JP2001265582A - 車両制御装置のためのメモリ書き換えシステム - Google Patents

車両制御装置のためのメモリ書き換えシステム

Info

Publication number
JP2001265582A
JP2001265582A JP2000074236A JP2000074236A JP2001265582A JP 2001265582 A JP2001265582 A JP 2001265582A JP 2000074236 A JP2000074236 A JP 2000074236A JP 2000074236 A JP2000074236 A JP 2000074236A JP 2001265582 A JP2001265582 A JP 2001265582A
Authority
JP
Japan
Prior art keywords
rewriting
security
ecu
memory
function
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2000074236A
Other languages
English (en)
Other versions
JP3954271B2 (ja
Inventor
Tetsuya Yashiki
哲也 屋敷
Masanori Matsuura
正典 松浦
Naohiko Mizuo
直彦 水尾
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Honda Motor Co Ltd
Original Assignee
Honda Motor Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Honda Motor Co Ltd filed Critical Honda Motor Co Ltd
Priority to JP2000074236A priority Critical patent/JP3954271B2/ja
Priority to CA2339536A priority patent/CA2339536C/en
Priority to US09/800,814 priority patent/US7132923B2/en
Priority to DE60108676T priority patent/DE60108676T2/de
Priority to EP01106564A priority patent/EP1134748B1/en
Priority to CN01111611.0A priority patent/CN1219671C/zh
Priority to BR0101193-6A priority patent/BR0101193A/pt
Publication of JP2001265582A publication Critical patent/JP2001265582A/ja
Priority to JP2007050510A priority patent/JP4340297B2/ja
Application granted granted Critical
Publication of JP3954271B2 publication Critical patent/JP3954271B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G11INFORMATION STORAGE
    • G11CSTATIC STORES
    • G11C16/00Erasable programmable read-only memories
    • G11C16/02Erasable programmable read-only memories electrically programmable
    • G11C16/06Auxiliary circuits, e.g. for writing into memory
    • G11C16/10Programming or data input circuits
    • G11C16/102External programming circuits, e.g. EPROM programmers; In-circuit programming or reprogramming; EPROM emulators

Landscapes

  • Storage Device Security (AREA)
  • Stored Programmes (AREA)
  • Combined Controls Of Internal Combustion Engines (AREA)

