DE102009054106A1 - Method for detecting data in redundant system in motor vehicle, involves activating safety path depending on input parameters, detecting activation of safety path, and activating or deactivating actuator of redundant system - Google Patents
Method for detecting data in redundant system in motor vehicle, involves activating safety path depending on input parameters, detecting activation of safety path, and activating or deactivating actuator of redundant system Download PDFInfo
- Publication number
- DE102009054106A1 DE102009054106A1 DE102009054106A DE102009054106A DE102009054106A1 DE 102009054106 A1 DE102009054106 A1 DE 102009054106A1 DE 102009054106 A DE102009054106 A DE 102009054106A DE 102009054106 A DE102009054106 A DE 102009054106A DE 102009054106 A1 DE102009054106 A1 DE 102009054106A1
- Authority
- DE
- Germany
- Prior art keywords
- security
- safety
- redundant system
- activation
- paths
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Ceased
Links
Images
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60T—VEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
- B60T7/00—Brake-action initiating means
- B60T7/12—Brake-action initiating means for automatic initiation; for initiation not subject to will of driver or passenger
- B60T7/16—Brake-action initiating means for automatic initiation; for initiation not subject to will of driver or passenger operated by remote control, i.e. initiating means not mounted on vehicle
- B60T7/18—Brake-action initiating means for automatic initiation; for initiation not subject to will of driver or passenger operated by remote control, i.e. initiating means not mounted on vehicle operated by wayside apparatus
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/0205—Diagnosing or detecting failures; Failure detection models
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B23/00—Testing or monitoring of control systems or parts thereof
- G05B23/02—Electric testing or monitoring
- G05B23/0205—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
- G05B23/0218—Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults
- G05B23/0224—Process history based detection method, e.g. whereby history implies the availability of large amounts of data
- G05B23/0227—Qualitative history assessment, whereby the type of data acted upon, e.g. waveforms, images or patterns, is not relevant, e.g. rule based assessment; if-then decisions
- G05B23/0237—Qualitative history assessment, whereby the type of data acted upon, e.g. waveforms, images or patterns, is not relevant, e.g. rule based assessment; if-then decisions based on parallel systems, e.g. comparing signals produced at the same time by same type systems and detect faulty ones by noticing differences among their responses
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
- G05B9/03—Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/0796—Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1629—Error detection by comparing the output of redundant processing systems
- G06F11/1641—Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Abstract
Description
Die Erfindung betrifft ein Verfahren und eine Vorrichtung zur Erfassung von Daten in einem redundanten System.The invention relates to a method and a device for detecting data in a redundant system.
Fahrzeuge werden nach einem Anforderungskatalog entwickelt. Durch den ständig wachsenden Einsatz von Elektronik in dem Fahrzeug werden einem Benutzer eine Vielzahl von Funktionen und Einstellmöglichkeiten angeboten. Auch sicherheitsrelevante Funktionen des Fahrzeugs, z. B. betreffend Airbag, Antiblockiersystem (ABS), elektronisches Stabilitätsprogramm (ESP), Aktivlenkung (AFS, Active Front Steering), erfordern eine elektronische Ansteuerung und/oder Auswertung. Dabei nehmen die Anforderungen, z. B. Komplexität, Vernetzung und Kommunikation, an die Komponenten zu. Hierbei ist es von Bedeutung, dass trotz steigender Anforderungen die Komponenten, z. B. Steuergeräte, nach vorgegebenen Sicherheitsvorschriften gefertigt werden und dass die Funktion der Komponenten unter Einhaltung vorgegebener Sicherheitsvorschriften erfolgt.Vehicles are developed according to a catalog of requirements. Due to the ever-increasing use of electronics in the vehicle a variety of functions and settings are offered to a user. Also safety-related functions of the vehicle, eg. B. concerning airbag, anti-lock braking system (ABS), electronic stability program (ESP), active steering (AFS, Active Front Steering), require electronic control and / or evaluation. The requirements, z. As complexity, networking and communication, to the components. It is important that despite increasing demands, the components, for. As control units are manufactured according to specified safety regulations and that the function of the components is carried out in compliance with specified safety regulations.
Beispielsweise dient ein sogenannter Sicherheitsnachweis dazu, dass für eine Komponente, z. B. ein Steuergerät, oder einen Verbund aus mehreren Komponenten eine Dokumentation von durchgeführten Maßnahmen erfolgt, die zum Erreichen einer vorgegebenen (z. B. notwendigen) Sicherheit erforderlich sind.For example, a so-called proof of safety serves that for a component, for. As a control unit, or a composite of several components is a documentation of actions performed, which are required to achieve a given (eg necessary) security.
So kann ein bestimmtes Maß an Sicherheit mittels mindestens eines der folgenden Ansätze zur Fehlerbeherrschung erreicht werden:
- a) Komponenten (oder Teilsysteme) werden redundant ausgelegt.
