DE60002422T2 - System zur Überschreibung von Steuerinformationen - Google Patents

System zur Überschreibung von Steuerinformationen Download PDF

Info

Publication number
DE60002422T2
DE60002422T2 DE60002422T DE60002422T DE60002422T2 DE 60002422 T2 DE60002422 T2 DE 60002422T2 DE 60002422 T DE60002422 T DE 60002422T DE 60002422 T DE60002422 T DE 60002422T DE 60002422 T2 DE60002422 T2 DE 60002422T2
Authority
DE
Germany
Prior art keywords
rewriting
information
rewriting device
control center
control unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60002422T
Other languages
English (en)
Other versions
DE60002422D1 (de
Inventor
Takeshi Kariya-city Suganuma
Yoshimitsu Kariya-city Fujii
Minoru Kariya-city Hozuka
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Publication of DE60002422D1 publication Critical patent/DE60002422D1/de
Application granted granted Critical
Publication of DE60002422T2 publication Critical patent/DE60002422T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0426Programming the control sequence
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/313User authentication using a call-back technique via a telephone network
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/23Pc programming
    • G05B2219/23305Transfer program into prom with passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1408Protection against unauthorised use of memory or access to memory by using cryptography

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Automation & Control Theory (AREA)
  • Computer Hardware Design (AREA)
  • Stored Programmes (AREA)
  • Combined Controls Of Internal Combustion Engines (AREA)
  • Selective Calling Equipment (AREA)
  • Devices For Checking Fares Or Tickets At Control Points (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

