DE102018107449B4 - ISO 26262 compliant procedure for testing an evaluation device for sensor data within a safety-relevant overall system - Google Patents

ISO 26262 compliant procedure for testing an evaluation device for sensor data within a safety-relevant overall system Download PDF

Info

Publication number
DE102018107449B4
DE102018107449B4 DE102018107449.2A DE102018107449A DE102018107449B4 DE 102018107449 B4 DE102018107449 B4 DE 102018107449B4 DE 102018107449 A DE102018107449 A DE 102018107449A DE 102018107449 B4 DE102018107449 B4 DE 102018107449B4
Authority
DE
Germany
Prior art keywords
evaluation
safety
relevant
sensor data
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE102018107449.2A
Other languages
German (de)
Other versions
DE102018107449A1 (en
Inventor
André Sudhaus
Jens-Arne Schürstedt
Tan Subijanto
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Elmos Semiconductor SE
Original Assignee
Elmos Semiconductor SE
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Elmos Semiconductor SE filed Critical Elmos Semiconductor SE
Publication of DE102018107449A1 publication Critical patent/DE102018107449A1/en
Application granted granted Critical
Publication of DE102018107449B4 publication Critical patent/DE102018107449B4/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0218Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults
    • G05B23/0256Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults injecting test signals and analyzing monitored process response, e.g. injecting the test signal while interrupting the normal operation of the monitored system; superimposing the test signal onto a control signal during normal operation of the monitored system
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R21/00Arrangements or fittings on vehicles for protecting or preventing injuries to occupants or pedestrians in case of accidents or other traffic risks
    • B60R21/01Electrical circuits for triggering passive safety arrangements, e.g. airbags, safety belt tighteners, in case of vehicle accidents or impending vehicle accidents
    • B60R21/017Electrical circuits for triggering passive safety arrangements, e.g. airbags, safety belt tighteners, in case of vehicle accidents or impending vehicle accidents including arrangements for providing electric power to safety arrangements or their actuating means, e.g. to pyrotechnic fuses or electro-mechanic valves
    • B60R21/0173Diagnostic or recording means therefor
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • GPHYSICS
    • G08SIGNALLING
    • G08CTRANSMISSION SYSTEMS FOR MEASURED VALUES, CONTROL OR SIMILAR SIGNALS
    • G08C19/00Electric signal transmission systems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • B60W2050/0215Sensor drifts or sensor failures

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Mechanical Engineering (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Air Bags (AREA)

Abstract

Verfahren zur Prüfung einer sicherheitsrelevanten Bewertungsvorrichtung (BV) für Signale und/oder Daten eines sicherheitsrelevanten Sensors (RS) als Teil eines sicherheitsrelevanten Gesamtsystems (GS)
- mit einem Sensordatenbus (DB),
- mit einem ersten Datenbus (IDB, SPI1)
- mit einem zweiten Steuerbus (SPI2, ISPI),
- mit einem virtuellen Sensor (VS),
- mit einer Einspeisevorrichtung (EV),
- mit einer Systemsteuerung (ST),
- wobei der zweite Steuerbus (SPI2, ISPI) von dem ersten Datenbus (IDB, SPI1) verschieden ist,
- wobei der Sensordatenbus (DB) durch eine Einspeisevorrichtung (EV) in zwei Teile unterteilt wird,
- wobei das sicherheitsrelevante Gesamtsystem (GS) sich ein einem Normalzustand und in einem Testzustand befinden kann mit folgenden Schritten:
- Empfang von Sensordaten über den Sensordatenbus (DB) und die Einspeisevorrichtung (EV) von dem sicherheitsrelevanten Sensor (RS) im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) durch die Bewertungsvorrichtung (BV);
- Bewertung der Sensordaten des sicherheitsrelevanten Sensors (RS) im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) durch die Bewertungsvorrichtung (BV) zur Erzeugung eines Bewertungsergebnisses der Bewertungsvorrichtung (BV);
- Empfang und Weiterleiten der Sensordaten des sicherheitsrelevanten Sensors (RS) in modifizierter oder nicht modifizierter Form an die Bewertungsvorrichtung (BV) durch die Einspeisevorrichtung (EV) über den ersten Datenbus (IDB, SPI1) im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS);
- Übermitteln virtueller Sensordaten und/oder von Daten zur Erzeugung virtueller Sensordaten durch die Systemsteuerung (ST) an den virtuellen Sensor (VS) über den zweiten Steuerbus (SPI2, ISPI);
- Erzeugung virtueller Sensordaten durch den virtuellen Sensors (VS) in Abhängigkeit von den erhaltenen virtueller Sensordaten und/oder von den erhaltenen Daten zur Erzeugung virtueller Sensordaten;
- Empfang und Weiterleiten dieser virtuellen Sensordaten des virtuellen Sensors (VS) in modifizierter oder nicht modifizierter Form an die Bewertungsvorrichtung (BV) anstelle der Sensordaten des sicherheitsrelevanten Sensors (RS) durch die Einspeisevorrichtung (EV) über den ersten Datenbus (IDB, SPI1) im Testzustand des sicherheitsrelevanten Gesamtsystems (GS)
- Bewertung der virtuellen Sensordaten des virtuellen Sensors (VS) im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) durch die Bewertungsvorrichtung (BV) zur Erzeugung eines Bewertungsergebnisses der Bewertungsvorrichtung (BV);
- Signalisierung des Bewertungsergebnisses der Bewertungsvorrichtung (BV) oder Bereitstellung des Bewertungsergebnisses der Bewertungsvorrichtung (BV) in Form von Bewertungsdaten durch die Bewertungsvorrichtung (BV) 
- wobei die übermittelten, virtuellen Sensordaten und/oder übermittelten Daten zur Erzeugung virtueller Sensordaten durch die Systemsteuerung (ST) an den virtuellen Sensor (VS) nach der Signalisierung des Bewertungsergebnisses der Bewertungsvorrichtung (BV) und/oder nach der Bereitstellung des Bewertungsergebnisses der Bewertungsvorrichtung (BV) in Form von Bewertungsdaten durch die Bewertungsvorrichtung (BV) und/oder nach der Bewertung der virtuellen Sensordaten des virtuellen Sensors (VS) im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) gelöscht werden oder durch Daten ersetzt werden, die das sicherheitsrelevante Gesamtsystems (GS) nicht in einen sicherheitsrelevanten Zustand versetzen können.

Figure DE102018107449B4_0000
Method for testing a safety-relevant evaluation device (BV) for signals and / or data of a safety-related sensor (RS) as part of a safety-relevant overall system (GS)
with a sensor data bus (DB),
with a first data bus (IDB, SPI1)
with a second control bus (SPI2, ISPI),
with a virtual sensor (VS),
- with a feeding device (EV),
with a system control (ST),
wherein the second control bus (SPI2, ISPI) is different from the first data bus (IDB, SPI1),
wherein the sensor data bus (DB) is divided into two parts by a feed device (EV),
- Wherein the safety-relevant overall system (GS) can be in a normal state and in a test state with the following steps:
- Receiving sensor data via the sensor data bus (DB) and the feed device (EV) of the safety-relevant sensor (RS) in the normal state of the safety-relevant overall system (GS) by the evaluation device (BV);
- Evaluation of the sensor data of the safety-relevant sensor (RS) in the normal state of the safety-relevant overall system (GS) by the An evaluation device (BV) for generating an evaluation result of the evaluation device (BV);
- receiving and forwarding the sensor data of the safety-relevant sensor (RS) in modified or unmodified form to the evaluation device (BV) by the feed device (EV) via the first data bus (IDB, SPI1) in the normal state of the safety-relevant overall system (GS);
Transmitting virtual sensor data and / or data for generating virtual sensor data by the system controller (ST) to the virtual sensor (VS) via the second control bus (SPI2, ISPI);
Generation of virtual sensor data by the virtual sensor (VS) as a function of the obtained virtual sensor data and / or of the data obtained for generating virtual sensor data;
Receiving and forwarding of this virtual sensor data of the virtual sensor (VS) in modified or unmodified form to the evaluation device (BV) instead of the sensor data of the safety - relevant sensor (RS) by the feed device (EV) via the first data bus (IDB, SPI1) in Test condition of the safety-relevant overall system (GS)
- Evaluation of the virtual sensor data of the virtual sensor (VS) in the test state of the safety-relevant overall system (GS) by the evaluation device (BV) for generating an evaluation result of the evaluation device (BV);
Signaling the evaluation result of the evaluation device (BV) or providing the evaluation result of the evaluation device (BV) in the form of evaluation data by the evaluation device (BV)
- wherein the transmitted, virtual sensor data and / or transmitted data for generating virtual sensor data by the system controller (ST) to the virtual sensor (VS) after the signaling of the evaluation result of the evaluation device (BV) and / or after the provision of the evaluation result of the evaluation device ( BV) in the form of evaluation data by the evaluation device (BV) and / or after the evaluation of the virtual sensor data of the virtual sensor (VS) in the test state of the safety-relevant overall system (GS) are deleted or replaced by data that the overall safety-related system (GS) can not be put into a safety-relevant state.
Figure DE102018107449B4_0000

Description

Oberbegriffpreamble

Das vorgeschlagene Verfahren befasst sich mit der Überprüfung eines sicherheitsrelevanten Bewertungssystems für Sensordaten, das diese Sensordaten von sicherheitsrelevanten Sensoren zur Verfügung gestellt bekommt. Besonders bevorzugt ist der Einsatz des Verfahrens in Fahrzeuginsassenrückhaltesystemen, wie in Airbag-Systemen und in Fußgängeraufprallschutzsystemen in Fahrzeugen.The proposed method deals with the review of a safety-related sensor data evaluation system that provides this sensor data with safety-related sensors. Particularly preferred is the use of the method in vehicle occupant restraint systems, such as in airbag systems and in pedestrian impact protection systems in vehicles.

Allgemeine EinleitungGeneral introduction

Es soll eine Bewertungsvorrichtung (BV) zur Bewertung von Sensordaten eines sicherheitsrelevanten Sensors (RV) innerhalb eines sicherheitsrelevanten Gesamtsystems auf korrekte Funktion geprüft werden. Diese Prüfung soll innerhalb des normalen Betriebs erfolgen können, ohne das sicherheitsrelevante Gesamtsystem (GS) in einen unsicheren Zustand zu bringen. Als Beispiel für ein solches sicherheitsrelevantes Gesamtsystem (GS) kann ein Airbag-System zur Zündung der Zündpille eines Airbags genannt werden. Die Bewertungsvorrichtung (BV) kann dabei Sensordaten beispielsweise von Crash-Sensoren als sicherheitsrelevante Sensoren (RS) auswerten. Die Bewertungsvorrichtung (BV) ist also ein zentraler Teil eines solchen Airbag-Systems. Die Zündung der Zündpille eines solchen Airbags darf nur in vorbestimmten Fällen erfolgen und ist ansonsten ein unsicherer Zustand des Gesamtsystems, da eine solche Zündung durchaus mit einer von Null verschiedenen Wahrscheinlichkeit zu Verletzungen oder gar zum Tod von Insassen führen kann. Eine solche Zündung ist daher nur zulässig wenn die Überlebenswahrscheinlichkeit der Fahrzeuginsassen dadurch gesteigert und das Verletzungs- und Todesrisiko gesenkt werden. Bei einem solchen Airbag-System kommen somit unsichere Zustände als bestimmungsgemäße Zustände vor. Die Bewertungsvorrichtung (BV) eines solchen Airbag-Systems hat dementsprechend einen entscheidenden Anteil an der sachgerechten Funktion des sicherheitsrelevanten Airbag-Systems. Die Daten eines sicherheitsrelevanten Systems sollen immer durch zwei oder mehr unabhängige Baugruppen eines Systems (Bewertungsvorrichtung BV) auf Grenzen überprüft werden.It should be an evaluation device ( BV ) for the evaluation of sensor data of a safety-relevant sensor (RV) within a safety-relevant overall system to be tested for correct function. This test should be carried out within normal operation, without the overall safety-relevant system ( GS ) in an unsafe condition. As an example of such a safety-related overall system ( GS ) may be called an airbag system for igniting the squib of an airbag. The evaluation device ( BV ) sensor data, for example of crash sensors as safety-relevant sensors ( RS ) evaluate. The evaluation device ( BV ) is therefore a central part of such an airbag system. The ignition of the squib of such an airbag may be made only in predetermined cases and is otherwise an unsafe condition of the overall system, since such ignition may well lead to non-zero probability of injury or even death of occupants. Such an ignition is therefore only permissible if the probability of survival of the vehicle occupants thereby increased and the risk of injury and death are reduced. In such an airbag system thus unsafe states occur as intended states. The evaluation device ( BV ) of such an airbag system accordingly has a decisive share in the proper function of the safety-related airbag system. The data of a safety-relevant system should always be determined by two or more independent components of a system (evaluation device BV ) are checked for limits.

Aus der EP 1 239 370 A2 ist ein Verfahren zur Überprüfung eines Schnittstellenbausteins bekannt, das hier relevant ist. In der technischen Lehre der EP 1 239 370 A2 können festabgelegte Daten durch auf dem Datenbus aufgrund von Fehlerzuständen des Systems bereitgestellt werden, ohne dass dies bemerkt werden kann. Daher ist die in der technischen Lehre der EP 1 239 370 A2 vorgeschlagene Lösung mit einem festen Abspeichern der Daten sicherheitstechnisch ungünstig, da diese bereits durch einen Einzelfehler auf den Datenbus gelangen könnten. Somit ist die technische Lösung der technischen Lehre der EP 1 239 370 A2 nicht für die Erfüllung der 26262 Norm ohne Weiteres geeignet.From the EP 1 239 370 A2 a method for checking an interface module is known, which is relevant here. In the technical teaching of EP 1 239 370 A2 Fixed data can be provided by on the data bus due to fault conditions of the system, without this being noticed. Therefore, in the technical teaching of EP 1 239 370 A2 proposed solution with a fixed storage of the data safety unfavorable, since they could already reach the data bus by a single error. Thus, the technical solution of the technical teaching of EP 1 239 370 A2 not suitable for the fulfillment of the 26262 standard.

Aus der DE 10 2004 049 082 A1 ist eine Schaltungsanordnung zum Auslösen eines Airbags durch Ansteuerung einer Zündeinheit, sowie ein Verfahren zur Prüfung einer sicherheitsrelevanten Bewertungsvorrichtung bekannt. In dieser Offenbarung erfolgt das Testen der Treibereinrichtung und der Zündeinheit durch einen Prüfstrom. Dieser Prüfstrom wird durch die Zündeinheit getrieben. Überschreitet der Prüfstrom einen vorgegebenen Schwellwert, so wird ein Blockierungssignal an die Treibereinrichtung gesendet, wodurch die Air-Bag Auslösung blockiert wird.From the DE 10 2004 049 082 A1 a circuit arrangement for triggering an airbag by controlling an ignition unit, and a method for testing a safety-relevant evaluation device is known. In this disclosure, the testing of the driver device and the ignition unit is performed by a test current. This test current is driven through the ignition unit. If the test current exceeds a predetermined threshold value, then a blocking signal is sent to the driver device, whereby the air bag release is blocked.

Die EP 1613 510 B1 beschreibt eine Steuereinheit für ein Rückhaltesystem. Die Steuereinheit ist mit einem Softwareelement verbunden, wodurch beim Testen emulierte Sensorwerte verwendet werden.The EP 1613 510 B1 describes a control unit for a restraint system. The controller is connected to a software element which uses emulated sensor values during testing.

Aufgabetask

Dem Vorschlag liegt daher die Aufgabe zugrunde, ein Verfahren vorzuschlagen dass die Prüfung einer Bewertungsvorrichtung, insbesondere auch im Betrieb nach der Fertigung der Vorrichtung, ermöglicht.The proposal is therefore based on the object to propose a method that allows the testing of an evaluation device, especially in operation after the manufacture of the device.

Diese Aufgabe wird durch ein Verfahren nach Anspruch 1 gelöst.This object is achieved by a method according to claim 1.

Lösung der AufgabeSolution of the task

Die Grundidee der Aufgabelösung ist es, die Teststeuerung und die Sicherheitsfragen der Systemsteuerung (ST) über jeweils einen anderen, separaten Kommunikationskanal als die Antworten des Systems zu senden und in der integrierten mikroelektronischen Schaltung (IC) nur zwecks einmaliger Bereitstellung abzuspeichern. Dies hat den Vorteil, dass eine Testbewertungsvorrichtung (TB) auch die Antworten anderer Komponenten an einem internen Datenbus (DB) prüfen kann und die Prüfung der Testbewertungsvorrichtung (TB) selbst auf diesem Wege getestet werden kann.The basic idea of the task is to control the test control and the security issues of the system control ( ST ) via a different, separate communication channel than the responses of the system and in the integrated microelectronic circuit ( IC ) only for the purpose of single provision store. This has the advantage that a test evaluation device ( TB ) also the answers of other components to an internal data bus ( DB ) and testing the test evaluation device ( TB ) can be tested in this way.

Es wird ausdrücklich vorgeschlagen, im Gegensatz zum Verfahren der EP 1 239 370 A2 keine dauerhaft in Registern gespeicherten Werte zu verwenden, sondern diese für jeden Test separat über den besagten zusätzlichen Kommunikationskanal an die Testbewertungsvorrichtung (TB) sowie ggf. an einen virtuellen Sensor (VS) zur internen Sensorsimulation erneut und zum Test passend zu senden. Eine fehlerhafte Verwendung von Testdaten ist somit ausgeschlossen.It is expressly proposed, in contrast to the method of EP 1 239 370 A2 do not use values stored permanently in registers, but separate them for each test via the said additional communication channel to the test evaluation device ( TB ) and possibly to a virtual sensor ( VS ) to the internal sensor simulation again and to send the test suitable. An incorrect use of test data is thus excluded.

Diese Testdaten zur Erzeugung virtueller Sensordaten und/oder zur Steuerung des jeweiligen Tests und/oder zur Bewertung des Testergebnisses können bevorzugt somit aus Sicherheitsgründen nur einmal abgerufen werden. Dies stellt sicher, dass es nicht zu einer fehlerhaften Ausgabe dieser Testwerte oder daraus abgeleiteter Signale und/oder Daten kommen kann. For safety reasons, these test data for generating virtual sensor data and / or for controlling the respective test and / or for evaluating the test result may therefore be called up only once. This ensures that there can be no erroneous output of these test values or derived signals and / or data.

