プログラム書込システム
【課題】バッテリ電圧が異なる車両の制御対象機器を制御するための、同じハードウエア構成を備えた電子制御装置に対して、正しい制御プログラム以外の書き込みを防止すること。
【解決手段】ECU104が、書込装置101から制御プログラムの提供を受けたときに、検出されたバッテリ電圧VVと、制御プログラム内の使用電圧情報110から取得した使用電圧VSとに基づき、制御プログラムの正誤を判定する。そして、正しい制御プログラムではないと判定した場合、制御プログラムのフラッシュROMへの書込処理を中止する。
【解決手段】ECU104が、書込装置101から制御プログラムの提供を受けたときに、検出されたバッテリ電圧VVと、制御プログラム内の使用電圧情報110から取得した使用電圧VSとに基づき、制御プログラムの正誤を判定する。そして、正しい制御プログラムではないと判定した場合、制御プログラムのフラッシュROMへの書込処理を中止する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、発生する電源電圧が異なるバッテリを備えた複数の車両において、それぞれの車両に搭載された制御対象機器を制御するための電子制御装置として、同様のハードウエア構成を備えた電子制御装置が用いられる場合に、書込装置から提供される制御対象機器を制御するための制御プログラムを、それぞれの電子制御装置のメモリに書き込むプログラム書込システムに関する。
【背景技術】
【0002】
例えば、車両の仕様が異なっていても、制御ユニット(電子制御装置)を共通化できるようにすることが特許文献1に記載されている。この特許文献1に記載の制御ユニットでは、自動変速機や燃料噴射装置など車両に装備される制御対象をスイッチなどのセンサ類の出力に基づいて適宜コントロールする場合に、センサの出力に基づいて処理を実行する第1プログラム部と、センサ出力に基づかないで処理を実行する第2プログラム部とを設けている。そして、センサからの出力の有無を判別し、その判別結果に基づいて、両プログラムの内、いずれか一方を選択するようにしている。つまり、センサからの信号の有無を手がかりとして、制御に用いるプログラムを選択することにより、各車両の仕様に適したプログラムで制御対象を制御することができるようにしている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開平2−197430号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、上述した特許文献1では、制御ユニットを種々の仕様の車両で共通化できるようにするため、それら種々の仕様に対応する制御プログラムをすべて制御ユニット内に用意しておく必要がある。このため、制御プログラムは、個々の車両から見れば、不要なプログラム部分を含むものとなるので、制御プログラムを記憶しておくためのメモリ容量の増加を招くという不具合がある。
【0005】
上述した不具合を解消するため、制御ユニットを共通化する場合に、ハードウエア構成としては同じ制御ユニットを使用しながら、その制御ユニットに用いる制御プログラムだけを、個々の仕様に適合したものとすることが考えられる。すなわち、制御プログラムは、制御ユニットが搭載される車両が決定されてから、制御ユニットに書き込むことにより、制御ユニットとして、異なる仕様の車両ごとに品番を付したり、在庫数を管理したりすることが不要となる。
【0006】
ただし、ハードウエア構成として同じ制御ユニットを、12Vと24Vなど、バッテリ電圧の異なる車両に搭載しようとした場合、以下に説明するような問題が生じることが考えられる。つまり、制御ユニットは、ハードウエア構成として共通であるがゆえに、万一、制御ユニットに間違った制御プログラムが書き込まれてしまった場合でも、制御対象機器を駆動できてしまうことが起こりえる。
【0007】
しかし、この場合、制御プログラムは、異なる電源電圧にて動作することを前提としているため、制御対象機器を正しく駆動することができなかったり、最悪の場合、駆動電流などが異なることに起因して、制御ユニットや、制御対象機器が損傷したりする可能性も否定できない。
【0008】
本発明は、上述した点に鑑みてなされたもので、バッテリ電圧が異なる車両の制御対象機器を制御するための、同じハードウエア構成を備えた電子制御装置に対して、正しい制御プログラム以外の書き込みを防止することができ、万一、誤った制御プログラムが書き込まれたとしても、電子制御装置や制御対象機器の損傷を防止することが可能なプログラム書込システムを提供することも目的とする。
【課題を解決するための手段】
【0009】
上述した目的を達成するために、請求項1に記載のプログラム書込システムは、発生する電源電圧が異なるバッテリを備えた複数の車両において、それぞれの車両に搭載された制御対象機器を制御するための電子制御装置として、同様のハードウエア構成を備えた電子制御装置が用いられる場合に、書込装置から提供される、制御対象機器を制御するための制御プログラムを、それぞれの電子制御装置のメモリに書き込むものであって、
バッテリが発生する電源電圧を検出する検出手段と、
制御プログラムには、使用すべき電源電圧を示す使用電圧情報が付随しており、検出手段によって検出された電源電圧と、制御プログラムに付随する使用電圧情報とに基づいて、正しい制御プログラムであるか否かを判定する判定手段と、
判定手段が正しい制御プログラムではないと判定した場合に、当該制御プログラムを用いた処理の実行を停止する停止手段と、を備えることを特徴とする。
【0010】
請求項1に記載のプログラム書込システムは、上述した検出手段及び判定手段を備えているので、書込装置から提供される制御プログラムが、使用電圧の観点から、正しい制御プログラムであるか否かを判定することができる。そして、正しい制御プログラムではないと判定された場合、停止手段は、その制御プログラムを用いた処理の実行を停止する。例えば、制御プログラムが、まだ電子制御装置のメモリに書き込まれていなければ、書き込み処理の実行を停止し、すでに電子制御装置のメモリに書き込まれている場合には、その制御プログラムを用いての制御対象機器の制御を停止する。従って、正しい制御プログラム以外の書き込みを防止することができ、万一、誤った制御プログラムが書き込まれたとしても、その制御プログラムを用いての制御を実行しないので、電子制御装置や制御対象機器の損傷を防止することができる。
【0011】
請求項2に記載したように、検出手段、判定手段、及び停止手段は、制御プログラムが書き込まれる電子制御装置に設けることができる。そして、書込装置から電子制御装置に制御プログラムが提供されたときに、判定手段が、検出手段によって検出された電源電圧と、制御プログラムに付随する使用電圧情報とに基づき、正しい制御プログラムではないと判定した場合、停止手段は、書込装置から電子制御装置に提供された制御プログラムのメモリへの書込処理を中止することが好ましい。これにより、誤った制御プログラムが電子制御装置のメモリに書き込まれることを未然に防ぐことができる。
【0012】
一方、請求項3に記載したように、書込装置から電子制御装置に制御プログラムが提供されたときには、電子制御装置は、書込装置から提供された制御プログラムを、一旦、自身のメモリに書き込んでも良い。そして、電子制御装置が車両に搭載されて、制御プログラムが書き込まれた後、判定手段が、検出手段によって検出された電源電圧と、制御プログラムに付随する使用電圧情報とに基づき、正しい制御プログラムではないと判定した場合、停止手段が、制御プログラムを用いての制御対象機器の制御の実行を停止するようにしても良い。
【0013】
