JP2001225706A - 電子制御装置の制御情報書換システム、当該システムに用いられるセンタ、電子制御装置、及び書換装置 - Google Patents

電子制御装置の制御情報書換システム、当該システムに用いられるセンタ、電子制御装置、及び書換装置

Info

Publication number
JP2001225706A
JP2001225706A JP2000373249A JP2000373249A JP2001225706A JP 2001225706 A JP2001225706 A JP 2001225706A JP 2000373249 A JP2000373249 A JP 2000373249A JP 2000373249 A JP2000373249 A JP 2000373249A JP 2001225706 A JP2001225706 A JP 2001225706A
Authority
JP
Japan
Prior art keywords
rewriting
information
electronic control
center
transmitted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2000373249A
Other languages
English (en)
Inventor
Takeshi Suganuma
武史 菅沼
Minoru Hotsuka
稔 穂塚
Yoshimitsu Fujii
義光 藤井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2000373249A priority Critical patent/JP2001225706A/ja
Publication of JP2001225706A publication Critical patent/JP2001225706A/ja
Pending legal-status Critical Current

Links

Abstract

(57)【要約】 【課題】 書換装置又は書換装置内部の情報が盗まれた
場合であっても、電子制御装置における制御情報の不正
な書き換えを防止できるようにする 【解決手段】 書換装置20がECU11〜14にアク
セスするために必要な関数fをセンタ30に記憶してお
く。そして、センタ30は、書換装置20を正当なもの
と判断してはじめて、書換装置20へ関数fを送信す
る。センタ30は、書換装置20に対しユニークに割り
振られたID情報と電話回線網40を介してデータ通信
を行う際の書換装置20側の電話番号とを対応させて記
憶したデータベースを有している。そして、書換装置2
0からID情報を取得すると共に発呼元の電話番号を取
得し、このIDと電話番号との対応関係がデータベース
に記憶された対応関係と一致している場合に、書換装置
20を正当なものと判断する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、電気的にデータの
書き換えが可能な不揮発性メモリを有する電子制御装置
(以下「ECU」ともいう。)に関し、特に当該不揮発
性メモリに記憶された制御プログラムや制御データとい
った制御情報の不正な書き換えを防止する技術に関す
る。
【0002】
【従来の技術】従来より、自動車のエンジン等を制御す
るECUには、電気的にデータの書き換えが可能な不揮
発性メモリに制御情報を格納したものがある。ここで制
御情報とは、制御用のプログラム及びデータをいう。こ
れによって、このような制御情報を、市場への供給後で
も書き換え可能にしている。
【0003】すなわち、この種のECUは、通常時に
は、不揮発性メモリに格納された制御情報に従ってエン
ジン等の制御対象を制御するための制御処理を実行する
のであるが、別途用意された書換装置が接続されて、そ
の書換装置から書き換え指令が送信されて来ると、所定
の通信手順を踏んだ後に、不揮発性メモリの内容を書き
換えるように構成されている。なお、不揮発性メモリの
内容の書き換えは、不揮発性メモリに格納されている制
御情報の一部又は全部を消去し、その消去したメモリ領
域に、メモリ書換装置から送信されてくる変更データと
しての新たな制御情報を書き込むという手順で行われ
る。
【0004】具体的には図9に示すように、車両100
に用意された車両ダイアグコネクタ120を介して書換
装置200が接続される。図9では、車両100に4つ
のECU101,102,103,104が搭載されて
おり、各ECU101〜104は、ネットワーク回線1
10にて結ばれている。書換装置200は、作業者によ
る操作に基づきECUコードを送信することによって、
4台のECU101〜104のうちの1台とデータ通信
を行う。
【0005】このようなECUでは、不揮発性メモリに
格納される制御情報を書換装置を用いて書き換えること
ができるため、動作内容(制御内容)を任意に変更する
ことができるという点で有利である。特に、動作内容
(制御内容)に不具合があった場合も迅速に対応できる
ことになり、市場への供給後における車両のメンテナン
スを容易にする。
【0006】しかしその反面、利用者が制御情報を故意
に書き換える可能性が残される。すなわち、環境面や安
全面を配慮して設定される制御情報を、利用者が快適性
や興味などで書き換えてしまう可能性がある。例えば、
エンジンを制御するECUでは、車速の上限値を制御デ
ータとして予め設定しておき、車速がその上限値を越え
た場合には、燃料をカットするというような安全面から
の制御を行うのが一般的である。このとき、利用者が、
予め設定された車速の上限値(制御データ)を故意に書
き換えることが考えられる。このように制御情報が利用
者によって故意に書き換えられると、環境面や安全面に
おいて妥当でない状況が発生する。
【0007】そのため、E−OBDの電子システムセキ
ュリティ規定で不正な制御情報の書き換えを防止するこ
とが義務付けられている。そこで次に、従来の書換処理
を図面を用いて説明する。図10の左側に示した処理が
図9におけるECU101〜104の処理に相当し、図
10の右側に示した処理が図9における書換装置200
の処理に相当している。なお、各処理にはb1〜b12
の符号を付した。以下、この符号を用いて処理の説明を
行う。
【0008】まず最初に書換装置が制御情報の書き換え
を行うECUを選択し、書換要求を送信する(b1)。
ECUの選択は、ECUコードを送信することによって
行う。このECUコードは作業者によって書換装置に入
力される。すると、選択されたECUは、乱数rを発生
し(b2)、この乱数rを書換装置へ送信する(b
3)。
【0009】書換装置には関数fが予め記憶されてお
り、送信される乱数rに対して関数値f(r)を算出す
る(b4)。そして、その算出した関数値f(r)を送
信する(b5)。一方、ECUには関数Fが予め記憶さ
れており、送信される関数値f(r)に対して関数値F
(f(r))を算出する(b6)。続いて、算出したF
(f(r))が乱数rに等しければ、すなわちf=F-1
であれば、書き換えを許可する許可信号を送信する(b
7)。
【0010】ここまでの処理は、ECUが記憶する関数
Fの逆関数fを書換装置が有している場合に、ECUが
書換装置を正当であると判断するものである。この例で
は、書換装置の有する関数fがECUをアクセスするた
めの情報となっている。書換装置は、ECUから送信さ
れる許可信号を受信すると(b8)、変更データを送信
する(b9)。ECUは、この変更データに基づき制御
情報の書き換えを行う(b10)。
【0011】ECUは制御情報の書き換えが正常に終了
すると、正常終了を通知し(b11)、書換装置が通知
を受けて(b12)一連の書き換え処理が完了する。
【0012】
【発明が解決しようとする課題】図10を用いて説明し
た書換処理では、書換装置内の情報である関数fを用い
た通信処理(b1〜b7)によって、ECUが書換装置
の正当性を判断している。そのため、書換装置自体が盗
まれたり、又は、書換装置内部の情報が盗まれたりした
場合には、不正な制御情報の書き換えを防止できないと
いう問題があった。特に、書換装置は作業現場にあるた
め、上述した盗難の可能性が比較的高くなってしまう。
【0013】本発明は、上述した問題点を解決するため
になされたものであり、書換装置又は書換装置内部の情
報が盗まれた場合であっても、上述した不正な制御情報
の書き換えを防止できるようにすることを目的とする。
【0014】
【課題を解決するための手段及び発明の効果】上述した
目的を達成するためになされた請求項1に記載の制御情
報書換システムは、車両を制御するために車載され、電
気的に書き換え可能な不揮発性メモリに車両制御のため
の制御情報を記憶した電子制御装置と、制御情報を書き
換えるための書換装置とを備えることを前提としてい
る。
【0015】このとき、書換装置は、所定のアクセス情
報を用いた通信開始処理を電子制御装置との間で実行
し、一方、電子制御装置は、通信開始処理によって書換
装置の正当性を判断し、当該書換装置を正当なものであ
ると判断すると、書換装置から送信される変更データに
基づき制御情報の一部又は全部を書き換える。
【0016】このような構成に加え、本発明のシステム
ではさらに、書換装置との間でデータ通信を行うセンタ
を備えていることを特徴としている。センタは、例えば
作業現場とは別の場所に設置されることが考えられる。
このセンタの記憶手段には、上述したアクセス情報が記
憶されている。また、書換装置の判別情報が記憶されて
いる。
【0017】このとき、センタの正当性判断手段は、書
換装置とのデータ通信において、当該書換装置からの情
報を取得する。そして、当該取得した情報が記憶手段に
記憶された判別情報と一致している場合は、所定のアク
セス情報を書換装置へ送信する。一方、判別情報と一致
していない場合は、所定のアクセス情報を書換装置へ送
信しない。
【0018】つまり、本発明では、電子制御装置へのア
クセスを可能にするアクセス情報を、書換装置ではなく
センタに記憶しておき、書換装置の正当性を電子制御装
置に先立ってセンタが判断するようにしたのである。セ
ンタは、書換装置を正当なものであると判断した場合
に、アクセス情報を送信することによって、制御情報の
書き換えを許可する。
【0019】これは、以下のような2段階のチェックを
行うことにあたる。 センタが書換装置の正当性を判断してアクセス情報を
書換装置へ送信する。 書換装置はそのアクセス情報を用いた通信開始処理を
実行し、その通信開始処理に基づき、電子制御装置が書
換装置の正当性を判断する。
【0020】これによって、少なくとも判別情報を書換
装置内部に記憶しておかなければ、上記の段階で書換
装置はセンタからアクセス情報を得ることができない。
したがって、書換装置又は書換装置内部の情報が盗まれ
たとしても、上記において電子制御装置により書換装
置が正当であると判断されないため、その後、制御情報
の書き換えが行われない。その結果、書換装置や書換装
置内部の情報が盗まれた場合であっても、電子制御装置
の制御情報が不正に書き換えられることを防止できる。
【0021】なお、通常、書換装置は、例えば修理工場
毎に設置されるというように、本システムに複数台存在
する。そこで、書換装置毎の正当性を判断するために、
例えば請求項2に示す構成を採用することが望ましい。
ここでは、上述した判別情報が、識別情報及び対応情報
からなることを特徴としている。識別情報は、書換装置
を識別するための書換装置固有の番号などであることが
考えられる。一方、対応情報は、各識別情報に対応させ
て設定される情報である。
【0022】このときセンタの正当性判断手段は、書換
装置とのデータ通信において、当該書換装置の識別情報
及び対応情報を取得する。そして、当該取得した情報の
対応関係が記憶手段に記憶された判別情報と一致してい
る場合は、所定のアクセス情報を書換装置へ送信する。
一方、一致していない場合は、所定のアクセス情報を書
換装置へ送信しない。
【0023】これによって、少なくとも識別情報及び対
応情報のいずれか一方を書換装置内部に記憶しておかな
ければ、上記の段階で書換装置はセンタからアクセス
情報を得ることができない。したがって、書換装置又は
書換装置内部の情報が盗まれたとしても、上記におい
て電子制御装置により書換装置が正当であると判断され
ないため、その後、制御情報の書き換えが行われない。
その結果、書換装置や書換装置内部の情報が盗まれた場
合であっても、電子制御装置の制御情報が不正に書き換
えられることを防止できる。そして、この場合、書換装
置毎に、その正当性を判断できる。
【0024】ところで、上記における「アクセス情報
