JP2016224898A - 車載電子制御装置 - Google Patents

車載電子制御装置 Download PDF

Info

Publication number
JP2016224898A
JP2016224898A JP2015226830A JP2015226830A JP2016224898A JP 2016224898 A JP2016224898 A JP 2016224898A JP 2015226830 A JP2015226830 A JP 2015226830A JP 2015226830 A JP2015226830 A JP 2015226830A JP 2016224898 A JP2016224898 A JP 2016224898A
Authority
JP
Japan
Prior art keywords
control program
vehicle
electronic control
control device
rewriting
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2015226830A
Other languages
English (en)
Inventor
上原 一浩
Kazuhiro Uehara
一浩 上原
本多 隆芳
Takayoshi Honda
隆芳 本多
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to DE102016209180.8A priority Critical patent/DE102016209180A1/de
Publication of JP2016224898A publication Critical patent/JP2016224898A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Stored Programmes (AREA)

Abstract

【課題】無線通信によって外部から制御プログラムを受信する構成としながらも、不適切な状況やタイミングにおいて制御プログラムの書き換えが行われてしまうことを防止することのできる車載電子制御装置を提供する。【解決手段】電子制御装置100は、車両10の現在位置を示す位置情報、現在の時刻を示す時刻情報、及び無線通信の信号レベル示す通信状態情報のうち、少なくとも1つの情報に基づいて、制御プログラムの書き換えの許可を行う。【選択図】図1

