【課題】許可の無い者による車両制御装置のデータ書き換えの無断実行をより確実に回避することのできる車両制御装置及びそのデータ書換システムを提供する。
【解決手段】無線通信ネットワーク１１を通じて配信された書換用データに基づく車両制御装置のデータ書き換えの実行に際して、ユーザーが手動入力したＩＤコードと車両２０に予め記憶されたＩＤコードとの照合に基くユーザー識別検査を実施する。そしてそのユーザー識別検査の結果、データ書き換えの実行を許可された特権ユーザーであることが確認されることを条件に、上記配信された書換用データに基くデータ書き換えの実行を許可することとした。

【発明の詳細な説明】
【技術分野】
【０００１】
本発明は、無線通信ネットワーク経由で配信されたデータに基いて自身の制御プログラムや制御データの書き換えを実行する車両制御装置、及びそうした車両制御装置のデータ書換システムに関するものである。
【背景技術】
【０００２】
近年、例えば特許文献１に見られるように、車両制御装置の制御プログラムや制御データの書き換え、すなわちリプログラムを、携帯電話回線等の無線通信ネットワーク経由で行う技術が提案されている。こうした無線通信ネットワーク経由のリプログラム、いわゆるリモート・リプログラムでは、車両をディーラーや整備工場などに持ち込まなくても、車両制御装置のデータ更新が可能であるため、制御プログラムや制御データの問題部分を迅速且つ確実に解消することができる。
【０００３】
この従来の技術では、こうしたリプログラムを以下の態様で実施するようにしている。すなわち、書換用のデータは、車両メーカの運営する管理センタから無線通信ネットワークを通じて各車両へと配信される。このときに管理センタは、書換用のデータと共に車型コードを配信する。一方、車両には、自身の車型コードが記憶されており、受信した車型コードと自身の記憶する車型コードとを照合して、両者が一致すれば、配信された書換用データが自車に対するものと判断して、受信したデータに基づいて自身の制御プログラムや制御データの書き換えを実行する。
【０００４】
こうした制御プログラムや制御データの書き換えによっては、車両の操作感が変化することがある。そのため、車両の所有者（オーナー）が関知せぬまま、リプログラムが無断実行されてしまうと、予期せぬ車両操作感の変化により、オーナーに不安や不審感を与える虞がある。そこで従来、特許文献２、３に見られるように、ナビゲーション装置などの車載表示機器にリプログラムの実行を許可するか否かを尋ねる確認画面を表示し、許可された場合にのみ、リプログラムを実行する技術が提案されている。こうした場合、確認画面の表示やリプログラム実行の許可操作を通じて、制御プログラムや制御用データが書き換えられることが前もって報されることとなるため、たとえリプログラム後に車両操作感が変化しても、あまり不信感や違和感は感じないようになる。
【特許文献１】特開平５−１９５８５９号公報
【特許文献２】特開平１１−２７７４９公報
【特許文献３】特開２０００−２０７２１８号公報
【発明の開示】
【発明が解決しようとする課題】
【０００５】
しかしながら、こうしたリプログラム実行の許可制を採用しても、その車両の主たる使用者（通常はその車両のオーナー）が関知せぬままにリプログラムが実行されてしまう蓋然性は未だ存在している。例えば車両を知人に貸し出したり、ディーラーや整備工場に修理・点検に出したりして、車両がオーナーの手から離れている間に、オーナー以外の者の手でリプログラムの実行を許可する操作が行われてしまうことがある。こうした場合、その操作を行った者がオーナーにその旨を伝えなければ、やはりオーナーの知らぬ間にリプログラムが実行されてしまうことになり、オーナーの手に車両が戻ったときに、予期せぬ車両の操作感の変化が生じ、不安や不審を招く虞がある。
【０００６】
本発明はこうした実状に鑑みてなされたものであって、その解決しようとする課題は、許可の無い者による車両制御装置のデータ書き換えの無断実行をより確実に回避することのできる車両制御装置及びそのデータ書換システムを提供することにある。
【課題を解決するための手段】
【０００７】
上記課題を解決するため、請求項１に記載の車両制御装置では、無線通信ネットワークを通じて配信された書換用のデータに基づいて自身の記憶するデータの書き換えを実行する車両制御装置にあって、前記データの書き換えの実行を許可された車両ユーザーとして予め指定された特権ユーザーか否かを確認するユーザー識別検査を実施して、特権ユーザーであると確認されることを条件に、前記データの書き換えの実行を許可することとしている。
【０００８】
また請求項２に記載の車両制御装置では、無線通信ネットワークを通じて配信された書換用のデータに基づいて自身の記憶するデータの書き換えを実行する車両制御装置にあって、前記データの書き換えの実行を許可された車両ユーザーとして予め指定された特権ユーザーか否かを確認するユーザー識別検査を実施して、前記特権ユーザーであると確認されなかったときには、前記データの書き換えの実行を禁止することとしている。
【０００９】
一方、上記課題を解決するため、請求項２４に記載の車両制御装置のデータ書換システムでは、無線通信ネットワークを通じて管理センタから各車両へと書換用のデータを配信して、各車両の車両制御装置の記憶するデータの書き換えを実行させる車両制御装置のデータ書換システムにあって、前記データの書き換えの実行を許可された車両ユーザーとして予め指定された特権ユーザーであるか否かを確認するユーザー識別検査を各車両で実施して、前記特権ユーザーであると確認されることを条件に該当車両での前記データの書き換えの実行を許可することとしている。
【００１０】
また請求項２５に記載の車両制御装置のデータ書換システムでは、無線通信ネットワークを通じて管理センタから各車両へと書換用のデータを配信して、各車両の車両制御装置の記憶するデータの書き換えを実行させる車両制御装置のデータ書換システムにあって、前記データの書き換えの実行を許可された車両ユーザーとして予め設定された特権ユーザーであるか否かを判定するユーザー識別検査を各車両で実施して、前記特権ユーザーであると確認されなかったときには、該当車両での前記データの書き換えの実行を禁止することとしている。
【００１１】
これらの車両制御装置及びそのデータ書換システムでは、無線通信ネットワークを通じて配信された書換用のデータに基づく車両制御装置のデータ書き換えの実行に際して、データの書き換えの許可された車両ユーザー（車両の使用者）である特権ユーザーであるか否かのユーザー識別検査が実施される。なお、ここでの「データの書き換え」とは、車両制御装置の記憶する制御プログラム、制御データの少くとも一方の書き換えを意味している。
【００１２】
こうしたデータ書き換えに際して、請求項１に記載の車両制御装置及び請求項２４に記載のデータ書換システムでは、このユーザー識別検査において特権ユーザーであると認められることを条件に、車両制御装置のデータの書き換えの実行が許可されるようになっている。また、このときの請求項２に記載の車両制御装置及び請求項２５に記載のデータ書換システムでは、このユーザー識別検査において、データ書き換えの実行を許可された車両ユーザーであると認められなかったときには、車両制御装置のデータの書き換えの実行は禁止されるようになっている。すなわち、いずれにおいても、ユーザー識別検査において、データ書き換えの実行を許可された車両ユーザーであると認められない限りは、車両制御装置のデータの書き換えは実行することができないようになっている。
【００１３】
このように本発明では、データの書き換えの実行を許可された車両ユーザーを予め限定しておき、それ以外の者によっては車両制御装置のデータの書き換えは実行できないようにしている。そのため、車両の主たる使用者にのみにデータ書き換えの実行を許可しておけば、その主たる使用者が関知せぬままデータ書き換えが無断実行されるという事態は生じないようになる。
【００１４】
なお、こうした車両制御装置及びそのデータ書換システムでのユーザー識別検査は、例えば請求項３や請求項２６に記載のように、各車両の特権ユーザーにそれぞれ個別に設定されたユーザー識別コードを、特権ユーザーが乗車時に所持するユーザーアイテム及び車両にそれぞれ記憶させておき、車両に記憶されたユーザー識別コードとユーザーアイテムから取得したユーザー識別コードとを照合して行うことができる。
【００１５】
ここでの「ユーザーアイテム」とは、車両内に持ち込み可能で、且つ車両運転時にユーザーが高い頻度で所持すると考えられる物品を指している。こうしたユーザーアイテムとしては、例えば車両のキーやキーホルダ、携帯電話、運転免許証及びそのケースなどが考えられる。ここでは、そうしたユーザーアイテムからユーザー識別コードを取得して、車両に記録されたユーザー識別コードと照合することで、データ書き換えの許可された特権ユーザーであるか否かを識別するようにしている。こうしたユーザーアイテムを、データ書き換えの許可された特権ユーザーのみが所持するものとしておけば、そのユーザーアイテムを用いて、乗車中のユーザーが、データ書き換えの許可された特権ユーザーであるか否かを確認することができる。
【００１６】
一方、上記のユーザー識別検査は、請求項４や請求項２７に記載のように、各車両の特権ユーザーにそれぞれ個別に設定されたユーザー識別コードを車両に記憶させておき、その車両に記憶のユーザー識別コードと、ユーザーにより手動入力されたユーザー識別コードとを照合することによっても行うことができる。この場合、無線通信ネットワークを通じてデータの書き換えが指令されると、車両制御装置は、例えばカーナビゲーションシステムのような、車両に搭載のインターフェイスにユーザー識別コードの入力画面を表示し、その入力画面を通じて手動入力されたユーザー識別コードと車両自体に記録されたユーザー識別コードとを照合する。このときに入力すべき適正なユーザー識別コードを、データ書き換えの許可された特権ユーザーのみが知るものとしておけば、それ以外のユーザーによるデータ書き換えの無断実行を回避することが可能となる。
