JP2006082648A - プログラム書き換えシステム - Google Patents

プログラム書き換えシステム Download PDF

Info

Publication number
JP2006082648A
JP2006082648A JP2004268315A JP2004268315A JP2006082648A JP 2006082648 A JP2006082648 A JP 2006082648A JP 2004268315 A JP2004268315 A JP 2004268315A JP 2004268315 A JP2004268315 A JP 2004268315A JP 2006082648 A JP2006082648 A JP 2006082648A
Authority
JP
Japan
Prior art keywords
program
vehicle
rewriting
ecu
computer system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2004268315A
Other languages
English (en)
Other versions
JP4599952B2 (ja
JP2006082648A5 (ja
Inventor
Hatsume Yoshikawa
初芽 吉川
Tomohisa Kishigami
友久 岸上
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2004268315A priority Critical patent/JP4599952B2/ja
Publication of JP2006082648A publication Critical patent/JP2006082648A/ja
Publication of JP2006082648A5 publication Critical patent/JP2006082648A5/ja
Application granted granted Critical
Publication of JP4599952B2 publication Critical patent/JP4599952B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Stored Programmes (AREA)

Abstract

【課題】 無線通信タイプの車両用プログラム書き換えシステムにおいて、車両の防犯性を確保しつつプログラムの書き換えを実施できるようにする。
【解決手段】 車両コンピュータシステムがメモリ内のプログラムをセンタから無線で送信されてきたプログラムに書き換えるように構成されたプログラム書き換えシステムでは、車両コンピュータシステムを成す複数のECUのうち、ドアロック機能とセキュリティ機能を制御する防犯関係のECUに対するプログラム書き換えを実施しようとする場合に(S730:YES)、ユーザが車両に同伴している(車両を監視している)か否かを判定し、ユーザが同伴していなければ(S750:NO)、プログラム書き換えを中止する(S760)。また、他のECUのプログラム書き換えを実施する場合には(S730:NO)、ドアロックとセキュリティセットとを自動で実施する(S735)。
【選択図】 図13

