WO2008068189A1 - Verfahren zum softwaremässigen aktualisieren einer elektronischen einrichtung, insbesondere des auslösers von niederspannungs-leistungsschaltern - Google Patents

Verfahren zum softwaremässigen aktualisieren einer elektronischen einrichtung, insbesondere des auslösers von niederspannungs-leistungsschaltern Download PDF

Info

Publication number
WO2008068189A1
WO2008068189A1 PCT/EP2007/063008 EP2007063008W WO2008068189A1 WO 2008068189 A1 WO2008068189 A1 WO 2008068189A1 EP 2007063008 W EP2007063008 W EP 2007063008W WO 2008068189 A1 WO2008068189 A1 WO 2008068189A1
Authority
WO
WIPO (PCT)
Prior art keywords
software
electronic device
updated software
updated
memory area
Prior art date
Application number
PCT/EP2007/063008
Other languages
English (en)
French (fr)
Inventor
Ilka Redmann
Original Assignee
Siemens Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Aktiengesellschaft filed Critical Siemens Aktiengesellschaft
Priority to US12/448,066 priority Critical patent/US20100031243A1/en
Publication of WO2008068189A1 publication Critical patent/WO2008068189A1/de

Links

Classifications

    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02HEMERGENCY PROTECTIVE CIRCUIT ARRANGEMENTS
    • H02H3/00Emergency protective circuit arrangements for automatic disconnection directly responsive to an undesired change from normal electric working condition with or without subsequent reconnection ; integrated protection
    • H02H3/006Calibration or setting of parameters
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/65Updates

Definitions

  • the invention relates to a method for software update of an electronic device, in particular the trigger of low-voltage circuit breakers, according to the preamble of claim 1.
  • test equipment but it can also be executed as internal functions.
  • the problem is that the updated firmware itself can not determine whether this test has actually and successfully been carried out so as to ensure safe operation of the circuit breaker.
  • the object of the invention is to ensure a safe operation of the circuit breaker even after a software update.
  • the solution envisages that the updated software copied into this memory area is checked by means of an external test device, that the test device writes error clearing into the non-volatile memory area and the updated software from the electronic device is only started if the error clearance for the updated software is present.
  • This ensures that the (prescribed) check of the electronic device after a software update is really carried out.
  • This makes a software update much safer and more reliable even for security-relevant devices.
  • such an update can also be carried out by the customer without special knowledge and training.
  • This is useful because the majority of electronic releases of low-voltage circuit breakers are equipped with non-volatile memories (EEPROM, FLASH and buffered RAM).
  • the idea of the invention is to use a portion of this memory to detect the successful verification of the device by an external test device.
  • the electronic device can also check the error clearing cyclically.
  • Security can be increased if the memory area is overwritten with the error clearance of the updated software when copying, or if the memory area for storing the error clearance at the beginning of the software update is overwritten with a predetermined value.
  • the single FIGURE shows a trigger 1 of a low-voltage circuit breaker (not shown itself) in a schematic representation.
  • the trigger has a non-volatile memory 2, 3, wherein the non-volatile Spei- rather 3 is the firmware memory 3, so the memory area in which the operating software (firmware) 3a is stored to be updated.
  • the figure shows an external storage medium 4 (e.g., a floppy disk) on which a current firmware 4a is stored.
  • the updated software 4a is transferred from the external storage medium 4 into the firmware memory 3, which is schematically represented by the arrow 5.
  • an external test device 6 is connected to the trigger 1, which checks whether the updated firmware 3a has been stored correctly and without error in the firmware memory 3. The test by the external test device 6 is in the
  • FIG. 8 Figure schematically represented by an arrow 8. If there is a match, ie firmware 3 a that has been updated without error, a fault-free identifier K is entered into nonvolatile memory 2 in which an identifier memory 7 is reserved for this purpose only.
  • the error clearing K is overwritten in the identification memory 7 after determination of freedom from errors with a current error clearance K, which, for has the current date.
  • the identification memory 7 it is also possible for the identification memory 7 to be overwritten first with a predetermined non-recognition value L at the beginning of the software update and then with the error-free identification K after the firmware update has ended.
  • the query of error clearing K can also be cyclic.

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Stored Programmes (AREA)
  • Breakers (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zum softwaremäßigen Aktualisieren einer elektronischen Einrichtung (1), insbesondere des Auslösers von Niederspannungsleistungsschaltern, deren Software (3a) in einem nichtflüchtigen Speicherbereich (2, 3) abgespeichert ist, bei dem die aktualisierte Software (4a) von einem externen Träger (4) in diesen Speicherbereich (3) kopiert wird. Um auch nach einem Software-Update einen sicheren Betrieb des Leistungsschalters zu gewährleisten, wird vorgeschlagen, dass die in diesen Speicherbereich (3) kopierte aktualisierte Software (4a) mittels einer externen Prüfeinrichtung (6) überprüft wird, dass die Prüfeinrichtung (6) bei fehlerfrei kopierter aktualisierter Software (4a) eine Fehlerfreikennung (K) in den/einen nichtflüchtigen Speicherbereich schreibt und dass die aktualisierte Software von der elektronischen Einrichtung nur gestartet wird, wenn die Fehlerfreikennung (K) für die aktualisierte Software (3a) vorliegt.

Description

Beschreibung
Verfahren zum softwaremäßigen Aktualisieren einer elektronischen Einrichtung, insbesondere des Auslösers von Niederspan- nungs-Leistungsschaltern
Die Erfindung betrifft ein Verfahren zum softwaremäßigen Aktualisieren einer elektronischen Einrichtung, insbesondere des Auslösers von Niederspannungs-Leistungsschaltern, gemäß dem Oberbegriff des Anspruchs 1.
Auslöser von Niederspannungs-Leistungsschaltern benötigen heute eine Software, die als Firmware bezeichnet wird und auf den Leistungsschalter zugeschnitten ist sowie dessen Betrieb steuert. Aufgrund von Fehlerbehebungen und Funktionserweiterungen wird die Firmware ständig weiterentwickelt und verändert. Dabei besteht häufig die Notwendigkeit, bei den sicherheitsrelevanten elektronischen Auslösern die aktualisierte Firmware sicher einzuspielen. Dies sollte nach Möglichkeit auch vom Kunden selbst durchgeführt werden.
Um einen sicheren Betrieb zu gewährleisten, ist es erforderlich, dass wenigstens die sicherheitsrelevanten Funktionen des Leistungsschalters nach der Aktualisierung überprüft wer- den. Diese Überprüfung erfolgt meist mit Hilfe von externen
Prüfgeräten; sie kann aber auch als interne Funktionen ausgeführt werden.
Problematisch ist dabei, dass die aktualisierte Firmware selbst nicht feststellen kann, ob diese Prüfung tatsächlich und erfolgreich durchgeführt worden ist, um so einen sicheren Betrieb des Leistungsschalters sicherzustellen. Die Aufgabe der Erfindung ist es, auch nach einem Software- Update einen sicheren Betrieb des Leistungsschalters zu gewährleisten .
Die Lösung der Erfindung ist durch die Merkmale des Anspruchs 1 gegeben; die Unteransprüche beziehen sich auf vorteilhafte Ausgestaltungen .
Die Lösung sieht vor, dass die in diesen Speicherbereich ko- pierte aktualisierte Software mittels einer externen Prüfeinrichtung überprüft wird, dass die Prüfeinrichtung bei fehlerfrei kopierter aktualisierter Software eine Fehlerfreikennung in den/einen nichtflüchtigen Speicherbereich schreibt und dass die aktualisierte Software von der elektronischen Ein- richtung nur gestartet wird, wenn die Fehlerfreikennung für die aktualisierte Software vorliegt. Damit ist sichergestellt, dass die (vorgeschriebene) Überprüfung der elektronischen Einrichtung nach einem Software-Update auch wirklich durchgeführt wird. Dies macht ein Software-Update auch für sicherheitsrelevante Einrichtungen deutlich sicherer und zuverlässiger. Insbesondere kann ein solches Update auch ohne besondere Kenntnisse und Schulungen vom Kunden selbst durchgeführt werden. Dies bietet sich an, da die Mehrzahl der e- lektronischen Auslöser von Niederspannungs-Leistungsschaltern mit nichtflüchtigen Speichern (EEPROM, FLASH und gepufferte RAM) ausgerüstet ist. Die Idee der Erfindung ist es, einen Teil dieses Speichers dazu zu verwenden, die erfolgreich durchgeführte Überprüfung der Einrichtung durch eine externe Prüfeinrichtung zu erkennen.
Vorteilhafterweise kann die elektronische Einrichtung die Fehlerfreikennung auch zyklisch überprüfen. Die Sicherheit lässt sich erhöhen, wenn der Speicherbereich mit der Fehlerfreikennung von der aktualisierten Software beim Kopieren überschrieben wird oder wenn der Speicherbereich zur Abspeicherung der Fehlerfreikennung zu Beginn der Softwareaktualisierung mit einem vorgegebenen Wert überschrieben wird.
Die Erfindung wird nachfolgend anhand einer Zeichnung mit einer einzigen Figur näher beschrieben.
Die einzige Figur zeigt einen Auslöser 1 eines Niederspan- nungs-Leistungsschalters (selbst nicht gezeigt) in einer schematischen Darstellung. Der Auslöser verfügt über einen nichtflüchtigen Speicher 2, 3, wobei der nichtflüchtige Spei- eher 3 der Firmware-Speicher 3 ist, also der Speicherbereich, in dem die zu aktualisierende Betriebssoftware (Firmware) 3a abgelegt ist. Weiter zeigt die Figur ein externes Speichermedium 4 (z.B. eine Diskette), auf der eine aktuelle Firmware 4a abgespeichert ist. Auf Anforderung oder selbsttätig nach Anschließen des externen Speichermediums 4 wird die aktualisierte Software 4a vom externen Speichermedium 4 in den Firmware-Speicher 3 übertragen, was durch den Pfeil 5 schematisch dargestellt ist.
Nach vollständiger Übertragung der aktuellen Firmware 4a in den Firmware-Speicher 3, der hierbei überschrieben wird, wird eine externe Prüfeinrichtung 6 an den Auslöser 1 angeschlossen, welche überprüft, ob die aktualisierte Firmware 3a korrekt und fehlerfrei im Firmware-Speicher 3 abgelegt wurde. Die Prüfung durch die externe Prüfeinrichtung 6 ist in der
Figur durch einen Pfeil 8 schematisch dargestellt. Bei Übereinstimmung, also fehlerfrei aktualisierter Firmware 3a, wird eine Fehlerfreikennung K in den nichtflüchtigen Speicher 2 geschrieben, in dem ein Kennungsspeicher 7 nur für diesen Zweck reserviert ist.
Die Fehlerfreikennung K wird im Kennungsspeicher 7 nach Fest- Stellung der Fehlerfreiheit mit einer aktuellen Fehlerfrei- kennung K überschrieben, die z.B. das aktuelle Datum aufweist .
Es ist aber auch möglich, dass der Kennungsspeicher 7 zu Be- ginn der Softwareaktualisierung zunächst mit einem vorgegebenen Nichtkennungswert L und erst nach Beendigung der Firmwareaktualisierung mit der Fehlerfreikennung K überschrieben wird .
Vor dem Neustart der aktualisierten Firmware 3a erfolgt jeweils eine Abfrage der Fehlerfreikennung K im Kennungsspeicher 7, was durch den Pfeil 9 dargestellt ist.
Selbstverständlich kann die Abfrage der Fehlerfreikennung K auch zyklisch erfolgen.

Claims

Patentansprüche
1. Verfahren zum softwaremäßigen Aktualisieren einer elektronischen Einrichtung (1), insbesondere des Auslösers von Nie- derspannungsleistungsschaltern, deren Software (3a) in einem nichtflüchtigen Speicherbereich (2, 3) abgespeichert ist, bei dem die aktualisierte Software (4a) von einem externen Träger (4) in diesen Speicherbereich (3) kopiert wird, dadurch gekennzeichnet, dass die in diesen Speicherbereich (3) kopierte aktualisierte Software (4a) mittels einer externen Prüfeinrichtung (6) ü- berprüft wird, dass die Prüfeinrichtung (6) bei fehlerfrei kopierter aktualisierter Software (4a) eine Fehlerfreikennung (K) in den/einen nichtflüchtigen Speicherbereich schreibt und dass die aktualisierte Software von der elektronischen Einrichtung nur gestartet wird, wenn die Fehlerfreikennung (K) für die aktualisierte Software (3a) vorliegt.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die elektronische Einrichtung (1) die Fehlerfreikennung (K) zyklisch überprüft.
3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass der Speicherbereich (3) beim Kopieren von der aktualisierten Software (4a) mit der Fehlerfreikennung überschrieben wird .
4. Verfahren nach einem der Ansprüche 1 - 3, dadurch gekennzeichnet, dass der Speicherbereich (7) zur Abspeicherung der Fehler- freikennung (K) zu Beginn der Softwareaktualisierung mit ei- nem vorgegebenen Wert (L) überschrieben wird.
PCT/EP2007/063008 2006-12-08 2007-11-29 Verfahren zum softwaremässigen aktualisieren einer elektronischen einrichtung, insbesondere des auslösers von niederspannungs-leistungsschaltern WO2008068189A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
US12/448,066 US20100031243A1 (en) 2006-12-08 2007-11-29 Method for updating software of an electronic device, in particular of the release of low-voltage circuit breakers

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102006059107.0 2006-12-08
DE102006059107A DE102006059107A1 (de) 2006-12-08 2006-12-08 Verfahren zum softwaremäßigen Aktualisieren einer elektronischen Einrichtung, insbesondere des Auslösers von Niederspannungs-Leistungsschaltern

Publications (1)

Publication Number Publication Date
WO2008068189A1 true WO2008068189A1 (de) 2008-06-12

Family

ID=39110849

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2007/063008 WO2008068189A1 (de) 2006-12-08 2007-11-29 Verfahren zum softwaremässigen aktualisieren einer elektronischen einrichtung, insbesondere des auslösers von niederspannungs-leistungsschaltern

Country Status (4)

Country Link
US (1) US20100031243A1 (de)
CN (1) CN101548446A (de)
DE (1) DE102006059107A1 (de)
WO (1) WO2008068189A1 (de)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120303974A1 (en) * 2011-05-25 2012-11-29 Condel International Technologies Inc. Secure Removable Media and Method for Managing the Same
KR101357951B1 (ko) * 2012-03-02 2014-02-04 엘에스산전 주식회사 디지털 보호 계전기의 펌웨어 유지보수방법 또는 이를 수행하는 디지털 보호 계전기
ES2628143T3 (es) 2012-10-15 2017-08-01 Verifi Llc Detección de agua subrepticia para vehículos de distribución de hormigón
ES2827790T3 (es) * 2017-08-21 2021-05-24 Carrier Corp Sistema antiincendios y de seguridad que incluye bucle accesible por dirección y mejora automática de firmware
FR3071630B1 (fr) * 2017-09-25 2021-02-19 Schneider Electric Ind Sas Procede de gestion de modules logiciels embarques pour un calculateur electronique d'un appareil electrique de coupure

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5825643A (en) * 1993-08-25 1998-10-20 Square D Company Programming device for a circuit breaker
FR2818402A1 (fr) * 2000-12-01 2002-06-21 Gen Electric Bloc de declenchement electronique a possibilites de telechargement de logiciel
US20040169984A1 (en) * 2002-11-15 2004-09-02 Abb Research Ltd. Protective device and method for installation of a protective function in a protective device
WO2004084370A1 (de) * 2003-03-17 2004-09-30 Siemens Akitengesellschaft Verfahren und schutzeinrichtung zur störungssicheren parametrierung von elektronischen baugruppen, insbesondere niederspannungs-leistungsschaltern

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001527713A (ja) * 1997-03-27 2001-12-25 エラン・シャルテレメンテ・ゲーエムベーハー・ウント・コンパニー・カーゲー 安全性指向の制御システム、ならびにこのシステムを運営する方法
EP1043640A2 (de) * 1999-04-09 2000-10-11 Siemens Aktiengesellschaft Fehlersicheres Automatisierungssystem mit Standard-CPU und Verfahren für ein fehlersicheres Automatisierungssystem
US6907602B2 (en) * 2000-08-10 2005-06-14 Mustek Systems Inc. Method for updating firmware of computer device
US6868349B2 (en) * 2002-04-04 2005-03-15 General Electric Company Method and devices for wireless communication between test and control devices and power distribution devices
DE10240584A1 (de) * 2002-08-28 2004-03-11 Pilz Gmbh & Co. Sicherheitssteuerung zum fehlersicheren Steuern von sicherheitskritischen Prozessen sowie Verfahren zum Aufspielen eines neuen Betriebsprogrammes auf eine solche
WO2004042538A2 (en) * 2002-11-05 2004-05-21 Bitfone Corporation Firmware update system for facilitating firmware update in mobile handset related applications
US6996818B2 (en) * 2002-11-22 2006-02-07 Bitfone Corporation Update system for facilitating software update and data conversion in an electronic device
DE102004060333A1 (de) * 2004-12-15 2006-07-06 Siemens Ag Erkennung und Anzeige von Modifikationen an Softwareständen für Motorsteuergerätesoftware
US7685380B1 (en) * 2005-06-29 2010-03-23 Xilinx, Inc. Method for using configuration memory for data storage and read operations

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5825643A (en) * 1993-08-25 1998-10-20 Square D Company Programming device for a circuit breaker
FR2818402A1 (fr) * 2000-12-01 2002-06-21 Gen Electric Bloc de declenchement electronique a possibilites de telechargement de logiciel
US20040169984A1 (en) * 2002-11-15 2004-09-02 Abb Research Ltd. Protective device and method for installation of a protective function in a protective device
WO2004084370A1 (de) * 2003-03-17 2004-09-30 Siemens Akitengesellschaft Verfahren und schutzeinrichtung zur störungssicheren parametrierung von elektronischen baugruppen, insbesondere niederspannungs-leistungsschaltern

Also Published As

Publication number Publication date
CN101548446A (zh) 2009-09-30
US20100031243A1 (en) 2010-02-04
DE102006059107A1 (de) 2008-06-12

Similar Documents

Publication Publication Date Title
EP2447843B1 (de) Verfahren zur Verifizierung eines Anwendungsprogramms einer fehlersicheren Speicherprogrammierbaren Steuerung, und Speicherprogrammierbare Steuerung zur Ausführung des Verfahrens
EP1903436B1 (de) Computersystem und Verfahren zum Aktualisieren von Programmcode
WO2005004160A2 (de) Verfahren zur durchführung eines software-updates eines elektronischen steuergerätes durch eine flash-programmierung über eine serielle schnittstelle und ein entsprechender zustandsautomat
WO2008068189A1 (de) Verfahren zum softwaremässigen aktualisieren einer elektronischen einrichtung, insbesondere des auslösers von niederspannungs-leistungsschaltern
DE102004042002A1 (de) Verbesserte Reparaturverifikation für elektronische Fahrzeugsysteme
EP3218804A1 (de) Update einer firmware
WO2021233696A1 (de) Verfahren zur sicheren nutzung von kryptografischem material
DE10322748B4 (de) Elektronische Steuereinrichtung
DE3728561A1 (de) Verfahren zur ueberpruefung einer ueberwachungseinrichtung fuer einen mikroprozessor
DE102013021231A1 (de) Verfahren zum Betrieb eines Assistenzsystems eines Fahrzeugs und Fahrzeugsteuergerät
DE102016200130A1 (de) Elektronische Steuervorrichtung
EP3215946A1 (de) Überprüfungsvorrichtung für datenaufbereitungseinrichtung
EP2729857B1 (de) Dokumentation von fehlern in einem fehlerspeicher eines kraftfahrzeugs
DE102007005683B3 (de) Verfahren und Vorrichtung zum Abspeichern eines Fehlercodes
WO2006136189A1 (de) Verfahren und vorrichtung zum überwachen eines unerlaubten speicherzugriffs einer rechenvorrichtung, insbesondere in einem kraftfahrzeug
WO2004070487A2 (de) Verfahren und vorrichtung zur überwachung einer elektronischen steuerung
DE102020200141A1 (de) Fehlertolerantes Regelsystem
DE102020108987A1 (de) Verfahren, System, Computerprogramm und Speichermedium zum fehlertoleranten Betreiben eines Fahrzeugs
DE102006052049A1 (de) Verfahren zur Instandsetzung der Fahrzeugelektronik eines Kraftfahrzeugs
DE102018219700B4 (de) Steuervorrichtung
DE19757290C1 (de) Verfahren zum Betreiben eines Steuerrrechners, insbesondere eines Insassenschutzsystem-Steuergeräts in einem Kraftfahrzeug und entsprechend arbeitendes Steuergerät
DE102006040644A1 (de) Korrekturverfahren für einen neu-programmierbaren Mikroprozessor
DE102017108481A1 (de) Verfahren und System zum Überwachen einer Fahrzeug-Steuereinheit
DE102021101876A1 (de) Formale Verifikation eines Programms eines Steuergeräts
DE10135285A1 (de) Speichereinrichtung und Verfahren zum Betreiben eines eine Speichereinrichtung enthaltenden Systems

Legal Events

Date Code Title Description
WWE Wipo information: entry into national phase

Ref document number: 200780045142.8

Country of ref document: CN

121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 07847524

Country of ref document: EP

Kind code of ref document: A1

WWE Wipo information: entry into national phase

Ref document number: 2083/KOLNP/2009

Country of ref document: IN

WWE Wipo information: entry into national phase

Ref document number: 12448066

Country of ref document: US

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 07847524

Country of ref document: EP

Kind code of ref document: A1