Oberbegriffpreamble
Die vorgeschlagene Vorrichtung befasst sich mit der Überprüfung eines sicherheitsrelevanten Bewertungssystems für Sensordaten, das diese Sensordaten von sicherheitsrelevanten Sensoren zur Verfügung gestellt bekommt. Besonders bevorzugt ist der Einsatz der Vorrichtung in Fahrzeuginsassenrückhaltesystemen, wie in Airbag-Systemen und in Fußgängeraufprallschutzsystemen in Fahrzeugen.The proposed device is concerned with the verification of a safety-related evaluation system for sensor data, which gets these sensor data provided by safety-relevant sensors. Particularly preferred is the use of the device in vehicle occupant restraint systems, such as in airbag systems and in pedestrian impact protection systems in vehicles.
Allgemeine EinleitungGeneral introduction
Es soll eine Bewertungsvorrichtung (BV) zur Bewertung von Sensordaten eines sicherheitsrelevanten Sensors (RV) innerhalb eines sicherheitsrelevanten Gesamtsystems auf korrekte Funktion geprüft werden. Diese Prüfung soll innerhalb des normalen Betriebs erfolgen können, ohne das sicherheitsrelevante Gesamtsystem (GS) in einen unsicheren Zustand zu bringen. Als Beispiel für ein solches sicherheitsrelevantes Gesamtsystem (GS) kann ein Airbag-System zur Zündung der Zündpille eines Airbags genannt werden. Die Bewertungsvorrichtung (BV) kann dabei Sensordaten beispielsweise von Crash-Sensoren als sicherheitsrelevante Sensoren (RS) auswerten. Die Bewertungsvorrichtung (BV) ist also ein zentraler Teil eines solchen Airbag-Systems. Die Zündung der Zündpille eines solchen Airbags darf nur in vorbestimmten Fällen erfolgen und ist ansonsten ein unsicherer Zustand des Gesamtsystems, da eine solche Zündung durchaus mit einer von Null verschiedenen Wahrscheinlichkeit zu Verletzungen oder gar zum Tod von Insassen führen kann. Eine solche Zündung ist daher nur zulässig wenn die Überlebenswahrscheinlichkeit der Fahrzeuginsassen dadurch gesteigert und das Verletzungs- und Todesrisiko gesenkt werden. Bei einem solchen Airbag-System kommen somit unsichere Zustände als bestimmungsgemäße Zustände vor. Die Bewertungsvorrichtung (BV) eines solchen Airbag-Systems hat dementsprechend einen entscheidenden Anteil an der sachgerechten Funktion des sicherheitsrelevanten Airbag-Systems. Die Daten eines sicherheitsrelevanten Systems sollen immer durch zwei oder mehr unabhängige Baugruppen eines Systems (Bewertungsvorrichtung BV) auf Grenzen überprüft werden.It should be an evaluation device ( BV ) for the evaluation of sensor data of a safety-relevant sensor (RV) within a safety-relevant overall system to be tested for correct function. This test should be carried out within normal operation, without the overall safety-relevant system ( GS ) in an unsafe condition. As an example of such a safety-related overall system ( GS ) may be called an airbag system for igniting the squib of an airbag. The evaluation device ( BV ) sensor data, for example of crash sensors as safety-relevant sensors ( RS ) evaluate. The evaluation device ( BV ) is therefore a central part of such an airbag system. The ignition of the squib of such an airbag may be made only in predetermined cases and is otherwise an unsafe condition of the overall system, since such ignition may well lead to non-zero probability of injury or even death of occupants. Such an ignition is therefore only permissible if the probability of survival of the vehicle occupants thereby increased and the risk of injury and death are reduced. In such an airbag system thus unsafe states occur as intended states. The evaluation device ( BV ) of such an airbag system accordingly has a decisive share in the proper function of the safety-related airbag system. The data of a safety-relevant system should always be determined by two or more independent components of a system (evaluation device BV ) are checked for limits.
Aus der EP 1 239 370 A2 ist ein Verfahren zur Überprüfung einer Schnittstelle bekannt. Dort wird ein Verfahren zur Überprüfung eines Schnittstellenbausteins vorgeschlagen, wobei nach Aufforderung eines Tests durch einen Prozessor mit einem Datentelegramm der Schnittstellenbaustein abgespeicherte Werte, die Sensorwerte repräsentieren, mit einem zweiten Datentelegramm an den Prozessor zurückgibt. Mit diesen festen Sensorwerten kann der Prozessor entsprechend der technischen Lehre der EP 1 239 370 A2 die Funktion des Schnittstellenbausteins und seinen eigenen Algorithmus überprüfen. Ein Sicherheitsbaustein, der ebenfalls die Sensorwerte aufnimmt, überprüft auch seine Funktion damit, da der Sicherheitsbaustein ein redundanter Hardwarepfad zum Prozessor ist und als Plausibilitätsüberprüfung für die Auslöseentscheidung von Rückhaltemitteln verwendet wird. Der Schnittstellenbaustein wird in einen Testmodus versetzt, sobald er das erste Datentelegramm vom Prozessor erhält und unterdrückt dann die Übertragung von den echten Sensorwerten, die von angeschlossenen Sensoren empfangen wurden.From the EP 1 239 370 A2 a method for verifying an interface is known. There, a method for checking an interface module is proposed, wherein upon request of a test by a processor with a data telegram of the interface module stored values representing sensor values, returns with a second data telegram to the processor. With these fixed sensor values, the processor can according to the technical teaching of EP 1 239 370 A2 Check the function of the interface module and its own algorithm. A safety module, which also receives the sensor values, also checks its function with it, since the safety module is a redundant hardware path to the processor and is used as a plausibility check for the triggering decision of restraints. The interface module is placed in a test mode as soon as it receives the first data telegram from the processor and then suppresses the transmission of the true sensor values received from connected sensors.
Aus der DE 10 2004 049 082 A1 ist eine Endstufe zur Ansteuerung einer Airbag-Zündeinheit bekannt. Die DE 10 2004 049 082 A1 offenbart eine elektronische Schaltungsanordnung zur Ansteuerung einer Zündeinheit für einen Airbag, mit einer Treibereinrichtung zum Treiben eines Zündstroms durch die Zündeinheit wobei die Zündeinheit zwischen einen ersten Ausgangsanschluss und einen zweiten Ausgangsanschluss der Treibereinrichtung geschaltet ist, und mit einer Kommunikationseinrichtung zur Verarbeitung von Ansteuersignalen für eine Airbag-Auslösung und zur Bereitstellung von Auslösesignalen für die Treibereinrichtung in Abhängigkeit von den Ansteuersignalen und mit einer Testeinrichtung zum Testen der Funktionsfähigkeit der Treibereinrichtung und der Zündeinheit, wobei die Testeinrichtung die Funktionsfähigkeit der Treibereinrichtung und der Zündeinheit mittels eines durch die Zündeinheit getriebenen Prüfstroms testet und ein Blockierungssignal zur Blockierung der Airbag-Auslösung an die Treibereinrichtung ausgibt, wenn der durch die Zündeinheit getriebene Prüfstrom mindestens einen vorgegebenen Schwellenwert überschreitet.From the DE 10 2004 049 082 A1 is known an output stage for controlling an airbag ignition unit. The DE 10 2004 049 082 A1 discloses an electronic circuit arrangement for activating an ignition unit for an airbag, having a driver device for driving an ignition current through the ignition unit, wherein the ignition unit is connected between a first output terminal and a second output terminal of the driver device, and with a communication device for processing control signals for an airbag Triggering and providing trigger signals for the driver device in dependence on the drive signals and with a test device for testing the operability of the driver device and the ignition unit, wherein the test device tests the functionality of the driver device and the ignition unit by means of a test current driven by the ignition unit and a blocking signal to Blocking the airbag deployment issues to the driver device when the test current driven by the ignition unit at least one predetermined S exceeds the threshold value.
Diesen ist gemeinsam, dass sie die Natur des angeschlossenen Sensors nicht berücksichtigen.These have in common that they do not take into account the nature of the connected sensor.
Aufgabetask
Dem Vorschlag liegt daher die Aufgabe zugrunde, eine Vorrichtung vorzuschlagen dass die Prüfung einer Bewertungsvorrichtung, insbesondere auch im Betrieb nach der Fertigung der Vorrichtung, ermöglicht.The proposal is therefore based on the object to propose a device that allows the examination of an evaluation device, especially in operation after the manufacture of the device.
Diese Aufgabe wird durch eine Vorrichtung nach Anspruch 1 gelöst.This object is achieved by a device according to claim 1.
Lösung der AufgabeSolution of the task
Es wird zur Lösung der Aufgabe vorgeschlagen, um latenten Fehlern vorzubeugen, in derartige Bewertungsvorrichtungen sicherheitsrelevanter Gesamtsysteme (GS) Testdaten als virtuelle Sensordaten einzuspeisen, die vorteilhafterweise sowohl fehlerhaft, als auch formal korrekt sein sollten, um die Erkennungsfunktion der Bewertungsvorrichtungen (BV) zu überprüfen.It is proposed for the solution of the problem in order to prevent latent errors in such evaluation devices of safety-relevant overall systems ( GS ) To feed test data as virtual sensor data, which should advantageously be both erroneous and formally correct the recognition function of the evaluation devices ( BV ) to check.
Die Lösung besteht aus einem vorgeschlagenen Verfahren und einer vorgeschlagenen Vorrichtung zur Durchführung des vorgeschlagenen Verfahrens. Im Folgenden wird das Verfahrenbeschrieben, dass auf der vorgeschlagenen Vorrichtung ausgeführt wird. Später wird auf die vorgeschlagene Vorrichtung, für die hier Schutz begehrt wird, eingegangen.The solution consists of a proposed method and a proposed device for carrying out the proposed method. The following describes the method that is carried out on the proposed device. Later, the proposed device for which protection is sought is discussed.
Das vorgeschlagene Verfahren zur Überprüfung einer sicherheitsrelevanten Bewertungsvorrichtung für Sensordaten befasst sich mit dem Test der Bewertungsvorrichtung in der Hinsicht, ob die Bewertungsvorrichtung funktional korrekt arbeitet.The proposed method for checking a safety-relevant sensor data evaluation device deals with the test of the evaluation device in terms of whether the evaluation device works functionally correctly.
Die Grundidee des vorgeschlagenen Verfahrens besteht darin, durch einen entsprechenden Schnittstellenschalter zumindest einen realen Sensor durch einen virtuellen Sensor zu ersetzen. Dieser virtuelle Sensor dient als eine virtuelle Quelle von korrekten oder fehlerhaften virtuellen Sensordaten. Für diese virtuellen Sensordaten sind die Reaktionen der sicherheitsrelevanten Bewertungsvorrichtung vorbestimmt. Diese virtuellen Sensordaten werden daher an Stelle der realen Sensordaten des realen Sensors zugeführt und durch die Bewertungsvorrichtung bewertet und/oder überprüft. Bei den Sensordaten kann es sich um einzelne analoge, digitale, binäre Werte und Signale handeln. Es kann sich auch um Vektoren oder andere Zusammenstellungen von Werten und Signalen handeln. Neben diesem Raummultiplex ist auch ein Zeitmultiplex bei der Signalisierung zwischen realem Sensor und Bewertungsvorrichtung denkbar und möglich. Dementsprechend können Fehler auftreten, die die Erfassung der Daten durch den sicherheitsrelevanten Sensor selbst, die Datenaufbereitung für die Übertragung vom sicherheitsrelevanten Sensor zur Bewertungsvorrichtung, die Datenübertragung und den Empfang der Sensordaten durch die Bewertungsvorrichtung betreffen. Im Folgenden werden Sensordaten allgemein als zeitlich und räumlich gemultiplexter Vektordatenstrom aufgefasst, wobei auch ein eindimensionaler Vektordatenstrom ausdrücklich von der folgenden Beschreibung umfasst ist.The basic idea of the proposed method is to replace at least one real sensor by a virtual sensor with a corresponding interface switch. This virtual sensor serves as a virtual source of correct or faulty virtual sensor data. For these virtual sensor data, the reactions of the safety-relevant evaluation device are predetermined. These virtual sensor data are therefore supplied in place of the real sensor data of the real sensor and evaluated and / or checked by the evaluation device. The sensor data can be individual analog, digital, binary values and signals. They can also be vectors or other combinations of values and signals. In addition to this space multiplex, a time multiplex in the signaling between the real sensor and the evaluation device is conceivable and possible. Accordingly, errors may occur which involve the detection of the data by the safety-related sensor itself, the data preparation for the transmission from the safety-relevant sensor to the evaluation device, the data transmission and the reception of the sensor data by the evaluation device. In the following, sensor data is generally understood to be a temporally and spatially multiplexed vector data stream, whereby a one-dimensional vector data stream is expressly included in the following description.
