DE4013728A1

DE4013728A1 - Secure re-usable event-recording memory - uses micro-processor controlled delay of memory erasure to guarantee data security

Info

Publication number: DE4013728A1
Application number: DE19904013728
Authority: DE
Inventors: Hans Lamberty
Original assignee: Bayerische Motoren Werke AG
Current assignee: Bayerische Motoren Werke AG
Priority date: 1990-04-28
Filing date: 1990-04-28
Publication date: 1991-10-31
Anticipated expiration: 2010-04-29
Also published as: DE4013728C2

Abstract

An electronic read/write memory, e.g. EEPROM, is triggered to record the prevailing and subsequent conditions in partic. events, e.g. automobile accident, to prove/disprove component failure as a cause. The memory only becomes erasable, under microprocessor control, after several days. It must be connected to the appropriate erasure voltage for a predetermined period, the process being irreversible. ADVANTAGE - Accident data is secure once recorded. Memory unit is re-usable with minimal cost.

Description

Die Erfindung bezieht sich auf eine Steuervorrichtung nach dem Oberbegriff des Patentanspruchs 1.The invention relates to a control device according to the preamble of claim 1.

Derartige Steuervorrichtungen sind vielfältig im Einsatz. Beispielsweise bei Kraftfahrzeugen dienen sie dazu, technische Anlagen, beispielsweise zum Schutz der Insassen vor unfallbedingten Verletzungen, oder Maschinen, beispielsweise die Brennkraftmaschi ne, zu steuern. Atypische Ereignisse wie beispiels weise eine Kollision oder der teilweise Ausfall wesentlicher Betriebsfunktionen der Anlage bzw. Maschinen werden mit Hilfe des Speichers aufgezeich net.Such control devices are diverse in Commitment. Serve for example in motor vehicles them to technical systems, for example Protection of occupants from accidental injuries, or machines, for example the internal combustion engine ne to control. Atypical events such as wise a collision or partial failure essential operational functions of the system or Machines are recorded using the memory net.

Bei einer Steuervorrichtung für ein Insassenschutz system, wie beispielsweise einen Airbag werden die bei Auslösen des Airbags herrschenden Betriebszu stände abgespeichert. Hierzu gehört eine Information über den fehlerfreien Zustand der Steuervorrichtung beim Auslösen, der Zustand der Eingänge der Steuer vorrichtung, z. B. der Information über den angelegten Sicherheitsgurt, den Signalverlauf bzw. die Charak teristika dieses Verlaufs des Beschleunigungssensors, den zeitlichen Ablauf eines Kollisionsvorgangs usw.. Nur auf diese Weise ist es möglich, im nachhinein die Begleitumstände eines Unfalls aufzuklären und bei spielsweise den Nachweis zu führen, daß z. B. keine Fehlauslösung des Airbags vorlag. Im Interesse des Fahrzeugherstellers bzw. des Herstellers der Steuer vorrichtung ist es dabei aber erforderlich, jede Manipulation des Speicherinhalts auszuschließen. In a control device for occupant protection system, such as an airbag when the airbag deploys statuses saved. This includes information about the error-free state of the control device when triggered, the state of the inputs of the tax device, e.g. B. the information about the created Seat belt, the signal course or the character the characteristics of this course of the acceleration sensor, the timing of a collision process, etc. Only in this way is it possible to review the Clarify accompanying circumstances of an accident and at for example to provide evidence that z. B. none The airbag was triggered incorrectly. In the interest of Vehicle manufacturer or the manufacturer of the tax device, however, it is necessary to each Exclude manipulation of the memory content.

Hierzu werden vielfältige Wege beschritten. Bei spielsweise werden Speicher verwendet, in die die relevanten Daten nur ein einziges Mal eingeschrieben werden können. Ein derartiger nicht löschbarer Speicher ist dann nicht wiederverwendbar.There are many ways to do this. At for example, memories are used in which the relevant data only registered once can be. Such a non-erasable Storage is then not reusable.

Eine weitere Möglichkeit besteht darin, den Speicher in einem versiegeltem Gehäuse anzuordnen, um damit den Nachweis einer Manipulation des Speichers durch die erkennbare mechanische Beschädigung des Gehäuses führen zu können. Auch eine derartige Anordnung ist, selbst wenn der Speicher selbst löschbar ist, beson ders bauaufwendig und ungünstig in der Handhabung.Another option is to use memory to be arranged in a sealed housing to evidence of tampering with the memory the visible mechanical damage to the housing to be able to lead. Such an arrangement is also even if the memory itself can be erased, especially ders complex and unfavorable to use.

Eine weitere Möglichkeit schließlich ist, den Spei cherplatz zu vergrößern und beispielsweise die Speicherung einer definierten, in der Regel relativ kleinen Anzahl von derartigen atypischen Ereignissen zu ermöglichen. Je nach Anwendungsfall besitzt aber auch ein derartiger Speicher nur eine begrenzte Einsatzmöglichkeit und ist nur schwer wiederzuver wenden, da ein bereits teilweise beschriebener Speicher in seiner Anwendungsmöglichkeit gegenüber einem neuen Speicher begrenzt ist und im Zweifels falle auf seinen Einsatz verzichtet wird.Another option is the Spei to enlarge the space and for example the Saving a defined, usually relative small number of such atypical events to enable. Depending on the application, however even such a memory is only limited Possible application and is difficult to reuse turn, as a partially described Opposite memory in its application possibility a new memory is limited and in doubt trap its use is waived.

Der Erfindung liegt die Aufgabe zugrunde, eine Steuervorrichtung der eingangs genannten Art zu schaffen, die ein Höchstmaß an Manipulationssicher heit besitzt, bei der der Speicher jedoch mit ge ringem Aufwand wiederverwendbar wird. The invention has for its object a Control device of the type mentioned create the highest level of tamper evident unit, in which the memory, however, with ge is reusable with little effort.

Die Erfindung löst diese Aufgabe durch die kenn zeichnenden Merkmale des Patentanspruchs 1.The invention solves this problem by the kenn characterizing features of claim 1.

Ein löschbarer Speicher (z. B. ein EEPROM) eröffnet grundsätzlich die Möglichkeit der Wiederverwendbar keit, da er in der Regel beliebig oft mit neuen Daten beschrieben werden kann und er sich dann in seinen Eigenschaften nicht von einem neuen Speicher unter scheidet. Die bei einem löschbaren Speicher grund sätzlich bestehende Möglichkeit, den Speicherinhalt für eine Manipulation zu Lasten des Herstellers bzw. Betreibers der Anlage bzw. Maschine zu verändern, wird durch die Möglichkeit ausgeschlossen, diese Löschung des Speichers nur selbsttätig im Abstand von mehreren Tagen nach dem nachweispflichtigen Ereignis durchzuführen. Der Löschvorgang als solcher entzieht sich somit der unmittelbaren Einflußnahme durch jeden Fahrzeugbenutzer. Die zeitliche Schranke in Form von mehreren Tagen, z. B. 10 Tage nach dem Ereignis bietet ausreichend Sicherheit, die Löschung nur dann durch zuführen, wenn ein Nachweis des Ereignisses nicht mehr erforderlich ist.An erasable memory (e.g. an EEPROM) opens basically the possibility of reusable speed, as it usually contains new data as often as required can be described and then he is in his Properties not under from a new store separates. The reason for an erasable memory additional existing possibility, the memory content for manipulation at the expense of the manufacturer or To change the operator of the system or machine, is excluded by the possibility of this Deletion of the memory only automatically at intervals of several days after the event requiring proof perform. The deletion process as such eludes the direct influence of everyone Vehicle users. The time limit in the form of several days, e.g. B. 10 days after the event sufficient security, the deletion only then perform if proof of the event is not more is needed.

Die Ausführung der Erfindung ist auf verschiedene Weise möglich. So kann der Löschbefehl selbsttätig ohne weitere Einflußmöglichkeit von außen ausgelöst werden. Hierzu kann beispielsweise ein Energiespei cher verwendet werden, der durch einen Zeitgeber nach Art eines Selbstauslösers nach Ablauf des vorgege benen Zeitraums einen elektrischen Löschimpuls an den Speicher abgibt. Demgegenüber ergibt sich bei der Ausführungsform mit den Merkmalen des Patentanspruchs 2 eine weitere Sicherheit. Nur dann, wenn der Spei cher für den entsprechenden Zeitraum an der oder einer Betriebsspannungsquelle angeschlossen ist, erfolgt die Löschung des Speichers.The implementation of the invention is different Way possible. So the delete command can automatically triggered from outside without further influence will. For this purpose, for example, an energy store cher used by a timer after Kind of a self-timer after the expiry of the pre an electrical erase pulse to the Emits memory. In contrast, the Embodiment with the features of claim 2 another security. Only if the Spei for the corresponding period on or an operating voltage source is connected, the memory is deleted.

Bei Steuervorrichtungen für Brennkraftmaschinen von Kraftfahrzeugen bedeutet dies eine selbsttätige Löschung im Abstand vom einigen Tagen nach einem kritischen Betriebsfall. Unter derartigen Betriebs fällen sind nur solche zu verstehen, die in der Regel mit einem weitgehenden Ausfall der Brennkraftmaschine verbunden sind. Nach einigen Tagen ist dann auch die Brennkraftmaschine wieder repariert und die Löschung der im Speicher enthaltenen Daten nicht mehr erfor derlich.In control devices for internal combustion engines from Motor vehicles this means an automatic Deletion every few days after one critical operating case. Under such operating cases are only to be understood as those that are usually with a major failure of the internal combustion engine are connected. After a few days that is also Internal combustion engine repaired and the extinction the data contained in the memory is no longer required such.

Entsprechendes gilt für den Anwendungsfall einer Steuervorrichtung für einen Airbag. Da mit dem Auslösen eines Airbags ein Werkstattaufenthalt unmittelbar verbunden ist, bei dem die im Speicher enthaltenen Daten aufgenommen werden können, ist das anschließende Löschen dieser Daten dann ebenfalls unkritisch. Ein erneuter Einsatz des Speichers bzw. der gesamten Steuervorrichtung, auch in einem anderen Kraftfahrzeug, ist dann ohne weiteres möglich. Der Anschluß der Steuervorrichtung an die Betriebsspan nungsquelle kann dabei auch außerhalb des Kraftfahr zeugs erfolgen und allein dem Ziel dienen, den Löschbefehl auszulösen und die Steuervorrichtung wiederverwendbar zu machen. The same applies to the application of a Control device for an airbag. Since with that Triggering an airbag during a workshop visit is directly connected to the one in memory contained data can be recorded, that is then also deleting this data not critical. A new use of the memory or the entire control device, even in another Motor vehicle is then easily possible. The Connection of the control device to the operating chip The source of voltage can also be outside the motor vehicle stuff and serve only the goal that Trigger delete command and the control device to make it reusable.

Gerade dann, wenn die Steuervorrichtung in Verbindung mit einer technischen Anlagen oder Maschine einge setzt wird, bei der der Speicher zum Aufzeichnen von Ereignissen unterschiedlicher Relevanz eingesetzt wird kann es vorteilhaft sein, den Löschbefehl zu unterdrücken. Beispiel hierfür ist die Aufzeichnung von kritischen Betriebsfällen einer Brennkraftma schine bzw. einer Steuervorrichtung eines Kraftfahr zeugs, die abhängig von den Fahrzuständen verschie dene Anlagen zur Beeinflussung der Fahrdynamik steuert. Da kritische Betriebszustände auch ohne nachfolgenden Werkstattaufenthalt verlaufen können, kann für derartige Anwendungsfälle der Löschbefehl unterdrückt werden und erst dann ausgelöst werden, wenn beispielsweise im Rahmen eines Werkstattaufent halts eine Erfassung der im Speicher enthaltenen Daten vorgenommen ist.Especially when the control device is connected turned on with a technical system or machine where the memory for recording Events of different relevance it may be advantageous to use the delete command suppress. An example of this is the recording of critical operating cases of an internal combustion engine machine or a control device of a motor vehicle stuff that differs depending on the driving conditions systems to influence driving dynamics controls. Because critical operating states also without subsequent stay in the workshop, can be the delete command for such applications are suppressed and only then triggered if, for example, as part of a workshop keep a record of what is in memory Data is made.

Die erfindungsgemäße Steuervorrichtung bietet somit die Möglichkeit, Steuervorrichtungen wiederzuverwen den auch dann, wenn ein nachweispflichtiges Ereignis aufgezeichnet ist. Manipulationen des für diese Aufzeichnung vorgesehenen Speichers werden mit Sicherheit unterdrückt, da der Speicher nur in einem großen zeitlichen Abstand und ggf. nur bei Durchfüh rung besonderer Vorbereitungsmaßnahmen, wie bei spielsweise dem Anlegen von Betriebsspannung, wie derverwendbar wird. Eine derartige Steuervorrichtung läßt sich auch für Ersatzteilzwecke in verschiedenen technischen Anlagen bzw. Maschinen einsetzen. Die Anwendungen können sich somit auch der Reihe nach ändern.The control device according to the invention thus offers the ability to reuse control devices even if an event requiring proof is recorded. Manipulations of for this Recorded storage will be provided with Security suppressed because the memory is only in one large time interval and only if necessary special preparatory measures, such as for example the application of operating voltage, such as which becomes usable. Such a control device can also be used for different purposes use technical systems or machines. The Applications can therefore also be sequential to change.

Claims

1. Steuervorrichtung für technische Anlagen und Maschinen insbesondere in Kraftfahrzeugen, mit einem Mikroprozessor, und mit einem Speicher zum Aufzeichnen von nachweispflichtigen Ereignissen, dadurch gekennzeichnet, daß der Speicher lösch bar ist und daß der Löschbefehl im Abstand von mehreren Tagen nach Aufzeichnen eines Ereignis ses nur selbsttätig auslösbar ist.1. Control device for technical systems and machines, in particular in motor vehicles, with a microprocessor, and with a memory for recording events requiring verification, characterized in that the memory is erasable and that the delete command is only several days after recording an event can be triggered automatically.

2. Steuervorrichtung nach Anspruch 1, dadurch gekennzeichnet, daß der Löschbefehl nur auslös bar ist, wenn der Speicher während eines dem zeitlichen Abstand entsprechenden Zeitraums an einer Betriebsspannungsquelle angeschaltet ist.2. Control device according to claim 1, characterized characterized that the delete command only triggers bar if the memory is during a time interval corresponding period an operating voltage source is switched on.

3. Steuervorrichtung nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß der Löschbefehl unterdrückbar ist.3. Control device according to claim 1 or 2, characterized in that the delete command can be suppressed.