可经由无线通信网络进行数据再编程的车辆控制装置的制作方法

文档序号：7692131阅读：129来源：国知局

专利名称：可经由无线通信网络进行数据再编程的车辆控制装置的制作方法
技术领域：
本发明涉及可通过无线通信网络对数据进行再编程的车辆控制装置。
技术背景通常，将多个电子控制单元(ECU)安装在机动车辆中。这些ECU用于根据存储在其中的对应控制程序和控制数据来对安装在机动车辆中的至少一个目标设备/功能进行控制。具体而言，对每一个ECU进行编程，以使用控制数据来执行控制程序，从而控制对应的至少一个目标设备/功能。例如，由于控制程序中的软件缺陷(bag)，可能需要对存储在ECU中的这些控制程序使用其新版本再编程(reprogram)。类似地，例如由于控制数据中的错误，可能需要使用新的控制数据对存储在ECU中的并且与控制程序相关联的控制数据进行再编程。己经使用远程再编程技术来对这种数据进行再编程。在日本专利申请公布说明书No.H05-195859中，公开了常规的远程再编程技术的一个例子。该远程再编程技术被设计成通过诸如蜂窝网络等无线通信网络远程地对控制程序以及存储在ECU中的并且关联于该控制程序的控制数据进行再编程。该远程再编程技术避免了驾驶员(用户)带着他们的机动车辆来进行数据再编程，从而使快速修复控制程序和/或控制数据中的缺陷和/或错误成为可能。具体而言，在该远程再编程技术中，再编程站点的数据再编程单元由机动车辆的生产商提供和管理，每个所述机动车辆都集成有ECU。晌应于一个机动车辆(目标机动车辆)的ECU(目标ECU)的数据再编程请求，数据再编程单元通过蜂窝网络访问目标ECU，从而向目标ECU通知再编程指令。接着，数据再编程单元通过蜂窝网络将用于再编程的数据发送到目标ECU。在下文中，将这种用于再编程的数据称为"再编程数据"。另一方面，每个机动车辆的目标ECU接收由再编程站点所发送的再编程指令，并且接收再编程数据。当将所述再编程数据从数据再编程单元发送到目标ECU时，目标机动车辆的目标ECU接收所述再编程数据。此后，目标ECU在所接收的再编程数据的基础上再编程控制程序和关联于该控制程序的控制数据中的至少之一；这些控制程序和控制数据已经存储在目标 ECU中。发明内容在远程再编程技术中，如果安装在再编程站点中的数据再编程单元异常操作，那么可能将异常重写指令通过无线通信网络发送到将被再编程的机动车辆的目标ECU。在这种情况下，异常重写指令可能对存储在目标ECU中的控制程序和控制数据进行再编程，这可能影响机动车辆的工作条件。鉴于背景技术，本发明的至少一个方面的目的在于提供车辆控制装置和数据再编程系统，它们能够响应于通过无线通信网络所发送的未授权再编程指令来禁止再编程。根据本发明的一个方面，提供了一种车辆控制装置，所述车辆控制装置基于经由无线通信网络发送到所述车辆控制装置中的再编程指令，来对存储在所述车辆控制装置中的数据进行再编程。所述车辆控制装置包括询问单元，其用于向数据再编程单元询问所述再编程指令是否有效。已经授权所述数据再编程单元对存储在所述车辆控制装置中的所述数据进行再编程。所述车辆控制装置包括判断单元，其用于接收经由所述无线通信网络从所述数据再编程单元发送的对所述询问的应答，并且基于所接收的应答来判断是允许还是禁止对存储在所述车辆控制装置中的所述数据进行所述再编程。根据本发明的另一方面，提供了一种车辆控制装置，所述车辆控制装置基于经由无线通信网络发送到所述车辆控制装置中的再编程指令，来对存储在所述车辆控制装置中的数据进行再编程。所述车辆控制装置包括接收单元，其用于接收经由除所述无线通信网络之外的其他的无线通信网络发送的再编程禁止指令。所述车辆控制装置包括禁止单元，其用于根据所
述再编程禁止指令来禁止以下任意一项
对存储在所述车辆控制装置中的所述数据进行再编程；以及接收经由所述无线通信网络发送的其他再编程指令。
根据本发明的又一方面，提供了一种数据再编程系统，其基于经由无线通信网络发送到车辆控制装置中的再编程指令，来对存储在所述车辆控制装置中的数据进行再编程。所述数据再编程系统包括数据再编程单元，其已经被授权对存储在所述车辆控制装置中的所述数据进行再编程。所述数据再编程系统包括询问单元，其安装在所述车辆控制装置中，并且用于向所述数据再编程单元询问所述再编程指令是否有效。所述数据再编程系统包括判断单元，其安装在所述车辆控制装置中，并且用于接收经由所述无线通信网络从所述数据再编程单元发送的对所述询问的应答，并且基于所接收的应答来判断是允许还是禁止对存储在所述车辆控制装置中的所述数据进行所述再编程。
根据本发明的再一方面，提供了一种数据再编程系统，其基于经由无线通信网络发送到车辆控制装置中的再编程指令，来对存储在所述车辆控制装置中的数据进行再编程。所述数据再编程系统包括数据再编程单元，其已经被授权对存储在所述车辆控制装置中的所述数据进行再编程。所述数据再编程系统包括接收单元，其安装在所述车辆控制装置中，并且用于接收经由除所述无线通信网络之外的其他的无线通信网络从所述数据再编程单元发送的再编程禁止指令。所述再编程禁止指令表示禁止以下任意一项
对存储在所述车辆控制装置中的所述数据进行再编程；以及接收经由所述无线通信网络发送的其他再编程指令。
在本发明的所述一个方面和所述另一方面中，所述询问单元用于向所述数据再编程单元询问所述再编程指令是否有效。所述判断判断单元用于接收经由所述无线通信网络从所述数据再编程单元发送的对所述询问的应答，并且基于所接收的应答来判断是允许还是禁止对存储在所述车辆控制装置中的所述数据进行所述再编程。
具体而言，在所述应答表示所述再编程指令有效时，所述判断单元允许对存储在所述车辆控制装置中的所述数据进行所述再编程。
相反，在所述应答表示所述再编程指令无效时，所述判断单元禁止对
存储在所述车辆控制装置中的所述数据进行所述再编程。
在本发明的所述另一方面和所述再一方面中，所述接收单元用于接收
经由除所述无线通信网络之外的其他的无线通信网络从所述数据再编程单
元发送的再编程禁止指令。
具体而言，在本发明的所述另一方面和所述再一方面中，即使在所述
无线通信网络中发生故障，也可以根据所述接收的再编程禁止指令来禁止
以下任意一项
对存储在所述车辆控制装置中的所述数据进行再编程；以及
接收经由所述无线通信网络发送的其他再编程指令。

通过参照附图对实施例进行的下列描述，本发明的其他目的和方面将
变得显而易见，在附图中
图1的方框图示意性地示出了根据本发明第一实施例的数据再编程系
统的结构实例；
图2的序列图示意性地示出了由数据再编程系统所执行的例行程序，
从而基于从图1所示的一个授权的再编程站点所发送的再编程指令来允许
数据再编程；
图3的序列图示意性地示出了由数据再编程系统所执行的例行程序，从而基于从图1所示的一个未授权的再编程站点所发送的再编程指令来禁止数据再编程；
图4的流程图示意性地示出了由图1所示的目标站点执行的再编程指令发送任务；
图5的流程图示意性地示出了由图1所示的目标站点执行的应答任务; 图6的流程图示意性地示出了由图1所示的目标车辆的诊断ECU所执行的査询任务；
图7的流程图示意性地示出了由图1所示的目标车辆的诊断ECU所执行的数据再编程任务；图8的序列图示意性地示出了根据本发明第二实施例的由数据再编程系统所执行的例行程序，从而基于从一个授权的再编程站点所发送的再编程指令来允许数据再编程；
图9的序列图示意性地示出了根据第二实施例的一个例行程序，在一个失败或发生故障的再编程站点错误地发送了再编程指令且该再编程指令与由控制中心所生成的再编程指令无关时，数据再编程系统将执行该例行程序；
图10的流程图示意性地示出了根据第二实施例的由控制中心所执行的再编程指令生成任务；
图11的流程图示意性地示出了根据第二实施例的由控制中心所执行的应答任务；
图12的流程图示意性地示出了根据第二实施例的由目标站点所执行的再编程数据发送任务；
图13的流程图示意性地示出了根据第二实施例的由目标车辆的诊断 ECU所执行的查询任务；
图14的流程图示意性地示出了根据第二实施例的由目标车辆的诊断 ECU所执行的再编程模式设置任务；
图15的方框图示意性地示出了根据本发明第三实施例的数据再编程系统的结构实例；
图16的序列图示意性地示出了根据第三实施例的由数据再编程系统所执行的例行程序，从而广播再编程禁止指令；
图17的序列图示意性地示出了根据第三实施例的由图15所示的每个机动车辆的车辆控制装置所执行的再编程模式设置任务；
图18的流程图示意性地示出了根据本发明第一到第三实施例中的每一个的修改由使用第一条件的每个机动车辆13的车辆控制装置所执行的返回任务；
图19的序列图示意性地示出了根据本发明第一到第三实施例中的每一个的另一修改由使用第二条件的数据再编程系统所执行的返回任务；以及
图20的流程图示意性地示出了根据本发明第一到第三实施例中的每一个的又一修改由使用第一和第二条件的每个机动车辆的车辆控制装置所执行的返回任务。
具体实施例方式
