DE102009054106A1 - Method for detecting data in redundant system in motor vehicle, involves activating safety path depending on input parameters, detecting activation of safety path, and activating or deactivating actuator of redundant system - Google Patents

Method for detecting data in redundant system in motor vehicle, involves activating safety path depending on input parameters, detecting activation of safety path, and activating or deactivating actuator of redundant system Download PDF

Info

Publication number
DE102009054106A1
DE102009054106A1 DE102009054106A DE102009054106A DE102009054106A1 DE 102009054106 A1 DE102009054106 A1 DE 102009054106A1 DE 102009054106 A DE102009054106 A DE 102009054106A DE 102009054106 A DE102009054106 A DE 102009054106A DE 102009054106 A1 DE102009054106 A1 DE 102009054106A1
Authority
DE
Germany
Prior art keywords
security
safety
redundant system
activation
paths
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE102009054106A
Other languages
German (de)
Inventor
Richard Baur
Marcus Weidner
Simon Schilling
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bayerische Motoren Werke AG
Original Assignee
Bayerische Motoren Werke AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bayerische Motoren Werke AG filed Critical Bayerische Motoren Werke AG
Priority to DE102009054106A priority Critical patent/DE102009054106A1/en
Publication of DE102009054106A1 publication Critical patent/DE102009054106A1/en
Ceased legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T7/00Brake-action initiating means
    • B60T7/12Brake-action initiating means for automatic initiation; for initiation not subject to will of driver or passenger
    • B60T7/16Brake-action initiating means for automatic initiation; for initiation not subject to will of driver or passenger operated by remote control, i.e. initiating means not mounted on vehicle
    • B60T7/18Brake-action initiating means for automatic initiation; for initiation not subject to will of driver or passenger operated by remote control, i.e. initiating means not mounted on vehicle operated by wayside apparatus
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0218Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults
    • G05B23/0224Process history based detection method, e.g. whereby history implies the availability of large amounts of data
    • G05B23/0227Qualitative history assessment, whereby the type of data acted upon, e.g. waveforms, images or patterns, is not relevant, e.g. rule based assessment; if-then decisions
    • G05B23/0237Qualitative history assessment, whereby the type of data acted upon, e.g. waveforms, images or patterns, is not relevant, e.g. rule based assessment; if-then decisions based on parallel systems, e.g. comparing signals produced at the same time by same type systems and detect faulty ones by noticing differences among their responses
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1641Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Abstract

The method involves activating a safety path (108) depending on input parameters (101-107), and detecting activation of the safety path. An actuator (113) of a redundant system is activated or deactivated by a connection of the safety path and another safety path (109). The input parameters or a part of the input parameters are detected by activating the safety paths. The redundant system is adjusted based on the detected data. The data are detected during operation of the redundant system and/or during testing of the redundant system. The detected data are stored. An independent claim is also included for a device for detection of data in a redundant system.

Description

Die Erfindung betrifft ein Verfahren und eine Vorrichtung zur Erfassung von Daten in einem redundanten System.The invention relates to a method and a device for detecting data in a redundant system.

Fahrzeuge werden nach einem Anforderungskatalog entwickelt. Durch den ständig wachsenden Einsatz von Elektronik in dem Fahrzeug werden einem Benutzer eine Vielzahl von Funktionen und Einstellmöglichkeiten angeboten. Auch sicherheitsrelevante Funktionen des Fahrzeugs, z. B. betreffend Airbag, Antiblockiersystem (ABS), elektronisches Stabilitätsprogramm (ESP), Aktivlenkung (AFS, Active Front Steering), erfordern eine elektronische Ansteuerung und/oder Auswertung. Dabei nehmen die Anforderungen, z. B. Komplexität, Vernetzung und Kommunikation, an die Komponenten zu. Hierbei ist es von Bedeutung, dass trotz steigender Anforderungen die Komponenten, z. B. Steuergeräte, nach vorgegebenen Sicherheitsvorschriften gefertigt werden und dass die Funktion der Komponenten unter Einhaltung vorgegebener Sicherheitsvorschriften erfolgt.Vehicles are developed according to a catalog of requirements. Due to the ever-increasing use of electronics in the vehicle a variety of functions and settings are offered to a user. Also safety-related functions of the vehicle, eg. B. concerning airbag, anti-lock braking system (ABS), electronic stability program (ESP), active steering (AFS, Active Front Steering), require electronic control and / or evaluation. The requirements, z. As complexity, networking and communication, to the components. It is important that despite increasing demands, the components, for. As control units are manufactured according to specified safety regulations and that the function of the components is carried out in compliance with specified safety regulations.

Beispielsweise dient ein sogenannter Sicherheitsnachweis dazu, dass für eine Komponente, z. B. ein Steuergerät, oder einen Verbund aus mehreren Komponenten eine Dokumentation von durchgeführten Maßnahmen erfolgt, die zum Erreichen einer vorgegebenen (z. B. notwendigen) Sicherheit erforderlich sind.For example, a so-called proof of safety serves that for a component, for. As a control unit, or a composite of several components is a documentation of actions performed, which are required to achieve a given (eg necessary) security.

So kann ein bestimmtes Maß an Sicherheit mittels mindestens eines der folgenden Ansätze zur Fehlerbeherrschung erreicht werden:

  • a) Komponenten (oder Teilsysteme) werden redundant ausgelegt.
  • b) Es erfolgt eine Aufteilung von Funktionen und/oder Komponenten in sicherheitsrelevante und nicht-sicherheitsrelevante Teilfunktionen oder Teilsysteme.
  • c) Die Komponenten verfügen jeweils über Diagnosemechanismen, insbesondere zur Eigendiagnose. Entsprechend kann je nach Anforderung eine hohe Diagnoseabdeckung erreicht werden.
Thus, a certain degree of security can be achieved by means of at least one of the following approaches to error control:
  • a) Components (or subsystems) are designed redundantly.
  • b) A subdivision of functions and / or components into safety-related and non-safety-relevant subfunctions or subsystems takes place.
  • c) The components each have diagnostic mechanisms, in particular for self-diagnosis. Accordingly, depending on the requirement, a high level of diagnostic coverage can be achieved.

Somit können beispielsweise Fehler oder Ausfälle während des eigentlichen Betriebs der Komponente als auch Ausfälle auf Grund systematischer Fehler, wie sie z. B. bei der Entwicklung, Produktion, oder Wartung auftreten können, erkannt werden.Thus, for example, errors or failures during the actual operation of the component as well as failures due to systematic errors, such as. B. in development, production, or maintenance can be detected.

Insbesondere gibt es die folgenden Arten von Sicherheitsmaßnahmen:

  • 1) Eine Sicherheitsmaßnahme, die bewirkt, dass eine sicherheitskritische Systemfunktion nicht aus- oder weitergeführt wird. Beispielsweise kann eine Überwachungskomponente (”Watchdog”) das Gesamtsystem bei Erkennung eines Fehlers in einen sicheren Zustand überführen, z. B. abschalten.
  • 2) Eine Sicherheitsmaßnahme mit einem ermöglichendem Charakter: So kann über eine Aktivierung der Sicherheitsmaßnahme bewirkt werden, dass eine sicherheitskritische Systemfunktion ausgeführt wird.
In particular, there are the following types of security measures:
  • 1) A security measure which means that a safety-critical system function is not executed or continued. For example, a monitoring component ("watchdog") can transform the entire system into a safe state upon detection of an error, eg. B. turn off.
  • 2) A security measure with an enabling character: For example, activation of the security measure can cause a safety-critical system function to be executed.

Eine Beschreibung aller zum Erreichen der Sicherheit einer Funktion geeigneten oder notwendigen Sicherheitsmaßnahmen erfolgt in einem sogenannten Sicherheitskonzept.A description of all security measures that are suitable or necessary for achieving the security of a function takes place in a so-called security concept.

Hierbei ist es grundsätzlich problematisch, dass z. B. bei einer redundanten Auslegung einer Komponente (z. B. eines Steuergeräts) sich widersprechende Sicherheitsanforderungen vorliegen können. Im Falle eines Airbag-Steuergeräts kann z. B. einerseits die Sicherheitsanforderung ”Verhindern einer Fehlauslösung des Airbags” und andererseits die Sicherheitsanforderung ”Sicherstellen der Auslösung des Airbags bei einem Unfall” vorliegen.Here, it is fundamentally problematic that z. B. in a redundant design of a component (eg., A control device) may be conflicting security requirements. In the case of an airbag control unit z. B. on the one hand, the safety requirement "preventing a false trip of the airbag" and on the other hand, the safety requirement "ensure the deployment of the airbag in an accident" are present.

Somit besteht einerseits ein Zielkonflikt zwischen der Verfügbarkeit und der Sicherheit der Komponente bzw. Funktion. Werden Sicherheitsmaßnahme zu restriktiv ausgelegt, steigt zwar die Sicherheit der Gesamtfunktion bei gleichzeitiger Abnahme der Verfügbarkeit der Funktion. Wird umgekehrt bei entsprechender Auslegung der Sicherheitsmaßnahmen die Verfügbarkeit der Funktion erhöht, sinkt die Sicherheit der Komponente bzw. Funktion.Thus, on the one hand there is a conflict of objectives between the availability and the security of the component or function. If the security measure is designed to be too restrictive, the security of the overall function increases while the availability of the function decreases. If, on the other hand, the availability of the function is increased with a corresponding design of the safety measures, the safety of the component or function decreases.

Auch ist es ein Problem, dass aufgrund geringer konkreter Daten und/oder geringer Felderfahrung zum Zeitpunkt der Entwicklung neuer Systeme Abschätzungen und Vermutungen hinsichtlich der Auslegung von Sicherheitsmaßnahmen bzw. der Notwendigkeit von (ggf. zusätzlichen) Sicherheitsmaßnahmen vorgenommen werden.It is also a problem that due to poor concrete data and / or low field experience at the time of development of new systems, estimates and assumptions are made regarding the design of security measures or the need for (possibly additional) security measures.

Eine derartige Abschätzung bzw. Vermutung kann u. U. recht ungenau sein und z. B. zu einer zu konservativen Auslegung der Komponente bzw. Funktion führen.Such an estimate or assumption may u. U. be quite inaccurate and z. B. lead to a too conservative interpretation of the component or function.

Die Aufgabe der Erfindung besteht darin, die vorstehend genannten Nachteile zu vermeiden und insbesondere eine Möglichkeit zur effizienten Auslegung einer sicherheitsrelevanten Komponente und/oder Funktion zu schaffen. Beispielsweise wird hierdurch die Qualität der Auslegung von Sicherheitsmaßnahmen verbessert.The object of the invention is to avoid the abovementioned disadvantages and, in particular, to create a possibility for the efficient design of a safety-relevant component and / or function. For example, this improves the quality of the design of security measures.

Diese Aufgabe wird gemäß den Merkmalen der unabhängigen Patentansprüche gelöst. Weiterbildungen der Erfindung ergeben sich auch aus den abhängigen Ansprüchen.This object is achieved according to the features of the independent claims. Further developments of the invention will become apparent from the dependent claims.

Zur Lösung der Aufgabe wird ein Verfahren zur Erfassung von Daten in einem redundanten System vorgeschlagen, umfassend mindestens zwei Sicherheitspfade,

  • – bei dem abhängig von Eingangsparametern mindestens einer der mindestens zwei Sicherheitspfade aktiviert wird;
  • – bei dem die Aktivierung des mindestens einen Sicherheitspfads erfasst wird.
To achieve the object, a method for detecting data in a redundant system is proposed, comprising at least two security paths,
  • In which, depending on input parameters, at least one of the at least two security paths is activated;
  • - In which the activation of the at least one security path is detected.

Für die Auslegung der Sicherheitsmaßnahmen mit ermöglichendem Charakter ist es von Vorteil, zu wissen, wie oft die Sicherheitsmaßnahme im ”normalen Betrieb” aktiviert wurde bzw. wird. Der hier vorliegende Ansatz stellt eine derartige Größe bereit und erlaubt somit vorteilhaft eine robuste und gleichzeitig nicht unnötig restriktive Auslegung der Sicherheitsmaßnahme. Hierbei wird die Effizienz des Systems erhöht und zusätzliche Kosten für weitere Test- und Absicherungsmaßnahmen (z. B. in Form von ansonsten anfallenden Nacharbeiten für unpassend ausgelegte Sicherheitsmaßnahmen) können eingespart werden.For the interpretation of the safety measures with an enabling character, it is advantageous to know how often the safety measure has been or will be activated in "normal operation". The present approach provides such a size and thus advantageously allows a robust and at the same time not unnecessarily restrictive interpretation of the security measure. This increases the efficiency of the system and saves additional costs for further testing and safeguarding measures (eg in the form of otherwise required rework for inappropriately designed security measures).

Jeder Sicherheitspfad entspricht z. B. einer Sicherheitsmaßnahme bzw. einer Teilsicherheitsmaßnahme des Systems. Bei der Sicherheitsmaßnahme kann es sich um eine ermöglichende Maßnahme oder eine verbietende (deaktivierende) Maßnahme handeln. Im ersten Fall ermöglicht der Sicherheitspfad eine Aktivierung des sicherheitsrelevanten Systems falls auch der andere Sicherheitspfad (im Falle zweier Sicherheitspfade) die Aktivierung vorschlägt. Somit sind im Ergebnis die Sicherheitspfade logisch UND verknüpft. Alternativ kann jeder Sicherheitspfad verhindern, dass ein sicherheitsrelevantes System aktiviert wird; somit reicht es auch, wenn ein einziger der mehreren Sicherheitspfade ein Verbot zur Aktivierung anzeigt. Dies entspricht einer logischen NICHT-ODER-Verknüpfung.Each safety path corresponds to z. B. a security measure or a partial safety measure of the system. The security measure may be an enabling measure or a prohibiting (disabling) measure. In the first case, the security path allows the security-relevant system to be activated if the other security path (in the case of two security paths) also proposes the activation. Thus, as a result, the security paths are logically AND linked. Alternatively, each safety path can prevent a safety-related system from being activated; Thus, it is sufficient if a single one of the multiple security paths indicates a ban on activation. This corresponds to a logical NOR operation.

Hierbei sei angemerkt, dass die Aktivierung des mindestens einen Sicherheitspfads einem beliebigen vorgegebenen Ereignis entsprechen kann. Dieses Ereignis wird geeignet erfasst. Beispielsweise kann die Aktivierung des Sicherheitspfads auch zu einer Deaktivierung eines Aktors führen. Insbesondere entspricht die Aktivierung des mindestens einen Sicherheitspfads einer Zustandsänderung des mindestens einen Sicherheitspfads.It should be noted that the activation of the at least one security path can correspond to any given event. This event is detected appropriately. For example, the activation of the security path can also lead to a deactivation of an actuator. In particular, the activation of the at least one safety path corresponds to a change of state of the at least one safety path.

Bei dem Sicherheitspfad kann es sich auch um einen Funktionspfad handeln, also um einen Pfad, der mit einer vorgegebenen Funktion assoziiert ist. Der Funktionspfad kann mit einem weiteren Sicherheitspfad kombiniert werden, so dass der Sicherheitspfad eine Aktivierung bzw. Deaktivierung eines Aktors sicherstellt, z. B. wenn zusätzlich zu bzw. unabhängig von dem Funktionspfad übereinstimmend mit diesem auch der Sicherheitspfad die Aktivierung bzw. Deaktivierung des Aktors vorschlägt.The security path can also be a function path, ie a path associated with a given function. The function path can be combined with another safety path, so that the safety path ensures activation or deactivation of an actuator, for. B. if in addition to or independent of the function path coinciding with this and the safety path proposes the activation or deactivation of the actuator.

Eine Weiterbildung ist es, dass das redundante System mindestens ein Steuergerät oder mindestens eine Steuerfunktionalität umfasst.A development is that the redundant system comprises at least one control unit or at least one control functionality.

Beispielsweise kann es sich bei dem Steuergerät um ein Steuergerät in einem Kraftfahrzeug handeln, z. B. ein Airbagsteuergerät, ein Steuergerät für ein Antiblockiersystem, ein Steuergerät für eine Aktivlenkung, ein Steuergerät für ein elektronisches Fahrstabilitätsprogramm, etc.For example, the controller may be a controller in a motor vehicle, e.g. As an airbag control unit, a control device for an anti-lock brake system, an active steering control unit, a control device for an electronic driving stability program, etc.

Eine andere Weiterbildung ist es, dass das redundante System mindestens einen Aktor umfasst, der über eine geeignete Verknüpfung der Sicherheitspfade aktiviert oder deaktiviert wird.Another development is that the redundant system comprises at least one actuator which is activated or deactivated via a suitable linkage of the safety paths.

Die Verknüpfung der Sicherheitspfade ist beispielsweise eine UND-Verknüpfung der von den Sicherheitspfaden bereitgestellten Aktivierungssignale. Auch andere logische Verknüpfungen, z. B. eine ODER-Verknüpfung oder eine NICHT-ODER-Verknüpfung sind möglich. Auch Kombinationen aus (beliebigen) logischen Verknüpfungen sind möglich, insbesondere bei einer Vielzahl von Sicherheitspfaden.The linking of the security paths is, for example, an AND operation of the activation signals provided by the security paths. Other logical links, such. As an OR or a NOR-OR are possible. Also, combinations of (arbitrary) logical operations are possible, especially with a variety of security paths.

Der mindestens eine Aktor kann ein beliebiger Aktor, insbesondere ein Aktor in einem Kraftfahrzeug, sein.The at least one actuator can be any actuator, in particular an actuator in a motor vehicle.

Insbesondere ist es eine Weiterbildung, dass mit der Aktivierung des mindestens einen Sicherheitspfads die Eingangsparameter oder ein Teil der Eingangsparameter erfasst werden.In particular, it is a development that the activation of the at least one safety path, the input parameters or a part of the input parameters are detected.

Auch ist es möglich, dass GPS-Daten zusammen mit der Aktivierung des mindestens einen Sicherheitspfads erfasst werden.It is also possible for GPS data to be detected together with the activation of the at least one safety path.

Auch ist es eine Weiterbildung, dass das System anhand der erfassten Daten eingestellt wird.It is also a development that the system is adjusted based on the data collected.

Insbesondere kann das System anhand der erfassten Daten geändert oder dimensioniert werden.In particular, the system can be changed or dimensioned based on the acquired data.

Ferner ist es eine Weiterbildung, dass die Daten erfasst werden während des Betriebs des Systems und/oder während der Erprobung des Systems.Further, it is a development that the data is collected during operation of the system and / or during the testing of the system.

Bei dem System handelt es sich vorzugweise um ein Fahrzeug oder ein Teil in einem Fahrzeug.The system is preferably a vehicle or a part in a vehicle.

Im Rahmen einer zusätzlichen Weiterbildung werden die erfassten Daten gespeichert.As part of an additional training, the collected data is stored.

Beispielsweise können die erfassten Daten zwischengespeichert werden zur späteren Verarbeitung und/oder Anpassung des redundanten Systems.For example, the acquired data can be buffered for later processing and / or adaptation of the redundant system.

Eine nächste Weiterbildung besteht darin, dass die mindestens zwei Sicherheitspfade unterschiedliche Eingangsparameter auswerten. A next development is that the at least two safety paths evaluate different input parameters.

Optional können die mehreren Sicherheitspfade auch die gleichen Eingangsparameter auswerten. Insbesondere können die mehreren Sicherheitspfade jeweils unterschiedliche Funktionen bereitstellen.Optionally, the multiple safety paths can also evaluate the same input parameters. In particular, the multiple security paths may each provide different functions.

Eine Ausgestaltung ist es, dass die mindestens zwei Sicherheitspfade mit unterschiedlicher Hardware ausgeführt sind.One embodiment is that the at least two security paths are designed with different hardware.

Optional können die mehreren Sicherheitspfade auch mit gleicher oder funktionsgleicher Hardware ausgestattet sein. Durch die unterschiedlichen Realisierungen der mehreren Sicherheitspfade ist es möglich, abhängig von dem jeweiligen Bearbeitungsaufwand kosteneffizient Teilfunktionen bereitzustellen. So kann z. B. in einem Sicherheitspfad ein ASIC eingesetzt werden, der kostengünstig ist und schnell geeignete Auswertungen durchführen kann; in einem zweiten Sicherheitspfad kann ein Prozessor mit geeigneter Beschattung vorhanden sein, der aufwändige Berechnungen (z. B. in Echtzeit) durchführt und entsprechend teurer als der oben genannte ASIC ist.Optionally, the multiple security paths can also be equipped with the same or functionally identical hardware. Due to the different implementations of the multiple security paths, it is possible to provide sub-functions cost-effectively depending on the respective processing complexity. So z. B. in a safety path an ASIC can be used, which is inexpensive and can quickly perform appropriate evaluations; in a second security path, a processor with suitable shading can be present which carries out complex calculations (eg in real time) and is correspondingly more expensive than the abovementioned ASIC.

Eine alternative Ausführungsform besteht darin, dass eine Dauer der Aktivierung des mindestens einen Sicherheitspfads erfasst wird.An alternative embodiment is that a duration of the activation of the at least one safety path is detected.

Eine nächste Ausgestaltung ist es, dass eine Häufigkeit der Aktivierung des mindestens einen Sicherheitspfads erfasst wird.A next embodiment is that a frequency of activation of the at least one security path is detected.

Auch ist es eine Ausgestaltung, dass die mindestens zwei Sicherheitspfade gleiche oder unterschiedliche Sicherheitsguten aufweisen.It is also an embodiment that the at least two security paths have the same or different security goods.

Die Sicherheitsgüte kann z. B. einer Einstufung gemäß den Normen IEC 61508 oder ISO 26262 entsprechen. Somit kann für das Gesamtsystem eine höhere Sicherheitsgüte erreicht werden, obwohl die einzelnen Sicherheitspfade jeweils eine geringere Sicherheitsgüte aufweisen: Durch die redundante Auslegung der Sicherheitspfade steigt die Sicherheitsgüte des Gesamtsystems.The safety grade can z. B. a classification according to the standards IEC 61508 or ISO 26262 correspond. Thus, a higher level of safety can be achieved for the overall system, although the individual safety paths each have a lower safety quality: The redundancy of the safety paths increases the safety performance of the overall system.

Eine weitere Ausgestaltung ist es, dass das redundante System ein System oder eine Funktion in einem Kraftfahrzeug ist.A further embodiment is that the redundant system is a system or a function in a motor vehicle.

Die vorstehend genannte Aufgabe wird auch gelöst durch eine Vorrichtung zur Erfassung von Daten in einem redundanten System

  • – umfassend mindestens zwei Sicherheitspfade,
  • – bei der abhängig von Eingangsparametern mindestens einer der mindestens zwei Sicherheitspfade aktivierbar ist;
  • – bei der die Aktivierung des mindestens einen Sicherheitspfads erfassbar ist.
The above object is also achieved by a device for acquiring data in a redundant system
  • Comprising at least two security paths,
  • - In which dependent on input parameters of at least one of the at least two security paths can be activated;
  • - In which the activation of the at least one security path is detected.

Auch wird die oben genannte Aufgabe gelöst durch ein Fahrzeug umfassend mindestens eine der hierin erläuterten Vorrichtungen.Also, the above object is achieved by a vehicle comprising at least one of the devices explained herein.

Ausführungsbeispiele der Erfindung werden nachfolgend anhand der Zeichnung dargestellt und erläutert.Embodiments of the invention are illustrated and explained below with reference to the drawing.

Es zeigt:It shows:

1 ein schematisches Blockdiagramm zur Realisierung einer sicherheitsrelevanten Funktion, z. B. zur Auslösung (mindestens) eines Airbags in einem Fahrzeug. 1 a schematic block diagram for the realization of a safety-related function, eg. B. for triggering (at least) an airbag in a vehicle.

Es wird vorgeschlagen, dass mindestens eine Aktivierung einer Sicherheitsmaßnahme einer Komponente oder einer Funktion, insbesondere eines sicherheitsrelevanten Systems, erfasst wird. Eine solche Aktivierung kann z. B. abgespeichert, übertragen und/oder weiterverarbeitet werden. Insbesondere kann die Aktivierung der Sicherheitsmaßnahme während des normalen Betriebs der Komponente oder Funktion erfasst werden, z. B.

  • – während einer Entwicklungsphase oder einer Erprobungsphase bzw.
  • – während eines Feldbetriebs.
It is proposed that at least one activation of a security measure of a component or a function, in particular a security-relevant system, be detected. Such activation can z. B. stored, transferred and / or further processed. In particular, activation of the security measure may be detected during normal operation of the component or function, e.g. B.
  • During a development phase or a trial phase or
  • During a field operation.

Die Komponente oder Funktion kann Sicherheitsanforderungen und/oder Sicherheitsguten unterliegen, die durch mindestens eine der Sicherheitsmaßnahmen mit ermöglichendem Charakter erfüllt wird.The component or function may be subject to safety requirements and / or safety requirements which are met by at least one of the safety measures of an enabling nature.

Bei der Sicherheitsmaßnahme mit ermöglichendem Charakter kann beispielsweise eine Absicherung eines Airbagsteuergeräts dahingehend erfolgen, dass ein unerwünschter Fehler ”Fehlauslösen des Airbags” durch eine redundante Aufteilung der Gesamtfunktionalität in zwei Sicherheitspfade vermieden wird. Vorzugsweise können die beiden Sicherheitspfade unterschiedliche Überwachungen durchführen, z. B. basierend auf unterschiedlichen Eingangsparametern. Das Airbagsteuergerät löst in diesem Beispiel nur dann aus, wenn beide Sicherheitspfade übereinstimmend die Aktivierung vorschlagen.In the security measure with ermöglichendem character, for example, a hedge of an airbag control unit to the effect that an undesirable error "false triggering of the airbag" is avoided by a redundant distribution of the total functionality in two safety paths. Preferably, the two security paths can perform different monitoring, z. B. based on different input parameters. The airbag control unit triggers in this example only if both safety paths consistently suggest the activation.

Insbesondere wird erfasst und/oder gespeichert, wie oft und/oder wie lange ein Sicherheitspfad aktiviert wird und/oder aktiviert ist.In particular, it is detected and / or stored how often and / or how long a safety path is activated and / or activated.

Die erfassten bzw. abgespeicherten Daten z. B. aus dem Erprobungs- oder Feldbetrieb können ausgewertet werden, wodurch

  • a) ein Nachweis erbracht werden kann, dass die Komponente bzw. Funktion eine ausreichend robuste aber nicht unnötig restriktive Auslegung der Sicherheitsmaßnahme aufweist;
  • b) ein Nachweis erbracht werden kann, dass eine ausreichende Sicherheit der Sicherheitsmaßnahme und/oder der Gesamtfunktion gegeben ist;
  • c) ein Nachweis erbracht werden kann, dass eine Aufteilung der Gesamtfunktion in redundante Teilsysteme mit unterschiedlichen Sicherheitsguten funktioniert, insbesondere korrekt ist und eine entsprechende Gültigkeit aufweist.
The recorded or stored data z. B. from the trial or field operation can be evaluated, which
  • (a) evidence can be provided that the component or function has a sufficiently robust but not unnecessarily restrictive interpretation of the security measure;
  • (b) proof can be provided that adequate safety of the safety measure and / or the overall function is ensured;
  • c) proof can be provided that a division of the overall function into redundant subsystems with different safety goods functions, in particular is correct and has a corresponding validity.

Die vorstehend genannte Nachweise a) bis c) können einzeln oder in Kombination miteinander erbracht werden.The above evidence a) to c) can be provided individually or in combination with each other.

Die redundanten Komponenten können gleiche oder unterschiedliche Sicherheitsguten aufweisen. Die Sicherheitsgüte kann z. B. in Form einer SIL oder ASIL Einstufung gemäß den Normen IEC 61508 oder ISO 26262 erfolgen.The redundant components may have the same or different security goods. The safety grade can z. B. in the form of a SIL or ASIL classification according to standards IEC 61508 or ISO 26262 respectively.

Hierbei ist es von Vorteil, dass bei der Aufteilung der Gesamtfunktionen in zumindest teilweise redundante Teilsysteme mit jeweils unterschiedlichen Sicherheitsguten diese Teilsysteme nur noch eine gegenüber der Anforderung an das Gesamtsystem reduzierte Sicherheitsgute aufweisen müssen. Somit ermöglicht die redundante Auslegung insgesamt eine kostengunstigere Implementierung der Gesamtfunktion.In this case, it is advantageous that when subdividing the overall functions into at least partially redundant subsystems, each with different security goods, these subsystems only have to have a security good reduced compared to the requirement for the overall system. Thus, the overall redundant design allows a more cost effective implementation of the overall function.

Durch die hier vorgeschlagene Lösung ist es möglich, sicherheitsrelevante Komponenten oder Funktionen, z. B. Steuergeräte, effizient zu entwickeln und dabei eine vorgegebene Sicherheitsgüte sicherzustellen.By the solution proposed here, it is possible safety-related components or functions, eg. B. ECUs to develop efficiently while ensuring a given security quality.

Ein weiterer Vorteil besteht darin, dass ein Sicherheitsnachweis erbracht werden kann. Somit ist z. B. eine Zertifizierung möglich oder es kann eine Sicherheitsgüte entsprechend dokumentiert werden.Another advantage is that a proof of security can be provided. Thus, z. As a certification or it can be documented a safety grade accordingly.

1 zeigt ein schematisches Blockdiagramm zur Realisierung einer sicherheitsrelevanten Funktion, z. B. zur Auslösung (mindestens) eines Airbags in einem Fahrzeug. 1 shows a schematic block diagram for the realization of a safety-related function, eg. B. for triggering (at least) an airbag in a vehicle.

Um ein bestimmtes Maß an Sicherheit, z. B. eine vorgegebene Sicherheitsgüte, zu erreichen, ist die sicherheitsrelevante Funktion redundant in Form von Teilfunktionen ausgelegt. So kann die Entscheidung, ob oder ob nicht der Airbag gezündet wird davon abhängig gemacht werden, dass Teilfunktionen übereinstimmend eine Aktivierung anzeigen. Jede Teilfunktion stellt somit eine Sicherheitsmaßnahme mit einem ermöglichendem Charakter bereit.To a certain degree of security, z. As a given security quality to achieve, the safety-related function is designed redundantly in the form of sub-functions. Thus, the decision as to whether or not the airbag is fired may be made dependent on sub-functions consistently indicating activation. Each subfunction thus provides a security measure with an enabling character.

Die sicherheitsrelevante Funktion gemäß 1 weist zwei Sicherheitspfade 108, 109 auf. In einem Kraftfahrzeug stehen, z. B. über ein Bussystem, eine Vielzahl von Parametern 101 bis 107 zur Verfügung, die redundanten Teilfunktionen der sicherheitsrelevanten Funktion bereitgestellt werden. Die erste Teilfunktion ist mittels eines Mikrokontrollers 110 und die zweite Teilfunktion ist mittels eines ASICs 111 realisiert. Der Mikrokontroller 110 erhält die Parameter 102, 103, 105 und 106 und bestimmt hieraus, ob oder ob nicht eine Aktivierung der ersten Teilfunktion erfolgen soll. Entsprechend erhält der ASIC 111 die Parameter 101, 103, 106 und 107 und ermittelt, ob eine Aktivierung der zweiten Teilfunktion nötig ist.The safety-relevant function according to 1 has two security paths 108 . 109 on. In a motor vehicle, z. B. via a bus system, a variety of parameters 101 to 107 available, the redundant sub-functions of the safety-related function are provided. The first subfunction is by means of a microcontroller 110 and the second subfunction is by means of an ASIC 111 realized. The microcontroller 110 receives the parameters 102 . 103 . 105 and 106 and determines from this whether or not an activation of the first subfunction should take place. The ASIC receives accordingly 111 the parameters 101 . 103 . 106 and 107 and determines whether activation of the second subfunction is necessary.

Die vorstehende Zuordnung von Parametern zu Teilfunktionen ist nur beispielhaft zu verstehen. Es ist auch möglich, dass beide Teilfunktionen jeweils gleiche Parameter, oder beliebige Zuordnungen von Parametern erhalten. Auch können eine Vielzahl von Teilfunktionen (mehr als die zwei gezeigten Sicherheitspfade 108, 109) vorgesehen sein, die auf gleiche oder unterschiedliche Parameter zugreifen und über gleiche oder unterschiedliche Verarbeitungsmittel (Mikrokontroller, Prozessor, FPGA, ASIC, programmierbare Logik, etc.) verfügen.The above assignment of parameters to subfunctions is only to be understood as an example. It is also possible that both sub-functions each receive the same parameters, or any assignments of parameters. Also, a variety of sub-functions (more than the two security paths shown 108 . 109 ), which access the same or different parameters and have the same or different processing means (microcontroller, processor, FPGA, ASIC, programmable logic, etc.).

Beispielhaft können unterschiedliche Teilfunktionen mit unterschiedlicher Hardware realisiert sein, z. B. kann in einem Sicherheitspfad eine einfachere bzw. kostengünstigere Hardware eingesetzt werden, die z. B. eine Sicherheitsmaßnahme mit ermöglichendem Charakter bereitstellt, während in dem anderen Sicherheitspfad eine aufwändigere Hardware eine komplexere Auswertung durchführt, ob oder ob nicht die Aktivierung (z. B. eines Airbags) erfolgen soll.By way of example, different subfunctions can be implemented with different hardware, eg. B. can be used in a safety path easier or cheaper hardware that z. B. provides a security measure with ermöglichendem character, while in the other security path more expensive hardware performs a more complex evaluation, whether or not the activation (eg., An airbag) should be made.

Beide Sicherheitspfade 108, 109 liefern unabhängig voneinander ggf. ein Aktivierungssignal; die Aktivierungssignale werden in einer Einheit 112 miteinander kombiniert, d. h. logisch UND verknüpft, so dass ein Aktor 113 nur ausgelöst wird, wenn die Signale beider Sicherheitspfade 108 und 109 übereinstimmend eine Aktivierung vorschlagen.Both security paths 108 . 109 provide independently, if necessary, an activation signal; the activation signals are in one unit 112 combined, ie logically AND linked, so that an actor 113 only triggered when the signals of both safety paths 108 and 109 agree to suggest an activation.

Hierbei sein angemerkt, dass die Einheit 112 auch eine andere logische Verknüpfung aufweisen kann. Z. B. kann es bei einer sicherheitsrelevanten Funktion mittels der Sicherheitspfade nötig sein, dass mindestens ein Sicherheitspfad eine Aktivierung des Aktors 113 durchführen kann. In diesem Fall kann die Einheit 112 die Sicherheitspfade logisch ODER verknüpfen. Ergänzend sei darauf hingewiesen, dass der Aktor 113 dazu eingerichtet sein kann, eine Funktion oder Komponente in einen sicheren Zustand zu überführen. Insbesondere in diesem Fall kann die ODER-Verknüpfung vorteilhaft sein, weil jedes Aktivierungssignal jedes Sicherheitspfads den sicheren Zustand einleitet.It should be noted that the unit 112 can also have a different logical connection. For example, in the case of a safety-related function by means of the safety paths, it may be necessary for at least one safety path to activate the actuator 113 can perform. In this case, the unit 112 logically OR the security paths. In addition, it should be noted that the actor 113 be configured to transfer a function or component to a secure state. Especially in this case, the OR combination advantageous because each activation signal of each safety path initiates the safe state.

Weiterhin ist eine Einheit 114 zur Erfassung und/oder Auswertung von Aktivierungssignalen der beiden Sicherheitspfade 108, 109 vorgesehen. Die Erfassung kann z. B. am Ausgang des Mikrokontrollers 110 oder des ASICs 111 erfolgen. Die Einheit 114 speichert die Aktivierungssignale sowie die Nicht-Aktivierungssignale ab, so dass hieraus insbesondere im Zusammenhang mit weiteren Daten, z. B. einer erfassten Fahrstrecke, feststellbar ist, ob die Auslegung der sicherheitsrelevanten Funktion einer Vorgabe entspricht. Anhand der von der Einheit 114 erfassten Daten ist es z. B. möglich, alle Signale auszuwerten, bei denen mindestens ein Sicherheitspfad 108, 109 eine Aktivierung vorschlägt. Z. B. kann mithilfe von zusätzlich abgespeicherten Parametern das Ereignis ausgewertet werden und diese Auswertung entsprechend zur Einstellung der Auslöseschwellen der Sicherheitspfade 108, 109 verwendet werden. Bei den vorstehend genannten abgespeicherten Parametern handelt es sich z. B. um einen zeitlichen Verlauf der Parameter 101 bis 107 über die Fahrstrecke eines Kraftfahrzeugs, wobei die Fahrstrecke beispielsweise mittels GPS-Koordinaten eines Navigationssystems ermittelt und abgespeichert wird.Furthermore, a unit 114 for detecting and / or evaluating activation signals of the two security paths 108 . 109 intended. The detection can z. B. at the output of the microcontroller 110 or the ASIC 111 respectively. The unit 114 stores the activation signals and the non-activation signals, so that in particular in connection with other data, eg. B. a detected route, it can be determined whether the design of the safety-relevant function corresponds to a specification. On the basis of the unit 114 recorded data, it is z. B. possible to evaluate all signals in which at least one safety path 108 . 109 an activation suggests. For example, with the aid of additionally stored parameters, the event can be evaluated and this evaluation can be used to set the triggering thresholds of the safety paths 108 . 109 be used. The above-mentioned stored parameters are, for. B. a temporal course of the parameters 101 to 107 over the route of a motor vehicle, wherein the route is determined and stored for example by means of GPS coordinates of a navigation system.

Weiterhin ist es möglich, dass die Sicherheitspfade 108, 109 mit jeweils einer geringeren Sicherheitsgüte eine höhere Sicherheitsgüte der gesamten sicherheitsrelevanten Funktion ermöglichen. Durch den hier vorgeschlagenen Ansatz kann weiterhin die Güte der sicherheitsrelevanten Funktion geeignet dokumentiert werden. Diese Transparenz ist geeignet, um die sicherheitsrelevante Funktion weiter zu verbessern und so auszulegen, dass sie z. B. noch besser auf das Fahrzeug oder den Fahrzeugtyp abgestimmt ist.Furthermore, it is possible that the security paths 108 . 109 each with a lower safety grade allow a higher level of safety of the entire safety-related function. Furthermore, the quality of the safety-relevant function can be suitably documented by the approach proposed here. This transparency is suitable for further improving the safety-relevant function and for it to be designed such that it can be used, for example. B. is even better matched to the vehicle or the vehicle type.

BezugszeichenlisteLIST OF REFERENCE NUMBERS

101101
Parameterparameter
102102
Parameterparameter
103103
Parameterparameter
104104
Parameterparameter
105105
Parameterparameter
106106
Parameterparameter
107107
Parameterparameter
108108
Sicherheitspfadsafety path
109109
Sicherheitspfadsafety path
110110
Mikrokontrollermicrocontroller
111111
ASICASIC
112112
Einheit (zur logischen Verknüpfung der Aktivierungssignale der Sicherheitspfade 108, 109)Unit (for logical linking of the activation signals of the safety paths 108 . 109 )
113113
Aktoractuator
114114
Einheit zur Erfassung und/oder Auswertung der AktivierungssignaleUnit for detecting and / or evaluating the activation signals

ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.

Zitierte Nicht-PatentliteraturCited non-patent literature

  • IEC 61508 [0039] IEC 61508 [0039]
  • ISO 26262 [0039] ISO 26262 [0039]
  • IEC 61508 [0052] IEC 61508 [0052]
  • ISO 26262 [0052] ISO 26262 [0052]

Claims (15)

Verfahren zur Erfassung von Daten in einem redundanten System umfassend mindestens zwei Sicherheitspfade (108, 109), – bei dem abhängig von Eingangsparametern (101107) mindestens einer der mindestens zwei Sicherheitspfade (108, 109) aktiviert wird; – bei dem die Aktivierung des mindestens einen Sicherheitspfads erfasst (114) wird.Method for collecting data in a redundant system comprising at least two security paths ( 108 . 109 ), - depending on the input parameters ( 101 - 107 ) at least one of the at least two security paths ( 108 . 109 ) is activated; In which the activation of the at least one security path is detected ( 114 ) becomes. Verfahren nach Anspruch 1, bei dem das redundante System mindestens ein Steuergerät oder mindestens eine Steuerfunktionalität umfasst.The method of claim 1, wherein the redundant system comprises at least one controller or at least one control functionality. Verfahren nach einem der vorhergehenden Ansprüche, bei dem das redundante System mindestens einen Aktor (113) umfasst, der über eine geeignete Verknüpfung der Sicherheitspfade (108, 109) aktiviert oder deaktiviert wird.Method according to one of the preceding claims, in which the redundant system has at least one actuator ( 113 ), which is accessible via an appropriate linkage of the security paths ( 108 . 109 ) is activated or deactivated. Verfahren nach einem der vorhergehenden Ansprüche, bei dem mit der Aktivierung des mindestens einen Sicherheitspfads die Eingangsparameter oder ein Teil der Eingangsparameter erfasst werden.Method according to one of the preceding claims, in which the activation of the at least one safety path, the input parameters or a part of the input parameters are detected. Verfahren nach einem der vorhergehenden Ansprüche, bei dem das System anhand der erfassten Daten eingestellt wird.Method according to one of the preceding claims, in which the system is set on the basis of the acquired data. Verfahren nach einem der vorhergehenden Ansprüche, bei dem die Daten erfasst werden während des Betriebs des Systems und/oder während der Erprobung des Systems.Method according to one of the preceding claims, wherein the data is detected during the operation of the system and / or during the testing of the system. Verfahren nach einem der vorhergehenden Ansprüche, bei dem die erfassten Daten gespeichert werden.Method according to one of the preceding claims, in which the acquired data are stored. Verfahren nach einem der vorhergehenden Ansprüche, bei dem die mindestens zwei Sicherheitspfade unterschiedliche Eingangsparameter auswerten.Method according to one of the preceding claims, in which the at least two safety paths evaluate different input parameters. Verfahren nach einem der vorhergehenden Ansprüche, bei dem die mindestens zwei Sicherheitspfade mit unterschiedlicher Hardware ausgeführt sind.Method according to one of the preceding claims, in which the at least two security paths are designed with different hardware. Verfahren nach einem der vorhergehenden Ansprüche, bei dem eine Dauer der Aktivierung des mindestens einen Sicherheitspfads erfasst wird.Method according to one of the preceding claims, in which a duration of activation of the at least one safety path is detected. Verfahren nach einem der vorhergehenden Ansprüche, bei dem eine Häufigkeit der Aktivierung des mindestens einen Sicherheitspfads erfasst wird.Method according to one of the preceding claims, in which a frequency of activation of the at least one safety path is detected. Verfahren nach einem der vorhergehenden Ansprüche, bei dem die mindestens zwei Sicherheitspfade gleiche oder unterschiedliche Sicherheitsguten aufweisen.Method according to one of the preceding claims, in which the at least two security paths have identical or different security goods. Verfahren nach einem der vorhergehenden Ansprüche, bei dem das redundante System ein System oder eine Funktion in einem Kraftfahrzeug ist.Method according to one of the preceding claims, wherein the redundant system is a system or a function in a motor vehicle. Vorrichtung zur Erfassung von Daten in einem redundanten System – umfassend mindestens zwei Sicherheitspfade, – bei der abhängig von Eingangsparametern mindestens einer der mindestens zwei Sicherheitspfade aktivierbar ist; – bei der die Aktivierung des mindestens einen Sicherheitspfads erfassbar ist.Device for collecting data in a redundant system Comprising at least two security paths, - In which dependent on input parameters of at least one of the at least two security paths can be activated; - In which the activation of the at least one security path is detected. Fahrzeug umfassend mindestens eine Vorrichtung gemäß Anspruch 14.Vehicle comprising at least one device according to claim 14.
DE102009054106A 2009-11-20 2009-11-20 Method for detecting data in redundant system in motor vehicle, involves activating safety path depending on input parameters, detecting activation of safety path, and activating or deactivating actuator of redundant system Ceased DE102009054106A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102009054106A DE102009054106A1 (en) 2009-11-20 2009-11-20 Method for detecting data in redundant system in motor vehicle, involves activating safety path depending on input parameters, detecting activation of safety path, and activating or deactivating actuator of redundant system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102009054106A DE102009054106A1 (en) 2009-11-20 2009-11-20 Method for detecting data in redundant system in motor vehicle, involves activating safety path depending on input parameters, detecting activation of safety path, and activating or deactivating actuator of redundant system

Publications (1)

Publication Number Publication Date
DE102009054106A1 true DE102009054106A1 (en) 2011-05-26

Family

ID=43902052

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102009054106A Ceased DE102009054106A1 (en) 2009-11-20 2009-11-20 Method for detecting data in redundant system in motor vehicle, involves activating safety path depending on input parameters, detecting activation of safety path, and activating or deactivating actuator of redundant system

Country Status (1)

Country Link
DE (1) DE102009054106A1 (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2693278A3 (en) * 2012-07-31 2015-12-23 Audi Ag Method for efficiently securing the safety-critical functions of a control device and control device
DE102015203252A1 (en) 2015-02-24 2016-08-25 Zf Friedrichshafen Ag Safety device and method for transferring an actuator system to a safe state, actuator system and method for operating an actuator system
DE102015203250A1 (en) * 2015-02-24 2016-08-25 Zf Friedrichshafen Ag Safety device and method for transferring an actuator system to a safe state, actuator system and method for operating an actuator system
DE102019133582A1 (en) * 2019-12-09 2021-06-10 Joyson Safety Systems Germany Gmbh Sensor device for a steering device of a motor vehicle

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4446829A1 (en) * 1993-12-31 1995-07-06 Eberspaecher J Road vehicle heating system
DE19834870A1 (en) * 1998-08-01 2000-02-03 Bosch Gmbh Robert Steering adjuster with electric motor, especially for steer-by-wire use in cars has steering adjuster divided into two diversely redundant systems and control system with two diversely
DE102005030770A1 (en) * 2004-07-27 2006-03-23 Conti Temic Microelectronic Gmbh Switching system for motor vehicle safety systems has control unit and in order to generate test control signal during test phase, test input signal for first and second control unit is generated

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4446829A1 (en) * 1993-12-31 1995-07-06 Eberspaecher J Road vehicle heating system
DE19834870A1 (en) * 1998-08-01 2000-02-03 Bosch Gmbh Robert Steering adjuster with electric motor, especially for steer-by-wire use in cars has steering adjuster divided into two diversely redundant systems and control system with two diversely
DE102005030770A1 (en) * 2004-07-27 2006-03-23 Conti Temic Microelectronic Gmbh Switching system for motor vehicle safety systems has control unit and in order to generate test control signal during test phase, test input signal for first and second control unit is generated

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
IEC 61508
ISO 26262

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2693278A3 (en) * 2012-07-31 2015-12-23 Audi Ag Method for efficiently securing the safety-critical functions of a control device and control device
US9335756B2 (en) 2012-07-31 2016-05-10 Audi Ag Method for the efficient protection of safety-critical functions of a controller and a controller
DE102015203252A1 (en) 2015-02-24 2016-08-25 Zf Friedrichshafen Ag Safety device and method for transferring an actuator system to a safe state, actuator system and method for operating an actuator system
DE102015203250A1 (en) * 2015-02-24 2016-08-25 Zf Friedrichshafen Ag Safety device and method for transferring an actuator system to a safe state, actuator system and method for operating an actuator system
DE102019133582A1 (en) * 2019-12-09 2021-06-10 Joyson Safety Systems Germany Gmbh Sensor device for a steering device of a motor vehicle

Similar Documents

Publication Publication Date Title
DE10243713B4 (en) Redundant control unit arrangement
DE112018002176B4 (en) Abnormality determination device, abnormality determination method, and abnormality determination program
DE102006013381B4 (en) Control device for a motor vehicle safety system
DE10361931A1 (en) Fault-tolerant driving stability control
WO2013010643A1 (en) Error avoidance in the gesture-controlled opening of a motor vehicle door and boot
EP2099667B2 (en) Method for ensuring or maintaining the function of a complex complete safety-critical system
EP2078253A2 (en) Method and device for error management
DE102017209314A1 (en) Method for operating a parking brake and control unit for operating a parking brake
DE102015224696A1 (en) Risk-based control of a motor vehicle
DE102009054106A1 (en) Method for detecting data in redundant system in motor vehicle, involves activating safety path depending on input parameters, detecting activation of safety path, and activating or deactivating actuator of redundant system
DE102008009652A1 (en) Monitoring device and monitoring method for a sensor, and sensor
EP3473512A1 (en) Functional module, control unit for an operating assisting system and working device
DE102017103724B4 (en) Device and method for controlling a sensor component of a safety system of an object, control system for an automotive vehicle and sensor component for a safety system of an automotive vehicle
DE102007029116A1 (en) Method for operating a microcontroller and an execution unit and a microcontroller and an execution unit
EP1631482A1 (en) Device and method for braking a vehicle
EP1649373A2 (en) Method and device for monitoring a distributed system
DE102007046706A1 (en) Control device for vehicles
DE10252990B3 (en) Control unit for a motor vehicle occupant safety system, especially an airbag system, has additional AND gates in addition to dual controlling computers to ensure reliable detection and resetting of a faulty computer unit
DE112019007286T5 (en) IN-VEHICLE CONTROL DEVICE AND IN-VEHICLE CONTROL SYSTEM
DE102010028080A1 (en) Method and apparatus for generating a low G acceleration signal
DE10002519C1 (en) Error prevention method for signal processing system e.g. in automobile
DE102015215847B3 (en) Device and method for increasing the functional safety in a vehicle.
DE102015119611B4 (en) Improving the diagnosability of fail-operational systems
DE102007004941A1 (en) Electromechanical parking brake system and electronic system for operating the same
DE10029617B4 (en) Method for operating a locking system

Legal Events

Date Code Title Description
OM8 Search report available as to paragraph 43 lit. 1 sentence 1 patent law
R012 Request for examination validly filed
R012 Request for examination validly filed

Effective date: 20150226

R002 Refusal decision in examination/registration proceedings
R003 Refusal decision now final