WO1990007185A1 - Dispositif de traitement de donnees comportant une memoire non volatile electriquement effaçable et reprogrammable - Google Patents

Dispositif de traitement de donnees comportant une memoire non volatile electriquement effaçable et reprogrammable Download PDF

Info

Publication number
WO1990007185A1
WO1990007185A1 PCT/FR1989/000660 FR8900660W WO9007185A1 WO 1990007185 A1 WO1990007185 A1 WO 1990007185A1 FR 8900660 W FR8900660 W FR 8900660W WO 9007185 A1 WO9007185 A1 WO 9007185A1
Authority
WO
WIPO (PCT)
Prior art keywords
reset
signal
programming
register
data processing
Prior art date
Application number
PCT/FR1989/000660
Other languages
English (en)
Inventor
Michel Ugon
Original Assignee
Bull Cp8
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bull Cp8 filed Critical Bull Cp8
Priority to JP2501087A priority Critical patent/JPH0831046B2/ja
Priority to KR1019900701861A priority patent/KR950001833B1/ko
Publication of WO1990007185A1 publication Critical patent/WO1990007185A1/fr
Priority to NO903630A priority patent/NO307395B1/no
Priority to US08/327,891 priority patent/US5566323A/en

Links

Classifications

    • GPHYSICS
    • G11INFORMATION STORAGE
    • G11CSTATIC STORES
    • G11C16/00Erasable programmable read-only memories
    • G11C16/02Erasable programmable read-only memories electrically programmable
    • GPHYSICS
    • G11INFORMATION STORAGE
    • G11CSTATIC STORES
    • G11C16/00Erasable programmable read-only memories
    • G11C16/02Erasable programmable read-only memories electrically programmable
    • G11C16/06Auxiliary circuits, e.g. for writing into memory
    • G11C16/32Timing circuits
    • GPHYSICS
    • G11INFORMATION STORAGE
    • G11CSTATIC STORES
    • G11C16/00Erasable programmable read-only memories
    • G11C16/02Erasable programmable read-only memories electrically programmable
    • G11C16/06Auxiliary circuits, e.g. for writing into memory
    • G11C16/10Programming or data input circuits
    • G11C16/20Initialising; Data preset; Chip identification
    • GPHYSICS
    • G11INFORMATION STORAGE
    • G11CSTATIC STORES
    • G11C16/00Erasable programmable read-only memories
    • G11C16/02Erasable programmable read-only memories electrically programmable
    • G11C16/06Auxiliary circuits, e.g. for writing into memory
    • G11C16/22Safety or protection circuits preventing unauthorised or accidental access to memory cells
    • G11C16/225Preventing erasure, programming or reading when power supply voltages are outside the required ranges

Definitions

  • the invention relates to a data processing device comprising at least one processing unit, such as a microprocessor, and at least one electrically erasable and reprogrammable non-volatile memory at least partially under the control of the processing unit.
  • processing unit such as a microprocessor
  • electrically erasable and reprogrammable non-volatile memory at least partially under the control of the processing unit.
  • the non-volatile memory contains data which must not be altered when the device is powered up or cut off.
  • the instructions constituting the operating program of the device can be written to a non-volatile memory.
  • the non-volatile memory that contains the instructions cannot be erased.
  • non-volatile memories which are reprogrammable that is to say whose contents can be modified.
  • programming must be taken in the broad sense, and signifies all actions resulting in a modification of the content of the memory, that is to say a writing or an erasing of the content of 'at least part of said memory.
  • known logic circuits are supplied at a voltage of 5 volts, while the programming voltage of the non-volatile electrically erasable and reprogrammable memories is generally situated in a range of approximately 12 to 20 volts. Due to the low energy required to modify their content, data processing devices have been designed using the same power source to supply both the voltage required for the logic circuit and the programming voltage of the non-volatile memories. with which they are associated. The supply voltage of the entire device corresponds to one of the two necessary voltages, and a converter circuit is provided to obtain the other.
  • the power source supplies the voltage necessary for the logic circuit, and a converter, such as a diode pump, makes it possible to obtain the voltage necessary for programming the non-volatile memory.
  • a non-volatile memory of this type can be incorporated there to keep track of accumulated debits and / or credits, as well as residual purchasing power, which are data likely to change from one use to another. , but which it is nevertheless necessary to keep, because they are important for the implementation of the system.
  • the programming can be carried out at the request of the outside world, the processing unit then checking in this case the legitimacy of the request and the course of operations.
  • Data processing devices comprising at least one processing unit and an electrically erasable and erasable non-volatile memory can be constituted by an assembly formed on a single substrate, then producing a monolithic microprocessor, possibly self-programmable, if the microprocessor can itself modify the data recorded in non-volatile memory, without intervention from the outside world.
  • a monolithic microprocessor possibly self-programmable, if the microprocessor can itself modify the data recorded in non-volatile memory, without intervention from the outside world.
  • the programming voltage is a voltage necessary for modifying the non-volatile memory, that is to say for writing or erasing, and it is applied during a modification phase at the same time as a corresponding control signal, that is to say a write validation or erase signal.
  • Such an erratic modification phenomenon can occur in particular at power-up, or during a power cut in the assembly. Indeed, it may happen that the converter is able to deliver a voltage of sufficient level for programming non-volatile memory, while the minimum level necessary for the proper functioning of the logic assemblies of the device is not yet or n is no longer present. If simultaneously the programming voltage is applied and an erase or write validation signal is transmitted transiently to the memory circuit, then the erase or write order is taken into account. In this case, the entire device can assume completely unpredictable behavior, since information is modified in a completely uncontrolled manner. 5
  • the devices described in this publication are designed to release the blocking means just before the reinitialization of the non-volatile memory control circuits, which is necessary before the launch of any write operation or erasure in memory.
  • the circuits for prohibiting the application of the programming voltage are timed so that their effect ceases after a certain time following the powering up of the device, from which it is considered that the circuits are stabilized. As soon as their action ceases, the reset order can be issued.
  • the timing circuit which prohibits the application of the programming voltage for a determined period after power up is absolutely not suitable for all environments in which a memory is likely to be placed. non-volatile, and in particular does not ensure the reinitialization of the registers safely, and in particular does not prevent an erratic programming of the non-volatile memory during this reinitialization phase.
  • the invention therefore aims to remedy these drawbacks, by proposing means which make it possible to prohibit programming of the non-volatile memory during the reset phases of the system in which this memory is incorporated, without it being necessary to '' make subsequent adjustments during commissioning.
  • the invention makes use of the fact that a reset phase can only take place when a reset command, also called reset signal, is applied in different places of the device.
  • the reset order appears following a reset request which can be automatic, which is the case for example when powering up a device, after the minimum operating voltage has been reached, or even an order reset can follow a request caused either by the device itself or by the user during operation.
  • the request results in a reset request signal.
  • a reset request signal is said to be active when its level is such that it is taken into account by the device so that the reset order is issued; it is inactive when its level is such that the reset order cannot be issued.
  • a reset request signal is either active in the high state or active in the low state.
  • a data processing device comprising at least one processing unit and at least one non-volatile erasable and electrically programmable memory, at least under the partial control of the processing unit, is characterized in that it includes means for detecting the level of the logic circuit reset request signals, controlling means for blocking the application of at least one signal necessary for programming the non-volatile memory, at least as long as the level of a reset request signal is such that said signal is active.
  • the invention is therefore particularly advantageous because it no longer implements the use of empirical considerations of delay after switching on, but uses values which are constant from one device to another. Indeed, for example for a device whose nominal operating voltage is 5 volts, and for which the reset signal is active in the low state, it suffices to check that the value of the reset request signal is close to d '' a zero value to prevent the application of a voltage necessary for programming.
  • the known devices of the prior art did not allow a prohibition on the application of the programming voltage when a reset took place during operation or following power-up, since the time constant causing the blocking of programming in these devices of the prior art only appeared on power-up.
  • the prohibition of the application of a voltage necessary for programming is effective regardless of when the reset request signal appears.
  • it is certain that the application of a voltage necessary for programming is prohibited during the entire duration of the reset phase, since it is an active signal during the entire reset phase which is used to control the means for blocking the programming voltage. Indeed, the reset command is present only if the signal application is active.
  • the invention is applicable to any type of data processing device in which the processing unit has more or less partial control over the programming of the non-volatile memory, that is to say that 'It can be applied in particular to self-programming microprocessors, and whether it applies equally to monolithic microprocessors or not.
  • FIG. 1 is a block diagram of a variant of a data processing device according to the invention.
  • FIG. 1 is schematically illustrated a first embodiment of a device according to the invention.
  • the device (1) comprises a central processing unit (2) or processor executing a program recorded in a read-only memory (3) designated by its acronym ROM, from the English Read Only Memory.
  • the central unit can contain or be associated with a random access memory (4), also called volatile memory, and designated by its acronym RAM, from the English Random Access Memory.
  • a random access memory also called volatile memory, and designated by its acronym RAM, from the English Random Access Memory.
  • the central unit receives the supply voltage V cc from the device.
  • the device contains a non-volatile memory (5) of the electrically erasable and programmable type.
  • this memory is called the reprogrammable memory.
  • the reprogrammable memory (5) includes a programming voltage input V p _, a write validation signal input WE and an erase validation signal input EE, as well as data lines D n and addresses n .
  • Data lines and addresses are managed in a known manner by the processing unit (2), and data and address buses, partially shown here so as not to overload, are interconnected between the processing unit processing (2) and the address and data lines of the memory.
  • the reprogrammable memory (5) also includes a clock signal input CL. The clock can belong to the device, or even belong to a third-party device to which it should be connected.
  • the signals of WE validation of writing or erasing EE originate from corresponding outputs CWE and CEE of the processing unit, and applying the programming voltage V "within the non-volatile memory (5), is subordinated to a corresponding request from the processing unit.
  • the clock signal is obtained from an external signal.
  • validation of writing or erasing can be carried out differently depending on the type of memory used, and it may happen that additional inputs are necessary.
  • the diagram is here to illustrate that in general the programming voltage is not applied alone, but must be applied in combination with a write or erase order.
  • circuits internal to the reprogrammable memory (5), or associated with the latter, which have not been shown so as not to overload the figure, and which are known per se, are provided for blocking the programming voltage V_ p as long as a request for writing or erasing is not served in the memory.
  • circuits are not part of the present invention, but are described in more detail for example in the book by the company Intel already cited in the preamble to the application. Generally, these internal circuits detect the presence of a request on a WE or EE input of the non-volatile memory to manage internally the passage of the programming voltage.
  • the programming voltage V pp can be obtained from the supply voltage V cc necessary for the circuits device logic. This voltage V cc is applied directly to an input of the central unit and, in the case where it is different from the voltage V pp , which ⁇ which happens in the majority of cases, with current technologies, a converter (6) is provided to obtain the programming voltage from the supply voltage. For example, if the nominal supply voltage V cc is 5 volts, and the nominal programming voltage V pp is 18 volts, the converter (6) can be constituted by a diode pump.
  • the device (1) comprises means (7, 8) for prohibiting the application of the programming voltage V pp during the reset phases.
  • a detector (8) is provided which measures the value of the voltage of the signal RESET request for reinitialization of the device and which delivers at its output a signal controlling the blocking means (7) the programming voltage, so as to prohibit the application of said voltage, as long as the value of the reset request signal is such that this signal can be taken into account to activate the reset, that is to say when said signal has reached a threshold RAZ1 from which II must be considered as active.
  • the means for detecting the reset request signal detect the level of this signal and cause the application of a voltage necessary to programming when the level is less than or equal to the threshold. Conversely, when this signal is active in the high state, the blocking of the application of the programming voltage is caused when the reset request signal reaches a level close to the value of the nominal operating voltage of the device's logic circuits.
  • Known circuits allow a reset request to be made automatically on power-up, using a circuit measuring the supply voltage V cc and delivering a reset signal for example as soon as the minimum operating voltage V cc min is reached, or when the value of the supply voltage is intermediate between the minimum value and the nominal value.
  • the detector (8) of the level of the reset signal also causes the application of the reset order to the processing unit (2).
  • the input (81) of the detector (8) receives the reset signal emitted for example following the powering up of the system.
  • the means for obtaining this reset signal have not been shown here, so as not to overload the figure.
  • An output (82) of the detector is connected to an input of the blocking means (7) of the programming voltage, and another output (83) of the detector is connected to the reset input of the processing unit.
  • This structure allows that as long as the reset signal appearing at the input of the detector is not of sufficient level, and that this signal is considered as not significant of a reset request, then on the one hand, the output ( 82) of the detector (8) connected to an input of the blocking means (7) delivers a signal such that the application of the programming voltage can be authorized.
  • the blocking means (7) are also controlled by a detector (9) delivering a signal prohibiting the application of the programming voltage if the minimum operating voltage of the logic circuits of the device is not reached.
  • the blocking means (7) authorize the application of the programming voltage, and if a request to program the reprogrammable memory takes place, then it can be taken into account.
  • the detector (8) delivers at its output (83) a signal corresponding to a non-activation of the reset of the processing unit (2).
  • the detector (8) is a threshold detector without hysteresis, so that, as soon as the value of the reset signal applied to its input (81) is such that this signal can be validated, then these outputs (82 , 83) pass into a state such that, on the one hand, the blocking means (7) are activated, and that simultaneously an order causing the reinitialization of the processing unit is applied to the input of the latter. Conversely, as soon as the level of the signal applied to the input (81) of the detector is such that this signal should no longer be considered as active, then the outputs (82, 83) pass into an opposite state.
  • the switchover threshold of the detector (8) is determined differently depending on whether the active state of the reset signal is considered to be the low state or the high state.
  • the reset request signal applied to the input (81) must be considered as active in the low state, which means that the value of this signal is liable to vary between the nominal value of operation and the zero value
  • the appearance of a reset signal results in a transition of the signal applied to the input (81) of the detector (8), between the nominal value and the zero value.
  • the reset request signal disappears, after the device registers have been reset to zero, then the signal applied to the detector input goes from zero to nominal value.
  • a reset request signal which appears results in a falling edge of the signal applied to the input of the detector (8), and the disappearance of the reset request signal results in the appearance of a rising edge at the same entrance.
  • the threshold detector so that the tilting threshold is between the nominal supply value and the zero value.
  • the threshold detector will be chosen so that the tilting occurs when the signal applied to the input (81) of the detector on the order of 4 volts, and in the case where the reset signal is active in the high state, the switching threshold will for example be 2 volts.
  • these values are not limiting, but they show that it is preferable that the switching value is close to the value for which the reset signal is not active, but for that a change of state of this signal, between its inactive state and its active state, be taken into account very quickly, so as not to waste time for reinitialization. This makes it possible to very quickly apply the effective reset order to the processing unit on the one hand, and a signal causing the blocking of the application of the programming voltage by the blocking means (7), somewhere else.
  • the blocking means (7) are interposed between the output of the converter (6) when it is present and the input of the programming voltage V pp of the non-volatile memory.
  • the assembly constituted by the blocking means (7) and the threshold detector circuit (8), for detecting the blocking threshold RAZ1 constitutes an electronic threshold switch, authorizing that the output voltage of the converter (6 ) is applied to the input of the reprogrammable memory (5) when the reset reset request signal reaches a sufficient value RAZ1 at which it can be taken into account to cause the reset of the logic circuits of the device.
  • the WE write or EE erase validation commands come from the central unit (2). However, as long as the logic circuits of the central unit (2) are not stabilized, a write enable or erase signal can be accidentally transmitted to the non-volatile memory. Consequently, in a variant not shown, provision is made for circuits for blocking these signals, also controlled by the threshold detector (8), to prevent the transmission of such a signal which would come from the central unit (2). until the reset signal has a sufficient value.
  • This circuit (9) is a threshold detector whose function is to prohibit the application of the programming voltage each time the supply voltage V cc is less than a given value which is the minimum value for which the circuits device logic are working properly.
  • This circuit is known per se, and it was mentioned in the preamble of this request. It makes it possible, in addition to the circuits specific to the present invention, which are active during the system reset phases, to prohibit the application of the programming voltage when the device is powered on or off, or when accidental voltage drop.
  • this detector (9) associated with the blocking means (7) is complementary to the action of the detector (8) of the level RAZ1 of the reset signal associated with said blocking means (7) of the application of the programming voltage, so that the programming voltage V pp cannot be applied to the corresponding input terminal of the reprogrammable memory (5) when either the level of the supply voltage V cc or the signal level reset request is not compatible.
  • the blocking means (7) are for example constituted by a transistor assembly (73) operating in all or nothing mode, which allows the programming voltage V pp to pass when the reset request signal is no longer active.
  • the internal circuit of the blocking means (7) is mounted in such a way that the control electrode (74) of the transistor assembly (73) receives the signal from the circuit (8) which detects the value of the signal of reset request.
  • the input (71) of the blocking means is connected to the output of the converter (6) or, in general, to the circuit delivering the programming voltage, if it is independent of the supply circuit of the logic circuits, and the exit (72) blocking means (7) is connected to the input of the programming voltage V pp of the reprogrammable memory (5).
  • the signal applied to the input (71) of the blocking means (7) is transmitted to the drain of the MOS transistor circuit, while the output (72) is connected to the source of the same circuit.
  • a resistor (75) is placed between the control electrode, i.e. the grid, and the ground.
  • the detector circuit (8) is a threshold detector without hysteresis. This circuit is chosen so as to emit at its output a signal making the transistor assembly (73) conductive when the reset signal is no longer active.
  • FIG. 3 illustrates the case where not only the reset request signal is taken into account to block the application of the programming voltage V pp on the reprogrammable memory (5), but also the case where the level is also taken into account. the supply voltage of the device's logic circuits.
  • the control means (7) are arranged in this case to take into account the signal from the detector (8) of the level of the reset request signal and / or the signal from the detector (9) of the level of the supply voltage. .
  • the detector (9) is also a threshold detector, which delivers at its output a control signal from the blocking means (7), authorizing programming, if a request to this effect takes place, when the supply voltage is included between the minimum value V ccmin for which the logic circuits begin to operate correctly and the nominal voltage V cc supply name.
  • the detector (9) delivers a signal authorizing the application of the programming voltage as soon as the voltage is for example 4 volts, in the case where the circuits logic work properly from 3 volts.
  • the control means (7) are, in this case, arranged for example as follows: they comprise the first transistor (73) already mentioned which receives on one of its electrodes the signal from the converter (6), and another electrode of which is connected via the output (72) of the blocking means (7) to the input V pp of the reprogrammable memory (5); the control electrode (74) of said transistor receives the signal from the detector (8) for measuring the level of the reset request signal, and a second transistor (76), of which the control electrode (77) is connected at the output of the detector (9) of the supply voltage, is interposed between the resistor (75) and the common point at the output of the detector (8) and at the control electrode (74) of the first transistor (73 ) > so that a second electrode of this second transistor (76) is connected to said common point, and that its third electrode is connected to the resistor (75).
  • the first transistor (73) conducts when a signal is applied to its control electrode (74), via the reset request signal detector (8) and that simultaneously the second transistor (76) is non-conductive.
  • the second transistor (76) In order to block programming, a signal must be applied to its control electrode (77), which is the case when the - 21 -
  • detector (9) detects that the supply voltage is lower than the minimum value of correct functioning of the logic circuits of the device.
  • the blocking means (7) of the programming voltage constitute a controlled switch which authorizes the application of said programming voltage V pp only when the supply value is correct and when the reset signal n is not active.
  • the detector (8) has a single output connected both to the control electrode of the locking means and to the reset input of the processing unit (2). This is possible in cases where the technology used allows the same signal level to be used for control and for reset.
  • the circuit which has just been illustrated has the drawback, however, that the application of the programming voltage is authorized as soon as the reset order disappears. Due to the response times of the various circuits, it may happen that the order to release the application of the programming voltage is taken into account before the reset order has disappeared, and a transient occurs simultaneously in the processing circuits, which validates an erasure or write order in an uncontrolled manner, so that erratic information can possibly be written in the reprogrammable memory.
  • the two detection circuits (8 bis, 10) have different detection thresholds (RAZ1, RAZ2), so that when a reset reset request signal appears at the input of these circuits, the first circuit (8) delivers a blocking signal of the means (7) before the second circuit (10) has activated the reset signal of the processing unit (2), in order to allow that, when a reset request signal appears, the blocking of the application of the programming voltage is effective before the reset command is applied, and when the reset request signal applied to the input of the detection circuits (8a, 10) passes from one active state to a non active state, the unlocking is effective after the reset order applied to the corresponding input of the processing unit (2) has disappeared.
  • There is therefore a temporal sequencing between the application of the different control signals which increases the operational safety of the device.
  • the blocking precedes the reinitialization phase and the unblocking follows the end of the reinitialization phase.
  • the circuit of FIG. 4 is therefore very efficient since it allows the reset order of the circuits of the device to disappear before the authorization of an application of the programming voltage occurs. Furthermore, this circuit includes the means for blocking the programming voltage. when the minimum supply voltage is not reached, so that when power is applied, authorization to apply the programming voltage can only take place after the minimum operating voltage has been reached on the one hand, and on the other hand when the reset signal is not active. In the event of accidental or voluntary withdrawal of the supply voltage, the presence of the supply voltage detection circuit (9) leads to a blocking of the authorization to apply the programming voltage V pp from that the supply voltage becomes less than or equal to the minimum correct operating voltage.
  • either the authorization to apply the programming voltage is given at the same time as the reset order. disappears, or said authorization is delayed with respect to the disappearance of the reset order, but this delay depends solely on the speed of transition of the level of the voltage of the reset signal, which can be very fast.
  • the reinitialization is carried out according to a programmed sequencing, controlled by the clock of the device, so that the reinitialization can, in exceptional cases, be prolonged after the signal itself has disappeared.
  • the devices described with regard to the preceding variants are such that when the request signal for reset is no longer active, authorization to apply the programming voltage is given. It can therefore happen, in this case, that a write or an erasure is made accidentally while the reset is not completely complete from the moment when the authorization to apply the programming voltage is granted " if a corresponding order appears.
  • the device of the invention comprises at least one register (11), the output of which is connected to the blocking means (7) of the programming voltage V pp of the reprogrammable memory (5), and of which the reset input is connected by means of a combinatorial circuit (12) on the one hand at the output of a circuit (13) for automatic reset at power-up, and on the other hand at the system reset request line by preferably during operation by means of a detector (8) of the level of the reset request signal, so that said signal is taken into account from a determined threshold.
  • the data input of the register (11) is connected to a data output of the central unit (2), so as to be controlled by the latter.
  • the register (11) is connected to the clock (14) driving the device.
  • the automatic reset circuit (13) is for example constituted by a voltage detector associated with a pulse generator which sends a reset order to the register (11) as soon as the supply voltage V cc reaches the minimum value of correct functioning of the device's logic circuits. After its reset, the output of the register (11) delivers a signal so that the blocking means (7) prohibit the application of the programming voltage to the reprogrammable memory (5).
  • the processing unit (2) must load the register (11) in a configuration such that the output of this register is in a state opposite to that in which it is positioned during reset. For this, a
  • This device is therefore particularly efficient since the register (11) is placed in a configuration
  • the blocking means (7) are activated as long as no writing
  • the register (11) consists of an elementary storage cell which
  • 3 -, 5 c is preferably placed in a determined state upon reinitialization.
  • the application of the validation signals for writing WE or for erasing EE is also overloaded in the state of registers (15, 16) which are initialized on setting energized in a state corresponding respectively to the prohibition of the application of the write validation signal and the erase validation signal.
  • the outputs of these last two registers (15, 16) are respectively connected to the write validation WE and erase EE inputs of the reprogrammable memory (5).
  • Such a direct connection is carried out in the case where the output levels of said registers are compatible with the input levels necessary for the validation of writing or erasing in the reprograramable memory. If the levels are not compatible, then it is necessary to provide a converter between the output of a register and the corresponding input of the reprogrammable memory.
  • the processing unit loads by its output (CV pp ), in synchronism with the clock, the register (11) for controlling the means (7) of blocking in a state authorizing the application of the programming voltage, and simultaneously, it loads the register (15 and / or 16) in a state corresponding to the authorization of the application of the write validation signal and / or validation validation, depending on the required operation.
  • outputs (CWE, CEE) of the processing unit (2) are connected to the data inputs of the registers (15) and (16) respectively.
  • This embodiment is particularly advantageous because, it may happen that one of the registers is positioned in an unwanted state upon reinitialization, but it is unlikely that all of the registers accidentally position themselves in an unwanted configuration.
  • FIG. 6 illustrates a variant in which the registers (11, 15, 16) are shift registers, with serial input and parallel outputs, which therefore each comprise a non-unit number of flip-flops or cells, the reinitialization inputs of which are common, and connected to the combinational circuit (12) identical to that of FIG. 5 receiving either the automatic reset signal, at power-up, or a reset request signal during operation, and whose loading, which s 'performed sequentially, is synchronized by the clock (14) of the device, so that the processing unit must execute a routine comprising several instructions to load each of these registers.
  • the registers 11, 15, 16
  • serial input and parallel outputs which therefore each comprise a non-unit number of flip-flops or cells, the reinitialization inputs of which are common, and connected to the combinational circuit (12) identical to that of FIG. 5 receiving either the automatic reset signal, at power-up, or a reset request signal during operation, and whose loading, which s 'performed sequentially, is synchronized by the
  • the processing unit has outputs (CV pp , CWE, CEE) connected to the data inputs of the registers 11, 15, 16 respectively, to allow the loading of the registers required by the desired operation. Furthermore, a single loading configuration of each of these registers authorizes the application of the signal which it controls, that is to say the authorization of the application of the programming voltage V for the register (11). , authorizing the application of the write validation signal WE for the register (15), authorizing the application of the erasing validation signal EE for the register (16).
  • each register is associated with a different combinational circuit, a first (17) for the register.
  • Each combinational circuit contains as many inputs as the corresponding register contains flip-flops, so that the state of each of the flip-flops of a register is reflected at all times in the corresponding combinational circuit. Furthermore, the combinational circuit corresponding to a register carries a single output which is connected to the corresponding input of the reprogrammable memory which it controls. This link is direct if the signals are compatible, or takes place via adapter circuits or converters if the signals are not compatible.
  • the output of the circuit (17) associated with the register (11) is connected to the control input of the means (7) for blocking the programming voltage V pp , while the outputs of the circuits combinatorics (18 and 19) are directly connected respectively to the write validation and erase validation inputs of the reprogrammable memory (5).
  • the device described in FIG. 6 operates as follows: when writing is required, the register (11) must be positioned in a state corresponding to the authorization of the application of the programming voltage v pp " e ⁇ simultaneously position the register (15) in a state corresponding to the authorization of the application of the write validation signal WE, by executing particular routines for loading each of these registers. Likewise, to authorize a erasing operation, it will be necessary to load the register (11) for authorizing the application of the programming voltage V pp , then the register (16) for authorizing the application of the erasing validation signal EE.
  • the device is particularly reliable, since the multiplication of the number of cells necessary to constitute each register makes it very unlikely that an accidental initialization positions them in a state corresponding to an authorization of the corresponding command .
  • FIG. 7 illustrates a variant in which the set of registers is combined so as to form a single shift register (20) which is connected to a combinational circuit (21), comprising as many inputs as the register contains flip-flops, and which comprises an output (210) for controlling the application of the programming voltage V pp , an output (211) for controlling the validation signal write WE, and an output (212) for controlling the erasure validation signal EE.
  • This structure makes it possible to use only one addressing mode when a write or erase operation has to be carried out, resulting in a systematic loading of the register (20). In this case, the register will be loaded with different contents depending on whether it is a writing operation or total or partial erasure of the content of the reprogrammable memory (5).
  • a loading output (CC) of the processing unit (2) is connected to the serial data input of the register (20).
  • the reset of the register (20) is carried out in a similar manner to that which occurs in the case of FIG. 6, that is to say that it takes place either at the moment of powering up by application of an automatic reset signal by the circuit (13) reacting as a function of the level of the supply voltage V cc , or on a reset reset command during normal operation of the device, a combinational circuit (12) performing a logical OR function allowing one or the other of these commands to be taken into account.
  • the program memory can contain several routines of complete each corresponding to a specific operation (writing, total or partial deletion) performed on the reprogrammable memory (5).
  • the various variants which have just been described offer an increasing degree of security during the reinitialization of the device, to prevent the data contained in reprogrammable non-volatile memory (5) from being modified or erased.
  • the choice of one or other of the variants is made according to the complexity of the device and / or the level of security required.
  • the memory (3) containing the operating program of the processing unit does not contain any complete routine allowing writing or erasing of the reprogrammable memory (5).
  • the processing unit cannot command an operation of this kind by mistake.
  • the program is arranged to be able to write in the volatile memory (4) a routine for writing or erasing the reprogrammable memory (5): this consists in writing instructions in the volatile memory in the form of data. .
  • a routine for writing or erasing the reprogrammable memory (5) this consists in writing instructions in the volatile memory in the form of data. .
  • the invention is therefore particularly easy to implement on any type of data processing device, in which the reprogrammable memory (5) can be either totally or partially reprogrammed by the processing unit (2), as well as it is understandable that it can be applied to monolithic devices or not.
  • the reprogrammable memory (5) can be either totally or partially reprogrammed by the processing unit (2), as well as it is understandable that it can be applied to monolithic devices or not.
  • it is particularly applicable to self-programmable monolithic microprocessors whose programming voltage V pp of the non-volatile memory is delivered from the general supply voltage source, and for which it is necessary to provide security at the power on and off, as well as during reset phases.

Abstract

L'invention concerne un dispositif de traitement de données comportant au moins une unité de traitement (2) de données, et au moins une mémoire non volatile (5) effaçable et reprogrammable électriquement, au moins sous contrôle partiel de l'unité de traitement. Le dispositif est caractérisé en ce qu'il comporte des moyens de détection (8) d'un signal de demande de réinitialisation des registres du dispositif, commandant des moyens (7) entraînant le blocage de l'application d'au moins un signal (Vpp, WE, EE) nécessaire à la programmation de la mémoire non volatile (5) au moins lorsque ledit signal de demande de réinitialisation (RAZ) des registres du dispositif possède un niveau suffisant (RAZ1) pour activer la réinitialisation. Une application particulièrement intéressante de ce dispositif concerne les microprocesseurs monolithiques et/ou autoprogrammables.

Description

DISPOSITIF DE TRAITEMENT DE DONNEES COMPORTANT UNE MEMOIRE NON VOLATILE ELECTRIQUEMENT EFFAÇABLE ET REPROGRAMMABLE.
L'invention est relative à un dispositif de traitement de données comportant au moins une unité de traitement, telle qu'un microprocesseur, et au moins une mémoire non volatile électriquement effaçable et reprogrammable au moins partiellement sous le contrôle de l'unité de traitement.
Dans un dispositif de traitement de données, la mémoire non volatile contient des données qui ne doivent pas être altérées lors de la mise sous tension ou d'une coupure de l'alimentation électrique du dispositif. Ainsi, en particulier, au moins une partie des instructions constituant le programme de fonctionnement du dispositif peut être inscrite dans une mémoire non volatile. En général, la mémoire non volatile qui contient les instructions n'est pas effaçable. Cependant, il existe des mémoires non volatiles qui sont reprogrammables, c'est-à-dire dont le contenu peut être modifié.
Certaines de ces mémoires nécessitent pour leur modification un effacement préalable, par exemple par une exposition à une source de rayonnement ultraviolet. Ce type de mémoire non volatile reprogrammable nécessite une intervention physique du monde extérieur pour la reprogrammation, au moins lors de la phase d'effacement, de sorte qu'il n'est pas possible d'utiliser de telles mémoires dans des systèmes dans lesquels la reprogrammation est totalement contrôlée par l'unité de traitement. Afin de remédier à cet inconvénient, on a conçu des mémoires non volatiles reprogrammables, dans lesquelles l'écriture ou l'effacement s'effectue grâce à l'application de signaux électriques de niveaux compatibles avec les niveaux usuellement rencontrés dans les dispositifs de traitement de données. Ces mémoires sont souvent désignées par l'abréviation EEPROM, qui est contituée par les initiales de leur appelation anglaise
(Electrically Erasable Programmable Read Only Memory).
Dans la suite de la présente description, le terme "programmation" doit être pris au sens large, et signifie toutes actions ayant pour conséquence une modification du contenu de la mémoire, c'est-à-dire une écriture ou un effacement du contenu d'une partie au moins de ladite mémoire.
Ainsi, à titre d'exemple, des circuits logiques connus sont alimentés sous une tension de 5 volts, alors que la tension de programmation des mémoires non volatiles électriquement effaçables et reprogrammables est généralement située dans une plage d'environ 12 à 20 volts. En raison de la faible énergie nécessaire à la modification de leur contenu, on a conçu des dispositifs de traitement de données utilisant la même source d'alimentation pour fournir à la fois la tension nécessaire au circuit logique et la tension de programmation des mémoires non volatiles auxquelles ils sont associés. La tension d'alimentation de l'ensemble du dispositif correspond à l'une des deux tensions nécessaires, et un circuit convertisseur est prévu pour obtenir l'autre. Généralement, avec les circuits connus, la source d'alimentation fournit la tension nécessaire au circuit logique, et un convertisseur, tel qu'une pompe à diodes, permet d'obtenir la tension nécessaire à la programmation de la mémoire non volatile.
Il est clair que l'on peut envisager et concevoir des systèmes dans lesquels les tensions d'alimentation des circuits logiques et de programmation de la mémoire non volatile seraient identiques. Dans ce cas, le convertisseur ne serait plus présent. L'intérêt de mémoires non volatiles effaçables électriquement et reprogrammables est évident, car elles peuvent être programmées directement sur commande de l'unité de traitement, sans intervention de l'extérieur, ce qui autorise par exemple que l'unité de traitement modifie elle-même le programme qui y est contenu, ou inscrive lors d'une utilisation, des données qui seront nécessaires pour une prochaine utilisation, tout en étant susceptibles d'être modifiées au cours de cette prochaine utilisation, ou d'une utilisation ultérieure.
C'est par exemple le cas dans les systèmes de traitement de données utilisant une carte à microcircuits, comportant au moins un microprocesseur et une mémoire non volatile, pour des applications bancaires ou de paiement. Une mémoire non volatile de ce type peut y être incorporée pour conserver la trace des débits et/ou des crédits cumulés, de même qu'un pouvoir d'achat résiduel, qui sont des données susceptibles de changer d'une utilisation à l'autre, mais qu'il est néanmoins nécessaire de conserver, car elles sont importantes pour la mise en oeuvre du système.
Bien entendu, la programmation peut être effectuée sur requête du monde extérieur, l'unité de traitement contrôlant alors dans ce cas la légitimité de la requête et le déroulement des opérations.
Des dispositifs de traitement de données comportant au moins une unité de traitement et une mémoire non volatile effaçable et programmable électriquement peuvent être constitués par un ensemble formé sur un seul substrat, réalisant alors un microprocesseur monolithique, éventuellement autoprogrammable, si le microprocesseur peut lui-même modifier les données inscrites en mémoire non volatile, sans intervention du monde extérieur. Une telle structure, lorsqu'elle possède une seule source d'alimentation présente néanmoins des inconvénients car il peut arriver que, dans certains cas de fonctionnement transitoire, le contenu de la mémoire non volatile soit 5 modifié accidentellement, alors que l'unité de traitement n'exerce aucun contrôle.
En effet, il peut arriver que la tension de programmation et les signaux de commande soient commutés de façon Q erratique, alors que tous les circuits logiques du dispositif de traitement ne sont pas stabilisés.
La tension de programmation est une tension nécessaire à la modification de la mémoire non volatile, c'est-à-dire à 5 l'écriture ou à l'effacement, et elle est appliquée lors d'une phase de modification en même temps qu'un signal de commande correspondant, c'est-à-dire un signal de validation d'écriture ou d'effacement.
0 Un tel phénomène de modification erratique peut survenir notamment à la mise sous tension, ou lors d'une coupure de tension de l'ensemble. En effet, il peut arriver que le convertisseur soit en mesure de délivrer une tension de niveau suffisant pour la programmation de la mémoire non c volatile, alors que le niveau minimum nécessaire au bon fonctionnement des ensembles logiques du dispositif n'est pas encore ou n'est plus présent. Si simultanément la tension de programmation est appliquée et un signal de validation d'effacement ou d'écriture est transmis de 0 façon transitoire au circuit de la mémoire, alors l'ordre d'effacement ou d'écriture est pris en compte. Dans ce cas, le dispositif entier peut prendre un comportement complètement imprévisible, puisque des informations se trouvent modifiées de façon totalement incontrôlée. 5
Il peut encore arriver que de tels phénomènes surviennent pendant la phase de réinitialisation des circuits logiques du dispositif, c'est-à-dire après que la tension minimum de fonctionnement des circuits ait été atteinte, mais lors d'une phase où l'unité de traitement n'a pas encore le contrôle total des opérations. Il faut savoir que la phase de réinitialisation peut demander plusieurs cycles d'horloge, au cours desquels il peut, par accident, survenir des ordres d'écriture ou d'effacement de la mémoire non volatile.
On a remédié partiellement à ces inconvénients, en réalisant des circuits qui permettent d'interdire l'application de la tension de programmation tant que la tension d'alimentation des circuits entourant la mémoire non volatile n'est pas à un niveau suffisant. Ainsi, par exemple, dans le "Memory Components Handbook" de la société Intel, édition 1983, chapitre 5 traitant des mémoires non volatiles électriquement effaçables et reprogrammables, il est décrit divers dispositifs de protection en écriture ou en effacement qui interdisent la commutation de la tension de programmation et/ou des signaux de validation tant que la tension d'alimentation n'est pas à un niveau suffisant. A cet effet, dans une mémoire non volatile, la tension de programmation est commutée par l'intermédiaire d'un commutateur électronique en réponse à un ordre d'effacement ou d'écriture. Les circuits de mesure de la tension d'alimentation des circuits logiques interdisent toute commutation de la tension de programmation, en bloquant le commutateur, tant que la tension d'alimentation des circuits logiques n'est pas à son niveau minimum requis.
Par ailleurs, les dispositifs décrits dans cette publication sont agencés pour libérer les moyens de blocage juste avant la réinitialisation des circuits de contrôle de la mémoire non volatile, qui est nécessaire avant le lancement de toute opération d'écriture ou d'effacement en mémoire. Pour cela, les circuits d'interdiction de l'application de la tension de programmation sont temporises pour que leur effet cesse après un certain temps suivant la mise sous tension du dispositif, à partir duquel on considère que les circuits sont stabilisés. Dès que leur action cesse, l'ordre de réinitialisation peut être émis.
Ces précautions peuvent s'avérer insuffisantes puisque les dispositifs de blocage dont il vient d'être fait mention ne sont pas actifs pendant la phase de réinitialisation des circuits associés à la mémoire et, ce qui est encore plus important, ils ne tiennent absolument pas compte du fait que l'unité de traitement à laquelle la mémoire est destinée à être associée, peut être réinitialisée selon un processus totalement différent de celui des circuits propres à la mémoire non volatile.
Il en résulte que le circuit de temporisation qui interdit l'application de la tension de programmation pendant une durée déterminée après la mise sous tension n'est absolument pas adapté à tous les environnements dans lesquels est susceptible d'être placée une t.elle mémoire non volatile, et en particulier ne permet pas d'assurer la réinitialisation des registres en toute sécurité, et notamment n'empêche pas une programmation erratique de la mémoire non volatile pendant cette phase de réinitialisation.
L'invention a donc pour but de remédier à ces inconvénients, en proposant des moyens qui permettent d'interdire une programmation de la mémoire non volatile lors des phases de réinitialisation du système dans lequel est incorporée cette mémoire, sans qu'il soit nécessaire d'effectuer d'adaptations ultérieures lors de la mise en service. L'invention utilise le fait qu'une phase de réinitialisation ne peut avoir lieu que lorsqu'un ordre de réinitialisation, encore appelé signal de réinitialisation, est appliqué en différents endroits du dispositif. L'ordre de réinitialisation apparaît suite à une demande de réinitialisation qui peut être automatique, ce qui est le cas par exemple à la mise sous tension d'un dispositif, après que la tension minimum de fonctionnement est été atteinte, ou bien encore un ordre de réinitialisation peut faire suite à une demande provoquée soit par le dispositif lui-même, soit .par l'utilisateur en cours de fonctionnement. La demande se traduit par un signal de demande de réinitialisation.
La production de cet ordre de réinitialisation n'entre pas dans le cadre de la présente invention. Il est par ailleurs connu qu'un signal de demande de réinitialisation est dit actif quand son niveau est tel qu'il est pris en compte par le dispositif pour que l'ordre de réinitialisation soit émis ; il est inactif lorsque son niveau est tel que l'ordre de réinitialisation ne peut pas être émis. Selon le dispositif, un signal de demande de réinitialisation est soit actif à l'état haut, soit actif à l'état bas. Il est actif à l'état haut, et à contrario inactif à l'état bas lorsqu'il est nécessaire que sa valeur soit par exemple proche de la tension nominale de fonctionnement du dispositif pour que la réinitialisation puisse avoir lieu, et dans ce cas il faut que sa valeur soit nulle pour qu'il soit inactif ; il est actif à l'état bas, et à contrario inactif à l'état haut, lorsque les conducteurs par lesquels transite ce signal doivent être portés à un potentiel nul pour qu'ils soient pris en compte pour que la réinitialisation puisse avoir lieu, et lorsque lesdits conducteurs doivent être portés à un potentiel proche de la tension nominale de fonctionnement pour que la réinitialisation ne puisse pas avoir lieu. Selon l'invention, un dispositif de traitement de données comportant au moins une unité de traitement et au moins une mémoire non volatile effaçable et programmable électriquement, au moins sous le contrôle partiel de l'unité de traitement, est caractérisé en ce qu'il comporte des moyens pour détecter le niveau des signaux de demande de réinitialisation des circuits logiques, commandant des moyens pour bloquer l'application d'au moins un signal nécessaire à la programmation de la mémoire non volatile, au moins tant que le niveau d'un signal de demande de réinitialisation est tel que ledit signal est actif.
L'invention est donc particulièrement avantageuse car elle ne met plus en oeuvre l'utilisation de considérations empiriques de délai après la mise sous tension, mais utilise des valeurs qui sont constantes d'un dispositif à l'autre. En effet, par exemple pour un dispositif dont la tension nominale de fonctionnement est de 5 volts, et pour lesquels le signal de réinitialisation est actif à l'état bas, il suffit de vérifier que la valeur du signal de demande de réinitialisation est proche d'une valeur nulle pour interdire l'application d'une tension nécessaire à la programmation.
En outre, les dispositifs connus de l'art antérieur ne permettaient pas une interdiction de l'application de la tension de programmation alors qu'une réinitialisation avait lieu en cours de fonctionnement ou suite à la mise sous tension, puisque la constante de temps entraînant le bloquage de la programmation dans ces dispositifs de l'art antérieur n'apparaissait qu'à la mise sous tension. Avec la présente invention, l'interdiction de l'application d'une tension nécessaire à la programmation est effective quel que soit le moment auquel le signal de demande de réinitialisation apparaît. En outre, avec les ' moyens mis en oeuvre dans la présente invention, on est certain que l'application d'une tension nécessaire à la programmation est interdite pendant toute la durée de la phase de réinitialisation, puisque c'est un signal actif pendant toute la phase de réinitialisation qui est utilisé pour commander les moyens de blocage de la tension de programmation. En effet, l'ordre de réinitialisation n'est présent que si le signal' de demande est actif.
Il va de soi que l'invention est applicable à tout type de dispositif de traitement de données dans lequel l'unité de traitement possède le contrôle plus ou moins partiel de la programmation de la mémoire non volatile, c'est-à-dire qu'elle peut s'appliquer en particulier aux microprocesseurs autoprogrammables, et qu'elle s'applique indifféremment aux microprocesseurs monolithiques ou non.
D'autres caractéristiques et avantages de la présente invention apparaîtront avec la description ci-après faite en regard des figures annexées sur lesquelles :
- la figure 1 est un schéma de principe d'une variante d'un dispositif de traitement de données conforme à l'invention ;
- les figures 2 et 3 illustrent deux variantes des moyens de blocage avec leur environnement ;
- les figures 4 à 7 sont des schémas de principe d'autres variantes du dispositif.
Sur la figure 1 on a illustré schematiquement un premier mode de réalisation d'un dispositif conforme à l'invention. Le dispositif (1) comporte une unité centrale (2) ou de traitement exécutant un programme enregistré dans une mémoire à lecture seule (3) désignée sous son sigle anglo- saxon ROM, de l'anglais Read Only Memory.
L'unité centrale peut contenir ou être associée à une mémoire à accès aléatoire (4), encore appelée mémoire volatile, et désignée par son sigle RAM, de l'anglais Random Access Memory.
L'unité centrale reçoit la tension d'alimentation Vcc du dispositif.
Par ailleurs, conformément à l'invention, le dispositif contient une mémoire non volatile (5) du type électriquement effaçable et programmable. Dans la suite de la description, cette mémoire est appelée la mémoire reprogrammable.
Afin de permettre les opérations d'écriture ou d'effacement, la mémoire reprogrammable (5) comporte une entrée de tension de programmation Vp_, une entrée de signal de validation d'écriture WE et une entrée de signal de validation d'effacement EE, ainsi que des lignes de données Dn et d'adresses n. La gestion des lignes de données et d'adresses est assurée de façon connue par l'unité de traitement (2), et des bus de données et d'adresses, partiellement représentés ici pour ne pas surcharger, sont interconnectés entre l'unité de traitement (2) et les lignes d'adresses et de données de la mémoire. La mémoire reprogrammable (5) comporte également une entrée de signal d'horloge CL. L'horloge peut appartenir au dispositif, ou bien encore appartenir à un dispositif tiers auquel il devrait être connecté.
Dans le cas où la gestion de l'écriture ou de l'effacement est assurée par l'unité de traitement (2), les signaux de validation d'écriture WE ou d'effacement EE proviennent de sorties correspondantes CWE et CEE de l'unité de traitement, et l'application de la tension de programmation V » à l'intérieur de la mémoire non volatile (5), est subordonnée à une requête correspondante issue de l'unité de traitement.
Ainsi, dans les applications bancaires, lorsqu'un tel dispositif est inclu dans une carte à microcircuits, le signal d'horloge est obtenu à partir d'un signal extérieur.
Egalement, la validation de l'écriture ou de l'effacement peut être effectuée différemment selon le type de mémoire utilisée, et il peut arriver que des entrées complémentaires soient nécessaires. Le schéma est ici pour illustrer qu'en général la tension de programmation n'est pas appliquée seule, mais doit être appliquée en combinaison avec un ordre d'écriture ou d'effacement.
Egalement, des circuits internes à la mémoire reprogrammable (5), ou associés à celle-ci, qui n'ont pas été représentés pour ne pas surcharger la figure, et qui sont connus en soi sont prévus pour bloquer la tension de programmation V_p tant qu'une requête en écriture ou en effacement n'est pas signifiée à la mémoire.
Ces circuits n'entrent pas dans le cadre de la présente invention, mais sont décrits plus en détail par exemple dans le livre de la société Intel déjà cité dans le préambule de la demande. D'une façon générale, ces circuits internes détectent la présence d'une requête sur une entrée WE ou EE de la mémoire non volatile pour gérer en interne le passage de la tension de programmation.
La tension de programmation Vpp peut être obtenue à partir de la tension d'alimentation Vcc nécessaire aux circuits logiques du dispositif. Cette tension Vcc est appliquée directement à une entrée de l'unité centrale et, dans le cas où elle est différente de la tension Vpp, ce~ qui arrive dans la majorité des cas, avec les technologies actuelles, un convertisseur (6) est prévu pour obtenir la tension de programmation à partir de la tension d'alimentation. Par exemple, si la tension d'alimentation nominale Vcc est de 5 volts, et que la tension de programmation nominale Vpp est de 18 volts, le convertisseur (6) peut être constitué par une pompe à diodes.
Conformément à la présente invention, le dispositif (1) comporte des moyens (7, 8) pour interdire l'application de la tension de programmation Vpp pendant les phases de réinitialisation. A cet effet, dans un mode de réalisation, on prévoit un détecteur (8) qui mesure la valeur de la tension du signal RAZ de demande de réinitialisation du dispositif et qui délivre à sa sortie un signal commandant les moyens de blocage (7) de la tension de programmation, de façon à interdire l'application de ladite tension, tant que la valeur du signal de demande de réinitialisation est telle que ce signal peut être pris en compte pour activer la réinitialisation, c'est-à-dire lorsque ledit signal a atteint un seuil RAZ1 à partir duquel II doit être considéré comme actif.
Ainsi, dans le cas où le "signal de réinitialisation est actif à l'état bas, les moyens de détection du signal de demande de réinitialisation détectent le niveau de ce signal et entraînent l'interdiction de l'application d'une tension nécessaire à la programmation lorsque le niveau est inférieur ou égal au seuil. A l'inverse, lorsque ce signal est actif à l'état haut, le blocage de l'application de la tension de programmation est entraîné lorsque le signal de demande de réinitialisation atteint un niveau proche de la valeur de la tension nominale de fonctionnement des circuits logiques du dispositif.
Des circuits connus permettent qu'une demande de réinitialisation soit effectuée automatiquement à la remise sous tension, à l'aide d'un circuit mesurant la tension d'alimentation Vcc et délivrant un signal de réinitialisation par exemple dès que la tension minimale de fonctionnement Vcc min est atteinte, ou bien lorsque la valeur de la tension d'alimentation est intermédiaire entre la valeur minimale et la valeur nominale.
De préférence, comme l'illustre la figure 1, le détecteur (8) du niveau du signal de réinitialisation entraîne également l'application de l'ordre de réinitialisation à l'unité de traitement (2). A cet effet, l'entrée (81) du détecteur (8) reçoit le signal de réinitialisation émis par exemple à la suite de la mise sous tension du système. Les moyens pour obtenir ce signal de réinitialisation n'ont pas été représentés ici, afin de ne pas surcharger la figure.
Une sortie (82) du détecteur est reliée à une entrée des moyens de blocage (7) de la tension de programmation, et une autre sortie (83) du détecteur est reliée à l'entrée de réinitialisation de l'unité de traitement. Cette structure permet que tant que le signal de réinitialisation apparaissant à l'entrée du détecteur n'est pas de niveau suffisant, et que ce signal est considéré comme non significatif d'une demande de réinitialisation, alors d'une part, la sortie (82) du détecteur (8) reliée à une entrée des moyens de blocage (7) délivre un signal tel que l'application de la tension de programmation peut être autorisée. Comme on le verra plus loin, les moyens de blocage (7) sont également pilotés par un détecteur (9) délivrant un signal interdisant l'application de la- tension de programmation si la tension minimale de fonctionnement des circuits logiques du dispositif n'est pas atteinte. Ainsi, en l'absence d'un signal de demande de réinitialisation à l'entrée (81) du détecteur (8), et lorsque la tension minimale de fonctionnement est atteinte, alors les moyens de blocage (7) autorisent l'application de la tension de programmation, et si une requête en programmation de la mémoire reprogrammable a lieu, alors elle peut être prise en compte.
Lorsque la première sortie (82) est dans l'état qui vient d'être mentionné, car le signal le réinitialisation n'est pas suffisant pour être considéré comme actif, alors le détecteur (8) délivre à sa sortie (83) un signal correspondant à une non activation de la réinitialisation de l'unité de traitement (2).
De préférence, le détecteur (8) est un détecteur de seuil sans hystérésis, de façon que, dès lors que la valeur du signal de réinitialisation appliquée à son entrée (81) est telle que ce signal peut être validé, alors ces sorties (82, 83) passent dans un état tel que, d'une part, les moyens de blocage (7) sont activés, et que simultanément un ordre entraînant la réinitialisation de l'unité de traitement est appliqué à l'entrée de cette dernière. A l'inverse, dès que le niveau du signal appliqué à l'entrée (81) du détecteur est tel que ce signal ne doit plus être considéré comme actif, alors les sorties (82, 83) passent dans un état opposé. Par exemple, si la tension nominale de fonctionnement des circuits logiques du dispositif est de 5 volts, alors le niveau apparaissant aux sorties du détecteur passe instantanément de 0 à 5 volts, ou de 5 volts à 0 volt dès que le signal appliqué à l'entrée (81) du détecteur franchit le seuil de basculement. Enfin, selon que l'on considère que l'état actif du signal de réinitialisation est l'état bas ou l'état haut, le seuil de basculement du détecteur (8) est déterminé différemment. Par exemple, dans le cas où le signal de demande de réinitialisation appliqué à l'entrée (81) doit être considéré comme actif à l'état bas, ce qui signifie que la valeur de ce signal est susceptible de varier entre la valeur nominale de fonctionnement et la valeur zéro, l'apparition d'un signal de réinitialisation se traduit par une transition du signal appliqué à l'entrée (81) du détecteur (8), entre la valeur nominale et la valeur zéro. A l'inverse, lorsque le signal de demande de réinitialisation disparaît, après que la remise à zéro des registres du dispositif ait été effectuée, alors le signal appliqué à l'entrée du détecteur passe de la valeur zéro à la valeur nominale. En d'autres termes, dans un tel cas, un signal de demande de réinitialisation qui apparaît se traduit par un front descendant du signal appliqué à l'entrée du détecteur (8), et la disparition du signal de demande de réinitialisation se traduit par l'apparition d'un front montant à la même entrée. C'est pourquoi, de préférence, il suffit de concevoir ou de choisir le détecteur de seuil, de façon que le seuil de basculement soit compris entre la valeur nominale d'alimentation et la valeur nulle. Par exemple, si la tension nominale de fonctionnement des circuits est de 5 volts, et dans le cas où le signal de réinitialisation est actif à l'état bas, on choisira le détecteur de seuil de façon que le basculement survienne lorsque le signal appliqué à l'entrée (81) du détecteur de l'ordre de 4 volts, et dans le cas où le signal de réinitialisation est actif à l'état haut, le seuil de basculement sera par exemple de 2 volts. Bien entendu, ces valeurs ne sont pas limitatives, mais elles montrent qu'il est préférable que la valeur de basculement soit proche de la valeur pour laquelle le signal de réinitialisation n'est pas actif, mais pour qu'un changement d'état de ce signal, entre son état non actif et son état actif, soit pris en compte très rapidement, afin de ne pas perdre de temps pour la réinitialisation. Ceci permet d'appliquer très rapidement l'ordre effectif de réinitialisation à l'unité de traitement d'une part, et un signal entraînant le blocage de l'application de la tension de programmation par les moyens (7) de blocage, d'autre part.
Ainsi, on constate que, si un ordre de validation d'écriture est appliqué sur l'entrée de validation d'écriture WE de la mémoire reprogrammable (5), ou si un ordre de validation d'effacement est appliqué sur l'entrée de validation d'effacement EE de ladite mémoire, tant que la réinitialisation a lieu, alors l'application de l'un ou l'autre de ces ordres est inopérante puisque la tension de programmation Vpp est bloquée.
De préférence, comme illustré par cette figure, les moyens de blocage (7) sont interposés entre la sortie du convertisseur (6) lorsqu'il est présent et l'entrée de la tension de programmation Vpp de la mémoire non volatile.
En fait, l'ensemble constitué par les moyens de blocage (7) et le circuit détecteur de seuil (8), pour détecter le seuil de blocage RAZ1, constitue un interrupteur électronique à seuil, autorisant que la tension de sortie du convertisseur (6) soit appliquée à l'entrée de la mémoire reprogrammable (5) lorsque le signal de demande de réinitialisation RAZ atteint une valeur suffisante RAZ1 à laquelle il peut être pris en compte pour entraîner la réinitialisation des circuits logiques du dispositif.
Les ordres de validation d'écriture WE ou d'effacement EE sont issus de l'unité centrale (2). Or, tant que les circuits logiques de l'unité centrale (2) ne sont pas stabilisés, un signal de validation d'écriture ou d'effacement peut être transmis accidentellement à la mémoire non volatile. En conséquence, dans une variante non représentée, on prévoit des circuits de blocage de ces signaux, pilotés également par le détecteur (8) de seuil, pour interdire la transmission d'un tel signal qui serait issu de l'unité centrale (2) tant que le signal de réinitialisation n'a pas une valeur suffisante. Cependant, en tout état de cause, il est nécessaire de conserver des moyens de blocage (7) de la tension de programmation Vpp, car il peut arriver que des signaux transitoires propres aux circuits électroniques internes de la mémoire reprogrammable (5) soient générés à l'intérieur de cette dernière, notamment au niveau des circuits de validation d'écriture ou d'effacement qui pourraient entraîner de façon incontrôlée, notamment lors des mises sous tension, l'effacement ou l'écriture de données dans la mémoire reprogrammable.
C'est pourquoi, de préférence, si des circuits de blocage de l'application des tensions de validation d'écriture ou d'effacement sont présents, les moyens (7) de blocage de l'application de la tension de programmation demeurent présents.
Sur la figure 1 , on a également illustré la présence d'un circuit (9) dont l'entrée reçoit la tension d'alimentation
V„„ du dispositif et dont la sortie est reliée aux moyens
(7) de blocage de la tension de programmation. Ce circuit (9) est un détecteur de seuil dont la fonction est d'interdire l'application de la tension de programmation chaque fois que la tension d'alimentation Vcc est inférieure à une valeur donnée qui est la valeur minimale pour laquelle les circuits logiques du dispositif fonctionnent correctement. Ce circuit est connu en soi, et il en a été fait mention dans le préambule de la présente demande. Il permet, en complément des circuits spécifiques à la présente invention, qui sont actifs pendant les phases de réinitialisation du système, d'interdire l'application de la tension de programmation lors des mises sous tension ou hors tension du dispositif, ou lors d'une baisse de tension accidentelle.
L'action de ce détecteur (9) associé aux moyens (7) de blocage est complémentaire de l'action du détecteur (8) du niveau RAZ1 du signal de réinitialisation associé aux dits moyens de blocage (7) de l'application de la tension de programmation, de sorte que la tension de programmation Vpp ne peut pas être appliquée sur la borne d'entrée correspondante de la mémoire reprogrammable (5) lorsque soit le niveau de la tension d'alimentation Vcc, soit le niveau du signal de demande de réinitialisation n'est pas compatible.
La figure 2 illustre un principe de constitution des moyens de blocage (7) lorsque seule la valeur du signal de réinitialisation est prise en compte pour déterminer l'autorisation ou l'interdiction de l'application de la tension de programmation à' la mémoire reprogrammable (5). Les moyens de blocage (7) sont par exemple constitués par un montage à transistor (73) fonctionnant en tout ou rien, qui laisse passer la tension de programmation Vpp lorsque le signal de demande de réinitialisation n'est plus actif. A cet effet, le circuit interne des moyens de blocage (7) est monté de façon telle que l'électrode de commande (74) du montage à transistor (73) reçoive le signal du circuit (8) détecteur de la valeur du signal de demande de réinitialisation. L'entrée (71) des moyens de blocage est reliée à la sortie du convertisseur (6) ou, de façon générale, au circuit délivrant la tension de programmation, s'il est indépendant du circuit d'alimentation des circuits logiques, et la sortie (72) des moyens de blocage (7) est reliée à l'entrée de la tension de programmation Vpp de la mémoire reprogrammable (5). Par exemple, le signal appliqué sur l'entrée (71) des moyens de blocage (7) est transmis au drain du montage à transistor MOS, alors que la sortie (72) est reliée à la source du même montage. Dans ce cas, une résistance (75) est placée entre l'électrode de commande, c'est-à-dire la grille, et la masse.
De préférence, le circuit détecteur (8) est un détecteur de seuil sans hystérésis. Ce circuit est choisi de façon à émettre à sa sortie un signal rendant le montage à transistor (73) conducteur lorsque le signal de réinitialisation n'est plus actif.
Il en résulte que, tant que le signal de demande de réinitialisation est actif, l'application de la tension de programmation Vpp est interdite par le circuit de blocage (7).
La figure 3 illustre le cas où non seulement le signal de demande de réinitialisation est pris en compte pour bloquer l'application de la tension de programmation Vpp sur la mémoire reprogrammable (5), mais encore le cas où on tient compte également du niveau de la tension d'alimentation des circuits logiques du dispositif. Les moyens de commande (7) sont agencés dans ce cas pour prendre en compte le signal issu du détecteur (8) du niveau du signal de demande de réinitialisation et/ou le signal du détecteur (9) du niveau de la tension d'alimentation. Le détecteur (9) est également un détecteur à seuil, qui délivre à sa sortie un signal de commande des moyens (7) de blocage, autorisant la programmation, si une requête à cet effet a lieu, lorsque la tension d'alimentation est comprise entre la valeur minimale Vccmin pour laquelle les circuits logiques commencent à fonctionner correctement et la tension nominale Vccnom d'alimentation. Ainsi, dans le cas de circuits alimentés sous une tension nominale de 5 volts, le détecteur (9) délivre un signal autorisant l'application de la tension de programmation dès que la tension est par exemple de 4 volts, dans le cas où les circuits logiques fonctionnent correctement à partir de 3 volts.
Les moyens de commande (7) sont, dans ce cas, agencés par exemple de la façon suivante : ils comprennent le premier transistor (73) déjà mentionné qui reçoit sur l'une de ses électrodes le signal issu du convertisseur (6), et dont une autre électrode est reliée par l'intermédiaire de la sortie (72) des moyens de blocage (7) à l'entrée Vpp de la mémoire reprogrammable (5) ; l'électrode de commande (74) du dit transistor reçoit le signal issu du détecteur (8) de mesure du niveau du signal de demande de réinitialisation, et un second transistor (76), dont l'électrode de commande (77) est reliée à la sortie du détecteur (9) de la tension d'alimentation, est intercalé entre la résistance (75) et le point commun à la sortie du détecteur (8) et à l'électrode de commande (74) du premier transistor (73) > de sorte qu'une seconde électrode de ce second transistor (76) est reliée au dit point commun, et que sa troisième électrode est reliée à la résistance (75).
Dans ce cas, le premier transistor (73) conduit lorsqu'un signal est appliqué sur son électrode de commande (74), par l'intermédiaire du détecteur de signal de demande de réinitialisation (8) et que simultanément le second transistor (76) est non conducteur. Pour que ce second transistor (76) soit conducteur, afin de bloquer la programmation, il faut qu'un signal soit appliqué sur son électrode de commande (77), ce qui est le cas lorsque le - 21 -
détecteur (9) détecte que la tension d'alimentation est inférieure à la valeur minimun de fonctionnement correct des circuits logiques du dispositif.
Bien entendu, tout autre type de montage est possible, les figures qui viennent être décrites n'étant qu'une illustration du principe de fonctionnement du dispositif. Ce qui est primordial est que les moyens de blocage (7) de la tension de programmation constituent un interrupteur commandé qui autorise l'application de ladite tension de programmation Vpp uniquement lorsque la valeur d'alimentation est correcte et lorsque le signal de réinitialisation n'est pas actif.
Par ailleurs, on constate sur cette figure que le détecteur (8) comporte une seule sortie reliée à la fois à l'électrode de commande des moyens de blocage et à l'entrée de réinitialisation de l'unité de traitement (2). Ceci est envisageable dans les cas où la technologie utilisée permet que le même niveau de signal soit utilisé pour la commande et pour la réinitialisation.
Le circuit qui vient d'être illustré présente cependant l'inconvénient que l'application de la tension de programmation est autorisée dès que l'ordre de réinitialisation disparaît. En raison des temps de réponse des divers circuits, il peut arriver que l'ordre de déblocage de l'application de la tension de programmation soit pris en compte avant que l'ordre de réinitialisation ait disparu, et qu'un transitoire survienne simultanément dans les circuits de traitement, qui valide un ordre d'effacement ou d'écriture de façon incontrôlée, de sorte que des informations erratiques peuvent éventuellement être inscrites dans la mémoire reprogrammable.
C'est pourquoi, dans une variante, dont le principe est illustré par la figure 4, on prévoit deux circuits de détection du niveau du signal de demande de réinitialisation des circuits, un premier circuit de détection (8 bis) dont la sortie est reliée aux moyens (7) de blocage de la tension de programmation, et un second circuit de détection (10) dont la sortie est reliée à l'entrée de réinitialisation de l'unité de traitement (2). Les deux circuits de détection (8 bis, 10) possèdent des seuils (RAZ1, RAZ2) de détection différents, de sorte que lorsqu'un signal de demande de réinitialisation RAZ apparaît à l'entrée de ces circuits, le premier circuit (8) délivre un signal de blocage des moyens (7) avant que le second circuit (10) ait activé le signal de réinitialisation de l'unité de traitement (2), afin de permettre que, lorsqu'un signal de demande de réinitialisation apparaît, le blocage de l'application de la tension de programmation soit effectif avant que l'ordre de réinitialisation soit appliqué, et que lorsque le signal de demande de réinitialisation appliqué à l'entrée des circuits de détection (8 bis, 10) passe d'un état actif à un état non actif, le déblocage soit effectif après que l'ordre de réinitialisation appliqué à l'entrée correspondante de l'unité de traitement (2) ait disparu. On a donc un sequencement temporel entre l'application des différents signaux de commande qui accroît la sécurité de fonctionnement du dispositif.
Ainsi, dans tous les cas, le blocage précède la phase de réinitialisation et le déblocage suit la fin de la phase de réinitialisation.
Le circuit de la figure 4 est donc très performant puisqu'il permet que l'ordre de réinitialisation des circuits du dispositif disparaisse avant que l'autorisation d'une application de la tension de programmation survienne. Par ailleurs, ce circuit comporte les moyens de blocage de la tension de programmation lorsque la tension minimum d'alimentation n'est pas atteinte, de sorte qu'à la mise sous tension, l'autorisation de l'application de la tension de programmation ne peut avoir lieu qu'après que la tension minimum de fonctionnement ait été atteinte d'une part, et que d'autre part lorsque le signal de réinitialisation n'est pas actif. En cas d'un retrait accidentel ou volontaire de la tension d'alimentation, la présence du circuit (9) de détection de la tension d'alimentation entraîne un blocage de l'autorisation de l'application de la tension de programmation Vpp dès que la tension d'alimentation devient inférieure ou égale à la tension minimum de fonctionnement correct.
II peut cependant arriver que les dispositifs réalisés selon les variantes précédemment décrites ne réduisent pas totalement les risques d'effacement ou d'écriture accidentels dans la mémoire reprogrammable (5) lors de la réinitialisation.
En effet, selon la variante réalisée, soit l'autorisation de l'application de la tension de programmation est donnée en même temps que l'ordre de réinitialisation. disparaît, soit ladite autorisation est retardée par rapport à la disparition de l'ordre de réinitialisation, mais ce retard dépend uniquement de la vitesse de transition du niveau de la tension du signal de réinitialisation, qui peut être très rapide.
Or, généralement la réinitialisation s'effectue selon un sequencement programmé, piloté par l'horloge du dispositif, de sorte que la réinitialisation peut, dans certains cas exceptionnels, se prolonger après que le signal lui-même ait disparu.
Or, les dispositifs décrits en regard des variantes précédentes sont tels que lorsque le signal de demande de réinitialisation n'est plus actif, une autorisation de l'application de la tension de programmation est donnée. Il peut donc arriver, dans ce cas, qu'une écriture ou un effacement soit fait accidentellement alors que la réinitialisation n'est pas totalement terminée à partir du moment où l'autorisation de l'application de la tension de programmation est accordée» si un ordre correspondant apparaît.
La variante illustrée par la figure 5 permet d'éviter une programmation accidentelle lorsque le signal de demande de réinitialisation n'est plus actif alors que la réinitialisation n'est pas terminée.
Le dispositif de l'invention comporte au moins un registre (11) dont la sortie est reliée aux moyens de blocage (7) de la tension de programmation Vpp de la mémoire reprogrammable (5), et dont l'entrée de réinitialisation est connectée par l'intermédiaire d'un circuit combinatoire (12) d'une part à la sortie d'un circuit (13) de réinitialisation automatique à la mise sous tension, et d'autre part à la ligne de demande de réinitialisation du système en cours de fonctionnement de préférence par l'intermédiaire d'un détecteur (8) du niveau du signal de demande de réinitialisation, pour que ledit signal soit pris en compte à partir d'un seuil déterminé. L'entrée de données du registre (11) est reliée à une sortie de données de l'unité centrale (2), de façon à être commandée par cette dernière.
Par ailleurs, le registre (11) est relié à l'horloge (14) pilotant le dispositif.
Sur cette figure, on a également représenté le convertisseur (6) entre la source d'alimentation Vcc et les moyens (7) de blocage de la tension de programmation. Le circuit (13) de réinitialisation automatique est par exemple constitué par un détecteur de tension associé à un générateur d'impulsions qui envoie un ordre de réinitialisation du registre (11) dès que la tension 5 d'alimentation Vcc atteint la valeur minimale de fonctionnement correct des circuits logiques du dispositif. Après sa réinitialisation, la sortie du registre (11) délivre un signal de sorte que les moyens de blocage (7) interdisent l'application de la tension de 10 programmation à la mémoire reprogrammable (5).
Pour que la sortie du registre (11) soit placée dans une configuration telle que les moyens de blocage (7) de la tension de programmation autorisent l'application de
,c ladite tension à la mémoire reprogrammable (5), il faut que l'unité de traitement (2) charge le registre (11) dans une configuration telle que la sortie de ce registre soit dans un état opposé à celui dans lequel elle est positionnée lors de la réinitialisation. Pour cela, une
20 sortie CVpp de l'unité de traitement (2) est reliée à l'entrée de données du registre (11).
Ce dispositif est donc particulièrement performant puisque le registre (11) est placé dans une configuration
25 correspondant à une autorisation de l'application de la tension de programmation, seulement sur requête de l'unité de traitement, lorsqu'il y a effectivement besoin d'effectuer un effacement ou une écriture. Ainsi, les moyens de blocage (7) sont activés tant qu'aucune écriture
30 ou effacement n'est nécessaire, et la sécurité est considérable.
Dans un mode de réalisation, le registre (11) est constitué par une cellule élémentaire de mémorisation qui
3 -,5c est préférentiellement mise dans un état déterminé lors de la réinitialisation. Il peut cependant arriver, dans des cas exceptionnels, qu'une telle cellule se positionne dans un état différent lors de la réinitialisation, ce qui, dans le cas d'espèce, conduirait à autoriser l'application de la tension de programmation. C'est pourquoi, comme illustré par cette figure 5, de préférence l'application des signaux de validation d'écriture WE ou d'effacement EE est également surbordonnée à l'état de registres (15, 16) qui sont initialisés à la mise sous tension dans un état correspondant respectivement à l'interdiction de l'application du signal de validation d'écriture et du signal de validation d'effacement. Sur cette figure 5, les sorties de ces deux derniers registres (15, 16) sont reliées respectivement aux entrées de validation d'écriture WE et d'effacement EE de la mémoire reprogrammable (5). Une telle liaison directe est effectuée dans le cas où les niveaux de sortie des dits registres sont compatibles avec les niveaux d'entrée nécessaires pour la validation de l'écriture ou de l'effacement dans la mémoire reprograramable. Au cas où les niveaux ne sont pas compatibles, alors il est nécessaire de prévoir un convertisseur entre la sortie d'un registre et l'entrée correspondante de la mémoire reprogrammable. Lorsqu'une opération d'écriture ou d'effacement doit être effectuée, alors l'unité de traitement charge par sa sortie (CVpp), en synchronisme avec l'horloge, le registre (11) de commande des moyens (7) de blocage dans un état autorisant l'application de la tension de programmation, et simultanément, elle charge le registre (15 et/ou 16) dans un état correspondant à l'autorisation de l'application du signal de validation d'écriture et/ou de validation d'effacement, selon l'opération requise. Des sorties (CWE, CEE) de l'unité de traitement (2) sont reliées à cet effet aux entrées de données des registres (15) et (16) respectivement.
Ce mode de réalisation est particulièrement avantageux car, il peut arriver que l'un des registres se positionne dans un état non souhaité lors de la réinitialisation, mais il est peu vraisemblable que la totalité des registres se positionne accidentellement dans une configuration non souhaitée.
La figure 6 illustre une variante dans laquelle les registres (11, 15, 16) sont des registres à décalage, à entrée série et sorties parallèles, qui comprennent donc chacun un nombre non unitaire de bascules ou de cellules, dont les entrées de réinitialisation sont communes, et reliées au circuit combinatoire (12) identique à celui de la figure 5 recevant soit le signal de réinitialisation automatique, à la mise sous tension, soit un signal de demande de réinitialisation en cours de fonctionnement, et dont le chargement, qui s'effectue de façon séquentielle, est synchronisé par l'horloge (14) du dispositif, de sorte que l'unité de traitement doit exécuter une routine comportant plusieurs instructions pour charger chacun de ces registres. D'une façon similaire à la figure 5, l'unité de traitement comporte des sorties (CVpp, CWE, CEE) reliées aux entrées de données des registres 11, 15, 16 respectivement, pour permettre le chargement des registres requis par l'opération souhaitée. Par ailleurs, une seule configuration de chargement de chacun de ces registres autorise l'application du signal qu'il commande, c'est-à-dire l'autorisation de l'application de la tension de programmation V pour le registre (11), l'autorisation de l'application du signal de validation d'écriture WE pour le registre (15), l'autorisation de l'application du signal de validation d'effacement EE pour le registre (16).
C'est pourquoi, dans le mode de réalisation illustré par cette figure 6, chaque registre est associé à un circuit combinatoire différent, un premier (17) pour le registre
(11) d'autorisation de la tension de programmation, une seconde (18) pour le registre (15) d'autorisation d'application du signal de validation d'écriture, et un troisième (19) pour le registre (16) d'autorisation d'application du signal de validation d'effacement. Chaque circuit combinatoire contient autant d'entrées que le registre correspondant contient de bascules, de sorte que l'état de chacune des bascules d'un registre est répercuté à tout moment au circuit combinatoire correspondant. Par ailleurs, le circuit combinatoire correspondant à un registre porte une seule sortie qui est reliée à l'entrée correspondante de la mémoire reprogrammable qu'il commande. Cette liaison est directe si les signaux sont compatibles, ou s'effectue par l'intermédiaire de circuits adaptateurs ou convertisseurs si les signaux ne sont pas compatibles. Ainsi, dans l'exemple illustré, la sortie du circuit (17) associé au registre (11) est reliée à l'entrée de commande des moyens (7) de blocage de la tension de programmation Vpp, alors que les sorties des circuits combinatoires (18 et 19) sont reliées directement respectivement aux entrées de validation d'écriture et de validation d'effacement de la mémoire reprogrammable (5).
Dans un mode de réalisation, les circuits combinatoires
(17, 18, 19) utilisent en combinaison des fonctions logiques connues telles que les fonctions OU, OU EXCLUSIF, ëυCia • •
Le dispositif décrit sur la figure 6 fonctionne de la façon suivante : lorsqu'une écriture est requise, il faut positionner le registre (11) dans un état correspondant à l'autorisation de l'application de la tension de programmation vpp» e^ positionner simultanément le registre (15) dans un état correspondant à l'autorisation de l'application du signal de validation d'écriture WE, en exécutant des routines particulières de chargement de chacun de ces registres. De même, pour autoriser une opération d'effacement, il faudra charger le registre (11) d'autorisation d'application de la tension de programmation Vpp, puis le registre (16) d'autorisation d'application du signal de validation d'effacement EE.
On comprend donc dans ce cas, que le dispositif est particulièrement fiable, car la multiplication du nombre des cellules nécessaires pour constituer chaque registre rend très peu probable le fait qu'une initialisation accidentelle les positionne dans un état correspondant à une autorisation de la commande correspondante.
Le mode de réalisation de la figure 6, avec trois registres différents, nécessite la sélection et le chargement approprié d'au moins deux registres lors d'une opération d'écriture ou d'effacement. Il faut systématiquement sélectionner le registre d'autorisation d'application de la tension de programmation, et le registre correspondant au signal de validation de l'opération choisie. Par ailleurs, selon que l'effacement de la mémoire non volatile sera total ou partiel, on pourra être amené à réaliser des combinaisons particulières de l'état de sortie de ces divers registres. Il en résulte que chacun de ces registres doit être relié à une sortie différente de l'unité de traitement, ou relié à la même sortie, et il faut des moyens de sélection de l'un et/ou de l'autre, pour charger les registres requis par une opération de programmation déterminée.
La figure 7 illustre une variante dans laquelle l'ensemble des registres est réuni de façon à former un registre à décalage unique (20) qui est relié à un circuit (21) combinatoire, comprenant autant d'entrées que le registre contient de bascules, et qui comporte une sortie (210) de commande de l'application de la tension de programmation Vpp, une sortie (211) de commande du signal de validation d'écriture WE, et une sortie (212) de commande du signal de validation d'effacement EE. Cette structure permet de n'utiliser qu'un seul mode d'adressage lorsqu'une opération d'écriture ou d'effacement doit être effectuée, entraînant un chargement systématique du registre (20). Dans ce cas, le registre sera chargé avec des contenus différents selon qu'il s'agit d'une opération d'écriture ou d'effacement total ou partiel du contenu de la mémoire reprogrammable (5). A cet effet, une sortie de chargement (CC) de l'unité de traitement (2) est reliée à l'entrée série de données du registre (20).
Par ailleurs, la réinitialisation du registre (20) s'effectue de façon semblable à ce qui se produit dans le cas de la figure 6, c'est-à-dire qu'elle a lieu soit au moment de la mise sous tension par application d'un signal de réinitialisation automatique par le circuit (13) réagissant en fonction du niveau de la tension d'alimentation Vcc, soit sur un ordre de réinitialisation RAZ pendant le fonctionnement normal du dispositif, un circuit combinatoire (12) réalisant une fonction OU logique permettant de prendre en compte indifféremment l'un ou l'autre de ces ordres.
Pour la mise en oeuvre de ce dispositif, il est nécessaire de prévoir dans la mémoire de programme autant de routines que de possibilités d'interventions sur la mémoire reprogrammable (5) : il est nécessaire par exemple de prévoir une routine correspondant à un effacement complet de ladite mémoire, une routine correspondant à un effacement partiel, et une routine correspondant à une écriture de nouvelles données.
Par ailleurs, il est possible d'envisager plusieurs façons différentes de charger le registre à décalage de commande des effacements/écritures dans la mémoire reprogrammable. Comme envisagé précédemment, la mémoire de programme peut contenir plusieurs routines ' complètes correspondant chacune à une opération spécifique (écriture, effacement total ou partiel) à effectuer sur la mémoire reprogrammable (5).
Les différentes variantes qui viennent d'être décrites offrent un degré de sécurité croissant lors de la réinitialisation du dispositif, pour éviter que les données contenues en mémoire non volatile reprogrammable (5) soient modifiées ou effacées. Le choix de l'une ou de l'autre des variantes est effectué en fonction de la complexité du dispositif et/ou du niveau de sécurité requis.
Les diverses variantes qui viennent d'être décrites n'empêchent cependant pas que si l'unité de traitement, par accident, exécute des sauts d'adresses intempestifs, le programme s'exécute selon un sequencement non maîtrisé, ce qui peut, dans certains cas, entraîner des changements non souhaités dans la mémoire reprogrammable (5).
C'est pourquoi, dans un mode de mise en oeuvre, la mémoire (3) contenant le programme de fonctionnement de l'unité de traitement ne contient aucune routine complète permettant une écriture ou un effacement de la mémoire reprogrammable (5). Ainsi, lors d'un saut intempestif d'adresses, l'unité de traitement ne peut pas commander une opération de ce genre par erreur.
A cet effet, le programme est agencé pour pouvoir écrire dans la mémoire volatile (4) une routine d'écriture ou d'effacement de la mémoire reprogrammable (5) : ceci consiste à inscrire des instructions dans la mémoire volatile sous la forme de données. Lorsque toutes les instructions sont écrites dans la mémoire volatile (4), le programme contenu dans la mémoire
(3) se branche sur cette routine inscrite en mémoire volatile, et ladite routine s'exécute alors. A la fin de l'opération d'écriture ou d'effacement, le programme contenu dans la mémoire (3) reprend le contrôle des opérations en effaçant prioritairement la routine contenue dans la mémoire volatile (4). Ainsi, la routine ne peut plus s'exécuter.
Il est bien entendu que cette solution n'est envisageable que si la mémoire volatile (4) permet d'y exécuter du programme.
Cette solution est envisageable pour réaliser une routine de chargement du ou des registres à décalage qui ont été décrits en regard des figure 6 et 7, mais il est bien entendu qu'elle peut également s'appliquer au chargement d'une routine beaucoup plus simple dans la mémoire volatile qui commanderait l'application des ordres de programmation et d'effacement et/ou d'écriture, lors de la mise en oeuvre des variantes illustrées sur les figures 1 à 5.
L'invention est donc particulièrement facile à mettre en oeuvre sur tout type de dispositif de traitement de données, dans lequel la mémoire reprogrammable (5) peut être soit totalement, soit partiellement reprogrammée par l'unité de traitement (2), de même que l'on conçoit qu'elle puisse s'appliquer à des dispositifs monolithiques ou non. Ainsi, elle s'applique tout particulièrement aux microprocesseurs monolithiques autoprogrammables dont la tension de programmation Vpp de la mémoire non volatile est délivrée à partir de la source de tension d'alimentation générale, et pour lesquels il est nécessaire de prévoir des sécurités à la mise sous et hors tension, de même que lors des phases de réinitialisation.

Claims

REVENDICATIONS
1. Dispositif de traitement de données, comportant au moins une unité de traitement (2), et au moins une mémoire non volatile (5) effaçable et reprogrammable électriquement, au moins sous le contrôle partiel de l'unité de traitement, caractérisé en ce qu'il comporte des moyens de détection (8, 8 bis, 12) d'un signal de demande de réinitialisation des registres du dispositif, commandant des moyens (7, 11, 15, 16, 20) entraînant le blocage de l'application d'au moins un signal (Vpp, WE,
EE) nécessaire à la programmation de la mémoire non volatile (5) au moins lorsque ledit signal de demande de réinitialisation (RAZ) des registres du dispositif possède un niveau suffisant (RAZ1) pour activer la réinitialisation.
2. Dispositif selon la revendication 1, caractérisé en ce que la mémoire reprogrammable (5) nécessite pour sa reprogrammation au moins l'application d'une, tension de programmation (Vpp), et en ce que les moyens de blocage (7, 11, 20) agissent sur ladite tension de programmation.
3. Dispositif de traitement de données selon la revendication 2, caractérisé en ce que la mémoire reprogrammable (5) nécessite pour sa reprogrammâtion l'application d'un signal de validation d'écriture (WE) et/ou d'un signal de validation d'effacement (EE), et en ce que les moyens de blocage sont prévus pour agir sur l'un et/ou l'autre de ces signaux (WE, EE).
4. Dispositif de traitement de données selon l'une quelconque des revendications précédentes, caractérisé en ce que les moyens de détection et de blocage (7, 11, 15, 16, 20) comportent d'une part des premiers moyens de détection (8, 8 bis, 13) d'un premier niveau (RAZ1) dudit signal de demande de réinitialisation, dont l'entrée (81) reçoit ledit signal de demande de réinitialisation, et d'autre part un circuit (7, 11, 15, 16, 20) de blocage proprement dit, dont l'entrée est reliée à une sortie (82) des moyens de détection, de sorte que le circuit de blocage est commandé par lesdits moyens de détection, afin qu'un signal de commande entraînant le blocage d'au moins un signal nécessaire à la programmation de la mémoire reprogrammable (5) soit appliqué aux moyens de blocage tant que le signal de demande de réinitialisation est entre ledit premier niveau et son niveau actif.
5. Dispositif de traitement de données selon la revendication 4, caractérisé en ce que le circuit de blocage (7) est un interrupteur électronique (73) commandé par lesdits moyens de détection (8, 8 bis).
6. Dispositif de traitement de données selon la revendication 4, caractérisé en ce qu'une sortie (83), des premiers moyens de détection (8), est reliée à l'entrée de réinitialisation de l'unité de traitement (2) pour y appliquer un ordre de réinitialisation lorsque le signal de demande a atteint ledit premier niveau.
7. Dispositif de traitement de données selon l'une des revendications 4 ou 5, caractérisé en ce qu'il comporte des seconds moyens de détection (10) d'un second niveau (RAZ2) du signal de demande de réinitialisation, dont la sortie est reliée à l'entrée de réinitialisation de l'unité de traitement (2), de façon à valider l'application d'un ordre de réinitialisation à l'unité de traitement (2), après que les premiers moyens de détection (8, 8 bis) aient entraîné le blocage de l'application d'au moins un des signaux nécessaires à la programmation, et de façon à invalider l'ordre de réinitialisation avant que le déblocage soit autorisé par les premiers moyens.
8. Dispositif selon des revendications 4 à 7, caractérisé en ce qu'il comporte des moyens (13) tels qu'un détecteur à seuil pour émettre un signal de demande de réinitialisation à la mise sous tension du système lorsque la valeur d'alimentation (Vcc) a atteint une valeur minimale (Vcc min) pour laquelle les circuits logiques du dispositif fonctionnent correctement, en ce qu'il comporte en outre des moyens internes de demande de réinitialisation en cours de fonctionnement, et en ce que les moyens de blocage (7, 11, 15, 16, 20) sont connectés de façon à prendre en compte indifféremment l'un ou l'autre de ces signaux de demande de réinitialisation.
9. Dispositif de traitement de données selon la revendication 8, caractérisé en ce que les moyens de blocage comportent au moins un registre (11, 15, 16, 20) comprenant une entrée des signaux de réinitialisation, et en ce que la sortie de ce registre est reliée à des moyens de commande (21) d'au moins l'un des signaux (Vpp, WE, EE) nécessaires à la programmation de la mémoire reprogrammable (5), et en ce que ce registre est agencé pour qu'un ordre de réinitialisation le positionne dans une configuration correspondant à un blocage de la programmation, et en ce que ledit registre possède une configuration unique selon laquelle il doit être chargé pour autoriser une programmation, le chargement d'un registre s*effectuant par une sortie appropriée (CVpp, CWE, CEE) de l'unité de traitement, en synchronisme avec une horloge du dispositif.
10. Dispositif de traitement de données selon la revendication 9, caractérisé en ce qu'un registre (11, 15, 16, 20) est un registre à décalage à entrées série et sorties parallèles, dont l'entrée de chargement est reliée à l'unité de traitement (2) de façon à pouvoir être chargée lors de l'exécution d'une routine de chargement faisant suite à une demande de programmation, et en ce que les sorties du dit registre sont reliées entre elles par l'intermédiaire d'un circuit (21) combinatoire délivrant un signal d'autorisation de l'application d'au moins l'un des signaux nécessaires à la programmation, lorsque le registre est chargé dans la configuration unique d'autorisation.
11. Dispositif de traitement de données selon la revendication 10, caractérisé en ce qu'il comporte un registre à décalage unique (20) à entrée série et sorties parallèles, un circuit combinatoire (21) recevant le signal de chacune des sorties du registre, ledit circuit combinatoire (21) comportant autant de sorties que la mémoire reprogrammable (5) comporte d'entrées de commande de programmation (Vpp, WE, EE), de façon qu'en fonction du contenu du registre suite à une requête pour un mode de programmation donné (écriture ou effacement partiel ou total), le circuit combinatoire (21) autorise uniquement l'application des signaux nécessaires au mode de programmation choisi, et en ce que l'entrée dudit registre est reliée à une sortie (CC) de l'unité de traitement.
12. Dispositif de traitement de données selon l'une des revendications 1 à 11, caractérisé en ce qu'il comporte une mémoire de programme (3) et un programme de commande d'écriture ou d'effacement de la mémoire (5) reprogrammable résident dans ladite mémoire de programme (3).
13. Dispositif de traitement de données selon l'une des revendications 7 à 11, caractérisé en ce qu'il comporte une mémoire (3) de programme et un programme de chargement du registre, en fonction du mode de programmation choisi, résident dans ladite mémoire (3) de programme.
14. Dispositif de traitement de données selon les revendications 12 et 13, caractérisé en ce que les ° programmes de commande et de chargement sont confondus.
15. Dispositif de traitement de données selon l'une des revendications 12 à 14, caractérisé en ce qu'un programme de commande et/ou de chargement est exécuté à partir d'instructions qui sont chargées dans la mémoire volatile (4) par l'unité de traitement (2), suite à une requête pour un mode de programmation donnée.
16. Dispositif de traitement de données selon la revendication 12, caractérisé en ce que les instructions chargées en mémoire volatile, suite une requête pour un mode de programmation donné de la mémoire reprogrammable (5), sont effacées dès que la programmation est terminée.
17. Dispositif de traitement de données selon l'une quelconque des revendications 1 à 16, caractérisé en ce qu'il possède la structure d'un microprocesseur monolithique autoprogrammable.
PCT/FR1989/000660 1988-12-20 1989-12-19 Dispositif de traitement de donnees comportant une memoire non volatile electriquement effaçable et reprogrammable WO1990007185A1 (fr)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2501087A JPH0831046B2 (ja) 1988-12-20 1989-12-19 電気的消去及び再プログラムが可能な不揮発性メモリを含むデータ処理システム
KR1019900701861A KR950001833B1 (ko) 1988-12-20 1989-12-19 전기적 소거 및 재프로그래밍 가능 불휘발성 메모리를 포함한 데이터 처리장치
NO903630A NO307395B1 (no) 1988-12-20 1990-08-17 Databehandlings-system innbefattende en elektrisk slettbar, reprogrammerbar, ikke-flyktig hukommelse
US08/327,891 US5566323A (en) 1988-12-20 1994-10-24 Data processing system including programming voltage inhibitor for an electrically erasable reprogrammable nonvolatile memory

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR88/16788 1988-12-20
FR8816788A FR2640798B1 (fr) 1988-12-20 1988-12-20 Dispositif de traitement de donnees comportant une memoire non volatile electriquement effacable et reprogrammable

Publications (1)

Publication Number Publication Date
WO1990007185A1 true WO1990007185A1 (fr) 1990-06-28

Family

ID=9373144

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR1989/000660 WO1990007185A1 (fr) 1988-12-20 1989-12-19 Dispositif de traitement de donnees comportant une memoire non volatile electriquement effaçable et reprogrammable

Country Status (15)

Country Link
US (1) US5566323A (fr)
EP (1) EP0377368B1 (fr)
JP (1) JPH0831046B2 (fr)
KR (1) KR950001833B1 (fr)
AT (1) ATE135487T1 (fr)
AU (1) AU626368B2 (fr)
CA (1) CA2005762C (fr)
DE (1) DE68925960T2 (fr)
ES (1) ES2087872T3 (fr)
FR (1) FR2640798B1 (fr)
GR (1) GR3019980T3 (fr)
HK (1) HK47697A (fr)
NO (1) NO307395B1 (fr)
SG (1) SG66263A1 (fr)
WO (1) WO1990007185A1 (fr)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7193894B2 (en) 1995-01-31 2007-03-20 Renesas Technology Corp. Clock synchronized nonvolatile memory device

Families Citing this family (75)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH04137080A (ja) * 1990-09-28 1992-05-12 Fuji Photo Film Co Ltd Icメモリカード
US6118261A (en) * 1993-11-08 2000-09-12 International Business Machines Corp. Slew rate control circuit
DE19740941A1 (de) * 1997-09-17 1999-03-18 Siemens Ag Verfahren zum Ansteuern eines elektrisch programmierbaren Datenspeichers und Schaltungsanordnung zur Durchführung des Verfahrens
DE19912781A1 (de) * 1999-03-12 2000-11-23 Francotyp Postalia Gmbh Verfahren zum Schutz eines Sicherheitsmoduls und Anordnung zur Durchführung des Verfahrens
US6389500B1 (en) * 1999-05-28 2002-05-14 Agere Systems Guardian Corporation Flash memory
US6654847B1 (en) 2000-06-30 2003-11-25 Micron Technology, Inc. Top/bottom symmetrical protection scheme for flash
US6754815B1 (en) 2000-03-31 2004-06-22 Intel Corporation Method and system for scrubbing an isolated area of memory after reset of a processor operating in isolated execution mode if a cleanup flag is set
US7013484B1 (en) 2000-03-31 2006-03-14 Intel Corporation Managing a secure environment using a chipset in isolated execution mode
US7089418B1 (en) 2000-03-31 2006-08-08 Intel Corporation Managing accesses in a processor for isolated execution
US6769058B1 (en) 2000-03-31 2004-07-27 Intel Corporation Resetting a processor in an isolated execution environment
US7013481B1 (en) 2000-03-31 2006-03-14 Intel Corporation Attestation key memory device and bus
US6934817B2 (en) 2000-03-31 2005-08-23 Intel Corporation Controlling access to multiple memory zones in an isolated execution environment
US6760441B1 (en) 2000-03-31 2004-07-06 Intel Corporation Generating a key hieararchy for use in an isolated execution environment
US7111176B1 (en) 2000-03-31 2006-09-19 Intel Corporation Generating isolated bus cycles for isolated execution
US7194634B2 (en) * 2000-03-31 2007-03-20 Intel Corporation Attestation key memory device and bus
US6976162B1 (en) 2000-06-28 2005-12-13 Intel Corporation Platform and method for establishing provable identities while maintaining privacy
US6711701B1 (en) * 2000-08-25 2004-03-23 Micron Technology, Inc. Write and erase protection in a synchronous memory
US7793111B1 (en) 2000-09-28 2010-09-07 Intel Corporation Mechanism to handle events in a machine with isolated execution
US7389427B1 (en) 2000-09-28 2008-06-17 Intel Corporation Mechanism to secure computer output from software attack using isolated execution
US7215781B2 (en) * 2000-12-22 2007-05-08 Intel Corporation Creation and distribution of a secret value between two devices
US7225441B2 (en) * 2000-12-27 2007-05-29 Intel Corporation Mechanism for providing power management through virtualization
US7035963B2 (en) * 2000-12-27 2006-04-25 Intel Corporation Method for resolving address space conflicts between a virtual machine monitor and a guest operating system
US7818808B1 (en) 2000-12-27 2010-10-19 Intel Corporation Processor mode for limiting the operation of guest software running on a virtual machine supported by a virtual machine monitor
US6907600B2 (en) 2000-12-27 2005-06-14 Intel Corporation Virtual translation lookaside buffer
US7117376B2 (en) * 2000-12-28 2006-10-03 Intel Corporation Platform and method of creating a secure boot that enforces proper user authentication and enforces hardware configurations
US7272831B2 (en) 2001-03-30 2007-09-18 Intel Corporation Method and apparatus for constructing host processor soft devices independent of the host processor operating system
US7191440B2 (en) 2001-08-15 2007-03-13 Intel Corporation Tracking operating system process and thread execution and virtual machine execution in hardware or in a virtual machine monitor
US7024555B2 (en) 2001-11-01 2006-04-04 Intel Corporation Apparatus and method for unilaterally loading a secure operating system within a multiprocessor environment
US7103771B2 (en) * 2001-12-17 2006-09-05 Intel Corporation Connecting a virtual token to a physical token
US7308576B2 (en) * 2001-12-31 2007-12-11 Intel Corporation Authenticated code module
US20030126453A1 (en) * 2001-12-31 2003-07-03 Glew Andrew F. Processor supporting execution of an authenticated code instruction
US7480806B2 (en) * 2002-02-22 2009-01-20 Intel Corporation Multi-token seal and unseal
US7124273B2 (en) * 2002-02-25 2006-10-17 Intel Corporation Method and apparatus for translating guest physical addresses in a virtual machine environment
US7631196B2 (en) 2002-02-25 2009-12-08 Intel Corporation Method and apparatus for loading a trustable operating system
US7028149B2 (en) 2002-03-29 2006-04-11 Intel Corporation System and method for resetting a platform configuration register
US7069442B2 (en) * 2002-03-29 2006-06-27 Intel Corporation System and method for execution of a secured environment initialization instruction
US20030196096A1 (en) * 2002-04-12 2003-10-16 Sutton James A. Microcode patch authentication
US20030196100A1 (en) * 2002-04-15 2003-10-16 Grawrock David W. Protection against memory attacks following reset
US7127548B2 (en) 2002-04-16 2006-10-24 Intel Corporation Control register access virtualization performance improvement in the virtual-machine architecture
US20030229794A1 (en) * 2002-06-07 2003-12-11 Sutton James A. System and method for protection against untrusted system management code by redirecting a system management interrupt and creating a virtual machine container
US7142674B2 (en) 2002-06-18 2006-11-28 Intel Corporation Method of confirming a secure key exchange
US20040003321A1 (en) * 2002-06-27 2004-01-01 Glew Andrew F. Initialization of protected system
US7124327B2 (en) 2002-06-29 2006-10-17 Intel Corporation Control over faults occurring during the operation of guest software in the virtual-machine architecture
US6996748B2 (en) 2002-06-29 2006-02-07 Intel Corporation Handling faults associated with operation of guest software in the virtual-machine architecture
US7296267B2 (en) * 2002-07-12 2007-11-13 Intel Corporation System and method for binding virtual machines to hardware contexts
US7165181B2 (en) 2002-11-27 2007-01-16 Intel Corporation System and method for establishing trust without revealing identity
US7073042B2 (en) 2002-12-12 2006-07-04 Intel Corporation Reclaiming existing fields in address translation data structures to extend control over memory accesses
US7900017B2 (en) * 2002-12-27 2011-03-01 Intel Corporation Mechanism for remapping post virtual machine memory pages
US20040128465A1 (en) * 2002-12-30 2004-07-01 Lee Micheil J. Configurable memory bus width
US7415708B2 (en) 2003-06-26 2008-08-19 Intel Corporation Virtual machine management using processor state information
US7287197B2 (en) * 2003-09-15 2007-10-23 Intel Corporation Vectoring an interrupt or exception upon resuming operation of a virtual machine
US7424709B2 (en) 2003-09-15 2008-09-09 Intel Corporation Use of multiple virtual machine monitors to handle privileged events
US7739521B2 (en) 2003-09-18 2010-06-15 Intel Corporation Method of obscuring cryptographic computations
US7610611B2 (en) 2003-09-19 2009-10-27 Moran Douglas R Prioritized address decoder
US7237051B2 (en) 2003-09-30 2007-06-26 Intel Corporation Mechanism to control hardware interrupt acknowledgement in a virtual machine system
US20050080934A1 (en) 2003-09-30 2005-04-14 Cota-Robles Erik C. Invalidating translation lookaside buffer entries in a virtual machine (VM) system
US7366305B2 (en) * 2003-09-30 2008-04-29 Intel Corporation Platform and method for establishing trust without revealing identity
US7177967B2 (en) 2003-09-30 2007-02-13 Intel Corporation Chipset support for managing hardware interrupts in a virtual machine system
US7636844B2 (en) 2003-11-17 2009-12-22 Intel Corporation Method and system to provide a trusted channel within a computer system for a SIM device
US8156343B2 (en) 2003-11-26 2012-04-10 Intel Corporation Accessing private data about the state of a data processing machine from storage that is publicly accessible
US8037314B2 (en) 2003-12-22 2011-10-11 Intel Corporation Replacing blinded authentication authority
US7802085B2 (en) 2004-02-18 2010-09-21 Intel Corporation Apparatus and method for distributing private keys to an entity with minimal secret, unique information
US7356735B2 (en) 2004-03-30 2008-04-08 Intel Corporation Providing support for single stepping a virtual machine in a virtual machine environment
US7620949B2 (en) 2004-03-31 2009-11-17 Intel Corporation Method and apparatus for facilitating recognition of an open event window during operation of guest software in a virtual machine environment
US7490070B2 (en) 2004-06-10 2009-02-10 Intel Corporation Apparatus and method for proving the denial of a direct proof signature
US7305592B2 (en) 2004-06-30 2007-12-04 Intel Corporation Support for nested fault in a virtual machine environment
US7840962B2 (en) 2004-09-30 2010-11-23 Intel Corporation System and method for controlling switching between VMM and VM using enabling value of VMM timer indicator and VMM timer value having a specified time
US8146078B2 (en) 2004-10-29 2012-03-27 Intel Corporation Timer offsetting mechanism in a virtual machine environment
US8924728B2 (en) 2004-11-30 2014-12-30 Intel Corporation Apparatus and method for establishing a secure session with a device without exposing privacy-sensitive information
US8533777B2 (en) * 2004-12-29 2013-09-10 Intel Corporation Mechanism to determine trust of out-of-band management agents
US7395405B2 (en) 2005-01-28 2008-07-01 Intel Corporation Method and apparatus for supporting address translation in a virtual machine environment
US7295478B2 (en) * 2005-05-12 2007-11-13 Sandisk Corporation Selective application of program inhibit schemes in non-volatile memory
US8014530B2 (en) 2006-03-22 2011-09-06 Intel Corporation Method and apparatus for authenticated, recoverable key distribution with no database secrets
DE102008030628B4 (de) * 2008-06-20 2013-08-22 Flextronics International Kft. Steuersystem
CN108665930A (zh) * 2017-04-01 2018-10-16 北京兆易创新科技股份有限公司 一种nand闪存芯片

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1985003583A1 (fr) * 1984-02-06 1985-08-15 Sundstrand Data Control, Inc. Memoire a circuits integres resistant a un accident pour des systemes d'enregistrement de donnees de vol d'un avion
US4612632A (en) * 1984-12-10 1986-09-16 Zenith Electronics Corporation Power transition write protection for PROM
US4692904A (en) * 1984-05-25 1987-09-08 Hitachi, Ltd. Semiconductor integrated circuit device
EP0265312A1 (fr) * 1986-09-30 1988-04-27 Thomson Composants Militaires Et Spatiaux Circuit intégré du type circuit logique comportant une mémoire non volatile programmable électriquement
EP0270410A1 (fr) * 1986-11-04 1988-06-08 STMicroelectronics S.A. Circuit intégré du type circuit logique comportant une mémoire non volatile programmable électriquement

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS6011396B2 (ja) * 1980-05-08 1985-03-25 松下電器産業株式会社 半導体記憶装置の駆動回路
JPS57152696A (en) * 1981-03-17 1982-09-21 Matsushita Electric Ind Co Ltd High frequency deicing device
US4604616A (en) * 1983-12-01 1986-08-05 The Arthur G. Russell Company, Incorporated Apparatus for programming an electrically erasable programmable read-only memory
IL74952A0 (en) * 1984-05-04 1985-08-30 Gould Inc Method and system for improving the operational reliability of electronic systems formed of subsystems which perform different functions
US4744062A (en) * 1985-04-23 1988-05-10 Hitachi, Ltd. Semiconductor integrated circuit with nonvolatile memory
US4692903A (en) * 1985-07-15 1987-09-08 Zenith Electronics Corporation Memory loss protection circuit
US4752871A (en) * 1985-09-30 1988-06-21 Motorola, Inc. Single-chip microcomputer having a program register for controlling two EEPROM arrays
JPS62245353A (ja) * 1986-04-18 1987-10-26 Hitachi Ltd Eepromのデ−タ書換え防止回路
JPS62271031A (ja) * 1986-05-20 1987-11-25 Fujitsu Ltd 記憶デ−タ保護方式
FR2600809B1 (fr) * 1986-06-24 1988-08-19 Eurotechnique Sa Dispositif de detection du fonctionnement du systeme de lecture d'une cellule-memoire eprom ou eeprom
US4975878A (en) * 1988-01-28 1990-12-04 National Semiconductor Programmable memory data protection scheme

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1985003583A1 (fr) * 1984-02-06 1985-08-15 Sundstrand Data Control, Inc. Memoire a circuits integres resistant a un accident pour des systemes d'enregistrement de donnees de vol d'un avion
US4692904A (en) * 1984-05-25 1987-09-08 Hitachi, Ltd. Semiconductor integrated circuit device
US4612632A (en) * 1984-12-10 1986-09-16 Zenith Electronics Corporation Power transition write protection for PROM
EP0265312A1 (fr) * 1986-09-30 1988-04-27 Thomson Composants Militaires Et Spatiaux Circuit intégré du type circuit logique comportant une mémoire non volatile programmable électriquement
EP0270410A1 (fr) * 1986-11-04 1988-06-08 STMicroelectronics S.A. Circuit intégré du type circuit logique comportant une mémoire non volatile programmable électriquement

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7193894B2 (en) 1995-01-31 2007-03-20 Renesas Technology Corp. Clock synchronized nonvolatile memory device

Also Published As

Publication number Publication date
FR2640798B1 (fr) 1993-01-08
AU626368B2 (en) 1992-07-30
US5566323A (en) 1996-10-15
NO903630L (no) 1990-10-17
EP0377368B1 (fr) 1996-03-13
CA2005762A1 (fr) 1990-06-20
FR2640798A1 (fr) 1990-06-22
GR3019980T3 (en) 1996-08-31
HK47697A (en) 1997-04-18
DE68925960T2 (de) 1996-08-08
DE68925960D1 (de) 1996-04-18
ATE135487T1 (de) 1996-03-15
JPH03500944A (ja) 1991-02-28
SG66263A1 (en) 1999-07-20
CA2005762C (fr) 1997-02-11
KR950001833B1 (ko) 1995-03-03
JPH0831046B2 (ja) 1996-03-27
NO307395B1 (no) 2000-03-27
KR910700527A (ko) 1991-03-15
AU4806490A (en) 1990-07-10
ES2087872T3 (es) 1996-08-01
EP0377368A1 (fr) 1990-07-11
NO903630D0 (no) 1990-08-17

Similar Documents

Publication Publication Date Title
CA2005762C (fr) Dispositif de traitement de donnees comportant une memoire non volatile electriquement effacable et reprogrammable
CA1060583A (fr) Systeme pour memoriser des donnees dans un objet protatif independant
EP0826169B1 (fr) Circuit integre perfectionne et procede d'utilisation d'un tel circuit integre
EP1605333B1 (fr) Contrôle de l'exécution d'un programme
FR2778012A1 (fr) Dispositif et procede de lecture de cellules de memoire eeprom
FR3072195B1 (fr) Procede de gestion d'un retour de produit pour analyse et produit correspondant
EP2466528A1 (fr) Sécurisation de l'alimentation de moyens de commande d'une carte à microcircuit en cas d'attaque
FR2606530A1 (fr) Circuit integre pour la memorisation et le traitement d'informations de maniere confidentielle comportant un dispositif anti-fraude
EP0920660B1 (fr) Microprocesseur ou microcalculateur imprévisible
EP1220101B1 (fr) Procédé et dispositif de protection contre le piratage de circuits intégrés
FR2801419A1 (fr) Procede et dispositif de lecture pour memoire en circuit integre
EP0735489A1 (fr) Procédé de protection de zones de mémoires non volatiles
FR2923627A1 (fr) Procede de deverrouillage d'un calculateur de controle moteur.
FR2475779A1 (fr) Circuit et procede d'alimentation de secours pour polariser les lignes binaires d'une memoire statique a semi-conducteur
WO2008009609A2 (fr) Coeur processeur a frequence pilotee et procede de demarrage dudit coeur processeur dans un mode programme
FR2757713A1 (fr) Dispositif de neutralisation dans un circuit integre
EP1374249B1 (fr) Dispositif et procede de protection partielle en lecture d'une memoire non volatile
FR2512978A1 (fr) Circuit de rythme controleur de sequence
FR2784763A1 (fr) Composant electronique et procede pour masquer l'execution d'instructions ou la manipulation de donnees
EP0703584B1 (fr) Procédé de décodage d'addresse dans une mémoire en circuit intégré et circuit mémoire mettant en oeuvre le procédé
EP0267091B1 (fr) Mémoire non-volatile programmable électriquement
FR2604554A1 (fr) Dispositif de securite pourla programmation d'une memoire non volatile programmable electriquement
FR2752992A1 (fr) Dispositif de protection de donnees memorisees
FR2752993A1 (fr) Dispositif de protection de donnees memorisees utilisant un circuit de temporisation
EP1089218B1 (fr) Circuit d'entrée pour carte à puce à mémoire

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): AU JP KR NO US