例えば、工場出荷の時点で、電子制御装置が搭載される車両が決定されており、出荷前の最終工程などで、電子制御装置のメモリに制御プログラムが書き込まれることも考えられる。この場合、電子制御装置は、車両のバッテリに接続されない状態で、制御プログラムの書き込みが行われることになる。このため、電子制御装置に設けられた検出手段によってバッテリが発生する電源電圧を検出することができないので、電子制御装置は、制御プログラムの正誤を判定することなく、一旦、自身のメモリに書き込んでおく。そして、電子制御装置が車両に搭載されて、制御プログラムが書き込まれた後、バッテリによる電源電圧と、使用電圧情報とに基づき、正しい制御プログラムであるか否かを判定する。もし、正しい制御プログラムではないと判定した場合、この制御プログラムを用いての制御を実行しないので、電子制御装置や制御対象機器の損傷を防止することができる。
【0014】
請求項4に記載したように、電子制御装置は、制御プログラムが書き込まれたことを示す書込情報を不揮発性のメモリに書き込んでおき、当該不揮発性のメモリに書き込まれた書込情報に基づいて、初回起動時のみ、判定手段による判定処理を実行することが好ましい。判定手段による判定処理は、電子制御装置のメモリに書き込まれた制御プログラムが正しいか否かを判定するものであり、制御プログラムの書き込み後に1回実行すれば十分なためである。
【0015】
請求項5に記載したように、電子制御装置は、バッテリからの電源供給が絶たれたとき、その旨を示す電源途絶情報を不揮発性メモリに書き込んでおき、当該不揮発性メモリに書き込まれた電源途絶情報に基づいて、バッテリからの電源供給が再開されたときに、判定手段による判定処理を実行するようにしても良い。これにより、バッテリ交換時に、本来装着されるべきバッテリの電源電圧とは異なる電源電圧のバッテリが誤って装着されたときにも、制御プログラムを用いての、制御対象機器の制御の実行を停止することができる。
【0016】
請求項6に記載したように、検出手段、判定手段、及び停止手段は、制御プログラムを提供する書込装置に設けることもできる。そして、判定手段が、検出手段によって検出された電源電圧と、制御プログラムに付随する使用電圧情報とに基づき、正しい制御プログラムではないと判定した場合、停止手段は、電子制御装置への制御プログラムの提供を行わないようにすることが好ましい。このようにしても、誤った制御プログラムが電子制御装置のメモリに書き込まれることを未然に防ぐことができる。
【図面の簡単な説明】
【0017】
【図1】第1実施形態におけるプログラム書込システムの全体構成を示す構成図である。
【図2】第1実施形態のプログラム書込システムにおける制御プログラムの書込処理を示すフローチャートである。
【図3】制御プログラムの構成を概念的に示した図である。
【図4】第2実施形態によるプログラム書込システムにおいて、ECU204が、車両のバッテリではなく生産ラインに設けられた電源213に電源ライン216を介して接続された状態で、書込装置201により制御プログラムの書き込みが行われる様子を示した図である。
【図5】ECU204が車両に搭載されたときの状態をブロック図として示した図である。
【図6】ECU204において、エンジン始動時に実行される処理を示した図である。
【図7】第3実施形態におけるプログラム書込システムの全体構成を示す構成図である。
【図8】第3実施形態のプログラム書込システムにおいて、書込装置301により実行される処理を示すフローチャートである。
【発明を実施するための形態】
【0018】
(第1実施形態)
以下、本発明の第1実施形態におけるプログラム書込システムについて、図面に基づいて説明する。
【0019】
図1に、本実施形態におけるプログラム書込システムの全体構成を示す。図1に示すように、プログラム書込システムは、制御プログラムの書き込みが行われる電子制御装置(ECU)104と、このECU104に対して、制御プログラムの書き込みの指示や、書き込まれるべき制御プログラムの提供を行う書込装置101とを有する。なお、図1では、ECU104が車両102に搭載された状態で、接続線107を介して書込装置101と接続された状態を示している。
【0020】
ECU104は、書き込まれた制御プログラムに従って、車両102に搭載された制御対象機器を制御するものであるが、図1では、一例として、車両のエンジンの運転状態を制御するためのECUとしての構成を示している。すなわち、ECU104は、エンジンの運転状態を検出する様々なセンサからの信号を入力する入力部と、この入力部を介して入力されたセンサ信号に基づき、エンジンの運転状態を制御するための様々な処理を実行するMCU(マイクロコンピュータユニット)と、このMCUからの制御信号に基づいて、エンジンに取り付けられた、EGR弁、インジェクタ、燃料ポンプ、及び電子スロットルバルブ等のアクチュエータ105へ駆動信号を出力する出力部とを備えている。なお、図1では、入力部、MCU、及び出力部とも、簡略化のため、いずれも図示していない。
【0021】
ECU104のMCUは、公知のように、CPU、フラッシュROM、RAM等からなる。そして、書込装置101から提供された制御プログラムは、一時的にRAMに保存され、その後、フラッシュROMに書き込まれる。
【0022】
ECU104は、電源ライン106を介してバッテリ103からの電源供給を受ける。ただし、ECU104は、例えば、12Vと24Vなど、バッテリ電圧の異なる車両において、ハードウエア構成を変えずに共通して使用できるように、バッテリ電源電圧から、ECU内の各部に供給する一定の基準電圧(目標電圧)を発生する電源回路を備えている。つまり、この電源回路は、例えば、降圧型のスイッチングレギュレータを有しており、バッテリ電圧によらず、ほぼ一定の基準電圧(例えば、10V)を発生することが可能なものである。
【0023】
また、ECU104は、上述した入力部の一部の構成として、A/D変換器を備えている。そして、バッテリ103との間を接続する電源ライン106は、別途、ECU104の入力部にも接続され、バッテリ103が発生する電源電圧を入力部のA/D変換器によりA/D変換して取り込むことが可能に構成されている。これにより、ECU104は、バッテリ103が発生する電源電圧を検出することができる。
【0024】
次に、本実施形態のプログラム書込システムにおける制御プログラムの書込処理について、図2のフローチャートを参照しつつ説明する。なお、ECU104内のフラッシュROMは、データの書き込みが可能な領域とデータの書き込みが不能な領域とに分割されており、これら各領域は、フラッシュROMの記憶領域に付されるアドレスによって指定されている。データの書き込みが不能な領域には、予めECU104を起動するためのブートプログラムが記憶されている。書込装置101から提供される制御プログラムは、フラッシュROMの、データ書き込み可能領域に書き込まれる。
【0025】
まず、ステップS101において、書込装置101により、ECU104に付されているハードウエア品番が読み出され、書き込もうとしている制御プログラムとの対応が取れているかを確認する。ただし、上述したように、ECU104は、バッテリ電圧の異なる車両において共通して使用されるものであり、書き込まれる制御プログラムは、バッテリ電圧の種類に応じて複数種類ある。従って、ステップS101の確認だけでは、バッテリ電圧をも考慮した上で、正しい制御プログラムが書き込まれるか否かを判断することはできない。
【0026】
続くステップS102では、ECU104に制御プログラムを書き込むため、ECU104のセキュリティを解除する。このセキュリティ解除は、例えば、以下のようにして行われる。まず、予め、ECU104と書込装置101とに、入力された数値に対して予め定められた演算を行って、その演算結果を返す同じ関数をそれぞれ記憶させておく。そして、ECU104にて乱数を発生させ、ECU104及び書込装置101それぞれにおいて、その乱数を上述した関数に入力することにより演算結果を得る。これらの演算結果をキーとして、ECU104において、キーの照合を行う。そして、キーが一致した場合、認証が成立し、ECU104のセキュリティが解除される。
【0027】
