监控和修改机动车中的机动车功能的制作方法

本发明涉及一种用于监控和修改机动车中的机动车功能的方法、一种与此相关的装置和一种与此相关的机动车。

背景技术：

当前，如果发现控制设备中的错误功能，那么通过车间中的软件更新来消除所述错误，或者如果这是不可行的，那么通过更换车间中的控制设备来消除所述错误。然而，在这两种情况下，车辆都必须被带到车间中。

此外，当前仅能够通过在车间中进行的软件更新来将控制设备或车辆功能匹配于新的或者变化的条件。

近来也经常发生的是，车辆功能或车辆功能性与控制设备折损。当前也仅能够通过麻烦的在车间中的软件更新来消除所出现的这种安全漏洞。

因此期望提供一种快速地且在无需车间访问的情况下消除这种错误功能和故障或这种关键事件的可能方案。

技术实现要素：

本发明的目的是提出一种减少或至少减少现有技术中已知的缺点的至少一部分的可能方案。

所述目的根据本发明借助于根据独立权利要求所述的方法以及借助于根据一个并列权利要求所述的装置和根据另一并列权利要求所述的相应的机动车来实现。

在此，独立权利要求的主题是一种用于监控和修改机动车中的机动车功能的方法。在此，该方法包括：确定机动车的功能的异常行为。将机动车的功能的异常行为传输给后端。从后端接收指示。在此，所述指示表示要在机动车中采取的紧急措施，以便对功能的异常行为执行适当响应。基于所接收到的指示，确定引发机动车的功能的异常行为的机动车部件。作为适当响应，将机动车部件转入降级配置中。在此，与其之前的配置相比，所述降级配置具有受限的功能范围。并且如果机动车部件不能转入降级配置中，那么该方法还包括：作为适当响应，将机动车部件转入安全配置中。在此，在机动车部件中维持安全配置。

在此，所述方法步骤能够自动化地执行。

就本发明而言，异常行为是指机动车功能的在定义行为之外的行为。在此，异常行为能够是下述关键事件，所述关键事件在机动车的相应驾驶情况和/或车辆功能或控制设备方面是与安全和/或保障相关的。

就本发明而言，在此，功能是指由机动车部件执行且对机动车的行为产生影响的过程。对此的示例能够是辅助功能，如机动车的转向运动、远光辅助功能、间距保持等，然而也能够是舒适功能，例如导航、电气自动座椅调节等。

就本发明而言，在此，后端是指服务器或云端，在其上提供所确定的对于在机动车功能或机动车控制设备中的已知和未知问题的解决方案。这例如能够借助于相应的问题解决方案数据库来实现。

就本发明而言，在此，机动车部件是指既能够以硬件的方式构造也能够以软件的方式构造的装置，例如控制设备或控制装置、舒适功能装置和辅助系统。机动车部件的确定在此例如能够基于控制设备信息进行。所述控制设备信息是下述信息，借助所述信息能够推断出特定的控制设备，例如序列号、制造日期、固件号等或者还有这些信息的组合。

就本发明而言，在此，降级配置是指下述配置，所述配置借助于参数修改来限制相应的机动车部件的功能范围或功能。在此，参数修改尤其能够意味着机动车的控制设备或车辆功能的相应参数的值的变化。在此优选能够临时改写相应参数的默认值。亦即，默认值没有丢失，而是被中间存储，优选中间存储在控制设备本身中。然而，默认值也可以中间存储在机动车中的其它部位处，例如在中央默认值数据库内的中央控制器中。在此，经修改的参数例如能够在特定的时间限制之后再次重置，因此即重新用默认值改写。在此，经改写的值能够丢失。然而其也能够附加地继续维持存储。

就本发明而言，安全配置在此是指下述配置，所述配置存储在机动车部件中并且在有效的安全标准、例如ISO26262和基于此的标准方面被认为是功能安全的。

通过根据本发明的教导实现的优点是，在机动车或机动车零件发生功能故障的情况下，能够识别到所述行为并且能够在后端系统的辅助下寻找针对所发生的功能故障或与功能故障相关的车辆功能或控制设备的相应解决方案，并且随后能够提供针对所发生的功能故障的相应解决方案。

