-
Diese
Erfindung betrifft ein elektronisches Steuerinformations-Umschreibesystem,
das einen nichtflüchtigen
Speicher aufweist, mit welchem ein elektrisches Umschreiben von
Daten möglich
ist, und betrifft insbesondere eine Technologie zum Verhindern des
unzulässigen
Umschreibens einer Steuerinformation, wie zum Beispiel von Fahrzeugsteuerprogrammen
oder Steuerdaten, die in dem nichtflüchtigen Speicher gespeichert
sind.
-
In
elektronischen Steuereinheiten (ECUs) zum Steuern von Fahrzeugmotoren
oder dergleichen ist eine Steuerinformation in einem nichtflüchtigen Speicher
gespeichert, mit welchem ein elektrisches Umschreiben von Daten
möglich
ist. Die Steuerinformation beinhaltet Programme und Daten und ist
auch nach Herstellung auf dem Markt umschreibbar.
-
Zum
Beispiel ist diese Art einer ECU aufgebaut, wie es in 9 gezeigt ist. Eine Umschreibevorrichtung 200 ist über einen
Fahrzeugdiagnoseverbinder 120 mit einem Fahrzeug 100 verbunden.
Eine Mehrzahl von ECUs 101, 102, 103 und 104 ist
in das Fahrzeug 100 eingebaut, und die ECUs 101 bis 104 sind
mit einer Netzleitung 110 verbunden. Die Umschreibevorrichtung 200 führt eine
Datenkommunikation mit einer der vier ECUs 101 bis 104 durch
Senden jedes ECU-Codes auf der Grundlage einer Manipulation eines
Bedieners durch.
-
In
diesem System wählt
die Umschreibevorrichtung 200, wie es in 10 gezeigt ist, zum Beispiel die ECU 101 aus,
auf welcher ein Umschreiben einer Steuerinformation auszuführen ist,
und sendet eine Umschreibeanforderung (b1). Die Auswahl der ECU 101 wird
durch Senden eines ECU-Codes ausgeführt. Dieser ECU-Code wird durch
einen Bediener in die Umschreibevorrichtung 200 eingegeben.
Wenn dies getan ist, erzeugt die ausgewählte ECU 101 eine Zufallszahl
r (b2) und sendet diese Zufallszahl r zu der Umschreibevorrichtung 200 (b3).
-
Eine
Funktion f wird vorab in der Umschreibevorrichtung 200 gespeichert,
und diese berechnet einen Funktionswert f(r) bezüglich der gesendeten Zufallszahl
r (b4). Dann sendet sie diese berechnete Funktion f(r) (b5). In
der ECU 101 wird andererseits vorab eine Funktion F gespeichert
und wird ein Funktionswert F(f(r)) bezüglich des gesendeten Funktionswert
f(r) berechnet (b6). Dann sendet sie, wenn der berechnete F(f(r))
der Zufallszahl r entspricht, das heißt wenn f = F–1,
ein Erlaubnissignal, das ein Umschreiben zuläßt (b7).
-
Die
vorhergehende Verarbeitung ist für
die ECU 101, um zu bestimmen, daß die Umschreibevorrichtung 200 berechtigt
bzw. legitimiert ist, wenn die Umschreibevorrichtung 200 die
Umkehrfunktion f der Funktion F aufweist, die von der ECU 101 gespeichert
ist.
-
Die
Umschreibevorrichtung 200 sendet Änderungsdaten, wenn sie das
von der ECU 101 gesendete Erlaubnissignal empfängt (b8).
Die ECU 101 führt
ein Umschreiben einer Steuerinformation auf der Grundlage dieser Änderungsdaten
aus (b10). Wenn das Umschreiben einer Steuerinformation normal endet,
meldet die ECU eine normale Beendigung (b11), und die Umschreibevorrichtung
empfängt
die Meldung (b12) und eine Kette einer Umschreibeverarbeitung endet.
-
In
der vorstehenden Umschreibeverarbeitung bestimmt jede ECU durch
eine Kommunikationsverarbeitung (b1 bis b7) unter Verwendung der Funktion
f, welche eine Information innerhalb der Umschreibevorrichtung 200 ist,
die Berechtigung der Umschreibevorrichtung 200. Als Ergebnis
kann ein unberechtigtes Umschreiben einer Steuerinformation nicht
verhindert werden, wenn die Umschreibevorrichtung 200 selbst
gestohlen wird oder eine Information innerhalb der Umschreibevorrichtung 200 gestohlen
wird. Insbesondere ist zum Beispiel an einer Arbeitsstelle, wie
zum Beispiel einem Autohändler, die
Möglichkeit
des vorgenannten Diebstahls verhältnismäßig hoch,
da die Umschreibevorrichtung 200 vorgesehen ist.
-
Die
US-A-5 473 540 zeigt ein Beispiel eines Steuerinformations-Umschreibesystems.
-
Es
ist deshalb eine Aufgabe der vorliegenden Erfindung, ein unberechtigtes
Umschreiben einer Steuerinformation auch dann zu verhindern, wenn
eine Umschreibevorrichtung oder eine Information innerhalb einer
Umschreibevorrichtung gestohlen wird.
-
Diese
Aufgabe wird durch die Steuerzentrale zur Kommunikation mit einer
Steuerinformations-Umschreibevorrichtung, wie sie in Anspruch 1 definiert
ist, gelöst.
-
Gemäß der vorliegenden
Erfindung weist ein Steuerinformations-Umschreibesystem eine Steuerzentrale
zum Durchführen
einer Datenkommunikation mit einer Umschreibevorrichtung auf. Die
Steuerzentrale könnte
zum Beispiel an einem zu einer Umschreibearbeitsstelle unterschiedlichen
Ort installiert sein. Eine Zugriffsinformation wird in der Steuerzentrale
gespeichert. Eine Identifikationsinformation und eine zugehörige Information
sind in der Umschreibevorrichtung gespeichert. Die Identifikationsinformation
könnte
eine Zahl oder dergleichen sein, die zum Identifizieren der Umschreibevorrichtung
einmalig be züglich
der Umschreibevorrichtung ist. Die zugehörige Information ist eine Information,
die in Verbindung mit der Identifikationsinformation festgelegt
ist.
-
Für die Legitimitätsbestimmung
erfaßt
die Steuerzentrale die Identifikationsinformation und die zugehörige Information
der Umschreibevorrichtung in einer Datenkommunikation mit der Umschreibevorrichtung.
Dann sendet sie, wenn eine Zugehörigkeitsbeziehung
der zugehörigen
Information mit einer Zugehörigkeitsbeziehung übereinstimmt,
eine vorbestimmte Zugriffsinformation an die Umschreibevorrichtung.
Andererseits wird die vorbestimmte Zugriffsinformation nicht an
die Umschreibevorrichtung gesendet, wenn sie nicht übereinstimmt.
-
Das
heißt,
das System erzielt die folgende zweistufige Überprüfung.
- [1]
Die Steuerzentrale bestimmt die Legitimität der Umschreibevorrichtung
und sendet eine Zugriffsinformation an die Umschreibevorrichtung.
- [2] Die Umschreibevorrichtung führt eine Kommunikationstartverarbeitung
unter Verwendung dieser Zugriffsinformation aus, und jede elektronische
Steuereinheit bestimmt die Legitimität der Umschreibevorrichtung
auf der Grundlage der Kommunikationstartverarbeitung.
-
Daher
kann die Umschreibevorrichtung, wenn mindestens eine der Identifikationsinformation und
der zugehörigen
Information nicht vorab innerhalb der Umschreibevorrichtung gespeichert
ist, keine Zugriffsinformation von der Steuerzentrale erhalten.
Deshalb wird es, wenn die Umschreibevorrichtung oder eine Information
innerhalb der Umschreibevorrichtung gestohlen worden ist, von der
elektronischen Steuereinheit nicht bestimmt, daß die Um schreibevorrichtung
legitimiert ist. Daher wird ein Umschreiben einer Steuerinformation
nicht ausgeführt.
Als ein Ergebnis ist es auch dann, wenn die Umschreibevorrichtung
oder eine Information innerhalb der Umschreibevorrichtung gestohlen
worden ist, möglich,
zu verhindern, daß eine
Steuerinformation einer elektronischen Steuereinheit ungebührlich umgeschrieben
wird.
-
Die
vorstehenden und andere Aufgaben, Merkmale und Vorteile der vorliegenden
Erfindung werden aus der folgenden detaillierten Beschreibung, die
unter Bezugnahme auf die beiliegende Zeichnung vorgenommen wurde,
deutlicher ersichtlich. In den Zeichnungen:
-
ist 1 ein Blockschaltbild, welches
ein Steuerinformations-Umschreibesystem gemäß einem Ausführungsbeispiel
der vorliegenden Erfindung zeigt;
-
ist 2 ein Ablaufdiagramm, welches
eine Umschreibeverarbeitung in dem Ausführungsbeispiel zeigt;
-
ist 3 ein Flußdiagramm,
welches eine erste Hälfte
einer ECU-seitigen Verarbeitung in dem Ausführungsbeispiel zeigt;
-
ist 4 ein Flußdiagramm,
welches eine zweite Hälfte
einer ECU-seitigen Verarbeitung in dem Ausführungsbeispiel zeigt;
-
ist 5 ein Flußdiagramm,
welches eine erste Hälfte
einer umschreibevorrichtungsseitigen Verarbeitung in dem Ausführungsbeispiel
zeigt;
-
ist 6 ein Flußdiagramm,
welches eine zweite Hälfte
einer umschreibevorrichtungsseitigen Verarbeitung in dem Ausführungsbeispiel
zeigt;
-
ist 7 ein Flußdiagramm,
welches eine erste Hälfte
einer steuerzentralenseitigen Verarbeitung in dem Ausführungsbeispiel
zeigt;
-
ist 8 ein Flußdiagramm,
welches eine zweite Hälfte
einer steuerzentralenseitigen Verarbeitung in dem Ausführungsbeispiel
zeigt;
-
ist 9 ein Blockschaltbild, welches
ein Steuerinformations-Umschreibesystem im Stand der Technik zeigt;
und
-
ist 10 ein Ablaufdiagramm, welches
eine Umschreibeverarbeitung im Stand der Technik zeigt.
-
Ein
Ausführungsbeispiel
der vorliegenden Erfindung wird nun in Bezug auf ein Umschreiben
einer Fahrzeugsteuerinformation beschrieben.
-
Unter
Bezugnahme zuerst auf 1 ist
eine Mehrzahl von ECUs 11, 12, 13 und 14 in
einem Fahrzeug 10 eingebaut, und die ECUs 11 bis 14 sind durch
eine Netzwerkleitung 15 verbunden. Die ECUs 11 bis 14 weisen
jeweilige EEPROMs 11a bis 14a auf, welche vom
nichtflüchtigen
Typ sind. Zu einem normalen Zeitpunkt wird, wenn eine Umschreibevorrichtung 20 nicht
verbunden ist, auf der Grundlage einer Steuerinformation (von Steuerprogrammen
und Steuerdaten), die in diesem EEPROM gespeichert sind, eine Kommunikation
zwischen den ECUs 11 bis 14 über die Netzwerkleitung ausgeführt und
werden jeweilige Steuerobjekte, wie zum Beispiel ein Motor bzw.
eine Brennkraftmaschine, gesteuert.
-
In 1 ist die Umschreibevorrichtung 20 als
mittels eines Fahrzeugdiagnoseverbinders 16 mit der ECU 11 verbunden
gezeigt, so daß ein
Steuerinformations-Umschreibesystem 1 ausgebildet ist.
Der Fahrzeugdiagnoseverbinder 16 ist ein in dem Fahrzeug 10 vorgesehener
Verbinder zum Ermöglichen einer
Datenkommunikation zwischen der Umschreibevorrichtung 20 und
den ECUs 11 bis 14 über die Netzwerkleitung 15.
Das Fahrzeug 10 und die Umschreibevorrichtung 20 sind
an einer Arbeitsstelle, wie zum Beispiel einem Autohändler oder
einer Reparaturwerkstatt, aufgestellt.
-
In
dem Steuerinformations-Umschreibesystem 1 dieses Ausführungsbeispiels
ist die Umschreibevorrichtung 20 zu einer Datenkommunikation über ein
Telefonleitungsnetz 40 mit einer Steuerzentrale 30 imstande.
Die Steuerzentrale 30 ist als ein sogenannter Server als
eine externe Vorrichtung an einer zu der Arbeitsstelle unterschiedlichen
Stelle installiert. In einer Speichervorrichtung (einem Speicher) 31 dieser
Steuerzentrale 30 sind eine Zugriffsinformation für die Umschreibevorrichtung 20,
um auf die ECUS 11–14 zuzugreifen, Änderungsdaten
zum Umschreiben einer Steuerinformation, eine Datenbank zum Bestimmen
der Legitimität
der Umschreibevorrichtung 20 und eine Datenbank von Steuerinformations-Aktualisierungshistorien
von unterschiedlichen Fahrzeugen 10 gespeichert.
-
Wenn
die Umschreibevorrichtung 20 die Steuerzentrale 30 ruft,
wird eine vorbestimmte Kommunikationsverarbeitung zwischen der Umschreibevorrichtung 20 und
der Steuerzentrale 30 ausgeführt. Die Umschreibevorrichtung 20 und
die Steuerzentrale 30 nehmen einen derartigen Zustand an,
daß eine Datenkommunikation
möglich
ist. In 1 ist die Steuerzentrale 30 als
mit einer einzigen Umschreibevorrichtung verbunden gezeigt, aber
es ist ebenso vorstellbar, daß zum
Beispiel eine Umschreibevorrichtung einer anderen Arbeitsstelle
parallel mit der Steuerzentrale 30 verbunden ist.
-
In
diesem Ausführungsbeispiel
kann die Umschreibevorrichtung 20 ein tragbarer Personal-Computer
sein, welcher für
beliebige Typen von Fahrzeugen verwendet wird. Die Steuerzentrale 30 kann durch
einen Autohersteller verwaltet werden. Die Umschreibevorrichtung 20 kann
mittels einer anderen Einrichtung, wie zum Beispiel einem Kabelfernsehnetz
oder einem drahtlosen Telefonnetz, anstelle eines Festtelefonleitungsnetzes 40 mit
der Steuerzentrale 30 verbunden sein.
-
Die
Funktionsweise dieses Steuerinformations-Umschreibesystems 1 ist
in Blockeinheiten B1 bis B18 gezeigt. Die Verarbeitung in den ECUs 11 bis 14 ist
als eine ECU-seitige Verarbeitung in einer linksseitigen Spalte
in 2 als B5, B6, B9,
B10, B15 und B16 gezeigt. Die Verarbeitung in der Umschreibevorrichtung 20 ist
als umschreibevorrichtungsseitige Verarbeitung in einer mittleren
Spalte als B1, B4, B7, B8, B11, B14 und B17 gezeigt. Die Verarbeitung in
der Steuerzentrale 30 ist als steuerzentralenseitige Verarbeitung
in einer rechtsseitigen Spalte als B2, B3, B12, B13 und B18 gezeigt.
Diese Verarbeitung wird in der Reihenfolge B1 → B2 → B3 → ... → B18 ausgeführt.
-
Im
Betrieb ruft die Umschreibevorrichtung 20 zuerst die Steuerzentrale 30.
Wenn ein Zustand einer möglichen
Datenkommunikation zwischen der Umschreibevorrichtung 20 und
der Steuerzentrale 30 gebildet ist, sendet die Umschreibevorrichtung 20 eine
Kennungsinformation als eine Identifikationsinformation zum Identifizieren
der Umschreibevorrichtung 20 selbst zusammen mit einer
Kommunikationsstartanforderung an die Steuerzentrale 30 (B1).
Bezüglich
diesen empfängt
die Steuerzentrale 30 die Kennungsinformation von der Umschreibevorrichtung 20 und
erfaßt
die Telefonnummer des ankommenden Anrufs, das heißt die Telefonnummer
der Umschreibevorrichtung 20 (B2). Diese Telefonnummer
ist eine zugehörige
Information.
-
Die
Steuerzentrale 30 weist eine Datenbank auf, in welcher
die Kennungsinformation der Umschreibevorrichtung 20 und
eine Telefonnummer, die der Umschreibevorrichtung 20 zugehörig ist,
in Zusammenhang gebracht werden. Demgemäß vergleicht die Steuerzentrale 30 die
Zugehörigkeitsbeziehung
zwischen der empfangenen Kennungsinformation und der erfaßten Telefonnummer
mit einer Zugehörigkeitsbeziehung
in der Datenbank (B2). Wenn sie übereinstimmen,
sendet sie ein erstes Erlaubnissignal und eine Funktion f an die
Umschreibevorrichtung 20 (B3).
-
Die
Umschreibevorrichtung 20 wählt aus den ECUs 11 bis 14 eine
ECU als das Objekt einer Steuerinformationsumschreibung aus und
sendet eine Umschreibeanforderung an diese ECU (B4). Es wird hier
angenommen, daß die
ECU 11 als die ECU, die das Objekt einer Steuerinformationsumschreibung sein
soll, ausgewählt
worden ist. Die ausgewählte ECU 11 erzeugt
eine Zufallszahl r (B5) und sendet diese Zufallszahl r an die Umschreibevorrichtung 20 (B6).
-
Die
Umschreibevorrichtung 20 berechnet unter Verwendung der
Funktion f, die von der Steuerzentrale in dem vorstehenden B3 an
sie gesendet worden ist, einen Funktionswert f(r) bezüglich der
Zufallszahl r aus der ECU 11 (B7). Dann sendet sie diesen
berechneten Funktionswert f(r) zurück an die ECU 11 (B8).
-
Andererseits
wird vorab eine Funktion F in der ECU 11 gespeichert, und
sie berechnet bezüglich des
Funktionswerts f(r), der von der Umschreibevorrichtung 20 aus
gesendet wird, einen Funktionswert F(f(r)) (B9). Dann sendet sie,
wenn der berechnete Funktionswert F(f(r)) der Zufallszahl r entspricht,
das heißt,
wenn f = F–1 ist, ein
zweites Erlaubnissignal, das ein Umschreiben zuläßt, und sendet einen Fahrzeug-VIN-Code
(B10). Der Fahrzeug-VIN-Code
ist eine Zahl, die eindeutig jedem Fahrzeug zugeordnet ist, und
diese entspricht der vorstehenden Fahrzeuginformation.
-
Die
Umschreibevorrichtung 20 empfängt das zweite Erlaubnissignal
und den Fahrzeug-VIN-Code von der ECU 11 und sendet diese
Information an die Steuerzentrale 30 (B11).
-
Die
Steuerzentrale 30 weist jeweilige Steuerinformations-Aktualisierungshistorien
jedes Fahrzeugs als eine Datenbank auf. Demgemäß führt sie auf der Grundlage des
Fahrzeug-VIN-Codes von der Umschreibevorrichtung 20 ein
Unterscheiden des Fahrzeugs 10 aus, bezieht sich auf die
Aktualisierungshistoriendatenbank und bestimmt die Notwendigkeit
eines Umschreibens einer Steuerinformation (B12). Wenn sie bestimmt,
daß ein
Umschreiben einer Steuerinformation an dem Fahrzeug 10 erforderlich
ist, sendet sie Änderungsdaten
an die Umschreibevorrichtung 20 (B13).
-
Die
Umschreibevorrichtung 20 empfängt die Änderungsdaten von der Steuerzentrale 30 und
sendet diese Änderungsdaten
an die ECU 11 (B14). Die ECU 11 führt auf
der Grundlage der Änderungsdaten von
der Umschreibevorrichtung 20 ein Umschreiben einer Steuerinformation
durch (B15). Dann meldet sie, wenn das Umschreiben einer Steuerinformation normal
endet, eine normale Beendigung an die Umschreibevorrichtung 20 (B16).
Die Umschreibevorrichtung 20 löscht, wenn eine normale Beendigung von
der ECU 11 gemeldet wird, die Funktion f, die in dem vorhergehenden
B3 von der Steuerzentrale 30 an sie gesendet worden ist
(B17). Sie meldet eine normale Beendigung an die Steuerzentrale 30.
Auf der Grundlage dessen aktuali siert die Steuerzentrale 30 die
Aktualisierungshistoriendatenbank (B18).
-
Vom
Standpunkt der Sicherheit aus ist es bevorzugt, daß die Funktionen
f(r) und F(f(r)) von Fahrzeugtyp zu Fahrzeugtyp verschieden sind.
-
Für die vorstehende
Verarbeitung werden die ECUs 11 bis 14, die Umschreibevorrichtung 20 und
die Steuerzentrale 30 programmiert, um zu arbeiten, wie
es in den 3 bis 8 gezeigt ist.
-
Die
ECU-seitige Verarbeitung, die in den ECUs 11 bis 14 ausgeführt wird,
wird unter Bezugnahme auf die 2 und 3 erläutert. Diese ECU-seitige Verarbeitung
wird in einem vorbestimmten Zeitintervall, wie zum Beispiel 0,2
Sekunden, ausgeführt, wobei
die Umschreibevorrichtung 20 mittels des Fahrzeugdiagnoseverbinders 16 mit
dem Fahrzeug 10 verbunden ist.
-
Zuerst
wird in einem Schritt S300 bestimmt, ob es eine Umschreibeanforderung
von der Umschreibevorrichtung 20 gegeben hat oder nicht. Wenn
bestimmt wird, daß es
eine Umschreibeanforderung gegeben hat (S300: JA) schreitet die
Verarbeitung zu S310 fort. Wenn andererseits bestimmt wird, daß es keine
Umschreibeanforderung gegeben hat (S300: NEIN), wird die ECU-seitige
Verarbeitung beendet.
-
In
S310 wird bestimmt, ob ein Zugriffsverweigerungszeitgeber 0 ist
oder nicht. Der Zugriffsverweigerungszeitgeber wird eingestellt,
wenn eine vorbestimmte Anzahl von Malen bestimmt wird, daß in Folge
die Umschreibevorrichtung 20 nicht legitimiert ist, wie
es vorstehend beschrieben worden ist. Wenn bestimmt wird, daß der Zugriffsverweigerungszeitgeber nicht
0 ist (S310: NEIN), wird der Zeitgeber in S320 dekrementiert und
wird einer Variable C1 0 zugewiesen und wird diese ECU-seitige Verarbeitung
beendet. Die Variable C1 zählt
die Anzahl von Malen in Folge, in welchen bestimmt wird, daß die Umschreibevorrichtung
nicht legitimiert ist. Wenn andererseits bestimmt wird, daß der Zugriffsverweigerungszeitgeber
0 ist (S310: JA), schreitet die Verarbeitung zu S330 fort.
-
In
S330 wird bestimmt, ob die Variable C1 größer als 2 ist oder nicht. Wenn
hier C1 > 2 ist (S330:
NEIN), wird in S340 der Zugriffsverweigerungszeitgeber eingestellt
und wird diese ECU-seitige Verarbeitung beendet. In diesem Ausführungsbeispiel
werden 10 Minuten eingestellt. Wenn andererseits C1 ≤ 2 ist (S330:
JA), schreitet die Verarbeitung zu S350 fort.
-
In
S350 wird eine Zufallszahl r erzeugt und an die Umschreibevorrichtung 20 gesendet.
