-
Diese Erfindung betrifft ein elektronisches Steuerinformations-Umschreibesystem
gemäß dem Oberbegriff
des Anspruchs 1, das einen nichtflüchtigen Speicher aufweist,
mit welchem ein elektrisches Umschreiben von Daten möglich ist,
und betrifft insbesondere eine Technologie zum Verhindern des unzulässigen Umschreibens
einer Steuerinformation, wie zum Beispiel von Fahrzeugsteuerprogrammen oder
Steuerdaten, die in dem nichtflüchtigen
Speicher gespeichert sind.
-
In elektronischen Steuereinheiten
(ECUs) zum Steuern von Fahrzeug-Brennkraftmaschinen oder
dergleichen ist eine Steuerinformation in einem nichtflüchtigen
Speicher gespeichert, mit welchem ein elektrisches Umschreiben von
Daten möglich
ist. Die Steuerinformation beinhaltet Programme und Daten und ist
auch nach einer Herstellung auf dem Markt um- schreibbar.
-
Zum Beispiel ist diese Art einer
ECU aufgebaut, wie es in 9 gezeigt
ist. Eine Umschreibevorrichtung 200 ist über einen
Fahrzeugdiagnoseverbinder 120 mit einem Fahrzeug 100 verbunden.
Eine Mehrzahl von ECUs 101, 102, 103 und 104 ist
in das Fahrzeug 100 eingebaut und die ECUs 101– 104 sind mit
einer Netzleitung 110 verbunden. Die Umschreibevorrichtung 200 führt eine
Datenkommunikation mit einer der vier ECUs 101 bis 104 durch
Senden jedes ECU-Codes auf der Grundlage einer Manipulation eines
Benutzers durch.
-
In diesem System wählt die
Umschreibevorrichtung 200, wie es in 10 gezeigt ist, zum Beispiel die ECU 101 aus;
auf welcher ein Umschreiben einer Steuerinformation auszuführen ist,
und sendet eine Umschreibeanforderung (b1). Die Auswahl der ECU 101 wird
durch Senden eines ECU-Codes
ausgeführt.
Dieser ECU-Code wird durch einen Benutzer in die Umschreibevorrichtung 200 eingegeben.
Wenn dies durchgeführt
wird, erzeugt die ausgewählte
ECU 101 eine Zufallszahl r (b2) und sendet diese
Zufalls zahl r zu der Umschreibevorrichtung 200 (b3).
-
Eine Funktion f wird vorab in der
Umschreibevorrichtung 200 gespeichert und diese berechnet einen
Funktionswert f(r) bezüglich
der gesendeten Zufallszahl r (b4). Dann sendet sie diese
berechnete Funktion f(r) (b5). In der ECU 101 wird
andererseits vorab eine Funktion F gespeichert und wird ein Funktionswert
F(f(r)) bezüglich
des gesendeten Funktionswert f(r) berechnet (b6). Dann sendet sie,
wenn der berechnete F(f(r)) der Zufallszahl r ist, das heißt wenn
f = F–1,
ist, ein Erlaubnissignal, das ein Umschreiben zuläßt (b7).
-
Die vorhergehende Bearbeitung ist
für die ECU
101, um zu bestimmen, daß die
Umschreibevorrichtung 200 berechtigt ist, wenn die Umschreibevorrichtung 200 die
Umkehrfunktion f der Funktion F aufweist, die von der ECU 101 gespeichert
wird. Die Umschreibevorrichtung 200 sendet Änderungsdaten, wenn
sie das Erlaubnissignal empfängt,
das von der ECU 101 gesendet wird (b8). Die ECU 101 führt ein Umschreiben
einer Steuerinformation auf der Grundlage dieser Änderungsdaten
aus (b10). Wenn das Umschreiben einer Steuerinformation
normal endet, meldet die ECU eine normale Beendigung (b11),
und die Umschreibevorrichtung empfängt die Meldung (b12)
und eine Kette einer Umschreibeverarbeitung endet.
-
In der vorhergehenden Umschreibeverarbeitung
bestimmt jede ECU durch eine Kommunikationsverarbeitung (b1 bis b7)
unter Verwendung der Funktion f, welche eine Information innerhalb
der Umschreibevorrichtung 200 ist, die Berechtigung der Umschreibevorrichtung 200.
Als Ergebnis kann kein unberechtigtes Umschreiben einer Steuerinformation verhindert
werden, wenn die Umschreibevorrichtung 200 selbst gestohlen
wird oder eine Information innerhalb der Umschreibevorrichtung 200 gestohlen wird.
Insbesondere ist zum Beispiel an einer Arbeitsstelle, wie zum Beispiel
einem Autohändler,
die Möglichkeit
des vorhergehenden Diebstahls verhältnismäßig hoch, da die Umschreibevorrichtung 200 vorgesehen
ist.
-
Aus der US-A-5 473 540 und der US-A-5
787 367 sind jeweils Steuerinformations-Umschreibesysteme gemäß dem Oberbegriff
des Anspruchs 1 bekannt.
-
Es ist deshalb eine Aufgabe der vorliegenden
Erfindung, ein unberechtigtes Umschreiben einer Steuerinformation
auch dann zu verhindern, wenn eine Umschreibevorrichtung oder eine
Information innerhalb einer Umschreibevorrichtung gestohlen wird.
-
Diese Aufgabe wird durch die in Anspruch
1 angegebenen Maßnahmen
gelöst.
-
Weitere vorteilhafte Ausgestaltungen
der vorliegenden Erfindung sind Gegenstand der abhängigen Ansprüche.
-
Genauer gesagt weist ein Steuerinformations-Umschreibesystem
eine Steuerzentrale zum Durchführen
einer Datenkommunikation mit einer Umschreibevorrichtung auf. Die
Steuerzentrale könnte
zum Beispiel an einem zu einer Umschreibearbeitsstelle unterschiedlichen
Platz eingebaut sein. Eine Zugriffsinformation wird in der Steuerzentrale gespeichert.
Eine Identifikationsinformation und eine zugehörige Funktion sind in der Umschreibevorrichtung
gespeichert. Die Identifikationsinformation könnte eine Zahl oder dergleichen
sein, die zum Umschreiben der Umschreibevorrichtung einmalig bezüglich der
Umschreibevorrichtung ist. Die zugehörige Funktion ist eine Information,
die in Verbindung mit der Identifikationsinformation eingestellt
ist.
-
Für
die Legitimitätsbestimmung
erfaßt
die Steuerzentrale die Identitätsinformation
und die zugehörige
Information der Umschreibevorrichtung in einer Datenkommunikation
mit der Umschreibevorrichfung. Dann, wenn eine Zugehörigkeitsbeziehung der
zugehörigen
Information mit einer Zugehörigkeitsbeziehung übereinstimmt,
sendet sie eine vorbestimmte Zugriffsinformation zu der Umschreibevorrichtung.
Andererseits wird die vorbestimmte Zugriffsinformation, wenn sie
nicht übereinstimmt,
nicht zu der Umschreibevorrichtung gesendet.
-
Das heißt, das System erzielt die
folgende zweistufige Überprüfung.
-
- [1] Die Steuerzentrale bestimmt die Legitimität der Umschreibevorrichtung
und sendet eine Zugriffsinformation zu der Umschreibevorrichtung.
- [2] Die Umschreibevorrichtung führt eine Kommunikationstartverarbeitung
unter Verwendung dieser Zugriffsinformation aus und jede elektronische
Steuereinheit bestimmt die Legitimität der Umschreibevorrichtung
auf der Grundlage der Kommunikationstartverarbeitung.
-
Daher kann die Umschreibevorrichtung, wenn
mindestens eine der Identifikationsinformation und der zugehörigen Information
nicht vorab innerhalb der Umschreibevorrichtung gespeichert ist,
keine Zugriffsinformation von der Steuerzentrale erzielen. Deshalb
wird es, wenn die Umschreibevorrichtung oder eine Information innerhalb
der Umschreibevorrichtung gestohlen worden ist, von der elektronischen
Steuereinheit nicht bestimmt, daß die Umschreibevorrichtung
legitimiert ist. Daher wird kein Umschreiben einer Steuerinformation
ausgeführt.