を用いた通信開始処理」は、次に示すようなものとする
ことが考えられる。すなわち、書換装置が、センタから
取得したアクセス情報に基づく正当性判断情報を電子制
御装置に送信し、これに対し電子制御装置は、書換装置
から送信される正当性判断情報に基づき、書換装置の正
当性を判断するものとすることが考えられる(請求項
3)。ここでいう正当性情報は、例えば、電子制御装置
から送信される所定データをアクセス情報を基に変換し
た情報である(請求項4)。
【0025】具体的な構成としては、従来技術して上述
したのと同様の構成(請求項5)が挙げられる。すなわ
ちこの場合、書換装置は、前記電子制御装置に記憶され
た関数Fに対応する関数fをアクセス情報としてセンタ
から取得し、所定データとしての所定値rに対する関数
値f(r)を、正当性判断情報として、電子制御装置に
送信する。そして、電子制御装置は、書換装置から送信
される関数値f(r)に対する関数値F(f(r))が
所定値rに等しければ、書換装置を正当なものであると
判断する。ここで所定値rは固定的なものとしてもよい
が、電子制御装置にて生成される乱数としてもよい(請
求項6)。
【0026】なお、正当なアクセス情報を得ることな
く、書換装置による電子制御装置への不正なアクセスが
行われることを防止するために、請求項7に示す構成を
採用してもよい。この構成では、電子制御装置が、書換
装置を正当なものでないと所定回数判断すると、書換装
置からのアクセスを例えば10分というような一定時間
拒否する。所定回数は1回としてもよいが、通信エラー
などが生じる可能性を考慮して例えば3回というように
設定することが考えられる。また、所定回数は、「正当
なものでない」という判断が連続して行われた回数であ
ってもよいし、「正当なものでない」という判断を累積
した回数としてもよい。このようにすれば、不正なアク
セス情報を用いては連続的に何度も電子制御装置をアク
セスすることができないため、不正な電子制御装置への
アクセスを効果的に防止することができ、制御情報の書
き換え防止に有効である。
【0027】ここでは「正当なものでない」という判断
が連続して行われた場合の電子制御装置の動作に言及し
たが、逆に、書換装置を正当なものであると判断する
と、電子制御装置は、書換装置からの変更データの送信
待ち状態になるようにすることが考えられる(請求項
8)。
【0028】ところで、上記における書換装置の正当
性判断において、センタは、書換装置の判別情報を利用
している。判別情報が例えば識別情報及び対応情報で構
成されるならば、上述したように、識別情報又は対応情
報の少なくともいずれか一方を書換装置内部に記憶して
おかなければ、書換装置又は書換装置内部の情報が盗ま
れた場合であっても、書換装置はセンタからアクセス情
報を得ることはできない。
【0029】そこで、例えば請求項9に示すように、判
別情報の少なくとも一部は、センタとのデータ通信可能
状態が確立する度に、利用者によって書換装置へ入力さ
れるようにするとよい。このとき、書換装置は、利用者
によって入力された情報をセンタへ送信する。
【0030】例えば判別情報が識別情報及び対応情報で
構成されている場合、対応情報を利用者によって入力さ
れるものとすることが考えられる。この場合の対応情報
は、識別情報に対応するいわゆるパスワードとして位置
付けられる。このように毎回利用者が対応情報を入力す
るようにすれば、書換装置又は書換装置内の情報が盗ま
れ、結果的に識別情報が盗まれたとしても、それに対応
する対応情報が分からないため、センタからアクセス情
報を得ることができない。したがって、電子制御装置の
制御情報が不正に書き換えられることを防止できる。
【0031】なお、「少なくとも一部」としたのは、判
別情報が複数の情報で構成されるという前提の下、判別
情報の全てを利用者が入力するようにしてもよいためで
ある。例えば識別情報も、書換装置内部に記憶しておか
ず、対応情報と同様に利用者によって入力されるように
してもよい。その場合、利用者が入力する情報は増える
ものの、書換装置又は書換装置内部の情報が盗まれた場
合に対応情報だけでなく識別情報までも分からないた
め、センタからアクセス情報を不正に得られる可能性が
さらに低くなり、制御情報が不正な書き換えに対して有
効となる。
【0032】ただし、判別情報の少なくとも一部を利用
者が入力する上述の構成を採用しても、それらの情報が
何らかの別ルートで盗まれる可能性も考えられる。そこ
で、請求項10に示す構成を採用することが考えられ
る。この構成は、センタと書換装置との間に電話回線を
介してデータ通信可能状態が確立されることを前提とす
る。センタは、書換装置との間にデータ通信可能状態が
確立されると、書換装置側の電話番号を判別情報又は判
別情報の一部としてとして取得する。例えば判別情報自
体を電話番号とすることも考えられるし、識別情報と共
に判別情報を構成する対応情報を電話番号とすることも
考えられる。後者の場合、センタは、取得される識別番
号と電話番号との対応関係が記憶手段に予め記憶された
判別情報と一致するか否かを判断し、一致すればアクセ
ス情報を送信することになる。
【0033】このようにすれば、別の場所、すなわち正
規の作業場所以外からセンタとの間に回線を接続した場
合、センタの取得する電話番号は、予め決められた電話
番号でなくなる。そのため、例えば識別情報と対応せ
ず、センタからアクセス情報を得ることはできない。つ
まり、この技術思想は、不正な書き換えが行われる場合
には書換装置が正規の設置場所にない、という事実に着
目したものである。このようにすれば、書換装置や書換
装置内の情報が盗まれた場合であっても、電子制御装置
の制御情報が不正に書き換えられることを確実に防止で
きる。
【0034】ところで、電子制御装置にて書換装置が正
当でないと判断された場合に、電子制御装置が書換装置
からのアクセスを例えば10分というような一定時間拒
否することによって、電子制御装置への不正なアクセス
が効果的に防止できることは上述した。センタと書換装
置との間にも、同様の手法を採用することが考えられ
る。
【0035】すなわち請求項11に示すように、センタ
は、正当性判断手段にて判別情報の不一致が所定回数判
断されると、書換装置からのアクセスを一定時間拒否す
るようにするとよい。ここでいう「所定回数」の意味す
るところは、既に述べた請求項7に記載の所定回数と同
様である。したがって説明は省略する。このようにすれ
ば、書換装置からセンタへの不正なアクセスは、連続し
て何度も行うことができなくなる。したがって、不正な
制御情報の書き換え防止に効果的である。
【0036】なお、従来は、書換装置の有する記録媒体
に制御情報を書き換えるための変更データを記憶してい
た。本発明においても、変更データを書換装置に記憶す
る構成としてもよい。しかし、さらにセキュリティ面を
考慮するならば、センタが、さらに、制御情報の変更デ
ータを記憶する変更データ記憶手段を有する構成とする
ことが考えられる(請求項12)。つまり、センタに変
更データを記憶しておけば、書換装置又は書換装置内部
の情報が盗まれた場合であっても、変更データが外部に
漏れる可能性がない。
【0037】この変更データは、例えば利用者が書換装
置を介して手動にて読み出すことも考えられるが、セン
タが変更データを自動的に書換装置へ送信する構成とす
れば(請求項13)、利用者にとって便利である。この
とき、センタは、電子制御装置にて書換装置が正当であ
ると判断された場合に、変更データ記憶手段に記憶され
た変更データを書換装置へ送信するようにするとよい
(請求項14)。つまり、上記において書換装置が正
当であるとの判断がなされた後に、変更データを書換装
置へ送信するのである。例えば、電子制御装置が、書換
装置を正当なものであると判断すると、書き換えの許可
を示す情報を書換装置へ送信し、さらに、書換装置が、
この情報をセンタに送信することによって、センタが変
更データを送信するという具合である。もちろん、上記
において書換装置の正当性をセンタが判断した際に、
アクセス情報と共に変更データを書換装置へ送信するよ
うにしてもよい。しかし、上述したように電子制御装置
にて書換装置が正当であると判断された場合に変更デー
タを送信するようにすれば、すなわち、上記及びの
チェックが行われた後に変更データを送信するようにす
れば、さらにセキュリティ面で有利である。
【0038】また、上述した変更データ記憶手段には、
複数の変更データが記憶されることが考えられる。例え
ば車両や電子制御装置毎に、変更データが異なるのが一
般的だからである。そこで、変更データを特定するため
のデータ特定情報が書換装置によって送信されることを
前提とし、センタは、このデータ特定情報に基づき、変
更データ記憶手段に記憶された変更データの中から該当
する変更データを選択して送信するようにしてもよい
(請求項15)。
【0039】このようにセンタに変更データを記憶して
おき、さらには、書換装置からのデータ特定情報に基づ
き、該当する変更データをセンタが決定するという構成
のみを採用しても、不正な書き換えを防止するという目
的が達成できる。したがって、このような構成を備える
センタの発明として実現することも考えられる(請求項
48)。
【0040】なお、データ特定情報は、例えば車両や電
子制御装置に対応する変更データを特定可能なものであ
るため、車載された電子制御装置によって書換装置へ送
信されるものとすることが考えられる(請求項16)。
車両や電子制御装置毎に変更データが用意されることを
考えると、データ特定情報には、車両を特定するための
各車両に固有の車両情報又は電子制御装置を特定するた
めの電子制御装置に固有の装置情報の少なくともいずれ
か一方が含まれることが考えられる(請求項18)。車
両情報としては、例えば各車両固有の車両VIN(Vehi
cle ID Number)コードが挙げられる。また、セキュリ
ティ面を考慮するならば、電子制御装置によって書換装
置が正当であると判断された場合に、このデータ特定情
報が送信されるようにするとよい(請求項17)。すな
わち、このデータ特定情報は変更データの送信に係る情
報であるため、変更データの送信タイミングと同様に、
上記及びのチェックが行われた後にするのが望まし
い。
【0041】ところで、従来は、電子制御装置の制御情
報が過去に書き換えられているか否かを判断できない状
況が存在した。例えば制御プログラムが複数回バージョ
ンアップされているような場合、ある車両に対して同一
ユーザが同一の修理工場を利用する場合は、修理工場側
で記録を残すことなどで、車両の制御プログラムがどこ
までバージョンアップされたかを把握することができ
る。
【0042】しかし、車両のユーザが途中で変わった場
合や別の修理工場へ車両の点検を依頼した場合などは、
制御プログラムのバージョンアップの履歴がないため、
既に制御プログラムの書き換えが行われているにもかか
わらず、再度制御プログラムの書き換えを行うというよ
うな無駄な制御情報の書き換えが行われる状況があっ
た。このような場合、無駄な作業時間を要するだけでな
く、例えば制御情報の記憶にEEPROMを用いている
場合、書き換え可能回数が制限されるため、無駄な書き
換えによって必要な書き換えができなくなるおそれもあ
った。
【0043】そこで、請求項19に示すように、センタ
が、さらに、車両に係る制御情報の更新履歴を記憶する
更新履歴記憶手段を有する構成とすることが考えられ
る。これは各車両における制御情報の更新履歴をセンタ
にて一括管理しようという技術思想である。
【0044】このような更新履歴記憶手段を有する構成
の下、車両に係る更新履歴を特定するための履歴特定情
報が書換装置によって送信されることを前提とすれば、
センタは、更新履歴記憶手段に記憶された更新履歴を参
照し、履歴特定情報に基づいて当該車両における制御情
報の書き換えの必要性を判断するようにもできる(請求
項20)。
【0045】そしてさらに、上述した変更データ記憶手
段を有する構成であれば、センタは、制御情報の書き換
えが必要であると判断すると、変更データ記憶手段に記
憶された変更データを書換装置へ送信する構成にするこ
とが考えられる(請求項21)。逆に、制御情報の書き
換えが必要でないと判断すると、書き換えが必要でない
旨を示す情報を書換装置へ送信するようにしてもよい
(請求項22)。
【0046】この履歴特定情報は、各車両を、詳しくは
各車両に搭載された電子制御装置内の制御情報の更新履
歴を特定するものであるため、上述したデータ特定情報
と同様に、車載された電子制御装置によって書換装置へ
送信されるものとすることが考えられる(請求項2
3)。車両あるいは電子制御装置を特定する必要性を考