Description

本発明は、マイコンに記憶されている制御プログラムを、無線通信によって外部から受信した制御プログラムで書き換えることが可能な車載電子制御装置に関する。
車両に搭載され、燃料噴射等の制御を行うための制御装置である車載電子制御装置(ECU)は、CPU、ROM、RAM等を備えたマイコンを有している。マイコンのROMには、車載電子制御装置で実行される制御プログラムが記憶されている。
制御プログラムは、車両の製造時においてROMに書き込まれる。ただし、車両の使用が開始された後においても、改修等の目的で制御プログラムの書き換えが行われる場合がある。制御プログラムの書き換えは、書き込み装置と車両とが有線で接続された状態で行われることが多い。
近年では、新しい制御プログラムを無線通信によって外部(センタ)から受信し、これをROMに書き込むことで、制御プログラムの書き換えを行うことも提案されている(下記特許文献1を参照)。このような構成の車載電子制御装置における制御プログラムの書き換えは、例えば車両が使用者の車庫に停車しているとき等に、使用者の特別な操作を必要とすることなく自動的に行われる。
特開2010−19175号公報
有線接続された状態での通信に比べて、無線通信は通信状態が不安定になりやすくエラーが生じやすい。このため、制御プログラムを無線通信によって外部から受信する構成の車載電子制御装置では、電波状態の悪化(信号レベルの低下)に起因して、制御プログラムの受信に失敗してしまう可能性がある。また、通信エラーにより正常ではない制御プログラムがROMに書き込まれてしまう可能性もある。更に、制御プログラムの受信が正常に行われた後であっても、何らかの原因でROMへの書き込みに失敗してしまう可能性もある。
制御プログラムの受信や、ROMへの書き込みに失敗してしまうと、ROMから制御プログラムが消去されたままとなってしまったり、正常ではない制御プログラムがROMに書き込まれてしまったりする可能性がある。この場合、車両は走行し得ない状態となってしまう。
使用者の知らない間に制御プログラムの書き換えが試みられ、その結果として上記のように車両が走行し得ない状態となってしまうことは、当然ながら使用者にとって望ましいことではない。
本発明はこのような課題に鑑みてなされたものであり、その目的は、無線通信によって外部から制御プログラムを受信する構成としながらも、不適切な状況やタイミングにおいて制御プログラムの書き換えが行われてしまうことを防止することのできる車載電子制御装置を提供することにある。
上記課題を解決するために、本発明に係る車載電子制御装置は、マイコンに記憶されている制御プログラムを、無線通信によって外部から受信した制御プログラムで書き換えることが可能な車載電子制御装置であって、車両の現在位置を示す位置情報、現在の時刻を示す時刻情報、及び無線通信の信号レベル示す通信状態情報のうち、少なくとも1つの情報に基づいて、制御プログラムの書き換えの許可を行う。
このような車載電子制御装置では、位置情報、時刻情報、通信状態情報のうちの少なくとも1つの情報に基づいて、制御プログラムの書き換えの許可が行われる。例えば、通信状態情報に基づいて、無線通信の信号レベルが所定レベル以上と判定された場合にのみ書き換えの許可が行われることとすれば、無線通信の失敗や、その後の書き換えの失敗を防止することができる。
また、時刻情報に基づいて、使用者によって予め許可された時間帯にのみ書き換えの許可が行われることとすれば、使用者の望まないタイミングで制御プログラムの書き換えが実行されてしまうことを防止することができる。換言すれば、使用者が車両を使用する必要のある時間帯(日時)を避けた適切なタイミングで、制御プログラムの書き換えを実行することができる。
本発明によれば、無線通信によって外部から制御プログラムを受信する構成としながらも、不適切な状況やタイミングにおいて制御プログラムの書き換えが行われてしまうことを防止することのできる車載電子制御装置が提供される。
本発明の第1実施形態に係る電子制御装置、及びこれを搭載した車両の構成を模式的に示す図である。 センタ、中継装置、電子制御装置、及び外部通信機の間で行われる通信の手順を示す図である。 センタ、中継装置、電子制御装置、及び外部通信機の間で行われる通信の手順を示す図である。 センタ、中継装置、電子制御装置、及び外部通信機の間で行われる通信の手順を示す図である。 外部通信機によって実行される処理の流れを示すフローチャートである。 外部通信機によって実行される処理の流れを示すフローチャートである。 電子制御装置によって実行される処理の流れを示すフローチャートである。 電子制御装置によって実行される処理の流れを示すフローチャートである。 電子制御装置によって実行される処理の流れを示すフローチャートである。
以下、添付図面を参照しながら本発明の実施形態について説明する。説明の理解を容易にするため、各図面において同一の構成要素に対しては可能な限り同一の符号を付して、重複する説明は省略する。
本発明の実施形態に係る車載電子制御装置(以下、「電子制御装置100」と表記する)の構成について、図1を参照しながら説明する。電子制御装置100は、車両10に搭載される制御装置であって、例えば内燃機関における燃料噴射を制御するための装置として構成されている。電子制御装置100は、所謂ECUとも称されるものである。
電子制御装置100は、その主たる構成要素としてマイコン110を備えている。マイコン110は、不図示のCPUの他、データ送受信部111と、RAM112と、ROM113とを有している。
データ送受信部111は、電子制御装置100が他の機器との通信を行う際におけるインターフェースとなる部分である。データ送受信部111は、車両10内に配置された通信経路400に接続されている。データ送受信部111は、この通信経路400を介して他の機器(後述の中継装置300等)との通信を行う。
尚、図1において、通信経路400は1本の線で模式的に描かれているが、通信経路400を構成する通信線の実際の本数や接続態様は図1のようなものに限定されない。これらは、通信方式(プロトコル)によって適宜設定されるものである。
RAM112は、マイコン110に備えられた揮発性メモリである。RAM112は、CPUにより制御プログラムが実行される際における一時的な情報の格納場所として用いられる。また、後に説明するように、ROM113に対する制御プログラムの書き換えが行われる際には、RAM112は既存の制御プログラムの退避場所としても用いられる。
ROM113は、マイコン110に備えられた不揮発性メモリである。ROM113には、CPUにより実行される制御プログラム等が記憶されている。ROM113はフラッシュメモリであり、記憶されている制御プログラム等をオンボードの状態で書き換えること(新規に書き込むことも含む)が可能となっている。
後に詳しく説明するように、電子制御装置100は、センタ20から無線通信によって送信される新しい制御プログラムを受け取り、これをROM113に書き込むことで制御プログラムの書き換えを行うことが可能となっている。
電子制御装置100が搭載されている車両10の構成について、引き続き図1を参照しながら説明する。車両10には、外部通信機200と、中継装置300とが搭載されている。
外部通信機200は、外部と無線通信を行うための端末として構成された装置である。外部通信機200は、無線通信を行うためのアンテナ201を備えている。また、外部通信機200は、電子制御装置100と同様に、CPU、ROM、RAM等を有するマイコン(不図示)を備えた制御装置として構成されている。
外部通信機200は通信経路400に接続されている。外部通信機200は、通信経路400を介して電子制御装置100や中継装置300との通信を行うことができる。
外部通信機200は、機能的な制御ブロックとして、位置判定部210と、時刻判定部220と、通信状態判定部230とを備えている。位置判定部210は、GPSによって車両10の現在位置を測定する部分である。位置判定部210には、ROM113に対する制御プログラムの書き換えを行うことが許される領域(車両位置の範囲)として、複数の許可領域が予め設定されている。このような許可領域としては、例えば使用者の自宅の車庫や、車両10のメンテナンスを行うディーラの敷地などが設定される。位置判定部210は、車両10の現在位置が上記許可領域内であるか否かの判定を他の機器からの求めに応じて行い、その判定の結果を当該機器に送信することが可能となっている。
時刻判定部220は、現在の日時を測定する時計として機能する部分である。時刻判定部220には、ROM113に対する制御プログラムの書き換えを行うことが許される時間帯として許可時間帯が設定されている。時刻判定部220は、現在の日時が上記許可時間帯に含まれるか否かの判定を他の機器からの求めに応じて行い、その判定の結果を当該機器に送信することが可能となっている。使用者による許可時間帯の設定は、使用者が所有する携帯通信端末30を介して行われる。
通信状態判定部230は、無線通信の電波状況、具体的には他の機器から受信される信号の信号レベルを測定する部分である。通信状態判定部230には、制御プログラムを安定して受信するために必要となる信号レベルの閾値(以下、当該閾値のことを「最低信号レベル」と表記する)が予め設定されている。通信状態判定部230は、現時点における信号レベルが上記最低信号レベル以上であるか否かの判定を他の機器からの求めに応じて行い、その判定の結果を当該機器に送信することが可能となっている。
中継装置300は、外部通信機200と電子制御装置100とを繋ぐ通信経路400の途中に設けられた装置である。中継装置300は、センタ20から無線通信で受信された制御プログラムを一時的に保存する(バッファリングする)機能を有する。また、中継装置300は、電子制御装置100に対して制御プログラムの書き換え要求を送信し、書き換えを開始させる機能等をも有している。
中継装置300は、中継部310とバッファ部320とにより構成されている。中継部310は、所謂ゲートウェイとして機能する部分であって、外部通信機200、電子制御装置100、及びバッファ部320のそれぞれの間における通信を中継するものである。
バッファ部320は、データを保管するストレージとして機能する部分である。バッファ部320は、CPU、ROM、RAM等を有するマイコン(不図示)を備えた制御装置として構成されている。バッファ部320には、制御プログラムの書き換えが行われる際において、センタ20から無線通信で受信された制御プログラムが一時的に保存される。
なお、以上のような機能を有する中継部310及びバッファ部320は、互いに別体の装置として構成されていてもよいのであるが、これらが一体の装置として構成されていてもよい。
図1に示されるセンタ20及び携帯通信端末30についてそれぞれ説明する。センタ20は、車両10との無線通信により新しい制御プログラムを送信し、ROM113に書き込まれている制御プログラムの書き換えを車両10側で行わせるためのサーバーである。センタ20は、例えば車両10を製造するメーカーからの委託によって運営されているものである。
携帯通信端末30は、車両10の使用者が携帯する無線通信端末であって、例えばスマートフォンのような携帯電話機である。また、無線通信機能を備えたパソコンである場合もある。電子制御装置100は、携帯通信端末30と無線通信を行うことにより、車両10の状態(制御プログラムの書き換えが行われる際の処理状況や結果等)を使用者に報知することが可能となっている。また、使用者が携帯通信端末30に対して行った操作を無線通信により取得することで、使用者の意思に基づいた許可時間帯の設定変更等を行うことも可能となっている。
制御プログラムの書き換えが行われる際の手順(シーケンス)について、図2乃至図4を参照しながら説明する。図2乃至図4には、センタ20、中継装置300、電子制御装置100、及び外部通信機200のそれぞれの間で行われる通信の手順が示されている。図2に示されるのは、制御プログラムの受信及び蓄積のための手順である。図3に示されるのは、図2に示される手順に続いて行われるものであって、既存の制御プログラムをROM113から消去するための手順である。図4に示されるのは、図3に示される手順に続いて行われるものであって、受信した新たな制御プログラムをROM113に書き込むための手順である。
図2に示される手順から順に説明する。先ず、センタ20からの認証要求が中継装置300へと送信される(矢印AR11)。中継装置300は、受信した認証要求に含まれる情報を予め記憶されている認証情報と照合することにより、センタ20が正規の通信相手であるか否かの判定を行う。センタ20が正規の通信相手であると判定されれば、その判定結果(結果応答)がセンタ20へと送信される(矢印AR12)。センタ20が正規の通信相手であると判定されなかった場合には、センタ20との通信が中断される。
続いて、センタ20からの確認要求が外部通信機200へと送信される(矢印AR13)。確認要求とは、制御プログラムの書き換えを実行し得る状況であるか否かの確認(判定)を行うよう、外部通信機200に要求するための信号である。かかる判定のために外部通信機200で行われる処理のことを、以下では「状態判定処理」とも称する。