Abstract

(57)【要約】 【課題】車両制御装置のメモリに格納されたセキュリテ
ィに関する情報を書き換えることができるようにし、不
正の書き換えを防止する。 【解決手段】車両制御装置に搭載され、消去および書き
込みが可能なメモリ領域であって、該メモリ領域に対す
る書き換え許可を判断する第1のセキュリティ情報を格
納するメモリ領域と、車両制御装置に第2のセキュリテ
ィ情報を外部から転送する書き換え装置と、車両制御装
置に搭載され、前記第1のセキュリティ情報を消去し
て、書き換え装置から転送された第2のセキュリティ情
報を書き込む書き換え手段とを備える、車両制御装置の
ための書き換えシステムを提供する。書き換えのセキュ
リティ機能を実現する情報を書き換えることができるの
で、該情報が第三者に知られてしまった場合でも、セキ
ュリティ機能を回復させることができる。また、書き換
えシステムは、盗難防止システムと協調して動作するこ
とができる。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】この発明は、車載制御装置の
メモリに保存されたプログラムを、外部の書き換え装置
から転送される別のプログラムに書き換えるメモリ書き
換えシステムに関する。
【0002】
【従来の技術】現在、車両は、搭載された複数の電子制
御ユニット(以下、「ECU」という)により、空燃
比、燃料噴射量、エミッションなどのエンジンに関する
制御、パワーウィンドウ、エアバッグ、ABSなどの車
体に関する制御など、様々に制御されている。ECU
は、車両に搭載された様々なセンサによって感知された
車両の現在の状態および走行状況に基づいて、車両を様
々に制御する。
【0003】一方、車両に盗難防止システムが搭載され
ることがある。多くの盗難防止システムは、運転者がエ
ンジン始動時に使用したイグニションキーが正規のもの
かを電子的に判定し、正規のイグニションキーと判定し
たならば、車両動作を許可する信号をECUに転送す
る。ECUは、その許可信号を受信するまで、燃料噴射
を停止するなどの手法によりエンジンを始動させないよ
うにする。したがって、正規のイグニションキーではな
いと判定された場合には、不正な運転者とみなされ、車
両を動かすことができない。
【0004】ECUは、中央演算処理装置(CPU)、
実行するプログラムおよびデータを格納するROM(読
み取り専用メモリ)、実行時の作業領域を提供し演算結
果などを記憶するRAM(ランダムアクセスメモリ)、
各種センサからの信号を受け取り、およびエンジン各部
に制御信号を送る入出力インターフェースを備えてい
る。
【0005】上記ROMに、フラッシュメモリ、EEP
ROM、EPROMのような消去および書き込みが可能
なROMを使用して、必要に応じてプログラムを書き替
えることが行われている。特開昭63−223901号
公報には、外部装置からの要求によって、ECUを車両
に搭載したままで、ECUのEEPROMに格納された
プログラムを変更する方法が記載されている。
【0006】通常、ECUのROMに格納されたプログ
ラムを変更する機能には、外部装置からのアクセスに対
してセキュリティがかけられており、ユーザーおよびそ
の他の第三者がROMに格納されたプログラムおよびデ
ータを不正に書き換えることを防止している。特開平3
−238541号公報には、ROMに格納されたデータ
に基づくチェックデータを予め記憶しておき、車両の出
荷後、ECUが所定のタイミングでROMに格納された
データに基づく新たなチェックデータを作成し、予め記
憶されたチェックデータと比較して、一致していなけれ
ばデータの改ざんが行われたと判断し、警告灯を点灯さ
せる車両制御装置が記載されている。
【0007】上記のセキュリティを解除する「キー(K
ey)」は、自動車メーカーと契約した書き換え装置メ
ーカーにのみ公開されている。したがって、その自動車
メーカーによって認可された書き換え装置メーカーの書
き換え装置のみが、「キー」を使用してその自動車のE
CUのROMに格納されたデータを変更することができ
る。
【0008】プログラムの典型的な変更手順を簡単に述
べると、上記の「キー」は、通常何らかの関数で表さ
れ、書き換え装置およびECUに同じものが用意されて
いる。書き換え装置をECUに接続し、書き換え装置
は、自身が持っている関数(キー)を使用して、ECU
から送信された任意の数値に対する関数値を算出し、該
関数値をECUに送信する。同時に、ECUも、自身が
持っている関数(キー)を使用してその数値に対する関
数値を求める。ECUは、書き換え装置から受信された
関数値と、自身が求めた関数値とを比較し、一致すれば
セキュリティを解除する。こうして、書き換え装置は、
ROMに格納されたデータを書き換えることを許可され
る。一致しなければ、書き換え装置とECUの持つ関数
(キー)が異なっており、書き換え装置は正規のもので
はないと判断されてセキュリティは解除されず、書き換
え装置はROMに格納されたデータを書き換えることは
できない。
【0009】
【発明が解決しようとする課題】しかし、従来、セキュ
リティを解除するキーは、ECUに搭載されたROMの
変更不可能なメモリ領域に格納されており、車両が出荷
された後に書き換え装置を使用して変更することはでき
なかった。このため、万が一このキーがユーザーおよび
その他の第三者に知られてしまった場合、正規の書き換
え装置でなくてもROMのデータを書き換えることがで
きるようになり、セキュリティが機能しなくなるという
事態が生じる。
【0010】一方、車両に盗難防止システムが搭載され
ている場合、盗難防止システムを稼働するのに使用され
るプログラムが書き換えられると、盗難防止システムが
無力化されるおそれがある。したがって、ROMに格納
されたデータおよびプログラムを書き換えるシステムに
は、盗難防止システム以上のセキュリティが要求され
る。
【0011】この発明は、上記の問題点を解決するもの
であり、その目的は、車両の出荷後においても、ECU
のROMに格納されたプログラムまたはデータの改ざん
を防止するセキュリティを解除するためのキーを変更す
ることができる車両制御装置のためのメモリ書き換えシ
ステムを提供することである。こうして、キーがメーカ
ー以外の第三者に知られてしまった場合でも、書き換え
装置によってメーカーがキーを変更することができるの
で、セキュリティ機能を容易に回復させることができ
る。
【0012】この発明の他の目的は、盗難防止システム
と協調して動作することができる車両制御装置のための
メモリ書き換えシステムを提供することである。こうす
ることにより、盗難防止システムと協調したセキュリテ
ィ機能を確保することができる。
【0013】
【課題を解決するための手段】上記の課題を解決するた
め、請求項1の車両制御装置のためのメモリ書き換えシ
ステムは、車両制御装置に搭載され、消去および書き込
みが可能なメモリ領域であって、該メモリ領域に対する
書き換え許可を判断する第1のセキュリティ情報を格納
するメモリ領域と、前記車両制御装置に第2のセキュリ
ティ情報を外部から転送する書き換え装置と、前記車両
制御装置に搭載され、前記第1のセキュリティ情報を消
去して、前記書き換え装置から転送された第2のセキュ
リティ情報を書き込む書き換え手段とを備えるという構
成をとる。
【0014】請求項1の発明によると、車両制御装置の
メモリに記憶された情報が不正に書き換えられることを
防止する書き換え許可を判断するセキュリティ情報が第
三者に知られてしまった場合でも、書き換え装置により
このセキュリティ情報を変更することができるので、不
正なメモリ書き換えの拡大を防止することができる。
【0015】請求項2の発明は、請求項1の車両制御装
置のためのメモリ書き換えシステムにおいて、第2のセ
キュリティ情報の書き込みプログラムによって実行さ
れ、該プログラムが、前記車両制御装置に搭載された消
去および書き込みが不可能なメモリ領域に格納されてい
るという構成をとる。
【0016】請求項2の発明によると、セキュリティ情
報を書き換えるプログラムが、変更不可能なメモリに格
納されており、第三者によって改ざんされることはない
ので、安心してセキュリティ情報の書き換えを実行する
ことができる。
【0017】請求項3の発明は、請求項1または請求項
2の車両制御装置のためのメモリ書き換えシステムにお
いて、第2のセキュリティ情報が、書き換え装置によっ
て任意に設定されるという構成をとる。
【0018】請求項3の発明によると、書き換え装置に
よって任意に新たなセキュリティ情報を設定することが
できるので、第三者に知られることなく、柔軟性をもっ
て新たなセキュリティ情報を設定することができる。
【0019】請求項4の発明は、請求項1から請求項3
のいずれかの車両制御装置のためのメモリ書き換えシス
テムにおいて、第1のセキュリティ情報による書き換え
許可が、盗難防止システムによって車両動作が許可され
た場合に書き換えが許可されるという構成をとる。
【0020】請求項4の発明によると、盗難防止システ
ムが車両動作を許可したことを条件にメモリの書き換え
が実行されるので、不正な運転者による書き換えを防止
することができ、よって盗難防止システムに関する情報
の書き換えを防止することができる。
【0021】
【発明の実施の形態】次に図面を参照してこの発明の実
施の形態を、車両制御装置の不揮発性メモリに格納され
たセキュリティプログラムを書き換えるシステムに関し
て説明する。しかし、この発明は、セキュリティプログ
ラムを書き換えるシステムに限定されるものではなく、
広く不揮発性メモリに格納された情報を書き換えるシス
テムに適用することができる。
【0022】図1は、この発明によるメモリ書き換えシ
ステムの概要を示す。メモリ書き換えシステムは、車両
1に搭載された電子制御ユニット(ECU)10および
書き換え装置11を備える。書き換え装置11は、車両
1のメーカーによって認可された正規の書き換え装置で
ある。ECU10は、消去および書き込み可能なROM
(図示せず)を備えている。図に示されるように、書き
換え装置11をECU10に接続し、書き換え装置11
を操作することにより、ECU10のROMに格納され
たプログラムおよびデータのような情報が不正に書き換
えられることを防止するセキュリティを解除し、該RO
Mに格納された情報を書き換えることができる。
【0023】書き換えは、ECU10および書き換え装
置11の間のシリアル通信を介して行われる。書き換え
装置11を操作するユーザーは書き換え装置11のボタ
ンを操作し、書き換え装置11に備えられた表示画面と
対話しながら、書き換える情報をECU10に送信する
ことができる。しかし、書き換え装置は、図に示される
ような形態に限定されるものではなく、シリアル通信を
介してECU10と通信するプロトコルを持つ他の形態
の装置を書き換え装置として使用するようにしてもよ
い。
【0024】図2は、この発明に従うメモリ書き換えシ
ステムの全体的な機能ブロック図を示す。前述したよう
に、メモリ書き換えシステムは、車両に搭載されたEC
U10および書き換え装置11を備える。書き換え装置
11はECU10の外部に設けられ、ECU10とシリ
アル通信を介して接続される。なお、書き換え装置11
およびECU10の間の通信をパラレル通信によって実
現することも可能である。
【0025】ECU10は、マイクロコンピュータおよ
びこれに付随する回路素子で構成され、中央演算処理装
置14(以下「CPU」という)、不揮発性メモリであ
って、実行するプログラムおよびデータを格納するRO
M16および18、実行時の作業領域を提供し演算結果
などを記憶するRAM37(ランダムアクセスメモ
リ)、各種センサ39からの信号を受け取り、車両の各
部に制御信号を送る入出力インターフェース38を備え
る。各種センサ39からの信号には、エンジン回転数
(Ne)、エンジン水温(Tw)、吸気温(Ta)、バ
ッテリ電圧(VB)、イグニションスイッチ(IGSW)な
どが含まれる。こうして、CPU14は、入出力インタ
ーフェース38から入力された信号に基づいて、ROM
16および18から制御プログラムおよびデータを呼び
出して演算を行い、その結果を入出力インターフェース
38を介して車両の各部に出力し、車両の様々な機能を
制御する。
【0026】また、ECU10は、インターフェース1
2を備える。インターフェース12は、書き換え装置1
1との通信のプロトコルを持ち、ECU10および書き
換え装置11の間のシリアル通信を可能にする。
【0027】変更可能ROM16は、格納された情報を
消去して書き込むことができるメモリであり、たとえば
フラッシュメモリ、EEPROMによって実現すること
ができる。変更不可能ROM18は、上記のフラッシュ
メモリ、EEPROMのような消去および書き込み可能
なROMのメモリ領域のうち、ある領域を変更不可能領
域と設定することによって実現することができ、または
製造時にデータが決められ、その後に消去および書き込
みができないマスクROMや、または1度だけデータを
書き込むことができるPROMなどによっても実現する
ことができる。
【0028】これらのROM16および18は、別個の
メモリとして実現してもよく、または1つのメモリのメ
モリ領域を2つの領域に分割して一方を変更可能領域と
して使用し、他方を変更不可能領域として使用すること
もできる。後者の場合、たとえばEEPROMのある特
定の領域を変更不可能領域としてプログラムなどを格納
した後、それ以外の空き領域に対してスタートおよびエ
ンドアドレスを指定することにより、変更可能領域を設
定することができる。
【0029】ここで、ROM16、18およびCPUの
実現の形態例について、図3を参照する。図3において
は、ROM16および18はフラッシュメモリによって
実現される。図3の(a)は、フラッシュメモリがCP
Uと別個に設けられた形態を示す。書き換え装置との通
信により書き換えモードに移行すると、CPUは、書き
換え装置からプログラムコードを受信し、書き換えを実
行するプログラムを呼び出して、受信したプログラムコ
ードをフラッシュメモリに書き込む。
【0030】一方、図3の(b)は、フラッシュメモリ
が内蔵されて、CPUと共に1チップを構成する形態を
示す。書き換え装置からの信号によって書き換えモード
に移行すると、書き換え装置からのプログラムコード
は、CPUに組み込まれた機能によって自動的にフラッ
シュメモリに書き込まれる。いずれの形態においても、
この発明によるメモリ書き換えシステムを適用すること
ができる。
【0031】図2に戻ると、変更可能ROM16にはセ
キュリティ関数fが格納されており、この関数f
が、書き換え装置11による書き換えの対象となる。
セキュリティ関数fは、ROM16に格納された情報
が不正に書き換えられることを防止するセキュリティ機
能を実現する関数である。
【0032】変更不可能ROM18には、認証部31、
乱数生成部33および書き換え実行部35を実現するプ
ログラムが格納される。認証部31は、書き換え装置1
1からのセキュリティ解除要求に応答して、セキュリテ
ィ関数fおよび乱数Rを使用し、書き換え装置11が
正規の書き換え装置かどうかを判断する。乱数Rを使用
するのは、セキュリティ機能を向上させるためであり、
乱数Rは、乱数生成部33により生成される。正規の書
き換え装置と判断したならば、セキュリティを解除す
る。書き換え実行部35は、認証部31によりセキュリ
ティが解除された後、セキュリティ関数fを消去し、
書き換え装置11から新たなセキュリティ関数fを受
信して、それをROM16に書き込む。
【0033】書き換え装置11は、セキュリティ関数f
および新たなセキュリティ関数f を持つ。セキュリ
ティ関数fは、上記のROM16に格納されたセキュ
リティ関数fと対になってセキュリティ機能を実現す
る関数である。セキュリティ関数fが第三者によって
変更されていなければ、書き換え装置11の持つセキュ
リティ関数fおよびECU10の持つセキュリティ関
数fは、同じ関数である。代わりに、セキュリティ関
数fおよびfの間に何らかの一定の関係を持たせる
ようにしてもよい。
【0034】新たなセキュリティ関数fは、新たなセ
キュリティ機能を実現するものとして、セキュリティ関
数fの代わりにROM16に格納されることになる関
数である。新たなセキュリティ関数fは、現在のセキ
ュリティ関数fおよびfに何らかの変更を加えたも
のであり、たとえば関数の式自体が異なったもの、また
は関数に含まれる定数を変更したものでよい。たとえ
ば、関数fおよびfが、f=f=A×R+B
(ここで、A=10,B=5)であるとき、新たなセキ
ュリティ関数fをf=A+R×B(ここで、A=1
0,B=5)のように設定することができる。または、
およびfの定数AおよびBの値を、A=5、B=
10のように変更することもできる。
【0035】書き換え装置11は、セキュリティ解除要
求部21、書き換え要求部23、データ列組立部25を
備え、これらはプログラムとして書き換え装置11のメ
モリに格納されている。セキュリティ解除要求部21
は、セキュリティ関数fを使用して、ECU10に対
してセキュリティ解除を要求する。
【0036】データ列組立部25は、ECU10に送信
される新たなセキュリティ関数fのプログラムコード
を、シリアル通信に適したデータ列に組み立てる。たと
えば、データ列組立部25は、セキュリティ関数f3の
プログラムを、ある長さのプログラムコード(たとえ
ば、8ビット)に分割して、シリアル通信に適したシリ
アルデータ列の形式に変換する。その時、それぞれのプ
ログラムコードには、プログラムコードが格納される先
頭アドレスを含むアドレスフィールドが付加される。こ
うして、それぞれのプログラムコードがECUに転送さ
れたとき、該プログラムコードがメモリのどの場所に格
納されるべきかをECUに知らせるようにする。
【0037】書き換え要求部23は、セキュリティが解
除された後に、データ列組立部25によって組み立てら
れた新たなセキュリティ関数fを表すデータ列をEC
U10に送信する。
【0038】ECU10には盗難防止システム81が接
続されており、メモリ書き換えシステムは、盗難防止シ
ステム81と情報を交換することができる。盗難防止シ
ステム81は、エンジン始動の際にキーシリンダに挿入
されたイグニションキーから、該キーに含まれる電子コ
ードを抽出し、該電子コードと予め設定された正規のコ
ードとを比較して、挿入されたイグニションキーが正規
のものかどうか判断する。イグニションキーが正規のも
のと判断されたならば、盗難防止システム81は、エン
ジン始動許可を示す信号を入出力インターフェース38
を介してECU10に送信する。ECU10は、エンジ
ン許可信号の受信に応答して、エンジンを始動させるこ
とができる。
【0039】挿入されたイグニションキーが正規のもの
と判断されなければ、エンジン始動許可信号は出力され
ず、ECU10はエンジンを始動させることができな
い。ECU10に送信されたエンジン始動許可信号によ
り、RAM37(またはROM16)に格納されたエン
ジン始動許可フラグに値1が設定される。図2では別々
に書かれているが、盗難防止システム81の機能の一部
をECU10に含めることができる。たとえば、正規の
イグニションキーかどうかの判断を、ECU10によっ
て実行するようにしてもよい。
【0040】図2に示されるメモリ書き換えシステムの
動作の概要を、図4および図5を参照しながら説明す
る。書き換え装置11をECU10に接続した後、書き
換え装置11のたとえば何らかの操作ボタンを押すこと
により、書き換え動作が開始する。または、ECUを操
作して、書き換え動作を開始するようにしてもよい。
【0041】ステップ41において、書き換え装置11
のセキュリティ解除要求部21は、ECU10にセキュ
リティ解除要求信号を送信する。ECU10は、それに
応答して、正規の書き換え装置が接続されていることを
確認する認証処理を開始する。
【0042】認証処理の一例を図5に示す。ステップ5
1において、書き換え装置11のセキュリティ解除要求
部21は、任意の数Rを送信するようECU10に要求
する。それに応答して、ECU10の認証部31が呼び
出される。認証部31は、乱数生成部33を呼び出し
て、乱数によって任意の数Rを設定し、その任意の数R
を書き換え装置11に送信する(ステップ52)。な
お、上記の乱数を使用して数Rを設定する代わりに、異
なる機構を用いて任意に数Rを設定するようにしてもよ
い。書き換え装置11は、予め内部に持っているセキュ
リティ関数fを使用して、K1=f(R)により、数
Rに対する関数fの関数値K1を求める(ステップ5
3)。
【0043】一方、ECU10の認証部31は、変更可
能ROM16に格納されたセキュリティ関数fを使用
して、K2=f(R)を計算して関数値K2を求める
(ステップ54)。書き換え装置11のセキュリティ解
除要求部21は、関数値K1をECU10に送信する
(ステップ55)。認証部31は、書き換え装置11か
らの関数値K1と、内部で生成した関数値K2を比較し
(ステップ56)、一致したならば、正規の書き換え装
置と判断する。続いて、認証部31は、RAM37に格
納されたエンジン始動許可フラグに値1が設定されてい
るかどうか調べる(ステップ57)。許可フラグに値1
が設定されていれば、盗難防止システム81からエンジ
ン始動許可信号が出力されたことを意味するので、書き
換え許可信号を書き換え装置11に送信する(ステップ
58)。このように、書き換えを実行するには、まずセ
キュリティを解除する必要があるので、現在のセキュリ
ティ関数fおよびfを使用して、セキュリティを解
除する。盗難防止システムが搭載されている場合には、
盗難防止システムの解除を条件にメモリ書き換えシステ
ムのセキュリティを解除するので、不正な運転者による
書き換えおよび盗難防止システムに関する情報の書き換
えを防止することができる。
【0044】図4に戻り、ECU10によって書き換え
装置11が正規のものであると認証されて書き換えが許
可されたならば、ステップ42に進む。書き換え装置1
1の書き換え要求部23は、書き換え開始信号をECU
10に送り、ECU10の書き換え実行部35は、準備
ができたならば、開始許可信号を返す。ステップ43に
おいて、書き換え装置11は、書き換え動作モードに移
行する要求をECU10に送り、ECU10の書き換え
実行部35は動作モード移行処理を行う。ステップ44
において、書き換え要求部23は動作モードの移行が完
了したかをECU10に問い合わせ、書き換え実行部3
5は、動作モードの移行が完了したならば、移行完了信
号を書き換え装置11に送信する。
【0045】ステップ45において、書き換え要求部2
3は、変更可能ROM16に格納されたセキュリティ関
数fの消去を要求し、書き換え実行部35は応答し
て、ROM16のセキュリティ関数fを消去する。
【0046】書き換え装置11においては、新たなセキ
ュリティ関数として関数fが設定され、データ列組立
部25によって、この新たなセキュリティ関数fは、
ECU10に送信するためのシリアルデータ列として準
備されている。このセキュリティ関数fの設定および
