WO2005008612A2 - Fernprogrammieren eines programmgesteuerten geräts - Google Patents

Fernprogrammieren eines programmgesteuerten geräts Download PDF

Info

Publication number
WO2005008612A2
WO2005008612A2 PCT/DE2004/001474 DE2004001474W WO2005008612A2 WO 2005008612 A2 WO2005008612 A2 WO 2005008612A2 DE 2004001474 W DE2004001474 W DE 2004001474W WO 2005008612 A2 WO2005008612 A2 WO 2005008612A2
Authority
WO
WIPO (PCT)
Prior art keywords
interface
legitimation
program data
program
control point
Prior art date
Application number
PCT/DE2004/001474
Other languages
English (en)
French (fr)
Other versions
WO2005008612A3 (de
Inventor
Holger Ceskutti
Thomas Sonnenrein
Gerrit De Boer
Norbert Bauer
Peter Engel
Original Assignee
Robert Bosch Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch Gmbh filed Critical Robert Bosch Gmbh
Priority to CN2004800201768A priority Critical patent/CN1842765B/zh
Priority to EP04738890A priority patent/EP1646992A2/de
Priority to JP2006519757A priority patent/JP2007524149A/ja
Priority to US10/564,208 priority patent/US8060873B2/en
Publication of WO2005008612A2 publication Critical patent/WO2005008612A2/de
Publication of WO2005008612A3 publication Critical patent/WO2005008612A3/de

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment

Definitions

  • the present invention relates to methods for remotely programming a program-controlled device and an arrangement with an interface for receiving program data and a legitimation, and a remotely programmable program-controlled device which comprises a processor and a program memory.
  • EDP program for controlling and regulating various functions of the vehicle. Operation of vehicle engines in particular is controlled by means of such control units. Electronic control units require an EDP program to perform their function. Often this EDP program has to be changed later, because program errors are discovered, or given values for operating parameters of a device controlled by the control unit are to be updated or functions of the EDP program are to be expanded or restricted.
  • the control unit has an interface so that corresponding modifications tion of the computer program can be entered into the control unit and stored there in a program memory. To do this, however, the vehicle must go to a workshop where the new program data are imported into the control unit using a workshop tester.
  • the program Since the program is generally of a confidential nature and any unauthorized manipulation of the functioning of the control unit - for example for reasons of liability and / or operational safety of the vehicle - must be prevented, the program data is transmitted using encryption mechanisms specified by the vehicle manufacturer or keys.
  • the secret keys are stored by the manufacturer in the workshop tester and are used by the workshop tester before reprogramming the control unit as its legitimation in front of the control unit.
  • the control unit is protected against direct manipulation, so that it is also not possible to access the control unit's identification algorithms for unauthorized access and to derive the legitimation from this. In order to avoid a cumbersome and time-consuming visit to the workshop, it is desirable to be able to program the control unit remotely, without having to compromise on tamper protection.
  • the arrangement includes an interface for receiving program data from a remote control point over a remote wireless connection.
  • Program data to be transmitted to the control unit of the vehicle are temporarily stored in a buffer memory at the interface and then transferred to a program memory of the control unit. Buffering of the program data is necessary due to the often unstable wireless remote connection, which can often lead to malfunctions such as incorrect data transmission or interruptions in the connection. Only when the program data have been completely received can they be entered into the memory of the control unit, since the operation of the vehicle is interrupted during the process of entering the program data into the memory of the control unit.
  • the present invention provides methods for remotely programming a program-controlled device and an arrangement therefor which enable reprogramming of the program-controlled device with the shortest possible interruption of its normal operation and in which the secrecy ensures legitimation is.
  • an uncontrolled spread of the secret legitimation is prevented by the fact that the legitimation transmitted remotely from the control point to the interface is not buffered by the interface like the program data, but is immediately transmitted to the device, where it is checked for validity , A physical storage of the legitimation at the interface as in the case of the program data or at another location is not necessary for the method to function. This means that the legitimation between the interface and the device is never present in a way that would allow unauthorized access to the legitimation.
  • the legitimation is buffered like the program data at the interface, but its validity is period of time limited.
  • the period of validity should be so short that it expires in the event of unauthorized access to the authentication before the device can be programmed without authorization.
  • the identification and / or the program data are particularly preferably transmitted wirelessly via the remote connection. In principle, this allows the device unlimited mobility. In order to minimize the effect of disturbances that frequently occur during wireless transmission, the method is repeated when such a disturbance occurs, so that error-free transmission of the program data is guaranteed.
  • the program data and / or the legitimation are preferably transmitted from the interface to the device via a wired connection.
  • a wired connection between the interface and the device is particularly useful when the interface and the device, for example, both in a mobile device such as. B. a vehicle or robot.
  • the control body Before transmission of the program data from the control point to the interface, it is possible to read out second data from a memory of the device, for example the program memory, and to transfer it to the control point. In this way, the control body is informed of the current status of the data present in the device. Based on this current state of the second data can then the control body compile the new program data accordingly. For example, values of operating parameters or program parts that are to remain unchanged do not need to be transmitted unnecessarily with the program data from the control point to the interface. A quantity of data of program data to be transmitted can be reduced in this way, which accelerates the remote transmission of the program data and thereby reduces the susceptibility to remote transmission. Before the remote transmission to the control point, the second data is advantageously buffered at the interface.
  • the buffering allows the second data to be transmitted to be collected at the interface with the lowest priority, ie without affecting the tasks to be carried out simultaneously by the device for its normal operation, and then to be transmitted continuously in a short time. In this way, the time period in which the normal operation of the device must be interrupted because there is no valid program for controlling this operation is kept as short as possible.
  • the program memory of the remotely programmable program-controlled device of the arrangement according to the invention can be any type of permanent memory that can be electrically overwritten, such as an EEPROM or a flash memory.
  • the interface can be connected to a control point by means of a wireless remote connection.
  • the long-distance wireless connection can be, for example, a cellular mobile radio connection.
  • the remotely programmable device receives the program data and the legitimation from the control point at the interface, which can be a legitimation with a limited period of validity.
  • the interface either passes the authentication to the flash memory immediately and unbuffered or, if the authentication is valid for a limited time, buffers it like the program data in a buffer memory before it transfers the authentication to the flash memory. In this way, it is avoided that an unauthorized person at any point in the arrangement can access a legitimation with which he can can manipulate the program data at a later time.
  • the device is preferably a control unit that controls a device.
  • the device can be, for example, an engine or another part of a motor vehicle.
  • the arrangement is particularly preferably arranged in a vehicle.
  • Figure 1 is a schematic representation of a remotely programmable device.
  • FIG. 3 shows a flow chart of a second method according to the invention.
  • FIG. 1 shows schematically a remotely programmable device 1, which is a vehicle.
  • the vehicle 1 comprises an engine 2, a control unit 3, an interface 4, an antenna 5 and a wired connection 6 between the control unit 3 and the interface 4.
  • the interface 4 has a buffer memory 7, while the control unit 3 has a flash Memory 8 and a processor 12 has.
  • the vehicle 1 can be connected wirelessly to a control point 9 via the antenna 5.
  • the control point 9 essentially has a computer 10 and an antenna 11.
  • the computer 10 can be a stationary computer, such as a personal computer, or a mobile device, such as a laptop.
  • EDP programs for control and predetermined values for operating parameters of the engine 2 are stored in the flash memory 8 of the control unit 3. These IT programs and operating parameters have to be modified from time to time. This is done via the control point 9.
  • a wireless connection is established between the vehicle 1 and the control point 9 by means of the antennas 5, 11. New program data are transmitted from the control point 9 to the vehicle 1 via this wireless connection and are buffered in the buffer memory 7 of the interface 4.
  • the control point 9 then transmits a legitimation to the interface 4 and from there to the control unit 3.
  • the flash memory 8 takes over the program data temporarily stored in the buffer memory 7. During this short time, the vehicle 1 is out of order.
  • Two methods are preferred for the remote programming of the flash memory 8: are explained in more detail below with the aid of a flow chart in each case.
  • FIG. 2 shows a flow diagram of the first preferred method according to the invention.
  • a wireless connection is established via antennas 5, 11 between control point 9 and vehicle 1.
  • data is read from the flash memory 8 in step 14 and transmitted via the connection 6 to the buffer memory 7, where it is buffered.
  • these data are transmitted remotely from the buffer memory 7 via the interface 4 and the wireless connection between the antennas 5, 11 from the vehicle 1 to the control point 9.
  • the data include one or more checksums calculated from the program data, on the basis of which the success of this remote transmission is checked in step 16 by the computer 10 of the control point 9.
  • steps 15 and 16 are repeated. If faults occurred during the remote transmission of the data, for example because the remote transmission was interrupted or occurred incorrectly, steps 15 and 16 are repeated. If the remote transmission was successful, the control point 9 creates in step 17 with the computer 10 new program data to be programmed into the flash memory 8 on the basis of the data obtained. In particular, the computer 10 checks which operating parameters have to be changed or whether the EDP program of the flash memory 8 has to be expanded or corrected. After creating the new program data, these and the checksums calculated therefrom are transmitted from the control point 9 to the interface 4 of the vehicle 1 via the wireless connection between the antennas 5, 11 in step 18. The program data and checksums are buffered there in the buffer memory 7 in step 19.
  • step 20 the interface 4 checks the integrity of the transmitted program data on the basis of the checksums. If it detects an error in the program data, it returns to step 18 to retransmit.
  • the control point 9 transmits a legitimation in step 21 via the wireless connection of the antennas 5, 11 to the interface 4. From the interface 4, the legitimation in step 22 is immediately and unbuffered via the transfer wired connection 6 to the control unit 3.
  • the processor 12 of the control unit 3 checks the validity in step 23 for its validity. The legitimation is not stored anywhere longer than is necessary so that the processor 12 can decide on its validity. This prevents uncontrolled access to the legitimation.
  • step 23 If the legitimation in step 23 proves not to be valid, this leads to an abort 24 of the method. Is the validity of the legitimacy tion determined, the flash memory 8 takes over in step 25 the program data buffered in the buffer memory 7.
  • step 26 the normal operation of the control unit 3 is resumed on the basis of the updated program now stored in the flash memory 8 and thus of the vehicle 1.
  • step 27 there is a corresponding feedback to the control point 9.
  • the wireless connection between vehicle 1 and control point 9 is then terminated in step 28 and the method is ended.
  • FIG. 2 Another method according to the invention for remote programming of the flash memory 8 can be seen in the flow chart in FIG.
  • This method like the previously described method, is initiated with the same steps 13 to 21, so that reference can be made here to the description of method steps 13 to 21 in FIG. 3 to the corresponding description of method steps 13 to 21 in FIG. 2.
  • the second method according to FIG. 3 in the subsequent step 29 deviates from the first method in that the legitimation is buffered in the buffer memory 7 in step 29.
  • the interface 4 does not need to be able to distinguish between program data and legitimation; it can therefore be constructed more simply than in the case of FIG. 2.
  • the method of FIG. 2 the method of FIG.
  • the legitimation 3 is a legitimation with a time-limited ter period of validity. This means that the legitimation is only recognized by the processor 12 of the control unit 3 as valid within a certain predetermined time interval. For this reason, the physical buffering of the legitimation in the buffer memory 7 does not mean any significant impairment of the security against manipulation, because if an unauthorized person succeeds in finding out the legitimation, he will nevertheless fail to attempt manipulation because the processor 12 will not fail the legitimation that has expired in the meantime recognized more than valid.
  • step 30 the legitimation is transmitted from the interface 4 to the storage unit 3 and in step 31 the processor 12 checks its validity. As mentioned, this validity check also includes a check with regard to the temporal validity of the identification. If the decision regarding the validity of the legitimation is negative and the legitimation is classified as invalid, the procedure is terminated in step 24. If the legitimation is recognized as valid, steps 25 to 28 continue, which correspond to steps 25 to 28 of the flowchart in FIG. 2 and for the description of which reference is again made to the description in FIG. 2 at this point.
  • step 21 of transmitting the legitimation before steps 18 to 20 of transmitting the program data, so that when all the received data are subsequently transmitted to the device in the order in which they were received, the Legitimation arrives first and can be checked by processor 12.
  • Additional protection can be achieved if between checks 25 of the takeover of the program data by the device and 26 of the resumption of normal operation a check of checksums transmitted together with the program data to the device takes place by the processor 12 and if an error is detected step 25 is repeated.
  • Interface 4 can also be assigned its own identification, which must be transmitted to the device every time the device is reprogrammed, just like the control body's authentication, and is checked before the device permits reprogramming.

Abstract

Es werden Verfahren zum Fernprogrammieren eines programmgesteuerten Geräts (3) sowie eine Anord­nung mit einer Schnittstelle (4) zum Empfangen von Programmdaten und einer Legitimation, und einem fernprogrammierbaren, programmgesteuerten Gerät (3), das einen Prozessor (12) und einen Programm­speicher (8) umfasst, beschrieben. Bei den Verfah­ren werden Programmdaten von einer Kontrollstelle (9) zu einer Schnittstelle (4) fernübertragen und dort in einem Pufferspeicher (7) zwischengespei­chert. Anschließend wird eine Legitimation von der Kontrollstelle (9) zur Schnittstelle (4) und von dieser zum Gerät (3) übertragen. Das Gerät (3) ü­berprüft die Legitimation und übernimmt bei posi­tivem Ergebnis die Programmdaten aus dem Puffer­speicher (7).

Description

Fernprogrammieren eines programmgesteuerten Geräts
Stand der Technik
Die vorliegende Erfindung betrifft Verfahren zum Fernprogrammieren eines programmgesteuerten Geräts sowie eine Anordnung mit einer Schnittstelle zum Empfangen von Programmdaten und einer Legitimation, und einem fernprogrammierbaren programmgesteuerten Gerät, das einen Prozessor und einen Programmspeicher umfasst.
In modernen Fahrzeugen werden zunehmend elektronische Steuereinheiten zur Steuerung und Regelung verschiedenster Funktionen des Fahrzeugs eingesetzt. Vor allem ein Betrieb von Fahrzeugmotoren wird mittels solcher Steuereinheiten gesteuert. Elektronische Steuereinheiten bedürfen zur Ausführung ihrer Funktion eines EDV-Programms. Häufig muss dieses EDV-Programm nachträglich abgeändert werden, weil nämlich Programmfehler entdeckt werden, oder aber vorgegebene Werte für Betriebspara- meter einer von der Steuereinheit gesteuerten Vorrichtung aktualisiert oder Funktionen des EDV- Programms erweitert oder eingeschränkt werden sollen. Zu diesem Zweck verfügt die Steuereinheit über eine Schnittstelle, so dass entsprechende Modifika- tionen des EDV-Programms in die Steuereinheit eingegeben und dort in einem Programmspeicher abgespeichert werden können. Das Fahrzeug muss dazu jedoch eine Werkstatt aufsuchen, wo mit einem soge- nannten Werkstatttester die neuen Programmdaten in die Steuereinheit eingespielt werden. Da das Programm in der Regel vertraulicher Art ist und auch jegliche unbefugte Manipulation der Arbeitsweise der Steuereinheit - beispielsweise aus Gründen der Haftung und/oder der Betriebssicherheit des Fahrzeugs - verhindert werden muss, erfolgt die Übertragung der Programmdaten unter Verwendung von durch den Fahrzeughersteller spezifizierten Verschlüsselungsmechanismen oder Schlüsseln. Die ge- heimen Schlüssel werden vom Hersteller im Werkstatttester abgelegt und werden vom Werkstatttester vor der Neuprogrammierung der Steuereinheit als dessen Legitimation vor der Steuereinheit verwendet. Dabei ist die Steuereinheit vor einer direkten Manipulation geschützt, so dass es auch nicht möglich ist, durch unbefugten Zugriff auf die Steuereinheit an deren Erkennungsalgorithmen für die Legitimation zu gelangen und daraus die Legitimation abzuleiten. Um einen umständlichen und zeitrauben- den Werkstattbesuch zu vermeiden, ist es wünschenswert, die Steuereinheit aus der Ferne programmieren zu können, ohne dabei jedoch Abstriche bei der Manipulationssicherheit in Kauf nehmen zu müssen.
Aus der DE 100 01 130 AI sind eine Anordnung und ein Verfahren zum Fernprogrammieren einer einen Motor eines Fahrzeuges steuernden fernprogrammierbaren Steuereinheit bekannt. Zur Anordnung gehört eine Schnittstelle zum Empfangen von Programm- daten von einer entfernten Kontrollstelle über eine drahtlose Fernverbindung. An die Steuereinheit des Fahrzeugs zu übertragende Programmdaten werden an der Schnittstelle in einem Pufferspeicher zwischen- gespeichert und anschließend in einen Programmspeicher der Steuereinheit übertragen. Die Pufferung der Programmdaten ist aufgrund der oftmals instabilen drahtlosen Fernverbindung notwendig, bei der es häufig zu Störungen wie zum Beispiel einer fehler- haften Datenübertragung oder Unterbrechungen der Verbindung kommen kann. Erst wenn die Programmdaten vollständig empfangen worden sind, können sie in den Speicher der Steuereinheit eingegeben werden, da wahrend des Vorganges der Eingabe der Programm- daten in den Speicher der Steuereinheit ein Betrieb des Fahrzeuges unterbrochen ist. Wurden die Pro- grammdaten, ohne sie zu puffern, direkt in den Speicher der Steuereinheit eingegeben werden, so wäre der Betrieb des Fahrzeuges wahrend der gesam- ten für die Fernubertragung der Programmdaten von der Kontrollstelle in den Pufferspeicher benotigten Zeitdauer unterbrochen, was infolge von Störungen bei der Fernubertragung mitunter unverhaltnismassig lange dauern kann.
Ein Problem ergibt sich hierbei aber hinsichtlich der Legitimation, die an die Steuereinheit übertragen werden muss, damit diese die Programmdaten, die vom Pufferspeicher an sie übertragen werden, akzep- tiert. Es ist vom Hersteller nicht erwünscht, diese Legitimation im Fahrzeug selber dauerhaft physikalisch zu speichern, weil dem Hersteller dadurch eine Kontrolle über die Geheimhaltung bzw. die Verbreitung der Legitimation aus der Hand gegeben ist.
Vorteile der Erfindung
Durch die vorliegende Erfindung, wie in den Ansprüchen 1, 2 und 10 definiert, werden Verfahren zum Fernprogrammieren eines programmgesteuerten Geräts sowie eine Anordnung hierfür bereitgestellt, die eine Umprogrammierung des programmgesteuerten Geräts bei kurzestmoglicher Unterbrechung seines normalen Betriebs ermöglichen und bei denen die Geheimhaltung einer Legitimation gewahrleistet ist.
Beim erfindungsgemaßen Verfahren nach Anspruch 1 wird eine unkontrollierte Verbreitung der geheimen Legitimation dadurch unterbunden, dass die von der Kontrollstelle an die Schnittstelle fernübertragene Legitimation von der Schnittstelle nicht wie die Programmdaten gepuffert sondern unverzüglich an das Gerat übertragen wird, wo sie auf ihre Gültigkeit gepr ft wird. Ein physikalisches Speichern der Legitimation an der Schnittstelle wie im Fall der Programmdaten oder an einer anderen Stelle ist zum Funktionieren des Verfahrens nicht erforderlich. Damit ist die Legitimation zwischen Schnittstelle und Gerat zu keiner Zeit auf eine Weise präsent, die einen unbefugten Zugriff auf die Legitimation ermöglichen wurde.
Beim erfindungsgemaßen Verfahren nach Anspruch 2 wird die Legitimation zwar wie die Programmdaten an der Schnittstelle gepuffert, jedoch ist ihre Gul- tigkeitsdauer zeitlich begrenzt. Die Gültigkeitsdauer sollte dabei so kurz gewählt sein, dass sie bei einem unbefugten Zugriff auf die Legitimation abläuft, noch bevor mit der Legitimation eine unbe- fugte Programmierung des Geräts vorgenommen werden kann.
Besonders bevorzugt werden die Legitimation und/oder die Programmdaten über die Fernverbindung drahtlos übertragen. Dies erlaubt dem Gerät prinzipiell eine uneingeschränkte Mobilität. Um eine Auswirkung von während der drahtlosen Übertragung häufig auftretenden Störungen zu minimieren, wird das Verfahren bei Auftreten einer solchen Störung wie- derholt, damit eine fehlerfreie Übertragung der Programmdaten gewährleistet ist.
Von der Schnittstelle werden die Programmdaten und/oder die Legitimation bevorzugterweise über ei- ne verdrahtete Verbindung von der Schnittstelle zum Gerät übertragen. Eine verdrahtete Verbindung zwischen Schnittstelle und Gerät ist insbesondere dann sinnvoll, wenn Schnittstelle und Gerät beispielsweise beide in einer mobilen Vorrichtung wie z. B. einem Fahrzeug oder Roboter angeordnet sind.
Es ist möglich, vor Übertragung der Programmdaten von der Kontrollstelle zur Schnittstelle zweite Daten aus einem Speicher des Geräts, beispielsweise dem Programmspeicher, auszulesen und zur Kontrollstelle zu übertragen. Auf diese Weise wird die Kontrollstelle über einen aktuellen Stand der im Gerät vorliegenden Daten informiert . Auf der Grundlage dieses aktuellen Standes der zweiten Daten kann dann die Kontrollstelle die neuen Programmdaten entsprechend zusammenstellen. Beispielsweise brauchen Werte von Betriebsparametern oder Programmtei- le, die unverändert bleiben sollen, nicht unnoti- gerweise mit den Programmdaten von der Kontrollstelle zur Schnittstelle übertragen zu werden. Eine Datenmenge von zu übertragenden Programmdaten lasst sich auf diese Weise reduzieren, was die Fernubertragung der Programmdaten beschleunigt und dadurch eine Storungsanfalligkeit der Fernubertragung vermindert. Vor der Fernubertragung zur Kontrollstelle werden die zweiten Daten vorteilhafterweise an der Schnittstelle gepuffert. Die Pufferung erlaubt es, die zu übertragenden zweiten Daten zunächst mit niedrigster Priorität, d. h. ohne Beeinträchtigung von zeitgleich vom Gerat für dessen normalen Betrieb auszuführenden Aufgaben, bei der Schnittstelle zu sammeln und sie dann in kurzer Zeit kontinuierlich zu übertragen. So wird die Zeitspanne, in der der normale Betrieb des Geräts unterbrochen werden muss, weil kein gültiges Programm zum Steuern dieses Betriebs vorhanden ist, so kurz wie möglich gehalten.
Es ist von Vorteil, nach der Übernahme der Programmdaten in den Pufferspeicher einen Erfolg der Fernprogrammierung zu überprüfen und erst bei einem positiven Ergebnis der Überprüfung einen durch die Programmdaten gesteuerten Betrieb des Geräts aufzu- nehmen. Fehlerhafte Programmdaten werden dadurch frühzeitig erkannt und können korrigiert werden, bevor sie zu einem fehlerhaften Betrieb des fernprogrammierbaren Geräts fuhren können. Bei dem Programmspeicher des fernprogrammierbaren programmgesteuerten Geräts der erfindungsgemäßen Anordnung kann es sich um einen beliebigen elektrisch überschreibbaren permanenten Speichertyp wie etwa ein EEPROM oder einen Flash-Speicher handeln. Da Flash-Speicher jeweils nur komplett überschreibbar sind, werden bei Verwendung eines solchen Speichers in dem oben betrachteten Fall, dass Teile der darin gespeicherten Programmdaten bei einer Umpro- grammierung unverändert bleiben sollen und deshalb nicht von der Kontrollstelle an die Schnittstelle übertragen werden, diese Teile vom Flash-Speicher in den Puffer der Schnittstelle übertragen und anschließend zusammen mit den neuen Programmdaten in den Flash-Speicher rückgeschrieben.
Bei der erfindungsgemäßen Anordnung ist die Schnittstelle mittels einer drahtlosen Fernverbindung mit einer Kontrollstelle verbindbar. Bei der drahtlosen Fernverbindung kann es sich beispielsweise um eine zellulare Mobilfunkverbindung handeln. Dabei empfängt das fernprogrammierbare Gerät an der Schnittstelle die Programmdaten und die Legitimation, bei der es sich um eine Legitimation mit einer befristeten Gültigkeitsdauer handeln kann, von der Kontrollstelle. Die Schnittstelle gibt die Legitimation entweder unverzüglich und un- gepuffert an den Flash-Speicher weiter oder puffert sie bei befristeter Gültigkeit der Legitimation wie die Programmdaten in einem Pufferspeicher, bevor sie die Legitimation an den Flash-Speicher weitergibt. Auf diese Weise wird vermieden, dass ein Unbefugter an irgendeiner Stelle der Anordnung auf eine Legitimation zugreifen kann, mit der er zu ei- nem spateren Zeitpunkt die Programmdaten manipulieren kann.
Bevorzugterweise handelt es sich bei dem Gerat um eine Steuereinheit, die eine Vorrichtung steuert. Dabei kann es sich bei der Vorrichtung beispielsweise um einen Motor oder ein anderes Teil eines Kraftfahrzeugs handeln.
Besonders bevorzugt ist die Anordnung in einem Fahrzeug angeordnet .
Nachfolgend wird die Erfindung unter Zuhilfenahme von Zeichnungen naher erläutert.
Es zeigen:
Fig. 1 eine schematische Darstellung eines fernprogrammierbaren Gerätes;
Fig. 2 ein Flussdiagramm eines ersten erfin- dungsgemaßen Verfahrens; und
Fig. 3 ein Flussdiagramm eines zweiten erfin- dungsgemaßen Verfahrens.
Figur 1 zeigt schematisch ein fernprogrammierbares Gerat 1, bei dem es sich um ein Fahrzeug handelt. Das Fahrzeug 1 umfasst einen Motor 2, eine Steuer- einheit 3, eine Schnittstelle 4, eine Antenne 5 sowie eine verdrahtete Verbindung 6 zwischen der Steuereinheit 3 und der Schnittstelle 4. Die Schnittstelle 4 weist einen Pufferspeicher 7 auf, wahrend die Steuereinheit 3 über einen Flash- Speicher 8 und einen Prozessor 12 verfügt. Über die Antenne 5 ist das Fahrzeug 1 mit einer Kontrollstelle 9 drahtlos verbindbar. Die Kontrollstelle 9 weist im Wesentlichen einen Computer 10 sowie eine Antenne 11 auf. Beim Computer 10 kann es sich um einen stationären Rechner wie beispielsweise einen Personalcomputer handeln oder aber um ein mobiles Gerät, wie zum Beispiel ein Laptop.
Im Betrieb des Fahrzeuges 1 wird dessen Motor 2 von der Steuereinheit 3 gesteuert. Dazu sind im Flash-Speicher 8 der Steuereinheit 3 EDV-Programme zur Steuerung sowie vorgegebene Werte für Be- triebsparameter des Motors 2 abgelegt. Diese EDV- Programme und Betriebsparameter müssen von Zeit zu Zeit modifiziert werden. Dies geschieht über die Kontrollstelle 9. Hierzu wird mittels der Antennen 5, 11 eine drahtlose Verbindung zwischen dem Fahr- zeug 1 und der Kontrollstelle 9 hergestellt. Über diese drahtlose Verbindung werden neue Programmdaten von der Kontrollstelle 9 an das Fahrzeug 1 übertragen und im Pufferspeicher 7 der Schnittstelle 4 zwischengespeichert. Anschließend über- trägt die Kontrollstelle 9 eine Legitimation zur Schnittstelle 4 und von dieser an die Steuereinheit 3. Nach positiver Überprüfung der Legitimation durch den Prozessor 12 der Steuereinheit 3 ü- bernimmt der Flash-Speicher 8 die im Pufferspei- eher 7 zwischengespeicherten Programmdaten. Während dieser kurzen Zeit ist das Fahrzeug 1 außer Betrieb. Für die Fernprogrammierung des Flash- Speichers 8 werden zwei Verfahren bevorzugt, die im Folgenden mit Hilfe von jeweils einem Flussdiagramm näher erläutert werden.
Figur 2 zeigt ein Flussdiagramm des ersten bevor- zugten erfindungsgemäßen Verfahrens. Zunächst wird in einem ersten Schritt 13 eine drahtlose Verbindung über die Antennen 5, 11 zwischen der Kontrollstelle 9 und dem Fahrzeug 1 hergestellt. Nach Herstellen der Verbindung werden im Schritt 14 Da- ten aus dem Flash-Speicher 8 ausgelesen und über die Verbindung 6 zum Pufferspeicher 7 übertragen, wo sie gepuffert werden. Im darauffolgenden Schritt 15 werden diese Daten vom Pufferspeicher 7 über die Schnittstelle 4 und die drahtlose Verbin- düng zwischen den Antennen 5, 11 vom Fahrzeug 1 zur Kontrollstelle 9 fernübertragen. Die Daten umfassen neben den eigentlichen Programmdaten eine oder mehrere aus den Programmdaten berechnete Prüfsummen, anhand deren ein Erfolg dieser Fern- Übertragung in Schritt 16 vom Computer 10 der Kontrollstelle 9 geprüft wird.
Sofern während der Fernübertragung der Daten Störungen aufgetreten sind, weil die Fernübertragung zum Beispiel unterbrochen wurde oder fehlerhaft erfolgt ist, werden die Schritte 15 und 16 wiederholt. War die Fernübertragung erfolgreich, so erstellt die Kontrollstelle 9 im Schritt 17 mit dem Computer 10 auf Grundlage der erhaltenen Daten neue in den Flash-Speicher 8 zu programmierende Programmdaten. Insbesondere prüft der Computer 10, welche Betriebsparameter geändert werden müssen oder ob das EDV-Programm des Flash-Speichers 8 erweitert oder korrigiert werden muss. Nach Erstellen der neuen Programmdaten werden diese sowie daraus berechnete Prüfsummen über die drahtlose Verbindung zwischen den Antennen 5, 11 von der Kontrollstelle 9 in Schritt 18 an die Schnittstelle 4 des Fahrzeuges 1 übertragen. Dort werden die Programmdaten und Prüfsummen im Pufferspeicher 7 in Schritt 19 zwischengespeichert.
Die Schnittstelle 4 überprüft in Schritt 20 anhand der Prüfsummen die Unversehrtheit der übertragenen Programmdaten. Wenn sie einen Fehler in den Programmdaten feststellt, kehrt sie zu Schritt 18 zurück, um eine erneute Übertragung zu veranlassen.
Sobald die Programmdaten in dem Pufferspeicher 7 als fehlerfrei beurteilt worden sind, überträgt die Kontrollstelle 9 in Schritt 21 eine Legitimation über die drahtlose Verbindung der Antennen 5, 11 zur Schnittstelle 4. Von der Schnittstelle 4 wird die Legitimation in Schritt 22 unverzüglich und ungepuffert über die verdrahtete Verbindung 6 zur Steuereinheit 3 übertragen. Nach Erhalt der Legitimation überprüft der Prozessor 12 der Steue- reeinheit 3 in Schritt 23 die Legitimation auf ihre Gültigkeit. Die Legitimation wird an keiner Stelle länger gespeichert, als nötig ist, damit der Prozessor 12 über ihre Gültigkeit entscheiden kann. Ein unkontrollierter Zugriff auf die Legiti- mation wird dadurch verhindert.
Erweist sich die Legitimation in Schritt 23 als nicht gültig, so führt dies zu einem Abbruch 24 des Verfahrens. Wird die Gültigkeit der Legiti- mation festgestellt, so übernimmt der Flash- Speicher 8 in Schritt 25 die im Pufferspeicher 7 zwischengespeicherten Programmdaten.
In Schritt 26 wird der normale Betrieb der Steuereinheit 3 anhand des nun im Flash-Speicher 8 gespeicherten aktualisierten Programms und damit des Fahrzeuges 1 wieder aufgenommen. Es erfolgt in Schritt 27 eine entsprechende Ruckmeldung an die Kontrollstelle 9. Daraufhin wird in Schritt 28 die drahtlose Verbindung zwischen Fahrzeug 1 und Kontrollstelle 9 abgebrochen und das Verfahren beendet.
Ein weiteres erfindungsgemaßes Verfahren zur Fernprogrammierung des Flash-Speichers 8 ist im Flussdiagramm der Figur 3 zu sehen. Dieses Verfahren wird wie das zuvor beschriebene Verfahren mit den gleichen Schritten 13 bis 21 eingeleitet, so dass an dieser Stelle zur Beschreibung der Verfahrensschritte 13 bis 21 in Fig. 3 auf die entsprechende Beschreibung der Verfahrensschritte 13 bis 21 in Figur 2 verwiesen werden kann. Nach Übersenden der Legitimation von der Kontrollstelle 9 zur Schnitt- stelle 7 in Schritt 21 weicht das zweite Verfahren gemäß Fig. 3 im nachfolgenden Schritt 29 vom ersten Verfahren dahingehend ab, als in Schritt 29 die Legitimation im Pufferspeicher 7 gepuffert wird. D. h. die Schnittstelle 4 braucht nicht zwi- sehen Programmdaten und Legitimation unterscheiden zu können; sie kann daher einfacher aufgebaut sein als im Fall der Fig. 2. Im Unterschied zum Verfahren der Fig. 2 handelt es sich beim Verfahren der Fig. 3 um eine Legitimation mit zeitlich begrenz- ter Gültigkeitsdauer. Das bedeutet, dass die Legitimation vom Prozessor 12 der Steuereinheit 3 nur innerhalb eines bestimmten vorgegebenen Zeitintervalls als gültig anerkannt wird. Aus diesem Grund bedeutet auch das physikalische Zwischenspeichern der Legitimation im Pufferspeicher 7 keine signifikante Beeinträchtigung der Sicherheit vor Manipulation, denn wenn es einem Unbefugten gelingt, die Legitimation herauszufinden, wird er bei einem Manipulationsversuch dennoch daran scheitern, dass der Prozessor 12 die zwischenzeitlich abgelaufene Legitimation nicht mehr als gültig anerkennt.
In Schritt 30 wird die Legitimation von der Schnittstelle 4 zur Speichereinheit 3 übertragen und in Schritt 31 vom Prozessor 12 auf ihre Gültigkeit überprüft. Wie erwähnt umfasst diese Gültigkeitsüberprüfung auch eine Überprüfung hinsichtlich einer zeitlichen Gültigkeit der Legiti- mation. Fällt die Entscheidung die Gültigkeit der Legitimation negativ aus und wird die Legitimation als ungültig eingestuft, so folgt mit Schritt 24 ein Abbruch des Verfahrens. Wird die Legitimation als gültig anerkannt, so wird mit den Schritten 25 bis 28 fortgefahren, die den Schritten 25 bis 28 des Flussdiagramms der Figur 2 entsprechen und zu deren Beschreibung an dieser Stelle wiederum auf die Beschreibung der Figur 2 verwiesen wird.
Bei den vorgestellten Verfahren handelt es sich um besonders bevorzugte erfindungsgemäße Verfahren. Es sind darüber hinaus auch Variationen der Verfahren möglich, ohne den Erfindungsgedanken zu verlassen. Beispielsweise ist es möglich, beim zweiten Verfahren gemäß der Figur 3 den Schritt 21 des Übertragens der Legitimation vor den Schritten 18 bis 20 der Übertragung der Programmdaten durchzuführen, so dass, wenn anschließend alle empfan- genen Daten in der Reihenfolge ihres Empfangs durch die Schnittstelle an das Gerät übertragen werden, die Legitimation zuerst eintrifft und vom Prozessor 12 geprüft werden kann.
Eine zusätzliche Absicherung ist erreichbar, wenn jeweils zwischen die Schritte 25 der Übernahme der Programmdaten durch das Gerät und 26 der Wiederaufnahme des normalen Betriebs eine Prüfung von zusammen mit den Programmdaten an das Gerät über- tragenen Prüfsummen durch den Prozessor 12 stattfindet und bei Feststellung eines Fehlers der Schritt 25 wiederholt wird.
Auch kann der Schnittstelle 4 eine eigene Legiti- mation zugeordnet werden, die bei jeder Neuprogrammierung des Geräts genauso wie die Legitimation der Kontrollstelle an das Gerät übertragen werden muss und geprüft wird, bevor das Gerät eine Neuprogrammierung zulässt.

Claims

Patentansprüche
1. Verfahren zum Fernprogrammieren eines programmgesteuerten Geräts (3) mit den Schritten (a) Fernubertragen von Programmdaten von einer Kontrollstelle (9) über eine Fernverbindung an eine mit dem Gerat (3) verbundene Schnittstelle (4); (b) Puffern der Programmdaten an der Schnittstelle (4); (c) Fernubertragen einer Legitimation von der Kontrollstelle (9) an die Schnitt- stelle (4); (d) ungepufferte Weitergabe der Legitimation an das Gerat (3) ; (e) Prüfen der Legitimation durch das Gerat ( 3 ) ; (f) bei positiver Legitimation Eintragen der Programmdaten in einen Programmspeicher (8) des Geräts (3).
2. Verfahren zum Fernprogrammieren eines pro- grammgesteuerten Geräts (3) mit den Schritten (a) Fernubertragen von Programmdaten von einer Kontrollstelle (9) über eine Fernverbindung an eine mit dem Gerat (3) verbundene Schnittstelle (4); (b) Puffern der Programmdaten an der Schnittstelle (4); (c) Fernubertragen einer Legitimation von der Kontrollstelle (9) an die Schnittstelle (4); (d) Weitergabe der Legitimation an das Gerät (3); (e) Prüfen der Legitimation durch das Gerät (3), wobei die Prüfung ein Prüfen einer Gültigkeitsdauer der Legitimation umfasst; (f) bei positiver Legitimation Eintragen der Programmdaten in einen Programmspeicher (8) des Geräts (3) .
3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die Legitimation und/oder die Programmdaten über die Fernverbindung drahtlos übertragen werden.
4. Verfahren nach Anspruch 3, dadurch gekennzeichnet, dass das Verfahren bei Auftreten einer Störung der drahtlosen Übertragung wiederholt wird.
5. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Programmdaten und/oder die Legitimation über eine verdrahtete Verbindung (6) von der Schnitt- stelle (4) zum Gerät (3) übertragen wird.
6. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass vor der Übertragung der Programmdaten zur Schnittstel- le (4) zweite Daten aus einem Speicher (8) des Geräts (3) ausgelesen und zur Kontrollstelle (9) übertragen werden.
Verfahren nach Anspruch 6, dadurch gekennzeichnet, dass die zweiten Daten an der Schnittstelle (4) gepuffert werden, bevor sie zur Kontrollstelle (9) übertragen werden.
Verfahren nach einem der Ansprüche 6 oder 7, dadurch gekennzeichnet, dass die Kontrollstelle (9) die Programmdaten auf Grundlage der zweiten Daten zusammenstellt.
9. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass nach der Übernahme der Programmdaten in den Programmspeicher (8) ein Erfolg der Fernprogrammierung überprüft und bei einem positiven Ergebnis der Überprüfung ein durch die Programmdaten gesteuerter Betrieb des Geräts (3) aufgenommen wird.
10. Anordnung, insbesondere zur Ausführung eines Verfahrens nach einem der vorhergehenden Ansprüche, mit einer Schnittstelle (4) zum Empfangen von Programmdaten und einer Legitimation, und einem fernprogrammierbaren, programm- gesteuerten Gerät (3) , das einen Prozessor (12) und einen Programmspeicher (8) umfasst, dadurch gekennzeichnet, dass die Schnittstelle (4) eingerichtet ist, empfangene Programmdaten zu puffern, eine empfangene Legitimation an das Gerät (3) weiterzuleiten, und die gepufferten Programmdaten nach positiver Prüfung der Legitimation durch das Gerät (3) an das Gerät (3) zu übertragen. te¬
il. Anordnung nach Anspruch 10, dadurch gekennzeichnet, dass der Programmspeicher (8) ein Flash-Speicher oder ein EEPROM ist.
12. Anordnung nach Anspruch 10 oder 11, dadurch gekennzeichnet, dass die Schnittstelle (4) mittels einer drahtlosen Fernverbindung mit einer Kontrollstelle (9) verbindbar ist.
13. Anordnung nach einem der Ansprüche 10 bis 12, dadurch gekennzeichnet, dass die Schnittstelle (4) die Legitimation von der Kontrollstelle (9) empfängt und ungepuffert an das Gerät (3) weitergibt .
14. Anordnung nach einem der Ansprüche 10 bis 13, dadurch gekennzeichnet, dass das Gerät (3) eine Steuereinheit ist, die eine Vorrichtung (2) steuert .
15. Anordnung nach Anspruch 14, dadurch gekennzeichnet, dass die Vorrichtung (2) ein Kraftfahrzeug oder ein Teil eines Kraftfahrzeugs o- der eine als Teil eines Kraftfahrzeugs ver- wendbare Vorrichtung wie etwa ein Motor ist.
16. Kraftfahrzeug mit einer Anordnung nach einem der Ansprüche 10 bis 15.
PCT/DE2004/001474 2003-07-14 2004-07-08 Fernprogrammieren eines programmgesteuerten geräts WO2005008612A2 (de)

Priority Applications (4)

Application Number Priority Date Filing Date Title
CN2004800201768A CN1842765B (zh) 2003-07-14 2004-07-08 程控设备的遥控编程方法和装置以及包含这种装置的汽车
EP04738890A EP1646992A2 (de) 2003-07-14 2004-07-08 Fernprogrammieren eines programmgesteuerten ger ts
JP2006519757A JP2007524149A (ja) 2003-07-14 2004-07-08 プログラム制御される機器の遠隔プログラミング
US10/564,208 US8060873B2 (en) 2003-07-14 2004-07-08 Method and system for remote programming of a program-controlled device using a legitimization code

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE10331874.7 2003-07-14
DE10331874A DE10331874A1 (de) 2003-07-14 2003-07-14 Fernprogrammieren eines programmgesteuerten Geräts

Publications (2)

Publication Number Publication Date
WO2005008612A2 true WO2005008612A2 (de) 2005-01-27
WO2005008612A3 WO2005008612A3 (de) 2006-03-23

Family

ID=34071665

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/DE2004/001474 WO2005008612A2 (de) 2003-07-14 2004-07-08 Fernprogrammieren eines programmgesteuerten geräts

Country Status (6)

Country Link
US (1) US8060873B2 (de)
EP (1) EP1646992A2 (de)
JP (1) JP2007524149A (de)
CN (1) CN1842765B (de)
DE (1) DE10331874A1 (de)
WO (1) WO2005008612A2 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007011734A (ja) * 2005-06-30 2007-01-18 Denso Corp 車載制御装置
US8060873B2 (en) 2003-07-14 2011-11-15 Robert Bosch Gmbh Method and system for remote programming of a program-controlled device using a legitimization code

Families Citing this family (57)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8788092B2 (en) 2000-01-24 2014-07-22 Irobot Corporation Obstacle following sensor scheme for a mobile robot
US8412377B2 (en) 2000-01-24 2013-04-02 Irobot Corporation Obstacle following sensor scheme for a mobile robot
US6956348B2 (en) 2004-01-28 2005-10-18 Irobot Corporation Debris sensor for cleaning apparatus
US6690134B1 (en) 2001-01-24 2004-02-10 Irobot Corporation Method and system for robot localization and confinement
US7571511B2 (en) 2002-01-03 2009-08-11 Irobot Corporation Autonomous floor-cleaning robot
US7429843B2 (en) 2001-06-12 2008-09-30 Irobot Corporation Method and system for multi-mode coverage for an autonomous robot
US8396592B2 (en) 2001-06-12 2013-03-12 Irobot Corporation Method and system for multi-mode coverage for an autonomous robot
US9128486B2 (en) 2002-01-24 2015-09-08 Irobot Corporation Navigational control system for a robotic device
US8386081B2 (en) 2002-09-13 2013-02-26 Irobot Corporation Navigational control system for a robotic device
US8428778B2 (en) 2002-09-13 2013-04-23 Irobot Corporation Navigational control system for a robotic device
US7332890B2 (en) 2004-01-21 2008-02-19 Irobot Corporation Autonomous robot auto-docking and energy management systems and methods
US7720554B2 (en) 2004-03-29 2010-05-18 Evolution Robotics, Inc. Methods and apparatus for position estimation using reflected light sources
US7366589B2 (en) * 2004-05-13 2008-04-29 General Motors Corporation Method and system for remote reflash
US9008835B2 (en) 2004-06-24 2015-04-14 Irobot Corporation Remote control scheduler and method for autonomous robotic device
US8972052B2 (en) 2004-07-07 2015-03-03 Irobot Corporation Celestial navigation system for an autonomous vehicle
US7706917B1 (en) 2004-07-07 2010-04-27 Irobot Corporation Celestial navigation system for an autonomous robot
US11209833B2 (en) 2004-07-07 2021-12-28 Irobot Corporation Celestial navigation system for an autonomous vehicle
US7774789B1 (en) 2004-10-28 2010-08-10 Wheeler Thomas T Creating a proxy object and providing information related to a proxy object
US8266631B1 (en) 2004-10-28 2012-09-11 Curen Software Enterprises, L.L.C. Calling a second functionality by a first functionality
US7823169B1 (en) 2004-10-28 2010-10-26 Wheeler Thomas T Performing operations by a first functionality within a second functionality in a same or in a different programming language
US7620476B2 (en) 2005-02-18 2009-11-17 Irobot Corporation Autonomous surface cleaning robot for dry cleaning
ES2346343T3 (es) 2005-02-18 2010-10-14 Irobot Corporation Robot autonomo de limpieza de superficies para una limpieza en seco y en mojado.
US8392021B2 (en) 2005-02-18 2013-03-05 Irobot Corporation Autonomous surface cleaning robot for wet cleaning
US7861212B1 (en) 2005-03-22 2010-12-28 Dubagunta Saikumar V System, method, and computer readable medium for integrating an original application with a remote application
US7797688B1 (en) 2005-03-22 2010-09-14 Dubagunta Saikumar V Integrating applications in multiple languages
US8578349B1 (en) 2005-03-23 2013-11-05 Curen Software Enterprises, L.L.C. System, method, and computer readable medium for integrating an original language application with a target language application
US8930023B2 (en) 2009-11-06 2015-01-06 Irobot Corporation Localization by learning of wave-signal distributions
EP2816434A3 (de) 2005-12-02 2015-01-28 iRobot Corporation Roboter mit autonomem Wirkungsbereich
EP2251757B1 (de) 2005-12-02 2011-11-23 iRobot Corporation Abdeckungsrobotermobilität
EP2116914B1 (de) 2005-12-02 2013-03-13 iRobot Corporation Modularer Roboter
EP2267568B1 (de) 2005-12-02 2014-09-24 iRobot Corporation Roboternavigationssystem mit autonomer Abdeckung
EP2544066B1 (de) 2005-12-02 2018-10-17 iRobot Corporation Robotersystem
US20070185624A1 (en) * 2006-02-07 2007-08-09 General Motors Corporation Method for remote reprogramming of vehicle flash memory
EP2023788B1 (de) 2006-05-19 2011-09-07 iRobot Corporation Müllentfernung aus reinigungsrobotern
US7810140B1 (en) * 2006-05-23 2010-10-05 Lipari Paul A System, method, and computer readable medium for processing a message in a transport
US8417383B2 (en) 2006-05-31 2013-04-09 Irobot Corporation Detecting robot stasis
US7844759B1 (en) 2006-07-28 2010-11-30 Cowin Gregory L System, method, and computer readable medium for processing a message queue
US7860517B1 (en) 2006-12-22 2010-12-28 Patoskie John P Mobile device tracking using mobile agent location breadcrumbs
US8200603B1 (en) 2006-12-22 2012-06-12 Curen Software Enterprises, L.L.C. Construction of an agent that utilizes as-needed canonical rules
US9311141B2 (en) 2006-12-22 2016-04-12 Callahan Cellular L.L.C. Survival rule usage by software agents
US8132179B1 (en) 2006-12-22 2012-03-06 Curen Software Enterprises, L.L.C. Web service interface for mobile agents
US7949626B1 (en) 2006-12-22 2011-05-24 Curen Software Enterprises, L.L.C. Movement of an agent that utilizes a compiled set of canonical rules
US7698243B1 (en) 2006-12-22 2010-04-13 Hauser Robert R Constructing an agent in a first execution environment using canonical rules
US7660780B1 (en) 2006-12-22 2010-02-09 Patoskie John P Moving an agent from a first execution environment to a second execution environment
US7970724B1 (en) 2006-12-22 2011-06-28 Curen Software Enterprises, L.L.C. Execution of a canonical rules based agent
US8423496B1 (en) 2006-12-22 2013-04-16 Curen Software Enterprises, L.L.C. Dynamic determination of needed agent rules
JP4720781B2 (ja) * 2007-05-07 2011-07-13 株式会社デンソー 車両制御装置のデータ書換システム
US20080281470A1 (en) 2007-05-09 2008-11-13 Irobot Corporation Autonomous coverage robot sensing
DE102008056745A1 (de) * 2008-11-11 2010-05-12 Continental Automotive Gmbh Vorrichtung zum Steuern einer Fahrzeugfunktion und Verfahren zum Aktualisieren eines Steuergerätes
CN105147193B (zh) 2010-02-16 2018-06-12 艾罗伯特公司 真空吸尘器毛刷
JP5331081B2 (ja) * 2010-10-15 2013-10-30 トヨタ自動車株式会社 情報処理装置、ナビゲーション装置、データ更新方法
JP5240316B2 (ja) * 2010-10-26 2013-07-17 株式会社デンソー 車両乗員非操作運転システム
US20130204495A1 (en) * 2012-02-02 2013-08-08 Ford Global Technologies, Llc System and method for monitoring and regulating a vehicle
DE102012024010A1 (de) 2012-12-06 2014-06-12 Volkswagen Aktiengesellschaft Verfahren für ein Fahrzeug
US20150095898A1 (en) * 2013-09-27 2015-04-02 Ford Global Technologies, Llc Method and Apparatus for Tailored Wireless Module Updating
US9972321B2 (en) * 2016-01-27 2018-05-15 Bristol, Inc. Voice interfaces in process control systems
US10031740B2 (en) * 2016-10-24 2018-07-24 Lear Corporation Method for programming vehicle electronic control modules

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10001130A1 (de) * 1999-01-15 2000-07-27 Cummins Engine Co Inc System und Verfahren zur Übertragung von Anwendungssoftware zu einem eingebauten Fahrzeugcomputer
EP1128265A1 (de) * 2000-02-22 2001-08-29 Peugeot Citroen Automobiles SA Fernwiederprogrammierungsverfahren von mindestens einem Rechner eines Informatiksystems an Bord eines Kraftwagens
US20020019877A1 (en) * 2000-08-04 2002-02-14 Juergen Wrede Method and system for transmitting data
US20020035429A1 (en) * 2000-08-02 2002-03-21 Banas Patrick A. Wireless reprogramming of vehicle electronic control units
DE10131395A1 (de) * 2001-06-28 2003-01-23 Daimler Chrysler Ag Verfahren zum Übertragen von Software- Modulen
EP1324197A1 (de) * 2001-12-31 2003-07-02 ROBERT BOSCH GmbH Verfahren und Installation zur Aktualisierung eines Programms eines in einem Kraftwagen eingebetteten Rechners

Family Cites Families (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4325146A (en) * 1979-12-20 1982-04-13 Lennington John W Non-synchronous object identification system
US4994675A (en) * 1989-04-28 1991-02-19 Rebo Research, Inc. Method and apparatus for checking continuity of optic transmission
CA2053261A1 (en) * 1989-04-28 1990-10-29 Gary D. Hornbuckle Method and apparatus for remotely controlling and monitoring the use of computer software
US5237603A (en) * 1989-12-11 1993-08-17 Sony Corporation Cordless telephone which intermittently monitors predetermined channels from all available channels
US6031825A (en) * 1992-08-18 2000-02-29 Nokia Mobile Phones Limited Infrared audio link in mobile phone
US6028537A (en) * 1996-06-14 2000-02-22 Prince Corporation Vehicle communication and remote control system
US5914976A (en) * 1997-01-08 1999-06-22 W. L. Gore & Associates, Inc. VCSEL-based multi-wavelength transmitter and receiver modules for serial and parallel optical links
US6385723B1 (en) 1997-05-15 2002-05-07 Mondex International Limited Key transformation unit for an IC card
US6175924B1 (en) * 1997-06-20 2001-01-16 International Business Machines Corp. Method and apparatus for protecting application data in secure storage areas
JP2000172648A (ja) * 1998-12-10 2000-06-23 Nippon Telegr & Teleph Corp <Ntt> ディジタル情報保護装置及びディジタル情報保護方法並びにディジタル情報保護プログラムを記録した記憶媒体
US6272402B1 (en) * 1999-07-15 2001-08-07 Navistar International Transportation Corp. Remote interface modules with programmable functions
WO2001031437A1 (fr) * 1999-10-27 2001-05-03 Fujitsu Limited Procede de gestion de programmes pour ordinateur comportant un support d'enregistrement, ordinateur et support d'enregistrement
US6604038B1 (en) * 1999-11-09 2003-08-05 Power Talk, Inc. Apparatus, method, and computer program product for establishing a remote data link with a vehicle with minimal data transmission delay
JP4581200B2 (ja) * 2000-08-31 2010-11-17 ソニー株式会社 個人認証システム、個人認証方法、および情報処理装置、並びにプログラム提供媒体
US6470132B1 (en) * 2000-09-05 2002-10-22 Nokia Mobile Phones Ltd. Optical hinge apparatus
US6728603B2 (en) * 2001-02-08 2004-04-27 Electronic Data Systems Corporation System and method for managing wireless vehicular communications
WO2002084484A2 (en) * 2001-04-18 2002-10-24 Domosys Corporation Method of remotely upgrading firmware in field-deployed devices
US7269482B1 (en) * 2001-04-20 2007-09-11 Vetronix Corporation In-vehicle information system and software framework
US20020181055A1 (en) * 2001-04-20 2002-12-05 Grant Christiansen System and method for embedding control information within an optical wireless link
JP2002333989A (ja) * 2001-05-10 2002-11-22 Hitachi Ltd 車両への情報配信システム及びその方法
US7155321B2 (en) * 2001-08-06 2006-12-26 Idsc Holdings Llc System, method and computer program product for remote vehicle diagnostics, monitoring, configuring and reprogramming
JP2003101533A (ja) * 2001-09-25 2003-04-04 Toshiba Corp 機器認証管理システム及び機器認証管理方法
JP3863401B2 (ja) 2001-10-12 2006-12-27 株式会社東芝 ソフトウェア処理装置
JP3750587B2 (ja) * 2001-11-05 2006-03-01 日本電気株式会社 折り畳み式携帯電話機
DE10213165B3 (de) * 2002-03-23 2004-01-29 Daimlerchrysler Ag Verfahren und Vorrichtung zum Übernehmen von Daten
US7010289B2 (en) * 2002-05-24 2006-03-07 General Motors Corporation Method and system for vehicle data upload
US20040054444A1 (en) * 2002-09-16 2004-03-18 Abeska Edward J. Method of uploading data from a vehicle
DE10331874A1 (de) 2003-07-14 2005-03-03 Robert Bosch Gmbh Fernprogrammieren eines programmgesteuerten Geräts
US7366589B2 (en) * 2004-05-13 2008-04-29 General Motors Corporation Method and system for remote reflash

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10001130A1 (de) * 1999-01-15 2000-07-27 Cummins Engine Co Inc System und Verfahren zur Übertragung von Anwendungssoftware zu einem eingebauten Fahrzeugcomputer
EP1128265A1 (de) * 2000-02-22 2001-08-29 Peugeot Citroen Automobiles SA Fernwiederprogrammierungsverfahren von mindestens einem Rechner eines Informatiksystems an Bord eines Kraftwagens
US20020035429A1 (en) * 2000-08-02 2002-03-21 Banas Patrick A. Wireless reprogramming of vehicle electronic control units
US20020019877A1 (en) * 2000-08-04 2002-02-14 Juergen Wrede Method and system for transmitting data
DE10131395A1 (de) * 2001-06-28 2003-01-23 Daimler Chrysler Ag Verfahren zum Übertragen von Software- Modulen
EP1324197A1 (de) * 2001-12-31 2003-07-02 ROBERT BOSCH GmbH Verfahren und Installation zur Aktualisierung eines Programms eines in einem Kraftwagen eingebetteten Rechners

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8060873B2 (en) 2003-07-14 2011-11-15 Robert Bosch Gmbh Method and system for remote programming of a program-controlled device using a legitimization code
JP2007011734A (ja) * 2005-06-30 2007-01-18 Denso Corp 車載制御装置

Also Published As

Publication number Publication date
US8060873B2 (en) 2011-11-15
US20060220900A1 (en) 2006-10-05
CN1842765B (zh) 2011-06-15
EP1646992A2 (de) 2006-04-19
DE10331874A1 (de) 2005-03-03
JP2007524149A (ja) 2007-08-23
CN1842765A (zh) 2006-10-04
WO2005008612A3 (de) 2006-03-23

Similar Documents

Publication Publication Date Title
WO2005008612A2 (de) Fernprogrammieren eines programmgesteuerten geräts
DE102006011685B4 (de) Sicherheitssystem mit gegenseitiger Berechtigungsüberprüfung mit Wiederherstellung aus einer teilweisen Programmierung
DE10131395B4 (de) Verfahren zum Übertragen von Software- Modulen
DE102008056745A1 (de) Vorrichtung zum Steuern einer Fahrzeugfunktion und Verfahren zum Aktualisieren eines Steuergerätes
DE112007001608T5 (de) Kontrolle von Flottenfahrzeugen mit üblichen Transmittern
WO2006125404A1 (de) Verfahren zum einstellen eines elektrischen feldgerätes
WO2019081395A1 (de) Verfahren und vorrichtung zum aktualisieren von software eines kfz-steuergerätes
DE112004000132T5 (de) Antidiebstahlsystem
DE10322748B4 (de) Elektronische Steuereinrichtung
DE102007040038A1 (de) Anordnung und Verfahren zur Übertragung und Aktivierung einer Mehrzahl von Steuerdaten
WO2017178211A1 (de) Verfahren zum betreiben eines steuergeräts für ein fahrzeug, steuergerät, betriebssystem, kraftfahrzeug
DE102005009639A1 (de) Verfahren und Vorrichtung zum Sichern individueller Einstellungsdaten
EP0937845A1 (de) Freigabesystem für die Freigabe von Funktionen einer Einrichtung
EP2753042B1 (de) Authentifizierung von mindestens zwei über einen Datenbus gekoppelten, landwirtschaftlichen Geräten
WO2005016708A1 (de) Steuerungs- und regelungsgerät in einem kraftfahrzeug sowie verfahren zum betreiben desselben
EP0567858B1 (de) Verfahren zum Laden einer für den Betrieb einer programmgesteuerten elektrischen Einrichtung erforderlichen Betriebs-Steuerbefehlsfolge
EP3306856B1 (de) Verfahren zum bereitstellen einer gesicherten kommunikationsverbindung zwischen komponenten einer sicherheitskritischen funktionskette
DE102016209379A1 (de) Verfahren und System zur Autorisierung einer Bedienung eines Fahrzeugs
DE102009058754A1 (de) Verfahren zur Reprogrammierung eines oder mehrerer Steuergeräte eines Fahrzeugs und Steuergerät
DE102008011700A1 (de) Verfahren und Vorrichtung zum Anlernen eines Funkschlüssels an ein Zugangssteuergerät für ein Kraftfahrzeug
EP3306514B1 (de) Verfahren und vorrichtung zum zertifizieren einer sicherheitskritischen funktionskette
DE102008020560A1 (de) Verfahren zur Erweiterung von Software für ein Steuergerät eines Fahrzeugs und entsprechend ausgestaltete Datenlesevorrichtung sowie Schlüssel und Fahrzeug
EP3531276A1 (de) Kommunikationsmodul sowie verfahren zum einrichten eines solchen kommunikationsmoduls
DE10246060B4 (de) Vorrichtung zur sicheren Signalerzeugung
DE10334086B4 (de) Motorsteuer-Vorrichtung

Legal Events

Date Code Title Description
WWE Wipo information: entry into national phase

Ref document number: 200480020176.8

Country of ref document: CN

AK Designated states

Kind code of ref document: A2

Designated state(s): AE AG AL AM AT AU AZ BA BB BG BR BW BY BZ CA CH CN CO CR CU CZ DK DM DZ EC EE EG ES FI GB GD GE GH GM HR HU ID IL IN IS JP KE KG KP KR KZ LC LK LR LS LT LU LV MA MD MG MK MN MW MX MZ NA NI NO NZ OM PG PH PL PT RO RU SC SD SE SG SK SL SY TJ TM TN TR TT TZ UA UG US UZ VC VN YU ZA ZM ZW

AL Designated countries for regional patents

Kind code of ref document: A2

Designated state(s): BW GH GM KE LS MW MZ NA SD SL SZ TZ UG ZM ZW AM AZ BY KG KZ MD RU TJ TM AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IT LU MC NL PL PT RO SE SI SK TR BF BJ CF CG CI CM GA GN GQ GW ML MR NE SN TD TG

121 Ep: the epo has been informed by wipo that ep was designated in this application
WWE Wipo information: entry into national phase

Ref document number: 2004738890

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 2006519757

Country of ref document: JP

WWP Wipo information: published in national office

Ref document number: 2004738890

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 10564208

Country of ref document: US

Ref document number: 2006220900

Country of ref document: US

WWP Wipo information: published in national office

Ref document number: 10564208

Country of ref document: US