【００１７】
更に上記のユーザー識別検査は、請求項５や請求項２８に記載のように、特権ユーザーが乗車時に所持するユーザーアイテムと車両とに、各車両の特権ユーザーにそれぞれ固有のユーザー識別コードをそれぞれ記憶させ、車両に記憶のユーザー識別コードと、ユーザーアイテムから取得したユーザー識別コード、及びユーザーにより手動入力されたユーザー識別コードとの照合を通じて行うこともできる。この場合、ユーザーアイテムから受信したユーザー識別コードとユーザーが手動入力したユーザー識別コードとの双方を用いて、より確実にユーザー識別検査を行なうことができる。またこのとき更に、請求項６や請求項２９に記載のように、ユーザーアイテムから取得したユーザー識別コードとの照合用と、ユーザーにより手動入力されたユーザー識別コードとの照合用との２つの異なるユーザー識別コードを車両に記憶させておくようにすれば、ユーザー識別検査をより一層厳格とすることができる。すなわち、この場合、特権ユーザーであると認めさせるためには、異なる２つのユーザー識別コードが必要となり、たとえそのいずれか一方を不正に取得したとしても、もう一方のユーザー識別コードが判らなければ、データ書き換えを実行させることはできなくなる。例えば、ユーザーアイテムの記憶データを解読してそこに記憶されたユーザー識別コードを不正取得したとしても、それだけではデータ書き換えは無断実行されないようになる。
【００１８】
ちなみに、請求項３、５及び６に記載の車両制御装置や請求項２６、２８及び２９に記載のデータ書換システムのように、ユーザーアイテムから取得したユーザー識別コードを用いたユーザー識別検査を行なう場合、よりセキュリティ性を高めるには、請求項７や請求項３０に記載のように、ユーザーアイテムから取得したユーザー識別コードの記憶を、イグニッションスイッチがオフされる毎にクリアするようにすると良い。この場合、イグニッションスイッチのオフ後、ユーザーアイテムから取得したユーザー識別コードの記憶は車両制御装置に残されず、車両制御装置の記憶部からユーザーアイテムのユーザー識別コードを取得することは困難となるため、不正取得したユーザー識別コードを用いた不正なリプログの実行を防止することができる。
【００１９】
一方、請求項８や請求項３１に記載の発明では、請求項４〜６に記載の車両制御装置や請求項２７〜２９に記載のデータ書換システムのよう手動入力されたユーザー識別コードを用いてユーザー識別検査を行なう場合において、そのユーザー識別コードの手動入力を、メインキーによる乗車である場合に限り許容することとしている。すなわち、メインキー以外のキー（スペアキー）での乗車である場合には、ユーザー識別コードの手動入力を禁止することとしている。この場合、たとえユーザー識別コードを知り得たとしても、メンイキーを所持しなければ、データ書き換え実行の手続きを進めることはできなくなる。そのため、不正なデータ書き換えの実行を更に困難とすることができる。また請求項９や請求項３２に記載の発明では、そうしたユーザー識別コードの手動入力を、特権ユーザーが乗車時に所持する物品であるユーザーアイテムに記録されたユーザー識別コードを取得した場合に限って許容するようにしている。この場合にも、ユーザーアイテムを所持しなければ、データ書き換え実行の手続きを進めることはできなくなり、不正なデータ書き換えの実行をより困難とすることができる。
【００２０】
また請求項１０に記載の車両制御装置や請求項３３に記載のデータ書換システムでは、請求項３〜９や請求項２６〜３２に記載のように車両に記録されたユーザー識別コードを用いて上記ユーザー識別検査を行う場合において、そうした車両に記録のユーザー識別コードをデータ書き換えの実行時に併せ書き換えるようにしている。こうした場合、データ書き換えが行なわれる都度、ユーザー識別検査をパスするために必要なユーザー識別コードが更新されるため、不正なデータ書き換えの実行をより困難とすることができる。これに対して、そうしたデータ書き換え実行毎のユーザー識別コードの更新が不要な場合には、請求項１１に記載の車両制御装置や請求項３４に記載のデータ書換システムのように、車両に記録のユーザー識別コードを、データの書き換えによっては書き換えられない記憶領域に格納するようにしておくと良い。
【００２１】
ところで、セキュリティ上の都合などにより、データ書き換えの実行に必要なユーザー識別コードの変更が必要となることがある。こうした場合にも、請求項１２や請求項３５に記載のように、上記車両に記録のユーザー識別コードを、管理センタからの無線通信ネットワークを通じた指令により設定及び変更可能としておけば、そうした状況に対応することができる。またそうした車両に記録のユーザー識別コードを、請求項１３や請求項３６に記載のように携帯電話を用いて設定及び変更可能としたり、請求項１４や請求項３７に記載のようにその車両に搭載のインターフェイスを用いて設定及び変更可能としたりすれば、ユーザーが必要に応じて容易にユーザー識別コードを変更可能となる。
【００２２】
また請求項１５に記載の車両制御装置や請求項３８に記載のデータ書換システムでは、車両に記憶のユーザー識別コードを、予め設定された有効期間が経過する毎に変更することとしている。また請求項１６に記載の車両制御装置や請求項３９に記載のデータ書換システムでは、車両に記憶のユーザー識別コードを、予め設定された有効期間が経過すると無効化することとしている。これらのように、データ書き換えの実行に必要なユーザー識別コードを定期的に更新するようにすれば、更なるセキュリティ性の向上を図ることができる。なお、そうしたユーザー識別コードの有効期間は、請求項１７に記載の車両制御装置や請求項４０に記載のデータ書換システムのように、ユーザーが任意に設定可能とすることもできる。
【００２３】
以上のような本発明の車両制御装置及びそのデータ書換システムにおいて、請求項１８や請求項４１に記載のように、ユーザー識別検査における特権ユーザーであるとの確認の条件に、指紋パターンの照合や網膜パターンの照合などのバイオメトリック認証に基づくユーザーの確認を加えるようにすれば、ユーザー識別検査を更に厳密なものとすることができる。また請求項１９や請求項４２に記載のように、ユーザー識別検査における特権ユーザーであるとの確認の条件に、自動料金支払いシステム（ＥＴＣ）の有する車両識別情報が該当車両に合致することの確認を加えるようにしても良い。
【００２４】
更に請求項２０、請求項４３に記載の発明は、請求項１〜１９に記載の車両制御装置、請求項２４〜４２に記載のデータ書換システムにおいて、特権ユーザーが乗車時に所持する物品であるユーザーアイテムに車種毎に固有の車型識別情報を記憶させておくとともに、そのユーザーアイテムから取得した車型識別情報を用いて、前記配信されたデータが自車に対するものであるか否かを判断することとしている。この場合、ユーザーアイテムを所持して乗車しなければ、データ書き換えの対象が自車であるか否が判断できず、結果としてデータ書き換え実行の手続きは進められないようになる。
【００２５】
一方、上記課題を解決するため、請求項２１に記載の車両制御装置では、無線通信ネットワークを通じて配信された書換用のデータに基づいて自身の記憶するデータの書き換えを実行する車両制御装置にあって、前記データの書き換えの実行を許可された車両ユーザーとして予め指定された特権ユーザーが乗車時に所持する物品であるユーザーアイテムに、車種毎に固有の車型識別情報を記憶させておくとともに、そのユーザーアイテムから取得した車型識別情報を用いて、前記配信されたデータが自車に対するものであるか否かを判定することとしている。
【００２６】
また請求項４４に記載の車両制御装置のデータ書換システムでは、無線通信ネットワークを通じて管理センタから各車両へと書換用のデータを配信して、各車両の車両制御装置の記憶するデータの書き換えを実行させる車両制御装置のデータ書換システムにあって、前記データの書き換えの実行を許可された車両ユーザーとして予め指定された特権ユーザーが乗車時に所持する物品であるユーザーアイテムに、車種毎に固有の車型識別情報を記録しておくとともに、前記車両制御装置は、そのユーザーアイテムから取得した前記車型識別情報を用いて、配信された前記書換用のデータが自車に対するものであるか否かを判断することとしている。
【００２７】
こうした車両制御装置及びそのデータ書換システムでは、ユーザーアイテムを所持して乗車しなければ、データ書き換えの対象が自車であるか否が判断できず、結果としてデータ書き換え実行の手続きが進められないようになる。すなわち、ユーザーアイテムを所持して乗車した場合以外は、車両制御装置のデータ書き換えは実行不能となる。そのため、ユーザーアイテムを、データ書き換えの許可された特権ユーザーのみが所持するものとしておけば、特権ユーザー以外のユーザーによる不正な車両制御装置のデータ書き換えが実行されないようにすることができる。
【００２８】
なお請求項２２、４５に記載の発明は、こうした請求項２１に記載の車両制御装置、及び請求項４４に記載のデータ書換システムにおいて、その車両制御装置を、特権ユーザーか否かを確認するユーザー識別検査を実施して、特権ユーザーであることが確認されることを条件にデータの書き換えの実行を許可するものとしている。また請求項２３、４６に記載の発明は、同じく請求項２１に記載の車両制御装置、及び請求項４４に記載のデータ書換システムにおいて、その車両制御装置を、特権ユーザーか否かを確認するユーザー識別検査を実施して、特権ユーザーであると確認されなかったときには、データの書き換えを禁止するものとしている。
【００２９】