えると、データ特定情報と同様に、履歴特定情報には、
車両を特定するための各車両に固有の車両情報又は電子
制御装置を特定するための電子制御装置に固有の装置情
報の少なくともいずれか一方が含まれることが考えられ
る(請求項25)。また、セキュリティ面を考慮するな
らば、電子制御装置によって書換装置が正当であると判
断された場合に、履歴特定情報が送信されるようにする
とよい(請求項24)。つまり、この履歴特定情報も、
データ特定情報と同様、変更データの送信に係る情報で
あるため、上記及びのチェックが行われた後に送信
するのが望ましいのである。
【0047】このようにすれば、センタによって制御情
報の更新履歴が管理されるため、無駄な制御情報の書き
換えが行われない。その結果、無駄な作業時間がなくな
り、また、無駄な書き換えによって必要な書き換えがで
きなくなることもなくなる。なお、更新履歴は、例えば
作業者が制御情報の書き換え完了後にマニュアル操作で
更新してもよいが、請求項26に示すように自動的に更
新されるようにすると便利である。
【0048】すなわち、センタは、電子制御装置にて制
御情報の書き換えが完了すると、更新履歴記憶手段に記
憶された、当該電子制御装置が搭載された車両に対する
更新履歴を更新するようにするとよい。具体的には、電
子制御装置が制御情報の書き換え完了を示す情報を書換
装置に送信し、書換装置がさらにこの情報をセンタへ送
信する。つまり、センタは、電子制御装置にて制御情報
の書き換えが完了したか否かを、書換装置からの情報に
基づいて判断することが考えられる(請求項27)。こ
のようにすれば、書き換えの終了時に更新履歴が自動的
に更新されるため、作業者にとって便利である。
【0049】ところで、センタが書換装置の正当性を判
断してアクセス情報を送信した後に、その書込装置から
アクセス情報が盗まれる可能性も考えられる。したがっ
て、請求項28に示すように、書換装置は、電子制御装
置にて制御情報の書き換えが完了すると、所定のアクセ
ス情報を抹消するのが望ましい。具体的には、電子制御
装置が制御情報の書き換えが完了したことを示す情報を
書換装置へ送信し、この情報に基づき、書換装置がアク
セス情報を抹消するという具合である。このようにすれ
ば、書き換えの終了時にアクセス情報が速やかに抹消さ
れるため、送信されたアクセス情報が書換装置から盗ま
れる可能性を低減させることができる。
【0050】また、上記において書換装置がセンタか
らアクセス情報を取得した後、センタと書換装置との間
のデータ通信を一時的に終了することが考えられる。た
だし、書換装置に送信されたアクセス情報が盗まれ、別
の書換装置を用い、このアクセス情報を使用して電子制
御装置がアクセスされる可能性がある。
【0051】したがって、請求項29に示すように、書
換装置は、センタとの間でデータ通信可能状態が確立さ
れた後、電子制御装置にて制御情報の書き換えが完了す
る前にセンタとの間のデータ通信が不能となった場合、
制御情報の書き換えを中止するようにすることが考えら
れる。
【0052】この場合、書換装置の正当性判断を含む一
連の書き換え処理が終了するまではセンタと書換装置が
データ通信可能状態となっていることを書き換えの条件
とするのである。これによって、盗んだアクセス情報を
用いて別の書換装置から電子制御装置をアクセスするこ
とができないため、制御情報が不正な書き換えを確実に
防止できる。
【0053】以上は、制御情報書換システムの発明とし
て説明した。これに対して、上述したような制御情報書
換システムに用いられて有効な、センタの発明として、
また、電子制御装置の発明として、さらには、書換装置
の発明として実現することもできる。
【0054】これらセンタ、電子制御装置、書換装置の
発明として実現する場合も、制御情報書換システムの備
えるセンタ、電子制御装置及び書換装置と同様の構成を
採用できることは言うまでもない。そして、各構成を採
用した場合の、センタ、電子制御装置、書換装置の発明
が発揮する効果の説明は、制御情報書換システムの発明
が発揮する効果として上述したものと同様になるため、
割愛する。
【0055】
【発明の実施の形態】以下、本発明を具体化した一実施
例を図面を参照して説明する。図1は、実施例の制御情
報書換システム1の概略構成を示すブロック図である。
車両10には、4台のECU11,12,13,14が
搭載されており、各ECU11〜14はネットワーク回
線15で結ばれている。ECU11〜14は、不揮発性
メモリとしてのEEPROM(不図示)を有しており、
書換装置20が接続されていない通常時には、このEE
PROMに記憶された制御情報(制御プログラム及び制
御データ)に基づき、ネットワーク回線15を介したE
CU11〜14間通信を行って、エンジン等それぞれの
制御対象を制御する。
【0056】そして、ECU11〜14の有するEEP
ROMに記憶された制御情報を書き換えるためのシステ
ムが、本制御情報書換システム1である。図1では、書
換装置20が車両ダイアグコネクタ16を介して各EC
U11〜14と接続された様子が示されている。車両ダ
イアグコネクタ16は、書換装置20と各ECU11〜
14とのネットワーク回線15を介したデータ通信を可
能にするため、車両10に用意されたコネクタである。
なお、車両10及び書換装置20は、修理工場などの作
業現場に設置されている。
【0057】また、本実施例の制御情報書換システム1
では、書換装置20が電話回線網40を介してセンタ3
0とデータ通信できるようになっている。センタ30
は、いわゆるサーバとして作業現場とは別の場所に設置
される。そして、このセンタ30の記憶装置(不図示)
には、ECU11〜14を書換装置20がアクセスする
ためのアクセス情報、制御情報を書き換える変更デー
タ、書換装置20の正当性を判断するためのデータベー
ス、及び、各車両10の制御情報の更新履歴のデータベ
ースが記憶されている。したがって、この記憶装置が
「記憶手段」、「変更データ記憶手段」及び「更新履歴
記憶手段」に相当する。
【0058】書換装置20とセンタ30とは、書換装置
20がセンタ30を発呼することによって、書換装置2
0とセンタ30との間で所定の通信処理が行われてデー
タ通信が可能な状態となる。なお、図1には、センタ3
0が1台の書換装置20と接続されていることを示した
が、センタ30に対しては、例えば別の作業現場の書換
装置が並行して接続されることも考えられる。
【0059】次に、本制御情報書換システム1の動作の
概要を図2に基づき説明する。図2では、本制御情報書
換システム1の動作をB1〜B18の符号を付したブロ
ック単位で示した。詳しくは、各ECU11〜14にお
ける処理を、ECU側処理として図2中の左側の列に、
B5,B6,B9,B10,B15,B16と示した。
また、書換装置20における処理を、書換装置側処理と
して中央の列に、B1,B4,B7,B8,B11,B
14,B17と示した。さらに、センタ30における処
理を、センタ側処理として右側の列に、B2,B3,B
12,B13,B18と示した。これらの処理は、B1
→B2→B3→・・・→B18という順序で実行され
る。
【0060】最初に書換装置20がセンタ30を発呼
し、書換装置20とセンタ30との間にデータ通信可能
状態が確立されると、書換装置20は、通信開始要求と
共に書換装置20自体を識別させるための「識別情報」
としてのID情報をセンタ30へ送信する(B1)。こ
れに対し、センタ30は、書換装置20からのID情報
を受信すると共に、発呼元の電話番号、すなわち、書換
装置20側の電話番号を取得する(B2)。この電話番
号が「対応情報」に相当する。
【0061】センタ30は、書換装置20のID情報と
書換装置20に割り当てられた電話番号とを対応させた
データベースを有している。したがって、センタ30は
次に、受信したID情報と取得した電話番号との対応関
係をデータベースにある対応関係と照合する(B2)。
ここで一致していれば、第1許可信号及び関数fを書換
装置20へ送信する(B3)。
【0062】書換装置20は、ECU11〜14の中か
ら書き換え対象とするECUを選択し、そのECUへ書
換要求を送信する(B4)。ここではECU11が書き
換え対象のECUとして選択されたものとして以下の説
明を続ける。選択されたECU11は、乱数rを発生し
(B5)、この乱数rを書換装置20へ送信する(B
6)。
【0063】書換装置20は、上記B3にてセンタから
送信された関数fを用い、ECU11からの乱数rに対
して関数値f(r)を算出する(B7)。そして、その
算出した関数値f(r)をECU11へ再度送信する
(B8)。一方、ECU11には関数Fが予め記憶され
ており、書換装置20から送信される関数値f(r)に
対し、関数値F(f(r))を算出する(B9)。続い
て、算出したF(f(r))が乱数rに等しければ、す
なわちf=F-1であれば、書き換えを許可する第2許可
信号を送信すると共に、車両VINコードを送信する
(B10)。車両VINコードは、車両毎にユニークに
付された番号であり、これが上述の「データ特定情報」
及び「履歴特定情報」に相当する。
【0064】書換装置20は、ECU11からの第2許
可信号及び車両VINコードを受信し、これらの情報を
さらに、センタ30へ送信する(B11)。センタ30
は、各車両それぞれの制御情報の更新履歴をデータベー
スとして有している。したがって、書換装置20からの
車両VINコードに基づき、車両10の判別を行い、更
新履歴のデータベースを参照して、制御情報の書き換え
必要性を判断する(B12)。ここで車両10に対する
制御情報の書き換えが必要であると判断すると、変更デ
ータを書換装置20へ送信する(B13)。
【0065】書換装置20は、センタ30からの変更デ
ータを受信し、この変更データをECU11へ送信する
(B14)。ECU11は、書換装置20からの変更デ
ータに基づき、制御情報の書き換えを行う(B15)。
そして、制御情報の書き換えが正常に終了すれば、正常
終了を書換装置20へ通知する(B16)。
【0066】書換装置20は、ECU11から正常終了
が通知されると、上記B3にてセンタ30から送信され
た関数fを抹消する(B17)。また、センタ30に正
常終了を通知する。これによって、センタ30は、更新
履歴のデータベースを更新する(B18)。
【0067】以上のようにして一連の書き換え処理が完
了する。次に、上述したECU側処理、書換装置側処
理、及びセンタ側処理の詳細を順に説明する。なお、各
処理の説明にあたって適宜図2を参照する。最初に図3
及び図4のフローチャートに基づき、各ECU11〜1
4にて実行されるECU側処理を説明する。なお、この
ECU側処理は、車両10に車両ダイアグコネクタ16
を介して書換装置20が接続された状態において、例え
ば0.2秒というような所定時間間隔で実行されるもの
である。
【0068】まずステップS300において、書換装置
20からの書換要求があったか否かを判断する。ここで
書換要求があったと判断された場合(S300:YE
S)、S310へ移行する。一方、書換要求がなかった
と判断された場合(S300:NO)、以降の処理を実
行せずに、本ECU側処理を終了する。
【0069】S310では、アクセス拒否タイマが
「0」か否かを判断する。アクセス拒否タイマは、後述
するように書換装置20が「正当でない」と所定回数連
続して判断された場合に設定されるものである。ここで
アクセス拒否タイマが「0」でないと判断された場合
(S310:NO)、S320にてタイマをデクリメン
トし、さらに変数C1に「0」を代入して、本ECU側
処理を終了する。変数C1は、書換装置が正当でないと
連続して判断された回数を計数するものである。一方、
アクセス拒否タイマが「0」であると判断された場合
(S310:YES)、S330へ移行する。
【0070】S330では、変数C1が「2」以下であ
るか否かを判断する。ここでC1>2である場合(S3
30:NO)、S340にてアクセス拒否タイマをセッ
トし、本ECU側処理を終了する。本実施例では、10
分がセットされる。一方、C1≦2である場合(S33
0:YES)、S350へ移行する。
【0071】S350では、乱数rを発生し、書換装置
20へ送信する。この処理は、図2中のB5及びB6の
処理に相当する。これに対し、図2中のB8に示したよ
うに、書換装置20から関数値f(r)が送信される。
したがって、続くS360では、関数値f(r)の送信
があったか否かを判断する。ここで関数値f(r)の送
信があった場合(S360:YES)、S370へ移行
する。一方、関数値f(r)の送信がないうちは(S3
60:NO)、この判断処理を繰り返す。
