DE102020116715A1 - Verfahren zum Ermitteln einer Fahrfreigabe nach einer Softwareaktualisierung einer Menge von Steuergeräten eines Fahrzeugs, computerlesbares Medium, System und Fahrzeug - Google Patents

Verfahren zum Ermitteln einer Fahrfreigabe nach einer Softwareaktualisierung einer Menge von Steuergeräten eines Fahrzeugs, computerlesbares Medium, System und Fahrzeug Download PDF

Info

Publication number
DE102020116715A1
DE102020116715A1 DE102020116715.6A DE102020116715A DE102020116715A1 DE 102020116715 A1 DE102020116715 A1 DE 102020116715A1 DE 102020116715 A DE102020116715 A DE 102020116715A DE 102020116715 A1 DE102020116715 A1 DE 102020116715A1
Authority
DE
Germany
Prior art keywords
software update
control device
state
vehicle
control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102020116715.6A
Other languages
English (en)
Inventor
Gunther BUECHERL
Tobias Kraeker
Andre Mueller
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bayerische Motoren Werke AG
Original Assignee
Bayerische Motoren Werke AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bayerische Motoren Werke AG filed Critical Bayerische Motoren Werke AG
Priority to DE102020116715.6A priority Critical patent/DE102020116715A1/de
Priority to US17/928,872 priority patent/US20230297361A1/en
Priority to PCT/EP2021/058395 priority patent/WO2021259530A1/de
Priority to CN202180038954.XA priority patent/CN115668132A/zh
Publication of DE102020116715A1 publication Critical patent/DE102020116715A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/65Updates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1415Saving, restoring, recovering or retrying at system level
    • G06F11/1433Saving, restoring, recovering or retrying at system level during software upgrading

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Quality & Reliability (AREA)
  • Stored Programmes (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zum Ermitteln einer Fahrfreigabe nach einer Softwareaktualisierung einer Menge von Steuergeräten eines Fahrzeugs, das Verfahren umfassend: Empfangen eines ersten Sollzustands der Softwareaktualisierung, wobei der erste Sollzustands repräsentativ für einen Sollzustand aller Steuergeräte aus der Menge der Steuergeräte nach der Softwareaktualisierung der Steuergeräte des Fahrzeugs ist; Bestimmen eines ersten Istzustands der Softwareaktualisierung, wobei der erste Istzustand repräsentativ für einen Istzustand aller Steuergeräte aus der Menge der Steuergeräte nach der Softwareaktualisierung der Steuergeräte des Fahrzeugs ist; Bestimmen einer ersten Abweichung zwischen dem ersten Sollzustand und dem ersten Istzustand; und, falls die erste Abweichung eine Abweichung zwischen dem ersten Sollzustand und dem ersten Istzustand anzeigt: Empfangen einer Menge von zweiten Sollzuständen der Softwareaktualisierung, wobei ein zweiter Sollzustand aus der Menge von zweiten Sollzuständen repräsentativ für einen Sollzustand einer Softwareaktualisierung eines einzelnen Steuergeräts aus der Menge von Steuergeräten des Fahrzeugs ist; Bestimmen einer Menge von zweiten Istzuständen der Softwareaktualisierung, wobei ein zweiter Istzustand aus der Menge von Istzuständen repräsentativ für einen Istzustand einer Softwareaktualisierung eines einzelnen Steuergeräts aus der Menge von Steuergeräten des Fahrzeugs ist; Empfangen einer vorgegebenen Steuergeräteklassifikation, wobei die vorgegebene Steuergeräteklassifikation mehrere Klassen umfasst; Bestimmen einer zweiten Abweichung zwischen einem zweiten Sollzustand aus der Menge der zweiten Sollzustände und einem zweiten Istzustand aus der Menge der zweiten Istzustände für ein Steuergerät aus der Menge der Steuergeräte; und, falls die zweite Abweichung eine Abweichung zwischen dem zweiten Sollzustand des Steuergeräts und dem zweiten Istzustand des Steuergeräts anzeigt: Ermitteln der Klasse des Steuergeräts mittels der vorgegebenen Steuergeräteklassifikation; falls eine Eigenschaft der ermittelten Klasse des Steuergeräts anzeigt, dass das Steuergerät degradierbar ist: Degradieren des Steuergeräts nach der Softwareaktualisierung; Prüfen, ob das Degradieren des Steuergeräts erfolgreich war; und Erteilen einer eingeschränkten Fahrfreigabe nach dem erfolgreichen Degradieren des Steuergeräts.

