-
Die
vorliegende Erfindung betrifft eine mit einer Software betreibbare
Vorrichtung mit einem Steuergerät
zum Steuern einer Fahrzeugfunktion, ein System, das eine solche
Vorrichtung und einen Server umfasst, wie auch ein Verfahren zur
Aktualisierung einer Software eines entsprechenden Steuergerätes.
-
Software
für die
Steuerung von Fahrzeugfunktionen gewinnt zunehmend an Bedeutung
und sollte stets auf einen neuesten Stand gebracht, also aktualisiert
und optimiert sein. Das gilt zum Beispiel für Motorsteuerungen, mit denen
Einspritz- und Zündanlagen
von Verbrennungsmotoren angesteuert werden.
-
Derzeit
verfügbare
Möglichkeiten
für das
Aktualisieren von Konfigurationsdaten der Software zur Steuerung
von Fahrzeugfunktionen machen einen mit einem entsprechenden Aufwand
verbundenen Werksstattaufenthalt unumgänglich. Zwar existieren auch
Dienste für
die Durchführung
einer drahtlosen Fahrzeug-Ferndiagnose,
diese ermöglicht
jedoch nur eine Anzeige aktueller Fahrzeug- und Wartungsdaten, nicht
jedoch deren Aktualisierung.
-
Der
Erfindung liegt also die Aufgabe zugrunde eine entsprechende Vorrichtung
mit einem Steuergerät
zum Steuern einer Fahrzeugfunktion vorzuschlagen, die eine Aktualisierung
einer Software des Steuergerätes
mit einem vergleichsweise geringen Aufwand erlaubt, wobei eine missbräuchliche
und fehlerhafte Umkonfigurierung sicher vermeidbar sein soll. Der
Erfindung liegt ferner die Aufgabe zugrunde ein entsprechendes,
einfaches Verfahren zum Aktualisieren einer Software eines Steuergerätes zu entwickeln
sowie ein System, mit dem ein derartiges Verfahren durchgeführt werden
kann.
-
Diese
Aufgabe wird erfindungsgemäß gelöst durch
eine Vorrichtung mit den Merkmalen des Anspruchs 1 sowie durch ein
System mit den Merkmalen des Anspruchs 6 und ein Verfahren mit den
Merkmalen des Anspruchs 9. Vorteilhafte Ausgestaltungen und Weiterbildungen
der Erfindung ergeben sich mit den Merkmalen der Unteransprüche.
-
Es
wird also eine Vorrichtung vorgeschlagen, die ein elektronisches
Steuergerät,
das mit einer Software betreibbar ist, und zusätzlich eine Kommunikationseinheit
umfasst. Dabei steht das Kommunikationsgerät für eine Datenübertragung
mit dem Steuergerät
in Verbindung, so dass die Software des Steuergerätes durch
die Datenübertragung
aktualisierbar ist, wobei die Kommunikationseinheit ausgelegt ist
für einen
drahtlosen Datenaustausch mit einem Server zum Autorisieren der
Kommunikationseinheit für
die Datenübertragung
zum Steuergerät. Mit
diesen Merkmalen wird ein vollautomatisches Aktualisieren der Software
zur Steuerung von Fahrzeugfunktionen möglich, das keine Aktivität des Fahrers
und keinen Werkstattaufenthalt erfordert und zugleich eine hohe
Sicherheit bietet.
-
Das
Steuergerät
kann zum Beispiel eine Motorsteuerung oder ein Teil einer Motorsteuerung
sein. Das Steuergerät
kann also Funktionen wie zum Beispiel die Steuerung einer Kraftstoffeinspritzanlage oder
einer Zündanlage übernehmen.
Bei weiteren Ausführungen
der Erfindung kann das Steuergerät zum
Beispiel auch eine Klimaanlagensteuerung sein.
-
In
einer bevorzugten Ausführung
kann das Steuergerät
für eine
sichere Aktualisierung mittels eines Autorisierungscodes in einen
Programmiermodus geschaltet werden, der eine Aktualisierung der Software
erlaubt, wobei die Kommunikationseinheit eingerichtet ist zum Empfangen
des Autorisierungscodes vom Server und zum Übertragen des Autorisierungscodes
an das Steuergerät.
So kann eine unautorisierte Umkonfigurierung des Steuergerätes vermieden
werden.
-
Für eine sichere
und eindeutige Zuordnung, welches einzelne Fahrzeug welche Aktualisierungsdaten
angefragt hat und gegebenenfalls erhalten darf, kann der Autorisierungscode
dabei fahrzeugspezifisch und/oder spezifisch für eine zum Aktualisieren der
Software zu übertragende
Datenmenge sein. Auch ist es möglich,
dass der Autorisierungscode durch ein Einmalpasswort gegeben ist,
wodurch sich die Sicherheit weiter erhöhen lässt.
-
Die
Kommunikationseinheit kann eingerichtet sein zum Herunterladen einer
Aktualisierungssoftware für
das Steuergerät
vom Server oder von einem mit der Kommunikationseinheit verbindbaren
Datenträger.
In beiden Fällen
ist kein Werkstattaufenthalt erforderlich, um die Software des Steuergerätes zu aktualisieren.
-
Die
Aktualisierung der Software kann in vorteilhafter und einfacher
Weise mit einem System durchgeführt
werden, das zusätzlich
von der Vorrichtung mit einem aktualisierbaren elektronischen Steuergerät und einer
Kommunikationseinheit beschriebener Art auch einen Server umfasst,
der für
den Datenaustausch über
eine drahtlose Verbindung mit der Kommunikationseinheit verbunden
und zur Ausführung
der bereits beschriebenen Funktionen des Servers eingerichtet ist.
Da der Server demnach alle Informationen zur Verfügung stellen
kann, die für
eine Aktualisierung erforderlich sind, kann eine gegebenenfalls
erforderliche Aktualisierung – typischerweise nach
einer automatisch erfolgten Anfrage – umgehend eingeleitet werden.
Bei den genannten Informationen handelt es sich um die zum Autorisieren
der Kommunikationseinheit erforderlichen Daten und gegebenenfalls
auch um die Aktualisierungssoftware, sofern diese nicht von einem
anderen Datenträger ausgelesen
wird.
-
Die
Errichtung eines speziellen Übertragungsnetzes
ist bei bevorzugten Ausführungen
der Erfindung nicht erforderlich, wenn die drahtlose Verbindung über ein
bestehendes Mobilfunknetz hergestellt werden kann.
-
Für ein sicheres
Auffinden und eine sichere Zuordnung fahrzeugtypspezifischer Aktualisierungssoftware
sowie zur Vermeidung fehlerhafter oder missbräuchlicher Umkonfigurierungen
der Software des Steuergerätes
können
die Kommunikationseinheit und der Server zum gegenseitigen Identifizieren und/oder
Authentisieren eingerichtet sein.
-
Das
vorgeschlagene Verfahren zum Aktualisieren der Software eines in
einem Fahrzeug untergebrachten elektronischen Steuergerätes zum
Steuern einer Fahrzeugfunktion, bei dem eine Aktualisierungssoftware
auf dem Steuergerät
installiert wird, sieht für
den sicheren Ablauf einer vollautomatischen Aktualisierung der Steuerungssoftware
folgende Schrittfolge vor: Zunächst
wird eine drahtlose Verbindung zwischen einer im selben Fahrzeug
untergebrachten und mit dem Steuergerät verbundenen Kommunikationseinheit
und einem Server hergestellt. Dann wird ein Autorisierungscode durch
die Kommunikationseinheit vom Server über die drahtlose Verbindung
empfangen. Der Autorisierungscode wird durch die Kommunikationseinheit
an das Steuergerät übertragen,
das durch den Autorisierungscode in einen die Aktualisierung der
Software erlaubenden Programmiermodus geschaltet wird, wobei der
Autorisierungscode hierbei auch nur als Auszug oder gemäß einer
vom Server mit übertragenen
Berechnungsvorschrift modifiziert von der Kommunikationseinheit
an das Steuergerät übertragen
werden kann. Zusätzlich
kann das Steuergerät
eine Prüfung des
Autorisierungscodes vornehmen und dazu einen gespeicherten kryptographischen
Schlüssel
verwenden. Von mehreren möglichen
Programmiermodi kann das Steuergerät in einen durch den Autorisierungscode
autorisierten Programmiermodus wechseln und bei Empfang der Aktualisierungsoftware überprüfen, ob
die Installation der Aktualisierungssoftware im durch den übertragenen
Autorisierungscode autorisierten Programmiermodus zugelassen ist.