下文，将参照附图描述本发明的实施例。
第一实施例
在本发明的第一实施例中，车辆控制装置20被设计成当接收到对存储在其中的数据进行再编程的指令时，向数据再编程单元询问所述接收的再编程指令是否有效；该数据再编程单元已经被授权来对存储在车辆控制系统20中的数据进行再编程。
在下文中，这种用于对存储在车辆控制装置20中的数据进行再编程的指令也被称为"再编程指令"。另外，在下文中，将对存储在车辆控制装置 20中的数据进行的再编程称为"数据再编程"。存储在车辆控制装置20中的数据包括至少一个用于控制至少一个目标设备/功能所需的控制程序和与所述至少一个控制程序相关联的控制数据。
车辆控制装置20还被设计成当授权的数据再编程单元所发送的应答表示所述接收的再编程指令有效时，基于所述接收的再编程指令允许所述数据再编程。
车辆控制装置20还被设计成当授权的数据再编程系统所发送的应答表示所述接收的再编程指令无效时，基于所述接收的再编程指令禁止所述数据再编程。
车辆控制系统20的结构避免了基于未授权的再编程指令的无效数据再编程。
在第一实施例中，存储在车辆控制系统20中的数据包括至少一个用于控制安装在机动车辆中的至少一个目标设备的控制程序和与所述至少一个控制程序相关联的控制数据。
参照图1，根据第一实施例的数据再编程系统IOO配备有再编程控制中心10、多个由该再编程控制中心IO控制的再编程站点11、以及车辆控制装置20。在下文中，各个再编程站点11和再编程控制中心10的组合被称为"数据再编程单元102"。这些数据再编程单元102共享该再编程控制中心10。
再编程控制中心io例如设置在一个国家的预定地理区域中。该地理区
域被划分为多个区域。例如，所述多个再编程站点ll中的至少一个再编程站点11设置在所述多个区域中的一个区域中，使得所述多个再编程站点11 中的每个再编程站点11都具有与这些区域中的一个对应区域相对等的通信范围。
换言之，每个再编程站点11、每个数据再编程单元102已经被授权对存储在多个机动车辆13中的数据进行再编程。
车辆控制装置20已经安装在每个机动车辆13中。在车辆控制装置20 中，已经存储了用于控制对应的机动车辆13的程序和与其相关的控制数据。
例如，将再编程控制中心IO(简称为"控制中心10")设计成基于计算机的系统。
具体而言，控制中心IO包括具有天线10c的收发器10b和可重写存储器10d。
控制中心10已经将每个再编程站点11的通信地址CA(11)以例如文件格式存储在该可重写存储器10d中。每个再编程站点11的通信地址CA(ll) 识别其在诸如无线通信网络之类的蜂窝电话线12上的位置。
收发器10b用于
通过蜂窝电话线12在控制中心10与至少一个再编程站点11之间或者在控制中心10与至少一个机动车辆13的车辆控制装置20之间建立连接；以及
中断所建立的连接。
类似地，将每个再编程站点11设计成基于计算机的系统。每个再编程站点11包括具有天线llc的收发器lib和可重写存储器
lld。
类似地，每个再编程站点11已经将再编程控制中心10的通信地址 CA(10)存储在该可重写存储器lld中。再编程控制中心10的通信地址CA(10) 识别其在蜂窝电话线12上的位置。
每个再编程站点11也已经将每个授权的机动车辆13的车辆代码VC(13) 和每个机动车辆13的车辆控制装置20的通信地址CA(20)存储在该可重写存储器lid中。每个机动车辆13的车辆控制装置20的通信地址CA(20)识别其在蜂窝电话线12上的位置。收发器llb用于
通过蜂窝电话线12在对应的再编程站点11与再编程控制中心10之间或者在对应的再编程站点11与至少一个机动车辆13的车辆控制装置20之间建立连接；以及
中断所建立的连接。
每个机动车辆13的车辆控制装置20包括传动系ECU 21 、空调ECU 22、防抱死制动(ABS)ECU23、诊断ECU24、车载网络25以及导航系统26。 ECU 21-24中的每一个被设计成具有可重写存储器28的基于计算机的系统。
在ECU 21-24中的每一个的可重写存储器28中，已经存储了用于控制对应至少一个目标设备/功能所需的控制程序和关联于该控制程序的控制数据。在图1中，将存储在ECU 21-24中的每一个的可重写存储器28中的控制程序和控制数据描述成"数据D"。
具体而言，传动系ECU21用于根据存储在其中的控制程序和控制数据来控制作为它的目标设备/功能的对应机动车辆13的内燃机和动力传动系统。
空调ECU 22用于根据存储在其中的控制程序和控制数据来控制作为它的目标设备/功能的安装在对应机动车辆13中的空调。
防抱死制动ECU 23用于根据存储在其中的控制程序和控制数据来控制作为它的目标设备/功能的安装在对应机动车辆13中的防抱死制动系统。
诊断ECU 24用于根据存储在其中的控制程序和控制数据来控制作为它的目标设备/功能的自诊断功能，该自诊断功能用于对作为从ECU的其他 ECU21-23中的每一个进行诊断并且还用于对其自身进行诊断。
ECU 21-24中的每一个可以通过车载网络25与ECU 21-24中的另一个进行通信，从而对ECU 21-24中的每一个控制对应目标设备/功能所需的信息进行发送或接收。
导航系统26例如包括存储器和显示设备，并且电子地像数据已经被存储在该存储器中。导航系统26用于
基于从全球定位系统(GPS)发送的无线信号和存储在存储器中的电子
地像数据来计算对应机动车辆13的当前精确位置；
将当前车辆的精确位置连同读出的关联于该车辆的精确位置的电子地像数据显示在显示设备的屏幕上；
根据拥有者的指令来计算从当前位置到拥有者的目的地的最佳路线；
以及
使用显示设备和/或扬声器向拥有者提供沿计算的最佳路线到目的地的语音导航或视频导航。
例如，在第一实施例中，在诊断ECU24中，已经安装了具有天线27a 的收发器27。
诊断ECU 24已经例如以文件格式将再编程控制中心10的通信地址 CA(10)和每个授权的再编程站点11的通信地址CA(11)存储在存储器28中。收发器27用于
通过蜂窝电话线12在诊断ECU24与再编程控制中心IO之间或者在诊断ECU 24与至少一个再编程站点11之间建立连接；以及中断所建立的连接。
具体而言，在第一实施例中，车辆控制装置20的诊断ECU24用作数据再编程模块，该数据再编程模块用于对存储在ECU21到ECU24中的至少一个ECU中的控制程序和控制数据进行再编程。
将根据第一实施例的数据再编程系统100设计成基于以下假设再编程指令从还没有被授权对存储在每个机动车辆13中的数据进行再编程的再编程站点发送。
在第一实施例中，在下文中，将己经被授权对存储在每个机动车辆13 中的数据进行再编程的再编程站点11称为"授权的再编程站点"。另外，在下文中，将还没有被授权对存储在每个机动车辆13中的数据进行再编程的再编程站点称为"未授权的再编程站点"。将附图标记llf指定给未授权的再编程站点。
在上述假设下，数据再编程系统100基于从未授权的再编程站点llf 发送的再编程指令来禁用数据再编程。图2示意性地示出了由数据再编程系统100所执行的例行程序，从而基于从多个授权的再编程站点11中的所述一个授权的再编程站点11所发送的再编程指令来允许数据再编程。
在给定时间，当需要对存储在一个机动车辆13的车辆控制装置20的 ECU 21-24的至少一个ECU中的控制数据和控制程序进行再编程时，控制中心10生成再编程指令。该再编程指令用于对存储在一个机动车辆13的车辆控制装置20的ECU 21-24的至少一个ECU中的控制数据和控制程序进行再编程。在下文中，将ECU 21-24中的至少一个ECU称为"目标ECU", 并且将所述一个机动车辆13称为"目标车辆"。
接下来，在步骤S1中，控制中心10将再编程指令(作为例如，调制载波)经由蜂窝电话线12从天线10c发送到多个授权的再编程站点11中的一个授权的再编程站点11的通信地址CA(ll)。选择多个授权的再编程站点 11中的所述一个授权的再编程站点ll，使得
目标车辆13的车库的位置属于与多个授权的再编程站点11中的所述一个授权的再编程站点ll相对应的多个区域之一；或者
导航系统26所检测的目标车辆13的当前位置属于与多个授权的再编程站点11中的所述一个授权的再编程站点11相对应的多个区域之一。在下文中，将多个授权的再编程站点11中的所述一个授权的再编程站点11 称为"目标站点"。
目标站点11经由天线llc接收从控制中心10发送的再编程指令。在步骤S2中，目标站点11将再编程指令作为调制载波从天线11c经由蜂窝电话线12发送到目标车辆13的车辆控制装置20的通信地址CA(20)。
同时或者在此后，在步骤S3中，目标站点11把与再编程指令发送到目标车辆13相关的历史记录记录在可重写存储器lid中。例如，将该历史记录与目标车辆13的车辆代码VC(13)相关联地存储在可重写存储器lid 中。
