WO2021181838A1

WO2021181838A1 - センサ装置

Info

Publication number: WO2021181838A1
Application number: PCT/JP2020/049086
Authority: WO
Inventors: 松本　昌大; 晃小田部; 尭生佐藤
Original assignee: 日立Astemo株式会社
Priority date: 2020-03-13
Filing date: 2020-12-28
Publication date: 2021-09-16
Also published as: US20230080617A1; JP2021144553A; DE112020006272T5; CN115104089A

Abstract

センサ装置の調整情報を外部から書込みできるセンサ装置において、調整情報の不正書込みが生じる可能性があった。　本実施例のセンサ装置１は物理量を検出する検出部２と、調整情報６とプロテクト情報７を記憶する不揮発性メモリ５と、検出部２の出力信号を調整情報６の内容に基づいて調整する調整部３と、調整部３の出力を外部端子１２を介して外部へ出力する出力部４と、センサ装置１の外部と外部端子１３を介して通信する通信部１１と、通信部１１からの情報に基づいて不揮発性メモリ６への書込み処理を行う書込み部８と、通信部１１からの情報に基づいて不揮発性メモリ５の消去処理を行う消去部９と、通信部１１からの情報に基づいて不揮発性メモリ５からの読出し処理を行う読出し部１０により構成される。

Description

センサ装置

　本発明は不揮発性メモリに格納した調整情報に基づいてセンサ特性を調整できるセンサ装置に係り、特に、不揮発性メモリに格納した調整情報の不正書込みを防止できるセンサ装置に関する。

　不揮発性メモリに格納した調整情報の誤書込みおよび誤消去を防止できるセンサ装置の例として、特許文献１に記載された技術がある。特許文献１では、ヒューズＲＯＭを溶断することで不揮発性メモリへの書込み信号を物理的にオフ状態に固定することで不揮発性メモリへの誤書込みおよび不正書込みを防止した。

　また、不揮発性メモリに格納した情報の誤書込みを防止できる集積回路装置の例として、特許文献２に記載された技術がある。特許文献２では、不揮発性メモリに格納したプロテクト情報に基づき、不揮発性メモリの書き込み又は読み出しをプロテクトすることで不揮発性メモリへの誤書込みおよび不正読出しを防止した。

特開２００３－２４０６５２号公報特開２００８－２６２２９４号公報

　特許文献１では、ヒューズＲＯＭを溶断することで不揮発性メモリへの書込み信号を物理的にオフ状態に固定することで不揮発性メモリへの誤書込みおよび不正書込みを防止した。本特許文献ではヒューズＲＯＭを用いている為、ヒューズＲＯＭを構成するための特別なプロセスが必要であったり、ヒューズＲＯＭを溶断する為の専用のパッドを別途設ける必要があったり、ヒューズＲＯＭの溶断の為にトランジスタを用いる場合にはこのトランジスタのサイズが大きくなるなどの課題がある。また、ヒューズＲＯＭの溶断部の信頼性の確保にも課題がある。これらのことから、ヒューズＲＯＭと不揮発性メモリ（特にフラッシュメモリ）を同一のチップに実装することは困難であり、仮に同一チップにした場合にはプロセスコストの増加、チップサイズの増加、信頼性の低下などの課題が生じる。これらのことからヒューズＲＯＭを用いた場合、センサ装置の小型化、低コスト化、信頼性などの課題が生じる。

　また、特許文献２では、不揮発性メモリに格納したプロテクト情報に基づき、不揮発性メモリの書き込みおよび読み出しをプロテクトすることで不揮発性メモリへの誤書込みを防止した。本特許は集積回路装置に格納されたプログラムの不正読出しおよび誤書込みを防止することである為、不揮発性メモリの読出しと書込みはプロテクトされるが、不揮発性メモリの再利用を考慮している為、不揮発性メモリの消去は基本的にプロテクトされない。この為、本技術をセンサ装置に使用した場合、不揮発性メモリに格納した調整情報のベリファイができないことと不揮発性メモリに格納した情報が不正に消去される課題が生じる。本技術では不揮発性メモリに格納した情報を消去できることから、センサ装置に格納した調整情報を不正に書き換えることが可能になる。この結果、センサ装置が誤動作することで、センサ装置を使用したシステム全体の誤動作を引き起こし甚大な損害を発生させる可能性がある。これらのことから、センサ装置の外部からの不正操作によりセンサ装置の調整情報が書き換えられることを防ぐ必要がある。特に、情報セキュリティの問題からセンサ装置に格納した調整情報が不正に書き換えられることに対する対策は必須になっている。

　本発明は上記事情に鑑みてなされたものであり，その目的は不揮発性メモリに書き込まれたセンサ装置の調整情報の不正書込みを防止できるセンサ装置を提供することにある。

　上記課題を解決するために、本発明のセンサ装置は、物理量を検出する検出部と、調整情報を記憶する不揮発性メモリと、前記検出部の出力信号を前記調整情報に基づいて調整する調整部と、前記調整部の出力を外部へ出力する出力部と、外部と通信をする通信部と、前記通信部からの情報に基づいて前記不揮発性メモリへの書込みを行う書込み部と、前記通信部からの情報に基づいて前記不揮発性メモリから読出しを行う読出し部と、前記通信部からの情報に基づいて前記不揮発性メモリの消去を行う消去部と、を備え、前記不揮発性メモリにプロテクト情報を格納する領域を配置し、前記プロテクト情報に基づいて前記書込み部と前記消去部の動作を禁止する。

　本発明によれば、不揮発性メモリに書き込まれたセンサ装置の調整情報の不正書込みを防止できるセンサ装置を提供することが可能となる。

第１の実施例のセンサ装置の構成図不揮発性メモリ５のメモリマップ通信コマンドの構成不揮発性メモリ５への書込みを指示する通信コマンドに対する処理内容不揮発性メモリ５の消去を指示する通信コマンドに対する処理内容不揮発性メモリ５からの読出しを指示する通信コマンドに対する処理内容不揮発性メモリ５へ調整情報６およびプロテクト情報７の書込みフロー第２の実施例のセンサ装置の構成図プロテクト情報７を消去する通信コマンドの構成プロテクト情報７を消去する通信コマンドに対する処理内容

　以下、本発明の実施の形態について、図面を参照して説明する。なお、各実施例は、矛盾しない限り組み合わせ可能である。

［第１の実施例］　まず，本発明の第１の実施例であるセンサ装置を図１から図７により説明する。なお，図１は第１の実施例のセンサ装置の構成図、図２は不揮発性メモリ５のメモリマップ、図３は通信コマンドの構成、図４は不揮発性メモリ５への書込みを指示する通信コマンドに対する処理内容、図５は不揮発性メモリ５の消去を指示する通信コマンドに対する処理内容、図６は不揮発性メモリ５からの読出しを指示する通信コマンドに対する処理内容、図７は不揮発性メモリ５へ調整情報６およびプロテクト情報７の書込みフローである。

　本実施例のセンサ装置１は物理量を検出する検出部２と、調整情報６とプロテクト情報７を記憶する不揮発性メモリ５と、検出部２の出力信号を調整情報６の内容に基づいて調整する調整部３と、調整部３の出力を外部端子１２を介して外部へ出力する出力部４と、センサ装置１の外部と外部端子１３を介して通信する通信部１１と、通信部１１からの情報に基づいて不揮発性メモリ５への書込み処理を行う書込み部８と、通信部１１からの情報に基づいて不揮発性メモリ５の消去処理を行う消去部９と、通信部１１からの情報に基づいて不揮発性メモリ５からの読出し処理を行う読出し部１０により構成される。

　なお、物理量を検出する検出部２の例として、MEMS設計で成形された流量測定素子等の半導体素子が挙げられる。また、調整部３、出力部４、通信部１１、不揮発性メモリ５、書込み部８、消去部９、読出し部１０は同一の集積回路（LSI）に構成されている。半導体素子と集積回路は、同一の半導体素子で構成してもよいし、別の半導体素子として構成してもよい。

　なお、不揮発性メモリ５はフラッシュメモリあるいはＥＥＰＲＯＭで構成され、図２に示す様にアドレス００からアドレスＦＥまでは調整情報６が配置され、アドレスＦＦにはプロテクト情報７が配置されている。また、通信装置１１は図３に示す通信コマンドを処理する。通信コマンドは不揮発性メモリ５に対する操作（読出し、書込み、アドレス毎の消去、全消去など）を示すオペランド部１４とアドレス部１５とデータ部１６により構成される。

　次に、本実施例における不揮発性メモリ５への書込みを指示する通信コマンドに対する処理内容を図４により説明する。外部端子１３を介して送られた通信コマンドは通信部１１で処理され、書込みコマンドと判断されると書込み部８はプロテクト情報７を読み込み、プロテクト情報７が０の場合は不揮発性メモリ5の所定のアドレスへデータを書込む。
なお、不揮発性メモリ5の初期値は０になる様にしており、初期状態では不揮発性メモリ5への書込みおよび消去はプロテクトされないようにしている。つまり、プロテクト情報７が０の場合は不揮発性メモリ5への書込み処理が行われ、それ以外の場合は書込み処理は禁止される。言い換えれば、プロテクト情報７によって書込み処理は禁止される。

　次に、本実施例における不揮発性メモリ５の消去を指示する通信コマンドに対する処理内容を図５により説明する。外部端子１３を介して送られた通信コマンドは通信部１１で処理され、消去コマンドと判断されると消去部９はプロテクト情報７を読み込み、プロテクト情報７が０の場合は不揮発性メモリ5の所定のアドレスを消去あるいは全消去する。つまり、プロテクト情報７が０の場合は不揮発性メモリ5の消去処理が行われ、それ以外の場合は消去処理は禁止される。言い換えれば、プロテクト情報７によって消去処理は禁止される。

　次に、本実施例における不揮発性メモリ５からの読出しを指示する通信コマンドに対する処理内容を図６により説明する。外部端子１３を介して送られた通信コマンドは通信部１１で処理され、読出しコマンドと判断されると読出し部１０は不揮発性メモリ5の所定のアドレスからデータを読出し、通信部１１によって外部端子１３を介して外部へ出力される。つまり、読出し処理はプロテクト情報７によりプロテクトされずに常に実行される。

　次に本実施例における不揮発性メモリ５への書込み手順を図７により説明する。図７に示す様に不揮発性メモリ５への書込みは、まず不揮発性メモリ５のアドレス００からアドレスＦＥに配置させる調整情報６への書込みを行い、その後ベリファイの為に調整情報６の内容を読み出し、調整情報６への書込み内容と調整情報６からの読出し内容が一致することで調整情報６への書込みが適正であると判断し、適正であればプロテクト情報７を書込み終了し、適正で無い場合は調整情報６を消去して最初からやり直す。この様に最初に調整情報６を書込み、調整情報６のベリファイを行い、最後にプロテクト情報７を書込むことで不揮発性メモリ５の書込みと消去を禁止にする。

　本実施例ではプロテクト情報７に書込みを実施した後は、不揮発性メモリ５に対する書込みおよび消去を完全に禁止できる。この結果、外部端子１３からの不正操作によりセンサ装置１の調整情報６が書き換えられることを防ぐことができ、この結果、本センサ装置の誤動作を防止することで、本センサ装置を使用したシステム全体の誤動作を防止できる。

　また、本実施例ではプロテクト情報７に書込みを実施して不揮発性メモリ５のプロテクトを実施した後でも不揮発性メモリ５の読出しを可能にしている。この結果、不揮発性メモリ５の内容が万が一書き換えられたとしても外部端子１３から読出しコマンドを送付することで不揮発性メモリ５の内容を確認できる。また、調整情報６にはセンサ装置１のトレーサビリティを確保するための製品識別コードを記憶させておくことも可能で、この製品識別コードも不揮発性メモリ５のプロテクトを実施した後でも確認することでき、センサ装置１の信頼性向上に貢献できる。

　また、不揮発性メモリ５のプロテクトを実行するプロテクト情報７を不揮発性メモリ５に格納している為、調整情報６へ書込みを行う書込み部８、消去部９、読出し部１０をプロテクト情報７への書込みおよび読出し回路と共用化でき、回路規模の小型化と低コスト化が可能にした。

［第２の実施例］　次に，本発明の第２の実施例であるセンサ装置を図８により説明する。なお，図８は第２の実施例のセンサ装置の構成図である。

　本実施例のセンサ装置は基本的には第１の実施例のセンサ装置と同じであるが、図８に示す様にプロテクト情報７からの読出しを禁止するスイッチ１７とスイッチ１７を制御する内部端子１８を付加した。

　本実施例ではスイッチ１７と内部端子１８を付加し、内部端子１８に所定の電圧を印加してスイッチ１７を制御すことで不揮発性メモリ５のプロテクトを一時的に解除できるようにした。このことで、プロテクト情報７の消去をできるようにしてセンサ装置１の再利用を可能した。このことにより、製造ラインで間違ってプロテクト情報７に書込みを行ってしまった場合でも再利用が可能になるのでセンサ装置１の製造歩留まりを向上させることができる。なお、内部端子１８はセンサ装置１の内部に配置され外部からアクセスできないようにしており、外部からの不正アクセスを防止できるようにしている。具体的には、外部装置との通信のためのコネクタ端子には、内部端子１８は接続されておらず、ハウジング内に配置されることで、センサ装置を分解しないと内部端子１８にアクセスできないようにしている。

［第３の実施例］　次に，本発明の第３の実施例であるセンサ装置を図９、図１０により説明する。なお，図９はプロテクト情報７の消去する通信コマンドの構成、図１０はプロテクト情報７を消去する通信コマンドに対する処理内容である。

　本実施例のセンサ装置は基本的には第１の実施例のセンサ装置と同じであるが、図９に示す様なプロテクト情報７を消去する通信コマンドと図１０に示すプロテクト情報７を消去する通信コマンドに対する処理を付加した。プロテクト情報７を消去する通信コマンドは図９に示す様にオペランド部１４とアドレス部１５とデータ部１６に特定の値を配置した１６進数で３Ｃ３３Ｃの様な通信コマンドにした。こうすることで外部からのアクセスを困難にして外部からの不正アクセスを防止できるようにした。

　次に、本実施例における不揮発性メモリ５のプロテクト情報７を消去する通信コマンドに対する処理内容を図１０により説明する。外部端子１３を介して送られた通信コマンドは通信部１１で処理され、プロテクト情報消去コマンドと判断されると消去部９はプロテクト情報７を消去する。

　本実施例ではプロテクト情報７の消去する通信コマンドとこれに対応する処理を付加することで、センサ装置１の製造ラインで間違ってプロテクト情報７に書込みを行ってしまった場合においてもプロテクト情報７を消去することでセンサ装置１の再利用を可能した。このことにより、製造ラインで間違ってプロテクト情報７に書込みを行ってしまった場合でも再利用が可能になるのでセンサ装置１の製造歩留まりを向上させることができる。

　１‥センサ装置、２‥検出部、３‥調整部、４‥出力部、　５‥不揮発性メモリ、６‥調整情報、７‥プロテクト情報、８‥書込み部、　９‥消去部、１０‥読出し部、１１‥通信部、１２‥外部端子、　１３‥外部端子、１４‥オペランド部、１５‥アドレス部、１６‥データ部、　１７‥スイッチ、１８‥内部端子

Claims

　物理量を検出する検出部と、
　調整情報を記憶する不揮発性メモリと、
　前記検出部の出力信号を前記調整情報に基づいて調整する調整部と、
　前記調整部の出力を外部へ出力する出力部と、
　外部と通信をする通信部と、
　前記通信部からの情報に基づいて前記不揮発性メモリへの書込みを行う書込み部と、
　前記通信部からの情報に基づいて前記不揮発性メモリから読出しを行う読出し部と、
　前記通信部からの情報に基づいて前記不揮発性メモリの消去を行う消去部とを有するセンサ装置において、
　前記不揮発性メモリはプロテクト情報を格納する領域を有し、前記プロテクト情報に基づいて前記書込み部と前記消去部の動作を禁止することを特徴とするセンサ装置
　請求項１に記載のセンサ装置において，
　前記センサ装置の内部あるいは外部に制御端子を有し、前記制御端子に所定の電圧を印加することで、前記プロテクト情報に基づいて書込み部と消去部の動作の禁止を解除することを特徴とするセンサ装置
　請求項１に記載のセンサ装置において，
　通信部に特定のコマンドを送ることでプロテクト情報の消去を実行することを特徴とするセンサ装置