-
Die vorliegende Erfindung betrifft ein Verfahren zum Betreiben eines Mikrocontrollers, insbesondere eines Mikrocontrollers eines Automobils, und einen Mikrocontroller für ein Automobil. Insbesondere betrifft die vorliegende Erfindung ein Verfahren zum Betreiben eines Mikrocontrollers und einen Mikrocontroller, wobei an verschiedene Funktionen des Mikrocontrollers verschiedene Anforderungen bezüglich eines Sicherheitsstandards gesetzt werden. Insbesondere betrifft die vorliegende Erfindung. ein Verfahren zum Betreiben eines Mikrocontrollers und einen Mikrocontroller, wobei drei oder mehr verschiedene Sicherheitsniveaus von Funktionen, welche von dem Mikrocontroller ausgeführt werden, unterstützt werden.
-
Viele Funktionen eines Automobils, wie etwa eine Motorsteuerung, werden herkömmlicher Weise mittels eines Mikrocontrollers gesteuert. Dabei können die verschiedenen Funktionen mehr oder weniger sicherheitsrelevante Funktionen umfassen. Je höher das Sicherheitsniveau ist, desto höher sind die Zuverlässigkeitsanforderungen der Funktionen, welche von dem Mikrocontroller innerhalb des entsprechenden Sicherheitsniveaus ausgeführt werden. Insbesondere spezifiziert die sich entwickelnde Norm ISO 26262 sicherheitsrelevante elektrische/elektronische Systeme in Kraftfahrzeugen. Diese Norm wird verschiedene Sicherheitsanforderungsstufen spezifizieren, welche von A bis D eine immer höhere Sicherheitsanforderungsstufe benennen. Als nicht sicherheitsrelevant wird die Stufe QM (Quality Management) bezeichnet. Die Sicherheitsanforderungsstufen A bis D werden auch als ASIL A bis D (Automotive Safety Integrity Level A to D) bezeichnet.
-
Herkömmliche Mikrocontroller für ein Automobil erlauben jedoch bisher lediglich ein Betreiben von Funktionen innerhalb zweier Sicherheitsanforderungsklassen. Bisher gibt es kein Konzept zur Implementierung eines Mikrocontrollers, welcher mehr als zwei Sicherheitsanforderungsklassen unterstützt.
-
Es mag einen Bedarf für ein Verfahren zum Betreiben eines Mikrocontrollers und für einen Mikrocontroller geben, wobei der Mikrocontroller verschiedene Funktionen ausführen kann, welche mehr als zwei Sicherheitsanforderungsklassen zugeordnet sind. Weiterhin mag es einen Bedarf für ein Verfahren zum Betreiben eines Mikrocontrollers und für einen Mikrocontroller geben, wobei das Betreiben des Mikrocontrollers mit beschränkten Ressourcen und/oder Zeitanforderungen ermöglicht ist, um insbesondere der Norm ISO 26262 zu genügen.
-
Diese Aufgabe wird gelöst durch die Gegenstände der unabhängigen Patentansprüche. Vorteilhafte Ausführungsformen der vorliegenden Erfindung sind in den abhängigen Ansprüchen beschrieben.
-
Gemäß einer Ausführungsform ist ein Verfahren zum Betreiben eines Mikrocontrollers (insbesondere eines elektronischen Bausteins, eines Chip oder einer allgemeinen elektronischen Schaltung), insbesondere eines Mikrocontrollers eines Automobils bereitgestellt, wobei der Mikrocontroller einen ROM (Read Only Memory, das heißt einen Speicher aus dem lediglich gelesen werden kann) und einen RAM (Random Access Memory, das heißt einen Speicher, auf den sowohl geschrieben als auch aus dem gelesen werden kann) aufweist. Das Verfahren weist dabei auf: Ausführen, mittels des Mikrocontrollers, von ersten Funktionen (welche zum Steuern von weniger sicherheitsrelevanten Komponenten des Automobils ausgebildet sein können), zweiten Funktionen (welche zum Ansteuern oder Betreiben von sicherheitsrelevanteren Funktionen und/oder Komponenten des Automobils ausgebildet sein können) und dritten Funktionen (welche beispielsweise zum Betreiben, Ansteuern oder Betätigen von hochsicherheitsrelevanten Komponenten und/oder Prozeduren des Automobils ausgebildet sein können), wobei die ersten Funktionen eine geringste Zuverlässigkeitsanforderung (bezüglich Vermeidung systematischer Entwicklungsfehler und/oder Toleranz gegenüber zufälliger Hardwarefehler) und/oder bezüglich einer Genauigkeit, eines zeitlich definierten, insbesondere rechtzeitigen, Ausführens, und/oder bezüglich einer Ordnung eines Ausführens umfassen kann) und die dritten Funktionen eine höchste Zuverlässigkeitsanforderung (bezüglich Vermeidung systematischer Entwicklungsfehler und/oder Toleranz gegenüber zufälliger Hardwarefehler) und/oder bezüglich insbesondere Genauigkeit und/oder zeitlicher Korrektheit) haben. Dabei werden die dritten Funktionen entkoppelt (insbesondere unabhängig und/oder getrennt) von dem Ausführen der ersten und zweiten Funktionen derart ausgeführt, dass die dritten Funktionen störungsfrei von dem Ausführen der ersten und zweiten Funktionen ablaufen. Insbesondere soll vermieden werden, dass ein Fehler bei dem Ausführen der ersten oder zweiten Funktion zu einem Fehler bei dem Ausführen der dritten Funktionen führt. Weiterhin werden die zweiten Funktionen entkoppelt von dem Ausführen der ersten Funktionen derart ausgeführt, dass die zweiten Funktionen störungsfrei von dem Ausführen der ersten Funktionen ablaufen.
-
Weiter ist die Entkopplung des Ausführens der zweiten Funktionen von dem Ausführen der ersten Funktionen unter Verwendung eines ersten Mechanismus (welcher Verfahren und/oder Vorrichtungen umfassen kann) implementiert und die Entkopplung des Ausführens der dritten Funktionen von dem Ausführen der ersten und zweiten Funktionen ist unter Verwendung eines zweiten Mechanismus implementiert, wobei der erste Mechanismus verschieden ist von dem zweiten Mechanismus. Dabei kann der erste Mechanismus ein Vorsehen einer bestimmten Hardware und/oder insbesondere das Vorsehen eines bestimmten Verfahrens aufweisen, um zu erreichen, dass die zweiten Funktionen mit hoher Zuverlässigkeit korrekt ablaufen, insbesondere ohne Störung durch den Ablauf von den ersten Funktionen.
-
Damit ist ein Verfahren zum Betreiben eines Mikrocontrollers bereitgestellt, welcher das Ausführen von Funktionen mindestens dreier verschiedener Sicherheitsniveaus erlaubt. In anderen Ausführungsformen werden mehr als drei Sicherheitsniveaus unterstützt, wie etwa ein Sicherheitsniveau ASIL-A, ein Sicherheitsniveau ASIL-B, ein Sicherheitsniveau ASIL-C, und ein Sicherheitsniveau ASIL-D, sowie ein Niveau ohne Sicherheitsanforderung wie etwa QM. Insbesondere umfasst der erste Mechanismus Vorrichtungen, Verfahren und/oder eine Kombination derselben, welche weniger zeit- und/oder Ressourcen intensiv sind als die des zweiten Mechanismus und welche nicht zum Entkoppeln der dritten Funktionen von den ersten und zweiten Funktionen benutzt werden. Damit können Ressourcen und Prozessierungszeit eingespart werden.
-
Gemäß einer Ausführungsform erfordert der erste Mechanismus einen geringeren Speicherbedarf (insbesondere bezogen auf gleiche Funktionalität, wie etwa Speichern eines Wertes gegebener Länge), insbesondere im RAM, als der zweite Mechanismus. Insbesondere kann der erste Mechanismus auf ein doppeltes Speichern eines zu speichernden Werte verzichten und kann daher eine geringere Sicherheitsanforderung erfüllen als der zweite Mechanismus.
-
Gemäß einer Ausführungsform erfordert der erste Mechanismus einen geringeren Zeitbedarf (insbesondere bezogen auf eine gleiche Funktion, zum Beispiel Berechnen, Speichern, Lesen oder allgemein Prozessieren eines Wertes) als der zweite Mechanismus. Damit können insbesondere die zweiten Funktionen schneller und unter Verwendung von weniger Speicherplatz ausgeführt werden als die dritten Funktionen, welche zum Ausführen den zweiten Mechanismus verwenden. Damit kann der Mikrocontroller oder das Verfahren zum Betreiben des Mikrocontrollers verbessert werden.
-
Gemäß einer Ausführungsform weist der erste Mechanismus zur Kontrolle des ROM ein Berechnen einer Checksumme (was zum Beispiel einen Cycling Redundancy Check umfassen kann, ein Berechnen einer Zahl aus den Inhalten einer Anzahl von Speicherzellen mittels eines funktionalen Ausdrucks) über Adressbereiche des ROM, in denen Anweisungen zum Ausführen zweiter Funktionen gespeichert sind, unter Verwendung eines von dem Mikrocontroller bereitgestellten (Hardware) Befehls auf. Dabei kann der Mikrocontroller einen Satz von Hardwarebefehlen umfassen. Einer dieser Hardwarebefehle kann zum Berechnen der Checksumme verwendet werden. Damit ist es nicht erforderlich, eine Checksumme beispielsweise über eine Programmierung des Mikrocontrollers in aufwändiger Weise unter Verwendung lediglich grundlegender Hardwarebefehle zu berechnen. Somit ist die Berechnung der Checksumme der Adressbereiche des ROM, in denen Anweisungen zum Ausführen zweiter Funktionen gespeichert sind, beschleunigt und/oder erleichtert verglichen zu herkömmlichen Verfahren.
-
Gemäß einer Ausführungsform wird das Berechnen der Checksumme wiederkehrend durchgeführt, beispielsweise zyklisch, etwa alle 5 ms, alle 10 ms, alle 100 ms, alle 5 s, alle 30 s oder in anderen Intervallen. Damit kann eine hohe Zuverlässigkeit der Integrität des ROM sichergestellt werden bzw. Fehlfunktionen des ROM können schnell und zuverlässig erkannt werden.
-
Gemäß einer Ausführungsform weist der erste Mechanismus zur Kontrolle des Zugriffs auf den RAM ein Konfigurieren einer vom Mikrocontroller bereitgestellten RAM-Zugriffskontrolle zum Definieren von Adressbereichen des RAM, auf die zweite Funktionen jedoch nicht erste Funktionen berechtigt sind zuzugreifen, auf. Insbesondere kann die RAM-Zugriffskontrolle über einen oder mehr Hardwarebefehle konfigurierbar sein, welcher bzw. welche von dem Mikrocontroller bereitgestellt werden. Beispielsweise kann ein Bereich des RAM vor dem Zugriff von ersten Funktionen aus geschützt sein, womit ein unbeabsichtigtes Schreiben auf Bereiche des RAM, die für zweite Funktionen vorgesehen sind, verhindert werden kann.
-
Gemäß einer Ausführungsform erlaubt die RAM-Zugriffskontrolle eine Definition von mindestens drei Zugriffsbereichen. Während zwei Zugriffsbereiche ausreichen können, um einen Zugriff von ersten Funktionen und/oder zweiten auf gewisse Bereiche des RAM zu steuern oder aufzuteilen oder zuzuweisen, können mehr als zwei Zugriffsbereiche vorteilhaft sein, um mehr als drei Sicherheitsniveaus der Funktionen des Mikrocontrollers zu erlauben.
-
Gemäß einer Ausführungsform wird bei unberechtigtem Zugriff von einer der ersten Funktionen auf die Adressbereiche des RAM, auf die erste Funktionen nicht berechtigt sind zuzugreifen, ein Ereignis (wie etwa ein Alarm, ein Signal an eine Überwachungsfunktion oder ähnliches) ausgelöst. Ein unberechtigter Zugriff kann ein Fehler in dem Ablauf einer der ersten Funktionen anzeigen. Insbesondere kann der Ablauf einer der zweiten Funktionen durch diesen unberechtigten Zugriff gestört, behindert oder verändert werden. Das ausgelöste Ereignis ermöglicht (beispielsweise einer Überwachungsfunktion oder einem Benutzer), das Problem zu erkennen und Gegenmaßnahmen zu ergreifen.
-
Gemäß einer Ausführungsform weist der erste Mechanismus zur Kontrolle der Beschreibbarkeit des RAM einen RAM-Test auf, welcher zunächst RAM-Bereiche verlagert und anschließend den zu testenden Bereich mit definierten Werten beschreibt, zurückliest und auf Korrektheit prüft.
-
Der beschriebene RAM-Test verwendet zu Prüfung der Korrektheit insbesondere keine Checksumme, sondern liest lediglich den vorher geschriebenen Wert zurück. Tatsächlich wird bei dem Test nicht der Inhalt des RAM, sondern nur dessen Beschreibbarkeit getestet. Insbesondere kann im Zusammenspiel mit dem oben beschriebenen Schutz vor Überschreiben insgesamt eine vollständige Absicherung des RAM erhalten werden. Alternativ ist die Berechnung einer Checksumme über den zu testenden Bereich möglich.
-
Anstelle des RAM-Beschreibbarkeitstests (SW RAM-Test) kann auch der ECC (error correction code), welcher wiederum vom Mikrocontroller zur Verfügung gestellt wird, verwendet werden. Damit kann eine Ressourcenersparnis erhalten werden, da die Durchführung der ECC schneller ist als der RAM-Test. Dabei kann der ECC ein Fehlerreporting durchführen, um vor schlafenden Fehlern gesichert zu sein (Defekte Zelle wird bei jedem Schreiben ECC-korrigiert, bei einem Zweitfehler- Ausfall des ECC – könnte es zur Verletzung des Sicherheitsziels kommen).
-
Gemäß einer Ausführungsform weist der erste Mechanismus zur Kontrolle eines Ablaufs der zweiten Funktionen ein Kontrollieren des Ablaufs der zweiten Funktionen unter Verwendung einer Ablaufskontrollfunktion eines auf dem Mikrocontroller installierten Betriebssystems auf. Die Ablaufskontrollfunktion kann beispielsweise überprüfen, ob die zweiten Funktionen zu vorgegebenen Zeitpunkten oder Taktzyklen ablaufen.
-
Gemäß einer Ausführungsform werden die zweiten Funktionen zu vorgegebenen Taktzeiten ausgeführt, insbesondere unabhängig eines Fehlers bei Ablauf einer der ersten Funktionen. Zwar kann die Ausführung der zweiten Funktionen nicht immer sichergestellt werden, aber eine Verletzung der Zeitgrenzen (ein Nicht-Ausführen) der zweiten Funktionen kann erkannt werden. Damit ist ermöglicht, und analog wie oben beschrieben, eine Gegenmaßnahme einzuleiten. Damit kann sichergestellt werden, dass die sicherheitsrelevanteren zweiten Funktionen auch bei Auftreten eines Fehlers bei dem Ablauf einer der ersten Funktionen ausgeführt werden.
-
Gemäß einer Ausführungsform weist der zweite Mechanismus zur Kontrolle des Inhalts des RAM bei Schreibzugriff von dritten Funktionen auf den RAM zum Speichern eines Wertes, Speichern des Wertes in den RAM und Schreiben eines Komplements des Wertes in den RAM auf. Somit ist der RAM-Schutz gegen Überschreiben beim zweiten Mechanismus ein anderer als beim ersten Mechanismus. Insbesondere erfolgt somit die Kontrolle des Inhalts des RAM bei Schreibzugriff von dritten Funktionen auf den RAM in einer anderen Weise als die Kontrolle des Inhalts des RAM bei Schreibzugriff von zweiten Funktionen auf den RAM.
-
Gemäß einer Ausführungsform ist das Verfahren konform zur Norm ISO FDIS 26262 (Baseline 16) in der bei Anmeldedatum gültigen Fassung. Damit kann das Verfahren das Unterstützen von mehr als zwei Sicherheitsniveaus von Funktionen des Mikrocontrollers unterstützen. FDIS (Final Draft International Standard) 26262 ist die aktuelle, bei Anmeldedatum, offiziell veröffentlichte Fassung der ISO 26262 (Zusatznahme Baseline 16).
-
Gemäß einer Ausführungsform benutzt der Mikrocontroller die AUTOSAR Plattform. AUTOSAR (AUTomotive Open Software ARchitecture) ist eine Architektur, welche als standardisierte Software-Plattform für Automitive-Anwendungen dient. Damit ist das Verfahren auch konform zu dieser standardisierten Architektur eines herkömmlichen Mikrocontrollers. Damit kann das Verfahren in vielen Automobilen eingesetzt werden.
-
Merkmale (individuell oder in jeder Kombination), welche in Bezug auf ein Verfahren zum Betreiben eines Mikrocontrollers offenbart, beschrieben, erwähnt, diskutiert oder erläutert worden sind, können (individuell oder in jeder Kombination) ebenso für einen Mikrocontroller eingesetzt, benutzt, angewendet oder vorgesehen werden.
-
Gemäß einer Ausführungsform ist ein Mikrocontroller (insbesondere Chip, integrierte Schaltung), insbesondere zur Steuerung eines Automobils, bereitgestellt, welcher eingerichtet ist, ein Verfahren zum Betreiben eines Mikrocontrollers, wie oben beschrieben, auszuführen.
-
Gemäß einer Ausführungsform ist ein computerlesbares Speichermedium, in dem ein Programm gespeichert ist, das, wenn es von einem Prozessor ausgeführt wird, zum Durchführen des Verfahrens zum Betreiben eines Mikrocontrollers eingerichtet ist. Weiter ist ein Programmelement, welches dieses Programm umfasst, bereitgestellt.
-
Es wird darauf hingewiesen, dass Ausführungsformen der Erfindung mit Bezug auf unterschiedliche Erfindungsgegenstände beschrieben wurden. Insbesondere sind einige Ausführungsformen der Erfindung mit Vorrichtungsansprüchen und andere Ausführungsformen der Erfindung mit Verfahrensansprüchen beschrieben. Dem Fachmann wird jedoch bei der Lektüre dieser Anmeldung sofort klar werden, dass, sofern nicht explizit anders angegeben, zusätzlich zu einer Kombination von Merkmalen, die zu einem Typ von Erfindungsgegenstand gehören, auch eine beliebige Kombination von Merkmalen möglich ist, die zu unterschiedlichen Typen von Erfindungsgegenständen gehören.
-
Ausführungsformen der vorliegenden Erfindung werden nun mit Bezug auf die beiliegende Figur erläutert.
-
Die Figur zeigt schematisch ein Konzept zur Implementierung eines Mikrocontrollers, welcher mindestens drei verschiedene Sicherheitsanforderungsniveaus unterstützt.
-
Ferner wird darauf hingewiesen, dass die nachfolgend beschriebenen Ausführungsformen lediglich eine beschränkte Auswahl an möglichen Ausführungsvarianten der Erfindung darstellen. Insbesondere ist es möglich, die Merkmale einzelner Ausführungsformen in geeigneter Weise miteinander zu kombinieren, so dass für den Fachmann mit den hier explizit dargestellten Ausführungsvarianten eine Vielzahl von verschiedenen Ausführungsformen als offensichtlich offenbart anzusehen sind.
-
Die Figur zeigt eine schematische Darstellung von verschiedenen Funktionsbereichen eines Mikrocontrollers eines Automobils, wobei Funktionen in den verschiedenen Funktionsbereichen verschiedene Sicherheitsanforderungen bezüglich einer Zuverlässigkeit der durchgeführten Funktionen erfüllen. In einem Mikrocontroller können Funktionen verschiedener Funktionsbereiche oder Sicherheitsanforderungen in verschiedenen Adressbereichen eines ROM oder RAM des Mikrocontrollers gespeichert sein und/oder ablaufen, ohne dass diese verschiedenen Speicherbereiche notwendigerweise zusammenhängend und/oder räumlich voneinander getrennt sein müssen. Daher ist die Figur als ein Funktionsdiagramm zu betrachten, um Prinzipien der Implementierung des Verfahrens zum Betreiben des Mikrocontrollers mit mindestens drei Sicherheitsniveaus zu illustrieren.
-
Die Funktionen des Mikrocontrollers umfassen erste Funktionen 10, welche eine geringste Zuverlässigkeitsanforderung aufweisen. Als weitere Funktionen umfasst der Mikrocontroller zweite Funktionen 20, welche eine mittlere Zuverlässigkeitsanforderung haben. Weiterhin umfassen die Funktionen des Mikrocontrollers dritte Funktionen 30, welche eine höchste Zuverlässigkeitsanforderung haben.
-
In einem herkömmlichen Verfahren zum Betreiben eines Mikrocontrollers sind lediglich die ersten Funktionen 10 und die dritten Funktionen 30 unterstützt, wobei, durch den Pfeil 15a illustriert, ein zweiter Mechanismus bereitgestellt ist, um zu verhindern, dass eine Fehlfunktion einer ersten Funktion 10 einen negativen Einfluss auf das Ausführen der dritten Funktionen 30 hat. Insbesondere kann ein klassischer Speicherschutzmechanismus als ein Teil des zweiten Mechanismus 15 zur Anwendung kommen, wie aus herkömmlichen Mikrocontrollersteuerungen bekannt ist.
-
Anders als herkömmliche Systeme oder Verfahren ermöglicht gemäß einer Ausführungsform das Verfahren zum Betreiben eines Mikrocontrollers das Ausführen von den zweiten Funktionen 20, welche eine Zuverlässigkeitsanforderung aufweisen, welche zwischen der höchsten Zuverlässigkeitsanforderung der Funktionen 30 und der geringsten Zuverlässigkeitsanforderung der Funktionen 10 liegt. Aufgrund der somit neu eingeführten Grenze 11 zwischen den ersten Funktionen 10 und den zweiten Funktionen 20, müssen Vorkehrungen getroffen werden, um einen Einfluss des Ablaufs der ersten Funktionen auf einen Ablauf der zweiten Funktionen 20 zu vermindern bzw. zu verhindern. Dazu wird ein erster Mechanismus 13 bereitgestellt, welcher sich von dem zweiten Mechanismus 15 unterscheidet. Insbesondere gewährleistet der erste Mechanismus 13 einen Ablauf der zweiten Funktionen 20, um den Sicherheitsanforderungen dieser Klasse zu genügen, ohne einen so großen Speicherbedarf oder Zeitbedarf zu erfordern, wie der Mechanismus 15 zum Schutz des Ausführens der dritten Funktionen 30.
-
Innerhalb des ersten Mechanismus 13 kann zum Prüfen des ROM, welcher in dem Mikrocontroller integriert ist, ein zyklischer ROM-Check durchgeführt werden, unter Verwendung eines Mikrocontrollerbefehls. Dieser zyklische Checksummentest von Speicherbereichen des ROM kann schneller durchgeführt werden unter Verwendung des Mikrocontrollerbefehls als unter Verwendung von zusätzlicher Software.
-
Zum Testen des RAM bezüglich der Ausführung der zweiten Funktionen 20 kann innerhalb des ersten Mechanismus 13 eine Kombination des AUTOSAR-RAM-Checks, welcher zyklisch die Schreibbarkeit des RAM-Bereichs, welcher zu schützen ist, testet und das MPU-Feature (Memory Protection Unit) verwendet werden, welches mittels des Mikrocontrollers bereitgestellt wird und den definierten RAM-Bereich gegen unbeabsichtigtes Überschreiben schützt. Der MPU-Mechanismus oder das MPU-Feature wird in der nächsten Prozessorgeneration zur Verfügung stehen und ermöglicht einen Schutz gegen Speicherverletzung (dieser Mechanismus detektiert somit nicht lediglich die Speicherverletzung). Die quantitative Detektionsrate muss bestimmt werden, um kompatibel mit den Anforderungen der Norm ISO 26262 zu sein. Falls ein Versuch einer Verletzung detektiert wird, wird eine Falle oder ein anderes Ereignis, wie etwa ein Alarm, ausgelöst. Beispielsweise kann eine Steuerkomponente angewiesen werden, eine Gegenmaßnahme zu ergreifen. Für einen ausreichenden Schutz kann der MPU-Mechanismus mit dem RAM/ROM-Test kombiniert werden. Dieses Merkmal ist auf zwei oder drei Zugriffsklassen beschränkt, kann jedoch bis zu 16 Bereiche mit variabler Größe bereitstellen.
-
Weiterhin umfasst der erste Mechanismus 13 Vorkehrungen zur Prozessflussüberwachung (PFM). Insbesondere kann in dem Mikrocontroller das System AUTOSAR installiert sein. Insbesondere kann das in dem System AUTOSAR bereitgestellte Modul Watchdog Manager benutzt werden, um eine Ablaufkontrolle von zweiten Funktionen 20 zu implementieren.
-
Weiterhin kann eine Softwarepartitionierung vorgenommen werden, um eine negative Auswirkung einer Ausführung von ersten Funktionen 10 auf eine Ausführung von zweiten Funktionen 20 zu begrenzen. Insbesondere kann jede Benutzung von Signalen, welche nicht gemäß dem höchsten Sicherheitsintegritätslevel entwickelt und geschützt sind, eine Quelle eines Fehlers repräsentieren.
-
Deswegen muss das Verwenden dieser Signale soweit als möglich verhindert werden und im Falle, dass diese Signale genutzt werden, muss die Benutzung derart erfolgen, dass eine Fehlerfortpflanzung von ersten Funktionen 10 zu zweiten Funktionen 20 vermindert oder verhindert ist.
-
Bezugszeichenliste
-
- 10
- erste Funktionen
- 20
- zweite Funktionen
- 30
- dritte Funktionen
- 11
- Grenze zwischen ersten Funktionen und zweiten Funktionen
- 13
- erster Mechanismus
- 15a, 15b
- zweiter Mechanismus
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Nicht-Patentliteratur
-
- Norm ISO 26262 [0002]
- Norm ISO 26262 [0004]
- Norm ISO FDIS 26262 [0022]
- Norm ISO 26262 [0036]