Description

  • Die Erfindung betrifft ein Verfahren zum Ermitteln einer Fahrfreigabe nach einer Softwareaktualisierung einer Menge von Steuergeräten eines Fahrzeugs. Die Erfindung betrifft ferner ein computerlesbares Medium zum Ermitteln einer Fahrfreigabe nach einer Softwareaktualisierung einer Menge von Steuergeräten eines Fahrzeugs, ein System zum Ermitteln einer Fahrfreigabe nach einer Softwareaktualisierung einer Menge von Steuergeräten eines Fahrzeugs, und ein Fahrzeug umfassend das System zum Ermitteln einer Fahrfreigabe nach einer Softwareaktualisierung einer Menge von Steuergeräten eines Fahrzeugs.
  • Aus dem Stand der Technik sind Fahrzeuge bekannt, deren Software aus der Ferne aktualisiert werden kann. Bei der Aktualisierung der Software von Fahrzeugen können Fehler auftreten, die zu einem fehlhaften Betrieb eines oder mehrerer Steuergeräte des Fahrzeugs führen. Tritt ein Fehler bei der Aktualisierung der Software eines Steuergeräts des Fahrzeugs auf, kann das Fahrzeug in einem betriebsunfähigen Zustand versetzt werden. Ein Kunde kann in dem betriebsunfähigen Zustand das Fahrzeug nicht mehr nutzen. Der Kunde muss eine Fahrzeugreparatur vor Ort oder in einer Werkstatt durchführen.
  • Es ist daher eine Aufgabe der Erfindung, eine Fahrfreigabe nach einer Softwareaktualisierung des Fahrzeugs effizient zu ermitteln. Insbesondere ist es eine Aufgabe der Erfindung, eine Fahrsperre eines Fahrzeugs nach einer Softwareaktualisierung des Fahrzeugs effizient zu vermeiden.
  • Gelöst wird diese Aufgabe durch die Merkmale der unabhängigen Ansprüche. Vorteilhafte Ausgestaltungen und Weiterbildungen der Erfindung ergeben sich aus den abhängigen Ansprüchen.
  • Gemäß einem ersten Aspekt zeichnet sich die Erfindung aus durch ein Verfahren zum Ermitteln einer Fahrfreigabe nach einer Softwareaktualisierung einer Menge von Steuergeräten eines Fahrzeugs. Das Verfahren kann ein computerimplementiertes und/oder ein steuergeräteimplementiertes Verfahren sein. Das Fahrzeug kann ein teil-, hoch-, und/oder vollautomatisiert fahrendes Fahrzeug sein. Die Menge von Steuergeräten kann vorgegebenen sein. Vorzugsweise umfasst die Menge von Steuergeräten alle Steuergeräte, die von der Softwareaktualisierung umfasst sind. Die Softwareaktualisierung kann eine Software eines oder mehrerer Steuergeräte aus der Menge der Steuergeräte aktualisieren. Vorzugsweise umfasst die Softwareaktualisierung eine Aktualisierung einer Software für jedes Steuergerät aus der Menge von Steuergeräten. Die Softwareaktualisierung kann abhängig von einer Konfiguration des Fahrzeugs sein. Insbesondere kann die Softwareaktualisierung abhängig von einer Steuergerätekonfiguration des Fahrzeugs sein.
  • Das Verfahren umfasst ein Empfangen eines ersten Sollzustands der Softwareaktualisierung, wobei der erste Sollzustands repräsentativ für einen Sollzustand aller Steuergeräte aus der Menge der Steuergeräte nach der Softwareaktualisierung der Steuergeräte des Fahrzeugs ist, ein Bestimmen eines ersten Istzustands der Softwareaktualisierung, wobei der erste Istzustand repräsentativ für einen Istzustand aller Steuergeräte aus der Menge der Steuergeräte nach der Softwareaktualisierung der Steuergeräte des Fahrzeugs ist, und ein Bestimmen einer ersten Abweichung zwischen dem ersten Sollzustand und dem ersten Istzustand. Falls die erste Abweichung eine Abweichung zwischen dem ersten Sollzustand und dem ersten Istzustand anzeigt, empfängt das Verfahren eine Menge von zweiten Sollzuständen der Softwareaktualisierung, wobei ein zweiter Sollzustand aus der Menge von zweiten Sollzuständen repräsentativ für einen Sollzustand einer Softwareaktualisierung eines einzelnen Steuergeräts aus der Menge von Steuergeräten des Fahrzeugs ist. Weiter bestimmt das Verfahren eine Menge von zweiten Istzuständen der Softwareaktualisierung, wobei ein zweiter Istzustand aus der Menge von Istzuständen repräsentativ für einen Istzustand einer Softwareaktualisierung eines einzelnen Steuergeräts aus der Menge von Steuergeräten des Fahrzeugs ist, und empfängt eine vorgegebene Steuergeräteklassifikation, wobei die vorgegebene Steuergeräteklassifikation mehrere Klassen umfasst, wobei ein Steuergerät aus der Menge der Steuergeräte mit einer Klasse aus der vorgegebenen Steuergeräteklassifikation verknüpft ist, und wobei eine oder mehrere Eigenschaften von Steuergeräten mit jeder Klasse der vorgegebenen Steuergeräteklassen verknüpft sind. Weiterhin bestimmt das Verfahren eine zweiten Abweichung zwischen einem zweiten Sollzustand aus der Menge der zweiten Sollzustände und einem zweiten Istzustand aus der Menge der zweiten Istzustände für ein Steuergerät aus der Menge der Steuergeräte.
  • Falls die zweite Abweichung eine Abweichung zwischen dem zweiten Sollzustand des Steuergeräts und dem zweiten Istzustand des Steuergeräts anzeigt, ermittelt das Verfahren die Klasse des Steuergeräts mittels der vorgegebenen Steuergeräteklassifikation. Falls eine Eigenschaft der ermittelten Klasse des Steuergeräts anzeigt, dass das Steuergerät degradierbar ist, degradiert das Verfahren das Steuergerät nach der Softwareaktualisierung, prüft, ob das Degradieren des Steuergeräts erfolgreich war, und erteilt eine eingeschränkte Fahrfreigabe nach dem erfolgreichen Degradieren des Steuergeräts. Die eingeschränkte Fahrfreigabe kann eine Fahrt mit dem Fahrzeug ermöglich, wobei Funktionen von erfolgreich degradierten Steuergeräten während der Fahrt nicht zur Verfügung stehen. Weiter kann bei einer eingeschränkten Fahrfreigabe das Fahrzeug einem Nutzer des Fahrzeugs eine Nachricht bereitstellen, wobei die Nachricht wenigstens einen Hinweis auf die eingeschränkte Fahrfreigabe umfasst.