Als ein Ergebnis ist es auch dann, wenn die Umschreibevorrichtung
oder eine Information innerhalb der Umschreibevorrichtung gestohlen
worden ist, möglich, zu
verhindern, daß eine
Steuerinformation einer elektronischen Steuereinheit unzweckmäßig umgeschrieben
wird. Die vorhergehenden und andere Aufgaben, Merkmale und Vorteile
der vorliegenden Erfindung werden aus der folgenden detaillierten
Beschreibung deutlicher ersichtlich, die unter Bezugnahme auf die
beiliegende Zeichnung durchgeführt wird.
In der Zeichnung zeigt:
-
1 ein
Blockschaltbild eines Steuerinformations-Umschreibesystems gemäß einem
Ausführungsbeispiel
der vorliegenden Erfindung;
-
2 ein
Ablaufsdiagramm einer Umschreibeverarbeitung in dem Ausführungsbeispiel;
-
3 ein
Flußdiagramm
einer ersten Hälfte einer
ECU-seitigen Verarbeitung in dem Ausführungsbeispiel;
-
4 ein
Flußdiagramm
einer zweiten Hälfte
einer ECU-seitigen Verarbeitung in dem Ausführungsbeispiel;
-
5 ein
Flußdiagramm
einer ersten Hälfte einer
umschreibevorrichtungsseitigen Verarbeitung in dem Ausführungsbeispiel;
-
6 ein
Flußdiagramm
einer zweiten Hälfte
einer umschreibevorrichtungsseitigen Verarbeitung in dem Ausführungsbeispiel;
-
7 ein
Flußdiagramm
einer ersten Hälfte einer
steuerzentralenseitigen Verarbeitung in dem Ausführungsbeispiel;
-
8 ein
Flußdiagramm
einer zweiten Hälfte
einer steuerzentralenseitigen Verarbeitung in dem Ausführungsbeispiel;
-
9 ein
Blockschaltbild eines Steuerinformations-Umschreibesystems im Stand
der Technik; und
-
10 ein
Ablaufsdiagramm einer Umschreibeverarbeitung im Stand der Technik.
-
Ein Ausführungsbeispiel der vorliegenden Erfindung
wird nun unter Bezugnahme auf ein Umschreiben einer Fahrzeugsteuerinformation
beschrieben.
-
Es wird zuerst auf 1 verwiesen. Eine Mehrzahl von ECUs 11, 12, 13 und 14 ist
in ein Fahrzeug 10 eingebaut und die ECUs 11 bis 14 sind
durch eine Netzleitung 15 verbunden. Die ECUs 11 bis 14 weisen
jeweilige EEPROMs 11a bis 14a auf, welche ein
nichtflüchtiger
Typ sind. Zu einem normalen Zeitpunkt wird, wenn eine Umschreibevorrichtung 20 nicht
verbunden ist, auf der Grundlage einer Steuerinformation (von Steuerprogrammen
und Steuerdaten), die in diesem EEPROM gespeichert sind, eine Kommunikation
zwischen den ECUs 11 bis 14 über die Netzleitung ausgeführt und
werden jeweilige Steuerobjekte, wie zum Beispiel eine Brennkraftmaschine,
gesteuert.
-
In 1 ist
die Umschreibevorrichtung 20 als mittels eines Fahrzeugdiagnoseverbinders 16 mit der
ECU 11 verbunden gezeigt, so daß ein Steuerinformations-Umschreibesystem 1 ausgebildet
ist. Der Fahrzeugdiagnoseverbinder 16 ist ein in dem Fahrzeug 10 vorgesehener
Verbinder zum Durchführen einer
möglichen
Datenkommunikation zwischen der Umschreibevorrichtung 20 und
den ECUs 11 bis 14 über die Netzleitung 15.
Das Fahrzeug 10 und die Umschreibevorrichtung 20 sind
an einer Arbeitsstelle, wie zum Beispiel einem Autohändler oder
einer Reparaturwerkstatt, eingebaut.
-
In dem Steuerinformations-Umschreibesystem 1 dieses
Ausführungsbeispiels
ist die Umschreibevorrichtung 20 zu einer Datenkommunikation über ein
Telefonleitungsnetz 40 mit einer Steuerzentrale 30 imstande.
Die Steuerzentrale 30 ist als ein Sogenannter Server als
eine externe Vorrichtung an einer zu der Arbeitsstelle unterschiedlichen
Stelle eingebaut. In einer Speichervorrichtung (einem Speicher) 31 dieser
Steuerzentrale 30 sind eine Zugriffsinformation für die Umschreibevorrichtung 20,
um auf die ECUs 11– 14 zuzugreifen, Änderungsdaten
zum Umschreiben einer Steuerinformation, eine Datenbank zum Bestimmen
der Legitimität
der Umschreibevorrichtung 20 und eine Datenbank von Steuerinformations-Aktualisierungshistorien
von unterschiedlichen Fahrzeugen 10 gespeichert.
-
Wenn die Umschreibevorrichtung 20 die Steuerzentrale 30 ruft,
wird eine vorbestimmte Kommunikationsverarbeitung zwischen der Umschreibevorrichtung 20 und
der Steuerzentrale 30 ausgeführt. Die Umschreibevorrichtung 20 und
die Steuerzentrale 30 nehmen einen derartigen Zustand an,
daß eine Datenkommunikation
möglich
ist. In 1 ist die Steuerzentrale 30 als
mit einer einzigen Umschreibevorrichtung verbunden gezeigt, aber
es ist ebenso vorstellbar, daß zum
Beispiel eine Umschreibevorrichtung einer anderen Arbeitsstelle
parallel mit der Steuerzentrale 30 verbunden ist.
-
In diesem Ausführungsbeispiel kann die Umschreibevorrichtung 20 ein
tragbarer Personal-Computer sein, welcher für beliebige Typen von Fahrzeugen
verwendet wird. Die Steuerzentrale 30 kann durch einen
Autohersteller verwaltet werden. Die Umschreibevorrichtung 20 kann
mittels einer anderen Einrichtung, wie zum Beispiel einem Kabelfernsehnetz
oder einem drahtlosen Telefonnetz, anstelle eines Festtelefonleitungsnetzes 40 mit
der Steuerzentrale 30 verbunden sein.
-
Die Funktionsweise dieses Steuerinformations-Umschreibesystems 1 ist
in Blockeinheiten B1 bis B18 gezeigt. Die Verarbeitung
in den ECUs 11 bis 14 ist als eine ECU-seitige
Verarbeitung in einer linksseitigen Spalte in 2 als B5, B6, B9, B10, B15 und B16 gezeigt.
Die Verarbeitung in der Umschreibevorrichtung 20 ist als
umschreibevorrichtungsseitige Verarbeitung in einer mittleren Spalte
als B1, B4, B7, B8, B11, B14 und B17 gezeigt.
Die Verarbeitung in der Steuerzentrale 30 ist als steuerzentralenseitige
Verarbeitung in einer rechtsseitigen Spalte als B2, B3, B12, B13 und B18 ge zeigt.
Diese Verarbeitung wird in der Reihenfolge B1 -> B2 -> B3 -> ... -> B18 ausgeführt.
-
Im Betrieb ruft die Umschreibevorrichtung 20 zuerst
die Steuerzentrale 30. Wenn ein Zustand einer möglichen
Datenkommunikation zwischen der Umschreibevorrichtung 20 und
der Steuerzentrale 30 gebildet ist, sendet die Umschreibevorrichtung 20 eine
Kennungsinformation als eine Identifikationsinformation zum Identifizieren
der Umschreibevorrichtung 20 selbst zusammen mit einer
Kommunikationsstartanforderung zu der Steuerzentrale 30 (B1).