另一优点是，借此能够立即对所发生的功能故障做出适当响应，以便阻止功能故障并且使机动车能够继续安全运行，或者能够防止出现有问题的、即不安全的车辆运行。

并列权利要求的主题在此涉及一种用于监控和修改机动车中的机动车功能的装置。所述装置在此具有：用于确定机动车的功能的异常行为的功能监控装置。用于确定引发机动车的功能的异常行为的机动车部件的确定机构。用于将机动车部件转入降级配置中和/或安全配置中的修改机构。在此，降级配置比其之前的配置具有受限的功能范围。在此，在机动车部件中维持安全配置。在此，机动车部件的安全配置被保护以防对安全配置的操纵。并且在此，所述装置设立用于执行根据本发明的任何方法。

通过根据本发明的教导实现的优点是，在机动车或机动车零件发生功能故障的情况下，用于机动车的装置能够识别到所述行为并且能够在后端系统的辅助下自动地寻找针对所发生的功能故障或与功能故障相关的车辆功能或控制设备的相应解决方案，并且随后能够提供针对所发生的功能故障的相应解决方案。

另一优点是，借此能够立即对所发生的功能故障做出适当的响应，以便阻止功能故障并且使机动车能够继续安全运行，或者能够防止出现有问题的、即不安全的车辆运行。

另一并列权利要求的主题在此涉及一种机动车。在此，机动车具有：至少一个机动车部件；用于将机动车的功能的异常行为传输给后端和用于接收关于功能的异常行为的指示的移动无线通信装置；和根据本发明的用于监控和修改机动车中的机动车功能的装置。在此，机动车部件具有安全配置，所述安全配置优选被保护以防对安全配置的操纵。并且根据本发明的用于监控和修改机动车中的机动车功能的装置设立用于执行任何根据本发明的方法。

通过根据本发明的教导实现的优点是，在机动车或机动车零件发生功能故障的情况下，所述机动车能够识别到所述行为并且能够在后端系统的辅助下自动地寻找针对所发生的功能故障或与功能故障相关的车辆功能或控制设备的相应解决方案，并且随后能够提供针对所发生的功能故障的相应解决方案。

另一优点是，借此能够立即对所发生的功能故障做出适当响应，以便阻止功能故障并且使机动车能够继续安全运行，或者能够防止出现有问题的、即不安全的车辆运行。

另一并列权利要求的主题在此涉及用于根据本发明的装置和/或根据本发明的机动车的计算机程序产品，其中，所述装置可按照任何根据本发明的方法来运行。

通过根据本发明的教导实现的优点是，所述方法能够特别有效地自动化地执行。

另一并列权利要求的主题在此涉及一种数据载体，所述数据载体具有根据本发明的计算机程序产品。

通过根据本发明的教导实现的优点是，所述方法能够特别有效地分布或维持在执行所述方法的装置、系统和/或机动车上。

在更详细地描述本发明的下述设计方案之前，首先应注意，本发明不限于所描述的部件或所描述的方法步骤。此外，所使用的术语也不是限制性的，而是仅示例性地表征。只要在说明书和权利要求中使用单数，在此分别一同包括复数，除非这在上下文中被明确排除。如果在上下文中没有明确排除，那么能够自动化地执行可能的方法步骤。

下面将阐述根据本发明的方法的其它示例性设计方案。

根据第一示例性设计方案，对于机动车部件不能转入安全配置的情况而言，所述方法还包括：作为适当响应，关断机动车部件。

该设计方案具有下述优点：即使与功能故障相关的机动车部件不能转入安全配置中，也能够实现紧急运行，在所述紧急运行中机动车能够安全地运行。

根据另一示例性设计方案，对于机动车部件的关断不成功的情况而言，所述方法还包括：作为适当响应，将机动车转入安全状态中。在此，安全状态包括机动车在安全和/或保障相关性方面的安全运行。

就本发明而言，安全运行在此是指下述运行，所述运行在机动车的行驶运行和/或车辆运行的安全和/或保障性方面是功能安全的。

就本发明而言，安全相关性在此是指在有效的安全标准、例如ISO26262和基于此的标准方面是相关的。

反之，就本发明而言，保障相关性在此是指对于访问保护、防侵入保护、防数据失真和/或数据操纵、控制设备操纵等保护是相关的。

就本发明而言，关于关键事件的安全状态在此能够是指机动车的相应行驶状况和/或车辆功能或控制设备的下述状态，在所述状态中关于待控制的安全相关的功能/系统/模块进而可能与其关联的其它安全相关的功能/系统/模块，其不会对身体和生命产生不可接受的危险。

该设计方案具有下述优点：能够实现对机动车的安全和/或保障相关的关键功能故障做出响应并确保机动车功能安全地保持运行。

根据另一示例性设计方案，对于机动车不能转入安全状态的情况而言，所述方法还包括：作为适当响应，关断机动车的行驶运行。

该设计方案具有下述优点：能够防止其中存在不可消除的机动车部件功能故障的机动车不安全地运行。

根据另一示例性设计方案，所述方法还包括：机动车的行驶运行的关断在机动车的安全相关性方面安全地进行。

该设计方案具有下述优点：机动车的关断能够无事故地进行。

根据另一示例性设计方案，所述方法还包括：作为机动车中成功采取的紧急措施，将所执行的适当响应传输给后端。

该设计方案具有下述优点：可以保证传输给机动车的指示的质量。

另一优点是，能够在后端记录所执行的适当响应，以便能够基于此确定其它解决方案可能性，或者能够进一步开发所传输的指示，以便连续地改进所述指示。

根据另一示例性实施例，所述方法还包括：从后端接收补丁，作为异常纠正指示，所述异常纠正指示表示要在机动车中采取的持久措施，以便在将来排除和/或阻止功能的异常行为。

该设计方案具有下述优点：除了临时解决方案以外，对于功能故障或者对于相关功能的异常行为提供持久的修改，以便允许重新发生所述异常行为，或者以便在重新发生所述异常行为时允许功能安全地运行机动车的功能。

根据另一示例性设计方案，所述方法还包括：优选基于所接收到的指示来确定另外的机动车部件，所述另外的机动车部件同样与机动车的功能的异常行为相关。并且将另外的用于修改机动部件的方法步骤相应地应用于该另外的机动车部件。

就本发明而言，将另外的用于修改机动部件的方法步骤相应地应用于另外的机动车部件在此是指，将所描述的示例性设计方案的方法部分为了消除和/或纠正机动车部件的异常行为而也应用于另外的机动车部件上。

该设计方案具有下述优点：能够提供用于另外的相关功能的异常行为的解决方案。

根据另一示例性设计方案，所述方法还包括：作为指示，将所执行的适当响应传输给另外的机动车，用于要在另外的机动车中采取的当前和/或预防性的紧急措施。

该设计方案具有下述优点：另外的机动车能够对异常行为进行准备或预处理，即使该机动车在该时间点还没有发生异常行为。

根据另一示例性设计方案，所述方法还包括：将所执行的适当响应从该机动车传输给另外的机动车。

该设计方案具有下述优点：发生异常行为的机动车本身能够为另外的机动车相应地做准备。

根据另一示例性设计方案，所述方法还包括：将所执行的适当响应从后端传输给另外的机动车。

该设计方案具有下述优点：后端在其被发生异常行为的机动车通知之后能够以相应地做准备的方式指示另外的机动车。

根据另一示例性设计方案，所述方法还包括：能够由后端、机动车乘员和/或机动车自身的例程确定机动车的功能的异常行为。

该设计方案具有下述优点：能够由多个源确定发生异常行为。因此能够提高异常行为的发现速度。因此能够缩短从第一次出现异常直至发现异常的时间，由此能够增加机动车安全性或机动车可靠性。

根据另一示例性设计方案，所述方法还包括：后端具有经认证的机动车外部授权。

该设计方案具有下述优点：如果不能完全防止，则至少减少所提出的发明的误用的可能性，例如用于引入这样的异常行为的可能性。

根据另一示例性设计方案，所述方法还包括：指示具有下述指令，在何种标准下能够再次取消适当响应。

这样的标准能够是与时间结合的，然而也能够是特定的状态，例如功能状态或机动车状态，其在存在这样的标准时取消要进行的修改。

该设计方案具有下述优点：提出一种再次取消要进行的修改或将其撤消的可能性。这尤其在清楚异常行为仅是临时性质时能够如此。

根据另一示例性设计方案，所述方法还包括：机动车的功能的异常行为表示机动车或机动车部件遭遇黑客行为。

在此，黑客行为能够借助于数据操纵或者还有控制设备的操纵、例如借助于所谓的黑客攻击从机动车外部借助于无线解决方案进行。

该设计方案具有下述优点：能够尽可能快地抵消机动车的或机动车的机动车功能的折损，以便能够阻止折损。

根据另一示例性设计方案，所述方法还包括：功能的异常行为适于危害机动车的功能安全的运行。

该设计方案具有下述优点：对于车辆关键的功能，能够提供或执行相应的修改和干预可能性。

根据另一示例性设计方案，所述方法还包括：保护机动车部件的安全配置以防对安全配置的操纵。

该设计方案具有下述优点：能够为机动车功能提供特别防止黑客行为的回退选项。

因此本发明允许，能够消除机动车的异常行为并且能够提供和执行预防措施，以便能够捕捉这样的异常行为，以便使机动车在这样的情况下能够继续提供所述机动车的功能安全的运行。因此，能够实现在后端生成专门对车辆(即包括相应的安装零件、驾驶员和具体行驶情况)定制的功能参数化并将其加载到车辆中，这还能够考虑来自后端的附加知识。

对于所述功能，将默认参数化存储在车辆中，其可能仅能够实现受限的功能。在极端情况下，这能够表示禁用功能，直至相应的参数数据记录作为问题解决方案是可用的。

并且如果在相应的相关车辆特性中识别到能够被认为是异常行为的关键事件，那么搜寻和提供相应的参数数据记录，所述参数数据记录例如能够具有相应的功能参数化或功能限制或者不具有相应控制设备或相应功能的完整的功能激活释放作为参数信息。

因此，如果功能或控制设备的子范围、即细分具有异常行为，那么所述子范围能够经由后端禁用和/或修改。

尤其能够消除机动车的所发生的错误或错误功能。

在机动车发生黑客行为的情况下，能够特别有效地进行干预，以便能够有效地抵消黑客行为和黑客本身的影响。

因此，与在船舶制造中防止进水的差别化“舱壁系统”类似，在发生紧急的安全和保障相关的问题时在汽车中在合理车辆范围的动态隔离方面提出下述措施。

如果在后端或车辆中通过监控算法识别到安全或保障问题，那么这能够借助于车辆中的安全控制单元来实现，以协调地构成安全机制。

下面是这样的安全机制的几个示例：

A)将网关表格—借助于在哪个总线上或在哪个控制设备上的路由规则—适配于特定的或所有适用的消息、信号和诊断消息，例如阻止特定的消息类型或Ids、接收器、发射器、总线；

B)改变交换机和路由器配置，例如以太网/IP，例如不编译特定的消息类型；

C)调整每时间单位从一个总线到另一总线或者从一个也称为SG的控制设备到另一SG编译的消息的最大值，所谓的拒绝服务防御；

D)阻挡交换机或网关中的特定的发件者或收件者的消息；

E)借助于例如断电地切换、置入启动加载程序、阻挡全部发出的消息、禁用LIN总线、禁用LIN传感器/执行器，完全禁用特定的控制设备和/或传感器/执行器；

F)禁用特定的功能或持久降级；

G)物理禁用特定的总线连接。

上述机制能够在车辆的集中式或分散式网关中实现。

上述机制也能够单独地或者以预先定义的组合的方式受到保护，关于其有效性和必要时关于安全/保障进行认证。

此外，能够在车辆中提供特定组合的预先定义的存储。

对于在此提及的机制也能够在机动车中存储“最大安全性”配置，例如网关表格、通电等，其引起最大程度安全的车辆并且提供最小程度的攻击面/残留风险。此外，能够为子系统、例如控制设备或总线紧急形成免疫机制。

这样的配置的触发能够通过在此示例性地提及的触发机制进行。

如果激活，那么上述机制能够选择性地仅在特定的车辆或功能状态中是有效的，例如仅在行驶时、但是不在停止时有效；仅在互联网访问时、但是不在车辆的离线运行时有效等。

然后，根据特定的车辆或功能状态来选择上述机制组合。

之前提及的方法例如能够在中央交换机之间的中央网关中实现。

之前提及的机制或方法能够通过命令触发或者也通过来自后端、车辆中的或者由车辆使用者自身的配置规定、例如通过人机界面(也称为HMI)或者USB棒来实现。HMI输入能够要求相应长的进而安全的专门“密码”，所述密码由服务提供商、例如车辆制造商、例如亲自、通过信函、以电话的方式或者也通过USB下载告知给客户。

然而，如果不在一个时间区间内重复出现自由切换命令，那么上述机制也能够自动地触发，其中，所述自由切换命令防止通过安全控制单元自动触发。如果不能建立到后端的数据连接，那么自由切换命令在此能够经由后端或经由客户的智能手机/USB棒/车辆钥匙/QR码/条形码/号码输入/移动电话/SMS来进行。

示例：当车辆中的监控系统不分别在7天内从后端/智能电话/USB棒/车辆钥匙上的数据存储器/QR码/条形码(其例如可经由智能电话借助车辆联接或者经由车辆的相机读入)/移动电话/SMS/号码输入获得消息，使得所述系统能够无所顾虑地使用时，那么相应地触发上述机制，以便占据安全状态。在此，后端能够生成相应的自由切换代码，必要时车辆特定地根据配备、硬件-软件版本、当前国家、客户行为等生成。

此外，能够附加地提供下述机制，在该机制中，所述车辆提供车辆数据来确定车辆是否发生保障/安全问题，并且来确定自由切换密匙。如果不能建立在线连接，那么这也能够经由车辆使用者的智能电话、USB棒/车辆使用者的车辆钥匙/QR码/条形码/智能电话和/或汽车音响主机中的代码显示等来进行。所述代码然后必须从车辆外部的计算机输入在后端中。

上述机制必要时能够经由双因素认证来触发，例如，仅在经由两种独立的技术路径接收到触发或自由切换代码时才能够触发或禁用自动触发。

在此，能够将触发已经执行的反馈发送给车辆使用者。也能够通过车辆使用者进行确认。此外，当自由切换代码没有被更新时，也能够进行通知：即将进行自动触发。

另外，能够在车辆中设有检查单元，所述检查单元与“安全控制单元”无关地检查：通过安全控制单元进行的安全配置是否成功。

这例如能够通过在总线处进行监听来进行：功能/控制设备是否被禁用、发送测试消息等。

在此，检查单元能够尤其以安全的/经认证的/受保护的方式实现。

此外，检查单元能够向后端反馈：安全配置是否成功实现。

此外，能够例如借助于存活、行为检查、签名/CRC/指纹/证书来执行“安全控制单元”和“附加的检查单元”的相互检查。在此，如果相互检查失败，能够提供应急措施，例如通知后端、禁用或激活安全措施，例如执行最大程度的安全设定。

此外，能够通过附加的检查单元对控制设备和功能的签名和消息行为和报错消息执行循环检查。也在此，如果检查失败，那么能够采取应急措施。在此，能够在用于安全ISO26262或保障的认证的意义上提供合格的舱壁。

从各个功能的角度(例如车辆的远程软件更新功能、HAF功能、控制设备功能的错误识别)以及通过安全控制单元和附加的检查单元、还有由后端方，能够设有或提供用于设计和激活配置的变型方案。

附图说明

下面借助附图详细阐述本发明。在附图中：

图1示出根据本发明的一个示例性设计方案所提出的方法的示意图；

图2示出根据本发明的另一示例性设计方案所提出的方法的示意图；

图3示出根据本发明的另一示例性设计方案所提出的方法的示意图；

图4示出根据本发明的另一示例性设计方案所提出的方法的示意图；

图5示出根据本发明的另一示例性设计方案所提出的方法的示意图；

图6示出根据本发明的另一示例性设计方案所提出的方法的示意图；

图7示出根据本发明的另一示例性设计方案所提出的方法的示意图；

图8示出根据本发明的另一示例性设计方案所提出的方法的示意图；

图9示出根据本发明的另一示例性设计方案所提出的装置的示意图；

图10示出根据本发明的另一示例性设计方案所提出的机动车的示意图。

具体实施方式

图1示出根据本发明的一个示例性设计方案所提出的方法的示意图。

在此，图1示出用于监控和修改机动车100中的机动车功能的方法的示意图。在此，所述方法包括：确定10机动车100的功能110的异常行为112。将机动车100的功能110的异常行为112传输20给后端200。从后端200接收30指示230，其中，所述指示230表示要在机动车100中采取的紧急措施，以便对功能110的异常行为112执行适当响应。基于所接收到的指示230确定40引发机动车100的功能110的异常行为112的机动车部件140。作为适当响应，将机动车部件140转入50降级配置中。在此，与其之前的配置相比，所述降级配置具有受限的功能范围。并且如果机动车部件140不能转入50降级配置中，那么所述方法还包括：作为适当响应，将机动车部件140转入52安全配置中，其中，在机动车部件140中维持所述安全配置。

图2示出根据本发明的另一示例性设计方案所提出的方法的示意图。

在此，图2示出关于图1进一步研发的方法的示意图。之前对于图1所述的内容，因此也继续适用于图2。

图2示出图1中的方法，其中，对于机动车部件140不能转入52安全配置中的情况，所述方法还包括：作为适当响应，关断54机动车部件140。

图3示出根据本发明的另一示例性设计方案所提出的方法的示意图。

在此，图3示出关于图1和图2进一步研发的方法的示意图。之前对于图1和图2所述的内容，因此也继续适用于图3。

图3示出图2中的方法，其中，对于没有成功关断54机动车部件140的情况，所述方法还包括：作为适当响应，将机动车100转入56安全状态中，其中，安全状态包括机动车100关于安全和/或保障相关性的安全运行。

图4示出根据本发明的另一示例性设计方案所提出的方法的示意图。

在此，图4示出关于图1至图3进一步研发的方法的示意图。之前对于图1至图3所述的内容，因此也继续适用于图4。

图4示出图3中的方法，其中，对于机动车100不能转入56安全状态的情况，所述方法还包括：作为适当响应，关断58机动车的行驶运行。

图5示出根据本发明的另一示例性设计方案所提出的方法的示意图。

在此，图5示出关于图1至图4进一步研发的方法的示意图。之前对于图1至图4所述的内容，因此也继续适用于图5。

图5示出图4中的方法，其中，所述方法还包括：作为在机动车100中成功采取的紧急措施，将所执行的适当响应传输60给后端200。

图6示出根据本发明的另一示例性设计方案所提出的方法的示意图。

在此，图6示出关于图1进一步研发的方法的示意图。之前对于图1所述的内容，因此也继续适用于图6。

图6示出图1中的方法，其中，所述方法还包括：从后端200接收70补丁，作为异常纠正指示，所述异常纠正指示表示要在机动车100中采取的持久措施，以便在将来排除和/或阻止功能110的异常行为112。

图7示出根据本发明的另一示例性设计方案所提出的方法的示意图。

在此，图7示出关于图1进一步研发的方法的示意图。之前对于图1所述的内容，因此也继续适用于图7。

图7示出图1中的方法，其中，所述方法还包括：优选基于所接收到的指示230来确定42另一机动车部件142，该另一机动车部件同样与机动车100的功能110的异常行为112相关。并且将另外的用于修改机动车部件140的方法步骤50、52、54、56、58、60、70相应地应用于该另一机动车部件142。

图8示出根据本发明的另一示例性设计方案所提出的方法的示意图。

在此，图8示出关于图1进一步研发的方法的示意图。之前对于图1所述的内容，因此也继续适用于图8。

图8示出图1中的方法，其中，所述方法还包括：作为指示230，将所执行的适当响应传输80给另一机动车300，用于要在该另一机动车300中采取的当前和/或预防性的紧急措施。

图9示出根据本发明的另一示例性设计方案所提出的装置的示意图。

在此，图9示出所提出的用于监控和修改机动车100中的机动车功能的装置400的示意图。所述装置400在此具有：用于确定10机动车100的功能110的异常行为112的功能监控装置410。用于确定40引发机动车100的功能110的异常行为112的机动车部件140的确定机构440。用于将机动车部件140转入50、52降级配置中和/或安全配置中的修改机构450。在此，降级配置比在其之前的配置具有受限的功能范围。安全配置在机动车140中维持。并且在此，机动车部件140的安全配置被保护以防对安全配置的操纵。并且在此，所述装置400设立用于执行任何根据本发明的方法。

图10示出根据本发明的另一示例性设计方案所提出的机动车的示意图。

在此，图10示出机动车100的示意图，所述机动车具有：至少一个机动车部件140；用于将机动车100的功能110的异常行为112传输20给后端200和用于接收30关于功能110的异常行为112的指示230的移动无线通信装置120；和根据本发明的用于监控和修改机动车100中的机动车功能的装置400。并且在此，机动车部件140具有安全配置，所述安全配置优选被保护以防对安全配置的操纵。

在此，根据本发明的用于监控和修改机动车功能的装置400与移动无线通信装置120通信，以便能够执行对机动车100中的功能110的相应监控和在需要时执行机动车100中的相应修改。

本发明的构思能够如下概括。提供一种方法、一种与此相关的装置和一种机动车，由此能够实现：对于机动车中的特定的功能或控制设备，能够通过由车辆或关联的功能发起的对后端或服务器的查询来改变用于所述功能的参数组。尤其是，这也能够临时地发生。这在确定机动车的功能的异常行为时发生。

在车辆中，存储于其中的用于功能或控制设备的参数在此被视为是用于相应的功能或控制设备的所谓的参数组的默认值。能够借助本发明在需要情况下改变所述参数组，其方式为：从问题数据库中请求或传输相应的问题解决方案，所述问题数据库包括相应控制设备的相应参数的相应默认参数值。在此，必要时能够预先保证或认证关于关键事件、即异常行为的问题解决方案的相应的参数或参数组的有效性。

亦即，所述机动车或机动车的相应装置从其自身起建立到后端的在线连接，从后端得到在后端中确定的/计算出的最佳参数化作为参数信息并且用该最佳参数值来对默认值进行改写。在此，改写尤其能够临时地进行，使得默认值不会丢失。

在此，能够将标准作为框架条件添加到临时值中，使得在发生这样的标准时，不再用来自后端的临时值将功能这样参数化，而是重新用默认值将其参数化。

这样设计的功能或这样设计的控制设备(例如驾驶员辅助功能“自动远光灯”)因此将会在发生异常行为时触发相应的通知作为后端中的询问，并且返回用于相应功能的适当参数化。在此，这样的参数化在自动化远光灯的示例中能够是异常行为，其中，例如将“0”错误地转换为“1”，由此代替隐去、捕捉和纠正，有针对性地照亮迎面驶来的车辆。

附图标记列表：

10 确定机动车的功能的异常行为

20 将机动车的功能的异常行为传输给后端

30 从后端接收指示

40 确定机动车部件

50 将机动车部件转入降级配置中

52 将机动车部件转入安全配置中

54 关断机动车部件

56 将机动车转入安全状态中

58 关断机动车的行驶运行

60 将所执行的适当响应传输给后端

70 从后端接收补丁

80 将所执行的适当响应传输给另一机动车

100 机动车

110 机动车的功能

112 机动车的功能的异常行为

120 移动无线通信装置

140 机动车部件

142 另外的机动车部件

200 后端

230 指示

300 另外的机动车

400 装置

410 功能监控装置

440 确定机构

450 修改机构