- b) Es erfolgt eine Aufteilung von Funktionen und/oder Komponenten in sicherheitsrelevante und nicht-sicherheitsrelevante Teilfunktionen oder Teilsysteme.
- c) Die Komponenten verfügen jeweils über Diagnosemechanismen, insbesondere zur Eigendiagnose. Entsprechend kann je nach Anforderung eine hohe Diagnoseabdeckung erreicht werden.
- a) Components (or subsystems) are designed redundantly.
- b) A subdivision of functions and / or components into safety-related and non-safety-relevant subfunctions or subsystems takes place.
- c) The components each have diagnostic mechanisms, in particular for self-diagnosis. Accordingly, depending on the requirement, a high level of diagnostic coverage can be achieved.
Somit können beispielsweise Fehler oder Ausfälle während des eigentlichen Betriebs der Komponente als auch Ausfälle auf Grund systematischer Fehler, wie sie z. B. bei der Entwicklung, Produktion, oder Wartung auftreten können, erkannt werden.Thus, for example, errors or failures during the actual operation of the component as well as failures due to systematic errors, such as. B. in development, production, or maintenance can be detected.
Insbesondere gibt es die folgenden Arten von Sicherheitsmaßnahmen:
- 1) Eine Sicherheitsmaßnahme, die bewirkt, dass eine sicherheitskritische Systemfunktion nicht aus- oder weitergeführt wird. Beispielsweise kann eine Überwachungskomponente (”Watchdog”) das Gesamtsystem bei Erkennung eines Fehlers in einen sicheren Zustand überführen, z. B. abschalten.
- 2) Eine Sicherheitsmaßnahme mit einem ermöglichendem Charakter: So kann über eine Aktivierung der Sicherheitsmaßnahme bewirkt werden, dass eine sicherheitskritische Systemfunktion ausgeführt wird.
- 1) A security measure which means that a safety-critical system function is not executed or continued. For example, a monitoring component ("watchdog") can transform the entire system into a safe state upon detection of an error, eg. B. turn off.
- 2) A security measure with an enabling character: For example, activation of the security measure can cause a safety-critical system function to be executed.
Eine Beschreibung aller zum Erreichen der Sicherheit einer Funktion geeigneten oder notwendigen Sicherheitsmaßnahmen erfolgt in einem sogenannten Sicherheitskonzept.A description of all security measures that are suitable or necessary for achieving the security of a function takes place in a so-called security concept.
Hierbei ist es grundsätzlich problematisch, dass z. B. bei einer redundanten Auslegung einer Komponente (z. B. eines Steuergeräts) sich widersprechende Sicherheitsanforderungen vorliegen können. Im Falle eines Airbag-Steuergeräts kann z. B. einerseits die Sicherheitsanforderung ”Verhindern einer Fehlauslösung des Airbags” und andererseits die Sicherheitsanforderung ”Sicherstellen der Auslösung des Airbags bei einem Unfall” vorliegen.Here, it is fundamentally problematic that z. B. in a redundant design of a component (eg., A control device) may be conflicting security requirements. In the case of an airbag control unit z. B. on the one hand, the safety requirement "preventing a false trip of the airbag" and on the other hand, the safety requirement "ensure the deployment of the airbag in an accident" are present.
Somit besteht einerseits ein Zielkonflikt zwischen der Verfügbarkeit und der Sicherheit der Komponente bzw. Funktion. Werden Sicherheitsmaßnahme zu restriktiv ausgelegt, steigt zwar die Sicherheit der Gesamtfunktion bei gleichzeitiger Abnahme der Verfügbarkeit der Funktion. Wird umgekehrt bei entsprechender Auslegung der Sicherheitsmaßnahmen die Verfügbarkeit der Funktion erhöht, sinkt die Sicherheit der Komponente bzw. Funktion.Thus, on the one hand there is a conflict of objectives between the availability and the security of the component or function. If the security measure is designed to be too restrictive, the security of the overall function increases while the availability of the function decreases. If, on the other hand, the availability of the function is increased with a corresponding design of the safety measures, the safety of the component or function decreases.
Auch ist es ein Problem, dass aufgrund geringer konkreter Daten und/oder geringer Felderfahrung zum Zeitpunkt der Entwicklung neuer Systeme Abschätzungen und Vermutungen hinsichtlich der Auslegung von Sicherheitsmaßnahmen bzw. der Notwendigkeit von (ggf. zusätzlichen) Sicherheitsmaßnahmen vorgenommen werden.It is also a problem that due to poor concrete data and / or low field experience at the time of development of new systems, estimates and assumptions are made regarding the design of security measures or the need for (possibly additional) security measures.
