JP3982524B2 - 電子制御装置の制御情報書換システムに用いられる書換装置 - Google Patents

電子制御装置の制御情報書換システムに用いられる書換装置 Download PDF

Info

Publication number
JP3982524B2
JP3982524B2 JP2004240687A JP2004240687A JP3982524B2 JP 3982524 B2 JP3982524 B2 JP 3982524B2 JP 2004240687 A JP2004240687 A JP 2004240687A JP 2004240687 A JP2004240687 A JP 2004240687A JP 3982524 B2 JP3982524 B2 JP 3982524B2
Authority
JP
Japan
Prior art keywords
rewriting
information
rewriting device
electronic control
center
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004240687A
Other languages
English (en)
Other versions
JP2004348767A (ja
Inventor
武史 菅沼
稔 穂塚
義光 藤井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP2004240687A priority Critical patent/JP3982524B2/ja
Publication of JP2004348767A publication Critical patent/JP2004348767A/ja
Application granted granted Critical
Publication of JP3982524B2 publication Critical patent/JP3982524B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/24Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
    • F02D41/2406Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using essentially read only memories
    • F02D41/2425Particular ways of programming the data
    • F02D41/2487Methods for rewriting
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/24Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
    • F02D41/2406Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using essentially read only memories
    • F02D41/2425Particular ways of programming the data
    • F02D41/2429Methods of calibrating or learning
    • F02D41/2441Methods of calibrating or learning characterised by the learning conditions
    • F02D41/2448Prohibition of learning

Landscapes

  • Engineering & Computer Science (AREA)
  • Chemical & Material Sciences (AREA)
  • Combustion & Propulsion (AREA)
  • Mechanical Engineering (AREA)
  • General Engineering & Computer Science (AREA)
  • Combined Controls Of Internal Combustion Engines (AREA)

