Beschreibung

In modernen Fahrzeugen gewinnt die Vernetzung mit externen Komponenten, beispielsweise mit dem Smartphone eines Fahrzeuginsassen oder mit Cloud-Diensten, zunehmend an Bedeutung.

Auf Grund der Vernetzung kann der Funktionsumfang eines Fahrzeugs um Dienste erweitert werden, die durch das Zusammenwirken von einer fahrzeugseitigen Dienstkomponente und von einer externen Dienstkomponente entstehen. Und auch umgekehrt kann der Funktionsumfang eines externen Cloud-Dienstes oder externen Gerätes durch die Vernetzung und das Zusammenwirken mit einer Dienstkomponente im Fahrzeug, welche Funktionsumfänge oder Daten des Fahrzeugs bereitstellt, erweitert werden. Ein Zusammenwirken von externen und fahrzeugseitigen Dienstkomponenten wird als kooperative Diensterbringung bezeichnet. Beispielsweise kann der Funktionsumfang des Fahrzeugs um Musik-Streaming erweitert werden, in dem ein externer cloud-basierter Dienst die Audio-Streaming-Daten bereitstellt und ein entsprechender fahrzeugseitiger Dienstumfang beispielsweise Audiowiedergabe und geeignete Anzeige- und Bedienelemente im Fahrzeug bereitstellt. So wird kooperativ der Dienst Musik-Streaming erbracht.

Auch zwischen Fahrzeug und einem mobilen Endgerät eines Fahrzeuginsassen können beispielsweise Dienste wie Telefonie und Musik kooperativ erbracht werden, indem über Schnittstellen und Protokolle Daten zwischen fahrzeugseitigen Dienstkomponenten und externen Dienstkomponenten des mobilen Endgeräts ausgetauscht werden.

Als weiteres Beispiel kann ein Dienstumfang auf einem Smartphone (z.B. eine Smartphone- Applikation wie die „MyBMW" App von BMW) den Nutzer über den Ladezustand der Fahrzeugbatterie informieren oder die Steuerung von Fahrzeugfunktionen vom Smartphone aus ermöglichen (z.B. Hupe, Standheizung, Türverriegelung), wenn das Fahrzeug seinerseits geeignete Dienstkomponenten und Schnittstellen dafür bereitstellt.

Eine zuverlässige und fehlerfreie kooperative Diensterbringung ist gerade im Automotive- Bereich von besonderer Bedeutung, insbesondere wegen entsprechender Folgen oder Gefahren, die von einer fehlerhaften Diensterbringung in einem Fahrzeug ausgehen können. Dabei ist eine zuverlässige und fehlerfreie kooperative Diensterbringung maßgeblich von der Kompatibilität und Fehlerfreiheit der beteiligten Dienstkomponenten abhängig, sowie ggf. auch von weiteren Aspekten, die eine Kompatibilität beeinflussen können, wie z.B. der Beschaffenheit und Konfiguration des Fahrzeugs.

Die Sicherstellung der Kompatibilität wird jedoch dadurch erschwert, dass die beteiligten fahrzeugseitigen und externen Dienstkomponenten meist unabhängig voneinander entwickelt werden sowie unterschiedliche Entwicklungs- und Lebenszyklen aufweisen.

Dies wird besonders am Beispiel der kooperativen Diensterbringung zwischen einem Fahrzeug und einem handelsüblichen Smartphone mit Software und Apps deutlich: Beide Systeme werden unabhängig voneinander entworfen, entwickelt und mit Updates versorgt. Insofern kann eine einmalige Kompatibilitätsprüfung beider Systeme zueinander nicht ausreichen, um die Kompatibilität während des gesamten Lebenszyklus eines Fahrzeugs zu gewährleisten. Dies gilt vergleichbar für Cloud-Dienste, die typischerweise ebenfalls unabhängig von bestimmten Fahrzeugen entwickelt und weiterentwickelt werden.

Außerdem kann ein vorgesehener kooperativ erbrachter Dienst zum Fertigungszeitpunkt des Fahrzeugs noch nicht erbringbar sein, sondern erst durch die spätere Bereitstellung eines Cloud-Dienstes ermöglicht werden oder erst durch ein Software- Update des Smartphones oder einer Smartphone-App möglich werden.

Neben Inkompatibilitäten der beteiligten Dienstkomponenten kann es auch andere Gründe geben, die ein nachträgliches (vorübergehendes) Deaktivieren der kooperativen Diensterbringung erfordern, um einen fehlerfreien und sicheren Betrieb des Fahrzeugs zu gewährleisten. Das vorübergehende Deaktivieren sollte dabei zumindest bis zur Problembehebung andauern.

Ein Beispiel hierfür ist das Bekanntwerden einer Sicherheitslücke in der externen Dienstkomponente, insbesondere in einem Cloud-Dienst, einer Smartphone-App, oder einer Ausführungsumgebung davon (z.B. Cloud-Server, Smartphone-Betriebssystem, Kommunikations-Stack).

Eine Sicherheitslücke oder eine Inkompatibilität kann ebenfalls durch ein Software-Update auf Seite der externen Dienstkomponente (d.h. des Cloud-Dienstes, des Smartphones oder der Smartphone-App) oder der fahrzeugseitigen Dienstkomponente (d.h. fahrzeugseitige Software) ausgelöst werden.

Eine Aufgabe der vorliegenden Erfindung besteht darin, ein Verfahren zur zuverlässigen und fehlerfreien Bereitstellung eines Dienstes in einem Fahrzeug anzugeben. Bei dem Dienst kann es sich insbesondere um einen Dienst handeln, der unter Verwendung mindestens einer fahrzeugseitigen Dienstkomponente und einer externen Dienstkomponente, vorzugsweise kooperativ, erbracht wird. Darüber hinaus ist es Aufgabe der Erfindung, entsprechende Vorrichtungen zur Umsetzung des Verfahrens anzugeben.

Insbesondere soll das Verfahren Fehlfunktionen im Fahrzeug verhindern, die aus Inkompatibilitäten oder sonstigen Fehlern der Dienstkomponenten resultieren.

Diese Aufgabe wird durch ein Verfahren nach Anspruch 1, ein computerlesbares Speichermedium nach Anspruch 11, ein Freigabemodul nach Anspruch 12, ein Isolationsmodul nach Anspruch 13, ein Fahrzeug nach Anspruch 14 sowie ein System nach Anspruch 15 gelöst.

Insbesondere wird die Aufgabe durch ein Verfahren zur Bereitstellung eines Dienstes in einem Fahrzeug gelöst. Dabei wird der Dienst unter Verwendung mindestens einer fahrzeugseitigen Dienstkomponente und einer externen Dienstkomponente erbracht, insbesondere als kooperative Diensterbringung. Das Verfahren umfasst die folgenden Schritte:

Empfangen einer Anfrage bezüglich der Bereitstellung des Dienstes in dem Fahrzeug; Ermitteln einer Identifikationskennung der externen Dienstkomponente und/oder einer Identifikationskennung der fahrzeugseitigen Dienstkomponente;

Ermitteln einer Freigabeinformation für die kooperative Diensterbringung für das Fahrzeug, unter Verwendung einer Freigabeliste und der Identifikationskennung der fahrzeugseitigen Dienstkomponente und/oder der Identifikationskennung der externen Dienstkomponente;

Freigeben mindestens einer (fahrzeugseitigen) Schnittstelle für die fahrzeugseitige Dienstkomponente und/oder für die externe Dienstkomponente durch ein Freigabemodul des Fahrzeugs, um den Dienst bereitzustellen, entsprechend der Freigabeinformation.

