Ein Software-Update hat am Wochenende einige Jeep-4xe-Hybridfahrzeuge unbrauchbar gemacht

 (arstechnica.com)
1 Punkte von GN⁺ 2025-10-14 | 1 Kommentare | Auf WhatsApp teilen
  • Einige Besitzer eines Jeep Wrangler 4xe Hybrid erlebten, dass ihr Fahrzeug durch ein am Wochenende ausgerolltes OTA-Software-Update ausfiel
  • Das Update betraf die Telematik des Uconnect-Infotainment-Systems und wurde in einem nicht ausreichend vorbereiteten Zustand verteilt
  • Das Problem trat nicht direkt nach dem Update auf, sondern führte zu einer ernsten Situation, in der das Fahrzeug durch einen Antriebsstrangfehler während der Fahrt stehen blieb
  • Jeep stoppte die Verteilung des Updates nach den ersten Problemberichten, doch es war bereits auf viele Fahrzeuge heruntergeladen worden
  • Anschließend veröffentlichte Jeep einen Behebungs-Patch und riet Besitzern, die das Update noch nicht installiert hatten, es zu ignorieren

OTA-Software-Update-Problem bei Jeep-4xe-Hybridfahrzeugen

Überblick über den Vorfall

  • Einige Besitzer eines Jeep Wrangler 4xe Hybrid erlebten nach der Installation eines OTA-Software-Updates am Wochenende, dass ihr Fahrzeug plötzlich während der Fahrt stehen blieb
  • Das Problem entstand, weil ein Telematik-Update für das Uconnect-Infotainment-System in einem noch nicht ausreichend vorbereiteten Zustand ausgerollt wurde

Wie das Problem auftrat

  • Das Problem zeigte sich nicht sofort, sondern führte nach dem Update zu Leistungsverlust während der Fahrt und zum Stillstand des Fahrzeugs
  • Einige Besitzer erlebten dies in Wohngebieten oder bei niedriger Geschwindigkeit, es wurden jedoch auch Fälle eines Antriebsstrangausfalls auf der Autobahn dokumentiert

Reaktion und Maßnahmen

  • Jeep stellte die Verteilung des betreffenden Updates nach den Problemberichten ein, allerdings hatten bereits viele Fahrzeuge das Update heruntergeladen
  • Das Social-Team von Stellantis informierte in einem Jeep-Forum Besitzer, die das Update noch nicht installiert hatten, dass sie das Update-Popup ignorieren sollten

Vorläufige Empfehlung

  • Besitzern, die das Update bereits installiert hatten, bei denen aber noch kein Ausfall aufgetreten war, wurde empfohlen, den Hybridmodus oder den Elektromodus vorerst nicht zu verwenden
  • Jeep verteilte anschließend als Gegenmaßnahme einen Behebungs-Patch (korrigiertes Update) im Eilverfahren

Hintergrund und Lehren

  • Ähnlich wie im Fall Crowdstrike im vergangenen Jahr unterstreicht der Vorfall, dass Software-Updates am Freitagnachmittag zu großflächigen Problemen führen können
  • Durch diesen Vorfall hat auch Stellantis gelernt, wie wichtig der Zeitpunkt von Updates und vorherige Tests sind
  • Eine offizielle Stellungnahme von Stellantis liegt derzeit noch nicht vor, weitere Informationen sollen folgen

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-10-14
Hacker-News-Kommentare
  • Mein 4xe stand seit dem Software-Update am Samstag bewegungslos vor meinem Haus, und ich möchte aus Sicht eines 4xe-Besitzers erklären, wie katastrophal die Reaktion von Jeep/Stellantis war
    • Bis Montag um 8 Uhr morgens gab es keinerlei Kommunikation oder offizielles Eingeständnis von Jeep-Konten oder dem Unternehmen
    • Von dem Problem habe ich überhaupt erst erfahren, als ich in einer Jeep-Gruppe auf Facebook danach gesucht habe, ob andere die gleichen Symptome hatten
    • Selbst die „offiziellste“ Information war nur ein Beitrag des von Jeep betriebenen Kontos „JeepCares“ in einem Offroad-Forum, und selbst die Hinweise dieses Kontos waren widersprüchlich. Erst hieß es, Uconnect-Updates und Telematik-Updates seien getrennt, später wurde geraten, das Uconnect-Update zu verschieben, als hingen beide Updates doch zusammen
    • Weil von Jeep praktisch keine Informationen kamen, waren die Leute auf alle möglichen Gerüchte angewiesen, etwa dass „ein Neustart von Uconnect in irgendeinem Modus die Check-Engine-Leuchte ausschaltet“. Tatsächlich verschwand die Beschwerde, aber das Grundproblem war nicht gelöst
    • Es gibt keine Möglichkeit festzustellen, ob man das fehlerhafte Update erhalten hat
    • Man kann auch nicht erkennen, ob man den Patch bekommen hat
    • Auch die Händler wissen überhaupt nicht, was los ist
    • Und selbst in dem Moment, in dem ich das hier schreibe, bin ich weiterhin dem Risiko ausgesetzt, dass es mitten auf der Autobahn plötzlich zu Leistungsverlust kommt und das Auto stehen bleibt
    • Es ist wirklich erschreckend, dass beim Fahren auf der Autobahn das Antriebssystem, also der Motor, ausgehen kann. Laut Artikel ist das tatsächlich passiert; bei manchen war es in der Nähe ihres Hauses bei niedriger Geschwindigkeit, aber andere berichten von Ausfällen des Antriebsstrangs während der Fahrt auf der Autobahn. Das ist ein wirklich schockierendes Problem
    • Es ist völlig verrückt, dass so etwas in der Realität passiert. Als ich vor ein paar Jahren Due Diligence im Automobilsektor gemacht habe, habe ich darauf hingewiesen, dass vor einem Update unbedingt sichergestellt werden müsse, dass das Fahrzeug steht und der Motor aus ist. Ich erinnere mich noch, dass alle meinen Hinweis eher kurios fanden, obwohl klar war, dass so eine Situation zu Problemen führen kann
    • Das klingt ganz typisch nach einem Team, das die ursprüngliche Deadline verpasst hat, die Arbeit immer weiter geschoben hat und den Code dann unter Zwang veröffentlicht hat, weil wegen Urlaubsplänen niemand noch Verantwortung übernehmen konnte. Unter Zeitdruck und mit Bestätigungsfehler wurden Signale ignoriert, dass der Code Probleme macht, und jetzt sind die Hauptverantwortlichen wahrscheinlich im Flugzeug, nicht erreichbar oder ohne Laptop im Urlaub und können nicht reagieren
    • Ich frage mich, wie validiert wurde, dass ein Software-Update während der Fahrt ausgelöst werden kann und dann zu Leistungsverlust führt. Als ich früher bei einem Automobilzulieferer gearbeitet habe, gab es mehrere Schutzmechanismen gegen das Risiko fehlerhafter Updates, und schon die grundlegendste Hürde für den Eintritt in eine UDS-Programmiersitzung beinhaltete Kriterien wie Fahrzeuggeschwindigkeit oder Fahrmodus
  • Ich arbeite aktuell bei einem großen Hersteller für Heimbeleuchtung und habe Erfahrung mit der Entwicklung eines Router-OS, das die Verbindung von Lampen mit dem Internet und den Nutzern verwaltet. Unsere OTAU-Architektur nutzt ein A/B-Systemupdate mit zwei Boot-Slots (Referenzlink). Dadurch wird bei einem fehlgeschlagenen Update automatisch auf die vorherige Version zurückgerollt, und wir hatten nie auch nur ein einziges Bricking. Wohlgemerkt: Das gilt für ein Haushaltsgerät unter 100 Dollar. Da fragt man sich unweigerlich, ob bei einem SUV für 50.000 bis 60.000 Dollar solche Sicherheitsmechanismen aus Kostengründen fehlen. Selbst wenn man den NAND-Speicher verdoppeln würde, läge das bei diesem Fahrzeugniveau doch nicht einmal bei 0,5 % der Gesamtkosten. Wenn tatsächlich der Boot-Slot beschädigt wurde, kann ich das noch nachvollziehen, aber es ist enttäuschend, wie wenig Aufmerksamkeit Autohersteller offenbar dem von ihnen ausgelieferten Code schenken
    • Ich habe auf beiden Seiten Erfahrung, sowohl mit IoT-Lichtsystemen als auch mit Autos, und kann die beiden Branchen vergleichen. Das ist nicht als Verteidigung gemeint. Auch große Automobilkonzerne sind extrem empfindlich bei der Kostenoptimierung, und ich glaube nicht, dass es hier um einen Boot-Slot-Fehler geht. Die meiste Automobilsoftware ist normalerweise so ausgelegt, dass während der Fahrt keine Updates möglich sind. Diesmal scheint neue Firmware einen schweren Bug enthalten zu haben. Man kann zwar sagen, dass die Autoindustrie insgesamt am Boden ist, aber Stellantis gehört speziell nicht zu den Firmen mit Spitzengehältern
    • Android-Geräte, einschließlich vieler Fahrzeuge, die das übernehmen, nutzen ähnlich A/B-Partitionen, um das Bricking-Risiko zu senken. Aber auch das beseitigt das Risiko nicht vollständig. Wenn komplexe Logik im Spiel ist und mehrere Untergeräte gleichzeitig aktualisiert werden müssen, dann müssen 2*N Partitionen sauber zusammenspielen, und an jedem Checkpoint kann etwas schiefgehen. Wenn der Checkpoint „alles ist in Ordnung“ zu früh gesetzt wird, landet man unter Umständen bereits in einem Zustand ohne Wiederherstellungsmöglichkeit, obwohl essenzielle Dienste ausfallen
    • Bei Geräten wie Autos für 50.000 bis 60.000 Dollar wirken sich auch 0,5 % Kosten stark aus. Beispiel: Ford hat eine operative Marge von 2 %, und eine Kostensteigerung von 0,5 % pro Fahrzeug würde die Gewinnmarge um 25 % reduzieren. Autos werden jährlich in vergleichsweise geringeren Stückzahlen gebaut, und die Anforderungen an Chips sind streng, weshalb die Komponentenpreise hoch sein können. A/B-Updates sind ebenfalls keine vollständige Lösung und können bei falscher Konfiguration in Endlosschleifen enden
    • Ich habe gehört, dass die Autoindustrie teilweise schon bei weniger als 5 Dollar pro Gerät extrem sensibel reagiert. Vielleicht fehlte A/B-Update ganz in der Spezifikation, oder die OTA-Größe ist gestiegen und an Kapazitätsgrenzen gestoßen. Noch sicherer wäre ein A/B/A-Modell (wobei B ein abgespecktes OS ist), aber dafür reicht in der Realität wegen Zeitmangel oft die Entwicklungszeit nicht aus
    • Es gibt Unternehmen, die selbst bei 100-Dollar-Geräten A/B einsetzen; deshalb ist so ein Problem wahrscheinlich eher eine Frage von Prioritäten und Kompetenz als von reiner Kostensenkung. Vielleicht wurden Schutzmechanismen für Updates in der Spezifikation weggelassen, und unter Termindruck sowie mit wiederholter Verantwortungsvermeidung kam es dann zu so einem Vorfall. Tatsächlich ging es bei diesem Ereignis nicht um Bricking, sondern um einen kritischen Bug während der Fahrt
  • Ich habe einen Jeep Wagoneer gemietet, und die Elektronik war so chaotisch, dass mich so ein Vorfall nicht überrascht. Schon am zweiten Tag ließ sich die Heckklappe nicht schließen und im Dashboard erschien eine Fehlermeldung, außerdem funktionierte die elektrische Verriegelung überhaupt nicht. Bei der Suche danach stellte sich heraus, dass viele dasselbe Problem hatten und man dafür ein Software-Update brauchte; eine manuelle Entriegelung gab es auch nicht. Weil eine Filiale der Autovermietung in der Nähe war, habe ich das Auto getauscht, aber danach habe ich noch viele weitere Probleme erlebt
    • Wenn man hinten mit einem Steam-Deck-Ladegerät lädt, gehen das gesamte Kombiinstrument samt Infotainment aus und starten dann immer wieder neu
    • Der Fahrersitz fährt herunter, damit man leichter aussteigen kann, kehrt aber nicht automatisch in seine Position zurück und rutscht deshalb immer weiter nach hinten
    • Es erschien eine Warnung über einen Fehler an der Rücksitzverriegelung, die sich nicht dauerhaft abschalten ließ, obwohl die Verriegelung selbst in Ordnung war
    • Die TPMS-Warnleuchte ging ständig an und wieder aus (schlechtes Signal)
    • Zufällige Fehler im Zusammenhang mit der Geschwindigkeitsregelanlage
    • Die elektrische Parkbremse zog sich bei kurzem Anhalten auf dem Parkplatz automatisch an
    • Die Klimaanlage verhielt sich merkwürdig, sodass es im Innenraum heiß wurde oder die Kühlung gar nicht funktionierte
    • Im Netz gibt es sehr viele Menschen mit ähnlichen oder noch schwerwiegenderen Problemen. Kaum zu glauben, dass ein neues Fahrzeug für 80.000 Dollar solche Probleme haben kann
    • Auf einer kürzlichen Familienreise haben wir sogar vier verschiedene Grand Wagoneer nacheinander genutzt, und jedes einzelne Fahrzeug hatte ein gravierendes Problem
    • Jeep und Stellantis/Dodge sind bei Qualitätskontrolle und Elektronikarchitektur ernsthaft miserabel. Es gibt viele Fan-Communities, aber dort besteht die Tendenz, häufige Defekte zu beschönigen. So ein Fahrzeug zu kaufen heißt, sich selbst zu schaden
  • OTA-Updates für kritische Komponenten wie ECUs sind ein wirklich schwer nachvollziehbares Risiko. Wenn es wirklich unvermeidbar ist, dann sollte das meiner Meinung nach unbedingt beim Händler von Fachleuten mit vorbereitetem Rollback durchgeführt werden. Die Hersteller automatisieren alles und wollen mit Abo-Diensten Geld verdienen, gefährden dabei aber die Sicherheit der Verbraucher, und genau deshalb bevorzuge ich als Autofan ältere Fahrzeuge
  • Dieser Vorfall passierte nicht einmal zwei Wochen, nachdem Stellantis kürzlich einen „Vibe-Coding“-Engineering-Workflow erzwungen hatte (zugehörige News)
    • Damit ein OTA überhaupt in eine reale Fahrzeugflotte ausgerollt werden kann, müsste der Code aber zumindest schon vor mehr als zwei Wochen geschrieben worden sein
  • Ich fahre seit ein paar Monaten Jeep, und die Community konzentriert sich komplett auf Mods, während ich mich darüber ärgere, dass das OS proprietär ist und von SiriusXM entwickelt wurde. Ausgerechnet der Jeep Wrangler wäre doch das perfekte Fahrzeug für Open Source
    • Es ist nicht so, dass bei Wrangler-Mods Software-Hacking überhaupt keine Rolle spielt. Auf Basis dessen, was in diesem zugehörigen Forum vorgestellt wurde, gibt es sogar kommerzielle Produkte. Nur bei der Firmware der Head Unit habe ich bisher keinen wirklich gelungenen Durchbruch gesehen
    • War Jeep nicht die Firma, die in ihrem Infotainment-Werbesystem Pop-up-Werbung an der roten Ampel eingeblendet hat? Dass so etwas mit einem Open-Source-OS umgangen werden könnte, würde sich der Hersteller kaum wünschen
  • Ich verstehe nicht, warum ein OTA-Update das ganze Fahrzeug lahmlegen können soll. Infotainment und Fahrsysteme sollten doch vollständig getrennt sein, oder?
    • Diese Schlussfolgerung basiert auf der Annahme, dass es nur um ein Infotainment-OTA geht. Tatsächlich ist es ein OTA für das gesamte Fahrzeug. Es kann Infotainment, ECU, ECM, TCM und BCM betreffen, und auch wichtige Rückrufe werden per OTA behoben, daher ist es unmöglich, Updates für Kernsysteme zu blockieren. Stand 2025 verfügen die meisten Hersteller über solche OTA-Funktionen
    • Die eigentliche Ursache solcher Probleme ist Kostensenkung. Kombiinstrumente und Infotainment werden statt analoger Komponenten durch Monitore ersetzt, weil das in der Produktion billiger ist. Auch bei der Software gilt oft das Motto „nicht neu schreiben, nur wiederverwenden“, sodass überall Stückwerk zusammengeklickt wird und Integrationstests zwangsläufig schlecht ausfallen. Im Zeitalter der Elektrofahrzeuge hat jeder Motorcontroller seine eigene Software, und OTA kann sogar diese überschreiben. Wenn überhaupt, scheint nur Toyota dank langjähriger Erfahrung weniger Probleme zu haben
    • Weil selbst alltägliche Informationen – zum Beispiel Musik stummschalten bei aktiven Parksensoren oder die Anzeige von Kraftstoff- bzw. Batterierestmenge – zwischen Fahrsystem und Infotainment ausgetauscht werden, ist eine vollständige Trennung unmöglich
    • Bei meinem Tahoe hat mir einmal ein OTA-Update das Infotainment gebrickt. Danach funktionierte auch die Rückfahrkamera überhaupt nicht mehr, und selbst der Blinkerton war weg. Für Abschleppen und Reparatur habe ich fast 2.000 Dollar bezahlt, ohne dass die Garantie gegriffen hätte. Seitdem schalte ich alle Updates ab
    • Tesla hat den Präzedenzfall für solche integrierten OTAs geschaffen, und die meisten Hersteller ziehen inzwischen in ähnlicher Weise nach. Volvo hat ähnliche Probleme
  • Ich verstehe nicht, warum Infotainment-Systeme ausgerechnet so vielen Ingenieuren solche Probleme bereiten. Beim Mazda 3 (2018) gab es deshalb sogar eine Sammelklage. Nach jahrelang normalem Betrieb reagierten Menüs plötzlich zufällig, Tasten wurden wie von selbst gedrückt, und das Ganze blieb dann Tage oder Monate weg, bevor es wieder auftrat. Am Ende musste man alle Geräteverbindungen trennen und nur noch Radio hören
    • Das kommt daher, dass es ohne vertikale Integration vom Fundament an mehr als 20.000 einzelne, funktionsspezifische ECUs gibt und jedes einzelne Teil durch ausquetschende Aufträge an Zulieferer bis zum Extrem kostenoptimiert wird. Dazu kommt, dass „traditionelle“ Hersteller und Tier-1-Zulieferer fast kein Interesse daran zeigen, Innovationen aus der Softwarewelt einzuführen
    • Ich habe kürzlich ein Android-Smartphone per Bluetooth mit einem Mercedes verbunden und selbst bei einer „Luxus“-Marke schon im Setup fünf GUI-Bugs gefunden. Insgesamt war das Auto bei Verarbeitung und Haptik in Ordnung, aber die Softwarequalität ist eindeutig eine Frage des Wollens. (Zur Einordnung: Auch die UI von Set-Top-Boxen ist im Verhältnis zur Hardware-Spezifikation oft viel zu langsam)
    • Solche Probleme sind schlicht die Folge von Outsourcing und Kostensenkung. Ohne vertikale Integration wird der Auftrag an den billigsten externen Anbieter vergeben
    • Ich habe früher bei einem Entwickler von Infotainment-Software gearbeitet, und diese Systeme waren ein Paradebeispiel für extreme Kostensenkung. Minimaler RAM, minimale CPU, schwache Displays – selbst bei teuren Fahrzeugen. Autoradios waren schon immer ein Symbol für Kostendruck
    • Anders als bei Smartphones, wo jedes Jahr neue Produkte erscheinen, muss ein Fahrzeuggerät mehr als zehn Jahre durchhalten und mit minimalem Personal dauerhaft konsistent funktionieren
  • Ich habe nie von einem großen Fall gehört, in dem ein Tesla durch ein OTA komplett gebrickt wurde, also im wörtlichen Sinn nicht mehr fahrbar war. Soweit ich weiß, ist Tesla mit einer Dual-BIOS-Struktur aufgebaut (ähnlich wie Dual-BIOS auf einem Mainboard)
    • Ich verfolge Tesla-Communities seit über zehn Jahren und habe keinen Fall von Bricking durch OTA gesehen. Meist beschweren sich Leute nur darüber, dass gerade ein Update läuft, wenn sie plötzlich dringend losmüssen
    • Tesla macht sehr viel HIL-Testing und verfolgt beim Testen insgesamt eher den Ansatz eines Softwareunternehmens als den eines klassischen Herstellers
    • Wenn man tatsächlich danach googelt, gibt es durchaus auch Tesla-OTA-Bricking-Fälle. Beispielfall
  • Link zur Wochenenddiskussion