CH679434A5 - - Google Patents

Download PDF

Info

Publication number
CH679434A5
CH679434A5 CH423/89A CH42389A CH679434A5 CH 679434 A5 CH679434 A5 CH 679434A5 CH 423/89 A CH423/89 A CH 423/89A CH 42389 A CH42389 A CH 42389A CH 679434 A5 CH679434 A5 CH 679434A5
Authority
CH
Switzerland
Prior art keywords
microcontroller
smart card
fault
card according
memory
Prior art date
Application number
CH423/89A
Other languages
English (en)
Inventor
Winslow E Jackson
Original Assignee
Pitney Bowes Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=22547024&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=CH679434(A5) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by Pitney Bowes Inc filed Critical Pitney Bowes Inc
Publication of CH679434A5 publication Critical patent/CH679434A5/fr

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1654Error detection by comparing the output of redundant processing systems where the output of only one of the redundant processing components can drive the attached hardware, e.g. memory or I/O
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/073Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in a memory management context, e.g. virtual memory or cache management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/079Root cause analysis, i.e. error or fault diagnosis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1641Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/165Error detection by comparing the output of redundant processing systems with continued operation after detection of the error
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/22Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
    • G06F11/2205Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing using arrangements specific to the hardware being tested
    • G06F11/2236Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing using arrangements specific to the hardware being tested to test CPU or processors
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • G06K19/06Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
    • G06K19/067Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
    • G06K19/07Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
    • G06K19/072Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips the record carrier comprising a plurality of integrated circuit chips
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • G06K19/06Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
    • G06K19/067Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
    • G06K19/07Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
    • G06K19/073Special arrangements for circuits, e.g. for protecting identification code in memory
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00016Relations between apparatus, e.g. franking machine at customer or apparatus at post office, in a franking system
    • G07B17/0008Communication details outside or between apparatus
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00185Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
    • G07B17/00314Communication within apparatus, personal computer [PC] system, or server, e.g. between printhead and central unit in a franking machine
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/0806Details of the card
    • G07F7/0813Specific details related to card security
    • G07F7/082Features insuring the integrity of the data on or in the card
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/0806Details of the card
    • G07F7/0833Card having specific functional components
    • G07F7/084Additional components relating to data transfer and storing, e.g. error detection, self-diagnosis
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/08Error detection or correction by redundancy in data representation, e.g. by using checking codes
    • G06F11/10Adding special bits or symbols to the coded information, e.g. parity check, casting out 9's or 11's
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00016Relations between apparatus, e.g. franking machine at customer or apparatus at post office, in a franking system
    • G07B17/0008Communication details outside or between apparatus
    • G07B2017/00153Communication details outside or between apparatus for sending information
    • G07B2017/00177Communication details outside or between apparatus for sending information from a portable device, e.g. a card or a PCMCIA
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00185Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
    • G07B17/00314Communication within apparatus, personal computer [PC] system, or server, e.g. between printhead and central unit in a franking machine
    • G07B2017/00338Error detection or handling
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00185Details internally of apparatus in a franking system, e.g. franking machine at customer or apparatus at post office
    • G07B17/00314Communication within apparatus, personal computer [PC] system, or server, e.g. between printhead and central unit in a franking machine
    • G07B2017/00346Power handling, e.g. power-down routine
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/0079Time-dependency

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Quality & Reliability (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Computer Security & Cryptography (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Techniques For Improving Reliability Of Storages (AREA)
  • Test And Diagnosis Of Digital Computers (AREA)
  • Devices For Checking Fares Or Tickets At Control Points (AREA)
  • Credit Cards Or The Like (AREA)

