JPH1083294A - Operating method for controller equipped with storage device programmable through programming device - Google Patents

Operating method for controller equipped with storage device programmable through programming device

Info

Publication number
JPH1083294A
JPH1083294A JP15184097A JP15184097A JPH1083294A JP H1083294 A JPH1083294 A JP H1083294A JP 15184097 A JP15184097 A JP 15184097A JP 15184097 A JP15184097 A JP 15184097A JP H1083294 A JPH1083294 A JP H1083294A
Authority
JP
Japan
Prior art keywords
processing program
data processing
storage device
control device
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP15184097A
Other languages
Japanese (ja)
Inventor
Andreas Werner
ヴェルナー アンドレアス
Carsten Franz
フランツ カールステン
Udo Schulz
シュルツ ウード
Walter Nagl
ナクル ヴァルター
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Publication of JPH1083294A publication Critical patent/JPH1083294A/en
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/572Secure firmware programming, e.g. of basic input output system [BIOS]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/79Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
    • GPHYSICS
    • G11INFORMATION STORAGE
    • G11CSTATIC STORES
    • G11C16/00Erasable programmable read-only memories
    • G11C16/02Erasable programmable read-only memories electrically programmable
    • G11C16/06Auxiliary circuits, e.g. for writing into memory
    • G11C16/10Programming or data input circuits
    • G11C16/102External programming circuits, e.g. EPROM programmers; In-circuit programming or reprogramming; EPROM emulators
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/03Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for supply of electrical power to vehicle subsystems or for
    • B60R16/0315Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for supply of electrical power to vehicle subsystems or for using multiplexing techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2105Dual mode as a secondary aspect
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2143Clearing memory, e.g. to prevent the data from being stolen

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Read Only Memory (AREA)
  • Storage Device Security (AREA)
  • Stored Programmes (AREA)

Abstract

PROBLEM TO BE SOLVED: To stop data stored in the programmable storage device from illegally being erased or rewritten by making alterations only when an entry into a data processing program step is regularly made or when the possibility of the regular entry is detected. SOLUTION: An automobile controller 10 includes an electrically erasable programmable memory device 14 in the form of a flash EPROM, which is programmed through an external programming device 20. In this case, it is inspected whether or not there is a regular entry into a step of a data processing program for erasing and/or rewriting data in the flash EPROM. Namely, whether a wrong or incorrect result is evidently generated or to be generated or its possibility is inspected. Then necessary alterations are made properly before the corresponding data processing program step is executed or before access to necessary data is gained.

Description

【発明の詳細な説明】DETAILED DESCRIPTION OF THE INVENTION

【0001】[0001]

【発明の属する技術分野】本発明は、プログラミング装
置を介してプログラミング可能な記憶装置を備えた制御
装置の作動方法であって、記記憶装置の内容の消去と書
き換えがデータ処理プログラムステップの実施と適用デ
ータのもとでそのつど実施される形式の、プログラミン
グ装置を介してプログラミング可能な記憶装置を備えた
制御装置の作動方法に関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a method of operating a control device provided with a storage device which can be programmed via a programming device. The invention relates to a method for operating a control unit with a storage device which can be programmed via a programming device, in each case under application data.

【0002】[0002]

【従来の技術】この種の方法は例えばドイツ連邦共和国
特許出願公開第4332499号公報から公知である。
この公報に記載されている制御装置は自動車制御装置
で、そのシステム全体における可能な構造と配置構成は
以下で図6に基づいて詳細に説明する。2. Description of the Related Art A method of this kind is known, for example, from DE-A 43 32 499.
The control device described in this publication is a vehicle control device, and its possible structure and arrangement in the entire system will be described in detail below with reference to FIG.

【0003】自動車制御装置は、図6中符号10で示さ
れている。この制御装置10にはマイクロコンピュータ
11と、入出力回路12が含まれている。[0003] The vehicle control device is indicated by reference numeral 10 in FIG. The control device 10 includes a microcomputer 11 and an input / output circuit 12.

【0004】マイクロコンピュータ11は、中央処理装
置13と、電気的消去可能なフラッシュEPROM形状
のプログラマブルメモリ14と、ランダムアクセスメモ
リ15と、読出し専用メモリ16と、シリアルインター
フェース21を含んでいる。[0004] The microcomputer 11 includes a central processing unit 13, a programmable memory 14 in the form of an electrically erasable flash EPROM, a random access memory 15, a read-only memory 16, and a serial interface 21.

【0005】自動車制御装置10は、一方では入出力回
路12を介して、複数のセンサ、例えばスロットル弁ポ
テンショメータ17、回転数センサ23やさらなる別の
センサ等からの入力信号を受け取る。このさらなる別の
センサはここでは詳細にはふれないが、自動車制御装置
に応じて、エンジン温度センサ、吸気温度センサ、空気
質量計、アイドリングスイッチ等である。[0005] On the one hand, the vehicle control device 10 receives input signals from a plurality of sensors, for example, a throttle valve potentiometer 17, a rotational speed sensor 23 and further sensors via an input / output circuit 12. This further sensor will not be described in detail here, but is an engine temperature sensor, an intake air temperature sensor, an air mass meter, an idling switch, etc., depending on the vehicle control unit.

【0006】自動車制御装置10は、もう一方では入出
力回路12を介して複数のアクチュエータ19、例えば
燃料噴射弁、点火コイル等の制御のためのアクチュエー
タへの出力信号を送出する。On the other hand, the vehicle control device 10 sends out output signals to a plurality of actuators 19, for example, actuators for controlling fuel injection valves, ignition coils and the like, via an input / output circuit 12.

【0007】この自動車制御装置10の正確な構造は、
例えば1983年にロバート・ボッシュ社から発行され
た公知文献“Technische Unterrichtung,kombiniertes
Zuend-und Benzineinspritzsystem Motronic”に詳細に
説明されているのでここでの詳細な説明は省く。[0007] The precise structure of the vehicle control device 10 is as follows.
For example, the known document “Technische Unterrichtung, kombiniertes” published by Robert Bosch in 1983
It is described in detail in “Zuend-und Benzineinspritzsystem Motronic”, and will not be described in detail here.

【0008】前述したメモリ装置14,15,16は、中
央処理装置13に対応付けされており、この中央処理装
置13に対するプログラムやデータの記憶に用いられて
いる。The above-mentioned memory devices 14, 15, 16 are associated with the central processing unit 13, and are used for storing programs and data for the central processing unit 13.

【0009】メモリ装置14のような電気的消去とプロ
グラミングの可能な不揮発性メモリ装置の、自動車制御
装置での適用は有利であることがわかっている。なぜな
らこのメモリ装置はいつでもプログラムの書き換えが可
能で、これは特に後から見つけ出されたエラーや個々の
顧客ニーズに答えることのできるものである。The use of electrically erasable and programmable non-volatile memory devices, such as memory device 14, in automotive control systems has proven advantageous. Because the memory device can be rewritten at any time, it can respond particularly to later discovered errors and individual customer needs.

【0010】電気的消去とプログラミングの可能な不揮
発性メモリとしてのフラッシュEPROMの適用は、こ
の場合益々意味をなす。なぜならこのフラッシュEPR
OMは、“ノーマル”のEPROM(高いメモリセル密
度)とEEPROM(メモリ内容の簡単な電気的一括消
去)の利点を兼ね備えているからである。The application of flash EPROMs as electrically erasable and programmable non-volatile memories is increasingly meaningful in this case. Because this Flash EPR
This is because the OM combines the advantages of a "normal" EPROM (high memory cell density) and an EEPROM (simple electrical batch erasure of memory contents).

【0011】フラッシュEPROMの最初のプログラミ
ング(例えば自動車製造過程における自動車のタイプに
依存したプログラミング)のために、又はフラッシュE
PROMの後からのプログラム変更(エラー除去のため
の顧客サービスの際又は個々の顧客要望に応じるための
顧客サービスの際のプログラム変更)のために、外部の
プログラミング装置20(例えばパーソナルコンピュー
タ等)が制御装置10に接続される。For initial programming of a flash EPROM (eg, depending on the type of vehicle in the vehicle manufacturing process) or for flash
An external programming device 20 (e.g., a personal computer) can be used to change the program after the PROM (customer service for error removal or customer service to meet individual customer needs). Connected to the control device 10.

【0012】この接続は、例えばシリアルインターフェ
ースケーブル22と既存のシリアルインターフェース2
1を介して行われる。This connection is made, for example, by connecting the serial interface cable 22 to the existing serial interface 2.
1 is performed.

【0013】外部プログラミング装置20によって制御
装置10は、必要に応じてフラッシュEPROM内のデ
ータの消去ないしは書き換えのために、データ処理プロ
グラムステップを実施させる。その際場合によっては
(新たに)記憶させるべきデータが準備される。The external programming device 20 causes the control device 10 to execute data processing program steps for erasing or rewriting data in the flash EPROM as required. At that time, data to be (newly) stored is prepared in some cases.

【0014】制御装置10自体は、通常の場合は外部か
らのきっかけなしでは前記データ処理プログラムステッ
プの実施を誘起しない。すなわち走行動作中に制御装置
内で実施されるないしは実施されるべき適用プログラム
において前記データ処理プログラムステップへのエント
リは行われない。このような措置の講じられている理由
は、とりわけフラッシュEPROMの不本意なもしくは
不意の消去及び/又は書き換えを阻止するためである。The control device 10 itself does not normally trigger the execution of the data processing program steps without an external trigger. That is, no entry is made to the data processing program steps in the application program that is or is to be executed in the control device during the driving operation. Such measures are taken, inter alia, to prevent unintentional or inadvertent erasure and / or rewriting of the flash EPROM.

【0015】記憶内容の不本意な変更や不正な操作から
データを保護するための別の手段は、フラッシュEPR
OMの内容の本来の消去及び/又は書き換えに対して不
正チェック機能(入力されたパスワードの検査等による
チェック機能)を先取りさせることである。Another means for protecting data from inadvertent alteration of stored contents and unauthorized manipulation is flash EPR.
It is to preempt an unauthorized check function (a check function by checking an input password, etc.) for the original deletion and / or rewrite of the contents of the OM.

【0016】前述した保護予防措置によれば、フラッシ
ュEPROMの不本意なもしくは不意の消去及び/又は
書き換えが十分に回避可能である。いずれにせよ不運な
状況が運悪く重なったようなケースでは、これらの予防
措置が個別に項を成すとはいいがたい。According to the protection and precautionary measures described above, unintentional or unintentional erasure and / or rewriting of the flash EPROM can be sufficiently avoided. In any case, if the unfortunate situation is unfortunately overlapping, it is hard to say that these precautionary measures individually make sense.

【0017】これに対する原因は、とりわけ制御装置内
の電磁整合性や不法な第3者によるアドレスキャラク
タ、アドレスバス等の作為的操作にある。The cause for this is, inter alia, the electromagnetic compatibility in the control device and the manipulation of address characters, address buses and the like by an unauthorized third party.

【0018】これに対する結論は、これらが予知されて
いなくても、不利な条件下で少なくとも理論的に、制御
装置のフラッシュEPROMに記憶されたデータを消去
及び/又は書き換え可能なデータ処理プログラムステッ
プへのエントリがプログラミング装置による所定の誘起
なしでも行われるようにすることである。The conclusion to this is that, even if they are not foreseen, at least theoretically, under adverse conditions, to a data processing program step which can erase and / or rewrite the data stored in the flash EPROM of the control device. Is performed without a predetermined trigger by the programming device.

【0019】この種のルーチンの入口でのエントリが行
われる限りは、パスワード等の問合せか又は場合によっ
てはルーチンの誘起によって差し迫った被害はくい止め
ることができる。しかしながらこのエントリがプログラ
ムのもっと後方で行われた場合には、前記保護メカニズ
ムは無効となる。そのためプログラミング可能な記憶装
置内に記憶されているデータの不正な消去及び/又は書
き換えを確実に取り除くことはできない。As long as an entry is made at the entry to this type of routine, imminent damage due to a query, such as a password, or possibly the triggering of the routine can be suppressed. However, if this entry is made later in the program, the protection mechanism will be invalid. Therefore, unauthorized erasure and / or rewriting of data stored in the programmable storage device cannot be reliably removed.

【0020】このことに対抗するための補助的手段とし
て、複数のフラッシュEPROMの一部にプログラミン
グ電圧入力側が設けられる。この入力側には、記憶装置
の消去又は書込を行う場合に、所定のプログラミング電
圧が印加される。しかしながらこの種の保護メカニズム
には付加的なハードウエアコストが必要とされる。この
ことは、所定のプログラミング電圧が比較的正確に維持
されなければならないという事実に基づくものである。
これは相応の範囲で受け入れられなければならないが、
しかしながら一方では保護メカニズムの信頼性やエラー
発生頻度にも悪影響を与えかねない。As an auxiliary measure against this, a part of the plurality of flash EPROMs is provided with a programming voltage input. A predetermined programming voltage is applied to the input side when erasing or writing of the storage device is performed. However, this kind of protection mechanism requires additional hardware costs. This is based on the fact that a given programming voltage must be maintained relatively accurately.
This must be accepted to a reasonable extent,
However, on the other hand, the reliability of the protection mechanism and the frequency of occurrence of errors may be adversely affected.

【0021】[0021]

【発明が解決しようとする課題】本発明の課題は、冒頭
に述べたような形式の方法において、プログラミング可
能な記憶装置内に記憶されたデータの不正な消去及び/
又は書き換えが簡単な形式で確実に阻止されるように改
善を行うことである。SUMMARY OF THE INVENTION It is an object of the present invention to provide a method of the type described at the outset in which the unauthorized storage and / or erasure of data stored in a programmable storage device is performed.
Or, an improvement is made to ensure that rewriting is prevented in a simple form.

【0022】[0022]

【課題を解決するための手段】上記課題は本発明によ
り、データ処理プログラムステップへのエントリが正規
に行われているか、正規に行われるか又は正規に行われ
る可能性があることが検出された場合にのみ変更が実施
され、その適用性の前に消去又は書き換えの誘因のため
に変更を必要とするように、データ処理プログラムステ
ップ又はデータを準備するようにして解決される。SUMMARY OF THE INVENTION According to the present invention, it has been discovered that entry into a data processing program step has been, has been, or is likely to have been made. The change is implemented only if and when the data processing program steps or data are prepared so that the change is required before the applicability to trigger an erase or rewrite.

【0023】従って、プログラミング可能な記憶装置の
内容の消去及び/又は書き換えのためのデータ処理プロ
グラミングステップへのエントリは次のような場合にの
み消去及び/又は書き換えを誘起し得る。すなわち少な
くとも消去及び/又は書き換えルーチンが不本意か作為
的に呼び出された可能性が高い付随状況に基づいている
場合にのみ誘起し得る。Thus, an entry into the data processing programming step for erasing and / or rewriting the contents of the programmable storage device can trigger erasing and / or rewriting only if: That is, it can only be triggered if at least the erase and / or rewrite routine is based on an incidental situation that is likely to be unintentionally or artificially invoked.

【0024】この種の検査の実施と、これに依存して求
められるコード及び/又はデータの変更は、比較的簡単
に実施可能である。状況の適切な選択のもとでは(この
状況に基づいて、データ処理プログラミングステップへ
のエントリが所定のように行われるか否かが検出され
る)、例えば外部プログラミング装置等が接続されてい
るか及び/又は作用化しているかどうかに依存した決定
のもとでは、本発明による保護メカニズムは非常に信頼
性が高く、迂回の可能性は皆無に等しい。The implementation of such a test and the modification of the code and / or data required therefor can be implemented relatively easily. Under the appropriate selection of the situation (based on this situation, it is detected whether the entry into the data processing programming step is performed in a predetermined manner), for example, whether an external programming device or the like is connected and Under a decision depending on whether it is active or not, the protection mechanism according to the invention is very reliable and the possibility of detours is almost zero.

【0025】さらに本発明によれば、プログラミング可
能な記憶装置に記憶されたデータの不正な消去及び/又
は書き換えが簡単な形式で確実に避けられる。Further, according to the present invention, unauthorized erasure and / or rewriting of data stored in the programmable storage device can be reliably avoided in a simple form.

【0026】不正な消去の回避は、記憶されたデータの
不所望な又は不正な変更からの保護だけではなく、制御
装置の作動安全性を著しく高めることにも寄与する。と
いうのも、走行中に実施される適用プログラムからフラ
ッシュEPROMの消去及び/又は書き換えのためのデ
ータ処理プログラムステップへのエントリが、特に、こ
の時点で走行している自動車に対して著しい安全性のリ
スクを伴うからである。Avoiding unauthorized erasure not only protects the stored data from unwanted or unauthorized alteration, but also contributes to a significant increase in the operational safety of the control unit. This is because the entry into the data processing program step for erasing and / or rewriting the flash EPROM from the application program carried out during the driving makes it particularly safe for the vehicle running at this time. This is because it involves risks.

【0027】本発明の別の有利な実施例は従属請求項に
記載される。[0027] Further advantageous embodiments of the invention are described in the dependent claims.

【0028】[0028]

【発明の実施の形態】次に本発明を図面に基づき詳細に
説明する。DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Next, the present invention will be described in detail with reference to the drawings.

【0029】以下の説明は例えば自動車のエンジン、変
速機、ブレーキ等の制御のための制御装置、つまり自動
車制御装置の作動方法に関する。The following description relates to a control device for controlling, for example, an engine, a transmission, and a brake of a vehicle, that is, a method of operating a vehicle control device.

【0030】この種の自動車制御装置は、プログラマブ
ルメモリ装置、詳細には電気的消去可能なプログラマブ
ル(不揮発性)メモリ装置をフラッシュEPROMの形
式で含んでいる。このフラッシュEPROMのプログラ
ミングは、外部のプログラミング装置を介して行われ
る。この装置は例えばシリアルインターフェースを介し
て自動車制御装置と接続可能である。This kind of vehicle control device includes a programmable memory device, in particular, an electrically erasable programmable (non-volatile) memory device in the form of a flash EPROM. Programming of the flash EPROM is performed via an external programming device. This device can be connected to a vehicle control device via a serial interface, for example.

【0031】この種の自動車制御装置を含んだ実施形態
の1つは図3に示されており、この装置については既に
冒頭で述べてある。One embodiment including such a vehicle control device is shown in FIG. 3, which has already been described at the outset.

【0032】しかしながら本発明は、外部のプログラミ
ング装置を用いた自動車制御装置のフラッシュEPRO
Mのプログラミングに限定されるものではない。それど
ころか本発明は、一般的なプログラミング装置によって
制御装置のメモリがプログラミングされるもの全てに適
用可能である。However, the present invention relates to a flash EPRO for a vehicle control device using an external programming device.
It is not limited to M programming. On the contrary, the invention is applicable to all those in which the memory of the control device is programmed by a general programming device.

【0033】プログラミング、すなわちフラッシュEP
ROMの内容の消去と書き換えは、それぞれ制御装置内
のデータ処理プログラムステップの実施と、正規のデー
タ処理プログラムステップの実施に必要なデータの適用
のもとで実施される。Programming, ie flash EP
The erasing and rewriting of the contents of the ROM are performed under the execution of the data processing program steps in the control device and the application of the data necessary for performing the normal data processing program steps.

【0034】しかしながら本発明の第1の観点によれば
そのつどのデータ処理プログラムステップは、単に該ス
テップへの呼出しないしエントリによって実施されるの
ではなく、有利にはまずフラッシュEPROM内のデー
タの消去及び/又は書き換えがまだ実行できない形式に
おかれる。According to a first aspect of the invention, however, the respective data processing program step is not carried out simply by a call-in or call-out entry to said step, but advantageously first erasing the data in the flash EPROM. And / or in a form that cannot be rewritten yet.

【0035】この実行停止機能は、種々の方式で達成可
能である。This execution stop function can be achieved in various ways.

【0036】これに対する1つの手段によれば、そのつ
どのデータ処理プログラムステップを表すコードが少な
くとも部分的に次のように符号化もしくは特別な形で操
作される。すなわちそれが相応の修正なしで少なくとも
不完全に及び/又は非合法的に実施されるプログラムを
表すように符号化される。According to one measure for this, the code representing the respective data processing program step is encoded or specially manipulated at least in part as follows. That is, it is encoded to represent a program that is implemented at least incompletely and / or illegally without corresponding modifications.

【0037】さらに別の手段によれば、コードにおいて
戦略上有利な位置に次のような命令が組み込まれる。す
なわち、フラッシュEPROM内のデータの消去及び/
又は書き換えに最終的に作用する命令の実施を阻止する
ような命令が組み込まれる。このことは例えば次のよう
な飛び越し文であってもよい。すなわち該当するデータ
処理プログラムステップの放棄もしくは臨界的なステー
トメントのスキップに作用するような飛び越し文であっ
てもよく、また正しい順序のプログラム実施の前に相応
のプログラムコードの修正によって取り除くか又は少な
くとも無効にするような飛び越し文であってもよい。According to yet another alternative, the following instructions are incorporated into the code at strategically advantageous locations. That is, erasing data in the flash EPROM and / or
Alternatively, an instruction that prevents execution of an instruction that finally affects rewriting is incorporated. This may be, for example, the following jump statement. That is, it may be a jump statement that will abandon the relevant data processing program step or skip critical statements, and may be removed or at least invalidated by appropriate program code modification before the correct sequence of program execution. It may be a jumping sentence like this.

【0038】それに対して本発明の第2の観点によれ
ば、その内容に依存してフラッシュEPROMの内容の
消去及び/又は書き換えの実施が可能なデータが、フラ
ッシュEPROMの消去及び/又は書き換えを阻止する
値に選択的に又は付加的にセットされる。On the other hand, according to the second aspect of the present invention, the data which can be erased and / or rewritten in the flash EPROM depending on the contents of the data can be erased and / or rewritten in the flash EPROM. It is selectively or additionally set to a value to block.

【0039】前述したデータとは例えば次のようなデー
タやアドレス値である。すなわち少なくともいくつかの
フラッシュEPROMのもとで本来の消去及び/又は書
き換えの前にいわゆるロック解除(アンロック)サイク
ルの形態でバスを介してフラッシュEPROMへ与えら
れるべきデータやアドレス値である。前記アンロックサ
イクルの間は、フラッシュEPROMをデータ消去及び
/又は書き換えの目的でロック解除するために、所定の
データが所定の順序で所定のフラッシュEPROMのア
ドレスに書き込まれなければならない。フラッシュEP
ROMをロック解除する試みが失敗した場合には、消去
及び/又は書き換えに対してロックされ続ける。The above-mentioned data is, for example, the following data and address values. That is, data and address values to be provided to the flash EPROM via the bus in the form of a so-called unlock cycle before the original erase and / or rewrite under at least some flash EPROMs. During the unlock cycle, predetermined data must be written to a predetermined flash EPROM address in a predetermined order in order to unlock the flash EPROM for data erasing and / or rewriting. Flash EP
If the attempt to unlock the ROM fails, it remains locked for erasure and / or rewriting.

【0040】アンロック周期中に送出されたアドレスと
データによって、自動的ではなく特定的な状況のもとで
のみ、つまり所定の方式で引き起こされたフラッシュE
PROMの消去及び/又は書き換えのもとでしか、フラ
ッシュEPROMのロック解除が作動しないように配慮
するならば、フラッシュEPROMの不正な消去及び/
又は書き換えが阻止されるさらなる別の保護機構が得ら
れる。The address and data transmitted during the unlock period cause the flash E to be triggered only under specific circumstances, not automatically, ie in a predetermined manner.
If care is taken to ensure that the unlocking of the flash EPROM does not operate only under the erasure and / or rewriting of the PROM, then the unauthorized erasing and / or
Or yet another protection mechanism is provided in which rewriting is prevented.

【0041】フラッシュEPROMの自動的なロック解
除を避けるためには、データ処理プログラムステップに
よって、アンロックサイクル中にフラッシュEPROM
に送出されたデータ及び/又はアドレスが、これまでの
ような通常のプログラムコードに統合されるのではな
く、有利には揮発性メモリ(RAM)から取り出されな
ければならない。この場合、そのつどのデータ処理プロ
グラムステップによってデータ及び/又はアドレスがア
ンロックサイクルの出力のために取り出される記憶領域
(変化テーブル)には、フラッシュEPROMのロック
解除に用いられる値が自動的に書き込まれない。To avoid automatic unlocking of the flash EPROM, a data processing program step allows the flash EPROM to be unlocked during the unlock cycle.
The data and / or addresses sent to the memory device must advantageously be retrieved from volatile memory (RAM) rather than integrated into conventional program code as before. In this case, the value used for unlocking the flash EPROM is automatically written into the storage area (change table) from which the data and / or address are retrieved for the output of the unlock cycle by the respective data processing program step. Not.

【0042】保護機構の具体的な実現においては、正規
の(例えばプログラミング装置によって引き起こされ
た)フラッシュEPROMの消去又は書き換え要求が存
在するか又はそのような要求が生じそうか生じそうな可
能性がある場合にのみ、フラッシュEPROMのロック
解除を可能にするデータが前記変数テーブル内に書き込
まれる。そして前記変数テーブル内のデータは、フラッ
シュEPROMの消去ないし書き換え過程の直後で再消
去されるか又はフラッシュEPROMのロック解除を除
外するデータに置き換えられる。変数テーブル内のデー
タの消去ないしは変数テーブル内のデータの、フラッシ
ュEPROMのロック解除を除外するデータへの書き換
えは、不意のフラッシュEPROMのロック解除を確実
に回避するために特に制御装置のスイッチオン又はリセ
ットの後でも表示される。In a specific implementation of the protection mechanism, it is possible that a legitimate (eg, caused by a programming device) erase or rewrite request of the flash EPROM exists, or that such a request is likely or likely to occur. Only in certain cases, data enabling the unlocking of the flash EPROM is written into the variable table. Then, the data in the variable table is erased again immediately after the erasing or rewriting process of the flash EPROM, or is replaced with data excluding unlocking of the flash EPROM. The erasure of the data in the variable table or the rewriting of the data in the variable table to data excluding the unlocking of the flash EPROM is performed, especially in order to prevent accidental unlocking of the flash EPROM. Displayed after reset.

【0043】前述した本発明の第1及び第2の観点によ
る保護機構の存在のもとでは、つまりフラッシュEPR
OMの消去及び/又は書き換えのためのそのつどのデー
タ処理プログラムステップの正規の実現性に影響力を持
つ保護機構の存在のもとでは、相応のデータ処理プログ
ラムステップへのエントリが自動的にフラッシュEPR
OMのデータの消去及び/又は書き換えには結びつかな
い。それどころかこのようにしてフラッシュEPROM
のデータの消去及び/又は書き換えが基本的にまず一度
は回避される。In the presence of the protection mechanism according to the first and second aspects of the present invention, the flash EPR
In the presence of a protection mechanism that affects the legitimate realization of the respective data processing program step for erasing and / or rewriting the OM, the entry to the corresponding data processing program step is automatically flushed. EPR
It does not lead to erasing and / or rewriting of OM data. On the contrary, in this way flash EPROM
Is basically avoided at least once.

【0044】フラッシュEPROM内のデータの正規の
消去及び/又は書き換えが実施されるべき場合には、既
に前述したように、そのつどのデータ処理プログラムス
テップの変更及び/又はアンロックサイクルのデータを
含んだ制御装置内の変数テーブルの変更が必要となる。If the regular erasure and / or rewriting of the data in the flash EPROM is to be carried out, as already mentioned above, the data of the respective data processing program step change and / or of the unlock cycle is included. The variable table in the control unit needs to be changed.

【0045】この過程は図1に示されている。This process is shown in FIG.

【0046】図1に示されているフローチャートによれ
ば、第1のステップS1でまずフラッシュEPROMの
データの消去及び/又は書き換えのためのデータ処理プ
ログラムステップへの正規のエントリの有無が検査され
る。すなわち少なくとも誤った又は間違った結果が明ら
かに生じているか又はそのような結果が生じそうか又は
生じそうな可能性が検査される。この場合の検査は、有
利には1つの基準に絞られる。すなわちこの基準のみの
存在か又はその他の条件との組合せがフラッシュEPR
OMのプログラミングの導入を出現させるだけではなく
(非回避)、その基準から所期の信頼性も伴ってフラッ
シュEPROMのプログラミングの導入ないし誘起が追
従する。According to the flowchart shown in FIG. 1, in the first step S1, the presence or absence of a legitimate entry to the data processing program step for erasing and / or rewriting data in the flash EPROM is checked. . That is, at least a check is made to determine whether incorrect or incorrect results have occurred or whether such results are likely or likely to occur. The test in this case is advantageously limited to one criterion. That is, the presence of this criterion alone or in combination with other conditions is
Not only does the introduction of OM programming appear (non-avoidance), but the standard follows the introduction or induction of flash EPROM programming with the desired reliability.

【0047】前述した実施例のようにフラッシュEPR
OMのプログラミングのために外部のプログラミングも
しくは検査装置が制御装置に接続されなければならない
ような場合には、検出ステップS1において例えば以下
のようなことが検査される。The flash EPR as in the above-described embodiment
If an external programming or test device must be connected to the control device for the programming of the OM, for example, the following is checked in the detection step S1.

【0048】−相応の外部プログラミング装置が接続さ
れているか否か、−プログラミング装置が作動している
か否か、−プログラミング装置がプログラミング作動形
式におかれているか否か、−制御装置とプログラミング
装置との間で所定の通信が行われているか否か前述した
又はそれに類似の1つ又は複数の検査の実施は、フラッ
シュEPROMのプログラミングのためのプログラミン
グルーチンへの正規のエントリが誘起されたか又は誘起
されそうかどうかに関する非常に確実な情報提供を可能
にする。Whether the corresponding external programming device is connected, whether the programming device is operating, whether the programming device is in the programming mode, and whether the control device and the programming device Performing one or more tests as described above or similar to determine if a predetermined communication is taking place between the triggering or triggering of a legitimate entry into a programming routine for programming a flash EPROM. Enables very reliable information on whether or not.

【0049】このような関係で個別に実施される検査は
そのつどの個々の条件に依存している。この関係で特に
考えられることは(但し回避ではない)制御装置と場合
によってはそれに接続される外部装置の相応の状態情報
の問合せ及び/又は所期の事象の出現のもとでセットさ
れる識別子の問合せである。The tests which are carried out individually in this context depend on the respective individual conditions. In this connection it is particularly conceivable (but not unavoidable) that the control device and, if appropriate, the external devices connected thereto are queried for the corresponding state information and / or that the identifier is set under the occurrence of the desired event Is an inquiry.

【0050】ステップS1における検査の際に、フラッ
シュEPROMの消去及び/又は書き換えのためのデー
タ処理プログラムステップへの正規のエントリが目下の
ところ及び/又は予測される期間の後で存在しないか又
は存在しない可能性が検出された場合には、図1に示さ
れているプログラムステップは以下で詳細に説明するス
テップS2を省略して飛び越す。このステップS2の省
略は、次のように作用する。すなわち場合によって生じ
るか生じ得る、フラッシュEPROMの消去及び/又は
書き換えのためのデータ処理プログラムステップへのエ
ントリがフラッシュEPROMの消去及び/又は書き換
えを引き起こさないように作用する。During the test in step S1, a legitimate entry into the data processing program step for erasing and / or rewriting the flash EPROM is not present or / or exists after the expected period. If a possibility of not being detected is detected, the program steps shown in FIG. 1 skip step S2 which will be described in detail below. The omission of step S2 operates as follows. That is, an entry into a data processing program step for erasing and / or rewriting the flash EPROM, which may or may not occur, serves to prevent erasing and / or rewriting of the flash EPROM.

【0051】それに対してステップS1で、正規のエン
トリが目下のところ及び/又は予測される期間の後で存
在するか又は存在する可能性が検出された場合には、ス
テップS2において前述したようなその都度のデータ処
理プログラムステップか及び/又はこれに必要なデータ
の変更が実施される。これにより所定のプログラムシー
ケンス、つまりフラッシュEPROMのデータの正規の
消去及び書き換えを可能にする状態に移行される。If, on the other hand, it is detected in step S1 that a legitimate entry is present or / or is likely to be present after the expected period, it is determined in step S2 as described above. The respective data processing program steps and / or the data changes required for this are implemented. As a result, a transition is made to a predetermined program sequence, that is, a state in which data in the flash EPROM can be properly erased and rewritten.

【0052】前述した個々に行われる手段での変更は、
そのつどのデータ処理プログラムステップ及び/又はデ
ータがどのような形式で操作され、それ故にその都度の
時点で存在する形式にはどのように不要であるかに依存
する。The changes in the individual means described above are:
It depends on how the respective data processing program step and / or the data is operated and, therefore, is not necessary for the format present at each time.

【0053】ステップS2において行われる変更の種類
と規模に係わらずに、この変更の実施はさらに付加的な
パスワード等の入力に依存して行われる。Regardless of the type and scale of the change made in step S2, the change is made further depending on the input of an additional password or the like.

【0054】ステップS2の実施と共に図1に示されて
いるプログラムステップは終了される。ステップS2の
実施は、場合によって生じるか後から生じ得る、フラッ
シュEPROMの消去及び/又は書き換えのためのデー
タ処理プログラムステップへのエントリがフラッシュE
PROMの消去及び/又は書き換えを実際に引き起こす
ように作用する。With the execution of step S2, the program steps shown in FIG. 1 are ended. The implementation of step S2 is performed when the entry into the data processing program step for erasing and / or rewriting the flash EPROM, which may or may not occur, is a
It acts to actually cause erasing and / or rewriting of the PROM.

【0055】フラッシュEPROMの消去及び/又は書
き換えが相応のデータ処理プログラムステップへの正規
のエントリのもとで本当に実施されることを補償するた
めには、図1に示されたプログラムステップのステップ
S2に応じた場合によって必要となる変更が、該当する
データ処理プログラムステップ実施の開始前か、又は所
要のデータへのアクセスの前に適時に実施されることが
補償されなければならない。To ensure that the erasure and / or rewriting of the flash EPROM is indeed performed under the proper entry into the corresponding data processing program step, a step S2 of the program step shown in FIG. It must be ensured that any necessary changes in response to the above are carried out in a timely manner before the start of the execution of the relevant data processing program step or before the access to the required data.

【0056】選択的に又は付加的に、図1に示されてい
る方法ステップは、例えば多かれ少なかれ定期的に短期
間だけ自動的に繰り返されてもよいし、所期の事象の発
生に絞って実施されてもよい。Alternatively or additionally, the method steps shown in FIG. 1 may be repeated automatically, for example more or less periodically, for a short period of time, or may be limited to the occurrence of the desired event. May be implemented.

【0057】図1に示されている方法ステップの複数の
もしくは繰返しの実施は次のような利点を有する。すな
わち場合によっては既に行われた変更(ステップS2)
が介在期間中に変化した条件のもとでも再び解除ないし
無効となる利点を有する。The implementation of a plurality or repetition of the method steps shown in FIG. 1 has the following advantages. That is, in some cases, changes already made (step S2)
Has the advantage that it is canceled or invalidated again under the conditions changed during the intervening period.

【0058】保護機構の確実性をさらに高めるために、
ステップS2の変更の実施が付加的に次のことに依存し
て行われるようにしてもよい。すなわちこれが外部から
のプログラミング装置によって誘起されるか又は少なく
とも許容されたことに依存して行われるようにしてもよ
い。To further increase the certainty of the protection mechanism,
The implementation of the change in step S2 may additionally be made dependent on: That is, this may be done depending on what is triggered or at least permitted by the external programming device.

【0059】それとは関係なく、フラッシュEPROM
の消去及び/又は書き換え実施の完全に終了した直後に
有利には前記ステップS2で行われた変更が再び解除な
いし無効にされなければならない。そしてさらに必要に
応じて制御装置のスイッチオンやリセット等の後でもそ
こで不正に実施されるデータ処理プログラムステップな
いしは不正な実施を許可するデータが変数テーブル内に
存在していないかが配慮される。Regardless, the flash EPROM
Immediately after the erasing and / or rewriting of the data has been completely completed, the changes made in step S2 must advantageously be canceled or invalidated again. Further, if necessary, even after switching on or resetting of the control device, it is considered whether there is any data processing program step illegally executed there or data permitting illegal execution in the variable table.

【0060】引き続き図2〜図5に基づいて所定のフラ
ッシュEPROMの消去のもとでの過程を詳細に説明す
る。これらは図6に示されている構成に基づいたもので
ある。The process under the erasure of a predetermined flash EPROM will be described in detail with reference to FIGS. These are based on the configuration shown in FIG.

【0061】図2には制御装置10へ接続されたプログ
ラミング装置20のアクティビティが示されている。FIG. 2 shows the activities of the programming device 20 connected to the control device 10.

【0062】もちろんプログラミング装置は制御装置と
設定された方式で通信するために、スイッチオン後に活
動するか又は外部からの誘因に対してプロトコルを活動
化(ステップS10)させる。Of course, the programming device activates after switch-on or activates the protocol in response to an external trigger (step S10) in order to communicate with the control device in the set manner.

【0063】制御装置のフラッシュEPROMの正規の
消去及び/又は書き換えには、変数テーブルに準備され
るか準備されたアンロックサイクルのためのデータとア
ドレスの変更を必要とする。Normal erasing and / or rewriting of the flash EPROM of the control device requires a change in data and addresses prepared in the variable table or for the prepared unlock cycle.

【0064】それに応じてプログラミング装置は制御装
置への消去命令の送出前に、フラッシュEPROMのロ
ック解除を可能にする妥当なアドレス値及びデータ値
の、制御装置RAM変数テーブル内への書き込み、すな
わち制御装置RAM内に収容されている変数テーブル内
への書き込みを引き起こす(S11)。In response, the programming device writes the appropriate address and data values that enable unlocking of the flash EPROM into the control device RAM variable table, ie, controls, before sending the erase command to the control device. This causes writing to a variable table accommodated in the device RAM (S11).

【0065】場合によってはプログラミング装置によっ
て準備されるこれらの値のRAM変数テーブル内への書
き込みは、以下で図3に基づいて詳細に述べるように制
御装置自体によって実施される。そのためステップS1
1は、図1の変更ステップS2のきっかけだけのもので
ある。The writing of these values, possibly prepared by the programming device, into the RAM variable table is performed by the control device itself, as will be described in more detail below with reference to FIG. Therefore, step S1
1 is only a trigger of the change step S2 in FIG.

【0066】その後では、つまり図2によるステップS
12においてはプログラミング装置によって制御装置の
フラッシュEPROMの消去が引き起こされる。Thereafter, that is, step S in FIG.
At 12, the programming device causes the flash EPROM of the control device to be erased.

【0067】消去も以下で図4に基づいて詳細に説明す
るように、制御装置自体によって実施される。これに対
してもステップS12は所定のきっかけだけのものであ
る。The erasure is also carried out by the control unit itself, as will be explained in detail below with reference to FIG. Again, step S12 is only a predetermined trigger.

【0068】プログラミング装置のプログラムは、ステ
ップS12によってはまだ終了されない。それに続いて
実施される操作は目下のところはさほど重要ではない。The program of the programming device is not yet finished by step S12. Subsequent operations are not currently significant.

【0069】次に図3に基づいてステップS11によっ
て引き起こされる、制御装置によるRAM変数テーブル
内のアンロック周期毎のアドレス及びデータ値の変更を
説明する。Next, the change of the address and the data value for each unlock cycle in the RAM variable table by the control device caused by the step S11 will be described with reference to FIG.

【0070】フラッシュEPROMの消去及び/又は書
き換えに対する制御装置のスタンバイ状態の準備ないし
形成のためのプログラミング装置による外部からの誘因
に対して(ステップS11)制御装置内でステップS2
0においてまず、プログラミング装置が完全に接続され
ているかどうかと、通信プロトコルが活動化されている
かどうかが検査される。これによって、外部からの誘因
(これはこのために設けられた装置、つまりプログラミ
ング装置かそれに類似のものによってしか行うことが許
されない)が本当にそのような装置に基づいているのか
あるいは少なくともそのような装置に基づいている可能
性があるのかどうかが検出され、あるいは推定される外
部誘因とそれに伴う場合によっては既に起こされている
か又は続けて引き起こされるフラッシュEPROMの消
去の誘因がほぼなんらかの障害か又は不正なアクセスに
帰するものなのかどうかが検出される。In response to an external trigger by the programming device for preparing or forming the standby state of the control device for erasing and / or rewriting of the flash EPROM (step S11), the control device executes step S2.
At 0, it is first checked whether the programming device is fully connected and whether the communication protocol has been activated. This ensures that external incentives (which are only allowed to be performed by devices provided for this, ie programming devices or the like) are really based on such devices, or at least such. It is detected whether or not it may be based on the device, or the presumed external incentives and consequently the triggers that have already occurred or are subsequently caused to erase the flash EPROM are almost any obstacle or fraudulent. It is detected whether or not the access is attributed to an unauthorized access.

【0071】ステップS20において、プログラミング
装置の接続がなく及び/又は通信プロトコルの活動化も
ないことが検出された場合には、図3に示されている方
法ステップは、RAM−変数テーブルの書き換えの実施
なしで終了する。If it is detected in step S20 that there is no connection of the programming device and / or no activation of the communication protocol, the method step shown in FIG. End without performing.

【0072】その他のケース、つまりプログラミング装
置が接続され、通信プロトコルが活動化されている、つ
まり正規に引き起こされたフラッシュEPROMの消去
及び/又は書き換えが見込まれる場合には、シーケンス
がステップS21に進められ、そこでRAM−変数テー
ブルの書き換え直前に安全のために、RAM−変数テー
ブル毎に定められたアドレス/データ値の書き込まれる
べきアドレスがRAM−変数テーブル内部に存在するの
かどうかが検査される。In the other case, that is, when the programming device is connected and the communication protocol is activated, that is, when the erasure and / or rewrite of the flash EPROM that is normally caused is expected, the sequence proceeds to step S21. Therefore, just before rewriting the RAM-variable table, it is checked for security that an address / data value to be written for each RAM-variable table to be written exists in the RAM-variable table.

【0073】ステップS21において、書込アドレスが
RAM−変数テーブル外にあることが検出された場合に
は、図3に示されている方法ステップは、RAM−変数
テーブルの書き換えの実施なしで終了される。If it is determined in step S21 that the write address is outside the RAM-variable table, the method steps shown in FIG. 3 are terminated without rewriting the RAM-variable table. You.

【0074】別のケース、すなわち書込アドレスがRA
M−変数テーブル内に存在する場合には、シーケンスが
ステップS22に進められ、そこでRAM−変数テーブ
ル内へのアドレス/データ値の書込が行われる。図3に
示された方法ステップは、それと共に正規に終了する。
制御装置は、フラッシュEPROMの消去及び/又は書
き換えに対して準備される。In another case, that is, when the write address is RA
If it is present in the M-variable table, the sequence proceeds to step S22, where the address / data value is written into the RAM-variable table. The method steps illustrated in FIG. 3 conclude with it.
The controller is prepared for erasing and / or rewriting the flash EPROM.

【0075】次に図4に基づいてステップS12によっ
て引き起こされた制御装置によるフラッシュEPROM
の消去を説明する。Next, a flash EPROM by the control device triggered by step S12 based on FIG.
Will be described.

【0076】制御装置によるフラッシュEPROMの消
去及び/又は書き換えのためのプログラミング装置によ
る外部からの誘因に対して(ステップS12)、制御装
置ではステップS30においてまずプログラミング装置
が本当に接続されているかどうかと通信プロトコルが活
動化されているかどうかが検査される。このようにして
(図3のステップS20の場合と類似のように)、外部
からの誘因(これはこのために設けられた装置、つまり
プログラミング装置かそれに類似のものによってしか行
うことが許されない)が本当にそのような装置に基づい
ているのかあるいは少なくともそのような装置に基づい
ている可能性があるのかどうかが検出され、あるいは推
定される外部誘因とそれに伴う場合によっては既に起こ
されているか又は続けて引き起こされるフラッシュEP
ROMの消去の誘因がほぼなんらかの障害か又は不正な
アクセスに帰するものなのかどうかが検出される。In response to an external trigger by the programming device for erasing and / or rewriting the flash EPROM by the control device (step S12), the control device first communicates in step S30 whether or not the programming device is really connected. It is checked whether the protocol has been activated. In this way (similar to the case of step S20 in FIG. 3), external incentives (this can only be done by means of a device provided for this, ie a programming device or the like) Is detected, or at least likely to be based on, such a device, or is presumed to have been initiated or continued, as the case may be, with the presumed external incentives Flash EP caused by
It is detected whether the trigger for erasing the ROM is almost due to some kind of fault or an unauthorized access.

【0077】ステップS30において、プログラミング
装置の接続がなく及び/又は通信プロトコルの活動化も
ないことが検出された場合には、図4に示されている方
法ステップは、フラッシュEPROMの消去の実施なし
で終了する。If it is detected in step S30 that there is no connection of the programming device and / or no activation of the communication protocol, the method step shown in FIG. 4 does not carry out the erasure of the flash EPROM. Ends with

【0078】その他のケース、つまりプログラミング装
置が接続され、通信プロトコルが活動化されている場合
には、シーケンスがステップS31に進められ、そこで
フラッシュEPROMの消去が行われる。In the other case, that is, when the programming device is connected and the communication protocol is activated, the sequence proceeds to step S31, where the flash EPROM is erased.

【0079】消去過程の終了の後では、つまり図4のス
テップS32においてはRAM−変数テーブルが阻止、
すなわちアンロックサイクルによるフラッシュEPRO
Mのロック解除を排除する値が設定される。After the end of the erasing process, that is, in step S32 of FIG. 4, the RAM-variable table is blocked.
That is, flash EPRO by unlock cycle
A value that excludes unlocking of M is set.

【0080】図4に示されている方法ステップ、すなわ
ちフラッシュEPROMの消去は、不正な消去及び/又
は書き換えに対する制御装置の新たな保護によって正規
に終了する。The method step shown in FIG. 4, ie the erasure of the flash EPROM, is properly terminated by the controller's new protection against unauthorized erasure and / or rewriting.

【0081】ステップS32にて行われるRAM−変数
テーブルの阻止は、既に前述したように、制御装置のス
イッチオン、リセット等の後でも実施されなければなら
ない。これはこの時点でRAM−変数テーブル内に生じ
た値によって偶然的にフラッシュEPROMのロック解
除が行われるようなことを回避するためである。この種
の過程は図5に示されている。The blocking of the RAM-variable table performed in step S32 must be performed even after the control device is turned on or reset, as described above. This is to avoid accidentally unlocking the flash EPROM due to the values generated in the RAM-variable table at this point. Such a process is illustrated in FIG.

【0082】図2から図5に基づいて説明してきた例は
フラッシュEPROMの消去に関するものである。相応
する過程は相応の方式にてあらゆる処理のもとでも行わ
れるものである。これはフラッシュEPROMの記憶内
容の変更を目的とする(つまり書き換え、プログラム変
更等)。The example described with reference to FIGS. 2 to 5 relates to erasing of a flash EPROM. The corresponding steps take place in a corresponding manner under all processes. This is intended to change the storage contents of the flash EPROM (that is, rewrite, program change, etc.).

【0083】前述したように本発明によれば、正規の誘
因のある場合にしかフラッシュEPROの消去及び/又
は書き換えが実施されないことが確実に保障される。As described above, according to the present invention, it is ensured that erasing and / or rewriting of the flash EPRO is performed only when there is a legitimate incentive.

【図面の簡単な説明】[Brief description of the drawings]

【図1】本発明による方法ステップの基本的なフローチ
ャートである。FIG. 1 is a basic flowchart of the method steps according to the invention.

【図2】フラッシュEPROMの所定の消去を示したフ
ローチャートである。FIG. 2 is a flowchart showing a predetermined erasure of a flash EPROM.

【図3】フラッシュEPROMの所定の消去を示したフ
ローチャートである。FIG. 3 is a flowchart showing a predetermined erasure of a flash EPROM.

【図4】フラッシュEPROMの所定の消去を示したフ
ローチャートである。FIG. 4 is a flowchart showing a predetermined erasure of a flash EPROM.

【図5】フラッシュEPROMの所定の消去を示したフ
ローチャートである。FIG. 5 is a flowchart showing predetermined erasure of a flash EPROM.

【図6】不正な消去及び/又は書き換えから保護すべき
フラッシュEPROMを含んだ装置を示した図である。FIG. 6 is a diagram showing an apparatus including a flash EPROM to be protected from unauthorized erasure and / or rewriting.

【符号の説明】[Explanation of symbols]

10 自動車制御装置 11 マイクロコンピュータ 12 入出力回路 13 中央処理装置 14 プログラマブルメモリ 15 RAM 16 ROM 20 外部プログラミング装置 21 シリアルインターフェース DESCRIPTION OF SYMBOLS 10 Automotive control device 11 Microcomputer 12 I / O circuit 13 Central processing unit 14 Programmable memory 15 RAM 16 ROM 20 External programming device 21 Serial interface

───────────────────────────────────────────────────── フロントページの続き (72)発明者 カールステン フランツ ドイツ連邦共和国 マルクグレーニンゲン パッペルヴェーク 36 (72)発明者 ウード シュルツ ドイツ連邦共和国 ファイヒンゲン アウ シュトラーセ18 (72)発明者 ヴァルター ナクル オーストリア国 ヴィルファースドルフ カペレンシュトラーセ 40 ──────────────────────────────────────────────────続 き Continued on the front page (72) Inventor Karsten Franz Marc Groningen Pappelweg, Germany 36 (72) Inventor Oud Schulz, Feichingen aus Straße 18, Germany (72) Inventor Walter Nakul, Austria Wilfersdorf Capelle Strasse 40

Claims (8)

【特許請求の範囲】[Claims] 【請求項1】 プログラミング装置を介してプログラミ
ング可能な記憶装置を備えた制御装置の作動方法であっ
て、 前記記憶装置の内容の消去と書き換えはデータ処理プロ
グラムステップの実施と適用データのもとでそのつど実
施される形式のものにおいて、 データ処理プログラムステップへのエントリが正規に行
われているか、正規に行われるか又は正規に行われる可
能性があることが検出された場合にのみ変更が実施さ
れ、その適用性の前に消去又は書き換えの誘因のために
変更を必要とするように、データ処理プログラムステッ
プ又はデータを準備することを特徴とする、プログラミ
ング装置を介してプログラミング可能な記憶装置を備え
た制御装置の作動方法。1. A method of operating a control device comprising a storage device programmable via a programming device, wherein the erasing and rewriting of the content of the storage device is performed by executing a data processing program step and applying data. In the form of the respective implementation, changes are only implemented if it is detected that the entry into the data processing program step has been made, made, or is likely to be made. A programable storage device via a programming device, characterized in that the data processing program steps or data are prepared so as to require a change before the applicability, in order to trigger an erase or rewrite. Operating method of the equipped control device. 【請求項2】 そのつど準備されるデータ処理プログラ
ムステップをその変更前に、少なくとも一部実施できな
いようにもしくは一部だけ正規に実施できないように符
号化する、請求項1記載のプログラミング装置を介して
プログラミング可能な記憶装置を備えた制御装置の作動
方法。2. The programming device according to claim 1, wherein the respectively prepared data processing program steps are coded before their modification such that they cannot be implemented at least partially or only partially. Of operating a control device with a programmable storage device. 【請求項3】 メモリ装置(14)のロックの解除のた
めに記憶装置の内容の消去又は書き換えに対して使用さ
れるアンロックサイクルを形成し、それに対して所定の
データを記憶装置の所定のアドレスに送出する、請求項
1又は2記載のプログラミング装置を介してプログラミ
ング可能な記憶装置を備えた制御装置の作動方法。3. An unlock cycle used for erasing or rewriting the contents of the storage device for releasing the lock of the memory device (14), for which predetermined data is stored in the storage device, 3. A method for operating a control device with a storage device which can be programmed via the programming device according to claim 1 or 2 and sends it to an address. 【請求項4】 前記準備されたデータはその変更前に、
データ処理プログラムステップがメモリ装置(14)の
アンロックに適したアンロックサイクルを形成する状態
にならないような値を有している、請求項3記載のプロ
グラミング装置を介してプログラミング可能な記憶装置
を備えた制御装置の作動方法。4. The prepared data is changed before the change.
4. A storage device which can be programmed via a programming device according to claim 3, wherein the data processing program step has a value which does not result in a state forming an unlock cycle suitable for unlocking the memory device (14). Operating method of the equipped control device. 【請求項5】 記憶装置(14)の内容の消去又は書き
換えが意識的に望まれている状況の存在が検出された場
合にデータ処理プログラムステップへの正規のエントリ
にが結びつけられる、請求項1〜4いずれか1項記載の
プログラミング装置を介してプログラミング可能な記憶
装置を備えた制御装置の作動方法。5. A legitimate entry to a data processing program step when a presence of a situation in which erasure or rewriting of the contents of the storage device (14) is consciously desired is detected. A method for operating a control device comprising a storage device programmable via the programming device according to any one of claims 4 to 4. 【請求項6】 外部のプログラミング装置(20)が制
御装置(10)に接続されていることが検出された場合
に、データ処理プログラムステップへの正規のエントリ
が結びつけられる、請求項5記載のプログラミング装置
を介してプログラミング可能な記憶装置を備えた制御装
置の作動方法。6. The programming according to claim 5, wherein a normal entry to the data processing program step is linked when it is detected that an external programming device (20) is connected to the control device (10). Method of operating a control device with a storage device programmable via the device. 【請求項7】 制御装置(10)に接続された外部プロ
グラミング装置(20)の作動状態が検出された場合
に、データ処理プログラムステップへの正規のエントリ
が結びつけられる、請求項5又は6記載のプログラミン
グ装置を介してプログラミング可能な記憶装置を備えた
制御装置の作動方法。7. The method according to claim 5, wherein a correct entry to a data processing program step is associated when an operating state of an external programming device connected to the control device is detected. A method for operating a control device with a storage device programmable via a programming device. 【請求項8】 データ処理プログラムのステップか、又
は記憶装置(14)の内容の消去又は書き換え実施後の
データと、場合によっては制御装置(10)のスイッチ
オン又はリセットの後のデータに対して、データ処理プ
ログラムステップへの次のエントリの際に新たな変更な
しで再び、記憶装置の消去又は書き換えを起こしにくく
するように処置を施す、請求項1〜7いずれか1項記載
のプログラミング装置を介してプログラミング可能な記
憶装置を備えた制御装置の作動方法。8. The method according to claim 1, wherein the data after the step of the data processing program or the erasing or rewriting of the contents of the storage device (14) and the data after switching on or resetting of the control device (10) are performed. 8. The programming device according to claim 1, further comprising a step of reducing the possibility of erasing or rewriting the storage device again without a new change at the next entry to the data processing program step. Method of operating a control device with a storage device programmable via the device.
JP15184097A 1996-06-10 1997-06-10 Operating method for controller equipped with storage device programmable through programming device Pending JPH1083294A (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE19623145.0 1996-06-10
DE1996123145 DE19623145B4 (en) 1996-06-10 1996-06-10 Method for operating a control device with a memory device programmable via a programming device

Publications (1)

Publication Number Publication Date
JPH1083294A true JPH1083294A (en) 1998-03-31

Family

ID=7796551

Family Applications (1)

Application Number Title Priority Date Filing Date
JP15184097A Pending JPH1083294A (en) 1996-06-10 1997-06-10 Operating method for controller equipped with storage device programmable through programming device

Country Status (4)

Country Link
JP (1) JPH1083294A (en)
DE (1) DE19623145B4 (en)
FR (1) FR2749697B1 (en)
GB (1) GB2314180B (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006252560A (en) * 2005-03-10 2006-09-21 Zarlink Semiconductor Ab Method for securing radio link for remotely programmable device
CN105117652A (en) * 2015-10-09 2015-12-02 天津国芯科技有限公司 SOC starting method based on NAND Flash

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6032248A (en) * 1998-04-29 2000-02-29 Atmel Corporation Microcontroller including a single memory module having a data memory sector and a code memory sector and supporting simultaneous read/write access to both sectors
DE19911794B4 (en) 1999-03-17 2005-10-06 Robert Bosch Gmbh Method and device for securing changes in the memory contents of control units
DE10035149C1 (en) * 2000-07-19 2001-08-16 Kostal Leopold Gmbh & Co Kg Method for programming a memory device, in particular for a motor vehicle control unit
DE10123170A1 (en) 2001-05-12 2002-11-14 Bosch Gmbh Robert Operating controller, especially for motor vehicle, involves running changed program and/or using changed data only if changed program and/or data has or have been successfully verified
JP4547846B2 (en) * 2001-09-28 2010-09-22 株式会社デンソー Vehicle power generation control device
US7003621B2 (en) * 2003-03-25 2006-02-21 M-System Flash Disk Pioneers Ltd. Methods of sanitizing a flash-based data storage device
WO2016075865A1 (en) * 2014-11-12 2016-05-19 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ Update management method, update management device, and control program

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3025502B2 (en) * 1987-03-16 2000-03-27 日立マクセル株式会社 Semiconductor memory device
US5014191A (en) * 1988-05-02 1991-05-07 Padgaonkar Ajay J Security for digital signal processor program memory
JP2682700B2 (en) * 1989-05-09 1997-11-26 三菱電機株式会社 IC card
DE4013727C2 (en) * 1990-04-28 1999-03-11 Bayerische Motoren Werke Ag Control device for technical systems and machines
JPH06208516A (en) * 1992-10-27 1994-07-26 Toshiba Corp Security circuit
DE4332499A1 (en) * 1993-09-24 1995-03-30 Bosch Gmbh Robert Procedure for completely reprogramming an erasable, non-volatile memory

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006252560A (en) * 2005-03-10 2006-09-21 Zarlink Semiconductor Ab Method for securing radio link for remotely programmable device
JP4499050B2 (en) * 2005-03-10 2010-07-07 ザーリンク・セミコンダクター・アクチエボラゲット Method for securing a radio link of a remote programmable device
CN105117652A (en) * 2015-10-09 2015-12-02 天津国芯科技有限公司 SOC starting method based on NAND Flash

Also Published As

Publication number Publication date
GB2314180B (en) 1998-04-22
FR2749697B1 (en) 2006-06-02
FR2749697A1 (en) 1997-12-12
DE19623145B4 (en) 2004-05-13
GB2314180A (en) 1997-12-17
GB9711251D0 (en) 1997-07-23
DE19623145A1 (en) 1997-12-11

Similar Documents

Publication Publication Date Title
JP3822658B2 (en) Control device
RU2142168C1 (en) Method for complete rewriting of cleared non- volatile memory
JP4925422B2 (en) Managing access to content in data processing equipment
JP4708514B2 (en) Method for loading secure program into microprocessor card and microprocessor card including secure program
JPH08211915A (en) Controller
US8140216B2 (en) Method of detecting manipulation of a programmable memory device of a digital controller
JP4135220B2 (en) Electronic control device for vehicle
JPH1083294A (en) Operating method for controller equipped with storage device programmable through programming device
KR100473439B1 (en) Process for the protection of stored program controls from overwriting
US20020184523A1 (en) Programmable unit
JP4880105B2 (en) Memory function protection method for control device and control device
US7207066B2 (en) Method for protecting a microcomputer system against manipulation of data stored in a storage arrangement of the microcomputer system
JP3995717B2 (en) Method of operating a control device having a programmable memory device
US7293148B2 (en) Method for reliably verifying a memory area of a microcontroller in a control unit and control unit having a protected microcontroller
CN113935011A (en) Method for executing a secure boot sequence of a control device
JPH1049205A (en) Operating method for control unit having control function equipped with programmable storage device
JP2002538532A (en) Access protection device for IC card applications
US7406717B2 (en) Method for operating a control device
JP3831429B2 (en) Vehicle control device
CN114091008A (en) Method for securely updating a control device
CN113935012A (en) Method for executing a secure boot sequence of a control device
US7552354B2 (en) Method of protecting a microcomputer system against manipulation of data stored in a memory arrangement
JPH11203115A (en) Controller
CN114675622A (en) Programmable ECU (electronic control unit) flash control method and device
JP2023009818A (en) Electronic control device for vehicle and control method by electronic control device for vehicle

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040609

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060719

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20061017

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20061020

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070117

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070405

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20070702

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20070705

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20071011