続くステップS103では、書込装置101からECU104への制御プログラムの転送に先立ち、書込装置101が、制御プログラムをフラッシュROMに書き込むための書込プログラムをECU104に転送する。この書込プログラムは、RAM内に書き込まれるか、一旦、ECU104内のフラッシュROM内に書き込まれる。RAM内に書き込まれた場合はECU104への電源供給が絶たれた時点で自動消去され、フラッシュROM内に書き込まれた場合は制御プログラムの書き込みが正常に終了した時点で消去される。なお、書き込みプログラムは、予め、ECU104のフラッシュROM内に記憶させておいても良い。
【0028】
ステップS104では、上述したように、ECU104において、バッテリ103が発生する電源電圧をA/D変換することにより、バッテリ電圧VVの検出を行なう。続くステップS105では、書込装置101が、ECU104に向けて、制御プログラムの転送を開始する。なお、この制御プログラムの転送は分割して行われ、転送された制御プログラムは、一旦、ECU104のRAMに保存される。
【0029】
ここで、制御プログラムの、最初にECU104に転送される分割部分に、図3に示すように、当該制御プログラムが使用されるべき電源電圧を示す使用電圧情報110が含まれている。従って、ECU104は、最初に書込装置101から転送されてきた制御プログラムの分割部分を受け取った時点で、その制御プログラムが使用されるべき電源電圧についての情報を取得することができる。なお、使用電圧情報110は、必ずしも制御プログラム内に保存されていなくとも良い。例えば、制御プログラムとは分離して、制御プログラムの転送に先立って、使用電圧情報だけを転送しても良いし、制御プログラムに使用電圧に応じたファイル名を付すことにより、そのファイル名を使用電圧情報として利用することも可能である。
【0030】
ステップS106では、ECU104は、上述した使用電圧情報110から、制御プログラムが使用されるべき使用電圧VSを取得する。そして、ステップS107において、ECU104は、ステップS104にて取得されたバッテリ電圧VVと、ステップS106で取得された使用電圧VSとを比較して、不一致であるか否かを判定する。このステップS107において、バッテリ電圧VVと使用電圧VSとが一致していると判定されると、ステップS108に進み、ECU104は、最初に受け取った制御プログラムの分割部分をフラッシュROMに書き込むとともに、残りの制御プログラムを順次、書込装置101から転送させる。そして、受け取った制御プログラムを、順番に、フラッシュROMに書き込んでいく。
【0031】
ステップS109では、ECU104における、制御プログラムの書込処理が正常に終了したか否かを、例えば、チェックサムを用いて判定する。このとき、書込処理が正常に終了しなかったと判定されると、ECU104は、ステップS110において、フラッシュROMに書き込んだ制御プログラムをすべて消去し、ステップS111の処理に進む。一方、ステップS109にて書込処理が正常に終了したと判定されると、ステップS110の処理を実行することなく、ステップS111の処理に進む。ステップS111では、ECU104は、自身にリセットをかける。なお、リセットをかける際、ECU104は、フラッシュROMに書込プログラムが保存されていた場合、保存された書込プログラムを消去する。
【0032】
一方、ステップS107において、バッテリ電圧VVと使用電圧VSとが一致していないと判定されると、制御プログラムのフラッシュROMへの書き込みを行わないようにするため、ステップS108〜S110の処理を実行することなく、ステップS111の処理に進む。
【0033】
以上のように、第1実施形態によるプログラム書込システムでは、ECU104が、書込装置101から制御プログラムの提供を受けたときに、バッテリ電圧VVと使用電圧VSとに基づき、制御プログラムの正誤を判定する。そして、正しい制御プログラムではないと判定した場合、制御プログラムのフラッシュROMへの書込処理を中止する。これにより、誤った制御プログラムがECU104のフラッシュROMに書き込まれることを未然に防ぐことができる。
【0034】
(第2実施形態)
次に、本発明の第2実施形態によるプログラム書込システムについて、図4〜図6を参照しつつ説明する。
【0035】
上述した第1実施形態では、プログラム書込システムを構成するECU104が、車両102に搭載され、バッテリ103が発生する電源電圧を検出可能な状態で、制御プログラムの書込処理が行われるケースについて説明した。
【0036】
しかしながら、例えば、工場出荷の時点で、ECUが搭載される車両が決定されており、出荷前の最終工程などで、ECUのフラッシュROMに制御プログラムが書き込まれることも考えられる。
【0037】
本実施形態によるプログラム書込システムでは、このように、ECUが車両のバッテリに接続されていないときに、書込装置から制御プログラムを提供された場合であっても、その制御プログラムが、正しい制御プログラムであるかを判定するとともに、誤った制御プログラムであった場合には、その制御プログラムを用いた処理を停止できるようにしたものである。以下、具体的に、本実施形態によるプログラム書込システムについて説明する。
【0038】
図4に示すように、ECU204は、車両のバッテリではなく生産ラインに設けられた電源213に電源ライン216を介して接続された状態で、書込装置201により制御プログラムの書き込みが行われる。この場合、ECU204は、車両のバッテリが発生する電源電圧を検出することができないので、使用電圧の観点において、上述した第1実施形態に示した制御プログラム書き込み中の制御プログラムの正誤を判定することなく、一旦、制御プログラムを、フラッシュROMに書き込んでおく。
【0039】
そして、図5に示すようにECU204が車両202に搭載され、制御プログラムが書き込まれた後、バッテリ203による電源電圧VVと、使用電圧VSとを比較することにより、正しい制御プログラムであるか否かを判定する。もし、正しい制御プログラムではないと判定した場合、この制御プログラムを用いての、エンジン制御を実行しないようにする。これにより、万一、誤った制御プログラムがECU204のフラッシュROMに書き込まれたとしても、ECU204や各アクチュエータ205が損傷する事態の発生を防止することができる。
【0040】
以下に、本実施形態のプログラム書込システムにおいて実行される処理内容について、図6のフローチャートを用いて説明する。
【0041】
まず、ステップS201では、ECU204の初期化処理を行う。具体的には、ECU204のRAMやレジスタの値をすべてクリアする。続くステップS202では、バッテリ電圧判定実施条件が成立したか否かを判定する。具体的には、このバッテリ電圧判定実施条件の成立判定では、ECU204のフラッシュROMに制御プログラムが書き込まれてから、初めてECU204が起動されたか否かを判定する。この判定は、例えば、ECU204が、制御プログラムが書き込まれたときに、その旨を示す書込情報を、フラッシュROMや、バックアップRAMなどの不揮発性のメモリに書き込んでおき、その書込情報を参照することによって行うことができる。
【0042】
このように、初回起動時であるか否かを判定するのは、ECU204のフラッシュROMに書き込まれた制御プログラムが正しいか否かの判定が、制御プログラムの書き込み後に1回実行されれば十分なためである。換言すれば、ステップS202においてバッテリ電圧判定実施条件が不成立であると判定されると、制御プログラムの正誤判定を行うことなく、ステップS206の処理に進む。
【0043】
ステップS202において、バッテリ電圧判定実施条件が成立したと判定された場合、すなわち、初回起動時である場合、ステップS203に進んで、車両のバッテリ電圧VVの検出を行なう。続くステップS204では、制御プログラムに含まれる使用電圧情報110から、当該プログラムの使用電圧VSを取得する。そして、ステップS205において、ECU204は、バッテリ電圧VVと、使用電圧VSとを比較して、不一致であるか否かを判定する。なお、この判定時に、上述した不揮発性メモリに、制御プログラムの正誤判定処理が完了した情報、及びその判定結果を残しておく。これにより、次回以降のECU204の起動時に、再度、制御プログラムの正誤判定処理を実施せずに済む。
【0044】
ステップS205において、バッテリ電圧VVと使用電圧VSとが不一致であると判定されると、ステップS210の処理に進み、アクチュエータ205への駆動信号の出力を停止したままとし、制御プログラムを用いてのエンジン制御を実行しないようにする。
【0045】
一方、ステップS205において、バッテリ電圧VVと使用電圧VSとが一致していると判定されると、ステップS206に進んで、図示しないスタータスイッチからの信号を取得する。ステップS207では、取得したスタータスイッチの信号に基づき、スタータスイッチがオンされているか否かを判定する。このとき、オンされていないと判定された場合には、ステップS206の処理に戻り、オンされていると判定された場合には、ステップS208の処理に進む。
【0046】
ステップS208では、スタータモータに駆動信号を出力して、エンジンの始動を開始する。そして、ステップS209では、エンジンの始動後、運転者によるアクセル操作等に応じて最適な運転状態となるように、エンジンの制御を開始する。
【0047】
(第3実施形態)
次に、本発明の第3実施形態におけるプログラム書込システムについて、図7、図8を参照しつつ説明する。
【0048】
上述した第1、第2実施形態では、ECU104,204において、制御プログラムが正しいか否かを判定するものであった。しかしながら、この判定は、車両に搭載されるECUはなく、そのECUに制御プログラムを提供する書込装置において行うことも可能である。
【0049】
本第3実施形態では、書込装置において、制御プログラムが正しいか否かを判定するようにしたプログラム書込システムについて説明する。
【0050】
図7は、第3実施形態によるプログラム書込システムの全体構成を示す図である。図7に示すように、本実施形態によるプログラム書込システムは、ECU304が、車両に搭載された状態で、制御プログラムを書き込む場合に適用されるものである。そして、本実施形態では、書込装置301にて、制御プログラムの正誤を判定するため、電源ライン306aを介して、車載バッテリ303と書込装置301とを接続し、書込装置301において、バッテリ303が発生する電源電圧を検出可能に構成されている。その他の構成は、第1実施形態と同様であるため、説明を省略する。
【0051】
次に、図8のフローチャートに従って、書込装置301により実行される処理について説明する。
【0052】
まず、ステップS301では、データベースや、外部記憶媒体から、ECU304に書き込むべき制御プログラムを読み込む。続くステップS302では、車両のバッテリ電圧VVを検出する。そして、ステップS303において、ステップS301にて読み込んだ制御プログラムに含まれる使用電圧情報110から、使用電圧VSを取得する。
【0053】
ステップS304では、書込装置301は、バッテリ電圧VVと、使用電圧VSとを比較して、不一致であるか否かを判定する。このステップS304において、バッテリ電圧VVと使用電圧VSとが不一致であると判定されると、そのまま、図8のフローチャートに示す処理を終了する。一方、ステップS304において、バッテリ電圧VVと使用電圧VSとが一致していると判定されると、ステップS305に進んで、制御プログラムの書き込み処理を実行する。
【0054】
このように、本実施形態のプログラム書込システムでは、書込装置301が、書込処理を開始する前に、制御プログラムの正誤を判定し、もし誤っていると判定した場合には、書込処理を実行しないようにしている。従って、早い段階で、制御プログラムの正誤判定を行うことができるとともに、誤った制御プログラムがECU304に書き込まれることを未然に防ぐことができる。
【0055】
以上、本発明の好ましい実施形態について説明したが、本発明は上述した実施形態になんら制限されることなく、本発明の主旨を逸脱しない範囲において、種々変形して実施することが可能である。
【0056】
例えば、上述した第2実施形態のプログラム書込システムでは、制御プログラムが書き込まれた後の、ECU204の初回起動時に、制御プログラムの正誤判定を実行した。この第2実施形態のプログラム書込システムにおいて、さらに、ECU204が、バッテリ203からの電源供給が絶たれたとき、その旨を示す電源途絶情報を不揮発性メモリに書き込んでおき、当該不揮発性メモリに書き込まれた電源途絶情報に基づいて、バッテリ203からの電源供給が再開されたときに、制御プログラムの正誤判定処理を実行するようにしても良い。このようにすれば、バッテリ交換時に、本来装着されるべきバッテリの電源電圧とは異なる電源電圧のバッテリが誤って装着されたときにも、制御プログラムを用いての、制御対象機器の制御の実行を停止することができるようになる。
【符号の説明】
【0057】
101 書込装置
102 車両
103 バッテリ
104 ECU
105 アクチュエータ
106 電源ライン
【技術分野】
【0001】
本発明は、発生する電源電圧が異なるバッテリを備えた複数の車両において、それぞれの車両に搭載された制御対象機器を制御するための電子制御装置として、同様のハードウエア構成を備えた電子制御装置が用いられる場合に、書込装置から提供される制御対象機器を制御するための制御プログラムを、それぞれの電子制御装置のメモリに書き込むプログラム書込システムに関する。
【背景技術】
【0002】
例えば、車両の仕様が異なっていても、制御ユニット(電子制御装置)を共通化できるようにすることが特許文献1に記載されている。この特許文献1に記載の制御ユニットでは、自動変速機や燃料噴射装置など車両に装備される制御対象をスイッチなどのセンサ類の出力に基づいて適宜コントロールする場合に、センサの出力に基づいて処理を実行する第1プログラム部と、センサ出力に基づかないで処理を実行する第2プログラム部とを設けている。そして、センサからの出力の有無を判別し、その判別結果に基づいて、両プログラムの内、いずれか一方を選択するようにしている。つまり、センサからの信号の有無を手がかりとして、制御に用いるプログラムを選択することにより、各車両の仕様に適したプログラムで制御対象を制御することができるようにしている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開平2−197430号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、上述した特許文献1では、制御ユニットを種々の仕様の車両で共通化できるようにするため、それら種々の仕様に対応する制御プログラムをすべて制御ユニット内に用意しておく必要がある。このため、制御プログラムは、個々の車両から見れば、不要なプログラム部分を含むものとなるので、制御プログラムを記憶しておくためのメモリ容量の増加を招くという不具合がある。
【0005】
上述した不具合を解消するため、制御ユニットを共通化する場合に、ハードウエア構成としては同じ制御ユニットを使用しながら、その制御ユニットに用いる制御プログラムだけを、個々の仕様に適合したものとすることが考えられる。すなわち、制御プログラムは、制御ユニットが搭載される車両が決定されてから、制御ユニットに書き込むことにより、制御ユニットとして、異なる仕様の車両ごとに品番を付したり、在庫数を管理したりすることが不要となる。
【0006】
ただし、ハードウエア構成として同じ制御ユニットを、12Vと24Vなど、バッテリ電圧の異なる車両に搭載しようとした場合、以下に説明するような問題が生じることが考えられる。つまり、制御ユニットは、ハードウエア構成として共通であるがゆえに、万一、制御ユニットに間違った制御プログラムが書き込まれてしまった場合でも、制御対象機器を駆動できてしまうことが起こりえる。
【0007】
しかし、この場合、制御プログラムは、異なる電源電圧にて動作することを前提としているため、制御対象機器を正しく駆動することができなかったり、最悪の場合、駆動電流などが異なることに起因して、制御ユニットや、制御対象機器が損傷したりする可能性も否定できない。
【0008】
本発明は、上述した点に鑑みてなされたもので、バッテリ電圧が異なる車両の制御対象機器を制御するための、同じハードウエア構成を備えた電子制御装置に対して、正しい制御プログラム以外の書き込みを防止することができ、万一、誤った制御プログラムが書き込まれたとしても、電子制御装置や制御対象機器の損傷を防止することが可能なプログラム書込システムを提供することも目的とする。
【課題を解決するための手段】
【0009】
上述した目的を達成するために、請求項1に記載のプログラム書込システムは、発生する電源電圧が異なるバッテリを備えた複数の車両において、それぞれの車両に搭載された制御対象機器を制御するための電子制御装置として、同様のハードウエア構成を備えた電子制御装置が用いられる場合に、書込装置から提供される、制御対象機器を制御するための制御プログラムを、それぞれの電子制御装置のメモリに書き込むものであって、
バッテリが発生する電源電圧を検出する検出手段と、
制御プログラムには、使用すべき電源電圧を示す使用電圧情報が付随しており、検出手段によって検出された電源電圧と、制御プログラムに付随する使用電圧情報とに基づいて、正しい制御プログラムであるか否かを判定する判定手段と、
判定手段が正しい制御プログラムではないと判定した場合に、当該制御プログラムを用いた処理の実行を停止する停止手段と、を備えることを特徴とする。
【0010】
請求項1に記載のプログラム書込システムは、上述した検出手段及び判定手段を備えているので、書込装置から提供される制御プログラムが、使用電圧の観点から、正しい制御プログラムであるか否かを判定することができる。そして、正しい制御プログラムではないと判定された場合、停止手段は、その制御プログラムを用いた処理の実行を停止する。例えば、制御プログラムが、まだ電子制御装置のメモリに書き込まれていなければ、書き込み処理の実行を停止し、すでに電子制御装置のメモリに書き込まれている場合には、その制御プログラムを用いての制御対象機器の制御を停止する。従って、正しい制御プログラム以外の書き込みを防止することができ、万一、誤った制御プログラムが書き込まれたとしても、その制御プログラムを用いての制御を実行しないので、電子制御装置や制御対象機器の損傷を防止することができる。
【0011】
請求項2に記載したように、検出手段、判定手段、及び停止手段は、制御プログラムが書き込まれる電子制御装置に設けることができる。そして、書込装置から電子制御装置に制御プログラムが提供されたときに、判定手段が、検出手段によって検出された電源電圧と、制御プログラムに付随する使用電圧情報とに基づき、正しい制御プログラムではないと判定した場合、停止手段は、書込装置から電子制御装置に提供された制御プログラムのメモリへの書込処理を中止することが好ましい。これにより、誤った制御プログラムが電子制御装置のメモリに書き込まれることを未然に防ぐことができる。
【0012】
一方、請求項3に記載したように、書込装置から電子制御装置に制御プログラムが提供されたときには、電子制御装置は、書込装置から提供された制御プログラムを、一旦、自身のメモリに書き込んでも良い。そして、電子制御装置が車両に搭載されて、制御プログラムが書き込まれた後、判定手段が、検出手段によって検出された電源電圧と、制御プログラムに付随する使用電圧情報とに基づき、正しい制御プログラムではないと判定した場合、停止手段が、制御プログラムを用いての制御対象機器の制御の実行を停止するようにしても良い。
【0013】
例えば、工場出荷の時点で、電子制御装置が搭載される車両が決定されており、出荷前の最終工程などで、電子制御装置のメモリに制御プログラムが書き込まれることも考えられる。この場合、電子制御装置は、車両のバッテリに接続されない状態で、制御プログラムの書き込みが行われることになる。このため、電子制御装置に設けられた検出手段によってバッテリが発生する電源電圧を検出することができないので、電子制御装置は、制御プログラムの正誤を判定することなく、一旦、自身のメモリに書き込んでおく。そして、電子制御装置が車両に搭載されて、制御プログラムが書き込まれた後、バッテリによる電源電圧と、使用電圧情報とに基づき、正しい制御プログラムであるか否かを判定する。もし、正しい制御プログラムではないと判定した場合、この制御プログラムを用いての制御を実行しないので、電子制御装置や制御対象機器の損傷を防止することができる。
【0014】
請求項4に記載したように、電子制御装置は、制御プログラムが書き込まれたことを示す書込情報を不揮発性のメモリに書き込んでおき、当該不揮発性のメモリに書き込まれた書込情報に基づいて、初回起動時のみ、判定手段による判定処理を実行することが好ましい。判定手段による判定処理は、電子制御装置のメモリに書き込まれた制御プログラムが正しいか否かを判定するものであり、制御プログラムの書き込み後に1回実行すれば十分なためである。
【0015】
請求項5に記載したように、電子制御装置は、バッテリからの電源供給が絶たれたとき、その旨を示す電源途絶情報を不揮発性メモリに書き込んでおき、当該不揮発性メモリに書き込まれた電源途絶情報に基づいて、バッテリからの電源供給が再開されたときに、判定手段による判定処理を実行するようにしても良い。これにより、バッテリ交換時に、本来装着されるべきバッテリの電源電圧とは異なる電源電圧のバッテリが誤って装着されたときにも、制御プログラムを用いての、制御対象機器の制御の実行を停止することができる。
【0016】
請求項6に記載したように、検出手段、判定手段、及び停止手段は、制御プログラムを提供する書込装置に設けることもできる。そして、判定手段が、検出手段によって検出された電源電圧と、制御プログラムに付随する使用電圧情報とに基づき、正しい制御プログラムではないと判定した場合、停止手段は、電子制御装置への制御プログラムの提供を行わないようにすることが好ましい。このようにしても、誤った制御プログラムが電子制御装置のメモリに書き込まれることを未然に防ぐことができる。
【図面の簡単な説明】
【0017】
【図1】第1実施形態におけるプログラム書込システムの全体構成を示す構成図である。
【図2】第1実施形態のプログラム書込システムにおける制御プログラムの書込処理を示すフローチャートである。
【図3】制御プログラムの構成を概念的に示した図である。
【図4】第2実施形態によるプログラム書込システムにおいて、ECU204が、車両のバッテリではなく生産ラインに設けられた電源213に電源ライン216を介して接続された状態で、書込装置201により制御プログラムの書き込みが行われる様子を示した図である。
【図5】ECU204が車両に搭載されたときの状態をブロック図として示した図である。
【図6】ECU204において、エンジン始動時に実行される処理を示した図である。
【図7】第3実施形態におけるプログラム書込システムの全体構成を示す構成図である。
【図8】第3実施形態のプログラム書込システムにおいて、書込装置301により実行される処理を示すフローチャートである。
【発明を実施するための形態】
【0018】
(第1実施形態)
以下、本発明の第1実施形態におけるプログラム書込システムについて、図面に基づいて説明する。
【0019】
図1に、本実施形態におけるプログラム書込システムの全体構成を示す。図1に示すように、プログラム書込システムは、制御プログラムの書き込みが行われる電子制御装置(ECU)104と、このECU104に対して、制御プログラムの書き込みの指示や、書き込まれるべき制御プログラムの提供を行う書込装置101とを有する。なお、図1では、ECU104が車両102に搭載された状態で、接続線107を介して書込装置101と接続された状態を示している。
【0020】
ECU104は、書き込まれた制御プログラムに従って、車両102に搭載された制御対象機器を制御するものであるが、図1では、一例として、車両のエンジンの運転状態を制御するためのECUとしての構成を示している。すなわち、ECU104は、エンジンの運転状態を検出する様々なセンサからの信号を入力する入力部と、この入力部を介して入力されたセンサ信号に基づき、エンジンの運転状態を制御するための様々な処理を実行するMCU(マイクロコンピュータユニット)と、このMCUからの制御信号に基づいて、エンジンに取り付けられた、EGR弁、インジェクタ、燃料ポンプ、及び電子スロットルバルブ等のアクチュエータ105へ駆動信号を出力する出力部とを備えている。なお、図1では、入力部、MCU、及び出力部とも、簡略化のため、いずれも図示していない。
【0021】
ECU104のMCUは、公知のように、CPU、フラッシュROM、RAM等からなる。そして、書込装置101から提供された制御プログラムは、一時的にRAMに保存され、その後、フラッシュROMに書き込まれる。
【0022】
ECU104は、電源ライン106を介してバッテリ103からの電源供給を受ける。ただし、ECU104は、例えば、12Vと24Vなど、バッテリ電圧の異なる車両において、ハードウエア構成を変えずに共通して使用できるように、バッテリ電源電圧から、ECU内の各部に供給する一定の基準電圧(目標電圧)を発生する電源回路を備えている。つまり、この電源回路は、例えば、降圧型のスイッチングレギュレータを有しており、バッテリ電圧によらず、ほぼ一定の基準電圧(例えば、10V)を発生することが可能なものである。
【0023】
また、ECU104は、上述した入力部の一部の構成として、A/D変換器を備えている。そして、バッテリ103との間を接続する電源ライン106は、別途、ECU104の入力部にも接続され、バッテリ103が発生する電源電圧を入力部のA/D変換器によりA/D変換して取り込むことが可能に構成されている。これにより、ECU104は、バッテリ103が発生する電源電圧を検出することができる。
【0024】
次に、本実施形態のプログラム書込システムにおける制御プログラムの書込処理について、図2のフローチャートを参照しつつ説明する。なお、ECU104内のフラッシュROMは、データの書き込みが可能な領域とデータの書き込みが不能な領域とに分割されており、これら各領域は、フラッシュROMの記憶領域に付されるアドレスによって指定されている。データの書き込みが不能な領域には、予めECU104を起動するためのブートプログラムが記憶されている。書込装置101から提供される制御プログラムは、フラッシュROMの、データ書き込み可能領域に書き込まれる。
【0025】
まず、ステップS101において、書込装置101により、ECU104に付されているハードウエア品番が読み出され、書き込もうとしている制御プログラムとの対応が取れているかを確認する。ただし、上述したように、ECU104は、バッテリ電圧の異なる車両において共通して使用されるものであり、書き込まれる制御プログラムは、バッテリ電圧の種類に応じて複数種類ある。従って、ステップS101の確認だけでは、バッテリ電圧をも考慮した上で、正しい制御プログラムが書き込まれるか否かを判断することはできない。
【0026】
続くステップS102では、ECU104に制御プログラムを書き込むため、ECU104のセキュリティを解除する。このセキュリティ解除は、例えば、以下のようにして行われる。まず、予め、ECU104と書込装置101とに、入力された数値に対して予め定められた演算を行って、その演算結果を返す同じ関数をそれぞれ記憶させておく。そして、ECU104にて乱数を発生させ、ECU104及び書込装置101それぞれにおいて、その乱数を上述した関数に入力することにより演算結果を得る。これらの演算結果をキーとして、ECU104において、キーの照合を行う。そして、キーが一致した場合、認証が成立し、ECU104のセキュリティが解除される。
【0027】
続くステップS103では、書込装置101からECU104への制御プログラムの転送に先立ち、書込装置101が、制御プログラムをフラッシュROMに書き込むための書込プログラムをECU104に転送する。この書込プログラムは、RAM内に書き込まれるか、一旦、ECU104内のフラッシュROM内に書き込まれる。RAM内に書き込まれた場合はECU104への電源供給が絶たれた時点で自動消去され、フラッシュROM内に書き込まれた場合は制御プログラムの書き込みが正常に終了した時点で消去される。なお、書き込みプログラムは、予め、ECU104のフラッシュROM内に記憶させておいても良い。
【0028】
ステップS104では、上述したように、ECU104において、バッテリ103が発生する電源電圧をA/D変換することにより、バッテリ電圧VVの検出を行なう。続くステップS105では、書込装置101が、ECU104に向けて、制御プログラムの転送を開始する。なお、この制御プログラムの転送は分割して行われ、転送された制御プログラムは、一旦、ECU104のRAMに保存される。
【0029】
ここで、制御プログラムの、最初にECU104に転送される分割部分に、図3に示すように、当該制御プログラムが使用されるべき電源電圧を示す使用電圧情報110が含まれている。従って、ECU104は、最初に書込装置101から転送されてきた制御プログラムの分割部分を受け取った時点で、その制御プログラムが使用されるべき電源電圧についての情報を取得することができる。なお、使用電圧情報110は、必ずしも制御プログラム内に保存されていなくとも良い。例えば、制御プログラムとは分離して、制御プログラムの転送に先立って、使用電圧情報だけを転送しても良いし、制御プログラムに使用電圧に応じたファイル名を付すことにより、そのファイル名を使用電圧情報として利用することも可能である。
【0030】
ステップS106では、ECU104は、上述した使用電圧情報110から、制御プログラムが使用されるべき使用電圧VSを取得する。そして、ステップS107において、ECU104は、ステップS104にて取得されたバッテリ電圧VVと、ステップS106で取得された使用電圧VSとを比較して、不一致であるか否かを判定する。このステップS107において、バッテリ電圧VVと使用電圧VSとが一致していると判定されると、ステップS108に進み、ECU104は、最初に受け取った制御プログラムの分割部分をフラッシュROMに書き込むとともに、残りの制御プログラムを順次、書込装置101から転送させる。そして、受け取った制御プログラムを、順番に、フラッシュROMに書き込んでいく。
【0031】
ステップS109では、ECU104における、制御プログラムの書込処理が正常に終了したか否かを、例えば、チェックサムを用いて判定する。このとき、書込処理が正常に終了しなかったと判定されると、ECU104は、ステップS110において、フラッシュROMに書き込んだ制御プログラムをすべて消去し、ステップS111の処理に進む。一方、ステップS109にて書込処理が正常に終了したと判定されると、ステップS110の処理を実行することなく、ステップS111の処理に進む。ステップS111では、ECU104は、自身にリセットをかける。なお、リセットをかける際、ECU104は、フラッシュROMに書込プログラムが保存されていた場合、保存された書込プログラムを消去する。
【0032】
一方、ステップS107において、バッテリ電圧VVと使用電圧VSとが一致していないと判定されると、制御プログラムのフラッシュROMへの書き込みを行わないようにするため、ステップS108〜S110の処理を実行することなく、ステップS111の処理に進む。
【0033】
以上のように、第1実施形態によるプログラム書込システムでは、ECU104が、書込装置101から制御プログラムの提供を受けたときに、バッテリ電圧VVと使用電圧VSとに基づき、制御プログラムの正誤を判定する。そして、正しい制御プログラムではないと判定した場合、制御プログラムのフラッシュROMへの書込処理を中止する。これにより、誤った制御プログラムがECU104のフラッシュROMに書き込まれることを未然に防ぐことができる。
【0034】
(第2実施形態)
次に、本発明の第2実施形態によるプログラム書込システムについて、図4〜図6を参照しつつ説明する。
【0035】
上述した第1実施形態では、プログラム書込システムを構成するECU104が、車両102に搭載され、バッテリ103が発生する電源電圧を検出可能な状態で、制御プログラムの書込処理が行われるケースについて説明した。
【0036】