Eine derartige Abschätzung bzw. Vermutung kann u. U. recht ungenau sein und z. B. zu einer zu konservativen Auslegung der Komponente bzw. Funktion führen.Such an estimate or assumption may u. U. be quite inaccurate and z. B. lead to a too conservative interpretation of the component or function.
Die Aufgabe der Erfindung besteht darin, die vorstehend genannten Nachteile zu vermeiden und insbesondere eine Möglichkeit zur effizienten Auslegung einer sicherheitsrelevanten Komponente und/oder Funktion zu schaffen. Beispielsweise wird hierdurch die Qualität der Auslegung von Sicherheitsmaßnahmen verbessert.The object of the invention is to avoid the abovementioned disadvantages and, in particular, to create a possibility for the efficient design of a safety-relevant component and / or function. For example, this improves the quality of the design of security measures.
Diese Aufgabe wird gemäß den Merkmalen der unabhängigen Patentansprüche gelöst. Weiterbildungen der Erfindung ergeben sich auch aus den abhängigen Ansprüchen.This object is achieved according to the features of the independent claims. Further developments of the invention will become apparent from the dependent claims.
Zur Lösung der Aufgabe wird ein Verfahren zur Erfassung von Daten in einem redundanten System vorgeschlagen, umfassend mindestens zwei Sicherheitspfade,
- – bei dem abhängig von Eingangsparametern mindestens einer der mindestens zwei Sicherheitspfade aktiviert wird;
- – bei dem die Aktivierung des mindestens einen Sicherheitspfads erfasst wird.
- In which, depending on input parameters, at least one of the at least two security paths is activated;
- - In which the activation of the at least one security path is detected.
Für die Auslegung der Sicherheitsmaßnahmen mit ermöglichendem Charakter ist es von Vorteil, zu wissen, wie oft die Sicherheitsmaßnahme im ”normalen Betrieb” aktiviert wurde bzw. wird. Der hier vorliegende Ansatz stellt eine derartige Größe bereit und erlaubt somit vorteilhaft eine robuste und gleichzeitig nicht unnötig restriktive Auslegung der Sicherheitsmaßnahme. Hierbei wird die Effizienz des Systems erhöht und zusätzliche Kosten für weitere Test- und Absicherungsmaßnahmen (z. B. in Form von ansonsten anfallenden Nacharbeiten für unpassend ausgelegte Sicherheitsmaßnahmen) können eingespart werden.For the interpretation of the safety measures with an enabling character, it is advantageous to know how often the safety measure has been or will be activated in "normal operation". The present approach provides such a size and thus advantageously allows a robust and at the same time not unnecessarily restrictive interpretation of the security measure. This increases the efficiency of the system and saves additional costs for further testing and safeguarding measures (eg in the form of otherwise required rework for inappropriately designed security measures).
Jeder Sicherheitspfad entspricht z. B. einer Sicherheitsmaßnahme bzw. einer Teilsicherheitsmaßnahme des Systems. Bei der Sicherheitsmaßnahme kann es sich um eine ermöglichende Maßnahme oder eine verbietende (deaktivierende) Maßnahme handeln. Im ersten Fall ermöglicht der Sicherheitspfad eine Aktivierung des sicherheitsrelevanten Systems falls auch der andere Sicherheitspfad (im Falle zweier Sicherheitspfade) die Aktivierung vorschlägt. Somit sind im Ergebnis die Sicherheitspfade logisch UND verknüpft. Alternativ kann jeder Sicherheitspfad verhindern, dass ein sicherheitsrelevantes System aktiviert wird; somit reicht es auch, wenn ein einziger der mehreren Sicherheitspfade ein Verbot zur Aktivierung anzeigt. Dies entspricht einer logischen NICHT-ODER-Verknüpfung.Each safety path corresponds to z. B. a security measure or a partial safety measure of the system. The security measure may be an enabling measure or a prohibiting (disabling) measure. In the first case, the security path allows the security-relevant system to be activated if the other security path (in the case of two security paths) also proposes the activation. Thus, as a result, the security paths are logically AND linked. Alternatively, each safety path can prevent a safety-related system from being activated; Thus, it is sufficient if a single one of the multiple security paths indicates a ban on activation. This corresponds to a logical NOR operation.
Hierbei sei angemerkt, dass die Aktivierung des mindestens einen Sicherheitspfads einem beliebigen vorgegebenen Ereignis entsprechen kann. Dieses Ereignis wird geeignet erfasst. Beispielsweise kann die Aktivierung des Sicherheitspfads auch zu einer Deaktivierung eines Aktors führen. Insbesondere entspricht die Aktivierung des mindestens einen Sicherheitspfads einer Zustandsänderung des mindestens einen Sicherheitspfads.It should be noted that the activation of the at least one security path can correspond to any given event. This event is detected appropriately. For example, the activation of the security path can also lead to a deactivation of an actuator. In particular, the activation of the at least one safety path corresponds to a change of state of the at least one safety path.