Beispielsweise sollte daher die Bewertungsvorrichtung folgende Fehler erkennen:
- • Aktueller Wert des Vektordatenstroms außerhalb einer vorgegebenen Menge erlaubter Werte dieses Vektordatenstroms.
- • Zeitliche Abfolge aktueller Werte des Vektordatenstroms außerhalb einer vorgegebenen Menge erlaubter zeitlicher Abfolgen von Werten dieses Vektordatenstroms.
For example, the rating device should recognize the following errors: - Current value of the vector data stream outside of a given set of allowed values of this vector data stream.
- Temporal sequence of current values of the vector data stream outside a given set of allowed time sequences of values of this vector data stream.
Durch die Definition einer virtuellen Sensordatenquelle kann die sicherheitsrelevante Bewertungsvorrichtung somit auf korrekte Funktion überwacht werden. Der virtuelle Sensor liefert virtuelle Sensordaten an die Bewertungsvorrichtung, worauf diese in vorbestimmter Weise durch geeignete Signale so reagiert, als wenn sie gleiche echte Sensordaten vom sicherheitsrelevanten Sensor erhalten hätte. Sofern die Überprüfung im Betrieb ausgeführt werden soll, wird die Bewertungsvorrichtung zuvor durch einen Einkapselungsbefehl, typischerweise von einer Systemsteuerung, so vom Restsystem getrennt, dass auch bei einer Fehlfunktion im Verlauf des Tests sicher kein unsicherer Zustand durch den Test der Bewertungsvorrichtung durch das Gesamtsystem, dessen Teil der reale Sensor und das Bewertungssystem ja sind, erreicht werden kann.By defining a virtual sensor data source, the safety-relevant evaluation device can thus be monitored for correct function. The virtual sensor supplies virtual sensor data to the evaluation device, whereupon the latter reacts in a predetermined manner by suitable signals as if it had received the same genuine sensor data from the safety-related sensor. If the check is to be carried out in operation, the evaluation device is previously separated from the remainder by an encapsulation command, typically from a system controller, so that even in the event of a malfunction during the test, certainly no unsafe condition will result from the test of the evaluation device by the overall system Part of the real sensor and the rating system are yes, can be achieved.
Durch das Einspeisen der virtuellen Sensordaten eines virtuellen Sensors wird somit die Möglichkeit eröffnet zu prüfen, ob die Bewertungsvorrichtung, inkonsistente oder nicht plausible Sensordaten durch den jeweiligen Sensor in korrekter Weise verwirft und plausible Sensordaten korrekt behandelt, nicht verwirft und richtige Signale erzeugt.By feeding in the virtual sensor data of a virtual sensor, it is thus possible to check whether the evaluation device correctly discards inconsistent or implausible sensor data by the respective sensor and correctly handles plausible sensor data, does not reject it and generates correct signals.
Vorteilhafterweise verfügt der virtuelle Sensor über einen konfigurierbaren Speicher, in dem ein Steuerprozessor virtuelle Sensordaten ablegen kann und/oder Parameter für die Erzeugung solcher virtueller Sensordaten durch den virtuellen Sensor ablegen kann.Advantageously, the virtual sensor has a configurable memory in which a control processor can store virtual sensor data and / or store parameters for the generation of such virtual sensor data by the virtual sensor.
Zur Durchführung des Verfahrens wird eine Struktur der das Verfahren durchführenden Vorrichtung, also des sicherheitsrelevanten Gesamtsystems (GS), vorgeschlagen, die eine Bewertungsvorrichtung (BV) und einen sicherheitsrelevanten Sensor (RS) umfasst. Der sicherheitsrelevante Sensor (RS) sendet seine Sensordaten über den Sensordatenbus (DB) und eine Einspeisevorrichtung (EV), deren Funktion noch erläutert werden wird, an die Bewertungsvorrichtung (BV). Diese Übersendung kann über einen eigenen Signalisierungskanal, wie in der 1 gezeigt, erfolgen als auch über den internen Datenbus (IDB) der Systemsteuerung. Insofern zeigt 1 nur eine Realisierungsvariante. Das vorgeschlagene sicherheitsrelevante Gesamtsystem umfasst darüber hinaus einen virtuellen Sensor (VS), der ggf. auch durch ein Rechnersystem, also beispielsweise die Systemsteuerung (ST), emuliert werden kann oder als fest vorgegebene elektronische Schaltung oder als teilprogrammierbare elektronische Schaltung vorliegen kann. Auch ist eine Realisierung des virtuellen Sensors (VS) als separates zweites Rechnersystem denkbar. Eine Systemsteuerung (ST) steuert bevorzugt sowohl die Bewertungsvorrichtung (BV), als auch den sicherheitsrelevanten Sensor (RS), als auch den virtuellen Sensor (VS), sowie die besagte Einspeisevorrichtung (EV). Die Einspeisevorrichtung ist in den Sensordatenbus (DB) zwischen dem sicherheitsrelevanten Sensor (RS) und der Bewertungsvorrichtung (BV) eingefügt und dient der Einspeisung von virtuellen Sensordaten, die durch den virtuellen Sensor (VS) erzeugt werden anstelle der Sensordaten des sicherheitsrelevanten Sensors (RS). Diese virtuellen Sensordaten des virtuellen Sensors (VS) werden somit in einem Testzustand des Gesamtsystems (GS) anstelle der Sensordaten des sicherheitsrelevanten Sensors (RS) der Bewertungsvorrichtung (BV) zugeführt, wodurch diese Bewertungsvorrichtung (BV) einer Prüfung mittels vorgegebener Testdaten, Testdatensätze, Testdatensequenzen und Testdatensequenzsätzen zugänglich wird. Diese Testdaten, Testdatensätze, Testdatensequenzen und Testdatensequenzsätzen können durch den virtuellen Sensor (VS) bevorzugt erzeugt werden. Im Normalbetrieb befindet sich das sicherheitsrelevante Gesamtsystem (GS) in einem Normalzustand. Somit kann das sicherheitsrelevante Gesamtsystem (GS) sich in einem Normalzustand und in einem Testzustand befinden. Die Systemsteuerung (ST) ist bevorzugt, aber nicht notwendigerweise ein Rechnersystem. Es kann sich bei der Systemsteuerung (ST) auch um einen endlichen Automaten oder eine andere nicht, teilweise oder ganz konfigurierbare oder programmierbare elektronische Schaltung handeln.For carrying out the method, a structure of the device carrying out the method, that is to say of the safety-relevant overall system ( GS ), which provides an evaluation device ( BV ) and a safety-relevant sensor ( RS ). The safety-relevant sensor ( RS ) transmits its sensor data via the sensor data bus ( DB ) and a feeding device ( EV ), whose function will be explained later, to the evaluation device ( BV ). This transmission can via its own signaling channel, as in the 1 shown as well as via the internal data bus (IDB) the control panel. In this respect shows 1 only one realization variant. The proposed overall safety-related system also includes a virtual sensor ( VS ), possibly also by a computer system, so for example the system control ( ST ), emulated or may be present as a fixed predetermined electronic circuit or as a partially programmable electronic circuit. Also, a realization of the virtual sensor ( VS ) conceivable as a separate second computer system. A system control ( ST ) preferably controls both the evaluation device ( BV ), as well as the safety-relevant sensor ( RS ), as well as the virtual sensor ( VS ), as well as said feed device ( EV ). The feed device is in the sensor data bus ( DB ) between the safety-relevant sensor ( RS ) and the evaluation device ( BV ) and is used to feed in virtual sensor data generated by the virtual sensor ( VS ) are generated instead of the sensor data of the safety-relevant sensor ( RS ). This virtual sensor data of the virtual sensor ( VS ) are thus in a test state of the overall system ( GS ) instead of the sensor data of the safety-relevant sensor ( RS ) of the evaluation device ( BV ), whereby this evaluation device ( BV ) becomes accessible to testing by means of predetermined test data, test data sets, test data sequences and test data sequence sets. These test data, test data sets, test data sequences and test data sequence sets can be read by the virtual sensor ( VS ) are preferably generated. In normal operation, the safety-relevant overall system ( GS ) in a normal state. Thus, the safety-relevant overall system ( GS ) are in a normal state and in a test state. The system control ( ST ) is preferred, but not necessarily a computer system. It may be in the system control ( ST ) may also be a finite state machine or other non, partially or fully configurable or programmable electronic circuit.
