DE102020216481A1 - Verfahren zum Betreiben eines Steuergeräts und Steuergerät - Google Patents

Verfahren zum Betreiben eines Steuergeräts und Steuergerät Download PDF

Info

Publication number
DE102020216481A1
DE102020216481A1 DE102020216481.9A DE102020216481A DE102020216481A1 DE 102020216481 A1 DE102020216481 A1 DE 102020216481A1 DE 102020216481 A DE102020216481 A DE 102020216481A DE 102020216481 A1 DE102020216481 A1 DE 102020216481A1
Authority
DE
Germany
Prior art keywords
version
control unit
software
versions
countermeasure
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102020216481.9A
Other languages
English (en)
Inventor
Simon Weissenmayer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102020216481.9A priority Critical patent/DE102020216481A1/de
Publication of DE102020216481A1 publication Critical patent/DE102020216481A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/4401Bootstrapping
    • G06F9/4406Loading of operating system

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Stored Programmes (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zum Betreiben eines Steuergeräts (110) für ein Fahrzeug (100), das zwei Speicherplätze (120, 122) und zwei verschiedene Versionen (140, 142) einer für den Betrieb des Steuergeräts vorgesehenen Software aufweist, von denen jeweils eine in einem der Speicherplätze (120, 122) abgelegt ist, mit folgenden Schritten: Laden, bei einem regulären Start eine der zwei Versionen, und Laden, bei einem nachfolgenden Start, wenn während eines Betriebs des Steuergeräts mit der aktuell verwendeten Version der Software ein Kriterium bezüglich eines Auftretens einer Fehlfunktion erfüllt wird, einer anderen der zwei Versionen, sowie ein solches Steuergerät.