  • Diese Erfindung betrifft ein elektronisches Steuerinformations-Umschreibesystem gemäß dem Oberbegriff des Anspruchs 1, das einen nichtflüchtigen Speicher aufweist, mit welchem ein elektrisches Umschreiben von Daten möglich ist, und betrifft insbesondere eine Technologie zum Verhindern des unzulässigen Umschreibens einer Steuerinformation, wie zum Beispiel von Fahrzeugsteuerprogrammen oder Steuerdaten, die in dem nichtflüchtigen Speicher gespeichert sind.
  • In elektronischen Steuereinheiten (ECUs) zum Steuern von Fahrzeug-Brennkraftmaschinen oder dergleichen ist eine Steuerinformation in einem nichtflüchtigen Speicher gespeichert, mit welchem ein elektrisches Umschreiben von Daten möglich ist. Die Steuerinformation beinhaltet Programme und Daten und ist auch nach einer Herstellung auf dem Markt um- schreibbar.
  • Zum Beispiel ist diese Art einer ECU aufgebaut, wie es in 9 gezeigt ist. Eine Umschreibevorrichtung 200 ist über einen Fahrzeugdiagnoseverbinder 120 mit einem Fahrzeug 100 verbunden. Eine Mehrzahl von ECUs 101, 102, 103 und 104 ist in das Fahrzeug 100 eingebaut und die ECUs 101– 104 sind mit einer Netzleitung 110 verbunden. Die Umschreibevorrichtung 200 führt eine Datenkommunikation mit einer der vier ECUs 101 bis 104 durch Senden jedes ECU-Codes auf der Grundlage einer Manipulation eines Benutzers durch.
  • In diesem System wählt die Umschreibevorrichtung 200, wie es in 10 gezeigt ist, zum Beispiel die ECU 101 aus; auf welcher ein Umschreiben einer Steuerinformation auszuführen ist, und sendet eine Umschreibeanforderung (b1). Die Auswahl der ECU 101 wird durch Senden eines ECU-Codes ausgeführt. Dieser ECU-Code wird durch einen Benutzer in die Umschreibevorrichtung 200 eingegeben. Wenn dies durchgeführt wird, erzeugt die ausgewählte ECU 101 eine Zufallszahl r (b2) und sendet diese Zufalls zahl r zu der Umschreibevorrichtung 200 (b3).
  • Eine Funktion f wird vorab in der Umschreibevorrichtung 200 gespeichert und diese berechnet einen Funktionswert f(r) bezüglich der gesendeten Zufallszahl r (b4). Dann sendet sie diese berechnete Funktion f(r) (b5). In der ECU 101 wird andererseits vorab eine Funktion F gespeichert und wird ein Funktionswert F(f(r)) bezüglich des gesendeten Funktionswert f(r) berechnet (b6). Dann sendet sie, wenn der berechnete F(f(r)) der Zufallszahl r ist, das heißt wenn f = F–1, ist, ein Erlaubnissignal, das ein Umschreiben zuläßt (b7).
  • Die vorhergehende Bearbeitung ist für die ECU 101, um zu bestimmen, daß die Umschreibevorrichtung 200 berechtigt ist, wenn die Umschreibevorrichtung 200 die Umkehrfunktion f der Funktion F aufweist, die von der ECU 101 gespeichert wird. Die Umschreibevorrichtung 200 sendet Änderungsdaten, wenn sie das Erlaubnissignal empfängt, das von der ECU 101 gesendet wird (b8). Die ECU 101 führt ein Umschreiben einer Steuerinformation auf der Grundlage dieser Änderungsdaten aus (b10). Wenn das Umschreiben einer Steuerinformation normal endet, meldet die ECU eine normale Beendigung (b11), und die Umschreibevorrichtung empfängt die Meldung (b12) und eine Kette einer Umschreibeverarbeitung endet.
  • In der vorhergehenden Umschreibeverarbeitung bestimmt jede ECU durch eine Kommunikationsverarbeitung (b1 bis b7) unter Verwendung der Funktion f, welche eine Information innerhalb der Umschreibevorrichtung 200 ist, die Berechtigung der Umschreibevorrichtung 200. Als Ergebnis kann kein unberechtigtes Umschreiben einer Steuerinformation verhindert werden, wenn die Umschreibevorrichtung 200 selbst gestohlen wird oder eine Information innerhalb der Umschreibevorrichtung 200 gestohlen wird. Insbesondere ist zum Beispiel an einer Arbeitsstelle, wie zum Beispiel einem Autohändler, die Möglichkeit des vorhergehenden Diebstahls verhältnismäßig hoch, da die Umschreibevorrichtung 200 vorgesehen ist.
  • Aus der US-A-5 473 540 und der US-A-5 787 367 sind jeweils Steuerinformations-Umschreibesysteme gemäß dem Oberbegriff des Anspruchs 1 bekannt.
  • Es ist deshalb eine Aufgabe der vorliegenden Erfindung, ein unberechtigtes Umschreiben einer Steuerinformation auch dann zu verhindern, wenn eine Umschreibevorrichtung oder eine Information innerhalb einer Umschreibevorrichtung gestohlen wird.
  • Diese Aufgabe wird durch die in Anspruch 1 angegebenen Maßnahmen gelöst.
  • Weitere vorteilhafte Ausgestaltungen der vorliegenden Erfindung sind Gegenstand der abhängigen Ansprüche.
  • Genauer gesagt weist ein Steuerinformations-Umschreibesystem eine Steuerzentrale zum Durchführen einer Datenkommunikation mit einer Umschreibevorrichtung auf. Die Steuerzentrale könnte zum Beispiel an einem zu einer Umschreibearbeitsstelle unterschiedlichen Platz eingebaut sein. Eine Zugriffsinformation wird in der Steuerzentrale gespeichert. Eine Identifikationsinformation und eine zugehörige Funktion sind in der Umschreibevorrichtung gespeichert. Die Identifikationsinformation könnte eine Zahl oder dergleichen sein, die zum Umschreiben der Umschreibevorrichtung einmalig bezüglich der Umschreibevorrichtung ist. Die zugehörige Funktion ist eine Information, die in Verbindung mit der Identifikationsinformation eingestellt ist.
  • Für die Legitimitätsbestimmung erfaßt die Steuerzentrale die Identitätsinformation und die zugehörige Information der Umschreibevorrichtung in einer Datenkommunikation mit der Umschreibevorrichfung. Dann, wenn eine Zugehörigkeitsbeziehung der zugehörigen Information mit einer Zugehörigkeitsbeziehung übereinstimmt, sendet sie eine vorbestimmte Zugriffsinformation zu der Umschreibevorrichtung. Andererseits wird die vorbestimmte Zugriffsinformation, wenn sie nicht übereinstimmt, nicht zu der Umschreibevorrichtung gesendet.
  • Das heißt, das System erzielt die folgende zweistufige Überprüfung.
    • [1] Die Steuerzentrale bestimmt die Legitimität der Umschreibevorrichtung und sendet eine Zugriffsinformation zu der Umschreibevorrichtung.
    • [2] Die Umschreibevorrichtung führt eine Kommunikationstartverarbeitung unter Verwendung dieser Zugriffsinformation aus und jede elektronische Steuereinheit bestimmt die Legitimität der Umschreibevorrichtung auf der Grundlage der Kommunikationstartverarbeitung.
  • Daher kann die Umschreibevorrichtung, wenn mindestens eine der Identifikationsinformation und der zugehörigen Information nicht vorab innerhalb der Umschreibevorrichtung gespeichert ist, keine Zugriffsinformation von der Steuerzentrale erzielen. Deshalb wird es, wenn die Umschreibevorrichtung oder eine Information innerhalb der Umschreibevorrichtung gestohlen worden ist, von der elektronischen Steuereinheit nicht bestimmt, daß die Umschreibevorrichtung legitimiert ist. Daher wird kein Umschreiben einer Steuerinformation ausgeführt. Als ein Ergebnis ist es auch dann, wenn die Umschreibevorrichtung oder eine Information innerhalb der Umschreibevorrichtung gestohlen worden ist, möglich, zu verhindern, daß eine Steuerinformation einer elektronischen Steuereinheit unzweckmäßig umgeschrieben wird. Die vorhergehenden und andere Aufgaben, Merkmale und Vorteile der vorliegenden Erfindung werden aus der folgenden detaillierten Beschreibung deutlicher ersichtlich, die unter Bezugnahme auf die beiliegende Zeichnung durchgeführt wird. In der Zeichnung zeigt:
  • 1 ein Blockschaltbild eines Steuerinformations-Umschreibesystems gemäß einem Ausführungsbeispiel der vorliegenden Erfindung;
  • 2 ein Ablaufsdiagramm einer Umschreibeverarbeitung in dem Ausführungsbeispiel;
  • 3 ein Flußdiagramm einer ersten Hälfte einer ECU-seitigen Verarbeitung in dem Ausführungsbeispiel;
  • 4 ein Flußdiagramm einer zweiten Hälfte einer ECU-seitigen Verarbeitung in dem Ausführungsbeispiel;
  • 5 ein Flußdiagramm einer ersten Hälfte einer umschreibevorrichtungsseitigen Verarbeitung in dem Ausführungsbeispiel;
  • 6 ein Flußdiagramm einer zweiten Hälfte einer umschreibevorrichtungsseitigen Verarbeitung in dem Ausführungsbeispiel;
  • 7 ein Flußdiagramm einer ersten Hälfte einer steuerzentralenseitigen Verarbeitung in dem Ausführungsbeispiel;
  • 8 ein Flußdiagramm einer zweiten Hälfte einer steuerzentralenseitigen Verarbeitung in dem Ausführungsbeispiel;
  • 9 ein Blockschaltbild eines Steuerinformations-Umschreibesystems im Stand der Technik; und
  • 10 ein Ablaufsdiagramm einer Umschreibeverarbeitung im Stand der Technik.
  • Ein Ausführungsbeispiel der vorliegenden Erfindung wird nun unter Bezugnahme auf ein Umschreiben einer Fahrzeugsteuerinformation beschrieben.
  • Es wird zuerst auf 1 verwiesen. Eine Mehrzahl von ECUs 11, 12, 13 und 14 ist in ein Fahrzeug 10 eingebaut und die ECUs 11 bis 14 sind durch eine Netzleitung 15 verbunden. Die ECUs 11 bis 14 weisen jeweilige EEPROMs 11a bis 14a auf, welche ein nichtflüchtiger Typ sind. Zu einem normalen Zeitpunkt wird, wenn eine Umschreibevorrichtung 20 nicht verbunden ist, auf der Grundlage einer Steuerinformation (von Steuerprogrammen und Steuerdaten), die in diesem EEPROM gespeichert sind, eine Kommunikation zwischen den ECUs 11 bis 14 über die Netzleitung ausgeführt und werden jeweilige Steuerobjekte, wie zum Beispiel eine Brennkraftmaschine, gesteuert.
  • In 1 ist die Umschreibevorrichtung 20 als mittels eines Fahrzeugdiagnoseverbinders 16 mit der ECU 11 verbunden gezeigt, so daß ein Steuerinformations-Umschreibesystem 1 ausgebildet ist. Der Fahrzeugdiagnoseverbinder 16 ist ein in dem Fahrzeug 10 vorgesehener Verbinder zum Durchführen einer möglichen Datenkommunikation zwischen der Umschreibevorrichtung 20 und den ECUs 11 bis 14 über die Netzleitung 15. Das Fahrzeug 10 und die Umschreibevorrichtung 20 sind an einer Arbeitsstelle, wie zum Beispiel einem Autohändler oder einer Reparaturwerkstatt, eingebaut.
  • In dem Steuerinformations-Umschreibesystem 1 dieses Ausführungsbeispiels ist die Umschreibevorrichtung 20 zu einer Datenkommunikation über ein Telefonleitungsnetz 40 mit einer Steuerzentrale 30 imstande. Die Steuerzentrale 30 ist als ein Sogenannter Server als eine externe Vorrichtung an einer zu der Arbeitsstelle unterschiedlichen Stelle eingebaut. In einer Speichervorrichtung (einem Speicher) 31 dieser Steuerzentrale 30 sind eine Zugriffsinformation für die Umschreibevorrichtung 20, um auf die ECUs 1114 zuzugreifen, Änderungsdaten zum Umschreiben einer Steuerinformation, eine Datenbank zum Bestimmen der Legitimität der Umschreibevorrichtung 20 und eine Datenbank von Steuerinformations-Aktualisierungshistorien von unterschiedlichen Fahrzeugen 10 gespeichert.
  • Wenn die Umschreibevorrichtung 20 die Steuerzentrale 30 ruft, wird eine vorbestimmte Kommunikationsverarbeitung zwischen der Umschreibevorrichtung 20 und der Steuerzentrale 30 ausgeführt. Die Umschreibevorrichtung 20 und die Steuerzentrale 30 nehmen einen derartigen Zustand an, daß eine Datenkommunikation möglich ist. In 1 ist die Steuerzentrale 30 als mit einer einzigen Umschreibevorrichtung verbunden gezeigt, aber es ist ebenso vorstellbar, daß zum Beispiel eine Umschreibevorrichtung einer anderen Arbeitsstelle parallel mit der Steuerzentrale 30 verbunden ist.
  • In diesem Ausführungsbeispiel kann die Umschreibevorrichtung 20 ein tragbarer Personal-Computer sein, welcher für beliebige Typen von Fahrzeugen verwendet wird. Die Steuerzentrale 30 kann durch einen Autohersteller verwaltet werden. Die Umschreibevorrichtung 20 kann mittels einer anderen Einrichtung, wie zum Beispiel einem Kabelfernsehnetz oder einem drahtlosen Telefonnetz, anstelle eines Festtelefonleitungsnetzes 40 mit der Steuerzentrale 30 verbunden sein.
  • Die Funktionsweise dieses Steuerinformations-Umschreibesystems 1 ist in Blockeinheiten B1 bis B18 gezeigt. Die Verarbeitung in den ECUs 11 bis 14 ist als eine ECU-seitige Verarbeitung in einer linksseitigen Spalte in 2 als B5, B6, B9, B10, B15 und B16 gezeigt. Die Verarbeitung in der Umschreibevorrichtung 20 ist als umschreibevorrichtungsseitige Verarbeitung in einer mittleren Spalte als B1, B4, B7, B8, B11, B14 und B17 gezeigt. Die Verarbeitung in der Steuerzentrale 30 ist als steuerzentralenseitige Verarbeitung in einer rechtsseitigen Spalte als B2, B3, B12, B13 und B18 ge zeigt. Diese Verarbeitung wird in der Reihenfolge B1 -> B2 -> B3 -> ... -> B18 ausgeführt.
  • Im Betrieb ruft die Umschreibevorrichtung 20 zuerst die Steuerzentrale 30. Wenn ein Zustand einer möglichen Datenkommunikation zwischen der Umschreibevorrichtung 20 und der Steuerzentrale 30 gebildet ist, sendet die Umschreibevorrichtung 20 eine Kennungsinformation als eine Identifikationsinformation zum Identifizieren der Umschreibevorrichtung 20 selbst zusammen mit einer Kommunikationsstartanforderung zu der Steuerzentrale 30 (B1). Bezüglich diesen empfängt die Steuerzentrale 30 die Kennungsinformation von der Umschreibevorrichtung 20 und erfaßt die Telefonnummer des ankommenden Anrufs, das heißt die Telefonnummer der Umschreibevorrichtung 20 (B2). Diese Telefonnummer ist eine zugehörige Information.
  • Die Steuerzentrale 30 weist eine Datenbank auf, in welcher die Kennungsinformation der Umschreibevorrichtung 20 und eine Telefonnummer, die der Umschreibevorrichtung 20 zugehörig ist, in Zusammenhang gebracht werden. Demgemäß vergleicht die Steuerzentrale 30 die Zugehörigkeitsbeziehung zwischen der empfangenen Kennungsinformation und der erfaßten Telefonnummer mit einer Zugehörigkeitsbeziehung in der Datenbank (B2). Wenn sie übereinstimmen, sendet sie ein erstes Erlaubnissignal und eine Funktion f zu der Umschreibevorrichtung 20 (B3).
  • Die Umschreibevorrichtung 20 wählt aus den ECUs 11 bis 14 eine ECU als das Objekt einer Steuerinformationsumschreibung aus und sendet eine Umschreibeanforderung zu dieser ECU (B4). Es wird hier angenommen, daß die ECU 11 als die ECU, die das Objekt einer Steuerinformationsumschreibung ist, ausgewählt worden ist. Die ausgewählte ECU 11 erzeugt eine Zufallszahl r (B5) und sendet diese Zufallszahl r zu der Umschreibevorrichtung 20 (B6).
  • Die Umschreibevorrichtung 20 berechnet unter Verwendung der Funktion f, die von der Steuerzentrale in dem vorhergehenden B2 zu ihr gesendet worden ist, einen Funktionswert f(r) bezüglich der Zufallszahl r aus der ECU 11 (B7). Dann sendet sie diesen berechneten Funktionswert f(r) zurück zu der ECU 11 (B8).
  • Andererseits wird vorab eine Funktion F in der ECU 11 gespeichert und berechnet sie bezüglich dem Funktionswert f(r), der von der Umschreibevorrichtung 20 gesendet wird, einen Funktionswert F(f(r)) (B9). Dann sendet sie, wenn der berechnete Funktionswert F(f(r)) der Zufallszahl r entspricht, das heißt, wenn f = F–1 ist, ein zweites Erlaubnissignal, das ein Umschreiben zuläßt, und sendet einen Fahrzeug-VIN-Code (B10). Der Fahrzeug-VIN-Code ist eine Zahl, die eindeutig jedem Fahrzeug zugehörig ist, und diese entspricht der vorhergehenden Fahrzeuginformation.
  • Die Umschreibevorrichtung 20 empfängt das zweite Erlaubnissignal und den Fahrzeug-VIN-Code von der ECU 11 und sendet diese Information zu der Steuerzentrale 30 (B11).
  • Die Steuerzentrale 30 weist jeweilige Steuerinformations-Aktualisierungshistorien von jedem Fahrzeug als eine Datenbank auf. Demgemäß führt sie auf der Grundlage des Fahrzeug-VIN-Codes von der Umschreibevorrichtung 20 ein Unterscheiden des Fahrzeugs 10 aus, bezieht sich auf die Aktualisierungshistoriendatenbank und bestimmt die Notwendigkeit eines Umschreibens einer Steuerinformation (B12). Wenn sie bestimmt, daß ein Umschreiben einer Steuerinformation an dem Fahrzeug 10 erforderlich ist, sendet sie Änderungsdaten zu der Umschreibevorrichtung 20 (B13).
  • Die Umschreibevorrichtung 20 empfängt die Änderungsdaten von der Steuerzentrale 30 und sendet diese Änderungsdaten zu der ECU 11 (B14). Die ECU 11 führt auf der Grundlage der Änderungsdaten von der Umschrei bevorrichtung 20 ein Umschreiben einer Steuerinformation durch (B15). Dann meldet sie, wenn das Umschreiben einer Steuerinformation normal endet, eine normale Beendigung zu der Umschreibevorrichtung 20 (B16). Die Umschreibevorrichtung 20 löscht, wenn eine normale Beendigung von der ECU 11 gemeldet wird, die Funktion f, die von der Steuerzentrale 30 in dem vorhergehenden B3 zu ihr gesendet worden ist (B17). Sie meldet eine normale Beendigung zu der Steuerzentrale 30. Auf der Grundlage von diesem aktualisiert die Steuerzentrale 30 die Aktualisierungshistoriendatenbank (B18).
  • Es ist bevorzugt, daß die Funktionen f(r) und F(f(r)) vom Sicherheitsstandpunkt von Fahrzeugtyp zu Fahrzeugtyp verschieden sind.
  • Für die vorhergehende Verarbeitung werden die ECUs 11–14, die Umschreibevorrichtung 20 und die Steuerzentrale 30 programmiert, um zu arbeiten, wie es in den 3 bis 8 gezeigt ist.
  • Die ECU-seitige Verarbeitung, die in den ECUs 11–14 ausgeführt wird, wird unter Bezugnahme auf die 2 und 3 erläutert. Die ECU-seitige Verarbeitung wird in einem vorbestimmten Zeitintervall, wie zum Beispiel 0,2 Sekunden ausgeführt, wobei die Umschreibevorrichtung 20 mittels des Fahrzeugdiagnoseverbinders 16 mit dem Fahrzeug 10 verbunden ist.
  • Zuerst wird es in einem Schritt S300 bestimmt, ob es eine Umschreibeanforderung von der Umschreibevorrichtung 20 gegeben hat oder nicht. Wenn es bestimmt wird, daß es eine Umschreibeanforderung gegeben hat (S300: JA) schreitet die Verarbeitung zu S310 fort. Wenn es andererseits bestimmt wird, daß es keine Umschreibeanforderung gegeben hat (S300: NEIN), ist die ECU-seitige Verarbeitung beendet.
  • In S310 wird es bestimmt, ob ein Zugriffsverweigerungszeitgeber 0 ist oder nicht. Der Zugriffsverweigerungszeitgeber wird eingestellt, wenn es bestimmt wird, daß eine vorbestimmte Anzahl von Malen in Folge die Umschreibevorrichtung 20 nicht legitimiert ist, wie es vorhergehend beschrieben worden ist. Wenn es bestimmt wird, daß der Zugriffsverweigerungszeitgeber nicht 0 ist (S310: NEIN), wird der Zeitgeber in S320 dekrementiert und wird einer Variable C10 zugewiesen und ist dieser ECU-seitige Verarbeitung beendef. Die Variable C1 zählt die Anzahl von Malen in Folge es bestimmt wird, daß die Umschreibevorrichtung nicht legitimiert ist. Wenn es andererseits bestimmt wird, daß der Zugriffsvereigerungszeitgeber 0 ist (S310: JA), schreitet die Verarbeitung zu S330 fort.
  • In S330 wird es bestimmt, ob die Variable C1 größer als 2 ist oder nicht. Wenn hier C1 > 2 ist (S330: NEIN), wird in S340 der Zugriffsverweigerungszeitgeber eingestellt und ist diese ECU-seitige Verarbeitung beendet. In diesem Ausführungsbeispiel werden 10 Minuten eingestellt: Wenn andererseits C1 ≤ 2 ist (S330: JA), schreitet die Verarbeitung zu S350 fort.
  • In S350 wird eine Zufallszahl r erzeugt und zu der Umschreibevorrichtung 20 gesendet. Diese Verarbeitung entspricht der Verarbeitung von B5 und B6 in 2. Bezüglich diesen wird, wie es in B8 in 2 gezeigt ist, ein Funktionswert f(r) von der Umschreibevorrichtung 20 gesendet.
  • Demgemäß wird es in dem folgenden S360 bestimmt, ob es ein Senden eines Funktionswerts f(r) gegeben hat oder nicht. Wenn es hier ein Senden eines Funktionswerts f(r) gegeben hat (S360: JA) schreitet die Verarbeitung zu S370 fort. Andererseits wird, solange es kein Senden eines Funktionswerts f(r) gegeben hat (S360: NEIN), diese Bestimmungsverarbeitung wiederholt.
  • In S370 wird bezüglich des Funktionswerts f(r), der von der Umschreibevorrichtung 20 gesendet wird, ein Funktionswert F(f(r)) berechnet. Diese Verarbeitung entspricht der Verarbeitung von B9 in 2.
  • In dem folgenden S380 in 4 wird es bestimmt, ob der berechnete Funktionswert F(f(r)) der Zufallszahl r entspricht. Wenn hier F(f(r)) = r ist (S380: JA) werden in S30 das zweite Erlaubnissignal und der Fahrzeug-VIN-Code gesendet und schreitet die Verarbeitung zu S420 fort. Die Verarbeitung von S380 und S390 entspricht der Verarbeitung von B10 in 2. Wenn andererseits F(f(r)) ≠ r ist (S380: NEIN), wird es in S400 zu der Umschreibevorrichtung 20 gemeldet, daß kein Umschreiben zugelassen wird, und wird in S410 die Variable C1 inkrementiert und ist diese ECU-seitige Verarbeitung beendet. Auf diese Weise wird die Legitimität der Umschreibevorrichtung 20 bestimmt. Wenn es bestimmt wird, daß sie nicht legitimiert ist (S380: NEIN), wird die Variable C1 inkrementiert (S410) und wird bei C1 > 2 der Zeitgeber eingestellt, wie es vorhergehend beschrieben worden ist (S340 in 2). Daher wird in diesem Ausführungsbeispiel, wenn es durch C1 0 -> 1 -> 2 dreimal in Folge bestimmt wird, daß die Umschreibevorrichtung 20 nicht legitimiert ist, eine Zugriffsverweigerung ausgeführt.
  • Durch die Steuerzentrale 30 wird eine Bestimmung einer Notwendigkeit eines Umschreibens einer Steuerinformation auf der Grundlage des Fahrzeug-VIN-Codes ausgeführt. Wenn ein Umschreiben notwendig ist, werden Änderungsdaten von der Steuerzentrale 30 über die Umschreibevorrichtung 20 gesendet. Andererseits wird, wenn ein Umschreiben nicht notwendig ist, das heißt, wenn ein Umschreiben einer Steuerinformation bereits ausgeführt worden ist, eine Information, die anzeigt, daß ein Umschreiben durchgeführt worden ist, von der Steuerzentrale 30 über die Umschreibevorrichtung 20 gesendet.
  • Dafür wird es in S420 bestimmt, ob es ein Datensenden von der Umschreibevorrichtung 20 gegeben hat oder nicht. Wenn es bestimmt wird, daß es ein Datensenden gegeben hat (S420: JA), schreitet die Verarbeitung zu S430 fort. Andererseits wird, solange es kein Datensenden gegeben hat (S420: NEIN), diese Bestimmungsverarbeitung wiederholt. Dann wird es in S430 bestimmt, ob die Daten, die von der Umschreibevorrichtung 20 gesendet worden sind, Änderungsdaten sind oder nicht. Wenn es bestimmt wird, daß es Änderungsdaten sind (S430: JA), schreitet eine Verarbeitung zu S440 fort. Wenn es andererseits bestimmt wird, daß es keine Änderungsdaten sind (S430: NEIN), das heißt wenn eine Information, die anzeigt, daß ein Umschreiben durchgeführt worden ist, gesendet worden ist, wird die nachfolgende Verarbeitung nicht ausgeführt und ist diese ECU-seitige Verarbeitung beendet.
  • In S440 wird auf der Grundlage der gesendeten Änderungsdaten ein Umschreiben einer Steuerinformation ausgeführt. In dem folgenden S450 wird eine Steuerinformations-Prüfsumme nach einem Umschreiben berech- net. Dies dient zum Bestimmen, ob die Steuerinformation normal umgeschrieben worden ist oder nicht.
  • Dann wird es in dem nächsten S460 auf der Grundlage der Prüfsumme, die in S450 berechnet worden ist, bestimmt, ob das Umschreiben einer Steuerinformation normal geendet hat oder nicht. Wenn es bestimmt wird, daß es normal geendet hat (S460: JA) wird in S470 eine normale Beendigung zu der Umschreibevorrichtung 20 gemeldet und wird danach diese ECU-seitige Verarbeitung beendet. Wenn es andererseits bestimmt wird, daß sie nicht normal geendet hat (S460: NEIN), wird in S480 angefordert, daß die Umschreibevorrichtung 20 die Änderungsdaten erneut sendet und wird die Verarbeitung von S420 wiederholt.
  • Nun wird auf der Grundlage des Flußdiagramms in 5 und 6 die umschreibevorrichtungsseitige Verarbeitung beschrieben, die von der umschreibevorrichtung 20 ausgeführt wird. Diese umschreibevorrichtungsseitige Verarbeitung wird mit einer vorbestimmten Manipulation, die von einem Be nutzer ausgeführt wird, als einen Auslöser ausgeführt, nachdem ein Zustand einer möglichen Datenkommunikation zwischen der Umschreibevorrichtung 20 und der Steuerzentrale 30 gebildet worden ist.
  • Zuerst wird in S500 bezüglich der Steuerzentrale 30 ein Kommunikationsstart angefordert und wird eine vorab gespeicherte Kennungsinformation gesendet. Diese Verarbeitung entspricht der Verarbeitung von B1 in 2.
  • Die Steuerzentrale 30 sendet, wenn sie bestimmt, daß die Umschreibevorrichtung eine legitimierte ist, das erste Erlaubnissignal und die Funktion f. Demgemäß wird es in dem folgenden S510 bestimmt, ob es eine Reaktion von der Steuerzentrale 30 gegeben hat oder nicht. Wenn es bestimmt wird, daß es eine Reaktion von der Steuerzentrale 30 gegeben hat (S510: JA), schreitet die Verarbeitung zu S520 fort. Andererseits wird, solange es keine Reaktion von der Steuerzentrale 30 gegeben hat (S510: NEIN), diese Bestimmungsverarbeitung wiederholt.
  • In S520 wird es bestimmt, ob die Reaktion von der Steuerzentrale 30 eine Meldung keiner Erlaubnis ist oder nicht. Wenn es bestimmt wird, daß es eine Meldung keiner Erlaubnis ist (S520: JA), wird es in S530 auf einer Anzeigevorrichtung, wie zum Beispiel einer Anzeige angezeigt, daß es einen Ausfall gegeben hat, auf die Steuerzentrale 30 zuzugreifen. Danach wird die Verarbeitung von S500 wiederholt. Andererseits schreitet, wenn es keine Meldung keiner Erlaubnis gibt (S530: NEIN), das heißt, wenn das erste Erlaubnissignal und die Funktion f gesendet worden sind, die Verarbeitung zu S540 fort.
  • In S540 wird die Eingabe eines ECU-Codes zum Auswählen einer der vier ECUs 11 bis 14, die in das Fahrzeug 10 eingebaut sind, von dem Benutzer angefordert. In dem folgenden S550 wird es bestimmt, ob es die Eingabe eines ECU-Codes gegeben hat oder nicht. Wenn es bestimmt wird, daß es die Eingabe eines ECU-Codes gegeben hat (S550: JA), schreitet die Verarbeitung zu S560 fort. Andererseits wird, solange es keine Eingabe eines ECU-Codes gegeben hat (S550: NEIN), die Verarbeitung von S540 wiederholt. Die folgende Beschreibung wird unter der Annahme fortgesetzt, daß der ECU-Code der ECU 11 eingegeben worden ist.
  • In S560 werden eine Umschreibeanforderung und der ECU-Code gesendet. Die Verarbeitung entspricht der Verarbeitung von B4 in 2. Auf der Grundlage von diesen erzeugt die ECU 11 eine Zufallszahl r und sendet diese Zufallszahl r (S350 in 3).
  • Demgemäß wird es in dem folgenden Schritt S570 bestimmt, ob eine Zufallszahl r gesendet worden ist oder nicht. Wenn es bestimmt wird, daß eine Zufallszahl r gesendet worden ist (S570: JA), schreitet eine Verarbeitung zu S580 fort. Andererseits wird, solange keine Zufallszahl r gesendet wird (S570: NEIN), diese Bestimmungsverarbeitung wiederholt.
  • In S580 wird unter Verwendung der Funktion f, die von der Steuerzentrale 30 in S510 gesendet wird, ein Funktionswert f(r) berechnet, der für die Zufallszahl r spezifisch ist. In dem nächsten S590 wird der Funktionswert f(r) zu der ECU 11 gesendet. Dies entspricht der Verarbeitung von B7 und B8 in 2.
  • Bezüglich diesen wird in der ECU 11 eine bejahende Bestimmung in S360 in 3 durchgeführt und wird der Funktionswert F(f(r)) berechnet (S370). Dann wird auf der Grundlage der Bestimmung von S380 ein Senden eines zweiten Erlaubnissignals oder ein Melden, daß ein Umschreiben nicht zugelassen wird, ausgeführt (S390, 400).
  • Demgemäß wird es in dem folgenden S600 in 6 bestimmt, ob es eine Reaktion von der ECU 11 gegeben hat oder nicht. Wenn es bestimmt wird, daß es eine Reaktion von der ECU 11 gegeben hat (S600: JA) schreitet eine Verarbeitung zu S610 fort. Andererseits wird, solange es keine Reaktion von der ECU 11 gegeben hat (S600: NEIN), diese Bestimmungsverarbeitung wiederholt.
  • In S610 wird es bestimmt, ob ein zweites Erlaubnissignal von der ECU 11 gesendet worden ist oder nicht. Wenn es bestimmt wird, daß ein zweites Erlaubnissignal gesendet worden ist (S610: JA) werden in S620 das zweite Erlaubnissignal und der Fahrzeug-VIN-Code zusammen mit diesem zweiten Erlaubnissignal zu der Steuerzentrale 30 gesendet und schreitet danach diese Verarbeitung zu S640 fort. Diese Verarbeitung entspricht der Verarbeitung von B11 in 2. Wenn andererseits ein zweites Erlaubnissignal nicht gesendet wird (S610: NEIN), das heißt wenn es von der ECU 11 gemeldet wird, daß kein Umschreiben zugelassen wird, wird es in S630 zu der Steuerzentrale 30 gemeldet, daß keine Erlaubnis gegeben worden ist, und schreitet danach diese Verarbeitung zu S530 in 5 fort.
  • Wenn in S620 das zweite Erlaubnissignal und der Fahrzeug-VIN-Code zu der Steuerzentrale 30 gesendet werden, bestimmt die Steuerzentrale 30 die Notwendigkeit eines Umschreibens. Wenn es eine Notwendigkeit nach einem Umschreiben gibt, sendet die Steuerzentrale 30 Änderungsdaten. Wenn es andererseits keine Notwendigkeit nach einem Umschreiben gibt, sendet die Steuerzentrale 30 eine Information, die anzeigt, daß ein Umschreiben durchgeführt worden ist.
  • Demgemäß wird es in S640 bestimmt, ob es eine Reaktion von der Steuerzentrale 30 gegeben hat oder nicht. Wenn es bestimmt wird, daß es eine Reaktion von der Steuerzentrale 30 gegeben hat (S640: JA), schreitet die Verarbeitung zu S650 fort. Andererseits wird, solange es keine Reaktion gegeben hat (S640: NEIN), diese Bestimmungsverarbeitung wiederholt.
  • In S650 wird es bestimmt, ob die Daten, die von der Steuerzentrale 30 gesendet worden sind, Änderungsdaten sind. Wenn sie Änderungsdaten sind (S650: JA) schreitet eine Verarbeitung zu S680 fort. Wenn es andererseits keine Steuerdaten sind (S650: NEIN), das heißt wenn eine Information, die anzeigt, daß ein Umschreiben durchgeführt worden ist, von der Steuerzentrale 30 gesendet worden ist, wird die Funktion f gelöscht und wird es angezeigt, daß es keine Notwendigkeit nach einem Umschreiben gibt (S660). Eine Information, die anzeigt, daß das Umschreiben durchgeführt worden ist, wird zu der ECU 11 gesendet (S670). Diese umschreibevorrichtungsseitige Verarbeitung ist dann beendet.
  • In S680 werden die Änderungsdaten die von der Steuerzentrale 30 gesendet worden sind, zu der ECU 11 gesendet. Diese Verarbeitung entspricht der Verarbeitung von B14 in 2. Auf der Grundlage von diesen wird in der ECU 11 ein Umschreiben einer Steuerinformation ausgeführt (S430 in 4: JA, S440) und wird eine Meldung einer normalen Beendigung oder eine Anforderung eines erneuten Sendens von der ECU 11 gesendet (S470, S480).
  • Demgemäß wird es in dem nächsten S690 bestimmt, ob es eine Meldung einer normalen Beendigung von der ECU 11 gegeben hat oder nicht. Wenn es bestimmt wird, daß es eine Meldung einer normalen Beendigung gegeben hat (S690: JA), wird die Funktion f gelöscht und wird eine normale Beendigung zu der Steuerzentrale 30 gemeldet (S700) und ist danach diese umschreibevarrichtungsseitige Verarbeitung beendet. Wenn es andererseits keine Meldung einer normalen Beendigung gegeben hat (S690: NEIN), das heißt wenn es eine Anforderung nach einem erneuten Senden der Änderungsdaten gegeben hat, wird eine anormale Beendigung zu der Steuerzentrale 30 gemeldet (S710) und ist diese umschreibevorrichtungsseitige Verarbeitung beendet.
  • Weiter fortschreitend wird auf der Grundlage des Flußdiagramms in 7 und 8 die steuerzentralenseitige Verarbeitung, die von der Steuerzentrale 30 ausgeführt wird, beschrieben. Diese steuerzentralenseitige Verarbeitung wird in einem vorbestimmten Zeitintervall, wie zum Beispiel 0,2 Sekunden, ausgeführt, wobei ein Zustand einer möglichen Datenkommunikation zwischen der Umschreibevorrichtung 20 und der Steuerzentrale 30 gebildet worden ist.
  • Zuerst wird es in S800 bestimmt, ob der Zugriffsverweigerungszeitgeber 0 ist oder nicht. Der Zugriffsverweigerungszeitgeber wird eingestellt, wenn es eine bestimmte Anzahl von Malen in Folge von der Steuerzentrale 30 bestimmt wird, daß die Umschreibevorrichtung 20 nicht legitimiert ist, wie es später weiter beschrieben wird. Wenn es bestimmt wird, daß der Zugriffsverweigerungszeitgeber nicht 0 ist (S800: NEIN), wird in S810 der Zeitgeber dekrementiert. Weiterhin wird 0 einer Variablen C2 zugewiesen und ist diese steuerzentralenseitige Verarbeitung beendet. Die Variable C2 zählt die Anzahl von Malen in Folge es von der Steuerzentrale 30 bestimmt wird, daß die Umschreibevorrichtung 20 nicht legitimiert ist. Wenn es andererseits bestimmt wird, daß der Zugriffsverweigerungszeitgeber 0 ist (S800: JA), schreitet die Verarbeitung zu S820 fort.
  • In S820 wird es bestimmt, ob die Variable C2 nicht größer als 2 ist oder nicht. Wenn hier C2 > 2 ist (S820: NEIN), wird in S830 der Zugriffsverweigerungszeitgeber eingestellt und ist danach diese steuerzentralenseitige Verarbeitung beendet. Wenn andererseits C2 ≤ 2 ist (S820: JA), schreitet die Verarbeitung zu S840 fort.
  • In S840 wird es bestimmt, ob es eine Kommunikationsstartanforderung gegeben hat oder nicht. Diese Verarbeitung ist auf die Verarbeitung von S500 in 5 gerichtet. Wenn es bestimmt wird, daß es eine Kommunikationsstartanforderung gegeben hat (S840: JA) schreitet die Verarbeitung zu S850 fort. Andererseits wird, solange es keine Kommunikatiortsstartanforderung gegeben hat (S840: NEIN), diese Bestimmungsverarbeitung wiederholt.
  • In S850 wird die Kennungsinformation, die von der Umschreibevor- richtung 20 gesendet wird, empfangen und wird die Telefonnummer des ankommenden Anrufs erfaßt. In dem folgenden S860 wird die Zugehörigkeitsbeziehung zwischen der empfangenen Kennungsinformation und der erfaßten Telefonnummer mit der Zugehörigkeitsbeziehung zwischen der Kennungsinformation und der Telefonnummer der Umschreibevorrichtung 20 verglichen, die vorab in der Datenbank gespeichert werden. Die Verarbeitung von diesen S850 und S860 entspricht der Verarbeitung, die in B2 in 2 gezeigt ist.
  • Als nächstes wird es in dem nächsten S870 auf der Grundlage des Vergleichsergebnisses bestimmt, ob die Zugehörigkeitsbeziehungen übereinstimmen oder nicht. Wenn es bestimmt wird, daß sie übereinstimmen (S870: JA), werden in S890 das erste Erlaubnissignal und die Funktion f gesendet und schreitet danach die Verarbeitung zu S900 fort. Diese Verarbeitung entspricht der Verarbeitung von B3 in 2. Wenn es andererseits bestimmt wird, daß sie nicht übereinstimmen (S870: NEIN), wird es zu der Umschreibevorrichtung 20 gemeldet, daß kein Umschreiben zugelassen wird, und wird die Variable C2 erhöht (S880) und wird danach die Verarbeitung von S800 wiederholt.
  • Die Verarbeitung von S850 bis S890 die hier erläutert worden ist, entspricht der Verarbeitung, die als eine Legitimitätsbestimmungseinrichtung dient. Deshalb führt die CPU der Steuerzentrale 30 daher eine Legitimitätsbestimmung aus.
  • Wenn das erste Erlaubnissignal und die Funktion f gesendet werden, sendet die Umschreibevorrichtung 20 das zweite Erlaubnissignal und den Fahrzeug-VIN-Code zurück (S620 in 6) oder meldet keine Erlaubnis eines Umschreibens (S630).
  • Demgemäß wird es in S900 bestimmt, ob es eine Reaktion von der Umschreibevorrichtung 20 gegeben hat oder nicht. Wenn es bestimmt wird, daß es eine Reaktion von der Umschreibevorrichtung 20 gegeben hat (S900: JA), schreitet die Verarbeitung zu S910 in 8 fort. Andererseits wird, solange es keine Reaktion von der Umschreibevorrichtung 20 gegeben hat (S900: NEIN), diese Bestimmungsverarbeitung wiederholt.
  • In S910 wird es bestimmt, ob eine Reaktion eine Meldung keiner Erlaubnis ist. Wenn es eine Meldung keiner Erlaubnis gewesen ist (S910: JA) schreitet eine Verarbeitung zu S800 in 7 fort. Wenn es andererseits keine Meldung keiner Erlaubnis gewesen ist (S910: NEIN), das heißt wenn das zweite Erlaubnissignal und der Fahrzeug-VIN-Code gesendet worden sind, schreitet die Verarbeitung zu S920 fort.
  • In S920 wird ein Unterscheiden des Fahrzeugs auf der Grundlage des gesendeten Fahrzeug-VIN-Codes durchgeführt und wird sich auf die Aktualisierungshistoriendatenbank bezogen. Dann wird es im nächsten S930 auf der Grundlage des Referenzergebnisses bestimmt, ob es eine Notwendigkeit zum Umschreiben einer Steuerinformation gibt oder nicht. Die Verarbeitung von diesen S920 und S930 entspricht B12 in 2. Wenn es bestimmt wird, daß es eine Notwendigkeit eines Umschreibens gibt (S930: JA), schreitet die Verarbeitung zu S950 fort. Wenn es andererseits bestimmt wird, daß es keine Notwendigkeit eines Umschreibens gibt (S930: NEIN), wird in S940 die eine Information, die anzeigt, daß ein Umschreiben durchgeführt worden ist, verwendet und ist danach diese steuerzentralenseitige Verarbeitung beendet.
  • In S950 wird nach Änderungsdaten gesucht und werden diese ausge lesen und werden die ausgelesenen Änderungsdaten zu der Umschreibevorrichtung 20 gesendet. Diese Verarbeitung entspricht der Verarbeitung von B13 in 2. Danach gibt es von der Umschreibevorrichtung 20, wie es zuvor beschrieben worden ist, eine Meldung einer normalen Beendigung (S700 in 6) oder eine Meldung einer anormalen Beendigung (S710).
  • Demgemäß wird es in S960 bestimmt, ob es eine Beendigungsmeldung von der Umschreibevorrichtung 20 gegeben hat oder nicht. Wenn es bestimmt wird, daß es eine Beendigungsmeldung gegeben hat (S960: JA) schreitet die Verarbeitung zu S970 fort. Andererseits wird, solange es keine Beendigungsmeldung gegeben hat (S960: NEIN), diese Bestimmungsverarbeitung wiederholt.
  • In S970 wird es bestimmt, ob die Beendigungsmeldung eine Meldung einer normalen Beendigung ist. Wenn es bestimmt wird, daß sie eine Meldung einer normalen Beendigung ist (S970: JA), wird in S980 die Aktualisierungshistoriendatenbank aktualisiert und ist danach diese steuerzentralenseitige Verarbeitung beendet. Andererseits wird, wenn es bestimmt wird, daß sie keine Meldung einer normalen Beendigung ist (S970: NEIN) das heißt wenn es eine Meldung einer anormalen Beendigung gegeben hat, die Verarbeitung von S950 wiederholt.
  • Gemäß den vorhergehenden Ausführungsbeispiel wird die Funktion f, die eine Zugriffsinformation bildet, in der Steuerzentrale 30 gespeichert. Lediglich dann, wenn die Steuerzentrale 30 bestimmt, daß die Umschreibevorrichtung 20 eine legitimierte ist, wird die Funktion f von der Steuerzentrale 30 zu der Umschreibevorrichtung 20 gesendet (B2, B3 in 2). Demgemäß ist auch dann, wenn die Umschreibevorrichtung 20 oder eine Information innerhalb der Umschreibevorrichtung 20 gestohlen wird, die Zugriffsinformation zum Zugreifen auf die ECUs 11–14 nicht in der Umschreibevorrichtung 20 gespeichert. Deshalb ist es nicht möglich, die Steuerinformation der ECUs 11 bis 14 umzuschreiben, wenn es nicht möglich ist; eine Zugriffsinformation aus der Steuerzentrale 30 zu erzielen.
