタンドにおいて、前記車両に前記充電ケーブルが接続されたことに応じて、前記認証コードを提供する認証コード提供処理と、ダウンロードした前記データを前記通信線を介して更新対象車両に与えるデータ更新処理と、を行う。

　本発明にかかるデータ更新システム、そのプログラム及び方法によれば、データ更新を高いセキュリティレベルを維持したまま行うことができる。

実施の形態１にかかるデータ更新システムのブロック図である。 実施の形態１にかかるセンターサーバのハードウェア構成図である。 実施の形態１にかかる充電スタンドのハードウェア構成図である。 実施の形態１にかかる利用者端末のハードウェア構成図である。 実施の形態１にかかる車両のハードウェア構成図である。 実施の形態１にかかるデータの更新手順の第１の例を説明するシーケンス図である。 実施の形態１にかかるデータの更新手順の第２の例を説明するシーケンス図である。 実施の形態１にかかるデータの更新手順の第３の例を説明するシーケンス図である。 実施の形態１にかかるデータの更新手順の第４の例を説明するシーケンス図である。 実施の形態１にかかるパラメータの更新において正当性検証が行われる場合の手順の一例を説明するシーケンス図である。 実施の形態２にかかるデータの更新手順を説明するシーケンス図である。

　説明の明確化のため、以下の記載及び図面は、適宜、省略、及び簡略化がなされている。また、様々な処理を行う機能ブロックとして図面に記載される各要素は、ハードウェア的には、ＣＰＵ（Central Processing Unit）、メモリ、その他の回路で構成することができ、ソフトウェア的には、メモリにロードされたプログラムなどによって実現される。したがって、これらの機能ブロックがハードウェアのみ、ソフトウェアのみ、またはそれらの組合せによっていろいろな形で実現できることは当業者には理解されるところであり、いずれかに限定されるものではない。なお、各図面において、同一の要素には同一の符号が付されており、必要に応じて重複説明は省略されている。

　また、上述したプログラムは、様々なタイプの非一時的なコンピュータ可読媒体を用いて格納され、コンピュータに供給することができる。非一時的なコンピュータ可読媒体は、様々なタイプの実体のある記録媒体を含む。非一時的なコンピュータ可読媒体の例は、磁気記録媒体（例えばフレキシブルディスク、磁気テープ、ハードディスクドライブ）、光磁気記録媒体（例えば光磁気ディスク）、ＣＤ－ＲＯＭ（Read Only Memory）、ＣＤ－Ｒ、ＣＤ－Ｒ／Ｗ、半導体メモリ（例えば、マスクＲＯＭ、ＰＲＯＭ（Programmable ROM）、ＥＰＲＯＭ（Erasable PROM）、フラッシュＲＯＭ、ＲＡＭ（Random Access Memory））を含む。また、プログラムは、様々なタイプの一時的なコンピュータ可読媒体によってコンピュータに供給されてもよい。一時的なコンピュータ可読媒体の例は、電気信号、光信号、及び電磁波を含む。一時的なコンピュータ可読媒体は、電線及び光ファイバ等の有線通信路、又は無線通信路を介して、プログラムをコンピュータに供給できる。

　実施の形態１
　実施の形態１にかかるデータ更新システム１のブロック図を図１に示す。図１に示すように、実施の形態１にかかるデータ更新システム１は、センターサーバ１００、充電スタンド２００、利用者端末３００、車両４００を有する。ここで、データ更新システム１では、車両４００に格納されたデータを更新するが、このデータには、車両を制御するソフトウェア及びパラメータに限られず、これらソフトウェア及びパラメータ以外のデータが含まれていても良い。以下の説明では、ソフトウェアとパラメータを更新対象のデータとする例について説明する。車両４００は、データ更新システム１により更新されるソフトウェアが搭載された自動車であり、例えば、充電が必要な電気自動車、或いは、プラグインハイブリッド自動車である。

　また、図１では、車両４００にデータを転送するインタフェースとしてＵＳＢ（Universal Serial Bus：登録商標）インタフェース５０、ＯＴＡ（Over The Air）インタフェース６０を示した。ここで、ＯＴＡインタフェース６０は、無線通信を利用してデータを転送するインタフェースであり、携帯電話通信網、Ｗｉ－Ｆｉ等の様々な通信規格を１つ以上組み合わせた通信経路を総称したものである。車両４００は、このように様々な通信経路でデータを取り込む、又は、読み出すことができるように構成される。

