CN112136105A - 用于控制设备的软件更新的锁定和解锁机构 - Google Patents
用于控制设备的软件更新的锁定和解锁机构 Download PDFInfo
- Publication number
- CN112136105A CN112136105A CN201980036148.1A CN201980036148A CN112136105A CN 112136105 A CN112136105 A CN 112136105A CN 201980036148 A CN201980036148 A CN 201980036148A CN 112136105 A CN112136105 A CN 112136105A
- Authority
- CN
- China
- Prior art keywords
- locking mechanism
- control device
- interface
- activated
- software
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000007246 mechanism Effects 0.000 title claims abstract description 91
- 238000000034 method Methods 0.000 claims description 59
- 230000004913 activation Effects 0.000 claims description 31
- 238000004891 communication Methods 0.000 claims description 15
- 238000004519 manufacturing process Methods 0.000 claims description 14
- 238000005266 casting Methods 0.000 claims description 6
- 230000003213 activating effect Effects 0.000 claims description 4
- 150000001875 compounds Chemical class 0.000 claims description 4
- 230000015654 memory Effects 0.000 description 12
- 230000008859 change Effects 0.000 description 11
- 230000006870 function Effects 0.000 description 4
- 230000002085 persistent effect Effects 0.000 description 4
- 230000001105 regulatory effect Effects 0.000 description 4
- 230000001276 controlling effect Effects 0.000 description 3
- 238000013500 data storage Methods 0.000 description 3
- 238000011161 development Methods 0.000 description 3
- 230000002093 peripheral effect Effects 0.000 description 3
- 238000003860 storage Methods 0.000 description 3
- 230000001419 dependent effect Effects 0.000 description 2
- 230000005684 electric field Effects 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- UFHFLCQGNIYNRP-UHFFFAOYSA-N Hydrogen Chemical compound [H][H] UFHFLCQGNIYNRP-UHFFFAOYSA-N 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000007664 blowing Methods 0.000 description 1
- 239000003990 capacitor Substances 0.000 description 1
- 230000015556 catabolic process Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000002485 combustion reaction Methods 0.000 description 1
- 229910052739 hydrogen Inorganic materials 0.000 description 1
- 239000001257 hydrogen Substances 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000002844 melting Methods 0.000 description 1