当目标站点11发送再编程指令时，目标车辆13的车辆控制装置20的诊断ECU 24在步骤S4通过蜂窝电话线12在目标站点11与对应的车辆控制装置20之间建立连接，从而经由天线27a接收再编程指令。
接着，在步骤S5中，诊断ECU24中断所建立的连接。此后，诊断ECU 24在可重写存储器28中搜索多个授权的再编程站点 11的所述一个再编程站点ll(目标站点ll)的通信地址CA(ll)。然后，在步骤S6中，诊断ECU 24送回(call back)搜索到的目标站点11的通信地址 CA(11)。换言之，在步骤S6中，基于搜索到的通信地址CA(ll)，诊断ECU 24通过蜂窝电话线12重新建立对应的车辆控制装置20和目标站点11之间的连接。
在步骤S6中，诊断ECU 24将对应目标车辆13的车辆代码VC(13)通知给目标站点ll，从而向目标站点ll询问将再编程指令发送到目标设备 13的历史记录是否记录在目标站点11中。
当接收到包括目标车辆13的车辆代码VC(13)的查询时，在步骤S7，目标站点11基于目标车辆13的车辆代码VC(13)在可重写存储器lld中搜索与再编程指令发送到目标车辆13相关的历史记录。
这时，与再编程指令发送到目标车辆13相关的历史记录已经被记录在可重写存储器lld中(参见步骤S3)。由于该原因，在步骤S8中，目标站点 11将应答发送到目标车辆13的车辆控制装置20，其中该应答用于表示与再编程指令发送到目标车辆13相关的历史记录已经被记录在可重写存储器 lld中。
当接收到用于表示与再编程指令发送到目标车辆13相关的历史记录己经被记录在目标站点11中的应答时，诊断ECU 24判断出所接收的再编程指令有效。然后，诊断ECU24在步骤S9进入再编程授权模式。
在再编程授权模式中，诊断ECU 24允许对存储在目标ECU中的控制程序和控制数据的再编程。
具体而言，在步骤SlO和Sll，诊断ECU 24基于在发送再编程指令后所接收的再编程指令以及从目标站点11发送的进行数据再编程所使用的数据来对控制程序和/或控制数据的至少一部分进行再编程。在下文中，将用于进行数据再编程的数据称为"再编程数据"。
相反，图3示意性地示出了由数据再编程系统IOO所执行的例行程序，从而基于从未授权的再编程站点llf所发送的再编程指令来禁止数据再编程。
当未授权的再编程站点llf发送未授权的再编程指令时，目标车辆13的车辆控制装置20的诊断ECU 24通过蜂窝电话线12在未授权的再编程站点llf与对应的车辆控制装置20之间建立连接。这允许在步骤S20中经由天线27a接收未授权的再编程指令。
接着，在步骤S21中，诊断ECU24中断所建立的连接。
此后，诊断ECU 24在可重写存储器28中搜索与未授权的再编程指令源无关的多个授权的再编程站点11中的一个授权的再编程站点11的通信地址CA(ll)。具体而言，选择授权的多个再编程站点11中的所述一个授权的再编程站点11，使得
目标车辆13的车库位置属于与多个授权的再编程站点11中的所述一个授权的再编程站点11相对应的多个区域之一；或者
导航系统26所检测的目标车辆13的当前位置属于与多个授权的再编程站点11中的所述一个授权的再编程站点11相对应的多个区域之一。如上所述，所述多个授权的再编程站点11中的所述一个授权的再编程站点11 对应于目标站点11。
然后，在步骤S22中，诊断ECU24送回搜索到的目标站点11的通信地址CA(ll)。换言之，在步骤S22中，基于搜索到的通信地址CA(ll)，诊断ECU 24通过蜂窝电话线12在对应的车辆控制装置20和目标站点11之间重新建立连接。
在步骤S22中，诊断ECU 24将对应目标车辆13的车辆代码VC(13) 通知给目标站点ll，从而向目标站点ll询问将再编程指令发送到目标设备13的历史记录是否记录在目标站点11中。
当接收到目标车辆13的车辆代码VC(13)时，在步骤S23中，目标站点 11基于目标车辆13的车辆代码VC(13)，在可重写存储器lld中搜索与再编程指令发送到目标车辆13相关的历史记录。
这时，没有与再编程指令发送到目标车辆13相关的历史记录已经被记录在可重写存储器lld中。由于该原因，在步骤S24中，目标站点ll将应答发送到目标车辆13的车辆控制装置20，其中该应答用于表示没有与再编程指令发送到目标车辆13相关的历史记录已经被记录在可重写存储器lld 中。
当接收到用于表示没有与再编程指令发送到目标车辆13相关的历史记录已经被记录在目标站点11中的应答时，诊断ECU 24判断出所接收的再编程指令无效，诊断ECU 24在步骤S25进入再编程保护模式。
在再编程保护模式中，即便未授权的目标站点llf在所述未授权的再编程指令发送之后发出了用于再编程的指令，诊断ECU24也禁止对存储在目标ECU中的控制程序和控制数据的再编程。
在上面阐述的说明中，将多个机动车辆13中的一个机动车辆13设置为目标车辆13，但是也可以将多个机动车辆13中的每一个机动车辆13设置为目标车辆13。
如上所述，当接收到再编程指令时，每个机动车辆13的车辆控制装置 20都用于向多个授权的再编程站点11中的一个授权的再编程站点11询问所述接收的再编程指令是否有效。
仅在目的地授权的再编程单元发送的应答表示所述接收的再编程指令无效时，多个机动车辆13中的每个机动车辆13的车辆控制装置20才基于所述接收的再编程指令来禁用数据再编程。
换言之，当目的地授权的再编程单元发送的应答表示所述接收的再编程指令无效吋，每个机动车辆13的车辆控制装置20才基于所述接收的再编程指令来禁止数据再编程。
这避免了当未授权的再编程指令发送到每个机动车辆13的车辆控制装置20时，基于未授权的再编程指令的无效的数据再编程。
注意在未授权的再编程指令已经经由蜂窝电话线12发送到车辆控制装置20的状态下，换言之，在数据再编程系统100还没有正常工作的状态下，重复未授权的再编程指令的发送。由于这个原因，优选保持经由蜂窝电话线12的远程再编程，直到数据再编程系统IOO返回到正常操作状况位置。
在这种情况下，在进入再编程保护模式后，车辆控制装置20继续以再编程保护模式操作，同时禁止接收再编程指令。
由于这个原因，即使新的再编程指令在车辆控制装置20的操作模式转变到再编程保护模式之后才被发送到车辆控制装置20，也将自动阻止基于新的再编程指令对存储在车辆控制装置20中的数据进行再编程，而与新的再编程指令是否有效无关。接着，在下文中，将参照图4和图5进一步描述作为目标站点11的多个授权的再编程站点11中的一个授权的再编程站点11所执行的任务。
图4示意性地示出了由目标站点11执行的再编程指令发送任务。
响应于接收到从控制中心10发送的再编程指令，目标站点11开始再编程指令发送任务。首先，在步骤S401中，目标站点11将作为调制载波的再编程指令从天线llc经由蜂窝电话线12发送到目标车辆13的车辆控制装置20的通信地址CA(20)。
同时或者在此后，在步骤S402中，目标站点11把与再编程指令发送到目标车辆13相关的历史记录记录在可重写存储器lld中。此后，目标站点11终止该再编程指令发送任务。
接着，图5示意性地示出了将由目标站点11执行的应答任务。
当响应于查询而发起应答任务时，目标站点ll基于包括在该査询中的目标车辆13的车辆代码VC(13)，在可重写存储器lld中搜索与再编程指令发送到目标车辆13相关的历史记录。
在步骤S501中，基于该搜索的结果，目标站点11判断与再编程指令发送到目标车辆13相关的历史记录是否已经被记录在可重写存储器lld 中。
当判断出没有与再编程指令发送到目标车辆13相关的历史记录己经被记录在可重写存储器lld中时(步骤S501的判断为"否")，目标站点11进行到步骤S505。在步骤S505中，目标站点11将应答发送到目标车辆13 的车辆控制装置20，该应答在步骤S505中用于表示没有与再编程指令发送到目标车辆13相关的历史记录已经被记录在可重写存储器lld中。
否则，当判断出与再编程指令发送到目标车辆13相关的历史记录已经被记录在可重写存储器lld中时(步骤S501的判断为"是")，目标站点11 进行到步骤S502。
在步骤S502中，目标站点11将应答发送到目标车辆13的车辆控制装置20，该应答用于表示与再编程指令发送到目标车辆13相关的历史记录己经被记录在可重写存储器lld中。
接着，在步骤S503中，目标车辆13将再编程数据发送到目标车辆13 的车辆控制装置20。随后，在步骤S504中，目标车辆13清除在可重写存储器lid中存储的目标车辆13的历史记录曰志。
接着，在下文中，将参照图6和图7进一步描述目标车辆13的车辆控制装置20的诊断ECU 24所执行的任务。
图6示意性地示出了将由目标车辆13的诊断ECU 24所执行的查询任务。
当通过蜂窝电话线12在对应的车辆控制装置20和再编程指令的发送器之间建立连接从而接收再编程指令时，诊断ECU 24开始査询任务。
具体而言，在步骤S601中，诊断ECU24判断它的操作模式是否是再编程初始模式。注意再编程初始模式表示诊断ECU 24(车辆控制装置20) 的除了再编程授权模式和再编程保护模式以外的操作模式，其在开始接收再编程指令之前。
