02016_12_09367_v1_0_DC_TI_70_Reprogrammation_des_UCEs_-__REFERENCE_A__9.0_DAE_BMPV.doc

ST
"TELECHARGEMENT SECURITAIRE UDS
DES CALCULATEURS DU DOMAINE SOUS
CAPOT"
/ ST « UDS SECURED DOWNLOADING FOR
POWERTRAIN AND CHASSIS ECU »
RÉFÉRENCE IND PROJET PAGE
02016_12_09367
1.0 DAE BMPV
1
Baseline (version) :
9.0
112
CE DOCUMENT EST LA PROPRIETE DE PSA ET NE PEUT ETRE REPRODUIT OU COMMUNIQUE SANS SON AUTORISATION
THIS DOCUMENT IS THE PROPERTY OF PSA AND MAY NOT BE REPRODUCED OR DISCLOSED WITHOUT ITS AUTHORIZATION
Reference :
02016_12_09367
Identification :
-01551_09_0097_P_-
Applicable au projet
/Applicable to project :
DAE BMPV
Titre/Titles : DC_TI_70_Reprogrammation des UCEs - REFERENCE A
Designation Normalisée/Standard designation : ST
DES CALCULATEURS DU DOMAINE SOUS CAPOT"
/ ST « UDS SECURED DOWNLOADING FOR POWERTRAIN AND
CHASSIS ECU »
OBJET/SCOPE :
Rédacteur(s)/Author(s) :
Nom/Name :
MEUDEC Delphine
Entité/Entity :
DTI/DPMO/CSEE/APPT
Date/Date :
07/01/2013
Signature/Signature :
Verificateur(s)/Inspector(s) :
Nom/Name :
GEORGES
Emmanuel
Entité/Entity :
DTI/DPMO/CSEE/APPT
Date/Date :
07/01/2013
Approbateur(s)/ Approved By :
Nom / Name :
LOPEZ Thierry
Entité / Entity :
DTI/DPMO/CSEE/APPT
Date/Date :
07/01/2013
Ce document est stocké dans l’outil DOORS à l’adresse
/This document is stored in tool DOORS with the address :
doors://DOORS:36677/?version=2&prodID=0&urn=urn:telelogic::1-
0000000000000000-B-0010da23-1000013
Découpage PSA
/PSA designation code :

ST
02016_12_09367 1.0 DAE BMPV 2 / 112
CE DOCUMENT EST LA PROPRIETE DE PSA ET NE PEUT
ETRE REPRODUIT OU COMMUNIQUE SANS SON
AUTORISATION
9.0
Date d'application :
Table des mises à jour PSA/Table of Updates
Indice Date Auteur Nature de la modification
1.0 03/02/10
11:21
OLERON
Jean
Francois
Création d'une nouvelle Baseline :
1.2 09/03/10
11:04
MEUDEC
Delphine
Evolutions
2.0 18/03/10
11:17
MEUDEC
Delphine
Baseline majeur suite à réunion de décision technique (toutes approuvées)
2.1 24/03/10
15:33
MEUDEC
Delphine
Baseline mineure pour créer une nouvelle version de travail
2.2 07/05/10
15:04
MEUDEC
Delphine
Baseline mineure crée pour envoi en relecture le 7 mai 2010 (ESC)
3.0 12/05/10
13:11
MEUDEC
Delphine
- Nouvelles exigences suite à l' Intégration de la note :
01551_10_00121_Modeling_TransferData_requests_in_UDS_for_download_fu
- Modification des exigences au niveau du " Controle de la programmation" : E
OK" on a un octet supplémentaire indiquant une "erreur d'écriture" (on ne lance
d'autocontrole indiqué la zone en echec "Calibration Not OK", "Software Not O
Baseline majeure pour livraison finale ESC le Lundi 17 mai
- Modification de l'exigence -01551_09_0097_P_-99 (1.2) avec suppression de
situation, seule une réponse positive est possible.
4.0 04/06/10
14:01
OLERON
Jean
Francois
4.1 09/06/10
10:04
OLERON
Jean
Francois
redescente paragraphe intervenants
§3.1 : Mise à jour de la liste des documents de référence
- 01551_09_0097_P_-120, 01551_09_0097_P_-0, 01551_09_0097_P_-18, 015
01551_09_0097_P_-24, 01551_09_0097_P_-31, §5.4.4.3, §5.1.1.2, §5.1.3.1, §5
spéciaux
5.1.3.2 : Suppression de la transition (11) (pas d'extended session dans le boot).
4.2 27/07/10
15:01
ROCHETTE
François
Baseline mineure pour revue technique.
5.0 20/08/10
09:39
ROCHETTE
François
Création d'une nouvelle baseline : Baseline majeure.
5.0 A 20/08/10
15:39
ROCHETTE
François
Baseline 5.0A suite à problème technique DOORS.
5.1 18/10/10
15:37
MEUDEC
Delphine
Baseline mineure suite à revue du 22 Octobre
6.0 28/10/10
08:49
MEUDEC
Delphine
Baseline majeure suite à réunion de décision

ST
02016_12_09367 1.0 DAE BMPV 3 / 112
AUTORISATION
9.0
6.1 10/01/11
08:51
ROCHETTE
François
Baseline mineure pour relecture.
7.0 18/01/11
15:34
ROCHETTE
François
Baseline majeure après réunion de décision.
7.1 17/05/11
14:50
MEUDEC
Delphine
Baseline mineure pour revue technique du 19 mai
8.0 19/05/11
16:19
MEUDEC
Delphine
Baseline majeure suite à revue technique du 19 mai 2011
8.1 04/07/11
13:29
ROCHETTE
François
Création baseline mineure pour relecture.
9.0 12/07/11
09:41
ROCHETTE
François
Baseline majeure suite à revue technique du 06 juillet 2011.

ST
/ ST « UDS SECURED DOWNLOADING FOR POWERTRAIN
AND CHASSIS ECU »
02016_12_09367 1.0 DAE BMPV 4 / 112
AUTORISATION
9.0
Table des matières/Table of contents

ST
AND CHASSIS ECU »
02016_12_09367 1.0 DAE BMPV 5 / 112
AUTORISATION
9.0
1 OBJET / PURPOSE
Ce document définit l’ensemble des exigences techniques nécessaire à la réalisation de la fonction de
téléchargement de logiciel applicatif et ou de calibration pour les UCE implémentant le protocole UDS.
Le périmètre de ce présent document couvre la partie embarquée dans le véhicule.
The Technical Specification for UDS Secured Programming defines all the technical requirements
needed for implementing the application software or calibration programming function into ECUs that
use the UDS protocol.The scope of this document covers vehicle onboard part.
HISTORIQUE / HISTORY

ST
AND CHASSIS ECU »
02016_12_09367 1.0 DAE BMPV 6 / 112
AUTORISATION
9.0

ST
AND CHASSIS ECU »
02016_12_09367 1.0 DAE BMPV 7 / 112
AUTORISATION
9.0
INTERVENANTS / PARTICIPANTS
Les personnes suivantes ont participé à la vérification de cette Spécification Technique
The following persons took part in the review and the verification of this Technical Specification

ST
AND CHASSIS ECU »
02016_12_09367 1.0 DAE BMPV 8 / 112
AUTORISATION
9.0
2 DOMAINE D’APPLICATION / SCOPE of application
2.1Contexte de développement du système / SYSTEM DEVELOPMENT Context
Ce présent cahier des charges s'applique à tous les développements de calculateurs embarqués sur des
véhicules PEUGEOT ET CITROEN
This document applies to all the PEUGEOT Automobiles and CITROEN Automobiles vehicles
connected on the Can network.
2.1.1 Objectifs / OBJECTIFS
On désire pouvoir effectuer des réalignements d'UCEs, lorsque des défauts ont été identifiés, et que
ceux-ci sont corrigibles par téléchargement d'une nouvelle version de logiciel applicatif.
Ces opérations de réalignement doivent être possibles :
 sur véhicule, c'est à dire sans démontage du calculateur,
 en utilisant le bus d’accès du calculateur du véhicule,
 via la prise diagnostic normalisée située dans l'habitacle,
 sans avoir à appliquer de tension spécifique externe.
L’objectif est d’utiliser les moyens et procédures de réalignement :
 dans les réseaux après-vente,
 sur parcs des usines de montage,
 sur les UCEs prototypes utilisées en mise au point.
De plus, l’objectif est de garantir au client, et aux organismes de réglementation des divers pays de
vente, la stricte conformité du logiciel applicatif et de la calibration téléchargés.
It is whished to make ECU realignment operations, when defects have been identified, and when those
may be corrected through downloading of a new application software version.
These realignment operations shall be possible:
 on the vehicle, that is without dismantling the calculator,
 using the vehicle diagnostic bus,
 via the standard diagnostic socket located in the passenger compartment,
 without having to apply an external specific voltage.
The objective is to use the realignment means and procedures:

ST
AND CHASSIS ECU »
02016_12_09367 1.0 DAE BMPV 9 / 112
AUTORISATION
9.0
 in the after-sales networks,
 in assembly plant parks,
 on ECU prototypes used in development phase.
2.1.2 Avantages / ADVANTAGES
2.1.2.1 Réseau après-vente / After Sales Networks
Coût :
 pas de démontage de pièces
 pas de coût "pièce"
Délais :
 pas de pièce à approvisionner (pièce "alignable" disponible sur le véhicule)
Satisfaction Client :
 opération rapide
 pas d'intervention mécanique sur son véhicule (effet psychologique)
 les moyens étant en place, l'opération est quasi gratuite
Cost :
 no parts disassembly
 no "parts" cost.
Time Factor:
 no part to be supplied (part to be aligned is available on the vehicle)
Customer Satisfaction :
 time-saving operation,
 no mechanical intervention on the customer's vehicle (psychological effect),
 as all necessary means are already available, the operation is almost cost-free
2.1.2.2 Parcs Usines de Montage / Assembly plant parks
Coût :
 pas de démontage de pièces
 pas de coût "pièce"
Délais :
 suppression du délai de fabrication de pièces corrigées par le fournisseur
 suppression du délai de transport
Cost :
 no parts disassembly
 no "parts" cost.
Time Factor:
 elimination of delay for manufacture of corrected parts by the supplier
 elimination of transport delay
2.1.2.3 Prototypes Bureau d'Etudes / Engineering centre prototypes
Temps :

ST
AND CHASSIS ECU »
02016_12_09367 1.0 DAE BMPV 10 / 112
AUTORISATION
9.0
 pas de démontage de l'UCE
 pas d'ouverture de l'UCE pour échange de mémoire
Fiabilité :
 mémoire soudée, comme sur UCE de série
Time factor :
 no disassembly of the ECU,
 no opening of ECU for memory exchange
Fiability :
 soldered memory, as in the series ECU
2.1.3 Contraintes organisationnelles / ORganisational constraintes
 Outils de réalignement à développer
 Equipement des sites habilités des réseaux après-vente
 Organisation à mettre en place afin de gérer des références de logiciels applicatifs, de
versions de logiciels applicatifs, de calibrations, associées à des références Pièces et à leurs
numéros d’homologation
 Logistique de distribution et d'archivage des versions de logiciel applicatif à mettre en œuvre
dans le réseau
 Verrous à mettre en place pour éviter toute erreur dans la nature ou la référence du logiciel
applicatif et de la calibration téléchargés
 Realignment tools to be developed.
 Equipment of the authorised sites within the after-sales networks.
 Organisation to be set-up in order to manage software references, software versions,
calibrations references, associated with Part references and their standardisation numbers.
 Logistic for the distribution and archiving software versions to be implemented in the
network.
 Locks to be set up in order to avoid any errors in the nature or reference of the software and
of the calibration downloaded.
2.1.4 Etiquetage des boîtiers / housing labelling
Il sera systématiquement fait un étiquetage électronique du boîtier lors de sa mise à jour.
 il s’agit de données inscrites dans une zone de FLASH
 l’UCE conserve l’Historique de ses alignements successifs
 le dernier enregistrement reflète l’état actuel de la pièce
The housing shall systematically be attributed an electronic tag when it is updated
 this tag shall consist of data inscribed in a FLASH zone
 the ECU shall keep a Log of any successive alignments
 the last recording shall reflect the actual status of the part
2.2 Nature de la mise à niveau de l’UCE / nature of the ecu upgrade
La mise à niveau d'une UCE pourra, selon le cas, porter sur :
 la "Calibration" uniquement (Tuning Values)

ST
AND CHASSIS ECU »
02016_12_09367 1.0 DAE BMPV 11 / 112
AUTORISATION
9.0
 le "Logiciel applicatif" et la "Calibration"
La plupart des défauts constatés sont traitables par une évolution de calibration.
La mise à jour de la calibration seule représente un gain de temps énorme, très appréciable sur parc
usine.
Actions réalisables sur une UCE via le protocole de reprogrammation
Remarque : Ce schéma de principe ne tient pas compte des zones d’exclusions en lecture/écriture propres
à chaque système et aux sécurités qui y sont implémentées.
Depending on the case, an ECU upgrade can involve changing either:
 "Calibration" only ("Tuning Values"),

ST
AND CHASSIS ECU »
02016_12_09367 1.0 DAE BMPV 12 / 112
AUTORISATION
9.0
 "Application Software" and "Calibration".
Most faults encountered can be solved simply by upgrading the calibration values.
By limiting the upgrade to the calibration values, it is possible to save a significant amount of time,
which is particularly useful in a park (approximately 30 times faster than a complete software +
calibration update).
Actions which may be performed on a ECU via the reprogramming protocol
NOTE: This basic diagram does not take into account the read/write exclusion zones specific to
each system and to the security means used.
2.3 Description générale du système / general description of the system
L’objet de la fonction « ST téléchargement sécuritaire UDS » est d’assurer:
 Le démarrage de l’UCE.
 Le téléchargement de l’UCE.
The purpose of the function « ST Downloading security UDS » is to assume
 UCE Starting
 UCE downloading.
2.4 Fonction / FUNCTION
Les fonctions nécessaires au téléchargement d’une UCE sont les suivantes :
The functions required for the downloading of an ECU are the following :

ST
AND CHASSIS ECU »
02016_12_09367 1.0 DAE BMPV 13 / 112
AUTORISATION
9.0
Les modules logiciels qui gèrent les services utilisés pour la reprogrammation doivent être intégrés au
Boot. C’est pourquoi nous avons cherché à réduire au strict nécessaire le nombre de services utilisés pour
les besoins d’alignement.
The software modules than managed services used for reprogrammation have to be integrated to the
Boot. That why we have choose to implement the minimum of services number used for alignement.
Le corps de ce CdC décrit sous format d’exigences, fonction par fonction le traitement qui est à réaliser
par l’UCE.
Pour chaque fonction ou requête reçue, le traitement de principe est le suivant : tout d’abord un filtrage
de premier niveau (données de contrôle, valeurs de paramètres), puis transfert des données pour
traitement à une routine dédiée qui effectuera un filtrage plus fin (contextuel) avant de réaliser
éventuellement la requête.
Le filtrage de premier niveau exerce des contrôles vis à vis :
 du type d’UCE avec service supporté
 des spécificités de l’UCE avec validité des paramètres (ex: Repère logique valide)
 (lorsque le contrôle de "validité" des paramètres n’est pas réalisable intégralement à ce niveau
- quand celui-ci est trop spécifique à la requête - il sera affiné au niveau du traitement des
requêtes)
 du contexte de fonctionnement de l’UCE avec requête en cours (premier niveau de contexte)
Les "logigrammes" présentés par la suite décrivent le comportement fonctionnel de l’UCE, face à
chacune des requêtes issues de l’outil :
 Sécurités et verrous divers à prendre en compte.
 Actions à mener par l’UCE.
 Réponses positives de l’UCE pour confirmation (avec Status éventuel).
 Réponses négatives de l’UCE.
Le logigramme ci-dessous illustre le filtrage du premier niveau.

ST
AND CHASSIS ECU »
02016_12_09367 1.0 DAE BMPV 14 / 112
AUTORISATION
9.0
The CDC describes with requirements formats, function by function the treatment which is made by
ECU.
The principle processing for each request received shall be as follows: primarily, a first level filtering
(checking data, parameter values), then data transfer for processing through a dedicated routine which
performs a more detailed filtering (contextual) before executing the request.
The first level filtering performs checks on:
 ECU type with service supported,
 ECU specificity with validity of parameters (example: : Logical marker valid, recognised
speed) (if the parameter "validity" control cannot be carried out completely at this level -
when it is too specific to the request - a more detailed control is carried out at request
processing level)
 ECU operating context with request being processed (context first level)
The « flow charts ».presents in the document describe the ECU functional behaviour for each request of
tool :
 Securities and locks to be applied.
 Actions to be applied by ECU
 Positives responses of ECU with confirmation (with potentially status).
 Negatives responses of ECU
The flow chart above explaines the first filtering level :

ST
AND CHASSIS ECU »
02016_12_09367 1.0 DAE BMPV 15 / 112
AUTORISATION
9.0
3 documents cités / Quoted documents
3.1 Documents de référence / reference documents
3.2 Documents applicables / applicable documents
4 TERMINOLOGIE / terminology
4.1 Glossaire
Boot : Désigne l'ensemble des logiciels résidents dans l'UCE (en ROM et/ou dans un segment de
FLASH). Il assure la gestion du dialogue avec l'outil:
(Protocole et Services minimaux)
 Lecture de l’identification complète de l’UCE
 Fonctionnalité de déverrouillage de l’UCE
 Fonctionnalité d'effacement du composant FLASH (Calib. ou Global)
 Fonctionnalité d'écriture du composant FLASH (Calib. ou Global)
 Lancement de l’auto-contrôle de l’UCE (Logiciel applicatif + Calibration)
 Gestion d’une zone Historique (Etat Passé et Présent de l’UCE)
Autorisation du fonctionnement du logiciel applicatif, si toutes les phases d’alignement se sont
correctement déroulées
Boot : Term designating all software in the ECU (in ROM and/or in a FLASH segment), and which
cannot be deleted by the programming tool. It is used to manage dialogue with the tool :
(Minimum Protocol and Services)
 reading of the complete identification of the ECU,

ST
AND CHASSIS ECU »
02016_12_09367 1.0 DAE BMPV 16 / 112
AUTORISATION
9.0
 unlocking functionality of the ECU
 erasing functionality of the FLASH component (Calibration or Total),
 writing functionality of the FLASH component (Calibration or Total),
 start-up of the ECU self-check (application Software + Calibration),
 management of a Log zone (Past and Present status of the ECU),
 application software operation authority, if all alignment phases have been correctly
executed.
Power Latch : Temps entre la volonté de coupure de l’alimentation et la coupure effective de
l’alimentation du calculateur. Pour avoir des détails sur le Power Latch, il faut se référer au document
[6].
Power latch : Time between the power supply cut off and power supply effectiv cut off. For details on
power latch, refer to document [6].
Prise Diagnostic : Connecteur normalisé, situé dans l'habitacle du véhicule, et permettant la connexion
d'un outil de diagnostic débarqué, ou d'un outil de reprogrammation.
Diagnostic Connector : Standard connector, located in the passenger compartment, to enable the
connection of an portable diagnostic tool, or of a reprogramming tool.
Reset UCE : Mécanisme "Hardware" du microprocesseur utilisé dans une UCE.
Sur coupure de l'alimentation, puis réalimentation du microprocesseur de l'UCE, celui-ci, redémarre dans
des conditions prédéfinies :
 Toujours le même état de ses registres
 Toujours la même adresse du programme
ECU Reset : Microprocessor "Hardware" mechanism used in a ECU.
If the power supply fails, and is then restored to the ECU Micro, it restarts under preset conditions:
 with its registers always in the same status,
 always with the same program address.
Flash Eprom : Encore appelée "FLASH". Composant mémoire effaçable électriquement et
réinscriptible :
 Effacement : se fait toujours en mode "bloc", soit toute la mémoire du composant, soit le
segment N° i du composant
 Ecriture : se fait octet par octet
Also called "FLASH". Memory component which can be deleted electrically and re-written
 Erasing: always in "block" mode, either the entire component memory, or segment No. i
of the component
 Writing: always byte by byte.
E2prom : composant mémoire effaçable électriquement et réinscriptible beaucoup plus lent que la
Flash-EPROM.
 Effacement : se fait en mode "bloc", soit octet par octet
 Ecriture : se fait octet par octet

ST
AND CHASSIS ECU »
02016_12_09367 1.0 DAE BMPV 17 / 112
AUTORISATION
9.0
E2prom : Rewriteable electrically erasable memory component, much slower than Flash-EPROM.
 Erasing: always in "block" mode, or. byte by byte.
 Writing: byte by byte
5 EXIGENCES / REQUIREMENTS
5.1Exigences fonctionnelles / functionals requirements
5.1.1 Paramètres internes et automates etats uce / internal parameters and
ECU states automates
5.1.1.1 Paramètres internes / internal parameters
Un certain nombre de « flags » et de « jetons » internes seront utilisés par les différentes phases de
programmation, afin de garantir le strict respect de leur enchaînement.
/ A certain number of "flags" and "tokens" must be used by the various programming phases, to ensure
strict observance of their specified sequence.