  • Die Steuerzentrale 30 weist eine Datenbank auf, in welcher eine Kennungsinformation, die eindeutig der Umschreibevorrichtung 20 zugewiesen ist, und eine Telefonnummer der Seite der Umschreibevorrichtung 20, wenn eine Datenkommunikation über eine Telefonleitung auszuführen ist, in Zusammenhang gespeichert sind. Sie erfaßt eine Kennungsinformation von der Umschreibevorrichtung 20 und erfaßt die Telefonnummer, von welcher der Anruf durchgeführt wird (S850 in 7). Wenn die Zugehörigkeitsbeziehung zwischen dieser Erkennung und der Telefonnummer mit der Zugehörigkeitsbeziehung übereinstimmt, die in der Datenbank gespeichert ist (S860, S870: JA), bestimmt die Steuereinrichtung 30, daß die Umschreibevorrichtung 20 legitimiert ist und sendet die Funktion f, welche eine Zugriffsinformation ist (S890). Zum Beispiel unterbleibt es, wenn eine Leitung zwischen der Umschreibevorrichtung 20 und der Steuerzentrale 30 von woanders als einer regulären Arbeitsstelle verbunden ist, daß die Telefonnummer, die die Steuerzentrale 30 erfaßt, die vorab entschiedene Telefonnummer ist. Folglich entspricht sie nicht der Kennungsinformation und kann die Zugriffsinformation nicht von der Steuerzentrale 30 erzielt werden. Als Ergebnis ist es nicht möglich, die Steuerinformation in den ECUs 11 bis 14 umzuschreiben.
  • Wie es vorhergehen beschrieben worden ist, kann mit dem Steuerinformations-Umschreibesystem 1 dieses Ausführungsbeispiels auch dann, wenn die Umschreibevorrichtung 20 oder eine Information innerhalb der Umschreibevorrichtung 20 gestohlen wird, sicher verhindert werden, daß eine Steuerinformation der ECUs 11 bis 14 unzweckmäßig umgeschrieben wird.
  • Mit den Steuerinformations-Umschreibesystem 1 dieses Ausführungsbeispiels bestimmt die Steuerzentrale 30 zuerst die Legitimität der Umschreibevorrichtung 20 und bestimmen dann die ECUs 11 bis 14 die Legiti mität der Umschreibevorrichtung 20. Wenn es in irgendeiner dieser Überprüfungen von zwei Stufen dreimal in Folge bestimmt wird, daß die Umschreibevorrichtung 20 nicht legitimiert ist, wird eine 10minütige Zugriffsverweigerung ausgeführt.
  • Das heißt, in den ECUs 11 bis 14 wird, wenn es bestimmt wird, daß die Umschreibevorrichtung 20 nicht legitimiert ist (S380: NEIN in 4), die Variable C1 erhöht (S410). Wenn die Variable C1 größer als 2 wird (S330: NEIN in 3), das heißt wenn eine Bestimmung keiner Legitimation dreimal in Folge durchgeführt wird, wird ein Zugriffsverweigerungszeitgeber eingestellt (S340). Daher wird ein Zugriff der Umschreibevorrichtung 20 verweigert (S310: NEIN), bis der Zeitgeber 0 wird.
  • Unterdessen wird ähnlich in der Steuerzentrale 30 ebenso, wenn es bestimmt wird, daß die Umschreibevorrichtung 20 nicht legitimiert ist (S870: NEIN in 7) die Variable C2 inkrementiert (S880). Wenn die Variable C2 größer als 2 wird (S820: NEIN), das heißt wenn eine Bestimmung keiner Legimitation dreimal in Folge durchgeführt wird, wird ein Zugriffsverweigerungszeitgeber eingestellt (S830). Daher wird ein Zugriff der Umschreibevorrichtung 20 verweigert (S800: NEIN), bis der Zeitgeber 0 wird.
  • Als Ergebnis kann auch dann, wenn ein Versuch gemacht wird, die Steuerzentrale 30 oder die ECUs 11–14 von der Umschreibevorrichtung 20 unter Verwendung einer nicht legitimierten Information zuzugreifen, die Steuerinformationsumschreibeverhinderung verhindert werden. Da es aus dem Grund, daß ein Zugriff für zehn Minuten unmöglich wird, nicht möglich ist, viele Male in Folge zuzugreifen, wenn ein nicht legitimierter Zugriff dreimal in Folge ausgeführt wird.
  • In diesem Ausführungsbeispiel speichert die Steuerzentrale 30 Änderungsdaten einer Steuerinformation. Das heißt, es gibt auch dann, da Ände rungsdaten nicht in der Umschreibevorrichtung 20 wie in der Vergangenheit gespeichert werden, wenn die Umschreibevorrichtung 20 oder eine Information innerhalb der Umschreibevorrichtung 20 gestohlen werden, keine Möglichkeit, daß Änderungsdaten nach außen gelangen.
  • Die Steuerzentrale 30 sendet Änderungsdaten (S950) mit einem zweiten Erlaubnissignal von den ECUs 11 bis 14, das zu ihr als eine Bedingung gesendet worden ist (S910: NEIN). Das heißt, sie sendet Änderungsdaten, wobei es als eine Bedingung von den ECUs 11 bis 14 bestimmt worden ist, daß die Umschreibevorrichtung 20 legitimiert ist. Deshalb kann die Möglichkeit, daß Änderungsdaten nach außen gelangen, weiter verringert werden.
  • Wenn die ECUs 11 bis 14 bestimmen, daß die Umschreibevorrichtung 20 legitimiert ist (S380: JA in 4), senden sie zusätzlich zu dem zweiten Erlaubnissignal einen Fahrzeug-VIN-Code, mit welchem es möglich ist, das Fahrzeug 10 zu bestimmen (S390). Die Steuerzentrale 30 weist eine Datenbank von Aktualisierungshistorien einer Steuerinformation auf, die in den ECUs 11 bis 14 von unterschiedlichen Fahrzeugen 10 gespeichert ist, und sie unterscheidet auf der Grundlage des zuvor erwähnten Fahrzeug-VIN-Codes aus den ECUs 11 bis 14 das Fahrzeug 10 und bezieht sich auf die Datenbank (S920 in 8) und bestimmt die Notwendigkeit eines Steuerinformationsumschreibens (S930). Dann, wenn es eine Notwendigkeit eines Umschreibens gibt (S930: JA), sendet sie die Änderungsdaten (S950).
  • In diesem Ausführungsbeispiel wird kein sinnloses Umschreiben einer Steuerinformation ausgeführt, da die Steuerzentrale 30 die Steuerinformations-Aktualisierungshistorien von Fahrzeugen 10 verwaltet. Als Ergebnis ist keine sinnlose Arbeitszeit erforderlich und es unterbleibt, zu passieren, daß ein erforderliches Umschreiben aufgrund eines sinnlosen Umschreibens unmöglich wird.
  • In der Steuerzentrale wird die Steuerinformations-Aktualisierungshistoriendatenbank automatisch aktualisiert (S980), wenn eine normale Beendigung eines Umschreibens von den ECUs 11 bis 14 über die Umschreibevorrichtung 20 gemeldet wird (S970: JA in 8). Daher gibt es keine Notwendigkeit, daß ein Benutzer die Datenbank durch eine manuelle Betätigung aktualisieren muß.
  • In der Umschreibevorrichtung 20 wird, wenn es unterbleibt, daß die Funktion f, die eine Zugriffsinformation bildet, ertorderlich ist (S650: NEIN, S690: JA in 6), die Funktion f die eine Zugriffsinformation bildet, schnell gelöscht (S660, S700). Aufgrund dessen kann die Möglichkeit, daß die Funktion f, die als eine Zugriffsinformation dient, die von der Steuerzentrale 30 zu der Umschreibevorrichtung 20 gesendet wird, aus der Umschreibevorrichtung 20 gestohlen wird, verringert werden.
  • Diese Erfindung ist in keiner Weise auf das offenbarte Ausführungsbeispiel beschränkt, sondern kann wie folgt auf verschiedene Weisen realisiert werden, ohne den Umfang der Erfindung zu verlassen.
    • (1) Die Steuerzentrale 30 kann eine Datenbank aufweisen, in welcher eine Erkennungsinformation von Umschreibungsvorrichtungen 20 und Paßwörter in Zusammenhang gebracht werden, und die Umschreibevorrichtung 20 kann ein Paßwort, das von einem Benutzer eingegeben wird, zusammen mit der Kennungsinformation senden. In diesem Fall entspricht das Paßwort einer zugehörigen Funktion und bestimmt die Steuerzentrale 30 die Legitimität der Umschreibevorrichtung 20 auf der Grundlage der Entsprechung zwischen der Kennungsinformation und dem Paßwort, das von der Umschreibevorrichtung 20 gesendet wird.
  • Die Kennungsinformation kann ebenso auf die gleiche Weise wie das Paßwort von einem Benutzer eingegeben werden. Wenn dies durchgeführt wird, ist es auch dann, wenn die Umschreibevorrichtung 20 oder eine Information innerhalb der Umschreibevorrichtung 20 gestohlen wird, da das Paßwort oder die Kennungsinformation und das Paßwort nicht bekannt ist, unmöglich, eine Zugriffsinformation aus der Steuerzentrale 30 zu erzielen, und ist es möglich, das unzweckmäßige Umschreiben einer Steuerinformation auf die gleiche Weise wie in dem Ausführungsbeispiel, das zuvor beschrieben worden ist, zu verhindern.
  • Jedoch ist es, da es ebenso eine Möglichkeit, daß die Kennungsinformation oder das Paßwort auf einen anderen Weg gestohlen wird, gibt, bevorzugt, eine Telefonnummer, die mit der Einbaustelle der Umschreibevorrichtung 20 verbunden ist, wie in dem vorhergehend beschriebenen Ausführungsbeispiel zu der zugehörigen Information zu machen. Dies ist so, da ein unzweckmäßiges Umschreiben nicht an einer regulären Arbeitsstelle ausgeführt werden kann.
    • (2) Es ist vorstellbar, daß die Datenkommunikation zwischen der Steuerzentrale 30 und der Umschreibevorrichtung 20 vorübergehend beendet wird, nachdem die Umschreibevorrichtung 20 die Zugriffsinformation von der Steuerzentrale 30 erfaßt hat. Zum Beispiel ist es vorstellbar, daß die Datenkommunikation vorübergehend beendet wird, nachdem die Datenkommunikation von B1 bis B4 in 2 beendet ist und ein Zustand einer möglichen Datenkommunikation zwischen der Umschreibevorrichtung 20 und der Steuerzentrale 30 erneut gebildet wird, wenn die Verarbeitung von B11 aufwärts ausgeführt wird.
  • Jedoch gibt es eine Möglichkeit, daß eine Zugriffsinformation, die von der Umschreibevorrichtung 20 gesendet wird, gestohlen wird und auf die ECUs 11 bis 14 unter Verwendung dieser Zugriffsinformation unter Verwendung einer anderen Umschreibevorrichtung zugegriffen wird.
  • Deshalb ist es vorteilhaft, wenn die Steuerzentrale 30 und die Umschreibevorrichtung 20, die sich in einem Zustand der möglichen Datenkommunikation befinden, zu einem Zustand eines Umschreibens gemacht werden, bis die Kette einer Umschreibeverarbeitung (die Verarbeitung von B1 bis B18, die in 2 gezeigt ist) endet.
  • Insbesondere könnte die folgende Art eines Aufbaus angewendet werden. Das heißt, die Umschreibevorrichtung 20 kann regelmäßig eine Reaktionanforderung auf der Grundlage einer Zeitgeberunterbrechungsverarbeitung zu der Steuerzentrale 30 oder dergleichen senden und die Steuerzentrale 30 kann eine Reaktion durchführen. Zu diesem Zeitpunkt führt die Umschreibevorrichtung 20 kein Umschreiben der ECUs 11 bis 14 durch, wenn es unterbleibt, daß eine es Reaktion von der Steuerzentrale 30 gibt, bevor die Kette einer Umschreibeverarbeitung beendet ist. Wenn dies durchgeführt wird, ist es unmöglich, von einer unterschiedlichen Umschreibevorrichtung unter Verwendung einer gestohlenen Zugriffsinformation auf eine ECU zuzugreifen.
    • (3) In dem Fall, in dem Steuerprogramme, die in der ECU 11 gespeichert sind, aus irgendeinem Grund gestört sind, sollte die Verarbeitung, die in 2 gezeigt ist, derart abgeändert werden, daß derartige Steuerprogramme umgeschrieben werden können.
  • In diesem Fall liest die ECU 11 nach einem Ausführen von B1 bis B9 in 2 eine Prüfsumme von seinem Steuerprogramm aus und sendet sie zu der Umschreibevorrichtung 20 zusammen mit dem zweiten Erlaubnissignal und dem VIN-Code (B10). Die Umschreibevorrichtung 20 sendet eine derartige empfangene Information zu der Steuerzentrale 30 (B11). Die Steuerzentrale 30 bestimmt, ob es notwendig ist, das Steuerprogramm umzuschreiben, auf der Grundlage des Vergleichs des VIN-Codes und der Prüfsumme zwischen dem empfangenen und dem vorab gespeicherten (B12).
  • Genauer gesagt bestimmt die Steuerzentrale 30 die Version des Steuerprogramms in der ECU 11 auf der Grundlage des empfangenen VIN-Codes und bestimmt, ob das Steuerprogramm normal ist, durch Überprüfen der empfangenen Prüfsumme des Steuerprogramms. Wenn die Prüfsumme zu dem vorab gespeicherten Wert verschieden ist, bestimmt sie, daß das Steuerprogramm gestört oder unterbrochen ist. Wenn die Steuerzentrale 30 auf der Grundlage des VIN-Codes bestimmt, daß die Version des Steuerprogramms geändert worden ist, sendet sie die Änderungsdaten unberücksichtigt des Prüfsummenbestimmungsergebnisses zu der Umschreibevorrichtung 20 (B13). Wenn die Steuerzentrale 30 bestimmt, daß die Version des Steuerprogramms nicht geändert worden ist, aber das Steuerprogramm gestört ist, sendet sie das ursprüngliche Steuerprogramm zu der Umschreibevorrichtung 20. Daher kann das Steuerprogramm in der ECU 11 erneuert werden. Es ist natürlich möglich, Schlüsselwerte oder dergleichen, die innerhalb des Steuerprogramms vorgesehen sind, anstelle eines Verwendens der Prüfsumme zum Erfassen zu verwenden, ob das Steuerprogramm gestört worden ist.