確認要求を受信すると、外部通信機200では状態判定処理が行われる(符号P11)。このときに行われる状態判定処理では、車両10の現在位置が許可領域内であるか否かの判定(以下、「位置判定」とも称する)が位置判定部210により行われる。続いて、現在の日時(時刻)が許可時間帯に含まれるか否かの判定(以下、「日時判定」とも称する)が時刻判定部220によって行われる。更に、現時点における無線通信の信号レベルが所定値(最低信号レベル)以上であるか否かの判定(以下、「通信判定」とも称する)が通信状態判定部230によって行われる。
尚、以上のような状態判定処理が行われるにあたっては、それに先立ち、外部通信機200による情報の取得が行われる。具体的には、車両10の現在位置を示す情報(位置情報)と、現在の時刻を示す情報(時刻情報)と、現時点における無線通信の信号レベを示す情報(通信状態情報)とが、予め外部通信機200により取得される。つまり外部通信機200は、各種情報の「取得部」として機能するものである。
位置判定、日時判定、及び通信判定の結果が何れも「OK」であった場合、すなわち、車両10の現在位置が許可領域内であり、現在の日時が許可時間帯に含まれており、現時点における信号レベルが最低信号レベル以上であった場合には、その旨が確認結果応答として外部通信機200からセンタ20へと送信される(矢印AR14)。位置判定、日時判定、及び通信判定のいずれかの結果が「NG」であった場合には、その旨を示す確認結果応答が送信される。その後、制御プログラムの書き換えのための処理が中断される。
センタ20は、外部通信機200からの確認結果応答を受信すると、新しい制御プログラムを中継装置300へと送信し始める(矢印AR15)。中継装置300は当該制御プログラムを受信し、これをバッファ部320に一時的に保存する(符号P12)。
バッファ部320に制御プログラムの全体を保存し終わると、中継装置300からの結果応答、すなわち、制御プログラムの受信が完了した旨を通知するための応答信号がセンタ20へと送信される(矢印AR16)。
その後、センタ20からのベリファイ要求が中継装置300へと送信される(矢印AR17)。ベリファイ要求とは、受信された制御プログラムが正常なものであるか否かを確認するための処理(ベリファイ)を行うよう、中継装置300に要求するための信号である。中継装置300(バッファ部320)は、センタ20からのベリファイ要求を受信すると、ベリファイの処理を行う。その後、ベリファイの結果を示す信号である結果応答が、中継装置300からセンタ20へと送信される(矢印AR18)。
以上に続いて行われる手順について、図3を参照しながら説明する。上記のようにセンタ20に結果応答が送信された後、中継装置300からの認証要求が電子制御装置100へと送信される(矢印AR21)。電子制御装置100は、受信した認証要求に含まれる情報を予め記憶されている認証情報と照合することにより、センタ20から受信された制御プログラムが正規のものであるか否かの判定を行う。
制御プログラムが正規のものであると判定されれば、その判定結果(結果応答)が中継装置300へと送信される(矢印AR22)。制御プログラムが正規のものであると判定されなかった場合には、その旨を示す結果応答が送信され、制御プログラムの書き換えのための処理が中断される。
続いて、中継装置300からの消去要求が電子制御装置100へと送信される(矢印AR23)。消去要求とは、現時点でROM113に記憶されている制御プログラムの消去を行うよう、電子制御装置100に要求するための信号である。
電子制御装置100が消去要求を受信しても、制御プログラムの消去は直ちには行われない。消去に先立ち、電子制御装置100からの確認要求が外部通信機200へと送信される(矢印AR24)。確認要求は、図2の矢印AR13で示される確認要求と同様の信号である。すなわち、制御プログラムの書き換えを実行し得る状況であるか否かの確認(状態判定処理)を行うよう、外部通信機200に要求するための信号である。
確認要求を受信すると、外部通信機200では状態判定処理が行われる(符号P21)。このときに行われる状態判定処理では、図2の符号P11が付された状態判定処理の場合と同様に、位置判定部210により位置判定が行われ、時刻判定部220により日時判定が行われる。ただし、センタ20との間における無線通信は不要であるから、通信状態判定部230による通信判定は行われない。
尚、符号P21が付された状態判定処理が行われるにあたっては、それに先立ち、外部通信機200による情報の取得が行われる。図2の符号P11が付された状態判定処理の場合と同様に、ここでも、車両10の現在位置を示す情報(位置情報)と、現在の時刻を示す情報(時刻情報)と、現時点における無線通信の信号レベを示す情報(通信状態情報)とが、予め外部通信機200により取得される。
状態判定処理はその後も複数回行われるのであるが、それぞれの状態判定処理が行われる前には、位置情報、時刻情報、及び通信状態情報の全てが予め取得される。本実施形態では、例えば通信判定が行われないために通信状態情報が不要であるとしても、位置情報、時刻情報、及び通信状態情報の全てが予め取得される。このような態様に替えて、必要な情報のみが取得されるような態様であってもよい。以下においては、状態判定処理に先立って行われる位置情報等の取得についての説明を省略する。
位置判定及び日時判定の結果が何れもOKであった場合、すなわち、車両10の現在位置が許可領域内であり、現在の日時が許可時間帯に含まれている場合には、その旨が確認結果応答として外部通信機200から電子制御装置100へと送信される(矢印AR25)。位置判定及び日時判定のいずれかの結果がNGであった場合には、その旨を示す確認結果応答が送信され、制御プログラムの書き換えのための処理が中断される。
電子制御装置100は、外部通信機200からの確認結果応答を受信すると、既存の制御プログラムをROM113からRAM112へと退避させる(符号P22)。つまり、ROM113に記憶されている既存の制御プログラムを、RAM112へとコピーする。以降の処理、すなわち、既存の制御プログラムの消去や新しい制御プログラムの書き込み等が行われる際において、万が一エラーが生じた場合には、既存の制御プログラムがRAM112からROM113へと書き戻される。
制御プログラムの退避が完了すると、ROM113から制御プログラムが消去される(符号P23)。制御プログラムの消去が完了すると、電子制御装置100からの結果応答、すなわち、制御プログラムの消去が完了した旨を通知するための応答信号が中継装置300へと送信される(矢印AR26)。
以上に続いて行われる手順について、図4を参照しながら説明する。上記のように中継装置300に結果応答が送信された後、中継装置300からの書き込み要求が電子制御装置100へと送信される(矢印AR31)。書き込み要求とは、センタ20から受信した新しい制御プログラムをROM113に書き込むよう、電子制御装置100に要求するための信号である。中継装置300からは、書き込み要求と共に制御プログラムのデータも併せて送信される。
電子制御装置100が書き込み要求を受信しても、制御プログラムの書き込みは直ちには行われない。書き込みに先立ち、電子制御装置100からの確認要求が外部通信機200へと送信される(矢印AR32)。確認要求は、図2の矢印AR13等で示される確認要求と同様の信号である。すなわち、状態判定処理を行うよう外部通信機200に要求するための信号である。
確認要求を受信すると、外部通信機200では状態判定処理が行われる(符号P31)。このときに行われる状態判定処理では、図3の符号P21が付された状態判定処理の場合と同様に、位置判定部210により位置判定が行われ、時刻判定部220により日時判定が行われる。ここでもセンタ20との間における無線通信は不要であるから、通信状態判定部230による通信判定は行われない。
位置判定及び日時判定の結果が何れもOKであった場合には、その旨が確認結果応答として外部通信機200から電子制御装置100へと送信される(矢印AR33)。位置判定及び日時判定のいずれかの結果がNGであった場合には、その旨を示す確認結果応答が送信され、制御プログラムの書き換えのための処理が中断される。
電子制御装置100は、外部通信機200からの確認結果応答を受信すると、ROM113への制御プログラムの書き込みを行う(符号P32)。制御プログラムの書き込みが完了すると、電子制御装置100からの結果応答、すなわち、制御プログラムの書き込みが完了した旨を通知するための応答信号が中継装置300へと送信される(矢印AR34)。
尚、制御プログラムのデータは予め複数のブロックに分割されている。図4の矢印AR31ではそのうちの1つのブロックが中継装置300から電子制御装置へと送信され、当該ブロックがROM113に書き込まれる(符号P32)。以上に説明した処理、すなわち図4における矢印AR31から矢印AR34までの範囲に示された処理は、上記ブロックの数だけ繰り返される。その結果、最終的には制御プログラムの全体が電子制御装置100に送信され、ROM113に書き込まれる。
つまり、各ブロックの書き込みが行われる前には、外部通信機200による状態判定処理が行われ、その結果に基づいて当該ブロックの書き込みの許可が行われる。制御プログラムの書き換えが行われている間に、制御プログラムの書き換えが許可されない状態となった場合(状態判定処理の結果がNGとなった場合)には、制御プログラムの書き換えが中止される。
この場合、後に図8を参照しながら説明するように、RAM112へと退避させていた制御プログラムがROM113へと書き戻される。また、制御プログラムの書き換えが行われなかったことが、携帯通信端末30を介して使用者へと報知される。
最後のブロックがROM113に書き込まれ、中継装置300に結果応答が送信された後、中継装置300からのベリファイ要求が電子制御装置100へと送信される(矢印AR35)。ベリファイ要求とは、ROM113に制御プログラムが正しく書き込まれたか否かを確認するための処理(ベリファイ)を行うよう、電子制御装置100に要求するための信号である。
電子制御装置100がベリファイ要求を受信しても、ベリファイの処理は直ちには行われない。ベリファイに先立ち、電子制御装置100からの確認要求が外部通信機200へと送信される(矢印AR36)。確認要求は、図2の矢印AR13等で示される確認要求と同様の信号である。すなわち、状態判定処理を行うよう外部通信機200に要求するための信号である。
確認要求を受信すると、外部通信機200では状態判定処理が行われる(符号P33)。このときに行われる状態判定処理では、図3の符号P21が付された状態判定処理の場合と同様に、位置判定部210により位置判定が行われ、時刻判定部220により日時判定が行われる。ここでもセンタ20との間における無線通信は不要であるから、通信状態判定部230による通信判定は行われない。
位置判定及び日時判定の結果が何れもOKであった場合には、その旨が確認結果応答として外部通信機200から電子制御装置100へと送信される(矢印AR37)。位置判定及び日時判定のいずれかの結果がNGであった場合には、その旨を示す確認結果応答が送信され、制御プログラムの書き換えのための処理が中断される。尚、ベリファイについては、符号P33で示される状態判定処理を経ることなく常に実行されることとしてもよい。
電子制御装置100は、外部通信機200からの確認結果応答を受信すると、ROM113に書き込まれた制御プログラムのベリファイを行う(符号P34)。ベリファイの処理が完了すると、電子制御装置100からの結果応答、すなわち、ベリファイの処理が完了した旨を通知するための応答信号が中継装置300へと送信される(矢印AR38)。
結果応答が送信された後、電子制御装置100では、RAM112に退避させていた制御プログラムを消去する処理が行われる(符号P35)。当該処理が完了すると、電子制御装置100から書き込み完了通知が外部通信機200へと送信される(矢印AR39)。書き込み完了通知とは、制御プログラムの書き換えのために行われる一連の処理が全て完了したことを、センタ20及び使用者に報知するための信号である。
外部通信機200は、電子制御装置100からの書き込み完了通知を受信すると、当該書き込み完了通知を無線通信によりセンタ20へと送信する(矢印AR40)。センタ20は、当該書き込み完了通知を携帯通信端末30に送信し、書き込みが完了した旨を使用者に報知する。尚、センタ20を介することなく、外部通信機200から携帯通信端末30に書き込み完了通知が直接送信されるような態様であってもよい。
