[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

DE10131395A1 - Verfahren zum Übertragen von Software- Modulen - Google Patents

Verfahren zum Übertragen von Software- Modulen

Info

Publication number
DE10131395A1
DE10131395A1 DE10131395A DE10131395A DE10131395A1 DE 10131395 A1 DE10131395 A1 DE 10131395A1 DE 10131395 A DE10131395 A DE 10131395A DE 10131395 A DE10131395 A DE 10131395A DE 10131395 A1 DE10131395 A1 DE 10131395A1
Authority
DE
Germany
Prior art keywords
software modules
mobile device
software
transmitted
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE10131395A
Other languages
English (en)
Other versions
DE10131395B4 (de
Inventor
Ferry Duerschmidt
Andrej Krauth
Michael Mueller
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mercedes Benz Group AG
Original Assignee
DaimlerChrysler AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by DaimlerChrysler AG filed Critical DaimlerChrysler AG
Priority to DE10131395A priority Critical patent/DE10131395B4/de
Priority to PCT/EP2002/006994 priority patent/WO2003003200A1/de
Publication of DE10131395A1 publication Critical patent/DE10131395A1/de
Application granted granted Critical
Publication of DE10131395B4 publication Critical patent/DE10131395B4/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/22Processing or transfer of terminal data, e.g. status or physical capabilities
    • H04W8/24Transfer of terminal data
    • H04W8/245Transfer of terminal data from a network towards a terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • H04W4/44Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P] for communication between vehicles and infrastructures, e.g. vehicle-to-cloud [V2C] or vehicle-to-home [V2H]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/61Installation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/61Installation
    • G06F8/64Retargetable
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/02Services making use of location information
    • H04W4/029Location-based management or tracking services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/30Services specially adapted for particular environments, situations or purposes
    • H04W4/40Services specially adapted for particular environments, situations or purposes for vehicles, e.g. vehicle-to-pedestrians [V2P]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/005Moving wireless networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W92/00Interfaces specially adapted for wireless communication networks
    • H04W92/16Interfaces between hierarchically similar devices
    • H04W92/18Interfaces between hierarchically similar devices between terminal devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Die Erfindung betrifft eine Verfahren zum Übertragen von Software-Modulen von einer Zentrale zu einer mobilen Vorrichtung, insbesondere zu einem Verkehrs- oder Transportmittel. Für die Übertragung wird eine Einrichtung zur drahtlosen Datenübertragung in beiden Richtungen verwendet, und eine Menge von Software-Modulen wird ausgewählt. Die aktuelle Konfiguration der mobilen Vorrichtung wird an die Zentrale übermittelt. Geprüft wird, welche dieser Software-Module für die aktuelle Konfiguration freigegeben sind. Die ausgewählten und für die aktuelle Konfiguration freigegebenen Software-Module werden übertragen. Vorzugsweise werden für die Ziel-Geräte Geräte-Typ-Kennungen und für die Software-Module Software-Typ-Kennungen in Freigabe-Festlegungen verwendet. Diese Freigabe-Festlegungen werden bei einer Freigabe-Prüfung verwendet. Das Verfahren ist in gleicher Weise für die Versorgung einer einzelnen mobilen Vorrichtung wie auch für Familien von variantenreichen oder variantenarmen mobilen Vorrichtungen anwendbar.

Description

  • Die Erfindung betrifft ein Verfahren zum Übertragen von Software-Modulen von einer Zentrale zu einer mobilen Vorrichtung, vorzugsweise zu einem Verkehrs- oder Transportmittel, mit Hilfe einer Einrichtung zur drahtlosen Datenübertragung in beide Richtungen.
  • In mobilen Vorrichtungen, insbesondere in Kraftfahrzeugen, wird eine steigende Anzahl von Geräten verwendet, die durch Software-Module gesteuert werden, z. B. Tür-Steuergeräte. Manche Geräte, z. B. elektronische Navigationssysteme und Systeme zur Sprachausgabe, benötigen umfangreiche Datenbibliotheken. Um mobile Vorrichtungen an individuelle Anforderungen und Wünsche von Benutzern oder Betreibern anzupassen, werden oft Ziel-Geräte in vielen unterschiedlichen Versionen und Varianten hergestellt und eingebaut, manchmal auch nachträglich. Durch die Kombination von Varianten entsteht eine hohe Zahl unterschiedlicher Konfigurationen von Ziel- Geräten an Bord von mobilen Vorrichtungen, die zu einer Familie von mobilen Vorrichtungen gehören. Der Hersteller einer mobilen Vorrichtung hat trotz der Variantenvielfalt zu gewährleisten, daß diese Ziel-Geräte in jeder freigegebenen Kombination im laufenden Betrieb sicher zusammenspielen.
  • Mit "Software-Module" werden insbesondere Programme oder Teile von Programmen, die an Bord von mobilen Vorrichtungen ausgeführt werden, und Daten für solche Programme oder für Ziel-Geräte sowie Parameter von Ziel-Geräten bezeichnet. Mit "Ziel-Geräten" werden diejenigen datenverarbeitenden Geräte an Bord einer mobilen Vorrichtung bezeichnet, für die Software- Module zu übertragen sind, hierzu zählen insbesondere Steuergeräte z. B. für Türen oder die Klimaanlage. Ein zu übertragender Parameter beeinflußt beispielsweise die Funktionsweise eines Ziel-Geräts oder aktiviert oder deaktiviert ein Programm an Bord der mobilen Vorrichtung.
  • Es ist heute noch üblich, zum nachträglichen Übertragen von Software-Modulen in mobile Vorrichtungen die Ziel-Geräte z. B. in einer Werkstatt auszubauen, mit den gewünschten Software- Modulen zu versehen und dann wieder einzubauen. In manchen Fällen muß das Ziel-Gerät sogar zum Hersteller geschickt werden, der zentral die Software-Module überträgt. Diese Wege sind teuer und zeitaufwendig.
  • Aus DE 197 50 372 A1 ist ein Verfahren zum Übertragen von Programmen und/oder Daten von einem zentralen Server an ein Fahrzeug bekannt. Die Übertragung erfolgt per Funkverbindung. Fahrzeug und Server haben je ein Sende- und Empfangsgerät. Die Zugriffsberechtigung des Benutzers wird geprüft, hierzu werden Daten vom Fahrzeug an die Zentrale gemeldet.
  • In DE 198 53 000 A1 wird ein Verfahren zum Versorgen von Kraftfahrzeugen mit Daten sowie zum Austausch, Abfragen, Ändern, Aktualisieren von Daten offenbart. Verwendet wird eine drahtlose Datenübertragungseinrichtung. Die Daten sind vorzugsweise Überwachungsdaten, z. B. Betriebsdaten von Bremsen, Fahrwerk, Ölstand, oder Programme oder Programmteile.
  • Aus DE 195 32 067 C1 ist ein Verfahren zum Einprogrammieren von Daten in ein Fahrzeug-Bauteil bekannt. Daten werden von einer Zentrale an die anfordernde Stelle übertragen. Insbesondere um unberechtigten Zugriff auf die übertragenen Daten zuverlässig zu unterbinden, werden Informationen zur Identität von Fahrzeug, Bauteil und Nutzer an die Zentrale übermittelt.
  • Aus DE 199 21 845 A1 ist eine Diagnosetestvorrichtung für Kraftfahrzeuge mit programmierbaren Steuergeräten bekannt. Ein externer Diagnosetester ist mit einer Programmerkennungs- und Programmladevorrichtung ausgestattet. Bei Bedarf wird die jeweils aktuellste Version eines Programms in den Programmspeicher des entsprechenden Steuergeräts geladen.
  • Die oben genannten Druckschriften offenbaren Verfahren, um Software-Module an eine mobile Vorrichtung zu übermitteln und dabei bei Bedarf Berechtigungs- und Freigabeprüfungen durchzuführen. Die Prüfungen beziehen sich jeweils auf eine einzelne mobile Vorrichtung. Jedoch wird bei den Verfahren nicht die Möglichkeit berücksichtigt, daß Software-Module an variantenreiche mobile Vorrichtungen zu übertragen sind. Der Variantenreichtum wird auch nicht dadurch berücksichtigt, daß - wie in DE 198 53 000 A1 - Überwachungsdaten vom Fahrzeug an die Zentrale übermittelt werden. Der Variantenreichtum resultiert beispielsweise daher, daß in verschiedenen Exemplaren einer Familie von mobilen Vorrichtungen, z. B. einer Fahrzeugflotte, unterschiedliche Ziel-Geräte eingebaut sind oder daß Ziel- Geräte in unterschiedlichen Versionen und Varianten verwendet werden oder verschiedene Software-Module aktiviert worden sind. Der Variantenreichtum kann zu einer riesigen Zahl unterschiedlicher Prüfungen führen, die nicht mit vertretbarem Aufwand definiert und validiert werden können. Weiterhin wird nicht die Möglichkeit berücksichtigt, daß ein Benutzer oder Betreiber einer mobilen Vorrichtung ein Ziel-Gerät erneuert oder nachträglich ergänzt, ohne daß der Hersteller der mobilen Vorrichtung hierüber informiert wird und dies bei einer Freigabe-Prüfung nach dem Stand der Technik berücksichtigen kann. Auch beim Verfahren nach DE 195 32 067 C1, bei dem Informationen über die Fahrzeug-Identität an die Zentrale übermittelt werden, werden nachträgliche Änderungen nicht berücksichtigt. Zwar kann die Zentrale sich eine abgespeicherte Konfigurations-Datei des Fahrzeugs beschaffen, diese Informationen können aber falsch oder veraltet sein.
  • Variantenreichtum und nachträgliche Änderungen sind aber zu berücksichtigen, um sicherzustellen, daß zu jeder mobilen Vorrichtung die richtigen Software-Module übertragen werden und sichergestellt wird, daß die übertragenen Software-Module auf dem Fahrzeug fehlerfrei miteinander und mit den Ziel-Geräten an Bord zusammenspielen und nicht zu unerwünschten oder fehlerhaften Betriebszuständen führen.
  • Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren der eingangs beschriebenen Art zu schaffen, das die beschriebenen Nachteile vermeidet. Insbesondere soll gewährleistet werden, daß bei variantenreichen Familien von mobilen Vorrichtungen mit Ziel-Geräten verschiedener Hersteller oder bei nachträglichen Änderungen an einzelnen mobilen Vorrichtungen nur die richtigen und keine anderen Software-Module übertragen werden. Weiterhin ist eine Vorrichtung zur Durchführung des Verfahrens zu schaffen.
  • Die Aufgabe wird durch ein Verfahren nach Anspruch 1 und durch eine Vorrichtung nach Anspruch 12 gelöst. Vorteilhafte Ausgestaltungen werden durch die Unteransprüche beschrieben.
  • Für die Übertragung wird eine Einrichtung zur drahtlosen Datenübertragung in beiden Richtungen verwendet, und eine Menge von Software-Modulen wird ausgewählt. Diese Menge besteht aus mehreren Software-Modulen oder aus nur einem einzigen Software- Modul. Informationen über die aktuelle Konfiguration der mobilen Vorrichtung werden an die Zentrale übermittelt. Diese Informationen umfassen eine Auflistung, welche Ziel-Geräte und welche Software-Module vor Beginn der Übertragung an Bord der mobilen Vorrichtung tatsächlich vorhanden sind. Geprüft wird, welche dieser Software-Module für die aktuelle Konfiguration freigegeben sind. Die ausgewählten und für die aktuelle Konfiguration freigegebenen Software-Module werden übertragen.
  • Vorzugsweise werden für eine Freigabe-Prüfung Freigabe- Festlegungen verwendet, die wie folgt erzeugt werden (Anspruch 2): Für die Ziel-Geräte werden Geräte-Typ-Kennungen festgelegt, also Kennungen für die Typen von Ziel-Geräten. Für die Software-Module werden Software-Typ-Kennungen festgelegt. Unter Verwendung der Geräte-Typ-Kennungen und Software-Typ- Kennungen wird festgelegt, welche der ausgewählten Software- Module für welche Typen von Ziel-Geräten freigegeben sind.
  • Diese Freigabe-Festlegungen werden bei der Freigabe-Prüfung verwendet.
  • Das Verfahren ist in gleicher Weise für die Versorgung einer einzelnen mobilen Vorrichtung wie auch für Familien von variantenreichen oder variantenarmen mobilen Vorrichtungen anwendbar. Insbesondere werden auch dann zuverlässig die richtigen und keine anderen Software-Module ausgewählt und übertragen, wenn in der mobilen Vorrichtung mehrere Ziel-Geräte unterschiedlicher Hersteller vorhanden sind und diese Ziel- Geräte in unterschiedlichen Versionen und Varianten vorkommen, die unterschiedliche Software-Module benötigen.
  • Die richtigen Software-Module werden auch dann ausgewählt und übertragen, wenn ein Benutzer oder Betreiber der mobilen Vorrichtung ein Ziel-Gerät durch ein andersartiges ersetzt hat oder nachträglich ein weiteres Ziel-Gerät ergänzt hat. Dies wird insbesondere dadurch erreicht, daß ermittelt wird, welche Ziel-Geräte und Software-Module sich zum Zeitpunkt der Übertragung tatsächlich in der mobilen Vorrichtung befinden. Nicht mehr erforderlich ist es, eine Abfrage in einer zentralen Datenbank mit Konfigurationen von mobilen Vorrichtungen durchzuführen. Die Einträge in einer solchen zentralen Datenbank können veraltet sein, z. B. weil ein Ziel-Gerät durch ein andersartiges ersetzt wurde oder ein Ziel-Gerät ergänzt oder entfernt wurde, ohne daß der Hersteller hierüber informiert wurde.
  • Dank der Verwendung einer drahtlosen Datenübertragungseinrichtung ist es nicht erforderlich, daß die mobile Vorrichtung zum Übertragen in eine Werkstätte gefahren oder transportiert wird. Es ist möglich, ein Software-Modul bereits unmittelbar nach seiner Fertigstellung und/oder Freigabe zu übertragen.
  • Einige beispielhafte Anwendungen, in denen das erfindungsgemäße Verfahren Vorteile gegenüber dem Stand der Technik erbringt, sind die folgenden:
    • - Auf Initiative des Kundendienstes eines Fahrzeugherstellers wird eine Kundendienstmaßnahme für alle Fahrzeuge eines Typs durchgeführt. Beispielsweise wird für alle Fahrzeuge einer Baureihe und eines Baujahrs eine neue Version eines Software-Moduls übertragen. Oder eine gesetzliche Bestimmung in einem Staat wird geändert, und Software-Module werden an Fahrzeuge in diesem Staat übertragen, um den geänderten Gesetzen nachzukommen. Besitzer und Nutzer der mobilen Vorrichtung werden informiert, und die Software-Module werden bei Einverständnis erfindungsgemäß übertragen. Durch das erfindungsgemäße Verfahren ist es nicht erforderlich, daß ein Fahrzeug des Typs in eine Werkstatt gebracht wird, und es wird sichergestellt, daß die neue Version des Software-Moduls nur auf diejenigen Fahrzeuge übertagen wird, für deren Konfigurationen sie freigegeben ist.
    • - Für einen bestimmten Fahrzeugtyp sollen umfangreiche Betriebsdaten an Bord aufgezeichnet, vorverarbeitet und an eine Zentrale übermittelt werden. Ein Programm, das die Aufzeichnung, Vorverarbeitung und Übermittlung übernimmt und dabei die Daten gegen unbefugten Zugriff sichert, wird durch das erfindungsgemäße Verfahren übertragen, nachdem der Eigentümer hierzu sein Einverständnis gegeben hat. Durch die Kenntnis der aktuellen Konfiguration wird sichergestellt, daß das übertragene Programm auf die tatsächlich an Bord vorhandenen Geräte zugeschnitten ist.
    • - Ein Besitzer einer mobilen Vorrichtung kauft vom Hersteller der mobilen Vorrichtung eine zusätzliche oder verbesserte Funktionalität, die ausschließlich durch zusätzliche Software-Module auf bereits eingebauten Ziel-Geräten realisiert wird. Durch das Verfahren wird es ermöglicht, daß die Software-Module ohne einen Werkstattbesuch übertragen werden, wenn eine drahtlose Verbindung hergestellt werden kann. Sichergestellt wird, daß die Software-Module für die mobile Vorrichtung freigegeben sind.
    • - Ein Ziel-Gerät an Bord eines Fahrzeugs ist ausgefallen, und das Fahrzeug kann seine Fahrt nicht fortsetzen. Ein Wartungstechniker fährt mit einem neuen Ziel-Gerät zum Fahrzeug. Das neue Gerät ist hinsichtlich der Hardware baugleich oder wenigstens funktionsgleich zum ausgefallenen Gerät, jedoch sind keine Software-Module in ihm abgespeichert. Die benötigten Software-Module werden durch das erfindungsgemäße Verfahren übertragen. Dadurch ist es nicht erforderlich, daß der Wartungstechniker die Software- Module sowie eine Einrichtung zur Konfigurations-Ermittlung und Freigabe-Prüfung mit sich führt. Da der Wartungstechniker für eine Flotte von unterschiedlichen Fahrzeugen mit verschiedenen Geräten an Bord verantwortlich ist, ist es wegen der Variantenvielfalt nicht möglich, daß er alle Software-Module mit sich führt, die beim Ausfall eines Ziel-Geräts an Bord eines der Fahrzeuge benötigt werden. Das erfindungsgemäße Verfahren spart erheblich Zeit gegenüber dem Vorgehen ein, daß der Wartungstechniker erst nach einem Ausfall eines Geräts ermittelt, welche Software- Module für das neue Gerät benötigt werden, und diese Software-Module dann von einer Zentrale beschafft.
  • Dank der Ausgestaltung nach Anspruch 3 kann das erfindungsgemäße Verfahren auch dann durchgeführt werden, wenn die aktuelle Konfiguration nicht komplett an die Zentrale übermittelt werden kann und daher benötigte Informationen fehlen, beispielsweise weil nicht alle Informationen über die aktuelle Konfiguration an Bord abgespeichert worden sind oder weil die Datenverbindung von der mobilen Vorrichtung zur Zentrale gestört ist. Hingegen haben diejenigen Informationen über die aktuelle Konfiguration, die an die Zentrale übermittelt wurden und nicht unzutreffend sind, Vorrang vor den abgespeicherten Konfigurations-Informationen.
  • Gemäß der Ausgestaltung nach Anspruch 3 werden Informationen über eine der Zentrale bekannten Konfiguration der mobilen Vorrichtung in einem Konfigurations-Management-System oder Dokumentations-System abgespeichert. Beispielsweise umfaßt das System eine Datenbank, in der ein Datensatz für die mobile Vorrichtung bei ihrer Fertigstellung angelegt wird. Während der Übertragung wird eine Kennung der mobilen Vorrichtung zur Zentrale übermittelt. Diese Kennung unterscheidet diese mobile Vorrichtung wenigstens von allen anderen mobilen Vorrichtungen desselben Herstellers. Die an die Zentrale übermittelten Informationen über die aktuelle Konfiguration werden mit den abgespeicherten Informationen über die Konfiguration verglichen. Nachdem die Kennung der mobilen Vorrichtung an die Zentrale übermittelt wurde, wird auf den Datensatz für diese mobile Vorrichtung zugegriffen. Nicht übermittelte Informationen über die aktuelle Konfiguration werden durch Lesezugriff auf die abgespeicherte Konfiguration ergänzt. Auf die abgespeicherte Konfiguration wird insbesondere dann zugegriffen, wenn die aktuelle Konfiguration nur unvollständig an die Zentrale übermittelt wird und daher benötigte Informationen über die aktuelle Konfiguration, beispielsweise der Typ eines tatsächlich zum Zeitpunkt der Übertragung eingebauten Tür-Steuergerätes, fehlen. Bevorzugt werden die an die Zentrale übermittelten Informationen über die aktuelle Konfiguration einer Plausibilitätsprüfung unterzogen, um insbesondere Übertragungsfehler zu erkennen. Werden hierbei einzelne Informationen als offensichtlich unzutreffend erkannt, so werden die unzutreffenden der übermittelten Informationen durch die entsprechenden abgespeicherten Informationen ersetzt.
  • Anspruch 4 sieht vor, daß vor der Übertragung der Software- Module geprüft wird, ob mit Hilfe der drahtlosen Datenübertragungseinrichtung ein Übertragungskanal mit einer für die Übertragung ausreichenden Güte aufgebaut werden kann. Insbesondere wird geprüft, ob überhaupt eine Verbindung aufgebaut wird und ob diese Verbindung eine ausreichende Bandbreite besitzt. Bevorzugt werden die Software-Module vor der Übertragung komprimiert und nach der Übertragung dekomprimiert, um Übertragungszeit einzusparen.
  • Die Übertragung kann sowohl von der Zentrale als auch von einer Stelle außerhalb der Zentrale, beispielsweise einem Eigentümer, Fahrer oder Nutzer der mobilen Vorrichtung, angefordert werden, beispielsweise mit Hilfe eines Rechners im Internet. Die Stelle kann auch die mobile Vorrichtung oder ein Ziel-Gerät sein, das automatisch die Übertragung anfordert. Bevorzugt wird vor der Übertragung eine Berechtigungsprüfung für die anfordernde Stelle durchgeführt (Anspruch 5). Hierfür werden Informationen über die Identität der Stelle, welche die Übertragung der Software-Module anfordert, an die Zentrale übermittelt. Beispielsweise werden von einer anfordernden Person eine PIN, ein Paßwort oder ein Fingerabdruck ermittelt und mit abgespeicherten Informationen verglichen. Nur bei erfolgreicher Berechtigungsprüfung werden Software-Module übertragen. Durch die Berechtigungsprüfung wird insbesondere vermieden, daß ein Nutzer sich in den Besitz eines kostenpflichtigen Software- Moduls bringt, ohne dafür bezahlt zu haben, und daß die Übertragung aufgrund eines Fehlers ausgelöst wird.
  • Um zu verhindern, daß ein Software-Modul beispielsweise bei der Abspeicherung auf der mobilen Speicher-Einrichtung oder der Übertragung verfälscht oder manipuliert oder eine unberechtigt angefertigte Kopie verwendet wurde, wird eine Korrektheitsprüfung durchgeführt (Anspruch 6). Hierzu wird für mindestens ein Software-Modul eine Signatur erzeugt und auf der mobilen Speicher-Einrichtung abgespeichert. Die Signatur wird vorzugsweise dadurch erzeugt, daß das Software-Modul als Datenstrom behandelt wird und ein Hash-Wert erzeugt wird. Mit Hilfe eines geheimen Schlüssels wird aus diesem Hash-Wert die Signatur erzeugt. Die Signatur hängt also vom Software-Modul und vom geheimen Schlüssel ab.
  • Weiterhin wird an Bord der mobilen Vorrichtung für mindestens einen Ziel-Geräte-Typ ein öffentlicher Schlüssel abgespeichert. Mit Hilfe dieses öffentlichen Schlüssels wird die Signatur geprüft. Nur bei positivem Ausgang der Prüfung wird das Software-Modul als nicht verfälscht und als berechtigt erkannt.
  • Die Menge von Software-Modulen wird beispielsweise wie folgt ausgewählt (Anspruch 7): Die an die Zentrale übermittelte aktuelle Konfiguration der mobilen Vorrichtung wird mit einer Wunsch- oder Soll-Konfiguration verglichen. Eine Wunsch- Konfiguration wird beispielsweise dadurch erzeugt, daß ein Eigentümer der mobilen Vorrichtung zusätzliche Funktionalitäten erwirbt, eine Soll-Konfiguration dadurch, daß der Hersteller der mobilen Vorrichtung vorsieht, daß alle mobilen Vorrichtungen einer Baureihe mit einem bestimmten Software- Modul versorgt werden. Die Software-Module werden in Abhängigkeit von der Abweichung zwischen aktueller und Wunsch- bzw. Soll-Konfiguration ausgewählt. Beispielsweise werden alle Software-Module ausgewählt, die in der Wunsch- bzw. Soll- Konfiguration auftreten, aber in der aktuellen Konfiguration gar nicht oder nur in einer älteren Version.
  • Bevorzugt werden die Software-Module nach der Übertragung zunächst in einem Pufferspeicher an Bord der mobilen Vorrichtung abgespeichert. Sie werden dann an die jeweiligen Ziel-Geräte verteilt und zu diesen übertragen. Gemäß Anspruch 8 werden daher gemeinsam mit den Software-Modulen Meta- Informationen übertragen, die die Verteilung und/oder Übertragung und/oder Aktivierung der Software-Module an Bord der mobilen Vorrichtung steuern.
  • Die übertragenen Software-Module werden bevorzugt nur dann aktiviert, wenn die mobile Vorrichtung sich in einem sicheren Zustand befindet. Ansonsten besteht die Gefahr, daß während der Aktivierung eines Software-Moduls oder der dafür erforderlichen Deaktivierung eines zuvor vorhandenen Software-Moduls die mobile Vorrichtung in einen unerwünschten Betriebszustand gerät. Beispielsweise ist sicherzustellen, daß Software-Module für Steuergeräte an Bord eines Kraftfahrzeuges nur bei stehendem Fahrzeug aktiviert werden. Anspruch 9 sieht vor, daß zusätzlich Informationen über den aktuellen Betriebszustand der mobilen Vorrichtung an die Zentrale übermittelt werden. In Abhängigkeit von den Betriebszustands-Informationen wird entschieden, ob die mobile Vorrichtung sich in einem sicheren Zustand befindet. Dann, wenn sie sich in einem sicheren Zustand befindet, werden die übertragenen Software-Module aktiviert.
  • Die drahtlose Datenverbindung zwischen Zentrale und mobiler Vorrichtung kann gestört sein, weswegen die Übertragung der Software-Module nicht fehlerfrei abgeschlossen werden kann. Oft ist der Hersteller von mobilen Vorrichtungen gesetzlich verpflichtet, zu dokumentieren, welche Software-Module sich an Bord der von ihm hergestellten mobilen Vorrichtungen befinden. Beispielsweise aus diesen beiden Gründen wird nach der Übertragung mindestens eines der Software-Module die Information an die Zentrale übermittelt, ob das Software-Modul tatsächlich fehlerfrei an die mobile Vorrichtung übermittelt wurde (Anspruch 10). Bevorzugt wird nach jeder Übertragung eines Software-Moduls eine Information über das Ergebnis der Übertragung an die Zentrale übermittelt. Falls bei der Übertragung Fehler auftraten, wird bevorzugt zusätzlich eine Fehlerbeschreibung an die Zentrale übermittelt.
  • Durch die erfolgreiche Übertragung von Software-Modulen wird die aktuelle Konfiguration der mobilen Vorrichtung verändert. Insbesondere um gesetzlichen Auflagen nach einer Produktdokumentation nachzukommen, wird gemäß Anspruch 11 eine Rückdokumentation durchgeführt. Hierfür wird die Kennung der mobilen Vorrichtung zur Zentrale übermittelt. Diese Kennung unterscheidet diese mobile Vorrichtung wenigstens von allen anderen mobilen Vorrichtungen desselben Herstellers. In einem Konfigurations-Management-System wird die Information abgespeichert, welche Ziel-Geräte-Typen und welche Software- Module nach Abschluß der Übertragung an Bord der mobilen Vorrichtung tatsächlich vorhanden sind. Informationen über die Ziel-Geräte-Typen wurden erfindungsgemäß bereits für die Freigabe-Prüfungen an die Zentrale übermittelt.
  • Die Information, welche Software-Module fehlerfrei und unverfälscht übertragen wurden, wird auch für eine Synchronisation nach einem Fehlerfall, z. B. nach einem Verbindungsabbruch, verwendet. Ermittelt wird, welche Software- Module bei einem zweiten Versuch für die Übertragung vorgesehen werden.
  • Eine Übertragungs-Vorrichtung zur Durchführung eines Verfahrens nach einem der Ansprüche 1 bis 11 umfaßt gemäß Anspruch 12 eine Einrichtung zur drahtlosen Datenübertragung zwischen Zentrale und mobiler Vorrichtung in beiden Richtungen und eine Steuerungs-Einrichtung, welche die Übermittlung von Software- Modulen von der Zentrale zur mobilen Vorrichtung veranlaßt und steuert. Die Steuerungs-Einrichtung ermittelt die aktuelle Konfiguration der mobilen Vorrichtung, wählt die Menge von Software-Modulen aus, und prüft, welche der ausgewählten Software-Module für die aktuelle Konfiguration freigegeben sind. Weiterhin veranlaßt die Steuerungs-Einrichtung die Übertragung der ausgewählten und freigegebenen Software-Module und ermittelt, welche Software-Module fehlerfrei an die mobile Vorrichtung übertragen wurden.
  • Bevorzugt reagiert die Steuerungs-Einrichtung auf erkannte Übertragungsfehler. Beispielsweise veranlaßt sie einen zweiten Übertragungs-Versuch, führt eine Fehlerbehandlung durch oder bricht die Übertragung der Software-Module ab.
  • Im folgenden wird ein Ausführungsbeispiel des erfindungsgemäßen Verfahrens anhand der beiliegenden Zeichnungen näher beschrieben. Dabei zeigen
  • Fig. 1 eine beispielhafte Ausführungsform der Erfindung, bei der die Software-Module von einer Zentrale mit Hilfe zweier verschiedener drahtloser Datenübertragungseinrichtungen zur mobilen Vorrichtung übertragen werden;
  • Fig. 2 eine beispielhafte Systemarchitektur für Zentrale und mobile Vorrichtung.
  • Im Beispiel der Fig. 1 wird wenigstens zeitweise eine Datenverbindung zwischen der Zentrale 10 und dem ersten Fahrzeug 20.1 und eine weitere Datenverbindung zwischen der Zentrale 10 und dem zweiten Fahrzeug 20.2 hergestellt. Die drahtlosen Datenverbindungen können auf die gleiche oder auf unterschiedliche Weisen hergestellt werden. Als zwei Beispiele sind in Fig. 1 die drahtlose Übertragung mit Hilfe eines Satelliten 50.1 und die über ein Mobilfunknetz 50.2 dargestellt. Die Software-Module werden z. B. über ein Weitverkehrsnetz oder ein lokales Netz übertragen. Die Zentrale kann sich an einem einzigen Ort befinden oder räumlich verteilt sein. Insbesondere falls ein Fahrzeug 20.1 oder 20.2 sich während der Übertragung bewegt, kann die übertragende Zentrale sogar während der Übertragung wechseln.
  • Bei der Übertragung von Software-Modulen werden für jedes der beiden Fahrzeuge 20.1 und 20.2 die folgenden Verfahrensschritte ausgeführt:
    • - Insbesondere dann, wenn der Fahrzeug-Hersteller die Software-Module nur dann übermittelt, wenn der Eigentümer der Übertragung der Software-Module zugestimmt hat und/oder die Software-Module bezahlt hat, wird eine Berechtigungsprüfung für die anfordernde Stelle durchgeführt. Hierfür wird beispielsweise ein Fingerabdruck einer anfordernden Person ermittelt oder eine PIN oder ein Paßwort von einer anfordernden Stelle erfaßt und anschließend Fingerabdruck, PIN oder Paßwort an die Zentrale übermittelt und bei einer Berechtigungsprüfung ausgewertet. Nach erfolgreicher Berechtigungsprüfung wird festgestellt, ob der Eigentümer der Übertragung verbindlich zugestimmt hat. Die folgenden Schritte werden nur dann durchgeführt, wenn eine Zustimmung vorliegt oder nicht erforderlich ist.
    • - Eine eindeutige Kennung des Fahrzeugs, vorzugsweise eine Fahrzeug-Ident-Nummer, wird ermittelt und an die Zentrale übermittelt. Diese Kennung unterscheidet das Fahrzeug von allen anderen Fahrzeugen dieses Herstellers. Zusätzlich werden die Baureihe, das Baumuster und das Baujahr und das Jahr der letzten Änderung übermittelt. Diese Informationen lassen sich zwar oft durch Lesezugriff auf ein zentrales Konfigurations-Management-System ermitteln. Werden sie aber vom Fahrzeug zur Zentrale übermittelt, so wird ein oft zeitraubender Lesezugriff eingespart.
    • - Die aktuelle Konfiguration des Fahrzeugs wird ermittelt und an die Zentrale übermittelt. Hierbei wird ermittelt, welche Ziel-Geräte vor Beginn der Übertragung an Bord des Fahrzeugs tatsächlich eingebaut sind und welche Software-Module vor Beginn der Übertragung an Bord des Fahrzeugs tatsächlich aktiviert und/oder abgespeichert sind. Vorzugsweise werden Typ-Kennungen für die aktuell eingebauten Geräte und bereits vorhandenen Software-Module, z. B. Sachnummern und Variantennummern, übermittelt. Diese Ermittlung wird bevorzugt dadurch ausgeführt, daß in jedem Ziel-Gerät ein Speicher vorhanden ist, in dem die Konfigurations- Informationen über dieses Ziel-Gerät abgespeichert sind und der z. B. über einen Datenbus angesprochen und ausgelesen wird. Alternative Ausführungsformen bestehen daraus, einen zentralen Speicher an Bord des Fahrzeugs oder Speicherchips, die an den Ziel-Geräten angebracht sind, auszulesen. Insbesondere dann, wenn ein Speicher in einem Ziel-Gerät aufgrund eines Defekts nicht ausgelesen werden kann oder wenn der Speicher eines neuen Ziel-Geräts noch nicht gefüllt ist, besteht ein Notbehelf darin, Markierungen an Geräten, z. B. Strichcodes, optisch zu erfassen.
    • - Bei Bedarf werden die Informationen über die aktuelle Konfiguration mit einem Datensatz über die Konfiguration des Fahrzeugs verglichen, der in einem Konfigurations- Management-System abgespeichert ist. Dies wird beispielsweise dann durchgeführt, wenn die übermittelten Informationen über die aktuelle Konfiguration lückenhaft oder erkennbar fehlerhaft sind. Zur Erkennung von derartigen Fehlern wird bevorzugt eine Plausibilitätsprüfung der vom Fahrzeug übermittelten und der abgespeicherten Informationen über die Konfiguration durchgeführt.
    • - Ausgewählt wird eine Menge von Software-Modulen, die von der Zentrale zum Fahrzeug übertragen werden. Die Auswahl hängt von der aktuellen Konfiguration des Fahrzeugs, vom Anwendungsfall und von der Kundenanforderung ab.
    • - Nur diejenigen Software-Module werden übertragen, die für die aktuelle Konfiguration des Fahrzeugs freigegeben sind. Für jedes Software-Modul wird eine Freigabe-Prüfung durchgeführt, indem Freigabe-Informationen ausgewertet werden. Vorzugsweise bestehen diese Freigabe-Informationen aus Typ-Kennungen für Ziel-Geräte und Software-Module. Eine Ausführungsform wird weiter unten beschrieben. Mögliche Ergebnisse der Freigabe-Prüfung sind, daß alle, einige oder gar keines der ausgewählten Software-Module als freigegeben erkannt werden.
    • - Überprüft wird, ob die ausgewählten Software-Module jetzt übertragen werden können. Hierbei wird festgestellt, ob mit Hilfe der drahtlosen Datenübertragungseinrichtung überhaupt eine Verbindung zwischen Zentrale und Fahrzeug vorhanden ist oder aufgebaut werden kann und ob der Übertragungskanal eine für die Übertragung ausreichende Güte, insbesondere eine ausreichende Bandbreite besitzt. Diese Güte kann von dem sende- und Empfangsgerät 190 an Bord des Fahrzeugs abhängen. Beispielsweise wird eine untere Schranke für die Bandbreite oder eine obere Schranke für den Zeitraum, den die Übertragung in Anspruch nimmt, vorgegeben und mit der tatsächlich verfügbaren Bandbreite verglichen. Aus der tatsächlich verfügbaren Bandbreite und der Gesamtgröße der ausgewählten Software-Module wird bei Bedarf ein Wert für den Zeitbedarf der Übertragung vorhergesagt.
    • - Die ausgewählten und für die aktuelle Konfiguration freigegebenen Software-Module werden komprimiert, so daß die komprimierten Software-Module weniger Speicherplatz als die nicht komprimierten einnehmen. Bekannt sind verschiedene Verfahren zum Komprimieren von Daten.
    • - Die ausgewählten und für die aktuelle Konfiguration freigegebenen Software-Module werden für die Übertragung konvertiert. Bei Bedarf werden die Software-Module in Teile aufgeteilt. Gemeinsam mit jedem Software-Modul oder Software-Modul-Teil werden Meta-Informationen übertragen, die die Verteilung und Übertragung der Software-Module an Bord sowie deren Aktivierung steuern. Zu diesen Meta- Informationen zählen Parameter, die das verwendete On-Board- Übertragungsprotokoll benötigt.
    • - Die ausgewählten und für die aktuelle Konfiguration freigegebenen Software-Module werden von der Zentrale zum Fahrzeug übertragen. Als Übertragungstechnik wird beispielsweise ein Mobilfunk-Standard, z. B. GSM oder UMTS, eingesetzt. Vorzugsweise wird ein zur gewählten Übertragungstechnik passendes Protokoll, z. B. das dateibasierte Protokoll zModem, verwendet. Dadurch wird insbesondere nach einem Abbruch der Verbindung eine sichere Fehlerbehandlung mit Synchronisation erleichtert, die weiter unten beschrieben wird.
    • - Vorzugsweise werden die übertragenen Software-Module an Bord des Fahrzeugs in einem Pufferspeicher abgespeichert
    • - Festgestellt wird, welche Software-Module fehlerfrei übertragen wurden. Diese Information wird an die Zentrale übermittelt. Beispielsweise wird nach jeder erfolgreichen Übertragung eines Software-Moduls eine Rückmeldung an die Zentrale übermittelt, oder nach erfolgreicher Übertragung aller Software-Module wird diese Information an die Zentrale übermittelt. Für die Feststellung wird vorzugsweise für jedes Software-Modul oder jedes Software-Modul-Teil eine Soll-Prüfsumme nach dem CRC-Verfahren ermittelt und übertragen. Nach der Übertragung wird an Bord der mobilen Vorrichtung eine Ist-Prüfsumme ermittelt und mit der Soll- Prüfsumme verglichen.
    • - Vorzugsweise werden Verschlüsselungs-Informationen gemeinsam mit den Software-Modulen übertragen, um zu prüfen, ob die Software-Module aus einer vertrauenswürdigen Quelle stammen und unverfälscht übertragen wurden. Beispielsweise wird ein Software-Modul in der Zentrale verschlüsselt und an Bord der mobilen Vorrichtung wieder entschlüsselt. Ein Verfahren hierfür ist aus DE 195 32 067 C1 bekannt. Oder ein Software- Modul wird unverschlüsselt, aber gemeinsam mit einer Signatur übertragen. Die Signatur wird mit Hilfe eines geheimen Schlüssels in der Zentrale erzeugt und mit einem öffentlichen Schlüssel verglichen, der beispielsweise zuvor auf einem anderen Kanal zur mobilen Vorrichtung übermittelt wurde.
    • - Falls festgestellt wurde, daß ein Software-Modul nur fehlerhaft, verfälscht oder gar nicht übertragen wurde, so wird ein zweiter Versuch der Übertragung durchgeführt. Falls zwischen erstem und zweiten Versuch eine größere Zeitspanne verstrichen ist, wird erneut die aktuelle Konfiguration des Fahrzeugs ermittelt, denn diese kann in der Zwischenzeit verändert worden sein. Scheitert auch der zweite Versuch, so wird die unten beschriebene Fehlerbehandlung durchgeführt.
    • - Daten über den aktuellen Betriebszustand des Fahrzeugs werden erfaßt und an die Zentrale übermittelt. Diese Daten umfassen beispielsweise die aktuelle Fahrgeschwindigkeit, den Motorzustand, den Ladezustand der Batterie und die aktuelle Position des Fahrzeugs. Aufgrund des Betriebszustands wird entschieden, ob die übertragenen Software-Module jetzt aktiviert werden. Dabei wird insbesondere geprüft, ob das Fahrzeug sich in einem sicheren Zustand befindet. Beispielsweise wird der Ladezustand der Batterie berücksichtigt, um sicherzustellen, daß während der gesamten Aktivierung genügend elektrische Spannung zur Verfügung steht. Die aktuelle Position wird beispielweise ausgewertet, um zu prüfen, in welchem Land oder z. B. US- Bundesstaat sich das Fahrzeug befindet, um bei Bedarf zu prüfen, ob länderspezifische gesetzliche oder technische Randbedingungen zu beachten sind. Bei Bedarf wird der Fahrer des Fahrzeugs gebeten, das Fahrzeug in einen sicheren Zustand zu bringen, z. B. es anzuhalten, und dies zu bestätigen. Dies wird z. B. durch Sprachausgabe und -eingabe oder dadurch durchgeführt, daß Meldungen angezeigt werden und der Fahrer gebeten wird, diese zu bestätigen.
    • - Falls alle Software-Module fehlerfrei und unverfälscht übertragen wurden oder der Pufferspeicher vollständig gefüllt ist und falls das Fahrzeug sich in einem sicheren Zustand befindet, werden die übertragenen Software-Module aus dem Pufferspeicher in die Ziel-Geräte übertragen, vorzugsweise über einen Datenbus an Bord des Fahrzeugs. Bei Bedarf werden sie zuvor dekomprimiert. Für diesen Vorgang werden die Meta-Informationen ausgewählt. Nach der Übertragung zu den Geräten werden die Geräte bei Bedarf deaktiviert, die Software-Module aktiviert und danach die Geräte wieder aktiviert.
    • - In der Zentrale, z. B. in einem Konfigurations-Management- System, wird die aktuelle Konfiguration der mobilen Vorrichtung nach der Übertragung abgespeichert. Die aktuelle Konfiguration umfaßt die Informationen, welche der Ziel- Geräte an Bord tatsächlich eingebaut sind und welche Software-Module entweder fehlerfrei übertragen und aktiviert wurden oder bereits vor der Übertragung aktiviert und durch die Übertragung nicht verändert wurden.
    • - Ein Konfigurations-Management-System in der Zentrale umfaßt einen Datensatz für das Fahrzeug. Dieser Datensatz wird nach der Übertragung aktualisiert, so daß er nach der Aktualisierung Informationen darüber enthält, welche der Ziel-Geräte an Bord tatsächlich eingebaut sind und welche Software-Module nunmehr aktiviert sind.
    • - Eine Fehlerbehandlung ist insbesondere dann erforderlich, wenn eine vorgegebene Anzahl von Versuchen Versuche scheitern, alle Software-Module fehlerfrei zu übertragen, beispielsweise weil keine Verbindung zwischen Zentrale und Fahrzeug hergestellt werden kann. Bevorzugt wird bei einer Fehlerbehandlung eine Synchronisation durchgeführt. Hierbei wird festgestellt, welche Software-Module fehlerfrei übertragen wurden. Der Datensatz für das Fahrzeug im zentralen Konfigurations-Management-System wird aktualisiert, und ein Fehlerprotokoll wird generiert. Zu einem späteren Zeitpunkt wird ein erneuter Übertragungsversuch begonnen, der von einem definierten Zustand ausgeht.
  • Fig. 2 zeigt eine beispielhafte Systemarchitektur für die Zentrale 10 und das Fahrzeug 20. Die Zentrale 10 umfaßt die folgenden Komponenten:
    • - ein Central Remote Flashing Manager 160, der die Übermittlung von Software-Modulen von der Zentrale zur mobilen Vorrichtung veranlaßt und steuert und dabei Software-Module auswählt und prüft, ob sie für die aktuelle Konfiguration freigegeben sind,
    • - ein Steuerungs- und Regelungs-Werkzeug 110, mit dem die erforderlichen Maßnahmen zum Übertragen von Software-Modulen erfaßt und aufgelistet und veranlaßt werden und durch das die Durchführung der Maßnahmen überwacht wird,
    • - ein Logistiksystem 130, das die benötigten Software-Module identifiziert, auswählt und für die Übertragung bereitstellt,
    • - ein Abrechnungs-System 140, das die Übertragungsvorgänge kaufmännisch abwickelt und dabei insbesondere die Rechnungslegung durchführt und die Zahlungsvorgänge überwacht,
    • - ein Informationssystem 150, das den Eigentümer und/oder Fahrer des Fahrzeugs vor der Übertragung über angebotene und durch Software-Module realisierbare funktionale Erweiterungen und Änderungen durch Software-Module und nach der Übertragung über die erfolgreiche Übertragung oder über aufgetretene Fehler informiert und das beispielsweise das Internet verwendet oder die Versendung von Briefen ausläst,
    • - ein Entscheidungsunterstützungs-System 170, mit dessen Hilfe Software-Module in Abhängigkeit von der aktuellen Fahrzeug- Konfiguration und der durchzuführenden Kundendienst-Maßnahme ausgewählt werden,
    • - eine Sende- und Empfangseinrichtung 180 in der Zentrale und
    • - eine Sende- und Empfangseinrichtung 190, die mit dem Fahrzeug verbunden ist.
  • Die Sende- und Empfangseinrichtungen 180 und 190 sind beispielsweise als Knoten eines Mobilfunknetzes, das z. B. mit den Übertragungsverfahren GSM oder UMTS arbeiten, oder für eine Übertragung mittels Satelliten ausgebildet. An Bord eines Fahrzeugs können mehrere Sende- und Empfangseinrichtungen 190 eingebaut sein.
  • Im folgenden wird an einem Ausführungsbeispiel beschrieben, wie die Freigabe-Prüfung durchgeführt wird und welche Freigabe- Informationen hierfür ausgewertet werden. In dem Ausführungsbeispiel werden zwei Ziel-Geräte an Bord eines Kraftfahrzeugs 20 mit Software-Modulen versorgt: eine Zentraleinheit eines Systems zur Sprachausgabe, die z. B. Meldungen an den Fahrer in natürlicher Sprache vorliest, und ein Steuergerät für das Türsystem. Die Zentraleinheit ist mit einem Sende- und Empfangsgerät für drahtlose Datenübertragung und über einen Datenbus mit dem Steuergerät verbunden.
  • Die beiden Ziel-Geräte stammen von unterschiedlichen Herstellern und werden in verschiedenen Varianten in Fahrzeuge eingebaut. Die Sprachausgabe soll in mehreren Sprachen möglich sein. Die Software-Module für alle Varianten der beiden Ziel- Geräte werden erzeugt und in der Zentrale abgespeichert.
  • Der Typ eines Ziel-Geräts und der eines Software-Moduls werden durch jeweils eine Sachnummer und eine Variantennummer gekennzeichnet. Die Sachnummer ist eine Abfolge von Ziffern und Buchstaben, die innerhalb des Produktspektrums des Fahrzeug- Herstellers eindeutig ist. Die Variante wird durch eine Zahl mit drei Ziffern gekennzeichnet.
  • Die Freigabe-Informationen sind beispielsweise in einer relationalen Datenbank in Form von Datensätzen in der Zentrale abgespeichert. Für eine Freigabe-Prüfung wird diese Datenbank eingelesen und ausgewertet. Ein Prinzip ist, daß ein Software- Modul nur dann für einen Typ von Ziel-Geräten freigegeben ist, wenn eine entsprechende Freigabe-Information in der Freigabe- Datenbank vermerkt ist, ansonsten nicht.
  • Jeder Freigabe-Datensatz umfaßt folgende Datenfelder:
    • - Baureihe
    • - Region
    • - Ziel-Geräte-Typen
    • - Zulieferer
    • - Beschreibung_Hardware
    • - Art_der_Software
    • - Software-Module
    • - Beschreibung_Software
    • - gültig_ab
    • - Voraussetzung
  • Mit "Baureihe" ist die Baureihe des Fahrzeugs gemeint, auf das sich der Freigabe-Datensatz bezieht, z. B. W212. In den Datenfeldern "Ziel-Geräte-Typ" und "Software-Module" werden Geräte- bzw. Software-Typ-Kennungen aufgeführt, was im folgenden beispielhaft erläutert wird. Der in dem Datenfeld "gültig_ab" eingetragene Zeitpunkt legt für den Datensatz den Beginn des Freigabe-Zeitraums fest. Die im Datensatz genannten Software-Module sind nur dann für die genannten Ziel-Geräte- Typen freigegeben, wenn der Zeitpunkt der Übertragung nach dem durch das Datenfeld "gültig_ab" festgelegten Zeitpunkt liegt. Die Freigabe kann an eine Freigabe-Bedingung gebunden sein, die vorzugsweise als Boole'scher Ausdruck formuliert, wird. Die Inhalte der Datenfelder "Beschreibung_Hardware" und "Beschreibung_Software" werden nicht automatisch ausgewertet. Sie erläutern vielmehr einem menschlichen Bearbeiter die Typ- Kennungen.
  • In dem folgenden Beispiel stammt die Software für die Zentraleinheit vom Zulieferer XY, die für das Tür-Steuergerät von den Zulieferern AB (für den europäischen Markt) und FG (für den US-amerikanischen Markt). Typen von Ziel-Geräten und Software-Module werden durch Sachnummern gekennzeichnet, die mit HW bzw. SW beginnen, gefolgt von drei oder vier Ziffern. Varianten sind durch drei Ziffern gekennzeichnet. SW-212-001 bezeichnet z. B. ein Software-Modul mit der Sachnummer SW-212 und der Variantennummer 001. Typ-Kennungen, zusammengesetzt aus Sachnummern und Variantennummern, sind in eckige Klammern gesetzt. 1. Datensatz

  • Das Software-Modul [SW-101-001] ist durch den 1. Datensatz für die Ziel-Geräte-Typen [HW-1001-001] und [HW-1001-002] in Europa freigegeben. 2. Datensatz

  • Das Software-Modul [SW-111-001] ist durch den 2. Datensatz für die Ziel-Geräte-Typen [HW-1001-001] und [HW-1001-002] in Europa freigegeben. 3. Datensatz

  • Das Software-Modul [SW-102-001] ist durch den 3. Datensatz für die Ziel-Geräte-Typen [HW-1002-001] und [HW-1002-002] in den USA freigegeben. 4. Datensatz



  • Das Software-Modul [SW-112-001] ist durch den 4. Datensatz für die Ziel-Geräte-Typen [HW-1002-001] und [HW-1002-002] in den USA freigegeben, falls die Freigabe-Bedingung erfüllt ist. Die Freigabe-Bedingung ist erfüllt, wenn
    • - ein Ziel-Gerät vom Typ HW-1102 und einer der Varianten 001 bis 009
    • - und ein Ziel-Gerät vom Typ HW-2102 und der Variante 001 oder 002
    • - und kein Ziel-Gerät vom Typ HW-2302, das von einer der Varianten 001 bis 009 ist,
    eingebaut ist. Hierbei ist 00n eine abkürzende Bezeichnung für die Varianten 001 bis 009. 5. Datensatz

  • Das Software-Modul [SW-221-001] ist durch den 5. Datensatz für die Ziel-Geräte-Typen [HW-2001-001] und [HW-2001-002] in Europa freigegeben, falls die Freigabe-Bedingung erfüllt ist. Die Freigabe-Bedingung ist erfüllt, wenn an Bord
    • - ein Ziel-Gerät vom Typ [HW-2002-001]
    • - oder ein Ziel-Gerät vom Typ HW-2302, das von einer der Varianten 001 bis 009 ist,
    eingebaut ist. 6. Datensatz

  • Das Software-Modul [SW-111-001] ist durch den 6. Datensatz für die Ziel-Geräte-Typen [HW-1001-001] und [HW-1001-002] in den USA freigegeben, falls an Bord das Software-Modul [SW-221-001] aktiviert ist.
  • Bei der Auswertung der Freigabe-Datei wird für jedes Ziel- Gerät, das im Fahrzeug vorkommt, die Freigabe-Datenbank durchsucht. Für jeden Datensatz wird das Datenfeld "Baureihe"' abgeglichen und das Datenfeld "Ziel-Geräte-Typen" ausgewertet. Ist an Bord ein Ziel-Gerät eines er im Datenfeld "Ziel-Geräte- Typen" genannten Typen eingebaut, so wird festgestellt, ob eine Freigabe-Bedingung formuliert ist. Ist dies der Fall, so wird geprüft, ob die Freigabe-Bedingung auf Erfülltsein geprüft. Ist die Freigabe-Bedingung erfüllt oder ist keine Freigabe- Bedingung formuliert, so sind alle Software-Module für das Fahrzeug freigegeben, die im Datenfeld "Software-Module" des Datensatzes genannt sind. Welche der freigegebenen Software- Module tatsächlich übertragen werden, hängt davon ab, welche Software-Module ausgewählt worden sind.
  • Für jedes Software-Modul werden weiterhin Konfigurations- und Sicherheits-Informationen beispielsweise in zwei Datenbanken für Software-Module und zwei für Software-Modul-Teile erzeugt, in der Zentrale abgespeichert und bei der Übertragung ausgewertet. Die eine Datenbank ist die Konfigurations- Datenbank, die andere die Sicherheits-Datenbank.
  • Die Informationen in der Konfigurations-Datenbank legen fest, welche Dateien zum Software-Modul gehören, wo diese Dateien abgespeichert sind und in welcher Reihenfolge sie wohin, d. h. zu welchem Ziel-Gerät, übertragen werden. Mit Hilfe der Sicherheits-Informationen werden Übertragungsfehler und Manipulationen erkannt.
  • Ein Datensatz für ein Software-Modul in der Konfigurations- Datenbank für Software-Module umfaßt beispielsweise folgende Datenfelder:
    • - Software-Modul
    • - Ziel-Adresse
    • - Größe
    • - Speicherort
    • - Prüfverfahren
    • - Prüfsumme
    • - Teile_Kennungen
  • Das Datenfeld "Ziel-Adresse" gibt die Ziel-Adresse des Ziel- Geräts auf dem Datenbus im Fahrzeug an, z. B. #57 für das Tür- Steuergerät und #20 für die Zentraleinheit.
  • Das Datenfeld "Größe" gibt die Größe des Software-Moduls in KByte an. Diese Angabe wird z. B. für eine Fortschrittsanzeige beim Übertragen verwendet. Festgestellt wird, wie viele KByte bereits übertragen sind, und durch die Angabe in der Konfigurations-Datei ist bekannt, wie viele KByte insgesamt zu übertragen sind. Der Quotient gibt den Arbeitsfortschritt an, der z. B. als Balken angezeigt wird.
  • Das Datenfeld "Speicherort" gibt an, wo dieses Software-Modul in der Zentrale abgespeichert ist, beispielsweise in Form eines Pfades eines Betriebssystems oder einer Zugriffsinformation auf eine Datenbank.
  • Das Datenfeld "Teile_Kennungen" ist nur dann ausgefüllt, wenn das Software-Modul nicht auf einmal, sondern in mehreren Teilen übertragen wird.
  • Beispielsweise umfaßt der Datensatz für das Software-Modul [SW- 111-001] in der Konfigurations-Datenbank folgende Einträge: 7. Datensatz

  • Durch den 7. Datensatz wird festgelegt, daß die Übertragung des Software-Moduls [SW-111-001] mit dem CRC-Verfahren geprüft wird. Durch die Prüfung wird festgestellt, ob bei der Übermittlung zum Fahrzeug und der Speicherung an Bord des Fahrzeugs ein Übertragungsfehler aufgetreten ist. Als Prüfsumme wird ein CRC-Wert, in diesem Beispiel die Hexadezimalzahl 4758A08C, angegeben. Das Software-Modul wird auf einmal übertragen, daher ist das Datenfeld "Teile_Kennungen" leer.
  • Falls ein Software-Modul in mehreren Teilen übertragen wird, so werden jedem Software-Modul-Teil ein eigenes Prüfverfahren und eine eigene Prüfsumme zugewiesen.
  • Für jedes der Software-Modul-Teile wird in der Konfigurations- Datenbank für Teile ein eigener Datensatz mit folgenden Feldern angelegt:
    • - Teile-Kennung
    • - Größe
    • - Speicherort
    • - Prüfverfahren
    • - Prüfsumme
  • Das Datenfeld "Speicherort" gibt an, wo dieser Software-Modul- Teil in der Zentrale abgespeichert ist.
  • Ein Datensatz in der Sicherheits-Datenbank umfaßt folgende Datenfelder:
    • - Software-Modul
    • - Ziel-Geräte-Typ
    • - Signatur
    8. Datensatz

    9. Datensatz



  • Das Software-Modul [SW-111-001] ist in diesem Beispiel für zwei Varianten von Ziel-Geräten freigegeben, nämlich für die Varianten 001 und 002 des Typs HW-1001. Daher werden zwei verschiedene Signaturen erzeugt und in dem 8. und 9. Datensatz abgespeichert, nämlich eine Signatur pro Variante des Ziel- Geräte-Typs. Die Signatur für eine Variante wird vorzugsweise dadurch erzeugt, daß die Variante als Datenstrom behandelt wird und ein Hash-Wert erzeugt wird. Mit Hilfe eines geheimen Schlüssels wird aus diesem Hash-Wert die Signatur erzeugt. Die Signatur hängt also vom Software-Modul und vom geheimen Schlüssel ab. Für die Erzeugung der Signatur wird beispielsweise eine 1024-Bit-Verschlüsselung nach dem Algorithmus von Rivest-Shamir-Adleman (RSA-Verschlüsselung) verwendet.
  • Die Erzeugung von Signaturen wird auf einem Rechner durchgeführt, der streng gegen unberechtigten Zugriff und gegen Manipulationen geschützt wird. Beispielsweise betreibt der Zulieferer diesen Rechner und liefert die beiden Varianten und die beiden Signaturen an den Hersteller des Kraftfahrzeuges. Eine andere Ausführungsform ist die, daß der Zulieferer lediglich die beiden Varianten an den Hersteller liefert und dieser selber die Signaturen erzeugt. Beispielsweise übermittelt der Hersteller die Signaturen an den Zulieferer, und dieser überträgt die Software-Module auf seine Ziel-Geräte und verwendet dabei die Signatur für eine Prüfung. Eine dritte Ausführungsform besteht daraus, daß ein zertifiziertes Trust Center die Signaturen erzeugt und die geheimen Schlüssel verwaltet.
  • In einem permanenten, nicht überschreibbaren Speicher des Ziel- Geräts wird ein öffentlicher Schlüssel abgespeichert. Der öffentliche Schlüssel kann ausgelesen werden, er ist aber sowohl vor versehentlichem als auch vorsätzlichem Überschreiben oder Verfälschen oder Löschen geschützt. Vorzugsweise versieht der Zulieferer das Ziel-Gerät mit dem öffentlichen Schlüssel. Die Signatur wird nach dem Übertragen und vor dem Aktivieren des Software-Moduls mit Hilfe des öffentlichen Schlüssels geprüft. Durch diese Prüfung wird sichergestellt, daß das Software-Modul von einer vertrauenswürdigen Quelle kommt und nicht verfälscht oder manipuliert wurde.
  • Als On-Board-Übertragungsprotokoll wird beispielsweise das "Keyword Protocol 2000" (KWP2000) verwendet, das durch ISO 14230-1 und ISO 15765-1 bis 15765-4 und VDA 14230-1 bis VDA 14230-3 standardisiert wird. Befehle werden in KWP2000 durch Hexadezimal-Zahlen codiert, z. B. der Befehl "ReadEDUIdentification" (Auslesen einer Typ-Kennung für ein Ziel-Gerät) durch $1A,86. Die mit einem Software-Modul übertragenen Meta-Informationen umfassen die für das Protokoll KWP2000 notwendigen Kommunikations-Parameter, die die Übertragung an Bord vom Pufferspeicher an ein Ziel-Gerät steuern, z. B. Blockgrößen, Timing-Parameter, Ablaufinformationen und Adresse des Geräts auf dem Datenbus. Andere Übertragungsprotokolle sind ebenfalls geeignet. Die Meta-Informationen werden beispielsweise ebenfalls in Form einer Tabelle übertragen. Diese Tabelle wird im Gegensatz zu der Tabelle für die Freigabe-Prüfung erst während des Übertragungsvorganges generiert.
  • Nachdem festgestellt wird, daß die ausgewählten und als freigegeben erkannten Software-Module fehlerfrei und unverfälscht übertragen wurden, werden mindestens folgende Informationen an die Zentrale übermittelt:
    • - eine eindeutige Kennung des Fahrzeugs,
    • - welche Software-Module fehlerfrei und unverfälscht übertragen wurden,
    • - welches Gerät, z. B. welcher Diagnosetester, für die Übertragung verwendet wurde
    • - und das Datum und der Zeitpunkt, zu dem die Übertragung abgeschlossen wurde.
  • Diese Informationen werden in der Zentrale, beispielsweise in einem Konfigurations-Management-System, abgespeichert, und zwar bevorzugt in dem Datensatz für das Fahrzeug. Dort wird weiterhin abgespeichert, wer die Übermittlung veranlaßt hat.

Claims (12)

1. Verfahren zum Übertragen von Software-Modulen von einer Zentrale zu einer mobilen Vorrichtung,
insbesondere zu einem Verkehrs- oder Transportmittel,
mit Hilfe einer Einrichtung zur drahtlosen Datenübertragung in beiden Richtungen,
wobei eine Menge von Software-Modulen ausgewählt wird,
dadurch gekennzeichnet,
daß
- Informationen über die aktuelle Konfiguration der mobilen Vorrichtung an die Zentrale übermittelt werden,
wobei diese Informationen eine Auflistung umfassen, welche Ziel-Geräte und welche Software-Module vor Beginn der Übertragung an Bord der mobilen Vorrichtung tatsächlich vorhanden sind,
- geprüft wird, welche der ausgewählten Software-Module für die aktuelle Konfiguration freigegeben sind,
- und die ausgewählten und für die aktuelle Konfiguration freigegebenen Software-Module übertragen werden.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß
- für die Ziel-Geräte Geräte-Typ-Kennungen festgelegt werden,
- für die Software-Module Software-Typ-Kennungen festgelegt werden,
- unter Verwendung der Geräte-Typ-Kennungen und Software- Typ-Kennungen festgelegt wird, welche der ausgewählten Software-Module für welche Typen von Ziel-Geräten freigegeben sind
- und diese Freigabe-Festlegungen bei der Freigabe-Prüfung verwendet werden.
3. Verfahren nach Anspruch 1 oder Anspruch 2, dadurch gekennzeichnet, daß
- Informationen über eine der Zentrale bekannten Konfiguration der mobilen Vorrichtung in einem Konfigurations-Management-System oder Dokumentations- System abgespeichert werden
- eine Kennung der mobilen Vorrichtung zur Zentrale übermittelt wird,
- die an die Zentrale übermittelten Informationen über die aktuelle Konfiguration mit denen über die abgespeicherten Konfiguration verglichen werden
- und mindestens eine nicht übermittelte Information über die aktuelle Konfiguration durch Lesezugriff auf die abgespeicherte Konfiguration ergänzt wird.
4. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, daß vor der Übertragung der Software-Module geprüft wird, ob mit Hilfe der drahtlosen Datenübertragungseinrichtung ein Übertragungskanal mit einer für die Übertragung ausreichenden Güte aufgebaut werden kann.
5. Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, daß
- Informationen über die Identität der Stelle, die die Übertragung der Software-Module anfordert, an die Zentrale übermittelt werden
- und eine Berechtigungsprüfung für die anfordernde Stelle durchgeführt wird.
6. Verfahren nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet,
- für mindestens ein Software-Modul mit Hilfe eines geheimen Schlüssels eine Signatur erzeugt wird,
- an Bord der mobilen Vorrichtung für mindestens ein Ziel- Gerät ein öffentlicher Schlüssel abgespeichert wird
- und die Signatur mit Hilfe des öffentlichen Schlüssels geprüft wird.
7. Verfahren nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet,
daß bei der Auswahl der Menge von Software-Modulen die aktuelle Konfiguration der mobilen Vorrichtung mit einer Soll-Konfiguration verglichen wird
und die Software-Module in Abhängigkeit von der Abweichung zwischen aktueller und Soll-Konfiguration ausgewählt werden.
8. Verfahren nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet,
daß gemeinsam mit den Software-Modulen Meta-Informationen übertragen werden,
die die Verteilung und/oder Übertragung und/oder Aktivierung der Software-Module an Bord der mobilen Vorrichtung steuern.
9. Verfahren nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet,
daß zusätzlich Informationen über den aktuellen Betriebszustand der mobilen Vorrichtung an die Zentrale übermittelt werden
in Abhängigkeit von den Betriebszustands-Informationen entschieden wird, ob die mobile Vorrichtung sich in einem sicheren Zustand befindet
und dann, wenn sie sich in einem sicheren Zustand befindet, die übertragenen Software-Module aktiviert werden.
10. Verfahren nach einem der Ansprüche 1 bis 9, dadurch gekennzeichnet,
daß nach der Übertragung mindestens eines der Software- Module die Information an die Zentrale übermittelt werden,
ob das Software-Modul tatsächlich fehlerfrei an die mobile Vorrichtung übermittelt wurde.
11. Verfahren nach Anspruch 10, dadurch gekennzeichnet, daß
- eine Kennung der mobilen Vorrichtung zur Zentrale übermittelt wird
- und in einem Konfigurations-Management-System die Information abgespeichert wird,
welche Ziel-Geräte und welche Software-Module nach Abschluß der Übertragung an Bord der mobilen Vorrichtung tatsächlich vorhanden sind.
12. Übertragungs-Vorrichtung zur Durchführung eines Verfahrens nach einem der Ansprüche 1 bis 11, die
- eine Einrichtung zur drahtlosen Datenübertragung zwischen Zentrale und mobiler Vorrichtung in beiden Richtungen
- und eine Steuerungs-Einrichtung, die die Übermittlung von Software-Modulen von der Zentrale zur mobilen Vorrichtung veranlaßt und steuert,
umfaßt,
dadurch gekennzeichnet,
daß die Steuerungs-Einrichtung
eine Einrichtung zur Ermittlung der aktuellen Konfiguration der mobilen Vorrichtung,
eine Einrichtung zur Auswahl der Menge von Software- Modulen
eine Einrichtung zur Prüfung, welche der ausgewählten Software-Module für die aktuelle Konfiguration freigegeben sind,
eine Einrichtung zur Veranlassung der Übertragung der ausgewählten und freigegebenen Software-Module
und eine Einrichtung zur Ermittlung, welche Software- Module fehlerfrei an die mobile Vorrichtung übertragen wurden,
umfaßt.
DE10131395A 2001-06-28 2001-06-28 Verfahren zum Übertragen von Software- Modulen Expired - Lifetime DE10131395B4 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE10131395A DE10131395B4 (de) 2001-06-28 2001-06-28 Verfahren zum Übertragen von Software- Modulen
PCT/EP2002/006994 WO2003003200A1 (de) 2001-06-28 2002-06-25 Verfahren zum übertragen von software-modulen

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE10131395A DE10131395B4 (de) 2001-06-28 2001-06-28 Verfahren zum Übertragen von Software- Modulen

Publications (2)

Publication Number Publication Date
DE10131395A1 true DE10131395A1 (de) 2003-01-23
DE10131395B4 DE10131395B4 (de) 2006-08-17

Family

ID=7689904

Family Applications (1)

Application Number Title Priority Date Filing Date
DE10131395A Expired - Lifetime DE10131395B4 (de) 2001-06-28 2001-06-28 Verfahren zum Übertragen von Software- Modulen

Country Status (2)

Country Link
DE (1) DE10131395B4 (de)
WO (1) WO2003003200A1 (de)

Cited By (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10243093A1 (de) * 2002-09-16 2004-03-25 Volkswagen Ag Vorrichtung und Verfahren zum System-Check von Fahrzeugen
EP1455312A1 (de) * 2003-03-05 2004-09-08 Volkswagen Aktiengesellschaft Verfahren und Einrichtung zur Wartung von sicherheitsrelevanten Programmcode eines Kraftfahrzeuges
DE10312946A1 (de) * 2003-03-22 2004-09-30 Adam Opel Ag Vorrichtung und Verfahren zur Datenübertragung
DE10313389A1 (de) * 2003-03-25 2004-10-07 Endress + Hauser Process Solutions Ag Verfahren zur Übertragung von Softwarecode von einer Steuereinheit zu einem Feldgerät der Prozessautomatisierungstechnik
WO2004114131A1 (de) * 2003-06-24 2004-12-29 Bayerische Motoren Werke Aktiengesellschaft Verfahren zum nachladen einer software in den bootsektor eines programmierbaren lesespeicher
WO2005008612A2 (de) * 2003-07-14 2005-01-27 Robert Bosch Gmbh Fernprogrammieren eines programmgesteuerten geräts
WO2005069131A1 (en) * 2004-01-13 2005-07-28 Pointset Corporation Method for setting programmable features of a motor vehicle
WO2005095165A1 (de) * 2004-04-02 2005-10-13 Daimlerchrysler Ag Verfahren zur datensicherung in fahrzeugbauteilen und zugehöriges fahrzeugbauteil
WO2006025779A1 (en) * 2004-08-31 2006-03-09 Smarttrust Ab Method and system for device identity check
DE102005038471A1 (de) * 2005-08-13 2007-02-15 Daimlerchrysler Ag Verfahren und Vorrichtung zur Sicherung von Fahrzeugen vor unbefugter Nutzung
US7215746B2 (en) 1999-01-22 2007-05-08 Pointset Corporation Method and apparatus for setting programmable features of an appliance
DE102006017644B4 (de) * 2006-04-12 2008-04-17 Dr.Ing.H.C. F. Porsche Ag Erfassung und Diagnose von Fahrzeugdaten
US7415102B2 (en) 1999-01-22 2008-08-19 Pointset Corporation Method and apparatus for setting programmable features of an appliance
US8178816B2 (en) 2004-12-04 2012-05-15 Bosch Rexroth Ag Power supply for resistance welding units
DE102005021103B4 (de) * 2004-05-13 2013-10-31 General Motors Llc ( N. D. Ges. D. Staates Delaware ) Verfahren für eine Fernaktualisierung
WO2016003635A1 (en) 2014-06-30 2016-01-07 Google Inc. Systems and methods for updating software in a hazard detection system
DE102005013281B4 (de) * 2004-03-23 2016-03-03 General Motors Llc ( N. D. Ges. D. Staates Delaware ) Verfahren und System für das Fahrzeug-Softwarekonfigurationsmanagement
US9797615B2 (en) 2004-03-02 2017-10-24 Honeywell International Inc. Wireless controller with gateway
DE102017217668A1 (de) * 2017-10-05 2019-04-11 Bayerische Motoren Werke Aktiengesellschaft Verfahren und zentrale Datenverarbeitungsvorrichtung zum Aktualisieren von Software in einer Vielzahl von Fahrzeugen

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8290659B2 (en) 2003-12-15 2012-10-16 Hitachi, Ltd. Information updating method of vehicle-mounted control apparatus, update information communication system, vehicle-mounted control apparatus, and information management base station apparatus
FR2923038B1 (fr) * 2007-10-26 2009-11-27 Peugeot Citroen Automobiles Sa Procede et dispositif de mise a jour autonome de donnees d'un equipement de vehicule
US9342288B2 (en) 2013-05-31 2016-05-17 Itron, Inc. Surfacing cross platform applications
US11328344B2 (en) * 2013-05-31 2022-05-10 Itron, Inc. Utility application delivery platform
US10205769B2 (en) 2013-05-31 2019-02-12 Itron, Inc. Distributed applications across platforms
DE102017124910A1 (de) 2017-10-25 2019-04-25 Iav Gmbh Ingenieurgesellschaft Auto Und Verkehr Verfahren und Vorrichtung zum Übertragen von Daten
CN112955347A (zh) * 2018-06-29 2021-06-11 布鲁萨电子公司 感应式交通工具充电系统的交通工具模块和运行这种交通工具模块的方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4218804A1 (de) * 1992-06-06 1993-12-09 Vdo Schindling Einrichtung zur Darstellung, Aufbereitung und Speicherung von Informationen in einem Kraftfahrzeug
DE68920462T2 (de) * 1988-03-17 1995-07-13 Ibm On-line-Problemverwaltung für Datenverarbeitungssysteme.
DE19750372A1 (de) * 1997-11-14 1999-05-20 Bosch Gmbh Robert Verfahren zum Laden von Programmen und/oder Daten in ein datenverarbeitendes Gerät

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5692047A (en) * 1995-12-08 1997-11-25 Sun Microsystems, Inc. System and method for executing verifiable programs with facility for using non-verifiable programs from trusted sources
US5867714A (en) * 1996-10-31 1999-02-02 Ncr Corporation System and method for distributing configuration-dependent software revisions to a computer system
GB2352539B (en) * 1999-04-30 2003-11-26 Hugh Symons Group Plc A system and method for managing distribution of content to a device

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE68920462T2 (de) * 1988-03-17 1995-07-13 Ibm On-line-Problemverwaltung für Datenverarbeitungssysteme.
DE4218804A1 (de) * 1992-06-06 1993-12-09 Vdo Schindling Einrichtung zur Darstellung, Aufbereitung und Speicherung von Informationen in einem Kraftfahrzeug
DE19750372A1 (de) * 1997-11-14 1999-05-20 Bosch Gmbh Robert Verfahren zum Laden von Programmen und/oder Daten in ein datenverarbeitendes Gerät

Cited By (37)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9215281B2 (en) 1999-01-22 2015-12-15 Intellectual Discovery Co., Ltd. Method and apparatus for setting programmable features of an appliance
US7415102B2 (en) 1999-01-22 2008-08-19 Pointset Corporation Method and apparatus for setting programmable features of an appliance
US7379541B2 (en) 1999-01-22 2008-05-27 Pointset Corporation Method and apparatus for setting programmable features of a motor vehicle
US7289611B2 (en) 1999-01-22 2007-10-30 Pointset Corporation Method and apparatus for setting programmable features of motor vehicle
US7215746B2 (en) 1999-01-22 2007-05-08 Pointset Corporation Method and apparatus for setting programmable features of an appliance
DE10243093B4 (de) * 2002-09-16 2020-10-15 Volkswagen Ag Vorrichtung und Verfahren zum System-Check von Fahrzeugen
DE10243093A1 (de) * 2002-09-16 2004-03-25 Volkswagen Ag Vorrichtung und Verfahren zum System-Check von Fahrzeugen
DE10309507A1 (de) * 2003-03-05 2004-09-16 Volkswagen Ag Verfahren und Einrichtung zur Wartung von sicherheitsrelevanten Programmcode eines Kraftfahrzeuges
EP1455312A1 (de) * 2003-03-05 2004-09-08 Volkswagen Aktiengesellschaft Verfahren und Einrichtung zur Wartung von sicherheitsrelevanten Programmcode eines Kraftfahrzeuges
DE10312946A1 (de) * 2003-03-22 2004-09-30 Adam Opel Ag Vorrichtung und Verfahren zur Datenübertragung
DE10312946B4 (de) * 2003-03-22 2015-12-03 GM Global Technology Operations LLC (n. d. Ges. d. Staates Delaware) Vorrichtung und Verfahren zur Datenübertragung
DE10313389A1 (de) * 2003-03-25 2004-10-07 Endress + Hauser Process Solutions Ag Verfahren zur Übertragung von Softwarecode von einer Steuereinheit zu einem Feldgerät der Prozessautomatisierungstechnik
US8060872B2 (en) 2003-03-25 2011-11-15 Endress + Hauser Process Solutions Ag Method for transmitting a software code from a control unit to a field device of process automation technology
WO2004114131A1 (de) * 2003-06-24 2004-12-29 Bayerische Motoren Werke Aktiengesellschaft Verfahren zum nachladen einer software in den bootsektor eines programmierbaren lesespeicher
US7584350B2 (en) 2003-06-24 2009-09-01 Bayerische Motoren Werke Aktiengesellschaft Method for booting up software in the boot sector of a programmable read-only memory
US8060873B2 (en) 2003-07-14 2011-11-15 Robert Bosch Gmbh Method and system for remote programming of a program-controlled device using a legitimization code
WO2005008612A3 (de) * 2003-07-14 2006-03-23 Bosch Gmbh Robert Fernprogrammieren eines programmgesteuerten geräts
WO2005008612A2 (de) * 2003-07-14 2005-01-27 Robert Bosch Gmbh Fernprogrammieren eines programmgesteuerten geräts
WO2005069131A1 (en) * 2004-01-13 2005-07-28 Pointset Corporation Method for setting programmable features of a motor vehicle
US9909775B2 (en) 2004-03-02 2018-03-06 Honeywell International Inc. Wireless controller with gateway
US10222084B2 (en) 2004-03-02 2019-03-05 Ademco Inc. Wireless controller with gateway
US9797615B2 (en) 2004-03-02 2017-10-24 Honeywell International Inc. Wireless controller with gateway
DE102005013281B4 (de) * 2004-03-23 2016-03-03 General Motors Llc ( N. D. Ges. D. Staates Delaware ) Verfahren und System für das Fahrzeug-Softwarekonfigurationsmanagement
WO2005095165A1 (de) * 2004-04-02 2005-10-13 Daimlerchrysler Ag Verfahren zur datensicherung in fahrzeugbauteilen und zugehöriges fahrzeugbauteil
DE102005021103B4 (de) * 2004-05-13 2013-10-31 General Motors Llc ( N. D. Ges. D. Staates Delaware ) Verfahren für eine Fernaktualisierung
WO2006025779A1 (en) * 2004-08-31 2006-03-09 Smarttrust Ab Method and system for device identity check
US8178816B2 (en) 2004-12-04 2012-05-15 Bosch Rexroth Ag Power supply for resistance welding units
DE102005038471A1 (de) * 2005-08-13 2007-02-15 Daimlerchrysler Ag Verfahren und Vorrichtung zur Sicherung von Fahrzeugen vor unbefugter Nutzung
DE102006017644B4 (de) * 2006-04-12 2008-04-17 Dr.Ing.H.C. F. Porsche Ag Erfassung und Diagnose von Fahrzeugdaten
WO2016003635A1 (en) 2014-06-30 2016-01-07 Google Inc. Systems and methods for updating software in a hazard detection system
US10331430B2 (en) 2014-06-30 2019-06-25 Google Llc Systems and methods for updating software in a hazard detection system
EP3161807A4 (de) * 2014-06-30 2018-08-22 Google LLC Systeme und verfahren zur aktualisierung von software in einem gefahrenerkennungssystem
EP3842933A3 (de) * 2014-06-30 2021-11-10 Google LLC Systeme und verfahren zur aktualisierung von software in einem gefahrenerkennungssystem
US11175900B2 (en) 2014-06-30 2021-11-16 Google Llc Systems and methods for updating software in a hazard detection system
US11726768B2 (en) 2014-06-30 2023-08-15 Google Llc Systems and methods for updating software in a hazard detection system
DE102017217668A1 (de) * 2017-10-05 2019-04-11 Bayerische Motoren Werke Aktiengesellschaft Verfahren und zentrale Datenverarbeitungsvorrichtung zum Aktualisieren von Software in einer Vielzahl von Fahrzeugen
US11144304B2 (en) 2017-10-05 2021-10-12 Bayerische Motoren Werke Aktiengesellschaft Method and central data processing device for updating software in a plurality of vehicles

Also Published As

Publication number Publication date
WO2003003200A1 (de) 2003-01-09
DE10131395B4 (de) 2006-08-17
WO2003003200B1 (de) 2003-10-30

Similar Documents

Publication Publication Date Title
DE10131395B4 (de) Verfahren zum Übertragen von Software- Modulen
DE10213165B3 (de) Verfahren und Vorrichtung zum Übernehmen von Daten
DE102020124163A1 (de) Verifizierung von fahrzeugdaten
DE60313810T2 (de) Verfahren zur bereitstellung eines softwaremoduls für eine kraftfahrzeug-steuereinheit und computerprogramm zur ausführung des verfahrens
DE19532067C1 (de) Verfahren und Einrichtung zur Einprogrammierung von Betriebsdaten in Fahrzeugbauteile
EP1410166B1 (de) Verfahren zum laden von software
DE112012003795B4 (de) Verfahren und system für eine fahrzeug-information-integritätsverifikation
WO2010054920A1 (de) Vorrichtung zum steuern einer fahrzeugfunktion und verfahren zum aktualisieren eines steuergerätes
DE10230351A1 (de) Fahrzeugrelaisvorrichtung, fahrzeuginternes Kommunikationssystem, Störungsdiagnosesystem, Fahrzeugsteuervorrichtung, Servervorrichtung und Erfassungs/Diagnoseprogramm
EP1178455A2 (de) Verfahren und System zur Übertragung von Daten
DE102007022100A1 (de) Kraftfahrzeugsteuergerätedatenübertragungssystem und -verfahren
DE10157188A1 (de) Programmierbarer Datenlogger und Klassiergerät für CAN-Systeme
EP1185026A2 (de) Verfahren zur Datenübertragung
DE10140519B4 (de) Kommunikationsverfahren und Kommunikationsmodul
DE10131394A1 (de) Verfahren zum Übertragen von Software-Modulen
EP1760623A2 (de) Sicherheitseinrichtung für elektronische Geräte
DE102022104321A1 (de) Center, aktualisierungsmanagementverfahren und nicht-transitorisches speichermedium
WO2019137773A1 (de) Absicherung eines softwareupdates eines steuergerätes eines fortbewegungsmittels
WO2018059964A1 (de) Verfahren zum gesicherten zugriff auf daten eines fahrzeugs
EP3384411B1 (de) Verfahren zum übertragen eines funktionsbefehls zwischen einem kraftfahrzeug und einer fahrzeugexternen einrichtung sowie schnittstellenvorrichtung und system
DE102018209248A1 (de) Datenaktualisierungssystem, Verfahren zum Aktualisieren eines auf einem Steuergerät gespeicherten Datensatzes und computerlesbares Speichermedium
DE102018214158B4 (de) Steuervorrichtung zur Freischaltung von Funktionen, Kraftfahrzeug mit einer Steuervorrichtung und ein Verfahren zum Betreiben einer Steuervorrichtung
EP1241570A2 (de) Automatisierte Versions-Analyse von zu einer Softwareapplikation gehörenden Softwarekomponenten
DE10143556A1 (de) Fahrzeugmanagementsystem
EP3306514B1 (de) Verfahren und vorrichtung zum zertifizieren einer sicherheitskritischen funktionskette

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
8327 Change in the person/name/address of the patent owner

Owner name: DAIMLERCHRYSLER AG, 70327 STUTTGART, DE

8327 Change in the person/name/address of the patent owner

Owner name: DAIMLER AG, 70327 STUTTGART, DE

R081 Change of applicant/patentee

Owner name: DAIMLER AG, DE

Free format text: FORMER OWNER: DAIMLER AG, 70327 STUTTGART, DE

R071 Expiry of right