专利名称:程控设备的遥控编程的制作方法
现有技术本发明涉及一种程控设备的远程编程方法以及一种具有一个接收程序数据和授权(Legitimation)的接口的装置,并且涉及一种可远程编程的设备,所述可远程编程的设备包含一个处理器和一个程序存储器。
在现代汽车中,越来越多地采用电子控制装置来控制和调节汽车的各种功能。尤其是用这种控制单元控制汽车马达的运行。电子控制单元需要一种执行其功能的EDV程序。由于发现程序错误、或者由于更新由该控制单元控制的装置的运行参数或者要扩展或限制EDV程序的功能,往往要追加地修改这种EDV程序。为此控制单元具有一个接口,从而可以向控制单元中输入EDV程序的相应修改并且存储在一个程序存储器中。然而为此却必须汽车开到一个车间中,在车间中用一个所谓的车间测试器向控制单元中储存新的程序数据。因为程序一般是保密技术并且必须阻止非法操作的工作方式(例如出于汽车的担保的理由和/或运行可靠性的理由),在使用由汽车制造厂商规定的密码机构和/或密钥的条件下进行程序数据的传输。制造厂商在车间测试器中安装保密密钥并且在控制单元重新编程之前通过车间测试器用作其对控制单元的授权。在此保护控制单元不受直接的操作,从而也不可能通过未经授权的访问控制单元得到其授权的识别算法并且从而推导出授权。为了避免烦琐又费时地开进车间,能够远程地编程控制单元却不以降低操作的安全性为代价是值得追求的。
由DE100 01 130 A1公知用于远程编程控制汽车的马达的可编程控制单元的一种装置和一种方法。该装置有一个接口用于经过一个无线的远程连接接收一个远程的检查站的程序信息。要向汽车的控制单元传输的程序数据经过接口被缓存在一个缓冲存储器中并且接着被传输到控制单元的一个程序存储器中。由于往往不稳定的无线远程连接所以需要对程序数据进行缓存,在无线远程连接不稳定时可能出现干扰,例如出现有故障的数据传输或者连接中断。只有在完全接收了程序数据以后才能够把程序数据输入到控制单元的存储器中,因为在把程序数据输入进控制单元的存储器中的过程中中断了汽车的运行。如果不经缓存地就把程序数据直接输入进控制单元的存储器中,就要在从连接位置向缓冲存储器中远程传输程序数据所需要的整个的延续时间期间中断汽车的运行,这由于远程传输时的干扰有时会持续很长时间。
在此在必须向控制单元传输的授权从而使控制单元接受从缓冲存储器向它传输的程序数据方面却出现了一个问题。制造厂商不希望把该授权长时间物理地存储在汽车本身中,因为如此制造厂商就会失去对保密的控制和对授权流失的控制。
发明优点如在权利要求1、2和10中所限定的那样,本发明提供一种对程控设备的进行远程编程方法以及一个用于该目的的装置,所述方法和装置使得能够在尽可能短时间的中断一个其正常运行的情况下对程控设备重新进行编程,并且用所述方法和装置可以确保授权的保密性。
通过如权利要求1所述的根据本发明的方法如此地中断机密的授权不受控制的扩散传播使得由检查站向接口远程传输的授权不像程序数据那样由接口进行缓存而是毫不延迟地传输给所述设备,在该设备处检验其有效性。该方法不需要如程序数据情况那样地在接口或者在其它的位置处授权的物理存储器。从而授权在接口与设备之间存在的时间对于使得能够未经授权地访问所述授权的方式是太短了。
在如权利要求2所述根据本发明的方法中,虽然如同程序数据那样在接口处对授权进行缓存,但是在时间上限制其有效性延续时间。在这种情况下,把有效性延续时间选择得短到使得在一个未经授权对该授权访问的情况下只运行到能够利用该授权对该设备进行未经授权的编程之前。
特别优选地,通过远程连接以无线方式传输授权和/或程序数据。这原则上使得所述设备具有不受限制的移动性。为了使得在无线传输的过程中经常出现的干扰作用降低到最小,在出现这种干扰时重复所述方法,从而确保无出错进行程序数据传输。
由接口优选地把程序数据和/或授权通过一个有线的连接从接口向所述设备传输。在接口和设备例如两者都安装在一个移动装置(例如一辆汽车或者机器人)中时在接口和设备之间的有线连接就是特别有意义的。
在从检查站向接口传输程序数据之前,可以从设备的一个存储器中例如从程序存储器中读取第二数据,并且向检查站传输。以此方式把在所述设备中存在数据的当前状态告知检查站。基于第二数据的当前状况检查站可以相应编制新的程序数据。例如应当保留的没有改变的运行参数或者程序部分的值不需要非必要地与程序数据一起从检查站向接口传输。以此方式可以减少要传输程序数据的数据量,这加速了程序数据的远程传输,并且由此减轻远程传输的易受的干扰。在向检查站远程传输之前,有利地在接口缓存所述第二数据。该缓存使得能够以最低的优先权,也就是说以不损害同时由设备对其正常运行要执行任务的方式,在接口收集要传输的第二数据,并且然后用较短的时间连续地传输该第二数据。这样就把必须中断设备正常运行的时间间期保持得尽可能地短,这是因为不存在用于控制该运行的有效程序。
以下情况是有利的把程序数据存到缓冲存储器中之后进行远程编程的检验,并且在获得肯定的检验结果的情况下,才开始受该程序数据控制的设备运行。由此可以在出错的程序数据导致可远程编程的设备的一个错误运行之前,就早期地识别出和修正出错的程序数据。
根据本发明的装置的可远程编程的程控设备的程序存储器可以是任何可电擦写永久存储器类型,譬如EEPROM或者闪存存储器。因为闪存存储器每次只能是完全改写的,所以在上述所考虑的情况下采用这样的一个存储器时,对于其中存储的在变更程序时应当保留不变并因而不从检查站向接口传输的数据部分,把该数据部分从闪存存储器传输到接口的缓存器中并随后与新的程序数据一起重新写入到闪存存储器中。
在根据本发明的装置中所述接口可以借助于一个无线的远程连接与一个检查站连接。所述无线的远程连接例如可以是一个蜂窝移动无线电连接。在此可远程编程的设备在接口接收来自检查站的程序数据和授权,所述授权可以是一个具有一个规定期限的有效性持续时间的授权。接口要么不延迟并且不缓存地把授权转交给闪存存储器要么在规定授权有效期限的情况下把授权如同程序数据那样缓存在一个缓冲存储器中,然后再把授权转交到闪存存储器中。以此方式避免一个未经授权者在装置的某个位置访问该授权并且在稍后的时间利用该授权去操纵程序数据。
优选地所述设备是一种控制一个装置的控制单元。在此所述装置例如可以是一个马达或者一辆汽车的其它的部分。
优选地所述装置安装在一辆汽车中。
下面参照附图详细地说明本发明。附图中
图1是一个可远程编程设备的示意图;图2是第一个本发明所述方法的流程图;而图3是第二个本发明所述方法的流程图。
图1示意地示出一个可远程编程的设备1,所述可远程编程的设备是一辆汽车。该汽车包含一个马达2、一个控制单元3、一个接口4、一个天线5以及一个在控制单元3与接口4之间的有线连接6。接口4具有一个缓冲存储器7,而控制单元3有一个闪存存储器8和一个处理器12。通过天线5,汽车1可以与一个检查站9按无线方式连接。检查站9主要地具有一个计算机10以及一个天线11。计算机10可以是一个静止的计算机例如一个个人计算机,然而也可以是一个移动设备,例如一个笔记本计算机。
汽车1运行时其马达2由控制单元3控制。为此,在控制单元3的闪存存储器8中存储有用于控制的EDV程序以及马达2运行参数的规定值。该EDV程序和运行参数必须随时修改。修改通过检查站9进行。为此借助于天线5和天线11构成了汽车1与检查站9之间的无线连接。通过该无线连接把新的程序数据从检查站9向汽车1传输并且缓存在接口4的缓冲存储器7中。接着检查站9向接口4传输一个授权并且从接口4向控制单元3传输。在控制单元3的处理器12肯定地检验了授权以后,闪存存储器8存储被缓存在缓冲存储器7中的程序数据。在该较短的时间内汽车不运行。对于闪存存储器8的远程编程有两个优选方法,这两个方法在下面各借助于一个流程图详细地说明。
图2示出第一个优选的本发明所述方法的流程图。首先在一个第一步骤13中通过天线5、11在检查站9和汽车1之间产生一个无线的连接。在产生连接以后于步骤14从闪存存储器8读取数据并且通过连接6向缓冲存储器7传输,该数据被缓存在该缓冲存储器7中。在接于其后的步骤15中,通过接口4与天线5、11之间的无线连接从汽车1向检查站9远程传输这些数据。所述数据除了本来的程序数据以外还包含一个或者多个从程序数据计算出的检验和数,借助于所述检验和数在步骤16由检查站9的计算机10检验该远程传输的结果。
只要在远程传输数据时出现干扰,例如因为远程传输被中断或者故障进行,就重复步骤15和步骤16。如果远程传输获得成功,就在步骤17,检查站9基于所获得的数据利用计算机10产生新的要在闪存存储器8中编程的程序数据。特别地,计算机10检验应当改变哪些运行参数或者是否应当扩展或者修正闪存存储器8的EDV程序。
在产生新的程序数据以后,把该新的程序数据以及从中计算出的检验和数通过天线5、11之间的无线连接在步骤18从检查站9向汽车1的接口4传输。在步骤19中,在接口4处把该程序数据与检验和数缓存在缓冲存储器7中。
在步骤20,接口4借助于检验和数对传输的程序数据的完好性进行检验。如果接口4确定了程序数据中的一个错误,它就返回步骤18,以引发一次重新传输。
只要一判断在缓冲存储器7中的程序数据是无错误的,检查站9就在步骤21中通过天线5、11的无线连接向接口4传输一个授权。在步骤22由接口4无延迟并且不经缓存地通过有线连接6向控制单元3传输该授权。在获得授权之后,控制单元3的处理器12在步骤23检验授权的有效性。授权的存储时间无论如何都不比处理器用来判断该授权有效性所需要的时间长。由此防止不受控制地访问授权。
在步骤23,如果授权是无效的,那么导致方法的中断。如果确定授权为有效,闪存存储器8就在步骤25存储被缓存在缓冲存储器7中的程序数据。
在步骤26中,借助于此时被存储在闪存存储器8中的被更新的程序重新接受控制单元3的正常运行并且从而重新开始汽车1的正常运行。在步骤27,向检查站9进行一个对应的回答。接着在步骤28中断汽车与检查站之间的无线连接并且结束该方法。
远程编程闪存存储器8的另一个根据本发明的方法见于图3的流程图。该方法与上述的方法用相同的步骤13至21引入,从而在此可以参阅图2的方法步骤13至21来对图3所示的方法步骤13至21进行说明。在步骤21从检查站9向接口7传送授权以后,根据图3所示的第二个方法在后续的步骤29与第一方法的偏离是在步骤29中把授权缓存在缓冲存储器7中。这就是说接口4不需要在程序数据与授权之间加以区别,从而它的结构可以比图2中的情况更加简单。与图2方法的区别之处在于图3的方法涉及具有在时间上受限的有效性持续时间。这意味着,授权只在一个确定的预先规定的时间内被控制单元3的处理器12识别为有效。出于这样的原因,在缓冲存储器7中物理缓存授权对操纵的可靠性不会有显著损害,这样即使未经授权者成功获得了授权,但是他在试图操纵时也会由于处理器不再把此间运行的授权识别为有效而失败。
在步骤30,从接口4向存储器单元3传输授权并且在步骤31由处理器12检验授权的有效性。如前所述该有效性检验还包含授权在时间上的有效性。如果判断授权的有效性是否定的并且把该授权评定为无效的,接着就在步骤24中断所述方法。如果识别授权为有效的就继续进行步骤25至28,步骤25至28对应于图2的流程图的步骤25至28,在此其说明还是参阅对图2的说明。
以上说明的方法是根据本发明的特别优选方法。此外还可以有所述方法的变例而不脱离本发明的构思。例如图3所示的第二个方法在传输程序数据的步骤18至20以前进行步骤21,从而,如果接着把所有接收的数据按其接收的顺序通过接口向设备传输,那么授权就可以首先到达并且由处理器12检验。
如果相应地在通过所述设备存储程序数据的步骤25与重新开始正常运行的步骤26之间由处理器12进行一个对与程序数据一起向所述设备传输的检验和数的检验并且在确定一个出错时重复步骤25,就可以达到附加的保险。
还可以给接口4分配一个自身的授权,在每次设备重新编程时必须刚好如同检查站的授权一样传输和检验该授权,然后才能允许该设备重新编程。
权利要求
1.用于远程编程一个程控设备(3)的方法,具有以下步骤(a)经过一个远程连接从一个检查站(9)向一个与该设备(3)相连接的接口(4)远程传输程序数据;(b)在接口(4)缓存所述程序数据;(c)从检查站(9)向接口(4)远程传输一种授权;(d)不经缓存地把该授权转交给设备(3);(e)由该设备(3)检验该授权;(f)在肯定的授权的情况下,把程序数据存储进所述设备(3)的一个程序存储器(8)中。
2.用于远程编程一个程控设备(3)的方法,具有以下步骤(a)通过一个远程连接从一个检查站(9)向一个与该设备(3)相连接的接口(4)远程传输程序数据;(b)在接口(4)缓存所述程序数据;(c)从检查站(9)向接口(4)远程传输一种授权;(d)把该授权转交给该设备(3);(e)由该设备(3)检验该授权,在此所述检验包含检验授权的有效性持续时间;(f)在肯定的授权情况下,把程序数据存储进所述设备(3)的一个程序存储器(8)中。
3.根据权利要求1或2所述的方法,其特征在于,所述授权和/或程序数据通过远程连接以无线方式传输。
4.根据权利要求3所述的方法,其特征在于,在出现无线传输的干扰的情况下重复所述方法。
5.根据以上权利要求之一所述的方法,其特征在于,所述程序数据和/或授权通过一个有线连接(6)从接口(4)向设备(3)进行传输。
6.根据以上权利要求之一所述的方法,其特征在于,在向接口(4)传输所述程序数据之前,从设备(3)的存储器(8)读取第二数据并且向检查站(9)传输。
7.根据权利要求6所述的方法,其特征在于,在把所述第二数据向检查站传输之前,把该第二数据缓存在接口(4)上。
8.根据权利要求6或7所述的方法,其特征在于,检查站基于所述第二数据来编制该程序数据。
9.根据以上权利要求之一所述的方法,其特征在于,在该程序数据被存储在程序存储器(8)中之后,检验远程编程的一个结果,并且在检验获得肯定结果情况下开始一个受所述程序数据控制的设备(3)的运行。
10.装置,尤其用于实施如以上权利要求之一所述方法的装置,具有一个接口(4)用于接收程序数据和一个授权,还具有一个可远程编程的程控设备(3),所述程控设备(3)包含一个处理器(12)和一个程序存储器(8),其特征在于,所述接口(4)被配置成缓存所接收的程序数据、向设备(30)转交所接收的授权,并且在通过设备(3)肯定地检验了授权之后向设备(3)传输所缓存的程序数据。
11.根据权利要求10所述的装置,其特征在于,所述程序存储器(8)是一个闪存存储器或者一个EEPROM。
12.根据权利要求10或者11所述的装置,其特征在于,所述接口(4)可以借助于一个无线的远程连接与检查站(9)进行连接。
13.根据权利要求10至12之一所述的装置,其特征在于,所述接口(4)从检查站(9)接收授权并且把该授权不加缓存地向设备(3)转交。
14.根据权利要求10至13之一所述的装置,其特征在于,所述设备(3)是控制一个装置(2)的一个控制单元。
15.根据权利要求14所述的装置,其特征在于,所述装置(2)是一辆汽车或者一辆汽车的一部分或者可用作一辆汽车的一部分的装置,譬如一台马达。
16.具有根据权利要求10-15之一所述装置的汽车。
全文摘要
说明了远程编程一个程控的设备(3)的方法以及一个具有一个用于接收程序数据和一个授权的接口(4)的装置吧及一个可以远程编程的程控的设备(3),所述程控的设备(3)包含一个处理器(12和一个程序存储器(8)。在所述的方法中从检查站(9)向接口(4)远程传输程序数据并且在接口(4)处把程序数据缓存在一个缓冲存储器(7)中。接着把授权从检查站向接口(4)传输并且从接口(4)向设备(3)传输。设备(3)检验授权并且在获得肯定的检查结果时从缓冲存储器(7)接管程序数据。
文档编号G06F9/445GK1842765SQ200480020176
公开日2006年10月4日 申请日期2004年7月8日 优先权日2003年7月14日
发明者H·塞斯库蒂, T·宗南赖因, G·德贝尔, N·鲍尔 申请人:罗伯特·博世有限公司