Die Bewertungsvorrichtung (BV) empfängt im Normalzustand des Gesamtsystems (GS) Sensordaten des Sensors (RS) über den Sensordatenbus (DB) von dem Sensor (RS). Die Bewertungsvorrichtung (BV) bewertet im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) die Sensordaten. Die Bewertungsvorrichtung (BV) bewertet im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) an Stelle der Sensordaten des sicherheitsrelevanten Sensors (RS) die virtuellen Sensordaten des virtuellen Sensors (VS). Die Bewertungsvorrichtung (BV) nimmt Signalisierungen in Abhängigkeit von diesen Sensordaten im Normalzustand des Gesamtsystems (GS) bzw. in Abhängigkeit von den erwähnten virtuellen Sensordaten im Testzustand des Gesamtsystems (GS) vor. Gleichzeitig oder auch alternativ kann die Bewertungsvorrichtung (BV) Bewertungsdaten beispielsweise zur Benutzung durch die Systemsteuerung (ST) bereitstellen. Befindet sich das sicherheitsrelevante Gesamtsystem (GS) im Normalzustand hängen diese Bewertungsdaten und/oder Signalisierungen der Bewertungsvorrichtung (BV) von den Sensordaten des sicherheitsrelevanten Sensors (RS) ab. Befindet sich das Gesamtsystem (GS) im Testzustand hängen diese Bewertungsdaten und/oder Signalisierungen der Bewertungsvorrichtung (BV) von den virtuellen Sensordaten des virtuellen Sensors (VS) ab. Um diese Unterscheidung zwischen den Sensordatenquellen, dem sicherheitsrelevanten Sensor (RS) und dem virtueller Sensor (VS) durchführen zu können, verfügt das vorgeschlagene Gesamtsystem (GS) über eine Einspeisevorrichtung (EV). Der Sensordatenbus (DB) wird durch diese Einspeisevorrichtung (EV) in zwei Teile unterteilt. Die Einspeisevorrichtung (EV) ist so gestaltet, dass sie im Normalzustand des Gesamtsystems (GS) Sensordaten vom Sensor (RS) empfängt und modifiziert oder nicht modifiziert an die Bewertungsvorrichtung (BV) weiterleitet. Es ist nämlich denkbar, aber eben nicht unbedingt notwendig, dass die Einspeisevorrichtung (EV) bereits eine Vorauswertung, Filterung oder sonstige Modifikation der Sensordaten vor deren Weiterleitung an die Bewertungsvorrichtung (BV) vornimmt. Um eine gute Testabdeckung im sicherheitsrelevanten Gesamtsystem (GS) bei der Durchführung des vorgeschlagenen Verfahrens zu erreichen, wird empfohlen, die Sensordaten des sicherheitsrelevanten Sensors (RS) unverändert, also nicht modifiziert, an die Bewertungsvorrichtung (BV) durch die Einspeisevorrichtung (EV) im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) durchzuleiten. In diesem Fall sollte der virtuelle Sensor (VS) virtuelle Sensordaten, die Sensordaten des sicherheitsrelevanten Sensors (RS) in realen, erlaubten und bestimmungsgemäßen Zuständen entsprechen sollten, für die Fälle (vorgegebene Testdaten, Testdatensätze, Testdatensequenzen und Testdatensequenzsätzen) erzeugen, für die überprüft werden soll, ob sich die Bewertungsvorrichtung (BV) bei fehlerfreien oder vorbestimmt fehlerbehafteten Sensordaten jeweils korrekt verhält.The evaluation device ( BV ) receives in the normal state of the overall system ( GS ) Sensor data of the sensor ( RS ) via the sensor data bus ( DB ) from the sensor ( RS ). The evaluation device ( BV ) in the normal state of the safety-relevant overall system ( GS ) the sensor data. The evaluation device ( BV ) evaluated in the test state of the safety-relevant overall system ( GS ) instead of the sensor data of the safety-relevant sensor ( RS ) the virtual sensor data of the virtual sensor ( VS ). The evaluation device ( BV ) takes signaling as a function of this sensor data in the normal state of the overall system ( GS ) or in dependence on the mentioned virtual sensor data in the test state of the overall system ( GS ) in front. At the same time or alternatively, the evaluation device ( BV ) Evaluation data, for example for use by the system controller ( ST ) provide. Is the security-relevant overall system ( GS ) in the normal state these evaluation data and / or signaling of the evaluation device ( BV ) from the sensor data of the safety-relevant sensor ( RS ). Is the overall system ( GS ) in the test state these evaluation data and / or signaling of the evaluation device ( BV ) of the virtual sensor data of the virtual sensor ( VS ). To make this distinction between the sensor data sources, the safety-relevant sensor ( RS ) and the virtual sensor ( VS ), the proposed overall system ( GS ) via a feed device ( EV ). The sensor data bus ( DB ) is replaced by this feed device ( EV ) divided into two parts. The feeding device ( EV ) is designed so that in the normal state of the overall system ( GS ) Sensor data from the sensor ( RS ) and modified or not modified to the evaluation device ( BV ). It is conceivable, but not necessarily necessary, that the feeding device ( EV ) already a pre-evaluation, filtering or other modification of the sensor data prior to their transmission to the evaluation device ( BV ). To ensure a good test coverage in the safety-relevant overall system ( GS ) in the implementation of the proposed method, it is recommended that the sensor data of the safety-relevant sensor ( RS ) unchanged, that is not modified, to the evaluation device ( BV ) through the feeding device ( EV ) in the normal state of the safety-relevant overall system ( GS ). In this case, the virtual sensor ( VS ) virtual sensor data, the sensor data of the safety-relevant sensor ( RS ) should correspond to real, allowed, and designated states for which cases (predetermined test data, test records, test data sequences, and test data sequence sets) for which to check whether the evaluation device ( BV ) behaves correctly in error-free or predetermined error-prone sensor data.
Die Einspeisevorrichtung (EV) empfängt dann im Testzustand des Gesamtsystems (GS) virtuelle Sensordaten vom virtuellen Sensor (VS) und leitet diese virtuellen Sensordaten modifiziert oder bevorzugt nicht modifiziert anstelle der Sensordaten des Sensors (RS) an die Bewertungsvorrichtung (BV) weiter. Die Einspeisevorrichtung (EV) kann also als Datenweiche für die Sensordaten betrachtet werden, die die jeweilige Datenquelle für die Bewertungsvorrichtung (BV) abhängig vom Zustand des Gesamtsystems (GS) (Normalzustand, Testzustand und ggf. Fehlerzustand) umschaltet. Vorzugsweise wird die Einspeisevorrichtung (EV) durch die Systemsteuerung (ST) gesteuert, die bevorzugt auch den Zustand (Normalzustand, Testzustand und ggf. Fehlerzustand) des Gesamtsystems (GS) festlegt und die Elemente des sicherheitsrelevanten Gesamtsystems (GS) entsprechend dem aktuellen Zustand (Normalzustand, Testzustand und ggf. Fehlerzustand) konfiguriert. Die Übergänge zwischen den Zuständen (Normalzustand, Testzustand und ggf. Fehlerzustand) werden dabei bevorzugt so gestaltet, dass zu keinem Zeitpunkt ein unsicherer Zustand eingenommen wird, wenn dies nicht bestimmungsgemäß erforderlich ist. Ein solcher bestimmungsgemäß unsicherer Zustand kann bei einem Airbag-System als sicherheitsrelevantes Gesamtsystem (GS) beispielsweise dann vorliegen, wenn die Sensordaten eines Crash-Sensors als sicherheitsrelevanter Sensor (RS) auf einen Aufprall schließen lassen. In dem Fall würde der Airbag durch die Systemsteuerung (ST) gezündet. Ein solcher Zündungszustand ist aber im Sinne dieser Offenbarung ein unsicherer Zustand, der in allen anderen Betriebsfällen auszuschließen ist.The feeding device ( EV ) then receives in the test state of the overall system ( GS ) virtual sensor data from the virtual sensor ( VS ) and directs this virtual sensor data modified or preferably not modified in place of the sensor data of the sensor ( RS ) to the evaluation device ( BV ) further. The feeding device ( EV ) can thus be considered as a data switch for the sensor data that the respective data source for the evaluation device ( BV ) depending on the state of the overall system ( GS ) (Normal state, test state and possibly error state). Preferably, the feed device ( EV ) through the system control ( ST ), which preferably also the state (normal state, test state and possibly error state) of the overall system ( GS ) and the elements of the overall safety-related system ( GS ) is configured according to the current state (normal state, test state and possibly error state). The transitions between the states (normal state, test state and possibly fault state) are preferably designed so that at no time an unsafe state is taken if this is not required as intended. In the case of an airbag system, such an unsafe condition can be regarded as a safety-relevant overall system ( GS ), for example, when the sensor data of a crash sensor as a safety-relevant sensor ( RS ) to suggest an impact. In that case the airbag would be controlled by the system control ( ST ) ignited. However, such an ignition state is an unsafe state within the meaning of this disclosure, which can be ruled out in all other operating cases.
Die Bewertungsvorrichtung (BV) bewertet im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) die virtuellen Sensordaten und erzeugt ein entsprechendes Bewertungsergebnis und/oder nimmt Signalisierungen dieses Bewertungsergebnisses in Abhängigkeit von diesen virtuellen Sensordaten vor. Gleichzeitig oder alternativ bewertet die Bewertungsvorrichtung (BV) im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) die virtuellen Sensordaten und stellt das Bewertungsergebnis als Bewertungsdaten bereit, die von diesen virtuellen Sensordaten abhängen.The evaluation device ( BV ) evaluated in the test state of the safety-relevant overall system ( GS ) the virtual sensor data and generates a corresponding evaluation result and / or makes signaling of this evaluation result in dependence on this virtual sensor data. At the same time or alternatively the evaluation device ( BV ) in the test state of the safety-relevant overall system ( GS ) the virtual sensor data and provides the evaluation result as evaluation data that depends on this virtual sensor data.
In einer besonderen Ausprägung des vorgeschlagenen Verfahrens führt das sicherheitsrelevante Gesamtsystem (GS) eine Bewertung der Signalisierungen der Bewertungsvorrichtung (BV) und/oder der durch die Bewertungsvorrichtung (BV) bereitgestellten Bewertungsdaten und/oder Signalisierungen mittels einer Testbewertungsvorrichtung (TB) aus, wenn das sicherheitsrelevante Gesamtsystem (GS) sich im Testzustand befindet. Die Testbewertungsvorrichtung (TB) erzeugt ein entsprechendes Bewertungsergebnis der Testbewertungsvorrichtung (TB). Die Testbewertungsvorrichtung (TB) führt typischerweise eine Signalisierung und/oder Bereitstellung dieses Bewertungsergebnisses der Testbewertungsvorrichtung (TB) aus. Hierzu weist die vorgeschlagene Vorrichtung bevorzugt eine Testbewertungsvorrichtung (TB) auf, die mit der Systemsteuerung (ST) ganz oder teilweise identisch sein kann.In a particular embodiment of the proposed method, the safety-relevant overall system ( GS ) an evaluation of the signaling devices of the evaluation device ( BV ) and / or by the evaluation device ( BV ) provided evaluation data and / or signaling by means of a test evaluation device ( TB ), if the overall safety-related system ( GS ) is in the test condition. The test evaluation device ( TB ) generates a corresponding evaluation result of the test evaluation device ( TB ). The test evaluation device ( TB ) typically leads to signaling and / or provision of this evaluation result of the test evaluation device ( TB ) out. For this purpose, the proposed device preferably has a test evaluation device ( TB ) with the Control Panel ( ST ) can be completely or partially identical.
In einer weiteren Variante des vorgeschlagenen Verfahrens erfolgt vor der Einnahme des Testzustands durch das sicherheitsrelevante Gesamtsystem (GS) eine Programmierung des virtuellen Sensors (VS) mit virtuellen Sensordaten, wobei bevorzugt die Programmierung des virtuellen Sensors (VS) durch die Steuerung (ST) erfolgt. Hierzu weist der virtuelle Sensor (VS) bevorzugt geeignete Speicherknoten auf. Bei den Speicherknoten kann es sich um binäre, digitale und/oder analoge Speicherknoten handeln. Die Programmierung des virtuellen Sensors (VS) wird bevorzugt durch die Systemsteuerung (ST) vorgenommen. Daher ist der virtuelle Sensor (VS) bevorzugt an den internen Datenbus (IDB) der Systemsteuerung (ST) angeschlossen. Bevorzugt sind auch die Bewertungsvorrichtung (BV) und die Einspeisevorrichtung (EV) an diesen internen Datenbus (IDB) der Systemsteuerung (ST) angeschlossen. Der sicherheitsrelevante Sensor ist bevorzugt über eine Datenschnittstelle (IF) mittels des Sensordatenbusses (DB) an den internen Datenbus (IDB) der Systemsteuerung (ST) angeschlossen. Besonders bevorzugt sind die Einspeisevorrichtung (EV) und/oder die Bewertungsvorrichtung (BV) Teil dieser Datenbusschnittstelle (IF) oder dieser im Datenstrom vom sicherheitsrelevanten Sensor (RS) zur Einspeisevorrichtung (EV) und damit zur Bewertungsvorrichtung (BV) vorgelagert.In a further variant of the proposed method, before the test state is taken by the safety-relevant overall system ( GS ) a programming of the virtual sensor ( VS ) with virtual sensor data, wherein preferably the programming of the virtual sensor ( VS ) by the controller ( ST ) he follows. For this purpose, the virtual sensor ( VS ) preferably has suitable storage nodes. The storage nodes can be binary, digital and / or analog storage nodes. The programming of the virtual sensor ( VS ) is preferred by the system control ( ST ) performed. Therefore, the virtual sensor ( VS ) preferably to the internal data bus (IDB) the Control Panel ( ST ) connected. The evaluation device ( BV ) and the feed device ( EV ) to this internal data bus (IDB) the Control Panel ( ST ) connected. The safety-relevant sensor is preferably via a data interface ( IF ) by means of the sensor data bus ( DB ) to the internal data bus (IDB) the Control Panel ( ST ) connected. Particularly preferred are the feed device ( EV ) and / or the evaluation device ( BV ) Part of this data bus interface ( IF ) or this in the data stream from the safety-relevant sensor ( RS ) to the feed device ( EV ) and thus to the evaluation device ( BV ) in advance.
In einer weiteren Variante des vorgeschlagenen Verfahrens erfolgt eine Programmierung des virtuellen Sensors (VS) mit Parametern für die Erzeugung mit virtuellen Sensordaten durch den virtuellen Sensor (VS), wobei insbesondere die Programmierung des virtuellen Sensors (VS) durch die Systemsteuerung (ST) erfolgt. In dieser Variante ist also der virtuelle Sensor (VS) in der Lage selbstständig virtuelle Sensordaten zu erzeugen, während der virtuelle Sensor (VS) in der vorausgehenden Variante des Verfahrens die Sensordaten vorgegeben bekam und nur reproduzierte. Dies soll an einem Beispiel verdeutlicht werden: Es werde zur Verdeutlichung beispielhaft angenommen, dass der sicherheitsrelevante Sensor (RS) als Messsignal eine zeitliche Sinusschwingung generiert, deren Frequenz beispielhaft von einem hier nicht näher bestimmten physikalischen Parameter abhängt, den der sicherheitsrelevante Sensor (RS) erfassen soll. In diesem Fall kann der virtuelle Sensor (VS) gemäß der zuvor vorgeschlagenen Variante beispielsweise mit Abtastwerten einer Sinusfunktion programmiert werden, die der virtuelle Sensor (VS) dann als virtuelle Sensordaten im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) zu einem sinusförmigen virtuellen Sensorsignal des virtuellen Sensors (VS) durch Abspielen der Abtastwerte wandelt. Gemäß dieser anderen, zuletzt vorgeschlagenen Verfahrensvariante kann der virtuelle Sensor (VS) aber in diesem Beispiel zur Verdeutlichung auch als Oszillator gestaltet werden, dessen Amplitude und Frequenz als Parameter des virtuellen Sensors (VS) durch die Systemsteuerung (ST) vor der Einnahme des Testzustands des sicherheitsrelevanten Gesamtsystems (GS) programmiert werden. Natürlich ist es denkbar, verschiedene Prüfungen hintereinander durchzuführen. Daher ist es sinnvoll, dass das sicherheitsrelevante Gesamtsystem (GS) den Testzustand zwischen zwei unterschiedlichen Tests nicht verlässt. Wenn hier also davon die Rede ist, dass etwas vor der Einnahme des Testzustands durchgeführt werden soll, so kann dies immer auch so verstanden werden, das dies vor der Durchführung des nächsten Tests erfolgt, ohne den Testzustand des sicherheitsrelevanten Gesamtsystems (GS) zu verlassen.In a further variant of the proposed method, programming of the virtual sensor ( VS ) with parameters for generation with virtual sensor data by the virtual sensor ( VS ), in particular the programming of the virtual sensor ( VS ) through the system control ( ST ) he follows. In this variant, therefore, the virtual sensor ( VS ) able to independently generate virtual sensor data while the virtual sensor ( VS ) in the previous variant of the method, the sensor data was given preset and only reproduced. This will be illustrated by an example: For clarity, it is assumed by way of example that the safety-relevant sensor ( RS ) generates as a measuring signal a temporal sinusoidal oscillation whose frequency depends, for example, on an unspecified physical parameter which the safety-relevant sensor ( RS ) should capture. In this case, the virtual sensor ( VS ) are programmed according to the previously proposed variant, for example with samples of a sinusoidal function that the virtual sensor ( VS ) as virtual sensor data in the test state of the safety-relevant overall system ( GS ) to a sinusoidal virtual sensor signal of the virtual sensor ( VS ) by playing the samples. According to this other method variant proposed last, the virtual sensor ( VS ) but in this example also be designed as an oscillator for clarification whose amplitude and frequency are used as parameters of the virtual sensor ( VS ) through the system control ( ST ) before taking the test state of the safety-relevant overall system ( GS ). Of course, it is conceivable to carry out various tests in succession. Therefore, it makes sense that the overall safety-relevant system ( GS ) does not leave the test state between two different tests. Thus, if there is talk here of something to be done prior to taking the test state, it can always be understood that this is done before the next test is performed, without the test state of the overall safety-related system ( GS ) to leave.
Die Reaktionen der Bewertungsvorrichtung (BV) sollen ja überprüft werden. Dies geschieht bevorzugt durch eine Testbewertungsvorrichtung (TB). Diese kann mit der Systemsteuerung (ST) ganz oder in Teilen identisch sein. Das vorgeschlagene Verfahren umfasst daher in einer weiteren Variante eine Programmierung der Testbewertungsvorrichtung (TB) mit Referenzdaten zur Bewertung der virtuellen Sensordaten des virtuellen Sensors (VS), wenn sich das sicherheitsrelevante Gesamtsystem (GS) im Testzustand befindet. Diese Referenzdaten stellen den Vergleichsmaßstab dar, mit dem die Testbewertungsvorrichtung (TB) die Bewertungssignale und/oder bereitgestellten Bewertungsdaten der Bewertungsvorrichtung (BV), also die Bewertungsergebnisse der Bewertungsvorrichtung (BV) bewertet. Ist die Testbewertungsvorrichtung (TB) separat von der Systemsteuerung (ST) innerhalb des sicherheitsrelevanten Gesamtsystems (GS) realisiert, so ist sie typischerweise mittels des internen Datenbusses (IDB) der Systemsteuerung (ST) steuer- und bedienbar.The reactions of the evaluation device ( BV ) should be checked yes. This is preferably done by a test evaluation device ( TB ). This can be done with the Control Panel ( ST ) be identical in whole or in part. The proposed method therefore comprises in a further variant a programming of the test evaluation device ( TB ) with reference data for evaluating the virtual sensor data of the virtual sensor ( VS ), if the overall safety-related system ( GS ) is in the test state. These reference data represent the benchmark with which the test evaluation device ( TB ) the evaluation signals and / or provided evaluation data of the evaluation device ( BV ), ie the evaluation results of the evaluation device ( BV ) rated. Is the test evaluation device ( TB ) separately from the control panel ( ST ) within the safety-relevant overall system ( GS ), it is typically by means of the internal data bus (IDB) the Control Panel ( ST ) controllable and operable.
Da virtuelle Sensordaten durch den virtuellen Sensor (VS) erzeugbar sein sollen, die allen bestimmungsgemäß erlaubten Sensorsignalen des sicherheitsrelevanten Sensors (RV) entsprechen, kann es vorkommen, dass einzelne solcher Sensorsignale im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) zu einem unsicheren Zustand bestimmungsgemäß führen. Im Falle des beispielhaften Airbag-Sensorsystems als beispielhaftes sicherheitsrelevantes Gesamtsystem (GS) könnte dies beispielsweise ein Sensorsignal mit Sensordaten sein, dass eine Zündung des Airbags verursachen würde. Auch solche Sensordaten müssen als virtuelle Sensordaten verwendbar sein. Die Bewertungsvorrichtung (BV) muss nach dem Empfang solcher Sensordaten eine Bewertung vornehmen und entsprechende Signale erzeugen bzw. Bewertungsdaten bereitstellen, die diese Zündung im Normalzustand des Gesamtsystems (GS) auslösen würden. Ein solcher unsicherer Zustand muss aber zuverlässig verhindert werden. Daher wird in einer weiteren Variante vorgeschlagen, eine zumindest einfache, besser jedoch eine doppelte Blockierung unsicherer Zustände des sicherheitsrelevanten Gesamtsystems (GS) vor dem Übergang des sicherheitsrelevanten Gesamtsystems (GS) in den Testzustand vorzunehmen. Dies erfolgt bevorzugt durch die Systemsteuerung (ST) oder eine spezielle Sicherheitseinrichtung (SE), die mit der Systemsteuerung (ST) identisch sein kann. Bevorzugt weist hierzu ein Aktor-System, beispielsweise die eigentliche Zündansteuerung der Zündpille eines Airbags, mehrere Eingänge auf, die alle einen bestimmten Aktivierungszustand einnehmen müssen, bevor der unsichere Zustand, im Beispiel eines Airbag-Systems die Zündung des Airbags, eingenommen wird. Es wird mindestens einer, bevorzugt jedoch zwei dieser Eingänge blockiert, womit die Einnahme des unsicheren Zustands sicher verhindert wird. Ganz besonders bevorzugt werden alle Eingänge des Aktor-System blockiert, um die Sicherheit zu erhöhen. Diese Blockierung aller Eingänge des Aktor-System erfolgt wieder bevorzugt durch die Systemsteuerung (ST) oder eine spezielle Sicherheitseinrichtung (SE), die mit der Systemsteuerung (ST) identisch sein kann.Since virtual sensor data through the virtual sensor ( VS ) are to be generated, the all authorized according to the intended sensor signals of the safety-related sensor ( RV ), it may happen that individual such sensor signals in the normal state of the safety-relevant overall system ( GS ) lead to an unsafe condition as intended. In the case of the exemplary airbag sensor system as an exemplary safety-related overall system ( GS ), this could be, for example, a sensor signal with sensor data that would cause an ignition of the airbag. Even such sensor data must be usable as virtual sensor data. The evaluation device ( BV ) must after the receipt of such sensor data make an assessment and generate appropriate signals or provide evaluation data that this ignition in the normal state of the overall system ( GS ) would trigger. However, such an unsafe condition must be reliably prevented. Therefore, in a further variant, it is proposed to block at least a simple but better yet a double blockage of unsafe states of the safety-relevant overall system ( GS ) before the transition of the overall safety-related system ( GS ) to the test condition. This is preferably done by the system control ( ST ) or a special safety device ( SE ) with the control panel ( ST ) can be identical. For this purpose, an actuator system, for example the actual ignition control of the squib of an airbag, preferably has a plurality of inputs, all of which have to assume a specific activation state before the unsafe condition, in the example of an airbag system, the ignition of the airbag is taken. At least one, but preferably two, of these inputs are blocked, thus reliably preventing the assumption of the unsafe condition. Most preferably, all inputs of the actuator system are blocked to increase safety. This blocking of all inputs of the actuator system is again preferably by the system control ( ST ) or a special safety device ( SE ) with the control panel ( ST ) can be identical.
Vor oder mit dem Übergang des Zustands des sicherheitsrelevanten Gesamtsystems (GS) in den Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) wird diese Blockierung wieder aufgehoben, um die bestimmungsgemäße Funktion inklusive des bestimmungsgemäßen unsicheren Zustands zuzulassen und so den bestimmungsgemäßen Gebrauch des sicherheitsrelevanten Gesamtsystems (GS) wieder zuzulassen. Es erfolgt somit das Zulassen vorbestimmter unsicherer Zustände des sicherheitsrelevanten Gesamtsystems (GS) vor oder mit dem Übergang des sicherheitsrelevanten Gesamtsystems (GS) in den Normalzustand. Diese Aufhebung erfolgt wieder bevorzugt durch die Systemsteuerung (ST) oder eine spezielle Sicherheitseinrichtung (SE), die mit der Systemsteuerung (ST) identisch sein kann.Before or with the transition of the state of the safety-relevant overall system ( GS ) into the normal state of the safety-relevant overall system ( GS ), this blocking is canceled again in order to allow the intended function including the intended unsafe condition and thus the intended use of the safety-relevant overall system ( GS ) again. There is thus the admission of predetermined unsafe states of the safety-relevant overall system ( GS ) before or with the transition of the safety-relevant overall system ( GS ) in the normal state. This cancellation is again preferably by the system control ( ST ) or a special safety device ( SE ) with the control panel ( ST ) can be identical.
Diese Aufhebung der Blockierung darf jedoch nur dann erfolgen, wenn die Bewertung der Signalisierungen der Bewertungsvorrichtung (BV) und/oder der durch die Bewertungsvorrichtung (BV) bereitgestellten Bewertungsdaten durch die Testbewertungsvorrichtung (TB) in Form der Signalisierung oder Bereitstellung des Bewertungsergebnisses der Testbewertungsvorrichtung (TB) durch die Testbewertungsvorrichtung (TB) ergibt, dass die Signalisierungen der Bewertungsvorrichtung (BV) und/oder die durch die Bewertungsvorrichtung (BV) bereitgestellten Bewertungsdaten vorbestimmten Signalisierungen und/oder vorbestimmten Bewertungsdaten entsprechen. Ist dies nicht der Fall, so wird für diesen Fall hier vorgeschlagen, dass das sicherheitsrelevante Gesamtsystem (GS) dann einen zusätzlichen vorbestimmten Fehlerzustand einnehmen kann. Diese Einnahme des vorbestimmten Fehlerzustands des sicherheitsrelevanten Gesamtsystems (GS) umfasst bevorzugt ein fortdauerndes Blockieren vorbestimmter unsicherer Zustände des sicherheitsrelevanten Gesamtsystems (GS), die von den zuvor im Testzustand des Gesamtsystems blockierten unsicheren Zuständen des sicherheitsrelevanten Gesamtsystems (GS) abweichen können. Dieses fortdauernde Blockieren erfolgt wieder bevorzugt durch die Systemsteuerung (ST) oder eine spezielle Sicherheitseinrichtung (SE), die mit der Systemsteuerung (ST) identisch sein kann.However, this blockage may only be lifted if the evaluation of the signaling equipment ( BV ) and / or by the evaluation device ( BV ) provided evaluation data by the test evaluation device ( TB ) in the form of signaling or providing the evaluation result of the test evaluation device ( TB ) by the test evaluation device ( TB ) indicates that the signaling devices of the evaluation device ( BV ) and / or by the evaluation device ( BV ) provided rating data correspond to predetermined signaling and / or predetermined evaluation data. If this is not the case, then it is proposed here for this case that the safety-relevant overall system ( GS ) can then assume an additional predetermined error state. This assumption of the predetermined error state of the safety-relevant overall system ( GS ) preferably comprises a continuous blocking of predetermined unsafe states of the safety-relevant overall system ( GS ), which are precluded by the unsafe states of the overall safety-related system that were previously blocked in the test state of the overall system ( GS ) may differ. This persistent blocking is again preferably done by the system controller ( ST ) or a special safety device ( SE ) with the control panel ( ST ) can be identical.
Der Übergang des sicherheitsrelevanten Gesamtsystems (GS) vom Testzustand in den vorbestimmten Fehlerzustand erfolgt also dann, wenn die Bewertung der Signalisierungen der Bewertungsvorrichtung (BV) und/oder der durch die Bewertungsvorrichtung (BV) bereitgestellten Bewertungsdaten durch die Testbewertungsvorrichtung (TB) in Form der Signalisierung oder Bereitstellung des Bewertungsergebnisses der Testbewertungsvorrichtung (TB) durch die Testbewertungsvorrichtung (TB) ergibt, dass die Signalisierungen der Bewertungsvorrichtung (BV) und/oder die durch die Bewertungsvorrichtung (BV) bereitgestellten Bewertungsdaten vorbestimmten Signalisierungen und/oder vorbestimmten Bewertungsdaten NICHT entsprechen.The transition of the safety-relevant overall system ( GS ) from the test state to the predetermined error state is thus effected when the evaluation of the signaling of the evaluation device ( BV ) and / or by the evaluation device ( BV ) provided evaluation data by the test evaluation device ( TB ) in the form of signaling or providing the evaluation result of the test evaluation device ( TB ) by the test evaluation device ( TB ) indicates that the signaling devices of the evaluation device ( BV ) and / or by the evaluation device ( BV ) provided evaluation data NOT correspond predetermined signaling and / or predetermined evaluation data.
Je nach festgestelltem Fehler können ein sicherheitsrelevanter Sensor (RS) oder mehrere sicherheitsrelevante Sensoren (RS1, RS2, ... RSn) für die Verwendung der Sensordaten durch das sicherheitsrelevante Gesamtsystem (GS) gesperrt werden. Im Falle eines beispielhaften Airbag-Systems als beispielhaftes sicherheitsrelevantes Gesamtsystem (GS) kann beispielsweise die Art der Signalisierung an den Fahrer eines Fahrzeugs von der Schwere der Abweichung abhängen. Eine falsche Signalisierung an den Fahrer eines Fahrzeugs ist im Sinne dieser Offenlegung ein unsicherer Zustand des sicherheitsrelevanten Gesamtsystems (GS).Depending on the detected error, a safety-relevant sensor ( RS ) or several safety-related sensors ( RS1 . RS2 , ... RSn ) for the use of the sensor data by the safety-related overall system ( GS ) are locked. In the case of an exemplary airbag system as an exemplary safety-related overall system ( GS For example, the type of signaling to the driver of a vehicle may depend on the severity of the deviation. An incorrect signaling to the driver of a vehicle is in the sense of this disclosure an unsafe state of the safety-related overall system ( GS ).
Neben diesen Aspekten ist es noch sinnvoll, die Programmierung oder Einstellung des virtuellen Sensors mit solchen Daten vorzunehmen, die inkonsistente, redundante virtuelle Sensordaten zur Folge haben. Beispielsweise können diese fehlerhaften virtuellen Sensordaten für die beabsichtigten testzwecke CRC- oder Parity- Fehler beinhalten. Der virtuelle Sensor (VS) muss also in der Lage sein, fehlerhafte virtuelle Sensordaten in vorbestimmter Weise zu für die Verwendung zu Testzwecken innerhalb des sicherheitsrelevanten Gesamtsystems (GS) erzeugen zu können.In addition to these aspects, it makes sense to program or adjust the virtual sensor with data that results in inconsistent, redundant virtual sensor data. For example, these erroneous virtual sensor data may include CRC or parity errors for the intended test purposes. The virtual sensor ( VS ) must therefore be able to provide faulty virtual sensor data in a predetermined manner for use for test purposes within the overall safety-relevant system ( GS ).
Ebenso sollte der virtuelle Sensor (VS) unplausible virtuelle Sensordaten erzeugen können. Solche unplausiblen Daten wären beispielsweise virtuelle Sensordaten mit falschem Vorzeichen oder Sensordaten mit Grenzwertüberschreitungen- oder Grenzwertunterschreitungen oder mehrdimensionale Sensordaten mit nicht erlaubten Wertekombinationen oder Sequenzen von Sensordaten mit nicht erlaubten Sensorwertabfolgen etc.Similarly, the virtual sensor ( VS ) can generate implausible virtual sensor data. Such implausible data would be, for example, virtual sensor data with a false sign or sensor data with Grenzwertüberschreitungen- or limit value underruns or multi-dimensional sensor data with unacceptable combinations of values or sequences of sensor data with unauthorized sensor value sequences, etc.
Besonders bevorzugt ist es, wenn eine Möglichkeit vorgesehen wird, der virtuellen Quelle in Form des virtuellen Sensors (VS) Informationen über den Ursprung der virtuellen Sensordaten hinzuzufügen. Dies ermöglicht die Prüfung multipler Pfade in der Bewertungsvorrichtung (BV). Bevorzugt ist hierbei der Verlauf der Datenpfade der Sensordaten in der Bewertungsvorrichtung (BV) von diesen Informationen über den Ursprung der Sensordaten abhängig. In diesem Fall ist es in einigen Fällen vorteilhaft, wenn je nach Ursprung der Sensordaten (z.B. aus unterschiedlichen Sensoren (RS1, RS2,... RSn) unterschiedliche Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) innerhalb der Bewertungsvorrichtung (BV) für die Bewertung der Daten durch die Bewertungsvorrichtung (BV) verwendet werden.It is particularly preferred if a possibility is provided, the virtual source in the form of the virtual sensor ( VS ) Add information about the origin of the virtual sensor data. This allows the examination of multiple paths in the evaluation device ( BV ). In this case, the course of the data paths of the sensor data in the evaluation device is preferred ( BV ) depends on this information about the origin of the sensor data. In this case, it is advantageous in some cases if, depending on the origin of the sensor data (eg, from different sensors ( RS1 . RS2 ... RSn ) different evaluation subsystems ( BTV1 . BTV2 , ... BTVn ) within the evaluation device ( BV ) for the evaluation of the data by the evaluation device ( BV ) be used.
In diesem Fall wird ein Verfahren vorgeschlagen, bei dem die Bewertungsvorrichtung (BV) mindestens zwei verschiedene Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) aufweist. Eine solche vorgeschlagene Vorrichtung ist insbesondere dann sinnvoll, wenn verschiedene sicherheitsrelevante Sensoren (RS1, RS2, ... RSn) unterschiedlicher Sensortypen oder mehrere sicherheitsrelevante Sensoren (RS1, RS2, ... RSn) an dem gleichen Sensordatenbus (DB) angeschlossen sind. In dem Fall hat der Sensordatenbus (DB) also eine sternförmige Grundstruktur. Im Sinne dieser Offenlegung liegen mehrere Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) bereits dann vor, wenn eine Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) aufgrund von Informationen in den Sensordaten so umkonfiguriert werden kann, dass sie einer zweiten Bewertungsteilvorrichtung (z.B. BTV2) entspricht. In dem Fall liegt ein Zeitmultiplex statt eines Raummultiplex der Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) vor. Die Sensordaten der mehreren sicherheitsrelevanten Sensoren (RS1, RS2... RSn) enthalten dann bevorzugt Informationen über die Quelle der jeweiligen Sensordaten. Aufgrund dieser Informationen wird innerhalb einer Bewertungsvorrichtung (BV) zumindest eine betreffende Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) der Bewertungsvorrichtung (BV) aktiviert. Ggf. werden auch zwei, drei oder mehr Bewertungsteilvorrichtungen der Bewertungsteilvorrichtungen (BTV1, BTV2,...BTVn) aktiviert. Welche Bewertungsteilvorrichtungen (BTV) im Einzelnen genau aktiviert werden oder inaktiv bleiben, hängt von den Informationen über die Quelle der jeweiligen Sensordaten in den Sensordaten ab, die durch die Bewertungsteilvorrichtung (BV), deren Teil die Bewertungsteilvorrichtungen (BTV1, BTV2, .....BTVn) sind, empfangen werden. Wir gehen nun in der folgenden Beschreibung vereinfachend davon aus, dass eine betreffende Bewertungsteilvorrichtung (BTV) dieser Bewertungsteilvorrichtungen (BTV1, BTV2 bis BTVn) der Bewertungsvorrichtung (BV) aktiviert wird und benennen diese betreffende Bewertungsvorrichtung (BTV). Es kann sich aber um eine beliebige dieser Bewertungsteilvorrichtungen (BTV1, BTV2, bis BTVn) der Bewertungsvorrichtung (BV) handeln. Diese betreffende Bewertungsteilvorrichtung (BTV) der mindestens zwei Bewertungsteilvorrichtungen(BTV1, BTV2, .... BTVn) empfängt aufgrund der besagten Informationen in den Sensordaten im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) Sensordaten über den Sensordatenbus (DB) von einem betreffenden sicherheitsrelevanten Sensor (RS) der sicherheitsrelevanten Sensoren (RS1, RS2, ... RSn). Dies geschieht voraussetzungsgemäß nur dann, wenn die Informationen über die Quelle der Sensordaten innerhalb der Sensordaten des betreffenden sicherheitsrelevanten Sensors (RS) vorbestimmten Kriterien genügen.In this case, a method is proposed in which the evaluation device ( BV ) at least two different evaluation subsystems ( BTV1 . BTV2 , ... BTVn ) having. Such a proposed device is particularly useful when different safety-related sensors ( RS1 . RS2 , ... RSn ) of different sensor types or several safety-related sensors ( RS1 . RS2 , ... RSn ) on the same sensor data bus ( DB ) are connected. In that case, the sensor data bus ( DB ) So a star-shaped basic structure. For the purposes of this disclosure, several evaluation sub-assemblies ( BTV1 . BTV2 , ... BTVn ) already exists when a rating sub-device ( BTV ) of the evaluation subsystems ( BTV1 . BTV2 , ... BTVn ) can be reconfigured based on information in the sensor data so that it a second evaluation sub-device (eg BTV2 ) corresponds. In that case there is a time division multiplex instead of a spatial multiplex of the evaluation subsystems ( BTV1 . BTV2 , ... BTVn ) in front. The sensor data of the several safety-related sensors ( RS1 . RS2 ... RSn ) then preferably contain information about the source of the respective sensor data. Because of this information, within an evaluation device ( BV ) at least one evaluation sub-device ( BTV ) of the evaluation subsystems ( BTV1 . BTV2 , ... BTVn ) of the evaluation device ( BV ) is activated. Possibly. Also, two, three or more evaluation sub-devices of the evaluation sub-devices ( BTV1 . BTV2 , ... BTVn) activated. Which evaluation subsystems ( BTV ) can be precisely activated or remain inactive depends on the information about the source of the respective sensor data in the sensor data, which is passed through the evaluation sub-device ( BV ), part of which are the evaluation subsystems ( BTV1 . BTV2 , ..... BTVn) are received. For the sake of simplicity, we will now assume in the following description that a respective evaluation sub-device ( BTV ) of these evaluation subsystems ( BTV1 . BTV2 to BTVn ) of the evaluation device ( BV ) and name that particular evaluation device ( BTV ). However, it may be any of these evaluation subsystems ( BTV1 . BTV2 , to BTVn ) of the evaluation device ( BV ) act. This relevant evaluation sub-device ( BTV ) of the at least two evaluation subsystems ( BTV1 . BTV2 , .... BTVn ) receives on the basis of said information in the sensor data in the normal state of the safety-relevant overall system ( GS ) Sensor data via the sensor data bus ( DB ) from a relevant safety-related sensor ( RS ) of the safety-related sensors ( RS1 . RS2 , ... RSn ). As a precondition, this happens only if the information about the source of the sensor data within the sensor data of the relevant safety-related sensor ( RS ) meet predetermined criteria.
Für diesen Fall, dass die Informationen über die Quelle der Sensordaten innerhalb der Sensordaten diesen vorbestimmten Kriterien genügen, bewertet nun die betreffende Bewertungsteilvorrichtung (BTV) im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) die Sensordaten des betreffenden sicherheitsrelevanten Sensors (RS). Die betreffende Bewertungsteilvorrichtung (BTV) führt dann unter dieser Vorbedingung, dass die Informationen über die Quelle der Sensordaten innerhalb der Sensordaten diesen vorbestimmten Kriterien genügen, im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) Signalisierungen in Abhängigkeit von diesen Sensordaten durch. Die betreffende Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, .... BTVn) kann gleichzeitig oder alternativ dazu unter dieser Vorbedingung, dass die Informationen über die Quelle der Sensordaten innerhalb der Sensordaten diesen vorbestimmten Kriterien genügen, im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) Bewertungsdaten bereitstellen, die von diesen Sensordaten abhängen. In this case that the information about the source of the sensor data within the sensor data meets these predetermined criteria, the relevant evaluation sub-device now evaluates ( BTV ) in the normal state of the safety-relevant overall system ( GS ) the sensor data of the relevant safety-relevant sensor ( RS ). The relevant evaluation sub-device ( BTV ) then, under this precondition, that the information about the source of the sensor data within the sensor data satisfies these predetermined criteria, in the normal state of the safety-relevant overall system ( GS ) Signaling in response to this sensor data. The relevant evaluation sub-device ( BTV ) of the evaluation subsystems ( BTV1 . BTV2 , .... BTVn ) can simultaneously or alternatively under this precondition that the information about the source of the sensor data within the sensor data meet these predetermined criteria, in the normal state of the safety-relevant overall system ( GS ) Provide rating data that depends on this sensor data.
Die Einspeisevorrichtung (EV) empfängt wieder im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) Sensordaten vom besagten betreffenden sicherheitsrelevanten Sensor (RS) der sicherheitsrelevanten Sensoren (RS1, RS2,... RSn) und modifiziert diese oder modifiziert diese nicht. Die Einspeisevorrichtung (EV) leitet diese Sensordaten an die betreffende Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) weiter.The feeding device ( EV ) receives again in the normal state of the safety-relevant overall system ( GS ) Sensor data from said respective safety-related sensor ( RS ) of the safety-related sensors ( RS1 . RS2 ... RSn ) and modifies or does not modify them. The feeding device ( EV ) passes this sensor data to the relevant evaluation sub-device ( BTV ) of the evaluation subsystems ( BTV1 . BTV2 , ... BTVn ) further.
Im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) empfängt die Einspeisevorrichtung (EV) virtuelle Sensordaten vom virtuellen Sensor (VS), statt der Sensordaten des betreffenden sicherheitsrelevanten Sensors (RS) der sicherheitsrelevanten Sensoren (RS1, RS2, ... RSn). Die Einspeisevorrichtung (EV) modifiziert diese virtuellen Sensordaten des virtuellen Sensors (SV) oder modifiziert diese nicht. Im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) leitet die Einspeisevorrichtung (EV) diese virtuellen Sensordaten an Stelle der Sensordaten der sicherheitsrelevanten Sensoren (RS1, RS2, ... RSn) an die betreffende Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, ....BTVn) der Bewertungsvorrichtung (BV) weiter. Dabei enthalten auch diese virtuellen Sensordaten nun Informationen über eine simulierte Quelle der virtuellen Sensordaten. Hierdurch wird es möglich, verschiedene Sensortypen als sicherheitsrelevante Sensoren (RS1, RS2, ... RSn) an einem sternförmigen Sensordatenbus (DB) zu betreiben und deren typischerweise verschiedene Sensordaten durch den virtuellen Sensor (VS) mit seinen virtuellen Sensordaten zu emulieren und die korrekte und doch verschiedene Bewertung durch die Bewertungsvorrichtung (BV) und ihre Bewertungsteilvorrichtungen (BTV1, BTV2, .... BTVn) zu überprüfen.In the test state of the safety-relevant overall system ( GS ) receives the feed device ( EV ) virtual sensor data from the virtual sensor ( VS ), instead of the sensor data of the relevant safety-relevant sensor ( RS ) of the safety-related sensors ( RS1 . RS2 , ... RSn ). The feeding device ( EV ) modifies or does not modify this virtual sensor data of the virtual sensor (SV). In the test state of the safety-relevant overall system ( GS ) directs the feed device ( EV ) this virtual sensor data instead of the sensor data of the safety-related sensors ( RS1 . RS2 , ... RSn ) to the relevant evaluation sub-device ( BTV ) of the evaluation subsystems ( BTV1 . BTV2 , .... BTVn) of the evaluation device ( BV ) further. These virtual sensor data now also contain information about a simulated source of the virtual sensor data. This makes it possible to use different sensor types as safety-relevant sensors ( RS1 . RS2 , ... RSn ) on a star-shaped sensor data bus ( DB ) and their typically different sensor data by the virtual sensor ( VS ) with its virtual sensor data and the correct and yet different evaluation by the evaluation device ( BV ) and their evaluation subsystems ( BTV1 . BTV2 , .... BTVn ) to check.
Für den Fall, dass die Informationen über die simulierte Quelle der virtuellen Sensordaten innerhalb der virtuellen Sensordaten vorbestimmten Kriterien genügen, bewertet die betreffende Bewertungsteilvorrichtung (BVT) der Bewertungsteilvorrichtungen (BTV1, BTV2, .... BTVn) im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) die virtuellen Sensordaten. In diesem Fall, dass die Informationen über die simulierte Quelle der virtuellen Sensordaten innerhalb der virtuellen Sensordaten vorbestimmten Kriterien genügen, führt die betreffende Bewertungsteilvorrichtung (BVT) der Bewertungsteilvorrichtungen (BTV1, BTV2, .... BTVn) im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) Signalisierungen in Abhängigkeit von diesen virtuellen Sensordaten aus. Gleichzeitig oder alternativ dazu, wenn die Informationen über die simulierte Quelle der virtuellen Sensordaten innerhalb der virtuellen Sensordaten vorbestimmten Kriterien genügen, kann die betreffende Bewertungsteilvorrichtung (BVT) der Bewertungsteilvorrichtungen (BTV1, BTV2, .... BTVn) im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) Bewertungsdaten bereitstellen, die von diesen virtuellen Sensordaten abhängen.In the event that the information about the simulated source of the virtual sensor data within the virtual sensor data meets predetermined criteria, the relevant evaluation subsystem (BVT) of the evaluation subsystems BTV1 . BTV2 , .... BTVn ) in the test state of the safety-relevant overall system ( GS ) the virtual sensor data. In this case, if the information about the simulated source of the virtual sensor data within the virtual sensor data meets predetermined criteria, the relevant evaluation subsystem (BVT) of the evaluation subsystems (FIG. BTV1 . BTV2 , .... BTVn ) in the test state of the safety-relevant overall system ( GS ) Signaling in response to this virtual sensor data. Simultaneously, or alternatively, if the information about the simulated source of the virtual sensor data within the virtual sensor data meets predetermined criteria, the relevant evaluation sub-device (BVT) of the evaluation sub-devices (FIG. BTV1 . BTV2 , .... BTVn ) in the test state of the safety-relevant overall system ( GS ) Provide rating data that depends on this virtual sensor data.
Vorzugsweise ist die Systemsteuerung (ST) oder eine spezielle Sicherheitseinrichtung (SE) in der Lage, etwaige sicherheitsrelevante Funktionen während der Überprüfungen zu blockieren, um Fehlauslösungen während der Prüfungen sicher zu unterbinden.Preferably, the system controller ( ST ) or a special safety device ( SE ) is able to block any safety-related functions during the checks in order to reliably prevent false tripping during the tests.
In einer vereinfachten Version des Verfahrens zur Prüfung einer sicherheitsrelevanten Bewertungsvorrichtung (BV) für Signale und/oder Daten eines sicherheitsrelevanten Sensors (RS) als Teil eines sicherheitsrelevanten Gesamtsystems (GS) kann auf die Einspeisevorrichtung (EV) verzichtet werden. Dies insbesondere dann der Vorteil, wenn der sicherheitsrelevante Sensor (RS) direkt über eine Datenschnittstelle (IF) an den internen Datenbus (IDB) angeschlossen ist. Die gesamte Kommunikation kann also auch über den internen Datenbus (IDB) abgewickelt werden. Das sicherheitsrelevante Gesamtsystem (GS) umfasst dann einen virtuellen Sensor (VS), eine Systemsteuerung (ST) und Mittel, um die Kommunikation zwischen diesen zu ermöglichen, also beispielsweise den internen Datenbus (IDB), die Datenschnittstelle (IF) und den externen Sensordatenbus (EDB). Das sicherheitsrelevante Gesamtsystem (GS) kann sich auch jetzt wieder ein einem Normalzustand und in einem Testzustand befinden. Das vorgeschlagene Verfahren umfasst dann den Empfang von Sensordaten des sicherheitsrelevanten Sensors (RS) im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) durch die Bewertungsvorrichtung (BV) und die Bewertung dieser Sensordaten des sicherheitsrelevanten Sensors (RS) im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) durch die Bewertungsvorrichtung (BV) zur Erzeugung eines Bewertungsergebnisses der Bewertungsvorrichtung (BV). Im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) umfasst das vorgeschlagene Verfahren den Empfang von virtuellen Sensordaten des virtuellen Sensors (VS) durch die Bewertungsvorrichtung (BV) und die Bewertung dieser virtuellen Sensordaten des virtuellen Sensors (VS) durch die Bewertungsvorrichtung (BV) zur Erzeugung eines Bewertungsergebnisses der Bewertungsvorrichtung (BV). Das Verfahren umfasst unabhängig von dem Normalzustand oder Testzustand des Gesamtsystems (GS) die Signalisierung des Bewertungsergebnisses der Bewertungsvorrichtung (BV) und/oder Bereitstellung des Bewertungsergebnisses der Bewertungsvorrichtung (BV) in Form von Bewertungsdaten durch die Bewertungsvorrichtung (BV). Weitere Varianten entsprechen analog den Merkmalen der zuvor besprochenen Varianten mit Einspeisevorrichtung (EV). Bei mehreren Bewertungsteilvorrichtungen stellt sich eine Variante des Verfahrens dann aber ohne Einspeisevorrichtung (EV) so dar, dass das sicherheitsrelevante Gesamtsystem auch mehr als einen sicherheitsrelevanten Sensor (RS1, RS2, ... RSn) aufweisen kann. Entsprechend weist die Bewertungsvorrichtung (BV) in dieser Variante mindestens zwei verschiedene Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) auf. Die Sensordaten umfassen dann bevorzugt Informationen über eine simulierte Quelle der Sensordaten. Ebenso umfassen dann die virtuellen Sensordaten Informationen über die simulierte Quelle der virtuellen Sensordaten.In a simplified version of the method for testing a safety-relevant evaluation device ( BV ) for signals and / or data of a safety-related sensor ( RS ) as part of a safety-related overall system ( GS ) can be applied to the feed device ( EV ) are waived. This is especially the advantage if the safety-relevant sensor ( RS ) directly via a data interface ( IF ) to the internal data bus (IDB) connected. The entire communication can therefore also via the internal data bus (IDB) be handled. The safety-relevant overall system ( GS ) then includes a virtual sensor ( VS ), a system control ( ST ) and means to facilitate communication between them, such as the internal data bus (IDB) , the data interface ( IF ) and the external sensor data bus ( EDB ). The safety-relevant overall system ( GS ) can now be back to a normal state and in a test state. The proposed method then includes the reception of sensor data of the safety-relevant sensor ( RS ) in the normal state of safety-relevant overall system ( GS ) by the evaluation device ( BV ) and the evaluation of this sensor data of the safety-relevant sensor ( RS ) in the normal state of the safety-relevant overall system ( GS ) by the evaluation device ( BV ) for generating an evaluation result of the evaluation device ( BV ). In the test state of the safety-relevant overall system ( GS ), the proposed method comprises the reception of virtual sensor data of the virtual sensor ( VS ) by the evaluation device ( BV ) and the evaluation of this virtual sensor data of the virtual sensor ( VS ) by the evaluation device ( BV ) for generating an evaluation result of the evaluation device ( BV ). The method comprises independent of the normal state or test state of the overall system ( GS ) the signaling of the evaluation result of the evaluation device ( BV ) and / or providing the evaluation result of the evaluation device ( BV ) in the form of evaluation data by the evaluation device ( BV ). Other variants correspond analogously to the features of the previously discussed variants with a feed device ( EV ). In the case of several evaluation subassemblies, a variant of the method then arises without a feed device ( EV ) in such a way that the overall safety-relevant system also has more than one safety-relevant sensor ( RS1 . RS2 , ... RSn ). Accordingly, the evaluation device ( BV ) in this variant, at least two different evaluation sub-devices ( BTV1 . BTV2 , ... BTVn ) on. The sensor data then preferably includes information about a simulated source of the sensor data. Likewise, the virtual sensor data then includes information about the simulated source of the virtual sensor data.
Das Verfahren umfasst in dieser Variante dann den Empfang von Sensordaten eines betreffenden sicherheitsrelevanten Sensors (RS) der sicherheitsrelevanten Sensoren (RS1, RS2, .... RSn) durch eine betreffende Bewertungsvorrichtung (BTV) der mindestens zwei Bewertungsteilvorrichtungen (BTV1, BTV2,... BTVn) im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS), wenn die Informationen über die Quelle der Sensordaten innerhalb der Sensordaten des sicherheitsrelevanten Sensors der sicherheitsrelevanten Sensoren (RS1, RS2, ... RSn) vorbestimmten Kriterien genügen. Es folgt die Bewertung der Sensordaten des betreffenden sicherheitsrelevanten Sensors (RS) durch die betreffende Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS), wenn die Informationen über die Quelle der Sensordaten innerhalb der Sensordaten diesen vorbestimmten Kriterien genügen und/oder die Erzeugung eines Bewertungsergebnisses durch die betreffende Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) in Abhängigkeit von diesen Sensordaten im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS). Im Testzustand des Gesamtsystem erfolgt jedoch stattdessen der Empfang von virtuellen Sensordaten eines virtuellen Sensors (VS) durch eine betreffende Bewertungsvorrichtung (BTV) der mindestens zwei Bewertungsteilvorrichtungen (BTV1, BTV2,...BTVn) im Testzustand des sicherheitsrelevanten Gesamtsystems (GS), wenn die Informationen über die simulierte Quelle der virtuellen Sensordaten innerhalb der virtuellen Sensordaten vorbestimmten Kriterien genügen und die Bewertung der virtuellen Sensordaten des virtuellen Sensors (VS) durch die betreffende Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) im Testzustand des sicherheitsrelevanten Gesamtsystems (GS), wenn die Informationen über die Quelle der virtuellen Sensordaten innerhalb der virtuellen Sensordaten diesen vorbestimmten Kriterien genügen, sowie die Erzeugung eines Bewertungsergebnisses durch die betreffende Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) in Abhängigkeit von diesen virtuellen Sensordaten im Testzustand des sicherheitsrelevanten Gesamtsystems (GS), wenn die Informationen über die Quelle der virtuellen Sensordaten innerhalb der virtuellen Sensordaten diesen vorbestimmten Kriterien genügen. Abschließend erfolgt die Signalisierungen des Bewertungsergebnisses und/oder die Bereitstellung des Bewertungsergebnisses der betreffenden Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) in Form von Bewertungsdaten durch die betreffende Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn).In this variant, the method then comprises the reception of sensor data of a relevant safety-relevant sensor ( RS ) of the safety-related sensors ( RS1 . RS2 , .... RSn ) by a respective evaluation device ( BTV ) of the at least two evaluation subsystems ( BTV1 . BTV2 ... BTVn ) in the normal state of the safety-relevant overall system ( GS ), if the information about the source of the sensor data within the sensor data of the safety-relevant sensor of the safety-relevant sensors ( RS1 . RS2 , ... RSn ) meet predetermined criteria. This is followed by the evaluation of the sensor data of the relevant safety-relevant sensor ( RS ) by the relevant evaluation sub-device ( BTV ) of the evaluation subsystems ( BTV1 . BTV2 , ... BTVn ) in the normal state of the safety-relevant overall system ( GS ), if the information about the source of the sensor data within the sensor data meets these predetermined criteria and / or the generation of an evaluation result by the relevant evaluation sub-device ( BTV ) of the evaluation subsystems ( BTV1 . BTV2 , ... BTVn ) as a function of these sensor data in the normal state of the safety-relevant overall system ( GS ). In the test state of the overall system, however, instead of the reception of virtual sensor data of a virtual sensor ( VS ) by a respective evaluation device ( BTV ) of the at least two evaluation subsystems ( BTV1 . BTV2 , ... BTVn) in the test state of the safety-relevant overall system ( GS ), if the information about the simulated source of the virtual sensor data within the virtual sensor data meets predetermined criteria and the evaluation of the virtual sensor data of the virtual sensor ( VS ) by the relevant evaluation sub-device ( BTV ) of the evaluation subsystems ( BTV1 . BTV2 , ... BTVn ) in the test state of the safety-relevant overall system ( GS ), if the information about the source of the virtual sensor data within the virtual sensor data meets these predetermined criteria, and the generation of an evaluation result by the evaluation sub-device concerned ( BTV ) of the evaluation subsystems ( BTV1 . BTV2 , ... BTVn ) as a function of these virtual sensor data in the test state of the safety-relevant overall system ( GS ) when the information about the source of the virtual sensor data within the virtual sensor data meets these predetermined criteria. Finally, the signaling of the evaluation result and / or the provision of the evaluation result of the relevant evaluation sub-device ( BTV ) of the evaluation subsystems ( BTV1 . BTV2 , ... BTVn ) in the form of evaluation data by the relevant evaluation sub-device ( BTV ) of the evaluation subsystems ( BTV1 . BTV2 , ... BTVn ).
Diesen Verfahrensvarianten korrespondiert wieder eine entsprechende Vorrichtung zur Durchführung eines Verfahrens zur Prüfung einer sicherheitsrelevanten Bewertungsvorrichtung (BV) für Signale und/oder Daten eines sicherheitsrelevanten Sensors (RS) als Teil eines sicherheitsrelevanten Gesamtsystems (GS). Das sicherheitsrelevante Gesamtsystem (GS) umfasst einen virtuellen Sensor (VS) und eine Systemsteuerung (ST). Das sicherheitsrelevante Gesamtsystem (GS) kann sich in einem Normalzustand und in einem Testzustand befinden. Die Bewertungsvorrichtung (BV) empfängt im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) Sensordaten von dem sicherheitsrelevanten Sensor (RS) und bewertet die Sensordaten des sicherheitsrelevanten Sensors (RS). Im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) nimmt die Bewertungsvorrichtung (BV) Signalisierungen in Abhängigkeit von diesen Sensordaten vor und/oder stellt im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) Bewertungsdaten bereit, die von diesen Sensordaten abhängen. Im Testzustand des Gesamtsystems (GS) empfängt stattdessen die Bewertungsvorrichtung (BV) virtuelle Sensordaten von dem virtuellen Sensor (VS) und bewertet im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) die virtuellen Sensordaten des virtuellen Sensors (VS) und nimmt im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) Signalisierungen in Abhängigkeit von diesen virtuellen Sensordaten vor oder stellt im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) Bewertungsdaten bereit, die von diesen virtuellen Sensordaten abhängen. Auch hier kann eine Variante mit mehr als zwei Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) vorgesehen werden. Die Bewertungsvorrichtung (BV) weist dann wieder mindestens zwei verschiedene Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) auf. Die Sensordaten umfassen dann wieder Informationen über die Quelle der Sensordaten, also insbesondere Informationen über den betreffenden sicherheitsrelevanten Sensor der sicherheitsrelevanten Sensoren (RS1, RS2, ... RSn), der die Sensordaten erzeugt hat. Ebenso umfassen die virtuellen Sensordaten des virtuellen Sensors (VS) Informationen über eine simulierte Quelle für virtuelle Sensordaten. Eine Bewertungsvorrichtung (BTV) der mindestens zwei Bewertungsteilvorrichtungen(BTV1, BTV2, ... BTVn) empfängt im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) Sensordaten von dem sicherheitsrelevanten Sensor (RS) der sicherheitsrelevanten Sensoren (RS1, RS2, ... RSn), wenn die Informationen über die Quelle der Sensordaten innerhalb der Sensordaten vorbestimmten Kriterien genügen, wobei für den Fall, dass die Informationen über die Quelle der Sensordaten innerhalb der Sensordaten diesen vorbestimmten Kriterien genügen, die Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) die Sensordaten des sicherheitsrelevanten Sensors (RS) der sicherheitsrelevanten Sensoren (RS1, RS2, ... RSn) bewertet und im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) Signalisierungen in Abhängigkeit von diesen Sensordaten vornimmt und/oder im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) Bewertungsdaten bereitstellt, die von diesen Sensordaten abhängen. Im Testzustand des sicherheitsrelevanten Gesamtsystems empfängt eine Bewertungsvorrichtung (BTV) der mindestens zwei Bewertungsteilvorrichtungen(BTV1, BTV2, ... BTVn) virtuelle Sensordaten von dem virtuellen Sensor (VS), wenn die Informationen über die Quelle der virtuellen Sensordaten innerhalb der virtuellen Sensordaten vorbestimmten Kriterien genügen, wobei für den Fall, dass die Informationen über die Quelle der virtuellen Sensordaten innerhalb der Sensordaten diesen vorbestimmten Kriterien genügen, die Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) die virtuellen Sensordaten des virtuellen Sensors (VS) bewertet und im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) Signalisierungen in Abhängigkeit von diesen virtuellen Sensordaten vornimmt und/oder im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) Bewertungsdaten bereitstellt, die von diesen virtuellen Sensordaten abhängen.These method variants correspond again to a corresponding device for carrying out a method for testing a safety-relevant evaluation device ( BV ) for signals and / or data of a safety-related sensor ( RS ) as part of a safety-related overall system ( GS ). The safety-relevant overall system ( GS ) includes a virtual sensor ( VS ) and a system control ( ST ). The safety-relevant overall system ( GS ) may be in a normal state and in a test state. The evaluation device ( BV ) receives in the normal state of the safety-relevant overall system ( GS ) Sensor data from the safety-relevant sensor ( RS ) and evaluates the sensor data of the safety-relevant sensor ( RS ). In the normal state of the safety-relevant overall system ( GS ) the rating device ( BV ) Signaling in dependence on these sensor data before and / or in the normal state of the safety-relevant overall system ( GS ) Evaluation data prepared by this sensor data depend. In the test state of the overall system ( GS ) receives instead the evaluation device ( BV ) virtual sensor data from the virtual sensor ( VS ) and assesses in the test state of the safety-relevant overall system ( GS ) the virtual sensor data of the virtual sensor ( VS ) and in the test state of the safety-relevant overall system ( GS ) Signaling in dependence on this virtual sensor data or in the test state of the safety-relevant overall system ( GS ) Provides rating data that depends on this virtual sensor data. Again, a variant with more than two evaluation sub-devices ( BTV1 . BTV2 , ... BTVn ). The evaluation device ( BV ) again has at least two different evaluation subsystems ( BTV1 . BTV2 , ... BTVn ) on. The sensor data then again contain information about the source of the sensor data, that is to say in particular information about the relevant safety-relevant sensor of the safety-related sensors ( RS1 . RS2 , ... RSn ), which generated the sensor data. Likewise, the virtual sensor data of the virtual sensor ( VS ) Information about a simulated source of virtual sensor data. An evaluation device ( BTV ) of the at least two evaluation subsystems ( BTV1 . BTV2 , ... BTVn ) receives in the normal state of the safety-relevant overall system ( GS ) Sensor data from the safety-relevant sensor ( RS ) of the safety-related sensors ( RS1 . RS2 , ... RSn ), if the information about the source of the sensor data within the sensor data meets predetermined criteria, and in the event that the information about the source of the sensor data within the sensor data meets these predetermined criteria, the evaluation sub-device ( BTV ) of the evaluation subsystems ( BTV1 . BTV2 , ... BTVn ) in the normal state of the safety-relevant overall system ( GS ) the sensor data of the safety-relevant sensor ( RS ) of the safety-related sensors ( RS1 . RS2 , ... RSn ) and in the normal state of the safety-relevant overall system ( GS ) Performs signaling in dependence on this sensor data and / or in the normal state of the safety-relevant overall system ( GS ) Provides rating data that depends on this sensor data. In the test state of the safety-relevant overall system, an evaluation device ( BTV ) of the at least two evaluation subsystems ( BTV1 . BTV2 , ... BTVn ) virtual sensor data from the virtual sensor ( VS ), when the information about the source of the virtual sensor data within the virtual sensor data satisfies predetermined criteria, and in the event that the information about the source of the virtual sensor data within the sensor data satisfies these predetermined criteria, the evaluation sub-device ( BTV ) of the evaluation subsystems ( BTV1 . BTV2 , ... BTVn ) in the test state of the safety-relevant overall system ( GS ) the virtual sensor data of the virtual sensor ( VS ) and in the test condition of the safety-relevant overall system ( GS ) Carries out signaling in dependence on this virtual sensor data and / or in the test state of the safety-relevant overall system ( GS ) Provides rating data that depends on this virtual sensor data.
