EP3969996A1 - Method for removing user-specific and/or drive-specific user data in a motor vehicle, and corresponding motor vehicle - Google Patents

Method for removing user-specific and/or drive-specific user data in a motor vehicle, and corresponding motor vehicle

Info

Publication number
EP3969996A1
EP3969996A1 EP20729641.9A EP20729641A EP3969996A1 EP 3969996 A1 EP3969996 A1 EP 3969996A1 EP 20729641 A EP20729641 A EP 20729641A EP 3969996 A1 EP3969996 A1 EP 3969996A1
Authority
EP
European Patent Office
Prior art keywords
motor vehicle
user
data
operating
triggering
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
EP20729641.9A
Other languages
German (de)
French (fr)
Inventor
Klaus Lange
Christoph Hoffmann
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Volkswagen AG
Original Assignee
Volkswagen AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Volkswagen AG filed Critical Volkswagen AG
Publication of EP3969996A1 publication Critical patent/EP3969996A1/en
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0602Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
    • G06F3/0608Saving storage space on storage systems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W30/00Purposes of road vehicle drive control systems not related to the control of a particular sub-unit, e.g. of systems using conjoint control of vehicle sub-units
    • B60W30/08Active safety systems predicting or avoiding probable or impending collision or attempting to minimise its consequences
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/08Interaction between the driver and the control system
    • B60W50/14Means for informing the driver, warning the driver or prompting a driver intervention
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B62LAND VEHICLES FOR TRAVELLING OTHERWISE THAN ON RAILS
    • B62DMOTOR VEHICLES; TRAILERS
    • B62D15/00Steering not otherwise provided for
    • B62D15/02Steering position indicators ; Steering position determination; Steering aids
    • B62D15/021Determination of steering angle
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0628Interfaces specially adapted for storage systems making use of a particular technique
    • G06F3/0646Horizontal data movement in storage systems, i.e. moving data in between storage devices or systems
    • G06F3/0652Erasing, e.g. deleting, data cleaning, moving of data to a wastebasket
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0668Interfaces specially adapted for storage systems adopting a particular infrastructure
    • G06F3/067Distributed or networked storage systems, e.g. storage area networks [SAN], network attached storage [NAS]
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/08Interaction between the driver and the control system
    • B60W50/14Means for informing the driver, warning the driver or prompting a driver intervention
    • B60W2050/146Display means
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2143Clearing memory, e.g. to prevent the data from being stolen

Definitions

  • the invention relates to a method for removing user-specific and / or trip-specific user data which are distributed over a plurality of control devices in a motor vehicle, that is to say are stored in a decentralized manner.
  • the invention also includes a motor vehicle which can carry out the method according to the invention.
  • a motor vehicle In a motor vehicle, one may be interested in making the storage of data in control units controllable for a user. Within the framework of the European GDPR (General Data Protection Regulation), for example, it may be of interest to enable a user to delete the user-specific data relating to him that is stored in one or more control units in the vehicle.
  • Trip-related data for example data relating to friction coefficients of different road sections, can also allow conclusions to be drawn about a possible whereabouts of a user, which is why a user can also be interested in deleting such data.
  • US 2015/0281374 A1 describes that the user settings can also be reset in said telematics system if an ignition of the motor vehicle is switched off. A wake-up signal is used for this.
  • the invention is based on the object of providing a user in a motor vehicle with control over user data that are stored in a number of control units.
  • the invention provides a method for removing user-specific and / or trip-specific user data.
  • the method is based on the assumption that this user data is stored in a motor vehicle and is divided among several control units. While user-specific user data are assigned directly to a user or a user identity or user group, trip-specific user data means that an indirect conclusion about at least one person is possible, since the trip data describe the course of at least one trip and based on knowledge of the respective driver and / or vehicle occupants are also given information about the whereabouts of at least one person while driving.
  • a triggering device is provided in the motor vehicle which checks whether a triggering condition is met. If the trigger condition is met. is a predetermined by the triggering device via a data bus of the motor vehicle common delete command sent to the multiple control units of the motor vehicle. In other words, it is ensured that the multiple control units to which the user data is distributed all respond to the same delete command, which is why this is referred to as a “common delete command”. Thus, by sending the delete command as a so-called broadcast command to the control devices via the data bus, it can be achieved that all these control devices can be controlled with just a single delete command.
  • each of the control units carries out a predetermined deletion routine, by means of which the user data stored in the respective control unit are overwritten and / or deleted.
  • a further aspect of the invention therefore provides that the deletion routine is provided in each of the control units. Since each control unit reacts to the delete command from the data bus and a deletion routine is provided in each control unit, it only has to be ensured in the motor vehicle that the said trigger condition is met and as a result, in the motor vehicle in each of the control units by overwriting and / or deleting the user data, the information about the user is deleted.
  • user data can be, for example: at least one telephone number and / or at least one travel destination and / or a seat position and / or a mirror setting of a rearview mirror and / or exterior mirror and / or travel history information in at least one driver assistance system. It is preferably provided that by means of the method, all control units that store data during operation of the motor vehicle, in particular user-specific and / or trip-specific user data, are controlled by means of the delete command and keep the corresponding delete routine ready.
  • the invention has the advantage that by setting or bringing about the triggering condition in the motor vehicle, wherever user data were created and / or stored in the motor vehicle, these are removed. By overwriting the user data, it can be ensured that the presence of the user data is concealed or hidden. Deleting the user data can at least ensure that it can no longer be reconstructed.
  • the invention also comprises embodiments which result in additional advantages.
  • the deletion routine restores a factory state in one or some or each of the control devices.
  • a data status or data content is restored in the respective data memory in which the user data is stored, as it was at delivery or ex works was present in the respective control unit.
  • said triggering device comprises an operating device that is accessible or kept accessible for the user and the triggering condition that is detected or checked by this triggering device includes that a predetermined operating action from the user is received via the operating device.
  • the user has to carry out the predetermined operating action on the operating device, as a result of which the trigger condition is then fulfilled, that is to say that the delete command is transmitted to the data bus by the triggering device.
  • the operating device comprises a mechanical switch, for example a button, or an operating element of a graphical user interface, that is to say, for example, a menu entry of an operating menu or a touch or control surface.
  • a graphical user interface that is to say a GUI (Graphical User Interface)
  • GUI Graphic User Interface
  • One embodiment comprises a steering column switch of a steering wheel as the operating device.
  • Such a steering column switch can be monitored or queried by a multifunction display (that is, a combination instrument) in order to recognize a predetermined operating action via the steering column switch, for example a predetermined sequence of movements that the user performs with the steering column switch.
  • the operating device comprises an operating element which is assigned at least one operating function different from the triggering of the delete command (i.e. can be or is used to execute or trigger at least one other operating function, and the said predetermined operating action has a predetermined sequence of operating steps by which the at least one operating function remains untriggered.
  • the operating element can be provided for triggering at least one operating function in the motor vehicle.
  • the predetermined sequence of operating steps is carried out on this operating element, for example three times and / or once Hold down for a predetermined minimum period of time, this will not remove the at least one operating function is triggered or controlled, but the trigger condition is met, which means that the delete command is triggered or generated.
  • the operating device comprises an Internet portal for operating the motor vehicle from an Internet connection.
  • the user can trigger the delete command from outside the motor vehicle via the operating portal.
  • an Internet server can then trigger the delete command in the motor vehicle via an Internet connection.
  • the motor vehicle can be coupled to the Internet via a cellular radio connection and / or a WLAN connection (WLAN - Wireless Local Area Network).
  • WLAN Wireless Local Area Network
  • the triggering criterion includes that a predetermined period of use of the motor vehicle ends and / or that there is an expiry of a use authorization for the motor vehicle signaled by a vehicle security device.
  • the usage period can be stored in the release device, for example, by storing usage time data. If the motor vehicle is rented as a rental vehicle, for example, the rental period can be specified as the period of use.
  • a vehicle security device can, for example, be provided in such a way that authorization data of a vehicle key, in particular a digital vehicle key, are checked for validity.
  • the vehicle security device can signal that the vehicle key has expired when the vehicle key is used again, and accordingly all of them User data are to be deleted.
  • the vehicle security device can be provided, for example, by a locking system of the motor vehicle.
  • the user data are each assigned to one of several predetermined security levels.
  • the trigger condition is also designed in stages, that is to say the trigger condition defines several different deletion levels, each of which indicates the security level for which the deletion routine is to be carried out. Each deletion level indicates the security level for which the deletion routine should be carried out.