Bei dem Sicherheitspfad kann es sich auch um einen Funktionspfad handeln, also um einen Pfad, der mit einer vorgegebenen Funktion assoziiert ist. Der Funktionspfad kann mit einem weiteren Sicherheitspfad kombiniert werden, so dass der Sicherheitspfad eine Aktivierung bzw. Deaktivierung eines Aktors sicherstellt, z. B. wenn zusätzlich zu bzw. unabhängig von dem Funktionspfad übereinstimmend mit diesem auch der Sicherheitspfad die Aktivierung bzw. Deaktivierung des Aktors vorschlägt.The security path can also be a function path, ie a path associated with a given function. The function path can be combined with another safety path, so that the safety path ensures activation or deactivation of an actuator, for. B. if in addition to or independent of the function path coinciding with this and the safety path proposes the activation or deactivation of the actuator.
Eine Weiterbildung ist es, dass das redundante System mindestens ein Steuergerät oder mindestens eine Steuerfunktionalität umfasst.A development is that the redundant system comprises at least one control unit or at least one control functionality.
Beispielsweise kann es sich bei dem Steuergerät um ein Steuergerät in einem Kraftfahrzeug handeln, z. B. ein Airbagsteuergerät, ein Steuergerät für ein Antiblockiersystem, ein Steuergerät für eine Aktivlenkung, ein Steuergerät für ein elektronisches Fahrstabilitätsprogramm, etc.For example, the controller may be a controller in a motor vehicle, e.g. As an airbag control unit, a control device for an anti-lock brake system, an active steering control unit, a control device for an electronic driving stability program, etc.
Eine andere Weiterbildung ist es, dass das redundante System mindestens einen Aktor umfasst, der über eine geeignete Verknüpfung der Sicherheitspfade aktiviert oder deaktiviert wird.Another development is that the redundant system comprises at least one actuator which is activated or deactivated via a suitable linkage of the safety paths.
Die Verknüpfung der Sicherheitspfade ist beispielsweise eine UND-Verknüpfung der von den Sicherheitspfaden bereitgestellten Aktivierungssignale. Auch andere logische Verknüpfungen, z. B. eine ODER-Verknüpfung oder eine NICHT-ODER-Verknüpfung sind möglich. Auch Kombinationen aus (beliebigen) logischen Verknüpfungen sind möglich, insbesondere bei einer Vielzahl von Sicherheitspfaden.The linking of the security paths is, for example, an AND operation of the activation signals provided by the security paths. Other logical links, such. As an OR or a NOR-OR are possible. Also, combinations of (arbitrary) logical operations are possible, especially with a variety of security paths.
Der mindestens eine Aktor kann ein beliebiger Aktor, insbesondere ein Aktor in einem Kraftfahrzeug, sein.The at least one actuator can be any actuator, in particular an actuator in a motor vehicle.
Insbesondere ist es eine Weiterbildung, dass mit der Aktivierung des mindestens einen Sicherheitspfads die Eingangsparameter oder ein Teil der Eingangsparameter erfasst werden.In particular, it is a development that the activation of the at least one safety path, the input parameters or a part of the input parameters are detected.
Auch ist es möglich, dass GPS-Daten zusammen mit der Aktivierung des mindestens einen Sicherheitspfads erfasst werden.It is also possible for GPS data to be detected together with the activation of the at least one safety path.
Auch ist es eine Weiterbildung, dass das System anhand der erfassten Daten eingestellt wird.It is also a development that the system is adjusted based on the data collected.
Insbesondere kann das System anhand der erfassten Daten geändert oder dimensioniert werden.In particular, the system can be changed or dimensioned based on the acquired data.
Ferner ist es eine Weiterbildung, dass die Daten erfasst werden während des Betriebs des Systems und/oder während der Erprobung des Systems.Further, it is a development that the data is collected during operation of the system and / or during the testing of the system.
Bei dem System handelt es sich vorzugweise um ein Fahrzeug oder ein Teil in einem Fahrzeug.The system is preferably a vehicle or a part in a vehicle.
Im Rahmen einer zusätzlichen Weiterbildung werden die erfassten Daten gespeichert.As part of an additional training, the collected data is stored.
Beispielsweise können die erfassten Daten zwischengespeichert werden zur späteren Verarbeitung und/oder Anpassung des redundanten Systems.For example, the acquired data can be buffered for later processing and / or adaptation of the redundant system.
Eine nächste Weiterbildung besteht darin, dass die mindestens zwei Sicherheitspfade unterschiedliche Eingangsparameter auswerten. A next development is that the at least two safety paths evaluate different input parameters.
