-
Die Erfindung betrifft ein Betriebsverfahren für eine Wegfahrsperre, die ein Master-Steuergerät aufweist, das mit mehreren, jeweils einer Funktion zugeordneten Slave-Steuergeräten über ein Bussystem in einer Master-Slave-Konfiguration verbunden ist, wobei ein Slave-Steuergerät mit einem Aktuator oder einem Sensor gekoppelt ist und ein Slave-Steuergerät beim Erhalt eines eine Funktion auslösenden Steuersignals ein Freigabesignal von dem Master-Steuergerät anfordert und das Master-Steuergerät nach einer Authentifikation der Anforderung das Freigabesignal an das Slave-Steuergerät sendet, woraufhin das Slave-Steuergerät die zugeordnete Funktion auslöst.
-
Aus der
DE 10 2007 005 068 B3 ist ein Diebstahlsicherungssystem für Kraftfahrzeuge bekannt, bei dem ein fahrzeugseitiges Systemsteuergerät mit einer Wegfahrsperrenfunktion, ein Zugangsberechtigungselement und mehrere vernetzte Steuergeräte in Kommunikationsverbindung mit dem Systemsteuergerät vorhanden sind. Das Diebstahlsicherungssystem und das zugehörige Diebstahlsicherungsverfahren weisen eine dreistufige Wegfahrsperre auf. Zunächst muss sich das Fahrberechtigungselement gegenüber dem Systemsteuergerät authentifizieren, anschließend werden Vergleichkodierungen für die vernetzten Steuergeräte mittels eines externen Datenspeichers durch das Systemsteuergerät bereitgestellt und schließlich müssen sich die vernetzten Steuergeräte gegenüber dem Systemsteuergerät authentifizieren. Erst nach positiver Auswertung aller vernetzten Steuergeräte wird dem Kraftfahrzeug bzw. dem Fahrzeugmotor eine Starterlaubnis vom Systemsteuergerät zugeteilt.
-
Ein Verfahren zum Betreiben von Antriebssteuergeräten in einem Kraftfahrzeug ist aus der
DE 10 2010 015 314 A1 bekannt. In einem Kraftfahrzeug mit zwei verschiedenen Antrieben, insbesondere mit einer Verbrennungskraftmaschine und einem elektrischen Antrieb, gibt es zwei Steuergeräte für die jeweiligen Antriebe und ein Führungssteuergerät. Dieses teilt bei Drehmomentenanforderungen den einzelnen Antrieben Drehmoment zu. Entsprechende Anforderungssignale werden nur dann ausgesandt und umgesetzt, wenn durch ein Wegfahrsperrensteuergerät das Vorhandensein einer bestimmten Situation, beispielsweise „Schlüssel eingesteckt“ erfasst worden ist.
-
Aus dem Dokument
US 2007/0176740 A1 ist ein modulares Sicherheitssystem für ein Kraftfahrzeug bekannt mit einem Authentifizierungsgerät zum Erzeugen von Authentifizierungssignalen sowie einer Authentifizierungseinrichtung in einem Fahrzeug zum Empfangen der Authentifizierungssignale von dem Authentifizierungsgerät und zum Erzeugen von Validierungssignalen, sowie ein Hauptsteuergerät im Fahrzeug zum Empfangen der Validierungssignale von dem Authentifizierungsgerät und zum Erzeugen von Steuersignalen.
-
Ein derartiges Verfahren wird bei Wegfahrsperren für Kraftfahrzeuge angewandt. Wenn ein Benutzer mittels eines Fahrzeugschlüssels die Wegfahrsperre entsperrt, wird ein entsprechendes Steuersignal erzeugt. Ein Slave-Steuergerät kann in diesem Zusammenhang z. B. ein Türschloss oder ein Zündschloss sein. Beim Erhalt dieses Steuersignals fordert das Slave-Steuergerät ein Freigabesignal von dem Master-Steuergerät an. Bevor das Master-Steuergerät ein Freigabesignal an das Slave-Steuergerät sendet, erfolgt eine Authentifikation der Anforderung, in deren Rahmen die Berechtigung des Benutzers geprüft wird. Bejahendenfalls wird das Freigabesignal an das Slave-Steuergerät gesendet, das daraufhin beispielsweise ein Türschloss entriegelt und somit das Fahrzeug öffnet. Falls die Authentifizierung nicht erfolgreich war, verbleibt die Wegfahrsperre in dem gesperrten Zustand, so dass ein Diebstahlschutz gewährleistet ist. In ähnlicher Weise wird beim Starten des Motors geprüft, ob der Benutzer dazu berechtigt ist. Erst nach dem Erhalt eines vom Master-Steuergerät angeforderten Freigabesignals löst das bzw. ein Slave-Steuergerät die zugeordnete Funktion aus, so dass z. B. ein Motor gestartet wird.
-
Obwohl sich dieses Betriebsverfahren bei Wegfahrsperren bewährt hat, kann es bei zukünftigen Fahrzeugen, die erweiterte Funktionen aufweisen, nicht ohne weiteres eingesetzt werden. Dazu zählen z. B. zukünftig implementierte Funktionen wie ein autonomer Motorlauf (remote start), bei dem ein Antriebsmotor des Kraftfahrzeugs ohne einen entsprechenden Bedieneingriff des Benutzers gestartet wird. Dasselbe gilt für die zukünftig implementierte Funktion des autonomen Fahrens, bei dem das Fahrzeug entweder ohne Fahrer oder ohne eine Steuerung und Überwachung durch einen Fahrer bewegt wird. Derartige, zukünftig benötigte Funktionen lassen sich nur schwer implementieren, da derzeit jedem Slave-Steuergerät eine bestimmte Funktion zugeordnet ist und die Kommunikation zwischen dem Slave-Steuergerät und dem Master-Steuergerät mittels eines bestimmten, festgelegten Anforderungssignals (Triggersignal) erfolgt.
-
Aus
US 7 502 353 B2 ist eine Vorrichtung zum Zugriff auf ein Fahrzeugsteuersystem über eine drahtlose Verbindung mit einer im Fahrzeug angebrachten Gateway-Einheit, welche einerseits mit wenigstens einer Steuereinheit im Fahrzeug verbunden ist, andererseits eine Anbindung an wenigstens ein Funknetz aufweist, bekannt. Dabei ist vorgesehen, dass die Gateway-Einheit so ausgestaltet ist, dass sie über die Funkanbindung frei konfigurierbar ist. Eine Ablaufsoftware kann, sofern noch nicht im Gateway vorhanden, in das Gateway geladen werden.
-
Aus
US 7 484 008 B1 ist ein fahrzeuginternes Kommunikationssystem zur Kommunikation zwischen diversen elektronischen Bauteilen des Fahrzeugs sowie zur Kommunikation zwischen diesen Bauteilen und einem externen Netzwerk bekannt. Das fahrzeuginterne Netzwerk umfasst spezifische Bauteile, Software und Protokolle. Es stellt des Weiteren das Sicherheitssystem für essentielle Fahrzeugfunktionen und die Datenkommunikation zur Verfügung und ermöglicht die Integration neuer Bauteile oder Dienste in das fahrzeugseitige Netzwerk, wie hierüber auch das Fahrzeug mit dem externen Netzwerk wie dem Internet vernetzbar ist.
-
EP 1000 823 A1 offenbart eine Sicherheitsanordnung für ein Kraftfahrzeug mit einem Diebstahlschutzsteuergerät und mehreren Funktionssteuergeräten. Dabei ist vorgesehen, dass das Funktionssteuergerät zunächst in einen vorgegebenen Ausgangszustand zurücksetzt und anschließend eine Motorsteuerfunktion, z. B. eine Einspritzsteuerfunktion, vorläufig freigibt, so dass später eine endgültige Entriegelung erfolgen kann.
-
Schließlich ist aus
DE 43 33 474 C2 eine Wegfahrsperre für ein Kraftfahrzeug bekannt, mit Steuergeräten, in denen jeweils ein das Steuergerät identifizierendes Kennungscodewort gespeichert ist, mindestens einer Prüfeinheit, die mit den Steuergeräten verbunden ist, und mit die Steuergeräte identifizierenden Sollcodeworten, die in der Prüfeinheit gespeichert sind. Die Prüfeinheit sendet bei jedem Motorstartvorgang ein Anforderungssignal an alle Steuergeräte, wodurch diese ihre Kennungscodeworte zurücksenden. Diese werden in der Prüfeinheit mit Sollcodeworten verglichen und falls bei der Abfrage nach den Kennungscodeworten weniger als eine vorbestimmte Anzahl der Steuergeräte antworten, belässt die Prüfeinheit mindestens ein Steuergerät in einem inaktiven Zustand, so dass ein Starten oder Fahren des Kraftfahrzeugs verhindert wird. Andernfalls werden alle Steuergeräte freigegeben.
-
Der Erfindung liegt daher die Aufgabe zugrunde, ein Betriebsverfahren für eine Wegfahrsperre anzugeben, die leicht um neue Funktionen erweitert werden kann.
-
Zur Lösung dieser Aufgabe ist bei einem Betriebsverfahren der eingangs genannten Art erfindungsgemäß vorgesehen, dass das Master-Steuergerät zum Implementieren einer neuen Funktion ein Slave-Steuergerät auffordert, der neuen Funktion zugeordnete Informationen von dem Master-Steuergerät abzurufen, wobei die oder eine dem Slave-Steuergerät zugeordnete Funktion stufenweise durch das Master-Steuergerät freigegeben wird, wobei in einer Stufe ein Starten eines Antriebsmotors freigegeben wird.
-
Das erfindungsgemäße Verfahren weist den Vorteil auf, dass eine Ergänzung oder Erweiterung einer Funktion oder die Implementierung einer neuen Funktion durch eine Anpassung des Master-Steuergeräts erfolgen kann. Das Master-Steuergerät fordert dann das davon betroffene Slave-Steuergerät, gegebenenfalls auch mehrere Slave-Steuergeräte dazu auf, der neuen Funktion zugeordnete Informationen abzurufen. Mittels dieser, der neuen Funktion zugeordneten Informationen erfolgt anschließend der Betrieb des oder der Slave-Steuergeräte, wodurch Änderungen leicht umgesetzt werden können. Der Vorteil des erfindungsgemäßen Verfahrens ist darin zu sehen, dass keinerlei Änderungen an der Hardware der Slave-Steuergeräte erforderlich sind, vielmehr werden in dem Slave-Steuergerät lediglich die der neuen Funktion zugeordneten Informationen hinterlegt, so dass die Slave-Steuergeräte eine neue, modifizierte oder ergänzte Funktion durchführen können. Wesentlich ist dabei, dass zum Auslösen bzw. Starten der neuen Funktion jeweils ein Freigabesignal von dem Master-Steuergerät angefordert wird. Nach einer Authentifikation dieser Anforderung durch das Master-Steuergerät wird ein Freigabesignal an das Slave-Steuergerät gesendet, das daraufhin die entsprechende Funktion auslöst, beispielsweise die Betätigung eines Aktuators zum Öffnen oder Schließen eines Türschlosses.
-
Bei dem erfindungsgemäßen Verfahren wird es bevorzugt, dass die der neuen Funktion zugeordneten Informationen verschlüsselt über das Bussystem übertragen werden. Auf diese Weise ist ein erhöhter Schutz gegenüber Missbrauch gewährleistet.
-
Bei dem erfindungsgemäßen Betriebsverfahren wird es bevorzugt, dass das Slave-Steuergerät bei Erhalt eines der neuen Funktion zugeordneten Steuersignals ein Freigabesignal von dem Master-Steuergerät anfordert. Ein autonomer Betrieb eines Slave-Steuergeräts ist somit nicht vorgesehen, vielmehr wird die Master-Slave-Konfiguration auch bei und nach der Implementierung einer neuen Funktion beibehalten, da zum Auslösen einer bestimmten Funktion das Slave-Steuergerät jeweils ein Freigabesignal von dem Master-Steuergerät anfordert.
-
Eine bevorzugte Weiterbildung der Erfindung sieht vor, dass das Master-Steuergerät eine Funktion teilweise oder vollständig freigeben kann, wobei für eine teilweise oder eine vollständige Freigabe jeweils ein separates Freigabesignal von dem Master-Steuergerät an das Slave-Steuergerät gesendet wird. Diese Vorgehensweise kann für bestimmte Funktionen zweckmäßig sein, die stufenweise oder schrittweise freigegeben werden können. Für jede Stufe ist dabei ein separates Freigabesignal erforderlich, so dass der gesamte Freigabeprozess unter der Steuerung des Master-Steuergeräts erfolgt.
-
Es kann auch vorgesehen sein, dass ein Freigabesignal erweiterte Informationen betreffend die Freigabe oder Sperrung der jeweiligen Funktion erhält, die von dem Slave-Steuergerät ausgewertet werden. Dabei kann es sich beispielsweise um Informationen betreffend die Steuerung eines Aktuators handeln, der durch das Slave-Steuergerät betätigt wird.
-
Es liegt auch im Rahmen der Erfindung, dass das Master-Steuergerät das Slave-Steuergerät überwacht und bei einem festgestellten Fehler die Wegfahrsperre in einen gesperrten Zustand versetzt. Das Versetzen in einen gesperrten Zustand ist eine Sicherheitsmaßnahme, durch die verhindert wird, dass unberechtigterweise ein Zugang zu dem Fahrzeug ermöglicht wird. Ebenso kann auf diese Weise eine Fehlfunktion einer Komponente der Wegfahrsperre, beispielsweise eines Slave-Steuergeräts oder eines mit diesem gekoppelten Aktuators, erkannt werden, woraufhin die Wegfahrsperre in einen gesperrten Zustand versetzt wird. Somit können auch potentiell gefährliche Situationen verhindert werden, beispielsweise ein Starten des Antriebsmotors bei eingelegtem Gang oder bei gewählter Fahrstufe oder ein Start des Motors ohne Betätigung einer Bremse.
-
Bei dem erfindungsgemäßen Verfahren kann die Funktion eines Slave-Steuergeräts beispielsweise dadurch überprüft werden, dass das Master-Steuergerät überprüft, ob das Slave-Steuergerät innerhalb eines festgelegten Zeitraums nach dem Senden der Aufforderung die der neuen Funktion zugeordnete Information abruft. Andernfalls, wenn die Information nicht abgerufen wird, wird die Wegfahrsperre in einen gesperrten Zustand versetzt. Das Versetzen in den gesperrten Zustand kann z. B. durch das Abschalten des Motors bzw. der Zündung erfolgen.
-
Schließlich ist es bei dem erfindungsgemäßen Betriebsverfahren auch vorgesehen, dass die oder eine dem Slave-Steuergerät zugeordnete Funktion stufenweise durch das Master-Steuergerät freigegeben wird.
-
Weitere Vorteile und Einzelheiten der Erfindung werden nachfolgend anhand eines Ausführungsbeispiels unter Bezugnahme auf die Zeichnungen erläutert. Die Zeichnungen sind schematische Darstellungen und zeigen:
- 1 ein Kraftfahrzeug mit einer Wegfahrsperre, das für die Durchführung des erfindungsgemäßen Betriebsverfahrens geeignet ist; und
- 2 ein Flussdiagramm mit den wesentlichen Schritten des erfindungsgemäßen Betriebsverfahrens.
-
1 zeigt ein Kraftfahrzeug 1 mit einer Wegfahrsperre, die ein Master-Steuergerät 2 aufweist, das mit mehreren, jeweils einer Funktion zugeordneten Slave-Steuergeräten 3 über ein Bussystem 4 in einer Master-Slave-Konfiguration verbunden ist. Ein Slave-Steuergerät 3 ist dabei jeweils mit einem Aktuator 5 oder einem Sensor gekoppelt. In dem dargestellten Ausführungsbeispiel sind die Slave-Steuergeräte 3 als Türsteuergeräte ausgebildet.
-
Um die Wegfahrsperre zu entsperren, kann ein Benutzer mittels eines Fahrzeugschlüssels ein Steuersignal erzeugen, das von einem Slave-Steuergerät empfangen wird. Beispielsweise kann der Benutzer den Fahrzeugschlüssel in ein Fahrzeugschloss stecken oder im Falle eines als Transponder ausgebildeten Fahrzeugschlüssels kann er sich dem Fahrzeug nähern, so dass der Transponder von einem Sensor detektiert werden kann. Wenn das Slave-Steuergerät 3 ein derartiges Steuersignal erhält, wird die dem Steuersignal zugeordnete Funktion, beispielsweise eine Betätigung des Türsteuergeräts, um ein Türschloss zu entsperren, aus Sicherheitsgründen nicht sofort durchgeführt. Vielmehr fordert das Slave-Steuergerät 3 ein Freigabesignal von dem Master-Steuergerät 2 an. Das Master-Steuergerät 2 führt daraufhin eine Authentifikation der Anforderung durch. Nach erfolgter Authentifikation sendet das Master-Steuergerät 2 das Freigabesignal an das Slave-Steuergerät 3, das daraufhin den mit ihm verbundenen Aktuator 5 entsprechend ansteuert, so dass ein Türschloss geöffnet wird.
-
In ähnlicher Weise ist ein Slave-Steuergerät 6 vorhanden, um einen Antriebsmotor ein- oder auszuschalten sowie ein Steuergerät 7, um ein Getriebe zu steuern.
-
Um eine neue Funktion zu implementieren, ist das Master-Steuergerät 2 so ausgebildet, dass es ein Slave-Steuergerät, beispielsweise das Slave-Steuergerät 6, auffordert, der neuen Funktion zugeordnete Informationen von dem Master-Steuergerät 2 abzurufen.
-
Das Master-Steuergerät 2 überwacht dabei, ob das angesprochene Slave-Steuergerät 7 diese bereitgestellten Informationen innerhalb eines festgelegten Zeitraums abruft. Wenn diese Informationen innerhalb des festgelegten Zeitfensters abgerufen werden, werden die Informationen in dem Slave-Steuergerät 7 hinterlegt, so dass dieses Slave-Steuergerät anschließend anhand dieser Informationen betrieben werden kann. Andernfalls, wenn die der neuen Funktion zugeordneten Informationen nicht innerhalb des festgelegten Zeitraums abgerufen werden, wird davon ausgegangen, dass eine Fehlfunktion vorliegt, daraufhin wird die Wegfahrsperre in einen gesperrten Zustand versetzt.
-
Das Betriebsverfahren für die Wegfahrsperre weist den Vorteil auf, dass bei einer Funktionserweiterung keine Anpassung der einzelnen Slave-Steuergeräte 3, 6, 7 erforderlich ist, stattdessen werden diese selektiv aufgefordert, der neuen Funktion zugeordnete Informationen von dem Master-Steuergerät 2 abzurufen. Nach dem erfolgreichen Abruf sind die für die Realisierung der neuen Funktion erforderlichen Informationen in den einzelnen Slave-Steuergeräten hinterlegt, so dass eine Ergänzung oder Modifikation einzelner Funktionen mit geringem Aufwand durchgeführt werden kann. Die Übertragung der Informationen erfolgt dabei in verschlüsselter Form über das Bussystem 4.
-
Bei einer Erweiterung des Betriebsverfahrens für die Wegfahrsperre im Hinblick auf autonomes Fahren kann das Slave-Steuergerät 6, das für die Steuerung des Antriebsmotors zuständig ist, so modifiziert werden, dass eine Betätigung des Gaspedals, die in dem Fahrmodus des autonomen Fahrens unerwünscht ist, gesperrt oder ignoriert wird. Daneben können unterschiedliche Sicherheitsmaßnahmen implementiert werden. Im Rahmen des autonomen Fahrens kann die Fahrzeuggeschwindigkeit limitiert werden. Diese Funktion kann über das Master-Steuergerät in der beschriebenen Weise an das Slave-Steuergerät übertragen werden, das daraufhin die Ansteuerung des daran angeschlossenen Antriebsmotors entsprechend anpasst. In ähnlicher Weise kann das dem Antriebsmotor zugeordnete Slave-Steuergerät 6 so modifiziert werden, dass für das Kraftfahrzeug eine maximal zurücklegbare Wegstrecke festgelegt wird.
-
Dem Slave-Steuergerät 7 können ebenfalls modifizierte Funktionen zugewiesen werden, dazu zählt das Ignorieren oder Blockieren einer Betätigung des Gaspedals durch den Fahrer oder das Ignorieren oder Blockieren des Einlegens eines Gangs oder einer Fahrstufe.
-
Bei dem Betriebsverfahren für die Wegfahrsperre können Funktionen abgestuft freigegeben werden. In einer ersten Stufe kann dabei das Starten des Antriebsmotors freigegeben werden, diese Funktion kann von dem Master-Steuergerät 2 in der beschriebenen Weise an das entsprechende Slave-Steuergerät 6, das dem Antriebsmotor zugeordnet ist, übermittelt werden. In einer zweiten Freigabestufe kann eine Bewegung des Kraftfahrzeugs freigegeben werden. Beide Funktionen werden nacheinander durch entsprechende Freigabesignale freigegeben, die das Slave-Steuergerät 6 von dem Master-Steuergerät 2 anfordert.
-
Das Betriebsverfahren für die Wegfahrsperre wird nachfolgend anhand von 2 erläutert. Nach dem Start des Verfahrens fordert das Master-Steuergerät 2 im Schritt 8 das Slave-Steuergerät 3 auf, Informationen, die der neuen Funktion zugeordnet sind, abzurufen.
-
In dem Schritt 9 wird anschließend entschieden, ob der Abruf der Informationen durch das Slave-Steuergerät innerhalb eines vorgegebenen Zeitfensters erfolgt ist. Falls die Informationen nicht rechtzeitig abgerufen worden sind, wird das Verfahren im Schritt 10 beendet. Andernfalls werden die der neuen Funktion zugeordneten Informationen in dem Schritt 11 in dem Slave-Steuergerät hinterlegt.
-
Anschließend wird das Slave-Steuergerät in dem Schritt 12 mit der neuen Funktion betrieben, bis das Verfahren beendet wird.