@ QP: io non voglio disabilitare il chip_erase, solo che non sia attivo in condizioni normali; cioè l'utente non dovrebbe poter fare una normale operazione di scrittura con successo, se ho attivato la protezione. Prendo atto che non è possibile.
@ Astro: ma un firmware all'interno di un micro è capace di gestire una autoscrittura nella flash? mi torna utile questa info per l'articolo, se me la confermi

@ Leo e BB: considerando che parlerò di stand-alone il problema bootloader non me lo pongo proprio, quindi la disabilitazione reset non mi serve; invece ok per la disabilitazione SPI, provata, l'effetto è che il micro non è sovrascrivibile via ISP(bene!) ma non è più neanche leggibile (male!) nemmeno se lascio i lock bits a FF; infatti mi dà errore di signature. Con la scusa ho capito cosa è successo a quei 2-3 chip che ho immolato per la progettazione dell'HV, a forza di sparargli botte da 12V (parlo di centinaia di volte....) devo aver danneggiato il circuito del pin reset di questi micro, e quindi è come se fosse disabilitato, perché ho provato la disabilitazione del reset e l'effetto è lo stesso: invalid device signature (quindi sia se disabilito il reset che se disabilito lo SPI).
Conclusioni, la procedura:
impostazione fuse per no SPI
lockbits su FE o FC
protegge il micro da lettura e scrittura
la procedura:
lockbits su FC protegge il micro dalla sola lettura
non c'è modo di proteggere il micro da scrittura e lasciarlo libero in lettura (condizione FE), ma comunque direi di avere una soluzione per tutto, questa particolare opzione non ha significato per me.
Naturalmente ho provato sia da IDE che da riga di comando, identici comportamenti.Grazie!