Bezüglich
diesen empfängt
die Steuerzentrale 30 die Kennungsinformation von der Umschreibevorrichtung 20 und
erfaßt
die Telefonnummer des ankommenden Anrufs, das heißt die Telefonnummer
der Umschreibevorrichtung 20 (B2). Diese Telefonnummer
ist eine zugehörige
Information.
-
Die Steuerzentrale 30 weist
eine Datenbank auf, in welcher die Kennungsinformation der Umschreibevorrichtung 20 und
eine Telefonnummer, die der Umschreibevorrichtung 20 zugehörig ist,
in Zusammenhang gebracht werden. Demgemäß vergleicht die Steuerzentrale 30 die
Zugehörigkeitsbeziehung
zwischen der empfangenen Kennungsinformation und der erfaßten Telefonnummer
mit einer Zugehörigkeitsbeziehung
in der Datenbank (B2). Wenn sie übereinstimmen, sendet sie ein
erstes Erlaubnissignal und eine Funktion f zu der Umschreibevorrichtung 20 (B3).
-
Die Umschreibevorrichtung 20 wählt aus
den ECUs 11 bis 14 eine ECU als das Objekt einer Steuerinformationsumschreibung
aus und sendet eine Umschreibeanforderung zu dieser ECU (B4).
Es wird hier angenommen, daß die
ECU 11 als die ECU, die das Objekt einer Steuerinformationsumschreibung ist,
ausgewählt
worden ist. Die ausgewählte
ECU 11 erzeugt eine Zufallszahl r (B5) und sendet diese
Zufallszahl r zu der Umschreibevorrichtung 20 (B6).
-
Die Umschreibevorrichtung 20 berechnet
unter Verwendung der Funktion f, die von der Steuerzentrale in dem
vorhergehenden B2 zu ihr gesendet worden ist, einen Funktionswert
f(r) bezüglich
der Zufallszahl r aus der ECU 11 (B7). Dann sendet
sie diesen berechneten Funktionswert f(r) zurück zu der ECU 11 (B8).
-
Andererseits wird vorab eine Funktion
F in der ECU 11 gespeichert und berechnet sie bezüglich dem
Funktionswert f(r), der von der Umschreibevorrichtung 20 gesendet
wird, einen Funktionswert F(f(r)) (B9). Dann sendet sie,
wenn der berechnete Funktionswert F(f(r)) der Zufallszahl r entspricht,
das heißt,
wenn f = F–1 ist,
ein zweites Erlaubnissignal, das ein Umschreiben zuläßt, und
sendet einen Fahrzeug-VIN-Code (B10). Der Fahrzeug-VIN-Code ist eine Zahl,
die eindeutig jedem Fahrzeug zugehörig ist, und diese entspricht
der vorhergehenden Fahrzeuginformation.
-
Die Umschreibevorrichtung 20 empfängt das zweite
Erlaubnissignal und den Fahrzeug-VIN-Code von der ECU 11 und
sendet diese Information zu der Steuerzentrale 30 (B11).
-
Die Steuerzentrale 30 weist
jeweilige Steuerinformations-Aktualisierungshistorien von jedem Fahrzeug
als eine Datenbank auf. Demgemäß führt sie
auf der Grundlage des Fahrzeug-VIN-Codes von der Umschreibevorrichtung 20 ein
Unterscheiden des Fahrzeugs 10 aus, bezieht sich auf die
Aktualisierungshistoriendatenbank und bestimmt die Notwendigkeit
eines Umschreibens einer Steuerinformation (B12). Wenn
sie bestimmt, daß ein
Umschreiben einer Steuerinformation an dem Fahrzeug 10 erforderlich
ist, sendet sie Änderungsdaten
zu der Umschreibevorrichtung 20 (B13).
-
Die Umschreibevorrichtung 20 empfängt die Änderungsdaten
von der Steuerzentrale 30 und sendet diese Änderungsdaten
zu der ECU 11 (B14). Die ECU 11 führt auf
der Grundlage der Änderungsdaten von
der Umschrei bevorrichtung 20 ein Umschreiben einer Steuerinformation
durch (B15). Dann meldet sie, wenn das Umschreiben einer
Steuerinformation normal endet, eine normale Beendigung zu der Umschreibevorrichtung 20 (B16).
Die Umschreibevorrichtung 20 löscht, wenn eine normale Beendigung von
der ECU 11 gemeldet wird, die Funktion f, die von der Steuerzentrale 30 in
dem vorhergehenden B3 zu ihr gesendet worden ist (B17).
Sie meldet eine normale Beendigung zu der Steuerzentrale 30.
Auf der Grundlage von diesem aktualisiert die Steuerzentrale 30 die
Aktualisierungshistoriendatenbank (B18).
-
Es ist bevorzugt, daß die Funktionen
f(r) und F(f(r)) vom Sicherheitsstandpunkt von Fahrzeugtyp zu Fahrzeugtyp
verschieden sind.
-
Für
die vorhergehende Verarbeitung werden die ECUs 11–14,
die Umschreibevorrichtung 20 und die Steuerzentrale 30 programmiert,
um zu arbeiten, wie es in den 3 bis 8 gezeigt ist.
-
Die ECU-seitige Verarbeitung, die
in den ECUs 11–14 ausgeführt wird,
wird unter Bezugnahme auf die 2 und 3 erläutert. Die ECU-seitige Verarbeitung
wird in einem vorbestimmten Zeitintervall, wie zum Beispiel 0,2 Sekunden
ausgeführt,
wobei die Umschreibevorrichtung 20 mittels des Fahrzeugdiagnoseverbinders 16 mit
dem Fahrzeug 10 verbunden ist.
-
Zuerst wird es in einem Schritt S300 bestimmt,
ob es eine Umschreibeanforderung von der Umschreibevorrichtung 20 gegeben
hat oder nicht. Wenn es bestimmt wird, daß es eine Umschreibeanforderung
gegeben hat (S300: JA) schreitet die Verarbeitung zu S310 fort.
Wenn es andererseits bestimmt wird, daß es keine Umschreibeanforderung gegeben
hat (S300: NEIN), ist die ECU-seitige Verarbeitung beendet.
-
In S310 wird es bestimmt,
ob ein Zugriffsverweigerungszeitgeber 0 ist oder nicht. Der Zugriffsverweigerungszeitgeber
wird eingestellt, wenn es bestimmt wird, daß eine vorbestimmte Anzahl
von Malen in Folge die Umschreibevorrichtung 20 nicht legitimiert
ist, wie es vorhergehend beschrieben worden ist. Wenn es bestimmt
wird, daß der
Zugriffsverweigerungszeitgeber nicht 0 ist (S310: NEIN),
wird der Zeitgeber in S320 dekrementiert und wird einer
Variable C10 zugewiesen und ist dieser ECU-seitige Verarbeitung
beendef. Die Variable C1 zählt die Anzahl von Malen in
Folge es bestimmt wird, daß die
Umschreibevorrichtung nicht legitimiert ist. Wenn es andererseits
bestimmt wird, daß der
Zugriffsvereigerungszeitgeber 0 ist (S310: JA), schreitet
die Verarbeitung zu S330 fort.
-
In S330 wird es bestimmt,
ob die Variable C1 größer als
2 ist oder nicht. Wenn hier C1 > 2 ist (S330: NEIN), wird in
S340 der Zugriffsverweigerungszeitgeber eingestellt und ist diese
ECU-seitige Verarbeitung beendet. In diesem Ausführungsbeispiel werden 10 Minuten
eingestellt: Wenn andererseits C1 ≤ 2 ist (S330: JA), schreitet
die Verarbeitung zu S350 fort.
-
In S350 wird eine Zufallszahl
r erzeugt und zu der Umschreibevorrichtung 20 gesendet.
Diese Verarbeitung entspricht der Verarbeitung von B5 und B6 in 2. Bezüglich
diesen wird, wie es in B8 in 2 gezeigt
ist, ein Funktionswert f(r) von der Umschreibevorrichtung 20 gesendet.
-
Demgemäß wird es in dem folgenden S360 bestimmt,
ob es ein Senden eines Funktionswerts f(r) gegeben hat oder nicht.
Wenn es hier ein Senden eines Funktionswerts f(r) gegeben hat (S360:
JA) schreitet die Verarbeitung zu S370 fort. Andererseits wird,
solange es kein Senden eines Funktionswerts f(r) gegeben hat (S360:
NEIN), diese Bestimmungsverarbeitung wiederholt.
-
In S370 wird bezüglich des
Funktionswerts f(r), der von der Umschreibevorrichtung 20 gesendet wird,
ein Funktionswert F(f(r)) berechnet. Diese Verarbeitung entspricht
der Verarbeitung von B9 in 2.
-
In dem folgenden S380 in 4 wird es bestimmt, ob der
berechnete Funktionswert F(f(r)) der Zufallszahl r entspricht. Wenn
hier F(f(r)) = r ist (S380: JA) werden in S30 das
zweite Erlaubnissignal und der Fahrzeug-VIN-Code gesendet und schreitet die Verarbeitung
zu S420 fort. Die Verarbeitung von S380 und S390 entspricht
der Verarbeitung von B10 in 2.
Wenn andererseits F(f(r)) ≠ r
ist (S380: NEIN), wird es in S400 zu der Umschreibevorrichtung 20 gemeldet,
daß kein
Umschreiben zugelassen wird, und wird in S410 die Variable C1 inkrementiert und
ist diese ECU-seitige Verarbeitung beendet. Auf diese Weise wird
die Legitimität
der Umschreibevorrichtung 20 bestimmt. Wenn es bestimmt
wird, daß sie
nicht legitimiert ist (S380: NEIN), wird die Variable C1 inkrementiert
(S410) und wird bei C1 > 2 der Zeitgeber eingestellt, wie es vorhergehend
beschrieben worden ist (S340 in 2). Daher wird in diesem Ausführungsbeispiel,
wenn es durch C1 0 -> 1
-> 2 dreimal in Folge
bestimmt wird, daß die
Umschreibevorrichtung 20 nicht legitimiert ist, eine Zugriffsverweigerung
ausgeführt.
-
Durch die Steuerzentrale 30 wird
eine Bestimmung einer Notwendigkeit eines Umschreibens einer Steuerinformation
auf der Grundlage des Fahrzeug-VIN-Codes ausgeführt. Wenn ein Umschreiben notwendig
ist, werden Änderungsdaten
von der Steuerzentrale 30 über die Umschreibevorrichtung 20 gesendet.
Andererseits wird, wenn ein Umschreiben nicht notwendig ist, das
heißt,
wenn ein Umschreiben einer Steuerinformation bereits ausgeführt worden ist,
eine Information, die anzeigt, daß ein Umschreiben durchgeführt worden
ist, von der Steuerzentrale 30 über die Umschreibevorrichtung 20 gesendet.
-
Dafür wird es in S420 bestimmt,
ob es ein Datensenden von der Umschreibevorrichtung 20 gegeben
hat oder nicht. Wenn es bestimmt wird, daß es ein Datensenden gegeben
hat (S420: JA), schreitet die Verarbeitung zu
S430 fort.
Andererseits wird, solange es kein Datensenden gegeben hat (S420: NEIN),
diese Bestimmungsverarbeitung wiederholt. Dann wird es in S430 bestimmt,
ob die Daten, die von der Umschreibevorrichtung 20 gesendet
worden sind, Änderungsdaten
sind oder nicht. Wenn es bestimmt wird, daß es Änderungsdaten sind (S430:
JA), schreitet eine Verarbeitung zu S440 fort. Wenn es
andererseits bestimmt wird, daß es
keine Änderungsdaten
sind (S430: NEIN), das heißt wenn eine Information, die
anzeigt, daß ein
Umschreiben durchgeführt
worden ist, gesendet worden ist, wird die nachfolgende Verarbeitung
nicht ausgeführt
und ist diese ECU-seitige Verarbeitung beendet.
-
In S440 wird auf der Grundlage
der gesendeten Änderungsdaten
ein Umschreiben einer Steuerinformation ausgeführt. In dem folgenden S450 wird eine
Steuerinformations-Prüfsumme
nach einem Umschreiben berech- net. Dies dient zum Bestimmen, ob
die Steuerinformation normal umgeschrieben worden ist oder nicht.
-
Dann wird es in dem nächsten S460
auf der Grundlage der Prüfsumme,
die in S450 berechnet worden ist, bestimmt, ob das Umschreiben
einer Steuerinformation normal geendet hat oder nicht. Wenn es bestimmt
wird, daß es
normal geendet hat (S460: JA) wird in S470 eine
normale Beendigung zu der Umschreibevorrichtung 20 gemeldet
und wird danach diese ECU-seitige Verarbeitung beendet. Wenn es
andererseits bestimmt wird, daß sie
nicht normal geendet hat (S460: NEIN), wird in S480 angefordert, daß die Umschreibevorrichtung 20 die Änderungsdaten
erneut sendet und wird die Verarbeitung von S420 wiederholt.
-
Nun wird auf der Grundlage des Flußdiagramms
in 5 und 6 die umschreibevorrichtungsseitige
Verarbeitung beschrieben, die von der umschreibevorrichtung 20 ausgeführt wird.
Diese umschreibevorrichtungsseitige Verarbeitung wird mit einer
vorbestimmten Manipulation, die von einem Be nutzer ausgeführt wird,
als einen Auslöser
ausgeführt,
nachdem ein Zustand einer möglichen
Datenkommunikation zwischen der Umschreibevorrichtung 20 und
der Steuerzentrale 30 gebildet worden ist.
-
Zuerst wird in S500 bezüglich der
Steuerzentrale 30 ein Kommunikationsstart angefordert und wird
eine vorab gespeicherte Kennungsinformation gesendet. Diese Verarbeitung
entspricht der Verarbeitung von B1 in 2.
-
Die Steuerzentrale 30 sendet,
wenn sie bestimmt, daß die
Umschreibevorrichtung eine legitimierte ist, das erste Erlaubnissignal
und die Funktion f. Demgemäß wird es
in dem folgenden S510 bestimmt, ob es eine Reaktion von
der Steuerzentrale 30 gegeben hat oder nicht. Wenn es bestimmt
wird, daß es
eine Reaktion von der Steuerzentrale 30 gegeben hat (S510:
JA), schreitet die Verarbeitung zu S520 fort. Andererseits
wird, solange es keine Reaktion von der Steuerzentrale 30 gegeben
hat (S510: NEIN), diese Bestimmungsverarbeitung wiederholt.
-
In S520 wird es bestimmt,
ob die Reaktion von der Steuerzentrale 30 eine Meldung
keiner Erlaubnis ist oder nicht. Wenn es bestimmt wird, daß es eine
Meldung keiner Erlaubnis ist (S520: JA), wird es in S530 auf
einer Anzeigevorrichtung, wie zum Beispiel einer Anzeige angezeigt,
daß es
einen Ausfall gegeben hat, auf die Steuerzentrale 30 zuzugreifen. Danach
wird die Verarbeitung von S500 wiederholt. Andererseits
schreitet, wenn es keine Meldung keiner Erlaubnis gibt (S530:
NEIN), das heißt,
wenn das erste Erlaubnissignal und die Funktion f gesendet worden
sind, die Verarbeitung zu S540 fort.
-
In S540 wird die Eingabe
eines ECU-Codes zum Auswählen
einer der vier ECUs 11 bis 14, die in das Fahrzeug 10 eingebaut
sind, von dem Benutzer angefordert. In dem folgenden S550 wird
es bestimmt, ob es die Eingabe eines ECU-Codes gegeben hat oder
nicht. Wenn es bestimmt wird, daß es die Eingabe eines ECU-Codes
gegeben hat (S550: JA), schreitet die Verarbeitung zu S560 fort.
Andererseits wird, solange es keine Eingabe eines ECU-Codes gegeben
hat (S550: NEIN), die Verarbeitung von S540 wiederholt.
Die folgende Beschreibung wird unter der Annahme fortgesetzt, daß der ECU-Code
der ECU 11 eingegeben worden ist.
-
In S560 werden eine Umschreibeanforderung
und der ECU-Code gesendet. Die Verarbeitung entspricht der Verarbeitung
von B4 in 2.
Auf der Grundlage von diesen erzeugt die ECU 11 eine Zufallszahl
r und sendet diese Zufallszahl r (S350 in 3).
-
Demgemäß wird es in dem folgenden
Schritt S570 bestimmt, ob eine Zufallszahl r gesendet worden
ist oder nicht. Wenn es bestimmt wird, daß eine Zufallszahl r gesendet
worden ist (S570: JA), schreitet eine Verarbeitung zu S580 fort.
Andererseits wird, solange keine Zufallszahl r gesendet wird (S570: NEIN),
diese Bestimmungsverarbeitung wiederholt.
-
In S580 wird unter Verwendung
der Funktion f, die von der Steuerzentrale 30 in S510 gesendet wird,
ein Funktionswert f(r) berechnet, der für die Zufallszahl r spezifisch
ist. In dem nächsten S590 wird der
Funktionswert f(r) zu der ECU 11 gesendet. Dies entspricht
der Verarbeitung von B7 und B8 in 2.
-
Bezüglich diesen wird in der ECU 11 eine
bejahende Bestimmung in S360 in 3 durchgeführt und wird der Funktionswert
F(f(r)) berechnet (S370). Dann wird auf der Grundlage der
Bestimmung von S380 ein Senden eines zweiten Erlaubnissignals oder
ein Melden, daß ein
Umschreiben nicht zugelassen wird, ausgeführt (S390, 400).
-
Demgemäß wird es in dem folgenden S600 in 6 bestimmt, ob es eine Reaktion
von der ECU 11 gegeben hat oder nicht. Wenn es bestimmt
wird, daß es
eine Reaktion von der ECU 11 gegeben hat (S600:
JA) schreitet eine Verarbeitung zu S610 fort. Andererseits
wird, solange es keine Reaktion von der ECU 11 gegeben
hat (S600: NEIN), diese Bestimmungsverarbeitung wiederholt.
-
In S610 wird es bestimmt,
ob ein zweites Erlaubnissignal von der ECU 11 gesendet
worden ist oder nicht. Wenn es bestimmt wird, daß ein zweites Erlaubnissignal
gesendet worden ist (S610: JA) werden in S620 das
zweite Erlaubnissignal und der Fahrzeug-VIN-Code zusammen mit diesem
zweiten Erlaubnissignal zu der Steuerzentrale 30 gesendet
und schreitet danach diese Verarbeitung zu S640 fort. Diese
Verarbeitung entspricht der Verarbeitung von B11 in 2. Wenn andererseits ein
zweites Erlaubnissignal nicht gesendet wird (S610: NEIN),
das heißt wenn
es von der ECU 11 gemeldet wird, daß kein Umschreiben zugelassen
wird, wird es in S630 zu der Steuerzentrale 30 gemeldet,
daß keine
Erlaubnis gegeben worden ist, und schreitet danach diese Verarbeitung
zu S530 in 5 fort.
-
Wenn in S620 das zweite
Erlaubnissignal und der Fahrzeug-VIN-Code zu der Steuerzentrale 30 gesendet
werden, bestimmt die Steuerzentrale 30 die Notwendigkeit
eines Umschreibens. Wenn es eine Notwendigkeit nach einem Umschreiben
gibt, sendet die Steuerzentrale 30 Änderungsdaten. Wenn es andererseits
keine Notwendigkeit nach einem Umschreiben gibt, sendet die Steuerzentrale 30 eine Information,
die anzeigt, daß ein
Umschreiben durchgeführt
worden ist.
-
Demgemäß wird es in S640 bestimmt,
ob es eine Reaktion von der Steuerzentrale 30 gegeben hat oder
nicht. Wenn es bestimmt wird, daß es eine Reaktion von der
Steuerzentrale 30 gegeben hat (S640: JA), schreitet
die Verarbeitung zu S650 fort. Andererseits wird, solange
es keine Reaktion gegeben hat (S640: NEIN), diese Bestimmungsverarbeitung
wiederholt.
-
In S650 wird es bestimmt,
ob die Daten, die von der Steuerzentrale 30 gesendet worden
sind, Änderungsdaten
sind. Wenn sie Änderungsdaten
sind (S650: JA) schreitet eine Verarbeitung zu S680 fort. Wenn
es andererseits keine Steuerdaten sind (S650: NEIN), das
heißt
wenn eine Information, die anzeigt, daß ein Umschreiben durchgeführt worden
ist, von der Steuerzentrale 30 gesendet worden ist, wird
die Funktion f gelöscht
und wird es angezeigt, daß es keine
Notwendigkeit nach einem Umschreiben gibt (S660). Eine Information,
die anzeigt, daß das
Umschreiben durchgeführt
worden ist, wird zu der ECU 11 gesendet (S670).
Diese umschreibevorrichtungsseitige Verarbeitung ist dann beendet.
-
In S680 werden die Änderungsdaten
die von der Steuerzentrale 30 gesendet worden sind, zu
der ECU 11 gesendet. Diese Verarbeitung entspricht der Verarbeitung
von B14 in 2.
Auf der Grundlage von diesen wird in der ECU 11 ein Umschreiben
einer Steuerinformation ausgeführt
(S430 in 4:
JA, S440) und wird eine Meldung einer normalen Beendigung
oder eine Anforderung eines erneuten Sendens von der ECU 11 gesendet
(S470, S480).
-
Demgemäß wird es in dem nächsten S690 bestimmt,
ob es eine Meldung einer normalen Beendigung von der ECU 11 gegeben
hat oder nicht. Wenn es bestimmt wird, daß es eine Meldung einer normalen
Beendigung gegeben hat (S690: JA), wird die Funktion f
gelöscht
und wird eine normale Beendigung zu der Steuerzentrale 30 gemeldet
(S700) und ist danach diese umschreibevarrichtungsseitige Verarbeitung
beendet. Wenn es andererseits keine Meldung einer normalen Beendigung
gegeben hat (S690: NEIN), das heißt wenn es eine Anforderung nach
einem erneuten Senden der Änderungsdaten gegeben
hat, wird eine anormale Beendigung zu der Steuerzentrale 30 gemeldet
(S710) und ist diese umschreibevorrichtungsseitige Verarbeitung
beendet.
-
Weiter fortschreitend wird auf der
Grundlage des Flußdiagramms
in 7 und 8 die steuerzentralenseitige
Verarbeitung, die von der Steuerzentrale 30 ausgeführt wird,
beschrieben. Diese steuerzentralenseitige Verarbeitung wird in einem vorbestimmten
Zeitintervall, wie zum Beispiel 0,2 Sekunden, ausgeführt, wobei
ein Zustand einer möglichen
Datenkommunikation zwischen der Umschreibevorrichtung 20 und
der Steuerzentrale 30 gebildet worden ist.
-
Zuerst wird es in S800 bestimmt,
ob der Zugriffsverweigerungszeitgeber 0 ist oder nicht. Der Zugriffsverweigerungszeitgeber
wird eingestellt, wenn es eine bestimmte Anzahl von Malen in Folge
von der Steuerzentrale 30 bestimmt wird, daß die Umschreibevorrichtung 20 nicht
legitimiert ist, wie es später weiter
beschrieben wird. Wenn es bestimmt wird, daß der Zugriffsverweigerungszeitgeber
nicht 0 ist (S800: NEIN), wird in S810 der Zeitgeber
dekrementiert. Weiterhin wird 0 einer Variablen C2 zugewiesen
und ist diese steuerzentralenseitige Verarbeitung beendet. Die Variable C2 zählt die
Anzahl von Malen in Folge es von der Steuerzentrale 30 bestimmt
wird, daß die
Umschreibevorrichtung 20 nicht legitimiert ist. Wenn es
andererseits bestimmt wird, daß der
Zugriffsverweigerungszeitgeber 0 ist (S800: JA),
schreitet die Verarbeitung zu S820 fort.
-
In S820 wird es bestimmt,
ob die Variable C2 nicht größer als
2 ist oder nicht. Wenn hier C2 > 2 ist (S820: NEIN), wird in S830 der
Zugriffsverweigerungszeitgeber eingestellt und ist danach diese
steuerzentralenseitige Verarbeitung beendet. Wenn andererseits C2 ≤ 2 ist (S820:
JA), schreitet die Verarbeitung zu S840 fort.
-
In S840 wird es bestimmt,
ob es eine Kommunikationsstartanforderung gegeben hat oder nicht. Diese
Verarbeitung ist auf die Verarbeitung von S500 in 5 gerichtet. Wenn es bestimmt
wird, daß es eine
Kommunikationsstartanforderung gegeben hat (S840: JA) schreitet
die Verarbeitung zu S850 fort. Andererseits wird, solange es keine
Kommunikatiortsstartanforderung gegeben hat (S840: NEIN),
diese Bestimmungsverarbeitung wiederholt.
-
In S850 wird die Kennungsinformation,
die von der Umschreibevor- richtung 20 gesendet wird, empfangen
und wird die Telefonnummer des ankommenden Anrufs erfaßt. In dem
folgenden S860 wird die Zugehörigkeitsbeziehung zwischen
der empfangenen Kennungsinformation und der erfaßten Telefonnummer mit der
Zugehörigkeitsbeziehung
zwischen der Kennungsinformation und der Telefonnummer der Umschreibevorrichtung 20 verglichen,
die vorab in der Datenbank gespeichert werden. Die Verarbeitung
von diesen S850 und S860 entspricht der Verarbeitung,
die in B2 in 2 gezeigt
ist.
-
Als nächstes wird es in dem nächsten S870 auf
der Grundlage des Vergleichsergebnisses bestimmt, ob die Zugehörigkeitsbeziehungen übereinstimmen
oder nicht. Wenn es bestimmt wird, daß sie übereinstimmen (S870:
JA), werden in S890 das erste Erlaubnissignal und die Funktion
f gesendet und schreitet danach die Verarbeitung zu S900 fort.
Diese Verarbeitung entspricht der Verarbeitung von B3 in 2. Wenn es andererseits
bestimmt wird, daß sie nicht übereinstimmen
(S870: NEIN), wird es zu der Umschreibevorrichtung 20 gemeldet,
daß kein
Umschreiben zugelassen wird, und wird die Variable C2 erhöht (S880)
und wird danach die Verarbeitung von S800 wiederholt.
-
Die Verarbeitung von S850 bis S890 die
hier erläutert
worden ist, entspricht der Verarbeitung, die als eine Legitimitätsbestimmungseinrichtung
dient. Deshalb führt
die CPU der Steuerzentrale 30 daher eine Legitimitätsbestimmung
aus.
-
Wenn das erste Erlaubnissignal und
die Funktion f gesendet werden, sendet die Umschreibevorrichtung 20 das
zweite Erlaubnissignal und den Fahrzeug-VIN-Code zurück (S620 in 6) oder meldet keine Erlaubnis
eines Umschreibens (S630).
-
Demgemäß wird es in S900 bestimmt,
ob es eine Reaktion von der Umschreibevorrichtung 20 gegeben
hat oder nicht. Wenn es bestimmt wird, daß es eine Reaktion von der
Umschreibevorrichtung 20 gegeben hat (S900: JA),
schreitet die Verarbeitung zu S910 in 8 fort. Andererseits wird, solange es
keine Reaktion von der Umschreibevorrichtung 20 gegeben
hat (S900: NEIN), diese Bestimmungsverarbeitung wiederholt.
-
In S910 wird es bestimmt,
ob eine Reaktion eine Meldung keiner Erlaubnis ist. Wenn es eine
Meldung keiner Erlaubnis gewesen ist (S910: JA) schreitet
eine Verarbeitung zu S800 in 7 fort.
Wenn es andererseits keine Meldung keiner Erlaubnis gewesen ist
(S910: NEIN), das heißt
wenn das zweite Erlaubnissignal und der Fahrzeug-VIN-Code gesendet worden
sind, schreitet die Verarbeitung zu S920 fort.
-
In S920 wird ein Unterscheiden
des Fahrzeugs auf der Grundlage des gesendeten Fahrzeug-VIN-Codes
durchgeführt
und wird sich auf die Aktualisierungshistoriendatenbank bezogen.
Dann wird es im nächsten S930 auf
der Grundlage des Referenzergebnisses bestimmt, ob es eine Notwendigkeit
zum Umschreiben einer Steuerinformation gibt oder nicht. Die Verarbeitung
von diesen S920 und S930 entspricht B12 in 2. Wenn es bestimmt wird,
daß es
eine Notwendigkeit eines Umschreibens gibt (S930: JA),
schreitet die Verarbeitung zu S950 fort. Wenn es andererseits
bestimmt wird, daß es
keine Notwendigkeit eines Umschreibens gibt (S930: NEIN),
wird in S940 die eine Information, die anzeigt, daß ein Umschreiben
durchgeführt
worden ist, verwendet und ist danach diese steuerzentralenseitige Verarbeitung
beendet.
-
In S950 wird nach Änderungsdaten
gesucht und werden diese ausge lesen und werden die ausgelesenen Änderungsdaten
zu der Umschreibevorrichtung 20 gesendet. Diese Verarbeitung
entspricht der Verarbeitung von B13 in 2. Danach gibt es von der Umschreibevorrichtung 20,
wie es zuvor beschrieben worden ist, eine Meldung einer normalen Beendigung
(S700 in 6)
oder eine Meldung einer anormalen Beendigung (S710).
-
Demgemäß wird es in S960 bestimmt,
ob es eine Beendigungsmeldung von der Umschreibevorrichtung 20 gegeben
hat oder nicht. Wenn es bestimmt wird, daß es eine Beendigungsmeldung
gegeben hat (S960: JA) schreitet die Verarbeitung zu S970 fort.
Andererseits wird, solange es keine Beendigungsmeldung gegeben hat
(S960: NEIN), diese Bestimmungsverarbeitung wiederholt.
-
In S970 wird es bestimmt,
ob die Beendigungsmeldung eine Meldung einer normalen Beendigung
ist. Wenn es bestimmt wird, daß sie
eine Meldung einer normalen Beendigung ist (S970: JA),
wird in S980 die Aktualisierungshistoriendatenbank aktualisiert
und ist danach diese steuerzentralenseitige Verarbeitung beendet.
Andererseits wird, wenn es bestimmt wird, daß sie keine Meldung einer normalen Beendigung
ist (S970: NEIN) das heißt wenn es eine Meldung einer
anormalen Beendigung gegeben hat, die Verarbeitung von S950 wiederholt.
-
Gemäß den vorhergehenden Ausführungsbeispiel
wird die Funktion f, die eine Zugriffsinformation bildet, in der
Steuerzentrale 30 gespeichert. Lediglich dann, wenn die
Steuerzentrale 30 bestimmt, daß die Umschreibevorrichtung 20 eine
legitimierte ist, wird die Funktion f von der Steuerzentrale 30 zu der
Umschreibevorrichtung 20 gesendet (B2, B3 in 2). Demgemäß ist auch
dann, wenn die Umschreibevorrichtung 20 oder eine Information
innerhalb der Umschreibevorrichtung 20 gestohlen wird, die
Zugriffsinformation zum Zugreifen auf die ECUs 11–14 nicht
in der Umschreibevorrichtung 20 gespeichert. Deshalb ist
es nicht möglich,
die Steuerinformation der ECUs
11 bis 14 umzuschreiben,
wenn es nicht möglich
ist; eine Zugriffsinformation aus der Steuerzentrale 30 zu
erzielen.
-
Die Steuerzentrale 30 weist
eine Datenbank auf, in welcher eine Kennungsinformation, die eindeutig
der Umschreibevorrichtung 20 zugewiesen ist, und eine Telefonnummer
der Seite der Umschreibevorrichtung 20, wenn eine Datenkommunikation über eine
Telefonleitung auszuführen
ist, in Zusammenhang gespeichert sind. Sie erfaßt eine Kennungsinformation
von der Umschreibevorrichtung 20 und erfaßt die Telefonnummer,
von welcher der Anruf durchgeführt
wird (S850 in 7).
Wenn die Zugehörigkeitsbeziehung
zwischen dieser Erkennung und der Telefonnummer mit der Zugehörigkeitsbeziehung übereinstimmt,
die in der Datenbank gespeichert ist (S860, S870:
JA), bestimmt die Steuereinrichtung 30, daß die Umschreibevorrichtung 20 legitimiert
ist und sendet die Funktion f, welche eine Zugriffsinformation ist
(S890). Zum Beispiel unterbleibt es, wenn eine Leitung zwischen
der Umschreibevorrichtung 20 und der Steuerzentrale 30 von
woanders als einer regulären
Arbeitsstelle verbunden ist, daß die
Telefonnummer, die die Steuerzentrale 30 erfaßt, die
vorab entschiedene Telefonnummer ist. Folglich entspricht sie nicht
der Kennungsinformation und kann die Zugriffsinformation nicht von
der Steuerzentrale 30 erzielt werden. Als Ergebnis ist
es nicht möglich,
die Steuerinformation in den ECUs 11 bis 14 umzuschreiben.
-
Wie es vorhergehen beschrieben worden
ist, kann mit dem Steuerinformations-Umschreibesystem 1 dieses
Ausführungsbeispiels
auch dann, wenn die Umschreibevorrichtung 20 oder eine
Information innerhalb der Umschreibevorrichtung 20 gestohlen wird,
sicher verhindert werden, daß eine
Steuerinformation der ECUs 11 bis 14 unzweckmäßig umgeschrieben
wird.
-
Mit den Steuerinformations-Umschreibesystem 1 dieses
Ausführungsbeispiels
bestimmt die Steuerzentrale 30 zuerst die Legitimität der Umschreibevorrichtung 20 und
bestimmen dann die ECUs 11 bis 14 die Legiti mität der Umschreibevorrichtung 20.
Wenn es in irgendeiner dieser Überprüfungen von
zwei Stufen dreimal in Folge bestimmt wird, daß die Umschreibevorrichtung 20 nicht
legitimiert ist, wird eine 10minütige
Zugriffsverweigerung ausgeführt.
-
Das heißt, in den ECUs 11 bis 14 wird,
wenn es bestimmt wird, daß die
Umschreibevorrichtung 20 nicht legitimiert ist (S380:
NEIN in 4), die Variable C1 erhöht (S410).
Wenn die Variable C1 größer als 2
wird (S330: NEIN in 3),
das heißt
wenn eine Bestimmung keiner Legitimation dreimal in Folge durchgeführt wird,
wird ein Zugriffsverweigerungszeitgeber eingestellt (S340).
Daher wird ein Zugriff der Umschreibevorrichtung 20 verweigert
(S310: NEIN), bis der Zeitgeber 0 wird.
-
Unterdessen wird ähnlich in der Steuerzentrale 30 ebenso,
wenn es bestimmt wird, daß die
Umschreibevorrichtung 20 nicht legitimiert ist (S870: NEIN
in 7) die Variable C2 inkrementiert
(S880). Wenn die Variable C2 größer als
2 wird (S820: NEIN), das heißt wenn eine Bestimmung keiner
Legimitation dreimal in Folge durchgeführt wird, wird ein Zugriffsverweigerungszeitgeber
eingestellt (S830). Daher wird ein Zugriff der Umschreibevorrichtung 20 verweigert
(S800: NEIN), bis der Zeitgeber 0 wird.
-
Als Ergebnis kann auch dann, wenn
ein Versuch gemacht wird, die Steuerzentrale 30 oder die ECUs 11–14 von
der Umschreibevorrichtung 20 unter Verwendung einer nicht
legitimierten Information zuzugreifen, die Steuerinformationsumschreibeverhinderung
verhindert werden. Da es aus dem Grund, daß ein Zugriff für zehn Minuten
unmöglich
wird, nicht möglich
ist, viele Male in Folge zuzugreifen, wenn ein nicht legitimierter
Zugriff dreimal in Folge ausgeführt wird.
-
In diesem Ausführungsbeispiel speichert die Steuerzentrale 30 Änderungsdaten
einer Steuerinformation. Das heißt, es gibt auch dann, da Ände rungsdaten
nicht in der Umschreibevorrichtung 20 wie in der Vergangenheit
gespeichert werden, wenn die Umschreibevorrichtung 20 oder
eine Information innerhalb der Umschreibevorrichtung 20 gestohlen werden,
keine Möglichkeit,
daß Änderungsdaten nach
außen
gelangen.
-
Die Steuerzentrale 30 sendet Änderungsdaten
(S950) mit einem zweiten Erlaubnissignal von den ECUs 11 bis 14,
das zu ihr als eine Bedingung gesendet worden ist (S910:
NEIN). Das heißt,
sie sendet Änderungsdaten,
wobei es als eine Bedingung von den ECUs 11 bis 14 bestimmt
worden ist, daß die
Umschreibevorrichtung 20 legitimiert ist. Deshalb kann
die Möglichkeit,
daß Änderungsdaten nach
außen
gelangen, weiter verringert werden.
-
Wenn die ECUs 11 bis 14 bestimmen,
daß die
Umschreibevorrichtung 20 legitimiert ist (S380: JA
in 4), senden sie zusätzlich zu
dem zweiten Erlaubnissignal einen Fahrzeug-VIN-Code, mit welchem
es möglich
ist, das Fahrzeug 10 zu bestimmen (S390). Die
Steuerzentrale 30 weist eine Datenbank von Aktualisierungshistorien
einer Steuerinformation auf, die in den ECUs 11 bis 14 von
unterschiedlichen Fahrzeugen 10 gespeichert ist, und sie
unterscheidet auf der Grundlage des zuvor erwähnten Fahrzeug-VIN-Codes aus den ECUs 11 bis 14 das
Fahrzeug 10 und bezieht sich auf die Datenbank (S920 in 8) und bestimmt die Notwendigkeit
eines Steuerinformationsumschreibens (S930). Dann, wenn
es eine Notwendigkeit eines Umschreibens gibt (S930: JA),
sendet sie die Änderungsdaten
(S950).
-
In diesem Ausführungsbeispiel wird kein sinnloses
Umschreiben einer Steuerinformation ausgeführt, da die Steuerzentrale 30 die
Steuerinformations-Aktualisierungshistorien von Fahrzeugen 10 verwaltet.
Als Ergebnis ist keine sinnlose Arbeitszeit erforderlich und es
unterbleibt, zu passieren, daß ein erforderliches
Umschreiben aufgrund eines sinnlosen Umschreibens unmöglich wird.
-
In der Steuerzentrale wird die Steuerinformations-Aktualisierungshistoriendatenbank
automatisch aktualisiert (S980), wenn eine normale Beendigung
eines Umschreibens von den ECUs 11 bis 14 über die
Umschreibevorrichtung 20 gemeldet wird (S970:
JA in 8). Daher gibt
es keine Notwendigkeit, daß ein
Benutzer die Datenbank durch eine manuelle Betätigung aktualisieren muß.
-
In der Umschreibevorrichtung 20 wird,
wenn es unterbleibt, daß die
Funktion f, die eine Zugriffsinformation bildet, ertorderlich ist
(S650: NEIN, S690: JA in 6), die Funktion f die eine Zugriffsinformation
bildet, schnell gelöscht
(S660, S700). Aufgrund dessen kann die Möglichkeit,
daß die
Funktion f, die als eine Zugriffsinformation dient, die von der
Steuerzentrale 30 zu der Umschreibevorrichtung 20 gesendet
wird, aus der Umschreibevorrichtung 20 gestohlen wird,
verringert werden.
-
Diese Erfindung ist in keiner Weise
auf das offenbarte Ausführungsbeispiel
beschränkt,
sondern kann wie folgt auf verschiedene Weisen realisiert werden,
ohne den Umfang der Erfindung zu verlassen.
-
- (1) Die Steuerzentrale 30 kann eine Datenbank aufweisen,
in welcher eine Erkennungsinformation von Umschreibungsvorrichtungen 20 und
Paßwörter in Zusammenhang
gebracht werden, und die Umschreibevorrichtung 20 kann
ein Paßwort,
das von einem Benutzer eingegeben wird, zusammen mit der Kennungsinformation
senden. In diesem Fall entspricht das Paßwort einer zugehörigen Funktion
und bestimmt die Steuerzentrale 30 die Legitimität der Umschreibevorrichtung 20 auf
der Grundlage der Entsprechung zwischen der Kennungsinformation und
dem Paßwort,
das von der Umschreibevorrichtung 20 gesendet wird.
-
Die Kennungsinformation kann ebenso
auf die gleiche Weise wie das Paßwort von einem Benutzer eingegeben
werden. Wenn dies durchgeführt wird,
ist es auch dann, wenn die Umschreibevorrichtung 20 oder
eine Information innerhalb der Umschreibevorrichtung 20 gestohlen
wird, da das Paßwort
oder die Kennungsinformation und das Paßwort nicht bekannt ist, unmöglich, eine
Zugriffsinformation aus der Steuerzentrale 30 zu erzielen,
und ist es möglich,
das unzweckmäßige Umschreiben
einer Steuerinformation auf die gleiche Weise wie in dem Ausführungsbeispiel,
das zuvor beschrieben worden ist, zu verhindern.
-
Jedoch ist es, da es ebenso eine
Möglichkeit, daß die Kennungsinformation
oder das Paßwort
auf einen anderen Weg gestohlen wird, gibt, bevorzugt, eine Telefonnummer,
die mit der Einbaustelle der Umschreibevorrichtung 20 verbunden
ist, wie in dem vorhergehend beschriebenen Ausführungsbeispiel zu der zugehörigen Information
zu machen. Dies ist so, da ein unzweckmäßiges Umschreiben nicht an
einer regulären
Arbeitsstelle ausgeführt
werden kann.
-
- (2) Es ist vorstellbar, daß die Datenkommunikation zwischen
der Steuerzentrale 30 und der Umschreibevorrichtung 20 vorübergehend
beendet wird, nachdem die Umschreibevorrichtung 20 die
Zugriffsinformation von der Steuerzentrale 30 erfaßt hat.
Zum Beispiel ist es vorstellbar, daß die Datenkommunikation vorübergehend
beendet wird, nachdem die Datenkommunikation von B1 bis B4 in 2 beendet ist und ein Zustand
einer möglichen
Datenkommunikation zwischen der Umschreibevorrichtung 20 und
der Steuerzentrale 30 erneut gebildet wird, wenn die Verarbeitung
von B11 aufwärts
ausgeführt
wird.
-
Jedoch gibt es eine Möglichkeit,
daß eine
Zugriffsinformation, die von der Umschreibevorrichtung 20 gesendet
wird, gestohlen wird und auf die ECUs 11 bis 14 unter
Verwendung dieser Zugriffsinformation unter Verwendung einer anderen
Umschreibevorrichtung zugegriffen wird.
-
Deshalb ist es vorteilhaft, wenn
die Steuerzentrale 30 und die Umschreibevorrichtung 20,
die sich in einem Zustand der möglichen
Datenkommunikation befinden, zu einem Zustand eines Umschreibens
gemacht werden, bis die Kette einer Umschreibeverarbeitung (die
Verarbeitung von B1 bis B18, die in 2 gezeigt ist) endet.
-
Insbesondere könnte die folgende Art eines Aufbaus
angewendet werden. Das heißt,
die Umschreibevorrichtung 20 kann regelmäßig eine
Reaktionanforderung auf der Grundlage einer Zeitgeberunterbrechungsverarbeitung
zu der Steuerzentrale 30 oder dergleichen senden und die
Steuerzentrale 30 kann eine Reaktion durchführen. Zu
diesem Zeitpunkt führt
die Umschreibevorrichtung 20 kein Umschreiben der ECUs 11 bis
14 durch, wenn es unterbleibt, daß eine es Reaktion von der
Steuerzentrale 30 gibt, bevor die Kette einer Umschreibeverarbeitung
beendet ist. Wenn dies durchgeführt
wird, ist es unmöglich,
von einer unterschiedlichen Umschreibevorrichtung unter Verwendung
einer gestohlenen Zugriffsinformation auf eine ECU zuzugreifen.
-
- (3) In dem Fall, in dem Steuerprogramme, die in der ECU 11 gespeichert
sind, aus irgendeinem Grund gestört
sind, sollte die Verarbeitung, die in 2 gezeigt
ist, derart abgeändert
werden, daß derartige Steuerprogramme
umgeschrieben werden können.
-
In diesem Fall liest die ECU 11 nach
einem Ausführen
von B1 bis B9 in 2 eine
Prüfsumme von
seinem Steuerprogramm aus und sendet sie zu der Umschreibevorrichtung 20 zusammen
mit dem zweiten Erlaubnissignal und dem VIN-Code (B10). Die
Umschreibevorrichtung 20 sendet eine derartige empfangene
Information zu der Steuerzentrale 30 (B11). Die
Steuerzentrale 30 bestimmt, ob es notwendig ist, das Steuerprogramm
umzuschreiben, auf der Grundlage des Vergleichs des VIN-Codes und der
Prüfsumme
zwischen dem empfangenen und dem vorab gespeicherten (B12).
-
Genauer gesagt bestimmt die Steuerzentrale 30 die
Version des Steuerprogramms in der ECU 11 auf der Grundlage
des empfangenen VIN-Codes und bestimmt, ob das Steuerprogramm normal
ist, durch Überprüfen der
empfangenen Prüfsumme
des Steuerprogramms. Wenn die Prüfsumme
zu dem vorab gespeicherten Wert verschieden ist, bestimmt sie, daß das Steuerprogramm
gestört
oder unterbrochen ist. Wenn die Steuerzentrale 30 auf der
Grundlage des VIN-Codes bestimmt, daß die Version des Steuerprogramms
geändert
worden ist, sendet sie die Änderungsdaten
unberücksichtigt
des Prüfsummenbestimmungsergebnisses
zu der Umschreibevorrichtung 20 (B13). Wenn die
Steuerzentrale 30 bestimmt, daß die Version des Steuerprogramms
nicht geändert
worden ist, aber das Steuerprogramm gestört ist, sendet sie das ursprüngliche
Steuerprogramm zu der Umschreibevorrichtung 20. Daher kann
das Steuerprogramm in der ECU 11 erneuert werden. Es ist
natürlich
möglich,
Schlüsselwerte
oder dergleichen, die innerhalb des Steuerprogramms vorgesehen sind, anstelle
eines Verwendens der Prüfsumme
zum Erfassen zu verwenden, ob das Steuerprogramm gestört worden
ist.