-
Die
Erfindung betrifft ein Verfahren zum Erreichen der Aktualisierung
einer Aufbaudokumentation eines vernetzten Systems nach dem Oberbegriff des
Patentanspruchs 1.
-
In
einem vernetzten System mit mehreren vernetzten Komponenten, wie
beispielsweise Steuergeräte
in einem Fahrzeug, ist es erforderlich, dass auch neu eingebaute
Komponenten oder Ersatzteile im Gesamtsystem funktionieren. In modernen
Fahrzeugen nimmt die Anzahl von Steuergeräten kontinuierlich zu. Dabei
sind jeweils verschiedene Steuergeräte zu einem Fahrzeugnetzwerk
zusammengefasst, die über
ein Bussystem miteinander kommunizieren. Beispiele für derartige
Fahrzeugnetzwerke sind CAN-, LIN- oder
MOST- Bussysteme. Um den Überblick über die
im System eingebauten Komponenten zu erhalten ist es erforderlich,
dass die Konfiguration des Systems gespeichert wird, und dass die
Konfiguration auch nach Tausch oder Reparatur einer Komponente aktualisiert
wird.
-
In
der
DE 199 26 206
C2 wird die Systemkonfiguration nach einem Tausch oder
einer Reparatur mittels eines fahrzeugseitigen Speichers aktualisiert.
Das offenbarte System ermöglicht
eine rechnergestützte
automatische Rekonfigurierung einer fahrzeugelektrischen Anlage
bei Tausch und Reparatur von Einzelkomponenten. Ein Ist-Konfigurationsdatenspeicher
ist fahrzeugseitig angeordnet und steht in Verbindung mit allen
verbauten Hardware-Komponenten, so dass die im Speicher abgelegten
Daten tatsächlich
auch mit der Ist-Konfiguration übereinstimmen,
und die gespeicherte Konfiguration kann dann relativ einfach abgeglichen
bzw. in Übereinstimmung
gehalten werden. In Bezug auf die sicherheitstechnischen Aspekte
ist es ungünstig,
dass der Speicher fahrzeugsseitig angeordnet ist, da eine Manipulation
der gespeicherten Daten nicht ausgeschlossen werden kann.
-
Es
ist daher eine Aufgabe der vorliegenden Erfindung ein Verfahren
der eingangs genannten Art so weiter zu gestallten, dass es insbesondere
möglich
ist, den aktuellen Aufbauzustand nach dem Tausch bzw. der Ergänzung einzelner
Komponenten zuverlässig
dokumentieren zu können.
-
Die
Aufgabe wird durch das Verfahren mit den Merkmalen des Patentanspruchs
1 gelöst.
Das Verfahren erreicht eine Aktualisierung einer Aufbaudokumentation
eines Systems vernetzter Komponenten, wobei das vernetzte System
auf eine zentrale Recheneinheit Zugriff hat, in welcher die Aufbaudokumentation
der vernetzten Komponenten und/oder des vernetzten Systems gespeichert
sind, wobei das Verfahren folgende Schritte enthält:
- – eine Komponente
im vernetzten System aktualisieren,
- – auf
die zentrale Recheneinheit zugreifen,
- – Informationen
bezüglich
der aktualisierten Komponente von dem vernetzten System zur zentralen
Recheneinheit übermitteln.
-
Das
Verfahren ist dadurch gekennzeichnet, dass die zentrale Recheneinheit,
bevor eine Freigabemeldung ggf. gegeben wird, eine Aufbauinformationsabfrage
an das vernetzte System durchführt
und anschließend
die aktualisierte Komponente nur dann freigibt, wenn alle abgefragten
Aufbauinformationen von dem vernetzten System übermittelt worden sind.
-
Das
vernetzte System ist vorzugsweise ein elektrisches System, beispielsweise
ein Bordnetz eines Fahrzeuges, und in diesem Fall schließen die Komponente
des vernetzten Systems beispielsweise die Steuergeräte des Fahrzeuges
ein. Die Komponenten können
Hardware- und/oder Softwarekomponenten sein.