そのデータ列の組立は、通常、書き換え装置11によっ
てセキュリティ解除要求または書き換え開始信号をEC
U10に送信する前に行われる。しかし、ステップ45
の直前に行うようにしてもよい。
【0047】セキュリティ関数fは、たとえば書き換
え装置11に予め保存されているいくつかの関数の中か
ら選択することによって設定することもでき、またはユ
ーザーが書き換え装置11を操作しながら新たな関数を
作成するようにしてもよい。
【0048】ステップ46において、書き換え要求部2
3は、書き込み要求信号と共に、新たなセキュリティ関
数fを表すデータ列をECU10に送信する。書き換
え実行部35は、書き換え装置11からデータ列を受信
し、該データ列に含まれるプログラムコードを変更可能
ROM16に書き込む。書き込みを完了すると、書き換
え実行部35は、書き込み完了通知を書き換え装置11
に送信する。書き換え装置11は、それに応答して、次
のデータ列をECU10に送信する。このステップ46
は、ROM16に、セキュリティ関数fのすべてのプ
ログラムコードの書き込みが完了するまで繰り返され
る。
【0049】書き込みが完了したならば、書き換え要求
部23は、書き換え動作モードを解除する要求をECU
10に送信する(ステップ47)。書き換え実行部35
は、それに応答して書き換え動作モードを解除する。書
き換え装置11によって、ROM16に格納されたセキ
ュリティ関数がfに変更されたので、書き換え装置1
1で使用されるセキュリティ関数もfに設定され、そ
の後のセキュリティ機能は、セキュリティ関数fによ
って実現される。新たなセキュリティ関数fを設定し
た後、または新たなセキュリティ関数fをROM16
に書き込んだ後、前のセキュリティ関数fを消去する
することができる。
【0050】図6は、書き換え装置で実行される、セキ
ュリティ解除の手順を示すフローチャートである。ステ
ップ61において、書き換え装置は、ECUに対して数
Rを要求する。その後、書き換え装置は、ECUから任
意の数Rを受信する(ステップ62)。数Rを受信した
ならば、予め内部に持っているセキュリティ関数f
使用して、数Rに対する関数値K1を計算する(ステッ
プ63)。その後、関数値K1をECUに送信する(ス
テップ64)。
【0051】図7は、ECUで実行される、セキュリテ
ィ解除の手順を示すフローチャートである。ステップ7
1において、ECUは、書き換え装置からの数Rの要求
を受信する。受信したならば、乱数を使用してRを設定
し(ステップ72)、数Rを書き換え装置に送る(ステ
ップ73)。その後、ECUは、内部に持っているセキ
ュリティ関数fを使用して、数Rに対する関数値K2
を計算する(ステップ74)。
【0052】ECUは、書き換え装置から関数値K1を
受信し(ステップ75)、K1およびK2を比較する
(ステップ76)。一致したならば、エンジン始動許可
フラグに値1が設定されているどうか調べる(ステップ
77)。値1が設定されていれば、ステップ78に進ん
で書き換え許可フラグに1を設定し、書き換え装置によ
る書き換えが許可されたことを示す。ステップ76にお
いて一致しなければ、またはステップ77においてエン
ジン始動許可フラグに値1が設定されていなければ、書
き換え許可フラグにゼロを設定して(ステップ79)、
この書き換え装置によっての書き換えは許可されないこ
とを示し、処理を中止する。
【0053】図8は、書き換え装置で実行される、書き
換え手順を示すフローチャートである。ステップ81に
おいて、書き換え装置は、書き換え要求をECUに送信
する。この書き換え要求は、実際には図4に示されるよ
うに、書き換え開始の通知、書き換え動作モードへの移
行要求などを含むことができる。書き換え要求に対する
ECUの許可応答を受信したならば(ステップ82)、
設定された新たなセキュリティ関数fのデータ列を作
成する(ステップ83)。新たなセキュリティ関数f
は、前述したように、書き換え装置を使用して任意に設
定することができる。その後、新たなセキュリティ関数
を表すデータ列を、ECUに送信する(ステップ8
4)。
【0054】図9は、ECUで実行される、書き換え手
順を示すフローチャートである。書き換え装置から書き
換え要求を受信したならば(ステップ91)、書き換え
許可フラグが1に設定されているかどうか調べる(ステ
ップ92)。1に設定されているならば、正規の書き換
え装置として認証されたことを示すので、書き換え装置
から転送される新たなセキュリティ関数fを待つ。実
際には、ステップ92および93の間には、図4に示さ
れるように、書き換え動作モードへの移行、変更可能R
OMの現在のセキュリティ関数fの消去などの処理を
実行することができる。
【0055】その後、新たなセキュリティ関数fを受
信したならば(ステップ93)、変更可能ROMに、こ
の新たなセキュリティ関数fを書き込む。こうして、
変更可能ROMに格納されていたセキュリティ関数f
が、セキュリティ関数fに書き換えられる。
【0056】
【発明の効果】請求項1の発明によると、車両制御装置
のメモリに記憶された情報が不正に書き換えられること
を防止する書き換え許可を判断するセキュリティ情報が
第三者に知られてしまった場合でも、書き換え装置によ
りこのセキュリティ情報を変更することができるので、
不正なメモリ書き換えの拡大を防止することができる。
【0057】請求項2の発明によると、セキュリティ情
報を書き換えるプログラムが、変更不可能なメモリに格
納されており、第三者によって改ざんされることはない
ので、安心してセキュリティ情報の書き換えを実行する
ことができる。
【0058】請求項3の発明によると、書き換え装置に
よって任意に新たなセキュリティ情報を設定することが
できるので、第三者に知られることなく、柔軟性をもっ
て新たなセキュリティ情報を設定することができる。
【0059】請求項4の発明によると、盗難防止システ
ムが車両動作の許可をしたことを条件にメモリ書き換え
が実行されるので、不正な運転者による書き換えを防止
することができ、よって盗難防止システムに関する情報
の書き換えを防止することができる。
【図面の簡単な説明】
【図1】この発明に従うメモリ書き換えシステムの概要
を示す図。
【図2】この発明の一実施例における、メモリ書き換え
システムの全体を示すブロック図。
【図3】この発明の一実施例における、メモリ書き換え
システムのECUのROMおよびCPUの形態例を示す
図。
【図4】この発明の一実施例における、メモリ書き換え
システムの動作手順を示す図。
【図5】この発明の一実施例における、メモリ書き換え
システムの認証手順を示す図。
【図6】この発明の一実施例における、メモリ書き換え
システムの書き換え装置で実行されるセキュリティ解除
の手順を示すフローチャート。
【図7】この発明の一実施例における、メモリ書き換え
システムのECUで実行されるセキュリティ解除の手順
を示すフローチャート。
【図8】この発明の一実施例における、メモリ書き換え
システムの書き換え装置で実行される書き換え手順を示
すフローチャート。
【図9】この発明の一実施例における、メモリ書き換え
システムのECUで実行される書き換え手順を示すフロ
ーチャート。
【符号の説明】
10 ECU 11 書き換え装置 12 インターフェース 14 CPU 16 変更可能ROM 18 変更不可能RO
M 81 盗難防止システム
───────────────────────────────────────────────────── フロントページの続き (72)発明者 水尾 直彦 埼玉県和光市中央1丁目4番1号 株式会 社本田技術研究所内 Fターム(参考) 5B017 AA02 BA02 CA15 5B076 EB01 FA07

