JP3954271B2 - 車両制御装置のためのメモリ書き換えシステム - Google Patents
車両制御装置のためのメモリ書き換えシステム Download PDFInfo
- Publication number
- JP3954271B2 JP3954271B2 JP2000074236A JP2000074236A JP3954271B2 JP 3954271 B2 JP3954271 B2 JP 3954271B2 JP 2000074236 A JP2000074236 A JP 2000074236A JP 2000074236 A JP2000074236 A JP 2000074236A JP 3954271 B2 JP3954271 B2 JP 3954271B2
- Authority
- JP
- Japan
- Prior art keywords
- rewriting
- ecu
- security
- memory
- function
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- G—PHYSICS
- G11—INFORMATION STORAGE
- G11C—STATIC STORES
- G11C16/00—Erasable programmable read-only memories
- G11C16/02—Erasable programmable read-only memories electrically programmable
- G11C16/06—Auxiliary circuits, e.g. for writing into memory
- G11C16/10—Programming or data input circuits
- G11C16/102—External programming circuits, e.g. EPROM programmers; In-circuit programming or reprogramming; EPROM emulators
Description
【発明の属する技術分野】
この発明は、車載制御装置のメモリに保存されたプログラムを、外部の書き換え装置から転送される別のプログラムに書き換えるメモリ書き換えシステムに関する。
【0002】
【従来の技術】
現在、車両は、搭載された複数の電子制御ユニット(以下、「ECU」という)により、空燃比、燃料噴射量、エミッションなどのエンジンに関する制御、パワーウィンドウ、エアバッグ、ABSなどの車体に関する制御など、様々に制御されている。ECUは、車両に搭載された様々なセンサによって感知された車両の現在の状態および走行状況に基づいて、車両を様々に制御する。
【0003】
一方、車両に盗難防止システムが搭載されることがある。多くの盗難防止システムは、運転者がエンジン始動時に使用したイグニションキーが正規のものかを電子的に判定し、正規のイグニションキーと判定したならば、車両動作を許可する信号をECUに転送する。ECUは、その許可信号を受信するまで、燃料噴射を停止するなどの手法によりエンジンを始動させないようにする。したがって、正規のイグニションキーではないと判定された場合には、不正な運転者とみなされ、車両を動かすことができない。
【0004】
ECUは、中央演算処理装置(CPU)、実行するプログラムおよびデータを格納するROM(読み取り専用メモリ)、実行時の作業領域を提供し演算結果などを記憶するRAM(ランダムアクセスメモリ)、各種センサからの信号を受け取り、およびエンジン各部に制御信号を送る入出力インターフェースを備えている。
【0005】
上記ROMに、フラッシュメモリ、EEPROM、EPROMのような消去および書き込みが可能なROMを使用して、必要に応じてプログラムを書き替えることが行われている。特開昭63−223901号公報には、外部装置からの要求によって、ECUを車両に搭載したままで、ECUのEEPROMに格納されたプログラムを変更する方法が記載されている。
【0006】
通常、ECUのROMに格納されたプログラムを変更する機能には、外部装置からのアクセスに対してセキュリティがかけられており、ユーザーおよびその他の第三者がROMに格納されたプログラムおよびデータを不正に書き換えることを防止している。特開平3−238541号公報には、ROMに格納されたデータに基づくチェックデータを予め記憶しておき、車両の出荷後、ECUが所定のタイミングでROMに格納されたデータに基づく新たなチェックデータを作成し、予め記憶されたチェックデータと比較して、一致していなければデータの改ざんが行われたと判断し、警告灯を点灯させる車両制御装置が記載されている。
【0007】
上記のセキュリティを解除する「キー(Key)」は、自動車メーカーと契約した書き換え装置メーカーにのみ公開されている。したがって、その自動車メーカーによって認可された書き換え装置メーカーの書き換え装置のみが、「キー」を使用してその自動車のECUのROMに格納されたデータを変更することができる。
【0008】
プログラムの典型的な変更手順を簡単に述べると、上記の「キー」は、通常何らかの関数で表され、書き換え装置およびECUに同じものが用意されている。書き換え装置をECUに接続し、書き換え装置は、自身が持っている関数(キー)を使用して、ECUから送信された任意の数値に対する関数値を算出し、該関数値をECUに送信する。同時に、ECUも、自身が持っている関数(キー)を使用してその数値に対する関数値を求める。ECUは、書き換え装置から受信された関数値と、自身が求めた関数値とを比較し、一致すればセキュリティを解除する。こうして、書き換え装置は、ROMに格納されたデータを書き換えることを許可される。一致しなければ、書き換え装置とECUの持つ関数(キー)が異なっており、書き換え装置は正規のものではないと判断されてセキュリティは解除されず、書き換え装置はROMに格納されたデータを書き換えることはできない。
【0009】
【発明が解決しようとする課題】
しかし、従来、セキュリティを解除するキーは、ECUに搭載されたROMの変更不可能なメモリ領域に格納されており、車両が出荷された後に書き換え装置を使用して変更することはできなかった。このため、万が一このキーがユーザーおよびその他の第三者に知られてしまった場合、正規の書き換え装置でなくてもROMのデータを書き換えることができるようになり、セキュリティが機能しなくなるという事態が生じる。
【0010】
一方、車両に盗難防止システムが搭載されている場合、盗難防止システムを稼働するのに使用されるプログラムが書き換えられると、盗難防止システムが無力化されるおそれがある。したがって、ROMに格納されたデータおよびプログラムを書き換えるシステムには、盗難防止システム以上のセキュリティが要求される。
