Update einer Fahrzeugsteuerung per Car2X Die Erfindung betrifft ein Verfahren zum Aktualisieren wenigstens eines Teils eines Steuergerätes in einem Fahrzeug, eine Steuervorrichtung zur Durchführung des Verfahrens und das Fahrzeug mit der Steuervorrichtung. Aus der DE 100 37 397 AI ist ein Verfahren zum drahtlosen

Aktualisieren eines Steuergeräts in einem Fahrzeug über ein Mobilfunknetzwerk bekannt.

Es ist Aufgabe der Erfindung, die drahtlose Aktualisierung von Steuergeräten in Fahrzeugen über Mobilfunknetzwerke zu verbessern .

Die Aufgabe wird durch die Merkmale der unabhängigen Ansprüche gelöst. Bevorzugte Weiterbildungen sind Gegenstand der ab- hängigen Ansprüche.

Gemäß einem Aspekt der Erfindung umfasst ein Verfahren zum Aktualisieren wenigstens eines Teils eines Steuergerätes in einem Fahrzeug mit einer Schnittstelle zu einem Fahr- zeug-Ad-Hoc-Netzwerk, umfassend:

Empfangen wenigstens einer in dem Fahrzeug-Ad-Hoc-Netzwerk versendeten Aktualisierungsbotschaft zur Aktualisierung der Steuervorrichtung über die Schnittstelle, und

Aktualisieren des wenigstens einen Teils des Steuergerätes basierend auf der empfangenen Aktualisierungsbotschaft.

Dem angegebenen Verfahren liegt die Überlegung zugrunde, dass beim Aktualisieren eines Steuergerätes in einem Fahrzeug, auch Updaten des Steuergerätes genannt, verschiedene Voraussetzungen an den Aktualisierungsvorgang selbst, als auch an die in der Aktualisierungsbotschaft enthaltenen Steuerdaten und Aktua ^¬ lisierungsdaten gestellt werden. Einerseits müssen diese Ak- tualisierungsbotschaften mit den Steuerdaten und Aktualisierungsdaten manipulationssicher ausgeführt sein, so dass auf das Steuergerät keine Fehlinformationen, wie Viren oder dergleichen aufgespielt werden. Wenn andererseits die Funktionsperformance und insbesondere die Funktionssicherheit des zu aktualisierenden Steuergeräts mehr während des Aktualisierungsvorgangs ge ^¬ währleistet werden kann, darf die Aktualisierung nur in einem Zustand des Fahrzeuges aufgespielt werden, in dem die

sicherheitsrelevanten Funktionen sicher nicht genutzt werden, z.B. während einer längeren Parkphase. Weil dies bis jetzt für Sicherheitssysteme wichtig und ungelöst ist, kommt eine Ak ^¬ tualisierung von Steuergeräten in Fahrzeugen bis jetzt nur in einer Werkstatt in Betracht. Aufgrund der immer komplexer werdenden Technik der Steuergeräte ist davon auszugehen, dass für ein einziges Fahrzeug während seines Fahrzeuglebens bald von einer dreistelligen Anzahl an Aktualisierungen auszugehen ist. Dabei ist es dem Fahrzeugbesitzer nicht zuzumuten, stets für jede Aktualisierung eine Werkstatt aufzusuchen, insbesondere wenn die Aktualisierungen dringend sind. Andererseits kann dem Fahrzeugbesitzer auch nicht zugemutet werden, beispielsweise vor Fahrtantritt erst eventuell anstehende Aktualisierungen des oder der Steuergeräte im Fahrzeug abzuwarten. Aktualisierungen müssen in ein Steuergerät im Fahrzeug so eingespielt werden, dass der Fahrer nicht in seiner Mobilität eingeschränkt wird. Hier greift das angegebene Verfahren mit dem Vorschlag an, ein sogenanntes Fahrzeug-Ad-Hoc-Netzwerk für die Aktualisierung des Steuergerätes zu verwenden. Derartige Fahrzeug-Ad-Hoc-Netzwerke werden auch Car2X-Netzwerke oder V2X-Netzwerke genannt. Fahrzeug-Ad-Hoc-Netzwerke beinhalten bereits intrinsisch Sicherheitssysteme wie eine gesicherte Übertragung der Daten oder Firewalls und bieten daher einen sehr hohen Grad an Sicherheit gegenüber Manipulationen. Diese von Fahr- zeug-Ad-Hoc-Netzwerken angebotene Sicherheitsarchitektur, welche damit auch die Funkschnittstelle mit einschließt, wird erfindungsgemäß für die Aktualisierung von Steuergeräten in Fahrzeugen genutzt. Auf diese Weise kann mit standardisierten Botschaften eine Aktualisierung des Fahrzeuges zu beliebigen Zeitpunkten stattfinden, wobei sich mit den Botschaften selbst nicht nur die Aktualisierung sondern auch der Zeitpunkt der Aktualisierung steuern lässt.

Gemäß einer vorteilhaften Ausführungsform des erfindungsgemäßen Verfahrens ist die Schnittstelle ein Car2X Empfänger bzw. eine Funkschnittstelle eines Car2X-Netzwerkes , die ein Sicher ^¬ heitssystem und / oder eine Firewall zum verarbeiten von Daten, insbesondere einer Aktualisierungsbotschaft aufweist. Es ist vorgesehen, dass Updates oder die erste Verarbeitung der Aktualisierungsbotschaften mittels des Car2X-Empfängers erfolgt. Der Car2X Empfänger weist vorteilhafterweise ein Sicherheitssystem auf, was sowohl die Echtheit als auch die Un- Schädlichkeit der Aktualisierungsbotschaften überprüfen kann. Diese müssen nicht ausschließlich für die Überprüfung von Aktualisierungsbotschaften vorgesehen sein. Es ist auch möglich hier auf bestehende Sicherheitssysteme innerhalb eines Car2X Empfängers zurückzugreifen, die für die Verarbeitung von Car2X Botschaften notwendig sind.

Gemäß einer vorteilhaften Ausführungsform des erfindungsgemäßen Verfahrens weist die Funkschnittstelle einen Speicher zum Speichern der Aktualisierungsbotschaft auf, wobei die Aktua ^¬ lisierungsbotschaft nach dem Empfang in dem Speicher gespeichert wird. Der Speicher kann hardware- oder softwareseitig von anderen Speicherteilen getrennt ausgebildet sein. Es ist bspw. denkbar eine abgekapselte Speicherpartition zum Speichern der Aktualisierungsbotschaften zu verwenden.

Gemäß einer vorteilhaften Ausführungsform des erfindungsgemäßen Verfahrens wird die Aktualisierungsbotschaft innerhalb des Speichers mittels der Funkschnittstelle überprüft.

Gemäß einer vorteilhaften Ausführungsform des erfindungsgemäßen Verfahrens wird die Aktualisierungsbotschaft zum Aktualisieren nur dann aus dem Speicher weitergeleitet, wenn die Aktuali- sierungsbotschaft nach einer Überprüfung als sicher und / oder authentisch eingestuft wurde.

Hierzu kann die über das Fahrzeug-Ad-Hoc-Netzwerk übertragene Aktualisierungsbotschaft in einer Weiterbildung des angegebenen Verfahrens Steuerdaten zur Steuerung der Aktualisierung und

Aktualisierungsdaten enthalten. Mit den Steuerdaten lassen sich dann diverse Randbedingungen für die Aktualisierung des

Steuergerätes definieren, unter denen die Aktualisierung des Steuergerätes stattfinden soll.

Im Rahmen einer dieser Randbedingungen kann die Aktualisierung des Steuergerätes in einer besonderen Weiterbildung des angegebenen Verfahrens basierend auf den Steuerdaten in einem definierten Zustand des Fahrzeuges gestartet werden. Dieser definierte Zustand kann applikationsabhängig für jedes zu aktualisierende Steuergerät vorgegeben werden. Betrifft das zu aktualisierende Steuergerät beispielsweise eine Berganfahrhilfe für ein Fahrzeug und bewegt sich das Fahrzeug auf einer Autobahn mit einer vom Fahrer bestimmten Route, die darauf schließen lässt, dass das Fahrzeug auch noch eine bestimmte Zeit auf der Autobahn fahrend verbleiben wird, dann kann in diesem Zustand das die Berganfahrhilfe betreffende Steuergerät aktualisiert werden. Eine Fahrdynamikregelung sollte in demselben Zustand jedoch nicht aktualisiert werden, weil diese auf der Autobahn sicherheitsrelevant ist. Umgekehrt verhält es sich jedoch in einer verkehrsberuhigten Zone, in der das Fahrzeug so langsam fährt, dass die Fahrdynamikregelung wirkungslos ist, aber ein möglicher Einsatz der Berganfahrhilfe nicht ausgeschlossen werden kann.

Der Zustand des Fahrzeuges, in dem die Aktualisierung des wenigstens einen Teils des Steuergerätes gestartet wird, sollte daher in einer bevorzugten Weiterbildung des angegebenen

Verfahrens davon abhängig sein, ob der wenigstens eine Teil des Steuergerätes in diesem Zustand zum Betrieb des Fahrzeuges sicherheitsrelevant ist. Ein derartiger Zustand kann mit allen verfügbaren Sensoren im Fahrzeug festgestellt werden. Zwischen der zuvor genannten Fahrt auf der Autobahn oder der verkehrsberuhigten Zone kann beispielsweise mit einem Navigati ^¬ onsgerät und einer eventuell dort einprogrammierten Route unterschieden werden. Um eine komplexere Aktualisierung zu starten, die beispielsweise nur in einem Parkzustand des Fahrzeuges durchgeführt werden sollte, kann beispielsweise geprüft werden, ob eine Parkabsicht des Fahrers erkennbar ist. Hierzu könnte ein Fusionssensor verwendet werden, der die zur Zustandserkennung notwendigen Sensorsignale mit einem hohen Integritätsmaß beispielsweise in einem Qualifier ausgibt. Dann kann gesichert ein Zustand des Fahrzeuges erkannt werden, in dem die Durchführung sicherheitsrelevanter Aktualisierungen eines Steuergerätes möglich ist. Ein weiterer Vorteil bei der Verwendung eines Fahr- zeug-Ad-Hoc-Netzwerkes zum Austausch wenigstens eines Teils der für eine Aktualisierung notwendigen Daten (die Aktualisierungsdaten selbst und/oder die Steuerdaten) stellt auch der sicherer Speicher dar, der in einer Schnittstelle zum Fahr- zeug-Ad-Hoc-Netzwerkes prinzipbedingt vorhanden ist und so genutzt werden kann.

Fahrzeug-Ad-Hoc-Netzwerke selbst sind über länderspezifische Kommunikationsprotokolle definiert, wobei beispielhaft auf die Spezifikation ETSI TC ITS bei ETSI für Europa und die Spezi ^¬ fikation IEEE 1609 bei IEEE sowie bei SAE für die Vereinigten Staaten von Amerika verwiesen wird. Die Aktualisierungsdaten können dabei beliebig verwendet werden. Beispielsweise können die Aktualisierungsdaten zur Aktualisierung bereits vorhandener Steuer- und Verwaltungsfunktionen auf der Steuervorrichtung verwendet werden. Alternativ oder zusätzlich können mit den Aktualisierungsdaten aber auch neue Funktionen auf der Steuervorrichtung installiert werden.

Dabei kann das angegebene Verfahren in einer besonderen Weiterbildung den Schritt Sperren des aktualisierten Teils des Steuergerätes für einen Eingriff in das Fahrzeug umfassen. Durch das Sperren bestimmter aktualisierter Teile des Steuergerätes für einen Eingriff in das Fahrzeug, beispielsweise in denen neue Funktionen oder Applikationen installiert wurden, können diese Funktionen oder Applikationen passiv im Auto mitlaufen um deren Verhalten im Fahrzeug für eine spätere Freigabe zu überprüfen. Genauso könnte das System des Steuergerätes in seiner Form vor der Aktualisierung zunächst weiterbetrieben und das aktualisierte System zunächst in der zuvor genannten Testform verwendet werden. Auf diese Weise kann vor der Freigabe der aktualisierten Steuervorrichtung eine Vielzahl von Fahrzeuges zunächst für den Test der Aktualisierungsdaten, quasi ein fahrendes Emulationsboard verwendet werden, wodurch sich rein wirtschaftlich ein riesiges Einsparpotential für Freigabetests ergibt. Hierzu können Ausgabedaten aus dem gesperrten Teil des Steuergerätes über die Schnittstelle an einen beliebigen Empfänger übertragen werden, der dann die Ausgabedaten zu Testzwecken auswertet. Letztendlich kann das Prinzip aber auf beliebige Entwicklungstätigkeiten angewendet werden, denn mit den Aktualisie- rungsdaten kann auch eine Funktion auf das Steuergerät installiert werden, mit der Fahrzeugdaten zur Weiterentwicklung von Funktionen gesammelt und zu einer Zentrale versendet werden können . Zur Freigabe braucht dann nur noch der gesperrte Teil des

Steuergerätes für einen Eingriff in das Fahrzeug basierend auf einem Freigabesignal freigegeben zu werden.

In einer noch anderen Weiterbildung umfasst das angegebene Verfahren die Schritte:

Ausgeben einer Aufforderung zur Aktualisierung basierend auf der Aktualisierungsbotschaft, und

Aktualisieren des wenigstens einen Teils des Steuergerätes basierend auf der empfangenen Aktualisierungsbotschaft und einem Aktualisierungsbefehl.

Mit der Aufforderung kann der Fahrer eines Fahrzeuges

gleichzeitig gewarnt werden, wenn beispielsweise Fehler in dem

Steuergerät vorliegen, die eine Aktualisierung des Steuergerätes notwendig machen.

In einer anderen Weiterbildung des angegebenen Verfahrens könnte die Hauptaufgabe eines Fahrzeug-Ad-Hoc-Netzwerkes , die Ver ^¬ netzung von Fahrzeuge untereinander, genutzt werden, um einen Fahrzeugpool miteinander zu vernetzen, welcher sich in einem Radius von wenigen hundert Metern (in diesem Falle gewährleistete Reichweite der ITS-G5 Technologie) befindet, um die Up ^¬ date-Aktivitäten zu organisieren und/oder zu verwalten. So kann beispielsweise festgelegt werden, dass in einem bestimmten Zeitraum von einer vorhandenen Gesamtanzahl an vorhandenen Fahrzeugen nur eine bestimmte Anzahl definitiv gebraucht werden wird. Somit würde sichergestellt, dass nicht alle Fahrzeuge gleichzeitig eine Aktualisierung ihres Steuergerätes starten, so dass immer eine entsprechende Anzahl von Fahrzeugen zur Verfügung stünde (z.B. im Fuhrpark eines Unternehmens, beim Carsharing, mehrere Fahrzeuge pro Haushalt, etc) .

Gemäß einem weiteren Aspekt der Erfindung ist ein Car2X-Empfänger und / oder eine Steuervorrichtung eingerichtet, eines der angegebenen Verfahren durchzuführen.

In einer Weiterbildung der angegebenen Steuervorrichtung weist die angegebene Vorrichtung einen Speicher und einen Prozessor auf. Dabei ist das angegebene Verfahren in Form eines Compu ^¬ terprogramms in dem Speicher hinterlegt und der Prozessor zur Ausführung des Verfahrens vorgesehen, wenn das Computerprogramm aus dem Speicher in den Prozessor geladen ist. Gemäß einer vorteilhaften Ausführungsform des erfindungsgemäßen Verfahrens wird die Aktualisierung mittels der Car2X Funkschnittstelle initiiert.

Gemäß einer vorteilhaften Ausführungsform des erfindungsgemäßen Verfahrens fragt die Funkschnittstelle den dynamischen Zustand des Fahrzeugs über eine Fahrdynamiksteuerung des Fahrzeugs ab und eine Aktualisierung wird nur dann initiiert, wenn ein sicherer Betriebszustand, insbesondere Stillstand des Fahrzeugs, festgestellt wurde.

Gemäß einer vorteilhaften Ausführungsform des erfindungsgemäßen Verfahrens wird mittels der Car2X Funkschnittstelle eine Ak ^¬ tualisierungsbotschaft für ein Steuergerät angefordert wird, wenn ein Steuergerät einen Fehler an die Car2X Funkschnittstelle meldet . Gemäß einem weiteren Aspekt der Erfindung umfasst ein Computerprogramm Programmcodemittel, um alle Schritte eines der angegebenen Verfahren durchzuführen, wenn das Computerprogramm auf einem Computer oder einer der angegebenen Vorrichtungen ausgeführt wird.

Gemäß einem weiteren Aspekt der Erfindung enthält ein Computerprogrammprodukt einen Programmcode, der auf einem compu ^¬ terlesbaren Datenträger gespeichert ist und der, wenn er auf einer Datenverarbeitungseinrichtung ausgeführt wird, eines der angegebenen Verfahren durchführt.

Gemäß einem anderen Aspekt der Erfindung umfasst ein Fahrzeug eine angegebene Steuervorrichtung. Die oben beschriebenen Eigenschaften, Merkmale und Vorteile dieser Erfindung sowie die Art und Weise, wie diese erreicht werden, werden klarer und deutlicher verständlich im Zusammenhang mit der folgenden Beschreibung der Ausführungsbeispiele, die im Zusammenhang mit den Zeichnungen näher erläutert werden, wobei:

Fig. 1 eine Prinzipdarstellung eines Fahrzeuges, Fig. 2 eine Prinzipdarstellung eines Fahr- zeug-Ad-Hoc-Netzwerkes , an dem das Fahrzeug der Fig. 1 teilnehmen kann, Fig. 3 eine Prinzipdarstellung einer Steuervorrichtung in dem Fahrzeug der Fig. 1, und

Fig. 4 eine Prinzipdarstellung einer alternativen Steuervorrichtung in dem Fahrzeug der Fig. 1 zeigen.

In den Figuren werden gleiche technische Elemente mit gleichen Bezugszeichen versehen und nur einmal beschrieben, wobei der Begriff Steuerung als Kurzform für den Begriff Steuervorrichtung verwendet wird.

Es wird auf Fig. 1 Bezug genommen, in der ein Fahrzeug 1 mit mehreren Steuervorrichtungen gezeigt ist, auf die später näher eingegangen wird. Das Fahrzeug 1 umfasst ein auf vier Rädern 2 fahrbar auf einem nicht gezeigten Untergrund getragenes Chassis 3, wobei jedes Rad 2 über einen Elektromotor 4 individuell antreibbar ist. Ferner können in einer Fahrtrichtung 5 gesehen die Räder 2 an der Vorderseite des Fahrzeuges 1 über eine Lenkung 6 eingeschlagen werden.

Die Elektromotoren 5 werden aus einer Motorsteuerung 7 mittels Antriebssteuersignalen 8 in einer an sich bekannten Weise basierend auf einer Beschleunigungsanforderung 9 angetrieben. Diese Beschleunigungsanforderung 9 kann beispielsweise über ein nicht gezeigtes Gaspedal von einem Fahrer vorgegeben werden. Auf ein weiteres Beispiel, die Beschleunigungsanforderung 9 vorzugeben, wird an späterer Stelle eingegangen. Die Lenkung 6 wird in einer an sich bekannten Weise basierend auf einem Lenkwinkel 10 angesteuert, um die Fahrtrichtung 5 zu ändern . Das Fahrzeug 1 umfasst ferner eine Fahrdynamiksteuerung 11, die bspw. mit verschiedenen Fahrdynamiksteuersignalen 12, die Motorsteuerung 7 anweisen kann, die Elektromotoren 4 verschieden stark anzusteuern. Auf diese Weise kann dem Fahrzeug 1 eine definierte Drehung um seine Hochachse, ein sogenanntes Gieren aufgezwungen werden. Ein solches Gieren wird im Rahmen einer sogenannten Fahrdynamikregelung verwendet, um ein Untersteuern oder Übersteuern des Fahrzeuges 1 auf dem Untergrund zu ver ^¬ meiden. Hierzu erfasst die Fahrdynamiksteuerung 11 mittels Raddrehzahlsensoren 13 die Raddrehzahl 14 an jedem Rad indi- viduell und bestimmt daraus in einer an sich bekannten Weise, ob sich das Fahrzeug 1 stärker um seine Hochachse dreht als vom Lenkwinkel 10 vorgegeben. In diesem Fall giert das Fahrzeug 2 unzulässig, was die Fahrdynamiksteuerung 11 durch Ansteuern der Motorsteuerung 7 in der zuvor beschriebenen Weise mit einer Gegendrehung gegen die unzulässige Drehung um die Hochachse ausgleicht. Auf diese Weise wird das Fahrzeug 1 auf einer durch den Lenkwinkel 10 vorgegebenen Fahrtraj ektorie gehalten. Für weitere Hintergründe zu Fahrdynamikregelungen wird bei ^¬ spielsweise auf die DE 10 2011 080 789 AI verwiesen.

Schließlich umfasst das Fahrzeug 1 Steuerung 15 für hochau ^¬ tomatisiertes Fahren, nachstehend HAF-Steuerung 15 genannt. Mit dieser Steuerung kann das Fahrzeug 1 nach Einschalten über einen Einschaltbefehl 16 vollautomatisch, ohne weiten Eingriff des Fahrers des Fahrzeuges 1 gesteuert werden. Dazu greift die

HAF-Steuerung 15 während der vollautomatischen Steuerphase durch Vorgabe der Beschleunigungsanforderung 9, des Lenkwinkel 10 und einer Bremsanforderung 17 in das Fahrzeug 1 ein und gibt so die zuvor genannte Fahrtraj ektorie vor.

Die Fahrtraj ektorie wird dabei im Wesentlichen durch die Fahrspur, Verkehrsschilder, eventuelle Hindernisse, etc. be- einflusst. Um diese Merkmale zu erfassen, umfasst das Fahrzeug 1 eine Kamera 18 und ein Abstandssensor 19, die beispielhaft für mehrere in alle Richtungen um das Fahrzeug 1 herum ausgerichtete Kameras und Abstandssensoren stehen. Die Kamera 18 erfasst in einem Blickwinkel 20 ein Bild 21 und gibt dieses an die

HAF-Steuerung 15 aus. In gleicher Weise umfasst der Abstandssensor 19 beispielsweise mit Radarstrahlen 22 einen Abstand 23 zu einem potentiellen Objekt vor dem Fahrzeug 1 und gibt diesen ebenfalls an die HAF-Steuerung 15 aus. Erkennt die HAF-Steuerung 15 basierend auf dem Bild 21 ein Objekt vor dem Fahrzeug 1 und kennt dessen Abstand 23, dann kann sie entsprechend mit der Beschleunigungsanforderung 9, dem Lenkwinkel 10 und der Bremsanforderung 17 um eine Fahrtraj ektorie am Objekt vorbei zu wählen. Für weitere Informationen zu HAF-Steuerungen wird beispielsweise auf die DE 10 2012 112 442 AI verwiesen.

Alle in Fig. 1 gezeigten Steuerungen 7, 11, 15 in dem Fahrzeug 1 basieren in der Regel auf einem jeweiligen Rechner, der zur Erfüllung der oben genannten Aufgaben ein Computerprogramm ausführt. Es kann erforderlich und/oder gewünscht sein, dieses Computerprogramm von Zeit zu Zeit zu aktualisieren. Im Rahmen der vorliegenden Ausführung sollen die für die Aktualisierung notwendigen Aktualisierungsdaten 24 in einer Aktualisierungsbotschaft 25 über ein in Fig. 2 angedeutetes Fahr- zeug-Ad-Hoc-Netzwerk 26, nachstehend Car2X-Netzwerk 26 genannt, übertragen werden. Im Car2X-Netzwerk 26 länderspezifischen werden Botschaften gemäß einem Kommunikationsprotokoll zwischen den einzelnen Teil ^¬ nehmerknoten, zu denen auch das Fahrzeug 1 gehört, ausgetauscht. Ein derartiges Kommunikationsprotokoll ist beispielsweise im ETSI TC ITS bei ETSI für Europa oder im IEEE 1609 bei IEEE sowie bei SAE die die Vereinigten Staaten von Amerika definiert. Idee der vorliegenden Ausführung ist es nun, die dort definierten Botschaften um die Aktualisierungsbotschaft 25 erweitert werden soll. Die konkrete Definition der Aktualisierungsbotschaft 25 muss dabei anwendungsabhängig erfolgen, je nachdem, in welchem Kommunikationsprotokoll sie definiert werden soll.

Zum Empfang der Aktualisierungsbotschaft 25 ist im Fahrzeug 2 ein Car2X-Empfänger 27 vorhanden, der über eine Car2X-Antenne 28 ein Car2X-Signal 29 empfängt, auf dem die Aktualisierungsbotschaft 25 in einer gemäß dem Kommunikationsprotokoll zu definierenden Weise getragen ist. Die empfangene Aktualisierungsbotschaft 25 kann dann über einen Datenbus 30 im Fahrzeug 1 an die ent ^¬ sprechende Steuerung 7, 11, 15 geleitet werden.

Anhand Fig. 2 soll nachstehend die Übertragung der Aktuali ^¬ sierungsbotschaft 25 an das Fahrzeug 1 erläutert werden. Dazu definiert das jeweilige Kommunikationsprotokoll eine Netz ^¬ werkstruktur, auf die nachstehend nur schematisch eingegangen wird.

Zunächst erzeugt ein Aktualisierungsserver 31 auf Seiten eines Providers 32 die Aktualisierungsdaten 24 und entsprechende Steuerdaten 33, die gegebenenfalls zur Durchführung der Ak- tualisierung der entsprechenden Steuerung 7, 11, 15 notwendig sein könnten. Zusammen mit einer Providerkennung 34 und einem Zeitstempel 35 wird dann auf Seiten des Providers 32 in einer Nachrichtenerzeugungseinrichtung 36 die Aktualisierungsnach- rieht 25 erzeugt und in einer Routingschicht 37 in wenigstens einem Datenpaket 38 verpackt. Eine physikalischen Schicht 39 moduliert dann das wenigstens eine Datenpaket 38 auf das Car2X-Signal 29 auf und sendet in das Car2X-Netzwerk 26.

Der Car2X-Empfänger 27 des Fahrzeuges 1, der als Funkschnittstelle zu dem Car2X Netzwerk fungiert, kann dann mit einer entsprechenden physikalischen Schicht 39 und einer Routingschicht 37 aus dem empfangenen Car2X-Signal 27 die Aktuali- sierungsnachricht 25 herausfiltern.

Im Fahrzeug 2 kann dann die Aktualisierungsnachricht 25 an eine der Steuerungen 7, 11, 15 weitergeleitet werden. Im Rahmen der vorliegenden Ausführung soll die Aktualisierungsnachricht 25 in der HAF-Steuerung 15 verarbeitet werden und diese aktualisieren.

In der HAF-Steuerung 15 ist im Rahmen der vorliegenden Ausführung eine Nachrichtenextraktionseinrichtung 40 vorhanden, die optional auch im Car2X-Empfänger 27 angeordnet werden könnte . Diese extrahiert aus der Aktualisierungsnachricht 25 die Aktuali ^¬ sierungsdaten 24 und die Steuerdaten 33. Ferner sind in der HAF-Steuerung 15 zwei Teile vorhanden. Ein Steuerteil 41 führt die Eingriffe in das Fahrzeug 1 in der oben genannten Weise durch. Im Gegenzug dazu ist ein Testteil 42 dazu vorgesehen, die Sensorsignale 21, 23 zu empfangen, aber nur Testsignale 9 10 17 ^λ zu erzeugen, die dann beispielsweise über das Car2X-Netzwerk 26 zurück an den Provider gesendet werden können.

Die Steuerdaten 33 enthalten dabei eine Anweisung, ob der Steuerteil 41 oder der Testteil 42 der HAF-Steuerung 15 mit den Aktualisierungsdaten 24 aktualisiert, das heißt programmiert werden soll. Hierzu empfängt eine Aktualisierungssteuerung 43 die Steuerdaten 33 und steuert mit einem Auswahlsignal 44 über einen Schalter 45 an, welche der beiden Teile 41, 42 aktualisiert werden soll.

Ferner kann die Aktualisierungssteuerung 43 einen Zustand der HAF-Steuerung 15 prüfen, und die Aktualisierungsdaten 24 in Abhängigkeit dieses Zustandes zur Aktualisierung der

HAF-Steuerung 15 freigeben. In diesen Zustand können eine Vielzahl verschiedene Informationen eingehen. In Fig. 3 ist dazu beispielhaft der Einschaltbefehl 16 als Zustand ausgewählt, so dass die Aktualisierungssteuerung 43 die Aktualisierung nur dann freigibt, wenn die HAF-Steuerung 15 ausgeschaltet ist, und der Fahrer das Fahrzeug 1 selbst lenkt.

Alternativ könnte der Testteil 42, wie in Fig. 4 gezeigt, auch grundsätzlich zunächst basierend auf den Aktualisierungsdaten 24 aktualisiert werden. Erst, wenn die Auswirkungen auf dem Testteil 42 und die potentiellen Auswirkungen auf die HAF-Steuerung 15 gestestet wurden, könnte dann die Aktualisierungssteuerung 43 mit dem Auswahlsignal 44 die Aktualisierung auf dem Steuerteil 41 freigeben. Hierzu könnten die Steuerdaten 33 und die Aktualisierungsdaten 24 beispielsweise in getrennten Aktualisierungsbotschaften 25 versendet werden, wobei der Provider 32 zunächst die Aktualisierung auf dem Testteil 42 installiert, dann basierend auf den Testsignalen 9 10 17 ^λ testet und schließlich mit den Steuerdaten 33 freischaltet.

Weiter alternativ oder zusätzlich könnte auch die Aktualisierungssteuerung 43 das Testen basierend auf den Testsignalen 9 10 17 ^λ übernehmen.

Die HAF-Steuerungen 15 der Fig. 3 und 4 können auch miteinander kombiniert werden. Ferner sei an dieser Stelle darauf hinge ^¬ wiesen, dass das Ausführungsbeispiel in jeder Steuerung des Fahrzeuges, also auch in Steuerungen, die in Fig. 1 nicht gezeigt sind, umgesetzt werden kann. Beispielhaft hierfür wäre eine Bremssteuerung, zur Ansteuerung einer nicht gezeigten Bremse des Fahrzeuges basierend auf der Bremsanforderung 17.

Die Aktualisierung kann automatisch geschehen, der Provider 32 kann aber auch in der Aktualisierungsbotschaft 25 oder in einer getrennten Aktualisierungsbotschaft 25 eine in Fig. 2 gepunktet dargestellte Aufforderung 46 zur Initialisierung der Aktua- lisierung an den Fahrer des Fahrzeuges 1 senden, die dem Fahrer des Fahrzeuges 1 dann im Fahrzeug 1 angezeigt wird.

Es ist ferner denkbar, dass der Car2X Empfänger 27 ein

Sicherheitssystem und / oder eine Firewall zum verarbeiten von Daten, insbesondere einer Aktualisierungsbotschaft 25 aufweist. Zusätzlich dazu kann der Car2X-Empfänger 27 mit einem Speicher zum Speichern der Aktualisierungsbotschaft 25 ausgestattet sein, wobei die Aktualisierungsbotschaft 25 nach dem Empfang in dem Speicher gespeichert wird. Die Aktualisierungsbotschaft 25 wird dann innerhalb des Speichers mittels des Car2X-Empfängers 27 überprüft. Die Aktualisierungsbotschaft 25 zum Aktualisieren wird bspw. nur dann aus dem Speicher weitergeleitet, wenn die Aktualisierungsbotschaft 25 nach einer Überprüfung als sicher und / oder authentisch eingestuft wurde.

Eine Aktualisierung eines Steuergerätes kann auch dadurch ausgelöst werden, dass ein in einem Steuergerät ein Fehler auftritt. Die Steuergeräte und der Car2X Empfänger 27 können so ausgelegt sein, dass dieser Fehler ausgetauscht wird. Anhand des Fehlers kann einerseits ein Fehlerbericht an einen Server gesendet werden. Dieser kann dazu genutzt werden, um eine entsprechende Aktualisierungsbotschaft 25 zum Beheben des Fehlers an den Car2X Empfängers zu senden. Denkbar ist auch, dass der Car2X-Empfänger 27 auch von sich aus eine Aktualisierung oder eine spezifische Aktualisierungsbotschaft 25 von einem Server oder einem anderen Fahrzeug anfordert. Zusätzlich dazu kann der Car2X Empfänger auch eine Warnung erzeugen, die dem Fahrer angezeigt wird. Alternativ ist es natürlich auch möglich, dass diese Fehlermeldung von einem Server ausgesandt und an den Car2X Empfänger 27 übermittelt wird, um es dem Fahrer anzuzeigen.

Ferner können die Car2X Empfänger derart ausgelegt sein, dass die Aktualisierung von Steuergeräten zwischen mehreren Fahrzeugen kooperativ geplant durchgeführt wird. Hierzu tauschen die Car2X Empfänger 27 untereinander die bevorstehenden Aktualisierungen auf und führen die in der Weise durch, dass die Einschränkung der Fahrzeugnutzung möglichst gering ist. Bei einem größeren Fuhrpark können auf diese Weise sichergestellt werden, dass ein Teil von Fahrzeugen immer fahrbereit ist. Anders formuliert könnte die Vernetzung der Fahrzeuge über die Car2X Empfänger genutzt werden, um die Aktualisierungen zu organisieren/ verwalten. So kann beispielsweise festgelegt werden, dass in einem bestimmten Zeitraum von der vorhandenen Gesamtanzahl von vorhandenen Fahrzeugen nur eine bestimmte Anzahl definitiv gebraucht werden wird. Somit wird sichergestellt, dass nicht alle Fahrzeuge gleichzeitig die Aktualisierung starten und damit einhergehend immer die entsprechende Anzahl von Fahrzeugen zur Verfügung steht. Dieses System könnte auch so variiert werden, dass ein Fahrzeug, welches eine Übersicht über die Fahrzeuge mit bevorstehenden Aktualisierungen besitzt, diese an einen Server berichtet und von diesem auf eine Freigabe zur Durchführung der Aktualisierungen wartet und daraufhin die vernetzten Fahrzeuge zur Aktualisierung anstößt.