Claims (4)

    【特許請求の範囲】
  1. 【請求項1】車両制御装置に搭載され、消去および書き
    込みが可能なメモリ領域であって、該メモリ領域に対す
    る書き換え許可を判断する第1のセキュリティ情報を格
    納するメモリ領域と、 前記車両制御装置に第2のセキュリティ情報を外部から
    転送する書き換え装置と、 前記車両制御装置に搭載され、前記第1のセキュリティ
    情報を消去して、前記書き換え装置から転送された第2
    のセキュリティ情報を書き込む書き換え手段と、 を備える車両制御装置のためのメモリ書き換えシステ
    ム。
  2. 【請求項2】前記第2のセキュリティ情報の書き込みが
    プログラムによって実行され、該プログラムが、前記車
    両制御装置に搭載された消去および書き込みが不可能な
    メモリ領域に格納されている請求項1に記載の車両制御
    装置のためのメモリ書き換えシステム。
  3. 【請求項3】前記第2のセキュリティ情報が、前記書き
    換え装置によって任意に設定される請求項1または請求
    項2に記載の車両制御装置のためのメモリ書き換えシス
    テム。
  4. 【請求項4】前記第1のセキュリティ情報による書き換
    え許可が、盗難防止システムによって車両動作が許可さ
    れた場合に書き換えが許可される請求項1から請求項3
    のいずれかに記載の車両制御装置のためのメモリ書き換
    えシステム。
JP2000074236A 2000-03-16 2000-03-16 車両制御装置のためのメモリ書き換えシステム Expired - Fee Related JP3954271B2 (ja)

Priority Applications (8)

Application Number Priority Date Filing Date Title
JP2000074236A JP3954271B2 (ja) 2000-03-16 2000-03-16 車両制御装置のためのメモリ書き換えシステム
US09/800,814 US7132923B2 (en) 2000-03-16 2001-03-07 Memory rewriting system for vehicle controller
CA2339536A CA2339536C (en) 2000-03-16 2001-03-07 Memory rewriting system for vehicle controller
EP01106564A EP1134748B1 (en) 2000-03-16 2001-03-15 Memory rewriting system for vehicle controller
DE60108676T DE60108676T2 (de) 2000-03-16 2001-03-15 Speicherumschreibungssystem für Fahrzeugsteuergerät
CN01111611.0A CN1219671C (zh) 2000-03-16 2001-03-16 用于车辆控制器的存储器重写系统
BR0101193-6A BR0101193A (pt) 2000-03-16 2001-03-16 Dispositivo, sistema e método de regravação dememória para controlador de veìculos
JP2007050510A JP4340297B2 (ja) 2000-03-16 2007-02-28 車両制御装置のためのメモリ書き換えシステム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2000074236A JP3954271B2 (ja) 2000-03-16 2000-03-16 車両制御装置のためのメモリ書き換えシステム

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2007050510A Division JP4340297B2 (ja) 2000-03-16 2007-02-28 車両制御装置のためのメモリ書き換えシステム

Publications (2)

Publication Number Publication Date
JP2001265582A true JP2001265582A (ja) 2001-09-28
JP3954271B2 JP3954271B2 (ja) 2007-08-08

Family

ID=18592323

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2000074236A Expired - Fee Related JP3954271B2 (ja) 2000-03-16 2000-03-16 車両制御装置のためのメモリ書き換えシステム
JP2007050510A Expired - Fee Related JP4340297B2 (ja) 2000-03-16 2007-02-28 車両制御装置のためのメモリ書き換えシステム

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2007050510A Expired - Fee Related JP4340297B2 (ja) 2000-03-16 2007-02-28 車両制御装置のためのメモリ書き換えシステム

Country Status (7)

Country Link
US (1) US7132923B2 (ja)
EP (1) EP1134748B1 (ja)
JP (2) JP3954271B2 (ja)
CN (1) CN1219671C (ja)
BR (1) BR0101193A (ja)
CA (1) CA2339536C (ja)
DE (1) DE60108676T2 (ja)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006117086A (ja) * 2004-10-21 2006-05-11 Matsushita Electric Ind Co Ltd 車両用盗難防止装置
JP2006146583A (ja) * 2004-11-19 2006-06-08 Denso Corp 電子制御装置及びその識別コード生成方法
JP2007092621A (ja) * 2005-09-28 2007-04-12 Aisin Seiki Co Ltd 電子制御装置
US7885744B2 (en) 2003-09-26 2011-02-08 Mitsubishi Heavy Industries, Ltd. Controllers for heavy duty industrial vehicle
US8452488B2 (en) 2007-03-22 2013-05-28 Denso Corporation Memory readout system for vehicle control device
JP2013112120A (ja) * 2011-11-28 2013-06-10 Denso Corp 車載通信システム
JP5216024B2 (ja) * 2008-01-16 2013-06-19 株式会社アイ・オー・データ機器 Usb可搬装置
JP2017011491A (ja) * 2015-06-22 2017-01-12 トヨタ自動車株式会社 認証システム

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3609782B2 (ja) * 2002-01-21 2005-01-12 株式会社東芝 コピープロテクトされた信号の再生装置
JP4270031B2 (ja) * 2004-06-09 2009-05-27 株式会社デンソー 車載用情報登録・開示システム、車載装置および携帯機器
JP4960034B2 (ja) * 2006-07-27 2012-06-27 株式会社東芝 情報記憶媒体及び情報記憶媒体処理装置
FR2923627B1 (fr) * 2007-11-08 2013-08-30 Siemens Vdo Automotive Procede de deverrouillage d'un calculateur de controle moteur.
JP5603942B2 (ja) * 2010-08-03 2014-10-08 本田技研工業株式会社 車両用プログラム書換えシステム
JP5267598B2 (ja) * 2011-02-25 2013-08-21 トヨタ自動車株式会社 車両制御装置のデータ書き換え支援システム及びデータ書き換え支援方法
US20130111212A1 (en) * 2011-10-28 2013-05-02 GM Global Technology Operations LLC Methods to provide digital signature to secure flash programming function
US20130204513A1 (en) * 2012-02-08 2013-08-08 Bendix Commercial Vehicle Systems Llc Protect information stored in ecu from unintentional writing and overwriting
US20140058532A1 (en) * 2012-08-23 2014-02-27 GM Global Technology Operations LLC Method for partial flashing of ecus
JP6060592B2 (ja) * 2012-09-27 2017-01-18 三菱自動車工業株式会社 車載機器類の遠隔操作システム
CN103631192B (zh) * 2013-11-29 2017-12-05 上汽通用五菱汽车股份有限公司 临时授权型的汽车ecu安全认证方法及系统
US9158926B2 (en) 2014-01-13 2015-10-13 General Electric Company Engine control unit configuration security
CN103885437A (zh) * 2014-03-12 2014-06-25 潍柴动力股份有限公司 一种数据安全保护方法、装置及电子控制单元
CN108202695B (zh) * 2016-12-16 2020-02-07 比亚迪股份有限公司 车辆防盗方法、装置和车辆
US10906506B2 (en) * 2017-12-28 2021-02-02 Micron Technology, Inc. Security of user data stored in shared vehicles
IT201800005466A1 (it) * 2018-05-17 2019-11-17 Metodo e dispositivo per scrivere oggetti software in una unita' elettronica di controllo di un motore a combustione interna
US11516042B2 (en) * 2018-07-19 2022-11-29 Panasonic Intellectual Property Management Co., Ltd. In-vehicle detection system and control method thereof
CN114212051A (zh) * 2021-12-14 2022-03-22 深圳市元征软件开发有限公司 车辆控制方法、装置、电子设备及存储介质