Description

本発明は、電気的にデータの書き換えが可能な不揮発性メモリを有する電子制御装置(以下「ECU」ともいう。)に関し、特に当該不揮発性メモリに記憶された制御プログラムや制御データといった制御情報の不正な書き換えを防止する技術に関する。
従来より、自動車のエンジン等を制御するECUには、電気的にデータの書き換えが可能な不揮発性メモリに制御情報を格納したものがある。ここで制御情報とは、制御用のプログラム及びデータをいう。これによって、このような制御情報を、市場への供給後でも書き換え可能にしている。
すなわち、この種のECUは、通常時には、不揮発性メモリに格納された制御情報に従ってエンジン等の制御対象を制御するための制御処理を実行するのであるが、別途用意された書換装置が接続されて、その書換装置から書き換え指令が送信されて来ると、所定の通信手順を踏んだ後に、不揮発性メモリの内容を書き換えるように構成されている。なお、不揮発性メモリの内容の書き換えは、不揮発性メモリに格納されている制御情報の一部又は全部を消去し、その消去したメモリ領域に、メモリ書換装置から送信されてくる変更データとしての新たな制御情報を書き込むという手順で行われる。
具体的には図9に示すように、車両100に用意された車両ダイアグコネクタ120を介して書換装置200が接続される。図9では、車両100に4つのECU101,102,103,104が搭載されており、各ECU101〜104は、ネットワーク回線110にて結ばれている。書換装置200は、作業者による操作に基づきECUコードを送信することによって、4台のECU101〜104のうちの1台とデータ通信を行う。
このようなECUでは、不揮発性メモリに格納される制御情報を書換装置を用いて書き換えることができるため、動作内容(制御内容)を任意に変更することができるという点で有利である。特に、動作内容(制御内容)に不具合があった場合も迅速に対応できることになり、市場への供給後における車両のメンテナンスを容易にする。
しかしその反面、利用者が制御情報を故意に書き換える可能性が残される。すなわち、環境面や安全面を配慮して設定される制御情報を、利用者が快適性や興味などで書き換えてしまう可能性がある。例えば、エンジンを制御するECUでは、車速の上限値を制御データとして予め設定しておき、車速がその上限値を越えた場合には、燃料をカットするというような安全面からの制御を行うのが一般的である。このとき、利用者が、予め設定された車速の上限値(制御データ)を故意に書き換えることが考えられる。このように制御情報が利用者によって故意に書き換えられると、環境面や安全面において妥当でない状況が発生する。
そのため、E−OBDの電子システムセキュリティ規定で不正な制御情報の書き換えを防止することが義務付けられている。そこで次に、従来の書換処理を図面を用いて説明する。図10の左側に示した処理が図9におけるECU101〜104の処理に相当し、図10の右側に示した処理が図9における書換装置200の処理に相当している。なお、各処理にはb1〜b12の符号を付した。以下、この符号を用いて処理の説明を行う。
まず最初に書換装置が制御情報の書き換えを行うECUを選択し、書換要求を送信する(b1)。ECUの選択は、ECUコードを送信することによって行う。このECUコードは作業者によって書換装置に入力される。すると、選択されたECUは、乱数rを発生し(b2)、この乱数rを書換装置へ送信する(b3)。
書換装置には関数fが予め記憶されており、送信される乱数rに対して関数値f(r)を算出する(b4)。そして、その算出した関数値f(r)を送信する(b5)。一方、ECUには関数Fが予め記憶されており、送信される関数値f(r)に対して関数値F(f(r))を算出する(b6)。続いて、算出したF(f(r))が乱数rに等しければ、すなわちf=F−1であれば、書き換えを許可する許可信号を送信する(b7)。
ここまでの処理は、ECUが記憶する関数Fの逆関数fを書換装置が有している場合に、ECUが書換装置を正当であると判断するものである。この例では、書換装置の有する関数fがECUをアクセスするための情報となっている。書換装置は、ECUから送信される許可信号を受信すると(b8)、変更データを送信する(b9)。ECUは、この変更データに基づき制御情報の書き換えを行う(b10)。
ECUは制御情報の書き換えが正常に終了すると、正常終了を通知し(b11)、書換装置が通知を受けて(b12)一連の書き換え処理が完了する。
図10を用いて説明した書換処理では、書換装置内の情報である関数fを用いた通信処理(b1〜b7)によって、ECUが書換装置の正当性を判断している。そのため、書換装置自体が盗まれたり、又は、書換装置内部の情報が盗まれたりした場合には、不正な制御情報の書き換えを防止できないという問題があった。特に、書換装置は作業現場にあるため、上述した盗難の可能性が比較的高くなってしまう。
本発明は、上述した問題点を解決するためになされたものであり、書換装置又は書換装置内部の情報が盗まれた場合であっても、上述した不正な制御情報の書き換えを防止できるようにすることを目的とする。
上述した目的を達成するためになされた請求項1に記載の制御情報書換システムは、車両を制御するために車載され、電気的に書き換え可能な不揮発性メモリに車両制御のための制御情報を記憶した電子制御装置と、制御情報を書き換えるための書換装置とを備えることを前提としている。
このとき、書換装置は、所定のアクセス情報を用いた通信開始処理を電子制御装置との間で実行し、一方、電子制御装置は、通信開始処理によって書換装置の正当性を判断し、当該書換装置を正当なものであると判断すると、書換装置から送信される変更データに基づき制御情報の一部又は全部を書き換える。
このような構成に加え、本発明のシステムではさらに、書換装置との間でデータ通信を行うサーバを備えていることを特徴としている。以下、便宜上、本明細書ではサーバをセンタという。センタは、例えば作業現場とは別の場所に設置されることが考えられる。このセンの記憶手段には、上述したアクセス情報が記憶されている。また、書換装置の判別情報が記憶されている。
このとき、センタの正当性判断手段は、書換装置とのデータ通信において、当該書換装置からの情報を取得する。そして、当該取得した情報が記憶手段に記憶された判別情報と一致している場合は、所定のアクセス情報を書換装置へ送信する。一方、判別情報と一致していない場合は、所定のアクセス情報を書換装置へ送信しない。
つまり、本発明では、電子制御装置へのアクセスを可能にするアクセス情報を、書換装置ではなくセンタに記憶しておき、書換装置の正当性を電子制御装置に先立ってセンタが判断するようにしたのである。センタは、書換装置を正当なものであると判断した場合に、アクセス情報を送信することによって、制御情報の書き換えを許可する。
これは、以下のような2段階のチェックを行うことにあたる。
(1)センタが書換装置の正当性を判断してアクセス情報を書換装置へ送信する。
(2)書換装置はそのアクセス情報を用いた通信開始処理を実行し、その通信開始処理に基づき、電子制御装置が書換装置の正当性を判断する。
これによって、少なくとも判別情報を書換装置内部に記憶しておかなければ、上記(1)の段階で書換装置はセンタからアクセス情報を得ることができない。したがって、書換装置又は書換装置内部の情報が盗まれたとしても、上記(2)において電子制御装置により書換装置が正当であると判断されないため、その後、制御情報の書き換えが行われない。その結果、書換装置や書換装置内部の情報が盗まれた場合であっても、電子制御装置の制御情報が不正に書き換えられることを防止できる。
なお、通常、書換装置は、例えば修理工場毎に設置されるというように、本システムに複数台存在する。そこで、書換装置毎の正当性を判断するために、ここでは、上述した判別情報が、識別情報及び対応情報からなることを特徴としている。識別情報は、書換装置を識別するための書換装置固有の番号などであることが考えられる。一方、対応情報は、各識別情報に対応させて設定される情報である。
このときセンタの正当性判断手段は、書換装置とのデータ通信において、当該書換装置の識別情報及び対応情報を取得する。そして、当該取得した情報の対応関係が記憶手段に記憶された判別情報と一致している場合は、所定のアクセス情報を書換装置へ送信する。一方、一致していない場合は、所定のアクセス情報を書換装置へ送信しない。
これによって、少なくとも識別情報及び対応情報のいずれか一方を書換装置内部に記憶しておかなければ、上記(1)の段階で書換装置はセンタからアクセス情報を得ることができない。したがって、書換装置又は書換装置内部の情報が盗まれたとしても、上記(2)において電子制御装置により書換装置が正当であると判断されないため、その後、制御情報の書き換えが行われない。その結果、書換装置や書換装置内部の情報が盗まれた場合であっても、電子制御装置の制御情報が不正に書き換えられることを防止できる。そして、この場合、書換装置毎に、その正当性を判断できる。
ところで、上記(2)における「アクセス情報を用いた通信開始処理」は、次に示すようなものとすることが考えられる。すなわち、書換装置が、センタから取得したアクセス情報に基づく正当性判断情報を電子制御装置に送信し、これに対し電子制御装置は、書換装置から送信される正当性判断情報に基づき、書換装置の正当性を判断するものとすることが考えられる(請求項2)。ここでいう正当性情報は、例えば、電子制御装置から送信される所定データをアクセス情報を基に変換した情報である(請求項3)。
具体的な構成としては、従来技術して上述したのと同様の構成(請求項4)が挙げられる。すなわちこの場合、書換装置は、前記電子制御装置に記憶された関数Fに対応する関数fをアクセス情報としてセンタから取得し、所定データとしての所定値rに対する関数値f(r)を、正当性判断情報として、電子制御装置に送信する。そして、電子制御装置は、書換装置から送信される関数値f(r)に対する関数値F(f(r))が所定値rに等しければ、書換装置を正当なものであると判断する。ここで所定値rは固定的なものとしてもよいが、電子制御装置にて生成される乱数としてもよい(請求項5)。
なお、正当なアクセス情報を得ることなく、書換装置による電子制御装置への不正なアクセスが行われることを防止するために、に示す構成を採用してもよい。この構成では、電子制御装置が、書換装置を正当なものでないと所定回数判断すると、書換装置からのアクセスを例えば10分というような一定時間拒否する。所定回数は1回としてもよいが、通信エラーなどが生じる可能性を考慮して例えば3回というように設定することが考えられる。また、所定回数は、「正当なものでない」という判断が連続して行われた回数であってもよいし、「正当なものでない」という判断を累積した回数としてもよい。このようにすれば、不正なアクセス情報を用いては連続的に何度も電子制御装置をアクセスすることができないため、不正な電子制御装置へのアクセスを効果的に防止することができ、制御情報の書き換え防止に有効である。
ここでは「正当なものでない」という判断が連続して行われた場合の電子制御装置の動作に言及したが、逆に、書換装置を正当なものであると判断すると、電子制御装置は、書換装置からの変更データの送信待ち状態になるようにすることが考えられる。
センタは、書換装置との間にデータ通信可能状態が確立されると、書換装置側の電話番号を判別情報の一部としてとして取得する。識別情報と共に判別情報を構成する対応情報を電話番号とするものであり、センタは、取得される識別番号と電話番号との対応関係が記憶手段に予め記憶された判別情報と一致するか否かを判断し、一致すればアクセス情報を送信することになる。
このようにすれば、別の場所、すなわち正規の作業場所以外からセンタとの間に回線を接続した場合、センタの取得する電話番号は、予め決められた電話番号でなくなる。そのため、例えば識別情報と対応せず、センタからアクセス情報を得ることはできない。つまり、この技術思想は、不正な書き換えが行われる場合には書換装置が正規の設置場所にない、という事実に着目したものである。このようにすれば、書換装置や書換装置内の情報が盗まれた場合であっても、電子制御装置の制御情報が不正に書き換えられることを確実に防止できる。
ところで、電子制御装置にて書換装置が正当でないと判断された場合に、電子制御装置が書換装置からのアクセスを例えば10分というような一定時間拒否することによって、電子制御装置への不正なアクセスが効果的に防止できることは上述した。センタと書換装置との間にも、同様の手法を採用することが考えられる。
なお、従来は、書換装置の有する記録媒体に制御情報を書き換えるための変更データを記憶していた。本発明においても、変更データを書換装置に記憶する構成としてもよい。しかし、さらにセキュリティ面を考慮するならば、センタが、さらに、制御情報の変更データを記憶する変更データ記憶手段を有する構成とすることが考えられる。つまり、センタに変更データを記憶しておけば、書換装置又は書換装置内部の情報が盗まれた場合であっても、変更データが外部に漏れる可能性がない。
この変更データは、例えば利用者が書換装置を介して手動にて読み出すことも考えられるが、センタが変更データを自動的に書換装置へ送信する構成とすれば、利用者にとって便利である。このとき、センタは、電子制御装置にて書換装置が正当であると判断された場合に、変更データ記憶手段に記憶された変更データを書換装置へ送信するようにするとよい。つまり、上記(2)において書換装置が正当であるとの判断がなされた後に、変更データを書換装置へ送信するのである。例えば、電子制御装置が、書換装置を正当なものであると判断すると、書き換えの許可を示す情報を書換装置へ送信し、さらに、書換装置が、この情報をセンタに送信することによって、センタが変更データを送信するという具合である。もちろん、上記(1)において書換装置の正当性をセンタが判断した際に、アクセス情報と共に変更データを書換装置へ送信するようにしてもよい。しかし、上述したように電子制御装置にて書換装置が正当であると判断された場合に変更データを送信するようにすれば、すなわち、上記(1)及び(2)のチェックが行われた後に変更データを送信するようにすれば、さらにセキュリティ面で有利である。
また、上述した変更データ記憶手段には、複数の変更データが記憶されることが考えられる。例えば車両や電子制御装置毎に、変更データが異なるのが一般的だからである。そこで、変更データを特定するためのデータ特定情報が書換装置によって送信されることを前提とし、センタは、このデータ特定情報に基づき、変更データ記憶手段に記憶された変更データの中から該当する変更データを選択して送信するようにしてもよい。
以上、制御情報書換システムとして説明したが、本願発明はこのような制御情報書換システムに用いられて有効な書換装置の発明として実現するものである。
以下、本発明を具体化した一実施例を図面を参照して説明する。図1は、実施例の制御情報書換システム1の概略構成を示すブロック図である。車両10には、4台のECU11,12,13,14が搭載されており、各ECU11〜14はネットワーク回線15で結ばれている。ECU11〜14は、不揮発性メモリとしてのEEPROM(不図示)を有しており、書換装置20が接続されていない通常時には、このEEPROMに記憶された制御情報(制御プログラム及び制御データ)に基づき、ネットワーク回線15を介したECU11〜14間通信を行って、エンジン等それぞれの制御対象を制御する。
そして、ECU11〜14の有するEEPROMに記憶された制御情報を書き換えるためのシステムが、本制御情報書換システム1である。図1では、書換装置20が車両ダイアグコネクタ16を介して各ECU11〜14と接続された様子が示されている。車両ダイアグコネクタ16は、書換装置20と各ECU11〜14とのネットワーク回線15を介したデータ通信を可能にするため、車両10に用意されたコネクタである。なお、車両10及び書換装置20は、修理工場などの作業現場に設置されている。
また、本実施例の制御情報書換システム1では、書換装置20が電話回線網40を介してセンタ30とデータ通信できるようになっている。センタ30は、いわゆるサーバとして作業現場とは別の場所に設置される。そして、このセンタ30の記憶装置(不図示)には、ECU11〜14を書換装置20がアクセスするためのアクセス情報、制御情報を書き換える変更データ、書換装置20の正当性を判断するためのデータベース、及び、各車両10の制御情報の更新履歴のデータベースが記憶されている。したがって、この記憶装置が「記憶手段」、「変更データ記憶手段」及び「更新履歴記憶手段」に相当する。
書換装置20とセンタ30とは、書換装置20がセンタ30を発呼することによって、書換装置20とセンタ30との間で所定の通信処理が行われてデータ通信が可能な状態となる。なお、図1には、センタ30が1台の書換装置20と接続されていることを示したが、センタ30に対しては、例えば別の作業現場の書換装置が並行して接続されることも考えられる。
次に、本制御情報書換システム1の動作の概要を図2に基づき説明する。図2では、本制御情報書換システム1の動作をB1〜B18の符号を付したブロック単位で示した。詳しくは、各ECU11〜14における処理を、ECU側処理として図2中の左側の列に、B5,B6,B9,B10,B15,B16と示した。また、書換装置20における処理を、書換装置側処理として中央の列に、B1,B4,B7,B8,B11,B14,B17と示した。さらに、センタ30における処理を、センタ側処理として右側の列に、B2,B3,B12,B13,B18と示した。これらの処理は、B1→B2→B3→・・・→B18という順序で実行される。
最初に書換装置20がセンタ30を発呼し、書換装置20とセンタ30との間にデータ通信可能状態が確立されると、書換装置20は、通信開始要求と共に書換装置20自体を識別させるための「識別情報」としてのID情報をセンタ30へ送信する(B1)。これに対し、センタ30は、書換装置20からのID情報を受信すると共に、発呼元の電話番号、すなわち、書換装置20側の電話番号を取得する(B2)。この電話番号が「対応情報」に相当する。
センタ30は、書換装置20のID情報と書換装置20に割り当てられた電話番号とを対応させたデータベースを有している。したがって、センタ30は次に、受信したID情報と取得した電話番号との対応関係をデータベースにある対応関係と照合する(B2)。ここで一致していれば、第1許可信号及び関数fを書換装置20へ送信する(B3)。
書換装置20は、ECU11〜14の中から書き換え対象とするECUを選択し、そのECUへ書換要求を送信する(B4)。ここではECU11が書き換え対象のECUとして選択されたものとして以下の説明を続ける。選択されたECU11は、乱数rを発生し(B5)、この乱数rを書換装置20へ送信する(B6)。
書換装置20は、上記B3にてセンタから送信された関数fを用い、ECU11からの乱数rに対して関数値f(r)を算出する(B7)。そして、その算出した関数値f(r)をECU11へ再度送信する(B8)。一方、ECU11には関数Fが予め記憶されており、書換装置20から送信される関数値f(r)に対し、関数値F(f(r))を算出する(B9)。続いて、算出したF(f(r))が乱数rに等しければ、すなわちf=F−1であれば、書き換えを許可する第2許可信号を送信すると共に、車両VINコードを送信する(B10)。車両VINコードは、車両毎にユニークに付された番号であり、これが上述の「データ特定情報」及び「履歴特定情報」に相当する。
書換装置20は、ECU11からの第2許可信号及び車両VINコードを受信し、これらの情報をさらに、センタ30へ送信する(B11)。センタ30は、各車両それぞれの制御情報の更新履歴をデータベースとして有している。したがって、書換装置20からの車両VINコードに基づき、車両10の判別を行い、更新履歴のデータベースを参照して、制御情報の書き換え必要性を判断する(B12)。ここで車両10に対する制御情報の書き換えが必要であると判断すると、変更データを書換装置20へ送信する(B13)。
書換装置20は、センタ30からの変更データを受信し、この変更データをECU11へ送信する(B14)。ECU11は、書換装置20からの変更データに基づき、制御情報の書き換えを行う(B15)。そして、制御情報の書き換えが正常に終了すれば、正常終了を書換装置20へ通知する(B16)。
書換装置20は、ECU11から正常終了が通知されると、上記B3にてセンタ30から送信された関数fを抹消する(B17)。また、センタ30に正常終了を通知する。これによって、センタ30は、更新履歴のデータベースを更新する(B18)。
以上のようにして一連の書き換え処理が完了する。次に、上述したECU側処理、書換装置側処理、及びセンタ側処理の詳細を順に説明する。なお、各処理の説明にあたって適宜図2を参照する。最初に図3及び図4のフローチャートに基づき、各ECU11〜14にて実行されるECU側処理を説明する。なお、このECU側処理は、車両10に車両ダイアグコネクタ16を介して書換装置20が接続された状態において、例えば0.2秒というような所定時間間隔で実行されるものである。
まずステップS300において、書換装置20からの書換要求があったか否かを判断する。ここで書換要求があったと判断された場合(S300:YES)、S310へ移行する。一方、書換要求がなかったと判断された場合(S300:NO)、以降の処理を実行せずに、本ECU側処理を終了する。
S310では、アクセス拒否タイマが「0」か否かを判断する。アクセス拒否タイマは、後述するように書換装置20が「正当でない」と所定回数連続して判断された場合に設定されるものである。ここでアクセス拒否タイマが「0」でないと判断された場合(S310:NO)、S320にてタイマをデクリメントし、さらに変数C1に「0」を代入して、本ECU側処理を終了する。変数C1は、書換装置が正当でないと連続して判断された回数を計数するものである。一方、アクセス拒否タイマが「0」であると判断された場合(S310:YES)、S330へ移行する。
S330では、変数C1が「2」以下であるか否かを判断する。ここでC1>2である場合(S330:NO)、S340にてアクセス拒否タイマをセットし、本ECU側処理を終了する。本実施例では、10分がセットされる。一方、C1≦2である場合(S330:YES)、S350へ移行する。
S350では、乱数rを発生し、書換装置20へ送信する。この処理は、図2中のB5及びB6の処理に相当する。これに対し、図2中のB8に示したように、書換装置20から関数値f(r)が送信される。したがって、続くS360では、関数値f(r)の送信があったか否かを判断する。ここで関数値f(r)の送信があった場合(S360:YES)、S370へ移行する。一方、関数値f(r)の送信がないうちは(S360:NO)、この判断処理を繰り返す。
S370では、書換装置20から送信される関数値f(r)に対し、関数値F(f(r))を算出する。この処理は、図2中のB9の処理に相当する。続く図4のS380では、算出した関数値F(f(r))が乱数rに等しいか否かを判断する。ここでF(f(r))=rである場合(S380:YES)、S390にて第2許可信号及び車両VINコードを送信し、S420へ移行する。このS380及びS390の処理が図2中のB10の処理に相当する。一方、F(f(r))≠rである場合(S380:NO)、書き換えを許可しない旨をS400にて書換装置20に通知し、S410にて変数C1をインクリメントして、本ECU側処理を終了する。このようにして書換装置20の正当性が判断され、正当でないと判断した場合(S380:NO)変数C1がインクリメントされ(S410)、上述したようにC1>2でタイマがセットされる(図3中のS340)。したがって、本実施例では、C1が「0」→「1」→「2」という具合に、3回連続して書換装置20が正当でないと判断されると、アクセス拒否がなされることになる。
上述したように、センタ30にて車両VINコードに基づく制御情報の書き換えの必要性判断がなされ、書き換えが必要があればセンタ30から書換装置20を経由して変更データが送信される。一方、書き換えが必要でなければ、すなわち、既に制御情報の書き換えがなされている場合には、書き換え済みであることを示す情報がセンタ30から書換装置20を経由して送信される。
そのため、S420では、書換装置20からのデータ送信があったか否かを判断する。ここでデータ送信があったと判断された場合(S420:YES)、S430へ移行する。一方、データ送信がないうちは(S420:NO)、この判断処理を繰り返す。
そして、S430では、書換装置20から送信されたデータが変更データか否かを判断する。ここで変更データであると判断された場合(S430:YES)、S440へ移行する。一方、変更データでないと判断された場合(S430:NO)、すなわち、書き換え済みを示す情報が送信された場合には、以降の処理を実行せず、本ECU側処理を終了する。
S440では、送信された変更データに基づき、制御情報の書き換えを行う。続くS450では、書き換え後の制御情報のチェックサムを計算する。これは、正常に制御情報が書き換えられたか否かを判断するためである。そして、次のS460では、S450にて計算したチェックサムに基づき、制御情報の書き換えが正常に終了したか否かを判断する。ここで正常に終了したと判断された場合(S460:YES)、S470にて書換装置20へ正常終了を通知し、その後、本ECU処理を終了する。一方、正常に終了したと判断されなかった場合(S460:NO)、S480にて書換装置20へ変更データの再送信を要求し、S420からの処理を繰り返す。
続いて図5及び図6のフローチャートに基づき、書換装置20にて実行される書換装置側処理を説明する。なお、この書換装置側処理は、書換装置20とセンタ30との間にデータ通信可能状態が確立された後、作業者による所定の操作をトリガとして実行されるものである。
まず最初のステップS500において、センタ30に対し、通信開始を要求すると共に予め記憶されているID情報を送信する。この処理は、図2中のB1の処理に相当する。センタ30は、書換装置20が正当なものであると判断すると、第1許可信号及び関数fを送信してくる。
したがって、続くS510では、センタ30からの応答があったか否かを判断する。ここでセンタ30からの応答があったと判断された場合(S510:YES)、S520へ移行する。一方、センタ30からの応答がないうちは(S510:NO)、この判断処理を繰り返す。
S520では、センタ30の応答が不許可の通知か否かを判断する。ここで不許可の通知であると判断された場合(S520:YES)、センタ30へのアクセスに失敗した旨をS530にてディスプレイなどの表示装置に表示し、その後、S500からの処理を繰り返す。一方、不許可の通知でない場合(S520:NO)、すなわち第1許可信号及び関数fが送信されてきた場合には、S540へ移行する。
S540では、車両10に搭載された4台のECU11〜14のいずれかを選択するためのECUコードの入力を作業者に要求する。続くS550では、ECUコードの入力があったか否かを判断する。ここでECUコードの入力があったと判断された場合(S550:YES)、S560へ移行する。一方、ECUコードの入力がないうちは(S550:NO)、S540からの処理を繰り返す。なお、ECU11のECUコードが入力されたものとして以下の説明を続ける。
S560では、書換要求及びECUコードを送信する。この処理は、図2中のB4の処理に相当する。これによって、入力されたECUコードに対応するECU11が乱数rを発生し、その乱数rを送信してくる(図3中のS350)。したがって、続くS570では、乱数rが送信されたか否かを判断する。ここで乱数rが送信されたと判断された場合(S570:YES)、S580へ移行する。一方、乱数rが送信されないうちは(S570:NO)、この判断処理を繰り返す。
S580では、S510にてセンタ30から送信された関数fを用い、乱数rに対する関数値f(r)を算出する。そして次のS590にて、関数値f(r)をECU11へ送信する。図2中のB7及びB8の処理に相当する。これに対して、ECU11では、図3中のS360にて肯定判断され、関数値F(f(r))が算出される(S370)。そして、S380の判断に基づき、第2許可信号の送信又は書き換えを許可しない旨の通知を行う(S390,S400)。
したがって、続く図6中のS600では、ECU11の応答があったか否かを判断する。ここでECU11の応答があったと判断された場合(S600:YES)、S610へ移行する。一方、ECU11からの応答がないうちは(S600:NO)、この判断処理を繰り返す。
S610では、ECU11から第2許可信号が送信されたか否かを判断する。ここで第2許可信号が送信されたと判断された場合(S610:YES)、S620にて第2許可信号及びその第2許可信号と共に送信される車両VINコードをセンタ30へ送信し、その後、S640へ移行する。この処理が図2中のB11の処理に相当する。一方、第2許可信号が送信されなかった場合(S610:NO)、すなわち、ECU11から書き換えを許可しない旨が通知された場合には、S630にてセンタ30に対し不許可となった旨を通知し、その後、図5中のS530へ移行する。
S620にてセンタ30に対し第2許可信号及び車両VINコードを送信すると、上述したようにセンタ30は、書き換えの必要性を判断して、書き換えの必要があれば変更データを送信し、一方、書き換えの必要がなければ書き換え済みを示す情報を送信する。
したがって、S640では、センタ30の応答があったか否かを判断する。ここでセンタ30の応答があったと判断された場合(S640:YES)、S650へ移行する。一方、センタ30の応答がないうちは(S640:NO)、この判断処理を繰り返す。
S650では、センタ30から送信されたデータが変更データであるか否かを判断する。ここで変更データであった場合(S650:YES)、S680へ移行する。一方、変更データでない場合(S650:NO)、すなわち書き換え済みを示す情報がセンタ30から送信された場合には、関数fを抹消して書き換えの必要がない旨を表示し(S660)、書き換え済みを示す情報をECU11へ送信して(S670)、その後、本書換装置側処理を終了する。
S680では、センタ30から送信された変更データをECU11へ送信する。この処理は、図2中のB14の処理に相当する。これによって、ECU11では制御情報の書き換えが行われ(図4中のS430:YES,S440)、ECU11から正常終了の通知又は再送信要求がなされる(S470,480)。
そこで、次のS690では、ECU11から正常終了の通知があったか否かを判断する。ここで正常終了の通知があったと判断された場合(S690:YES)、関数fを抹消すると共にセンタ30へ正常終了を通知して(S700)、その後、本書換装置側処理を終了する。一方、正常終了の通知がなされない場合(S690:NO)、すなわち変更データの再送信要求がなされた場合には、センタ30へ異常終了を通知し(S710)、本書換装置側処理を終了する。
さらに続けて、図7及び図8のフローチャートに基づき、センタ30にて実行されるセンタ側処理を説明する。なお、このセンタ側処理は、書換装置20とセンタ30との間にデータ通信可能状態が確立されている状態において、例えば0.2秒というような所定時間間隔で実行されるものである。
まず最初のステップS800において、アクセス拒否タイマが「0」か否かを判断する。アクセス拒否タイマは、後述するようにセンタ30によって書換装置20が「正当でない」と所定回数連続して判断された場合に設定されるものである。ここでアクセス拒否タイマが「0」でないと判断された場合(S800:NO)、S810にてタイマをデクリメントし、さらに変数C2に「0」を代入して、本センタ側処理を終了する。変数C2は、センタ30にて書換装置20が正当でないと連続して判断された回数を計数するものである。一方、アクセス拒否タイマが「0」であると判断された場合(S800:YES)、S820へ移行する。
S820では、変数C2が「2」以下であるか否かを判断する。ここでC2>2である場合(S820:NO)、S830にてアクセス拒否タイマをセットし、その後、本センタ側処理を終了する。一方、C2≦2である場合(S820:YES)、S840へ移行する。
S840では、通信開始要求があったか否かを判断する。この処理は、図5中のS500の処理に対するものである。ここで通信開始要求があったと判断された場合(S840:YES)、S850へ移行する。一方、通信開始要求がないうちは(S840:NO)、この判断処理を繰り返す。
S850では、書換装置20から送信されるID情報を受信し、発呼元の電話番号を取得する。続くS860では、受信したID情報と取得した電話番号との対応関係を、データベースに予め記憶された書換装置20のID情報と電話番号との対応関係と照合する。これらS850及びS860の処理が、図2中のB2に示した処理に相当する。
そして、次のS870では、照合結果に基づき、対応関係が一致したか否かを判断する。ここで一致したと判断された場合(S870:YES)、S890にて第1許可信号及び関数fを送信し、その後、S900へ移行する。この処理が、図2中のB3の処理に相当する。一方、一致していないと判断された場合(S870:NO)、書き換えを許可しない旨を書換装置20へ通知すると共に、変数C2をインクリメントし(S880)、その後、S800からの処理を繰り返す。
なお、ここで説明したS850〜S890までの処理が「正当性判断手段」としての処理に相当する。したがって、これらの処理を実行するセンタ30のCPUが「正当性判断手段」に相当する。第1許可信号及び関数fを送信した場合、書換装置20は、第2許可信号及び車両VINコードを送信してくるか(図6中のS620)、あるいは書き換えの不許可を通知してくる(S630)。
そこで、S900では、書換装置20の応答があったか否かを判断する。ここで書換装置20の応答があったと判断された場合(S900:YES)、図8中のS910へ移行する。一方、書換装置20の応答がないうちは(S900:NO)、この判断処理を繰り返す。
S910では、その応答が不許可の通知か否かを判断する。ここで不許可の通知であった場合(S910:YES)、図7中のS800へ移行する。一方、不許可の通知でない場合(S910:NO)、すなわち第2許可信号及び車両VINコードが送信された場合には、S920へ移行する。
S920では、送信された車両VINコードに基づき車両の判別を行い、更新履歴のデータベースを参照する。そして、次のS930では、参照結果に基づき、制御情報を書き換える必要があるか否かを判断する。これらS920及びS930の処理が図2中のB12の処理に相当する。ここで書き換えの必要があると判断された場合(S930:YES)、S950へ移行する。一方、書き換えの必要がないと判断された場合(S930:NO)、S940にて書き換え済みを示す情報を送信し、その後、本センタ側処理を終了する。
S950では、変更データを検索して読み出し、読み出した変更データを書換装置20へ送信する。この処理が、図2中のB13の処理に相当する。その後、書換装置20からは、上述したように正常終了の通知(図6中のS700)あるいは異常終了の通知(S710)がなされる。
したがって、S960では、書換装置20からの終了通知があったか否かを判断する。ここで終了通知があったと判断された場合(S960:YES)、S970へ移行する。一方、終了通知がないうちは(S960:NO)、この判断処理を繰り返す。
S970では、終了通知が正常終了の通知か否かを判断する。ここで正常終了の通知であると判断された場合(S970:YES)、S980にて更新履歴のデータベースを更新し、その後、本センタ側処理を終了する。一方、正常終了の通知でないと判断された場合(S970:NO)、すなわち異常終了の通知であった場合には、S950からの処理を繰り返す。
次に、本実施例の制御情報書換システム1の発揮する効果を説明する。なお、ここでの説明に対する理解を容易にするため、最初に従来の問題点を簡単に説明する。従来は図9に示したように、書換装置200の正当性を、ECU101〜104のみで判断していた。そして、この判断は、書換装置200に予め記憶されたアクセス情報としての関数fに基づく通信開始処理(図10中のb1〜b7)によって行われる。そのため、書換装置200又は書換装置200内部の情報が盗まれた場合、アクセス情報が盗まれるため、不正な制御情報の書き換えを防止することができなかった。
これに対して、本実施例の制御情報書換システム1では、センタ30にアクセス情報としての関数fを記憶しておき、センタ30が書換装置20を正当なものとして判断してはじめて、センタ30から書換装置20へ関数fが送信される(図2中のB2,B3)。したがって、書換装置20又は書換装置20内部の情報が盗まれた場合であっても、書換装置20にはECU11〜14へのアクセス情報が記憶されていないため、センタ30からアクセス情報を得ることができなければ、ECU11〜14の制御情報を書き換えることはできない。