これらの車両制御装置及びそのデータ書換システムでは、ユーザーアイテムから取得した車型識別情報を用いた、書換用データが自車に対するものか否かの判断に加え、データ書き換えの許可された特権ユーザーであるか否かのユーザー識別検査が実施される。このときに請求項２２に記載の車両制御装置及び請求項４５に記載のデータ書換システムでは、そのユーザー識別検査において、特権ユーザーであると認められたことを条件に、車両制御装置のデータの書き換えが許可されるようになっている。また、このときの請求項２３に記載の車両制御装置及び請求項４６に記載のデータ書換システムでは、そのユーザー識別検査において特権ユーザーであると認められなかったときには、車両制御装置のデータの書き換えは禁止されるようになっている。すなわち、いずれにおいても、ユーザー識別検査において特権ユーザーであると確認された場合にしか、車両制御装置のデータ書き換えは実行されないようになる。
【発明の効果】
【００３０】
本発明の車両制御装置及びそのデータ書換システムによれば、許可の無い者による車両制御装置のデータ書き換えの無断実行をより確実に回避することができる。
【発明を実施するための最良の形態】
【００３１】
（第１実施形態）
以下、本発明の車両制御装置及びそのデータ書換システムを具体化した第１実施形態を、図１〜図８を参照して詳細に説明する。
【００３２】
本実施形態の車両制御装置のデータ書換システムでは、管理センタから無線通信ネットワークを通じて各車両に書換用データを配信して、各車両の車両制御装置のデータの書き換え、いわゆるリプログラムを実行させるようにしている。本実施形態では、こうしたデータ書き換えの実行を許可された車両ユーザー（車両の使用者）を車両毎に予め指定しておくようにしている。そして以下の構成（イ）、（ロ）を備えることで、データ書き換えの実行を許可された車両ユーザー以外の者が車両制御装置のデータ書き換えを無断実行することを防止するようにしている。なお、ここでは、データ書き換えの実行を許可された車両ユーザーを「特権ユーザー」と言う。特権ユーザーには、車両の主たる使用者（通常はその車両のオーナー）が指定される。
【００３３】
（イ）自車の車型を示す車型識別情報を、車両自体ではなく、特権ユーザーが乗車時に所持する物品（ユーザーアイテム）に記憶させる。そしてそのユーザーアイテムから取得した車型識別情報を用いて、配信された書換用データが自車に対するものであるか否かの判断を実施する。すなわち、車型識別情報の記憶されたユーザーアイテムを特権ユーザーのみに配布するとともに、そうしたユーザーアイテムを所持した状態でなければ、データ書き換えを実行することができないようにしている。なお本実施形態では、車両のメインキーとして用いられて、キーレスエントリ等の機能を提供するインテリジェントキーを、上記ユーザーアイテムとして使用する。
【００３４】
（ロ）配信された書換用データに基づく車両制御装置のデータ書き換えを実行する際に、上記特権ユーザーであるか否かを確認するためのユーザー識別検査を実施する。そしてそのユーザー識別検査において特権ユーザーであると認められることを条件に、データ書き換えの実行を許可する。すなわち、実施したユーザー識別検査において特権ユーザーであると認められない限り、配信された書換用データに基づくデータ書き換えの実行を禁止する。なお本実施形態では、そうしたユーザー識別検査を、特権ユーザーのみが知るユーザー識別コード（ＩＤコード）の手動入力を求めるとともに、その入力された識別コードを車両に予め記憶されたＩＤコードと照合することで行うようにしている。このＩＤコードは予め、車両制御装置に記憶させるとともに、特権ユーザーに通知しておくようにしている。よって、車両制御装置に記憶されたものと一致する、適正なＩＤコードが入力されたのであれば、その入力者は上記特権ユーザーであると確認することができる。
【００３５】
図１は、こうした本実施形態の車両制御装置のデータ書換システムの全体構成を示している。同図に示すように、本実施形態の車両制御装置のデータ書換システムは、無線通信ネットワーク１１を通じて管理下の各車両２０に書換用データを配信する管理センタ１０を中核に構成されている。本実施形態では、無線通信ネットワーク１１として、携帯電話回線を用いている。
【００３６】
管理センタ１０の管理下に置かれた各車両２０の車両制御装置は、エンジン及びその動力伝達系の制御を司るパワトレＥＣＵ２１、車室内空調設備の制御を司るエアコンＥＣＵ２２、ドアの施錠・開錠等のセキュリティ機能の制御を司るセキュリティＥＣＵ２３、車両２０の自己診断機能の制御を司る車載ダイアグマスタＥＣＵ２４などの複数の電子制御ユニット（ＥＣＵ）を備えて構成されている。各ＥＣＵ２１〜２４は、車内通信ネットワーク２５を通じて相互接続されている。
【００３７】
セキュリティＥＣＵ２３は、車両２０のメインキーであるインテリジェントキー２９から発せられる電波の受信機能を備えている。インテリジェントキー２９には、車型毎に固有のコードである車型コードが上記車型識別情報として予め記憶されている。この車型コードの情報は、電波に乗せてインテリジェントキー２９の周囲に発信されている。このインテリジェントキー２９は、上述の特権ユーザーのみが使用するものとされている。また車両２０のキーとしては、こうした車型コードの記憶されたインテリジェントキー２９に加え、車型コードの記憶されていないスペアキー２９ａが用意されており、特権ユーザー以外のユーザーは乗車時にこのスペアキー２９ａを使用するものとされている。このスペアキー２９ａによれば、ドアの施錠／開錠やイグニッションスイッチのオン／オフは行うことができるものの、メインキーであるインテリジェントキー２９とは異なり、車型コードは記憶されていないものとなっている。
【００３８】
車内通信ネットワーク２５には、車両２０の走路案内を行うナビゲーション装置２６が接続されてもいる。ナビゲーション装置２６には、各種情報を表示するディスプレイ２７と、操作用のタッチパネル２８とが備えられている。
【００３９】
図２は、こうした車両２０の車両制御装置の構成をより詳細に示したものである。同図に示すように、パワトレＥＣＵ２１は、各種制御に係る演算処理を実施するＣＰＵ（中央演算装置）２１ａを中心に構成されている。ＣＰＵ２１ａには、制御プログラムや制御データが記憶されるＲＯＭ（リードオンリーメモリ）２１ｂ、処理中のデータが一時記憶されるＲＡＭ（ランダムアクセスメモリ）２１ｃ、及び各種のセンサやアクチュエータが接続されるＩ／Ｏ（入出力インターフェイス）２１ｄが接続されている。ＲＯＭ２１ｂは、ＥＥＰＲＯＭやフラッシュメモリのような書換可能な不揮発性メモリで構成されており、電源遮断時にもその記憶が保持されるようになっている。一方、ＲＡＭ２１ｃは、揮発性メモリにて構成されており、電源遮断時にその記憶はクリアされる。
【００４０】
また同図では図示を省略しているが、エアコンＥＣＵ２２もパワトレＥＣＵ２１と同様に、ＣＰＵ、ＲＯＭ、ＲＡＭ及びＩ／Ｏを備えている。またセキュリティＥＣＵ２３は、ＣＰＵ、ＲＯＭ、ＲＡＭ及びＩ／Ｏに加えて、インテリジェントキー２９からの電波を受信するための受信器を備えている。一方、同図に示すように、車載ダイアグマスタＥＣＵ２４は、ＣＰＵ２４ａ、ＲＯＭ２４ｂ及びＲＡＭ２４ｃに加えて、アンテナ３０ａ、レシーバ３０ｂ及び復調器３０ｃからなる受信器３０を備えており、管理センタ１０（図１）から配信されたデータを受信可能とされている。
【００４１】
なお本実施形態の車両制御装置では、パワトレＥＣＵ２１のＲＯＭ２１ｂ内に、上述のユーザー識別検査に用いられるＩＤコードを予め記憶させている。こうしたユーザー識別用のＩＤコードは、車両購入時に上記特権ユーザー自身が任意に設定することとしている。そして納車前にディーラー等において、車内通信ネットワーク２５に接続された外部接続機器３１を通じてその設定されたＩＤコードをパワトレＥＣＵ２１のＲＯＭ２１ｂに登録するようにしている。これにより、特権ユーザーのみが知るＩＤコードが車両２０に記憶されることになる。
【００４２】
図３は、本実施形態でのパワトレＥＣＵ２１を対象とした、無線通信ネットワーク１１経由のデータ書き換え、いわゆるリモート・リプログラムの実行判断に係る一連の処理を示している。なお以下では、パワトレＥＣＵ２１を対象としたリモート・リプログラムについて説明するが、エアコンＥＣＵ２２やセキュリティＥＣＵ２３等の他のＥＣＵを対象とするリモート・リプログラムも、これと同様の態様で実施されている。
【００４３】
さてイグニッションスイッチのオン後、パワトレＥＣＵ２１は、ユーザーアイテムであるインテリジェントキー２９から車型コードを受信するための車型コード受信処理Ｓ１０を実施する。そしてパワトレＥＣＵ２１は、車型コードのＲＡＭ記憶処理Ｓ２０により、その受信した車型コードを自身のＲＡＭ２１ｃ内に記憶する。
【００４４】
一方、管理センタ１０は、車両制御装置のデータ書き換えを実行させるに際して、データ書換の対象となる車両の車型コードを、書換用データとともに無線通信ネットワーク１１を通じて配信する。こうして管理センタ１０からの書換用データの配信が行われると、パワトレＥＣＵ２１は、配信された車型コード及び書換用データの受信処理Ｓ３０を実施する。
【００４５】
車型コード及び書換用データを受信すると、パワトレＥＣＵ２１は、認証処理Ｓ４０を実施し、今回受信した書換用データが自車に対するものであるか否かを判断する。この認証処理Ｓ４０は、管理センタ１０から今回受信した車型コードを、先のＲＡＭ記憶処理Ｓ２０にてＲＡＭ２１ｃに記憶された車型コードとを照合し、両者が一致するか否かを確認することで行われる。ここで両者の車型コードが不一致であれば、パワトレＥＣＵ２１は、今回受信した書換用データは、自車を対象とするものでないと判断し、終了処理Ｓ５０を行い、今回の処理を終了する。
【００４６】
一方、両者の車型コードが一致すれば、パワトレＥＣＵ２１は、今回受信した書換用データが自車に対するものであると判断する。このときのパワトレＥＣＵ２１は、ＩＤコード受付処理Ｓ６０を実施して、ユーザーの手動入力したＩＤコードを受け付けを行うとともに、続くＲＡＭ記憶処理Ｓ７０にてそのＩＤコードをＲＡＭ２１ｃに記憶する。そして記憶したＩＤコードに基いてユーザー識別検査Ｓ８０を実施する。
【００４７】
