JPH11257151A - 電子制御装置 - Google Patents

電子制御装置

Info

Publication number
JPH11257151A
JPH11257151A JP6705898A JP6705898A JPH11257151A JP H11257151 A JPH11257151 A JP H11257151A JP 6705898 A JP6705898 A JP 6705898A JP 6705898 A JP6705898 A JP 6705898A JP H11257151 A JPH11257151 A JP H11257151A
Authority
JP
Japan
Prior art keywords
control
identification information
data
electronic control
control program
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP6705898A
Other languages
English (en)
Inventor
Hanzo Shigemori
伴三 重森
Tatsu Yamaguchi
竜 山口
Akiyoshi Iijima
晃美 飯島
Yoshio Konuma
良男 小沼
Terumitsu Fujinaga
輝光 藤永
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Denso Corp
Original Assignee
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Denso Corp filed Critical Denso Corp
Priority to JP6705898A priority Critical patent/JPH11257151A/ja
Publication of JPH11257151A publication Critical patent/JPH11257151A/ja
Pending legal-status Critical Current

Links

Landscapes

  • Techniques For Improving Reliability Of Storages (AREA)
  • Read Only Memory (AREA)
  • Combined Controls Of Internal Combustion Engines (AREA)

Abstract

(57)【要約】 【課題】 制御対象に不適合な制御プログラムや制御デ
ータが不揮発性メモリに書き込まれた場合、制御処理の
実行に先だって異常時対応処理を実行可能で、かつ、例
えば車両等に搭載される以前には制御対象が特定されな
い電子制御装置を提供する。 【解決手段】 ECU1の制御するエンジンの型式を示
すB識別コードを、ECU1内部のスタンバイRAM1
2に記憶すると共にECU1とデータ通信可能なイグニ
ッションキー60のROM61にも予め記憶しておく。
そして、スタンバイRAM12からB識別コードが読み
出せない場合にはROM61に記憶されたB識別コード
を用いて、フラッシュROM11に書き込まれた制御プ
ログラムに含まれ、その制御プログラムに適合するエン
ジンの型式を示すA識別コードとの一致判断を行う。そ
して、両識別情報が一致していない場合、ワーニングラ
ンプ99を点灯する。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、電気的にデータの
書き換えが可能な不揮発性メモリに格納された制御プロ
グラムや制御データを書き換える技術に関する。
【0002】
【従来の技術】従来より、例えば特開平6−27261
1号公報に開示されているように、自動車のエンジン等
を制御する電子制御装置として、電気的にデータの書き
換え(詳しくはデータの消去及び書き込み)が可能な不
揮発性メモリに制御用のプログラム及びデータを格納し
ておき、このような制御プログラムや制御データを、市
場への供給後でも書き換え可能に構成されたものが提案
されている。
【0003】すなわち、この種の電子制御装置は、通常
時には、不揮発性メモリに格納された制御プログラム及
び制御データに従ってエンジン等の制御対象を制御する
ための制御処理を実行するのであるが、別途用意された
メモリ書換装置が接続されて、そのメモリ書換装置から
書き換え指令が送信されて来ると、所定の通信手順を踏
んだ後に、不揮発性メモリの内容を書き換えるように構
成されている。なお、不揮発性メモリの内容の書き換え
は、不揮発性メモリに格納されている制御プログラム又
は制御データの一部又は全部を消去し、その消去したメ
モリ領域に、メモリ書換装置から送信されて来る新たな
制御プログラム又は制御データを書き込むという手順で
行われる。
【0004】メモリ書換装置は、書き換えるべき新たな
制御プログラムや制御データを記憶する記憶媒体(フロ
ッピーディスク,ハードディスク,CD−ROM等)を
備えており、作業者によって所定の操作が行われると、
電子制御装置へ書き換え指令を送信した後、記憶媒体に
記憶されている新たな制御プログラムや制御データを電
子制御装置へ送信するように構成されている。なお、記
憶媒体に複数の制御プログラム又は制御データが記憶さ
れており、作業者によって選択された制御プログラム等
を電子制御装置へ送信するという構成も考えられる。
【0005】このような電子制御装置では、不揮発性メ
モリに格納される制御プログラムや制御データをメモリ
書換装置を用いて新たな制御プログラムや制御データに
書き換えることができるため、動作内容(制御内容)を
任意に変更することができるという点で有利である。こ
のため、最近では、電子制御装置の備えるCPUに上述
したような不揮発性メモリが内蔵されることも多くなっ
てきている。
【0006】ところが、例えば自動車においては、異な
る車種間ではもちろんであるが、同一車種であっても、
グレード(搭載装備)やエンジンの型式、あるいは仕向
地(輸出国)等の違いによって、電子制御装置が行うべ
き制御の内容は異なっている。換言するならば、電子制
御装置の不揮発性メモリに格納すべき制御プログラムや
制御データは、その電子制御装置が制御する制御対象毎
に異なっている。
【0007】従って、この種の電子制御装置では、作業
者が、電子制御装置の制御対象に不適合な制御プログラ
ム等がメモリ書換装置側の記憶媒体に記憶されているこ
とを知らずに、あるいは、メモリ書換装置側の記憶媒体
に記憶されている複数の制御プログラム等の中から電子
制御装置の制御対象に不適合なものを誤って選択し、メ
モリ書換装置から電子制御装置へ制御対象に不適合な制
御プログラムや制御データを送信させてしまう可能性が
ある。そして、このような作業ミスが発生すると、電子
制御装置が制御対象を適切に制御することができなくな
る。
【0008】例えば、型式Aのエンジンを制御する電子
制御装置の制御プログラムを書き換える際に、作業者
が、メモリ書換装置側の記憶媒体に型式Bのエンジンに
適合する制御プログラムが記憶されていることを知らず
に、あるいは、メモリ書換装置側の記憶媒体に記憶され
ている複数の制御プログラムの中から型式Bのエンジン