【0072】S370では、書換装置20から送信され
る関数値f(r)に対し、関数値F(f(r))を算出
する。この処理は、図2中のB9の処理に相当する。続
く図4のS380では、算出した関数値F(f(r))
が乱数rに等しいか否かを判断する。ここでF(f
(r))=rである場合(S380:YES)、S39
0にて第2許可信号及び車両VINコードを送信し、S
420へ移行する。このS380及びS390の処理が
図2中のB10の処理に相当する。一方、F(f
(r))≠rである場合(S380:NO)、書き換え
を許可しない旨をS400にて書換装置20に通知し、
S410にて変数C1をインクリメントして、本ECU
側処理を終了する。このようにして書換装置20の正当
性が判断され、正当でないと判断した場合(S380:
NO)変数C1がインクリメントされ(S410)、上
述したようにC1>2でタイマがセットされる(図3中
のS340)。したがって、本実施例では、C1が
「0」→「1」→「2」という具合に、3回連続して書
換装置20が正当でないと判断されると、アクセス拒否
がなされることになる。
【0073】上述したように、センタ30にて車両VI
Nコードに基づく制御情報の書き換えの必要性判断がな
され、書き換えが必要があればセンタ30から書換装置
20を経由して変更データが送信される。一方、書き換
えが必要でなければ、すなわち、既に制御情報の書き換
えがなされている場合には、書き換え済みであることを
示す情報がセンタ30から書換装置20を経由して送信
される。
【0074】そのため、S420では、書換装置20か
らのデータ送信があったか否かを判断する。ここでデー
タ送信があったと判断された場合(S420:YE
S)、S430へ移行する。一方、データ送信がないう
ちは(S420:NO)、この判断処理を繰り返す。
【0075】そして、S430では、書換装置20から
送信されたデータが変更データか否かを判断する。ここ
で変更データであると判断された場合(S430:YE
S)、S440へ移行する。一方、変更データでないと
判断された場合(S430:NO)、すなわち、書き換
え済みを示す情報が送信された場合には、以降の処理を
実行せず、本ECU側処理を終了する。
【0076】S440では、送信された変更データに基
づき、制御情報の書き換えを行う。続くS450では、
書き換え後の制御情報のチェックサムを計算する。これ
は、正常に制御情報が書き換えられたか否かを判断する
ためである。そして、次のS460では、S450にて
計算したチェックサムに基づき、制御情報の書き換えが
正常に終了したか否かを判断する。ここで正常に終了し
たと判断された場合(S460:YES)、S470に
て書換装置20へ正常終了を通知し、その後、本ECU
処理を終了する。一方、正常に終了したと判断されなか
った場合(S460:NO)、S480にて書換装置2
0へ変更データの再送信を要求し、S420からの処理
を繰り返す。
【0077】続いて図5及び図6のフローチャートに基
づき、書換装置20にて実行される書換装置側処理を説
明する。なお、この書換装置側処理は、書換装置20と
センタ30との間にデータ通信可能状態が確立された
後、作業者による所定の操作をトリガとして実行される
ものである。
【0078】まず最初のステップS500において、セ
ンタ30に対し、通信開始を要求すると共に予め記憶さ
れているID情報を送信する。この処理は、図2中のB
1の処理に相当する。センタ30は、書換装置20が正
当なものであると判断すると、第1許可信号及び関数f
を送信してくる。
【0079】したがって、続くS510では、センタ3
0からの応答があったか否かを判断する。ここでセンタ
30からの応答があったと判断された場合(S510:
YES)、S520へ移行する。一方、センタ30から
の応答がないうちは(S510:NO)、この判断処理
を繰り返す。
【0080】S520では、センタ30の応答が不許可
の通知か否かを判断する。ここで不許可の通知であると
判断された場合(S520:YES)、センタ30への
アクセスに失敗した旨をS530にてディスプレイなど
の表示装置に表示し、その後、S500からの処理を繰
り返す。一方、不許可の通知でない場合(S520:N
O)、すなわち第1許可信号及び関数fが送信されてき
た場合には、S540へ移行する。
【0081】S540では、車両10に搭載された4台
のECU11〜14のいずれかを選択するためのECU
コードの入力を作業者に要求する。続くS550では、
ECUコードの入力があったか否かを判断する。ここで
ECUコードの入力があったと判断された場合(S55
0:YES)、S560へ移行する。一方、ECUコー
ドの入力がないうちは(S550:NO)、S540か
らの処理を繰り返す。なお、ECU11のECUコード
が入力されたものとして以下の説明を続ける。
【0082】S560では、書換要求及びECUコード
を送信する。この処理は、図2中のB4の処理に相当す
る。これによって、入力されたECUコードに対応する
ECU11が乱数rを発生し、その乱数rを送信してく
る(図3中のS350)。したがって、続くS570で
は、乱数rが送信されたか否かを判断する。ここで乱数
rが送信されたと判断された場合(S570:YE
S)、S580へ移行する。一方、乱数rが送信されな
いうちは(S570:NO)、この判断処理を繰り返
す。
【0083】S580では、S510にてセンタ30か
ら送信された関数fを用い、乱数rに対する関数値f
(r)を算出する。そして次のS590にて、関数値f
(r)をECU11へ送信する。図2中のB7及びB8
の処理に相当する。これに対して、ECU11では、図
3中のS360にて肯定判断され、関数値F(f
(r))が算出される(S370)。そして、S380
の判断に基づき、第2許可信号の送信又は書き換えを許
可しない旨の通知を行う(S390,S400)。
【0084】したがって、続く図6中のS600では、
ECU11の応答があったか否かを判断する。ここでE
CU11の応答があったと判断された場合(S600:
YES)、S610へ移行する。一方、ECU11から
の応答がないうちは(S600:NO)、この判断処理
を繰り返す。
【0085】S610では、ECU11から第2許可信
号が送信されたか否かを判断する。ここで第2許可信号
が送信されたと判断された場合(S610:YES)、
S620にて第2許可信号及びその第2許可信号と共に
送信される車両VINコードをセンタ30へ送信し、そ
の後、S640へ移行する。この処理が図2中のB11
の処理に相当する。一方、第2許可信号が送信されなか
った場合(S610:NO)、すなわち、ECU11か
ら書き換えを許可しない旨が通知された場合には、S6
30にてセンタ30に対し不許可となった旨を通知し、
その後、図5中のS530へ移行する。
【0086】S620にてセンタ30に対し第2許可信
号及び車両VINコードを送信すると、上述したように
センタ30は、書き換えの必要性を判断して、書き換え
の必要があれば変更データを送信し、一方、書き換えの
必要がなければ書き換え済みを示す情報を送信する。
【0087】したがって、S640では、センタ30の
応答があったか否かを判断する。ここでセンタ30の応
答があったと判断された場合(S640:YES)、S
650へ移行する。一方、センタ30の応答がないうち
は(S640:NO)、この判断処理を繰り返す。
【0088】S650では、センタ30から送信された
データが変更データであるか否かを判断する。ここで変
更データであった場合(S650:YES)、S680
へ移行する。一方、変更データでない場合(S650:
NO)、すなわち書き換え済みを示す情報がセンタ30
から送信された場合には、関数fを抹消して書き換えの
必要がない旨を表示し(S660)、書き換え済みを示
す情報をECU11へ送信して(S670)、その後、
本書換装置側処理を終了する。
【0089】S680では、センタ30から送信された
変更データをECU11へ送信する。この処理は、図2
中のB14の処理に相当する。これによって、ECU1
1では制御情報の書き換えが行われ(図4中のS43
0:YES,S440)、ECU11から正常終了の通
知又は再送信要求がなされる(S470,480)。
【0090】そこで、次のS690では、ECU11か
ら正常終了の通知があったか否かを判断する。ここで正
常終了の通知があったと判断された場合(S690:Y
ES)、関数fを抹消すると共にセンタ30へ正常終了
を通知して(S700)、その後、本書換装置側処理を
終了する。一方、正常終了の通知がなされない場合(S
690:NO)、すなわち変更データの再送信要求がな
された場合には、センタ30へ異常終了を通知し(S7
10)、本書換装置側処理を終了する。
【0091】さらに続けて、図7及び図8のフローチャ
ートに基づき、センタ30にて実行されるセンタ側処理
を説明する。なお、このセンタ側処理は、書換装置20
とセンタ30との間にデータ通信可能状態が確立されて
いる状態において、例えば0.2秒というような所定時
間間隔で実行されるものである。
【0092】まず最初のステップS800において、ア
クセス拒否タイマが「0」か否かを判断する。アクセス
拒否タイマは、後述するようにセンタ30によって書換
装置20が「正当でない」と所定回数連続して判断され
た場合に設定されるものである。ここでアクセス拒否タ
イマが「0」でないと判断された場合(S800:N
O)、S810にてタイマをデクリメントし、さらに変
数C2に「0」を代入して、本センタ側処理を終了す
る。変数C2は、センタ30にて書換装置20が正当で
ないと連続して判断された回数を計数するものである。
一方、アクセス拒否タイマが「0」であると判断された
場合(S800:YES)、S820へ移行する。
【0093】S820では、変数C2が「2」以下であ
るか否かを判断する。ここでC2>2である場合(S8
20:NO)、S830にてアクセス拒否タイマをセッ
トし、その後、本センタ側処理を終了する。一方、C2
≦2である場合(S820:YES)、S840へ移行
する。
【0094】S840では、通信開始要求があったか否
かを判断する。この処理は、図5中のS500の処理に
対するものである。ここで通信開始要求があったと判断
された場合(S840:YES)、S850へ移行す
る。一方、通信開始要求がないうちは(S840:N
O)、この判断処理を繰り返す。
【0095】S850では、書換装置20から送信され
るID情報を受信し、発呼元の電話番号を取得する。続
くS860では、受信したID情報と取得した電話番号
との対応関係を、データベースに予め記憶された書換装
置20のID情報と電話番号との対応関係と照合する。
これらS850及びS860の処理が、図2中のB2に
示した処理に相当する。
【0096】そして、次のS870では、照合結果に基
づき、対応関係が一致したか否かを判断する。ここで一
致したと判断された場合(S870:YES)、S89
0にて第1許可信号及び関数fを送信し、その後、S9
00へ移行する。この処理が、図2中のB3の処理に相
当する。一方、一致していないと判断された場合(S8
70:NO)、書き換えを許可しない旨を書換装置20
へ通知すると共に、変数C2をインクリメントし(S8
80)、その後、S800からの処理を繰り返す。
【0097】なお、ここで説明したS850〜S890
までの処理が「正当性判断手段」としての処理に相当す
る。したがって、これらの処理を実行するセンタ30の
CPUが「正当性判断手段」に相当する。第1許可信号
及び関数fを送信した場合、書換装置20は、第2許可
信号及び車両VINコードを送信してくるか(図6中の
S620)、あるいは書き換えの不許可を通知してくる
(S630)。
【0098】そこで、S900では、書換装置20の応
答があったか否かを判断する。ここで書換装置20の応
答があったと判断された場合(S900:YES)、図
8中のS910へ移行する。一方、書換装置20の応答
がないうちは(S900:NO)、この判断処理を繰り
返す。
【0099】S910では、その応答が不許可の通知か
否かを判断する。ここで不許可の通知であった場合(S
910:YES)、図7中のS800へ移行する。一
方、不許可の通知でない場合(S910:NO)、すな
わち第2許可信号及び車両VINコードが送信された場
合には、S920へ移行する。
【0100】S920では、送信された車両VINコー
ドに基づき車両の判別を行い、更新履歴のデータベース
を参照する。そして、次のS930では、参照結果に基
づき、制御情報を書き換える必要があるか否かを判断す
る。これらS920及びS930の処理が図2中のB1
2の処理に相当する。ここで書き換えの必要があると判
断された場合(S930:YES)、S950へ移行す
る。一方、書き換えの必要がないと判断された場合(S
930:NO)、S940にて書き換え済みを示す情報
を送信し、その後、本センタ側処理を終了する。
【0101】S950では、変更データを検索して読み
出し、読み出した変更データを書換装置20へ送信す
る。この処理が、図2中のB13の処理に相当する。そ
の後、書換装置20からは、上述したように正常終了の
通知(図6中のS700)あるいは異常終了の通知(S
710)がなされる。
【0102】したがって、S960では、書換装置20
からの終了通知があったか否かを判断する。ここで終了
通知があったと判断された場合(S960:YES)、
S970へ移行する。一方、終了通知がないうちは(S
960:NO)、この判断処理を繰り返す。
【0103】S970では、終了通知が正常終了の通知
か否かを判断する。ここで正常終了の通知であると判断
された場合(S970:YES)、S980にて更新履
歴のデータベースを更新し、その後、本センタ側処理を
終了する。一方、正常終了の通知でないと判断された場
合(S970:NO)、すなわち異常終了の通知であっ
た場合には、S950からの処理を繰り返す。
【0104】次に、本実施例の制御情報書換システム1
の発揮する効果を説明する。なお、ここでの説明に対す
る理解を容易にするため、最初に従来の問題点を簡単に
説明する。従来は図9に示したように、書換装置200
の正当性を、ECU101〜104のみで判断してい
た。そして、この判断は、書換装置200に予め記憶さ
れたアクセス情報としての関数fに基づく通信開始処理
(図10中のb1〜b7)によって行われる。そのた
め、書換装置200又は書換装置200内部の情報が盗
まれた場合、アクセス情報が盗まれるため、不正な制御
情報の書き換えを防止することができなかった。
【0105】これに対して、本実施例の制御情報書換シ
ステム1では、センタ30にアクセス情報としての関数
fを記憶しておき、センタ30が書換装置20を正当な
ものとして判断してはじめて、センタ30から書換装置
20へ関数fが送信される(図2中のB2,B3)。し
たがって、書換装置20又は書換装置20内部の情報が
盗まれた場合であっても、書換装置20にはECU11
〜14へのアクセス情報が記憶されていないため、セン
タ30からアクセス情報を得ることができなければ、E
CU11〜14の制御情報を書き換えることはできな
い。
【0106】また、センタ30は、書換装置20にユニ
ークに割り振られたID情報と電話回線を介してデータ
通信を行う際の書換装置20側の電話番号とを対応させ
て記憶したデータベースを有している。そして、書換装
置20からID情報を取得すると共に発呼元の電話番号
を取得する(図7中のS850)。このIDと電話番号
との対応関係がデータベースに記憶された対応関係と一
致している場合に(S860,S870:YES)、セ
ンタ30は書換装置20が正当なものであると判断し、
アクセス情報である関数fを送信する(S890)。例
えば正規の作業場所以外からセンタ30との間に回線を
接続した場合、センタ30の取得する電話番号は予め決
められた電話番号でなくなる。そのため、ID情報と対
応せず、センタ30からアクセス情報を得ることはでき
ない。結果として、ECU11〜14の制御情報を書き
換えることはできない。
【0107】さらに、ID情報と電話番号との対応関係
にて書換装置20の正当性を判断するため、複数の書換
装置20がある場合に、書換装置20毎に、その正当性
を判断できる。以上のように、本実施例の制御情報書換
システム1によれば、書換装置20又は書換装置20内
部の情報が盗まれた場合であっても、ECU11〜14
の制御情報が不正に書き換えられることを確実に防止で
きる。
【0108】そして、本実施例の制御情報書換システム
1では、センタ30が最初に書換装置20の正当性を判
断し、続いてECU11〜14が書換装置20の正当性
を判断する。これら2段階のチェックのいずれにおいて
も、書換装置20が「正当でない」と連続して3回判断
された場合、10分間のアクセス拒否を行うようにし
た。
【0109】すなわち、ECU11〜14では、書換装
置20を正当でないと判断すると(図4中のS380:
NO)変数C1をインクリメントし(S410)、変数
C1が「2」よりも大きくなると(図3中のS330:
NO)、すなわち3回連続して「正当でない」との判断
がなされると、アクセス拒否タイマを設定する(S34
0)。これによって、タイマが「0」となるまで書換装
置20のアクセスを拒否する(S310:NO)。
【0110】一方、センタ30でも同様に、書換装置2
0を正当でないと判断すると(図7中のS870:N
O)、変数C2をインクリメントしていき(S88
0)、変数C2が「2」よりも大きくなると(S82
0:NO)、すなわち3回連続して「正当でない」との
判断がなされると、アクセス拒否タイマを設定する(S
830)。これによって、タイマが「0」となるまで書
換装置20のアクセスを拒否する(S800:NO)。
【0111】その結果、不正な情報を用いてセンタ30
やECU11〜14を書換装置20からアクセスしよう
としても、連続して何度もアクセスすることができない
ため、本実施例では3回続けて不正なアクセスを行えば
10分間アクセスができなくなるため、制御情報の書き
換え防止に有効である。
【0112】また、本実施例の制御情報書換システム1
では、センタ30が制御情報の変更データを記憶してい
る。すなわち、従来のように書換装置20に変更データ
を記憶しておかないため、書換装置20又は書換装置2
0内部の情報が盗まれた場合であっても、変更データが
外部に漏れる可能性がない。
【0113】そして、センタ30は、ECU11〜14
からの第2許可信号が送信されてきたことを一つの条件
として(S910:NO)変更データを送信する(S9
50)。すなわち、ECU11〜14にて書換装置20
が正当であると判断されたことを条件として変更データ
を送信する。したがって、変更データが外部に漏れる可
能性をさらに低減させている。
【0114】さらに、ECU11〜14は、書換装置2
0を正当であると判断すると(図4中のS380:YE
S)、上述した第2許可信号に加え、車両10を特定可
能な車両VINコードを送信する(S390)。センタ
30は、各車両10のECU11〜14に記憶された制
御情報更新履歴のデータベースを有しており、上述した
ECU11〜14からの車両VINコードに基づき、車
両10を判別しこのデータベースを参照して(図8中の
S920)制御情報の書き換えの必要性を判断する(S
930)。そして、書き換えの必要がある場合に(S9
30:YES)変更データを送信する(S950)。
【0115】従来は、過去にECU11〜14の制御情
報が書き換えられているか否かを判断できない状況があ
った。そのため、制御情報のバージョンアップの履歴が
ない場合には、既に制御情報の書き換えが行われている
にもかかわらず、再度制御情報の書き換えを行うという
ような無駄な制御情報の書き換えが行われていた。この
ような場合、無駄な作業時間を要するだけでなく、例え
ば制御情報の記憶にEEPROMを用いている場合、書
き換え可能回数が制限されるため、無駄な書き換えによ
って必要な書き換えができなくなるおそれもあった。
【0116】これに対して、本実施例では、上述したよ
うにセンタ30が各車両10の制御情報の更新履歴を管
理するため、無駄な制御情報の書き換えが行われない。
その結果、無駄な作業時間がなくなり、また、無駄な書
き換えによって必要な書き換えができなくなることもな
くなる。
【0117】さらにまた、本実施例の制御情報書換シス
テム1のセンタ30では、ECU11〜14から書換装
置20を経由して書き換えの正常終了が通知されると
(図8中のS970:YES)、自動的に制御情報の更
新履歴のデータベースを更新する(S980)。したが
って、作業者がマニュアル操作でデータベースを更新す
る必要がなく便利である。
【0118】また、本実施例の制御情報書換システム1
の書換装置20では、アクセス情報としての関数fが必
要なくなると(図6中のS650:NO,S690:Y
ES)、速やかにそのアクセス情報である関数fを抹消
する(S660,S700)。そのため、センタ30か
ら書換装置20へ送信されたアクセス情報としての関数
fが書換装置20から盗まれる可能性を低減させること
ができる。
【0119】以上、本発明はこのような実施例に何等限
定されるものではなく、本発明の主旨を逸脱しない範囲
において種々なる形態で実施し得る。 (1)上記実施例においては、センタ30が書換装置2
0から発呼され、その後、センタ30と書換装置20と
の間にデータ通信可能状態が確立されると、センタ30
は、対応情報として発呼元の電話番号を取得し、書換装
置20から送信される識別情報としてのID情報との対
応によって、書換装置20の正当性を判断していた。
【0120】これに対して、センタ30が書換装置20
のID情報とパスワードとを対応させたデータベースを
有する構成とし、書換装置20は、作業者によって入力
されるパスワードを、上述したID情報と共に送信する
構成としてもよい。この場合、パスワードが「対応情
報」に相当することになり、センタ30は、書換装置2
0から送信されるID情報とパスワードとの対応によっ
て、書換装置20の正当性を判断する。
【0121】また、上記実施例では、書換装置20に予
めID情報が記憶されていたが、ID情報も、パスワー
ドと同様に利用者から入力されるようにしてもよい。こ
のようにすれば、書換装置20又は書換装置20内部の
情報が盗まれた場合であっても、パスワード、あるい
は、ID情報及びパスワードが分からないため、センタ
30からアクセス情報を得ることはできず、上記実施例
と同様に制御情報の不正な書き換えを防止することがで
きる。
【0122】ただし、ID情報やパスワードが何らか別
のルートで盗まれる可能性もあるため、上記実施例のよ
うに書換装置20の設置場所に関連する電話番号を対応
情報とすることがより好ましい。不正な書き換えは正規
の作業現場では行われないためである。
【0123】(2)また、書換装置20がセンタ30か
らアクセス情報を取得した後、センタ30と書換装置2
0との間のデータ通信を一時的に終了することが考えら
れる。例えば、図2中のB1〜B4の通信処理が終了し
た後に一旦データ通信を終了し、B11以降の処理を行
う際に、書換装置20とセンタ30との間にデータ通信
可能状態を再度確立することが考えられる。
【0124】ただし、書換装置20に送信されたアクセ
ス情報が盗まれ、別の書換装置を用い、このアクセス情
報を使用してECU11〜14がアクセスされる可能性
がある。したがって、一連の書き換え処理(図2に示す
B1〜B18の処理)が終了するまで、センタ30と書
換装置20がデータ通信可能状態となっていることを書
き換えの条件とするとよい。
【0125】具体的には次のように構成することが考え
られる。それは、書換装置20がタイマ割込処理などに
よって定期的にセンタ30へ応答要求を送信し、センタ
30が応答を行う構成とする。このとき、一連の書き換
え処理が完了する前にセンタ30からの応答がなくなっ
た場合、書換装置20がECU11〜14の書き換えを
行わないようにする。このようにすれば、盗んだアクセ
ス情報を用いて別の書換装置からECUをアクセスする
ことができなくなる。
【図面の簡単な説明】
【図1】実施例の制御情報書換システムの構成を示すブ
ロック図である。
【図2】実施例における書き換え処理の概要を示す説明
図である。
【図3】ECU側処理の前半部分を示すフローチャート
である。
【図4】ECU側処理の後半部分を示すフローチャート
である。
【図5】書換装置側処理の前半部分を示すフローチャー
トである。
【図6】書換装置側処理の後半部分を示すフローチャー
トである。
【図7】センタ側処理の前半部分を示すフローチャート
である。
【図8】センタ側処理の後半部分を示すフローチャート
である。
【図9】従来の制御情報書換システムの構成を示すブロ
ック図である。
【図10】従来の書き換え処理の概要を示す説明図であ
る。
【符号の説明】
1…制御情報書換システム 11,12,13,14…ECU 15…ネットワーク回線 16…車両ダイアグコネクタ 20…書換装置 30…センタ 40…電話回線網
───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.7 識別記号 FI テーマコート゛(参考) H04L 29/08 H04L 13/00 307A

Claims (73)

    【特許請求の範囲】
  1. 【請求項1】車両を制御するために車載され、電気的に
    書き換え可能な不揮発性メモリに前記車両制御のための
    制御情報を記憶した電子制御装置と、 前記制御情報を書き換えるための書換装置とを備え、 前記書換装置は、所定のアクセス情報を用いた通信開始
    処理を前記電子制御装置との間で実行し、 一方、前記電子制御装置は、前記通信開始処理によって
    前記書換装置の正当性を判断し、当該書換装置を正当な
    ものであると判断すると、前記書換装置から送信される
    変更データに基づき前記制御情報の一部又は全部を書き
    換える制御情報書換システムにおいて、 さらに、前記書換装置との間でデータ通信を行うセンタ
    を備え、 前記センタは、 前記所定のアクセス情報及び前記書換装置の判別情報を
    記憶した記憶手段と、 前記書換装置とのデータ通信において、当該書換装置か
    らの情報を取得し、当該取得した情報が前記記憶手段に
    記憶された判別情報と一致している場合は、前記記憶手
    段に記憶された前記アクセス情報を前記書換装置へ送信
    し、一方、一致していない場合は、前記アクセス情報を
    前記書換装置へ送信しない正当性判断手段とを有するこ
    とを特徴とする電子制御装置の制御情報書換システム。
  2. 【請求項2】車両を制御するために車載され、電気的に
    書き換え可能な不揮発性メモリに前記車両制御のための
    制御情報を記憶した電子制御装置と、 前記制御情報を書き換えるための書換装置とを備え、 前記書換装置は、所定のアクセス情報を用いた通信開始
    処理を前記電子制御装置との間で実行し、 一方、前記電子制御装置は、前記通信開始処理によって
    前記書換装置の正当性を判断し、当該書換装置を正当な
    ものであると判断すると、前記書換装置から送信される
    変更データに基づき前記制御情報の一部又は全部を書き
    換える制御情報書換システムにおいて、 さらに、前記書換装置との間でデータ通信を行うセンタ
    を備え、 前記センタは、 前記所定のアクセス情報及び、前記書換装置の識別情報
    と当該識別情報に対応する対応情報とからなる判別情報
    を記憶した記憶手段と、 前記書換装置とのデータ通信において、当該書換装置か
    らの識別情報及び対応情報を取得し、当該取得した情報
    の対応関係が前記記憶手段に記憶された判別情報と一致
    している場合は、前記記憶手段に記憶された前記アクセ
    ス情報を前記書換装置へ送信し、一方、一致していない
    場合は、前記アクセス情報を前記書換装置へ送信しない
    正当性判断手段とを有することを特徴とする電子制御装
    置の制御情報書換システム。
  3. 【請求項3】請求項1又は2に記載の制御情報書換シス
    テムにおいて、 前記書換装置は、前記センタから取得した前記アクセス
    情報に基づく正当性判断情報を前記電子制御装置に送信
    し、 一方、前記電子制御装置は、前記書換装置から送信され
    る正当性判断情報に基づき、前記書換装置の正当性を判
    断することを特徴とする電子制御装置の制御情報書換シ
    ステム。
  4. 【請求項4】請求項3に記載の制御情報書換システムに
    おいて、 前記正当性判断情報は、前記電子制御装置から送信され
    る所定データを前記アクセス情報を基に変換した情報で
    あることを特徴とする電子制御装置の制御情報書換シス
    テム。
  5. 【請求項5】請求項4に記載の制御情報書換システムに
    おいて、 前記書換装置は、前記電子制御装置に記憶された関数F
    に対応する関数fを前記アクセス情報として前記センタ
    から取得し、前記所定データとしての所定値rに対する
    関数値f(r)を、前記正当性判断情報として、前記電
    子制御装置に送信し、 一方、電子制御装置は、前記書換装置から送信される関
    数値f(r)に対する関数値F(f(r))が所定値r
    に等しければ、前記書換装置を正当なものであると判断
    することを特徴とする電子制御装置の制御情報書換シス
    テム。
  6. 【請求項6】請求項5に記載の制御情報書換システムに
    おいて、 前記所定値rは、前記電子制御装置にて生成される乱数
    であることを特徴とする電子制御装置の制御情報書換シ
    ステム。
  7. 【請求項7】請求項1〜6のいずれかに記載の制御情報
    書換システムにおいて、 前記電子制御装置は、前記書換装置を正当なものでない
    と所定回数判断すると、前記書換装置からのアクセスを
    一定時間拒否することを特徴とする電子制御装置の制御
    情報書換システム。
  8. 【請求項8】請求項1〜7のいずれかに記載の制御情報
    書換システムにおいて、 前記電子制御装置は、前記書換装置を正当なものである
    と判断すると、前記書換装置からの前記変更データの送
    信待ち状態になることを特徴とする電子制御装置の制御
    情報書換システム。
  9. 【請求項9】請求項1〜8のいずれかに記載の制御情報
    書換システムにおいて、 前記判別情報の少なくとも一部は、前記センタとのデー
    タ通信可能状態が確立される毎に、利用者によって前記
    書換装置へ入力され、 前記書換装置は、前記利用者によって入力された情報を
    前記センタへ送信することを特徴とする電子制御装置の
    制御情報書換システム。
  10. 【請求項10】請求項1〜8のいずれかに記載の制御情
    報書換システムにおいて、 前記センタと前記書換装置との間に電話回線を介してデ
    ータ通信可能状態が確立されるようになっており、 前記センタは、前記データ通信可能状態が確立される
    と、前記書換装置側の電話番号を、前記判別情報又は前
    記判別情報の一部として、取得することを特徴とする電
    子制御装置の制御情報書換システム。
  11. 【請求項11】請求項1〜10のいずれかに記載の制御
    情報書換システムにおいて、 前記センタは、前記正当性判断手段にて前記判別情報の
    不一致が所定回数判断されると、前記書換装置からのア
    クセスを一定時間拒否することを特徴とする電子制御装
    置の制御情報書換システム。
  12. 【請求項12】請求項1〜11のいずれかに記載の制御
    情報書換システムにおいて、 前記センタは、さらに、前記制御情報の変更データを記
    憶する変更データ記憶手段を有していることを特徴とす
    る電子制御装置の制御情報書換システム。
  13. 【請求項13】請求項12に記載の制御情報書換システ
    ムにおいて、 前記センタは、前記変更データ記憶手段に記憶された変
    更データを自動的に前記書換装置へ送信することを特徴
    とする電子制御装置の制御情報書換システム。
  14. 【請求項14】請求項13に記載の制御情報書換システ
    ムにおいて、 前記センタは、前記電子制御装置にて前記書換装置が正
    当であると判断された場合に、前記変更データ記憶手段
    に記憶された変更データを前記書換装置へ送信すること
    を特徴とする電子制御装置の制御情報書換システム。
  15. 【請求項15】請求項13又は14に記載の制御情報書
    換システムにおいて、 前記センタは、前記変更データを特定するためのデータ
    特定情報が前記書換装置によって送信されると、当該デ
    ータ特定情報に基づき、前記変更データ記憶手段に記憶
    された変更データの中から該当する変更データを選択し
    て送信することを特徴とする電子制御装置の制御情報書
    換システム。
  16. 【請求項16】請求項15に記載の制御情報書換システ
    ムにおいて、 前記データ特定情報は、前記電子制御装置によって前記
    書換装置へ送信されるものであることを特徴とする電子
    制御装置の制御情報書換システム。
  17. 【請求項17】請求項16に記載の制御情報書換システ
    ムにおいて、 前記データ特定情報は、前記電子制御装置によって前記
    書換装置が正当であると判断された場合に送信されるこ
    とを特徴とする電子制御装置の制御情報書換システム。
  18. 【請求項18】請求項15〜17のいずれかに記載の制
    御情報書換システムにおいて、 前記データ特定情報には、車両を特定するための各車両
    に固有の車両情報又は前記電子制御装置を特定するため
    の前記電子制御装置に固有の装置情報の少なくともいず
    れか一方が含まれることを特徴とする電子制御装置の制
    御情報書換システム。
  19. 【請求項19】請求項1〜18のいずれかに記載の制御
    情報書換システムにおいて、 前記センタは、さらに、前記車両に係る前記制御情報の
    更新履歴を記憶する更新履歴記憶手段を有していること
    を特徴とする電子制御装置の制御情報書換システム。
  20. 【請求項20】請求項19に記載の制御情報書換システ
    ムにおいて、 前記センタは、前記車両に係る更新履歴を特定するため
    の履歴特定情報が前記書換装置によって送信されると、
    前記更新履歴記憶手段に記憶された更新履歴を参照し、
    前記履歴特定情報に基づいて当該車両における前記制御
    情報の書き換えの必要性を判断することを特徴とする電
    子制御装置の制御情報書換システム。
  21. 【請求項21】請求項20に記載の制御情報書換システ
    ムにおいて、 前記変更データ記憶手段を備える構成を前提として、 前記センタは、前記制御情報の書き換えが必要であると
    判断すると、前記変更データ記憶手段に記憶された変更
    データを前記書換装置へ送信することを特徴とする電子
    制御装置の制御情報書換システム。
  22. 【請求項22】請求項20又は21に記載の制御情報書
    換システムにおいて、 前記変更データ記憶手段を備える構成を前提として、 前記センタは、前記制御情報の書き換えが必要でないと
    判断すると、書き換えが必要でない旨を示す情報を前記
    書換装置へ送信することを特徴とする電子制御装置の制
    御情報書換システム。
  23. 【請求項23】請求項20〜22のいずれかに記載の制
    御情報書換システムにおいて、 前記履歴特定情報は、前記電子制御装置によって前記書
    換装置へ送信されるものであることを特徴とする電子制
    御装置の制御情報書換システム。
  24. 【請求項24】請求項23に記載の制御情報書換システ
    ムにおいて、 前記履歴特定情報は、前記電子制御装置によって前記書
    換装置が正当であると判断された場合に送信されること
    を特徴とする電子制御装置の制御情報書換システム。
  25. 【請求項25】請求項20〜24のいずれかに記載の制
    御情報書換システムにおいて、 前記履歴特定情報には、車両を特定するための各車両に
    固有の車両情報又は前記電子制御装置を特定するための
    前記電子制御装置に固有の装置情報の少なくともいずれ
    か一方が含まれることを特徴とする電子制御装置の制御
    情報書換システム。
  26. 【請求項26】請求項19〜25のいずれかに記載の制
    御情報書換システムにおいて、 前記センタは、前記電子制御装置にて前記制御情報の書
    き換えが完了すると、前記更新履歴記憶手段に記憶され
    た、当該電子制御装置が搭載された車両に対する前記更
    新履歴を更新することを特徴とする電子制御装置の制御
    情報書換システム。
  27. 【請求項27】請求項26に記載の制御情報書換システ
    ムにおいて、 前記センタは、前記電子制御装置にて前記制御情報の書
    き換えが完了したか否かを、前記書換装置からの情報に
    基づいて判断することを特徴とする電子制御装置の制御
    情報書換システム。
  28. 【請求項28】請求項1〜27のいずれかに記載の制御
    情報書換システムにおいて、 前記書換装置は、前記電子制御装置にて前記制御情報の
    書き換えが完了すると、前記所定のアクセス情報を抹消
    することを特徴とする電子制御装置の制御情報書換シス
    テム。
  29. 【請求項29】請求項1〜28のいずれかに記載の制御
    情報書換システムにおいて、 前記書換装置は、前記センタとの間でデータ通信可能状
    態が確立された後、前記電子制御装置にて前記制御情報
    の書き換えが完了する前に前記センタとの間のデータ通
    信が不能となった場合、前記制御情報の書き換えを中止
    することを特徴とする電子制御装置の制御情報書換シス
    テム。
  30. 【請求項30】車両を制御するために車載され、電気的
    に書き換え可能な不揮発性メモリに前記車両制御のため
    の制御情報を記憶した電子制御装置と、前記制御情報を
    書き換えるための書換装置とを備え、前記書換装置は、
    所定のアクセス情報を用いた通信開始処理を前記電子制
    御装置との間で実行し、一方、前記電子制御装置は、前
    記通信開始処理によって前記書換装置の正当性を判断
    し、当該書換装置を正当なものであると判断すると、前
    記書換装置から送信される変更データに基づき前記制御
    情報の一部又は全部を書き換える制御情報書換システム
    に用いられ、 前記書換装置との間でデータ通信を行うセンタであっ
    て、 前記所定のアクセス情報及び前記書換装置の判別情報を
    記憶した記憶手段と、 前記書換装置とのデータ通信において、当該書換装置か
    らの情報を取得し、当該取得した情報が前記記憶手段に
    記憶された判別情報と一致している場合は、前記記憶手
    段に記憶された前記アクセス情報を前記書換装置へ送信
    し、一方、一致していない場合は、前記アクセス情報を
    前記書換装置へ送信しない正当性判断手段とを備えてい
    ることを特徴とするセンタ。
  31. 【請求項31】車両を制御するために車載され、電気的
    に書き換え可能な不揮発性メモリに前記車両制御のため
    の制御情報を記憶した電子制御装置と、前記制御情報を
    書き換えるための書換装置とを備え、前記書換装置は、
    所定のアクセス情報を用いた通信開始処理を前記電子制
    御装置との間で実行し、一方、前記電子制御装置は、前
    記通信開始処理によって前記書換装置の正当性を判断
    し、当該書換装置を正当なものであると判断すると、前
    記書換装置から送信される変更データに基づき前記制御
    情報の一部又は全部を書き換える制御情報書換システム
    に用いられ、 前記書換装置との間でデータ通信を行うセンタであっ
    て、 前記所定のアクセス情報及び、前記書換装置の識別情報
    と当該識別情報に対応する対応情報とからなる判別情報
    を記憶した記憶手段と、 前記書換装置とのデータ通信において、当該書換装置か
    らの識別情報及び対応情報を取得し、当該取得した情報
    の対応関係が前記記憶手段に記憶された判別情報と一致
    している場合は、前記記憶手段に記憶された前記アクセ
    ス情報を前記書換装置へ送信し、一方、一致していない
    場合は、前記アクセス情報を前記書換装置へ送信しない
    正当性判断手段とを備えていることを特徴とするセン
    タ。
  32. 【請求項32】請求項30又は31に記載のセンタにお
    いて、 前記書換装置との間に電話回線を介してデータ通信可能
    状態が確立されるようになっており、 前記データ通信可能状態が確立されると、前記書換装置
    側の電話番号を前記判別情報又は前記判別情報の一部と
    して取得することを特徴とするセンタ。
  33. 【請求項33】請求項30〜32のいずれかに記載のセ
    ンタにおいて、 前記正当性判断手段にて前記判別情報の不一致が所定回
    数判断されると、前記書換装置からのアクセスを一定時
    間拒否することを特徴とするセンタ。
  34. 【請求項34】請求項30〜33のいずれかに記載のセ
    ンタにおいて、 さらに、前記制御情報の変更データを記憶する変更デー
    タ記憶手段を備えていることを特徴とするセンタ。
  35. 【請求項35】請求項34に記載のセンタにおいて、 前記変更データ記憶手段に記憶された変更データを自動
    的に前記書換装置へ送信することを特徴とするセンタ。
  36. 【請求項36】請求項34又は35に記載のセンタにお
    いて、 前記電子制御装置にて前記書換装置が正当であると判断
    された場合に、前記変更データ記憶手段に記憶された変
    更データを前記書換装置へ送信することを特徴とするセ
    ンタ。
  37. 【請求項37】請求項34〜36のいずれかに記載のセ
    ンタにおいて、 前記書換装置によって前記変更データを特定するための
    データ特定情報が送信されると、当該データ特定情報に
    基づき、前記変更データ記憶手段に記憶された変更デー
    タの中から該当する変更データを選択して送信すること
    を特徴とするセンタ。
  38. 【請求項38】請求項37に記載のセンタにおいて、 前記データ特定情報は、前記電子制御装置によって前記
    書換装置へ送信されるものであることを特徴とするセン
    タ。
  39. 【請求項39】請求項38に記載のセンタにおいて、 前記データ特定情報は、前記電子制御装置によって前記
    書換装置が正当であると判断された場合に送信されるこ
    とを特徴とするセンタ。
  40. 【請求項40】請求項30〜39のいずれかに記載のセ
    ンタにおいて、 さらに、前記車両に係る前記制御情報の更新履歴を記憶
    する更新履歴記憶手段を備えていることを特徴とするセ
    ンタ。
  41. 【請求項41】請求項40に記載のセンタにおいて、 前記車両に係る更新履歴を特定するための履歴特定情報
    が前記書換装置によって送信されると、前記更新履歴記
    憶手段に記憶された更新履歴を参照し、前記履歴特定情
    報に基づいて当該車両における前記制御情報の書き換え
    の必要性を判断することを特徴とするセンタ。
  42. 【請求項42】請求項41に記載のセンタにおいて、 前記変更データ記憶手段を備えていることを前提とし
    て、 前記制御情報の書き換えが必要であると判断すると、前
    記変更データ記憶手段に記憶された変更データを前記書
    換装置へ送信することを特徴とするセンタ。
  43. 【請求項43】請求項41又は42に記載のセンタにお
    いて、 前記変更データ記憶手段を備えていることを前提とし
    て、 前記制御情報の書き換えが必要でないと判断すると、書
    き換えが必要でない旨を示す情報を前記書換装置へ送信
    することを特徴とするセンタ。
  44. 【請求項44】請求項41〜43のいずれかに記載のセ
    ンタにおいて、 前記履歴特定情報は、前記電子制御装置によって前記書
    換装置へ送信されるものであることを特徴とするセン
    タ。
  45. 【請求項45】請求項44に記載のセンタにおいて、 前記履歴特定情報は、前記電子制御装置によって前記書
    換装置が正当であると判断された場合に送信されること
    を特徴とするセンタ。
  46. 【請求項46】請求項40〜45のいずれかに記載のセ
    ンタにおいて、 前記電子制御装置にて前記制御情報の書き換えが完了す
    ると、前記更新履歴記憶手段に記憶された、当該電子制
    御装置が搭載された車両に対する前記更新履歴を更新す
    ることを特徴とするセンタ。
  47. 【請求項47】請求項46に記載のセンタにおいて、 前記電子制御装置にて前記制御情報の書き換えが完了し
    たか否かを、前記書換装置からの情報に基づいて判断す
    ることを特徴とするセンタ。
  48. 【請求項48】車両を制御するために車載され、電気的
    に書き換え可能な不揮発性メモリに前記車両制御のため
    の制御情報を記憶した電子制御装置と、前記制御情報を
    書き換えるための書換装置とを備え、前記電子制御装置
    は、前記書換装置から送信される変更データに基づき前
    記制御情報の一部又は全部を書き換える制御情報書換シ
    ステムに用いられ、 前記書換装置との間でデータ通信を行うセンタであっ
    て、 前記書換装置は、本装置から送信される前記制御情報の
    変更データを前記電子制御装置へ送信するようになって
    おり、 前記制御情報の変更データを記憶する変更データ記憶手
    段を備え、 前記書換装置によって前記変更データを特定するための
    データ特定情報が送信されると、当該データ特定情報に
    基づき、前記変更データ記憶手段に記憶された変更デー
    タの中から該当する変更データを選択することを特徴と
    するセンタ。
  49. 【請求項49】制御情報を書き換えるための書換装置
    と、前記書換装置との間でデータ通信を行うセンタと共
    に、制御情報書換システムを構成し、車両を制御するた
    めに車載され、電気的に書き換え可能な不揮発性メモリ
    に前記車両制御のための制御情報を記憶した電子制御装
    置であって、 前記センタは、所定のアクセス情報及び前記書換装置の
    判別情報を記憶しており、前記書換装置とのデータ通信
    において、当該書換装置からの情報を取得し、当該取得
    した情報が前記記憶手段に記憶された判別情報と一致し
    ている場合は、前記記憶手段に記憶された前記アクセス
    情報を前記書換装置へ送信し、一方、一致していない場
    合は、前記アクセス情報を前記書換装置へ送信しないよ
    うになっており、 前記センタから送信される前記所定のアクセス情報を用
    いた前記書換装置との通信開始処理によって前記書換装
    置の正当性を判断し、当該書換装置を正当なものである
    と判断すると、前記書換装置から送信される変更データ
    に基づき前記制御情報の一部又は全部を書き換えること
    を特徴とする電子制御装置。
  50. 【請求項50】制御情報を書き換えるための書換装置
    と、前記書換装置との間でデータ通信を行うセンタと共
    に、制御情報書換システムを構成し、車両を制御するた
    めに車載され、電気的に書き換え可能な不揮発性メモリ
    に前記車両制御のための制御情報を記憶した電子制御装
    置であって、 前記センタは、所定のアクセス情報及び、前記書換装置
    の識別情報と当該識別情報に対応する対応情報とからな
    る判別情報を記憶しており、前記書換装置とのデータ通
    信において、当該書換装置の識別情報及び対応情報を取
    得し、当該取得した情報の対応関係が前記記憶手段に記
    憶された判別情報と一致している場合は、前記記憶手段
    に記憶された前記アクセス情報を前記書換装置へ送信
    し、一方、一致していない場合は、前記アクセス情報を
    前記書換装置へ送信しないようになっており、 前記センタから送信される前記所定のアクセス情報を用
    いた前記書換装置との通信開始処理によって前記書換装
    置の正当性を判断し、当該書換装置を正当なものである
    と判断すると、前記書換装置から送信される変更データ
    に基づき前記制御情報の一部又は全部を書き換えること
    を特徴とする電子制御装置。
  51. 【請求項51】請求項49又は50に記載の電子制御装
    置において、 前記書換装置は、前記センタから取得した前記アクセス
    情報に基づく正当性判断情報を本装置に送信するように
    なっており、 前記書換装置から送信される前記正当性判断情報に基づ
    き、前記書換装置の正当性を判断することを特徴とする
    電子制御装置。
  52. 【請求項52】請求項51に記載の電子制御装置におい
    て、 前記正当性判断情報は、本装置が送信した所定データを
    前記書換装置が前記アクセス情報を基に変換したもので
    あることを特徴とする電子制御装置。
  53. 【請求項53】請求項52に記載の電子制御装置におい
    て、 前記書換装置は、本装置に記憶された関数Fに対応する
    関数fを前記アクセス情報として前記センタから取得
    し、前記所定データとしての所定値rに対する関数値f
    (r)を、前記正当性判断情報として、本装置へ送信す
    るようになっており、 前記書換装置から送信される関数値f(r)に対する関
    数値F(f(r))が前記送信した所定値rに等しけれ
    ば、前記書換装置を正当なものであると判断することを
    特徴とする電子制御装置。
  54. 【請求項54】請求項53に記載の電子制御装置におい
    て、 前記所定値rを、乱数として生成することを特徴とする
    電子制御装置。
  55. 【請求項55】請求項49〜54のいずれかに記載の電
    子制御装置において、 前記書換装置を正当なものでないと所定回数判断する
    と、前記書換装置からのアクセスを一定時間拒否するこ
    とを特徴とする電子制御装置。
  56. 【請求項56】請求項49〜55のいずれかに記載の電
    子制御装置において、 前記書換装置を正当なものであると判断すると、前記書
    換装置からの前記変更データの送信待ち状態になること
    を特徴とする電子制御装置。
  57. 【請求項57】請求項49〜56のいずれかに記載の電
    子制御装置において、 前記センタは、前記制御情報の変更データを記憶する変
    更データ記憶手段を備え、前記書換装置から送信される
    前記変更データを特定するためのデータ特定情報に基づ
    き、前記変更データ記憶手段に記憶された変更データを
    前記書換装置へ送信することを前提として、 前記データ特定情報を、前記書換装置へ送信することを
    特徴とする電子制御装置。
  58. 【請求項58】請求項57に記載の電子制御装置におい
    て、 前記書換装置を正当なものであると判断した場合に、前
    記データ特定情報を送信することを特徴とする電子制御
    装置。
  59. 【請求項59】請求項49〜58のいずれかに記載の電
    子制御装置において、 前記センタは、前記車両に係る前記制御情報の更新履歴
    を記憶する更新履歴記憶手段を備え、当該更新履歴記憶
    手段に記憶された更新履歴を参照し、前記書換装置から
    送信される前記更新履歴を特定するための履歴特定情報
    に基づき、前記制御情報の書き換えの必要性を判断する
    ことを前提として、 前記履歴特定情報を、前記書換装置へ送信することを特
    徴とする電子制御装置。
  60. 【請求項60】請求項59に記載の電子制御装置におい
    て、 前記書換装置を正当なものであると判断した場合に、前
    記履歴特定情報を送信することを特徴とする電子制御装
    置。
  61. 【請求項61】センタと、車両を制御するために車載さ
    れ、電気的に書き換え可能な不揮発性メモリに前記車両
    制御のための制御情報を記憶した電子制御装置と共に、
    制御情報書換システムを構成し、前記制御情報を書き換
    えるための書換装置であって、 前記センタは、所定のアクセス情報及び本装置の判別情
    報を記憶しており、本装置とのデータ通信において、本
    装置からの情報を取得し、当該取得した情報が前記記憶
    手段に記憶された判別情報と一致している場合は、前記
    記憶手段に記憶された前記アクセス情報を本装置へ送信
    し、一方、一致していない場合は、前記アクセス情報を
    本装置へ送信しないようになっており、 前記センタから前記アクセス情報が送信されると、当該
    アクセス情報を用いた前記電子制御装置との通信開始処
    理を実行し、前記電子制御装置によって本装置が正当で
    あると判断されると、前記制御情報の一部又は全部を書
    き換えるための変更データを前記電子制御装置へ送信す
    ることを特徴とする書換装置。
  62. 【請求項62】センタと、車両を制御するために車載さ
    れ、電気的に書き換え可能な不揮発性メモリに前記車両
    制御のための制御情報を記憶した電子制御装置と共に、
    制御情報書換システムを構成し、前記制御情報を書き換
    えるための書換装置であって、 前記センタは、所定のアクセス情報及び、本装置の識別
    情報と当該識別情報に対応する対応情報とからなる判別
    情報を記憶しており、本装置とのデータ通信において、
    本装置の識別情報及び対応情報を取得し、当該取得した
    情報の対応関係が前記記憶手段に記憶された判別情報と
    一致している場合は、前記記憶手段に記憶された前記ア
    クセス情報を本装置へ送信し、一方、一致していない場
    合は、前記アクセス情報を本装置へ送信しないようにな
    っており、 前記センタから前記アクセス情報が送信されると、当該
    アクセス情報を用いた前記電子制御装置との通信開始処
    理を実行し、前記電子制御装置によって本装置が正当で
    あると判断されると、前記制御情報の一部又は全部を書
    き換えるための変更データを前記電子制御装置へ送信す
    ることを特徴とする書換装置。
  63. 【請求項63】請求項61又は62に記載の書換装置に
    おいて、 前記電子制御装置は、本装置から送信される正当性判断
    情報に基づき、本装置の正当性を判断することを前提と
    して、 前記センタから取得した前記アクセス情報に基づく正当
    性判断情報を前記電子制御装置に送信することを特徴と
    する書換装置。
  64. 【請求項64】請求項63に記載の書換装置において、 前記正当性判断情報は、前記電子制御装置から送信され
    る所定データを前記アクセス情報を基に変換した情報で
    あることを特徴とする書換装置。
  65. 【請求項65】請求項64に記載の書換装置において、 前記電子制御装置は、前記所定データとして所定値rを
    送信し、その後、本装置から送信される関数値f(r)
    に対する関数値F(f(r))が前記所定値rに等しけ
    れば、本装置を正当なものであると判断することを前提
    として、 前記電子制御装置に記憶された関数Fに対応する関数f
    を前記アクセス情報として前記センタから取得し、前記
    電子制御装置から送信される所定値rに対する関数値f
    (r)を、前記正当性判断情報として、前記電子制御装
    置へ送信することを特徴とする書換装置。
  66. 【請求項66】請求項65に記載の書換装置において、 前記所定値rは、前記電子制御装置にて生成される乱数
    であることを特徴とする書換装置。
  67. 【請求項67】請求項61〜66のいずれかに記載の書
    換装置において、 前記判別情報の少なくとも一部は、前記センタとのデー
    タ通信可能状態が確立される毎に、利用者によって入力
    されるものであり、 前記利用者によって入力された情報を前記センタへ送信
    することを特徴とする書換装置。
  68. 【請求項68】請求項61〜67のいずれかに記載の書
    換装置において、 前記センタは、前記制御情報の変更データを記憶する変
    更データ記憶手段を備え、前記変更データ記憶手段に記
    憶された変更データを前記書換装置へ送信することを前
    提として、 前記変更データを特定するためのデータ特定情報を、前
    記センタへ送信することを特徴とする書換装置。
  69. 【請求項69】請求項68に記載の書換装置において、 前記データ特定情報は、前記電子制御装置から送信され
    るものであることを特徴とする書換装置。
  70. 【請求項70】請求項61〜69のいずれかに記載の書
    換装置において、 前記センタは、前記車両に係る前記制御情報の更新履歴
    を記憶する更新履歴記憶手段を備え、当該更新履歴記憶
    手段に記憶された更新履歴を参照し、前記制御情報の書
    き換えの必要性を判断することを前提として、 前記車両に係る更新履歴を特定するための履歴特定情報
    を、前記センタへ送信することを特徴とする書換装置。
  71. 【請求項71】請求項70に記載の書換装置において、 前記履歴特定情報は、前記電子制御装置から送信される
    ものであることを特徴とする書換装置。
  72. 【請求項72】請求項61〜71のいずれかに記載の書
    換装置において、 前記電子制御装置にて前記制御情報の書き換えが完了す
    ると、前記所定のアクセス情報を抹消することを特徴と
    する書換装置。
  73. 【請求項73】請求項61〜72のいずれかに記載の書
    換装置において、 前記センタとの間でデータ通信可能状態が確立された
    後、前記電子制御装置にて前記制御情報の書き換えが完
    了する前に前記センタとの間のデータ通信が不能となっ
    た場合、前記制御情報の書き換えを中止することを特徴
    とする書換装置。
JP2000373249A 1999-12-07 2000-12-07 電子制御装置の制御情報書換システム、当該システムに用いられるセンタ、電子制御装置、及び書換装置 Pending JP2001225706A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2000373249A JP2001225706A (ja) 1999-12-07 2000-12-07 電子制御装置の制御情報書換システム、当該システムに用いられるセンタ、電子制御装置、及び書換装置

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP34756299 1999-12-07
JP11-347562 1999-12-07
JP2000373249A JP2001225706A (ja) 1999-12-07 2000-12-07 電子制御装置の制御情報書換システム、当該システムに用いられるセンタ、電子制御装置、及び書換装置

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2004240687A Division JP3982524B2 (ja) 1999-12-07 2004-08-20 電子制御装置の制御情報書換システムに用いられる書換装置

Publications (1)

Publication Number Publication Date
JP2001225706A true JP2001225706A (ja) 2001-08-21

Family

ID=26578542

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000373249A Pending JP2001225706A (ja) 1999-12-07 2000-12-07 電子制御装置の制御情報書換システム、当該システムに用いられるセンタ、電子制御装置、及び書換装置

Country Status (1)

Country Link
JP (1) JP2001225706A (ja)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006146583A (ja) * 2004-11-19 2006-06-08 Denso Corp 電子制御装置及びその識別コード生成方法
JP2008276663A (ja) * 2007-05-07 2008-11-13 Denso Corp 車両制御装置及びそのデータ書換システム
JP2011148398A (ja) * 2010-01-21 2011-08-04 Denso Corp 車両用プログラム更新システム
JP2013026964A (ja) * 2011-07-25 2013-02-04 Denso Corp 車両用情報更新装置および車両用情報更新方法
JP2013112120A (ja) * 2011-11-28 2013-06-10 Denso Corp 車載通信システム
JP2014514203A (ja) * 2011-03-29 2014-06-19 ボルボ ラストバグナー アーベー 安全な修理データパッケージ
WO2015129352A1 (ja) * 2014-02-28 2015-09-03 日立オートモティブシステムズ株式会社 認証システム、車載制御装置
CN106458112A (zh) * 2014-11-12 2017-02-22 松下电器(美国)知识产权公司 更新管理方法、更新管理装置以及控制程序
US9906492B2 (en) 2013-03-11 2018-02-27 Hitachi Automotive Systems, Ltd. Gateway device, and service providing system
CN112181451A (zh) * 2019-07-03 2021-01-05 本田技研工业株式会社 信息处理装置、信息处理方法以及存储介质

Cited By (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006146583A (ja) * 2004-11-19 2006-06-08 Denso Corp 電子制御装置及びその識別コード生成方法
JP4534731B2 (ja) * 2004-11-19 2010-09-01 株式会社デンソー 電子制御装置及びその識別コード生成方法
JP2008276663A (ja) * 2007-05-07 2008-11-13 Denso Corp 車両制御装置及びそのデータ書換システム
JP4720781B2 (ja) * 2007-05-07 2011-07-13 株式会社デンソー 車両制御装置のデータ書換システム
US8306521B2 (en) 2007-05-07 2012-11-06 Denso Corporation Vehicle control apparatus with data reprogrammable via wireless communication network
JP2011148398A (ja) * 2010-01-21 2011-08-04 Denso Corp 車両用プログラム更新システム
US9558342B2 (en) 2011-03-29 2017-01-31 Volvo Lastvagnar Ab Secured repair data package
JP2014514203A (ja) * 2011-03-29 2014-06-19 ボルボ ラストバグナー アーベー 安全な修理データパッケージ
JP2013026964A (ja) * 2011-07-25 2013-02-04 Denso Corp 車両用情報更新装置および車両用情報更新方法
JP2013112120A (ja) * 2011-11-28 2013-06-10 Denso Corp 車載通信システム
US9906492B2 (en) 2013-03-11 2018-02-27 Hitachi Automotive Systems, Ltd. Gateway device, and service providing system
JP6078686B2 (ja) * 2014-02-28 2017-02-08 日立オートモティブシステムズ株式会社 認証システム、車載制御装置
WO2015129352A1 (ja) * 2014-02-28 2015-09-03 日立オートモティブシステムズ株式会社 認証システム、車載制御装置
US10095859B2 (en) 2014-02-28 2018-10-09 Hitachi Automotive Systems, Ltd. Authentication system and car onboard control device
CN106458112A (zh) * 2014-11-12 2017-02-22 松下电器(美国)知识产权公司 更新管理方法、更新管理装置以及控制程序
US10637657B2 (en) 2014-11-12 2020-04-28 Panasonic Intellectual Property Corporation Of America Update management method, update management system, and non-transitory recording medium
US11283601B2 (en) 2014-11-12 2022-03-22 Panasonic Intellectual Property Corporation Of America Update management method, update management system, and non-transitory recording medium
CN112181451A (zh) * 2019-07-03 2021-01-05 本田技研工业株式会社 信息处理装置、信息处理方法以及存储介质
JP2021009654A (ja) * 2019-07-03 2021-01-28 本田技研工業株式会社 情報処理装置、情報処理方法、及びプログラム
JP7125374B2 (ja) 2019-07-03 2022-08-24 本田技研工業株式会社 情報処理装置、情報処理方法、及びプログラム

Similar Documents

Publication Publication Date Title
EP1109085B1 (en) Control information rewriting system
US9728019B2 (en) Car control system
US6694235B2 (en) Vehicular relay device, in-vehicle communication system, failure diagnostic system, vehicle management device, server device and detection and diagnostic program
US7415332B2 (en) Method and system for vehicle component management, method and system for vehicle component management data update, and vehicle component management center
US20050125110A1 (en) Method of vehicle component control
US20080071546A1 (en) Selective vehicle component control
JP6696942B2 (ja) 車両保安システム及び車両保安方法
CN112104603B (zh) 车辆接口的访问权限控制方法、装置及系统
JP2001225706A (ja) 電子制御装置の制御情報書換システム、当該システムに用いられるセンタ、電子制御装置、及び書換装置
JP2013193598A (ja) 車両用認証装置、及び車両用認証システム
CN111762126A (zh) 车辆智能钥匙管理方法及车辆控制单元
JP2008084120A (ja) 電子制御装置
CN113569218B (zh) 一种车载账号授权方法及车载终端
JP4020520B2 (ja) 接続装置
JP3982524B2 (ja) 電子制御装置の制御情報書換システムに用いられる書換装置
CN112148312A (zh) 一种电子控制器的固件升级管理方法、装置、设备和介质
JP2006244164A (ja) ソフトウェア更新装置、ソフトウェア更新システム、ソフトウェア更新方法、および機器管理装置
US20210406361A1 (en) Method for securely updating control units
CN115116162A (zh) 数字钥匙删除方法、装置、设备、系统及存储介质
JP6470344B2 (ja) 制御装置、制御方法、及びコンピュータプログラム
CN112637849A (zh) 终端设备访问控制方法及装置和多媒体播控设备
JP3681577B2 (ja) 制御用表示装置、および、そのプログラムが記録された記録媒体
CN113799734B (zh) 一种车辆防盗系统的防盗匹配方法、装置、服务器及介质
JP4239703B2 (ja) 車両用通信システム、及び、車載装置
CN113946374A (zh) 一种防止车辆哨兵模式失效的控制方法、控制系统及车辆

Legal Events

Date Code Title Description
A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20040622

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20040820

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20040826

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20050610

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070806

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080321