Description

1
CH 679 434 A5
2
Description
La présente invention concerne une carte intelligente tolérant des fautes et, plus particulièrement, une carte intelligente tolérant des fautes, qui peut trouver des applications particulières dans l'industrie des machines à affranchir.
Les circuits intégrés dits «intelligents» ou cartes «intelligentes» comportant un microprocesseur et une mémoire sont disponibles commercialement et sont utiles dans de nombreuses applications. L'aptitude des cartes intelligentes à transporter en sécurité des fonds monétaires les rend de plus en plus importantes, en particulier pour les fonds postaux ou pour l'information concernant les fonds postaux. Voir, par exemple, la demande de brevet britannique GB-A 2 215 668 intitulée «Système de comptabilisation de coûts postaux» où une machine a affranchir départementale utilise de l'information contenue dans la mémoire d'une carte intelligente et la demande brevet britannique GB-A 2 215 669 intitulée «Système de cartes à valeur pour machine à affranchir», où des fonds de machine à affranchir sont transférés d'un centre de cartes à valeur pour réapprovisionner la réserve d'une machine à affranchir.
Compte tenu de l'importance accrue de l'information conservée dans les cartes intelligentes, les inconvénients d'un mauvais fonctionnement de la carte intelligente peuvent être très coûteux. Par conséquent, il serait hautement souhaitable de pouvoir disposer d'une carte intelligente d'une fiabilité améliorée. Il serait également hautement souhaitable de pouvoir disposer d'une carte intelligente à laquelle le personnel d'entretien puisse accéder, même en cas de mauvais fonctionnement. De cette manière, on éviterait la «perte» de fonds monétaires conservés dans la carte en cas de mauvais fonctionnement.
Un objet de la présente invention est donc de fournir une carte intelligente améliorée.
Un autre objet de l'invention est de fournir une carte intelligente tolérant des fautes.
Un autre objet encore de l'invention est de permettre d'accéder à l'information contenue dans la mémoire d'une carte intelligente souffrant d'un mauvais fonctionnement.
Ces objets fortement souhaitables, ainsi que d'autres, sont réalisés avec une carte intelligente tolérant des fautes, commode et néanmoins fiable.
Les objets et avantages de l'invention sont en partie décrits ici et en partie évidents, ou ils peuvent être appris lors de la mise en œuvre de l'invention, celle-ci étant conçue et réalisée par l'intermédiaire des moyens et des combinaisons précisés dans les revendications en annexe.
La présente invention fournit une carte intelligente tolérant des fautes ayant des unités fonctionnelles primaires comportant une interface standard ISO, un microcontrôleur primaire, une mémoire principale comprenant une ROM, une RAM et une EEPROM, un générateur d'horloge et une source d'alimentation. En plus du rôle normal de la carte intelligente, le microcontrôleur primaire adresse un registre de comptabilisation des accès et un détecteur des fautes des microcontrôleurs, qui à son tour, adresse un registre d'exceptions. On prévoit des unités fonctionnelles secondaires de la carte intelligente, comprenant un microcontrôleur secondaire, une mémoire secondaire qui peut comporter une ROM et des bits de contrôle associés, un re- ;
gistre des fonds restants, le registre de comptabilisation des accès, ie détecteur des fautes des microcontrôleurs et le registre de conditions d'excep- v tion. Il est également prévu un point d'accès privé.
Toutes les unités secondaires nécessitant une alimentation en courant sont connectées à une pile constituant une autre source d'alimentation. Le contrôleur secondaire est connecté aux unités d'horloges primaire et secondaire, au détecteur des fautes des microcontrôleurs et au registre des fonds restants. Le microcontrôleur secondaire adresse la mémoire secondaire et permet uniquement de consulter la mémoire principale.
En fonctionnement normal, les microcontrôleurs primaire et secondaire opèrent d'une manière synchrone et exécutent en parallèle des instructions identiques du même emplacement de la mémoire, mais le microcontrôleur secondaire ne peut que consulter la mémoire principale.
Lorsqu'une faute est détectée par le détecteur des fautes des microcontrôleurs dans l'un ou l'autre des microcontrôleurs principal ou secondaire, ce qui se manifeste par des incohérences dans les signaux des microcontrôleurs, il y a inscription dans le registre des exceptions. Lorsque cela se produit, le microcontrôleur primaire est maintenu en un état figé et le microcontrôleur secondaire est libéré de la mémoire principale pour adresser la mémoire secondaire et effectuer des essais aux caractéristiques connues. Lorsqu'une faute se produit durant l'essai, on considère que ie microcontrôleur secondaire est défectueux et on permettra au microcontrôleur principal de continuer à fonctionner. Naturellement, l'utilisateur peut être informé de ce que la carte a besoin d'être dépannée et/ou remplacée.
Par ailleurs, lorsque aucune faute ne se produit durant l'essai, on considère alors que le microcontrôleur principal est défectueux et que la carte est inutilisable, et l'utilisateur est informé par une signalisation appropriée de ce que l'état de la carte est défectueux.
D'une manière avantageuse, un point d'accès privé permet au personnel d'entretien d'accéder directement au microcontrôleur secondaire, au registre des fonds restants, au registre de comptabilisation des accès et au registre des conditions d'exception. Le personnel d'entretien pourrait également faire usage du microcontrôleur secondaire, par exemple pour consulter la mémoire principale. Dans la forme d'exécution préférée comportant des bits de contrôle, les bits de contrôle détecteraient et pallieraient toute défaillance de bit individuel dans la mémoire secondaire.
On comprendra dans ces conditions, que la carte intelligente tolérant des fautes selon la présente invention constitue d'une manière avantageuse une carte intelligente capable de détecter et de pallier la défaillance d'un bit individuel ou d'un circuit individuel. Malgré une telle défaillance, la carte intelli-
5
10
15
20
25
30
35
40
45
50
55
60
65
2
3
CH679434 A5
4
gente tolérant des fautes permet d'une manière remarquable d'accéder, par une «porte arrière» en utilisant un point d'accès privé, à l'information importante contenue dans la carte intelligente. D'une manière avantageuse, la personne accédant par le point d'accès privé peut déterminer le montant des fonds restants dans la carte et accéder à d'autres informations importantes de la mémoire principale de la carte. Un autre avantage de la présente invention est que les unités fonctionnelles primaires communiquent par l'intermédiaire de l'interface standard ISO d'une manière conventionnelle. Par conséquent, la carte intelligente tolérant des fautes selon l'invention peut être utilisée avec des équipements existants et non modifiés. Uniquement à titre d'exemple, la carte intelligente tolérant des fautes selon la présente invention peut trouver des applications particulières dans les systèmes décrits dans les demandes de brevets susmentionnées.
On comprendra que la description générale qui précède, ainsi que la description détaillée qui suit, ne sont que des exemples explicatifs de l'invention, mais ne sont pas imitatives de celle-ci.
Les dessins en annexe, dont il est question ici et qui font partie de la présente, représentent un diagramme synoptique de la forme d'exécution préférée de carte intelligente tolérant des fautes selon la présente invention.
Lorsqu'on se reporte au dessin, référencé en tant que fig. 1, on y voit un diagramme synoptique représentant la carte intelligente tolérant des fautes 10 selon l'invention. Comme représenté, la carte intelligente 10 comprend une série d'unités fonctionnelles primaires comprenant une interface standard du type ISO 12, une unité de microcontrôleur 14, une mémoire morte adressable (ROM) 16, une mémoire à accès sélectif (RAM) 18, une mémoire programmable morte effaçable par voie électronique (EEPROM) 20, un générateur d'horloge primaire et secondaire, respectivement 22 et 26, et une une source d'alimentation primaire. La carte intelligente préférée de General Electric dont il est question dans les demandes de brevet ci-dessus est alimentée par l'interface ISO comme représenté, mais une source d'alimentation primaire externe n'est pas essentielle à la présente invention. Les éléments ci-dessus, interconnectés comme représenté, comportent des unités fonctionnelles primaires pour effectuer les opérations normales de la carte intelligente.
En outre, des unités fonctionnelles secondaires sont prévues comme support de la carte tolérant des fautes. Les unités secondaires comportent un second générateur d'horloge 26 connecté à une autre pile d'alimentation 28, ainsi qu'aux deux microcontrôleurs 14, 30. Le microcontrôleur secondaire est connecté à la mémoire secondaire 32, à un détecteur des fautes des microcontrôleurs 36 et à un registre de fonds restants 38. De préférence, on prévoit des bits de contrôle 34 en association avec la mémoire secondaire 32 pour détecter les défaillances de bits individuels dans la mémoire secondaire. Comme représenté, le microcontrôleur secondaire est connecté d'une manière adressable à la ROM 32 et au registre des fonds restants 38. Le microcontrôleur secondaire 30 est également connecté à un point d'accès privé 44 et permet uniquement de consulter la mémoire principale 20. Le microcontrôleur secondaire 30 est alimenté par la source d'alimentation primaire 24 et par une autre pile d'alimentation 28. Un registre de comptabilisation des accès 40 et un registre des conditions d'exception 42 adressé par le détecteur des fautes des microcontrôleurs sont également prévus. Chacun des registres des fonds restants 38, de comptabilisation des accès 40 et des conditions d'exception 42 est également connecté au point d'accès privé 44 et alimenté par la pile d'alimentation 28. La mémoire secondaire 32 est également alimentée par la pile d'alimentation 28 et elle est connectée au registre des conditions d'exception 42. Le registre de comptabilisation des accès est adressé par le microcontrôleur primaire 14 et une inscription s'y produit après chaque utilisation de la carte pour conserver une trace de l'identité de l'utilisateur, de l'adresse de mémoire à laquelle il a accédé et de l'information enregistrée à cette adresse.
Ainsi conçu, le circuit de la présente carte intelligente permet de détecter et de pallier les fautes de la carte concernant des bits individuels et des circuits individuels. En fonctionnement normal, les deux microcontrôleurs 14 et 30 fonctionnent d'une manière synchrone pour exécuter en parallèle des instructions identiques depuis le même emplacement de la mémoire. Après chaque transaction, le microcontrôleur secondaire 30 procèdei à une remise à jour du registre des fonds restants 38 pour avoir un résumé actualisé des fonds qui demeurent enregistrés dans la carte.
Au cas où une incohérence apparaîtrait entre les microcontrôleurs principal et secondaire, le détecteur des fautes des microcontrôleurs, constitué ici par une porte exclusive «OU» 36, fournit un signal de sortie élevé, ce qui aboutit à une inscription dans le registre des conditions d'exception 42. Lorsqu'une inscription a lieu dans le registre d'exception 42, l'information du programme de la mémoire secondaire 32 va donner au microcontrôleur secondaire 30 l'instruction de libérer la mémoire principale 16, 18, 20 et d'effectuer des essais aux caractéristiques connues enregistrées dans la mémoire secondaire 32. Pendant ce temps, le microcontrôleur principal 14 reste en un état figé. Lorsqu'une faute se produit durant l'essai, on considère que le processeur secondaire 30 est défectueux et que le processeur principal 14 peut continuer de fonctionner. Par contre, si aucune faute n'est trouvée dans ces essais aux caractéristiques connues, on considère que le processeur principal 14 est défectueux et l'utilisateur est averti d'une condition défectueuse. Ensuite, l'accès à l'information est limité à l'interface privée 44, qui n'est accessible, de préférence, qu'au personnel d'entretien. Malgré un défaut du processeur principal, le personnel d'entretien peut accéder au registre des fonds restants 38, au registre de comptabilitation des accès 40 et au registre d'exceptions 42 par le point d'accès privé 44. On peut également accéder à la mémoire principale 16, 18, 20 par l'intermédiaire du point d'accès 44, lorsque le microcontrôleur secondaire 30 est resté viable. A cet égard, la mémoire secon5
10
15
20
25
30
35
40
45
50
55
60
65
3
5
CH679 434 A5
6
daire 32 est pourvue de préférence, de bits de contrôle associés, quelquefois dénommés «bits de Hem-ming», pour pallier toute défaillance des bits à l'intérieur de la mémoire secondaire 32.
Ainsi la carte intelligente tolérant des fautes selon l'invention élimine sensiblement le risque que les fonds et/ou l'information comptable enregistrés dans la carte soient perdus par suite d'une défaillance de la carte. En effet, lorsqu'une défaillance de la carte se produit, le personnel d'entretien peut, d'une manière simple, avoir accès au montant des fonds restants et à d'autres informations conservées dans la mémoire principale et transférer cette information vers une nouvelle carte intelligente ou un autre moyen d'enregistrement. De cette façon, le client est assuré de ce que les fonds monétaires et l'information ne seront pas affectés par un mauvais fonctionnement de la carte intelligente. On comprendra aisément, que cette propriété évitera les effets néfastes qu'auraient autrement les défaillances de telles cartes sur les relations avec la clientèle.
Ainsi, la carte intelligente tolérant des fautes selon la présente invention détecte d'une manière avantageuse les défaillances des cartes intelligentes et, malgré une telle défaillance, permet un accès privé à l'information importante enregistrée dans la carte défectueuse.
Bien que l'étendue de l'invention n'ait pas été indiquée, il est clair que l'invention dans son sens plus large n'est pas limitée aux formes d'exécution spécifiques représentées et décrites ici, mais qu'elle peut s'en éloigner dans les limites des revendications en annexe, sans que l'on s'écarte des principes de l'invention et sans sacrifier ses avantages essentiels.

Claims (24)

Revendications
1. Carte intelligente tolérant des fautes comprenant:
une interface entrée-sortie;
un moyen d'horloge pour fournir une référence de temps pendant le fonctionnement de la carte intelligente;
un moyen de mémoire principale pour enregistrer des informations de programmes et de données; un premier moyen de microcontrôleur connecté à ladite interface, audit moyen d'horloge et audit moyen de mémoire principale pour effectuer les opérations normales d'une carte intelligente;
un moyen de microcontrôleur secondaire connecté audit premier moyen de microcontrôleur, audit moyen d'horloge, audit moyen de mémoire principale et audit moyen de mémoire secondaire, pour effectuer les opération normales de carte intelligente en synchronisme avec ledit premier moyen microcontrôleur; et un moyen de détection de fautes du microcontrôleur connecté audit premier moyen de microcontrôleur et audit moyen microcontrôleur secondaire, pour détecteur une défaillance soit du premier microcontrôleur, soit du microcontrôleur secondaire.
2. Carte selon la revendication 1, caractérisée en ce qu'elle comporte en outre un moyen d'alimentation primaire connecté audit premier moyen microcontrôleur.
3. Carte intelligente tolérant des fautes selon la revendication 1 ou 2, où ledit moyen de microcontrôleur secondaire le peut que consulter ledit moyen de mémoire principal.
4. Carte intelligente tolérant ces fautes selon la revendication 1 ou 2, où ledit moyen d'horloge comprend en outre une horloge primaire et une horloge secondaire, ladite horloge secondaire étant connectée à un moyen de pile d'alimentation secondaire.
5. Carte intelligente tolérant des fautes selon la revendication 1 ou 2, comprenant en outre un registre de comptabilisation ces accès connecté au et adressé par ledit premier moyen de microcontrôleur pour conserver la trace de l'identité de l'utilisateur et des emplacements de la mémoire adressés par les utilisateurs antérieurs.
6. Carte intelligente tolérant des fautes selon la revendication 1 ou 2, où ladite mémoire secondaire comprend en outre une mémoire morte comportant la programmation pour effectuer un ou plusieurs essais aux caractéristiques connues sur ledit second microcontrôleur.
7. Carte intelligente tolérant des fautes selon la revendication 6, où ladite programmation de la mémoire secondaire est activée par ledit moyen de détection des fautes des microcontrôleurs à la détection d'une défaillance soit dans le premier soit dans le second moyen microcontrôleur.
8. Carte intelligente tolérant des fautes selon la revendication 7, où à l'indication d'une défaillance du microcontrôleur venant dudit moyen de détection de fautes des microcontrôleurs, ledit premier microcontrôleur est maintenu en un état figé, alors que ledit microcontrôleur secondaire effectue lesdits essais aux caractéristiques connues.
9. Carte intelligente tolérant des fautes selon la revendication 8, où, lorsqu'une faute vient à se produire dans lesdits essais aux caractéristiques connues, on considère que que ledit microcontrôleur secondaire est défectueux et on permet au premier microcontrôleur de continuer à fonctionner.
10. Carte intelligente tolérant des fautes selon la revendication 8, où lorsque aucune faute ne se produit dans lesdits essais aux caractéristiques connues, on considère que le premier microcontrôleur est défectueux, et l'utilisateur est informé de ce que la carte est défectueuse.
11. Carte intelligente tolérant des fautes selon la revendication 10, comprenant en outre un point d'accès privé connecté audit second moyen de microcontrôleur afin de permettre d'accéder à la carte intelligente tolérant des fautes, pour son entretien.
12. Carte intelligente tolérant des fautes selon la revendication 11, comprenant en outre un registre des fonds restants connecté audit second microcontrôleur, ainsi qu'audit moyen de point d'accès privé de manière à pouvoir y accéder afin de connaître le montant des fonds restants dans la carte intelligente tolérant des fautes.
13. Carte intelligente tolérant des fautes selon la revendication 11, comprenant en outre un moyen de comptabilisation des accès connecté audit premier moyen de microcontrôleur ainsi qu'audit moyen de
5
10
15
20
25
30
35
40
45
50
55
60
65
4
7
CH 679 434 A5
8
point d'accès privé de manière à pouvoir y accéder, afin de retrouver l'identité des utilisateurs et les emplacements de la mémoire adressés par les utilisateurs antérieurs.
14. Carte intelligente tolérant des fautes selon la revendication 12, où ledit microcontrôleur secondaire, ladite mémoire secondaire et ledit registre des fonds restants sont connectés à une pile d'alimentation secondaire.
15. Carte intelligente tolérant des fautes selon la revendication 13, où ledit microcontrôleur secondaire, ladite mémoire secondaire et ledit moyen de comptabilisation des accès sont connectés à une pile d'alimentation secondaire.
16. Carte intelligente tolérant des fautes selon la revendication 11, comprenant en outre des moyens de bits de contrôle associés avec ladite mémoire secondaire pour détecter et pallier aux défaillance de bits individuels ou de circuits individuels à l'intérieur de ladite mémoire secondaire.
17. Carte intelligente tolérant des fautes selon la revendication 1 ou 2, où ledit moyen de détection des fautes du microcontrôleur comprend en outre une porte exclusive «OU» recevant les signaux de sortie du premier et du second microcontrôleur, ladite porte exclusive «OU» étant actionnée pour fournir un signal de faute, lorsqu'il y a incohérence entre les signaux de sortie desdits microcontrôleurs.
18. Carte intelligente tolérant des fautes comprenant:
une interface entrée-sortie;
un moyen d'horloge pour fournir une référence de temps pendant le fonctionnement de la carte intelligente;
un moyen de mémoire principale pour enregistrer des informations de programmes et de données; un premier moyen microcontrôleur connecté à ladite interface, audit moyen d'horloge et audit moyen de mémoire principale pour effectuer les opérations normales d'une carte intelligente;
un moyen de microcontrôleur secondaire connecté audit premier moyen de microcontrôleur, audit moyen d'horloge, audit moyen de mémoire principale et au moyen de mémoire secondaire, ledit moyen microcontrôleur secondaire effectuant les opérations normales de carte intelligente en synchronisme avec ledit premier moyen microcontrôleur; et un moyen de détection de fautes du microcontrôleur connecté audit premier moyen de microcontrôleur et audit moyen microcontrôleur secondaire pour détecter une incohérence entre le premier moyen de microcontrôleur et le moyen de microcontrôleur secondaire.
19. Carte selon la revendication 18, caractérisée en ce qu'elle comporte en outre un point d'accès connecté audit microcontrôleur secondaire pour permettre un accès privé à la carte intelligente tolérant des fautes.
20. Carte intelligente tolérant des fautes selon la revendication 18 ou 19, où à la détection d'une faute par ledit moyen de détection de fautes du microcontrôleur, ledit premier microcontrôleur est maintenu en un état figé et ledit microcontrôleur secondaire est libéré de ladite mémoire principale pour effectuer des essais aux caractéristiques connues sous la direction dudit moyen de mémoire secondaire.
21. Carte intelligente tolérant des fautes selon la revendication 20, où, lorsqu'une faute vient à se produire dans lesdits essais aux caractéristiques connues, on considère que ledit microcontrôleur secondaire est défectueux et on permet au premier microcontrôleur de continuer à fonctionner.
22. Carte intelligente tolérant des fautes selon la revendication 20, où, lorsque aucune faute ne se produit dans lesdits essais aux caractéristiques connues, on considère que le premier microcontrôleur est défectueux, et l'utilisateur est informé par un signal, de ce que la carte est défectueuse.
23. Carte intelligente tolérant des fautes selon la revendication 22, où ledit point d'accès privé permet d'accéder à l'information contenue dans ledit moyen de mémoire principale.
24. Carte intelligente tolérant des fautes selon la revendication 23, comprenant en outre un registre des fonds restants connecté audit microcontrôleur secondaire et audit moyen de point d'accès privé pour enregistrer de l'information relative aux fonds disponibles restants à l'intérieur de la carte intelligente tolérant des fautes.
5
10
15
20
25
30
35
40
45
50
55
60
65
5
CH423/89A 1988-02-08 1989-02-08 CH679434A5 (fr)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US07/153,391 US4908502A (en) 1988-02-08 1988-02-08 Fault tolerant smart card

Publications (1)

Publication Number Publication Date
CH679434A5 true CH679434A5 (fr) 1992-02-14

Family

ID=22547024

Family Applications (1)

Application Number Title Priority Date Filing Date
CH423/89A CH679434A5 (fr) 1988-02-08 1989-02-08

Country Status (9)

Country Link
US (1) US4908502A (fr)
EP (1) EP0328062B1 (fr)
JP (1) JP2922211B2 (fr)
AU (1) AU616936B2 (fr)
CA (1) CA1315408C (fr)
CH (1) CH679434A5 (fr)
DE (1) DE68914696T2 (fr)
FR (1) FR2626991B1 (fr)
GB (1) GB2215888B (fr)

Families Citing this family (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3028815B2 (ja) * 1988-08-19 2000-04-04 株式会社東芝 携帯可能電子装置の伝送方法と携帯可能電子装置
JPH03171384A (ja) * 1989-11-30 1991-07-24 Sony Corp 情報読取装置
USRE42773E1 (en) 1992-06-17 2011-10-04 Round Rock Research, Llc Method of manufacturing an enclosed transceiver
US5776278A (en) 1992-06-17 1998-07-07 Micron Communications, Inc. Method of manufacturing an enclosed transceiver
US7158031B2 (en) * 1992-08-12 2007-01-02 Micron Technology, Inc. Thin, flexible, RFID label and system for use
AT400774B (de) * 1992-12-31 1996-03-25 Skidata Gmbh Datenträger
US5473145A (en) * 1992-10-22 1995-12-05 Skidata Computer Gesellschaft M.B.H. Data carrier
US5884292A (en) * 1993-05-06 1999-03-16 Pitney Bowes Inc. System for smart card funds refill
US5557516A (en) * 1994-02-04 1996-09-17 Mastercard International System and method for conducting cashless transactions
US5489014A (en) * 1994-08-03 1996-02-06 Journomat Ag Apparatus for checking coins and reading cards in an article vending machine
US6012634A (en) * 1995-03-06 2000-01-11 Motorola, Inc. Dual card and method therefor
US6151590A (en) * 1995-12-19 2000-11-21 Pitney Bowes Inc. Network open metering system
US6157919A (en) 1995-12-19 2000-12-05 Pitney Bowes Inc. PC-based open metering system and method
US5704046A (en) * 1996-05-30 1997-12-30 Mastercard International Inc. System and method for conducting cashless transactions
US5898785A (en) * 1996-09-30 1999-04-27 Pitney Bowes Inc. Modular mailing system
US5988510A (en) * 1997-02-13 1999-11-23 Micron Communications, Inc. Tamper resistant smart card and method of protecting data in a smart card
FR2761802B1 (fr) 1997-04-08 1999-06-18 Sgs Thomson Microelectronics Ensemble de deux memoires sur un meme circuit integre monolithique
US5963928A (en) * 1997-07-17 1999-10-05 Pitney Bowes Inc. Secure metering vault having LED output for recovery of postal funds
US6339385B1 (en) 1997-08-20 2002-01-15 Micron Technology, Inc. Electronic communication devices, methods of forming electrical communication devices, and communication methods
US6109530A (en) * 1998-07-08 2000-08-29 Motorola, Inc. Integrated circuit carrier package with battery coin cell
DE19928733A1 (de) * 1999-06-23 2001-01-04 Giesecke & Devrient Gmbh Halbleiterspeicher-Chipmodul
US6273339B1 (en) 1999-08-30 2001-08-14 Micron Technology, Inc. Tamper resistant smart card and method of protecting data in a smart card
US6284406B1 (en) 2000-06-09 2001-09-04 Ntk Powerdex, Inc. IC card with thin battery
DE20020635U1 (de) 2000-11-28 2001-03-15 Francotyp-Postalia AG & Co., 16547 Birkenwerder Anordnung zur Stromversorgung für einen Sicherheitsbereich eines Gerätes
EP1514166B1 (fr) * 2003-04-15 2012-01-11 NDS Limited Horloge securisee
CN1315054C (zh) * 2003-12-24 2007-05-09 上海华虹集成电路有限责任公司 一种智能卡仿真卡
FR2869430A1 (fr) * 2004-04-27 2005-10-28 St Microelectronics Sa Controle de l'execution d'un algorithme par un circuit integre
US8060453B2 (en) * 2008-12-31 2011-11-15 Pitney Bowes Inc. System and method for funds recovery from an integrated postal security device
US8055936B2 (en) * 2008-12-31 2011-11-08 Pitney Bowes Inc. System and method for data recovery in a disabled integrated circuit
KR101778306B1 (ko) 2011-03-11 2017-09-13 한양대학교 에리카산학협력단 시공간적 개념을 사용하는 메모리 폴트 시뮬레이션 방법 및 장치
EP2746952B1 (fr) * 2012-12-18 2017-02-08 Neopost Technologies Gestion sécurisée des traces dans un dispositif de traitement du courrier
US11099748B1 (en) * 2018-08-08 2021-08-24 United States Of America As Represented By The Administrator Of Nasa Fault tolerant memory card

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4633039A (en) * 1980-12-29 1986-12-30 Gte Communication Systems Corp. Master-slave microprocessor control circuit
US4353064A (en) * 1981-01-14 1982-10-05 Honeywell Inc. Battery operated access control card
WO1985002698A1 (fr) * 1983-12-12 1985-06-20 Parallel Computers, Inc. Controleur de processeur d'ordinateur
US4598356A (en) * 1983-12-30 1986-07-01 International Business Machines Corporation Data processing system including a main processor and a co-processor and co-processor error handling logic
JPS6155366A (ja) * 1984-08-27 1986-03-19 Sawafuji Electric Co Ltd 内燃機関の点火装置
US4614861A (en) * 1984-11-15 1986-09-30 Intellicard International, Inc. Unitary, self-contained card verification and validation system and method
AU568977B2 (en) * 1985-05-10 1988-01-14 Tandem Computers Inc. Dual processor error detection system
JPS6246483A (ja) * 1985-08-22 1987-02-28 Casio Comput Co Ltd Icカ−ドにおけるデ−タ書込み方式
US4845351A (en) * 1985-09-30 1989-07-04 Casio Computer Co., Ltd. IC card
US4760534A (en) * 1985-12-26 1988-07-26 Pitney Bowes Inc. Mailing system with postage value transfer and accounting capability
JPS62242287A (ja) * 1986-04-15 1987-10-22 Nec Corp Icカ−ド
US4829166A (en) * 1986-12-01 1989-05-09 Froelich Ronald W Computerized data-bearing card and reader/writer therefor
US4859837A (en) * 1987-03-23 1989-08-22 Halpern John Wolfgang Portable data carrier incorporating manually presettable processing modes

Also Published As

Publication number Publication date
CA1315408C (fr) 1993-03-30
GB2215888B (en) 1992-08-26
AU2972389A (en) 1989-08-10
JPH027184A (ja) 1990-01-11
AU616936B2 (en) 1991-11-14
EP0328062B1 (fr) 1994-04-20
GB2215888A (en) 1989-09-27
GB8902765D0 (en) 1989-03-30
FR2626991B1 (fr) 1992-08-28
EP0328062A2 (fr) 1989-08-16
EP0328062A3 (fr) 1991-09-18
US4908502A (en) 1990-03-13
JP2922211B2 (ja) 1999-07-19
DE68914696T2 (de) 1994-09-01
DE68914696D1 (de) 1994-05-26
FR2626991A1 (fr) 1989-08-11

Similar Documents

Publication Publication Date Title
CH679434A5 (fr)
CA2027344C (fr) Systeme de paiement ou de transfert d'information par carte a memoire electronique porte monnaie
US20190259094A1 (en) Atm exception processing system and method
US20070156578A1 (en) Method and system for reducing a number of financial transactions
FR2597234A1 (fr) Dispositif pour detecter les tentatives de fraude d'une unite de comptabilisation des valeurs d'affranchissements
WO1995000929A1 (fr) Procede de controle d'une imprimante pour obtenir des affranchissements postaux
CH676757A5 (fr)
CN110503551B (zh) 一种网络资金交易渠道维护方法、装置和设备
EP1256078A1 (fr) Systeme de gestion d'une chaine de vente d'un produit
CN109472563A (zh) 基于跨境支付平台的支付方式自动化运维方法及装置
FR2754926A1 (fr) Procede de gestion de defauts d'integrite de donnees dans une memoire reinscriptible
EP0775986A2 (fr) Procédé et appareil pour des fichiers de données de comptabilisation d'affranchissement redondants
WO2008009609A2 (fr) Coeur processeur a frequence pilotee et procede de demarrage dudit coeur processeur dans un mode programme
EP0605313A1 (fr) Machine à affranchir permettant de mémoriser un historique
FR2741974A1 (fr) Procede et appareil pour corriger une erreur dans le champ de commande d'une memoire cache
WO2005124555A2 (fr) Dispositif de controle de la couverture structurelle d'un logiciel et procede mettant en oeuvre le dispositif
US20220405761A1 (en) System and method for error detection and notification of a storage medium
EP1814070A1 (fr) Procédé de paiement d'un service au moyen d'une machine de traitement de courrier
FR2821449A1 (fr) Procede de gestion d'instructions au sein d'un processeur a architecture decouplee, en particulier un processeur de traitement numerique du signal, et processeur correspondant
BE1005126A6 (fr) Communication de donnees et generation de rapports.
US20220405914A1 (en) System and method for image analysis for physical defect detection of a storage medium
CN115099807A (zh) 跨境资金支付的数据处理方法、装置、计算机设备
WO2023139338A1 (fr) Procédé de contrôle de systèmes à évènements discrets
CN118552126A (zh) 数据库库存的同步方法及其装置、电子设备及存储介质
CN114387071A (zh) 一种资金结算方法、装置、设备及存储介质

Legal Events

Date Code Title Description
PFA Name/firm changed

Owner name: PITNEY BOWES INC. WORLD HEADQUARTERS

Free format text: PITNEY BOWES INC. WORLD HEADQUARTERS#ONE ELMCROFT ROAD#STAMFORD/CT (US) -TRANSFER TO- PITNEY BOWES INC. WORLD HEADQUARTERS#ONE ELMCROFT ROAD#STAMFORD/CT (US)

PL Patent ceased