に適合する制御プログラムを誤って選択し、書き換え作
業を行ってしまった場合には、電子制御装置の制御内容
が実際の制御対象である型式Aのエンジンに適合せず
に、エンジンが動作しなくなったり、あるいは、エンジ
ンが動作したとしても本来の性能を発揮できなくなる。
【0009】このため、出願人は、電子制御装置へ制御
対象に不適合な制御プログラムや制御データを誤って書
き込んだ場合に、適切な処置を講じることができるよう
に、制御処理の実行に先だって、異常時対応処理を実行
可能とする以下に示すような方法を考えた。
【0010】その方法は、制御プログラム及び制御デー
タに、適合する制御対象を示す識別情報(以下「データ
適合対象識別情報」という。)を含めるようにし、この
識別情報を含む制御プログラム又は制御データを不揮発
性メモリに書き込むようにしておき、一方、電子制御装
置には、その電子制御装置の制御対象を示す識別情報
(以下「制御対象識別情報」という。)を記憶してお
き、制御処理の実行に先だって、制御対象識別情報と不
揮発性メモリに書き込まれた前記制御プログラム又は制
御データに含まれるデータ適合対象識別情報とが一致し
ているか否かを判断し、一致していない場合には例えば
外部に一致していない旨を報知するというような異常時
対応処理を実行するというものである。
【0011】この方法によれば、不揮発性メモリに記憶
された制御プログラム又は制御データを書き換えた場合
であっても、書き換えられた制御プログラム又は制御デ
ータが制御対象に不適合なものである場合には、制御処
理の実行に先だって、異常時対応処理が実行されること
になり、結果として、適切な処置を講じることができ
る。
【0012】
【発明が解決しようとする課題】しかしながら、上述し
た方法では、故障などによって電子制御装置が交換され
た場合には以下のような問題が発生する。電子制御装置
の故障時には、電子制御装置は補給用の電子制御装置と
取り替えられるのが一般的であり、メモリ書換装置を用
いて補給用の電子制御装置に制御プログラム又は制御デ
ータを新たに書き込むことになる。このとき、上述の方
法によって、書き込まれた制御プログラム又は制御デー
タが制御対象に適合したものであるか否かを判断するた
めには、補給用の電子制御装置に制御対象を示す制御対
象識別情報を予め書き込んでおく必要がある。つまり、
出荷当初から車両に搭載されない補給用の電子制御装置
を、上述したような車種の違いによって、また、グレー
ド、エンジンの型式、あるいは仕向地等の違いによって
区別する必要が出てくるのである。その結果、ある補給
用の電子制御装置は、型式Aのエンジンを制御するため
の電子制御装置とは交換できるが、型式Bのエンジンを
制御する電子制御装置とは交換できないという状況が発
生する。
【0013】また、補給用の電子制御装置に制御対象を
示す制御対象識別情報を予め書き込んでおいた場合、作
業者が、故障した電子制御装置の制御対象とは別の制御
対象を示す制御対象識別情報の記憶された補給用の電子
制御装置を誤って選択し交換してしまうことも考えられ
る。この場合、書き込まれた制御プログラム又は制御デ
ータが制御対象に適合するものであったとしても、その
制御プログラム又は制御データに含まれるデータ適合対
象識別情報が予め記憶された制御対象識別情報と一致し
ないため、例えば外部に一致していない旨を報知すると
いうような異常時対応処理が実行されてしまう。
【0014】このような点を考慮すれば、車両への搭載
以前に電子制御装置の制御対象を特定する制御対象識別
情報を記憶しておくことは好ましくない。そこで、本発
明は、制御対象に不適合な制御プログラムや制御データ
が不揮発性メモリに書き込まれた場合、制御処理の実行
に先だって異常時対応処理を実行可能で、かつ、例えば
車両等に搭載される以前には制御対象が特定されない電
子制御装置を提供することを目的とする。
【0015】
【課題を解決するための手段及び発明の効果】上述した
目的を達成するためになされた請求項1に記載の電子制
御装置は、データの書き換えが可能な不揮発性メモリを
備え、通常時には、不揮発性メモリに格納された制御プ
ログラム及び制御データに従って所定の制御対象を制御
するための制御処理を実行するのであるが、メモリ書換
装置が接続されて、そのメモリ書換装置から送信される
書き換え指令を受けた場合には、不揮発性メモリに格納
されている制御プログラム又は制御データの一部又は全
部を、その後メモリ書換装置から送信されて来る新たな
制御プログラム又は制御データに書き換える。なお、デ
ータの書き換えが可能な不揮発性メモリとしては、フラ
ッシュEEPROM(通称、フラッシュROM)あるい
はEEPROMが一般的であるが、電気的に書き換え可
能な他のROMでも良い。
【0016】本発明の電子制御装置では、制御プログラ
ム及び制御データが、当該制御プログラム及び制御デー
タに適合する制御対象を示す識別情報であるデータ適合
対象識別情報を含むように作成されている。例えば、制
御プログラム及び制御データの先頭位置に制御内容に関
係しないデータ適合対象識別情報が記憶されているとい
う具合である。
【0017】ここで特に、本発明の電子制御装置は、当
該電子制御装置の制御対象を示す制御対象識別情報を予
め記憶した外部装置と共に用いられる。ここで外部装置
としては、例えば電子制御装置が車両に搭載される場
合、その車両に共に搭載される装置であって、交換され
る可能性が比較的少ない装置であることが好ましい。例
えば、メモリ装置を内蔵し通信機能を備えたイグニッシ
ョンキーを外部装置として採用することが考えられる。
【0018】なお、上述した「制御対象」は、例えば型
式Aのエンジン、型式Bのエンジンというように、同じ
エンジンであっても制御プログラム又は制御データを異
にする対象をそれぞれ示すものである。そして、本発明
の電子制御装置においては、識別情報受信手段が、外部
装置から送信されてくる制御対象識別情報を受信し、一
致判断手段が、制御処理の実行に先だって、識別情報受
信手段によって受信された制御対象識別情報と制御プロ
グラム又は制御データに含まれるデータ適合対象識別情
報とが一致しているか否かを判断する。そして、異常時
処理実行手段が、この判断結果に基づいて両識別情報が
一致していない場合には異常時対応処理を実行する。
【0019】このように本発明の電子制御装置では、制
御処理の実行に先だって、制御プログラム及び制御デー
タに適合する制御対象を示す識別情報であるデータ適合
対象識別情報と電子制御装置の制御対象を示す識別情報
である制御対象識別情報とが一致しているか否かを判断
し、一致していない場合には異常時対応処理を実行す
る。従って、不揮発性メモリに書き込まれた制御プログ
ラム又は制御データが制御対象に適合していない場合に
は、制御処理の実行に先だって異常時対応処理が実行さ
れる。
【0020】このとき、判断基準となる制御対象識別情
報を信頼性の高いものとすることが必要である。従っ
て、例えば電子制御装置が車両に搭載される場合にあっ
ては、その車両の工場出荷時に予め記憶しておくことが
望ましい。ところが、電子制御装置に記憶すると、故障
時には、交換した電子制御装置に新たに制御対象識別情
報を書き込む必要が生じ、又は既に制御対象識別情報が
書き込んである電子制御装置に交換する必要が生じ、制
御対象識別情報の信頼性が低下してしまう。そこで、本