ユーザー識別検査Ｓ８０は、ユーザーにより手動入力されたＩＤコード（手動入力値）を、パワトレＥＣＵ２１のＲＯＭ２１ｂ内に記憶されたＩＤコード（車両記憶値）と照合することで行われる。ここでＩＤコードの手動入力値と車両記憶値とが不一致であれば、パワトレＥＣＵ２１は、乗車中のユーザーは、データ書換を許可された特権ユーザーでは無いと判断し、終了処理Ｓ９０を行って今回の処理を終了する。一方、両者が一致すれば、乗車中のユーザーが上記特権ユーザーであると判断し、受信した書換用データに基づくパワトレＥＣＵ２１のデータ書き換えを実行するためのデータ書換処理Ｓ１００を実行する。
【００４８】
図４は、車型コードのＲＡＭ記憶処理Ｓ２０の詳細を示している。本処理は、イグニッションスイッチのオン後、定時割り込み処理として、パワトレＥＣＵ２１により周期的に繰り返し実行されている。
【００４９】
さて本処理が開始されると、パワトレＥＣＵ２１はまずステップＳ２０１において、管理センタ１０からの車型コードの受信の有無を確認する。ここで車型コードの受信が無ければ（Ｓ２０１：ＮＯ）、今回の処理をそのまま終了する。
【００５０】
一方、車型コードの受信があれば（Ｓ２０１：ＹＥＳ）、パワトレＥＣＵ２１は続くステップＳ２０２において、車型コードの受信履歴の有無を確認する。ここでの受信履歴の有無は、車型コード受信履歴フラグがセットされているか否かにより確認される。そしてパワトレＥＣＵ２１は、車型コードの受信の履歴があれば（Ｓ２０２：ＹＥＳ）、今回の処理をそのまま終了する。
【００５１】
一方、受信履歴が無ければ（Ｓ２０２：ＮＯ）、パワトレＥＣＵ２１は、ステップＳ２０３において自身のＲＡＭ２１ｃ内に受信した車型コードを記憶する。そしてパワトレＥＣＵ２１は続くステップＳ２０４において、車型コードの受信履歴フラグをセットして今回の処理を終了する。
【００５２】
このように車型コードのＲＡＭ記憶処理Ｓ２０では、イグニッションスイッチがオンされる毎に一度だけ、受信した車型コードの記憶が行なわれる。なお、このときの車型コードの記憶は、揮発性のメモリからなるＲＡＭ２１ｃ内に記憶されるため、イグニッションスイッチがオフされる毎にクリアされる。
【００５３】
図５は、認証処理Ｓ４０の詳細を示している。本処理も、定時割り込み処理として、パワトレＥＣＵ２１により周期的に繰り返し実行されている。
さて本処理が開始されると、パワトレＥＣＵ２１はまず、ステップＳ４０１において、管理センタ１０からの車型コードの受信の有無を確認する。ここでパワトレＥＣＵ２１は、車型コードの受信が確認されていなければ（Ｓ４０１：ＮＯ）、そのまま今回の処理を終了する。
【００５４】
一方、車型コードの受信が確認されていれば（Ｓ４０１：ＹＥＳ）、パワトレＥＣＵ２１は、続くステップＳ４０２において、車型コードの照合確認が未完であるか否かを確認する。ここでの未完か否かの確認は、後述する車型コード照合確認完了フラグがセットされていないか否かによって行われる。
【００５５】
ここで照合確認が完了していれば（Ｓ４０２：ＮＯ）、パワトレＥＣＵ２１はそのまま今回の処理を終了する。一方、照合確認が未完であれば（Ｓ４０２：ＹＥＳ）、パワトレＥＣＵ２１は続くステップＳ４０３において、管理センタ１０から今回受信した車型コードを、先の車型コードのＲＡＭ記憶処理Ｓ２０にてＲＡＭ２１ｃ内に記憶された車型コードと照合し、両者が一致しているか否かを確認する。そして両者が不一致であれば（Ｓ４０３：ＮＯ）、今回受信した書換用データは自車を対象するものでないと判断して、今回の処理を終了する。
【００５６】
一方、両者の車型コードが一致する場合（Ｓ４０３：ＹＥＳ）、パワトレＥＣＵ２１は、今回受信した書換用データが自車に対するものであると判断する。そしてパワトレＥＣＵ２１は続くステップＳ４０４において、受信した書換用データが自車に対するものであることを示すフラグである車型コード一致フラグをセットする。またパワトレＥＣＵ２１は、続くステップＳ４０５において、照合確認が完了したことを示すフラグである車型コード照合確認完了フラグをセットする。そしてパワトレＥＣＵ２１は続くステップＳ４０６において、ＧＵＩ（グラフィック・ユーザー・インターフェイス）からのＩＤコードの入力要求を行ってから、本処理を終了する。
【００５７】
ここでパワトレＥＣＵ２１が、上記ＧＵＩからのＩＤコードの入力要求を行うと、ナビゲーション装置２６のディスプレイ２７に、ＩＤコード手動入力用のＧＵＩが表示される。このＧＵＩでは、ナビゲーション装置２６のタッチパネル２８を操作してＩＤコードを手動入力することができるものとなっている。こうしたＧＵＩの表示後、パワトレＥＣＵ２１は、手動入力されたＩＤコードを受け付けるためのＩＤコード受付処理Ｓ６０、及びそのＩＤコードを記憶するためのＲＡＭ記憶処理Ｓ７０を実行する。
【００５８】
図６は、ＩＤコードのＲＡＭ記憶処理Ｓ７０の処理の詳細を示している。本処理も、定時割り込み処理として、パワトレＥＣＵ２１により周期的に繰り返し実行されている。
さて本処理が開始されると、パワトレＥＣＵ２１はまず、ステップＳ７０１において、上記ＩＤコード手動入力用のＧＵＩにおけるＩＤコードの入力の有無を確認する。ここでＩＤコードが未入力であれば（Ｓ７０１：ＮＯ）、パワトレＥＣＵ２１はそのまま今回の処理を終了する。
【００５９】
一方、ＩＤコードが入力済みであれば（Ｓ７０１：ＹＥＳ）、パワトレＥＣＵ２１は続くステップＳ７０２において、手動入力されたＩＤコードの受付履歴の有無を確認する。この確認は、後述するＩＤコード受付履歴フラグがセットされているか否かにより行われる。ここでＩＤコードの受付履歴があれば（Ｓ７０２：ＹＥＳ）、パワトレＥＣＵ２１はそのまま、今回の処理を終了する。
【００６０】
ＩＤコードの受付履歴が無い場合には（Ｓ７０２：ＮＯ）、パワトレＥＣＵ２１は続くステップＳ７０３において、上記ＩＤコード手動入力用のＧＵＩにおいて手動入力されたＩＤコード、すなわちＩＤコードの手動入力値を自身のＲＡＭ２１ｃ内に記憶する。そしてパワトレＥＣＵ２１は、ステップＳ７０４において、手動入力されたＩＤコードの記憶を完了したことを示すフラグであるＩＤコード受付履歴フラグをセットして、本処理を終了する。
【００６１】
図７は、ユーザー識別検査Ｓ８０の処理の詳細を示している。本処理も、定時割り込み処理として、パワトレＥＣＵ２１により周期的に繰り返し実行されている。
さて本処理が開始されると、パワトレＥＣＵ２１はまず、ステップＳ８０１において、ユーザー識別検査が未完であるか否かを確認する。この確認は、後述するユーザー識別完了フラグがセットされているか否かに基いて行われる。ここでユーザー識別検査が既に完了していれば（Ｓ８０１：ＮＯ）、パワトレＥＣＵ２１はそのまま今回の処理を終了する。
【００６２】
ユーザー識別検査が未完了の場合（Ｓ８０１：ＹＥＳ）、パワトレＥＣＵ２１は続くステップＳ８０２において、上述のＩＤコード受付履歴フラグがセットされているか否かを確認し、同フラグが未セットであれば（ＮＯ）、そのまま今回の処理を終了する。
【００６３】
一方、ＩＤコード受付履歴フラグがセットされていれば（Ｓ８０２：ＹＥＳ）、すなわち先のＩＤコード受付処理Ｓ６０において、手動入力されたＩＤコードのＲＡＭ２１ｃへの記憶が完了していれば、そのＲＡＭ２１ｃに記憶のＩＤコード（手動入力値）を、ＲＯＭ２１ｂに予め記憶されたＩＤコード（車両記憶値）と照合する。
【００６４】
ここで両者のＩＤコードが一致すれば（Ｓ８０３：ＹＥＳ）、パワトレＥＣＵ２１はデータ書き換えの上記特権ユーザーであると判断し、ステップＳ８０４において、特権ユーザーであると識別したことを示すフラグであるＩＤコード一致フラグをセットする。そしてパワトレＥＣＵ２１は、続くステップＳ８０５において、ユーザー識別検査が完了したことを示すフラグであるユーザー識別完了フラグをセットして、本処理を終了する。一方、両者のＩＤコードが不一致であれば（Ｓ８０３：ＮＯ）、パワトレＥＣＵ２１は、データ書き換えの許可された上記特権ユーザーでないと判断する。このときのパワトレＥＣＵ２１は、そのままステップＳ８０５においてユーザー識別完了フラグをセットして、本処理を終了する。
【００６５】
図８は、データ書換処理Ｓ１００の処理の詳細を示している。本処理も、定時割り込み処理として、パワトレＥＣＵ２１により周期的に繰り返し実行されている。
さて本ルーチンが開始されると、パワトレＥＣＵ２１はまず、ステップＳ１００１において、上述のＩＤコード一致フラグがセットされているか否かを、すなわちユーザー識別検査Ｓ８０において特権ユーザーであることが確認されているか否かを判定する。またパワトレＥＣＵ２１は、続くステップＳ１００２において、上述の車型コード一致フラグがセットされているか否かを、すなわち認証処理Ｓ４０において受信した書換用データが自車を対象としたものであることが確認されているか否かを判定する。
【００６６】
ここでパワトレＥＣＵ２１は、上記２つの判定のいずれかで否定判定されたときには（Ｓ１００１：ＮＯ、又はＳ１００２：ＮＯ）、そのまま本処理を終了する。一方、パワトレＥＣＵ２１は、上記２つの判定のいずれにおいても肯定判定されたときには（Ｓ１００１：ＹＥＳ、且つＳ１００２：ＹＥＳ）、ステップＳ１００３において、管理センタ１０から受信した書換用データに基くデータ書き換えを実行し、自身のＲＯＭ２１ｂ内に記憶された制御プログラムや制御データを更新する。
【００６７】
以上説明した本実施形態の車両制御装置及びそのデータ書換システムによれば、次の効果を奏することができる。
（１）特権ユーザーが乗車時に所持するユーザーアイテムであるインテリジェントキー２９から車型識別情報である車型コードを取得し、その取得した車型コードを用いて、管理センタ１０から配信された書換用データが自車に対するものであるか否かを判断するようにしている。そのため、特権ユーザーがインテリジェントキー２９を所持して乗車したとき以外は、データ書き換え実行の手続きが進められないようになり、データ書き換えの実行を許可された特権ユーザー以外の者による車両制御装置のデータ書き換えの無断実行が防止されるようになる。
【００６８】