しかしながら、例えば、工場出荷の時点で、ECUが搭載される車両が決定されており、出荷前の最終工程などで、ECUのフラッシュROMに制御プログラムが書き込まれることも考えられる。
【0037】
本実施形態によるプログラム書込システムでは、このように、ECUが車両のバッテリに接続されていないときに、書込装置から制御プログラムを提供された場合であっても、その制御プログラムが、正しい制御プログラムであるかを判定するとともに、誤った制御プログラムであった場合には、その制御プログラムを用いた処理を停止できるようにしたものである。以下、具体的に、本実施形態によるプログラム書込システムについて説明する。
【0038】
図4に示すように、ECU204は、車両のバッテリではなく生産ラインに設けられた電源213に電源ライン216を介して接続された状態で、書込装置201により制御プログラムの書き込みが行われる。この場合、ECU204は、車両のバッテリが発生する電源電圧を検出することができないので、使用電圧の観点において、上述した第1実施形態に示した制御プログラム書き込み中の制御プログラムの正誤を判定することなく、一旦、制御プログラムを、フラッシュROMに書き込んでおく。
【0039】
そして、図5に示すようにECU204が車両202に搭載され、制御プログラムが書き込まれた後、バッテリ203による電源電圧VVと、使用電圧VSとを比較することにより、正しい制御プログラムであるか否かを判定する。もし、正しい制御プログラムではないと判定した場合、この制御プログラムを用いての、エンジン制御を実行しないようにする。これにより、万一、誤った制御プログラムがECU204のフラッシュROMに書き込まれたとしても、ECU204や各アクチュエータ205が損傷する事態の発生を防止することができる。
【0040】
以下に、本実施形態のプログラム書込システムにおいて実行される処理内容について、図6のフローチャートを用いて説明する。
【0041】
まず、ステップS201では、ECU204の初期化処理を行う。具体的には、ECU204のRAMやレジスタの値をすべてクリアする。続くステップS202では、バッテリ電圧判定実施条件が成立したか否かを判定する。具体的には、このバッテリ電圧判定実施条件の成立判定では、ECU204のフラッシュROMに制御プログラムが書き込まれてから、初めてECU204が起動されたか否かを判定する。この判定は、例えば、ECU204が、制御プログラムが書き込まれたときに、その旨を示す書込情報を、フラッシュROMや、バックアップRAMなどの不揮発性のメモリに書き込んでおき、その書込情報を参照することによって行うことができる。
【0042】
このように、初回起動時であるか否かを判定するのは、ECU204のフラッシュROMに書き込まれた制御プログラムが正しいか否かの判定が、制御プログラムの書き込み後に1回実行されれば十分なためである。換言すれば、ステップS202においてバッテリ電圧判定実施条件が不成立であると判定されると、制御プログラムの正誤判定を行うことなく、ステップS206の処理に進む。
【0043】
ステップS202において、バッテリ電圧判定実施条件が成立したと判定された場合、すなわち、初回起動時である場合、ステップS203に進んで、車両のバッテリ電圧VVの検出を行なう。続くステップS204では、制御プログラムに含まれる使用電圧情報110から、当該プログラムの使用電圧VSを取得する。そして、ステップS205において、ECU204は、バッテリ電圧VVと、使用電圧VSとを比較して、不一致であるか否かを判定する。なお、この判定時に、上述した不揮発性メモリに、制御プログラムの正誤判定処理が完了した情報、及びその判定結果を残しておく。これにより、次回以降のECU204の起動時に、再度、制御プログラムの正誤判定処理を実施せずに済む。
【0044】
ステップS205において、バッテリ電圧VVと使用電圧VSとが不一致であると判定されると、ステップS210の処理に進み、アクチュエータ205への駆動信号の出力を停止したままとし、制御プログラムを用いてのエンジン制御を実行しないようにする。
【0045】
一方、ステップS205において、バッテリ電圧VVと使用電圧VSとが一致していると判定されると、ステップS206に進んで、図示しないスタータスイッチからの信号を取得する。ステップS207では、取得したスタータスイッチの信号に基づき、スタータスイッチがオンされているか否かを判定する。このとき、オンされていないと判定された場合には、ステップS206の処理に戻り、オンされていると判定された場合には、ステップS208の処理に進む。
【0046】
ステップS208では、スタータモータに駆動信号を出力して、エンジンの始動を開始する。そして、ステップS209では、エンジンの始動後、運転者によるアクセル操作等に応じて最適な運転状態となるように、エンジンの制御を開始する。
【0047】
(第3実施形態)
次に、本発明の第3実施形態におけるプログラム書込システムについて、図7、図8を参照しつつ説明する。
【0048】
上述した第1、第2実施形態では、ECU104,204において、制御プログラムが正しいか否かを判定するものであった。しかしながら、この判定は、車両に搭載されるECUはなく、そのECUに制御プログラムを提供する書込装置において行うことも可能である。
【0049】
本第3実施形態では、書込装置において、制御プログラムが正しいか否かを判定するようにしたプログラム書込システムについて説明する。
【0050】
図7は、第3実施形態によるプログラム書込システムの全体構成を示す図である。図7に示すように、本実施形態によるプログラム書込システムは、ECU304が、車両に搭載された状態で、制御プログラムを書き込む場合に適用されるものである。そして、本実施形態では、書込装置301にて、制御プログラムの正誤を判定するため、電源ライン306aを介して、車載バッテリ303と書込装置301とを接続し、書込装置301において、バッテリ303が発生する電源電圧を検出可能に構成されている。その他の構成は、第1実施形態と同様であるため、説明を省略する。
【0051】
次に、図8のフローチャートに従って、書込装置301により実行される処理について説明する。
【0052】
まず、ステップS301では、データベースや、外部記憶媒体から、ECU304に書き込むべき制御プログラムを読み込む。続くステップS302では、車両のバッテリ電圧VVを検出する。そして、ステップS303において、ステップS301にて読み込んだ制御プログラムに含まれる使用電圧情報110から、使用電圧VSを取得する。
【0053】
ステップS304では、書込装置301は、バッテリ電圧VVと、使用電圧VSとを比較して、不一致であるか否かを判定する。このステップS304において、バッテリ電圧VVと使用電圧VSとが不一致であると判定されると、そのまま、図8のフローチャートに示す処理を終了する。一方、ステップS304において、バッテリ電圧VVと使用電圧VSとが一致していると判定されると、ステップS305に進んで、制御プログラムの書き込み処理を実行する。
【0054】
このように、本実施形態のプログラム書込システムでは、書込装置301が、書込処理を開始する前に、制御プログラムの正誤を判定し、もし誤っていると判定した場合には、書込処理を実行しないようにしている。従って、早い段階で、制御プログラムの正誤判定を行うことができるとともに、誤った制御プログラムがECU304に書き込まれることを未然に防ぐことができる。
【0055】
以上、本発明の好ましい実施形態について説明したが、本発明は上述した実施形態になんら制限されることなく、本発明の主旨を逸脱しない範囲において、種々変形して実施することが可能である。
【0056】