　センターサーバ１００は、認証処理部１１、配信処理部１２、データベース１３、パラメータ格納部１４、ソフトウェア格納部１５を有する。認証処理部１１は、利用者端末３００から送られてくる認証情報の正当性を確認し、正当性が確認されたこと（合格したこと）に応じて配信処理部１２による更新対象のデータ（例えばソフトウェア及びパラメータ）の配信を許可する。なお、認証処理部１１は、認証情報に含まれる情報を用いた認証を行うが、認証処理のうちユーザーを特定する認証では、ユーザーを特定する情報としてＩＤとパスワード等を用いた認証処理や、ユーザーが予め設定した生体情報を用いた生体認証処理等、様々な方式で認証を行うことが可能である。配信処理部１２は、認証処理が合格したことに応じて、充電スタンド２００に更新対象のソフトウェアをダウンロードさせる。また、配信処理部１２は、車両を制御するパラメータに関しても認証処理部１１で行われる認証処理が合格したことに応じて充電スタンド２００にパラメータをダウンロードさせたり、車両４００からパラメータを読み出したりする。

　データベース１３は、車両４００に格納されている機器故障診断データ、セキュリティログ、運転データ等の車体データを蓄積する。車体データは、車両メーカーの開発者や整備士により正当性や内容の解析が行われるものである。パラメータ格納部１４は、車両４００に格納されているパラメータ及び車両４００に与える新たなパラメータが格納される。パラメータは、車両４００の駆動制御、運転制御に用いられるものであり、高いセキュリティレベルが要求されるものである。また、パラメータは、車両メーカーの開発者や整備士が更新を指示するものである。ソフトウェア格納部１５には、更新対象のソフトウェアが格納される。ソフトウェア格納部１５に格納されるソフトウェアは、例えば、車両４００の駆動制御や運転制御を行うものであり、高いセキュリティレベルが要求されるものである。

　充電スタンド２００は、表示部２１、認証コード提供処理部２２、更新処理部２３、通信線インタフェース２４を有する。

　表示部２１は、ユーザーに充電及びデータ更新に関する様々な情報を表示する。また、表示部２１は、例えば、タッチパネル等が備えられていればユーザーからの指示を受け付ける入力部ともなる。つまり、表示部２１は、データ更新システム１をユーザーが利用するためのユーザーインタフェースの１つである。

　認証コード提供処理部２２は、車両４００に充電ケーブルが接続されたことに応じて、認証コードを提供する。以下の説明では、認証コードの提供方法は、表示部２１に認証コードを表示する方法を例に説明するが、認証コードは、近距離無線通信、無線ＬＡＮ、公衆通信網等により伝達しても良い。また、この認証コードは、例えば、データ更新システム１で利用可能なワンタイムパスワードである。認証コードの形式は、複数の数字でも良く、ＱＲコード（登録商標）等の様々な形式を採用することができる。

　更新処理部２３は、ダウンロードしたデータを通信線を介して更新対象車両に与えることで更新対象車両のデータ（例えば、ソフトウェア及びパラメータ）を更新するデータ更新処理を行う。通信線インタフェース２４は、充電スタンド２００に設けられ、充電スタンド２００と車両４００との通信経路となる通信線を駆動して充電スタンド２００と車両４００との通信を行う為のインタフェース回路である。また、充電スタンド２００は、図示していないが車両４００に充電を行う為の充電ケーブルを有する。この充電ケーブルは、通信線インタフェース２４を介して車両４００に接続される通信線と別に設けられていても良いが、ユーザーの操作を減らすために通信線は充電ケーブルと一体に設けられている例を以下では説明する。このように物理的な通信線と充電ケーブルを活用することで、不正な通信線による車両４００のアクセスを防ぐことが可能であり、セキュリティレベルを高めることが可能である。

　利用者端末３００は、ユーザーが操作する端末であり、例えば、携帯電話通信網やＷｉ－Ｆｉ等を用いて外部と通信可能なスマートフォン等の携帯情報端末や、カーナビゲーション端末等を用いることができる。利用者端末３００は、充電スタンド２００により提供される認証コードを少なくとも含む認証情報をセンターサーバ１００に送信する認証要求処理を行う。この認証情報には、さらに、事前に登録した利用者情報、充電スタンド及び利用者端末の位置情報、及び、その他情報が含まれていても良い。利用者端末３００には、例えば、タッチパネル、カメラ等の撮像素子、近距離無線通信インタフェースなど、車両４００が生成する認証コードを取得するための装置が備えられている。また、利用者端末３００は、表示部を備え、センターサーバ１００及び充電スタンド２００から得られる情報の表示、利用者端末３００上で実行されるアプリケーションソフトが生成するインタフェース画面を表示することもできる。

　車両４００は、データの更新対象となる装置である。車両４００にはアクセス可能な通信経路がそれぞれ制限された第１の情報蓄積部（例えば、認証不要データ格納領域４１）、第２の情報蓄積部（例えば、車体データ格納領域４２）及び第３の情報蓄積部（例えば、要認証データ格納領域４３）を有する。