- 230000008018 melting Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
- 230000036962 time dependent Effects 0.000 description 1
- 238000004804 winding Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/65—Updates
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60H—ARRANGEMENTS OF HEATING, COOLING, VENTILATING OR OTHER AIR-TREATING DEVICES SPECIALLY ADAPTED FOR PASSENGER OR GOODS SPACES OF VEHICLES
- B60H1/00—Heating, cooling or ventilating [HVAC] devices
- B60H1/00421—Driving arrangements for parts of a vehicle air-conditioning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/40—Transformation of program code
- G06F8/41—Compilation
- G06F8/43—Checking; Contextual analysis
- G06F8/433—Dependency analysis; Data or control flow analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40215—Controller Area Network CAN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40208—Bus networks characterized by the use of a particular bus standard
- H04L2012/40241—Flexray
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/40—Bus networks
- H04L2012/40267—Bus for use in transportation systems
- H04L2012/40273—Bus for use in transportation systems the transportation system being a vehicle
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Thermal Sciences (AREA)
- Mechanical Engineering (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Stored Programmes (AREA)
Abstract
本发明涉及一种用于控制机动车的部件(10)、尤其是电动机、阀门、泵、风扇驱动器的控制设备(1),优选地用于HVAC应用或用于驱动系统温度控制,该控制设备具有处理器(30)、优选微控制器(10)和接口(20),该接口被构造为使得能够借助于该接口(20)接收、尤其是加载软件更新。提出控制设备(1)具有锁定机构,该锁定结构在激活时阻止软件更新的加载,其中能以时间控制、事件控制和/或信号控制的方式激活该锁定机构。
Description
技术领域
本发明涉及一种用于控制机动车的部件的控制设备和一种用于运行控制设备的方法,该控制设备控制机动车的部件。
背景技术
现今通常以可编程的方式构造机动车领域中的控制设备。已知的控制设备具有控制设备软件,该控制设备软件可以尤其是借助于软件更新来被更新或改变。可以通过控制设备的特殊接口来进行软件的更新。控制设备通过特殊接口与车辆的通信总线连接。为了将软件更新安装到控制设备,通常需要使用为此专门设计的车间装备。还已知替代的方法和设备,其使得能够借助与控制设备的直接连接来更新软件,例如经由电源插头、编程插头、通过打开控制设备或直接接触来更新软件。
迄今为止,已知例如借助密码或安全性查询来限制软件更新的安装。
发明内容
特别有利的是,提供一种用于控制机动车的部件、尤其是电动机、阀门、泵、风扇驱动器的控制设备,尤其是用于HVAC应用或用于驱动系统温度控制。在下文中,控制和控制装置也总是被理解为调节和调节装置。同样的情况适用于还包括调节设备的控制设备。软件也被理解为控制设备软件或固件。相对应地,软件更新被理解为控制设备软件更新或固件更新。
控制设备具有处理器,尤其是微处理器和/或微控制器。微控制器包括处理器,尤其是微处理器。此外,控制设备具有接口,该接口被构造为使得可以借助于该接口接收、尤其是加载用于控制设备的软件更新。此外,接口被构造为接收和/或发送信号,尤其是命令或信息。
控制设备具有锁定机构是有利的。锁定机构阻止、尤其是防止在其激活之后加载软件更新。在锁定机构被激活之后,不可能记载和改变软件和/或参数,尤其是设定装置、控制设备并且尤其是处理器和/或微控制器的软件和/或参数。锁定机构可以是能以时间控制、事件控制和/或信号控制的方式来激活的。激活优选地由处理器或微控制器进行。