また、センタ30は、書換装置20にユニークに割り振られたID情報と電話回線を介してデータ通信を行う際の書換装置20側の電話番号とを対応させて記憶したデータベースを有している。そして、書換装置20からID情報を取得すると共に発呼元の電話番号を取得する(図7中のS850)。このIDと電話番号との対応関係がデータベースに記憶された対応関係と一致している場合に(S860,S870:YES)、センタ30は書換装置20が正当なものであると判断し、アクセス情報である関数fを送信する(S890)。例えば正規の作業場所以外からセンタ30との間に回線を接続した場合、センタ30の取得する電話番号は予め決められた電話番号でなくなる。そのため、ID情報と対応せず、センタ30からアクセス情報を得ることはできない。結果として、ECU11〜14の制御情報を書き換えることはできない。
さらに、ID情報と電話番号との対応関係にて書換装置20の正当性を判断するため、複数の書換装置20がある場合に、書換装置20毎に、その正当性を判断できる。以上のように、本実施例の制御情報書換システム1によれば、書換装置20又は書換装置20内部の情報が盗まれた場合であっても、ECU11〜14の制御情報が不正に書き換えられることを確実に防止できる。
そして、本実施例の制御情報書換システム1では、センタ30が最初に書換装置20の正当性を判断し、続いてECU11〜14が書換装置20の正当性を判断する。これら2段階のチェックのいずれにおいても、書換装置20が「正当でない」と連続して3回判断された場合、10分間のアクセス拒否を行うようにした。
すなわち、ECU11〜14では、書換装置20を正当でないと判断すると(図4中のS380:NO)変数C1をインクリメントし(S410)、変数C1が「2」よりも大きくなると(図3中のS330:NO)、すなわち3回連続して「正当でない」との判断がなされると、アクセス拒否タイマを設定する(S340)。これによって、タイマが「0」となるまで書換装置20のアクセスを拒否する(S310:NO)。
一方、センタ30でも同様に、書換装置20を正当でないと判断すると(図7中のS870:NO)、変数C2をインクリメントしていき(S880)、変数C2が「2」よりも大きくなると(S820:NO)、すなわち3回連続して「正当でない」との判断がなされると、アクセス拒否タイマを設定する(S830)。これによって、タイマが「0」となるまで書換装置20のアクセスを拒否する(S800:NO)。
その結果、不正な情報を用いてセンタ30やECU11〜14を書換装置20からアクセスしようとしても、連続して何度もアクセスすることができないため、本実施例では3回続けて不正なアクセスを行えば10分間アクセスができなくなるため、制御情報の書き換え防止に有効である。
また、本実施例の制御情報書換システム1では、センタ30が制御情報の変更データを記憶している。すなわち、従来のように書換装置20に変更データを記憶しておかないため、書換装置20又は書換装置20内部の情報が盗まれた場合であっても、変更データが外部に漏れる可能性がない。
そして、センタ30は、ECU11〜14からの第2許可信号が送信されてきたことを一つの条件として(S910:NO)変更データを送信する(S950)。すなわち、ECU11〜14にて書換装置20が正当であると判断されたことを条件として変更データを送信する。したがって、変更データが外部に漏れる可能性をさらに低減させている。
さらに、ECU11〜14は、書換装置20を正当であると判断すると(図4中のS380:YES)、上述した第2許可信号に加え、車両10を特定可能な車両VINコードを送信する(S390)。センタ30は、各車両10のECU11〜14に記憶された制御情報更新履歴のデータベースを有しており、上述したECU11〜14からの車両VINコードに基づき、車両10を判別しこのデータベースを参照して(図8中のS920)制御情報の書き換えの必要性を判断する(S930)。そして、書き換えの必要がある場合に(S930:YES)変更データを送信する(S950)。
従来は、過去にECU11〜14の制御情報が書き換えられているか否かを判断できない状況があった。そのため、制御情報のバージョンアップの履歴がない場合には、既に制御情報の書き換えが行われているにもかかわらず、再度制御情報の書き換えを行うというような無駄な制御情報の書き換えが行われていた。このような場合、無駄な作業時間を要するだけでなく、例えば制御情報の記憶にEEPROMを用いている場合、書き換え可能回数が制限されるため、無駄な書き換えによって必要な書き換えができなくなるおそれもあった。
これに対して、本実施例では、上述したようにセンタ30が各車両10の制御情報の更新履歴を管理するため、無駄な制御情報の書き換えが行われない。その結果、無駄な作業時間がなくなり、また、無駄な書き換えによって必要な書き換えができなくなることもなくなる。
さらにまた、本実施例の制御情報書換システム1のセンタ30では、ECU11〜14から書換装置20を経由して書き換えの正常終了が通知されると(図8中のS970:YES)、自動的に制御情報の更新履歴のデータベースを更新する(S980)。したがって、作業者がマニュアル操作でデータベースを更新する必要がなく便利である。
また、本実施例の制御情報書換システム1の書換装置20では、アクセス情報としての関数fが必要なくなると(図6中のS650:NO,S690:YES)、速やかにそのアクセス情報である関数fを抹消する(S660,S700)。そのため、センタ30から書換装置20へ送信されたアクセス情報としての関数fが書換装置20から盗まれる可能性を低減させることができる。
以上、本発明はこのような実施例に何等限定されるものではなく、本発明の主旨を逸脱しない範囲において種々なる形態で実施し得る。
(1)上記実施例においては、センタ30が書換装置20から発呼され、その後、センタ30と書換装置20との間にデータ通信可能状態が確立されると、センタ30は、対応情報として発呼元の電話番号を取得し、書換装置20から送信される識別情報としてのID情報との対応によって、書換装置20の正当性を判断していた。
これに対して、センタ30が書換装置20のID情報とパスワードとを対応させたデータベースを有する構成とし、書換装置20は、作業者によって入力されるパスワードを、上述したID情報と共に送信する構成としてもよい。この場合、パスワードが「対応情報」に相当することになり、センタ30は、書換装置20から送信されるID情報とパスワードとの対応によって、書換装置20の正当性を判断する。
また、上記実施例では、書換装置20に予めID情報が記憶されていたが、ID情報も、パスワードと同様に利用者から入力されるようにしてもよい。このようにすれば、書換装置20又は書換装置20内部の情報が盗まれた場合であっても、パスワード、あるいは、ID情報及びパスワードが分からないため、センタ30からアクセス情報を得ることはできず、上記実施例と同様に制御情報の不正な書き換えを防止することができる。
ただし、ID情報やパスワードが何らか別のルートで盗まれる可能性もあるため、上記実施例のように書換装置20の設置場所に関連する電話番号を対応情報とすることがより好ましい。不正な書き換えは正規の作業現場では行われないためである。
(2)また、書換装置20がセンタ30からアクセス情報を取得した後、センタ30と書換装置20との間のデータ通信を一時的に終了することが考えられる。例えば、図2中のB1〜B4の通信処理が終了した後に一旦データ通信を終了し、B11以降の処理を行う際に、書換装置20とセンタ30との間にデータ通信可能状態を再度確立することが考えられる。
ただし、書換装置20に送信されたアクセス情報が盗まれ、別の書換装置を用い、このアクセス情報を使用してECU11〜14がアクセスされる可能性がある。したがって、一連の書き換え処理(図2に示すB1〜B18の処理)が終了するまで、センタ30と書換装置20がデータ通信可能状態となっていることを書き換えの条件とするとよい。
具体的には次のように構成することが考えられる。それは、書換装置20がタイマ割込処理などによって定期的にセンタ30へ応答要求を送信し、センタ30が応答を行う構成とする。このとき、一連の書き換え処理が完了する前にセンタ30からの応答がなくなった場合、書換装置20がECU11〜14の書き換えを行わないようにする。このようにすれば、盗んだアクセス情報を用いて別の書換装置からECUをアクセスすることができなくなる。
実施例の制御情報書換システムの構成を示すブロック図である。 実施例における書き換え処理の概要を示す説明図である。 ECU側処理の前半部分を示すフローチャートである。 ECU側処理の後半部分を示すフローチャートである。 書換装置側処理の前半部分を示すフローチャートである。 書換装置側処理の後半部分を示すフローチャートである。 センタ側処理の前半部分を示すフローチャートである。 センタ側処理の後半部分を示すフローチャートである。 従来の制御情報書換システムの構成を示すブロック図である。 従来の書き換え処理の概要を示す説明図である。
符号の説明
1…制御情報書換システム
11,12,13,14 ECU
15 ネットワーク回線
16 車両ダイアグコネクタ
20 書換装置
30 センタ
40 電話回線網

Claims (12)

  1. 車両を制御するために車載され、電気的に書き換え可能な不揮発性メモリに前記車両制御のための制御情報を記憶した電子制御装置と、当該電子制御装置とのデータ通信により前記制御情報を書き換えるための書換装置と、当該書換装置の正当性を判断するためのデータベースを記憶した記憶手段を備えるサーバとからなり、当該サーバが前記書換装置から送信された情報に基づき、当該書換装置の正当性を判断すると前記書換装置が前記電子制御装置にアクセスするためアクセス情報を送信するようになっている制御情報書換システムにおける前記書換装置であって、
    書換装置は、
    自己の識別情報及び対応情報とを前記サーバへ送信する処理と、
    前記サーバにて、前記識別情報と前記対応情報との対応関係が前記記憶手段に記憶された判別情報と一致している場合に前記記憶手段に記憶された前記アクセス情報が前記サーバから送信され、送信されてきた前記アクセス情報を受信することで、当該アクセス情報を用いた前記電子制御装置との通信開始処理を実行し、
    さらに、前記電子制御装置から、本装置が正当である旨判断されて出力される信号であって、書き換えを許可する許可信号を受信すると、前記制御情報の一部又は全部を書き換えるための変更データを前記電子制御装置へ送信する処理を実行するものである
    ことを特徴とする書換装置。
  2. 請求項1に記載の書換装置において、
    前記サーバから取得した前記アクセス情報に基づき、正当性判断情報を生成し、該正当性判断情報を前記電子制御装置に送信することを特徴とする書換装置。
  3. 請求項2に記載の書換装置において、
    前記電子制御装置から送信される所定データを前記アクセス情報を基に変換し前記正当性判断情報を得ることを特徴とする書換装置。
  4. 請求項3に記載の書換装置において、
    前記アクセス情報として前記電子制御装置に記憶された関数Fに対応する関数fを前記サーバから取得し、該関数fを用いて前記電子制御装置から受信した所定値rに対する関数値f(r)を算出し、前記正当性判断情報として、前記電子制御装置へ送信することを特徴とする書換装置。
  5. 請求項4に記載の書換装置において、
    前記電子制御装置にて生成される乱数を前記所定値rとして受信するものであることを特徴とする書換装置。
  6. 請求項1〜5のいずれかに記載の書換装置において、
    前記判別情報の少なくとも一部は、前記サーバとのデータ通信可能状態が確立される毎に、利用者によって入力されるものであり、
    前記利用者によって入力された情報を前記サーバへ送信することを特徴とする書換装置。
  7. 請求項1〜6のいずれかに記載の書換装置において、
    前記変更データを特定するためのデータ特定情報を、前記サーバへ送信することを特徴とする書換装置。
  8. 請求項7に記載の書換装置において、
    前記データ特定情報は、前記電子制御装置から受信するものであることを特徴とする書換装置。
  9. 請求項1〜8のいずれかに記載の書換装置において、
    前記車両に係る更新履歴を特定するための履歴特定情報を、前記サーバへ送信することを特徴とする書換装置。
  10. 請求項9に記載の書換装置において、
    前記履歴特定情報は、前記電子制御装置から受信するものであることを特徴とする書換装置。
  11. 請求項1〜9のいずれかに記載の書換装置において、
    前記電子制御装置にて前記制御情報の書き換えが完了すると、前記所定のアクセス情報を抹消することを特徴とする書換装置。
  12. 請求項1〜10のいずれかに記載の書換装置において、
    前記サーバとの間でデータ通信可能状態が確立された後、前記電子制御装置にて前記制御情報の書き換えが完了する前に前記サーバとの間のデータ通信が不能となった場合、前記制御情報の書き換えを中止することを特徴とする書換装置
JP2004240687A 1999-12-07 2004-08-20 電子制御装置の制御情報書換システムに用いられる書換装置 Expired - Fee Related JP3982524B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004240687A JP3982524B2 (ja) 1999-12-07 2004-08-20 電子制御装置の制御情報書換システムに用いられる書換装置