Vorteil des VorschlagsAdvantage of the proposal
Die vorgeschlagene Vorrichtung nutzt ein Verfahren zur Prüfung einer sicherheitsrelevanten Bewertungsvorrichtung (BV) für Signale und/oder Daten eines sicherheitsrelevanten Sensors (RS) und die zugehörige Vorrichtung ermöglichen zumindest in einigen Realisierungen die Erkennung latenter Fehler in komplexen Bewertungsvorrichtungen (BV) durch Testdaten (virtuelle Sensordaten) mit minimalem Eingriff in die kritischen Sensordatenpfade des sicherheitsrelevanten Gesamtsystems (GS). Die Vorteile sind hierauf aber nicht beschränkt.The proposed device uses a method for testing a safety-relevant evaluation device ( BV ) for signals and / or data of a safety-related sensor ( RS ) and the associated device enable, at least in some implementations, the detection of latent errors in complex evaluation devices ( BV ) by means of test data (virtual sensor data) with minimal intervention in the critical sensor data paths of the safety-relevant overall system ( GS ). The advantages are not limited to this.
Beispielsweise kann eine Teilvorrichtung zur Durchführung des vorgeschlagenen Verfahrens in eine integrierte mikroelektronische Schaltung (IC) für Sicherheitsanwendungen nach ISO26262 integriert werden. Somit eignet sich das vorgeschlagene Verfahren zur Durchführung als eingebettetes Verfahren innerhalb einer mikroelektronischen Schaltung (IC). Ein solches Verfahren kann also beispielsweise als Hardware, Firmware oder Software in einer solchen mikroelektronischen Schaltung (IC), also als Vorrichtung, implementiert werden. Es wird somit die Möglichkeit geschaffen, in sicherheitsrelevanten Gesamtsystemen, Sensordaten so nahe am jeweiligen sicherheitsrelevanten Sensor (RS) wie möglich im Sensordatenpfad der Verarbeitungskette einzuspeisen und damit das Maß an Quer-Eingriffen in der Verarbeitungskette insbesondere auf die Einspeisevorrichtung (EV) für virtuelle Sensordaten zu reduzieren. Die gezielte Einspeisung fehlerhafter virtueller Sensordaten in die Bewertungsvorrichtung (BV) wird somit ermöglicht, ohne direkt in die sicherheitsrelevanten Baugruppen zur Ermittlung oder Bewertung von Sensordaten eingreifen zu müssen. Die Reaktion der Bewertungsvorrichtung (BV) kann somit auf einfache Weise ermittelt und gegenüber einer Referenzreaktion verglichen werden, was die Erkennung von Fehlern der Bewertungsvorrichtung (BV) ermöglicht, die dem Nichterkennen von Fehlern in den Sensordaten entsprechen. Umgekehrt wird die gezielte Einspeisung korrekter virtueller Sensordaten in die Bewertungsvorrichtung (BV) somit auch ermöglicht, ohne direkt in die sicherheitsrelevanten Baugruppen zur Ermittlung oder Bewertung von Sensordaten eingreifen zu müssen. Die Reaktion der Bewertungsvorrichtung (BV) kann somit auf einfache Weise auch für diese Fälle ermittelt und gegenüber einer Referenzreaktion für diese Fälle verglichen werden, was die Erkennung von Fehlern der Bewertungsvorrichtung (BV) ermöglicht, die dem Erkennen von Fehlern in den korrekte Sensordaten entsprechen. Somit ermöglicht die vorgeschlagene Vorrichtung einen umfangreichen Test der Bewertungsvorrichtung (BV). Die Methode wird zusätzlich darüber abgesichert, dass die Prüfungen nicht zu sicherheitsrelevanten Fehlentscheidungen führen können. Letztlich können die bei der Konstruktion sicherheitsrelevanter Systeme geforderten Fitraten nach ISO26262 als Qualitätsmerkmal einer Implementierung besser erreicht werden, was das eigentliche Ziel dieses Verfahrens dieser vorgeschlagenen Vorrichtung ist.For example, a sub-device for carrying out the proposed method in an integrated microelectronic circuit ( IC ) for security applications according to ISO26262. Thus, the proposed method is suitable for implementation as an embedded method within a microelectronic circuit ( IC ). Such a method can thus be used, for example, as hardware, firmware or software in such a microelectronic circuit ( IC ), ie as a device. This creates the possibility, in safety-relevant overall systems, of sensor data being so close to the respective safety-relevant sensor ( RS ) as possible in the sensor data path of the processing chain and thus the level of cross-intervention in the processing chain, in particular on the feed device ( EV ) for virtual sensor data. The selective feeding of faulty virtual sensor data into the evaluation device ( BV ) is thus enabled to intervene directly without having to intervene in the safety-relevant assemblies for the determination or evaluation of sensor data. The reaction of the evaluation device ( BV ) can thus be determined in a simple manner and compared with a reference reaction, which makes it possible to detect errors in the evaluation device ( BV ), which correspond to the failure to recognize errors in the sensor data. Conversely, the targeted feeding of correct virtual sensor data into the evaluation device ( BV ) Thus, without having to intervene directly in the safety-related modules for the determination or evaluation of sensor data. The reaction of the evaluation device ( BV ) can thus be easily determined for these cases and against a Reference reaction for these cases are compared, resulting in the detection of errors of the evaluation device ( BV ), which correspond to the detection of errors in the correct sensor data. Thus, the proposed device allows a comprehensive test of the evaluation device ( BV ). The method is additionally ensured that the checks can not lead to security-relevant wrong decisions. Ultimately, the fitrates required by ISO 26262 in the design of safety-relevant systems can be better achieved as a quality feature of an implementation, which is the actual goal of this method of this proposed device.
Figurenlistelist of figures
-
1 zeigt schematisch ein Prinzipschaubild einer vorgeschlagenen Vorrichtung zur Durchführung des vorgeschlagenen Verfahrens mit Einspeisevorrichtung (EV). 1 1 schematically shows a schematic diagram of a proposed device for carrying out the proposed method with feed device (FIG. EV ).
-
2 zeigt schematisch ein Prinzipschaubild einer vorgeschlagenen Vorrichtung zur Durchführung des vorgeschlagenen Verfahrens. 2 schematically shows a schematic diagram of a proposed device for carrying out the proposed method.
BezugszeichenlisteLIST OF REFERENCE NUMBERS
-
BVBV
-
Bewertungsvorrichtung;Evaluation device;
-
BTVBTV
-
Bewertungsteilvorrichtung;Review part device;
-
BTV1BTV1
-
erste Bewertungsteilvorrichtung;first evaluation sub-device;
-
BTV2BTV2
-
zweite Bewertungsteilvorrichtung;second evaluation sub-device;
-
BTVnBTVn
-
n-te Bewertungsteilvorrichtung;nth evaluation sub-device;
-
DBDB
-
Sensordatenbus;Sensordatenbus;
-
EDBEDB
-
externer Sensordatenbus. Der externe Sensordatenbus ist typischerweise eine Fortsetzung des internen Datenbusses IDB der Systemsteuerung;external sensor data bus. The external sensor data bus is typically a continuation of the internal data bus IDB of the system controller;
-
EVEV
-
Einspeisevorrichtung;feeding device;
-
GSGS
-
Gesamtsystem;Overall system;
-
ICIC
-
integrierte Schaltung (in einer bevorzugten Partitionierung des Gesamtsystems (GS));integrated circuit (in a preferred partitioning of the overall system ( GS ));
-
IFIF
-
Datenschnittstelle zwischen externen Sensordatenbus EDB und internem DatenbusData interface between external sensor data bus EDB and internal data bus
-
(IDB)(IDB)
-
der Systemsteuerung;the system control;
-
IDBIDB
-
interner Datenbus der Systemsteuerung;internal data bus of the system control;
-
RSRS
-
sicherheitsrelevanter Sensor;safety-relevant sensor;
-
RS1RS1
-
erster sicherheitsrelevanter Sensor;first safety-relevant sensor;
-
RS2RS2
-
zweiter sicherheitsrelevanter Sensor;second safety-relevant sensor;
-
RSnRSn
-
n-ter sicherheitsrelevanter Sensornth safety-relevant sensor
-
SESE
-
Sicherheitseinrichtung;Safety device;
-
STST
-
Systemsteuerung;Control Panel;
-
TBTB
-
Testbewertungsvorrichtung;Test evaluation device;
-
VSVS
-
virtueller Sensor.virtual sensor.
ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.
Zitierte PatentliteraturCited patent literature
-
EP 1239370 A2 [0003]EP 1239370 A2 [0003]
-
DE 102004049082 A1 [0004]DE 102004049082 A1 [0004]
