 Darf ich vorstellen? Felix Domke mit dem Softwarebestimmten Emissionen. Und hier ist die deutsche Übersetzung des Talks. Wir sind Mr. Bronze und Pink Dispatcher. Wir hoffen, es gibt etwas Feedback am Schluss. Ja, vielen Dank, dass ihr gekommen seid. Hab einige interessante Talks schon gesehen. In den anderen Sälen sind auch interessante Sachen. Also vielen Dank, dass ihr hergekommen seid und mir zuzuhören über Softwarebestimmte Emissions Abgasen und Software Defined Emissions ist der Titel. Ich bin Felix Domke, ich mache auch noch nicht. Embedded Software Security, normalerweise nicht in Autos und auch normalerweise nicht Sachen, die etwas mit Verbrennungen haben. Ich bin da nur reingezogen worden in Autos Software als mein eigener Volkswagen angeblich ein Betrüger war und ich wollte wissen, was da eigentlich los war. Und ich habe letztes Jahr schon darüber gesprochen über die Software Details in dem Volkswagen Charan, aus dem von dem Betrügergerät in dem Charan. Da könnt ihr noch mal nachgucken. Dieses Jahr gucke ich hier auf den Prozess diese Autossoftware zu analysieren. Ich will gucken, ob dieser Prozess sich auf andere übertragen lässt. Und der erste Schritt, wenn man so ein Stück Software hat, das nicht das macht, was Leute denken, dass es tut, ist die Firmenware zu bekommen und ein Binary-Image der Firmenware zu bekommen. Und bei meinem Auto wusste ich, es war ein Bosch EDC17 und das war ein Bosch Computer, den viele VWs benutzen auf mein Auto und ich wusste überhaupt nichts über, wie man die Software daraus kriegt und so. Und ich habe Google gefragt, wie kriegt man die Software aus einem EC17? Google hatte ganz viele Antworten dafür und es waren Leute, die mir was verkaufen wollten. Chiptuner, die ihre eigenen Geräte gebaut haben, wo man den Computer einsteppseln kann und dann holte ich das Image daraus, um durch die Ausnutzung von eigenen Gefehlern. Aber ich wollte eigentlich nichts kaufen, man brauchte sehr viel Zeit und ich hatte viel Zeit und wollte das selbst machen. Und was auf diesen Webseiten steht, wenn man nichts kauft, da steht, wie man die anschließt. Und wo man 12V anschließt, wo man den CAN-Bus anschließt, das ist dieser serielle Kommunikationsbus, den man in dieser Kontrollcomputer benutzt, mit dem man mit dem Rest des Autos kommuniziert. Normalerweise ist das ganz einfach. Wenn man solche ECUs analysiert, dann reproduziert man es am besten auf seinem Schreibtisch und nicht in einem Auto. Um den Computer zu buden, brauchte man nur eher der 12V und ein Startpin für den 12V. Und dann budete das und auf meinem Schreibtisch ist alles ungefähr so aus. Und sobald wir dieses Setup haben, können wir den ECU den Kontrollcomputer buden und können Python benutzen, um damit zu kommunizieren. Das ist fantastisch. Das ist der CAN-Support in Linux. Das ist auch großartig. Wir können auch Micro-Python benutzen, wenn man ein kleineres Gerät hat, was zum Beispiel in einem Auto ist. Wir können mit der ECU reden. Wir sprechen in modernen Autos, hat man das Protokoll UDS. Ich habe das etwas vereinfacht, aber man kann die ECU fragen. Ich möchte den Speicher einer bestimmten Adresse lesen und du gibst ihm die Adresse und dann krieg man die wieder. Vielleicht kann ich so einfach die Software komplett auslesen. In meinem Fall hat das Device gesagt, der Sicherheitszugriff verweigert. Also musst du ein Security-Access-Command und das heißt Request-Seat. Und dann kriegt man eine 40-Spit-Zufallszahl zurück und dann muss man den Zufallszahlen-Seat finden und woher haben wir diese geheimen Funktionen? Wir können die Software selbst angucken in dem Kontrollcomputer oder wir können Reverse-Diagnose-Software benutzen, zum Beispiel die Volkswagen-Software, die sie in der Werkstätten benutzen für VW oder man kann es in seinen eigenen Tools machen, dass es vielleicht auch einfacher geht. Das ist das Problem. Für diese Bosch-ECU war die super geheimen Funktionen. Ich musste diese Zahl addieren und das heißt Pin-Code. Das ist nicht so supergeheim, aber sobald ich das wusste... Ja, danke. Also, ja, wenn du das mal machen kannst, schick mal das Ergebnis zurück und dann kann man das Lesekommando wieder senden, das Read-Commando und dann kriegt man die Daten und es ist großartig und wir können einfach zur Laufzeit den Speicher auslesen, während es auch läuft. Aber bei der Bosch-ECU war es so, dass man nur bestimmte Bereiche auslesen kann. Den meisten Speicher kann man auslesen und manche sind ausgeschlossen. Aber die meisten interessanten Stellen kann man lesen. Aber man kann den Code nicht lesen. Man kann nichts aus dem Flash-Speicher auslesen. Aber natürlich sind wir Herr K. Und wir finden schon einen Weg. Die CPU ist hier ein Infineon Tri-Core und in diesem Gerät war... diese... mit der ich mich beschäftigt habe, die TC-17X7 und der Chip ist so, da kann man immer in ein Bootloader-Mode gehen und kann man den Chip tellen und der Chip erzählt einfach, welche Mann mit 3 Volt vermindern muss und am Ende des Bootloader-Modes kann man Code laden, aber man kann den Flash-Speicher nicht lesen. Der Flash ist gelockt und ist nicht lesbar, bis man ein ganz bestimmtes Passwort hinschickt. Das war nicht so toll. Also habe ich geguckt, was ich noch machen konnte. Das Datenblatt ist sehr genau, wie beschreibt es genau, wie man diesen Chip behandeln muss. Und es gibt den Flash-Supply Pin. Der Flash ist in dem selben Paket, aber hat einen eigenen Versorgungspin und welche Parameter man nicht überschreiten darf, um das korrekte Funktionieren zu gewährleisten. Also ich will das gar nicht korrekt machen, sondern ich will den Flash-Inhalt haben. Also verletzten wir die Anforderungen und schauen wir mal, was außerhalb dieses Bereichs funktioniert. Bis unter einem bestimmten, unter einem Spannung 1,6 Volt funktioniert alles normal. Also das hilft nicht weiter. Aber unterhalb dieser Spannung hängt es einfach nur im Bootloader. Das hilft uns auch nicht. Und interessant ist am ganz spezifischen Spannungslevel und das ist etwas unwissenschaftlich, aber es ist wirklich nur die Spannung, die ich ausprobiert habe. Und üblicherweise bootet das Gerät und die Flasche ist geschützt und bei anderen Spannungen funktioniert es gar nicht und hängt. Aber manchmal passiert etwas ganz Spezielles. Die Weis hat geboten, der Flash-Speicher war nicht geschützt. Also konnte ich ja auch den Flash-Speicher auslesen. So, jetzt hatte ich das Image und ich kannte wirklich anfangen, das zu reverse-engineeren, das ist diese Betrugsgerät. Und das Gleiche wie im letzten Mal zum Teil, aber das will ich nicht alles wiederholen. Also habe ich Akustikfunktionen angeguckt und kontrolliert auch den Charge-of-Ausstoß. Und das ist der Testzyklus, der dieses Defeat-Devices aktiviert und bei dem Charan bin ich genau diesen Testzyklus fahren und die Daten vors holen. Und es ist tatsächlich genau das selbe Gerät wie in vielen anderen Volkswagen-Autos. Alle diese Volkswagen-Betrugsgeräte haben im Prinzip mehr oder weniger alle selbe Akustikfunktionen. Und zur Erinnerung vom letzten Mal, es gibt einige Kurven, die gespeichert sind, diese Funktion, die sehen so aus. Und das hier ist der NEDC Testzyklus, den man fahren muss und ist ganz genau definiert, wie schnell man fahren muss, für wie lange, wie viele Sekunden, welche Zeit und wenn man das als Strecke über Zeit ausdruckt, dann hat man dies. Die Strecke bewegt das Auto nicht wirklich, man macht es im Lab auf dem Rollenprüfstand, aber was das Auto denkt, wie weit es gefahren ist, für man diese Kurven da drüber legt, dann sieht man, dass es perfekt zusammenpasst und so funktioniert dieser Testzyklus. So wird er beschrieben für meinen Charan. Und jetzt habe ich geguckt, was sind die anderen Kurven? Was machen die in Nordamerika? Denn die haben nicht diesen NEDC und hier etwas Interessantes rausgefunden. Jemand hat ein interessantes Dokument geschickt. Es war ein Ausstoß, Service Action uns beschreibt, es war eine Rückrufaktion für einige Autos, die ein Software Update brauchen. Und das ist das Dokument, was die Werkstatt informiert, was sie tun muss. Es hat etwas ganz Interessantes drin, und das war Dezember 2014 und lange vor, bevor diese Gate publiziert wurde. Und wir haben schon von Volkswagen Erklärungen verlangt und die Untersuchung war schon im Gange. Und Volkswagen wusste schon, was los war, und wir wussten schon über das Betrugsgehalt. Und interessant war, dass die Engine Management Software wurde verbessert, dass der Ausstoß optimiert war, so dass es optimal lief. Und was genau wurde jetzt geändert in diesem Software Update? Und sie sagen es einem genau. Es ist die alte und die neu version. Und dann kann man gucken, man kann einen firmware, die firmware DVD runterladen von Volkswagen und die ECU Software so ähnlich wie die Bosch Software würde ich vorher gesprochen haben, da ist eine Akustikfunktion wieder und diese Kurven, die hier gespeichert sind, die passen genau zu den amerikanischen Testzükln. Und das ist einer von denen, es gibt noch mehr verschiedene Testzükln. Hier ist noch eine, die in anderen Tests matcht und das ist noch eine Kurve in der Software und das ist der Test, der dazu gehört. Und es gibt ganz viele davon. Ja. Aber ich habe etwas Interessantes festgestellt. Einige der Kurven fahren viel weiter auseinander als andere, dieser zum Beispiel. Das ist eine kleine Wahrscheinlichkeit, die nicht null ist. Auf der Fahrt zur Arbeit morgen könnte man aus Versehen genau diesen Zyklus treffen. Jedes Mal, wenn man morgens fährt und jedes Mal, wenn man fährt, würde das Auto denken, es ist im Testzyklus-Modus und würde mit der optimalen Ausstoßkontrolle arbeiten und anscheinend für dieses zu problemen. Und was ich gesehen habe, was Volkswagen hinzugefügt dazu dieser Software, in diesem Rückruf ist diese Funktion. Also es ist aus einer Disassentierung und in Zollekorpsestis hier und sie haben tatsächlich den Lenkrad-Ausschlag angeguckt und wenn man das Lenkrad bewegt hat, dann haben sie einfach die Kurven völlig ignoriert, diese offeren Kurven ignoriert. Wenn man das Lenkrad bewegt, dann ist man nicht in einem Testzyklus und deswegen versuchen wir nicht in diesem optimalen Modus, in diesem ausstoßoptimierten Modus zu arbeiten. Es ist Spekulation, aber das passt zu allem, was ich gelesen habe. Und wenn das Auto in diesem Testzyklus zu oft im Testzyklus arbeitet, dann wird der Partikelfilter verstopft. Und die Lösung von Volkswagen ist, und das werden sie schon untersucht wurden von der Umweltagentur, haben sie schon gemacht. Und ich habe mit der... Ich habe einen NDA beschrieben für mehr Details, aber kann ich darüber sprechen, aber es gibt noch mehr Autos. Und das ist eine Metastudie von einem Transportministerium und haben viele Dieselautos getestet. Und was sie herausgefunden war, das ist von der SCCT, die orange Linie ist das Limit für den Ausstoß. Und die Balken haben ein oberes und uneres Ende. Und das untere Ende ist, wie viel die Autos, das ist nur für Stickoxide. Das ist, wenn die im Testzyklus im Labor haben. Und alle diese Autos sind unter diesen Autos schon Linie geblieben und wurden zertifiziert. Aber wenn man wirklich auf der Straße fährt, dann produzieren sie den Ausstoß am