-
Die
Aktualisierung einer Komponente schließen die Aktualisierung eines
Softwarestands der Komponente, einen Austausch der Komponente, einen
Neueinbau einer Komponente, eine Ergänzung einer Komponente, eine
Reparatur der Komponente, u.a.m., ein.
-
Die
Aufbaudokumentation des vernetzten Systems enthält Informationen über die
Komponenten, wie beispielsweise über
die Steuergeräte,
wie beispielsweise Software- und Hardwarestände der Komponenten, Seriennummern
und individuelle Geheimnisse der Komponenten, systemspezifische
Parametrierungen der Komponenten, u. ä. Die Aufbaudokumentation in
der zentralen Recheneinheit enthält
vorteilhaft Informationen über
jede Komponente des vernetzten Systems. Es ist auch vorgesehen, dass
nur Informationen bezüglich
ausgewählter Komponenten
oder ausgewählter
Gruppen von Komponenten in der zentralen Recheneinheit gespeichert sind,
oder aber auch, dass nur ausgewählte
Informationen, beispielsweise nur die Softwarestände in der zentralen Recheneinheit
gespeichert sind, oder aber auch, dass nur Hardwarestände der
Komponenten gespeichert sind. Welche Informationen in der zentralen
Recheneinheit gespeichert werden, wird von der zentralen Recheneinheit
gesteuert, indem die Aufbauinformationsabfrage dementsprechend erstellt
wird.
-
Mit
dem Verfahren nach Anspruch 1 wird gewährleistet, dass die Aktualisierung
einer Komponente oder das Einfügen
einer Komponente in ein vernetztes System immer in der zentralen
Recheneinheit erfasst wird, so dass Anlerndaten oder andere erforderliche
Daten für
den Betrieb beziehungsweise die Inbetriebnahme der aktualisierten
Komponente nur dann von der zentralen Recheneinheit freigegeben
werden, wenn das System die abgefragten Daten an die zentrale Recheneinheit übermittelt
hat. Die Ausgabe der Anlerndaten wird folglich solange verhindert,
bis alle geforderten aktuellen Daten des Systems übertragen
und zentral erfasst wurden. Eine Inbetriebnahme der neu eingebauten
oder aktualisierten Komponente ist daher nur möglich, wenn die Daten in der
zentralen Recheneinheit aktualisiert wurden. Der Vorteil dieser
Methode ist, dass die tatsächliche
Aufbaudokumentation über
den gesamten Lebenslauf des Systems garantiert werden kann.
-
Die
Aufbauinformationsabfrage der zentralen Recheneinheit an das vernetzte
System, ist vorzugsweise eine Abfrage nach Seriennummern einer oder
mehrerer Komponenten, individuellen Signaturdaten oder Geheimnissen
einer oder mehrerer Komponenten, Softwarestände einer oder mehrerer Komponenten
und/oder Programmierdaten für
eine oder mehrere Komponenten, usw. Bei einem Ausführungsbeispiel
der erfindungsgemäßen Verfahren kann
die Aufbauinformationsabfrage eine Abfrage ausschließlich nach
Informationen der aktualisierten Komponente sein. Es wird in diesem
Beispiel davon ausgegangen, dass das System darüber hinaus aktualisiert ist.
-
Bevorzugt
beinhaltet die Informationen, welche von dem vernetzten System in
der zentralen Recheneinheit übermittelt
werden, ein individuelles Erkennungszeichen der aktualisierten Komponente. Hierdurch
kann die aktualisierte Komponente von der zentralen Recheneinheit
erkannt und genau einer Komponente eindeutig zugeordnet werden.
Das Erkennungszeichen kann beispielsweise eine Seriennummer oder
ein Geheimnis der Komponente sein. Auch die von der zentralen Recheneinheit
abgefragten Daten werden vorzugsweise die individuellen Erkennungszeichen
der vernetzten Komponenten beinhalten. Die Aufbaudokumentation in
der zentralen Recheneinheit beinhaltet daher vorzugsweise die Kennungszeichen
aller Komponenten in dem vernetzten System.