発明では、電子制御装置と共に例えば車両等に搭載され
る外部装置に制御対象識別情報を記憶しておくのであ
る。そして、外部装置から受信した制御対象識別情報を
用いてデータ適合対象識別情報との一致を判断するた
め、電子制御装置自体には予め制御対象識別情報を記憶
しておく必要がない。従って、例えば電子制御装置の故
障時に交換される補給用の電子制御装置にも予め制御対
象識別情報を記憶しておく必要がないのである。すなわ
ち、車両等に搭載される以前に電子制御装置の制御対象
は特定されないことになる。結果として、例えば補給用
の電子制御装置を、車種、グレード、エンジンの型式、
仕向地等により異なる制御対象によって区別することな
く共通化することができる。
【0021】なお、上述した異常時処理実行手段によっ
て実行される異常時対応処理は、例えば、制御プログラ
ムや制御データが制御対象に適合していない旨を報知す
る処理であることが考えられる。この場合、作業者は、
書き換えた制御プログラム又は制御データが電子制御装
置の制御対象に適合していないことを、電子制御装置の
報知動作によって確実に知ることができ、適切な処置を
講じることができる。適切な処置としては、例えばメモ
り書換装置を用いて再度制御プログラム又は制御データ
の書き換えを行う処置が挙げられる。
【0022】また、異常時処理実行手段によって実行さ
れる異常時対応処理は、制御処理への移行を許可しない
処理であることも考えられる。この場合、制御対象に不
適合な制御プログラム又は制御データに基づいて制御処
理が実行され、制御対象に何らかの悪影響が出ることを
防止できる。
【0023】異常時処理実行手段によって実行される異
常時対応処理は、上述した処理に限られるわけではな
く、その制御対象に合わせた個別の処理であることも考
えられる。例えば制御対象がエンジンである場合、エン
ジンへの燃料カットを行いエンジンの運転を停止させる
処理とすることが考えられる。この場合、利用者は、不
適合な制御プログラムに基づくエンジン制御がなされた
状態で車両を運転することがなくなるため、利用者の安
全性を向上させることができる。
【0024】ところで、請求項1に記載の電子制御装置
では、外部装置から送信される制御対象識別情報を用い
て一致判断するよう構成されていた。それは、上述した
ように、外部装置に予め記憶される制御対象識別情報
が、電子制御装置の交換の有無によらず信頼性の高いも
のだからである。ところで、外部装置と同様に、電子制
御装置にも例えば工場出荷時等に予め制御対象識別情報
を記憶しておけば、電子制御装置が交換されないうち
は、その電子制御装置に記憶された制御対象識別情報は
信頼性の高いものとなる。そこで、請求項4に示すよう
に、さらに、制御対象識別情報を記憶する識別情報記憶
手段を備え、一致判断手段は、識別情報記憶手段から制
御対象識別情報が読み出せる場合には、識別情報記憶手
段に記憶された制御対象識別情報を用いてデータ適合対
象識別情報との一致判断をし、一方、識別情報記憶手段
から制御対象識別情報が読み出せない場合には、識別情
報受信手段によって受信された制御対象識別情報を用い
てデータ適合対象識別情報との一致判断をするよう構成
してもよい。
【0025】ここで識別対象記憶手段から制御対象識別
情報が読み出せる場合は、電子制御装置が交換されてい
ない場合であり、一方、識別情報記憶手段から制御対象
識別情報が読み出せない場合は、何らかの要因で読み出
しエラーとなってしまう場合や電子制御装置の故障によ
って電子制御装置が交換されてしまった場合である。
【0026】このように識別情報記憶手段に制御対象識
別情報を記憶しておき、識別情報記憶手段に記憶された
制御対象識別情報を用いて一致判断をするようにすれ
ば、外部装置とのデータ通信によって制御対象識別情報
を取得する場合に比べて、その取得時間が短縮され、ま
た、ノイズ等の影響を受けにくくなる点で有利である。
【0027】ところで、請求項4に記載の電子制御装置
においては、外部装置が制御対象識別情報を送信してく
ると、識別情報受信手段がその制御対象識別情報を受信
する構成であった。この場合、電子制御装置が、制御対
象識別情報を必要とするか否かに拘わらず、外部装置が
制御対象識別情報を送信することが考えられる。このと
き、外部装置から頻繁に制御対象識別情報が送信される
場合には無駄な送受信が多くなってしまう。
【0028】そこで、請求項5に示すように、さらに、
識別情報記憶手段から制御対象識別情報が読み出せない
場合には、外部装置に対して制御対象識別情報の送信を
要求する識別情報要求手段を備える構成とするとよい。
この場合、制御対象識別情報が読み出せない場合、識別
情報要求手段が、外部装置に対して制御対象識別情報の
送信を要求し、この送信要求に対して、外部装置から制
御対象識別情報が送信されてくると、上述した識別情報
受信手段が制御対象識別情報を受信する。従って、電子
制御装置が必要とする場合に制御対象識別情報を受信で
きる可能性が高くなる。
【0029】なお、例えば補給用の電子制御装置にあっ
ては、識別情報記憶手段に制御対象識別情報が記憶され
ていないため、制御処理の実行に先だって、毎回、外部
装置から受信した制御対象識別情報を用いて一致判断を
行うことが必要となる。そこで、識別情報受信手段によ
って受信された制御対象識別情報を識別情報記憶手段に
記憶するよう構成することが望ましい。これによって、
外部装置から制御対象識別情報を一度受信すれば、識別
情報記憶手段から制御対象識別情報が読み出せるため、
外部装置からの制御対象識別情報を受信しなくてよくな
る。
【0030】ところで、電子制御装置の不揮発性メモリ
に記憶された制御プログラム又は制御データは、上述し
たように作業ミスで誤って書き換えられる場合も考えら
れるが、利用者が制御プログラム又は制御データの定数
等を故意に書き換える場合も考えられる。例えば、エン
ジンを制御する電子制御装置では、車速の上限値を予め
設定しておき、車速がその上限値を越えた場合には、燃
料をカットするというような制御を行うのが一般的であ
るが、このとき、利用者が、予め設定された車速の上限
値を故意に書き換えることが考えられる。
【0031】このような利用者による不正な制御プログ
ラム又は制御データの書き換えを防止するために、デー
タ適合対象識別情報は、制御プログラム及び制御データ
を構成するコードから唯一決定されるものとするとよ
い。ここで制御プログラム及び制御データを構成するコ
ードから唯一決定されるものは、例えばチェックサムが
挙げられる。つまり、制御プログラム又は制御データの
一部を変更しただけでも値が変わってくるような情報を
データ適合対象識別情報としておくのである。例えば、
データ適合対象識別情報を制御プログラム又は制御デー
タのチェックサムとしておけば、一部のコードが不正に
書き換えられた場合にもデータ対象識別情報が変わるた
めに不一致判断がなされ、制御の実行に先だって所定処
理が実行される。その結果、上述したように利用者が故
意に制御プログラム又は制御データの書き換えを行うこ
とを防止することができる。
【0032】なお、この場合、正規に制御プログラム又
は制御データを書き換える場合には、新たな制御プログ
ラム及び制御データのチェックサムが、書き換え前の制
御プログラム及び制御データのチェックサムと一致する
ように制御処理の実行に影響しないダミーコードを含め