oberen Ende von diesem Balken. Und das ist für viele Autos viel höher, zum Teil ein Faktor von 10 und mehr, wenn man das Auto normal auf der Straße fährt. Und das ist interessant, denn die Autos können die Ausstoßstandards einhalten. Aber warum machen die das nicht immer? Warum verhalten die sich so verschieden im Testzyklus und auf der Straße? Und ich versuche mal eine, versuche einen Teil einer Antwort zu geben, wie ein Auto den Ausstoß optimiert. Okay, das ist ein Modell eines Dieselmotors. Frische Luft geht rein und Ventilien und der Abschluss geht raus. Und viele Stickoxide gehen auch raus. Aber das wollen wir nicht. Deshalb fügen wir ein EGR Ventil dazu, dass im Prinzip der Versorgung, dass ein Teil der Luft zurückgeführt wird und nochmal durch den Dieselmotor geht und nochmal verbrannt wird. Das bedeutet, dass die Temperatur der Flamme sinkt. Das heißt, man verbessert den Ausstoß durch die Temperatur. Aber man vergrößert den Scoot-Level. Es gibt also diesen Trade-off, ob man zu viel Sud bekommt oder zu viele Stickoxide. Also kann man sagen, die grüne Gegend ist nicht besonders gut, weil beide Seiten sind irgendwie schlecht. Und hier sieht man das Ergebnis eines verstopften EGR Ventils. EGR, als Lösung kostet am wenigsten, es funktioniert bei geringen Belastungen. Aber besonders viele Benutzungen verstopft dann die Filter und das Fahrvermögen geht runter. Es ist nicht geeignet für große Motoren oder wenn man ganz schnell fährt oder schnell beschleunigen will. Eine andere Methode aufbauen darauf ist die selektive Katalyse-Reduktion. Die kurbe Idee ist, man pockt ein Katalysator, ein SCR-Katalysator in die Kette und da drin passiert diese Reaktion. Man kann es vereinfachen und sagen, wenn man am Ammonium als Katalysator mit benutzt, dann werden die Stickoxide zu einem Liter gehen und Wasser verbrannt. Und das ist okay. Das Problem ist, Ammonium ist das. Das will man nicht den Fahrer nachfüllen lassen. Also ist die Lösung, lasst uns doch Ammonium im Auto selber herstellen von etwas, was weniger gefährlich ist. Und wir nehmen dann Harnstoff und Hitze und erzeugen Ammonium. Und die Lösung ist AdBlue oder Diesel und Abgasflüssigkeit. Es ist nicht gefährlich, man kann es kaufen und es ist relativ billig. Also wenn man das zu dem Katalysator dazu packt, wenn man dann also dieses AdBlue benutzt, dann können wir die überflüssige Hitze noch dazu benutzen und den Stickoxid reduzieren und haben Nitrogen und Wasser. Da ist eine große Wahrscheinlichkeit, dass ein Teil des Ammoniums, was dort benötigt wird, dort bleibt. Bis es fertig aufgebracht ist und deswegen wird es dort einen kleinen Speicher geben. Wenn dann beim Start des neuen Motors kein kaltem Motor, dann noch Ammonium kann das benutzt werden und wenn der Motor dann wieder warm wird, dann kann er neues produziert werden. Die Nachteil dabei ist, man braucht eine Pumpe und viel Software um diesen Prozess zu kontrollieren. Und außerdem braucht man eine Heizung des AdBlue irgendwie vor einfrieren Schiffs. Also das Auto wird ungefähr 500 Dollar teurer, das ist für ein kleiner Auto schon ein großer Unterschied. Und man braucht große AdBlue-Tanks, damit man ein paar Tausend Kilometer kommt. Es ist aber effizient bei großer Belastung. Die dritte Methode ist LNT, die ist billiger als SCR für kleine Motoren. Man braucht nichts Zusätzliches einkaufen und es ist aber nicht effektiv für Hochgeschwindigkeitsfahrten auf Autobahnen. Um normal auf den Talk zusammenzufassen, EGR reduziert sozusagen Abgas und funktioniert in der Engine. Die andere Technologie funktioniert nach dem Motor. Aber all diese Technologien führen wieder Abwägungen. Und wenn man normal fährt, hat man eigentlich keine Nachteile, weil niemand den Ausstoß testen kann. Aber wenn man unter dem Test-Cycle fährt, dann hat man natürlich perfekte Abfahrt, dann hat man natürlich perfekte Abgas-Werte. Okay, noch mal einen Blick auf das größere Bild. Was eigentlich auch andere Autos machen. Das ist zum Beispiel ein Opel-Safira-Auto. Ein ziemlich modernes Auto. Ein EU6-Auto. Und es sollte eigentlich wirklich geringen Ausstoß, insbesondere bei hohen Geschwindigkeiten haben. Aber es hat überraschenderweise keinen guten Ausstoß. Man sieht, dass ein Safira die Grenzen des EU6 bis zu zwölfmal überschreitet. Und das ist besonders wichtig, weil es gibt diese Opel-Werbung, die Diesel-Technologie, die hier benutzt wird. Man hat ganz viel Spaß mit Diesel, ohne Reue. Und man hat super Ausstellung. Und jetzt haben Sie die Erwerbung leicht geändert und haben diesen Teil eingefügt. Okay, während der Test hatten Sie zwölf X-Emissions-Limitierung Grenzen. Aber bei derselben Zeit haben Sie eine andere Temperatur benutzt. Und das hatte die Tests in der Hand. Und das hat die Performance-Autos deutlich verbessert. Und die Ausende Produr war 10 Grad statt 24. Und Sie haben Opel gefragt, warum das der Fall war, in der Untersuchung Opel hat geantwortet, dass die GGR und SCR funktionieren am besten zwischen 20 und 30 Grad. So, das ist der normale Bereich. Ja, okay. Und ist das wirklich nur dieses Temperaturfenster? Also haben wir uns ein Auto besorgt und das untersucht. Und die ECU in diesem Auto ist eine Opel-Eigende von GM entwickelt. Meine Opel ist eine GM-Tochter von General Motors. Sie benutzt seinen PowerPC. Und benutzt einige Variable-Length-Instructions-Institutionen mit unterschiedlicher Länge, ganz seltsam im PowerPC. Und wie fangen wir das jetzt an, das Firma Image zu bekommen? Also habe ich das Internet gefragt, wie man das auslesen kann. Und einige Chip-Tuner haben schon die Standard-ECU hochgeladen. Und mit ihrem Chip-Tuning-Tool haben wir einen ähnlichen Code. Und vielleicht finde ich raus, wie das bei dieser geht, indem ich das angucke. Wir haben den Dump gemacht, das Auslesen mit diesem Hackertool. Aber damit konnte ich nicht das Binary exportieren. Das Tool ist frei, aber einige der speziellen Features zu benutzen, muss man teure Hardware kaufen, die sich mit dem Auto verbindet. Und so sieht die Software aus. Ich konnte nicht speichern ohne das Zusatzgerät. Aber ich kann einfach einen Debugger im Speicher benutzen und einfach das Dampen aus dem Adressraum. Und das war das erste Firma Image, was ich hatte. Und ich habe es in einen Disassembler geworfen und habe die Ideas Function gefunden. Und das meiste von dem Speicher war ohne Security-Challenge lesbar. Also braucht ich diese besondere Challenge nicht, um den Speicher auszulesen. Das war lesbar, aber nur mit dieser Security-Challenge. Also was ist die Security-Challenge? Vielleicht ist das so einfach wie bei Bosch. Und wie GM das macht, ist die Speichern ein 16-Bit Ein- und Ausgabe-Werte in der Firmware. Und es ist für jedes Gerät anders. Und die Speichern nicht den Algorithmus, sondern sie speichern einfach nur das Paar und kein Algorithmus. Und jetzt kann man nur alle 15 Sekunden das ausprobieren. Also das ist schon ein bisschen sehr lahm. Aber wie funktionieren die GM-Tools? Das ist die original Firmen-Tools. Chiptioner haben das reverse-engineered und das in die reigenden Tools eingebaut. Aber das kann man natürlich hier die Abfußke hiten. Und es ist etwas bit-shifting. Also das war eigentlich ganz einfach zu beheben. Und die GM-Mechaniker sagen dir, wie man das anschließt. Wo den Erde für den Canvas und was das bedeutet. Ich kann diese Security-Challenge jetzt überwinden und kann den Flash-Speicher auslesen. Ich habe diese 4-Megabyte PowerPC-Code lesen können und das sind überwiegend automatische Funktionen. Es sind keine Strings. Es ist wirklich schwer rauszuwinden, was diese Funktion genau macht. Es gibt tausende von Variablen. Es ist wirklich schwierig rauszufinden, was die bedeuten. Also auch irgendwie anfangswerte Startpunkte, bekannte Werte, die ich finden konnte. Was ich zum Beispiel finden konnte, waren die Dichte von Dieseltreibstoff, die gespeichert ist. Da habe ich zum Beispiel herausgefunden, dass das eher irgendwas mit der Treibstoffmenge zu tun hat. Oder nützlicher waren noch OBT-2-Aufrufe. Es gibt einige standardisierte Sachen, die die ECU fragen kann, z.B. Geschwindigkeit, Drehzahl. Und ich habe diese Tabelle in der Firma gefunden und dann hatte ich schon mal einen Startpunkt für Drehzahl und Geschwindigkeit und so. Das war schon ein guter Anfang. Es war nie gar nicht viel mehr, als man hier wirklich sehen kann. Also es war gar nicht so viel. Was ich dann dann nächst gemacht habe, ich bin eine Woche an das Auto gefahren und hatte ein Gerät dran, das ständig den gesamten Speicher gelesen hat und mit einfach alle paar Minuten habe ich einen Memory-Dump gekriegt, also ein paar hundert Kilobyte jedes Mal. Ich habe das in meinem Disassembler getan und damit konnte ich dann verstehen, was die einzelnen Variablen tun. Und ich habe einige interessante Sachen herausgefunden. Das erste war, eine der ersten Sachen war z.B. etwas so ausser wie dies hier. Das ist die Außentemperatur und dieses überprüft einen Bereich und es war, um das SCA-System zu kontrollieren. Und das Interessante ist, dass dieses verlangt, dass die Temperatur zwischen 20 und 30 Grad ist und es geht so ungefähr darum, bis hier zwischen 17,5 bis 32 Grad. Und das war ja nichts Neues, aber ich habe etwas Ähnliches gefunden. Aber eine andere Temperatur-Checks und man kann sehen, dass es hier anders geschrieben ist und es macht etwas Ähnliches, aber es ist ein getrenntes Kunststück. Und das war hier für die Abgriffsrückführung und wir haben hier eine Optimierung für SCA und EGR und die haben keinen gemeinsamen Code, die haben auch verschiedene Temperaturfenster. Also wir haben dieses Temperaturfenster gefunden, aber gibt es noch mehr. Was wir noch gefunden haben ist dieses und im Wesentlichen ist, dass die Geschwindigkeit auslesen und mit einem Konstanten vergleichen. Und das sieht ungefähr so aus. Es überprüft die Geschwindigkeitsfahrzeuge und wenn das mehr als 145 ist, dann wird ein Fleck gesetzt und unter 140 wird das Fleck wieder gelöscht und die höchste Geschwindigkeit ist in den Testzyklen 120, also würde das die passieren. Also was, gucken wir mal, was wir hier gefunden haben, ob das wirklich etwas ist, was ein Auto in der echten Welt macht. Also es wird jetzt ein bisschen technisch, ich bitte um Entschuldigung dafür, aber wir müssen einige Variablen angucken und nützliche Werte sind hier, wie viel Stickoxide sind hier dann noch nach dem Motor und nach dem Katalysator. Und wir haben Sensoren einvor und nach dem Katalysator und es gibt die Stickoxid Konzentration und das haben wir gelockt und dann auch noch wie viel Alplu eingespritz wird und die Temperatur des Katalysators und was wir noch uns merken müssen, ist, dass es auch noch Ammonia gibt dabei und sollte man im Kopf behalten. Hier ist, wie wir mit dem Auto gefahren sind, die blaue Linie ist die Geschwindigkeit des Fahrzeugs und das geht von 0 auf 50 und der kritische Punkt ist hier 145 Kilometer pro Stunde, den wir in der Firma gefunden haben. Die grüne Linie ist die Temperatur, die zwischen Umgebungstemperatur und bis 280 Grad und kritisch ist 300 Grad. Da wird aus dem Mahanstoff dann Ammonia und wir haben hier etwas gefunden, das ist die SCR-Strategie und es gibt hier verschiedene Möglichkeiten, wie der Computer berechnet, wie viel Alplu zu dosieren und in 0 bedeutet gar nichts, 1 bedeutet normale Menge und 2 ist eine spezielle reduzierte Menge und wir haben die tatsächlichen Dosierungswerte noch gefunden hier und wir haben die Sensordaten von dem Motor und dem Katalysator und zwischen dem Katalysator und dem Auspuff und das Erste, was passiert, ist, also erst mal passiert noch gar nichts, bis zu dem Punkt, wo wir 200 Grad Celsius erreichen am Katalysator und bis zu diesem Punkt habe ich gesagt, die Temperatur erlaubt keinen AdBlue sonst, aber dann kommt ziemlich viel AdBlue und wenn wir dann über 145 Kilometer pro Stunde gehen, dann ändert sich die SCR-Strategie und es gibt kein weiteres AdBlue bis zu diesem Punkt und dieser Punkt ist genau 120 Sekunden, nachdem wir 140 Kilometer unterschritten haben und das ist genau das, was wir in der Software gefunden haben. Also, können wir sehen, das ist richtig, das ist tatsächlich das Fahrzeugverhalten. Um den Effekt anzugucken, den es hat, müssen wir im Wesentlichen den Unterschied angucken zwischen der blauen und der grünen Linie in den unteren Diagramm. Also die Menge Stickoxyde, die entfernt werden von dem Katalysator und man kann in normalem Betrieb sehen, dass ziemlich viele Stickoxyde entfernt werden. Die blaue Linie geht hoch, weil wir schneller fahren und die grüne geht fast auf null und das funktioniert eine ganze Weile und es funktioniert auch noch weiter während, obwohl der Katalysator schon kein Ammonium hat und dann braucht es mehr AdBlue, aber wir haben so geringe Dosierung, also kommt kein neues AdBlue rein und der Katalysator funktioniert eigentlich nicht mehr und die Emissionswerte entsprechen den des Motorausstoßes. Also funktioniert die Reduktion hier nicht an dieser Stelle und hier sehen wir die Dosierung und hier sehen wir, wo die Katalysator-Temperatur zu niedrig ist für die Dosierung. Hier sehen wir den normalen Betrieb und dann sehen wir, wo es immer noch funktioniert, weil immer noch Ammonia da ist, gespeichert ist, bis es alle ist und dann 120 Sekunden nach, nachdem wir unterhalb von 140 Kilometer pro Stunde sind, funktioniert das wieder normal. Also meine Schlussfolge ist, dass der Katalysator auf Höhe zu funktionieren bei 145 Kilometer pro Stunde und die Effizienz sinkt auf null und ja, eine der Presseerklärung, warum das nötig ist, irgendwelche komischen physikalischen Details und wir haben das Experten gezeigt und die mit Verbannungsmotoren schon lange gearbeitet haben und die meisten davon stimmen dem nicht zu und waren anderer Meinung, aber viel wichtiger ist, dass andere Autos einschließlich meinem Charan und das ist ein Euro5-Auto, also eine Generation älter und von dem weiß man, dass es dieses Schummel gerät hat und funktioniert immer noch deutlich besser als dieses Auto. Okay, wir haben weitergesucht und haben etwas gefunden hier, das sieht so aus. Es gibt ein Sensor, der den Druck misst und wenn wir gucken, wie wir Druck und Wärme zusammen in Beziehung bringen, dann checken die 91,5 Kilo Pascal und das größte Testzentrum in Europa ist 800 Meter. Okay, das Interessante daran ist, Druck ist etwas Wichtiges zu wissen für die ECU. Man muss wissen, wie viel Luft da ist, deswegen macht es viel Sinn, diesen Sensor zu haben für EGR. Aber für SCR, also nach dem Motor, sind wir und wissen wir keinen Effekt, was die äußere Luftdruck für einen Effekt haben soll. Und andere SCR Autos haben auch diesen Mechanismus nicht, weil es so scheint, als ob es physikalisch nicht nötig wäre. Okay, lass uns einen Blick auf EGR werfen, was wir gesehen haben, als wir das Auto gefahren sind während dem Test, also im Lab-Test-Cycle gefahren sind. Da haben wir die ganze Zeit konstant viel höhere EGR-Werte, als wir uns in einer echten Fahrwelt vorfinden würden. Höhere EGR-Werte bedeutet, dass es geringere Stickoxide gibt vor dem Katalysator und wir waren neugierig, warum das Auto sich so viel anders verhält, wenn es auf der Straße fährt, statt auf einem Testzyklus. Und offensichtlich dickens hier nicht mehr um die Temperatur, netterweise speichert das Auto den Grund in ein paar Variablen, die wir locken können. Das sieht so aus, es gibt eine Menge von Dingen, die passieren können, dass die ECU einfach an Modus umschaltet. Manche davon machen Sinn, zum Beispiel, wenn die Kühltemperatur nicht mehr im Rahmen ist oder so, dann will man versuchen, es trotzdem um jedenfalls laufen zu lassen, aber es gibt auch Situationen, wo keiner dieser Situation angemessen scheint. Und dann gibt es ein Stickoxid-optimierten Modus mit dem Wett 2. Wir haben dann ein paar Werte angeguckt von unseren Testfahrten und wir haben gesehen, der rote Graf zeigt uns den Grund zu den begrenzten EGR-Modus zu gehen. Meistens in den meisten Fällen war der Grund 13 und manchmal nur zwei, also nicht limitiert. Manchmal gibt es auch einen kleinen Schwung nach unten, dass es noch auf zwei drückt, aber eigentlich jede Beschleunigung bringt es sofort wieder auf den Fiedermicode 13 und dann bleibt es dort für längere Zeit. Und 13 ist, wenn man nachschaut, das Load Limit. Und interessanterweise, wenn man das dann über das NEDC laufen lässt, dann sieht man niemals die 13. 16 bedeutet einfach, der Motor ist aus. Das scheint also zu erklären, warum die Werte so unterschiedlich waren im Test. Lass uns die Load Limit Funktion ein bisschen angucken. Sie ist im Wesentlichen durch fünf Kurven definiert. Jeder Gang hat eine Kurve und die schauen die RPM-Kurven an und wenn man bestimmte Werte überschreitet, dann schalten sie zu der reduzierten Ingrid. Im reduzierten Modus, den Schwellwert, vergleichen sie mit Verbrauch von Diesel pro Zylinder. Und wenn man außerhalb dieser Kurven kommt, dann schaltet es auf die nicht optimierte Modus mit viel mehr Abgas und dann muss man in die grüne Gegend zurückkommen, um den optimierten Modus wieder anzuschalten. Wir können das hier mal sehen. Also hier ein Auto an einer roten Ampel, das bleibt stehen. Jetzt wird die Ampel grün und das Auto beschleunigt und beschleunigt und wird immer schneller. Und wird schneller, genau. Und der höchste Geschwindigkeit fährt das Auto für eine Weile. Ein typischer Zyklus, wenn ein Auto durch den Stadt fährt. Und die nächste Ampel wird gelb, das Auto bremst langsam und hält vor der Ampel an. Und wenn wir das uns nochmal anschauen mit einer weiteren Variable, mit dem RPM, dann können wir sehen, dass wenn das Auto anfängt, sich zu bewegen, die RPM ansteigt. Und dann plötzlich ganz schnell absennt, weil es eine manuelle Schaltung ist und der Fahrer hat den nächsten Gang geschaltet. Hier sieht man das nochmal. Und wenn man den Gang wechselt, dann fällt das RPM. Bei konstanter Geschwindigkeit natürlich nicht, weil man konstanten Gang fährt. Jetzt drückt der Fahrer die Kupplung und der Motor den Lerlauf und das Auto wird langsamer. Eine weitere Variable, die letzte. Ich verspreche es euch. Das Drehmoment, also die Leistung des Motors in Kilowatt, ist eine Funktion, die sich gut RPM und Drehmoment zusammen können, Motor sich gut beschreiben. Wir zeichnen die einfach mal aufeinander in einem Graf ab mit dem RPM auf einer Achse und dem Drehmoment auf der anderen. Und dann sehen wir diese Kurve, die Punkte, die wir bekommen, wenn wir den Zyklus abfahren, den wir gerade gesehen haben. Der grüne Punkt zeigt, wo wir sind und wir starten das Auto. Es ist eine Weile in der Stand und der grüne Punkt bleibt da, bei ungefähr 18 Min. Und dann beschleunigt der Fahrer und der Drehmoment geht hoch, die Umdrehungen gehen hoch und an einem Punkt drückt der Fahrer die Kupplung und der Motor wird entkoppelt, das Drehmoment geht runter, es wird in neuen Gang geschalten, die Kupplung wird losgelassen und der Motor bekommt wieder Drehmoment, der größten Umdrehungsmoment kommt und der Fahrer wieder den nächsten Gang einschaltet und der Zyklus kreist auf sich wiederholt. Was wir zeigen wollen, es gibt dann diesen Moment, bei 1800 Umdrehungen pro Minute, ungefähr, bei der höchsten Geschwindigkeit, aber dann drückt der Fahrer wieder die Kupplung und dann geht der Motor wieder in Leer auf und bleibt ungefähr dort stehen. Also so liest man dieses Diakom in der Firma haben wir gefunden, dass es gibt diese Maske in einem Limit, wenn wir über den selben Kurven, die ich euch vorhin schon gezeigt habe, darüber gemalt, wenn wir über diese Kurve hinauskommen, dann schalten wir auf den schlechten Ausstoßmodus, wo der Ausstoßwert limitiert ist. Wir können bei unserem Fahrer sehen, dass das an diesem Punkt passiert, wenn der Fahrer ein bisschen beschleunigt über den üblichen Punkt, über die Belastungskränze, wenn es EGR besonders... reduziert, aber das ist okay, weil man dafür nicht besonders viel Motorleistung braucht. Es gibt irgendwie Sinn, es schaltet aber zurück, wenn wir wieder im Limit sind, dann würden wir erwarten, dass er EGR-Operation wieder angeschaltet. Aber was wir stattdessen sehen, ist, dass das nicht passiert. Und der Grund dafür ist, du musst nicht unter das Maximum geben, sondern du musst in diese grüne Gegend gehen. Man muss also bei einem ganz kleinen Drehmoment und ganz wenig um 3 Minuten sein, damit es wieder umschaltet. Aber das passiert quasi erst am Ende, wenn der Motor länger im Leerlauf kommt und die Zeit, wo das Auto, lange Zeit, eine konstante Geschwindigkeit fährt, waren wir zwar innerhalb der Belastungskränzen, aber wir haben sie zwar kurzzeitig überschritten, aber es ist nicht wichtig, wie lange man sie überschritten hat. Solange man nicht wieder zurück in den grünen Gegend war, ist man immer noch in Ausstoßmodus mit viel Ausstoß, obwohl wir innerhalb der Grenzen waren. Lass uns einen Blick darauf werfen, wie oft das wirklich passiert bei echten Fahrdaten. Also hier haben wir Daten, wo wir durch die Städte gefahren sind, und wir sehen, dass wir immer mal wieder die Limits bestreiten. Okay, hier sehen wir Autobahn-Krafen, Fahrten auf Autobahn, aber die sehen sehr interessant aus. Sie sehen so aus, als ob sie irgendwie desigiert wurden für eine bestimmte Sache. Also sie haben irgendwie spezielle Formen und es scheint etwas verrückt, das zu sein. Es tritt heraus, wenn man wirklich etwas Seltsames tut, dann kann man in diesen Limits bleiben und uns gelungen, Dinge zu machen, dass wir in der Grenzen bleiben. Und die Antwort ist, wenn man den Test-Zegel fährt, dann halbt man in diesen Limits. Also diese Kurven definieren oder passen ganz genau zu den Grenzwerten, um den NVC-Test zu bestehen. Um das noch mal klar zu machen, es ist völlig in Ordnung, dass die Abgasrückführung reduziert wird für hohe Leistungen. Das ist normal und es muss man machen. Wenn man beschleunigt, dann wird die Rückführung immer geringer werden, wahrscheinlich auf Null. Und wenn man schnell fährt, dann ist das auch normal. Deswegen hat man diese Leistungsgrenze. Und wenn man diese Leistungsgrenze genau da hat, wo sie sein muss, dann ist das in Ordnung. Aber was wir denken, dass das nicht in Ordnung ist, wenn man die Grenze nur einmal überschreitet, dann bleibt man in diesem Modus mit hohem Ausstoß für eine ganz lange Zeit besser, denn man kommt zu Leerlaufdrehzahl zurück. Und das ist das Problem. Also dies war nur, was wir in der Software gesehen haben. Und jetzt gucken wir mal, ob das mit der Realität übereinstimmt. Und wir haben, um das zu produzieren, sind wir konstant langsam gefahren. Leerlauf, dann sind wir ein bisschen gefahren mit etwas höherer Drehzahl und dann sind wir kurz über das Limit gegangen und dann wieder zurück. Und nachdem wir das gemacht haben, sind wir wieder bei 2000 Umdrehungen geblieben. Und natürlich würden wir erwarten, dass der Motor links und rechts davon gleich funktioniert, denn der Motor macht genau das gleiche. Das ist der Bedrehzahl. Alles ist genau gleich. Und natürlich würden wir die gleichen Emissionen erwarten. Und das ist aber nicht der Fall. Und das ist das Diagramm dazu. Wir gucken uns grün und trotend Balken an und man sieht hier, was vorher passiert. Und danach, dem das Limit überschritten wurde und in der Mitte kann man die Rückführungsventilposition sehen. Man sieht, dass man ziemlich hohe Werte kriegt zwischen 65 Prozent oder so etwas, bevor wir das Limit überschritten haben. Und nachdem wir es überschritten haben, selbst, obwohl der Motor ganz genauso arbeitete, sehen wir viel niedrigere Positionen von dem Rückführungsventil, vielleicht 50 Prozent. Und wenn wir ganz unten gucken, dann sehen wir, was die Stickoxid, der Ausstoß ist, das ist erheblich höher rechts als links. Und dieses hier, das wird sich nicht so an, als wäre das wirklich optimiert für Ausstoß. Der Motor macht genau das gleiche. Und der Ausstoß sollte jeweils niedrig sein. Gehen wir zurück zu diesem Zitat, dass die Rückführung und der Kategorisator funktionieren am besten zwischen 20 und 30 Grad Celsius. Ja, okay. Aber was ist mit dem Leistungslimit und was ist mit dem Luftdrucklimit und was ist mit dem Geschwindigkeitslimit? Und das wäre nicht funktioniert vollständig. Und die Opelantwort war natürlich interessant. Die haben natürlich, überhaupt nicht, sie würden keine Testzyklusdetektionen machen, Erkennen können, sondern was sie gesagt haben ist, ja, und dann wurden sie gefragt, ob sie gelogen haben, wenn sie von dem, und das bezog sich nur auf den NEDC-Test, haben sie gesagt. Ja, und nur da funktionierte das vollständig in dem NEDC-Test. Und natürlich der Vorstandsvorsitzende hat gesagt, die Einschuldigungen von Hackern, da geht es wohl um mich, sind vereinfachungen, und zulässige vereinfachen von den komplizierten Zusammenhängen von einem modernen Abrassreinigungssystem und modernen Dieselmotoren. Diese Geräte sind ganz kompliziert und da kann man nicht so einfach nur isoliert betrachten. Vor allem kann ein Hacker das nicht machen. Ja, und das war schon lustig. Und es gab noch was Lustiges. Ja, ich habe leider nur ein deutsches Zitat hier. Und im Wissenlichen haben sie gesagt, dass sie keine Zykluserkennung haben. Wenn man das Auto auf der Straße genauso benutzt wie im Testzyklus, dann verhält sich das Auto genauso wie im Testzyklus. Ja? Genau. Okay, aber was ist mit VW? Die haben genau dasselbe. Wenn man nach NEDC fährt auf der Straße, dann ist das genau das Gleiche. Und ich kann nicht einsehen, warum das nicht eine Zykluserkennung sein soll. Naja, also das war einiges über Opel, aber es gibt auch Lichtblicke. Und obwohl alles falsch gewesen, was wir gesagt haben, wir verbessern jetzt die Emissionen und soweit die Gesetze der Physikterserlauben erlauben, und ein freiwilliges Software-Update für das Auto und für die Autos, die schon betrieb sind. Wir fangen damit im Juni an. Welches Jahr? Diese Aussage ist vom Mai 2016. Und es gibt es noch nicht. Opel hat immerhin neue Software gemacht im Juli. Sie haben wohl schon länger daran gearbeitet. Im Juli 2016 hat das Kraftwahrt-Bundesamt und die sind eigentlich ganz gut. Und die wissen auch, was sie tun. Die haben nicht genug Ressourcen und nicht genug Leute, aber die kennen sich mit Autos aus. Und sie wissen, wie man diese Untersuchungen macht. Und sie haben keine Vorgaben, was sie machen sollen und was sie nicht machen sollen. Aber die haben die Sachen von Opel, von dem Zafira und dem Insignor, der ganz selten ist, ganz ähnlich ist. Und ich habe die firmware gedammt und alle diese Routinen, die ich vorgefunden habe, und die haben jedes Problem, was wir angesprochen haben, angepackt. Und sie haben das Temperature-Fenster vergrößert und zwar eine erhebliche Verbesserung. Und sie waren tatsächlich in der Lage, das zu verbessern. Und das Deutsche Umweltamt haben ein PMS-System, ein tragbares Emissions-Messgereich. Das kann man an den Auspuff hängen und kann die Abgase während des Fahrens messen. Und Opel hat ihnen ein Auto gegeben mit dem neuen Computer, mit dem neuen Software und sonst war das Auto völlig identisch. Wir haben links die alte Software, mit all diesen Sachen drin, die wir kritisiert haben. Und auf der rechten Seite ist das selber Auto mit der neuen Software. Und es ist erheblich besser. Es ist nur ein ganz bisschen über dem Limit, aber es ist viel, viel besser als vorher. Und um mal im Verhältnis zu zeigen, vorher waren sie ziemlich übel auf der Liste. Und jetzt sind sie eines der besten, nur durch neue Software. Das ist einfach eine tolle Nachricht. Sie haben ihre Autos verbessert und hoffentlich kommt es bei den Autos an. Und hoffentlich hat es keinen Nebeneffekt. Aber Opel weiß hoffentlich, wie man das überprüft. Wir kommen hierher zurück und wir haben mit Opel gearbeitet. Es war einfach so, sobald sie die Autos aktualisiert haben und haben dann diese vorlaufige Softwareversion hat diese Verbesserungen gebracht, aber es gibt immer noch andere, auch wenn wir mit Opel fertig sind. Und der Aufwand lässt sich nicht übertragen auf so viele andere Autos. Wir müssen generell was tun, um die Situation verbessern. Wir haben eine digitale Kontrollsysteme. Es sind einfach Black Boxes. Die Hersteller haben das so gemacht, dass sie Black Boxes sind. Sie geben sogar damit an, dass sie 10.000 Parameter haben, die kein Hacker verstehen können. Das ist ein ganz kompliziertes System. Und die sind so designed, dass sie undurchsichtig sind. Das gilt für alle Autohersteller. Die Leute scheinen zufrieden zu sein damit, das ist so kompliziert. Deutsche Ingenieure sind so toll und arbeiten daran. Deswegen haben sie eine ganz tolle Lösung gefunden. Wir vertrauen diesen schwarzen Kisten. Wir können nicht angucken und untersuchen, was da drin ist in den schwarzen Kisten in unseren Autos. Wir müssen den Hersteller vertrauen, dass sie das Richtige machen. Wir haben keine Unterstützung des Herstellers. Es skaliert einfach nicht für so viele. Wir können das machen, aber die Hersteller können noch mehr Security einbauen in ihre Kontrollcomputer. Wahrscheinlich kann man das überwinden, aber man braucht sehr viel mehr Zeit. Das skaliert nicht so, wie es müsste. Diese kleinen Kisten sind wirklich mächtig. Wir brauchen mehr Transparenz. Ein System, das Leute umbringen kann, muss durch Leute, durch Menschen untersucht werden können. Ich glaube, das ist ein ganz wichtiges Ding. Also, um so ein System zu haben, wenn man so ein System hat, was Leute umbringen kann, damit wir normal Leute untersuchen können, brauchen wir einiges. Wir brauchen z.B. ein System, um Reviews zu machen. Das bedeutet nicht, es muss Open Source salen. Wir wollen nicht die Hersteller bitten, alles Open Source zu machen. Aber was wir brauchen ist z.B. wie Microsoft den Windows-Sourcecode an Universitäten abgibt. Wir brauchen Experten, die sich den Sourcecode angucken. Wir brauchen Kontrollsoftware, die deren Design untersucht werden kann. Mit vielen Kommentaren. Menschen lesen einen Code. Ich will das nicht disassablieren, sondern ich will den Source lesen, um herauszufinden, was sie benutzt haben, um das zu definieren. Ich will verstehen können, warum haben sie diese Kurve gewählt oder diese Karte? Das muss untersucht werden, die Designkriterien. Wir brauchen Transparenzen und die Entscheidung für diese Kontrollsoftware. Wenn ein Auto in einer bestimmten Art arbeitet und ich mit diesem Auto fahre, dann will ich aussuchen können, was das Auto macht. Z.B. indem ich ein USB-Stick rein stecke, dann will ich protokollieren können, was das Auto macht. Am Schluss will ich rekonstruieren können jede einzelne Entscheidung, die die Software gemacht hat. Und das nötig diese Transparenz ist notwendig. Diese schwarzen Kisten durchsichtig zu machen. Vielen Dank. Ich bin überrascht, ich habe tatsächlich 5 Minuten zu früh geschafft. Was mache ich denn jetzt bloß mit den 5 Minuten? Könnten die auf der Bühne umstehen? Vielleicht haben die Leute ja Fragen. Vielleicht haben die Leute ja Fragen. Vielleicht haben die Leute ja Fragen. Vielleicht haben die Leute ja Fragen. Ja, Fragen? Lass es doch mal, das Internet nachfragen. Ist das Internet soweit? Ja, wir haben hier eine Frage. Was klappt so? Die Verantwortung von Bosch, die Software und Hardware dafür für Führung stellt. Die Software bauen für Volkswagen. Das ist eine gute Frage. Meine persönliche Antwortung und es ist neben Volkswagen und Bosch, wenn man Software bauen, von der man weiß, dass man sie illegal benutzen wird, dann sollte es deine Verantwortung sein, das nicht zu tun. Ich bin mir nicht sicher, ob das etwas ist, was man mit Gesetzen erzwingen kann, aber das sollte edisch oder einfach für alle Formierer von uns gelten. Aber man sollte keine Software bauen, die dafür gemacht ist, Gesetze zu brechen. Wir spielen mal auf das Mikrofon 2. Vielen Dank für diesen wunderschönen Talk. Ich frage mich, ob du von Fällen kennst, von Fällen aus drei Volkswagen, die plötzlich einen Powerverlust auf dem Autobahn haben. Die Fahrerin ist zum Beispiel von einem Truck überfahren worden. Diese Sachen können tatsächlich toter auslösen. Hast du mitbekommen, dass Software von Volkswagen solche Motorfehler beim Fahren ausgelöst haben? Hast du da eigentlich Tests gemacht, die auf dem Autobahn sind? Es gab wohl viele Fälle, von denen berichtet wurde, aber eines war fatal. Blödsache, überraschende Verlust der Motorleistung. Ich bin mir nicht sicher, ob es die Fahrer, die auf dem Autobahn sind, oder die Fahrer, die auf dem Autobahn sind. Ich bin mir nicht sicher, ob die Fahrer, die auf dem Autobahn sind, ich weiß nichts von diesen inzwischen Fällen, aber was ich weiß, ist, dass die persönliche Sicherheit, das Nummer-1-Design-Kriterium ist. Natürlich können da Fehler sein und Unfolge des Verhaltenen, aber die Sicherheit ist auf jeden Fall, das oberste Design-Kriterium für die Leute, die das Auto fahren. Es ist nicht der Profit der Firma, zumindest können wir das hoffen. Ich weiß nicht wirklich was von diesen Fällen, deswegen kann ich nicht viel dazusagen. Wenn irgendjemand noch mehr Informationen darauf hat, dann sendet sie zu mir. Volkswagen sagt, es ist offensichtlich ein Problem der Schaltung bei automatischen Autos, aber das ist dann auch bei Handschaltungsautos passiert. Die Schaltung scheint nicht zu stimmen. Es scheint ein gutes Beispiel zu sein, wo wir noch mehr verstehen müssen, was genau passiert und wir vielleicht nicht auf dem Hersteller uns verlassen wollen, die sozusagen erzählen, was passiert. Wir brauchen mehr Transparenz in diesen Fällen, definitiv, neutrale Unfalluntersuchungen. Eine lange Frage und eine sehr detaillte Antwort. Felix, das ist dein Applaus.