-
Je
nachdem, welche Informationen in der zentralen Recheneinheit gespeichert
sind, kann diese unterschiedlich verwendet werden.
-
Es
soll hervorgehoben werden, dass die zentrale Recheneinheit eine
vielzahl von Recheneinheiten und/oder Datenbanken einschließen kann,
so dass die Softwarestände
beispielsweise in einer Datenbank gespeichert sind, die Erkennungszeichen der
Komponenten in einer anderen Datenbank, systemspezifische Parametrierdaten
in einer dritten Datenbank, u.s.w. Die zentrale Recheneinheit kann dann
als Interface für
das vernetzte System dienen und alle Anfragen zwischen den Datenbanken übermitteln
und eine Antwort an das vernetzte System schicken.
-
Durch
Abfragen spezifischer Komponentendaten kann auch gewährleistet
werden, dass keine gestohlene Komponente oder Teile verwendet werden.
Es ist beispielsweise voergesehen, dass wenn ein Auto als gestohlen
gemeldet wird, werden alle Komponenten des Fahrzeuges in der zentralen
Recheneinheit als gestohlen gemeldet. Wenn eine Informationsabfrage
an einem vernetzten System zu einem späteren Zeitpunkt dann feststellt,
dass ein Teil als gestohlen gemeldet ist, wird dieses Teil nicht
freigegeben. Wahlweise könnte
man auch mehrere Komponenten oder das Gesamtfahrzeug sperren. Informationen über das
aufgetauchte Teil könnten
einer zuständigen
Stelle Weitergeleiten werden.
-
Ferner
ist es vorgesehen, dass man mittels einer zentralen Recheneinheit
beispielsweise gezielte Rückrufaktionen
durchführen
kann. Es ist vorteilhaft, dass dann nur die betroffenen Systeme
oder Fahrzeuge bzw. deren Besitzer zum Werkstattbesuch aufgefordert
werden.
-
Andere
unzulässige
Komponenten und Teile können
auch am Einsatz gehindert werden, indem nur wiedererkennbare Komponenten
von der zentralen Recheneinheit freigegeben werden. Hierdurch kann
man auch den Einsatz von unzulässigen
oder aber auch verfälschten
Komponenten und Teilen verhindern.
-
Darüber hinaus
ist vorgesehen, dass die aktualisierte Komponente erst über einen übergeordneten
Prozess für
die Aktualisierung im Fahrzeug freigegeben wird. Der übergeordnete
Prozess kann beispielsweise eine gänzliche oder teilweise Freischaltung
kostenpflichtiger Zusatzfunktionen, Softwarekomponenten und/oder
Personalisierungen sein. Vorzugsweise wird eine Funktion oder eine
Komponente dann nur freigegeben, wenn auch nachgewiesen werden kann,
dass die entsprechenden Lizenz- oder Freischaltungsgebühren bezahlt
sind. Die kostenpflichtigen Zusatzfunktionen können beispielsweise Navigationsdaten
oder die Nutzung fahrzeugexternen Dienstleistungen sein. Durch Freischaltung können z.B.
Navigationsdaten für
spezifische Länder oder
Regionen oder Zusatzfunktionen in den Navigationsdaten freigegeben
werden. Ferner kann der Zugriff vom Fahrzeug auf ein Netzwerk, so
wie das Internet, ein Intranet oder ein Extranet, sowie ein Fahrzeugherstellerextranet,
ein zahlungspflichtiges Navigationsextranet, ein Dienstleitungsnetzwerk,
uwm. freigeschaltet werden.
-
Vorteilhafterweise
wird durch den übergeordneten
Prozess ein Zertifikat ausgestellt, welches die Einreichung oder
Bezahlung der kostenpflichtigen Funktionen oder Komponten bestätigt. Bevorzugt wird
das Zertifikat elektronisch ausgestellt, und Zweckmäßig ist
das elektronische Zertifikat dann auch unmittelbar von der zentralen
Recheneinheit lesbar, so dass die Freischaltung durch die zentrale Recheneinheit
erfolgen kann.
-
In
einer vorteilhaften Weiterbildung der Erfindung werden die in der
zentralen Recheneinheit gespeicherten Aufbauinformationen des vernetzten Systems
unter Berücksichtigung
der Aufbauinformation der aktualisierten Komponente ausgewertet,
und es wird festgestellt, ob das vernetzte System einschließlich der
aktualisierten Komponente sich in einem zugelassenen Stand befindet.
Nur wenn das gesamte vernetzte System einschließlich der aktualisierten Komponente
sich in einem zugelassenen Stand befindet, wird das System freigegeben.
-
Die
Auswertung kann beispielsweise feststellen, dass mindestens eine
andere Komponente einer neueren Softwarestand benötigt, um
das Gesamtsystem freigeben zu können,
und/oder dass einige Funktionen der aktualisierten Komponente nicht freigegeben
werden kann, wenn nicht noch eine Komponente ausgetauscht oder aktualisiert
wird.
-
Es
ist vorgesehen, dass die zentrale Recheneinheit bei Freigabe des
Systems entweder nach einer Prüfung
des gesamten vernetzten Systems oder nach erhalt aller abgefragten
Informationen eine Freigabemeldung, welche erforderliche Daten für den Betrieb
bzw. die Inbetriebnahme einer oder mehrerer Komponenten enthält, an das
vernetzte System sendet. Die Freigabemeldung kann erforderliche
Daten für
die aktualisierte Komponente und/oder für andere Komponenten, für eine Masterkomponente,
wie ein Mastersteuergerät,
usw., enthalten. Diese erforderlichen Daten schließen Anlerndaten,
wie zum Beispiel Parametrierdaten, Autorisationen, usw. für die Komponente
oder Komponenten ein.
-
In
einer weitere Ausführungsform
der Erfindung ist vorgesehen, dass die Komponenten in ein Mastersteuergerät und beliebig
viele Slavesteuergeräte
aufgeteilt werden. Die Kommunikation mit der zentralen Recheneinheit
wird dann überwiegend über das
Mastersteuergerät
vorgenommen. Vorteilhafterweise kann das Mastersteuergerät auch Autorisationen
für die
Slavesteuergeräte
von der zentralen Recheneinheit entnehmen und an die Slavesteuergeräte weiterleiten.
Eine Autorisation kann erforderlich sein zur Inbetriebnahme eines
Steuergerätes oder
es kann eine zyklische Autorisation zum laufenden Betrieb der Slavesteuergeräte angefordert
werden. Jedes Slavesteuergerät
erhält
dann zyklisch während
des laufenden Betriebs vom Mastersteuergerät eine Autorisation zum weiteren
Betrieb.
-
Ferner
ist es möglich,
dass mehrere Aufbaumöglichkeiten
für das
vernetzte System zu Verfügung stehen.
Die Aufbaumöglichkeiten
können
dann entsprechende neue Softwarestände, neu eingebaute Komponenten
usw. widerspiegeln. Zum Beispiel können neu eingebaute Komponenten
oder aktualisierte Komponenten mehrere Möglichkeiten, mehrere Funktionen,
bieten, die jedoch nur in Verbindung mit weiteren neuen oder aktualisierten Komponenten funktionieren
können.
Um zu vermeiden, dass Austausch oder Aktualisierung einer Komponente,
den Austausch oder die Aktualisierung von mehreren Komponenten erfordert
um das Gesamtsystem überhaupt
wieder in Betrieb nehmen zu können,
sind mehrere Aufbaumöglichkeiten
für das
vernetzte System vorgesehen. Der Benutzer kann dann entscheiden,
ob nur eine Komponente aktualisiert oder getauscht werden soll,
oder ob man zugleich mehrere Komponenten aktualisieren möchte, um
weitere Funktionsmöglichkeiten
für das
vernetzte System zu bekommen. Diese Vorgehensweise ist insbesondere bei
vorhandener optionaler Ausstattung eines Fahrzeuges vorteilhaft.
Ein Steuergerät
wird dann vorteilhaft mit allen Steuerungsfunktionen für alle Ausstattungsmöglichkeiten
gebaut, und je nach dem, welche Ausstattung in dem vernetzten System
vorhanden ist, wird der Aufbau des Systems und folglich das Steuergerät entsprechend
programmiert.
-
Es
gibt aber auch Fälle,
wo das Einfügen oder
die Aktualisierung der aktualisierten Komponente dazu führt, dass
andere Komponenten mindestens teilweise aktualisiert werden müssen, um
das Gesamtsystem in einen zugelassenen Stand zu bringen. Zweckmäßig wird
das Gesamtsystem in solchen Fällen
nur dann freigegeben, wenn auch die andere Komponente oder Komponenten
aktualisiert oder ausgetauscht werden.
-
In
vorteilhafter Weiterbildung der Erfindung ist vorgesehen, dass individuelle
Parametrierdaten, die in eine Komponente geschrieben werden müssen, auch
erst dann in der Komponente geändert werden
können,
wenn eine korrekte Autorisation mit dem Autorisationsmaster erfolgt
ist.
-
Somit
wird gewährleistet,
dass die individuelle Parametrierung einer Komponente erst dann durchgeführt werden
kann, wenn der vorhandene Systemaufbau bekannt ist. Damit kann eine
Falschparametrierung verhindert werden.
-
Ebenfalls
ist es möglich,
dass die in einer Komponente vorhandenen Parametrierdaten oder Normierdaten
automatisch verlernt werden, wenn diese Komponente eine falsche
Autorisation erkannt hat. Damit wird erreicht, dass eine Parametrierung oder
Normierung einer Komponente in einem anderen System keine falschen
oder sogar sicherheitskritischen Reaktionen auslöst. Beispielsweise kann ein in
einer Komponente abgespeicherten Endanschläge eines mechanischen Stellglieds,
das zur relativen Positionserfassung verwendet werden, gelöscht werden,
wenn eine falsche Autorisation erkannt wurde. Ferner ist vorgesehen,
dass ein Fahrzeugindividuelles Auslöseparameter eines Airbags beim
Tausch des Steuergeräts
in ein anderes Fahrzeug zurückgesetz
werden kann.
-
Es
wird bevorzugt, dass die Aufbauinformationsabfrage der zentralen
Recheneinheit kontinuierlich geändert
werden kann, um dem neuesten Stand der Aufbaumöglichkeiten des vernetzten
Systems zu entsprechen.
-
Wenn
die Informationsabfrage generiert wird, ist bevorzugt, dass die
zentrale Recheneinheit das vernetzte System nach solchen Aufbauinformationen
abfragt, so dass sichergestellt ist, dass die zentrale Recheneinheit
eine lückenlose
Aufbauinformation hat. Beispielsweise kann die zentrale Recheneinheit
eine Masterkomponente nach allen Slavekomponenten und deren Kennzeichen
fragen, um sicherzustellen, dass alle Komponenten, welche an der
Bordnetz angeschlossen sind, auch in der zentralen Recheneinheit
registriert werden.
-
Die
Verbindung zwischen dem vernetzten System und der zentralen Recheneinheit
kann auf herkömmliche
Weise erfolgen. In einem Fahrzeug kann die Verbindung beispielsweise über eine
Diagnoseeinheit, die das vernetzte System mit der zentralen Recheneinheit
vernetzt, hergestellt werden. Darüber hinaus kann die Verbindung
auch zwischen dem System und der zentralen Recheneinheit hergestellt werden, über Kabel
oder drahtlos, beispielsweise über
Funk, Infrarot, Bluetooth u.ä.m,
entweder direkt, über
einen lokalen Rechner mit Verbindung an die zentrale Recheneinheit,
oder über
eine andere Anschlussstelle.
-
Das
erfindungsgemäße Verfahren
wird im Folgenden anhand der beiliegenden Figur unter Bezugnahme
auf Ausführungsbeispiele
genauer erläutert.
-
1 zeigt
ein Blockdiagramm enthaltend wesentliche Merkmale eines Systems
zum Erreichen der Aktualisierung einer Aufbauinformationsdatenbank.
-
In
einem Fahrzeug 1 ist ein vernetztes System, in diesem Ausführungsbeispiel
ein Bordnetz, 2, welches mehrere Komponenten 3a, 3b, 3c, 3d, 3e und 4 enthält, dargestellt. Über das
System 2 kann eine Verbindung mit einer zentralen Recheneinheit 5 hergestellt
werden. Wenn eine Komponente 4 im vernetzten System 2 aktualisiert
wird, muss das vernetzte System 2 auf die zentrale Recheneinheit 5 zugreifen
und Informationen bezüglich
der aktualisierten Komponente 4 zur zentralen Recheneinheit 5 übermitteln.
Die zentrale Recheneinheit 5 empfängt vom vernetzten System 2 übermittelte
Daten 6 und schickt als Antwort eine Abfrage 7 an
das vernetzte System 2. Die zentrale Recheneinheit 5 fragt
nach Aufbauinformationen des vernetzten Systems. Die abgefragten
Informationen sind beispielsweise Softwarestände der einzelnen Komponenten,
Produktionsnummern, Identifikationscodes, Kennzeichnungen der Komponenten
u.ä.m.
Von diesen Informationen ausgehend, bekommt die zentrale Recheneinheit 5 Auskunft über den
aktuellen Aufbau des vernetzten Systems.
-
Vorteilhafterweise
ist der Aufbau des vernetzten Systems schon vom Hersteller des vernetzten
Systems in der zentralen Recheneinheit 5 gespeichert, beziehungsweise
wird den Aufbau beim ersten Verbinden mit dem vernetzten System 2 gespeichert. Der
Aufbau beim letzten Kontakt zwischen dem vernetzten System 2 und
der zentralen Recheneinheit 5 ist dann immer in der Recheneinheit 5 gespeichert. Des
Weiteren kann man auch den historischen Aufbau des vernetzten Systems
in der zentralen Recheneinheit 5 speichern.
-
Nach
Erhalt der abgefragten aktuellen Aufbauinformationen des vernetzten
Systems vergleicht die zentralen Recheneinheit 5 die zuletzt
gespeicherten Aufbauinformationen mit den aktuellen Aufbauinformationen.
Erst nach Erhalt aller abgefragte Aufbauinformationen werden erforderlichen
Daten von der Recheneinheit 5 an das vernetzte System 2 weitergeleitet.
Die aktuellen Aufbauinformationen werden in der zentralen Recheneinheit 5 gespeichert.
-
Bei
einer besonders bevorzugten Ausführungsform
werden die erforderlichen Daten erst dann an das vernetzte System 2 weitergeleitet,
wenn eine Überprüfung in
der zentralen Recheneinheit 5 feststellt, dass ein vernetztes
System mit einem Aufbau entsprechend der aktuellen Aufbauinformationen
der zentralen Recheneinheit 5 in einem zugelassenen Stand
ist. Die zentrale Recheneinheit 5 überprüft und verifiziert die Aufbauinformationen
mittels festgelegten möglichen
Aufbauten des spezifischen vernetzten Systems. Beispielsweise werden
die Softwarestände
auf Konsistenz überprüft und auch
andere vorher festgelegte Kriterien werden überprüft.
-
Sollte
erkannt werden, dass beispielsweise zwei oder mehrere Softwarestände nicht
miteinander kompatibel sind, wird es bevorzugt, dass eine entsprechende
Meldung gegeben wird, beispielsweise über ein Diagnosesystem, und
dass die erforderlichen Daten für
den Betrieb beziehungsweise die Inbetriebnahme der aktualisierten
Komponente erst dann freigegeben werden, wenn die Mängel behoben sind.