  • deletion level for leaving the motor vehicle, so that the user data of this deletion level are already deleted when the user only leaves the motor vehicle temporarily (for example after reaching the workplace or after reaching the apartment).
  • a higher deletion level can provide that user data are deleted because the trigger condition indicates that the user leaves the motor vehicle for a predetermined longer period, for example for a day or a week, and / or lends it to another person.
  • higher deletion level can indicate that the user surrenders the motor vehicle permanently and thus all user data are to be deleted.
  • the delete command is sent out several times. This makes it possible to ensure that a control device which, for example, due to a restart of the control device and / or a delayed readiness to receive, does not receive or does not process the first delete command, nevertheless reliably receives the delete command.
  • each of the control units sends an acknowledgment message into the data bus if the delete command has been received and / or the delete routine has been carried out.
  • the triggering device or a predetermined computer unit uses acknowledgment messages received via the data bus and a list of control devices to check whether each of the control devices has sent out its acknowledgment message. If the acknowledgment message is missing from at least one of the control devices, a notification signal is output to the user. The user thus advantageously receives a warning if not all control units acknowledge the delete command and / or the execution of the delete routine. The user is thus informed that user data has remained in the motor vehicle.
  • the computer unit which can be provided for checking the acknowledgment messages, can, for example, by the Be formed infotainment system of the motor vehicle.
  • the computing unit can control a screen in order to display a notification message to inform the user.
  • At least one gateway of the data bus routes the delete command into several different bus branches. This results in the advantage that the same delete command can be transmitted to control units across different bus technologies, for example for CAN (Controller Area Network) and Ethernet and LIN (Local Interconnect Network).
  • the invention also comprises the motor vehicle with the plurality of control devices, each of which is set up to generate and store personal and / or trip-related user data during operation of the motor vehicle.
  • the control units are coupled to a release device via a wired data bus.
  • the data bus can be based on one or more bus technologies, which can include at least one of the following bus technologies: CAN, Ethernet, LIN, MOST (Media Oriented Systems Transport).
  • the triggering device can be implemented, for example, on the basis of a control device or an electronic circuit or a combination of several control devices and / or electronic circuits.
  • the triggering device can for example provide a processor for checking the described triggering condition, which processor is coupled to a data memory in which computer-readable instructions are stored which, when executed by the processor, check the triggering condition and cause the erase command to be generated.
  • the control devices can implement the deletion routine, for example, on the basis of a processor with a data memory coupled to it, with computer-readable instructions being stored in the data memory which, when executed by the processor of the control device, carry out the deletion routine, i.e. for example overwrite the user data with predetermined other data and / or delete the user data, in particular restore a factory setting.
  • their acceptance filters which filter bus messages from the data bus, can be expanded or adapted in the control units so that the acceptance filters receive the delete command from the data bus and forward it to the processor of the control unit.
  • the motor vehicle according to the invention is preferably designed as a motor vehicle, in particular as a passenger car or truck, or as a motorcycle. Exemplary embodiments of the invention are described below. This shows:
  • FIG. 1 shows a schematic representation of an embodiment of the motor vehicle according to the invention.
  • FIG. 2 shows a flow chart to illustrate an embodiment of the method according to the invention.
  • the exemplary embodiment explained below is a preferred embodiment of the invention.
  • the described components of the embodiment each represent individual features of the invention that are to be considered independently of one another, which also develop the invention independently of one another and are therefore to be regarded as part of the invention individually or in a combination other than the one shown.
  • the described embodiment can also be supplemented by further features of the invention already described.
  • a motor vehicle 10 which can be a motor vehicle, in particular a passenger vehicle or truck, or a passenger bus or a motorcycle.
  • a data bus 11 can be provided in the motor vehicle 10, via which a plurality of control units 12 can be coupled to a triggering device 13.
  • the data bus 11 can comprise several different data bus technologies (for example CAN, Ethernet, LIN and / or MOST), which can be coupled via a gateway 14.
  • ellipses symbolize that the data bus 11 can comprise more than the control devices shown or also fewer.
  • User data 15 can be generated and stored in control devices 12, for example by control devices 12 even while motor vehicle 10 is in operation.
  • a control device 12 can be a media playback device that can store play lists and / or wish lists of a user.
  • a control device 12 can be a driver assistance system which stores travel history data as user data 15 for routes that are covered regularly or repeatedly by means of the motor vehicle 10.
  • a control unit 12 can be used for a telephony application be provided and store as user data 15, for example, telephone numbers and / or a digital address book. These are only examples of possible control devices 12 that can generate and store user data 15.
  • the user data 15 can be personal and / or trip-related.
  • the triggering device 13 is provided, which can monitor a triggering condition 16. If the triggering condition 16 is met, the triggering device 13 can send a delete command 17 to all control units 12 via the data bus 11.
  • a deletion routine 18 can be provided in each of the control units 12, which is executed by the respective control unit 12 if the deletion command 17 is received via the data bus 11. When it is executed in the control units 12, the deletion routine 18 causes the user data 15 to be deleted and / or overwritten.
  • the deletion routine 18 can provide, for example, that the respective control device 12 is reset to a factory state or a delivery state.
  • FIG. 2 illustrates a possible method as can be carried out in the motor vehicle 10 by the control devices 12 and the triggering device 13.
  • the triggering device can check whether triggering condition 16 is met. If the trigger condition 16 is met, in a step S11 a delete command 17 that applies to all control units 12 can be sent out via the data bus 11 of the motor vehicle 10.
  • each of the control units 12 carries out a predetermined deletion routine 18 in the event that it receives the delete command 17 from the data bus 11, by which the user data 15 stored in the respective control unit 12 is deleted and / or overwritten.
  • the basic concept thus provides that a central delete command is generated which can be sent on all vehicle networks by a control device, which represents the triggering device. This means that without detailed knowledge of the stored personal user data, these can be deleted decentrally in each control unit (storage location). It is about a deletion order for personal data. It can thus be provided that a diagnostic interface for the data bus (eg the gateway) sends the central delete command 17 for all personal user data to all control devices after a predetermined operating action or on the basis of a previously defined trigger event.
  • a diagnostic interface for the data bus eg the gateway
  • the corresponding delete command 17 is preferably part of an already existing cyclic message (for example, bit that is set active 10 times) which is sent on all vehicle networks (CAN, FlexRay, Ethernet), which is represented in FIG. 1 by the data bus 11.
  • the position of the signals can be taken from the corresponding data definition.
  • the currently set configuration is not changed by the receipt of a delete command. I.e. only user data, but no configuration or setting data are changed.
  • the generation of the delete command 17 can be provided as follows.
  • a deletion command 17 for personal user data is preferably only accepted with .Klemme 15 on '(ignition on).
  • the delete command 17 is preferably sent after switching on the .Klemme 15 ‘after 30 seconds at the earliest, so that the receivers are active.
  • the following variants are available for activating the delete command, depending on the vehicle variant: a) Explicit operating action:
  • a new menu entry to be defined in the MIB / HMI contains a selection menu for deleting personal data, which the customer can activate using a checkbox. After selecting this checkbox, the delete command is sent.
  • a "RESET state" defined in the diagnosis and communicated to the control unit via diagnosis commands leads to the deletion of personal data. In vehicles with onboard tester functionality, this command is also sent by the onboard tester.
  • a possible signal assignment for a bus message can look like this (implementation proposal for a message assignment):
  • GenMsgSendType cyclic (cyclic)
  • a delete command represents a bus message or a date that is sent on the entire bus system and received by all control units, causes all control units to be reset to the delivery status, ie all data stored after delivery to the buyer e.g. telephone numbers, travel destinations, seating positions (memeory seat).
  • Another possibility is to include such a command in the multifunction display (on-board computer) and scroll through the menu of the multifunction display using the operating elements provided for this, such as the steering column switch or steering wheel switch, and select this command there. This then causes the on-board computer to send the delete command 17 on all bus systems and a corresponding reset of all control units.
  • a further design would be a specially created control point, e.g. a button, the position of which is read out by a control unit of the network and which also causes the reset command to be sent.
  • Any existing gateway control device must route this command to all bus systems. 4. Introduce a control point
  • the triggering of the delete command e.g. by the driver, there is no need to select individual control units.
  • Central operation triggers the deletion (reset to factory settings) of all personal data in all control units.
  • a defined operating action or a menu item in the central display or in the infotainment triggers the delete command. Automated deletion after the end of use is also possible.
  • the deletion process can be initiated by the vehicle user.
  • the example shows how the invention can provide a global (vehicle-wide) reset of all data memories with personal content to a factory setting.