有利的是,处理器和微控制器承担检查对于激活锁定机构重要的条件。微控制器或处理器检查:是否发生了一个或多个尤其是先前定义的操作、一个或多个事件、一个或多个事情和/或组合,和/或是否定义的时间到期了和/或有信号输入。如果条件之一以预定的频率或在预定的时间点发生,则锁定机构被激活。还可以设想,激活基于操作和事件的组合进行。还可以在发生事件后流逝了定义的时间时进行激活。其中,时间仅在定义的条件下流逝。
有利的扩展方案是,通过接口进行激活。如果期望取决于信号的激活,则通过接口本身进行激活是有利的。因此,当接口接收到期望数量的所定义的信号、尤其是数据分组时,接口可以独立激活锁定机构。为此不需要或仅需要很少的处理器性能。尤其是,接口评估到达的数据分组。尤其是,当接口识别出了在车辆首次、尤其是由客户驾驶时传输的信号、尤其是数据分组时,可以进行激活。
有利的扩展方案是,接口被构造和/或设立成在锁定机构被激活时使得能够、尤其是允许经由接口进行通信。在激活的情况下,该接口仍然可以继续用于与控制设备进行通信。例如可以传输控制命令、内部数据、可追溯性数据、状态信息和/或设备配置,尤其是发送到控制设备或从控制设备接收。
根据有利的扩展方案,尤其是通过处理器和/或微处理器来抑制固件或软件更新和/或参数改变和/或对设定的改变。在激活锁定机构之后,优选仅阻止软件更新的记载和/或参数和/或设定的改变;所有进一步的通信是可能的。有利的是,不需要其他接口用于通信。
根据有利的扩展方案,接口、处理器和/或微处理器拒绝接纳包含改变操作软件的固件和/或软件组件信号、尤其是数据分组。拒绝改变设定和/或参数的数据分组。拒绝尤其是被理解为不接纳,但也被理解为不接受或直接删除。
根据一种扩展方案,在锁定机构激活时停用引导加载程序(Bootloader)。引导加载程序不被实施。不实施引导加载程序防止了加载软件和/或固件更新。
根据一种扩展方案,在锁定机构激活时,引导加载程序不接受软件更新、固件更新或参数改变的实施。
根据一个扩展方案,在锁定机构激活时,阻止对尤其是其中存储有参数、设定和/或软件或固件的数据存储模块的写入。不能对这些存储模块进行任何改变。优选地阻止了、尤其是不可能进行到持久数据存储器中的存储。一种简单的实现是可能的。
有利的扩展方案是,接口被构造成将控制设备与车辆连接。接口优选地被构造成使得其能够实现与机动车中使用的总线系统的连接。这样的总线系统尤其是CAN、LIN、动力总成(Powertrain)、线控(x-by-wire)、TTP/B、MOST、D2B、FlexRay总线系统。该控制设备可以有利地绑定到现有的系统架构中。
通过接口实现锁定机构被是作为有利的扩展方案。在激活锁定机构之后,阻止、尤其是防止了将软件更新加载到控制设备中。
特别有利的扩展方案是,锁定机构通过处理器、尤其是微控制器本身实现。锁定机构直接在处理器或微控制器中实现。处理器或微处理器阻止接纳和加载软件更新。尤其是,接口、处理器和/或微处理器尽管接纳软件更新数据分组,但将其丢弃。尽管激活了锁定机构,仍可以防止将软件更新加载到微控制器或处理器中。尤其是可以因此防止随后加载的软件更新。
有利的扩展方案是,锁定机构在软件侧实施。控制设备被构造和/或设立为能够分析和评估进入的数据分组。
有利的扩展方案是,设置壳体。处理器、微控制器和/或接口布置在壳体内。优选地,锁定机构由至少一个附加的电气构件构成。可以有利地防止能借助于操纵加载更新。也可以防止的是,能借助于操纵取消锁定机构的激活。
一种有利的扩展方案是,接口被构造成借助于接口在车辆总线上接收和发送信号。处理器和/或微控制器被构造为评估信号并根据定义的事件和/或接收到的信号和/或它们的组合激活锁定机构。优选地,检测和监视车辆信号以便激活锁定机构。可以定义例如取决于其他车辆数据或操作信息的条件。优选地,锁定机构的激活取决于接收到的信号的数量和/或发生的事件或自事件发生和/或信号接收以来的预先定义的时间。
有利的扩展方案是,控制设备被构造成在控制装置生产期间或之后和/或在车辆生产期间或之后和/或在最终客户首次使用车辆时激活锁定机构。尤其地,可以在所定义的时间上的使用、尤其是x个小时之后激活锁定机构。优选地,在此情况下得出仍可能加载软件更新直到期望的时间点的可能性。尤其地,因此例如仍然可能加载软件更新,直到控制设备或车辆完成。仅当所述条件之一发生时,才防止、尤其是阻止软件更新的加载。
本发明还涉及一种用于运行控制设备的方法,该控制设备被构造成控制机动车的部件。该方法包括以下步骤:
•检测,是否借助于激活的锁定机构已经锁定了控制设备,
•当确定了已经发生一个或预定义数量的事件、已经过去预定义的时间和/或已经接收到一个或预定义数量的信号时,激活控制设备的锁定机构,该锁定机构阻止加载更新。
该方法的有利扩展方案是,当满足一个或多个条件时,锁定机构被激活。在此情况下,操作可以包括接收一个或多个信号(尤其是命令或信息)、发生一个或多个事件(尤其是最终客户使用车辆)和/或定义的时间到期。优选地,激活作为对已发生操作的组合的反应来进行。
有利的扩展方案是,在锁定机构被激活之后,该接口可继续用于通信,尤其是用于接收或发送控制命令、内部数据、可追溯性数据、状态信息和/或设备配置。不需要其他接口用于通信。
该方法有利地包括:尤其是通过评估从接口接收到的信号来检测机动车是否被使用。
根据该方法的扩展方案,软件更新包括参数改变和设定改变。
有利的扩展方案的特征在于,对于在所述接口处接收到的每个信号运行所述方法,并且尤其是在锁定机构激活时结束所述方法的运行,并且优选对信号进行评估。因此不必运行用于激活锁定机构的整个方法。根据扩展方案,当锁定机构被激活时,不再运行该方法。
有利的扩展方案是,激活的锁定机构不能被停用。被阻止的软件更新能力不能再被建立。
附图说明
下面更详细地描述本发明。其中:
图1示出了根据本发明的控制装置,并且
图2示出了具有根据本发明的方法的流程图。
具体实施方式
在图1中示出了根据本发明的控制设备1。控制设备1被构造成控制或调节机动车的部件。机动车的部件10尤其可以理解为电动机、泵、阀门、风扇发动机,尤其是用于HVAC应用和/或用于驱动系统温度控制。优选地,在此提及的部件是供应单元或微型驱动器,其被设置成供应、尤其是支持电驱动车辆中的驱动发动机、逆变器和/或蓄电池的运行。车辆中的这种微型驱动器或供应单元也可以与内燃机或其他驱动器、例如基于氢的驱动系统一起使用。部件10也可以是车辆的HVAC系统的一部分,或者可以用于冷却或加热其他机动车部件、尤其是驱动器的部件。
根据另一扩展方案,涉及车辆驱动器本身或车辆驱动器的各个部件。
根据本发明的扩展方案,部件10是电换向电动机。这些电换向电动机也可以用作为泵、阀门、风扇和/或压缩机的驱动器。电换向电动机尤其具有至少三个发动机相。电流流过这些发动机相,使得构造了旋转电场,该旋转电场带动了转子的磁体。旋转电场引起转子转动。
借助输出级来操控电换向电动机、即电换向部件10。输出级具有电子开关,其尤其具有B6布置。电子开关优选地被构造为功率晶体管或MosFet。电子开关由控制信号操控。根据控制信号调节流过三个相并因此流过电动机绕组的电流。控制信号由控制设备1提供。
控制设备1包括接口20和处理器30,尤其是微处理器。接口20被构造为,使得当与机动车的通信网络连接时,该接口20允许通过该接口进行通信。机动车领域中的通信网络尤其是总线系统,优选地是CAN、LIN、动力总成、线控、TTP/B、MOST、D2B或FlexRay总线系统。接口20允许接收和发送命令。此外,接口20被构造为接收软件更新。根据本发明,接口还可以无线地通信,尤其是借助于蓝牙、Wifi、Zigbee、无线电和/或Z-Wave(Z波)。
处理器30、尤其是微处理器是由电路组成的可编程运算单元。在下文中,处理器也被理解为微处理器等。处理器30被构造为,使得其根据命令来控制其他机器或电路并且在此推动算法。处理器30经由接口20接收命令。接口20和处理器30被连接为,使得从接口到处理器30的通信是可行的,反之亦然。接口20优选地是处理器30的一部分。
根据本发明的扩展方案,控制设备1具有微控制器40。微控制器40是半导体芯片,其包含处理器30并且同时也包含外围功能。工作和编程存储器还优选地部分或完全位于同一芯片上。微控制器还可包括复杂的外围功能,例如接口20。
根据本发明的扩展方案,输出级50可以是微控制器40的外围功能。微控制器40尤其包括输出级50。
控制设备1被构造为执行软件更新。软件更新尤其是通过接口20被加载到控制设备1或微控制器和/或处理器中。该软件更新优选地改变和/或更新处理器30和/或微控制器40的软件。该软件更新可以例如引起部件的操控行为的改变。优选地,软件更新经由接口被加载到与处理器和/或微控制器合作的存储器中。尤其是借助于引导加载程序来加载软件更新。引导加载程序执行软件更新,其方式是该引导加载程序利用新软件覆盖软件的先前数据存储位置。软件更新尤其是被安装。
软件应理解为运行处理器或部件所需的固件或操作软件。
控制设备1具有锁定机构,该锁定机构允许其在激活之后阻止软件更新的加载。如果锁定机构激活,则控制设备1的软件不能被更新或改变。定义的参数和/或变量优选不能再被改变。尤其地,防止了非易失性或持久性存储器的改变。控制设备被构造成在激活后阻止所定义的参数和/或变量的改变。在锁定机构激活之后,控制设备1、尤其是接口防止软件更新的加载。在此也总是将软件更新理解为固件更新。然而,尽管激活了锁定机构,该接口还可用于通信并因此用于交换数据。
根据第一实施方式,锁定机构是接口20的部分。接口20因此包括锁定机构。如果锁定机构激活,则接口20防止软件更新被转发给处理器30或微控制器40,或者被转发给存放或存储软件的数据存储器。
根据第二实施方式,锁定机构是处理器30和/或微控制器40的部分。如果锁定机构激活,则处理器30和/或微控制器40防止软件更新的加载。优选地,该锁定机构防止实施或开始软件更新。还防止了实施引导加载程序,该引导加载程序能够实现、尤其是执行软件更新。在锁定机构激活的情况下,系统不再起动引导加载程序。
在锁定机构激活之后,阻止或防止控制设备1的软件的改变。还防止能够加载软件的补充、例如使得能够扩展功能范围的新模块等。
微控制器40和处理器30被构造为经由接口20与机动车的其他部件10通信。微控制器40和处理器30可以经由接口20接收和/或发送信号、尤其是信息信号和/或命令信号。还可以读取控制设备的内部数据,如电压、消耗、测试结果和/或测量时间。还可以读取可追溯性数据,如尤其是生产数据、有关工厂、生产线、日期、时间戳、生产步骤、TTNR、设备配置、状态、锁定机构的激活时间点的信息。处理器30和/或微控制器40被构造为评估和处理所接收的信号并相应地操控部件。
尤其是与时间有关地,取决于所定义的事件、所接收的信号或它们的组合激活锁定机构。
锁定机构的与时间有关的激活例如可以在定义的时间之后进行。这样的时间例如可以是机动车的运行时间。尤其是,可以尤其是在X个小时的运行时间之后进行激活。防止了激活在生产期间就已经发生。
例如如果在所连接的车辆总线处识别出特定信号,和/或如果在控制装置1处识别出信号的组合,和/或如果识别出用信号通知车辆已经结束生产阶段的信号,和/或如果借助于信号识别出部件已首次投入运行和/或部件的制造过程已成功完成和/或如果识别出该车辆已超过一定速度,则可以根据信号激活锁定机构。
此外,可以根据识别出的总线信号的数量和/或类型、尤其是数据分组来激活锁定机构。为此,例如,控制设备1对总线信号的数量、尤其是特定总线信号的数量进行计数,其由控制设备1经由接口20接收。如果超过了之前定义的值,则锁定机构被激活。
激活优选地在生产结束时进行,尤其是在交付给OEM、TIER或最终客户之前。
事件的识别同样可以用于激活锁定机构。
例如,在机动车中的部件已经运行了定义的最短时间之后激活锁定机构。评估在控制设备1的接口20处的车辆总线信号。只要识别出车辆总线信号,控制设备1中的时间计数器就递增。在达到极限值之后,将锁定机构激活。如果例如部件制造商或车辆制造商在生产期间使用其他信号,则计数器不递增。对于部件制造商来说,可以任意频繁地加载软件更新,直到激活锁定机构为止。此外,车辆制造商可以尤其是在生产期间任意频繁地加载软件更新。
在扩展方案中,可以使用前述识别出的信号、事件和/或运行时间的组合来激活锁定机构。尤其是,也可以激活借助于或者彼此关联的不同标准和/或条件。例如,当通过接口20已经接收到一定数量的总线信号时,可以进行激活。同时,当机动车首次超过一定速度时,也可以进行激活。视首先发生其中哪种条件而定,基于这些条件的发生进行激活。
根据本发明的扩展方案,锁定机构的激活可以取决于所执行的软件更新的数量。因此尤其可能的是,例如对于部件制造商而言可以加载一个或多个软件更新,并且对于汽车制造商而言也可以加载一个或多个软件更新。
根据本发明的扩展方案,控制设备1具有壳体。处理器30和微控制器40布置在壳体内。壳体被浇注有浇注料。浇注料在浇注后硬化。浇铸料导致,只有在除去和在此损坏了聚焦材料(Fokusmasse)时才可能与处理器30或微控制器40的引脚进行接触、尤其是直接接触。
图2中示出了根据本发明的方法100。该方法在方法步骤105中开始。这种开始例如在发动机启动时或在机动车驾驶员即将驶离之前给出。当新信号、尤其是数据分组到达接口时给出。但是,该方法也在生产中的测试运行时实施。一般地,该方法可以总是在使用机动车时实施。
在方法步骤110中,检查锁定机构是否已经是激活的或已经被激活。如果未激活锁定机构,则以方法步骤115继续进行。如果锁定机构是激活的,则以在下面进一步描述的方法步骤145继续进行。在方法步骤115中检查:是否出现了一个或多个定义的条件。例如,这样的条件可以是事件。优选地,该事件例如可以是机动车的使用。这些条件还包括之前提到的条件。如果未发生该事件,则以方法步骤120继续进行。在方法步骤120中,可以加载软件更新。在方法步骤120之后,控制设备1切换到扩展操作模式125。如果控制设备处于扩展操作模式/方法步骤125,则可以加载软件更新。扩展操作模式125对应于标准使用模式150,仅因为锁定机构禁用,所以可以加载软件更新和/或参数。
可选地,该方法可以在该方法步骤之后切换回到方法步骤105。
根据本发明的扩展方案,仅在尝试加载软件更新时才离开方法步骤105。在方法步骤105中检查:是否尝试加载软件更新。
如果在方法步骤115中满足条件,则可以在可选的方法步骤130中查询其他条件。但是,也可以直接切换到方法步骤140。
在方法步骤140中,锁定机构被激活。如果在可选的方法步骤130中不满足可选的其他条件,则以方法步骤120继续进行。
如果在方法步骤110中的检查得出锁定机构是激活的,则系统进入标准使用模式145。在标准使用模式145中,阻止软件更新的加载。锁定机构是激活的。然而,还可以通过接口进行通信。尤其是,阻止了对在其中存放有参数和软件的存储器的写入。优选地,防止引导加载程序被实施。
根据本发明的扩展方案,对每个到达的信号、尤其是数据分组实施方法100。如果激活了锁定机构,则丢弃或不接受包含软件或参数、尤其是也包含用于改变参数的命令的数据分组。
如果锁定机构是激活的,则处理器、尤其是微控制器的软件或固件存储器不被写入和/或覆盖,使得软件、尤其是控制设备的软件被覆盖。软件更新被阻止。
优选地,微控制器或处理器的永久存储器可以不再被写入或覆盖。
可选地,方法步骤110也可以加入到方法步骤120中。由此,在方法步骤115和可选的方法步骤130中连续地查询条件。
在可选的方法步骤150中,等待信号、尤其是分组。如果接收到信号,则实施方法步骤105。这尤其是在对每个到达的数据分组执行该方法时进行。
根据一个扩展方案,在正在执行软件更新时不激活锁定机构。
根据本发明,涉及一种用于激活锁定机构的方法100,该锁定机构阻止将更新、尤其是软件更新加载到用于控制机动车的部件的控制设备上。软件的更新也被理解为借助于软件更新来对软件进行的改变。此外,对此还理解为软件改变,尤其是软件降级。在此,尤其是将软件理解为控制软件和/或固件。
此外,根据本发明,涉及一种用于封锁控制设备1的可能性的方法100,该控制设备1被构造成控制、改变、尤其是更新和/或降级车辆的部件。
根据一个实施方式,锁定机构被构造为软件开关。尤其是,设置变量和/或参数和/或开始功能。根据一个扩展方案,锁定机构被实施为一种阻挡或不转发对应数据分组的防火墙。锁定机构有利地被构造为接口的部分。
根据第二实施方式,锁定机构被实施为硬件开关。这尤其是可以通过翻转开关和/或切换电开关(例如晶体管或MosFet)来进行。但是,也可以通过熔断保险丝或熔化组件来实现。电能存储器、尤其是电容器也可以被充电或放电。硬件开关在此情况下可以是控制设备1的部分。硬件开关也可以在接口20或处理器30或微控制器40中实现。尤其地,借助于硬件开关设置标记,该标记导致阻止了改变软件的措施。该标记尤其在方法步骤110中被检查。一旦被设置,该标记不能再被改变。
优选地改变存储位置。该存储位置是非易失性存储器的部分,尤其是永久性的、优选持久的存储器,该存储器一旦被改变就不能再被改变。存储器是控制设备1、尤其是微控制器40、优选地处理器30的部分。存储器还可以是接口20的部分。在方法110中检查存储位置。
Claims (14)
1.用于控制机动车的部件(10)、尤其是电动机、阀门、泵、风扇驱动器的控制设备(1),优选地用于HVAC应用或用于车辆驱动系统温度控制,该控制设备具有处理器(30)、优选微控制器(10)和接口(20),该接口被构造为使得能够借助于该接口(20)接收、尤其是加载软件更新,其特征在于,控制设备(1)具有锁定机构,该锁定结构在激活时阻止软件更新的加载,其中能以时间控制、事件控制和/或信号控制的方式激活该锁定机构。
2.根据前一权利要求所述的控制设备(1),其特征在于,所述接口(20)被构造和/或设立为在所述锁定机构激活时允许通信,尤其是还接收或发送控制命令、内部数据、可追溯性数据、状态信息和/或设备配置。
3.根据前述权利要求中任一项所述的控制设备(1),其特征在于,所述接口(20)被构造和/或设立为将所述控制装置(1)与机动车辆连接,尤其是所述接口(20)被构造为通过总线系统、尤其是CAN、LIN、动力总成、线控、TTP/B、MOST、D2B、FlexRay总线系统来建立连接。
4.根据前述权利要求中任一项所述的控制设备(1),其特征在于,所述锁定机构通过所述接口(20)实现。
5.根据前述权利要求中任一项所述的控制设备(1),其特征在于,所述锁定机构通过处理器(30)和/或微控制器(40)实现。
6.根据前述权利要求中任一项所述的控制设备(1),其特征在于,设置壳体,并且处理器(30)和/或微控制器(40)布置在所述壳体内,其中所述壳体被浇注有硬化的浇注料,仅在至少部分除去浇注料之后才可能进行接触。
7.根据前述权利要求中任一项所述的控制设备(1),其特征在于,所述接口(20)被构造为在与其连接的车辆总线上接收信号,其中所述接口(20)、处理器(30)和/或微控制器(40)被构造为评估信号并且根据定义的事件、接收到的信号和/或它们的组合来激活锁定机构。
8.根据前述权利要求中任一项所述的控制设备(1),其特征在于,所述控制设备(1)被构造为,在所述控制设备(1)的制造期间或之后和/或在机动车制造期间或之后和/或在最终客户首次使用该机动车时激活锁定机构。
9.用于运行控制设备(1)的方法(100),该控制设备被构造为控制机动车的部件(10),该方法具有以下步骤:
•检测(110)控制设备的锁定机构是否激活,该锁定机构阻止软件更新的加载,
•当确定(115、130)了已经发生一个或定义数量的事件、已经过去定义的时间和/或已经接收到一个或定义数量的信号时,激活(140)控制设备(1)的锁定机构。
10.根据前一权利要求所述的方法(100),其特征在于步骤:
•当检测到尤其是由OEM、TIER或最终客户使用机动车时,尤其是通过评估从接口(20)接收到的信号,附加地或替代地激活(140)锁定机构。
11.根据权利要求9至10中任一项所述的方法(100),其特征在于,在激活(140)所述锁定机构之后,所述接口能继续用于、尤其是继续用于通信,尤其是用于接收或发送控制命令、内部数据、可追溯性数据、状态信息和/或设备配置。
12.根据权利要求9至11中任一项所述的方法(100),其特征在于,对于在所述接口(20)处接收到的每个信号运行所述方法,并且尤其是在锁定机构激活时结束所述方法(100)的运行,并且优选对所接收的信号进行评估。
13.根据权利要求9至12中任一项所述的方法(100),其特征在于,在所述锁定机构激活时阻止软件或参数的加载。
14.根据权利要求9至13中任一项所述的方法(100),其特征在于,激活的锁定机构不能被停用。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102018204934 | 2018-03-29 | ||
| DE102018204934.3 | 2018-03-29 | ||
| DE102019202681.8 | 2019-02-28 | ||
| DE102019202681.8A DE102019202681A1 (de) | 2018-03-29 | 2019-02-28 | Steuergerät |
| PCT/EP2019/055492 WO2019185312A1 (de) | 2018-03-29 | 2019-03-06 | Sperr- und entsperrmechanismus für softwareaktualisierungen eines steuergeräts |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112136105A true CN112136105A (zh) | 2020-12-25 |
Family
ID=67910285
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980036148.1A Pending CN112136105A (zh) | 2018-03-29 | 2019-03-06 | 用于控制设备的软件更新的锁定和解锁机构 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20210019139A1 (zh) |
| EP (1) | EP3776184A1 (zh) |
| CN (1) | CN112136105A (zh) |
| DE (1) | DE102019202681A1 (zh) |
| WO (1) | WO2019185312A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117252558A (zh) * | 2023-11-17 | 2023-12-19 | 南京特沃斯清洁设备有限公司 | 基于人脸识别的清洁设备管理方法及系统 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7440822B2 (ja) * | 2019-10-31 | 2024-02-29 | 京セラドキュメントソリューションズ株式会社 | 情報処理システム |
| WO2023280412A1 (en) * | 2021-07-08 | 2023-01-12 | Cariad Se | Electronic control unit, vehicle with an electronic control unit and method for updating an electronic control unit |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE19949820C2 (de) * | 1999-10-15 | 2003-07-10 | Bosch Gmbh Robert | Zentrale Steuereinheit für Kraftfahrzeuge |
| DE10213165B3 (de) * | 2002-03-23 | 2004-01-29 | Daimlerchrysler Ag | Verfahren und Vorrichtung zum Übernehmen von Daten |
| DE10359487A1 (de) * | 2003-12-18 | 2005-07-21 | Bayerische Motoren Werke Ag | Steuergerät mit außer Funktion setzbarer Schnittstelle |
| JP4896397B2 (ja) * | 2004-12-28 | 2012-03-14 | 富士通株式会社 | プログラム、制限方法及びコンピュータ |
| DE102008035557A1 (de) * | 2008-07-30 | 2010-02-04 | Bayerische Motoren Werke Aktiengesellschaft | Verfahren zum Einbringen von Daten, insbesondere eine Ablaufsteuerung, in mindestens ein erstes und ein zweites Steuergerät eines Kraftfahrzeugs |
| US8539472B2 (en) * | 2010-06-09 | 2013-09-17 | Lear Corporation | Method and system of updating shared memory |
| US10075848B2 (en) * | 2012-08-25 | 2018-09-11 | T-Mobile Usa, Inc. | SIM level mobile security |
| JP5900390B2 (ja) * | 2013-01-31 | 2016-04-06 | 株式会社オートネットワーク技術研究所 | アクセス制限装置、車載通信システム及び通信制限方法 |
| US20140379780A1 (en) * | 2013-06-25 | 2014-12-25 | Sap Ag | Determining a support package status |
-
2019
- 2019-02-28 DE DE102019202681.8A patent/DE102019202681A1/de active Pending
- 2019-03-06 WO PCT/EP2019/055492 patent/WO2019185312A1/de active Application Filing
- 2019-03-06 CN CN201980036148.1A patent/CN112136105A/zh active Pending
- 2019-03-06 US US17/043,241 patent/US20210019139A1/en not_active Abandoned
- 2019-03-06 EP EP19716298.5A patent/EP3776184A1/de active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117252558A (zh) * | 2023-11-17 | 2023-12-19 | 南京特沃斯清洁设备有限公司 | 基于人脸识别的清洁设备管理方法及系统 |
| CN117252558B (zh) * | 2023-11-17 | 2024-01-19 | 南京特沃斯清洁设备有限公司 | 基于人脸识别的清洁设备管理方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3776184A1 (de) | 2021-02-17 |
| US20210019139A1 (en) | 2021-01-21 |
| DE102019202681A1 (de) | 2019-10-02 |
| WO2019185312A1 (de) | 2019-10-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112136105A (zh) | 用于控制设备的软件更新的锁定和解锁机构 | |
| US6954684B2 (en) | Intelligent cooling fan | |
| US6995532B2 (en) | System and method of controlling cooling fan speeds | |
| US7676302B2 (en) | System and method of operating a cooling fan | |
| US20170077844A9 (en) | Methods and systems for recording operating information of an electronically commutated motor | |
| US20220121269A1 (en) | In-vehicle control device | |
| WO2006071629A2 (en) | Improving reliability in motors and cooling fans | |
| JPWO2014068883A1 (ja) | 車両用電源装置 | |
| US11936500B2 (en) | In-vehicle network system, relay device, and method of controlling in-vehicle network system | |
| KR20140031303A (ko) | 통신 네트워크용 연결 노드 | |
| US20100215509A1 (en) | Systems and methods for programming of a cooling fan via a serial port communication mode | |
| EP3051368B1 (en) | Drive device | |
| US20030234625A1 (en) | Cooling fan capable of providing cooling fan data | |
| US6759760B2 (en) | Method to eliminate shipping fuse handling | |
| WO2012024160A1 (en) | Overvoltage and overcurrent protection scheme | |
| CN111799759A (zh) | 车载ecu输出电源的过流保护电路及其控制方法 | |
| JP3972429B2 (ja) | 車両制御用メモリ書き換え装置 | |
| WO2019070466A1 (en) | MODULAR ENERGY DISTRIBUTION SYSTEM AND CONTROLS | |
| WO2007119424A1 (ja) | 電気機器および電気機器における通信機能正常判定方法 | |
| US20170047824A1 (en) | Dynamoelectric machine assemblies having memory for use by external devices | |
| JP5432315B2 (ja) | 車両用電子制御装置 | |
| KR102034207B1 (ko) | 보안 정책에 따라 공유 데이터 영역의 접근을 통제하는 배터리 관리 시스템 | |
| JP2002236503A (ja) | 車両用電子制御装置 | |
| JP2005014707A (ja) | 車載バッテリの状態監視装置 | |
| KR20220000066A (ko) | 차량 배터리 방전 방지 시스템 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |