BESCHREIBUNG:

Die Erfindung betrifft ein Verfahren zum Bereitstellen eines Updates für ein Kraftfahrzeug sowie ein System zum Durchführen eines derartigen Verfahrens.

Ein Kraftfahrzeug kann mehrere Steuereinrichtungen aufweisen, die jeweils mit einer Software betrieben werden. Für die jeweilige Software kann es mehreren Softwareversionen geben. Die jeweilige Steuereinrichtung des Kraftfahrzeugs wird mit genau einer der Softwareversionen betrieben, die als jeweilige aktuelle Softwareversion der Steuereinrichtung bezeichnet werden kann. Es kann nun der Fall sein, dass für zumindest eine der Steuereinrichtungen eine neue Softwareversion vorliegt, die von der aktuellen Softwareversion der Steuereinrichtung abweicht, sodass ein Update der Software der Steuereinrichtung sinnvoll ist. Das Update wird dem Kraftfahrzeug typischerweise von einer externen Recheneinrichtung bereitgestellt, indem es an das Kraftfahrzeug übermittelt wird. Das Update kann mehrere Updateeinheiten aufweisen, die jeweils Updatesoftware für eine der Steuereinrichtungen des Kraftfahrzeugs umfassen, sodass mit einem einzelnen Update die Software mehrerer Steuereinrichtungen geändert werden kann.

Die DE 10 2019 212 664 A1 zeigt eine Vorrichtung zum Bereitstellen einer Aktualisierung für ein Fahrzeug mit einer Vielzahl von Steuerungen. Eine Steuerschaltung des Fahrzeugs ist dazu eingerichtet, eine Reihenfolge der Aktualisierung der Steuerungen auf der Grundlage einer voreingestellten Priorität und einer Größe von Aktualisierungsdaten einzustellen. Die DE 11 2017 006 978 T5 zeigt eine Steuereinrichtung, ausgebildet zum Steuern eines Aktualisierens eines Steuerprogramms einer Bordfahrzeugsteuervorrichtung. Eine Steuereinheit der Steuereinrichtung kann einen Bestimmungsprozess ausführen, um zu bestimmen, ob eine Aktualisierung der Vielzahl von Steuerprogrammen entsprechend von Aktualisierungsreihenfolgen auszuführen ist oder nicht.

Die WO 2019/021064 A1 zeigt ein Erzeugen einer Software-Deltadatei für eine Fahrzeugsteuereinrichtung. Attribute eines Softwareupdates werden mit Attributen einer aktuellen Software, die in der Fahrzeugsteuereinrichtung gespeichert ist, verglichen und abhängig von Unterschieden zwischen diesen Attributen wird eine Software-Deltadatei erzeugt.

Es ist die Aufgabe der Erfindung, eine Lösung bereitzustellen, mittels derer zuverlässig ein Update für ein Kraftfahrzeug bereitgestellt werden kann.

Die Aufgabe wird durch die Gegenstände der unabhängigen Patentansprüche gelöst.

Ein erster Aspekt der Erfindung betrifft ein Verfahren zum Bereitstellen eines Updates für ein Kraftfahrzeug. Das Verfahren beruht zumindest teilweise auf der Erkenntnis, dass in einem Kraftfahrzeug oftmals für jede einzelne Steuereinrichtung, das heißt beispielsweise für eine Steuereinrichtung für ein Bremssystem, eine Steuereinrichtung für eine Leuchteinrichtung und/oder eine Steuereinrichtung für eine Komfortfunktion, wie beispielsweise eine Sitzheizung, eine Klimaanlage und/oder eine Multimediaeinrichtung, jeweils einzelne Steuereinrichtungen vorgesehen sind. Für mehrere der Steuereinrichtungen können gemeinsame Schnittstellen vorgesehen sein, über die eine Verbindung zu einer zentralen Kommunikationsschnittstelle des Kraftfahrzeugs möglich sein kann. Mittels der zentralen Kommunikationsschnittstelle kann beispielsweise ein Internetzugang für das Kraftfahrzeug bereitgestellt werden. Ferner kann eine Nachweispflicht für Software, die neu für das Kraftfahrzeug vorgesehen ist, vorgegeben sein, um beispielsweise Manipulationen an der Software frühzeitig feststellen zu können. Aus diesem Grund wird beispielsweise eine Softwaregesamtliste bereitgestellt, in der für jede potentiell vom Kraftfahrzeug umfasste Steuereinrichtung eine aktuell vorgesehene Softwareversion eingetragen ist. Die Softwaregesamtliste kann von einem Fahrzeughersteller bereitgestellt sein. In der Liste können verschiedene Versionen der Steuereinrichtung selbst unterschieden werden, die sich hardwaretechnisch unterscheiden. Ein Kraftfahrzeug weist nicht zwangsläufig alle Steuereinrichtungen der Gesamtliste auf, sondern, zum Beispiel je nach Ausstattung des Kraftfahrzeugs, eine Auswahl der Steuereinrichtungen der Softwaregesamtliste. Die Softwaregesamtliste kann als Baseline bezeichnet werden. Die Softwaregesamtliste beschreibt also ein Vollpaket an möglichen Steuereinrichtungen für ein Kraftfahrzeug.

Da ein Kraftfahrzeug typischerweise nur die Auswahl an Steuereinrichtungen aufweist, sollten im Rahmen des Bereitstellens eines Updates nicht für alle Steuereinrichtungen der Softwaregesamtliste entsprechende Updateeinheiten übermittelt werden, sondern nur die für das Kraftfahrzeug relevanten Updateeinheiten, die die Software der tatsächlich im Kraftfahrzeug angeordneten Steuereinrichtungen betreffen. Ein derartiges Vorgehen ist besonders ressourcen- und zeitsparsam, da das Update, das dem Kraftfahrzeug bereitgestellt wird, auf das Kraftfahrzeug zugeschnitten ist.

Das erfindungsgemäße Verfahren umfasst ein Bereitstellen von Ausstattungsdaten vom Kraftfahrzeug für eine externe Recheneinrichtung. Die Ausstattungsdaten beschreiben, mit welchen Steuereinrichtungen das Kraftfahrzeug ausgestattet ist und mit welcher Softwareversion die jeweilige Steuereinrichtung aktuell betrieben wird. Die Softwareversion bezieht sich also auf eine Software, die in der Steuereinrichtung gespeichert ist und mit der die Steuereinrichtung aktuell betrieben wird. Die Softwareversion ist mit anderen Worten eine Version der Software, die in der Steuereinrichtung installiert ist. Die Ausstattungsdaten können als Liste zusammengefasst sein, die alle Steuereinrichtungen des Kraftfahrzeugs mit ihrer jeweiligen aktuellen Softwareversion auflistet. Die Ausstattungsdaten beschreiben somit einen Verbauzustand des Kraftfahrzeugs hinsichtlich Hardware und Software. Im Kraftfahrzeug selbst kann beispielsweise eine zentrale Steuervorrichtung vorgesehen sein, die die Ausstattungsdaten zusammenstellt und diese beispielsweise einer Kommunikationsschnittstelle des Kraftfahrzeugs übermittelt, die daraufhin über eine Kommunikationsverbindung die Ausstattungsdaten an die externe Recheneinrichtung übermittelt und sie somit dieser bereitstellt. Die Kommunikationsverbindung ist bevorzugt kabellos, insbesondere drahtlos, ausgebildet. Die Kommunikationsverbindung kann beispielsweise über ein drahtloses lokales Netzwerk (WLAN für Wireless Local Area Network), eine Bluetooth- Verbindung und/oder ein mobiles Datennetzwerk, beispielsweise basierend auf dem Mobilfunkstandard Long Term Evolution (LTE), Long Term Evolution Advanced (LTE-A), Fifth Generation (5G) oder Sixth Generation (6G), ausgebildet sein. Alternativ oder zusätzlich dazu kann die Kommunikationsverbindung zumindest teilweise kabelgebunden, insbesondere drahtgebunden, ausgebildet sein. Die derartige Kommunikationsverbindung kann über eine Fahrzeugdiagnosesystemschnittstelle des Kraftfahrzeugs erfolgen. Es kann eine zusätzliche externe Recheneinrichtung vorgesehen sein, die zumindest mit der Fahrzeugdiagnosesystemschnittstelle kabelgebunden gekoppelt ist und die dazu ausgebildet ist, eine Kommunikationsverbindung zur externen Recheneinrichtung aufzubauen beziehungsweise zu unterhalten.

Die externe Recheneinrichtung ist beispielsweise ein Server, ein Cloud- Server oder ein Backend. Mittels der externen Recheneinrichtung erfolgt ein Auswählen von allen für das Kraftfahrzeug relevanten Updateeinheiten aus der Softwaregesamtliste. In die Softwaregesamtliste ist für jede potentiell vom Kraftfahrzeug umfasste Steuereinrichtung eine aktuell vorgesehene Softwareversion eingetragen. Bevorzugt weist die Softwaregesamtliste genau eine Softwareversion pro Steuereinrichtung auf. Das Auswählen der relevanten Softwareeinheiten erfolgt unter Berücksichtigung der bereitgestellten Ausstattungsdaten. Mit anderen Worten kann für jede einzelne Steuereinrichtung des Kraftfahrzeugs überprüft werden, ob für diese gemäß der Softwaregesamtliste eine andere Softwareversion vorgesehen ist, als die Softwareversion, die der Ausstattungsliste für diese Steuereinrichtung zu entnehmen ist. Für jede Steuereinrichtung des Kraftfahrzeugs, für die die Softwareversionen der Ausstattungsdaten und der Softwaregesamtliste nicht übereinstimmen, wird die Updateeinheit ausgewählt, das heißt es wird die Software der entsprechenden neuen Softwareversion ausgewählt. Die Updateeinheit ist hierbei eine Komponente eines Gesamtupdates und kann alternativ als Einzelupdate für eine der Steuereinrichtungen des Kraftfahrzeugs bezeichnet werden.

Mittels der externen Recheneinrichtung erfolgt nun ein Ermitteln von Updatereihenfolgedaten durch Anwenden eines Reihenfolgeermittlungskriteriums auf die ausgewählten Updateeinheiten. Die Updatereihenfolgedaten beschreiben eine Reihenfolge eines Installierens der ausgewählten Updateeinheiten im Kraftfahrzeug. Das Reihenfolgeermittlungskriterium ist ein Algorithmus und/oder eine Vorschrift, anhand dessen beziehungsweise deren die externe Recheneinrichtung bestimmt, welche der ausgewählten Updateeinheiten wann im Vergleich zu den anderen Updateeinheiten im Kraftfahrzeug installiert werden soll. In einem einfachen Beispiel wird jeder Updateeinheit beispielsweise eine Positionszahl zuordnen, sodass beispielsweise aufsteigenden Positionszahlen folgend die einzelnen Updateeinheiten nacheinander, das heißt seriell, installiert werden, wenn sie gemäß der Updatereihenfolgedaten im Kraftfahrzeug installiert werden. Das Reihenfolgeermittlungskriterium wird von der externen Recheneinrichtung durchgeführt, wobei als Ergebnis des Durchführens die Updatereihenfolgedaten vorliegen. Mit anderen Worten wird die Updatereihenfolge festgelegt, indem eine zeitliche Abfolge der einzelnen Updateeinheiten ermittelt wird.

Das Verfahren umfasst zudem ein Bereitstellen der ausgewählten Updateeinheiten und der ermittelten Updatereihenfolgedaten für das Kraftfahrzeug. Hierfür werden die ausgewählten Updateeinheiten und die ermittelten Updatereihenfolgedaten über die Kommunikationsverbindung von der externen Recheneinrichtung an das Kraftfahrzeug übermittelt. Die ausgewählten Updateeinheiten und die ermittelten Updatereihenfolgedaten können beispielsweise als Updatepaket oder als Updateordner zusammengefasst übermittelt werden. Die Updateeinheiten sind hierbei derart zu verstehen, dass sie die entsprechende Software für das entsprechende Update der jeweiligen Steuereinrichtung aufweisen. Mit anderen Worten umfassen die Updateeinheiten jeweils Softwarecode für die jeweilige Steuereinrichtung, für die eine neue Softwareversion vorgesehen ist.

Mittels des erfindungsgemäßen Verfahrens wird erreicht, dass ein zuverlässiges Update für das Kraftfahrzeug bereitgestellt wird, das nur die Updateeinheiten umfasst, die tatsächlich im Kraftfahrzeug installiert werden sollten und das zudem vorgibt, wie besonders sinnvoll und zuverlässig die Reihenfolge des Installierens der Updateeinheiten erfolgen sollte. Hierdurch kann beispielsweise eine Abhängigkeit der Installation einer Updateeinheit von der Installation einer anderen Updateeinheit berücksichtigt werden, falls eine derartige Information vom Reihenfolgeermittlungskriterium berücksichtigt wird. Insgesamt kann eine Vielzahl von möglichen Voraussetzungen an die Updatereihenfolge berücksichtigt werden, indem das Reihenfolgeermittlungskriterium entsprechend ausgestaltet wird.

Zu der Erfindung gehören Ausführungsformen, durch die sich zusätzliche Vorteile ergeben.

Ein Ausführungsbeispiel sieht vor, dass die bereitgestellten Updateeinheiten in der Reihenfolge gemäß den bereitgestellten Updatereihenfolgedaten im Kraftfahrzeug installiert werden. Bevorzugt werden also nicht nur die Informationen, die benötigt werden, um das Update prinzipiell im Kraftfahrzeug durchführen zu können, bereitgestellt, das heißt die ausgewählten Updatedaten und die ermittelten Updatereihenfolgedaten, sondern es wird zudem tatsächlich das vorgesehene Update im Kraftfahrzeug installiert. Hierfür können beispielsweise im Kraftfahrzeug selbst die einzelnen Updateeinheiten ihren jeweiligen Steuereinrichtungen zugeordnet werden, sodass, beispielsweise von der zentralen Steuereinrichtung initiiert oder von den jeweiligen einzelnen Steuereinrichtungen selbst durchgeführt, die jeweiligen Updateeinheiten gemäß den Updatereihenfolgedaten installiert werden. Alternativ ausgedrückt können die Steuereinrichtungen auf Basis der bereitgestellten Updateeinheiten gemäß der Reihenfolge geflasht oder geupdated werden. Letztendlich kann als Ergebnis des Verfahrens erreicht sein, dass die Steuereinrichtungen des Kraftfahrzeugs alle auf einen Softwarestand gemäß der Softwaregesamtliste gebracht wurden.

Ein weiteres Ausführungsbeispiel sieht vor, dass die Updatereihenfolgedaten vorgeben, ob mehrere der bereitgestellten Updateeinheiten und wenn ja, welche der Updateeinheiten parallel installiert werden. Es ist also nicht zwangsläufig nötig, dass die einzelnen Updateeinheiten seriell installiert werden, sondern mittels des Reihenfolgeermittlungskriteriums kann festgestellt werden, welche der Updateeinheiten zeitgleich im Kraftfahrzeug installiert werden können, beispielsweise da die entsprechenden Steuereinrichtungen nicht voneinander abhängende Prozesse und/oder Services bereitstellen. Hierdurch kann eine Installationszeitdauer für das Installieren der Updateeinheiten reduziert werden, da immer, falls möglich, zeitgleich mehrere Updateeinheiten gemäß der Updatereihenfolgedaten installiert werden. Dies führt zu einem besonders zeitsparsamen Updaten der Steuereinrichtungen.

Ferner sieht es ein Ausführungsbeispiel vor, dass das Reihenfolgeermittlungskriterium auf einem mathematischen Modell basiert. Das mathematische Modell berücksichtigt für jede der ausgewählten Updateeinheiten zumindest eine von folgenden Informationen: Eine Abhängigkeit von einer Installation zumindest einer anderen Updateeinheit; eine Installationszeitdauer; einen Installationsenergieverbrauch; eine allgemeine Sicherheitsanforderung; eine funktionelle Sicherheitsanforderung; und/oder eine gesetzliche Sicherheitsanforderung. Dem Reihenfolgeermittlungskriterium liegen somit zum Beispiel Informationen über das Installieren der einzelnen Updateeinheiten selbst vor, das heißt deren Abhängigkeit voneinander, benötigte Zeit und/oder benötigte Energie. Die Installationszeitdauer kann alternativ als Updatezeit bezeichnet werden. Der Installationsenergieverbrauch kann als Energiemenge für die Installation der jeweiligen Updateeinheit verstanden werden. Zur Ermittlung des Installationsenergieverbrauchs kann beispielsweise bei einer Testinstallation der Updateeinheit eine maximale Strombelastung in einem Kraftfahrzeug gemessen und daraus der Installationsenergieverbrauch berechnet werden. Die Installationszeitdauer kann ebenfalls bei der Testinstallation bestimmt werden. Letztendlich sind die Installationszeitdauer und der Installationsenergieverbrauch Leistungskennzahlen für die Installation der jeweiligen Updateeinheit.

Die Abhängigkeit der einzelnen Steuereinrichtungen untereinander ist bevorzugt eine funktionale Abhängigkeit, sodass hiervon beispielsweise umfasst wird, ob einzelne Steuereinrichtungen in einem Datenaustausch stehen. Es kann dann vorgesehen sein, dass beispielsweise nicht in einer Steuereinrichtung die Updateeinheit installiert wird, während eine andere Steuereinrichtung kontinuierlich Daten von der Steuereinrichtung erwartet. Denn in dieser Situation kann eine Fehlfunktion der auf die Daten wartenden Steuereinrichtung ausgelöst werden. In einem solchen Fall ist es daher sinnvoll, die miteinander im Zusammenhang stehenden Steuereinrichtungen synchron, das heißt parallel, zu updaten. Alternativ oder zusätzlich dazu können Vorkehrungen getroffen werden, damit zum Beispiel in der die Daten erwartenden Steuereinrichtung keine Fehlfunktion ausgelöst wird.

Die allgemeine Sicherheitsanforderung kann beispielsweise Anforderungen und somit Vorgaben an die Kommunikationsschnittstelle selbst und deren mögliches Update aufweisen. Die Sicherheitsanforderung kann alternativ als Safety-und-Security-relevante Anforderung bezeichnet werden. Handelt es sich beispielsweise bei dem Softwareupdate um ein Update für eine Schnittstelle, die gegebenenfalls Daten von der externen Recheneinrichtung und/oder einer anderen externen Datenquelle empfängt und/oder verarbeitet, können besondere Anforderungen an das Durchführen der entsprechenden Updateeinheit vorliegen, da die Sicherheit des Gesamtsystems des Kraftfahrzeugs betroffen sein kann. Derartige Security-Requests können also mittels der allgemeinen Sicherheitsanforderungen berücksichtigt werden.

Die funktionale Sicherheitsanforderung betrifft beispielsweise Steuereinrichtungen, die redundant ausgebildet sind und die beispielsweise nicht zeitgleich von dem Update betroffen sein sollten. Die funktionelle Sicherheitsanforderung kann beispielsweise vorgeben, dass im Falle von Updates für Steuereinrichtungen für eine Türverriegelung von Türen des Kraftfahrzeugs es nicht möglich ist, dass das Steuergerät von allen beispielsweise vier Türen des Kraftfahrzeugs gleichzeitig installiert wird. Es muss beispielsweise immer zumindest eine Steuereinrichtung für eine der Türen des Kraftfahrzeugs von der Installation der Updateeinheit nicht betroffen sein, sodass beispielsweise die vier Steuereinrichtungen der vier Fahrzeugtüren nur nacheinander, das heißt seriell, vom Update betroffen sein können und nicht gleichzeitig.

Die gesetzliche Anforderung betrifft beispielsweise gesetzlich vorgegebene Verbote und/oder Vorgaben an Updatevorgänge, sodass beispielsweise Stempel und/oder Signaturen vorgegeben und beibehalten werden müssen. Eine derartige gesetzliche Sicherheitsanforderung kann beispielsweise von einer internationalen oder nationalen Institution bestimmt worden sein, wie zum Beispiel das Regularium für automotive Cybersecurity der Wirtschaftskommission für Europa der Vereinten Nationen (UNECE, für United Nations Economic Commission for Europe).

Letztendlich sind im Reihenfolgeermittlungskriterium zahlreiche Informationen gebündelt, anhand derer die Updatereihenfolgedaten ermittelt werden können. Das Reihenfolgeermittlungskriterium liegt somit als mathematisches Modell vor, das auf zumindest einer und bevorzugt auf mehreren der genannten Informationen basiert. Hierdurch kann eine besonders sinnvolle Updatereihenfolge ermittelt werden.

Außerdem sieht es ein Ausführungsbeispiel vor, dass das

Reihenfolgeermittlungskriterium Erfahrungsdaten berücksichtigt. Die Erfahrungsdaten beschreiben zumindest eine Erfahrung, die bei einer Absicherung der jeweiligen Steuereinrichtung des Kraftfahrzeugs und/oder einer Verbundabsicherung der Steuereinrichtung ermittelt wurde. Alternativ oder zusätzlich dazu wurde die Erfahrung als eine Rückmeldung auf vergangene Updates bereitgestellt. Mit anderen Worten kann auf Erfahrungswerte aus der Vergangenheit zurückgegriffen werden und anhand derer das mathematische Modell des Reihenfolgeermittlungskriteriums optimiert und angepasst werden.

Die Absicherung der jeweiligen Steuereinrichtung wird beispielsweise im Rahmen eines zyklischen Tests ermittelt, der für die Freigabe der Steuereinrichtung für den Einbau in einem Kraftfahrzeug benötigt wird. In diesem Rahmen können Anforderungen an Updates geprüft werden, wie beispielsweise ein Bestimmen der Installationszeitdauer und des Installationsenergieverbrauchs. Derartige Absicherungen können auch für einen ganzen Verbund, das heißt beispielsweise für alle in der Softwaregesamtliste genannten Steuereinrichtungen, bestimmt werden. Dies ist dann die Verbundabsicherung. Es können beispielsweise aus der Verbundabsicherung Maximalwerte für die Installationszeitdauer und/oder den Installationsenergieverbrauch für die Updateeinheiten für alle Steuereinrichtungen der Softwaregesamtliste bestimmt werden. Letztendlich können hierdurch Informationen aus der Entwicklung beim Fahrzeughersteller, die im Rahmen von zyklischen Tests bei der Entwicklung und/oder Produktion von Steuereinrichtungen erzeugt werden, dem Reihenfolgeermittlungskriterium bereitgestellt werden, das diese dann berücksichtigen kann. Im Rahmen der Absicherung beziehungsweise Verbundabsicherung kann die oben exemplarisch genannte Testinstallation erfolgen.

Rückmeldungen von bisherigen oder vergangenen Updates können beispielsweise von Werkstätten und/oder sonstigen Testinstallationen bereitgestellt werden. Die Rückmeldungen sind somit zum Beispiel Erfahrungswerte aus vorhergehenden Updatekampagnen. Hierbei werden bevorzugt von einzelnen Kraftfahrzeugen Rückmeldungen gegeben, die beispielsweise vom jeweiligen Kraftfahrzeug an die externe Recheneinrichtung übermittelt werden. Hierdurch lassen sich beispielsweise Informationen dazu entnehmen, welche Abhängigkeiten zwischen den einzelnen Steuereinrichtungen zu berücksichtigen sind und/oder es lässt sich die bei der jeweiligen Absicherung festgestellte Installationszeitdauer und/oder Installationsenergieverbrauch überprüfen, insbesondere bestätigen. Hierdurch kann das Reihenfolgeermittlungskriterium weiter präzisiert werden.

Im Zusammenhang mit den Erfahrungsdaten kann es in einem Ausführungsbeispiel vorgesehen sein, dass die Erfahrungsdaten zyklisch bereitgestellt werden. Es können beispielsweise fest vorgeschriebene Zeitabstände vorgesehen sein, in denen die Erfahrungsdaten bereitgestellt werden. Hierdurch wird sichergestellt, dass die Informationen, die in Form der Erfahrungsdaten bereitgestellt werden, stets aktuell sind.

Gemäß einem weiteren Ausführungsbeispiel ist es vorgesehen, dass die Updatereihenfolgedaten eine Gesamtinstallationszeitdauerinformation aufweisen, die eine voraussichtliche Gesamtzeitdauer einer Installation der ausgewählten Updateeinheiten beschreibt. Die Gesamtinstallationszeitdauerinformation kann mittels Gesamtzeitdauerdaten beschrieben werden, die von den Updatereihenfolgedaten umfasst werden. Es wird nun überprüft, ob die Gesamtinstallationszeitdauerinformation, das heißt die voraussichtliche Gesamtzeitdauer der Installation des Updates, kleiner als ein vorgegebener Zeitdauergrenzwert ist. Falls dies der Fall ist, insbesondere nur falls dies der Fall ist, werden die ausgewählten Updateeinheiten und die ermittelten Updatereihenfolgedaten bereitgestellt und/oder deren Installation wird zugelassen. Das Überprüfen erfolgt insbesondere vor dem Bereitstellen der ausgewählten Updateeinheiten und der ermittelten Updatereihenfolgedaten. Letztendlich kann es vorgesehen sein, dass das Update nur dann bereitgestellt beziehungsweise dessen Installation ermöglicht wird, wenn die Gesamtzeitdauer des Installierens der Updateeinheiten des Updates nicht den vorgegebenen Zeitdauergrenzwert überschreitet. Hierdurch wird sichergestellt, dass das Update nicht mehr Zeit benötigt, als beispielsweise aufgrund eines gleichzeitigen Betriebs des Kraftfahrzeugs vorgegeben ist. Es kann beispielsweise der Fall sein, dass das Installieren der Updateeinheiten während einer Wartepause vor einer Ampeleinrichtung und somit während einer Fahrt des Kraftfahrzeugs erfolgen soll. Da eine derartige Wartedauer typischerweise nur wenige Sekunden oder Minuten lang ist, kann ein entsprechend kurzer Zeitdauergrenzwert vorgegeben sein. Hierdurch wird verhindert, dass durch das Update das Kraftfahrzeug über eine längere Zeit beispielsweise nicht fahrtüchtig ist, als es gewünscht ist. Falls die Gesamtinstallationszeitdauerinformation größer als oder gleich des vorgegebenen Zeitdauergrenzwerts ist, kann es möglich sein, dass die ermittelten Updatereihenfolgedaten sowie die ausgewählten Updateeinheiten dennoch bereitgestellt werden, jedoch ein Hinweis im Kraftfahrzeug ausgegeben wird, der über die voraussichtliche Überschreitung des Zeitdauergrenzwerts beim Installieren des Updates informiert. Der Nutzer kann daraufhin beispielsweise zu einem beliebigen Zeitpunkt dennoch die Installation des Updates erlauben, obwohl der Zeitdauergrenzwert überschritten ist. Hierdurch wird letztendlich ein besonders benutzerfreundliches Update für das Kraftfahrzeug bereitgestellt.

Außerdem kann es ein weiteres Ausführungsbeispiel vorsehen, dass die Updatereihenfolgedaten eine Gesamtenergieverbrauchsinformation aufweisen, die einen voraussichtlichen gesamten Installationsenergieverbrauch einer Installation der ausgewählten Updateeinheiten beschreibt. Die Gesamtenergieverbrauchsinformation kann in Form von Gesamtenergieverbrauchsdaten vorliegen, die von den Updatereihenfolgedaten umfasst sein können. Es wird daraufhin überprüft, ob der voraussichtliche gesamte Installationsenergieverbrauch gemäß der Gesamtenergieverbrauchsinformation kleiner als ein vorgegebener Energieverbrauchsgrenzwert ist. Falls dies der Fall ist, insbesondere nur falls dies der Fall ist, werden die ausgewählten Updateeinheiten und die ermittelten Updatereihenfolgedaten bereitgestellt und/oder deren Installation wird zugelassen. Insbesondere erfolgt das Überprüfen vor dem Bereitstellen der ausgewählten Updateeinheiten und der ermittelten Updatereihenfolgedaten für das Kraftfahrzeug. Hierbei kann, falls das Überprüfen nicht erfolgreich ist, also falls die Gesamtenergieverbrauchsinformation größer als oder gleich dem Energieverbrauchsgrenzwert ist, ein Hinweis über das voraussichtliche Überschreiten des Energieverbrauchsgrenzwerts im Kraftfahrzeug ausgegeben werden. Hierdurch kann sichergestellt werden, dass beispielsweise das Update nicht mehr Energie benötigt, als hierfür vorgesehen ist und beispielsweise nicht eine 12-Volt-Batterie des Kraftfahrzeugs, die beispielsweise Energie für die Installation des Updates bereitstellt, entleert wird, während das Update installiert wird. Hierdurch wird mittels einer zusätzlichen Überprüfung gewährleistet, dass die ermittelte Updatereihenfolge für die ausgewählten Updateeinheiten sinnvoll ist, da diese das Update für das Kraftfahrzeug derart bereitstellt, dass der Installationsenergieverbrauch für das gesamte Update betrachtet nicht den vorgegebenen Grenzwert überschreitet.

Ferner kann es gemäß einem Ausführungsbeispiel vorgesehen sein, dass Ladezustandsdaten ermittelt werden. Die Ladezustandsdaten beschreiben einen Ladezustand einer Batterie des Kraftfahrzeugs. Die Batterie des Kraftfahrzeugs ist hierbei typischerweise die 12-Volt-Batterie des Kraftfahrzeugs. Die Batterie ist somit beispielsweise keine Hochvolt-Batterie, die zur Energieversorgung eines Elektromotors und somit eines elektrischen Antriebs des Kraftfahrzeugs ausgebildet ist. Der Energieverbrauchsgrenzwert wird abhängig von den ermittelten Ladezustandsdaten festgelegt. Wird beispielsweise festgestellt, dass die Batterie des Kraftfahrzeugs schon annähernd entleert ist, kann dies Auswirkungen auf das Bereitstellen der ausgewählten Updateeinheiten und der ermittelten Updatereihenfolgedaten für das Kraftfahrzeug und/oder deren Installation haben, sodass nur dann, wenn die Batterie des Kraftfahrzeugs die Installation des Updates tatsächlich zulässt, dieses beispielsweise überhaupt bereitgestellt und/oder installiert wird. Die Ladezustandsdaten werden hierfür im Kraftfahrzeug ermittelt und beispielsweise über die Kommunikationsverbindung an die externe Recheneinrichtung übermittelt. Das Übermitteln an die externe Recheneinrichtung kann automatisch, das heißt beispielsweise kontinuierlich, und/oder auf eine Anfrage der externen Recheneinrichtung hin erfolgen. Hierdurch kann eine zuverlässige Absicherung bereitgestellt sein, um zu verhindern, dass das Update die Energieversorgung des Kraftfahrzeugs negativ beeinträchtigt.

Für Anwendungsfälle oder Anwendungssituationen, die sich bei dem Verfahren ergeben können und die hier nicht explizit beschrieben sind, kann vorgesehen sein, dass gemäß dem Verfahren eine Fehlermeldung und/oder eine Aufforderung zur Eingabe einer Nutzerrückmeldung ausgegeben und/oder eine Standardeinstellung und/oder ein vorbestimmter Initialzustand eingestellt wird.

Ein weiterer Aspekt der Erfindung betrifft ein System. Das System umfasst ein Kraftfahrzeug und eine externe Recheneinrichtung. Das System ist dazu ausgebildet, das oben beschriebene Verfahren durchzuführen. Das System kann alternativ als Anordnung umfassend ein Kraftfahrzeug und eine externe Recheneinrichtung bezeichnet werden. In diesem Fall ist die Anordnung dazu ausgebildet, das oben beschriebene Verfahren durchzuführen.

Zu der Erfindung gehören auch Weiterbildungen des erfindungsgemäßen Systems, die Merkmale aufweisen, wie sie bereits im Zusammenhang mit den Weiterbildungen des erfindungsgemäßen Verfahrens beschrieben worden sind. Aus diesem Grund sind die entsprechenden Weiterbildungen hier nicht noch einmal beschrieben.

Das Kraftfahrzeug ist bevorzugt als Kraftwagen, insbesondere als Personenkraftwagen oder Lastkraftwagen, oder als Personenbus oder Motorrad ausgestaltet.

Zu der Erfindung gehören auch die Steuereinrichtungen für das Kraftfahrzeug und die externe Recheneinrichtung. Die jeweilige Steuereinrichtung kann eine Datenverarbeitungsvorrichtung oder eine Prozessoreinrichtung aufweisen, die dazu eingerichtet ist, eine Ausführungsform des erfindungsgemäßen Verfahrens durchzuführen. Die Prozessoreinrichtung kann hierzu zumindest einen Mikroprozessor und/oder zumindest einen Mikrocontroller und/oder zumindest einen FPGA (Field Programmable Gate Array) und/oder zumindest einen DSP (Digital Signal Processor) aufweisen. Des Weiteren kann die Prozessoreinrichtung Programmcode aufweisen, der dazu eingerichtet ist, bei Ausführen durch die Prozessoreinrichtung die Ausführungsform des erfindungsgemäßen Verfahrens durchzuführen. Der Programmcode kann in einem Datenspeicher der Prozessoreinrichtung gespeichert sein.

Als eine weitere Lösung umfasst die Erfindung auch ein computerlesbares Speichermedium, umfassend Befehle, die bei der Ausführung durch einen Computer oder einen Computerverbund diesen veranlassen, eine Ausführungsform des erfindungsgemäßen Verfahrens auszuführen. Das Speichermedium kann z.B. zumindest teilweise als ein nicht-flüchtiger Datenspeicher (z.B. als eine Flash-Speicher und/oder als SSD - solid state drive) und/oder zumindest teilweise als ein flüchtiger Datenspeicher (z.B. als ein RAM - random access memory) ausgestaltet sein. Durch den Computer oder Computerverbund kann eine Prozessorschaltung mit zumindest einem Mikroprozessor bereitgestellt sein. Die Befehle können als Binärcode oder Assembler und/oder als Quellcode einer Programmiersprache (z.B. C) bereitgestellt sein.

Die Erfindung umfasst auch die Kombinationen der Merkmale der beschriebenen Ausführungsformen. Die Erfindung umfasst also auch Realisierungen, die jeweils eine Kombination der Merkmale mehrerer der beschriebenen Ausführungsformen aufweisen, sofern die Ausführungsformen nicht als sich gegenseitig ausschließend beschrieben wurden.

Im Folgenden sind Ausführungsbeispiele der Erfindung beschrieben. Hierzu zeigt:

Fig. 1 eine schematische Darstellung eines Systems umfassend ein Kraftfahrzeug und eine externe Recheneinrichtung; und Fig. 2 in schematischer Darstellung einen Signalflussgraphen für ein Verfahren zum Bereitstellen eines Updates für ein Kraftfahrzeug.

Bei den im Folgenden erläuterten Ausführungsbeispielen handelt es sich um bevorzugte Ausführungsformen der Erfindung. Bei den Ausführungsbeispielen stellen die beschriebenen Komponenten der Ausführungsformen jeweils einzelne, unabhängig voneinander zu betrachtende Merkmale der Erfindung dar, welche die Erfindung jeweils auch unabhängig voneinander weiterbilden. Daher soll die Offenbarung auch andere als die dargestellten Kombinationen der Merkmale der Ausführungsformen umfassen. Des Weiteren sind die beschriebenen Ausführungsformen auch durch weitere der bereits beschriebenen Merkmale der Erfindung ergänzbar.

In den Figuren bezeichnen gleiche Bezugszeichen jeweils funktionsgleiche Elemente.

In Fig. 1 ist ein Kraftfahrzeug 1 skizziert. Es ist ferner eine externe Recheneinrichtung 2 skizziert, die beispielsweise als Server oder Backend ausgebildet ist. Das Kraftfahrzeug 1 und die Recheneinrichtung 2 werden von einem System 3 umfasst. Das System 3 kann alternativ als Anordnung bezeichnet werden.

Das Kraftfahrzeug 1 weist mehrere Steuereinrichtungen 4 auf. Die einzelnen Steuereinrichtungen 4 können dazu ausgebildet sein, eine Antriebseinrichtung des Kraftfahrzeugs 1 , das heißt beispielsweise einen Motor des Kraftfahrzeugs 1 , anzusteuern, eine Komfortfunktion bereitzustellen, wie beispielsweise eine Steuerung einer Klimaanlage und/oder einer Multimediaeinrichtung, und/oder eine andere Funktion oder einen anderen Service des Kraftfahrzeugs 1 bereitzustellen, wie beispielsweise die Steuerung einer Lichteinrichtung, eine Fernsteuerung für eine Türschließeinrichtung und/oder eine automatische Fensteröffnungseinrichtung. Mit anderen Worten umfasst das Kraftfahrzeug 1 für verschiedene Funktionen und/oder Services einzelne Steuereinrichtungen 4. Die jeweilige Steuereinrichtung 4 kann eine Recheneinrichtung sein, die jedoch anders als die externe Recheneinrichtung 2 eine interne Einrichtung des Kraftfahrzeugs 1 ist. Es ist ferner eine zentrale Steuervorrichtung 5 für das Kraftfahrzeug 1 skizziert, die beispielsweise Informationen von den einzelnen Steuereinrichtungen 4 empfangen und sammeln kann. Über die Steuervorrichtung 5 kann zum Beispiel ein Datenaustausch mit der externen Recheneinrichtung 2 gesteuert werden.

Das Kraftfahrzeug 1 weist eine Kommunikationsschnittstelle 6 auf. Ferner weist die externe Recheneinrichtung 2 eine Kommunikationsschnittstelle 6 auf. Zwischen den beiden Kommunikationsschnittstellen 6 kann eine kabellose, insbesondere drahtlose Kommunikationsverbindung 7 aufgebaut und beziehungsweise aufrecht erhalten werden. Alternativ oder zusätzlich dazu kann die Kommunikationsverbindung zumindest teilweise kabelgebunden, insbesondere drahtgebunden, ausgebildet sein. Über die Kommunikationsverbindung 7 können beispielsweise Daten zwischen dem Kraftfahrzeug 1 und der externen Recheneinrichtung 2 übermittelt, insbesondere ausgetauscht werden.

Das Kraftfahrzeug 1 weist zudem eine Batterie 8 auf, zu der Ladezustandsdaten 9 vorliegen. Die Ladezustandsdaten 9 beschreiben einen Ladezustand der Batterie 8 des Kraftfahrzeugs 1 . Die Ladezustandsdaten 9 beziehen sich hierbei beispielsweise auf eine 12-Volt- Batterie als Batterie 8 und nicht beispielsweise auf eine Hochvolt-Batterie, wie sie zum Betreiben eines Elektromotors als Antriebseinrichtung des Kraftfahrzeugs 1 benötigt werden würde.

Fig. 2 zeigt ein Verfahren zum Bereitstellen eines Updates für ein Kraftfahrzeug 1. In einem Verfahrensschritt S1 erfolgt ein Bereitstellen von Ausstattungsdaten 10 vom Kraftfahrzeug 1 an die externe Recheneinrichtung

2 über die Kommunikationsverbindung 7. Die Ausstattungsdaten 10 beschreiben, mit welchen Steuereinrichtungen 4 das Kraftfahrzeugs 1 ausgestattet ist und mit welcher Softwareversion die jeweilige Steuereinrichtung 4 aktuell betrieben wird. Hier sind exemplarisch fünf Steuereinrichtungen 4 in Fig. 1 skizziert, sodass beispielsweise das Kraftfahrzeug 1 im Rahmen der Ausstattungsdaten 10 die Bezeichnungen dieser fünf Steuereinrichtungen 4 sowie deren aktuelle Softwareversion bereitstellen würde. Mit anderen Worten weisen die Ausstattungsdaten 10 Informationen über eine aktuelle Hardware und Software des Kraftfahrzeugs

1 auf.

In einem Verfahrensschritt S2 erfolgt mittels der externen Recheneinrichtung

2 ein Auswahlen von allen für das Kraftfahrzeug 1 relevanten Updateeinheiten 12 aus einer Softwaregesamtliste 11 unter Berücksichtigung der bereitgestellten Ausstattungsdaten 10. In die Softwaregesamtliste 11 ist für jede potentiell vom Kraftfahrzeug 1 umfasste Steuereinrichtung 4 eine aktuell vorgesehene Softwareversion eingetragen. Der Softwaregesamtliste

11 ist somit eine Liste der gesamten im Kraftfahrzeug 1 potentiell installierten Software zu entnehmen, die für jede mögliche Hardware die aktuelle Software beschrieben mittels der entsprechenden Softwareversion umfasst.

Das Kraftfahrzeug 1 umfasst nicht zwangsläufig alle Steuereinrichtungen 4, die in der Softwaregesamtliste 11 gelistet sind, sondern beispielsweise nur eine Auswahl von diesen. Beispielsweise kann die Softwaregesamtliste 11 80 Steuereinrichtungen 4 listen, wobei das Kraftfahrzeug 1 beispielsweise nur fünf oder eine beliebige andere Anzahl zwischen 1 und 80 dieser Steuereinrichtungen 4 tatsächlich umfasst.

Für die jeweilige Steuereinrichtung 4 des Kraftfahrzeugs 1 ist nur dann eine Updateeinheit 12 relevant, wenn diese Steuereinrichtung 4 gemäß den Ausstattungsdaten 10 mit einer anderen Softwareversion betrieben wird, als es die Softwaregesamtliste 11 für diese vorsieht. Im hier skizzierten Beispiel werden daher zwei Updateeinheiten 12 ausgewählt, da beispielsweise drei der fünf exemplarischen Steuereinrichtungen 4 auf einem Softwarestand sind, das heißt eine Softwareversion aufweisen, wie sie gemäß der Softwaregesamtliste 11 vorgesehen ist und somit nur für zwei der Steuereinrichtungen 4 jeweilige Updateeinheiten 12 vorliegen. Die Updateeinheiten 12 umfassen den für das Updaten der entsprechenden Steuereinrichtung 4 benötigten Softwarecode.

In einem Verfahrensschritt S3 wird mittels der externen Recheneinrichtung 2 ein Reihenfolgeermittlungskriterium 13 auf die ausgewählten Updateeinheiten 12 angewendet. Hierbei werden Updatereihenfolgedaten 14 ermittelt, die eine Reihenfolge eines Installierens der ausgewählten Updateeinheiten 12 im Kraftfahrzeug 1 beschreiben. In diesem Beispiel wird also festgestellt, welche der beiden Updateeinheiten 12 zuerst im Kraftfahrzeug 1 installiert werden sollte und/oder ob beide beispielsweise parallel und somit zeitgleich installiert werden könnten. Im Falle von mehreren Updateeinheiten 12 kann hierbei eine detaillierte Reihenfolge bestimmt werden. Das Reihenfolgeermittlungskriterium 13 basiert auf einem mathematischen Modell. Das mathematische Modell berücksichtigt für jede der ausgewählten Updateeinheiten 12 zumindest eine von folgenden Informationen 15: Eine Abhängigkeit von einer Installation zumindest einer anderen Updateeinheit 12, eine Installationszeitdauer, einen Installationsenergieverbrauch, eine allgemeine Sicherheitsanforderung, eine funktionelle Sicherheitsanforderung und/oder eine gesetzliche Sicherheitsanforderung.

Das Reihenfolgeermittlungskriterium 13 kann alternativ oder zusätzlich dazu Erfahrungsdaten 16 berücksichtigen, die zumindest eine Erfahrung beschreiben, die bei einer Absicherung der jeweiligen Steuereinrichtung 4 des Kraftfahrzeugs 1 und/oder einer Verbundabsicherung der Steuereinrichtungen 4, das heißt beispielsweise aller Steuereinrichtungen 4, die in der Softwaregesamtliste 11 gelistet werden, ermittelt wurden und/oder als eine Rückmeldung auf vergangene Updates bereitgestellt wurden. Die Erfahrungsdaten 16 können beispielsweise zyklisch bereitgestellt werden, sodass das Reihenfolgeermittlungskriterium 13 zyklisch auf Basis der Erfahrungsdaten 16 überarbeitet werden kann. Die Erfahrungsdaten 16 können die zuvor genannten Informationen 15 zumindest teilweise betreffen, das heißt, sie können beispielsweise eine Installationszeitdauer für eine Updateeinheit 12 betreffen. In einem Verfahrensschritt S4 erfolgt ein Bereitstellen der ausgewählten Updateeinheiten 12 und der ermittelten Updatereihenfolgedaten 14 für das Kraftfahrzeug 1. Hierfür können diese über die Kommunikationsverbindung 7 von der externen Recheneinrichtung 2 an das Kraftfahrzeug 1 übermittelt werden. Die ausgewählten Updateeinheiten 12 zusammen mit den ermittelten Updatereihenfolgedaten 14 können als Updatepaket 17 oder als Update bezeichnet werden. Dem Kraftfahrzeug 1 wird somit ein Updatepaket 17 bereitgestellt, in dem die für die einzelnen Steuereinrichtungen 4 benötigten Softwareupdates (Updateeinheiten 12) sowie Informationen zur Reihenfolge der Installation der einzelnen Softwareupdates (Updatereihenfolgedaten 14) zu entnehmen sind.

In einem Verfahrensschritt S5 ist es vorgesehen, dass die bereitgestellten Updateeinheiten 12 in der Reihenfolge gemäß der bereitgestellten Updatereihenfolgedaten 14 im Kraftfahrzeug 1 installiert werden. Dies kann beispielsweise durch entsprechende Ansteuerung der einzelnen Steuereinrichtungen 4 mittels der zentralen Steuervorrichtung 5 erfolgen. Die einzelnen Updateeinheiten 12 werden, sofern dies möglich und sinnvoll ist, parallel installiert und ansonsten seriell.

In einem Verfahrensschritt S6 kann überprüft werden, ob eine voraussichtliche Gesamtzeitdauer gemäß einer Gesamtinstallationszeitdauerinformation 18 kleiner als ein vorgegebener Zeitdauergrenzwert 19 ist. Die Updatereihenfolgedaten 14 weisen hierbei die Gesamtinstallationszeitdauerinformation 18 auf, die eine voraussichtliche Gesamtzeitdauer einer Installation der ausgewählten Updateeinheiten 12 beschreibt. Nur falls dies der Fall ist beziehungsweise immer dann, falls dies der Fall ist, können der Verfahrensschritt S4 und/oder der Verfahrensschritt S5 erfolgen. Falls nach dem erfolgreichen Überprüfen der Verfahrensschritt S5 erfolgt, wird vor dem Durchführen des Verfahrensschritts S6 auch der Verfahrensschritt S4 durchgeführt. Alternativ oder zusätzlich dazu kann in einem Verfahrensschritt S7 überprüft werden, ob ein voraussichtlicher gesamter Installationsenergieverbrauch gemäß einer Gesamtenergieverbrauchsinformation 20 kleiner ist als ein vorgegebener Energieverbrauchsgrenzwert 21 . Hierbei weisen die Updatereihenfolgedaten 14 die Gesamtenergieverbrauchsinformation 20 auf, die einen voraussichtlichen Gesamtinstallationsverbrauch einer Installation der ausgewählten Updateeinheiten 12 beschreibt. Falls das Überprüfen erfolgreich ist, können der Verfahrensschritt S4 und/oder der Verfahrensschritt S5 erfolgen. Falls die Verfahrensschritte S7 und/oder S6 nicht erfolgreich sind, kann beispielsweise der Verfahrensschritt S2 erneut erfolgen, das heißt es können beispielsweise weniger Updateeinheiten 12 ausgewählt werden und/oder in einem erneuten Durchführen des Verfahrensschritts S3 eine andere Updatereihenfolge und somit andere Updatereihenfolgedaten 14 ermittelt werden. Beim Vorgeben des Energieverbrauchsgrenzwerts 21 können die Ladezustandsdaten 9 berücksichtigt werden, sodass beispielsweise der Energieverbrauchsgrenzwert 21 abhängig vom aktuellen Ladezustand gemäß den Ladezustandsdaten 9 sein kann. Die Verfahrensschritte S6 und S7 können mittels der externen Recheneinrichtung 2 und/oder mittels der Steuervorrichtung 5 durchgeführt werden.

Insgesamt zeigen die Beispiele eine modellbasierte Berechnung von Updateordern (Flashreihenfolge) beim Verbundupdate vom Kraftfahrzeug 1 . Die Erstellung der Updateorder, das heißt der Updatereihenfolgedaten 14, erfolgt über einen modellbasierten Lösungsansatz. Dabei sind alle flashrelevanten, funktionalen Abhängigkeiten von Steuereinrichtungen 4 untereinander, Safefy-and-Security-relevante Anforderungen, Leistungskennzahlen wie Updatezeit, maximale Strombelastung und Energiemenge während des Updates sowie gesetzliche Anforderungen in einem mathematischen Modell beschrieben, das für eine automatisierte Berechnung der Updateorder genutzt wird. Dieses mathematische Modell liegt hier in Form des Reihenfolgeermittlungskriteriums 13 vor. Erfahrungswerte aus der Absicherung von Einzelsteuergeräten, aus der Verbundabsicherung und/oder aus Rückmeldungen von Updatekampagnen aus dem Feld fließen zur Pflege beziehungsweise Aktualisierung zyklisch in das Datenmodell, das heißt in das mathematische Modell, ein. Es werden also die Erfahrungsdaten 16 vom Reihenfolgeermittlungskriterium 13 berücksichtigt. Als Input für das Datenmodell kommt eine Datenbank zur Anwendung, in der die Erfassung der relevanten Artefakte (Einzelsteuergerätupdates, Stromwerte, Energiemengen) aus den vorgelagerten Mess- und Absicherungsvorgängen an Einzelsteuergeräten beziehungsweise Verbundprüfungen abgebildet ist, das heißt es werden die Informationen 15 für das Reihenfolgeermittlungskriterium 13 berücksichtigt.

Die technische Umsetzung basiert auf einer Konzerndatenbank, die mit empirischen Werten wie Einzelsteuergeräteflashzeiten, Einzelsteuergeräteenergiemengen, Strommessungen und so weiter sowohl aus Messungen an einem Prüfplatz als auch aus realen Updatevorgängen von Kunden (Erfahrungsdaten 16) befüllt wird, um das mathematische Datenmodell zu bedienen. Das Datenmodell bildet anhand mathematischer und logischer Zusammenhänge die Anforderung, Abhängigkeit und/oder relevanten Gesetzesvorgaben bei der Berechnung einer Flashreihenfolge beim Verbundupdate ab, das heißt es können die Updatereihenfolgedaten 14 mittels des Reihenfolgeermittlungskriteriums 13 ermittelt werden. Über einen Server (externe Recheneinrichtung 2) wird die Datenberechnung bei Erstellung einer neuen Baseline, das heißt einer neuen Softwaregesamtliste 11 , angestoßen und die Ergebnisse aus der Berechnung anhand des Datenmodells abgerufen. Über eine geeignete Visualisierung können diese realisierten und paralysierten Updatevorgänge für den Bediener leicht lesbar dargestellt werden. Ebenso können kritische Pfade, erwartete Gesamtupdatezeiten sowie voraussichtlich benötigte Energiemengen berechnet werden. Basierend auf diesen Werten können im Vorfeld der Freigabe einer Softwaregesamtliste 11 eine Aussage bezüglich Einhaltung der gesetzlichen Leistungskennzahlen getroffen werden. Dies wird beispielsweise durch die Überprüfungsschritte S6 und S7 zumindest teilweise realisiert.