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Human Computer Interaction (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Automation & Control Theory (AREA)
  • Mechanical Engineering (AREA)
  • Transportation (AREA)
  • Databases & Information Systems (AREA)
  • Medical Informatics (AREA)
  • Chemical & Material Sciences (AREA)
  • Combustion & Propulsion (AREA)
  • Small-Scale Networks (AREA)
  • Selective Calling Equipment (AREA)
  • Electric Propulsion And Braking For Vehicles (AREA)

Abstract

The invention relates to a method for removing user-specific and/or drive-specific user data (15) which is stored separately on multiple controllers (12) in a motor vehicle (10). A trigger device (13) is provided, and the trigger device (13) checks whether a trigger condition (16) has been satisfied. If the trigger condition (16) has been satisfied, a specified common delete command (17) is transmitted to the plurality of controllers (12) of the motor vehicle (10) via a data bus (11) of the motor vehicle (10), and each controller (12) carries out a specified delete routine (18) if the controller has received the delete command (17) from the data bus (11), said delete routine being used to overwrite and/or delete user data (15) stored on the respective controller (12).

Description

Beschreibung description
Verfahren zum Entfernen von benutzerspezifischen und/oder fahrtenspezifischen Benutzerdaten in einem Kraftfahrzeug sowie zugehöriges Kraftfahrzeug Method for removing user-specific and / or journey-specific user data in a motor vehicle and the associated motor vehicle
Die Erfindung betrifft ein Verfahren zum Entfernen von benutzerspezifischen und/oder fahrtenspezifischen Benutzerdaten, welche in einem Kraftfahrzeug auf mehrere Steuergeräte verteilt, also dezentral gespeichert sind. Zu der Erfindung gehört auch ein Kraftfahrzeug, welches das erfindungsgemäße Verfahren durchführen kann. The invention relates to a method for removing user-specific and / or trip-specific user data which are distributed over a plurality of control devices in a motor vehicle, that is to say are stored in a decentralized manner. The invention also includes a motor vehicle which can carry out the method according to the invention.
In einem Kraftfahrzeug kann man daran interessiert sein, die Speicherung von Daten in Steuergeräten für einen Benutzer kontrollierbar zu machen. Im Rahmen der europäischen DSGVO (Datenschutz-Grundverordnung) kann es beispielsweise von Interesse sein, einem Benutzer zu ermöglichen, die ihn betreffenden, im Kraftfahrzeug in einem oder mehreren Steuergeräten gespeicherten benutzerspezifischen Daten zu löschen. Auch fahrtenbezogene Daten, beispielsweise Daten betreffend Reibkoeffizienten unterschiedlicher Straßenabschnitte, können einen Rückschluss auf einen möglichen Aufenthaltsort eines Benutzers erlauben, weshalb ein Benutzer auch an einer Löschung solcher Daten interessiert sein kann. In a motor vehicle, one may be interested in making the storage of data in control units controllable for a user. Within the framework of the European GDPR (General Data Protection Regulation), for example, it may be of interest to enable a user to delete the user-specific data relating to him that is stored in one or more control units in the vehicle. Trip-related data, for example data relating to friction coefficients of different road sections, can also allow conclusions to be drawn about a possible whereabouts of a user, which is why a user can also be interested in deleting such data.
Bisher ist das Zurücksetzen von Daten nur in einzelnen, edien- oder assistenzbezogenen Geräten, wie beispielsweise einem Infotainmentsystem (Informations-Unterhaltungssystem), oder in Smartphones bekannt, um dort beispielsweise die Telefonnummern von eingegangenen Anrufen und/oder getätigten Anrufen zu löschen. Um dagegen in einem Kraftfahrzeug sämtliche personenbezogenen und/oder fahrtenbezogenen Benutzerdaten zu löschen, wäre ein Werkstattaufenthalt notwendig, um in jedem Steuergerät, welches während des Betriebs des Kraftfahrzeugs Daten erfasst und gespeichert hat, mittels einer Neuinitialisierung von diesen zu befreien. So far, the resetting of data has only been known in individual, service-related or assistance-related devices, such as an infotainment system (information entertainment system), or in smartphones, for example to delete the phone numbers of incoming calls and / or calls made. In contrast, in order to delete all personal and / or trip-related user data in a motor vehicle, a visit to the workshop would be necessary in order to free it by means of a reinitialization in every control device that has recorded and stored data during operation of the motor vehicle.
Stattdessen möchte man aber dem Fahrer selbst oder allgemein einem Benutzer oder Halter eines Kraftfahrzeugs die Möglichkeit geben, ohne Werkstattaufenthalt alle Steuergeräte seines Kraftfahrzeugs beispielsweise auf eine Werkseinstellung zurückzusetzen, sodass also ein Benutzer des Kraftfahrzeugs die volle Kontrolle über seine Benutzerdaten und/oder Fahrtendaten behält, wenn beispielsweise das Kraftfahrzeug an jemanden anderen weitergegeben wird, um das Kraftfahrzeug beispielsweise zu verleihen oder zu verkaufen. Aus der US 2015/0277942 A1 ist ein Telematiksystem bekannt, in welchem ein Benutzer seine Benutzereinstellungen zurücksetzen kann. Instead, one would like to give the driver himself or generally a user or owner of a motor vehicle the opportunity to reset all control units of his motor vehicle to a factory setting, for example, without having to visit the workshop, so that a user of the motor vehicle retains full control over his user data and / or trip data if For example, the motor vehicle is passed on to someone else in order to lend or sell the motor vehicle, for example. From US 2015/0277942 A1 a telematics system is known in which a user can reset his user settings.
Aus der US 2015/0288636 A1 ist dasselbe System unter dem Aspekt beschrieben, dass die Telematiksysteme mehrerer Kraftfahrzeuge zugleich mit Fernsteuerbefehlen versorgt werden können. From US 2015/0288636 A1 the same system is described under the aspect that the telematics systems of several motor vehicles can be supplied with remote control commands at the same time.
In der US 2015/0281374 A1 ist beschrieben, dass in dem besagten Telematiksystem auch dann die Benutzereinstellungen zurückgesetzt werden können, falls eine Zündung des Kraftfahrzeugs ausgeschaltet ist. Hierzu wird ein Aufwecksignal verwendet. US 2015/0281374 A1 describes that the user settings can also be reset in said telematics system if an ignition of the motor vehicle is switched off. A wake-up signal is used for this.
Die aus dem Stand der Technik bekannten Lösungen beziehen sich jeweils auf ein einzelnes Steuergerät, nämlich ein Telemetriesystem, in welchem Benutzerdaten zentral verwaltet werden. The solutions known from the prior art each relate to a single control device, namely a telemetry system in which user data are centrally managed.
Der Erfindung liegt die Aufgabe zugrunde, in einem Kraftfahrzeug einem Benutzer die Kontrolle über Benutzerdaten zu verschaffen, die auf mehrere Steuergeräte aufgeteilt gespeichert sind. The invention is based on the object of providing a user in a motor vehicle with control over user data that are stored in a number of control units.
Die Aufgabe wird durch die Gegenstände der unabhängigen Patentansprüche gelöst. Vorteilhafte Ausführungsformen der Erfindung sind durch die abhängigen Patentansprüche, die folgende Beschreibung sowie die Figur beschrieben. The object is achieved by the subjects of the independent claims. Advantageous embodiments of the invention are described by the dependent claims, the following description and the figure.
Durch die Erfindung ist ein Verfahren zum Entfernen von benutzerspezifischen und/oder fahrtenspezifischen Benutzerdaten bereitgestellt. Das Verfahren geht davon aus, dass diese Benutzerdaten in einem Kraftfahrzeug auf mehrere Steuergeräte aufgeteilt gespeichert sind. Während benutzerspezifische Benutzerdaten direkt einem Benutzer oder einer Benutzeridentität oder Benutzergruppe zugeordnet sind, ist mit fahrtenspezifischen Benutzerdaten gemeint, dass ein indirekter Rückschluss auf zumindest eine Person ermöglicht ist, da die Fahrtendaten einen Verlauf zumindest einer Fahrt beschreiben und anhand der Kenntnis über den jeweiligen Fahrer und/oder Fahrzeuginsassen während der Fahrt ebenfalls eine Information über den Aufenthalt zumindest einer Person gegeben ist. The invention provides a method for removing user-specific and / or trip-specific user data. The method is based on the assumption that this user data is stored in a motor vehicle and is divided among several control units. While user-specific user data are assigned directly to a user or a user identity or user group, trip-specific user data means that an indirect conclusion about at least one person is possible, since the trip data describe the course of at least one trip and based on knowledge of the respective driver and / or vehicle occupants are also given information about the whereabouts of at least one person while driving.
Bei dem Verfahren wird in dem Kraftfahrzeug eine Auslöseeinrichtung bereitgestellt, die überprüft, ob eine Auslösebedingung erfüllt ist. Falls die Auslösebedingung erfüllt ist. wird durch die Auslöseeinrichtung über einen Datenbus des Kraftfahrzeugs ein vorbestimmter gemeinsamer Löschbefehl an die mehreren Steuergeräte des Kraftfahrzeugs ausgesendet. Mit anderen Worten wird sichergestellt, dass die mehreren Steuergeräte, auf welche die Benutzerdaten verteilt sind, alle auf denselben Löschbefehl reagieren, weshalb dieser als „gemeinsamer Löschbefehl“ bezeichnet ist. Somit kann durch Versenden des Löschbefehls als sogenannter Broadcastbefehl an die Steuergeräte über den Datenbus erreicht werden, dass alle diese Steuergeräte mit nur einem einzigen Löschbefehl angesteuert werden können. Jedes der Steuergeräte führt in dem Fall, dass es den Löschbefehl aus dem Datenbus empfängt, eine vorbestimmte Löschroutine durch, durch welche die in dem jeweiligen Steuergerät gespeicherten Benutzerdaten überschrieben und/oder gelöscht werden. Ein weiterer Aspekt der Erfindung sieht also vor, dass in jedem der Steuergeräte die Löschroutine bereitgestellt wird. Indem jedes Steuergerät auf den Löschbefehl aus dem Datenbus reagiert und in jedem Steuergerät eine Löschroutine bereitgestellt ist, muss also in dem Kraftfahrzeug nur dafür gesorgt werden, dass die besagte Auslösebedingung erfüllt ist und infolgedessen wird dann in dem Kraftfahrzeug in jedem der Steuergeräte durch Überschreiben und/oder Löschen der Benutzerdaten die Information über den Benutzer gelöscht. Benutzerdaten können im Sinne der Erfindung beispielsweise sein: zumindest eine Telefonnummer und/oder zumindest ein Reiseziel und/oder eine Sitzposition und/oder eine Spiegeleinstellung eines Rückspiegels und/oder Außenspiegels und/oder Fahrtverlaufsinformationen in zumindest einem Fahrerassistenzsystem. Bevorzugt ist vorgesehen, dass mittels des Verfahrens alle Steuergeräte, die während eines Betriebs des Kraftfahrzeugs Daten speichern, insbesondere benutzerspezifische und/oder fahrtenspezifische Benutzerdaten, mittels des Löschbefehls angesteuert werden und die entsprechende Löschroutine bereit halten. In the method, a triggering device is provided in the motor vehicle which checks whether a triggering condition is met. If the trigger condition is met. is a predetermined by the triggering device via a data bus of the motor vehicle common delete command sent to the multiple control units of the motor vehicle. In other words, it is ensured that the multiple control units to which the user data is distributed all respond to the same delete command, which is why this is referred to as a “common delete command”. Thus, by sending the delete command as a so-called broadcast command to the control devices via the data bus, it can be achieved that all these control devices can be controlled with just a single delete command. In the event that it receives the delete command from the data bus, each of the control units carries out a predetermined deletion routine, by means of which the user data stored in the respective control unit are overwritten and / or deleted. A further aspect of the invention therefore provides that the deletion routine is provided in each of the control units. Since each control unit reacts to the delete command from the data bus and a deletion routine is provided in each control unit, it only has to be ensured in the motor vehicle that the said trigger condition is met and as a result, in the motor vehicle in each of the control units by overwriting and / or deleting the user data, the information about the user is deleted. Within the meaning of the invention, user data can be, for example: at least one telephone number and / or at least one travel destination and / or a seat position and / or a mirror setting of a rearview mirror and / or exterior mirror and / or travel history information in at least one driver assistance system. It is preferably provided that by means of the method, all control units that store data during operation of the motor vehicle, in particular user-specific and / or trip-specific user data, are controlled by means of the delete command and keep the corresponding delete routine ready.
Durch die Erfindung ergibt sich der Vorteil, dass durch Einstellen oder Herbeiführen der Auslösebedingung in dem Kraftfahrzeug überall dort, wo Benutzerdaten in dem Kraftfahrzeug entstanden und/oder gespeichert sind, diese entfernt werden. Durch besagte Überschreiben der Benutzerdaten kann sichergestellt werden, dass ein Vorhandensein der Benutzerdaten kaschiert oder versteckt wird. Durch Löschen der Benutzerdaten kann zumindest sichergestellt werden, dass diese nicht mehr rekonstruierbar sind. The invention has the advantage that by setting or bringing about the triggering condition in the motor vehicle, wherever user data were created and / or stored in the motor vehicle, these are removed. By overwriting the user data, it can be ensured that the presence of the user data is concealed or hidden. Deleting the user data can at least ensure that it can no longer be reconstructed.
Die Erfindung umfasst auch Ausführungsformen, durch die sich zusätzliche Vorteile ergeben. The invention also comprises embodiments which result in additional advantages.
In einer Ausführungsform wird durch die Löschroutine in einem oder einigen oder jedem der Steuergeräte jeweils ein Werkszustand wieder hergestellt. Mit anderen Worten wird in dem jeweiligen Datenspeicher, in welchem die Benutzerdaten gespeichert sind, jeweils ein Datenzustand oder ein Dateninhalt wieder hergestellt, wie er bei Auslieferung oder ab Werk in dem jeweiligen Steuergerät vorlag. Hierdurch ergibt sich der Vorteil, dass sich das Kraftfahrzeug in einem Auslieferzustand befindet und somit auch keine indirekten Rückschlüsse auf den jeweiligen Gerätezustand des jeweiligen Steuergeräts möglich sind. Das jeweilige Steuergerät enthält nur die Informationen, die es unmittelbar nach der Herstellung und Initialisierung beim Hersteller enthielt. In one embodiment, the deletion routine restores a factory state in one or some or each of the control devices. In other words, a data status or data content is restored in the respective data memory in which the user data is stored, as it was at delivery or ex works was present in the respective control unit. This results in the advantage that the motor vehicle is in a delivery state and therefore no indirect conclusions can be drawn about the respective device state of the respective control device. The respective control unit only contains the information that it contained immediately after manufacture and initialization by the manufacturer.
In einer Ausführungsform umfasst die besagte Auslöseeinrichtung eine für den Benutzer zugängliche oder zugänglich gehaltene Bedieneinrichtung und die Auslösebedingung, die durch diese Auslöseeinrichtung detektiert oder geprüft wird, umfasst dabei, dass über die Bedieneinrichtung eine vorbestimmte Bedienhandlung des Benutzers empfangen wird. Mit anderen Worten muss der Benutzer an der Bedieneinrichtung die vorbestimmte Bedienhandlung ausführen, wodurch dann die Auslösebedingung erfüllt ist, das heißt dass der Löschbefehl durch die Auslöseeinrichtung in den Datenbus ausgesendet wird. Somit kann ein Benutzer jederzeit durch Ausüben der Bedienhandlung sicherstellen, dass die Benutzerdaten in dem Kraftfahrzeug gelöscht werden. In one embodiment, said triggering device comprises an operating device that is accessible or kept accessible for the user and the triggering condition that is detected or checked by this triggering device includes that a predetermined operating action from the user is received via the operating device. In other words, the user has to carry out the predetermined operating action on the operating device, as a result of which the trigger condition is then fulfilled, that is to say that the delete command is transmitted to the data bus by the triggering device. Thus a user can ensure at any time by performing the operator action that the user data in the motor vehicle are deleted.
Mehrere Ausführungsformen betreffen die Ausgestaltung der besagten Bedieneinrichtung. In einer Ausführungsform umfasst die Bedieneinrichtung einen mechanischen Schalter, beispielsweise einen Taster, oder ein Bedienelement einer grafischen Benutzeroberfläche, also beispielsweise einen Menüeintrag eines Bedienmenüs oder eine Tast- oder Bedienfläche. Eine grafische Benutzerschnittstelle, das heißt eine GUI (Graphical User Interface), kann beispielsweise auf einem Touchscreen des Kraftfahrzeugs angezeigt oder erzeugt werden. Eine Ausführungsform umfasst als Bedieneinrichtung einen Lenkstockschalter eines Lenkrads. Ein solcher Lenkstockschalter kann durch eine Multifunktionsanzeige (das heißt ein Kombiinstrument) überwacht oder abgefragt werden, um über den Lenkstockschalter eine vorbestimmte Bedienhandlung zu erkennen, beispielsweise eine vorbestimmte Bewegungsabfolge, die der Benutzer mit dem Lenkstockschalter durchführt. Eine Ausführungsform sieht vor, dass die Bedieneinrichtung ein Bedienelement umfasst, das mit zumindest einer von dem Auslösen des Löschbefehls (verschiedenen Bedienfunktion belegt ist, also zum Ausführen oder Auslösen zumindest einer anderen Bedienfunktion betätigt werden kann oder dient, und die besagte vorbestimmte Bedienhandlung eine vorbestimmte Abfolge von Bedienschritten umfasst, durch welche die zumindest eine Bedienfunktion unausgelöst bleibt. Mit anderen Worten kann also das Bedienelement zum Auslösen zumindest einer Bedienfunktion in dem Kraftfahrzeug bereitgestellt sein. Wird allerdings an diesem Bedienelement die vorbestimmte Abfolge von Bedienschritten durchgeführt, beispielsweise dreimal Drücken und/oder einmal für eine vorbestimmte Mindestzeitdauer gedrückt halten, so wird hierdurch nicht die zumindest eine Bedienfunktion ausgelöst oder angesteuert, sondern es wird die Auslösebedingung erfüllt, wodurch also der Löschbefehl ausgelöst oder erzeugt wird. Hierdurch kann ein und dasselbe Bedienelement sowohl für die zumindest eine Bedienfunktion als auch zum Auslösen des Löschbefehls genutzt werden. In einer Ausführungsform umfasst die Bedieneinrichtung ein Internetportal zum Bedienen des Kraftfahrzeugs von einem Internetzugang aus. Mit anderen Worten kann also der Benutzer über das Bedienportal von außerhalb des Kraftfahrzeugs den Löschbefehl auslösen. Von dem Internetportal aus kann beispielsweise ein Internetserver über eine Internetverbindung dann den Löschbefehl in dem Kraftfahrzeug auslösen. Das Kraftfahrzeug kann hierzu über eine Mobilfunkverbindung und/oder eine WLAN-Verbindung (WLAN - Wireless Local Area Network) mit dem Internet gekoppelt sein. Die Verwendung eines Internetportals weist den besonderen Vorteil auf, dass der Löschbefehl auch nachträglich, wenn der Benutzer das Kraftfahrzeug nicht mehr erreichen kann, weil er es beispielsweise bereits verkauft oder anderweitig weggegeben hat, noch in dem Kraftfahrzeug ausgelöst werden kann. Several embodiments relate to the design of said operating device. In one embodiment, the operating device comprises a mechanical switch, for example a button, or an operating element of a graphical user interface, that is to say, for example, a menu entry of an operating menu or a touch or control surface. A graphical user interface, that is to say a GUI (Graphical User Interface), can for example be displayed or generated on a touchscreen of the motor vehicle. One embodiment comprises a steering column switch of a steering wheel as the operating device. Such a steering column switch can be monitored or queried by a multifunction display (that is, a combination instrument) in order to recognize a predetermined operating action via the steering column switch, for example a predetermined sequence of movements that the user performs with the steering column switch. One embodiment provides that the operating device comprises an operating element which is assigned at least one operating function different from the triggering of the delete command (i.e. can be or is used to execute or trigger at least one other operating function, and the said predetermined operating action has a predetermined sequence of operating steps by which the at least one operating function remains untriggered. In other words, the operating element can be provided for triggering at least one operating function in the motor vehicle. However, if the predetermined sequence of operating steps is carried out on this operating element, for example three times and / or once Hold down for a predetermined minimum period of time, this will not remove the at least one operating function is triggered or controlled, but the trigger condition is met, which means that the delete command is triggered or generated. As a result, one and the same operating element can be used both for the at least one operating function and for triggering the delete command. In one embodiment, the operating device comprises an Internet portal for operating the motor vehicle from an Internet connection. In other words, the user can trigger the delete command from outside the motor vehicle via the operating portal. From the Internet portal, for example, an Internet server can then trigger the delete command in the motor vehicle via an Internet connection. For this purpose, the motor vehicle can be coupled to the Internet via a cellular radio connection and / or a WLAN connection (WLAN - Wireless Local Area Network). The use of an Internet portal has the particular advantage that the delete command can also be triggered in the vehicle at a later date if the user can no longer reach the motor vehicle, for example because he has already sold it or otherwise given it away.
In einer Ausführungsform umfasst das Auslösekriterium, dass eine vorbestimmte Nutzungsdauer des Kraftfahrzeugs endet und/oder ein durch eine Fahrzeugsicherungseinrichtung signalisierter Ablauf einer Nutzungsberechtigung des Kraftfahrzeugs vorliegt. Die Nutzungsdauer kann beispielsweise in der Auslöseeinrichtung gespeichert sein, indem beispielsweise Nutzungsdauerdaten gespeichert sind. Wird das Kraftfahrzeug beispielsweise als Mietfahrzeug vermietet, so kann die Mietdauer als Nutzungsdauer vorgegeben sein. Eine Fahrzeugsicherungseinrichtung kann beispielsweise in der Form bereitgestellt sein, dass Berechtigungsdaten eines Fahrzeugschlüssels, insbesondere eines digitalen Fahrzeugschlüssels, auf ihre Gültigkeit geprüft werden. Ist ein Fahrzeugschlüssel ungültig, weil beispielsweise der Fahrzeugschlüssel nur für eine vorbestimmte Nutzungsdauer freigeschaltet ist und/oder ein Sperrbefehl für den Nutzungsschlüssel empfangen worden ist, so kann die Fahrzeugsicherungseinrichtung bei weiterer Verwendung des Fahrzeugschlüssels signalisieren, dass die Nutzungsberechtigung für das Kraftfahrzeug abgelaufen ist und entsprechend alle Benutzerdaten zu löschen sind. Die Fahrzeugsicherungseinrichtung kann beispielsweise durch ein Schließsystem des Kraftfahrzeugs bereitgestellt sein. In one embodiment, the triggering criterion includes that a predetermined period of use of the motor vehicle ends and / or that there is an expiry of a use authorization for the motor vehicle signaled by a vehicle security device. The usage period can be stored in the release device, for example, by storing usage time data. If the motor vehicle is rented as a rental vehicle, for example, the rental period can be specified as the period of use. A vehicle security device can, for example, be provided in such a way that authorization data of a vehicle key, in particular a digital vehicle key, are checked for validity. If a vehicle key is invalid because, for example, the vehicle key is only activated for a predetermined period of use and / or a blocking command for the use key has been received, the vehicle security device can signal that the vehicle key has expired when the vehicle key is used again, and accordingly all of them User data are to be deleted. The vehicle security device can be provided, for example, by a locking system of the motor vehicle.
In einer Ausführungsform sind die Benutzerdaten jeweils einer aus mehreren vorbestimmten Sicherheitsstufen zugeordnet. Auch die Auslösebedingung ist gestuft ausgestaltet, das heißt die Auslösebedingung definiert mehrere unterschiedliche Löschstufen, die jeweils angeben, für welche Sicherheitsstufe die Löschroutine durchgeführt werden soll. Jede Löschstufe gibt also an, für welche Sicherheitsstufe die Löschroutine durchgeführt werden soll. Durch die Löschroutine in den Steuergeräten werden dann alle Benutzerdaten der durch die Löschstufe ausgewählten Benutzerdaten gelöscht, also die Benutzerdaten der zugehörigen Sicherheitsstufe und jeder niedrigeren Sicherheitsstufe. Mit anderen Worten wird für den Fall, dass die Auslösebedingung erfüllt ist, durch die Auslöseeinrichtung auch ermittelt, für welche Löschstufe die Auslösebedingung erfüllt ist. Es kann beispielsweise eine Löschstufe für das Verlassen des Kraftfahrzeugs geben, sodass die Benutzerdaten dieser Löschstufe bereits gelöscht werden, wenn der Benutzer das Kraftfahrzeug nur temporär verlässt (beispielsweise nach Erreichen des Arbeitsplatzes oder nach Erreichen der Wohnung). Eine höhere Löschstufe kann vorsehen, dass Benutzerdaten gelöscht werden, weil die Auslösebedingung angibt, dass der Benutzer das Kraftfahrzeug für einen vorbestimmten längeren Zeitraum, beispielsweise für einen Tag oder eine Woche, verlässt und/oder an eine andere Person verleiht. Eine weitere, höhere Löschstufe kann angeben, dass der Benutzer das Kraftfahrzeug dauerhaft abgibt und somit alle Benutzerdaten zu löschen sind. Somit kann zwischen unterschiedlichen Sicherheitsgraden oder Dringlichkeitsgraden für das Löschen der Benutzerdaten unterschieden werden. In one embodiment, the user data are each assigned to one of several predetermined security levels. The trigger condition is also designed in stages, that is to say the trigger condition defines several different deletion levels, each of which indicates the security level for which the deletion routine is to be carried out. Each deletion level indicates the security level for which the deletion routine should be carried out. Through the As a result of the deletion routine in the control units, all user data of the user data selected by the deletion level are deleted, that is to say the user data of the associated security level and each lower security level. In other words, in the event that the triggering condition is met, the triggering device also determines for which extinguishing stage the triggering condition is met. For example, there can be a deletion level for leaving the motor vehicle, so that the user data of this deletion level are already deleted when the user only leaves the motor vehicle temporarily (for example after reaching the workplace or after reaching the apartment). A higher deletion level can provide that user data are deleted because the trigger condition indicates that the user leaves the motor vehicle for a predetermined longer period, for example for a day or a week, and / or lends it to another person. A further, higher deletion level can indicate that the user surrenders the motor vehicle permanently and thus all user data are to be deleted. Thus, a distinction can be made between different degrees of security or degrees of urgency for deleting user data.
In einer Ausführungsform wird der Löschbefehl mehrfach ausgesendet. Hierdurch kann sichergestellt werden, dass ein Steuergerät, welches beispielsweise aufgrund eines Neustarts des Steuergeräts und/oder einer verspäteten Empfangsbereitschaft den ersten Löschbefehl nicht empfängt oder nicht verarbeitet, dennoch zuverlässig den Löschbefehl erhält. In one embodiment, the delete command is sent out several times. This makes it possible to ensure that a control device which, for example, due to a restart of the control device and / or a delayed readiness to receive, does not receive or does not process the first delete command, nevertheless reliably receives the delete command.
In einer Ausführungsform wird durch jedes der Steuergeräte eine Quittiernachricht in den Datenbus ausgesendet, falls der Löschbefehl empfangen wurde und/oder die Löschroutine durchgeführt wurde. Die Auslöseeinrichtung oder eine vorbestimmte Rechnereinheit überprüft anhand von über den Datenbus empfangenen Quittiernachrichten und einer Liste der Steuergeräte, ob jedes der Steuergeräte seine Quittiernachricht ausgesendet hat. Bei Fehlen der Quittiernachricht zumindest eines der Steuergeräte wird ein Hinweissignal an den Benutzer ausgegeben. Somit erhält der Benutzer in vorteilhafter Weise eine Warnung, falls nicht alle Steuergeräte den Löschbefehl und/oder das Durchführen der Löschroutine quittieren. Damit ist der Benutzer informiert, dass Benutzerdaten im Kraftfahrzeug verblieben sind. Das Erzeugen der Quittiernachricht bereits bei Empfangen des Löschbefehls weist den Vorteil auf, dass mit geringer Zeitverzögerung entschieden werden kann, ob alle Löschgeräte den Löschbefehl empfangen haben. Das Auslösen der Quittiernachricht erst nach Durchführen der Löschroutine weist den Vorteil auf, dass mit der Quittiernachricht das erfolgreiche Beseitigen der Benutzerdaten quittiert wird. Die Rechnereinheit, die zum Überprüfen der Quittiernachrichten bereitgestellt sein kann, kann beispielsweise durch das Infotainmentsystem des Kraftfahrzeugs gebildet sein. Die Rechnereinheit kann einen Bildschirm ansteuern, um einem Benutzer eine Hinweisnachricht zum Informieren des Benutzers anzuzeigen. In one embodiment, each of the control units sends an acknowledgment message into the data bus if the delete command has been received and / or the delete routine has been carried out. The triggering device or a predetermined computer unit uses acknowledgment messages received via the data bus and a list of control devices to check whether each of the control devices has sent out its acknowledgment message. If the acknowledgment message is missing from at least one of the control devices, a notification signal is output to the user. The user thus advantageously receives a warning if not all control units acknowledge the delete command and / or the execution of the delete routine. The user is thus informed that user data has remained in the motor vehicle. Generating the acknowledgment message as soon as the delete command is received has the advantage that a decision can be made with a short time delay whether all the extinguishing devices have received the delete command. The triggering of the acknowledgment message only after the deletion routine has been carried out has the advantage that the successful elimination of the user data is acknowledged with the acknowledgment message. The computer unit, which can be provided for checking the acknowledgment messages, can, for example, by the Be formed infotainment system of the motor vehicle. The computing unit can control a screen in order to display a notification message to inform the user.
In einer Ausführungsform routet zumindest ein Gateway des Datenbusses den Löschbefehl in mehrere unterschiedliche Buszweige hinein. Hierdurch ergibt sich der Vorteil, dass auch über unterschiedliche Bustechnologien hinweg, beispielsweise für CAN (Controller Area Network) und Ethernet und LIN (Local Interconnect Network) derselbe Löschbefehl an Steuergeräte übermittelt werden kann. In one embodiment, at least one gateway of the data bus routes the delete command into several different bus branches. This results in the advantage that the same delete command can be transmitted to control units across different bus technologies, for example for CAN (Controller Area Network) and Ethernet and LIN (Local Interconnect Network).
Die Erfindung umfasst auch gemäß einem Aspekt das Kraftfahrzeug mit den mehreren Steuergeräten, die jeweils dazu eingerichtet sind, während eines Betriebs des Kraftfahrzeugs personenbezogene und/oder fahrtenbezogene Benutzerdaten zu erzeugen und zu speichern. Die Steuergeräte sind dabei über einen drahtgebundenen Datenbus mit einer Auslöseeinrichtung gekoppelt. Der Datenbus kann auf einer oder mehreren Bustechnologien beruhen, die zumindest eine der folgenden Bustechnologien umfassen können: CAN, Ethernet, LIN, MOST (Media Oriented Systems Transport). Die Auslöseeinrichtung kann beispielsweise auf der Grundlage eines Steuergeräts oder einer elektronischen Schaltung oder eines Verbunds mehrerer Steuergeräte und/oder elektronischer Schaltungen realisiert sein. Die Auslöseeinrichtung kann für die Überprüfung der beschriebenen Auslösebedingung beispielsweise einen Prozessor vorsehen, der mit einem Datenspeicher gekoppelt ist, in welchem computerlesbare Instruktionen gespeichert sind, die bei Ausführen durch den Prozessor die Auslösebedingung überprüfen und das Erzeugen des Löschbefehls bewirken. Insgesamt sind in dem Kraftfahrzeug die Steuergeräte (mit ihrer Löschroutine) und die Auslöseeinrichtung dazu eingerichtet, eine Ausführungsform des erfindungsgemäßen Verfahrens durchzuführen. Die Steuergeräte können die Löschroutine beispielsweise auf der Grundlage eines Prozessors mit damit gekoppeltem Datenspeicher realisieren, wobei in dem Datenspeicher computerlesbare Instruktionen gespeichert sein können, die bei Ausführen durch den Prozessor des Steuergeräts die Löschroutine durchführen, also beispielsweise die Benutzerdaten mit vorbestimmten anderen Daten überschreiben und/oder die Benutzerdaten löschen, insbesondere eine Werkseinstellung wieder hersteilen. Des Weiteren können in den Steuergeräten deren Akzeptanzfilter, welche Busnachrichten aus dem Datenbus filtern, dahingehend erweitert oder angepasst sein, dass die Akzeptanzfilter den Löschbefehl aus dem Datenbus empfangen und an den Prozessor des Steuergeräts weiterleitet. According to one aspect, the invention also comprises the motor vehicle with the plurality of control devices, each of which is set up to generate and store personal and / or trip-related user data during operation of the motor vehicle. The control units are coupled to a release device via a wired data bus. The data bus can be based on one or more bus technologies, which can include at least one of the following bus technologies: CAN, Ethernet, LIN, MOST (Media Oriented Systems Transport). The triggering device can be implemented, for example, on the basis of a control device or an electronic circuit or a combination of several control devices and / or electronic circuits. The triggering device can for example provide a processor for checking the described triggering condition, which processor is coupled to a data memory in which computer-readable instructions are stored which, when executed by the processor, check the triggering condition and cause the erase command to be generated. Overall, the control units (with their deletion routine) and the triggering device in the motor vehicle are set up to carry out an embodiment of the method according to the invention. The control devices can implement the deletion routine, for example, on the basis of a processor with a data memory coupled to it, with computer-readable instructions being stored in the data memory which, when executed by the processor of the control device, carry out the deletion routine, i.e. for example overwrite the user data with predetermined other data and / or delete the user data, in particular restore a factory setting. Furthermore, their acceptance filters, which filter bus messages from the data bus, can be expanded or adapted in the control units so that the acceptance filters receive the delete command from the data bus and forward it to the processor of the control unit.
Das erfindungsgemäße Kraftfahrzeug ist bevorzugt als Kraftwagen, insbesondere als Personenkraftwagen oder Lastkraftwagen, oder als Motorrad ausgestaltet. Im Folgenden sind Ausführungsbeispiele der Erfindung beschrieben. Hierzu zeigt: The motor vehicle according to the invention is preferably designed as a motor vehicle, in particular as a passenger car or truck, or as a motorcycle. Exemplary embodiments of the invention are described below. This shows:
Fig. 1 eine schematische Darstellung einer Ausführungsform des erfindungsgemäßen Kraftfahrzeugs; und 1 shows a schematic representation of an embodiment of the motor vehicle according to the invention; and
Fig. 2 ein Flussschaudiagramm zur Veranschaulichung einer Ausführungsform des erfindungsgemäßen Verfahrens. 2 shows a flow chart to illustrate an embodiment of the method according to the invention.
Bei dem im Folgenden erläuterten Ausführungsbeispiel handelt es sich um eine bevorzugte Ausführungsform der Erfindung. Bei dem Ausführungsbeispiel stellen die beschriebenen Komponenten der Ausführungsform jeweils einzelne, unabhängig voneinander zu betrachtende Merkmale der Erfindung dar, welche die Erfindung jeweils auch unabhängig voneinander weiterbilden und damit auch einzeln oder in einer anderen als der gezeigten Kombination als Bestandteil der Erfindung anzusehen sind. Des Weiteren ist die beschriebene Ausführungsform auch durch weitere der bereits beschriebenen Merkmale der Erfindung ergänzbar. The exemplary embodiment explained below is a preferred embodiment of the invention. In the exemplary embodiment, the described components of the embodiment each represent individual features of the invention that are to be considered independently of one another, which also develop the invention independently of one another and are therefore to be regarded as part of the invention individually or in a combination other than the one shown. Furthermore, the described embodiment can also be supplemented by further features of the invention already described.
In den Figuren sind funktionsgleiche Elemente jeweils mit denselben Bezugszeichen versehen. In the figures, functionally identical elements are each provided with the same reference symbols.
Fig. 1 zeigt ein Kraftfahrzeug 10, bei dem es sich um einen Kraftwagen, insbesondere einen Personenkraftwagen oder Lastkraftwagen, oder einen Personenbus oder ein Motorrad handeln kann. In dem Kraftfahrzeug 10 kann ein Datenbus 11 bereitgestellt sein, über welchen mehrere Steuergeräte 12 mit einer Auslöseeinrichtung 13 gekoppelt sein können. Der Datenbus 11 kann mehrere unterschiedliche Datenbustechnologien umfassen (beispielsweise CAN, Ethernet, LIN und/oder MOST), die über ein Gateway 14 gekoppelt sein können. Auslassungspunkte symbolisieren in Fig. 1 , dass der Datenbus 11 mehr als die gezeigten Steuergeräte oder auch weniger umfassen kann. 1 shows a motor vehicle 10, which can be a motor vehicle, in particular a passenger vehicle or truck, or a passenger bus or a motorcycle. A data bus 11 can be provided in the motor vehicle 10, via which a plurality of control units 12 can be coupled to a triggering device 13. The data bus 11 can comprise several different data bus technologies (for example CAN, Ethernet, LIN and / or MOST), which can be coupled via a gateway 14. In FIG. 1, ellipses symbolize that the data bus 11 can comprise more than the control devices shown or also fewer.
In den Steuergeräten 12 können z.B. durch die Steuergeräte 12 selbst während eines Betriebs des Kraftfahrzeugs 10 Benutzerdaten 15 erzeugt und gespeichert werden. Beispielsweise kann ein Steuergerät 12 ein Medienwiedergabegerät sein, welches Abspiellisten und/oder Wunschlisten eines Benutzers speichern kann. Ein Steuergerät 12 kann ein Fahrerassistenzsystem sein, welches zu Fahrstrecken, die mittels des Kraftfahrzeugs 10 regelmäßig oder wiederholt zurückgelegt werden, Fahrverlaufsdaten als Benutzerdaten 15 speichert. Ein Steuergerät 12 kann für eine Telefonieanwendung vorgesehen sein und als Benutzerdaten 15 beispielsweise Telefonnummern und/oder ein digitales Adressbuch speichern. Dies sind nur Beispiele für mögliche Steuergeräte 12, welche Benutzerdaten 15 erzeugen und speichern können. Die Benutzerdaten 15 können personenbezogen und/oder fahrtenbezogen sein. User data 15 can be generated and stored in control devices 12, for example by control devices 12 even while motor vehicle 10 is in operation. For example, a control device 12 can be a media playback device that can store play lists and / or wish lists of a user. A control device 12 can be a driver assistance system which stores travel history data as user data 15 for routes that are covered regularly or repeatedly by means of the motor vehicle 10. A control unit 12 can be used for a telephony application be provided and store as user data 15, for example, telephone numbers and / or a digital address book. These are only examples of possible control devices 12 that can generate and store user data 15. The user data 15 can be personal and / or trip-related.
Bei dem Kraftfahrzeug 10 ist es einem Benutzer ermöglicht, ohne Werkstattaufenthalt selbsttätig sicherzustellen, dass die Benutzerdaten 15 gelöscht werden. Dies kann er ohne Werkstattaufenthalt selbst auslösen oder durchführen. Hierzu ist die Auslöseeinrichtung 13 vorgesehen, die eine Auslösebedingung 16 überwachen kann. Ist die Auslösebedingung 16 erfüllt, so kann die Auslöseeinrichtung 13 einen Löschbefehl 17 über den Datenbus 11 an alle Steuergeräte 12 aussenden. In den Steuergeräten 12 kann jeweils eine Löschroutine 18 bereitgestellt sein, die von dem jeweiligen Steuergerät 12 ausgeführt wird, falls über den Datenbus 11 der Löschbefehl 17 empfangen wird. Durch die Löschroutine 18 wird bei deren Ausführung in den Steuergeräten 12 das Löschen und/oder Überschreiben der Benutzerdaten 15 bewirkt. Damit kann durch Erfüllen einer einzelnen Auslösebedingung 16 sichergestellt werden, dass im gesamten Kraftfahrzeug 10 alle gespeicherten Benutzerdaten 15 in den Steuergeräten 12 gelöscht werden. Die Löschroutine 18 kann beispielsweise hierzu vorsehen, dass das jeweilige Steuergerät 12 in einen Werkszustand oder Auslieferungszustand zurückversetzt wird. In the motor vehicle 10, it is possible for a user to automatically ensure that the user data 15 are deleted without going to the workshop. He can initiate or carry out this himself without visiting the workshop. For this purpose, the triggering device 13 is provided, which can monitor a triggering condition 16. If the triggering condition 16 is met, the triggering device 13 can send a delete command 17 to all control units 12 via the data bus 11. A deletion routine 18 can be provided in each of the control units 12, which is executed by the respective control unit 12 if the deletion command 17 is received via the data bus 11. When it is executed in the control units 12, the deletion routine 18 causes the user data 15 to be deleted and / or overwritten. In this way, by fulfilling a single trigger condition 16, it can be ensured that all of the user data 15 stored in the control units 12 in the entire motor vehicle 10 are deleted. For this purpose, the deletion routine 18 can provide, for example, that the respective control device 12 is reset to a factory state or a delivery state.
Fig. 2 veranschaulicht hierzu ein mögliches Verfahren, wie es in dem Kraftfahrzeug 10 durch die Steuergeräte 12 und die Auslöseeinrichtung 13 durchgeführt werden kann. In einem Schritt S10 kann die Auslöseeinrichtung überprüfen, ob die Auslösebedingung 16 erfüllt ist. Falls die Auslösebedingung 16 erfüllt ist, kann in einem Schritt S11 über den Datenbus 11 des Kraftfahrzeugs 10 ein Löschbefehl 17 ausgesendet werden, der für alle Steuergeräte 12 gilt. Jedes der Steuergeräte 12 führt in einem Schritt S12 in dem Fall, dass es den Löschbefehl 17 aus dem Datenbus 11 empfängt, eine vorbestimmte Löschroutine 18 durch, durch welche die in dem jeweiligen Steuergerät 12 gespeicherten Benutzerdaten 15 gelöscht und/oder überschrieben werden. For this purpose, FIG. 2 illustrates a possible method as can be carried out in the motor vehicle 10 by the control devices 12 and the triggering device 13. In a step S10, the triggering device can check whether triggering condition 16 is met. If the trigger condition 16 is met, in a step S11 a delete command 17 that applies to all control units 12 can be sent out via the data bus 11 of the motor vehicle 10. In a step S12, each of the control units 12 carries out a predetermined deletion routine 18 in the event that it receives the delete command 17 from the data bus 11, by which the user data 15 stored in the respective control unit 12 is deleted and / or overwritten.
Das Grundkonzept sieht somit vor, dass ein zentraler Löschbefehl generiert wird, der von einem Steuergerät, welches die Auslöseeinrichtung darstellt, auf allen Fahrzeugnetzwerken gesendet werden kann. Damit können ohne detaillierte Kenntnis der gespeicherten personenbezogenen Benutzerdaten diese dezentral in jedem Steuergerät (Speicherort) gelöscht werden. Es geht um einen Löschbefehl für personenbezogene Daten. So kann vorgesehen sein, dass ein Diagnoseinterface für den Datenbus (z.B. das Gateway) nach einer vorbestimmten Bedienhandlung oder aufgrund eines vorher festgelegten Auslöseereignisses hin den zentralen Löschbefehl 17 für alle personenbezogenen Benutzerdaten an alle Steuergeräte aussenden. The basic concept thus provides that a central delete command is generated which can be sent on all vehicle networks by a control device, which represents the triggering device. This means that without detailed knowledge of the stored personal user data, these can be deleted decentrally in each control unit (storage location). It is about a deletion order for personal data. It can thus be provided that a diagnostic interface for the data bus (eg the gateway) sends the central delete command 17 for all personal user data to all control devices after a predetermined operating action or on the basis of a previously defined trigger event.
Der entsprechende Löschbefehl 17 ist bevorzugt Bestandteil einer bereits vorhandenen zyklischen Botschaft (beispielsweise 10 mal aktiv gesetztes Bit), die auf allen Fahrzeugnetzwerken (CAN, FlexRay, Ethernet) gesendet wird, was in Fig. 1 durch den Datenbus 11 repräsentiert ist. Die Position der Signale kann aus der entsprechenden Datenfestlegung entnommen werden. The corresponding delete command 17 is preferably part of an already existing cyclic message (for example, bit that is set active 10 times) which is sent on all vehicle networks (CAN, FlexRay, Ethernet), which is represented in FIG. 1 by the data bus 11. The position of the signals can be taken from the corresponding data definition.
Ein Steuergerät 12, in dem personenbezogene Benutzerdaten 15 gespeichert sind, löscht diese nach Empfang des Löschbefehls 17 selbständig, ohne eine Bestätigung zu senden, der Empfang der Botschaft wird jedoch bevorzugt mittels einer Quittiernachricht 19 quittiert. A control device 12, in which personal user data 15 is stored, automatically deletes these after receiving the delete command 17 without sending a confirmation; however, receipt of the message is preferably acknowledged by means of an acknowledgment message 19.
Die aktuell eingestellte Konfiguration wird durch den Empfang eines Löschbefehls gemäß einer Ausführungsform nicht verändert. D.h. es werden nur Benutzerdaten, aber keine Konfigurations- oder Einstellungsdaten verändert. According to one embodiment, the currently set configuration is not changed by the receipt of a delete command. I.e. only user data, but no configuration or setting data are changed.
Die Generierung des Löschbefehls 17 kann wie folgt vorgesehen sein. Ein Löschbefehl 17 für personenbezogene Benutzerdaten wird bevorzugt nur bei .Klemme 15 ein' (Zündung ein) akzeptiert. Der Löschbefehl 17 wird bevorzugt nach dem Einschalten der .Klemme 15‘ frühestens nach 30 Sekunden gesendet, damit die Empfänger aktiv sind. Zur Aktivierung des Löschbefehls stehen je nach Fahrzeugvariante die folgenden Varianten zur Verfügung: a) Explizite Bedienhandlung: The generation of the delete command 17 can be provided as follows. A deletion command 17 for personal user data is preferably only accepted with .Klemme 15 on '(ignition on). The delete command 17 is preferably sent after switching on the .Klemme 15 ‘after 30 seconds at the earliest, so that the receivers are active. The following variants are available for activating the delete command, depending on the vehicle variant: a) Explicit operating action:
Eine speziell dafür definierte Bedienhandlung (gleichzeitiges Drücken verschiedener Tasten oder eine separate Taste) wird als zentraler Löschbefehl für personenbezogene Daten interpretiert und vom Gateway auf allen Netzwerken ausgesendet. b) Menüeintrag: A specially defined operating action (simultaneous pressing of different buttons or a separate button) is interpreted as a central delete command for personal data and sent out by the gateway on all networks. b) Menu entry:
Ein neu zu definierender Menüeintrag im MIB/HMI enthält ein Auswahlmenü zur Löschung personenbezogener Daten, das der Kunde per Checkbox aktivieren kann. Nach Auswahl dieser Checkbox wird der Löschbefehl gesendet. c) Automatisches Löschen: A new menu entry to be defined in the MIB / HMI contains a selection menu for deleting personal data, which the customer can activate using a checkbox. After selecting this checkbox, the delete command is sent. c) Automatic deletion:
Nach Beendigung der Nutzungsdauer (z.B. berechtigte Mietwagennutzung) werden automatisch die personenbezogenen Daten gelöscht. Dazu wird das Gateway von der Fahrberechtigung bzw. Zutrittsberechtigung über das Ende der Nutzungsdauer informiert. d) Diagnosebefehl: After the end of the period of use (e.g. authorized use of the rental car), the personal data is automatically deleted. For this purpose, the gateway is informed of the end of the service life by the driving authorization or access authorization. d) Diagnostic command:
Ein in der Diagnose definierter und dem Steuergerät über Diagnosebefehle mitgeteilter „RESET-Zustand“ führt zum Löschen personenbezogener Daten. In Fahrzeugen mit Onboardtester-Funktionalität wird dieser Befehl auch vom Onboardtester versendet. A "RESET state" defined in the diagnosis and communicated to the control unit via diagnosis commands leads to the deletion of personal data. In vehicles with onboard tester functionality, this command is also sent by the onboard tester.
Eine mögliche Signalzuordnung für eine Busnachricht kann wie folgt aussehen (Realisierungsvorschlag einer Botschaftsbelegung): A possible signal assignment for a bus message can look like this (implementation proposal for a message assignment):
Botschaft: Systeminfo_01 Message: Systeminfo_01
Identifier [hexadezimal]: 0x585 Identifier [hexadecimal]: 0x585
Identifier [dezimal]: 1413 Identifier [decimal]: 1413
Protokoll: Classical/FD Protocol: Classical / FD
Botschaftslänge: 8 Message length: 8
Zykluszeit normal [ms]: 1000 Normal cycle time [ms]: 1000
Zykluszeit schnell [ms]: [leer] Fast cycle time [ms]: [empty]
Inhibitzeit [ms]: 10 Inhibition time [ms]: 10
StartDelay [ms]: 0 StartDelay [ms]: 0
Botschaftstyp: Application Message type: Application
GenMsgSendType: cyclic (zyklisch) GenMsgSendType: cyclic (cyclic)
GenMsgNrOfRepetition: [leer] GenMsgNrOfRepetition: [empty]
Signal: Sl_xxx Signal: Sl_xxx
StartByte: 4 StartByte: 4
StartBit: 7 StartBit: 7
Zunächst setzt die Lösung das Vorhandensein eines Datennetzwerkes im Fahrzeug voraus, welches z.B. durch CAN, Ethernet oder LIN realisiert ist. Ein Löschbefehl stellt eine Busnachricht oder ein Datum dar, das auf dem gesamten Bussystem gesendet wird und von allen Steuergeräten empfangen wird, bewirkt das Zurücksetzen aller Steuergeräte in den Auslieferungszustand, d.h. alle Daten die nach der Auslieferung an den Käufer gespeichert werden, z.B. Telefonnummern, Reiseziele, Sitzpositionen (Memeorysitz).First of all, the solution requires the existence of a data network in the vehicle, which is implemented, for example, by CAN, Ethernet or LIN. A delete command represents a bus message or a date that is sent on the entire bus system and received by all control units, causes all control units to be reset to the delivery status, ie all data stored after delivery to the buyer e.g. telephone numbers, travel destinations, seating positions (memeory seat).
Spiegeleinstellungen (Memoryfunktion), werden in den Auslieferungszustand zurückgesetzt. Das heutige zurücksetzen auf Werkseinstellungen im Infotainment wirkt nur im Zentralrechner des Infotainmentsteuergerätes. Das Auslösen eines zentralen Löschbefehls mittels eines Werkstatttesters ist mit einem Werkstattbesuch verbunden. Es soll aber mit einer einzigen Bedienhandlung im Fahrzeug sicher gestellt werden, dass alle Steuergeräte des Fahrzeugs in den Werkszustand zurückgesetzt werden. Dazu kann entweder der Zentralrechner so erweitert werden, dass er einen Befehl auf einem Datenbus sendet, der in allen Steuergeräten das Zurücksetzen bewirkt, sobald der Menüpunkt aufgerufen wird. Eine weitere Möglichkeit besteht darin, dass man einen solchen Befehl in die Multifunktionsanzeige (Bordcomputer) aufnimmt und mittels der dafür vorgesehenen Bedienelemente wie Lenkstockschalter oder Lenkradschalter durch das Menü der Multifunktionsanzeige scrollt und dort diesen Befehl auswählt. Dies bewirkt dann das Senden des Löschbefehls 17 durch den Bordcomputer auf allen Bussystemen und eine entsprechendes Zurücksetzen aller Steuergeräte. Eine weitere Ausführung wäre eine eigens dafür geschaffene Bedienstelle, z.B. ein Taster, dessen Position von einem Steuergerät des Netzverbunds ausgelesen wird und der ebenfalls das Senden des Rücksetzbefehls bewirkt. Mirror settings (memory function) are reset to the delivery status. Today's reset to factory settings in the infotainment only works in the central computer of the infotainment control unit. The triggering of a central delete command by means of a workshop tester is associated with a workshop visit. However, it should be ensured with a single operator action in the vehicle that all control units of the vehicle are reset to the factory state. For this purpose, the central computer can either be expanded so that it sends a command on a data bus that causes all control units to be reset as soon as the menu item is called up. Another possibility is to include such a command in the multifunction display (on-board computer) and scroll through the menu of the multifunction display using the operating elements provided for this, such as the steering column switch or steering wheel switch, and select this command there. This then causes the on-board computer to send the delete command 17 on all bus systems and a corresponding reset of all control units. A further design would be a specially created control point, e.g. a button, the position of which is read out by a control unit of the network and which also causes the reset command to be sent.
Folgende Elemente können dafür notwendig sein: The following elements may be necessary for this:
1. die Definition eines Rücksetzbefehls auf den Bussystemen 1. the definition of a reset command on the bus systems
2. Die Akzeptanzfilter aller Steuergeräte müssen diesen Befehl empfangen und mittels einer geeigneten SW-Routine die notwendigen Daten löschen. 2. The acceptance filters of all control units must receive this command and delete the necessary data using a suitable software routine.
3. Ein ggf. vorhandenes Gatewaysteuergerät muss diesen Befehl auf alle Bussysteme durchrouten 4. einbringen einer Bedienstelle 3. Any existing gateway control device must route this command to all bus systems. 4. Introduce a control point
Das Auslösen des Löschbefehls z.B. durch den Fahrer, dazu müssen nicht einzelne Steuergeräte ausgewählt werden. Eine zentrale Bedienung löst eine Löschung (Zurücksetzen in Werkszustand) aller persönlichen Daten in allen Steuergeräten aus. The triggering of the delete command e.g. by the driver, there is no need to select individual control units. Central operation triggers the deletion (reset to factory settings) of all personal data in all control units.
Eine definierte Bedienhandlung oder ein Menüpunkt im zentralen Display oder im Infotainment löst den Löschbefehl aus. Ein automatisiertes Löschen nach Ende der Nutzung ist ebenfalls möglich. A defined operating action or a menu item in the central display or in the infotainment triggers the delete command. Automated deletion after the end of use is also possible.
Der Löschvorgang kann vom Fahrzeugnutzer selbstbestimmt ausgelöst werden. Insgesamt zeigt das Beispiel, wie durch die Erfindung ein globaler (fahrzeugweiter) Reset aller Datenspeicher mit personenbezogenem Inhalt auf eine Werkseinstellung bereitgestellt werden kann. The deletion process can be initiated by the vehicle user. Overall, the example shows how the invention can provide a global (vehicle-wide) reset of all data memories with personal content to a factory setting.
Bezugszeichenliste Kraftfahrzeug List of reference symbols motor vehicle
Datenbus Data bus
Steuergerät Control unit
Auslöseeinrichtung Release mechanism
Gateway Gateway
Benutzerdaten User data
Auslösebedingung Trigger condition
Löschbefehl Delete command
Löschroutine Deletion routine
Quittiernachricht Acknowledgment message

