DE102018107452A1 - ISO 26262 konformes Verfahren zur Prüfung einer Bewertungsvorrichtung für Sensordaten innerhalb eines sicherheitsrelevanten Gesamtsystems - Google Patents

ISO 26262 konformes Verfahren zur Prüfung einer Bewertungsvorrichtung für Sensordaten innerhalb eines sicherheitsrelevanten Gesamtsystems Download PDF

Info

Publication number
DE102018107452A1
DE102018107452A1 DE102018107452.2A DE102018107452A DE102018107452A1 DE 102018107452 A1 DE102018107452 A1 DE 102018107452A1 DE 102018107452 A DE102018107452 A DE 102018107452A DE 102018107452 A1 DE102018107452 A1 DE 102018107452A1
Authority
DE
Germany
Prior art keywords
evaluation
safety
data
relevant
sensor data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE102018107452.2A
Other languages
English (en)
Other versions
DE102018107452B4 (de
Inventor
André Sudhaus
Jens-Arne Schürstedt
Tan Subijanto
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Elmos Semiconductor SE
Original Assignee
Elmos Semiconductor SE
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Elmos Semiconductor SE filed Critical Elmos Semiconductor SE
Publication of DE102018107452A1 publication Critical patent/DE102018107452A1/de
Application granted granted Critical
Publication of DE102018107452B4 publication Critical patent/DE102018107452B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0218Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults
    • G05B23/0221Preprocessing measurements, e.g. data collection rate adjustment; Standardization of measurements; Time series or signal analysis, e.g. frequency analysis or wavelets; Trustworthiness of measurements; Indexes therefor; Measurements using easily measured parameters to estimate parameters difficult to measure; Virtual sensor creation; De-noising; Sensor fusion; Unconventional preprocessing inherently present in specific fault detection methods like PCA-based methods
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0218Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults
    • G05B23/0256Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults injecting test signals and analyzing monitored process response, e.g. injecting the test signal while interrupting the normal operation of the monitored system; superimposing the test signal onto a control signal during normal operation of the monitored system
    • GPHYSICS
    • G08SIGNALLING
    • G08CTRANSMISSION SYSTEMS FOR MEASURED VALUES, CONTROL OR SIMILAR SIGNALS
    • G08C19/00Electric signal transmission systems
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/37Measurements
    • G05B2219/37537Virtual sensor

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Air Bags (AREA)

Abstract

Es wird ein Verfahren zur Prüfung einer sicherheitsrelevanten Bewertungsvorrichtung (BV) für Signale und/oder Daten eines sicherheitsrelevanten Sensors (RS) als Teil eines sicherheitsrelevanten Gesamtsystems (GS) vorgeschlagen. Eine Einspeisevorrichtung (EV) speist statt echter Sensordaten des sicherheitsrelevanten Sensors (RS) virtuelle Sensordaten eines virtuellen Sensors (VS) in die Bewertungsvorrichtung (BV) ein. Die Reaktion der Bewertungsvorrichtung (BV) wird durch eine Testbewertungsvorrichtung (TB) bewertet. Es wird sichergestellt, dass der Test selbst keine sicherheitskritischen Ereignisse auslöst. Hierzu werden die Teststeuerung, die Übermittlung von Testdaten und die Übermittlung von Bewertungswerten über einen anderen Datenbus vorgenommen als die Übermittlung der Testergebnisse und der Sensordaten.

Description

  • Oberbegriff
  • Das vorgeschlagene Verfahren befasst sich mit der Überprüfung eines sicherheitsrelevanten Bewertungssystems für Sensordaten, das diese Sensordaten von sicherheitsrelevanten Sensoren zur Verfügung gestellt bekommt. Besonders bevorzugt ist der Einsatz des Verfahrens in Fahrzeuginsassenrückhaltesystemen, wie in Airbag-Systemen und in Fußgängeraufprallschutzsystemen in Fahrzeugen.