Description

本発明は、車両に搭載されたコンピュータシステムのプログラムを書き換える技術に関するものである。
従来より、車両においては、その車両に搭載されたコンピュータシステム(以下、車両コンピュータシステムという)のプログラムを、そのプログラムが格納されたメモリが電子装置に実装されたままのオンボード状態で書き換えることが実施されている(例えば、特許文献1,2,3参照)。
そして、この種のオンボード状態でのプログラム書き換えを行うプログラム書き換えシステムの形態としては、車両コンピュータシステムに書き換え対象のプログラムを供給するプログラム供給装置が、車両コンピュータシステムとコネクタにより通信線で接続される有線通信タイプのもの(例えば、特許文献1参照)と、そのプログラム供給装置と車両コンピュータシステムとが無線通信で接続される無線通信タイプのもの(例えば、特許文献2,3参照)とがある。
特開2001−123874号公報 特開2004−28000号公報 特開2000−207219号公報
ところで、有線通信タイプのプログラム書き換えシステムでは、工場やディーラといった特定のメンテナンス作業場において、作業者が、車両コンピュータシステムと車両外のプログラム供給装置とを手作業でコネクタ接続させることとなり、プログラムの書き換えは作業者の監視下で実施されることとなる。このため、プログラム書き換えの実施中に第三者が車両に不正行為を働くことは考えにくく、車両の防犯性に関して特に心配はない。
しかし、無線通信タイプのプログラム書き換えシステムでは、ディーラや工場といった特定の場所以外でプログラム書き換えが実施されるケースが想定され、そのプログラム書き換えの実施中に、作業者は元より車両の使用者すら必ず車室内や車両周辺にいるとは限らない。そして、例えば、誰も車両を監視していない状況で、車両コンピュータシステムにて、車両のドアロック機能や車両への不正行為を検知して警報するセキュリティ機能といった防犯機能に関連するコンピュータのプログラムを書き換える処理が実施されると、そのプログラムにより実現される防犯機能が無効となってしまうため、車両の防犯性が低下してしまう。このため、無線通信タイプのプログラム書き換えシステムでは、車両の防犯性を確保しつつ、プログラム書き換えを実施できるようにすることが望まれる。
そこで、本発明は、無線通信タイプの車両用プログラム書き換えシステムにおいて、車両の防犯性を確保しつつプログラムの書き換えを実施できるようにすることを目的としている。
上記目的を達成するためになされた請求項1に記載のプログラム書き換えシステムは、車両コンピュータシステム(車両に搭載されたコンピュータシステム)と、その車両コンピュータシステムと無線通信すると共に、その車両コンピュータシステムへ書き換え対象のプログラムを送信する車両外のプログラム供給手段とからなる無線通信タイプのプログラム書き換えシステムである。そして、車両コンピュータシステムは、メモリ内のプログラム(即ち、実行対象のプログラム)をプログラム供給手段から送信されてきたプログラムに書き換えるように構成されている。
そして特に、このプログラム書き換えシステムでは、車両が使用者に監視されているか否かを、監視有無判定手段が判定する。そして、その監視有無判定手段により車両が使用者に監視されていないと判定された場合には、書換実施禁止手段が、車両コンピュータシステムにて車両の防犯機能に関連するコンピュータのプログラムを書き換える処理が実施されるのを禁止する。
このような請求項1のプログラム書き換えシステムによれば、車両の防犯機能に関連するコンピュータのプログラムを書き換える処理は、車両が使用者に監視されていると判定された場合に実施されることとなる。このため、使用者が車両を監視していない状況下で、車両の防犯機能に関連するコンピュータのプログラムを書き換える処理が実施されて、そのプログラムにより実現される防犯機能が無効となってしまうことを回避することができる。よって、この請求項1のプログラム書き換えシステムによれば、車両の防犯性を確保しつつプログラムの書き換えを実施することができる。
尚、監視有無判定手段は、使用者が車室内又は車両周辺に居ることを検知した場合に、車両が使用者に監視されていると判定するように構成することができる。そして、使用者が車室内又は車両周辺に居るか否かは、例えば、赤外線等を利用した生態認識センサや、シートに加わる荷重を検出するシート荷重センサなどを用いて判定したり、車室内のディスプレイや発音装置などによって使用者に質問し、その質問に対する使用者のキー操作などによる応答によって判定するように構成することができる。
次に、請求項2に記載のプログラム書き換えシステムも、請求項1のプログラム書き換えシステムと同様に、無線通信タイプのプログラム書き換えシステムである。
そして特に、請求項2のプログラム書き換えシステムでは、監視催促通知手段を備えており、その監視催促通知手段は、車両コンピュータシステムにて車両の防犯機能に関連するコンピュータのプログラムを書き換える処理が実施される場合に、車両の使用者に対して、車両を監視することを促す通知を行う。
このような請求項2のプログラム書き換えシステムによれば、使用者に車両を監視することを促す通知を行うことにより、使用者が車両を監視していない状況下で、車両の防犯機能に関連するコンピュータのプログラムを書き換える処理が実施されてしまうことを回避することができる。よって、この請求項2のプログラム書き換えシステムによっても、車両の防犯性を確保しつつプログラムの書き換えを実施することができる。
次に、請求項3に記載のプログラム書き換えシステムも、請求項1又は2のプログラム書き換えシステムと同様に、無線通信タイプのプログラム書き換えシステムである。
そして特に、請求項3のプログラム書き換えシステムでは、防犯機能有効化手段を備えており、その防犯機能有効化手段は、車両コンピュータシステムにて車両の防犯機能に関連しないコンピュータのプログラムを書き換える処理が実施される場合に、車両の防犯機能に関連するコンピュータを、その防犯機能が有効となるように作動させる。
このような請求項3のプログラム書き換えシステムによれば、車両の防犯機能に関連しないコンピュータのプログラムを書き換える処理が実施される場合には、車両の防犯機能に関連するコンピュータが、使用者の操作に拘わらず、その防犯機能が有効となるように作動することとなる。よって、この請求項3のプログラム書き換えシステムによっても、車両の防犯性を確保しつつプログラムの書き換えを実施することができる。
尚、請求項1〜3のプログラム書き換えシステムにおいて、車両の防犯機能としては、請求項4に記載のように、車両のドアロック機能と、車両への不正行為を検知して警報するセキュリティ機能との、両方又は一方が考えられる。そして、車両の防犯機能に関連するコンピュータが、車両のドアロック機能に関連するコンピュータであるならば、請求項3の防犯機能有効化手段は、そのコンピュータにドアロックを実施させるように構成すれば良く、また、車両の防犯機能に関連するコンピュータが、車両のセキュリティ機能に関連するコンピュータであるならば、請求項3の防犯機能有効化手段は、そのコンピュータをセキュリティ機能が有効なセキュリティセット状態で作動させるように構成すれば良い。
次に、請求項5に記載のプログラム書き換えシステムでは、請求項1〜4のプログラム書き換えシステムにおいて、車両コンピュータシステムがプログラムの書き換えを実施する前に、状態設定手段が、車両の状態をプログラムの書き換えに適した状態に設定するための設定処理を行い、車両コンピュータシステムは、その状態設定手段による設定処理の完了後に、プログラムの書き換えを実施する。
このような請求項5のプログラム書き換えシステムによれば、車両の状態が、状態設定手段により、プログラムの書き換えに適した状態に自動的に設定され、その設定が完了した後で、プログラムの書き換えが実施されることとなるため、人による作業に頼ることなく、信頼性の高いプログラム書き換えを確実に実現することができるようになる。
ところで、状態設定手段は、設定処理として、特定の機器が作動するのを禁止するように構成することができ、具体的には、例えば、上記特定の機器への電力供給を遮断するように構成することができる。また、作動を禁止する特定の機器としては、消費電流が比較的大きい機器とするのが好ましい。
そして、この構成によれば、プログラム書き換えの実施中に、特定の機器が作動してバッテリ電圧が変動し、延いてはプログラム書き換え対象のコンピュータに供給される電源電圧が変動してしまうことを防止することができ、車両の状態をプログラムの書き換えに適した状態に設定することができる。
また、車両コンピュータシステムが複数のコンピュータを備えているのであれば、状態設定手段は、設定処理として、プログラムの書き換えに関連するコンピュータには電力を供給し、プログラムの書き換えに関連しない少なくとも1つ以上のコンピュータへの電力供給は遮断するように構成することができる。
そして、この構成によれば、プログラム書き換えの実施中に、プログラムの書き換えに関連しないコンピュータ及びそのコンピュータによって制御される機器が作動することが防止され、その結果、プログラムの書き換え中に、バッテリ電圧が変動してプログラム書き換え対象のコンピュータに供給される電源電圧が変動してしまうことを防止することができ、車両の状態をプログラムの書き換えに適した状態に設定することができる。
尚、プログラムの書き換えに関連しない全てのコンピュータへの電力供給を遮断するように構成するのが最も好ましいが、そうでない場合には、プログラムの書き換えに関連しないコンピュータのうち、消費電流が大きい機器を制御するコンピュータへの電力供給を優先的に遮断するように構成すれば、効果的である。
また、状態設定手段は、設定処理として、車両の電源スイッチの操作を無効にするように構成することができる。尚、車両の電源スイッチとは、いわゆるイグニッションスイッチのことである。
そして、この構成によれば、プログラムの書き換え中に、車両の電源スイッチが操作されても、その操作によって本来ならば通電される機器へは電力が供給されなくなるため、バッテリ電圧が変動してプログラム書き換え対象のコンピュータに供給される電源電圧が変動してしまうことを防止することができ、車両の状態をプログラムの書き換えに適した状態に設定することができる。
また、状態設定手段は、設定処理として、特定の機器を作動させるための操作を無効にするように構成することができる。
そして、この構成によれば、プログラムの書き換え中に、特定の機器を作動させる操作が行われても、その操作によって本来ならば通電される機器へは電力が供給されなくなるため、バッテリ電圧が変動してプログラム書き換え対象のコンピュータに供給される電源電圧が変動してしまうことを防止することができ、車両の状態をプログラムの書き換えに適した状態に設定することができる。例えば、状態設定手段は、エンジン始動用のスタータモータを作動させる操作と、ワイヤレスによりドアロックモータを作動させる操作と、パワーウィンドウを作動させる操作と、ライトを点灯させる操作と、ワイパーを作動させる操作と、ウィンドウウォッシャモータを作動させる操作とのうちの、少なくとも1つを無効にするように構成することができる。何れの操作によっても、消費電流の比較的大きい機器が作動することとなるからである。
次に、請求項6に記載のプログラム書き換えシステムでは、請求項5のプログラム書き換えシステムにおいて、状態設定手段は、車両の状態を、その車両のドアロック機能が正常に作動する範囲内で設定するように構成されている。
このような請求項6のプログラム書き換えシステムによれば、車両コンピュータシステムのプログラム書き換えを、車両の使用者が不在の状況でも、防犯性を低下させることなく実施することができるようになる。つまり、状態設定手段によって車両のドアロック機能が作動しないように設定されてしまうと、車両のドアロックが出来ずに車両の防犯性が低くなってしまうからである。
また、請求項7に記載のプログラム書き換えシステムでは、請求項5のプログラム書き換えシステムにおいて、状態設定手段は、車両の状態を、その車両への不正行為を検知して警報するセキュリティ機能が正常に作動する範囲内で設定するように構成されている。
そして、このような請求項7のプログラム書き換えシステムによっても、車両コンピュータシステムのプログラム書き換えを、車両の使用者が不在の状況でも、防犯性を低下させることなく実施することができるようになる。つまり、状態設定手段によって車両のセキュリティ機能が作動しないように設定されてしまうと、車両の防犯性が低くなってしまうからである。
次に、請求項8に記載のプログラム書き換えシステムでは、請求項1〜7のプログラム書き換えシステムにおいて、状態判定手段を備えており、その状態判定手段は、車両コンピュータシステムがプログラムの書き換えを実施する前に、車両の状態がプログラムの書き換えに不適切な状態であるか否かを判定する。そして、このプログラム書き換えシステムにおいて、車両コンピュータシステムは、その状態判定手段によって車両の状態がプログラムの書き換えに不適切な状態であると判定されたならば、プログラムの書き換えを中止するように構成されている。
このような請求項8のプログラム書き換えシステムによれば、車両の状態がプログラムの書き換えに不適切な状態であるか否かが、状態判定手段によって自動的に判定されるため、人による確認作業に頼ることなく、信頼性の高いプログラム書き換えを実現することができるようになる。
尚、状態判定手段は、例えば、車両に搭載されたバッテリ(車載バッテリ)の電圧と、そのバッテリの劣化状態と、プログラム書き換え対象のコンピュータ又は該コンピュータが搭載されたユニットに供給されている電源電圧と、車両の外気温度と、車両の室内温度と、車両のエンジンが停止してからの経過時間と、車両のイグニッションキーシリンダにおけるキーの操作位置と、車両の現在位置と、車両が存在する場所での有事情報とのうちの、少なくとも1つに基づいて、車両の状態がプログラムの書き換えに不適切な状態であるか否かを判定するように構成することができる。