（２）特権ユーザーのみが知るＩＤコードを予め設定して車両２０に記憶させておくとともに、その車両２０に予め記憶されたＩＤコードとユーザーにより手動入力されたＩＤコードを照合して、特権ユーザーであるか否かのユーザー識別検査を実施する。そしてそのユーザー識別検査において特権ユーザーであると認められることを条件に、車両制御装置のデータ書き換えの実行を許可するようにしている。すなわち、ユーザー識別検査において特権ユーザーと認められなかったときには、車両制御装置のデータ書き換えを禁止するようにしている。そのため、データ書き換えの許可された特権ユーザー以外の者による車両制御装置のデータ書き換えの無断実行を防止することができる。
【００６９】
（第２実施形態）
続いて本発明の車両制御装置及びそのデータ書換システムを具体化した第２実施形態について、図９〜図１１を併せ参照して、上記実施形態と異なる点を中心に説明する。なお以下の説明において、上記実施形態のものと同様の構成及び機能を備える要素については、同一の符号を付してその説明を省略する。
【００７０】
上記実施形態では、車型コードを記憶させておくユーザーアイテムとしてインテリジェントキー２９を採用し、そのインテリジェントキー２９から取得した車型コードを用いて、管理センタ１０から配信された書換用データが自車に対するものであるか否かの判断を行うようにしていた。もっとも、車型コードを記憶させておくユーザーアイテムとしては、車両内に持ち込み可能で、且つ車両運転時にユーザーが高い頻度で所持すると考えられる物品であれば、任意のアイテムをインテリジェントキー２９に代えて採用することができる。そこで本実施形態では、ＥＴＣ（料金自動支払システム）カードをユーザーアイテムとして採用することとしている。なおユーザーアイテムとしては他にも、キーホルダ、携帯電話、運転免許証及びそのケースなどの採用が考えられる。
【００７１】
また上記実施形態の車両制御装置及びそのデータ書換システムでは、ユーザーにより手動入力されたＩＤコードを車両２０に記憶のＩＤコードと照合して、特権ユーザーであるか否かのユーザー識別検査を行ない、その結果に応じて車両制御装置のデータ書き換えの実行を許可するか禁止するかを決定していた。本実施形態では、こうしたユーザー識別検査をより厳格に行うため、ユーザーアイテムを用いたＩＤコードの照合を、ユーザー識別検査に追加するようにしている。具体的には、特権ユーザーが乗車時に所持するユーザーアイテムにも予めＩＤコードを記憶させておき、そのユーザーアイテムから取得したＩＤコード（ユーザーアイテム（ＵＩ）取得値）、ユーザーが手動入力したＩＤコード（手動入力値）、及び車両２０に記憶されたＩＤコード（車両記憶値）の３者の照合により、ユーザー識別検査を行うようにしている。
【００７２】
図９は、こうした本実施形態の車両制御装置のデータ書換システムの全体構成を示している。同図に示すように、本実施形態において無線通信ネットワーク１１経由の車両制御装置のデータ書き換えの対象となる車両２０には、ＥＴＣ車載端末４０が設置されている。このＥＴＣ車載端末４０は、車内通信ネットワーク２５を介してパワトレＥＣＵ２１、エアコンＥＣＵ２２、車載ダイアグマスタＥＣＵ２４、ナビゲーション装置２６などと相互接続されている。なお本実施形態においても、パワトレＥＣＵ２１のＲＯＭ２１ｂには、制御用プログラムに加えて、ユーザー識別検査に使用するＩＤコードを予め記憶させておくようにしている。
【００７３】
さて本実施形態では、ＥＴＣ車載端末４０に挿入されるＥＴＣカード４１に、車型識別情報である車型コード、及びユーザー識別検査に用いられるＩＤコードを予め記憶させておくようにしている。ＥＴＣ車載端末４０は、車型コード及びＩＤコードの記憶されたＥＴＣカード４１が挿入されると、その車型コード及びＩＤコードを読み出して車両制御装置に送信する。車両制御装置は、こうしてＥＴＣカード４１から取得した車型コードを用いて、管理センタ１０から配信された書換用データが自車に対するものであるか否かを判断するとともに、同じくＥＴＣカード４１から取得したＩＤコードを用いてユーザー識別検査を行うようにしている。
【００７４】
図１０は、本実施形態でのパワトレＥＣＵ２１を対象とした、無線通信ネットワーク１１経由のデータ書き換えの実行判断に係る一連の処理を示している。ここではパワトレＥＣＵ２１を対象としたリモート・リプログラムについて説明するが、エアコンＥＣＵ２２等の他のＥＣＵを対象とするリモート・リプログラムも、これと同様の態様で実施される。
【００７５】
さてイグニッションスイッチのオン後、パワトレＥＣＵ２１は、ユーザーアイテムであるＥＴＣカード４１からＩＤコードを取得するためのＩＤコード受信処理Ｓ１０５を実施する。そしてパワトレＥＣＵ２１は、ＩＤコードのＲＡＭ記憶処理Ｓ１１０により、その受信したＩＤコード（ＵＩ取得値）を自身のＲＡＭ２１ｃ内に記憶する。
【００７６】
続いてパワトレＥＣＵ２１は、今度は車型コードをＥＴＣカード４１から受信するための車型コード受信処理Ｓ１０を実施し、車型コードのＲＡＭ記憶処理Ｓ２０により、その受信した車型コードを自身のＲＡＭ２１ｃ内に記憶する。
【００７７】
その後、リプログラムのための書換用データが、対象となる車両の車型コードとともに管理センタ１０から配信されると、パワトレＥＣＵ２１は、配信された車型コード及び書換用データの受信処理Ｓ３０を実施する。続いてパワトレＥＣＵ２１は、認証処理Ｓ４０を実施して、今回受信した書換用データが自車に対するものであるか否かを判断する。この認証処理Ｓ４０は、管理センタ１０から今回受信した車型コードを、先のＲＡＭ記憶処理Ｓ２０にてＲＡＭ２１ｃに記憶された車型コードとを照合し、両者が一致するか否かを確認することで行われる。ここで両者の車型コードが不一致であれば、パワトレＥＣＵ２１は、今回受信した書換用データは、自車を対象とするものでないと判断し、終了処理Ｓ５０を行い、今回の処理を終了する。
【００７８】
一方、両者の車型コードが一致すれば、パワトレＥＣＵ２１は、今回受信した書換用データが自車に対するものであると判断する。そしてパワトレＥＣＵ２１は、ＩＤコード受付処理Ｓ６０を実施して、ユーザーからのＩＤコードの手動入力を受け付け、ＲＡＭ記憶処理Ｓ７０にて手動入力されたＩＤコード（手動入力値）をＲＡＭ２１ｃに記憶する。ここで本実施形態では、その手動入力されたＩＤコード（手動入力値）と、先にＥＴＣカード４１から取得してＲＡＭ記憶処理Ｓ１１０にてＲＡＭ２１ｃに記憶したＩＤコード（ＵＩ取得値）とを、パワトレＥＣＵ２１のＲＯＭ２１ｂに予め記憶されたＩＤコード（車両記憶値）に照合してユーザー識別検査Ｓ１２０を実施する。
【００７９】
こうしたユーザー識別検査Ｓ１２０において上記３つのＩＤコードが不一致であれば、パワトレＥＣＵ２１は、乗車中のユーザーは、データ書き換えの実行を許可された特権ユーザーでは無いと判断し、終了処理Ｓ９０を行って今回の処理を終了する。一方、３つのＩＤコードが一致すれば、乗車中のユーザーが上記特権ユーザーであると判断し、受信した書換用データに基づくパワトレＥＣＵ２１のデータ書き換えを実行するためのデータ書換処理Ｓ１００を実行する。
【００８０】
図１１は、上記ＩＤコードのＲＡＭ記憶処理Ｓ１１０の処理の詳細を示している。本処理は、定時割込み処理として、パワトレＥＣＵ２１により周期的に実行されている。
さて本処理が開始されると、パワトレＥＣＵ２１はまず、ステップＳ１１０１において、ＥＴＣカード４１に記憶されたＩＤコードを受信したか否かを確認する。上述したように、ＩＤコードを記憶したＥＴＣカード４１が挿入されると、ＥＴＣ車載端末４０は、ＥＴＣカード４１からＩＤコードを読み出して車両制御装置に送信しており、ここではそうして送信されたＩＤコードをパワトレＥＣＵ２１が受信したか否かを確認している。ここでＩＤコードの受信が確認されなければ（Ｓ１１０１：ＮＯ）、パワトレＥＣＵ２１はそのまま今回の処理を終了する。
【００８１】
一方、ＩＤコードの受信が確認されると（Ｓ１１０１：ＹＥＳ）、パワトレＥＣＵ２１は、続くステップＳ１１０２にて、ＩＤコードの受信履歴の有無を確認する。この確認は、ＩＤコードの記憶が完了していることを示すフラグであるＩＤコード受信履歴フラグがセットされているか否かに基づいて行われる。ここでＩＤコードの受信履歴があれば（Ｓ１１０２：ＹＥＳ）、すなわちＩＤコード受信履歴フラグがセットされていれば、パワトレＥＣＵ２１はそのまま今回の処理を終了する。
【００８２】
ＩＤコードの受信履歴が無いとき（Ｓ１１０２：ＮＯ）、すなわちＥＴＣカード４１の記憶するＩＤコードを今回のトリップにおいて始めて受信したときには、パワトレＥＣＵ２１は、ステップＳ１１０３において受信したＩＤコード（ＵＩ取得値）を自身のＲＡＭ２１ｃに記憶する。そしてパワトレＥＣＵ２１は、ＩＤコード受信履歴フラグをセットして、本処理を終了する。
【００８３】
このようにＩＤコードのＲＡＭ記憶処理Ｓ１１０では、トリップ毎に１度だけ、ＥＴＣカード４１から受信したＩＤコード（ＵＩ取得値）を記憶する。なおＩＤコード（ＵＩ取得値）は、揮発性メモリからなるＲＡＭ２１ｃに記憶されるため、その記憶はイグニッションスイッチがオフされる毎にクリアされる。
【００８４】
図１２は、本実施形態におけるユーザー識別検査Ｓ１２０の処理の詳細を示している。本処理も、定時割込み処理として、パワトレＥＣＵ２１により周期的に実行されている。
本処理が開始されると、パワトレＥＣＵ２１はまず、ステップＳ１２０１において、ユーザー識別検査が未完であるか否かを確認する。この確認は、ユーザー識別検査が完了していることを示す識別検査完了フラグがリセットの状態にあるか否かによって行われる。ここで識別検査完了フラグがセットされており、ユーザー識別検査が既に完了していれば（Ｓ１２０１：ＮＯ）、パワトレＥＣＵ２１はそのまま今回の処理を終了する。
【００８５】
ユーザー識別検査が未完の場合（Ｓ１２０１：ＹＥＳ）、パワトレＥＣＵ２１は続くステップＳ１２０２において、ＩＤコード受信履歴フラグ及びＩＤコード受付履歴フラグが双方共にセットされているか否かを確認する。ここでＩＤコード受信履歴フラグ及びＩＤコード受付履歴フラグの少なくとも一方がセットされていなければ（Ｓ１２０２：ＮＯ）、すなわちＥＴＣカード４１の記憶するＩＤコードの受信、及びＩＤコードの手動入力の一方又は双方が未完了であれば、そのまま今回の処理を終了する。
【００８６】
ＩＤコード受信履歴フラグ及びＩＤコード受付履歴フラグが双方共にセットされているときには（Ｓ１２０２：ＹＥＳ）、パワトレＥＣＵ２１は続くステップＳ１２０３において、ＥＴＣカード４１から取得したＩＤコード（ＵＩ取得値：ＩＤコードのＲＡＭ記憶処理Ｓ１１０にてＲＡＭ２１ｃに記憶）がＲＯＭ２１ｂに記憶のＩＤコード（車両記憶値）と一致しているか否かを判定する。また続くステップＳ１２０４では、ユーザーにより手動入力されたＩＤコード（手動入力値：ＩＤコード受付処理Ｓ６０にてＲＡＭ２１ｃに記憶）がＲＯＭ２１ｂに記憶のＩＤコード（車両記憶値）と一致しているか否かを判定する。
【００８７】
ここでは、これら判定のいずれかで否定判定された場合（Ｓ１２０３：ＮＯ、又はＳ１２０４：ＮＯ）、特権ユーザーでは無いと判断される。この場合、パワトレＥＣＵ２１は、ステップＳ１２０６において上述の識別検査完了フラグをセットして本処理を終了する。
【００８８】
一方、上記２つの判定のいずれにおいても肯定判定された場合（Ｓ１２０３：ＹＥＳ、且つＳ１２０４：ＹＥＳ）、乗車中のユーザーがデータ書き換えの許可された特権ユーザーであると判断される。この場合、パワトレＥＣＵ２１は、ステップＳ１２０５において、特権ユーザーであると確認されたことを示すフラグであるＩＤコード一致フラグをセットし、更にステップＳ１２０６において識別検査完了フラグをセットして本処理を終了する。
【００８９】
上述したように、データ書換処理Ｓ１００（図８参照）にあっては、ＩＤコード一致フラグがセットされていることを条件に、管理センタ１０から配信された書換用データに基く車両制御装置のデータ書き換えを実行する。よって本実施形態では、ユーザーの手動入力したＩＤコード（手動入力値）と、ユーザーアイテムであるＥＴＣカード４１から取得したＩＤコード（ＵＩ取得値）と、車両２０に予め記憶されたＩＤコード（車両記憶値）との３値が一致することをもって、特権ユーザーであるとの判断がなされ、データ書き換えの実行が許可されるものとなっている。
【００９０】
以上説明した本実施形態の車両制御装置及びそのデータ書換システムによれば、上記（１）、（２）に記載の効果に加え、更に以下の効果を奏することができる。
（３）本実施形態では、ユーザーが手動入力したＩＤコードに加え、ユーザーアイテムであるＥＴＣカード４１から取得したＩＤコードを更に用いて、特権ユーザーであるか否かを確認するためのユーザー識別検査を行うようにしている。そのため、車両制御装置のデータ書き換えを実行させるには、適正なＩＤコードを手動入力することに加え、ＩＤコードの記憶されたＥＴＣカード４１を所持して乗車することが必要となり、より厳格にユーザー識別検査を行うことができる。
【００９１】
（第３実施形態）
続いて本発明の車両制御装置及びそのデータ書換システムを具体化した第３実施形態について、図１３を併せ参照して、上記実施形態と異なる点を中心に説明する。
【００９２】
第２実施形態では、ユーザーの手動入力したＩＤコード（手動入力値）と、ユーザーアイテムであるＥＴＣカード４１から取得したＩＤコード（ＵＩ取得値）と、車両２０に予め記憶されたＩＤコード（車両記憶値）との３値一致をもって、特権ユーザーであることを確認するようにしていた。すなわち、車両２０には、唯一つのＩＤコードだけが記憶されており、その一つのＩＤコードを用いて、手動入力されたＩＤコード（手動入力値）とユーザーアイテムから取得したＩＤコード（ＵＩ取得値）との双方の照合を行うようにしていた。この場合、ユーザーアイテムの記憶データを解読して、その内部に記憶されたＩＤコードを不正取得してしまえば、手動入力すべきＩＤコードまで判ってしまうようになる。
【００９３】
こうした不正取得によるデータ書き換えの無断実行を防止するには、手動入力すべきＩＤコードと、ユーザーアイテムに記憶させておくＩＤコードとを別の値とすれば良い。すなわち、手動入力されたＩＤコードとの照合用と、ユーザーアイテムから取得したＩＤコードとの照合用との２つの異なるＩＤコードを車両２０に記憶させておき、両ＩＤコードをそれぞれ別々に照合してユーザー識別検査を行うようにする。この場合、特権ユーザーであると認めさせるためには、異なる２つのＩＤコードが必要となり、たとえそのいずれか一方を不正に取得したとしても、もう一方のＩＤコードが判らなければ、データ書き換えを実行させることはできなくなる。例えば、ユーザーアイテムの記憶データを解読してそこに記憶されたＩＤコードを不正取得したとしても、それだけでは手動入力すべきＩＤコードは不明なため、データ書き換えは無断実行されないようになる。
【００９４】
図１３は、そうした場合のユーザー識別検査の実施態様の一例を示している。この処理は、図１２に示したユーザー識別検査Ｓ１２０の代りとして実施されるものである。この場合にも、図１２の場合と同様に、処理の開始後、ユーザー識別検査が未完であるか否かの確認（Ｓ１２０１）、及びＩＤコード受信履歴フラグ及びＩＤコード受付履歴フラグが双方共にセットされているか否かの確認（Ｓ１２０２）が行われ、両確認をパスした場合（Ｓ１２０１：ＹＥＳ、且つＳ１２０２：ＹＥＳ）にＩＤコードの照合が行われる。
【００９５】
ここで同図では、まずステップＳ１２０３’において、ＥＴＣカード４１から取得したＩＤコード（ＵＩ取得値：ＩＤコードのＲＡＭ記憶処理Ｓ１１０にてＲＡＭ２１ｃに記憶）が車両２０（ＲＯＭ２１ｂ）に記憶の第１のＩＤコード（第１車両記憶値）と一致しているか否かを判定する。また続くステップＳ１２０４’では、ユーザーにより手動入力されたＩＤコード（手動入力値：ＩＤコード受付処理Ｓ６０にてＲＡＭ２１ｃに記憶）が同じく車両２０（ＲＯＭ２１ｂ）に記憶の第２のＩＤコード（第２車両記憶値）と一致しているか否かを判定する。この第２のＩＤコード（第２車両記憶値）は、先にＥＴＣカード４１から取得のＩＤコードと照合される第１のＩＤコード（第１車両記憶値）とは別の値に設定されている（第１車両記憶値≠第２車両記憶値）。この場合にも、上記２つの判定のいずれにおいても肯定判定された場合（Ｓ１２０３’：ＹＥＳ、且つＳ１２０４’：ＹＥＳ）に限り、乗車中のユーザーがデータ書き換えの許可された特権ユーザーであると判断されて、ステップＳ１２０５にてＩＤコード一致フラグがセットされるようになっている。
【００９６】
（第４実施形態）
続いて本発明の車両制御装置及びそのデータ書換システムを具体化した第４実施形態について、図１４を併せ参照して、上記実施形態と異なる点を中心に説明する。
【００９７】
上記各実施形態では、その認証処理Ｓ４０（図５）において、配信された書換用データが自車を対象とするものであると判断すると（Ｓ４０３：ＹＥＳ）、ＩＤコード手動入力用のＧＵＩをナビゲーション装置２６のディスプレイ２７に表示させるようにしていた（Ｓ４０６）。本実施形態では、こうしたＧＵＩの表示を、メインキーによる乗車である場合に限り許容することとしている。すなわち、メインキー以外のキー（スペアキー）での乗車である場合には、ＩＤコードの手動入力を禁止することとしている。この場合、たとえ手動入力すべきＩＤコードを知り得たとしても、メンイキーを所持しなければ、データ書き換え実行の手続きを進めることはできなくなる。そのため、不正なデータ書き換えの実行を更に困難とすることができる。
【００９８】
図１４は、ナビゲーション装置２６の実施する手動入力用ＧＵＩ表示処理のフローチャートを示している。本処理は、定時割込み処理として、ナビゲーション装置２６により周期的に繰り返し実行されている。
【００９９】
さて本ルーチンが開始されると、ナビゲーション装置２６は、まずステップＳ１３０１にて、車両制御装置からのＩＤコードの入力要求があるか否かを確認する。ここで入力要求が確認されれば（Ｓ１３０１：ＹＥＳ）、ナビゲーション装置２６は、続くステップＳ１３０２において、メインキーによる乗車であるか否かを確認する。すなわち、今回のイグニッションスイッチのオン操作がメインキーを用いて行われたかスペアキーを用いて行われたかを確認する。そしてメインキーによる乗車であると確認されれば（Ｓ１３０２：ＹＥＳ）、ナビゲーション装置２６はそのディスプレイ２７にＩＤコード手動入力用のＧＵＩを表示するようにしている（Ｓ１３０３）。
【０１００】
また、こうした手動入力用ＧＵＩの表示を、上述のユーザーアイテムに記録されたＩＤコードを取得した場合に限って許容するようにするようにしても良い。この場合にも、ユーザーアイテムを所持しなければ、データ書き換え実行の手続きを進めることはできなくなり、不正なデータ書き換えの実行をより困難とすることができる。
【０１０１】
（第５実施形態）
上記各実施形態では、ＩＤコードの照合によるユーザー識別検査をパスしない限り、車両制御装置のデータ書き換えを実行しないようにすることで、データ書き換えの無断実行を防止するようにしていた。もっとも、そうした場合にも、ＩＤコードを不正に入手してしまえば、特権ユーザー以外の者がデータ書き換えを無断実行することは可能である。こうしたＩＤコードの不正入手によるデータ書き換えの無断実行を防止するには、定期的、或いは適宜なタイミングでＩＤコードを変更することが有効である。そこでここでは、ＩＤコードを特権ユーザーが任意に変更可能とする仕組みを提案する。
【０１０２】
図１５は、ＩＤコード変更の処理手順の一例を示している。この例では、特権ユーザーが携帯電話５０を用いて車両２０に記憶のＩＤコードを変更する場合の手順が示されている。
【０１０３】
同図の例では、管理センタ１０にＷｅｂサーバ５１を設置するようにしている。特権ユーザーが自身の携帯電話５０からこのＷｅｂサーバ５１にアクセスすると、Ｗｅｂサーバ５１は、ＩＤコード変更用のＷｅｂページを携帯電話５０に返信する。これにより携帯電話５０に表示されたＷｅｂページ上で特権ユーザーが新たなＩＤコードを入力すると、その新たなＩＤコードがＷｅｂサーバ５１に送信される。Ｗｅｂサーバ５１は、受信した新たなＩＤコードを管理センタ１０に通知し、その管理センタ１０から無線通信ネットワーク１１を通じて該当する車両２０に対してその新たなＩＤコードへのＩＤコードの更新を指令する。これを受け取った車両２０は、その指令に基づいて、車両制御装置に記憶されたＩＤコードを新たなＩＤコードに置き換える。
【０１０４】
ここでは、管理センタ１０からの無線通信ネットワーク１１を通じた指令により車両２０に記憶のＩＤコードを設定及び変更可能とする場合を説明したが、例えばナビゲーション装置２６のような、車両２０に搭載のインターフェイスを用いてそうしたＩＤコードの設定及び変更を行うようにシステムを構成することもできる。いずれにせよ、こうしたシステム構成を備えれば、特権ユーザーは、車両２０に記憶のＩＤコードを、ひいては上記ユーザー識別検査Ｓ８０，Ｓ１２０において入力すべきＩＤコードを、任意に設定及び変更することができるようになる。
【０１０５】
なお以上では、特権ユーザーが自らＩＤコードを管理する場合を説明したが、ＩＤコードの管理を管理センタ１０側で行いたい場合もある。こうした場合には、無線通信ネットワーク１１を通じて管理センタ１０から、車両２０に記憶のＩＤコードを強制的に設定／変更させ、例えば電子メール等の通信手段を用いてその設定／変更したＩＤコードを特権ユーザーに通知することになる。
【０１０６】
また車両２０に記憶のＩＤコードを一定の期間毎に変更することも考えられる。この場合、ＩＤコードに有効期限を予め設定しておく。そしてその有効期限が経過する毎に管理センタ１０から強制的にＩＤコードを変更するようにしたり、有効期限が経過するとＩＤコードを無効化して、新たなＩＤコードを登録し直さなければデータ書換を実行不能としたりする。なおＩＤコードの管理を特権ユーザーに任せる場合には、こうしたＩＤコードの有効期限を特権ユーザーが任意に設定可能とするようにしても良い。
【０１０７】
更に車両制御装置のデータ書換の実行毎に、車両２０に記憶のＩＤコードを更新することも考えられる。この場合、データ書換の対象となる記憶領域、例えばパワトレＥＣＵ２１のＲＯＭ２１ｂなどにＩＤコードを記憶させておき、制御プログラムや制御データの書き換えと同時にＩＤコードの書き換えも行うようにする。このようにすれば、ＩＤコードはそれぞれ１回のデータ書換に限り有効とすることができる。すなわち、ユーザー識別検査に１度使用されたＩＤコードは、次回のデータ書き換え時には使用することができないようになる。
【０１０８】
これとは逆に、データ書き換え時にも、車両２０に記憶したＩＤコードをそのまま保持したい場合もある。こうしたＩＤコードの保持を確実としたい場合には、車両制御装置の記憶領域のうち、データ書き換えによっては書き換えられない記憶領域にＩＤコードを記憶させるようにすると良い。例えば車載ダイアグマスタＥＣＵ２４には、車両自己診断の結果を記憶するための記憶領域が設けられており、こうした記憶領域はデータ書き換えの対象とはならないものとなっている。そこでこうした記憶領域にＩＤコードを記憶しておけば、データ書き換え後もその記憶を保持しておくことができるようになる。
【０１０９】
（第６実施形態）
本実施形態では、上記各実施形態におけるユーザー識別検査の更なる厳格化について説明する。上記各実施形態でのユーザー識別検査は、ＩＤコードの照合のみで行なわれていたが、そうしたＩＤコード照合以外の手法によるユーザー識別を追加することで、ユーザー識別検査をより厳格とすることができる。ＩＤコード照合以外のユーザー識別手法としては、以下の２つの手法が考えられる。
【０１１０】
（Ａ）バイオメトリック認証によるユーザー識別
バイオメトリック認証とは、指紋パターンや網膜パターンなど、個人毎に異なる生体情報を用いて個人を識別する手法である。例えば指紋パターンの読取装置を車両２０に設置し、読み取られた指紋パターンを予め登録された特権ユーザーの指紋パターンと照合し、両者が一致するか否かで特権ユーザーであるか否かの確認を行うことができる。そこでユーザー識別検査における特権ユーザーであるとの確認の条件に、ＩＤコード照合をパスすることに加え、こうしたバイオメトリック認証に基づくユーザーの確認を加えるようにすれば、ユーザー識別検査を更に厳密なものとすることができる。
【０１１１】
（Ｂ）ＥＴＣの車両識別情報を用いたユーザー識別
上述の第２実施形態では、ＩＤコードを記憶させておくことで、ＥＴＣ（自動料金支払いシステム）カード４１（図９）を、ユーザー識別検査での特権ユーザーの確認に用いるユーザーアイテムとして使用するようにしていた。もっとも、ＥＴＣカード４１にはそもそも、車両毎に固有の車両識別情報が記憶されており、この情報を用いてユーザー識別検査を行うことが可能である。すなわち、ＥＴＣカード４１にＩＤコードを記憶させずとも、ＥＴＣカード４１から読み出した車両識別情報が該当車両に合致するものか否かで、特権ユーザーであるか否かの確認を行うことが可能である。そのため、上述のＩＤコードの照合に加え、自動料金支払いシステム（ＥＴＣカード４１）の有する車両識別情報が該当車両に合致することを、ユーザー識別検査における特権ユーザーであるとの確認の条件に加えることによっても、ユーザー識別検査をより厳密とすることができる。
【０１１２】
（その他の実施形態）
以上説明した各実施形態は、次のように変更して実施することもできる。
・第２実施形態では、ユーザーにより手動入力されたＩＤコードとユーザーアイテムから取得したＩＤコードとの双方を用いてユーザー識別検査Ｓ１２０を実施するようにしていた。処理を簡単としたい場合には、それらＩＤコードの内、ユーザーアイテムから取得したもののみを用いてユーザー識別検査を行うようにすることもできる。その場合、図１２に示したユーザー識別検査Ｓ１２０は、そのステップＳ１２０４の処理を割愛して行われることとなる。
【０１１３】
・上記各実施形態では、特権ユーザーであるか否かの確認を、ＩＤコードの照合を通じて行なうようにしていたが、データ書き換えの許可された特権ユーザーであるか否かを確認可能であれば、ＩＤコードの照合以外の識別手法を採用するようにしても良い。要は、データの書き換えの実行を許可された特権ユーザーを予め指定しておき、ユーザー識別検査を実施してその特権ユーザーでなければデータ書き換えを実行することができないようにしておけば、データ書き換えの無断実行は防止可能である。
【０１１４】
・上記各実施形態は、下記（イ）、（ロ）の双方を行っていたが、処理を簡単とする場合には、これら（イ）、（ロ）のいずれか一方のみを採用するようにしても良い。下記（イ）のみを採用した場合にも、ユーザーアイテムを所持して乗車しなければ、データ書き換えの手続きを進めることができなくなる。また下記（ロ）のみを採用した場合にも、ユーザー識別検査において特権ユーザーであると認められなければ、データ書き換えは実行不能となる。そのため、下記（イ）、（ロ）の一方を単独で採用した場合にも、データ書き換えの無断実行は防止可能である。
（イ）車型識別情報（車型コード）を、特権ユーザーが乗車時に所持する物品（ユーザーアイテム）に記憶させ、配信された書換用データが自車に対するものであるか否かの判断を、そのユーザーアイテムから取得した車型識別情報を用いて行なうこと。
（ロ）配信された書換用データに基づく車両制御装置のデータ書換実行の許可を求める際に、上記特権ユーザーであるか否かを確認するユーザー識別検査を実施し、特権ユーザーであると認められない限り、データ書き換えを実行不可とすること。
【図面の簡単な説明】
【０１１５】
【図１】本発明の第１実施形態についてその車両制御装置のデータ書換システムの全体構成を模式的に示すブロック図。
【図２】同実施形態についてその車両制御装置の構成を模式的に示すブロック図。
【図３】同実施形態における車両制御装置のデータ書き換えの実行判断に係る処理手順を示すフローチャート。
【図４】同実施形態に採用される車型コードのＲＡＭ記憶処理Ｓ２０の処理手順を示すフローチャート。
【図５】同実施形態に採用される認証処理Ｓ４０の処理手順を示すフローチャート。
【図６】同実施形態に採用されるＩＤコードのＲＡＭ記憶処理Ｓ７０の処理手順を示すフローチャート。
【図７】同実施形態に採用されるユーザー識別検査Ｓ８０の処理手順を示すフローチャート。
【図８】同実施形態に採用されるデータ書換処理Ｓ１００の処理手順を示すフローチャート。
【図９】本発明の第２実施形態についてその車両制御装置のデータ書換システムの全体構成を模式的に示すブロック図。
【図１０】同実施形態における車両制御装置のデータ書換の実行判断に係る処理手順を示すフローチャート。
【図１１】同実施形態に採用されるＩＤコードのＲＡＭ記憶処理Ｓ１１０の処理手順を示すフローチャート。
【図１２】同実施形態に採用されるユーザー識別検査Ｓ１２０の処理手順を示すフローチャート。
【図１３】本発明の第３実施形態に採用されるユーザー識別検査の処理手順を示すフローチャート。
【図１４】本発明の第４実施形態に採用される手動入力用ＧＵＩ表示処理の処理手順を示すフローチャート。
【図１５】本発明の第５実施形態についてそのＩＤコード変更に係る処理手順を示すフローチャート。
【符号の説明】
【０１１６】
１０…管理センタ、１１…無線通信ネットワーク、２０…車両、２１…パワトレＥＣＵ（２１ａ…ＣＰＵ、２１ｂ…ＲＯＭ、２１ｃ…ＲＡＭ、２１ｄ…Ｉ／Ｏ）、２２…エアコンＥＣＵ、２３…セキュリティＥＣＵ、２４…車載ダイアグマスタＥＣＵ（２４ａ…ＣＰＵ、２４ｂ…ＲＯＭ、２４ｃ…ＲＡＭ、２４ｄ…Ｉ／Ｏ、３０…受信器（３０ａ…アンテナ、３０ｂ…レシーバ、３０ｃ…復調器））、２５…車内通信ネットワーク、２９…インテリジェントキー（メインキー）、２９ａ…スペアキー、３１…外部接続機器、４０…ＥＴＣ車載端末、４１…ＥＴＣカード、５０…携帯電話、５１…Ｗｅｂサーバ。

【特許請求の範囲】
【請求項１】
無線通信ネットワークを通じて配信された書換用のデータに基づいて自身の記憶するデータの書き換えを実行する車両制御装置において、
前記データの書き換えの実行を許可された車両ユーザーとして予め指定された特権ユーザーか否かを確認するユーザー識別検査を実施して、前記特権ユーザーであると確認されることを条件に、前記データの書き換えの実行を許可する
ことを特徴とする車両制御装置。
【請求項２】
無線通信ネットワークを通じて配信された書換用のデータに基づいて自身の記憶するデータの書き換えを実行する車両制御装置において、
前記データの書き換えの実行を許可された車両ユーザーとして予め指定された特権ユーザーか否かを確認するユーザー識別検査を実施して、前記特権ユーザーであると確認されなかったときには、前記データの書き換えの実行を禁止する
ことを特徴とする車両制御装置。
【請求項３】
前記特権ユーザーが乗車時に所持するユーザーアイテム及び前記車両には、各車両の特権ユーザーにそれぞれ個別に設定されたユーザー識別コードがそれぞれ記憶されてなり、
前記ユーザー識別検査は、前記車両に記憶されたユーザー識別コードと前記ユーザーアイテムから取得したユーザー識別コードとの照合を通じて行われる
請求項１又は２に記載の車両制御装置。
【請求項４】
前記車両には、各車両の特権ユーザーにそれぞれ個別に設定されたユーザー識別コードが記憶されてなり、
前記ユーザー識別検査は、前記車両に記憶のユーザー識別コードと、ユーザーにより手動入力されたユーザー識別コードとの照合を通じて行われる
請求項１又は２に記載の車両制御装置。
【請求項５】
前記特権ユーザーが乗車時に所持するユーザーアイテムと前記車両とには、各車両の特権ユーザーにそれぞれ固有のユーザー識別コードがそれぞれ記憶されてなり、
前記ユーザー識別検査は、前記車両に記憶のユーザー識別コードと、前記ユーザーアイテムから取得したユーザー識別コード、及びユーザーにより手動入力されたユーザー識別コードとの照合を通じて行われる
請求項１又は２に記載の車両制御装置。
【請求項６】
前記車両には、前記ユーザーアイテムから取得したユーザー識別コードとの照合用と、前記ユーザーにより手動入力されたユーザー識別コードとの照合用との２つの異なるユーザー識別コードが記憶されてなる
請求項５に記載の車両制御装置。
【請求項７】
前記ユーザーアイテムから取得したユーザー識別コードの記憶を、イグニッションスイッチがオフされる毎にクリアする
請求項３、５及び６のいずれか１項に記載の車両制御装置。
【請求項８】
メインキーによる乗車である場合に限り、前記ユーザーによる前記ユーザー識別コードの手動入力を許容する
請求項４〜６のいずれか１項に記載の車両制御装置。
【請求項９】
前記特権ユーザーが乗車時に所持する物品であるユーザーアイテムに記録されたユーザー識別コードを取得した場合に限り、前記ユーザーによる前記ユーザー識別コードの手動入力を許容する
請求項４〜６及び８のいずれか１項に記載の車両制御装置。
【請求項１０】
前記データの書き換えの実行時に、前記車両に記録の前記ユーザー識別コードを併せ書き換える
請求項３〜９のいずれか１項に記載の車両制御装置。
【請求項１１】
前記車両に記録のユーザー識別コードは、前記データの書き換えによっては書き換えられない記憶領域に格納される
請求項３〜９のいずれか１項に記載の車両制御装置。
【請求項１２】
前記車両に記録のユーザー識別コードは、前記無線通信ネットワークを通じた指令に基づき設定及び変更可能とされる
請求項３〜１１のいずれか１項に記載の車両制御装置。
【請求項１３】
前記車両に記録のユーザー識別コードは、携帯電話を用いて設定及び変更可能とされる
請求項３〜１１のいずれか１項に記載の車両制御装置。
【請求項１４】
前記車両に記録のユーザー識別コードは、その車両に搭載のインターフェイスを用いて設定及び変更可能とされてなる
請求項３〜１３のいずれか１項に記載の車両制御装置。
【請求項１５】
前記車両に記録のユーザー識別コードは、予め設定された有効期間の経過毎に変更される
請求項３〜１４のいずれか１項に記載の車両制御装置。
【請求項１６】
前記車両に記録のユーザー識別コードは、予め設定された有効期間が経過すると無効化される
請求項３〜１４のいずれか１項に記載の車両制御装置。
【請求項１７】
前記ユーザー識別コードの有効期間は、前記特権ユーザーが任意に設定可能とされてなる
請求項１５又は１６に記載の車両制御装置。
【請求項１８】
前記ユーザー識別検査は、バイオメトリック認証に基づく前記特権ユーザーの確認を、前記特権ユーザーであると確認することの条件とする
請求項１〜１７のいずれか１項に記載の車両制御装置。
【請求項１９】
前記ユーザー識別検査は、自動料金支払いシステムの有する車両識別情報が該当車両に合致することの確認を、前記特権ユーザーであると確認することの条件とする
請求項１〜１８のいずれか１項に記載の車両制御装置。
【請求項２０】
前記特権ユーザーが乗車時に所持する物品であるユーザーアイテムに車種毎に固有の車型識別情報を記憶させておくとともに、
そのユーザーアイテムから取得した車型識別情報を用いて、前記配信されたデータが自車に対するものであるか否かを判断する
請求項１〜１９のいずれか１項に記載の車両制御装置。
【請求項２１】
無線通信ネットワークを通じて配信された書換用のデータに基づいて自身の記憶するデータの書き換えを実行する車両制御装置において、
前記データの書き換えの実行を許可された車両ユーザーとして予め指定された特権ユーザーが乗車時に所持する物品であるユーザーアイテムに、車種毎に固有の車型識別情報を記憶させておくとともに、
そのユーザーアイテムから取得した車型識別情報を用いて、前記配信されたデータが自車に対するものであるか否かを判定する
ことを特徴とする車両制御装置。
【請求項２２】
前記特権ユーザーか否かを確認するユーザー識別検査を実施して、前記特権ユーザーであると確認されることを条件に前記データの書き換えの実行を許可する
請求項２１に記載の車両制御装置。
【請求項２３】
前記特権ユーザーか否かを判定するユーザー識別検査を実施して、前記特権ユーザーであると確認されなかったときには、前記データの書き換えの実行を禁止する
請求項２１に記載の車両制御装置。
【請求項２４】
無線通信ネットワークを通じて管理センタから各車両へと書換用のデータを配信して、各車両の車両制御装置の記憶するデータの書き換えを実行させる車両制御装置のデータ書換システムにおいて、
前記データの書き換えの実行を許可された車両ユーザーとして予め指定された特権ユーザーであるか否かを確認するユーザー識別検査を各車両で実施して、前記特権ユーザーであると確認されることを条件に該当車両での前記データの書き換えの実行を許可する
ことを特徴とする車両制御装置のデータ書換システム。
【請求項２５】
無線通信ネットワークを通じて管理センタから各車両へと書換用のデータを配信して、各車両の車両制御装置の記憶するデータの書き換えを実行させる車両制御装置のデータ書換システムにおいて、
前記データの書き換えの実行を許可された車両ユーザーとして予め設定された特権ユーザーであるか否かを判定するユーザー識別検査を各車両で実施して、前記特権ユーザーであると確認されなかったときには、該当車両での前記データの書き換えの実行を禁止する
ことを特徴とする車両制御装置のデータ書換システム。
【請求項２６】
前記特権ユーザーが乗車時に所持する物品であるユーザーアイテムと前記車両とに、各車両の特権ユーザーにそれぞれ固有のユーザー識別コードをそれぞれ記憶させるとともに、
前記車両に記録のユーザー識別コードと前記ユーザーアイテムから取得したユーザー識別コードとの照合を通じて前記ユーザー識別検査を行う
請求項２４又は２５に記載の車両制御装置のデータ書換システム。
【請求項２７】
各車両の特権ユーザーにそれぞれ固有のユーザー識別コードを前記車両に記憶させるとともに、
その車両に記録されたユーザー識別コードと、ユーザーにより手動入力されたユーザー識別コードとの照合を通じて前記ユーザー識別検査を行う
ことを特徴とする請求項２４又は２５に記載の車両制御装置のデータ書換システム。
【請求項２８】
前記特権ユーザーが乗車時に所持する物品であるユーザーアイテムと前記車両とに、各車両の特権ユーザーにそれぞれ固有のユーザー識別コードをそれぞれ記憶させるとともに、
前記車両に記録されたユーザー識別コードと、前記ユーザーアイテムから取得したユーザー識別コード及びユーザーにより手動入力されたユーザー識別コードとの照合を通じて前記ユーザー識別検査を行う
請求項２４又は２５に記載の車両制御装置のデータ書換システム。
【請求項２９】
前記車両には、前記ユーザーアイテムから取得したユーザー識別コードとの照合用と、前記ユーザーにより手動入力されたユーザー識別コードとの照合用との２つの異なるユーザー識別コードが記憶される
請求項２８に記載の車両制御装置のデータ書換システム。
【請求項３０】
前記車両制御装置は、前記ユーザーアイテムから取得したユーザー識別コードの記憶を、イグニッションスイッチがオフされる毎にクリアする
請求項２６、２８及び２９のいずれか１項に記載の車両制御装置のデータ書換システム。
【請求項３１】
前記車両制御装置は、メインキーによる乗車である場合に限り、前記ユーザーによる前記ユーザー識別コードの手動入力を許容する
請求項２７〜２９のいずれか１項に記載の車両制御装置のデータ書換システム。
【請求項３２】
前記特権ユーザーが乗車時に所持する物品であるユーザーアイテムに、各車両の特権ユーザーにそれぞれ固有のユーザー識別コードを記憶させるとともに、
前記車両制御装置は、そのユーザーアイテムから前記ユーザー識別コードを取得した場合に限り、前記ユーザーによる前記ユーザー識別コードの手動入力を許容する
請求項２７〜２９及び３１のいずれか１項に記載の車両制御装置のデータ書換システム。
【請求項３３】
前記データの書き換えの実行時に、前記車両に記録のユーザー識別コードを併せ書き換える
請求項２６〜３２のいずれか１項に記載の車両制御装置のデータ書換システム。
【請求項３４】
前記車両制御装置において前記車両に記録のユーザー識別コードは、前記データの書き換えによっては書き換えられない記憶領域に格納される
請求項２６〜３２のいずれか１項に記載の車両制御装置のデータ書換システム。
【請求項３５】
前記車両に記録のユーザー識別コードは、前記管理センタからの前記無線通信ネットワークを通じた指令により設定及び変更可能とされてなる
請求項２６〜３４のいずれか１項に記載の車両制御装置のデータ書換システム。
【請求項３６】
前記車両に記録のユーザー識別コードは、携帯電話を用いて設定及び変更可能とされてなる
請求項２６〜３４のいずれか１項に記載の車両制御装置のデータ書換システム。
【請求項３７】
前記車両に記録のユーザー識別コードは、その車両に搭載のインターフェイスを用いて設定及び変更可能とされてなる
請求項２６〜３６のいずれか１項に記載の車両制御装置のデータ書換システム。
【請求項３８】
前記車両に記録のユーザー識別コードは、予め設定された有効期間の経過毎に変更される
請求項２６〜３７のいずれか１項に記載の車両制御装置のデータ書換システム。
【請求項３９】
前記車両に記録のユーザー識別コードは、予め設定された有効期間が経過すると無効化される
請求項２６〜３７のいずれか１項に記載の車両制御装置のデータ書換システム。
【請求項４０】
前記ユーザー識別コードの有効期間は、前記特権ユーザーが任意に設定可能とされてなる
請求項３８又は３９に記載の車両制御装置のデータ書換システム。
【請求項４１】
前記ユーザー識別検査は、バイオメトリック認証に基づく前記特権ユーザーの確認を、前記特権ユーザーであることの確認の条件とする
請求項２４〜４０のいずれか１項に記載の車両制御装置のデータ書換システム。
【請求項４２】
前記ユーザー識別検査は、自動料金支払いシステムの有する車両識別情報が該当車両に合致することの確認を、前記特権ユーザーであることの確認の条件とする
請求項２４〜４１のいずれか１項に記載の車両制御装置のデータ書換システム。
【請求項４３】
前記特権ユーザーが乗車時に所持する物品であるユーザーアイテムに車種毎に固有の車型識別情報を記録するとともに、
前記車両制御装置は、そのユーザーアイテムから取得した前記車型識別情報を用いて、配信された前記書換用のデータが自車に対するものであるか否かを判断する
請求項２４〜４２のいずれか１項に記載の車両制御装置のデータ書換システム。
【請求項４４】
無線通信ネットワークを通じて管理センタから各車両へと書換用のデータを配信して、各車両の車両制御装置の記憶するデータの書き換えを実行させる車両制御装置のデータ書換システムにおいて、
前記データの書き換えの実行を許可された車両ユーザーとして予め指定された特権ユーザーが乗車時に所持する物品であるユーザーアイテムに、車種毎に固有の車型識別情報を記録しておくとともに、
前記車両制御装置は、そのユーザーアイテムから取得した前記車型識別情報を用いて、配信された前記書換用のデータが自車に対するものであるか否かを判断する
ことを特徴とする車両制御装置のデータ書換システム。
【請求項４５】
前記車両制御装置は、前記特権ユーザーか否かを確認するユーザー識別検査を実施して、前記特権ユーザーであることが確認されることを条件に前記データの書き換えの実行を許可する
請求項４４に記載の車両制御装置のデータ書換システム。
【請求項４６】
前記車両制御装置は、前記特権ユーザーか否かを確認するユーザー識別検査を実施して、前記特権ユーザーであると確認されなかったときには、前記データの書き換えの実行を禁止する
請求項４４に記載の車両制御装置のデータ書換システム。

【図１】

【図２】

【図３】

【図４】

【図５】

【図６】

【図７】

【図８】

【図９】

【図１０】

【図１１】

【図１２】

【図１３】

【図１４】

【図１５】

【公開番号】特開２００８−２３９０２１（Ｐ２００８−２３９０２１Ａ）
【公開日】平成２０年１０月９日（２００８．１０．９）
【国際特許分類】
【出願番号】特願２００７−８４１７５（Ｐ２００７−８４１７５）
【出願日】平成１９年３月２８日（２００７．３．２８）
【出願人】（０００００４２６０）株式会社デンソー (27,639)
【Ｆターム（参考）】