SOFTWAREAKTUALISIERUNGEN EINES STEUERGERÄTS

Beschreibung

Titel

Steuergerät

Die Erfindung betrifft ein Steuergerät zur Steuerung einer Komponente eines Kraftfahrzeugs und ein Verfahren zum Betrieb eines Steuergeräts, welches eine Komponente eines Kraftfahrzeugs steuert.

Stand der Technik

Steuergeräte im Kraftfahrzeugbereich sind heute üblicherweise programmierbar ausgebildet. Die bekannten Steuergeräte weisen eine Steuergerätesoftware auf, die, insbesondere mittels Softwareupdates, aktualisiert oder geändert werden kann. Ein Update der Software kann über spezielle Schnittstellen des Steuerge räts erfolgen. Die Steuergeräte sind über die speziellen Schnittstellen mit dem Kommunikationsbus des Fahrzeugs verbunden. Um auf das Steuergerät ein Softwareupdate aufzuspielen, ist gewöhnlich der Einsatz von speziell dafür aus gelegtem Werkstattequipment notwendig. Auch sind alternative Verfahren und Vorrichtungen bekannt, die ein Updaten der Software mittels direktem Verbinden mit dem Steuergerät ermöglichen, beispielsweise über den Versorgungsstecker, einen Programmierstecker, durch das Öffnen des Steuergeräts oder die direkte Kontaktierung.

Bisher ist bekannt ein Aufspielen von Softwareupdates beispielsweise mittels ei nes Passworts oder einer Sicherheitsabfrage zu beschränken.

Offenbarung der Erfindung

Besonders vorteilhaft ist, dass ein Steuergerät zur Steuerung einer Komponente eines Kraftfahrzeugs, insbesondere eines Elektromotors, eines Ventils, einer Pumpe, eines Lüfterantriebs, insbesondere für HVAC Anwendungen oder zur An triebssystemtemperierung, vorgesehen ist. Im Folgenden wird unter Steuern und Steuerung auch immer ein Regeln und eine Regelung verstanden. Gleiches gilt auch für ein Steuergerät, welches auch ein Regelgerät umfasst. Auch wird unter Software die Steuergerätesoftware, bzw. Firmware verstanden. Entsprechend wird unter einem Softwareupdate ein Steuergerätesoftwareupdate bzw. ein Firm wareupdate verstanden.

Das Steuergerät weist einen Prozessor, insbesondere einen Mikroprozessor, und/oder einen Mikrokontroller auf. Der Mikrokontroller umfasst den Prozessor, insbesondere den Mikroprozessor. Ferner weist das Steuergerät eine Schnitt stelle auf, die derart ausgebildet ist, dass mittels der Schnittstelle ein Softwareup date für das Steuergerät empfangen, insbesondere eingespielt, werden kann. Weiterhin ist die Schnittstelle ausgebildet, Signale, insbesondere Befehle oder Informationen, zu empfangen und/oder zu senden.

Von Vorteil ist, dass das Steuergerät einen Sperrmechanismus aufweist. Der Sperrmechanismus unterbindet, insbesondere verhindert, nach seiner Aktivie rung das Einspielen eines Softwareupdates. Nach der Aktivierung des Sperrme chanismus ist ein Einspielen und ein Verändern der Software und/oder Parame ter, insbesondere Einstellungen, des Steuergeräts und insbesondere des Prozes sors und/oder des Mikrokontrollers nicht möglich. Der Sperrmechanismus kann zeitgesteuert, eventgesteuert und/oder signalgesteuert aktivierbar sein. Vorzugs weise erfolgt die Aktivierung durch den Prozessor oder den Mikrokontroller.

Vorteilhaft ist, dass der Prozessor und der Mikrokontroller die Überprüfung der für die Aktivierung des Sperrmechanismus wichtigen Bedienungen übernimmt. Der Mikrokontroller oder Prozessor prüft, ob eine oder mehrere, insbesondere zuvor definierte, Bedienungen, ein oder mehrere Ereignisse, ein oder mehrere Events und/oder eine Kombination eingetreten ist und/oder ob eine definierte Zeit abgelaufen und/oder ein Signal eingegangen ist. Ist eines der Bedingungen in der vordefinierten Häufigkeit oder dem vordefinierten Zeitpunkt eingetreten wird der Sperrmechanismus aktiviert. Auch ist denkbar, dass die Aktivierung auf Basis einer Kombination von Bedienungen und Ereignissen erfolgt. Auch kann die Akti vierung erfolgen, wenn nach dem Eintreten eines Ereignisses eine definierte Zeit verstrichen ist. Wobei die Zeit nur unter definierten Bedingungen verstreicht.

Eine vorteilhafte Weiterbildung ist, dass die Aktivierung durch die Schnittstelle er folgt. Eine Aktivierung durch die Schnittstelle selbst ist vorteilhaft, wenn eine sig nalabhängige Aktivierung gewünscht ist. Die Schnittstelle kann somit selbststän dig, wenn sie eine gewünschte Anzahl eines definierten Signals, insbesondere Datenpakets, empfängt, den Sperrmechanismus aktivieren. Es ist keine, bzw. nur eine geringe Prozessorleistung hierfür notwendig. Die Schnittstelle wertet insbe sondere die eintreffenden Datenpakte aus. Insbesondere kann die Aktivierung erfolgen, wenn die Schnittstelle Signale, insbesondere Datenpakte, erkennt, wel che übertragen werden, wenn das Fahrzeug erstmalig, insbesondere von einem Kunden, gefahren wird.

Eine vorteilhafte Weiterbildung ist, dass die Schnittstelle ausgebildet und/oder eingerichtet ist, bei aktiviertem Sperrmechanismus eine Kommunikation über die Schnittstelle zu ermöglichen, insbesondere zu erlauben. Die Schnittstelle, kann trotz der Aktivierung weiterhin zur Kommunikation mit dem Steuergerät genutzt werden. Es können beispielsweise Steuerbefehle, interne Daten, Rückverfolgbar keitsdaten, Statusinformationen und/oder Gerätekonfigurationen übertragen, ins besondere an das Steuergerät gesendet oder von diesem empfangen werden.

Gemäß einer vorteilhaften Weiterbildung werden Firmware, bzw. Software updates und/oder Parameteränderungen und/oder Änderungen der Einstellun gen, insbesondere durch den Prozessor und/oder den Mikroprozessor, unter drückt. Vorzugsweise ist nach der Aktivierung des Sperrmechanismus nur das Einspielen eines Softwareupdates und/oder das Ändern von Parametern und/o der Einstellungen unterbunden, alle weitere Kommunikation ist möglich. Vorteil haft ist, dass keine weitere Schnittstelle zur Kommunikation benötigt wird.

Gemäß einer vorteilhaften Weiterbildung verweigert die Schnittstelle, der Prozes sor und/oder der Mikroprozessor die Annahme von Signalen, insbesondere Da tenpaketen, welche Firmware und/oder Softwarebestandteile enthalten, welche die Betriebssoftware verändern. Auch werden Datenpakete, welche die Einstel lungen und/oder Parameter verändern, verweigert. Unter verweigern wird insbe sondere das nicht annehmen, aber auch das Ablehnen, oder das direkt löschen verstanden.

Gemäß einer Weiterbildung ist bei aktiviertem Sperrmechanismus der Bootloader deaktiviert. Der Bootloader wird nicht ausgeführt. Das nicht ausführen des Boot- loaders verhindert ein Einspielen eines Software- und/oder Firmware-Updates.

Gemäß einer Weiterbildung lehnt der Bootloader, bei aktiviertem Sperrmechanis mus, die Ausführung eines Softwareupdates, eines Firmwareupdate oder die Än derung von Parametern ab.

Gemäß einer Weiterbildung ist bei aktiviertem Sperrmechanismus, das Schrei ben in Datenspeicherbausteine, insbesondere in denen Parameter, Einstellungen und/oder die Software, bzw. Firmware abgespeichert ist, unterbunden. Es kön nen keine Änderungen in diesen Speicherbausteinen vorgenommen werden. Vorzugsweise ist das Speichern in persistenten Datenspeicher unterbunden, ins besondere nicht möglich. Es ist eine einfache Umsetzung möglich.

Eine vorteilhaft Weiterbildung ist, dass die Schnittstelle ausgebildet ist, das Steu ergerät mit dem Fahrzeug zu verbinden. Vorzugsweise ist die Schnittstelle derart ausgebildet, dass sie eine Verbindung mit im Kraftfahrzeug verwendeten Bussys tem ermöglicht. Solche Bussysteme sind insbesondere CAN, LIN, Powertrain, x- by-wire, TTP/B, MOST, D2B, FlexRay- Bussysteme. Das Steuergerät kann vor teilhaft in die bestehende Systemarchitektur eingebunden werden.

Als vorteilhaft Weiterbildung ist anzusehen, dass der Sperrmechanismus durch die Schnittstelle umgesetzt ist. Nach Aktivierung des Sperrmechanismus ist ein Einspielen eines Softwareupdates in das Steuergerät unterbunden, insbesondere verhindert.

Eine besonders vorteilhaft Weiterbildung ist, dass der Sperrmechanismus durch den Prozessor, insbesondere den Mikrokontroller selbst erfolgt. Der Sperrmecha- nismus ist direkt in dem Prozessor oder dem Mikrokontroller umgesetzt. Der Pro zessor, bzw. der Mikroprozessor unterbindet die Annahme und das Einspielen eines Softwareupdates. Insbesondere nimmt die Schnittstelle, der Prozessor und/oder der Mikroprozessor die Softwareupdatedatenpakete zwar an, jedoch verwirft diese. Es kann verhindert werden, dass das Softwareupdate trotz akti viertem Sperrmechanismus in den Mikrokontroller oder den Prozessor einge spielt wird. Insbesondere nachträglich eingespielte Softwareupdates können so verhindert werden.

Eine Vorteilhafte Weiterbildung ist, dass der Sperrmechanismus softwareseitig ausgeführt ist. Das Steuergerät ist derart ausgebildet und/oder eingerichtet das es die eingehenden Datenpakete analysieren und auswerten kann.

Eine vorteilhaft Weiterbildung ist, dass ein Gehäuse vorgesehen ist. Der Prozes sor, der Mikrokontroller und/oder die Schnittstelle sind innerhalb des Gehäuses angeordnet. Vorzugsweise ist der Sperrmechanismus durch mindestens ein zu sätzliches elektrisches Bauteil ausgebildet. Es kann vorteilhaft verhindert werden, dass ein Update mittels Manipulation einspielbar ist. Auch kann verhindert wer den das mittels Manipulation die Aktivierung des Sperrmechanismus aufhebbar ist.

Eine vorteilhafte Weiterbildung ist, dass die Schnittstelle ausgebildet ist, Signale auf dem Fahrzeugbus mittels der Schnittstelle zu empfangen und zu senden. Der Prozessor und/oder der Mikrokontroller sind ausgebildet, die Signale auszuwer ten und in Abhängigkeit von definierten Ereignisse, und/oder empfangenen Sig nalen und/oder einer Kombination daraus den Sperrmechanismus zu aktivieren. Vorzugsweise erfolgt die Erfassung und Überwachung der Fahrzeugsignale um den Sperrmechanismus zu aktivieren. Es können Bedingungen definiert werden, die beispielsweise von anderen Fahrzeugdaten oder Betriebsinformationen ab hängig sind. Vorzugsweise ist die Aktivierung des Sperrmechanismus abhängig von der Anzahl an empfangenen Signalen und/oder eingetretenen Ereignissen oder einer zuvor definierten Zeit seitdem eintreten eines Ereignisses und/oder dem Empfang eines Signals. Eine vorteilhaft Weiterbildung ist, dass das Steuergerät ausgebildet ist den Sperr mechanismus, während oder nach der Produktion des Steuergeräts, und/oder während oder nach der Fahrzeugproduktion und/ oder beim erstmaligen nutzen des Fahrzeugs durch den Endkunden, zu aktivieren. Insbesondere kann der Sperrmechanismus nach einer definierten zeitlichen Nutzung, insbesondere x- Stunden, aktiviert werden. Vorzugsweise ergeben sich hierbei Möglichkeit das bis zu einem gewünschten Zeitpunkt noch das Einspielen von Softwareupdates möglich sind. Insbesondere ist so beispielsweise noch das Einspielen von Soft wareupdates bis zur Fertigstellung des Steuergeräts oder des Fahrzeugs mög lich. Erst mit dem Eintreten einer der Bedingungen wird das Einspielen von Soft wareupdates verhindert, insbesondere unterbunden.

Die Erfindung betrifft weiterhin ein Verfahren zum Betrieb eines Steuergeräts, welches ausgebildet ist eine Komponente eines Kraftfahrzeugs zu steuern. Das Verfahren umfasst die folgenden Schritte:

• Erfassung, ob das Steuergerät mittels aktiviertem Sperrmechanismus bereits gesperrt ist,

• Aktivieren des Sperrmechanismus des Steuergeräts, welcher das Einspielen von Updates unterbindet, wenn ermittelt wird, dass ein oder eine vordefinierte Anzahl an Ereignissen eingetreten, eine vordefinierte Zeit vergangen und/o der eine vordefinierte Anzahl an vordefinierten Signale empfangen wurde.

Eine vorteilhaft Weiterbildung des Verfahrens ist, dass der Sperrmechanismus aktiviert wird, wenn eine oder mehrere Bedingungen erfüllt werden. Die Bedie nungen können hierbei der Empfang eines oder mehrere Signale, insbesondere eines Befehls oder einer Information, das Eintreten eines oder mehrerer Ereig nisse, insbesondere die Benutzung des Fahrzeugs durch den Endkunden und/o der der Ablauf einer definierten Zeit. Vorzugsweise erfolgt die Aktivierung als Re aktion auf eine Kombination von eingetretenen Bedienungen.

Eine vorteilhafte Weiterbildung ist, dass nach der Aktivierung des Sperrmecha nismus die Schnittstelle weiterhin zur Kommunikation, insbesondere zum Emp fangen oder Senden von Steuerbefehlen, interne Daten, Rückverfolgbarkeitsda ten, Statusinformationen und/oder Gerätekonfigurationen verwendbar ist. Es wird keine weitere Schnittstelle zur Kommunikation benötigt. Vorteilhaft umfasst das Verfahren die Erfassung, ob das Kraftfahrzeugs genutzt wird, insbesondere durch Auswertung das Signal, welche von der Schnittstelle empfangen werden.

Gemäß einer Weiterbildung des Verfahrens umfassen Softwareupdates auf Pa rameteränderungen und Einstellungsänderungen.

Eine vorteilhafte Weiterbildung zeichnet sich dadurch aus, dass das Verfahren bei jedem an der Schnittstelle empfangenen Signale durchlaufen wird, und dass insbesondere bei aktiviertem Sperrmechanismus der Durchlauf des Verfahrens beendet wird, und dass vorzugsweise die Signale ausgewertet wird. Somit muss das gesamte Verfahren zur Aktivierung des Sperrmechanismus nicht durchlaufen werden. Gemäß einer Weiterbildung wird das Verfahren nicht mehr durchlaufen, wenn der Sperrmechanismus aktiviert ist.

Eine vorteilhafte Weiterbildung ist, dass ein aktivierter Sperrmechanismus nicht deaktiviert werden kann. Die unterbundene Software Updatefähigkeit lässt sich nicht wieder herstellten.

Die Erfindung wird im Folgenden näher beschrieben. Es zeigen

Figur 1 eine erfindungsgemäße Steuereinrichtung und

Figur 2 ein Ablaufdiagramm mit dem erfindungsgemäßen Verfahren.

In Figur 1 ist ein erfindungsgemäßes Steuergerät 1 dargestellt. Das Steuergerät 1 ist ausgebildet eine Komponente eines Kraftfahrzeugs zu steuern, bzw. zu re geln. Unter einer Komponente 10 eines Kraftfahrzeugs kann insbesondere ein Elektromotor, eine Pumpe, ein Ventil, ein Lüftermotor, insbesondere für HVAC Anwendungen und/oder zur Antriebssystemtemperierung, verstanden werden. Vorzugsweise handelt es sich bei den hier genannten Komponenten um Versor gungseinheiten bzw. Kleinstantriebe, die dafür vorgesehen sind den Betrieb des Antriebsmotors, des Inverters und/oder des Akkus bei einem elektrisch angetrie benen Fahrzeug zu versorgen, insbesondere zu unterstützen. Auch können sol- che Kleinstantriebe bzw. Versorgungseinheiten bei Fahrzeugen mit einem Ver brennungsmotor oder einem anderen Antrieb, beispielsweise Wasserstoffbasier ten Antriebssystem zum Einsatz kommen. Auch können die Komponenten 10 Teil des HVAC System des Fahrzeugs sein oder zur Kühlung oder Erwärmung von weiteren Kraftfahrzeugkomponenten, insbesondere Komponenten des An triebs, verwendet werden.

Gemäß einer Weiterbildung handelt es sich um den Fahrzeugantrieb selbst, oder einzelne Komponenten des Fahrzeugantriebs.

Gemäß einer Weiterbildung der Erfindung handelt es sich bei den Komponenten 10 um elektrisch kommentierte Elektromotoren. Diese elektrisch kommutierten Elektromotoren können auch als Antrieb von Pumpen, Ventilen, Lüftern und/oder Kompressoren eingesetzt werden. Der elektrisch kommutierte Elektromotor weist insbesondere mindestens drei Motorphasen auf. Die Motorphasen werden derart von Strom durchströmt, dass sich ein umlaufendes elektrisches Feld ausbildet, welches die Magnete des Rotors mitreißen. Das umlaufende elektrische Feld be wirkt eine Drehbewegung des Rotors.

Die Ansteuerung des elektrisch kommutierten Elektromotors, also der elektrisch kommutierten Komponente 10, erfolgt mittels einer Endstufe. Die Endstufe ver fügt über elektronische Schalter, die insbesondere einen B6 Anordnung aufwei sen. Die elektronischen Schalter sind vorzugsweise als Leistungstransistoren o- der MosFets ausgebildet. Die elektronischen Schalter werden von einem Steuer signal angesteuert. In Abhängigkeit von dem Steuersignal wird der Strom gere gelt, der durch die drei Phasen und damit durch Wicklungen des Elektromotors fliesen. Die Steuersignale werden von dem Steuergerät 1 bereitgestellt.

Das Steuergerät 1 umfasst eine Schnittstelle 20 und einen Prozessor 30, insbe sondere einen Mikroprozessor. Die Schnittstelle 20 ist derart ausgebildet, dass sie verbunden mit dem Kommunikationsnetz des Kraftfahrzeugs eine Kommuni kation über dieses erlaubt. Kommunikationsnetze im Kraftfahrzeugbereich sind insbesondere Bussysteme, vorzugsweise, CAN-, LIN-, Powertrain-, x-by-wire-, TTP/B-, MOST-, D2B- oder FlexRay- Bussysteme. Die Schnittstelle 20 erlaubt das empfangen und Senden von Befehlen. Weiterhin ist die Schnittstelle 20 aus gebildet, Softwareupdates zu empfangen. Die Schnittstelle kann erfindungsge mäß auch drahtlos kommunizieren, insbesondere mittels Bluetooth, Wifi, Zigbee, Funk und/oder Z-Wave.

Der Prozessor 30, insbesondere der Mikroprozessor, ist ein programmierbares Rechenwerk bestehend aus elektrischen Schaltungen. Im Folgenden wird untere einem Prozessor auch ein Mikroprozessor oder dergleichen verstanden. Der Pro zessor 30 ist derart ausgebildet das er in Abhängigkeit von Befehlen andere Ma schinen oder elektrische Schaltungen steuert und dabei einen Algorithmus voran treibt. Die Befehle empfängt der Prozessor 30 über die Schnittstelle 20. Die Schnittstelle 20 und der Prozessor 30 sind derart verbunden, dass eine Kommu nikation von der Schnittstelle zum Prozessor 30 und umgekehrt möglich ist. Vor zugsweise ist die Schnittstelle 20 Teil des Prozessors 30.

Gemäß einer Weiterbildung der Erfindung weist das Steuergerät 1 einen Mikro controller 40 auf. Bei dem Mikrocontroller 40 handelt es sich um ein Halbleiter chip, der den Prozessor 30 und gleichzeitig auch Peripheriefunktionen enthält. Vorzugsweise befindet sich auch der Arbeits-und Programmierspeicher teilweise oder komplett auf ein und demselben Chip. Auch kann der Mikrocontroller kom plexe Peripheriefunktionen, wie beispielsweise die Schnittstelle 20 umfassen.

Gemäß einer Weiterbildung der Erfindung kann die Endstufe 50 eine Peripherie funktion des Mikrocontrollers 40 sein. Der Mikrocontroller 40 umfasst insbeson dere die Endstufe 50.

Das Steuergerät 1 ist ausgebildet Softwareupdates durchzuführen. Die Software updates werden insbesondere über die Schnittstelle 20 in das Steuergerät 1, bzw. den Mikrokontroller und/oder Prozessor eingespielt. Vorzugsweise verän dern und/oder aktualisieren die Softwareupdates die Software des Prozessors 30 und/oder des Mikrokontrollers 40. Das Softwareupdate kann zum Beispiel eine Änderung des Ansteuerverhaltens der Komponente bewirken. Vorzugsweise werden die Softwareupdates über die Schnittstelle in einen Speicher, der mit dem Prozessor und/oder dem Mikrokontroller zusammenwirkt eingespeichert.

Die Softwareupdates werden insbesondere mittels eines Bootloaders eingespielt. Der Bootloder führt das Softwareupdate durch, in dem er die bisherigen Daten speicherstellen der Software mit der neuen Software überschreibt. Das Software update wird insbesondere installiert.

Unter Software ist die Firmware bzw. die Betriebssoftware, welche zum Betrieb des Prozessors, bzw. der Komponente benötigt wird, zu verstehen.

Das Steuergerät 1 weist einen Sperrmechanismus auf, der es ihm erlaubt nach Aktivierung das Einspielen von Softwareupdates zu unterbinden. Ist der Sperr mechanismus aktiviert, kann die Software des Steuergeräts 1 nicht aktualisiert oder verändert werden. Vorzugsweise können definierte Paramater und/oder Va riablen nicht mehr verändert werden. Insbesondere ist ein verändern von nicht flüchtigen oder persistenten Speicher verhindert. Das Steuergerät ist ausgebildet nach Aktivierung die Veränderung von definierten Parametern und/oder Variab len zu unterbinden. Das Steuergerät 1, insbesondere die Schnittstelle verhindert nach dem Aktivieren des Sperrmechanismus das Einspielen eines Software updates. Unter einem Softwareupdate wird hier auch immer ein Firmwareupdate verstanden. Dennoch kann trotz aktiviertem Sperrmechanismus die Schnittstelle weiterhin zur Kommunikation und damit zum Austausch von Daten verwendet werden.

Gemäß einer ersten Ausführungsform ist der Sperrmechanismus Teil der Schnitt stelle 20. Die Schnittstelle 20 umfasst somit den Sperrmechanismus. Ist der Sperrmechanismus aktiviert verhindert die Schnittstelle 20 ein Weiterleiten des Softwareupdates an den Prozessor 30 oder den Mikrocontroller 40, oder den Da tenspeicher, in dem die Software hinterlegt, bzw. abgespeichert, ist.

Gemäß einer zweiten Ausführungsform ist der Sperrmechanismus Teil des Pro zessors 30 und/oder des Mikrocontroller 40. Ist der Sperrmechanismus aktiviert, verhindert der Prozessor 30 und/oder der Mikrocontroller 40 das Einspielen eines Softwareupdates. Vorzugsweise verhindert er die Ausführung bzw. das Starten eines Softwareupdates. Ferner wird verhindert, dass der Bootloader ausgeführt wird, der das Softwareup date ermöglicht, insbesondere durchführt. Das System springt bei aktiviertem Sperrmechanismus den Bootloader nicht mehr an.

Ein verändern der Software des Steuergeräts 1 wird nach Aktivierung des Sperr mechanismus unterbunden, bzw. verhindert. Auch wird verhindert, dass Ergän zungen der Software, bspw. neue Module, die ein Erweitern des Funktionsum fangs ermöglichen, oder dergleichen eingespielt werden können.

Der Mikrocontroller 40 und der Prozessor 30 sind ausgebildet über die Schnitt stelle 20 mit weiteren Komponenten 10 des Fahrkraftfahrzeugs zu kommunizie ren. Der Mikrocontroller 40 und der Prozessor 30 können über die Schnittstelle 20 Signale, insbesondere Informationssignale und/oder Befehlssignale, empfan gen und/oder senden. Auch können interne Daten von dem Steuergerät wie, Spannungen, Verbrauch, Testergebnisse und/oder Messzeiten ausgelesen wer den. Auch können Traceability- Daten, wie insbesondere Produktionsdaten, Infor mationen über Werk, Linie, Datum, Zeitstempel, Produktionsschritte, TTNR, Ge rätekonfiguration, Status, Zeitpunkt der Aktivierung des Sperrmechanismus aus gelesen werden. Der Prozessor 30 und/oder Mikrocontroller 40 sind ausgebildet, die empfangenen Signale auszuwerten und zu verarbeiten und die Komponente entsprechend anzusteuern.

Der Sperrmechanismus wird insbesondere zeitabhängig, in Abhängigkeit von de finierten Ereignissen, empfangenen Signalen oder einer Kombination daraus akti viert.

Eine zeitabhängige Aktivierung des Sperrmechanismus kann beispielsweise nach einer definierten Zeit erfolgen. Eine solche Zeit kann beispielsweise die Be triebszeit des Kraftfahrzeugs sein. Insbesondere kann insbesondere nach X- Stunden Betriebszeit die Aktivierung erfolgen. Es wird verhindert, dass die Akti vierung bereits während der Produktion erfolgt.

Eine Aktivierung des Sperrmechanismus kann in Abhängigkeit von einem Signal, beispielsweise wenn ein spezifisches Signal am angeschlossenen Fahrzeugbus erkannt wird, erfolgen und/oder wenn eine Kombination von Signalen am Steuer gerät 1 erkannt wird und/oder wenn ein Signal erkannt wird, das signalisiert, dass das Fahrzeug die Produktionsphase beendet hat und/oder wenn mittels eines Signals erkannt wird, dass die Komponente erstmalig in Betrieb genommen wurde und/oder dass der Herstellungsprozess für die Komponente erfolgreich abgeschlossen wurde und/oder wenn erkannt wird, dass das Fahrzeug eine ge wisse Geschwindigkeit überschritten hat.

Ferner kann die Aktivierung des Sperrmechanismus in Abhängigkeit von der An zahl und/oder Art der erkannten Bussignale, insbesondere Datenpakete, erfol gen. Hierzu zählt beispielsweise das Steuergerät 1 die Anzahl der Bussignale, insbesondere die Anzahl spezieller Bussignale, welches es über die Schnittstelle 20 empfängt. Wird ein zuvor definierter Wert überschritten, wird der Sperrmecha nismus aktiviert.

Vorzugsweise erfolgt die Aktivierung am Ende Produktion, insbesondere vor der Auslieferung zum OEM, dem TIER oder dem Endkunden.

Die Erkennung von Ereignissen kann ebenfalls zur Aktivierung des Sperrmecha nismus verwendet werden.

Beispielsweise erfolgt die Aktivierung des Sperrmechanismus nach dem die Komponente im Kraftfahrzeug für eine definierte Mindestzeit im Betrieb war. Es werden die Fahrzeugbussignale an der Schnittstelle 20 des Steuergeräts 1 aus gewertet. Solange die Fahrzeugbussignale erkannt werden, wird ein Zeitzähler im Steuergerät 1 inkrementiert. Nach dem Erreichen eines Grenzwerts wird der Sperrmechanismus aktiviert. Wird beispielsweise vom Komponentenhersteller oder vom Fahrzeughersteller andere Signale während der Produktion verwendet, so wird der Zähler nicht inkrementiert. Für den Hersteller der Komponente ist es möglich bis zur Aktivierung des Sperrmechanismus Softwareupdates beliebig oft einzuspielen. Ferner kann der Fahrzeughersteller, insbesondere während der Produktion, Softwareupdates beliebig oft einspielen.

Weiterbildend kann eine Kombination der zuvor genannten erkannten Signale, Ereignisse und/oder Betriebszeiten zu einer Aktivierung des Sperrmechanismus verwendet werden. Insbesondere kann auch eine Aktivierung von verschiedenen Kriterien und/oder Bedienungen, die mittels oder miteinander verknüpft sind, er folgen. Beispielsweise kann eine Aktivierung erfolgen, wenn eine gewisse Anzahl an Bussignale durch die Schnittstelle 20 empfangen wurden. Gleichzeitig kann auch eine Aktivierung erfolgen, wenn das Kraftfahrzeug zum ersten Mal eine ge wisse Geschwindigkeit überschreitet. Je nachdem welcher der Bedingungen zu erst eintritt, erfolgt die Aktivierung aufgrund des Eintretens dieser Bedingungen.

Gemäß einer Weiterbildung der Erfindung kann die Aktivierung des Sperrmecha nismus in Abhängigkeit von der Anzahl, der durchgeführten Softwareupdates er folgen. Somit wäre es insbesondere möglich, dass beispielsweise der Kompo nentenhersteller ein oder mehrere Softwareupdates und der Autohersteller eben falls ein oder mehrere Softwareupdates einspielen können.

Gemäß einer Weiterbildung der Erfindung weist das Steuergerät 1 ein Gehäuse auf. Der Prozessor 30 und der Mikrocontroller 40 sind innerhalb des Gehäuses angeordnet. Das Gehäuse ist mit einer Gussmasse ausgegossen. Die Guss masse härtet nach dem eingießen aus. Die Gussmasse bewirkt, dass eine Kon taktierung, insbesondere eine direkte Kontaktierung mit den Pins des Prozessors 30 oder des Mikrocontrollers 40, sodann nur möglich ist, wenn die Fokusmasse entfernt und dabei beschädigt wird.

In Figur 2 ist das erfindungsgemäße Verfahren 100 dargestellt. Im Verfahrens schritt 105 wird das Verfahren gestartet. Ein solcher Start ist beispielsweise beim Anlassen des Motors oder kurz vor dem Losfahren durch den Fahrer des Kraft fahrzeugs gegeben. Es ist gegeben, wenn ein neues Signal, insbesondere Da tenpaket an der Schnittstelle eintrifft. Aber auch bei Testläufen in der Produktion wird das Verfahren ausgeführt. Generell kann das Verfahren immer ausgeführt werden, wenn das Kraftfahrzeug verwendet wird.

In Verfahrensschritt 110 wird geprüft, ob der Sperrmechanismus bereits aktiviert ist, bzw. aktiviert wurde. Ist der Sperrmechanismus nicht aktiviert, so wird mit Verfahrensschritt 115 weiter verfahren. Ist der Sperrmechanismus aktiviert, wird mit Verfahrensschritt 145, der weiter unten beschrieben wird, weiter verfahren. In Verfahrensschritt 115 wird abgeprüft, ob eine oder mehrere definierte Bedin gung eingetreten sind. Eine solche Bedingung kann beispielsweise ein Ereignis sein. Vorzugsweise kann das Ereignis beispielsweise die Verwendung des Kraft fahrzeugs sein. Die Bedingungen umfassen auch die zuvor genannten Bedingun gen. Ist das Ereignis nicht eingetreten, so wird mit Verfahrensschritt 120 weiter verfahren Im Verfahrensschritt 120 ist das Einspielen eines Softwareupdates möglich. Im Anschluss an Verfahrensschritt 120 wechselt das Steuergerät 1 in den erweiterten Operationsmodus 125. Befindet sich das Steuergerät in dem er weiterten Operationsmodus/Verfahrensschritt 125, so ist das Einspielen eines Softwareupdates möglich. Der erweitere Operationsmodus 125 entspricht dem standardmäßigen Benutzungsmodus 150 nur das eoin Einspielen von Software updates und/oder Parameter möglich ist, da der Sperrmechanismus deaktiviert ist.

Optional kann das Verfahren im Anschluss an den Verfahrensschritt zurück in den Verfahrensschritt 105 wechseln.

Gemäß einer Weiterbildung der Erfindung wird der Verfahrensschritt 105 erst verlassen, wenn versucht wird ein Softwareupdate einzuspielen. In Verfahrens schritt 105 wird geprüft, ob versucht wird ein Softwareupdate einzuspielen.

Ist im Verfahrensschritt 115 die Bedingungen erfüllt, so können in einem optiona len Verfahrensschritt 130 weitere Bedingungen abgefragt werden. Es kann je doch auch direkt zum Verfahrensschritt 140 gewechselt werden.

Im Verfahrensschritt 140 wird der Sperrmechanismus aktiviert. Sind die optiona len weiteren Bedingungen in dem optionalen Verfahrensschritt 130 nicht erfüllt, so wird mit Verfahrensschritt 120 weiter verfahren.

Ergibt die Überprüfung in Verfahrensschritt 110, dass der Sperrmechanismus be reits aktiviert ist, so geht das System in den standardmäßigen Benutzungsmodus 145. In dem standardmäßigen Benutzungsmodus 145 ist das Einspielen von Softwareupdates unterbunden. Der Sperrmechanismus ist aktiviert. Dennoch kann weiterhin über die Schnittstelle kommuniziert werden. Insbesondere wird ein beschreiben des Speichers, in dem Parameter und die Software hinterlegt ist, unterbunden. Vorzugsweise wird verhindert, dass der Bootloader ausgeführt wird.

Gemäß einer Weiterbildung der Erfindung wird das Verfahren 100 bei jedem ein treffenden Signal, insbesondere Datenpaket ausgeführt. Ist der Sperrmechanis mus aktiviert, wird das Datenpaket, welches Software oder Parameter, insbeson dere auch einen Befehl zur Änderung eines Parameters, enthält, verworfen oder abgelehnt.

Ist der Sperrmechanismus aktiviert, wird der Software bzw. Firmwarespeicher des Prozessors, insbesondere Mikrokontrollers nicht derart beschrieben und/oder überschrieben, dass die Software, insbesondere des Steuergeräts, überschrie ben wird. Das Softwareupdate wird unterbunden.

Vorzugsweise kann der persistente Speicher des Mikrokontrollers oder Prozes sors nicht mehr beschrieben oder überschrieben werden.

Optional kann in Verfahrensschritt 120 auch der Verfahrensschritt 110 sich an schließen. Hierdurch erfolgt eine stetige Abfrage der Bedingungen in den Verfah rensschritt 115 und dem optionalen Verfahrensschritt 130.

Im optionalen Verfahrensschritt 150 wird auf ein Signal, insbesondere Paket, ge wartet. Wird ein Signal empfangen wird in Verfahrensschritt 105 ausgeführt. Dies erfolgt insbesondere dann, wenn das Verfahren bei jedem eintreffenden Daten paket durchgeführt wird.

Gemäß einer Weiterbildung wird der Sperrmechanismus nicht aktiviert, wenn ein Softwareupdate in der Durchführung ist.

Erfindungsgemäß handelt es sich um ein Verfahren 100 zum Aktivieren eines Sperrmechanismus, der ein Einspielen von Updates, insbesondere Software updates, auf ein Steuergerät zur Steuerung von Komponenten eines Kraftfahr zeugs unterbindet. Unter einem Update der Software versteht sich auch eine Än derung der Software mittels eines Softwareupdates. Ferner ist darunter auch ein Softwareänderungen, insbesondere ein Softwaredowngrade zu verstehen. Insbe sondere ist hier die Steuersoftware und/oder Firmware unter Software zu verste hen.

Ferner handelt es sich erfindungsgemäß um ein Verfahren 100 zur Sperrung der Möglichkeit ein Steuergerät 1, welches ausgebildet ist eine Komponente eines Fahrzeugs zu steuern, zu verändern, insbesondere updaten und/oder downzu- graden.

Gemäß einer Ausführungsform ist der Sperrmechanismus als Softwareschalter ausgebildet. Es wird insbesondere eine Variable und/oder ein Parameter gesetzt und/oder eine Funktion gestartet. Gemäß einer Weiterbildung ist der Sperrme chanismus als Art Firewall ausgeführt, die entsprechende Datenpakete abblockt oder nicht weiterleitet. Vorteilhaft ist der Sperrmechanismus als Teil der Schnitt stelle ausgebildet.

Gemäß einer zweiten Ausführungsform ist der Sperrmechanismus als ein Hard wareschalter ausgeführt. Dies kann insbesondere in dem Umlegen eines Schal ters und/oder dem Schalten eines elektrischen Schalters, wie beispielsweise ei nes Transistors oder MosFets erfolgen. Es kann jedoch auch über das durchbe- rennen einer Sicherung oder das schmelzen eines Bauteils umgesetzt werden. Auch kann ein elektrischer Energiespeicher, insbesondere ein Kondensator be- oder entladen werden. Der Hardwareschalter kann hierbei Teil des Steuergeräts 1 sein. Auch kann der Hardwareschalter in der Schnittstelle 20 oder dem Prozes sor 30 oder dem Mikrokontroller 40 umgesetzt sein. Insbesondere wird mittels dem Hardwareschalter ein Flag gesetzt, welches bewirkt, dass Software än dernde Maßnahmen unterbunden werden. Das Flag wird insbesondere in Verfah rensschritt 110 geprüft. Einmal gesetzt kann das Flag nicht mehr geändert wer den.

Vorzugsweise wird eine Speicherstelle verändert. Die Speicherstelle ist Teil eines nicht flüchtigen Speichers, insbesondere eines permanenten, vorzugsweise eine persistenten, Speichers, der einmal geändert nicht mehr geändert werden kann. Der Speicher ist Teil des Steuergeräts 1, insbesondere des Mikrokontrollers 40, vorzugsweise des Prozessors 30. Der Speicher kann auch Teil der Schnitstelle 20 sein. Die Speicherstelle wird in Verfahrensschrit 110 geprüft.