て制御プログラム又は制御データを作成すればよい。
【0033】
【発明の実施の形態】以下、本発明を具体化した一実施
形態を図面を参照して説明する。図1は、本発明を適用
した電子制御装置(以下「ECU」という。)1の電気
的な構成を示すブロック図である。図1には、ECU1
と、このECU1と共に車両に搭載される「外部装置」
としてのイグニッションキー部2と、ECU1に接続さ
れたメモリ書換装置80とが示されている。ここで、E
CU1は、自動車に搭載されて内燃機関型エンジンの制
御を行う。メモリ書換装置80は、ECU1に内蔵され
たエンジン制御用のプログラムやデータを書き換える際
にECU1に接続される。
【0034】図1に示すように、ECU1は、エンジン
の運転状態に応じた信号を出力する種々のセンサからの
信号を入力する入力回路30と、入力回路30からの信
号に基づきエンジンに対する最適制御量を演算し、その
演算結果に基づき制御信号を出力するCPU10と、C
PU10からの制御信号を受けて、エンジンに取付けら
れたインジェクタやイグナイタ等のアクチュエータを駆
動する出力回路40と、CPU10が制御を行うのに必
要なデータを格納するEEPROM20と、メモリ書換
装置80及びイグニッションキー部2との間でシリアル
データ通信を行うための入出力ポート50とを備えてい
る。この入出力ポート50には、ECU1からの信号を
受けて点灯するワーニングランプ99が接続されてい
る。ワーニングランプ99は、例えば車室内のインスト
メントパネルに設けることが考えられる。さらに、CP
U10は、エンジンを制御するのに必要な制御プログラ
ム及び制御データを格納するフラッシュEEPROM
(以下「フラッシュROM」という。)11と、バッテ
リからの電源供給によって、車両のイグニッションスイ
ッチのオフ時にも、格納されたデータを保持可能なスタ
ンバイRAM12とを内蔵している。
【0035】ここで、CPU10の内蔵するフラッシュ
ROM11は、電気的にデータの消去及び書き込みが可
能な不揮発性メモリであり、このフラッシュROM11
には、エンジン制御用の制御プログラム及び制御データ
が、既に格納されている。そして、図2に示すように、
フラッシュROM11に格納された制御プログラム及び
制御データは、コード(プログラムコード、データコー
ド)で構成される。このコードには、制御に影響しない
ダミーコードが含まれており、制御プログラム及び制御
データを作成する際、このダミーコードを調整すること
によって、コードのチェックサムが、当該制御プログラ
ム及び制御データに適合するエンジンの型式を示す識別
コードとなるようにしている。なお、この識別コード
が、制御プログラム及び制御データに適合する制御対象
を示す識別情報である「データ適合対象識別情報」に相
当する。
【0036】また、EEPROM20も、電気的にデー
タの消去及び書き込みが可能な不揮発性メモリである。
このEEPROM20及びCPU10の内蔵するスタン
バイRAM12には、ECU1が制御するエンジンの型
式を示す識別コードが記憶されている。本実施形態で
は、このようにスタンバイRAM12及びEEPROM
20の両方に識別コードを記憶しておき、スタンバイR
AM12をアクセスして識別コードを読み出し、スタン
バイRAM12に記憶された識別コードが消失した場合
に、EEPROM20をアクセスし、EEPROM20
に記憶された識別コードをスタンバイRAM12にコピ
ーする。なお、この識別コードが、ECU1の制御対象
を示す識別情報である「制御対象識別情報」に相当す
る。そして、この識別コードを記憶するスタンバイRA
M12及びEEPROM20が「識別情報記憶手段」に
相当する。
【0037】以下、上述した両識別コードを区別するた
めに、制御プログラム及び制御データに適合するエンジ
ンの型式を示す識別コードをA識別コードと記述し、E
CU1の制御対象を示す識別コードをB識別コードと記
述することとする。なお、本実施形態では、識別コード
は、型式の異なるエンジンを区別するように設定される
ものであるが、車種名や車のグレード名、あるいは車の
仕向地等を区別するように設定されるものであってもよ
い。
【0038】メモリ書換装置80は、ECU1にフラッ
シュROM11の書き換えを行わせるためのものであ
り、フラッシュROM11に書き込むために用意される
新たな制御プログラム及び制御データを、フロッピーデ
ィスク,ハードディスク,CD−ROM,メモリカート
リッジ等に記憶している。メモリ書換装置80は、作業
者によって所定の操作が行われると、電子制御装置へ書
き換え指令を送信した後、上述した記憶媒体に記憶され
ている新たな制御プログラムや制御データをECU1へ
送信する。ECU1は、メモリ書換装置80からの書き
換え指令に対し、後述するように、フラッシュROM1
1の内容を書き換えるように動作する。
【0039】ここで、CPU10のフラッシュROM1
1に既に格納された制御プログラム及び制御データと全
く同様に、メモリ書換装置80に記憶される新たな制御
プログラム及び制御データも、図2に示すように、制御
プログラム及び制御データを構成するコードのチェック
サムが、当該制御プログラム及び制御データに適合する
エンジンの型式を示すA識別コードとなっている。
【0040】そして、このようなメモリ書換装置80と
ECU1との接続は、接続用コネクタ91を介して、互
いの通信ライン92がそれぞれ接続されることにより行
われる。すなわち、接続用コネクタ91が嵌合される
と、通信ライン92を介して、メモリ書換装置80とE
CU1との間における双方向のシリアル通信が可能とな
る。
【0041】また、イグニッションキー部2は、イグニ
ッションキー60と、このイグニッションキー60を挿
入して車両のイグニッションスイッチをオン/オフする
ためのキーシリンダ70とから構成されている。本実施
形態におけるキーシリンダ70は通信用の電子制御装置
(以下「通信用ECU」という。)71を備えており、
この通信用ECU71は、図1に示すようにECU1の
入出力ポート50に通信ライン93を介して接続され、
ECU1との間で双方向のシリアル通信を行うように構
成されている。イグニッションキー60には、ROM6
1が搭載されている。このROM61には、上述したE
CU1のCPU10が内蔵するスタンバイRAM12及
びEEPROM20と全く同様に、ECU1の制御する
エンジンの型式を示すB識別コードが記憶されている。
上述したキーシリンダ70の通信用ECU71は、さら
に、イグニッションキー60との間で無線による通信を
行う構成となっており、ECU1のCPU10から送信
要求があると、イグニッションキー60のROM61に
記憶したデータを読み出してECU1へ送信するよう構
成されている。なお、イグニッションキー部2とECU
1とのデータ通信の構成は公知であるため詳しい構成の
説明は省略する。
【0042】このように構成されたECU1のCPU1
0は、車両のイグニッションスイッチがオンされて、E
CU1内の電源回路(図示省略)から動作電圧(5V)
が供給されると、リセット状態から動作を開始する。動
作を開始した際にメモリ書換装置80からの書き換え指
令としての書換要求信号を受信すると、フラッシュRO
M11内の制御プログラムをコールすることなく、フラ
ッシュROM11に格納されている現在の制御プログラ
