專利名稱:程控設備的遙控編程的制作方法
現有技術本發明涉及一種程控設備的遠程編程方法以及一種具有一個接收程序數據和授權(Legitimation)的接口的裝置,并且涉及一種可遠程編程的設備,所述可遠程編程的設備包含一個處理器和一個程序存儲器。
在現代汽車中,越來越多地采用電子控制裝置來控制和調節汽車的各種功能。尤其是用這種控制單元控制汽車馬達的運行。電子控制單元需要一種執行其功能的EDV程序。由于發現程序錯誤、或者由于更新由該控制單元控制的裝置的運行參數或者要擴展或限制EDV程序的功能,往往要追加地修改這種EDV程序。為此控制單元具有一個接口,從而可以向控制單元中輸入EDV程序的相應修改并且存儲在一個程序存儲器中。然而為此卻必須汽車開到一個車間中,在車間中用一個所謂的車間測試器向控制單元中儲存新的程序數據。因為程序一般是保密技術并且必須阻止非法操作的工作方式(例如出于汽車的擔保的理由和/或運行可靠性的理由),在使用由汽車制造廠商規定的密碼機構和/或密鑰的條件下進行程序數據的傳輸。制造廠商在車間測試器中安裝保密密鑰并且在控制單元重新編程之前通過車間測試器用作其對控制單元的授權。在此保護控制單元不受直接的操作,從而也不可能通過未經授權的訪問控制單元得到其授權的識別算法并且從而推導出授權。為了避免煩瑣又費時地開進車間,能夠遠程地編程控制單元卻不以降低操作的安全性為代價是值得追求的。
由DE100 01 130 A1公知用于遠程編程控制汽車的馬達的可編程控制單元的一種裝置和一種方法。該裝置有一個接口用于經過一個無線的遠程連接接收一個遠程的檢查站的程序信息。要向汽車的控制單元傳輸的程序數據經過接口被緩存在一個緩沖存儲器中并且接著被傳輸到控制單元的一個程序存儲器中。由于往往不穩定的無線遠程連接所以需要對程序數據進行緩存,在無線遠程連接不穩定時可能出現干擾,例如出現有故障的數據傳輸或者連接中斷。只有在完全接收了程序數據以后才能夠把程序數據輸入到控制單元的存儲器中,因為在把程序數據輸入進控制單元的存儲器中的過程中中斷了汽車的運行。如果不經緩存地就把程序數據直接輸入進控制單元的存儲器中,就要在從連接位置向緩沖存儲器中遠程傳輸程序數據所需要的整個的延續時間期間中斷汽車的運行,這由于遠程傳輸時的干擾有時會持續很長時間。
在此在必須向控制單元傳輸的授權從而使控制單元接受從緩沖存儲器向它傳輸的程序數據方面卻出現了一個問題。制造廠商不希望把該授權長時間物理地存儲在汽車本身中,因為如此制造廠商就會失去對保密的控制和對授權流失的控制。
發明優點如在權利要求1、2和10中所限定的那樣,本發明提供一種對程控設備的進行遠程編程方法以及一個用于該目的的裝置,所述方法和裝置使得能夠在盡可能短時間的中斷一個其正常運行的情況下對程控設備重新進行編程,并且用所述方法和裝置可以確保授權的保密性。
通過如權利要求1所述的根據本發明的方法如此地中斷機密的授權不受控制的擴散傳播使得由檢查站向接口遠程傳輸的授權不像程序數據那樣由接口進行緩存而是毫不延遲地傳輸給所述設備,在該設備處檢驗其有效性。該方法不需要如程序數據情況那樣地在接口或者在其它的位置處授權的物理存儲器。從而授權在接口與設備之間存在的時間對于使得能夠未經授權地訪問所述授權的方式是太短了。
在如權利要求2所述根據本發明的方法中,雖然如同程序數據那樣在接口處對授權進行緩存,但是在時間上限制其有效性延續時間。在這種情況下,把有效性延續時間選擇得短到使得在一個未經授權對該授權訪問的情況下只運行到能夠利用該授權對該設備進行未經授權的編程之前。
特別優選地,通過遠程連接以無線方式傳輸授權和/或程序數據。這原則上使得所述設備具有不受限制的移動性。為了使得在無線傳輸的過程中經常出現的干擾作用降低到最小,在出現這種干擾時重復所述方法,從而確保無出錯進行程序數據傳輸。
由接口優選地把程序數據和/或授權通過一個有線的連接從接口向所述設備傳輸。在接口和設備例如兩者都安裝在一個移動裝置(例如一輛汽車或者機器人)中時在接口和設備之間的有線連接就是特別有意義的。
在從檢查站向接口傳輸程序數據之前,可以從設備的一個存儲器中例如從程序存儲器中讀取第二數據,并且向檢查站傳輸。以此方式把在所述設備中存在數據的當前狀態告知檢查站。基于第二數據的當前狀況檢查站可以相應編制新的程序數據。例如應當保留的沒有改變的運行參數或者程序部分的值不需要非必要地與程序數據一起從檢查站向接口傳輸。以此方式可以減少要傳輸程序數據的數據量,這加速了程序數據的遠程傳輸,并且由此減輕遠程傳輸的易受的干擾。在向檢查站遠程傳輸之前,有利地在接口緩存所述第二數據。該緩存使得能夠以最低的優先權,也就是說以不損害同時由設備對其正常運行要執行任務的方式,在接口收集要傳輸的第二數據,并且然后用較短的時間連續地傳輸該第二數據。這樣就把必須中斷設備正常運行的時間間期保持得盡可能地短,這是因為不存在用于控制該運行的有效程序。
以下情況是有利的把程序數據存到緩沖存儲器中之后進行遠程編程的檢驗,并且在獲得肯定的檢驗結果的情況下,才開始受該程序數據控制的設備運行。由此可以在出錯的程序數據導致可遠程編程的設備的一個錯誤運行之前,就早期地識別出和修正出錯的程序數據。
根據本發明的裝置的可遠程編程的程控設備的程序存儲器可以是任何可電擦寫永久存儲器類型,譬如EEPROM或者閃存存儲器。因為閃存存儲器每次只能是完全改寫的,所以在上述所考慮的情況下采用這樣的一個存儲器時,對于其中存儲的在變更程序時應當保留不變并因而不從檢查站向接口傳輸的數據部分,把該數據部分從閃存存儲器傳輸到接口的緩存器中并隨后與新的程序數據一起重新寫入到閃存存儲器中。
在根據本發明的裝置中所述接口可以借助于一個無線的遠程連接與一個檢查站連接。所述無線的遠程連接例如可以是一個蜂窩移動無線電連接。在此可遠程編程的設備在接口接收來自檢查站的程序數據和授權,所述授權可以是一個具有一個規定期限的有效性持續時間的授權。接口要么不延遲并且不緩存地把授權轉交給閃存存儲器要么在規定授權有效期限的情況下把授權如同程序數據那樣緩存在一個緩沖存儲器中,然后再把授權轉交到閃存存儲器中。以此方式避免一個未經授權者在裝置的某個位置訪問該授權并且在稍后的時間利用該授權去操縱程序數據。
優選地所述設備是一種控制一個裝置的控制單元。在此所述裝置例如可以是一個馬達或者一輛汽車的其它的部分。
優選地所述裝置安裝在一輛汽車中。
下面參照附圖詳細地說明本發明。附圖中
圖1是一個可遠程編程設備的示意圖;圖2是第一個本發明所述方法的流程圖;而圖3是第二個本發明所述方法的流程圖。
圖1示意地示出一個可遠程編程的設備1,所述可遠程編程的設備是一輛汽車。該汽車包含一個馬達2、一個控制單元3、一個接口4、一個天線5以及一個在控制單元3與接口4之間的有線連接6。接口4具有一個緩沖存儲器7,而控制單元3有一個閃存存儲器8和一個處理器12。通過天線5,汽車1可以與一個檢查站9按無線方式連接。檢查站9主要地具有一個計算機10以及一個天線11。計算機10可以是一個靜止的計算機例如一個個人計算機,然而也可以是一個移動設備,例如一個筆記本計算機。
汽車1運行時其馬達2由控制單元3控制。為此,在控制單元3的閃存存儲器8中存儲有用于控制的EDV程序以及馬達2運行參數的規定值。該EDV程序和運行參數必須隨時修改。修改通過檢查站9進行。為此借助于天線5和天線11構成了汽車1與檢查站9之間的無線連接。通過該無線連接把新的程序數據從檢查站9向汽車1傳輸并且緩存在接口4的緩沖存儲器7中。接著檢查站9向接口4傳輸一個授權并且從接口4向控制單元3傳輸。在控制單元3的處理器12肯定地檢驗了授權以后,閃存存儲器8存儲被緩存在緩沖存儲器7中的程序數據。在該較短的時間內汽車不運行。對于閃存存儲器8的遠程編程有兩個優選方法,這兩個方法在下面各借助于一個流程圖詳細地說明。
圖2示出第一個優選的本發明所述方法的流程圖。首先在一個第一步驟13中通過天線5、11在檢查站9和汽車1之間產生一個無線的連接。在產生連接以后于步驟14從閃存存儲器8讀取數據并且通過連接6向緩沖存儲器7傳輸,該數據被緩存在該緩沖存儲器7中。在接于其后的步驟15中,通過接口4與天線5、11之間的無線連接從汽車1向檢查站9遠程傳輸這些數據。所述數據除了本來的程序數據以外還包含一個或者多個從程序數據計算出的檢驗和數,借助于所述檢驗和數在步驟16由檢查站9的計算機10檢驗該遠程傳輸的結果。
只要在遠程傳輸數據時出現干擾,例如因為遠程傳輸被中斷或者故障進行,就重復步驟15和步驟16。如果遠程傳輸獲得成功,就在步驟17,檢查站9基于所獲得的數據利用計算機10產生新的要在閃存存儲器8中編程的程序數據。特別地,計算機10檢驗應當改變哪些運行參數或者是否應當擴展或者修正閃存存儲器8的EDV程序。
在產生新的程序數據以后,把該新的程序數據以及從中計算出的檢驗和數通過天線5、11之間的無線連接在步驟18從檢查站9向汽車1的接口4傳輸。在步驟19中,在接口4處把該程序數據與檢驗和數緩存在緩沖存儲器7中。
在步驟20,接口4借助于檢驗和數對傳輸的程序數據的完好性進行檢驗。如果接口4確定了程序數據中的一個錯誤,它就返回步驟18,以引發一次重新傳輸。
只要一判斷在緩沖存儲器7中的程序數據是無錯誤的,檢查站9就在步驟21中通過天線5、11的無線連接向接口4傳輸一個授權。在步驟22由接口4無延遲并且不經緩存地通過有線連接6向控制單元3傳輸該授權。在獲得授權之后,控制單元3的處理器12在步驟23檢驗授權的有效性。授權的存儲時間無論如何都不比處理器用來判斷該授權有效性所需要的時間長。由此防止不受控制地訪問授權。
在步驟23,如果授權是無效的,那么導致方法的中斷。如果確定授權為有效,閃存存儲器8就在步驟25存儲被緩存在緩沖存儲器7中的程序數據。
在步驟26中,借助于此時被存儲在閃存存儲器8中的被更新的程序重新接受控制單元3的正常運行并且從而重新開始汽車1的正常運行。在步驟27,向檢查站9進行一個對應的回答。接著在步驟28中斷汽車與檢查站之間的無線連接并且結束該方法。
遠程編程閃存存儲器8的另一個根據本發明的方法見于圖3的流程圖。該方法與上述的方法用相同的步驟13至21引入,從而在此可以參閱圖2的方法步驟13至21來對圖3所示的方法步驟13至21進行說明。在步驟21從檢查站9向接口7傳送授權以后,根據圖3所示的第二個方法在后續的步驟29與第一方法的偏離是在步驟29中把授權緩存在緩沖存儲器7中。這就是說接口4不需要在程序數據與授權之間加以區別,從而它的結構可以比圖2中的情況更加簡單。與圖2方法的區別之處在于圖3的方法涉及具有在時間上受限的有效性持續時間。這意味著,授權只在一個確定的預先規定的時間內被控制單元3的處理器12識別為有效。出于這樣的原因,在緩沖存儲器7中物理緩存授權對操縱的可靠性不會有顯著損害,這樣即使未經授權者成功獲得了授權,但是他在試圖操縱時也會由于處理器不再把此間運行的授權識別為有效而失敗。
在步驟30,從接口4向存儲器單元3傳輸授權并且在步驟31由處理器12檢驗授權的有效性。如前所述該有效性檢驗還包含授權在時間上的有效性。如果判斷授權的有效性是否定的并且把該授權評定為無效的,接著就在步驟24中斷所述方法。如果識別授權為有效的就繼續進行步驟25至28,步驟25至28對應于圖2的流程圖的步驟25至28,在此其說明還是參閱對圖2的說明。
以上說明的方法是根據本發明的特別優選方法。此外還可以有所述方法的變例而不脫離本發明的構思。例如圖3所示的第二個方法在傳輸程序數據的步驟18至20以前進行步驟21,從而,如果接著把所有接收的數據按其接收的順序通過接口向設備傳輸,那么授權就可以首先到達并且由處理器12檢驗。
如果相應地在通過所述設備存儲程序數據的步驟25與重新開始正常運行的步驟26之間由處理器12進行一個對與程序數據一起向所述設備傳輸的檢驗和數的檢驗并且在確定一個出錯時重復步驟25,就可以達到附加的保險。
還可以給接口4分配一個自身的授權,在每次設備重新編程時必須剛好如同檢查站的授權一樣傳輸和檢驗該授權,然后才能允許該設備重新編程。
權利要求
1.用于遠程編程一個程控設備(3)的方法,具有以下步驟(a)經過一個遠程連接從一個檢查站(9)向一個與該設備(3)相連接的接口(4)遠程傳輸程序數據;(b)在接口(4)緩存所述程序數據;(c)從檢查站(9)向接口(4)遠程傳輸一種授權;(d)不經緩存地把該授權轉交給設備(3);(e)由該設備(3)檢驗該授權;(f)在肯定的授權的情況下,把程序數據存儲進所述設備(3)的一個程序存儲器(8)中。
2.用于遠程編程一個程控設備(3)的方法,具有以下步驟(a)通過一個遠程連接從一個檢查站(9)向一個與該設備(3)相連接的接口(4)遠程傳輸程序數據;(b)在接口(4)緩存所述程序數據;(c)從檢查站(9)向接口(4)遠程傳輸一種授權;(d)把該授權轉交給該設備(3);(e)由該設備(3)檢驗該授權,在此所述檢驗包含檢驗授權的有效性持續時間;(f)在肯定的授權情況下,把程序數據存儲進所述設備(3)的一個程序存儲器(8)中。
3.根據權利要求1或2所述的方法,其特征在于,所述授權和/或程序數據通過遠程連接以無線方式傳輸。
4.根據權利要求3所述的方法,其特征在于,在出現無線傳輸的干擾的情況下重復所述方法。
5.根據以上權利要求之一所述的方法,其特征在于,所述程序數據和/或授權通過一個有線連接(6)從接口(4)向設備(3)進行傳輸。
6.根據以上權利要求之一所述的方法,其特征在于,在向接口(4)傳輸所述程序數據之前,從設備(3)的存儲器(8)讀取第二數據并且向檢查站(9)傳輸。
7.根據權利要求6所述的方法,其特征在于,在把所述第二數據向檢查站傳輸之前,把該第二數據緩存在接口(4)上。
8.根據權利要求6或7所述的方法,其特征在于,檢查站基于所述第二數據來編制該程序數據。
9.根據以上權利要求之一所述的方法,其特征在于,在該程序數據被存儲在程序存儲器(8)中之后,檢驗遠程編程的一個結果,并且在檢驗獲得肯定結果情況下開始一個受所述程序數據控制的設備(3)的運行。
10.裝置,尤其用于實施如以上權利要求之一所述方法的裝置,具有一個接口(4)用于接收程序數據和一個授權,還具有一個可遠程編程的程控設備(3),所述程控設備(3)包含一個處理器(12)和一個程序存儲器(8),其特征在于,所述接口(4)被配置成緩存所接收的程序數據、向設備(30)轉交所接收的授權,并且在通過設備(3)肯定地檢驗了授權之后向設備(3)傳輸所緩存的程序數據。
11.根據權利要求10所述的裝置,其特征在于,所述程序存儲器(8)是一個閃存存儲器或者一個EEPROM。
12.根據權利要求10或者11所述的裝置,其特征在于,所述接口(4)可以借助于一個無線的遠程連接與檢查站(9)進行連接。
13.根據權利要求10至12之一所述的裝置,其特征在于,所述接口(4)從檢查站(9)接收授權并且把該授權不加緩存地向設備(3)轉交。
14.根據權利要求10至13之一所述的裝置,其特征在于,所述設備(3)是控制一個裝置(2)的一個控制單元。
15.根據權利要求14所述的裝置,其特征在于,所述裝置(2)是一輛汽車或者一輛汽車的一部分或者可用作一輛汽車的一部分的裝置,譬如一臺馬達。
16.具有根據權利要求10-15之一所述裝置的汽車。
全文摘要
說明了遠程編程一個程控的設備(3)的方法以及一個具有一個用于接收程序數據和一個授權的接口(4)的裝置吧及一個可以遠程編程的程控的設備(3),所述程控的設備(3)包含一個處理器(12和一個程序存儲器(8)。在所述的方法中從檢查站(9)向接口(4)遠程傳輸程序數據并且在接口(4)處把程序數據緩存在一個緩沖存儲器(7)中。接著把授權從檢查站向接口(4)傳輸并且從接口(4)向設備(3)傳輸。設備(3)檢驗授權并且在獲得肯定的檢查結果時從緩沖存儲器(7)接管程序數據。
文檔編號G06F9/445GK1842765SQ200480020176
公開日2006年10月4日 申請日期2004年7月8日 優先權日2003年7月14日
發明者H·塞斯庫蒂, T·宗南賴因, G·德貝爾, N·鮑爾 申請人:羅伯特·博世有限公司