专利名称:用于车辆控制器的存储器重写系统的制作方法
技术领域:
本发明涉及一种借助于从外部重写装置传送的另一种数据来重写存储在车辆控制器的存储器中的数据的存储器重写系统。
车辆经受通过一个电子控制单元(下文称作“ECU”)的各种类型的控制。这样的控制包括用于空气燃料比率、燃料喷射量、和排放的发动机相关控制;以及用于动力窗户、气囊、和ABS的车体有关控制。ECU根据由安装在车辆上的各种传感器检测的当前条件和车辆行驶状态,提供对车辆的各种类型控制。
另一方面,车辆可以包括一个防盗系统。一般地说,防盗系统电子检查由驾驶员用来启动发动机的点火钥匙是否是真的。如果确定钥匙是真的,则防盗系统把一个用来允许车辆操作的信号传送到ECU。另一方面,如果确定点火钥匙不是真的,则判断驾驶员不是授权人,并且他不能操作车辆。因而,在接收到允许信号以前,ECU通过例如停止燃料喷射不允许发动机启动。
ECU包括一个中央处理单元(CPU)、一个存储要完成的程序和数据的ROM(只读存储器)、一个为执行提供工作区域和存储计算结果的RAM(随机存取存储器)、及一个用来从各传感器接收信号和把控制信号传送到发动机各部分的I/O接口。
ROM常常包括一个诸如闪烁存储器、一个EEPROM、或一个EPROM之类的可重写存储器,以允许在其中重写程序或数据。日本专利申请公开No.63-223901描述了一种借助于安装在车辆上的ECU响应来自外部装置的请求来改变存储在ECU的EEPROM中的程序的方法。
改变存储在ECU的ROM中的程序或数据的这样一种功能,使得有必要保护程序或数据免于由外部装置存取,因而防止用户或其他第三方没有适当授权而重写存储在ROM中的程序或数据。日本专利申请公开No.3-238541描述了一种使用一个检查数据机构来确定在ECU的ROM中的程序或数据是否被篡改的车辆控制器。根据该机构,事先存储基于存储在ROM中的数据的检查数据。在车辆装运之后,ECU根据存储在ROM中的数据建立新的检查数据。ECU然后把新的检查数据与以前存储的检查数据相比较,如果他们不相同就确定数据已经被篡改数据并且接通报警灯。
用来释放上述安全特性的密钥仅对于在与汽车制造商的合同下的重写装置制造商是已知的。因而,只有由汽车制造商授权的重写装置能使用“密钥”和改变存储在该汽车ECU的ROM中的数据。
将简要描述用来改变ROM中的程序的一种典型过程。上述密钥一般由某一函数表示,该函数既提供在重写装置中又提供在ECU中。重写装置被连接到ECU上,并且然后使用其自己的函数(即密钥)对于从ECU传送的一个任意数字值计算一个函数值。重写装置然后把该函数值传送到ECU。同时,ECU使用其自己的函数(即密钥)对于相同的数字值计算一个函数值。ECU把从重写装置接收的函数值与由其本身确定的函数值相比较。如果他们相等,则ECU释放安全特性。因而,允许重写装置重写存储在ROM中的数据。如果他们不相等,那么判断该重写装置不是真的,因为重写装置和ECU具有不同的函数(密钥)。因此,不释放安全特性,并且重写装置不能重写存储在ROM中的数据。
然而,用来释放安全特性的密钥按常规存储在ECU中的ROM的不可重写区域中,从而在车辆已经装运之后,不可能用重写装置改变密钥。因而,如果密钥偶然泄密到用户或没有授权的另外第三方,则除授权的之外的重写装置能重写ROM中的密钥,由此破坏安全特性。
另一方面,如果车辆包括一个防盗系统,并且如果重写用来操作防盗系统的程序,那么会使防盗系统失效。因而,用来重写存储在ROM中的程序或数据的系统需要比防盗系统高的安全性。
本发明的一个目的在于提供一种用于车辆控制器的存储器重写系统,该存储器重写系统即使在车辆装运之后,也能改变用来释放防止存储在ECU的ROM中的程序或数据被篡改的安全特性的密钥。即使密钥已经泄密到没有授权的第三方,制造商也能使用该重写装置改变密钥,由此能够使安全特性容易地恢复。
本发明的另一个目的在于提供一种用于车辆控制器的存储器重写系统,该存储器重写系统能与防盗系统一起操作。
根据本发明的一个方面,提供一种包括一个可重写存储器的车辆控制器。可重写存储器存储用来确定是否允许对可重写存储器重写的第一安全性数据。把车辆控制器配置成,响应来自一个外部重写装置的新安全性数据的接收,删除第一安全性数据、和把新安全性数据写入可重写存储器中。可重写存储器能在诸如闪烁存储器、EPROM、和EEPROM之类的非易失性存储器中实现。因而,通过重写存储在可重写存储器中的安全性数据能容易地恢复安全特性,即使安全性数据已经泄密到第三方也防止非法重写扩散。
在本发明的一个实施例中,车辆控制器也包括一个非可重写存储器,其中存储用来删除第一安全性数据并且写入新安全性数据的程序。因而,防止重写安全性数据的程序免于被篡改。
在本发明的另一个实施例中,在单个存储器中实现可重写存储器和非可重写存储器。
在本发明的另一个实施例中,把一个防盗系统连接到车辆控制器上。在这种情况下,如果防盗系统允许关于车辆的操作,则允许对可重写存储器的重写。
根据本发明的另一个方面,提供一种用来重写包括在一个车辆控制器中的可重写存储器的重写装置。重写装置包括一个用来存储新安全性数据的存储器和一个用来传送新安全性数据的通信装置。把传送的新安全性数据写入可重写存储器中。写入可重写存储器中的安全性数据用来确定是否允许对可重写存储器重写。重写装置提供一个使用户能够建立新安全性数据的用户接口。况且,控制器能汇编来自新安全性数据的数据块。每个数据块包括一个用于新安全性数据的部分程序代码的程序代码字段、和一个用于其中存储部分程序代码的可重写存储器的前导地址的地址字段。通信装置通过串行通信传送数据块。
在本发明的一个实施例中,重写装置进一步向车辆控制器发送一个请求,以删除第一安全性数据和把传送的新安全性数据写入可重写存储器中。
根据本发明的另一个方面,重写装置存储第二安全性数据。车辆控制器把在其中安装的可重写存储器中存储的第一安全性数据与从重写装置传送的第二安全性数据相比较。如果第一安全性数据与第二安全性数据相匹配,则车辆控制器允许重写装置对可重写存储器重写。
在本发明的一个实施例中,第一安全性数据和第二安全性数据具有相同的函数。重写装置包括一个程序,以便根据第一安全性数据的函数对一个数计算一个第一函数值。车辆控制器根据第二安全性数据的函数对于该数计算一个第二函数值。车辆控制器把第一函数值与从重写装置传送的第二函数值相比较。如果第一函数值等于第二函数值,则车辆控制器允许重写装置对可重写存储器重写。
图1表示根据本发明一个实施例的一种存储器重写系统的外观;图2是方块图,表示根据本发明一个实施例的整个存储器重写系统;图3表示在根据本发明一个实施例的存储器重写系统中的ECU的一个ROM和一个CPU的形式的例子;图4表示根据本发明一个实施例的存储器重写系统的操作过程;图5是由根据本发明一个实施例的存储器重写系统执行的一个验证过程;图6是流程图,表示由根据本发明一个实施例的存储器重写系统执行的一个用来释放安全性的过程;
图7是流程图,表示由根据本发明一个实施例的存储器重写系统的ECU执行的一个用来释放安全性的过程;图8是流程图,表示由根据本发明一个实施例的存储器重写系统的重写装置执行的一个用来重写的过程;及图9是流程图,表示由根据本发明一个实施例的存储器重写系统的ECU执行的一个用来重写的过程。
参照附图将描述用来重写存储在车辆控制器的非易失性存储器中的安全性程序的本发明。然而,本发明不限于用来重写安全性程序的系统,而是适用于用来重写存储在一个非易失性存储存储器中的数据的各种系统。
图1表示根据本发明一个实施例的一种存储器重写系统的外观。存储器重写系统包括一个安装在一个车辆1上的电子控制单元(ECU)10和一个重写装置11。重写装置11由车辆1的制造商授权。ECU 10包括一个可重写ROM(未表示)。如图中所示,当把重写装置11连接到ECU 10上,并且进行对于重写装置11的一些适当操作时,释放用来防止存储在ECU 10的ROM中的程序或数据免于没有适当授权而被重写的安全特性。因而,允许重写装置重写存储在ROM中的程序或数据。
通过在ECU 10与重写装置11之间的串行通信执行重写。用户通过操作在重写装置11上的操作按钮和/或与提供在重写装置11上的显示屏幕交互作用,能把用来重写的数据发送到ECU 10。然而,重写装置不限图中所示的形式,而是可以是具有能够与ECU 10通信的协议的另一种形式。
图2是功能方块图,表示根据本发明一个实施例的整个存储器重写系统。如上所述,存储器重写系统包括安装在车辆上的ECU 10和重写装置11。重写装置11提供在ECU 10外面,并且经串行通信连接到其上。可选择地,在重写装置11与ECU 10之间可以使用并行通信。
ECU 10包括一个中央处理单元14(下文称作CPU),包括一个微型计算机和有关的电路元件;ROM 16和18,他们是非易失性存储器并且存储程序和数据;一个RAM 37(随机存取存储器),为执行提供工作区域,并且存储计算结果;及一个I/O接口38,用来从各传感器39接收信号和把控制信号传送到发动机的各部分。来自各传感器39的信号包括发动机转动速度(Ne)、发动机水温(Tw)、吸入空气温度(Ta)、电池电压(VB)、及点火开关(IGSW)。因而,根据从I/O接口38输入的一个信号,CPU 14从ROM 16和18调用一个控制程序和数据以执行计算,并且经I/O接口38把结果输出到车辆的各部分以控制车辆的各种功能。
ECU 10也包括一个接口12。接口12带有用来与重写装置11通信的协议,以便在ECU 10与重写装置11之间能够实现串行通信。
可重写ROM 16是一个从其能删除存储数据和对其能写新数据的存储器。可重写ROM 16例如能是闪烁存储器或EEPROM。通过把可重写ROM的存储器区域的一部分指定为不可改变区域、或通过使用对其在制造期间固化数据且以后不能从其删除或对其写数据的掩模ROM,能实现非可重写ROM 18。可选择地,借助于对其仅能写一次数据的一个PROM能实现ROM 18。
ROM 16和18能作为物理分离的两个存储器实现。另外,可以把单个存储器的存储器区域划分成两个区域,从而区域之一用作可重写区域,而其他用作非可重写区域。在后一种情况下,例如,在EEPROM中已经指定其中存储程序等的一个非可重写区域之后,在存储器的未填充空间中借助于一个开始地址和一个结束地址指定一个可重写区域。
现在,参照图3描述ROM 16和18及CPU的一种形式的例子。在该图中,ROM 16和18使用一个闪烁存储器实现。图3(a)表示与CPU分离地提供闪烁存储器的一种形式。当通过与重写装置11的通信输入重写操作模式时,CPU从重写装置11接收数据,并且借助于接收的数据调用用来重写闪烁存储器的一个程序。
另一方面,图3(b)表示具有一个与CPU结合构成一个芯片的内装闪烁存储器的一种形式。当响应来自重写装置的一个信号进入重写操作模式时,使用包括在CPU中的功能从重写装置传送的数据自动重写到该闪烁存储器。根据本发明的存储器重写装置适用于以上形式的任一种。
再参照图2,可重写ROM 16存储一个安全性函数f2。安全性函数f2实现用来防止存储在ROM 16中的数据被非法重写的安全特性。
非可重写ROM 18存储用来实现一个验证部分31、一个随机数发生器33、及一个重写部分35的程序。验证部分31响应用来从重写装置11释放安全性的请求,并且使用安全性函数f2和由随机数发生器33产生的一个随机数R确定重写装置11是否是真的。使用随机数R能够实现要提高的安全特性。如果确定重写装置是真的,则验证部分31释放安全持性。
此后,重写部分35删除安全性函数f2,并且从重写装置11接收一个新的安全性函数f3,以把它重写到ROM 16中。安全性函数f2可以物理或逻辑地删除。逻辑删除可以使用一个删除标志实现。更具体地说,带设置的删除标志的安全性函数f2认为在以后的过程中删除。
重写装置11带有一个安全性函数f1和一个新的安全性函数f3。安全性函数f1和存储在ECU 10的ROM 16中的安全性函数f2合作实现安全特性。如果安全性函数f2没有由任何第三人改变,则重写装置11的安全性函数f1与ECU 10的安全性函数f2相同。在另一个实施例中,安全性函数f1和f2具有一定的关系。如果该关系保持,则确定安全性函数f2没有被篡改。
在重写存储在ROM 16中的安全性函数f2之前准备新的安全性函数f3。新的安全性函数f3能通过对当前安全性函数f1进行一些变化建立。根据一个例子,新的安全性函数f3是一个与安全性函数f1具有不同表达式的函数。根据另一个例子,新的安全性函数f3是一个在函数表达式中具有与安全性函数f1不同的常数的函数。例如,当函数f1和f2是f1=f2=A×R+B(A=10和B=5)时,把新的安全性函数f3设置成f3=A+R×B(A=10和B=5)。可选择地,可以把函数f1和f2的常数A和B的值分别改变到5和10。
重写装置11也包括一个安全性释放请求部分21、一个重写请求部分23、及一个数据块汇编部分25,这些可以作为程序存储在重写装置11的一个存储器中。安全性释放请求部分21使用安全性函数f1请求ECU 10释放安全特性。
数据块汇编部分25从安全性函数f3的程序代码汇编适用于串行通信的数据块。每个数据块包括一个地址字段和一个程序代码字段。程序代码字段包含一个部分程序代码,而地址字段包含一个其中存储部分程序代码的区域的前导地址。数据块汇编部分25把安全性函数f3的程序代码划分成多片,其每一片具有一定的长度(例如8位)。程序代码的每片或每个部分程序代码,放置在一个数据块的程序代码字段中。每个部分程序代码的一个前导地址放置在数据块的地址字段中。因而,汇编数据块。
在已经释放安全特性之后,重写请求部分23串行地把表示由数据块汇编部分25汇编的新安全性函数f3的数据块传送到ECU 10。
一个防盗系统81连接到ECU 10上,从而存储器重写系统能与防盗系统81交换信息。防盗系统81从当发动机要启动时插入在一个钥匙孔内的点火钥匙抽取一个电子代码,并且把该电子代码与一个预定授权代码相比较,以检查插入的点火钥匙是否是真的。如果确定点火钥匙是真的,则防盗系统81经一个I/O接口38把一个指示允许发动机启动的信号传送到ECU 10。在接收到该允许信号时,ECU 10设置可以存储在RAM 37或ROM 16中的发动机启动允许标志,并且启动发动机。如果确定插入的点火钥匙不是真的,则不输出允许信号。因而,ECU 10不能启动发动机。尽管防盗系统81和ECU 10分别表示在图2中,但防盗系统81的一些功能可以包括在ECU 10中。例如,点火钥匙的授权可以由ECU 10完成。
参照图4和5描述表示在图2中的存储器重写系统的操作。例如,当在把重写装置11已经连接到ECU 10上之后按下重写装置11的操作按钮时,开始重写操作。可选择地,重写操作可以通过操作ECU 10开始。
在步骤41,重写装置11的安全性释放请求部分21把一个指示用于释放安全性请求的信号传送到ECU 10。ECU 10响应该信号启动一个验证过程,以便证实授权重写装置连接到其上。下面参照图5将描述验证过程。
如果ECU验证重写装置11,并且允许它对可重写ROM 16重写,则过程前进到步骤42。重写装置11的重写请求部分23把一个指示重写开始的信号传送到ECU 10,并且当准备重写时,ECU 10的重写部分35返回一个开始允许信号。在步骤43,重写装置11把一个用来转移到一个重写操作模式的请求传送到ECU 10,并且然后ECU 10的重写部分35执行一个用来转移到重写操作模式的过程。在步骤44,重写请求部分23询问ECU 10是否已经完成操作模式的转移。如果已经完成转移,则重写部分35把一个指示转移完成的信号传送到重写装置11。
在步骤45,重写请求部分23请求删除存储在可重写ROM 16中的安全性函数f2,并且响应这点,重写部分35从ROM 16删除安全性函数f2。
在这时,在重写装置11中,已经准备新的安全性函数f3。函数f3已经由数据块汇编部分25提供,作为用于传送到ECU 10的串行数据块。一般在重写装置11把用来释放安全性或通知重写开始的请求传送到ECU 10之前,建立安全性函数f3。然而,对于新安全性函数f3的这种准备可以在步骤45之前立即执行。
可以准备新安全性函数f3,例如从以前保存在重写装置11中的多个函数选择一个。可选择地,用户可以通过操纵重写装置11建立新安全性函数f3。
在步骤46,重写请求部分23把表示新安全性函数f3的数据块的第一个与指示请求对可重写ROM 16重写的一个信号一起传送到ECU 10。重写部分35从重写装置11接收数据块,并且把包括在数据块中的一个部分程序代码写到可重写ROM 16。把部分程序代码写入由数据块的地址字段指示的一个地址中。一旦已经完成部分程序代码的写,重写部分35就把写完成的通知传送到重写装置11。作为对此的响应,重写装置11把下一个数据块传送到ECU 10。重复该步骤46,直到把安全性函数f3的所有程序代码写入到ROM 16中。
一旦已经完成所有程序代码的写,重写请求部分23就把一个用来释放重写操作模式的请求传送到ECU 10(步骤47)。作为对此的响应,重写部分35释放重写操作模式。由于重写装置11已经把存储在ROM 16中的安全性函数变化到f3,所以把由重写装置11使用的函数也设置到f3,从而以后借助于安全性函数f3能实现安全特性。在把新安全性函数f3已经写到ROM 16之后,可以删除以前的安全性函数f1。
图5表示与图4中步骤41相对应的验证过程的一个例子。在步骤51,重写装置11的安全性释放请求部分21请求ECU 10传送一个任意数R。作为对此的响应,调用ECU 10的验证部分31。验证部分31调用产生随机数的随机数发生器33。验证部分31从由随机数发生器33产生的随机数选择数R,并且把数R传送到重写装置11(步骤52)。可选择地,可以使用一个不同的机构来设置任意数R。重写装置11使用已经存储在其中的安全性函数f1,以便根据K1=f1(R)对于数据R确定函数f1的函数值K1(步骤53)。
另一方面,ECU 10的验证部分31使用存储在可重写ROM 16中的安全性函数f2,以便根据K2=f2(R)对于数R确定一个函数值K2(步骤54)。重写装置11的安全性释放请求部分21把函数值K1传送到ECU 10(步骤55)。验证部分31把来自重写装置11的函数值K1与内部确定的函数值K2相比较(步骤56),并且如果他们相等,则确定重写装置11是真的。以后,验证部分31检查存储在RAM 37中的发动机启动允许标志是否是值一(步骤57)。如果允许标志是一,则这意味着已经从防盗系统81输出了发动机启动允许信号,并且把一个指示重写允许的信号传送到重写装置11(步骤58)。
因而,安全特性需要释放以便重写存储在可重写ROM中的数据,从而使用当前安全性函数f1和f2用来释放安全特性。借助于安装在车辆中的防盗系统,只有已经释放了防盗系统,才释放用于存储器重写系统的安全特性,由此防止非法驾驶员重写数据。
图6是流程图,表示由存储器重写装置11执行的一个用来释放安全性的过程。在步骤61,重写装置11从ECU 10请求一个数R。重写装置11以后从ECU 10接收数R(步骤62)。在接收到数R时,重写装置11使用已经保持在其中的安全性函数f1对于数R计算函数值K1(步骤63)。以后,重写装置11把函数值K1传送到ECU 10(步骤64)。
图7是流程图,表示由ECU 10执行的一个用来释放安全性的过程。ECU 10从重写装置11接收对于数R的请求。在接收到该请求时,ECU 10设置来自随机数的数R(步骤72),并且把它传送到重写装置11(步骤73)。ECU然后使用已经保持在其中的安全性函数f2对于数R计算函数值K2(步骤74)。
ECU 10从重写装置11接收函数值K1(步骤75),并且把值K1与值K2相比较(步骤74)。如果他们相等,则ECU 10检查发动机启动允许标志是否是一(步骤77)。如果标志是一,则过程前进到步骤78以设置一个重写允许标志,由此指示允许重写装置11重写。如果在步骤76值不相等,或者在步骤77没有把发动机启动允许标志设置到值一,那么把重写允许标志设置到零(步骤79),以指示不允许重写装置重写。
图8是流程图,表示重写装置11执行的一个用来重写的过程。在步骤81,重写装置11传送用来重写到ECU 10的请求。该请求实际可以包括表示在图4中的用于重写开始的通知、用来转移到重写操作模式的请求等。在响应用来重写的请求接收由ECU 10提供的重写允许时(步骤82),重写装置11建立新安全性函数f3的数据块(步骤83)。使用上述的重写装置11能任意建立新安全性函数f3。重写装置11然后把表示新安全性函数f3的数据块传送到ECU 10(步骤84)。
图9是流程图,表示由ECU 10执行的一个用来重写的过程。在从重写装置11接收到用来重写的请求时(步骤91),ECU 10检查把重写允许标志是否设置到一(步骤92)。如果把标志设置到一,这意味着已经证明重写装置11是真的,那么ECU等待从重写装置11传送的新安全性函数f3。事实上,在步骤92与93之间能执行诸过程,如图4中所示的至重写操作模式的转移或从可重写ROM删除当前安全性函数f2。
以后,在接收到新安全性函数f3时(步骤93)时,ECU把该函数f3写到可重写ROM 16。因而,借助于新安全性函数f3重写已经存储在可重写ROM 16中的安全性函数f2。
权利要求
1.一种车辆控制器,包括一个用来存储用于确定是否允许对可重写存储器重写的第一安全性数据的可重写存储器;其中把车辆控制器配置成,响应来自一个外部重写装置的新安全性数据的接收,删除第一安全性数据、和把新安全性数据写入可重写存储器中。
2.根据权利要求1所述的车辆控制器,其中用来删除第一安全性数据和写新安全性数据的程序存储在一个非易失性存储器中。
3.根据权利要求1所述的车辆控制器,其中防盗系统连接到车辆控制器上;及其中如果防盗系统允许关于车辆的操作,则允许对可重写存储器的重写。
4.根据权利要求1所述的车辆控制器,其中以闪烁存储器、EPROM、和EEPROM的任何形式实现可重写存储器。
5.根据权利要求2所述的车辆控制器,其中以单个存储器的形式实现可重写存储器和非可重写存储器。
6.一种重写装置,用来重写包括在一个车辆控制器中的一个可重写存储器;一个存储器,用来存储新安全性数据;一个通信装置,用来传送新安全性数据,以把新安全性数据写入可重写存储器中;及其中写入可重写存储器中的安全性数据用来确定是否允许对可重写存储器重写。
7.根据权利要求6所述的重写装置,其中可重写存储器存储用于确定是否允许对可重写存储器的重写的第一安全性数据;及重写装置请求车辆控制器删除第一安全性数据、和把传送的新安全性数据写入可重写存储器中。
8.根据权利要求6所述的重写装置,进一步包括一个使用户能够建立新安全性数据的用户接口。
9.根据权利要求6所述的重写装置,其中把控制器进一步配置成汇编来自新安全性数据的串行数据块;及其中通信装置通过串行通信传送串行数据块。
10.一种用于车辆控制器的存储器重写系统,包括一个可重写存储器,安装在车辆控制器上,可重写存储器存储第一安全性数据,第一安全性数据用来确定是否允许对可重写存储器的重写;一个重写装置,用来把新安全性数据传送到车辆控制器;及其中把车辆控制器配置成删除第一安全性数据、和把新安全性数据写入可重写存储器中。
11.根据权利要求10所述的存储器重写系统,其中用来删除第一安全性数据和用来写新安全性数据的程序存储在一个非可重写存储器中。
12.根据权利要求10所述的存储器重写系统,其中使用重写装置任意建立新安全性数据。
13.根据权利要求10所述的存储器重写系统,其中一个防盗系统连接到车辆控制器上;及其中如果防盗系统允许关于车辆的操作,则允许对可重写存储器的重写。
14.根据权利要求10所述的存储器重写系统,其中重写装置存储第二安全性数据;及把车辆控制器配置成把第一安全性数据与从重写装置传送的第二安全性数据相比较,并且如果第一安全性数据与第二安全性数据相匹配则允许对可重写存储器重写。
15.根据权利要求10所述的存储器重写系统,其中第一安全性数据和第二安全性数据具有相同的函数;重写装置包括一个程序,以便根据第一安全性数据的函数对一个数计算一个第一函数值;及把车辆控制器配置成,根据第二安全性数据的函数对于该数计算一个第二函数值、把第一函数值与从重写装置传送的第二函数值相比较、及如果第一函数值等于第二函数值则允许重写装置对可重写存储器重写。
16.根据权利要求15所述的存储器重写系统,其中该数在车辆控制器中从随机数产生,并且把该数从车辆控制器传送到重写装置。
17.根据权利要求10所述的存储器重写系统,其中经串行通信传送新安全性数据。
18.一种用来重写在车辆控制器中的可重写存储器中存储的数据的方法,该方法包括接收从一个外部重写装置传送到车辆控制器的新安全性数据;删除存储在可重写存储器中的第一安全性数据,第一安全性数据用来确定是否允许对可重写存储器的重写;及把新安全性数据写入可重写存储器中。
19.根据权利要求18所述的方法,其中由在安装在车辆控制器上的一个可重写存储器中存储的程序,进行删除第一安全性数据和写新安全性数据。
20.根据权利要求18所述的方法,其中防盗系统连接到车辆控制器上;及其中如果防盗系统允许关于车辆的操作,则允许对可重写存储器的重写。
21.根据权利要求18所述的方法,其中重写装置存储第二安全性数据;及允许对可重写存储器的重写的确定包括把第一安全性数据与从重写装置传送的第二安全性数据相比较;如果第一安全性数据与第二安全性数据相匹配,则允许对可重写存储器的重写。
22.根据权利要求21所述的方法,其中第一安全性数据和第二安全性数据具有相同的函数;其中允许对可重写存储器的重写的确定包括根据在车辆控制器中的第一安全性数据的函数对一个数计算一个第一函数值;根据在可重写装置中的第二安全性数据的函数对该数计算一个第二函数值;把第一函数值与第二函数值相比较;及如果第一函数值等于第二函数值,则允许重写装置对可重写存储器的重写。
全文摘要
一种用于一个车辆控制器的存储器重写系统,包括车辆控制器和外部重写装置。车辆控制器包括一个存储第一安全性数据的可重写存储器。第一安全性数据用来确定是否允许对可重写存储器重写。重写装置把新安全性数据传送到车辆控制器。车辆控制器删除第一安全性数据,并且把新安全性数据写入可重写存储器中。重写新安全性数据由存储在一个非可重写存储器中的一个程序进行。
文档编号G06F12/14GK1315275SQ0111161
公开日2001年10月3日 申请日期2001年3月16日 优先权日2000年3月16日
发明者屋敷哲也, 松浦正典, 水尾直彦 申请人:本田技研工业株式会社