以上のように、本実施形態においては、制御プログラムの書き換えを行うための具体的な処理、例えば制御プログラムの受信(図2の符号P12)やROM113への書き込み(図4の符号P32)は、外部通信機200で行われる状態判定処理の結果がOKであった場合にのみ実行される。換言すれば、状態判定処理の結果がNGであった場合には、電子制御装置100は制御プログラムの書き換えを許可しないように構成されている。制御プログラムの書き換えに適さない場所や日時、通信環境の下では書き換えが行われないので、書き換えに失敗する可能性が低減されている。また、許可時間帯ではないときに、使用者の意思に基づくことなく書き換えが行われてしまうことがない。
外部通信機200で実行される具体的な処理の流れについて、図5及び図6を参照しながら説明する。尚、外部通信機200で実行される処理とは、図2乃至図4における符号P11、P21、P31、P33で示される処理、及び、制御プログラムの書き換えのための一連の処理の最後に行われる処理(書き込み完了通知を受信する際の処理)のことである。これらの処理には共通している点が多いため、基本的には共通の図5を参照しながら説明することとし、それぞれの処理毎に相違する点については都度説明を加えることとする。
先ず、図2の符号P11で示される処理、すなわち、制御プログラムがセンタ20から送信される直前に、外部通信機200で実行される処理について説明する。図5に示される最初のステップS01では、センタ20からの確認要求(図2の矢印AR13)が受信されたか否かが判定される。確認要求が受信されていなければ、ステップS01の処理が繰り返し実行される。確認要求が受信されれば、ステップS02に移行する。
ステップS02では状態判定処理が行われ、制御プログラムの受信を行うための許可条件が成立しているか否かが判定される。ここでは、既に説明した状態判定処理の1つである位置判定が行われる。位置判定の結果がOKであればステップS03に移行する。
ステップS03では、使用者に対する許可時間帯の確認が行われる。具体的には、無線通信により携帯通信端末30にダイアログボックスが表示され、使用者に対し許可時間帯の設定操作が要求される。当該ダイアログボックスの操作により、許可時間帯の設定が行われると、設定された許可時間帯が無線通信により携帯通信端末30から取得される。その後、外部通信機200に記憶されている許可時間帯が、取得された新たな許可時間帯に更新される。
ステップS03に続くステップS04では、制御プログラムの受信を行うための許可条件が成立しているか否かが再度判定される。ここでは、状態判定処理のうち日時判定と通信判定とが順に行われる。日時判定及び通信判定の結果が何れもOKであった場合には、ステップS05に移行する。ステップS05では、センタ20に確認結果応答(図2の矢印AR14)が送信される。送信される確認結果応答には、制御プログラムの受信が許可されることを示す情報が含まれる。
ステップS02における位置判定の結果がNGであった場合、又はステップS04における日時判定及び通信判定の結果のうち少なくとも一方がNGであった場合には、ステップS07に移行する。ステップS07では、センタ20に確認結果応答が送信される。送信される確認結果応答には、制御プログラムの受信が許可されないことを示す情報が含まれる。
ステップS07に続くステップS08では、使用者への報知が行われる。具体的には、外部通信機200からの無線通信により携帯通信端末30にメッセージが表示される。当該メッセージにより、車両10の走行が可能であることと、ROM113に記憶されている制御プログラムのバージョンが旧版であることと、が使用者に対して通知される。
再び図5を参照しながら、図3の符号P21で示される処理、すなわち、電子制御装置100による制御プログラムの退避や消去(図3の符号P22、P23)が行われる直前に、外部通信機200で実行される処理について説明する。
最初のステップS01では、電子制御装置100からの確認要求(図3の矢印AR24)が受信されたか否かが判定される。確認要求が受信されていなければ、ステップS01の処理が繰り返し実行される。確認要求が受信されれば、ステップS02に移行する。
ステップS02では状態判定処理が行われ、制御プログラムの退避や消去を行うための許可条件が成立しているか否かが判定される。ここでは、既に説明した状態判定処理の1つである位置判定が行われる。位置判定の結果がOKであればステップS03に移行する。
ステップS03では、使用者に対する許可時間帯の確認が行われる。図2の符号P11での処理と同様に、無線通信により携帯通信端末30にダイアログボックスが表示され、使用者に対し許可時間帯の設定操作が要求される。当該ダイアログボックスの操作により、許可時間帯の設定が行われると、設定された許可時間帯が無線通信により携帯通信端末30から取得される。その後、外部通信機200に記憶されている許可時間帯が、取得された新たな許可時間帯に更新される。
ステップS03に続くステップS04では、制御プログラムの退避や消去を行うための許可条件が成立しているか否かが再度判定される。ここでは、状態判定処理のうち日時判定のみが行われ、通信判定は行われない。日時判定の結果がOKであった場合には、ステップS05に移行する。ステップS05では、電子制御装置100に確認結果応答(図3の矢印AR25)が送信される。送信される確認結果応答には、制御プログラムの退避や消去が許可されることを示す情報が含まれる。
ステップS02における位置判定の結果がNGであった場合、又はステップS04における日時判定の結果がNGであった場合には、ステップS07に移行する。ステップS07では、電子制御装置100に確認結果応答が送信される。送信される確認結果応答には、制御プログラムの退避や消去が許可されないことを示す情報が含まれる。
ステップS07に続くステップS08では、使用者への報知が行われる。具体的には、外部通信機200からの無線通信により携帯通信端末30にメッセージが表示される。当該メッセージにより、車両10の走行が可能であることと、ROM113に記憶されている制御プログラムのバージョンが旧版であることと、が使用者に対して通知される。
再び図5を参照しながら、図4の符号P31で示される処理、すなわち、電子制御装置100による制御プログラムの書き込み(図4の符号P32)が行われる直前に、外部通信機200で実行される処理について説明する。
最初のステップS01では、電子制御装置100からの確認要求(図4の矢印AR32)が受信されたか否かが判定される。確認要求が受信されていなければ、ステップS01の処理が繰り返し実行される。確認要求が受信されれば、ステップS02に移行する。
ステップS02では状態判定処理が行われ、制御プログラムの書き込みを行うための許可条件が成立しているか否かが判定される。ここでは、既に説明した状態判定処理の1つである位置判定が行われる。位置判定の結果がOKであればステップS03に移行する。
ステップS03では、使用者に対する許可時間帯の確認が行われる。図2の符号P11での処理と同様に、無線通信により携帯通信端末30にダイアログボックスが表示され、使用者に対し許可時間帯の設定操作が要求される。当該ダイアログボックスの操作により、許可時間帯の設定が行われると、設定された許可時間帯が無線通信により携帯通信端末30から取得される。その後、外部通信機200に記憶されている許可時間帯が、取得された新たな許可時間帯に更新される。
ステップS03に続くステップS04では、制御プログラムの書き込みを行うための許可条件が成立しているか否かが再度判定される。ここでは、状態判定処理のうち日時判定のみが行われ、通信判定は行われない。日時判定の結果がOKであった場合には、ステップS05に移行する。ステップS05では、電子制御装置100に確認結果応答(図4の矢印AR33)が送信される。送信される確認結果応答には、制御プログラムの書き込みが許可されることを示す情報が含まれる。
ステップS02における位置判定の結果がNGであった場合、又はステップS04における日時判定の結果がNGであった場合には、ステップS07に移行する。ステップS07では、電子制御装置100に確認結果応答が送信される。送信される確認結果応答には、制御プログラムの書き込みが許可されないことを示す情報が含まれる。
この場合、電子制御装置100では、予めRAM112に退避させておいた既存の制御プログラムを、ROM113に書き戻す処理が行われる。このため、ROM113に記憶されている制御プログラムのバージョンは旧版のままとなる。
ステップS07に続くステップS08では、使用者への報知が行われる。具体的には、外部通信機200からの無線通信により携帯通信端末30にメッセージが表示される。当該メッセージにより、車両10の走行が可能であることと、ROM113に記憶されている制御プログラムのバージョンが旧版であることと、が使用者に対して通知される。
尚、電子制御装置100において、既存の制御プログラムをROM113に書き戻す処理が失敗する場合も生じ得る。その場合、書き戻しに失敗したことを示す信号が、ステップS07の後に電子制御装置100から外部通信機200へと送信される。また、この場合にはステップS08における使用者への報知は行われない。書き戻しに失敗した場合における使用者の報知は、図6を参照しながら後に説明する処理の中で行われる。
再び図5を参照しながら、図4の符号P33で示される処理、すなわち、電子制御装置100による制御プログラムのベリファイ(図4の符号P34)が行われる直前に、外部通信機200で実行される処理について説明する。
最初のステップS01では、電子制御装置100からの確認要求(図4の矢印AR36)が受信されたか否かが判定される。確認要求が受信されていなければ、ステップS01の処理が繰り返し実行される。確認要求が受信されれば、ステップS02に移行する。
ステップS02では状態判定処理が行われ、制御プログラムのベリファイを行うための許可条件が成立しているか否かが判定される。ここでは、既に説明した状態判定処理の1つである位置判定が行われる。位置判定の結果がOKであればステップS03に移行する。
ステップS03では、使用者に対する許可時間帯の確認が行われる。図2の符号P11での処理と同様に、無線通信により携帯通信端末30にダイアログボックスが表示され、使用者に対し許可時間帯の設定操作が要求される。当該ダイアログボックスの操作により、許可時間帯の設定が行われると、設定された許可時間帯が無線通信により携帯通信端末30から取得される。その後、外部通信機200に記憶されている許可時間帯が、取得された新たな許可時間帯に更新される。尚、ベリファイの直前に行われる処理(図4の符号P33)においては、ステップS03の処理が省略されてもよい。
ステップS03に続くステップS04では、制御プログラムのベリファイを行うための許可条件が成立しているか否かが再度判定される。ここでは、状態判定処理のうち日時判定のみが行われ、通信判定は行われない。日時判定の結果がOKであった場合には、ステップS05に移行する。ステップS05では、電子制御装置100に確認結果応答(図4の矢印AR37)が送信される。送信される確認結果応答には、制御プログラムのベリファイが許可されることを示す情報が含まれる。
ステップS02における位置判定の結果がNGであった場合、又はステップS04における日時判定の結果がNGであった場合には、ステップS07に移行する。ステップS07では、電子制御装置100に確認結果応答が送信される。送信される確認結果応答には、制御プログラムのベリファイが許可されないことを示す情報が含まれる。
この場合、電子制御装置100では、予めRAM112に退避させておいた既存の制御プログラムを、ROM113に書き戻す処理が行われる。このため、ROM113に記憶されている制御プログラムのバージョンは旧版のままとなる。
ステップS07に続くステップS08では、使用者への報知が行われる。具体的には、外部通信機200からの無線通信により携帯通信端末30にメッセージが表示される。当該メッセージにより、車両10の走行が可能であることと、ROM113に記憶されている制御プログラムのバージョンが旧版であることと、が使用者に対して通知される。
ここでも、電子制御装置100において、既存の制御プログラムをROM113に書き戻す処理が失敗する場合が生じ得る。その場合、書き戻しに失敗したことを示す信号が、ステップS07の後に電子制御装置100から外部通信機200へと送信される。また、この場合にはステップS08における使用者への報知は行われない。書き戻しに失敗した場合における使用者の報知は、図6に示される処理の中で行われる。
図6を参照しながら、制御プログラムの書き換えのための一連の処理の最後に行われる処理、すなわち、電子制御装置100からの書き込み完了通知(図4の矢印AR39)を受信する際の処理について説明する。
最初のステップS09では、書き込み完了通知がされたか否かが判定される。電子制御装置100からの書き込み完了通知が受信された場合には、ステップS10に移行する。
ステップS10に移行したということは、制御プログラムの書き換えに必要な処理が全て正常に終了したということである。このため、ステップS10ではその旨が使用者に報知される。