Optional können die mehreren Sicherheitspfade auch die gleichen Eingangsparameter auswerten. Insbesondere können die mehreren Sicherheitspfade jeweils unterschiedliche Funktionen bereitstellen.Optionally, the multiple safety paths can also evaluate the same input parameters. In particular, the multiple security paths may each provide different functions.
Eine Ausgestaltung ist es, dass die mindestens zwei Sicherheitspfade mit unterschiedlicher Hardware ausgeführt sind.One embodiment is that the at least two security paths are designed with different hardware.
Optional können die mehreren Sicherheitspfade auch mit gleicher oder funktionsgleicher Hardware ausgestattet sein. Durch die unterschiedlichen Realisierungen der mehreren Sicherheitspfade ist es möglich, abhängig von dem jeweiligen Bearbeitungsaufwand kosteneffizient Teilfunktionen bereitzustellen. So kann z. B. in einem Sicherheitspfad ein ASIC eingesetzt werden, der kostengünstig ist und schnell geeignete Auswertungen durchführen kann; in einem zweiten Sicherheitspfad kann ein Prozessor mit geeigneter Beschattung vorhanden sein, der aufwändige Berechnungen (z. B. in Echtzeit) durchführt und entsprechend teurer als der oben genannte ASIC ist.Optionally, the multiple security paths can also be equipped with the same or functionally identical hardware. Due to the different implementations of the multiple security paths, it is possible to provide sub-functions cost-effectively depending on the respective processing complexity. So z. B. in a safety path an ASIC can be used, which is inexpensive and can quickly perform appropriate evaluations; in a second security path, a processor with suitable shading can be present which carries out complex calculations (eg in real time) and is correspondingly more expensive than the abovementioned ASIC.
Eine alternative Ausführungsform besteht darin, dass eine Dauer der Aktivierung des mindestens einen Sicherheitspfads erfasst wird.An alternative embodiment is that a duration of the activation of the at least one safety path is detected.
Eine nächste Ausgestaltung ist es, dass eine Häufigkeit der Aktivierung des mindestens einen Sicherheitspfads erfasst wird.A next embodiment is that a frequency of activation of the at least one security path is detected.
Auch ist es eine Ausgestaltung, dass die mindestens zwei Sicherheitspfade gleiche oder unterschiedliche Sicherheitsguten aufweisen.It is also an embodiment that the at least two security paths have the same or different security goods.
Die Sicherheitsgüte kann z. B. einer Einstufung gemäß den Normen
Eine weitere Ausgestaltung ist es, dass das redundante System ein System oder eine Funktion in einem Kraftfahrzeug ist.A further embodiment is that the redundant system is a system or a function in a motor vehicle.
Die vorstehend genannte Aufgabe wird auch gelöst durch eine Vorrichtung zur Erfassung von Daten in einem redundanten System
- – umfassend mindestens zwei Sicherheitspfade,
- – bei der abhängig von Eingangsparametern mindestens einer der mindestens zwei Sicherheitspfade aktivierbar ist;
- – bei der die Aktivierung des mindestens einen Sicherheitspfads erfassbar ist.
- Comprising at least two security paths,
- - In which dependent on input parameters of at least one of the at least two security paths can be activated;
- - In which the activation of the at least one security path is detected.
Auch wird die oben genannte Aufgabe gelöst durch ein Fahrzeug umfassend mindestens eine der hierin erläuterten Vorrichtungen.Also, the above object is achieved by a vehicle comprising at least one of the devices explained herein.
Ausführungsbeispiele der Erfindung werden nachfolgend anhand der Zeichnung dargestellt und erläutert.Embodiments of the invention are illustrated and explained below with reference to the drawing.
Es zeigt:It shows:
Es wird vorgeschlagen, dass mindestens eine Aktivierung einer Sicherheitsmaßnahme einer Komponente oder einer Funktion, insbesondere eines sicherheitsrelevanten Systems, erfasst wird. Eine solche Aktivierung kann z. B. abgespeichert, übertragen und/oder weiterverarbeitet werden. Insbesondere kann die Aktivierung der Sicherheitsmaßnahme während des normalen Betriebs der Komponente oder Funktion erfasst werden, z. B.
- – während einer Entwicklungsphase oder einer Erprobungsphase bzw.
- – während eines Feldbetriebs.
- During a development phase or a trial phase or
- During a field operation.
Die Komponente oder Funktion kann Sicherheitsanforderungen und/oder Sicherheitsguten unterliegen, die durch mindestens eine der Sicherheitsmaßnahmen mit ermöglichendem Charakter erfüllt wird.The component or function may be subject to safety requirements and / or safety requirements which are met by at least one of the safety measures of an enabling nature.
Bei der Sicherheitsmaßnahme mit ermöglichendem Charakter kann beispielsweise eine Absicherung eines Airbagsteuergeräts dahingehend erfolgen, dass ein unerwünschter Fehler ”Fehlauslösen des Airbags” durch eine redundante Aufteilung der Gesamtfunktionalität in zwei Sicherheitspfade vermieden wird. Vorzugsweise können die beiden Sicherheitspfade unterschiedliche Überwachungen durchführen, z. B. basierend auf unterschiedlichen Eingangsparametern. Das Airbagsteuergerät löst in diesem Beispiel nur dann aus, wenn beide Sicherheitspfade übereinstimmend die Aktivierung vorschlagen.In the security measure with ermöglichendem character, for example, a hedge of an airbag control unit to the effect that an undesirable error "false triggering of the airbag" is avoided by a redundant distribution of the total functionality in two safety paths. Preferably, the two security paths can perform different monitoring, z. B. based on different input parameters. The airbag control unit triggers in this example only if both safety paths consistently suggest the activation.
Insbesondere wird erfasst und/oder gespeichert, wie oft und/oder wie lange ein Sicherheitspfad aktiviert wird und/oder aktiviert ist.In particular, it is detected and / or stored how often and / or how long a safety path is activated and / or activated.
Die erfassten bzw. abgespeicherten Daten z. B. aus dem Erprobungs- oder Feldbetrieb können ausgewertet werden, wodurch
- a) ein Nachweis erbracht werden kann, dass die Komponente bzw. Funktion eine ausreichend robuste aber nicht unnötig restriktive Auslegung der Sicherheitsmaßnahme aufweist;
- b) ein Nachweis erbracht werden kann, dass eine ausreichende Sicherheit der Sicherheitsmaßnahme und/oder der Gesamtfunktion gegeben ist;
- c) ein Nachweis erbracht werden kann, dass eine Aufteilung der Gesamtfunktion in redundante Teilsysteme mit unterschiedlichen Sicherheitsguten funktioniert, insbesondere korrekt ist und eine entsprechende Gültigkeit aufweist.
- (a) evidence can be provided that the component or function has a sufficiently robust but not unnecessarily restrictive interpretation of the security measure;
- (b) proof can be provided that adequate safety of the safety measure and / or the overall function is ensured;
- c) proof can be provided that a division of the overall function into redundant subsystems with different safety goods functions, in particular is correct and has a corresponding validity.
Die vorstehend genannte Nachweise a) bis c) können einzeln oder in Kombination miteinander erbracht werden.The above evidence a) to c) can be provided individually or in combination with each other.
Die redundanten Komponenten können gleiche oder unterschiedliche Sicherheitsguten aufweisen. Die Sicherheitsgüte kann z. B. in Form einer SIL oder ASIL Einstufung gemäß den Normen
Hierbei ist es von Vorteil, dass bei der Aufteilung der Gesamtfunktionen in zumindest teilweise redundante Teilsysteme mit jeweils unterschiedlichen Sicherheitsguten diese Teilsysteme nur noch eine gegenüber der Anforderung an das Gesamtsystem reduzierte Sicherheitsgute aufweisen müssen. Somit ermöglicht die redundante Auslegung insgesamt eine kostengunstigere Implementierung der Gesamtfunktion.In this case, it is advantageous that when subdividing the overall functions into at least partially redundant subsystems, each with different security goods, these subsystems only have to have a security good reduced compared to the requirement for the overall system. Thus, the overall redundant design allows a more cost effective implementation of the overall function.
Durch die hier vorgeschlagene Lösung ist es möglich, sicherheitsrelevante Komponenten oder Funktionen, z. B. Steuergeräte, effizient zu entwickeln und dabei eine vorgegebene Sicherheitsgüte sicherzustellen.By the solution proposed here, it is possible safety-related components or functions, eg. B. ECUs to develop efficiently while ensuring a given security quality.
Ein weiterer Vorteil besteht darin, dass ein Sicherheitsnachweis erbracht werden kann. Somit ist z. B. eine Zertifizierung möglich oder es kann eine Sicherheitsgüte entsprechend dokumentiert werden.Another advantage is that a proof of security can be provided. Thus, z. As a certification or it can be documented a safety grade accordingly.
Um ein bestimmtes Maß an Sicherheit, z. B. eine vorgegebene Sicherheitsgüte, zu erreichen, ist die sicherheitsrelevante Funktion redundant in Form von Teilfunktionen ausgelegt. So kann die Entscheidung, ob oder ob nicht der Airbag gezündet wird davon abhängig gemacht werden, dass Teilfunktionen übereinstimmend eine Aktivierung anzeigen. Jede Teilfunktion stellt somit eine Sicherheitsmaßnahme mit einem ermöglichendem Charakter bereit.To a certain degree of security, z. As a given security quality to achieve, the safety-related function is designed redundantly in the form of sub-functions. Thus, the decision as to whether or not the airbag is fired may be made dependent on sub-functions consistently indicating activation. Each subfunction thus provides a security measure with an enabling character.
Die sicherheitsrelevante Funktion gemäß
Die vorstehende Zuordnung von Parametern zu Teilfunktionen ist nur beispielhaft zu verstehen. Es ist auch möglich, dass beide Teilfunktionen jeweils gleiche Parameter, oder beliebige Zuordnungen von Parametern erhalten. Auch können eine Vielzahl von Teilfunktionen (mehr als die zwei gezeigten Sicherheitspfade
Beispielhaft können unterschiedliche Teilfunktionen mit unterschiedlicher Hardware realisiert sein, z. B. kann in einem Sicherheitspfad eine einfachere bzw. kostengünstigere Hardware eingesetzt werden, die z. B. eine Sicherheitsmaßnahme mit ermöglichendem Charakter bereitstellt, während in dem anderen Sicherheitspfad eine aufwändigere Hardware eine komplexere Auswertung durchführt, ob oder ob nicht die Aktivierung (z. B. eines Airbags) erfolgen soll.By way of example, different subfunctions can be implemented with different hardware, eg. B. can be used in a safety path easier or cheaper hardware that z. B. provides a security measure with ermöglichendem character, while in the other security path more expensive hardware performs a more complex evaluation, whether or not the activation (eg., An airbag) should be made.
Beide Sicherheitspfade
Hierbei sein angemerkt, dass die Einheit
Weiterhin ist eine Einheit
Weiterhin ist es möglich, dass die Sicherheitspfade
BezugszeichenlisteLIST OF REFERENCE NUMBERS
- 101101
- Parameterparameter
- 102102
- Parameterparameter
- 103103
- Parameterparameter
- 104104
- Parameterparameter
- 105105
- Parameterparameter
- 106106
- Parameterparameter
- 107107
- Parameterparameter
- 108108
- Sicherheitspfadsafety path
- 109109
- Sicherheitspfadsafety path
- 110110
- Mikrokontrollermicrocontroller
- 111111
- ASICASIC
- 112112
-
Einheit (zur logischen Verknüpfung der Aktivierungssignale der Sicherheitspfade
108 ,109 )Unit (for logical linking of the activation signals of thesafety paths 108 .109 ) - 113113
- Aktoractuator
- 114114
- Einheit zur Erfassung und/oder Auswertung der AktivierungssignaleUnit for detecting and / or evaluating the activation signals
ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.
Zitierte Nicht-PatentliteraturCited non-patent literature
- IEC 61508 [0039] IEC 61508 [0039]
- ISO 26262 [0039] ISO 26262 [0039]
- IEC 61508 [0052] IEC 61508 [0052]
- ISO 26262 [0052] ISO 26262 [0052]
Claims (15)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102009054106A DE102009054106A1 (en) | 2009-11-20 | 2009-11-20 | Method for detecting data in redundant system in motor vehicle, involves activating safety path depending on input parameters, detecting activation of safety path, and activating or deactivating actuator of redundant system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102009054106A DE102009054106A1 (en) | 2009-11-20 | 2009-11-20 | Method for detecting data in redundant system in motor vehicle, involves activating safety path depending on input parameters, detecting activation of safety path, and activating or deactivating actuator of redundant system |
Publications (1)
Publication Number | Publication Date |
---|---|
DE102009054106A1 true DE102009054106A1 (en) | 2011-05-26 |
Family
ID=43902052
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102009054106A Ceased DE102009054106A1 (en) | 2009-11-20 | 2009-11-20 | Method for detecting data in redundant system in motor vehicle, involves activating safety path depending on input parameters, detecting activation of safety path, and activating or deactivating actuator of redundant system |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE102009054106A1 (en) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2693278A3 (en) * | 2012-07-31 | 2015-12-23 | Audi Ag | Method for efficiently securing the safety-critical functions of a control device and control device |
DE102015203252A1 (en) | 2015-02-24 | 2016-08-25 | Zf Friedrichshafen Ag | Safety device and method for transferring an actuator system to a safe state, actuator system and method for operating an actuator system |
DE102015203250A1 (en) * | 2015-02-24 | 2016-08-25 | Zf Friedrichshafen Ag | Safety device and method for transferring an actuator system to a safe state, actuator system and method for operating an actuator system |
DE102019133582A1 (en) * | 2019-12-09 | 2021-06-10 | Joyson Safety Systems Germany Gmbh | Sensor device for a steering device of a motor vehicle |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE4446829A1 (en) * | 1993-12-31 | 1995-07-06 | Eberspaecher J | Road vehicle heating system |
DE19834870A1 (en) * | 1998-08-01 | 2000-02-03 | Bosch Gmbh Robert | Steering adjuster with electric motor, especially for steer-by-wire use in cars has steering adjuster divided into two diversely redundant systems and control system with two diversely |
DE102005030770A1 (en) * | 2004-07-27 | 2006-03-23 | Conti Temic Microelectronic Gmbh | Switching system for motor vehicle safety systems has control unit and in order to generate test control signal during test phase, test input signal for first and second control unit is generated |
-
2009
- 2009-11-20 DE DE102009054106A patent/DE102009054106A1/en not_active Ceased
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE4446829A1 (en) * | 1993-12-31 | 1995-07-06 | Eberspaecher J | Road vehicle heating system |
DE19834870A1 (en) * | 1998-08-01 | 2000-02-03 | Bosch Gmbh Robert | Steering adjuster with electric motor, especially for steer-by-wire use in cars has steering adjuster divided into two diversely redundant systems and control system with two diversely |
DE102005030770A1 (en) * | 2004-07-27 | 2006-03-23 | Conti Temic Microelectronic Gmbh | Switching system for motor vehicle safety systems has control unit and in order to generate test control signal during test phase, test input signal for first and second control unit is generated |
Non-Patent Citations (2)
Title |
---|
IEC 61508 |
ISO 26262 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2693278A3 (en) * | 2012-07-31 | 2015-12-23 | Audi Ag | Method for efficiently securing the safety-critical functions of a control device and control device |
US9335756B2 (en) | 2012-07-31 | 2016-05-10 | Audi Ag | Method for the efficient protection of safety-critical functions of a controller and a controller |
DE102015203252A1 (en) | 2015-02-24 | 2016-08-25 | Zf Friedrichshafen Ag | Safety device and method for transferring an actuator system to a safe state, actuator system and method for operating an actuator system |
DE102015203250A1 (en) * | 2015-02-24 | 2016-08-25 | Zf Friedrichshafen Ag | Safety device and method for transferring an actuator system to a safe state, actuator system and method for operating an actuator system |
DE102019133582A1 (en) * | 2019-12-09 | 2021-06-10 | Joyson Safety Systems Germany Gmbh | Sensor device for a steering device of a motor vehicle |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE10243713B4 (en) | Redundant control unit arrangement | |
DE112018002176B4 (en) | Abnormality determination device, abnormality determination method, and abnormality determination program | |
DE102006013381B4 (en) | Control device for a motor vehicle safety system | |
DE10361931A1 (en) | Fault-tolerant driving stability control | |
WO2013010643A1 (en) | Error avoidance in the gesture-controlled opening of a motor vehicle door and boot | |
EP2099667B2 (en) | Method for ensuring or maintaining the function of a complex complete safety-critical system | |
EP2078253A2 (en) | Method and device for error management | |
DE102017209314A1 (en) | Method for operating a parking brake and control unit for operating a parking brake | |
DE102015224696A1 (en) | Risk-based control of a motor vehicle | |
DE102009054106A1 (en) | Method for detecting data in redundant system in motor vehicle, involves activating safety path depending on input parameters, detecting activation of safety path, and activating or deactivating actuator of redundant system | |
DE102008009652A1 (en) | Monitoring device and monitoring method for a sensor, and sensor | |
EP3473512A1 (en) | Functional module, control unit for an operating assisting system and working device | |
DE102017103724B4 (en) | Device and method for controlling a sensor component of a safety system of an object, control system for an automotive vehicle and sensor component for a safety system of an automotive vehicle | |
DE102007029116A1 (en) | Method for operating a microcontroller and an execution unit and a microcontroller and an execution unit | |
EP1631482A1 (en) | Device and method for braking a vehicle | |
EP1649373A2 (en) | Method and device for monitoring a distributed system | |
DE102007046706A1 (en) | Control device for vehicles | |
DE10252990B3 (en) | Control unit for a motor vehicle occupant safety system, especially an airbag system, has additional AND gates in addition to dual controlling computers to ensure reliable detection and resetting of a faulty computer unit | |
DE112019007286T5 (en) | IN-VEHICLE CONTROL DEVICE AND IN-VEHICLE CONTROL SYSTEM | |
DE102010028080A1 (en) | Method and apparatus for generating a low G acceleration signal | |
DE10002519C1 (en) | Error prevention method for signal processing system e.g. in automobile | |
DE102015215847B3 (en) | Device and method for increasing the functional safety in a vehicle. | |
DE102015119611B4 (en) | Improving the diagnosability of fail-operational systems | |
DE102007004941A1 (en) | Electromechanical parking brake system and electronic system for operating the same | |
DE10029617B4 (en) | Method for operating a locking system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OM8 | Search report available as to paragraph 43 lit. 1 sentence 1 patent law | ||
R012 | Request for examination validly filed | ||
R012 | Request for examination validly filed |
Effective date: 20150226 |
|
R002 | Refusal decision in examination/registration proceedings | ||
R003 | Refusal decision now final |