JP2006082649A - プログラム書き換えシステム - Google Patents

プログラム書き換えシステム Download PDF

Info

Publication number
JP2006082649A
JP2006082649A JP2004268316A JP2004268316A JP2006082649A JP 2006082649 A JP2006082649 A JP 2006082649A JP 2004268316 A JP2004268316 A JP 2004268316A JP 2004268316 A JP2004268316 A JP 2004268316A JP 2006082649 A JP2006082649 A JP 2006082649A
Authority
JP
Japan
Prior art keywords
program
vehicle
rewriting
state
program rewriting
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2004268316A
Other languages
English (en)
Other versions
JP4599953B2 (ja
JP2006082649A5 (ja
Inventor
Hatsume Yoshikawa
初芽 吉川
Tomohisa Kishigami
友久 岸上
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2004268316A priority Critical patent/JP4599953B2/ja
Publication of JP2006082649A publication Critical patent/JP2006082649A/ja
Publication of JP2006082649A5 publication Critical patent/JP2006082649A5/ja
Application granted granted Critical
Publication of JP4599953B2 publication Critical patent/JP4599953B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Stored Programmes (AREA)

Abstract

【課題】 車両コンピュータシステムのプログラムをオンボード状態で書き換えるシステムにおいて、信頼性の高いプログラム書き換えを確実に実現する。
【解決手段】 車両に搭載された車両コンピュータシステムと車両外のセンタとからなり、車両コンピュータシステムがメモリ内のプログラムを上記センタから送信されてきたプログラムに書き換えるように構成されたプログラム書き換えシステムにおいて、車両コンピュータシステムは、プログラムの書き換えを実施する前に、車両の状態をプログラムの書き換えに適した状態に設定するための処理(S615〜S630)を行う。例えば、プログラム書き換えに関係のない機器の作動を禁止する。そして、車両コンピュータシステムは、その設定処理の完了後にプログラムの書き換えを実施する。このため、人による作業に頼ることなく、信頼性の高いプログラム書き換えを実現できる。
【選択図】 図12

Description

本発明は、車両に搭載されたコンピュータシステムのプログラムを書き換える技術に関するものである。
従来より、車両においては、その車両に搭載されたコンピュータシステム(以下、車両コンピュータシステムという)のプログラムを、そのプログラムが格納されたメモリが電子装置に実装されたままのオンボード状態で書き換えることが実施されている(例えば、特許文献1,2,3参照)。
そして、このようなオンボード状態でのプログラム書き換えを確実に行うためには、一定範囲の温度環境や電圧環境などの条件を満たす必要がある。
つまり、プログラム書き換えが保証される温度や電圧の条件が満たされていない状態でプログラムの書き換えを行った場合、プログラム書き換えを正常に行うことができない可能性がある。そして、プログラムの書き換えに失敗した場合には、コンピュータが機能しなくなり、車載ユニットを新たな製品に交換する必要が生じてしまう。また、プログラム書き換えが保証される温度や電圧の条件が満たされていない状態でプログラムの書き換えを行った場合、一時的にプログラム書き換えが正常に完了できたかのように振舞っても、時間が経過するとコンピュータが正常に機能しなくなる可能性もある。
このため、従来より、工場やディーラなどでプログラム書き換えを実施する際には、作業者が、温度や電圧の条件を満たすべく、例えば以下のような設定作業を行うようになっている。
即ち、車両動作から一定時間以上経過させる、ボンネットを開けておく、バッテリ電圧をチェックする、消費電流の大きい機器へ電力を供給する経路のヒューズを抜く、予め決められた操作以外の操作はしない、といった作業である。
ここで、こうした設定作業は、時間がかかるばかりではなく、その作業内容も複雑となっている。しかも、上記の設定作業は、プログラム書き換えの対象となるコンピュータの種類によっても異なり、作業を益々複雑にする要因となっている。更に、同様の機能を有するコンピュータであったとしても、ヒューズの取り付け位置、取外し対象となるヒューズの数及び種類、車両を放置させる時間、バッテリ電圧といった内容は、車種やグレード毎に異なるため、上記の設定作業を一層複雑化させている。
このため、信頼性の高いプログラム書き換えを実現するために、上記の設定作業を全て確実に実施するには、十分に経験のある作業者のスキルと、確認のための十分な作業時間が必要であった。
また、車両コンピュータシステムのプログラムを書き換える書き換えシステムの形態としては、車両コンピュータシステムに書き換え対象のプログラムを供給するプログラム供給装置が、車両コンピュータシステムとコネクタにより通信線で接続される有線通信タイプのもの(例えば、特許文献1参照)と、そのプログラム供給装置と車両コンピュータシステムとが無線通信で接続される無線通信タイプのもの(例えば、特許文献2,3参照)とがある。
そして、有線通信タイプの書き換えシステムでは、前述したように、工場やディーラなどにおいて、作業者が、確実なプログラム書き換えを保証するための複雑な設定作業を行うこととなるが、無線通信タイプの書き換えシステムでは、ディーラや工場といった特定の場所以外でプログラム書き換えが実施されるケースが想定され、その場合には、経験のある作業者は不在となる。このため、無線通信タイプの書き換えシステムにおいて、車両コンピュータシステムのプログラム書き換えを実施する場合、プログラム書き換えの保証に必要な条件を整えることは一層困難になる。
また、例えば特許文献2には、プログラムの書き換え前又は書き換え中に、バッテリ電圧が所定値以下になったことや、キースイッチがオンされたことや、スタータスイッチがオンされたことを判定した場合に、プログラムの書き換えを中止することが記載されている。
特開2001−123874号公報 特開2004−28000号公報 特開2000−207219号公報
上記特許文献2には、車両の状態をプログラムの書き換えに適した状態へと積極的に設定しようとする思想はなく、車両コンピュータシステムのプログラムを確実に書き換えるためには、やはり、作業者に複雑な設定作業を強いることとなる。また、無線通信タイプの書き換えシステムの場合には、プログラム書き換えの保証に必要な車両状態に設定することが困難になる。
本発明は、こうした問題に鑑みなされたものであり、信頼性の高いプログラム書き換えを確実に実現可能なプログラム書き換えシステムの提供を目的としている。
上記目的を達成するためになされた請求項1に記載のプログラム書き換えシステムは、車両コンピュータシステム(車両に搭載されたコンピュータシステム)と、その車両コンピュータシステムへ書き換え対象のプログラムを送信する車両外のプログラム供給手段とからなる。そして、車両コンピュータシステムは、メモリ内のプログラム(即ち、実行対象のプログラム)をプログラム供給手段から送信されてきたプログラムに書き換えるように構成されている。
そして特に、このプログラム書き換えシステムでは、車両コンピュータシステムがプログラムの書き換えを実施する前に、状態設定手段が、車両の状態をプログラムの書き換えに適した状態に設定するための設定処理を行い、車両コンピュータシステムは、その状態設定手段による設定処理の完了後に、プログラムの書き換えを実施する。
このようなプログラム書き換えシステムによれば、車両の状態が、状態設定手段により、プログラムの書き換えに適した状態に自動的に設定され、その設定が完了した後で、プログラムの書き換えが実施されることとなるため、人による作業に頼ることなく、信頼性の高いプログラム書き換えを確実に実現することができるようになる。このため、プログラム書き換えの失敗によるコンピュータの機能不良及びユニット交換を回避することができ、延いては、コスト増加及び廃棄物増加を防止することができる。
そして、当該プログラム書き換えシステムが、請求項8に記載のように、車両コンピュータシステムがプログラム供給手段と通信線を介して通信可能に接続される有線通信タイプの書き換えシステムであるならば、工場やディーラーでの作業効率を向上させることができるため、作業時間の短縮、及びそれによる作業工数及び工賃の削減を達成することができる。
また、当該プログラム書き換えシステムが、請求項9に記載のように、車両コンピュータシステムがプログラム供給手段と無線で通信する無線通信タイプの書き換えシステムであるならば、工場やディーラの作業者がいない環境でも、車両コンピュータシステムの信頼性の高いプログラム書き換えを実現することができる。そして、このため、車両の使用者は、プログラム書き換えのためにディーラ等へ車両を入庫させる必要がなく、煩わしさから開放されることとなる。また、プログラムを書き換えるための作業工賃を無くすことができ、車両の維持費を低減させることができる。
ところで、状態設定手段は、例えば請求項2に記載のように、設定処理として、特定の機器が作動するのを禁止するように構成することができる。
そして、この構成によれば、プログラム書き換えの実施中に、特定の機器が作動してバッテリ電圧が変動し、延いてはプログラム書き換え対象のコンピュータに供給される電源電圧が変動してしまうことを防止することができ、車両の状態をプログラムの書き換えに適した状態に設定することができる。
尚、この場合、状態設定手段は、具体的には、請求項3に記載のように、設定処理として、上記特定の機器への電力供給を遮断するように構成することができる。また、作動を禁止する特定の機器としては、消費電流が比較的大きい機器とするのが好ましい。
また、車両コンピュータシステムが複数のコンピュータを備えているのであれば、状態設定手段は、例えば請求項4に記載のように、設定処理として、プログラムの書き換えに関連するコンピュータには電力を供給し、プログラムの書き換えに関連しない少なくとも1つ以上のコンピュータへの電力供給は遮断するように構成することができる。
そして、この構成によれば、プログラム書き換えの実施中に、プログラムの書き換えに関連しないコンピュータ及びそのコンピュータによって制御される機器が作動することが防止され、その結果、プログラムの書き換え中に、バッテリ電圧が変動してプログラム書き換え対象のコンピュータに供給される電源電圧が変動してしまうことを防止することができ、車両の状態をプログラムの書き換えに適した状態に設定することができる。
尚、プログラムの書き換えに関連しない全てのコンピュータへの電力供給を遮断するように構成するのが最も好ましいが、そうでない場合には、プログラムの書き換えに関連しないコンピュータのうち、消費電流が大きい機器を制御するコンピュータへの電力供給を優先的に遮断するように構成すれば、効果的である。
また、状態設定手段は、例えば請求項5に記載のように、設定処理として、車両の電源スイッチの操作を無効にするように構成することができる。尚、車両の電源スイッチとは、いわゆるイグニッションスイッチのことである。
そして、この構成によれば、プログラムの書き換え中に、車両の電源スイッチが操作されても、その操作によって本来ならば通電される機器へは電力が供給されなくなるため、バッテリ電圧が変動してプログラム書き換え対象のコンピュータに供給される電源電圧が変動してしまうことを防止することができ、車両の状態をプログラムの書き換えに適した状態に設定することができる。
また、状態設定手段は、例えば請求項6に記載のように、設定処理として、特定の機器を作動させるための操作を無効にするように構成することができる。
そして、この構成によれば、プログラムの書き換え中に、特定の機器を作動させる操作が行われても、その操作によって本来ならば通電される機器へは電力が供給されなくなるため、バッテリ電圧が変動してプログラム書き換え対象のコンピュータに供給される電源電圧が変動してしまうことを防止することができ、車両の状態をプログラムの書き換えに適した状態に設定することができる。
例えば、請求項6のプログラム書き換えシステムにおいて、状態設定手段は、請求項7に記載のように、エンジン始動用のスタータモータを作動させる操作と、ワイヤレスによりドアロックモータを作動させる操作と、パワーウィンドウを作動させる操作と、ライトを点灯させる操作と、ワイパーを作動させる操作と、ウィンドウウォッシャモータを作動させる操作とのうちの、少なくとも1つを無効にするように構成することができる。何れの操作によっても、消費電流の比較的大きい機器が作動することとなるからである。
ところで、請求項1〜7のプログラム書き換えシステムが、車両コンピュータシステムとプログラム供給手段とで無線通信を行う無線通信タイプの書き換えシステムであるならば、請求項10に記載のように、状態設定手段は、車両の状態を、その車両のドアロック機能が正常に作動する範囲内で設定するように構成するのが好ましい。
つまり、無線通信タイプの書き換えシステムでは、プログラムの書き換えが実施される最中に、車両から使用者が離れることが考えられ、その場合に、状態設定手段によって車両のドアロック機能が作動しないように設定されてしまうと、車両のドアロックが出来ずに車両のセキュリティ性(防犯性)が低くなってしまうからである。そして、請求項10のように構成すれば、車両コンピュータシステムのプログラム書き換えを、車両の使用者が不在の状況でも、セキュリティ性を低下させることなく実施することができるようになる。
また同様に、請求項1〜7のプログラム書き換えシステムが、車両コンピュータシステムとプログラム供給手段とで無線通信を行う無線通信タイプの書き換えシステムであるならば、請求項11に記載のように、状態設定手段は、車両の状態を、その車両への不正行為を検知して警報するセキュリティ機能が正常に作動する範囲内で設定するように構成するのが好ましい。
そして、この構成によっても、請求項10のプログラム書き換えシステムと同様の効果を得ることができる。車両コンピュータシステムのプログラム書き換えを、車両のセキュリティ機能を有効にさせた状態で実施することができるからである。尚、セキュリティ機能としては、一般に、侵入センサによって車両への人の侵入を検知した場合や、傾斜センサによって車両の傾きを検知した場合などに、車両に搭載されたホーンを鳴らしたり、車両の使用者の携帯電話へ通知する、といった警報動作を行う機能が知られている。
次に、請求項12に記載のプログラム書き換えシステムでは、請求項1〜11のプログラム書き換えシステムにおいて、非作動機能通知手段を備えており、その非作動機能通知手段は、状態設定手段の設定処理によって作動しなくなる機能を、使用者又は作業者に通知する。尚、使用者とは、車両の使用者であり、作業者とは、プログラムの書き換え作業を行う作業者である。
このプログラム書き換えシステムによれば、使用者又は作業者は、状態設定手段の設定処理によって作動しなくなる機能を、非作動機能通知手段の通知によって知ることができ、故障が発生したと勘違いしてしまうことが防止される。
尚、非作動機能通知手段は、状態設定手段の設定処理によって作動しなくなる機能を、プログラム書き換えが開始される前に全て通知するように構成しても良いし、また、状態設定手段の設定処理によって作動しなくなる機能を作動させる操作が行われた時に、その機能が作動しないことを通知するように構成することもできる。
次に、請求項13に記載のプログラム書き換えシステムでは、請求項1〜12のプログラム書き換えシステムにおいて、設定不成功通知手段を備えており、その設定不成功通知手段は、状態設定手段が設定処理を完了させることができない場合に、そのことを使用者又は作業者に通知する。
このプログラム書き換えシステムによれば、使用者又は作業者は、状態設定手段が設定処理を完了させることができないことを、設定不成功通知手段の通知によって知ることができるため、利便性が向上する。尚、設定不成功通知手段は、状態設定手段が完了させることができない設定処理の内容も、あわせて通知するように構成すれば、利便性を一層向上させることができる。
次に、請求項14に記載のプログラム書き換えシステムでは、請求項1〜13のプログラム書き換えシステムにおいて、状態判定手段を備えており、その状態判定手段は、状態設定手段が前記設定処理を開始する前に、車両の状態がプログラムの書き換えに不適切な状態であるか否かを判定する。そして、このプログラム書き換えシステムにおいて、車両コンピュータシステムは、その状態判定手段によって車両の状態がプログラムの書き換えに不適切な状態であると判定されたならば、プログラムの書き換えを中止するように構成されている。
このような請求項14のプログラム書き換えシステムによれば、車両の状態がプログラムの書き換えに不適切な状態であるか否かが、状態判定手段によって自動的に判定されるため、信頼性の高いプログラム書き換えを一層確実に実現することができるようになる。
尚、請求項14のプログラム書き換えシステムにおいて、状態判定手段は、例えば請求項15に記載のように、車両に搭載されたバッテリ(車載バッテリ)の電圧と、そのバッテリの劣化状態と、プログラム書き換え対象のコンピュータ又は該コンピュータが搭載されたユニットに供給されている電源電圧と、車両の外気温度と、車両の室内温度と、車両のエンジンが停止してからの経過時間と、車両のイグニッションキーシリンダにおけるキーの操作位置と、車両の現在位置と、車両が存在する場所での有事情報とのうちの、少なくとも1つに基づいて、車両の状態がプログラムの書き換えに不適切な状態であるか否かを判定するように構成することができる。
つまり、車載バッテリの電圧が規定範囲内でなければ、プログラムの書き換えに不適切な状態であると判定することができ、また、バッテリが劣化していれば、書き換え対象のコンピュータに供給される電源電圧が安定しない可能性があるため、プログラムの書き換えに不適切な状態であると判定することができる。そして、プログラム書き換え対象のコンピュータ又は該コンピュータが搭載されたユニットに供給されている電源電圧が規定範囲内でない場合にも、プログラムの書き換えに不適切な状態であると判定することができる。また、車両の外気温度が規定範囲内でない場合や、車両の室内温度が規定範囲内でない場合や、車両のエンジンが停止してからの経過時間が一定時間に達していない場合には、プログラム書き換え対象のコンピュータの周囲温度がプログラム書き換えに適さない温度である可能性があるため、プログラムの書き換えに不適切な状態であると判定することができる。また、車両のイグニッションキーシリンダにおけるキーの操作位置が、プログラムの書き換えを実施する際に設定されるべき位置とは異なる位置に操作されると、プログラムの書き換えには関係のない余分な機器に電力が供給されてバッテリ電圧が変動する可能性があるため、プログラムの書き換えに不適切な状態であると判定することができる。例えば、キーの操作位置がOFF(オフ)位置にある状態でプログラムの書き換えを行う構成の場合に、そのキーの操作位置がACC(アクセサリ)位置やIG(イグニッション)位置やST(スタート)位置に操作されれば、プログラムの書き換えに不適切な状態であると判定することができる。また、車両の現在位置が、テレビ塔直下などの強電界が発生する場所であったり、高速道路上や、渋滞道路上や、事故現場付近である場合には、プログラムの書き換えに不適切な状態であると判定することができる。また、車両が存在する場所での有事情報により、地震の発生中又は発生直後であることや、大規模災害が発生した直後であることなどを検知した場合には、プログラムの書き換えに不適切な状態であると判定することができる。
一方、請求項16に記載のプログラム書き換えシステムも、車両コンピュータシステム(車両に搭載されたコンピュータシステム)と、その車両コンピュータシステムへ書き換え対象のプログラムを送信する車両外のプログラム供給手段とからなり、車両コンピュータシステムは、メモリ内のプログラム(即ち、実行対象のプログラム)をプログラム供給手段から送信されてきたプログラムに書き換えるように構成されている。
そして、このプログラム書き換えシステムでは、状態判定手段を備えており、その状態判定手段は、車両コンピュータシステムがプログラムの書き換えを実施する前に、車両の外気温度と、車両の室内温度と、車両のエンジンが停止してからの経過時間と、車両の現在位置と、車両が存在する場所での有事情報とのうちの、少なくとも1つに基づいて、車両の状態がプログラムの書き換えに不適切な状態であるか否かを判定する。更に、車両コンピュータシステムは、その状態判定手段により車両の状態がプログラムの書き換えに不適切な状態であると判定されたならば、プログラムの書き換えを中止するように構成されている。
このような請求項16のプログラム書き換えシステムによれば、車両の状態がプログラムの書き換えに不適切な状態であるか否かが、車両の外気温度と、車両の室内温度と、車両のエンジンが停止してからの経過時間と、車両の現在位置と、車両が存在する場所での有事情報とのうちの、少なくとも1つに基づき自動的に判定されるため、人による作業に頼ることなく、信頼性の高いプログラム書き換えを実現することができるようになる。
次に、請求項17に記載のプログラム書き換えシステムでは、請求項14〜16のプログラム書き換えシステムにおいて、不適状態通知手段を備えており、その不適状態通知手段は、状態判定手段によって車両の状態がプログラムの書き換えに不適切な状態であると判定された場合に、そのことを使用者又は作業者に通知する。
このプログラム書き換えシステムによれば、使用者又は作業者は、車両の状態がプログラムの書き換えに不適切な状態であることを、不適状態通知手段の通知によって知ることができるため、利便性が向上する。尚、不適状態通知手段は、状態判定手段の判定内容(つまり、プログラムの書き換えに不適切であると判定された車両状態の内容)も、あわせて通知するように構成すれば、利便性を一層向上させることができる。
次に、請求項18に記載のプログラム書き換えシステムでは、請求項1〜17のプログラム書き換えシステムにおいて、車両コンピュータシステムが複数のコンピュータを備えている。そして更に、このプログラム書き換えシステムでは、書換対象通知手段を備えており、その書換対象通知手段は、プログラム書き換え対象のコンピュータが複数のコンピュータのうちの何れであるかを、他のコンピュータ(即ち、プログラム書き換え対象のコンピュータ以外のコンピュータ)に通知する。
このようなプログラム書き換えシステムによれば、プログラム書き換え対象でない他のコンピュータは、書換対象通知手段の通知によって、プログラム書き換え対象のコンピュータが何れであるかを知ることができる。このため、例えば、各コンピュータが互いの動きを監視する構成の場合に、上記他のコンピュータは、プログラム書き換え対象のコンピュータがプログラムの書き換え中に正常動作しない事を、異常と判定しないようにする内部設定を行うことができ、誤った異常判定がなされてしまうのを回避することができるようになる。
次に、請求項19に記載のプログラム書き換えシステムでは、請求項1〜18のプログラム書き換えシステムにおいて、正常完了通知手段を備えており、その正常完了通知手段は、車両コンピュータシステムがプログラムの書き換えを正常に完了した場合に、そのことを使用者又は作業者に通知する。
このプログラム書き換えシステムによれば、使用者又は作業者は、車両コンピュータシステムにおけるプログラム書き換えが正常に完了したことを、正常完了通知手段の通知によって知ることができるため、利便性が向上する。
次に、請求項20に記載のプログラム書き換えシステムでは、請求項1〜19のプログラム書き換えシステムにおいて、書換不成功通知手段を備えており、その書換不成功通知手段は、車両コンピュータシステムがプログラムの書き換えを正常に完了しなかった場合に、そのことを使用者又は作業者に通知する。
このプログラム書き換えシステムによれば、使用者又は作業者は、車両コンピュータシステムにおけるプログラム書き換えが正常に完了しなかったことを、書換不成功通知手段の通知によって知ることができるため、利便性が向上する。尚、書換不成功通知手段は、プログラム書き換えが正常に完了しなかった理由も、あわせて通知するように構成すれば、利便性を一層向上させることができる。
以下に、本発明が適用された実施形態のプログラム書き換えシステムについて、図面を用い説明する。尚、本実施形態のプログラム書き換えシステムは、車両コンピュータシステムのプログラムをオンボード状態で書き換えるものである。
まず図1は、実施形態のプログラム書き換えシステムを表す構成図である。
図1に示すように、本実施形態のプログラム書き換えシステムは、車両に搭載された車両コンピュータシステム1と、その車両コンピュータシステム1に書き換え対象のプログラムを送信する情報センタ(以下単に、センタという)3とからなる。
車両コンピュータシステム1は、通信網5を介してセンタ3と無線通信を行うための通信端末7、複数の電子制御ユニット(以下、ECUという)11〜26,…、それらECUによって制御されるアクチュエータやディスプレイ31などの各種機器、及び車両の各種情報をECUに入力させるセンサやスイッチ等から構成されている。
ここで、ECUとしては、エンジンを制御するエンジンECU11、車両の挙動を安定させるための制御を行う車両挙動ECU12、エアバッグを制御するエアバッグECU13、車両の走行速度や先行車両との車間距離を一定に保つ制御を行うクルーズECU14、ナビゲーション機能の制御を行うナビゲーションECU15、車両のメータを制御するメータECU16、車両のイグニッションキーシリンダにおけるOFF(オフ)位置以外の各キーポジションに対応した車両内の各電源ラインに車載バッテリからの電力を供給する制御を行うキー電源管理ECU17、ヘッドライトやターンランプなどを制御するライトシステム管理ECU18、キー電源管理ECU17が電力供給を制御する電源ライン以外の各電源ラインに車載バッテリからの電力を供給する制御を行う電源管理ECU19、エアコン装置を制御するエアコンECU20、車両のドアやラゲッジルーム(トランク)などの各開閉部の施解錠制御を行うドアシステム管理ECU21、車両への不正行為を検知して警報するセキュリティ機能の制御を行うセキュリティECU22、ディスプレイ31を制御するディスプレイECU23、発音装置(図示省略)から各種案内用の音声を発生させる制御を行う音声案内ECU24、通信端末7やナビゲーションECU15やディスプレイECU23などと連携してブラウザ機能の制御を行うブラウザECU25、及びAV系機器(図示省略)を制御するオーディオECU26などがある。
そして、エンジンECU11と、車両挙動ECU12と、エアバッグECU13と、クルーズECU14と、ナビゲーションECU15と、メータECU16と、キー電源管理ECU17は、第1の通信線33で通信可能に接続されている。
また、ナビゲーションECU15と、メータECU16と、キー電源管理ECU17と、ライトシステム管理ECU18と、電源管理ECU19と、エアコンECU20と、ドアシステム管理ECU21と、セキュリティECU22は、第2の通信線35で通信可能に接続されている。
また、ナビゲーションECU15と、ディスプレイECU23と、音声案内ECU24と、ブラウザECU25と、オーディオECU26は、第3の通信線37で通信可能に接続されている。
更に、異なる通信線に接続されたECU同士も、ナビゲーションECU15がゲートウェイとなって互いに通信できるようになっている。
尚、一般的なことなので図示は省略しているが、各ECU11〜26,…には、1つ又は複数のマイコン(マイクロコンピュータ)とメモリが少なくとも備えられている。そして、各ECU11〜26,…では、メモリに格納されているプログラムをマイコンが実行することにより、そのECUの動作が実現される。
一方、センタ3には、車両コンピュータシステム1と通信網5を介して無線通信を行うための通信部41と、その通信部41に書き換え対象のプログラムを送信させたり、その通信部41から車両コンピュータシステム1が送信したデータを取得する制御部42とが備えられている。
また、通信網5は、車両コンピュータシステム1とセンタ3と車両の使用者(以下、ユーザという)とを連携させる情報通信網であり、例えば、電話網やインターネットである。
次に、上記ECUのうちの主なものについて、図2〜図6を用い説明する。
まず図2に示すように、ドアシステム管理ECU21には、運転席ドアの開閉状態を検出する運転席カーテシスイッチ(SW)43と、助手席ドアの開閉状態を検出する助手席カーテシスイッチ44と、右後席ドアの開閉状態を検出する右後席カーテシスイッチ45と、左後席ドアの開閉状態を検出する左後席カーテシスイッチ46と、ラゲッジルームの開閉部(以下、ラゲッジドアという)の開閉状態を検出するラゲッジカーテシスイッチ47と、ユーザに携帯される電子キーとしての携帯機と無線通信を行うための通信機48と、運転席ドアを施錠(ロック)及び解錠(アンロック)させる運転席ドアロックモータ50と、助手席ドアを施錠及び解錠させる助手席ドアロックモータ51と、右後席ドアを施錠及び解錠させる右後席ドアロックモータ52と、左後席ドアを施錠及び解錠させる左後席ドアロックモータ53と、ラゲッジドアを施錠及び解錠させるラゲッジロックモータ54とが接続されている。
また、各ロックモータ50〜54には、施錠及び解錠させる対象の施解錠状態(施錠状態か解錠状態か)を検出するロックポジションスイッチが設けられており、その各ロックポジションスイッチの信号も、ドアシステム管理ECU21に入力される。
そして、ドアシステム管理ECU21は、上記各カーテシスイッチ43〜47からの信号により、車両のラゲッジドアを含む各ドアの開閉状態を検出すると共に、上記各ロックポジションスイッチからの信号により、各ドアの施解錠状態を検出する。
また、ドアシステム管理ECU21は、ユーザが上記携帯機に設けられたロック用ボタン又はアンロック用ボタンを操作した際に、その携帯機から送信されるワイヤレス操作信号を通信機48により受信する。
そして更に、ドアシステム管理ECU21は、上記受信したワイヤレス操作信号や、他のECUから通信線35を介して送られてくる指令に従って、各ロックモータ50〜54を正転又は逆転駆動することにより、車両の各ドアを施錠又は解錠させる。
また、ドアシステム管理ECU21は、例えば、運転席ドアに設けられているキーシリンダにメカニカルなキーが差し込まれて捻り操作されたり、運転席ドアの車室内側に設けられている施解錠用ノブが操作されて、運転席ドアが手動で施錠又は解錠されると、そのことを、運転席ドアロックモータ50に設けられたロックポジションスイッチからの信号により検知して、他のドアのロックモータ51〜54を駆動することにより、運転席ドア以外のドアを運転席ドアと同じ施解錠状態にする。
次に図3に示すように、セキュリティECU22には、車両への不正行為を検知するためのセキュリティセンサとして、車室内に人が侵入したことを赤外線や超音波などで検知する侵入センサ60と、車両の傾きを検知する傾斜センサ61と、車両の振動を検知する振動センサ62とが接続されている。更に、セキュリティECU22には、車両への不正行為を車外に音で警報するためのホーンやブザーからなる音響警報機器64と、車両への不正行為を車外に表示して警報するためのセキュリティインジケータ65とが接続されている。
そして、セキュリティECU22は、例えば、ドアシステム管理ECU21から上記のワイヤレス操作に従い全ドアを施錠したことが通知されると、セキュリティセット状態となり、そのセキュリティセット状態にて、侵入センサ60により人の侵入が検知されたり、傾斜センサ61により車両が所定角度以上傾いたことが検知されたり、振動センサ62により車両に所定レベル以上の振動が発生したことが検知されると、音響警報機器64を駆動して警報音を発生させると共に、セキュリティインジケータ65に不正行為があったことを示すメッセージなどの表示内容を表示させる。また、セキュリティECU22は、ナビゲーションECU15に依頼して、通信端末7からセンタ3へ、車両に不正行為が行われたことを無線で通知する。すると、センタ3からユーザが所有する携帯電話やパーソナルコンピュータなどの連絡用機器へ、車両に不正行為が行われたことが電子メールや電話音声などで通知される。
次に図4に示すように、エアコンECU20には、車外の温度である外気温度を検出する外気温センサ67と、車室内の温度である内気温度を検出する内気温センサ68とが接続されている。
そして、エアコンECU20は、各センサ67,68からの信号により外気温度と内気温度を検出し、その検出結果に基づいて、図示しない熱交換用のコンプレッサや送風用のブロアモータなどからなるエアコン装置を制御する。
次に図5に示すように、キー電源管理ECU17には、車両のイグニッションキーシリンダに挿入されたキーがOFF(オフ)位置とACC(アクセサリ)位置とIG(イグニッション)位置とST(スタート)位置との何れのキーポジションに操作されているかを検出するキーポジションスイッチ70と、OFF位置以外の各キーポジションに対応した車両内の各電源ライン、即ち、ACC系システムの電源ライン71、IG1系システムの電源ライン72、IG2系システムの電源ライン73、及びスタータ系システムの電源ライン74の各々と車載バッテリ75のプラス端子との接続/非接続を切り換えるスイッチング装置(例えば電磁式リレーや半導体リレー)76,77,78,79とが接続されている。
そして、キー電源管理ECU17は、イグニッションキーシリンダにおけるキーの操作位置(以下単に、キー操作位置という)をキーポジションスイッチ70からの信号によって検出すると共に、その検出結果や、他のECUから通信線33,35を介して送られてくる指令に従って、上記各スイッチング装置76〜79をオン/オフさせることにより、上記各電源ライン71〜74をバッテリ75のプラス端子に接続させたり、そのプラス端子から切り離す。
尚、各電源ライン71〜74は、バッテリ75のプラス端子に接続されると、そのバッテリ75から電力が供給されることとなる。また、IG1系システムの電源ライン72とIG2系システムの電源ライン73は、両方共に、キーがIG位置に操作されるとバッテリ75からの電力が供給される電源ラインであるが、IG1系システムの電源ライン72の方は、キーが更にST位置に操作された場合(即ち、スタータモータが作動する場合)にはバッテリ75との接続が遮断されるものであり、IG2系システムの電源ライン73の方は、キーがST位置に操作されてもバッテリ75との接続が継続されるものであるため、別系統になっている。一方、図5において、符号として80〜83が付されたものは、各電源ライン71〜74毎に設けられたヒューズであり、符号として84が付されたものは、各電源ライン71〜74に共通のヒューズである。
次に図6に示すように、電源管理ECU19には、バッテリ75に流れる電流を検出する電流センサ86と、バッテリ75の温度を検出する温度センサ87と、キー電源管理ECU17が電力供給を制御する電源ライン71〜74以外の各電源ラインL1〜Lnの各々とバッテリ75のプラス端子との接続/非接続を切り換えるスイッチング装置(例えば電磁式リレーや半導体リレー)SR1〜SRnとが接続されている。
そして、電源管理ECU19は、ヒューズ88を介して入力されるバッテリ75の電圧(バッテリ電圧)の値を検出すると共に、各センサ86,87からの信号によりバッテリ75に流れる電流とバッテリ75の温度とを検出し、更に、それらの検出結果を予め定められた計算式やデータマップにあてはめることにより、バッテリ75の劣化状態を判定する。尚、バッテリ75の劣化状態は、バッテリ75内の電解液濃度によって判定するようにしても良い。
そして更に、電源管理ECU19は、キー電源管理ECU17から通信線35を介して送られて来るキー操作位置の情報や、他のECUから通信線35を介して送られてくる指令に従って、上記各スイッチング装置SR1〜SRnをオン/オフさせることにより、上記各電源ラインL1〜Lnをバッテリ75のプラス端子に接続させたり、そのプラス端子から切り離す。
尚、各電源ラインL1〜Lnも、前述した電源ライン71〜74と同様に、バッテリ75のプラス端子に接続されると、そのバッテリ75から電力が供給されることとなる。また、図6において、符号として89が付されたものは、各電源ラインL1〜Lnに共通のヒューズである。
次に、本実施形態のプログラム書き換えシステムにおいて、車両コンピュータシステムを構成する何れかのECUに搭載されたマイコンのプログラムを書き換える際に、プログラム書き換え統括機能を有する装置で実施される書き換え制御動作の内容について、図7〜図15を用い説明する。
尚、プログラム書き換え統括機能を有する装置としては、通信線33〜37を介して各ECUのマイコンと連携できる機能と、各ECUと連携してプログラム書き換えに必要な車両状態の判定を行う機能と、各ECUと連携してプログラム書き換えに必要な車両状態の設定及び指示通知を行う機能と、プログラム書き換えの一連の流れについて、HMI(ヒューマン・マシン・インターフェース)に指示を行う機能とを備えていれば良く、本実施形態では、情報収集がし易いことから、ナビゲーションECU15(詳しくは、それに内蔵されたマイコン)が、プログラム書き換え統括機能を有する装置となっている。
まず図7は、ナビゲーションECU15で実施される書き換え制御動作の流れ全体を表すフローチャートである。
図7に示すように、ナビゲーションECU15は、書き換え制御動作として、プログラム書き換えの開始判定処理(S110)と、センタ3からプログラムをダウンロードするダウンロード処理(S120)と、プログラム書き換えモードへの移行処理(S130)と、車両の状態がプログラムの書き換えに適しているかいないかを確認する車両状態の確認処理(S140)と、車両の状態をプログラムの書き換えに適した状態に設定する車両状態の設定処理(S150)と、プログラム書き換え対象のマイコン(以下、ターゲットマイコンともいう)にプログラムを書き換えさせるプログラム書き換え処理(S160)と、プログラムの書き換えが正常に完了したか否かを確認するプログラム書き換え完了の確認処理(S170)と、プログラムの書き換えが正常完了したことをユーザやセンタ3へ通知するプログラム書き換え完了の通知処理(S180)とを実施する。尚、プログラム書き換えの開始判定処理(S110)とプログラムのダウンロード処理(S120)は、順番が入れ替わっても良い。
次に図8は、プログラム書き換えの開始判定処理の内容を表すフローチャートである。
図8に示すように、ナビゲーションECU15は、まずS210にて、通信端末7を介してセンタ3と通信することにより、センタ3(詳しくは、その制御部42)に書き換え対象プログラム(つまり、更新すべき新バージョンのプログラム)があるか否かを判断する。例えば、センタ3からプログラム書き換え要求通知があった場合に、このS210にて、書き換え対象プログラムがあると判断する。また、ユーザがナビゲーション装置等の操作ボタンを操作して、プログラム更新が必要か否かを問い合わせる入力を行ったことを検知すると、センタ3へ書き換え対象プログラムがあるか否かを問い合わせ、その返事に基づいて、書き換え対象プログラムがあるか否かを判断するようにしても良い。また、ユーザの操作によらず、定期的にセンタ3へ書き換え対象プログラムがあるか否かを問い合わせるようにしても良い。
そして、センタ3に書き換え対象プログラムがないと判断した場合には(S210:NO)、そのまま処理を終了するが、書き換え対象プログラムがあると判断した場合には(S210:YES)、次のS220にて、そのプログラムの内容(例えば、どのECUのどのマイコンで実行されるプログラムであるかや、そのバージョン情報など)をセンタ3に問い合わせる。
次に、S230にて、上記S220の問い合わせでセンタ3から得た情報に基づいて、プログラムをダウンロードする必要があるか否か(換言すれば、プログラムの書き換えを本当に実施する必要があるか否か)を判断する。
そして、プログラムをダウンロードする必要がなければ(S230:NO)、そのまま処理を終了するが、プログラムをダウンロードする必要があれば(S230:YES)、S240に進んで、プログラムダウンロードモードに移行する。
ナビゲーションECU15がプログラムダウンロードモードに移行すると、図9に示すダウンロード処理を開始する。
そして、図9に示すように、まずS310にて、ユーザへプログラムのダウンロードを実施することを通知する。
尚、このS310及び後述する各処理において、ユーザへの通知は、ディスプレイECU23に指令して、ディスプレイ31に通知内容のメッセージやアイコンを表示させたり、音声案内ECU24に指令して、発音装置から通知内容の音声を発生させたり、センタ3へ指令して、そのセンタ3からユーザが所有する携帯電話やパーソナルコンピュータなどの予め登録された連絡用機器へ、電子メールや電話音声などを送らせたりすることにより実施される。
そして、次にS320にて、ダウンロードに関連する機器の機能制限を実施する。
即ち、プログラムのダウンロードに関わる無線通信能力及びコンピュータの処理負荷を確保する為に、例えば、オーディオECU26やディスプレイECU23へ指令して、AV系機器の操作を全般にわたり禁止する(つまり、AV系機器の操作が行われても、その操作に対応する機能が行われないようにする)。また、このような機能制限と共に、ユーザへ、AV系機器の操作に関する制限内容を通知する。
尚、ダウンロードの実施中は、上記S320でユーザに通知した制限内容の操作が行われた際に、「使用できません」などのウォーニングメッセージをディスプレイ31に表示させるようにしても良い。また、上記S320やダウンロードの実施中に、ダウンロードが完了する予定時刻をユーザに通知するようにしても良い。
そして、次にS330にて、プログラムのダウンロードに関わるコンピュータの動作継続を確保するために、キー電源管理ECU17及び電源管理ECU19へ指令を与えて、ユーザの電源キー操作とは関係なく、プログラムのダウンロードに関わる機器(例えば、当該ナビゲーションECU15及び通信端末7や、ユーザへの通知を行うためのディスプレイECU23やディスプレイ31)への電力供給が継続されるようにする。
次に、S340にて、センタ3から書き換え対象のプログラムをダウンロードする。
そして、次のS350にて、ダウンロードしたデータに対してパリティチェックなどの検査を実施することにより、ダウンロードが正常に完了したか否かを判定し、ダウンロードが正常完了したならば(S350:YES)、次のS360にて、ダウンロードが完了したことをユーザに通知すると共に、上記S320で実施していた機能制限を解除するために、他のECUへダウンロード完了通知を送信する。つまり、他のECUは、ダウンロード完了通知を受信すると、上記S320でナビゲーションECU15が出した指令に基づき実施していた機能の禁止を解除する。
そして、その後、S370に進んで、プログラム書き換えモードへの移行処理へ移行する。すると、ナビゲーションECU15は、図10に示すプログラム書き換えモードへの移行処理を開始することとなる。
また、上記S350にて、ダウンロードが正常完了しなかったと判定した場合には(S350:NO)、S380に移行して、カウンタNをインクリメント(+1)し、続くS390にて、カウンタNの値が規定値N1に達したか否かを判定する。尚、カウンタNの初期値は0である。
そして、カウンタNの値が規定値N1に達していなければ(S390:NO)、S340に戻って、再度プログラムのダウンロードを実施する。また、上記S390にて、カウンタNの値が規定値N1に達したと判定した場合には(S390:YES)、そのまま処理を終了する。尚、このように処理を終了する場合にも、上記S320で実施していた機能制限を解除するために、他のECUへダウンロード完了通知を送信する。
一方更に、ナビゲーションECU15は、プログラムダウンロードモードに移行すると、図9の処理と並行して、キー電源管理ECU17及び電源管理ECU19へ指令を与えることにより、ドアシステム管理ECU21とセキュリティECU22、及びそれらECU21,22に関連する電気負荷への電力供給が継続されるようにすると共に、ドアシステム管理ECU21とセキュリティECU22に指令を与えて、ドアシステム管理ECU21による各ロックモータ50〜54の制御状態を保持させると共に、セキュリティECU22におけるセキュリティセット/アンセット状態を保持させる。
このため、プログラムのダウンロード中は、それ以前にユーザが設定していたドアの施解錠状態とセキュリティセット/アンセット状態とが確保されることとなり、プログラムのダウンロード中に、ユーザの意志に反してドアの施錠やセキュリティセット状態が解除され防犯性が低下してしまうことはない。
尚、S340でのプログラムダウンロードは、そのダウンロードに関わるコンピュータや無線通信能力に一定以上の負荷が無いことを確認してから開始するようにしても良い。
また、例えばS320とS330との間で、ユーザがダウンロードの開始を許可したか否かを、ユーザによるボタン操作や音声入力などで判断し、ユーザの許可が得られなければ、上記S320での機能制限を解除すると共に、ダウンロードを中止するようにしても良い。
また、プログラムのダウンロードを実施するECUや、ダウンロードしたプログラムを保存するECUは、ナビゲーションECU15(つまり、プログラム書き換え統括機能を有する装置)とは別のECUであっても良い。
次に、図10に示すように、ナビゲーションECU15がプログラム書き換えモードへの移行処理を開始すると、まずS410にて、ユーザへ、プログラム書き換えを開始した場合の、車両における機能や操作が制限される点及びその制限の内容と、プログラム書き換え完了までに必要な時間や終了予定時刻を通知する。尚、このS420でユーザに通知される制限の内容は、後述する図12におけるS620及びS630の処理によって制限される機能や操作の内容である。
そして、続くS420にて、ユーザからのキャンセル指示が一定時間内にあったか否かを判定し、キャンセル指示がなければ(S420:NO)、S430に進んで、車両状態の確認処理へ移行する。すると、ナビゲーションECU15は、図11に示す車両状態の確認処理を開始することとなる。
また、ユーザからのキャンセル指示があったならば(S420:YES)、S440に移行して、プログラム書き換えを中止し、そのまま処理を終了する。このため、ダウンロードしたプログラムをターゲットマイコンが搭載されたECUへ転送する処理を開始するまでの間に、ユーザによるキャンセル操作が受け付けられることとなる。
尚、ユーザがキャンセル指示を行うためのキャンセル操作としては、操作ボタンやディスプレイ画面上でのタッチ操作といった車両内機器に対する操作や音声入力でも良いし、また、ユーザが自分の所有する携帯電話やパーソナルコンピュータなどの連絡用機器により、Web操作したり電子メールや電話などでセンタ3へ連絡すると、そのセンタ3を経由して本車両コンピュータシステムへキャンセル指示が通知される、といったものでも良い。一方、上記S420の判定を削除して、そのまま車両状態の確認処理へ移行するようにしても良い。
次に、図11に示すように、ナビゲーションECU15が車両状態の確認処理を開始すると、まずS510にて、エンジンが停止してからの経過時間を計測する機能を有したECU(本実施形態ではエンジンECU11)から、その計測されている経過時間を車両内有線通信により取得して、その経過時間が一定時間T1以上であるか否かを判定する。
そして、エンジン停止からの経過時間が一定時間T1以上であれば(S510:YES)、そのままS515へ進むが、エンジン停止からの経過時間が一定時間T1以上でなければ(S510:NO)、その経過時間が一定時間T1に達するまで待ってからS515へ進む。
尚、上記一定時間T1は、メモリ内の実行対象プログラムがセンタ3から今回ダウンロードされたプログラムに書き換えられる予定のマイコン(ターゲットマイコン)について必要と考えられる冷却時間に設定される。また、エンジン停止からの経過時間が一定時間T1に達するまで待つ場合、その残り時間や待機していることを、ユーザへ通知するようにしても良い。
次に、S515では、キー電源管理ECU17へ指令を与えて、ユーザの電源キー操作とは関係なくエアコンECU20と少なくとも外気温センサ67及び内気温センサ68にバッテリ75からの電力が供給されるようにする。そして、車両内有線通信により、そのエアコンECU20に指令を与えて、外気温度と内気温度を測定させるとと共に、その測定結果をエアコンECU20から取得する。そして更に、このS515では、外気温度が最小規定値M1minから最大規定値M1maxまでの規定範囲内であるか否かを判定し、その規定範囲内であれば(S515:YES)、次のS520にて、内気温度が最小規定値M2minから最大規定値M2maxまでの規定範囲内であるか否かを判定する。そして、内気温度が規定範囲内であると判定したならば(S520:YES)、S525に進む。尚、外気温度と内気温度の測定は、例えば図10の処理を開始した直後のタイミングで実施しておいても良い。
S525では、電源管理ECU19との車両内有線通信により、その電源管理ECU19から現在のバッテリ電圧とバッテリ75の劣化状態の情報を取得する。そして更に、このS525では、バッテリ電圧がプログラム書き換えを実施するのに支障が無いと考えられる規定値V1以上であるか否かを判定し、規定値V1以上であれば(S525:YES)、次のS530にて、バッテリ75の劣化は無いか否か(つまり、バッテリ75の劣化状態がプログラム書き換えを実施するのに支障が無い程度か否か)を判定する。そして、バッテリ75の劣化は無いと判定したならば(S530:YES)、S535に進む。
S535では、キー電源管理ECU17又は電源管理ECU19に指令を与えて、ターゲットマイコンが搭載されたECU(以下、ターゲットECUともいう)にバッテリ75からの電力が供給されるようにする。そして、ターゲットECUに指令を与えて、そのターゲットECUに実際に供給されている電源電圧を測定させると共に、その測定結果を送信させる。そして更に、このS535では、そのターゲットECUに実際に供給されている電源電圧がプログラム書き換えを実施するのに支障が無いと考えられる規定値V2以上であるか否かを判定し、規定値V2以上であれば(S535:YES)、S540に進む。尚、ターゲットECUに供給されている電源電圧の代わりに、ターゲットマイコンに供給されている電源電圧の情報をターゲットECUから取得して、その電源電圧が規定値範囲内であるか否かを判定するようにしても良い。
S540では、GPS衛星からのGPS信号を受信して車両の現在位置を検出し、地図情報やセンタ3又は他の情報センタから無線で提供される道路情報などを参照して、その検出した現在位置がプログラム書き換えを実施するのに支障が無い場所か否かを判定する。そして、例えば、車両の現在位置が、テレビ塔直下などの強電界が発生する場所であったり、高速道路上や、渋滞道路上や、事故現場付近でなければ、プログラムの書き換えに支障がない場所と判定して(S540:YES)、S545に進む。
S545では、センタ3又は他の情報センタと通信して、車両が存在している場所での有事情報があるか否かを判定し、有事情報があれば、更に、その情報に基づいて、何らかの災害警告等(例えば、地震の発生中又は発生直後であることや、大規模災害が発生したことの警告)が発せられているか否かを判定する。そして、災害警告等がなければ(S545:YES)、プログラム書き換えを実施するのに支障は無いと判断してS550に進む。
S550では、図10のS420と同様に、ユーザからのキャンセル指示が一定時間内にあったか否かを判定し、キャンセル指示がなければ(S550:NO)、次のS560にて、車両状態条件がOKである(つまり、プログラム書き換えを実施するのに必要な条件が成立した)と判断し、そのことをユーザへ通知する。そして、その後、S565に進んで、車両状態の設定処理へ移行する。すると、ナビゲーションECU15は、図12に示す車両状態の設定処理を開始することとなる。
一方、上記S515とS520との何れかで「NO」と判定した場合、即ち、外気温度が規定範囲内ではないと判定するか(S515:NO)、或いは、内気温度が規定範囲内ではないと判定した場合には(S520:NO)、S570に移行して、一定時間T2だけ待ち、続くS575にて、カウンタNをインクリメントする。そして、次のS580にて、カウンタNの値が規定値N2に達したか否かを判定し、カウンタNの値が規定値N2に達していなければ(S580:NO)、S515に戻り、また、カウンタNの値が規定値N2に達したならば(S580:YES)、S585へ移行する。尚、カウンタNの初期値は0である。
つまり、S515とS520で判定する温度条件が成立しない場合には、一定時間T2が経過してから、再度、その温度条件が成立しているか否かを判定するようにしており、また、その判定回数がN2回に達したら、もはや温度条件が成立する見込みはなく、車両の状態がプログラムの書き換えに不適切な状態であると判断して、S585へ移行するようにしている。
また、上記S525〜S545の何れかで「NO」と判定した場合、即ち、バッテリ電圧が規定値V1以上ではないと判定するか(S525:NO)、バッテリ75の劣化があると判定するか(S530:NO)、ターゲットECUに供給されている電源電圧が規定値V2以上ではないと判定するか(S535:NO)、車両の現在位置がプログラムの書き換えに支障のある場所であると判定するか(S540:NO)、災害警告等が発せられている(有事が発生している)と判定した場合(S545:NO)にも、車両の状態がプログラムの書き換えに不適切な状態であると判断して、S585へ移行する。
S585では、プログラム書き換えを実施するのに必要な車両状態条件が成立しなかったことをユーザに通知し、続くS590にて、プログラム書き換えを中止する。そして、そのまま処理を終了する。
また、上記S550にて、ユーザからのキャンセル指示があったと判定した場合にも(S550:YES)、S590に移行して、プログラム書き換えを中止し、そのまま処理を終了する。
尚、S585では、成立しなかった条件の内容もユーザへ通知するようにしても良い。また、ホーンやブザーやハザード点滅、ライト点灯/点滅などによって車両状態条件の不成立を通知するようにしても良い。また、S550からS560へ進む前に、念のため、全条件の確認処理(S510〜545)を再度実施するようにしてもよい。
次に、図12に示すように、ナビゲーションECU15が車両状態の設定処理を開始すると、まずS605にて、キー電源管理ECU17及び電源管理ECU19へ指令を与えて、車両コンピュータシステムにおける全てのECUに電力が供給されるようにし、更に、当該ナビゲーションECU15を除く全てのECUへ、その各ECUが現在記憶している故障診断情報であるダイアグコードを送信させる。そして、その各ECUからのダイアグコードと、自ECU15が現在記憶しているダイアグコードとを、プログラム書き換えを実施する直前のダイアグコードとしてメモリに記憶しておく。
そして、次のS610にて、他の全ECUへ、プログラム書き換えを開始する前の準備通知として、下記の通知を行う。
即ち、他の全ECUへ、プログラムの書き換えを開始することと、ターゲットマイコンがどのECUのどのマイコンであるのかを示すターゲット識別情報と、後述するS620及びS630の処理によって作動が禁止されることとなる機能、ECU及び電気負荷を表す禁止内容情報とを通知する。
すると、以後、ナビゲーションECU15を含む全てのECUのマイコンは、それが異常を監視している項目(故障検出項目)のうち、ターゲットマイコンの動作に関わる項目と、上記禁止内容情報の表す機能、ECU及び電気負荷に関連する項目とに異常があっても、それを異常として判断しないようになる。つまり、S610での準備通知は、プログラム書き換えを実施することによって正常作動しなくなる項目については、異常と判定しないようにするための指令である。
次に、ナビゲーションECU15は、S615にて、キー電源管理ECU17及び電源管理ECU19へ指令を与えて、プログラムの書き換えに関連する機器(具体的には、当該ナビゲーションECU15及びターゲットECUと、ユーザへの通知を行うためのECU及びそれの関連機器)への電力供給が継続されるようにする。
そして、次のS617にて、自車両の車種及びグレードに応じた作動禁止対象機器を決定する。
ここで、作動禁止対象機器とは、プログラムの書き換えには関連しない(換言すれば、影響が無い)機器であって、プログラム書き換えの実施中に作動を禁止すべき機器である。そして、プログラムの書き換えに関連しないECUを除くと、主に、作動することで一時的又は定常的に消費電流が大きくなる電気負荷が、作動禁止対象機器として決定される。そして更に、この作動禁止対象機器としては、後述するS620で電力供給を遮断することにより、その作動を禁止する第1種機器と、後述するS630でその機器を制御するECUに、その機器を作動させないようにすることにより、その作動を禁止する第2種機器とがある。
また、このような作動禁止対象機器は、車種及びグレード毎に異なる。なぜなら、車種及びグレードによって、搭載されている機器やその数が異なるからである。尚、車のグレードも広義では車の種類であるため、以下では、車種及びグレードを、単に車種という。
そこで、S617では、例えば以下の手順で、自車両の車種を特定すると共に、その特定した車種に応じた作動禁止対象機器を決定する。
まず、車両コンピュータシステム1のECUのうち、本プログラム書き換えシステムが適用された全ての車両に搭載される特定のECU(例えばエンジンECU11又はナビゲーションECU15)のデータ用不揮発性メモリには、自車両の車種を表す車種識別情報と、車種毎の作動禁止対象機器を記録した情報マップとが予め記憶されている。このため、S617では、上記データ用不揮発性メモリから車種識別情報を読み出して、自車両の車種を特定し、上記データ用不揮発性メモリ内の情報マップから上記特定した車種に該当する作動禁止対象機器を検索するのである。
尚、上記データ用不揮発性メモリがナビゲーションECU15以外のECU内に存在する場合には、そのECUに上記の車種特定と検索の処理を行わせて、その検索結果を受け取るように構成すれば良い。また例えば、上記情報マップがセンタ3に存在し、センタ3へ車種識別情報を送信すると、センタ3が、その車種識別情報によって車種を特定すると共に、その特定した車種に該当する作動禁止対象機器を上記情報マップから検索して、その検索結果を本車両コンピュータシステム1へ送信して来るようにしても良い。
そして、次のS620にて、キー電源管理ECU17及び電源管理ECU19へ指令を与えて、上記S617で決定した作動禁止対象機器のうちの第1種機器への電力供給を遮断させる。
このS620の処理により、例えば、ターゲットマイコンがエンジンECU11のマイコンであるとすると、車両挙動ECU12やエアバッグECU13など、上記S615で電力供給を継続するECU以外のECUへは、電力の供給が遮断される。また、電気負荷のうち、特に消費電流が大きくて作動時にバッテリ電圧の変動を招きやすいエンジン冷却用電動ファンやABSアクチュエータなどへの電力供給が遮断される。
但し、このS620において、ドアシステム管理ECU21とセキュリティECU22へは電力が継続して供給されるようにして、ドアシステム管理ECU21によるドアロックの機能と、セキュリティECU22によるセキュリティ機能は、プログラム書き換えの実施中においても正常に作動するようにしている。このため、その後に開始されるプログラム書き換えの実施中においても、それ以前にユーザが設定していたドアの施解錠状態とセキュリティセット/アンセット状態とが維持されることとなり、プログラム書き換えの実施中に、ユーザの意志に反してドアの施錠やセキュリティセット状態が解除され防犯性が低下してしまうことはない。
次に、ナビゲーションECU15は、S630にて、上記S617で決定した作動禁止対象機器のうちの第2種機器の作動を禁止させる指令を、その機器を制御するECUに与える。この指令により、例えば、エンジン始動用のスタータモータを作動させる操作や、ワイヤレスにより各ドアのロックモータ50〜54を作動させる操作(つまり、上記携帯機のロック用ボタン又はアンロック用ボタンの操作)や、パワーウィンドウを作動させる操作や、ライトや室内照明を点灯させる操作や、ワイパーを作動させる操作や、ウィンドウウォッシャモータを作動させる操作などが無効になる。更に、このS630では、キー電源管理ECU17に指令を与えることにより、イグニッションキーシリンダにおけるキーの操作(車両の電源スイッチの操作に相当)を無効にさせる。つまり、イグニッションキーシリンダにおけるキーが操作されて、そのキー操作位置が変化しても、その操作によって本来ならば通電される自車両内の機器へは電力が供給されないようにする。
次に、S640にて、上記S615〜S630による状態設定が完了したか否かを判定する。ここでは、上記S615〜S630で指令を与えた全てのECUから、その指令に従い動作することを示す了解応答があったならば、状態設定が完了したと判定する。
そして、状態設定が完了したと判定したならば(S640:YES)、S650に進んで、ユーザへ、状態設定が完了したことと、図10のS410と同様に、上記S620及びS630の処理によって制限される機能や操作の内容(特に、どういう操作が無効になるか)とを通知する。その後、S660に進んで、プログラム書き換え処理へ移行する。すると、ナビゲーションECU15は、図13に示すプログラム書き換え処理を開始することとなる。
また、上記S640にて、状態設定が完了しなかったと判定した場合には(S640:NO)、S670に移行して、状態設定に成功しなかったこと(設定不成功)をユーザに通知し、その後、S680にてプログラム書き換えを中止して、そのまま処理を終了する。
尚、S650でユーザへの通知を行った後、図10のS420や図11のS550と同様の判定を行って、ユーザからのキャンセル指示があったならば、プログラム書き換えを中止するようにしても良い。
次に、図13に示すように、ナビゲーションECU15がプログラム書き換え処理を開始すると、まずS710にて、ターゲットECUに指令を与えて、プログラムを書き換える対象のメモリ(即ち、ターゲットマイコンのメモリ)に記憶されているデータのうち、プログラムの書き換え後も継続して保持すべき学習値やカスタマイズ設定値や車両走行距離値などの特定種別データを、他の記憶媒体に退避させる。尚、他の記憶媒体(即ち、上記特定種別データの退避先)としては、ターゲットECUに備えられている他のメモリに限らず、ターゲットECUと通信線で接続されている他のECUに備えられているメモリでも良く、また、センタ3に存在するメモリでも良い。
そして、次にS720にて、ターゲットECUへプログラムの書き換え処理を開始させる指令を与えると共に、そのターゲットECUへ、センタ3からダウンロードした書き換え対象プログラムを転送する。すると、ターゲットECUでは、マイコンが、その書き換え対象プログラムを順次受信して、メモリ内のプログラムを、その受信したプログラムに書き換えることとなる。
そして、ターゲットECUにてプログラムの書き換え処理が終了したことを、そのターゲットECUからの通知によって検知すると、S730に進んで、プログラム書き換え完了の確認処理へ移行する。すると、ナビゲーションECU15は、図14に示すプログラム書き換え完了の確認処理を開始することとなる。
そして、図14に示すように、ナビゲーションECU15がプログラム書き換え完了の確認処理を開始すると、まずS810にて、ターゲットECUから、書き換えたプログラムのバージョン情報を取得し、そのバージョン情報が、センタ3からダウンロードしたプログラムのバージョン情報と一致しているか否かを確認する。
次に、S820にて、ターゲットECUに、図13のS710で退避させた特定種別データを、プログラムを書き換えたメモリ(即ち、ターゲットマイコンのメモリ)に再記憶させる。
そして、次のS830にて、他の各ECUに、図12のS610〜S630で出した指令の処理を解除する通知を出す。この解除通知により、図12の処理が実施される前の車両状態に戻ることとなる。
次に、S840にて、図12のS605と同様の手順により、他の各ECUから、それら各ECUが現在記憶しているダイアグコードを取得する。そして、続くS850にて、その取得した各ECUのダイアグコード(即ち、プログラム書き換え実施後のダイアグコード)と、上記図12のS605で記憶しておいた各ECUのダイアグコード(即ち、プログラム書き換え実施前のダイアグコード)とが一致しているか否かを判定し、両者が一致していれば、そのままS870に進むが、両者が一致していなければ、S860にて、不一致であった内容を記憶した後、S870に進む。尚、S840及びS850の処理は、図12のS610で各ECUに出した指令(準備通知)が正常に機能したか否かを確認するためのものである。
そして、S870では、プログラム書き換えが正常に完了したか否かを判定する。具体的には、ターゲットECUに指令を与えて、書き換えた後のプログラムを送信させ、そのプログラムと、センタ3からダウンロードしたプログラムとが一致しているか否かを判定し、その両プログラムが一致しており、且つ、上記S810でバージョン情報の一致が確認できていれば、プログラム書き換えが正常に完了したと判断して、S880へ進み、プログラム書き換え完了の通知処理へ移行する。すると、ナビゲーションECU15は、図15に示すプログラム書き換え完了の通知処理を開始することとなる。
また、上記S870でプログラム書き換えが正常に完了しなかったと判定した場合には(S870:NO)、S890に移行して、ユーザへ、プログラム書き換えが正常に完了しなかったこと(プログラム書き換えの不成功)を通知し、その後、処理を終了する。
尚、S870でプログラム書き換えが正常に完了しなかったと判定した場合、所定回数を限度に、図11の処理から再度実施するようにしても良い。また、プログラム書き換えが正常に完了したと判定した時点で、バッテリ電圧をチェックして、バッテリ75が弱っていると判定した場合には、スタータモータを駆動してエンジンを始動させ、アイドリングによるバッテリ75の充電を図ると共に、そのことをユーザに通知するようにしても良い。
次に、図15に示すように、ナビゲーションECU15がプログラム書き換え完了の通知処理を開始すると、まずS910にて、プログラム書き換えが正常に完了したことをユーザに通知する。尚、このとき、図12のS650で通知していた制限内容が解除されたことも通知するようにしても良い。また、プログラム書き換えが正常完了したことは、ホーンやブザーやハザード点滅、ライト点灯/点滅など、ユーザが車両の近くで確認できる手段によって通知するようにしても良い。
そして、続くS920にて、ユーザが次に乗車した際に、プログラム書き換えが正常に完了したことが、ディスプレイ31に表示されたり、発音装置から音声で出力されるように、関連するECUへ指令を与えておく。
最後に、S930にて、今回プログラム書き換えが行われたマイコンがどのマイコンであるかと、そのマイコンについてのプログラム書き換え回数とを記憶すると共に、その記憶した内容をセンタ3にも通知し、その後、処理を終了する。
尚、本実施形態では、センタ3がプログラム供給手段に相当し、図12のS615〜S630の処理が状態設定手段に相当し、図10のS410と図12のS650の処理が非作動機能通知手段に相当し、図12のS670の処理が設定不成功通知手段に相当し、図11のS510〜S545及びS570〜S580の処理が状態判定手段に相当し、図11のS585の処理が不適状態通知手段に相当し、図12のS610の処理が書換対象通知手段に相当し、図15のS910の処理が正常完了通知手段に相当し、図14のS890の処理が書換不成功通知手段に相当している。
以上のような本実施形態のプログラム書き換えシステムによれば、車両コンピュータシステム1は、プログラムの書き換えを実施する前に、図12のS615〜S630の処理により、車両の状態をプログラムの書き換えを実施するのに適した状態へと自動的に設定し、その設定の完了後に、プログラムの書き換えを実施するようになっている。そして、その設定により、プログラム書き換えの実施中において、もしプログラム書き換えに関係のない操作が行われても、その操作によって本来ならば通電される機器へは電力が供給されなくなるため、バッテリ電圧(延いては、ターゲットECU又はターゲットマイコン)に供給される電源電圧が変動してしまうことを防止することができる。
このため、人によるヒューズ抜きや確認の作業に頼ることなく、信頼性の高いプログラム書き換えを実現することができ、延いては、プログラム書き換えの失敗によるコンピュータの機能不良及びECU交換を回避することができ、コスト増加や廃棄物増加を防止することができる。
特に、本実施形態のプログラム書き換えシステムは、車両コンピュータシステム1がプログラム供給先のセンタ3と無線で通信する無線通信タイプの書き換えシステムであるため、工場やディーラなどの作業者がいない環境でも、車両コンピュータシステム1の信頼性の高いプログラム書き換えを実現可能なことが要求されるが、その要求を満たすことができる。
また、本実施形態のプログラム書き換えシステムでは、前述したように、ドアシステム管理ECU21によるドアロックの機能と、セキュリティECU22によるセキュリティ機能については、プログラム書き換えの実施中においても正常に作動するようにしているため、防犯性が低下してしまうことはない。
また、本実施形態のプログラム書き換えシステムでは、図10のS410と図12のS650の処理により、ユーザへ、図12のS620及びS630の処理によって制限される機能や操作の内容を通知するようにしているため、ユーザが、機能不良故障が発生したと勘違いしてしまうことを防止することができる。
また、図12のS615〜S630による状態設定が正常に完了しなかった場合(S640:NO)、そのことが図12のS670の処理によってユーザへ通知されるため、ユーザにとって利便性が良い。
そして更に、本実施形態のプログラム書き換えシステムでは、図11のS510〜S545及びS570〜S580の処理により、車両の状態がプログラムの書き換えを実施するのに不適切な状態であるか否かが自動的に判定され、不適切な状態であると判定されると、プログラム書き換えを中止するようになっているため、信頼性の高いプログラム書き換えを、人による確認作業に頼ることなく一層確実に実現することができる。尚、図11の確認処理では、例えば、キー操作位置が変化したか否かも判定して、キー操作位置が変化したと判定した場合にも、S585へ移行するようにしても良い。
また、本実施形態のプログラム書き換えシステムでは、図11のS510〜S545及びS570〜S580の処理によって車両の状態がプログラムの書き換えに不適切な状態であると判定された場合に、そのことが図11のS585の処理によってユーザへ通知されるため、ユーザにとって利便性が良い。
更に、本実施形態のプログラム書き換えシステムでは、プログラム書き換えが正常に完了した場合には、そのことが図15のS910の処理によってユーザへ通知され、逆に、プログラム書き換えが正常に完了なかった場合にも、そのことが図14のS890の処理によってユーザへ通知されるため、ユーザは、プログラム書き換えの成功/不成功をも確実に知ることができ利便性が良い。
また、本実施形態のプログラム書き換えシステムでは、図12のS610の処理により、プログラム書き換えの実施中に正常作動しなくなる項目について、車両コンピュータシステム1における各マイコンが異常と誤判定してしまうことを防止することができ、延いては、プログラム書き換えの実施によって誤ったダイアグコードが蓄積されてしまうことを回避することができる。
尚、上記実施形態のプログラム書き換えシステムでは、車両に搭載されたECUのうちのナビゲーションECU15が、プログラム書き換え統括機能を有する装置となっていたが、センタ3がプログラム書き換え統括機能を有する装置として機能するように構成しても良い。つまり、センタ3も、通信端末7及びナビゲーションECU15と通信線33〜37を介して車両の各ECUと通信可能であるため、各ECUから情報を収集して前述した各種判定を行うと共に、各ECUへ前述した各種指令を出すようにすれば良い。
一方、上記実施形態のプログラム書き換えシステムは、図16に例示するように、車両コンピュータシステム1とプログラム供給手段に相当するスキャンツール(プログラム書き換え用の外部装置)91とが通信線を介して通信可能に接続される有線通信タイプのプログラム書き換えシステムに変形することもできる。尚、図16において、図1と同じ構成要素については、その図1と同一の符号を付しているため説明は省略する。
即ち、図16に示す変形例プログラム書き換えシステムは、前述した実施形態のプログラム書き換えシステムと比較すると、下記の点が異なっている。
まず、図7におけるS110〜S130の処理(図8〜図10の処理)が実施されず、その代わりに、プログラム書き換えを実施する際には、工場やディーラーといった特定の作業場にて、作業者が、スキャンツール91を車両内の通信線(この例では、通信線33)にコネクタ(図示省略)を介して接続する。
また、作業者は、この接続作業を実施する前又は後に、スキャンツール91から車両コンピュータシステム1へ書き換え対象のプログラムを送信可能な状態にする。例えば、書き換え対象のプログラムが記憶された記憶媒体をスキャンツール91にセットしたり、或いは、パソコン等の情報端末92をスキャンツール91に接続して、その情報端末92からスキャンツール91を経由して車両コンピュータシステム1へ書き換え対象のプログラムを転送できるようにする。
そして、作業者が、スキャンツール91に対して特定の操作を行うと、そのスキャンツール91は、車両コンピュータシステム1へ、プログラム書き換えモードへの移行指令を送信することとなる。
すると、車両コンピュータシステム1における何れかのECU(この変形例では、ナビゲーションECU15)が上記移行指令を受信して、図7のS140以降の処理(図11〜図15の処理)を実施することとなる。
但し、この変形例では、上記S560、S585、S650、S670、S890、及びS910などで実施していたユーザへの通知に代えて、それと同じ内容を作業者に通知する処理を行う。そして、作業者への通知は、ディスプレイECU23に指令して、ディスプレイ31に通知内容のメッセージやアイコンを表示させたり、音声案内ECU24に指令して、発音装置から通知内容の音声を発生させたり、スキャンツール91に指令して、そのスキャンツール91の表示装置や、そのスキャンツール91に接続された情報端末92の表示装置に通知内容のメッセージやアイコンを表示させたりすることによって実施される。
また、この変形例では、図13におけるS720でプログラム書き換えが実施されるときに、スキャンツール91からターゲットECUへ書き換え対象のプログラムが転送されるが、その書き換え対象のプログラムは、例えば上記実施形態と同様に、図11の処理が実施される前に、スキャンツール91から特定のECU(例えばナビゲーションECU15)にダウンロードされて保存され、その後、図13におけるS720でプログラム書き換えが実施されるときに、その特定のECUからターゲットECUへ転送されるようにしても良い。
また、この変形例において、プログラム書き換えが行われたマイコンがどのマイコンであるかと、そのマイコンについてのプログラム書き換え回数とを、何らかの情報管理センタに通知する必要があるのならば、その内容を、図15におけるS930で、スキャンツール91へ送信すると、スキャンツール91から情報端末92及びその情報端末92に接続された通信網5を介して、その内容が上記情報管理センタへ届くようにすれば良い。
以上のような変形例のプログラム書き換えシステムによっても、人手に頼ることなく信頼性の高いプログラム書き換えを実現することができ、特に、工場やディーラーなどでプログラム書き換えを実施する際の作業者による作業工数及び工賃を大幅に削減することができる。
尚、この変形例のプログラム書き換えシステムにおいても、車両に搭載されたECUではなく、車両外のスキャンツール91又は情報端末92がプログラム書き換え統括機能を有する装置として機能するように構成しても良い。つまり、スキャンツール91或いは情報端末92も、通信線33〜37及びナビゲーションECU15を介して車両の各ECUと通信可能であるため、各ECUから情報を収集して前述した各種判定を行うと共に、各ECUへ前述した各種指令を出すようにすれば良い。
以上、本発明の一実施形態について説明したが、本発明はこうした実施形態に何等限定されるものではなく、本発明の要旨を逸脱しない範囲において、種々なる態様で実施し得ることは勿論である。
例えば、前述した図7の書き換え制御動作を実現するためのプログラムや判定基準値は、車両コンピュータシステム1に予め備えられていても良いし、車両外部(センタ3やスキャンツール91)から車両コンピュータシステム1にダウンロードされるようにしても良い。
実施形態のプログラム書き換えシステムを表す構成図である。 ドアシステム管理ECUを説明する説明図である。 セキュリティECUを説明する説明図である。 エアコンECUを説明する説明図である。 キー電源管理ECUを説明する説明図である。 電源管理ECUを説明する説明図である。 ナビゲーションECU(プログラム書き換え統括機能を有する装置)で実施される書き換え制御動作の流れ全体を表すフローチャートである。 プログラム書き換えの開始判定処理の内容を表すフローチャートである。 プログラムのダウンロード処理の内容を表すフローチャートである。 プログラム書き換えモードへの移行処理の内容を表すフローチャートである。 車両状態の確認処理の内容を表すフローチャートである。 車両状態の設定処理の内容を表すフローチャートである。 プログラム書き換え処理の内容を表すフローチャートである。 プログラム書き換え完了の確認処理の内容を表すフローチャートである。 プログラム書き換え完了の通知処理の内容を表すフローチャートである。 変形例のプログラム書き換えシステムを表す構成図である。
符号の説明
1…車両コンピュータシステム、3…センタ、5…通信網、7…通信端末、11…エンジンECU、12…車両挙動ECU、13…エアバッグECU、14…クルーズECU、15…ナビゲーションECU、16…メータECU、17…キー電源管理ECU、18…ライトシステム管理ECU、19…電源管理ECU、20…エアコンECU、21…ドアシステム管理ECU、22…セキュリティECU、23…ディスプレイECU、24…音声案内ECU、25…ブラウザECU、26…オーディオECU、31…ディスプレイ、33〜37…通信線、41…通信部、42…制御部、43…運転席カーテシスイッチ、44…助手席カーテシスイッチ、45…右後席カーテシスイッチ、46…左後席カーテシスイッチ、47…ラゲッジカーテシスイッチ、48…通信機、50…運転席ドアロックモータ、51…助手席ドアロックモータ、52…右後席ドアロックモータ、53…左後席ドアロックモータ、54…ラゲッジロックモータ、60…侵入センサ、61…傾斜センサ、62…振動センサ、64…音響警報機器、65…セキュリティインジケータ、67…外気温センサ、68…内気温センサ、70…キーポジションスイッチ、71〜74,L1〜Ln…電源ライン、75…バッテリ、76〜79,SR1〜SRn…スイッチング装置、86…電流センサ、87…温度センサ、91…スキャンツール、92…情報端末

Claims (20)

  1. 車両に搭載されたコンピュータシステム(以下、車両コンピュータシステムという)と、その車両コンピュータシステムへ書き換え対象のプログラムを送信する車両外のプログラム供給手段とからなり、前記車両コンピュータシステムが、メモリ内のプログラムを前記プログラム供給手段から送信されてきたプログラムに書き換えるように構成されたプログラム書き換えシステムにおいて、
    前記車両コンピュータシステムがプログラムの書き換えを実施する前に、前記車両の状態をプログラムの書き換えに適した状態に設定するための設定処理を行う状態設定手段を備え、
    前記車両コンピュータシステムは、前記状態設定手段による設定処理の完了後に、プログラムの書き換えを実施するように構成されていること、
    を特徴とするプログラム書き換えシステム。
  2. 請求項1に記載のプログラム書き換えシステムにおいて、
    前記状態設定手段は、前記設定処理として、特定の機器が作動するのを禁止すること、
    を特徴とするプログラム書き換えシステム。
  3. 請求項2に記載のプログラム書き換えシステムにおいて、
    前記状態設定手段は、前記設定処理として、前記特定の機器への電力供給を遮断すること、
    を特徴とするプログラム書き換えシステム。
  4. 請求項1に記載のプログラム書き換えシステムにおいて、
    前記車両コンピュータシステムは複数のコンピュータを備えており、
    前記状態設定手段は、前記設定処理として、プログラムの書き換えに関連するコンピュータには電力を供給し、プログラムの書き換えに関連しない少なくとも1つ以上のコンピュータへの電力供給は遮断すること、
    を特徴とするプログラム書き換えシステム。
  5. 請求項1に記載のプログラム書き換えシステムにおいて、
    前記状態設定手段は、前記設定処理として、前記車両の電源スイッチの操作を無効にすること、
    を特徴とするプログラム書き換えシステム。
  6. 請求項1に記載のプログラム書き換えシステムにおいて、
    前記状態設定手段は、前記設定処理として、特定の機器を作動させるための操作を無効にすること、
    を特徴とするプログラム書き換えシステム。
  7. 請求項6に記載のプログラム書き換えシステムにおいて、
    前記状態設定手段は、エンジン始動用のスタータモータを作動させる操作と、ワイヤレスによりドアロックモータを作動させる操作と、パワーウィンドウを作動させる操作と、ライトを点灯させる操作と、ワイパーを作動させる操作と、ウィンドウウォッシャモータを作動させる操作とのうちの、少なくとも1つを無効にすること、
    を特徴とするプログラム書き換えシステム。
  8. 請求項1ないし請求項7の何れか1項に記載のプログラム書き換えシステムにおいて、
    前記車両コンピュータシステムは、前記プログラム供給手段と通信線を介して通信可能に接続されるように構成されていること、
    を特徴とするプログラム書き換えシステム。
  9. 請求項1ないし請求項7の何れか1項に記載のプログラム書き換えシステムにおいて、
    前記車両コンピュータシステムは、前記プログラム供給手段と無線で通信するように構成されていること、
    を特徴とするプログラム書き換えシステム。
  10. 請求項9に記載のプログラム書き換えシステムにおいて、
    前記状態設定手段は、前記車両の状態を、その車両のドアロック機能が正常に作動する範囲内で設定すること、
    を特徴とするプログラム書き換えシステム。
  11. 請求項9に記載のプログラム書き換えシステムにおいて、
    前記状態設定手段は、前記車両の状態を、その車両への不正行為を検知して警報するセキュリティ機能が正常に作動する範囲内で設定すること、
    を特徴とするプログラム書き換えシステム。
  12. 請求項1ないし請求項11の何れか1項に記載のプログラム書き換えシステムにおいて、
    前記状態設定手段の設定処理によって作動しなくなる機能を、使用者又は作業者に通知する非作動機能通知手段を備えていること、
    を特徴とするプログラム書き換えシステム。
  13. 請求項1ないし請求項12の何れか1項に記載のプログラム書き換えシステムにおいて、
    前記状態設定手段が前記設定処理を完了させることができない場合に、そのことを使用者又は作業者に通知する設定不成功通知手段を備えていること、
    を特徴とするプログラム書き換えシステム。
  14. 請求項1ないし請求項13の何れか1項に記載のプログラム書き換えシステムにおいて、
    前記状態設定手段が前記設定処理を開始する前に、前記車両の状態がプログラムの書き換えに不適切な状態であるか否かを判定する状態判定手段を備えると共に、
    前記車両コンピュータシステムは、前記状態判定手段により前記車両の状態がプログラムの書き換えに不適切な状態であると判定されたならば、プログラムの書き換えを中止するように構成されていること、
    を特徴とするプログラム書き換えシステム。
  15. 請求項14に記載のプログラム書き換えシステムにおいて、
    前記状態判定手段は、
    前記車両に搭載されたバッテリの電圧と、そのバッテリの劣化状態と、プログラム書き換え対象のコンピュータ又は該コンピュータが搭載されたユニットに供給されている電源電圧と、前記車両の外気温度と、前記車両の室内温度と、前記車両のエンジンが停止してからの経過時間と、前記車両のイグニッションキーシリンダにおけるキーの操作位置と、前記車両の現在位置と、前記車両が存在する場所での有事情報とのうちの、少なくとも1つに基づいて、前記車両の状態がプログラムの書き換えに不適切な状態であるか否かを判定すること、
    を特徴とするプログラム書き換えシステム。
  16. 車両に搭載されたコンピュータシステム(以下、車両コンピュータシステムという)と、その車両コンピュータシステムへ書き換え対象のプログラムを送信する車両外のプログラム供給手段とからなり、前記車両コンピュータシステムが、メモリ内のプログラムを前記プログラム供給手段から送信されてきたプログラムに書き換えるように構成されたプログラム書き換えシステムにおいて、
    前記車両コンピュータシステムがプログラムの書き換えを実施する前に、前記車両の外気温度と、前記車両の室内温度と、前記車両のエンジンが停止してからの経過時間と、前記車両の現在位置と、前記車両が存在する場所での有事情報とのうちの、少なくとも1つに基づいて、前記車両の状態がプログラムの書き換えに不適切な状態であるか否かを判定する状態判定手段を備えると共に、
    前記車両コンピュータシステムは、前記状態判定手段により前記車両の状態がプログラムの書き換えに不適切な状態であると判定されたならば、プログラムの書き換えを中止するように構成されていること、
    を特徴とするプログラム書き換えシステム。
  17. 請求項14ないし請求項16の何れか1項に記載のプログラム書き換えシステムにおいて、
    前記状態判定手段により前記車両の状態がプログラムの書き換えに不適切な状態であると判定された場合に、そのことを使用者又は作業者に通知する不適状態通知手段を備えていること、
    を特徴とするプログラム書き換えシステム。
  18. 請求項1ないし請求項17の何れか1項に記載のプログラム書き換えシステムにおいて、
    前記車両コンピュータシステムは複数のコンピュータを備えており、
    更に、当該プログラム書き換えシステムには、プログラム書き換え対象のコンピュータが前記複数のコンピュータのうちの何れであるかを他のコンピュータに通知する書換対象通知手段が備えられていること、
    を特徴とするプログラム書き換えシステム。
  19. 請求項1ないし請求項18の何れか1項に記載のプログラム書き換えシステムにおいて、
    前記車両コンピュータシステムがプログラムの書き換えを正常に完了した場合に、そのことを使用者又は作業者に通知する正常完了通知手段を備えていること、
    を特徴とするプログラム書き換えシステム。
  20. 請求項1ないし請求項19の何れか1項に記載のプログラム書き換えシステムにおいて、
    前記車両コンピュータシステムがプログラムの書き換えを正常に完了しなかった場合に、そのことを使用者又は作業者に通知する書換不成功通知手段を備えていること、
    を特徴とするプログラム書き換えシステム。
JP2004268316A 2004-09-15 2004-09-15 プログラム書き換えシステム及び車両コンピュータシステム Expired - Fee Related JP4599953B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004268316A JP4599953B2 (ja) 2004-09-15 2004-09-15 プログラム書き換えシステム及び車両コンピュータシステム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004268316A JP4599953B2 (ja) 2004-09-15 2004-09-15 プログラム書き換えシステム及び車両コンピュータシステム

Publications (3)

Publication Number Publication Date
JP2006082649A true JP2006082649A (ja) 2006-03-30
JP2006082649A5 JP2006082649A5 (ja) 2007-10-25
JP4599953B2 JP4599953B2 (ja) 2010-12-15

Family

ID=36161502

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004268316A Expired - Fee Related JP4599953B2 (ja) 2004-09-15 2004-09-15 プログラム書き換えシステム及び車両コンピュータシステム

Country Status (1)

Country Link
JP (1) JP4599953B2 (ja)

Cited By (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008269395A (ja) * 2007-04-23 2008-11-06 Fujitsu Ten Ltd マルチメディアシステムおよびナビゲーションユニット端末
JP2010019175A (ja) * 2008-07-11 2010-01-28 Hitachi Automotive Systems Ltd 車載電子コントロールユニットのデータ書き込みシステム
JP2010146257A (ja) * 2008-12-18 2010-07-01 Fujitsu Ten Ltd 情報処理装置、プログラム更新方法および情報処理システム
JP2012035662A (ja) * 2010-08-03 2012-02-23 Honda Motor Co Ltd 車両用プログラム書換えシステム
JP2014051168A (ja) * 2012-09-06 2014-03-20 Denso Corp 車載通信システム
JP2014506848A (ja) * 2010-12-23 2014-03-20 オートモーティブ エレクトロニック ソリューションズ エルエルシー 遠隔車両プログラミングシステムおよび方法
JP2015041334A (ja) * 2013-08-23 2015-03-02 矢崎エナジーシステム株式会社 車載ソフトウェア更新装置
JP2017220091A (ja) * 2016-06-09 2017-12-14 株式会社デンソー 車両用装置
WO2018096945A1 (ja) * 2016-11-28 2018-05-31 株式会社オートネットワーク技術研究所 車載更新システム及び車載更新装置
JP2018155563A (ja) * 2017-03-16 2018-10-04 カシオ計算機株式会社 無線通信装置、電子時計、無線通信方法、及びプログラム
JP2018181026A (ja) * 2017-04-17 2018-11-15 カシオ計算機株式会社 情報処理装置、情報更新システム及びプログラム
JP2019036251A (ja) * 2017-08-21 2019-03-07 株式会社東芝 更新制御装置、ソフトウェア更新システムおよび更新制御方法
JP2019142470A (ja) * 2018-02-16 2019-08-29 株式会社デンソー マイコン及び電子制御装置
JP2020017220A (ja) * 2018-07-27 2020-01-30 株式会社デンソーテン 更新制御装置、電子装置、更新システムおよび更新制御方法
WO2020032193A1 (ja) * 2018-08-10 2020-02-13 株式会社デンソー 車両用電子制御システム、プログラム更新の報知制御方法及びプログラム更新の報知制御プログラム
WO2021039795A1 (ja) * 2019-08-28 2021-03-04 株式会社デンソー 車両用電子制御システム、車両用マスタ装置、コンフィグ情報の書戻しによる書換え指示方法及びコンフィグ情報の書戻しによる書換え指示プログラム
US11669323B2 (en) 2018-08-10 2023-06-06 Denso Corporation Vehicle electronic control system, program update notification control method and computer program product
JP7484606B2 (ja) 2020-09-17 2024-05-16 トヨタ自動車株式会社 車載機器、ソフトウェア更新方法、ソフトウェア更新プログラム、および、車両

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000207219A (ja) * 1999-01-18 2000-07-28 Fujitsu Ten Ltd 車載端末とセンタ―との間の通信システム、及び、通信システムに使用する車載端末
JP2001123874A (ja) * 1999-10-27 2001-05-08 Denso Corp 電子制御装置のプログラム書換システム及びメモリ書換装置
JP2002082818A (ja) * 2000-06-22 2002-03-22 Sumitomo Rubber Ind Ltd 車両用プログラム配信システムおよび方法
JP2003198563A (ja) * 2001-12-27 2003-07-11 Ntt Comware Corp 無線通信装置および方法と無線通信プログラムおよび該プログラムを記録したコンピュータ読取り可能な記録媒体
JP2004028000A (ja) * 2002-06-27 2004-01-29 Mitsubishi Electric Corp 通信による車載ecuのメモリ書き換え装置
JP2004199493A (ja) * 2002-12-19 2004-07-15 Komatsu Ltd 車載プログラムの書き換え制御装置

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000207219A (ja) * 1999-01-18 2000-07-28 Fujitsu Ten Ltd 車載端末とセンタ―との間の通信システム、及び、通信システムに使用する車載端末
JP2001123874A (ja) * 1999-10-27 2001-05-08 Denso Corp 電子制御装置のプログラム書換システム及びメモリ書換装置
JP2002082818A (ja) * 2000-06-22 2002-03-22 Sumitomo Rubber Ind Ltd 車両用プログラム配信システムおよび方法
JP2003198563A (ja) * 2001-12-27 2003-07-11 Ntt Comware Corp 無線通信装置および方法と無線通信プログラムおよび該プログラムを記録したコンピュータ読取り可能な記録媒体
JP2004028000A (ja) * 2002-06-27 2004-01-29 Mitsubishi Electric Corp 通信による車載ecuのメモリ書き換え装置
JP2004199493A (ja) * 2002-12-19 2004-07-15 Komatsu Ltd 車載プログラムの書き換え制御装置

Cited By (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008269395A (ja) * 2007-04-23 2008-11-06 Fujitsu Ten Ltd マルチメディアシステムおよびナビゲーションユニット端末
JP2010019175A (ja) * 2008-07-11 2010-01-28 Hitachi Automotive Systems Ltd 車載電子コントロールユニットのデータ書き込みシステム
JP2010146257A (ja) * 2008-12-18 2010-07-01 Fujitsu Ten Ltd 情報処理装置、プログラム更新方法および情報処理システム
JP2012035662A (ja) * 2010-08-03 2012-02-23 Honda Motor Co Ltd 車両用プログラム書換えシステム
JP2014506848A (ja) * 2010-12-23 2014-03-20 オートモーティブ エレクトロニック ソリューションズ エルエルシー 遠隔車両プログラミングシステムおよび方法
US9026265B2 (en) 2012-09-06 2015-05-05 Denso Corporation Vehicle communication system between a device control ECU and an information apparatus
JP2014051168A (ja) * 2012-09-06 2014-03-20 Denso Corp 車載通信システム
JP2015041334A (ja) * 2013-08-23 2015-03-02 矢崎エナジーシステム株式会社 車載ソフトウェア更新装置
JP2017220091A (ja) * 2016-06-09 2017-12-14 株式会社デンソー 車両用装置
WO2018096945A1 (ja) * 2016-11-28 2018-05-31 株式会社オートネットワーク技術研究所 車載更新システム及び車載更新装置
JP2018086899A (ja) * 2016-11-28 2018-06-07 株式会社オートネットワーク技術研究所 車載更新システム及び車載更新装置
CN109952235A (zh) * 2016-11-28 2019-06-28 株式会社自动网络技术研究所 车载更新系统及车载更新装置
JP2018155563A (ja) * 2017-03-16 2018-10-04 カシオ計算機株式会社 無線通信装置、電子時計、無線通信方法、及びプログラム
JP2018181026A (ja) * 2017-04-17 2018-11-15 カシオ計算機株式会社 情報処理装置、情報更新システム及びプログラム
JP2019036251A (ja) * 2017-08-21 2019-03-07 株式会社東芝 更新制御装置、ソフトウェア更新システムおよび更新制御方法
JP2019142470A (ja) * 2018-02-16 2019-08-29 株式会社デンソー マイコン及び電子制御装置
JP2020017220A (ja) * 2018-07-27 2020-01-30 株式会社デンソーテン 更新制御装置、電子装置、更新システムおよび更新制御方法
JP7221604B2 (ja) 2018-07-27 2023-02-14 株式会社デンソーテン 制御システムおよび制御システムの制御方法
WO2020032193A1 (ja) * 2018-08-10 2020-02-13 株式会社デンソー 車両用電子制御システム、プログラム更新の報知制御方法及びプログラム更新の報知制御プログラム
US11669323B2 (en) 2018-08-10 2023-06-06 Denso Corporation Vehicle electronic control system, program update notification control method and computer program product
WO2021039795A1 (ja) * 2019-08-28 2021-03-04 株式会社デンソー 車両用電子制御システム、車両用マスタ装置、コンフィグ情報の書戻しによる書換え指示方法及びコンフィグ情報の書戻しによる書換え指示プログラム
JPWO2021039795A1 (ja) * 2019-08-28 2021-03-04
JP7331931B2 (ja) 2019-08-28 2023-08-23 株式会社デンソー 車両用電子制御システム
JP7484606B2 (ja) 2020-09-17 2024-05-16 トヨタ自動車株式会社 車載機器、ソフトウェア更新方法、ソフトウェア更新プログラム、および、車両

Also Published As

Publication number Publication date
JP4599953B2 (ja) 2010-12-15

Similar Documents

Publication Publication Date Title
JP4599953B2 (ja) プログラム書き換えシステム及び車両コンピュータシステム
US6415210B2 (en) Vehicle information communication system and method capable of communicating with external management station
US9316196B2 (en) Vehicle controller
JP6414568B2 (ja) 車両用装置
WO2019181496A1 (ja) プログラム更新システム、プログラム更新方法及びコンピュータプログラム
US8965627B2 (en) Distance based vehicle updating server
CN109641569B (zh) 车辆远程控制系统
JP5272507B2 (ja) 電子制御装置
US8180521B2 (en) Electronic control system for vehicle
US9372831B2 (en) Remote starter
JP4595691B2 (ja) 電子キーシステム
US9367048B2 (en) Vehicle controller
US20130151132A1 (en) Remote starter
TW200403382A (en) Key with display capability, display method, and display program
US10625754B2 (en) Control apparatus, control method, and computer program
JP2003058285A (ja) 制御システム
JPWO2020208830A1 (ja) 車両遠隔制御システム、車載器ないし通信モジュール、車両、サーバ、車両遠隔制御方法、車両遠隔制御プログラム及び記憶媒体
JP2006192967A (ja) 遠隔操作制御システムおよび車載遠隔操作制御装置
JP4599952B2 (ja) プログラム書き換えシステム及び車両コンピュータシステム
JP4412390B2 (ja) 電子制御装置、診断結果の不揮発性メモリへの記憶許可方法、情報処理装置、診断結果の不揮発性メモリへの記憶許可システム
JP2004210183A (ja) 車載プログラムの書き換え制御装置
JP5617901B2 (ja) 電子制御装置
JP4906801B2 (ja) 車載電子コントロールユニットのデータ書き込みシステム及び車載電子コントロールユニット
JP2013141949A (ja) 車載システム,中継装置
JP6945643B2 (ja) 電子制御装置および地図データの診断方法

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070907

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070907

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100413

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20100415

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100611

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100831

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100913

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131008

Year of fee payment: 3

R151 Written notification of patent or utility model registration

Ref document number: 4599953

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131008

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees