JP2010250751A - Microcomputer chip - Google Patents
Microcomputer chip Download PDFInfo
- Publication number
- JP2010250751A JP2010250751A JP2009102166A JP2009102166A JP2010250751A JP 2010250751 A JP2010250751 A JP 2010250751A JP 2009102166 A JP2009102166 A JP 2009102166A JP 2009102166 A JP2009102166 A JP 2009102166A JP 2010250751 A JP2010250751 A JP 2010250751A
- Authority
- JP
- Japan
- Prior art keywords
- chip
- microcomputer
- terminal
- data
- microcomputer chip
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Microcomputers (AREA)
- Stored Programmes (AREA)
Abstract
Description
本発明は、車両用電子制御装置に用いられるマイクロコンピュータチップに関する。 The present invention relates to a microcomputer chip used in a vehicle electronic control device.
車両のエンジンなどを制御する車両用電子制御装置(以下、ECUともいう)では、それに搭載した処理装置としてのマイクロコンピュータ(以下、マイコンともいう)によって、制御対象を制御するための様々な処理を行うようになっている。 In a vehicle electronic control device (hereinafter also referred to as an ECU) that controls a vehicle engine or the like, a microcomputer (hereinafter also referred to as a microcomputer) as a processing device mounted on the vehicle performs various processes for controlling a control target. To do.
また、車両及びECUの開発段階においては、ECUを車両に搭載した状態で動作させてみて、そのECUの制御対象に対する実際の制御特性を検証すると共に、その検証結果に応じて、ECUのマイコンに実行させる制御用ソフトウェアを適宜変更することにより、そのECUの制御特性を調整して、制御対象の機能や性能が目標の状態となるようにする、といった制御特性調整の作業を行うようにしている。 In the vehicle and ECU development stage, the ECU is operated while mounted on the vehicle, and the actual control characteristics of the ECU to be controlled are verified. By appropriately changing the control software to be executed, the control characteristics of the ECU are adjusted so that the function and performance of the control target are in a target state. .
尚、制御用ソフトウェアとは、制御用プログラムを成すデータ(命令コードのデータ)のことだけでなく、その制御用プログラムの実行時に参照されるデータマップや係数などの制御用データのことも含んでいる。また、制御特性としては、エンジンの制御を例に挙げると、例えば各気筒に対する点火のタイミングや燃料噴射のタイミングなどがある。また、以下では、こうした制御特性の調整のことを、キャリブレーションと言う。 Note that the control software includes not only data (instruction code data) forming a control program but also control data such as a data map and a coefficient referred to when the control program is executed. Yes. Further, as an example of control characteristics, for example, engine control includes ignition timing and fuel injection timing for each cylinder. In the following, such adjustment of control characteristics is referred to as calibration.
そして、こうした調整作業を効率良く行うために、ECUに搭載されるマイコンのチップ内には、図11(a)に示すように、制御特性調整用の回路であるキャリブレーション回路10を設けるようにしていた。 In order to efficiently perform such adjustment work, a calibration circuit 10 that is a circuit for adjusting control characteristics is provided in the chip of the microcomputer mounted on the ECU, as shown in FIG. It was.
そのキャリブレーション回路10は、マイコンチップ内のバス11を介して、マイコンチップ内の各部(即ち、バス11で互いに接続されたCPU12、ROM13、RAM14、及び周辺回路15等)と接続されており、また、図示は省略しているが、ECU外部のキャリブレーション用ツール(調整作業用ツール)と特定の通信インターフェースを介して接続されるようになっている。尚、マイコンチップ内の周辺回路15としては、I/Oポート、シリアル通信回路、タイマ、A/D変換回路等がある。 The calibration circuit 10 is connected to each part in the microcomputer chip (that is, the CPU 12, the ROM 13, the RAM 14, the peripheral circuit 15 and the like connected to each other by the bus 11) via the bus 11 in the microcomputer chip. Although not shown in the figure, it is connected to a calibration tool (adjustment work tool) outside the ECU via a specific communication interface. The peripheral circuit 15 in the microcomputer chip includes an I / O port, a serial communication circuit, a timer, an A / D conversion circuit, and the like.
そして、キャリブレーション回路10は、キャリブレーション用ツールからの指令に応じて動作する。例えば、キャリブレーション回路10は、CPU12のモードを切り替えて、そのCPU12が、ROM13の特定領域に記憶されている制御用データを、当該キャリブレーション回路10の内部に設けられているRAMにコピーし、制御用プログラムを実行する際に、そのRAM内の制御用データを参照するようにさせる機能や、更にそのRAM内の制御用データをキャリブレーション用ツールからの指令によりリアルタイムに変更する機能(これがキャリブレーションのための主たる機能)を持つ。勿論、そのRAM内の制御用データは、始めからキャリブレーション用ツールから送るようにする方法もある。また例えば、キャリブレーション回路10には、マイコンのROM13から制御用ソフトウェアの全部又は一部を読み出してキャリブレーション用ツールへ出力する機能もある。尚、特許文献1には、CPUに、不揮発性メモリ内のデータに代えて、RAM内のデータを参照させることで、そのCPUの動作を停止させることなくチューニングを行うことが記載されている。 The calibration circuit 10 operates in response to a command from the calibration tool. For example, the calibration circuit 10 switches the mode of the CPU 12 and the CPU 12 copies the control data stored in the specific area of the ROM 13 to the RAM provided in the calibration circuit 10. A function for referring to the control data in the RAM when the control program is executed, and a function for changing the control data in the RAM in real time by a command from the calibration tool (this is the calibration Main function). Of course, there is a method in which the control data in the RAM is sent from the calibration tool from the beginning. Further, for example, the calibration circuit 10 has a function of reading out all or part of the control software from the ROM 13 of the microcomputer and outputting it to the calibration tool. Patent Document 1 describes that tuning is performed without stopping the operation of the CPU by referring to the data in the RAM instead of the data in the nonvolatile memory.
ところで、上記のようなキャリブレーション回路の機能は、量産車両に組み付けられる完成状態のECU(即ち量産品のECU)に搭載されるマイコン(以下、量産用マイコンという)には不要なものである。 By the way, the function of the calibration circuit as described above is unnecessary for a microcomputer (hereinafter referred to as a mass production microcomputer) mounted on a completed ECU (that is, a mass production product ECU) assembled in a mass production vehicle.
このため、チップ内にキャリブレーション回路を備えたマイコンを量産用マイコンとして用いると、その量産用マイコンのコストアップを招くと共に、量産用に機能を最適化したマイコン(即ち、キャリブレーション回路を削除したマイコン)と比較すると、消費電流の増大や動作速度の低下を招くこととなる。余分な回路がバスに接続されることになるからである。また、キャリブレーション回路は、前述したようにマイコン内のROMにアクセスする機能を有しているため、量産用マイコンの機密性を低下させてしまう。つまり、そのキャリブレーション回路にマイコンの外部から指令して、ROM内のデータを読み出す、といった不正行為が行われる可能性が生じる。 For this reason, using a microcomputer with a calibration circuit in the chip as a mass production microcomputer increases the cost of the mass production microcomputer and deletes the microcomputer whose function is optimized for mass production (ie, the calibration circuit has been deleted). In comparison with a microcomputer, current consumption increases and operation speed decreases. This is because an extra circuit is connected to the bus. Moreover, since the calibration circuit has a function of accessing the ROM in the microcomputer as described above, the confidentiality of the mass production microcomputer is lowered. That is, there is a possibility that an illegal act such as instructing the calibration circuit from the outside of the microcomputer and reading the data in the ROM will be performed.
そこで、こうした問題を解決するために、本発明者は以下のことを考えた。
まず、図11(b),(c)に示すように、マイコンのチップを、キャリブレーション回路10以外のマイコン本来の機能部分を含む本体チップ21と、キャリブレーション回路10を含むサブチップとしてのキャリブレーション用チップ31とに分けて(即ち別チップ化して)製造する。そして、図11(b)に示すように、ECUの開発時には、本体チップ21にキャリブレーション用チップ31を接続した状態でその両チップ21,31を1パッケージにパッケージングしたキャリブレーション機能付きマイコンを作成し、それを用いる。一方、図11(c)に示すように、ECUの量産時には、本体チップ21のみをパッケージングした量産用マイコンを作成し、それを用いる。
Therefore, in order to solve these problems, the present inventor considered the following.
First, as shown in FIGS. 11B and 11C, the microcomputer chip is calibrated as a sub chip including a main body chip 21 including the original functional part of the microcomputer other than the calibration circuit 10 and the calibration circuit 10. It is manufactured separately from the chip 31 for use (that is, as a separate chip). Then, as shown in FIG. 11B, when developing the ECU, a microcomputer with a calibration function in which both the chips 21 and 31 are packaged in one package with the calibration chip 31 connected to the main body chip 21 is provided. Create and use it. On the other hand, as shown in FIG. 11C, during mass production of the ECU, a mass production microcomputer in which only the main body chip 21 is packaged is created and used.
また、この場合、本体チップ21には、その本体チップ21内でバス11と接続される接続端子22を設けておき、その接続端子22にキャリブレーション用チップ31側の端子32が接続されることで、キャリブレーション用チップ31(詳しくは、そのチップ31におけるキャリブレーション回路10)が本体チップ21側のバス11と接続される状態、即ち、両チップ21,31が接続された状態となるようにしておけば良い。そして、このようにすれば、キャリブレーション用チップ31(詳しくは、キャリブレーション回路10)は、本体チップ21との接続状態において、上記接続端子22及びバス11を介し本体チップ21内の各部にアクセスすることができる。尚、特許文献2には、複数のチップによって1つの半導体装置を構成することが記載されている。 In this case, the main body chip 21 is provided with a connection terminal 22 connected to the bus 11 in the main body chip 21, and the terminal 32 on the calibration chip 31 side is connected to the connection terminal 22. Thus, the calibration chip 31 (specifically, the calibration circuit 10 in the chip 31) is connected to the bus 11 on the main body chip 21 side, that is, the both chips 21 and 31 are connected. Just keep it. In this way, the calibration chip 31 (specifically, the calibration circuit 10) accesses each part in the main body chip 21 via the connection terminal 22 and the bus 11 in the connection state with the main body chip 21. can do. Patent Document 2 describes that a single semiconductor device is constituted by a plurality of chips.
一方、ECUにおいては、マイコンのROM13として、電気的に記憶内容の書き換え(詳しくは消去及び書き込み)が可能なフラッシュROMなどの不揮発性メモリを用い、そのROM13内の制御用ソフトウェアを、市場への供給後でも書き換え可能に構成している。 On the other hand, in the ECU, a nonvolatile memory such as a flash ROM capable of electrically rewriting (specifically, erasing and writing) the stored contents is used as the ROM 13 of the microcomputer, and the control software in the ROM 13 is transferred to the market. It is configured to be rewritable even after supply.
即ち、この種のECUにおいて、マイコンは、通常時には、ROM13内の制御用プログラムを実行することでエンジン等の制御対象を制御するための処理を行うが、ECUに別途接続されるプログラム書換装置からの書換要求を受けると、自己の動作モードを書換モードに移行させる。そして、マイコンは、書換モードになると、当該マイコンが搭載されるECUの種類に固有の書換認証用データがプログラム書換装置から送信されてきたか否かを判定する認証処理を行い、その認証処理により固有の書換認証用データが送信されてきたと判定したならば、ROM13内のデータをプログラム書換装置から送られてくるデータに書き換えるための書換処理を行う。 That is, in this type of ECU, the microcomputer normally executes a control program in the ROM 13 to control a control target such as an engine, but from a program rewriting device separately connected to the ECU. When the rewriting request is received, its own operation mode is shifted to the rewriting mode. When the microcomputer enters the rewrite mode, the microcomputer performs an authentication process for determining whether or not rewrite authentication data specific to the type of ECU on which the microcomputer is mounted has been transmitted from the program rewriting apparatus. If it is determined that the rewriting authentication data is transmitted, a rewriting process for rewriting the data in the ROM 13 with the data transmitted from the program rewriting device is performed.
尚、書換処理を開始する前に認証処理を行うのは、制御用ソフトウェアが不正に書き換えられるのを防止するというセキュリティのためである。そして、こうしたセキュリティの機能(即ち、制御用ソフトウェアの不正書換防止機能)は、開発が終わって完成した量産品のECUに搭載される量産用マイコンにおいて特に必要である。また、マイコンにおいて、上記不正書換防止機能及び制御用ソフトウェアを書き換えるための機能は、一般には、制御用ソフトウェアとは別の書換制御ソフトウェアによって実現される。 The reason why the authentication process is performed before starting the rewriting process is for security to prevent the control software from being rewritten illegally. Such a security function (that is, a function for preventing unauthorized rewriting of control software) is particularly necessary in a mass-production microcomputer mounted on a mass-produced ECU that has been developed and completed. Further, in the microcomputer, the unauthorized rewrite preventing function and the function for rewriting the control software are generally realized by rewrite control software different from the control software.
ところで、図11(b),(c)のように本体チップ21とキャリブレーション用チップ31とに分けるようにした場合、下記の問題がある。
まず、本体チップ21を、キャリブレーション用チップ31が接続されない量産用マイコン(図11(c))の形態とした場合、そのマイコンは開発が終了した量産品である完成状態のECUに搭載されるため、前述した制御用ソフトウェアの不正書換防止機能が必須である。
By the way, when divided into the main body chip 21 and the calibration chip 31 as shown in FIGS. 11B and 11C, there are the following problems.
First, when the main body chip 21 is in the form of a mass production microcomputer (FIG. 11C) to which the calibration chip 31 is not connected, the microcomputer is mounted on a completed ECU that is a mass-produced product that has been developed. For this reason, the above-described illegal rewriting prevention function of the control software is essential.
これに対して、本体チップ21を、キャリブレーション用チップ31が接続されたキャリブレーション機能付きマイコン(図11(b))の形態とした場合には、そのマイコンは開発段階で未完成状態のECUに搭載されるため、制御用ソフトウェアの不正書換防止機能があると、ECUの開発効率を低下させてしまう。 On the other hand, when the main body chip 21 is in the form of a microcomputer with a calibration function (FIG. 11B) to which the calibration chip 31 is connected, the microcomputer is an unfinished ECU at the development stage. Therefore, if there is an unauthorized rewrite prevention function of the control software, the development efficiency of the ECU is lowered.
なぜならば、ECUの開発段階において、開発作業を行う作業者は、キャリブレーション回路10を利用して適切な制御用データを模索する作業と、その結果に応じて、マイコンのROM13内の制御用ソフトウェアを書き換えて実際の動作を確認する作業とを、適宜繰り返すこととなるが、制御用ソフトウェアを書き換えようとする場合には、プログラム書換装置からECUへ、そのECUの種類に合った書換認証用データが送信されるように、プログラム書換装置を操作しなければならない。よって、作業者は、自分が担当している開発中のECUの種類が何で、それにはどの書換認証用データが対応するか、ということを常に把握していなければならないが、その対応関係を間違えてECUに不適な書換認証用データを与えてしまう可能性があり、そうなると制御用ソフトウェアの書き換えを効率的に実施できず、延いてはECUの開発効率が低下してしまう。特に、ECUと書換認証用データとの対応関係を間違える可能性は、一人の作業者が複数種類のECUの開発を担当する場合に高くなる。 This is because, in the development stage of the ECU, the worker who performs the development work searches for appropriate control data using the calibration circuit 10 and the control software in the ROM 13 of the microcomputer according to the result. However, if the control software is to be rewritten, the rewriting authentication data suitable for the ECU type is transferred from the program rewriting device to the ECU. The program rewriting device must be operated so that is transmitted. Therefore, the worker must always know what kind of ECU under development he is in charge of and which rewrite authentication data corresponds to it, but he makes a mistake in the correspondence. Thus, there is a possibility that inappropriate rewriting authentication data may be given to the ECU, and in that case, the rewriting of the control software cannot be performed efficiently, and the development efficiency of the ECU is lowered. In particular, the possibility that the correspondence between the ECU and the rewrite authentication data is wrong is high when one worker is responsible for developing a plurality of types of ECUs.
尚、キャリブレーション機能付きマイコンの形態の場合にだけ、書換制御ソフトウェアとして、不正書換防止機能を実現する部分がないソフトウェアを用いれば、ECUの開発段階において制御用ソフトウェアを書き換える際に書換認証用データが不要となり、前述した開発効率の低下は回避できるが、現実的ではない。そのようにしてしまうと、ソフトウェアの管理が煩雑になる上に、ECU開発段階のマイコンと量産用マイコンとで、ソフトウェアが違うものになってしまう(即ち、本体チップ21がソフトウェアも含めて同じものにならない)ため、ECU開発段階のマイコンと量産用マイコンの本体チップ21を同一にしたいという本意にそぐわないからである。 Note that only in the case of a microcomputer with a calibration function, if rewrite control software that does not have a part that implements an unauthorized rewrite prevention function is used, rewrite authentication data when rewriting the control software at the ECU development stage. Is not necessary, and the above-described decrease in development efficiency can be avoided, but it is not realistic. If this is done, software management becomes complicated, and the software differs between the microcomputer in the ECU development stage and the microcomputer for mass production (that is, the main body chip 21 is the same including the software). This is because it does not meet the intention of making the main body chip 21 of the microcomputer in the ECU development stage and the mass production microcomputer the same.
こうした背景から、本発明は、サブチップが接続されない形態で完成状態のECUに搭載される場合には、制御用ソフトウェアの不正書換を防止でき、サブチップが接続された形態で開発段階のECUに搭載される場合には、制御用ソフトウェアの書き換えを効率的に実施できるマイコンチップの提供を目的としている。 In view of this background, the present invention can prevent unauthorized rewriting of the control software when mounted on an ECU in a completed state without a subchip connected, and is mounted on an ECU at a development stage with a subchip connected. The purpose is to provide a microcomputer chip that can efficiently rewrite the control software.
請求項1のマイコン(マイクロコンピュータ)チップは、制御対象を制御するための処理を行う処理装置として車両用電子制御装置に搭載されるものであり、CPUと、不揮発性のメモリと、それらを接続するバスとを備えている。そして、不揮発性のメモリには、CPUによって実行される制御用プログラムを成すデータ及び該制御用プログラムの実行時に参照される制御用データが記憶される。 The microcomputer chip according to claim 1 is mounted on a vehicle electronic control device as a processing device for performing processing for controlling a controlled object, and connects a CPU, a nonvolatile memory, and them. And a bus. The nonvolatile memory stores data constituting a control program executed by the CPU and control data referred to when the control program is executed.
また、このマイコンチップには書換制御手段が備えられており、その書換制御手段は、車両用電子制御装置に搭載された通信回路を介して当該マイコンチップと通信可能に接続されるプログラム書換装置から当該マイコンチップへ、前記メモリの記憶内容の書き換えを要求する書換要求が送信されて来ると作動する。そして、書換制御手段は、当該マイコンチップが搭載される車両用電子制御装置の種類に固有の書換認証用データが、プログラム書換装置から送信されてきたか否かを判定する認証処理を行い、その認証処理により前記固有の書換認証用データが送信されてきたと判定したならば、前記メモリ内のデータをプログラム書換装置から送られてくるデータに書き換えるための書換処理を行う。 Further, the microcomputer chip is provided with a rewrite control means, and the rewrite control means is provided from a program rewrite device that is communicably connected to the microcomputer chip via a communication circuit mounted on the vehicle electronic control device. The microcomputer chip is activated when a rewrite request is sent to the microcomputer chip for requesting rewriting of the contents stored in the memory. The rewrite control means performs an authentication process for determining whether or not the rewrite authentication data specific to the type of the vehicle electronic control device on which the microcomputer chip is mounted is transmitted from the program rewrite device. If it is determined that the unique rewrite authentication data has been transmitted, the rewrite processing for rewriting the data in the memory with the data transmitted from the program rewriting device is performed.
更に、このマイコンチップは接続端子を備えており、その接続端子は、当該マイコンチップの内部において前記バスと接続され、当該マイコンチップの外部において、他の半導体チップであるサブチップの端子と接続される。 The microcomputer chip further includes a connection terminal, which is connected to the bus inside the microcomputer chip, and connected to a terminal of a sub chip, which is another semiconductor chip, outside the microcomputer chip. .
また、そのサブチップは、自己の端子が上記接続端子に接続されることで、当該マイコンチップに接続された状態になるものであり、開発段階の車両用電子制御装置においては当該マイコンチップに接続されるが、完成状態の車両用電子制御装置においては当該マイコンチップに接続されないものである。 The sub-chip is connected to the microcomputer chip by connecting its own terminal to the connection terminal. In the vehicle electronic control device in the development stage, the sub-chip is connected to the microcomputer chip. However, the vehicle electronic control device in a completed state is not connected to the microcomputer chip.
例えば、サブチップは、車両用電子制御装置を完成させるまでの開発段階において、当該マイコンチップに接続され、前述したキャリブレーション回路10と同様の処理、即ち、当該マイコンチップのCPUを動作させながら該CPUが参照する制御用データを外部のキャリブレーション用ツールからの指令に応じて変更する処理や、当該マイコンチップのメモリからデータの全部又は一部を読み出して上記キャリブレーション用ツールへ出力する処理等を行う。そして、車両用電子制御装置の開発段階において、サブチップは、あたかも当該マイコンチップと一体化された状態となる。 For example, the sub chip is connected to the microcomputer chip in the development stage until the completion of the vehicle electronic control device, and the same processing as that of the calibration circuit 10 described above, that is, while operating the CPU of the microcomputer chip, the CPU The process of changing the control data referred to by an external calibration tool in response to a command from the external calibration tool, the process of reading all or part of the data from the memory of the microcomputer chip and outputting it to the calibration tool, etc. Do. Then, in the development stage of the vehicle electronic control device, the sub chip is integrated with the microcomputer chip.
そこで特に、請求項1のマイコンチップには、上記サブチップが当該マイコンチップに接続されているか否かを判定する接続判定手段が設けられている。そして、書換制御手段は、接続判定手段により上記サブチップが当該マイコンチップに接続されていると判定された場合には、前記認証処理を行わずに前記書換処理を行うようになっている。 Therefore, in particular, the microcomputer chip according to claim 1 is provided with connection determining means for determining whether or not the sub-chip is connected to the microcomputer chip. The rewrite control unit performs the rewrite process without performing the authentication process when the connection determination unit determines that the sub chip is connected to the microcomputer chip.
このような請求項1のマイコンチップによれば、サブチップが接続されない形態で完成状態の車両用電子制御装置(即ち、量産品の車両用電子制御装置)に搭載されている場合には、書換制御手段が認証処理を行うこととなるため、メモリ内の制御用ソフトウェア(即ち、制御用プログラムを成すデータ及び制御用データ)が不正に書き換えられるのを防止することができる。プログラム書換装置から車両用電子制御装置(結局は、その車両用電子制御装置に搭載された当該マイコンチップ)へ、その車両用電子制御装置の種類に固有の書換認証用データを送信しなければ、制御用ソフトウェアを書き換えることができないからである。 According to such a microcomputer chip of claim 1, when it is mounted on a completed vehicle electronic control device (that is, a mass-produced vehicle electronic control device) without being connected to a sub-chip, rewrite control is performed. Since the means performs the authentication process, it is possible to prevent the control software in the memory (that is, the data constituting the control program and the control data) from being illegally rewritten. If the program rewriting device does not transmit the rewriting authentication data specific to the type of the vehicle electronic control device to the vehicle electronic control device (eventually, the microcomputer chip mounted on the vehicle electronic control device), This is because the control software cannot be rewritten.
また、サブチップが接続された形態で開発段階の車両用電子制御装置に搭載されている場合には、接続判定手段により当該マイコンチップにサブチップが接続されていると判定されて、書換制御手段が認証処理を行わなくなるため、制御用ソフトウェアの書き換えを効率的に実施できるようになり、延いては、車両用電子制御装置の開発効率を向上させることができる。車両用電子制御装置の開発作業者は、プログラム書換装置から開発中の車両用電子制御装置へ、その車両用電子制御装置の種類に固有の書換認証用データを送信するための作業をしなくても、制御用ソフトウェアを書き換えることができるからである。 When the sub chip is connected to the microcomputer electronic control device in the development stage, it is determined by the connection determination means that the sub chip is connected to the microcomputer chip, and the rewrite control means authenticates. Since the process is not performed, the control software can be efficiently rewritten, and thus the development efficiency of the vehicle electronic control device can be improved. The vehicle electronic control device development worker does not have to perform work for transmitting rewrite authentication data specific to the type of vehicle electronic control device from the program rewriting device to the vehicle electronic control device under development. This is because the control software can be rewritten.
よって、請求項1のマイコンチップによれば、量産品の車両用電子制御装置における制御用ソフトウェアの不正書換を防止できると共に、車両用電子制御装置の開発効率を向上させることができる。 Therefore, according to the microcomputer chip of the first aspect, it is possible to prevent unauthorized rewriting of the control software in the mass-produced vehicle electronic control device and to improve the development efficiency of the vehicle electronic control device.
ところで、接続判定手段は、請求項2に記載の如く構成することができる。
即ち、請求項2のマイコンチップは、前記接続端子とは別の端子であって、サブチップが当該マイコンチップに接続された状態の場合にサブチップの特定の端子が接続される接続判定用端子を備えており、接続判定手段は、その接続判定用端子から特定の信号が入力されたか否かにより、サブチップが接続されているか否かを判定する。そして、この構成によれば、サブチップの上記特定の端子から上記特定の信号が出力されるようにしておくことで、サブチップが当該マイコンチップに接続されているか否かを確実に判定できる。
By the way, the connection determination means can be configured as described in claim 2.
That is, the microcomputer chip according to claim 2 is provided with a connection determination terminal to which a specific terminal of the sub chip is connected when the sub chip is connected to the microcomputer chip. The connection determination means determines whether or not the subchip is connected depending on whether or not a specific signal is input from the connection determination terminal. And according to this structure, it can be determined reliably whether the subchip is connected to the said microcomputer chip by outputting the said specific signal from the said specific terminal of a subchip.
次に、請求項3のマイコンチップでは、請求項2のマイコンチップにおいて、接続判定手段は、サブチップが接続されているか否かを判定する動作を、当該マイコンチップに電源が投入されてから一定時間が経過するまでを限度として、そのサブチップが接続されていると判定するまで行うようになっている。 Next, in the microcomputer chip according to the third aspect, in the microcomputer chip according to the second aspect, the connection determining means performs an operation for determining whether or not the sub chip is connected for a certain time after the microcomputer chip is powered on. The process is performed until it is determined that the sub chip is connected, until the time elapses.
この構成によれば、量産品の車両用電子制御装置において、不正行為者が何等かの手法によって、当該マイコンチップにサブチップが接続されていると接続判定手段に誤判定させようとした場合(つまり、書換制御手段が認証処理を行うことなく書換処理を行うようにさせて、制御用ソフトウェアを不正に書き換えようとした場合)に、電源投入時から一定時間が過ぎれば、そのような誤判定がされることはないため、制御用ソフトウェアの不正書換防止という面でのセキュリティ性を一層高めることができる。また、電源投入時から上記一定時間が経過した後は、接続判定手段が判定動作を行わないため、その接続判定手段の構成によっては、当該マイコンチップにおける消費電流や発熱量を低減することができる。 According to this configuration, in the mass-produced vehicle electronic control device, the fraudulent person tries to cause the connection determination means to erroneously determine that the subchip is connected to the microcomputer chip by any method (that is, If the rewrite control means performs the rewrite process without performing the authentication process and attempts to rewrite the control software illegally), such a misjudgment will occur if a certain time has passed since the power was turned on. Therefore, security in terms of preventing unauthorized rewriting of control software can be further enhanced. In addition, since the connection determination unit does not perform the determination operation after the predetermined time has elapsed since power-on, depending on the configuration of the connection determination unit, the current consumption and the amount of heat generated in the microcomputer chip can be reduced. .
一方、請求項2,3のマイコンチップにおいて、接続判定手段の具体的な構成としては、請求項4〜6に記載のようなものが好ましい。
まず、請求項4のマイコンチップでは、接続判定用端子の電圧が、当該接続判定用端子にサブチップの前記特定の端子が接続されることで特定の電圧になる。そして、接続判定手段は、接続判定用端子の電圧が前記特定の電圧であるか否かにより、サブチップが接続されているか否かを判定する。つまり、接続判定用端子の電圧が特定の電圧であれば、サブチップが接続されていると判定し、特定の電圧でなければ、サブチップが接続されていないと判定する。より具体的には、例えば接続判定手段は、接続判定用端子の電圧が、特定の電圧を含む所定範囲内であれば、サブチップが接続されていると判定し、その所定範囲内でなければ、サブチップが接続されていないと判定するように構成することができる。
On the other hand, in the microcomputer chip of the second and third aspects, the specific configuration of the connection determining means is preferably as described in the fourth to sixth aspects.
According to a fourth aspect of the present invention, the voltage at the connection determination terminal becomes a specific voltage by connecting the specific terminal of the sub chip to the connection determination terminal. Then, the connection determination unit determines whether or not the sub chip is connected depending on whether or not the voltage of the connection determination terminal is the specific voltage. That is, if the voltage at the connection determination terminal is a specific voltage, it is determined that the sub chip is connected, and if it is not the specific voltage, it is determined that the sub chip is not connected. More specifically, for example, the connection determination unit determines that the subchip is connected if the voltage of the connection determination terminal is within a predetermined range including a specific voltage, and if not within the predetermined range, It can be configured to determine that the subchip is not connected.
そして、この請求項4の構成によれば、電圧を判定するだけで良いため、接続判定手段としての回路を簡素化することができ、また低コスト化することもできる。
また、請求項5のマイコンチップでは、接続判定手段は、接続判定用端子から特定周波数の信号が入力されたか否かにより、サブチップが接続されているか否かを判定する。
According to the fourth aspect of the present invention, it is only necessary to determine the voltage, so that the circuit as the connection determining means can be simplified and the cost can be reduced.
According to another aspect of the microcomputer chip of the present invention, the connection determining means determines whether or not the sub chip is connected depending on whether or not a signal of a specific frequency is input from the connection determination terminal.
この請求項5の構成によれば、請求項4の構成よりも、判定に関するセキュリティ性を高めることができるという点で有利である。つまり、量産品の車両用電子制御装置において、不正行為者が接続判定用端子に何等かの電圧や信号を与えてみた場合に、本当は当該マイコンチップにサブチップが接続されていないにも拘わらず、接続判定手段が、サブチップが接続されていると判定してしまう可能性を低くすることができる。そして、このため、制御用ソフトウェアの不正書換防止という面でのセキュリティ性も高めることができる。 According to the configuration of claim 5, it is advantageous over the configuration of claim 4 in that the security related to determination can be improved. In other words, in a mass-produced vehicle electronic control device, when a fraudster tries to give any voltage or signal to the connection determination terminal, in spite of the fact that the subchip is not connected to the microcomputer chip, The possibility that the connection determination means determines that the subchip is connected can be reduced. For this reason, it is possible to improve security in terms of preventing unauthorized rewriting of control software.
また、請求項6のマイコンチップでは、接続判定手段は、接続判定用端子から特定の通信信号が入力されたか否かにより、サブチップが接続されているか否かを判定する。
この請求項6の構成によれば、判定に関するセキュリティ性及び制御用ソフトウェアの不正書換防止という面でのセキュリティ性を一層高めることができる。なお、勿論、上記特定の通信信号の内容を複雑化すればするほど、セキュリティ性を上げることができる。
According to another aspect of the microcomputer chip of the present invention, the connection determination means determines whether or not the sub chip is connected depending on whether or not a specific communication signal is input from the connection determination terminal.
According to the configuration of the sixth aspect, it is possible to further enhance the security in terms of security regarding determination and prevention of unauthorized rewriting of control software. Of course, the more complicated the content of the specific communication signal, the higher the security.
次に、請求項7のマイコンチップでは、請求項1のマイコンチップにおいて、接続判定手段は、プログラム書換装置から当該マイコンチップへ、サブチップと認証を行うためのサブチップ認証用データが送信されて来たか否かを判定して、サブチップ認証用データが送信されて来たと判定したなら、そのサブチップ認証用データをサブチップに送信する動作を行い、そのサブチップ認証用データがサブチップに適合するものであるとサブチップにより判定されたことを示す合格通知が、サブチップから当該マイコンチップに送信されて来たならば、サブチップが接続されていると判定する。 Next, in the microcomputer chip of claim 7, in the microcomputer chip of claim 1, has the connection determination means transmitted subprogram authentication data for authenticating with the subchip from the program rewriting device to the microcomputer chip? If it is determined that the sub-chip authentication data has been transmitted, the sub-chip authentication data is transmitted to the sub-chip, and the sub-chip authentication data conforms to the sub-chip. If a pass notification indicating that the determination is made is transmitted from the subchip to the microcomputer chip, it is determined that the subchip is connected.
このようなマイコンチップでは、サブチップが接続された形態で開発段階の車両用電子制御装置に搭載されている場合には、プログラム書換装置から、サブチップに適合するサブチップ認証用データを送信してやることで、接続判定手段が当該マイコンチップにサブチップが接続されていると判定し、書換制御手段が認証処理を行わなくなる。 In such a microcomputer chip, when it is mounted on a vehicle electronic control device in the development stage in a form in which the subchip is connected, by sending subchip authentication data suitable for the subchip from the program rewriting device, The connection determination unit determines that the sub chip is connected to the microcomputer chip, and the rewrite control unit does not perform the authentication process.
より詳しく説明すると、プログラム書換装置からのサブチップ認証用データは、当該マイコンチップからサブチップに送信され、サブチップは、そのサブチップ認証用データが自己に適合するものであるか否かを判定して、自己に適合するものであれば、当該マイコンチップに合格通知を送信することとなる。そして、当該マイコンチップでは、サブチップから合格通知が送信されて来たなら、サブチップが接続されていると接続判定手段が判定することとなり、書換制御手段が認証処理を行わなくなる。 More specifically, the subchip authentication data from the program rewriting device is transmitted from the microcomputer chip to the subchip, and the subchip determines whether or not the subchip authentication data is suitable for itself, If it conforms to the above, an acceptance notice is transmitted to the microcomputer chip. In the microcomputer chip, if a notification of acceptance is transmitted from the sub chip, the connection determination unit determines that the sub chip is connected, and the rewrite control unit does not perform the authentication process.
このため、車両用電子制御装置の開発段階において、開発作業者は、プログラム書換装置から車両用電子制御装置(詳しくは、サブチップが接続された形態の当該マイコンチップが搭載されている車両用電子制御装置)へ、その車両用電子制御装置に適合した書換認証用データを送信させなくても、サブチップに適合したサブチップ認証用データを送信させることで、制御用ソフトウェアを書き換えることができる。 For this reason, in the development stage of the vehicle electronic control device, the development worker can change the program from the program rewriting device to the vehicle electronic control device (specifically, the vehicle electronic control on which the microcomputer chip in a form in which the subchip is connected is mounted) The control software can be rewritten by transmitting the sub-chip authentication data suitable for the sub chip without transmitting the re-authentication data suitable for the vehicle electronic control device to the device.
特に、サブチップの種類数は、最小の1つでも良く、車両用電子制御装置の種類数と比べると格段に少なくすることができるため、車両用電子制御装置の開発段階において、開発作業者が把握しなければならないサブチップ認証用データの種類数は、書換認証用データの種類数と比べると格段に少なくて済む。よって、車両用電子制御装置の開発段階において、開発作業者がプログラム書換装置から書換認証用データを送信させるよりも、サブチップ認証用データを送信させる方が、誤った認証用データを送信させてしまう可能性を低くすることができ、延いては、制御用ソフトウェアの書き換えを効率的に実施できるようになる。 In particular, the number of types of sub-chips may be the smallest, and can be significantly reduced compared to the number of types of electronic control units for vehicles. Therefore, the development operator grasps at the development stage of electronic control units for vehicles. The number of types of sub-chip authentication data that must be performed is much smaller than the number of types of rewrite authentication data. Therefore, in the development stage of the vehicle electronic control device, it is possible for the development worker to send incorrect authentication data rather than to send the subchip authentication data rather than sending the rewrite authentication data from the program rewriting device. The possibility can be reduced, and as a result, the control software can be efficiently rewritten.
また、請求項8に記載のように、請求項7のマイコンチップにおいて、接続判定手段は、プログラム書換装置から当該マイコンチップに前記書換要求が送信されて来ると作動するように構成することができる。 Further, as described in claim 8, in the microcomputer chip of claim 7, the connection determining means can be configured to operate when the rewrite request is transmitted from the program rewriting device to the microcomputer chip. .
このように構成すれば、車両用電子制御装置の開発段階において、開発作業者は、プログラム書換装置から車両用電子制御装置へ、書換要求を送信させ、その次にサブチップ認証用データを送信させることで、制御用ソフトウェアを書き換えることができる。 If comprised in this way, in the development stage of the electronic controller for vehicles, a development worker transmits a rewrite request from the program rewrite device to the electronic controller for the vehicle, and then transmits data for subchip authentication. Thus, the control software can be rewritten.
そして、このため、次のような利点が得られる。
まず背景として、車両用電子制御装置の開発作業者は、装置開発の最終段階において、サブチップが接続されない形態の当該マイコンチップを搭載した量産品と同じ車両用電子制御装置に対し、プログラム書換装置により制御用ソフトウェアの書き込みを行って、その車両用電子制御装置の動作チェックを行う場合がある。尚、マイコンチップのメモリに制御用ソフトウェアが書き込まれていない状態で、書換制御手段による書換処理が行われたならば、そのマイコンチップのメモリにはプログラム書換装置からの制御用ソフトウェアが新規に書き込まれることとなる。
For this reason, the following advantages are obtained.
First, as a background, a development operator of a vehicle electronic control device uses a program rewriting device for a vehicle electronic control device that is the same as a mass-produced product equipped with the microcomputer chip in a form in which no subchip is connected in the final stage of device development. In some cases, control software is written to check the operation of the vehicle electronic control device. If rewrite processing is performed by the rewrite control means when no control software is written in the memory of the microcomputer chip, control software from the program rewriting device is newly written in the memory of the microcomputer chip. Will be.
ここで、マイコンチップが請求項8のマイコンチップならば、開発作業者は、上記量産品と同じ車両用電子制御装置に対して制御用ソフトウェアを書き込む場合と、開発途中の車両用電子制御装置について制御用ソフトウェアを書き換える場合との、何れの場合でも、プログラム書換装置から書換要求を送信させ、次いで何等かの認証用データを送信させることとなる。つまり、前者の場合には、認証用データとして書換認証用データを送信させ、後者の場合には、認証用データとしてサブチップ認証用データを送信させることとなる。よって、両方の場合で作業自体には差が無いため、開発作業者が作業手順を混乱してしまう可能性を低くすることができるのである。 Here, if the microcomputer chip is the microcomputer chip of claim 8, the development worker writes the control software to the same vehicle electronic control device as the mass-produced product and the vehicle electronic control device under development In either case of rewriting the control software, a rewrite request is transmitted from the program rewriting device, and then some authentication data is transmitted. That is, in the former case, rewrite authentication data is transmitted as authentication data, and in the latter case, subchip authentication data is transmitted as authentication data. Therefore, since there is no difference in the work itself in both cases, it is possible to reduce the possibility that the development worker will confuse the work procedure.
また、請求項7,8のマイコンチップにおいて、書換認証用データとサブチップ認証用データは、同じフォーマットのデータであることが好ましい。
なぜなら、プログラム書換装置と当該マイコンチップとの通信において、書換認証用データとサブチップ認証用データとの各々を、同じルールで送受信することができるからである。更に、ハードウェア面でも、プログラム書換装置において、送信対象の書換認証用データを記憶するための送信バッファと、送信対象のサブチップ認証用データを記憶するための送信バッファとを共通化することができ、当該マイコンチップにおいて、受信した書換認証用データを記憶するための受信バッファと、受信したサブチップ認証用データを記憶するための受信バッファとを共通化することができる。
In the microcomputer chip according to claims 7 and 8, the rewrite authentication data and the sub chip authentication data are preferably data having the same format.
This is because, in communication between the program rewriting device and the microcomputer chip, the rewriting authentication data and the subchip authentication data can be transmitted and received according to the same rule. Furthermore, in terms of hardware, in the program rewriting device, a transmission buffer for storing rewrite authentication data to be transmitted and a transmission buffer for storing subchip authentication data to be transmitted can be shared. In the microcomputer chip, a reception buffer for storing the received rewrite authentication data and a reception buffer for storing the received subchip authentication data can be shared.
尚、同じフォーマットのデータとは、同じビット数のデータであり、且つ、そのデータのビット列における特定位置(例えば、先頭の特定ビット分や最後尾の特定ビット分)に、そのデータが何であるか(そのデータの種類)を示す識別情報が配置されたデータ、ということである。 Note that the data in the same format is data having the same number of bits, and what is the data at a specific position (for example, the specific bit at the beginning or the specific bit at the end) in the bit string of the data. This is data in which identification information indicating (the type of data) is arranged.
以下に、本発明が適用された実施形態のマイコンチップについて説明する。尚、本実施形態のマイコンチップは、図11(b),(c)に示したマイコンの本体チップ21に相当するものであり、以下では、本体チップと言う。また、本実施形態において、図11に示したものと同じものについては、その図11で使用した符号と同じ符号を用いるため、説明を省略する。
[第1実施形態]
図1に示すように、第1実施形態の本体チップ1は、図11(b),(c)に示したマイコンの本体チップ21と比較すると、下記(1−1)〜(1−3)の点が異なっている。尚、本体チップ1は、周辺回路15として、I/Oポート16、シリアル通信回路17、及びタイマ18や、A/D変換回路(図示省略)等を備えている。また、本体チップ1内のROM13は、電気的に記憶内容の書き換えが可能な不揮発性メモリであり、本実施形態ではフラッシュROMである。
The microcomputer chip of the embodiment to which the present invention is applied will be described below. The microcomputer chip of this embodiment corresponds to the microcomputer main body chip 21 shown in FIGS. 11B and 11C, and is hereinafter referred to as a main body chip. In the present embodiment, the same reference numerals as those used in FIG. 11 are used for the same elements as those shown in FIG.
[First Embodiment]
As shown in FIG. 1, the main body chip 1 of the first embodiment has the following (1-1) to (1-3) compared to the main body chip 21 of the microcomputer shown in FIGS. Is different. The main body chip 1 includes an I / O port 16, a serial communication circuit 17, a timer 18, an A / D conversion circuit (not shown), and the like as peripheral circuits 15. The ROM 13 in the main body chip 1 is a nonvolatile memory capable of electrically rewriting stored contents, and is a flash ROM in this embodiment.
(1−1)接続端子22に接続されるのがキャリブレーション用チップ31と同様のキャリブレーション用チップ2であるが、そのキャリブレーション用チップ2は、キャリブレーション用チップ31と比較すると、前述の端子32とは別の端子33を更に備えており、その端子33は、キャリブレーション用チップ2内において、抵抗Raを介して電源電圧に接続(プルアップ)されている。 (1-1) The calibration chip 2 similar to the calibration chip 31 is connected to the connection terminal 22, but the calibration chip 2 is compared with the calibration chip 31 as described above. A terminal 33 different from the terminal 32 is further provided, and the terminal 33 is connected (pulled up) to the power supply voltage via the resistor Ra in the calibration chip 2.
尚、本実施形態において、電源電圧は例えば5Vであり、抵抗Raの抵抗値は例えば5kΩに設定されている。また、図1において、本体チップ1側の接続端子22と、キャリブレーション用チップ2側の端子32は、それぞれ1つのみ図示しているが、それらは実際には、キャリブレーション用チップ2側のキャリブレーション回路10を本体チップ1内のバス11に接続させるための信号線の数だけ設けられている。 In the present embodiment, the power supply voltage is 5 V, for example, and the resistance value of the resistor Ra is set to 5 kΩ, for example. Further, in FIG. 1, only one connection terminal 22 on the main body chip 1 side and one terminal 32 on the calibration chip 2 side are shown, but these are actually on the calibration chip 2 side. The number of signal lines for connecting the calibration circuit 10 to the bus 11 in the main body chip 1 is provided.
(1−2)本体チップ1には、接続端子22とは別の端子であって、キャリブレーション用チップ2が当該本体チップ1に接続された状態の場合にキャリブレーション用チップ2の上記端子33が接続される端子23が設けられている。そして、その端子23は、本体チップ1の内部において、抵抗Rbを介してグランドラインに接続(プルダウン)されている。また、抵抗Rbの抵抗値は例えば100kΩに設定されている。 (1-2) The main body chip 1 is a terminal different from the connection terminal 22 and the terminal 33 of the calibration chip 2 when the calibration chip 2 is connected to the main body chip 1. Is connected to a terminal 23. The terminal 23 is connected (pulled down) to the ground line through the resistor Rb inside the main body chip 1. The resistance value of the resistor Rb is set to 100 kΩ, for example.
このため、本体チップ1の端子23の電圧は、その端子23にキャリブレーション用チップ2の端子33が接続されている場合と接続されていない場合とで異なる電圧となる。具体的には、端子33が接続されていれば約4.7Vという特定の電圧になり、端子33が接続されていなければ0Vとなる。 For this reason, the voltage at the terminal 23 of the main body chip 1 is different depending on whether the terminal 23 of the calibration chip 2 is connected to the terminal 23 or not. Specifically, when the terminal 33 is connected, a specific voltage of about 4.7V is obtained, and when the terminal 33 is not connected, the voltage is 0V.
(1−3)本体チップ1において、端子23の電圧は、I/Oポート16に入力され、そのI/Oポート16にて電圧レベルがハイとローとの何れであるかが判定される。
例えば、本実施形態において、I/Oポート16は、端子23の電圧が4.5Vよりも高ければハイと判定し、4.5V未満であればローと判定する。そして、本実施形態では、I/Oポート16が、端子23の電圧をハイと判定することが、本体チップ1にキャリブレーション用チップ2が接続されていると判定することに相当し、I/Oポート16が、端子23の電圧をローと判定することが、本体チップ1にキャリブレーション用チップ2が接続されていないと判定することに相当している。
(1-3) In the main body chip 1, the voltage at the terminal 23 is input to the I / O port 16, and the I / O port 16 determines whether the voltage level is high or low.
For example, in the present embodiment, the I / O port 16 determines high if the voltage at the terminal 23 is higher than 4.5V, and determines low if the voltage at the terminal 23 is lower than 4.5V. In this embodiment, determining that the voltage of the terminal 23 is high by the I / O port 16 corresponds to determining that the calibration chip 2 is connected to the main body chip 1, Determining that the voltage of the terminal 23 is low by the O port 16 corresponds to determining that the calibration chip 2 is not connected to the main body chip 1.
尚、他の例として、I/Oポート16とは別の電圧判定回路を設け、その電圧判定回路は、端子23の電圧が上記4.7Vを包括する所定範囲内(例えば4.6V〜4.8V)であればハイ(即ち、キャリブレーション用チップ2が接続されている)と判定し、その範囲内でなければロー(即ち、キャリブレーション用チップ2が接続されていない)と判定する、というように構成しても良い。 As another example, a voltage determination circuit different from the I / O port 16 is provided, and the voltage determination circuit is within a predetermined range in which the voltage at the terminal 23 includes the above 4.7 V (for example, 4.6 V to 4 V). .8V), it is determined to be high (that is, the calibration chip 2 is connected), and if not within the range, it is determined to be low (that is, the calibration chip 2 is not connected). You may comprise as follows.
次に、本体チップ1がどのように使用されるかについて説明する。
まず図2は、本体チップ1にキャリブレーション用チップ2を接続した状態でその両チップ1,2を1パッケージにパッケージングしたキャリブレーション機能付きマイコン50を作成し、そのマイコン50を、車両のエンジンを制御するECU51に搭載した場合を示している。つまり、図2のECU51は開発段階のものであり未完成状態のものである。
Next, how the main body chip 1 is used will be described.
First, FIG. 2 shows a microcomputer 50 having a calibration function in which both the chips 1 and 2 are packaged in one package in a state where the calibration chip 2 is connected to the main body chip 1. The case where it mounts in ECU51 which controls is shown. That is, the ECU 51 in FIG. 2 is in the development stage and in an incomplete state.
図2に示すように、ECU51には、マイコン50の他に、そのマイコン50と信号のやり取りをするICやトランジスタ等の能動素子52や、抵抗及びコンデンサ等の受動素子53が搭載されている。そして、それらの能動素子52及び受動素子53により、点火装置やインジェクタ等のアクチュエータを駆動するための駆動回路や、センサからの信号を入力するための入力回路等が構成されている。また、能動素子52のうちの1つであるIC52aは、ECU50の外部装置であるプログラム書換ツール58とマイコン50(詳しくは、本体チップ1)とを通信可能に接続する通信回路である。 As shown in FIG. 2, in addition to the microcomputer 50, the ECU 51 includes an active element 52 such as an IC or a transistor that exchanges signals with the microcomputer 50, and a passive element 53 such as a resistor and a capacitor. The active element 52 and the passive element 53 constitute a drive circuit for driving an actuator such as an ignition device and an injector, an input circuit for inputting a signal from the sensor, and the like. The IC 52a, which is one of the active elements 52, is a communication circuit that connects the program rewriting tool 58, which is an external device of the ECU 50, and the microcomputer 50 (specifically, the main body chip 1) in a communicable manner.
更に、ECU51には、車載バッテリの電圧(バッテリ電圧)から一定の電源電圧を生成して、その電源電圧をマイコン50や能動素子52等の各部に供給する電源IC54や、コネクタ55も搭載されている。そのコネクタ55は、エンジンを制御するためのセンサやアクチュエータ等の機器を当該ECU51に接続させるためのものである。そして、上記プログラム書換ツール58も、そのコネクタ55を介してECU51に接続される。具体的には、コネクタ55から車両内通信用の通信線が伸びており、プログラム書換ツール58は、その通信線に設けられているコネクタ59に接続されることで、ECU51内の上記IC52aと接続されるようになっている。 Furthermore, the ECU 51 is also equipped with a power supply IC 54 that generates a constant power supply voltage from the voltage of the on-vehicle battery (battery voltage) and supplies the power supply voltage to each part such as the microcomputer 50 and the active element 52, and a connector 55. Yes. The connector 55 is for connecting devices such as sensors and actuators for controlling the engine to the ECU 51. The program rewriting tool 58 is also connected to the ECU 51 via the connector 55. Specifically, a communication line for in-vehicle communication extends from the connector 55, and the program rewriting tool 58 is connected to the connector 52 provided on the communication line, thereby connecting to the IC 52a in the ECU 51. It has come to be.
また特に、開発段階である図2のECU51には、「背景技術」の欄で述べたキャリブレーション用ツール(調整作業用ツール)CTを、キャリブレーション用チップ2内に構成されたキャリブレーション回路10に接続させるための通信インターフェース56も設けられている。 In particular, the calibration circuit 10 configured in the calibration chip 2 includes the calibration tool (adjustment work tool) CT described in the “Background Art” column in the ECU 51 of FIG. A communication interface 56 is also provided for connection to the network.
尚、図1では図示を省略しているが、本体チップ1には、端子22,23とは別に、上記駆動回路及び入力回路やプログラム書換ツール58と信号の入出力を行うための入出力端子が複数設けられている。そして、本体チップ1は、それのシリアル通信回路17が上記入出力端子のうちの一部を介してIC52aに接続され、そのIC52aを介してプログラム書換ツール58とシリアル通信を行う。また、キャリブレーション用チップ2には、端子32,33とは別に、上記通信インターフェース56に接続されるための通信用端子が複数設けられている。 Although not shown in FIG. 1, in addition to the terminals 22 and 23, the main body chip 1 has input / output terminals for inputting / outputting signals to / from the drive circuit and input circuit and the program rewriting tool 58. Are provided. The main body chip 1 has its serial communication circuit 17 connected to the IC 52a via a part of the input / output terminals, and performs serial communication with the program rewriting tool 58 via the IC 52a. In addition to the terminals 32 and 33, the calibration chip 2 is provided with a plurality of communication terminals for connection to the communication interface 56.
ここで、本体チップ1とキャリブレーション用チップ2との接続形態としては、例えば図2における「構成1」のような形態が考えられる。
即ち、はんだボールによってECU51のマザーボードに実装されることとなるインターポーザ61の上に、本体チップ1が搭載され、更に、その本体チップ1の上にキャリブレーション用チップ2が搭載されて、インターポーザ61と本体チップ1とキャリブレーション用チップ2との相互の接続(配線)が、ボンディングワイヤ(接続用ボンディング)62によって行われる、という構成である。尚、本体チップ1とキャリブレーション用チップ2は、インターポーザ61上で樹脂63により封止される。また、図2の「構成1」において、はんだボールは、丸(○)で示されている。
Here, as a connection form between the main body chip 1 and the calibration chip 2, for example, a form such as “Configuration 1” in FIG. 2 can be considered.
That is, the main body chip 1 is mounted on the interposer 61 to be mounted on the motherboard of the ECU 51 by solder balls, and the calibration chip 2 is further mounted on the main body chip 1. The main body chip 1 and the calibration chip 2 are connected to each other (wiring) by bonding wires (connection bonding) 62. The main body chip 1 and the calibration chip 2 are sealed on the interposer 61 with a resin 63. Further, in “Configuration 1” in FIG. 2, the solder balls are indicated by circles (◯).
この「構成1」の場合、本体チップ1とキャリブレーション用チップ2の各端子は、上記ボンディングワイヤ62の先端が接続されるパッドである。そして、本体チップ1の端子22,23と、キャリブレーション用チップ2の端子32,33は、ボンディングワイヤ62によって図1の如く接続されることとなる。また、本体チップ1の他の端子(入出力端子)と、キャリブレーション用チップ2の他の端子(通信用端子)は、ボンディングワイヤ62、インターポーザ61に形成された配線、及びインターポーザ61の下面のはんだボールを介して、ECU51のマザーボードに形成された配線に接続される。 In the case of “Configuration 1”, each terminal of the main body chip 1 and the calibration chip 2 is a pad to which the tip of the bonding wire 62 is connected. Then, the terminals 22 and 23 of the main body chip 1 and the terminals 32 and 33 of the calibration chip 2 are connected as shown in FIG. The other terminal (input / output terminal) of the main body chip 1 and the other terminal (communication terminal) of the calibration chip 2 are connected to the bonding wire 62, the wiring formed in the interposer 61, and the lower surface of the interposer 61. It is connected to wiring formed on the mother board of the ECU 51 through solder balls.
また、本体チップ1とキャリブレーション用チップ2との接続形態としては、例えば図2における「構成2」のような形態も考えられる。
即ち、インターポーザ61の上に、本体チップ1がはんだボールによって実装され、更に、その本体チップ1の上にキャリブレーション用チップ2がはんだボールによって実装される、という構成である。尚、図2の「構成2」においても、はんだボールは、丸(○)で示されている。また、この「構成2」においても、本体チップ1とキャリブレーション用チップ2は、インターポーザ61上で樹脂63により封止されるが、この場合の封止手法は、いわゆるポッティングというものである。
Further, as a connection form between the main body chip 1 and the calibration chip 2, for example, a form such as “Configuration 2” in FIG.
That is, the main body chip 1 is mounted on the interposer 61 with solder balls, and the calibration chip 2 is mounted on the main body chip 1 with solder balls. In “Configuration 2” in FIG. 2, the solder balls are indicated by circles (◯). Also in the “Configuration 2”, the main body chip 1 and the calibration chip 2 are sealed with the resin 63 on the interposer 61. In this case, the sealing method is so-called potting.
そして、この「構成2」の場合、キャリブレーション用チップ2の各端子は、キャリブレーション用チップ2の下面に設けられたはんだボール用のパッドである。また、本体チップ1の端子22,23は、本体チップ1の上面に設けられたはんだボール用のパッドであり、本体チップ1の他の端子は、本体チップ1の下面に設けられたはんだボール用のパッドである。 In the case of “Configuration 2”, each terminal of the calibration chip 2 is a solder ball pad provided on the lower surface of the calibration chip 2. The terminals 22 and 23 of the main body chip 1 are solder ball pads provided on the upper surface of the main body chip 1, and the other terminals of the main body chip 1 are for solder balls provided on the lower surface of the main body chip 1. It is a pad.
そして、本体チップ1の端子22,23と、キャリブレーション用チップ2の端子32,33は、キャリブレーション用チップ2の下面のはんだボールによって図1の如く接続されることとなる。 The terminals 22 and 23 of the main body chip 1 and the terminals 32 and 33 of the calibration chip 2 are connected by solder balls on the lower surface of the calibration chip 2 as shown in FIG.
また、本体チップ1の他の端子(入出力端子)は、本体チップ1の下面のはんだボール、インターポーザ61に形成された配線、及びインターポーザ61の下面のはんだボールを介して、ECU51のマザーボードに形成された配線に接続される。 The other terminals (input / output terminals) of the main body chip 1 are formed on the mother board of the ECU 51 via the solder balls on the lower surface of the main body chip 1, the wiring formed on the interposer 61, and the solder balls on the lower surface of the interposer 61. Connected to the connected wiring.
また、キャリブレーション用チップ2の他の端子(通信用端子)は、キャリブレーション用チップ2の下面のはんだボール、本体チップ1の上面に設けられたはんだボール用のパッド、本体チップ1の内部に貫通ビア技術等で設けられた信号配線64、本体チップ1の下面のはんだボール、インターポーザ61に形成された配線、及びインターポーザ61の下面のはんだボールを介して、ECU51のマザーボードに形成された配線(具体的には、通信インターフェース56からの配線)に接続される。 Further, the other terminals (communication terminals) of the calibration chip 2 are solder balls on the lower surface of the calibration chip 2, solder ball pads provided on the upper surface of the main body chip 1, and the main body chip 1. The signal wiring 64 provided by the through via technology or the like, the solder ball on the lower surface of the main body chip 1, the wiring formed on the interposer 61, and the wiring formed on the motherboard of the ECU 51 via the solder ball on the lower surface of the interposer 61 ( Specifically, it is connected to wiring from the communication interface 56.
そして、図2のECU51では、キャリブレーション用ツールCTを通信インターフェース56に接続して、そのキャリブレーション用ツールCTからマイコン50のキャリブレーション用チップ2(詳しくは、その中のキャリブレーション回路10)に指令を与えることにより、例えば、本体チップ1内のCPU12がROM13内の制御用プログラムを実行する際にキャリブレーション回路10のRAM10a内の制御用データを参照するようにすると共に、CPU12を動作させながら上記RAM10a内の制御用データを変更したり、本体チップ1内のROM13からデータを読み出して内容を確認したりすることができる。そして、こうした作業により、ECU51の制御特性を所望のものに調整することができる。 2, the calibration tool CT is connected to the communication interface 56, and the calibration tool CT is connected to the calibration chip 2 of the microcomputer 50 (specifically, the calibration circuit 10 therein). By giving a command, for example, when the CPU 12 in the main body chip 1 executes the control program in the ROM 13, the control data in the RAM 10 a of the calibration circuit 10 is referred to, and the CPU 12 is operated. The control data in the RAM 10a can be changed, or data can be read out from the ROM 13 in the main body chip 1 to confirm the contents. And by such an operation | work, the control characteristic of ECU51 can be adjusted to a desired thing.
一方、プログラムが完成した後のECUの量産時には、図2の「構成1」又は「構成2」からキャリブレーション用チップ2を除いた構成のマイコン、即ち、本体チップ1のみをパッケージングした量産用マイコンが作成され、その量産用マイコンが図2のマイコン50に代えてECU51に搭載される。そして、そのECU51が量産品であって完成状態のECUということになる。 On the other hand, during mass production of ECUs after the program is completed, a microcomputer having a configuration in which the calibration chip 2 is removed from the “configuration 1” or “configuration 2” in FIG. 2, that is, the main body chip 1 is packaged. A microcomputer is created, and the mass production microcomputer is mounted on the ECU 51 instead of the microcomputer 50 of FIG. The ECU 51 is a mass-produced product and is a completed ECU.
尚、図2に示した「構成1」及び「構成2」は、本体チップ1とキャリブレーション用チップ2とを接続する経路の抵抗と容量成分を、極力抑制できるものであるが、両チップ1,2の接続形態は他の形態であっても良い。 Note that “Configuration 1” and “Configuration 2” shown in FIG. 2 can suppress the resistance and capacitance components of the path connecting the main body chip 1 and the calibration chip 2 as much as possible. , 2 may be another form.
次に、本体チップ1のCPU12がROM13内の制御用ソフトウェア(制御用プログラム及び制御用データ)を書き換えるための書換モードになった場合に実行する書換モード時処理と、プログラム書換ツール58が行う処理とについて、図3を用い説明する。 Next, the rewriting mode process executed when the CPU 12 of the main body chip 1 enters the rewriting mode for rewriting the control software (control program and control data) in the ROM 13, and the process performed by the program rewriting tool 58 Will be described with reference to FIG.
まず、図3(a)は、本体チップ1のCPU12が実行する書換モード時処理を表すフローチャートである。尚、この書換モード時処理のソフトウェアである書換制御ソフトウェアは、ROM13の記憶領域のうち、制御用ソフトウェアとは別の記憶領域であって、書き換え対象にはならない記憶領域に記憶されている。 First, FIG. 3A is a flowchart showing the process in the rewrite mode executed by the CPU 12 of the main body chip 1. Note that the rewrite control software, which is the software for the rewrite mode processing, is stored in a storage area of the ROM 13 that is different from the control software and is not a rewrite target.
本体チップ1のCPU12は、プログラム書換ツール58から本体チップ1へROM13の記憶内容である制御用ソフトウェアの書き換えを要求する書換要求が送信されて来ると、それまでの通常モードから書換モードに移行する。そして、書換モードに移行すると、図3(a)の書換モード時処理を開始する。 When the CPU 12 of the main body chip 1 receives from the program rewriting tool 58 a rewrite request for rewriting the control software that is stored in the ROM 13 from the main chip 1, the CPU 12 shifts from the normal mode to the rewrite mode. . Then, when the mode is changed to the rewrite mode, the process in the rewrite mode in FIG.
図3(a)に示すように、CPU12が書換モード時処理を開始すると、まずS105にて、当該本体チップ1の形態がキャリブレーション用チップ2が接続された形態であるか否かを判定する。本第1実施形態では、I/Oポート16から端子23の電圧判定レベルを読み込んで、その電圧判定レベルがハイとローとの何れであるかを判定し、ハイならば、キャリブレーション用チップ2が接続された形態(即ち、キャリブレーション機能付きマイコンの形態)であると判定し、ローならば、キャリブレーション用チップ2が接続されていない形態(即ち、量産用マイコンの形態)であると判定する。 As shown in FIG. 3A, when the CPU 12 starts the processing in the rewrite mode, first, in S105, it is determined whether or not the form of the main body chip 1 is a form to which the calibration chip 2 is connected. . In the first embodiment, the voltage determination level of the terminal 23 is read from the I / O port 16 to determine whether the voltage determination level is high or low. Is determined to be in a connected form (that is, a form of a microcomputer with a calibration function), and if low, it is determined to be a form in which the calibration chip 2 is not connected (ie, a form for a mass production microcomputer). To do.
上記S105にて、キャリブレーション用チップ2が接続されていない形態であると判定した場合には(S105:NO)、S110に進み、プログラム書換ツール58からのセキュリティ解除データを受信するまで待つ。セキュリティ解除データは、ECUの種類毎に定められたデータであって、ECUの制御用ソフトウェアを書き換えても良いか否かを認証するための書換認証用データである。 If it is determined in S105 that the calibration chip 2 is not connected (S105: NO), the process proceeds to S110 and waits until security release data from the program rewriting tool 58 is received. The security release data is data determined for each ECU type, and is rewrite authentication data for authenticating whether or not the ECU control software may be rewritten.
そして、セキュリティ解除データを受信したならば(S110:YES)、S120に進んで、その受信したセキュリティ解除データが正しいものか否かを判定する認証処理を行う。その認証処理では、プログラム書換ツール58から受信したセキュリティ解除データが、ROM13に予め記憶されているセキュリティ解除データであって、当該本体チップ1が搭載されるECUの種類に固有のセキュリティ解除データと同じか否かを判定し、同じであれば、その受信したセキュリティ解除データは正しいものであると判定する。尚、このため、S120の認証処理では、当該本体チップ1が搭載されるECUの種類に固有のセキュリティ解除データ(書換認証用データ)が、プログラム書換ツール58から送信されてきたか否かを判定していることになる。 If security release data is received (S110: YES), the process proceeds to S120, and an authentication process is performed to determine whether the received security release data is correct. In the authentication process, the security release data received from the program rewriting tool 58 is security release data stored in advance in the ROM 13 and is the same as the security release data specific to the type of ECU on which the main body chip 1 is mounted. If it is the same, it is determined that the received security release data is correct. For this reason, in the authentication process of S120, it is determined whether or not security release data (rewrite authentication data) specific to the type of ECU on which the main body chip 1 is mounted has been transmitted from the program rewriting tool 58. Will be.
そして、受信したセキュリティ解除データが正しいものと判定しなかった場合(S120:NG)には、S110に戻るが、受信したセキュリティ解除データが正しいものと判定した場合(S120:OK)には、書換許可の認証が合格になったとして、S130に進む。 If the received security release data is not determined to be correct (S120: NG), the process returns to S110, but if the received security release data is determined to be correct (S120: OK), the rewrite is performed. Assuming that the authorization authentication has passed, the process proceeds to S130.
S130では、セキュリティ解除の手続きとして、プログラム書換ツール58へ、書換許可の認証が合格になったことを示す認証通知を送信する。
そして、その後、S140に進んで、ROM13内の制御用ソフトウェアを書き換えるための書換処理を行う。その書換処理は、プログラム書換ツール58から送信されて来る制御用ソフトウェアを受信すると共に、ROM13の記憶領域のうち、プログラム書換ツール58からの制御用ソフトウェアを格納する分の領域を消去し、その消去した領域に、プログラム書換ツール58から受信した制御用ソフトウェアを書き込む、といった処理である。
In S130, as a security release procedure, an authentication notification indicating that the rewriting permission authentication has passed is transmitted to the program rewriting tool 58.
Then, the process proceeds to S140, and a rewriting process for rewriting the control software in the ROM 13 is performed. The rewriting process receives the control software transmitted from the program rewriting tool 58, erases the area for storing the control software from the program rewriting tool 58 in the storage area of the ROM 13, and deletes the area. In this area, the control software received from the program rewriting tool 58 is written.
次に、S150にて、制御用ソフトウェアの書き換えが正常に終了したか否かを確認するための書換内容チェックを行うと共に、そのチェック結果(即ち、制御用ソフトウェアの書き換えが正常に終了したか否かの結果)を、プログラム書換ツール58に送信する。尚、S150での書換内容チェックとしては、例えば、ROM13から上記S140で書き込んだ制御用ソフトウェアを読み出し、その読み出した制御用ソフトウェアと、プログラム書換ツール58から受信してRAM14に一時的に記憶している制御用ソフトウェアとが一致しているか否かを判定する。 Next, in S150, a rewrite content check is performed to confirm whether or not rewriting of the control software has been completed normally, and the check result (that is, whether or not rewriting of the control software has been completed normally). The result is sent to the program rewriting tool 58. As the rewriting content check in S150, for example, the control software written in S140 is read from the ROM 13, received from the read control software and the program rewriting tool 58, and temporarily stored in the RAM 14. It is determined whether or not the current control software matches.
そして、次のS160にて、上記S150でのチェック結果を参照して、制御用ソフトウェアの書き換えが正常に終了したか否かを判定し、正常に終了していなければ、S140に戻り、正常に終了したならば、そのまま当該書換モード時処理を終了する。 Then, in the next S160, it is determined whether or not the rewriting of the control software has been completed normally by referring to the check result in S150. If completed, the process in the rewrite mode is terminated as it is.
尚、書換モード時処理が終了すると、CPU12は、何も処理を行わないアイドル状態となり、その後、ECUへの電源が遮断されて再投入されると、再起動して通常モードとなり、ROM13内の制御用プログラムを実行する。 When the process in the rewrite mode is completed, the CPU 12 enters an idle state in which no process is performed. After that, when the power to the ECU is shut off and turned on again, the CPU 12 is restarted and enters the normal mode. Run the control program.
一方、CPU12は、上記S105にて、キャリブレーション用チップ2が接続されている形態であると判定した場合(S105:YES)には、S110〜S130をスキップして、S140に進む。つまり、その場合には、S120の認証処理を行わずに、S140の書換処理を行うこととなる。 On the other hand, if the CPU 12 determines in S105 that the calibration chip 2 is connected (S105: YES), it skips S110 to S130 and proceeds to S140. That is, in this case, the rewriting process of S140 is performed without performing the authentication process of S120.
次に、図3(b)は、プログラム書換ツール58が行う処理を表すフローチャートである。尚、図3(b)の処理は、実際には、プログラム書換ツール58に備えられたマイコンによって実行される。 Next, FIG. 3B is a flowchart showing the processing performed by the program rewriting tool 58. 3B is actually executed by a microcomputer provided in the program rewriting tool 58.
図3(b)に示すように、プログラム書換ツール58では、まずS205にて、制御用ソフトウェアの書き換え対象であるマイコンが、量産用マイコンなのかキャリブレーション機能付きマイコンなのかを判別する。尚、プログラム書換ツール58には、使用者が様々な種類の情報を入力するための操作部が備えられており、使用者は、その操作部を操作することで、制御用ソフトウェアの書き換え対象であるマイコンが、量産用マイコンとキャリブレーション機能付きマイコンとの何れであるかを示す情報を入力するようになっている。そして、S205では、その使用者による入力情報に基づいて上記の判別を行う。 As shown in FIG. 3B, in the program rewriting tool 58, first, in S205, it is determined whether the microcomputer to be rewritten with the control software is a mass production microcomputer or a microcomputer with a calibration function. Note that the program rewriting tool 58 is provided with an operation unit for the user to input various types of information, and the user can operate the operation unit to rewrite the control software. Information indicating whether a certain microcomputer is a mass production microcomputer or a microcomputer with a calibration function is input. In S205, the above determination is made based on the input information by the user.
このS205にて、制御用ソフトウェアの書き換え対象であるマイコンが、量産用マイコンであると判別した場合(S205:YES)には、S210に進む。
そして、S210では、当該プログラム書換ツール58の使用者が操作部を操作して前述のセキュリティ解除データを入力するのを待ち、セキュリティ解除データが入力されると、そのセキュリティ解除データをECU(延いては、本体チップ1)へ送信する。すると、そのセキュリティ解除データは、本体チップ1に受信されて、前述したS120の認証処理に用いられることとなる。
If it is determined in S205 that the microcomputer to be rewritten with the control software is a mass production microcomputer (S205: YES), the process proceeds to S210.
In S210, the user waits for the user of the program rewriting tool 58 to input the security release data by operating the operation unit. When the security release data is input, the security release data is extended to the ECU (delayed). Transmits to the main body chip 1). Then, the security release data is received by the main body chip 1 and used for the authentication processing of S120 described above.
そこで、プログラム書換ツール58は、次のS220にて、本体チップ1のCPU12により前述のS130で送信される認証通知を受信するまで待ち、その認証通知を受信したならば(S220:YES)、S230に進む。 Therefore, the program rewriting tool 58 waits until receiving the authentication notification transmitted in the above-described S130 by the CPU 12 of the main body chip 1 in the next S220, and if the authentication notification is received (S220: YES), S230. Proceed to
S230では、本体チップ1のROM13に更新して書き込むべき制御用ソフトウェア(即ち、新制御用ソフトウェア)をECUへ送信する。すると、その制御用ソフトウェアは、本体チップ1に受信されて、前述したS140の書換処理により、本体チップ1のROM13に書き込まれることとなる。 In S230, control software (that is, new control software) to be updated and written to the ROM 13 of the main body chip 1 is transmitted to the ECU. Then, the control software is received by the main body chip 1 and written to the ROM 13 of the main body chip 1 by the rewriting process of S140 described above.
次に、S240にて、ECU側で制御用ソフトウェアの書き換えが正常に終了したか否かを判定する。具体的には、本体チップ1のCPU12により前述のS150で送信されるチェック結果を受信し、そのチェック結果の内容から、制御用ソフトウェアの書き換えが正常に終了したか否かを判定する。 Next, in S240, it is determined on the ECU side whether or not the rewriting of the control software has been normally completed. Specifically, the CPU 12 of the main body chip 1 receives the check result transmitted in S150 described above, and determines from the contents of the check result whether the rewriting of the control software has been completed normally.
そして、制御用ソフトウェアの書き換えが正常に終了していなければ、S230に戻り、正常に終了したならば、そのまま当該図3(b)の処理を終了する。
一方、上記S205にて、制御用ソフトウェアの書き換え対象であるマイコンが、キャリブレーション機能付きマイコンであると判定した場合(S205:NO)には、S210,S220をスキップして、S230に進む。つまり、その場合には、ECUへセキュリティ解除データを送信することなく、新制御用ソフトウェアの送信を行うこととなる。
If the rewriting of the control software has not been completed normally, the process returns to S230, and if it has been completed normally, the process of FIG.
On the other hand, if it is determined in S205 that the microcomputer to be rewritten with the control software is a microcomputer with a calibration function (S205: NO), S210 and S220 are skipped and the process proceeds to S230. That is, in that case, the new control software is transmitted without transmitting the security release data to the ECU.
以上のような第1実施形態の本体チップ1によれば、キャリブレーション用チップ2が接続されない量産用マイコンの形態で量産品のECUに搭載されている場合には、書換モード時処理において、S120の認証処理を行うこととなるため、ROM13内の制御用ソフトウェアが第3者によって不正に書き換えられるのを防止することができる。プログラム書換ツール58からECUへ、そのECUの種類に固有のセキュリティ解除データを送信しなければ、制御用ソフトウェアを書き換えることができないからである。 According to the main body chip 1 of the first embodiment as described above, when the calibration chip 2 is mounted on a mass-produced ECU in the form of a mass-production microcomputer to which the calibration chip 2 is not connected, in the rewrite mode process, S120 Therefore, the control software in the ROM 13 can be prevented from being illegally rewritten by a third party. This is because the control software cannot be rewritten unless the security release data specific to the ECU type is transmitted from the program rewriting tool 58 to the ECU.
また、キャリブレーション用チップ2が接続されたキャリブレーション機能付きマイコンの形態で開発段階のECUに搭載されている場合には、書換モード時処理において、S105で「YES」と判定され、S120の認証処理を行うことなく、S140の書換処理を行うこととなる。このため、制御用ソフトウェアの書き換えを効率的に実施できるようになり、延いては、ECUの開発効率を向上させることができる。ECUの開発作業者は、プログラム書換ツール58から開発中のECUへ、そのECUに合ったセキュリティ解除データを送信するための作業(具体的には、そのセキュリティ解除データをプログラム書換ツール58に入力する操作)をしなくても、制御用ソフトウェアを書き換えることができるからである。 Further, when the calibration chip 2 is connected to the development stage ECU in the form of a microcomputer with a calibration function to which the calibration chip 2 is connected, “YES” is determined in S105 in the process in the rewrite mode, and the authentication in S120 is performed. The rewriting process of S140 is performed without performing the process. For this reason, it becomes possible to efficiently rewrite the control software, and as a result, the development efficiency of the ECU can be improved. An ECU development worker inputs work for transmitting security release data suitable for the ECU from the program rewriting tool 58 to the ECU under development (specifically, inputs the security release data to the program rewriting tool 58. This is because the control software can be rewritten without the operation).
よって、本体チップ1によれば、量産品のECUにおける制御用ソフトウェアの不正書換を防止できると共に、ECUの開発効率を向上させることができる。
また、本第1実施形態の本体チップ1では、キャリブレーション用チップ2が接続されているか否かを、端子23の電圧に基づき判定しているため、その判定のための回路を簡素化及び低コスト化することができる。特に、判定のための回路としてI/Oポート16を流用できる。
Therefore, according to the main body chip 1, it is possible to prevent unauthorized rewriting of the control software in the mass-produced ECU and to improve the development efficiency of the ECU.
Further, in the main body chip 1 of the first embodiment, whether or not the calibration chip 2 is connected is determined based on the voltage of the terminal 23, so that the circuit for the determination is simplified and reduced. Cost can be increased. In particular, the I / O port 16 can be used as a circuit for determination.
尚、本第1実施形態では、プログラム書換ツール58がプログラム書換装置に相当している。また、本体チップ1においては、CPU12による図3(a)の書換モード時処理が書換制御手段に相当し、I/Oポート16が接続判定手段に相当している。また、本体チップ1の端子23が接続判定用端子に相当し、キャリブレーション用チップ2の端子33が、接続判定用端子に接続される特定の端子に相当している。
[第2実施形態]
図4に示す第2実施形態の本体チップ3は、第1実施形態の本体チップ1と比較すると、下記(2−1)〜(2−3)の点が異なっている。
In the first embodiment, the program rewriting tool 58 corresponds to a program rewriting device. Further, in the main body chip 1, the processing in the rewrite mode of FIG. 3A by the CPU 12 corresponds to the rewrite control means, and the I / O port 16 corresponds to the connection determination means. Further, the terminal 23 of the main body chip 1 corresponds to a connection determination terminal, and the terminal 33 of the calibration chip 2 corresponds to a specific terminal connected to the connection determination terminal.
[Second Embodiment]
The main body chip 3 of the second embodiment shown in FIG. 4 is different from the main body chip 1 of the first embodiment in the following points (2-1) to (2-3).
(2−1)接続端子22に接続されるのがキャリブレーション用チップ2と同様のキャリブレーション用チップ4であるが、その接続相手のキャリブレーション用チップ4は、キャリブレーション用チップ2と比較すると、図1の抵抗Raに代えて、特定周波数の信号(例えば1kHzの信号)を端子33から出力する発振回路72を備えている。 (2-1) The calibration chip 4 similar to the calibration chip 2 is connected to the connection terminal 22, but the calibration chip 4 of the connection partner is compared with the calibration chip 2. 1 is provided with an oscillation circuit 72 that outputs a signal of a specific frequency (for example, a signal of 1 kHz) from the terminal 33 instead of the resistor Ra in FIG.
(2−2)図1の抵抗Rbに代えて、周波数判定回路71を備えており、その周波数判定回路71は、端子23とバス11に接続されている。そして、周波数判定回路71は、端子23から上記特定周波数の信号が入力されたか否かを判定し、その特定周波数の信号が入力されたと判定したならば、当該本体チップ3にキャリブレーション用チップ4が接続されていると判断して、内部のフラグをオンする。 (2-2) A frequency determination circuit 71 is provided instead of the resistor Rb in FIG. 1, and the frequency determination circuit 71 is connected to the terminal 23 and the bus 11. Then, the frequency determination circuit 71 determines whether or not the signal of the specific frequency is input from the terminal 23. If it is determined that the signal of the specific frequency is input, the calibration chip 4 is connected to the main body chip 3. Is connected and turns on the internal flag.
例えば、周波数判定回路71は、予め定められた一定時間Taの間に端子23に生じたパルス(具体的には立ち上がりエッジ又は立ち下がりエッジ)の数をカウンタによって数え、そのカウント数が規定値であれば、端子23から特定周波数の信号が入力されたと判定するように構成することができる。そして、上記規定値は、キャリブレーション用チップ4の発振回路72が上記一定時間Taの間に出力するパルスの数と等しい値である。 For example, the frequency determination circuit 71 counts the number of pulses (specifically, rising edge or falling edge) generated at the terminal 23 during a predetermined time Ta using a counter, and the count number is a specified value. If there is, it can be configured to determine that a signal of a specific frequency is input from the terminal 23. The specified value is equal to the number of pulses output by the oscillation circuit 72 of the calibration chip 4 during the predetermined time Ta.
尚、周波数判定回路71内の上記フラグは、当該本体チップ3にキャリブレーション用チップ4が接続されているか否かを示すフラグであり、本体チップ3の起動時には、初期状態として、非接続を示す方のオフになっている。また、そのフラグは、バス11を介してCPU12が参照できるようになっている。 The flag in the frequency determination circuit 71 is a flag indicating whether or not the calibration chip 4 is connected to the main body chip 3. When the main body chip 3 is activated, the flag is not connected as an initial state. Is turned off. The flag can be referred to by the CPU 12 via the bus 11.
(2−3)本体チップ3のCPU12は、図3(a)の書換モード時処理におけるS105にて、周波数判定回路71内の上記フラグを参照して、フラグがオンされていれば、当該本体チップ3の形態が、キャリブレーション用チップ2が接続された形態(キャリブレーション機能付きマイコンの形態)であると判定し、フラグがオンされていなければ、当該本体チップ3の形態が、キャリブレーション用チップ2が接続されていない形態(量産用マイコンの形態)であると判定する。 (2-3) The CPU 12 of the main body chip 3 refers to the flag in the frequency determination circuit 71 in S105 in the rewrite mode processing in FIG. If it is determined that the form of the chip 3 is a form in which the calibration chip 2 is connected (a form of a microcomputer with a calibration function) and the flag is not turned on, the form of the main body chip 3 is used for calibration. It is determined that the chip 2 is not connected (a mass-production microcomputer).
つまり、第2実施形態の本体チップ3では、端子23から特定周波数の信号が入力されたか否かにより、キャリブレーション用チップ4が接続されているか否かを判定するようになっている。 That is, in the main body chip 3 of the second embodiment, it is determined whether or not the calibration chip 4 is connected depending on whether or not a signal of a specific frequency is input from the terminal 23.
このような本体チップ3によれば、第1実施形態よりも、判定に関するセキュリティ性を高めることができる。つまり、量産品のECUにおいて、不正行為者が端子23に何等かの電圧や信号を与えてみた場合に、本当はキャリブレーション用チップ4が接続されていないにも拘わらず、そのチップ4が接続されていると判定してしまう可能性を更に低くすることができる。そして、このため、制御用ソフトウェアの不正書換防止という面でのセキュリティ性も高めることができる。 According to such a main body chip 3, it is possible to improve the security related to the determination as compared with the first embodiment. In other words, in a mass-produced ECU, when a fraudster tries to give any voltage or signal to the terminal 23, the chip 4 is connected even though the calibration chip 4 is not actually connected. It is possible to further reduce the possibility of determining that the For this reason, it is possible to improve security in terms of preventing unauthorized rewriting of control software.
尚、本実施形態では、周波数判定回路71が接続判定手段に相当している。
[第3実施形態]
図5に示す第3実施形態の本体チップ5は、第1実施形態の本体チップ1と比較すると、下記(3−1)〜(3−4)の点が異なっている。
In the present embodiment, the frequency determination circuit 71 corresponds to connection determination means.
[Third Embodiment]
The main body chip 5 of the third embodiment shown in FIG. 5 differs from the main body chip 1 of the first embodiment in the following points (3-1) to (3-4).
(3−1)接続端子22に接続されるのがキャリブレーション用チップ2と同様のキャリブレーション用チップ6であるが、その接続相手のキャリブレーション用チップ6は、キャリブレーション用チップ2と比較すると、端子33に代えて、2つの端子34,35を備えており、更に、図1の抵抗Raに代えて、端子34,35を介し当該本体チップ5と通信するハンドシェイク通信回路74を備えている。 (3-1) The calibration chip 6 similar to the calibration chip 2 is connected to the connection terminal 22, but the calibration chip 6 of the connection partner is compared with the calibration chip 2. 1, two terminals 34 and 35 are provided instead of the terminal 33, and a handshake communication circuit 74 that communicates with the main body chip 5 via the terminals 34 and 35 is provided instead of the resistor Ra in FIG. 1. Yes.
(3−2)本体チップ5は、端子23に代えて、2つの端子24,25を備えている。そして、その各端子24,25には、当該本体チップ5にキャリブレーション用チップ6が接続された状態の場合に、そのキャリブレーション用チップ6の上記端子34,35がそれぞれ接続される。 (3-2) The main body chip 5 includes two terminals 24 and 25 instead of the terminals 23. When the calibration chip 6 is connected to the main body chip 5, the terminals 34 and 35 of the calibration chip 6 are connected to the terminals 24 and 25, respectively.
(3−3)図1の抵抗Rbに代えて、ハンドシェイク通信回路73を備えており、そのハンドシェイク通信回路73は、端子24,25とバス11に接続されている。そして、ハンドシェイク通信回路73は、端子24,25を介してキャリブレーション用チップ6側のハンドシェイク通信回路74と接続され、そのハンドシェイク通信回路74と予め定められた手順で信号をやり取りするハンドシェイク通信を行う。 (3-3) A handshake communication circuit 73 is provided instead of the resistor Rb in FIG. 1, and the handshake communication circuit 73 is connected to the terminals 24 and 25 and the bus 11. The handshake communication circuit 73 is connected to the handshake communication circuit 74 on the calibration chip 6 side via the terminals 24 and 25, and exchanges signals with the handshake communication circuit 74 in a predetermined procedure. Perform shake communication.
そして更に、ハンドシェイク通信回路73は、ハンドシェイク通信回路74とのハンドシェイク通信が完了できなければ、当該本体チップ5にキャリブレーション用チップ6が接続されていないと判断して、内部のフラグをオフしたままにするが、ハンドシェイク通信回路74とのハンドシェイク通信が完了できたならば、当該本体チップ5にキャリブレーション用チップ6が接続されていると判断して、内部のフラグをオンする。 Further, if the handshake communication circuit 73 cannot complete the handshake communication with the handshake communication circuit 74, the handshake communication circuit 73 determines that the calibration chip 6 is not connected to the main body chip 5, and sets the internal flag. If the handshake communication with the handshake communication circuit 74 is completed, it is determined that the calibration chip 6 is connected to the main body chip 5 and the internal flag is turned on. .
尚、ハンドシェイク通信回路73内の上記フラグは、当該本体チップ5にキャリブレーション用チップ6が接続されているか否かを示すフラグであり、本体チップ5の起動時には、初期状態として、非接続を示す方のオフになっている。また、そのフラグは、バス11を介してCPU12が参照できるようになっている。 The flag in the handshake communication circuit 73 is a flag that indicates whether or not the calibration chip 6 is connected to the main body chip 5. Shower is off. The flag can be referred to by the CPU 12 via the bus 11.
ここで、ハンドシェイク通信としては、例えば図6のような通信である。
まず、図6(a)に示すように、本体チップ5側のハンドシェイク通信回路73は、電源の投入により動作を開始すると、まず、信号を要求するための要求信号(以下、REQ信号と記す)を端子24に出力する(S310)。尚、本体チップ5にキャリブレーション用チップ6が接続されていれば、そのREQ信号は、キャリブレーション用チップ6の端子34を介してハンドシェイク通信回路74に伝達する。また、REQ信号は、予め定められたビット列の信号である。
Here, the handshake communication is, for example, communication as shown in FIG.
First, as shown in FIG. 6A, when the handshake communication circuit 73 on the main body chip 5 side starts operating upon power-on, first, a request signal for requesting a signal (hereinafter referred to as a REQ signal). ) Is output to the terminal 24 (S310). If the calibration chip 6 is connected to the main body chip 5, the REQ signal is transmitted to the handshake communication circuit 74 via the terminal 34 of the calibration chip 6. The REQ signal is a predetermined bit string signal.
一方、図6(b)に示すように、キャリブレーション用チップ6側のハンドシェイク通信回路74は、電源の投入により動作を開始すると、端子34から上記REQ信号を受信するまで待ち(S410)、そのREQ信号を受信したならば(S410:YES)、そのREQ信号に対する応答信号(以下、ACK信号と記す)を端子35に出力する(S420)。尚、本体チップ5にキャリブレーション用チップ6が接続されていれば、そのACK信号は、本体チップ5の端子25を介してハンドシェイク通信回路73に伝達する。また、ACK信号も、予め定められたビット列の信号である。 On the other hand, as shown in FIG. 6B, when the handshake communication circuit 74 on the calibration chip 6 side starts operating upon power-on, it waits until the REQ signal is received from the terminal 34 (S410). If the REQ signal is received (S410: YES), a response signal to the REQ signal (hereinafter referred to as ACK signal) is output to the terminal 35 (S420). If the calibration chip 6 is connected to the main body chip 5, the ACK signal is transmitted to the handshake communication circuit 73 via the terminal 25 of the main body chip 5. The ACK signal is also a signal of a predetermined bit string.
そこで、図6(a)に示すように、本体チップ5側のハンドシェイク通信回路73は、REQ信号を出力した後、端子25から上記ACK信号を受信したか否かを判定する(S320)。そして、ACK信号を受信しなければ(S320:NO)、REQ信号の出力を再度実施する(S310)。また、ACK信号を受信したならば(S320:YES)、ハンドシェイク通信が完了できたとして(即ち、キャリブレーション用チップ6が接続されていると判定して)、内部のフラグをオンする(S330)。 Therefore, as shown in FIG. 6A, the handshake communication circuit 73 on the main body chip 5 side determines whether or not the ACK signal is received from the terminal 25 after outputting the REQ signal (S320). If no ACK signal is received (S320: NO), the REQ signal is output again (S310). If an ACK signal is received (S320: YES), it is determined that the handshake communication has been completed (that is, it is determined that the calibration chip 6 is connected), and an internal flag is turned on (S330). ).
(3−4)本体チップ5のCPU12は、図3(a)の書換モード時処理におけるS105にて、ハンドシェイク通信回路73内の上記フラグを参照して、フラグがオンされていれば、当該本体チップ5の形態が、キャリブレーション用チップ6が接続された形態(キャリブレーション機能付きマイコンの形態)であると判定し、フラグがオンされていなければ、当該本体チップ5の形態が、キャリブレーション用チップ6が接続されていない形態(量産用マイコンの形態)であると判定する。 (3-4) The CPU 12 of the main body chip 5 refers to the flag in the handshake communication circuit 73 in S105 in the rewrite mode processing in FIG. If the form of the main body chip 5 is determined to be the form in which the calibration chip 6 is connected (the form of the microcomputer with the calibration function) and the flag is not turned on, the form of the main body chip 5 is the calibration. It is determined that the chip 6 is not connected (a mass production microcomputer).
つまり、第3実施形態の本体チップ5では、キャリブレーション用チップ6と通信を行い、端子25から特定の通信信号としてのACK信号が入力されたか否か(本実施形態では、キャリブレーション用チップ6との通信が成立したか否か)により、キャリブレーション用チップ6が接続されているか否かを判定するようになっている。 That is, the main body chip 5 of the third embodiment communicates with the calibration chip 6 and determines whether or not an ACK signal as a specific communication signal is input from the terminal 25 (in this embodiment, the calibration chip 6). Whether or not the calibration chip 6 is connected is determined based on whether or not communication is established.
このような第3実施形態の本体チップ5によれば、判定に関するセキュリティ性及び制御用ソフトウェアの不正書換防止という面でのセキュリティ性を、第2実施形態よりも更に高めることができる。 According to the main body chip 5 of the third embodiment, the security in terms of determination and the security in terms of preventing unauthorized rewriting of control software can be further enhanced than in the second embodiment.
尚、ハンドシェイク通信でやり取りされる信号の内容や、信号のやり取り手順を複雑化すればするほど、セキュリティ性を上げることができる。また、本実施形態では、本体チップ5の端子25が接続判定用端子に相当し、ハンドシェイク通信回路73が接続判定手段に相当している。
[変形例]
上記第3実施形態の本体チップ5(図5)において、ハンドシェイク通信回路73は、図7に示すように、キャリブレーション用チップ6が接続されているか否かを判定する接続判定動作を、本体チップ5に電源が投入されてから一定の規定時間が経過するまでを限度として、キャリブレーション用チップ6が接続されていると判定するまで行うように構成しても良い。
The security can be improved as the contents of signals exchanged by handshake communication and the signal exchange procedure become more complicated. In the present embodiment, the terminal 25 of the main body chip 5 corresponds to a connection determination terminal, and the handshake communication circuit 73 corresponds to a connection determination unit.
[Modification]
In the main body chip 5 (FIG. 5) of the third embodiment, as shown in FIG. 7, the handshake communication circuit 73 performs a connection determination operation for determining whether or not the calibration chip 6 is connected. You may comprise so that it may carry out until it determines with the chip | tip 6 for a calibration having been connected until a fixed time passes after the power supply to the chip | tip 5 is turned on.
即ち、図7に示すように、ハンドシェイク通信回路73は、電源の投入により動作を開始すると、図6(a)のS310及びS320の動作からなる接続判定動作を行い(S510)、キャリブレーション用チップ6が接続されていると判定すると(S520:YES)、内部のフラグをオンする(S530)が、キャリブレーション用チップ6が接続されていると判定しなければ(S520:NO)、動作開始時から一定の規定時間が経過したか否かを判定する(S540)。そして、規定時間が未だ経過していなければ(S540:NO)、引き続き接続判定動作(S510)を行うが、規定時間が経過したならば(S540:YES)、以後は接続判定動作を行わずに、内部のフラグをオフのままにする(S550)。 That is, as shown in FIG. 7, when the handshake communication circuit 73 starts its operation when the power is turned on, the handshake communication circuit 73 performs a connection determination operation consisting of the operations of S310 and S320 of FIG. If it is determined that the chip 6 is connected (S520: YES), the internal flag is turned on (S530), but if it is not determined that the calibration chip 6 is connected (S520: NO), the operation starts. It is determined whether or not a predetermined time has elapsed since time (S540). If the specified time has not yet elapsed (S540: NO), the connection determination operation (S510) is continued. If the specified time has elapsed (S540: YES), the connection determination operation is not performed thereafter. The internal flag is kept off (S550).
このような構成の本体チップ5によれば、量産品のECUにおいて、不正行為者が何等かの手法によって、当該本体チップ5にキャリブレーション用チップ6が接続されていると誤判定させようとした場合(つまり、CPU12が認証処理を行うことなく書換処理を行うようにさせて、制御用ソフトウェアを不正に書き換えようとした場合)に、電源投入時から規定時間が過ぎれば、そのような誤判定がされることはないため、制御用ソフトウェアの不正書換防止という面でのセキュリティ性を一層高めることができる。また、電源投入時から規定時間が経過した後は、ハンドシェイク通信回路73が接続判定動作を行うことによる消費電流を削減することができ、延いては、本体チップ5における消費電流及び発熱量を低減することができる。 According to the main body chip 5 having such a configuration, in the mass-produced ECU, an unauthorized person tries to erroneously determine that the calibration chip 6 is connected to the main body chip 5 by some technique. In such a case (that is, when the CPU 12 tries to rewrite the control software illegally without performing the authentication process), such a misjudgment occurs if the specified time has passed since the power was turned on. Therefore, security in terms of preventing unauthorized rewriting of control software can be further enhanced. In addition, after the specified time has elapsed since the power was turned on, the current consumption due to the handshake communication circuit 73 performing the connection determination operation can be reduced. Can be reduced.
そして、このような変形例は、第1又は第2実施形態の本体チップ1,3についても、同様に適用することができる。
例えば、第2実施形態の本体チップ3(図4)であれば、周波数判定回路71が、電源の投入により動作を開始すると、図7のS510にて、端子23から特定周波数の信号が入力されたか否かを判定する動作を行うこととなり、動作開始時から規定時間が経過するまでに特定周波数の信号が入力されたならば、図7のS520にて、キャリブレーション用チップ4が接続されていると判定し、図7のS530にて、内部のフラグをオンすることとなる。
Such a modification can be similarly applied to the main body chips 1 and 3 of the first or second embodiment.
For example, in the case of the main body chip 3 (FIG. 4) of the second embodiment, when the frequency determination circuit 71 starts its operation when the power is turned on, a signal of a specific frequency is input from the terminal 23 in S510 of FIG. If a signal of a specific frequency is input from the start of the operation until the specified time has elapsed, the calibration chip 4 is connected in S520 of FIG. In step S530 of FIG. 7, the internal flag is turned on.
また例えば、第1実施形態の本体チップ1(図1)であれば、以下のように変形すれば良い。
まず、CPU12が、本体チップ1への電源投入により動作を開始すると、接続判定手段に相当する処理として、図7の処理を行う。即ち、まずS510にて、接続判定動作として、I/Oポート16から端子23の電圧判定レベルを読み込むと共に、その電圧判定レベルがハイとローとの何れであるかを判定する。そして、端子23の電圧判定レベルがハイであれば、当該本体チップ1にキャリブレーション用チップ2が接続されていると判定して(S520:YES)、接続判定フラグをオンする(S530)が、端子23の電圧判定レベルがローであれば、キャリブレーション用チップ2が接続されていないと判定して(S520:NO)、動作開始時から規定時間が経過したか否かを判定する(S540)。そして、規定時間が未だ経過していなければ(S540:NO)、引き続き上記接続判定動作(S510)を行うが、規定時間が経過したならば(S540:YES)、接続判定フラグをオフのままにし(S550)、その後、図7の処理を終了する。
Further, for example, the main body chip 1 (FIG. 1) of the first embodiment may be modified as follows.
First, when the CPU 12 starts an operation by turning on the power to the main body chip 1, the process shown in FIG. 7 is performed as a process corresponding to the connection determination unit. That is, first in S510, as a connection determination operation, the voltage determination level of the terminal 23 is read from the I / O port 16, and it is determined whether the voltage determination level is high or low. If the voltage determination level of the terminal 23 is high, it is determined that the calibration chip 2 is connected to the main body chip 1 (S520: YES), and the connection determination flag is turned on (S530). If the voltage determination level of the terminal 23 is low, it is determined that the calibration chip 2 is not connected (S520: NO), and it is determined whether a specified time has elapsed since the start of the operation (S540). . If the specified time has not yet elapsed (S540: NO), the connection determination operation (S510) is continued. If the specified time has elapsed (S540: YES), the connection determination flag is kept off. (S550) Then, the process of FIG. 7 is complete | finished.
そして、本体チップ1のCPU12は、図3(a)の書換モード時処理におけるS105では、I/Oポート16から端子23の電圧判定レベルを読み込むのではなく、上記接続判定フラグを参照する。そして、接続フラグがオンされていれば、当該本体チップ1の形態が、キャリブレーション用チップ2が接続された形態であると判定し、接続フラグがオフならば、当該本体チップ1の形態が、キャリブレーション用チップ2が接続されていない形態であると判定する。 Then, the CPU 12 of the main body chip 1 refers to the connection determination flag instead of reading the voltage determination level of the terminal 23 from the I / O port 16 in S105 in the process in the rewrite mode of FIG. If the connection flag is turned on, it is determined that the form of the main body chip 1 is a form in which the calibration chip 2 is connected. If the connection flag is off, the form of the main body chip 1 is It is determined that the calibration chip 2 is not connected.
そして、このように変形すれば、上記第2及び第3実施形態の各変形例と同様の効果が得られる。
一方、第2及び第3実施形態においては、本体チップ3,5に電源が投入されてから規定時間が経過しても未だ前述のフラグがオフならば(即ち、キャリブレーション用チップ4,6が接続されていると判定されていなければ)、周波数判定回路71、ハンドシェイク通信回路73への電源供給を遮断するタイマ回路を設けるようにしても良い。
[第4実施形態]
図8に示す第4実施形態の本体チップ7は、第1実施形態の本体チップ1と比較すると、下記(4−1)〜(4−4)の点が異なっている。
And if it deform | transforms in this way, the effect similar to each modification of the said 2nd and 3rd embodiment will be acquired.
On the other hand, in the second and third embodiments, if the above-mentioned flag is still turned off even after a specified time has passed since the power is supplied to the main body chips 3 and 5 (that is, the calibration chips 4 and 6 are not connected). If it is not determined to be connected, a timer circuit for cutting off the power supply to the frequency determination circuit 71 and the handshake communication circuit 73 may be provided.
[Fourth Embodiment]
The main body chip 7 of the fourth embodiment shown in FIG. 8 differs from the main body chip 1 of the first embodiment in the following points (4-1) to (4-4).
(4−1)接続端子22に接続されるのがキャリブレーション用チップ2と同様のキャリブレーション用チップ8であるが、その接続相手のキャリブレーション用チップ8は、キャリブレーション用チップ2と比較すると、端子33に代えて、2つの端子36,37を備えており、更に、図1の抵抗Raに代えて、端子36,37を介し当該本体チップ7と通信する認証通信回路76を備えている。 (4-1) A calibration chip 8 similar to the calibration chip 2 is connected to the connection terminal 22, but the calibration chip 8 of the connection partner is compared with the calibration chip 2. In addition, two terminals 36 and 37 are provided instead of the terminal 33, and an authentication communication circuit 76 that communicates with the main body chip 7 via the terminals 36 and 37 is provided instead of the resistor Ra in FIG. .
(4−2)本体チップ7は、端子23に代えて、2つの端子26,27を備えている。そして、その各端子26,27には、当該本体チップ7にキャリブレーション用チップ8が接続された状態の場合に、そのキャリブレーション用チップ8の上記端子36,37がそれぞれ接続される。 (4-2) The main body chip 7 includes two terminals 26 and 27 instead of the terminal 23. When the calibration chip 8 is connected to the main body chip 7, the terminals 36 and 37 of the calibration chip 8 are connected to the terminals 26 and 27, respectively.
(4−3)図1の抵抗Rbに代えて、認証通信回路75を備えており、その認証通信回路75は、端子26,27とバス11に接続されている。そして、認証通信回路75は、端子26,27を介してキャリブレーション用チップ8側の認証通信回路76と接続され、その認証通信回路76と通信を行う。 (4-3) An authentication communication circuit 75 is provided instead of the resistor Rb in FIG. 1, and the authentication communication circuit 75 is connected to the terminals 26 and 27 and the bus 11. The authentication communication circuit 75 is connected to the authentication communication circuit 76 on the calibration chip 8 side via the terminals 26 and 27, and communicates with the authentication communication circuit 76.
(4−4)本体チップ7のCPU12は、図3(a)の書換モード時処理に代えて、図9(a)の書換モード時処理を実行する。また、プログラム書換ツール58も、図3(b)の処理に代えて、図9(b)の処理を行う。 (4-4) The CPU 12 of the main body chip 7 executes the process in the rewrite mode in FIG. 9A instead of the process in the rewrite mode in FIG. Further, the program rewriting tool 58 performs the process of FIG. 9B instead of the process of FIG.
次に、図9(a),(b)の各処理について説明する。尚、図9において、図3と同じ処理については同一のステップ番号を付しているため、説明を省略する。
まず、図9(a)の書換モード時処理は、図3(a)の書換モード時処理と比較すると、S105及びS110の処理に代えて、S610〜S650の処理が行われる点が異なっている。
Next, each processing in FIGS. 9A and 9B will be described. In FIG. 9, the same processes as those in FIG. 3 are denoted by the same step numbers, and the description thereof is omitted.
First, the processing in the rewrite mode in FIG. 9A is different from the processing in the rewriting mode in FIG. 3A in that the processing in S610 to S650 is performed instead of the processing in S105 and S110. .
即ち、CPU12が図9(a)の書換モード時処理を開始すると、まずS610にて、プログラム書換ツール58からデータを受信するまで待つ。
そして、プログラム書換ツール58からのデータを受信すると(S610:YES)、S620に進み、その受信したデータが、セキュリティ解除データと、本第4実施形態に特有のセキュリティ解除パスデータとの何れであるかを判別する。
That is, when the CPU 12 starts the processing in the rewriting mode of FIG. 9A, first, in S610, the CPU 12 waits until data is received from the program rewriting tool 58.
When data from the program rewriting tool 58 is received (S610: YES), the process proceeds to S620, and the received data is either security release data or security release path data unique to the fourth embodiment. Is determined.
ここで、セキュリティ解除パスデータは、CPU12が当該書換モード時処理においてS120の認証処理を行うことなくS140の書換処理を行うようにさせるためのデータであり、セキュリティ解除データによる認証をパスさせるためのデータである。また、セキュリティ解除パスデータは、キャリブレーション用チップ8と認証を行うための認証用データでもあり、このため、キャリブレーション用チップ8の種類毎に定められている。 Here, the security release pass data is data for allowing the CPU 12 to perform the rewrite process of S140 without performing the authentication process of S120 in the process in the rewrite mode, and for passing the authentication by the security release data. It is data. The security release path data is also authentication data for performing authentication with the calibration chip 8, and is therefore determined for each type of calibration chip 8.
更に、セキュリティ解除パスデータは、セキュリティ解除データと同じフォーマットのデータ(同型のデータ)である。具体的には、セキュリティ解除データとセキュリティ解除パスデータは、同じビット数のデータであり、そのビット列における特定位置(本実施形態では、先頭のnビット分(nは1以上の整数))に、そのデータがセキュリティ解除データとセキュリティ解除パスデータとの何れであるかを示す識別ビット(識別情報)が配置されている。 Furthermore, the security release path data is data in the same format as the security release data (data of the same type). Specifically, the security release data and the security release pass data are data having the same number of bits, and at a specific position in the bit string (in the present embodiment, the first n bits (n is an integer of 1 or more)) An identification bit (identification information) indicating whether the data is security release data or security release path data is arranged.
このため、上記S620では、受信したデータの先頭からnビット分である識別ビットを参照して、その受信したデータがセキュリティ解除データとセキュリティ解除パスデータとの何れであるかを判別する。 For this reason, in S620 described above, it is determined whether the received data is the security release data or the security release path data with reference to the identification bit corresponding to n bits from the head of the received data.
そして、そのS620にて、受信したデータがセキュリティ解除データであると判定した場合(S620:NO)、即ち、プログラム書換ツール58からセキュリティ解除データが送信されて来た場合には、第1実施形態と同様に、S120に進んで、そのセキュリティ解除データが正しいものか否かを判定する認証処理を行う。そして、セキュリティ解除データが正しいものと判定しなかった場合(S120:NG)には、S610に戻るが、セキュリティ解除データが正しいものと判定した場合(S120:OK)には、書換許可の認証が合格になったとして、S130に進み、プログラム書換ツール58へ、書換許可の認証が合格になったことを示す認証通知を送信する。そして、この場合の以降の処理は、第1実施形態と同じである。 When it is determined in S620 that the received data is security release data (S620: NO), that is, when security release data is transmitted from the program rewriting tool 58, the first embodiment In the same manner, the process proceeds to S120, and an authentication process for determining whether or not the security release data is correct is performed. If it is not determined that the security release data is correct (S120: NG), the process returns to S610. If it is determined that the security release data is correct (S120: OK), the rewrite permission authentication is performed. If it has passed, the process proceeds to S130, and an authentication notification indicating that the rewriting permission authentication has passed is transmitted to the program rewriting tool 58. The subsequent processing in this case is the same as in the first embodiment.
一方、上記S620にて、受信したデータがセキュリティ解除パスデータであると判定した場合(S620:YES)、即ち、プログラム書換ツール58からセキュリティ解除パスデータが送信されて来た場合には、S630に移行する。 On the other hand, if it is determined in S620 that the received data is security release path data (S620: YES), that is, if security release path data is transmitted from the program rewriting tool 58, the process proceeds to S630. Transition.
S630では、プログラム書換ツール58からのセキュリティ解除パスデータを、認証通信回路75に転送して、その認証通信回路75からキャリブレーション用チップ8へ送信させる。 In S630, the security release path data from the program rewriting tool 58 is transferred to the authentication communication circuit 75 and transmitted from the authentication communication circuit 75 to the calibration chip 8.
このため、本体チップ7にキャリブレーション用チップ8が接続されていれば、そのキャリブレーション用チップ8において、認証通信回路76が、上記S630で送信されるセキュリティ解除パスデータを受信することとなる。 For this reason, if the calibration chip 8 is connected to the main body chip 7, the authentication communication circuit 76 receives the security release path data transmitted in S <b> 630 in the calibration chip 8.
ここで、キャリブレーション用チップ8側の認証通信回路76は、図10の処理を行うようになっている。
即ち、認証通信回路76は、本体チップ7側の認証通信回路75から送信されるセキュリティ解除パスデータを受信するまで待ち(S710)、セキュリティ解除パスデータを受信したならば(S710:YES)、その受信したセキュリティ解除パスデータが正しいもの(即ち、当該キャリブレーション用チップ8に適合するもの)か否かを判定する認証処理を行う(S720)。その認証処理では、受信したセキュリティ解除パスデータが、当該認証通信回路76内の不揮発性メモリ、或いは、キャリブレーション用チップ8における他の部分に設けられている不揮発性メモリに予め記憶されているデータであって、当該キャリブレーション用チップ8の種類に固有のデータと同じか否かを判定し、同じであれば、その受信したセキュリティ解除パスデータは正しいものであると判定する。
Here, the authentication communication circuit 76 on the calibration chip 8 side performs the processing of FIG.
That is, the authentication communication circuit 76 waits until receiving the security release path data transmitted from the authentication communication circuit 75 on the main body chip 7 side (S710), and if the security release path data is received (S710: YES), An authentication process for determining whether the received security release path data is correct (that is, compatible with the calibration chip 8) is performed (S720). In the authentication processing, the received security release path data is stored in advance in a nonvolatile memory in the authentication communication circuit 76 or a nonvolatile memory provided in another part of the calibration chip 8. Then, it is determined whether or not the data is the same as the data unique to the type of the calibration chip 8. If the data is the same, it is determined that the received security release path data is correct.
そして、受信したセキュリティ解除パスデータが正しいものと判定しなかった場合(S720:NG)には、S710に戻るが、受信したセキュリティ解除パスデータが正しいものと判定した場合(S720:OK)には、当該キャリブレーション用チップ8との認証が合格になったとして、そのことを示す認証通知(合格通知に相当)を本体チップ7へ送信する(S730)。 If it is determined that the received security cancellation path data is not correct (S720: NG), the process returns to S710, but if it is determined that the received security cancellation path data is correct (S720: OK). Assuming that the authentication with the calibration chip 8 has passed, an authentication notification (corresponding to a pass notification) indicating that is transmitted to the main body chip 7 (S730).
このため、CPU12は、上記S630に続くS640にて、キャリブレーション用チップ8から認証通知が送信されて来たか否かを判定する。そして、S630の処理を行ってから一定時間以内にキャリブレーション用チップ8からの認証通知を受信できなければ(S640:NO)、当該本体チップ7にキャリブレーション用チップ8が接続されていないと判断してS610に戻るが、キャリブレーション用チップ8からの認証通知を受信したならば(S640:YES)、当該本体チップ7にキャリブレーション用チップ8が接続されていると判断してS650に進む。 For this reason, the CPU 12 determines whether or not an authentication notification has been transmitted from the calibration chip 8 in S640 following S630. If the authentication notification from the calibration chip 8 cannot be received within a predetermined time after the processing of S630 (S640: NO), it is determined that the calibration chip 8 is not connected to the main body chip 7. Then, the process returns to S610, but if an authentication notification is received from the calibration chip 8 (S640: YES), it is determined that the calibration chip 8 is connected to the main body chip 7, and the process proceeds to S650.
そして、S650では、S130で送信するのと同じ認証通知をプログラム書換ツール58に送信し、その後、S140に進んで前述の書換処理を行う。
尚、本実施形態において、キャリブレーション用チップ8側の認証通信回路76が図7のS730で本体チップ7に送信する合格通知としての認証通知は、CPU12が図9(a)のS130でプログラム書換ツール58へ送信する認証通知と同じデータに設定されている。このため、図9(a)のS650では、キャリブレーション用チップ8側から受信した認証通知を、そのままプログラム書換ツール58へ送信する。また勿論、キャリブレーション用チップ8側の認証通信回路76が図7のS730で送信する認証通知は、プログラム書換ツール58への認証通知とは異なるデータとしても良く、その場合、図9(a)のS650では、プログラム書換ツール58への認証通知を改めて作成して送信すれば良い。
In S650, the same authentication notification as that transmitted in S130 is transmitted to the program rewriting tool 58, and then the process proceeds to S140 to perform the above-described rewriting process.
In this embodiment, the authentication notification as an acceptance notification transmitted from the authentication communication circuit 76 on the calibration chip 8 side to the main body chip 7 in S730 of FIG. 7 is rewritten by the CPU 12 in S130 of FIG. 9A. The same data as the authentication notification transmitted to the tool 58 is set. For this reason, in S650 of FIG. 9A, the authentication notification received from the calibration chip 8 side is transmitted to the program rewriting tool 58 as it is. Of course, the authentication notification transmitted by the authentication communication circuit 76 on the calibration chip 8 side in S730 of FIG. 7 may be data different from the authentication notification to the program rewriting tool 58. In this case, FIG. In S650, an authentication notification to the program rewriting tool 58 may be newly generated and transmitted.
このように図9(a)の書換モード時処理では、プログラム書換ツール58からセキュリティ解除パスデータが送信されて来たと判定したなら(S620:YES)、そのセキュリティ解除パスデータをキャリブレーション用チップ8に送信する動作(S630)を行い、そのセキュリティ解除パスデータがキャリブレーション用チップ8に適合するものであるとキャリブレーション用チップ8により判定されたことを示す合格通知としての認証通知が、キャリブレーション用チップ8から当該本体チップ7に送信されて来たならば(S640:YES)、キャリブレーション用チップ8が接続されていると判定して、S120の認証処理を行うことなくS140の書換処理を行うようになっている。 9A, if it is determined that the security release path data has been transmitted from the program rewriting tool 58 (S620: YES), the security release path data is used as the calibration chip 8. An authentication notification as a pass notification indicating that the security release path data is determined to be compatible with the calibration chip 8 is performed by performing an operation (S630) to be transmitted to the calibration chip 8. If it is transmitted from the chip 8 to the main body chip 7 (S640: YES), it is determined that the calibration chip 8 is connected, and the rewriting process of S140 is performed without performing the authentication process of S120. To do.
次に、図9(b)の処理は、図3(b)の処理と比較すると、S210の処理に代えて、S207,S209及びS215の処理が行われる点が異なっている。
即ち、プログラム書換ツール58が図9(b)の処理を開始すると、まず、第1実施形態と同様に、S205にて、制御用ソフトウェアの書き換え対象であるマイコンが、量産用マイコンなのかキャリブレーション機能付きマイコンなのかを判別する。
Next, the process of FIG. 9B differs from the process of FIG. 3B in that the processes of S207, S209, and S215 are performed instead of the process of S210.
That is, when the program rewriting tool 58 starts the processing of FIG. 9B, first, in the same manner as in the first embodiment, in S205, calibration is performed to determine whether the microcomputer to be rewritten with the control software is a mass production microcomputer. Determine if it is a microcomputer with functions.
そして、S205にて、制御用ソフトウェアの書き換え対象であるマイコンが、量産用マイコンであると判別した場合(S205:YES)には、S207に進む。
S207では、当該プログラム書換ツール58の使用者が操作部を操作して、ECUへのセキュリティ解除データとなるデータを入力するのを待ち、データが入力されると、その入力されたデータの先頭に、そのデータがセキュリティ解除データであることを示す識別ビットを付加し、その付加後のデータを、ECUへ送信すべきセキュリティ解除データとして送信バッファに格納する。そして、その後S215に進む。
If it is determined in S205 that the microcomputer to be rewritten with the control software is a mass production microcomputer (S205: YES), the process proceeds to S207.
In S207, it waits for the user of the program rewriting tool 58 to operate the operation unit to input data as security release data to the ECU, and when the data is input, it is placed at the head of the input data. Then, an identification bit indicating that the data is security release data is added, and the data after the addition is stored in the transmission buffer as security release data to be transmitted to the ECU. Then, the process proceeds to S215.
また、S205にて、制御用ソフトウェアの書き換え対象であるマイコンが、キャリブレーション機能付きマイコンであると判定した場合(S205:NO)には、S209に進む。 If it is determined in S205 that the microcomputer to be rewritten with the control software is a microcomputer with a calibration function (S205: NO), the process proceeds to S209.
S209では、当該プログラム書換ツール58の使用者が操作部を操作して、ECUへのセキュリティ解除パスデータとなるデータを入力するのを待ち、データが入力されると、その入力されたデータの先頭に、そのデータがセキュリティ解除パスデータであることを示す識別ビットを付加し、その付加後のデータを、ECUへ送信すべきセキュリティ解除パスデータとして送信バッファに格納する。そして、その後S215に進む。 In S209, it waits for the user of the program rewriting tool 58 to operate the operation unit to input data serving as the security release path data to the ECU, and when the data is input, the head of the input data is input. In addition, an identification bit indicating that the data is security release path data is added, and the data after the addition is stored in the transmission buffer as security release path data to be transmitted to the ECU. Then, the process proceeds to S215.
S215では、上記S207又はS209で送信バッファに格納されたデータを、ECU(延いては、本体チップ7)へ送信する。すると、そのデータ(即ち、セキュリティ解除データ又はセキュリティ解除パスデータ)は、本体チップ7に受信されて、前述したS620の処理により、セキュリティ解除データとセキュリティ解除パスデータとの何れであるかが判別されることとなる。 In S215, the data stored in the transmission buffer in S207 or S209 is transmitted to the ECU (and thus the main body chip 7). Then, the data (that is, security release data or security release pass data) is received by the main body chip 7, and it is determined whether the data is security release data or security release pass data by the process of S620 described above. The Rukoto.
そして、S215の送信処理が終わると、S220に進み、本体チップ7のCPU12により図9(a)のS130又はS650で送信される認証通知を受信するまで待ち、その認証通知を受信したならば(S220:YES)、S230に進んで、ECUへの新制御用ソフトウェアの送信を開始する。 When the transmission process of S215 ends, the process proceeds to S220, waits until the CPU 12 of the main body chip 7 receives the authentication notification transmitted in S130 or S650 of FIG. 9A, and if the authentication notification is received ( (S220: YES), the process proceeds to S230, and transmission of new control software to the ECU is started.
以上のような第4実施形態の本体チップ7では、キャリブレーション用チップ8が接続された形態で開発段階のECUに搭載されている場合には、プログラム書換ツール58から、書換要求を送信した後、キャリブレーション用チップ8に適合するセキュリティ解除パスデータを送信してやることで、CPU12が図9(a)の書換モード時処理にてS120の認証処理を行うことなく、S140の書換処理を行うようになる。 In the main body chip 7 of the fourth embodiment as described above, when the calibration chip 8 is connected to the development stage ECU and is mounted on the development stage ECU, after the rewrite request is transmitted from the program rewrite tool 58, By transmitting the security release path data suitable for the calibration chip 8, the CPU 12 performs the rewriting process of S140 without performing the authentication process of S120 in the rewriting mode process of FIG. 9A. Become.
詳しく説明すると、図8における一点鎖線で示すように、プログラム書換ツール58からのセキュリティ解除パスデータは、本体チップ7からキャリブレーション用チップ8に送信される。そして、キャリブレーション用チップ8は、そのセキュリティ解除パスデータが自己に適合するものであるか否かを判定して、自己に適合するものであれば、図8における二点鎖線で示すように、本体チップ7へ合格通知としての認証通知を送信することとなる。そして、本体チップ1では、キャリブレーション用チップ8から認証通知が送信されて来たなら、キャリブレーション用チップ8が接続されていると判定することとなり、S120の認証処理を行うことなく、新制御用ソフトウェアの送信を開始させるためにプログラム書換ツール58へ認証通知を送信すると共に、S140の書換処理を開始することとなる。 More specifically, as indicated by the alternate long and short dash line in FIG. 8, the security release path data from the program rewriting tool 58 is transmitted from the main body chip 7 to the calibration chip 8. Then, the calibration chip 8 determines whether or not the security release path data is compatible with itself, and if it is compatible with the self, as shown by a two-dot chain line in FIG. An authentication notification as an acceptance notification is transmitted to the main body chip 7. In the main body chip 1, if an authentication notification is transmitted from the calibration chip 8, it is determined that the calibration chip 8 is connected, and the new control is performed without performing the authentication process of S120. An authentication notification is transmitted to the program rewriting tool 58 in order to start transmission of software for use, and the rewriting process in S140 is started.
このため、ECUの開発段階において、開発作業者は、プログラム書換ツール58からECU(詳しくは、キャリブレーション用チップ8が接続された形態の当該本体チップ7が搭載されているECU)へ、そのECUに適合したセキュリティ解除データを送信させなくても、キャリブレーション用チップ8に適合したセキュリティ解除パスデータを送信させることで、制御用ソフトウェアを書き換えることができる。 For this reason, in the development stage of the ECU, the development worker transfers the ECU from the program rewriting tool 58 to the ECU (specifically, the ECU on which the main body chip 7 having the calibration chip 8 is connected). Even if the security release data suitable for is not transmitted, the control software can be rewritten by transmitting the security release path data suitable for the calibration chip 8.
特に、キャリブレーション用チップ8の種類数は、最小の1つでも良く、ECUの種類数と比べると格段に少なくすることができるため、ECUの開発段階において、開発作業者が把握しなければならないセキュリティ解除パスデータの種類数は、セキュリティ解除データの種類数と比べると格段に少なくて済む。よって、ECUの開発段階において、開発作業者がプログラム書換ツール58からセキュリティ解除データを送信させるよりも、セキュリティ解除パスデータを送信させる方が、誤ったデータを送信してしまう可能性を低くすることができ、延いては、制御用ソフトウェアの書き換えを効率的に実施できるようになる。 In particular, the number of types of calibration chips 8 may be the smallest, and can be significantly reduced as compared with the number of types of ECUs. Therefore, a development worker must grasp at the ECU development stage. The number of types of security release path data is much smaller than the number of types of security release data. Therefore, in the development stage of the ECU, it is less likely that the development worker will send the security release path data than the program rewrite tool 58 to send the security release pass data, and the wrong data will be sent. As a result, the control software can be efficiently rewritten.
また、本第4実施形態の本体チップ7によれば、ECUの開発段階において、開発作業者は、プログラム書換ツール58からECUへ、書換要求を送信させ、その次にセキュリティ解除パスデータを送信させる、という手順により、制御用ソフトウェアを書き換えることができる。そして、この手順は、ECU開発の最終段階において、開発作業者が、量産品と同じECU(即ち、量産用マイコンを搭載したECU)のROM13に制御用ソフトウェアを書き込んで該ECUの動作チェックを行う場合に、その制御用ソフトウェアの書き込みを行う際の手順(即ち、プログラム書換ツール58からECUへ、書換要求を送信させ、その次にセキュリティ解除データを送信させる、という手順)と同じである。このため、量産品と同じECUに対して制御用ソフトウェアを書き込む場合と、開発途中のECUについて制御用ソフトウェアを書き換える場合とで、開発作業者が作業手順を混乱してしまう可能性を低くすることができる。 Further, according to the main body chip 7 of the fourth embodiment, at the development stage of the ECU, the development worker transmits a rewrite request from the program rewrite tool 58 to the ECU, and then transmits the security release path data. The control software can be rewritten by the procedure. In this procedure, at the final stage of ECU development, a development worker writes control software in the ROM 13 of the same ECU as the mass-produced product (that is, the ECU equipped with the mass-production microcomputer) and checks the operation of the ECU. In this case, the procedure is the same as that for writing the control software (that is, the procedure for transmitting the rewrite request from the program rewriting tool 58 to the ECU and then transmitting the security release data). For this reason, it is possible to reduce the possibility that the development worker will confuse the work procedure between writing the control software to the same ECU as the mass-produced product and rewriting the control software for the ECU under development. Can do.
尚、本第4実施形態においては、CPU12による図9(a)の書換モード時処理のうち、S120〜S160の処理が書換制御手段に相当し、S610〜S640の処理が接続判定手段に相当している。また、セキュリティ解除パスデータが、サブチップ認証用データに相当している。 In the fourth embodiment, among the rewriting mode processing of FIG. 9A by the CPU 12, the processing of S120 to S160 corresponds to the rewriting control means, and the processing of S610 to S640 corresponds to the connection determination means. ing. The security release path data corresponds to the data for subchip authentication.
以上、本発明の一実施形態について説明したが、本発明はこうした実施形態に何等限定されるものではなく、本発明の要旨を逸脱しない範囲において、種々なる態様で実施し得ることは勿論である。 As mentioned above, although one Embodiment of this invention was described, this invention is not limited to such Embodiment at all, Of course, in the range which does not deviate from the summary of this invention, it can implement in a various aspect. .
例えば、図3(a)の処理及び図9(a)の処理の、全部又は一部をCPU12とは別のハードウェア回路で実現するように構成しても良い。 For example, you may comprise so that all or one part of the process of Fig.3 (a) and the process of Fig.9 (a) may be implement | achieved by the hardware circuit different from CPU12.
1,3,5,7…本体チップ(マイコンチップ)、2,4,6,8…キャリブレーション用チップ(サブチップ)、10…キャリブレーション回路、10a…RAM、11…バス、12…CPU、13…ROM(不揮発性メモリ)、14…RAM、15…周辺回路、16…I/Oポート、17…シリアル通信回路、18…タイマ、22〜27,32〜37…端子、50…キャリブレーション機能付きマイコン、51…ECU(車両用電子制御装置)、52…能動素子、52a…IC(通信回路)、53…受動素子、54…電源IC、55…コネクタ、56…通信インターフェース、58…プログラム書換ツール、59…コネクタ、61…インターポーザ、62…ボンディングワイヤ、63…樹脂、64…信号配線、71…周波数判定回路、72…発振回路、73,74…ハンドシェイク通信回路、75,76…認証通信回路、CT…キャリブレーション用ツール、Ra,Rb…抵抗 DESCRIPTION OF SYMBOLS 1, 3, 5, 7 ... Main body chip (microcomputer chip), 2, 4, 6, 8 ... Calibration chip (subchip), 10 ... Calibration circuit, 10a ... RAM, 11 ... Bus, 12 ... CPU, 13 ... ROM (nonvolatile memory), 14 ... RAM, 15 ... peripheral circuit, 16 ... I / O port, 17 ... serial communication circuit, 18 ... timer, 22-27, 32-37 ... terminal, 50 ... with calibration function Microcomputer 51 ... ECU (Vehicle Electronic Control Unit) 52 ... Active Element 52a ... IC (Communication Circuit) 53 ... Passive Element 54 ... Power Supply IC 55 ... Connector 56 ... Communication Interface 58 ... Program Rewriting Tool 59 ... Connector, 61 ... Interposer, 62 ... Bonding wire, 63 ... Resin, 64 ... Signal wiring, 71 ... Frequency determination circuit, 7 ... oscillation circuit, 73, 74 ... handshake communication circuit, 75, 76 ... authentication communication circuit, CT ... calibration tool, Ra, Rb ... resistance
Claims (9)
前記車両用電子制御装置に搭載された通信回路を介して当該マイクロコンピュータチップと通信可能に接続されるプログラム書換装置から当該マイクロコンピュータチップへ、前記メモリの記憶内容の書き換えを要求する書換要求が送信されて来ると作動して、当該マイクロコンピュータチップが搭載される前記車両用電子制御装置の種類に固有の書換認証用データが、前記プログラム書換装置から送信されてきたか否かを判定する認証処理を行い、その認証処理により前記固有の書換認証用データが送信されてきたと判定したならば、前記メモリ内のデータを前記プログラム書換装置から送られてくるデータに書き換えるための書換処理を行う書換制御手段と、
当該マイクロコンピュータチップの内部において前記バスと接続され、当該マイクロコンピュータチップの外部において他の半導体チップの端子と接続される接続端子と、
前記接続端子に自己の端子が接続されることで当該マイクロコンピュータチップに接続された状態になる前記他の半導体チップとしてのサブチップであって、開発段階の前記車両用電子制御装置においては当該マイクロコンピュータチップに接続されるが、完成状態の前記車両用電子制御装置においては当該マイクロコンピュータチップに接続されないサブチップが、当該マイクロコンピュータチップに接続されているか否かを判定する接続判定手段とを備えており、
更に、前記書換制御手段は、前記接続判定手段により前記サブチップが接続されていると判定された場合には、前記認証処理を行わずに前記書換処理を行うこと、
を特徴とするマイクロコンピュータチップ。 A CPU, data constituting a control program executed by the CPU, and control data referred to when the control program is executed are stored, and a nonvolatile memory in which the stored contents can be rewritten, and A microcomputer chip mounted on a vehicle electronic control device as a processing device that performs processing for controlling a control target,
A rewrite request is sent from the program rewriting device connected to the microcomputer chip via the communication circuit mounted on the vehicle electronic control device to request rewriting of the memory contents of the memory to the microcomputer chip. An authentication process for determining whether or not rewrite authentication data specific to the type of the electronic control device for a vehicle on which the microcomputer chip is mounted has been transmitted from the program rewriting device. Rewriting control means for performing rewriting processing for rewriting data in the memory with data sent from the program rewriting device if it is determined that the unique rewriting authentication data has been sent by the authentication processing When,
A connection terminal connected to the bus inside the microcomputer chip and connected to a terminal of another semiconductor chip outside the microcomputer chip;
The sub-chip as the other semiconductor chip that is connected to the microcomputer chip when its own terminal is connected to the connection terminal, wherein the microcomputer is used in the vehicle electronic control device at the development stage. The vehicle electronic control device that is connected to the chip but has a connection determination means for determining whether or not a sub chip that is not connected to the microcomputer chip is connected to the microcomputer chip in the vehicle electronic control device in a completed state. ,
Further, the rewrite control means performs the rewrite process without performing the authentication process when the connection determination means determines that the sub chip is connected.
A microcomputer chip characterized by
前記接続端子とは別の端子であって、前記サブチップが当該マイクロコンピュータチップに接続された状態の場合に前記サブチップの特定の端子が接続される接続判定用端子を備え、
前記接続判定手段は、前記接続判定用端子から特定の信号が入力されたか否かにより、前記サブチップが接続されているか否かを判定すること、
を特徴とするマイクロコンピュータチップ。 The microcomputer chip according to claim 1,
It is a terminal different from the connection terminal, and includes a connection determination terminal to which a specific terminal of the sub chip is connected when the sub chip is connected to the microcomputer chip.
The connection determination means determines whether the sub chip is connected depending on whether a specific signal is input from the connection determination terminal;
A microcomputer chip characterized by
前記接続判定手段は、前記サブチップが接続されているか否かを判定する動作を、当該マイクロコンピュータチップに電源が投入されてから一定時間が経過するまでを限度として、前記サブチップが接続されていると判定するまで行うようになっていること、
を特徴とするマイクロコンピュータチップ。 The microcomputer chip according to claim 2, wherein
The connection determining means is configured to determine whether or not the sub chip is connected, and the sub chip is connected within a certain period of time after the microcomputer chip is powered on until a predetermined time elapses. To do until it is judged,
A microcomputer chip characterized by
前記接続判定用端子の電圧は、当該接続判定用端子に前記サブチップの前記特定の端子が接続されることで特定の電圧になり、
前記接続判定手段は、前記接続判定用端子の電圧が前記特定の電圧であるか否かにより、前記サブチップが接続されているか否かを判定すること、
を特徴とするマイクロコンピュータチップ。 The microcomputer chip according to claim 2 or 3,
The voltage of the connection determination terminal becomes a specific voltage by connecting the specific terminal of the sub chip to the connection determination terminal.
The connection determination means determines whether or not the sub-chip is connected according to whether or not the voltage of the connection determination terminal is the specific voltage;
A microcomputer chip characterized by
前記接続判定手段は、前記接続判定用端子から特定周波数の信号が入力されたか否かにより、前記サブチップが接続されているか否かを判定すること、
を特徴とするマイクロコンピュータチップ。 The microcomputer chip according to claim 2 or 3,
The connection determination means determines whether or not the sub-chip is connected depending on whether or not a signal of a specific frequency is input from the connection determination terminal;
A microcomputer chip characterized by
前記接続判定手段は、前記接続判定用端子から特定の通信信号が入力されたか否かにより、前記サブチップが接続されているか否かを判定すること、
を特徴とするマイクロコンピュータチップ。 The microcomputer chip according to claim 2 or 3,
The connection determination means determines whether the sub chip is connected depending on whether a specific communication signal is input from the connection determination terminal;
A microcomputer chip characterized by
前記接続判定手段は、
前記プログラム書換装置から当該マイクロコンピュータチップへ前記サブチップと認証を行うためのサブチップ認証用データが送信されて来たか否かを判定して、前記サブチップ認証用データが送信されて来たと判定したなら、そのサブチップ認証用データを前記サブチップに送信する動作を行い、そのサブチップ認証用データが前記サブチップに適合するものであると前記サブチップにより判定されたことを示す合格通知が、前記サブチップから当該マイクロコンピュータチップに送信されて来たならば、前記サブチップが接続されていると判定すること、
を特徴とするマイクロコンピュータチップ。 The microcomputer chip according to claim 1,
The connection determination means includes
If it is determined whether or not subchip authentication data for authentication with the subchip has been transmitted from the program rewriting device to the microcomputer chip, and if it is determined that the subchip authentication data has been transmitted, An operation for transmitting the subchip authentication data to the subchip is performed, and a pass notice indicating that the subchip authentication data is determined to be compatible with the subchip is sent from the subchip to the microcomputer chip. Determining that the sub-chip is connected,
A microcomputer chip characterized by
前記接続判定手段は、前記プログラム書換装置から当該マイクロコンピュータチップに前記書換要求が送信されて来ると作動すること、
を特徴とするマイクロコンピュータチップ。 The microcomputer chip according to claim 7, wherein
The connection determination means operates when the rewrite request is transmitted from the program rewrite device to the microcomputer chip.
A microcomputer chip characterized by
前記書換認証用データと前記サブチップ認証用データは、同じフォーマットのデータであること、
を特徴とするマイクロコンピュータチップ。 The microcomputer chip according to claim 7 or claim 8,
The rewrite authentication data and the subchip authentication data are data of the same format,
A microcomputer chip characterized by
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009102166A JP2010250751A (en) | 2009-04-20 | 2009-04-20 | Microcomputer chip |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009102166A JP2010250751A (en) | 2009-04-20 | 2009-04-20 | Microcomputer chip |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2010250751A true JP2010250751A (en) | 2010-11-04 |
Family
ID=43312975
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009102166A Pending JP2010250751A (en) | 2009-04-20 | 2009-04-20 | Microcomputer chip |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2010250751A (en) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012137942A (en) * | 2010-12-27 | 2012-07-19 | Ricoh Co Ltd | Program re-writing device and electronic apparatus |
| JP2012212272A (en) * | 2011-03-31 | 2012-11-01 | Keihin Corp | Electronic control device for vehicle |
| JP5653507B1 (en) * | 2013-10-31 | 2015-01-14 | 三菱電機株式会社 | Electronic control unit to which program tool is connected |
| JP2020135829A (en) * | 2019-02-26 | 2020-08-31 | 株式会社Subaru | Reprogramming method of electronic control unit for vehicle |
-
2009
- 2009-04-20 JP JP2009102166A patent/JP2010250751A/en active Pending
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012137942A (en) * | 2010-12-27 | 2012-07-19 | Ricoh Co Ltd | Program re-writing device and electronic apparatus |
| JP2012212272A (en) * | 2011-03-31 | 2012-11-01 | Keihin Corp | Electronic control device for vehicle |
| JP5653507B1 (en) * | 2013-10-31 | 2015-01-14 | 三菱電機株式会社 | Electronic control unit to which program tool is connected |
| JP2020135829A (en) * | 2019-02-26 | 2020-08-31 | 株式会社Subaru | Reprogramming method of electronic control unit for vehicle |
| JP7152966B2 (en) | 2019-02-26 | 2022-10-13 | 株式会社Subaru | Reprogramming method for vehicle electronic control unit |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4222509B2 (en) | Storage device | |
| US7039811B2 (en) | Apparatus and method for controlling access to contents stored in card like electronic equipment | |
| EP1607978A2 (en) | Storage device | |
| US8108941B2 (en) | Processor, memory, computer system, system LSI, and method of authentication | |
| US20040059916A1 (en) | Memory card | |
| EP1845665A2 (en) | Electronic control unit with a plurality of control circuits | |
| JP3865629B2 (en) | Storage device | |
| JP2010250751A (en) | Microcomputer chip | |
| JP7172411B2 (en) | Real-time clock devices, electronic devices and moving bodies | |
| JP5293231B2 (en) | IC chip, IC card, issuing device, issuing method and issuing system | |
| JP4311067B2 (en) | Data rewriting method and electronic control device | |
| US20030107909A1 (en) | Semiconductor device | |
| JPH10111863A (en) | Electronic device | |
| JP4022040B2 (en) | Semiconductor device | |
| JP2003337748A (en) | Electronic controller | |
| JP2002070636A (en) | On-vehicle electronic controller, data rewrite system, data rewrite method, and storage medium | |
| US9495315B2 (en) | Information processing device and data communication method | |
| JP2004051056A (en) | Electronic controller for automobile | |
| JP2010286897A (en) | Electronic control unit, and program rewriting method | |
| US6182190B1 (en) | Automobile controller | |
| JPH1097419A (en) | Memory write device for electronic device | |
| JP6499052B2 (en) | IC card, IC module, and program | |
| JP5756666B2 (en) | Electronic control unit | |
| KR100690398B1 (en) | Method for authorizing usage of computer using universal serial bus port and device thereof | |
| JP5257003B2 (en) | Microcomputer |