Claims (23)

  1. Steuerinformations-Umschreibesystem (1) für ein Fahrzeug (10), das aufweist: eine elektronische Steuereinheit (11 bis 14), die in das Fahrzeug (10) für ein Fahrzeugsteuern eingebaut ist und eine Steuerinformation, die in einem elektrisch umschreibbaren nichtflüchtigen Speicher (11a bis 14a) gespeichert ist, für das Fahrzeugsteuern aufweist; eine Umschreibevorrichtung (20), die zum Umschreiben der Steuerinformation mit der elektronischen Steuereinheit verbindbar ist; eine Steuerzentrale (30) zum Durchführen einer Datenkommunikation mit der Umschreibevorrichtung (20), dadurch gekennzeichnet, daß die Steuerzentrale (30) beinhaltet: eine Speichereinrichtung (31), die eine vorbestimmte Zugriffsinformation, eine Identifikationsinformation der Umschreibevorrichtung (20) und eine zugehörige Information, die der Identifikationsinformation zugehörig ist, speichert; und eine Legitimitätsbestimmungseinrichtung (B2 bis B3; S850 bis S890) zum Erfassen einer Identifikationsinformation und einer zugehörigen Information der Umschreibevorrichtung (20) in einer Datenkommunikation mit der Umschreibevorrichtung (20) von der Umschreibevorrichtung (20), und zum Senden und Nichtsenden der vorbestimmten Zugriffsinformation, die in der Speichereinrichtung (31) gespeichert ist, zu der Umschreibevorrichtung (20), wenn eine Zugehörigkeitsbeziehung der erfaßten Information mit einer Zugehörigkeitsbeziehung der Identifikationsinformation und der zugehörigen Information, die in der Speichereinrichtung (31) gespeichert sind, übereinstimmt bzw. nicht übereinstimmt, um dadurch einen Umschreibevorgang der Umschreibevorrichtung (20) zu aktivieren bzw. zu deaktivieren.
  2. Steuerinformations-Umschreibesystem (1) nach Anspruch 1, dadurch gekennzeichnet, daß: die Umschreibevorrichtung (20) aus der Steuerzentrale (30) als die vorbestimmte Zugriffsinformation eine Funktion f erfaßt, die für eine Funktion F spezifisch ist, die in der elektronischen Steuereinheit (11 bis 14) gespeichert ist, und einen Funktionswert f(r), der für einen vorbestimmten Wert r spezifisch ist, der von der elektronischen Steuereinheit (11 bis 14) gesendet wird, zu der elektronischen Steuereinheit (11 bis 14) sendet, und die elektronische Steuereinheit (11 bis 14) bestimmt, daß die Umschreibevorrichtung (20) legitimiert ist, wenn ein Funktionswert F(f(r)), der für den Funktionswert f(r) spezifisch ist, der von der Umschreibevorrichtung (20) gesendet wird, dem gesendeten vorbestimmten Wert r entspricht.
  3. Steuerinformations-Umschreibesystem (1) nach Anspruch 2, dadurch gekennzeichnet, daß der vorbestimmte Wert r eine Zufallszahl ist, die von der elektronischen Steuereinheit (11 bis 14) erzeugt wird.
  4. Steuerinformations-Umschreibesystem (1) nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, daß die elektronische Steuereinheit (11 bis 14) einen Zugriff von der Umschreibevorrichtung (20) für eine feste Dauer zurückweist, wenn sie eine vorbestimmte Anzahl von Malen bestimmt, daß die Umschreibevorrichtung (20) nicht legitimiert ist.
  5. Steuerinformations-Umschreibesystem (1) nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, daß: die zugehörige Information von einem Benutzer zu jeder Zeit, zu der ein Zustand, in dem eine Datenkommunikation mit der Steuerzentrale (30) möglich ist, gebildet ist, in die Umschreibevorrichtung (20) eingegeben wird, und die Umschreibevorrichtung (20) die zugehörige Information, die von dem Benutzer in die Steuerzentrale (30) eingegeben wird, zusammen mit der Identifikationsinformation sen det.
  6. Steuerinformations-Umschreibesystem (1) nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, daß: ein Zustand einer möglichen Datenkommunikation zwischen der Steuerzentrale (30) und der Umschreibevorrichtung (20) mittels eines Telefonnetzes (40) gebildet wird, und die Steuerzentrale (30) die Telefonnummer der Umschreibevorrichtung (20) als die zugehörige Information erfaßt, wenn der Zustand einer möglichen Datenkommunikation gebildet ist.
  7. Steuerinformations-Umschreibesystem (1) nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, daß die Steuerzentrale (30) einen Zugriff von der Umschreibevorrichtung (20) für eine feste Dauer zurückweist, wenn eine Nichtübereinstimmung der Zugehörigkeitsbeziehungen eine vorbestimmte Anzahl von Malen von der Legitimitätsbestimmungseinrichtung (5850 bis S890) bestimmt wird.
  8. Steuerinformations-Umschreibesystem (1) nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, daß: die Steuerzentrale (30) weiterhin eine Änderungsdaten-Speichereinrichtung (31) beinhaltet, die Änderungsdaten der Steuerinformation speichert, und die Steuerzentrale (30) die Änderungsdaten zu der Umschreibevorrichtung (20) sendet, wenn die elektronische Steuereinheit (11 bis 14) bestimmt, daß die Umschreibevorrichtung (20) legitimiert ist.
  9. Steuerinformations-Umschreibesystem (1) nach Anspruch 8, dadurch gekennzeichnet, daß: die elektronische Steuereinheit (11 bis 14) eine Fahrzeuginformation zu der Umschreibevorrichtung (20) sendet, wenn sie bestimmt, daß die Umschreibevorrichtung (20) legitimiert ist, und die Steuerzentrale (30) weiterhin eine Aktualisierungshi storien-Speichereinrichtung (31) beinhaltet, die eine Aktualisierungshistorie der Steuerinformation speichert, die das Fahrzeug betrifft, sich auf der Grundlage der Fahrzeuginformation auf die Aktualisierungshistorie bezieht, die in der Aktualisierungshistorien-Speichereinrichtung (31) gespeichert ist, wenn die Fahrzeuginformation von der elektronischen Steuereinheit (11 bis 14) von der Umschreibevorrichtung (20) gesendet wird, eine Notwendigkeit eines Umschreibens der Steuerinformation in diesem Fahrzeug bestimmt und die Änderungsdaten zu der Umschreibevorrichtung (20) sendet, wenn sie bestimmt, daß ein Umschreiben erforderlich ist.
  10. Steuerinformations-Umschreibesystem (1) nach Anspruch 9, dadurch gekennzeichnet, daß die Steuerzentrale (30) die Aktualisierungshistorie aktualisiert, die für das Fahrzeug spezifisch ist, wenn ein Umschreiben der Steuerinformation von der elektronischen Steuereinheit (11 bis 14) beendet ist.
  11. Steuerinformations-Umschreibesystem (1) nach einem der Ansprüche 1 bis 10, dadurch gekennzeichnet, daß die Umschreibevorrichtung (20) die vorbestimmte Zugriffsinformation löscht, wenn ein Umschreiben der Steuerinformation von der elektronischen Steuereinheit (11 bis 14) beendet ist.
  12. Steuerinformations-Umschreibesystem (1) nach einem der Ansprüche 1 bis 11, dadurch gekennzeichnet, daß die Umschreibevorrichtung (20) ein Umschreiben der Steuerinformation stoppt, nachdem ein Zustand einer möglichen Datenkommunikation zwischen der Umschreibevorrichtung (20) und der Steuerzentrale (30) gebildet ist, wenn eine Datenkommunikation zwischen der Umschreibevorrichtung (20) und der Steuerzentrale (30) unmöglich wird, bevor ein Umschreiben der Steuerinformation von der elektronischen Steuereinheit (11 bis 14) beendet ist.
  13. Steuerinformations-Umschreibesystem (1) nach Anspruch 1, dadurch gekennzeichnet, daß die Steuerzentrale (30) weiterhin eine Verarbeitungseinheit aufweist, die derart programmiert ist, daß sie eine Information, die für die elektronische Steuereinheit (11 bis 14) spezifisch ist, von der Umschreibevorrichtung (20) empfängt, Änderungsdaten bestimmt, zu welchen die Steuerinformation umzuschreiben ist, und die bestimmten Änderungsdaten zu der Umschreibevorrichtung (20) sendet.
  14. Steuerinformations-Umschreibesystem (1) nach Anspruch 13, dadurch gekennzeichnet, daß die Verarbeitungseinheit weiterhin derart programmiert ist, daß sie bestimmt, ob die Umschreibevorrichtung (20) legitimiert ist, und lediglich zu-1äßt, daß die Umschreibevorrichtung (20) die Änderungsdaten umschreibt, wenn sie bestimmt, daß die Umschreibevorrichtung (20) legitimiert ist.
  15. Steuerinformations-Umschreibesystem (1) nach Anspruch 14, dadurch gekennzeichnet, daß die Verarbeitungseinheit weiterhin derart programmiert ist, daß sie die Zugehörigkeitsbeziehung der Identifikationsinformation und der zugehörigen Information, die von der Umschreibevorrichtung (20) erfaßt werden, mit der Zugehörigkeitsbeziehung der Identikationsinformation und der zugehörigen Information vergleicht, die in der Speichereinrichtung (31) gespeichert ist, und bestimmt, daß die Umschreibevorrichtung (20) legitimiert ist, wenn die verglichenen Zugehörigkeitsbeziehungen übereinstimmen.
  16. Steuerinformations-Umschreibesystem (1) nach einem der Ansprüche 13 bis 15, dadurch gekennzeichnet, daß die Verarbeitungseinheit weiterhin derart programmiert ist, daß sie eine Historie eines Umschreibevorgangs der Umschreibevorrichtung (20) aktualisiert.
  17. Steuerinformations-Umschreibesystem (1) nach Anspruch 16, dadurch gekennzeichnet, daß die Verarbeitungseinheit wei terhin derart programmiert ist, daß sie durch Bezug nehmen auf die Historie eines Umschreibevorgangs auf der Grundlage der Information, die für die elektronische Steuereinheit (11 bis 14) spezifisch ist und von der Umschreibevorrichtung (20) empfangen wird, bestimmt, ob ein Umschreiben der Steuerinformation eforderlich ist, und eine Information, die ein Beenden des Umschreibevorgangs anzeigt, zu der Umschreibevorrichtung (20) sendet, wenn sie bestimmt, daß ein Umschreiben nicht erforderlich ist.
  18. Steuerinformations-Umschreibesystem (1) nach Anspruch 1, dadurch gekennzeichnet, daß die Umschreibevorrichtung aufweist: eine Einrichtung (B11) zum Empfangen einer spezifischen Information zum Empfangen einer spezifischen Information von der elektronischen Steuereinheit (11 bis 14); eine Einrichtung (B11) zum Senden einer spezifischen Information zum Senden der spezifischen Information zu der Steuerzentrale (30); eine Änderungsdaten-Empfangseinrichtung (B14) zum Empfangen von Änderungsdaten, die der bestimmten Information entsprechen, von der Steuerzentrale (30); und eine Steuerinformations-Sendeeinrichtung (B14) zum Senden der Änderungsdaten zu der elektronischen Steuereinheit (11 bis 14).
  19. Steuerinformations-Umschreibesystem (1) nach Anspruch 1, dadurch gekennzeichnet, daß die Umschreibevorrichtung (20) Daten, die von der elektronischen Steuereinheit (11 bis 14) empfangen werden, auf der Grundlage der vorbestimmten Zugriffsinformation nach einem Empfangen der vorbestimmten Zugriffsinformation von der Steuerzentrale (30) wandelt und die gewandelten Daten zu der elektronischen Steuereinheit (11 bis 14) sendet.
  20. Steuerinformations-Umschreibesystem (1) nach Anspruch 19, dadurch gekennzeichnet, daß die Umschreibevorrichtung (20) die vorbestimmte Zugriffsinformation löscht, die von der Steuerzentrale (30) empfangen wird, nachdem ein Umschreiben in der elektronischen Steuereinheit (11 bis 14) normal beendet worden ist.
  21. Steuerinformations-Umschreibesystem (1) nach Anspruch 1, dadurch gekennzeichnet, daß die elektronische Steuereinheit (11 bis 14) aufweist: eine Sendeeinrichtung (B10) zum Senden einer spezifischen Information, die für die elektronische Steuereinheit (11 bis 14) spezifisch ist, zu der Umschreibevorrichtung (20); und eine Empfangseinrichtung (B15) zum Empfangen der Steuerinformation, die auf der Grundlage der spezifischen Information ausgewählt wird, von der Umschreibevorrichtung (20).
  22. Steuerinformations-Umschreibesystem (1) nach Anspruch 21, dadurch gekennzeichnet, daß die Legitimitätsbestimmungseinrichtung (B9) bestimmt, ob die Umschreibevorrichtung (20) legitimiert ist, und lediglich zuläßt, daß die Sendeeinrichtung (B10) die spezifische Information zu der Umschreibevorrichtung (20) sendet, wenn sie die Legitimität bestimmt.
  23. Steuerinformations-Umschreibesystem (1) nach Anspruch 1, dadurch gekennzeichnet, daß: die Steuerinformation ein Steuerprogramm ist, und die Steuerzentrale (30) derart programmiert ist, daß sie durch Überprüfen, ob eine Prüfsumme eines Steuerprogramms, das von der elektronischen Steuereinheit (11 bis 14) über die Umschreibevorrichtung (20) zusammen mit der fahrzeugspezifischen Information gesendet wird, bestimmt, ob das Steuerprogramm normal ist, und ein neues Steuerprogramm zu der Umschreibevorrichtung (20) sendet, so daß das neue Steuerprogramm in den nichtflüchtigen Speicher (11a bis 14a) umgeschrieben wird, wenn sie bestimmt, daß das Steuerprogramm abnormal ist.
DE60002422T 1999-12-07 2000-12-07 System zur Überschreibung von Steuerinformationen Expired - Lifetime DE60002422T2 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP34756299 1999-12-07
JP34756299 1999-12-07

Publications (2)

Publication Number Publication Date
DE60002422D1 DE60002422D1 (de) 2003-06-05
DE60002422T2 true DE60002422T2 (de) 2004-02-26

Family

ID=18391069

Family Applications (4)

Application Number Title Priority Date Filing Date
DE60002422T Expired - Lifetime DE60002422T2 (de) 1999-12-07 2000-12-07 System zur Überschreibung von Steuerinformationen
DE60008802T Expired - Lifetime DE60008802T2 (de) 1999-12-07 2000-12-07 Steuerzentrale zur Kommunikation mit einer Vorrichtung zur Überschreibung von Steuerinformationen
DE60011820T Expired - Lifetime DE60011820T2 (de) 1999-12-07 2000-12-07 System zur Überschreibung von Steuerinformationen
DE60009163T Expired - Lifetime DE60009163T2 (de) 1999-12-07 2000-12-07 Vorrichtung zur Überschreibung von Steuerinformationen

Family Applications After (3)

Application Number Title Priority Date Filing Date
DE60008802T Expired - Lifetime DE60008802T2 (de) 1999-12-07 2000-12-07 Steuerzentrale zur Kommunikation mit einer Vorrichtung zur Überschreibung von Steuerinformationen
DE60011820T Expired - Lifetime DE60011820T2 (de) 1999-12-07 2000-12-07 System zur Überschreibung von Steuerinformationen
DE60009163T Expired - Lifetime DE60009163T2 (de) 1999-12-07 2000-12-07 Vorrichtung zur Überschreibung von Steuerinformationen

Country Status (3)

Country Link
US (1) US7068147B2 (de)
EP (4) EP1253493B1 (de)
DE (4) DE60002422T2 (de)

Families Citing this family (49)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6539299B2 (en) * 2000-02-18 2003-03-25 Optimum Power Technology Apparatus and method for calibrating an engine management system
US7636859B2 (en) * 2001-01-04 2009-12-22 Cummins Inc. System and method for authorizing transfer of software into embedded systems
WO2003081434A1 (fr) * 2002-03-25 2003-10-02 Hitachi Construction Machinery Co., Ltd. Systeme de collecte de donnees de fonctionnement liees a l'activite d'une machine
JP2004028000A (ja) * 2002-06-27 2004-01-29 Mitsubishi Electric Corp 通信による車載ecuのメモリ書き換え装置
JP2005196568A (ja) * 2004-01-08 2005-07-21 Denso Corp 車両の部品管理方法及び装置、車両の部品管理データ更新方法及び装置、並びに車両部品管理センタ
JP2006268107A (ja) * 2005-03-22 2006-10-05 Denso Corp 電子制御装置
JP4668656B2 (ja) 2005-03-24 2011-04-13 日立オートモティブシステムズ株式会社 プログラムの書き換えシステム及びプログラムの書き換え方法
US20080216067A1 (en) * 2005-04-04 2008-09-04 Volvo Lastvagnar Ab Arrangement and Method for Programming Motor Vehicles
JP2007011734A (ja) * 2005-06-30 2007-01-18 Denso Corp 車載制御装置
GB2434219B (en) * 2005-11-15 2010-11-24 P G Drives Technology Ltd Networked modules
JP2008059450A (ja) * 2006-09-01 2008-03-13 Denso Corp 車両情報書換えシステム
JP4720781B2 (ja) * 2007-05-07 2011-07-13 株式会社デンソー 車両制御装置のデータ書換システム
FR2923627B1 (fr) * 2007-11-08 2013-08-30 Siemens Vdo Automotive Procede de deverrouillage d'un calculateur de controle moteur.
JP4539757B2 (ja) * 2008-04-23 2010-09-08 株式会社デンソー 電子制御装置
JP4557042B2 (ja) * 2008-04-23 2010-10-06 株式会社デンソー 電子制御装置、及び車両制御システム
DE102008030092A1 (de) * 2008-06-25 2009-12-31 Audi Ag Elektrisch ansteuerbare Baueinheit eines Kraftfahrzeugs und Verfahren zum Identifizieren einer elektrisch ansteuerbaren Baueinheit eines Kraftfahrzeugs
JP4722194B2 (ja) * 2009-04-13 2011-07-13 本田技研工業株式会社 車両のための書き換えシステム
DE102009038035A1 (de) * 2009-08-19 2011-02-24 Bayerische Motoren Werke Aktiengesellschaft Verfahren zur Konfiguration von Infotainmentanwendungen in einem Kraftfahrzeug
US20120117510A1 (en) * 2010-11-05 2012-05-10 Xerox Corporation System and method for automatically establishing a concurrent data connection with respect to the voice dial features of a communications device
US9457740B2 (en) * 2011-01-31 2016-10-04 Honda Motor Co., Ltd. Vehicle control system
US8972712B2 (en) * 2011-05-24 2015-03-03 Vision Works Ip Corporation Device for reprogramming an embedded system to allow the system to return to an initial embedded system information or a reprogrammed embedded system information
JP5423754B2 (ja) * 2011-09-28 2014-02-19 株式会社デンソー バス監視セキュリティ装置及びバス監視セキュリティシステム
JP5590069B2 (ja) * 2012-04-27 2014-09-17 株式会社デンソー マイクロコンピュータ
US9158926B2 (en) 2014-01-13 2015-10-13 General Electric Company Engine control unit configuration security
CN106030600B (zh) * 2014-02-28 2018-10-16 日立汽车系统株式会社 认证系统、车载控制装置
CN110377310B (zh) 2014-11-12 2023-04-07 松下电器(美国)知识产权公司 更新管理方法、更新管理装置以及计算机可读取的记录介质
US10621331B2 (en) * 2015-06-30 2020-04-14 Hitachi Automotive Systems, Ltd. Vehicle data rewrite control device and vehicle data rewrite authentication system
JP6560604B2 (ja) * 2015-12-08 2019-08-14 Kddi株式会社 管理装置、管理方法、及びプログラム
JP6190443B2 (ja) * 2015-12-28 2017-08-30 Kddi株式会社 車載コンピュータシステム、車両、管理方法、及びコンピュータプログラム
CN105785977B (zh) * 2016-05-03 2018-09-11 北京新能源汽车股份有限公司 车辆的电控系统的数据存储方法及电控系统
JP6260067B1 (ja) * 2016-08-09 2018-01-17 Kddi株式会社 管理システム、鍵生成装置、車載コンピュータ、管理方法、及びコンピュータプログラム
EP3499792A4 (de) 2016-08-10 2020-01-01 KDDI Corporation Datenbereitstellungssystem, datensicherheitsvorrichtung, datenbereitstellungsverfahren und computerprogramm
CN109314645B (zh) 2016-08-10 2021-08-13 Kddi株式会社 数据提供系统、数据保护装置、数据提供方法以及存储介质
JP6140874B1 (ja) * 2016-10-03 2017-05-31 Kddi株式会社 制御装置、制御方法、及びコンピュータプログラム
CN107132788A (zh) * 2017-03-30 2017-09-05 深圳市元征科技股份有限公司 一种汽车电子控制单元自动刷写方法及设备
JP6470344B2 (ja) * 2017-04-28 2019-02-13 Kddi株式会社 制御装置、制御方法、及びコンピュータプログラム
JP6454919B2 (ja) * 2017-10-10 2019-01-23 Kddi株式会社 管理システム、データ提供装置、車載コンピュータ、管理方法、及びコンピュータプログラム
JP6554704B2 (ja) * 2017-10-18 2019-08-07 Kddi株式会社 データ提供システム及びデータ提供方法
EP3546355B1 (de) * 2018-03-29 2021-07-07 Airbus Operations GmbH Flugzeugbereich mit einer textilanzeige, und ein flugzeug mit einem solchen flugzeugbereich
US11560240B2 (en) 2018-03-29 2023-01-24 Airbus Operations Gmbh Aircraft area having a textile display, aircraft passenger seat having a textile display, and aircraft including an aircraft area
JP7408937B2 (ja) * 2018-08-10 2024-01-09 株式会社デンソー センター装置,配信パッケージの生成方法及び配信パッケージ生成用プログラム
WO2020032196A1 (ja) 2018-08-10 2020-02-13 株式会社デンソー 車両情報通信システム
JP7003976B2 (ja) * 2018-08-10 2022-01-21 株式会社デンソー 車両用マスタ装置、更新データの検証方法及び更新データの検証プログラム
US11163549B2 (en) 2018-08-10 2021-11-02 Denso Corporation Vehicle information communication system
US11579865B2 (en) 2018-08-10 2023-02-14 Denso Corporation Vehicle information communication system
JP7111074B2 (ja) * 2018-08-10 2022-08-02 株式会社デンソー 車両用マスタ装置、セキュリティアクセス鍵の管理方法、セキュリティアクセス鍵の管理プログラム及び車両用電子制御システム
WO2020032121A1 (ja) * 2018-08-10 2020-02-13 株式会社デンソー 車両用マスタ装置、更新データの検証方法及び更新データの検証プログラム
US11449327B2 (en) 2018-11-30 2022-09-20 Paccar Inc Error-resilient over-the-air software updates for vehicles
US11356425B2 (en) 2018-11-30 2022-06-07 Paccar Inc Techniques for improving security of encrypted vehicle software updates

Family Cites Families (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3410082A1 (de) 1984-03-20 1985-09-26 Robert Bosch Gmbh, 7000 Stuttgart Steuergeraet fuer kraftfahrzeuge
US4947163A (en) * 1985-10-16 1990-08-07 Supra Products, Inc. Electronic security system with configurable key
JPH081605B2 (ja) 1986-04-16 1996-01-10 富士重工業株式会社 車両用電子制御装置
US4979170A (en) * 1988-01-19 1990-12-18 Qualcomm, Inc. Alternating sequential half duplex communication system
DE68920427T2 (de) 1988-10-04 1995-05-11 Solatrol Inc Zentralverwaltungssystem der bewässerungseinheiten.
JP2830302B2 (ja) 1990-02-15 1998-12-02 株式会社デンソー 自動車用制御装置
GB9019423D0 (en) 1990-09-06 1990-10-24 Gen Motors Luxembourg Operatio Electronic controller for vehicle
US5278759A (en) 1991-05-07 1994-01-11 Chrysler Corporation System and method for reprogramming vehicle computers
JPH0516744A (ja) 1991-07-17 1993-01-26 Fuji Heavy Ind Ltd 車輌用電子制御システムの情報入出力方法
ATE197097T1 (de) 1993-03-31 2000-11-15 Siemens Ag Verfahren und anordnung zum neu- bzw. nachladen von prozessorsteuerprogrammen
JPH06328984A (ja) 1993-05-19 1994-11-29 Mazda Motor Corp 車両の制御ゲイン変更装置
US5541840A (en) * 1993-06-25 1996-07-30 Chrysler Corporation Hand held automotive diagnostic service tool
JPH0777101A (ja) 1993-09-03 1995-03-20 Matsushita Electric Ind Co Ltd 車載用電子制御装置
DE4440127B4 (de) * 1994-11-10 2007-11-08 Robert Bosch Gmbh Steuergerät
AU5091196A (en) 1995-03-03 1996-09-23 Qualcomm Incorporated Method and apparatus for monitoring parameters of vehicle electronic control units
US5594227A (en) * 1995-03-28 1997-01-14 Microsoft Corporation System and method for protecting unauthorized access to data contents
DE19532067C1 (de) 1995-08-31 1996-10-24 Daimler Benz Ag Verfahren und Einrichtung zur Einprogrammierung von Betriebsdaten in Fahrzeugbauteile
US6127939A (en) * 1996-10-14 2000-10-03 Vehicle Enhancement Systems, Inc. Systems and methods for monitoring and controlling tractor/trailer vehicle systems
US5787367A (en) 1996-07-03 1998-07-28 Chrysler Corporation Flash reprogramming security for vehicle computer
US6529124B2 (en) * 1996-08-22 2003-03-04 Omega Patents, L.L.C. Remote vehicle function control system using data bus adaptor cartridge and associated methods
DE19634341A1 (de) 1996-08-24 1998-02-26 Bosch Gmbh Robert Verfahren zum Schutz von speicherprogrammierten Steuerungen vor einem Überschreiben
JPH11175331A (ja) 1997-12-15 1999-07-02 Denso Corp 車両用lanシステムにおけるromの書換方法及び車載制御装置
JP3846045B2 (ja) * 1998-07-15 2006-11-15 株式会社デンソー 車両用盗難防止システム
JP2000335371A (ja) * 1999-05-26 2000-12-05 Denso Corp 電子制御装置及び記録媒体

Also Published As

Publication number Publication date
US7068147B2 (en) 2006-06-27
DE60002422D1 (de) 2003-06-05
EP1256859B1 (de) 2004-03-03
EP1109085A2 (de) 2001-06-20
DE60009163T2 (de) 2005-03-17
DE60008802T2 (de) 2005-02-17
EP1109085B1 (de) 2003-05-02
EP1255176A1 (de) 2002-11-06
DE60009163D1 (de) 2004-04-22
DE60011820T2 (de) 2005-07-07
EP1256859A8 (de) 2003-04-02
EP1253493B1 (de) 2004-06-23
DE60008802D1 (de) 2004-04-08
EP1253493A1 (de) 2002-10-30
EP1256859A1 (de) 2002-11-13
DE60011820D1 (de) 2004-07-29
US20010002814A1 (en) 2001-06-07
EP1255176B1 (de) 2004-03-17
EP1109085A3 (de) 2001-07-18

Similar Documents

Publication Publication Date Title
DE60002422T2 (de) System zur Überschreibung von Steuerinformationen
DE10230351B4 (de) Fahrzeugrelaisvorrichtung, fahrzeuginternes Kommunikationssystem, Störungsdiagnosesystem, Fahrzeugsteuervorrichtung, Servervorrichtung und Erfassungs/Diagnoseprogramm
DE60314871T2 (de) Verfahren zur authentifizierung eines anwenders bei einem zugang zu einem dienst eines diensteanbieters
DE60220959T2 (de) Verfahren und Vorrichtung zur Bereitstellung einer Liste von öffentlichen Schlüsseln in einem Public-Key-System
DE60313810T2 (de) Verfahren zur bereitstellung eines softwaremoduls für eine kraftfahrzeug-steuereinheit und computerprogramm zur ausführung des verfahrens
DE102017117294A1 (de) Verfahren und vorrichtung zur verwendung eines digitalen temporären fahrzeugschlüssels
DE102004048959B4 (de) Informationsverarbeitungsgerät, Beglaubigungsverarbeitungsprogramm und Beglaubigungsspeichergerät
DE112014000623T5 (de) Zugriffbeschränkungseinrichtung, Bord-Kommunikationssystem und Verfahren zur Kommunikationsbeschränkung
DE102007022100B4 (de) Kraftfahrzeugsteuergerätedatenübertragungssystem und -verfahren
DE102012217200A1 (de) Busüberwachungssicherheitsvorrichtung und Busüberwachungssicherheitssystem
DE602004006907T2 (de) System und Verfahren zur Authentifizierung eines Heimgerätes
DE102019127100A1 (de) Verfahren und system zum bereitstellen von sicherheit eines fahrzeuginternen netzwerkes
DE69733799T2 (de) Verfahren und Vorrichtung zur Überprüfung der Kompatibilität von einem Mobilfunkstation und einem Zusatzeinheit
EP2351320B1 (de) Serversystem und verfahren zur bereitstellung mindestens einer leistung
DE60034054T2 (de) Authentifizierung einer teilnehmerstation
DE10311327A1 (de) Nutzer-Objekte zur Authentifizierung der Nutzung medizinischer Daten
EP3376419B1 (de) System und verfahren zum elektronischen signieren eines dokuments
JP2001225706A (ja) 電子制御装置の制御情報書換システム、当該システムに用いられるセンタ、電子制御装置、及び書換装置
DE102015222458A1 (de) Verfahren, Einrichtung und System zur Überwachung eines Fahrzeugs und Fahrzeug
DE102016218988A1 (de) Kommunikationssystem
EP1035706A2 (de) Verfahren zum Verbinden von mindestens zwei Netzwerkssegmenten eines Netzwerkes mit einer Zugangskontrolle durch eine Benutzerkennung
EP1419636B1 (de) Verfahren zum automatischen login einer kraftfahrzeugsteilnehmerstation
EP1038080B1 (de) System zur kontrolle der zugangsberechtigung
US20020083335A1 (en) Method and system in a telephone switching system
WO1999063697A2 (de) Programmgesteuerte vorrichtung

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
8320 Willingness to grant licences declared (paragraph 23)