Diese Verarbeitung entspricht der Verarbeitung von B5 und B6 in 2. Bezüglich diesen wird, wie es in
B8 in 2 gezeigt ist,
ein Funktionswert f(r) von der Umschreibevorrichtung 20 ausgesendet.
-
Demgemäß wird in
dem folgenden S360 bestimmt, ob es ein Senden eines Funktionswerts
f(r) gegeben hat oder nicht. Wenn es hier ein Senden eines Funktionswerts
f(r) gegeben hat (S360: JA) schreitet die Verarbeitung zu S370 fort.
Andererseits wird, solange es kein Senden eines Funktionswerts f(r)
gegeben hat (S360: NEIN), diese Bestimmungsverarbeitung wiederholt.
-
In
S370 wird bezüglich
des Funktionswerts f(r), der von der Umschreibevorrichtung 20 ausgesendet
wird, ein Funktionswert F(f(r)) berechnet. Diese Verarbeitung entspricht
der Verarbeitung von B9 in 2.
-
In
dem folgenden S380 in 4 wird
bestimmt, ob der berechnete Funktionswert F(f(r)) der Zufallszahl
r entspricht oder nicht. Wenn hier F(f(r)) = r ist (S380: JA), werden
in S30 das zweite Erlaubnissignal und der Fahrzeug-VIN-Code gesendet
und schreitet die Verarbeitung zu S420 fort. Die Verarbeitung von
S380 und S390 entspricht der Verarbeitung von B10 in 2. Wenn andererseits F(f(r)) ≠ r ist (S380:
NEIN), wird in S400 an die Umschreibevorrichtung 20 gemeldet,
daß kein
Umschreiben zugelassen wird, und wird in S410 die Variable C1 inkrementiert
und diese ECU-seitige Verarbeitung beendet. Auf diese Weise wird
die Legitimität
der Umschreibevorrichtung 20 bestimmt. Wenn bestimmt wird,
daß sie
nicht legitimiert ist (S380: NEIN), wird die Variable C1 inkrementiert
(S410) und wird bei C1 > 2
der Zeitgeber eingestellt, wie es vorstehend beschrieben worden
ist (S340 in 2). Daher
wird in diesem Ausführungsbeispiel,
wenn durch C1 0 → 1 → 2 dreimal
in Folge bestimmt wird, daß die
Umschreibevorrichtung 20 nicht legitimiert ist, eine Zugriffsverweigerung
ausgeführt.
-
Durch
die Steuerzentrale 30 wird eine Bestimmung einer Notwendigkeit
eines Umschreibens einer Steuerinformation auf der Grundlage des
Fahrzeug-VIN-Codes ausgeführt.
Wenn ein Umschreiben notwendig ist, werden Änderungsdaten von der Steuerzentrale 30 aus über die
Umschreibevorrichtung 20 gesendet. Andererseits wird, wenn
ein Umschreiben nicht notwendig ist, das heißt, wenn ein Umschreiben einer
Steuerinformation bereits ausgeführt
worden ist, eine Information, die anzeigt, daß ein Umschreiben durchgeführt worden
ist, von der Steuerzentrale 30 aus über die Umschreibevorrichtung 20 gesendet.
-
Dafür wird in
S420 bestimmt, ob es eine Datenübertragung
von der Umschreibevorrichtung 20 aus gegeben hat oder nicht.
Wenn bestimmt wird, daß es
eine Datenübertragung
gegeben hat (S420: JA), schreitet die Verarbeitung zu S430 fort.
Andererseits wird, solange es keine Datenübertragung gibt (S420: NEIN),
diese Bestimmungsverarbeitung wiederholt.
-
Dann
wird in S430 bestimmt, ob die Daten, die von der Umschreibevorrichtung 20 aus
gesendet worden sind, Änderungsdaten
sind oder nicht. Wenn bestimmt wird, daß es Änderungsdaten sind (S430: JA),
schreitet eine Verarbeitung zu S440 fort. Wenn andererseits bestimmt
wird, daß es
keine Änderungsdaten
sind (S430: NEIN), das heißt,
wenn eine Information, die anzeigt, daß ein Umschreiben durchgeführt worden
ist, gesendet worden ist, wird die nachfolgende Verarbeitung nicht
ausgeführt
und wird diese ECU-seitige Verarbeitung beendet.
-
In
S440 wird auf der Grundlage der gesendeten Änderungsdaten ein Umschreiben
einer Steuerinformation ausgeführt.
In dem folgenden S450 wird eine Steuerinformations-Prüfsumme nach
Umschreibung berechnet. Dies dient zum Bestimmen, ob die Steuerinformation
normal umgeschrieben worden ist oder nicht.
-
Dann
wird in dem nächsten
S460 auf der Grundlage der Prüfsumme,
die in S450 berechnet worden ist, bestimmt, ob das Umschreiben einer Steuerinformation
normal geendet hat oder nicht. Wenn bestimmt wird, daß es normal
geendet hat (S460: JA) wird in S470 eine normale Beendigung an die
Umschreibevorrichtung 20 gemeldet und wird danach diese
ECU-seitige Verarbeitung beendet. Wenn andererseits bestimmt wird,
daß sie
nicht normal geendet hat (S460: NEIN), wird in S480 angefordert, daß die Umschreibevorrichtung 20 die Änderungsdaten
erneut sendet und wird die Verarbeitung von S420 wiederholt.
-
Nun
wird auf der Grundlage des Flußdiagramms
in 5 und 6 die umschreibevorrichtungsseitige
Verarbeitung beschrieben, die von der Umschreibevorrichtung 20 ausgeführt wird.
Diese umschreibevorrichtungsseitige Verarbeitung wird mit einer
vorbestimmten Manipulation, die von einem Bediener ausgeführt wird,
als einem Auslöser
ausgeführt,
nachdem ein Zustand einer möglichen
Datenkommunikation zwischen der Umschreibevorrichtung 20 und
der Steuerzentrale 30 gebildet worden ist.
-
Zuerst
wird in S500 bezüglich
der Steuerzentrale 30 ein Kommunikationsstart angefordert
und wird eine vorab gespeicherte Kennungsinformation gesendet. Diese
Verarbeitung entspricht der Verarbeitung von B1 in 2.
-
Die
Steuerzentrale 30 sendet, wenn sie bestimmt, daß die Umschreibevorrichtung
eine legitimierte ist, das erste Erlaubnissignal und die Funktion f.
Demgemäß wird in
dem folgenden S510 bestimmt, ob es eine Reaktion von der Steuerzentrale 30 gegeben
hat oder nicht. Wenn bestimmt wird, daß es eine Reaktion von der
Steuerzentrale 30 gegeben hat (S510: JA), schreitet die
Verarbeitung zu S520 fort. Andererseits wird, solange es keine Reaktion
von der Steuerzentrale 30 gibt (S510: NEIN), diese Bestimmungsverarbeitung
wiederholt.
-
In
S520 wird bestimmt, ob die Reaktion von der Steuerzentrale 30 eine
Meldung einer Nicht-Erlaubnis ist oder nicht. Wenn es bestimmt wird,
daß es eine
Meldung einer Nicht-Erlaubnis ist (S520: JA), wird in S530 auf einer
Anzeigevorrichtung, wie zum Beispiel einer Anzeige, angezeigt, daß es einen
Fehlschlag gegeben hat, auf die Steuerzentrale 30 zuzugreifen.
Danach wird die Verarbeitung von S500 wiederholt. Andererseits schreitet,
wenn es keine Meldung einer Nicht-Erlaubnis gibt (S530: NEIN), das heißt, wenn
das erste Erlaubnissignal und die Funktion f gesendet worden sind,
die Verarbeitung zu S540 fort.
-
In
S540 wird die Eingabe eines ECU-Codes zum Auswählen einer der vier ECUs 11 bis 14,
die in das Fahrzeug 10 eingebaut sind, von dem Bediener angefordert.