ム及び制御データを、その後メモリ書換装置80から送
信されて来る新たな制御プログラム及び制御データに書
き換える。このような動作によって、ECU1のフラッ
シュROM11に格納される制御プログラム及び制御デ
ータは、メモリ書換装置80に記憶された新たな制御プ
ログラム及び制御データに書き換えられる。
【0043】また、CPU10は、メモリ書換装置80
が接続されていない通常時にあっては、フラッシュRO
M11内の制御プログラムをコールして、エンジンの制
御を行うのであるが、この制御プログラムの最初の処理
において、すなわちフラッシュROM11内の制御プロ
グラム及び制御データに基づくエンジンの制御処理の実
行に先だって、フラッシュROM11内の制御プログラ
ム及び制御データがエンジンの型式に適合しているか否
かを判断し、適合していない場合には異常時対応処理を
実行する。
【0044】そこで次に、図3、図4及び図5に示すフ
ローチャートに基づいて、ECU1のCPU10にて、
エンジンの制御処理に先だって実行される処理を説明す
る。図3はECU1のCPU10にて実行される送信要
求処理を示すフローチャートである。この処理は、制御
プログラムをコールした直後に実行されるものである。
【0045】まず最初のステップS100において、B
識別コードが「0」であるか否かを判断する。この処理
は、スタンバイROM12及びEEPROM20の両方
にB識別コードが記憶されていない場合、あるいは、ス
タンバイRAM12の故障などによってB識別コードが
読み出せない場合を判断するものである。ここでB識別
コード=0である場合(S100:YES)、S110
へ移行する。一方、B識別コード≠0である場合(S1
00:NO)、本送信要求処理を終了する。
【0046】S110では、イグニッションキー部2の
キーシリンダ70の備える通信用ECU71へB識別コ
ードの送信を要求する。その後、本送信要求処理を終了
する。通信用ECU71へB識別コードの送信を要求す
ると、通信用ECU71は、イグニッションキー60と
の間で無線による通信を行うことによってイグニッショ
ンキー60のROM61に記憶されているB識別コード
を取得し、このB識別コードをECU1へ送信する。
【0047】続いて図4に示すフローチャートに基づ
き、ECU1のCPU10にて実行される受信処理を説
明する。この受信処理は、上述したように図3中のS1
10にてキーシリンダ70の備える通信用ECU71に
対してB識別コードの送信を要求した結果、通信用EC
U71から送信されてくるB識別コードを受信するもの
である。
【0048】まず最初のステップS200において、E
CU1の入出力ポート50に入力される通信用ECU7
1からの信号がスタートビットであるか否かを判断す
る。この処理は、通信ライン93を介して送信されるB
識別コードの受信開始を判断するものである。ここでス
タートビットであると判断された場合(S200:YE
S)、S210へ移行する。一方、スタートビットでな
いと判断された場合(S200:NO)、スタートビッ
トが判断されるまで、S200の判断処理を繰り返す。
【0049】S210では、受信信号を記憶する。そし
て、続くS220では、ストップビットであるか否かを
判断する。この処理は、通信ライン93を介して送信さ
れるB識別コードの受信終了を判断するものである。こ
こでストップビットであると判断された場合(S22
0:YES)、S230にて、記憶した一連の受信信号
をB識別コードとしてスタンバイRAM12及びEEP
ROM20に記憶し、その後、本受信処理を終了する。
一方、ストップビットでないと判断された場合(S22
0:NO)、受信が完了していないため、上述のS21
0からの処理を繰り返す。
【0050】さらに続けて、図5に示すフローチャート
に基づき、ECU1のCPU10にて実行される一致判
断処理を説明する。この一致判断処理は、上述した受信
処理に続いて、又は、送信要求処理において送信要求が
なされなかった場合には送信要求処理に続いて実行され
るものである。
【0051】まず最初のステップS300において、チ
ェックフラグXCが「1」であるか否かを判断する。チ
ェックフラグXCは、「0」又は「1」のいずれかの値
を取るフラグであり、車両のイグニッションスイッチが
オンされた直後は「0」となっている。ここでXC=1
であると判断された場合(S300:YES)、本一致
判断処理を終了する。一方、XC=0であると判断され
た場合(S300:NO)、S310へ移行する。
【0052】S310では、エンジン回転数NE=0
で、かつ、スタータSTA=OFFであるか否かを判断
する。この処理は、入力回路30を介して入力されるセ
ンサからの信号に基づく判断処理であり、ノイズの少な
い状態であるか否かを判断するものである。ここでNE
=0かつSTA=OFFである場合(S310:YE
S)、S320へ移行する。一方、NE≠0またはST
A=ONである場合(S320:NO)、本一致判断処
理を終了する。
【0053】S320では、A識別コードを作成する。
上述したように、A識別コードは、制御プログラム及び
制御データの適合するエンジンの型式を示す識別コード
であり、制御プログラム及び制御データを構成するコー
ドのチェックサムである。従って、この処理は、CPU
10に内蔵されたフラッシュROM11に記憶されてい
る制御プログラム及び制御データからチェックサムを作
成するものである。
【0054】続くS330では、A識別コードとB識別
コードとが一致しているか否かを判断する。つまり、C
PU10の内蔵するフラッシュROM11に記憶された
制御プログラム及び制御データに適合するエンジンの型
式と、ECU1の制御対象であるエンジンの型式と同一
であるか否かを判断するのである。ここで、A識別コー
ド=B識別コードである場合(S330:YES)、S
350にてチェックフラグXCに「1」を代入し、その
後、本一致判断処理を終了する。一方、A識別コード≠
B識別コードである場合(S330:NO)、S340
にて入出力ポート50に接続されたワーニングランプ9
9を点灯し、その後、本一致判断処理を終了する。
【0055】本一致判断処理終了後、制御プログラム及
び制御データに基づきエンジンの制御を行うための制御
処理が実行される。なお、以上説明した処理を実行する
ECU1のCPU10が、「識別情報要求手段」、「識
別情報受信手段」、「一致判断手段」及び「異常時処理
実行手段」に相当し、図3中のS100及びS110の
処理が識別情報要求手段としての処理に相当し、図4中
のS200〜S220の処理が識別情報受信手段として
の処理に相当し、図5中のS330の処理が一致判断手
段としての処理に相当し、図5中のS340の処理が異
常時処理実行手段としての処理に相当する。
【0056】次に本実施形態のECU1の発揮する効果
を説明する。本実施形態のECU1では、制御プログラ
ム及び制御データを構成するコードのチェックサムがそ
の制御プログラム及び制御データに適合するエンジンの
型式を示すA識別コードとなっており(図2参照)、制
御プログラム及び制御データに基づく制御処理の実行に
先だって、その制御プログラム及び制御データからA識
別コードを作成し(図5中のS320)、作成したA識
別コードとECU1の制御対象であるエンジンの型式を
