In Bearbeitung

Bitte warten ...

Einstellungen

Einstellungen

Gehe zu Anmeldung

1. WO2017190868 - VERFAHREN UND SYSTEM ZUM AKTUALISIEREN DER SOFTWARE EINES KRAFTFAHRZEUG-SENSORS

Anmerkung: Text basiert auf automatischer optischer Zeichenerkennung (OCR). Verwenden Sie bitte aus rechtlichen Gründen die PDF-Version.

[ DE ]

Verfahren und System zum Aktualisieren der Software

eines Kraftfahrzeug-Sensors

Die Erfindung betrifft ein Verfahren und ein System zum Aktualisieren der Software eines Sensors in einem Kraftfahrzeug.

Stand der Technik

In aktuellen Kraftfahrzeugen wird eine Vielzahl von Sensoren eingesetzt, beispielsweise Beschleunigungs- und Drucksensoren zum Erkennen von

Unfällen und Umfeldsensoren, die ausgebildet sind, die Umgebung des

Kraftfahrzeugs zu erfassen.

Solche Sensoren, bzw. deren Sensorsteuergeräte, umfassen in der Regel Mikro-Prozessoren oder diskrete Schaltungen, auf denen ein Programm (Software) läuft. Die Software in den Sensoren bzw. in deren Sensorsteuergeräten ist von Zeit zu Zeit zu aktualisieren, um Fehler zu beseitigen und/oder die Leistungsfähigkeit der Sensoren zu verbessern.

Zum Aktualisieren der Software in den Sensoren ist es bisher notwendig, dass das Kraftfahrzeug eine Werkstatt aufsucht, in der die neue Software auf die Sensoren aufgespielt wird, oder die Sensoren müssen im Fehlerfall sogar ausgetauscht werden, weil beispielsweise keine Möglichkeit für ein Software Update im Sensor vorhanden ist. Dies ist aufwendig und teuer und es besteht die Gefahr, dass das Kraftfahrzeug einen längeren Zeitraum mit einer veralteten und/oder fehlerhaften Software bzw. einem defekten Sensor unterwegs ist, bevor es in die Werkstatt gebracht wird.

Es ist daher wünschenswert, das Aktualisieren der Software von Sensoren, die in Kraftfahrzeugen verbaut sind, zu vereinfachen und zu beschleunigen.

Offenbarung der Erfindung

Gemäß einem Ausführungsbeispiel der Erfindung umfasst ein Verfahren zum Aktualisieren der Software wenigstens eines Sensors in einem Kraftfahrzeug, das mit einem Kraftfahrzeug-Kommunikationssystem ausgestattet ist, die zu aktualisierende Software an das Kraftfahrzeug-Kommunikationssystem zu übertragen und von dem Kraftfahrzeug-Kommunikationssystem auf den wenigstens einen Sensor zu überspielen.

- -

Ein System zum Aktualisieren der Software wenigstens eines in einem Kraftfahrzeug verbauten Sensors umfasst gemäß einem Ausführungsbeispiel der Erfindung ein in dem Kraftfahrzeug installiertes Kraftfahrzeug-Kommunikationssys-tem, das ausgebildet ist, die zu aktualisierende Software zu empfangen und auf den wenigstens einen Sensor zu überspielen.

Software an einen Sensor zur überspielen schließt dabei insbesondere ein, die Software an ein externes Steuergerät des Sensors und/oder eine Steuerungs-einrichtung, die auf dem Sensor selbst vorhanden ist, zu überspielen und dort zu installieren.

Die an das Kraftfahrzeug-Kommunikationssystem übertragenen Daten können insbesondere die Seriennummer des Sensors, den momentan auf dem Sensor vorhandenen Softwarestand und/oder die (IP-)Adresse des betreffenden Kraftfahrzeug-Kommunikationssystems umfassen.

Auf diese Weise kann die Software auf den Sensoren des Kraftfahrzeugs schnell, einfach und zuverlässig aktualisiert werden, ohne dass das Fahrzeug dazu in eine Werkstatt gebracht werden muss. Es kann auch erreicht werden, dass die

Sensoren des Kraftfahrzeugs stets mit der aktuellen Software ausgestattet ist. Risiken, die sich aus dem Einsatz veralteter/fehlerhafter Software ergeben, können erheblich reduziert werden.

Eine Ausführungsform umfasst, die zu aktualisierende Software über eine

Funkverbindung an das Kraftfahrzeug-Kommunikationssystem zu übertragen. Die Funkverbindung kann insbesondere das Internet (z.B. LAN, WLAN), ein Mobilfunknetz (z.B. GSM, UTMS, LTE), ein Rundfunknetz z.B. (UKW, DRS) oder ein System zur Nahfeldkommunikation („Near Field Communication", NFC), wie z.B. Bluetooth®, umfassen. Auf diese Weise kann die Software bequem und sicher an das Kraftfahrzeug-Kommunikationssystem übertragen werden.

Eine Ausführungsform umfasst, die zu aktualisierende Software nur an die Kraftfahrzeug-Kommunikationssysteme von Kraftfahrzeugen zu übertragen, die mit einem Sensor ausgestattet sind, der ein Software-Update benötigt und für den die neue Software geeignet ist. Um dies zu erreichen, kann eine Liste verwendet werden, welche die Seriennummern der zu aktualisierenden Sensoren enthält. Eine weitere Liste kann die Verknüpfung zwischen den zu aktualisierenden Sensoren und den Kraftfahrzeugen, in denen diese Sensoren verbaut sind, - -

herstellen. Die Listen werden mit den Sensordaten der in allen Fahrzeugen verbauten Sensoren auf dem aktuellen Stand gehalten. Die Listen können beispielsweise in einer virtuellen Cloud hinterlegt sein, so dass sie von überall zugänglich sind. Auf diese Weise ist es möglich, die Software nur an die

Kraftfahrzeug-Kommunikationssysteme von Kraftfahrzeugen zu übertragen, die mit wenigstens einem entsprechenden Sensor ausgestattet sind. Eine unnötige Datenübertragung an Kraftfahrzeuge, deren Sensoren keine Aktualisierung der Software benötigen, kann vermieden werden.

In einer Ausführungsform umfasst das Verfahren, die Software von einem stationären Infrastrukturserver an das Kraftfahrzeug-Kommunikationssystem zu übertragen. Der stationäre Server kann über eine festgelegte (IP-)Adresse verfügen, so dass eine Aktualisierung der Software nur von Servern mit dieser Adresse akzeptiert wird. Die Adressen dieser autorisierten Server können insbesondere verschlüsselt in dem Sensor und/oder in dem Kraftfahrzeug- Kommunikationssystem hinterlegt sein. Unautorisierte Software-Aktualisierungen, beispielsweise durch„Hacker-Angriffe", werden auf diese Weise deutlich erschwert.

In einer Ausführungsform umfasst das Verfahren, die Software von einem anderen Kraftfahrzeug an das Kraftfahrzeug-Kommunikationssystem zu übertragen. Durch eine solche„Car-to-Car"-Datenübertragung können auch Kraftfahrzeuge erreicht werden, die keine Verbindung mit einem stationären Server herstellen können, z.B. weil sie sich für längere Zeit in entlegenen Gebieten befinden, in denen kein Internet/Mobilfunknetz verfügbar ist.

Begegnen sich zwei Kraftfahrzeuge, wobei eines der Kraftfahrzeuge auf einem Sensor einen neueren Softwarestand besitzt als das andere Kraftfahrzeug mit dem baugleichen Sensor, so tauschen die Kraftfahrzeuge, wenn sie sich innerhalb eines Mindestabstands befinden, der eine Datenübertragung zwischen den Kraftfahrzeug-Kommunikationssystemen der beiden Kraftfahrzeuge ermöglicht, über eine„Car-to-Car"-Kommunikationsschnittstelle Daten aus. Diese Daten enthalten insbesondere den jeweiligen Kraftfahrzeugtyp, wenigstens eine Sensornummer, den aktuellen Softwarestand der in dem jeweiligen Kraftfahrzeug verbauten Sensoren und eine (IP-)Adresse. Das Kraftfahrzeug-Kommunikationssystem des Kraftfahrzeugs mit der neueren Software erkennt, dass die baugleichen Sensoren des anderen Kraftfahrzeugs mit veralteter Software ausgestattet sind und überträgt die neue Software über die„Car-to-Car"-Kommunikationsschnittstelle an das Kraftfahrzeug-Kommunikationssystem des

- -

anderen Kraftfahrzeugs. Nachdem die neue Software übertragen worden ist, wird sie auf dem/den entsprechenden Sensor(en) des anderen Kraftfahrzeugs installiert („geflasht"). Im Ergebnis sind die baugleichen Sensoren beider

Kraftfahrzeuge mit der neuen Software ausgestattet.

In einer Ausführungsform umfasst das Verfahren, die Software nur zu vorab festgelegten Zeitpunkten an das Kraftfahrzeug-Kommunikationssystem zu übertragen. Dies ermöglicht es, zu verhindern, dass sich Kraftfahrzeuge mit unterschiedlichen Softwareversionen gleichzeitig auf der Straße befinden.

Darüber hinaus kann auf diese Weise das Risiko unerlaubte Zugriffe auf die Sensoren („Hacking") verhindert oder minimiert werden, da potentielle Angreifer die vorab festgelegten Zeitpunkte der Aktualisierung kennen müssen. Die vorab festgelegten Zeitpunkte für die Aktualisierung können beispielsweise

verschlüsselt auf dem Sensor, insbesondere bei dessen Herstellung, oder in dem Kraftfahrzeug-Kommunikationssystem hinterlegt werden. Der Sensorhersteller sendet seine Softwareaktualisierungen nur zu einem der definierten Zeitpunkte aus. Die Sensoren oder das das Kraftfahrzeug-Kommunikationssystem überprüfen die Zeitstempel der Datenübertragung und vergleichen diese mit den vorab hinterlegten Zeitpunkten. Nur wenn die Softwareaktualisierung zu einem der zuvor festgelegten„richtigen" Zeitpunkte übertragen wurde, wird sie auf den Sensoren installiert. Möglich ist, dass durch einen intelligenten Algorithmus, beispielsweise für jeden Tag jeweils ein Aktualisierungszeitpunkt, der von Tag zu Tag unterschiedlich ist, berechnet und im Sensor/Steuergerät hinterlegt wird oder bereits bei der Herstellung berechnet und im Sensor/Steuergerät hinterlegt worden ist.

Als weitere Maßnahme gegen unautorisierte Software-Aktualisierungen kann die Software verschlüsselt und/oder zusammen mit einer Prüfsumme übertragen werden. Eine Prüfsumme ermöglicht es darüber hinaus, Fehler bei der Daten-Übertragung, die sich beispielsweise aus schlechten Empfangsbedingungen ergeben können, zu erkennen und zu vermeiden, dass solch eine fehlerhaft übertragene Software auf den Sensor überspielt wird und dort eine Fehlfunktion zur Folge hat.

In einer Ausführungsform umfasst das Verfahren, die auf dem wenigstens einen

Sensor/Steuergerät befindliche Software zu sichern, bevor eine neue Software auf den wenigstens einen Sensor/Steuergerät aufgespielt wird. Mindestens eine Softwaresicherung kann dabei für eine spätere Wiederherstellung auf dem oder im Sensor/Steuergerät gespeichert werden. Wahlweise kann die Sicherung der

- -

Software nach dem erfolgreichen Kopieren einer neuen Software vom Sensor gelöscht werden. Eine solche gesicherte Software kann aus der Sicherung wieder aktiv geschaltet werden oder über einen neueren Softwarestand kopiert werden. Dies kann durch den Sensorhersteller über die beschriebene

Datenkommunikation angestoßen werden, wenn es nötig ist.

In einer Ausführungsform umfasst das Verfahren, die neue Software nur beim Stillstand des Kraftfahrzeugs bzw. beim Stillstand des Motors des Kraftfahrzeugs auf den wenigstens einen Sensor zu überspielen. Da der Sensor während des Aktualisierens der Software in der Regel nicht aktiv ist, werden auf diese Weise Sicherheitsprobleme, die sich aus einer temporären Deaktivierung des Sensors während der Softwareaktualisierung ergeben können, zuverlässig vermieden.

In einer Ausführungsform wird die Aktualisierung der Software im laufenden Fahrbetrieb durchgeführt. Dabei wird der entsprechende Sensor bis zum nächsten Stillstand des Kraftfahrzeugs mit der bisherigen Software betrieben. Beim nächsten Stillstand des Kraftfahrzeugs bzw. nach dem nächsten

Abschalten des Motors des Kraftfahrzeugs wird die neue Software nach erfolgreicher Übertragung aktiviert, d.h., der Sensor wird„geflasht" und neu gestartet.

In einer Ausführungsform umfasst das Verfahren, den Sensor betreffende Daten von dem Kraftfahrzeug-Kommunikationssystem an den stationären Server zu übertragen. Auf diese Weise kann dem Hersteller des Sensors beispielsweise mitgeteilt werden, dass ein Fehler aufgetreten ist und/oder dass der Sensor defekt ist.

Der Sensor kann auch seine Seriennummer an den Hersteller übertragen. Dies ermöglicht ist es dem Hersteller, den Sensor und ggf. am/im Sensor auftretende Fehler exakt zu identifizieren. Außerdem werden dadurch die Sensoren mit einer veralteten Software identifiziert. Der Hersteller weiß auf diese Weise

insbesondere genau, in welchen Kraftfahrzeugen ein defekter Sensor oder ein Sensor mit veralteter Software unterwegs ist. Sofern es sich um einen

Softwarefehler handelt, kann anschließend über die beschriebene Verbindung genau in diesen Kraftfahrzeugen zeitnah eine aktualisierte Software für die entsprechenden Sensoren aufgespielt werden, ohne dass das Kraftfahrzeug dazu eine Werkstatt aufsuchen muss.

- -

In einer weiteren Ausführungsform der Erfindung erfolgt ein Softwareupdate auf einem Sensor mit Hilfe eines Handshake-Mechanismus zwischen einem Server des Sensorherstellers (Infrastrukturserver) und dem Sensor bzw. Kraftfahrzeug-Kommunikationssystem im Kraftfahrzeug oder den Kraftfahrzeug-Kommuni-kationssystemen zweier Kraftfahrzeuge, die mit der gleichen Sensorvariante ausgestattet sind.

In einer weiteren Ausführungsform der Erfindung erfolgt ein Softwareupdate auf einem Sensor mit Hilfe eines Push-Mechanismus. Der Sensor steht über das Kraftfahrzeug-Kommunikationssystem in Verbindung mit dem Infrastrukturserver und erkennt, dass eine neue Softwareversion für diesen Sensor vorhanden ist. Der Sensor lädt die neue Software anschließend selbstständig vom Infrastrukturserver herunter, sobald er hierzu die Möglichkeit hat, und/oder wenn er für eine längere Zeit nicht benötigt wird, z.B. weil sich das Kraftfahrzeug im Stillstand befindet und/oder der Motor abgeschaltet ist. Der gleiche Push-Mechanismus kann auch in der„Car-to-Car"-Kommunikation eingesetzt werden, indem das Kraftfahrzeug mit der älteren Software die neuere Software von einem weiteren Kraftfahrzeug über einen Push-Mechanismus herunterlädt und übernimmt, wie es zuvor beschrieben worden ist.

In einer weiteren Ausführungsform ist das Kraftfahrzeug mit einem eigenen Server ausgestattet. Dieser Server bezieht die Softwareaktualisierungen für die Sensoren über eine Car-to-Car- und/oder eine Car-to-lnfrastructure- Kommunikationsschnittstelle und verteilt diese dann über eine weitere Verbindung (z.B. LAN, LIN, CAN, FlexRay, Ethernet, Funkverbindung usw.) innerhalb des

Kraftfahrzeugs an die entsprechenden Sensoren und/oder Sensorsteuergeräte. Nachdem eine Übertragung vom Server an die Sensoren und/oder

Sensorsteuergeräte erfolgt ist, wird das Aufspielen der Aktualisierung auf den entsprechenden Sensoren und/oder Sensorsteuergeräten mit Hilfe einer weiteren Verbindung zwischen Sensorsteuergerät und Sensor (z.B. PSI, SPI)

durchgeführt. Anschließend erfolgt eine Rückmeldung des erfolgreichen Updates durch den Sensor an das Steuergerät und durch das Sensorsteuergerät an den Server.

Der Server kann insbesondere mit einer eigenen Versionsverwaltung ausgestattet sein. Der Vorteil eines im Kraftfahrzeug angeordneten Servers ist, dass die Software-Aktualisierungen nicht zwingend im Fahrbetrieb auf einen Sensor übertragen werden müssen, sondern im Server zwischengespeichert werden können. Die Übertragung der Aktualisierungen zwischen Server und dem

- -

Sensor/Sensorsteuergerät kann somit auch offline erfolgen, d.h. wenn gerade keine Kommunikationsverbindung besteht.

In einer Ausführungsform wird der Benutzer/Fahrer des Kraftfahrzeugs über das die Software-Aktualisierung informiert. Hierzu wird beispielsweise eine Mensch-Maschine-Schnittstelle („Human Maschine Interface", HMI), wie zum Beispiel eine Anzeigevorrichtung („Display"), verwendet.

In einer Ausführungsform wird über die HMI, wie zum Beispiel ein Display oder ein Smartphone, eine Bestätigung des der Softwareaktualisierung durch den Benutzer/Fahrer angefordert, bevor der Softwareaktualisierung auf dem Sensor durchgeführt wird. Die Aktualisierung wird nur durchgeführt, wenn der

Benutzer/Fahrer zustimmt. Im Falle eines Smartphones kann dabei auf die Car-to-lnfrastructure-Kommunikationsverbindung oder eine ähnliche Funkverbindung zurückgegriffen werden.

Im Folgenden wird ein Ausführungsbeispiel eines Systems zum Aktualisieren der Software wenigstens eines in einem Kraftfahrzeug verbauten Sensors unter Bezugnahme auf die beigefügte Figur beschrieben.

Figurenbeschreibung

Ein Ausführungsbeispiel eines Systems zum Aktualisieren der Software wenigstens eines in einem Kraftfahrzeug 2, 14 verbauten Sensors 6 ist schematisch in der Figur gezeigt:

Ein Kraftfahrzeug 2, 14 umfasst einen oder mehrere Sensoren 6, in der Figur ist in jedem Kraftfahrzeug 2, 14 beispielhaft ein Sensoren 6 gezeigt.

Die Sensoren 6 sind mit einem Kraftfahrzeug-Kommunikationssystem 4 („Car-to-Infrastructure-Kommunikationssystem" und/oder„Car-to-Car-Kommunikations-system") verbunden, wie es in modernen Kraftfahrzeugen 2, 14 üblicherweise vorgesehen ist.

Die lokalen Verbindungen 5 zwischen dem Kraftfahrzeug-Kommunikationssystem 4 und den Sensoren 6 können kabelgebunden oder kabellos ausgebildet sein. Sie können insbesondere LAN, LIN, CAN, FlexRay, Ethernet und/oder eine Funkverbindung, wie z.B. Bluetooth®, umfassen.

- -

Das System umfasst weiterhin einen stationären Server 8 („Infrastrukturserver") mit einer Sendevorrichtung 9, die es ermöglicht, Daten von dem stationären Server 8 über eine Datenverbindung 10 an das Kraftfahrzeug-Kommunikationssystem 4 zu übertragen.

Die Datenübertragung kann beispielsweise das Internet (z.B. LAN, WLAN), ein Mobilfunknetz (z.B. GSM, UTMS, LTE), ein Rundfunknetz z.B. (UKW, DRS) oder Nahfeldkommunikation („Near Field Communication", NFC), wie z.B. Bluetooth®, erfolgen.

Nachdem die Daten von dem stationären Server 8 an das Kraftfahrzeug-Kommunikationssystem 4 übertragen worden sind, werden sie von diesem über eine der lokalen Verbindungen 5 an den betreffenden Sensor 6 weitergeleitet.

Alternativ oder zusätzlich zur Datenübertragung von dem stationären Server 8 an das Kraftfahrzeug 2, 14 kann die Datenübertragung auch zwischen zwei Kraftfahrzeugen 2, 14 erfolgen, in denen einer der Sensoren 6 schon mit der aktualisieren Software ausgestattet ist.

Dies ist insbesondere vorteilhaft, wenn sich ein Kraftfahrzeug 2, 14, mit einem

Sensor 6 welcher noch nicht mit der aktualisierten Software ausgestattet ist, für längere Zeit außerhalb der Reichweite der Sendervorrichtung 9 des Servers 8 befindet.

Wenn ein solches Fahrzeug 14 in die Reichweite eines Fahrzeugs 2 mit baugleichen Sensoren 6 gelangt, die bereits mit der aktualisierten Software ausgestattet sind, kann eine Datenverbindung 12 zwischen den Kraftfahrzeug-Kommunikationssystemen 4 der beiden Fahrzeuge 2, 14 aufgebaut werden, um die aktualisierte Software zwischen den Fahrzeugen 2, 14 zu übertragen.

Die Datenverbindungen 10, 12 zwischen den Fahrzeugen 2, 14 bzw. zwischen einem Fahrzeug 2, 14 und dem stationären Server 8 können insbesondere unter Verwendung eines Handshake-Mechanismus aufgebaut werden und/oder einen Push-Mechanismus nutzen.

Die Sendevorrichtung 9 des stationären Servers 8 kann auch als Empfangsvorrichtung ausgebildet sein, die es ermöglicht, Daten von Kraftfahrzeug-Kommunikationssystemen 4 zu empfangen.

- -

Auf diese Weise können die Sensoren 6 betreffende Daten von den Kraftfahrzeug-Kommunikationssystemen 4 an den stationären Server 8 übertragen werden. Dies er ermöglicht es beispielsweise, dem Hersteller mitzuteilen, dass in dem Sensor 6 ein Fehler aufgetreten ist und/oder das der Sensor 6 defekt ist und/oder dass der Sensor 6 mit einer veralteten Software betrieben wird.

Auch kann die Seriennummer des Sensors 6 an den Hersteller / stationären Server 8 übertragen werden. Dies ermöglicht ist es dem Hersteller, den Sensor 6 und ggf. am/im Sensor 6 auftretende Fehler exakt zu identifizieren und einem Sensor zuzuordnen. Der Hersteller weiß auf diese Weise insbesondere genau, in welchen Kraftfahrzeugen 2, 14 ein defekter Sensor 6 unterwegs ist. Sofern es sich um einen Softwarefehler handelt, kann anschließend über die beschriebene Datenverbindung 10, 12 genau in diesen betroffenen Kraftfahrzeugen 2, 14 zeitnah eine aktualisierte Software für die entsprechenden Sensoren 6 aufgespielt werden, ohne das das Kraftfahrzeug 2, 14 dazu eine Werkstatt aufsuchen muss.

In einem Ausführungsbeispiel sind die Kraftfahrzeuge 2, 14 jeweils mit einem eigenen Server („Kraftfahrzeugserver") 16 ausgestattet. Die Kraftfahrzeugserver 16 beziehen die Softwareaktualisierungen für die im jeweiligen Kraftfahrzeug verbauten Sensoren 6 über eine Car-to-Car und/oder eine Car-to-lnfrastructure Kommunikationsschnittstelle, wie es zuvor beschrieben worden ist, und verteilen die Software dann über eine lokale Verbindung 5, z.B. LAN, LIN, CAN, FlexRay, Ethernet, Funkverbindung usw., innerhalb des Kraftfahrzeugs 2, 14 an die entsprechenden Sensoren 6 bzw. deren Sensorsteuergeräte.

Nachdem eine Übertragung der Daten vom Kraftfahrzeugserver 16 an die Sensoren 6 bzw. Sensorsteuergeräte erfolgt ist, kann das Aufspielen der Aktualisierung auf die entsprechenden Sensoren 6 bzw. Sensorsteuergeräte mit Hilfe einer weiteren Verbindung ausgelöst werden. Anschließend kann eine

Rückmeldung über das erfolgreiche Update durch den Sensor 6 an das

Steuergerät und durch das Sensorsteuergerät an den Kraftfahrzeugserver 16 erfolgen. Der Kraftfahrzeugserver 16 kann diese Rückmeldung über die

Datenverbindung 10 an den stationären Server 8 weiterreichen.