【0011】
この発明は、上記の問題点を解決するものであり、その目的は、車両の出荷後においても、ECUのROMに格納されたプログラムまたはデータの改ざんを防止するセキュリティを解除するためのキーを変更することができる車両制御装置のためのメモリ書き換えシステムを提供することである。こうして、キーがメーカー以外の第三者に知られてしまった場合でも、書き換え装置によってメーカーがキーを変更することができるので、セキュリティ機能を容易に回復させることができる。
【0012】
この発明の他の目的は、盗難防止システムと協調して動作することができる車両制御装置のためのメモリ書き換えシステムを提供することである。こうすることにより、盗難防止システムと協調したセキュリティ機能を確保することができる。
【0013】
【課題を解決するための手段】
上記の課題を解決するため、請求項1の車両制御装置のためのメモリ書き換えシステムは、車両制御装置に搭載され、消去および書き込みが可能なメモリ領域であって、該メモリ領域に対する書き換え許可を判断する第1のセキュリティ情報を格納するメモリ領域と、前記車両制御装置に第2のセキュリティ情報を外部から転送する書き換え装置と、前記車両制御装置に搭載され、前記第1のセキュリティ情報を消去して、前記書き換え装置から転送された第2のセキュリティ情報を書き込む書き換え手段とを備えるという構成をとる。
【0014】
請求項1の発明によると、車両制御装置のメモリに記憶された情報が不正に書き換えられることを防止する書き換え許可を判断するセキュリティ情報が第三者に知られてしまった場合でも、書き換え装置によりこのセキュリティ情報を変更することができるので、不正なメモリ書き換えの拡大を防止することができる。
【0015】
請求項2の発明は、請求項1の車両制御装置のためのメモリ書き換えシステムにおいて、第2のセキュリティ情報の書き込みプログラムによって実行され、該プログラムが、前記車両制御装置に搭載された消去および書き込みが不可能なメモリ領域に格納されているという構成をとる。
【0016】
請求項2の発明によると、セキュリティ情報を書き換えるプログラムが、変更不可能なメモリに格納されており、第三者によって改ざんされることはないので、安心してセキュリティ情報の書き換えを実行することができる。
【0017】
請求項3の発明は、請求項1または請求項2の車両制御装置のためのメモリ書き換えシステムにおいて、第2のセキュリティ情報が、書き換え装置によって任意に設定されるという構成をとる。
【0018】
請求項3の発明によると、書き換え装置によって任意に新たなセキュリティ情報を設定することができるので、第三者に知られることなく、柔軟性をもって新たなセキュリティ情報を設定することができる。
【0019】
請求項4の発明は、請求項1から請求項3のいずれかの車両制御装置のためのメモリ書き換えシステムにおいて、第1のセキュリティ情報による書き換え許可が、盗難防止システムによって車両動作が許可された場合に書き換えが許可されるという構成をとる。
【0020】
請求項4の発明によると、盗難防止システムが車両動作を許可したことを条件にメモリの書き換えが実行されるので、不正な運転者による書き換えを防止することができ、よって盗難防止システムに関する情報の書き換えを防止することができる。
【0021】
【発明の実施の形態】
次に図面を参照してこの発明の実施の形態を、車両制御装置の不揮発性メモリに格納されたセキュリティプログラムを書き換えるシステムに関して説明する。しかし、この発明は、セキュリティプログラムを書き換えるシステムに限定されるものではなく、広く不揮発性メモリに格納された情報を書き換えるシステムに適用することができる。
【0022】
図1は、この発明によるメモリ書き換えシステムの概要を示す。メモリ書き換えシステムは、車両1に搭載された電子制御ユニット(ECU)10および書き換え装置11を備える。書き換え装置11は、車両1のメーカーによって認可された正規の書き換え装置である。ECU10は、消去および書き込み可能なROM(図示せず)を備えている。図に示されるように、書き換え装置11をECU10に接続し、書き換え装置11を操作することにより、ECU10のROMに格納されたプログラムおよびデータのような情報が不正に書き換えられることを防止するセキュリティを解除し、該ROMに格納された情報を書き換えることができる。
【0023】
書き換えは、ECU10および書き換え装置11の間のシリアル通信を介して行われる。書き換え装置11を操作するユーザーは書き換え装置11のボタンを操作し、書き換え装置11に備えられた表示画面と対話しながら、書き換える情報をECU10に送信することができる。しかし、書き換え装置は、図に示されるような形態に限定されるものではなく、シリアル通信を介してECU10と通信するプロトコルを持つ他の形態の装置を書き換え装置として使用するようにしてもよい。
【0024】
図2は、この発明に従うメモリ書き換えシステムの全体的な機能ブロック図を示す。前述したように、メモリ書き換えシステムは、車両に搭載されたECU10および書き換え装置11を備える。書き換え装置11はECU10の外部に設けられ、ECU10とシリアル通信を介して接続される。なお、書き換え装置11およびECU10の間の通信をパラレル通信によって実現することも可能である。
【0025】
ECU10は、マイクロコンピュータおよびこれに付随する回路素子で構成され、中央演算処理装置14(以下「CPU」という)、不揮発性メモリであって、実行するプログラムおよびデータを格納するROM16および18、実行時の作業領域を提供し演算結果などを記憶するRAM37(ランダムアクセスメモリ)、各種センサ39からの信号を受け取り、車両の各部に制御信号を送る入出力インターフェース38を備える。各種センサ39からの信号には、エンジン回転数(Ne)、エンジン水温(Tw)、吸気温(Ta)、バッテリ電圧(VB)、イグニションスイッチ(IGSW)などが含まれる。こうして、CPU14は、入出力インターフェース38から入力された信号に基づいて、ROM16および18から制御プログラムおよびデータを呼び出して演算を行い、その結果を入出力インターフェース38を介して車両の各部に出力し、車両の様々な機能を制御する。
【0026】
また、ECU10は、インターフェース12を備える。インターフェース12は、書き換え装置11との通信のプロトコルを持ち、ECU10および書き換え装置11の間のシリアル通信を可能にする。
【0027】
変更可能ROM16は、格納された情報を消去して書き込むことができるメモリであり、たとえばフラッシュメモリ、EEPROMによって実現することができる。変更不可能ROM18は、上記のフラッシュメモリ、EEPROMのような消去および書き込み可能なROMのメモリ領域のうち、ある領域を変更不可能領域と設定することによって実現することができ、または製造時にデータが決められ、その後に消去および書き込みができないマスクROMや、または1度だけデータを書き込むことができるPROMなどによっても実現することができる。
【0028】
これらのROM16および18は、別個のメモリとして実現してもよく、または1つのメモリのメモリ領域を2つの領域に分割して一方を変更可能領域として使用し、他方を変更不可能領域として使用することもできる。後者の場合、たとえばEEPROMのある特定の領域を変更不可能領域としてプログラムなどを格納した後、それ以外の空き領域に対してスタートおよびエンドアドレスを指定することにより、変更可能領域を設定することができる。
【0029】
ここで、ROM16、18およびCPUの実現の形態例について、図3を参照する。図3においては、ROM16および18はフラッシュメモリによって実現される。図3の(a)は、フラッシュメモリがCPUと別個に設けられた形態を示す。書き換え装置との通信により書き換えモードに移行すると、CPUは、書き換え装置からプログラムコードを受信し、書き換えを実行するプログラムを呼び出して、受信したプログラムコードをフラッシュメモリに書き込む。
【0030】
一方、図3の(b)は、フラッシュメモリが内蔵されて、CPUと共に1チップを構成する形態を示す。書き換え装置からの信号によって書き換えモードに移行すると、書き換え装置からのプログラムコードは、CPUに組み込まれた機能によって自動的にフラッシュメモリに書き込まれる。いずれの形態においても、この発明によるメモリ書き換えシステムを適用することができる。
【0031】
図2に戻ると、変更可能ROM16にはセキュリティ関数f2が格納されており、この関数f2が、書き換え装置11による書き換えの対象となる。セキュリティ関数f2は、ROM16に格納された情報が不正に書き換えられることを防止するセキュリティ機能を実現する関数である。
【0032】
変更不可能ROM18には、認証部31、乱数生成部33および書き換え実行部35を実現するプログラムが格納される。認証部31は、書き換え装置11からのセキュリティ解除要求に応答して、セキュリティ関数f2および乱数Rを使用し、書き換え装置11が正規の書き換え装置かどうかを判断する。乱数Rを使用するのは、セキュリティ機能を向上させるためであり、乱数Rは、乱数生成部33により生成される。正規の書き換え装置と判断したならば、セキュリティを解除する。書き換え実行部35は、認証部31によりセキュリティが解除された後、セキュリティ関数f2を消去し、書き換え装置11から新たなセキュリティ関数f3を受信して、それをROM16に書き込む。
【0033】
書き換え装置11は、セキュリティ関数f1および新たなセキュリティ関数f3を持つ。セキュリティ関数f1は、上記のROM16に格納されたセキュリティ関数f2と対になってセキュリティ機能を実現する関数である。セキュリティ関数f2が第三者によって変更されていなければ、書き換え装置11の持つセキュリティ関数f1およびECU10の持つセキュリティ関数f2は、同じ関数である。代わりに、セキュリティ関数f1およびf2の間に何らかの一定の関係を持たせるようにしてもよい。
【0034】
新たなセキュリティ関数f3は、新たなセキュリティ機能を実現するものとして、セキュリティ関数f2の代わりにROM16に格納されることになる関数である。新たなセキュリティ関数f3は、現在のセキュリティ関数f1およびf2に何らかの変更を加えたものであり、たとえば関数の式自体が異なったもの、または関数に含まれる定数を変更したものでよい。たとえば、関数f1およびf2が、f1=f2=A×R+B(ここで、A=10,B=5)であるとき、新たなセキュリティ関数f3をf3=A+R×B(ここで、A=10,B=5)のように設定することができる。または、f1およびf2の定数AおよびBの値を、A=5、B=10のように変更することもできる。
【0035】
書き換え装置11は、セキュリティ解除要求部21、書き換え要求部23、データ列組立部25を備え、これらはプログラムとして書き換え装置11のメモリに格納されている。セキュリティ解除要求部21は、セキュリティ関数f1を使用して、ECU10に対してセキュリティ解除を要求する。
【0036】
データ列組立部25は、ECU10に送信される新たなセキュリティ関数f3のプログラムコードを、シリアル通信に適したデータ列に組み立てる。たとえば、データ列組立部25は、セキュリティ関数f3のプログラムを、ある長さのプログラムコード(たとえば、8ビット)に分割して、シリアル通信に適したシリアルデータ列の形式に変換する。その時、それぞれのプログラムコードには、プログラムコードが格納される先頭アドレスを含むアドレスフィールドが付加される。こうして、それぞれのプログラムコードがECUに転送されたとき、該プログラムコードがメモリのどの場所に格納されるべきかをECUに知らせるようにする。
【0037】
書き換え要求部23は、セキュリティが解除された後に、データ列組立部25によって組み立てられた新たなセキュリティ関数f3を表すデータ列をECU10に送信する。
【0038】
ECU10には盗難防止システム81が接続されており、メモリ書き換えシステムは、盗難防止システム81と情報を交換することができる。盗難防止システム81は、エンジン始動の際にキーシリンダに挿入されたイグニションキーから、該キーに含まれる電子コードを抽出し、該電子コードと予め設定された正規のコードとを比較して、挿入されたイグニションキーが正規のものかどうか判断する。イグニションキーが正規のものと判断されたならば、盗難防止システム81は、エンジン始動許可を示す信号を入出力インターフェース38を介してECU10に送信する。ECU10は、エンジン許可信号の受信に応答して、エンジンを始動させることができる。
【0039】
挿入されたイグニションキーが正規のものと判断されなければ、エンジン始動許可信号は出力されず、ECU10はエンジンを始動させることができない。ECU10に送信されたエンジン始動許可信号により、RAM37(またはROM16)に格納されたエンジン始動許可フラグに値1が設定される。図2では別々に書かれているが、盗難防止システム81の機能の一部をECU10に含めることができる。たとえば、正規のイグニションキーかどうかの判断を、ECU10によって実行するようにしてもよい。
【0040】
図2に示されるメモリ書き換えシステムの動作の概要を、図4および図5を参照しながら説明する。書き換え装置11をECU10に接続した後、書き換え装置11のたとえば何らかの操作ボタンを押すことにより、書き換え動作が開始する。または、ECUを操作して、書き換え動作を開始するようにしてもよい。
【0041】
ステップ41において、書き換え装置11のセキュリティ解除要求部21は、ECU10にセキュリティ解除要求信号を送信する。ECU10は、それに応答して、正規の書き換え装置が接続されていることを確認する認証処理を開始する。
【0042】
認証処理の一例を図5に示す。ステップ51において、書き換え装置11のセキュリティ解除要求部21は、任意の数Rを送信するようECU10に要求する。それに応答して、ECU10の認証部31が呼び出される。認証部31は、乱数生成部33を呼び出して、乱数によって任意の数Rを設定し、その任意の数Rを書き換え装置11に送信する(ステップ52)。なお、上記の乱数を使用して数Rを設定する代わりに、異なる機構を用いて任意に数Rを設定するようにしてもよい。書き換え装置11は、予め内部に持っているセキュリティ関数f1を使用して、K1=f1(R)により、数Rに対する関数f1の関数値K1を求める(ステップ53)。
【0043】
一方、ECU10の認証部31は、変更可能ROM16に格納されたセキュリティ関数f2を使用して、K2=f2(R)を計算して関数値K2を求める(ステップ54)。書き換え装置11のセキュリティ解除要求部21は、関数値K1をECU10に送信する(ステップ55)。認証部31は、書き換え装置11からの関数値K1と、内部で生成した関数値K2を比較し(ステップ56)、一致したならば、正規の書き換え装置と判断する。続いて、認証部31は、RAM37に格納されたエンジン始動許可フラグに値1が設定されているかどうか調べる(ステップ57)。許可フラグに値1が設定されていれば、盗難防止システム81からエンジン始動許可信号が出力されたことを意味するので、書き換え許可信号を書き換え装置11に送信する(ステップ58)。このように、書き換えを実行するには、まずセキュリティを解除する必要があるので、現在のセキュリティ関数f1およびf2を使用して、セキュリティを解除する。盗難防止システムが搭載されている場合には、盗難防止システムの解除を条件にメモリ書き換えシステムのセキュリティを解除するので、不正な運転者による書き換えおよび盗難防止システムに関する情報の書き換えを防止することができる。
【0044】
図4に戻り、ECU10によって書き換え装置11が正規のものであると認証されて書き換えが許可されたならば、ステップ42に進む。書き換え装置11の書き換え要求部23は、書き換え開始信号をECU10に送り、ECU10の書き換え実行部35は、準備ができたならば、開始許可信号を返す。ステップ43において、書き換え装置11は、書き換え動作モードに移行する要求をECU10に送り、ECU10の書き換え実行部35は動作モード移行処理を行う。ステップ44において、書き換え要求部23は動作モードの移行が完了したかをECU10に問い合わせ、書き換え実行部35は、動作モードの移行が完了したならば、移行完了信号を書き換え装置11に送信する。
【0045】
ステップ45において、書き換え要求部23は、変更可能ROM16に格納されたセキュリティ関数f2の消去を要求し、書き換え実行部35は応答して、ROM16のセキュリティ関数f2を消去する。
【0046】
書き換え装置11においては、新たなセキュリティ関数として関数f3が設定され、データ列組立部25によって、この新たなセキュリティ関数f3は、ECU10に送信するためのシリアルデータ列として準備されている。このセキュリティ関数f3の設定およびそのデータ列の組立は、通常、書き換え装置11によってセキュリティ解除要求または書き換え開始信号をECU10に送信する前に行われる。しかし、ステップ45の直前に行うようにしてもよい。
【0047】
セキュリティ関数f3は、たとえば書き換え装置11に予め保存されているいくつかの関数の中から選択することによって設定することもでき、またはユーザーが書き換え装置11を操作しながら新たな関数を作成するようにしてもよい。
【0048】
ステップ46において、書き換え要求部23は、書き込み要求信号と共に、新たなセキュリティ関数f3を表すデータ列をECU10に送信する。書き換え実行部35は、書き換え装置11からデータ列を受信し、該データ列に含まれるプログラムコードを変更可能ROM16に書き込む。書き込みを完了すると、書き換え実行部35は、書き込み完了通知を書き換え装置11に送信する。書き換え装置11は、それに応答して、次のデータ列をECU10に送信する。このステップ46は、ROM16に、セキュリティ関数f3のすべてのプログラムコードの書き込みが完了するまで繰り返される。
【0049】
書き込みが完了したならば、書き換え要求部23は、書き換え動作モードを解除する要求をECU10に送信する(ステップ47)。書き換え実行部35は、それに応答して書き換え動作モードを解除する。書き換え装置11によって、ROM16に格納されたセキュリティ関数がf3に変更されたので、書き換え装置11で使用されるセキュリティ関数もf3に設定され、その後のセキュリティ機能は、セキュリティ関数f3によって実現される。新たなセキュリティ関数f3を設定した後、または新たなセキュリティ関数f3をROM16に書き込んだ後、前のセキュリティ関数f1を消去するすることができる。
【0050】
図6は、書き換え装置で実行される、セキュリティ解除の手順を示すフローチャートである。ステップ61において、書き換え装置は、ECUに対して数Rを要求する。その後、書き換え装置は、ECUから任意の数Rを受信する(ステップ62)。数Rを受信したならば、予め内部に持っているセキュリティ関数f1を使用して、数Rに対する関数値K1を計算する(ステップ63)。その後、関数値K1をECUに送信する(ステップ64)。
【0051】
図7は、ECUで実行される、セキュリティ解除の手順を示すフローチャートである。ステップ71において、ECUは、書き換え装置からの数Rの要求を受信する。受信したならば、乱数を使用してRを設定し(ステップ72)、数Rを書き換え装置に送る(ステップ73)。その後、ECUは、内部に持っているセキュリティ関数f2を使用して、数Rに対する関数値K2を計算する(ステップ74)。
【0052】
ECUは、書き換え装置から関数値K1を受信し(ステップ75)、K1およびK2を比較する(ステップ76)。一致したならば、エンジン始動許可フラグに値1が設定されているどうか調べる(ステップ77)。値1が設定されていれば、ステップ78に進んで書き換え許可フラグに1を設定し、書き換え装置による書き換えが許可されたことを示す。ステップ76において一致しなければ、またはステップ77においてエンジン始動許可フラグに値1が設定されていなければ、書き換え許可フラグにゼロを設定して(ステップ79)、この書き換え装置によっての書き換えは許可されないことを示し、処理を中止する。
【0053】
図8は、書き換え装置で実行される、書き換え手順を示すフローチャートである。ステップ81において、書き換え装置は、書き換え要求をECUに送信する。この書き換え要求は、実際には図4に示されるように、書き換え開始の通知、書き換え動作モードへの移行要求などを含むことができる。書き換え要求に対するECUの許可応答を受信したならば(ステップ82)、設定された新たなセキュリティ関数f3のデータ列を作成する(ステップ83)。新たなセキュリティ関数f3は、前述したように、書き換え装置を使用して任意に設定することができる。その後、新たなセキュリティ関数f3を表すデータ列を、ECUに送信する(ステップ84)。
【0054】
図9は、ECUで実行される、書き換え手順を示すフローチャートである。書き換え装置から書き換え要求を受信したならば(ステップ91)、書き換え許可フラグが1に設定されているかどうか調べる(ステップ92)。1に設定されているならば、正規の書き換え装置として認証されたことを示すので、書き換え装置から転送される新たなセキュリティ関数f3を待つ。実際には、ステップ92および93の間には、図4に示されるように、書き換え動作モードへの移行、変更可能ROMの現在のセキュリティ関数f2の消去などの処理を実行することができる。
【0055】
その後、新たなセキュリティ関数f3を受信したならば(ステップ93)、変更可能ROMに、この新たなセキュリティ関数f3を書き込む。こうして、変更可能ROMに格納されていたセキュリティ関数f2が、セキュリティ関数f3に書き換えられる。
【0056】
【発明の効果】
請求項1の発明によると、車両制御装置のメモリに記憶された情報が不正に書き換えられることを防止する書き換え許可を判断するセキュリティ情報が第三者に知られてしまった場合でも、書き換え装置によりこのセキュリティ情報を変更することができるので、不正なメモリ書き換えの拡大を防止することができる。
【0057】
請求項2の発明によると、セキュリティ情報を書き換えるプログラムが、変更不可能なメモリに格納されており、第三者によって改ざんされることはないので、安心してセキュリティ情報の書き換えを実行することができる。
【0058】
請求項3の発明によると、書き換え装置によって任意に新たなセキュリティ情報を設定することができるので、第三者に知られることなく、柔軟性をもって新たなセキュリティ情報を設定することができる。
【0059】
請求項4の発明によると、盗難防止システムが車両動作の許可をしたことを条件にメモリ書き換えが実行されるので、不正な運転者による書き換えを防止することができ、よって盗難防止システムに関する情報の書き換えを防止することができる。
【図面の簡単な説明】
【図1】この発明に従うメモリ書き換えシステムの概要を示す図。
【図2】この発明の一実施例における、メモリ書き換えシステムの全体を示すブロック図。
【図3】この発明の一実施例における、メモリ書き換えシステムのECUのROMおよびCPUの形態例を示す図。
【図4】この発明の一実施例における、メモリ書き換えシステムの動作手順を示す図。
【図5】この発明の一実施例における、メモリ書き換えシステムの認証手順を示す図。
【図6】この発明の一実施例における、メモリ書き換えシステムの書き換え装置で実行されるセキュリティ解除の手順を示すフローチャート。
【図7】この発明の一実施例における、メモリ書き換えシステムのECUで実行されるセキュリティ解除の手順を示すフローチャート。
【図8】この発明の一実施例における、メモリ書き換えシステムの書き換え装置で実行される書き換え手順を示すフローチャート。
【図9】この発明の一実施例における、メモリ書き換えシステムのECUで実行される書き換え手順を示すフローチャート。
【符号の説明】
10 ECU 11 書き換え装置
12 インターフェース 14 CPU
16 変更可能ROM 18 変更不可能ROM
81 盗難防止システム
Claims (3)
- 車両制御装置のためのメモリ書き換えシステムであって、
第2のセキュリティ情報を格納する書き換え可能なメモリ領域を備える車両制御装置と、
第1のセキュリティ情報および第3のセキュリティ情報を有する書き換え装置と、を備え、
前記車両制御装置には、盗難防止システムが接続されており、
前記車両制御装置は、
前記書き換え可能なメモリ領域に格納された第2のセキュリティ情報と、前記書き換え装置から受信した第1のセキュリティ情報とが一致するかどうかを判断し、
前記第2のセキュリティ情報と前記第1のセキュリティ情報とが一致すると判断し、かつ、前記盗難防止システムが該車両に関する操作を許可したならば、前記書き換え可能なメモリ領域が書き換えられることを防止するセキュリティ機能を解除し、
前記セキュリティ機能を解除した後、前記第2のセキュリティ情報を消去し、
前記第1のセキュリティ情報とは異なる前記第3のセキュリティ情報を、前記書き換え装置から受け取って、前記書き換え可能なメモリ領域に書き込む、よう構成されている、
メモリ書き換えシステム。 - 前記第3のセキュリティ情報の書き込みがプログラムによって実行され、該プログラムが、前記車両制御装置に搭載された消去および書き込みが不可能なメモリ領域に格納されている、
請求項1に記載の車両制御装置のためのメモリ書き換えシステム。 - 前記第3のセキュリティ情報は、前記書き換え装置によって任意に設定される、
請求項1または請求項2に記載の車両制御装置のためのメモリ書き換えシステム。
Priority Applications (8)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2000074236A JP3954271B2 (ja) | 2000-03-16 | 2000-03-16 | 車両制御装置のためのメモリ書き換えシステム |
US09/800,814 US7132923B2 (en) | 2000-03-16 | 2001-03-07 | Memory rewriting system for vehicle controller |
CA2339536A CA2339536C (en) | 2000-03-16 | 2001-03-07 | Memory rewriting system for vehicle controller |
DE60108676T DE60108676T2 (de) | 2000-03-16 | 2001-03-15 | Speicherumschreibungssystem für Fahrzeugsteuergerät |
EP01106564A EP1134748B1 (en) | 2000-03-16 | 2001-03-15 | Memory rewriting system for vehicle controller |
CN01111611.0A CN1219671C (zh) | 2000-03-16 | 2001-03-16 | 用于车辆控制器的存储器重写系统 |
BR0101193-6A BR0101193A (pt) | 2000-03-16 | 2001-03-16 | Dispositivo, sistema e método de regravação dememória para controlador de veìculos |
JP2007050510A JP4340297B2 (ja) | 2000-03-16 | 2007-02-28 | 車両制御装置のためのメモリ書き換えシステム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2000074236A JP3954271B2 (ja) | 2000-03-16 | 2000-03-16 | 車両制御装置のためのメモリ書き換えシステム |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007050510A Division JP4340297B2 (ja) | 2000-03-16 | 2007-02-28 | 車両制御装置のためのメモリ書き換えシステム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2001265582A JP2001265582A (ja) | 2001-09-28 |
JP3954271B2 true JP3954271B2 (ja) | 2007-08-08 |
Family
ID=18592323
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2000074236A Expired - Fee Related JP3954271B2 (ja) | 2000-03-16 | 2000-03-16 | 車両制御装置のためのメモリ書き換えシステム |
JP2007050510A Expired - Fee Related JP4340297B2 (ja) | 2000-03-16 | 2007-02-28 | 車両制御装置のためのメモリ書き換えシステム |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007050510A Expired - Fee Related JP4340297B2 (ja) | 2000-03-16 | 2007-02-28 | 車両制御装置のためのメモリ書き換えシステム |
Country Status (7)
Country | Link |
---|---|
US (1) | US7132923B2 (ja) |
EP (1) | EP1134748B1 (ja) |
JP (2) | JP3954271B2 (ja) |
CN (1) | CN1219671C (ja) |
BR (1) | BR0101193A (ja) |
CA (1) | CA2339536C (ja) |
DE (1) | DE60108676T2 (ja) |
Families Citing this family (26)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3609782B2 (ja) * | 2002-01-21 | 2005-01-12 | 株式会社東芝 | コピープロテクトされた信号の再生装置 |
JP4031746B2 (ja) | 2003-09-26 | 2008-01-09 | 三菱重工業株式会社 | 大型産業車両用コントローラ |
JP4270031B2 (ja) * | 2004-06-09 | 2009-05-27 | 株式会社デンソー | 車載用情報登録・開示システム、車載装置および携帯機器 |
JP2006117086A (ja) * | 2004-10-21 | 2006-05-11 | Matsushita Electric Ind Co Ltd | 車両用盗難防止装置 |
JP4534731B2 (ja) * | 2004-11-19 | 2010-09-01 | 株式会社デンソー | 電子制御装置及びその識別コード生成方法 |
JP2007092621A (ja) * | 2005-09-28 | 2007-04-12 | Aisin Seiki Co Ltd | 電子制御装置 |
JP4960034B2 (ja) * | 2006-07-27 | 2012-06-27 | 株式会社東芝 | 情報記憶媒体及び情報記憶媒体処理装置 |
JP4325691B2 (ja) | 2007-03-22 | 2009-09-02 | 株式会社デンソー | 車両制御装置のためのメモリ読み出しシステム |
FR2923627B1 (fr) | 2007-11-08 | 2013-08-30 | Siemens Vdo Automotive | Procede de deverrouillage d'un calculateur de controle moteur. |
EP2246778B1 (en) * | 2008-01-16 | 2013-04-24 | I-O Data Device, Inc. | Usb portable device |
WO2012017719A1 (ja) | 2010-08-03 | 2012-02-09 | 本田技研工業株式会社 | 車両用プログラム書換えシステム |
JP5267598B2 (ja) * | 2011-02-25 | 2013-08-21 | トヨタ自動車株式会社 | 車両制御装置のデータ書き換え支援システム及びデータ書き換え支援方法 |
US20130111212A1 (en) * | 2011-10-28 | 2013-05-02 | GM Global Technology Operations LLC | Methods to provide digital signature to secure flash programming function |
JP5783013B2 (ja) * | 2011-11-28 | 2015-09-24 | 株式会社デンソー | 車載通信システム |
US20130204513A1 (en) * | 2012-02-08 | 2013-08-08 | Bendix Commercial Vehicle Systems Llc | Protect information stored in ecu from unintentional writing and overwriting |
US20140058532A1 (en) * | 2012-08-23 | 2014-02-27 | GM Global Technology Operations LLC | Method for partial flashing of ecus |
JP6060592B2 (ja) * | 2012-09-27 | 2017-01-18 | 三菱自動車工業株式会社 | 車載機器類の遠隔操作システム |
CN103631192B (zh) * | 2013-11-29 | 2017-12-05 | 上汽通用五菱汽车股份有限公司 | 临时授权型的汽车ecu安全认证方法及系统 |
US9158926B2 (en) | 2014-01-13 | 2015-10-13 | General Electric Company | Engine control unit configuration security |
CN103885437A (zh) * | 2014-03-12 | 2014-06-25 | 潍柴动力股份有限公司 | 一种数据安全保护方法、装置及电子控制单元 |
JP6387908B2 (ja) * | 2015-06-22 | 2018-09-12 | トヨタ自動車株式会社 | 認証システム |
CN108202695B (zh) * | 2016-12-16 | 2020-02-07 | 比亚迪股份有限公司 | 车辆防盗方法、装置和车辆 |
US10906506B2 (en) * | 2017-12-28 | 2021-02-02 | Micron Technology, Inc. | Security of user data stored in shared vehicles |
IT201800005466A1 (it) * | 2018-05-17 | 2019-11-17 | Metodo e dispositivo per scrivere oggetti software in una unita' elettronica di controllo di un motore a combustione interna | |
US11516042B2 (en) * | 2018-07-19 | 2022-11-29 | Panasonic Intellectual Property Management Co., Ltd. | In-vehicle detection system and control method thereof |
CN114212051A (zh) * | 2021-12-14 | 2022-03-22 | 深圳市元征软件开发有限公司 | 车辆控制方法、装置、电子设备及存储介质 |
Family Cites Families (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2753225B2 (ja) | 1987-03-13 | 1998-05-18 | 株式会社日立製作所 | 車載制御装置 |
JP2830302B2 (ja) | 1990-02-15 | 1998-12-02 | 株式会社デンソー | 自動車用制御装置 |
US5677680A (en) * | 1992-05-07 | 1997-10-14 | Alps Electric Co., Ltd. | Transmitting and receiving-apparatus for vehicle, having mode setting means |
JPH05311935A (ja) | 1992-05-07 | 1993-11-22 | Alps Electric Co Ltd | 車両用送受信装置のモード設定方法 |
JP3005175B2 (ja) * | 1994-09-28 | 2000-01-31 | 本田技研工業株式会社 | 車両盗難防止装置 |
WO1996015346A1 (fr) * | 1994-11-11 | 1996-05-23 | Kabushiki Kaisha Tokai-Rika-Denki-Seisakusho | Dispositif d'acceptation de demarrage d'un vehicule et procede d'enregistrement d'un code d'identification |
JP3109413B2 (ja) | 1995-07-31 | 2000-11-13 | 株式会社デンソー | 機械制御装置 |
JPH0958414A (ja) | 1995-08-23 | 1997-03-04 | Toyota Motor Corp | 車両用盗難防止装置 |
JP3491419B2 (ja) * | 1995-12-04 | 2004-01-26 | 株式会社デンソー | 電子制御装置 |
US5787367A (en) * | 1996-07-03 | 1998-07-28 | Chrysler Corporation | Flash reprogramming security for vehicle computer |
US6160488A (en) * | 1996-10-14 | 2000-12-12 | Denso Corporation | Anti-theft device using code type transponder |
JP3405095B2 (ja) * | 1996-10-22 | 2003-05-12 | 日産自動車株式会社 | 車両用防盗装置 |
US5937065A (en) | 1997-04-07 | 1999-08-10 | Eaton Corporation | Keyless motor vehicle entry and ignition system |
JP3531410B2 (ja) * | 1997-04-08 | 2004-05-31 | 日産自動車株式会社 | キーレスエントリー装置 |
JP3427694B2 (ja) * | 1997-09-19 | 2003-07-22 | 日産自動車株式会社 | 車両用セキュリティ装置 |
JP2000335371A (ja) * | 1999-05-26 | 2000-12-05 | Denso Corp | 電子制御装置及び記録媒体 |
-
2000
- 2000-03-16 JP JP2000074236A patent/JP3954271B2/ja not_active Expired - Fee Related
-
2001
- 2001-03-07 US US09/800,814 patent/US7132923B2/en not_active Expired - Lifetime
- 2001-03-07 CA CA2339536A patent/CA2339536C/en not_active Expired - Fee Related
- 2001-03-15 DE DE60108676T patent/DE60108676T2/de not_active Expired - Lifetime
- 2001-03-15 EP EP01106564A patent/EP1134748B1/en not_active Expired - Lifetime
- 2001-03-16 BR BR0101193-6A patent/BR0101193A/pt not_active Application Discontinuation
- 2001-03-16 CN CN01111611.0A patent/CN1219671C/zh not_active Expired - Fee Related
-
2007
- 2007-02-28 JP JP2007050510A patent/JP4340297B2/ja not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
DE60108676D1 (de) | 2005-03-10 |
JP2001265582A (ja) | 2001-09-28 |
EP1134748A2 (en) | 2001-09-19 |
CA2339536A1 (en) | 2001-09-16 |
EP1134748A3 (en) | 2002-10-23 |
BR0101193A (pt) | 2001-10-30 |
CN1219671C (zh) | 2005-09-21 |
JP4340297B2 (ja) | 2009-10-07 |
US20010023485A1 (en) | 2001-09-20 |
EP1134748B1 (en) | 2005-02-02 |
US7132923B2 (en) | 2006-11-07 |
CN1315275A (zh) | 2001-10-03 |
CA2339536C (en) | 2011-09-20 |
JP2007188522A (ja) | 2007-07-26 |
DE60108676T2 (de) | 2006-01-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4340297B2 (ja) | 車両制御装置のためのメモリ書き換えシステム | |
JP3785299B2 (ja) | 車両制御装置のためのメモリ書き換えシステム | |
US7164213B2 (en) | Theft prevention system for motor vehicles | |
US6401207B1 (en) | Security device for vehicle | |
JP4135220B2 (ja) | 車両用電子制御装置 | |
JP3191607B2 (ja) | 車両盗難防止装置 | |
JPH1081201A (ja) | 機関始動制御装置 | |
US6285948B1 (en) | Control apparatus and method having program rewriting function | |
JP4557042B2 (ja) | 電子制御装置、及び車両制御システム | |
JP2008084120A (ja) | 電子制御装置 | |
EP1145912B1 (en) | Rewriting system for vehicle controller | |
JP3835969B2 (ja) | 車両制御装置のための書き換えシステム | |
JP4946266B2 (ja) | 車両用認証装置 | |
JP2001301572A (ja) | 車載用ecuの識別コード付与方法と車載用ecu装置 | |
JP4534731B2 (ja) | 電子制御装置及びその識別コード生成方法 | |
JP2003196755A (ja) | 車載コンポーネントの盗難監視システム及び車載コンポーネント | |
JP2007237798A (ja) | 車両用情報記録装置 | |
JP3704904B2 (ja) | 車両制御用メモリ書き換え装置 | |
JP7250554B2 (ja) | 電子制御装置及びリプログラミング方法 | |
JP2012234437A (ja) | 車載通信システム及び制御ユニット | |
JP4079712B2 (ja) | 遠隔始動制御装置 | |
JPH07287604A (ja) | エンジン制御装置 | |
JP4633109B2 (ja) | 遠隔始動制御装置 | |
JP4206561B2 (ja) | 車両盗難防止装置 | |
CN113799734A (zh) | 一种车辆防盗系统的防盗匹配方法、装置、服务器及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050830 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20051006 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20051208 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20060118 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20070130 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070228 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20070228 |
|
A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20070405 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20070424 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070426 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110511 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110511 Year of fee payment: 4 |
|
LAPS | Cancellation because of no payment of annual fees |