Im Übrigen reichen Minmalwerte und Maximalwerte wie in der der EP 1 239 370 A2 vorgeschlagen nicht aus. Im hier vorgeschlagenen Verfahren können im Gegensatz dazu Zufallstestvektoren genutzt werden, die es erlauben im laufenden Betrieb eine höhere Testabdeckung zu erzeugen. Diese Testvektoren werden von einer Systemsteuerung (ST) über den besagten zusätzlichen Kommunikationskanal an den virtuellen Testsensor (VS) und die Testbewertungsvorrichtung (TB) übertragen.Incidentally, minimum values and maximum values are sufficient as in the EP 1 239 370 A2 not suggested. By contrast, in the method proposed here, random test vectors can be used which allow a higher test coverage to be generated during operation. These test vectors are generated by a system control ( ST ) via the said additional communication channel to the virtual test sensor ( VS ) and the test evaluation device ( TB ) transfer.

Es wird zur Lösung der Aufgabe somit vorgeschlagen, um latenten Fehlern vorzubeugen, in derartige Bewertungsvorrichtungen sicherheitsrelevanter Gesamtsysteme (GS) Testdaten als virtuelle Sensordaten einzuspeisen, die vorteilhafterweise sowohl fehlerhaft, als auch formal korrekt sein sollten, um die Erkennungsfunktion der Bewertungsvorrichtungen (BV) zu überprüfen.It is therefore proposed to solve the problem in order to prevent latent errors in such evaluation devices safety-related overall systems ( GS ) To feed test data as virtual sensor data, which should advantageously be both erroneous and formally correct in order to improve the recognition function of the evaluation devices ( BV ) to check.

Die Lösung umfasst ein vorgeschlagenes Verfahren und eine vorgeschlagene Vorrichtung zur Durchführung des vorgeschlagenen Verfahrens.The solution comprises a proposed method and a proposed device for carrying out the proposed method.

Das vorgeschlagene Verfahren zur Überprüfung einer sicherheitsrelevanten Bewertungsvorrichtung für Sensordaten befasst sich mit dem Test der Bewertungsvorrichtung in der Hinsicht, ob die Bewertungsvorrichtung funktional korrekt arbeitet.The proposed method for checking a safety-relevant sensor data evaluation device deals with the test of the evaluation device in terms of whether the evaluation device works functionally correctly.

Die Grundidee des vorgeschlagenen Verfahrens umfasst somit auch die Idee, durch einen entsprechenden Schnittstellenschalter zumindest einen realen Sensor durch einen virtuellen Sensor zu ersetzen. Dieser virtuelle Sensor dient als eine virtuelle Quelle von korrekten oder fehlerhaften virtuellen Sensordaten. Für diese virtuellen Sensordaten sind die Reaktionen der sicherheitsrelevanten Bewertungsvorrichtung vorbestimmt. Diese virtuellen Sensordaten werden daher an Stelle der realen Sensordaten des realen Sensors zugeführt und durch die Bewertungsvorrichtung bewertet und/oder überprüft. Bei den Sensordaten kann es sich um einzelne analoge, digitale, binäre Werte und Signale handeln. Es kann sich auch um Vektoren oder andere Zusammenstellungen von Werten und Signalen handeln. Neben diesem Raummultiplex ist auch ein Zeitmultiplex bei der Signalisierung zwischen realem Sensor und Bewertungsvorrichtung denkbar und möglich. Dementsprechend können Fehler auftreten, die die Erfassung der Daten durch den sicherheitsrelevanten Sensor selbst, die Datenaufbereitung für die Übertragung vom sicherheitsrelevanten Sensor zur Bewertungsvorrichtung, die Datenübertragung und den Empfang der Sensordaten durch die Bewertungsvorrichtung betreffen. Im Folgenden werden Sensordaten allgemein als zeitlich und räumlich gemultiplexter Vektordatenstrom aufgefasst, wobei auch ein eindimensionaler Vektordatenstrom ausdrücklich von der folgenden Beschreibung umfasst ist.The basic idea of the proposed method thus also includes the idea of replacing at least one real sensor by a virtual sensor with a corresponding interface switch. This virtual sensor serves as a virtual source of correct or faulty virtual sensor data. For these virtual sensor data, the reactions of the safety-relevant evaluation device are predetermined. These virtual sensor data are therefore supplied in place of the real sensor data of the real sensor and evaluated and / or checked by the evaluation device. The sensor data can be individual analog, digital, binary values and signals. They can also be vectors or other combinations of values and signals. In addition to this space multiplex, a time multiplex in the signaling between the real sensor and the evaluation device is conceivable and possible. Accordingly, errors may occur which involve the detection of the data by the safety-related sensor itself, the data preparation for the transmission from the safety-relevant sensor to the evaluation device, the data transmission and the reception of the sensor data by the evaluation device. In the following, sensor data is generally understood to be a temporally and spatially multiplexed vector data stream, whereby a one-dimensional vector data stream is expressly included in the following description.

Beispielsweise sollte daher die Bewertungsvorrichtung folgende Fehler erkennen:

  • • Aktueller Wert des Vektordatenstroms außerhalb einer vorgegebenen Menge erlaubter Werte dieses Vektordatenstroms.
  • • Zeitliche Abfolge aktueller Werte des Vektordatenstroms außerhalb einer vorgegebenen Menge erlaubter zeitlicher Abfolgen von Werten dieses Vektordatenstroms.
For example, the rating device should recognize the following errors:
  • Current value of the vector data stream outside of a given set of allowed values of this vector data stream.
  • Temporal sequence of current values of the vector data stream outside a given set of allowed time sequences of values of this vector data stream.

Durch die Definition einer virtuellen Sensordatenquelle kann die sicherheitsrelevante Bewertungsvorrichtung somit auf korrekte Funktion überwacht werden. Der virtuelle Sensor liefert virtuelle Sensordaten an die Bewertungsvorrichtung, worauf diese in vorbestimmter Weise durch geeignete Signale so reagiert, als wenn sie gleiche echte Sensordaten vom sicherheitsrelevanten Sensor erhalten hätte. Sofern die Überprüfung im Betrieb ausgeführt werden soll, wird die Bewertungsvorrichtung zuvor durch einen Einkapselungsbefehl, typischerweise von einer Systemsteuerung, so vom Restsystem getrennt, dass auch bei einer Fehlfunktion im Verlauf des Tests sicher kein unsicherer Zustand durch den Test der Bewertungsvorrichtung durch das Gesamtsystem, dessen Teil der reale Sensor und das Bewertungssystem ja sind, erreicht werden kann.By defining a virtual sensor data source, the safety-relevant evaluation device can thus be monitored for correct function. The virtual sensor supplies virtual sensor data to the evaluation device, whereupon the latter reacts in a predetermined manner by suitable signals as if it had received the same genuine sensor data from the safety-related sensor. If the check is to be carried out in operation, the evaluation device is previously separated from the remainder by an encapsulation command, typically from a system controller, so that even in the event of a malfunction during the test, certainly no unsafe condition will result from the test of the evaluation device by the overall system Part of the real sensor and the rating system are yes, can be achieved.

Durch das Einspeisen der virtuellen Sensordaten eines virtuellen Sensors wird somit die Möglichkeit eröffnet zu prüfen, ob die Bewertungsvorrichtung, inkonsistente oder nicht plausible Sensordaten durch den jeweiligen Sensor in korrekter Weise verwirft und plausible Sensordaten korrekt behandelt, nicht verwirft und richtige Signale erzeugt.By feeding in the virtual sensor data of a virtual sensor, it is thus possible to check whether the evaluation device correctly discards inconsistent or implausible sensor data by the respective sensor and correctly handles plausible sensor data, does not reject it and generates correct signals.

Vorteilhafterweise verfügt der virtuelle Sensor über einen konfigurierbaren Speicher, in dem ein Steuerprozessor virtuelle Sensordaten ablegen kann und/oder Parameter für die Erzeugung solcher virtuellen Sensordaten durch den virtuellen Sensor ablegen kann.Advantageously, the virtual sensor has a configurable memory in which a control processor can store virtual sensor data and / or store parameters for the generation of such virtual sensor data by the virtual sensor.

Zur Durchführung des Verfahrens wird eine Struktur der das Verfahren durchführenden Vorrichtung, also des sicherheitsrelevanten Gesamtsystems (GS), vorgeschlagen, die eine Bewertungsvorrichtung (BV) und einen sicherheitsrelevanten Sensor (RS) umfasst. Der sicherheitsrelevante Sensor (RS) sendet seine Sensordaten über den Sensordatenbus (DB) und eine Einspeisevorrichtung (EV), deren Funktion noch erläutert werden wird, an die Bewertungsvorrichtung (BV). Diese Übersendung kann über einen eigenen Signalisierungskanal, wie in der 1 gezeigt, erfolgen als auch über den internen Datenbus (IDB) der Systemsteuerung. Insofern zeigt 1 nur eine Realisierungsvariante. Das vorgeschlagene sicherheitsrelevante Gesamtsystem umfasst darüber hinaus einen virtuellen Sensor (VS), der ggf. als fest vorgegebene elektronische Schaltung oder als teilprogrammierbare elektronische Schaltung vorliegen kann. Auch ist eine Realisierung des virtuellen Sensors (VS) als separates zweites Rechnersystem innerhalb der integrierten Schaltung (IC) oder außerhalb der integrierten Schaltung (IC) denkbar. Eine Systemsteuerung (ST) steuert bevorzugt sowohl die Bewertungsvorrichtung (BV) über einen ersten Datenbus, bestehend aus dem internen Datenbus (IDB) und einem ersten Steuerbus (SPI1). Die Systemsteuerung (ST) steuert bevorzugt den sicherheitsrelevanten Sensor (RS) über den ersten Steuerbus (SPI1) und den internen Datenbus (IDB) sowie den Sensordatenbus (DB). Die Systemsteuerung (ST) steuert den virtuellen Sensor (VS) sowie die besagte Einspeisevorrichtung (EV) über einen zweiten Steuerbus (SPI2) und einen internen Steuerbus (ISPI). Der erste Steuerbus (SPI1) und der interne Datenbus (IDB) sind bevorzugt vom zweiten Steuerbus (SPI2) und dem internen Steuerbus (ISPI) verschieden. Die Einspeisevorrichtung (EV) ist in den Sensordatenbus (DB) zwischen dem sicherheitsrelevanten Sensor (RS) und der Bewertungsvorrichtung (BV) eingefügt und dient der Einspeisung von virtuellen Sensordaten, die durch den virtuellen Sensor (VS) erzeugt werden, anstelle der Sensordaten des sicherheitsrelevanten Sensors (RS). Diese virtuellen Sensordaten des virtuellen Sensors (VS) werden somit in einem Testzustand des Gesamtsystems (GS) anstelle der Sensordaten des sicherheitsrelevanten Sensors (RS) der Bewertungsvorrichtung (BV) zugeführt, wodurch diese Bewertungsvorrichtung (BV) einer Prüfung mittels vorgegebener Testdaten, Testdatensätze, Testdatensequenzen und Testdatensequenzsätzen zugänglich wird. Diese Testdaten, Testdatensätze, Testdatensequenzen und Testdatensequenzsätzen können durch den virtuellen Sensor (VS) bevorzugt erzeugt werden. Im Normalbetrieb befindet sich das sicherheitsrelevante Gesamtsystem (GS) in einem Normalzustand. Somit kann das sicherheitsrelevante Gesamtsystem (GS) sich in einem Normalzustand und in einem Testzustand befinden. Die Systemsteuerung (ST) ist bevorzugt, aber nicht notwendigerweise ein Rechnersystem. Es kann sich bei der Systemsteuerung (ST) auch um einen endlichen Automaten oder eine andere nicht, teilweise oder ganz konfigurierbare oder programmierbare elektronische Schaltung handeln.For carrying out the method, a structure of the device carrying out the method, that is to say of the safety-relevant overall system ( GS ), which provides an evaluation device ( BV ) and a safety-relevant sensor ( RS ). The safety-relevant sensor ( RS ) transmits its sensor data via the sensor data bus ( DB ) and a feeding device ( EV ), whose function will be explained later, to the evaluation device ( BV ). This transmission can via its own signaling channel, as in the 1 shown as well as via the internal data bus ( IDB ) of the system control. In this respect shows 1 only one realization variant. The proposed overall safety-related system also includes a virtual sensor ( VS ), which may possibly be present as a fixed predetermined electronic circuit or as a partially programmable electronic circuit. Also, a realization of the virtual sensor ( VS ) as a separate second computer system within the integrated circuit ( IC ) or outside the integrated circuit ( IC ) conceivable. A system control ( ST ) preferably controls both the evaluation device ( BV ) via a first data bus, consisting of the internal data bus ( IDB ) and a first control bus ( SPI1 ). The system control ( ST ) preferably controls the safety-relevant sensor ( RS ) via the first control bus ( SPI1 ) and the internal data bus ( IDB ) as well as the sensor data bus ( DB ). The system control ( ST ) controls the virtual sensor ( VS ) as well as said feed device ( EV ) via a second control bus ( SPI2 ) and an internal control bus ( ISPI ). The first control bus ( SPI1 ) and the internal data bus ( IDB ) are preferably from the second control bus ( SPI2 ) and the internal tax ISPI ) different. The feeding device ( EV ) is in the sensor data bus ( DB ) between the safety-relevant sensor ( RS ) and the evaluation device ( BV ) and is used to feed in virtual sensor data generated by the virtual sensor ( VS ), instead of the sensor data of the safety-relevant sensor ( RS ). This virtual sensor data of the virtual sensor ( VS ) are thus in a test state of the overall system ( GS ) instead of the sensor data of the safety-relevant sensor ( RS ) of the evaluation device ( BV ), whereby this evaluation device ( BV ) becomes accessible to testing by means of predetermined test data, test data sets, test data sequences and test data sequence sets. These test data, test data sets, test data sequences and test data sequence sets can be read by the virtual sensor ( VS ) are preferably generated. In normal operation, the safety-relevant overall system ( GS ) in a normal state. Thus, the safety-relevant overall system ( GS ) are in a normal state and in a test state. The system control ( ST ) is preferred, but not necessarily a computer system. It may be in the system control ( ST ) may also be a finite state machine or other non, partially or fully configurable or programmable electronic circuit.

Die Bewertungsvorrichtung (BV) empfängt im Normalzustand des Gesamtsystems (GS) Sensordaten des Sensors (RS) über den Sensordatenbus (DB) von dem Sensor (RS). Die Bewertungsvorrichtung (BV) bewertet im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) die Sensordaten. Die Bewertungsvorrichtung (BV) bewertet im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) an Stelle der Sensordaten des sicherheitsrelevanten Sensors (RS) die virtuellen Sensordaten des virtuellen Sensors (VS). Die Bewertungsvorrichtung (BV) nimmt Signalisierungen in Abhängigkeit von diesen Sensordaten im Normalzustand des Gesamtsystems (GS) bzw. in Abhängigkeit von den erwähnten virtuellen Sensordaten im Testzustand des Gesamtsystems (GS) vor. Gleichzeitig oder auch alternativ kann die Bewertungsvorrichtung (BV) Bewertungsdaten beispielsweise zur Benutzung durch die Systemsteuerung (ST) bereitstellen. Befindet sich das sicherheitsrelevante Gesamtsystem (GS) im Normalzustand hängen diese Bewertungsdaten und/oder Signalisierungen der Bewertungsvorrichtung (BV) von den Sensordaten des sicherheitsrelevanten Sensors (RS) ab. Befindet sich das Gesamtsystem (GS) im Testzustand hängen diese Bewertungsdaten und/oder Signalisierungen der Bewertungsvorrichtung (BV) von den virtuellen Sensordaten des virtuellen Sensors (VS) ab. Um diese Unterscheidung zwischen den Sensordatenquellen, dem sicherheitsrelevanten Sensor (RS) und dem virtuellen Sensor (VS) durchführen zu können, verfügt das vorgeschlagene Gesamtsystem (GS) über eine Einspeisevorrichtung (EV). Der Sensordatenbus (DB) wird durch diese Einspeisevorrichtung (EV) in zwei Teile unterteilt. Die Einspeisevorrichtung (EV) ist so gestaltet, dass sie im Normalzustand des Gesamtsystems (GS) Sensordaten vom Sensor (RS) empfängt und modifiziert oder nicht modifiziert an die Bewertungsvorrichtung (BV) weiterleitet. Es ist nämlich denkbar, aber eben nicht unbedingt notwendig, dass die Einspeisevorrichtung (EV) bereits eine Vorauswertung, Filterung oder sonstige Modifikation der Sensordaten vor deren Weiterleitung an die Bewertungsvorrichtung (BV) vornimmt. Um eine gute Testabdeckung im sicherheitsrelevanten Gesamtsystem (GS) bei der Durchführung des vorgeschlagenen Verfahrens zu erreichen, wird empfohlen, die Sensordaten des sicherheitsrelevanten Sensors (RS) unverändert, also nicht modifiziert, an die Bewertungsvorrichtung (BV) durch die Einspeisevorrichtung (EV) im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) durchzuleiten. In diesem Fall sollte der virtuelle Sensor (VS) virtuelle Sensordaten, die Sensordaten des sicherheitsrelevanten Sensors (RS) in realen, erlaubten und bestimmungsgemäßen Zuständen entsprechen sollten, für die Fälle (vorgegebene Testdaten, Testdatensätze, Testdatensequenzen und Testdatensequenzsätzen) erzeugen, für die überprüft werden soll, ob sich die Bewertungsvorrichtung (BV) bei fehlerfreien oder vorbestimmt fehlerbehafteten Sensordaten jeweils korrekt verhält. Hierzu übermittelt bevorzugt die Systemsteuerung (ST) solche virtuellen Sensordaten und/oder entsprechende Daten zur Erzeugung virtueller Sensordaten an den virtuellen Sensor (VS) über den zweiten Steuerbus (SPI2, ISPI). Der virtuelle Sensor (VS) erzeugt auf dieser Basis virtuelle Sensordaten d in Abhängigkeit von den erhaltenen virtuellen Sensordaten und/oder von den erhaltenen Daten zur Erzeugung virtueller Sensordaten im Testzustand des sicherheitsrelevanten Gesamtsystems (GS). Die Einspeisevorrichtung (EV) empfängt dann im Testzustand des Gesamtsystems (GS) diese virtuellen Sensordaten vom virtuellen Sensor (VS) und leitet diese virtuellen Sensordaten modifiziert oder bevorzugt nicht modifiziert anstelle der Sensordaten des Sensors (RS) an die Bewertungsvorrichtung (BV) weiter. Die Einspeisevorrichtung (EV) kann also als Datenweiche für die Sensordaten betrachtet werden, die die jeweilige Datenquelle für die Bewertungsvorrichtung (BV) abhängig vom Zustand des Gesamtsystems (GS) (Normalzustand, Testzustand und ggf. Fehlerzustand) umschaltet. Vorzugsweise wird die Einspeisevorrichtung (EV) durch die Systemsteuerung (ST) gesteuert, die bevorzugt auch den Zustand (Normalzustand, Testzustand und ggf. Fehlerzustand) des Gesamtsystems (GS) festlegt und die Elemente des sicherheitsrelevanten Gesamtsystems (GS) entsprechend dem aktuellen Zustand (Normalzustand, Testzustand und ggf. Fehlerzustand) konfiguriert. Die Übergänge zwischen den Zuständen (Normalzustand, Testzustand und ggf. Fehlerzustand) werden dabei bevorzugt so gestaltet, dass zu keinem Zeitpunkt ein unsicherer Zustand eingenommen wird, wenn dies nicht bestimmungsgemäß erforderlich ist. Ein solcher, bestimmungsgemäß unsicherer Zustand kann bei einem Airbag-System als sicherheitsrelevantes Gesamtsystem (GS) beispielsweise dann vorliegen, wenn die Sensordaten eines Crash-Sensors als sicherheitsrelevanter Sensor (RS) auf einen Aufprall schließen lassen. In dem Fall würde der Airbag durch die Systemsteuerung (ST) gezündet. Ein solcher Zündungszustand ist aber im Sinne dieser Offenbarung ein unsicherer Zustand, der in allen anderen Betriebsfällen auszuschließen ist.The evaluation device ( BV ) receives in the normal state of the overall system ( GS ) Sensor data of the sensor ( RS ) via the sensor data bus ( DB ) from the sensor ( RS ). The evaluation device ( BV ) in the normal state of the safety-relevant overall system ( GS ) the sensor data. The evaluation device ( BV ) evaluated in the test state of the safety-relevant overall system ( GS ) instead of the sensor data of the safety-relevant sensor ( RS ) the virtual sensor data of the virtual sensor ( VS ). The evaluation device ( BV ) takes signaling as a function of this sensor data in the normal state of the overall system ( GS ) or in dependence on the mentioned virtual sensor data in the test state of the overall system ( GS ) in front. At the same time or alternatively, the evaluation device ( BV ) Evaluation data, for example for use by the system controller ( ST ) provide. Is the security-relevant overall system ( GS ) in the normal state these evaluation data and / or signaling of the evaluation device ( BV ) from the sensor data of the safety-relevant sensor ( RS ). Is the overall system ( GS ) in the test state these evaluation data and / or signaling of the evaluation device ( BV ) of the virtual sensor data of the virtual sensor ( VS ). To make this distinction between the sensor data sources, the safety-relevant sensor ( RS ) and the virtual sensor ( VS ), the proposed overall system ( GS ) via a feed device ( EV ). The sensor data bus ( DB ) is replaced by this feed device ( EV ) divided into two parts. The feeding device ( EV ) is designed so that in the normal state of the overall system ( GS ) Sensor data from the sensor ( RS ) and modified or not modified to the evaluation device ( BV ). It is conceivable, but not necessarily necessary, that the feeding device ( EV ) already a pre-evaluation, filtering or other modification of the sensor data prior to their transmission to the evaluation device ( BV ). To ensure a good test coverage in the safety-relevant overall system ( GS ) in the implementation of the proposed method, it is recommended that the sensor data of the safety-relevant sensor ( RS ) unchanged, that is not modified, to the evaluation device ( BV ) through the feeding device ( EV ) in the normal state of the safety-relevant overall system ( GS ). In this case, the virtual sensor ( VS ) virtual sensor data, the sensor data of the safety-relevant sensor ( RS ) should correspond to real, allowed, and designated states for which cases (predetermined test data, test records, test data sequences, and test data sequence sets) for which to check whether the evaluation device ( BV ) at faultless or predetermined faulty sensor data respectively behaves correctly. For this purpose, the system control ( ST ) such virtual sensor data and / or corresponding data for generating virtual sensor data to the virtual sensor ( VS ) via the second control bus ( SPI2 . ISPI ). The virtual sensor ( VS ) generates on this basis virtual sensor data d as a function of the obtained virtual sensor data and / or of the data obtained for generating virtual sensor data in the test state of the safety-relevant overall system ( GS ). The feeding device ( EV ) then receives in the test state of the overall system ( GS ) this virtual sensor data from the virtual sensor ( VS ) and directs this virtual sensor data modified or preferably not modified in place of the sensor data of the sensor ( RS ) to the evaluation device ( BV ) further. The feeding device ( EV ) can thus be considered as a data switch for the sensor data that the respective data source for the evaluation device ( BV ) depending on the state of the overall system ( GS ) (Normal state, test state and possibly error state). Preferably, the feed device ( EV ) through the system control ( ST ), which preferably also the state (normal state, test state and possibly error state) of the overall system ( GS ) and the elements of the overall safety-related system ( GS ) is configured according to the current state (normal state, test state and possibly error state). The transitions between the states (normal state, test state and possibly fault state) are preferably designed so that at no time an unsafe state is taken if this is not required as intended. Such an unsafe condition can be used in an airbag system as a safety-relevant overall system ( GS ), for example, when the sensor data of a crash sensor as a safety-relevant sensor ( RS ) suggest an impact. In that case the airbag would be controlled by the system control ( ST ) ignited. However, such an ignition state is an unsafe state within the meaning of this disclosure, which can be ruled out in all other operating cases.

Die Bewertungsvorrichtung (BV) bewertet im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) die virtuellen Sensordaten und erzeugt ein entsprechendes Bewertungsergebnis und/oder nimmt Signalisierungen dieses Bewertungsergebnisses in Abhängigkeit von diesen virtuellen Sensordaten bevorzugt über den ersten Datenbus (IDB, SPI1) vor. Gleichzeitig oder alternativ bewertet die Bewertungsvorrichtung (BV) im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) die virtuellen Sensordaten und stellt das Bewertungsergebnis als Bewertungsdaten bereit, die von diesen virtuellen Sensordaten abhängen.The evaluation device ( BV ) evaluated in the test state of the safety-relevant overall system ( GS ) the virtual sensor data and generates a corresponding evaluation result and / or takes signaling of this evaluation result in dependence on this virtual sensor data preferably via the first data bus ( IDB . SPI1 ) in front. At the same time or alternatively the evaluation device ( BV ) in the test state of the safety-relevant overall system ( GS ) the virtual sensor data and provides the evaluation result as evaluation data that depends on this virtual sensor data.

In einer besonderen Ausprägung des vorgeschlagenen Verfahrens führt das sicherheitsrelevante Gesamtsystem (GS) eine Bewertung der Signalisierungen der Bewertungsvorrichtung (BV) und/oder der durch die Bewertungsvorrichtung (BV) bereitgestellten Bewertungsdaten und/oder Signalisierungen mittels einer Testbewertungsvorrichtung (TB) aus, wenn das sicherheitsrelevante Gesamtsystem (GS) sich im Testzustand befindet. Die hierfür notwendigen Testdaten werden bevorzugt mittels des zweiten Steuerbusses (SPI2) und des internen Steuerbusses (ISPI) an die Testbewertungsvorrichtung (TB) durch die Systemsteuerung (ST) übermittelt. Die Testbewertungsvorrichtung (TB) erzeugt ein entsprechendes Bewertungsergebnis der Testbewertungsvorrichtung (TB). Die Testbewertungsvorrichtung (TB) führt typischerweise eine Signalisierung und/oder Bereitstellung dieses Bewertungsergebnisses der Testbewertungsvorrichtung (TB) aus. Hierzu weist die vorgeschlagene Vorrichtung bevorzugt eine Testbewertungsvorrichtung (TB) auf. Besonders bevorzugt wird die Testbewertungsvorrichtung (TB) von der Systemsteuerung (ST) über den zweiten Steuerbus (SPI2, ISPI) gesteuert und ggf. mit Testdaten programmiert. Die Bewertungsergebnisse der Testbewertungsvorrichtung (TB) werden bevorzugt mittels des zweiten Steuerbusses (SPI2) und des internen Steuerbusses (ISPI) an die Systemsteuerung (ST) übermittelt.In a particular embodiment of the proposed method, the safety-relevant overall system ( GS ) an evaluation of the signaling devices of the evaluation device ( BV ) and / or by the evaluation device ( BV ) provided evaluation data and / or signaling by means of a test evaluation device ( TB ), if the overall safety-related system ( GS ) is in the test condition. The necessary test data for this purpose are preferably by means of the second control bus ( SPI2 ) and the internal tax bus ( ISPI ) to the test evaluation device ( TB ) through the system control ( ST ) transmitted. The test evaluation device ( TB ) generates a corresponding evaluation result of the test evaluation device ( TB ). The test evaluation device ( TB ) typically leads to signaling and / or provision of this evaluation result of the test evaluation device ( TB ) out. For this purpose, the proposed device preferably has a test evaluation device ( TB ) on. Particularly preferred is the test evaluation device ( TB ) from the Control Panel ( ST ) via the second control bus ( SPI2 . ISPI ) and possibly programmed with test data. The evaluation results of the test evaluation device ( TB ) are preferred by means of the second control bus ( SPI2 ) and the internal tax bus ( ISPI ) to the control panel ( ST ) transmitted.

In einer weiteren Variante des vorgeschlagenen Verfahrens erfolgt vor der Einnahme des Testzustands durch das sicherheitsrelevante Gesamtsystem (GS) eine Programmierung des virtuellen Sensors (VS) mit virtuellen Sensordaten, wobei bevorzugt die Programmierung des virtuellen Sensors (VS) durch die Steuerung (ST) erfolgt. Hierzu weist der virtuelle Sensor (VS) bevorzugt geeignete Speicherknoten auf. Bei den Speicherknoten kann es sich um binäre, digitale und/oder analoge Speicherknoten handeln. Die Programmierung des virtuellen Sensors (VS) wird bevorzugt durch die Systemsteuerung (ST) über den zweiten Steuerbus (SPI2) und den internen Steuerbus (ISPI) vorgenommen. Dabei ist der virtuelle Sensor (VS) bevorzugt zusätzlich an den internen Datenbus (IDB) und damit an den ersten Steuerbus (SPI1) der Systemsteuerung (ST) angeschlossen. Bevorzugt sind auch die Bewertungsvorrichtung (BV) und die Einspeisevorrichtung (EV) an diesen internen Datenbus (IDB) der Systemsteuerung (ST) angeschlossen. Der sicherheitsrelevante Sensor ist bevorzugt über eine Datenschnittstelle (IF) mittels des Sensordatenbusses (DB) an den internen Datenbus (IDB) der Systemsteuerung (ST) angeschlossen. Besonders bevorzugt sind die Einspeisevorrichtung (EV) und/oder die Bewertungsvorrichtung (BV) Teil dieser Datenbusschnittstelle (IF) oder dieser im Datenstrom vom sicherheitsrelevanten Sensor (RS) zur Einspeisevorrichtung (EV) und damit zur Bewertungsvorrichtung (BV) vorgelagert. In a further variant of the proposed method, before the test state is taken by the safety-relevant overall system ( GS ) a programming of the virtual sensor ( VS ) with virtual sensor data, wherein preferably the programming of the virtual sensor ( VS ) by the controller ( ST ) he follows. For this purpose, the virtual sensor ( VS ) preferably has suitable storage nodes. The storage nodes can be binary, digital and / or analog storage nodes. The programming of the virtual sensor ( VS ) is preferred by the system control ( ST ) via the second control bus ( SPI2 ) and the internal tax ISPI ) performed. The virtual sensor ( VS ) preferably additionally to the internal data bus ( IDB ) and thus to the first control bus ( SPI1 ) of the system control ( ST ) connected. The evaluation device ( BV ) and the feed device ( EV ) to this internal data bus ( IDB ) of the system control ( ST ) connected. The safety-relevant sensor is preferably via a data interface ( IF ) by means of the sensor data bus ( DB ) to the internal data bus ( IDB ) of the system control ( ST ) connected. Particularly preferred are the feed device ( EV ) and / or the evaluation device ( BV ) Part of this data bus interface ( IF ) or this in the data stream from the safety-relevant sensor ( RS ) to the feed device ( EV ) and thus to the evaluation device ( BV ) in advance.

In einer weiteren Variante des vorgeschlagenen Verfahrens erfolgt eine Programmierung des virtuellen Sensors (VS) mit Parametern für die Erzeugung mit virtuellen Sensordaten durch den virtuellen Sensor (VS), wobei insbesondere die Programmierung des virtuellen Sensors (VS) durch die Systemsteuerung (ST) über den zweiten Steuerbus (SPI2) und den internen Steuerbus (ISPI) erfolgt. In dieser Variante ist also der virtuelle Sensor (VS) in der Lage selbstständig virtuelle Sensordaten zu erzeugen, während der virtuelle Sensor (VS) in der vorausgehenden Variante des Verfahrens die Sensordaten vorgegeben bekam und nur reproduzierte. Dies soll an einem Beispiel verdeutlicht werden: Es werde zur Verdeutlichung beispielhaft angenommen, dass der sicherheitsrelevante Sensor (RS) als Messsignal eine zeitliche Sinusschwingung generiert, deren Frequenz beispielhaft von einem hier nicht näher bestimmten physikalischen Parameter abhängt, den der sicherheitsrelevante Sensor (RS) erfassen soll. In diesem Fall kann der virtuelle Sensor (VS) gemäß der zuvor vorgeschlagenen Variante beispielsweise über den zweiten Steuerbus (SPI2) und den internen Steuerbus (ISPI) durch die Systemsteuerung (ST) mit Abtastwerten einer Sinusfunktion programmiert werden, die der virtuelle Sensor (VS) dann als virtuelle Sensordaten im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) zu einem sinusförmigen virtuellen Sensorsignal des virtuellen Sensors (VS) durch Abspielen der Abtastwerte wandelt. Gemäß dieser anderen, zuletzt vorgeschlagenen Verfahrensvariante kann der virtuelle Sensor (VS) aber in diesem Beispiel zur Verdeutlichung auch als Oszillator gestaltet werden, dessen Amplitude und Frequenz als Parameter des virtuellen Sensors (VS) durch die Systemsteuerung (ST) vor der Einnahme des Testzustands des sicherheitsrelevanten Gesamtsystems (GS) programmiert werden. Natürlich ist es denkbar, verschiedene Prüfungen hintereinander durchzuführen. Daher ist es sinnvoll, dass das sicherheitsrelevante Gesamtsystem (GS) den Testzustand zwischen zwei unterschiedlichen Tests nicht verlässt. Wenn hier also davon die Rede ist, dass etwas vor der Einnahme des Testzustands durchgeführt werden soll, so kann dies immer auch so verstanden werden, dass dies vor der Durchführung des nächsten Tests erfolgt, ohne den Testzustand des sicherheitsrelevanten Gesamtsystems (GS) zu verlassen.In a further variant of the proposed method, programming of the virtual sensor ( VS ) with parameters for generation with virtual sensor data by the virtual sensor ( VS ), in particular the programming of the virtual sensor ( VS ) through the system control ( ST ) via the second control bus ( SPI2 ) and the internal tax ISPI ) he follows. In this variant, therefore, the virtual sensor ( VS ) able to independently generate virtual sensor data while the virtual sensor ( VS ) in the previous variant of the method, the sensor data was given preset and only reproduced. This will be illustrated by an example: For clarity, it is assumed by way of example that the safety-relevant sensor ( RS ) generates as a measuring signal a temporal sinusoidal oscillation whose frequency depends, for example, on an unspecified physical parameter which the safety-relevant sensor ( RS ) should capture. In this case, the virtual sensor ( VS ) according to the previously proposed variant, for example via the second control bus ( SPI2 ) and the internal tax ISPI ) through the system control ( ST ) are programmed with samples of a sinusoidal function that the virtual sensor ( VS ) as virtual sensor data in the test state of the safety-relevant overall system ( GS ) to a sinusoidal virtual sensor signal of the virtual sensor ( VS ) by playing the samples. According to this other method variant proposed last, the virtual sensor ( VS ) but in this example also be designed as an oscillator for clarification whose amplitude and frequency are used as parameters of the virtual sensor ( VS ) through the system control ( ST ) before taking the test state of the safety-relevant overall system ( GS ). Of course, it is conceivable to carry out various tests in succession. Therefore, it makes sense that the overall safety-relevant system ( GS ) does not leave the test state between two different tests. Thus, if there is talk here of something to be done prior to taking the test state, it can always be understood that this is done before the next test is performed, without the test state of the overall safety-related system ( GS ) to leave.

Die Reaktionen der Bewertungsvorrichtung (BV) sollen ja überprüft werden. Dies geschieht bevorzugt durch eine Testbewertungsvorrichtung (TB). Das vorgeschlagene Verfahren umfasst daher in einer weiteren Variante eine Programmierung der Testbewertungsvorrichtung (TB) mit Referenzdaten zur Bewertung der virtuellen Sensordaten des virtuellen Sensors (VS) bevorzugt mittels des zweiten Steuerbusses (SPI2) und des internen Steuerbusses (ISPI), wenn sich das sicherheitsrelevante Gesamtsystem (GS) im Testzustand befindet. Diese Referenzdaten stellen den Vergleichsmaßstab dar, mit dem die Testbewertungsvorrichtung (TB) die Bewertungssignale und/oder bereitgestellten Bewertungsdaten der Bewertungsvorrichtung (BV), also die Bewertungsergebnisse der Bewertungsvorrichtung (BV) bewertet. Ist die Testbewertungsvorrichtung (TB) separat von der Systemsteuerung (ST) innerhalb des sicherheitsrelevanten Gesamtsystems (GS) realisiert, so ist sie bevorzugt mittels des zweiten Steuerbusses (SPI2) und des internen Steuerbusses (ISPI) durch die der Systemsteuerung (ST) steuer- und bedienbar.The reactions of the evaluation device ( BV ) should be checked yes. This is preferably done by a test evaluation device ( TB ). The proposed method therefore comprises in a further variant a programming of the test evaluation device ( TB ) with reference data for evaluating the virtual sensor data of the virtual sensor ( VS ) preferably by means of the second control bus ( SPI2 ) and the internal tax bus ( ISPI ), if the overall safety-related system ( GS ) is in the test state. These reference data represent the benchmark with which the test evaluation device ( TB ) the evaluation signals and / or provided evaluation data of the evaluation device ( BV ), ie the evaluation results of the evaluation device ( BV ) rated. Is the test evaluation device ( TB ) separately from the control panel ( ST ) within the safety-relevant overall system ( GS ), it is preferably by means of the second control bus ( SPI2 ) and the internal tax bus ( ISPI ) by the control panel ( ST ) controllable and operable.

Da virtuelle Sensordaten durch den virtuellen Sensor (VS) erzeugbar sein sollen, die allen bestimmungsgemäß erlaubten Sensorsignalen des sicherheitsrelevanten Sensors (RV) entsprechen, kann es vorkommen, dass einzelne solcher Sensorsignale im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) zu einem unsicheren Zustand bestimmungsgemäß führen. Im Falle des beispielhaften Airbag-Sensorsystems als beispielhaftes sicherheitsrelevantes Gesamtsystem (GS) könnte dies beispielsweise ein Sensorsignal mit Sensordaten sein, dass eine Zündung des Airbags verursachen würde. Auch solche Sensordaten müssen als virtuelle Sensordaten verwendbar sein. Die Bewertungsvorrichtung (BV) muss nach dem Empfang solcher Sensordaten eine Bewertung vornehmen und entsprechende Signale erzeugen bzw. Bewertungsdaten bereitstellen, die diese Zündung im Normalzustand des Gesamtsystems (GS) auslösen würden. Ein solcher, unsicherer Zustand muss aber zuverlässig verhindert werden. Daher wird in einer weiteren Variante vorgeschlagen, eine zumindest einfache, besser jedoch eine doppelte Blockierung unsicherer Zustände des sicherheitsrelevanten Gesamtsystems (GS) vor dem Übergang des sicherheitsrelevanten Gesamtsystems (GS) in den Testzustand vorzunehmen. Dies erfolgt bevorzugt durch die Systemsteuerung (ST) oder eine spezielle Sicherheitseinrichtung (SE), die mit der Systemsteuerung (ST) identisch sein kann. Bevorzugt weist hierzu ein Aktor-System, beispielsweise die eigentliche Zündansteuerung der Zündpille eines Airbags, mehrere Eingänge auf, die alle einen bestimmten Aktivierungszustand einnehmen müssen, bevor der unsichere Zustand, im Beispiel eines Airbag-Systems die Zündung des Airbags, eingenommen wird. Es wird mindestens einer, bevorzugt jedoch zwei dieser Eingänge blockiert, womit die Einnahme des unsicheren Zustands sicher verhindert wird. Ganz besonders bevorzugt werden alle Eingänge des Aktor-System blockiert, um die Sicherheit zu erhöhen. Diese Blockierung aller Eingänge des Aktor-System erfolgt wieder bevorzugt durch die Systemsteuerung (ST) oder eine spezielle Sicherheitseinrichtung (SE), die mit der Systemsteuerung (ST) identisch sein kann. Bevorzugt wird eine solche Sicherheitseinrichtung (SE) über den zweiten Steuerbus (SPI2) und den internen Steuerbus (ISPI) durch die Systemsteuerung (ST) gesteuert.Since virtual sensor data through the virtual sensor ( VS ), which correspond to all the sensor signals of the safety-relevant sensor (RV) as intended, it may happen that individual such sensor signals in the normal state of the safety-relevant overall system ( GS ) lead to an unsafe condition as intended. In the case of the exemplary airbag sensor system as an exemplary safety-related overall system ( GS ), this could be, for example, a sensor signal with sensor data that would cause an ignition of the airbag. Even such sensor data must be usable as virtual sensor data. The evaluation device ( BV ) must after the receipt of such sensor data make an assessment and generate appropriate signals or provide evaluation data that this ignition in the normal state of the overall system ( GS ) would trigger. However, such an unsafe condition must be reliably prevented. Therefore, in a further variant, it is proposed to block at least a simple but better yet a double blockage of unsafe states of the safety-relevant overall system ( GS ) before the transition of the overall safety-related system ( GS ) to the test condition. This is preferably done by the system control ( ST ) or a special safety device ( SE ) with the control panel ( ST ) can be identical. For this purpose, an actuator system, for example the actual ignition control of the squib of an airbag, preferably has a plurality of inputs, all of which have to assume a specific activation state before the unsafe condition, in the example of an airbag system, the ignition of the airbag is taken. At least one, but preferably two, of these inputs are blocked, thus reliably preventing the assumption of the unsafe condition. Most preferably, all inputs of the actuator system are blocked to increase safety. This blocking of all inputs of the actuator system is again preferably by the system control ( ST ) or a special safety device ( SE ) with the control panel ( ST ) can be identical. Such a security device ( SE ) via the second control bus ( SPI2 ) and the internal tax ISPI ) through the system control ( ST ) controlled.

Vor oder mit dem Übergang des Zustands des sicherheitsrelevanten Gesamtsystems (GS) in den Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) wird diese Blockierung wieder aufgehoben, um die bestimmungsgemäße Funktion inklusive des bestimmungsgemäßen unsicheren Zustands zuzulassen und so den bestimmungsgemäßen Gebrauch des sicherheitsrelevanten Gesamtsystems (GS) wieder zuzulassen. Es erfolgt somit das Zulassen vorbestimmter unsicherer Zustände des sicherheitsrelevanten Gesamtsystems (GS) vor oder mit dem Übergang des sicherheitsrelevanten Gesamtsystems (GS) in den Normalzustand. Diese Aufhebung erfolgt wieder bevorzugt durch die Systemsteuerung (ST) oder eine spezielle Sicherheitseinrichtung (SE), die mit der Systemsteuerung (ST) identisch sein kann. Before or with the transition of the state of the safety-relevant overall system ( GS ) into the normal state of the safety-relevant overall system ( GS ), this blocking is canceled again in order to allow the intended function including the intended unsafe condition and thus the intended use of the safety-relevant overall system ( GS ) again. There is thus the admission of predetermined unsafe states of the safety-relevant overall system ( GS ) before or with the transition of the safety-relevant overall system ( GS ) in the normal state. This cancellation is again preferably by the system control ( ST ) or a special safety device ( SE ) with the control panel ( ST ) can be identical.

Diese Aufhebung der Blockierung darf jedoch nur dann erfolgen, wenn die Bewertung der Signalisierungen der Bewertungsvorrichtung (BV) und/oder der durch die Bewertungsvorrichtung (BV) bereitgestellten Bewertungsdaten durch die Testbewertungsvorrichtung (TB) in Form der Signalisierung oder Bereitstellung des Bewertungsergebnisses der Testbewertungsvorrichtung (TB) durch die Testbewertungsvorrichtung (TB) bevorzugt mittels des zweiten Steuerbusses (SPI2) und des internen Steuerbuses (ISPI) ergibt, dass die Signalisierungen der Bewertungsvorrichtung (BV) und/oder die durch die Bewertungsvorrichtung (BV) bereitgestellten Bewertungsdaten vorbestimmten Signalisierungen und/oder vorbestimmten Bewertungsdaten entsprechen. Ist dies nicht der Fall, so wird für diesen Fall hier vorgeschlagen, dass das sicherheitsrelevante Gesamtsystem (GS) dann einen zusätzlichen vorbestimmten Fehlerzustand einnehmen kann. Diese Einnahme des vorbestimmten Fehlerzustands des sicherheitsrelevanten Gesamtsystems (GS) umfasst bevorzugt ein fortdauerndes Blockieren vorbestimmter unsicherer Zustände des sicherheitsrelevanten Gesamtsystems (GS), die von den zuvor im Testzustand des Gesamtsystems blockierten unsicheren Zuständen des sicherheitsrelevanten Gesamtsystems (GS) abweichen können. Dieses fortdauernde Blockieren erfolgt wieder bevorzugt durch die Systemsteuerung (ST) oder eine spezielle Sicherheitseinrichtung (SE), die mit der Systemsteuerung (ST) identisch sein kann.However, this blockage may only be lifted if the evaluation of the signaling equipment ( BV ) and / or by the evaluation device ( BV ) provided evaluation data by the test evaluation device ( TB ) in the form of signaling or providing the evaluation result of the test evaluation device ( TB ) by the test evaluation device ( TB ) preferably by means of the second control bus ( SPI2 ) and the internal tax ISPI ) indicates that the signaling devices of the evaluation device ( BV ) and / or by the evaluation device ( BV ) correspond to predetermined signaling and / or predetermined evaluation data. If this is not the case, then it is proposed here for this case that the safety-relevant overall system ( GS ) can then assume an additional predetermined error state. This assumption of the predetermined error state of the safety-relevant overall system ( GS ) preferably comprises a continuous blocking of predetermined unsafe states of the safety-relevant overall system ( GS ), which are precluded by the unsafe states of the overall safety-related system that were previously blocked in the test state of the overall system ( GS ) may differ. This persistent blocking is again preferably done by the system controller ( ST ) or a special safety device ( SE ) with the control panel ( ST ) can be identical.

Der Übergang des sicherheitsrelevanten Gesamtsystems (GS) vom Testzustand in den vorbestimmten Fehlerzustand erfolgt also dann, wenn die Bewertung der Signalisierungen der Bewertungsvorrichtung (BV) und/oder der durch die Bewertungsvorrichtung (BV) bereitgestellten Bewertungsdaten durch die Testbewertungsvorrichtung (TB) in Form der Signalisierung oder Bereitstellung des Bewertungsergebnisses der Testbewertungsvorrichtung (TB) durch die Testbewertungsvorrichtung (TB) bevorzugt mittels des zweiten Steuerbusses (SPI2) und des internen Steuerbusses (ISPI) ergibt, dass die Signalisierungen der Bewertungsvorrichtung (BV) und/oder die durch die Bewertungsvorrichtung (BV) bereitgestellten Bewertungsdaten vorbestimmten Signalisierungen und/oder vorbestimmten Bewertungsdaten NICHT entsprechen.The transition of the safety-relevant overall system ( GS ) from the test state to the predetermined error state is thus effected when the evaluation of the signaling of the evaluation device ( BV ) and / or by the evaluation device ( BV ) provided evaluation data by the test evaluation device ( TB ) in the form of signaling or providing the evaluation result of the test evaluation device ( TB ) by the test evaluation device ( TB ) preferably by means of the second control bus ( SPI2 ) and the internal tax bus ( ISPI ) indicates that the signaling devices of the evaluation device ( BV ) and / or by the evaluation device ( BV ) provided evaluation data NOT correspond predetermined signaling and / or predetermined evaluation data.

Je nach festgestelltem Fehler können ein sicherheitsrelevanter Sensor (RS) oder mehrere sicherheitsrelevante Sensoren (RS1, RS2, ... RSn) für die Verwendung der Sensordaten durch das sicherheitsrelevante Gesamtsystem (GS) gesperrt werden. Im Falle eines beispielhaften Airbag-Systems als beispielhaftes sicherheitsrelevantes Gesamtsystem (GS) kann beispielsweise die Art der Signalisierung an den Fahrer eines Fahrzeugs von der Schwere der Abweichung abhängen. Eine falsche Signalisierung an den Fahrer eines Fahrzeugs ist im Sinne dieser Offenlegung ein unsicherer Zustand des sicherheitsrelevanten Gesamtsystems (GS).Depending on the detected error, a safety-relevant sensor ( RS ) or several safety-related sensors ( RS1 . RS2 , ... RSn ) for the use of the sensor data by the safety-related overall system ( GS ) are locked. In the case of an exemplary airbag system as an exemplary safety-related overall system ( GS For example, the type of signaling to the driver of a vehicle may depend on the severity of the deviation. An incorrect signaling to the driver of a vehicle is in the sense of this disclosure an unsafe state of the safety-related overall system ( GS ).

Neben diesen Aspekten ist es noch sinnvoll, die Programmierung oder Einstellung des virtuellen Sensors mit solchen Daten vorzunehmen, die inkonsistente, redundante virtuelle Sensordaten zur Folge haben. Beispielsweise können diese fehlerhaften virtuellen Sensordaten für die beabsichtigten testzwecke CRC- oder Parity- Fehler beinhalten. Der virtuelle Sensor (VS) muss also in der Lage sein, fehlerhafte virtuelle Sensordaten in vorbestimmter Weise zu für die Verwendung zu Testzwecken innerhalb des sicherheitsrelevanten Gesamtsystems (GS) erzeugen zu können.In addition to these aspects, it makes sense to program or adjust the virtual sensor with data that results in inconsistent, redundant virtual sensor data. For example, these erroneous virtual sensor data may include CRC or parity errors for the intended test purposes. The virtual sensor ( VS ) must therefore be able to provide faulty virtual sensor data in a predetermined manner for use for test purposes within the overall safety-relevant system ( GS ).

Ebenso sollte der virtuelle Sensor (VS) unplausible virtuelle Sensordaten erzeugen können. Solche unplausiblen Daten wären beispielsweise virtuelle Sensordaten mit falschem Vorzeichen oder Sensordaten mit Grenzwertüberschreitungen- oder Grenzwertunterschreitungen oder mehrdimensionale Sensordaten mit nicht erlaubten Wertekombinationen oder Sequenzen von Sensordaten mit nicht erlaubten Sensorwertabfolgen etc.Similarly, the virtual sensor ( VS ) can generate implausible virtual sensor data. Such implausible data would be, for example, virtual sensor data with a false sign or sensor data with Grenzwertüberschreitungen- or limit value underruns or multi-dimensional sensor data with unacceptable combinations of values or sequences of sensor data with unauthorized sensor value sequences, etc.

Besonders bevorzugt ist es, wenn eine Möglichkeit vorgesehen wird, der virtuellen Quelle in Form des virtuellen Sensors (VS) Informationen über den Ursprung der virtuellen Sensordaten hinzuzufügen. Dies ermöglicht die Prüfung multipler Pfade in der Bewertungsvorrichtung (BV). Bevorzugt ist hierbei der Verlauf der Datenpfade der Sensordaten in der Bewertungsvorrichtung (BV) von diesen Informationen über den Ursprung der Sensordaten abhängig. In diesem Fall ist es in einigen Fällen vorteilhaft, wenn je nach Ursprung der Sensordaten (z.B. aus unterschiedlichen Sensoren (RS1, RS2,... RSn) unterschiedliche Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) innerhalb der Bewertungsvorrichtung (BV) für die Bewertung der Daten durch die Bewertungsvorrichtung (BV) verwendet werden.It is particularly preferred if a possibility is provided, the virtual source in the form of the virtual sensor ( VS ) Add information about the origin of the virtual sensor data. This allows the examination of multiple paths in the evaluation device ( BV ). In this case, the course of the data paths of the sensor data in the evaluation device is preferred ( BV ) depends on this information about the origin of the sensor data. In this case, it is advantageous in some cases if, depending on the origin of the sensor data (eg, from different sensors ( RS1 . RS2 ... RSn ) different evaluation subsystems ( BTV1 . BTV2 , ... BTVn ) within the evaluation device ( BV ) for the evaluation of the data by the evaluation device ( BV ) be used.

In diesem Fall wird ein Verfahren vorgeschlagen, bei dem die Bewertungsvorrichtung (BV) mindestens zwei verschiedene Teilbewertungsvorrichtungen (BTV1, BTV2, ... BTVn) aufweist. Eine solche vorgeschlagene Vorrichtung ist insbesondere dann sinnvoll, wenn verschiedene sicherheitsrelevante Sensoren (RS1, RS2, ... RSn) unterschiedlicher Sensortypen oder mehrere sicherheitsrelevante Sensoren (RS1, RS2, ... RSn) an dem gleichen Sensordatenbus (DB) angeschlossen sind. In dem Fall hat der Sensordatenbus (DB) also eine sternförmige Grundstruktur. Im Sinne dieser Offenlegung liegen mehrere Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) bereits dann vor, wenn eine Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) aufgrund von Informationen in den Sensordaten so umkonfiguriert werden kann, dass sie einer zweiten Bewertungsteilvorrichtung (z.B. BTV2) entspricht. In dem Fall liegt ein Zeitmultiplex statt eines Raummultiplex der Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) vor. Die Sensordaten der mehreren sicherheitsrelevanten Sensoren (RS1, RS2... RSn) enthalten dann bevorzugt Informationen über die Quelle der jeweiligen Sensordaten. Aufgrund dieser Informationen wird innerhalb einer Bewertungsvorrichtung (BV) zumindest eine betreffende Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) der Bewertungsvorrichtung (BV) aktiviert. Ggf. werden auch zwei, drei oder mehr Bewertungsteilvorrichtungen der Bewertungsteilvorrichtungen (BTV1, BTV2,...BTVn) aktiviert. Welche Bewertungsteilvorrichtungen (BTV) im Einzelnen genau aktiviert werden oder inaktiv bleiben, hängt von den Informationen über die Quelle der jeweiligen Sensordaten in den Sensordaten ab, die durch die Bewertungsteilvorrichtung (BV), deren Teil die Bewertungsteilvorrichtungen (BTV1, BTV2, ...BTVn) sind, empfangen werden. Wir gehen nun in der folgenden Beschreibung vereinfachend davon aus, dass eine betreffende Bewertungsteilvorrichtung (BTV) dieser Bewertungsteilvorrichtungen (BTV1, BTV2 bis BTVn) der Bewertungsvorrichtung (BV) aktiviert wird und benennen diese betreffende Bewertungsvorrichtung (BTV). Es kann sich aber um eine beliebige dieser Bewertungsteilvorrichtungen (BTV1, BTV2, bis BTVn) der Bewertungsvorrichtung (BV) handeln. Diese betreffende Bewertungsteilvorrichtung (BTV) der mindestens zwei Bewertungsteilvorrichtungen (BTV1, BTV2, .... BTVn) empfängt aufgrund der besagten Informationen in den Sensordaten im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) Sensordaten über den Sensordatenbus (DB) von einem betreffenden sicherheitsrelevanten Sensor (RS) der sicherheitsrelevanten Sensoren (RS1, RS2, ... RSn). Dies geschieht voraussetzungsgemäß nur dann, wenn die Informationen über die Quelle der Sensordaten innerhalb der Sensordaten des betreffenden sicherheitsrelevanten Sensors (RS) vorbestimmten Kriterien genügen. In this case, a method is proposed in which the evaluation device ( BV ) at least two different sub-rating devices ( BTV1 . BTV2 , ... BTVn ) having. Such a proposed device is particularly useful when different safety-related sensors ( RS1 . RS2 , ... RSn ) of different sensor types or several safety-related sensors ( RS1 . RS2 , ... RSn ) on the same sensor data bus ( DB ) are connected. In that case, the sensor data bus ( DB ) So a star-shaped basic structure. For the purposes of this disclosure, several evaluation sub-assemblies ( BTV1 . BTV2 , ... BTVn ) already exists when a rating sub-device ( BTV ) of the evaluation subsystems ( BTV1 . BTV2 , ... BTVn ) can be reconfigured based on information in the sensor data so that it a second evaluation sub-device (eg BTV2 ) corresponds. In that case there is a time division multiplex instead of a spatial multiplex of the evaluation subsystems ( BTV1 . BTV2 , ... BTVn ) in front. The sensor data of the several safety-related sensors ( RS1 . RS2 ... RSn ) then preferably contain information about the source of the respective sensor data. Because of this information, within an evaluation device ( BV ) at least one evaluation sub-device ( BTV ) of the evaluation subsystems ( BTV1 . BTV2 , ... BTVn ) of the evaluation device ( BV ) is activated. Possibly. Also, two, three or more evaluation sub-devices of the evaluation sub-devices ( BTV1 . BTV2 , ... BTVn) activated. Which evaluation subsystems ( BTV ) can be precisely activated or remain inactive depends on the information about the source of the respective sensor data in the sensor data, which is passed through the evaluation sub-device ( BV ), part of which are the evaluation subsystems ( BTV1 . BTV2 , ... BTVn) are received. For the sake of simplicity, we will now assume in the following description that a respective evaluation sub-device ( BTV ) of these evaluation subsystems ( BTV1 . BTV2 to BTVn ) of the evaluation device ( BV ) and name that particular evaluation device ( BTV ). However, it may be any of these evaluation subsystems ( BTV1 . BTV2 , to BTVn ) of the evaluation device ( BV ) act. This relevant evaluation sub-device ( BTV ) of the at least two evaluation subsystems ( BTV1 . BTV2 , .... BTVn ) receives on the basis of said information in the sensor data in the normal state of the safety-relevant overall system ( GS ) Sensor data via the sensor data bus ( DB ) from a relevant safety-related sensor ( RS ) of the safety-related sensors ( RS1 . RS2 , ... RSn ). As a precondition, this happens only if the information about the source of the sensor data within the sensor data of the relevant safety-related sensor ( RS ) meet predetermined criteria.

Für diesen Fall, dass die Informationen über die Quelle der Sensordaten innerhalb der Sensordaten diesen vorbestimmten Kriterien genügen, bewertet nun die betreffende Bewertungsteilvorrichtung (BTV) im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) die Sensordaten des betreffenden sicherheitsrelevanten Sensors (RS). Die betreffende Bewertungsteilvorrichtung (BTV) führt dann unter dieser Vorbedingung, dass die Informationen über die Quelle der Sensordaten innerhalb der Sensordaten diesen vorbestimmten Kriterien genügen, im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) Signalisierungen in Abhängigkeit von diesen Sensordaten durch. Die betreffende Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, .... BTVn) kann gleichzeitig oder alternativ dazu unter dieser Vorbedingung, dass die Informationen über die Quelle der Sensordaten innerhalb der Sensordaten diesen vorbestimmten Kriterien genügen, im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) Bewertungsdaten bereitstellen, die von diesen Sensordaten abhängen.In this case that the information about the source of the sensor data within the sensor data meets these predetermined criteria, the relevant evaluation sub-device now evaluates ( BTV ) in the normal state of the safety-relevant overall system ( GS ) the sensor data of the relevant safety-relevant sensor ( RS ). The relevant evaluation sub-device ( BTV ) then, under this precondition, that the information about the source of the sensor data within the sensor data satisfies these predetermined criteria, in the normal state of the safety-relevant overall system ( GS ) Signaling in response to this sensor data. The relevant evaluation sub-device ( BTV ) of the evaluation subsystems ( BTV1 . BTV2 , .... BTVn ) can simultaneously or alternatively under this precondition that the information about the source of the sensor data within the sensor data meet these predetermined criteria, in the normal state of the safety-relevant overall system ( GS ) Provide rating data that depends on this sensor data.

Die Einspeisevorrichtung (EV) empfängt wieder im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) Sensordaten vom besagten betreffenden sicherheitsrelevanten Sensor (RS) der sicherheitsrelevanten Sensoren (RS1, RS2,... RSn) und modifiziert diese oder modifiziert diese nicht. Die Einspeisevorrichtung (EV) leitet diese Sensordaten an die betreffende Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) weiter. Bevorzugt übermittelt die Systemsteuerung (ST) virtuelle Sensordaten und/oder Daten zur Erzeugung virtueller Sensordaten an den virtuellen Sensor (VS) über den zweiten Steuerbus (SPI2, ISPI). Diese Signalisierung kann sowohl im Testzustand als auch im Normalzustand erfolgen. Im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) Erzeugt der virtuelle Sensors (VS) virtuelle Sensordaten durch in Abhängigkeit von den erhaltenen virtueller Sensordaten und/oder von den erhaltenen Daten zur Erzeugung virtueller Sensordaten. Im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) empfängt die Einspeisevorrichtung (EV) virtuelle Sensordaten somit vom virtuellen Sensor (VS), statt der Sensordaten des betreffenden sicherheitsrelevanten Sensors (RS) der sicherheitsrelevanten Sensoren (RS1, RS2, ... RSn). Die Einspeisevorrichtung (EV) modifiziert diese virtuellen Sensordaten des virtuellen Sensors (SV) oder modifiziert diese nicht. Im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) leitet die Einspeisevorrichtung (EV) diese virtuellen Sensordaten an Stelle der Sensordaten der sicherheitsrelevanten Sensoren (RS1, RS2, ... RSn) an die betreffende Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, ....BTVn) der Bewertungsvorrichtung (BV) weiter. Dabei enthalten auch diese virtuellen Sensordaten nun Informationen über eine simulierte Quelle der virtuellen Sensordaten. Hierdurch wird es möglich, verschiedene Sensortypen als sicherheitsrelevante Sensoren (RS1, RS2, ... RSn) an einem sternförmigen Sensordatenbus (DB) zu betreiben und deren typischerweise verschiedene Sensordaten durch den virtuellen Sensor (VS) mit seinen virtuellen Sensordaten zu emulieren und die korrekte und doch verschiedene Bewertung durch die Bewertungsvorrichtung (BV) und ihre Bewertungsteilvorrichtungen (BTV1, BTV2, .... BTVn) zu überprüfen.The feeding device ( EV ) receives again in the normal state of the safety-relevant overall system ( GS ) Sensor data from said respective safety-related sensor ( RS ) of the safety-related sensors ( RS1 . RS2 ... RSn ) and modifies or does not modify them. The feeding device ( EV ) passes this sensor data to the relevant evaluation sub-device ( BTV ) of the evaluation subsystems ( BTV1 . BTV2 , ... BTVn ) further. Preferably, the system control ( ST ) virtual sensor data and / or data for generating virtual sensor data to the virtual sensor ( VS ) via the second control bus ( SPI2 . ISPI ). This signaling can be done both in the test state and in the normal state. In the test state of the safety-relevant overall system ( GS ) Creates the virtual sensor ( VS ) virtual sensor data by depending on the obtained virtual sensor data and / or the data obtained for the generation of virtual sensor data. In the test state of the safety-relevant overall system ( GS ) receives the feed device ( EV ) virtual sensor data thus from the virtual sensor ( VS ), instead of the sensor data of the relevant safety-relevant sensor ( RS ) of the safety-related sensors ( RS1 . RS2 , ... RSn ). The feeding device ( EV ) modifies or does not modify this virtual sensor data of the virtual sensor (SV). In the test state of the safety-relevant overall system ( GS ) directs the feed device ( EV ) this virtual sensor data instead of the sensor data of the safety-related sensors ( RS1 . RS2 , ... RSn ) to the relevant evaluation sub-device ( BTV ) of the evaluation subsystems ( BTV1 . BTV2 , .... BTVn) of the evaluation device ( BV ) further. They also contain these virtual sensor data now information about a simulated source of virtual sensor data. This makes it possible to use different sensor types as safety-relevant sensors ( RS1 . RS2 , ... RSn ) on a star-shaped sensor data bus ( DB ) and their typically different sensor data by the virtual sensor ( VS ) with its virtual sensor data and the correct and yet different evaluation by the evaluation device ( BV ) and their evaluation subsystems ( BTV1 . BTV2 , .... BTVn ) to check.

Für den Fall, dass die Informationen über die simulierte Quelle der virtuellen Sensordaten innerhalb der virtuellen Sensordaten vorbestimmten Kriterien genügen, bewertet die betreffende Bewertungsteilvorrichtung (BVT) der Bewertungsteilvorrichtungen (BTV1, BTV2, .... BTVn) im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) die virtuellen Sensordaten. In diesem Fall, dass die Informationen über die simulierte Quelle der virtuellen Sensordaten innerhalb der virtuellen Sensordaten vorbestimmten Kriterien genügen, führt die betreffende Bewertungsteilvorrichtung (BVT) der Bewertungsteilvorrichtungen (BTV1, BTV2, .... BTVn) im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) Signalisierungen in Abhängigkeit von diesen virtuellen Sensordaten aus. Gleichzeitig oder alternativ dazu, wenn die Informationen über die simulierte Quelle der virtuellen Sensordaten innerhalb der virtuellen Sensordaten vorbestimmten Kriterien genügen, kann die betreffende Bewertungsteilvorrichtung (BVT) der Bewertungsteilvorrichtungen (BTV1, BTV2, .... BTVn) im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) Bewertungsdaten bereitstellen, die von diesen virtuellen Sensordaten abhängen.In the event that the information about the simulated source of the virtual sensor data within the virtual sensor data meets predetermined criteria, the relevant evaluation subdevice evaluates ( BAT ) of the evaluation subsystems ( BTV1 . BTV2 , .... BTVn ) in the test state of the safety-relevant overall system ( GS ) the virtual sensor data. In this case, if the information about the simulated source of the virtual sensor data within the virtual sensor data meets predetermined criteria, the relevant evaluation subdevice ( BAT ) of the evaluation subsystems ( BTV1 . BTV2 , .... BTVn ) in the test state of the safety-relevant overall system ( GS ) Signaling in response to this virtual sensor data. At the same time or alternatively, if the information about the simulated source of the virtual sensor data within the virtual sensor data meets predetermined criteria, the relevant evaluation subdevice can ( BAT ) of the evaluation subsystems ( BTV1 . BTV2 , .... BTVn ) in the test state of the safety-relevant overall system ( GS ) Provide rating data that depends on this virtual sensor data.

Vorzugsweise ist die Systemsteuerung (ST) oder eine spezielle Sicherheitseinrichtung (SE) in der Lage, etwaige sicherheitsrelevante Funktionen während der Überprüfungen bevorzugt mittels Signalisierungen über den zweiten Steuerbus (SPI2) und den internen Steuerbus (ISPI) zu blockieren, um Fehlauslösungen während der Prüfungen sicher zu unterbinden.Preferably, the system controller ( ST ) or a special safety device ( SE ) capable of performing any security-related functions during the checks, preferably by means of signaling via the second control bus ( SPI2 ) and the internal tax ISPI ) in order to reliably prevent false tripping during the tests.

In einer vereinfachten Version des Verfahrens zur Prüfung einer sicherheitsrelevanten Bewertungsvorrichtung (BV) für Signale und/oder Daten eines sicherheitsrelevanten Sensors (RS) als Teil eines sicherheitsrelevanten Gesamtsystems (GS) kann auf die Einspeisevorrichtung (EV) verzichtet werden. Dies insbesondere dann der Vorteil, wenn der sicherheitsrelevante Sensor (RS) direkt über eine Datenschnittstelle (IF) an den internen Datenbus (IDB) angeschlossen ist. Die gesamte Kommunikation kann also auch über den internen Datenbus (IDB) abgewickelt werden. Das sicherheitsrelevante Gesamtsystem (GS) umfasst dann einen virtuellen Sensor (VS), eine Systemsteuerung (ST) und Mittel, um die Kommunikation zwischen diesen zu ermöglichen, also beispielsweise den internen Datenbus (IDB), die Datenschnittstelle (IF) und den externen Sensordatenbus (EDB), den zweiten Steuerbus (SPI2) und den internen Steuerbus (ISPI). Das sicherheitsrelevante Gesamtsystem (GS) kann sich auch jetzt wieder ein einem Normalzustand und in einem Testzustand befinden. Das vorgeschlagene Verfahren umfasst dann den Empfang von Sensordaten des sicherheitsrelevanten Sensors (RS) im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) durch die Bewertungsvorrichtung (BV) und die Bewertung dieser Sensordaten des sicherheitsrelevanten Sensors (RS) im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) durch die Bewertungsvorrichtung (BV) zur Erzeugung eines Bewertungsergebnisses der Bewertungsvorrichtung (BV).In a simplified version of the method for testing a safety-relevant evaluation device ( BV ) for signals and / or data of a safety-related sensor ( RS ) as part of a safety-related overall system ( GS ) can be applied to the feed device ( EV ) are waived. This is especially the advantage if the safety-relevant sensor ( RS ) directly via a data interface ( IF ) to the internal data bus ( IDB ) connected. The entire communication can therefore also via the internal data bus ( IDB ). The safety-relevant overall system ( GS ) then includes a virtual sensor ( VS ), a system control ( ST ) and means to facilitate communication between them, such as the internal data bus ( IDB ), the data interface ( IF ) and the external sensor data bus ( EDB ), the second control bus ( SPI2 ) and the internal tax ISPI ). The safety-relevant overall system ( GS ) can now be back to a normal state and in a test state. The proposed method then includes the reception of sensor data of the safety-relevant sensor ( RS ) in the normal state of the safety-relevant overall system ( GS ) by the evaluation device ( BV ) and the evaluation of this sensor data of the safety-relevant sensor ( RS ) in the normal state of the safety-relevant overall system ( GS ) by the evaluation device ( BV ) for generating an evaluation result of the evaluation device ( BV ).

Im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) umfasst das vorgeschlagene Verfahren das Übermitteln virtueller Sensordaten und/oder von Daten zur Erzeugung virtueller Sensordaten durch die Systemsteuerung (ST) an den virtuellen Sensor (VS) über den zweiten Steuerbus (SPI2, ISPI) sowie die Erzeugung virtueller Sensordaten durch den virtuellen Sensors (VS) in Abhängigkeit von den erhaltenen virtueller Sensordaten und/oder von den erhaltenen Daten zur Erzeugung virtueller Sensordaten. Des Weiteren umfasst im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) das vorgeschlagene Verfahren den Empfang dieser virtuellen Sensordaten des virtuellen Sensors (VS) durch die Bewertungsvorrichtung (BV) und die Bewertung dieser virtuellen Sensordaten des virtuellen Sensors (VS) durch die Bewertungsvorrichtung (BV) zur Erzeugung eines Bewertungsergebnisses der Bewertungsvorrichtung (BV). Das Verfahren umfasst unabhängig von dem Normalzustand oder Testzustand des Gesamtsystems (GS) die Signalisierung des Bewertungsergebnisses der Bewertungsvorrichtung (BV) und/oder Bereitstellung des Bewertungsergebnisses der Bewertungsvorrichtung (BV) in Form von Bewertungsdaten durch die Bewertungsvorrichtung (BV) über den ersten Datenbus, der bevorzugt den internen Datenbus (IDB) und den ersten Steuerbus (SPI1) umfasst. Weitere Varianten entsprechen analog den Merkmalen der zuvor besprochenen Varianten mit Einspeisevorrichtung (EV). Bei mehreren Bewertungsteilvorrichtungen stellt sich eine Variante des Verfahrens dann aber ohne Einspeisevorrichtung (EV) so dar, dass das sicherheitsrelevante Gesamtsystem auch mehr als einen sicherheitsrelevanten Sensor (RS1, RS2, ... RSn) aufweisen kann. Entsprechend weist die Bewertungsvorrichtung (BV) in dieser Variante mindestens zwei verschiedene Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) auf. Die Sensordaten umfassen dann bevorzugt Informationen über eine simulierte Quelle der Sensordaten. Ebenso umfassen dann die virtuellen Sensordaten Informationen über die simulierte Quelle der virtuellen Sensordaten.In the test state of the safety-relevant overall system ( GS ), the proposed method comprises the transmission of virtual sensor data and / or data for generating virtual sensor data by the system controller ( ST ) to the virtual sensor ( VS ) via the second control bus ( SPI2 . ISPI ) as well as the generation of virtual sensor data by the virtual sensor ( VS ) depending on the obtained virtual sensor data and / or the obtained data for generating virtual sensor data. Furthermore, in the test state of the safety-relevant overall system ( GS ) the proposed method of receiving this virtual sensor data of the virtual sensor ( VS ) by the evaluation device ( BV ) and the evaluation of this virtual sensor data of the virtual sensor ( VS ) by the evaluation device ( BV ) for generating an evaluation result of the evaluation device ( BV ). The method comprises independent of the normal state or test state of the overall system ( GS ) the signaling of the evaluation result of the evaluation device ( BV ) and / or providing the evaluation result of the evaluation device ( BV ) in the form of evaluation data by the evaluation device ( BV ) over the first data bus, which prefers the internal data bus ( IDB ) and the first control bus ( SPI1 ). Other variants correspond analogously to the features of the previously discussed variants with a feed device ( EV ). In the case of several evaluation subassemblies, a variant of the method then arises without a feed device ( EV ) in such a way that the overall safety-relevant system also has more than one safety-relevant sensor ( RS1 . RS2 , ... RSn ). Accordingly, the evaluation device ( BV ) in this variant, at least two different evaluation sub-devices ( BTV1 . BTV2 , ... BTVn ) on. The sensor data then preferably includes information about a simulated source of the sensor data. Likewise, the virtual sensor data then includes information about the simulated source of the virtual sensor data.

Das Verfahren umfasst in dieser Variante dann den Empfang von Sensordaten eines betreffenden sicherheitsrelevanten Sensors (RS) der sicherheitsrelevanten Sensoren (RS1, RS2, .... RSn) durch eine betreffende Bewertungsvorrichtung (BTV) der mindestens zwei Bewertungsteilvorrichtungen (BTV1, BTV2,... BTVn) im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS), wenn die Informationen über die Quelle der Sensordaten innerhalb der Sensordaten des sicherheitsrelevanten Sensors der sicherheitsrelevanten Sensoren (RS1, RS2, ... RSn) vorbestimmten Kriterien genügen. Es folgt die Bewertung der Sensordaten des betreffenden sicherheitsrelevanten Sensors (RS) durch die betreffende Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS), wenn die Informationen über die Quelle der Sensordaten innerhalb der Sensordaten diesen vorbestimmten Kriterien genügen und/oder die Erzeugung eines Bewertungsergebnisses durch die betreffende Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) in Abhängigkeit von diesen Sensordaten im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS). Im Testzustand des Gesamtsystem erfolgt jedoch stattdessen das Übermitteln virtueller Sensordaten und/oder von Daten zur Erzeugung virtueller Sensordaten durch die Systemsteuerung (ST) an den virtuellen Sensor (VS) über den zweiten Steuerbus (SPI2, ISPI) und die Erzeugung virtueller Sensordaten durch den virtuellen Sensors (VS) in Abhängigkeit von den erhaltenen virtueller Sensordaten und/oder von den erhaltenen Daten zur Erzeugung virtueller Sensordaten sowie der Empfang dieser virtuellen Sensordaten eines virtuellen Sensors (VS) durch eine betreffende Bewertungsvorrichtung (BTV) der mindestens zwei Bewertungsteilvorrichtungen (BTV1, BTV2,...BTVn) im Testzustand des sicherheitsrelevanten Gesamtsystems (GS), wenn die Informationen über die simulierte Quelle der virtuellen Sensordaten innerhalb der virtuellen Sensordaten vorbestimmten Kriterien genügen und die Bewertung der virtuellen Sensordaten des virtuellen Sensors (VS) durch die betreffende Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) im Testzustand des sicherheitsrelevanten Gesamtsystems (GS), wenn die Informationen über die Quelle der virtuellen Sensordaten innerhalb der virtuellen Sensordaten diesen vorbestimmten Kriterien genügen, sowie die Erzeugung eines Bewertungsergebnisses durch die betreffende Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) in Abhängigkeit von diesen virtuellen Sensordaten im Testzustand des sicherheitsrelevanten Gesamtsystems (GS), wenn die Informationen über die Quelle der virtuellen Sensordaten innerhalb der virtuellen Sensordaten diesen vorbestimmten Kriterien genügen. Abschließend erfolgt die Signalisierungen des Bewertungsergebnisses und/oder die Bereitstellung des Bewertungsergebnisses der betreffenden Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) in Form von Bewertungsdaten durch die betreffende Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) über den ersten Datenbus (IDB, SPI1).In this variant, the method then comprises the reception of sensor data of a relevant safety-relevant sensor ( RS ) of the safety-related sensors ( RS1 . RS2 , .... RSn ) by a respective evaluation device ( BTV ) of at least two Evaluation sub-devices ( BTV1 . BTV2 ... BTVn ) in the normal state of the safety-relevant overall system ( GS ), if the information about the source of the sensor data within the sensor data of the safety-relevant sensor of the safety-relevant sensors ( RS1 . RS2 , ... RSn ) meet predetermined criteria. This is followed by the evaluation of the sensor data of the relevant safety-relevant sensor ( RS ) by the relevant evaluation sub-device ( BTV ) of the evaluation subsystems ( BTV1 . BTV2 , ... BTVn ) in the normal state of the safety-relevant overall system ( GS ), if the information about the source of the sensor data within the sensor data meets these predetermined criteria and / or the generation of an evaluation result by the relevant evaluation sub-device ( BTV ) of the evaluation subsystems ( BTV1 . BTV2 , ... BTVn ) as a function of these sensor data in the normal state of the safety-relevant overall system ( GS ). However, in the test state of the overall system, the transmission of virtual sensor data and / or data for the generation of virtual sensor data by the system control takes place instead ( ST ) to the virtual sensor ( VS ) via the second control bus ( SPI2 . ISPI ) and the generation of virtual sensor data by the virtual sensor ( VS ) as a function of the obtained virtual sensor data and / or the data obtained for the generation of virtual sensor data and the reception of these virtual sensor data of a virtual sensor ( VS ) by a respective evaluation device ( BTV ) of the at least two evaluation subsystems ( BTV1 . BTV2 , ... BTVn) in the test state of the safety-relevant overall system ( GS ), if the information about the simulated source of the virtual sensor data within the virtual sensor data meets predetermined criteria and the evaluation of the virtual sensor data of the virtual sensor ( VS ) by the relevant evaluation sub-device ( BTV ) of the evaluation subsystems ( BTV1 . BTV2 , ... BTVn ) in the test state of the safety-relevant overall system ( GS ), if the information about the source of the virtual sensor data within the virtual sensor data meets these predetermined criteria, and the generation of an evaluation result by the evaluation sub-device concerned ( BTV ) of the evaluation subsystems ( BTV1 . BTV2 , ... BTVn ) as a function of these virtual sensor data in the test state of the safety-relevant overall system ( GS ) when the information about the source of the virtual sensor data within the virtual sensor data meets these predetermined criteria. Finally, the signaling of the evaluation result and / or the provision of the evaluation result of the relevant evaluation sub-device ( BTV ) of the evaluation subsystems ( BTV1 . BTV2 , ... BTVn ) in the form of evaluation data by the relevant evaluation sub-device ( BTV ) of the evaluation subsystems ( BTV1 . BTV2 , ... BTVn ) over the first data bus ( IDB . SPI1 ).

Diesen Verfahrensvarianten korrespondiert wieder eine entsprechende Vorrichtung zur Durchführung eines Verfahrens zur Prüfung einer sicherheitsrelevanten Bewertungsvorrichtung (BV) für Signale und/oder Daten eines sicherheitsrelevanten Sensors (RS) als Teil eines sicherheitsrelevanten Gesamtsystems (GS). Das sicherheitsrelevante Gesamtsystem (GS) umfasst einen virtuellen Sensor (VS) und eine Systemsteuerung (ST). Das sicherheitsrelevante Gesamtsystem (GS) kann sich in einem Normalzustand und in einem Testzustand befinden. Die Bewertungsvorrichtung (BV) empfängt im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) Sensordaten von dem sicherheitsrelevanten Sensor (RS) und bewertet die Sensordaten des sicherheitsrelevanten Sensors (RS). Im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) nimmt die Bewertungsvorrichtung (BV) Signalisierungen in Abhängigkeit von diesen Sensordaten vor und/oder stellt im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) Bewertungsdaten bereit, die von diesen Sensordaten abhängen. Die Systemsteuerung (ST) übermittelt virtuelle Sensordaten und/oder Daten zur Erzeugung virtueller Sensordaten durch die Systemsteuerung (ST) an den virtuellen Sensor (VS) über den zweiten Steuerbus (SPI2, ISPI). Diese Übermittlung kann zu iregend einem Zeitpunkt vor oder nach Einnahme des Testzustands erfolgen. Im Testzustand des Gesamtsystems (GS) erzeugt der virtuelle Sensor (VS) virtuelle Sensordaten in Abhängigkeit von den erhaltenen virtueller Sensordaten und/oder von den erhaltenen Daten zur Erzeugung virtueller Sensordaten im Testzustand des sicherheitsrelevanten Gesamtsystems (GS). m Testzustand des Gesamtsystems (GS) empfängt stattdessen somit die Bewertungsvorrichtung (BV) virtuelle Sensordaten von dem virtuellen Sensor (VS) und bewertet im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) die virtuellen Sensordaten des virtuellen Sensors (VS) und nimmt im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) Signalisierungen in Abhängigkeit von diesen virtuellen Sensordaten vor oder stellt im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) Bewertungsdaten bereit, die von diesen virtuellen Sensordaten abhängen. Auch hier kann eine Variante mit mehr als zwei Teilbewertungsvorrichtungen (BTV1, BTV2, ... BTVn) vorgesehen werden. Die Bewertungsvorrichtung (BV) weist dann wieder mindestens zwei verschiedene Teilbewertungsvorrichtungen (BTV1, BTV2, ... BTVn) auf. Die Sensordaten umfassen dann wieder Informationen über die Quelle der Sensordaten, also insbesondere Informationen über den betreffenden sicherheitsrelevanten Sensor der sicherheitsrelevanten Sensoren (RS1, RS2, ... RSn), der die Sensordaten erzeugt hat. Ebenso umfassen die virtuellen Sensordaten des virtuellen Sensors (VS) Informationen über eine simulierte Quelle für virtuelle Sensordaten. Eine Bewertungsvorrichtung (BTV) der mindestens zwei Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) empfängt im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) Sensordaten von dem sicherheitsrelevanten Sensor (RS) der sicherheitsrelevanten Sensoren (RS1, RS2, ... RSn), wenn die Informationen über die Quelle der Sensordaten innerhalb der Sensordaten vorbestimmten Kriterien genügen, wobei für den Fall, dass die Informationen über die Quelle der Sensordaten innerhalb der Sensordaten diesen vorbestimmten Kriterien genügen, die Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) die Sensordaten des sicherheitsrelevanten Sensors (RS) der sicherheitsrelevanten Sensoren (RS1, RS2, ... RSn) bewertet und im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) Signalisierungen in Abhängigkeit von diesen Sensordaten vornimmt und/oder im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) Bewertungsdaten bereitstellt, die von diesen Sensordaten abhängen. Die Systemsteuerung (ST) übermittelt virtuelle Sensordaten und/oder Daten zur Erzeugung virtueller Sensordaten durch die Systemsteuerung (ST) an den virtuellen Sensor (VS) über den zweiten Steuerbus (SPI2, ISPI). Diese Übermittlung kann zu iregend einem Zeitpunkt vor oder nach Einnahme des Testzustands erfolgen. Im Testzustand des Gesamtsystems (GS) erzeugt der virtuelle Sensor (VS) virtuelle Sensordaten in Abhängigkeit von den erhaltenen virtueller Sensordaten und/oder von den erhaltenen Daten zur Erzeugung virtueller Sensordaten im Testzustand des sicherheitsrelevanten Gesamtsystems (GS). Im Testzustand des Gesamtsystems (GS) empfängt eine Bewertungsvorrichtung (BTV) der mindestens zwei Bewertungsteilvorrichtungen(BTV1, BTV2, ... BTVn) somit virtuelle Sensordaten von dem virtuellen Sensor (VS), wenn die Informationen über die Quelle der virtuellen Sensordaten innerhalb der virtuellen Sensordaten vorbestimmten Kriterien genügen, wobei für den Fall, dass die Informationen über die Quelle der virtuellen Sensordaten innerhalb der Sensordaten diesen vorbestimmten Kriterien genügen, die Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) die virtuellen Sensordaten des virtuellen Sensors (VS) bewertet und im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) Signalisierungen in Abhängigkeit von diesen virtuellen Sensordaten vornimmt und/oder im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) Bewertungsdaten bereitstellt, die von diesen virtuellen Sensordaten abhängen. Die Signalisierung dieser Bewertungsdaten erfolgt bevorzugt über den ersten Datenbus (IDB, SPI1).These method variants correspond again to a corresponding device for carrying out a method for testing a safety-relevant evaluation device ( BV ) for signals and / or data of a safety-related sensor ( RS ) as part of a safety-related overall system ( GS ). The safety-relevant overall system ( GS ) includes a virtual sensor ( VS ) and a system control ( ST ). The safety-relevant overall system ( GS ) may be in a normal state and in a test state. The evaluation device ( BV ) receives in the normal state of the safety-relevant overall system ( GS ) Sensor data from the safety-relevant sensor ( RS ) and evaluates the sensor data of the safety-relevant sensor ( RS ). In the normal state of the safety-relevant overall system ( GS ) the rating device ( BV ) Signaling in dependence on these sensor data before and / or in the normal state of the safety-relevant overall system ( GS ) Provides rating data that depends on this sensor data. The system control ( ST ) transmits virtual sensor data and / or data for the generation of virtual sensor data by the system controller ( ST ) to the virtual sensor ( VS ) via the second control bus ( SPI2 . ISPI ). This transmission may occur at any time before or after taking the test condition. In the test state of the overall system ( GS ) the virtual sensor ( VS ) virtual sensor data as a function of the obtained virtual sensor data and / or the data obtained for the generation of virtual sensor data in the test state of the safety-relevant overall system ( GS ). m test condition of the entire system ( GS ) instead receives the evaluation device ( BV ) virtual sensor data from the virtual sensor ( VS ) and assesses in the test state of the safety-relevant overall system ( GS ) the virtual sensor data of the virtual sensor ( VS ) and in the test state of the safety-relevant overall system ( GS ) Signaling in dependence on this virtual sensor data or in the test state of the safety-relevant overall system ( GS ) Provides rating data that depends on this virtual sensor data. Again, a variant with more than two sub-rating devices ( BTV1 . BTV2 , ... BTVn ). The evaluation device ( BV ) again has at least two different sub-rating devices ( BTV1 . BTV2 , ... BTVn ) on. The sensor data then again contain information about the source of the sensor data, that is to say in particular information about the relevant safety-relevant sensor of the safety-related sensors ( RS1 . RS2 , ... RSn ), which generated the sensor data. Likewise, the virtual sensor data of the virtual sensor ( VS ) Information about a simulated source of virtual sensor data. An evaluation device ( BTV ) of the at least two evaluation subsystems ( BTV1 . BTV2 , ... BTVn ) receives in the normal state of the safety-relevant overall system ( GS ) Sensor data from the safety-relevant sensor ( RS ) of the safety-related sensors ( RS1 . RS2 , ... RSn ), if the information about the source of the sensor data within the sensor data meets predetermined criteria, and in the event that the information about the source of the sensor data within the sensor data meets these predetermined criteria, the evaluation sub-device ( BTV ) of the evaluation subsystems ( BTV1 . BTV2 , ... BTVn ) in the normal state of the safety-relevant overall system ( GS ) the sensor data of the safety-relevant sensor ( RS ) of the safety-related sensors ( RS1 . RS2 , ... RSn ) and in the normal state of the safety-relevant overall system ( GS ) Performs signaling in dependence on this sensor data and / or in the normal state of the safety-relevant overall system ( GS ) Provides rating data that depends on this sensor data. The system control ( ST ) transmits virtual sensor data and / or data for the generation of virtual sensor data by the system controller ( ST ) to the virtual sensor ( VS ) via the second control bus ( SPI2 . ISPI ). This transmission may occur at any time before or after taking the test condition. In the test state of the overall system ( GS ) the virtual sensor ( VS ) virtual sensor data as a function of the obtained virtual sensor data and / or the data obtained for the generation of virtual sensor data in the test state of the safety-relevant overall system ( GS ). In the test state of the overall system ( GS ) receives an evaluation device ( BTV ) of the at least two evaluation subsystems ( BTV1 . BTV2 , ... BTVn ) thus virtual sensor data from the virtual sensor ( VS ), when the information about the source of the virtual sensor data within the virtual sensor data satisfies predetermined criteria, and in the event that the information about the source of the virtual sensor data within the sensor data satisfies these predetermined criteria, the evaluation sub-device ( BTV ) of the evaluation subsystems ( BTV1 . BTV2 , ... BTVn ) in the test state of the safety-relevant overall system ( GS ) the virtual sensor data of the virtual sensor ( VS ) and in the test condition of the safety-relevant overall system ( GS ) Carries out signaling in dependence on this virtual sensor data and / or in the test state of the safety-relevant overall system ( GS ) Provides rating data that depends on this virtual sensor data. The signaling of this evaluation data preferably takes place via the first data bus ( IDB . SPI1 ).

Vorteil des VorschlagsAdvantage of the proposal

Ein solches Verfahren zur Prüfung einer sicherheitsrelevanten Bewertungsvorrichtung (BV) für Signale und/oder Daten eines sicherheitsrelevanten Sensors (RS) und die zugehörige Vorrichtung ermöglichen zumindest in einigen Realisierungen die Erkennung latenter Fehler in komplexen Bewertungsvorrichtungen (BV) durch Testdaten (virtuelle Sensordaten) mit minimalem Eingriff in die kritischen Sensordatenpfade des sicherheitsrelevanten Gesamtsystems (GS). Die Vorteile sind hierauf aber nicht beschränkt.Such a method for testing a safety-relevant evaluation device ( BV ) for signals and / or data of a safety-related sensor ( RS ) and the associated device enable, at least in some implementations, the detection of latent errors in complex evaluation devices ( BV ) by means of test data (virtual sensor data) with minimal intervention in the critical sensor data paths of the safety-relevant overall system ( GS ). The advantages are not limited to this.

Im Gegensatz zur technischen Lehre der EP 1 239 370 A2 kann die Ausgabe fehlerhafter Daten erkannt werden, da die Teststeuerung über den zweiten Steuerbus (SP2) und den internen Steuerbus (ISPI) erfolgt, während der Datenpfad über den Sensordatenbus (EDB), den internen Datenbus (IDB) und dem ersten Steuerbus (SPI1) verläuft. Damit können Fehler sowohl in der Teststeuerung als auch in dem Datenpfad unabhängig voneinander erkannt werden.In contrast to the technical teaching of EP 1 239 370 A2 the issue of erroneous data can be detected, since the test control via the second control bus (SP2) and the internal control bus ( ISPI ), while the data path via the sensor data bus ( EDB ), the internal data bus ( IDB ) and the first control bus ( SPI1 ) runs. This allows errors to be detected independently of one another both in the test control and in the data path.

Beispielsweise kann eine Teilvorrichtung zur Durchführung des vorgeschlagenen Verfahrens in eine integrierte mikroelektronische Schaltung (IC) für Sicherheitsanwendungen nach ISO26262 integriert werden. Somit eignet sich das vorgeschlagene Verfahren zur Durchführung als eingebettetes Verfahren innerhalb einer mikroelektronischen Schaltung (IC). Ein solches Verfahren kann also beispielsweise als Hardware, Firmware oder Software in einer solchen mikroelektronischen Schaltung (IC) implementiert werden. Es wird somit die Möglichkeit geschaffen, in sicherheitsrelevanten Gesamtsystemen, Sensordaten so nahe am jeweiligen sicherheitsrelevanten Sensor (RS) wie möglich im Sensordatenpfad der Verarbeitungskette einzuspeisen und damit das Maß an Quer-Eingriffen in der Verarbeitungskette insbesondere auf die Einspeisevorrichtung (EV) für virtuelle Sensordaten zu reduzieren. Die gezielte Einspeisung fehlerhafter virtueller Sensordaten in die Bewertungsvorrichtung (BV) wird somit ermöglicht, ohne direkt in die sicherheitsrelevanten Baugruppen zur Ermittlung oder Bewertung von Sensordaten eingreifen zu müssen. Die Reaktion der Bewertungsvorrichtung (BV) kann somit auf einfache Weise ermittelt und gegenüber einer Referenzreaktion verglichen werden, was die Erkennung von Fehlern der Bewertungsvorrichtung (BV) ermöglicht, die dem Nichterkennen von Fehlern in den Sensordaten entsprechen. Umgekehrt wird die gezielte Einspeisung korrekter virtueller Sensordaten in die Bewertungsvorrichtung (BV) somit auch ermöglicht, ohne direkt in die sicherheitsrelevanten Baugruppen zur Ermittlung oder Bewertung von Sensordaten eingreifen zu müssen. Die Reaktion der Bewertungsvorrichtung (BV) kann somit auf einfache Weise auch für diese Fälle ermittelt und gegenüber einer Referenzreaktion für diese Fälle verglichen werden, was die Erkennung von Fehlern der Bewertungsvorrichtung (BV) ermöglicht, die dem Erkennen von Fehlern in den korrekten Sensordaten entsprechen. Somit ermöglicht das vorgeschlagene Verfahren einen umfangreichen Test der Bewertungsvorrichtung (BV). Die Methode wird zusätzlich darüber abgesichert, dass die Prüfungen nicht zu sicherheitsrelevanten Fehlentscheidungen führen können. Letztlich können die bei der Konstruktion sicherheitsrelevanter Systeme geforderten Fit-Raten nach ISO26262 als Qualitätsmerkmal einer Implementierung besser erreicht werden, was das eigentliche Ziel dieses Verfahrens ist.For example, a sub-device for carrying out the proposed method in an integrated microelectronic circuit ( IC ) for security applications according to ISO26262. Thus, the proposed method is suitable for implementation as an embedded method within a microelectronic circuit ( IC ). Such a method can thus be used, for example, as hardware, firmware or software in such a microelectronic circuit ( IC ). This creates the possibility, in safety-relevant overall systems, of sensor data being so close to the respective safety-relevant sensor ( RS ) as possible in the sensor data path of the processing chain and thus the level of cross-intervention in the processing chain, in particular on the feed device ( EV ) for virtual sensor data. The selective feeding of faulty virtual sensor data into the evaluation device ( BV ) is thus enabled to intervene directly without having to intervene in the safety-relevant assemblies for the determination or evaluation of sensor data. The reaction of the evaluation device ( BV ) can thus be determined in a simple manner and compared with a reference reaction, which makes it possible to detect errors in the evaluation device ( BV ), which correspond to the failure to recognize errors in the sensor data. Conversely, the targeted feeding of correct virtual sensor data into the evaluation device ( BV ) Thus, without having to intervene directly in the safety-related modules for the determination or evaluation of sensor data. The reaction of the evaluation device ( BV ) can thus also be easily determined for these cases and compared with a reference reaction for these cases, which makes it possible to detect errors in the evaluation device ( BV ), which correspond to the detection of errors in the correct sensor data. Thus, the proposed method allows a comprehensive test of the evaluation device ( BV ). The method is additionally ensured that the checks can not lead to security-relevant wrong decisions. Ultimately, the fit rates required by ISO 26262 in the design of safety-relevant systems can be better achieved as a quality feature of an implementation, which is the actual goal of this method.

Figurenlistelist of figures

  • 1 zeigt schematisch ein Prinzipschaubild einer vorgeschlagenen Vorrichtung zur Durchführung des vorgeschlagenen Verfahrens mit Einspeisevorrichtung (EV). 1 1 schematically shows a schematic diagram of a proposed device for carrying out the proposed method with feed device (FIG. EV ).
  • 2 zeigt schematisch ein Prinzipschaubild einer vorgeschlagenen Vorrichtung zur Durchführung des vorgeschlagenen Verfahrens ohne Einspeisevorrichtung (EV). 2 schematically shows a schematic diagram of a proposed device for carrying out the proposed method without feed device ( EV ).

BezugszeichenlisteLIST OF REFERENCE NUMBERS

BVBV
Bewertungsvorrichtung;Evaluation device;
BTVBTV
Bewertungsteilvorrichtung;Review part device;
BTV1BTV1
erste Bewertungsteilvorrichtung;first evaluation sub-device;
BTV2BTV2
zweite Bewertungsteilvorrichtung;second evaluation sub-device;
BTVnBTVn
n-te Bewertungsteilvorrichtung;nth evaluation sub-device;
DBDB
Sensordatenbus;Sensordatenbus;
EDBEDB
externer Sensordatenbus. Der externe Sensordatenbus ist typischerweise eine Fortsetzung des internen Datenbusses IDB der Systemsteuerung;external sensor data bus. The external sensor data bus is typically a continuation of the internal data bus IDB the system control;
EVEV
Einspeisevorrichtung;feeding device;
GSGS
Gesamtsystem;Overall system;
ICIC
integrierte Schaltung (in einer bevorzugten Partitionierung des Gesamtsystems (GS));integrated circuit (in a preferred partitioning of the overall system ( GS ));
IFIF
Datenschnittstelle zwischen externen Sensordatenbus EDB und internem Datenbus (IDB) der Systemsteuerung;Data interface between external sensor data bus EDB and internal data bus ( IDB ) the system controller;
IDBIDB
interner Datenbus der Systemsteuerung;internal data bus of the system control;
ISPIISPI
interner Steuerbus;internal tax bus;
RSRS
sicherheitsrelevanter Sensor;safety-relevant sensor;
RS1RS1
erster sicherheitsrelevanter Sensor;first safety-relevant sensor;
RS2RS2
zweiter sicherheitsrelevanter Sensor;second safety-relevant sensor;
RSnRSn
n-ter sicherheitsrelevanter Sensornth safety-relevant sensor
SESE
Sicherheitseinrichtung;Safety device;
SPI1SPI1
erster Steuerbus;first tax bus;
SPI2SPI2
zweiter Steuerbus;second control bus;
SPIIF1SPIIF1
erste Schnittstelle der integrierten Schaltung (IC) zwischen erstem Steuerbus (SPI1) und internem Datenbus (IDB);first interface of the integrated circuit ( IC ) between the first control bus ( SPI1 ) and internal data bus ( IDB );
SPIIF2SPIIF2
zweite Schnittstelle der integrierten Schaltung (IC) zwischen zweitem Steuerbus (SPI2) und internem Steuerbus (ISPI);second interface of the integrated circuit ( IC ) between the second control bus ( SPI2 ) and internal tax bus ( ISPI );
STST
Systemsteuerung;Control Panel;
TBTB
Testbewertungsvorrichtung;Test evaluation device;
VSVS
virtueller Sensor.virtual sensor.

Claims (9)

Verfahren zur Prüfung einer sicherheitsrelevanten Bewertungsvorrichtung (BV) für Signale und/oder Daten eines sicherheitsrelevanten Sensors (RS) als Teil eines sicherheitsrelevanten Gesamtsystems (GS) - mit einem Sensordatenbus (DB), - mit einem ersten Datenbus (IDB, SPI1) - mit einem zweiten Steuerbus (SPI2, ISPI), - mit einem virtuellen Sensor (VS), - mit einer Einspeisevorrichtung (EV), - mit einer Systemsteuerung (ST), - wobei der zweite Steuerbus (SPI2, ISPI) von dem ersten Datenbus (IDB, SPI1) verschieden ist, - wobei der Sensordatenbus (DB) durch eine Einspeisevorrichtung (EV) in zwei Teile unterteilt wird, - wobei das sicherheitsrelevante Gesamtsystem (GS) sich ein einem Normalzustand und in einem Testzustand befinden kann mit folgenden Schritten: - Empfang von Sensordaten über den Sensordatenbus (DB) und die Einspeisevorrichtung (EV) von dem sicherheitsrelevanten Sensor (RS) im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) durch die Bewertungsvorrichtung (BV); - Bewertung der Sensordaten des sicherheitsrelevanten Sensors (RS) im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) durch die Bewertungsvorrichtung (BV) zur Erzeugung eines Bewertungsergebnisses der Bewertungsvorrichtung (BV); - Empfang und Weiterleiten der Sensordaten des sicherheitsrelevanten Sensors (RS) in modifizierter oder nicht modifizierter Form an die Bewertungsvorrichtung (BV) durch die Einspeisevorrichtung (EV) über den ersten Datenbus (IDB, SPI1) im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS); - Übermitteln virtueller Sensordaten und/oder von Daten zur Erzeugung virtueller Sensordaten durch die Systemsteuerung (ST) an den virtuellen Sensor (VS) über den zweiten Steuerbus (SPI2, ISPI); - Erzeugung virtueller Sensordaten durch den virtuellen Sensors (VS) in Abhängigkeit von den erhaltenen virtueller Sensordaten und/oder von den erhaltenen Daten zur Erzeugung virtueller Sensordaten; - Empfang und Weiterleiten dieser virtuellen Sensordaten des virtuellen Sensors (VS) in modifizierter oder nicht modifizierter Form an die Bewertungsvorrichtung (BV) anstelle der Sensordaten des sicherheitsrelevanten Sensors (RS) durch die Einspeisevorrichtung (EV) über den ersten Datenbus (IDB, SPI1) im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) - Bewertung der virtuellen Sensordaten des virtuellen Sensors (VS) im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) durch die Bewertungsvorrichtung (BV) zur Erzeugung eines Bewertungsergebnisses der Bewertungsvorrichtung (BV); - Signalisierung des Bewertungsergebnisses der Bewertungsvorrichtung (BV) oder Bereitstellung des Bewertungsergebnisses der Bewertungsvorrichtung (BV) in Form von Bewertungsdaten durch die Bewertungsvorrichtung (BV)  - wobei die übermittelten, virtuellen Sensordaten und/oder übermittelten Daten zur Erzeugung virtueller Sensordaten durch die Systemsteuerung (ST) an den virtuellen Sensor (VS) nach der Signalisierung des Bewertungsergebnisses der Bewertungsvorrichtung (BV) und/oder nach der Bereitstellung des Bewertungsergebnisses der Bewertungsvorrichtung (BV) in Form von Bewertungsdaten durch die Bewertungsvorrichtung (BV) und/oder nach der Bewertung der virtuellen Sensordaten des virtuellen Sensors (VS) im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) gelöscht werden oder durch Daten ersetzt werden, die das sicherheitsrelevante Gesamtsystems (GS) nicht in einen sicherheitsrelevanten Zustand versetzen können.Method for testing a safety-relevant evaluation device (BV) for signals and / or data of a safety-relevant sensor (RS) as part of a safety-relevant overall system (GS) - with a sensor data bus (DB), - with a first data bus (IDB, SPI1) - with a second control bus (SPI2, ISPI), - with a virtual sensor (VS), - with a feed device (EV), - with a system controller (ST), - wherein the second control bus (SPI2, ISPI) from the first data bus (IDB, SPI1) is different, - wherein the sensor data bus (DB) is divided into two parts by an injection device (EV), - wherein the overall safety-relevant system (GS) can be in a normal state and in a test state with the following steps: - receiving sensor data via the sensor data bus (DB) and the feed device (EV) of the safety-relevant sensor (RS) in the normal state of the safety-relevant overall system (GS) by the evaluation device (BV); - Evaluation of the sensor data of the safety-related sensor (RS) in the normal state of the safety-relevant overall system (GS) by the evaluation device (BV) for generating an evaluation result of the evaluation device (BV); - receiving and forwarding the sensor data of the safety-relevant sensor (RS) in modified or unmodified form to the evaluation device (BV) by the feed device (EV) via the first data bus (IDB, SPI1) in the normal state of the safety-relevant overall system (GS); Transmitting virtual sensor data and / or data for generating virtual sensor data by the system controller (ST) to the virtual sensor (VS) via the second control bus (SPI2, ISPI); Generation of virtual sensor data by the virtual sensor (VS) as a function of the obtained virtual sensor data and / or of the data obtained for generating virtual sensor data; Receiving and forwarding of this virtual sensor data of the virtual sensor (VS) in modified or unmodified form to the evaluation device (BV) instead of the sensor data of the safety - relevant sensor (RS) by the feed device (EV) via the first data bus (IDB, SPI1) in Test state of the safety-relevant overall system (GS) - evaluation of the virtual sensor data of the virtual sensor (VS) in the test state of the safety-relevant overall system (GS) by the evaluation device (BV) for generating an evaluation result of the evaluation device (BV); Signaling the evaluation result of the evaluation device (BV) or providing the evaluation result of the evaluation device (BV) in the form of evaluation data by the evaluation device (BV), wherein the transmitted, virtual sensor data and / or transmitted data for the generation of virtual sensor data by the system controller (ST) to the virtual sensor (VS) after the evaluation of the evaluation result of the evaluation device (BV) and / or after the provision of the evaluation result of the evaluation device (BV) in the form of evaluation data by the evaluation device (BV) and / or after the evaluation of the virtual sensor data of virtual sensor (VS) in the test state of the safety-relevant overall system (GS) are deleted or replaced by data that can not put the safety-related overall system (GS) in a safety-relevant state. Verfahren nach Anspruch 1 - wobei das sicherheitsrelevante Gesamtsystem (GS), das das Verfahren ausführt, eine Testbewertungsvorrichtung (TB) aufweist, mit den zusätzlichen Schritten - Übermitteln von Bewertungsdaten durch die Systemsteuerung (ST) an die Testbewertungsvorrichtung (TB) über den zweiten Steuerbus (SPI2, ISPI); - Bewertung der Signalisierungen der Bewertungsvorrichtung (BV) und/oder der durch die Bewertungsvorrichtung (BV) übermittelten Bewertungsdaten durch die Testbewertungsvorrichtung (TB), wenn das sicherheitsrelevante Gesamtsystem (GS) sich im Testzustand befindet, und dem Bewerten nachfolgendes Löschen der übermittelten Bewertungsdaten; - Erzeugung eines Bewertungsergebnisses der Testbewertungsvorrichtung (TB), wenn das sicherheitsrelevante Gesamtsystem (GS) sich im Testzustand befindet; - Signalisierung oder Bereitstellung des Bewertungsergebnisses der Testbewertungsvorrichtung (TB) durch die Testbewertungsvorrichtung (TB) über den zweiten Steuerbus (SPI2, ISPI) oder einen anderen Bus, der nicht der erste Datenbus (IDB, SPI1) ist.Method according to Claim 1 - wherein the overall safety-relevant system (GS) executing the method has a test evaluation device (TB), with the additional steps - transmission of evaluation data by the system controller (ST) to the test evaluation device (TB) via the second control bus (SPI2, ISPI) ; - evaluation by the test evaluation device (TB) of the signaling devices of the evaluation device (BV) and / or the evaluation data (BV) transmitted by the evaluation device (BV) when the overall safety-relevant system (GS) is in the test state and the subsequent deletion of the submitted evaluation data; Generating an evaluation result of the test evaluation device (TB) when the safety-relevant overall system (GS) is in the test state; Signaling or providing the evaluation result of the test evaluation device (TB) by the test evaluation device (TB) via the second control bus (SPI2, ISPI) or another bus which is not the first data bus (IDB, SPI1). Verfahren nach Anspruch 1 - wobei das sicherheitsrelevante Gesamtsystem (GS), das das Verfahren ausführt, eine Testbewertungsvorrichtung (TB) aufweist, mit den zusätzlichen Schritten - Bewertung der Signalisierungen der Bewertungsvorrichtung (BV) und/oder der durch die Bewertungsvorrichtung (BV) bereitgestellten Bewertungsdaten durch die Testbewertungsvorrichtung (TB), wenn das sicherheitsrelevante Gesamtsystem (GS) sich im Testzustand befindet; - Erzeugung eines Bewertungsergebnisses der Testbewertungsvorrichtung (TB), wenn das sicherheitsrelevante Gesamtsystem (GS) sich im Testzustand befindet; - Signalisierung oder Bereitstellung des Bewertungsergebnisses der Testbewertungsvorrichtung (TB) durch die Testbewertungsvorrichtung (TB) über den zweiten Steuerbus (SPI2, ISPI) oder einen anderen Bus, der nicht der erste Datenbus (IDB, SPI1) ist.Method according to Claim 1 - wherein the safety-relevant overall system (GS) executing the method has a test evaluation device (TB), with the additional steps - evaluation of the signaling devices of the evaluation device (BV) and / or the evaluation data provided by the evaluation device (BV) by the test evaluation device ( TB) if the overall safety-relevant system (GS) is in the test state; Generating an evaluation result of the test evaluation device (TB) when the safety-relevant overall system (GS) is in the test state; Signaling or providing the evaluation result of the test evaluation device (TB) by the test evaluation device (TB) via the second control bus (SPI2, ISPI) or another bus which is not the first data bus (IDB, SPI1). Verfahren nach Anspruch 2 oder 3 umfassend den zeitlich vorausgehenden Schritt - Programmierung der Testbewertungsvorrichtung (TB) mit Referenzdaten zur Bewertung der virtuellen Sensordaten des virtuellen Sensors (VS), insbesondere durch die Systemsteuerung (ST) über den zweiten Steuerbus (SPI2, ISPI), - wobei vorgesehen ist, dass diese Bewertung der virtuellen Sensordaten des virtuellen Sensors (VS) erfolgt, wenn sich das sicherheitsrelevante Gesamtsystem (GS) im Testzustand befindet.Method according to Claim 2 or 3 comprising the temporally preceding step - programming the test evaluation device (TB) with reference data for evaluating the virtual sensor data of the virtual sensor (VS), in particular by the system controller (ST) via the second control bus (SPI2, ISPI), - provided that this Evaluation of the virtual sensor data of the virtual sensor (VS) takes place when the safety-relevant overall system (GS) is in the test state. Verfahren nach einem oder mehreren der vorausgehenden Ansprüche umfassend den vorausgehenden Schritt - Blockierung unsicherer Zustände des sicherheitsrelevanten Gesamtsystems (GS) vor oder mit dem Übergang des sicherheitsrelevanten Gesamtsystems (GS) in den Testzustand, insbesondere durch eine Sicherheitseinrichtung (SE).Method according to one or more of the preceding claims comprising the preceding step - blocking unsafe states of the safety-relevant overall system (GS) before or at the transition of the safety-relevant overall system (GS) in the test condition, in particular by a safety device (SE). Verfahren nach Anspruch 5 umfassend den nachfolgenden Schritt - Zulassen vorbestimmter unsicherer Zustände des sicherheitsrelevanten Gesamtsystems (GS) vor oder mit dem Übergang des sicherheitsrelevanten Gesamtsystems (GS) in den Normalzustand, insbesondere durch eine Sicherheitseinrichtung (SE).Method according to Claim 5 comprising the subsequent step - allowing predetermined unsafe states of the safety-relevant overall system (GS) before or with the transition of the safety-relevant overall system (GS) in the normal state, in particular by a safety device (SE). Verfahren nach den Ansprüchen 3 und/oder 5 umfassend den nachfolgenden Schritt - Zulassen vorbestimmter unsicherer Zustände des sicherheitsrelevanten Gesamtsystems (GS) nach oder mit dem Übergang des sicherheitsrelevanten Gesamtsystems (GS) in den Normalzustand, wenn die Bewertung der Signalisierungen der Bewertungsvorrichtung (BV) und/oder der durch die Bewertungsvorrichtung (BV) bereitgestellten Bewertungsdaten durch die Testbewertungsvorrichtung (TB) in Form der Signalisierung oder Bereitstellung des Bewertungsergebnisses der Testbewertungsvorrichtung (TB) durch die Testbewertungsvorrichtung (TB) ergibt, dass die Signalisierungen der Bewertungsvorrichtung (BV) und/oder die durch die Bewertungsvorrichtung (BV) bereitgestellten Bewertungsdaten vorbestimmten Signalisierungen und/oder vorbestimmten Bewertungsdaten entsprechen, - wobei insbesondere dieses Zulassen durch eine Sicherheitseinrichtung (SE) erfolgen kann.Method according to the Claims 3 and / or comprising the subsequent step - Allowing predetermined unsafe states of the safety-relevant overall system (GS) after or with the transition of the safety-relevant overall system (GS) to the normal state, if the evaluation of the signaling devices of the evaluation device (BV) and / or by the Evaluation device (BV) provided by the test evaluation device (TB) in the form of signaling or providing the evaluation result of the test evaluation device (TB) by the test evaluation device (TB) that the signaling devices of the evaluation device (BV) and / or by the evaluation device (BV ) provided predetermined data signaling and / or predetermined evaluation data correspond, - in particular this approval can be done by a safety device (SE). Verfahren nach den Ansprüchen 3 und/oder 5 - wobei das sicherheitsrelevante Gesamtsystem (GS) einen zusätzlichen vorbestimmten Fehlerzustand einnehmen kann, umfassend den nachfolgenden Schritt - fortdauerndes Blockieren vorbestimmter unsicherer Zustände des sicherheitsrelevanten Gesamtsystems (GS), die von den zuvor im Testzustand des sicherheitsrelevanten Gesamtsystems blockierten unsicheren Zuständen des sicherheitsrelevanten Gesamtsystems (GS) abweichen können, und Übergang des sicherheitsrelevanten Gesamtsystems (GS) vom Testzustand in den vorbestimmten Fehlerzustand, wenn die Bewertung der Signalisierungen der Bewertungsvorrichtung (BV) und/oder der durch die Bewertungsvorrichtung (BV) im Testzustand bereitgestellten Bewertungsdaten durch die Testbewertungsvorrichtung (TB) in Form der Signalisierung oder Bereitstellung des Bewertungsergebnisses der Testbewertungsvorrichtung (TB) durch die Testbewertungsvorrichtung (TB) ergibt, dass die Signalisierungen der Bewertungsvorrichtung (BV) und/oder die durch die Bewertungsvorrichtung (BV) bereitgestellten Bewertungsdaten vorbestimmten Signalisierungen und/oder vorbestimmten Bewertungsdaten NICHT entsprechen, - wobei insbesondere dieses fortdauernde Blockieren durch eine Sicherheitseinrichtung (SE) erfolgen kann.Method according to the Claims 3 and / or 5 - wherein the overall safety-relevant system (GS) can assume an additional predetermined error state, comprising the subsequent step - continuous blocking of predetermined unsafe states of the overall safety-related system (GS), which are precluded by the unsafe states of the safety-relevant state previously blocked in the test state of the overall safety-related system Overall system (GS) may vary, and transition of the safety-related overall system (GS) from the test state to the predetermined error state when the evaluation of the signaling of the evaluation device (BV) and / or provided by the evaluation device (BV) evaluation data provided by the test evaluation device ( TB) in the form of the signaling or provision of the evaluation result of the test evaluation device (TB) by the test evaluation device (TB) results in that the signaling devices of the evaluation device (BV) and / or by the B evaluation device (BV) provided NOT correspond to predetermined signaling and / or predetermined evaluation data, - in particular, this continued blocking can be done by a safety device (SE). Verfahren nach Anspruch 1 - Wobei das sicherheitsrelevante Gesamtsystem auch mehr als einen sicherheitsrelevanten Sensor (RS1, RS2 ... RSn) aufweisen kann und - wobei die Bewertungsvorrichtung (BV) mindestens zwei verschiedene Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) aufweist und - wobei die Sensordaten Informationen über die Quelle der Sensordaten umfassen umfassend die Schritte - Empfang von Sensordaten über den Sensordatenbus (DB) von einem betreffenden sicherheitsrelevanten Sensor (RS) der sicherheitsrelevanten Sensoren (RS1, RS2, .....RSn) durch eine betreffende Bewertungsvorrichtung (BTV) der mindestens zwei Bewertungsteilvorrichtungen (BTV1, BTV2,...BTVn) im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS), wenn die Informationen über die Quelle der Sensordaten innerhalb der Sensordaten vorbestimmten Kriterien genügen; - Bewertung der Sensordaten des betreffenden sicherheitsrelevanten Sensors (RS) durch die betreffende Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, BTVn) im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS), wenn die Informationen über die Quelle der Sensordaten innerhalb der Sensordaten diesen vorbestimmten Kriterien genügen; - Erzeugung eines Bewertungsergebnisses durch die betreffende Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, BTVn) in Abhängigkeit von diesen Sensordaten im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS); - Empfang der Sensordaten des betreffenden sicherheitsrelevanten Sensors (RS) der sicherheitsrelevanten Sensoren (RS1, RS2, ... RSn) durch die Einspeisevorrichtung (EV) im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS); - modifiziertes oder nicht modifiziertes Weiterleiten der Sensordaten des betreffenden sicherheitsrelevanten Sensors (RS) der sicherheitsrelevanten Sensoren (RS1, RS2,.. RSn) an die betreffende Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, BTVn) im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS); - Übermitteln virtueller Sensordaten und/oder von Daten zur Erzeugung virtueller Sensordaten durch die Systemsteuerung (ST) an den virtuellen Sensor (VS) über den zweiten Steuerbus (SPI2, ISPI); - Erzeugung virtueller Sensordaten durch den virtuellen Sensors (VS) in Abhängigkeit von den erhaltenen virtueller Sensordaten und/oder von den erhaltenen Daten zur Erzeugung virtueller Sensordaten; - Empfang der virtuellen Sensordaten des virtuellen Sensors (VS) durch die Einspeisevorrichtung (EV) im Testzustand des sicherheitsrelevanten Gesamtsystems (GS); - modifiziertes oder nicht modifiziertes Weiterleiten der virtuellen Sensordaten des virtuellen Sensors (VS) anstelle der Sensordaten des betreffenden sicherheitsrelevanten Sensors (RS) über den ersten Datenbus (IDB, SPI1) an die betreffende Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, BTVn) im Testzustand des sicherheitsrelevanten Gesamtsystems (GS), - wobei die virtuellen Sensordaten Informationen über eine simulierte Quelle der virtuellen Sensordaten umfassen; - Bewertung der virtuellen Sensordaten des virtuellen Sensors (VS) durch die betreffende Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, BTVn) im Testzustand des sicherheitsrelevanten Gesamtsystems (GS), wenn die Informationen über die Quelle der virtuellen Sensordaten innerhalb der virtuellen Sensordaten diesen vorbestimmten Kriterien genügen; - Erzeugung eines Bewertungsergebnisses durch die betreffende Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, BTVn) in Abhängigkeit von diesen virtuellen Sensordaten im Testzustand des sicherheitsrelevanten Gesamtsystems (GS); - Signalisierungen des Bewertungsergebnisses und/oder Bereitstellung des Bewertungsergebnisses der betreffenden Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, BTVn) in Form von Bewertungsdaten durch die betreffende Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, BTVn) über den ersten Datenbus (IDB, SPI1).Method according to Claim 1 - Wherein the safety-relevant overall system can also have more than one safety-relevant sensor (RS1, RS2 ... RSn) and - wherein the evaluation device (BV) at least two different evaluation sub-devices (BTV1, BTV2, ... BTVn) and - wherein the sensor data Information about the source of the sensor data comprises the steps of receiving a sensor data via the sensor data bus (DB) from a relevant safety-relevant sensor (RS) of the safety-related sensors (RS1, RS2, ..... RSn) by a respective evaluation device (BTV). the at least two evaluation sub-devices (BTV1, BTV2, ... BTVn) in the normal state of the overall safety-relevant system (GS) if the information about the source of the sensor data within the sensor data meets predetermined criteria; - Evaluation of the sensor data of the relevant safety-related sensor (RS) by the relevant evaluation sub-device (BTV) of the evaluation sub-devices (BTV1, BTV2, BTVn) in the normal state of the safety-related overall system (GS), if the information about the source of the sensor data within the sensor data these predetermined criteria suffice; Generation of an evaluation result by the relevant evaluation sub-device (BTV) of the evaluation sub-devices (BTV1, BTV2, BTVn) as a function of this sensor data in the normal state of the safety-relevant overall system (GS); - Receiving the sensor data of the relevant safety-related sensor (RS) of the safety-related sensors (RS1, RS2, ... RSn) by the feed device (EV) in the normal state of the safety-relevant overall system (GS); - Modified or unmodified forwarding the sensor data of the relevant safety-relevant sensor (RS) of the safety-related sensors (RS1, RS2, .. RSn) to the relevant evaluation sub-device (BTV) of the evaluation sub-devices (BTV1, BTV2, BTVn) in the normal state of the safety-relevant overall system (GS ); Transmitting virtual sensor data and / or data for generating virtual sensor data by the system controller (ST) to the virtual sensor (VS) via the second control bus (SPI2, ISPI); Generation of virtual sensor data by the virtual sensor (VS) as a function of the obtained virtual sensor data and / or of the data obtained for generating virtual sensor data; Receiving the virtual sensor data of the virtual sensor (VS) by the feeding device (EV) in Test condition of the safety-relevant overall system (GS); modified or unmodified forwarding of the virtual sensor data of the virtual sensor (VS) instead of the sensor data of the relevant safety-relevant sensor (RS) via the first data bus (IDB, SPI1) to the relevant evaluation sub-device (BTV) of the evaluation sub-devices (BTV1, BTV2, BTVn) in the test state of the safety-relevant overall system (GS), - the virtual sensor data comprising information about a simulated source of the virtual sensor data; - Evaluation of the virtual sensor data of the virtual sensor (VS) by the relevant evaluation sub-device (BTV) of the evaluation sub-devices (BTV1, BTV2, BTVn) in the test state of the safety-related overall system (GS), if the information about the source of the virtual sensor data within the virtual sensor data this meet predetermined criteria; Generation of an evaluation result by the relevant evaluation sub-device (BTV) of the evaluation sub-devices (BTV1, BTV2, BTVn) as a function of these virtual sensor data in the test state of the safety-relevant overall system (GS); Signaling of the evaluation result and / or providing the evaluation result of the evaluation sub-device (BTV) of the evaluation sub-devices (BTV1, BTV2, BTVn) in the form of evaluation data by the relevant evaluation sub-device (BTV) of the evaluation sub-devices (BTV1, BTV2, BTVn) via the first data bus ( IDB, SPI1).
DE102018107449.2A 2017-06-01 2018-03-28 ISO 26262 compliant procedure for testing an evaluation device for sensor data within a safety-relevant overall system Active DE102018107449B4 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102017112139.0 2017-06-01
DE102017112139 2017-06-01

Publications (2)

Publication Number Publication Date
DE102018107449A1 DE102018107449A1 (en) 2018-12-06
DE102018107449B4 true DE102018107449B4 (en) 2019-04-11

Family

ID=64279041

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102018107449.2A Active DE102018107449B4 (en) 2017-06-01 2018-03-28 ISO 26262 compliant procedure for testing an evaluation device for sensor data within a safety-relevant overall system

Country Status (1)

Country Link
DE (1) DE102018107449B4 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020152281A1 (en) 2019-01-24 2020-07-30 Elmos Semiconductor Aktiengesellschaft Device for initiating a protective function in a vehicle

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102019101732B4 (en) 2019-01-24 2021-02-11 Elmos Semiconductor Se Device with the ability to check an airbag ignition stage during operation
DE102019101733B4 (en) 2019-01-24 2021-02-11 Elmos Semiconductor Se Device for safeguarding the monitoring of an airbag ignition stage during operation
DE102019101735B4 (en) 2019-01-24 2021-02-11 Elmos Semiconductor Se Procedure for checking an airbag ignition stage during operation
DE102019101739B4 (en) 2019-01-24 2021-02-11 Elmos Semiconductor Se Device with the ability to check an airbag ignition stage during operation

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1239370A2 (en) 2001-03-09 2002-09-11 Robert Bosch Gmbh Method for verifying an interface component
EP1613510A1 (en) 2003-04-01 2006-01-11 Robert Bosch Gmbh Control unit for a restraint system
DE102004049082A1 (en) 2004-10-08 2006-04-13 Robert Bosch Gmbh Output stage for controlling an airbag ignition unit with integrated test device

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1239370A2 (en) 2001-03-09 2002-09-11 Robert Bosch Gmbh Method for verifying an interface component
EP1613510A1 (en) 2003-04-01 2006-01-11 Robert Bosch Gmbh Control unit for a restraint system
DE102004049082A1 (en) 2004-10-08 2006-04-13 Robert Bosch Gmbh Output stage for controlling an airbag ignition unit with integrated test device

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020152281A1 (en) 2019-01-24 2020-07-30 Elmos Semiconductor Aktiengesellschaft Device for initiating a protective function in a vehicle
KR20210114532A (en) 2019-01-24 2021-09-23 엘모스 세미컨덕터 에스이 Device for initiating a protective function in a vehicle

Also Published As

Publication number Publication date
DE102018107449A1 (en) 2018-12-06

Similar Documents

Publication Publication Date Title
DE102018107449B4 (en) ISO 26262 compliant procedure for testing an evaluation device for sensor data within a safety-relevant overall system
DE102018107452B4 (en) ISO 26262 compliant procedure for testing an evaluation device for sensor data within a safety-relevant overall system
DE102018107441A1 (en) ISO 26262 compliant device for testing an evaluation device for sensor data within a safety-relevant overall system
DE102018107438A1 (en) ISO 26262 compliant device for testing an evaluation device for sensor data within a safety-relevant overall system
DE102012216529B4 (en) Method for triggering at least one personal protection device as well as system and computer program product for carrying out the method
EP0693401B1 (en) Data transmission process adapted for a data processing system in vehicles
EP1337921B1 (en) Device for monitoring a processor
EP0691244A2 (en) Test method for a passive safety device in motor vehicles
DE102005030770B4 (en) Circuit arrangement and method for controlling a safety device for a vehicle
WO2002042123A1 (en) Control device for a restraint system in a motor vehicle
EP1012003B1 (en) Method and device for controlling data transmission between two modules located in a motor vehicle
DE19520373B4 (en) Fault diagnosis device for a passenger protection device
DE102013012497A1 (en) Method and electronic circuit arrangement for redundant signal processing of a safety-related application, motor vehicle brake system and motor vehicle with it and use of such electronic circuitry
DE102017011685A1 (en) Method and device for processing alarm signals
DE10252990B3 (en) Control unit for a motor vehicle occupant safety system, especially an airbag system, has additional AND gates in addition to dual controlling computers to ensure reliable detection and resetting of a faulty computer unit
DE102016220116A1 (en) Device and method for monitoring a vehicle seat and vehicle with such a device
DE102018110937B4 (en) Process for operationally safe simplified activation of production test modes in safety-related electronic circuits for pedestrian impact protection systems
DE102018110926B4 (en) Procedure for the reliable activation of production test modes in safety-related electronic circuits for a safety-related system
DE102018110934B4 (en) Process for operationally safe, simplified activation of production test modes in safety-relevant electronic circuits for a vehicle occupant restraint system
DE102018110932B4 (en) Method for the reliable activation of production test modes in safety-relevant electronic circuits for a vehicle occupant restraint system
DE102015222248A1 (en) Method and control unit for commissioning a sensor series circuit designed in a daisy-chain topology, sensor series circuit in daisy-chain topology and restraint means
EP0694451B1 (en) Vehicle security device
DE102015203250A1 (en) Safety device and method for transferring an actuator system to a safe state, actuator system and method for operating an actuator system
DE102004036291B4 (en) Circuit arrangement and method for controlling a safety device for a vehicle
DE102017110423B4 (en) Process for the reliable activation of production test modes in safety-relevant electronic circuits for a pedestrian impact protection system

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final
R081 Change of applicant/patentee

Owner name: ELMOS SEMICONDUCTOR SE, DE

Free format text: FORMER OWNER: ELMOS SEMICONDUCTOR AKTIENGESELLSCHAFT, 44227 DORTMUND, DE