Description

  • Die vorliegende Erfindung betrifft ein Verfahren zum Betreiben eines Steuergeräts, insbesondere eines Fahrzeugsteuergeräts, sowie ein Steuergerät und ein Computerprogramm zu dessen Durchführung.
  • Hintergrund der Erfindung
  • In modernen Fahrzeugen werden immer mehr Steuergeräte eingesetzt, die außerdem auch untereinander stärker vernetzt sind. Dabei sind auch „Flash Over The Air“-Updates (sog. FOTA-Updates), bei denen eine neue Version einer Software eines Steuergeräts nicht mehr lokal, sondern über eine drahtlose Datenverbindung auf das Steuergerät aufgespielt wird, möglich.
  • Offenbarung der Erfindung
  • Erfindungsgemäß werden ein Verfahren zum Betreiben eines Steuergeräts sowie ein Steuergerät und ein Computerprogramm zu dessen Durchführung mit den Merkmalen der unabhängigen Patentansprüche vorgeschlagen. Vorteilhafte Ausgestaltungen sind Gegenstand der Unteransprüche sowie der nachfolgenden Beschreibung.
  • Die Erfindung beschäftigt sich mit einem Steuergerät für ein Fahrzeug (bzw. einem Fahrzeugsteuergerät) bzw. dessen Betrieb und etwaigen Problematiken beim Update von dessen Software. Insbesondere bei komplexeren Steuergerätefunktionen ist eine Vielzahl an Tests nötig, um eine Software bzw. ein System aus mehreren verteilten Steuergeräten vollständig testen zu können. Insbesondere aufgrund der immer stärkeren Vernetzung gibt es nämlich immer mehr potentielle Fehlerquellen, die abgeprüft werden müssen bzw. werden müssten. Daher kann auch risikobasiert nur ein gewisser Umfang der Software getestet und sicherheitsrelevante Software redundant oder in vereinfachter Form plausibilisiert werden.
  • Unter bestimmten Umgebungsbedingungen kann es aber z.B. vorkommen, dass die Plausibilisierung eine Fehlfunktion erkennt. Hier wird dann in der Regel automatisch ein Reset bzw. Neustart des Steuergeräts ausgelöst. Wenn sich diese bestimmten Umgebungsbedingungen nicht ändern, kann es außerdem vorkommen, dass der gleiche Fehler immer wieder zu Resets führt. Je nach Anwendungsfall können dann z.B. sich ständig wiederholende Resets des betreffenden Steuergeräts zugelassen werden, damit ein Normalbetrieb möglichst sofort wiederaufgenommen werden kann, sobald die Umgebungsbedingungen sich z.B. geändert haben und keine Fehler mehr hervorrufen. Denkbar ist aber auch, die Anzahl an Resets zu begrenzen und das Steuergerät bis zum nächsten manuellen Start des Systems zu deaktivieren oder z.B. in einem Degradationsmodus weiter zu betreiben. Welche Variante verwendet wird, kann insbesondere von der Art des Steuergeräts bzw. den von diesem bereitgestellten Funktionen abhängen. Ein reines Assistenzsystem, das nicht sicherheitsrelevant ist, kann z.B. abgeschaltet werden. Ein Bremsregelsystem hingegen ist in der Regel sicherheitsrelevant und kann nicht abgeschaltet werden. Hier käme dann zweckmäßigerweise ein geeigneter Degradationsmodus in Betracht.
  • Dabei gilt, dass neue Software, also eine neue Version einer Software eines Steuergeräts, in der Regel eine erhöhte Wahrscheinlichkeit für unerkanntes Fehlverhalten aufweist. Darum müssten in der Regel aufwändige und langwierige Tests gemacht werden, um eine neue Software bzw. eine neue Version einer Software mit möglichst vielfältigen Umgebungsbedingungen zu prüfen. Diese Tests sind allerdings meist sehr teuer und haben großen Einfluss auf die Entwicklungszeit des Produkts. Daher ist nicht auszuschließen, dass selbst dann, wenn ein Fahrzeug bereits verkauft wurde, wenn also eine Software bereits im regulären Einsatz im Feld ist, noch viele Fehler gefunden werden, die beim nächsten Werkstattbesuch mit einem Softwareupdate korrigiert werden können.
  • Aber auch solche Softwareupdates bergen in der Regel gewisse Risiken, z.B. dass Fehler an anderer Stelle als bei der vorigen Version der Software auftreten. Somit ergibt sich ein Spannungsfeld zwischen rascher Fehlerbehebung durch Updates und ausreichender Überprüfung von Updates, um neue Fehler zu vermeiden.
  • Weitere Risiken ergeben sich durch die gegenseitige Vernetzung, da selbst Software auf anderen Recheneinheiten von einem Update eines Steuergeräts betroffen sein kann bzw. nach einem solchen Update plötzlich selbst Fehlfunktionen zeigt. Insbesondere wenn Updates an vernetzten Funktionen vorgenommen werden sollen, muss oftmals die Software von vielen Steuergeräten im Verbund erneuert werden, um weiterhin die Kompatibilität zu gewährleisten.
  • Vor diesem Hintergrund wird im Rahmen der vorliegenden Erfindung nun vorgeschlagen, dass ein Steuergerät für ein Fahrzeug (bzw. ein Fahrzeugsteuergerät) zwei Speicherplätze und zwei verschiedene Versionen einer für den Betrieb des Steuergeräts vorgesehenen Software aufweist, von denen jeweils eine in einem der Speicherplätze abgelegt bzw. gespeichert ist. Beim Betrieb des Steuergeräts werden dann die folgenden Schritte durchgeführt bzw. das Steuergerät ist dazu eingerichtet, diese durchzuführen. Bei einem regulären Start wird eine (erste) der zwei Versionen geladen - zweckmäßigerweise handelt es sich dabei um die neuere der beiden Versionen -, und, wenn während eines Betriebs des Steuergeräts mit der ersten bzw. neueren Version der Software ein Kriterium bezüglich eines Auftretens einer Fehlfunktion erfüllt wird, wird in einem nachfolgenden Start eine andere (zweite) - und zweckmäßigerweise ältere und bereits erprobte - der zwei Versionen geladen.
  • Das Kriterium kann hierbei umfassen, dass bereits nach einem erstmaligen Auftreten einer Fehlfunktion (wie eingangs schon erwähnt) beim nächsten Start die zweite bzw. ältere Version der Software geladen wird. Insbesondere kann auch direkt bei Erfüllung des Kriteriums bzw. bei Auftreten der Fehlunktion ein Neustart bzw. Reset ausgelöst werden, bei dem dann die zweite bzw. ältere Version geladen wird. Es kann aber auch vorgesehen sein, dass das Kriterium erst dann als erfüllt gilt, wenn die Fehlfunktion mehrmals, z.B. zwei-, drei- oder fünfmal aufgetreten ist. Je nach Anwendung kann dann aber trotzdem nach jedem Auftreten der Fehlfunktion ebenso immer ein (sofortiger) Neustart erfolgen, bei dem dann aber zunächst immer noch die erste bzw. neuere Version geladen wird. Erst beim Erreichen der bestimmten Anzahl erfolgt dann ein Neustart mit dem Laden der anderen bzw. älteren Version.
  • Auf diese Weise kann also ein Softwareupdate für ein Steuergerät gefahrlos, bzw. zumindest mit weniger Risiko, erfolgen. Wenn eine Fehlfunktion bei Ausführen der neuen Softwareversion auftritt oder mehrmals auftritt, kann z.B. aus Sicherheitsgründen auf die vorige bzw. alte Version der Software gewechselt werden. Auf diese Weise kann der Betrieb zumindest noch weiter aufrechterhalten werden, wenn ggf. auch etwas eingeschränkt (wenn die alte Version z.B. weniger Funktionen aufweist oder andere Fehler, die aber möglicherweise weniger relevant sind als die Fehler der neuen Version). Damit kann letztlich auch die Anzahl an vorab durchzuführenden Test mit der neuen Softwareversion reduziert werden. Grundsätzlich denkbar ist damit aber auch, dass auf diese Weise wieder von der älteren zur neueren Version der Software gewechselt wird (die erste und zweite Version wären dann bei dem beschriebenen Vorgehen die ältere und neuere Version), wenn z.B. bei der älteren Version ebenfalls eine Fehlfunktion auftritt, die möglicherweise sogar gravierender ist als die bei der neueren Version.
  • Die Erfindung eignet sich besonders für Softwareupdates über Funk. Wie beschrieben, sollen Softwareupdates in Zukunft möglichst nicht in einer Werkstatt durchgeführt werden. Stattdessen soll das Fahrzeug die neue Software bzw. neue Softwareversion per Funk- bzw. drahtloser Verbindung ohne nennenswerten Eingriff durch den Nutzer selbst herunterladen und installieren (das erwähnte FOTA-Update). Hierzu wird zum Teil ohnehin schon doppelt so viel Speicherplatz im Steuergerät benötigt, wie für den Betrieb mindestens notwendig vorhanden sein müsste, um die neue Software im Hintergrund in den unbenutzten Speicherplatz herunterzuladen. Sobald die neue Software komplett heruntergeladen wurde, kann die neue Software nach einem Neustart verwendet werden. Auf diese Weise können Softwareupdates vom Nutzer unbemerkt durchgeführt werden. Die Erfindung könnte dort ohne weitere Hardwareveränderungen implementiert werden.
  • Bevorzugt ist vorgesehen, dass während eines Betriebs des Steuergeräts Versionskennungen, die von anderen Steuergeräten versendet werden, über eine Kommunikationsschnittstelle empfangen werden, und dass eine Kompatibilität der den empfangenen Versionskennungen zugrundeliegenden Versionen von Software mit der aktuell auf dem Steuergerät ausgeführten Version geprüft wird. Daraufhin wird, wenn zumindest für eine Version eine Inkompatibilität vorliegt, eine erste Gegenmaßnahme eingeleitet.
  • Dies kann umfassen, dass eine Kompatibilität der den empfangenen Versionskennungen zugrundeliegenden Versionen von Software mit der anderen als der aktuell auf dem Steuergerät ausgeführten Version geprüft wird. Daraufhin wird dann eine zweite Gegenmaßnahme insbesondere in Abhängigkeit vom Prüfungsergebnis eingeleitet. Diese wiederum kann umfassen, dass das Steuergerät in einen Degradationsmodus mit z.B. eingeschränkten Funktionen oder einen Notfallbetrieb wechselt, oder auch ganz abgeschaltet wird, und zwar dann, wenn für zumindest eine der den empfangenen Versionskennungen zugrundeliegenden Versionen von Software mit der anderen als der aktuell auf dem Steuergerät ausgeführten Version eine Inkompatibilität vorliegt.
  • Falls bei dieser anderen Version des Steuergeräts keine Inkompatibilität vorliegt, kann bei einem nachfolgenden Start eben diese andere Version geladen werden. Auch hier kann dann ein Neustart sofort erfolgen.
  • Grundsätzlich kann das Steuergerät natürlich auch selbst während des Betriebs eine Versionskennung der aktuell geladenen Version der Software auf der Kommunikationsschnittstelle versenden, damit andere Steuergeräte diese empfangen können.
  • Zusammenfassend kann also festgehalten werden, dass auf diese Weise Steuergeräte, die über einen doppelten Programmspeicher verfügen, dauerhaft zwei unterschiedliche Softwareversionen vorhalten können. Normalerweise booten bzw. starten die Steuergeräte mit ihrer neuesten Softwareversion. Wenn ein Fehler in einem der Steuergeräte auftritt, der im weiteren Verlauf zu einem Reset führt, dann aktiviert das Steuergerät seine ältere Softwareversion.
  • Aufgrund zu erhaltender Schnittstellenkompatibilität müssen möglicherweise aber mehrere Steuergeräte eine ältere kompatible Softwareversion aktivieren. Teil jeder Softwareversion ist darum insbesondere die Versionskennung, also eine Systemversions-ID, die bevorzugt alle Steuergeräte über die Schnittstelle versenden. Die Steuergeräte prüfen dann z.B. anhand einer Liste, ob eines der anderen Steuergeräte eine inkompatible Systemversions-ID versendet. Ist das der Fall, meldet es die Inkompatibilität den anderen Steuergeräten. Ist außerdem im Steuergerät eine ältere Softwareversion mit kompatibler Systemversions-ID vorhanden bzw. gespeichert, dann wird ein Reset durchgeführt und das Steuergerät bootet mit der älteren Softwareversion neu. Wenn im Steuergerät keine ältere Softwareversion gespeichert oder die ältere Softwareversion ebenso inkompatibel zu zumindest einer empfangene Systemversions-ID ist, dann schränkt das Steuergerät den Funktionsumfang ein oder geht ggf. in den Notlaufzustand. Die Liste der kompatiblen Systemversions-ID kann z.B. auch Regeln enthalten, anhand derer die Kompatibilität berechnet werden kann z.B., kompatibel wenn 125 < ID < 356.
  • Fehler, die bislang zu Systemausfällen oder Ersatzreaktionen mit stark eingeschränktem Funktionsumfang wie z.B. Geschwindigkeitsreduktion auf maximal 50 km/h, fehlende Bremskraftverstärkung, etc. geführt haben, werden mit dem vorgeschlagenen Vorgehen nur noch am Rande durch den Fahrer bemerkt. Einerseits führt ein Reset während der Fahrt z.B. nur noch zu einem Ruckeln des Fahrzeugs und zur Deaktivierung von ggf. Assistenzfunktionen, andererseits sind die allerneuesten Features womöglich nicht mehr nutzbar, was allerdings besser ist, als eine noch stärkere Einschränkung.
  • Durch die damit insgesamt weniger auftretenden Fehlfunktionen können Zeit und Aufwand für Tests reduziert werden. Neue Softwareupdates können früher und kostengünstiger in die Fahrzeuge gebracht werden. Dadurch wird es für die Hersteller kostengünstiger, Fahrzeuge auch noch nachträglich mit neuen Softwarefunktionen auszustatten. Das ist für den Hersteller vor allem dann interessant, wenn er z.B. neue Daten für Datamining-Anwendungen von möglichst vielen Fahrzeugen einsetzen will und darum auch Softwareänderungen für bereits im Verkehr befindliche Fahrzeuge notwendig werden.
  • Ein erfindungsgemäßes Steuergerät eines Fahrzeugs, ist, insbesondere programmtechnisch, dazu eingerichtet, ein erfindungsgemäßes Verfahren durchzuführen.
  • Auch die Implementierung eines erfindungsgemäßen Verfahrens in Form eines Computerprogramms oder Computerprogrammprodukts mit Programmcode zur Durchführung aller Verfahrensschritte ist vorteilhaft, da dies besonders geringe Kosten verursacht, insbesondere wenn ein ausführendes Steuergerät noch für weitere Aufgaben genutzt wird und daher ohnehin vorhanden ist. Geeignete Datenträger zur Bereitstellung des Computerprogramms sind insbesondere magnetische, optische und elektrische Speicher, wie z.B. Festplatten, Flash-Speicher, EEPROMs, DVDs u.a.m. Auch ein Download eines Programms über Computernetze (Internet, Intranet usw.) ist möglich.
  • Weitere Vorteile und Ausgestaltungen der Erfindung ergeben sich aus der Beschreibung und der beiliegenden Zeichnung.
  • Die Erfindung ist anhand eines Ausführungsbeispiels in der Zeichnung schematisch dargestellt und wird im Folgenden unter Bezugnahme auf die Zeichnung beschrieben.
  • Figurenliste
    • 1 zeigt schematisch erfindungsgemäße Steuergeräte in bevorzugten Ausführungsformen in einem Fahrzeug.
    • 2 zeigt schematisch einen Ablauf eines erfindungsgemäßen Verfahrens in einer bevorzugten Ausführungsform.
  • Ausführungsform(en) der Erfindung
  • In 1 sind schematisch erfindungsgemäße Steuergeräte 110, 112 und 114 in bevorzugten Ausführungsformen in einem Fahrzeug 100 dargestellt. Beispielhaft soll nachfolgend nur das Steuergerät 110 näher erläutert werden, die Steuergeräte 112, 114 können aber gleichartig ausgebildet sein.
  • Das Steuergerät 110 weist zwei Speicherplätze 120, 122 auf, einen Prozessor 124 sowie eine Kommunikationsschnittstelle 126, mit der es an ein Kommunikationsmedium wie einen Bus (z.B. einen CAN-Bus) angebunden ist. Die anderen Steuergeräte sind entsprechend an das Kommunikationsmedium 130 angebunden, sodass darüber Nachrichten ausgetauscht werden können.
  • Auf dem Steuergerät 110 sind nun zwei Versionen 140 und 142 einer Software, die für den Betrieb des Steuergeräts 110 vorgesehen ist, in jeweils einem der Speicherplätze 120, 122 abgelegt. Zum Betrieb wird beim Start des Steuergeräts eine der beiden Versionen 140, 142 geladen, und zwar in der Regel die neuere von beiden, wie schon erwähnt.
  • In 2 ist schematisch ein Ablauf eines erfindungsgemäßen Verfahrens in einer bevorzugten Ausführungsform dargestellt. In einem Schritt 200 wird bei einem regulären Start des Steuergeräts, also wenn es ohne vorherige Probleme hochgefahren wird, die neuere der beiden Versionen der Software geladen. Es folgt ein regulärer Betrieb.
  • Dabei wird gemäß Schritt 202 z.B. regelmäßig geprüft, ob eine Fehlfunktion auftritt. Ist dies der Fall, kann ein Kriterium 204 als erfüllt angesehen werden. Wie erwähnt, ist es auch denkbar, dass erst nach einer bestimmten Anzahl an Fehlfunktionen das Kriterium als erfüllt angesehen wird.
  • Daraufhin folgt sofort ein Neustart des Steuergeräts, bei dem dann aber gemäß Schritt 206 die andere, also die ältere bzw. frühere Version der Software geladen wird. Mit dieser Version wird das Steuergerät dann - jedenfalls zunächst - weiterbetrieben.
  • Unabhängig davon, welche Version der Software gerade verwendet wird, werden während des Betriebs des Steuergeräts gemäß Schritt 208 Versionskennungen (ID), die von anderen Steuergeräten versendet werden, über die Kommunikationsschnittstelle empfangen. An dieser Stelle sei angemerkt, dass dieser Schritt generisch zu verstehen ist, d.h. es kann durchaus sein, dass nur eine andere Versionskennung empfangen werden kann, da nur ein anderes Steuergerät aktuell eine Versionskennung versendet. Außerdem wird vom Steuergerät selbst ebenfalls, gemäß Schritt 210, eine Versionskennung der aktuell verwendeten Version der Software versendet.
  • Gemäß Schritt 212 wird, insbesondere jedes Mal, wenn eine Versionskennung empfangen wurde, oder auch nur dann, wenn eine neue Versionskennung empfangen wurde, eine Kompatibilität der den empfangenen Versionskennungen zugrundeliegenden Versionen von Software mit der aktuell auf dem Steuergerät ausgeführten Version der Software geprüft. An dieser Stelle sei angemerkt, dass auf den anderen Steuergeräten typischerweise andere Software ausgeführt wird als auf dem prüfenden Steuergerät. Allerdings kann die Kompatibilität mit der Software von anderen Steuergerten von deren Version abhängen, da mit der Version z.B. auch Spezifikationen oder Inhalte von Nachrichten oder dergleichen geändert werden können.
  • Wenn zumindest für eine Version eine Inkompatibilität vorliegt, wird gemäß Schritt 214 eine erste Gegenmaßnahme 216 eingeleitet. Diese umfasst z.B. gemäß Schritt 218 ein Prüfen einer Kompatibilität der den empfangenen Versionskennungen zugrundeliegenden Versionen von Software mit der anderen als der aktuell auf dem Steuergerät ausgeführten Version. Daraufhin wird gemäß Schritt 220 in Abhängigkeit vom Prüfungsergebnis eine zweite Gegenmaßnahme 222 eingeleitet.
  • Diese umfasst ein Wechseln 224 in einen Degradationsmodus oder ein Abschalten 226 des Steuergeräts, wenn für zumindest eine der den empfangenen Versionskennungen zugrundeliegenden Versionen von Software mit der anderen als der aktuell auf dem Steuergerät ausgeführten Version (ebenfalls) eine Inkompatibilität vorliegt. Eine Information über eine solche Inkompatibilität kann dann auch über die Kommunikationsschnittstelle, gemäß Schritt 230, versendet werden.
  • Liegt hingegen mit dieser anderen Version keine Inkompatibilität vor, wird gemäß Schritt 228 diese andere Version geladen und ausgeführt, z.B. wieder durch einen (sofortigen) Neustart.

Claims (12)

  1. Verfahren zum Betreiben eines Steuergeräts (110) für ein Fahrzeug (100), das zwei Speicherplätze (120, 122) und zwei verschiedene Versionen (140, 142) einer für den Betrieb des Steuergeräts vorgesehenen Software aufweist, von denen jeweils eine in einem der Speicherplätze (120, 122) abgelegt ist, mit folgenden Schritten: Laden (200), bei einem regulären Start eine der zwei Versionen, und Laden (206), bei einem nachfolgenden Start, wenn während eines Betriebs des Steuergeräts mit der aktuell verwendeten Version der Software ein Kriterium (204) bezüglich eines Auftretens einer Fehlfunktion erfüllt wird, einer anderen der zwei Versionen.
  2. Verfahren nach Anspruch 1, wobei das Steuergerät (110) eine Kommunikationsschnittstelle (126) aufweist, und weiterhin mit folgenden Schritten: Empfangen (208), während eines Betriebs des Steuergeräts (110), von Versionskennungen (ID), die von anderen Steuergeräten versendet werden, über die Kommunikationsschnittstelle (126), Prüfen (212) einer Kompatibilität der den empfangenen Versionskennungen zugrundeliegenden Versionen von Software mit der aktuell auf dem Steuergerät (110) ausgeführten Version, und Einleiten (214), wenn zumindest für eine Version eine Inkompatibilität vorliegt, einer ersten Gegenmaßnahme (216).
  3. Verfahren nach Anspruch 2, wobei die erste Gegenmaßnahme (216) umfasst: Prüfen (218) einer Kompatibilität der den empfangenen Versionskennungen zugrundeliegenden Versionen von Software mit der anderen als der aktuell auf dem Steuergerät (110) ausgeführten Version, und Einleiten (220) einer zweiten Gegenmaßnahme (222).
  4. Verfahren nach Anspruch 3, wobei die zweite Gegenmaßnahme (222) umfasst: Wechseln (224) in einen Degradationsmodus oder Abschalten (226) des Steuergeräts (110), wenn für zumindest eine der den empfangenen Versionskennungen zugrundeliegenden Versionen von Software mit der anderen als der aktuell auf dem Steuergerät (110) ausgeführten Version eine Inkompatibilität vorliegt.
  5. Verfahren nach Anspruch 3 oder 4, wobei die zweite Gegenmaßnahme (222) umfasst: Laden (228), bei einem nachfolgenden Start, der anderen der zwei Versionen, wenn für keine der den empfangenen Versionskennungen zugrundeliegenden Versionen von Software mit der anderen als der aktuell auf dem Steuergerät (110) ausgeführten Version eine Inkompatibilität vorliegt.
  6. Verfahren nach einem der Ansprüche 3 bis 5, wobei die erste Gegenmaßnahme weiterhin umfasst: Versenden (230) einer Information über die Inkompatibilität auf der Kommunikationsschnittstelle (126).
  7. Verfahren nach einem der Ansprüche 2 bis 6, weiterhin umfassend: Versenden (210), während eines Betriebs eine Versionskennung der aktuell geladenen Version der Software auf der Kommunikationsschnittstelle (126).
  8. Verfahren nach einem der vorstehenden Ansprüche, wobei bei dem regulären Start eine neuere der zwei Versionen und bei dem nachnachfolgenden Start eine ältere der zwei Versionen geladen wird.
  9. Verfahren nach einem der vorstehenden Ansprüche, wobei, wenn das Kriterium erfüllt wird, sofort der nachfolgende Start eingeleitet wird.
  10. Steuergerät (110) für ein Fahrzeug (100), das dazu eingerichtet ist, alle Verfahrensschritte eines Verfahrens nach einem der vorstehenden Ansprüche durchzuführen.
  11. Computerprogramm, das ein Steuergerät (110) dazu veranlasst, alle Verfahrensschritte eines Verfahrens nach einem der Ansprüche 1 bis 9 durchzuführen, wenn es auf dem Steuergerät (110) ausgeführt wird.
  12. Maschinenlesbares Speichermedium mit einem darauf gespeicherten Computerprogramm nach Anspruch 11.
DE102020216481.9A 2020-12-22 2020-12-22 Verfahren zum Betreiben eines Steuergeräts und Steuergerät Pending DE102020216481A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102020216481.9A DE102020216481A1 (de) 2020-12-22 2020-12-22 Verfahren zum Betreiben eines Steuergeräts und Steuergerät

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102020216481.9A DE102020216481A1 (de) 2020-12-22 2020-12-22 Verfahren zum Betreiben eines Steuergeräts und Steuergerät

Publications (1)

Publication Number Publication Date
DE102020216481A1 true DE102020216481A1 (de) 2022-06-23

Family

ID=81847436

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102020216481.9A Pending DE102020216481A1 (de) 2020-12-22 2020-12-22 Verfahren zum Betreiben eines Steuergeräts und Steuergerät

Country Status (1)

Country Link
DE (1) DE102020216481A1 (de)

Similar Documents

Publication Publication Date Title
DE102019109672A1 (de) Rückgängigmachung nach einem teilausfall in mehreren elektronischen steuergeräten mittels over-the-air-updates
EP1967435B1 (de) Verfahren zur adaptiven konfigurationserkennung
DE102015221330A1 (de) Verfahren und Vorrichtung zum robusten Aktualisieren von Firmware eines Fahrzeuges über eine Luftschnittstelle
DE112016000992T5 (de) Programmneuschreibvorrichtung und programmneuschreibverfahren
EP1639603A2 (de) Verfahren zur durchführung eines software-updates eines elektronischen steuergerätes durch eine flash-programmierung über eine serielle schnittstelle und ein entsprechender zustandsautomat
DE102015216265A1 (de) Verfahren und Teilsystem zum Installieren eines Softwareupdates in einem Fahrzeug
EP1854007A2 (de) Verfahren, betriebssysem und rechengerät zum abarbeiten eines computerprogramms
WO2018103974A1 (de) Verfahren zur softwareaktualisierung bei cloud-gateways, computerprogramm mit einer implementation des verfahrens und verarbeitungseinheit zur ausführung des verfahrens
DE19839680A1 (de) Verfahren und Vorrichtung zur Veränderung des Speicherinhalts von Steuergeräten
EP2307933A1 (de) Verfahren zum programmiern von daten in mindestens zwei steuergeräte eines kraftfahrzeugs
DE102015115855A1 (de) System und Verfahren zur Verteilung und/oder Aktualisierung von Software in vernetzten Steuereinrichtungen eines Fahrzeugs
DE102015207795A1 (de) Verfahren und Vorrichtung zum Aktualisieren von Software in einem Transportmittel
DE102013021231A1 (de) Verfahren zum Betrieb eines Assistenzsystems eines Fahrzeugs und Fahrzeugsteuergerät
WO2005022382A2 (de) Verfahren zur installation einer programmkomponente
DE102020216481A1 (de) Verfahren zum Betreiben eines Steuergeräts und Steuergerät
DE102018222086A1 (de) Steueranordnung für ein Fahrzeug, Fahrzeug und Verfahren zum Konfigurieren eines fahrzeuginternen Systems
EP3797352B1 (de) Verfahren zum austauschen eines ersten ausführbaren programm-codes und eines zweiten ausführbaren programm-codes und steuergerät
EP3724758B1 (de) Verfahren zum durchführen eines updates einer softwareapplikation in einem gerät, das sich im betrieb befindet, sowie gerät und kraftfahrzeug
DE102020209228A1 (de) Verfahren zum Überwachen wenigstens einer Recheneinheit
EP4091054A1 (de) Verfahren und vorrichtung zum rekonfigurieren eines automatisiert fahrenden fahrzeugs in einem fehlerfall
EP3811203A1 (de) Verfahren zum aktualisieren von software auf einem zielgerät
DE112016006679T5 (de) Steuerungsvorrichtung und Recovery-Verarbeitungsverfahren für Steuerungsvorrichtung
WO2020099023A2 (de) Steuergerät für eine fahrzeugkomponente, kit umfassend ein steuergerät und eine testereinrichtung, fahrzeug, verfahren zum aktualisieren eines steuergeräts und computerlesbares speichermedium
DE102006045153A1 (de) System und Verfahren zum Verteilen und Ausführen von Programmcode in einem Steuergerätenetzwerk
DE102021202015A1 (de) Verfahren zum Betreiben eines Steuergeräts und Steuergerät