DE102019131766A1 - Verfahren zum sicheren Modifizieren einer Konfiguration eines Anlagensteuergerätes mittels einer Modifizierungsvorrichtung sowie einer Einrichtung zum sicheren Modifizieren einer Konfiguration eines Anlagensteuergerätes - Google Patents

Verfahren zum sicheren Modifizieren einer Konfiguration eines Anlagensteuergerätes mittels einer Modifizierungsvorrichtung sowie einer Einrichtung zum sicheren Modifizieren einer Konfiguration eines Anlagensteuergerätes Download PDF

Info

Publication number
DE102019131766A1
DE102019131766A1 DE102019131766.5A DE102019131766A DE102019131766A1 DE 102019131766 A1 DE102019131766 A1 DE 102019131766A1 DE 102019131766 A DE102019131766 A DE 102019131766A DE 102019131766 A1 DE102019131766 A1 DE 102019131766A1
Authority
DE
Germany
Prior art keywords
modification
configuration
status
modifying
control device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE102019131766.5A
Other languages
English (en)
Other versions
DE102019131766B8 (de
DE102019131766B4 (de
Inventor
Steffen Harscher
Alexander Korner
Andreas Pilz
Jürgen Winterholler
Daniel Eberle
Gero Stoebele
Christian Keller
Bruno Hartmann
Jens Kohler
Volker Bader
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Rolls Royce Solutions GmbH
Original Assignee
MTU Friedrichshafen GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by MTU Friedrichshafen GmbH filed Critical MTU Friedrichshafen GmbH
Priority to DE102019131766.5A priority Critical patent/DE102019131766B8/de
Publication of DE102019131766A1 publication Critical patent/DE102019131766A1/de
Application granted granted Critical
Publication of DE102019131766B4 publication Critical patent/DE102019131766B4/de
Publication of DE102019131766B8 publication Critical patent/DE102019131766B8/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Selective Calling Equipment (AREA)

Abstract

Verfahren zum sicheren Modifizieren einer Konfiguration eines Anlagensteuergerätes (204) einer Anlage (206) mittels einer mit dem Anlagensteuergerät (204) verbundenen Modifizierungseinrichtung (202), wobei- die Modifizierungseinrichtung (202) über eine Drahtlosverbindung zu einem Modifizierungsserver (S) verbunden ist; wobei das Verfahren die folgenden Schritte aufweist:- Bereitstellen (D) einer initial auf dem Modifizierungsserver (S) befindlichen Konfigurationsmodifikation auf der Modifizierungseinrichtung (202);- Modifizieren der Konfiguration des Anlagensteuergeräts mittels der bereitgestellten Konfigurationsmodifikation durch die Modifizierungseinrichtung (202).Erfindungsgemäß ist vorgesehen, dass das Verfahren weiter die Schritte aufweist:- Kontrolle (Stat) eines Anlagenstatus, insbesondere mittels eines Statusgebers (M), und- das Modifizieren (Mod) der Konfiguration erst bei einem Vorliegen eines positiven Anlagenstatus (pStat) durchgeführt wird.

Description

  • Die Erfindung betrifft ein Verfahren gemäß dem Oberbegriff des Anspruchs zum sicheren Modifizieren einer Konfiguration eines Anlagensteuergerätes einer Anlage mittels einer mit dem Anlagensteuergerät verbundenen Modifizierungseinrichtung. Die Erfindung betrifft auch eine Einrichtung zum sicheren Modifizieren einer Konfiguration eines Anlagensteuergerätes.
  • Bekannte Verfahren zum Modifizieren einer Konfiguration von Steuergeräten, insbesondere Motorsteuergeräten (auch als Engine Control Units oder ECUs bezeichnet), machen Gebrauch von einer Datenübertragung über eine Drahtlosverbindung. Diese Verfahren werden auch als Flash oder Firmware Over-The-Air (kurz FOTA) bezeichnet und bringen grundsätzlich Vorteile im Hinblick auf eine Zeitersparnis aufgrund des Wegfalls von ansonsten erforderlichem Verkabelungsaufwand. Denn der Vorteil dieser Verfahren im Vergleich zu früheren Verfahren liegt vor allem darin, dass bei der Datenübertragung über die Luftschnittstelle keine Kabelverbindung zum Steuergerät hergestellt werden muss. Es zeigt sich, dass selbst dies noch verbesserbar ist.
  • Im Stand der Technik sind bereits verschiedene Verfahren und Vorrichtungen der eingangs genannten Art zum Modifizieren einer Konfiguration eines Steuergerätes über eine Drahtlosverbindung bekannt.
  • In DE 10 2015 203 766 A1 wird ein Teilsystem für ein Fahrzeug beschrieben, das durch die folgenden Merkmale gekennzeichnet ist: einen über eine Luftschnittstelle mit einem Gerätemanagement-Server des Backends verbundenen Gerätemanagement-Client zum Austauschen von Geräte-, Fahrzeug- und von Diagnose- sowie Softwareupdateinformationen; einen über eine Luftschnittstelle mit einem Download-Server des Backends verbundenen Download-Client zum Herunterladen eines Softwareupdates von dem Backend in das Fahrzeug, mit dem Download-Client verbundene Softwareupdate-Clients zum Anwenden des Softwareupdates und einen mit dem Download-Client und den Softwareupdate-Clients verbundenen Fahrzeugupdate-Client zum Koordinieren des Softwareupdates.
  • In DE 10 2016 201 279 A1 wird ein Verfahren zum Überwachen einer Aktualisierung eines Fahrzeuges beschrieben, das durch die folgenden Merkmale gekennzeichnet ist: das Fahrzeug wird in einen sicheren Zustand überführt; der sichere Zustand wird verriegelt; ein energetischer Zustand des Fahrzeuges wird abgefragt; abhängig vom energetischen Zustand wird entweder ein Steuergerät des Fahrzeuges aktualisiert oder das Verfahren vorzeitig kontrolliert abgebrochen und der sichere Fahrzeugzustand wird entriegelt.
  • In US 2018/0198846 A1 werden Systeme, Vorrichtungen und ein Verfahren für ein drahtloses Aktualisieren einer Konfiguration einer Motorsteuereinheit (ECU) offenbart. Das Verfahren beinhaltet ein Bestimmen von zu verändernden Parametern der ECU; eine Erzeugung eines Schreibpakets mit den zu verwendenden Parametern und ein Übertragen des Schreibpakets an das Gerät über Luft durch eine Cloud-basierte Anwendung.
  • Weiterhin ist bekannt, dass ein Modifizieren einer Konfiguration eines Anlagensteuergerätes ein erhebliches Sicherheitsrisiko für in der Umgebung aufhaltende Personen, einschließlich Servicetechnikern, und Gegenstände sowie die Anlage selbst darstellen kann. Während des Modifizierens der Konfiguration des Anlagensteuergerätes kann die Anlage selbst im Allgemeinen nicht verwendet werden. Insbesondere in dem Fall, dass es sich bei der Anlage um einen Antrieb eines Fahrzeuges handelt, kann das Fahrzeug während des Modifizierens der Konfiguration nicht mehr gesteuert werden.
  • An dieser Stelle setzt die Erfindung an, deren Aufgabe es ist, eine Zeitersparnis und ggfs. eine Sicherheit und/oder Verlässlichkeit beim Modifizieren einer Konfiguration eines Steuergerätes einer Anlage zu verbessern.
  • Diese Aufgabe wird gelöst durch ein Verfahren gemäß Anspruch 1. Weiterhin betrifft die Erfindung eine Einrichtung gemäß Anspruch 14.
  • Die Erfindung geht zur Lösung der Aufgabe aus von einem Verfahren zum sicheren Modifizieren eines Anlagensteuergeräts einer Anlage, wobei das Anlagensteuergerät mit einer Modifizierungseinrichtung verbunden ist und das Verfahren die folgenden Schritte aufweist:
    • - Verbinden der Modifizierungseinrichtung über eine Drahtlosverbindung mit einem Modifizierungsserver;
    • - Bereitstellen, insbesondere initiales Bereitstellen, einer Konfigurationsmodifikation für die Modifizierungseinrichtung durch den Modifizierungsserver; und
    • - Modifizieren der Konfiguration des Anlagensteuergeräts mittels der bereitgestellten Konfigurationsmodifikation durch die Modifizierungseinrichtung.
  • Erfindungsgemäß umfasst das Verfahren folgende weitere Schritte:
    • - Kontrolle eines Anlagenstatus der Anlage, insbesondere mittels eines Statusgebers, und
    • - Modifizieren der Konfiguration erst bei einem Vorliegen eines positiven Anlagenstatus.
  • Die Erfindung geht davon aus, dass ein Verfahren mit den Schritten
    • - Verbinden einer Modifizierungseinrichtung über eine Drahtlosverbindung mit einem Modifizierungsserver;
    • - Bereitstellen, insbesondere initiales Bereitstellen, einer Konfigurationsmodifikation für die Modifizierungseinrichtung durch den Modifizierungsserver; und
    • - Modifizieren der Konfiguration des Anlagensteuergeräts mittels der bereitgestellten Konfigurationsmodifikation durch die Modifizierungseinrichtung

    besonders geeignet ist, um eine erhöhte Sicherheit beim Modifizieren der Konfiguration des Anlagensteuergerätes zu gewährleisten.
  • Zudem hat die Erfindung erkannt, dass ein sicheres Modifizieren der Konfiguration des Anlagensteuergerätes nur stattfinden kann, wenn sich die Anlage in einem für die Modifikation geeigneten Anlagenzustand befindet.
  • Zu diesem Zweck erfolgt zunächst eine Kontrolle eines Anlagenzustands der Anlage, insbesondere mittels eines Statusgebers. Zudem wird das Modifizieren der Konfiguration erst bei einem Vorliegen eines positiven Anlagenstatus durchgeführt.
  • Ein positiver Anlagenstatus liegt generell im Sinne des Konzepts der Erfindung dann vor, wenn der Anlagenzustand der Anlage geeignet für das Modifizieren ist. Prinzipiell handelt es sich bei einem geeigneten Anlagenzustand, um einen Zustand der Anlage, der ein sicheres Modifizieren der Konfiguration des Anlagensteuergerätes ermöglicht.
  • Vorteilhafte Weiterbildungen der Erfindung sind den Unteransprüchen zu entnehmen und geben im Einzelnen vorteilhafte Möglichkeiten an, das oben erläuterte Konzept im Rahmen der Aufgabenstellung sowie hinsichtlich weiterer Vorteile zu realisieren.
  • Ein im Folgenden im Einzelnen aufgeführter geeigneter positiver Anlagenzustand beschränkt nicht die obige generelle Bezeichnung auch wenn ein positiver Anlagenzustand abhängig vom jeweiligen Anwendungsfall sein kann. Eine erschöpfende Auflistung ist hier nicht abschließend, sondern stattdessen sind im Folgenden einige signifikante Beispiele ausgeführt.
  • In einer bevorzugten Weiterbildung wird ein positiver Anlagenstatus angezeigt, wenn die Anlage von einer mit der Anlage verbundenen Stromversorgung getrennt ist. In einer anderen bevorzugten Weiterbildung wird ein positiver Anlagenstatus angezeigt, wenn ein bewegliches Element der Anlage ruht. In einer weiteren bevorzugten Weiterbildung wird ein positiver Anlagenstatus angezeigt, wenn eine Sicherung aktiviert ist, die eine Bewegung eines beweglichen Elements der Anlage unterbindet. In einer anderen Weiterbildung ist besonders vorteilhaft ein positiver Anlagenstatus gegeben, wenn eine Drehzahl der Anlage Null ist.
  • Ferner werden in verschiedenen Weiterbildungen auch Umgebungsbedingungen als Teil des Anlagenzustands geprüft. In Varianten dieser Weiterbildungen ist die Anlage ein Bestandteil eines Fahrzeugs und damit beweglich. In einer bevorzugten Variante dieser Weiterbildung wird dann ein positiver Anlagenstatus angezeigt, wenn das Fahrzeug stillsteht
  • Zusätzlich zu einer an sich erhöhten Sicherheit ist ein solches Verfahren besonders vorteilhaft, da aus einem Entfallen von Verkabelungen eine erhöhte Sicherheit und bereits eine Zeitersparnis bei der Durchführung des Verfahrens resultiert. Vor allem aber bietet das Verfahren die Möglichkeit, die Konfigurationen mehrerer Anlagensteuergeräte gleichzeitig zu modifizieren, was zu einer deutlich verbesserten Zeitersparnis führt. Ebenso steht eine prozesssichere Rückdokumentation der tatsächlich geflashten Daten in einer beispielsweise zentralen Datenbank automatisch zur Verfügung; dies unterstützt eine verlässliche Durchführung beim Modifizieren. Auch dies verbessert die Sicherheit und Zeitersparnis beim Modifizierungsprozess insgesamt.
  • Eine bevorzugte Weiterbildung des Verfahrens ist dadurch gekennzeichnet, dass der Modifizierungsserver ein Cloud-Dienst und/oder die Modifizierungseinrichtung ein insbesondere schnurloses Verbindungsgerät (Connectivity Device) und/oder die Konfigurationsmodifikation eine Firmware und/oder das Modifizieren mittels einem Flashen einer Konfiguration der Anlage erfolgt.
  • Eine weitere bevorzugte Weiterbildung des Verfahrens ist dadurch gekennzeichnet, dass bei einem Vorliegen des positiven Anlagenstatus und vor dem Modifizieren der Konfiguration das Anlagensteuergerät in einen flashbaren Modus versetzt wird.
  • Das Versetzen des Anlagensteuergerätes in einen flashbaren Modus ist vorteilhaft, um sicherzustellen, dass das Anlagensteuergerät bereit ist, um die Modifikationskonfiguration, insbesondere die Firmware, aufzunehmen.
  • Eine andere bevorzugte Weiterbildung des Verfahrens ist dadurch gekennzeichnet, dass die Modifizierungseinrichtung mit einem Statusgeber verbunden ist, wobei der Statusgeber ausgebildet ist, einen Anlagenstatus zu signalisieren.
  • Eine weitere bevorzugte Weiterbildung des Verfahrens ist dadurch gekennzeichnet, dass ein Statusgeber im Falle eines positiven Anlagenstatus eine zur Modifikation des Anlagensteuerungsgerätes geeigneten Anlagenzustand anzeigt und im Falle eines negativen Anlagenstatus eine zur Modifikation des Anlagensteuerungsgerätes ungeeigneten Anlagenzustand anzeigt.
  • Eine weitere bevorzugte Weiterbildung des Verfahrens ist dadurch gekennzeichnet, dass die Kontrolle des Anlagenstatus, insbesondere mittels eines Statusgebers, eine Eingangskontrolle des Anlagenstatus mittels des Statusgebers ist. In dieser Weiterbildung wird mit dem Modifizieren der Konfiguration nur begonnen, wenn ein positiver Anlagenstatus vorliegt.
  • Grundsätzlich ist in bevorzugter Weise davon auszugehen, dass ein Anlagenstatus während eines Flash-Vorgangs nicht akut bekannt sein muss bzw. bekannt sein kann oder ist; d.h. eine Entwicklung desselben kann im Grunde nicht verfolgt werden. Deswegen ist mit Vorteil vorgesehen, dass ein Flash-Vorgang nur gestartet werden kann, wenn beispielsweise die Motordrehzahl 0 ist; dies als Beispiel eines vorgenannten positiven Anlagenstatus - während des Flash-Vorgangs kann der Motor dann nicht mehr gestartet werden; es kann dann davon ausgegangen werden, dass die Motordrehzahl weiterhin Null ist; dies als Beispiel des vorgenannten weiterhin positiven Anlagenstatus.
  • Eine andere bzw. weiterbildende bevorzugte Weiterbildung des Verfahrens kann gleichwohl grundsätzlich auch eine Kontrolle des Anlagenstatus umfassen, insbesondere mittels eines Statusgebers, eine Kontrolle des Anlagenstatus während des Modifizierens der Konfiguration. Dazu weist das Verfahren vorteilhaft folgenden zusätzlichen Schritt auf: Bei einem Vorliegen des negativen Anlagenstatus, Abbrechen des Modifizierens der Konfiguration des Anlagensteuergeräts mittels der bereitgestellten Konfigurationsmodifikation durch die Modifizierungseinrichtung. In dieser Weiterbildung des Verfahrens kann während der Modifikation überprüft werden, ob auch weiterhin ein positiver Anlagenstatus vorliegt. Liegt kein positiver Anlagenstatus vor, wird die Modifikation abgebrochen. Eine Überprüfung wird dabei mindestens einmal während der Modifikation durchgeführt, was eine einmalige wie auch kontinuierliche Überprüfung des Anlagenstatus einschließt.
  • Eine weitere bevorzugte Weiterbildung des Verfahrens ist dadurch gekennzeichnet, dass eine Bedieneinrichtung ebenfalls mit dem Modifizierungsserver und über diesem mit der Modifizierungseinrichtung verbunden ist. Ferner weist das Verfahren die weiteren Schritte auf: Senden eines Freigabesignals von der Modifizierungseinrichtung an den Modifizierungsserver, welches ein Schaltelement der Bedieneinrichtung freigibt; und das Modifizieren der Konfiguration des Anlagensteuergeräts erst bei Erhalt eines Bestätigungssignals vom Modifizierungsserver, welches eine Betätigung des freigegebenen Schaltelements der Bedieneinrichtung signalisiert, durchgeführt wird. Die Reihenfolge zwischen der Kontrolle des Anlagenstatus und der Freigabe des Schaltelements sowie dem Empfang der Bestätigung sind hierbei beliebig.
  • Diese weitere bevorzugte Weiterbildung erhöht die Sicherheit beim Modifizieren der Konfiguration weiter, in dem das Modifizieren der Konfiguration nur dann durchgeführt wird, wenn die Modifizierung zuvor durch ein Betätigen eines Schaltelementes bestätigt wurde. Die Betätigung des Schaltelementes kann beispielsweise verbunden sein mit einer vorhergehenden optischen Inspektion der Anlage durch Servicepersonal.
  • In Varianten dieser Weiterbildung ist das Schaltelement der Bedieneinrichtung standardmäßig freigegeben, so dass eine explizite Freigabe durch die Modifizierungseinrichtung nicht nötig ist.
  • Eine weitere vorteilhafte Weiterbildung des Verfahrens ist dadurch gekennzeichnet, dass eine Bedieneinrichtung ebenfalls mit dem Modifizierungsserver und über diesem mit der Modifizierungseinrichtung verbunden ist. Zudem ist das Verfahren gekennzeichnet dadurch, dass die Bedieneinrichtung und die Modifizierungseinrichtung jeweils eine Abstandsbestimmungseinheit zur Bestimmung eines Abstandes zwischen Bedieneinrichtung und Modifizierungseinrichtung aufweisen. Zudem weist in dieser Variante das Verfahren folgende Schritte auf: Bestimmen des Abstands zwischen der Modifizierungseinrichtung und der Bedieneinrichtung. Kontrolle mit einem vordefinierten Oberabstand, wobei (i) der Abstand kleiner als der oder gleich dem vordefinierten Oberabstand zu einem Signalisieren eines positiven Abstandsstatus führt, und (ii) der Abstand größer als der vordefinierte Oberabstand zu einem Signalisieren eines negativen Abstandsstatus führt. Sowie das Modifizieren der Konfiguration erst bei einem Vorliegen eines positiven Abstandsstatus durchgeführt wird.
  • Diese Variante ist vorteilhaft, da sie die Sicherheit des Modifizierens der Konfiguration weiter erhöht. Durch die Kontrolle des geografischen Abstandes zwischen Bedieneinrichtung und Modifizierungseinrichtung wird sichergestellt, dass eine Bestätigung der Modifizierung nur durch Bedienpersonal erfolgt, dass sich in der Nähe der Anlage aufhält und so beispielsweise das Modifizieren der Konfiguration überwachen kann.
  • Eine auf dieser Variante aufbauende zweite Variante ist dadurch gekennzeichnet, dass die Kontrolle mit einem vordefinierten Oberabstand eine Eingangskontrolle ist. Dies ist vorteilhaft, um vor einem Beginn der Modifikation der Konfiguration sicherzustellen, dass die Bedieneinrichtung und die Anlage sich innerhalb des vordefinierten Oberabstands zueinander befinden.
  • Eine zu der zweiten Variante alternative Variante ist dadurch gekennzeichnet, dass die Kontrolle mit einem vordefinierten Oberabstand eine Kontrolle während des Modifizierens der Konfiguration ist. Das Verfahren weist dabei folgenden zusätzlichen Schritt auf: bei einem Vorliegen des negativen Abstandsstatus, Abbrechen des Modifizierens der Konfiguration des Anlagensteuergeräts mittels der bereitgestellten Konfigurationsmodifikation durch die Modifizierungseinrichtung. In dieser Variante des Verfahrens wird während der Modifikation überprüft, ob ein negativer Abstandsstatus vorliegt. Liegt ein negativer Abstandsstatus vor, wird die Modifikation abgebrochen. Eine Überprüfung wird dabei mindestens einmal während der Modifikation durchgeführt. In alternativen Ausführungen wird auch eine kontinuierliche Überprüfung des Abstandsstatus durchgeführt.
  • In einer vorteilhaften Variante der Weiterbildung, bei welcher der Anlagenstatus oder der Abstandsstatus während der Modifikation der Konfiguration überprüft wird und bei einem negativen Anlagen- oder Abstandsstatus zu einem Abbruch des Modifizierens führt, ist dadurch gekennzeichnet, dass das Abbrechen des Modifizierens der Konfiguration des Anlagensteuergeräts mittels der bereitgestellten Konfigurationsmodifikation durch die Modifizierungseinrichtung in einer sicheren Modifikationsphase geschieht. Dies ist vorteilhaft, um einen weiteren Betrieb der Anlage durch das Anlagensteuergerät sicherzustellen.
  • In einer Weiterbildung des Verfahrens ist zusätzlich eine Bedieneinrichtung mit dem Modifizierungsserver und über diesem mit der Modifizierungseinrichtung verbunden ist. Zudem weist die Bedieneinrichtung in dieser Weiterbildung einen Kennungserfassungssensor und die Anlage eine Kennung auf, wobei das Modifizieren der Konfiguration erst nach einem Erfassen der Kennung durch den Kennungserfassungssensor möglich ist. Diese Weiterbildung hat den Vorteil, dass eine Modifizierung nur vorgenommen wird, wenn sich die Bedieneinrichtung nahe genug an der Anlage befindet, so dass die Kennung durch den Kennungserfassungssensor erfasst werden kann.
  • Ein weiterer Aspekt der Erfindung beschreibt eine Einrichtung zum sicheren Modifizieren einer Konfiguration eines Anlagensteuergerätes einer Anlage mittels einer mit dem Anlagensteuergerät verbundenen Modifizierungseinrichtung, wobei die Modifizierungseinrichtung über eine Drahtlosverbindung zu einem Modifizierungsserver verbunden ist. Ferner ist die Einrichtung ausgebildet zum Bereitstellen, insbesondere initialem Bereitstellen, einer Konfigurationsmodifikation für die Modifizierungseinrichtung durch den Modifizierungsserver; zum Modifizieren der Konfiguration des Anlagensteuergeräts mittels der bereitgestellten Konfigurationsmodifikation durch die Modifizierungseinrichtung. Dabei ist die Einrichtung dadurch gekennzeichnet, dass die Einrichtung ausgebildet ist zum Kontrollieren des Anlagenstatus, insbesondere mittels eines Statusgebers, und zum Modifizieren der Konfiguration erst bei einem Vorliegen eines positiven Anlagenstatus.
  • Ausführungsbeispiele der Erfindung werden nun nachfolgend anhand der Zeichnung im Vergleich zum Stand der Technik, welcher zum Teil ebenfalls dargestellt ist, beschrieben. Diese soll die Ausführungsbeispiele nicht notwendigerweise maßstäblich darstellen, vielmehr ist die Zeichnung, wo zur Erläuterung dienlich, in schematisierter und/oder leicht verzerrter Form ausgeführt. Im Hinblick auf Ergänzungen der aus der Zeichnung unmittelbar erkennbaren Lehren wird auf den einschlägigen Stand der Technik verwiesen. Dabei ist zu berücksichtigen, dass vielfältige Modifikationen und Änderungen betreffend die Form und das Detail eines Ausführungsbeispiels vorgenommen werden können, ohne von der allgemeinen Idee der Erfindung abzuweichen. Die in der Beschreibung, in der Zeichnung sowie in den Ansprüchen offenbarten Merkmale der Erfindung können sowohl einzeln als auch in beliebiger Kombination für die Weiterbildung der Erfindung wesentlich sein. Zudem fallen in den Rahmen der Erfindung alle Kombinationen aus zumindest zwei der in der Beschreibung, der Zeichnung und/oder den Ansprüchen offenbarten Merkmale. Die allgemeine Idee der Erfindung ist nicht beschränkt auf die exakte Form oder das Detail der im Folgenden gezeigten und beschriebenen bevorzugten Ausführungsbeispiele oder beschränkt auf einen Gegenstand, der eingeschränkt wäre im Vergleich zu dem in den Ansprüchen beanspruchten Gegenstand. Bei angegebenen Bemessungsbereichen sollen auch innerhalb der genannten Grenzen liegende Werte als Grenzwerte Offenbart und beliebig einsetzbar und beanspruchbar sein. Weitere Vorteile, Merkmale und Einzelheiten der Erfindung ergeben sich aus der nachfolgenden Beschreibung der bevorzugten Ausführungsbeispiele sowie anhand der Zeichnung; diese zeigt in:
    • 1a zeigt Einsatzmöglichkeiten einer Einrichtung zum sicheren Modifizieren einer Konfiguration eines Anlagensteuergerätes;
    • 1b zeigt ein Ausführungsbeispiel eines Verfahrens zum sicheren Modifizieren einer Konfiguration eines Anlagensteuergerätes einer Anlage mittels einer mit dem Anlagensteuergerät verbundenen Modifizierungseinrichtung;
    • 2a zeigt ein Ausführungsbeispiel einer Einrichtung zum sicheren Modifizieren einer Konfiguration eines Anlagensteuergerätes einer Anlage mittels einer mit dem Anlagensteuergerät verbundenen Modifizierungseinrichtung;
    • 2b zeigt ein abgewandeltes Ausführungsbeispiel der Einrichtung zum sicheren Modifizieren einer Konfiguration eines Anlagensteuergerätes einer Anlage, die zusätzlich eine Bedieneinrichtung umfasst;
    • 3 zeigt eine andere Variante des in 1b gezeigten Verfahrens;
    • 4 zeigt eine weitere alternative Variante des in 1 gezeigten Verfahrens;
    • 5 zeigt ein weiteres bevorzugtes Ausführungsbeispiel zu dem in 1b beschriebenen Verfahren, wobei das Modifizieren der Konfiguration zusätzlich ein Bestätigungssignal einer Bedieneinrichtung bedarf;
    • 6 zeigt ein weiteres bevorzugtes Ausführungsbeispiel zu dem in 1 dargestellten Verfahren, wobei eine Kontrolle eines geographischen Abstands zwischen einer Bedieneinrichtung und der Modifizierungseinrichtung durchgeführt wird;
    • 7 zeigt eine bevorzugte Variante des in 6 dargestellten Ausführungsbeispiel des Verfahrens, in dem die Kontrolle des geographischen Abstands eine Eingangskontrolle ist;
    • 8 zeigt eine weitere bevorzugte Variante des in 6 dargestellten Verfahrens, in der die Kontrolle des geographischen Abstands während des Modifizierens der Konfiguration durchgeführt wird;
    • 9 zeigt ein bevorzugtes Ausführungsbeispiel eines Verfahrens, bei dem Aspekte der in 3 bis 8 dargestellten Ausführungsbeispiele miteinander kombiniert sind.
  • In den folgenden Figurenbeschreibungen werden konkrete Ausführungsbeispiele des Verfahrens wie auch der Einrichtung gemäß dem Konzept der Erfindung erläutert.
  • Dazu zeigt zunächst 1a beispielhaft und anschaulich einige Umfelder, in denen ein Verfahren bzw. eine Einrichtung eines Ausführungsbeispiels gemäß dem Konzept der Erfindung eingesetzt werden kann. 1a zeigt dazu Einsatzmöglichkeiten des bevorzugten Ausführungsbeispiels des Verfahrens bzw. der Einrichtung 102 zum sicheren Modifizieren einer Konfiguration eines Anlagensteuergerätes.
  • Konkret zeigt 1a Anwendungsbereiche einer Einrichtung zum sicheren Modifizieren einer Konfiguration eines Anlagensteuergerätes im Rahmen verschiedener Phasen eines Lebenszyklus von Fahrzeugen. Hierbei dient die Modifizierungseinrichtung 102 dazu eine Konfiguration eines Antriebssteuergerätes, oft auch als ECU bezeichnet, eines Antriebs zu modifizieren und insbesondere zu aktualisieren. In dem gezeigten Beispiel handelt es sich bei der Konfiguration um die Firmware des Antriebssteuergerätes. Das in 1a gezeigte Ausführungsbeispiel der Modifizierungseinrichtung 102 ist dabei nicht nur in der Lage, über einen Modifizierungsserver S eine Konfigurationsmodifikation zu empfangen, sondern auch selbst Daten über die Anlage, d.h. den Motor, an den Modifizierungsserver S zu senden. Welche Daten hierbei gesendet werden ist abhängig von dem konkreten Ausführungsbeispiel der Modifizierungseinrichtung.
  • In dem in 1a gezeigten Beispiel werden durch die Modifizierungseinrichtung Informationen über die letzte aufgespielte Konfigurationsmodifikation als auch den Antrieb betreffende Informationen übertragen.
  • 1a zeigt vier Phasen während des Lebenszyklus von Fahrzeugen, in denen von der erfindungsgemäßen Einrichtung Gebrauch gemacht wird. Diese vier Phasen sollen nur als Beispiele für Anwendungsmöglichkeiten der erfindungsgemäßen Einrichtung dienen und stellen daher keine abschließende Auflistung von Anwendungsmöglichkeiten dar.
  • Zum einen kann die erfindungsgemäßen Einrichtung im Bereich der Forschung und Entwicklung (R&D) von Fahrzeugen eingesetzt werden. In dem im 1a veranschaulichten Szenario wird die Modifizierungseinrichtung 102 in einem Minenfahrzeug in einem Feldtest (AET field test) eingesetzt. Hierbei können beispielsweise von einem Forschungszentrum aus (MTU R&D Center) über einen Modifizierungsserver S drahtlos neue Konfigurationsmodifikationen wie eine neue Firmware-Version auf ein im Fahrzeug befindlichen Antriebssteuergerät aufgespielt werden. In dem dargestellten Szenario überträgt die Modifikationseinrichtung 102 weiterhin auch Informationen über das Fahrzeug zurück an das Forschungszentrum, die in diesem Beispiel zur Auswertung der Feldtests verwendet werden.
  • Ein weiteres in 1a gezeigtes Szenario ist ein Einsatz der erfindungsgemäßen Einrichtung bei einer Fertigung (Assembly) von einer Anzahl von Antrieben. Hier können zum Beispiel von einem Service-Center (MTU Service Center) aus über einen Modifizierungsserver S die Konfiguration der Antriebssteuergeräte der Anzahl der Antriebe initial aufgespielt werden (Initial Installation). Außerdem können die Modifizierungseinrichtungen 102 verwendet werden, um in einem abschließenden Test (end of line test) auch Daten über die Antriebe über den Modifizierungsserver S zurück an das Service-Center senden zu können und so beispielsweise zentral ausgewertet und gespeichert werden zu können.
  • In einem dritten in 1a gezeigten Szenario wird die erfindungsgemäßen Einrichtung bei einer ersten Inbetriebnahme (initial operation) einer Anzahl von Antrieben, beispielsweise vor einer Auslieferung der Anzahl von Antrieben an einen Fahrzeughersteller, verwendet werden, um über das Service-Center die Konfiguration des Antriebssteuergerätes über den Modifizierungsserver S zu ermöglichen. Auch hier können bei der Inbetriebnahme Daten über den Modifikationsserver S an das Service-Center gesendet werden, um dort ausgewertet und gespeichert zu werden.
  • In einem vierten und letzten in 1a gezeigten Szenario wird die erfindungsgemäßen Einrichtung bei der Wartung von sich im Betrieb befindlichen Fahrzeugen, hier Zügen, verwendet (in-field maintenance). Auch in diesem Beispiel hier wird über das Service-Center zentral für eine Mehrzahl an Zügen ein Aktualisieren der Konfiguration des Antriebssteuergerätes erfolgen. Auch in dem Beispiel werden über die Modifizierungseinrichtung 102 Daten an das Service-Center zur zentralen Auswertung und Speicherung gesendet.
  • In den 2a und der 2b werden schematisch bevorzugte Ausführungsbeispiele einer Einrichtung gemäß dem Konzept der Erfindung gezeigt und weiter unten im Anschluss an 9 im Zusammenhang mit dem Verfahren gemäß dem Konzept der Erfindung näher erläutert.
  • Im Folgenden werden zunächst Ausführungsbeispiele des Verfahrens zum sicheren Modifizieren einer Konfiguration eines Anlagensteuergerätes vorgestellt; dazu wird zunächst auf die 1b und die 3 bis 9 eingegangen, die konkrete Ausführungsbeispiele des Verfahrens näher erläutern.
  • 1b zeigt ein erstes bevorzugtes Ausführungsbeispiel des Verfahrens gemäß dem Konzept der Erfindung zum sicheren Modifizieren einer Konfiguration eines Anlagensteuergerätes einer Anlage mittels einer mit dem Anlagensteuergerät verbundenen Modifizierungseinrichtung.
  • Die Modifizierungseinrichtung ist über eine Drahtlosverbindung zu einem Modifizierungsserver verbunden. Das Verfahren weist die folgenden Schritte auf:
    • - Bereitstellen D einer initial auf dem Modifizierungsserver befindlichen Konfigurationsmodifikation auf der Modifizierungseinrichtung;
    • - Modifizieren der Konfiguration Mod des Anlagensteuergeräts mittels der bereitgestellten Konfigurationsmodifikation durch die Modifizierungseinrichtung.
  • Ferner ist das Verfahren dadurch gekennzeichnet, dass es die folgenden zusätzlichen Schritte aufweist:
    • - Kontrolle Stat eines Anlagenstatus, insbesondere mittels des Statusgebers, und
    • - das Modifizieren Mod der Konfiguration erst bei einem Vorliegen eines positiven Anlagenstatus pStat durchgeführt wird. Bei einem Vorliegen eines negativen Anlagenstatus nStat werden keine weiteren Schritte unternommen.
  • Weitere Ausführungsbeispiele des in 1b dargestellten Verfahrens werden im Folgenden anhand der 3 bis 9 beschrieben. Für ein besseres Verständnis werden die in einer Figurenbeschreibung eingeführten Bezugszeichen für Verfahrensschritte auch in der Figurenbeschreibung darauffolgend erläuterter Figuren für identische Verfahrensschritte verwendet.
  • 3 und 4 zeigen zwei bevorzugte Varianten des in 1b dargestellten Verfahrens, in dem die Kontrolle Stat des Anlagenstatus entweder als eine Eingangskontrolle oder als eine Kontrolle während des Modifizierens Mod der Konfiguration erfolgt.
  • 3 zeigt ein anderes Ausführungsbeispiel im Unterschied zu dem in 1b gezeigten Verfahrens. Im Vergleich zu dem in 1b gezeigten Ausführungsbeispiel ist der Schritt Stat im in 3 gezeigten Ausführungsbeispiel als eine Eingangskontrolle EStat des Anlagenstatus mittels des Statusgebers ausgebildet. Hierbei wird der Anlagenstatus durch den Statusgeber vor der Modifikation Mod der Konfiguration kontrolliert. Der Schritt Mod wird nur ausgeführt, wenn der Anlagenstatus positiv ist pStat.
  • 4 zeigt eine weitere Variante zu dem in 1b gezeigten Verfahrens. Die Kontrolle des Anlagenstatus während der Modifikation wird in 4 durch den Schritt CStat veranschaulicht. Bei einem Vorliegen des negativen Anlagenstatus nStat wird das Modifizieren der Konfiguration Mod in einem Schritt AC durch die Modifizierungseinrichtung abgebrochen. In einer Variante dieses Ausführungsbeispiels wird bei einem Abbruch das Anlagensteuergerät in den ursprünglichen Zustand zurückzuversetzen. Hierzu kann beispielsweise ein Backup einer ursprünglichen Konfiguration auf der Modifizierungseinrichtung oder dem Modifizierungsserver angelegt und im Falle eines Abbruchs benutzt werden. Liegt jedoch ein positiver Anlagenstatus pStat vor, wird das Modifizieren der Konfiguration Mod fortgesetzt.
  • In dem in 4 gezeigten Ausführungsbeispiel des Verfahrens erfolgt die Kontrolle des Anlagenstatus CStat während der Konfiguration einmalig. In anderen Ausführungsbeispielen erfolgt die Kontrolle des Anlagenstatus CStat jedoch auch mehrmals. In wieder anderen Ausführungsbeispielen erfolgt die Kontrolle des Anlagenstatus CStat während der Modifikation der Konfiguration kontinuierlich.
  • In den 5 bis 9 werden weitere Varianten zu dem in 1b dargestellten Verfahren zum sicheren Modifizieren eines Anlagensteuergerätes gezeigt, die zusätzlich von einer Bedieneinrichtung Gebrauch machen. Die Bedieneinrichtung ist mit dem Modifizierungsserver und über diesem mit der Modifizierungseinrichtung verbunden.
  • 5 zeigt ein Ausführungsbeispiel des in 1b beschriebenen Verfahrens, wobei im Rahmen dieses Ausführungsbeispiels die Bedieneinrichtung verwendet wird und ferner die Bedieneinrichtung ausgebildet, bei einem Empfang eines Freigabesignals, eine Schaltfläche freizuschalten. Weiterhin ist die Bedieneinrichtung ausgebildet, bei einer Betätigung der freigegebenen Schaltfläche ein Bestätigungssignal an den Modifizierungsserver zu senden.
  • Das Verfahren weist die im Folgenden beschriebenen Schritte auf. Bei Vorliegen eines positiven Anlagenstatus wird in einem Schritt F ein Freigabesignal von der Modifizierungseinrichtung an den Modifizierungsserver gesendet, welches den Modifizierungsserver veranlasst, ein Schaltelement der Bedieneinrichtung freizugeben. In einem weiteren Schritt B wird ein Bestätigungssignal von der Modifizierungseinrichtung empfangen, welches ausgelöst wird, wenn beispielsweise ein Service-Techniker die freigegebene Schaltfläche der Bedieneinrichtung betätigt. Die Kommunikation zwischen Modifizierungseinrichtung und Bedieneinrichtung erfolgt hierbei über den Modifizierungsserver.
  • 6 zeigt eine weiteres bevorzugtes Ausführungsbeispiel des in 1b dargestellten Verfahrens, wobei eine Kontrolle eines Abstands zwischen einer Bedieneinrichtung und der Modifizierungseinrichtung durchgeführt wird.
  • Im Rahmen dieses Verfahrens weisen die Bedieneinrichtung und die Modifizierungseinrichtung jeweils eine Abstandsbestimmungseinheit auf.
  • Zudem weist das Verfahren im Folgenden beschriebene zusätzliche Schritte auf. In einem Schritt DistCalc wird ein geographischer Abstand zwischen der geographischen Position der Modifizierungseinrichtung und der geographischen Position der Bedieneinrichtung bestimmt. In einem Schritt Dist wird der zuvor bestimmte geographische Abstand mit einem vordefinierten Oberabstand kontrolliert. Hierbei führt ein geographischer Abstand, der kleiner als der oder gleich dem vordefinierten Oberabstand ist, zu einem Signalisieren eines positiven Abstandsstatus pDist. Ein geographischer Abstand, der größer als der vordefinierte Oberabstand ist, führt hingegen zu einem Signalisieren eines negativen Abstandsstatus nDist. Weiterhin wird im Rahmen dieses Ausführungsbeispiels der Schritt Mod zum Modifizieren der Konfiguration erst bei einem Vorliegen eines positiven Abstandsstatus ausgeführt.
  • In Ausführungsbeispielen der Bedieneinrichtung und der Modifizierungseinrichtung handelt es sich bei der Abstandsbestimmungseinheit um ein GPS-Modul, das jeweils eine geographische Position der Bedieneinrichtung und der Modifizierungseinrichtung bestimmt und anhand derer anschließend ein Abstand zwischen den Einrichtungen bestimmt wird. In anderen Ausführungsbeispielen handelt es sich bei den Abstandsbestimmungseinheiten jeweils um ein Bluetooth-Modul, mittels derer der Abstand zwischen den Einrichtungen bestimmt wird. In einem weiteren Ausführungsbeispiel handelt es sich bei den Abstandsbestimmungseinheiten um WLAN-Module mittels derer der Abstand bestimmt wird. Bei einem weiteren Ausführungsbeispiel handelt es sich bei den Abstandsbestimmungseinheiten um NFC-Module.
  • In dem in 6 dargestellten Ausführungsbeispiel wird zunächst die Kontrolle Stat des Anlagenstatus und danach die Kontrolle Dist des Abstandsstatus vorgenommen. Grundsätzlich ist die Reihenfolge der Kontrolle des Anlagen- und Abstandsstatus jedoch nicht festgelegt.
  • 7 zeigt eine bevorzugte Variante zu dem in 6 dargestellten Verfahren, in der die Kontrolle des geographischen Abstands eine Eingangskontrolle ist. In dieser Variante ist die in Schritt Dist ausgeführte Kontrolle des Eingangsstatus des in Schritt Dist bestimmten geographischen Abstand zwischen Modifizierungseinrichtung und Bedieneinrichtung mit einem vordefinierten Oberabstand als eine Eingangskontrolle EDist realisiert. Das Modifizieren der Konfiguration in Schritt Mod wird erst bei einem Vorliegen eines positiven Abstandsstatus durchgeführt.
  • 8 zeigt eine weitere bevorzugte Variante zu dem in 6 dargestellten Verfahren, in der die Kontrolle des geographischen Abstands während des Modifizierens der Konfiguration durchgeführt wird. In dieser Variante wird die in Schritt Dist ausgeführte Kontrolle des in Schritt DistCalc bestimmten geographischen Abstand zwischen Modifizierungseinrichtung und Bedieneinrichtung mit einem vordefinierten Oberabstand während des Modifizierens der Konfiguration in Schritt Mod ausgeführt.
  • Die Kontrolle des geographischen Abstands erfolgt hierbei in einem Schritt CDist. Ergibt die Kontrolle des geographischen Abstands einen positiven Abstandsstatus pDist, wird das Modifizieren der Konfiguration fortgesetzt. Falls die Kontrolle des geographischen Abstands einen negativen Abstandsstatus nDist ergibt, wird die das Modifizieren der Konfiguration abgebrochen.
  • 9 zeigt ein bevorzugtes Ausführungsbeispiel eines Verfahrens, bei dem ein oder mehrere Aspekte der in 3 bis 8 dargestellten Ausführungsbeispiele miteinander kombiniert sind.
  • Bei dem in 9 dargestellten Ausführungsbeispiel wird sowohl eine Eingangskontrolle EStat für den Anlagenstatus wie auch eine Eingangskontrolle EDist für den Abstandsstatus durchgeführt. Außerdem wird der Anlagen- und der Abstandsstatus in den Schritten CStat und CDist auch während des Modifizierens der Konfiguration in Schritt Mod durchgeführt.
  • Auch wird Schritt Mod erst ausgeführt, nachdem in Schritt F eine Schaltfläche einer Bedieneinrichtung freigeschaltet und anschließend, aufgrund einer Betätigung der Schaltfläche, ein Schritt B ein Bestätigungssignal empfangen wurde.
  • Nachdem in 1b und in den 3 bis 9 verschiedene Ausführungsbeispiele des Verfahrens zum sicheren Modifizieren einer Konfiguration eines Anlagensteuergerätes einer Anlage mittels einer mit dem Anlagensteuergerät verbundenen Modifizierungseinrichtung erläutert wurden, werden im Folgenden zwei Ausführungsbeispiele der Einrichtung zum sicheren Modifizieren einer Konfiguration eines Anlagensteuergerätes einer Anlage mittels einer mit dem Anlagensteuergerät verbundenen Modifizierungseinrichtung erläutert.
  • 2a zeigt ein bevorzugtes Ausführungsbeispiel der Einrichtung gemäß dem Konzept der Erfindung zum sicheren Modifizieren einer Konfiguration eines Anlagensteuergerätes 204 einer Anlage 206 mittels einer mit dem Anlagensteuergerät verbundenen Modifizierungseinrichtung 202.
  • Die Anlage 206 und Anlagensteuergerät 204 ist in diesem Beispiel eine Antriebseinheit eines Fahrzeuges 290. Dies ist aber keine zwingende Voraussetzung für die Verwendung der Einrichtung. In anderen Ausführungsbeispielen sind Anlagensteuergerät 204 und Anlage 206 stationär installiert, beispielsweise als Bestandteile eines Stromaggregates.
  • Zusätzlich zur Modifizierungseinrichtung 202 umfasst die Einrichtung einen Modifizierungsserver S sowie ein Statusgeber M. Bei dem in 2a gezeigten Ausführungsbeispiel handelt es sich bei dem Modifizierungsserver um einen Cloud-Dienst. Die Modifizierungseinrichtung 202 ist mit dem Anlagensteuergerät 204 sowie mit dem Statusgeber M verbunden. Ferner ist die insofern schnurlose Modifizierungseinrichtung 202 über eine Drahtlosverbindung mit dem Modifizierungsserver S verbunden.
  • Im Zusammenhang mit Fahrzeugen wird die insofern schnurlose Modifizierungseinrichtung 204 auch oft als Connectivity Device (schnurloses Verbindungsgerät) bezeichnet und das Anlagensteuergerät als Engine Control Unit (ECU, Motorsteuergerät).
  • Die Einrichtung ist zum initialen Bereitstellen einer Konfigurationsmodifikation 208 durch den Modifizierungsserver S für die Modifizierungseinrichtung 202 ausgebildet. Dabei ist in dem in 2a gezeigten Ausführungsbeispiel die Konfigurationsmodifikation 208 auf dem Modifizierungsserver S gespeichert. In anderen Ausführungsbeispielen ist die Konfigurationsmodifikation 208 jedoch auf einem anderen Server gespeichert und wird nur bei einer Anfrage durch die Modifizierungseinheit 202 durch den Modifizierungsserver S bereitgestellt. Bei der in 2a gezeigten Einrichtung handelt es bei der Konfigurationsmodifikation 208 um ein Firmware-Update. Es ist jedoch nicht zwingend der Fall, dass es sich bei der Konfigurationsmodifikation um ein Firmware-Update handelt.
  • Der Statusgeber M ist ausgebildet, einen Anlagenstatus zu signalisieren, wobei der Anlagenstatus ausgebildet ist, im Falle eines positiven Anlagenstatus eine zur Modifikation des Anlagensteuerungsgerätes geeigneten Anlagenzustand anzuzeigen und im Falle eines negativen Anlagenstatus eine zur Modifikation des Anlagensteuerungsgerätes ungeeigneten Anlagenzustand anzuzeigen. Ein Anlagenzustand, der zu einem positiven Anlagenstatus führt, ist in dem gezeigten Beispiel einer Anlage 206 eines Fahrzeugs 290 ein Stallstand des Fahrzeugs 290. In anderen Ausführungsbeispielen wird ein positiver Anlagenstatus dann signalisiert, wenn die Anlage 206 sich in einem ausgeschalteten Zustand befindet. Andere Definitionen, wann der Anlagenzustand zu einem positiven und wann zu einem negativen Anlagenstatus führt, sind ebenfalls möglich.
  • Die Einrichtung ist ausgebildet zum Kontrollieren des Anlagenstatus mittels des Statusgebers M. Ferner ist die Einrichtung ausgebildet zum Modifizieren der Konfiguration, wobei das Modifizieren erst bei einem Vorliegen des positiven Anlagenstatus erfolgt.
  • In 2a ist die Modifizierungseinrichtung 202 als ein von dem Anlagensteuergerät 204 getrennte Einheit dargestellt. In einem anderen Ausführungsbeispiel ist die Modifizierungseinrichtung 202 jedoch ein Bestandteil des Anlagensteuergerätes 204 selbst.
  • 2b zeigt ein anderes Ausführungsbeispiel der Einrichtung zum sicheren Modifizieren einer Konfiguration eines Anlagensteuergerätes 204 einer Anlage 206, die zusätzlich eine Bedieneinrichtung 210 umfasst.
  • Das in 2b dargestellte Ausführungsbeispiel ist hier ergänzend zu dem in 2a dargestellten Ausführungsbeispiel zu verstehen. Alle bereits in 2a vorgestellten Bestandteile der Einrichtung, die auch Bestandteil von dem in 2b dargestellten Ausführungsbeispiel der Einrichtung sind, wurden in 2b mit denselben Bezeichnern übernommen und werden an dieser Stelle nicht weiter beschrieben. Stattdessen wird im Folgenden in erster Linie auf die Unterschiede des Ausführungsbeispiels aus 2b zu dem in 2a dargestellten Ausführungsbeispiel eingegangen.
  • Das in 2b dargestellte Ausführungsbeispiel der Einrichtung umfasst zusätzlich zur Modifizierungseinrichtung 202 und zum Modifizierungsservers eine Bedieneinrichtung 210. Die Bedieneinrichtung 210 ist mit dem Modifizierungsserver S verbunden. In dem in 2b dargestellten Ausführungsbeispiel handelt es sich bei der Bedieneinrichtung 210 um ein mobiles Kommunikationsgerät. In anderen Ausführungsbeispielen ist die Bedieneinrichtung 210 jedoch ein mobiler Computer oder ein stationäres Terminal. Ferner ist in dem in 2b gezeigten Ausführungsbeispiel eine Verbindung zwischen der Bedieneinrichtung 210 und dem Modifizierungsserver S eine Drahtlosverbindung. In anderen Ausführungsbeispielen ist diese Verbindung jedoch auch drahtgebunden realisiert.
  • In dem hier gezeigten Ausführungsbeispiel ist die Modifizierungseinrichtung 202 dazu ausgebildet, ein Freigabesignal an den Modifizierungsserver S zu senden. Weiterhin ist der Modifizierungsserver S dazu ausgebildet, beim Empfang des Freigabesignals ein Schaltelement 210.1 der Bedieneinrichtung 210 freizugeben. Die Modifizierungseinrichtung 202 ist zudem dazu ausgebildet, das Modifizieren der Konfiguration des Anlagensteuergeräts 204 erst bei Erhalt eines Bestätigungssignals vom Modifizierungsserver S durchzuführen. Das Bestätigungssignal signalisiert hierbei eine Betätigung des freigegebenen Schaltelements 210.1 der Bedieneinrichtung 210, beispielsweise durch Bedienpersonal.
  • In einem anderen, in 2b nicht gezeigten Ausführungsbeispiel weist die Bedieneinrichtung 210 zusätzlich oder alternativ zur Abstandserfassungseinheit einen Kennungserfassungssensor auf und die Umgebung der Anlage 206 oder die Anlage 206 selbst eine Kennung. Die Kennung kann beispielsweise ein QR-Code sein und der Kennungserfassungssensor eine Kamera. In einer anderen Variante ist die Kennung ein RFID-Tag und der Kennungserfassungssensor ist ein RFID-Reader. Die Kennung ist dabei an der Anlage 206 oder in der Umgebung der Anlage 206, die dem Fahrzeug 290 angebracht sein. Vorzugsweise befinden sich Anlage und Kennung im einem unveränderbaren Abstand zueinander.
  • Bei diesem Ausführungsbeispiel ist das Modifizieren der Konfiguration des Anlagensteuergerätes erst nach einem Erfassen der Kennung durch den Kennungserfassungssensor möglich. Dies ermöglicht es das Modifizieren der Konfiguration nur in solchen Situationen zu erlauben, wenn die Bedieneinrichtung 210 und damit ein Bediener der Bedieneinrichtung sich in unmittelbarer Nähe der Anlage befinden.
  • In dem gezeigten Ausführungsbeispiel in 2b wird die Konfiguration eines Anlagensteuergerätes 206 nur eines Fahrzeuges 290 modifiziert. Es ist jedoch auch möglich mit der gezeigten Einrichtung die Konfigurationen von mehreren Anlagensteuergeräten einer Anzahl von Fahrzeugen gleichzeitig zu modifizieren.
  • Bezugszeichenliste
    • 100
    Einrichtung zum sicheren Modifizieren einer Konfiguration eines Anlagensteuergerätes
    102
    Modifizierungseinrichtung
    202
    Modifizierungseinrichtung
    204
    Anlagensteuergerät
    206
    Anlage
    208
    Konfigurationsmodifikation
    210
    Bedieneinrichtung
    210.1
    Schaltelement der Bedieneinrichtung
    290
    Fahrzeug
    AC
    Abbrechen des Modifizierens der Konfiguration
    B
    Erhalt eines Bestätigungssignals
    CDist
    Kontrolle des Abstandsstatus während des Modifizierens der Konfiguration
    CStat
    Kontrolle des Anlagenstatus während des Modifizierens der Konfiguration
    D
    Bereitstellen einer Konfigurationsmodifikation auf der Modifizierungseinrichtung
    Dist
    Kontrolle eines geographischen Abstands mit einem vordefinierten Oberabstand
    DistCalc
    Bestimmung eines geographischen Abstands zwischen der geographischen Position der Modifizierungseinrichtung und der geographischen Position der Bedieneinrichtung
    EDist
    Eingangskontrolle eines geographischen Abstands mit einem vordefinierten Oberabstand
    EStat
    Eingangskontrolle des Anlagenstatus
    F
    Freigabesignal der Modifizierungseinrichtung
    M
    Statusgeber
    nDist
    Vorliegen eines negativen Abstandsstatus
    nStat
    Vorliegen eines negativen Anlagenstatus
    pDist
    Vorliegen eines positiven Abstandsstatus
    pStat
    Vorliegen eines positiven Anlagenstatus
    S
    Modifizierungsserver
    Stat
    Kontrolle des Anlagenstatus mittels des Statusgebers
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • DE 102015203766 A1 [0004]
    • DE 102016201279 A1 [0005]
    • US 2018/0198846 A1 [0006]

Claims (14)

  1. Verfahren zum sicheren Modifizieren einer Konfiguration eines Anlagensteuergerätes (204) einer Anlage (206) mittels einer mit dem Anlagensteuergerät (204) verbundenen Modifizierungseinrichtung (202), aufweisend die Schritte - Verbinden der Modifizierungseinrichtung (202) über eine Drahtlosverbindung mit einem Modifizierungsserver (S); - Bereitstellen (D), insbesondere initiales Bereitstellen, einer Konfigurationsmodifikation (208) für die Modifizierungseinrichtung (202) durch den Modifizierungsserver (S); - Modifizieren der Konfiguration des Anlagensteuergeräts (204) mittels der bereitgestellten Konfigurationsmodifikation (208) durch die Modifizierungseinrichtung (202); dadurch gekennzeichnet, dass - das Verfahren weiter die Schritte aufweist: - Kontrolle (Stat) eines Anlagenstatus der Anlage (206), insbesondere mittels eines Statusgebers (M), und - das Modifizieren (Mod) der Konfiguration erst bei einem Vorliegen eines positiven Anlagenstatus (pStat) durchgeführt wird.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass der Modifizierungsserver (S) ein Cloud-Dienst und/oder die Modifizierungseinrichtung (202) ein Verbindungsgerät (Connectivity Device) und/oder das Modifizieren mittels einem Flashen einer Firmware der Anlage (206) erfolgt.
  3. Verfahren nach mindestens einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass bei einem Vorliegen des positiven Anlagenstatus (pStat) und vor dem Modifizieren der Konfiguration das Anlagensteuergerät (204) in einen flashbaren Modus versetzt wird.
  4. Verfahren nach mindestens einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass - die Modifizierungseinrichtung (202) mit einem Statusgeber (M) verbunden ist, wobei der Statusgeber (M) ausgebildet ist, einen Anlagenstatus zu signalisieren.
  5. Verfahren nach mindestens einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass ein Statusgeber (M) im Falle eines positiven Anlagenstatus (pStat) eine zur Modifikation des Anlagensteuerungsgerätes (204) geeigneten Anlagenzustand anzeigt und - im Falle eines negativen Anlagenstatus (nStat) eine zur Modifikation des Anlagensteuerungsgerätes (204) ungeeigneten Anlagenzustand anzeigt.
  6. Verfahren nach mindestens einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass eine Kontrolle (Stat) des Anlagenstatus, insbesondere mittels eines Statusgebers (M), eine Eingangskontrolle (EStat) des Anlagenstatus ist.
  7. Verfahren nach mindestens einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Kontrolle (Stat) des Anlagenstatus, insbesondere mittels eines Statusgebers (M), eine Kontrolle (CStat) des Anlagenstatus während des Modifizierens der Konfiguration ist; und das Verfahren folgenden zusätzlichen Schritt aufweist: - bei einem Vorliegen des negativen Anlagenstatus (nStat), Abbrechen (AC) des Modifizierens der Konfiguration des Anlagensteuergeräts (204) mittels der bereitgestellten Konfigurationsmodifikation (208) durch die Modifizierungseinrichtung (202).
  8. Verfahren nach mindestens einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass - eine Bedieneinrichtung (210) ebenfalls mit dem Modifizierungsserver (S) und über diesem mit der Modifizierungseinrichtung (202) verbunden ist; und - das Verfahren die Schritte aufweist: - Senden eines Freigabesignals (F) von der Modifizierungseinrichtung (202) an den Modifizierungsserver (S), welches ein Schaltelement der Bedieneinrichtung (210) freigibt; und - das Modifizieren der Konfiguration des Anlagensteuergeräts (204) erst bei Erhalt (B) eines Bestätigungssignals vom Modifizierungsserver (S), welches eine Betätigung des freigegebenen Schaltelements der Bedieneinrichtung (210) signalisiert, durchgeführt wird.
  9. Verfahren nach mindestens einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass - eine Bedieneinrichtung (210) ebenfalls mit dem Modifizierungsserver (S) und über diesem mit der Modifizierungseinrichtung (202) verbunden ist; und - die Bedieneinrichtung (210) und die Modifizierungseinrichtung (202) jeweils eine Abstandsbestimmungseinheit zur Bestimmung eines Abstandes zwischen Bedieneinrichtung (210) und Modifizierungseinrichtung (202) aufweisen, und - das Verfahren folgende Schritte aufweist: - Bestimmen (DistCalc) des Abstands zwischen der Modifizierungseinrichtung (202) und der Bedieneinrichtung (210); - Vergleich (Dist) mit einem vordefinierten Oberabstand, wobei (i) der Abstand kleiner als der oder gleich dem vordefinierten Oberabstand zu einem Signalisieren eines positiven Abstandsstatus (pDist) führt, und (ii) der Abstand größer als der vordefinierte Oberabstand zu einem Signalisieren eines negativen Abstandsstatus (nDist) führt; und - das Modifizieren der Konfiguration erst bei einem Vorliegen eines positiven Abstandsstatus (pDist).
  10. Verfahren nach Anspruch 9, dadurch gekennzeichnet, dass die Kontrolle (Dist) mit einem vordefinierten Oberabstand eine Eingangskontrolle (EDist) ist.
  11. Verfahren nach Anspruch 9, dadurch gekennzeichnet, dass die Kontrolle (Dist) mit einem vordefinierten Oberabstand eine Kontrolle (CDist) während des Modifizierens der Konfiguration ist; und das Verfahren folgenden zusätzlichen Schritt aufweist: - bei einem Vorliegen des negativen Abstandsstatus (nDist), Abbrechen (AC) des Modifizierens der Konfiguration des Anlagensteuergeräts (204) mittels der bereitgestellten Konfigurationsmodifikation (208) durch die Modifizierungseinrichtung (202).
  12. Verfahren nach Anspruch 7 oder 11, dadurch gekennzeichnet, dass das Abbrechen (AC) des Modifizierens der Konfiguration des Anlagensteuergeräts (204) mittels der bereitgestellten Konfigurationsmodifikation (208) durch die Modifizierungseinrichtung (202) in einer sicheren Modifikationsphase geschieht.
  13. Verfahren nach mindestens einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass - eine Bedieneinrichtung (210) ebenfalls mit dem Modifizierungsserver (S) und über diesem mit der Modifizierungseinrichtung (202) verbunden ist; - die Bedieneinrichtung (210) einen Kennungserfassungssensor aufweist; - die Anlage eine Kennung aufweist; und - das Modifizieren der Konfiguration erst nach einem Erfassen der Kennung durch den Kennungserfassungssensor möglich ist.
  14. Einrichtung (202) zum sicheren Modifizieren einer Konfiguration eines Anlagensteuergerätes (204) einer Anlage (206) mittels einer mit dem Anlagensteuergerät (204) verbundenen Modifizierungseinrichtung (202), wobei - die Modifizierungseinrichtung (202) über eine Drahtlosverbindung zu einem Modifizierungsserver (S) verbunden ist; und die Einrichtung ausgebildet ist zum - Bereitstellen, insbesondere initiales Bereitstellen, einer Konfigurationsmodifikation (208) für die Modifizierungseinrichtung (202) durch den Modifizierungsserver (S); - Modifizieren der Konfiguration des Anlagensteuergeräts (204) mittels der bereitgestellten Konfigurationsmodifikation (208) durch die Modifizierungseinrichtung (202); dadurch gekennzeichnet, dass - die Einrichtung ausgebildet ist zum - Kontrollieren eines Anlagenstatus der Anlage (206), insbesondere mittels eines Statusgebers (M), und - Modifizieren der Konfiguration erst bei einem Vorliegen eines positiven Anlagenstatus (pStat).
DE102019131766.5A 2019-11-25 2019-11-25 Verfahren zum sicheren Modifizieren einer Konfiguration eines Anlagensteuergerätes mittels einer Modifizierungsvorrichtung sowie einer Einrichtung zum sicheren Modifizieren einer Konfiguration eines Anlagensteuergerätes Active DE102019131766B8 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102019131766.5A DE102019131766B8 (de) 2019-11-25 2019-11-25 Verfahren zum sicheren Modifizieren einer Konfiguration eines Anlagensteuergerätes mittels einer Modifizierungsvorrichtung sowie einer Einrichtung zum sicheren Modifizieren einer Konfiguration eines Anlagensteuergerätes

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102019131766.5A DE102019131766B8 (de) 2019-11-25 2019-11-25 Verfahren zum sicheren Modifizieren einer Konfiguration eines Anlagensteuergerätes mittels einer Modifizierungsvorrichtung sowie einer Einrichtung zum sicheren Modifizieren einer Konfiguration eines Anlagensteuergerätes

Publications (3)

Publication Number Publication Date
DE102019131766A1 true DE102019131766A1 (de) 2021-05-27
DE102019131766B4 DE102019131766B4 (de) 2021-09-23
DE102019131766B8 DE102019131766B8 (de) 2021-10-14

Family

ID=75784250

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102019131766.5A Active DE102019131766B8 (de) 2019-11-25 2019-11-25 Verfahren zum sicheren Modifizieren einer Konfiguration eines Anlagensteuergerätes mittels einer Modifizierungsvorrichtung sowie einer Einrichtung zum sicheren Modifizieren einer Konfiguration eines Anlagensteuergerätes

Country Status (1)

Country Link
DE (1) DE102019131766B8 (de)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080062981A1 (en) * 2006-09-12 2008-03-13 Bernhard Gerstenkorn Method for modernizing the control of an elevator system
US20150269467A1 (en) * 2014-03-24 2015-09-24 Exogal, LLC Retrieving remotely stored information
DE102016201279A1 (de) * 2016-01-28 2017-08-03 Robert Bosch Gmbh Verfahren und Vorrichtung zum Überwachen einer Aktualisierung eines Fahrzeuges
US20180198846A1 (en) * 2017-01-10 2018-07-12 Cummins Inc. Wireless ecu configuration updating
US20190108010A1 (en) * 2017-10-11 2019-04-11 Ford Global Technologies, Llc Hybrid electric vehicle with automated software update system

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102015203766A1 (de) 2015-03-03 2016-09-08 Robert Bosch Gmbh Teilsystem für ein Fahrzeug und entsprechendes Fahrzeug

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080062981A1 (en) * 2006-09-12 2008-03-13 Bernhard Gerstenkorn Method for modernizing the control of an elevator system
US20150269467A1 (en) * 2014-03-24 2015-09-24 Exogal, LLC Retrieving remotely stored information
DE102016201279A1 (de) * 2016-01-28 2017-08-03 Robert Bosch Gmbh Verfahren und Vorrichtung zum Überwachen einer Aktualisierung eines Fahrzeuges
US20180198846A1 (en) * 2017-01-10 2018-07-12 Cummins Inc. Wireless ecu configuration updating
US20190108010A1 (en) * 2017-10-11 2019-04-11 Ford Global Technologies, Llc Hybrid electric vehicle with automated software update system

Also Published As

Publication number Publication date
DE102019131766B8 (de) 2021-10-14
DE102019131766B4 (de) 2021-09-23

Similar Documents

Publication Publication Date Title
EP3393859B1 (de) Verfahren zur modifikation safety- und/oder security-relevanter steuergeräte in einem kraftfahrzeug, und eine diesbezügliche vorrichtung
EP2705430A1 (de) System zur diagnose einer komponente in einem fahrzeug
DE102018214999A1 (de) Vorrichtung zur Absicherung von Diagnosebefehlen an ein Steuergerät und entsprechendes Kraftfahrzeug
DE102017217668A1 (de) Verfahren und zentrale Datenverarbeitungsvorrichtung zum Aktualisieren von Software in einer Vielzahl von Fahrzeugen
DE102016124352A1 (de) Kommunikationssystem und ein in dem Kommunikationssystem ausgeführtes Informationssammelverfahren
DE102018000579A1 (de) Überwachen einer Funktionsbereitschaft eines elektrischen Gerätes
DE112013003521B4 (de) Verfahren und Vorrichtung zum Austausch von Daten in einem Kraftfahrzeug zum Betreiben eines Aktors einer automatisierten Reibungskupplung und/oder eines automatisierten Getriebes
DE112013003240B4 (de) Verfahren zur Steuerung eines Kraftfahrzeuggetriebes
DE102007062763A1 (de) Verteiltes Diagnosesystem mit einem einzelnen Diagnose-Protokollserver und mehreren Datenquellen-Modulen für Verbrennungsmotoren
DE102012218252B4 (de) Verfahren zur Inbetriebnahme eines Fahrzeuggetriebes und/oder einer Fahrzeugkupplung
DE102015217275A1 (de) Verfahren und Vorrichtung zum Bestimmen, ob ein Kraftfahrzeug momentan manuell oder automatisch geführt wird
DE102019131766B4 (de) Verfahren zum sicheren Modifizieren einer Konfiguration eines Anlagensteuergerätes mittels einer Modifizierungsvorrichtung sowie einer Einrichtung zum sicheren Modifizieren einer Konfiguration eines Anlagensteuergerätes
DE102019004612A1 (de) Verfahren zum Betreiben eines Fahrzeugs mit einem Steuergerät
DE102017112817A1 (de) Inbetriebnahme-Steuergerät eines Verbunds aus Steuergeräten eines Kraftfahrzeugs und Verfahren zur Inbetriebnahme von Steuergeräten
WO2014131538A1 (de) Verfahren zur einrichtung und bzw. oder aktualisierung einer programmierung eines steuergerätes eines verkehrsmittels
EP3132322B1 (de) Verfahren zur diagnose eines kraftfahrzeugsystems, diagnosegerät für ein kraftfahrzeugsystem, steuergerät für ein kraftfahrzeugsystem und kraftfahrzeug
DE102019132428A1 (de) Funktionsorientierte Elektronik-Architektur
DE102019000629A1 (de) Verfahren zum Betrieb eines Parkassistenzsystems eines Fahrzeuges
DE102014002723A1 (de) Diagnosesystem für Kraftfahrzeuge
DE102018124183A1 (de) Verfahren zur Aktualisierung von Daten eines Steuergeräts eines Fahrzeuges
DE102016116168A1 (de) Fahrzeug, System und Verfahren zur Aktualisierung der Firmware einer Fahrzeugkomponente
DE102016202524A1 (de) Verfahren zur Programmierung eines Steuergeräts eines Kraftfahrzeugs
DE10032080A1 (de) Verfahren und Prüfsteuergerät zur Einbaukontrolle von elektrischen Komponenten in einem Kraftfahrzeug
DE102016206489A1 (de) Verfahren zur Programmierung von Steuergeräten eines Kraftfahrzeugs
DE102014018461A1 (de) Verfahren zum Betrieb eines Fehlerspeichers eines Kraftfahrzeugs und Kraftfahrzeug

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R081 Change of applicant/patentee

Owner name: ROLLS-ROYCE SOLUTIONS GMBH, DE

Free format text: FORMER OWNER: MTU FRIEDRICHSHAFEN GMBH, 88045 FRIEDRICHSHAFEN, DE

R020 Patent grant now final