　認証不要データ格納領域４１は、車両のメーカーが管理していない規格のケーブルによる有線接続（例えば、ＵＳＢインタフェース５０）、及び、無線接続（例えば、ＯＴＡインタフェース６０）によるアクセス以外が制限される情報格納領域である。認証不要データ格納領域４１には、例えば、交通情報、気象情報、地図データ、音楽データなどの認証が不要なデータが格納される。この認証不要データ格納領域４１に格納されるデータは、車両４００の制御において影響が少ないデータであり、低いセキュリティレベルであっても問題ないデータである。認証不要データ格納領域４１へのアクセスが可能な通信経路としては、ＵＳＢインタフェース５０、ＯＴＡインタフェース６０が設定される。

　車体データ格納領域４２は、ＯＴＡインタフェース６０、及び、充電スタンド２００に設けられた通信線によるアクセス以外が制限される情報格納領域である。つまり、車体データ格納領域４２では、充電スタンド２００に設けられた通信線による有線接続以外で、かつ、無線接続以外の接続形態でのアクセスが制限される。車体データ格納領域４２には、例えば、機器故障診断データ、セキュリティログ、運転データ等の車両４００が動作することにより生成される車体データが格納される。これらの車体データは、車両４００を動作させることで得られるものであり、制御に影響を及ぼさないため、セキュリティレベルとしては低くても良いが、運転者のプライバシーも含まれるデータであるため、認証不要データよりは高いセキュリティレベルが要求される。そのため、車体データ格納領域４２へのアクセスが可能な通信経路は、ＯＴＡインタフェース６０及び充電スタンド２００に備えられる通信線が設定される。

　要認証データ格納領域４３は、充電スタンド２００に設けられた通信線によるアクセス以外が制限される情報格納領域である。つまり、要認証データ格納領域４３は、充電スタンド２００に設けられた通信線による有線接続以外の接続形態でのアクセスが制限される。要認証データ格納領域４３には、例えば、パラメータ、ソフトウェア等の車両４００の駆動制御や運転制御に利用されるデータ或いはプログラムが格納される。これらの情報は、車両４００を安全に動作させるために必要なものであり、制御に大きな影響を及ぼすため、高いセキュリティレベルが要求される。そのため、要認証データ格納領域４３へのアクセスが可能な通信経路は、充電スタンド２００に備えられる通信線のみが設定される。

　続いて、センターサーバ１００、充電スタンド２００、利用者端末３００、車両４００の詳細なハードウェア構成の一例について説明する。

　まず、図２に実施の形態１にかかるセンターサーバ１００のハードウェア構成図を示す。センターサーバ１００は、例えば、コンピュータが備えるハードウェアを備える。具体的には、センターサーバ１００は、演算部１０１、記憶部１０２、通信インタフェース１０３がバスによって相互に通信可能なように接続される。演算部１０１は、データ更新プログラムに含まれる第２のプログラムを実行する。この第２のプログラムを実行する演算部１０１は、認証処理部１１が行う認証処理と、配信処理部１２が行う配信処理を行う。記憶部１０２は、メモリ、ＳＳＤ（Solid State Disk）、ＨＤＤ（Hard Dick Drive）等の記憶装置により実装され、データベース１３、パラメータ格納部１４、ソフトウェア格納部１５となる。なお、データベース１３、パラメータ格納部１４、ソフトウェア格納部１５は、演算部１０１とは異なる筐体により構成されていても良い。通信インタフェース１０３は、有線、又は、無線により充電スタンド２００及び利用者端末３００と通信を行う為のインタフェース回路である。

　続いて、図３に実施の形態１にかかる充電スタンド２００のハードウェア構成図を示す。充電スタンド２００は、充電機能を備えるコンピュータとして実現することが可能である。図３に示す例では、充電スタンド２００は、演算部２０１、記憶部２０２、表示部２１、通信インタフェース２０３、充電インタフェース２０５、通信線インタフェース２４がバスによって相互に通信可能なように接続される。演算部２０１は、データ更新プログラムに含まれる第３のプログラムを実行する。この第３のプログラムを実行する演算部２０１は、認証コード提供処理部２２が行う認証コード提供処理と、更新処理部２３が行うデータ更新処理を行う。記憶部２０２は、ダウンロードしたソフトウェアやパラメータを保持する記憶装置である。表示部２１は、図１で説明した表示部２１であり、表示機能のみならず、タッチパネル等を用いた入力機能を備えていても良い。通信インタフェース２０３は、センターサーバ１００及び利用者端末３００と通信するインタフェース回路であり、通信を有線で行うのか無線で行うのかは問わない。充電インタフェース２０５は、充電ケーブルが接続されるインタフェース回路であり、充電電流を車両４００に流す。通信線インタフェース２４は、通信線が接続され、通信線を介して車両４００と通信を行う。

　続いて、図４に実施の形態１にかかる利用者端末３００のハードウェア構成図を示す。利用者端末３００は、撮影機能を備えたコンピュータとして実現することが可能である。図４で示す例では、利用者端末３００は、演算部３０１、記憶部３０２、通信インタフェース３０３、表示部３０４、撮影部３０５がバスによって相互に通信可能なように接続される。演算部３０１は、データ更新プログラムに含まれる第１のプログラムを実行する。この第１のプログラムを実行する演算部３０１は、充電スタンド２００に表示される認証コードと、事前に登録した利用者情報と、充電スタンド２００及び利用者端末の位置情報と、を少なくとも含む認証情報をセンターサーバ１００に送信する認証要求処理を行う。記憶部３０２は、取り込んだ認証コード、位置情報等を保持する記憶装置である。通信インタフェース３０３は、センターサーバ１００及び充電スタンド２００と通信するインタフェース回路であり、通信を有線で行うのか無線で行うのかは問わない。例えば、通信インタフェース３０３が近距離無線通信機能を備え、当該近距離無線通信機能を用いて利用者端末３００と充電スタンド２００とが通信を行って認証コードを得ても良い。表示部３０４は、表示機能のみならず、タッチパネル等を用いた入力機能を備えていても良い。表示部３０４には演算部３０１で実行される第１のプログラムにより生成されるユーザーインタフェース画面が表示される。撮影部３０５は、例えば、カメラであり、充電スタンド２００の表示部２１に表示されるＱＲコードを読み取ることで認証コードを受け取るように構成する事も可能である。

　続いて、図５に実施の形態１にかかる車両４００のハードウェア構成図を示す。図５では、車両４００の構成要素のうち認証不要データ格納領域４１、車体データ格納領域４２、要認証データ格納領域４３に外部からアクセスするための経路に関連する部分のみを示した。車両４００は、それぞれアクセス経路が制限された認証不要データ格納領域４１、車体データ格納領域４２、要認証データ格納領域４３を有する。また、車両４００は、アクセス経路の入出力インタフェースとして、ＵＳＢ接続口４０６、無線通信インタフェース４０７及び充電ケーブル接続口４０８を有する。なお、車両４００では、充電ケーブル接続口４０８に充電スタンド２００との通信経路となる通信線の接続口を兼ねている。そして、車両４００では、ＵＳＢ接続口４０６、無線通信インタフェース４０７、充電ケーブル接続口４０８と、認証不要データ格納領域４１、車体データ格納領域４２、要認証データ格納領域４３との間にアクセスガード部４０１を有する。

　アクセスガード部４０１は、外部の装置又は媒体との接続形態を認識して、当該接続形態の違いに応じてアクセス範囲を制御する。また、アクセスガード部４０１は、接続形態として、充電スタンド２００に設けられた通信線による有線接続、及び、無線接続を少なくとも認識する。より具体的には、アクセスガード部４０１は、接続されるケーブルの規格、及び、有線接続か無線接続かの接続形態の違いを認識して、ケーブルの規格と接続形態の違いに応じてアクセス範囲を制御する。ここで、アクセスガード部４０１が行うアクセス制御は、各情報格納領域への書き込み、読み出しの一方を制御してもよく、書き込み及び読み出しの両方を制御しても良い。より具体的には、アクセスガード部４０１は、接続形態認識部４０２、アクセス制御部４０３～４０５を有する。接続形態認識部４０２は、ＵＳＢ接続口４０６、無線通信インタフェース４０７、充電ケーブル接続口４０８のいずれが有効になっているのかを認識し、有効になっているポートに対応するアクセス制御部に通過許可を与える。アクセス制御部４０３は、ＵＳＢ接続口４０６と無線通信インタフェース４０７を介して認証不要データ格納領域４１にアクセスする経路を有効にするか、無効にするかを切り替える。アクセス制御部４０４は、無線通信インタフェース４０７と充電ケーブル接続口４０８を介して車体データ格納領域４２にアクセスする経路を有効にするか、無効にするかを切り替える。アクセス制御部４０５は、充電ケーブル接続口４０８を介して要認証データ格納領域４３にアクセスする経路を有効にするのか、無効にするのかを切り替える。つまり、車両４００では、アクセスガード部４０１により、通信インタフェース毎にアクセス可能な情報格納領域を制限する。

　続いて、実施の形態１にかかるデータ更新システム１の動作について説明する。実施の形態１にかかるデータ更新システム１では、充電スタンド２００を用いたデータ更新において、データ更新の有無、パラメータ更新の有無の違いにより４つの動作例が考えられる。以下では４つの動作例を第１の例から第４の例として説明を行う。また、以下で示すシーケンス図は、利用者端末３００を用いて、ユーザーが、ユーザーの氏名、利用者端末３００の電話番号、利用する車両のナンバー、車台番号、識別情報（例えば、ユーザーＩＤ）等の利用者情報をセンターサーバ１００のデータベース１３に予め登録してあるものとして説明を行う。なお、以下の説明では、更新対象のデータをソフトウェア及びパラメータの少なくとも１つとする例について説明するが、更新対象のデータをソフトウェア及びパラメータに限られない。

　図６に実施の形態１にかかるデータの更新手順の第１の例を説明するシーケンス図を示す。この第１の例は、充電とともにソフトウェアの更新を行う場合の動作例である。図６に示すように、第１の例では、データ更新システム１は、ユーザーが充電スタンド２００の充電ケーブルを車両４００に接続することから動作が開始される（ステップＳ１）。車両４００に充電ケーブルが接続されたことを充電スタンド２００が認識すると、充電スタンド２００は、表示部２１に認証コードを表示する（ステップＳ２）。そして、ユーザーは、利用者端末３００を用いて表示部２１に表示された認証コードを読み込む（ステップＳ３）。また、利用者端末３００では、認証コード読み込みに合わせてその時点でＧＰＳ機能等を用いてその時の位置情報を読み込む（ステップＳ４）。データ更新システム１では、ユーザーが充電スタンド２００の充電ケーブルを操作可能な距離にいるため、利用者端末３００のＧＰＳ情報は、利用者端末３００及び充電スタンド２００の位置情報と見なすことができる。続いて、利用者端末３００は、ステップＳ３で読み込んだ認証コード、ステップＳ４で読み込んだ充電スタンド２００及び利用者端末３００の位置情報、事前登録した利用者情報を少なくとも含む認証情報を生成し、生成した認証情報をセンターサーバ１００に送信する（ステップＳ５）。

　続いて、センターサーバ１００は、データベース１３に格納されている利用者情報を参照しながら受信した認証情報の正当性を検証する認証処理を行う（ステップＳ６）。そして、この認証処理が合格したことに応じて、配信処理部１２が充電とデータ更新の完了までに要する時間を予測時間として計算する（ステップＳ７）。センターサーバ１００は、ステップＳ７の計算時間を充電スタンド２００に伝える。

　続いて、充電スタンド２００は、受信した充電とデータ更新の完了までに要する時間として算出された予測時間を表示部２１に表示する（ステップＳ８）。ユーザーは、表示部２１に表示された予測時間を確認して、充電とデータ更新を充電スタンド２００に指示する（ステップＳ９）。なお、ステップＳ９の指示は、利用者端末３００を用いて行っても良く、充電スタンド２００の表示部２１を介して行っても良い。

　そして、ステップＳ９の指示に応じて、充電スタンド２００は、センターサーバ１００から更新対象のソフトウェアをダウンロードする（ステップＳ１０）。その後、充電スタンドは、充電とデータ更新を並行して行う（ステップＳ１１）。このステップＳ１１では、ステップＳ１０で充電スタンド２００がセンターサーバ１００からダウンロードした更新対象のソフトウェアを車両４００に与える。このように、充電とデータ更新を同時に行うことで、データ更新中に電源の容量が足りずにデータ更新が途中で止まることを防止することができる。その後、充電とデータ更新がともに完了したことに応じて、充電スタンド２００は、充電とデータ更新処理とがともに完了したことをユーザーに通知する（ステップＳ１２）。ステップＳ１２の通知は、利用者端末３００に対して行っても良く、表示部２１に表示しても良い。

　その後、ユーザーが充電ケーブルを車両４００から取り外したこと（ステップＳ１３）に応じて、充電スタンド２００の表示部２１に決済情報の入力を求める表示を行い、表示部２１に決済情報が入力されたことに応じて（ステップＳ１４）、センターサーバ１００が決済処理を実行する（ステップＳ１５）。なお、ステップＳ１４の決済情報の入力は、ステップＳ９の充電及びソフトウェア更新指示の前で行う等、決済情報の入力手続きを行うタイミングはシステムの仕様に応じて適宜変更可能である。

　続いて、データ更新システム１の動作の第２の例について説明する。第２の例は、ソフトウェア更新の要求がユーザーに通知されるものの、ユーザーの時間的な制約からソフトウェア更新を後にする場合の動作例である。図７に実施の形態１にかかるデータの更新手順の第２の例を説明するシーケンス図を示す。

　図７に示すように、第２の例では、第１の例のステップＳ９～Ｓ１２がステップＳ２１～Ｓ２３に置き換えられる。ステップＳ２１では、ユーザーがデータ更新は選択せずに充電のみを指示する。これにより、充電スタンド２００は、充電のみを行い（ステップＳ２２）、充電の完了に応じて充電が完了したことをユーザーに通知する（ステップＳ２３）。