例えば、上述した第2実施形態のプログラム書込システムでは、制御プログラムが書き込まれた後の、ECU204の初回起動時に、制御プログラムの正誤判定を実行した。この第2実施形態のプログラム書込システムにおいて、さらに、ECU204が、バッテリ203からの電源供給が絶たれたとき、その旨を示す電源途絶情報を不揮発性メモリに書き込んでおき、当該不揮発性メモリに書き込まれた電源途絶情報に基づいて、バッテリ203からの電源供給が再開されたときに、制御プログラムの正誤判定処理を実行するようにしても良い。このようにすれば、バッテリ交換時に、本来装着されるべきバッテリの電源電圧とは異なる電源電圧のバッテリが誤って装着されたときにも、制御プログラムを用いての、制御対象機器の制御の実行を停止することができるようになる。
【符号の説明】
【0057】
101 書込装置
102 車両
103 バッテリ
104 ECU
105 アクチュエータ
106 電源ライン
【特許請求の範囲】
【請求項1】
発生する電源電圧が異なるバッテリを備えた複数の車両において、それぞれの車両に搭載された制御対象機器を制御するための電子制御装置として、同様のハードウエア構成を備えた電子制御装置が用いられる場合に、書込装置から提供される前記制御対象機器を制御するための制御プログラムを、それぞれの電子制御装置のメモリに書き込むプログラム書込システムであって、
前記バッテリが発生する電源電圧を検出する検出手段と、
前記制御プログラムには、使用すべき電源電圧を示す使用電圧情報が付随しており、前記検出手段によって検出された電源電圧と、前記制御プログラムに付随する使用電圧情報とに基づいて、正しい制御プログラムであるか否かを判定する判定手段と、
前記判定手段が正しい制御プログラムではないと判定した場合に、当該制御プログラムを用いた処理の実行を停止する停止手段と、を備えることを特徴とするプログラム書込システム。
【請求項2】
前記検出手段、判定手段、及び停止手段は、前記制御プログラムが書き込まれる前記電子制御装置に設けられ、
前記書込装置から前記電子制御装置に制御プログラムが提供されたときに、前記判定手段が、前記検出手段によって検出された電源電圧と、前記制御プログラムに付随する使用電圧情報とに基づき、正しい制御プログラムではないと判定した場合、前記停止手段は、前記書込装置から前記電子制御装置に提供された制御プログラムのメモリへの書込処理を中止することを特徴とする請求項1に記載のプログラム書込システム。
【請求項3】
前記検出手段、判定手段、及び停止手段は、前記制御プログラムが書き込まれる前記電子制御装置に設けられ、
前記書込装置から前記電子制御装置に制御プログラムが提供されたとき、前記電子制御装置は、前記書込装置から提供された制御プログラムを、自身のメモリに書き込んでおき、
前記電子制御装置が車両に搭載されて、前記制御プログラムが書き込まれた後、前記判定手段が、前記検出手段によって検出された電源電圧と、前記制御プログラムに付随する使用電圧情報とに基づき、正しい制御プログラムではないと判定した場合、前記停止手段は、前記制御プログラムを用いての前記制御対象機器の制御の実行を停止することを特徴とする請求項1に記載のプログラム書込システム。
【請求項4】
前記電子制御装置は、前記制御プログラムが書き込まれたことを示す書込情報を不揮発性のメモリに書き込んでおき、当該不揮発性のメモリに書き込まれた書込情報に基づいて、初回起動時のみ、前記判定手段による判定処理を実行することを特徴とする請求項3に記載のプログラム書込システム。
【請求項5】
前記電子制御装置は、前記バッテリからの電源供給が絶たれたとき、その旨を示す電源途絶情報を前記不揮発性メモリに書き込んでおき、当該不揮発性メモリに書き込まれた電源途絶情報に基づいて、バッテリからの電源供給が再開されたときに、前記判定手段による判定処理を実行することを特徴とする請求項4に記載のプログラム書込システム。
【請求項6】
前記検出手段、判定手段、及び停止手段は、前記制御プログラムを提供する前記書込装置に設けられ、
前記判定手段が、前記検出手段によって検出された電源電圧と、制御プログラムに付随する使用電圧情報とに基づき、正しい制御プログラムではないと判定した場合、前記停止手段は、前記電子制御装置への制御プログラムの提供を行わないことを特徴とする請求項1に記載のプログラム書込システム。
【請求項1】
発生する電源電圧が異なるバッテリを備えた複数の車両において、それぞれの車両に搭載された制御対象機器を制御するための電子制御装置として、同様のハードウエア構成を備えた電子制御装置が用いられる場合に、書込装置から提供される前記制御対象機器を制御するための制御プログラムを、それぞれの電子制御装置のメモリに書き込むプログラム書込システムであって、
前記バッテリが発生する電源電圧を検出する検出手段と、
前記制御プログラムには、使用すべき電源電圧を示す使用電圧情報が付随しており、前記検出手段によって検出された電源電圧と、前記制御プログラムに付随する使用電圧情報とに基づいて、正しい制御プログラムであるか否かを判定する判定手段と、
前記判定手段が正しい制御プログラムではないと判定した場合に、当該制御プログラムを用いた処理の実行を停止する停止手段と、を備えることを特徴とするプログラム書込システム。
【請求項2】
前記検出手段、判定手段、及び停止手段は、前記制御プログラムが書き込まれる前記電子制御装置に設けられ、
前記書込装置から前記電子制御装置に制御プログラムが提供されたときに、前記判定手段が、前記検出手段によって検出された電源電圧と、前記制御プログラムに付随する使用電圧情報とに基づき、正しい制御プログラムではないと判定した場合、前記停止手段は、前記書込装置から前記電子制御装置に提供された制御プログラムのメモリへの書込処理を中止することを特徴とする請求項1に記載のプログラム書込システム。
【請求項3】
前記検出手段、判定手段、及び停止手段は、前記制御プログラムが書き込まれる前記電子制御装置に設けられ、
前記書込装置から前記電子制御装置に制御プログラムが提供されたとき、前記電子制御装置は、前記書込装置から提供された制御プログラムを、自身のメモリに書き込んでおき、
前記電子制御装置が車両に搭載されて、前記制御プログラムが書き込まれた後、前記判定手段が、前記検出手段によって検出された電源電圧と、前記制御プログラムに付随する使用電圧情報とに基づき、正しい制御プログラムではないと判定した場合、前記停止手段は、前記制御プログラムを用いての前記制御対象機器の制御の実行を停止することを特徴とする請求項1に記載のプログラム書込システム。
【請求項4】
前記電子制御装置は、前記制御プログラムが書き込まれたことを示す書込情報を不揮発性のメモリに書き込んでおき、当該不揮発性のメモリに書き込まれた書込情報に基づいて、初回起動時のみ、前記判定手段による判定処理を実行することを特徴とする請求項3に記載のプログラム書込システム。
【請求項5】
前記電子制御装置は、前記バッテリからの電源供給が絶たれたとき、その旨を示す電源途絶情報を前記不揮発性メモリに書き込んでおき、当該不揮発性メモリに書き込まれた電源途絶情報に基づいて、バッテリからの電源供給が再開されたときに、前記判定手段による判定処理を実行することを特徴とする請求項4に記載のプログラム書込システム。
【請求項6】
前記検出手段、判定手段、及び停止手段は、前記制御プログラムを提供する前記書込装置に設けられ、
前記判定手段が、前記検出手段によって検出された電源電圧と、制御プログラムに付随する使用電圧情報とに基づき、正しい制御プログラムではないと判定した場合、前記停止手段は、前記電子制御装置への制御プログラムの提供を行わないことを特徴とする請求項1に記載のプログラム書込システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2012−256386(P2012−256386A)
【公開日】平成24年12月27日(2012.12.27)
【国際特許分類】
【出願番号】特願2011−127622(P2011−127622)
【出願日】平成23年6月7日(2011.6.7)
【出願人】(000004260)株式会社デンソー (27,639)
【Fターム(参考)】
【公開日】平成24年12月27日(2012.12.27)
【国際特許分類】
【出願日】平成23年6月7日(2011.6.7)
【出願人】(000004260)株式会社デンソー (27,639)
【Fターム(参考)】
[ Back to top ]