つまり、車載バッテリの電圧が規定範囲内でなければ、プログラムの書き換えに不適切な状態であると判定することができ、また、バッテリが劣化していれば、書き換え対象のコンピュータに供給される電源電圧が安定しない可能性があるため、プログラムの書き換えに不適切な状態であると判定することができる。そして、プログラム書き換え対象のコンピュータ又は該コンピュータが搭載されたユニットに供給されている電源電圧が規定範囲内でない場合にも、プログラムの書き換えに不適切な状態であると判定することができる。また、車両の外気温度が規定範囲内でない場合や、車両の室内温度が規定範囲内でない場合や、車両のエンジンが停止してからの経過時間が一定時間に達していない場合には、プログラム書き換え対象のコンピュータの周囲温度がプログラム書き換えに適さない温度である可能性があるため、プログラムの書き換えに不適切な状態であると判定することができる。また、車両のイグニッションキーシリンダにおけるキーの操作位置が、プログラムの書き換えを実施する際に設定されるべき位置とは異なる位置に操作されると、プログラムの書き換えには関係のない余分な機器に電力が供給されてバッテリ電圧が変動する可能性があるため、プログラムの書き換えに不適切な状態であると判定することができる。例えば、キーの操作位置がOFF(オフ)位置にある状態でプログラムの書き換えを行う構成の場合に、そのキーの操作位置がACC(アクセサリ)位置やIG(イグニッション)位置やST(スタート)位置に操作されれば、プログラムの書き換えに不適切な状態であると判定することができる。また、車両の現在位置が、テレビ塔直下などの強電界が発生する場所であったり、高速道路上や、渋滞道路上や、事故現場付近である場合には、プログラムの書き換えに不適切な状態であると判定することができる。また、車両が存在する場所での有事情報により、地震の発生中又は発生直後であることや、大規模災害が発生した直後であることなどを検知した場合には、プログラムの書き換えに不適切な状態であると判定することができる。
以下に、本発明が適用された実施形態のプログラム書き換えシステムについて、図面を用い説明する。尚、本実施形態のプログラム書き換えシステムは、車両コンピュータシステムのプログラムをオンボード状態で書き換えるものである。
まず図1は、実施形態のプログラム書き換えシステムを表す構成図である。
図1に示すように、本実施形態のプログラム書き換えシステムは、車両に搭載された車両コンピュータシステム1と、その車両コンピュータシステム1に書き換え対象のプログラムを送信する情報センタ(以下単に、センタという)3とからなる。
車両コンピュータシステム1は、通信網5を介してセンタ3と無線通信を行うための通信端末7、複数の電子制御ユニット(以下、ECUという)11〜26,…、それらECUによって制御されるアクチュエータやディスプレイ31などの各種機器、及び車両の各種情報をECUに入力させるセンサやスイッチ等から構成されている。
ここで、ECUとしては、エンジンを制御するエンジンECU11、車両の挙動を安定させるための制御を行う車両挙動ECU12、エアバッグを制御するエアバッグECU13、車両の走行速度や先行車両との車間距離を一定に保つ制御を行うクルーズECU14、ナビゲーション機能の制御を行うナビゲーションECU15、車両のメータを制御するメータECU16、車両のイグニッションキーシリンダにおけるOFF(オフ)位置以外の各キーポジションに対応した車両内の各電源ラインに車載バッテリからの電力を供給する制御を行うキー電源管理ECU17、ヘッドライトやターンランプなどを制御するライトシステム管理ECU18、キー電源管理ECU17が電力供給を制御する電源ライン以外の各電源ラインに車載バッテリからの電力を供給する制御を行う電源管理ECU19、エアコン装置を制御するエアコンECU20、車両のドアやラゲッジルーム(トランク)などの各開閉部の施解錠制御(つまり、ドアロック機能の制御)を行うドアシステム管理ECU21、車両への不正行為を検知して警報するセキュリティ機能の制御を行うセキュリティECU22、ディスプレイ31を制御するディスプレイECU23、発音装置(図示省略)から各種案内用の音声を発生させる制御を行う音声案内ECU24、通信端末7やナビゲーションECU15やディスプレイECU23などと連携してブラウザ機能の制御を行うブラウザECU25、及びAV系機器(図示省略)を制御するオーディオECU26などがある。
そして、エンジンECU11と、車両挙動ECU12と、エアバッグECU13と、クルーズECU14と、ナビゲーションECU15と、メータECU16と、キー電源管理ECU17は、第1の通信線33で通信可能に接続されている。
また、ナビゲーションECU15と、メータECU16と、キー電源管理ECU17と、ライトシステム管理ECU18と、電源管理ECU19と、エアコンECU20と、ドアシステム管理ECU21と、セキュリティECU22は、第2の通信線35で通信可能に接続されている。
また、ナビゲーションECU15と、ディスプレイECU23と、音声案内ECU24と、ブラウザECU25と、オーディオECU26は、第3の通信線37で通信可能に接続されている。
更に、異なる通信線に接続されたECU同士も、ナビゲーションECU15がゲートウェイとなって互いに通信できるようになっている。
尚、一般的なことなので図示は省略しているが、各ECU11〜26,…には、1つ又は複数のマイコン(マイクロコンピュータ)とメモリが少なくとも備えられている。そして、各ECU11〜26,…では、メモリに格納されているプログラムをマイコンが実行することにより、そのECUの動作が実現される。
一方、センタ3には、車両コンピュータシステム1と通信網5を介して無線通信を行うための通信部41と、その通信部41に書き換え対象のプログラムを送信させたり、その通信部41から車両コンピュータシステム1が送信したデータを取得する制御部42とが備えられている。
また、通信網5は、車両コンピュータシステム1とセンタ3と車両の使用者(以下、ユーザという)とを連携させる情報通信網であり、例えば、電話網やインターネットである。
次に、上記ECUのうちの主なものについて、図2〜図6を用い説明する。
まず図2に示すように、ドアシステム管理ECU21には、運転席ドアの開閉状態を検出する運転席カーテシスイッチ(SW)43と、助手席ドアの開閉状態を検出する助手席カーテシスイッチ44と、右後席ドアの開閉状態を検出する右後席カーテシスイッチ45と、左後席ドアの開閉状態を検出する左後席カーテシスイッチ46と、ラゲッジルームの開閉部(以下、ラゲッジドアという)の開閉状態を検出するラゲッジカーテシスイッチ47と、ユーザに携帯される電子キーとしての携帯機と無線通信を行うための通信機48と、運転席ドアを施錠(ロック)及び解錠(アンロック)させる運転席ドアロックモータ50と、助手席ドアを施錠及び解錠させる助手席ドアロックモータ51と、右後席ドアを施錠及び解錠させる右後席ドアロックモータ52と、左後席ドアを施錠及び解錠させる左後席ドアロックモータ53と、ラゲッジドアを施錠及び解錠させるラゲッジロックモータ54とが接続されている。
また、各ロックモータ50〜54には、施錠及び解錠させる対象の施解錠状態(施錠状態か解錠状態か)を検出するロックポジションスイッチが設けられており、その各ロックポジションスイッチの信号も、ドアシステム管理ECU21に入力される。
そして、ドアシステム管理ECU21は、上記各カーテシスイッチ43〜47からの信号により、車両のラゲッジドアを含む各ドアの開閉状態を検出すると共に、上記各ロックポジションスイッチからの信号により、各ドアの施解錠状態を検出する。
また、ドアシステム管理ECU21は、ユーザが上記携帯機に設けられたロック用ボタン又はアンロック用ボタンを操作した際に、その携帯機から送信されるワイヤレス操作信号を通信機48により受信する。
そして更に、ドアシステム管理ECU21は、上記受信したワイヤレス操作信号や、他のECUから通信線35を介して送られてくる指令に従って、各ロックモータ50〜54を正転又は逆転駆動することにより、車両の各ドアを施錠又は解錠させる。
また、ドアシステム管理ECU21は、例えば、運転席ドアに設けられているキーシリンダにメカニカルなキーが差し込まれて捻り操作されたり、運転席ドアの車室内側に設けられている施解錠用ノブが操作されて、運転席ドアが手動で施錠又は解錠されると、そのことを、運転席ドアロックモータ50に設けられたロックポジションスイッチからの信号により検知して、他のドアのロックモータ51〜54を駆動することにより、運転席ドア以外のドアを運転席ドアと同じ施解錠状態にする。
次に図3に示すように、セキュリティECU22には、車両への不正行為を検知するためのセキュリティセンサとして、車室内に人が侵入したことを赤外線や超音波などで検知する侵入センサ60と、車両の傾きを検知する傾斜センサ61と、車両の振動を検知する振動センサ62とが接続されている。更に、セキュリティECU22には、車両への不正行為を車外に音で警報するためのホーンやブザーからなる音響警報機器64と、車両への不正行為を車外に表示して警報するためのセキュリティインジケータ65とが接続されている。
そして、セキュリティECU22は、例えば、ドアシステム管理ECU21から上記のワイヤレス操作に従い全ドアを施錠したことが通知されると、セキュリティセット状態となり、そのセキュリティセット状態にて、侵入センサ60により人の侵入が検知されたり、傾斜センサ61により車両が所定角度以上傾いたことが検知されたり、振動センサ62により車両に所定レベル以上の振動が発生したことが検知されると、音響警報機器64を駆動して警報音を発生させると共に、セキュリティインジケータ65に不正行為があったことを示すメッセージなどの表示内容を表示させる。また、セキュリティECU22は、ナビゲーションECU15に依頼して、通信端末7からセンタ3へ、車両に不正行為が行われたことを無線で通知する。すると、センタ3からユーザが所有する携帯電話やパーソナルコンピュータなどの連絡用機器へ、車両に不正行為が行われたことが電子メールや電話音声などで通知される。
次に図4に示すように、エアコンECU20には、車外の温度である外気温度を検出する外気温センサ67と、車室内の温度である内気温度を検出する内気温センサ68とが接続されている。
そして、エアコンECU20は、各センサ67,68からの信号により外気温度と内気温度を検出し、その検出結果に基づいて、図示しない熱交換用のコンプレッサや送風用のブロアモータなどからなるエアコン装置を制御する。
次に図5に示すように、キー電源管理ECU17には、車両のイグニッションキーシリンダに挿入されたキーがOFF(オフ)位置とACC(アクセサリ)位置とIG(イグニッション)位置とST(スタート)位置との何れのキーポジションに操作されているかを検出するキーポジションスイッチ70と、OFF位置以外の各キーポジションに対応した車両内の各電源ライン、即ち、ACC系システムの電源ライン71、IG1系システムの電源ライン72、IG2系システムの電源ライン73、及びスタータ系システムの電源ライン74の各々と車載バッテリ75のプラス端子との接続/非接続を切り換えるスイッチング装置(例えば電磁式リレーや半導体リレー)76,77,78,79とが接続されている。
そして、キー電源管理ECU17は、イグニッションキーシリンダにおけるキーの操作位置(以下単に、キー操作位置という)をキーポジションスイッチ70からの信号によって検出すると共に、その検出結果や、他のECUから通信線33,35を介して送られてくる指令に従って、上記各スイッチング装置76〜79をオン/オフさせることにより、上記各電源ライン71〜74をバッテリ75のプラス端子に接続させたり、そのプラス端子から切り離す。
尚、各電源ライン71〜74は、バッテリ75のプラス端子に接続されると、そのバッテリ75から電力が供給されることとなる。また、IG1系システムの電源ライン72とIG2系システムの電源ライン73は、両方共に、キーがIG位置に操作されるとバッテリ75からの電力が供給される電源ラインであるが、IG1系システムの電源ライン72の方は、キーが更にST位置に操作された場合(即ち、スタータモータが作動する場合)にはバッテリ75との接続が遮断されるものであり、IG2系システムの電源ライン73の方は、キーがST位置に操作されてもバッテリ75との接続が継続されるものであるため、別系統になっている。一方、図5において、符号として80〜83が付されたものは、各電源ライン71〜74毎に設けられたヒューズであり、符号として84が付されたものは、各電源ライン71〜74に共通のヒューズである。
次に図6に示すように、電源管理ECU19には、バッテリ75に流れる電流を検出する電流センサ86と、バッテリ75の温度を検出する温度センサ87と、キー電源管理ECU17が電力供給を制御する電源ライン71〜74以外の各電源ラインL1〜Lnの各々とバッテリ75のプラス端子との接続/非接続を切り換えるスイッチング装置(例えば電磁式リレーや半導体リレー)SR1〜SRnとが接続されている。
そして、電源管理ECU19は、ヒューズ88を介して入力されるバッテリ75の電圧(バッテリ電圧)の値を検出すると共に、各センサ86,87からの信号によりバッテリ75に流れる電流とバッテリ75の温度とを検出し、更に、それらの検出結果を予め定められた計算式やデータマップにあてはめることにより、バッテリ75の劣化状態を判定する。尚、バッテリ75の劣化状態は、バッテリ75内の電解液濃度によって判定するようにしても良い。
そして更に、電源管理ECU19は、キー電源管理ECU17から通信線35を介して送られて来るキー操作位置の情報や、他のECUから通信線35を介して送られてくる指令に従って、上記各スイッチング装置SR1〜SRnをオン/オフさせることにより、上記各電源ラインL1〜Lnをバッテリ75のプラス端子に接続させたり、そのプラス端子から切り離す。
尚、各電源ラインL1〜Lnも、前述した電源ライン71〜74と同様に、バッテリ75のプラス端子に接続されると、そのバッテリ75から電力が供給されることとなる。また、図6において、符号として89が付されたものは、各電源ラインL1〜Lnに共通のヒューズである。
次に、本実施形態のプログラム書き換えシステムにおいて、車両コンピュータシステムを構成する何れかのECUに搭載されたマイコンのプログラムを書き換える際に、プログラム書き換え統括機能を有する装置で実施される書き換え制御動作の内容について、図7〜図16を用い説明する。
尚、プログラム書き換え統括機能を有する装置としては、通信線33〜37を介して各ECUのマイコンと連携できる機能と、各ECUと連携してプログラム書き換えに必要な車両状態の判定を行う機能と、各ECUと連携してプログラム書き換えに必要な車両状態の設定及び指示通知を行う機能と、プログラム書き換えの一連の流れについて、HMI(ヒューマン・マシン・インターフェース)に指示を行う機能とを備えていれば良く、本実施形態では、情報収集がし易いことから、ナビゲーションECU15(詳しくは、それに内蔵されたマイコン)が、プログラム書き換え統括機能を有する装置となっている。
まず図7は、ナビゲーションECU15で実施される書き換え制御動作の流れ全体を表すフローチャートである。