具体的には、外部通信機200からの無線通信により携帯通信端末30にメッセージが表示される。当該メッセージにより、車両10の走行が可能であることと、ROM113に記憶されている制御プログラムのバージョンが新版であることと、が使用者に対して通知される。
ステップS09において、書き込み完了通知がされなかった場合は、ステップS11に移行する。ステップS11では、既存の制御プログラムをRAM112からROM113に書き戻す処理が、正常に完了しているか否かが判定される。書き戻しが正常に完了していた場合には、ステップS12に移行する。ステップS12では、使用者への報知が行われる。
具体的には、外部通信機200からの無線通信により携帯通信端末30にメッセージが表示される。当該メッセージにより、車両10の走行が可能であることと、ROM113に記憶されている制御プログラムのバージョンが旧版であることと、が使用者に対して通知される。
ステップS11において、書き戻しが正常に完了していなかった場合には、ステップS13に移行する。ステップS13に移行したということは、ROM113には制御プログラムが書き込まれていないか、異常な制御プログラムが書き込まれているということである。ステップS13では、このような状態であることが使用者に報知される。
具体的には、外部通信機200からの無線通信により携帯通信端末30にメッセージが表示される。当該メッセージにより、車両10の走行が不可能であることと、ROM113に記憶されている制御プログラムのバージョンが不定であることと、が使用者に対して通知される。
図7を参照しながら、電子制御装置100で実行される処理のうち、既存の制御プログラムをROM113から消去するために行われる処理について説明する。
最初のステップS21では、中継装置300からの消去要求(図3の矢印AR23)が受信されたか否かが判定される。消去要求が受信されていなければ、ステップS21の処理が繰り返し実行される。消去要求が受信されていれば、ステップS22に移行する。
ステップS22では、外部通信機200に対する確認要求(図3の矢印AR24)の送信が行われる。ステップS22に続くステップS23では、外部通信機200から送信される確認結果応答(図3の矢印AR25)が、制御プログラムの退避や消去を許可するものであるか否かが判定される。制御プログラムの消去を許可するものであれば、ステップS24に移行する。
ステップS24では、制御プログラムの退避が行われる(図3の符号P22)。既に説明したように、ROM113に記憶されている既存の制御プログラムが、RAM112へとコピーされる。ステップS24に続くステップS25では、制御プログラムの消去が行われる(図3の符号P23)。既に説明したように、ROM113から制御プログラムが消去される。
ステップS25に続くステップS26では、制御プログラムの消去が正常に完了したか否かが判定される。消去が正常に完了していれば、ステップS27に移行する。ステップS27では、中継装置300に結果応答が送信される(図3の矢印AR26)。当該結果応答には、制御プログラムの消去が正常に完了したことを示す情報が含まれる。
ステップS26において、制御プログラムの消去が正常に完了していない場合には、ステップS28に移行する。ステップS28では、中継装置300に結果応答が送信される。当該結果応答には、制御プログラムの消去が正常に完了しなかったことを示す情報が含まれる。
ステップS28に続くステップS29では、制御プログラムの書き戻しが行われる。つまり、RAM112に退避(図3の符号P22)させていた既存の制御プログラムを、ROM113に書き戻す処理が行われる。
ステップS29に続くステップS30では、制御プログラムの書き戻しが正常に完了したか否かが判定される。書き戻しが正常に完了していれば、ステップS31に移行する。ステップS31では、書き戻しの結果を示す信号が外部通信機200に送信される。当該信号には、制御プログラムの書き戻しが正常に完了したことを示す情報が含まれる。
ステップS30において、書き戻しが正常に完了していない場合には、ステップS32に移行する。ステップS32では、書き戻しの結果を示す信号が外部通信機200に送信される。当該信号には、制御プログラムの書き戻しが正常に完了しなかったことを示す情報が含まれる。
ステップS23において、外部通信機200からの確認結果応答が、制御プログラムの消去を許可するものでなかった場合には、ステップS33に移行する。ステップS33では、中継装置300に結果応答が送信される。当該結果応答には、制御プログラムの消去が行われなかったことを示す情報が含まれる。
図8を参照しながら、電子制御装置100で実行される処理のうち、新しい制御プログラムをROM113に書き込むために行われる処理について説明する。
最初のステップS41では、中継装置300からの書き込み要求(図4の矢印AR31)が受信されたか否かが判定される。書き込み要求が受信されていなければ、ステップS41の処理が繰り返し実行される。書き込み要求が受信されていれば、ステップS42に移行する。
ステップS42では、外部通信機200に対する確認要求(図4の矢印AR32)の送信が行われる。ステップS42に続くステップS43では、外部通信機200から送信される確認結果応答(図4の矢印AR33)が、制御プログラムの書き込みを許可するものであるか否かが判定される。制御プログラムの書き込みを許可するものであれば、ステップS44に移行する。
ステップS44では、ROM113に対する制御プログラムの書き込みが行われる(図4の符号P32)。ステップS44に続くステップS45では、制御プログラムの書き込みが正常に完了したか否かが判定される。書き込みが正常に完了していれば、ステップS46に移行する。ステップS46では、中継装置300に結果応答が送信される(図4の矢印AR34)。当該結果応答には、制御プログラムの書き込みが正常に完了したことを示す情報が含まれる。
ステップS45において、制御プログラムの書き込みが正常に完了していない場合には、ステップS47に移行する。ステップS47では、中継装置300に結果応答が送信される。当該結果応答には、制御プログラムの書き込みが正常に完了しなかったことを示す情報が含まれる。
ステップS47に続くステップS48では、制御プログラムの書き戻しが行われる。つまり、RAM112に退避(図3の符号P22)させていた既存の制御プログラムを、ROM113に書き戻す処理が行われる。
ステップS48に続くステップS49では、制御プログラムの書き戻しが正常に完了したか否かが判定される。書き戻しが正常に完了していれば、ステップS50に移行する。ステップS50では、書き戻しの結果を示す信号が外部通信機200に送信される。当該信号には、制御プログラムの書き戻しが正常に完了したことを示す情報が含まれる。
ステップS49において、書き戻しが正常に完了していない場合には、ステップS51に移行する。ステップS51では、書き戻しの結果を示す信号が外部通信機200に送信される。当該信号には、制御プログラムの書き戻しが正常に完了しなかったことを示す情報が含まれる。
ステップS43において、外部通信機200からの確認結果応答が、制御プログラムの書き込みを許可するものでなかった場合には、ステップS52に移行する。ステップS52では、中継装置300に結果応答が送信される。当該結果応答には、制御プログラムの書き込みが行われなかったことを示す情報が含まれる。
ステップS52に続くステップS53では、制御プログラムをROM113に書き戻すための処理が行われる。ステップS53で行われる処理は、ステップS48、S49、S50、S51で示される一連の処理と同一である。
図9を参照しながら、電子制御装置100で実行される処理のうち、ROM113に書き込まれた制御プログラムのベリファイのために行われる処理について説明する。
最初のステップS61では、中継装置300からのベリファイ要求(図4の矢印AR35)が受信されたか否かが判定される。ベリファイ要求が受信されていなければ、ステップS61の処理が繰り返し実行される。ベリファイ要求が受信されていれば、ステップS62に移行する。
ステップS62では、外部通信機200に対する確認要求(図4の矢印AR36)の送信が行われる。ステップS62に続くステップS63では、外部通信機200から送信される確認結果応答(図4の矢印AR37)が、制御プログラムのベリファイを許可するものであるか否かが判定される。制御プログラムのベリファイを許可するものであれば、ステップS64に移行する。
ステップS64では、制御プログラムのベリファイが行われる(図4の符号P34)。ステップS64に続くステップS65では、制御プログラムのベリファイが正常に完了したか否かが判定される。ベリファイが正常に完了していれば(ベリファイの結果がOKであれば)、ステップS66に移行する。ステップS66では、中継装置300に結果応答が送信される(図4の矢印AR38)。当該結果応答には、制御プログラムのベリファイが正常に完了したことを示す情報が含まれる。
ステップS66に続くステップS67では、RAM112に退避させていた制御プログラムを消去する処理が行われる(図4の符号P35)。ステップS67に続くステップS68では、外部通信機200に対する書き込み完了通知の送信が行われる(図4の矢印AR39)。
ステップS65において、制御プログラムのベリファイが正常に完了していない場合(ベリファイの結果がNGであった場合)には、ステップS69に移行する。ステップS69では、中継装置300に結果応答が送信される。当該結果応答には、制御プログラムのベリファイが正常に完了しなかったことを示す情報が含まれる。
ステップS69に続くステップS70では、制御プログラムの書き戻しが行われる。つまり、RAM112に退避(図3の符号P22)させていた既存の制御プログラムを、ROM113に書き戻す処理が行われる。
ステップS70に続くステップS71では、制御プログラムの書き戻しが正常に完了したか否かが判定される。書き戻しが正常に完了していれば、ステップS72に移行する。ステップS72では、書き戻しの結果を示す信号が外部通信機200に送信される。当該信号には、制御プログラムの書き戻しが正常に完了したことを示す情報が含まれる。
ステップS71において、書き戻しが正常に完了していない場合には、ステップS73に移行する。ステップS73では、書き戻しの結果を示す信号が外部通信機200に送信される。当該信号には、制御プログラムの書き戻しが正常に完了しなかったことを示す情報が含まれる。
ステップS63において、外部通信機200からの確認結果応答が、制御プログラムのベリファイを許可するものでなかった場合には、ステップS74に移行する。ステップS74では、中継装置300に結果応答が送信される。当該結果応答には、制御プログラムのベリファイが行われなかったことを示す情報が含まれる。
ステップS74に続くステップS75では、制御プログラムをROM113に書き戻すための処理が行われる。ステップS75で行われる処理は、ステップS70、S71、S72、S73で示される一連の処理と同一である。
以上に説明した実施態様においては、外部と通信を行う機能、及び、状態判定処理(位置判定、日時判定、及び通信判定)を行う機能のいずれもが、電子制御装置100とは別の装置である外部通信機200に備えられている。このような態様に替えて、これらの機能のうち少なくとも一方が、電子制御装置100に備えられていてもよい。例えば、図1に示される外部通信機200が、電子制御装置100に内蔵されているような態様であってもよい。
また、以上に説明した実施態様においては、位置情報、時刻情報、及び通信状態情報は全て予め外部通信機200によって取得される。このような取得部としての機能は、車両10に設けられた装置のうち外部通信機200以外の装置が有していてもよい。
例えば、電子制御装置100が取得部としての機能を有していてもよい。この場合、電子制御装置100が、位置情報、時刻情報、及び通信状態情報の全てを取得した後に、これらのうちの少なくとも一つの情報に基づいて、制御プログラムの書き換えの許可を行うこととすればよい。
また、外部通信機200のROM(不図示)に記憶されているプログラム、すなわち、外部通信機200の動作を司るプログラムの書き換えが、以上に説明した電子制御装置100の制御プログラムの書き換えと同様の方法によって行われるような態様であってもよい。
以上、具体例を参照しつつ本発明の実施の形態について説明した。しかし、本発明はこれらの具体例に限定されるものではない。すなわち、これら具体例に、当業者が適宜設計変更を加えたものも、本発明の特徴を備えている限り、本発明の範囲に包含される。例えば、前述した各具体例が備える各要素およびその配置、材料、条件、形状、サイズなどは、例示したものに限定されるわけではなく適宜変更することができる。また、前述した各実施の形態が備える各要素は、技術的に可能な限りにおいて組み合わせることができ、これらを組み合わせたものも本発明の特徴を含む限り本発明の範囲に包含される。
10:車両
20:センタ
30:携帯通信端末
100:電子制御装置
110:マイコン
200:外部通信機
210:位置判定部
220:時刻判定部
230:通信状態判定部

Claims (17)

  1. マイコン(110)に記憶されている制御プログラムを、無線通信によって外部(20)から受信した制御プログラムで書き換えることが可能な車載電子制御装置(100)であって、
    車両(10)の現在位置を示す位置情報、現在の時刻を示す時刻情報、及び無線通信の信号レベル示す通信状態情報のうち、少なくとも1つの情報に基づいて、制御プログラムの書き換えの許可を行うことを特徴とする車載電子制御装置。
  2. 前記車両には、前記位置情報に示される現在位置が予め定められた所定領域内の位置であるか否かを判定する位置判定部(210)が設けられており、
    現在位置が前記所定領域内と判定された場合にのみ制御プログラムの書き換えの許可を行うことを特徴とする、請求項1に記載の車載電子制御装置。
  3. 前記車両には、前記時刻情報に示される現在の時刻が、使用者が予め許可した所定時間帯に含まれる時刻であるか否かを判定する時刻判定部(220)が設けられており、
    現在の時刻が前記所定時間帯に含まれると判定された場合にのみ制御プログラムの書き換えの許可を行うことを特徴とする、請求項1に記載の車載電子制御装置。
  4. 前記車両には、前記通信状態情報に示される無線通信の信号レベルが予め定められた所定レベル以上であるか否かを判定する通信状態判定部(230)が設けられており、
    無線通信の信号レベルが前記所定レベル以上と判定された場合にのみ制御プログラムの書き換えの許可を行うことを特徴とする、請求項1に記載の車載電子制御装置。
  5. 前記車両には、前記位置情報、前記時刻情報、及び前記通信状態情報を取得する取得部(200)が設けられており、
    前記取得部によって前記位置情報、前記時刻情報、及び前記通信状態情報の全てが取得された後に、これらのうちの少なくとも一つの情報に基づいて、制御プログラムの書き換えの許可を行うことを特徴とする、請求項1乃至4のいずれか1項に記載の車載電子制御装置。
  6. 制御プログラムの書き換えが行われている間に、制御プログラムの書き換えが許可されない状態となった場合には、
    制御プログラムの書き換えを中止して、書き換えの開始前に予め退避させておいた制御プログラムを前記マイコンに書き戻し、
    使用者の所有する携帯通信端末(30)を介して使用者へ報知することを特徴とする、請求項2乃至5のいずれか1項に記載の車載電子制御装置。
  7. 制御プログラムの書き換えが正常に完了した場合には、使用者の所有する携帯通信端末を介して使用者へ報知することを特徴とする、請求項1乃至5のいずれか1項に記載の車載電子制御装置。
  8. 制御プログラムの書き換えが許可されなかった場合には、使用者の所有する携帯通信端末を介して使用者へ報知することを特徴とする、請求項1乃至5のいずれか1項に記載の車載電子制御装置。
  9. 使用者へ報知される情報には、車両の走行が可能か否かを示す情報、及び、前記マイコンに記憶されている制御プログラムのバージョンを示す情報が含まれることを特徴とする、請求項8に記載の車載電子制御装置。
  10. 予め退避させていた制御プログラムを前記マイコンに書き戻す処理が、正常に完了しなかった場合には、使用者の所有する携帯通信端末を介して使用者へ報知することを特徴とする、請求項6に記載の車載電子制御装置。
  11. 使用者へ報知される情報には、車両の走行が可能か否かを示す情報、及び、前記マイコンに記憶されている制御プログラムのバージョンを示す情報が含まれることを特徴とする、請求項10に記載の車載電子制御装置。
  12. 制御プログラムは、複数のブロックに分割され、当該ブロック毎に前記マイコンに書き込まれるものであって、
    制御プログラムの書き換えが許可される条件が満たされているか否かの判定が、それぞれの前記ブロックが書き込まれる前に毎回行われることを特徴とする、請求項1乃至5のいずれか1項に記載の車載電子制御装置。
  13. 無線通信を行って外部から制御プログラムを受信する機能、を有することを特徴とする、請求項1乃至12のいずれか1項に記載の車載電子制御装置。
  14. 前記位置情報に示される現在位置が予め定められた所定領域内の位置であるか否かを判定する機能、を有することを特徴とする、請求項13に記載の車載電子制御装置。
  15. 前記時刻情報に示される現在の時刻が、使用者が予め許可した所定時間帯に含まれる時刻であるか否かを判定する機能、を有することを特徴とする、請求項13に記載の車載電子制御装置。
  16. 前記通信状態情報に示される無線通信の信号レベルが予め定められた所定レベル以上であるか否かを判定する機能、を有することを特徴とする、請求項13に記載の車載電子制御装置。
  17. 前記位置情報、前記時刻情報、及び前記通信状態情報を取得する機能、を有し、
    前記位置情報、前記時刻情報、及び前記通信状態情報の全てを取得した後に、これらのうちの少なくとも一つの情報に基づいて、制御プログラムの書き換えの許可を行うことを特徴とする、請求項13乃至16のいずれか1項に記載の車載電子制御装置。
JP2015226830A 2015-05-27 2015-11-19 車載電子制御装置 Pending JP2016224898A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102016209180.8A DE102016209180A1 (de) 2015-05-27 2016-05-25 Fahrzeuggebundene elektronische Steuereinheit

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2015107184 2015-05-27
JP2015107184 2015-05-27

Publications (1)

Publication Number Publication Date
JP2016224898A true JP2016224898A (ja) 2016-12-28

Family

ID=57745918

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015226830A Pending JP2016224898A (ja) 2015-05-27 2015-11-19 車載電子制御装置

Country Status (1)

Country Link
JP (1) JP2016224898A (ja)

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019009020A1 (ja) * 2017-07-04 2019-01-10 日本電気通信システム株式会社 ソフトウェア更新装置
JP2019074847A (ja) * 2017-10-13 2019-05-16 株式会社デンソー 電子制御装置
CN112026788A (zh) * 2020-09-07 2020-12-04 湖南行必达网联科技有限公司 车机电源管理方法及装置、电子设备、存储介质
DE112019004040T5 (de) 2018-08-10 2021-07-08 Denso Corporation Fahrzeug-master-vorrichtung, aktualisierungsdatenverteilungssteuerungsverfahren, aktualisierungsdatenverteilungssteuerungsprogramm und datenstruktur von spezifikationsdaten
DE112020004017T5 (de) 2019-08-28 2022-05-12 Denso Corporation Elektronisches fahrzeugsteuersystem, fahrzeugmastervorrichtung, umschreibanweisungsverfahren unter spezifischem modus und umschreibanweisungsprogramm unter spezifischem modus
DE112020004011T5 (de) 2019-08-28 2022-05-19 Denso Corporation Elektronisches fahrzeugsteuersystem, fahrzeugmastervorrichtung, umschreibanweisungsverfahren basierend auf einer aktualisierung von konfigurationsfestlegungsinformationen und umschreibanweisungsprogramm basierend auf einem aktualisieren von konfigurationsfestlegungsinformationen
DE112020004103T5 (de) 2019-08-28 2022-06-15 Denso Corporation Elektronisches fahrzeugsteuersystem, fahrzeugmastervorrichtung, umschreibanweisungsverfahren basierend auf einem überschreiben von konfigurationsfestlegungsinformationen und umschreibanweisungsprogramm basierend auf einem überschreiben von konfigurationsfestlegungsinformationen
JP2022537413A (ja) * 2019-06-21 2022-08-25 ホアウェイ・テクノロジーズ・カンパニー・リミテッド ソフトウェアアップグレード方法、装置、およびシステム
DE112021002416T5 (de) 2020-04-21 2023-02-02 Denso Corporation Elektronisches fahrzeugsteuersystem, dateninitialisierungsverfahren, zentralvorrichtung, fahrzeughauptvorrichtung, initialisierungspaketverteilungsprogramm und dateninitialisierungsprogramm
DE112021001129T5 (de) 2020-02-19 2023-03-09 Denso Corporation Mastervorrichtung, datenverteilungssystem und aktualisierungssteuerprogramm
US11656771B2 (en) 2018-08-10 2023-05-23 Denso Corporation Electronic control unit, vehicle electronic control system, activation execution control method and computer program product
US11671498B2 (en) 2018-08-10 2023-06-06 Denso Corporation Vehicle master device, update data verification method and computer program product
US11876898B2 (en) 2018-08-10 2024-01-16 Denso Corporation Vehicle master device, security access key management method, security access key management program and data structure of specification data
US11907698B2 (en) 2018-08-10 2024-02-20 Denso Corporation Vehicle electronic control system, vehicle master device, method for controlling transmission of data storage bank information and computer program product for controlling transmission of data storage bank information

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007052781A (ja) * 2006-08-09 2007-03-01 Fujitsu Ten Ltd 車載端末とセンターとの間の通信システム、及び、通信システムに使用する車載端末
JP2007065856A (ja) * 2005-08-30 2007-03-15 Fujitsu Ten Ltd 情報書き換えシステムおよび情報書き換え装置
JP2015079468A (ja) * 2013-10-18 2015-04-23 富士通株式会社 情報処理プログラム、情報処理方法、及び情報処理装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007065856A (ja) * 2005-08-30 2007-03-15 Fujitsu Ten Ltd 情報書き換えシステムおよび情報書き換え装置
JP2007052781A (ja) * 2006-08-09 2007-03-01 Fujitsu Ten Ltd 車載端末とセンターとの間の通信システム、及び、通信システムに使用する車載端末
JP2015079468A (ja) * 2013-10-18 2015-04-23 富士通株式会社 情報処理プログラム、情報処理方法、及び情報処理装置

Cited By (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019009020A1 (ja) * 2017-07-04 2019-01-10 日本電気通信システム株式会社 ソフトウェア更新装置
JPWO2019009020A1 (ja) * 2017-07-04 2020-05-21 日本電気通信システム株式会社 ソフトウェア更新装置
JP2019074847A (ja) * 2017-10-13 2019-05-16 株式会社デンソー 電子制御装置
JP7087334B2 (ja) 2017-10-13 2022-06-21 株式会社デンソー 電子制御装置
DE112019004040T5 (de) 2018-08-10 2021-07-08 Denso Corporation Fahrzeug-master-vorrichtung, aktualisierungsdatenverteilungssteuerungsverfahren, aktualisierungsdatenverteilungssteuerungsprogramm und datenstruktur von spezifikationsdaten
US11907698B2 (en) 2018-08-10 2024-02-20 Denso Corporation Vehicle electronic control system, vehicle master device, method for controlling transmission of data storage bank information and computer program product for controlling transmission of data storage bank information
US11656771B2 (en) 2018-08-10 2023-05-23 Denso Corporation Electronic control unit, vehicle electronic control system, activation execution control method and computer program product
US11671498B2 (en) 2018-08-10 2023-06-06 Denso Corporation Vehicle master device, update data verification method and computer program product
US11683197B2 (en) 2018-08-10 2023-06-20 Denso Corporation Vehicle master device, update data distribution control method, computer program product and data structure of specification data
US11876898B2 (en) 2018-08-10 2024-01-16 Denso Corporation Vehicle master device, security access key management method, security access key management program and data structure of specification data
JP2022537413A (ja) * 2019-06-21 2022-08-25 ホアウェイ・テクノロジーズ・カンパニー・リミテッド ソフトウェアアップグレード方法、装置、およびシステム
DE112020004011T5 (de) 2019-08-28 2022-05-19 Denso Corporation Elektronisches fahrzeugsteuersystem, fahrzeugmastervorrichtung, umschreibanweisungsverfahren basierend auf einer aktualisierung von konfigurationsfestlegungsinformationen und umschreibanweisungsprogramm basierend auf einem aktualisieren von konfigurationsfestlegungsinformationen
DE112020004103T5 (de) 2019-08-28 2022-06-15 Denso Corporation Elektronisches fahrzeugsteuersystem, fahrzeugmastervorrichtung, umschreibanweisungsverfahren basierend auf einem überschreiben von konfigurationsfestlegungsinformationen und umschreibanweisungsprogramm basierend auf einem überschreiben von konfigurationsfestlegungsinformationen
US11989546B2 (en) 2019-08-28 2024-05-21 Denso Corporation Vehicle electronic control system, vehicle master device, and rewrite instruction program product under specific mode
US11960875B2 (en) 2019-08-28 2024-04-16 Denso Corporation Vehicle master device, vehicle electronic control system, configuration setting information rewrite instruction method, and configuration setting information rewrite instruction program product
DE112020004017T5 (de) 2019-08-28 2022-05-12 Denso Corporation Elektronisches fahrzeugsteuersystem, fahrzeugmastervorrichtung, umschreibanweisungsverfahren unter spezifischem modus und umschreibanweisungsprogramm unter spezifischem modus
DE112021001129T5 (de) 2020-02-19 2023-03-09 Denso Corporation Mastervorrichtung, datenverteilungssystem und aktualisierungssteuerprogramm
DE112021002416T5 (de) 2020-04-21 2023-02-02 Denso Corporation Elektronisches fahrzeugsteuersystem, dateninitialisierungsverfahren, zentralvorrichtung, fahrzeughauptvorrichtung, initialisierungspaketverteilungsprogramm und dateninitialisierungsprogramm
CN112026788A (zh) * 2020-09-07 2020-12-04 湖南行必达网联科技有限公司 车机电源管理方法及装置、电子设备、存储介质

Similar Documents

Publication Publication Date Title
JP2016224898A (ja) 車載電子制御装置
KR101724486B1 (ko) 차량 단말의 소프트웨어 업데이트 제어장치 및 그 방법이 구현된 컴퓨터로 판독 가능한 기록매체
US8060873B2 (en) Method and system for remote programming of a program-controlled device using a legitimization code
CN106257416B (zh) 用于无线远程更新车辆软件的方法
JP5472276B2 (ja) 車両用通信制御装置
CN106569847A (zh) 一种用于车载系统基于移动网络实现iap远程升级的方法
CN105793824A (zh) 程序更新系统及程序更新方法
US20170329599A1 (en) System and method for providing software updates
CN104244227A (zh) 一种物联网系统中终端接入认证的方法及装置
WO2018154949A1 (ja) プログラム更新システム、制御装置、プログラム更新方法、及びコンピュータプログラム
CN106330988B (zh) 一种超文本传输请求的补发方法、装置及客户端
KR20210042575A (ko) 차량의 소프트웨어 업데이트 장치 및 시스템 및 방법
JP7031374B2 (ja) 検証端末、検証システム
US10365918B2 (en) Control means, in-vehicle program rewriting device equipped with same, and in-vehicle program rewriting method
KR101412289B1 (ko) 이씨유 관리 시스템 및 방법
CN107102849A (zh) 用于周期性点火开关断开的文件替换的方法和设备
US20220276851A1 (en) Vehicle controller, updated program, program updating system, and writing device
JP2016216151A (ja) エレベータの監視装置、エレベータの監視システム及びエレベータ制御プログラムの消去方法
JP2015210669A (ja) プログラム書き換え方法
KR20130022688A (ko) 차량 내 전자 제어 유닛 소프트웨어 갱신 장치
JP2007072695A (ja) フラッシュメモリへの冗長保存方法及びプログラム
CN108093429A (zh) Lte网络接入结果的检测方法及装置、计算机存储介质
JP2019074847A (ja) 電子制御装置
KR101739144B1 (ko) Plc의 유지보수를 위한 보안 기능을 갖는 모바일 장치 및 모바일 장치의 인증방법
JP6334776B1 (ja) 電子制御装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180213

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20181031

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20181113

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20190521