　続いて、データ更新システム１の動作の第３の例について説明する。第３の例は、更新対象とするソフトウェアがなく充電のみを行う場合の動作例である。図８に実施の形態１にかかるデータの更新手順の第３の例を説明するシーケンス図を示す。

　図８に示すように、第３の動作例では、第２の動作例のステップＳ７、Ｓ８がステップＳ３１、Ｓ３２に置き換えられる。第３の例では、データ更新が無いため、予測時間は充電のみを対象とした予測時間の計算を行う（ステップＳ３１）。また、第３の例では、表示部２１に表示する予測時間は、充電完了までに要する予測時間のみとなる（ステップＳ３２）。

　続いて、データ更新システム１の動作の第４の例について説明する。第４の例では、充電とともに、パラメータとソフトウェアの両方を更新する場合の動作例である。図９に実施の形態１にかかるデータの更新手順の第４の例を説明するシーケンス図を示す。図９に示すように、第４の例は、第１の例のステップＳ７～Ｓ１２をステップＳ４１～Ｓ４５に置き換えたものである。なお、パラメータ更新は、整備士がセンターサーバ１００を介して遠隔で行われる場合がある。

　ステップＳ４１では、充電とデータ更新に加えてパラメータの更新に要する時間の予測時間を計算する。そして、センターサーバ１００は、充電スタンド２００の表示部２１にステップＳ４１で算出した予測時間を表示させる（ステップＳ４２）。続いて、ユーザーは、充電スタンド２００に充電、パラメータ更新及びデータ更新のいずれも実行することを指示する（ステップＳ４３）。このユーザーからの指示に応じて、充電スタンド２００は、充電を行うとともに、パラメータとソフトウェアの更新を行う（ステップＳ４４）。そして、ステップＳ４４の処理がすべて完了したことに応じて充電スタンド２００は、処理が完了したことをユーザーに通知する（ステップＳ４５）。

　ここで、ステップＳ４４のパラメータ及びデータ更新では、更新後の状態の正当性検証を行うことができる。そこで、図１０に実施の形態１にかかるパラメータの更新において正当性検証が行われる場合の手順の一例を説明するシーケンス図を示す。

　図１０に示す例は、ステップＳ４４内で行われる処理である。図１０に示すように、ステップＳ４４では、まず充電スタンド２００がセンターサーバ１００から更新対象のソフトウェアをダウンロードする（ステップＳ５０）。そして、充電スタンド２００が車両４００への充電と同時に、ダウンロードしたソフトウェアを車両４００に与えてデータ更新を行う（ステップＳ５１）。そして、この更新が完了（ステップＳ５２）したことに応じて、充電スタンド２００が車両４００から車体データを読み出し、センターサーバ１００に現状の車体データを送信する（ステップＳ５３）。車両４００からダウンロードした車体データを参照しながら整備士等がパラメータの設定値を決定する（ステップＳ５４）。その後、センターサーバ１００から充電スタンド２００に更新対象のパラメータがダウンロードされる。その後、充電スタンド２００はダウンロードしたパラメータを車両４００に伝送し、車両４００がパラメータを更新する（ステップＳ５５）。その後、車両４００は、少なくとも機器故障診断データを含む車体データをセンターサーバ１００に送信する（ステップＳ５６）。

　その後、センターサーバ１００では、演算部１０１で実行されるプログラムによりパラメータ設定の正当性を検証する正当性診断処理が行われる（ステップＳ５７）。ここで、正当性を確認する手段としては、パラメータ変更後の車両状態（車両の駆動モータ音）を診断士が確認する手段が一例として挙げられる。そして、パラメータ設定の正当性に問題が無ければ、センターサーバ１００はパラメータ設定の正当性の検証の完了を充電スタンド２００に通知し（ステップＳ５８）、充電スタンド２００はステップＳ４５として処理の完了をユーザーに通知する。このようにパラメータ設定の正当性を検証することにより、データ更新の正当性確認を行うことができる。

　上記説明より、実施の形態１にかかるデータ更新システム１では、充電スタンド２００に表示される認証コードと、利用者端末３００内で生成される利用者情報及び位置情報と、により多段階認証を行うことができ、車両４００に正当性を欠くセキュリティレベルの低いソフトウェアがインストールされることを防止することができる。例えば、権限を持たないユーザーの利用者端末からセンターサーバ１００へのアクセスが有った場合に車体データが更新されることを防止することができる。また、性器の充電スタンド以外の位置からセンターサーバ１００へアクセスが有った場合に車体データが更新されることを防止することもできる。つまり、データ更新システム１を用いることで、車両４００に搭載されているソフトウェアのセキュリティレベルを向上させることができる。