Schließlich
wird eine Aktualisierungssoftware, die zuvor durch die Kommunikationseinheit
geladen wurde, von der Kommunikationseinheit an das Steuergerät übertragen
und dort installiert.
-
Um
eine selbsttätig
oder mit geringem Aufwand manuell ausgelöste Aktualisierung der Software
zu ermöglichen,
kann die Aktualisierungssoftware durch die Kommunikationseinheit über die
drahtlose Verbindung vom Server empfangen oder alternativ von einer
DVD oder einem USB-Stick oder einem anderen mit der Kommunikationseinheit
verbundenen Datenträger
heruntergeladen werden.
-
Um
sicherzustellen, dass ausschließlich
solche Aktualisierungssoftware auf das Steuergerät übertragen wird, die für dieses
Steuergerät
vorgesehen ist, können über die
drahtlose Verbindung zwischen der Kommunikationseinheit und dem
Server zum Authentisieren der Kommunikationseinheit gegenüber dem
Server und/oder zum Authentisieren des Servers gegenüber der
Kommunikationseinheit Daten ausgetauscht werden.
-
Um
bereits bestehende Netze für
die drahtlose Kommunikation und Datenübertragung zu nutzen, kann
die drahtlose Verbindung zwischen der Kommunikationseinheit und
dem Server zum Beispiel ein GSM-Netz, ein UMTS-Netz, eine GPRS-Verbindung, eine
WiMAX-Verbindung, ein anderes Mobilfunknetz oder ein WLAN verwenden.
-
Vor
dem Installieren kann die Aktualisierungssoftware von der Kommunikationseinheit
auf Kompatibilität
mit dem Steuergerät überprüft werden, damit
sichergestellt ist, dass die Aktualisierungssoftware auch für das zum
Beispiel fahrzeugtypspezifische Steuergerät geeignet ist.
-
Als
erster Schritt zur Überprüfung der
Notwendigkeit einer Aktualisierung können Informationen über eine
aktuelle Konfiguration der Software durch die Kommunikationseinheit über die
drahtlose Verbindung an den Server übertragen werden.
-
Um
unnötige Übertragungsvorgänge zu vermeiden,
kann der Server in diesem Fall überprüfen, ob
eine Aktualisierungssoftware zum Ändern der aktuellen Konfiguration
der Software vorliegt und so programmiert sein, dass er den Autorisierungscode und/oder
die Aktualisierungssoftware erst dann an die Kommunikationseinheit überträgt, wenn
die Prüfung
positiv ausfällt.
-
Zum
Ausschluss von Fehlfunktionen während
des Fahrzeugbetriebs sieht eine vorteilhafte Ausführung des
Verfahrens vor, dass die Aktualisierungssoftware erst dann übertragen
oder installiert oder das Steuergerät erst dann in den Programmiermodus
geschaltet oder der Autorisierungscode erst dann vom Server oder
von der Kommunikationseinheit übertragen
wird, wenn ein Stillstand das Fahrzeugs oder eines Motors des Fahrzeugs
oder das Vorliegen mindestens einer anderen Nebenbedingung festgestellt
wird.
-
Auch
ist es möglich,
dass eine Übertragung des
Autorisierungscodes an die Kommunikationseinheit erst dann erfolgt,
wenn ein von dem Steuergerät an
die Kommunikationseinheit gesendetes Aufforderungssignal an den
Server übertragen
und dort erkannt worden ist, damit die drahtlose Verbindung zum
Server nur bei Bedarf einer Aktualisierung über eine längere Zeit aufrecht erhalten
werden muss.
-
Eine
weitere mögliche
Sicherheitsmaßnahme,
die eine Verwendung oder Veränderung
der Aktualisierungssoftware durch Dritte verhindert oder zumindest
erheblich erschwert, sieht vor, dass der Server zusätzlich einen
kryptographischen Schlüssel oder
Daten zur Ableitung eines kryptographischen Schlüssels an die Kommunikationseinheit überträgt, den
die Kommunikationseinheit zum Entschlüsseln der dann entschlüsselt übertragenen
und Aktualisierungssoftware verwendet.
-
Bevor
eine mit der Aktualisierung der Software des Steuergeräts verbundene
Datenübertragung zwischen
dem Kommunikations gerät
und dem Steuergerät
stattfindet, kann bei manchen Ausführungen der Erfindung als zusätzliche
Sicherheitsvorkehrung ein Gateway, über das das Steuergerät mit der
Kommunikationseinheit verbunden sein kann, durch ein von der Kommunikationseinheit
gesendetes Kommando umkonfiguriert werden. Dazu kann die Kommunikationseinheit über die
drahtlose Verbindung vom Server einen sie zum Senden des genannten Kommandos
autorisierenden Code empfangen, mit dem sich die Kommunikationseinheit
dann bei dem Gateway authentisiert.
-
Es
kann vorgesehen sein, dass ein Status-Code von dem Steuergerät an das
Kommunikationsgerät
und/oder von dem Kommunikationsgerät an den Server übertragen
wird, aus dem hervorgeht, ob die Aktualisierungssoftware erfolgreich
installiert wurde. So lassen sich Fehler erkennen, die eine weitere
Aktualisierung erforderlich machen.
-
Vor
dem Installieren der Aktualisierungssoftware kann eine Sicherheitskopie
der durch die Aktualisierungssoftware zu ersetzenden Software an
die Kommunikationseinheit übertragen
und dort zwischengespeichert werden. Diese Sicherheitskopie ist bei
entsprechenden Ausführungen
der Erfindung an das Steuergerät
rückübertragbar,
wenn das Installieren der Aktualisierungssoftware misslingt. Damit
ist der Fahrzeugbetrieb auch bei nicht erfolgreicher Installation
sichergestellt.
-
Die
zuvor beschriebene Vorrichtung und das System, das zusätzlich den
Server umfasst, können durch
eine entsprechende programmtechnische Einrichtung des Steuergeräts, der
Kommunikationseinheit und des Servers für eine Durchführung des
vorgeschlagenen Verfahrens programmtechnisch ausgelegt sein.
-
Ausführungsbeispiele
der Erfindung werden nachfolgend anhand der 1 bis 5 erläutert. Es
zeigen:
-
1 eine
schematische Darstellung eines Systems vorgeschlagener Art mit einem
Steuergerät, einer
Kommunikationseinheit und einem Server,
-
2 als
Flussdiagramm aufeinander folgende Schritte eines Verfahrens zur
Aktualisierung der Software eines Steuergerätes durch einen Server in einem
System der in 1 gezeigten Art,
-
3 eine
entsprechende Darstellung von Einzelschritten einer Aktualisierung
in einer Abwandlung des in 2 veranschaulichten
Verfahrens, bei der eine Aktualisierungssoftware vor Ort von einem Datenträger ausgelesen
wird,
-
4 in
entsprechender Darstellung eine erfolgreiche Aktualisierung in einer
Ausführung
des Verfahrens, die eine Datenwiederherstellungsoption bietet, und
-
5 in
entsprechender Darstellung die Einzelschritte des bereits in 4 veranschaulichten Verfahrens
im Fall einer nicht erfolgreichen Aktualisierung.
-
1 zeigt
eine schematische Darstellung eines Systems mit einem Steuergerät 2,
einer Kommunikationseinheit 3, einem Server 4 und
einem Mobilfunknetz 5. Das Steuergerät 2, das eine Motorsteuerung
oder Teil einer Motorsteuerung ist, und die Kommunikationseinheit 3 befinden
sich in einem Fahrzeug und bilden zusammen eine Vorrichtung 1. Die
Vorrichtung 1 und das System, das zusätzlich den Server 4 und
das Mobilfunknetz 5 umfasst, sind durch eine entsprechende
programmtechnische Einrichtung des Steuergeräts 2, der Kommunikationseinheit 3 und
des Servers 4 für
eine Durchführung des
vorgeschlagenen und im folgenden beschriebenen Verfahrens programmtechnisch
ausgelegt.
-
Das
Steuergerät 2 ist
mit einer aktualisierbaren Software betreibbar und die Kommunikationseinheit 3 steht
für eine
Datenübertragung
mit dem Steuergerät 2 in
Verbindung, so dass die Software des Steuergerätes 2 durch die Datenübertragung
aktualisierbar ist, wobei die Kommunikationseinheit 3 ausgelegt
ist für
einen drahtlosen Austausch mit dem als Update-Server fungierenden Server 4 zum
Autorisieren der Kommunikationseinheit 3 für die Datenübertragung
zum Steuergerät 2.
Für den
drahtlosen Austausch zwischen der Kommunikationseinheit 3 und dem
bei einem Fahrzeughersteller angesiedelten Server 4 wird
das Mobilfunknetz 5 verwendet, das ein GSM-Netz, ein UTMS-Netz,
eine GPRS-Verbindung, eine WiMAX-Verbindung,
ein weiteres Mobilfunknetz oder ein WLAN sein kann.
-
Für eine Aktualisierung
der Software des Steuergeräts 2 sieht
das mit dem System ausführbare
Verfahren folgende Schritte vor. Die Kommunikationseinheit 3 startet
eine Anfrage über
den Status der Software an das Steuergerät 2, das den aktuellen Status
der Software daraufhin übermittelt.
Dann stellt die Kommunikationseinheit 3 eine drahtlose
Verbindung zu dem Server 4 her und nach einer erfolgten gegenseitigen
Authentisierung zwischen Kommunikationseinheit 3 und Server 4 richtet
die Kommunikationseinheit 3 eine Anfrage über das
Vorhandensein von aktueller Software an den Server 4. Der
Server 4 prüft
daraufhin, ob eine fahrzeugtypspezifische Aktualisierungssoftware
für das
Steuergerät 2 vorliegt.
Ist dies der Fall, wird die Verbindung zwischen Kommunikationseinheit 3 und
Server 4 aufrechterhalten und es findet eine Übertragung
der Aktualisierungssoftware von dem Server 4 an die Kommunikationseinheit 3 statt.
Bei einer alternativen Ausgestaltung des Systems wird die Aktualisierungssoftware
stattdessen von einem dazu mit der Kommunikationseinheit 3 verbindbaren
Datenträger,
beispielsweise einem USB-Stick aus, übertragen. In jedem Fall empfängt die
Kommunikationseinheit 3 über das Mobilfunknetz 5 einen
Autorisierungscode vom Server 4, den die Kommunikationseinheit 3 dann
an das Steuergerät 2 überträgt, wodurch
das Steuergerät 2 in
einen Programmiermodus geschaltet wird. Dieser Programmiermodus
zeichnet sich dadurch aus, dass er ein Überschreiben und damit ein
Aktualisieren der Software des Steuergeräts 2 erlaubt. Dann
wird die Aktualisierungssoftware, die aus einem direkt ausführbaren
Programmcode, unmittelbar verwendbaren Konfigurationsparametern
oder einer Kombination davon besteht, von der Kommunikationseinheit 3 an
das Steuergerät 2 übertragen
und dort für
ein vollautomatisch auf den neuesten Stand gebrachtes Steuern einer
im vorliegenden Beispiel mit der Motorsteuerung zusammenhängenden
Fahrzeugfunktion installiert. Dabei wird der Autorisierungscode
erst dann von dem Server 4 und der Kommunikationseinheit 3 übertragen,
das Steuergerät 2 erst
dann in den Programmiermodus geschaltet und die Aktualisierungssoftware
erst dann übertragen
und installiert, wenn ein Stillstand des Fahrzeugs, eines Motors
des Fahrzeugs und eventuell das Vorliegen weiterer Nebenbedingungen – beispielsweise
einer Einwilligung eines Benutzers – festgestellt worden ist.
Mögliche Ausführungen
dieses Verfahrens werden nachfolgend noch detaillierter anhand der 2 bis 5 beschrieben.
-
In 2 sind
als Flussdiagramm aufeinander folgende Schritte eines entsprechenden
Verfahrens zur Aktualisierung der Software eines Steuergerätes 2 durch
einen Server 4 in einem System der in 1 gezeigten
Art dargestellt. Das Steuergerät 2, die
Kommunikationseinheit 3 und der Server 4 sind zur
Verdeutlichung der Abfolge der einzelnen Schritte in Form von senkrechten
Linien gezeigt, während Verfahrensschritte,
bei denen Daten zwischen verschiedenen Komponenten des Systems ausgetauscht
werden, durch Pfeile veranschaulicht sind. In einem ersten Schritt
S1 richtet die Kommunikationseinheit 3 eine Anfrage über den
Status der Software, mit der das Steuergerät 2 zur Steuerung
einer Fahrzeugfunktion betrieben wird, an das Steuergerät 2. Das
Steuergerät 2 übermittelt
daraufhin in einem Schritt S2 den Status der Software an die Kommunikationseinheit 3.
In einem Schritt S3 wird eine drahtlose Verbindung von der Kommunikationseinheit 3 mit
dem Ser ver 4 aufgebaut, wobei eine gegenseitige Authentisierung
zwischen der Kommunikationseinheit 3 und dem Server 4 erfolgt.
Die Authentisierung des Fahrzeugs kann dabei mit bekannten kryptographischen
Verfahren erfolgen, insbesondere unter Verwendung eines geheimen
Schlüssels
oder eines privaten Schlüssels.
Dadurch kann eine kryptographisch geschützte Verbindung aufgebaut werden.
-
Anschließend erfolgt
in einem Schritt S4 eine Anfrage von der Kommunikationseinheit 3 an
den Server 4 über
das Vorliegen einer Aktualisierungssoftware, wozu die Kommunikationseinheit 3 Informationen über eine
aktuelle Konfiguration der Software an den Server 4 überträgt. Der
Server 4 prüft dann
durch Vergleich der von der Kommunikationseinheit 3 erhaltenen
Informationen mit auf dem Server 4 abgelegten Informationen über eine
aktuellste Softwareversion, ob letztere sich von der aktuellen – also gegenwärtigen – Konfiguration
der Software des Steuergeräts 2 unterscheidet.
Trifft dies zu, werden die nachfolgend ausgeführten Schritte durchgeführt. Zunächst teilt
der Server 4 der Kommunikationseinheit 3 in einem
Schritt S5 mit, dass eine nachfolgend auch als aktuelle Software
bezeichnete Aktualisierungssoftware vorliegt. Daraufhin fordert
die Kommunikationseinheit 3 den Server 4 in einem
Schritt S6 auf, die aktuelle Software zu übertragen. In einem Schritt
S7 erfolgt dann die Übertragung
der Software von dem Server 4 an die Kommunikationseinheit 3. Nach
dem vollständigen
Herunterladen der aktuellen Software übermittelt die Kommunikationseinheit 3 in einem
Schritt S8 dem Server 4, dass der Vorgang des Herunterladens
beendet ist. In einem Schritt S9 teilt die Kommunikationseinheit 3 dem
Server 4 mit, dass die Aktualisierung gestartet werden
soll. Von der Kommunikationseinheit 3 wird in einem Schritt S10
ein Autorisierungscodes vom Server 4 angefordert. Der Server 4 sendet
daraufhin in einem Schritt S11 einen gegebenen Autorisierungscode
an die Kommunikationseinheit 3. Dieser Autorisierungscode kann
fahrzeugspezifisch und spezifisch für die aktuelle Software sein
und eventuell auch durch ein Einmalpasswort gegeben sein.
-
In
einer weiterentwickelten Ausführung
kann der Server 4 zusätzlich
einen kryptographischen Schlüssel
oder Daten zur Ableitung eines kryptographischen Schlüssels an
die Kommunikationseinheit 3 übertragen, wobei die Kommunikationseinheit 3 diesen
Schlüssel
zum Entschlüsseln
der dann entschlüsselt übertragenen
Aktualisierungssoftware verwendet. Der empfangene Schlüssel kann
auch von der Kommunikationseinheit 3 an das Steuergerät 4 übertragen
werden und die Entschlüsselung
der verschlüsselt übertragenen
Aktualisierungssoftware wird unter Verwendung des empfangenen Schlüssels durch
das Steuergerät 2 vorgenommen.
Darüber
hinaus kann auch ein Gateway, über
das das Steuergerät 2 mit
der Kommunikationseinheit 3 verbunden ist, durch ein von
der Kommunikationseinheit 3 gesendetes Kommando umkonfiguriert
werden, so dass eine Filterrekonfiguration des Gateway stattfindet,
bevor eine mit der Aktualisierung der Software des Steuergerätes 2 verbundene
Datenübertragung
zwischen der Kommunikationseinheit 3 und dem Steuergerät 2 stattfindet.
Für das
Senden des genannten Kommandos kann die Kommunikationseinheit 3 zusätzlich einen
autorisierenden Code empfangen, mit dem sich die Kommunikationseinheit 3 bei
dem Gateway authentisiert. In einer weiteren Variante beobachtet
das Gateway die Datenübertragung
zwischen Kommunikationseinheit 3 und Steuergerät 2.
Sendet die Kommunikationseinheit 3 über das Gateway einen Autorisierungscode
an das Steuergerät 2 und
wird dies vom Steuergerät 2 bestätigt, wechselt
das Gateway selbsttätig
in einen Kommunikationsmodus, so dass die Kommunikationseinheit 3 die
Aktualisierungssoftware an das Steuergerät 2 übertragen
kann.
-
In
einem Schritt S12 überträgt die Kommunikationseinheit 3 den
Autorisierungscode an das Steuergerät 2, wobei der Autorisierungscode
hierbei auch nur als Auszug oder gemäß einer vom Server mit übertragenen
Berechnungsvorschrift modifiziert von der Kommunikationseinheit 3 an
das Steuergerät 2 übertra gen
werden kann. Zusätzlich
kann das Steuergerät 2 eine
Prüfung
des Autorisierungscodes vornehmen und dazu einen gespeicherten kryptographischen
Schlüssel
verwenden. Von mehreren möglichen
Programmiermodi kann das Steuergerät 2 in einen durch
den Autorisierungscode autorisierten Programmiermodus wechseln und
bei Empfang der Aktualisierungsoftware überprüfen, ob die Installation der
Aktualisierungssoftware im durch den übertragenen Autorisierungscode
autorisierten Programmiermodus zugelassen ist. Sind diese Voraussetzungen erfüllt, wird
das Steuergerät 2 daraufhin
in einen Programmiermodus geschaltet, der eine Aktualisierung der
Software erlaubt. In einem Schritt S15 erfolgt dann nach Überprüfen der
Software auf Kompatibilität
mit dem Steuergerät 2 durch
die Kommunikationseinheit 3 das Übertragen der aktuellen Software
von der Kommunikationseinheit 3 an das Steuergerät 2. Dadurch
wird die aktuelle Software auf dem Steuergerät 2 installiert. Nach
einer erfolgreichen Installation übermittelt das Steuergerät 2 daraufhin
in einem Schritt S18 eine Bestätigung
der Funktionsfähigkeit an
die Kommunikationseinheit 3. Schließlich übermittelt die Kommunikationseinheit 3 in
einem Schritt S19 das Ergebnis der erfolgreichen Aktualisierung
an den Server 4 und in einem Schritt S20 teilt die Kommunikationseinheit 3 dem
Server 4 den Abschluss des Vorgangs der Aktualisierung
mit.
-
Die
mit einem Datenaustausch zwischen dem Steuergerät 2 und der Kommunikationseinheit 3 verbundenen
Schritte S1, S2, S12, S15 und S18 entsprechen bei dem beschriebenen
Verfahren einem Datenaustausch zwischen einem entsprechenden Steuergerät und einem
Test- und Aktualisierungsgerät
bei einer herkömmlichen
Softwareaktualisierung, bei der das Test- und Aktualisierungsgerät in einer Werkstatt
stationiert ist, die dazu mit dem Fahrzeug aufgesucht wird. Daher
wird die für
das System und das vorgeschlagene Verfahren wesentliche Kommunikationseinheit 3 auch
als ”Virtual-On-Board-Tester” (VOT)
bezeichnet, während
das Steuergerät 2 nicht modifiziert
werden muss, um in beschriebener Weise in Kombination mit der Kommunikati onseinheit 3 eingesetzt
zu werden. Die Kommunikationseinheit 3 ist dabei eine logische
Komponente des Fahrzeugs und kann beispielsweise durch eine Funktionalität des Infotainmentsystems
gegeben sein.
-
3 zeigt
eine entsprechende Darstellung von Einzelschritten einer Aktualisierung
in einer Abwandlung des in 2 veranschaulichten
Verfahrens, bei der eine Aktualisierungssoftware von einem vor Ort
mit der Kommunikationseinheit 3 verbindbaren Datenträger übertragen
wird. Wiederkehrende Bezugszeichen bezeichnen hier und in den folgenden
Figuren wieder die gleichen oder entsprechende Merkmale oder Verfahrensschritte.
Der Datenträger, bei
dem es sich zum Beispiel um eine DVD oder einen USB-Stick handelt,
enthält
eine aktuelle, fahrzeugtypspezifische Software für die Steuerung der von dem
Steuergerät 2 kontrollierten
Fahrzeugfunktion. Der Datenträger
wird der Kommunikationseinheit 3 zugeführt und in einem Vorgang V1
von der Kommunikationseinheit 3 registriert. Es folgen
die in der Beschreibung von 2 erklärten Schritte
S1 und S2. In einem Vorgang V2 überprüft die Kommunikationseinheit 3 daraufhin,
ob es sich bei der auf dem Datenträger gespeicherten Software
gegenüber
der auf dem Steuergerät 2 installierten
Software um eine neuere Konfiguration handelt. Ist dies der Fall,
folgen die bereits im Zusammenhang mit 2 beschriebenen
Schritte S3, S9 bis S12, S15 und S18 bis S20.
-
4 zeigt
in entsprechender Darstellung eine erfolgreiche Aktualisierung in
einer Ausführung des
Verfahrens, die eine Datenwiederherstellungsoption bietet. Zunächst erfolgen
auch bei dieser Ausführung
die bereits von dem Verfahren aus 2 bekannten
Schritte S1 bis S12. In einem auf den Schritt S12 folgenden Schritt
S13 fordert die Kommunikationseinheit 3 das Steuergerät 2 auf,
die bislang verwendete Fassung der Software an die Kommunikationseinheit 3 zu übertragen.
Das Steuergerät 2 überträgt daraufhin
in einem Schritt S14 die bislang verwendete Fassung der Software
zur Fahrzeugfunktions steuerung an die Kommunikationseinheit 3.
In einem Vorgang V3 speichert die Kommunikationseinheit 3 dann
diese bislang verwendete Fassung der Software. Erst dann folgen
die aus 2 bekannten Schritte S15 und
S18. Ausgelöst
durch die in Schritt S18 übertragene
Information, die auf eine erfolgreiche Installation schließen lässt, wird
die in einem Speicher der Kommunikationseinheit 3 vorgehaltene, bislang
verwendete Fassung der Software anschließend in einem Vorgang V4 gelöscht. Es
folgen die ebenfalls bereits im Zusammenhang mit 2 beschriebene
Schritte S19 und S20.
-
5 zeigt
in einer entsprechenden Darstellung die Einzelschritte des bereits
in 4 veranschaulichten Verfahrens im Fall einer nicht
erfolgreichen Aktualisierung. Zunächst erfolgen wieder die aus 2 bekannten
Schritte S1 bis S12 und die in der Beschreibung von 4 erklärten Schritte
S13 und S14, sowie Vorgang V3 und der bereits aus 2 bekannte
Schritt S15. In einem Schritt S16 teilt das Steuergerät 2 der
Kommunikationseinheit 3 in diesem Fall mit, dass die installierte
Aktualisierungssoftware nicht verwendbar ist, woraufhin in einem Schritt
S17 die bislang verwendete Fassung der Software von der Kommunikationseinheit 3 an
das Steuergerät 2 zurück übertragen
wird. Es folgt der bereits aus 4 bekannte
Vorgang V4, und in einem Schritt S19A übermittelt die Kommunikationseinheit 3 das Ergebnis
einer nicht erfolgreichen Aktualisierung an den Server 4,
woraufhin der bereits aus 2 bekannte
Schritt S20 folgt.
-
In
einer weiteren vorteilhaften Weiterbildung sendet der Server 4 zusätzlich zu
dem Autorisierungscode eine Aktualisierungssoftware für die Kommunikationseinheit 3 an
die Kommunikationseinheit 3, die die Testsoftware für das Steuergerät 2 enthält.
-
Eine
weitere Variante erfordert bereits einen Autorisierungscode für eine von
der Kommunikationseinheit 3 ausgehende An frage über den
Status der Software, mit der das Steuergerät 2 betrieben wird.
-
Eine
weitere vorteilhafte Variante sieht vor, dass die Kommunikationseinheit 3 eine
Notlauf-Softwareversion vorhält,
die für
den Fall installiert wird, dass die Wiederherstellungsoption nicht
funktioniert. Diese Daten können
entweder in einem nicht löschbaren
oder nicht überschreibbaren
Bereich der Kommunikationseinheit 3 oder auf einem mitgelieferten Datenträger gespeichert
sein, um die Fahrtüchtigkeit des
Fahrzeugs wiederherzustellen.