  • Vorteilhafterweise kann das Verfahren eine eingeschränkt Fahrfreigabe erteilen, wenn ein oder mehrere Steuergeräte aus der Menge von Steuergeräten nach der Softwareaktualisierung eine Abweichung vom Sollzustand aufweist. Eine Fahrsperre des Fahrzeugs nach einer fehlerhaften Softwareaktualisierung eines Steuergeräts kann effizient vermieden werden.
  • Gemäß einer vorteilhaften Ausgestaltung kann der erste Sollzustand einen kryprographischen Hashwert umfassen, und/oder kann der erste Istzustand einen kryptographischen Hashwert umfassen, und/oder kann ein zweiter Sollzustand aus der Menge der zweiten Sollzustände einen kryprographischen Hashwert umfassen. und/oder kann ein zweiter Istzustand aus der Menge der zweiten Istzustände einen kryptographischen Hashwert umfassen. Durch die Verwendung von kryptographischen Hashwerten kann die Sicherheit beim Ermitteln der Fahrfreigabe und/oder der eingeschränkten Fahrfreigabe effizient erhöhen werden. Weiter kann eine Abweichung zwischen dem ersten Sollzustand und dem ersten Istzustand und/oder zwischen dem zweiten Sollzustand und dem zweiten Istzustand effizient und eindeutig ermittelt werden.
  • Gemäß einer weiteren, vorteilhaften Ausgestaltung kann eine erste Hashfunktion den kryptographischen Hashwert des ersten Istzustands während der Softwareaktualisierung der Menge von Steuergeräten bestimmen, und/oder kann die erste Hashfunktion den kryptografischen Hashwert des ersten Istzustands basierend auf den kryptografischen Hashwerten der zweiten Istzustände aus der Menge der zweiten Istzustände bestimmen. Hiermit kann der erste Istzustand effizient bestimmt werden.
  • Gemäß einer weiteren, vorteilhaften Ausgestaltung kann eine zweite Hashfunktion den kryptographischen Hashwert eines zweiten Istzustands eines Steuergeräts nach der Softwareaktualisierung des Steuergeräts bestimmen. Hiermit kann der zweite Istzustand effizient bestimmt werden.
  • Gemäß einer weiteren, vorteilhaften Ausgestaltung kann das Verfahren weiterhin ein Erteilen der Fahrfreigabe nach einer Softwareaktualisierung umfassen, falls die erste Abweichung keine Abweichung zwischen dem ersten Sollzustand und dem ersten Istzustand anzeigt. Hiermit kann effizient eine Fahrfreigabe ermittelt werden.
  • Gemäß einer weiteren, vorteilhaften Ausgestaltung kann das Verfahren weiterhin ein Verhindern der Fahrfreigabe nach der Softwareaktualisierung umfassen, falls eine Eigenschaft der ermittelten Klasse des Steuergeräts anzeigt, dass das Steuergerät fahrkritisch ist. Hiermit kann effizient ein unsicherer Fahrbetrieb des Fahrzeugs nach der Softwareaktualisierung verhindert werden.
  • Gemäß einer weiteren, vorteilhaften Ausgestaltung kann das Verfahren weiterhin ein Erteilen einer eingeschränkten Fahrfreigabe nach der Softwareaktualisierung umfassen, falls eine Eigenschaft der ermittelten Klasse des Steuergeräts anzeigt, dass das Steuergerät fahrunkritisch ist. Hiermit kann effizient eine eingeschränkte Fahrfreigabe ermittelt werden.
  • Gemäß einer weiteren, vorteilhaften Ausgestaltung kann das Degradieren des Steuergeräts nach der Softwareaktualisierung ein Ermitteln eines weiteren Steuergeräts aus der Menge der Steuergeräte, wobei das weitere Steuergerät einen Befehl zum Degradieren des Steuergeräts ausführen kann, ein Ausführen des Befehls zum Degradieren des Steuergeräts auf dem ermittelten, weiteren Steuergerät, und ein Degradieren des Steuergeräts nach der Softwareaktualisierung durch das Ausführen des Befehls zum Degradieren des Steuergeräts auf dem ermittelten, weiteren Steuergerät umfassen. Hiermit kann effizient ein Steuergerät degradiert werden.
  • Gemäß einem weiteren Aspekt zeichnet sich die Erfindung aus durch ein computerlesbares Medium zum Ermitteln einer Fahrfreigabe nach einer Softwareaktualisierung einer Menge von Steuergeräten eines Fahrzeugs, wobei das computerlesbare Medium Instruktionen umfasst, die, wenn ausgeführt auf einem Rechner und/oder einem Steuergerät, das oben beschriebene Verfahren ausführen.
  • Gemäß einem weiteren Aspekt zeichnet sich die Erfindung aus durch ein System zum Ermitteln einer Fahrfreigabe nach einer Softwareaktualisierung einer Menge von Steuergeräten eines Fahrzeugs, wobei das System dazu ausgebildet ist, das oben beschriebene Verfahren auszuführen.
  • Gemäß einem weiteren Aspekt zeichnet sich die Erfindung aus durch ein Fahrzeug umfassend das oben beschriebene System zum Ermitteln einer Fahrfreigabe nach einer Softwareaktualisierung einer Menge von Steuergeräten des Fahrzeugs.
  • Weitere Merkmale der Erfindung ergeben sich aus den Ansprüchen, den Figuren und der Figurenbeschreibung. Alle vorstehend in der Beschreibung genannten Merkmale und Merkmalskombinationen sowie die nachfolgend in der Figurenbeschreibung genannten und/oder in den Figuren allein gezeigten Merkmale und Merkmalskombinationen sind nicht nur in der jeweils angegebenen Kombination, sondern auch in anderen Kombinationen oder aber in Alleinstellung verwendbar.
  • Im Folgenden wird anhand der beigefügten Zeichnungen ein bevorzugtes Ausführungsbeispiel der Erfindung beschrieben. Daraus ergeben sich weitere Details, bevorzugte Ausgestaltungen und Weiterbildungen der Erfindung. Im Einzelnen zeigt schematisch 1 ein beispielhaftes Verfahren zum Ermitteln einer Fahrfreigabe nach einer Softwareaktualisierung einer Menge von Steuergeräten eines Fahrzeugs.
  • Im Detail zeigt 1 ein beispielhaftes Verfahren 100 zum Ermitteln einer Fahrfreigabe nach einer Softwareaktualisierung einer vorzugsweise vorgegebenen Menge von Steuergeräten eines Fahrzeugs. Das Verfahren kann im Rahmen einer Funktionssicherheitsüberprüfung des Fahrzeugs nach der Softwareaktualisierung der vorgegebenen Menge von Steuergeräten ausgeführt werden. Das Verfahren kann einen ersten Sollzustand der Softwareaktualisierung empfangen 102. Beispielsweise kann das Verfahren den ersten Sollzustand von einem fahrzeugexternen Server empfangen. Der fahrzeugexterne Server kann ein Server eines Backends eines Fahrzeugherstellers sein. Der erste Sollzustand ist vorzugsweise repräsentativ für einen Sollzustand aller Steuergeräte aus der Menge der Steuergeräte nach der Softwareaktualisierung aller Steuergeräte aus der Menge der Steuergeräte des Fahrzeugs. Der erste Sollzustand kann vor einem Durchführen der Softwareaktualisierung von einem fahrzeugexternen Server bestimmt werden und an das Fahrzeug übermittelt werden. Der erste Sollzustand kann einen kryptografischen Hashwert umfassen, der mittels einer ersten Hashfunktion durch den fahrzeugexternen Server ermittelt werden kann. Beispielsweise kann die erste Hashfunktion den ersten Sollzustand basierend auf den kryptografischen Hashwerten von zweiten Sollzuständen berechnen, wobei jeder zweite Sollzustand einen kryptografischen Hashwert umfasst, der einen Sollzustand der Softwareaktualisierung eines einzelnen Steuergeräts aus der Menge der Steuergeräte angeben kann. Die zweiten Sollzustände können eine vorgegebene Ordnung aufweisen, die von der ersten Hashfunktion verwendet werden kann, um den kryptografischen Hashwert des ersten Sollzustands basierend auf den kryprografischen Hashwerten der zweiten Sollzustände zu bestimmen. Die vorgegebene Ordnung kann beispielsweise basierend auf Diagnosecodes der Steuergeräte festgelegt werden. Beispielsweise kann die erste Hashfunktion einen kryptografischen Hashwert für den ersten Sollzustand berechnen, indem die kryptografischen Hashwerte der jeweiligen Sollzustände der ersten beiden Steuergeräte der vorgegebenen Ordnung ein kryptografischer Hashwert eines Zwischensollzustand ermittelt wird. Mit diesem kryptografischen Hashwert des Zwischensollzustand und dem kryptographischen Hashwert des Sollzustands eines nachfolgenden Steuergeräts der vorgegebenen Ordnung kann die erste Hashfunktion wiederum einen kryptographischen Hashwert eines weiteren Zwischensollzustands ermittelt. Dieser Schritt wird für jedes weitere Steuergerät der vorgegebenen Ordnung ausgeführt. Der erste Sollzustand ist vorzugsweise der kryptographische Hashwert, der nach Anwendung der ersten Hashfunktion auf alle Steuergeräte der vorgegebenen Ordnung ermittelt wird.
  • Das Verfahren 100 kann einen ersten Istzustand der Softwareaktualisierung bestimmen 104. Der erste Istzustand kann repräsentativ für einen Istzustand aller Steuergeräte aus der Menge der Steuergeräte nach der Softwareaktualisierung aller Steuergeräte aus der Menge der Steuergeräte des Fahrzeugs sein. Vorzugsweise kann der erste Istzustand einen kryptographischen Hashwert umfassen. Der erste Istzustand kann von dem Fahrzeug bestimmt werden. Das Verfahren kann auf einem Steuergerät des Fahrzeugs die erste Hashfunktion ausführen, um den kryptografischen Hashwert des ersten Istzustands während der Softwareaktualisierung der Menge von Steuergeräten zu bestimmen. Beispielsweise kann die erste Hashfunktion den ersten Istzustand basierend auf den kryptografischen Hashwerten von zweiten Istzuständen berechnen, wobei jeder zweite Istzustand einen kryptografischen Hashwert umfasst, der einen Istzustand der Softwareaktualisierung eines einzelnen Steuergeräts aus der Menge von Steuergeräten angeben kann. Analog zu oben beschriebenem Ermitteln des ersten Sollzustands auf dem fahrzeugexternen Server, wird der erste Istzustand im Fahrzeug berechnet, um eine Vergleichbarkeit des ersten Sollzustands und des ersten Istzustands zu erreichen. In anderen Worten wird die erste Hashfunktion redundant sowohl auf dem fahrzeugexternen Server als auch im Fahrzeug ausgeführt.
  • Das Verfahren 100 kann eine erste Abweichung zwischen dem ersten Sollzustand und dem ersten Istzustand bestimmen 106. Dazu kann das Verfahren 100 den kryptografischen Hashwert des ersten Sollzustands mit dem kryptografischen Hashwert des ersten Istzustands vergleichen. Falls die erste Abweichung keine Abweichung zwischen dem ersten Sollzustand und dem ersten Istzustand anzeigt ist, wurde die Softwareaktualisierung für alle Steuergeräte aus Menge der Steuergeräte erfolgreich ausgeführt. In diesem Fall kann das Verfahren 100 eine Fahrfreigabe, insbesondere eine uneingeschränkte Fahrfreigabe, nach der Softwareaktualisierung erteilen 108. Mit dem Begriff Fahrfreigabe wird eine uneingeschränkte Fahrfreigabe angegeben.
  • Falls die erste Abweichung eine Abweichung zwischen dem ersten Sollzustand und dem ersten Istzustand anzeigt, sind ein oder mehrere Fehler bei der Softwareaktualisierung einzelner Steuergeräte aus der Menge von Steuergeräten aufgetreten. Das Verfahren 100 kann in diesem Fall das Steuergerät bzw. die Steuergeräte aus der Menge der Steuergeräte identifizieren, bei dem bzw. bei denen ein Fehler bei der Softwareaktualisierung aufgetreten ist. Für jedes Steuergerät aus der Menge von Steuergeräten kann das Verfahren 100 prüfen, ob ein Fehler bei der Softwareaktualisierung vorliegt, indem die jeweiligen zweiten Sollzustände der Softwareaktualisierung mit den jeweiligen zweiten Istzuständen verglichen werden, um eine Abweichung bei der Softwareaktualisierung zu erkennen. Im Detail kann das Verfahren 100 eine Menge von zweiten Sollzuständen der Softwareaktualisierung empfangen 110. Ein zweiter Sollzustand aus der Menge der zweiten Sollzustände kann repräsentativ für einen Sollzustand einer Softwareaktualisierung eines einzelnen Steuergeräts aus der Menge von Steuergeräten des Fahrzeugs sein. Der zweite Sollzustand kann von dem fahrzeugexternen Server an das Fahrzeug übermittelt werden. Jeder zweite Sollzustand kann einen kryptografischen Hashwert umfassen. Der kryprografische Hashwert des zweiten Sollzustands kann mittels einer zweiten Hashfunktion ermittelt werden. Die zweite Hashfunktion ist vorzugsweise unterschiedlich von der ersten Hashfunktion.
  • Weiter kann das Verfahren 100 eine Menge von zweiten Istzuständen der Softwareaktualisierung bestimmen 112. Ein zweiter Istzustand aus der Menge von Istzuständen kann repräsentativ für einen Istzustand einer Softwareaktualisierung eines einzelnen Steuergeräts aus der Menge von Steuergeräten des Fahrzeugs sein. Jeder zweite Istzustand kann einen kryptografischen Hashwert umfassen. Der kryprografische Hashwert des zweiten Istzustands kann mittels der zweiten Hashfunktion ermittelt werden. Die zweite Hashfunktion ist vorzugsweise unterschiedlich von der ersten Hashfunktion. Für das Bestimmen 112 eines zweiten Istzustands eines jeweiligen Steuergerätes aus der Menge der Steuergeräte kann das Verfahren 100 die zweite Hashfunktion nach der Softwareaktualisierung ausführen.
  • Das Verfahren 100 kann eine vorgegebenen Steuergeräteklassifikation empfangen 114. Die vorgegebene Steuergeräteklassifikation kann mehrere Klassen umfassen. Vorzugsweise kann die vorgegebene Steuergeräteklassifikation drei Klassen umfassen: eine Klasse für fahrkritische Steuergeräte, eine Klasse für fahrunkritische Steuergeräte, und eine Klasse für degradierbare Steuergeräte. Ein Steuergerät aus der Menge der Steuergeräte kann mit einer Klasse aus der vorgegebenen Steuergeräteklassifikation verknüpft sein. Vorzugsweise ist jedes Steuergerät aus der Menge der Steuergeräte mit einer Klasse aus der vorgegebenen Steuergeräteklassifikation verknüpft. Weiter können ein oder mehrere Eigenschaften von Steuergeräten mit jeder Klasse der vorgegebenen Steuergeräteklassifikation verknüpft sein. Beispielsweise kann eine Eigenschaft von Steuergeräten, die mit einer Klasse verknüpft sind, folgende Werte umfassen: fahrkritisch, fahrunkritisch, degradierbar. Fahrkritisch bedeutet, dass das bei einer fehlerhaften Softwareaktualisierung eine Fahrfreigabe verhindert wird. Fahrunkritisch bedeutet, dass bei einer fehlerhafte Softwareaktualisierung eine eingeschränkte Fahrfreigabe erteilt wird. Und degradierbar bedeutet, dass bei einer fehlerhaften Softwareaktualisierung und einer erfolgreichen Degradierung eine eingeschränkte Fahrfreigabe erteilt wird und bei einer fehlerhaften Softwareaktualisierung und keiner erfolgreichen Degradierung eine Fahrfreigabe verhindert wird.
  • Das Verfahren 100 kann eine zweite Abweichung zwischen einem zweiten Sollzustand aus der Menge der zweiten Sollzustände und einem zweiten Istzustand aus der Menge der zweiten Istzustände für ein Steuergerät aus der Menge der Steuergeräte bestimmen 116. Dazu kann das Verfahren 100 den jeweiligen kryptografischen Hashwert des zweiten Sollzustands eines Steuergeräts aus der Menge der Steuergeräte mit den jeweiligen kryprographischen Hashwert des zweiten Istzustands des Steuergeräts aus der Menge der Steuergeräte vergleichen. Falls die zweite Abweichung keine Abweichung zwischen dem zweiten Sollzustand des jeweiligen und dem zweiten Istzustand des jeweiligen Steuergeräts anzeigt, war die Softwareaktualisierung für dieses Steuergeräts aus der Menge der Steuergeräte erfolgreich. Das Verfahren 100 kann die zweite Abweichung für ein weiteres Steuergerät aus der Menge der Steuergeräte bestimmen 118, für das noch keine zweite Abweichung bestimmt wurde und die weiteren Schritte des Verfahrens 100 für das weitere Steuergerät ausführen. Hat das Verfahren 100 die zweite Abweichung für alle Steuergeräte aus der Menge der Steuergeräte bestimmt, endet das Verfahren mit der ermittelten Fahrfreigabe, eine Fahrfreigabe oder eine eingeschränkte Fahrfreigabe, oder keiner Fahrfreigabe. Falls keine Fahrfreigabe ermittelt werden konnte, bleibt die Fahrsperre des Fahrzeugs aktiv.
  • Falls die zweite Abweichung eine Abweichung zwischen dem zweiten Sollzustand des Steuergeräts und dem zweiten Istzustand des Steuergeräts anzeigt, kann eine fehlerhafte Softwareaktualisierung für dieses Steuergerät vorliegen. Das Verfahren 100 kann die Klasse des Steuergeräts mittels der vorgegebenen Steuergeräteklassifikation ermitteln 120. Falls eine Eigenschaft der ermittelten Klasse des Steuergeräts anzeigt, dass das Steuergerät fahrkritisch ist, kann das Verfahren 100 die Fahrfreigabe nach der Softwareaktualisierung verhindern 122. Die Fahrsperre des Fahrzeugs bleibt in diesem Fall aktiv. Falls eine Eigenschaft der ermittelten Klasse des Steuergeräts anzeigt, dass das Steuergerät fahrunkritisch ist, kann das Verfahren 100 eine eingeschränkte Fahrfreigabe nach der Softwareaktualisierung erteilen 124. Funktionen des fahrunkritischen Steuergeräts stehen einem Nutzer des Fahrzeugs nicht zur Verfügung. Das Fahrzeug kann dem Nutzer eine Nachricht bereitstellen, die die Funktionen angibt, die dem Nutzer nicht zur Verfügung stehen und/oder den Nutzer des Fahrzeugs auffordern, die fehlerhafte Softwareaktualisierung in einer Werkstatt reparieren zu lassen.
  • Falls eine Eigenschaft der ermittelten Klasse des Steuergeräts anzeigt, dass das Steuergerät degradierbar ist, kann das Verfahren 100 das Steuergerät nach der Softwareaktualisierung degradieren 126. Das Degradieren 126 des Steuergeräts kann ein Ermitteln eines weiteren Steuergeräts aus der Menge der Steuergeräte umfassen, wobei das weitere Steuergerät einen Befehl zum Degradieren des Steuergeräts ausführen kann. Beispielsweise kann jedes degradierbare Steuergerät mit einem oder mehreren weiteren Steuergeräten verknüpft sein, die eine Degradierung des degradierbaren Steuergeräts ausführen können. Alternativ kann das degradierbare Steuergerät den Befehl zum Degardieren selbst ausführen. Weiter kann das Degradieren 126 des Steuergeräts ein Ausführen des Befehls zum Degradieren des Steuergeräts auf dem ermittelten, weiteren Steuergerät, und ein Degradieren des Steuergeräts nach der Softwareaktualisierung durch das Ausführen des Befehls zum Degradieren des Steuergeräts auf dem ermittelten, weiteren Steuergerät umfassen. Weiter kann das Verfahren 100 bei jedem Degradieren eines Steuergeräts eine Nachricht an den Nutzer des Fahrzeugs bereitstellen, wobei die Nachricht den Nutzer des Fahrzeugs über das Degradieren des Steuergeräts und/oder eine mögliche Funktionseinschränkung informiert.
  • Das Verfahren 100 kann Prüfen 128, ob das Degradieren des Steuergeräts erfolgreich war. Umfasst das Degradieren beispielsweise ein Abschalten des Steuergeräts oder ein Abschalten von Teilfunktionen des Steuergeräts kann das Verfahren prüfen, ob das entsprechende Abschalten erfolgreich war. Weiter kann das Verfahren 100 eine eingeschränkten Fahrfreigabe nach dem erfolgreichen Degradieren des Steuergeräts erteilen 130. Die eingeschränkte Fahrfreigabe umfasst nur für Steuergeräte und/oder Funktionen von Steuergeräten, deren Softwareaktualisierung erfolgreich war. Steuergeräte und/oder Funktionen von Steuergeräten, deren Softwareaktualisierung nicht erfolgreich war und die erfolgreich degradiert wurden stehen bei der eingeschränkten Fahrfreigabe nicht zur Verfügung. Ist das Degradieren 126 nicht erfolgreich, verhindert 132 das Verfahren 100 die Fahrfreigabe, insbesondere die eingeschränkte Fahrfreigabe. Die Fahrsperre des Fahrzeugs bleibt aktiv. Das erfolgreiche Degradieren eines Steuergeräts kann durch das weitere Steuergerät oder das erfolgreich degradierte Steuergerät selbst nicht rückgängig gemacht werden. In anderen Worten ist das erfolgreiche Degradieren eines Steuergeräts dauerhaft. Das erfolgreich degradierte Steuergerät kann nur manuell durch einen autorisierten Mitarbeiter einer Werkstatt wieder angeschaltet oder aktiviert werden.
  • Vorteilhafterweise kann das Verfahren das Liegenbleiben von Fahrzeugen nach einer fehlerhaften Softwareaktualisierung einzelner degradierbarer Steuergeräte effizient verhindern. Das Verfahren kann ein eingeschränkte Fahrfreigabe effizient erteilen und somit das Liegenbleiben von Fahrzeugen verhindern.
  • Bezugszeichenliste
    • 100
    Verfahren
    102
    Empfangen eines ersten Sollzustands
    104
    Bestimmen eines ersten Istzustands
    106
    Bestimmen einer ersten Abweichung
    108
    Erteilen einer Fahrfreigabe
    110
    Empfangen einer Menge von zweiten Sollzuständen
    112
    Bestimmen einer Menge von zweiten Istzuständen
    114
    Empfangen einer vorgegeben Steuergeräteklassifikation
    116
    Bestimmen einer zweiten Abweichung eines Steuergeräts
    118
    Bestimmen einer zweiten Abweichung eines weiteren Steuergeräts
    120
    Ermitteln der Klasse des Steuergeräts
    122
    Verhindern einer Fahrfreigabe
    124
    Erteilen einer eingeschränkten Fahrfreigabe
    126
    Degradieren des Steuergeräts
    128
    Prüfen, ob das Degradieren des Steuergeräts erfolgreich war
    130
    Erteilen einer eingeschränkten Fahrfreigabe
    132
    Verhindern einer Fahrfreigabe

Claims (11)

  1. Verfahren zum Ermitteln einer Fahrfreigabe nach einer Softwareaktualisierung einer Menge von Steuergeräten eines Fahrzeugs, das Verfahren umfassend: Empfangen eines ersten Sollzustands der Softwareaktualisierung, wobei der erste Sollzustands repräsentativ für einen Sollzustand aller Steuergeräte aus der Menge der Steuergeräte nach der Softwareaktualisierung der Steuergeräte des Fahrzeugs ist; Bestimmen eines ersten Istzustands der Softwareaktualisierung, wobei der erste Istzustand repräsentativ für einen Istzustand aller Steuergeräte aus der Menge der Steuergeräte nach der Softwareaktualisierung der Steuergeräte des Fahrzeugs ist; Bestimmen einer ersten Abweichung zwischen dem ersten Sollzustand und dem ersten Istzustand; und Falls die erste Abweichung eine Abweichung zwischen dem ersten Sollzustand und dem ersten Istzustand anzeigt: Empfangen einer Menge von zweiten Sollzuständen der Softwareaktualisierung, wobei ein zweiter Sollzustand aus der Menge von zweiten Sollzuständen repräsentativ für einen Sollzustand einer Softwareaktualisierung eines einzelnen Steuergeräts aus der Menge von Steuergeräten des Fahrzeugs ist; Bestimmen einer Menge von zweiten Istzuständen der Softwareaktualisierung, wobei ein zweiter Istzustand aus der Menge von Istzuständen repräsentativ für einen Istzustand einer Softwareaktualisierung eines einzelnen Steuergeräts aus der Menge von Steuergeräten des Fahrzeugs ist; Empfangen einer vorgegebenen Steuergeräteklassifikation, wobei die vorgegebene Steuergeräteklassifikation mehrere Klassen umfasst, wobei ein Steuergerät aus der Menge der Steuergeräte mit einer Klasse aus der vorgegebenen Steuergeräteklassifikation verknüpft ist, und wobei eine oder mehrere Eigenschaften von Steuergeräten mit jeder Klasse der vorgegebenen Steuergeräteklassen verknüpft sind; Bestimmen einer zweiten Abweichung zwischen einem zweiten Sollzustand aus der Menge der zweiten Sollzustände und einem zweiten Istzustand aus der Menge der zweiten Istzustände für ein Steuergerät aus der Menge der Steuergeräte; und Falls die zweite Abweichung eine Abweichung zwischen dem zweiten Sollzustand des Steuergeräts und dem zweiten Istzustand des Steuergeräts anzeigt: Ermitteln der Klasse des Steuergeräts mittels der vorgegebenen Steuergeräteklassifikation; Falls eine Eigenschaft der ermittelten Klasse des Steuergeräts anzeigt, dass das Steuergerät degradierbar ist: Degradieren des Steuergeräts nach der Softwareaktualisierung; Prüfen, ob das Degradieren des Steuergeräts erfolgreich war; und Erteilen einer eingeschränkten Fahrfreigabe nach dem erfolgreichen Degradieren des Steuergeräts.
  2. Verfahren nach Anspruch 1, wobei der erste Sollzustand einen kryprographischen Hashwert umfasst; und/oder wobei der erste Istzustand einen kryptographischen Hashwert umfasst; und/oder wobei ein zweiter Sollzustand aus der Menge der zweiten Sollzustände einen kryprographischen Hashwert umfasst; und/oder wobei ein zweiter Istzustand aus der Menge der zweiten Istzustände einen kryptographischen Hashwert umfasst.
  3. Verfahren nach einem der vorhergehenden Ansprüche, wobei einer ersten Hashfunktion den kryptographischen Hashwert des ersten Istzustands während der Softwareaktualisierung der Menge von Steuergeräten bestimmt, und/oder wobei die erste Hashfunktion den kryptografischen Hashwert des ersten Istzustands basierend auf den kryptografischen Hashwerten der zweiten Istzustände aus der Menge der zweiten Istzustände bestimmt.
  4. Verfahren nach einem der vorhergehenden Ansprüche, wobei eine zweite Hashfunktion den kryptographischen Hashwert eines zweiten Istzustands eines Steuergeräts nach der Softwareaktualisierung des Steuergeräts bestimmt.
  5. Verfahren nach einem der vorhergehenden Ansprüche, das Verfahren weiterhin umfassend: Falls die erste Abweichung keine Abweichung zwischen dem ersten Sollzustand und dem ersten Istzustand anzeigt: Erteilen der Fahrfreigabe nach einer Softwareaktualisierung.
  6. Verfahren nach einem der vorhergehenden Ansprüche, das Verfahren weiterhin umfassend: Falls eine Eigenschaft der ermittelten Klasse des Steuergeräts anzeigt, dass das Steuergerät fahrkritisch ist: Verhindern der Fahrfreigabe nach der Softwareaktualisierung.
  7. Verfahren nach einem der vorhergehenden Ansprüche, der Verfahren weiterhin umfassend: Falls eine Eigenschaft der ermittelten Klasse des Steuergeräts anzeigt, dass das Steuergerät fahrunkritisch ist: Erteilen einer eingeschränkten Fahrfreigabe nach der Softwareaktualisierung.
  8. Verfahren nach einem der vorhergehenden Ansprüche, wobei das Degradieren des Steuergeräts nach der Softwareaktualisierung umfasst: Ermitteln eines weiteren Steuergeräts aus der Menge der Steuergeräte, wobei das weitere Steuergerät einen Befehl zum Degradieren des Steuergeräts ausführen kann; Ausführen des Befehls zum Degradieren des Steuergeräts auf dem ermittelten, weiteren Steuergerät; und Degradieren des Steuergeräts nach der Softwareaktualisierung durch das Ausführen des Befehls zum Degradieren des Steuergeräts auf dem ermittelten, weiteren Steuergerät.
  9. Computerlesbares Medium zum Ermitteln einer Fahrfreigabe nach einer Softwareaktualisierung einer Menge von Steuergeräten eines Fahrzeugs, wobei das computerlesbare Medium Instruktionen umfasst, die, wenn ausgeführt auf einem Rechner und/oder einem Steuergerät, das Verfahren nach einem der Ansprüche 1 bis 8 ausführen.
  10. System zum Ermitteln einer Fahrfreigabe nach einer Softwareaktualisierung einer Menge von Steuergeräten eines Fahrzeugs, wobei das System dazu ausgebildet ist, das Verfahren nach einem der Ansprüche 1 bis 8 auszuführen.
  11. Fahrzeug umfassend das System zum Ermitteln einer Fahrfreigabe nach einer Softwareaktualisierung einer Menge von Steuergeräten eines Fahrzeugs nach Anspruch 10.
DE102020116715.6A 2020-06-25 2020-06-25 Verfahren zum Ermitteln einer Fahrfreigabe nach einer Softwareaktualisierung einer Menge von Steuergeräten eines Fahrzeugs, computerlesbares Medium, System und Fahrzeug Pending DE102020116715A1 (de)