In dem folgenden S550 wird bestimmt, ob es die Eingabe eines ECU-Codes gegeben hat oder
nicht. Wenn es bestimmt wird, daß es die Eingabe eines ECU-Codes
gegeben hat (S550: JA), schreitet die Verarbeitung zu S560 fort.
Andererseits wird, solange es keine Eingabe eines ECU-Codes gibt
(S550: NEIN), die Verarbeitung von S540 wiederholt. Die folgende
Beschreibung wird unter der Annahme fortgesetzt, daß der ECU-Code
der ECU 11 eingegeben worden ist.
-
In
S560 werden eine Umschreibeanforderung und der ECU-Code gesendet.
Diese Verarbeitung entspricht der Verarbeitung von B4 in 2. Auf der Grundlage dessen
erzeugt die ECU 11 eine Zufallszahl r und sendet diese
Zufallszahl r (S350 in 3).
-
Demgemäß wird in
dem folgenden Schritt S570 bestimmt, ob eine Zufallszahl r gesendet
worden ist oder nicht. Wenn bestimmt wird, daß eine Zufallszahl r gesendet
worden ist (S570: JA), schreitet eine Verarbeitung zu S580 fort.
Andererseits wird, solange keine Zufallszahl r gesendet wird (S570: NEIN),
diese Bestimmungsverarbeitung wiederholt.
-
In
S580 wird unter Verwendung der Funktion f, die von der Steuerzentrale 30 in
S510 gesendet wird, ein Funktionswert f(r) berechnet, der für die Zufallszahl
r spezifisch ist. In dem nächsten
S590 wird der Funktionswert f(r) zu der ECU 11 gesendet.
Dies entspricht der Verarbeitung von B7 und B8 in 2.
-
Bezüglich diesen
wird in der ECU 11 eine bejahende Bestimmung in S360 in 3 durchgeführt und
wird der Funktionswert F(f(r)) berechnet (S370). Dann wird auf der
Grundlage der Bestimmung von S380 eine Übertragung eines zweiten Erlaubnissignals
oder eine Meldung, daß ein
Umschreiben nicht zugelassen wird, ausgeführt (S390, S400).
-
Demgemäß wird in
dem folgenden S600 in 6 bestimmt,
ob es eine Reaktion von der ECU 11 gegeben hat oder nicht.
Wenn bestimmt wird, daß es eine
Reaktion von der ECU 11 gegeben hat (S600: JA) schreitet
eine Verarbeitung zu S610 fort. Andererseits wird, solange es keine
Reaktion von der ECU 11 gibt (S600: NEIN), diese Bestimmungsverarbeitung
wiederholt.
-
In
S610 wird bestimmt, ob ein zweites Erlaubnissignal von der ECU 11 gesendet
worden ist oder nicht. Wenn bestimmt wird, daß ein zweites Erlaubnissignal
gesendet worden ist (S610: JA), werden in S620 das zweite Erlaubnissignal
und der zusammen mit diesem zweiten Erlaubnissignal übertragene
Fahrzeug-VIN-Code an die Steuerzentrale 30 gesendet, und
danach schreitet die Verarbeitung zu S640 fort. Diese Verarbeitung
entspricht der Verarbeitung von B11 in 2. Wenn andererseits ein zweites Erlaubnissignal
nicht gesendet worden ist (S610: NEIN), das heißt, wenn von der ECU 11 gemeldet
worden ist, daß ein
Umschreiben nicht zugelassen werden wird, wird in S630 an die Steuerzentrale 30 gemeldet,
daß keine
Erlaubnis gegeben worden ist, und danach schreitet die Verarbeitung
zu S530 in 5 fort.
-
Wenn
in S620 das zweite Erlaubnissignal und der Fahrzeug-VIN-Code an
die Steuerzentrale 30 gesendet werden, bestimmt die Steuerzentrale 30 die
Notwendigkeit eines Umschreibens. Wenn es eine Notwendigkeit eines
Umschreibens gibt, sendet die Steuerzentrale 30 Änderungsdaten.
-
Wenn
es andererseits keine Notwendigkeit eines Umschreibens gibt, sendet
die Steuerzentrale 30 eine Information, die anzeigt, daß ein Umschreiben
durchgeführt
worden ist.
-
Demgemäß wird in
S640 bestimmt, ob es eine Reaktion von der Steuerzentrale 30 gegeben
hat oder nicht. Wenn bestimmt wird, daß es eine Reaktion von der
Steuerzentrale 30 gegeben hat (S640: JA), schreitet die
Verarbeitung zu S650 fort. Andererseits wird, solange es keine Reaktion
gibt (S640: NEIN), diese Bestimmungsverarbeitung wiederholt.
-
In
S650 wird bestimmt, ob die Daten, die von der Steuerzentrale 30 gesendet
worden sind, Änderungsdaten
sind oder nicht. Wenn sie Änderungsdaten
sind (S650: JA), schreitet die Verarbeitung zu S680 fort. Wenn es
andererseits keine Steuerdaten sind (S650: NEIN), das heißt wenn
eine Information, die anzeigt, daß ein Umschreiben durchgeführt worden
ist, von der Steuerzentrale 30 gesendet worden ist, wird
die Funktion f gelöscht
und es wird angezeigt, daß es
keine Notwendigkeit eines Umschreibens gibt (S660). Eine Information,
die anzeigt, daß das
Umschreiben durchgeführt
worden ist, wird an die ECU 11 gesendet (S670). Diese Umschreibevorrichtungsseitige
Verarbeitung ist dann beendet.
-
In
S680 werden die Änderungsdaten,
die von der Steuerzentrale 30 gesendet worden sind, an
die ECU 11 gesendet. Diese Verarbeitung entspricht der Verarbeitung
von B14 in 2. Auf der
Grundlage dessen wird in der ECU 11 ein Umschreiben einer Steuerinformation
ausgeführt
(S430 in 4: JA, S440)
und wird eine Meldung einer normalen Beendigung oder eine Anforderung
eines erneuten Sendens von der ECU 11 gesendet (S470, S480).
-
Demgemäß wird in
dem nächsten
S690 bestimmt, ob es eine Meldung einer normalen Beendigung von
der ECU 11 gegeben hat oder nicht. Wenn bestimmt wird,
daß es
eine Meldung einer normalen Beendigung gegeben hat (S690: JA), wird
die Funktion f gelöscht
und wird eine normale Beendigung an die Steuerzentrale 30 gemeldet
(S700), und danach wird diese umschreibevorrichtungsseitige Verarbeitung
beendet. Wenn es andererseits keine Meldung einer normalen Beendigung
gegeben hat (S690: NEIN), das heißt wenn es eine Anforderung
nach einem erneuten Senden der Änderungsdaten
gegeben hat, wird eine anomale Beendigung zu der Steuerzentrale 30 gemeldet
(S710) und diese umschreibevorrichtungsseitige Verarbeitung beendet.
-
Weiter
fortschreitend wird auf der Grundlage des Flußdiagramms in 7 und 8 die
steuerzentralenseitige Verarbeitung, die von der Steuerzentrale 30 ausgeführt wird,
beschrieben. Diese steuerzentralenseitige Verarbeitung wird in einem vorbestimmten
Zeitintervall, wie zum Beispiel 0,2 Sekunden, ausgeführt, wobei
ein Zustand einer möglichen
Datenkommunikation zwischen der Umschreibevorrichtung 20 und
der Steuerzentrale 30 gebildet worden ist.
-
Zuerst
wird in S800 bestimmt, ob der Zugriffsverweigerungszeitgeber 0 ist
oder nicht. Der Zugriffsverweigerungszeitgeber wird eingestellt,
wenn eine bestimmte Anzahl von Malen in Folge durch die Steuerzentrale 30 bestimmt
wird, daß die
Umschreibevorrichtung 20 nicht legitimiert ist, wie es
später weiter
beschrieben wird. Wenn bestimmt wird, daß der Zugriffsverweigerungszeitgeber
nicht 0 ist (S800: NEIN), wird in S810 der Zeitgeber dekrementiert. Weiterhin
wird 0 einer Variablen C2 zugewiesen und diese steuerzentralenseitige
Verarbeitung beendet. Die Variable C2 zählt die Anzahl von Malen in
Folge, in welchen durch die Steuerzentrale 30 bestimmt wird,
daß die
Umschreibevorrichtung 20 nicht legitimiert ist. Wenn andererseits
bestimmt wird, daß der Zugriffsverweigerungszeitgeber
0 ist (S800: JA), schreitet die Verarbeitung zu S820 fort.
-
In
S820 wird bestimmt, ob die Variable C2 nicht größer als 2 ist oder nicht. Wenn
hier C2 > 2 ist (S820:
NEIN), wird in S830 der Zugriffsverweigerungszeitgeber eingestellt
und danach diese steuerzentralenseitige Verarbeitung beendet. Wenn
andererseits C2 ≤ 2
ist (S820: JA), schreitet die Verarbeitung zu S840 fort.
-
In
S840 wird bestimmt, ob es eine Kommunikationsstartanforderung gegeben
hat oder nicht. Diese Verarbeitung ist auf die Verarbeitung von
S500 in 5 gerichtet.
Wenn bestimmt wird, daß es
eine Kommunikationsstartanforderung gegeben hat (S840: JA) schreitet
die Verarbeitung zu S850 fort. Andererseits wird, solange es keine
Kommunikationsstartanforderung gibt (S840: NEIN), diese Bestimmungsverarbeitung
wiederholt.
-
In
S850 wird die Kennungsinformation, die von der Umschreibevorrichtung 20 gesendet
wird, empfangen und wird die Telefonnummer des Ursprungs des Anrufs
erfaßt.
In dem folgenden S860 wird die Zugehörigkeitsbeziehung zwischen
der empfangenen Kennungsinformation und der erfaßten Telefonnummer mit der
Zugehörigkeitsbeziehung
zwischen der Kennungsinformation und der Telefonnummer der Umschreibevorrichtung 20 verglichen,
die vorab in der Datenbank gespeichert werden. Die Verarbeitung
von diesen S850 und S860 entspricht der Verarbeitung, die in B2
in 2 gezeigt ist.
-
Als
nächstes
wird in dem nächsten
S870 auf der Grundlage des Vergleichsergebnisses bestimmt, ob die
Zugehörigkeitsbeziehungen übereingestimmt haben
oder nicht.
-
Wenn
bestimmt wird, daß sie übereinstimmen
(S870: JA), werden in S890 das erste Erlaubnissignal und die Funktion
f gesendet und schreitet danach die Verarbeitung zu S900 fort. Diese
Verarbeitung entspricht der Verarbeitung von B3 in 2. Wenn andererseits bestimmt wird, daß sie nicht übereingestimmt
haben (S870: NEIN), wird an die Umschreibevorrichtung 20 gemeldet,
daß kein
Umschreiben zugelassen wird, und wird die Variable C2 erhöht (S880)
und wird danach die Verarbeitung von S800 wiederholt.
-
Die
Verarbeitung von S850 bis S890, die hier erläutert worden ist, entspricht
der Verarbeitung, die als eine Legitimitätsbestimmungseinrichtung dient. Deshalb
führt die
CPU der Steuerzentrale 30 so eine Legitimitätsbestimmung
aus.
-
Wenn
das erste Erlaubnissignal und die Funktion f gesendet werden, sendet
die Umschreibevorrichtung 20 das zweite Erlaubnissignal
und den Fahrzeug-VIN-Code zurück
(S620 in 6) oder meldet
eine Nicht-Erlaubnis eines Umschreibens (S630).
-
Demgemäß wird in
S900 bestimmt, ob es eine Reaktion von der Umschreibevorrichtung 20 gegeben
hat oder nicht. Wenn bestimmt wird, daß es eine Reaktion von der
Umschreibevorrichtung 20 gegeben hat (S900: JA), schreitet
die Verarbeitung zu S910 in 8 fort.
Andererseits wird, solange es keine Reaktion von der Umschreibevorrichtung 20 gibt (S900:
NEIN), diese Bestimmungsverarbeitung wiederholt.
-
In
S910 wird bestimmt, ob eine Reaktion eine Meldung einer Nicht-Erlaubnis
ist oder nicht. Wenn es eine Meldung einer Nicht-Erlaubnis gewesen
ist (S910: JA), schreitet die Verarbeitung zu S800 in 7 fort. Wenn es andererseits
keine Meldung einer Nicht-Erlaubnis gewe sen ist (S910: NEIN), das heißt wenn
das zweite Erlaubnissignal und der Fahrzeug-VIN-Code gesendet worden
sind, schreitet die Verarbeitung zu S920 fort.
-
In
S920 wird eine Unterscheidung des Fahrzeugs auf der Grundlage des
gesendeten Fahrzeug-VIN-Codes durchgeführt und wird auf die Aktualisierungshistoriendatenbank
Bezug genommen. Dann wird im nächsten
S930 auf der Grundlage des Bezugsergebnisses bestimmt, ob es eine
Notwendigkeit zum Umschreiben einer Steuerinformation gibt oder
nicht. Die Verarbeitung von diesen S920 und S930 entspricht B12
in 2. Wenn bestimmt
wird, daß es
eine Notwendigkeit eines Umschreibens gibt (S930: JA), schreitet
die Verarbeitung zu S950 fort. Wenn andererseits bestimmt wird,
daß es
keine Notwendigkeit eines Umschreibens gibt (S930: NEIN), wird in
S940 eine Information, die anzeigt, daß ein Umschreiben durchgeführt worden
ist, gesendet, und danach wird diese steuerzentralenseitige Verarbeitung
beendet.
-
In
S950 wird nach Änderungsdaten
gesucht und werden diese ausgelesen und werden die ausgelesenen Änderungsdaten
an die Umschreibevorrichtung 20 gesendet. Diese Verarbeitung
entspricht der Verarbeitung von B13 in 2. Danach gibt es von der Umschreibevorrichtung 20,
wie es zuvor beschrieben worden ist, eine Meldung einer normalen Beendigung
(S700 in 6) oder eine
Meldung einer anomalen Beendigung (S710).
-
Demgemäß wird in
S960 bestimmt, ob es eine Beendigungsmeldung von der Umschreibevorrichtung 20 gegeben
hat oder nicht. Wenn bestimmt wird, daß es eine Beendigungsmeldung
gegeben hat (S960: JA), schreitet die Verarbeitung zu S970 fort. Andererseits
wird, solange es keine Beendigungsmeldung gibt (S960: NEIN), diese
Bestimmungsverarbeitung wiederholt.
-
In
S970 wird bestimmt, ob die Beendigungsmeldung eine Meldung einer
normalen Beendigung ist oder nicht. Wenn bestimmt wird, daß sie eine
Meldung einer normalen Beendigung ist (S970: JA), wird in S980 die
Aktualisierungshistoriendatenbank aktualisiert und danach diese
steuerzentralenseitige Verarbeitung beendet. Andererseits wird,
wenn bestimmt wird, daß sie
keine Meldung einer normalen Beendigung ist (S970: NEIN), das heißt wenn
sie eine Meldung einer anomalen Beendigung gewesen ist, die Verarbeitung
von S950 wiederholt.
-
Gemäß dem vorstehenden
Ausführungsbeispiel
wird die Funktion f, die eine Zugriffsinformation bildet, in der
Steuerzentrale 30 gespeichert. Lediglich dann, wenn die
Steuerzentrale 30 bestimmt, daß die Umschreibevorrichtung 20 eine
legitimierte ist, wird die Funktion f von der Steuerzentrale 30 an
die Umschreibevorrichtung 20 gesendet (B2, B3 in 2). Demgemäß ist auch
dann, wenn die Umschreibevorrichtung 20 oder eine Information
innerhalb der Umschreibevorrichtung 20 gestohlen wird,
die Zugriffsinformation zum Zugreifen auf die ECUs 11 bis 14 nicht in
der Umschreibevorrichtung 20 gespeichert. Deshalb ist es
nicht möglich,
die Steuerinformation der ECJs 11 bis 14 umzuschreiben,
wenn es nicht möglich
ist, eine Zugriffsinformation aus der Steuerzentrale 30 zu
erhalten.
-
Die
Steuerzentrale 30 weist eine Datenbank auf, in welcher
eine Kennungsinformation, die eindeutig der Umschreibevorrichtung 20 zugewiesen
ist, und eine Telefonnummer der Seite der Umschreibevorrichtung 20,
wenn eine Datenkommunikation über eine
Telefonleitung auszuführen
ist, im Zusammenhang gespeichert sind. Sie erfaßt eine Kennungsinformation
von der Umschreibevorrichtung 20 und erfaßt die Telefonnummer,
von welcher der Anruf durchge führt
wird (S850 in 7). Wenn
die Zugehörigkeitsbeziehung
zwischen dieser Kennung und der Telefonnummer mit der Zugehörigkeitsbeziehung übereinstimmt,
die in der Datenbank gespeichert ist (S860, S870: JA), bestimmt
die Steuereinrichtung 30, daß die Umschreibevorrichtung 20 legitimiert
ist und sendet die Funktion f, welche eine Zugriffsinformation ist
(S890). Wenn zum Beispiel eine Leitung zwischen der Umschreibevorrichtung 20 und
der Steuerzentrale 30 von woanders als einer regulären Arbeitsstelle verbunden
ist, ist die Telefonnummer, die die Steuerzentrale 30 erfaßt, nicht
mehr die vorab entschiedene Telefonnummer. Folglich entspricht sie
nicht der Kennungsinformation und kann die Zugriffsinformation nicht
von der Steuerzentrale 30 erhalten werden. Als Ergebnis
ist es nicht möglich,
die Steuerinformation in den ECUs 11 bis 14 umzuschreiben.
-
Wie
es vorstehend beschrieben worden ist, kann mit dem Steuerinformations-Umschreibesystem 1 dieses
Ausführungsbeispiels
auch dann, wenn die Umschreibevorrichtung 20 oder eine
Information innerhalb der Umschreibevorrichtung 20 gestohlen wird,
sicher verhindert werden, daß eine
Steuerinformation der ECUs 11 bis 14 ungebührlich umgeschrieben
wird.
-
Mit
den Steuerinformations-Umschreibesystem 1 dieses Ausführungsbeispiels
bestimmt die Steuerzentrale 30 zuerst die Legitimität der Umschreibevorrichtung 20 und
bestimmen dann die ECUs 11 bis 14 die Legitimität der Umschreibevorrichtung 20.
Wenn in irgendeiner dieser Überprüfungen von
zwei Stufen dreimal in Folge bestimmt wird, daß die Umschreibevorrichtung 20 nicht
legitimiert ist, wird eine 10minütige
Zugriffsverweigerung ausgeführt.
-
Das
heißt,
in den ECUs 11 bis 14 wird, wenn bestimmt wird,
daß die
Umschreibevorrichtung 20 nicht legitimiert ist (S380: NEIN
in 4), die Variable
C1 erhöht
(S410). Wenn die Variable C1 größer als 2
wird (S330: NEIN in 3),
das heißt
wenn eine Bestimmung einer fehlenden Legitimation dreimal in Folge
durchgeführt
wird, wird ein Zugriffsverweigerungszeitgeber eingestellt (S340).
Daher wird ein Zugriff der Umschreibevorrichtung 20 verweigert
(S310: NEIN), bis der Zeitgeber 0 wird.
-
Indessen
wird in ähnlicher
Weise ebenso in der Steuerzentrale 30, wenn bestimmt wird,
daß die Umschreibevorrichtung 20 nicht
legitimiert ist (S870: NEIN in 7),
die Variable C2 inkrementiert (S880). Wenn die Variable C2 größer als
2 wird (S820: NEIN), das heißt
wenn eine Bestimmung einer fehlenden Legitimation dreimal in Folge
durchgeführt
wird, wird ein Zugriffsverweigerungszeitgeber eingestellt (S830). Somit
wird ein Zugriff der Umschreibevorrichtung 20 verweigert
(S800: NEIN), bis der Zeitgeber 0 wird.
-
Als
Ergebnis kann auch dann, wenn ein Versuch gemacht wird, auf die
Steuerzentrale 30 oder die ECUs 11 bis 14 von
der Umschreibevorrichtung 20 unter Verwendung einer nicht
legitimierten Information zuzugreifen, die Steuerinformationsumschreibeverhinderung
verhindert werden. Dies liegt daran, daß es aus dem Grund, daß ein Zugriff
für zehn
Minuten unmöglich
wird, wenn ein nicht legitimierter Zugriff dreimal in Folge ausgeführt wird,
nicht möglich ist,
viele Male in Folge zuzugreifen.
-
In
diesem Ausführungsbeispiel
speichert die Steuerzentrale 30 Änderungsdaten einer Steuerinformation.
Das heißt,
es gibt auch dann, wenn die Umschreibevorrichtung 20 oder
eine Information innerhalb der Umschreibevorrichtung 20 gestohlen
werden, keine Möglichkeit,
daß Änderungsdaten
nach außen
gelangen, da Änderungsdaten
nicht wie in der Vergangenheit in der Umschreibevorrichtung 20 gespeichert
werden.
-
Die
Steuerzentrale 30 sendet Änderungsdaten (S950) mit einem
zweiten Erlaubnissignal von den ECUs 11 bis 14,
das an sie als eine Bedingung gesendet worden ist (S910: NEIN).
Das heißt,
sie sendet Änderungsdaten,
wobei als eine Bedingung von den ECUs 11 bis 14 bestimmt
worden ist, daß die Umschreibevorrichtung 20 legitimiert
ist. Deshalb kann die Möglichkeit,
daß Änderungsdaten
nach außen
gelangen, weiter verringert werden.
-
Wenn
die ECUs 11 bis 14 bestimmen, daß die Umschreibevorrichtung 20 legitimiert
ist (S380: JA in 4),
senden sie zusätzlich
zu dem zweiten Erlaubnissignal einen Fahrzeug-VIN-Code, mit welchem
es möglich
ist, das Fahrzeug 10 zu bestimmen (S390). Die Steuerzentrale 30 weist
eine Datenbank von Aktualisierungshistorien von Steuerinformationen
auf, die in den ECUs 11 bis 14 von unterschiedlichen
Fahrzeugen 10 gespeichert sind, und sie unterscheidet auf
der Grundlage des zuvor erwähnten Fahrzeug-VIN-Codes
aus den ECUs 11 bis 14 das Fahrzeug 10 und
nimmt auf die Datenbank (S920 in 8)
Bezug und bestimmt die Notwendigkeit eines Steuerinformationsumschreibens
(S930). Dann sendet sie, wenn es eine Notwendigkeit eines Umschreibens
gibt (S930: JA), die Änderungsdaten
(S950).
-
In
diesem Ausführungsbeispiel
wird kein vergebliches Umschreiben einer Steuerinformation ausgeführt, da
die Steuerzentrale 30 die Steuerinformations-Aktualisierungshistorien
von Fahrzeugen 10 verwaltet. Als Ergebnis ist keine vergebliche
Arbeitszeit erforderlich und es geschieht nicht, daß ein erforderliches
Umschreiben aufgrund eines vergeblichen Umschreibens unmöglich wird.
-
In
der Steuerzentrale 30 wird die Steuerinformations-Aktualisierungshistoriendatenbank
automatisch aktualisiert (S980), wenn eine normale Beendigung eines
Umschreibens von den ECUs 11 bis 14 über die
Umschreibevorrichtung 20 gemeldet wird (S970: JA in 8). Daher gibt es keine
Notwendigkeit, daß ein
Bediener die Datenbank durch eine manuelle Betätigung aktualisieren muß.
-
In
der Umschreibevorrichtung 20 wird, wenn die Funktion f,
die eine Zugriffsinformation bildet, nicht mehr erforderlich ist
(S650: NEIN, S690: JA in 6),
diese Funktion f, die eine Zugriffsinformation bildet, schnell gelöscht (S660,
S700). Aufgrund dessen kann die Möglichkeit, daß die Funktion
f, die als eine Zugriffsinformation dient, die von der Steuerzentrale 30 an
die Umschreibevorrichtung 20 gesendet wird, aus der Umschreibevorrichtung 20 gestohlen wird,
verringert werden.
-
Diese
Erfindung ist in keiner Weise auf das offenbarte Ausführungsbeispiel
beschränkt,
sondern kann wie folgt auf verschiedene Weisen realisiert werden,
ohne den Umfang der Erfindung zu verlassen.
-
(1)
Die Steuerzentrale 30 kann eine Datenbank aufweisen, in
welcher eine Kennungsinformation von Umschreibevorrichtungen 20 und
Paßwörter in
Zusammenhang gebracht werden, und die Umschreibevorrichtung 20 kann
ein Paßwort,
das von einem Bediener eingegeben wird, zusammen mit der Kennungsinformation
senden. In diesem Fall entspricht das Paßwort einer zugehörigen Information und
bestimmt die Steuerzentrale 30 die Legitimität der Umschreibevorrichtung 20 auf
der Grundlage der Entsprechung zwischen der Kennungsinformation und
dem Paßwort,
das von der Umschreibevorrichtung 20 gesendet wird.
-
Die
Kennungsinformation kann ebenso auf die gleiche Weise wie das Paßwort von
einem Benutzer eingegeben werden. Wenn dies durchgeführt wird,
ist es auch dann, wenn die Umschreibevorrichtung 20 oder
eine Information innerhalb der Umschreibevorrichtung 20 gestohlen
wird, unmöglich, eine
Zugriffsinformation aus der Steuerzentrale 30 zu erhalten,
und ist es möglich,
das ungehörige
Umschreiben einer Steuerinformation auf die gleiche Weise wie in
dem Ausführungsbeispiel,
das zuvor beschrieben worden ist, zu verhindern, da das Paßwort oder
die Kennungsinformation und das Paßwort nicht bekannt sind.
-
Jedoch
ist es, da es ebenso eine Möglichkeit gibt,
daß die
Kennungsinformation oder das Paßwort auf
einen anderen Weg gestohlen wird, bevorzugt, eine Telefonnummer,
die mit dem Installationsort der Umschreibevorrichtung 20 verbunden
ist, wie in dem vorhergehend beschriebenen Ausführungsbeispiel zu der zugehörigen Information
zu machen. Dies ist so, da ein ungehöriges Umschreiben nicht an
einer regulären
Arbeitsstelle ausgeführt
werden kann.
-
(2)
Es ist vorstellbar, daß die
Datenkommunikation zwischen der Steuerzentrale 30 und der
Umschreibevorrichtung 20 vorübergehend beendet wird, nachdem
die Umschreibevorrichtung 20 die Zugriffsinformation von
der Steuerzentrale 30 erfaßt hat. Zum Beispiel ist es
vorstellbar, daß die
Datenkommunikation vorübergehend
beendet wird, nachdem die Datenkommunikation von B1 bis B4 in 2 beendet ist, und ein Zustand
einer möglichen
Datenkommunikation zwischen der Umschreibevorrichtung 20 und der
Steuerzentrale 30 erneut gebildet wird, wenn die Verarbeitung
von B11 fortschreitend ausgeführt
wird.
-
Jedoch
gibt es eine Möglichkeit,
daß eine
Zugriffsinformation, die von der Umschreibevorrichtung 20 gesen det
wird, gestohlen wird und auf die ECUs 11 bis 14 unter
Verwendung dieser Zugriffsinformation und unter Verwendung einer
anderen Umschreibevorrichtung zugegriffen wird.
-
Deshalb
ist es vorteilhaft, wenn die Steuerzentrale 30 und die
Umschreibevorrichtung 20, die sich in einem Zustand der
möglichen
Datenkommunikation befinden, zu einem Zustand eines Umschreibens
gemacht werden, bis die Kette einer Umschreibeverarbeitung (die
Verarbeitung von B1 bis B18, die in 2 gezeigt
ist) endet.
-
Insbesondere
könnte
die folgende Art eines Aufbaus angewendet werden. Das heißt, die
Umschreibevorrichtung 20 kann regelmäßig eine Reaktionanforderung
auf der Grundlage einer Zeitgeberunterbrechungsverarbeitung oder
dergleichen an die Steuerzentrale 30 senden, und die Steuerzentrale 30 kann
eine Reaktion durchführen.
Zu diesem Zeitpunkt führt
die Umschreibevorrichtung 20 kein Umschreiben der ECUs 11 bis 14 durch,
wenn eine Reaktion von der Steuerzentrale 30 unterbleibt,
bevor die Kette einer Umschreibeverarbeitung beendet ist. Wenn dies
durchgeführt
wird, wird es unmöglich,
von einer unterschiedlichen Umschreibevorrichtung aus unter Verwendung
einer gestohlenen Zugriffsinformation auf eine ECU zuzugreifen.
-
(3)
In dem Fall, in dem Steuerprogramme, die in der ECU 11 gespeichert
sind, aus irgendeinem Grund gestört
werden, sollte die Verarbeitung, die in 2 gezeigt ist, derart abgeändert werden,
daß derartige
Steuerprogramme umgeschrieben werden können.
-
In
diesem Fall liest die ECU 11 nach einem Ausführen von
B1 bis B9 in 2 eine
Prüfsumme von
seinem Steuerprogramm aus und sendet sie zusammen mit dem zweiten
Er laubnissignal und dem VIN-Code an die Umschreibevorrichtung 20 (B10). Die
Umschreibevorrichtung 20 sendet eine derartige empfangene
Information an die Steuerzentrale 30 (B11). Die Steuerzentrale 30 bestimmt
auf der Grundlage des Vergleichs des VIN-Codes und der Prüfsumme zwischen
dem empfangenen und dem vorab gespeicherten, ob es notwendig ist,
das Steuerprogramm umzuschreiben (B12). Genauer gesagt bestimmt
die Steuerzentrale 30 die Version des Steuerprogramms in
der ECU 11 auf der Grundlage des empfangenen VIN-Codes
und bestimmt durch Überprüfen der
empfangenen Prüfsumme
des Steuerprogramms, ob das Steuerprogramm normal ist. Wenn die
Prüfsumme
sich von dem vorab gespeicherten Wert unterscheidet ist, bestimmt
sie, daß das
Steuerprogramm gestört
oder unterbrochen ist.
-
Wenn
die Steuerzentrale 30 auf der Grundlage des VIN-Codes bestimmt, daß die Version
des Steuerprogramms geändert
worden ist, sendet sie die Änderungsdaten
ungeachtet des Prüfsummenbestimmungsergebnisses
an die Umschreibevorrichtung 20 (B13). Wenn die Steuerzentrale 30 bestimmt, daß die Version
des Steuerprogramms nicht geändert
worden ist, aber das Steuerprogramm gestört ist, sendet sie das ursprüngliche
Steuerprogramm an die Umschreibevorrichtung 20. Daher kann
das Steuerprogramm in der ECU 11 erneuert werden. Es ist
natürlich
möglich,
Schlüsselworte
oder dergleichen, die innerhalb des Steuerprogramms vorgesehen sind, anstelle
eines Verwendens der Prüfsumme
zum Erfassen, ob das Steuerprogramm gestört worden ist, zu verwenden.