当判断出目标车辆13的诊断ECU 24的操作模式不是再编程初始模式时(步骤S601的判断为"否")，诊断ECU 24进行到步骤S607。在步骤S607 中，诊断ECU24进入再编程保护模式，终止査询任务。
否则，当判断出诊断ECU 24的操作模式是再编程初始模式时(步骤 S601的判断为"是")，诊断ECU 24进行到步骤S602。在步骤S602中，诊断ECU 24中断所建立的连接。
在中断后，诊断ECU 24在可重写存储器28中搜索与接收的再编程指令的发送器无关的目标站点11的通信地址CA(ll)。在搜索之后，在步骤 S603中，诊断ECU24送回搜索到的目标站点11的通信地址CA(ll)。在步骤S603中，诊断ECU 24向目标站点11通知对应的目标车辆13的车辆代码VC(13)，从而询问目标站点ll:与再编程指令发送到目标车辆13相关的历史记录是否被记录在目标站点11中。
如上所述，响应所述送回，目标站点11执行图5所示的应答任务，从而发送应答给诊断ECU24。
在步骤S604中，诊断ECU24接收从目标站点11发送的应答，并且在步骤S605中，判断所述应答是否用于表示将再编程指令发送到目标设备13 的历史记录已经被记录在可重写存储器lld中。
当判断出所述应答用于表示将再编程指令发送到目标设备13的历史记录已经被记录在可重写存储器11中时(步骤S605的判断为"是")，在步骤S606中，诊断ECU24进入再编程授权模式，退出查询任务。
否则，当判断出所述应答用于表示没有将再编程指令发送到目标设备 13的历史记录已经被记录在可重写存储器11中时(步骤S605的判断为 "否")，在步骤S607中，诊断ECU24进入再编程保护模式，退出查询任务。
接着，图7示意性地示出了将由目标车辆13的诊断ECU 24所执行的数据再编程任务。
当响应于接收到再编程数据而开始数据再编程任务时，在步骤S701中，诊断ECU 24判断它的操作模式是否是再编程授权模式。
当判断出所述诊断ECU 24的操作模式不是再编程授权模式时(步骤 S701的判断为"否")，诊断ECU24判断出
它的操作模式己经转变为再编程保护模式；或者
所接收的再编程数据是经由蜂窝电话线12无效发送的，同时保持不传送在步骤S603中所发送的针对查询的应答。
在上面阐述的任何情况下，诊断ECU 24判断出再编程数据是通过蜂窝电话线12无效发送的。然后，当诊断ECU 24的操作模式是在步骤S704 中的再编程保护模式时，诊断ECU24保持它的操作模式不变。否则，当诊断ECU 24的操作模式是在步骤S704中的另一操作模式时，诊断ECU 24 进入再编程保护模式。
否则，当判断出诊断ECU 24的操作模式是再编程授权模式时(步骤 S701的判断为"是")，诊断ECU24进入到步骤S702。在步骤S702中，诊断ECU 24基于所接收的再编程数据对存储在目标ECU中的控制数据和控制程序进行再编程。此后，在步骤S703中，诊断ECU 24进入再编程初始模式，退出数据再编程任务。
如上所述，在根据第一实施例的数据再编程系统100中，当接收到再编程指令时，一个目标车辆13的车辆控制装置20向多个授权的再编程站点11中的一个授权的再编程站点11询问所述接收的再编程指令是否有效。
然后，车辆控制装置20基于所接收的再编程指令不允许数据再编程，除非从多个授权的再编程单元中的一个授权的再编程单元发送的应答表示所接收的再编程指令有效。换言之，当从多个授权的再编程单元中的一个授权的再编程单元发送的应答表示所接收的再编程指令无效时，车辆控制
装置20基于所接收的再编程指令禁止数据再编程。
这实现了第一个效果，即适当避免了基于无效的再编程指令来进行未授权的数据再编程。
响应于接收到再编程指令，根据第一实施例的一个目标车辆13的车辆控制装置20向多个授权的再编程站点11中的一个授权的再编程站点11询问所述接收的再编程指令是否有效。当接收到从目标车辆13发送的查询时，多个授权的再编程站点11中的一个授权的再编程站点11将用于表示存在与再编程指令发送到目标车辆13相关的历史记录的应答发送到目标车
辆13。该应答允许目标车辆13的车辆控制装置20验证所接收的再编程指令是否有效。
这实现了第二个效果，即容易并且适当地地验证所接收的再编程指令的有效性。
在第一实施例中，当在车辆控制装置20和再编程指令的发送器之间建立了连接以便接收重新变成指令时，车辆控制装置20中断所建立的连接，并且在车辆控制装置20和多个授权的再编程站点11中的一个授权的再编程站点11之间重新建立连接。
这实现了第三个效果，即向多个授权的再编程站点11中的一个授权的再编程站点11查询所接收的再编程指令是否有效，其与再编程指令的发送器无关。
在第一实施例中，在未授权的再编程指令已经经由蜂窝电话线12被发送到车辆控制装置20之后，换言之，数据再编程系统100还没有正常操作时，车辆控制装置20连续禁止接收再编程指令。这避免车辆控制装置20 响应于再编程指令来执行数据再编程任务。
这实现了第四个效果，即在无法确保数据再编程系统100的可靠性的状态下禁止对车辆控制装置20进行数据再编程。
第二实施例
在下文中，将描述根据本发明第二实施例的数据再编程系统。除了下文中所述的一些差异之外，第二实施例的数据再编程系统的结构基本与第
一实施例的数据再编程系统100的结构相同。为此，同样的附图标记被分
配给根据第一实施例和第二实施例的数据再编程系统中的相同部分，以便省略对第二实施例的数据再编程系统部分的描述。
在第一实施例中，对目标车辆13的车辆控制装置20进行编程，以用于向多个授权的再编程站点11中的一个授权的再编程站点11询问如此接收的再编程指令是否有效。在基于多个授权的再编程站点11中的一个授权的再编程站点11正常操作的前提下，这避免了基于未授权的再编程指令的未授权的数据再编程。
作为在未授权的再编程指令经由蜂窝电话线12发送的情况的一个例子，授权的再编程站点可能发生故障，使得虽然控制中心10没有生成授权的再编程指令，所述授权的再编程站点也可能发送再编程指令。
在这种情况下，即使目标车辆13的车辆控制装置20向发生故障的站点ll询问发生故障的站点11是否发送了再编程指令，车辆控制装置20 可能难以从发生故障的站点11接收适当的应答，使得可以执行未授权的数据再编程。
具体而言，虽然再编程指令是从发生故障的站点ll无效发送的，但在发生故障的站点11已经发送了再编程指令之后，也可以将再编程指令的发送历史记录存储在可重写存储器lld中。这时，当接收到针对所述发生故障的站点11发送的再编程指令是否有效的查询时，所述发生故障的站点11 可以向车辆控制装置20发送用于表示再编程指令的发送历史记录已经存储在其中的应答。这可以造成车辆控制装置20误判断从发生故障的站点11 发送的再编程指令是有效的。
为了解决车辆控制装置20的误判断问题，根据第二实施例的车辆控制装置20用于向控制中心IO询问如此接收的再编程指令是否有效时。具体而言，即使从发生故障的站点11无效发送再编程指令而使得再编程指令的发送历史记录已经被存储在可重写存储器lld中，也没有再编程指令的发送历史记录已经被存储在控制中心10的可重写存储器10d中。
为此，向控制中心IO査询所述再编程指令的发送历史记录是否已经被存储在其中，这适当地检査了再编程指令的有效性，即便在多个授权的再编程站点11的一个授权的再编程站点11出现故障而错误地发送再编程指令时也是如此。
图8示意性地示出了根据第二实施例的由数据再编程系统100所执行的例行程序，从而基于从多个授权的再编程站点11中的一个授权的再编程站点11所发送的再编程指令来允许数据再编程。
如上所述，在步骤Sl中，控制中心10将再编程指令从天线10c经由蜂窝电话线12发送到对应于目标车辆13的目标站点11的通信地址CA(ll)。
同时或者在此后，在步骤S31中，控制中心10把与再编程指令发送到目标车辆13相关的历史记录记录在可重写存储器10d中。例如，将该历史记录与目标车辆13的车辆代码VC(13)相关联地存储在可重写存储器10d 中。
目标站点11经由天线llc接收从控制中心10发送的再编程指令。在步骤S2中，目标站点11将再编程指令从天线11c发送到目标车辆13的车辆控制装置20的通信地址CA(20)。
同时或者在此后，在步骤S3中，目标站点11把与再编程指令发送到目标车辆13相关的历史记录记录在可重写存储器lld中。例如，将该历史记录与目标车辆13的车辆代码VC(13)相关联地存储在可重写存储器lld 中。
当目标站点11发送再编程指令时，在步骤S4中，目标车辆13的车辆控制装置20的诊断ECU 24通过蜂窝电话线12在目标站点11与对应的车辆控制装置20之间建立连接，从而经由天线27a接收再编程指令。
接着，在步骤S5中，诊断ECU24中断所建立的连接。
此后，诊断ECU24在可重写存储器28中搜索控制中心10的通信地址 CA(IO)。然后，在步骤S32中，诊断ECU24送回搜索到的控制中心10的通信地址CA(IO)。换言之，在步骤S32中，基于搜索到的通信地址CA(IO), 诊断ECU 24通过蜂窝电话线12重新建立对应的车辆控制装置20和控制中心IO之间的连接。
在步骤S32中，诊断ECU 24将对应目标车辆13的车辆代码VC(13) 通知给控制中心IO，从而向控制中心10询问与再编程指令发送到目标车辆13相关的历史记录是否记录在控制中心10中。当接收到包括目标车辆13的车辆代码VC(13)的査询时，在步骤S33 中，控制中心10基于目标车辆13的车辆代码VC(13)在可重写存储器10d 中搜索与再编程指令发送到目标车辆13相关的历史记录。
此时，与再编程指令发送到目标车辆13相关的历史记录已经被记录在可重写存储器10d中(参见步骤S31)。由于该原因，在步骤S34中，控制中心10将应答发送到目标车辆13的车辆控制装置20，其中该应答用于表示与再编程指令发送到目标车辆13相关的历史记录己经被记录在可重写存储器10d中。
当控制中心10发送了应答时，在步骤S35中，目标车辆13的车辆控制装置20的诊断ECU 24通过蜂窝电话线12在控制中心10和对应的车辆控制装置20之间建立连接。在步骤S35中，诊断ECU 24经由天线27a接收应答，其中该应答用于表示与再编程指令发送到目标车辆13相关的历史记录已经被记录在控制中心10中。
基于所接收的应答，诊断ECU24判断出所接收的再编程指令有效。然后，在步骤S35中，诊断ECU24进入再编程授权模式。
接着，在步骤S36中，诊断ECU24中断所建立的连接。
此后，诊断ECU24在可重写存储器28中搜索目标站点11的通信地址 CA(ll)。然后，基于在步骤S37中搜索到的通信地址CA(ll)，诊断ECU24 通过蜂窝电话线12重新建立对应的车辆控制装置20和目标站点11之间的连接。
在步骤S37中，诊断ECU 24将发送再编程数据的请求发送给目标站点 11;该请求包括目标车辆13的车辆代码VC(13)。再编程数据是用于对存储在目标ECU中的控制数据和控制程序进行再编程所需要的。
当接收到该请求时，在步骤S7中，目标站点11基于目标车辆13的车辆代码VC(13)，在可重写存储器lld中搜索与再编程指令发送到目标车辆 13相关的历史记录。
这时，与再编程指令发送到目标车辆13相关的历史记录己经被记录在可重写存储器lld中(参见步骤S3)。由于该原因，在步骤S10中，目标站点11将再编程数据发送到目标车辆13的车辆控制装置20。
当接收到再编程数据时，在步骤Sll中，诊断ECU24基于所接收的再编程指令并且基于所接收的再编程数据，对控制程序和/或控制数据中的至少一部分进行再编程。
相反，图9示意性地示出了在一个失败或发生故障的再编程站点11错误地发送了再编程指令且该再编程指令与由控制中心所生成的再编程指令无关时，由数据再编程系统100所执行的例行程序。在下文中，将从失败或发生故障的再编程站点11错误地发送的再编程指令称为"未授权的再编程指令"。
当失败或发生故障的再编程站点11发送了未授权的再编程指令时，目标车辆13的车辆控制装置20的诊断ECU 24通过蜂窝电话线12在失败或发生故障的再编程站点11与对应的车辆控制装置20之间建立连接。然后，在步骤S20中，诊断ECU 24经由天线27a接收未授权的再编程指令。接着，在步骤S21中，诊断ECU24中断所建立的连接。此后，诊断ECU24在可重写存储器28中搜索控制中心10的通信地址 CA(IO)。然后，在步骤S32中，基于搜索到的通信地址CA(IO)，诊断ECU 24通过蜂窝电话线12在对应的车辆控制装置20和控制中心10之间重新建立连接。
在步骤S32中，诊断ECU 24将对应目标车辆13的车辆代码VC(13) 通知给控制中心IO，从而向控制中心10询问与再编程指令发送到目标车辆13相关的历史记录是否已记录在控制中心10中。
当接收到包括目标车辆13的车辆代码VC(13)的查询时，在步骤S33 中，控制中心IO基于目标车辆13的车辆代码VC(13)，在可重写存储器10d 中搜索与再编程指令发送到目标车辆13相关的历史记录。
此时，没有与再编程指令发送到目标车辆13相关的历史记录己经被记录在可重写存储器10d中(参见步骤S31)。由于该原因，在步骤S40中，控制中心10将应答发送到目标车辆13的车辆控制装置20，其中该应答用于表示没有与再编程指令发送到目标车辆13相关的历史记录己经被记录在可重写存储器10d中。
当控制中心IO发送了应答时，在步骤S41中，目标车辆13的车辆控制装置20的诊断ECU 24通过蜂窝电话线12在控制中心10和对应的车辆控制装置20之间建立连接。在步骤S41中，诊断ECU24经由天线27a接收应答，其中该应答用于表示没有与再编程指令发送到目标车辆13相关的历史记录己经被记录在控制中心10中。
接着，在步骤S42中，诊断ECU24判断出所接收的再编程指令无效，诊断ECU 24进入再编程保护模式。
在再编程保护模式中，诊断ECU 24禁止基于未授权的再编程指令对存储在目标ECU中的控制数据和控制程序进行再编程。
接着，在下文中，将参照图IO和图11进一步描述控制中心IO所执行的任务。
图IO示意性地示出了将由控制中心IO所执行的再编程指令生成任务。
当发起再编程指令生成任务时，控制中心IO生成再编程指令。该再编程指令用于对存储在目标车辆13的车辆控制装置20的目标ECU中的控制程序和控制数据进行再编程。
然后，在步骤S1001中，控制中心IO将再编程指令经由蜂窝电话线12 从天线10c发送到对应于目标车辆13的目标站点11的通信地址CA(ll)。
同时或者在此后，在步骤S1002中，控制中心IO把与再编程指令发送到目标车辆13相关的历史记录记录在可重写存储器10d中。此后，控制中心10终止再编程指令生成任务。
接着，图11示意性地示出了将由控制中心10所执行的应答任务。
当响应于查询而发起应答任务时，控制中心IO基于包括在该查询中的目标车辆13的车辆代码VC(13)，在可重写存储器10d中搜索与再编程指令发送到目标车辆13相关的历史记录。
在步骤S1101中，基于该搜索的结果，控制中心10判断与再编程指令发送到目标车辆13相关的历史记录是否已经被记录在可重写存储器10d 中。
当判断出与再编程指令发送到目标车辆13相关的历史记录已经被记录在可重写存储器10d中时(步骤S1101的判断为"是")，控制中心10进行到步骤S1102。
在步骤S1102中，控制中心10将应答发送到目标车辆13的车辆控制装置20，该应答用于表示与再编程指令发送到目标车辆13相关的历史记录已经被记录在可重写存储器10d中。接着，在步骤S1103中，控制中心10清除在可重写存储器10d中存储的目标车辆13的历史记录日志。
否则，当判断出没有与再编程指令发送到目标车辆13相关的历史记录已经被记录在可重写存储器10d中时(步骤S1101的判断为"否")，控制中心10进行到步骤S1104。在步骤S1104中，控制中心IO将应答发送到目标车辆13的车辆控制装置20，该应答用于表示没有与再编程指令发送到目标车辆13相关的历史记录已经被记录在可重写存储器10d中。
接着，在下文中，将参照图12进一步描述由目标站点11所执行的再编程数据发送任务。注意在第二实施例中，对目标站点ll进行编程，以响应于接收到控制中心10所生成的再编程指令来执行图4所示的再编程指令发送任务。
当响应于接收到请求而发起再编程数据发送任务时，目标站点11基于包括在该请求中的目标车辆13的车辆代码VC(13)，在可重写存储器lld中搜索与再编程指令发送到目标车辆13相关的历史记录。
在步骤S1201中，基于该搜索的结果，目标站点ll判断与再编程指令发送到目标车辆13相关的历史记录是否己经被记录在可重写存储器lld 中。
当判断出与再编程指令发送到目标车辆13相关的历史记录己经被记录在可重写存储器lld中时(步骤S1201的判断为"是")，目标站点11进行到步骤S1202。
在步骤S1202中，目标站点11将再编程数据发送到目标车辆13的车辆控制装置20。
接着，在步骤S1203中，目标车辆13清除在可重写存储器lld中存储的目标车辆13的历史记录日志。
否则，当判断出没有与再编程指令发送到目标车辆13相关的历史记录已经被记录在可重写存储器lld中时(步骤S1201的判断为"否")，目标站点11终止再编程数据发送任务。
接着，在下文中，将参照图13和图14进一步描述由目标车辆13的车辆控制装置20的诊断ECU24所执行的任务。注意在第二实施例中，对目标车辆13的车辆控制装置20的诊断ECU24进行编程，以响应于接收的从目标站点11发送的再编程数据来执行图7所示的数据再编程任务。
图13示意性地示出了由目标车辆13的诊断ECU 24所执行的査询任务。
当通过蜂窝电话线12在对应的车辆控制装置20和再编程指令的发送器之间建立连接从而接收再编程指令时，诊断ECU 24开始查询任务。
具体而言，在步骤S1301中，诊断ECU24判断它的操作模式是否是再编程初始模式。
当判断出目标车辆13的诊断ECU 24的操作模式不是再编程初始模式时(步骤S1301的判断为"否")，诊断ECU24进行到步骤S1304。在步骤 S1304中，诊断ECU24进入再编程保护模式，中断査询任务。
否则，当判断出诊断ECU 24的操作模式是再编程初始模式时(步骤 S1301的判断为"是")，诊断ECU24进行到步骤S1302。在步骤S1302中，诊断ECU 24中断所建立的连接。
在中断后，诊断ECU 24在可重写存储器28中搜索与接收的再编程指令的发送器无关的控制中心10的通信地址CA(IO)。在搜索之后，在步骤 S1303中，诊断ECU24送回搜索到的控制中心10的通信地址CA(10)。在步骤S1303中，诊断ECU24向控制中心IO通知对应的目标车辆13的车辆代码VC(13)，从而询问控制中心10:与再编程指令发送到目标车辆13相关的历史记录是否被记录在控制中心10中。
接着，图14示意性地示出了由目标车辆13的诊断ECU24所执行的再编程模式设置任务。
当目标车辆13的诊断ECU 24执行査询任务时，控制中心10执行图 11所示的应答任务。这导致将用于表示存在与再编程指令发送到目标车辆 13相关的历史记录的应答从控制中心10返回到目标车辆13的车辆控制装置20。
当在车辆控制装置20和控制中心10之间建立连接以接收该应答时，目标车辆13的诊断ECU 24开始再编程模式设置任务。
具体而言，在步骤S1402中，目标车辆13的诊断ECU24判断应答是否表示存在再编程指令的发送历史记录。
当判断出该应答表示不存在再编程指令的发送历史记录时(步骤S1402的判断为"否")，诊断ECU 24判断出所接收的再编程指令无效。然后，在步骤S1403中，诊断ECU24进入再编程保护模式，退出再编程模式设置任务。
否则，当判断出该应答表示存在再编程指令的发送历史记录时(步骤 S1402的判断为"是")，诊断ECU24判断出所接收的再编程指令有效。然后，在步骤S1404中，诊断ECU24进入再编程授权模式。
接着，在步骤S1405中，诊断ECU24中断所建立的连接，并且重新建立在步骤S1406中的车辆控制装置20和目标再编程站点11之间的连接。
在步骤S1406中，诊断ECU 24将用于发送再编程数据的请求发送给目标站点11。此后，当接收到目标站点11所发送的再编程数据时，诊断ECU 24开始执行图7所示的数据再编程任务。
如上所述，在根据第二实施例的数据再编程系统100中，一个目标车辆13的车辆控制装置20向控制中心10询问所接收的再编程指令是否有效。
除了第一个效果到第四个效果以外，它还实现了第五个效果，即当失败或发生故障的站点11错误地发送了未授权的再编程指令时使基于所述未授权的再编程指令的数据再编程无效。
在第一和第二实施例的每一个中，在进入再编程保护模式之后，车辆控制装置20连续以再编程保护模式操作，同时禁止接收再编程指令，换言之，禁止基于再编程指令的数据再编程。
具体而言，在未授权的再编程指令已经经由蜂窝电话线12发送到车辆控制装置20的状态下，存在在数据再编程系统100中发生故障的可能性，从而重复发送未授权的再编程指令。由于这个原因，在车辆控制装置20己经进入再编程保护模式后，禁止接收再编程指令。
然而，即使未授权的再编程指令被重复发送到目标车辆13的车辆控制装置20，车辆控制装置20也能够在每次接收到未授权的再编程指令时，检验未授权的再编程指令的有效性。这避免了基于未授权的再编程指令的无效数据再编程。
具体而言，每次接收到再编程请求时，车辆控制装置20都可以复位再编程保护模式。例如，在图6或图13所示的查询任务中，当己经完成图6所示的查询任务时，车辆控制装置20可以强制进入再编程初始模式。
更具体而言，在第一实施例中，当响应于接收到再编程指令而开始査询任务时，在步骤S601中，诊断ECU24可以将它的操作模式设置为再编程初始模式，并且此后可以执行步骤S602到步骤S607的操作。
在第二实施例中，当响应于接收到再编程指令而开始查询任务时，在步骤S1301中，诊断ECU24可以将它的操作模式设置为再编程初始模式，并且此后可以执行步骤S1302到步骤S1304的操作。
在第一实施例和第二实施例中的每一个中，经由蜂窝电话线12执行再编程指令、再编程数据、査询的发送，其中该查询用于检查每个接收的再编程指令的有效性。本发明不限于该结构。具体而言，可以经由另一种无线通信网络执行再编程指令、再编程数据、査询的发送，其中该査询用于检查每个接收的再编程指令的有效性。
第三实施例
下文将描述根据本发明第三实施例的数据再编程系统。除了下文中所述的一些差异之外，第三实施例的数据再编程系统的结构基本与第一实施例的数据再编程系统100的结构相同。为此，同样的附图标记被分配给根据第一实施例和第三实施例的数据再编程系统中的相同部分，以便可以省略对第三实施例的数据再编程系统部分的描述。
在第一和第二实施例的每一个中，当判断出发送到每个机动车辆13的再编程指令无效时，每个机动车辆13的车辆控制装置20基于无效的再编程指令来禁止数据再编程。
相反，在第三实施例中，当判断出发送到每个机动车辆13的再编程指令无效时，根据第三实施例的数据再编程系统100A同时禁止所有机动车辆 13的数据再编程。
具体而言，在第三实施例中，当判断出发送到每个机动车辆13的再编程指令无效或可能无效时，控制中心IO将用于禁止数据再编程的指令广播给所有机动车辆13的车辆控制装置20。特别地，在再编程指令是经由蜂窝电话线12无效发送的情况下，在有效性上无法保证经由蜂窝电话线12的通信。为此，在该情况下，当使用蜂窝电话线12来将用于禁止数据再编程的指令广播给所有机动车辆13的车辆控制装置20时，可能难以可靠地将用于禁止数据再编程的指令通知给所有机动车辆13。
为了解决上面阐述的问题，在第三实施例中，控制中心10将用于禁止数据再编程的指令通过除了蜂窝电话线12以外的其他的无线通信网络广播给所有机动车辆13的车辆控制装置20。将用于禁止数据再编程的指令称为 "禁止再编程指令"。
参照图15，根据第三实施例的数据再编程系统100A配备有再编程控制中心10A、多个由该控制中心10A控制的再编程站点11、以及每个机动车辆13A的车辆控制装置20A。在下文中，将各个再编程站点11和控制中心10A的组合称为"数据再编程单元102"。这些数据再编程单元102共享该控制中心IOA。
如同第一实施例和第二实施例中的每一个，对应于多个机动车辆13A 中的至少一个机动车辆13A的多个再编程站点11之一用于将再编程指令经由蜂窝电话线12发送到每个机动车辆13A的车辆控制装置20A。
另外，数据再编程系统100A配备有调频(FM)广播站点30和道路机车通信站点31。 FM广播站点30用于在至少预定的地理区域上广播调频的多路复用(multiplex)信号。道路机车通信站点31用于经由沿所述预定的地理区域的道路设置的红夕卜(光学)信标和/或无线电信标发送道路交通信息。
控制中心10A可通信地耦合到FM广播站点30和道路机车通信站点 31。控制中心10A通过FM多路复用广播网络30A和/或红外或无线电通信网络31A、经由FM广播站点30和/或道路机车通信站点31将所述禁止再编程指令广播到每个机动车辆13A的车辆控制装置20A。
每个机动车辆13A的车辆控制装置20A的导航系统26A配备有接收器 29。接收器29用于经由FM广播站点30和/或道路机车通信站点31接收控制中心IOA所发送的所述禁止再编程指令。
图16示意性地示出了由数据再编程系统IOOA所执行的例行程序，从而广播再编程禁止指令。
当判断出被发送到每个机动车辆13A的再编程指令无效或者可能无效时，在步骤S50中，控制中心10A将"故障"通知给FM广播站点30和道路机车通信站点31。
当接收到通知"故障"时，在步骤S51中，FM广播站点30和道路机车通信系统31经由FM多路复用广播网络30A和红外或无线电通信网络 31A将所述再编程禁止指令广播到每个机动车辆13A的车辆控制装置20A。
当接收到所述再编程禁止指令时，在步骤S52中，每个机动车辆13A 的车辆控制装置20A将一个接收到所述再编程禁止指令的历史记录记录在至少一个可重写存储器28中。
在该接收到所述再编程禁止指令的历史记录己经被存储在至少一个可重写存储器28中的状态下，当在步骤S53中接收到从再编程站点11发送的再编程指令时，在步骤S54中，车辆控制装置20A进入再编程保护模式。这禁止了车辆控制装置20A基于接收到的再编程指令来对存储在至少一个目标ECU中的控制数据和控制程序进行再编程。
图17示意性地示出了根据第三实施例由每个机动车辆DA的车辆控制装置20A所执行的再编程模式设置任务。
当在车辆控制装置20A和目标站点11之间建立连接以接收再编程指令时，每个机动车辆13A的车辆控制装置20A开始再编程模式设置任务。
具体而言，在步骤S1701中，车辆控制装置20A判断它的当前操作模式是否是再编程初始模式。
当判断出它的当前操作模式不是再编程初始模式时(步骤S1701中的判断为"否")，车辆控制装置20A在步骤S1704进入再编程保护模式，退出所述再编程模式设置任务。
否则，当判断出它的当前操作模式是再编程初始模式时(步骤S1701中的判断为"是")，在步骤S1702中，车辆控制装置20A判断是否存在接收再编程禁止指令的历史记录。
当该接收再编程禁止指令的历史记录已经被记录在车辆控制装置20A 中时(步骤S1702的判断为"是")，在步骤S1704中，车辆控制装置20A 进入再编程保护模式，退出所述再编程模式设置任务。
相反，当该接收再编程禁止指令的历史记录还没有被记录在车辆控制装置20A中时(步骤S1702的判断为"否")，在步骤S1703中，车辆控制装置20A进入再编程授权模式，退出所述再编程模式设置任务。注意在已经完成所述再编程模式设置任务后，当接收到再编程数据
时，车辆控制装置20A执行图7所示的数据再编程任务，从而在装置20A 的操作模式是再编程授权模式的条件下执行数据再编程。当已经完成数据再编程时，车辆控制装置20A进入再编程初始模式。
如上所述，在第三实施例中，控制中心IOA用于通过除了蜂窝电话线 12以外的其他的无线通信网络(FM多路复用广播网络30A和域红外或无线电通信网络31A)将所述再编程禁止指令广播到所有机动车辆13A的车辆控制装置20A。
这实现了第六个效果，即即便在蜂窝电话线12中出现了故障的情况下，也能禁止每个车辆13的车辆控制装置20A的数据再编程。
在第三实施例中，使用蜂窝电话线12来发送再编程指令，而使用FM 多路复用广播网络30A和红外或无线电通信网络31A来发送再编程禁止指令。然而，本发明不限于该组合。具体而言，可以使用多种无线通信网络中的一种无线通信网络和另一种无线通信网络来分别发送再编程指令和再编程禁止指令。
这允许即便在用于发送再编程指令的一种无线通信网络中出现故障的情况下，也能发送所述再编程禁止指令。
修改
在第一实施例到第三实施例的每一个实施例中，在进入再编程保护模式后，每个机动车辆13、 13A的车辆控制装置20、 20A连续以再编程保护模式操作，同时禁止数据再编程，即便在接收到再编程指令时也是如此。
作为修改，当满足下列第一条件和第二条件至少之一时，每个机动车辆13、 13A的车辆控制装置20、 20A从再编程保护模式返回到再编程初始模式
第一条件是自从操作模式转变到再编程保护模式后，已经经过了预定的时间段。
第二条件是接收到从例如控制中心10、 IOA发送的返回指令。图18示意性地示出了由使用第一条件的每个机动车辆13的车辆控制装置20所执行的返回任务。每当中断周期性出现时，车辆控制装置20执行该返回任务。
当开始返回任务时，在步骤S1801中，车辆控制装置20判断它的操作模式是否是再编程保护模式。当判断出操作模式不是再编程保护模式时(步骤S1801中的判断为"否")，车辆控制装置20退出返回任务。
否则，当判断出操作模式是再编程保护模式时(步骤S1801中的判断为 "是")，车辆控制装置20参考一个时间段，其中该时间段是自从操作模式转变到再编程保护模式后已经经过的时间段。然后，在步骤S1802中，车辆控制装置20判断所述参考的时间段是否超过了再编程保护模式的预定的保持时间段。
当判断出所述参考的时间段没有超过再编程保护模式的预定保持时间段时(步骤S1802的判断为"否")，车辆控制装置20退出返回任务。
否则，当判断出所述参考的时间段超过了再编程保护模式的预定保持时间段时(步骤S1802的判断为"是")，在步骤S1803中，车辆控制装置 20从再编程保护模式返回到再编程初始模式。
在这种情况下，优选的是将一个足够长的时间段(例如一周)设置为允许恢复数据再编程系统100的所述保持时间段。
图19示意性地示出了由使用第二条件的数据再编程系统IOOA所执行的返回任务。
如同第三实施例，当数据再编程系统100A中出现了故障使得发送到每个机动车辆13的再编程指令可能无效时，在步骤S50中，控制中心IOA将 "故障"通知给FM广播站点30和道路机车通信站点31。
当接收到通知"故障"时，在步骤S51中，FM广播站点30和道路机车通信站点31经由FM多路复用广播网络30A和红外或无线电通信网络 31A将再编程禁止指令广播到每个机动车辆13A的车辆控制装置20A。
当接收到所述再编程禁止指令时，在步骤S52中，每个机动车辆13A 的车辆控制装置20A将一个接收到所述再编程禁止指令的历史记录记录在至少一个可重写存储器28中。
在该接收到所述再编程禁止指令的历史记录已经被存储在至少一个可重写存储器28中的状态下，当在步骤S53中接收到从再编程站点11发送的再编程指令时，在步骤S54中，车辆控制装置20A进入再编程保护模式。此后，当消除了数据再编程系统100A中的故障时，在步骤S55中，控制中心IOA将"故障消除"通知给每个再编程站点11。
当接收到"故障消除"时，在步骤S56中，每个再编程站点ll经由蜂窝电话线12将再编程保护模式的返回指令发送到对应的至少一个机动车辆 13A。具体而言，因为消除了数据再编程系统100A中的故障，因此可以使用蜂窝电话线12来发送返回指令。
当接收到返回指令时，在步骤S57中，每个机动车辆13A的车辆控制装置20A进入再编程初始模式。控制中心IOA可以经由除了蜂窝电话线12 以外的FM多路复用广播网络30A和红外或无线电通信网络31A将返回指令发送到每个机动车辆13A。
图20示意性地示出了由使用第一和第二条件的每个机动车辆13的车辆控制装置20所执行的返回任务。每当中断周期性出现时，车辆控制装置 20执行该返回任务。
当开始返回任务时，在步骤S2001中，车辆控制装置20判断它的操作模式是否是再编程保护模式。当判断出操作模式不是再编程保护模式时(步骤S2001中的判断为"否")，车辆控制装置20退出返回任务。
否则，当判断出操作模式是再编程保护模式时(步骤S2001中的判断为 "是")，车辆控制装置20参考一个时间段，其中该时间段是自从操作模式转变到再编程保护模式后已经经过的时间段。然后，在步骤S2002中，车辆控制装置20判断所述参考的时间段是否超过了再编程保护模式的预定的保持时间段。
当判断出所述参考的时间段没有超过再编程保护模式的预定的保持时间段时(步骤S2002的判断为"否")，车辆控制装置20退出返回任务。
否则，当判断出所述参考的时间段超过了再编程保护模式的预定的保持时间段时(步骤S2002的判断为"是")，车辆控制装置20判断接收到返回指令的历史记录是否已记录在其中。
当判断出没有接收返回指令的历史记录已被记录在其中时(步骤S2003 的判断为"否")，车辆控制装置20退出返回任务。
否则，当判断出该接收返回指令的历史记录已被记录在其中时(步骤 S2003的判断为"是")，在步骤S2004中，车辆控制装置20从再编程保护模式返回到再编程初始模式。
多个机动车辆13A中的对应一个机动车辆13A的拥有者可以手动执行这种对禁止接收或者执行再编程指令的释放。具体而言，当数据再编程系统100A中的故障消除时，数据再编程系统100A的管理员联系每个机动车辆13A的拥有者，以请求取消禁止接收或者执行再编程指令。这样，每个机动车辆13A的拥有者操作数据再编程系统100A，以取消禁止接收或者执行再编程指令。
尽管已经描述了当前考虑的本发明的实施例和它们的修改，但是应该理解，可以对其进行还没有被描述的各种修改，并且旨在将所有落入本发明的真正精神和范围内的这样的修改包括在所附的权利要求中。
权利要求
1. 一种车辆控制装置，所述车辆控制装置基于经由无线通信网络发送到所述车辆控制装置中的再编程指令，来对存储在所述车辆控制装置中的数据进行再编程，所述车辆控制装置包括询问单元，其用于向数据再编程单元询问所述再编程指令是否有效，所述数据再编程单元已经被授权对存储在所述车辆控制装置中的所述数据进行再编程；以及判断单元，其用于接收经由所述无线通信网络从所述数据再编程单元发送的对所述询问的应答，并且基于所接收的应答来判断是允许还是禁止对存储在所述车辆控制装置中的所述数据进行所述再编程。
2、根据权利要求l所述的车辆控制装置，其中，在所述应答表示所述再编程指令有效时，所述判断单元允许对存储在所述车辆控制装置中的所述数据进行所述再编程。
3、根据权利要求l所述的车辆控制装置，其中，在所述应答表示所述再编程指令无效时，所述判断单元禁止对存储在所述车辆控制装置中的所述数据进行所述再编程。
4、根据权利要求l所述的车辆控制装置，还包括接收禁止单元，其用于在接收到所述应答后，在所述应答表示所述再编程指令无效时，禁止接收其他的再编程指令。
5、根据权利要求1所述的车辆控制装置，其中，所述数据再编程单元包括控制中心和授权的再编程站点，所述授权的再编程站点用于在所述控制中心的控制下发送所述再编程指令，并且所述询问单元用于向所述授权的再编程站点询问所述再编程指令是否有效。
6、根据权利要求l所述的车辆控制装置，其中，所述数据再编程单元包括控制中心和授权的再编程站点，所述授权的再编程站点用于在所述控制中心的控制下发送所述再编程指令，并且所述询问单元用于向所述控制中心询问所述再编程指令是否有效。
7、根据权利要求1所述的车辆控制装置，还包括接收单元，其用于通过所述无线通信网络在所述车辆控制装置和所述再编程指令的发送器之间建立连接，并且接收所述再编程指令，其中，所述询问单元用于中断所建立的连接，并且通过所述无线通信网络在所述车辆控制装置和所述数据再编程单元之间重新建立连接，从而向所述数据再编程单元询问所述再编程指令是否有效。
8、根据权利要求l所述的车辆控制装置，其中，基于所述再编程指令的发送历史记录是否已经被记录在所述数据再编程单元中，生成从所述数据再编程单元发送的所述应答。
9、根据权利要求l所述的车辆控制装置，还包括再编程禁止单元，其用于在接收到经由除所述无线通信网络之外的其他的无线通信网络发送的再编程禁止指令时，禁止对存储在所述车辆控制装置中的所述数据进行所述再编程。
10、一种车辆控制装置，所述车辆控制装置基于经由无线通信网络发送到所述车辆控制装置中的再编程指令，来对存储在所述车辆控制装置中的数据进行再编程，所述车辆控制装置包括接收单元，其用于接收经由除所述无线通信网络之外的其他的无线通信网络发送的再编程禁止指令；以及禁止单元，其用于根据所述再编程禁止指令来禁止以下任意一项对存储在所述车辆控制装置中的所述数据进行再编程；以及接收经由所述无线通信网络发送的其他再编程指令。
11、根据权利要求io所述的车辆控制装置，其中，经由作为所述其他无线通信网络的以下任意一种网络发送所述再编程禁止指令 FM多路复用广播网络；使用光学信标的红外通信网络；以及使用无线电信标的无线电通信网络。
12、根据权利要求10所述的车辆控制装置，还包括取消单元，其用于在满足第一条件和第二条件中的至少一个条件时，取消对接收所述其他的再编程指令的禁止，所述第一条件是已经经过了预定的时间段，所述第二条件是经由所述无线通信网络和所述其他的无线通信网络中的任意一个网络接收到返回指令。
13、根据权利要求10所述的车辆控制装置，还包括-取消单元，其用于在满足第一条件和第二条件中的至少一个条件时，取消对接收所述其他的再编程指令的禁止，所述第一条件是己经经过了预定的时间段，所述第二条件是经由所述无线通信网络和所述其他的无线通信网络中的任意一个网络接收到返回指令。
14、一种数据再编程系统，其基于经由无线通信网络发送到车辆控制装置中的再编程指令，来对存储在所述车辆控制装置中的数据进行再编程，所述数据再编程系统包括数据再编程单元，其已经被授权对存储在所述车辆控制装置中的所述数据进行再编程；询问单元，其安装在所述车辆控制装置中，并且用于向所述数据再编程单元询问所述再编程指令是否有效；以及判断单元，其安装在所述车辆控制装置中，并且用于接收经由所述无线通信网络从所述数据再编程单元发送的对所述询问的应答，并且基于所接收的应答来判断是允许还是禁止对存储在所述车辆控制装置中的所述数据进行所述再编程。
15、根据权利要求14所述的数据再编程系统，其中，在所述应答表示所述再编程指令有效时，所述判断单元允许对存储在所述车辆控制装置中的所述数据进行所述再编程。
16、根据权利要求14所述的数据再编程系统，其中，在所述应答表示所述再编程指令无效时，所述判断单元禁止对存储在所述车辆控制装置中的所述数据进行所述再编程。
17、根据权利要求14所述的数据再编程系统，还包括接收禁止单元，其安装在所述车辆控制装置中，并且用于在接收到所述应答后，在所述应答表示所述再编程指令无效时，禁止接收其他的再编程指令。
18、根据权利要求14所述的数据再编程系统，其中，所述数据再编程单元包括控制中心和授权的再编程站点，所述授权的再编程站点用于在所述控制中心的控制下发送所述再编程指令，并且所述询问单元用于向所述授权的再编程站点询问所述再编程指令是否有效。
19、根据权利要求14所述的数据再编程系统，其中，所述数据再编程单元包括控制中心和授权的再编程站点，所述授权的再编程站点用于在所述控制中心的控制下发送所述再编程指令，并且所述询问单元用于向所述控制中心询问所述再编程指令是否有效。
20、根据权利要求14所述的数据再编程系统，还包括接收单元，其安装在所述车辆控制装置中，并且用于通过所述无线通信网络在所述车辆控制装置和所述再编程指令的发送器之间建立连接，并且接收所述再编程指令，其中，所述询问单元用于中断所建立的连接，并且通过所述无线通信网络在所述车辆控制装置和所述数据再编程单元之间重新建立连接，从而向所述数据再编程单元询问所述再编程指令是否有效。
21、根据权利要求14所述的数据再编程系统，其中，基于所述再编程指令的发送历史记录是否已经被记录在所述数据再编程单元中，所述数据再编程单元生成所述应答。
22、根据权利要求14所述的数据再编程系统，还包括再编程禁止单元，其安装在所述车辆控制装置中，并且用于在接收到经由除所述无线通信网络之外的其他的无线通信网络发送的再编程禁止指令时，禁止对存储在所述车辆控制装置中的所述数据进行所述再编程。
23、根据权利要求17所述的数据再编程系统，还包括取消单元，其用于在满足第一条件和第二条件中的至少一个条件时，取消对接收所述其他的再编程指令的禁止，所述第一条件是已经经过了预定的时间段，所述第二条件是经由所述无线通信网络和所述其他的无线通信网络中的任意一个网络接收到返回指令。
24、根据权利要求17所述的数据再编程系统，还包括取消单元，响应于其中预先安装有所述车辆控制装置的车辆的驾驶员所输入的返回指令，所述取消单元取消对接收所述其他的再编程指令的禁止。
25、一种数据再编程系统，其基于经由无线通信网络发送到车辆控制装置中的再编程指令，来对存储在所述车辆控制装置中的数据迸行再编程，所述数据再编程系统包括数据再编程单元，其已经被授权对存储在所述车辆控制装置中的所述数据进行再编程；以及接收单元，其安装在所述车辆控制装置中，并且用于接收经由除所述无线通信网络之外的其他的无线通信网络从所述数据再编程单元发送的再编程禁止指令，所述再编程禁止指令表示禁止以下任意一项对存储在所述车辆控制装置中的所述数据进行再编程；以及接收经由所述无线通信网络发送的其他的再编程指令。
26、根据权利要求25所述的数据再编程系统，其中，经由作为所述其他无线通信网络的以下任意一种网络发送所述再编程禁止指令 FM多路复用广播网络；使用光学信标的红外通信网络；以及使用无线电信标的无线电通信网络。
27、根据权利要求25所述的数据再编程系统，还包括禁止单元，其用于根据所述再编程禁止指令来禁止以下任意一项-对存储在所述车辆控制装置中的所述数据进行再编程；以及接收经由所述无线通信网络发送的其他再编程指令。
28、根据权利要求25所述的数据再编程系统，还包括取消单元，其用于在满足第一条件和第二条件中的至少一个条件时，取消对接收所述其他的再编程指令的禁止，所述第一条件是己经经过了预定的时间段，所述第二条件是经由所述无线通信网络和所述其他的无线通信网络中的任意一个网络接收到返回指令。
29、根据权利要求25所述的数据再编程系统，还包括取消单元，响应于其中预先安装有所述车辆控制装置的车辆的驾驶员所输入的返回指令，所述取消单元取消对接收所述其他的再编程指令的禁止。
全文摘要
在车辆控制装置中，提供了询问单元，其中该车辆控制装置基于经由无线通信网络发送到其的再编程指令来对存储在其中的数据进行再编程。询问单元向数据再编程单元询问所述再编程指令是否有效。数据再编程单元已经被授权对存储在车辆控制装置中的数据进行再编程。在车辆控制装置中，提供了判断单元。该判断单元接收经由无线通信网络从数据再编程单元发送而来的对所述询问的应答，并且基于所接收的应答来判断是允许还是禁止对存储在车辆控制装置中的数据进行再编程。
文档编号H04L12/28GK101303572SQ20081009700
公开日2008年11月12日申请日期2008年5月7日优先权日2007年5月7日
发明者伴好典申请人:株式会社电装

完整全部详细技术资料下载

该技术已申请专利。仅供学习研究，如用于商业用途，请联系技术所有人。
技术研发人员：伴好典
技术所有人：株式会社电装
我是此专利的发明人

该领域下的技术专家
如您需求助技术专家，请点此查看客服电话进行咨询。
1、王老师：1.数字信号处理 2.传感器技术及应用 3.机电一体化产品开发 4.机械工程测试技术 5.逆向工程技术研究
2、王老师：1.机器人 2.嵌入式控制系统开发
3、孙老师：1.振动信号时频分析理论与测试系统设计 2.汽车检测系统设计 3.汽车电子控制系统设计
4、毕老师：机构动力学与控制
5、袁老师：1.计算机视觉 2.无线网络及物联网
如您是高校老师，可以点此联系我们加入专家库。