ST
AND CHASSIS ECU »
02016_12_09367 1.0 DAE BMPV 18 / 112
AUTORISATION
9.0

ST
AND CHASSIS ECU »
02016_12_09367 1.0 DAE BMPV 19 / 112
AUTORISATION
9.0
5.1.1.2 Gestion de la variable ETAT_UCE pour garantir la complétude de
l’alignement / Management of ECU _STATUS to guarantee alignement phases
L’objectif visé est d’éviter qu’un véhicule soit remis à un client avec une ou plusieurs UCEs mal ou
incomplètement reprogrammées (Prestation, sécurité, conformité réglementaire).
Le principe utilisé est le suivant:
 inhiber le fonctionnement du logiciel applicatif (basculement de l’applicatif au boot dès le
passage en session de reprogrammation.
 tout au long de l’opération d’alignement, l’UCE surveille l’exécution correcte des
différentes phases (status), et le strict respect de leur enchaînement
 le fonctionnement du logiciel applicatif ne sera autorisé que lorsque la dernière phase, à
savoir la mise à jour de la zone Historique (étiquette électronique), aura été accomplie
avec succès
Pour mettre en œuvre cette sécurité indispensable, un octet "ETAT_UCE" est utilisé.
The objective is to remove the risk to return a vehicle to a client with one or several ECU badly or
incompletely reprogrammed (Services, safety, regulatory compliance).
The principle used is as follows:
 inhibit the application software operation as soon as the alignment operation starts (when
the tool request demanding unlocking of the ECU for a reprogramming is recognised),
 for the duration of the alignment operation, the ECU monitors the correct execution of the
different phases (status), and strict observance of their sequence,
 the operation of the application software will not be authorised until the last phase, that is
the update of the Log zone (electronic tagging), has been successfully completed.
In order to implement this vital security mechanism, an "ETAT_UCE" byte is used.
Exi : -01551_09_0097_P_-0 (2.0) Type :
Générique
Exi amont :

ST
AND CHASSIS ECU »
02016_12_09367 1.0 DAE BMPV 20 / 112
AUTORISATION
9.0
"ETAT_UCE" est nécessairement en mémoire FLASH et non soumis à contrôle par CheckSum.
Les conventions suivantes seront utilisées pour "ETAT_UCE" :
 ETAT_UCE = $00 : Logiciel applicatif inhibé
 ETAT_UCE appartient à [$F0, $FE] : Logiciel applicatif fonctionnel
 ETAT_UCE = $FF : Logiciel applicatif inhibé
"ETAT_UCE" sera géré comme suit:
 ETAT_UCE est forcé à $00 dès le début de l’alignement (Requête d’effacement partiel ou
global),
 ETAT_UCE passe automatiquement à $FF lors de l’effacement de tout ou partie de la
Flash,
 ETAT_UCE est forcé à $00, dès détection d’une anomalie non récupérable autrement que
par un nouvel effacement de la Flash,
 ETAT_UCE n’est positionné à $F0 qu’en fin de processus d’alignement (Lorsque
l’écriture de la zone Historique a été effectuée correctement)
"ETAT_UCE" is necessarily in FLASH memory, not subjected to checks through CheckSum.
The following conventions shall be used for "ETAT_UCE":
 ETAT_UCE= $00 : Application software inhibited,
 ETAT_UCE included in [ $F0, $FE ] : Functional application software
 ETAT_UCE = $FF : Application software inhibited
"ETAT_UCE" is managed as follows:
 ETAT_UCE is forced to $00 at the beginning of the alignment (Request for partial or total
erasing),
 ETAT_UCE automatically shifts to $FF when erasing all or part of Flash,
 ETAT_UCE is forced to $00 when an anomaly is detected which can only be solved by
erasing the Flash,
 ETAT_UCE is only set to $F0 at the end of the alignment process (When the writing of the
Log Zone has been performed correctly)
Cependant il ne serait pas fiable de baser le démarrage de l’applicatif sur le test de ETAT_UCE par
rapport à la seule valeur $F0.
En effet une "perte de charges" sur une seule des 4 cellules du "Nibble" de poids faible, conférerait à
ETAT_UCE une des 4 valeurs: $F1, $F2, $F4 ou $F8, ce qui rendrait négatif le résultat de la
comparaison à $F0.
C’est ce qui explique la nécessité de:
- démarrer l’applicatif SI $F0 ETAT_UCE  $FE
- inhiber l’applicatif SI (ETAT_UCE < $F0) ou (ETAT_UCE = $FF)
It would be unreliable to base the start-up of the application on the ETAT_UCE test using the single
value $F0. In fact a "load loss" on any one of the 4 low significance "Nibble" cells would set the
ETAT_ECU to one of the 4 values : $F1, $F2, $F4 or $F8, giving a negative result when compared to
$F0.
For this reason it is important to:
- start the application IF $F0 <= ETAT_UCE <= $FE,
- inhibit the application IF (ETAT_UCE< $F0) or (ETAT_UCE= $FF).

ST
AND CHASSIS ECU »
02016_12_09367 1.0 DAE BMPV 21 / 112
AUTORISATION
9.0
5.1.1.3 Gestion de la variable TENTAT_VIOL et mécanisme anti-scanning /
Management of TENTAT_VIOL anti scanning mechanism
Pour le mécanisme anti-scanning, il faut se référer notamment à l’exigence 01551_09_00097_P_045.
For anti scanning mechanism, we have to refera at the requirement 01551_09_00097_P_045.
La tentative de viol est mémorisée, (en mémoire non volatile). Un octet de Flash, "TENTAT_VIOL" est
utilisé dans ce but.
The violation attempt shall be memorised, (engraved in the product). One Flash byte, "TENTAT_VIOL"
is used for this purpose.
Exi : -01551_09_0097_P_-1 (1.0) Type :
Générique
Exi amont :
" Cet octet est situé dans le segment de Flash où se trouve la "Calibration" (Hors zone contrôlée).
- Sa valeur "normale" est $FF.
- En cas de tentative de violation, l’UCE le force à $00.
- Cet octet n’est pas soumis au déverrouillage de la flash par la « Signature-Outil » en RAM
- Cet octet "TENTAT_VIOL" est testé à chaque démarrage de l’UCE, et la temporisation anti-scanning
armée s’il est différent de $FF (Ce mécanisme empêche de "shunter" la sécurité anti-scanning par des
Resets de l’UCE volontairement provoqués).
- Le seul moyen qu’a l’octet "TENTAT_VIOL" pour repasser à $FF est que soit réalisé un effacement de
la zone calibration (ou des zones Logiciel applicatif + Calibration). Cet effacement ne peut avoir lieu que
si l’outil connecté parvient à déverrouiller l’UCE avec une clef valide.
This byte is located in the segment of Flash in which the "Calibration" is to be found (outside the
controlled zone).
- Its "normal" value is $FF.
- If an infraction is recognised, the ECU forces its value to $00.
- This byte is not substracted to flash unlocking by the « tool-print » in RAM
- The "TENTAT_VIOL" byte is tested each time the ECU is started, and the anti-scanning time-out is
triggered if it is found to be different from $FF (this mechanism prevents "shunting" of the anti-scanning
safety device through intentional ECU Resets).
The only way in which the "TENTAT_VIOL" byte can be reset to $FF, is either by erasing the calibration
zone (or the Software application + Calibration zones), This erasing can only be carried out if the
connected tool can unlock the ECU using a "Security Access " with a valid key.
5.1.1.4 Automate d’états de l’UCE / ECU State Automate
Automate d’états de l’UCE

ST
AND CHASSIS ECU »
02016_12_09367 1.0 DAE BMPV 22 / 112
AUTORISATION
9.0
ECU State Automate

ST
AND CHASSIS ECU »
02016_12_09367 1.0 DAE BMPV 23 / 112
AUTORISATION
9.0
Exi : -01551_09_0097_P_-2 (2.0) Type :
Générique
Exi amont :
La transition (0) correspond à l’alimentation de l’UCE.
The transition (0) is ECU power supply
Exi : -01551_09_0097_P_-3 (2.0) Type :
Générique
Exi amont :
La transition (1) est obtenue sur réception de la requête DSC $01. La session par défaut session se
réinitialise.
The transition (1) is obtained on reception of request DSC $01. The default session is reinitialized
Exi : -01551_09_0097_P_-4 (1.0) Type :
Générique
Exi amont :
La transition (2) est obtenue sur réception de la requête DSC $03.
The transition (2) is obtained on reception of request DSC $03..
Exi : -01551_09_0097_P_-5 (1.0) Type :
Générique
Exi amont :
La transition (3) est obtenue sur réception de la requête DSC $01 ou lorsque le timeout de déconnexion
est écoulé.
The transition (3) is obtained on reception of request DSC $01 or when deconnexion time out is
finished..
Exi : -01551_09_0097_P_-6 (2.0) Type :
Générique
Exi amont :
La transition (4) est obtenue sur réception de la requête DSC $03. La session étendue se réinitialise.
The transition (4) is obtained on reception of request DSC $03. The extended session is reinitialized
Exi : -01551_09_0097_P_-7 (3.0) Type :
Générique
Exi amont :

ST
AND CHASSIS ECU »
02016_12_09367 1.0 DAE BMPV 24 / 112
AUTORISATION
9.0
Les transitions (5) et (6) sont obtenues sur réception de la requête DSC $02. Cette requête fait sauter
l’application dans le boot, le fonctionnel lié au logiciel applicatif est alors inhibé. Avant d’accepter cette
requête, le calculateur doit vérifier que :
 les paramètres dynamiques du véhicule auquel il a accès sont représentatifs d’un état
sécuritaire (conditions à définir par le responsable du projet, par exemple : vitesse véhicule =
0, vitesse moteur = 0, vitesse roue = 0, etc.). Dans le cas contraire, le calculateur répondra
négativement NRC $22 (l’utilisation de NRC plus appropriés est autorisée : NRC $83 ou NRC
$88).
 Les états de l’ADC sont compatibles de cette requête (se référer au DC_TI_21). Dans le cas
contraire, le calculateur répondra NRC $22.
The transitions (5) and (6) are obtained on reception of request DSC $02. This request makes switch the
application to the boot, so the functional linked to application software is inhibited. Before accepting this
request, the the ECU shall check that :
 the vehicle dynamic parameters to which it has access, are representative of a safe condition
(conditions to be defined by the project, for instance : Engine speed = 0, Vehicle Speed = 0,
Wheel Speed = 0, etc...). If the specified conditions are not be complied with, apply negative
answer NRC $22 (NRC more addapt are allowed : NRC $83 or NRC $88)
 The ADC states are compatible of this request (refer to DC_TI_21)). If this condition is not
applied, the ECU will answer NRC $22
Exi : -01551_09_0097_P_-123 (1.0) Type :
Générique
Exi amont :
Dans le cas des transitions (5) et (6), la réponse positive à la requête DSC $02 est envoyée par le
calculateur uniquement après le basculement dans le boot.
In case of transitions (5) and (6), the positive response at the request DSC $02 is sended by ECU only
after the switch to the boot
Exi : -01551_09_0097_P_-8 (1.0) Type :
Générique
Exi amont :
The transition (7) is obtained on reception of the request DSC $01.
Exi : -01551_09_0097_P_-9 (1.0) Type :
Générique
Exi amont :
supprimée
deleted
Exi : -01551_09_0097_P_-10 (1.0) Type :
Générique
Exi amont :
supprimée
deleted
Exi : -01551_09_0097_P_-11 (1.0) Type :
Générique
Exi amont :

ST
AND CHASSIS ECU »
02016_12_09367 1.0 DAE BMPV 25 / 112
AUTORISATION
9.0
supprimée
deleted
Exi : -01551_09_0097_P_-12 (1.0) Type :
Générique
Exi amont :
supprimée
deleted
Exi : -01551_09_0097_P_-13 (1.0) Type :
Générique
Exi amont :
The transition (12) is obtained on reception of the request DSC $02
Exi : -01551_09_0097_P_-14 (2.0) Type :
Générique
Exi amont :
La transition (13) est obtenue sur réception de la requête DSC $02. Elle provoque l'envoi d'une réponse
négative NRC $22.
The transition (13) is obtained on reception of the request DSC $02. It triggers the sending of a negative
response NRC $22.
Exi : -01551_09_0097_P_-15 (1.0) Type :
Générique
Exi amont :
La transition (14) est obtenue sur réception de la requête DSC $01 ou lorsque le timeout de déconnexion
est écoulé. Le calculateur doit se « reseter » et effectuer les opérations décrites au paragraphe «
Démarrage de l’UCE » (§5.1.2).
The transition (14) is obtained on reception of the request DSC $01 or when the deconnexion time out is
finished. The ECU has to reset and make operations described in « ECU starting » (§5.1.2).
Exi : -01551_09_0097_P_-16 (1.0) Type :
Générique
Exi amont :
supprimée
deleted
5.1.2 DEMARRAGE DE l’uce / ECU Starting
Le démarrage de l’UCE se fait lors de la transition (0) (voir 5.1.1.4 automates d’états de l’UCE).
The ECU Starting made on transition (0) (see 5.1.1.4 ECU state automates

ST
AND CHASSIS ECU »
02016_12_09367 1.0 DAE BMPV 26 / 112
AUTORISATION
9.0
5.1.2.1 Comportement de l’UCE suite au reset / Ecu behaviour when reset
Exi : -01551_09_0097_P_-17 (1.0) Type :
Générique
Exi amont :
Lors du démarrage, ou lors d'un reset, le « Boot » doit réaliser les opérations suivantes :
 Remettre par sécurité, « Signature-Outil » en RAM à 0x0000 (Cela permet de garantir que
la Flash ne risque aucune altération fortuite, effacement ou écriture, pendant le
fonctionnement du système).
 Tester l’octet « ETAT_UCE » Selon la valeur de celui-ci, autoriser ou inhiber le logiciel
applicatif
When starting , or when reset, the “boot” shall perform the following operations:
 Reset, for safety reasons, the Tool-Signature RAM to $0000 (this guarantees that there is
no risk of an unintentional alteration, deletion or writing of the Flash while the system is
in operation),
 Test the "ETAT_UCE" byte,
5.1.2.2 Logiciel applicatif fonctionnel / functionnal application software
Exi : -01551_09_0097_P_-18 (2.0) Type :
Générique
Exi amont :
Si 0xF0  « ETAT_UCE »  0xFE alors l'UCE doit être rendue complètement opérationnelle, et
assurer :
 La gestion du medium de communication diagnostic,
 La prise en compte de tous les services de diagnostic.
If $F0  ETAT_UCE  $FE then the ECU must be made completely operational, and the following
ensured:
 management of the diagnostic lines,
 acceptance of all diagnostic services specified in its product specifications,
5.1.2.3 Logiciel applicatif inhibé / inhibited application software
Exi : -01551_09_0097_P_-19 (1.0) Type :
Générique
Exi amont :
Si ETAT_UCE » < 0xF0 ou « ETAT_UCE » = 0xFF alors le logiciel applicatif doit être inhibé, l’UCE
ne remplit pas sa mission fonctionnelle véhicule, le « Boot » se contente de :
 La gestion du medium de communication diagnostic.
Prendre en compte les services minimaux, nécessaires à la reprogrammation de l'UCE.
If ETAT_UCE < $F0 or If ETAT_UCE = $FF, the application software shall be inhibited: the
ECU does not fulfil its vehicle functional mission, the boot simply:
 manages the diagnostic lines,
 handles minimum services, required for the reprogramming of the ECU.

ST
AND CHASSIS ECU »
02016_12_09367 1.0 DAE BMPV 27 / 112
AUTORISATION
9.0
5.1.2.4 Valeurs d’initialisation des paramètres internes / initial values of internals
parameters
Exi : -01551_09_0097_P_-20 (2.0) Type :
Générique
Exi amont :
Un certain nombre de « flags » et de « jetons » sont utilisés par les différentes phases de programmation,
afin de garantir le strict respect de leur enchaînement, les valeurs possibles ainsi que les valeurs
d’initialisation (mise sous tension, réinitialisation suite au reset) sont décrites dans le tableau ci-dessous :
Les flags « RD_OK », « RD_HISTO_OK », « RD_CLEFAPPLI_OK » sont utilisés afin de garantir le
strict respect de l’enchaînement entre les requêtes de préparation et de transfert des données.
A certain number of "flags" and "tokens" are used by the various programming phases, to ensure strict
observance of their specified sequence, the possible values and initilization values are described

ST
AND CHASSIS ECU »
02016_12_09367 1.0 DAE BMPV 28 / 112
AUTORISATION
9.0
The « RD_OK », « RD_HISTO_OK », « RD_CLEFAPPLI_OK » flags are used , to ensure strict
observance of their specified sequence between preparation requests and data transfers.
5.1.2.5 Valeurs d’initialisation de TENTAT_VIOL et AS / initializations values of
TENTAT_VIOL and AS
« TENTAT_VIOL »
TENTAT_VIOL :

ST
AND CHASSIS ECU »
02016_12_09367 1.0 DAE BMPV 29 / 112
AUTORISATION
9.0
Exi : -01551_09_0097_P_-21 (1.0) Type :
Générique
Exi amont :
TENTAT_VIOL » n’est pas initialisé il prend sa valeur courante (lue dans la Flash)
« AS »
« TENTAT_VIOL” is not initialised, but takes its current value (read in Flash)
« AS »:
« TEMPO_AS » est un compteur permettant d’interdire la prise en compte de demande de
déverrouillage:
« TEMPO_AS » is a counter used to forbidd the unlocking request
Exi : -01551_09_0097_P_-22 (1.0) Type :
Générique
Exi amont :
« TENTAT_VIOL » doit être testé à chaque démarrage de l’UCE. Si « TENTAT_VIOL » = « vrai » alors
mettre « AS » = « armé ». Une fois « AS » = « armé », l’UCE commence à décrémenter « TEMPO_AS »
à partir de 10 secondes (Ce mécanisme empêche de "shunter" la sécurité anti-scanning par des Resets de
l’UCE volontairement provoqués).
« TENTAT_VIOL » has to be tested at each starting of ECU. If « TENTAT_VIOL » = « true » so set « AS
»= « amed ». When « AS » = « armed », ECU begins to decrement « TEMPO_AS » from 10 seconds (
This mechanism is used to prevent the anti scanning bu ECU resets.

ST
AND CHASSIS ECU »
02016_12_09367 1.0 DAE BMPV 30 / 112
AUTORISATION
9.0
Logigramme de l’armement de la tempo anti-scanning
Flow chart of anti-scanning time
Logigramme de l’initialisation des flags téléchargement
Flow chart of initialisation download flags

ST
AND CHASSIS ECU »
02016_12_09367 1.0 DAE BMPV 31 / 112
AUTORISATION
9.0

ST
AND CHASSIS ECU »
02016_12_09367 1.0 DAE BMPV 32 / 112
AUTORISATION
9.0
5.1.3 OUVERTURE DE LA SESSION DE REprogrammation / programming
session opening
5.1.3.1 Logiciel applicatif fonctionnel / functionnal application software
Dans le cas où le logiciel applicatif est fonctionnel (applicatif valide), deux cas peuvent se présenter :
 Si l’UCE est en session par défaut, la transition (5) permettra de positionner l’UCE en
session de reprogrammation (programming session)
 Si l’UCE est en session étendue, la transition (6) permettra de positionner l’UCE en
session de reprogrammation (programming session)
When the application software is functionnal (application valid), two cases are possible:
 If ECU is in default session, the transition (5) is used to switch ECU in programming
session
 If ECU is in extended session, the transition (6) is used to switch ECU in programming
session
Avant de permettre ces transitions, il est nécessaire de vérifier que les conditions suivantes sont
satisfaites.
Before permitting transitions, it would be necessary to check if the following conditions are applied
Sur réception d’une « demande d’ouverture de session de reprogrammation », et dans le cas où l’UCE est
fonctionnelle (F0  ETAT_UCE  FE), l’UCE doit donc vérifier :
On reception of « request of programming session opening», and in the case than ECU is functionnal
(F0  ETAT_UCE  FE), ECU has to check :
Exi : -01551_09_0097_P_-23 (1.0) Type :
Générique
Exi amont :
- Que les paramètres dynamiques véhicule sont représentatifs d’un état sécuritaire.
Dans le cas où les conditions ne sont pas remplies, faire une réponse négative de type NRC 22, NRC 83,
NRC 88..
Exemple : Vitesse moteur = 0
et Vitesse véhicule = 0
et Vitesse roues = 0
etc..
 than the vehicle dynamic parameters to which it has access, are representative of a safe
condition...). If the specified conditions are not be complied with, apply negative answer
NRC $22, NRC $83 or NRC $88)
Example : Engine speed = 0
and Vehicle speed = 0
and Wheel speed = 0
etc..

