発明の名称 ：

センター装置、 データ配信システム及び制限実施プログラム

関連出願の相互参照

[0001] 本出願は、 201 9年2月 25日に出願された日本出願番号 201 9— 0

3 1 596号に基づくもので、 ここにその記載内容を援用する。

技術分野

[0002] 本開示は、 センター装置、 データ配信システム及び制限実施プログラム に 関する。

背景技術

[0003] 近年、 通信ネッ トワークの進展等に伴い、 コネクッテッ ドカーの技術が普 及している。 コネクッテッ ドカーの技術を利用し、 センター装置から車両側 にデータを無線で配信する構成が供されてい る。 例えば特許文献 1 には、 セ ンター装置において、 リブログデータを車両側に無線で配信し、 車載の電子 制御装置 (以下、 ECU (Electronic Control Unit) ) のアプリプログラム を更新する構成が開示されている。

先行技術文献

特許文献

[0004] 特許文献 1 :特開 201 0- 1 9 1 786号公報

発明の概要

[0005] センター装置がデータを車両側に配信する構 成では、 その配信済みのデー 夕に不具合が検知されると、 その不具合により被害が発生することが想定 さ れる。 そのため、 センター装置においては、 配信済みのデータに不具合が検 知された場合の対処として、 その不具合による被害の影響を極力回避し得 る 処置を行うことが望まれる。

[0006] 本開示は、 配信済みのデータに不具合が検知された場合 に、 その不具合に よる被害の影響を適切に回避することを目的 とする。 \¥0 2020/174981 卩（：170? 2020 /002967

［0007］ 本開示の一態様によれば、 配信制御部は、 車両側へのデータ配信を制御す る。 不具合検知部は、 配信済みのデータの不具合を検知する。 制限実施部は 、 配信済みのデータの不具合が不具合検知部に より検知されると、 その不具 合が検知されたデータの機能や性能の制限を 車両側に実施させる。

［0008］ 配信済みのデータの不具合が検知されると、 その不具合が検知されたデー 夕の機能や性能の制限を車両側に実施させる ようにした。 不具合が検知され たデータの機能や性能の制限を車両側に実施 させることで、 その不具合によ る被害の影響を適切に回避することができる 。

図面の簡単な説明

［0009］ 本開示についての上記目的及びその他の目的 、 特徴や利点は、 添付の図面 を参照しながら下記の詳細な記述により、 より明確になる。 その図面は、

［図 1］図 1は、 一実施形態の全体構成を示す図であり、

［図 2］図 2は、 処理の流れを示す図 （その 1） であり、

［図 3］図 3は、 処理の流れを示す図 （その 2） であり、

［図 4］図 4は、 車両情報及び外部情報を示す図であり、

［図 5］図 5は、 グループ分けを示す図であり、

［図 6］図 6は、 機能や性能の制限を示す図であり、

［図 7］図 7は、 処理の流れを示す図 （その 3） であり、

［図 8］図 8は、 制限モード通知の配信先を示す図である。 発明を実施するための形態

［0010］ 以下、 一実施形態について図面を参照して説明する 。 データ配信システム は、 センター装置が車両側にデータを無線で配信 するシステムである。 本実 施形態では、 センター装置から車両側に配信されるデータ として、 例えば車 両に搭載されている巳〇 IIの車両制御や診断等に使用されるアプリプ� ��グラ ムを更新するためのリプログデータを例示す る。 ここでいうリプログデータ とは、 巳〇 IIのハードウェア （物理的な機械） がアプリプログラムを実行し て巳〇 IIの動作を制御するために必要なソフトウェ� ��を含む。

［001 1］ 図 1 に示すように、 データ配信システム 1は、 リブログデータを車両側に \¥0 2020/174981 3 卩（：170? 2020 /002967

配信するセンター装置 2と、 リプログデータをセンター装置 2に提供するキ ャンべーン管理者により管理されるキャンペ ーン管理者端末 3と、 車両に搭 載されている車両側システム 4と、 ユーザが携帯可能な携帯端末 5とを有す る。 携帯端末 5は、 例えば W e bブラウザを有するスマートフォンやタブレ ッ ト等である。 センター装置 2、 キャンペーン管理者端末 3、 車両側システ ム 4及び携帯端末 5は、 通信ネッ トワーク 6を介してデータ通信可能に構成 されている。 通信ネッ トワーク 6は、 L P W A (Low Power W i de Area) の通 信方式に準拠した通信ネッ トワーク、 L T E (Long Term Evo lut i on) の通信 方式に準拠した通信ネッ トワークを含む。 センター装置 2と車両側システム 4及び携帯端末 5とは 1対複数の関係にあり、 センター装置 2は、 不特定多 数の車両側システム 4及び携帯端末 5とデータ通信可能であり、 リプログデ —夕を不特定多数の車両側システム 4及び携帯端末 5に配信可能である。

[0012] キャンペーン管理者端末 3は、 センター装置 2から車両側に配信されるリ プログデータを管理し、 例えば機能向上やバグ改修等によりリプログ データ の配信イベントが成立すると、 キャンペーン情報をセンター装置 2に送信す る。

[0013] センター装置 2は、 キャンペーン管理者端末 3から送信されたキャンべ一 ン情報を受信すると、 リプログデータの配信を知らせるキャンぺー ン通知を 車両側システム 4や携帯端末 5に配信する。

[0014] 車両側システム 4は、 車両用マスタ装置 7を有する。 車両用マスタ装置 7 は、 車載通信機 8とゲートウヱイ装置 9とを有し、 車載通信機 8とゲートウ ェイ装置 9とがデータ通信可能に接続されている。 車載通信機 8は、 センタ —装置 2との間で通信ネッ トワーク 6を介してデータ通信を行う。 車載通信 機 8は、 センター装置 2からリブログデータをダウンロードすると� � そのダ ウンロードしたリプログデータをゲートウェ イ装置 9に転送する。

[0015] ゲートウェイ装置 9には、 バス 1 0を介して車両用 H M 丨 (Human Mach i ne

Interface) 装置 1 2が接続されており、 バス 1 1 を介して各種 E C U 1 3 が接続されている。 車両用 H M 丨装置 1 2は、 H M 丨機能を有し、 各種画面 \¥0 2020/174981 4 卩（：170? 2020 /002967

を表示する機能及びユーザの操作を受付け る機能を有する。 バス 1 1は、 例 えば走行系ネッ トワークのバスであり、 走行系の制御を行う巳〇 IIが接続さ れている。 走行系の制御を行う日（3 IIは、 例えばアクセルの駆動を制御する アクセル巳〇 II、 ブレーキの駆動を制御するブレーキ巳〇 II、 ステアリング の駆動を制御するステアリング巳（3 II、 自動運転機能を制御する自動運転巳 〇 II等である。 バス 1 1は、 走行系ネッ トワークのバスの他に、 例えばボデ ィ系ネッ トワークのバスやマルチメディア系ネッ トワークのバス等であって も良く、 ボディ系の制御を行う巳〇 IIやマルチメディア系の制御を行う巳〇 リが接続されていても良い。 バス 1 1の種別や本数、 巳（3 11 1 3の種別や個 数は、 例示した構成に限らない。

[0016] ゲートウェイ装置 9は、 データ中継機能を有し、 車載通信機 8からリプロ グデータが転送されると、 その転送されたリブログデータを、 配信先として 指定されている巳〇 II 1 3に配信する。 巳〇 II 1 3は、 ゲートウェイ装置 9 からリプログデータを受信すると、 その受信したリプログデータをフラッシ ュメモリに書込む。 巳〇 II 1 3は、 リプログデータをフラッシュメモリに書 込むことで、 アプリプログラムを更新し、 アプリプログラムの機能向上やバ グ改修を行う。

[0017] 上記した構成では、 携帯端末 5及び車両用1 ^~ 1 1\/1 丨装置 1 2は、 それぞれセ ンター装置 2から配信されたキャンぺーン通知を受信す� �と、 キャンペーン 通知画面を表示し、 センター装置 2からリプログデータをダウンロード可能 であることを示すキャンペーン情報をユーザ に通知する。 ユーザは、 キャン ぺーン通知画面が携帯端末 5や車両用 1 ^~ 1 IV! 丨装置 1 2に表示されると、 アブ リプログラムの更新の手続きを各種画面で確 認し、 必要事項を入力したり選 択したりすることで、 アプリプログラムの更新の手続きを可能であ る。 即ち 、 ユーザは、 車室外と車室内とで携帯端末 5と車両用1 ^~ 1 1\/1 I装置 1 2とを使 い分け、 アプリプログラムの更新の手続きを可能であ る。 ユーザは、 乗車中 であれば車両用 1 ^~ 1 IV! 丨装置 1 2からアプリプログラムの更新の手続きを可� � であり、 乗車中でなくても携帯端末 5を所有していれば携帯端末 5からアブ \¥0 2020/174981 5 卩（：170? 2020 /002967

リプログラムの更新の手続きを可能である 。 尚、 アプリプログラムの更新に 緊急性を伴う場合には、 キャンペーン通知画面を表示せず、 ユーザがアプリ プログラムの更新の手続きを行わなくとも、 センター装置 2からリブログデ —夕をダウンロードしても良い。

[0018] センター装置 2は、 制御部 1 4と、 データ通信部 1 5と、 キャンペーン情 報記憶部 1 6と、 ユーザ情報記憶部 1 7と、 車両情報記憶部 1 8と、 外部情 報記憶部 1 9とを有する。 本実施形態では、 これらの記憶部 1 6〜 1 9がセ ンター装置 2の内部に設けられている構成を例示してい� �が、 これらの記憶 部 1 6〜 1 9がセンター装置 2とは別の外部サーバに設けられている構成� � も良く、 センター装置 2と外部サーバとがデータ通信を行う構成で� �良い。 データ通信部 1 5は、 キャンペーン管理者端末 3、 車両側システム 4、 携 帯端末 5との間で通信ネッ トワーク 6を介してデータ通信を行う。

[0019] キャンペーン情報記憶部 1 6は、 配信対象のリブログデータに関する各種 情報をキャンペーン情報として記憶すると共 に、 リプログデータを記憶する 。 キャンペーン情報は、 配信先、 データ配信量、 リブログデータの種別等を 含み、 キャンぺーン管理者端末 3からセンター装置 2に送信されることでキ ャンべーン情報記憶部 1 6に記憶される。 リブログデータは、 キャンペーン 管理者端末 3からセンター装置 2に送信されることでキャンペーン情報記憶 に記憶される。

[0020] ユーザ情報記憶部 1 7は、 車両の所有者であるオーナに関する各種情報 を ユーザ情報として記憶する。 ユーザ情報は、 車両に固有に付与されている車 両識別番号 (以下、 V I N (Veh i c le Ident i f i cat i on Number) と称する) 、 その車両に搭載されている車載通信機 8の電話番号、 ユーザが所有する携帯 端末 5の電話番号等を含む。 ユーザ情報は、 例えばユーザが車両購入時に車 両用 H M 丨装置 1 2により登録操作を行い、 車両用マスタ装置 7からセンタ —装置 2に送信されることでユーザ情報記憶部 1 7に記憶される。

[0021 ] 車両情報記憶部 1 8は、 車両に関する各種情報を車両情報として記憶 する 。 車両情報は、 車両ログを示すログ情報、 車両位置を示す位置情報を含む。 \¥02020/174981 6 卩（：170? 2020 /002967

車両ログとは、 例えばエンジンのオン時刻、 エンジンのオフ時刻、 アクセル の操作時刻や操作量、 ブレーキの操作時刻や操作量、 ステアリングの操作時 刻や操作量等である。 車両情報は、 車両用マスタ装置 7からセンター装置 2 に送信されることで車両情報記憶部 1 8に記憶される。

[0022] 外部情報記憶部 1 9は、 車両外部から取得される各種情報を外部情報 とし て記憶する。 外部情報は、 例えば地図情報、 気象情報、 道路情報、 S NS (S ocial Networking Service) 情報等を含む。 地図情報は、 地図情報配信サー バからセンター装置 2に送信されることで外部情報記憶部 1 9に記憶される 。 気象情報は、 天気、 降水量、 降雪量、 風速、 風向等の気象全般に関する情 報であり、 気象情報配信サーバからセンター装置 2に送信されることで外部 情報記憶部 1 9に記憶される。 道路情報は、 路面状況、 交通状況等の道路全 般に関する情報であり、 道路情報配信サーバからセンター装置 2に送信され ることで外部情報記憶部 1 9に記憶される。 S N S情報は、 フェイスブック (F a c e b o o k) 、 ツイッター (Tw i t t e r、 登録商標) 、 インス タグラム (丨 n s t a g r am) 等のアプリにより不特定多数のユーザから 提供される情報であり、 例えば S N Sサービスを提供する機関において不特 定多数のユーザから提供された情報を集約し 、 その集約した情報をオペレー 夕がセンター装置 2に登録することで外部情報記憶部 1 9に記憶される。

[0023] 制御部 1 4は、 C P U (Central Processing Unit) 、 ROM (Read Only Memory) 、 RAM (Random Access Memory) 等を含むマイコンを有し、 非遷 移的実体的記憶媒体に格納されている制御プ ログラムを実行して各種処理を 行い、 センター装置 2の動作を制御する。 制御部 1 4が実行する制御プログ ラムには、 制限実施プログラムが含まれる。 制御部 1 4は、 配信制御部 1 4 aと、 車両情報取得部 1 4 bと、 車両情報解析部 1 4 cと、 外部情報取得部 1 4 dと、 外部情報解析部 1 4 eと、 不具合検知部 1 4 f と、 制限実施部 1 4 gと、 グループ分け部 1 4 hとを有する。

[0024] 配信制御部 1 4 aは、 車両側へのリプログデータの配信を制御する 。 車両 情報取得部 1 4 bは、 車両情報記憶部 1 8に記憶されている車両情報を取得 \¥0 2020/174981 7 卩（：170? 2020 /002967

する。 車両情報解析部 1 は、 車両情報が車両情報取得部 1 4により取得 されると、 その取得された車両情報を解析する。 即ち、 車両情報解析部 1 4 〇は、 車両情報が車両用マスタ装置 7からセンター装置 2に定期的に送信さ れ、 車両情報記憶部 1 8に記憶される車両情報が定期的に更新され� �ことで 、 最新の車両情報を解析する。 外部情報取得部 1 4 は、 外部情報記憶部 1 9に記憶されている外部情報を取得する。 外部情報解析部 1 4 ₆ は、 外部情 報が外部情報取得部 1 4 により取得されると、 その取得された外部情報を 解析する。 即ち、 外部情報解析部 1 4 ₆ は、 外部情報が外部情報配信サーバ からセンター装置 2に定期的に送信され、 外部情報記憶部 1 9に記憶される 外部情報が定期的に更新されることで、 最新の外部情報を解析する。

[0025] 不具合検知部 1 4チは、 車両情報が車両情報解析部 1 4〇により解析され 、 外部情報が外部情報解析部 1 4 ₆ により解析されると、 それらの解析結果 から不具合を検知するアルゴリズムを構築し 、 その構築したアルゴリズムを 用いて配信済みのリブログデータの不具合を 検知する。 不具合検知部 1 4干 は、 例えばブレーキ巳〇 IIの自動ブレーキ作動の頻度が平常時よりも� ��かっ たり自動運転巳（3 IIの自動操舵異常の頻度が平常時よりも高か� ��たりすると 、 ブレーキ巳〇11や自動運転巳〇11の動作異常� �検知し、 ブレーキ巳〇11や 自動運転巳（3 IIに配信済みのリプログデータの不具合を検� ��する。

[0026] 制限実施部 1 4 9は、 配信済みのリプログデータの不具合が不具合 検知部

1 4干により検知されると、 その不具合が検知されたリブログデータの機 能 や性能の制限を指定するコマンドを車両用マ スタ装置 7に配信させる。 リブ ログデータの構成として、 機能や性能のオンオフが外部から指定される と、 その指定された機能や性能をオンオフ可能で あれば、 制限実施部 1 4 9は、 配信済みのリプログデータの機能や性能をオ ン中に、 配信済みのリプログデ —夕の機能や性能のオフを指定するコマンド を車両用マスタ装置 7に配信さ せることで、 その不具合が検知されたリプログデータの機 能や性能の制限を 車両用マスタ装置 7に実施させる。

[0027] 制限実施部 1 4 9は、 車両が走行状態であるか否かを判定し、 その判定結 \¥0 2020/174981 8 卩（：170? 2020 /002967

果にしたがって機能や性能の制限を車両用 マスタ装置 7に実施させる。 即ち 、 制限実施部 1 4 9は、 車両走行に影響を及ぼさない機能や性能の制 限であ れば、 その機能や性能の制限を車両走行中に行って も、 車両走行に影響が及 ばないが、 車両走行に影響を及ぼす機能や性能の制限を 車両走行中に行って しまうと、 車両走行に影響が及ぶことが懸念されるので 、 車両走行に影響を 及ぼす機能や性能の制限を車両駐車中に行う 。

[0028] グループ分け部 1 4 は、 機能や性能を制限する内容に応じて制限対象 を グループ分けする。 グループ分け部 1 4 は、 例えば車両環境が異なると、 発生条件に応じて不具合が発生する確率が異 なるため、 安全への危険度が異 なり、 危険度が異なる車両同士では機能や性能を制 限する内容が異なる事情 から、 制限対象をグループ分けする。 制限実施部 1 4 9は、 制限対象がグル —プ分け部 1 4 1 ^* 1によりグループ分けされると、 そのグループ分けされたグ ループにしたがってリプログデータの機能や 性能の制限を車両用マスタ装置 7に実施させる。

[0029] 次に、 上記した構成の作用について図 2から図 8を参照して説明する。

図 2に示すように、 キャンべーン管理者端末 3は、 リブログデータの配信 イベントが成立すると、 キャンペーン情報及びリプログデータをセン ター装 置 2に送信する （3 1） 。 センター装置 2において、 制御部 1 4は、 キャン ぺーン管理者端末 3から送信されたキャンぺーン情報及びリプ� �グデータが 受信されると、 その受信されたキャンペーン情報及びリプロ グデータをキャ ンぺーン情報記憶部 1 6に記憶させる。 制御部 1 4は、 配信開始指示を判定 すると （3 2） 、 キャンペーン通知を車両用マスタ装置 7に配信させる （3

3） 。

[0030] 車両用マスタ装置 7は、 センター装置 2から配信されたキャンペーン通知 を受信すると、 キャンペーン表示指示を車両用1 ^~ 1 1\/1 丨装置 1 2に送信し （3

4） 、 車両用1 ^~ 1 1\/1 丨装置 1 2においてキャンペーン通知画面を表示させ （3

5） 、 リブログデータのダウンロードの開始を許可 するか否かの選択をユー ザに促す。 車両用! ^~ 1 1\/1 丨装置 1 2は、 リブログデータをダウンロードの開始 \¥0 2020/174981 9 卩（：170? 2020 /002967

を許可する旨をユーザが選択すると （3 6） 、 その操作内容を車両用マスタ 装置 7に送信する （3 7） 。 車両用マスタ装置 7は、 車両用1 ^~ 1 1\/1 I装置 1 2 から操作内容を受信すると、 ダウンロード許可をセンター装置 2に送信する （3 8） ₀

[0031 ] センター装置 2において、 制御部 1 4は、 車両用マスタ装置 7から送信さ れたダウンロード許可が受信されると、 キャンペーン情報記憶部 1 6からリ プログデータを取得し （3 9 , 3 1 0） 、 その取得したリブログデータを車 両用マスタ装置 7に配信させる （3 1 1） 。

[0032] 車両用マスタ装置 7は、 センター装置 2からリブログデータをダウンロー ドした以降では、 車両情報をセンター装置 2に定期的に送信する （3 1 2）

。 センター装置 2において、 制御部 1 4は、 車両用マスタ装置 7から送信さ れた車両情報が受信されると、 その受信された車両情報を車両情報記憶部 1 8に記憶させる。 制御部 1 4は、 車両情報記憶部 1 8に記憶されている車両 情報を定期的に監視する （3 1 3） 。

[0033] 地図情報配信サーバ、 気象情報配信サーバ、 道路情報配信サーバ等を含む 外部情報配信サーバは、 外部情報として地図情報、 気象情報、 道路情報を定 期的に送信する （3 1 4） 。 センター装置 2において、 制御部 1 4は、 車両 用マスタ装置 7から送信された外部情報が受信されると、 その受信された外 部情報を外部情報記憶部 1 9に記憶させる。 制御部 1 4は、 外部情報記憶部 1 9に記憶されている外部情報を定期的に監視� �る （3 1 5） 。 制御部 1 4 は、 これら車両情報及び外部情報を定期的に監視 し、 これら車両情報及び外 部情報を解析して不具合を検知するアルゴリ ズムを構築し、 その構築したア ルゴリズムを用いて配信済みのリプログデー タの不具合を検知する。

[0034] 尚、 以上は、 外部情報配信サーバからセンター装置 2に外部情報として地 図情報、 気象情報、 道路情報が定期的に送信される場合を説明し たが、 図 3 に示すように、 例えば 3 3サービスを提供する機関において不特定多� �の ユーザから提供された 3 3情報を集約し、 その集約した 3 3情報がオペ レータからセンター装置 2に登録されても良い （3 2 1） 。 \¥0 2020/174981 10 卩（：170? 2020 /002967

[0035] 制御部 1 4は、 配信済みのリプログデータの不具合を以下の ようにして検 知する。 制御部 1 4は、 図 4に示すように、 車両情報及び外部情報として、 例えば車両毎の時間帯、 気象条件、 路面状況、 自動ブレーキ作動、 自動操舵 異常、 地点の関係を解析する。 尚、 図 4の例示において、 車両 の車両位置 を含む 3市、 車両巳の車両位置を含む 13市、 車両 0の車両位置を含む〇市は 、 互いに近接しており、 車両 0の車両位置を含む 市、 車両巳の車両位置を 含む㊀市、 車両 の車両位置を含むチ市は、 互いに近接しているとする。 即 ち、 3市〜〇市では、 気象条件や路面状況が類似しており、 車両 〜車両〇 は、 その気象条件や路面状況よる車両環境が類似 している。 同様に、 市〜 干市では、 気象条件や路面状況が類似しており、 車両 0〜車両 は、 その気 象条件や路面状況による車両環境が類似して いる。

[0036] 制御部 1 4は、 車両環境が類似している車両群について自動 ブレーキの作 動状況や自動操舵の異常状況の傾向が類似し ているか否かを判定し、 グルー プ分けする。 制御部 1 4は、 図 5に示すように、 自動ブレーキの作動状況や 自動操舵の異常状況の傾向が類似している車 両 〜車両 0をグループ とし 、 車両口〜車両 をグループ巳とする。

[0037] 制御部 1 4は、 そのグループ分けしたグループについて自動 ブレーキの作 動状況や自動操舵の異常状況の傾向から機能 や性能の制限レベルを設定し、 モードを設定する。 制御部 1 4は、 図 6に示すように、 グループ八について は、 自動ブレーキ機能をオフにし、 自動操舵機能をオンにするモード 1 を設 定し、 グループ巳については、 自動ブレーキ機能をオフにし、 自動操舵機能 をオフにするモード 2を設定する。

[0038] 図 7に示すように、 センター装置 2において、 制御部 1 4は、 このように して配信済みのリブログデータの不具合を検 知し （不具合検知手順） 、 その 不具合の検知結果にしたがってモードを設定 すると、 制限モード通知を、 該 当するグループに属する車両の車両用マスタ 装置 7に配信させる （制限実施 手順） 。 この場合、 制御部 1 4は、 制限モード通知を、 上記したように機能 や性能のオフを指定するコマンドにより車両 用マスタ装置 7に配信させる。 \¥0 2020/174981 1 1 卩（：170? 2020 /002967

車両用マスタ装置 7は、 センター装置 2から配信された制限モード通知を受 信すると、 その受信した制限モード通知にしたがって該 当する巳〇 IIの機能 や性能を制限する。

[0039] 制御部 1 4は、 モード 1への移行指示を示す制限モード通知をグル� �プ八 に属する車両の車両用マスタ装置 7に配信させる （3 3 1） 。 グループ八に 属する車両の車両用マスタ装置 7は、 センター装置 2から配信された制限モ -ド通知を受信すると、 その受信した制限モード通知にしたがって自 動ブレ —キ機能オフをブレーキ巳〇11に送信し （3 3 2） 、 ブレーキ巳〇11の自動 ブレーキ機能をオフさせる。 グループ八に属する車両は、 このようにしてブ レーキ巳〇11の自動ブレーキ機能がオフされ� ��ことで、 不具合が検知された リブログデータによりブレーキ巳（3 IIが誤動作してしまう事態を未然に回避 することができる。

[0040] 又、 制御部 1 4は、 モード 2への移行指示を示す制限モード通知をグル� � プ巳に属する車両の車両用マスタ装置 7に配信させる （3 3 3） 。 グループ 巳に属する車両の車両用マスタ装置 7は、 センター装置 2から配信された制 限モード通知を受信すると、 その受信した制限モード通知にしたがって自 動 ブレーキ機能オフをブレーキ巳〇11に送信し （3 3 4） 、 ブレーキ巳〇11の 自動ブレーキ機能をオフさせ、 自動操舵機能オフを自動運転巳（3 IIに送信し （3 3 5） 、 自動運転巳〇11の自動操舵機能をオフさせる� �� グループ巳に属 する車両は、 このようにしてブレーキ巳〇 IIの自動ブレーキ機能がオフされ 、 自動運転巳（3 IIの自動操舵機能がオフされることで、 不具合が検知された リプログデータによりブレーキ巳（3 II及び自動運転巳（3 IIが誤動作してしま う事態を未然に回避することができる。

[0041 ] 以上は、 ブレーキ巳〇11の自動ブレーキ機能をオフさ� ��たり、 自動運転巳 〇 IIの自動操舵機能をオフさせたりする場合を� ��示したが、 別の巳（3 IIの別 の機能をオフさせる構成でも良い。 又、 以上は、 センター装置 2において、 制限モード通知を、 車両情報を送信した車両の車両用マスタ装置 7に配信さ せる場合を説明したが、 車両情報を送信していない車両の車両用マス タ装置 \¥0 2020/174981 12 卩（：170? 2020 /002967

7に配信させても良い。 図 8に示すように、 センター装置 2において、 制御 部 1 4は、 データ構成が同一のリブログデータを車両 〜車両 0、 車両 〜 車両 に配信させた後に、 車両 〜車両 0から車両情報を受信するが、 何ら かの理由で車両 〜車両 から車両情報を受信しなくても、 制限モード通知 を車両八〜車両 0に送信させることに加え、 制限モード通知を車両 〜車両 8に送信させても良い。

[0042] 以上に説明したように本実施形態によれば、 以下に示す作用効果を得るこ とができる。 センター装置 2において、 配信済みのリブログデータの不具合 が検知されると、 その不具合が検知されたリプログデータの機 能や性能の制 限を車両側に実施させるようにした。 不具合が検知されたリプログデータの 機能や性能の制限を車両側に実施させること で、 その不具合による被害の影 響を適切に回避することができる。

[0043] センター装置 2において、 車両側から車両情報を取得して解析し、 その解 析結果を用いて配信済みのリプログデータの 不具合を検知するようにした。 車両情報を取得して解析することで、 リプログデータの不具合を実際の車両 挙動により検知することができる。

[0044] センター装置 2において、 例えば地図情報、 気象情報、 道路情報、 3 N 3 情報等の外部情報を取得して解析し、 その解析結果を用いて配信済みのリブ ログデータの不具合を検知するようにした。 外部情報として例えば地図情報 、 気象情報、 道路情報等を取得して解析することで、 リブログデータの不具 合を外部情報と関連付けて検知することがで きる。

[0045] センター装置 2において、 不具合が検知されたリプログデータの機能や 性 能の制限を指定するコマンドを車両側に配信 することで、 その不具合が検知 されたリプログデータの機能や性能の制限を 車両用マスタ装置に実施させる ようにした。 機能や性能を制限したリブログデータを配信 する構成では、 セ ンター装置 2から車両側へのデータ配信量が大きくなり� � 通信時間が長くな り、 機能や性能の制限を即座に実施させることが できない虞があるが、 コマ ンドを車両側に配信することで、 センター装置 2から車両側へのデータ配信 \¥0 2020/174981 13 卩（：170? 2020 /002967

量を低減し、 通信時間を低減することができ、 機能や性能の制限を即座に実 施させることができる。

[0046] センター装置 2において、 制限対象をグループ分けし、 グループ分けした グループにしたがって当該不具合が検知され たリプログデータの機能や性能 の制限を車両用マスタ装置に実施させるよう にした。 例えば車両環境が異な る車両同士では機能や性能を制限する内容が 異なる事情から、 制限対象をグ ループ分けすることで、 車両環境に応じてリプログデータの機能や性 能の制 限を車両用マスタ装置 1 2に実施させることができる。

[0047] 本開示は、 実施例に準拠して記述されたが、 当該実施例や構造に限定され るものではないと理解される。 本開示は、 様々な変形例や均等範囲内の変形 をも包含する。 加えて、 様々な組み合わせや形態、 更には、 それらに一要素 のみ、 それ以上、 或いはそれ以下を含む他の組み合わせや形態 をも、 本開示 の範疇や思想範囲に入るものである。

[0048] リプログデータの機能や性能を制限すること として、 機能をオフさせる構 成を例示したが、 例えば機能を有効にするための判定基準とな る閾値を変更 したり、 性能を低減させたりしても良い。

[0049] センター装置 2から車両側に配信されるデータは、 巳〇 IIのアプリプログ ラムを更新するためのリプログデータに限ら ず、 例えば地図データ等であっ ても良い。

[0050] 図 4の例示では、 外部情報として気象情報による気象条件や道 路情報によ る路面状況を解析する場合を例示したが、 例えば機能や性能を制限する程度 が地図情報の道路種別等に関連する場合であ れば、 外部情報として地図情報 の道路種別等を解析し、 道路区分が自動車専用道路であるか一般道路 である か、 道路形状が直線形状であるかカーブ形状であ るか等によりグループ分け しても良い。

[0051 ] 本開示に記載の制御部及びその手法は、 コンピュータプログラムにより具 体化された一つ乃至は複数の機能を実行する ようにプログラムされたプロセ ッサ及びメモリを構成することにより提供さ れた専用コンピュータにより実 \¥0 2020/174981 14 卩（：170? 2020 /002967

現されても良い。 或いは、 本開示に記載の制御部及びその手法は、 一つ以上 の専用ハードウエア論理回路によりプロセッ サを構成することにより提供さ れた専用コンピュータにより実現されても良 い。 若しくは、 本開示に記載の 制御部及びその手法は、 一つ乃至は複数の機能を実行するようにプロ グラム されたプロセッサ及びメモリと一つ以上のハ ードウエア論理回路により構成 されたプロセッサとの組み合わせにより構成 された一つ以上の専用コンピュ —夕により実現されても良い。 又、 コンビュータプログラムは、 コンピュー 夕により実行されるインストラクシヨンとし て、 コンビュータ読み取り可能 な非遷移有形記録媒体に記憶されていても良 い。