図7に示すように、ナビゲーションECU15は、書き換え制御動作として、プログラム書き換えの開始判定処理(S110)と、センタ3からプログラムをダウンロードするダウンロード処理(S120)と、プログラム書き換えモードへの移行処理(S130)と、車両の状態がプログラムの書き換えに適しているかいないかを確認する車両状態の確認処理(S140)と、車両の状態をプログラムの書き換えに適した状態に設定する車両状態の設定処理(S150)と、プログラム書き換えの実施中における防犯性を確保するための防犯性の確保処理(S155)と、プログラム書き換え対象のマイコン(以下、ターゲットマイコンともいう)にプログラムを書き換えさせるプログラム書き換え処理(S160)と、プログラムの書き換えが正常に完了したか否かを確認するプログラム書き換え完了の確認処理(S170)と、プログラムの書き換えが正常完了したことをユーザやセンタ3へ通知するプログラム書き換え完了の通知処理(S180)とを実施する。尚、プログラム書き換えの開始判定処理(S110)とプログラムのダウンロード処理(S120)は、順番が入れ替わっても良い。
次に図8は、プログラム書き換えの開始判定処理の内容を表すフローチャートである。
図8に示すように、ナビゲーションECU15は、まずS210にて、通信端末7を介してセンタ3と通信することにより、センタ3(詳しくは、その制御部42)に書き換え対象プログラム(つまり、更新すべき新バージョンのプログラム)があるか否かを判断する。例えば、センタ3からプログラム書き換え要求通知があった場合に、このS210にて、書き換え対象プログラムがあると判断する。また、ユーザがナビゲーション装置等の操作ボタンを操作して、プログラム更新が必要か否かを問い合わせる入力を行ったことを検知すると、センタ3へ書き換え対象プログラムがあるか否かを問い合わせ、その返事に基づいて、書き換え対象プログラムがあるか否かを判断するようにしても良い。また、ユーザの操作によらず、定期的にセンタ3へ書き換え対象プログラムがあるか否かを問い合わせるようにしても良い。
そして、センタ3に書き換え対象プログラムがないと判断した場合には(S210:NO)、そのまま処理を終了するが、書き換え対象プログラムがあると判断した場合には(S210:YES)、次のS220にて、その書き換え対象プログラムの内容(例えば、どのECUのどのマイコンで実行されるプログラムであるかや、そのバージョン情報など)をセンタ3に問い合わせる。
次に、S230にて、上記S220の問い合わせでセンタ3から得た情報に基づいて、プログラムをダウンロードする必要があるか否か(換言すれば、プログラムの書き換えを本当に実施する必要があるか否か)を判断する。
そして、プログラムをダウンロードする必要がなければ(S230:NO)、そのまま処理を終了するが、プログラムをダウンロードする必要があれば(S230:YES)、S235に進んで、防犯関係のECUに対するプログラム書き換えか否かを判断する。
尚、本実施形態において、防犯関係のECUとは、ドアシステム管理ECU21とセキュリティECU22であり、ドアシステム管理ECU21に搭載されて、ドアロック機能の制御を行うマイコンと、セキュリティECU22に搭載されて、セキュリティ機能の制御を行うマイコンとが、車両の防犯機能に関連するコンピュータに相当している。そして、S235では、センタ3にある書き換え対象プログラム(即ち、センタ3からダウンロードするプログラム)が、そのECU21,22の何れかに搭載されたマイコンで実行されるプログラムであれば、防犯関係のECUに対するプログラム書き換えであると判断する。
ここで、上記S235にて、防犯関係のECUに対するプログラム書き換えではないと判断した場合には(S235:NO)、S240に進んで、プログラムダウンロードモードに移行する。すると、ナビゲーションECU15は、図9に示すダウンロード処理を開始することとなる。
また、上記S235にて、防犯関係のECUに対するプログラム書き換えであると判断した場合には(S235:YES)、S245に移行して、ユーザへ、車両を監視することを促す通知を行う。これは、防犯関係のECU21,22のマイコンを対象としたプログラム書き換えの実施により、防犯機能であるドアロック機能又はセキュリティ機能が正常に作動しなくなるからである。
尚、このS245及び後述する各処理において、ユーザへの通知は、ディスプレイECU23に指令して、ディスプレイ31に通知内容のメッセージやアイコンを表示させたり、音声案内ECU24に指令して、発音装置から通知内容の音声を発生させたり、センタ3へ指令して、そのセンタ3からユーザが所有する携帯電話やパーソナルコンピュータなどの予め登録された連絡用機器へ、電子メールや電話音声などを送らせたりすることにより実施される。また、例えば、S245では、ユーザに「プログラム書き換えが完了するまで、車内又は車両の近くに居て下さい」といったメッセージを出す。
そして、続くS250にて、ユーザへ、プログラム書き換えの実施によって防犯性が低下することを警告する通知を行う。例えば、ターゲットマイコンがセキュリティECU22のマイコンである場合には、今からセキュリティ機能が作動しなくなる旨のメッセージを出し、また、ターゲットマイコンがドアシステム管理ECU21のマイコンである場合には、今からドアロック機能が正常に作動せずにドアロックが解除される可能性がある旨のメッセージを出す。
次に、S260にて、ユーザが車両に同伴しているか否か(つまり、ユーザが車室内又は車両周辺に居るか否か)を判定する。
例えば、このS260では、ディスプレイECU23と音声案内ECU24に指令を与えて、ディスプレイ31上の表示及び発音装置からの音声により、ユーザに対して居るか居ないかなどを質問し、その質問に対するユーザのキー操作などによる応答によって、ユーザが車両に同伴しているか否かを判定する。また、ユーザが車両に同伴しているか否かは、例えば、運転席や他の席のシートに加わる荷重を検出するシート荷重センサなどを用いて判定するようにしても良い。
そして、S260にて、ユーザが車両に同伴していると判定した場合には、車両がユーザに監視されていると判断して、S240に進み、プログラムダウンロードモードに移行する。すると、ナビゲーションECU15は、図9に示すダウンロード処理を開始することとなる。
また、上記S260にて、ユーザが車両に同伴していないと判定した場合には、車両がユーザに監視されていないと判断して、S265へ移行する。
そして、このS265にて、ユーザへ、プログラムの書き換えを実施しないことを通知し、その後、S270にてプログラム書き換えを中止し、そのまま処理を終了する。
次に、図9に示すように、ナビゲーションECU15がダウンロード処理を開始すると、まずS310にて、ユーザへプログラムのダウンロードを実施することを通知する。
そして、次にS320にて、ダウンロードに関連する機器の機能制限を実施する。
即ち、プログラムのダウンロードに関わる無線通信能力及びコンピュータの処理負荷を確保する為に、例えば、オーディオECU26やディスプレイECU23へ指令して、AV系機器の操作を全般にわたり禁止する(つまり、AV系機器の操作が行われても、その操作に対応する機能が行われないようにする)。また、このような機能制限と共に、ユーザへ、AV系機器の操作に関する制限内容を通知する。
尚、ダウンロードの実施中は、上記S320でユーザに通知した制限内容の操作が行われた際に、「使用できません」などのウォーニングメッセージをディスプレイ31に表示させるようにしても良い。また、上記S320やダウンロードの実施中に、ダウンロードが完了する予定時刻をユーザに通知するようにしても良い。
そして、次にS330にて、プログラムのダウンロードに関わるコンピュータの動作継続を確保するために、キー電源管理ECU17及び電源管理ECU19へ指令を与えて、ユーザの電源キー操作とは関係なく、プログラムのダウンロードに関わる機器(例えば、当該ナビゲーションECU15及び通信端末7や、ユーザへの通知を行うためのディスプレイECU23やディスプレイ31)への電力供給が継続されるようにする。
次に、S340にて、センタ3から書き換え対象のプログラムをダウンロードする。
そして、次のS350にて、ダウンロードしたデータに対してパリティチェックなどの検査を実施することにより、ダウンロードが正常に完了したか否かを判定し、ダウンロードが正常完了したならば(S350:YES)、次のS360にて、ダウンロードが完了したことをユーザに通知すると共に、上記S320で実施していた機能制限を解除するために、他のECUへダウンロード完了通知を送信する。つまり、他のECUは、ダウンロード完了通知を受信すると、上記S320でナビゲーションECU15が出した指令に基づき実施していた機能の禁止を解除する。
そして、その後、S370に進んで、プログラム書き換えモードへの移行処理へ移行する。すると、ナビゲーションECU15は、図10に示すプログラム書き換えモードへの移行処理を開始することとなる。
また、上記S350にて、ダウンロードが正常完了しなかったと判定した場合には(S350:NO)、S380に移行して、カウンタNをインクリメント(+1)し、続くS390にて、カウンタNの値が規定値N1に達したか否かを判定する。尚、カウンタNの初期値は0である。
そして、カウンタNの値が規定値N1に達していなければ(S390:NO)、S340に戻って、再度プログラムのダウンロードを実施する。また、上記S390にて、カウンタNの値が規定値N1に達したと判定した場合には(S390:YES)、そのまま処理を終了する。尚、このように処理を終了する場合にも、上記S320で実施していた機能制限を解除するために、他のECUへダウンロード完了通知を送信する。
一方更に、ナビゲーションECU15は、プログラムダウンロードモードに移行すると、図9の処理と並行して、キー電源管理ECU17及び電源管理ECU19へ指令を与えることにより、ドアシステム管理ECU21とセキュリティECU22、及びそれらECU21,22に関連する電気負荷への電力供給が継続されるようにすると共に、ドアシステム管理ECU21とセキュリティECU22に指令を与えて、ドアシステム管理ECU21による各ロックモータ50〜54の制御状態を保持させると共に、セキュリティECU22におけるセキュリティセット/アンセット状態を保持させる。
このため、プログラムのダウンロード中は、それ以前にユーザが設定していたドアの施解錠状態とセキュリティセット/アンセット状態とが確保されることとなり、プログラムのダウンロード中に、ユーザの意志に反してドアの施錠やセキュリティセット状態が解除され防犯性が低下してしまうことはない。
尚、S340でのプログラムダウンロードは、そのダウンロードに関わるコンピュータや無線通信能力に一定以上の負荷が無いことを確認してから開始するようにしても良い。
また、例えばS320とS330との間で、ユーザがダウンロードの開始を許可したか否かを、ユーザによるボタン操作や音声入力などで判断し、ユーザの許可が得られなければ、上記S320での機能制限を解除すると共に、ダウンロードを中止するようにしても良い。
また、プログラムのダウンロードを実施するECUや、ダウンロードしたプログラムを保存するECUは、ナビゲーションECU15(つまり、プログラム書き換え統括機能を有する装置)とは別のECUであっても良い。
次に、図10に示すように、ナビゲーションECU15がプログラム書き換えモードへの移行処理を開始すると、まずS410にて、ユーザへ、プログラム書き換えを開始した場合の、車両における機能や操作が制限される点及びその制限の内容と、プログラム書き換え完了までに必要な時間や終了予定時刻を通知する。尚、このS420でユーザに通知される制限の内容は、後述する図12におけるS620及びS630の処理によって制限される機能や操作の内容である。
そして、続くS420にて、ユーザからのキャンセル指示が一定時間内にあったか否かを判定し、キャンセル指示がなければ(S420:NO)、S430に進んで、車両状態の確認処理へ移行する。すると、ナビゲーションECU15は、図11に示す車両状態の確認処理を開始することとなる。
また、ユーザからのキャンセル指示があったならば(S420:YES)、S440に移行して、プログラム書き換えを中止し、そのまま処理を終了する。このため、ダウンロードしたプログラムをターゲットマイコンが搭載されたECUへ転送する処理を開始するまでの間に、ユーザによるキャンセル操作が受け付けられることとなる。
尚、ユーザがキャンセル指示を行うためのキャンセル操作としては、操作ボタンやディスプレイ画面上でのタッチ操作といった車両内機器に対する操作や音声入力でも良いし、また、ユーザが自分の所有する携帯電話やパーソナルコンピュータなどの連絡用機器により、Web操作したり電子メールや電話などでセンタ3へ連絡すると、そのセンタ3を経由して本車両コンピュータシステムへキャンセル指示が通知される、といったものでも良い。一方、上記S420の判定を削除して、そのまま車両状態の確認処理へ移行するようにしても良い。
次に、図11に示すように、ナビゲーションECU15が車両状態の確認処理を開始すると、まずS510にて、エンジンが停止してからの経過時間を計測する機能を有したECU(本実施形態ではエンジンECU11)から、その計測されている経過時間を車両内有線通信により取得して、その経過時間が一定時間T1以上であるか否かを判定する。
そして、エンジン停止からの経過時間が一定時間T1以上であれば(S510:YES)、そのままS515へ進むが、エンジン停止からの経過時間が一定時間T1以上でなければ(S510:NO)、その経過時間が一定時間T1に達するまで待ってからS515へ進む。
尚、上記一定時間T1は、メモリ内の実行対象プログラムがセンタ3から今回ダウンロードされたプログラムに書き換えられる予定のマイコン(ターゲットマイコン)について必要と考えられる冷却時間に設定される。また、エンジン停止からの経過時間が一定時間T1に達するまで待つ場合、その残り時間や待機していることを、ユーザへ通知するようにしても良い。
次に、S515では、キー電源管理ECU17へ指令を与えて、ユーザの電源キー操作とは関係なくエアコンECU20と少なくとも外気温センサ67及び内気温センサ68にバッテリ75からの電力が供給されるようにする。そして、車両内有線通信により、そのエアコンECU20に指令を与えて、外気温度と内気温度を測定させるとと共に、その測定結果をエアコンECU20から取得する。そして更に、このS515では、外気温度が最小規定値M1minから最大規定値M1maxまでの規定範囲内であるか否かを判定し、その規定範囲内であれば(S515:YES)、次のS520にて、内気温度が最小規定値M2minから最大規定値M2maxまでの規定範囲内であるか否かを判定する。そして、内気温度が規定範囲内であると判定したならば(S520:YES)、S525に進む。尚、外気温度と内気温度の測定は、例えば図10の処理を開始した直後のタイミングで実施しておいても良い。