Claims

Patentansprüche Claims
1. Verfahren zum Entfernen von benutzerspezifischen und/oder fahrtenspezifischen Benutzerdaten (15), welche in einem Kraftfahrzeug (10) auf mehrere Steuergeräte (12) aufgeteilt gespeichert sind, wobei 1. A method for removing user-specific and / or trip-specific user data (15) which are stored in a motor vehicle (10) divided among several control units (12), wherein
eine Auslöseeinrichtung (13) bereitgestellt wird und die Auslöseeinrichtung (13) über prüft, ob eine Auslösebedingung (16) erfüllt ist und, falls die Auslösebedingung (16) erfüllt ist, über einen Datenbus (11) des Kraftfahrzeugs (10) ein vorbestimmter gemein samer Löschbefehl (17) an die mehreren Steuergeräte (12) des Kraftfahrzeugs (10) ausgesendet wird und a triggering device (13) is provided and the triggering device (13) checks whether a triggering condition (16) is met and, if the triggering condition (16) is met, a predetermined common data bus (11) of the motor vehicle (10) The delete command (17) is sent to the multiple control units (12) of the motor vehicle (10) and
jedes der Steuergeräte (12) in dem Fall, dass es den Löschbefehl (17) aus dem Daten bus (11) empfängt, eine vorbestimmte Löschroutine (18) durchführt, durch welche die in dem jeweiligen Steuergerät (12) gespeicherten Benutzerdaten (15) überschrieben und/oder gelöscht werden. each of the control devices (12), in the event that it receives the delete command (17) from the data bus (11), carries out a predetermined delete routine (18) which overwrites the user data (15) stored in the respective control device (12) and / or deleted.
2. Verfahren nach Anspruch 1 , wobei durch die Löschroutine (18) in einem oder einigen oder jedem der Steuergeräte (12) jeweils ein Werkszustand wieder hergestellt wird. 2. The method according to claim 1, wherein by the deletion routine (18) in one or some or each of the control devices (12) a factory state is restored.
3. Verfahren nach einem der vorhergehenden Ansprüche, wobei die Auslöseeinrichtung (13) eine für einen Benutzer zugänglich gehaltene Bedieneinrichtung umfasst und die Auslösebedingung (16) umfasst, dass über die Bedieneinrichtung eine vorbestimmte Bedienhandlung des Benutzers empfangen wird. 3. The method according to any one of the preceding claims, wherein the triggering device (13) comprises an operating device kept accessible to a user and the triggering condition (16) comprises that a predetermined operating action from the user is received via the operating device.
4. Verfahren nach Anspruch 3, wobei die Bedieneinrichtung 4. The method according to claim 3, wherein the operating device
einen mechanischen Schalter oder ein Bedienelement einer graphischen Benutzerober fläche umfasst und/oder comprises a mechanical switch or an operating element of a graphical user interface and / or
einen Lenkstockschalter eines Lenkrads, welcher durch eine Multifunktionsanzeige betrieben wird, umfasst und/oder a steering column switch of a steering wheel, which is operated by a multifunction display, comprises and / or
ein Bedienelement umfasst, das mit zumindest einer von dem Auslösen des Löschbe fehls (17) verschiedenen Bedienfunktion belegt ist, und die Bedienhandlung eine vorbe stimmte Abfolge von Bedienschritten umfasst, durch welche die zumindest eine Bedien funktion unausgelöst bleibt, und/oder comprises an operating element that is assigned at least one operating function different from the triggering of the delete command (17), and the operating action comprises a predetermined sequence of operating steps through which the at least one operating function remains untriggered, and / or
ein Internetportal zum Bedienen des Kraftfahrzeugs (10) von einem Internetzugang aus umfasst. an internet portal for operating the motor vehicle (10) from an internet access.
5. Verfahren nach einem der vorhergehenden Ansprüche, wobei das Auslösekriterium (16) umfasst, dass eine vorbestimmte Nutzungsdauer des Kraftfahrzeugs (10) endet und/oder ein durch eine Fahrzeugsicherungseinrichtung signalisierter Ablauf einer Nut zungsberechtigung des Kraftfahrzeugs (10) vorliegt. 5. The method according to any one of the preceding claims, wherein the triggering criterion (16) includes that a predetermined period of use of the motor vehicle (10) ends and / or there is an expiry of a usage authorization of the motor vehicle (10) signaled by a vehicle security device.
6. Verfahren nach einem der vorhergehenden Ansprüche, wobei die Benutzerdaten (15) jeweils einer aus mehreren vorbestimmten Sicherheitsstufen zugeordnet sind und die Auslösebedingung (16) mehrere unterschiedliche Löschstufen definiert, die jeweils angeben, für welche Sicherheitsstufe die Löschroutine (18) durchgeführt werden soll, und durch die Löschroutine (18) alle durch die Löschstufe ausgewählten Benutzerdaten (15) gelöscht werden. 6. The method according to any one of the preceding claims, wherein the user data (15) are each assigned to one of several predetermined security levels and the trigger condition (16) defines several different deletion levels, each of which indicates the security level for which the deletion routine (18) is to be carried out, and all user data (15) selected by the deletion stage are deleted by the deletion routine (18).
7. Verfahren nach einem der vorhergehenden Ansprüche, wobei der Löschbefehl (17) mehrfach ausgesendet wird. 7. The method according to any one of the preceding claims, wherein the delete command (17) is sent out several times.
8. Verfahren nach einem der vorhergehenden Ansprüche, wobei durch jedes der Steuergeräte (12) eine Quittiernachricht in den Datenbus (11) ausgesendet wird, falls der Löschbefehl (17) empfangen und/oder die Löschroutine (18) durchgeführt wurde, und die Auslöseeinrichtung oder eine vorbestimmte Rechnereinheit anhand von über den Datenbus empfangenen Quittiernachrichten (19) und einer Liste der Steuergeräte8. The method according to any one of the preceding claims, wherein an acknowledgment message is sent out into the data bus (11) by each of the control devices (12) if the delete command (17) has been received and / or the delete routine (18) has been performed, and the triggering device or a predetermined computer unit based on acknowledgment messages (19) received via the data bus and a list of the control devices
(12) überprüft, ob jedes der Steuergeräte eine Quittiernachricht (19) ausgesendet hat, und bei Fehlen der Quittiernachricht (19) zumindest eines der Steuergeräte (12) ein Hinweissignal an den Benutzer ausgibt. (12) checks whether each of the control devices has sent out an acknowledgment message (19), and if the acknowledgment message (19) is missing, at least one of the control devices (12) outputs a notification signal to the user.
9. Verfahren nach einem der vorhergehenden Ansprüche, wobei zumindest ein Gateway (14) des Datenbusses (11) den Löschbefehl (17) in mehrere unterschiedliche Buszweige hinein routet. 9. The method according to any one of the preceding claims, wherein at least one gateway (14) of the data bus (11) routes the delete command (17) into several different bus branches.
10. Kraftfahrzeug (10) mit mehreren Steuergeräten (12), die jeweils dazu eingerichtet sind, während eines Betriebs des Kraftfahrzeugs (10) personenbezogene und/oder fahrtenbe zogene Benutzerdaten (15) zu erzeugen und zu speichern, wobei die Steuergeräte (12) über einen drahtgebundenen Datenbus (11) mit einer Auslöseeinrichtung (13) gekoppelt sind und in dem Kraftfahrzeug (10) die Steuergeräte (12) und die Auslöseeinrichtung10. Motor vehicle (10) with a plurality of control units (12) which are each configured to generate and store personal and / or travel-related user data (15) during operation of the motor vehicle (10), the control units (12) via a wired data bus (11) are coupled to a release device (13) and the control units (12) and the release device in the motor vehicle (10)
(13) dazu eingerichtet sind, ein Verfahren nach einem der vorhergehenden Ansprüche durchzuführen. (13) are set up to carry out a method according to one of the preceding claims.
EP20729641.9A 2019-05-15 2020-05-13 Method for removing user-specific and/or drive-specific user data in a motor vehicle, and corresponding motor vehicle Pending EP3969996A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102019207074.4A DE102019207074A1 (en) 2019-05-15 2019-05-15 Method for removing user-specific and / or journey-specific user data in a motor vehicle and the associated motor vehicle
PCT/EP2020/063245 WO2020229500A1 (en) 2019-05-15 2020-05-13 Method for removing user-specific and/or drive-specific user data in a motor vehicle, and corresponding motor vehicle

Publications (1)

Publication Number Publication Date
EP3969996A1 true EP3969996A1 (en) 2022-03-23

Family

ID=70921991

Family Applications (1)

Application Number Title Priority Date Filing Date
EP20729641.9A Pending EP3969996A1 (en) 2019-05-15 2020-05-13 Method for removing user-specific and/or drive-specific user data in a motor vehicle, and corresponding motor vehicle

Country Status (5)

Country Link
US (1) US20220234574A1 (en)
EP (1) EP3969996A1 (en)
CN (1) CN113841113A (en)
DE (1) DE102019207074A1 (en)
WO (1) WO2020229500A1 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022251020A1 (en) * 2021-05-24 2022-12-01 Termson Management Llc Device management and configuration
US11827213B2 (en) * 2021-10-01 2023-11-28 Volvo Truck Corporation Personalized notification system for a vehicle
DE102022109324A1 (en) 2022-04-14 2023-10-19 Bayerische Motoren Werke Aktiengesellschaft Method and device for protecting user-specific data
EP4362390A1 (en) * 2022-10-27 2024-05-01 Bayerische Motoren Werke Aktiengesellschaft Method for maintaining a storage resource, apparatus, vehicle, computer program

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8116682B2 (en) * 2009-09-25 2012-02-14 Tang-Hsien Chang Near field communcation device
DE102010030794A1 (en) * 2010-07-01 2012-01-05 Bayerische Motoren Werke Aktiengesellschaft Method for processing data in one or more control units of a vehicle, in particular of a motor vehicle
US20130159230A1 (en) * 2011-12-15 2013-06-20 Toyota Infotechnology Center Co., Ltd. Data Forgetting System
US9363085B2 (en) * 2013-11-25 2016-06-07 Seagate Technology Llc Attestation of data sanitization
US9716762B2 (en) 2014-03-31 2017-07-25 Ford Global Technologies Llc Remote vehicle connection status
US9323546B2 (en) 2014-03-31 2016-04-26 Ford Global Technologies, Llc Targeted vehicle remote feature updates
US9325650B2 (en) 2014-04-02 2016-04-26 Ford Global Technologies, Llc Vehicle telematics data exchange
US9817838B2 (en) * 2015-02-26 2017-11-14 General Motors Llc Purging user data from vehicle memory
SE1750416A1 (en) * 2017-04-05 2018-01-29 Scania Cv Ab Methods and control unit for factory reset of a vehicle
US20200098049A1 (en) * 2018-09-21 2020-03-26 Ford Global Technologies, Llc Securing a vehicle on owner change

Also Published As

Publication number Publication date
WO2020229500A1 (en) 2020-11-19
DE102019207074A1 (en) 2020-11-19
CN113841113A (en) 2021-12-24
US20220234574A1 (en) 2022-07-28

Similar Documents

Publication Publication Date Title
EP3969996A1 (en) Method for removing user-specific and/or drive-specific user data in a motor vehicle, and corresponding motor vehicle
EP2425333B1 (en) Method to update software components
EP3368379B1 (en) Control device update in a motor vehicle
WO2012000751A1 (en) Method for processing data in one or more control devices of a vehicle, particularly of a motor vehicle
EP3332348B1 (en) Method for operating a motor vehicle, and system for operating a motor vehicle
DE102015110941A1 (en) Controlling access to a vehicle user interface
DE10326287A1 (en) Vehicle communication system that initializes an abnormal control unit
DE112018006323T5 (en) On-board update device, program and method for updating a program or data
DE102006031726B4 (en) Method for providing information about a vehicle and vehicle data transmission device
DE102020104551A1 (en) BACKUP AND RESTORE A VEHICLE CONTROL CONFIGURATION USING DATA SNAPSHOTS
EP3821627B1 (en) Method for controlling a data interchange between a control device of a motor vehicle and an external device, control device for a motor vehicle and motor vehicle having such a control device
DE102016224155A1 (en) Method for operating a motor vehicle locking system for a motor vehicle and central server device for a motor vehicle
WO2020002155A1 (en) Method for securing vehicle components and corresponding vehicle component
DE102015226147B4 (en) Method, processor device, motor vehicle with such a processor device and telematics system for the automatic configuration of telematic data transmissions of the motor vehicle
WO2020126880A1 (en) Method for deactivating a motor vehicle, deactivation system for a motor vehicle, and motor vehicle
WO2020074324A1 (en) Method for operating a control device for a motor vehicle, control device for a motor vehicle, and motor vehicle having such a control device
WO2018197135A1 (en) Method for reparking a vehicle
DE102018203178A1 (en) Method and control device for determining at least one event data record of a triggering event in a motor vehicle and motor vehicle
DE102020007310A1 (en) Method for providing and installing software updates for a vehicle
EP2705992A1 (en) Method for monitoring a parking position of a vehicle
DE102009005613A1 (en) Arrangement for control of vehicle functions, has module or tracking module formed to prevent execution of vehicle functions when examination of validity of identification indicates invalid identification
DE10143556A1 (en) Vehicle management system, undertakes authorization testing when data access is attempted from control locations
DE102019212343B4 (en) Method for operating a mobile terminal, communication device, motor vehicle
DE102009052322A1 (en) Method for anti-theft protecting motor vehicle, involves connecting monitoring unit to wireless network for monitoring vehicle, where vehicle is not connected with wireless network, when alarm is detected by monitoring unit
DE102015225793A1 (en) Method for preventing deactivation of online services in a vehicle

Legal Events

Date Code Title Description
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: UNKNOWN

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE INTERNATIONAL PUBLICATION HAS BEEN MADE

PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE

17P Request for examination filed

Effective date: 20211215

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

DAV Request for validation of the european patent (deleted)
DAX Request for extension of the european patent (deleted)
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: EXAMINATION IS IN PROGRESS

17Q First examination report despatched

Effective date: 20230712