车辆控制系统以及应用执行装置

技术领域

本发明涉及控制应用执行装置的动作的车辆控制系统以及该车辆控制系统中使用的应用执行装置，所述应用执行装置搭载于车辆，通过执行应用程序而发挥各种功能。本发明尤其涉及如下的车辆控制系统以及该车辆控制系统中使用的应用执行装置：在多个利用者利用的车辆中，能够根据当前的利用者来限制通过应用执行装置执行特定的应用而提供的功能的一部分。

背景技术

以往，已知有根据多个利用者中的各个利用者而存储并使用各利用者的个人设定的导航装置(例如，参照专利文献1)。在该导航装置中，各个利用者拥有具备固有的密钥码的密钥，在使用导航装置时，从该密钥向导航装置发送密钥码。导航装置在自身的存储装置中未存储有接收到的密钥码时，存储该接收到的密钥码，并且，在存储装置内确保与该密钥码对应起来的独立存储区域，将该利用者设定于导航装置中的内容保存在独立存储区域中。另一方面，在从上述密钥接收到的密钥码已经存储在存储装置中时，导航装置参照保存在与该密钥码对应起来的独立存储区域内的设定内容，使用该设定对该利用者提供各种功能。

但是，在多个利用者利用车辆的情况下，搭载于该车辆、通过执行应用程序而向利用者提供各种功能的应用执行装置、即所谓的显示屏音响、连接音响等也可能被多个利用者利用。在这样的应用执行装置中，由于还会执行例如乐曲和动画的付费下载等伴随收费的应用，因此，有可能会对该车辆的所有者本人进行朋友所执行的收费应用的利用支付请求。

因此，关于这样的应用执行装置的利用，希望根据车辆的利用者来限制所执行的应用的功能。然而，如果像上述现有技术那样伴随利用者的变更而需要密钥操作等特别的操作，则还可能会发生有可能蒙受不利影响的所有者必须对替换后的利用者指示其不要忘记该操作的事态。因此，希望在如上所述的应用执行装置的利用中，自动地识别利用者的替换，限制伴随收费的应用等的执行(因此，该应用所提供的功能)。

在先技术文献

专利文献

专利文献1：日本特开2006-178643号公报

发明内容

发明要解决的课题

本发明是鉴于上述背景而完成的，其目的在于，在多个利用者利用的车辆中，不需要由利用者进行特别的操作，并且不会增大车载装置的处理负荷，能够根据当前的利用者来限制该车辆所具备的应用执行装置通过执行应用而提供的功能。

用于解决课题的手段

本发明的一个方式是一种车辆控制系统，所述车辆控制系统具备：处理装置，其设置于能够使用多个电子钥匙中的每一个来利用的车辆中；应用部，其通过所述处理装置执行应用程序来实现；功能限制判断部，其根据所述车辆中使用的所述电子钥匙的钥匙码来判断是否进行所述应用部的功能限制；以及功能限制应用部，其对所述应用部指示应用所述功能限制判断部中的判断结果。所述功能限制判断部在从所述车辆的利用开始到利用结束为止的期间中的所述多个电子钥匙中的任意电子钥匙被使用的多个规定的时机，根据该所使用的电子钥匙的钥匙码来判断是否进行所述应用部的功能限制，所述功能限制应用部在所述应用部启动时以及该启动之后，从所述功能限制判断部接收到所述判断结果的通知时，对所述应用部指示应用所述功能限制判断部中的判断结果。

根据本发明的另一方式，所述应用部在该应用部启动时，向所述功能限制应用部发送如下的通知请求，该通知请求指示：在该应用部启动后，当所述功能限制应用部从所述功能限制判断部接到所述判断结果的通知时，向自己发送应用该判断结果的指示。

根据本发明的另一方式，所述功能限制判断部根据所述车辆中使用的所述电子钥匙的持有者是包括所述车辆的所有者或与该所有者具有规定的关系的人在内的特定使用者、还是特定使用者以外的非特定使用者，来判断是否进行所述应用部的功能限制。

根据本发明的另一方式，至少一个所述电子钥匙的所述钥匙码包含表示该电子钥匙的持有者是所述特定使用者还是所述非特定使用者的信息。

根据本发明的另一方式，所述规定的时机包括使用所述多个电子钥匙中的任意电子钥匙将所述车辆的门开锁的时候。

根据本发明的另一方式，所述规定的时机包括所述多个电子钥匙中的任意电子钥匙被用于所述车辆的起动的时候。

根据本发明的另一方式，所述功能限制应用部计测所述车辆起动之后的经过时间，当在所述经过时间经过规定的时间之前未从所述功能限制判断部接收到判断结果时，对所述应用部指示应用在所述车辆起动之前接收到的所述功能限制判断部的判断结果。

根据本发明的另一方式，由所述功能限制应用部指示应用所述功能限制判断部的所述判断结果的所述应用部包含：可能产生费用的内容；或者与包括所述车辆的所有者或与该所有者具有规定的关系的人在内的特定使用者的个人信息有关的内容。

根据本发明的另一方式，所述功能限制应用部构成所述处理装置所执行的操作系统的一部分，或者构成介于所述操作系统与所述应用部之间的中间件，或者构成在所述操作系统上执行的后台应用。

本发明的另一方式是一种应用执行装置，所述应用执行装置具备构成上述任意的车辆控制系统的所述处理装置和所述功能限制应用部。

发明效果

根据本发明，在多个利用者利用的车辆中，不需要由利用者进行特别的操作，并且不会增大车载装置的处理负荷，能够根据当前的利用者来限制该车辆所具备的应用执行装置所提供的功能。

附图说明

图1是示出本发明的一个实施方式的车辆控制系统的结构的图。

图2是示出图1所示的车辆控制系统中的利用管理服务器的结构的图。

图3是示出图1所示的车辆控制系统中的车载系统的结构的图。

图4是示出图2所示的利用管理服务器所保持的电子钥匙数据库的一例的图。

图5是示出图3所示的通信控制部中的涉及应用功能限制的处理的步骤的流程图。

图6是示出图5所示的流程图中的功能限制判断处理的步骤的流程图。

图7是示出图3所示的应用执行装置的功能限制应用部中的、涉及应用功能限制的处理的步骤的流程图。

图8是示出图3所示的应用执行装置的应用部中的、涉及应用功能限制的处理的步骤的流程图。

图9是示出图1所示的车辆控制系统中的动作的第1例的序列图。

图10是示出图1所示的车辆控制系统中的动作的第2例的序列图。

具体实施方式

以下，参照附图对本发明的实施方式进行说明。

[1.车辆控制系统100的结构]

图1是示出本发明的车辆控制系统100的结构的图。该车辆控制系统100(以下也简称为系统100)由车辆102和利用管理服务器106构成，所述利用管理服务器106经由网络104与车辆102可通信地连接。在本实施方式中，车辆102例如是电动车辆。此外，在本实施方式中，网络104例如是经由公共线路等连接的因特网。

在本实施方式中，车辆102的利用者被分类为特定使用者和非特定使用者。这里，特定使用者包括车辆102的所有者130、以及与该所有者130具有规定的关系的人，非特定使用者是指特定使用者以外的人。上述规定的关系例如是指具有家属关系、具有亲缘关系、是车辆102的共同购买者等，但不限于此。上述规定的关系例如可以由车辆102的所有者130定义，也可以将属于相同公司或俱乐部等规定团体等作为规定的关系。

在本实施方式中，车辆102由作为特定使用者的所有者130、作为所有者130的家属的家属利用者132、以及客人利用者134、136利用。此外，在本实施方式中，家属利用者132是特定使用者。此外，客人利用者134、136例如是从所有者130借用车辆102来使用的非特定使用者。另外，利用车辆102的人全部是“利用者”，“利用者”也可以包括所有者130。因此，在本实施方式中，只要没有特别说明，说到“利用者”时，也包括所有者130。

利用管理服务器106在车辆102的所有者130的批准下，对所有者130以外的利用者生成包含表示该利用者是特定使用者还是非特定使用者的区别的利用者属性信息的固有的电子钥匙，并发送给该利用者的便携式终端。另外，所有者130以外的利用者是特定使用者还是非特定使用者，可以由所有者130指示利用管理服务器106、或者利用管理服务器106根据所有者130提供的信息进行判断。

由此，车辆102除了由所有者130使用FOB密钥160所存储的电子钥匙150来利用之外，还由家属利用者132、客人利用者134、136分别使用利用管理服务器106发行并发送给便携式终端142、144、146的电子钥匙152、154、156来利用。

以下，“电子钥匙”以及“钥匙码”同义地使用，尤其是在明示地表示作为电子钥匙的实体的钥匙码的情况下，与用语“电子钥匙”一起或者单独使用用语“钥匙码”。此外，在本实施方式中，只要没有特别说明，“电子钥匙”除了指利用管理服务器106发行的电子钥匙之外，还意味着所有者130拥有的FOB密钥160的钥匙码150。

车辆102具备车载系统120。车载系统120具备通过执行应用程序而向利用者提供各种功能的应用执行装置300(后述)。该应用执行装置300例如是具备语音再现功能等的所谓的显示屏音响装置(Display Audio)。在本实施方式的系统100中，尤其对作为非特定使用者的利用者限制执行车辆102的车载系统120所具备的应用执行装置300中的一部分应用(即，进行应用功能限制)。

车辆102的车载系统120在从车辆102的利用开始到利用结束的期间，在使用任意电子钥匙的多个规定的时机，根据该所使用的电子钥匙的钥匙码包含的利用者属性信息来进行应用执行装置300上的应用功能限制。这里，车辆102的利用开始是指用于车辆起动的车辆起动开关310(后述)处于断开状态、并且乘员谁都没有乘车的车辆102的门被开锁的时候，车辆102的利用结束是指车辆起动开关310处于断开状态、并且乘员谁都没有乘车的车辆的门被上锁的时候。

在本实施方式中，上述规定的时机尤其是包含利用任意利用者的电子钥匙将车辆102的门开锁的时候、以及利用任意利用者的电子钥匙使车辆102起动的时候。这里，使车辆102起动是指使电力供给系统312的动作启动，其中，所述电力供给系统312向驱动作为电动车辆的车辆102的车轮的驱动马达(未图示)供给电力。

[2.利用管理服务器106的结构]

图2是示出利用管理服务器106的结构的图。利用管理服务器106具备处理装置200、存储装置202、通信装置204。存储装置202例如由硬盘装置构成，存储利用者DB(DataBase：数据库)250。通信装置204是用于将处理装置200与网络104连接的、进行有线通信和/或无线通信的收发机。

处理装置200例如是具备CPU(Central Processing Unit：中央处理单元)等处理器的计算机。处理装置200也可以是具有写入有程序的ROM(Read Only Memory：只读存储器)、用于临时存储数据的RAM(Random Access Memory：随机存取存储器)等的结构。并且，处理装置200具备利用者管理部220和电子钥匙发行部222作为功能要素或功能单元。

处理装置200所具备的这些功能要素例如通过作为计算机的处理装置200执行程序来实现。另外，上述计算机程序能够预先存储在计算机可读取的任意的存储介质中。取而代之，也可以由分别包含一个以上的电子电路部件的硬件构成处理装置200所具备的上述功能要素的全部或一部分。

[2.1利用者管理部220]

利用者管理部220经由通信装置204，从希望利用车辆102的希望利用者的便携式终端接收请求发行车辆102的利用中使用的电子钥匙的电子钥匙发行请求。该电子钥匙发行请求包含该希望利用者的姓名等和用于利用管理服务器106访问该希望利用者的便携式终端的利用者终端信息。利用者管理部220响应于接收到电子钥匙发行请求的情况，向所有者130的便携式终端140发送包含希望利用者的姓名等的利用者登记批准请求。这里，希望利用者例如可以经由访问利用管理服务器106提供的Web站点的浏览器，将电子钥匙发行请求与确定自己的姓名等信息一起发送给利用管理服务器106。

当所有者130针对接收到的利用者登记批准请求批准该希望利用者利用车辆102时，从便携式终端140向利用管理服务器106发送表示批准的意思的批准响应。这时，所有者130将表示该希望利用者和所有者130之间的关系的关系信息(例如“家属”、“亲戚”、“团体A同事”、“朋友”、“其他”等)输入到便携式终端140。由此，包含所有者130输入的上述关系信息的批准响应被发送给利用管理服务器106。

当利用者管理部220从所有者130的便携式终端140接收到批准的意思的批准响应时，根据上述批准响应中包含的上述关系信息，对该希望利用者设定“特定使用者”或“非特定使用者”的利用者属性。这里，利用者管理部220能够依照预定的规则从上述关系信息中确定利用者属性。此外，利用者管理部220生成该希望利用者固有的利用者ID和固有的电子钥匙基本信息。这里，电子钥匙基本信息包含车辆102进行该电子钥匙的认证时使用的认证信息。

然后，利用者管理部220将上述所生成的利用者ID、电子钥匙基本信息、上述所设定的利用者属性以及上述接收到的电子钥匙发行请求中包含的利用者终端信息关联起来存储到存储装置202所保持的利用者DB 250中。由此，利用者管理部220将该利用者登记到利用者DB 250中。

此外，利用者管理部220将存储在利用者DB 250中的电子钥匙基本信息定期地发送给车辆102。

[2.2利用者DB 250]

图4是示出利用者管理部220创建的利用者DB 250的一例的图。在图示的例子中，利用者DB 250以表形式构成，从图示左侧的列起依次包含利用者ID、电子钥匙基本信息、关系信息、利用者属性和利用者终端信息。此外，在图示的表的第2行以后的各行中，记述有除所有者130外的各个利用者的信息。在图示的表的第2行至第4行，分别示出了例如关于家属利用者132、客人利用者134、136的利用者ID、电子钥匙基本信息、关系信息、利用者属性以及利用者终端信息。

另外，取代如上所述输入关系信息，所有者130也可以针对从利用管理服务器106接收到的利用者登记批准请求所示的希望利用者，直接将“特定使用者”或者“非特定使用者”的区别输入到便携式终端140。该情况下，利用者管理部220接收所有者130输入的“特定使用者”或“非特定使用者”的区别以及上述批准响应，可以依照该区别来设定关于该希望利用者的利用者属性。

[2.3电子钥匙发行部222]

电子钥匙发行部222响应于利用者管理部220在利用者DB 250中进行了所有者130以外的利用者的登记的情况，对所登记的利用者发行电子钥匙。具体而言，电子钥匙发行部222参照利用者DB 250，取得所登记的利用者的电子钥匙基本信息、利用者属性、利用者终端信息。然后，电子钥匙发行部222生成包含上述所取得的电子钥匙基本信息和利用者属性的信息的电子钥匙，并使用上述所取得的利用者终端信息将所生成的电子钥匙发送给该利用者的便携式终端。

[3.车载系统120的结构]

图3是示出车辆102的车载系统120的结构的图。车载系统120具备执行各种应用程序的应用执行装置300。在本实施方式中，应用执行装置300例如是同时具有语音再现功能、图像再现功能的所谓的显示屏音响(DA、Display Audio)。

此外，车载系统120具备作为电子控制装置(ECU、Electronic Control Unit)的车辆控制部302、通信控制部304以及遥测控制单元(TCU、Telemetry Control Unit)306。这些应用执行装置300、车辆控制部302、通信控制部304以及TCU 306经由车载网络总线308彼此可通信地连接。这里，车载网络总线308例如是依照CAN(Controller Area Network：控制器局域网)通信标准的CAN总线。

[3.1车辆控制部302]

车辆控制部302与FOB密钥160进行通信以检测该FOB密钥160的存在。此外，车辆控制部302检测车辆起动开关310的操作，控制向车辆102的驱动马达(未图示)等供给电力的电力供给系统312的接通/断开。此外，车辆控制部302控制进行车辆102的门的上锁/开锁的门锁机构314的动作。

具体而言，车辆控制部302具备处理装置320、无线装置322和通信装置323。无线装置322是与FOB密钥160进行近距离无线通信的收发机。此外，通信装置323例如是如下的CAN收发器：例如用于经由作为CAN总线的车载网络总线308与通信控制部304等其他装置进行通信。处理装置320例如是具备CPU等处理器的计算机。处理装置320也可以是具有写入有程序的ROM、用于临时存储数据的RAM等的结构。并且，处理装置320具备起动操作检测部324、FOB通信部326、电源控制部328以及门锁控制部330作为功能要素或功能单元。

处理装置320所具备的这些功能要素例如通过作为计算机的处理装置320执行程序来实现。另外，上述计算机程序能够预先存储在计算机可读取的任意的存储介质中。取而代之，也可以由分别包含一个以上的电子电路部件的硬件构成处理装置320所具备的上述功能要素的全部或一部分。

[3.1.1起动操作检测部324]

起动操作检测部324在检测出车辆起动开关310被接通的情况时，向FOB通信部326发送FOB密钥检测请求。然后，起动操作检测部324在从FOB通信部326接收到表示检测出FOB密钥160的FOB检测通知时，向电源控制部328发送车辆起动请求。然后，起动操作检测部324当从电源控制部328接收到电源接通通知时，将不包含钥匙码的车辆起动通知发送给通信控制部304。

另一方面，当从FOB通信部326接收到表示未检测出FOB密钥160的FOB未检测通知时，起动操作检测部324向通信控制部304发送电子钥匙认证请求。在未检测出FOB的情况下向通信控制部304发送电子钥匙认证请求是因为无线装置322仅能够与FOB密钥160进行通信而不能与便携式终端142等进行通信。起动操作检测部324通过向通信控制部304发送电子钥匙认证请求，将附近存在的便携式终端所具有的钥匙码的认证委托给通信控制部304。

如后所述，当存在由于存在于附近而建立了配对的便携式终端，并且基于从该便携式终端取得的钥匙码中包含的电子钥匙基本信息的认证合格时，通信控制部304回复表示电子钥匙认证合格的意思的电子钥匙认证结果通知。当从通信控制部304接收到电子钥匙认证已合格的意思的电子钥匙认证结果通知时，起动操作检测部324向电源控制部328发送车辆起动请求。然后，起动操作检测部324在从电源控制部328接收到电源接通通知时，将包含上述接收到的电子钥匙认证结果通知中包含的钥匙码的车辆起动通知发送给通信控制部304。

此外，起动操作检测部324在检测出车辆起动开关310被断开的情况时，向电源控制部328发送车辆停止请求。之后，在从电源控制部328接收到电源断开通知时，起动操作检测部324向通信控制部304发送车辆停止通知。

[3.1.2FOB通信部326]

FOB通信部326响应于从FOB密钥160接收到包含钥匙码150的门开锁请求的情况，将该门开锁请求中包含的钥匙码150与自己所存储的认证用钥匙码进行核对。然后，FOB通信部326在上述门开锁请求中包含的钥匙码150和所存储的认证用钥匙码一致时，向门锁控制部330发送包含门开锁请求中包含的钥匙码150的门锁解除指示。

此外，FOB通信部326响应于从FOB密钥160接收到包含钥匙码150的门上锁请求的情况，核对该门开锁请求中包含的钥匙码150和自己所存储的认证用钥匙码。然后，FOB通信部326在上述门上锁请求中包含的钥匙码150和所存储的认证用钥匙码一致时，向门锁控制部330发送门锁设定指示。

此外，FOB通信部326响应于从起动操作检测部324接收到FOB密钥检测请求的情况，尝试FOB密钥160的通信。然后，当能够与FOB160进行通信、且从该FOB密钥160取得的钥匙码150与上述认证用钥匙码一致时，FOB通信部326判断为检测出FOB密钥160。

并且，FOB通信部326在检测出FOB密钥160时，向起动操作检测部324发送FOB检测通知。此外，FOB通信部326在未检测出FOB密钥160时，向起动操作检测部324发送FOB未检测通知。

[3.1.3电源控制部328]

电源控制部328在从起动操作检测部324接收到车辆起动请求时，使电力供给系统312的动作启动。由此，电力供给系统312开始向车辆102的驱动马达(未图示)等供给电力，使车辆102起动。此外，电源控制部328在使电力供给系统312的动作启动时，向起动操作检测部324发送电源接通通知。

此外，电源控制部328在从起动操作检测部324接收到车辆停止请求时，在使电力供给系统312的动作停止之后，向起动操作检测部324发送电源断开通知。

[3.1.4门锁控制部330]

门锁控制部330在从FOB通信部326或通信控制部304接收到门锁解除指示时，使门锁机构314进行动作来解除门锁。此外，门锁控制部330在根据来自FOB通信部326的门锁解除指示将门锁解除时，向通信控制部304发送不包含钥匙码的门开锁通知。另一方面，在根据来自通信控制部304的门锁解除指示将门锁解除时，将包含上述接收到的门锁解除指示中包含的钥匙码的门开锁通知发送给通信控制部304。

此外，门锁控制部330在从FOB通信部326或通信控制部304接收到门锁设定指示时，使门锁机构314进行动作来设定门锁(即，将门锁定)。此外，门锁控制部330在设定了门锁时，向通信控制部304发送门上锁通知。

[3.2通信控制部304]

通信控制部304接收并存储利用管理服务器106定期地发送的、除所有者130外的利用者的电子钥匙基本信息。此外，通信控制部304响应于所有者130以外的利用者、例如家属利用者132或客人利用者134、136分别从自己的便携式终端142、144或146接收到门锁解除请求的情况，根据上述定期地接收到的电子钥匙基本信息来认证该门锁解除请求中包含的钥匙码152、154、156。然后，通信控制部304在该认证合格时，指示车辆控制部302解除门锁。此外，通信控制部304响应于从车辆控制部302接收到电子钥匙认证请求的情况，从附近存在的便携式终端取得钥匙码。然后，根据上述接收到的电子钥匙基本信息对该所取得的钥匙码进行认证，将包含该认证的结果的电子钥匙认证结果通知发送给车辆控制部302。

此外，通信控制部304在从车辆控制部302接收到门开锁通知时以及接收到车辆起动通知时，分别根据门开锁通知或车辆起动通知中包含的钥匙码来判断是否进行应用执行装置300中的应用功能限制，将作为该判断的结果的功能限制信息朝向应用执行装置300反复送出至车载网络总线308。

具体而言，通信控制部304具备处理装置340、存储装置342、无线装置344以及通信装置346。存储装置342例如由非易失性存储器构成，存储用于保存利用管理服务器106定期地发送的电子钥匙基本信息的电子钥匙DB 356。无线装置344是用于与存在于车辆102的车厢内或周围的便携式终端进行近距离无线通信的收发机。如果有存在于车辆周边的便携式终端，则无线装置344尝试配对，建立与该便携式终端之间的通信。此外，通信装置346例如是CAN收发器，该CAN收发器例如用于经由作为CAN总线的车载网络总线308与车辆控制部302等其他装置进行通信。处理装置340例如是具备CPU等处理器的计算机。处理装置340也可以是具有写入有程序的ROM、用于临时存储数据的RAM等的结构。并且，处理装置340具备门操作受理部350、电子钥匙认证部352和功能限制判断部354作为功能要素或功能单元。

处理装置340所具备的这些功能要素例如通过作为计算机的处理装置340执行程序来实现。另外，上述计算机程序能够预先存储在计算机可读取的任意的存储介质中。取而代之，也可以由分别包含一个以上的电子电路部件的硬件构成处理装置340所具备的上述功能要素的全部或一部分。

[3.2.1门操作受理部350]

门操作受理部350响应于从存在于车辆102周围的便携式终端142等接收到包含钥匙码152等的门开锁请求的情况，向电子钥匙认证部352发送包含该门开锁请求中包含的钥匙码的电子钥匙认证请求。然后，门操作受理部350在从电子钥匙认证部352接收到电子钥匙认证合格的意思的电子钥匙认证结果通知时，对车辆控制部302发送包含上述门开锁请求中包含的钥匙码的门锁解除指示，使门锁机构314进行动作而解除门锁。

此外，门操作受理部350响应于从存在于车辆102周围的便携式终端142等接收到包含钥匙码152等的门开锁请求的情况，向电子钥匙认证部352发送包含该门开锁请求中包含的钥匙码的电子钥匙认证请求。然后，门操作受理部350在从电子钥匙认证部352接收到电子钥匙认证合格的意思的电子钥匙认证结果通知时，对车辆控制部302发送包含上述门上锁请求中包含的钥匙码的门锁设定指示，使门锁机构314进行动作而将门锁定。

[3.2.2电子钥匙认证部352]

电子钥匙认证部352接收从利用管理服务器106定期地发送的、除所有者130外的利用者的电子钥匙基本信息，保存在存储装置342所存储的电子钥匙DB 356中。

此外，电子钥匙认证部352在从门操作受理部350接收到电子钥匙认证请求时，进行该电子钥匙认证请求中包含的钥匙码的认证。具体而言，电子钥匙认证部352从接收到的电子钥匙认证请求中包含的钥匙码中提取电子钥匙基本信息，判断在保存在存储装置342所存储的电子钥匙DB 356中的电子钥匙基本信息中是否存在与上述提取出的电子钥匙基本信息一致的电子钥匙基本信息。然后，在存在一致的电子钥匙基本信息时，电子钥匙认证部352将表示电子钥匙认证合格的意思的电子钥匙认证结果通知发送给门操作受理部350。另一方面，当在保存在电子钥匙DB 356中的电子钥匙基本信息中没有与上述提取出的电子钥匙基本信息一致的电子钥匙基本信息时，电子钥匙认证部352将表示电子钥匙认证不合格的意思的电子钥匙认证结果通知发送给门操作受理部350。

此外，电子钥匙认证部352在从车辆控制部302接收到电子钥匙认证请求时，尝试从附近存在的便携式终端取得钥匙码。然后，在取得了钥匙码时，进行该钥匙码的认证。具体而言，电子钥匙认证部352从接收到的钥匙码中提取电子钥匙基本信息，判断在保存在存储装置342所存储的电子钥匙DB 356中的电子钥匙基本信息中是否存在与上述提取出的电子钥匙基本信息一致的电子钥匙基本信息。然后，在存在一致的电子钥匙基本信息时，电子钥匙认证部352将包含上述所取得的钥匙码的、电子钥匙认证合格的意思的电子钥匙认证结果通知发送给车辆控制部302。另一方面，当在保存在电子钥匙DB 356中的电子钥匙基本信息中没有与上述提取出的电子钥匙基本信息一致的电子钥匙基本信息时，电子钥匙认证部352将表示电子钥匙认证不合格的意思的电子钥匙认证结果通知发送给车辆控制部302。

[3.2.3功能限制判断部354]

功能限制判断部354在从车辆控制部302接收到车门开锁通知时以及接收到车辆起动通知时，分别根据该接收到的门开锁通知或车辆起动通知来执行功能限制判断处理，判断是否进行应用执行装置300中的应用功能限制。这里，在功能限制判断部354中，关于FOB密钥160的钥匙码150，预先给出了该钥匙码150的持有者是特定使用者的意思的信息(即，钥匙码150的利用者属性是“特定使用者”的意思的信息)。

在功能限制判断处理中，功能限制判断部354首先判断在上述接收到的门开锁通知或车辆起动通知中是否包含有钥匙码。然后，在不包含钥匙码时，识别为涉及这些通知的门开锁或车辆起动中曾使用的钥匙码是FOB密钥160的钥匙码150。然后，功能限制判断部354根据钥匙码150的持有者是特定使用者的意思的上述信息和车辆102中使用的钥匙码曾是钥匙码150的上述识别，生成表示“无功能限制”的功能限制信息。

另一方面，在上述接收到的门开锁通知或车辆起动通知中包含有钥匙码时，功能限制判断部354从上述接收到的门开锁通知或车辆起动通知中包含的钥匙码中提取利用者属性信息。然后，当该提取出的利用者属性信息所示的利用者属性是“特定使用者”时，功能限制判断部354生成表示“无功能限制”的功能限制信息，另一方面，在上述提取出的利用者属性信息所示的利用者属性是“非特定使用者”时，功能限制判断部354生成表示“有功能限制”的功能限制信息。这里，功能限制信息与功能限制判断部354根据车辆102中使用的钥匙码进行的、关于是否进行应用部372a(后述)的功能限制的判断的结果(判断结果)相对应。

如上所述，在本实施方式中，除了该钥匙码是FOB密钥160的钥匙码150的情况之外，通信控制部304的功能限制判断部354根据该钥匙码中包含的利用者属性信息来判断车辆102的门开锁以及车辆起动中使用的钥匙码的持有者是特定使用者还是非特定使用者。

在通过上述功能限制判断处理生成了功能限制信息之后，功能限制判断部354以应用执行装置300为目的地将包含该生成的功能限制信息的功能限制通知反复输出至车载网络总线308。由此，应用执行装置300能够在车辆102的门开锁时以及车辆起动时接收功能限制通知，并分别根据在该门开锁以及车辆起动中使用的钥匙码进行应用功能限制。

另外，当功能限制判断部354从车辆控制部302接收到车辆起动通知时，在执行上述功能限制判断处理之前，以应用执行装置300为目的地，将作为功能限制信息将被更新的意思的通知的更新预告通知输出至车载网络总线308。之后，功能限制判断部354根据上述接收到的车辆起动通知中包含的钥匙码，以该钥匙码为对象来执行上述功能限制判断处理。然后，如上所述，功能限制判断部354以应用执行装置300为目的地，将包含通过上述功能限制判断处理生成的功能限制信息的功能限制通知反复输出至车载网络总线308。

这里，向车载网络总线308进行的功能限制通知的反复输出例如可以通过功能限制判断部354在通信装置346的发送缓冲器(未图示)中以规定的时间间隔写入功能限制通知来进行。例如，在车载网络总线308是依照CAN标准的网络的情况下，功能限制信息与对该功能限制信息预先定义的优先级ID一起被写入到发送缓冲器，在由该优先级ID确定的时机，由通信装置346依次向车载网络总线308送出。

[3.3应用执行装置300]

应用执行装置300自动地、或者根据利用者120等的指示执行各种应用程序，向利用者提供各种功能。此外，应用执行装置300接收通信控制部304输出的功能限制通知，将该接收到的功能限制通知中包含的功能限制信息通知给启动中或执行中的应用。应用在自己是功能限制对象的应用的情况下、且所通知的功能限制信息表示“有功能限制”时，中断该应用的通常处理。

具体而言，应用执行装置300具备显示装置360、操作装置362、处理装置364、存储装置366以及通信装置368。显示装置360例如是液晶显示装置，由处理装置364控制来显示图像和文本。操作装置362例如是设置在显示装置360的显示屏幕上的触摸面板，受理来自利用者的指示、数据等的输入操作，并将该输入操作的信息输出至处理装置364。此外，通信装置368例如是CAN收发器，该CAN收发器例如用于经由作为CAN总线的车载网络总线308与通信控制部304等其他装置进行通信。

存储装置366例如由易失性和/或非易失性的半导体存储器、和/或硬盘装置等构成。存储装置366存储处理装置364所执行的应用程序，并且预先存储、或者在执行该处理中存储处理装置364中的处理所需的数据。

处理装置364例如是具备CPU等处理器的计算机。处理装置364也可以是具有写入有程序的ROM、用于临时存储数据的RAM等的结构。并且，处理装置364具备功能限制应用部370和应用部372a、372b作为功能要素或功能单元。

处理装置364所具备的这些功能要素例如通过作为计算机的处理装置364执行程序来实现。另外，上述计算机程序能够预先存储在计算机可读取的任意的存储介质中。

功能限制应用部370可以通过处理装置364例如执行作为存储在存储装置366中的基本控制程序的操作系统(OS：Operating System)程序而作为该OS的一部分来实现。更具体地说，功能限制应用部370例如能够通过在包含Android(登记商标)等OS所具备的标准API的函数库中附加作为功能限制应用部370发挥功能的专用API来实现。取而代之，功能限制应用部370还能够作为构成介于OS与应用部372a、372b之间的中间件的部分、或者构成在OS上执行的后台应用的部分来实现。

应用部372a、372b是在处理装置364中当前正在执行的所谓的应用，处理装置364例如通过在上述OS上分别执行例如存储在存储装置366中的所对应的应用程序来实现。应用部372a、372b向利用者提供由这些应用程序记述的功能。

由处理装置364执行的应用程序被分类为根据在车辆102中使用的钥匙码的利用者属性而适用功能限制的应用程序(功能限制对象程序)和与钥匙码的利用者属性无关地执行的应用程序(非功能限制对象程序)。在本实施方式中，应用部372a是通过功能限制对象程序实现的功能限制对象应用(以下称为功能限制对象应用)，应用部372b是通过非功能限制对象程序实现的非功能限制对象应用(以下称为非功能限制对象应用)。

这里，功能限制对象应用例如可以设为包含可能产生费用的内容或与特定使用者的个人信息有关的内容的应用。“可能产生费用的内容”是指例如涉及邮购、音乐下载等需要支付报酬的物品和服务的购买的内容。此外，“与个人信息有关的内容”是指例如涉及需要发送个人的住址、姓名、出生年月日、爱好等个人信息的服务的内容。

[3.3.1功能限制应用部370的动作]

例如，当接通应用执行装置300的电源而开始执行时，首先，作为OS的一部分的功能限制应用部370接收从通信控制部304输出至车载网络总线308的功能限制信息，并将其保存在存储装置366中。然后，功能限制应用部370当从应用部372a接收到功能限制信息请求时，将存储在存储装置366中的功能限制信息发送给作为功能限制信息请求的发送源的应用部372a。这里，功能限制应用部370向应用部372a进行的功能限制信息的发送是与如下情况相对应的：对应用部372a进行指示，以使其应用关于是否进行应用部372a的功能限制的功能限制判断部354中的判断结果(即，功能限制信息)。

此外，当功能限制应用部370从应用部372a接收到通知登记请求时，将作为该通知登记请求的发送源的应用部372a登记为之后的功能限制信息的通知目的地(通信对象)。

进而，功能限制应用部370响应于通信控制部304接收到输出至车载网络总线308的更新预告通知的情况，向作为功能限制对象应用的应用部372a发送限制更新预告通知，并且，利用处理装置364所具备的定时器(未图示)开始计测接收到该更新预告通知之后的经过时间t。此外，在经过时间t经过规定时间(例如3秒钟)之前功能限制应用部370接收到通信控制部304输出至车载网络总线308的功能限制通知时，根据该接收到的功能限制通知中包含的功能限制信息而更新存储装置366所存储的功能限制信息。然后，功能限制应用部370将更新后的功能限制信息发送给被登记为该功能限制信息的通知目的地的应用部372a。

另一方面，在经过时间t经过上述规定时间之前未从车载网络总线308接收到功能限制信息时，功能限制应用部370不更新存储装置366所存储的功能限制信息，而将存储装置366当前所存储的功能限制信息发送给被登记为通知目的地的应用部372a。

[3.3.2应用部372a的动作]

作为功能限制对象应用的应用部372a根据经操作装置362发送的来自利用者的指示、或者根据对OS预先给出的指示而被启动。应用部372a当被启动时，对功能限制应用部370发送功能限制信息请求，从功能限制应用部370取得功能限制信息。同时，作为功能限制对象应用的应用部372a向功能限制应用部370发送通知登记请求，请求其将自己登记为之后的功能限制信息的通知目的地(通信对象)。这里，上述通知登记请求与如下的通知请求相对应，该通知请求指示：在应用部372a启动后，当功能限制应用部370从功能限制判断部354接到判断结果的通知(与功能限制通知相对应)时，向自己发送应用该判断结果(即，功能限制信息)的指示。

然后，当作为对功能限制信息请求的响应而从功能限制应用部370接收到的上述功能限制信息表示“有功能限制”时，应用部372a中断用于提供应用部372a本来的功能的通常处理的执行。然后，应用部372a在显示装置360上显示表示功能被限制的意思的“该应用被限制”等功能限制消息。另一方面，当在启动时从功能限制应用部370取得的功能限制信息表示“无功能限制”时，应用部372a继续执行上述通常处理，向利用者提供应用部372a本来的功能。

此外，当应用部372a从功能限制应用部370接收到限制更新预告通知时，在显示装置360上显示“请稍等”等待机消息。这时，应用部372a在正在执行通常处理时，中断该通常处理的执行。

然后，当在接收到更新预告通知之后从功能限制应用部370接收到功能限制信息时，应用部372a响应于该接收到的功能限制信息，进行功能限制消息的显示或通常处理的执行。即，当接收到的功能限制信息表示“有功能限制”时，应用部372a在显示装置360上显示功能限制消息，并且，如果通常处理正在执行，则将其中断，或者，如果通常处理的执行已经中断，则继续中断该执行。另一方面，当接收到的功能限制信息表示“无功能限制”时，如果正在执行通常处理，则应用部372a继续该执行，如果显示了功能限制消息，则应用部372a结束该显示而开始通常处理。

[3.3.3应用部372b的动作]

作为非功能限制对象应用的应用部372b不向功能限制应用部370请求功能限制信息，而是依照现有技术，在该应用部372b启动后立即开始执行OS上的通常处理。

[4.车辆控制系统100的效果]

具有上述结构的车辆控制系统100根据与在车辆102的门开锁和/或车辆起动中使用的电子钥匙相关联的利用者属性来进行车辆102内所具备的应用执行装置300中的应用的功能限制。因此，在系统100中，无需由利用者进行特别的密钥操作，并且，不会导致应用执行装置300、车辆控制部302、通信控制部304等车载装置的处理负荷的增大，能够根据车辆102的当前的利用者来自动地限制应用执行装置300通过应用的执行而向利用者提供的功能。此外，在车辆控制系统100中，根据“特定使用者”以及“非特定使用者”这两个利用者属性来进行应用限制，因此，仅通过设置最小限度的存储装置就能够实现应用限制功能。因此，能够削减由于附加应用限制功能而产生的成本。

一般，在仅使用内燃机驱动车轮的内燃机车辆的情况下，即使在内燃机起动前接通了例如作为显示屏音响的应用执行装置等电气设备的电源的情况下，在内燃机起动时(即，车辆起动时)，为了确保对反冲起动中使用的马达的电力供给，也是在暂时断开这些电气设备的电源之后再接通。因此，在内燃机车辆中，如果仅在应用执行装置的电源被接通时判断车辆利用者的电子钥匙的属性，确定是否需要应用功能限制，则能够进行与车辆利用者相适应的适当的应用限制。

与此相对，在如本实施方式那样车辆102是电动车辆的情况下，一般在开始向车轮驱动用马达供给电力(即，车辆起动)之前接通了电源的应用执行装置300在车辆起动时也维持在电源被接通的状态。因此，如果仅在应用执行装置300的电源被接通时判断车辆利用者的电子钥匙的利用者属性，确定是否需要应用功能限制，则在从车辆门开锁到车辆起动的期间车辆利用者进行替换的情况下，可能会发生无法进行与当前的车辆利用者相适应的适当的应用限制的情况。这样的车辆利用者的替换例如可能会在作为非特定使用者的客人利用者134使用电子钥匙进行车辆102的门开锁之后，所有者130使用FOB密钥160进行车辆起动那样的情况下发生。

与此相对，在车辆控制系统100中，在车辆102的门开锁时以及车辆102的车辆起动时，根据分别在该门开锁以及车辆起动中使用的电子钥匙的利用者属性来判断是否需要应用执行装置300中的应用功能限制。因此，在系统100中，即使在从门开锁至车辆起动的期间车辆102的利用者更换的情况下，也能够进行与当前的利用者相适应的适当的应用功能限制。

此外，在本实施方式的车辆控制系统100中，在从车辆起动后的更新预告通知起经过规定时间之前，功能限制判断部354未从通信控制部304接收到新的功能限制信息的情况下，基于之前接收到的功能限制信息(即，与具有之前所使用的钥匙码的利用者相适应)的应用功能限制的状态会继续。由此，在系统100中，避免了与当前的利用者相适应的应用限制在车辆起动之后延迟地反映出来而引起的利用者的不适感。

这样的功能限制信息的接收延迟例如可能会在如下的情况下发生：在为了应对车辆起动时的某种异常而在车载网络总线308上高频率地产生优先级更高的信息的通信那样的特殊的状况下，在较长的时间内保留优先级较低的功能限制信息的输出。该情况下，作为异常时应对操作，例如，当前的利用者、且是特定使用者的所有者130只要在车辆起动后隔一段时间再重新启动应用部372a，就能够将在之前的门开锁时所设定的应用功能限制的状态解除。这是因为，如上所述，启动后的应用部372a在启动时向功能限制应用部370发送功能限制信息请求，取得新的功能限制信息，根据该所取得的功能限制信息来进行功能限制。

[5.车辆控制系统100中的处理]

接下来，对通信控制部304的功能限制判断部354以及应用执行装置300中的涉及应用功能限制的处理进行说明。

[5.1通信控制部304中的处理]

首先，使用图5所示的流程图对通信控制部304的功能限制判断部354中的涉及应用功能限制的处理进行说明。该处理在通信控制部304的电源被接通时开始，在通信控制部304的电源被断开时结束。通信控制部304例如在车辆102出厂时接通其电源，在车辆102的电力供给系统312的动作未启动的期间也维持电源接通的状态。

在图5中，当开始处理时，首先，通信控制部304的功能限制判断部354判断是否从车辆控制部302接收到包含钥匙码的门开锁通知(S100)。然后，在未从车辆控制部302接收到门开锁通知时(S100，“否”)，返回步骤S100，反复进行处理。另一方面，当从车辆控制部302接收到门开锁通知时(S100，“是”)，功能限制判断部354将接收到的门开锁通知作为“处理对象”而执行功能限制判断处理(S102)。

图6是示出功能限制判断处理的步骤的流程图。在功能限制判断处理中，功能限制判断部354首先判断作为上述处理对象的通知中是否包含有钥匙码(S200)。然后，在不包含钥匙码时(S202，“否”)，判断为使用了具有“特定使用者”的利用者属性的钥匙码150(S202)，生成“无功能限制”的功能限制信息(S204)，结束功能限制判断处理。

另一方面，在步骤S200中，在作为上述处理对象的通知中包含有钥匙码时(S200，“是”)，功能限制判断部354从该钥匙码中提取利用者属性信息，取得利用者属性(S206)。接着，功能限制判断部354判断所取得的利用者属性是否为“非特定使用者”(S208)。然后，在该利用者属性是“非特定使用者”时(S208，“是”)，功能限制判断部354生成表示“有功能限制”的功能限制信息(S210)，结束功能限制判断处理。另一方面，当上述所取得的利用者属性是“特定使用者”时(S208，“否”)，功能限制判断部354使处理转移至步骤S204，生成表示“无功能限制”的功能限制信息，结束处理。

返回图5，在步骤S102中执行功能限制判断处理之后，功能限制判断部354开始向通信装置346输出包含在功能限制判断处理中生成的功能限制信息的功能限制通知(S104)，并向通信装置346反复输出该功能限制通知。例如，该所输出的功能限制通知分别被保存在例如通信装置346的发送缓冲器(未图示)中，在基于对该功能限制通知给出的优先级ID的适当的时机被通信装置346输出至车载网络总线308。

接着，功能限制判断部354判断是否从车辆控制部302接收到包含钥匙码的车辆起动通知(S106)。然后，当从车辆控制部302接收到车辆起动通知时(S106：“是”)，功能限制判断部354向通信装置346输出更新预告通知(S108)。所输出的更新预告通知例如被保存在通信装置346的发送缓冲器中，在适当的时机被通信装置346输出至车载网络总线308。另外，优选将更新预告通知的优先级ID设定为至少与功能限制通知相同或者该程度以上的优先级，以使得即使在车载网络总线308中优先级较高的信息的通信频率变高的情况下，也能够从保存到发送缓冲器之后在规定的时间以内被发送给车载网络总线。

接着，功能限制判断部354将上述接收到的车辆起动通知中包含的钥匙码作为对照，执行图5所示的功能限制判断处理(S110)，开始向通信装置346输出包含通过该功能限制判断处理生成的功能限制信息的功能限制通知(S112)，并反复向通信装置346输出该功能限制通知。该所输出的各个功能限制通知与步骤S110中的功能限制信息的输出同样地例如被保存在通信装置346的发送缓冲器(未图示)中，在基于对该功能限制通知给出的优先级ID的适当的时机被通信装置346输出至车载网络总线308。

由此，根据在车辆102的车辆起动中使用的钥匙码而更新功能限制信息，并将包含更新后的功能限制信息的功能限制通知输出至车载网络总线308。然后，接收到该所输出的功能限制通知的应用执行装置300进行后述的处理，由此进行与当前的利用者相适应的应用功能限制。

接着，功能限制判断部354判断是否从车辆控制部302接收到车辆停止通知(S114)，在未接收到车辆停止通知时(S114：“否”)，返回步骤S114，等待接收到车辆停止通知。

另一方面，当在步骤S114中从车辆控制部302接收到车辆停止通知时(S114，“是”)，功能限制判断部354判断是否从车辆控制部302接收到门上锁通知(S116)。然后，在未从车辆控制部302接收到门上锁通知时(S116：“否”)，门操作受理部350使处理返回步骤S106。

另一方面，当从车辆控制部302接收到门上锁通知时(S116：“是”)，即，当车辆102未起动、并且门被上锁时，功能限制判断部354判断为车辆102的利用已结束，返回步骤S100，等待下一次的车辆利用。

[5.2应用执行装置300中的处理]

接下来，对应用执行装置300中的涉及应用功能限制的处理进行说明。本处理例如由作为OS的一部分实现的功能限制应用部370中的处理和作为功能限制对象应用的应用部372a中的处理构成。

[5.2.1功能限制应用部370中的处理]

首先，依照图7所示的流程图对功能限制应用部370中的涉及应用功能限制的处理进行说明。本处理在应用执行装置300的电源被接通、在处理装置364中OS程序的执行开始时开始，在OS程序的执行结束时结束。另外，在本实施方式中，在应用执行装置300中正在执行的功能限制对象应用仅为应用部372a，因此，功能限制应用部370如下所示仅对应用部372a进行涉及应用功能限制的本处理。但是，在应用执行装置300中可以并行地执行多个功能限制对象应用，该情况下，功能限制应用部370可以针对这些并行地执行的多个功能限制对象应用的每一个执行以下处理。

当开始处理时，首先，功能限制应用部370从车载网络总线308接收通信控制部304所输出的功能限制通知(S300)，并将接收到的功能限制通知中包含的功能限制信息存储在存储装置366中(S302)。接下来，功能限制应用部370判断是否从作为功能限制对象应用的应用部372a接收到功能限制信息请求(S304)。然后，在未从应用部372a接收到功能限制信息请求时(S304：“是”)，功能限制应用部370使处理转移至后述的步骤S312，判断是否接收到通信控制部304所输出的更新预告通知。

另一方面，在从应用部372a接收到功能限制信息请求时(S304，“是”)，功能限制应用部370将存储在存储装置366中的功能限制信息发送给作为功能限制信息请求的发送源的应用部372a(S306)。此外，功能限制应用部370响应于从应用部372a接收到通知登记请求的情况(S308)，将作为该通知登记请求的发送源的应用部372a作为之后的功能限制信息的通知对象存储并登记到存储装置366中(S310)。

接下来，功能限制应用部370判断是否从车载网络总线308接收到通信控制部304所输出的更新预告通知(S312)。然后，当接收到更新预告通知时(S312：“是”)，开始计测接收到该更新预告通知之后的经过时间t(S314)，并且对在步骤S310中作为通知对象而登记的应用部372a发送限制更新预告通知(S316)。

接着，功能限制应用部370判断是否从车载网络总线308接收到通信控制部304所输出的功能限制通知(S318)。然后，当接收到功能限制通知时(S318，“是”)，功能限制应用部370根据接收到的功能限制通知中包含的功能限制信息，更新存储在存储装置366中的功能限制信息(S320)。

接着，功能限制应用部370对在步骤S310中作为通知对象而登记的应用部372a发送更新后的功能限制信息之后(S322)，返回步骤S300，反复进行处理。

另一方面，当在步骤S318中未接收到功能限制信息时(S318，“否”)，功能限制应用部370判断经过时间t是否超过了规定时间(S324)。然后，当经过时间t未超过规定时间时(S324，“否”)，功能限制应用部370返回步骤S318，等待功能限制信息的接收。另一方面，当经过时间t超过规定时间时(S324，“是”)，功能限制应用部370不更新存储装置366所存储的功能限制信息，而是将存储装置366当前所存储的功能限制信息发送给作为通知对象而登记的应用部372a之后(S326)，返回步骤S300，反复进行处理。

[5.2.2应用部372a中的处理]

接下来，依照图8所示的流程图对作为功能限制对象应用的应用部372a中的涉及应用功能限制的处理进行说明。在本处理中，例如在通过利用者对应用执行装置300的操作装置362的操作、或者根据对应用执行装置300的处理装置364执行的OS程序预先给出的指示而启动了作为功能限制对象应用的应用部372a时，在该应用部372a中开始动作。另外，在应用执行装置300中作为功能限制对象应用的多个应用部分别并行地被执行的情况下，在这些被并行地执行的应用部中分别执行本处理。

当开始处理时，应用部372a向功能限制应用部370发送功能限制信息请求(S400)，并且向功能限制应用部370发送通知登记请求(S402)。接着，应用部372a判断是否接收到作为对功能限制信息请求的响应而由功能限制应用部370发送的功能限制信息(S404)。然后，当未接收到功能限制信息时，应用部372a返回步骤S404，等待功能限制信息的接收。

另一方面，当接收到功能限制信息时(S404，“是”)，应用部372a判断接收到的功能限制信息是否表示“有功能限制”(S406)。然后，当接收到的功能限制信息表示“有功能限制”时(S406，“是”)，应用部372a在显示装置360上显示功能限制消息(S408)，并且中断功能限制消息的显示以外的、用于提供应用部372a本来的功能的通常处理的执行(S410)。

之后，应用部372a判断是否接收到限制更新预告通知(S412)，在未接收到限制更新预告通知时，返回步骤S412，等待接收限制更新预告通知。另一方面，当接收到限制更新预告通知时(S412：“是”)，应用部372a在显示装置360上显示待机消息之后(S414)，返回步骤S404，等待接收功能限制信息。

此外，另一方面，在步骤S406中，当所取得的功能限制信息表示“无功能限制”时(S406：“否”)，应用部372a在开始通常处理的执行之后(S416)，使处理转移至步骤S412，等待限制更新预告通知的接收。

[6.车辆控制系统100的动作例]

接下来，作为车辆控制系统100的动作的例子，对进行了车辆102的门开锁的利用者和进行了车辆起动的利用者不同的情况的两个例子进行说明。

[6.1第1例]

使用图9所示的序列图对车辆控制系统100的第1动作的例子进行说明。在该例子中，首先，在图4所示的利用者DB 250中被给出了Pt-3的利用者ID的客人利用者134使用便携式终端144所存储的钥匙码154(“VK003”)对车辆102的门进行开锁。然后，在客人利用者134接通应用执行装置300的电源，启动了作为功能限制对象应用的应用部372a之后，作为特定使用者的所有者130使用FOB密钥160进行车辆起动。

在图9中，作为对象，示出了车辆控制部302、客人利用者134的便携式终端144、通信控制部304、应用执行装置300的功能限制应用部370、以及作为功能限制对象应用的应用部372a。车辆控制部302以及通信控制部304的电源已经接通。

首先，当客人利用者134站在车辆102的门前从便携式终端144发送门开锁请求时(S500)，通信控制部304通过电子钥匙认证部352确认门开锁请求中包含的钥匙码154已被登记(S502)，并通过门操作受理部350向车辆控制部302发送门锁解除指示(S504)。

车辆控制部302通过门锁控制部330对门进行开锁(S506)，并向通信控制部304发送门开锁通知(S508)。通信控制部304将该门开锁通知作为对象，通过功能限制判断部354进行功能限制判断(S510)。功能限制判断部354根据该门开锁通知中包含的钥匙码154的利用者属性信息确定利用者属性是“非特定使用者”，生成表示“有功能限制”的功能限制信息。

接着，通信控制部304的功能限制判断部354向通信装置346反复输出包含上述所生成的功能限制信息的功能限制通知。由此，通过通信装置346将该功能限制通知输出至车载网络总线308(S512)。另外，图示虚线示出反复输出功能限制通知的情况。

之后，当应用执行装置300的电源被接通时(S514)，该应用执行装置300的功能限制应用部370开始动作。在该动作开始后，功能限制应用部370接收通信控制部304向车载网络总线308反复输出的功能限制通知，并将接收到的功能限制通知中包含的功能限制信息存储在存储装置366中(S516)。

进而，之后，例如通过客人利用者134对应用执行装置300的操作装置362给出应用部372a的启动指示(S518)，来启动作为功能限制对象应用的应用部372a(S520)。启动后的应用部372a将功能限制信息请求发送给功能限制应用部370(S522)，功能限制应用部370将存储在存储装置366中的功能限制信息发送给应用部372a(S524)。此外，应用部372a向功能限制应用部370发送通知登记请求，所述通知登记请求请求将自己登记为之后被更新的功能限制信息的通知对象(S526)，功能限制应用部370将应用部372a登记为通知对象(S528)。

接着，应用部372a响应于接收到在序列S524中发送的表示“有功能限制”的功能限制信息的情况，在显示装置360上显示功能限制消息(S530)，中断通常处理的执行(S532)。

之后，当所有者130拿着FOB密钥160进入车辆102，接通车辆起动开关310时(S534)，车辆控制部302的起动操作检测部324进行FOB密钥160的搜索，检测FOB密钥160(S536)。由此，车辆控制部302的电源控制部328接通电力供给系统312而开始电力供给(S538)，起动操作检测部324向通信控制部304发送车辆起动通知(S540)。

通信控制部304的功能限制判断部354响应于接收到车辆起动通知的情况，向应用执行装置300发送更新预告通知(S542)，并且将上述接收到的车辆起动通知作为对象而开始功能限制判断处理(S544)。应用执行装置300的功能限制应用部370响应于从通信控制部304接收到更新预告通知的情况，向在序列S530中作为通知对象而登记的应用部372a发送限制更新预告通知(S546)，并且开始计测接收到更新预告通知后的经过时间t(S548)。应用部372a响应于接收到限制更新预告通知的情况，在显示装置360上显示待机消息来代替功能限制消息(S550)。

然后，在经过时间t经过规定时间之前，通信控制部304通过功能限制判断部354向车载网络总线308送出包含新的功能限制信息的功能限制通知(S552)，并且功能限制应用部370在接收到该通知时，功能限制应用部370根据该功能限制通知中包含的功能限制信息，更新存储装置366所存储的功能限制信息(S554)。然后，将更新后的功能限制信息发送给在序列S530中作为通知对象而登记的应用部372a(S556)。

这里，由于在序列S540中发送的车辆起动通知中不包含钥匙码，因此，在序列S544的功能限制判断中，判断为该车辆起动是通过FOB密钥160来进行的，根据FOB密钥160所具有的钥匙码150的利用者属性是“特定使用者”这一预先给出的信息，生成表示“无功能限制”的功能限制信息。因此，在序列S554中，根据该表示“无功能限制”的功能限制信息而更新存储装置366所存储的功能限制信息。

应用部372a响应于接收到更新后的上述功能限制信息、即表示“无功能限制”的功能限制信息的情况，删除显示在显示装置360上的待机消息(S558)，并且开始通常处理(S560)。

另一方面，在因车载网络总线308的负荷状况等原因而在经过时间t经过规定时间之前未从通信控制部304接收到功能限制通知时，功能限制应用部370将存储在存储装置366中的以前的功能限制信息、即表示“有功能限制”的功能限制信息发送给在序列S530中作为通知对象而登记的应用部372a(S562)。应用部372a响应于接收到该功能限制信息的情况，在显示装置360上显示功能限制消息来代替待机消息，继续中断通常处理(S564)。

根据上述序列，在从客人利用者134进行门开锁起至车辆起动的期间，对于该期间中的作为车辆102的利用者的客人利用者134，限制其执行应用执行装置300中的应用部372a。此外，之后，在所有者130进行了车辆起动之后，对于之后的作为车辆102的利用者的所有者130，不对其执行应用执行装置300中的应用部372a加以限制。此外，即使在所有者130进行了车辆起动之后，在因车载网络总线308的负荷状况等原因而导致功能限制判断部354对应用部372a应用功能限制判断延迟超过规定时间的情况下，也不变更应用执行装置300中的应用功能限制的状态，从而避免了给作为当前的利用者的所有者130带来该延迟引起的不适感的情况。

[6.2第2例]

接下来，使用图10所示的序列图对进行了车辆102的门开锁的利用者和进行了车辆102的车辆起动的利用者不同的情况下的车辆控制系统100的动作的第2例进行说明。

在该例子中，首先，作为特定使用者的所有者130利用FOB密钥160，使用该FOB密钥160的钥匙码150对车辆102的门进行开锁之后，接通应用执行装置300的电源，启动作为功能限制对象应用的应用部372a。所有者130在图4所示的利用者DB 250中被给出了Pt-3的利用者ID的客人利用者134乘车之后，从车辆102下车。之后，客人利用者134使用便携式终端144所存储的钥匙码154“VK002”进行车辆起动。

在图10中，与图9同样，作为对象，示出了车辆控制部302、客人利用者134的便携式终端144、通信控制部304、应用执行装置300的功能限制应用部370、以及作为功能限制对象应用的应用部372a。车辆控制部302以及通信控制部304的电源已经接通。

当所有者130站在车辆102的门前，从FOB密钥160朝向车辆102发送门开锁请求时(S600)，车辆控制部302的FOB通信部326通过将接收到的门开锁请求中包含的FOB密钥160的钥匙码150与自己所存储的认证用钥匙码进行核对而判断为有效。然后，FOB通信部326指示门锁控制部330对门进行开锁(S602)。然后，车辆控制部302的门锁控制部330向通信控制部304发送不包含钥匙码的门开锁通知(S604)。

接收到门开锁通知的通信控制部304将该门开锁通知作为对象，通过功能限制判断部354来进行功能限制判断(S606)。由于该门开锁通知不包含钥匙码，因此，功能限制判断部354识别为该门开锁所使用的钥匙码是FOB密钥160的钥匙码150。然后，功能限制判断部354根据与钥匙码150相关联的利用者属性是“特定使用者”这一预先给出的信息，生成表示“无功能限制”的功能限制信息。

接着，通信控制部304的功能限制判断部354向通信装置346反复输出包含上述所生成的功能限制信息的功能限制通知。由此，通过通信装置346将该功能限制通知输出至车载网络总线308(S608)。另外，图示虚线示出反复输出功能限制通知的情况。

之后，当应用执行装置300的电源接通时(S610)，该应用执行装置300的功能限制应用部370开始动作。在该动作开始后，功能限制应用部370接收通信控制部304向车载网络总线308反复输出的功能限制通知，并将接收到的功能限制通知中包含的功能限制信息存储到存储装置366中(S612)。

进而，之后，例如通过所有者130对应用执行装置300的操作装置362给出应用部372a的启动指示(S614)，来启动作为功能限制对象应用的应用部372a(S616)。启动后的应用部372a将功能限制信息请求发送给功能限制应用部370(S618)，功能限制应用部370将存储在存储装置366中的功能限制信息发送给应用部372a(S620)。此外，应用部372a向功能限制应用部370发送通知登记请求，所述通知登记请求请求将自己登记为之后被更新的功能限制信息的通知对象(S622)，功能限制应用部370将应用部372a登记为通知对象(S624)。

接着，应用部372a响应于接收到在序列S620中发送的表示“无功能限制”的功能限制信息的情况，不进行功能限制，而继续执行通常处理(S626)。

稍后，客人利用者134拿着便携式终端144进入车辆102，所有者130保持拿着FOB密钥160的状态从车辆102下车，将车辆102腾给客人利用者134。

之后，客人利用者134为了起动车辆102而接通车辆起动开关310(S628)。响应于车辆起动开关310被接通的情况，首先，车辆控制部302的FOB通信部326进行FOB密钥160的搜索，但未检测出FOB密钥160(S630)。因此，车辆控制部302的起动操作检测部324发送电子钥匙认证请求(S632)，委托通信控制部304进行附近存在的便携式终端所具有的钥匙码的认证。

从车辆控制部302接收到电子钥匙认证请求的通信控制部304利用电子钥匙认证部352从车辆102的车厢内存在的便携式终端144取得钥匙码154，并且进行钥匙认证处理(S634)。电子钥匙认证部352参照存储装置342的电子钥匙DB 356，在电子钥匙DB 356内发现与便携式终端144的钥匙码154的电子钥匙基本信息“VK002”一致的电子钥匙基本信息，并将电子钥匙认证合格的意思的电子钥匙认证结果通知发送给车辆控制部302(S636)。响应于接收到该电子钥匙认证结果通知的情况，车辆控制部302的起动操作检测部324指示电源控制部328启动电力供给系统312的动作(S638)，并将车辆起动通知发送给通信控制部304(S640)。

通信控制部304的功能限制判断部354响应于接收到车辆起动通知的情况，将更新预告通知发送给应用执行装置300(S642)，并且根据车辆起动通知中包含的钥匙码154而开始功能限制判断处理(S644)。应用执行装置300的功能限制应用部370响应于从通信控制部304接收到更新预告通知的情况，向在序列S530中作为通知对象而登记的应用部372a发送限制更新预告通知(S646)，并且开始接收到更新预告通知后的经过时间t的计测(S648)。应用部372a响应于接收到限制更新预告通知的情况，在显示装置360上显示待机消息(S650)。

然后，在经过时间t经过规定时间之前，通信控制部304通过功能限制判断部354向车载网络总线308送出包含新的功能限制信息的功能限制通知(S652)，并且功能限制应用部370在接收到该功能限制通知时，功能限制应用部370根据该功能限制通知中包含的功能限制信息，更新存储装置366所存储的功能限制信息(S654)。然后，将更新后的功能限制信息发送给在序列S624中作为通知对象而登记的应用部372a(S656)。

这里，在序列S640中所发送的车辆起动通知中包含的钥匙码是与利用者属性“非特定使用者”相关联的便携式终端144的钥匙码154，因此，在序列S644的功能限制判断中，生成表示“有功能限制”的功能限制信息。因此，在序列S654中，根据表示该“有功能限制”的功能限制信息而更新存储装置366所存储的功能限制信息。

应用部372a响应于接收到更新后的上述功能限制信息、即表示“有功能限制”的功能限制信息的情况，在显示装置360上显示功能限制消息(S658)，并且中断通常处理(S660)。

另一方面，在因车载网络总线308的负荷状况等原因而在经过时间t经过规定时间之前未从通信控制部304接收到功能限制通知时，功能限制应用部370将存储在存储装置366中的以前的功能限制信息、即表示“无功能限制”的功能限制信息发送给在序列S624中作为通知对象而登记的应用部372a(S662)。应用部372a响应于接收到该功能限制信息的情况，删除显示装置360上的待机消息的显示，并且继续通常处理(S664)。

根据上述序列，在从所有者130进行门开锁起至进行车辆起动的期间，对于该期间中的作为车辆102的利用者的所有者130，不限制其执行应用执行装置300中的应用。此外，在之后客人利用者134起动了车辆102之后，对之后的作为车辆102的利用者的客人利用者134进行应用执行装置300中的应用部372a的功能限制。此外，即使在客人利用者134进行了车辆起动之后，在因车载网络总线308的负荷状况等原因而导致功能限制判断部354对应用部372a应用功能限制判断延迟超过规定时间的情况下，也不变更应用执行装置300中的应用功能限制的状态，从而避免了给作为当前的利用者的客人利用者134带来该延迟引起的不适感的情况。

[7.总结]

如以上进行了说明的那样，本实施方式的车辆控制系统100具备：处理装置364，其设置于车辆102中，该车辆102能够使用多个电子钥匙150等的各个电子钥匙来利用；以及应用部372a、372b，它们通过处理装置364执行应用程序来实现。此外，车辆控制系统100具备功能限制判断部354，该功能限制判断部354根据车辆102中使用的电子钥匙150等的钥匙码来判断是否进行作为功能限制对象的应用部372a的功能限制。此外，车辆控制系统100具备功能限制应用部370，该功能限制应用部370对应用部372a等指示应用作为功能限制判断部354的判断结果的功能限制信息。

并且，功能限制判断部354在从车辆102的利用开始起至利用结束的期间中的、使用电子钥匙150等中的任意一个的多个规定的时机，根据该所使用的电子钥匙的钥匙码来判断是否进行作为功能限制对象应用的应用部372a的功能限制。此外，功能限制应用部370在应用部372a启动时、以及在该启动后从功能限制判断部354接收到作为上述判断结果的通知的功能限制通知时，对应用部372a发送上述功能限制信息，指示应用功能限制判断部354的上述判断结果。

根据该结构，无需由利用者进行特别的密钥操作，并且，不会导致应用执行装置300、车辆控制部302、通信控制部304等车载装置的处理负荷的增大，能够根据车辆102的当前的利用者来自动地限制应用执行装置300通过应用部372a的执行而向利用者提供的功能。

此外，在车辆控制系统100中，应用部372a在该应用部372a启动时，向功能限制应用部370发送如下通知请求：指示在该应用部372a启动后，当功能限制应用部370从功能限制判断部354接收到作为上述判断结果的通知的功能限制通知时，对自己进行作为应用该判断结果的指示的功能限制信息的发送。

根据该结构，例如，在多个应用部被启动的情况下，功能限制应用部370不将之后接收到的功能限制通知发送给全部应用部，而仅向发送了上述通知请求的应用部发送即可，因此不会导致处理负荷的增大，能够继续应用功能限制。

此外，在车辆控制系统100中，功能限制判断部354根据车辆102中使用的电子钥匙150等的持有者是否为车辆102的所有者130或与该所有者130具有规定的关系的人即特定使用者、或者是否为该特定使用者以外的非特定使用者来判断是否进行应用部372a的功能限制。

根据该结构，根据利用者是特定使用者还是非特定使用者来判断是否进行应用功能限制，因此，功能限制判断部354无需进行复杂的判断，因此不会增大处理负荷，能够进行与车辆102的利用者相适应的应用功能限制。

此外，在车辆控制系统100中，除了所有者130拥有的FOB密钥160的电子钥匙150之外，家属利用者132等的电子钥匙152等各自的钥匙码包含有表示该电子钥匙的持有者是特定使用者还是非特定使用者的信息。根据该结构，功能限制判断部354能够根据钥匙码本身来判断该钥匙码的利用者是特定使用者还是非特定使用者，因此能够降低处理负荷。

此外，在车辆控制系统100中，上述规定的时机包括使用多个电子钥匙150等中的任意一个将车辆102的门开锁的时候。根据该结构，根据在作为车辆利用的最初阶段的门开锁中使用的钥匙码，首先能够开始与开始利用该车辆的利用者相适应的应用功能限制。

此外，在车辆控制系统100中，上述规定的时机包括多个电子钥匙150等中的任意一个被用于车辆102的起动的时候。根据该结构，在车辆102的行驶期间开始时，能够切换为与进行该行驶的预定利用者相适应的应用功能限制、或者开始与该利用者相适应的应用限制。

此外，在车辆控制系统100中，功能限制应用部370计测车辆102起动之后的经过时间t，在经过时间t经过规定的时间之前未从功能限制判断部354接收到判断结果时，对应用部372a指示应用在车辆102起动之前接收到的功能限制判断部354的判断结果。

根据该结构，能够防止由于在车辆起动时进行的功能限制判断部354中的、是否进行应用功能限制的判断的结果延迟超过该判断通常所需的时间地反映给应用部372a而给利用者带来的不适感。

此外，在车辆控制系统100中，被功能限制应用部370指示应用功能限制判断部354的上述判断结果即应用功能限制信息的应用部372a包含可能产生费用的内容或者与所述特定使用者的个人信息有关的内容。根据该结构，能够防止伴随收费的内容被作为非特定使用者的例如客人利用者134等利用而向所有者130收取该费用等不良情况的发生。

此外，在车辆控制系统100中，功能限制应用部370构成处理装置364执行的操作系统的一部分、或者构成介于操作系统与应用部372a、372b之间的中间件、或者构成在所述操作系统上执行的后台应用。

根据该结构，无需变更操作系统本身，能够使用标准的操作系统来实现功能限制应用部370，因此能够容易且廉价地实现车辆控制系统100。

[8.变形例]

另外，本发明不限于上述实施方式的结构，能够在不脱离其主旨的范围内在各种方式中实施。

例如，虽然设为利用管理服务器106生成包含利用者属性信息的钥匙码，功能限制判断部354针对利用管理服务器106所发行的钥匙码，从该钥匙码取得利用者属性，但不限于此。例如，也可以设为利用管理服务器106发行仅包含电子钥匙基本信息的电子钥匙，功能限制判断部354向利用管理服务器106询问与门开锁通知或车辆起动通知中包含的钥匙码相关联的利用者属性。利用管理服务器106能够参照利用者DB250，向车辆102发送与涉及上述询问的钥匙码相关联的利用者属性。

此外，在上述的实施方式中，虽然设为车辆控制系统100根据功能限制判断部354所生成的功能限制信息而限制作为应用执行装置300中的功能限制对象应用的应用部372a整体的执行，但不限于此。例如，也可以设为根据功能限制判断部354所生成的功能限制信息而限制作为功能限制对象应用的应用部372a的一部分功能的执行。该情况下，对于限制哪个功能，可以设为在实现应用部372a的应用程序中进行记述。

此外，在本实施方式中，虽然设为在应用部372a接收到功能限制信息时在显示装置360上显示功能限制消息和/或待机消息，但不限于此。取而代之或者除此之外，也可以设为，应用部372a以利用者点击或者触摸了在显示装置360上显示的表示应用部372a的图标作为条件，根据之前接收到的功能限制信息而在显示装置360上显示功能限制消息或待机消息。

此外，也可以设为，在与车辆102之间的可通信范围内存在FOB密钥160和便携式终端142等的情况下、以及存在多个便携式终端142等的情况下，以能够确定在车辆起动中使用了什么(FOB密钥、或者哪个便携式终端)的方式设置用于载置起动中使用的FOB密钥160和/或便携式终端142等的载物台。该情况下，将车辆控制部302的无线装置322的天线以及通信控制部304的无线装置344的天线也设置在上述载物台附近，无线装置322及344通过进行极近距离通信，能够从载置在载物台上的FOB密钥160或便携式终端142等取得车辆起动中使用的钥匙码。

标号说明

100：车辆控制系统；102：车辆；104：网络；106：利用管理服务器；120：车载系统；130：所有者；132：家属利用者；134、136：客人利用者；140、142、144、146：便携式终端；150、152、154、156：电子钥匙(钥匙码)；160：FOB密钥；200、320、340、364：处理装置；202、342、366：存储装置；204、323、346、368：通信装置；220：利用者管理部；222：电子钥匙发行部；250：利用者DB；300：应用执行装置；302：车辆控制部；304：通信控制部；306：遥测控制单元(TCU)；308：车载网络总线；310：车辆起动开关；312：电力供给系统；314：门锁机构；322、344：无线装置；324：起动操作检测部；326：FOB通信部；328：电源控制部；330：门锁控制部；350：门操作受理部；352：电子钥匙认证部；354：功能限制判断部；360：显示装置；362：操作装置；370：功能限制应用部；372a、372b：应用部。