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2753225B2 (ja) 1987-03-13 1998-05-18 株式会社日立製作所 車載制御装置
JP2830302B2 (ja) 1990-02-15 1998-12-02 株式会社デンソー 自動車用制御装置
US5677680A (en) * 1992-05-07 1997-10-14 Alps Electric Co., Ltd. Transmitting and receiving-apparatus for vehicle, having mode setting means
JPH05311935A (ja) 1992-05-07 1993-11-22 Alps Electric Co Ltd 車両用送受信装置のモード設定方法
JP3005175B2 (ja) * 1994-09-28 2000-01-31 本田技研工業株式会社 車両盗難防止装置
JP3667760B2 (ja) * 1994-11-11 2005-07-06 株式会社 東海理化電機製作所 車両用始動許可装置及び識別コード登録方法
JP3109413B2 (ja) 1995-07-31 2000-11-13 株式会社デンソー 機械制御装置
JPH0958414A (ja) 1995-08-23 1997-03-04 Toyota Motor Corp 車両用盗難防止装置
JP3491419B2 (ja) * 1995-12-04 2004-01-26 株式会社デンソー 電子制御装置
US5787367A (en) * 1996-07-03 1998-07-28 Chrysler Corporation Flash reprogramming security for vehicle computer
DE69726681T2 (de) * 1996-10-14 2004-10-07 Denso Corp Diebstahlsicherung mit kodiertem Transponder
JP3405095B2 (ja) * 1996-10-22 2003-05-12 日産自動車株式会社 車両用防盗装置
US5937065A (en) 1997-04-07 1999-08-10 Eaton Corporation Keyless motor vehicle entry and ignition system
JP3531410B2 (ja) * 1997-04-08 2004-05-31 日産自動車株式会社 キーレスエントリー装置
JP3427694B2 (ja) * 1997-09-19 2003-07-22 日産自動車株式会社 車両用セキュリティ装置
JP2000335371A (ja) * 1999-05-26 2000-12-05 Denso Corp 電子制御装置及び記録媒体

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7885744B2 (en) 2003-09-26 2011-02-08 Mitsubishi Heavy Industries, Ltd. Controllers for heavy duty industrial vehicle
JP2006117086A (ja) * 2004-10-21 2006-05-11 Matsushita Electric Ind Co Ltd 車両用盗難防止装置
US8051286B2 (en) 2004-10-21 2011-11-01 Panasonic Corporation Vehicle antitheft system
JP2006146583A (ja) * 2004-11-19 2006-06-08 Denso Corp 電子制御装置及びその識別コード生成方法
JP4534731B2 (ja) * 2004-11-19 2010-09-01 株式会社デンソー 電子制御装置及びその識別コード生成方法
JP2007092621A (ja) * 2005-09-28 2007-04-12 Aisin Seiki Co Ltd 電子制御装置
US8452488B2 (en) 2007-03-22 2013-05-28 Denso Corporation Memory readout system for vehicle control device
JP5216024B2 (ja) * 2008-01-16 2013-06-19 株式会社アイ・オー・データ機器 Usb可搬装置
US8527680B2 (en) 2008-01-16 2013-09-03 I-O Data Device, Inc. USB portable device having switching function
JP2013112120A (ja) * 2011-11-28 2013-06-10 Denso Corp 車載通信システム
JP2017011491A (ja) * 2015-06-22 2017-01-12 トヨタ自動車株式会社 認証システム

Also Published As

Publication number Publication date
DE60108676T2 (de) 2006-01-19
JP3954271B2 (ja) 2007-08-08
US20010023485A1 (en) 2001-09-20
CN1315275A (zh) 2001-10-03
CN1219671C (zh) 2005-09-21
US7132923B2 (en) 2006-11-07
DE60108676D1 (de) 2005-03-10
JP4340297B2 (ja) 2009-10-07
CA2339536A1 (en) 2001-09-16
EP1134748B1 (en) 2005-02-02
JP2007188522A (ja) 2007-07-26
EP1134748A3 (en) 2002-10-23
CA2339536C (en) 2011-09-20
BR0101193A (pt) 2001-10-30
EP1134748A2 (en) 2001-09-19

Similar Documents

Publication Publication Date Title
JP4340297B2 (ja) 車両制御装置のためのメモリ書き換えシステム
JP3785299B2 (ja) 車両制御装置のためのメモリ書き換えシステム
US6285948B1 (en) Control apparatus and method having program rewriting function
JPH1081201A (ja) 機関始動制御装置
US20060197381A1 (en) Theft prevention system for motor vehicles
JP4135220B2 (ja) 車両用電子制御装置
JP4253979B2 (ja) 車載制御ユニットの検査方法
JP2008084120A (ja) 電子制御装置
US6907495B2 (en) Rewriting system for rewriting a memory on a vehicle controller
US6876892B2 (en) Rewriting system for vehicle controller
JP2001301572A (ja) 車載用ecuの識別コード付与方法と車載用ecu装置
US20060082447A1 (en) System and method for data communication with a control device having an adapter for reflashing control device software
JP4534731B2 (ja) 電子制御装置及びその識別コード生成方法
JP2003196755A (ja) 車載コンポーネントの盗難監視システム及び車載コンポーネント
JP2007237798A (ja) 車両用情報記録装置
JP4079712B2 (ja) 遠隔始動制御装置
JP4633109B2 (ja) 遠隔始動制御装置
JP4206561B2 (ja) 車両盗難防止装置
CN113799734A (zh) 一种车辆防盗系统的防盗匹配方法、装置、服务器及介质
JPH1153262A (ja) 車両制御用メモリ書き換え装置
JP2000182385A (ja) 車載用電子装置
JP2006031617A (ja) 電子装置及び乱数生成方法
JP2001290640A (ja) 制御装置およびプログラム書き込み方法
JPH0979084A (ja) セキュリティシステム

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050830

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20051006

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20051208

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060118

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20070130

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070228

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20070228

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20070405

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070424

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070426

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110511

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110511

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees