WO2021244868A1 - System zum übertragen zumindest eines aktualisierungspakets, sowie verfahren - Google Patents

System zum übertragen zumindest eines aktualisierungspakets, sowie verfahren Download PDF

Info

Publication number
WO2021244868A1
WO2021244868A1 PCT/EP2021/063573 EP2021063573W WO2021244868A1 WO 2021244868 A1 WO2021244868 A1 WO 2021244868A1 EP 2021063573 W EP2021063573 W EP 2021063573W WO 2021244868 A1 WO2021244868 A1 WO 2021244868A1
Authority
WO
WIPO (PCT)
Prior art keywords
update package
vehicle
transmission device
control device
designed
Prior art date
Application number
PCT/EP2021/063573
Other languages
English (en)
French (fr)
Inventor
Christian Seiler
Original Assignee
Daimler Ag
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Daimler Ag filed Critical Daimler Ag
Publication of WO2021244868A1 publication Critical patent/WO2021244868A1/de

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/65Updates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1415Saving, restoring, recovering or retrying at system level
    • G06F11/1433Saving, restoring, recovering or retrying at system level during software upgrading
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1415Saving, restoring, recovering or retrying at system level
    • G06F11/1438Restarting or rejuvenating

Definitions

  • the invention relates to a system for transmitting at least one update package for at least one control device of a motor vehicle according to the preamble of patent claim 1.
  • the invention also relates to a method.
  • systems to be updated can be formed from a large number of different control units, which can also be referred to as electronic computing units (ECU).
  • ECU electronic computing units
  • Such a device can be, for example, a motor vehicle or a house.
  • a central memory device external to the motor vehicle which can also be referred to as a back-end server, can be configured.
  • Corresponding management systems can be arranged in the motor vehicle itself, which can both carry out their own software updates and also do this for the control units of the motor vehicle.
  • Each software update which corresponds to the update package, consists of a binary data set, which is the same for each unit within the campaign, and a software configuration data set, which is individual for each unit and is generated specifically for this unit. Update packages can then be provided for both the binary data set and the configuration data set.
  • DE 102018 001 347 A1 relates to a system for transmitting at least one update package for at least one control device of a motor vehicle, with a storage device external to the vehicle, which is designed to store the update package, with a communication device which is used to transmit the update package wirelessly to at least the external storage device a transmission device of the system is designed, which directs a transmission process of the update package for at least one control device and is designed to install the update package on the at least one control device, wherein the at least one transmission device is arranged inside the vehicle.
  • the object of the present invention is to create a system and a method by means of which a more reliable installation of an update package can be implemented.
  • One aspect of the invention relates to a system for transmitting at least one update package for at least one control unit of a motor vehicle, with a storage device external to the vehicle, which is designed to store an update package, and with a transmission device designed inside the vehicle, which carries out a transmission process of the update package for the at least one control unit within the vehicle and is designed to install the update package on the at least one control device, the system having a communication device for wireless transmission of the update package from the storage device to the vehicle-internal transmission device.
  • At least the transmission device is designed to carry out a check within the vehicle by querying the at least one control unit as to whether the update package has been successfully installed on the at least one control unit. As a result, it is possible to reliably check inside the vehicle whether the update package has also been completely and correctly installed on the at least one control device. If this is not the case, for example, appropriate countermeasures can be initiated to prevent failure of the control unit.
  • the motor vehicle has a multiplicity of control units which are designed independently of one another.
  • the at least one control device or the plurality of control devices can in particular be an electronic control unit (ECU).
  • the control device is designed in particular as an electronic computing device.
  • the storage device external to the motor vehicle is in particular a so-called server, in particular a backend server, which can be connected to a network, for example.
  • the transmission device of the system is in particular a so-called download manager, which in the present case is designed inside the vehicle and is designed to direct or manage the transmission process of the update package and is designed to install the update package on the at least one control unit.
  • the motor vehicle can have a communication device by means of which the motor vehicle can communicate with the communication device of the storage device and the update packet can be received.
  • This communication device can be, for example, a telematics control unit (TCU).
  • Management is to be understood in particular as controlling the installation and / or taking functional dependencies into account.
  • the “initiation” for installing and / or downloading the update package from the external storage device can be viewed under “Lead”.
  • Installation is to be understood in particular as the control of the transmission of, for example, useful data to the control devices. It can be provided that the transmission device directs the installation with respect to the control units and carries it out directly. It is also possible that the transmission device directs the installation by sending control information to the control unit and the control unit itself downloads and installs the software corresponding to the update package from the external storage device.
  • the control device itself can thus be designed as a communication device, but without having a direct connection with regard to the control data to the external communication device.
  • update package campaigns can be defined with the storage device external to the vehicle using vehicle information from the transmission device as a set of rules. These rules are used for all motor vehicles which are stored in the memory device and which match the features sought. A campaign can thus be created dynamically without first knowing the exact size of the vehicles. If a rule applies to a motor vehicle, the memory device external to the motor vehicle first synchronizes control data with the transmission device in order to disclose the type and scope of the update package in the motor vehicle. The transmission device will then download the user data from the update package and install it in the control units concerned.
  • Campaigns can thus be controlled, for example started, paused or stopped, via the storage device external to the vehicle. Once a campaign has been defined and started, it will run until the motor vehicle of the determined scope has been processed. A distinction is made between successful and incorrect updates. In the event of incorrect updates, the update package can be restarted as a countermeasure. If a campaign is paused, the rules are no longer transferred to the motor vehicles, so that only motor vehicles that have already started the download continue to download the update packages. When the campaign is stopped, the storage device external to the vehicle is able to interrupt the download and the installation as an update package in the transmission device via a command. This also enables an update package campaign to be interrupted prematurely if, for example, an update package should contain critical errors and its distribution should be stopped immediately. Via the synchronization mechanism, the storage device external to the vehicle is able to receive status information about the download and the installation and to add this in campaign management monitor. In addition, errors and aborted installations are reported, which can be monitored in this way.
  • the basis for the data exchange between the motor vehicle and the storage device external to the motor vehicle forms a synchronization mechanism which, via the transmission device software, collects the identification features from the updating control units in the motor vehicle.
  • This transmission device is regularly synchronized with the storage device external to the vehicle, so that all updatable vehicles can be buffered. If the transmission device receives a new update job as a result of the synchronization with the storage device external to the vehicle, it receives control data for the update package therein. With the control data, the transmission device is able to update the relevant control devices in the motor vehicle network on the control device, taking into account different dependencies.
  • the dependencies of the software are handled by a comprehensive software network that is implemented by the transmission device and the software components are transmitted to the respective control device by the transmission device.
  • the vehicle identification number, the currently available software version and the software identification number serve as features.
  • the system can in particular be provided for a single motor vehicle and for a large number of motor vehicles.
  • the system can be used to provide the update package for an individual motor vehicle, the motor vehicle having the transmission device. It is also possible for the system to provide the update package for a large number of motor vehicles, each of the individual motor vehicles then having a respective transmission device.
  • the invention proposes a binary approach for retrieving and storing software configuration data from a control device, in which the specific sequence of queries depends on the actual software version of the control device. This therefore requires a two-stage synchronization mechanism. First, the identification data of the control device are synchronized between the transmission device and the storage device.
  • the specific configuration reading sequences (Configuration Reading Sequence - CRS) and the configuration writing sequences (Configuration Writing Sequence - CWS) are generated by a diagnostic data cloud, which can be configured externally on the vehicle.
  • the configuration data itself is separated from the addressing information for reading and writing the data to the target control device. This enables the support of a so-called UDS-based configuration mechanism (Unified Diagnostic Service) and is at the same time open to future protocols such as REST.
  • the configuration data record has, in particular, a sequence and a defined order. In particular, each configuration element in the data record has a clearer reference in order to enable the connection to the CRD and the CWS accordingly.
  • the remote update device management system which corresponds in particular to the storage device, stores these two sequence lists for each motor vehicle and each control device and each software status, this being derived from identification data of the control device, in the cache.
  • the CRS and the CWS are under version control, along with metadata for tracking the process of generating these sequences. At least every CRS and CWS is provided with a unique identifier, a configuration sequence identifier CSID. In addition, the CRS and CWS contain each other's corresponding peer CSID for cross-referencing.
  • the invention thus enables the control unit and the entity-specific read and write method to retrieve and store software configuration data from a remote system without a fully equipped diagnostic system stack having to be brought into the entity.
  • This enables full process security for both software and software configuration updates and enables other use cases that depend on the availability of actual software configuration data records on the remote Set up a system, for example performing analyzes of the quality of configuration data at the fleet level, in order to determine the urgency and necessity of update campaigns and to improve their preparation.
  • the present invention focuses in particular on a motor vehicle as an entity.
  • the invention is not limited to motor vehicles; rather, the idea according to the invention can also be transferred to other entities, such as houses, for example.
  • the transmission device is designed to temporarily store the update package and to carry out the check as a function of a comparison of the cached update package on the transmission device and in the installed update package on the at least one control device.
  • the update packet which was transmitted from the storage device to the transmission device is temporarily stored by the transmission device.
  • the update package is then transmitted to the at least one control unit.
  • the motor vehicle-internal transmission device can then in turn carry out a check by comparing the temporarily stored update package with the update package installed on the control unit to determine whether a corresponding successful installation has been recorded on the control unit.
  • the transmission device is designed to carry out the check on the basis of a query of a configuration write sequence from the transmission device to the at least one control device.
  • the identification of the control device is thus first called up from the memory device, this state then being reported to the memory device for the administration.
  • the diagnostic data cloud is used to determine both the CRS and the
  • the transmission device is designed to transmit a status report on the installation of the update package on the at least one control device to the storage device external to the vehicle. In particular, it is thus possible to check whether the installation was successful both on the transmission device and on the storage device. This enables reliable verification of whether the installation of the update package was successful.
  • the memory device is designed to carry out a check as a function of the transmitted status report as to whether the installation of the update package on the control device has been carried out successfully.
  • a configuration writing sequence and a configuration reading sequence are transmitted from the storage device external to the vehicle to the transmission device in addition to the update package.
  • the diagnostic data cloud is used to read both the configuration read sequences CRS and the
  • the transmission device is designed to store a previous data packet of the update package and, if the update package is not successfully installed on the at least one control device, install the previous data packet again on the at least one control device.
  • the current software on the control unit i.e. a previous version of the update package
  • the previous version is installed again as the previous data package by the control device and used again.
  • a fail-safe can thus be provided if the update package is not installed successfully so that the control device can continue to be used. This prevents the control unit from failing and increases road safety.
  • the transmission device is designed to temporarily store the previous data package of the at least one control device prior to the installation of the update package and to carry out the installation of the update package after the temporary storage.
  • This makes it possible for the transmission device to temporarily store the previous version, in other words the previous data packet, before the update package is installed on the control device. If an error occurs when installing the update package, the transmission device can reliably install the previous version after the update package has not been installed. In this way, a fail-safe option can be created so that road safety is increased because, for example, the control unit cannot fail.
  • the transmission device is designed to transmit a status report on the unsuccessful installation and / or on the reinstallation of the previous data packet to the storage device.
  • the storage device embodied externally to the motor vehicle can generate a status report of the current update status on the motor vehicle. It can then be provided, for example, that an attempt is made again in the future to install the update package on the control device.
  • Another aspect of the invention relates to a method for transmitting at least one update package for at least one control unit of a motor vehicle by means of a system with a storage device external to the vehicle, in which the storage device stores the update package, and in which a transmission process of the update package for the at least one control device is routed inside the vehicle and the update package is installed on the at least one control device, the update package being transmitted wirelessly from the storage device to the vehicle-internal transmission device by means of a communication device of the system. Provision is made for a check to be carried out within the vehicle by means of the transmission device by querying the at least one control device as to whether the update package has been successfully installed on the control device.
  • Advantageous refinements of the system are to be regarded as advantageous refinements of the method.
  • the system has objective features in order to carry out the method.
  • FIG. 1 shows a schematic block diagram of an embodiment of a system during a check of an update packet
  • FIG. 3 shows a further schematic block diagram of the system according to FIG. 2 in a second phase of the update process.
  • FIG. 1 shows a schematic block diagram of an embodiment of a system 10.
  • the system 10 is designed to transmit an update package 12 for the at least one control device 14 of a motor vehicle 16.
  • the system 10 has a memory device 18 external to the motor vehicle, which is designed to store the update package 12.
  • the system 10 has a transmission device 22 embodied inside the vehicle, which directs a transmission process of the update package 12 for the at least one control unit 14 within the vehicle and is embodied to install the update package 12 on the at least one control unit 14.
  • the system 10 has at least one communication device 24 for wirelessly transmitting the update package 12 from the storage device 18 to the vehicle-internal transmission device 22.
  • At least the transmission device 22 is designed to send a query 26 to the at least one control device 14 inside the vehicle Carry out a check 28 as to whether the update package 12 has been successfully installed on the at least one control device 14.
  • the transmission device 22 is designed to temporarily store the update package 12 and to carry out the check 28 as a function of a comparison of the temporarily stored update package 12 on the transmission device 22 and the installed update package 12 on the at least one control device 14.
  • a configuration write sequence CWS and a configuration read sequence CRS can be transmitted from the storage device 18 external to the vehicle to the transmission device 22; the CWS and CRS can be generated, for example, by a diagnostic data cloud 20.
  • the transmission device 22 can be designed to carry out the check 28 on the basis of a query of the configuration write sequence CWS from the transmission device 22 to the at least one control device 14.
  • the transmission device 22 is designed to transmit a status report 30 about the installation of the update package 12 on the at least one control device 14 to the storage device 18 external to the motor vehicle.
  • the storage device 18 can furthermore be designed to carry out a further check as a function of the transmitted status report 30 as to whether the installation of the update package 12 on the control device 14 has been carried out successfully.
  • a first “use case” in which it can be checked whether the update of the update package 12 would also be carried out successfully on the at least one control device 14.
  • the update package 12 is prepared by the storage device 18 external to the vehicle.
  • a synchronization takes place between the transmission device 22 and the storage device 18.
  • the storage device 18 transmits the update packet 12, in particular with the configuration write sequence CWS and with the configuration read sequence CRS.
  • this is then Update packet 12 is transmitted from the transmission device 22 to the control device 14, in particular with the configuration write sequence CWS.
  • a status report for the installation of the at least one control device 14 to the vehicle-internal transmission device 22 there is a status report for the installation of the at least one control device 14 to the vehicle-internal transmission device 22.
  • the transmission device 22 inquires about the update status of the control device 14, and in particular uses the configuration write sequence CWS .
  • the at least one control device 14 transmits the current configuration to the vehicle-internal transmission device 22.
  • the check 28 takes place as to whether the update package 12 installed on the control device 14 also corresponds to the current update package 12.
  • the transmission device 22 sends the status report 30 to the memory device 18 external to the vehicle , corresponds to the update package 12 which has been temporarily stored on the storage device 18.
  • an eleventh step S1.11 it is then stored that the update was successful.
  • the built-in update management system carries out cross-checks between the software configuration data set, as it corresponds to the update package 12, and was part of the update job, and the software configuration data set, which was called up by the control unit 14. If both configuration records are the same, the update was successful. This is also checked as an optional double check in the tenth step S1.10 on the storage device 18.
  • a cross-check of the CSID references of both target configurations is essential. In particular, it should be checked whether the update package 12 and the actually installed update package 12 match. In particular, there should therefore be a cross-correspondence of the CSID. If this is not the case, this can also be an indicator of an error and the test result would be negative.
  • FIG. 2 shows a schematic block diagram of the system 10 during a first phase of a further application.
  • Fig. 2 shows the verification In the vehicle and, if necessary, the generation of a backup of a previous version or a previous data record 32, should the update of the update package 12 fail, for example.
  • FIG. 2 thus shows that the transmission device 22 is designed to store the previous data package 32 of the update package 12 and, in the event of an unsuccessful installation of the update package 12 on the at least one control device 14, the installation of the previous data package 32 again on the at least one control device 14 perform.
  • the transmission device 22 is designed to temporarily store the previous data package 32 of the at least one control device 14 prior to the installation of the update package 12 and to carry out the installation of the update package 12 after the temporary storage.
  • the transmission device 22 is designed to transmit a status report 30 about the unsuccessful installation and / or the reinstallation of the previous data package 32 to the storage device 18.
  • FIG. 2 thus shows that the update package 12 is prepared by the storage device 18 in a first step S2.1.
  • a synchronization takes place between the motor vehicle-internal transmission device 22 and the storage device 18.
  • a third step S2.3 The update package 12 is transmitted.
  • the update package 12 is then transmitted from the transmission device 22 to the at least one control unit 14 within the vehicle.
  • the at least one control device 14 in turn sends a current status report to the transmission device 22.
  • the transmission device 22 queries the current configuration status of the at least one control device 14.
  • the at least one control device 14 then sends the current configuration status to the transmission device 22.
  • step S2.8 the check 28 takes place as to whether the update package 12 on the at least one control device 14 also corresponds to the actual update package 12 .
  • FIG. 2 thus shows the verification of the configuration on the at least one control device 14. It is necessary here for the CID references of both target configuration checks to be the same. There should then be a crossover agreement of the CISDs. If this is not the case, this can be an indicator of an incorrect update and the test result would be negative. If this check is positive, the content of the target configuration and the actual configuration are checked. In this case, as shown in FIG. 2, there may be a deviation, for example. Thus, the check 28 fails. If the check 28 has failed, a further phase, as shown in FIG. 3, can be passed over.
  • FIG. 3 shows the system 10 according to FIG. 2 in a further block diagram in a further phase. In particular, this is shown in FIG. 3, should the check 28 according to FIG. 2 have failed, how a countermeasure can be initiated.
  • a ninth step S2.9 the previous data packet 32 can be reinstalled using the previous data packet 32.
  • a status report of the at least one control device 14 is made to the transmission device 22.
  • the transmission device 22 queries the current configuration status from the at least one control device 14.
  • the at least one control device 14 then sends the current configuration status to the transmission device 22. For example, the at least one control device 14 should send the configuration status that it has the previous version, i.e. the previous data record 32, as configuration.
  • a further check then takes place as to whether the newly installed previous version on the at least one control device 14 also corresponds to the actual previous version.
  • a status report 30 is then transmitted from the transmission device 22 to the storage device 18 that, for example, the update with the update package 12 has failed, but the previous data package 32 was again installed on the at least one control device 14.
  • a 15th step S2.15 it can be checked whether the installed previous version also corresponds to the actually new previous version.
  • the The update status of the at least one control device 14 is stored on the storage device 18.

Abstract

Die Erfindung betrifft ein System sowie ein Verfahren (10) zum Übertragen zumindest eines Aktualisierungspakets (12) für zumindest ein Steuergerät (14) eines Kraftfahrzeugs (16), mit einer kraftfahrzeugexternen Speichereinrichtung (18), welche zum Abspeichern des Aktualisierungspakets (12) ausgebildet ist, und mit einer kraftfahrzeugintern ausgebildeten Übertragungseinrichtung (22), welche einen Übertragungsvorgang des Aktualisierungspakets (12) für das zumindest eine Steuergerät (14) kraftfahrzeugintern leitet und zum Installieren des Aktualisierungspakets (12) auf dem zumindest einen Steuergerät (14) ausgebildet ist, wobei das System (10) eine Kommunikationseinrichtung (24) zum drahtlosen Übertragen des Aktualisierungspakets (12) von der Speichereinrichtung (18) zur kraftfahrzeuginternen Übertragungseinrichtung (22) aufweist, wobei zumindest die Übertragungseinrichtung (22) dazu ausgebildet ist, kraftfahrzeugintern durch eine Abfrage (26) bei dem zumindest einen Steuergerät (14) eine Überprüfung (28) durchzuführen, ob das Aktualisierungspaket (12) erfolgreich auf dem zumindest einem Steuergerät (14) installiert ist. Ferner betrifft die Erfindung ein Verfahren.

Description

System zum Übertragen zumindest eines Aktualisierungspakets, sowie Verfahren
Die Erfindung betrifft ein System zum Übertragen zumindest eines Aktualisierungspakets für zumindest ein Steuergerät eines Kraftfahrzeugs gemäß Oberbegriff von Patentanspruch 1. Ferner betrifft die Erfindung ein Verfahren.
Aus dem Stand der Technik ist bekannt, dass zu aktualisierende Systeme, welche auch als Einrichtung bezeichnet werden können, aus einer Vielzahl von unterschiedlichen Steuergeräten, welche auch als Electronic Computing Unit (ECU) bezeichnet werden können, ausgebildet sein können. Eine solche Einrichtung kann beispielsweise ein Kraftfahrzeug oder ein Haus sein. Insbesondere kann zum Aktualisieren dieser Einrichtung, insbesondere des Kraftfahrzeugs, eine zentrale kraftfahrzeugexterne Speichereinrichtung, welche auch als Back-End-Server bezeichnet werden kann, ausgebildet sein. Im Kraftfahrzeug selbst können entsprechende Managementsysteme angeordnet sein, die sowohl ihr eigenes Softwareupdate durchführen können, als auch für die Steuergeräte des Kraftfahrzeugs dies durchführen können. Jedes Softwareupdate, was dem Aktualisierungspaket entspricht, besteht aus einem binären Datensatz, was für jede Einheit innerhalb der Kampagne gleich ist und einem Softwarekonfigurationsdatensatz, welches für jede Einheit individuell ist und speziell für diese Einheit erzeugt wird. Es können dann Aktualisierungspakete sowohl für den binären Datensatz als auch für den Konfigurationsdatensatz bereitgestellt werden.
Aus dem derzeitigen Stand der Technik ist kein Backup-System bekannt, bei welchem vor dem Aktualisieren des Datenpakets eine entsprechende Rückfallposition erzeugt wird, sodass beispielsweise bei einer Fehlinstallation des Aktualisierungspakets dies überprüft werden kann und entsprechende Gegenmaßnahmen eingeleitet werden können. Die DE 102018 001 347 A1 betrifft ein System zum Übertragen zumindest eines Aktualisierungspakets für zumindest ein Steuergerät eines Kraftfahrzeugs, mit einer kraftfahrzeugexternen Speichereinrichtung, welche zum Abspeichern des Aktualisierungspakets ausgebildet ist, mit einer Kommunikationseinrichtung, welche zum Übertragen des Aktualisierungspakets von der kraftfahrzeugexternen Speichereinrichtung drahtlos an zumindest eine Übertragungseinrichtung des Systems ausgebildet ist, welche einen Übertragungsvorgang des Aktualisierungspakets für zumindest ein Steuergerät leitet und zum Installieren des Aktualisierungspakets auf dem zumindest einen Steuergerät ausgebildet ist, wobei die zumindest eine Übertragungseinrichtung kraftfahrzeugintern angeordnet ist.
Aufgabe der vorliegenden Erfindung ist es, ein System sowie Verfahren zu schaffen, mittels welchem eine zuverlässigere Installation eines Aktualisierungspakets realisiert werden kann.
Diese Aufgabe wird durch ein System sowie durch ein Verfahren gemäß den unabhängigen Patentansprüchen gelöst. Vorteilhafte Ausgestaltungsformen sind in den Unteransprüchen angegeben.
Ein Aspekt der Erfindung betrifft ein System zum Übertragen zumindest eines Aktualisierungspakets für zumindest ein Steuergerät eines Kraftfahrzeugs, mit einer kraftfahrzeugexternen Speichereinrichtung, welche zum Abspeichern eines Aktualisierungspakets ausgebildet ist, und mit einer kraftfahrzeuginternen ausgebildeten Übertragungseinrichtung, welche ein Übertragungsvorgang des Aktualisierungspakets für das zumindest eine Steuergerät kraftfahrzeugintern leitet und zum Installieren des Aktualisierungspakets auf dem zumindest einen Steuergerät ausgebildet ist, wobei das System eine Kommunikationseinrichtung zum drahtlosen Übertragen des Aktualisierungspakets von der Speichereinrichtung zur kraftfahrzeuginternen Übertragungseinrichtung aufweist.
Es ist vorgesehen, dass zumindest die Übertragungseinrichtung dazu ausgebildet ist, kraftfahrzeugintern durch Abfrage bei dem zumindest einen Steuergerät eine Überprüfung durchzuführen, ob das Aktualisierungspaket erfolgreich auf dem zumindest einen Steuergerät installiert ist. Dadurch kann zuverlässig kraftfahrzeugintern überprüft werden, ob das Aktualisierungspaket auch vollständig und korrekt auf dem zumindest einen Steuergerät installiert worden ist. Sollte dies beispielsweise nicht der Fall sein, so können entsprechende Gegenmaßnahmen eingeleitet werden, um einen Ausfall des Steuergeräts zu verhindern.
Insbesondere kann vorgesehen sein, dass das Kraftfahrzeug eine Vielzahl von Steuergeräten aufweist, welche unabhängig voneinander ausgebildet sind. Bei dem zumindest einen Steuergerät beziehungsweise bei der Vielzahl von Steuergeräten kann es sich insbesondere um ein elektronisches Steuergerät (Electronic Control Unit - ECU) handeln. Das Steuergerät ist insbesondere als elektronische Recheneinrichtung ausgebildet. Bei der kraftfahrzeug externen Speichereinrichtung handelt es sich insbesondere um einen sogenannten Server, insbesondere um einen Backend-Server, welcher beispielsweise mit einem Netzwerk verbunden sein kann. Bei der Übertragungseinrichtung des Systems handelt es sich insbesondere um einen sogenannten Download-Manager, welcher vorliegend kraftfahrzeugintern ausgebildet ist und zum Leiten beziehungsweise Managen des Übertragungsvorgangs des Aktualisierungspakets ausgebildet ist und zum Installieren des Aktualisierungspakets auf dem zumindest einen Steuergerät ausgebildet ist. Beispielsweise kann das Kraftfahrzeug eine Kommunikationseinrichtung aufweisen, mittels welcher das Kraftfahrzeug mit der Kommunikationseinrichtung der Speichereinrichtung kommunizieren kann und das Aktualisierungspaket empfangbar ist. Bei dieser Kommunikationseinrichtung kann es sich beispielsweise um eine Telematik-Steuereinheit (Telematik Control Unit - TCU) handeln.
Unter Leiten sind insbesondere das Steuern der Installation und/oder das Berücksichtigen von funktionalen Abhängigkeiten zu verstehen. Des Weiteren kann unter Leiten das „Anstoßen“ zum Installieren und/oder zum Herunterladen des Aktualisierungspakets von der externen Speichereinrichtung angesehen werden. Unter Installieren ist insbesondere die Steuerung von der Übertragung von beispielsweise Nutzdaten an die Steuergeräte zu verstehen. Dabei kann vorgesehen sein, dass die Übertragungseinrichtung die Installation gegenüber den Steuergeräten leitet und direkt durchführt. Ebenfalls möglich ist, dass die Übertragungseinrichtung die Installation leitet, indem diese dem Steuergerät Steuerinformationen zukommen lässt und das Steuergerät sich selbst die Software, was dem Aktualisierungspaket entspricht, von der externen Speichereinrichtung herunterlädt und installiert. Somit kann das Steuergerät selbst als Kommunikationseinrichtung ausgebildet sein, jedoch ohne direkte Verbindung bezüglich der Steuerdaten zur externen Kommunikationseinrichtung aufzuweisen.
Ferner kann vorgesehen sein, dass sich mit der kraftfahrzeugexternen Speichereinrichtung sogenannte Aktualisierungspaketkampagnen unter der Verwendung von Fahrzeuginformationen der Übertragungseinrichtung als Regelwerk definieren lassen. Diese Regeln werden auf alle Kraftfahrzeuge, welche in der Speichereinrichtung abgespeichert sind, verwendet, die auf die gesuchten Merkmale passen. Damit kann eine Kampagne dynamisch gebildet werden, ohne zuvor den genauen Umfang der Kraftfahrzeuge zu kennen. Trifft eine Regel auf ein Kraftfahrzeug zu, so synchronisiert die kraftfahrzeugexterne Speichereinrichtung zunächst Steuerdaten mit der Übertragungseinrichtung, um Art und Umfang des Aktualisierungspakets im Kraftfahrzeug bekannt zu geben. Im Anschluss daran wird die Übertragungseinrichtung die Nutzdaten des Aktualisierungspakets herunterladen und in den betroffenen Steuergeräten installieren.
Über die kraftfahrzeugexterne Speichereinrichtung lassen sich somit Kampagnen steuern, zum Beispiel starten, pausieren oder stoppen. Ist eine Kampagne definiert und gestartet, läuft sie solange, bis das Kraftfahrzeug des ermittelten Umfangs bearbeitet wurde. Dabei wird zwischen erfolgreichen und fehlerhaften Aktualisierungen unterschieden. Für fehlerhafte Aktualisierungen kann als Gegenmaßnhame das Aktualisierungspaket wieder neu gestartet werden. Wird eine Kampagne pausiert, so werden die Regeln nicht weiter an die Kraftfahrzeuge übertragen, sodass nur Kraftfahrzeuge, die bereits den Download gestartet haben, die Aktualisierungspakete weiter herunterladen. Beim Stoppen der Kampagne ist die kraftfahrzeugexterne Speichereinrichtung in der Lage, über ein Kommando den Download und die Installation als Aktualisierungspaket in der Übertragungseinrichtung zu unterbrechen. Damit ist auch die vorzeitige Unterbrechung einer Aktualisierungspaketkampagne möglich, wenn zum Beispiel ein Aktualisierungspaket kritische Fehler enthalten sollte und dessen Verbreitung sofort unterbunden werden sollte. Über den Synchronisationsmechanismus ist die kraftfahrzeugexterne Speichereinrichtung in der Lage, Statusinformationen über den Download und die Installation zu erhalten und diese im Kampagnenmanagement zu überwachen. Darüber hinaus werden Fehler und Installationsabbrüche gemeldet, die so überwacht werden können.
Die Basis für den Datenaustausch zwischen Kraftfahrzeug und der kraftfahrzeugexternen Speichereinrichtung bildet ein Synchronisationsmechanismus, der über die Übertragungseinrichtungssoftware die Identifikationsmerkmale von den aktualisierenden Steuergeräten im Kraftfahrzeug sammelt. Diese Übertragungseinrichtung synchronisiert sich regelmäßig mit der kraftfahrzeugexternen Speichereinrichtung, sodass alle updatefähigen Kraftfahrzeuge gepuffert werden können. Empfängt die Übertragungseinrichtung durch die Synchronisation mit der kraftfahrzeugexternen Speichereinrichtung einen neuen Aktualisierungsauftrag, bekommt diese darin Steuerdaten für das Aktualisierungspaket mitgeteilt. Mit den Steuerdaten ist die Übertragungseinrichtung in der Lage, auf den betreffenden Steuergeräten im Kraftfahrzeug netzwerk unter der Berücksichtigung von unterschiedlichen Abhängigkeiten diese auf dem Steuergerät zu aktualisieren.
Die Abhängigkeiten der Software werden durch einen umfassenden Softwareverbund behandelt, der durch die Übertragungseinrichtung implementiert wird und durch die Übertragungseinrichtung die Softwareanteile an das jeweilige Steuergerät übertragen wird. Als Merkmal dienen zum Beispiel die Fahrzeugidentifikationsnummer, die momentan verfügbare Softwareversion und die Softwareidentifikationsnummer.
Insbesondere kann vorgesehen sein, dass Softwareverbunde, bestehend aus einer Mehrzahl von Softwaren oder Softwareteilen, als Aktualisierungspaket bezeichnet wird, darunter ist jedoch eine Loskopplung von Softwaren und Updateinformationen zu verstehen.
Das System kann insbesondere für ein einzelnes Kraftfahrzeug sowie für eine Vielzahl von Kraftfahrzeugen bereitgestellt werden. Mit anderen Worten kann mittels des Systems für ein einzelnes Kraftfahrzeug das Aktualisierungspaket bereitgestellt werden, wobei das Kraftfahrzeug die Übertragungseinrichtung aufweist. Ebenfalls möglich ist, dass für eine Vielzahl von Kraftfahrzeugen das System das Aktualisierungspaket bereitstellt, wobei jedes der einzelnen Kraftfahrzeuge dann jeweilig eine Übertragungseinrichtung aufweist. Mit anderen Worten schlägt die Erfindung einen binärischen Ansatz zum Abrufen und Speichern von Software-Konfigurationsdaten von einem Steuergerät vor, bei dem die konkrete Abfolge der Anfragen von der tatsächlichen Software-Version des Steuergeräts abhängt. Dies erfordert daher einen zweistufigen Synchronisationsmechanismus. Zunächst werden die Identifikationsdaten des Steuergeräts zwischen der Übertragungseinrichtung und der Speichereinrichtung synchronisiert. Mit diesen Informationen werden die konkreten Konfigurationslesesequenzen (Configuration Reading Sequence - CRS) und die Konfigurationsschreibsequenzen (Configuration- Writing-Sequence - CWS) von einer Diagnose-Datenwolke, welche kraftfahrzeug extern ausgebildet sein kann, generiert. Die Konfigurationsdaten selbst werden von den Adressierungsinformationen des Lesens und des Schreibens der Daten in das Zielsteuergerät getrennt. Dies ermöglicht die Unterstützung eines sogenannten UDS- basierten Konfigurationsmechanismus (Unified Diagnostic Service - vereinheitlichte Diagnosedienste) und ist gleichzeitig offen für zukünftige Protokolle, wie zum Beispiel REST. Der Konfigurationsdatensatz weist insbesondere eine Sequenz und eine definierte Reihenfolge auf. Jedes Konfigurationselement im Datensatz weist insbesondere eine eindeutigere Referenz auf, um die Verbindung zum CRD und zum CWS entsprechend zu ermöglichen. Das Remote-Update-Geräteverwaltungssystem, welches insbesondere der Speichereinrichtung entspricht, speichert diese beiden Sequenzlisten für jedes Kraftfahrzeug und jedes Steuergerät und jeden Software-Status, wobei dieser abgeleitet von Identifikationsdaten des Steuergeräts ist, im Cache. In einigen Implementierungen dieser Erfindung stehen das CRS und das CWS unter Versionskontrolle, zusammen mit Metadaten zum Verfolgen des Generierungsprozesses dieser Sequenzen. Zumindest jedes CRS und CWS ist mit einer eindeutigen Kennung, einem Configuration-Sequence-Identifier CSID, ausgestattet. Außerdem enthalten CRS und CWS die entsprechenden Peer-CSID des jeweiligen anderen zur Querverweisung.
Insbesondere ermöglicht somit die Erfindung es dem Steuergerät und dem entitätsspezifischen Lese- und Schreibverfahren Software-Konfigurationsdaten von einem entfernten System abzurufen und zu speichern, ohne dass ein voll ausgestatteter Diagnosesystemstapel in die Entität gebracht werden muss. Dies ermöglicht eine volle Prozesssicherheit sowohl für Software- als auch für Software- Konfigurationsaktualisierungen und ermöglicht andere Anwendungsfälle, die auf der Verfügbarkeit tatsächlicher Software-Konfigurationsdatensätze auf dem entfernten System aufbauen, zum Beispiel die Durchführung von Analysen zur Konfigurationsdatenqualität auf Flottenebene, um die Dringlichkeit und Notwendigkeit von Aktualisierungskampagnen zu bestimmen und deren Vorbereitung zu verbessern.
Die vorliegende Erfindung hat insbesondere ein Kraftfahrzeug als Entität im Fokus. Jedoch beschränkt sich die Erfindung nicht auf Kraftfahrzeuge, vielmehr ist der erfindungsgemäße Gedanke auch auf andere Entitäten, wie beispielsweise Häuser, übertragbar.
Gemäß einer vorteilhaften Ausgestaltungsform ist die Übertragungseinrichtung dazu ausgebildet, das Aktualisierungspaket zwischenzuspeichern und in Abhängigkeit von einem Vergleich des zwischengespeicherten Aktualisierungspakets auf der Übertragungseinrichtung und im installierten Aktualisierungspaket auf dem zumindest einen Steuergerät die Überprüfung durchzuführen. Mit anderen Worten wird das Aktualisierungspaket, welches von der Speichereinrichtung an die Übertragungseinrichtung übertragen wurde, von der Übertragungseinrichtung zwischengespeichert. Das Aktualisierungspaket wird dann an das zumindest eine Steuergerät übertragen. Nach dem Installationsprozess, kann dann wiederum die kraftfahrzeuginterne ausgebildete Übertragungseinrichtung durch Vergleich des zwischengespeicherten Aktualisierungspakets mit dem auf dem Steuergerät installierten Aktualisierungspaket die Überprüfung durchführen, ob eine entsprechende erfolgreiche Installation auf dem Steuergerät zu verzeichnen ist.
Es hat sich weiterhin als vorteilhaft erwiesen, wenn die Übertragungseinrichtung dazu ausgebildet ist, auf Basis einer Abfrage einer Konfigurationsschreibsequenz von der Übertragungseinrichtung an das zumindest eine Steuergerät die Überprüfung durchzuführen. Insbesondere wird somit zuerst die Identifikation des Steuergeräts von der Speichereinrichtung abgerufen, wobei dann dieser Zustand der Speichereinrichtung für die Verwaltung gemeldet wird. Basierend auf den Identifikationsdaten jedes einzelnen Steuergeräts, beispielsweise Hardware- und Softwareteilenummern, Software- Buildversionen oder Diagnoseversionen, wird die Diagnosedatenwolke verwendet, um sowohl die Konfigurationslesesequenzen CRS als auch die
Konfigurationsschreibsequenzen CWS für jedes Steuergerät abzurufen. Diese beiden Sequenzlisten für jedes Steuergerät für jede Entität, insbesondere des Kraftfahrzeugs, werden in der Datenbank des Remote-Update-Gerätemanagement gespeichert. Alle Sequenzlisten, insbesondere die Konfigurationslesesequenzen und die Konfigurationsschreibsequenzen von allen Steuergeräten werden an die Übertragungseinrichtung gesendet. In einigen Fällen kann vorgesehen sein, dass ein Remote-Update-Gerätemanagement nur die CSID des CRS und des CWS als Referenz speichert, und dann das CRS und das CWS selbst in einer anderen Datenbank gespeichert werden.
Es hat sich weiterhin als vorteilhaft erwiesen, wenn die Übertragungseinrichtung dazu ausgebildet ist, einen Statusbericht über die Installation des Aktualisierungspakets auf dem zumindest einen Steuergerät an die kraftfahrzeugexterne Speichereinrichtung zu übertragen. Insbesondere kann somit eine Überprüfung, ob die Installation erfolgreich war sowohl auf der Übertragungseinrichtung als auch auf der Speichereinrichtung durchgeführt werden. Dadurch kann zuverlässig verifiziert werden, ob die Installation des Aktualisierungspakets erfolgreich war.
Ferner hat es sich als vorteilhaft erwiesen, wenn die Speichereinrichtung dazu ausgebildet ist, in Abhängigkeit von den übertragenden Statusbericht eine Überprüfung durchzuführen, ob die Installation des Aktualisierungspakets auf dem Steuergerät erfolgreich durchgeführt ist. Insbesondere kann somit eine Überprüfung, ob die Installation erfolgreich war sowohl auf der Übertragungseinrichtung als auch auf der Speichereinrichtung durchgeführt werden. Dadurch kann zuverlässig verifiziert werden, ob die Installation des Aktualisierungspakets erfolgreich war.
In einerweiteren vorteilhaften Ausgestaltungsform wird von der kraftfahrzeugexternen Speichereinrichtung zusätzlich zum Aktualisierungspaket eine Konfigurationsschreibsequenz und eine Konfigurationslesesequenz an die Übertragungseinrichtung übertragen. Basierend auf den Identifikationsdaten jedes einzelnen Steuergeräts, beispielsweise Hardware- und Softwareteilnehmern, Software- Bildversionen oder Diagnoseversionen, wird die Diagnosedatenwolke verwendet, um sowohl die Konfigurationslesesequenzen CRS als auch die
Konfigurationsschreibsequenzen CWS für jedes Steuergerät abzurufen. Diese beiden Sequenzlisten für jedes Steuergerät für jede Entität, insbesondere des Kraftfahrzeugs, werden in der Datenbank des Remote-Update-Gerätemanagement gespeichert. Alle Sequenzlisten, insbesondere die Konfigurationslesesequenzen und die Konfigurationsschreibsequenzen von allen Steuergeräten werden an die Übertragungseinrichtung gesendet. In einigen Fällen kann vorgesehen sein, dass ein Fern-Aktualisierungsgerät-Managementsystem nur die CSID des CRS und des CWS als Referenz speichert, und dann das CRS und das CWS selbst in einer anderen Datenbank gespeichert werden.
Ferner hat es sich als vorteilhaft erwiesen, wenn die Übertragungseinrichtung dazu ausgebildet ist, ein Vorgängerdatenpaket des Aktualisierungspakets abzuspeichern und bei einer nicht-erfolgreichen Installation des Aktualisierungspakets auf dem zumindest einen Steuergerät die Installation des Vorgängerdatenpakets erneut auf dem zumindest einen Steuergerät durchzuführen. Als Vorgängerdatenpaket kann beispielsweise die aktuelle Software auf dem Steuergerät, also eine Vorgängerversion des Aktualisierungspakets, angesehen werden. Sollte eine Softwareaktualisierung mittels des Aktualisierungspakets fehlschlagen, so wird die Vorgängerversion als das Vorgängerdatenpaket von dem Steuergerät, erneut auf dem Steuergerät installiert und weiterverwendet. Insbesondere kann somit ein Fail-Safe bereitgestellt werden, sollte das Aktualisierungspaket nicht erfolgreich installiert werden, sodass weiterhin die Nutzung des Steuergeräts durchgeführt werden kann. Dadurch kann ein Ausfall des Steuergeräts verhindert und die Sicherheit im Straßenverkehr erhöht werden.
Ebenfalls vorteilhaft ist, wenn die Übertragungseinrichtung dazu ausgebildet ist, zeitlich vor dem Installieren des Aktualisierungspakets das Vorgängerdatenpaket des zumindest einen Steuergeräts zwischenzuspeichern und nach dem Zwischenspeichern die Installation des Aktualisierungspakets durchzuführen. Dadurch ist es ermöglicht, dass, bevor das Aktualisierungspaket auf dem Steuergerät installiert wird, die Übertragungseinrichtung die Vorgängerversion, mit anderen Worten das Vorgängerdatenpaket, zwischenspeichert. Sollte es dann zu einem Fehler bei der Installation des Aktualisierungspakets kommen, so kann die Übertragungseinrichtung nach der nicht erfolgten Installation des Aktualisierungspakets zuverlässig die Vorversion installieren. Somit kann eine Fail-Safe-Möglichkeit geschaffen werden, sodass die Sicherheit im Straßenverkehr erhöht wird, da beispielsweise das Steuergerät nicht ausfallen kann. Weiterhin vorteilhaft ist, wenn bei der nicht-erfolgreichen Installation des Aktualisierungspakets die Übertragungseinrichtung dazu ausgebildet ist, ein Statusbericht über die nicht-erfolgreiche Installation und/oder über die erneute Installation des Vorgängerdatenpakets an die Speichereinrichtung zu übertragen. Dadurch kann die kraftfahrzeug extern ausgebildete Speichereinrichtung einen Statusbericht erzeugen, wie der derzeitige Aktualisierungsstand auf dem Kraftfahrzeug ist. Es kann dann beispielsweise vorgesehen sein, dass zukünftig erneut versucht wird, das Aktualisierungspaket auf dem Steuergerät zu installieren.
Ein weiterer Aspekt der Erfindung betrifft ein Verfahren zum Übertragen zumindest eines Aktualisierungspakets für zumindest ein Steuergerät eines Kraftfahrzeugs mittels eines Systems mit einer kraftfahrzeugexternen Speichereinrichtung, bei welchem von der Speichereinrichtung des Aktualisierungspaket gespeichert wird, und bei welchem mittels einer kraftfahrzeuginternen ausgebildeten Übertragungseinrichtung ein Übertragungsvorgang des Aktualisierungspakets für das zumindest eine Steuergerät kraftfahrzeugintern geleitet wird und das Aktualisierungspaket auf dem zumindest einen Steuergerät installiert wird, wobei mittels einer Kommunikationseinrichtung des Systems das Aktualisierungspaket drahtlos von der Speichereinrichtung zur kraftfahrzeuginternen Übertragungseinrichtung übertragen wird. Es ist vorgesehen, dass mittels der Übertragungseinrichtung kraftfahrzeugintern durch Abfrage bei dem zumindest einen Steuergerät eine Überprüfung durchgeführt wird, ob das Aktualisierungspaket erfolgreich auf dem Steuergerät installiert ist.
Vorteilhafte Ausgestaltungsformen des Systems sind als vorteilhafte Ausgestaltungsformen des Verfahrens anzusehen. Das System weist dazu gegenständliche Merkmale auf, um das Verfahren durchzuführen.
Weitere Vorteile, Merkmale und Einzelheiten der Erfindung ergeben sich aus der nachfolgenden Beschreibung bevorzugter Ausführungsbeispiele sowie anhand der Zeichnungen. Die vorstehend in der Beschreibung genannten Merkmale und Merkmalskombinationen sowie die nachfolgend in der Figurenbeschreibung genannten und/oder in den Figuren alleine gezeigten Merkmale und Merkmalskombinationen sind nicht nur in der jeweils angegebenen Kombination, sondern auch in anderen Kombinationen oder in Alleinstellung verwendbar, ohne den Rahmen der Erfindung zu verlassen.
Dabei zeigen:
Fig. 1 ein schematisches Blockschaltbild einer Ausführungsform eines Systems während einer Überprüfung eines Aktualisierungspakets;
Fig. 2 ein weiteres schematisches Blockschaltbild einer Ausführungsform des
Systems in einer ersten Phase des Aktualisierungsprozesses; und
Fig. 3 ein weiteres schematisches Blockschaltbild des Systems gemäß Fig. 2 einer zweiten Phase des Aktualisierungsprozesses.
In den Figuren sind gleiche oder funktionsgleiche Elemente mit gleichen Bezugszeichen versehen.
Fig. 1 zeigt ein schematisches Blockschaltbild einer Ausführungsform eines Systems 10. Das System 10 ist zum Übertragen eines Aktualisierungspakets 12 für das zumindest eine Steuergerät 14 eines Kraftfahrzeugs 16 ausgebildet. Alternativ zum Kraftfahrzeug 16 können auch weitere Entitäten, wie beispielweise ein Haus angesehen werden. Die Erfindung beschränkt sich also nicht auf Kraftfahrzeuge 16. Das System 10 weist hierzu eine kraftfahrzeug externe Speichereinrichtung 18 auf, welche zum Abspeichern des Aktualisierungspakets 12 ausgebildet ist. Ferner weist das System 10 eine kraftfahrzeugintern ausgebildete Übertragungseinrichtung 22 auf, welche einen Übertragungsvorgang des Aktualisierungspakets 12 für das zumindest eine Steuergerät 14 kraftfahrzeugintern leitet und zum Installieren des Aktualisierungspakets 12 auf dem zumindest einen Steuergerät 14 ausgebildet ist. Ferner weist das System 10 zumindest eine Kommunikationseinrichtung 24 zum drahtlosen Übertragen des Aktualisierungspakets 12 von der Speichereinrichtung 18 zur kraftfahrzeuginternen Übertragungseinrichtung 22 auf.
Es ist vorgesehen, dass zumindest die Übertragungseinrichtung 22 dazu ausgebildet ist, kraftfahrzeugintern durch eine Abfrage 26 bei dem zumindest einen Steuergerät 14 eine Überprüfung 28 durchzuführen, ob das Aktualisierungspaket 12 erfolgreich auf dem zumindest einen Steuergerät 14 installiert ist.
Insbesondere kann hierzu vorgesehen sein, dass die Übertragungseinrichtung 22 dazu ausgebildet ist, das Aktualisierungspaket 12 zwischenzuspeichern und in Abhängigkeit von einem Vergleich des zwischengespeicherten Aktualisierungspakets 12 auf der Übertragungseinrichtung 22 und dem installierten Aktualisierungspaket 12 auf dem zumindest einen Steuergerät 14 die Überprüfung 28 durchzuführen. Ferner zeigt die Fig. 1, dass von der kraftfahrzeugexternen Speichereinrichtung 18 zusätzlich zum Aktualisierungspaket 12 eine Konfigurationsschreibsequenz CWS und eine Konfigurationslesesequenz CRS an die Übertragungseinrichtung 22 übertragen werden kann, die CWS und CRS können beispielsweise von einer Diagnose-Datenwolke 20 generiert werden. Insbesondere kann die Übertragungseinrichtung 22 dazu ausgebildet sein, auf Basis einer Abfrage der Konfigurationsschreibsequenz CWS von der Übertragungseinrichtung 22 an das zumindest eine Steuergerät 14 die Überprüfung 28 durchzuführen.
Ferner kann vorgesehen sein, dass die Übertragungseinrichtung 22 dazu ausgebildet ist, einen Statusbericht 30 über die Installation des Aktualisierungspakets 12 auf dem zumindest einen Steuergerät 14 an die kraftfahrzeugexterne Speichereinrichtung 18 zu übertragen. Die Speichereinrichtung 18 kann ferner dazu ausgebildet sein, in Abhängigkeit von dem übertragenden Statusbericht 30 eine weitere Überprüfung durchzuführen, ob die Installation des Aktualisierungspakets 12 auf dem Steuergerät 14 erfolgreich durchgeführt ist.
Fig. 1 zeigt somit insbesondere einen ersten „Use-Case“, bei dem überprüft werden kann, ob die Aktualisierung des Aktualisierungspakets 12 auch erfolgreich auf dem zumindest einen Steuergerät 14 durchgeführt würde. Hierzu wird insbesondere in einem ersten Schritt S1.1 von der kraftfahrzeugexternen Speichereinrichtung 18 das Aktualisierungspaket 12 vorbereitet. In einem zweiten Schritt S1.2 findet eine Synchronisation zwischen der Übertragungseinrichtung 22 und der Speichereinrichtung 18 statt. In einem dritten Schritt S1.3 überträgt dann die Speichereinrichtung 18 das Aktualisierungspaket 12 insbesondere mit der Konfigurationsschreibsequenz CWS und mit der Konfigurationslesesequenz CRS. In einem vierten Schritt S1.4 wird dann das Aktualisierungspaket 12 insbesondere mit der Konfigurationsschreibsequenz CWS von der Übertragungseinrichtung 22 an das Steuergerät 14 übertragen. In einem fünften Schritt S1.5 erfolgt ein Statusreport zur Installation von dem zumindest einen Steuergerät 14 an die kraftfahrzeuginterne Übertragungseinrichtung 22. In einem sechsten Schritt S1.6 fragt die Übertragungseinrichtung 22 nach dem Aktualisierungsstand des Steuergeräts 14 an, und nutzt dabei insbesondere die Konfigurationsschreibsequenz CWS. In einem siebten Schritt S1.7 überträgt das zumindest eine Steuergerät 14 die aktuelle Konfiguration an die kraftfahrzeuginterne Übertragungseinrichtung 22. In einem achten Schritt S1.8 erfolgt die Überprüfung 28, ob das auf dem Steuergerät 14 installierte Aktualisierungspaket 12 auch dem aktuellen Aktualisierungspaket 12 entspricht. In einem neunten Schritt S1.9 sendet die Übertragungseinrichtung 22 den Statusbericht 30 an die kraftfahrzeugexterne Speichereinrichtung 18. In einem zehnten Schritt S1.10 erfolgt dann eine weitere interne Überprüfung auf der Speichereinrichtung 18, ob das Aktualisierungspaket 12, welches mit dem Statusbericht 30 übertragen wurde, dem Aktualisierungspaket 12 entspricht, welches auf der Speichereinrichtung18 zwischengespeichert wurde. In einem elften Schritt S1.11 wird dann gespeichert, dass die Aktualisierung erfolgreich war.
Fig. 1 zeigt somit insbesondere den vollständigen Prozess eines Software-Updates auf dem Steuergerät 14. Das eingebaute Aktualisierungsmanagement-System führt Querprüfungen zwischen dem Software-Konfigurationsdatensatz, wie es dem Aktualisierungspaket 12 entspricht, und Teil des Aktualisierungsauftrags war, und dem Software-Konfigurationsdatensatz, der vom Steuergerät 14 abgerufen wurde, durch. Wenn beide Konfigurationsdatensätze gleich sind, war die Aktualisierung erfolgreich. Dies wird zusätzlich als optionaler Double-Check im zehnten Schritt S1.10 auf der Speichereinrichtung 18 geprüft. Eine Gegenprüfung der CSID-Referenzen beider Zielkonfigurationen ist zwingend erforderlich. Insbesondere sollte überprüft werden, ob das Aktualisierungspaket 12 und das tatsächlich installierte Aktualisierungspakets 12 übereinstimme. Insbesondere sollte es somit eine Überkreuz-Übereinstimmung der CSID geben. Wenn dies nicht der Fall ist, kann dies auch ein Indikator für einen Fehler sein, und das Prüfergebnis wäre dabei negativ.
Fig. 2 zeigt ein schematisches Blockschaltbild des Systems 10 während einer ersten Phase eines weiteren Anwendungsfalls. Fig. 2 zeigt insbesondere die Verifikation kraftfahrzeugintern und gegebenenfalls die Erzeugung eines Backups einer Vorgängerversion beziehungsweise eines Vorgängerdatensatzes 32, sollte beispielsweise die Aktualisierung des Aktualisierungspakets 12 fehlschlagen.
Insbesondere zeigt somit Fig. 2, dass die Übertragungseinrichtung 22 dazu ausgebildet ist, das Vorgängerdatenpaket 32 des Aktualisierungspakets 12 abzuspeichern und bei einer nicht-erfolgreichen Installation des Aktualisierungspakets 12 auf dem zumindest einen Steuergerät 14 die Installation des Vorgängerdatenpakets 32 erneut auf dem zumindest einen Steuergerät 14 durchzuführen. Insbesondere kann hierzu vorgesehen sein, dass die Übertragungseinrichtung 22 dazu ausgebildet ist, zeitlich vor dem Installieren des Aktualisierungspakets 12 das Vorgängerdatenpaket 32 des zumindest einen Steuergeräts 14 zwischenzuspeichern und nach dem Zwischenspeichern die Installation des Aktualisierungspakets 12 durchzuführen. Ferner kann dabei vorgesehen sein, dass bei nicht-erfolgreicher Installation des Aktualisierungspakets 12 die Übertragungseinrichtung 22 dazu ausgebildet ist, einen Statusbericht 30 über die nicht erfolgreiche Installation und/oder die erneute Installation des Vorgängerdatenpakets 32 an die Speichereinrichtung 18 zu übertragen.
Insbesondere zeigt somit die Fig. 2, dass in einem ersten Schritt S2.1 das Aktualisierungspaket 12 von der Speichereinrichtung 18 vorbereitet wird. In einem zweiten Schritt S2.2 erfolgt dann eine Synchronisation zwischen der kraftfahrzeuginternen Übertragungseinrichtung 22 und der Speichereinrichtung 18. In einem dritten Schritt S2.3. erfolgt die Übertragung des Aktualisierungspakets 12. In einem vierten Schritt S2.4 wird dann das Aktualisierungspaket 12 von der Übertragungseinrichtung 22 kraftfahrzeugintern an das zumindest eine Steuergerät 14 übertragen. In einem fünften Schritt S2.5 sendet wiederum das zumindest eine Steuergerät 14 einen aktuellen Statusreport an die Übertragungseinrichtung 22. In einem sechsten Schritt S2.6 fragt die Übertragungseinrichtung 22 den aktuellen Konfigurationsstatus des zumindest einen Steuergeräts 14 an. In einem siebten Schritt S2.7 sendet dann das zumindest eine Steuergerät 14 den aktuellen Konfigurationsstatus an die Übertragungseinrichtung 22. In einem achten Schritt S2.8 erfolgt die Überprüfung 28, ob das Aktualisierungspaket 12 auf dem zumindest einen Steuergerät 14 auch dem tatsächlichen Aktualisierungspaket 12 entspricht. Insbesondere zeigt somit die Fig. 2 die Verifizierung der Konfiguration auf dem zumindest einen Steuergerät 14. Es ist dabei notwendig, dass die CID-Referenzen beider Zielkonfigurationsprüfungen gleich sind. Es sollte dann eine Überkreuzübereistimmung der CISDs geben. Wenn dies nicht der Fall ist, kann dies ein Indikator für eine Fehl-Aktualisierung sein und das Prüfergebnis wäre negativ. Wenn diese Prüfung positiv ist, dann wird der Inhalt der Zielkonfiguration und der tatsächlichen Konfiguration geprüft. In diesem Fall, wie in Fig. 2 gezeigt, kann beispielsweise eine Abweichung vorliegen. Somit schlägt die Überprüfung 28 fehl. Sollte die Überprüfung 28 fehlgeschlagen sein, so kann in eine weitere Phase, wie in Fig. 3 gezeigt, übergangen werden.
Fig. 3 zeigt in einem weiteren Blockschaltbild das System 10 gemäß Fig. 2, in einer weiteren Phase. Insbesondere ist dies in Fig.3 gezeigt, sollte die Überprüfung 28 gemäß Fig. 2 fehlgeschlagen sein, wie eine Gegenmaßnahme eingeleitet werden kann.
Sollte also während der Überprüfung 28 festgestellt worden sein, dass die Aktualisierung fehlgeschlagen hat, so kann in einem neunten Schritt S2.9 mittels des Vorgängerdatenpakets 32 eine Neuinstallation des Vorgängerdatenpakets 32 durchgeführt werden. In einem zehnten Schritt S2.10 erfolgt dann ein Statusreport des zumindest einen Steuergeräts 14 an die Übertragungseinrichtung 22. In einem elften Schritt S2.11 fragt die Übertragungseinrichtung 22 den aktuellen Konfigurationsstatus bei dem zumindest einen Steuergerät 14 an. In einem zwölften Schritt S2.12 sendet dann das zumindest eine Steuergerät 14 den aktuellen Konfigurationsstatus an die Übertragungseinrichtung 22. Beispielsweise sollte das zumindest eine Steuergerät 14 vorliegend den Konfigurationsstatus übersenden, dass dieses die Vorgängerversion, also den Vorgängerdatensatz 32 als Konfiguration aufweist. In einem 13. Schritt S2.13 erfolgt dann eine weitere Überprüfung, ob die neuinstallierte Vorgängerversion auf den zumindest einem Steuergerät 14 auch der tatsächlichen Vorgängerversion entspricht. In einem 14. Schritt S2.14 wird dann ein Statusbericht 30 von der Übertragungseinrichtung 22 an die Speichereinrichtung 18 übertragen, dass zum Beispiel die Aktualisierung mit dem Aktualisierungspaket 12 fehlgeschlagen ist, jedoch auf dem zumindest einen Steuergerät 14 wiederum das Vorgängerdatenpaket 32 installiert wurde. In einem 15. Schritt S2.15 kann überprüft werden, ob die installierte Vorgängerversion auch der tatsächlich neuen Vorgängerversion entspricht. In einem 16. Schritt S2.16 wird dann der Aktualisierungsstatus dem zumindest einen Steuergeräts 14 auf der Speichereinrichtung 18 gespeichert.
Fig. 3 zeigt somit das Wiederherstellungsverfahren nach einem erfolglosen Aktualisieren auf das Aktualisierungspaket 12. Die Vorgängerversion wird wieder hergestellt und die vorher gespeicherte aktuelle Konfiguration wird unter Verwendung der Konfigurationsschreibsequenzen CWS an das Steuergerät 14 gesendet. Danach wird die Ist-Konfiguration mittels der Konfigurationslesesequenz CRS ausgelesen und beide Datensätze überprüft, und die vorher gespeicherte Ist-Konfiguration gegen die aktuelle Konfiguration wird ebenfalls abgeglichen. Wenn beide gleich sind, wurde der Wiederherstellungsprozess erfolgreich abgeschlossen. Dies kann zusätzlich im Remote- Update durch das Verwaltungssystem, mit anderen Worten der Speichereinrichtung 18, überprüft werden.

Claims

Patentansprüche
1. System (10) zum Übertragen zumindest eines Aktualisierungspakets (12) für zumindest ein Steuergerät (14) eines Kraftfahrzeugs (16), mit einer kraftfahrzeugexternen Speichereinrichtung (18), welche zum Abspeichern des Aktualisierungspakets (12) ausgebildet ist, und mit einer kraftfahrzeugintern ausgebildeten Übertragungseinrichtung (22), welche einen Übertragungsvorgang des Aktualisierungspakets (12) für das zumindest eine Steuergerät (14) kraftfahrzeugintern leitet und zum Installieren des Aktualisierungspakets (12) auf dem zumindest einen Steuergerät (14) ausgebildet ist, wobei das System (10) eine Kommunikationseinrichtung (24) zum drahtlosen Übertragen des Aktualisierungspakets (12) von der Speichereinrichtung (18) zur kraftfahrzeuginternen Übertragungseinrichtung (22) aufweist, dadurch gekennzeichnet, dass zumindest die Übertragungseinrichtung (22) dazu ausgebildet ist, kraftfahrzeugintern durch eine Abfrage (26) bei dem zumindest einen Steuergerät (14) eine Überprüfung (28) durchzuführen, ob das Aktualisierungspaket (12) erfolgreich auf dem zumindest einem Steuergerät (14) installiert ist.
2. System (10) nach Anspruch 1, dadurch gekennzeichnet, dass die Übertragungseinrichtung (22) dazu ausgebildet ist, das Aktualisierungspaket (12) zwischenzuspeichern und in Abhängigkeit von einem Vergleich des zwischengespeicherten Aktualisierungspakets (12) auf der Übertragungseinrichtung (22) und dem installierten Aktualisierungspaket (12) auf dem zumindest einem Steuergerät (14) die Überprüfung (28) durchzuführen.
3. System (10) nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die Übertragungseinrichtung (22) dazu ausgebildet ist, auf Basis einer Abfrage (26) einer Konfigurationsschreibsequenz (CWS) von der Übertragungseinrichtung (22) an das zumindest eine Steuergerät (14) die Überprüfung (28) durchzuführen.
4. System (10) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Übertragungseinrichtung (22) dazu ausgebildet ist, einen Statusbericht (30) über die Installation des Aktualisierungspakets (12) auf dem zumindest einen Steuergerät (14) an die kraftfahrzeugexterne Speichereinrichtung (18) zu übertragen.
5. System (10) nach Anspruch 4, dadurch gekennzeichnet, dass die Speichereinrichtung (18) dazu ausgebildet ist, in Abhängigkeit von dem übertragenen Statusbericht (30) eine weitere Überprüfung durchzuführen, ob die Installation des Aktualisierungspakets (12) auf dem Steuergerät (14) erfolgreich durchgeführt ist.
6. System (10) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass von der kraftfahrzeugexternen Speichereinrichtung (18) zusätzlich zum Aktualisierungspaket (12) eine Konfigurationsschreibsequenz (CWS) und eine Konfigurationslesesequenz (CRS) an die Übertragungseinrichtung (22) übertragen ist.
7. System (10) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Übertragungseinrichtung (22) dazu ausgebildet ist, ein Vorgängerdatenpaket (32) des Aktualisierungspakets (12) abzuspeichern und bei einer nicht erfolgreichen Installation des Aktualisierungspakets (12) auf dem zumindest einen Steuergerät (14) die Installation des Vorgängerdatenpakets (32) erneut auf dem zumindest einem Steuergerät (14) durchzuführen.
8. System (10) nach Anspruch 7, dadurch gekennzeichnet, dass die Übertragungseinrichtung (22) dazu ausgebildet ist, zeitlich vor dem Installieren des Aktualisierungspakets (12) das Vorgängerdatenpaket (32) des zumindest einen Steuergeräts (14) zwischenzuspeichern und nach dem Zwischenspeichern die Installation des Aktualisierungspakets (12) durchzuführen.
9. System (10) nach Anspruch 7 oder 8, dadurch gekennzeichnet, dass bei einer nicht-erfolgreichen Installation des Aktualisierungspakets (12) die Übertragungseinrichtung (22) dazu ausgebildet ist, einen Statusbericht (30) über die nicht-erfolgreiche Installation und/oder über die erneute Installation des Vorgängerdatenpakets (32) an die Speichereinrichtung (18) zu übertragen.
10. Verfahren zum Übertragen zumindest eines Aktualisierungspakets (12) für zumindest ein Steuergerät (14) eines Kraftfahrzeugs (16) mittels eines Systems (10) mit einer kraftfahrzeugexternen Speichereinrichtung (18), bei welchem von der Speichereinrichtung (18) das Aktualisierungspaket (12) gespeichert wird, und bei welchem mittels einer kraftfahrzeugintern ausgebildeten Übertragungseinrichtung (22) ein Übertragungsvorgang des Aktualisierungspakets (12) für das zumindest eine Steuergerät (14) kraftfahrzeugintern geleitet wird und das Aktualisierungspaket (12) auf dem zumindest einen Steuergerät (14) installiert wird, wobei mittels einer Kommunikationseinrichtung (24) des Systems (10) das Aktualisierungspaket (12) drahtlos von der Speichereinrichtung (18) zur kraftfahrzeuginternen Übertragungseinrichtung (22) übertragen wird, dadurch gekennzeichnet, dass mittels zumindest der Übertragungseinrichtung (22) kraftfahrzeugintern durch eine Abfrage (26) bei dem zumindest einen Steuergerät (14) eine Überprüfung (28) durchgeführt wird, ob das Aktualisierungspaket (12) erfolgreich auf dem zumindest einen Steuergerät (14) installiert ist.
PCT/EP2021/063573 2020-06-03 2021-05-21 System zum übertragen zumindest eines aktualisierungspakets, sowie verfahren WO2021244868A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102020003321.0 2020-06-03
DE102020003321.0A DE102020003321A1 (de) 2020-06-03 2020-06-03 System zum Übertragen zumindest eines Aktualisierungspakets, sowie Verfahren

Publications (1)

Publication Number Publication Date
WO2021244868A1 true WO2021244868A1 (de) 2021-12-09

Family

ID=76159426

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2021/063573 WO2021244868A1 (de) 2020-06-03 2021-05-21 System zum übertragen zumindest eines aktualisierungspakets, sowie verfahren

Country Status (2)

Country Link
DE (1) DE102020003321A1 (de)
WO (1) WO2021244868A1 (de)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102015221330A1 (de) * 2015-10-30 2017-05-04 Robert Bosch Gmbh Verfahren und Vorrichtung zum robusten Aktualisieren von Firmware eines Fahrzeuges über eine Luftschnittstelle
DE102018001347A1 (de) 2018-02-21 2019-08-22 Daimler Ag System zum Übertragen zumindest eines Aktualisierungspakets für zumindest ein Steuergerät eines Kraftfahrzeugs sowie Verfahren
US20190324858A1 (en) * 2018-04-24 2019-10-24 GM Global Technology Operations LLC Rollback recovery from partial failure in multiple electronic control unit over-the-air updates

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102015221330A1 (de) * 2015-10-30 2017-05-04 Robert Bosch Gmbh Verfahren und Vorrichtung zum robusten Aktualisieren von Firmware eines Fahrzeuges über eine Luftschnittstelle
DE102018001347A1 (de) 2018-02-21 2019-08-22 Daimler Ag System zum Übertragen zumindest eines Aktualisierungspakets für zumindest ein Steuergerät eines Kraftfahrzeugs sowie Verfahren
US20190324858A1 (en) * 2018-04-24 2019-10-24 GM Global Technology Operations LLC Rollback recovery from partial failure in multiple electronic control unit over-the-air updates

Also Published As

Publication number Publication date
DE102020003321A1 (de) 2021-12-09

Similar Documents

Publication Publication Date Title
DE10131395B4 (de) Verfahren zum Übertragen von Software- Modulen
DE102019109672A1 (de) Rückgängigmachung nach einem teilausfall in mehreren elektronischen steuergeräten mittels over-the-air-updates
DE102010043011A1 (de) Parallele Programmierung und Aktualisierung von Gebäudetechnik-Busteilnehmern
DE102015216265A1 (de) Verfahren und Teilsystem zum Installieren eines Softwareupdates in einem Fahrzeug
EP1417469A2 (de) Kommunikationsverfahren und kommunikationsmodul
EP1574004A2 (de) Verfahren zur übertragung von daten auf einem bus
WO2019137773A1 (de) Absicherung eines softwareupdates eines steuergerätes eines fortbewegungsmittels
WO2021244868A1 (de) System zum übertragen zumindest eines aktualisierungspakets, sowie verfahren
WO2005022382A2 (de) Verfahren zur installation einer programmkomponente
EP3724758B1 (de) Verfahren zum durchführen eines updates einer softwareapplikation in einem gerät, das sich im betrieb befindet, sowie gerät und kraftfahrzeug
DE102009047974B4 (de) Verfahren zur Programmierung eines Steuergeräts
EP3797352B1 (de) Verfahren zum austauschen eines ersten ausführbaren programm-codes und eines zweiten ausführbaren programm-codes und steuergerät
DE102017100116A1 (de) Steuersystem für ein Kraftfahrzeug mit einem zentralen Steuergerät und mehreren weiteren Steuergeräten
EP4018300A1 (de) Konfigurationsverfahren für eine eisenbahnsignalanlage und aktualisierungssystem
DE112016006679T5 (de) Steuerungsvorrichtung und Recovery-Verarbeitungsverfahren für Steuerungsvorrichtung
WO2019242996A1 (de) Verfahren zum aktualisieren von software auf einem zielgerät
EP3882762B1 (de) Verfahren zur installation neuer software und system
DE602005002485T2 (de) Vorrichtung zur Vermeidung von Schaltungsfehlern in Anwesenheit von Fehlern
EP1529257A2 (de) Übernehmen eines datensatzes in eine recheneinheit
EP1455310A2 (de) Verfahren zum Datenaustausch zwischen Datenverarbeitungseinheiten
DE102020204095A1 (de) Verfahren und System zur Datenverwaltung in einem Transportmittel
DE102021202015A1 (de) Verfahren zum Betreiben eines Steuergeräts und Steuergerät
WO2021094399A1 (de) Medizinische vorrichtung mit einem datenübertragungssystem und verfahren zur sicherstellung einer vollständigkeit eines datenstroms
EP4113954A1 (de) Computer-implementiertes verfahren zum betrieb eines end-geräts mit hoher verfügbarkeit in einem netzwerk
DE102020216481A1 (de) Verfahren zum Betreiben eines Steuergeräts und Steuergerät

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 21728203

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 21728203

Country of ref document: EP

Kind code of ref document: A1