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP34756299 1999-12-07
JP2004240687A JP3982524B2 (ja) 1999-12-07 2004-08-20 電子制御装置の制御情報書換システムに用いられる書換装置

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2000373249A Division JP2001225706A (ja) 1999-12-07 2000-12-07 電子制御装置の制御情報書換システム、当該システムに用いられるセンタ、電子制御装置、及び書換装置

Publications (2)

Publication Number Publication Date
JP2004348767A JP2004348767A (ja) 2004-12-09
JP3982524B2 true JP3982524B2 (ja) 2007-09-26

Family

ID=33542843

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004240687A Expired - Fee Related JP3982524B2 (ja) 1999-12-07 2004-08-20 電子制御装置の制御情報書換システムに用いられる書換装置

Country Status (1)

Country Link
JP (1) JP3982524B2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9626810B2 (en) 2015-08-25 2017-04-18 Hyundai Motor Company Method for providing telematics service

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6345157B2 (ja) 2015-06-29 2018-06-20 クラリオン株式会社 車載情報通信システム及び認証方法
US11163549B2 (en) 2018-08-10 2021-11-02 Denso Corporation Vehicle information communication system
US10592231B2 (en) 2018-08-10 2020-03-17 Denso Corporation Vehicle information communication system
US11579865B2 (en) 2018-08-10 2023-02-14 Denso Corporation Vehicle information communication system

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9626810B2 (en) 2015-08-25 2017-04-18 Hyundai Motor Company Method for providing telematics service

Also Published As

Publication number Publication date
JP2004348767A (ja) 2004-12-09

Similar Documents

Publication Publication Date Title
EP1109085B1 (en) Control information rewriting system
US6694235B2 (en) Vehicular relay device, in-vehicle communication system, failure diagnostic system, vehicle management device, server device and detection and diagnostic program
JP6270965B1 (ja) プログラムの更新制御システムおよびプログラムの更新制御方法
US20050125110A1 (en) Method of vehicle component control
JP5729337B2 (ja) 車両用認証装置、及び車両用認証システム
US20050192716A1 (en) Method and system for vehicle component management, method and system for vehicle component management data update, and vehicle component management center
JP6871581B2 (ja) 認証管理方法及びシステム
US9767264B2 (en) Apparatus, method for controlling apparatus, and program
JPWO2008129765A1 (ja) 監視機器制御システム
JP3982524B2 (ja) 電子制御装置の制御情報書換システムに用いられる書換装置
JP2001225706A (ja) 電子制御装置の制御情報書換システム、当該システムに用いられるセンタ、電子制御装置、及び書換装置
JP2008084120A (ja) 電子制御装置
CN112148312A (zh) 一种电子控制器的固件升级管理方法、装置、设备和介质
EP3951671A1 (en) Vehicle service authorization
JP4020520B2 (ja) 接続装置
JP2018093370A (ja) 車載電子制御装置、車載電子制御システム、中継装置
KR100982254B1 (ko) 접속요청 처리시스템 및 방법
JP2006244164A (ja) ソフトウェア更新装置、ソフトウェア更新システム、ソフトウェア更新方法、および機器管理装置
CN114461289A (zh) 一种远程开启车载信息娱乐系统adb工具的方法及系统
US7346931B2 (en) Accepting a set of data in a computer unit
JP6470344B2 (ja) 制御装置、制御方法、及びコンピュータプログラム
KR101073354B1 (ko) 이동 통신 단말기를 사용하는 차량용 텔레매틱스 시스템및 그 제어 방법
CN113799734B (zh) 一种车辆防盗系统的防盗匹配方法、装置、服务器及介质
JP7081415B2 (ja) 通信装置、通信方法、および通信プログラム
JP7250554B2 (ja) 電子制御装置及びリプログラミング方法

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20061201

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20061219

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070219

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070313

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070510

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070612

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070625

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100713

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110713

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120713

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120713

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130713

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees