JPH07311603A - 自動車用制御装置 - Google Patents

自動車用制御装置

Info

Publication number
JPH07311603A
JPH07311603A JP6101177A JP10117794A JPH07311603A JP H07311603 A JPH07311603 A JP H07311603A JP 6101177 A JP6101177 A JP 6101177A JP 10117794 A JP10117794 A JP 10117794A JP H07311603 A JPH07311603 A JP H07311603A
Authority
JP
Japan
Prior art keywords
storage means
rewriting
outside
transfer program
program
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP6101177A
Other languages
English (en)
Other versions
JP3176506B2 (ja
Inventor
Junji Miyake
淳司 三宅
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP10117794A priority Critical patent/JP3176506B2/ja
Publication of JPH07311603A publication Critical patent/JPH07311603A/ja
Application granted granted Critical
Publication of JP3176506B2 publication Critical patent/JP3176506B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Landscapes

  • Stored Programmes (AREA)
  • Control By Computers (AREA)
  • Combined Controls Of Internal Combustion Engines (AREA)
  • Storage Device Security (AREA)

Abstract

(57)【要約】 【目的】 プログラムの機密性、及び保護性を大幅に向
上させるようになされ、しかも、プログラムの初期書き
込み時に不必要なセキュリティー動作を行わずに、障害
回復に費やす時間を最小限とすることができ、また、オ
ン・ボード・書き換え動作におけるデータ転送に割り込
み処理を使用することができるとともに、高速で且つ高
信頼性のプロトコルを容易に採用することができ、か
つ、自動車用オン・ボード・書き換えシステムを安価に
構成することのできる、自動車用制御装置を提供するこ
と。 【構成】 オン・ボード・プログラム書き換え機(1
0)の転送プログラム(15)を、MCU(2)内のR
AM(7)に転送し、この転送プログラムの作用により
フラッシュROM(4)を書き換える。このRAM
(7)上の転送プログラムを起動する以前に、外部より
与えられるコード(17a)と、もとあるROM上のコ
ード(4a)との一致を調べ、不一致の場合は書き換え
動作を停止する書き換え制御手段(6)を、MCU
(2)内部に構成することにより達成される。

Description

【発明の詳細な説明】
【0001】
【産業上の利用分野】本発明は、自動車用制御装置に関
し、特に、自動車用制御装置に格納される制御ソフトウ
ェアのオン・ボード書き換え技術に関する。
【0002】
【従来の技術】近年、大規模な電気的書き換え可能メモ
リ(E2PROMやフラッシュROM)が実用化され、
自動車用制御機器の内部にも使用されるようになってき
ている。用途としては、制御定数の格納や制御アルゴリ
ズムの格納等であり、以下のような利便性を提供すると
考えられている。
【0003】自動車メーカからの製品出荷後において
発見されたソフトウェア・バグに対して、フィールドで
容易にオン・ボード書き換えで対応できる。 自動車の構成部品の劣化及び経時変化に対して、制御
装置内に格納されたマッチング定数の書き換えで対応で
きる。 製品出荷後において、オプション部品着脱等で制御装
置の構成が変更になる場合、その構成に見合った制御ソ
フトを再ロードできる。
【0004】上記の、に対しては、例えば、文献
「Cost-effective field reprogrammable code-flash m
emory technology. 」(Spec Publ Soc Automot Eng NO.
SP-739PAGE.55-59 1988)から明らかであり、に対し
ては、例えば、特開平3−149337号公報に開示さ
れている。また、このようなオン・ボード書き換えに当
たっては、ユーザが設計した書き換え用の転送プログラ
ムを外部よりワンチップ・マイクロコンピュータ内部の
RAM領域に読み込み、それによって書き換えを実施し
ようとする技術は、例えば、「H8/538F ハードウェアマ
ニュアル」((株)日立製作所 半導体事業部発行平成
5年8月 第1版)等の文献で述べられているとおり、
既に知られている。
【0005】ところで、外部より書き換え転送用のプロ
グラムを読み込み、それに制御を委ねる方式のオン・ボ
ード書き換えでは、正規の書き換えプログラムではな
く、内部情報出力用の偽プログラムをロードされる可能
性が不可避である。しかも、この書き換え用の転送プロ
グラムの作成法は一般に公開されているので、誰にでも
書き換え用の転送プログラムが自在に作成でき、その結
果として偽プログラムを用いて内部コードを改ざんする
ことは、誰にでも容易にできる。
【0006】そこで、いわゆるフィールドで、制御ソフ
ト及び定数の書き換えを許すシステムにおいては、その
コードの機密性の保持と、正規操作以外の書き換え(改
ざん)に対するコードの保護とが重要な課題になってく
る。たとえば、外付けEPROMに関しては、所定のタ
イミングで外部記憶手段のデータに基づくチェックデー
タを作成し、このチェックデータと内部記憶手段内のチ
ェックデータとを比較し、その両者が不一致のときは外
部記憶手段のデータの改ざんが行われたとして異常モー
ドを設定するようにした制御装置が知られている(例え
ば、特開平3−238541号公報参照)。
【0007】
【発明が解決しようとする課題】ところが、大規模E2
PROM及びフラッシュROM内蔵の車載用ワンチップ
・マイクロコンピュータに関しては、そのコードの機密
性の保持、及び正規操作以外の書き換え(改ざん)に対
するコードの保護に関する技術は開発されていなかっ
た。
【0008】また、ユーザが作成した書き換え用の転送
プログラムを、外部よりワンチップ・マイクロコンピュ
ータ内にロードして書き換えを行う場合、書き換えプロ
グラムのアルゴリズムに対する自由度が少ないという問
題点がある。例えば、割り込みベクタは、通常書き換え
るべきフラッシュROM上のアドレス空間にマッピング
されており、書き換え動作中は割り込み処理を使用でき
ないということが発生する。
【0009】本発明は、このような問題に鑑みてなされ
たものであって、その目的は、プログラムの機密性、及
び保護性を大幅に向上させるようになされ、しかも、プ
ログラムの初期書き込み時に不必要なセキュリティー動
作を行わずに、障害回復に費やす時間を最小限とするこ
とができ、また、オン・ボード・書き換え動作における
データ転送に割り込み処理を使用することができるとと
もに、高速で且つ高信頼性のプロトコルを容易に採用す
ることができ、かつ、自動車用オン・ボード・書き換え
システムを安価に構成することのできる、自動車用制御
装置を提供することである。
【0010】
【課題を解決するための手段】前記の目的を達成すべ
く、本発明に係わる自動車用制御装置は、基本的には、
制御のためのアルゴリズムとデータを記憶した書き換え
可能な記憶手段と、該記憶手段のアルゴリズムとデータ
に基づいて車載機器を制御するようにしたCPUとを処
理装置内部に格納するとともに、前記書き換え可能な記
憶手段の内容が、通常前記処理装置外部から読みだし不
能となるように梱包されてなる自動車用制御装置であっ
て、前記処理装置内部に、外部からの前記記憶手段の書
き換え指令を判別する書き換えモード判別手段と、外部
と通信を行うシリアル通信手段と、書き換えモード初期
に該シリアル通信手段を通じて外部よりロードされた転
送プログラムが一時的にロードされる一時記憶手段と、
前記書き換えモード判別手段の信号を受けて前記一時記
憶手段に転送プログラムをロードし所定のタイミングで
制御を該転送プログラムに委ねる書き換え制御手段と、
を備えるとともに、前記転送プログラムの働きによって
前記シリアル転送手段を通じて外部より受信されたコー
ドにより前記書き換え可能な記憶手段の内容を更新する
機能を有する自動車用制御装置において、前記書き換え
制御手段は、前記転送プログラムに制御を委ねる以前の
所定のタイミングで外部より受信したコードと、前記書
き換え可能な記憶手段の特定番地に予め格納されたコー
ドとを比較し、不一致の場合は書き換えモードを中止す
る機能を備えたことを特徴としている。
【0011】そして、本発明のより好ましい具体例とし
ては、前記書き換え制御手段が、前記転送プログラムに
制御を委ねる以前の所定のタイミングで外部より受信し
たコードと、前記書き換え可能な記憶手段の特定番地に
予め格納されたコードとを比較し、不一致の場合は前記
書き換え可能な記憶手段の所定の番地の内容の全部もし
くは一部を消去する機能を備えたものや、前記書き換え
可能な記憶手段の1以上の所定番地の内容が未書き込み
状態の場合、前記転送プログラムに制御を委ねる以前の
所定のタイミングで外部より受信したコードと、前記書
き換え可能な記憶手段の特定番地に予め格納されたコー
ドとを比較せず、無条件に前記転送プログラムに制御を
委ねる機能を備えたものが挙げられる。
【0012】さらに、前記処理装置内部に、通常のモー
ドでは前記CPUの割り込みベクタ領域が前記書き換え
可能な記憶手段内部の所定領域に取られるようにすると
ともに、前記書き換えモード判別手段により遷移した書
き換えモード中においては、該モード内の所定期間中だ
け、前記一時記憶手段内の所定領域に割り込みベクタを
移動させるようにした割り込みベクタ移動手段を設ける
ことも好適な実施例である。
【0013】
【作用】前述の如く構成された本発明に係わる自動車用
制御装置においては、ワンチップ・マイクロコンピュー
タの初期コード設定者しか知り得ない知識を利用して、
それをチェックコードとして用いることにより、偽プロ
グラムの侵入を防止し、あるいは、偽プログラムの侵入
の際に内部コードを消去し機密を保持することができ
る。また、コードの初期書き込みの際に、不必要なチェ
ック操作を行わないようにして、障害回復に費やす時間
及び労力を最小限とすることができる。さらに、ユーザ
ーによる書き換え用の転送プログラムの作成を容易にす
ることができる。
【0014】
【実施例】以下、図面により本発明の一実施例を説明す
る。図1は本発明に係わる一実施例の自動車用制御装置
のブロック図である。自動車用制御装置1の内部の基板
には、MCU(Micro Control Unit)2が半田付けされて
いる。このMCU2内部には、CPU(Central Process
ing Unit)3があり、書き換え可能記憶手段であるフラ
ッシュROM4に格納されているプログラムの指示によ
り機器の制御を行うようになっている。通常このフラッ
シュROM4の内容は、MCU2というレジン梱包の内
部に隠されており、外部より安易に読み書きできなくな
っている。従って、この働きによりプログラムの機密性
と保護性とが保持されている。
【0015】オン・ボード・プログラム書き換え機10
は、シリアル回線RX11及びシリアル回線TX12に
よりMCU2と接続し、外部より上記のプログラムの書
き換えを行う。一般に、MCU2を自動車用制御装置1
の基板より取り出さず、装着したままの形態で内部プロ
グラムを書き換えることを、「オン・ボード・プログラ
ム書き換え」と称している。基板よりMCU2を抜き差
ししなくてすむので、電気的信頼性を損なうことがな
く、EPROM交換及び基板やユニット等のアッシー交
換の形態と比べて、交換にかかる時間とコストとを大幅
に節約することができる。
【0016】この「オン・ボード・プログラム書き換
え」の原理を説明すると以下のようになる。外部スイッ
チ13は、外部よりプログラム書き換えの指令をMCU
2に伝える。これは、MCU2の内部機構的な差異にも
よるが、通常MCU2の所定端子に書き込み電圧Vpp
(12V)を印可してリセット解除することで行われ
る。書き換えモード判別手段5は、上記信号を判別し
て、MCU2を書き換えモードの状態に遷移させる。
【0017】書き換えモードでは、CPU3は、書き換
え可能記憶手段4に格納されている通常の制御プログラ
ムでは動作せず、書き換え制御手段6に格納されている
ブート・プログラムにより動作する。この働きによりS
CI(Serial CommunicationInterface)8を通じて外部
とデータ交換可能となる。一方、オン・ボード・プログ
ラム書き換え機10は、MCU2と同様のSCI14、
MCU2内部の一時記憶手段7(いわゆるRAM)に転
送されるべき書き換え用転送プログラム15、最終的な
結果として書き換え可能な記憶手段4の更新内容となる
コードを記憶している交換可能な記録媒体17、及びそ
れらのデータの流れを制御する通信制御手段16により
構成されている。
【0018】上記の交換可能な記録媒体17は、EPR
OMのような電気的素子の形でも良いし、フロッピーデ
ィスクのような磁気記録媒体、若しくはキーボードのよ
うな端末装置でも良い。書き換えモードに遷移したMC
U2は、シリアル回線RX11を介して、書き換え用転
送プログラム15を一時記憶手段7に転送する。その
後、CPU3の制御は、この一時記憶手段7上の書き換
え用転送プログラムに移行する。
【0019】この書き換え用転送プログラムは、引き続
きシリアル回線RX11を通じて、オン・ボード・プロ
グラム書き換え機10の交換可能な記録媒体17のコー
ドを読み込み、書き換え可能な記憶手段4の内容を更新
する。シリアル回線TX12は、シリアル通信のフロー
制御に用いるものであり、例えばMCU2からオン・ボ
ード・プログラム書き換え機10に向けての受信確認信
号やデータ再送指示等に使用される。
【0020】書き換え用転送プログラム15は、MCU
2内部の書き換え制御手段6に、予めファームウェアと
して格納しておけば、書き換えモード初期にオン・ボー
ド・プログラム書き換え機10よりMCU2に転送しな
くてすむので効率的であるが、以下のような理由で採用
されていない。 書き換え制御手段6のファームウェアが大規模にな
り、コストがかさむこと。(簡単なブート・プログラム
を設定するのに精一杯である。) オン・ボード・プログラム書き換え機10とMCU2
間の通信プロトコル、及び書き換え可能記憶手段7の書
き換えアルゴリズムが固定となり、柔軟性が損なわれ
る。(ユーザがTPOに応じた手段をとれなくなる。)
【0021】また、書き換え転送プログラム15を書き
換え可能な記憶手段4の中にいれておけば同様に不要と
なるが、以下のような理由で、この方式も採用されてい
ない。 初期書き込みとそれ以降の書き込みでは方式を違えな
ければならない。(未書き込み状態では転送プログラム
が存在していない。) 書き換え用転送プログラムそれ自体を外部より修正で
きない。 書き換え用転送プログラム自体が載っているメモリブ
ロックを消去できない。 自動車用制御装置1の制御プログラムと書き換え用転
送プログラムをセットにして同時に管理するのが煩雑で
ある。
【0022】交換可能な記録媒体17に含まれているチ
ェクコード17aは、所定のタイミングで、シリアル回
線RX11を通じてMCU2に送られる。この所定のタ
イミングとは、MCU2内の書き換え制御手段6が、C
PU3の制御を一時記憶手段7上の書き換え転送プログ
ラムに移す以前ならばいつでも良い。書き換え制御手段
6のブート・プログラムは、この送られてきたコード
と、書き換え可能な記憶手段4内の特定番地の内容4a
との比較を行う。比較結果が不一致であるならば、セキ
ュリティー違反として、以下ブート・プログラムに指示
された動作を行う。
【0023】また、図1において、割り込みベクタ移動
手段9は、前述の書き換え用転送プログラム稼働中に、
割り込みベクタ領域を、領域4bから、領域7bに移動
させる機能を持っている。通常、書き換え可能な記憶手
段4に格納されたプログラムによりCPU3が動作して
いる間は、割り込みベクタ領域は、領域4bに取られて
いる。しかしながら、書き換え動作中もこの領域を固定
とすると、この領域が記憶されている書き換え可能な記
憶手段4自体のコードが書き換えられている最中は、C
PU3はこの領域4bの内容を読み出すことができな
い。特に、フラッシュROM等でこの記憶手段4が構成
されている場合は、領域4aを含むメモリブロックの消
去若しくは書き込み中は、当該メモリブロック全てが、
完全に読みだし禁止となってしまう。従って、書き換え
操作中はMCU2がもとから持っている割り込み機能を
利用できないということになる。
【0024】この欠点を解消するための手段が、割り込
みベクタ移動手段9である。書き換えモードで、一時記
憶手段7の上の書き換え用転送プログラムが動作してい
る間は、割り込みベクタ領域を、一時記憶手段7内の領
域7bに移動させる。従って、書き換え用転送プログラ
ムで、割り込み機能が利用できるようになり、アルゴリ
ズムの自由度が増加する。図2は、本発明の一実施例に
よるアルゴリズムをフローチャートにより示したもので
ある。このアルゴリズムは、前述したように、書き換え
制御手段6に実装されたブート・プログラムにより実行
される。
【0025】書き換えモード判別手段の信号を受けて書
き換え制御手段6のブート・プログラムが起動される
と、まずブロック201に進み、外部のオン・ボード・
プログラム書き換え機10との同期処理が取られる。同
期処理とは、オン・ボード・プログラム書き換え機10
とMCU2との転送レートのすり合わせ、及び通信プロ
トコルの確認処理などが含まれている。その後、ブロッ
ク202に進み受信すべき転送プログラムの総バイト数
を受信する。その後は、ループを形成したブロック20
3、204、205により、転送プログラムを1バイト
ごとに外部から一時記憶手段7にコピーする。このルー
プは、転送プログラムの全てをコピーするまで継続され
る。次に、処理はブロック206に進み、オン・ボード
・プログラム書き換え機10から送られてきたチェック
コード17aを受信する。ブロック207では、このチ
ェックコード17aと書き換え可能記憶手段4上の所定
コード4aとを比較し、一致した場合はブロック208
に進み、先程転送したばかりの一時記憶手段7上のプロ
グラムに制御を移す。不一致の場合は、ブロック209
で書き換えモードを終了させ、もとある書き換え可能な
記憶手段4上のコードのプロテクトを行う。
【0026】本実施例によれば、プログラムの機密性と
保護性の向上が実現できる。ところが、前述のアルゴリ
ズムは、所定コード4aの取り得るコードパターンの全
てについて、総当たり的に書き換え動作を実行させれ
ば、いつかはプロテクトが破られてしまう。この点を改
善した他の実施例を、図3のフローチャートに示す。
【0027】図3では、図2のブロック207の論理を
反転したブロック207’と新たに追加されたブロック
210以外は、全て図2と同じ構成ブロックである。し
たがって、図3のフローチャートにおいて、図2のブロ
ックと対応するブロックには同一の符号を付してそれら
の重複する説明は省略し、以下においては、図2との相
違点のみを重点的に説明する。
【0028】ブロック207’では、オン・ボード・プ
ログラム書き換え機10より送られたチェックコード1
7aと書き換え可能な記憶手段4上の所定コード4aと
を比較し、一致すれば、図2と同様に、転送プログラム
に制御移す。不一致ならば、次のブロック210によ
り、もとある書き換え可能な記憶手段4上のコードの全
部もしくはその一部を消去し機密を保持する。
【0029】本実施例のアルゴリズムでは、前述したよ
うな試行錯誤的なプロテクト破りの手法が使えず、シス
テムの機密性が高まる。しかしながら、チェックコード
の照合に失敗すると無条件にコードが消去されるので、
再びコードが一から書き直しになるという虞がある。こ
の点の解決策として、チェックコード照合に所定回数以
上失敗した場合のみプログラムが消去されるように、ア
ルゴリズムを変更しても良い。
【0030】また、以上述べたような、チェックコード
の照合は、書き換え用転送プログラム取り込み後に行わ
れるようになっているが、転送プログラム取り込み前に
行っても良い。次に、本発明の他の実施例によるフロー
チャートを図4に示す。図4は、図3をベースとしてブ
ロック211を追加したものであり、図2及び図3と対
応するブロックには同一の符号が付してあり、以下にお
いては、図3と差異のある動作のみを説明する。
【0031】書き換え用転送プログラム取り込み後、書
き換え可能記憶手段4の所定番地が未書き込み状態であ
るならば、続くチェックコード照合をブロック211で
スキップする。このアルゴリズムは、MCU2の初期書
き込み操作で不要なことをせず、スループットを向上さ
せることができる。
【0032】一方、例えば、ブロック211で未書き込
み状態を判定する所定番地を前述のコード4aと一致さ
せておく。そして、前述の書き換え用転送プログラムの
初期で、この所定番地を未書き込み状態にしておき、全
ての更新すべきコードの書き換えが終わった時点で、こ
の所定番地に次の書き換えに備えてチェックコードを設
定するようにする。これにより、このチェックコードが
完全な書き換えに成功したか否かの信号をも兼ねるよう
になる。この結果、プログラム書き換えの途中で、シリ
アル回線に何らかの障害が発生して、書き換え制御がハ
ングアップした様な場合、次のリトライでは、前述のア
ルゴリズムの働きにより途中まで書き換わったプログラ
ムは消去されない。従って、書き換えの済んでいないメ
モリブロックより書き換え動作を継続すれば良く、障害
回復のための時間が短くて済むという優れた効果が得ら
れる。
【0033】次に、本発明による実施例との比較のた
め、割り込み機能を使用しない従来の書き換え用転送プ
ログラムのタイムチャートを、図5に示す。期間501
で、オン・ボード・プログラム書き換え機10より1バ
イト受信すると、直後の期間502で、書き換え可能な
記憶手段4のコードを当該データで更新する。そして、
続く期間503で、シリアル通信回線TX12上に次の
受信が可能である旨の信号を出力する。オン・ボード・
プログラム書き換え機10では、この信号を認識して、
次のデータを期間504で送信し、いわゆるハンド・シ
ェーク動作により1バイト毎の転送を行う。
【0034】このアルゴリズムをフローチャートにした
ものが、図6である。なお、このフローチャートにおい
ては、受信データの誤り検出と再送機能は煩雑になるの
で、当該フローチャートからは除外している。ブロック
601では、オン・ボード・プログラム書き換え機10
からのデータを受信し、ブロック602でデータを更新
する。そして、続くブロック603で書き換えるべきプ
ログラムコードの全てが受信完了したならば、605に
飛び終了する。まだ受信すべきコードが残っているなら
ば、ブロック604で、次の受信が可能となった旨を返
送しブロック601に戻る。
【0035】この従来の方式は、以下のような欠点を有
している。 データの受信動作と、書き込み動作が、マルチタスク
として並行して行えない。従って、オン・ボード・プロ
グラム書き換え機10とMCU2との間で、1バイト毎
のハンドシェーク動作を行わざるを得ず、転送のスルー
プットが上がらない。 データが受信可能となった旨の信号、例えば図5のデ
ータ505が、シリアル回線上のノイズにより消失した
場合、ハンドシェーク動作がそこで停止し継続不能とな
る。しかも書き換え転送用プログラムでは、この現象を
認識する手段がない。
【0036】以上の欠点を解消するため、本発明の実施
例により、受信割り込みとタイマ割り込みとを用いて動
作を改善した結果を、図7のタイムチャートに示す。図
7では、受信割り込みを用いて、データが4バイト毎に
まとめて送られている。しかも、受信動作と、書き込み
動作がマルチタスクとして並行して行われており、受信
可能信号701の送信が、受信データ4バイトに1バイ
トと間引かれている。この受信可能信号701の送出タ
イミングは、原理的にはデータの受信バッファの大きさ
だけ間引くことができる。従って、図5と比べても転送
スループットが大きく向上していることがわかる。
【0037】また、受信可能信号701を送出した後、
図示した期間Tの間に、次の受信データが送られてくる
かどうかを待つ。もし、送られてこなければ、受信可能
信号701が回線上で消失したものとみなし、再び受信
可能信号702を送出する(いわゆるタイム・アウト処
理)。この機能により、データ転送の信頼性が大きく向
上する。
【0038】以上のアルゴリズムをフローチャートにし
たものが、図8である。なお、このフローチャートにお
いても、受信データの誤り検出と再送機能は煩雑になる
ので、当該フローチャートから除外している。ブロック
820から823までは、受信割り込みの処理ルーチン
を示している。ブロック820では、ブロック810で
許可したタイマ割り込みを禁止し、前述したタイム・ア
ウト処理が発生しないようにしている。ブロック821
及び、ブロック822では、割り込み要因となったデー
タを受信し、受信バッファに順次格納しておく。続くブ
ロック823では、実際に受信バッファに格納されたバ
イト数を変数nとしてカウントする。
【0039】一方、書き換え転送用プログラムのブロッ
ク801では、受信バッファにデータが存在するかどう
か調べている。もし存在しないならばループによりこれ
を待ち、存在するならば、続くブロック802、803
でバッファより読み出して書き込みを行う。次のブロッ
ク804では受信バッファより読み出したデータ数を変
数mにてカウントする。ブロック805では、もしバッ
ファにまだ読みだしていないデータがあるならば、ブロ
ック802に戻る判定を行う。続くブロック806で
は、受信バッファに貯まったデータ数が規定のバイト数
かであるかどうか調べる。規定のバイト数とは、一回に
外部より送られてくるデータの個数を指し、受信バッフ
ァの大きさに依存する(図7の場合では4)。もし、規
定のバイト数に達しているならばブロック807に進
み、達してしなければ直前のブロック805と共にルー
プを形成し、受信割り込み処理により受信バッファにデ
ータが貯まるのを待つ。ブロック807では、書き換え
るべきコードの全てが受信完了したかどうか調べてい
る。受信が完了したならば、811に飛び終了する。ま
だ受信すべきコードが残っているならば、ブロック80
8で変数nとmをクリアし、ブロック809で次の受信
が可能となった旨を返送する。ブロック810では、タ
イム・アウト処理用のタイマ割り込みを活性化させブロ
ック801に戻る。
【0040】図7に図示したように期間Tが過ぎた時
に、1バイトも受信が行われなかった場合は、タイマ割
り込み処理のブロック830が起動し、受信可能信号を
再送信する。
【0041】
【発明の効果】以上説明から理解されるように、本発明
によれば、プログラムの機密性、及び保護性を大幅に向
上させるようになされ、しかも、プログラムの初期書き
込み時に不必要なセキュリティー動作を行わずに、障害
回復に費やす時間を最小限とすることができ、また、オ
ン・ボード・書き換え動作におけるデータ転送に割り込
み処理を使用することができるとともに、高速で且つ高
信頼性のプロトコルを容易に採用することができ、か
つ、自動車用オン・ボード・書き換えシステムを安価に
構成することができる。
【図面の簡単な説明】
【図1】本発明の一実施例を示す内部ブロック図。
【図2】本発明の一実施例を示すフローチャート。
【図3】本発明の他の実施例を示すフローチャート。
【図4】本発明の他の実施例を示すフローチャート。
【図5】従来型転送プログラムのタイムチャート。
【図6】従来型転送プログラムのフローチャート。
【図7】本発明による転送プログラムのタイムチャート
【図8】本発明による転送プログラムのフローチャー
ト。
【符号の説明】
1…自動車用制御装置、2…MCUとしてのワンチップ
・マイクロコンピュータ、3…CPU、4…書き換え可
能記憶手段としてのフラッシュROM、6…書き換え制
御手段としてのブート・プログラム・ファームウェア、
7…一時記憶手段としてのRAM、10…オン・ボード
・書き換え機、11,12…双方向のシリアル通信回
線、15…書き換え用転送プログラム、17…交換可能
な記録媒体としてのEPROM
───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.6 識別記号 庁内整理番号 FI 技術表示箇所 G06F 9/06 G 7230−5B 12/14 310 A

Claims (4)

    【特許請求の範囲】
  1. 【請求項1】 制御のためのアルゴリズムとデータを記
    憶した書き換え可能な記憶手段と、該記憶手段のアルゴ
    リズムとデータに基づいて車載機器を制御するようにし
    たCPUとを処理装置内部に格納するとともに、前記書
    き換え可能な記憶手段の内容が、通常前記処理装置外部
    から読みだし不能となるように梱包されてなる自動車用
    制御装置であって、 前記処理装置内部に、外部からの前記記憶手段の書き換
    え指令を判別する書き換えモード判別手段と、外部と通
    信を行うシリアル通信手段と、書き換えモード初期に該
    シリアル通信手段を通じて外部よりロードされた転送プ
    ログラムが一時的にロードされる一時記憶手段と、前記
    書き換えモード判別手段の信号を受けて前記一時記憶手
    段に転送プログラムをロードし所定のタイミングで制御
    を該転送プログラムに委ねる書き換え制御手段と、を備
    えるとともに、前記転送プログラムの働きによって前記
    シリアル転送手段を通じて外部より受信されたコードに
    より前記書き換え可能な記憶手段の内容を更新する機能
    を有する自動車用制御装置において、 前記書き換え制御手段は、前記転送プログラムに制御を
    委ねる以前の所定のタイミングで外部より受信したコー
    ドと、前記書き換え可能な記憶手段の特定番地に予め格
    納されたコードとを比較し、不一致の場合は書き換えモ
    ードを中止する機能を備えたことを特徴とする自動車用
    制御装置。
  2. 【請求項2】 制御のためのアルゴリズムとデータを記
    憶した書き換え可能な記憶手段と、該記憶手段のアルゴ
    リズムとデータに基づいて車載機器を制御するようにし
    たCPUとを処理装置内部に格納するとともに、前記書
    き換え可能な記憶手段の内容が、通常前記処理装置外部
    から読みだし不能となるように梱包されてなる自動車用
    制御装置であって、 前記処理装置内部に、外部からの前記記憶手段の書き換
    え指令を判別する書き換えモード判別手段と、外部と通
    信を行うシリアル通信手段と、書き換えモード初期に該
    シリアル通信手段を通じて外部よりロードされた転送プ
    ログラムが一時的にロードされる一時記憶手段と、前記
    書き換えモード判別手段の信号を受けて前記一時記憶手
    段に転送プログラムをロードし所定のタイミングで制御
    を該転送プログラムに委ねる書き換え制御手段と、を備
    えるとともに、前記転送プログラムの働きによって前記
    シリアル転送手段を通じて外部より受信されたコードに
    より前記書き換え可能な記憶手段の内容を更新する機能
    を有する自動車用制御装置において、 前記書き換え制御手段は、前記転送プログラムに制御を
    委ねる以前の所定のタイミングで外部より受信したコー
    ドと、前記書き換え可能な記憶手段の特定番地に予め格
    納されたコードとを比較し、不一致の場合は前記書き換
    え可能な記憶手段の所定の番地の内容の全部もしくは一
    部を消去する機能を備えたことを特徴とする自動車用制
    御装置。
  3. 【請求項3】 制御のためのアルゴリズムとデータを記
    憶した書き換え可能な記憶手段と、該記憶手段のアルゴ
    リズムとデータに基づいて車載機器を制御するようにし
    たCPUとを処理装置内部に格納するとともに、前記書
    き換え可能な記憶手段の内容が、通常前記処理装置外部
    から読みだし不能となるように梱包されてなる自動車用
    制御装置であって、 前記処理装置内部に、外部からの前記記憶手段の書き換
    え指令を判別する書き換えモード判別手段と、外部と通
    信を行うシリアル通信手段と、書き換えモード初期に該
    シリアル通信手段を通じて外部よりロードされた転送プ
    ログラムが一時的にロードされる一時記憶手段と、前記
    書き換えモード判別手段の信号を受けて前記一時記憶手
    段に転送プログラムをロードし所定のタイミングで制御
    を該転送プログラムに委ねる書き換え制御手段と、を備
    えるとともに、前記転送プログラムの働きによって前記
    シリアル転送手段を通じて外部より受信されたコードに
    より前記書き換え可能な記憶手段の内容を更新する機能
    を有する自動車用制御装置において、 前記書き換え制御手段は、前記書き換え可能な記憶手段
    の1以上の所定番地の内容が未書き込み状態の場合、前
    記転送プログラムに制御を委ねる以前の所定のタイミン
    グで外部より受信したコードと、前記書き換え可能な記
    憶手段の特定番地に予め格納されたコードとを比較せ
    ず、無条件に前記転送プログラムに制御を委ねる機能を
    備えたことを特徴とする自動車用制御装置。
  4. 【請求項4】 制御のためのアルゴリズムとデータを記
    憶した書き換え可能な記憶手段と、該記憶手段のアルゴ
    リズムとデータに基づいて車載機器を制御するようにし
    たCPUとを処理装置内部に格納するとともに、前記書
    き換え可能な記憶手段の内容が、通常前記処理装置外部
    から読みだし不能となるように梱包されてなる自動車用
    制御装置であって、 前記処理装置内部に、外部からの前記記憶手段の書き換
    え指令を判別する書き換えモード判別手段と、外部と通
    信を行うシリアル通信手段と、書き換えモード初期に該
    シリアル通信手段を通じて外部よりロードされた転送プ
    ログラムが一時的にロードされる一時記憶手段と、前記
    書き換えモード判別手段の信号を受けて前記一時記憶手
    段に転送プログラムをロードし所定のタイミングで制御
    を該転送プログラムに委ねる書き換え制御手段と、を備
    えるとともに、前記転送プログラムの働きによって前記
    シリアル転送手段を通じて外部より受信されたコードに
    より前記書き換え可能な記憶手段の内容を更新する機能
    を有する自動車用制御装置において、 前記処理装置内部に、通常のモードでは前記CPUの割
    り込みベクタ領域が前記書き換え可能な記憶手段内部の
    所定領域に取られるようにするとともに、前記書き換え
    モード判別手段により遷移した書き換えモード中におい
    ては、該モード内の所定期間中だけ、前記一時記憶手段
    内の所定領域に割り込みベクタを移動させるようにした
    割り込みベクタ移動手段を設けたことを特徴とする自動
    車用制御装置。
JP10117794A 1994-05-16 1994-05-16 自動車用制御装置 Expired - Lifetime JP3176506B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP10117794A JP3176506B2 (ja) 1994-05-16 1994-05-16 自動車用制御装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP10117794A JP3176506B2 (ja) 1994-05-16 1994-05-16 自動車用制御装置

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2001028844A Division JP3732413B2 (ja) 2001-02-05 2001-02-05 自動車用制御装置

Publications (2)

Publication Number Publication Date
JPH07311603A true JPH07311603A (ja) 1995-11-28
JP3176506B2 JP3176506B2 (ja) 2001-06-18

Family

ID=14293724

Family Applications (1)

Application Number Title Priority Date Filing Date
JP10117794A Expired - Lifetime JP3176506B2 (ja) 1994-05-16 1994-05-16 自動車用制御装置

Country Status (1)

Country Link
JP (1) JP3176506B2 (ja)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11237957A (ja) * 1998-02-23 1999-08-31 Fujitsu Ltd 磁気ディスク制御装置およびそのファームウェア活性交換方法
US6138059A (en) * 1998-03-10 2000-10-24 Denso Corporation Vehicle control system and unit for preventing power supply cutoff during re-programming mode
US6144887A (en) * 1996-12-09 2000-11-07 Denso Corporation Electronic control unit with reset blocking during loading
US6249848B1 (en) 1996-09-20 2001-06-19 Denso Corporation Memory writing device for an electronic device
US6490663B1 (en) 1998-07-14 2002-12-03 Denso Corporation Electronic control apparatus having rewritable nonvolatile memory
JP2003068019A (ja) * 2001-08-28 2003-03-07 Nec Corp 光ディスク装置、そのファームウエア書き換え方法およびそのプログラム
JP2008068676A (ja) * 2006-09-12 2008-03-27 Toyota Motor Corp 車載ユニットの個体性能情報の書き換え方法及び書き換え装置
JP2014102901A (ja) * 2012-11-16 2014-06-05 Fuji Denki Kogyo Kk 保護装置
JP2015112963A (ja) * 2013-12-10 2015-06-22 トヨタ自動車株式会社 車載ネットワークシステム
JP2017157202A (ja) * 2016-02-26 2017-09-07 株式会社デンソー 車載制御装置

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6505280B2 (en) * 1996-09-20 2003-01-07 Denso Corporation Memory writing device for an electronic device
US6275911B1 (en) 1996-09-20 2001-08-14 Denso Corporation Memory writing device for an electronic device
US6249848B1 (en) 1996-09-20 2001-06-19 Denso Corporation Memory writing device for an electronic device
US6477626B1 (en) 1996-09-20 2002-11-05 Denso Corporation Memory writing device for an electronic device
US7493455B2 (en) 1996-09-20 2009-02-17 Denso Corporation Memory writing device for an electronic device
US6957296B2 (en) 1996-09-20 2005-10-18 Denso Corporation Memory writing device for an electronic device
US6144887A (en) * 1996-12-09 2000-11-07 Denso Corporation Electronic control unit with reset blocking during loading
US6493593B1 (en) 1996-12-09 2002-12-10 Denso Corporation Electronic control unit
JPH11237957A (ja) * 1998-02-23 1999-08-31 Fujitsu Ltd 磁気ディスク制御装置およびそのファームウェア活性交換方法
US6138059A (en) * 1998-03-10 2000-10-24 Denso Corporation Vehicle control system and unit for preventing power supply cutoff during re-programming mode
US6490663B1 (en) 1998-07-14 2002-12-03 Denso Corporation Electronic control apparatus having rewritable nonvolatile memory
JP2003068019A (ja) * 2001-08-28 2003-03-07 Nec Corp 光ディスク装置、そのファームウエア書き換え方法およびそのプログラム
JP2008068676A (ja) * 2006-09-12 2008-03-27 Toyota Motor Corp 車載ユニットの個体性能情報の書き換え方法及び書き換え装置
JP2014102901A (ja) * 2012-11-16 2014-06-05 Fuji Denki Kogyo Kk 保護装置
JP2015112963A (ja) * 2013-12-10 2015-06-22 トヨタ自動車株式会社 車載ネットワークシステム
JP2017157202A (ja) * 2016-02-26 2017-09-07 株式会社デンソー 車載制御装置

Also Published As

Publication number Publication date
JP3176506B2 (ja) 2001-06-18

Similar Documents

Publication Publication Date Title
US6976136B2 (en) Flash memory protection scheme for secured shared BIOS implementation in personal computers with an embedded controller
TW480443B (en) Virus resistant and hardware independent method of flashing system BIOS
CA1211542A (en) Security arrangement for and method of rendering microprocessor-controlled electronic equipment inoperative after occurrence of disabling event
US7389536B2 (en) System and apparatus for limiting access to secure data through a portable computer to a time set with the portable computer connected to a base computer
US20050259465A1 (en) Nonvolatile memory apparatus
JP3176506B2 (ja) 自動車用制御装置
US8219978B2 (en) Information processing device
CN107392059B (zh) 保护非易失性存储器中存储的程序代码的装置
WO2010130171A1 (zh) 一种移动终端及保护其系统数据的方法
JPH11272459A (ja) 書換え可能不揮発性メモリの書換え方法及びシステム並びにアプリケ―ション・プログラムの故障回復方法及びシステム
JP3732413B2 (ja) 自動車用制御装置
US7934050B2 (en) Microcomputer for flash memory rewriting
JP2002024046A (ja) マイクロコンピュータ及びそのメモリ内容変更システム並びにメモリ内容変更方法
JPH10105408A (ja) 情報処理装置
CN115145650A (zh) 信息处理装置、存储介质及信息处理方法
JP2002014871A (ja) コンテンツチェック方法、コンテンツ更新方法、および処理装置
CN112131537B (zh) 一种对zynq芯片程序镜像文件的加解密的方法
JP4509291B2 (ja) Icカード、icカードのプログラム更新装置、および、その方法
JPH1011277A (ja) 電気的書換え可能な不揮発性メモリを備えるコンピュータ装置および不揮発性半導体メモリ
EP4124980A1 (en) Personalization of a secure element
JPH11167525A (ja) 不揮発性メモリ混載マイコン及びその不揮発性メモリ書換え方法並びに不揮発性メモリ混載マイコンの不揮発性メモリ書換えプログラムを記録した記録媒体
JP3709702B2 (ja) Icカード、icカード接続装置、icカードシステム及びプログラムの実行制御方法
JP2003005854A (ja) 情報処理装置
JP2023020590A (ja) 情報処理装置、及び監視方法
JPH0934795A (ja) Cpuプログラムのコピープロテクト法

Legal Events

Date Code Title Description
FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20080406

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090406

Year of fee payment: 8

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090406

Year of fee payment: 8

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100406

Year of fee payment: 9

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100406

Year of fee payment: 9

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313111

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100406

Year of fee payment: 9

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110406

Year of fee payment: 10

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120406

Year of fee payment: 11

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120406

Year of fee payment: 11

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130406

Year of fee payment: 12

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140406

Year of fee payment: 13

EXPY Cancellation because of completion of term