ST
AND CHASSIS ECU »
02016_12_09367 1.0 DAE BMPV 33 / 112
AUTORISATION
9.0
Exi : -01551_09_0097_P_-24 (3.0) Type :
Générique
Exi amont :
 l’efficacité du verrou ADC, protection du véhicule (uniquement pour les calculateurs
disposant de la fonction ADC)
L’UCE doit donc vérifier les états de la fonction Immobilisation (Fonction ADC, voir [7] DC_TI_21).
Dans le cas où cette condition n’est pas remplie, faire une réponse négative de type NRC 22.
 VERLOG efficiency, protection of vehicle (only for controls with ADC function)
An alignment is to be authorised only if the states of Immobilisation function (ADC function see [7]
DC_TI_21)
If this specified condition is not applied, apply negative answer as NRC $22.
Exi : -01551_09_0097_P_-25 (1.0) Type :
Générique
Exi amont :
Les paramètres et donc l’ensemble des conditions sont à spécifier, système par système, par le pilote.
These parameters and so all conditions have to be specify, system by system by the pilot
Exi : -01551_09_0097_P_-26 (1.0) Type :
Générique
Exi amont :
Sur réception d’une requête et si les conditions respectées, le saut dans le boot est effectué. Le
fonctionnement du logiciel applicatif est alors inhibé.
On reception of a request, and if conditions are applied, the switch to the boot is made. The
functionnement of application software is so inhibited.
5.1.3.2 Logiciel applicatif inhibé / inhibited application software
Dans le cas où le logiciel applicatif est inhibé (applicatif non valide), si l’UCE est en session par défaut,
la transition (12) permettra de positionner l’UCE en session de reprogrammation (programming session).
 When the application software is inhibited (application not valid)if ECU is in default
session, the transition (12) is used to switch ECU in programming session.
Exi : -01551_09_0097_P_-27 (1.0) Type :
Générique
Exi amont :
Sur réception d’une « demande d’ouverture de session de reprogrammation », dans le cas où l’UCE est
non fonctionnelle (ETAT_UCE = 0xFF ou ETAT_UCE < 0xF0) : on bascule en session de
reprogrammation sans conditions à vérifier.
On reception of « request of programming session opening», and in the case than ECU is no functionnal
(ETAT_UCE = 0xFF ou ETAT_UCE < 0xF0) : we switch on programming session without conditions to
ckeck
Exi : -01551_09_0097_P_-28 (3.0) Type :
Générique
Exi amont :

ST
AND CHASSIS ECU »
02016_12_09367 1.0 DAE BMPV 34 / 112
AUTORISATION
9.0
La séquence de « Demande d’ouverture de session de reprogrammation » doit respecter l’organigramme
ci-dessous :
The sequence of « Request Programming session opening» has to be conform to the flow chart above :

ST
AND CHASSIS ECU »
02016_12_09367 1.0 DAE BMPV 35 / 112
AUTORISATION
9.0
5.1.4 Lecture de L’authentification (za) / (ZA) authentification reading
Les informations contenues dans la réponse à la requête « Lecture de authentification » sont définies
dans le document [2].
Cette requête permet d’authentifier l’UCE.
Remarque : Les informations retournées par cette requête ne doivent pas provenir de la zone historique.
Il n’y a pas de condition pour la prise en compte de cette requête par l’UCE, car elle n’engendre qu’une
simple lecture d’informations.
L’UCE compose la salve d’authentification à partir d’informations d’identification contenues dans le
boot (champ IDENT_BOOT).
Le champ IDENT_BOOT contiendra les numéros de plan fonctionnel et produit fonctionnel.
Informations contained in the answer of the request « authentification reading » are defined in the
document [2]
This request is used to identify ECU.
Note : The informations sended by the request have not to come of LOG Zone.
There is no condition for taking account ECU request, because there is only a simple reading.
The ECU builts the authentification frame with informations contained in the boot (champ
IDENT_BOOT)
The champ (IDENT_BOOT) containes functionnal plan number and functional product number.
5.1.5 Zone historique / log zone
Il s’agit de pouvoir reconstituer facilement le vécu de la pièce, c’est à dire de pouvoir accéder à tout
moment à la définition de l’état actuel de la pièce (suite au dernier alignement).
Le but visé par la gestion de cet historique est double:
 traçabilité pour des besoins qualité et expertise (versions successives, dates, sites et outils
d’alignement, nombre d’alignements),
 offrir aux autorités de réglementation une transparence complète sur la vie de l’UCE :
successifs de pièce, et successifs d’homologation.
The purpose is to be capable of easily re-constituting the life cycle of the part, i.e. to be able to access at
any time and according to the requirements:
The purpose of this log management is dual:
 traceability for quality and expertise requirements (successive versions, dates, sites and
alignment tools Numbers, number of alignments),
 offer the regulatory authorities full transparency on the ECU life cycle: parts successive
numbers, and successive standardisation numbers.
5.1.5.1 Format et composition d’un enregistrement Historique: IDENT et REPROG /
format of the LOG save : IDENT and REPROG
Exi : -01551_09_0097_P_-29 (1.0) Type :
Générique
Exi amont :

ST
AND CHASSIS ECU »
02016_12_09367 1.0 DAE BMPV 36 / 112
AUTORISATION
9.0
Chaque enregistrement "Historique" sera constitué de 48 octets.
 une zone d’identification (dénommée "IDENT" ou "ZI"), de 24 octets,
 une zone de reprogrammation (dénommée "REPROG"), de 24 octets, dont 21 utiles.
Each "Log" record consists of 48 bytes, i.e.:
 an identification zone (named "IDENT" or "Z.I."), of 24 bytes,
 a reprogramming zone (named "REPROG"), of 24 bytes.
Les zones sont accessibles en lecture par la requête ReadDataByIdentifier ($22).
Zones could be read by request ReadDataByIdentifier ($22).
Nota : La convention utilisée pour l’octet de marquage de l’enregistrement Historique est la suivante:
 Octet = FF : l’enregistrement Historique est vierge (critère possible de recherche, pour
l’UCE, d’un enregistrement libre).
 Octet = 5C : l’enregistrement Historique a été correctement écrit par l’UCE (valeur
positionnée par l’outil et non modifiée par l’UCE).
 Octet différent de 5C et FF l’enregistrement Historique n’a pas été écrit correctement par
l’UCE. Il doit donc être considéré comme non valide (valeur modifiée par l’UCE et forcée
à 00).
Nota : The convention used for the byte of the "Log Save Marking" is as follows:
 byte = $FF : the Log recording (IDENT + REPROG) is blank (possible search criterion,
for ECU, of a free recording),
 byte = $5C : the Log recording (IDENT + REPROG) has been correctly written by the
ECU (value set by the tool and not modified by the ECU),
 byte différent from $5C and $FF : the Log recording (IDENT + REPROG) has not been
correctly written by the ECU. It must therefore be considered as non-valid (value
modified by the ECU and forced to $00 ; refer to the "Writing of the log Zone").
Exi : -01551_09_0097_P_-30 (1.0) Type :
Générique
Exi amont :

ST
AND CHASSIS ECU »
02016_12_09367 1.0 DAE BMPV 37 / 112
AUTORISATION
9.0
Le nombre de zone d’identification (« Z.I ») minimum exigible et leur accessibilité pour l’application
sont à préciser par le responsable du projet
The minimum number of identifications zones (« ZI ») and their accessibility for the application have to
be precised by the project.
Exi : -01551_09_0097_P_-31 (2.0) Type :
Générique
Exi amont :
A chaque alignement réalisé avec succès, un bloc de 48 octets (IDENT + REPROG), sera écrit en
mémoire Flash :
 dans le segment de Flash qui contient le « Boot » ou bien dans un segment spécifique
Historique (Jamais effacés).
 derrière le chargeur (Zone vierge ne contenant que des $FF)
 en mode "Add-On", c’est à dire que : l’enregistrement d’indice "1" doit se loger derrière le
« Boot », et l’enregistrement d’indice "p" doit se loger à la suite de l’enregistrement "p-1".
La capacité de stockage d’une zone historique est  21 enregistrements / ko
 1ko 1 enregistrement fournisseur d’UCE + 20 enregistrements constructeur
 2ko : 1 enregistrement fournisseur d’UCE + 41 enregistrements constructeur
For each alignment successfully completed, a block of 48 bytes (IDENT + REPROG), is written in the
Flash memory:
 in the Flash segment containing the Loader or in a special Log segment (never erased),
behind the loader (blank zone containing $FF only),
 in "Add-On" mode, i.e.: index "1" recording shall locate behind the Loader, index "p"
recording shall locate behind "p-1" recording.
The storage capacity of a log zone  21 recordings / k bytes:
 1ko : 1 ECU Supplier recording + 20 Manufacturer recordings.
 2ko : 1 ECU Supplier recording + 41 Manufacturer recordings.
Exi : -01551_09_0097_P_-32 (1.0) Type :
Générique
Exi amont :

ST
AND CHASSIS ECU »
02016_12_09367 1.0 DAE BMPV 38 / 112
AUTORISATION
9.0
Mapping de la Zone historique
IDENT (1) et REPROG (1) sont les données inscrites en chaîne fournisseur.
IDENT (p) et REPROG (p) sont les dernières données inscrites lors d’un alignement (ceux sont les
valeurs actuelles).
Remarque : Dans le cas où il n’y a eu aucune reprogrammation de l’UCE, les valeurs actuelles sont celles
de la première programmation (faite par le fournisseur).
Mapping of the LOG Zone
IDENT (1) et REPROG (1) are data written by the supplier.
IDENT (p) et REPROG (p) are the last datas written during alignement (actually values).
Note: In case of there have no programming, the actually values are the values during first
programmation (done by supplier)
Les informations contenues dans la zone historique aux différentes étapes de la vie du calculateur sont
définies dans le document [2].

ST
AND CHASSIS ECU »
02016_12_09367 1.0 DAE BMPV 39 / 112
AUTORISATION
9.0
The informations in LOG Zone for differents steps of ECU Life are defined in the document [2]
5.1.5.2 Lecture de la zone d’identification (ZI) ((ZI) Identification Zone Reading
Le calculateur doit posséder une ZI (Zone d'IDENTification) contenant les paramètres nécessaires à
l'identification du logiciel applicatif.
The ECU has to have a ZI (Identification Zone) containing parameters for identification of application
software.
Il n’y a pas de condition pour la prise en compte de cette requête par l’UCE, car elle n’engendre qu’une
simple lecture d’informations.
There is non condition for taking account this request, because it is just a reading.
Seule la lecture de la ZI (ident(p)) est utilisée en Usine et Après Vente. Les autres zones (ident(p-x))
pourront être utilisées dans le cadre du développement.
Only the reading of ZI (ident(p)) is used in Factory and After Sales. The others zones (ident(p-x)) could
be used during developement.
Exi : -01551_09_0097_P_-33 (1.0) Type :
Générique
Exi amont :
Avant de répondre à la requête de « Lecture de la zone d’identification « Z.I » », l’UCE doit recalculer la
valeur du CRC de l’enregistrement historique, si le calcul correspond au CRC enregistré dans la ZI
(CRC HISTO) alors l’UCE doit répondre positivement, dans le cas contraire l’UCE doit répondre
négativement NRC 22.
Before responding to the « Reading of Identification Zone » « Z.I » », ECU has calculate CRC value of
log recording, if calcul is equal to the CRC recorded in the ZI (CRC LOG) The ECU sends a positive
response, in the contrary case, ECU sends a negative response NRC 22.
Exi : -01551_09_0097_P_-34 (1.0) Type :
Générique
Exi amont :

ST
AND CHASSIS ECU »
02016_12_09367 1.0 DAE BMPV 40 / 112
AUTORISATION
9.0
La réponse à la requête « Lecture de la zone d’identification » (Z.I) doit contenir uniquement les
informations de la dernière zone IDENT disponible.
The reponse at the request « Reading of the identification zone (ZI) has to contained only informations of
the last zone IDENT available
Le détail des champs contenus dans les zones IDENT est défini dans le fichier ODX.
The informations contained in IDENT zones are defined in ODX file.
5.1.6 mecanismes de deverrouillage / unlocking mechanism
Une UCE programmable est, par défaut, "Verrouillée" lors de la transition (0).
Dans l’état "Verrouillé", l’UCE ne traitera aucune requête susceptible d’altérer le contenu de sa mémoire
FLASH (Effacement, Ecriture).
Cette sécurité est nécessaire pour garantir:
 qu’aucune requête (ayant subi une dégradation de communication non détectée par le
protocole), ne soit susceptible d’engendrer une modification intempestive du contenu
mémoire
 que l’outil d’alignement connecté est un outil autorisé PSA, et non un matériel clandestin.
Le "Déverrouillage" de l’UCE est réalisé par deux couples de Requête / Réponse entre l’outil et l’UCE.
L’authentification de l’outil par l’UCE est assurée par le cryptage d’une "Seed" (graine). Ce cryptage est
effectué conjointement par l’UCE et par l’outil.
L’UCE ne se "déverrouillera" que si les deux "Clefs" calculées indépendamment sont identiques.
A programmable ECU is, by default, "Locked" during transition (0)
In "Locked" mode, the ECU will not process any requests likely to alter the contents of its FLASH
memory (Erasing, Writing).

ST
AND CHASSIS ECU »
02016_12_09367 1.0 DAE BMPV 41 / 112
AUTORISATION
9.0
This safety is required in order to guarantee that:
 no request (having been subjected to a degradation of the communication not detected by
the protocol), is likely to generate an unwanted modification of the memory contents,
 the connected alignment tool is a tool authorised by the Manufacturer, not a clandestine
material.
The ECU "unlocking" is performed by two Request / Response couples between the tool and the ECU.
Authentication of the tool by the ECU is provided by the encryption of a "Seed". Such encryption is
performed by both the ECU and the tool.
The ECU "unlocks" only when both independently calculated "keys" are identical.
5.1.6.1 Demande de déverrouillage / Unlocking Request
L’outil sollicite l’UCE pour la génération et l’envoi d’une "Seed" aléatoire par requête Demande de
déverrouillage.
Via the unlocking request, the tool requires from the ECU the generation and sending of a random
"Seed".
Exi : -01551_09_0097_P_-35 (1.0) Type :
Générique
Exi amont :
Sur réception d’une « Demande de déverrouillage », l’UCE doit vérifier que « SEED_SENT » = « faux »,
dans le cas contraire l’UCE devra répondre négativement NRC 24.
On reception of « unlocking request », ECU checks than « SEED_SENT = « false », otherwise ECU
sends a negative Response NRC 24.
Exi : -01551_09_0097_P_-36 (1.0) Type :
Générique
Exi amont :

ST
AND CHASSIS ECU »
02016_12_09367 1.0 DAE BMPV 42 / 112
AUTORISATION
9.0
Sur réception d’une « Demande de déverrouillage », l’UCE doit vérifier la valeur de « AS ». Si « AS » =
« armé » l’UCE devra vérifier la valeur de « TEMPO_AS », si cette tempo est différente de 0 s seconde
alors l’UCE devra répondre négativement NRC 37.
On reception of « unlocking request », ECU checks the value of « AS ». If « AS » = « armed », ECU
checks value of « TEMPO_AS », if this time is different of 0 seconse then ECU sends a negative response
NRC 37.
Exi : -01551_09_0097_P_-37 (1.0) Type :
Générique
Exi amont :
Sur réception d’une « Demande de déverrouillage » lorsque toutes les conditions sont respectées
(exigences 01551_09_00097_P_035, 01551_09_00097_P_036), l’UCE doit élaborer une SEED tel que
défini dans les documents [3] et [4].
On reception of « unlocking request » when the conditions are satisfied (requierements
01551_09_00097_P_035, 01551_09_00097_P_036), the ECU generates a SEED as definied in
documents [3] and [4].
Exi : -01551_09_0097_P_-38 (2.0) Type :
Générique
Exi amont :
Si une UCE reçoit une demande de déverrouillage mais que le niveau de sécurité demandé est déjà
déverrouillé alors l’UCE devra répondre positivement avec une graine égale à zéro (0)
If an ECU receives an unlocking request but the requested security level is already unlocked then ECU
shall respond positively with a seed value equal to zero (0).
Remarque : l’UCE ne devra jamais envoyer de graine égale à zéro pour un niveau de sécurité donné qui
est verrouillé.
Note : the ECU shall never send an all zero seed for a given security level that is currently locked.
Exi : -01551_09_0097_P_-39 (1.0) Type :
Générique
Exi amont :
Après élaboration de la SEED l’UCE doit mettre la variable interne « SEED_SENT » = « vrai » afin
d’empêcher une nouvelle demande de déverrouillage sans être passé par une confirmation de
déverrouillage.
After generation of the seed, ECU has to set « SEED_SENT » = « true » to prevent a new unlocking
request before unlocking confirmation request.
Exi : -01551_09_0097_P_-40 (1.0) Type :
Générique
Exi amont :
Après le positionnement de SEED_SENT, l’UCE calcule la CLEF_UCE puis renvoie en réponse positive
la SEED précédemment élaborée. Le calcul de CLEF_UCE est réalisé à partir de fonctions de cryptage
décrit dans les documents [3] et [4] et de la CLEF_APPLI et de la SEED.
After the setting of SEED_SENT, ECU calculates CLEF_UCE and sends in positive response the SEED.
The calcul of CLEF_UCE is made with : Encryption functions described in documents [3], [4] and
CLEF_APPLI, and SEED.

ST
AND CHASSIS ECU »
02016_12_09367 1.0 DAE BMPV 43 / 112
AUTORISATION
9.0
Les documents [3] et [4] décrivant la fonction « F » de cryptage seront remis en main propre au
fournisseur, un accord de confidentialité devra avoir été complété préalablement.
The documents [3] and [4] describing Encryption function "F" is registered at every Manufacturer's
premises, a confidentiality agreement, has to be completed between these two parts.
Précisons Techniques :
 Génération de la "Seed" par l'UCE : La "Seed" est un nombre codé sur 4 octets. Sa
composition est explicitée dans le même document que celui qui détaille le calcul de la
"CLEF_UCE".
 Calcul de la "CLEF_UCE" : La remise de la fonction "F" de cryptage au Fournisseur via
un accord de confidentialité, décrira les moyens que celui-ci s'engage à mettre en œuvre
pour en garantir le secret.
 Temporisation "anti-scanning" de 10 secondes : La fiabilité de cette fonction dépend
étroitement de son implémentation.
Technical Precisions :
 Seed" Generation by the ECU. The "Seed" is a 4 byte coded number. Its composition is
described in the document regarding the "CLEF_UCE".
 Calculation of the "CLEF_UCE" : Encryption function "F" is registered at every
Manufacturer's premises. It shall be issued to the Supplier through a confidentiality
agreement, describing the means the Supplier undertakes to implement in order to ensure
complete secrecy.
 10 s "anti-scanning" timeout : The reliability of this function is closely dependent on its
implementation.
Exi : -01551_09_0097_P_-41 (1.0) Type :
Générique
Exi amont :
La séquence de « Demande de déverrouillage » doit respecter l’organigramme ci-dessous :

ST
AND CHASSIS ECU »
02016_12_09367 1.0 DAE BMPV 44 / 112
AUTORISATION
9.0
The sequence of « Unlocking request » has to be conform to the flow chart above

ST
AND CHASSIS ECU »
02016_12_09367 1.0 DAE BMPV 45 / 112
AUTORISATION
9.0
5.1.6.2 Confirmation de déverrouillage / unlocking confirmation
L’outil envoie à l'UCE la « CLEF_OUTIL » qu'il a calculée, F(Seed), pour se faire authentifier par
l'UCE.
The tool sends to ECU the « CLEF_OUTIL » than it has calculated, F(Seed).
Exi : -01551_09_0097_P_-42 (1.0) Type :
Générique
Exi amont :
Sur réception d’une « Confirmation de déverrouillage », l’UCE doit vérifier que « SEED_SENT » = «
vrai », dans le cas contraire l’UCE devra répondre négativement NRC 24.
On reception of « unlocking confirmation request », ECU checks than « SEED_SENT » = « true « ,
othewise, ECU sends a negative response NRC 24.
Exi : -01551_09_0097_P_-43 (2.0) Type :
Générique
Exi amont :

ST
AND CHASSIS ECU »
02016_12_09367 1.0 DAE BMPV 46 / 112
AUTORISATION
9.0
Sur réception d’une « Confirmation de déverrouillage », l’UCE doit vérifier que « CLEF_OUTIL » reçu
dans la requête = « CLEF_UCE » précédemment calculé en interne.
Si les clefs sont égales alors l’UCE doit se déverrouiller, mettre « UCE_DEVERROU » = « vrai ».
Dans le cas où le résultat est différent :
 et que la valeur « CLEF_APPLI » en interne de l’UCE est égale à FFFF, l’UCE doit se
déverrouiller, mettre « UCE_DEVERROU » = « vrai » puis l’UCE répondra positivement.
 Et que la valeur « CLEF_APPLI » en interne de l’UCE différente de FFFF : l’UCE doit mettre
« AS » = « armé », « TENTAT_VIOL » à « vrai » (afin de marquer la tentative de viol de
manière inaltérable) et « SEED_SENT » à « faux » (afin d’empêcher une nouvelle « demande
de confirmation de déverrouillage » sans être repassé par une « demande de déverrouillage »)
puis l’UCE répondra négativement NRC 35.
On reception of « unlocking confirmation request », ECU checks than « CLEF_OUTIL » received in the
request is equal to « CLEF_UCE», which it has calculated internally
If the keys are equals then the ECU has to be unlocked, set « UCE_DEVERROU» = « true »
In case of the result is different ,
 And which « CLEF_APPLI » is equal to FFFF, ECU has to be unlocked, set «
UCE_DEVERROU» = « true » and ECU sends a positive response
 And which « CLEF_APPLI » different of FFFF : ECU has to set « AS » = « armed », «
TENTAT_VIOL » set to « true » (to identify a infraction) and « SEED_SENT » set to « false »
(to prevent new « unlocking confirmation request » whithout a new « unlocking request», and
ECU sends a negative response NRC 35.
Exi : -01551_09_0097_P_-124 (1.0) Type :
Générique
Exi amont :
Le calculateur doit répondre négativement « requestSequenceError » (NRC 24) si une confirmation de
déverrouillage a été demandée alors que l'UCE est déja dévérouillée
The ECU must respond negatively "RequestSequenceError" (NRC 24) if an unlocking confirmation has
been requested whereas the ECU is already unlocked
Exi : -01551_09_0097_P_-44 (2.0) Type :
Générique
Exi amont :

ST
AND CHASSIS ECU »
02016_12_09367 1.0 DAE BMPV 47 / 112
AUTORISATION
9.0
La séquence de « Confirmation de déverrouillage » doit respecter l’organigramme ci-dessous :
The sequence « Unlocking confirmation request » has to be conform to the flow chart above :
Exi : -01551_09_0097_P_-45 (1.0) Type :
Générique
Exi amont :

ST
AND CHASSIS ECU »
02016_12_09367 1.0 DAE BMPV 48 / 112
AUTORISATION
9.0
L’UCE doit implémenter un mécanisme d’anti-scanning.
Dès lors que l’UCE a subi une tentative de déverrouillage infructueuse, elle ne prendra en compte une
autre tentative qu’après écoulement d’une temporisation anti-scanning de 10s.
ECU has to implement a anti scanning mechanism.
When ECU has had a infraction, this ECU takes account a another attempt only when 10 secs have
elapsed.
Pour les exigences sur l’octet TENTAT_VIOL, il faut se référer à l’exigence 1551_09_00097_P_001(0)
For requirements to TENTAT_VIOL, refer to requirement 1551_09_00097_P_001(0)
Précisions Techniques :
L’UCE doit mémoriser de manière inaltérable le fait qu’elle a reçu une requête de type "Confirmation
de déverrouillage" avec une "Clef_OUTIL" invalide. Elle le fera en forçant à $00 l’octet
TENTAT_VIOL situé dans le segment "Calibration" en FLASH, mais hors zone de calcul du CheckSum
de la Calibration.
IMPORTANT : L’écriture de TENTAT_VIOL sera réalisée par une routine dédiée n’utilisant pas la
routine
générique d’écriture en flash protégée par la signature-outil (cette signature n’ayant pas encore été reçue
par
l’UCE) et qui aura pour seul but la mise à $00 de cet octet.
La Temporisation anti-scanning ("Tempo_AS"), ne peut être inhibée qu’en faisant repasser l’octet
"TENTAT_VIOL" à la valeur $FF. Le seul moyen pour le faire est de procéder à un effacement de la
zone de FLASH contenant la Calibration. Cet effacement ne peut être effectué que si
"UCE_DEVERROU" = 1, ce qui ne devient vrai que si une requête "de confirmation de déverouillage"
a "Clef_UCE" = "Clef_OUTIL".
Technical precisions :
The ECU has to memorise permanently the fact that it has received a "unlocking confirmation" with an
invalid "CLEF_OUTIL". It does this by forcing to $00 the TENTAT_VIOL byte located in the
"Calibration" segment in the FLASH, but outside the Calibration CheckSum calculation zone.
IMPORTANT: "TENTAT_VIOL" is written via a dedicated routine not using the generic flash writing
routine which is protected by the "tool-signature" (such signature has not yet been received by the ECU,
the sole purpose of which is to set this byte to $00.
The anti-scanning time-out ("TEMPO_AS"), can only be inhibited by resetting the "TENTAT_VIOL" byte
to $FF. The only way to do this is to erase the FLASH zone which contains the Calibration. This erasing
can only be carried out if "UCE_DEVERROU" = 1, which is true when a “unlocking request” has
found "CLEF_UCE" = "CLEF_OUTIL".
5.1.7 Effacement de la Flash Eprom / erasing flash
5.1.7.1 Demande d’effacement et effacement / erasing request and erasing
La requête d’effacement (RoutineControl) sert à déclencher l'effacement d'une zone fonctionnelle du
composant FLASH.

ST
AND CHASSIS ECU »
02016_12_09367 1.0 DAE BMPV 49 / 112
AUTORISATION
9.0
The purpose of this request (RoutineControl) is to trigger the erasing of a functional zone of the
FLASH component
Exi : -01551_09_0097_P_-46 (1.0) Type :
Générique
Exi amont :
Sur réception d’une requête « Effacement de la Flash Eprom », l’UCE devra vérifier qu’elle est
déverrouillée (« UCE_DEVERROU » = « vrai »). Dans le cas contraire l’UCE répondra négativement
NRC 33.
On reception of a request « flash erasing », ECU checks than it is unlocked (« UCE_DEVERROU» = «
true »). Otherwise, ECU sends a negative response NRC 33.
Exi : -01551_09_0097_P_-47 (1.0) Type :
Générique
Exi amont :
Dans le cas où repère logique reçu en paramètre de requête « Effacement de la Flash Eprom » n’est pas
cohérent (différent de $81 ou $82), l’UCE doit répondre négativement NRC 31.
In the case of the logical marker received in parameter of the request « flash erasing » is not coherent
(different of $81 or $82), ECU sends a negative response NRC 31.
Exi : -01551_09_0097_P_-48 (1.0) Type :
Générique
Exi amont :
Sur réception d’une requête « Effacement de la Flash Eprom », l’UCE doit vérifier la valeur de «
Signature-Outil » passée en paramètre de la requête d’effacement venant de l’outil dans la cas où la
valeur est correcte l’UCE doit la ranger dans 2 octets de RAM dédiés, dans le cas ou la valeur n’est pas
correcte l’UCE répondra négativement NRC 31. La valeur de la Signature-Outil est F05A.
La présence de cette valeur dans une variable RAM conditionnera le déverrouillage du composant Flash
pour effacer ou écrire. Cette technique permet de se protéger contre une altération intempestive du
contenu - mémoire.
Les mécanismes sont décrits au §5.4.4.3 Pertubations RFI.
On reception of a request « erasing flash », ECU checks the value of « TOOL-signature » passed by the
tool as a parameter to this request. In case of this value is correct, ECU has to set this value in two bytes
of RAM. In case of this value is not correct, ECU sends a negative response NRC 31. The value of «
TOOL-signature » is $F05A.
The presence of this value in a RAM variable shall determine the unlocking of the Flash component for
erasing or writing. This method enables protection against an unwanted corruption of the memory
contents. The mechanisms are described in §5.4.4.3 Pertubations RFI.
Flags "CALIB_VIERGE" et "GLOBAL_VIERGE"
Flag « CALIB_VIERGE » and « GLOBAL_VIERGE »
Exi : -01551_09_0097_P_-49 (1.0) Type :
Générique
Exi amont :

ST
AND CHASSIS ECU »
02016_12_09367 1.0 DAE BMPV 50 / 112
AUTORISATION
9.0
Sur réception d’une requête « Effacement de la Flash Eprom », l’UCE doit mettre le Flag «
CALIB_VIERGE » à « faux » et « GLOBAL_VIERGE» = à « faux».
Ces deux flags sont des « jetons » qui seront exploités lors du traitement des requêtes, utilisée pour le
téléchargement.
On reception of request « erasing flash », ECU sets Flag « CALIB_VIERGE » to « false » and «
GLOBAL_VIERGE » to « false ».
These "flags" are "tokens" which are used during request treatements, used by the various programming
phases,
Exi : -01551_09_0097_P_-50 (1.0) Type :
Générique
Exi amont :
Si le « repère logique » = $81, on efface la partie calibration, puis si l’effacement de la zone Calibration
s’est correctement déroulé, « CALIB_VIERGE » sera mis à « vrai ».
If « the logical marker » = $81, the calibration part is erased, if the erasing of the calibration zone is
correctly erased, « CALIB_VIERGE » is set to « true ».
Exi : -01551_09_0097_P_-51 (1.0) Type :
Générique
Exi amont :
Si le « repère logique » = $82, on efface la partie global (logiciel applicatif + calibration), si les
effacements de la zone Calibration et de la zone Logiciel applicatif se sont correctement déroulés, «
GLOBAL_VIERGE » sera mis à « vrai ».
If « the logical marker » = $82, the global part (application software + calibration) is erased, if the
erasing of the calibration zone and application software are correctly erased , « GLOBAL_VIERGE » is
set to « true ».
Exi : -01551_09_0097_P_-52 (1.0) Type :
Générique
Exi amont :
Sur réception d’une requête « Effacement de la Flash Eprom », l’UCE doit mettre le Flag « PROG_INIT
» à « vrai » et « ECRITURE_OK » = « vrai » en début de traitement de la requête d’effacement, car celle-
ci est représentative d’une procédure d’alignement, ces flags sont utilisés dans les étapes suivantes.
On reception of request « erasing flash », ECU sets the flag ‘PROG_INIT » to ‘true » and «
ECRITURE_OK » to ‘true » at the beginning of the processing of the erasing request, as it is
representative of an alignment procedure, theses flags are used in the following phases.
Octet "ETAT_UCE" et TENTAT_VIOL
Byte « ETAT_UCE » and « TENTAT_VIOL »
Exi : -01551_09_0097_P_-53 (1.0) Type :
Générique
Exi amont :

ST
AND CHASSIS ECU »
02016_12_09367 1.0 DAE BMPV 51 / 112
AUTORISATION
9.0
Pour s’affranchir d’un risque de démarrage de l’applicatif alors qu’un effacement se serait mal déroulé,
sur réception d’une requête « Demande d’effacement » l’UCE doit mettre :
- « ETAT_UCE » à 0x00 avant de lancer un effacement.
- « ETAT_UCE » est implicitement remis à 0xFF lors de l’effacement de la zone Calibration.
- « ETAT_UCE » est forcé à 0x00 dès lors que l’effacement d’une zone (Calibration ou Logiciel
applicatif) s’est mal déroulé.
En effet "ETAT_UCE" est testé à chaque RESET de l’UCE. Le logiciel applicatif ne démarre que si la
valeur de cet octet est comprise entre 0xF0 et 0xFE.
To avoid the risk of starting the application software when erasing has been unsuccessfully executed :
- "ETAT_UCE" shall be forced to $00 before running a erasing,
- "ETAT_UCE" shall be implicitly reset to $FF when the Calibration zone is erased,
- "ETAT_UCE" shall be forced to $00 as soon as an zone has been unsuccessfully erased (Calibration or
application Software).
In fact, "ETAT_UCE" is to be tested upon every ECU RESET. The application software only starts if the
value of this byte is between $F0 and $FE.
Exi : -01551_09_0097_P_-54 (1.0) Type :
Générique
Exi amont :
En plus de ETAT_UCE /
L’effacement du segment de calibration fait passer TENTAT_VIOL à 0xFF.
More Than ETAT_UCE,
The erasing of calibration zone includes the setting of TENTAT_VIOL to $FF.
Statut de l’effacement:
Erasing Status
Exi : -01551_09_0097_P_-55 (2.0) Type :
Générique
Exi amont :
 Le statut est positionné à $01 avant de commencer l’effacement et conserve cette valeur $01
pendant le déroulement de l’effacement demandé. Il a la signification "Routine en cours",
lorsqu’il est fourni en réponse de l’UCE à une requête de Demande de Status d’Effacement.
 En fonction de la manière dont s’est déroulé l’effacement, le statut en fin de phase
d’effacement prend les valeurs suivantes: $02 (Effacement réalisé est OK)
ou NRC $72 indiquant un défaut d’Effacement zone Calibration ou un défaut d’Effacement zone
Logiciel applicatif
 The status positioned at $01 before erasing may be started, it holds its value $01 during the
execution of the requested erasing. It has the meaning "Routine in progress", when supplied
as a response from the ECU to an Erasing Status Request.
 Depending the result of the erasing, the status at the end of erasing takes the following values
: $02 (Erasing executed successfully OK) or NRC $72 in case of erasing fault Calibration
zone or erasing fault application Software zone.

ST
AND CHASSIS ECU »
02016_12_09367 1.0 DAE BMPV 52 / 112
AUTORISATION
9.0
En fin de phase d’effacement, c’est donc l'une de ces deux valeurs qui est envoyée par l’UCE dans sa
réponse à une requête de Demande de Status d’Effacement.
At the end of the erasing phase, the ECU shall send one of these three values in response to an Erasing
Status Request.
Précisions techniques :
Technical precisions :
Temps d’effacement : La durée d’effacement de la Flash est dépendante du composant utilisé, de sa
température, et du nombre de cycles Effacement / Ecriture qu’il a subit. Cette durée d’effacement
s’exprime en secondes.
Time erasing ; the time erasing of flash depends of the component used, of this temperature and the
number of cycles Erasing / Writing which are made. This time is in seconds.
Temps d’effacement :
Time erasing :
Exi : -01551_09_0097_P_-56 (3.0) Type :
Générique
Exi amont :
Pour réaliser un gain de temps sur des UCEs éventuellement vierges, il est demandé de réaliser un test de
virginité sur les segments de Flash qui doivent être effacés:
segment vierge enchaîner le traitement
segment non vierge --> déclencher effacement du segment
If the ECU is blank, a significant amount of time can be saved by skipping the erasing process. It is
therefore advisable to carry out a "blankness" test on the Flash segments which are to be erased:
segment blank --> triggers the processing,
segment not blank --> triggers the deletion of the segment.
Précautions avant Effacement :
Precautions before erasing :
Exi : -01551_09_0097_P_-57 (1.0) Type :
Générique
Exi amont :
afin d’éviter le phénomène d’Over-Erasing (qui défiabilise le composant Flash), prendre le soin d’écrire
des 0x00 dans tous les octets du segment, avant de déclencher son effacement. Cette précaution est liée à
la technologie actuellement utilisée. Le fournisseur d’UCE respectera l’évolution des préconisations du
même ordre en fonction des évolutions technologiques.
In order to avoid the "Over-Erasing" problem (which leads to a loss of reliability of the Flash
component), ensure to write $00 in all bytes of the segment, before starting the erasing.This precaution
results from the technology currently used. The ECU Supplier shall comply with changes in
recommendations due to technological developments.

ST
AND CHASSIS ECU »
02016_12_09367 1.0 DAE BMPV 53 / 112
AUTORISATION
9.0
Supprimée.
Deleted.
Exi : -01551_09_0097_P_-58 (2.0) Type :
Générique
Exi amont :
L’UCE doit respecter le logigramme de « Effacement de la Flash Eprom » ci-dessous :
ECU has to be conform to the flow chart de « Flash erasing » above :

ST
AND CHASSIS ECU »
02016_12_09367 1.0 DAE BMPV 54 / 112
AUTORISATION
9.0
Exi : -01551_09_0097_P_-119 (2.0) Type :
Générique
Exi amont :
En cas de demande de status de l’effacement, sans avoir reçu au préalable une demande d’effacement
l’UCE répondra négativement NRC 24.
In case of status erasing request, without received a erasing request, ECU sends a negative response
NRC $24

ST
AND CHASSIS ECU »
02016_12_09367 1.0 DAE BMPV 55 / 112
AUTORISATION
9.0
5.1.7.2 Demande de status de l’effacement / status erasing request
Cette requête est périodiquement envoyée par l’Outil à l’UCE, pour connaître l’état d’avancement de
l’effacement, ainsi que le compte-rendu d’effacement lorsque la routine d’effacement est achevée.

ST
AND CHASSIS ECU »
02016_12_09367 1.0 DAE BMPV 56 / 112
AUTORISATION
9.0
This request is periodically sent by the Tool to the ECU, in order to be informed about the progress
status of erasing, together with the erasing report when the routine has been completed.
Exi : -01551_09_0097_P_-59 (1.0) Type :
Générique
Exi amont :
L’UCE doit répondre aux « Demande de status » pendant l’effacement.
The ECU has to respond at « status request » during erasing
L’état d’avancement de l’effacement sera périodiquement demandé à l’UCE par une requête avec
paramètre de « Demande de Status ».
Sur réception d’une requête de Demande de Status d’Effacement, l’UCE formule sa réponse.
L’outil réitère sa requête toutes les 250 ms (Cf [5]).
Tant que l’effacement n’est pas terminé, les réponses successives de l’UCE contiennent la valeur $01,
(En cours), , ceci pendant l’exécution de la procédure d’effacement.
Lorsque l’effacement est achevé le statut change de valeur, et le paramètre de Status retourné par l’UCE
renseigne l’Outil sur la façon dont l’effacement s’est déroulé.
The status of erasing is periodically asked by ECU request with a parameter of “status request”
Upon receipt of an Erasing Status Request, the ECU sends a response.
The tool reiterates its request every 250 ms (cf [5])
Until erasing is complete, the successive responses from the ECU contain the value $01, (In progress),
during the execution of the erasing procedure.
When erasing is complete, The status changes value, and the Status parameter returned by the ECU
informs the Tool whether or not the erasing has been successful.
5.1.8 Telechargement / dowloading
Le téléchargement ce fait en 3 étapes :
 Une requête de préparation au téléchargement (RequestDownload) qui comprenant le repère
logique.
 Des requêtes de transfert de données (TransfertData) comprenant pour chaque requête
l’adresse, la taille des données utiles à télécharger, les données utiles du fichier de
téléchargement et un CRC. (L’utilisation d’un CRC 16 bits est indispensable pour garantir
l’intégrité des données).
 Une requête pour terminer le téléchargement (RequestTransfertExit).
The download is carried out in 3 steps:
 A request for preparing the download (RequestDownload) containing the ”logical marker”.
 Data transfer requests (TransfertData) that include, for each request, the address, the size of
the informative data to download, the informative data of the download file and a CRC. (The
use of a 16 bits CRC is mandatory to guarantee data integrity.)
 A request to complete the download (RequestTransfertExit)
1) Préparation au téléchargement :
Download preparing

ST
AND CHASSIS ECU »
02016_12_09367 1.0 DAE BMPV 57 / 112
AUTORISATION
9.0
Exi : -01551_09_0097_P_-60 (1.0) Type :
Générique
Exi amont :
Sur réception d’une requête « Préparation au téléchargement », l’UCE doit vérifier qu’elle est
déverrouillée (« UCE_DEVERROU » = « vrai »). Dans le cas contraire l’UCE répondra négativement
NRC 33.
On reception of request « download preparing » , ECU checks than it is unlocked « (UCE_DEVERROU
» = « true ». Otherwise ECU sends negative response NRC 33.
Exi : -01551_09_0097_P_-61 (1.0) Type :
Générique
Exi amont :
Sur réception d’une requête « Préparation au téléchargement », l’UCE doit vérifier que le repère logique
= « $81 » ou « $82 », l’adresse (MemoryAdress) = $00, la taille (MemorySize) = $00,
AddressAndLengthFormatIdentifier = $11. Dans le cas contraire l’UCE répondra négativement NRC 31.
On reception of « download preparing » , ECU checks than it the logical marker = « $81 » or « $82 »,
adress (MemoryAdress) = $00, the size (MemorySize) = $00 , AddressAndLengthFormatIdentifier = $11.
Otherwise ECU sends negative response NRC 31.
Exi : -01551_09_0097_P_-62 (1.0) Type :
Générique
Exi amont :
Sur réception d’une requête « Préparation au téléchargement », l’UCE doit vérifier la valeur du
paramètre « Signature-Outil » stocké en RAM.
En cas de valeur incorrecte (la valeur de la Signature-Outil est non égale à $F05A), l’UCE répondra
négativement NRC 70.
On reception of « download preparing » , ECU checks the value of « signature -outil», stored in RAM.
In case of incorrect value (the value is not equal to $F05A), ECU sends negative response NRC 70
Exi : -01551_09_0097_P_-63 (1.0) Type :
Générique
Exi amont :
Dans le cas d’un « repère logique » = « $82 », sur réception d’une requête « Préparation au
téléchargement», l’UCE devra vérifier que : « GLOBAL_VIERGE » = « vrai », dans le cas où la
vérification est correcte alors l’UCE devra mettre « RD_OK » = « vrai » et répondre positivement, dans
le cas contraire l’UCE répondra négativement NRC 70.
In case of « the logical marker » = « $82 », on reception of « download preparing » , ECU checks than
« GLOBAL_VIERGE » = « true », in case of this verification is correct, RD_OK is set to « true » and
ECU sends a positive response, otherwise, ECU sends negative response NRC 70
Exi : -01551_09_0097_P_-64 (1.0) Type :
Générique
Exi amont :

02016_12_09367_v1_0_DC_TI_70_Reprogrammation_des_UCEs_-__REFERENCE_A__9.0_DAE_BMPV.doc

02016_12_09367_v1_0_DC_TI_70_Reprogrammation_des_UCEs_-__REFERENCE_A__9.0_DAE_BMPV.doc

Recommandé

Recommandé

Contenu connexe

Similaire à 02016_12_09367_v1_0_DC_TI_70_Reprogrammation_des_UCEs_-__REFERENCE_A__9.0_DAE_BMPV.doc

Similaire à 02016_12_09367_v1_0_DC_TI_70_Reprogrammation_des_UCEs_-__REFERENCE_A__9.0_DAE_BMPV.doc (20)

Plus de azrfdstgdgdfh

Plus de azrfdstgdgdfh (17)

02016_12_09367_v1_0_DC_TI_70_Reprogrammation_des_UCEs_-__REFERENCE_A__9.0_DAE_BMPV.doc