示すB識別コードとが一致しているか否かを判断し(図
5中のS330)、一致していない場合には(図5中の
S330:NO)、ワーニングランプ99を点灯する
(図5中のS340)。従って、本実施形態のECU1
によれば、メモリ書換装置80によって書き換えを行う
作業者は、CPU10に内蔵されたフラッシュROM1
1に書き込んだ制御プログラム又は制御データがエンジ
ンの型式に適合していないことを、ワーニングランプ9
9の点灯によって確実に知ることができ、適切な処置を
講じることができる。例えばメモり書換装置80を用い
て再度制御プログラム又は制御データの書き換えを行う
という具合である。
【0057】また、本実施形態では、ECU1の制御す
るエンジンの型式を示すB識別コードをECU1内のス
タンバイRAM12及びEEPROM20に記憶してお
くと共に、イグニッションキー60のROM61にも予
め記憶しておく。そして、スタンバイRAM12からB
識別コードが読み出せない場合には(図3中のS10
0:YES)、イグニッションキー60のROM61に
記憶されているB識別コードを用いて上述した一致判断
を行う。その結果、ECU1内のスタンバイRAM12
及びEEPROM20にB識別コードが記憶されていな
くても、CPU10に内蔵されたフラッシュROM11
に書き込んだ制御プログラム又は制御データがエンジン
の型式に適合していないことを判断でき、ワーニングラ
ンプ99を点灯させることができる。従って、ECU1
の故障時に交換される補給用のECU1のスタンバイR
AM12及びEEPROM20にB識別コードを予め記
憶しておく必要がない。すなわち、車両に搭載される以
前にECU1の制御するエンジンの型式は特定されない
ことになる。これによって、補給用のECU1をエンジ
ンの型式によって区別することなく共通化することがで
きる。
【0058】一方、スタンバイRAM12からB識別コ
ードが読み出せる場合には(図3中のS100:N
O)、スタンバイRAM12に記憶されたB識別コード
を用いて上述した一致判断を行う。つまり、原則として
は、ECU1内にB識別コードを記憶しておき、このE
CU1内のB識別コードを一致判断に用いるのである。
その結果、相対的に取得に時間がかかり、ノイズの影響
を受け易いイグニッションキー部2からのB識別コード
の取得回数を減少させることができる。さらにまた、本
実施形態のECU1では、スタンバイRAM12からB
識別コードが読み出せない場合に(図3中のS10
0)、イグニッションキー部2のキーシリンダ70の備
える通信用ECU71へ送信要求を行い(図3中のS1
10)、この送信要求に対応してイグニッションキー部
2から送信されてくるB識別コードを受信する(図4中
のS200,S210,S220)。つまり、通信用E
CU71は、ECU1からの送信要求があった場合にだ
けB識別コードを送信し、ECU1は、B識別コードの
送信を要求したときだけ受信処理を実行する。また、E
CU1では、受信したB識別情報をECU1内のCPU
10に内蔵されるスタンバイRAM12及びEEPRO
M20に記憶する(図4中のS230)。従って、例え
ばECU1の交換後であるため、スタンバイRAM12
及びEEPROM20にB識別コードが記憶されていな
い場合、一度イグニッションキー部2からのB識別コー
ドを受信した後は、ECU1内のスタンバイRAM12
及びEEPROM20に記憶されたB識別コードを用い
て一致判断をすることになる。このように本実施形態の
ECU1では、送受信処理を減少させることができる。
【0059】また、本実施形態においては、制御プログ
ラム及び制御データに適合するエンジンの型式を示すA
識別情報を、その制御プログラム及び制御データを構成
するコードのチェックサムとしている。そのため、制御
プログラム及び制御データの一部を不正に書き換えた場
合、チェックサム、すなわちA識別コードが変更される
ことになる。従って、利用者が故意に制御プログラム又
は制御データを書き換えることを防止することができ
る。なお、制御プログラム及び制御データを構成するコ
ードには、図2に示したように制御処理の実行に影響し
ないダミーコードが含まれている。従って、正規に制御
プログラム又は制御データを作成する場合には、このダ
ミーコードを調節することによって、新たな制御プログ
ラム及び制御データのチェックサムを、書き換え前の制
御プログラム及び制御データのチェックサムと一致させ
る。
【0060】さらにまた、本実施形態のECU1では、
CPU10の内蔵するスタンバイRAM12及びEEP
ROM20の両方にB識別コードを記憶しておき、スタ
ンバイRAM12をアクセスするようにしており、スタ
ンバイRAM12に記憶されたB識別コードが消失した
場合に、EEPROM20に記憶されたB識別コードを
コピーするようにしている。これによって、アクセス回
数に限界があるEEPROM20へのアクセス回数を減
らすことができる。
【0061】以上、本発明はこのような実施形態に何等
限定されるものではなく、本発明の主旨を逸脱しない範
囲において種々なる形態で実施し得る。例えば、上記実
施形態においては、ECU1は、CPU10に内蔵され
たフラッシュROM11に書き込まれた制御プログラム
及び制御データが制御対象のエンジンの型式に適合して
いないことを判断した場合、入出力ポート50を介して
ワーニングランプ99を点灯させ、その後、制御処理に
移行させるようにしていた。これに対して、制御プログ
ラム及び制御データが制御対象のエンジンの型式に適合
していない場合、上述した一致判断処理終了後に制御処
理に移行させないようにすることも考えられる。この場
合、制御対象に不適合な制御プログラム又は制御データ
に基づいて制御処理を実行することによって制御対象に
何らかの悪影響が出ることを防止できる。また、上記実
施形態のようにエンジンを制御対象としている場合、エ
ンジンへの燃料供給をカットする処理を実行するように
してもよい。この場合、利用者は、不適合な制御プログ
ラムに基づくエンジン制御がなされた状態で車両を運転
することがなくなるため、利用者の安全性を向上させる
ことができる。
【図面の簡単な説明】
【図1】実施形態のECUの電気的な構成を示すブロッ
ク図である。
【図2】制御プログラム及び制御データの構成を示す説
明図である。
【図3】実施形態のECUにて実行される送信要求処理
を示すフローチャートである。
【図4】実施形態のECUにて実行される受信処理を示
すフローチャートである。
【図5】実施形態のECUにて実行される一致判断処理
を示すフローチャートである。
【符号の説明】
1…ECU 10…CPU 11…フラッ
シュROM 12…スタンバイRAM 20…EEP
ROM 30…入力回路 40…出力回
路 50…入出力ポート 2…イグニッションキー部 60…イグニッションキー 61…ROM 70…キーシリンダ 71…通信用
ECU 80…メモリ書換装置 91…接続用
コネクタ 92,93…通信ライン 99…ワーニ
ングランプ
───────────────────────────────────────────────────── フロントページの続き (72)発明者 小沼 良男 愛知県刈谷市昭和町1丁目1番地 株式会 社デンソー内 (72)発明者 藤永 輝光 愛知県刈谷市昭和町1丁目1番地 株式会 社デンソー内

Claims (7)

    【特許請求の範囲】
  1. 【請求項1】 データの書き換えが可能な不揮発性メモ
    リを備え、通常時には、前記不揮発性メモリに格納され
    た制御プログラム及び制御データに従って所定の制御対
    象を制御するための制御処理を実行し、外部からの書き
    換え指令を受けた場合には、前記不揮発性メモリに格納
    されている制御プログラム又は制御データの一部又は全
    部を、外部から送信されて来る新たな制御プログラム又
    は制御データに書き換えるよう構成された電子制御装置
    において、 前記制御プログラム及び制御データは、当該制御プログ
    ラム及び制御データに適合する制御対象を示す識別情報
    であるデータ適合対象識別情報を含むよう作成されてお
    り、 前記電子制御装置の制御対象を示す識別情報である制御
    対象識別情報を予め記憶した外部装置と共に用いられ、 前記外部装置から送信されてくる前記制御対象識別情報
    を受信する識別情報受信手段と、 前記制御処理の実行に先だって、前記識別情報受信手段
    によって受信された制御対象識別情報と前記制御プログ
    ラム又は制御データに含まれたデータ適合対象識別情報
    とが一致しているか否かを判断する一致判断手段と、 該一致判断手段によって前記両識別情報が一致していな
    いと判断された場合には異常時対応処理を実行する異常
    時処理実行手段とを備えたことを特徴とする電子制御装
    置。
  2. 【請求項2】 請求項1に記載の電子制御装置におい
    て、 前記異常時処理実行手段によって実行される異常時対応
    処理は、前記制御プログラム又は制御データが前記所定
    の制御対象に適合していない旨を報知する処理であるこ
    とを特徴とする電子制御装置。
  3. 【請求項3】 請求項1又は2に記載の電子制御装置に
    おいて、 前記異常時処理実行手段によって実行される異常時対応
    処理は、前記制御処理への移行を許可しない処理である
    ことを特徴とする電子制御装置。
  4. 【請求項4】 請求項1〜3のいずれかに記載の電子制
    御装置において、 さらに、前記制御対象識別情報を記憶する識別情報記憶
    手段を備え、 前記一致判断手段は、前記識別情報記憶手段から制御対
    象識別情報が読み出せる場合には、前記識別情報記憶手
    段に記憶された制御対象識別情報を用いて前記データ適
    合対象識別情報との一致判断を行い、一方、前記識別情
    報記憶手段から制御対象識別情報が読み出せない場合に
    は、前記識別情報受信手段によって受信された制御対象
    識別情報を用いて前記データ適合対象識別情報との一致
    判断を行うよう構成されていることを特徴とする電子制
    御装置。
  5. 【請求項5】 請求項4に記載の電子制御装置におい
    て、 さらに、前記識別情報記憶手段から制御対象識別情報が
    読み出せない場合には、前記外部装置に前記制御対象識
    別情報の送信を要求する識別情報要求手段を備えたこと
    を特徴とする電子制御装置。
  6. 【請求項6】 請求項4又は5に記載の電子制御装置に
    おいて、 前記識別情報受信手段によって受信された制御対象識別
    情報を前記識別情報記憶手段に記憶するよう構成されて
    いることを特徴とする電子制御装置。
  7. 【請求項7】 請求項1〜6のいずれかに記載の電子制
    御装置において、 前記データ適合対象識別情報を、前記制御プログラム及
    び制御データを構成するコードから唯一決定されるもの
    としたことを特徴とする電子制御装置。
JP6705898A 1998-03-17 1998-03-17 電子制御装置 Pending JPH11257151A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP6705898A JPH11257151A (ja) 1998-03-17 1998-03-17 電子制御装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP6705898A JPH11257151A (ja) 1998-03-17 1998-03-17 電子制御装置

Publications (1)

Publication Number Publication Date
JPH11257151A true JPH11257151A (ja) 1999-09-21

Family

ID=13333872

Family Applications (1)

Application Number Title Priority Date Filing Date
JP6705898A Pending JPH11257151A (ja) 1998-03-17 1998-03-17 電子制御装置

Country Status (1)

Country Link
JP (1) JPH11257151A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006505841A (ja) * 2002-11-07 2006-02-16 ローベルト ボッシュ ゲゼルシャフト ミット ベシュレンクテル ハフツング 制御装置内のマイクロコントローラのメモリ領域を確実に検査する方法および保護されたマイクロコントローラを有する制御装置
JP2006178859A (ja) * 2004-12-24 2006-07-06 Denso Corp 制御装置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006505841A (ja) * 2002-11-07 2006-02-16 ローベルト ボッシュ ゲゼルシャフト ミット ベシュレンクテル ハフツング 制御装置内のマイクロコントローラのメモリ領域を確実に検査する方法および保護されたマイクロコントローラを有する制御装置
JP2006178859A (ja) * 2004-12-24 2006-07-06 Denso Corp 制御装置

Similar Documents

Publication Publication Date Title
US6275911B1 (en) Memory writing device for an electronic device
US8565962B2 (en) Rewriting system for a vehicle
US20030188303A1 (en) Method and apparatus for reprogramming engine controllers
US6401163B1 (en) Apparatus and method for rewriting data from volatile memory to nonvolatile memory
JP4539757B2 (ja) 電子制御装置
US20070005204A1 (en) Vehicle-mounted data rewriting control system
JP2003256228A (ja) プログラム書換装置
US9080530B2 (en) Electronic control apparatus and vehicle control system
JP4302113B2 (ja) 車載制御装置
JP4552982B2 (ja) 電子制御装置
CN110809755A (zh) 电子控制系统
JPH11238005A (ja) 電子制御装置及び制御システム
JP2006323776A (ja) 情報処理装置
JP2008254484A (ja) 車載用通信システム
JP3870563B2 (ja) 電子制御装置及び不揮発性メモリの書き換え回数計数方法
JP4066499B2 (ja) 電子制御装置,電子制御システムおよび適合判断方法
JP4475345B2 (ja) 電子制御装置
JP2002323902A (ja) 電子制御装置
JPH11257151A (ja) 電子制御装置
US11169828B2 (en) Electronic control unit and method for verifying control program
JP2005338955A (ja) 電子制御装置
JP2009026183A (ja) 自動車用電子制御装置
JPH09171459A (ja) 電子制御装置
JP2003276528A (ja) 車両用電子制御装置
JP2002323990A (ja) 電子制御装置及び不揮発性メモリの初期化方法