S525では、電源管理ECU19との車両内有線通信により、その電源管理ECU19から現在のバッテリ電圧とバッテリ75の劣化状態の情報を取得する。そして更に、このS525では、バッテリ電圧がプログラム書き換えを実施するのに支障が無いと考えられる規定値V1以上であるか否かを判定し、規定値V1以上であれば(S525:YES)、次のS530にて、バッテリ75の劣化は無いか否か(つまり、バッテリ75の劣化状態がプログラム書き換えを実施するのに支障が無い程度か否か)を判定する。そして、バッテリ75の劣化は無いと判定したならば(S530:YES)、S535に進む。
S535では、キー電源管理ECU17又は電源管理ECU19に指令を与えて、ターゲットマイコンが搭載されたECU(以下、ターゲットECUともいう)にバッテリ75からの電力が供給されるようにする。そして、ターゲットECUに指令を与えて、そのターゲットECUに実際に供給されている電源電圧を測定させると共に、その測定結果を送信させる。そして更に、このS535では、そのターゲットECUに実際に供給されている電源電圧がプログラム書き換えを実施するのに支障が無いと考えられる規定値V2以上であるか否かを判定し、規定値V2以上であれば(S535:YES)、S540に進む。尚、ターゲットECUに供給されている電源電圧の代わりに、ターゲットマイコンに供給されている電源電圧の情報をターゲットECUから取得して、その電源電圧が規定値範囲内であるか否かを判定するようにしても良い。
S540では、GPS衛星からのGPS信号を受信して車両の現在位置を検出し、地図情報やセンタ3又は他の情報センタから無線で提供される道路情報などを参照して、その検出した現在位置がプログラム書き換えを実施するのに支障が無い場所か否かを判定する。そして、例えば、車両の現在位置が、テレビ塔直下などの強電界が発生する場所であったり、高速道路上や、渋滞道路上や、事故現場付近でなければ、プログラムの書き換えに支障がない場所と判定して(S540:YES)、S545に進む。
S545では、センタ3又は他の情報センタと通信して、車両が存在している場所での有事情報があるか否かを判定し、有事情報があれば、更に、その情報に基づいて、何らかの災害警告等(例えば、地震の発生中又は発生直後であることや、大規模災害が発生したことの警告)が発せられているか否かを判定する。そして、災害警告等がなければ(S545:YES)、プログラム書き換えを実施するのに支障は無いと判断してS550に進む。
S550では、図10のS420と同様に、ユーザからのキャンセル指示が一定時間内にあったか否かを判定し、キャンセル指示がなければ(S550:NO)、次のS560にて、車両状態条件がOKである(つまり、プログラム書き換えを実施するのに必要な条件が成立した)と判断し、そのことをユーザへ通知する。そして、その後、S565に進んで、車両状態の設定処理へ移行する。すると、ナビゲーションECU15は、図12に示す車両状態の設定処理を開始することとなる。
一方、上記S515とS520との何れかで「NO」と判定した場合、即ち、外気温度が規定範囲内ではないと判定するか(S515:NO)、或いは、内気温度が規定範囲内ではないと判定した場合には(S520:NO)、S570に移行して、一定時間T2だけ待ち、続くS575にて、カウンタNをインクリメントする。そして、次のS580にて、カウンタNの値が規定値N2に達したか否かを判定し、カウンタNの値が規定値N2に達していなければ(S580:NO)、S515に戻り、また、カウンタNの値が規定値N2に達したならば(S580:YES)、S585へ移行する。尚、カウンタNの初期値は0である。
つまり、S515とS520で判定する温度条件が成立しない場合には、一定時間T2が経過してから、再度、その温度条件が成立しているか否かを判定するようにしており、また、その判定回数がN2回に達したら、もはや温度条件が成立する見込みはなく、車両の状態がプログラムの書き換えに不適切な状態であると判断して、S585へ移行するようにしている。
また、上記S525〜S545の何れかで「NO」と判定した場合、即ち、バッテリ電圧が規定値V1以上ではないと判定するか(S525:NO)、バッテリ75の劣化があると判定するか(S530:NO)、ターゲットECUに供給されている電源電圧が規定値V2以上ではないと判定するか(S535:NO)、車両の現在位置がプログラムの書き換えに支障のある場所であると判定するか(S540:NO)、災害警告等が発せられている(有事が発生している)と判定した場合(S545:NO)にも、車両の状態がプログラムの書き換えに不適切な状態であると判断して、S585へ移行する。
S585では、プログラム書き換えを実施するのに必要な車両状態条件が成立しなかったことをユーザに通知し、続くS590にて、プログラム書き換えを中止する。そして、そのまま処理を終了する。
また、上記S550にて、ユーザからのキャンセル指示があったと判定した場合にも(S550:YES)、S590に移行して、プログラム書き換えを中止し、そのまま処理を終了する。
尚、S585では、成立しなかった条件の内容もユーザへ通知するようにしても良い。また、ホーンやブザーやハザード点滅、ライト点灯/点滅などによって車両状態条件の不成立を通知するようにしても良い。また、S550からS560へ進む前に、念のため、全条件の確認処理(S510〜545)を再度実施するようにしてもよい。
次に、図12に示すように、ナビゲーションECU15が車両状態の設定処理を開始すると、まずS605にて、キー電源管理ECU17及び電源管理ECU19へ指令を与えて、車両コンピュータシステムにおける全てのECUに電力が供給されるようにし、更に、当該ナビゲーションECU15を除く全てのECUへ、その各ECUが現在記憶している故障診断情報であるダイアグコードを送信させる。そして、その各ECUからのダイアグコードと、自ECU15が現在記憶しているダイアグコードとを、プログラム書き換えを実施する直前のダイアグコードとしてメモリに記憶しておく。
そして、次のS610にて、他の全ECUへ、プログラム書き換えを開始する前の準備通知として、下記の通知を行う。
即ち、他の全ECUへ、プログラムの書き換えを開始することと、ターゲットマイコンがどのECUのどのマイコンであるのかを示すターゲット識別情報と、後述するS620及びS630の処理によって作動が禁止されることとなる機能、ECU及び電気負荷を表す禁止内容情報とを通知する。
すると、以後、ナビゲーションECU15を含む全てのECUのマイコンは、それが異常を監視している項目(故障検出項目)のうち、ターゲットマイコンの動作に関わる項目と、上記禁止内容情報の表す機能、ECU及び電気負荷に関連する項目とに異常があっても、それを異常として判断しないようになる。つまり、S610での準備通知は、プログラム書き換えを実施することによって正常作動しなくなる項目については、異常と判定しないようにするための指令である。
次に、ナビゲーションECU15は、S615にて、キー電源管理ECU17及び電源管理ECU19へ指令を与えて、プログラムの書き換えに関連する機器(具体的には、当該ナビゲーションECU15及びターゲットECUと、ユーザへの通知を行うためのECU及びそれの関連機器)への電力供給が継続されるようにする。
そして、次のS620にて、キー電源管理ECU17及び電源管理ECU19へ指令を与えて、プログラムの書き換えには関連しない(換言すれば、影響が無い)少なくとも1つ以上の機器への電力供給を遮断させる。
例えば、ターゲットマイコンがエンジンECU11のマイコンであるとすると、車両挙動ECU12やエアバッグECU13など、上記S615で電力供給を継続するECU以外のECUへは、電力の供給を遮断する。また、電気負荷のうち、特に消費電流が大きくて作動時にバッテリ電圧の変動を招きやすいエンジン冷却用電動ファンやABSアクチュエータなどへの電力供給を遮断する。
但し、このS620において、ドアシステム管理ECU21とセキュリティECU22へは電力が継続して供給されるようにして、ドアシステム管理ECU21によるドアロックの機能と、セキュリティECU22によるセキュリティ機能は、プログラム書き換えの実施中においても正常に作動するようにしている。このため、ターゲットECUがドアシステム管理ECU21とセキュリティECU22とのどちらでもなければ、その後に開始されるプログラム書き換えの実施中においても、それ以前にユーザが設定していたドアの施解錠状態とセキュリティセット/アンセット状態とが維持されることとなり、プログラム書き換えの実施中に、ユーザの意志に反してドアの施錠やセキュリティセット状態が解除され防犯性が低下してしまうことはない。
次に、ナビゲーションECU15は、S630にて、作動することにより一時的又は定常的に消費電流が大きくなる機器の作動を禁止させる指令を、その機器を制御するECUに与える。この指令により、例えば、エンジン始動用のスタータモータを作動させる操作や、ワイヤレスにより各ドアのロックモータ50〜54をアンロック側に作動させる操作(つまり、上記携帯機のアンロック用ボタンの操作)や、パワーウィンドウを作動させる操作や、ライトや室内照明を点灯させる操作や、ワイパーを作動させる操作や、ウィンドウウォッシャモータを作動させる操作などが無効になる。更に、このS630では、キー電源管理ECU17に指令を与えることにより、イグニッションキーシリンダにおけるキーの操作(車両の電源スイッチの操作に相当)を無効にさせる。つまり、イグニッションキーシリンダにおけるキーが操作されて、そのキー操作位置が変化しても、その操作によって本来ならば通電される機器へは電力が供給されないようにする。
次に、S640にて、上記S615〜S630による状態設定が完了したか否かを判定する。ここでは、上記S615〜S630で指令を与えた全てのECUから、その指令に従い動作することを示す了解応答があったならば、状態設定が完了したと判定する。
そして、状態設定が完了したと判定したならば(S640:YES)、S650に進んで、ユーザへ、状態設定が完了したことと、図10のS410と同様に、上記S620及びS630の処理によって制限される機能や操作の内容(特に、どういう操作が無効になるか)とを通知する。その後、S660に進んで、防犯性の確保処理へ移行する。すると、ナビゲーションECU15は、図13に示す防犯性の確保処理を開始することとなる。
また、上記S640にて、状態設定が完了しなかったと判定した場合には(S640:NO)、S670に移行して、状態設定に成功しなかったこと(設定不成功)をユーザに通知し、その後、S680にてプログラム書き換えを中止して、そのまま処理を終了する。
尚、S650でユーザへの通知を行った後、図10のS420や図11のS550と同様の判定を行って、ユーザからのキャンセル指示があったならば、プログラム書き換えを中止するようにしても良い。
次に、図13に示すように、ナビゲーションECU15が防犯性の確保処理を開始すると、まずS710にて、ドアシステム管理ECU21及びセキュリティECU22と通信して、そのECU21,22による防犯機能が有効側に設定されているか否か(即ち、車両の全ドアがロックされているドアロック状態であり、且つ、セキュリティセット状態であるか否か)を判定し、ドアロック状態とセキュリティセット状態との両方でなければ(S710:NO)、S715に進んで、ユーザへ、ドアロックとセキュリティセットの操作(本実施形態では、ワイヤレス操作によるドアロックであり、詳しくは、携帯機のロック用ボタンの操作によるドアロック)を実施すべきことを指示する通知を行う。
そして、次のS720にて、ドアシステム管理ECU21及びセキュリティECU22と通信して、ユーザによるドアロックとセキュリティセットの操作があったか否か(即ち、ドアロック状態で且つセキュリティセット状態になったか否か)を判定し、その操作がなかった場合には(S720:NO)、S725に進んで、車両の全ドアが閉じているドア閉状態であるか否かを判定する。
このS725にてドア閉状態であると判定した場合には(S725:YES)、S730に進んで、今回実施しようとしているプログラム書き換えが防犯関係のECUに対するプログラム書き換えか否かを判断する。尚、このS730では、図9のS340でセンタ3からダウンロードしたプログラムが、ECU21,22の何れかに搭載されたマイコンで実行されるプログラムであれば、防犯関係のECUに対するプログラム書き換えであると判断する。
そして、このS730にて、防犯関係のECUに対するプログラム書き換えではないと判断した場合には(S730:NO)、S735に進んで、ドアシステム管理ECU21及びセキュリティECU22へ指令を与えて、その2つのECU21,22に搭載されているマイコンを、防犯機能が有効となるように作動させる。つまり、ドアシステム管理ECU21に全ドアをロックさせると共に、セキュリティECU22をセキュリティセット状態に遷移させる。
そして、その後、S740に進み、プログラム書き換え処理へ移行する。すると、ナビゲーションECU15は、図14に示すプログラム書き換え処理を開始することとなる。
また、上記S730にて、防犯関係のECUに対するプログラム書き換えであると判断した場合には(S730:YES)、S750に移行して、再度、図8のS260と同様に、ユーザが車両に同伴しているか否か(つまり、ユーザが車室内又は車両周辺に居るか否か)を判定する。
そして、ユーザが車両に同伴していると判定した場合には(S750:YES)、S755に進んで、図8のS245と同様に、ユーザへ、車両を監視することを促す通知を行い、その後、S740に進んでプログラム書き換え処理へ移行する。
一方、上記S725にてドア閉状態ではない(何れかのドアが開いている)と判定した場合(S725:NO)、或いは、上記S750にてユーザが車両に同伴していないと判定した場合(S750:NO)には、防犯性を確保することができないため、S760に移行して、プログラム書き換えを中止する。そして、次のS765にて、ユーザへ、プログラム書き換えを中止したことを通知し、その後、処理を終了する。
また、上記S710にてドアロック状態且つセキュリティセット状態であると判定した場合(S710:YES)、或いは、上記S720にてユーザによるドアロックとセキュリティセットの操作があったと判定した場合(S720:YES)には、そのまま(即ち、ドアロック状態且つセキュリティセット状態を維持したまま)S740に進んで、プログラム書き換え処理へ移行する。
次に、図14に示すように、ナビゲーションECU15がプログラム書き換え処理を開始すると、まずS801にて、ターゲットECUに指令を与えて、プログラムを書き換える対象のメモリ(即ち、ターゲットマイコンのメモリ)に記憶されているデータのうち、プログラムの書き換え後も継続して保持すべき学習値やカスタマイズ設定値や車両走行距離値などの特定種別データを、他の記憶媒体に退避させる。尚、他の記憶媒体(即ち、上記特定種別データの退避先)としては、ターゲットECUに備えられている他のメモリに限らず、ターゲットECUと通信線で接続されている他のECUに備えられているメモリでも良く、また、センタ3に存在するメモリでも良い。
そして、次にS803にて、ターゲットECUへプログラムの書き換え処理を開始させる指令を与えると共に、そのターゲットECUへ、センタ3からダウンロードした書き換え対象プログラムを転送する。すると、ターゲットECUでは、マイコンが、その書き換え対象プログラムを順次受信して、メモリ内のプログラムを、その受信したプログラムに書き換えることとなる。
そして、ターゲットECUにてプログラムの書き換え処理が終了したことを、そのターゲットECUからの通知によって検知すると、S805に進んで、プログラム書き換え完了の確認処理へ移行する。すると、ナビゲーションECU15は、図15に示すプログラム書き換え完了の確認処理を開始することとなる。
そして、図15に示すように、ナビゲーションECU15がプログラム書き換え完了の確認処理を開始すると、まずS810にて、ターゲットECUから、書き換えたプログラムのバージョン情報を取得し、そのバージョン情報が、センタ3からダウンロードしたプログラムのバージョン情報と一致しているか否かを確認する。
次に、S820にて、ターゲットECUに、図14のS801で退避させた特定種別データを、プログラムを書き換えたメモリ(即ち、ターゲットマイコンのメモリ)に再記憶させる。
そして、次のS830にて、他の各ECUに、図12のS610〜S630で出した指令の処理を解除する通知を出す。この解除通知により、図12の処理が実施される前の車両状態に戻ることとなる。
次に、S840にて、図12のS605と同様の手順により、他の各ECUから、それら各ECUが現在記憶しているダイアグコードを取得する。そして、続くS850にて、その取得した各ECUのダイアグコード(即ち、プログラム書き換え実施後のダイアグコード)と、上記図12のS605で記憶しておいた各ECUのダイアグコード(即ち、プログラム書き換え実施前のダイアグコード)とが一致しているか否かを判定し、両者が一致していれば、そのままS870に進むが、両者が一致していなければ、S860にて、不一致であった内容を記憶した後、S870に進む。尚、S840及びS850の処理は、図12のS610で各ECUに出した指令(準備通知)が正常に機能したか否かを確認するためのものである。
そして、S870では、プログラム書き換えが正常に完了したか否かを判定する。具体的には、ターゲットECUに指令を与えて、書き換えた後のプログラムを送信させ、そのプログラムと、センタ3からダウンロードしたプログラムとが一致しているか否かを判定し、その両プログラムが一致しており、且つ、上記S810でバージョン情報の一致が確認できていれば、プログラム書き換えが正常に完了したと判断して、S880へ進み、プログラム書き換え完了の通知処理へ移行する。すると、ナビゲーションECU15は、図16に示すプログラム書き換え完了の通知処理を開始することとなる。
また、上記S870でプログラム書き換えが正常に完了しなかったと判定した場合には(S870:NO)、S890に移行して、ユーザへ、プログラム書き換えが正常に完了しなかったこと(プログラム書き換えの不成功)を通知し、その後、処理を終了する。
尚、S870でプログラム書き換えが正常に完了しなかったと判定した場合、所定回数を限度に、図11の処理から再度実施するようにしても良い。また、プログラム書き換えが正常に完了したと判定した時点で、バッテリ電圧をチェックして、バッテリ75が弱っていると判定した場合には、スタータモータを駆動してエンジンを始動させ、アイドリングによるバッテリ75の充電を図ると共に、そのことをユーザに通知するようにしても良い。
次に、図16に示すように、ナビゲーションECU15がプログラム書き換え完了の通知処理を開始すると、まずS910にて、プログラム書き換えが正常に完了したことをユーザに通知する。尚、このとき、図12のS650で通知していた制限内容が解除されたことも通知するようにしても良い。また、プログラム書き換えが正常完了したことは、ホーンやブザーやハザード点滅、ライト点灯/点滅など、ユーザが車両の近くで確認できる手段によって通知するようにしても良い。
そして、続くS920にて、ユーザが次に乗車した際に、プログラム書き換えが正常に完了したことが、ディスプレイ31に表示されたり、発音装置から音声で出力されるように、関連するECUへ指令を与えておく。
最後に、S930にて、今回プログラム書き換えが行われたマイコンがどのマイコンであるかと、そのマイコンについてのプログラム書き換え回数とを記憶すると共に、その記憶した内容をセンタ3にも通知し、その後、処理を終了する。
尚、本実施形態では、センタ3がプログラム供給手段に相当し、図8のS260と図13のS750との各処理が監視有無判定手段に相当し、図8のS270と図13のS760との各処理が書換実施禁止手段に相当している。そして、図8のS245と図13のS755との各処理が監視催促通知手段に相当し、図13のS735の処理が防犯機能有効化手段に相当している。また、図12のS615〜S630の処理が状態設定手段に相当し、図11のS510〜S545及びS570〜S580の処理が状態判定手段に相当している。
以上のような本実施形態のプログラム書き換えシステムでは、防犯関係のECU21,22に対するプログラム書き換えを実施しようとする場合に、図8のS260と図13のS750との各処理により、車両がユーザに監視されているか否か(ユーザが車両に同伴しているか否か)を判定し、車両がユーザに監視されていないと判定した場合(S260:NO又はS750:NO)には、プログラム書き換えを中止して(S270又はS760)、その防犯関係のECU21,22でプログラムの書き換え処理が実施されるのを禁止するようにしている。
このため、ユーザが車両を監視していない状況において、防犯関係のECU21,22でプログラムを書き換える処理が実施され、そのプログラムにより実現される防犯機能(ドアロック機能とセキュリティ機能)が無効となって防犯性が低下してしまうことを回避することができる。よって、本実施形態のプログラム書き換えシステムによれば、車両の防犯性を確保しつつプログラムの書き換えを実施することができる。
更に、本実施形態のプログラム書き換えシステムでは、防犯関係のECU21,22に対するプログラム書き換えを実施しようとする場合には、図8のS245と図13のS755との各処理により、ユーザに対して車両を監視することを促す通知を行うようになっている。このため、防犯関係のECU21,22でプログラムを書き換える処理が実施されて、そのプログラムにより実現される防犯機能が無効となる場合に、ユーザが車両から離れてしまうことを防止することができる。
また、本実施形態のプログラム書き換えシステムでは、防犯関係のECU21,22以外のECUに対するプログラム書き換えを実施する場合には、図13のS735の処理により、ユーザの操作が無くても、ECU21に全ドアをロックさせると共に、ECU22をセキュリティセット状態に遷移させる。このため、防犯関係のECU21,22以外のECUに関するプログラム書き換えの実施中における防犯性も確保することができる。
そして更に、本実施形態のプログラム書き換えシステムによれば、車両コンピュータシステム1は、プログラムの書き換えを実施する前に、図12のS615〜S630の処理により、車両の状態をプログラムの書き換えを実施するのに適した状態へと自動的に設定し、その設定の完了後に、プログラムの書き換えを実施するようになっている。そして、その設定により、プログラム書き換えの実施中において、もしプログラム書き換えに関係のない操作が行われても、その操作によって本来ならば通電される機器へは電力が供給されなくなるため、バッテリ電圧(延いては、ターゲットECU又はターゲットマイコンに供給される電源電圧)が変動してしまうことを防止することができる。このため、人によるヒューズ抜きや確認の作業に頼ることなく、信頼性の高いプログラム書き換えを実現することができ、延いては、プログラム書き換えの失敗によるコンピュータの機能不良及びECU交換を回避することができ、コスト増加や廃棄物増加を防止することができる。
特に、本実施形態のプログラム書き換えシステムは、車両コンピュータシステム1がプログラム供給先のセンタ3と無線で通信する無線通信タイプの書き換えシステムであるため、工場やディーラなどの作業者がいない環境でも、車両コンピュータシステム1の信頼性の高いプログラム書き換えを実現可能なことが要求されるが、その要求を満たすことができる。
また、本実施形態のプログラム書き換えシステムでは、前述したように、ドアシステム管理ECU21によるドアロックの機能と、セキュリティECU22によるセキュリティ機能については、プログラム書き換えの実施中においても正常に作動するようにしているため、ユーザが不在の状況でも防犯性が低下してしまうことはない。
また、本実施形態のプログラム書き換えシステムでは、図10のS410と図12のS650の処理により、ユーザへ、図12のS620及びS630の処理によって制限される機能や操作の内容を通知するようにしているため、ユーザが、機能不良故障が発生したと勘違いしてしまうことを防止することができる。
そして更に、本実施形態のプログラム書き換えシステムでは、図11のS510〜S545及びS570〜S580の処理により、車両の状態がプログラムの書き換えを実施するのに不適切な状態であるか否かが自動的に判定され、不適切な状態であると判定されると、プログラム書き換えを中止するようになっているため、信頼性の高いプログラム書き換えを、人による確認作業に頼ることなく一層確実に実現することができる。尚、図11の確認処理では、例えば、キー操作位置が変化したか否かも判定して、キー操作位置が変化したと判定した場合にも、S585へ移行するようにしても良い。
以上、本発明の一実施形態について説明したが、本発明はこうした実施形態に何等限定されるものではなく、本発明の要旨を逸脱しない範囲において、種々なる態様で実施し得ることは勿論である。
例えば、上記実施形態のプログラム書き換えシステムでは、車両に搭載されたECUのうちのナビゲーションECU15が、プログラム書き換え統括機能を有する装置となっていたが、センタ3がプログラム書き換え統括機能を有する装置として機能するように構成しても良い。つまり、センタ3も、通信端末7及びナビゲーションECU15と通信線33〜37を介して車両の各ECUと通信可能であるため、各ECUから情報を収集して前述した各種判定を行うと共に、各ECUへ前述した各種指令を出すようにすれば良い。
また例えば、セキュリティ機能が無く、防犯関係のECUがドアシステム管理ECU21だけの場合にも、上記実施形態と同様に構成することができる。また逆に、アクチュエータ(ロックモータ)によるドアロック機能が無く、防犯関係のECUがセキュリティECU22だけの構成は、一般的ではないが、そのような構成の場合でも、上記実施形態と同様に構成すれば良い。
一方、前述した図7の書き換え制御動作を実現するためのプログラムや判定基準値は、車両コンピュータシステム1に予め備えられていても良いし、車両外部(センタ3)から車両コンピュータシステム1にダウンロードされるようにしても良い。
また、上記実施形態のプログラム書き換えシステムにおいて、車両側でプログラム書き換えが実施されているときに、セキュリティECU22が車両への不正行為を検知して音響警報機器64などによる警告動作を実施した場合には、何れかのECU(例えばプログラム書き換え統括機能を有するECU又はターゲットECU)が、プログラム書き換えの処理を継続可能な状況か否かをバッテリ電圧などに基づき判定して、継続可能な状況ではないと判定した場合には、プログラム書き換えの処理を一時的に中断させるようにし、更にその後、例えば一定時間以内にプログラム書き換えの処理を実施可能な状況に戻ったと判定できたならば、プログラム書き換えの処理を継続させ、それ以外の場合には、そのままプログラム書き換えを中止するように構成しても良い。
実施形態のプログラム書き換えシステムを表す構成図である。 ドアシステム管理ECUを説明する説明図である。 セキュリティECUを説明する説明図である。 エアコンECUを説明する説明図である。 キー電源管理ECUを説明する説明図である。 電源管理ECUを説明する説明図である。 ナビゲーションECU(プログラム書き換え統括機能を有する装置)で実施される書き換え制御動作の流れ全体を表すフローチャートである。 プログラム書き換えの開始判定処理の内容を表すフローチャートである。 プログラムのダウンロード処理の内容を表すフローチャートである。 プログラム書き換えモードへの移行処理の内容を表すフローチャートである。 車両状態の確認処理の内容を表すフローチャートである。 車両状態の設定処理の内容を表すフローチャートである。 防犯性の確保処理の内容を表すフローチャートである。 プログラム書き換え処理の内容を表すフローチャートである。 プログラム書き換え完了の確認処理の内容を表すフローチャートである。 プログラム書き換え完了の通知処理の内容を表すフローチャートである。
符号の説明
1…車両コンピュータシステム、3…センタ、5…通信網、7…通信端末、11…エンジンECU、12…車両挙動ECU、13…エアバッグECU、14…クルーズECU、15…ナビゲーションECU、16…メータECU、17…キー電源管理ECU、18…ライトシステム管理ECU、19…電源管理ECU、20…エアコンECU、21…ドアシステム管理ECU、22…セキュリティECU、23…ディスプレイECU、24…音声案内ECU、25…ブラウザECU、26…オーディオECU、31…ディスプレイ、33〜37…通信線、41…通信部、42…制御部、43…運転席カーテシスイッチ、44…助手席カーテシスイッチ、45…右後席カーテシスイッチ、46…左後席カーテシスイッチ、47…ラゲッジカーテシスイッチ、48…通信機、50…運転席ドアロックモータ、51…助手席ドアロックモータ、52…右後席ドアロックモータ、53…左後席ドアロックモータ、54…ラゲッジロックモータ、60…侵入センサ、61…傾斜センサ、62…振動センサ、64…音響警報機器、65…セキュリティインジケータ、67…外気温センサ、68…内気温センサ、70…キーポジションスイッチ、71〜74,L1〜Ln…電源ライン、75…バッテリ、76〜79,SR1〜SRn…スイッチング装置、86…電流センサ、87…温度センサ

Claims (8)

  1. 車両に搭載されたコンピュータシステム(以下、車両コンピュータシステムという)と、その車両コンピュータシステムと無線通信すると共に、その車両コンピュータシステムへ書き換え対象のプログラムを送信する車両外のプログラム供給手段とからなり、前記車両コンピュータシステムが、メモリ内のプログラムを前記プログラム供給手段から送信されてきたプログラムに書き換えるように構成されたプログラム書き換えシステムにおいて、
    前記車両が使用者に監視されているか否かを判定する監視有無判定手段と、
    該監視有無判定手段により前記車両が使用者に監視されていないと判定された場合には、前記車両コンピュータシステムにて前記車両の防犯機能に関連するコンピュータのプログラムを書き換える処理が実施されるのを禁止する書換実施禁止手段と、
    を備えていることを特徴とするプログラム書き換えシステム。
  2. 車両に搭載されたコンピュータシステム(以下、車両コンピュータシステムという)と、その車両コンピュータシステムと無線通信すると共に、その車両コンピュータシステムへ書き換え対象のプログラムを送信する車両外のプログラム供給手段とからなり、前記車両コンピュータシステムが、メモリ内のプログラムを前記プログラム供給手段から送信されてきたプログラムに書き換えるように構成されたプログラム書き換えシステムにおいて、
    前記車両コンピュータシステムにて前記車両の防犯機能に関連するコンピュータのプログラムを書き換える処理が実施される場合に、前記車両の使用者に対して、前記車両を監視することを促す通知を行う監視催促通知手段を備えていること、
    を特徴とするプログラム書き換えシステム。
  3. 車両に搭載されたコンピュータシステム(以下、車両コンピュータシステムという)と、その車両コンピュータシステムと無線通信すると共に、その車両コンピュータシステムへ書き換え対象のプログラムを送信する車両外のプログラム供給手段とからなり、前記車両コンピュータシステムが、メモリ内のプログラムを前記プログラム供給手段から送信されてきたプログラムに書き換えるように構成されたプログラム書き換えシステムにおいて、
    前記車両コンピュータシステムにて前記車両の防犯機能に関連しないコンピュータのプログラムを書き換える処理が実施される場合に、前記車両の防犯機能に関連するコンピュータを、その防犯機能が有効となるように作動させる防犯機能有効化手段を備えていること、
    を特徴とするプログラム書き換えシステム。
  4. 請求項1ないし請求項3の何れか1項に記載のプログラム書き換えシステムにおいて、
    前記防犯機能は、前記車両のドアロック機能と、前記車両への不正行為を検知して警報するセキュリティ機能との両方又は一方であること、
    を特徴とするプログラム書き換えシステム。
  5. 請求項1ないし請求項4の何れか1項に記載のプログラム書き換えシステムにおいて、
    前記車両コンピュータシステムがプログラムの書き換えを実施する前に、前記車両の状態をプログラムの書き換えに適した状態に設定するための設定処理を行う状態設定手段を備え、
    前記車両コンピュータシステムは、前記状態設定手段による設定処理の完了後に、プログラムの書き換えを実施するように構成されていること、
    を特徴とするプログラム書き換えシステム。
  6. 請求項5に記載のプログラム書き換えシステムにおいて、
    前記状態設定手段は、前記車両の状態を、その車両のドアロック機能が正常に作動する範囲内で設定すること、
    を特徴とするプログラム書き換えシステム。
  7. 請求項5に記載のプログラム書き換えシステムにおいて、
    前記状態設定手段は、前記車両の状態を、その車両への不正行為を検知して警報するセキュリティ機能が正常に作動する範囲内で設定すること、
    を特徴とするプログラム書き換えシステム。
  8. 請求項1ないし請求項7の何れか1項に記載のプログラム書き換えシステムにおいて、
    前記車両コンピュータシステムがプログラムの書き換えを実施する前に、前記車両の状態がプログラムの書き換えに不適切な状態であるか否かを判定する状態判定手段を備え、
    前記車両コンピュータシステムは、前記状態判定手段により前記車両の状態がプログラムの書き換えに不適切な状態であると判定されたならば、プログラムの書き換えを中止するように構成されていること、
    を特徴とするプログラム書き換えシステム。
JP2004268315A 2004-09-15 2004-09-15 プログラム書き換えシステム及び車両コンピュータシステム Expired - Fee Related JP4599952B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004268315A JP4599952B2 (ja) 2004-09-15 2004-09-15 プログラム書き換えシステム及び車両コンピュータシステム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004268315A JP4599952B2 (ja) 2004-09-15 2004-09-15 プログラム書き換えシステム及び車両コンピュータシステム

Publications (3)

Publication Number Publication Date
JP2006082648A true JP2006082648A (ja) 2006-03-30
JP2006082648A5 JP2006082648A5 (ja) 2007-10-25
JP4599952B2 JP4599952B2 (ja) 2010-12-15

Family

ID=36161501

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004268315A Expired - Fee Related JP4599952B2 (ja) 2004-09-15 2004-09-15 プログラム書き換えシステム及び車両コンピュータシステム

Country Status (1)

Country Link
JP (1) JP4599952B2 (ja)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011070287A (ja) * 2009-09-24 2011-04-07 Toyota Motor Corp プログラム更新装置、センタ及びプログラム更新システム
JP2012013443A (ja) * 2010-06-29 2012-01-19 Toyota Motor Corp 制御装置
JP2012035663A (ja) * 2010-08-03 2012-02-23 Honda Motor Co Ltd 車両用プログラム書換えシステム
JP2013052833A (ja) * 2011-09-06 2013-03-21 Denso Corp 車載ネットワークシステム
JP2014109965A (ja) * 2012-12-04 2014-06-12 Sanyo Electric Co Ltd 通信端末装置
JP2014118071A (ja) * 2012-12-18 2014-06-30 Toyota Motor Corp 車両用情報処理装置およびプログラム更新方法
JP2017220091A (ja) * 2016-06-09 2017-12-14 株式会社デンソー 車両用装置
JP2020009483A (ja) * 2019-09-20 2020-01-16 株式会社デンソー リプログマスタ
CN113454693A (zh) * 2019-03-08 2021-09-28 住友电装株式会社 车载更新装置、更新处理系统、更新处理方法及计算机程序
WO2024176611A1 (ja) * 2023-02-24 2024-08-29 トヨタ自動車株式会社 情報処理システム、情報処理方法、および記憶媒体

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000335371A (ja) * 1999-05-26 2000-12-05 Denso Corp 電子制御装置及び記録媒体
JP2001263156A (ja) * 2000-03-16 2001-09-26 Honda Motor Co Ltd 車両制御装置のためのメモリ書き換えシステム
JP2004028000A (ja) * 2002-06-27 2004-01-29 Mitsubishi Electric Corp 通信による車載ecuのメモリ書き換え装置
JP2004199493A (ja) * 2002-12-19 2004-07-15 Komatsu Ltd 車載プログラムの書き換え制御装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000335371A (ja) * 1999-05-26 2000-12-05 Denso Corp 電子制御装置及び記録媒体
JP2001263156A (ja) * 2000-03-16 2001-09-26 Honda Motor Co Ltd 車両制御装置のためのメモリ書き換えシステム
JP2004028000A (ja) * 2002-06-27 2004-01-29 Mitsubishi Electric Corp 通信による車載ecuのメモリ書き換え装置
JP2004199493A (ja) * 2002-12-19 2004-07-15 Komatsu Ltd 車載プログラムの書き換え制御装置

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011070287A (ja) * 2009-09-24 2011-04-07 Toyota Motor Corp プログラム更新装置、センタ及びプログラム更新システム
JP2012013443A (ja) * 2010-06-29 2012-01-19 Toyota Motor Corp 制御装置
JP2012035663A (ja) * 2010-08-03 2012-02-23 Honda Motor Co Ltd 車両用プログラム書換えシステム
JP2013052833A (ja) * 2011-09-06 2013-03-21 Denso Corp 車載ネットワークシステム
JP2014109965A (ja) * 2012-12-04 2014-06-12 Sanyo Electric Co Ltd 通信端末装置
JP2014118071A (ja) * 2012-12-18 2014-06-30 Toyota Motor Corp 車両用情報処理装置およびプログラム更新方法
JP2017220091A (ja) * 2016-06-09 2017-12-14 株式会社デンソー 車両用装置
CN109313592A (zh) * 2016-06-09 2019-02-05 株式会社电装 车辆用装置
US11685359B2 (en) 2016-06-09 2023-06-27 Denso Corporation Vehicle device
CN113454693A (zh) * 2019-03-08 2021-09-28 住友电装株式会社 车载更新装置、更新处理系统、更新处理方法及计算机程序
CN113454693B (zh) * 2019-03-08 2023-06-02 住友电装株式会社 车载更新装置、更新处理系统、更新处理方法及计算机程序
JP2020009483A (ja) * 2019-09-20 2020-01-16 株式会社デンソー リプログマスタ
WO2024176611A1 (ja) * 2023-02-24 2024-08-29 トヨタ自動車株式会社 情報処理システム、情報処理方法、および記憶媒体

Also Published As

Publication number Publication date
JP4599952B2 (ja) 2010-12-15

Similar Documents

Publication Publication Date Title
JP4599953B2 (ja) プログラム書き換えシステム及び車両コンピュータシステム
JP6056424B2 (ja) 車載プログラム更新装置
WO2019181496A1 (ja) プログラム更新システム、プログラム更新方法及びコンピュータプログラム
KR100564508B1 (ko) 표시 기능을 갖는 키, 표시 방법 및 표시 프로그램을기록한 기록 매체
US8965627B2 (en) Distance based vehicle updating server
JP5419496B2 (ja) 異常検知および車両追跡装置
US9367048B2 (en) Vehicle controller
JP4599952B2 (ja) プログラム書き換えシステム及び車両コンピュータシステム
WO2019030985A1 (ja) 制御装置、制御方法、およびコンピュータプログラム
JPWO2019030984A1 (ja) 制御装置、制御方法、およびコンピュータプログラム
KR20190051160A (ko) 서버, 그와 통신하는 차량 및 그 제어 방법
JP2017204227A (ja) 車載制御装置、制御方法及びコンピュータプログラム
JP5162090B2 (ja) 車両用電源装置
JP2010064722A (ja) 車両用動作監視システム
JP5177109B2 (ja) 電子制御装置
JP2004210183A (ja) 車載プログラムの書き換え制御装置
WO2020183752A1 (ja) 通信端末
JP2009197508A (ja) 電子制御装置、及び車両制御システム
JP7221239B2 (ja) 車載通信装置
JP4953164B2 (ja) 車両用電波異常報知システム
JP2013141949A (ja) 車載システム,中継装置
JP6089981B2 (ja) 車両用故障診断システム
JP2010070060A (ja) 車室内事故防止装置
JP2004199491A (ja) 車載プログラムの書き換え制御装置
JP2005191734A (ja) 車両通信システム及び中継装置

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070907

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070907

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100413

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100415

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100609

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100831

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100913

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131008

Year of fee payment: 3

R151 Written notification of patent or utility model registration

Ref document number: 4599952

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131008

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees