-
Die
vorliegende Erfindung betrifft eine Fahrzeugrelaisvorrichtung, welche
eine Kommunikation zwischen einer externen Vorrichtung, die außerhalb eines
Fahrzeugs angeordnet ist, und verschiedenen fahrzeuginternen elektronischen
Vorrichtungen weiterleitet und betrifft ebenso ein Störungsdiagnosesystem
des Fahrzeugs.
-
In
den letzten Jahren hat sich in Fahrzeugen (insbesondere Kraftfahrzeugen)
die Anzahl von fahrzeuginternen elektronischen Vorrichtungen, wie
zum Beispiel Steuervorrichtungen, Informationsvorrichtungen und
Audiovorrichtungen, erhöht.
Weiterhin sind viele fahrzeuginterne elektronische Vorrichtungen,
welche eine Zusammenarbeit mit anderen fahrzeuginternen elektronischen
Vorrichtungen erfordern oder eine Information mit anderen fahrzeuginternen elektronischen
Vorrichtungen gemeinsam nutzen, durch spezielle Kommunikationsleitungen
miteinander verbunden, um ein Informationskommunikationsnetzwerk
bzw. ein fahrzeuginternes LAN aufzubauen, um ein Senden und Empfangen
einer Information zwischen den in fahrzeuginternen elektronischen Vorrichtungen
zuzulassen.
-
Weiterhin
haben in den letzten Jahren externe Netzwerksysteme, welche sich
außerhalb
des Fahrzeugs befinden, einen beträchtlichen Fortschritt erlebt.
Mit dem Fortschritt der externen Netzwerksysteme sind Infrastrukturen
entwickelt worden, welche zulassen, daß fahrzeuginterne Vorrichtungen
eine notwendige Information von au ßerhalb des Fahrzeugs erzielen.
Mit dem Aufkommen von derartigen Infrastrukturen sind viele fahrzeuginterne
Vorrichtungen, von denen jede eine Funkkommunikationsvorrichtung
aufweist, die imstande ist, mit den externen Vorrichtungen zu kommunizieren,
mit dem fahrzeuginternen LAN verbunden worden.
-
Ein
Beispiel einer derartigen fahrzeuginternen Vorrichtung ist ein Fahrzeugnavigationssystem. Das
Fahrzeugnavigationssystem kann mit einer Fahrzeuginformations- und -kommunikationssystem- bzw.
VICS-Funkkommunikationsvorrichtung verbunden sein, das imstande
ist, eine Verkehrsinformation zu empfangen, die von einem VICS zugeführt wird. Das
Fahrzeugnavigationssystem kann ebenso mit einem Funktelefon verbunden
sein, das imstande ist, zum Beispiel eine Information bezüglich eines
in der Nähe
gelegenen Geschäfts
durch das Internet oder dergleichen zu erzielen. Ein weiteres Beispiel
ist eine fahrzeuginterne elektronische Mautkassier- bzw. ETC-Vorrichtung,
die mit einer ETC-Funkkommunikationsvorrichtung verbunden ist. Die
ETC-Funkkommunikationsvorrichtung ist imstande, mit einem ETC-System
zu kommunizieren, das sich außerhalb des
Fahrzeugs befindet.
-
Bei
den zuvor vorgeschlagenen fahrzeuginternen LANs ist die Funkkommunikationsvorrichtung, über welche
verschiedene externe Informationen empfangen werden, direkt mit
der Vorrichtung verbunden, welche primär diese besondere externe Information
verwendet. Dies führt
zu verschiedenen Nachteilen. Zum Beispiel kann in einem Fall die Funkkommunikationsvorrichtung
nicht an einer erwünschten
Stelle in dem Fahrzeug angeordnet werden. In einem weiteren Fall
ist eine zusätzliche
Kommunikationsleitung bzw. Verdrahtung erforderlich, um die Funkkommunikationsvorrichtung
mit der entsprechenden Vorrichtung zu verbinden.
-
Um
diesen Nachteilen Rechnung zu tragen, ist es vor stellbar, die Funkkommunikationsvorrichtung
direkt mit dem fahrzeuginternen LAN zu verbinden, so daß die Vorrichtung,
welche in dem LAN angeordnet ist und eine Information erfordert,
die über die
Funkkommunikationsvorrichtung empfangen wird, die Information über die
Funkkommunikationsvorrichtung und das LAN erzielen kann. In diesem Fall
kann ein größerer Freiheitsgrad
bezüglich
eines Anordnens der Funkkommunikationsvorrichtung in dem Fahrzeug
erzielt werden und kann die Anzahl von Kommunikationsleitungen vorteilhaft
verringert werden.
-
Jedoch
kann bei einem derartigen Aufbau auf jede Vorrichtung, die mit dem
fahrzeuginternen LAN verbunden ist, über die Funkkommunikationsvorrichtung
von außerhalb
des Fahrzeugs zugegriffen werden. Daher werden verschiedene Nachteile, wie
zum Beispiel einer, der ähnlich
einem nicht autorisierten Zugriff auf ein Netzwerkendgerät ist, verursacht,
was häufig
spät bei
einem Internetdienst zu sehen ist.
-
Weiterhin
ist in den letzten Jahren ein beträchtlicher Fortschritt auf dem
Gebiet der Mechatronik in Verbindung mit dem Fortschritt auf dem
Gebiet der Elektronik, wie zum Beispiel das Aufkommen von hochleistungsfähigen Mikroprozessoren,
gemacht worden. Als Teil des Fortschritts auf dem Gebiet der Mechatronik
sind verschiedene fahrzeuginterne Computersysteme in Fahrzeugen,
wie zum Beispiel Kraftfahrzeugen, vorgesehen worden. Ein derartiges fahrzeuginternes
Computersystem ist vorgesehen, um eine Verbesserung einer Ressourceneinsparung, einer
Energieeinsparung, eines Fahrverhaltens, der Sicherheit, des Komforts
und dergleichen zu erzielen, und ist in ein Motor/Antriebssystem,
ein Fahr/Sicherheitssystem, ein Unterhaltungssystem und dergleichen
eingebaut.
-
Wenn
ein gestörtes
Teil des Fahrzeugs mit einem derartigen fahrzeuginternen Computersystem oder
einer derartigen elektronischen Steuereinheit nicht zweckmäßig identifiziert
werden kann, kann dies ein Problem verursachen (in dem schlimmsten Fall
kann das Fahrzeug nicht fahren). Daher ist ein Störungserfassungsprogramm
zum Erfassen einer Störung
von jeder betroffenen Vorrichtung (die einem Steuern durch die entsprechende
elektronische Steuereinheit unterliegt) in der elektronischen Steuereinheit
vorgesehen, um eine Zuverlässigkeit
eines Erfassens eines gestörten
Teils zu verbessern. Das heißt,
Betriebe der Computer und Sensoren werden periodisch und automatisch überprüft. Wenn
eine Störung
der betroffenen Vorrichtung erfaßt wird, wird eine entsprechende
Information, wie zum Beispiel ein Diagnosecode (zum Beispiel ein
SAE-Code) in der elektronischen Steuereinheit gespeichert.
-
Auf
diese Weise kann ein Kundendiensttechniker die Information, wie
zum Beispiel den Diagnosecode, der in der elektronischen Steuereinheit
gespeichert ist, durch ein Diagnosewerkzeug lesen, um das gestörte Teil
zu identifizieren.
-
Bei
der vorhergehenden Störungserfassung wird
das einzelne Störungserfassungsprogramm
in jeder elektronischen Steuereinheit ausgeführt und wird daher die Störungserfassung
im allgemeinen auf einer Grundlage einer einzelnen elektronischen Steuereinheit
ausgeführt.
-
Jedoch
sind in den letzten Jahren die verschiedenen elektronischen Steuereinheiten
durch das fahrzeuginterne Netzwerksystem miteinander verbunden worden,
um einen zusammenwirkenden Betrieb mit anderen elektronischen Steuereinheiten in
dem Fahrzeug zu erzielen.
-
Daher
könnte
eine Störung
in dem zusammenwirkenden Betrieb zwischen den elektronischen Steuereinheiten
auftreten und kann ein gestörtes Teil,
welches eine derartige Störung
bei den zusammenwirkenden Betrieb verursacht, nicht mit der Information,
die durch das Ausführen
des Störungserfassungsprogramms
erzielt wird und die auf der Grundlage einer einzelnen elektronischen
Steuereinheit vorgesehen wird, identifiziert werden.
-
Weiterhin
erfordert das Identifizieren des gestörten Teils, welches die Störung verursacht,
Expertenwissen, da der zusammenwirkende Betrieb der elektronischen
Steuereinheiten eingebunden ist. Daher ist es schwierig, das gestörte Teil
durch den herkömmlichen
Lösungsweg
eines Verwendens der Information, wie zum Beispiel des Diagnosecodes,
der durch das Diagnosewerkzeug erzielt wird, welches mit der entsprechenden
elektronischen Steuereinheit verbunden ist, zu identifizieren. Als
Ergebnis erfordert eine Reparaturarbeit des Fahrzeugs auch dann, wenn
das Fahrzeug zu einer Tankstelle oder einem Kraftfahrzeughändler gebracht
wird, manchmal eine verhältnismäßig lange
Zeit.
-
Aus
der
DE 43 40 289 A1 ist
eine Fahrzeugrelaisvorrichtung bekannt, welche sich zwischen einem
fahrzeuginternen LAN und einer Kommunikationseinrichtung befindet,
die eine Datenkommunikation mit einer externen Vorrichtung durchführt, die
sich außerhalb
des Fahrzeugs befindet. Das fahrzeuginterne LAN ist dabei in dem
Fahrzeug angeordnet und mit einer Mehrzahl von fahrzeuginternen
Elektronikvorrichtungen verbunden. Die Fahrzeugrelaisvorrichtung
leitet eine Kommunikation zwischen der externen Vorrichtung und
den fahrzeuginternen Elektronikvorrichtungen weiter. Zudem ist eine
Identifizierungseinrichtung vorgesehen, welche eine angeforderte
fahrzeuginterne Elektronikvorrichtung auf der Grundlage einer Zugriffsan forderung
von der externen Vorrichtung identifiziert und bestimmt, ob die
Zugriffsanforderung eine Authentisierung der externen Vorrichtung
erfordert. Weiter ist eine Authentisierungseinrichtung vorgesehen,
die bestimmt, ob die externe Vorrichtung autorisiert ist, auf die
fahrzeuginternen Elektronikvorrichtungen zuzugreifen, wenn die Identifizierungseinrichtung
bestimmt, dass die Zugriffsanforderung die Authentisierung der externen Vorrichtung
erfordert. Des Weiteren ist eine Übergabevorrichtung angegeben,
die Kommunikationsdaten übergibt,
wenn die Authentisierungseinrichtung bestimmt, dass die externe
Vorrichtung autorisiert ist, auf die fahrzeuginternen Elektronikvorrichtungen
zuzugreifen, oder wenn keine Authentifizierung erforderlich ist.
-
Die
EP 0 383 593 A2 offenbart
ein System zur Durchführung
eines Lastverteilungsbetriebs zwischen einer in einem Fahrzeug vorgesehenen
Station und einer stationären
Basisstation, die einen leistungsstarken Hostrechner aufweist.
-
Aus
der
DE 101 35 898
A1 ist eine Fehlerdiagnosevorrichtung für ein Fahrzeug bekannt, welche eine
Kommunikation zwischen einem in dem Fahrzeug installierten Gateway
und einem Informationszentrum außerhalb des Fahrzeugs er möglicht.
-
Die
vorliegende Erfindung trägt
den vorhergehenden Nachteilen Rechnung. Aufgabe der vorliegenden
Erfindung ist es, wirkungsvoll einen nicht autorisierten Zugriff
auf fahrzeuginterne elektronische Vorrichtungen einzuschränken, während eine
Verdrahtung in dem fahrzeuginternen Kommunikationssystem verringert
wird. Des Weiteren ist ist es Aufgabe der vorliegenden Erfindung,
wirkungsvoll eine Störung
in einem zusammenwirkenden Betrieb zwischen elektronischen Steuervorrichtungen
zu identifizie ren, welche durch ein fahrzeuginternes Netzwerk miteinander
verbunden sind, und schnell ein gestörtes Teil zu identifizieren,
das die Störung
verursacht.
-
Die
Lösung
der Aufgabe erfolgt durch die Merkmale der unabhängigen Ansprüche.
-
Demgemäß wird eine
Fahrzeugrelaisvorrichtung geschaffen, welche sich zwischen einem
fahrzeuginternen LAN und einer Kommunikationsvorrichtung befindet,
die eine Datenkommunikation mit einer externen Vorrichtung durchführt, die
sich außerhalb des
Fahrzeugs befindet. Das fahrzeuginterne LAN ist in dem Fahrzeug
angeordnet und ist mit einer Mehrzahl von fahrzeuginternen Elektronikvorrichtungen verbunden.
Die Fahrzeugrelaisvorrichtung leitet eine Kommunikation zwischen
der externen Vorrichtung und den fahrzeuginternen Elektronikvorrichtungen weiter.
Die Fahrzeugrelaisvorrichtung beinhaltet eine erste Identifizierungeinrichtung,
eine erste Authentisierungseinrichtung und eine erste Übergabeeinrichtung.
Die erste Identifizierungseinrichtung identifiziert eine angeforderte
fahrzeuginterne Elektronikvorrichtung auf der Grundlage einer Zugriffsanforderung zum
Anfordern eines Zugriffs auf die angeforderte fahrzeuginterne Elektronikvorrichtung
nach einem Empfangen der Zugriffsanforderung von der externen Vorrichtung
aus den fahrzeuginternen Elektronikvorrichtungen und bestimmt auf
der Grundlage eines Identifizierungsergebnisses der angeforderten fahrzeuginternen
Elektronikvorrichtung, ob die Zugriffsanforderung eine Authentisierung
der externen Vorrichtung erfordert. Die erste Authentisierungseinrichtung
bestimmt auf der Grundlage einer ersten Authentisierungsinformation,
welche von der externen Vorrichtung gesendet wird, ob die externe
Vorrichtung autorisiert ist, auf die fahrzeuginternen Elektronikvorrichtungen
zuzugreifen, wenn die erste Identifizierungseinrichtung bestimmt,
daß die Zugriffsanforderung
die Authentisierung der externen Vorrichtung erfordert. Die erste Übergabeeinrichtung übergibt Kommunikationsdaten,
die von der externen Vorrichtung gesendet werden, über die
Kommunikationsvorrichtung zu der angeforderten fahrzeuginternen
Elektronikvorrichtung, wenn die erste Authentisierungseinrichtung
bestimmt, daß die
externe Vorrichtung autorisiert ist, auf fahrzeuginternen Elektronikvorrichtungen
zuzugreifen, oder wenn die erste Identifizierungseinrichtung bestimmt,
daß die
Zugriffsanforderung keine Authentisierung der externen Vorrichtung erfordert.
-
Weiterhin
wird ein fahrzeuginternes Kommunikationssystem geschaffen, das ein
fahrzeuginternes LAN, die Kommunikationsvorrichtung und die zuvor
beschriebene Fahrzeugrelaisvorrichtung beinhaltet.
-
Ferner
wird ein Störungsdiagnosesystem
geschaffen, das eine Mehrzahl von elektronischen Steuervorrichtungen
und eine Fahrzeugsteuervorrichtung aufweist. Die elektronischen
Steuervorrichtungen sind über
ein fahrzeuginternes Netzwerk miteinander verbunden. Jede elektronische
Steuervorrichtung speichert ein Störungserfassungsprogramm, welches
ausgeführt
wird, um eine Störung
eines Fahrzeugs während
eines Steuerbetriebs einer gesteuerten Vorrichtung zu erfassen,
die von der elektronischen Steuervorrichtung gesteuert wird. Die Fahrzeugsteuervorrichtung
kommuniziert über
das fahrzeuginterne Netzwerk mit den elektronischen Steuervorrichtungen,
um die Störung
des Fahrzeugs handzuhaben. Die Fahrzeugsteuervorrichtung weist eine
Störungsbestimmungseinrichtung
zum Bestimmen, ob derzeit eine Störung des Fahrzeugs vorhanden
ist, eine Programmerzielungseinrichtung zum Erzielen eines entsprechenden
Erfassungs/Diagnoseprogramms, das der derzeitigen Störung entspricht, eine
Einrichtung zum Identifizieren eines gestörten Teils, welches die derzeitige
Störung
in dem Fahrzeug verursacht, und eine Informationsausgabeeinrichtung
zum Ausgeben einer Störungsinformation, die
für das
gestörte
Teil von Bedeutung ist, auf. Die Störungsbestimmungseinrichtung
bestimmt, ob derzeit die Störung
vorhanden ist, auf der Grundlage von Daten, die über das fahrzeuginterne Netzwerk
von jeder elektronischen Steuervorrichtung gesendet werden. Die
Programmerzielungseinrichtung erzielt das entsprechende Erfassungs/Diagnoseprogramm,
das der derzeitigen Störung
entspricht, wenn die Störungsbestimmungseinrichtung
bestimmt, daß die Störung des
Fahrzeugs derzeit vorhanden ist. Das entsprechende Erfassungs/Diagnoseprogramm
ist im voraus vorbereitet, um die derzeitige Störung handzuhaben. Die Einrichtung
zum Identifizieren eines gestörten
Teils identifiziert das gestörte
Teil auf der Grundlage einer Information, die von jeder entsprechenden
elektronischen Steuervorrichtung gesendet wird, durch Ausführen des
entsprechenden Erfassungs/Diagnoseprogramms, das durch die Programmerzielungseinrichtung
erzielt wird. Das Ausführen
des entsprechenden Erfassungs/Diagnoseprogramms bewirkt wiederum
ein Ausführen
eines zugehörigen
Verfahrens in jeder entsprechenden elektronischen Steuervorrichtung,
so daß die
Information aus jeder entsprechenden elektronischen Steuervorrichtung
zu der Einrichtung zum Identifizieren eines gestörten Teils ausgegeben wird.
Die Informationsausgabeeinrichtung gibt die Störungsinformation, die für das gestörte Teil
von Bedeutung ist, auf der Grundlage eines Ergebnisses aus, das
durch einen Betrieb der Einrichtung zum Identifizieren eines gestörten Teils
erzielt wird.
-
Des
Weiteren wird ein Servervorrichtung geschaffen, welche einen Teil
eines Störungsdiagnosesystems
bildet. Das Störungsdiagnosesystem
beinhaltet ebenso eine Mehrzahl von elektronischen Steuervorrichtungen
und eine Fahrzeugsteuervorrichtung. Die elektronischen Steuervor richtungen sind über ein
fahrzeuginternes Netzwerk miteinander verbunden und jede elektronische
Steuervorrichtung speichert ein Störungserfassungsprogramm, welches
ausgeführt
wird, um eine Störung
eines Fahrzeugs während
eines Steuerbetriebs einer gesteuerten Vorrichtung zu erfassen,
die von der elektronischen Steuervorrichtung gesteuert wird. Die
Fahrzeugsteuervorrichtung kommuniziert über das fahrzeuginterne Netzwerk
mit den elektronischen Steuervorrichtungen, um die Störung des
Fahrzeugs handzuhaben. Die Servervorrichtung weist eine Speichervorrichtung,
welche eine Mehrzahl von Erfassungs/Diagnoseprogrammen speichert,
von denen jedes mit seiner Information über eine Störung von Bedeutung verknüpft ist,
die eine von Störungen
des Fahrzeugs anzeigt. Wenn eine Abfrageinformation, welche eine
derzeitige Störungsinformation
beinhaltet, die eine derzeitige Störung des Fahrzeugs anzeigt,
von der Fahrzeugsteuervorrichtung empfangen wird, sucht die Servervorrichtung
auf der Grundlage der Information über eine derzeitige Störung nach
einem entsprechenden Erfassungs/Diagnoseprogramm, das in der Speichereinrichtung
gespeichert ist, und sendet das entsprechende Erfassungs/Diagnoseprogramm
zu der Fahrzeugsteuervorrichtung. Die Fahrzeugsteuervorrichtung
führt das
entsprechende Erfassungs/Diagnoseprogramm aus, um ein Ausführen eines
zugehörigen
Verfahrens in jeder entsprechenden elektronischen Steuervorrichtung
zu bewirken, so daß eine
Information von jeder entsprechenden elektronischen Steuervorrichtung
zu der Fahrzeugsteuervorrichtung ausgegeben wird, und ein gestörtes Teil,
welches die derzeitige Störung
des Fahrzeugs verursacht, von der Fahrzeugsteuervorrichtung auf
der Grundlage der Information von jeder entsprechenden elektronischen
Steuervorrichtung identifiziert wird.
-
Ebenso
wird ein Erfassungs/Diagnoseprogramm geschaffen, das in einer Fahrzeugsteuervorrichtung
ausgeführt wird,
welche einen Teil eines Störungsdiagnosesystems
bildet. Das Störungsdiagnosesystem
beinhaltet weiterhin eine Mehrzahl von elekronischen Steuervorrichtungen,
welche über
ein fahrzeuginternes Netzwerk miteinander verbunden sind. Jede elektronische
Steuervorrichtung speichert ein Störungserfassungsprogramm, welches
ausgeführt
wird, um eine Störung
eines Fahrzeugs während
eines Steuerbetriebs einer gesteuerten Vorrichtung zu erfassen,
die von der elektronischen Steuervorrichtung gesteuert wird. Die
Fahrzeugsteuervorrichtung kommuniziert über das fahrzeuginterne Netzwerk
mit den elektronischen Steuervorrichtungen, um die Störung des
Fahrzeugs zu handzuhaben. Das Erfassungs/Diagnoseprogramm weist
eine Anweisung zum Ausführen
eines zugehörigen
Verfahrens in jeder entsprechenden elektronischen Steuervorrichtung,
so daß eine
Information von jeder entsprechenden elektronischen Steuervorrichtung
zu der Fahrzeugsteuervorrichtung ausgegeben wird, auf. Das Erfassungs/Diagnoseprogramm
weist weiterhin eine Anweisung zum Identifizieren eines gestörten Teils
des Fahrzeugs auf der Grundlage der Information von jeder entsprechenden
elektronischen Steuervorrichtung auf.
-
Die
vorliegende Erfindung wird nachstehend anhand von Ausführungsbeispielen
unter Bezugnahme auf die beiliegende Zeichnung näher erläutert.
-
Es
zeigt:
-
1 ein
Blockschaltbild einer Struktur eines fahrzeuginternen Kommunikationssystems
gemäß einem
ersten Ausführungsbeispiel
der vorliegenden Erfindung;
-
2 ein
Flußablaufdiagramm
einer von einer Gateway-ECU
des ersten Ausführungsbeispiels der
vorliegenden Erfindung ausgeführten
Hauptroutine;
-
3 ein
Flußablaufdiagramm
eines von der Gateway-ECU des ersten Ausführungsbeispiels der vorliegenden
Erfindung ausgeführten
Programmübertragungsverfahrens;
-
4A ein
Flußablaufdiagramm
eines eines von der Gateway-ECU des ersten Ausführungsbeispiels der vorliegenden
Erfindung ausgeführten
Einzelauthentisierungsverfahrens;
-
4B ein
Flußablaufdiagramm
eines eines von einer angeforderten ECU des ersten Ausführungsbeispiels
der vorliegenden Erfindung ausgeführten Programmherunterladeverfahrens;
-
5 ein
Flußablaufdiagramm
eines eines von der Gateway-ECU des ersten Ausführungsbeispiels der vorliegenden
Erfindung ausgeführten
Zugriffbeschränkungsverfahrens;
-
6 ein
Flußablaufdiagramm
eines von jeder Funkkommunikationsvorrichtung des ersten Ausführungsbeispiels
der vorliegenden Erfindung ausgeführten Zugriffsteuerverfahrens;
-
7 eine
schematische Ansicht einer Struktur eines Störungsdiagnosesystems gemäß einem
zweiten Ausführungsbeispiel
der vorliegenden Erfindung;
-
8 eine
schematische Ansicht einer Information in einer Datenbank eines
Kundenservers gemäß dem zweiten
Ausführungsbeispiel
der vorliegenden Erfindung;
-
9 ein
Flußablaufdiagramm
eines Störungsdiagnoseverfahrens
gemäß dem zweiten
Ausführungsbeispiel
der vorliegenden Erfindung;
-
10 ein
Flußdiagramm
eines serverseitigen Verfahrens gemäß dem zweiten Ausführungsbeispiel
der vorliegenden Erfindung;
-
11 ein
Flußdiagramm
eines ECU-Verfahrens gemäß dem zweiten
Ausführungsbeispiel der
vorliegenden Erfindung;
-
12 eine
schematische Ansicht einer Ausgestaltung der Information in der
Datenbank des Kundenservers gemäß dem zweiten
Ausführungsbeispiel
der vorliegenden Erfindung; und
-
13 ein
Blockschaltbild einer Ausgestaltung der Struktur des fahrzeuginternen
Kommunikationssystems des ersten Ausführungsbeispiels der vorliegenden
Erfindung.
-
Nachstehend
erfolgt die Beschreibung des ersten Ausführungsbeispiels der vorliegenden
Erfindung.
-
Das
erste Ausführungsbeispiel
der vorliegenden Erfindung wird nun unter Bezugnahme auf die beiliegende
Zeichnung beschrieben.
-
1 zeigt
ein Blockschaltbild, das eine Struktur eines fahrzeuginternen Kommunikationssystems 1 gemäß dem vorliegenden
Ausführungsbeispiel,
darstellt.
-
Wie
es in 1 gezeigt ist, beinhaltet das fahrzeuginterne
Kommunikationssystem 1 des vorliegenden Ausführungsbeispiels
ein fahrzeuginternes LAN bzw. lokales Netzwerk 10, eine
Kommunikationseinheit 40 und eine Gateway-ECU bzw. eine Fahrzeugrelaisvorrichtung
bzw. eine Fahrzeugsteuervorrichtung 50. Das fahrzeuginterne
LAN 10 beinhaltet eine Mehrzahl von elektronischen Steuereinheiten
bzw. ECUs 11 bis 22, welche in einem Fahrzeug
angeordnet sind und als fahrzeuginterne elektronische Vorrichtungen
der vorliegenden Erfindung wirken. Die Kommunikationseinheit 40 kommuniziert mit
einer externen Vorrichtung 3, welche sich außerhalb
des Fahrzeugs befindet. Die Gateway-ECU 50 ist zwischen
dem fahrzeuginternen LAN 10 und der Kommunikationseinheit 40 angeordnet
und leitet Datenkommunikationen zwischen jeder ECU 11 bis 22 und
der externen Vorrichtung 3 weiter.
-
Das
fahrzeuginterne LAN 10 beinhaltet ein Steuersystemnetzwerk 31,
ein Informationssystemnetzwerk 32 und ein Karrosseriesystemnetzwerk 33. In
jedem Netzwerk ist eine Gruppe von ECUs mit einer gemeinsamen Übertragungsleitung
verbunden. Zum Beispiel sind ein Fahrzeug steuernde ECUs, die bezüglich eines
Antreibens des Fahrzeugs von Bedeutung sind, wie zum Beispiel eine
Motor-ECU 11, eine Getriebe-ECU 12, eine VSC-ECU 13,
eine ACC-ECU 14 und eine Umgebungsbereichsüberwachungs-ECU 15 mit
dem Steuersystemnetzwerk verbunden.
-
Die
Motor-ECU 11 ist eine Motorsteuervorrichtung, die ein Steuern
eines Motors durchführt.
Die Getriebe-ECU 12 ist eine Getriebesteuervorrichtung, die
ein Schaltsteuern eines Automatikgetriebes durchführt. Diese
ECUs 11, 12 sind als Triebwerksystemsteuervorrichtungen
klassifiziert. Die VSC-ECU 13 ist eine Steuervorrichtung,
die ein Lagesteuern und ein Bremssteuern des Fahrzeugs durchführt. Die ACC-ECU 14 ist
eine Antriebssteuervorrichtung, die das Fahrzeug steuert, um einem
Fahrzeug vor ihm zu folgen. Diese ECUs 11, 12, 13, 14 sind
als Fahrzeugsantriebssystemsteuervorrichtungen klassifiziert.
-
Die
eine Karosserie steuernden ECUs, wie zum Beispiel eine Instrumentgruppen-ECU 16,
eine Antidiebstahl-ECU 17 und eine Klimasteuer-ECU 18 sind
mit dem Karrosseriesystemnetzwerk 33 verbunden. Die Instrumentgruppen-ECU 16 steuert
eine Anzeige von verschiedenen Zuständen des Fahrzeugs, wie zum
Beispiel einer Fahrzeuggeschwindigkeit, eine Motordrehzahl, eine
Türposition
(zum Beispiel geschlossen oder offen) und einen Schaltbereich des Getriebes
auf Anzeigevorrichtungen. Die Antidiebstahl-ECU 17 überwacht
einen Zustand des Fahrzeugs. Wenn eine nicht autorisierte Person
in das Fahrzeug gelangt oder versucht, eine Vorrichtung aus dem
Fahrzeug zu stehlen, schaltet die Antidiebstahl-ECU 17 zum
Beispiel Alarmtöne
ein oder tätigt einen
Notruf zu einem externen Center. Die Klimasteuer-ECU 18 steuert
ein Klimaanlagensystem des Fahrzeugs.
-
Informationssystems-ECUs,
wie zum Beispiel eine Navigations-ECU 19, eine Audio-ECU 20, eine
Telefon-ECU 21 und eine ETC-ECU 22 sind mit dem
Informationssystemnetzwerk 32 verbunden. Die Informationssystems-ECUs
sind als Informationsvorrichtungen klassifiziert, die verschiedene
Informationen (zum Beispiel durch Anzeigen der Information, Wiedergeben
der Information oder dergleichen) vorsehen.
-
Die
Navigations-ECU 19 erzielt Kartendaten aus einem Kartendatenspeicher
(nicht gezeigt), wie zum Beispiel einem DVD-Spieler oder einem CD-Spieler,
welcher mit der Navigations-ECU 19 verbunden ist. Weiterhin
erzielt die Navigations-ECU 19 eine Information, die sich
auf eine derzeitige Fahrzeugposition bezieht, von einem GPS-Empfänger (nicht
gezeigt), welcher mit der Kommunikationseinheit 40 verbunden
ist. Dann zeigt die Navigations-ECU 19 eine Karte, welche
die derzeitige Fahrzeugposition anzeigt, auf einer Anzeigevorrichtung (nicht
gezeigt), wie zum Beispiel einer Flüssigkristallanzeigevorrichtung
an, welche mit der Audio-ECU 20 verbunden ist.
-
Weiterhin
erzielt die Navigations-ECU 19 eine Verkehrsstauinformation
aus zum Beispiel einer VICS-Funkkornmunikationsvorrichtung 41,
welche später
beschrieben wird. Dann zeigt die Navigations-ECU 19 die
Verkehrsstauinformation zusammen mit der Karte auf der Anzeigevorrichtung
an. Ebenso erzielt die Navigations-ECU 19 eine Information,
die eine Stelle einer ETC-Schranke bzw. Mautkassierschranke anzeigt,
durch eine ETC-Funkkommunikationsvorrichtung und zeigt diese Information
auf der Anzeigevorrichtung an, um einen Fahrer auf die Stelle der
ETC-Schranke hinzuweisen. Die Audio-ECU 20 folgt einer
Anweisung, die von dem Benutzer durch einen Betätigungsschalter eingegeben
wird, der mit der Audio-ECU 20 verbunden ist. Die Audio-ECU 20 erzielt
ein Radioprogramm oder Fernsehprogramm, das von dem Benutzer bestimmt
wird, durch eine ein Fernsehprogramm und Radioprogramm empfangende
Funkkommunikationsvorrichtung 42 durch Steuern einer Abstimmvorrichtung,
die in der ein Fernsehprogramm und Radioprogramm empfangenden Funkkommunikationsvorrichtung 42 vorgesehen
ist. Dann spielt die Audio-ECU 20 das Radioprogramm oder
Fernsehprogramm durch ein Lautsprechersystem oder die Flüssigkristallanzeigevorrichtung
ab.
-
Die
Telefon-ECU 21 kommuniziert mit einer Telefonfunkkommunikationsvorrichtung 44,
um die Telefonfunkkommunikationsvorrichtung 44 mit einer externen
Vorrichtung zu verbinden, welche durch eine Funkbasisstation eines
Telefonleitungsnetzwerks mit einer Telefonleitung verbunden ist.
Dann läßt die Telefon-ECU 21 die
Kommunikation zwischen jeder ECU des fahrzeuginternen LAN 10 und der
externen Vorrichtung über
die Telefonleitung zu.
-
Die
ETC-ECU 22 erzielt eine Mautgebühreninformation aus einem ETC-Center
durch eine ETC-Funkkommunikations vorrichtung 43 (später beschrieben).
Dann ruft die ETC-ECU 22 verschiedene Informationen
aus zum Beispiel einem Kartenleser ab, der mit der ETC-ECU 22 verbunden
ist, und sendet die Information durch die ETC-Funkkommunikationsvorrichtung 43 zu
dem externen ETC-Center.
-
Es
wird auf 1 verwiesen. Die Kommunikationseinheit 40 beinhaltet
Funkkommunikationsvorrichtungen, wie zum Beispiel die VICS-Funkkommunikationsvorrichtung 41,
die ein Fernsehprogramm und Radioprogramm empfangende Funkkommunikationsvorrichtung 42,
die ETC-Funkkommunikationsvorrichtung 43 und die Telefonfunkkommunikationsvorrichtung 44.
Die Kommunikationseinheit 40 beinhaltet weiterhin eine
Schnittstelle 49 für eine
externe Vorrichtung, welche eine externe Vorrichtung, wie zum Beispiel
ein Wartungswerkzeug 5, direkt mit den Vorrichtungen in
dem Fahrzeug verbindet.
-
Die
VICS-Funkkommunikationsvorrichtung 41 beinhaltet zum Beispiel
einen Funk-Bakenempfänger
oder einen Licht-Bakenempfänger zum
Empfangen der Verkehrsinformation aus dem VICS. Kommunikationsdaten,
die durch den Funk-Bakenempfänger
oder Licht-Bakenempfänger
von dem VICS empfangen wird, wird von der VICS-Funkkommunikationsvorrichtung 41 zu
der Gateway-ECU 50 ausgegeben.
-
Die
ein Fernsehprogramm und Radioprogramm empfangende Funkkommunikationsvorrichtung 42 beinhaltet
die Abstimmvorrichtung zum Empfangen von Fernsehrundfunksignalen
oder Radiorundfunksignalen. Die Abstimmvorrichtung wird von der
Audio-ECU 20 gesteuert, die mit dem fahrzeuginternen LAN 10 verbunden
ist. Die ein Fernsehprogramm und Radioprogramm empfangende Funkkommunikationsvorrichtung 42 empfängt eine
Anweisung aus der Audio-ECU 20 und ist mit dem externen Center
verbunden, welches einen Bild-auf-Abruf-Dienst
vorsieht. Daten, wie zum Beispiel visu elle Daten, die von dem externen
Center erzielt werden, werden aus der Funkkommunikationsvorrichtung 42 zu
der Gateway-ECU 50 ausgegeben.
-
Die
ETC-Funkkommunikationsvorrichtung 43 ist eine Funkkommunikationsvorrichtung,
die mit dem ETC-Center kommuniziert. Kommunikationsdaten, die von
dem ETC-Center empfangen werden, werden aus der ETC-Funkkommunikationsvorrichtung 43 zu
der Gateway-ECU 50 ausgegeben. Weiterhin sendet die ETC-Funkkommunikationsvorrichtung 43 Daten,
welche durch die Gateway-ECU 50 von dem fahrzeuginternen
LAN 10 empfangen werden, zu dem ETC-Center.
-
Die
Telefonfunkkommunikationsvorrichtung 44 wird von der Telefon-ECU 21 gesteuert
und ist durch die Funkbasisstation mit dem externen öffentlichen
Telefonleitungs netzwerk verbunden. Dann gibt die Telefonfunkkommunikationsvorrichtung 44 die Kommunikationsdaten,
welche durch das öffentliche Telefonnetzwerk
empfangen werden, zu der Gateway-ECU 50 aus.
-
Beispielhafte
Zugriffe von außerhalb
des Fahrzeugs durch die Telefonfunkkommunikationsvorrichtung 44 beinhalten
die Folgenden.
-
Ein
beispielhafter Zugriff ist ein Zugriff von einem Fahrzeugeigentümer, der
eine Anweisung sendet, die ein Betätigen des Klimaanlagensystems
anfordert, zu der Klimasteuer-ECU 18 des fahrzeuginternen
LAN 10 durch ein Funktelefon oder dergleichen, um das Klimaanlagensystem
fernzusteuern. Ein weiterer beispielhafter Zugriff ist ein Zugriff
von dem Benutzer, der Musikdaten durch die Telefonleitung erzielt
und diese über
die Audio-ECU 20 des Fahrzeugs abspielt. Ein weiterer beispielhafter
Zugriff ist ein Zugriff von dem Benutzer, der ein Programm, das
in der entsprechenden ECU 11 bis 22 in dem fahrzeug internen
LAN 10 arbeitet, durch die Telefonleitung von dem externen
Center herunterlädt.
Das Programm wird dann in der entsprechenden ECU 11 bis 22 installiert,
um das Programm zu schreiben oder zu aktualisieren.
-
Jede
Funkkommunikationsvorrichtung 41 bis 44 der Kommunikationseinheit 40 ist
beschrieben worden. In dem fahrzeuginternen Kommunikationssystem 16 ist
es vorstellbar, daß die
Kommunikationseinheit 40 Kommunikationsdaten, die keine
Anzeige eines Empfangsendes (das heißt einer angeforderten Vorrichtung
aufweisen, auf welche die externe Vorrichtung zuzugreifen versucht)
aufweisen, von der externen Vorrichtung empfängt. Daher ist es, um einen
derartigen Fall zu behandeln, vorteilhaft, zum Beispiel jede Funkkommunikationsvorrichtung 41 bis 44 auf
eine derartige Weise aufzubauen, daß jede Funkkommunikationsvorrichtung 41 bis 44 eine Information
des Empfangsendes zu den Kommunikationsdaten hinzufügt, die
keine Anzeige des Empfangsendes aufweisen, und dann die Kommunikationsdaten,
die mit der Information des Empfangsendes versehen sind, zu der
Gateway-ECU 50 sendet. Zum Beispiel kann, wenn das Fernsehsignal
empfangen wird, die Audio-ECU 20 als das Empfangsende des
Fernsehsignals bestimmt werden.
-
Weiterhin
beinhaltet die Schnittstelle 49 für eine externe Vorrichtung
einen Verbinder. Der Verbinder verbindet die externen Vorrichtungen,
wie zum Beispiel ein Wartungswerkzeug 5 zum Diagnostizieren
des Fahrzeugs oder ein anderes Wartungswerkzeug 5 zum Aktualisieren
des Programms in der ECU, mit dem fahrzeuginternen LAN 10.
Wenn das Wartungswerkzeug mit der Schnittstelle 49 für eine externe
Vorrichtung verbunden ist, ist das Wartungswerkzeug 5 mit
der Gateway-ECU 50 verbunden.
-
Die
Gateway-ECU 50 ist mit sowohl der Kommunikationseinheit 40 als
auch dem fahrzeuginternen LAN 10 verbunden und leitet Datenkommunikationen
zwischen jeder ECU 11 bis 22 des fahrzeuginternen
LAN 10 und der externen Vorrichtung 3 weiter.
-
Zum
Beispiel weist die Gateway-ECU 50 eine Leitfunktion auf,
so daß die
Gateway-ECU 50 einen Zugriff von einer ECU in ein Netzwerk
des fahrzeuginternen LAN 10 zu einer anderen ECU in einem anderen
Netzwerk des fahrzeuginternen LAN 10 weiterleitet. Genauer
gesagt sendet zum Beispiel die Gateway-ECU 50, wenn eine
Zugriffsanforderung zum Zugreifen auf eine ECU in dem Karosseriesystemnetzwerk 33 an
einer ECU in dem Steuersystemnetzwerk 31 empfangen wird,
Kommunikationsdaten von der einen ECU in dem Karosseriesystemnetzwerk 33 zu
der einen ECU in dem Steuersystemnetzwerk 31.
-
Wenn
die Gateway-ECU 50 die Kommunikationsdaten erzielt, die
von der Kommunikationseinheit 40 empfangen werden, führt die
Gateway-ECU 50 in ihre eigenen MPU eine Hauptroutine durch,
die in 2 gezeigt ist.
-
2 zeigt
ein Flußablaufdiagramm,
das die Hauptroutine zeigt, die in der Gateway-ECU 50 durchgeführt wird. 3 zeigt
am Flußdiagramm, das
ein Programmübertragungsverfahren
zeigt, welches von der Hauptroutine aufgerufen wird. 4A zeigt
ein Flußdiagramm,
das ein Einzelauthentisierungsverfahren zeigt, welches von dem Programmübertragungsverfahren
aufgerufen wird. 5 zeigt ein Flußdiagramm,
das ein Zugriffsbeschränkungsverfahren
zeigt.
-
In
der Gateway-ECU 50 wird zuerst in einem Schritt S110 ein
Empfangsende von Kommunikationsdaten (das die angeforderte Vorrichtung)
aus den Kommunikationsdaten gelesen. Dann wird es in einem Schritt
S120 bestimmt, ob das Empfangsende in einer Liste von fahrzeuginternen
Vor richtungen aufgelistet ist, die in einem Speichermedium (das
Speichermedium des vorliegenden Ausführungsbeispiels ist ein Speicher)
der Gateway-ECU 50 gespeichert ist. Die Liste von fahrzeuginternen
Vorrichtungen ist eine Liste der ECUs 11 bis 22,
die mit dem fahrzeuginternen LAN 10 verbunden sind.
-
Wenn
es bestimmt wird, daß das
Empfangsende der Kommunikationsdaten nicht in der Liste von fahrzeuginternen
Vorrichtungen aufgelistet ist, führt die
Gateway-ECU 50 das Zugriffbeschränkungsverfahren in einem Schritt
S125 aus (im Detail nachstehend beschrieben) und beendet die Hauptroutine.
-
Andererseits
bestimmt die Gateway-ECU 50 in einem Schritt S130, wenn
es bestimmt wird, daß das
Empfangsende der Kommunikationsdaten in der Liste von fahrzeuginternen
Vorrichtungen aufgelistet ist, ob die Kommunikationsdaten eine Information über eine
Anforderung für
ein Schreiben eines Programms oder einer Abgleichskonstante bzw.
eines Parameters in die entsprechende ECU des fahrzeuginternen LAN 10,
das als das Empfangsende bestimmt wird, beinhalten. Das Programm
arbeitet in der entsprechenden ECU des fahrzeuginternen LAN 10.
Die Abgleichskonstante wird angewendet, um das entsprechende Steuersystem
des Fahrzeugs zweckmäßig zu betreiben.
In diesem Ausführungsbeispiel
kann die Anforderung zum Schreiben der Abgleichskonstante zum Beispiel
eine Anforderung zum erneuten Schreiben einer Motorzündzeitpunktabbildung
sein.
-
Wenn
es bestimmt wird, daß die
Kommunikationsdaten die Information über die Anforderung zum Schreiben
des Programms oder des Parameters beinhalten, geht ein Steuern zu
einem Schritt S140, in dem das Programmübertragungsverfahren (3) durchgeführt wird.
In der folgenden Beschreibung wird, obgleich lediglich die Anforderung zum
Schreiben des Programms zum Zwecke einer Vereinfachung beschrieben
wird, die Anforderung zum Schreiben der Abgleichskonstante auf eine ähnliche Weise
wie die der Anforderung zum Schreiben des Programms gehandhabt.
-
In
dem Programmübertragungsverfahren fordert
die Gateway-ECU 50 in einem Schritt S141 die externe Vorrichtung 3 an,
welche die Anforderung zum Schreiben des Programms durch die Kommunikationseinheit 40 gesendet
hat, ein Paßwort,
welches als eine erste Authentisierungsinformation wirkt, zu der
Gateway-ECU 50 zu senden. Daher erzielt die Gateway-ECU 50 das
Paßwort
von der externen Vorrichtung 3.
-
Dann
bestimmt die Gateway-ECU 50 in einem Schritt S143, ob das
gesendete Paßwort
mit einem im voraus registrierten Paßwort übereinstimmt, das in der Gateway-ECU 50 gespeichert
worden ist. Zum Beispiel kann das Paßwort zu dem Zeitpunkt einer
Produktauslieferung durch einen Hersteller registriert werden. Dies
kann durch Registrieren oder Speichern eines für eine Gateway-ECU 50 spezifischen
Paßworts
in der Gateway-ECU 50 durchgeführt werden.
-
Wenn
es in dem Schritt S143 bestimmt wird, daß das gesendete Paßwort nicht
berechtigend ist (das heißt
das gesendete Paßwort
nicht mit dem vorab registrierten Paßwort übereinstimmt, verschiebt die
Gateway-ECU 50 das Verfahren zu einem Schritt S169, in
dem das Zugriffsbeschränkungsverfahren (5)
durchgeführt
wird, und wird danach das Programmübertragungsverfahren beendet.
Wenn es andererseits in dem Schritt S143 bestimmt wird, daß das gesendete
Paßwort
mit dem vorab registrierten Paßwort übereinstimmt,
verschiebt die Gateway-ECU 50 das Verfahren zu einem Schritt
S145, in dem das Programm von der externen Vorrichtung 3 durch
die Kommunikationseinheit 40 heruntergeladen wird und vorübergehend
in dem Speicher der Gateway-ECU 50 gespeichert wird.
-
Dann
führt die
Gateway-ECU 50 in einem Schritt S150 das Einzelauthentisierungsverfahren (4) durch.
-
Wenn
ein Steuern zu dem Einzelauthentisierungsverfahren geht, fordert
die Gateway-ECU 50 die entsprechende ECU, zu welcher die
externe Vorrichtung 3 das Programm zu schreiben beabsichtigt (hier
im weiteren Verlauf wird diese ECU als eine angeforderte ECU bezeichnet),
des fahrzeuginternen LAN 10 an, um das Programm in einem
Schritt S151 herunterzuladen.
-
Wenn
die Gateway-ECU 50 die angeforderte ECU anfordert, um das
Programm herunterzuladen, führt
die angeforderte ECU ein Programmherunterladeverfahren durch, welches
in einem Flußdiagramm in 4B gezeigt
ist. Details des Einzelauthentisierungsverfahrens in 4A,
welches von der Gateway-ECU 50 durchgeführt wird, und Details des Programmherunterladeverfahrens
in 4B werden parallel beschrieben.
-
Nach
einem Empfangen der Anforderung zum Herunterladen des Programms
fordert die angeforderte ECU die externe Vorrichtung 3 an,
eine zweite Authentisierungsinformation in einem Schritt S310 zu
senden. Die zweite Authentisierungsinformation unterscheidet sich
von der ersten Authentisierungsinformation und wird verwendet, um
zu bestimmen, ob die externe Vorrichtung 3, von welcher
die Anforderung zum Schreiben des Programms empfangen wird, autorisiert
ist, das Programm in die angeforderte ECU zu schreiben.
-
Wenn
zum Beispiel ein System mit einem gemeinsamen Schlüssel (zum
Beispiel ein DES-System) als ein Authentisierungssystem ausgewählt wird,
führt die
angeforderte ECU den folgenden Betrieb in dem Schritt S310 durch.
Das heißt
die angeforderte ECU erzeugt eine Zufallsanzahl r und speichert
diese vorübergehend
in ihrem eigenen Speicher. Die angeforderte ECU sendet dann die
Zufallszahl r zusammen mit der Anforderung zum Senden der zweiten
Authentisierungsinformation zu der externen Vorrichtung 3.
Gleichzeitig fordert die angeforderte ECU die externe Vorrichtung 3 an,
um die Zufallszahl r unter Verwendung eines gemeinsamen Schlüssels K
zu verschlüsseln
und sie als die zweite Authentisierungsinformation zu der angeforderten ECU
zurückzugeben.
-
Wenn
die Anforderung zum Senden der Authentisierungsinformation von der
angeforderten ECU zu der externen Vorrichtung ausgegeben wird, empfängt die
Gateway-ECU 50 zuerst die Anforderung zum Senden der Authentisierungsinformation von
der angeforderten ECU und leitet diese durch die Kommunikationseinheit 40 zu
der externen Vorrichtung 3 weiter (Schritt S153). Weiterhin
leitet die Gateway-ECU 50, wenn die Gateway-ECU 50 die
Authentisierungsinformation als eine Reaktion auf die Anforderung
zum Senden der Authentisierungsinformation von der externen Vorrichtung 3 empfängt, die
Authentisierungsinformation in einem Schritt S155 zu der angeforderten
ECU weiter.
-
Wenn
die angeforderte ECU die Authentisierungsinformation durch die Gateway-ECU 50 von
der externen Vorrichtung 3 empfängt (Schritt S320) überprüft die angeforderte
ECU die Authentisierungsinformation durch Vergleichen von ihr mit
der entsprechenden Authentisierungsinformation, die in ihrem eigenen
Speicher gespeichert ist (Schritt S330). Dann bestimmt die angeforderte
ECU auf der Grundlage des Überprüfungsergebnisses,
ob die Authentisierung der externen Vorrichtung 3 Erfolg
hat, auf der Grundlage des Überprüfungsergebnisses
(Schritt S340). Wenn es be stimmt wird, daß die Authentisierung Erfolg
hat (Schritt S340: JA) gibt die angeforderte ECU eine Authentisierungserfolgsmeldung
zum Benachrichtigen der Gateway-ECU 50 über den Erfolg der Authentisierung
aus (Schritt S350). Wenn es andererseits bestimmt wird, daß die Authentisierung keinen
Erfolg hat (Schritt S340: NEIN), gibt die angeforderte ECU eine
Authentisierungsfehlermeldung zum Benachrichtigen der Gateway-ECU 50 über den Fehler
der Authentisierung aus (Schritt S355).
-
Das
Beispiel der Authentisierung mit dem System mit einem emeinsamen
Schlüssel
wird im größeren Detail
beschrieben. Die angeforderte ECU verschlüsselt die Authentisierungsinformation,
welche von der externen Vorrichtung 3 empfangen wird, mit
dem gemeinsamen Schlüssel
K. Dann bestimmt die angeforderte ECU, ob die verschlüsselte Authentisierungsinformation
mit der Zufallszahl r übereinstimmt,
welche in dem Schritt S310 erzeugt wird. Wenn es bestimmt wird,
daß die
verschlüsselte
Authentisierungsinformation mit der Zufallszahl r übereinstimmt,
bestimmt die angeforderte ECU, daß die externe Vorrichtung 3 autorisiert
ist, das Programm in die angeforderte ECU zu schreiben (Schritt
S340: JA). Dann gibt die angeforderte ECU die Authentisierungserfolgsmeldung
zu der Gateway-ECU 50 aus.
-
Wenn
die Gateway-ECU 50 das Authentisierungsergebnis (die Meldung,
die den Erfolg oder Fehler der Authentisierung anzeigt) in einem
Schritt S157 von der angeforderten ECU empfängt, beendet die Gateway-ECU 50 das
Einzelauthentisierungsverfahren und bestimmt, ob die Authentisierung
an der angeforderten ECU Erfolg gehabt hat, in einem Schritt S161
in dem Programmübertragungsverfahren (3).
-
Das
heißt,
wenn die Gateway-ECU 50 die Authentisie rungsfehlermeldung
von der angeforderten ECU empfängt,
wird in dem Schritt S161 ”NEIN” zurückgegeben,
so daß sich
ein Steuern zu einem Schritt S169 bewegt. Wenn die Gateway-ECU 50 andererseits
die Authentisierungserfolgsmeldung von der angeforderten ECU empfängt, wird
in dem Schritt S161 ”JA” zurückgegeben,
so daß ein
Steuern zu dem Schritt S163 geht.
-
Dann
sendet die Gateway-ECU 50 in dem Schritt S163 das vorübergehend
gespeicherte entsprechende Programm zu der angeforderten ECU. Dann
empfängt
die angeforderte ECU das Programm, das von der Gateway-ECU 50 gesendet
wird, und speichert das Programm auf eine ausführbare Weise in seinem Speicher
(Schritt S360).
-
Wenn
die angeforderte ECU das Programm speichert, bestimmt die Gateway-ECU 50 in
einem Schritt S165, ob die angeforderte ECU das Programm korrekt
speichert. Zum Beispiel bestimmt die Gateway-ECU 50, ob
die angeforderte ECU das Programm korrekt gespeichert hat, durch Überprüfen, ob das
Programm, welches von der Gateway-ECU 50 gesendet worden
ist, das gleiche wie das Programm ist, welches in dem Speicher der
angeforderten ECU gespeichert ist.
-
Dann
verwirft oder löscht
die Gateway-ECU 50, wenn es bestimmt wird, daß das Programm
korrekt in den Speicher der angeforderten ECU gespeichert worden
ist, das Programm, welches in dem Schritt S163 zu der angeforderten
ECU gesendet worden ist, aus ihrem eigenen Speicher (S167). Dann
ist das Programmübertragungsverfahren
beendet. Andererseits ruft die Gateway-ECU, wenn es bestimmt wird,
daß das
Programm nicht korrekt in den Speicher der angeforderten ECU gespeichert
worden ist (Schritt S165: NEIN) das entsprechende Programm, das
in ihrem eigenen Speicher gespeichert ist, und sendet es zu der
angefor derten ECU (Schritt S163). Wenn das Schreiben des Programms
in der angeforderten ECU nach mehreren Versuchen nicht erfolgreich
verlaufen kann, kann das Schreiben des Programms beendet werden
und kann das Programmübertragungsverfahren
beendet werden.
-
Als
nächstes
wird in einem Schritt S130 (2) die Situation
beschrieben, in der die Gateway-ECU 50 bestimmt, daß die derzeitigen
Kommunikationsdaten nicht die Anforderung zum Schreiben des Programms
oder einer Abgleichskonstante sind (S130: NEIN).
-
Wie
es in 2 gezeigt ist, bestimmt die Gateway-ECU 50 in
einem Schritt S170, wenn in dem Schritt S130 ”NEIN” zurückgegeben wird, ob das Empfangsende
(angeforderte ECU), das die Kommunikationsdaten empfängt, eine.
der Informationssystem-ECUs 19 bis 22 ist, die
mit dem Informationssystemnetzwerk 32 verbunden ist.
-
Wenn
es bestimmt wird, daß die
angeforderte ECU eine der Informationssystems-ECUs 19 bis 22 ist
(Schritt S170: JA), sendet die Gateway-ECU 50 die Kommunikationsdaten
in einem Schritt S175 zu der angeforderten ECU, das heißt zu der
einen der Informationssystem-ECUs 19 bis 22.
-
Andererseits
fordert die Gateway-ECU 50, wenn es bestimmt wird, daß die angeforderte
ECU keine der Informationssystem-ECUs 19 bis 22 ist (Schritt
S170: NEIN), die externe Vorrichtung 3 an, von welcher
die Daten gesendet werden, das Paßwort zu senden, welches zu
der entsprechenden ECU adressiert ist, und empfängt das Paßwort als die Authentisierungsinformation über die
Kommunikationseinheit 40 von der externen Vorrichtung 3 (Schritt S180).
-
Dann
bestimmt die Gateway-ECU 50 in einem Schritt S190, ob das
Paßwort
berechtigend ist, durch Bestimmen, ob das Paßwort mit einem Paßwort übereinstimmt,
welches vorhergehend in der Gateway-ECU 50 registriert
worden ist. Die Gateway-ECU 50 kann das gleiche Paßwort verwenden, welches
in dem Schritt S143 in dem Programmübertragungsverfahren verwendet
wird, oder kann irgendein anderes Paßwort verwenden. In dem letzteren
Fall muß die
Gateway-ECU 50 sowohl das Paßwort, das in dem Schritt S143
verwendet wird, als auch das Paßwort
speichern, das in dem Schritt S190 verwendet wird.
-
Wenn
es bestimmt wird, daß das
Paßwort berechtigend
ist (Schritt S190: JA), sendet die Gateway-ECU 50 die Daten
zu der angeforderten ECU (Schritt S200). Wenn es andererseits bestimmt
wird, daß das
Paßwort
nicht berechtigend ist (Schritt S190: NEIN), wird in einem Schritt
S195 ein Zugriffbeschränkungsverfahren
durchgeführt
und ist das derzeitige Verfahren beendet.
-
In
dem Zugriffbeschränkungsverfahren
in dem Schritt S195 wird die Gateway-ECU 50 auf eine Weise
gesteuert, die in 5 gezeigt ist.
-
Das
heißt
in einem Schritt S410 bestimmt die Gateway-ECU 50, ob gleich oder mehr
als, eine vorbestimmte Anzahl n (zum Beispiel kann diese Anzahl 3
sein) von Zugriffen innerhalb einer vorbestimmten Zeit von der gleichen
externen Vorrichtung 3 auf die Gateway-ECU 50 durchgeführt worden
sind. Wenn es bestimmt wird, daß gleich
oder mehr als die vorbestimmte Anzahl n von Zugriffen nicht durchgeführt worden
sind (Schritt S410: NEIN), meldet die Gateway-ECU 50 der
entsprechenden Funkkommunikationsvorrichtung 41 bis 44 (ein
entsprechender Betrieb der entsprechenden Funkkommunikationsvorrichtung 41 bis 44 wird
später
beschrieben) in der Kommunikationseinheit 40, daß die abnormalen
Zugriffe, deren Authentisierung fehlgeschlagen ist, von der externen
Vorrichtung 3 durchgeführt worden
sind. Dann ist das derzeitige Verfahren beendet.
-
Andererseits
unterrichtet die Gateway-ECU 50, wenn es bestimmt wird,
daß gleich
oder mehr als die vorbestimmte Anzahl n von Zugriffen durchgeführt worden
sind (Schritt S410: JA), die entsprechende Funkkommunikationsvorrichtung 41 bis 44, um
den weiteren Zugriff von der nicht autorisierten externen Vorrichtung 3 zu
sperren (Schritt S430). Daher werden keine weiteren Kommunikationsdaten von
der externen Vorrichtung 3 des gleichen Sendeendes von
der entsprechenden Funkkommunikationsvorrichtung 41 bis 44 zu
der Gateway-ECU 50 gesendet. Dann ist das derzeitige Verfahren
beendet.
-
Jede
entsprechende Funkkommunikationsvorrichtung 41 bis 44,
welche die Meldung in dem Zugriffsbeschränkungsverfahren empfängt, führt ein Zugriffssteuerverfahren
durch, das in 6 gezeigt ist, um den Zugriff
von der externen Vorrichtung 3 zu steuern.
-
Wenn
die entsprechende Funkkommunikationsvorrichtung 41 bis 44 die
Kommunikationsdaten als ein Demodulationsergebnis von einer Demodulationsschaltung
empfängt,
erzielt die entsprechende Funkkommunikationsvorrichtung 41 bis 44 die
Information über
die externe Vorrichtung 3 des Sendeendes, welche in den
Kommunikationsdaten enthalten ist, und identifiziert die externe
Vorrichtung 3 des Sendeendes (Schritt S510). Dann bestimmt
die entsprechende Funkkommunikationsvorrichtung 41 bis 44 in
einem Schritt S520, ob sich das Sendeende in einer Liste von Vorrichtungen
mit gesperrtem Zugriff befindet. Die entsprechende Funkkommunikationsvorrichtung 41 bis 44 erneuert
oder aktualisiert die Liste mit Vorrichtungen mit gesperrtem Zugriff
zu jeder Zeit, zu der die entsprechende Funkkommunikationsvorrichtung 41 bis 44 die
Meldung, welche den weiteren Zugriff von der nicht autorisierten
externen Vorrichtung 3 sperrt, von der Gateway-ECU 50 empfängt. Jede
Funkkommunikationsvorrichtung 41 bis 44 speichert
die Liste mit Vorrichtungen mit gesperrtem Zugriff in ihrem eigenen
Speicher.
-
Wenn
es in einem Schritt S520 bestimmt wird, daß sich das Sendeende der Kommunikationsdaten
in der Liste mit Vorrichtungen mit gesperrten Zugriff befindet,
weist die entsprechende Funkkommunikationsvorrichtung 41 bis 44 den
weiteren Zugriff von der externen Vorrichtung 3 des Sendeendes auf
die Gateway-ECU 50 in einem Schritt S540 zurück. Das
heißt
die entsprechende Funkkommunikationsvorrichtung 41 bis 44 verwirft
oder löscht
die Kommunikationsdaten, die von dem Sendeende empfangen werden,
ohne die Kommunikationsdaten zu der Gateway-ECU 50 zu senden.
-
Andererseits
bestimmt die entsprechende Funkkommunikationsvorrichtung 41 bis 44 in
einem Schritt S530, wenn in dem Schritt S520 bestimmt wird, daß die externe
Vorrichtung 3 des Sendeendes, welche die Kommunikationsdaten
gesendet hat, sich nicht in der Liste mit Vorrichtungen mit gesperrtem Zugriff
befindet, ob eine vorbestimmte Zeitdauer verstrichen ist, seit die
entsprechende Funkkommunikationsvorrichtung 41 bis 44 den
abnormalen Zugriff von der externen Vorrichtung 3 des Sendeendes empfangen
hat. Hierbei ist es bevorzugt, daß die vorbestimmte Zeitdauer
ausreichend kürzer
als die Zeitdauer zum Bestimmen in dem Schritt S410 ist, ob gleich
oder mehr als die vorbestimmte Anzahl n von Zugriffen von der gleichen
externen Vorrichtung 3 auf die Gateway-ECU 50 durchgeführt worden
sind.
-
Wenn
es in dem Schritt S530 bestimmt wird, daß die vorbestimmte Zeitdauer
seit dem abnormalen Zugriff noch nicht verstrichen ist, geht ein
Steuern zu einem Schritt S540. In dem Schritt S540 weist die entsprechende
Funk kommunikationsvorrichtung 41 bis 44 den Zugriff
von der externen Vorrichtung 3 des Sendeendes auf die Gateway-ECU 50 zurück. Andererseits
geht, wenn es bestimmt wird, daß die
vorbestimmte Zeitdauer seit dem abnormalen Zugriff verstrichen ist,
oder wenn es bestimmt wird, daß eine Meldung über einen
abnormalen Zugriff zum Melden der abnormalen Zugriffe nicht empfangen
worden ist, ein Steuern zu einem Schritt S550, in dem die entsprechenden
Kommunikationsdaten zu der Gateway-ECU 50 gesendet werden.
-
In
dem fahrzeuginternen Kommunikationssystem 1 des vorhergehenden
Ausführungsbeispiels bestimmt
die Gateway-ECU 50,
ob die externe Vorrichtung 3 autorisiert ist, auf jede
entsprechende ECU 11 bis 22 des fahrzeuginternen
LAN 10 zuzugreifen (das heißt, ob die externe Vorrichtung 3 autorisiert
ist, die Datenkommunikation mit jeder entsprechenden ECU 11 bis 22 zu
bilden) unter Verwendung des Paßworts,
daß von
der externen Vorrichtung 3 erzielt wird, wenn die Gateway-ECU 50 die
Kommunikation zwischen der Kommunikationseinheit 40 und
dem fahrzeuginternen LAN 10 weiterleitet. Daher ist es möglich, den
nicht autorisierten Zugriff auf jede ECU 11 bis 22 in
dem fahrzeuginternen LAN 10 von der externen Vorrichtung 3 zu
verhindern. Weiterhin kann mit dem vorhergehenden Aufbau der nicht
autorisierte externe Zugriff im Vergleich zu dem Fall, in dem die externe
Vorrichtung 3 lediglich durch einzelne ECUs authentisiert
wird, wirkungsvoller eingeschränkt
werden, und kann ein derartiges System mit geringeren Kosten realisiert
werden. Ebenso können
die Verbindungsleitungen (oder eine Verdrahtung) in dem fahrzeuginternen
Kommunikationssystem verringert werden.
-
In
dem in fahrzeuginternen Kommunikationssystem 1 des vorhergehenden
Ausführungsbeispiels wird,
wenn sich die Kommunikationsdaten nicht auf die Schreibanforderung
zum Schreiben des Programms oder der Abgleichskonstante be ziehen
und das Empfangsende (angeforderte Vorrichtung), welche die Kommunikationsdaten
empfängt,
eine der Informationssystem-ECUs (das heißt eine der ECUs 19 bis 22,
die mit dem Informationsnetzwerk verbunden ist) ist, welche vorgesehen
ist, um die externe Information zu dem Fahrzeuginsassen zu melden,
das Authentisierungsverfahren zum Authentisieren der externen Vorrichtung 3 nicht
durchgeführt.
-
Dies
ist aus dem folgenden Grund so. Das heißt, solange die Kommunikationsdaten
zu den Informationssystem-ECUs 19 bis 22 adressiert
sind, weisen die Kommunikationsdaten auch dann keinen Einfluß auf die
Fahrsicherheit des Fahrzeugs auf, wenn die Kommunikationsdaten absichtlich
derart aufbereitet werden, daß sie
ein unerwünschtes
Ergebnis bewirken. Weiterhin wird aufgrund der Tatsache, daß auf die
Informationssystem-ECUs häufig von
außerhalb
des Fahrzeugs zugegriffen wird, eine starke Last auf die Gateway-ECU 50 auferlegt,
wenn das Authentisierungsverfahren zum Authentisieren der externen
Vorrichtung 3 für
die Informationssystem-ECUs 19 bis 22 durchgeführt wird.
Jedoch ist es zu verstehen, daß eine
Einzelauthentisierung durch jede einzelne ECU durchgeführt werden
kann, wenn es erforderlich ist.
-
Andererseits
wird, wenn die Empfangsenden die anderen ECUs (das heißt die ECUs 11 bis 18,
die mit dem Steuersystemnetzwerk 31 oder dem Karosseriesystemnetzwerk 33 verbunden
sind) als die Informationssystem-ECUs sind, das Authentisieren der externen
Vorrichtung 3 zum Beispiel mindestens einmal mit dem Paßwort durchgeführt. Dies
ist aus dem folgenden Grund so. Das heißt jede ECU, die mit dem Steuersystemnetzwerk 31 oder
dem Karosseriesystemnetzwerk 33 verbunden ist, ist bezüglich des
Fahrzeugsteuerns von Bedeutung, so daß der nicht autorisierte Zugriff
auf eine derartige ECU verhindert werden muß, um die Fahrsicherheit des
Fahrzeugs aufrechtzuerhalten.
-
Weiterhin
wird insbesondere in dem Fall des fahrzeuginternen Kommunikationssystems 1 des vorliegenden
Ausführungsbeispiels,
wenn die Kommunikationsdaten bezüglich
der Anforderung zum Schreiben des Programms oder der Abgleichskonstante
von Bedeutung sind, der Zugriff von der externen Vorrichtung 3 durch
Durchführen
der zweiten Authentisierung zusätzlich
zu der ersten Authentisierung unter Verwendung des Paßworts oder
dergleichen unberücksichtigt
des Typs einer ECU des Empfangsendes mehr eingeschränkt. Daher
kann in dem fahrzeuginternen Kommunikationssystem 1 des
vorliegenden Ausführungsbeispiels
das nicht autorisierte Überschreiben
oder Ändern
des Programms, welches in der entsprechenden ECU ausgeführt wird, oder
der Abgleichskonstante, welche bezüglich des Fahrzeugsteuerns
von Bedeutung ist, verhindert werden.
-
Ebenso
werden in dem fahrzeuginternen Kommunikationssystem 1 die
Zugriffe von der externen Vorrichtung 3, welche dazu neigen,
daß die
Authentisierung fehlschlägt,
gesperrt, wenn die Anzahl der Zugriffe n erreicht, und verhindert
die Kommunikationseinheit 40, daß die Kommunikationsdaten von einer
derartigen externen Vorrichtung 3 die Gateway-ECU 50 erreichen.
Daher werden die nicht autorisierten Zugriffe keine Erhöhung der
Verarbeitungslast der Gateway-ECU 50 verursachen.
-
Eine
Beziehung zwischen dem fahrzeuginternen Kommunikationssystem 1 des
vorhergehenden Ausführungsbeispiels
und dem fahrzeuginternen Kommumikationssystem der vorliegenden Erfindung, welches
in den beiliegenden Ansprüchen
offenbart ist, ist wie folgt.
-
Zuerst
entspricht die Fahrzeugrelaisvorrichtung der vorliegenden Erfindung
der Gateway-ECU 50. des vorherge henden Ausführungsbeispiels. Informationssystemelektronikvorrichtungen
der vorliegenden Erfindung entsprechen den Informationssystem-ECUs 19 bis 22.
Die Steuersystemelektronikvorrichtungen der vorliegenden Erfindung
entsprechen den ECUs 11 bis 18, die mit dem Steuersystemnetzwerk 31 oder
dem Karosseriesystemnetzwerk 33 verbunden sind. Die Zugriffsanforderung
von der externen Vorrichtung entspricht dem Betrieb der externen
Vorrichtung 3, welche die Kommunikationsdaten zu der Kommunikationseinheit 40 sendet.
-
Die
erste Identifizierungseinrichtung der vorliegenden Erfindung entspricht
dem Betrieb der Gateway-ECU 50 in dem Schritt S170, welcher
auf der Grundlage der angeforderten fahrzeuginternen ECU, die in
dem Schritt S110 bestimmt wird, bestimmt, ob die angeforderte fahrzeuginterne
ECU eine der Informationssystem-ECUs ist, die als die Informationssystemelektronikvorrichtungen
wirken. Die erste Authentisierungseinrichtung der vorliegenden Erfindung
entspricht dem Betrieb der Gateway-ECU 50, welche in einem
Schritt S180 das Paßwort
erzielt, das als die erste Authentisierungsinformation wirkt und
in dem Schritt S190 bestimmt, ob das Paßwort berechtigt ist. Die erste Übergabeeinrichtung
der vorliegenden Erfindung entspricht dem Betrieb der Gateway-ECU 50,
welcher in dem Schritt S175 durchgeführt wird, wenn die Gateway-ECU 50 in
dem Schritt S170 ”JA” zurückgibt und
entspricht ebenso dem Betrieb der Gateway-ECU 50, welcher in
dem Schritt S200 durchgeführt
wird, wenn die Gateway-ECU 50 in dem Schritt S190 ”JA” zurückgibt.
-
Die
zweite Identifizierungseinrichtung der vorliegenden Erfindung entspricht
dem Betrieb der Gateway-ECU 50, welcher in dem Schritt
S130 durchgeführt
wird. Die zweite Authentisierungseinrichtung der vorliegenden Erfindung
entspricht dem Betrieb der Gateway-ECU 50, welche das Verfahren zu
dem Schritt S170 verschiebt, wenn die Gateway-ECU 50 bestimmt,
daß die
Zugriffsanforderung nicht die Schreibanforderung zum Schreiben des Programms
oder dergleichen in die angeforderte fahrzeuginterne ECU ist. Die
zweite Authentisierungseinrichtung der vorliegenden Erfindung entspricht
ebenso dem Betrieb der Gateway-ECU 50, welcher in den Schritten
S141 bis S161 durchgeführt wird,
wenn die Gateway-ECU 50 in dem Schritt S140 bestimmt, daß die Zugriffsanforderung
die Schreibanforderung zum Schreiben des Programms oder dergleichen
in die angeforderte fahrzeuginterne ECU ist. Die zweite Übergabeeinrichtung
der vorliegenden Erfindung entspricht dem Betrieb der Gateway-ECU 50,
welcher in dem Schritt S163 auf der Grundlage des Bestimmungsergebnisses
in dem Schritt S161 durchgeführt
wird, um die Kommunikationsdaten (zum Beispiel das Programm) zu
der angeforderten fahrzeuginternen ECU zu senden.
-
Die
Fahrzeugrelaisvorrichtung und das fahrzeuginterne Kommunikationssystem
der vorliegenden Erfindung sind nicht auf diejenigen beschränkt, die
in dem vorhergehenden Ausführungsbeispiel
beschrieben worden sind, und können
verschiedene andere Gestalten annehmen.
-
Zum
Beispiel wird in dem vorhergehenden Ausführungsbeispiel die Authentisierung
der externen Vorrichtung 3 unter Verwendung des Paßworts durchgeführt. Jedoch
kann die externe Vorrichtung 3 durch irgendein anderes
zweckmäßiges Authentisierungssystem
oder -verfahren authentisiert werden. Wenn die externe Vorrichtung 3 durch
das hochzuverlässige
Authentisierungsverfahren, wie zum Beispiel das System mit einem
gemeinsamen Schlüssel, authentisiert
wird, wird die Zeit, die für
die Authentisierung erforderlich ist, verlängert. Jedoch kann der nicht
authentisierte Zugriff auf die ECUs in dem fahrzeuginternen LAN 10 zuverlässiger eingeschränkt werden.
-
Weiterhin
wird die externe Vorrichtung 3, wenn die Schreibanforderung
zum Schreiben des Programms oder dergleichen in der angeforderten fahrzeuginternen
ECU empfangen wird, die externe Vorrichtung 3 unter Verwendung
von unterschiedlichen Authentisierungsverfahren zweimal authentisiert.
Jedoch kann die externe Vorrichtung 3, um die Sicherheit
bei dem Schreiben des Programms oder dergleichen weiter zu verbessern,
dreimal oder mehr mit dem hochzuverlässigen Authentisierungsverfahren
authentisiert werden. Alternativ kann die externe Vorrichtung 3 lediglich
einmal mit dem hochzuverlässigen
Authentisierungsverfahren authentisiert werden.
-
Nachstehend
erfolgt die Beschreibung eines zweiten Ausführungsbeispiels der vorliegenden
Erfindung.
-
Das
zweite Ausführungsbeispiel
der vorliegenden Erfindung wird unter Bezugnahme auf die beiliegende
Zeichnung beschrieben.
-
7 zeigt
eine schematische Ansicht, die eine Struktur eines Störungsdiagnosesystems
gemäß dem vorliegenden
Ausführungsbeispiel
zeigt.
-
Das
Störungsdiagnosesystem
des vorliegenden Ausführungsbeispiels
beinhaltet fahrzeuginterne Computersysteme, welche in einem Fahrzeug
angeordnet sind, und einen Kundenserver bzw. eine externe Vorrichtung 140,
welcher sich außerhalb
des Fahrzeugs befindet. Der Kundenserver 140 wird als eine
Servervorrichtung der vorliegenden Erfindung verwendet.
-
Die
Computersysteme, die in das Fahrzeug eingebaut sind, beinhalten
eine Motor-ECU 111, eine Getriebe-ECU 112, eine
VSC-ECU 113, eine Navigations-ECU 114, eine Au dio-ECU 115,
eine Telefon-ECU 116, eine Instrumentgruppen-ECU 117, eine
Antidiebstahl-ECU 118, eine Klimasteuer-ECU 119 und
eine Fahrzeugsteuer-ECU 130. Die Motor-ECU 111,
die Getriebe-ECU 112, die VSC-ECU 113, die Navigations-ECU 114,
die Audio-ECU 115, die Telefon-ECU 116, die Instrumentgruppen-ECU 117,
die Antidiebstahl-ECU 118 und die Klimasteuer-ECU 119 wirken
als elektronische Steuervorrichtungen (oder Elektronikvorrichtungen)
der vorliegenden Erfindung und die Fahrzeugsteuer-ECU 130 wirkt
als die Fahrzeugsteuervorrichtung der vorliegenden Erfindung.
-
Die
Fahrzeugsteuer-ECU 130 ist mit einem Steuersystemnetzwerk 121,
einem Informationssystemnetzwerk 122 und einem Karosseriesystemnetzwerk 123 verbunden,
welche als fahrzeuginterne Netzwerke verwendet werden. Das Steuersystemnetzwerk 121 beinhaltet
die Motor-ECU 111, die Getriebe-ECU 112 und die
VSC-ECU 113. Das Informationssystemnetzwerk 122 beinhaltet
die Navigations-ECU 114, die Audio-ECU 115 und
die Telefon-ECU 116. Das Karosseriesystemnetzwerk 123 beinhaltet
die Instrumentgruppen-ECU 117, die Antidiebstahl-ECU 118 und
die Klimasteuer-ECU 119.
-
Die
Motor-ECU 111 führt
hauptsächlich
einen Steuerbetrieb eines Fahrzeugmotors durch. Genauer gesagt steuert
die Motor-ECU 111 Einspritzdüsen und einen Drosselmotor
auf der Grundlage von Sensorsignalen, die von Sensoren von Bedeutung, wie
zum Beispiel einem Gaspedalsensor, einem Luft/Kraftstoffverhältnissensor
und einem Luftflußsensor,
gesendet werden. Die Getriebe-ECU weist Funktionen auf, die bezüglich eines
Schaltens von Gängen
eines Automatikgetriebes von Bedeutung sind. Die VSC-ECU 113 weist
Funktionen auf, die bezüglich
eines Einstellens eines Bremsöldrucks
von Bedeutung sind. Die Navigations-ECU 114 weist Funktionen
auf, die bezüglich
eines Leitens des Fahrzeugs entlang einer ausgewählten Strecke zu seinem Ziel
von Bedeutung sind. Die Audio-ECU 115 weist Funktionen
auf, die bezüglich
eines Abspielens einer Kompaktdisk bzw. CD oder dergleichen von
Bedeutung sind. Die Telefon-ECU 116 weist
Funktionen auf, die bezüglich
eines Sendens und Empfangens von Anrufen mit einem Freisprech-Funktelefon
von Bedeutung sind. Die Instrumentgruppen-ECU 117 weist
Funktionen auf, die bezüglich
einer Anzeige einer Information bezüglich verschiedenen physikalischen
Werten des Fahrzeugs von Bedeutung sind. Die Antidiebstahl-ECU 118 weist
Funktionen auf, die bezüglich
Antidiebstahlbetrieben, wie zum Beispiel einer Meldung einer Notsituation
auf der Grundlage von abnormalen Schwingungen, die in dem parkenden
Fahrzeug erzeugt werden, von Bedeutung sind. Die Klimasteuer-ECU 119 weist
Funktionen auf, die bezüglich
eines Steuerns einer Lufttemperatur und eines Luftflusses zum Einstellen
der Raumtemperatur auf eine ausgewählte Temperatur von Bedeutung sind.
-
Wie
es zuvor beschrieben worden ist, steuert jede ECU 111 bis 119 ihren
Gegenstand (durch die ECU zu steuernder Gegenstand) und kann mit
den anderen ECUs 111 bis 119 zusammenarbeiten,
wenn es erforderlich ist. Zum Beispiel wird eine Fahrzeuggeschwindigkeit,
welche die Anzeigeinformation der Instrumentgruppen-ECU 117 ist,
von der Motor-ECU 111 über
die Fahrzeugsteuer-ECU 130 zu der Instrumentgruppen-ECU 117 gesendet.
In diesem Sinn weist die Fahrzeugsteuer-ECU 130 eine Funktion
einer bekannten Gateway-ECU auf. Weiterhin führt jede ECU 111 bis 119 ein
Störungserfassungsprogramm
zum Erfassen einer Störung
von jeder entsprechenden Vorrichtung während des Steuerbetriebs ihres
zugehörigen
Gegenstands aus. Ein Störungserfassungsergebnis,
das durch das Ausführen des
Störungserfassungsprogramms
erzielt wird, wird zu der Fahrzeugsteuer-ECU 130 gesendet.
In diesem Ausführungsbeispiel
führt die
entsprechende ECU 111 bis 119, wenn jede ent sprechende
ECU 111 bis 119 eine Anforderung zum Senden einer
internen Variable, die in einem entsprechenden Steuerbetrieb verwendet
wird, von der Fahrzeugsteuer-ECU 130 empfängt, ein
Programm eines zugehörigen
Verfahrens aus, welches der Anforderung zugehörig ist und vorab in der ECU 111 bis 119 installiert
worden ist. Dann gibt die entsprechende ECU 111 bis 119 die
angeforderte Information zu der Fahrzeugsteuer-ECU 130 aus.
Der ECU-Betrieb zum Ausführen
des Programms eines zugehörigen
Verfahrens und zum Diagnostizieren des Ergebnisses, das durch das
Ausführen
des Programms des zugehörigen
Verfahrens erzielt wird, wird beschrieben.
-
Der
Kundenserver 140 befindet sich außerhalb des Fahrzeugs und bildet
eine drahtlose Datenkommunikation mit der Fahrzeugsteuer-ECU 130 durch
eine Basisstation 150, wenn der Kundenserver 140 mit
einem Informationskommunikationsnetzwerk verbunden ist. Der Kundenserver 140 ist
ebenso als ein Computersystem aufgebaut und beinhaltet eine Datenbank 141,
welche als eine Speichereinrichtung der vorliegenden Erfindung wirkt.
-
Es
wird auf 8 verwiesen. Die Datenbank 141 speichert
eine Kundeninformation 141a, eine Störungsinformation 141b,
verschiedene Erfassungs/Diagnoseprogramme 141c und eine
Störungsinformation 141d.
Die Kundeninformation 141a ist für jeden Kunden vorbereitet,
der an einem Dienst des Störungsdiagnosesystems
des vorliegenden Ausführungsbeispiels
teilnimmt. Die Störungsinformation 141b ist
durch typische Störungen
der Fahrzeuge vorbereitet. Das Erfassungs/Diagnoseprogramm 141c wird
von der Fahrzeugsteuer-ECU 130 ausgeführt. Die Störungsinformation 141d wird
von der Fahrzeugsteuer-ECU 130 auf der Grundlage des Ergebnisses,
das durch Ausführen
des entsprechenden Erfassungs/Diagnoseprogramms 141c in
der Fahrzeugsteuer-ECU 130 erzielt wird, von der Fahrzeugsteuer- ECU 130 zu
dem Kundenserver 140 gesendet und in der Datenbank 141 gespeichert.
Jedes Erfassungs/Diagnoseprogramm 141 ist kundenspezifisch
angepaßt,
um der entsprechenden Störungsinformation 141b zu
entsprechen. In 8 ist jede Störungsinformation 141b mit
dem entsprechenden Erfassungs/Diagnoseprogramm 141c verknüpft.
-
Die
Kundeninformation 141a beinhaltet eine Identifizierungsinformation,
eine Störungsverlaufsinformation,
eine Fahrzeuginformation und eine Kontaktinformation. Die Identifizierungsinformation
wird verwendet, um einen Benutzer zu identifizieren, der auf den
Kundenserver 140 zugreift. Die Störungsverlaufsinformation beinhaltet
eine Information, die für vorhergehend
aufgetretene Störungen
von jedem entsprechenden Fahrzeug von Bedeutung ist. Die Fahrzeuginformation
beinhaltet ein Modell und eine Klasse jedes entsprechenden Fahrzeugs.
Die Kontaktinformation wird verwendet, um in einem Fall der Störung des
Fahrzeugs einen Kontakt herzustellen. Die Identifizierungsinformation
beinhaltet zum Beispiel eine Benutzerkennung und ein Paßwort. Die Kontaktinformation
beinhaltet zum Beispiel eine Kontakttelefonnummer und/oder eine
Kontaktfaxnummer.
-
Die
Störungsinformation 141b ist
durch Typisieren von Störungssymptomen
der Fahrzeuge vorbereitet. Die Störungsinformation 141b wird
als ein Schlüssel
zum Suchen des entsprechenden Erfassungs/Diagnoseprogramms 141c auf
der Grundlage der derzeitigen Störungsinformation
verwendet, die in einer Abfrageinformation enthalten ist, die von
der Fahrzeugsteuer-ECU 130 gesendet wird.
-
Das
Erfassungs/Diagnoseprogramm 141c wird heruntergeladen und
von der Fahrzeugsteuer-ECU 130 ausgeführt. Wenn das Erfassungs/Diagnoseprogramm 141c ausgeführt wird,
bewirkt es ein Ausführen
des zugehörigen
Verfahrens, wel ches dem Erfassungs/Diagnoseprogramm 141c zugehörig ist,
in jeder entsprechenden der ECUs 111 bis 119, und
ein entsprechendes gestörtes
Teil wird von dem Erfassungs/Diagnoseprogramm 141c auf
der Grundlage einer Information identifiziert, die von jeder entsprechenden
der ECUs 111 bis 119 nach dem Ausführen des
zugehörigen
Verfahrens in ihr gesendet wird.
-
Die
Störungsinformation 141d ist
ein Informationstyp, der lediglich gesendet wird, wenn das gestörte Teil
von der Fahrzeugsteuer-ECU 130 identifiziert wird. Die
Störungsinformation 141d ist
eine nützliche
Information zum Aufbauen des Erfassungs/Diagnoseprogramms 141c und
daher für
zukünftige
Zwecke in der Datenbank 141 des Kundenservers 140 gespeichert.
-
Eine
Funktionsweise des Störungsdiagnosesystems
des vorliegenden Ausführungsbeispiels
wird beschrieben.
-
Zuerst
wird eine Funktionsweise der Fahrzeugsteuer-ECU 130 beschrieben und wird
als nächstes
der Kundenserver 140 und eine Funktionsweise von jeder
ECU 111 bis 119 beschrieben.
-
9 zeigt
ein Flußablaufdiagramm,
das das Störungsdiagnoseverfahren
zeigt, das in der Fahrzeugsteuer-ECU 130 ausgeführt wird.
Dieses Verfahren wird in vorbestimmten Zeitintervallen wiederholt.
Zuerst werden in einem Schritt S1100 Daten von jeder ECU 111 bis 119 in
den Fahrzeugnetzwerken 121 bis 123 überwacht.
Die überwachten
Daten beinhalten Ergebnisdaten der Störungserfassung, welche durch
das Ausführen
des Störungserfassungsprogramms
in jeder ECU 111 bis 119 erzielt werden. Die überwachten
Daten beinhalten ebenso Daten, welche zwischen den ECUs 111 bis 119 durch die
Fahrzeugsteuer-ECU 130 übertragen
werden. Das heißt
die Fahrzeugsteuer-ECU 130 erfaßt nicht nur die derzeitige
Störung
in der entsprechenden Vorrichtung durch jede ECU 111 bis 119,
sondern ebenso die derzeitige Störung
in dem zusammenwirkenden Betrieb der ECUs 111 bis 119 durch
das Überwachen
der Daten. Zum Beispiel könnte
es passieren, daß,
obgleich Daten, die aus der Navigations-ECU 114 ausgegeben
werden, anzeigen, daß das
Fahrzeug derzeit bergauf fährt,
Daten die aus der Motor-ECU 111 ausgegeben werden, im wesentlichen
eine Änderung
einer Motorlast zeigen. Ein Auftreten eines derartigen Zustands
wird als ein Störungsmuster
klassifiziert und wird daher von der Fahrzeugsteuer-ECU überwacht.
-
Als
nächstes
wird es in einem Schritt S1110 auf der Grundlage eines Überwachungsergebnisses der
Daten bestimmt, ob die Störung
des Fahrzeugs derzeit vorhanden ist. Wenn es bestimmt wird, daß die Störung des
Fahrzeugs derzeit vorhanden ist (S1110: JA), geht ein Steuern zu
einem Schritt S1120. Wenn es andererseits bestimmt wird, daß die Störung des
Fahrzeugs derzeit nicht vorhanden ist (S1110: NEIN), wird das Störungsdiagnoseverfahren ohne
Durchführen
der folgenden Schritte beendet.
-
In
dem Schritt S1120 wird eine Datenkommunikationsverbindung mit dem
Kundenserver 140 gebildet und wird eine Abfrageinformation
von der Fahrzeugsteuer-ECU 130 zu dem Kundenserver 140 gesendet.
Hierbei wird die Datenkommunikationsverbindung durch das folgende
bestimmte Verfahren gebildet. Das heißt die Fahrzeugsteuer-ECU 130 ruft den
Kundenserver 140 und überträgt dann
zum Beispiel die Benutzerkennung und das Paßwort zu dem Kundenserver 140.
Als nächstes
bestimmt der Kundenserver 140, auf der Grundlage der Identifizierungsinformation,
die in der Kundeninformation 141a enthalten ist, ob der
Benutzer ein Teilnehmer des Diensts ist. Wenn die Datenkommunikationsverbindung
einmal durch das vorhergehende Verfahren ge bildet ist, wird eine
Abfrageinformation von der Fahrzeugsteuer-ECU 130 zu dem
Kundenserver 140 gesendet. Die Abfrageinformation beinhaltet
die derzeitige Störungsinformation,
welche die derzeitige Störung
anzeigt, die als in dem Schritt S1110 vorhanden bestimmt wird.
-
In
dem Kundenserver 140 wird das entsprechende Erfassungs/Diagnoseprogramm 141c durch Vergleich
der derzeitigen Störungsinformation,
die in der Abfrageinformation enthalten ist, mit der Störungsinformation 141b,
die in der Datenbank 141 enthalten ist, und ebenso auf
der Grundlage der Störungsverlaufsinformation
und der Fahrzeuginformation ausgewählt, die in der Kundeninformation 141a enthalten
sind.
-
Daher
wird es in dem nächsten
Schritt S1130 bestimmt, ob das Erfassungs/Diagnoseprogramm ausgewählt worden
ist. Dies wird auf der Grundlage einer Auswahlbeendigungsmeldung
bestimmt, welche von dem Kundenserver 140 gesendet wird
und ein Beenden der Auswahl der Erfassungs/Diagnoseprogramms meldet.
Wenn es bestimmt wird, daß das Erfassungs/Diagnoseprogramm
ausgewählt
worden ist (S1130: JA), geht ein Steuern zu einem Schritt S1140.
Wenn es andererseits bestimmt wird, daß das Erfassungs/Diagnoseprogramm
nicht ausgewählt worden
ist (S1130: NEIN), wird die vorhergehende Funktionsweise wiederholt.
-
In
dem Schritt S1140 wird ein Authentisierungsverfahren ausgeführt. Das
Authentisierungsverfahren ist vorgesehen, um eine Sicherheit des Fahrzeugs
durch Verhindern eines Herunterladens eines unberechtigten Programms
von dem Kundenserver 140 sicherzustellen. Genauer gesagt
ist es vorstellbar, eine mathematische Funktion zu verwenden, welche
verwendet worden ist, um Daten in der ECU mit einem Diagnosewerkzeug
zu überschreiben.
zum Beispiel sen det eine Vorrichtung einen Funktionswert f(r), wie
zum Beispiel eine Zufallszahl r, zu der anderen Vorrichtung und
sendet dann die andere Vorrichtung einen Funktionswert F(f(r)),
welcher auf der Grundlage des Funktionswerts f(r) erzielt wird,
zu der anderen Vorrichtung. Als nächstes bestimmt die eine Vorrichtung,
wenn die eine Vorrichtung bestimmt, daß der Funktionswert F(f(r))
gleich r ist, das heißt
die Funktion F gleich f–1 ist, daß die andere
Vorrichtung die berechtigte Vorrichtung ist.
-
Nach
einem Beenden des vorhergehenden Authentisierungsverfahrens (S1140)
geht, wenn es bestimmt wird, daß der
Kundenserver 140 berechtigt ist (S1150: JA) ein Steuern
zu einem Schritt S1160. Wenn es andererseits bestimmt wird, daß der Kundenserver 140 nicht
berechtigt ist (S1150: NEIN), wird das Störungsdiagnoseverfahren ohne
Durchführen
der folgenden Schritte beendet.
-
In
einem Schritt S1160 wird das entsprechende Erfassungs/Diagnoseprogramm 141c von dem
Kundenserver 140 heruntergeladen. Hierbei fordert die Fahrzeugsteuer-ECU 130 ein
Herunterladen des Erfassungs/Diagnoseprogramms 141c von
dem Kundenserver 140 an und lädt dann das Erfassungs/Diagnoseprogramm 141 von
dem Kundenserver 140 herunter.
-
In
dem nachfolgenden Schritt S1170 wird das heruntergeladene Erfassungs/Diagnoseprogramm 141c in
der Fahrzeugsteuer-ECU 130 ausgeführt. Daher führt jede
entsprechende ECU 111 bis 119 das zugehörige Verfahren
aus. Nach dem Ausführen
des zugehörigen
Verfahrens wird die Information, wie zum Beispiel die interne Variable
des entsprechenden Steuervorgangs, von jeder entsprechenden ECU 111 bis 119 zu
der Fahrzeugsteuer-ECU 130 gesendet. Dann bestimmt das
Erfassungs/Diagnoseprogramm 141c das ge störte Teil
auf der Grundlage der Information, die von dem Kundenserver 140 gesendet
wird.
-
In
dem nächsten
Schritt S1180 wird es bestimmt, ob das gestörte Teil identifiziert worden
ist. Wenn es bestimmt wird, daß das
gestörte
Teil identifiziert worden ist (S1180: JA), geht ein Steuern zu einem
Schritt S1190. Wenn das gestörte
Teil andererseits nicht identifiziert worden ist (S1180: NEIN), kehrt
ein Steuern zu dem Schritt S1120 zurück. Das heißt, wenn ”NEIN” zurückgegeben wird, wird eine neue
Abfrage von der Fahrzeugsteuer-ECU 130 zu dem
Kundenserver 140 gesendet (S1120). Dann wird ein unterschiedliches
Erfassungs/Diagnoseprogramm in dem Kundenserver 140 ausgewählt (Schritt S1130:
JA) und heruntergeladen und in der Fahrzeugsteuer-ECU 130 ausgeführt (S1160,
S1170).
-
In
einem Schritt S1190 wird die Störungsinformation,
die für
das gestörte
Teil von Bedeutung ist, zu dem Kundenserver 140 gesendet
und wird eine Information, die die Störung anzeigt, visuell angezeigt oder
hörbar
zu erkennen gegeben. Dann ist das Störungsdiagnoseverfahren beendet.
Die Anzeige der Information, die die Störung anzeigt, kann zum Beispiel
durch Ausgeben der Information aus der Fahrzeugsteuer-ECU 130 zu
der Instrumentgruppen-ECU 117,
um eine Warnlampe aufleuchten zu lassen, erzielt werden. Alternativ
kann die Information, die die Störung
anzeigt, zu der Navigations-ECU 114 ausgegeben werden,
um die Information auf einer Navigationsanzeige anzuzeigen, die
verwendet wird, um das Fahrzeug entlang der Strecke zu dem Ziel
zu leiten. In dem letzteren Fall kann eine bestimmte Nachricht,
wie zum Beispiel ”Bitte
die Komponente xxx wechseln” (hier
stellt die Komponente xxx irgendein gestörtes Teil dar) oder eine unbestimmte
Nachricht, wie zum Beispiel ”Bitte örtliche
Werkstatt für
Reparaturdienst anrufen” auf
der Navigationsanzeige ange zeigt werden. Es ist vorstellbar, Änderungen
dieser Nachrichten auf der Grundlage eines Bedürfnisses eines Benutzers zuzulassen.
-
Ein
Verfahren, welches in dem Kundenserver 140 als Reaktion
auf das Ausführen
des Störungsdiagnoseverfahrens
in der Fahrzeugsteuer-ECU 130 ausgeführt wird, wird als ein serverseitiges
Verfahren bezeichnet, das in dem Flußdiagramm in 10 gezeigt
ist. Das serverseitige Verfahren wird in vorbestimmten Zeitintervallen
ausgeführt, wenn
die Datenkommunikationsverbindung zwischen der Fahrzeugsteuer-ECU 130 durch
zum Beispiel die vorhergehenden vorbestimmten Schritte gebildet
ist.
-
Zuerst
wird es in einem Schritt S1200 bestimmt, ob die Abfrageinformation
von der Fahrzeugsteuer-ECU 130 gesendet worden ist. Dieses
Verfahren entspricht dem Schritt S1120 in 9. Wenn
die Abfrageinformation von der Fahrzeugsteuer-ECU 130 gesendet
worden ist (Schritt S1200: JA), geht ein Steuern zu einem Schritt
S1210. Wenn die Abfrageinformation andererseits nicht von der Fahrzeugsteuer-ECU 130 gesendet
worden ist (Schritt S1200: NEIN), geht ein Steuern zu einem Schritt
S1250.
-
In
dem Schritt S1210 wird das entsprechende Erfassungs/Diagnoseprogramm 141c,
das in der Datenbank 141 enthalten ist, unter Verwendung
der Störungsinformation 141b als
der Schlüssel
gesucht. Wie es zuvor beschrieben worden ist, werden in dieser Phase
ebenso die Störungsverlaufsinformation und
die Fahrzeuginformation, die in der Kundeninformation 141a enthalten
sind, verwendet, um das entsprechende Erfassungs/Diagnoseprogramm 141c zu suchen.
Dann wird das entsprechende Erfassungs/Diagnoseprogramm 141c ausgewählt. Wenn die
Auswahlbeendigungsmeldung, welche ein Beenden der Auswahl des Erfassungs/Diagnoseprogramms 141c meldet,
empfangen wird, führt
die Fahrzeugsteuer-ECU 130 das Authentisierungsverfahren
aus (S1140 in 9).
-
Daher
führt der
Kundenserver in einem Schritt S1120 als Reaktion auf das Ausführen des Authentisierungsverfahrens
durch die Fahrzeugsteuer-ECU 130 das Authentisierungsverfahren
mit der Fahrzeugsteuer-ECU 130 aus.
-
Nach
dem Ausführen
des Authentisierungsverfahrens fordert die Fahrzeugsteuer-ECU 130, wenn
es bestimmt wird, daß der
Kundenserver 140 berechtigt ist (Schritt S1150 in 9:
JA), das Herunterladen des Erfassungs/Diagnoseprogramms 141c von
dem Kundenserver 114 an (Schritt S1160).
-
Dann
wird es in dem nächsten
Schritt S1230 bestimmt, ob das Herunterladen des Erfassungs/Diagnoseprogramms 141c von
der Fahrzeugsteuer-ECU 130 angefordert worden ist. Wenn
es bestimmt wird, daß das
Herunterladen des Erfassungs/Diagnoseprogramms 141c angefordert
worden ist (Schritt S1230: JA), sendet der Kundenserver 140 das
entsprechende Erfassungs/Diagnoseprogramm 141c in einem
Schritt S1240 zu der Fahrzeugsteuer-ECU 130 und geht ein
Steuern zu einem Schritt S1250. Wenn es andererseits bestimmt wird, daß das Herunterladen
des Erfassungs/Diagnoseprogramms 141c nicht angefordert
worden ist (Schritt S1230: NEIN), geht ein Steuern ohne ein Ausführen des
Schritts S1240 zu dem Schritt S1250.
-
In
dem Schritt S1250 wird es bestimmt, ob die Störungsinformation von der Fahrzeugsteuer-ECU 130 gesendet
worden ist. Dieses Verfahren entspricht einem Schritt S1190 in 9.
Wenn das gestörte
Teil identifiziert wird (Schritt S1180 in 9: JA),
sendet die Fahrzeugsteuer-ECU 130 die Störungsinformation,
die bezüglich
des gestörten
Teils von Bedeutung ist, zu dem Kundenserver 140. In dieser
Phase geht ein Steuern, wenn es bestimmt wird, daß die Störungsinformation
gesendet worden ist (Schritt S1250: JA), zu einem Schritt S1260.
Wenn es andererseits bestimmt wird, daß die Störungsinformation nicht gesendet
worden ist (Schritt S1250: NEIN), wird das serverseitige Verfahren
ohne Ausführen
von irgendeinem der folgenden Schritte beendet.
-
In
dem Schritt S1260 wird die Störungsinformation
in der Datenbank 141 gespeichert. Diese Information entspricht
der Störungsinformation 141d in 8.
Dann wird in dem folgenden Schritt S1270 eine Meldung auf der Grundlage
der Störungsinformation
ausgeführt
und ist das serverseitige Verfahren beendet. Die Meldung wird zu
dem Kontakt gesendet, der in der Kontaktinformation bestimmt ist, die
in der Kundeninformation 141a enthalten ist. Zum Beispiel
wird die Störungsinformation,
wenn eine besondere Tankstelle als der Kontakt bestimmt ist, bezüglich welcher
ein Betroffener normalerweise nach einer Reparatur seines Fahrzeugs
nachfragt, zu dieser Tankstelle übertragen.
Zum Beispiel kann die Meldung eine Anweisung zum Austauschen des
gestörten
Teils sein, wie es vorhergehend angegeben worden ist.
-
Das
Verfahren, das von jeder entsprechenden ECU 111 bis 119 als
Reaktion auf das Ausführen des
Störungsdiagnoseverfahrens
in der Fahrzeugsteuer-ECU 130 ausgeführt wird, wird als das ECU-Verfahren
bezeichnet, das in dem Flußablaufdiagramm
in 11 dargestellt ist. Dieses Verfahren wird in vorbestimmten
Zeitintervallen in jeder entsprechenden ECU 111 bis 119 wiederholt.
-
Wenn
das Verfahren startet, wird es bestimmt, ob eine Anweisung, die
ein Ausführen
des zugehörigen
Verfahrens anfordert, von der Fahrzeugsteuer-ECU 130 empfangen
wird (Schritt S1300). Die Anweisung wird ausgegeben, wenn das Erfassungs/Diagnoseprogramm 141c von
der Fahrzeugsteuer-ECU 130 ausgeführt wird
(S1170 in 9). Wie es zuvor beschrieben
worden ist, könnte ein
Beispiel der Anweisung eines sein, das ein Senden der internen Variable
in dem entsprechenden Steuerbetrieb anfordert. Wenn die Anweisung,
die das Ausführen
des zugehörigen
Verfahrens anfordert, empfangen wird (Schritt S1300: JA), wird das zugehörige Verfahren
in der entsprechenden ECU 111 bis 119 ausgeführt (Schritt
S1310). Dann ist das ECU-Verfahren beendet. Andererseits wird, wenn
die Anweisung, die das Ausführen
des zugehörigen
Verfahrens anfordert, nicht empfangen wird (Schritt S1300: NEIN),
das ECU-Verfahren ohne Ausführen des
Schritts 1310 beendet. Wenn das Programm des zugehörigen Verfahrens,
welches ein Programm zum Ausführen
des zugehörigen
Verfahrens ist, ausgeführt
wird, wird die Information, wie zum Beispiel die interne Variable,
zu der Fahrzeugsteuer-ECU 130 gesendet. In der vorhergehenden
Beschreibung wird die Anweisung, die das Senden der internen Variable in
dem entsprechenden Steuerbetrieb anfordert, als ein Beispiel der
Anweisungen verwendet. Jedoch können
diese Anweisungen alle Anweisungen sein, die ein Senden einer veränderbaren
Information anfordern, die zum Identifizieren des gestörten Teils nützlich ist.
-
Die
Vorteile des Störungsdiagnosesystems gemäß dem vorliegenden
Ausführungsbeispiel
werden beschrieben.
-
In
dem Störungsdiagnosesystem
des vorliegenden Ausführungsbeispiels überwacht
die Fahrzeugsteuer-ECU 130 die Daten von jeder ECU 111 bis 119 in
den fahrzeuginternen Netzwerken 121 bis 123 und
bestimmt auf der Grundlage der Daten, ob die Störung des Fahrzeugs derzeit
vorhanden ist (Schritt S1110). Das heißt das Vorhandensein der Störung des
Fahrzeugs wird auf der Grundlage der Ergebnisdaten der Störungserfassung
bestimmt, welche durch das Aus führen
des Störungserfassungsprogramms
in jeder entsprechenden ECU 111 bis 119 erzielt
werden. Das Vorhandensein der Störung
des Fahrzeugs wird ebenso auf der Grundlage der Daten bestimmt,
welche durch die Fahrzeugsteuer-ECU 130 zwischen den ECUs 111 bis 119 übertragen
werden. Das heißt
die Fahrzeugsteuer-ECU 130 kann nicht nur die derzeitige
Störung
in der entsprechenden Komponente durch jede ECU 111 bis 119 erfassen,
sondern ebenso die derzeitige Störung
in dem zusammenwirkenden Betrieb der ECUs 111 bis 119.
Dann wird das Erfassungs/Diagnoseprogramm 141 erzielt,
welches der derzeitigen Störung
entspricht (Schritt S1160), und wird das Erfassungs/Diagnoseprogramm 141c ausgeführt. Daher
wird das zugehörige
Verfahren in jeder entsprechenden ECU 111 bis 119 ausgeführt und
wird die Information, wie zum Beispiel die interne Variable in dem
entsprechenden Steuerbetrieb, gesendet, um das gestörte Teil
zu identifizieren (Schritt S1170). Als Ergebnis kann das gestörte Teil
schnell identifiziert werden.
-
Weiterhin
wird in dem Störungsdiagnosesystem
des vorliegenden Ausführungsbeispiels,
wenn das gestörte
Teil nicht identifiziert werden kann (S1180: NEIN), eine neue Abfrageinformation
zu dem Kundenserver 140 gesendet (Schritt S1120), so daß ein anderes
Erfassungs/Diagnoseprogramm 141c von dem Kundenserver 140 erzielt
und ausgeführt wird
(Schritt S1160, S1170). Aufgrund der Tatsache, daß eine einzelne
Störung
durch verschiedene Faktoren verursacht werden kann, ist mehr als
ein Erfassungs/Diagnoseprogramm 141c vorgesehen. Daher wird
das gestörte
Teil auf eine schrittartige Weise unter Verwendung der verschiedenen
Erfassungs/Diagnoseprogramme 141c identifiziert. Zum Beispiel kann
mehr als ein Erfassungs/Diagnoseprogramm 141c unter Verwendung
eines Fehlerbaumanalyse- bzw. FTA-Ansatzes vorbereitet sein. Auf
diese Weise wird eine Möglichkeit
eines Identifizierens des gestörten
Teils erhöht,
welche beim Eingeben und Aus geben von verhältnismäßig komplizierten Daten zwischen
den ECUs 111 bis 119 verwickelt ist, und dies kann
zu einer schnelleren Identifizierung des gestörten Teils beitragen.
-
Weiterhin
ist in dem Störungsdiagnosesystem
des vorliegenden Ausführungsbeispiels
der Kundenserver 140 außerhalb des Fahrzeugs angeordnet und
wird das entsprechende Erfasssungs/Diagnoseprogramm 141c durch
Senden der Abfrageinformation, welche die derzeitige Störungsinformation
beinhaltet, zu dem Kundenserver 140 von dem Kundenserver 140 erzielt
(Schritt S1120 in 9). Als Ergebnis kann die Speicherkapazität jedes
Fahrzeugs zum Speichern der verschiedenen Daten und der Information
verringert werden und kann das zweckmäßige Erfassungs/Diagnoseprogramm 141c in
jedem Fahrzeug durch häufiges
Aktualisieren oder Erneuern der Datenbank 141 des Kundenservers 140 verwendet werden.
Daher kann das gestörte
Teil zweckmäßig identifiziert
werden.
-
Weiterhin
ist die Kundeninformation 141a in dem Kundenserver 140 gespeichert
(8). Das Erfassungs/Diagnoseprogramm 141c,
das zu der Fahrzeugsteuer-ECU 130 zu
senden ist, wird auf der Grundlage der Störungsverlaufsinformation und
der Fahrzeuginformation ausgewählt,
die in der Kundeninformation 141a enthalten sind (Schritt
S1210 in 10). Daher wird eine Möglichkeit
eines Auswählens
des zweckmäßigen Erfassungs/Diagnoseprogramms
erhöht
und kann daher das gestörte
Teil schneller identifiziert werden.
-
Ebenso
beinhaltet die Kundeninformation 141a die Identifizierungsinformation
zum Identifizieren des Benutzers, der der Teilnehmer des Diensts ist.
Daher wird die Datenkommunikationsverbindung mit der Fahrzeugsteuer-ECU 130 unter
Verwendung der Identifizierungsinformation ge bildet. Als Ergebnis ist
es möglich,
einen nicht autorisierten Zugriff von nicht teilnehmenden Benutzern
zu verhindern, die nicht an dem Dienst teilnehmen. Andererseits
führt die
Fahrzeugsteuer-ECU 130 das Authentisierungsverfahren mit
dem Kundenserver 140 vor dem Herunterladen des Erfassungs/Diagnoseprogramms 141c aus
(Schritt S1140 in 9 und Schritt S1220 in 10)
und bestimmt, ob der Kundenserver 140 berechtigt ist (Schritt
S1150 in 9). Daher ist es möglich, das
Herunterladen eines unberechtigten Programms von dem Kundenserver 140 zu
der Fahrzeugsteuer-ECU 130 zu verhindern. Als Ergebnis
ist es möglich,
ein Auftreten eines kritischen Zustands zu vermeiden, der eine sichere
Fahrt des Fahrzeugs gefährden
könnte.
-
Weiterhin
wird in dem Störungsdiagnosesystem
des vorliegenden Ausführungsbeispiels,
wenn die Fahrzeugsteuer-ECU 130 das
gestörte
Teil identifiziert (Schritt S1180 in 9: JA),
die Störungsinformation,
die für
das gestörte
Teil von Bedeutung ist, zu dem Kundenserver 140 gesendet
(Schritt S1190). Weiterhin wird, wenn der Kundenserver 140 die
Störungsinformation
empfängt
(Schritt S1250 in 10: JA), die Störungsinformation
in der Datenbank 141 gespeichert (S1260) und als die Störungsinformation 141d angehäuft. Daher
wird ein Erzeugen der Erfassungs/Diagnoseprogramme 141c und
ein Aktualisieren der Erfassungs/Diagnoseprogramme 141c unter Verwendung
der Störungsinformation 141d vereinfacht.
Das heißt
der Wirkungsgrad zum Erzeugen der Erfassungs/Diagnoseprogramme 141c wird
weiter verbessert.
-
Weiterhin
speichert der Kundenserver 140 nicht nur die Störungsinformation,
sondern führt ebenso
die Meldung auf der Grundlage der Störungsinformation aus (Schritt
S1270 in 10). Zum Beispiel kann die Tankstelle
im voraus durch den Kundenserver 140 über das gestörte Teil unterrichtet
werden, welches ausgetauscht werden muß. Auf diese Weise kann der
Benutzer, wenn der Benutzer an der unterrichteten Tankstelle ankommt,
schneller einen Austauschdienst für das gestörte Teil von der Tankstelle
erhalten.
-
Die
vorliegende Erfindung ist nicht auf das vorhergehende Ausführungsbeispiel
beschränkt
und das vorhergehende Ausführungsbeispiel
kann wie folgt abgeändert
werden, ohne den Umfang der Erfindung zu verlassen.
- (I) In dem vorhergehenden Ausführungsbeispiel wird das Programm,
welches auf der Fahrzeugseite ausgeführt wird, von dem Kundenserver 140 heruntergeladen,
so daß das
fahrzeugseitige Programm einfach aktualisiert werden kann.
-
Bezüglich dieses
Punkts können
die Programme eines zugehörigen
Verfahrens, die in den ECUs 111 bis 119 aus geführt werden,
in der Datenbank 141 des Kundenservers 140 gespeichert
sein und können
von der Fahrzeugsteuer-ECU 130 zusammen
mit dem Erfassungs/Diagnoseprogramm 141c heruntergeladen
werden, wie es in 12 gezeigt ist. Dann werden
die Programme eines zugehörigen
Verfahrens von der Fahrzeugsteuer-ECU 130 zu den entsprechenden
ECUs 111 bis 119 gesendet. Das heißt es ist
lediglich erforderlich, einen Speicherraum in jeder ECU 111 bis 119 zum
Speichern des Programms eines zugehörigen Verfahrens vorzusehen.
Insbesondere kann, wie es in 12 gezeigt
ist, wenn jedes Erfassungs/Diagnoseprogramm 141c mit dem
entsprechenden Programm 141e eines zugehörigen Verfahrens
verknüpft
ist, das entsprechende zugehörige
Verfahren, welches dem Erfassungs/Diagnoseprogramm 141c entspricht,
ausgeführt
werden, was ein Identifizieren eines breiteren Bereichs von gestörten Teilen
zuläßt.
- (II) In dem vorhergehenden Ausführungsbeispiel wird
das Erfassungs/Diagnoseprogramm 141c zu jeder Zeit heruntergeladen,
zu der es bestimmt wird, das derzeit eine Störung in dem Fahrzeug vorhanden
ist.
-
Jedoch
können,
wenn die Störungsinformationen 141d,
die in der Datenbank 141 des Kundenservers 140 gespeichert
ist, statistisch analysiert wird, die am häufigsten auftretenden Störungen bestimmt
werden. Daher können
die Erfassungs/Diagnoseprogramme 141c, welche den am häufigsten auftretenden
Störungen
entsprechen, vorab von dem Kundenserver 140 zu der Fahrzeugsteuer-ECU 130 heruntergeladen
werden. Um Kommunikationskosten zum Herunterladen der Programme
von dem Kundenserver 140 zu der Fahrzeugsteuer-ECU 130 zu
verringern, können
die Programme von dem Kundenserver 140 zusammen mit anderen
Daten, wie zum Beispiel Kartendaten oder Suchdaten, die in der Navigations-ECU 114 zum
Leiten des Fahrzeugs entlang der Strecke zu dem Ziel verwendet werden,
heruntergeladen werden. In einigen Fällen kann das entsprechende
Erfassungs/Diagnoseprogramm 141c, wenn die Erfassungs/Diagnoseprogramme 141c,
die speziell für
die am häufigsten
auftretenden Störungen
vorbereitet sind, vorab heruntergeladen werden, unmittelbar in der
Fahrzeugsteuer-ECU nach dem Auftreten der Störung ausgeführt werden, was ein schnelleres
Identifizieren des gestörten
Teils zuläßt.
- (III) Weiterhin werden in dem vorhergehenden Ausführungsbeispiel,
solange das gestörte
Teil nicht identifiziert ist (Schritt S1180 in 9: NEIN),
die Erfassungs/Diagnoseprogramm 141 eines nach dem anderen
heruntergeladen (S1160). Jedoch könnte es passieren, daß das gestörte Teil
auch mit den verschiedenen Erfassungs/Diagnoseprogrammen 141c nicht
identifiziert werden kann. Daher kann die Information, die auf der
Fahrzeug seite angesammelt wird, wenn das gestörte Teil nicht mit der vorbestimmten
Anzahl der Erfassungs/Diagnoseprogramme 141 identifiziert
werden kann, oder wenn das gestörte
Teil nicht mit einer Reihe von Erfassungs/Diagnoseprogrammen 141c identifiziert werden
kann, zu dem Kundenserver 140 gesendet werden, um nach
einer Expertenmeinung zu fragen.
- (IV) Es wird auf 13 verwiesen. Die Gateway-ECU 50 des
ersten Ausführungsbeispiels kann
derart ausgestaltet sein, daß sie
Funktionen aufweist, die ähnlich
zu denjenigen der Fahrzeugsteuer-ECU 130 des zweiten Ausführungsbeispiels
sind. In einem derartigen Fall kommuniziert die Gateway-ECU 50 mit
dem Kundenserver 140, welcher als eine externe Vorrichtung
wirkt, die der externen Vorrichtung 3 des ersten Ausführungsbeispiels
entspricht, über
die Kommunikationseinheit und die Basisstation 150 auf
eine Weise, die ähnlich
zu der ist, die zuvor in Verbindung mit der Fahrzeugsteuer-ECU 130 in
dem zweiten Ausführungsbeispiel
beschrieben worden ist. Auf diese Weise können die Vorteile, die unter
Bezugnahme auf das zweite Ausführungsbeispiel
beschrieben worden sind, zu dem ersten Ausführungsbeispiel hinzugefügt werden.
-
Gemäß der vorhergehenden
Beschreibung identifiziert eine Gateway-ECU eine angeforderte ECU
aus einer Mehrzahl von ECUs über
ein LAN auf der Grundlage einer Zugriffsanforderung einer externen
Vorrichtung zum Anfordern eines Zugriffs auf die angeforderte ECU
und bestimmt auf der Grundlage einer ersten Authentisierungsinformation
der externen Vorrichtung, ob die externe Vorrichtung autorisiert
ist, auf die ECUs zuzugreifen. Weiterhin bestimmt die Gateway-ECU
auf der Grundlage von Daten, die über das LAN von jeder ECU gesendet
werden, ob derzeit eine Störung
des Fahrzeugs vorhanden ist. Wenn die Störung vorhanden ist, identifiziert die
Gateway-ECU ein gestörtes Teil,
welches die derzeitige Störung
in dem Fahrzeug verursacht, auf der Grundlage einer Information,
die von jeder entsprechenden ECU gesendet wird, durch Ausführen eines Erfassungs/Diagnoseprogramms,
das von einem Kundenserver erzielt wird.