Priority Applications (4)

Application Number Priority Date Filing Date Title
DE102020116715.6A DE102020116715A1 (de) 2020-06-25 2020-06-25 Verfahren zum Ermitteln einer Fahrfreigabe nach einer Softwareaktualisierung einer Menge von Steuergeräten eines Fahrzeugs, computerlesbares Medium, System und Fahrzeug
US17/928,872 US20230297361A1 (en) 2020-06-25 2021-03-31 Method for Ascertaining a Drive Clearance After a Software Update For a Set of Controllers of a Vehicle, Computer-Readable Medium, System, and Vehicle
PCT/EP2021/058395 WO2021259530A1 (de) 2020-06-25 2021-03-31 Verfahren zum ermitteln einer fahrfreigabe nach einer softwareaktualisierung einer menge von steuergeräten eines fahrzeugs, computerlesbares medium, system und fahrzeug
CN202180038954.XA CN115668132A (zh) 2020-06-25 2021-03-31 用于在车辆的一定数量的控制器的软件更新之后查明行驶许可的方法、计算机可读介质、系统和车辆

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102020116715.6A DE102020116715A1 (de) 2020-06-25 2020-06-25 Verfahren zum Ermitteln einer Fahrfreigabe nach einer Softwareaktualisierung einer Menge von Steuergeräten eines Fahrzeugs, computerlesbares Medium, System und Fahrzeug

Publications (1)

Publication Number Publication Date
DE102020116715A1 true DE102020116715A1 (de) 2021-12-30

Family

ID=75377787

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102020116715.6A Pending DE102020116715A1 (de) 2020-06-25 2020-06-25 Verfahren zum Ermitteln einer Fahrfreigabe nach einer Softwareaktualisierung einer Menge von Steuergeräten eines Fahrzeugs, computerlesbares Medium, System und Fahrzeug

Country Status (4)

Country Link
US (1) US20230297361A1 (de)
CN (1) CN115668132A (de)
DE (1) DE102020116715A1 (de)
WO (1) WO2021259530A1 (de)

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102012023647B4 (de) * 2012-12-03 2016-09-22 Audi Ag Verfahren und System zum Aktualisieren eines Steuergeräts eines Kraftwagens
DE102017218872A1 (de) * 2017-10-23 2019-04-25 Robert Bosch Gmbh Verfahren und Vorrichtung zum Aktualisieren von Software eines Kfz-Steuergerätes
DE102018209248A1 (de) * 2018-06-11 2019-12-12 Bayerische Motoren Werke Aktiengesellschaft Datenaktualisierungssystem, Verfahren zum Aktualisieren eines auf einem Steuergerät gespeicherten Datensatzes und computerlesbares Speichermedium

Also Published As

Publication number Publication date
US20230297361A1 (en) 2023-09-21
WO2021259530A1 (de) 2021-12-30
CN115668132A (zh) 2023-01-31

Similar Documents

Publication Publication Date Title
DE102017210859A1 (de) Verfahren zur Selbstüberprüfung von Fahrfunktionen eines autonomen oder teilautonomen Fahrzeuges
DE102008014922B4 (de) Speicher-Auslesesystem für eine Fahrzeugsteuervorrichtung
DE19509150C2 (de) Verfahren zum Steuern und Regeln von Fahrzeug-Bremsanlagen sowie Fahrzeug-Bremsanlage
DE102018214999A1 (de) Vorrichtung zur Absicherung von Diagnosebefehlen an ein Steuergerät und entsprechendes Kraftfahrzeug
EP3473512B1 (de) Funktionsmodul, steuereinheit für ein betriebsassistenzsystem und arbeitsvorrichtung
DE102006052048A1 (de) Verfahren zur Aktivierung und/oder Deaktivierung von Funktionen eines Kraftfahrzeugs
EP1804144A1 (de) Überprüfung des Steuerprogramms eines Steuergerätes für eine Maschine
DE102018217403A1 (de) Verfahren und Vorrichtung für ein zumindest teilweise autonom fahrendes Fahrzeug
EP2858843B1 (de) Verfahren zur aktivierung oder deaktivierung von funktionen und vorrichtung zur beeinflussung von funktionen in einem kraftfahrzeug
WO2008014940A1 (de) Steuergerät und verfahren zur steuerung von funktionen
DE102005061393A1 (de) Verfahren zur Verteilung von Softwaremodulen
WO2013178298A1 (de) Diagnoseverfahren und diagnoseeinrichtung für ein kraftfahrzeug
EP2326959A1 (de) Verfahren zum freischalten von funktionen eines tachographen
DE102020116715A1 (de) Verfahren zum Ermitteln einer Fahrfreigabe nach einer Softwareaktualisierung einer Menge von Steuergeräten eines Fahrzeugs, computerlesbares Medium, System und Fahrzeug
EP2726352A1 (de) Verfahren, system und computerprogrammprodukt zur funktionsüberwachung einer sicherheitsüberwachung einer kfz - steuereinheit
DE102014015445A1 (de) Verfahren zum Codieren wenigstens eines Parameters in einem Steuergerät eines Kraftfahrzeugs
DE102017220068A1 (de) Verfahren und Onboard-Steuereinheit zum Steuern und/oder Überwachen von Komponenten eines Schienenfahrzeugs
EP3499324B1 (de) Verfahren zur modularen verifikation einer konfiguration eines geräts
WO2005003972A2 (de) Verfahren zu überprüfung der sicherheit und zuverlässigkeit softwarebasierter elektronischer systeme
EP1733284A2 (de) Ablaufsteuerung von funktionen auf miteinander wechselwirkenden geräten
DE102017218274A1 (de) Lenkungssteuersystem für ein Lenksystem eines Kraftfahrzeuges sowie Verfahren zum Betreiben eines Lenkungssteuersystems
DE102020203420A1 (de) Verfahren und Vorrichtung zum Rekonfigurieren eines automatisiert fahrenden Fahrzeugs in einem Fehlerfall
DE102018217728A1 (de) Verfahren und Vorrichtung zum Schätzen von mindestens einer Leistungskennzahl eines Systems
DE112020007129T5 (de) Informations-verarbeitungsvorrichtung und informations-verarbeitungsverfahren
DE102006045153A1 (de) System und Verfahren zum Verteilen und Ausführen von Programmcode in einem Steuergerätenetzwerk

Legal Events

Date Code Title Description
R012 Request for examination validly filed