　また、データ更新システム１では、充電とともにソフトウェアの更新を行うことで充電不足からデータ更新が停止することを防止することができる。

　また、車両４００では、接続経路に応じてアクセス可能な情報格納領域に制限がかけられているため、要認証データ格納領域４３に格納されているソフトウェアのセキュリティレベルを高めることができる。

　また、データ更新システム１において、通信線と充電ケーブルを一体化することで、ユーザーが扱うケーブルを１本にすることができるため、利便性が高まる。さらに、データ更新システム１では、ソフトウェアの更新に要する時間を提示して、ソフトウェアの更新を行うか否かをユーザーが選択することで、車両を使用しない時間がデータ更新に十分とは言えない時間にデータ更新が行われ、ユーザーに不利益を感じさせることを防止することができる。

　実施の形態２
　実施の形態２では、事前に充電スタンド２００に更新対象のデータ（例えば、ソフトウェア）をダウンロードする例について説明する。そこで、図１１に実施の形態２にかかるデータの更新手順を説明するシーケンス図を示す。

　図１１に示すように、実施の形態２では、図６に示した第１の例のステップＳ１の処理の前にステップＳ６１～Ｓ６３の処理が追加される。また、実施の形態２では、図６に示した第１の例のステップＳ１０のダウンロード処理を行わない。センターサーバ１００は、ユーザーが利用する利用者端末３００にデータ更新が有ることを通知する（ステップＳ６１）。そしてユーザーは、利用者端末３００に通知された内容に基づき充電スタンド２００に対してデータ更新を予約する（ステップＳ６２）。そして、充電スタンド２００は、ステップＳ６２の予約に基づきセンターサーバ１００から更新対象のソフトウェアをダウンロードする（ステップＳ６３）。

　このように、事前に更新対象のソフトウェアを充電スタンド２００にダウンロードしておくことでデータ更新に要する時間を短縮することができる。なお、実施の形態２では、データ更新を予約する充電スタンド２００が予め特定できていることが好ましい。特に、自宅に設けられる充電スタンドがあれば、このように事前にソフトウェアをダウンロードしておく充電スタンド２００を特定することが容易であり、自宅設置型の充電スタンド２００を有するデータ更新システム１において実施の形態２の例は特に有用である。

　なお、本発明は上記実施の形態に限られたものではなく、趣旨を逸脱しない範囲で適宜変更することが可能である。

　１　データ更新システム
　１００　センターサーバ
　１１　認証処理部
　１２　配信処理部
　１３　データベース
　１４　パラメータ格納部
　１５　ソフトウェア格納部
　１０１　演算部
　１０２　記憶部
　１０３　通信インタフェース
　２００　充電スタンド
　２１　表示部
　２２　認証コード提供処理部
　２３　更新処理部
　２４　通信線インタフェース
　２０１　演算部
　２０２　記憶部
　２０３　通信インタフェース
　２０５　充電インタフェース
　３００　利用者端末
　３０１　演算部
　３０２　記憶部
　３０３　通信インタフェース
　３０４　表示部
　３０５　撮影部
　４００　車両
　４１　認証不要データ格納領域
　４２　車体データ格納領域
　４３　要認証データ格納領域
　４０１　アクセスガード部
　４０２　接続形態認識部
　４０３　アクセス制御部
　４０４　アクセス制御部
　４０５　アクセス制御部
　４０６　ＵＳＢ接続口
　４０７　無線通信インタフェース
　４０８　充電ケーブル接続口
　５０　ＵＳＢインタフェース
　６０　ＯＴＡインタフェース

Claims (15)

1. 　ユーザーが操作する利用者端末と、
   　認証処理及びデータの配信を行うセンターサーバと、
   　車両に接続される充電ケーブル及び前記車両とデータ通信を行う通信線と、を備え、前記車両に対して充電を行う充電スタンドと、
   　を有し、
   　前記利用者端末は、
   　充電スタンドにより提供される認証コードを少なくとも含む認証情報を前記センターサーバに送信する認証要求処理を行い、
   　前記センターサーバは、
   　前記認証情報の正当性を確認する認証処理と、
   　前記認証処理が合格したことに応じて、前記充電スタンドに更新対象の前記データをダウンロードさせる配信処理と、を行い、
   　前記充電スタンドは、
   　前記車両に前記充電ケーブルが接続されたことに応じて、前記認証コードを提供する認証コード提供処理と、
   　ダウンロードした前記データを前記通信線を介して更新対象車両に与えることで前記更新対象車両のデータを更新するデータ更新処理と、を行うデータ更新システム。
2. 　前記充電ケーブルと前記通信線は一体化されている請求項１に記載のデータ更新システム。
3. 　前記センターサーバは、前記認証処理が合格したことに応じて、データ更新に要する時間と、前記充電スタンドが前記車両に充電を行う充電処理に要する時間と、のそれぞれの予測時間を算出し、前記充電スタンドの表示部又は前記利用者端末に表示させる請求項１に記載のデータ更新システム。
4. 　前記充電スタンドは、前記ユーザーが前記利用者端末又は前記充電スタンドに備え付けられる表示部に表示される選択画面から前記データ更新処理の実行を選択した場合に前記データを前記車両に与える請求項１に記載のデータ更新システム。
5. 　前記認証コードは、前記センターサーバにより更新されるワンタイムパスワードである請求項１に記載のデータ更新システム。
6. 　前記センターサーバは、データの更新後に前記車両が動作することで生成される車体データを取得して、データ更新後の状態の正当性を検証する正常性診断処理を行う請求項１に記載のデータ更新システム。
7. 　前記車両は、
   　外部の装置又は媒体との接続形態を認識して、当該接続形態の違いに応じてアクセス範囲を制御するアクセスガード部を有する請求項１に記載のデータ更新システム。
8. 　前記アクセスガード部は、前記接続形態として、前記充電スタンドに設けられた前記通信線による有線接続、及び無線接続を少なくとも認識する請求項７に記載のデータ更新システム。
9. 　前記車両は、第１の情報蓄積部、第２の情報蓄積部及び第３の情報蓄積部を有し、
   前記アクセスガード部は、
   　前記充電スタンドに設けられた前記通信線による有線接続以外で、かつ、無線接続以外の接続形態を認識した場合に、前記第２の情報蓄積部へのアクセスを制限し、
   　前記充電スタンドに設けられた前記通信線による有線接続以外の接続形態を認識した場合に、前記第３の情報蓄積部へのアクセスを制限する請求項７に記載のデータ更新システム。
10. 　前記第１の情報蓄積部には、前記センターサーバによる認証が不要なデータが蓄積され、
    　前記第２の情報蓄積部には、前記車両の状態及び前記車両の状態の履歴を示すデータが蓄積され、
    　前記第３の情報蓄積部には、前記センターサーバによる前記認証処理が合格した場合にアクセスが可能なデータが蓄積される請求項９に記載のデータ更新システム。
11. 前記センターサーバは、前記利用者端末に前記データの更新が必要であることを通知する請求項１に記載のデータ更新システム。
12. 　前記充電スタンドは、
    　前記利用者端末により前記データを更新することを通知された場合には、予め前記センターサーバから前記データをダウンロードし、
    　前記通信線が前記更新対象車両に接続され、かつ、前記認証処理が合格した場合に、ダウンロード済みの前記データを前記車両に与える請求項１に記載のデータ更新システム。
13. 　前記認証情報には、さらに、事前に登録した利用者情報と、充電スタンド及び利用者端末の位置情報と、を含む請求項１に記載のデータ更新システム。
14. 　センターサーバと、充電スタンドと、利用者端末と、を有するデータ更新システムにおいて、各装置内の演算部で実行されるデータ更新プログラムであって、
    　前記利用者端末で実行される第１のプログラムは、
    　前記充電スタンドに表示される認証コードを少なくとも含む認証情報を前記センターサーバに送信する認証要求処理を、行い、
    　前記センターサーバで実行される第２のプログラムは、
    　前記認証情報の正当性を確認する認証処理と、
    　前記認証処理が合格したことに応じて、前記充電スタンドに更新対象のデータをダウンロードさせる配信処理と、を行い、
    　前記充電スタンドは、
    　車両に接続される充電ケーブル及び前記車両とデータ通信を行う通信線と、を備え、
    　前記充電スタンドで実行される第３のプログラムは、
    　前記車両に前記充電ケーブルが接続されたことに応じて、前記認証コードを提供する認証コード提供処理と、
    　ダウンロードした前記データを前記通信線を介して更新対象車両に与えるデータ更新処理と、を行うデータ更新プログラム。
15. 　センターサーバと、充電スタンドと、利用者端末と、を有するデータ更新システムにおけるデータ更新方法であって、
    　前記利用者端末において、
    　前記充電スタンドに表示される認証コードを少なくとも含む認証情報として前記センターサーバに送信する認証要求処理を、行い、
    　前記センターサーバにおいて、
    　前記認証情報の正当性を確認する認証処理と、
    　前記認証処理が合格したことに応じて、前記充電スタンドに更新対象のデータをダウンロードさせる配信処理と、を行い、
    　前記充電スタンドは、
    　車両に接続される充電ケーブル及び前記車両とデータ通信を行う通信線と、を備え、
    　前記充電スタンドにおいて、
    　前記車両に前記充電ケーブルが接続されたことに応じて、前記認証コードを提供する認証コード提供処理と、
    　ダウンロードした前記データを前記通信線を介して更新対象車両に与えるデータ更新処理と、を行うデータ更新方法。

Images