Ein Punkt der Erfindung besteht darin, dass die Freigabe mindestens einer (fahrzeugseitigen) Schnittstelle für die fahrzeugseitige Dienstkomponente und/oder für die externe Dienstkomponente erst nach einer Prüfung durch ein Freigabemodul im Fahrzeug erfolgt. Auf diese Weise können Schnittstellen, die zur Erbringung eines Dienstes erforderlich sind, deaktiviert bleiben, sofern keine entsprechende Freigabeinformation vorliegt. Das Fahrzeug kann so standardmäßig in einem - hinsichtlich der Diensterbringung - abgesicherten Modus betrieben werden und/oder in einen solchen zurückfallen, sobald keine aktuelle bzw. gültige Freigabeinformation mehr vorliegt. Dies schützt das Fahrzeug vor Fehlfunktionen, die von der kooperativen Diensterbringung ausgehen, und kann somit die Sicherheit des Fahrzeugs erhöhen.

Um die Prüfung durchzuführen, ermittelt das Verfahren nach einer entsprechenden Anfrage zunächst Identifikationskennungen von einer oder beiden beteiligten Dienstkomponenten, um diese identifizieren zu können. Die Anfrage muss erfindungsgemäß jedoch zeitlich nicht unmittelbar vor der gewünschten Bereitstellung des Dienstes im Fahrzeug erfolgen, sondern kann irgendwann davor erfolgen, beispielsweise beim Starten des Bordcomputers, zu regelmäßigen Zeitpunkten oder bei der letzten Änderung / dem letzten Update. Gemäß dem beschriebenen Verfahren wird auf die Anfrage hin eine Freigabeinformation für den jeweiligen Dienst in dem jeweiligen Fahrzeug ermittelt.

Unter einer Freigabeinformation kann eine Angabe verstanden werden, die angibt, in welchem Umfang der betreffende Dienst freigegeben ist, d.h. im Fahrzeug bereitgestellt werden darf. Die Erfindung sieht somit explizit vor, die Bereitstellung des Dienstes im Fahrzeug nicht nur vollständig freizugeben bzw. zu verbieten, sondern Freigaben vielmehr auf funktionaler Ebene zu erteilen. Somit kann die Bereitstellung des Dienstes im Fahrzeug präzise gesteuert werden.

Das Ermitteln der Freigabeinformation erfolgt dabei unter Verwendung der Identifikationskennung(en) sowie einer Freigabeliste. Die Freigabeliste kann insbesondere eine Datenbank oder eine sonstige Datenstruktur sein.

Die Freigabeliste kann hierbei Mindestanforderungen formulieren, welche die an der Diensterbringung beteiligten Komponenten, insbesondere die fahrzeugseitige Dienstkomponente und die externe Dienstkomponente, erfüllen müssen, damit eine Bereitstellung des Dienstes im jeweiligen Fahrzeug zugelassen wird. Die Anforderungen können sich beispielsweise auf die fahrzeugseitige Dienstkomponente selbst (Softwareversion, etc.) als auch deren Ausführungsumgebung, d.h. das Fahrzeug (Sonderausstattungen, Softwareversionen, Baujahr, Hardwareversionen, etc.) beziehen. Ebenso können sich die Anforderungen auf die externe Dienstkomponente selbst (Softwareversion der Smartphone-App, Softwareversion des Cloud-Dienstes etc.) als auch deren Ausführungsumgebung (z.B. Betriebssystemversion des Smartphones, Server des Cloud-Dienstes etc.) beziehen. Darüber hinaus kann die Freigabeliste generelle Anforderungen an die Betriebsumgebung (Standort des Fahrzeugs, Uhrzeit etc.) formulieren, beispielsweise um rechtliche Rahmenbedingungen zu erfüllen.

In einer Ausführungsform kann das Ermitteln der Freigabeinformation durch das Freigabemodul erfolgen und das Verfahren ferner die folgenden Schritte aufweisen: Ermitteln von Eigenschaftsmerkmalen der kooperativen Diensterbringung;

Übertragen der Eigenschaftsmerkmale an einen Backend -Server mittels eines mobilen Endgeräts und/oder mittels eines Kommunikationsmoduls des Fahrzeugs, wobei die Freigabeliste auf dem Backend -Server gespeichert ist;

Ermitteln von Datensätzen der Freigabeliste unter Verwendung der Eigenschaftsmerkmale;

Übertragen der Datensätze der Freigabeliste von dem Backend -Server an das Fahrzeug, insbesondere mittels eines mobilen Endgeräts und/oder mittels eines Kommunikationsmoduls des Fahrzeugs;

Übertragen der Datensätze in eine Datenbank des Freigabemoduls.

Das Ermitteln der Freigabeinformation durch das Freigabemodul erfolgt hierbei ferner unter Verwendung der Datensätze und unter Verwendung der Eigenschaftsmerkmale der kooperativen Diensterbringung.

Gemäß dieser Ausführungsform erfolgt das Ermitteln der Freigabeinformation also durch das Freigabemodul im Fahrzeug, wobei die Freigabeliste auf dem Backend -Server gespeichert ist. Um nicht die vollständige Freigabeliste, sondern nur die für die jeweils angefragte Diensterbringung relevanten Datensätze der Freigabeliste an das Fahrzeug übertragen zu müssen, werden zunächst Eigenschaftsmerkmale der kooperativen Diensterbringung ermittelt.

Die Eigenschaftsmerkmale können dabei insbesondere die folgenden Informationen umfassen: eine Menge von Attributen fahrzeugseitiger Dienstkomponenten; eine Menge von Attributen externer Dienstkomponenten; eine Menge von Identifikationskennungen von Diensten und/oder Dienstumfängen; eine Menge von Attributen des Fahrzeugs, insbesondere Fahrzeugidentifikation, Attribute von Hardware- und Software-Komponenten (z.B. Versionen, Konfigurationen), Fahrzeugausstattungen, Land der Fahrzeugzulassung, Land des Fahrzeugnutzers, geografischer Standort des Fahrzeugs.

Unter einer Menge kann eine Sammlung beliebig vieler Elemente verstanden werden. Die Menge kann durch explizite Aufzählung der darin enthaltenen Elemente (Whitelist), explizite Aufzählung der nicht enthaltenen Elemente (Blacklist) oder implizit durch einen Ausdruck, ggf. unter Verwendung von Platzhaltern, beschreiben werden. Unter einem Attribut einer (fahrzeugseitigen oder externen) Dienstkomponente kann insbesondere eine Software-Versionsnummer oder eine Seriennummer verstanden werden. Ein Attribut der fahrzeugseitigen Dienstkomponente kann ferner Attribute über das Fahrzeug selbst umfassen, insbesondere die Fahrgestellnummer, installierte Sonderausstattungen, Land der Fahrzeugzulassung etc.

Die ermittelten Eigenschaftsmerkmale werden gemäß der beschriebenen Ausführungsform anschließend an einen den Backend-Server übertragen. Die Übertragung kann insbesondere mittels eines mobilen Endgeräts, das mit dem Fahrzeug verbunden ist, und/oder mittels eines Kommunikationsmoduls des Fahrzeugs geschehen. Das mobile Endgerät kann dabei beispielsweise mit einer Head-Unit des Fahrzeugs verbunden sein, insbesondere über Bluetooth oder WLAN, und über eine mobile Datenverbindung eine Verbindung mit dem Backend-Server aufbauen können. Das Kommunikationsmodul kann über eine beliebige Funktechnologie (z.B. LTE, 5G, WLAN etc.) oder andere Technologien, wie Kommunikation per Ladestecker, mit dem Backend-Server verbunden sein.

Nach der Übertragung der Eigenschaftsmerkmale erfolgt ein Ermitteln von Datensätzen der Freigabeliste unter Verwendung der Eigenschaftsmerkmale. Dies kann insbesondere ein Filtern der Freigabeliste nach Datensätzen umfassen, welche relevant für die Anfrage sind, also eine Übereinstimmung mit einem oder mehreren der übertragenen Eigenschaftsmerkmale aufweisen. Durch diesen optionalen Optimierungsschritt des Übermittelns von Eigenschaftsmerkmalen an den Backend -Server und Filterung von aktuell und ggf. auch künftig relevanten Datensätzen für dieses konkrete Fahrzeug wird verhindert, dass Datensätze zurück an das Fahrzeug übertragen werden, die überhaupt nicht relevant sind, da sie sich beispielsweise auf eine andere Softwareversion der fahrzeugseitigen Dienstkomponente beziehen. Es können hierbei bewusst mehr Daten vom Backend -Server an das Fahrzeug übertragen werden, als in der aktuellen Konfiguration notwendig, etwa um Datensätze für die Zeit nach dem nächsten Software- Update bereits im Fahrzeug vorliegen zu haben.

Das Übertragen der ermittelten Datensätze an das Fahrzeug kann insbesondere auf den oben beschriebenen Kommunikationswegen, insbesondere über ein Kommunikationsmodul oder über ein mobiles Endgerät, erfolgen.

Im Fahrzeug werden die empfangenen Datensätze schließlich in eine Datenbank des Freigabemoduls übertragen, welches nun die Freigabeinformation auf Grundlage der empfangenen Datensätze ermittelt. Gemäß dieser Ausführungsform erfolgt also das Ermitteln der Freigabeinformation im Fahrzeug. Dies bietet den Vorteil, dass zum Ermitteln der Freigabeinformation weitere Informationen einbezogen werden können, die nur im Fahrzeug vorliegen. Beispielsweise kann ein geprüft werden, ob ein Fahrzeug-Fehlerspeicher einen Fehlercode enthält, oder ob sich das Fahrzeug an einem bestimmten geografischen Ort befindet. Ein weiterer Vorteil ist, dass das Fahrzeug selbstständig und unmittelbar auch auf Änderungen (z.B. Software- Updates der Dienst-Komponenten) reagieren und selbstständig eine Freigabeinformation generieren kann, ohne dabei auf eine Online-Kommunikation zum Backend-Server angewiesen zu sein. Dies ist insbesondere dann möglich, falls eine große Menge an gültigen Datensätzen (z.B. Gültigkeitszeitraum noch nicht überschritten) bereits im Fahrzeug vorliegt.

In einer alternativen Ausführungsform erfolgt das Ermitteln der Freigabeinformation durch einen Backend-Server und das Verfahren weist ferner die folgenden Schritte auf:

Ermitteln von Eigenschaftsmerkmalen der kooperativen Diensterbringung;

Übertragen der Eigenschaftsmerkmale an einen Backend -Server mittels eines mobilen Endgeräts und/oder mittels eines Kommunikationsmoduls des Fahrzeugs, wobei die Freigabeliste auf dem Backend-Server gespeichert ist;

Ermitteln der Freigabeinformation durch den Backend -Server, ferner unter Verwendung der Eigenschaftsmerkmale der kooperativen Diensterbringung; Übertragen der Freigabeinformation vom Backend -Server an das Fahrzeug, insbesondere mittels eines mobilen Endgeräts und/oder mittels eines Kommunikationsmoduls des Fahrzeugs;

Übertragen der Freigabeinformation an das Freigabemodul.

Optional kann das Verfahren ferner den folgenden Schritt umfassen:

(Einmalige oder wiederkehrende) Bewertung der Gültigkeit der Freigabeinformation durch das Freigabemodul, insbesondere unter Verwendung der jeweils aktuellen Eigenschaftsmerkmale der kooperativen Diensterbringung.

Der wesentliche Unterschied zu der zuvor beschriebenen Ausführungsform besteht darin, dass das Ermitteln der Freigabeinformation auf dem Backend-Server und nicht im Fahrzeug erfolgt. Dies setzt voraus, dass dem Backend-Server alle erforderlichen Informationen für das Ermitteln der Freigabeinformation vorliegen. Ein Vorteil dieser Ausführungsform liegt jedoch darin, dass nur die Freigabeinformation und nicht Datensätze der Freigabeliste vom Backend- Server an das Fahrzeug zurückübertragen werden müssen. Die Freigabeinformation kann eine erheblich geringere Datenmenge als die (möglicherweise große) Menge an Datensätzen aufweisen. Dadurch wird die Kommunikationsverbindung zwischen Fahrzeug und Backend- Server bzw. Fahrzeug und mobilem Endgerät weniger belastet und kann effizienter genutzt werden. Außerdem kann die Logik für die Ermittlung der Freigabeinformation im Backend jederzeit aktualisiert und ggf. auch mit weiteren Datenquellen ergänzt werden.

Die optionale Bewertung der Gültigkeit der Freigabeinformation durch das Freigabemodul kann dabei entweder einmalig oder wiederkehrend erfolgen. Eine wiederkehrende Bewertung hat den Vorteil, dass zwischenzeitlich geänderte Eigenschaftsmerkmale zu einer erneuten geänderten Bewertung führen können. Die wiederkehrende Bewertung kann durch Änderung der Eigenschaftsmerkmale ausgelöst werden (z.B. bei Software- Updates, Konfigurationsänderungen), oder in bestimmten Zeitintervallen, oder im Zusammenhang mit einem Start- oder Einschlafvorgang des Fahrzeugs stehen. Ferner kann eine wiederkehrende Bewertung in Abhängigkeit der Anfrage zur Diensterbringung erfolgen.

In einer Ausführungsform kann das Freigeben der mindestens einen Schnittstelle entsprechend der Freigabeinformation mindestens einen der folgenden Schritte umfassen:

Aktivieren einer Software-Schnittstelle, insbesondere für die Nutzung durch eine fahrzeugseitige Dienstkomponente;

Aktivieren einer Hardwarekomponente des Fahrzeugs;

Starten eines Software-Prozesses im Fahrzeug;

Aktivieren einer Kommunikationsschnittstelle, insbesondere Bordnetzinterface oder Netzwerkport, und/oder Netzwerkverbindung im Fahrzeug;

Aktivieren und/oder Erweiterung einer Schnittstelle, insbesondere Kommunikations- Schnittstelle, zur externen Dienstkomponente;

Bereitstellen der Freigabeinformation im Fahrzeug.

Gemäß dieser Ausführungsform können die für die Diensterbringung notwendigen Schnittstellen bzw. (Software-)Prozesse im Fahrzeug aktiviert werden, die zur Bereitstellung des Dienstes erforderlich sind. Um größtmögliche Sicherheit zu erzielen, wird hierbei bevorzugt, dass die Schnittstellen bzw. Prozesse im Fahrzeug standardmäßig deaktiviert sind.

Das Aktivieren bzw. Deaktivieren von Schnittstellen kann mit einem entsprechend ISO 26262 (Automotive Functional Safety) und/oder ISO 21434 (Automotive Cybersecurity) entwickelten Mechanismus erfolgen.

In einer Ausführungsform kann es sich bei dem Dienst (der kooperativen Diensterbringung) um eine Steuerung einer Standheizung, einer Hupe oder eines Schließsystems des Fahrzeugs handeln.

In einer Ausführungsform umfasst mindestens ein, vorzugsweise jeder Datensatz der Freigabeliste ein oder mehrere der nachfolgenden Daten: eine Menge von Attributen fahrzeugseitiger Dienstkomponenten; eine Menge von Attributen externer Dienstkomponenten; eine Menge von Identifikationskennungen von Diensten und/oder Dienstumfängen; eine Menge von Attributen des Fahrzeugs, insbesondere Fahrzeugidentifikation, Hardware- und Software-Komponenten, Fahrzeugausstattungen, Land der Fahrzeugzulassung, Land des Fahrzeugnutzers, geografischer Standort des Fahrzeugs; eine Menge von Attributen einer Ausführungsumgebung der externen Dienstkomponente, insbesondere Versionen von Schnittstellen, Hardware, Betriebssystem.

Dabei umfasst das Ermitteln der Freigabeinformation einen Abgleich mit mindestens einem Attribut der fahrzeugseitigen Dienstkomponente und/oder mindestens einem Attribut der externen Dienstkomponente bzw. deren Ausführungsumgebung und/oder mindestens einem Attribut des Fahrzeugs.

Dabei können die Mengen wie bereits beschrieben insbesondere in Form einer Whitelist oder Blacklist beschrieben werden.

In einer Ausführungsform kann mindestens ein Datensatz der Freigabeliste ferner eine Gültigkeitszeitraumangabe umfassen. Das Ermitteln der Freigabeinformation kann dabei einen Abgleich der Gültigkeitszeitraumangabe des Datensatzes mit einer Systemzeit des Fahrzeugs und/oder einer Systemzeit einer Ausführungsumgebung der externen Dienstkomponente und/oder einer online oder per Satellit bereitgestellten Systemzeit umfassen.

Ebenso kann eine vom Backend -Server erteilte Freigabeinformation eine Gültigkeitszeitraumangabe umfassen.

Bevorzugt wird der Dienst nicht oder in reduziertem Dienstumfang bereitgestellt, wenn die Systemzeit des Fahrzeugs und/oder die Systemzeit der Fahrzeugkom ponente außerhalb des Bereichs liegt, der durch die Gültigkeitszeitraumangabe festgelegt ist. Bevorzugt ist die verwendete Systemzeit gegen Manipulation geschützt, beispielsweise durch einen Schutzmechanismus gegen Zurücksetzen der Systemzeit im Fahrzeug oder durch Abgleich mit einem vertrauenswürdigen Zeitserver.

Konkret können in der beschriebenen Ausführungsform die Datensätze mit einem Ablaufdatum versehen sein, welches beispielsweise auf dreißig Tage nach Veröffentlichung des Datensatzes in der Freigabeliste festgelegt wird. Damit kann der betreffende Dienst maximal dreißig Tage lang im Fahrzeug betrieben werden, sofern kein neuerer Datensatz mit verlängertem Ablaufdatum bereitgestellt wird. Hierdurch kann verhindert werden, dass durch ausbleibende Aktualisierung der Datensätze ein Dienst bereitgestellt wird, der gemäß aktueller Freigabeliste nicht mehr zulässig ist.

Entsprechendes gilt für eine Gültigkeitszeitraumangabe einer durch den Backend -Server bereitgestellten Freigabeinformation.

In einer weiteren Ausführungsform kann mindestens ein Datensatz der Freigabeliste ferner eine geografische Bereichsangabe umfassen und das Ermitteln der Freigabeinformation einen Abgleich der geografischen Bereichsangabe des Datensatzes mit einem (geografischen) Standort des Fahrzeugs und/oder einem (geografischen) Standort einer Ausführungsumgebung der externen Dienstkomponente umfassen.

Die geographische Bereichsangabe kann dabei beispielsweise aus Ländern oder aus Mengen von Geo-Koordinaten bestehen, die Flächen beschreiben. Ferner kann die geographische Bereichsangabe aus Elementen wie Straßentypen (z.B. Autobahn, Landstraße, Kreuzung), Straßennamen, Städten, sowie Geofences um bestimmte Kategorien von Point-of-Interests (z.B. Tankstellen, Flughäfen, Ampeln) bestehen. Durch diese Ausführungsform kann ein bestimmter Dienst ausschließlich in bestimmten geografischen Regionen, beispielsweise in einem bestimmten Land, zugelassen oder nicht zugelassen werden.

In einer weiteren Ausführungsform kann mindestens ein Datensatz der Freigabeliste und/oder die Freigabeinformation digital signiert sein und das Verfahren ferner den folgenden Schritt aufweisen:

Verifizieren mindestens einer digitalen Signatur eines Datensatzes und/oder einer digitalen Signatur der Freigabeinformation durch das Freigabemodul.

Bevorzugt erteilt das Freigabemodul die Freigabe für die Bereitstellung des Dienstes nicht oder nur in einem eingeschränkten Umfang erteilt, wenn das Verifizieren der digitalen Signatur fehlschlägt.

Diese Ausführungsform erhöht die Sicherheit der Diensterbringung zusätzlich, indem die Integrität einzelner Datensätze überprüft wird. Werden Datensätze böswillig verändert oder die Freigabeinformation wird durch einen Übertragungsfehler verfälscht, so führt dies dazu, dass die digitale Signatur ungültig wird. Durch das (vorsorgliche) Einschränken bzw. Verhindern der Diensterbringung in solchen Fällen wird die Fahrzeugsicherheit zusätzlich erhöht. In einer weiteren Ausführungsform kann mindestens ein Datensatz der

Freigabeliste mindestens eine Prüfbedingung umfassen. Bei der Prüfbedingung kann es sich insbesondere um die Abwesenheit eines Fehlercodes im Fahrzeug oder die Gültigkeit einer digitalen Signatur eines Software-Moduls des Fahrzeugs handeln. Ferner kann sich die Prüfbedingung auf Eigenschaften von aktuellen Fahrzeug- oder Betriebszuständen, einen aktuellen Zustand oder Daten von Fahrzeugfunktionen, einen aktuellen Wert von Sensormessungen des Fahrzeugs, oder einen aktuellen Betriebszustand des externen Dienstes oder dessen Ausführungsumgebung beziehen. Weiterhin kann das Verfahren ferner den folgenden Schritt umfassen:

Ermitteln, ob die Prüfbedingung im Fahrzeug erfüllt ist.

Wiederum wird bevorzugt, dass das Freigabemodul die Freigabe für die Bereitstellung des Dienstes nicht oder nur in einem eingeschränkten Umfang erteilt, wenn die Prüfbedingung nicht erfüllt ist. Das Ermitteln, ob die Prüfbedingung erfüllt ist, kann dabei auch wiederholt zu bestimmten Zeitpunkten oder Ereignissen oder kontinuierlich erfolgen.

Es ergeben sich ähnliche Vorteile wie bei der zuvor beschriebenen Ausführungsform.

Die Aufgabe wird ferner durch ein computerlesbares Speichermedium gelöst. Das computerlesbare Speichermedium enthält Instruktionen, die mindestens einen Prozessor dazu veranlassen, ein Verfahren wie vorstehend beschrieben zu implementieren, wenn die Instruktionen durch den mindestens einen Prozessor ausgeführt werden.

Ferner wird die Aufgabe durch ein Freigabemodul in einem Fahrzeug gelöst. Dabei ist das Freigabemodul vorzugsweise zur Ausführung eines oder mehrerer der folgenden Schritte ausgebildet:

Ermitteln von Eigenschaftsmerkmalen einer kooperativen Diensterbringung in einem Fahrzeug, insbesondere zwischen einer fahrzeugseitigen Dienstkomponente und einer externen Dienstkomponente;

Empfangen und/oder Senden einer Anfrage bezüglich der Bereitstellung eines Dienstes in dem Fahrzeug, wobei die Anfrage eine Identifikationskennung einer externen Dienstkomponente und/oder eine Identifikationskennung einer fahrzeugseitigen Dienstkomponente umfasst;

Empfangen von Datensätzen einer Freigabeliste von einem mobilen Endgerät und/oder einem Kommunikationsmodul des Fahrzeugs und Speichern der Datensätze in einer Datenbank des Freigabemoduls;

Ermitteln und/oder Empfangen einer Freigabeinformation für die kooperative Diensterbringung unter Verwendung einer Freigabeliste, insbesondere ferner unter Verwendung der jeweils aktuellen Eigenschaftsmerkmale der kooperativen Diensterbringung;

Freigeben mindestens einer (fahrzeugseitigen) Schnittstelle für die fahrzeugseitige Dienstkomponente und/oder für die externe Dienstkomponente, um den Dienst bereitzustellen, entsprechend der Freigabeinformation, insbesondere mittels eines Isolationsmoduls wie nachfolgend beschrieben;

Speichern einer ermittelten oder empfangenen Freigabeinformation, insbesondere für eine spätere Verwendung;

Prüfen einer Freigabeinformation auf eine Gültigkeit, insbesondere zeitliche Gültigkeit und/oder geografische Gültigkeit, ggf. gefolgt von einem Anfordern einer neuen Freigabeinformation;

Erneutes Ermitteln von Eigenschaftsmerkmalen der kooperativen Diensterbringung und Prüfen, ob die Gültigkeit einer früher gespeicherten Freigabeinformation hinsichtlich der neu ermittelten Eigenschaftsmerkmale weiterhin besteht.

Hinsichtlich des Freigabemoduls ergeben sich ähnliche technische Vorteile und Wirkungen, wie diese bereits im Zusammenhang mit dem erfindungsgemäßen Verfahren beschrieben wurden.

Ferner wird die Aufgabe durch ein Isolationsmodul in einem Fahrzeug gelöst. Dabei kann das Isolationsmodul dazu konfiguriert sein, mindestens ein Steuergerät und/oder eine Software- Komponente des Fahrzeugs dazu zu veranlassen, eine Schnittstelle für die fahrzeugseitige Dienstkomponente und/oder für die externe Dienstkomponente zu aktivieren oder zu deaktivieren, insbesondere durch mindestens Eines der Folgenden:

Zulassen oder Verhindern einer Ausführung von Software, insbesondere auf einer Betriebssystemebene des Fahrzeugs oder der fahrzeugseitigen Dienstkomponente;

Weiterleiten oder Absorbieren von Daten und/oder Steuerbefehlen, insbesondere auf einem Kommunikationsweg zwischen Fahrzeug und fahrzeugseitiger Dienstkomponente und/oder zwischen fahrzeugseitiger Dienstkomponente und externer Dienstkomponente;

Senden von Fehlercodes, insbesondere auf einem Kommunikationsweg zwischen Fahrzeug und fahrzeugseitiger Dienstkomponente und/oder zwischen fahrzeugseitiger Dienstkomponente und externer Dienstkomponente, wobei das Isolationsmodul vorzugsweise mit einem Freigabemodul, insbesondere wie vorstehend beschrieben, verbunden ist. Beispielsweise kann das Isolationsmodul auf Ebene des Betriebssystems (bzw. zwischen Betriebssystem und der fahrzeugseitigen Dienstkomponente) die softwareseitige Ausführung der fahrzeugseitigen Dienstkomponente ermöglichen bzw. unterbinden.

Ferner kann das Isolationsmodul als eine Art Proxy zwischen einer Fahrzeug-API und der fahrzeugseitigen Dienstkomponente realisiert sein und so eine Zugriffssteuerung zwischen den vom Fahrzeug bereitgestellten Schnittstellen und der fahrzeugseitigen bzw. externen Dienstkomponente sicherstellen. Alternativ kann das Isolationsmodul als eine Art Proxy zwischen der fahrzeugseitigen Dienst-Komponente und der externen Dienst-Komponente realisiert sein und so eine Zugriffssteuerung zwischen den jeweiligen Schnittstellen der fahrzeugseiteigen bzw. externen Dienstkomponente sicherstellen.

Die Zugriffsteuerung kann sich jeweils auch darin ausprägen, dass der Zugriff dadurch reguliert wird, dass Standardwerte (z.B. „0") oder Fehlerwerte (z.B. „OxFF") oder in der API vorgesehene Fehlercodes zurückgegeben werden.

Vorzugsweise ist das Isolationsmodul in der Lage, diese Zugriffssteuerung bei mehreren Diensten individuell je Dienst und je Schnittstelle auszuführen.

Hinsichtlich des Isolationsmoduls ergeben sich ähnliche technische Vorteile und Wirkungen, wie diese bereits im Zusammenhang mit dem erfindungsgemäßen Verfahren beschrieben wurden.

Ferner wird die Aufgabe durch ein Fahrzeug gelöst, welches das Folgende aufweist: ein Freigabemodul wie vorstehend beschrieben und mindestens ein Isolationsmodul wie vorstehend beschrieben, insbesondere zur Implementierung des Verfahrens wie vorstehend beschrieben; mindestens eine fahrzeugseitige Dienstkomponente; ein Kommunikationsmodul.

Dabei ist das Fahrzeug dazu ausgebildet ist, einen Dienst unter Verwendung der mindestens einen fahrzeugseitigen Dienstkomponente und einer externen Dienstkomponente zu erbringen, insbesondere als kooperative Diensterbringung.

Bevorzugt weist das Fahrzeug ferner ein Positionsbestimmungsmodul, insbesondere GPS- Modul, und/oder eines Mechanismus zur Ermittlung einer fahrzeuginternen oder fahrzeugextern bereitgestellten Systemzeit auf. Hinsichtlich des Fahrzeugs ergeben sich ähnliche technische Vorteile und Wirkungen, wie diese bereits im Zusammenhang mit dem erfindungsgemäßen Verfahren beschrieben wurden.

Ferner wird die Aufgabe durch ein System gelöst, insbesondere zum Ausführen eines Verfahrens wie vorstehend beschrieben. Das System umfasst das Folgende: ein Fahrzeug wie vorstehend beschrieben; eine externe Dienstkomponente; einen Backend -Server.

In einer bevorzugten Ausführungsform weist das System ferner ein mobiles Endgerät auf, das dazu ausgebildet ist,

Eigenschaftsmerkmale der kooperativen Diensterbringung des Fahrzeugs an einen Backend -Server zu übertragen; und/oder

Datensätze einer Freigabeliste von dem Backend -Server abzurufen und in eine Datenbank des Freigabemoduls zu übertragen; und/oder eine Freigabeinformation von dem Backend -Server abzurufen und an das Freigabemodul zu übertragen.

Diese Ausführungsform ist insofern vorteilhaft, als dass mobile Endgeräte, insbesondere handelsübliche Smartphones, zum einen die Kommunikation über unterschiedliche Netzwerke (z.B. Mobilfunknetz, WLAN, ...) unterstützen, während ein Kommunikationsmodul eines Fahrzeugs unter Umständen auf bestimmte Funktechnologien, beispielsweise auf ein Mobilfunknetz begrenzt sein kann. Zum anderen befinden sich mobile Endgeräte regelmäßig in Umgebungen, wo derartige Verbindungen tatsächlich hergestellt werden können (z.B. durch ausreichenden Mobilfunknetzempfang, ein WLAN-Netz in der Umgebung des mobilen Endgeräts, ...). Ein Kommunikationsmodul kann unter Umständen keine Verbindung zu einem Server aufbauen, wenn es nur über Mobilfunk kommunizieren kann und sich das Fahrzeug an einem entlegenen Standort oder in einer Tiefgarage befindet, wo kein ausreichender Empfang vorhanden ist.

In diesem Zusammenhang kann vorteilhaft genutzt werden, dass ein zeitlicher Abstand zwischen A) dem Abrufen von Datensätzen der Freigabeliste vom Backend -Server durch das mobile Endgerät, nach Übertragung der notwendigen Informationen aus dem Fahrzeug an das mobile Endgerät, und B) dem Übertragen der Datensätze von dem mobilen Endgerät an das Fahrzeug bestehen kann. Beispielsweise kann das Abrufen von Datensätzen gemäß A), beispielsweise durch eine BMW App auf einem Smartphone, zu einem Zeitpunkt und an einem Ort erfolgen, an dem das Smartphone eine Internetverbindung über WLAN aufbauen kann. Das Übertragen der Datensätze an das Fahrzeug gemäß B) kann später im Fahrzeug erfolgen, beispielsweise indem das Smartphone eine Bluetooth- oder WLAN-Verbindung zu einer Head-Unit des Fahrzeugs aufbaut, welches die empfangenen Datensätze über ein Fahrzeug bord netz an das Freigabemodul weiterleitet.

Mit anderen Worten, das mobile Endgerät kann als Zwischenspeicher fungieren, um eine Aktualisierung der internen Datenbank des Freigabemoduls zu ermöglichen, für Situationen, in denen das Fahrzeug über das Kommunikationsmodul keine Verbindung zum Backend- Server aufbauen kann.

Darüber hinaus ergeben sich hinsichtlich des Systems ähnliche technische Vorteile und Wirkungen, wie diese bereits im Zusammenhang mit dem erfindungsgemäßen Verfahren beschrieben wurden.

Es versteht sich von selbst, dass die Merkmale und die damit jeweils erzielbaren Vorteile, die in Bezug auf das erfindungsgemäße Verfahren beschrieben wurden, auf die erfindungsgemäßen Vorrichtungen anwendbar bzw. übertragbar sind und umgekehrt.

Konkret sind die Komponenten der Vorrichtungen im Kontext der vorliegenden Beschreibung der Erfindung dazu ausgebildet, die erfindungsgemäßen Verfahrensschritte durchzuführen. Ebenso sind die Funktionen der oben beschriebenen Komponenten der erfindungsgemäßen Vorrichtungen als Verfahrensschritte des erfindungsgemäßen Verfahrens anwendbar.

Nachfolgend wird die Erfindung anhand von einem Ausführungsbeispiel beschrieben, das anhand der Figuren näher erläutert wird. Hierbei zeigen:

Figur 1: ein erfindungsgemäßes System;

Figur 2: die Komponenten des Fahrzeugs aus Figur 1;

Figur 3a: ein Ablaufdiagramm des erfindungsgemäßen Verfahrens zur Bereitstellung eines Dienstes, gemäß einer ersten Ausführungsform;

Figur 3b: ein Ablaufdiagramm des erfindungsgemäßen Verfahrens zur Bereitstellung eines Dienstes, gemäß einer zweiten Ausführungsform;

Figur 4: den Inhalt der Freigabeliste auf dem Backend -Server.

In der nachfolgenden Beschreibung werden für gleiche und gleich wirkende Teile dieselben Bezugsziffern verwendet. Figur 1 zeigt die Komponenten eines erfindungsgemäßen Systems, welches ein

Fahrzeug 100, einen Cloud-Dienst 200, einen Backend -Server 300 sowie ein Smartphone 500 umfasst.

Das Fahrzeug 100 verfügt über eine Standheizung 150, die durch den Cloud-Dienst 200 gesteuert werden kann. Hierfür ist das Steuergerät 160 der Standheizung 150 dazu ausgebildet, entsprechende Befehle über das Bordnetz des Fahrzeugs 100 zu empfangen. Hierbei bildet der Cloud-Dienst 200 die externe Dienstkomponente und das Steuergerät 160 umfasst eine fahrzeugseitige Dienstkomponente der kooperativen Diensterbringung.

Des Weiteren verfügt das Fahrzeug 100 über ein Kommunikationsmodul 120. Dies ist dazu ausgebildet, eine Kommunikationsverbindung zu dem Cloud-Dienst 200 sowie zu dem Backend-Server 300 aufzubauen. Die Kommunikationsverbindung kann beispielsweise eine LTE- oder sonstige Mobilfunk- oder Datenverbindung (z.B. auch Ladestecker) sein. Ferner besitzt das Fahrzeug 100 eine Head-Unit 170 als zentrale Infotainmentsystem.

Das Smartphone 500 ist über die Head-Unit 170 mit dem Fahrzeug 100 verbunden, beispielsweise über Bluetooth oder WLAN. Darüber hinaus kann das Smartphone 500 eine Verbindung zu dem Backend-Server 300 herstellen, beispielsweise über ein Mobilfunknetz oder WLAN.

In Figur 1 sind die genannten Kommunikationsverbindungen als gestrichelte Linien zwischen jeweils zwei Komponenten des Systems dargestellt. Weitere Komponenten des Fahrzeugs 100 werden nachfolgend im Zusammenhang mit Figur 2 beschrieben.

Figur 2 zeigt eine Übersicht aller Komponenten des Fahrzeugs 100, welche zur Beschreibung des Ausführungsbeispiels relevant sind.

Neben den bereits genannten Komponenten weist das Fahrzeug 100 insbesondere ein Freigabemodul 110 mit integrierter Datenbank 111 auf, die zum Speichern von Datensätzen einer Freigabeliste ausgebildet ist.

Um die Kommunikation der fahrzeugseitigen Dienstkomponente auf dem Steuergerät 160 mit der Standheizung 150 entsprechend einer vom Freigabemodul 110 ermittelten Freigabeinformation zu steuern, verfügt das Steuergerät 160 über ein integriertes Isolationsmodul 165.

Ferner weist das Fahrzeug 100 ein GPS-Modul 130 auf, welches eine geografische Position des Fahrzeugs 100 bestimmen kann. Über das Bordnetz 105 können das Steuergerät 160, das Isolationsmodul 165, die Head-Unit 170, das Freigabemodul 110, das GPS-Modul 130 und das Kommunikationsmodul 120 miteinander im Fahrzeug kommunizieren.

Bevorzugt verfügt das Fahrzeug 100 ferner über ein Zeitmodul (nicht dargestellt), über das eine gesicherte Zeitangabe bezogen werden kann. Dies kann insbesondere eine gesicherte Systemzeit des Fahrzeugs 100 oder eine andere gesicherte Zeitangabe sein, die über das Kommunikationsmodul 120 oder das GPS-Modul 130 bezogen wird.

Anhand der Figuren 3a und 3b wird das erfindungsgemäße Verfahren zur Bereitstellung des Dienstes, also der Steuerung der Standheizung 150 über den Cloud-Dienst 200 beschrieben.

Dabei zeigt Figur 3a das Verfahren gemäß einer ersten Ausführungsform, bei der das Ermitteln der Freigabeinformation im Fahrzeug 100 stattfindet.

In einem initialen Registrierungsschritt S1 wird eine Anfrage des Cloud-Dienstes 200 empfangen, in welcher der Cloud-Dienst 200 eine Freigabe zur Steuerung der Standheizung 150 im Rahmen der kooperativen Diensterbringung erfragt. Daraufhin werden in dem Schritt S1 Identifikationskennungen I_ext, IJnt der beteiligten Dienstkomponenten ermittelt, gemäß diesem Ausführungsbeispiel „HEATER_CONTROL_CLOUD" als Identifikationskennung des Cloud-Dienstes 200 und „HEATER_CONTROL_VEHICLE" als Identifikationskennung der fahrzeugseitigen Dienstkomponente auf dem Steuergerät 160.

In Schritt S2 werden aus den Identifikationskennungen IJnt und I_ext Eigenschaftsmerkmale M der kooperativen Diensterbringung ermittelt, wobei die Eigenschaftsmerkmale M gemäß dem beschriebenen Ausführungsbeispiel die folgenden Informationen beinhalten:

Software-Version der fahrzeugseitigen Dienstkomponente auf dem Steuergerät: 3.2; Software-Version des Cloud-Dienstes: 11.0;

Angefragter Dienst: Steuerung der Standheizung („HEATER").

In Schritt S3 werden die Eigenschaftsmerkmale M über das Kommunikationsmodul 120 aus dem Fahrzeug 100 an den Backend-Server 300 übertragen.

In Schritt S4 ermittelt der Backend-Server 300 die Datensätze 412 und 414 der Freigabeliste, die gemäß der empfangenen Eigenschaftsmerkmale M relevant für die kooperative Diensterbringung sind. Die Struktur der Freigabeliste sowie das Ermitteln der relevanten Datensätze wird unten im Zusammenhang mit Figur 4 näher erläutert. Die ermittelten Datensätze 412, 414 werden in Schritt S5 vom Backend -Server 300 zunächst zurück an das Kommunikationsmodul 120 des Fahrzeugs 100 übertragen. Im Fahrzeug 100 werden die empfangenen Datensätze 414 und 414 über das Bordnetz 105 an das Freigabemodul 110 weitergeleitet und in der Datenbank 111 hinterlegt.

In Schritt S6 findet das Ermitteln der Freigabeinformation F durch das Freigabemodul 110 statt. Hierzu fragt das Freigabemodul den Inhalt der Datenbank 111 ab, welche insbesondere die beiden Datensätze 412 und 414 enthält. Gemäß der beiden übermittelten Datensätze 412 und 414 ist die Steuerung der Standheizung 150 durch den Cloud-Dienst 200 freigegeben, wenn mindestens eine der folgenden Bedingungen (i) oder (ii) erfüllt ist:

(i) die Software-Version der Fahrzeugkom ponente „HEATER_CONTROL_VEHICLE", d.h. der fahrzeugseitigen Dienstkomponente auf dem Steuergerät 160, ist 3.0 oder höher; die Software-Version der externen Komponente „HEATER_CONTROL_CLOUD", d.h. des Cloud- Dienstes 200, ist 10.0 oder höher; der GPS-Standort des Fahrzeugs 100 liegt im Gebiet DE oder NL; und die Dienstausführung erfolgt bis zum 01.02.2022;

(ii) die Software-Version der Fahrzeugkomponente „HEATER_CONTROL_VEHICLE", d.h. der fahrzeugseitigen Dienstkomponente auf dem Steuergerät 160, ist 3.0 oder höher; die Software-Version der externen Komponente „HEATER_CONTROL_CLOUD", d.h. des Cloud- Dienstes 200, ist 11.*; der GPS-Standort des Fahrzeugs 100 liegt im Gebiet SE; und die Dienstausführung erfolgt bis zum 01.03.2022.

Dabei entspricht die Bedingung (i) dem Datensatz 412 und die Bedingung (ii) dem Datensatz 414. Zur weiteren Prüfung ruft das Freigabemodul 110 den aktuellen GPS-Standort des Fahrzeugs 110 über das GPS-Modul 130 sowie eine aktuelle Zeitangabe inkl. Datum von einer gesicherten Zeitquelle ab. Für dieses Ausführungsbeispiel wird angenommen, dass der GPS-Standort im Gebiet DE liegt und das Datum der Zeitangabe auf den 01.01.2022 fällt.

Das Freigabemodul prüft nun anhand der Eigenschaftsmerkmale M, dem GPS-Standort und der Zeitangabe, ob mindestens eine der Bedingungen (i) oder (ii) erfüllt ist. Gemäß den oben beschriebenen Daten ist dies für Bedingung (i) der Fall. Folglich erstellt das Freigabemodul 110 eine Freigabeinformation F, welche die Steuerung der Standheizung 150 durch den Cloud-Dienst 200 im Fahrzeug 100 maximal bis zum 01.02.2022 zulässt.

Schließlich stellt in Schritt S9 das Freigabemodul 110 die ermittelte Freigabeinformation F dem Isolationsmodul 165 bereit. Daraufhin gibt das Isolationsmodul 165 APIs der Kommunikationsschnittstelle zwischen der fahrzeugseitigen Dienstkomponente und der externen Dienstkomponente sowie APIs der Kommunikationsschnittelle zwischen der fahrzeugseitigen Dienstkomponente und der Standheizung 150 für die kooperative Diensterbringung gemäß der ermittelten Freigabeinformation F frei. Das Isolationsmodul 165 leitet folglich Daten und Steuerbefehle, die auf die kooperative Diensterbringung mit dem Cloud-Dienst 200 zurückgehen, an die Standheizung 150 bis zu dem genannten Datum weiter.

Figur 3b zeigt das Verfahren gemäß einer zweiten Ausführungsform, bei der das Ermitteln der Freigabeinformation nicht im Fahrzeug 100, sondern durch den Backend -Server 300 erfolgt.

Die Schritte S1 bis S3 in Figur 3b sind identisch zu den entsprechend zuvor beschriebenen Schritten, bis darauf, dass in Schritt S2 bzw. S3 die Eigenschaftsmerkmale M' ermittelt bzw. übertragen werden. Die Eigenschaftsmerkmale M' enthalten die Eigenschaftsmerkmale M wie im Zusammenhang mit Figur 3a beschrieben, zusätzlich jedoch die ermittelte GPS-Position und die Zeitangabe wie dort beschrieben.

In Schritt S7 ermittelt der Backend -Server unter Verwendung der Kompatibilitätsliste und der ermittelten Eigenschaftsmerkmale M' eine Freigabeinformation F für die kooperative Diensterbringung. Im Unterschied zur in Figur 3a beschriebenen Ausführungsform ist dies möglich, da die Eigenschaftsmerkmale M' hier alle nötigen Daten enthalten, die für eine vollständige Prüfung gemäß Freigabeliste erforderlich ist.

Die ermittelte Freigabeinformation F wird in Schritt S8 vom Backend -Server 300 zunächst zurück an das Kommunikationsmodul 120 des Fahrzeugs 100 übertragen. Im Fahrzeug 100 wird die Freigabeinformation über das Bordnetz 105 an das Freigabemodul 110 weitergeleitet.

In Schritt S9 erfolgt wiederum das Freigaben der Kommunikationsschnittstellen, so, wie es im Zusammenhang mit Schritt S9 der Figur 3a beschrieben wurde.

Figur 4 zeigt die Freigabeliste 400, welche vier Datensätze 411-415 umfasst, die jeweils Tupel aus sieben Komponenten bilden. Jeder Datensatz 411-415 stellt eine zeitlich und räumlich begrenzte Freigabe eines Dienstes für eine Kombination aus Fahrzeugkomponente und externer Dienstkomponente dar. Dazu enthält jeder Datensatz 411-415 Angaben zu dem betreffenden Dienst, Identifikationskennungen der Fahrzeugkom ponente und der externen Dienstkomponente, einer Software-Version (SW-Version) der Fahrzeugkomponente, einer SW-Version der externen Dienstkomponente, dem geografischen Gebiet und einem Ablaufdatum. In den Software-Versionen wird die Relation >= verwendet, um die Menge aller Versionen gleich oder höher als der angegebenen Versionsnummer zu spezifizieren. Ein Stern stellt einen Platzhalter dar, an dessen Stelle eine beliebige Ziffer oder Landeskennung eingesetzt werden kann.

Datensatz 411 stellt eine Freigabe des Dienstes „LOCK" für die Fahrzeugkom ponente „LOCK_CONTROL_VEHICLE" mit SW -Version 2.0 oder höher und die externe Dienstkomponente „LOCK_CONTROL_APP" der SW-Version 7.* dar. Die Freigabe gilt in den Ländern DE, NL, PL und SE und bis zum 01.06.2022.

Datensatz 412 stellt eine Freigabe des Dienstes „HEATER" für die Fahrzeugkomponente „HEATER_CONTROL_VEHICLE" mit SW-Version 3.0 oder höher und die externe Dienstkomponente „HEATER_CONTROL_CLOUD" der SW-Version 10.0 oder höher dar. Die Freigabe gilt in den Ländern DE und NL und bis zum 01.02.2022.

Datensatz 413 stellt eine Freigabe des Dienstes „HORN" für die Fahrzeugkom ponente „HORN_CONTROL_VEHICLE" mit SW-Version 3.0 oder höher und die externe Dienstkomponente „HORN_CONTROL_APP" der SW-Version 8.0 oder höher dar. Die Freigabe gilt geografisch unbegrenzt und bis zum 01.01.2022.

Datensatz 414 stellt eine Freigabe des Dienstes „HEATER" für die Fahrzeugkomponente „HEATER_CONTROL_VEHICLE" mit SW-Version 3.0 oder höher und die externe Dienstkomponente „HEATER_CONTROL_CLOUD" der SW-Version 11.* dar. Die Freigabe gilt in dem Land SE und bis zum 01.03.2022.

Datensatz 415 stellt eine Freigabe des Dienstes „HEATER" für die Fahrzeugkomponente „HEATER_CONTROL_VEHICLE" mit SW-Version 4.0 oder höher und die externe Dienstkomponente „HEATER_CONTROL_CLOUD" der SW-Version 11.0 oder höher dar. Die Freigabe gilt geografisch unbegrenzt und bis zum 01.04.2022.

Im oben beschriebenen Ausführungsbeispiel enthalten die Eigenschaftsmerkmale M, M', welche an den Backend-Server 300 übermittelt werden, zumindest die folgenden Angaben:

Angefragter Dienst: Steuerung der Standheizung („HEATER");

Identifikationskennung der Fahrzeugkomponente: HEATER_CONTROL_VEHICLE; Identifikationskennung der ext. Dienstkomponente: HEATER_CONTROL_CLOUD; Software-Version des Steuergeräts (=Fahrzeugkomponente): 3.2;

Software-Version des Cloud-Dienstes (=ext. Dienstkomponente): 11.0.

In der Freigabeliste 400 beziehen sich lediglich die Datensätze 412, 414 und 415 auf den angegebenen Dienst. Die durch Datensatz 415 formulierten Voraussetzungen treffen jedoch nicht auf die Eigenschaftsmerkmale M, M' zu, da die Software-Version der Fa hrzeugkom ponente kleiner als 4.0 ist. Daher werden in den Schritten S4 bzw. S5 aus Figur 3a nur die Datensätze 412 und 414 als relevant ermittelt bzw. an das Fahrzeug 100 übertragen. In der Ausführungsform der Figur 3b wird ausgehend von den Eigenschaftsmerkmalen M' direkt eine Freigabeinformation F auf Grundlage des Datensatzes 412 ermittelt, da alle Voraussetzungen erfüllt sind.

In dem oben beschriebenen Ausführungsbeispiel wird die Datenübertragung zwischen Fahrzeug 100 und Backend-Server 300 allein durch das Kommunikationsmodul 120 des Fahrzeugs 100 realisiert. Alternativ oder zusätzlich kann das Smartphone 500 zu diesem Zweck eingesetzt werden. Insbesondere kann das Smartphone 500 Eigenschaftsmerkmale M vom Fahrzeug 100 empfangen und an den Backend -Server 300 senden. Weiterhin kann das Smartphone 500 Datensätze der Freigabeliste und/oder eine ermittelte Freigabeinformation F vom Backend-Server 300 empfangen und an das Fahrzeug 100 übertragen.

In dem in Figur 3a beschriebenen Ausführungsbeispiel werden einmalig Datensätze vom Backend-Sever 300 abgerufen und in der Datenbank 111 des Freigabemoduls 110 zur weiteren Verwendung gespeichert. Erfindungsgemäß kann eine Aktualisierung der Datenbank 111 zusätzlich regelmäßig erfolgen oder von weiteren Ereignissen ausgelöst werden. So kann die Aktualisierung fahrzeugseitig ausgelöst werden, wenn beispielsweise relevante Änderungen an der Fahrzeugkonfiguration erkannt wurden. Eine Aktualisierung kann auch ausgelöst werden, wenn ein Dienst angefragt wird, zu dem kein passender Datensatz in der internen Datenbank vorhanden ist, bzw. kein Datensatz vorhanden ist, der zu einer erlaubten Ausführung führen würde. Schließlich kann das Freigabemodul auch dazu konfiguriert sein, Aktualisierungen auch regelmäßig, beispielsweise wöchentlich, vorzunehmen. Außerdem können bestimmte Dienste erfordern, dass vor jeder Ausführung eine Aktualisierung erfolgen muss und der Dienst nur dann ausgeführt wird, wenn eine aktualisierte Freigabeinformation vorliegt.

Die in dieser Beschreibung verwendeten Begriffe „Modul", „Einheit", „Komponente" etc. beschreiben Einheiten, die grundsätzlich wahlweise in Hardware oder Software implementiert werden können, unabhängig davon, wie es in dieser Beschreibung ausgeführt ist. Ebenso können die beschriebenen Einheiten beliebig zusammengefasst oder voneinander getrennt implementiert werden, ohne vom Wesen der Erfindung abzuweichen.

An dieser Stelle sei darauf hingewiesen, dass alle oben beschriebenen Teile jeweils für sich - auch ohne im jeweiligen Zusammenhang zusätzlich beschriebene Merkmale, selbst wenn diese nicht explizit als optionale Merkmale im jeweiligen Zusammenhang individuell kenntlich gemacht worden sind, z. B. durch Verwendung von: insbesondere, vorzugsweise, beispielsweise, z. B., ggf. , runden Klammern, etc. - und in Kombination oder jeglicher Unterkombination als eigenständige Ausgestaltungen bzw. Weiterbildungen der Erfindung, wie sie insbesondere in der Beschreibungseinleitung sowie den Ansprüchen definiert ist, anzusehen sind. Abweichungen hiervon sind möglich. Konkret sei darauf hingewiesen, dass das Wort insbesondere oder runde Klammern keine im jeweiligen Kontext zwingende Merkmale kennzeichnen.

Bezugszeichenliste

100 Fahrzeug

105 Bord netz no Freigabemodul

111 Datenbank

120 Kommunikationsmodul

130 GPS-Modul

150 Standheizung

160 Steuergerät der Standheizung

165 Isolationsmodul

170 Head-Unit

200 Cloud-Dienst

300 Backend-Server

400 Freigabeliste

411 - 415 Datensatz

500 Smartphone

F Freigabeinformation

I_ext Identifikationskennung der externen Dienstkomponente

I J nt Identifikationskennung der fahrzeugseitigen Dienstkomponente

M,M' Eigenschaftsmerkmale

SI Registrierungsschritt

S2 Ermitteln von Eigenschaftsmerkmalen

S3 Übertragung von Eigenschaftsmerkmalen

S4 Ermitteln von Datensätzen

S5 Übertragung von Datensätzen

S6 Ermitteln der Freigabeinformation (durch Freigabemodul)

S7 Ermitteln der Freigabeinformation (durch Backend-Server)

S8 Übertragen der Freigabeinformation

S9 Freigeben einer Schnittstelle