JP2004005506A - データ伝送方法およびデータ伝送装置 - Google Patents

データ伝送方法およびデータ伝送装置 Download PDF

Info

Publication number
JP2004005506A
JP2004005506A JP2003081332A JP2003081332A JP2004005506A JP 2004005506 A JP2004005506 A JP 2004005506A JP 2003081332 A JP2003081332 A JP 2003081332A JP 2003081332 A JP2003081332 A JP 2003081332A JP 2004005506 A JP2004005506 A JP 2004005506A
Authority
JP
Japan
Prior art keywords
control device
data transmission
program data
flash
vehicle
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003081332A
Other languages
English (en)
Inventor
Andreas Fritz
アンドレアス フリッツ
Bernd Oeffinger
ベルント エフィンガー
Michael Sorg
ミヒャエル ゾルク
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mercedes Benz Group AG
Original Assignee
DaimlerChrysler AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by DaimlerChrysler AG filed Critical DaimlerChrysler AG
Publication of JP2004005506A publication Critical patent/JP2004005506A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/572Secure firmware programming, e.g. of basic input output system [BIOS]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/65Updates
    • G06F8/654Updates using techniques specially adapted for alterable solid state memories, e.g. for EEPROM or flash memories

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Stored Programmes (AREA)
  • Programmable Controllers (AREA)
  • Combined Controls Of Internal Combustion Engines (AREA)

Abstract

【課題】制御装置による自動車でのプログラムデータの伝送方法および装置において、従来技術の欠点を回避し、とりわけ自動車の安全な動作が自動的に保証されるように構成することである。
【解決手段】制御装置により当該制御装置に対して所定の、プログラムデータに依存しないプログラムデータ伝送状況が存在するか否かを検査した後に初めて、当該制御装置はプログラムデータを受け取るプログラムデータ伝送状態に移行する。
【選択図】   図1

Description

【0001】
【発明の属する技術分野】
本発明は、データ(ソフトウエアダウンロード)を制御装置、とりわけ自動車の制御装置により伝送するための方法および装置に関し、ここでは車両の確実な動作が保証される。
【0002】
【従来の技術】
プログラムデータを制御装置により伝送することはフラッシュとも称される。制御装置によるフラッシュの利点は、欠陥のある制御装置を必ずしも交換しなくて良いことである。フラッシュにより新たなソフトウエアまたはデータを引き渡すことのできる制御装置を実現することによって、欠陥のある制御装置をソフトウエア更新によって修復し、また新たな機能を制御装置に実現することができ、しかもその際に制御装置を交換する必要がない。しかし制御装置に対してフラッシュ可能性を導入することにより、制御装置により伝送されるプログラムデータの安全性に関して、およびプログラムデータの伝送プロセス自体の安全性に関して問題が生じる。第1の安全性問題から、権限のない第3者が改ざんしたソフトウエアを制御装置に侵入させ、これにより車両ユーザに損害を被らせることをどのように阻止できるかという問いが生じる。プログラムデータの伝送プロセスの安全性に関しては、フラッシュ過程を許容し、例えば制御装置が車両動作中にその機能に依存して必ずしもフラッシュ過程を許容しないようにするには制御装置がどのような状態になければならないかという問題がある。
【0003】
フラッシュプロセス時には、制御装置の機能に応じて種々異なる結果を引き起こすエラーが発生し得る。フラッシュによって制御装置の所定の機能が故障すれば、この制御装置は最悪の場合、乗客の安全性を脅かす。従ってソフトウエアを車両制御装置でフラッシュする際には、通信区間またはデータ担体を介してフラッシュにより危険性が生じないように確実に行うことが必要である。
【0004】
DE10008974A1は、自動車の制御装置に対してソフトウエアのデータ完全性を保証する方法を開示している。ここでは署名の付されたプログラムデータが制御装置で真性について検査され、それからデータが許容される。この方法は単に、データが権限のない第3者により制御装置にプログラミングされることを防止するだけである。ソフトウエア自体の安全性についての問題は解決されない。
【0005】
DE19921845A1は、プログラムデータを自動車の制御装置にプログラミングする方法を開示する。ここでは、診断検査装置により制御装置において、どのプログラムバージョンが制御装置に存在しており、このプログラムバージョンを場合より新たなバージョンによって置換すべきかが問い合わされる。この方法は、適合するプログラムデータだけが制御装置にプログラミングされることを保証する。
【0006】
データを制御装置に伝送するための従来の方法の欠点は、以下の制限である。
【0007】
・フラッシュ中に安全な車両状態が自動的には保証されない。従ってこの方法はプログラムデータを自動車工場の外で、例えば車両の動作中にフラッシュするには適さない。
【0008】
・この方法は、フラッシュされた制御装置の機能正常性が維持されることを保証しない。
【0009】
・どの動作状態に制御装置ないしは車両がフラッシュ過程の実行のために存在していなければならないかを指示しない。フラッシュ過程の実行が運転者ないし車両の安全性を脅かし得る状態にある場合には制御装置がフラッシュプロセスを拒否しなければならないことを考慮していない。
【0010】
・制御装置がその安全関連性について自動的に細分化することは行わない。このことによりすべての制御装置のフラッシュに対して同じコストが発生する。なぜなら安全性に関連しない制御装置にも安全性に関連する制御装置と同じ高いコストがかかり、回避できるコストが発生する。
【0011】
【特許文献1】
DE10008974A1
【特許文献2】
DE19921845A1
【0012】
【発明が解決しようとする課題】
本発明の課題は、制御装置による自動車でのプログラムデータの伝送方法および装置において、従来技術の欠点を回避し、とりわけ自動車の安全な動作が自動的に保証されるように構成することである。
【0013】
【課題を解決するための手段】
この課題は、制御装置により当該制御装置に対して所定の、プログラムデータに依存しないプログラムデータ伝送状況が存在するか否かを検査した後に初めて、当該制御装置はプログラムデータを受け取るプログラムデータ伝送状態に移行することにより解決される。
【0014】
【発明の実施の形態】
本発明の基本技術思想は、制御装置自体によって、この制御装置の機能の安全性に必要な状況の存在を、プログラムデータの伝送時に検査できることである。この条件を以下、プログラムデータ伝送状況と称する。このプログラムデータ伝送状況とは、種々の制御装置を安全性クラス(セーフティクラス)に分類することによって設定される条件である。
【0015】
制御装置をセーフティクラスに分類することは車両ないし制御装置の動作状態に従って行われる。この動作状態ではフラッシュ過程を実行することができる。制御装置がこのセーフティクラスの1つに分類されると、このことにより、どの動作状態で制御装置がフラッシュプロセスを許容しても良いか、どの動作状態で制御装置がフラッシュプロセスを拒否しなければならないかが正確に示される。フラッシュプロセスの前に制御装置により実行すべき検査が行われる。制御装置にフラッシュの希望が通知されると、すなわちプログラムデータ伝送問い合わせが制御装置に出力されると、この制御装置は自分のセーフティクラスに依存して、フラッシュプロセスを許容しても良い状態にあるか、または許容してはならない状態にあるかを検査する。この決定に基づき、制御装置はプログラムデータ伝送状態、すなわち状態「フラッシュ」に変化し、プラッシュプロセスを実行することができるようになる。またはフラッシュ希望に対してエラー通報を以て応答する。制御装置がプログラムデータ伝送状態に変化すると、プログラムデータは、プログラムデータを準備したデータ出力個所から制御装置へ伝送され、制御装置はプログラムデータを受け取る。
【0016】
ソフトウエアダウンロードの実行前に、制御装置のセーフティクラス分類により設定されたプログラムデータ伝送状況が存在するか否かが制御装置により検査される。有利にはプログラムデータの送信器によっても、すなわちデータ出力個所によっても、該当する制御装置に対して所定のプログラムデータ伝送状況が存在するか検査される。制御装置およびデータ出力個所により検査すべきプログラムデータ伝送状況は有利には同じである。どのプログラムデータ伝送状況が存在しなければならないかという確定は有利には制御装置のセーフティクラス分類の問い合わせにより行うことができる。制御装置のセーフティクラス分類は制御装置に記憶することができる。
【0017】
本発明の方法の有利な実施形態では、制御装置によりプログラムデータ伝送個所の検査結果が問い合わされる。この問い合わせは、制御装置に対して存在するプログラムデータ伝送状況が存在するか否かの検査の一部を置換することもできる。これにより有利には制御装置の技術的構成において節約の可能性が生じる。
【0018】
セーフティクラス分類に相応するプログラムデータ伝送状況への1つまたは複数の要求が瞬時の状況と一致しなければ、ソフトウエアダウンロードは制御装置により拒絶されるか、および/またはソフトウエアはデータ出力個所により準備されない。所定のプログラムデータ伝送状況が存在しなければ、伝送すべきプログラムデータはデータ出力個所に、適合する状況が制御装置によりアクティブになるまで中間記憶される。続いてソフトウエアダウンドロードを実行することができる。ソフトウエアダウンロードの間は、制御装置および/またはデータ出力個所により所定のプログラムデータ伝送状況が存在したままとなることが保証される。例えば機関の始動を阻止することができる。ソフトウエアダウンロードの間に、制御装置とテスタおよび/またはデータ伝送コントロールセンタ(センタ)との間に通信接続が存在すれば、プログラムデータ伝送状態は制御装置により、センタから出力されたデータ伝送終了命令が制御装置により受信されて初めて終了される。
【0019】
セーフティクラスの設定のために有利にはプログラムデータ伝送状況への以下の影響要因が考慮される:
・データ伝送経路(フラッシュ経路)、例えばフラッシュが無線接続(エアインタフェース)を介するか。
【0020】
・車両状態、例えば車両が動作中であるか否か。
【0021】
・フラッシュデータの形式、
・伝送すべき制御装置プログラム(フラッシュウエア)の初期化、そして
・伝送すべきプログラムデータにより上書きすべきおよび/または補充すべき古いプログラムデータの制御装置プログラム保安手段(バックアップ手段)。
【0022】
従って、伝送すべきプログラムデータの認証および完全性に対する要求の他に存在するこのプログラムデータ伝送状況はプログラムデータに依存する状況である。認証とは、プログラムデータが権限のあるソースから発したという保証であると理解されたい。データの完全性とは、データが改ざんされていないことおよび/または制御装置によりエラー無しで受け取られたことを意味する。完全性と認証を保証するために、付加的に本発明の方法では従来技術から公知の方法が適用可能である。有利にはプログラムデータの認証検査は制御装置またはデータ出力個所によって実行される。このためには例えばDE10008974A1に開示された方法が適する。プログラムデータの認証検査はここでは、署名を公開鍵によって検査することにより行われる。ここではプログラムデータを暗号化および解読するための鍵ペアを使用することができ、この鍵ペアは秘密鍵と公開鍵からなる。プログラムデータは秘密鍵により保安されている。ここで公開鍵は有利には制御装置、例えばブートセクタ内にファイルされる。
【0023】
本発明の方法と、この方法を実施するための装置によって、従来技術の欠点が回避される。とりわけ以下の利点が実現される:
・制御装置へのソフトウエアダウンロードが、人物および物品を脅かすことなしに、例えば通信区間またはデータ担体により可能である。
【0024】
・本発明によりソフトウエアの確実なフラッシュが工場の外でも、すなわち車両の使用中であっても可能である。
【0025】
・面倒なフラッシュ法は安全性に関連する制御装置に対してだけ使用される。ここからコスト節約の可能性が産まれる。
【0026】
【実施例】
本発明および本発明の有利な実施例を図面と表に基づき説明する。
【0027】
図1には、本発明のデータ伝送システムの構造と、本発明の方法を実施するためのシステムの素子が示されている。図示の制御装置50は図2の表に示されたセーフティクラスのSK2とSK3に分類される。なぜなら、プログラムデータ伝送プロセスはプログラムデータ伝送コントロールセンタ10により監視およびコントロール8されるからである。制御装置によるプログラムデータの伝送は有利には、プログラムデータ伝送個所9から制御装置へのプログラムデータ伝送問い合わせ11の出力により開始される。プログラムデータ伝送個所は車両の外に存在しても良い。次に通信が例えば無線接続を介してまたは光学的伝送によって実行される。プログラムデータ伝送個所は車両構成部材として構成することもできる。この場合、通信は例えば車両データバスを介して行われる。伝送すべきプログラムデータは外部ソース、例えばコンパクトディスクから、プログラムデータ伝送個所により読出すことができる。プログラムデータ伝送問い合わせを受け取ると、制御装置は自分のセーフティクラスに対する所定のプログラムデータ伝送状況31〜35が存在するか否かの検査を開始する。
【0028】
このために制御装置のセーフティクラス1は制御装置のプログラムデータメモリ2にファイルすることができ、どのようなプログラムデータ伝送状況が存在しなければならないかを検出するために読出す20ことができる。セーフティクラスのプログラムデータ伝送状況への割り当ては例えば、図2に示したテーブルを介した結合により行うことができる。これの利点は、検査を制御するために使用されるソフトウエアを制御装置に対し、種々異なる形式で使用できることである。プログラムデータ伝送状況を検査する102ために、制御装置には所定のプログラムデータ伝送状況を検査6するための手段が設けられている。この手段の有利な形態は図3の表に示されている。図示の実施形態ではさらにプログラムデータ伝送状況、すなわち「テスタまたはデータ伝送コントロールセンタとの通信接続」101が存在するか否かが検査される。この種の通信接続は、制御装置がプログラム伝送状態5へ、例えば制御装置が安全性に関連する場合に移行するための前提である。プログラムデータ出力個所9にも所定のプログラムデータ伝送状況を検査するための手段61が設けられている。
【0029】
図示の実施例では、プログラムデータ出力個所がプログラムデータ伝送状況31,33および35の存在を検査する104。これらのプログラムデータ伝送状況の存在が検出されて初めて、プログラムデータ出力個所はプログラムデータを伝送を準備する。このプログラムデータ伝送状況が存在していなければならないという設定の構成はプログラムデータ出力個所が例えば制御装置に記憶された制御装置のセーフティクラスの問い合わせによって検出することができる。
【0030】
さらにプログラムデータ出力個所のプログラムデータ伝送状況の検査結果の問い合わせが行われる。制御装置が、所定のプログラムデータ伝送状況のすべてが存在することを検出した後、制御装置はプログラム伝送状態へ移行する。制御装置に設けられた、プログラムデータ3の伝送手段は、プログラムデータをプログラムデータ出力個所から伝送することができる7。プログラム伝送の後、有利には伝送されたプログラムデータの認証検査4が実行され、それからこのプログラムデータはプログラムデータメモリ2にさらに転送する40ことができる。
【0031】
図2は、プログラム伝送状況が示された表を示す。このプログラム伝送状況は、制御装置のプログラムデータ伝送のために制御装置の安全クラスに依存して存在していなければならない。制御装置は、制御装置エラー機能が車両の走行安全性に対して及ぼし得る結果に依存してセーフティクラスに分類される。まず制御装置は、その機能が車両の動作安全性に対してクリティカルであるものと、その機能が動作安全性に対して非クリティカルであるものとに区別される。安全技術的観点から、制御装置エラー機能の結果がコントロールできないかまたはコントロールが困難であるかでは区別しない。従って制御装置はフラッシュプロセスを基準にして2つのタイプに分類される:
・どのような条件の下でもフラッシュに起因するエラーが許容されない制御装置。なぜなら乗客または第三者の安全性に関わり得るからである。
【0032】
・フラッシュに起因するエラーが走行安全性に対して深刻な結果とならず、一時的には許容できる制御装置。
【0033】
これに加えてフラッシュしてはならない制御装置もある。3つの上位クラスでの分類は「動作安全性に対してクリティカル」と「動作安全性に対して非クリティカル」の2つの場合にさらにまとめられる。動作安全性に対してクリティカルな制御装置の上位クラスに対しては、3つの異なるセーフティクラスが定義され、これらはフラッシュ経路およびフラッシュ過程の監視可能性によって区別される。動作安全性に対してクリティカルでない制御装置は2つのセーフティクラスに分類される。これは当該の使用者に対して、制御装置がフラッシュプロセス後も機能するか否かである。そこから5つのセーフティクラスSK1からSK5、およびセーフティクラスSK0が生じる。SK0はソフトウエアダウンロードを許容しない制御装置を含む。
【0034】
次に、種々異なるセーフティクラスにある制御装置に対して存在し得るプログラムデータ伝送状況について詳細に説明する。続いてセーフティクラスを、どのようなプログラムデータ伝送状況がそれぞれのセーフティクラスに割り当てられた制御装置に対して満たされなければならないかという設定に関連して説明する。
【0035】
新たなフラッシュデータは種々のインタフェースを介して車両に、そしてフラッシュすべき制御装置に到達する。このデータ伝送経路を以下、フラッシュ経路と称する。後でリストアップするフラッシュ経路は、車両がフラッシュプロセスのために存在していなければならない場所、フラッシュプロセスを制御する人物、およびフラッシュデータが車両に到達するチャネルの伝送特性を記述する。場所および人物はここでは相互に結び付いている。フラッシュプロセスは工場で実行されるならば、フラッシュプロセスを制御する人物はプラッシュプロセスに対して特別に習熟した係員である。この係員は自分の資格に基づいて、発生した状況によりエラーの場合にどのように対処すべきかを知っている。従って、車両ユーザには、工場で実行されたフラッシュ過程の後に完全に機能する車両が引き渡されることを前提にする。
【0036】
フラッシュプロセスが工場の外で行われれば、フラッシュプロセスを制御する人物が、エラーの場合にどのように正しく対処すべきか知っていることを前提にできない。この場合、車両がフラッシュプロセスにエラーがあってもなお完全に機能することを前提にはできない。フラッシュ経路から生じた、フラッシュデータに対する種々の伝送経路の品質は種々の経路の分類に対しては重要でない。種々の経路でのフラッシュプロセスの安全性に対して重要なのは、エラーの発生する頻度ではなく、フラッシュ端末の手段がエラーを識別し、これに応答し、制御装置ないし車両を再び安全で正常機能の状態に戻せるということである。従ってフラッシュ過程を工場で実行する場合には最後の手段として、故障した制御装置を正常に機能する新しいものと交換することができる。この手段を、フラッシュ過程を工場の外で実行する車両ユーザは有していない。ここでは、エラー通報および緊急警報を行っても、車両がエラーのある制御装置により駆動されてしまうという危険性がある。以下では3つのフラッシュ経路W1からW3を分類する。
【0037】
・フラッシュ経路1(W1):テスタを介するフラッシュ
フラッシュプロセスがテスタによって実行されるなら、車両は必然的に工場に存在しなければならない。なぜならそこでだけテスタへのアクセスが可能だからである。フラッシュプロセスはこの経路では習熟した専門家により実行されるか、または習熟した専門家への短期間のアクセス手段が存在する。従って場合により発生するエラーもフラッシュ過程の実行中に識別され、除去することができる。最後の手段としてエラーの場合、故障した制御装置を工場で交換することができ、制御装置の確実な機能性、および車両の確実な機能性を保証することができる。従って工場に預けた後に車両ユーザが危険に曝されることは高く確率を以て除外される。
【0038】
・フラッシュ経路2(W2):車両のCDによる自立的フラッシュ
この経路に対しては車両は工場に存在する必要がない。その代わりに車両ユーザはCDを使用する。このCDにはフラッシュデータ並びにフラッシュ過程に対する情報が記憶されている。このCDは車両ユーザにより、車両にあるCDドライブに挿入される。経路2でのフラッシュプロセスは習熟した専門家により実行されるのではなく、車両ユーザ自身によってトリガされる。従ってフラッシュ過程中に発生したエラーを識別し、または補正できることを前提にはできない。車両ユーザは、制御装置をいずれの場合でも再び正しく機能する状態に戻す手段を有していない。さらに車両ユーザには、エラーを制御装置の交換によって除去する手段も提供されていない。従って車両ユーザがフラッシュプロセスによって使用不可となった制御装置により危険に曝されることをこのフラッシュ経路の場合は除外できない。
【0039】
・フラッシュ経路3(W3):エアインタフェースを介したフラッシュ
この経路は、車両が工場に存在しない場合でも使用することができる。フラッシュデータはセンタまたは車両ユーザの主導の下でエアインタフェースを介して車両にロードされる。フラッシュジョブを介するデータもこのようにして車両に到達する。フラッシュ過程は車両側で習熟した専門家によって実行されるのではなく、車両ユーザ自身によって実行される。
【0040】
従って車両のエラーは識別されないままとなり、除去されない。フラッシュ経路3と同じように、車両ユーザはエラーの場合には一般的にこのエラーを除去し、制御装置を正常機能状態にもたらす手段を有していない。センタの側でフラッシュ過程は中央のサーバシステムにより自動的に、または中央サーバシステムの係員により支援され、監視される。両方の場合ともエラーはフラッシュ過程中にセンタにある適切な診断ツールによって識別できる。エラーを除去する手段はとりわけ伝送媒体によって非常に制限されている。例えば工場では最後の手段とされるエラーのある制御装置の交換は直接的に実行されない。センタは単に自分からサービス技術者を車両に呼び出し、このサービス技術者が問題を除去する。車両ユーザの危険性は完全には除外されない。なぜなら車両ユーザは、制御装置にエラーがあり、場合によりセンタからの警報があっても車両を駆動することができるからである。
【0041】
車両はフラッシュプロセス中に種々異なる状態に置かれる。この状態はフラッシュの手段に対して種々異なる作用を有する。従って制御装置に対しては、車両状態を識別し、および/または他の制御装置により読出すことが可能でなければならない。制御装置はこの情報に依存してデータ伝送状態に変化するか、またはデータ伝送を拒否する。その結果4つの車両状態Z1からZ4が分類される。
【0042】
・車両状態1(Z1):車両にテスタが接続されている
この車両状態では、テスタが車両に接続されており、テスタはソフトウエアダウンロードを相応の診断ツールにより監視することができる。車両の機関がこの状態で始動されるか否かは重要でない。なぜならこの検査を実行するのは習熟した専門家であり、危険性について十分に通知されているからである。さらにこの場所で診断または初期化のために、機関を駆動させることが必要な場合もある。フラッシュを実行する者はテスタに存在するすべての診断ツールを使用することができるから、フラッシュ時に発生するエラーは工場にいる専門家により識別され、相応の対抗手段を取ることのできることを前提とすることができる。車両が工場から戻れば、車両の運転者はすべてのフラッシュプロセスが正常にエラー無しで実行されたことを前提にすることができる。この車両状態はフラッシュ経路W1と結び付いている。
【0043】
・車両状態2(Z2):車両機関が駆動
車両機関が駆動されれば、車両は非常時には運転することができる。従って少なくとも運転者が車両に存在しなければならない。この運転者は、交通状況に注意を向けなければならないので制限されているが、フラッシュプロセスを監視することができる。車両運転者は、工場の専門家とは異なり、フラッシュに対しての教育を受けていない。さらに車両状態2では、テスタが送出する診断データを得ることができない。従ってフラッシュ時のエラーは識別されないままとなるか、または車両ユーザにより除去されない。従ってフラッシュが成功したことを前提にすることはできない。ちょうどフラッシュプロセス中にある制御装置が車両の走行動作に対して必要であれば、この制御装置の故障は重大な結果を招き得る。従って車両状態2はとくにクリティカルなものと推定される。この状態では、車両ネットワークがすでに車両の走行に必要な通信によって負荷されており、制御装置のフラッシュがさらなるネットワーク負荷を形成することも考慮すべきである。車両の安全動作に対して必要なデータ通信はこの状態では、フラッシュプロセスに起因するデータ通信よりも優先される。従って制御装置ないし車両ネットワークは、データ通信を種々異なる優先度により占有する手段を有していなければならない。
【0044】
・車両状態3(Z3):車両機関はオフであり、点火はオンである
車両機関がオフであり、車両の点火がオンされると言うことは、人が車両の点火をスイッチオンしたことであり、この人物がフラッシュ過程の経過を車両で監視するかも知れないが、これを前提することはできない。従ってフラッシュプロセスの監視は、全時間にわたって確実には保証されない。工場での従業員とはことなり、車両運転者はフラッシュプロセスの実行に対して特別の教育は受けていない。運転者は、制御装置の診断データを読出すことのできるテスタを有していない。従ってフラッシュプロセス中にエラーが識別されないことあり得る。エラーがフラッシュ端末で識別された場合でも、このフラッシュ端末が正しくエラーに応答できることは保証されない。車両状態3ではフラッシュプロセスが正しく行われたことを前提にできない。
【0045】
・車両状態4(Z4)車両機関がオフ、点火もオフ
機関も点火もオフであるこの車両状態では、ダウンロードの監視のために車両ユーザが車両に存在することを前提にできない。むしろエアインタフェース(W3)を介するダウンロードの場合には、制御装置のフラッシュが車両ユーザの影響なしで実行されることを前提にする。そのためフラッシュプロセス中に発生するエラーは大きな確率で発見されないままとなる。さらにエラーが車両ユーザにより発見されてもユーザが除去できることは保証されない。フラッシュプロセスが成功することもこの状態では同様に前提とすることはできない。新たなフラッシュウエアをフラッシュするためには、この状態とフラッシュ経路エアインタフェース(W3)が組み合わされたときにフラッシュプロセスが開始されなければならず、車両への物理的アクセス手段は存在しないから、フラッシュプロセスはこの組合せにおいて付加的手段により保安されなければならない。
【0046】
フラッシュウエアを伝送した後、フラッシュウエアが使用可能になる前に初期化し、コンフィギュレートしなければならない。この初期化が相応の制御装置で正しく実行されなければ、フラッシュされた制御装置の正しい機能性は保証できない。フラッシュすべき制御装置はフラッシュ過程の前に、どの初期化過程が新たなフラッシュウエアに必要かを検出しなければならない。これが必要なのは、制御装置が自分のセーフティクラスに依存して、フラッシュプロセスを許容するか否かを判断できなければならないからである。この判断が行われて初めて、制御装置は状態「フラッシュ」へ移行することができる。
【0047】
可能な制御装置の初期化手段は以下の3つの初期化手段I1からI3に分類される:
・初期化1(I1):手動初期化
この初期化手段は、フラッシュ過程の後に制御装置を手動で初期化しなければならないことを意味する。このために車両には誰かが存在しなければならず、この人物がフラッシュプロセスを監視し、初期化を実行することができる。このために制御装置は、実行すべき手動初期化手段についての指示を与え、フラッシュ端末はこれを忠実に正しく実行しなければならない。この初期化手段が正しく実行されなければ、この制御装置でエラー機能が生じ、その結果を推定することはできない。
【0048】
・初期化2(I2):自動初期化
この初期化手段では、フラッシュされた制御装置がフラッシュ過程後に自立して自動的に初期化を行うことができる。従ってフラッシュ端末による車両での直接的監視は必要ない。ただ初期化により場合により生じるエラー通報を処理しなければならない。必要な初期化ステップは制御装置が自動的に、フラッシュプロセスが成功した後に実行する。このためには車両ユーザとの相互やり取りは不要である。
【0049】
・初期化3(I3):初期化なし
この初期化手段はフラッシュプロセス後に、制御装置に対する初期化過程が必要ない場合を意味する。従って制御装置はフラッシュプロセス後に、さらなるステップを必要とせずに使用することができる。
【0050】
制御装置のフラッシュウエアに対するバックアップ手段は別のプログラムデータ伝送状況であり、この状況はセーフティクラス分類に対して考慮される。バックアップを作成する前記の手段に依存して、エラーはフラッシュプロセス中に車両内部で除去できるか、またはできない。ここで制御装置は、どの手段がバックアップを作成するかを判断できなければならない。
【0051】
後に述べる制御装置プログラム保安手段(バックアップ)B1からB4はセーフティクラス分類に対して考慮される。
【0052】
・バックアップ1(B1):制御装置での内部バックアップが可能
制御装置にこの手段が与えられていれば、制御装置はこれまで記憶されていたフラッシュウエアのバージョンをバックアップのために記憶する十分な空き記憶容量を有する。ここで制御装置は既存のフラッシュウエアを空きメモリにファイルすることができなければならず、このバックアップはエラーの場合に再びインストールすることができる。すでにインストールされていたフラッシュウエアを内部バックアップする場合には、制御装置の元の状態に、フラッシュプロセスにエラーがあった場合には復元できることを前提にできる。フラッシュウエアの復元が必要な場合、ここではエラーが生じており、これは制御装置のハードウエアにエラーが存在し、これを交換しなければならないことを意味する。
【0053】
・バックアップ2(B2):外部制御装置にバックアップ
この場合、フラッシュすべき制御装置は、現在インストールされているフラッシュウエアのバックアップを固有のメモリにファイルするだけの十分なメモリスペースを有していない。この理由からバックアップは内部車両ネットワークを介して外部制御装置(バックアップ装置)へ転送される。ここでバックアップ装置は、フラッシュすべき制御装置のフラッシュウエアを内部車両ネットワークを介して中間記憶し、フラッシュウエアを要求に応じて再び元の制御装置にインストールできなければならない。
【0054】
バックアップ装置は、バックアップが必要とされたか否かにかかわらず、自分のメモリにファイルされたデータを再び消去できなければならない。このバックアップ手段では、オリジナル状態の復元可能性は内部車両ネットワークのエラー処理にかかっている。相応の機構により、内部車両ネットワークを介して伝送されたフラッシュウエアがエラー無しで第2の制御装置に記憶することができ、そこから再びエラー無しで元の制御装置へインストールできることが保証されれば、このバックアップ段階で、フラッシュされた制御装置の古い状態をエラー後に再び復元できる手段が存在する。車両内部ネットワークを介したエラなしでの伝送が保証されなければ、このバックアップ段階では、フラッシュされた装置の古い状態が復元可能であることを前提にできない。さらにフラッシュされた制御装置の元の状態の復元可能性はバックアップがファイルされる外部制御装置の信頼性に依存する。外部制御装置の損傷のため、識別されないエラーが発生しても、オリジナル状態の復元は同様に不可能である。バックアップを再び制御装置にインストールできるようにするには、バックアップが保安機構により保安されていなければならない。この種の保安機構のために非対称暗号化方法を使用できる。バックアップのインストールが保安機構なしで許容されれば、バックアップ確保のために他の手段を取らなければ、侵入に対して裏口を開けているのと同然である。
【0055】
・バックアップ3(B3):フラッシュデータを外部制御装置にバッファする
ここではバックアップは本来の意味ではなく、制御装置でのフラッシュウエアの前処理が取り扱われ、フラッシュウエアを中間記憶する十分なメモリスペースが存在する。フラッシュウエアを中間記憶する制御装置はフラッシュウエアをフラッシュ後に認証および完全性について検査できなければならない。この検査に合格して初めて、中間記憶する制御装置はフラッシュウエアを目標制御装置へさらに伝送することができる。この制御装置は、古いフラッシュウエアを含むメモリスペースを直接、新しいフラッシュウエアにより上書きする。この試験の1つが前もって検査していたにもかかわらず失敗すれば、制御装置の元の状態を復元することができない。この理由から、2つの制御装置間の伝送チャネルはできるだけ保安されていなければならず、この機構によりフラッシュウエアのエラーのないインストールが保証されなければならない。伝送チャネルの保安が保証できなければ、第2の制御装置でのフラッシュウエアの中間記憶は無駄になろう。ここでも中間記憶する制御装置の信頼性はこのバックアップアプローチの機能性に対して決定的である。この制御装置がフラッシュウエアをエラー無しでファイルできなければ、エラーは検知されない。従ってこの場合もフラッシュウエアのエラー無しでのインストールは保証されない。
【0056】
・バックアップ4(B4):バックアップ不能
最後のバックアップクラスは、フラッシュすべき装置のメモリが、現在インストールされているフラッシュウエアのバックアップをファイルするには小さすぎる場合を意味する。さらに他の装置にバックアップをファイルする(B2)手段も、他の装置を中間メモリとして使用する(B3)手段も存在しない。現在インストールされているフラッシュウエアのバックアップをファイルする手段が存在しなければ、フラッシュプロセスにエラーがあった場合、制御装置の元の状態を復元することはできない。制御装置はこの場合、フラッシュプロセスにより使用することができない。
【0057】
後で説明するセーフティクラスSK0からSK5は上位互換性がある。すなわち、制御装置が低位のセーフティクラス(大きな数→比較的小さな安全必要性)に分類されれば、比較的高位のセーフティクラスの可能なフラッシュプロセスも許容できる。従ってセーフティクラスSK5の制御装置は、セーフティクラスにより記述された5つの異なるフラッシュプロセスによりフラッシュすることができる。フラッシュデータの形式は、制御装置をこの実施例のセーフティクラスに分類するに際して考慮されない。これは一方ではフラッシュデータは、動作安全性については何ら影響しないからである。オペレーティングシステムの一部もアプリケーションまたはパラメータもエラーの場合には車両の動作安全性に影響を及ぼし得る。他方では、この実施例で制御装置は1つのものと見なされており、その個々の機能性による区別はないからである。制御装置の個々の機能性を考慮するならば、1つの制御装置を種々異なるセーフティクラスに分類しなければならないと言うことも生じうる。この制御装置は、フラッシュ過程により変化した機能性に依存して、フラッシュ過程を現在の状態で許容するか否かを決定しなければならないことになる。
【0058】
いか、6つのセーフティクラスSK0からSK5を個々の制御装置について説明する:
・セーフティクラス0(SK0)
このクラスには、その技術的条件および他の要請に基づいてフラッシュが不可能である制御装置が割り当てられる。この種の制御装置は本発明の方法の使用に対しては関係ない。
【0059】
・セーフティクラス1(SK1)
このクラスには、動作安全性の点で非常にクリティカルな制御装置が割り当てられる。この制御装置に対しては工場でのフラッシュだけが許容される。フラッシュ後および本来の車両走行の前に、習熟した専門家による大量の検査と診断を実行し、エラー確率をできるだけ小さくしなければならない。この検査でエラーが発見されると、専門家は相応に応答してこのエラーを除去することができる。工場で手動初期化を正しく実行されることが保証されるので、この形式の初期化はこのセーフティクラスでだけ許容される。このセーフティクラスに割り当てられた制御装置は、工場でテスタが車両に接続されると状態「フラッシュ」に移行することができる。機関がこの状態で回転しているか否かはこの場合、下位の事柄である。バックアップは可能であるが、要求されない。なぜなら組織的手段により、相応の装置が十分に検査されなければ、車両が運転されないことが保証されるからである。さらに工場では非常時に、正しく機能する古いフラッシュウエアのバーションを制御装置にインストールすることができ、また制御装置を大きな故障の場合は完全に新しいものと交換することができる。状態「フラッシュ」を制御装置は、テスタの相応の命令を介して通知された場合にだけ終了することができる。
【0060】
・セーフティクラス2(SK2)
このクラスには、動作安全性の点でクリティカルな制御装置が割り当てられる。このセーフティクラスでは、フラッシュ過程がエアインタフェースを介して実行され、センタから監視される。フラッシュプロセスは工場の外でも許容される。ただし車両は運動状態にあってはならない。このことは機関がオンになってはならないと言う要求により達成される。フラッシュ過程をエアインタフェースを介して監視することにより、このセーフティクラスでは最小のエラー確率を前提にすることができる。しかしエラーが発見されても、センタの介入手段はフラッシュされた車両までに距離があることから制限されている。この理由からこのクラスでは、エアインタフェースを介する接続が欠落した場合に、自動的に再インストールされるバックアップのファイルを要求される。また他方では、制御装置の状態「フラッシュ」により機関始動が阻止されるなら、バックアップのファイルを省略することができる。例えばセンタが制御装置の状態「フラッシュ」を終了しない限り、車両は運転を再開できない。最後の部分から分かるように、このセーフティクラスの制御装置は、エアインタフェースを介したオンライン接続によってだけフラッシュすることができる。このセーフティクラスで重要なことは、センタによるフラッシュ過程の監視がエアインタフェースを介して可能なことである。制御装置は状態「フラッシュ」を、これにエアインタフェースを介してそのための命令が通知されてから終了する。エアインタフェースを介する接続が遮断されると、バックアップの再インストールが試みられ、これに基づき状態「フラッシュ」を終了することができる。
【0061】
バックアップが存在しないか、またはこれをインストールできなければ、制御装置はエアインタフェースまたはエラー除去のために接続されたテスタを介して正しいフラッシュウエアを受け取るまでこの状態に留まる。フラッシュされた制御装置に対する初期化バリエーションとして、このセーフティクラスでは自動的初期化だけが許容されるか、またはなにも許容されない。なぜならエラーは手動初期化の場合、制御装置の機能性を脅かし得るからである。このようなことは許容されてはならない。なぜならこのセーフティクラスには車両の動作安全性に対して重要な制御装置が存在するからである。フラッシュ過程の前に、バックアップをファイルしないことは、制御装置が機関始動を、これがセンタにより再び開放されるまで阻止することができる場合にだけ許容できる。
【0062】
・セーフティクラス3(SK3)
このクラスには、動作安全性の点でクリティカルな制御装置が割り当てられる。このセーフティクラスでは制御装置が車両ユーザにより、センタによる監視なしでフラッシュされる。車両は運動状態にあってはならない。この要求は、このセーフティクラスの機関がフラッシュ過程中はスイッチオンされてはならないことにより満たされる。このセーフティクラスでは、車両ユーザがフラッシュ過程を、車両のCDドライブに挿入されたCDによって自分で実行する。このクラスには習熟した人物にアクセスする手段がない。このようなフラッシュ過程後のテストおよび診断手段は制限されており、組織的手段によって保証されていないから、バックアップを行わなければならない。これによりエラーの場合は、装置を再びフラッシュ前の状態に復元できるようにするためである。ここでは内部バックアップだけが許容されている。このセーフティクラスでも、SK2と同じように初期化クラスは自動初期化(I2)または初期化なし(I3)だけが許容されている。手動初期化の際のエラーは制御装置の正しい機能性を脅かすことがあり、誤機能はこのセーフティクラスでは許容できない。状態「フラッシュ」はこのセーフティクラスの制御装置によって、フラッシュ過程が成功した後、またはバックアップの再インストールにより元の状態に復元できた後に終了される。しかし制御装置がこのセーフティクラスに割り当てられていても、工場でのフラッシュを除外するものではない。
【0063】
・セーフティクラス4(SK4)
このクラスには、動作安全性の点で重要ではない制御装置が割り当てられる。これらの制御装置は、フラッシュ過程によって制御装置の故障が引き起こされてはならないと言う要求を満たさなければならない。これらの制御装置に対しては、工場外でのダウンロードが静止状態(Z3,Z4)でも、走行動作中(Z2)でも許容されている。フラッシュプロセス後の装置機能性を保証するために、内部バックアップ(B1)、外部バックアップ(B2)またはフラッシュデータの中間記憶(B3)を行わなければならない。これによりエラーの場合は、制御装置をフラッシュ前の状態に復元できるか、またはB3の場合はこの状態に留まることができるようにするためである。ここではフラッシュされた制御装置と外部バックアップ装置との接続がエラー無しで機能することが前提である。SK3のように内部バックアップ(B1)にだけ制限する必要はこのセーフティクラスではない。なぜならこの制御装置の機能性は動作安全性の点で重要ではないからである。制御装置の機能性を保証すべきであるという要求は、乗客の安全性に対して、動作安全性に対して重要な制御装置の場合と同じ位置価値を有するものではない。このクラスではバックアップ手段B2とB3も許容される。フラッシュされた制御装置の手動初期化はこのセーフティクラスでも許容されない。なぜなら初期化が正しく実行されることを保証できないからである。初期化過程中のエラーは制御装置での機能障害を引き起こすことがあり、このことはこのセーフティクラスでの要求、すなわち制御装置の機能性をフラッシュ過程後に保証するという要求に相反することとなる。状態「フラッシュ」はこのセーフティクラスの制御装置によって、フラッシュ過程が成功裏に実行された後、またはバックアップの再インストールにより元の状態の復元に成功した後、終了される。工場外でのデータ伝送に対しては、テスタを必要としないすべてのフラッシュ経路を使用することができる。エアインタフェースでのフラッシュ過程の監視をこのセーフティクラスでは省略することができる。しかし装置のセーフティクラスSK4への割り当ては、工場でのフラッシュを除外するものではない。
【0064】
・セーフティクラス5(SK5)
このクラスには、動作安全性の点で重要でなく、フラッシュ過程後のその機能性を保証する必要のない制御装置が割り当てられる。これらの制御装置に対しては、工場外でのフラッシュが2つの静止状態(Z3,Z4)でも、走行動作時(Z2)でも許容される。このセーフティクラスでは、制御装置がフラッシュプロセス後にエラーの場合に、再び正常機能状態に復元されることが要求されていないから、バックアップ手段は必要ない。このセーフティクラスでは、初期化過程に対しても特別の要求はない。なぜなら、制御装置の機能性への要求がないからである。従って手動初期化も、セーフティクラスの要求に反することなく許容される。状態「フラッシュ」をこのセーフティクラスの制御装置はいつでも再び終了できる。工場外でのデータ伝送に対してはすべてのフラッシュ経路を使用することができ、これらのフラッシュ経路にテスタも必要ない。エアインタフェース上でフラッシュ過程を監視することもこのセーフティクラスでは省略できる。しかしこのセーフティクラスへの制御装置の割り当ては工場でのダウンロードを排除するものではない。
【0065】
図3は、制御装置の技術的構成に対する要求を安全クラスに依存して示す表である。制御装置のこの技術的構成の枠内で、本発明の制御装置に設けられた、所定のプログラムデータ伝送状況を検査するための手段の構成も特定される。個々のセーフティクラスは、それぞれの制御装置に対して相応のクラスで課せられる要求の点で相違する。図示の表には、要求A1からA20がリストアップされており、これらの要求を、所定のセーフティクラスに分類されてた制御装置が満たさなければならない。ここには、必要である要求だけがリストアップされている。例えばセーフティクラスSK5では、制御装置がバックアップをファイルできることは必ずしも必要ではない。従って要求A10はこの表のSK5の欄には示されていない。しかし制御装置がこの要求を満たしても、この制御装置がセーフティクラスSK5に分類されるわけではない。制御装置がこれらセーフティクラスの1つに分類されると、表にリストアップされた要求の少なくとも1つを制御装置は満たさなければならない。制御装置がこれらの要求を満たすことができなければ、比較的に要求の低い別のセーフティクラスに分類しなければならない。
【0066】
前記のセーフティクラスに割り当てられた制御装置に対する、表に示された要求は次のとおりである:
・要求1(A1):状態「フラッシュ」
本発明の各制御装置は、動作状態「フラッシュ」を有していなければならない。この動作状態へは、セーフティクラスにより予め規定された周辺条件が満たされる場合にだけ到達する。状態「フラッシュ」はまた、セーフティクラスにより予め規定された条件が満たされるときだけ終了される。
【0067】
・要求2(A2):テスタ接続
制御装置は一義的に、テスタが内部車両ネットワークに接続されているか否かを検出できなければならない。この情報は、内部ネットワークを介する伝送の際に次のように保安されなければならない。すなわちこの情報が外部から改ざんされることが不可能であるように保安されなければならない。これに当てはまらなければ、テスタが直接接続されていない制御装置には、実際にはテスタが接続されていなくても接続されたテスタから通知することができる。
【0068】
・要求3(A3):CDによる自立的フラッシュ
制御装置はフラッシュをCDから読出し、これを正しく自分のフラッシュメモリに書き込めなければならない。ここではCDが制御装置に固有のCDドライブに挿入されたか、または外部制御装置のCDドライブに挿入されたかは重要でない。両方の場合と共、フラッシュされた制御装置は、テスタへの接続なしで自立的にフラッシュプロセスを実行できなければならない。
【0069】
・要求4(A4):エアインタフェースを介したフラッシュ
制御装置は、エアインタフェースを介して車両にロードされたフラッシュを正確に自分のフラッシュメモリに書き込めなければならない。エアインタフェースへの接続が制御装置自体に実現されているか、または外部装置に実現されているかは重要でない。制御装置はフラッシュ過程をテスタへの接続に依存せずに自立的に実行できなければならない。
【0070】
・要求5(A5):機関オフ
制御装置は内部車両ネットワークまたは固有の機能を介して、車両機関が動作しているか否かを検出できなければならない。内部車両ネットワークを介したこの情報の伝送の際には、この通信が外部からの改ざんに対して保安されていなければならない。すなわち意図的なエラー情報が制御装置により受容されてはならない。このことはとりわけセーフティクラスSK2とSK3で重要である。なぜなら機関はこのクラスでは決して運転されていてはならないからである。そうでないと乗客の安全性が脅かされる。内部車両ネットワークを介した伝送はこのクラスでは十分に保安されていなければならない。そうでないと、セーフティクラスコンセプトの意味が失われるからである。
【0071】
・要求6(A6):点火オフ
制御装置は内部車両ネットワークまたは固有の機能を介して、車両の点火がオンであるか否かを検出できなければならない。この情報が内部車両ネットワークを介して伝送される場合、この伝送は外部からの改ざんに対して保安されていなければならない。そうでないとセーフティクラスコンセプトで行われた設定の意味がなくなるからである。
【0072】
・要求7(A7):機関オンの阻止
制御装置は、フラッシュされている間および/または未だ安全な動作状態に達していない間は、機関始動を阻止できなければならない。このことはとりわけ、その機能性が車両の動作安全性に対してクリティカルな制御装置に対して重要である。
【0073】
・要求8(A8):フラッシュデータ
制御装置はフラッシュの前に、どのデータが内部フラッシュメモリに上書きされるのか、ないしはフラッシュメモリのどの領域が新たに占有されるのかを検出できなければならない。このことが必要であるのは、制御装置がバックアップのファイルのために必要な情報を検出できるようにするためである。
【0074】
・要求9(A9):内部バックアップ
制御装置は内部バックアップをファイルできなければならない。そのためにはまず、内部バックアップのための固有のフラッシュメモリにまだ十分なスペースが存在しているか否かを検出できなければならない。そのために制御装置は、要求A8から得られた情報が必要である。どのデータからバックアップをファイルしなければならないのか、ないしはどれだけのメモリがフラッシュにより占有されるのかという情報によってのみ、制御装置は内部バックアップのファイルについての判断を下すことができる。内部バックアップをファイルできるという判断の他に、制御装置は内部バックアップをファイルし、これをエラーの場合には再インストールできなければならない。
【0075】
・要求10(A10):外部バックアップ
制御装置は、外部装置にバックアップできなければならない。このために要求A8によって得られた情報に基づきデータを検出し、それらからバックアップをファイルしなければならない。さらに外部制御装置は、バックアップを自分のメモリにファイルできるだけの十分なリソースを有していなければならない。この形態のバックアップでは、内部車両ネットワークの保安性およびエラートレランスも重要である。保安されたエラーのない伝送によってのみ、バックアップをエラー無しで再インストールできることが保証される。ここで制御装置は、外部制御装置の正常機能について信用しなければならず、固有の手段によりバックアップを行うことは制限されている。
【0076】
・要求11(A11):外部制御装置(目標装置)でのデータのバッファ
制御装置は、データが他の外部制御装置で中間記憶されているか否かを検出できなければならない。さらにこの制御装置がプログラムデータの完全性および/または認証に関して必要な検査を実行したか否かを検出できなければならない。それから初めて制御装置はフラッシュデータのダウンロードを許容することができる。ここでは内部車両ネットワークの保安性は非常に重要である。制御装置が中間記憶する制御装置の認証を終了することができなければ、前記バックアップを予め定めるセーフティクラスの1つ(SK2またはSK4)でのダウンロードは許容されない。
【0077】
・要求12(A12):外部制御装置(中間装置)でのデータのバッファ
フラッシュデータをダウンロードまでバッファするのに用いられる制御装置は、フラッシュデータをさらに伝送する前に、フラッシュウエアでの認証および/または完全性についての予め規定された検査を実行しなければならない。これが意味するのは、中間記憶する制御装置に対して認証および/または完全性については目標装置の場合と同じことが当てはまるということである。さらに中間装置には例えば暗号鍵のような、目標装置の秘密情報が既知でなければならない。そうでない場合には、中間装置は例えば署名検査を実行することができない。この要求は、ソフトウエアのバッファメモリへのインストールの前に、センタの暗号認証が中間記憶する制御装置において強制的に行われる場合には省略することができる。技術的伝送エラーについてのテストは、それでも中間記憶する制御装置で実行すべきである。これによりこのようなエラーがフラッシュされた制御装置において不定義状態につながるようなエラーのあるフラッシュプロセスを引き起こすことが回避される。
【0078】
・要求13(A13):バックアップの自動再インストール
制御装置は、エラーの場合には、以前にファイルされていたバックアップを自動的に再インストールできなければならない。以前にインストールされたデータは同様に自動的に再び消去されなければならない。
【0079】
・要求14(A14):バックアップの消去
バックアップがファイルされる制御装置は、内部制御装置、外部制御装置、または中間メモリである。この制御装置はインストールされたバックアップを再び消去できなければならない。このためにはフラッシュ過程が成功裏に実行された場合、フラッシュされた制御装置の情報が必要である。フラッシュ過程が成功しなかった場合には、バックアップはフラッシュされる制御装置への再インストールが成功した後に初めて消去される。
【0080】
・供給15(A15):初期化方法の識別
制御装置は、フラッシュ過程の実行前に、どの初期化方法をインストールされたフラッシュウエアがインストール後に必要とするかを検出できなければならない。この情報に基づいて、制御装置は、フラッシュ過程を許容して良いか否かを判断することができる。
【0081】
・要求16(A16):手動初期化
制御装置がフラッシュ過程の後に手動初期化を必要とすれば、フラッシュ端末機での初期化のために必要なステップを車両の表示素子に十分に詳細に示さなければならない。ここでは初期化ステップのさらなる切替えを、まず制御装置により自動的に、またはユーザによる手動操作により行うことができる。表示素子とフラッシュされた制御装置との間の通信は、エラーのある情報がエラーのある情報を通知しないように保安されなければならに。このようなことは手動初期化の成功を脅かす。状態「フラッシュ」をこの制御装置は、手動初期化が完全に実行されて初めて終了することができる。この初期化過程は相応にフラッシュプロセスに組み込まれていなければならない。
【0082】
・要求17(A17):自動初期化
自動初期化を行う制御装置は、この初期化をさらなる中間ステップなしで、本来のフラッシュ過程の終了直後に実行しなければならない。ここでこの初期化はいずれの場合でも終了しなければならない。例えば点火のスイッチオフは初期化過程の継続に何ら作用を及ぼしてはならない。状態「フラッシュ」をこの制御装置は、自動初期化が完全に実行されて初めて終了することができる。この初期化過程は相応にフラッシュ過程に組み込まれていなければならない。
【0083】
・要求18(A18):エラー通報の表示
フラッシュプロセス中にエラーが発生する場合、そこから生じるエラー通報を車両の表示素子に、これが車両ユーザにより確認されるまで表示されなければならない。ここでは一時的電流欠落、または制御装置の他の状態変化がエラー通報の表示に影響を与えてはならない。表示素子とフラッシュされた制御装置との間の通信は、エラーのある情報が通知されないように保安されていなければならない。エラーのある情報はフラッシュ端末機での情報を発生したエラーを介して阻止することがある。状態「フラッシュ」を制御装置は、車両ユーザがエラー通報を相応の手動処理により確認して初めて終了することができる。表示素子でのエラー通報の表示は相応にフラッシュプロセスに組み込まれていなければならない。
【図面の簡単な説明】
【図1】本発明のデータ伝送システムの基本構造、および本発明の方法を実施するためのシステムの素子を示す図である。
【図2】プログラム伝送状況を表す表であり、これらのプログラム伝送状況は制御装置のプログラムデータ伝送のためにセーフティクラスに依存して存在していなければならない。
【図3】制御装置への要求をセーフティクラスに依存して示す表である。
【符号の説明】
1 セーフティクラス分類
2 プログラムデータメモリ
3 プログラムデータを伝送するための手段
4 認証検査
5 プログラムデータ伝送状態への移行
6 所定のプログラムデータ伝送状況を制御装置で検査するための手段
7 プログラムデータ伝送
8 プログラムデータ伝送のテスタによるコントロール、またはデータ伝送コントロールセンタ
9 プログラムデータ伝送個所
10 データ伝送コントロールセンタ
11 プログラムデータ伝送問い合わせ
20 セーフティクラス分類の問い合わせ
31,32,33,34,35 プログラムデータ伝送状況
40 プログラムデータ転送
50 制御装置
61 プログラムデータ伝送個所で所定のプログラムデータ伝送状況を検査するための手段
101 プログラムデータ伝送状況「テスタまたはデータ伝送コントロールセンタによる通信接続」の検査
102 制御装置によるプログラムデータ伝送状況の検査
103 プログラムデータ伝送個所のプログラムデータ伝送状況検査結果の問い合わせ
104 データ伝送個所によるプログラムデータ伝送状況の検査

Claims (13)

  1. 自動車の制御装置によるプログラムデータの伝送方法であって、
    前記プログラムデータはデータ伝送個所により準備され、
    プログラムデータ伝送問い合わせを制御装置に出力し、
    プログラムデータを制御装置に伝送し、
    プログラムデータを制御装置により受け取る形式の方法において、
    制御装置により当該制御装置に対して所定の、プログラムデータに依存しないプログラムデータ伝送状況が存在するか否かを検査した後に初めて、当該制御装置はプログラムデータを受け取るプログラムデータ伝送状態に移行する、
    ことを特徴とする方法。
  2. データ伝送個所により、制御装置に対して所定のプログラムデータ伝送状況が、プログラムデータが準備される前に存在しているか否かを検査する、請求項1記載の方法。
  3. 制御装置による、当該制御装置に対して所定のプログラムデータ伝送状況が存在するか否かという検査は、データ伝送個所の検査結果の問い合わせを含む、請求項1または2記載の方法。
  4. 制御装置および/またはデータ伝送個所により、制御装置のセーフティクラス分類の問い合わせを通して、どのプログラムデータ伝送状況が当該制御装置に対して存在しなければならないかを検出する、請求項1から3までのいずれか1項記載の方法。
  5. プログラムデータ伝送状況は、車両状態および/またはデータ伝送経路および/または制御装置プログラム初期化手段および/または制御装置プログラム保安手段および/または伝送すべきデータの形式に依存する、請求項1から4までのいずれか1項記載の方法。
  6. プログラムデータ伝送状態として制御装置および/またはデータ伝送個所により、車両機関が動作中であるか否かおよび/または制御装置とテスタおよび/またはデータ伝送コントロールセンタとの間の通信接続が存在しているか否かを検査する、請求項1から5までのいずれか1項記載の方法。
  7. 制御装置がデータ伝送状態にある間、自動車の機関の始動を制御装置またはデータ伝送個所により阻止し、および/または
    データ伝送状態を、制御装置によりデータ伝送終了命令をテスタまたはデータ伝送コントロールセンタから受信した後にだけ終了する、請求項6記載の方法。
  8. データ伝送個所は、プログラムデータが規定されている制御装置の所定のプログラムデータ伝送状況が存在するまで、プログラムデータを中間記憶する、請求項1から7までのいずれか1項記載の方法。
  9. データ伝送個所は車両構成部材として構成されており、データ伝送個所はプログラムデータを外部ソースから受け取る、請求項1から8までのいずれか1項記載の方法。
  10. プログラムデータの認証検査を制御装置またはデータ伝送個所により実行する、請求項1から9までのいずれか1項記載の方法。
  11. プログラムデータの認証検査を、公開鍵を用いた署名の検査によって実行し、
    プログラムデータを暗号化および解読するために鍵ペアを使用し、該鍵ペアは秘密鍵と公開鍵からなり、
    プログラムデータを秘密鍵により署名する、請求項10記載の方法。
  12. プログラムデータをデータ伝送個所から伝送するための手段を有する自動車の素子に対する制御装置において、
    所定のプログラムデータ伝送状況を検査するための手段が制御装置に設けられている、
    ことを特徴とする制御装置。
  13. プログラムデータを自動車の制御装置に伝送するためのデータ伝送装置であって、
    データ伝送個所と、プログラムデータを前記データ伝送個所から伝送するための手段を備える制御装置とを有する形式の伝送装置において、
    所定のプログラムデータ伝送状況を検査するための手段が制御装置とデータ伝送個所に設けられており、
    該手段は所定のプログラムデータ伝送状況を検査するように制御装置において構成されており、データ伝送個所における所定のプログラムデータ伝送状況の検査結果を問い合わせる、
    ことを特徴とする伝送装置。
JP2003081332A 2002-03-23 2003-03-24 データ伝送方法およびデータ伝送装置 Pending JP2004005506A (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE10213165A DE10213165B3 (de) 2002-03-23 2002-03-23 Verfahren und Vorrichtung zum Übernehmen von Daten

Publications (1)

Publication Number Publication Date
JP2004005506A true JP2004005506A (ja) 2004-01-08

Family

ID=27771521

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003081332A Pending JP2004005506A (ja) 2002-03-23 2003-03-24 データ伝送方法およびデータ伝送装置

Country Status (4)

Country Link
US (1) US6859718B2 (ja)
EP (1) EP1346881A3 (ja)
JP (1) JP2004005506A (ja)
DE (1) DE10213165B3 (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009087107A (ja) * 2007-10-01 2009-04-23 Hitachi Ltd 車両用制御システム
WO2012125193A1 (en) * 2011-03-17 2012-09-20 Toyota Motor Engineering & Manufacturing North America, Inc. Vehicle maneuver application interface
US8405722B2 (en) 2009-12-18 2013-03-26 Toyota Motor Engineering & Manufacturing North America, Inc. Method and system for describing and organizing image data
US8424621B2 (en) 2010-07-23 2013-04-23 Toyota Motor Engineering & Manufacturing North America, Inc. Omni traction wheel system and methods of operating the same
US8452599B2 (en) 2009-06-10 2013-05-28 Toyota Motor Engineering & Manufacturing North America, Inc. Method and system for extracting messages
US8855847B2 (en) 2012-01-20 2014-10-07 Toyota Motor Engineering & Manufacturing North America, Inc. Intelligent navigation system

Families Citing this family (106)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7343413B2 (en) 2000-03-21 2008-03-11 F5 Networks, Inc. Method and system for optimizing a network by independently scaling control segments and data flow
US8380854B2 (en) 2000-03-21 2013-02-19 F5 Networks, Inc. Simplified method for processing multiple connections from the same client
EP1590917B1 (en) 2003-01-28 2010-12-15 Cellport Systems, Inc. A system and a method for controlling use by applications of proprietary resources within a secure telematics system in a vehicle
DE10316951A1 (de) * 2003-04-12 2004-10-21 Daimlerchrysler Ag Verfahren zur Überprüfung der Datenintegrität von Software in Steuergeräten
DE10331874A1 (de) * 2003-07-14 2005-03-03 Robert Bosch Gmbh Fernprogrammieren eines programmgesteuerten Geräts
US20050142509A1 (en) * 2003-12-29 2005-06-30 Kim Young S. Burner assembly for gas burners of radiant heating type
DE102004005680A1 (de) 2004-02-05 2005-08-25 Bayerische Motoren Werke Ag Vorrichtung und Verfahren zur Ansteuerung von Steuergeräten in einem Bordnetz eines Kraftfahrzeuges
SE0400480L (sv) * 2004-02-26 2005-08-27 Movimento Ab Fordonsinterface
FR2875920B1 (fr) * 2004-09-27 2007-01-05 Peugeot Citroen Automobiles Sa Procede de mise en oeuvre d'un logiciel telecharge dans un calculateur
US8856370B2 (en) * 2004-11-05 2014-10-07 International Business Machines Corporation Concurrent flashing of data processing units in hierarchical networks
US7706895B2 (en) 2005-02-25 2010-04-27 Rockwell Automation Technologies, Inc. Reliable messaging instruction
US20080216067A1 (en) * 2005-04-04 2008-09-04 Volvo Lastvagnar Ab Arrangement and Method for Programming Motor Vehicles
JP2006285849A (ja) * 2005-04-04 2006-10-19 Xanavi Informatics Corp ナビゲーション装置
US7233830B1 (en) 2005-05-31 2007-06-19 Rockwell Automation Technologies, Inc. Application and service management for industrial control devices
JP2007011734A (ja) * 2005-06-30 2007-01-18 Denso Corp 車載制御装置
EP1760618A1 (de) * 2005-08-30 2007-03-07 Fujitsu Siemens Computers GmbH Verfahren, Datenverarbeitungsvorrichtung und Computerprogrammprodukt zur Authentifizierung und Durchführung einer Wartungsfunktion
DE102006056220B4 (de) * 2006-11-29 2011-12-15 Günter Fendt Verfahren zum Benachrichtigen von Kfz-Benutzern bei außerplanmäßigen amFahrzeug anstehenden Inspektionsarbeiten
DE102007045255B4 (de) * 2007-09-21 2021-11-18 Volkswagen Ag Verfahren zur Herstellung eines Diagnosesystems, insbesondere für ein Kraftfahrzeug
DE102007062675A1 (de) * 2007-12-24 2009-07-02 Magna Powertrain Ag & Co Kg Verfahren zur Ansteuerung einer Baueinheit
US8806053B1 (en) * 2008-04-29 2014-08-12 F5 Networks, Inc. Methods and systems for optimizing network traffic using preemptive acknowledgment signals
US8566444B1 (en) 2008-10-30 2013-10-22 F5 Networks, Inc. Methods and system for simultaneous multiple rules checking
DE102008056745A1 (de) * 2008-11-11 2010-05-12 Continental Automotive Gmbh Vorrichtung zum Steuern einer Fahrzeugfunktion und Verfahren zum Aktualisieren eines Steuergerätes
US10157280B2 (en) 2009-09-23 2018-12-18 F5 Networks, Inc. System and method for identifying security breach attempts of a website
US10721269B1 (en) 2009-11-06 2020-07-21 F5 Networks, Inc. Methods and system for returning requests with javascript for clients before passing a request to a server
US8868961B1 (en) 2009-11-06 2014-10-21 F5 Networks, Inc. Methods for acquiring hyper transport timing and devices thereof
US9313047B2 (en) 2009-11-06 2016-04-12 F5 Networks, Inc. Handling high throughput and low latency network data packets in a traffic management device
US9639688B2 (en) * 2010-05-27 2017-05-02 Ford Global Technologies, Llc Methods and systems for implementing and enforcing security and resource policies for a vehicle
US9141625B1 (en) 2010-06-22 2015-09-22 F5 Networks, Inc. Methods for preserving flow state during virtual machine migration and devices thereof
US10015286B1 (en) 2010-06-23 2018-07-03 F5 Networks, Inc. System and method for proxying HTTP single sign on across network domains
US8908545B1 (en) 2010-07-08 2014-12-09 F5 Networks, Inc. System and method for handling TCP performance in network access with driver initiated application tunnel
US8347100B1 (en) 2010-07-14 2013-01-01 F5 Networks, Inc. Methods for DNSSEC proxying and deployment amelioration and systems thereof
US8732697B2 (en) 2010-08-04 2014-05-20 Premkumar Jonnala System, method and apparatus for managing applications on a device
US9083760B1 (en) 2010-08-09 2015-07-14 F5 Networks, Inc. Dynamic cloning and reservation of detached idle connections
EP2423887A1 (de) * 2010-08-26 2012-02-29 OBD Tuning GmbH Portable Vorrichtung zur Veränderung von Betriebsparameterwerten und/oder Firmware von elektronischen Steuerungseinrichtungen von Kraftfahrzeugen
US8630174B1 (en) 2010-09-14 2014-01-14 F5 Networks, Inc. System and method for post shaping TCP packetization
US8886981B1 (en) 2010-09-15 2014-11-11 F5 Networks, Inc. Systems and methods for idle driven scheduling
US8463909B1 (en) 2010-09-15 2013-06-11 F5 Networks, Inc. Systems and methods for managing server resources
US8804504B1 (en) 2010-09-16 2014-08-12 F5 Networks, Inc. System and method for reducing CPU load in processing PPP packets on a SSL-VPN tunneling device
US9554276B2 (en) 2010-10-29 2017-01-24 F5 Networks, Inc. System and method for on the fly protocol conversion in obtaining policy enforcement information
US8959571B2 (en) 2010-10-29 2015-02-17 F5 Networks, Inc. Automated policy builder
US8725325B1 (en) * 2010-12-10 2014-05-13 Cybertran International Inc. Method of controlling emergency braking in fixed guideway transportation system using dynamic block control
US8627467B2 (en) 2011-01-14 2014-01-07 F5 Networks, Inc. System and method for selectively storing web objects in a cache memory based on policy decisions
US10135831B2 (en) 2011-01-28 2018-11-20 F5 Networks, Inc. System and method for combining an access control system with a traffic management system
US9452735B2 (en) 2011-02-10 2016-09-27 Ford Global Technologies, Llc System and method for controlling a restricted mode in a vehicle
US10145960B2 (en) 2011-02-24 2018-12-04 Ford Global Technologies, Llc System and method for cell phone restriction
US8522320B2 (en) 2011-04-01 2013-08-27 Ford Global Technologies, Llc Methods and systems for authenticating one or more users of a vehicle communications and information system
US8938224B2 (en) 2011-05-12 2015-01-20 Ford Global Technologies, Llc System and method for automatically enabling a car mode in a personal communication device
US8788113B2 (en) 2011-06-13 2014-07-22 Ford Global Technologies, Llc Vehicle driver advisory system and method
US9246819B1 (en) 2011-06-20 2016-01-26 F5 Networks, Inc. System and method for performing message-based load balancing
US10097993B2 (en) 2011-07-25 2018-10-09 Ford Global Technologies, Llc Method and apparatus for remote authentication
US8849519B2 (en) 2011-08-09 2014-09-30 Ford Global Technologies, Llc Method and apparatus for vehicle hardware theft prevention
DE102011117376A1 (de) 2011-10-28 2012-05-16 Daimler Ag Verfahren zum Übernehmen von Programmdaten per Telematik in ein Steuergerät eines Kraftfahrzeugs mit automatischem Abnahmetest
US9270766B2 (en) 2011-12-30 2016-02-23 F5 Networks, Inc. Methods for identifying network traffic characteristics to correlate and manage one or more subsequent flows and devices thereof
DE102012001047A1 (de) * 2012-01-20 2013-07-25 Daimler Ag Verfahren zur Aktualisierung von Daten, Funktionen und/oder Konfigurationseinstellungen eines Kraftfahrzeugsteuergeräts
US10230566B1 (en) 2012-02-17 2019-03-12 F5 Networks, Inc. Methods for dynamically constructing a service principal name and devices thereof
US9231879B1 (en) 2012-02-20 2016-01-05 F5 Networks, Inc. Methods for policy-based network traffic queue management and devices thereof
US9172753B1 (en) 2012-02-20 2015-10-27 F5 Networks, Inc. Methods for optimizing HTTP header based authentication and devices thereof
EP2853074B1 (en) 2012-04-27 2021-03-24 F5 Networks, Inc Methods for optimizing service of content requests and devices thereof
US9569403B2 (en) 2012-05-03 2017-02-14 Ford Global Technologies, Llc Methods and systems for authenticating one or more users of a vehicle communications and information system
DE102012010723A1 (de) 2012-05-30 2012-11-29 Daimler Ag Diagnoseverfahren und Diagnoseeinrichtung für ein Kraftfahrzeug
DE102012023648B4 (de) * 2012-12-03 2016-09-15 Audi Ag Verfahren und System zum Aktualisieren von einem Steuergerät eines Kraftwagens
DE102012023647B4 (de) * 2012-12-03 2016-09-22 Audi Ag Verfahren und System zum Aktualisieren eines Steuergeräts eines Kraftwagens
DE102013202064A1 (de) 2013-02-08 2014-08-14 Bayerische Motoren Werke Aktiengesellschaft Verfahren und Vorrichtung zum Verbinden eines Diagnosegeräts mit einem Steuergerät in einem Kraftfahrzeug
US8866604B2 (en) 2013-02-14 2014-10-21 Ford Global Technologies, Llc System and method for a human machine interface
US10375155B1 (en) 2013-02-19 2019-08-06 F5 Networks, Inc. System and method for achieving hardware acceleration for asymmetric flow connections
US9688246B2 (en) 2013-02-25 2017-06-27 Ford Global Technologies, Llc Method and apparatus for in-vehicle alarm activation and response handling
US8947221B2 (en) 2013-02-26 2015-02-03 Ford Global Technologies, Llc Method and apparatus for tracking device connection and state change
US9141583B2 (en) 2013-03-13 2015-09-22 Ford Global Technologies, Llc Method and system for supervising information communication based on occupant and vehicle environment
US9002536B2 (en) 2013-03-14 2015-04-07 Ford Global Technologies, Llc Key fob security copy to a mobile phone
DE102013013621A1 (de) * 2013-08-15 2015-02-19 Bayerische Motoren Werke Aktiengesellschaft Sicherheitskonformer Kanalwechsel in intelligenten Transportsvstemen
US10187317B1 (en) 2013-11-15 2019-01-22 F5 Networks, Inc. Methods for traffic rate control and devices thereof
US10015143B1 (en) 2014-06-05 2018-07-03 F5 Networks, Inc. Methods for securing one or more license entitlement grants and devices thereof
US11838851B1 (en) 2014-07-15 2023-12-05 F5, Inc. Methods for managing L7 traffic classification and devices thereof
US10122630B1 (en) 2014-08-15 2018-11-06 F5 Networks, Inc. Methods for network traffic presteering and devices thereof
US10182013B1 (en) 2014-12-01 2019-01-15 F5 Networks, Inc. Methods for managing progressive image delivery and devices thereof
US11895138B1 (en) 2015-02-02 2024-02-06 F5, Inc. Methods for improving web scanner accuracy and devices thereof
US10834065B1 (en) 2015-03-31 2020-11-10 F5 Networks, Inc. Methods for SSL protected NTLM re-authentication and devices thereof
US10249123B2 (en) 2015-04-09 2019-04-02 Ford Global Technologies, Llc Systems and methods for mobile phone key fob management
US11350254B1 (en) 2015-05-05 2022-05-31 F5, Inc. Methods for enforcing compliance policies and devices thereof
US10505818B1 (en) 2015-05-05 2019-12-10 F5 Networks. Inc. Methods for analyzing and load balancing based on server health and devices thereof
FR3041789B1 (fr) * 2015-09-29 2018-03-23 Psa Automobiles Sa. Procede de mise a jour de composants d'un vehicule
US11757946B1 (en) 2015-12-22 2023-09-12 F5, Inc. Methods for analyzing network traffic and enforcing network policies and devices thereof
US10404698B1 (en) 2016-01-15 2019-09-03 F5 Networks, Inc. Methods for adaptive organization of web application access points in webtops and devices thereof
US11178150B1 (en) 2016-01-20 2021-11-16 F5 Networks, Inc. Methods for enforcing access control list based on managed application and devices thereof
US10797888B1 (en) 2016-01-20 2020-10-06 F5 Networks, Inc. Methods for secured SCEP enrollment for client devices and devices thereof
JP6365572B2 (ja) 2016-03-14 2018-08-01 トヨタ自動車株式会社 車両用のソフトウェア管理システム、管理サーバ及び車両
US10417839B2 (en) 2016-05-25 2019-09-17 Navigation Research Company System and method for vehicle assessment and uses thereof
US10791088B1 (en) 2016-06-17 2020-09-29 F5 Networks, Inc. Methods for disaggregating subscribers via DHCP address translation and devices thereof
US11063758B1 (en) 2016-11-01 2021-07-13 F5 Networks, Inc. Methods for facilitating cipher selection and devices thereof
US10505792B1 (en) 2016-11-02 2019-12-10 F5 Networks, Inc. Methods for facilitating network traffic analytics and devices thereof
US11496438B1 (en) 2017-02-07 2022-11-08 F5, Inc. Methods for improved network security using asymmetric traffic delivery and devices thereof
US10791119B1 (en) 2017-03-14 2020-09-29 F5 Networks, Inc. Methods for temporal password injection and devices thereof
US10812266B1 (en) 2017-03-17 2020-10-20 F5 Networks, Inc. Methods for managing security tokens based on security violations and devices thereof
US10931662B1 (en) 2017-04-10 2021-02-23 F5 Networks, Inc. Methods for ephemeral authentication screening and devices thereof
US10972453B1 (en) 2017-05-03 2021-04-06 F5 Networks, Inc. Methods for token refreshment based on single sign-on (SSO) for federated identity environments and devices thereof
US11122042B1 (en) 2017-05-12 2021-09-14 F5 Networks, Inc. Methods for dynamically managing user access control and devices thereof
US11343237B1 (en) 2017-05-12 2022-05-24 F5, Inc. Methods for managing a federated identity environment using security and access control data and devices thereof
US20190014026A1 (en) * 2017-07-05 2019-01-10 Ford Global Technologies, Llc Method and apparatus for ignition state monitoring
US11122083B1 (en) 2017-09-08 2021-09-14 F5 Networks, Inc. Methods for managing network connections based on DNS data and network policies and devices thereof
DE102017216965A1 (de) * 2017-09-25 2019-03-28 Siemens Aktiengesellschaft Installation von Software auf einem Datenverarbeitungssystem eines Fahrzeugs
US11658995B1 (en) 2018-03-20 2023-05-23 F5, Inc. Methods for dynamically mitigating network attacks and devices thereof
DE102019202681A1 (de) * 2018-03-29 2019-10-02 Robert Bosch Gmbh Steuergerät
FR3083635A1 (fr) * 2018-07-04 2020-01-10 Psa Automobiles Sa Procede de controle a distance de l’etat du contact d’un vehicule.
US11044200B1 (en) 2018-07-06 2021-06-22 F5 Networks, Inc. Methods for service stitching using a packet header and devices thereof
DE102022211574A1 (de) 2022-11-02 2024-05-02 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zum Zuweisen von Software-Paketen
DE102022211577A1 (de) 2022-11-02 2024-05-02 Robert Bosch Gesellschaft mit beschränkter Haftung Verfahren zum Zuweisen von Software-Paketen

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4013727C2 (de) * 1990-04-28 1999-03-11 Bayerische Motoren Werke Ag Steuervorrichtung für technische Anlagen und Maschinen
DE4218804A1 (de) * 1992-06-06 1993-12-09 Vdo Schindling Einrichtung zur Darstellung, Aufbereitung und Speicherung von Informationen in einem Kraftfahrzeug
DE19620885A1 (de) * 1996-05-23 1997-11-27 Bayerische Motoren Werke Ag Verfahren zum Aktualisieren von Daten und/oder Parametern eines Steuergeräts in einem Fahrzeug
DE19625619C2 (de) * 1996-06-26 1998-04-16 Siemens Ag Verfahren zum Abspeichern von Daten in einem Kraftfahrzeug
US6487717B1 (en) * 1999-01-15 2002-11-26 Cummins, Inc. System and method for transmission of application software to an embedded vehicle computer
DE19921845A1 (de) * 1999-05-11 2000-11-23 Bosch Gmbh Robert Diagnosetestvorrichtung für Kraftfahrzeuge mit programmierbaren Steuergeräten
FR2805365B1 (fr) * 2000-02-22 2002-11-29 Peugeot Citroen Automobiles Sa Systeme de reprogrammation a distance d'au moins un calculateur d'un systeme informatique embarque a bord d'un vehicule automobile
DE10008974B4 (de) * 2000-02-25 2005-12-29 Bayerische Motoren Werke Ag Signaturverfahren
DE10037397A1 (de) * 2000-08-01 2002-02-14 Daimler Chrysler Ag Verfahren zum Laden von Software
DE10038096A1 (de) * 2000-08-04 2002-02-14 Bosch Gmbh Robert Verfahren und System zur Übertragung von Daten

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009087107A (ja) * 2007-10-01 2009-04-23 Hitachi Ltd 車両用制御システム
US8452599B2 (en) 2009-06-10 2013-05-28 Toyota Motor Engineering & Manufacturing North America, Inc. Method and system for extracting messages
US8405722B2 (en) 2009-12-18 2013-03-26 Toyota Motor Engineering & Manufacturing North America, Inc. Method and system for describing and organizing image data
US8424621B2 (en) 2010-07-23 2013-04-23 Toyota Motor Engineering & Manufacturing North America, Inc. Omni traction wheel system and methods of operating the same
WO2012125193A1 (en) * 2011-03-17 2012-09-20 Toyota Motor Engineering & Manufacturing North America, Inc. Vehicle maneuver application interface
US8880289B2 (en) 2011-03-17 2014-11-04 Toyota Motor Engineering & Manufacturing North America, Inc. Vehicle maneuver application interface
US8855847B2 (en) 2012-01-20 2014-10-07 Toyota Motor Engineering & Manufacturing North America, Inc. Intelligent navigation system

Also Published As

Publication number Publication date
EP1346881A3 (de) 2004-04-28
DE10213165B3 (de) 2004-01-29
US6859718B2 (en) 2005-02-22
US20030225485A1 (en) 2003-12-04
EP1346881A2 (de) 2003-09-24

Similar Documents

Publication Publication Date Title
JP2004005506A (ja) データ伝送方法およびデータ伝送装置
JP6861675B2 (ja) モバイルデバイスサポートサービスを提供するためのシステム、方法、装置、および非一時的コンピュータ可読記憶媒体
JP6900531B2 (ja) モバイル機器サポートサービスを提供するためのシステム、方法、装置、およびコンピュータプログラム製品
US9529602B1 (en) Systems and methods for internet recovery and service
US20030051235A1 (en) Method and apparatus for verifying and analyzing computer software installation
US7873957B2 (en) Minimizing user disruption during modification operations
US9665452B2 (en) Systems and methods for smart diagnoses and triage of failures with identity continuity
CN109670319B (zh) 一种服务器flash安全管理方法及其系统
JP2007507016A (ja) シリアルインターフェイスを介したフラッシュプログラミングによる電子制御装置のソフトウェアアップデート方法およびこれに対応する状態自動装置
US9697013B2 (en) Systems and methods for providing technical support and exporting diagnostic data
US20160335151A1 (en) Systems and methods for providing service and support to computing devices
US9798606B2 (en) Systems and methods for smart diagnosis using hosted resources with intelligent altering of boot order
KR100484130B1 (ko) 원격장애치유기능을갖는컴퓨터시스템및그방법
US9465643B1 (en) Systems and methods for monitoring a primary operating system (OS) and/or migrating data using an OS hypervisor
US9959127B2 (en) Systems and methods for exporting diagnostic data and securing privileges in a service operating system
KR20090000008A (ko) 차량진단시 진단단말기간의 충돌방지 시스템 및 그 방법
JP4025650B2 (ja) ネットワークサーバーのプログラムを更新する方法、その関連システム及びソフトウエア
JP2007226284A (ja) 車載情報端末装置及び情報端末システム
CN113132995B (zh) 一种设备管控方法、装置、存储介质和计算机设备
WO2023148951A1 (ja) 情報通信システム、情報通信方法、および記録媒体
WO2023042426A1 (ja) 車載装置及びプログラム更新システム
CN117130635A (zh) 一种诊断升级方法、诊断系统、电子设备及汽车
JP2021135514A (ja) 情報処理装置、プログラム更新システム、及びプログラム更新方法
CN117971265A (zh) 雷达软件升级方法、装置、设备及可读存储介质
CN104123223A (zh) 软件的修复方法和装置

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20051014

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20060111

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20060116

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060412

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20061027

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20070125

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20070205

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20071109

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080207

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20080314

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20080418

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20090226

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20090303