  • Allgemeine Einleitung
  • Es soll eine Bewertungsvorrichtung (BV) zur Bewertung von Sensordaten eines sicherheitsrelevanten Sensors (RV) innerhalb eines sicherheitsrelevanten Gesamtsystems auf korrekte Funktion geprüft werden. Diese Prüfung soll innerhalb des normalen Betriebs erfolgen können, ohne das sicherheitsrelevante Gesamtsystem (GS) in einen unsicheren Zustand zu bringen. Als Beispiel für ein solches sicherheitsrelevantes Gesamtsystem (GS) kann ein Airbag-System zur Zündung der Zündpille eines Airbags genannt werden. Die Bewertungsvorrichtung (BV) kann dabei Sensordaten beispielsweise von Crash-Sensoren als sicherheitsrelevante Sensoren (RS) auswerten. Die Bewertungsvorrichtung (BV) ist also ein zentraler Teil eines solchen Airbag-Systems. Die Zündung der Zündpille eines solchen Airbags darf nur in vorbestimmten Fällen erfolgen und ist ansonsten ein unsicherer Zustand des Gesamtsystems, da eine solche Zündung durchaus mit einer von Null verschiedenen Wahrscheinlichkeit zu Verletzungen oder gar zum Tod von Insassen führen kann. Eine solche Zündung ist daher nur zulässig wenn die Überlebenswahrscheinlichkeit der Fahrzeuginsassen dadurch gesteigert und das Verletzungs- und Todesrisiko gesenkt werden. Bei einem solchen Airbag-System kommen somit unsichere Zustände als bestimmungsgemäße Zustände vor. Die Bewertungsvorrichtung (BV) eines solchen Airbag-Systems hat dementsprechend einen entscheidenden Anteil an der sachgerechten Funktion des sicherheitsrelevanten Airbag-Systems. Die Daten eines sicherheitsrelevanten Systems sollen immer durch zwei oder mehr unabhängige Baugruppen eines Systems (Bewertungsvorrichtung BV) auf Grenzen überprüft werden.
  • Aus der EP 1 239 370 A2 ist ein Verfahren zur Überprüfung eines Schnittstellenbausteins bekannt, das hier relevant ist. In der technischen Lehre der EP 1 239 370 A2 können festabgelegte Daten durch auf dem Datenbus aufgrund von Fehlerzuständen des System bereitgestellt werden, ohne dass dies bemerkt werden kann. Daher ist die in der technischen Lehre der EP 1 239 370 A2 vorgeschlagene Lösung mit einem festen Abspeichern der Daten sicherheitstechnisch ungünstig, da diese bereits durch einen Einzelfehler auf den Datenbus gelangen könnten. Somit ist die technische Lösung der technischen Lehre der EP 1 239 370 A2 nicht für die Erfüllung der 26262 Norm ohne Weiteres geeignet.
  • Aufgabe
  • Dem Vorschlag liegt daher die Aufgabe zugrunde, ein Verfahren vorzuschlagen dass die Prüfung einer Bewertungsvorrichtung, insbesondere auch im Betrieb nach der Fertigung der Vorrichtung, ermöglicht.
  • Diese Aufgabe wird durch ein Verfahren nach Anspruch 1 gelöst.
  • Lösung der Aufgabe
  • Die Grundidee der Aufgabelösung ist es, die Teststeuerung und die Sicherheitsfragen der Systemsteuerung (ST) über jeweils einen anderen, separaten Kommunikationskanal als die Antworten des Systems zu senden und in der integrierten mikroelektronischen Schaltung (IC) nur zwecks einmaliger Betreitstellung abzuspeichern. Dies hat den Vorteil, dass eine Testbewertungsvorrichtung (TB) auch die Antworten anderer Komponenten an einem internen Datenbus (DB) prüfen kann und die Prüfung der Testbewerungsvorrichtung (TB) selbst auf diesem Wege getestet werden kann.
  • Es wird ausdrücklich vorgeschlagen, im Gegensatz zum Verfahren der EP 1 239 370 A2 keine dauerhaft in Registern gespeicherten Werte zu verwenden, sondern diese für jeden Test separat über den besagten zusätzlichen Kommunikationskanal an die Testbewertungsvorrichtung (TB) sowie ggf. an einen virtuellen Sensor (VS) zur internen Sensorsimulation erneut und zjm Test passend zu senden. Eine fehlerhafte Verwendung von Testdaten ist somit ausgeschlossen.
  • Diese Testdaten zur Erzeugung virtueller Sensordaten und/oder zur Steuerung des jeweiligen Tests und/oder zur Bewertung des Testergebnisses können bevorzugt somit aus Sicherheitsgründen nur einmal abgerufen werden. Dies stellt sicher, dass es nicht zu einer fehlerhaften Ausgabe dieser Testwerte oder daraus abgeleiteter Signale und/oder Daten kommen kann.
  • Im Übrigen reichen Minmalwerte und Maximalwerte wie in der der EP 1 239 370 A2 vorgeschlagen nicht aus. Im hier vorgeschlagenen Verfahren können im Gegensatz dazu Zufallstestvektoren genutzt werden, die es erlauben im laufenden Betrieb eine höhere Testabdeckung zu erzeugen. Diese Testvektoren werden von einer Systemsteuerung (ST) über den besagten zusätzlichen Kommunikationskanal an den virtuellen Testsensor (VS) und die Testbewertungsvorrichtung (TB) übertragen.
  • Es wird zur Lösung der Aufgabe somit vorgeschlagen, um latenten Fehlern vorzubeugen, in derartige Bewertungsvorrichtungen sicherheitsrelevanter Gesamtsysteme (GS) Testdaten als virtuelle Sensordaten einzuspeisen, die vorteilhafterweise sowohl fehlerhaft, als auch formal korrekt sein sollten, um die Erkennungsfunktion der Bewertungsvorrichtungen (BV) zu überprüfen.
  • Die Lösung umfasst ein vorgeschlagenes Verfahren und eine vorgeschlagene Vorrichtung zur Durchführung des vorgeschlagenen Verfahrens.
  • Das vorgeschlagene Verfahren zur Überprüfung einer sicherheitsrelevanten Bewertungsvorrichtung für Sensordaten befasst sich mit dem Test der Bewertungsvorrichtung in der Hinsicht, ob die Bewertungsvorrichtung funktional korrekt arbeitet.
  • Die Grundidee des vorgeschlagenen Verfahrens umfasst somit auch die Idee, durch einen entsprechenden Schnittstellenschalter zumindest einen realen Sensor durch einen virtuellen Sensor zu ersetzen. Dieser virtuelle Sensor dient als eine virtuelle Quelle von korrekten oder fehlerhaften virtuellen Sensordaten. Für diese virtuellen Sensordaten sind die Reaktionen der sicherheitsrelevanten Bewertungsvorrichtung vorbestimmt. Diese virtuellen Sensordaten werden daher an Stelle der realen Sensordaten des realen Sensors zugeführt und durch die Bewertungsvorrichtung bewertet und/oder überprüft. Bei den Sensordaten kann es sich um einzelne analoge, digitale, binäre Werte und Signale handeln. Es kann sich auch um Vektoren oder andere Zusammenstellungen von Werten und Signalen handeln. Neben diesem Raummultiplex ist auch ein Zeitmultiplex bei der Signalisierung zwischen realem Sensor und Bewertungsvorrichtung denkbar und möglich. Dementsprechend können Fehler auftreten, die die Erfassung der Daten durch den sicherheitsrelevanten Sensor selbst, die Datenaufbereitung für die Übertragung vom sicherheitsrelevanten Sensor zur Bewertungsvorrichtung, die Datenübertragung und den Empfang der Sensordaten durch die Bewertungsvorrichtung betreffen. Im Folgenden werden Sensordaten allgemein als zeitlich und räumlich gemultiplexter Vektordatenstrom aufgefasst, wobei auch ein eindimensionaler Vektordatenstrom ausdrücklich von der folgenden Beschreibung umfasst ist.
  • Beispielsweise sollte daher die Bewertungsvorrichtung folgende Fehler erkennen:
    • • Aktueller Wert des Vektordatenstroms außerhalb einer vorgegebenen Menge erlaubter Werte dieses Vektordatenstroms.
    • • Zeitliche Abfolge aktueller Werte des Vektordatenstroms außerhalb einer vorgegebenen Menge erlaubter zeitlicher Abfolgen von Werten dieses Vektordatenstroms.
  • Durch die Definition einer virtuellen Sensordatenquelle kann die sicherheitsrelevante Bewertungsvorrichtung somit auf korrekte Funktion überwacht werden. Der virtuelle Sensor liefert virtuelle Sensordaten an die Bewertungsvorrichtung, worauf diese in vorbestimmter Weise durch geeignete Signale so reagiert, als wenn sie gleiche echte Sensordaten vom sicherheitsrelevanten Sensor erhalten hätte. Sofern die Überprüfung im Betrieb ausgeführt werden soll, wird die Bewertungsvorrichtung zuvor durch einen Einkapselungsbefehl, typischerweise von einer Systemsteuerung, so vom Restsystem getrennt, dass auch bei einer Fehlfunktion im Verlauf des Tests sicher kein unsicherer Zustand durch den Test der Bewertungsvorrichtung durch das Gesamtsystem, dessen Teil der reale Sensor und das Bewertungssystem ja sind, erreicht werden kann.
  • Durch das Einspeisen der virtuellen Sensordaten eines virtuellen Sensors wird somit die Möglichkeit eröffnet zu prüfen, ob die Bewertungsvorrichtung, inkonsistente oder nicht plausible Sensordaten durch den jeweiligen Sensor in korrekter Weise verwirft und plausible Sensordaten korrekt behandelt, nicht verwirft und richtige Signale erzeugt.
  • Vorteilhafterweise verfügt der virtuelle Sensor über einen konfigurierbaren Speicher, in dem ein Steuerprozessor virtuelle Sensordaten ablegen kann und/oder Parameter für die Erzeugung solcher virtueller Sensordaten durch den virtuellen Sensor ablegen kann.
  • Zur Durchführung des Verfahrens wird eine Struktur der das Verfahren durchführenden Vorrichtung, also des sicherheitsrelevanten Gesamtsystems (GS), vorgeschlagen, die eine Bewertungsvorrichtung (BV) und einen sicherheitsrelevanten Sensor (RS) umfasst. Der sicherheitsrelevante Sensor (RS) sendet seine Sensordaten über den Sensordatenbus (DB) und eine Einspeisevorrichtung (EV), deren Funktion noch erläutert werden wird, an die Bewertungsvorrichtung (BV). Diese Übersendung kann über einen eigenen Signalisierungskanal, wie in der 1 gezeigt, erfolgen als auch über den internen Datenbus (IDB) der Systemsteuerung. Insofern zeigt 1 nur eine Realisierungsvariante. Das vorgeschlagene sicherheitsrelevante Gesamtsystem umfasst darüber hinaus einen virtuellen Sensor (VS), der ggf. als fest vorgegebene elektronische Schaltung oder als teilprogrammierbare elektronische Schaltung vorliegen kann. Auch ist eine Realisierung des virtuellen Sensors (VS) als separates zweites Rechnersystem innerhalb der integrierten Schaltung (IC) oder außerhalb der integrierten Schaltung (IC) denkbar. Eine Systemsteuerung (ST) steuert bevorzugt sowohl die Bewertungsvorrichtung (BV) über einen ersten Datenbus, bestehend aus dem internen Datenbus (IDB) und einem ersten Steuerbus (SPI1). Die Systemsteuerung (ST) steuert bevorzugt den sicherheitsrelevanten Sensor (RS) über den ersten Steuerbus (SPI1) und den internen Datenbus (IDB) sowie den Sensordatenbus (DB). Die Systemsteuerung (ST) steuert den virtuellen Sensor (VS) sowie die besagte Einspeisevorrichtung (EV) über einen zweiten Steuerbus (SPI2) und einen internen Steuerbus (ISPI). Der erste Steuerbus (SPI1) und der interne Datenbus (IDB) sind bevorzugt vom zweiten Steuerbus (SPI2) und dem internen Steuerbus (ISPI) verschieden. Die Einspeisevorrichtung (EV) ist in den Sensordatenbus (DB) zwischen dem sicherheitsrelevanten Sensor (RS) und der Bewertungsvorrichtung (BV) eingefügt und dient der Einspeisung von virtuellen Sensordaten, die durch den virtuellen Sensor (VS) erzeugt werden, anstelle der Sensordaten des sicherheitsrelevanten Sensors (RS). Diese virtuellen Sensordaten des virtuellen Sensors (VS) werden somit in einem Testzustand des Gesamtsystems (GS) anstelle der Sensordaten des sicherheitsrelevanten Sensors (RS) der Bewertungsvorrichtung (BV) zugeführt, wodurch diese Bewertungsvorrichtung (BV) einer Prüfung mittels vorgegebener Testdaten, Testdatensätze, Testdatensequenzen und Testdatensequenzsätzen zugänglich wird. Diese Testdaten, Testdatensätze, Testdatensequenzen und Testdatensequenzsätzen können durch den virtuellen Sensor (VS) bevorzugt erzeugt werden. Im Normalbetrieb befindet sich das sicherheitsrelevante Gesamtsystem (GS) in einem Normalzustand. Somit kann das sicherheitsrelevante Gesamtsystem (GS) sich in einem Normalzustand und in einem Testzustand befinden. Die Systemsteuerung (ST) ist bevorzugt, aber nicht notwendigerweise ein Rechnersystem. Es kann sich bei der Systemsteuerung (ST) auch um einen endlichen Automaten oder eine andere nicht, teilweise oder ganz konfigurierbare oder programmierbare elektronische Schaltung handeln.
  • Die Bewertungsvorrichtung (BV) empfängt im Normalzustand des Gesamtsystems (GS) Sensordaten des Sensors (RS) über den Sensordatenbus (DB) von dem Sensor (RS). Die Bewertungsvorrichtung (BV) bewertet im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) die Sensordaten. Die Bewertungsvorrichtung (BV) bewertet im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) an Stelle der Sensordaten des sicherheitsrelevanten Sensors (RS) die virtuellen Sensordaten des virtuellen Sensors (VS). Die Bewertungsvorrichtung (BV) nimmt Signalisierungen in Abhängigkeit von diesen Sensordaten im Normalzustand des Gesamtsystems (GS) bzw. in Abhängigkeit von den erwähnten virtuellen Sensordaten im Testzustand des Gesamtsystems (GS) vor. Gleichzeitig oder auch alternativ kann die Bewertungsvorrichtung (BV) Bewertungsdaten beispielsweise zur Benutzung durch die Systemsteuerung (ST) bereitstellen. Befindet sich das sicherheitsrelevante Gesamtsystem (GS) im Normalzustand hängen diese Bewertungsdaten und/oder Signalisierungen der Bewertungsvorrichtung (BV) von den Sensordaten des sicherheitsrelevanten Sensors (RS) ab. Befindet sich das Gesamtsystem (GS) im Testzustand hängen diese Bewertungsdaten und/oder Signalisierungen der Bewertungsvorrichtung (BV) von den virtuellen Sensordaten des virtuellen Sensors (VS) ab. Um diese Unterscheidung zwischen den Sensordatenquellen, dem sicherheitsrelevanten Sensor (RS) und dem virtueller Sensor (VS) durchführen zu können, verfügt das vorgeschlagene Gesamtsystem (GS) über eine Einspeisevorrichtung (EV). Der Sensordatenbus (DB) wird durch diese Einspeisevorrichtung (EV) in zwei Teile unterteilt. Die Einspeisevorrichtung (EV) ist so gestaltet, dass sie im Normalzustand des Gesamtsystems (GS) Sensordaten vom Sensor (RS) empfängt und modifiziert oder nicht modifiziert an die Bewertungsvorrichtung (BV) weiterleitet. Es ist nämlich denkbar, aber eben nicht unbedingt notwendig, dass die Einspeisevorrichtung (EV) bereits eine Vorauswertung, Filterung oder sonstige Modifikation der Sensordaten vor deren Weiterleitung an die Bewertungsvorrichtung (BV) vornimmt. Um eine gute Testabdeckung im sicherheitsrelevanten Gesamtsystem (GS) bei der Durchführung des vorgeschlagenen Verfahrens zu erreichen, wird empfohlen, die Sensordaten des sicherheitsrelevanten Sensors (RS) unverändert, also nicht modifiziert, an die Bewertungsvorrichtung (BV) durch die Einspeisevorrichtung (EV) im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) durchzuleiten. In diesem Fall sollte der virtuelle Sensor (VS) virtuelle Sensordaten, die Sensordaten des sicherheitsrelevanten Sensors (RS) in realen, erlaubten und bestimmungsgemäßen Zuständen entsprechen sollten, für die Fälle (vorgegebene Testdaten, Testdatensätze, Testdatensequenzen und Testdatensequenzsätzen) erzeugen, für die überprüft werden soll, ob sich die Bewertungsvorrichtung (BV) bei fehlerfreien oder vorbestimmt fehlerbehafteten Sensordaten jeweils korrekt verhält. Hierzu übermittelt bevorzugt die Systemsteuerung (ST) solche virtuellen Sensordaten und/oder entsprechende Daten zur Erzeugung virtueller Sensordaten an den virtuellen Sensor (VS) über den zweiten Steuerbus (SPI2, ISPI). Der virtuelle Sensor (VS) erzeugt auf dieser Basis virtuelle Sensordaten d in Abhängigkeit von den erhaltenen virtueller Sensordaten und/oder von den erhaltenen Daten zur Erzeugung virtueller Sensordaten im Testzustand des sicherheitsrelevanten Gesamtsystems (GS). Die Einspeisevorrichtung (EV) empfängt dann im Testzustand des Gesamtsystems (GS) diese virtuellen Sensordaten vom virtuellen Sensor (VS) und leitet diese virtuellen Sensordaten modifiziert oder bevorzugt nicht modifiziert anstelle der Sensordaten des Sensors (RS) an die Bewertungsvorrichtung (BV) weiter. Die Einspeisevorrichtung (EV) kann also als Datenweiche für die Sensordaten betrachtet werden, die die jeweilige Datenquelle für die Bewertungsvorrichtung (BV) abhängig vom Zustand des Gesamtsystems (GS) (Normalzustand, Testzustand und ggf. Fehlerzustand) umschaltet. Vorzugsweise wird die Einspeisevorrichtung (EV) durch die Systemsteuerung (ST) gesteuert, die bevorzugt auch den Zustand (Normalzustand, Testzustand und ggf. Fehlerzustand) des Gesamtsystems (GS) festlegt und die Elemente des sicherheitsrelevanten Gesamtsystems (GS) entsprechend dem aktuellen Zustand (Normalzustand, Testzustand und ggf. Fehlerzustand) konfiguriert. Die Übergänge zwischen den Zuständen (Normalzustand, Testzustand und ggf. Fehlerzustand) werden dabei bevorzugt so gestaltet, dass zu keinem Zeitpunkt ein unsicherer Zustand eingenommen wird, wenn dies nicht bestimmungsgemäß erforderlich ist. Ein solcher bestimmungsgemäß unsicherer Zustand kann bei einem Airbag-System als sicherheitsrelevantes Gesamtsystem (GS) beispielsweise dann vorliegen, wenn die Sensordaten eines Crash-Sensors als sicherheitsrelevanter Sensor (RS) auf einen Aufprall schließen lassen. In dem Fall würde der Airbag durch die Systemsteuerung (ST) gezündet. Ein solcher Zündungszustand ist aber im Sinne dieser Offenbarung ein unsicherer Zustand, der in allen anderen Betriebsfällen auszuschließen ist.
  • Die Bewertungsvorrichtung (BV) bewertet im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) die virtuellen Sensordaten und erzeugt ein entsprechendes Bewertungsergebnis und/oder nimmt Signalisierungen dieses Bewertungsergebnisses in Abhängigkeit von diesen virtuellen Sensordaten bevorzugt über den ersten Datenbus (IDB, SPI1) vor. Gleichzeitig oder alternativ bewertet die Bewertungsvorrichtung (BV) im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) die virtuellen Sensordaten und stellt das Bewertungsergebnis als Bewertungsdaten bereit, die von diesen virtuellen Sensordaten abhängen.
  • In einer besonderen Ausprägung des vorgeschlagenen Verfahrens führt das sicherheitsrelevante Gesamtsystem (GS) eine Bewertung der Signalisierungen der Bewertungsvorrichtung (BV) und/oder der durch die Bewertungsvorrichtung (BV) bereitgestellten Bewertungsdaten und/oder Signalisierungen mittels einer Testbewertungsvorrichtung (TB) aus, wenn das sicherheitsrelevante Gesamtsystem (GS) sich im Testzustand befindet. Die hierfür notwendigen Testdaten werden bevorzugt mittels des zweiten Steuerbusses (SPI2) und des internen Steuerbuses (ISPI) an die Testbewertungsvorrichtung (TB) durch die Systemsteuerung (ST) übermittelt. Die Testbewertungsvorrichtung (TB) erzeugt ein entsprechendes Bewertungsergebnis der Testbewertungsvorrichtung (TB). Die Testbewertungsvorrichtung (TB) führt typischerweise eine Signalisierung und/oder Bereitstellung dieses Bewertungsergebnisses der Testbewertungsvorrichtung (TB) aus. Hierzu weist die vorgeschlagene Vorrichtung bevorzugt eine Testbewertungsvorrichtung (TB) auf. Besonders bevorzugt wird die Testbewertungsvorrichtung (TB) von der Systemsteuerung (ST) über den zweiten Steuerbus (SPI2, ISPI) gesteuert und ggf. mit Testdaten programmiert. Die Bewertungsergebnisse der Testbewertungsvorrichtung (TB) werden bevorzugt mittels des zweiten Steuerbusses (SPI2) und des internen Steuerbuses (ISPI) an die Systemsteuerung (ST) übermittelt.
  • In einer weiteren Variante des vorgeschlagenen Verfahrens erfolgt vor der Einnahme des Testzustands durch das sicherheitsrelevante Gesamtsystem (GS) eine Programmierung des virtuellen Sensors (VS) mit virtuellen Sensordaten, wobei bevorzugt die Programmierung des virtuellen Sensors (VS) durch die Steuerung (ST) erfolgt. Hierzu weist der virtuelle Sensor (VS) bevorzugt geeignete Speicherknoten auf. Bei den Speicherknoten kann es sich um binäre, digitale und/oder analoge Speicherknoten handeln. Die Programmierung des virtuellen Sensors (VS) wird bevorzugt durch die Systemsteuerung (ST) über den zweiten Steuerbus (SPI2) und den internen Steuerbus (ISPI) vorgenommen. Dabei ist der virtuelle Sensor (VS) bevorzugt zusätzlich an den internen Datenbus (IDB) und damit an den ersten Steuerbus (SPI1) der Systemsteuerung (ST) angeschlossen. Bevorzugt sind auch die Bewertungsvorrichtung (BV) und die Einspeisevorrichtung (EV) an diesen internen Datenbus (IDB) der Systemsteuerung (ST) angeschlossen. Der sicherheitsrelevante Sensor ist bevorzugt über eine Datenschnittstelle (IF) mittels des Sensordatenbusses (DB) an den internen Datenbus (IDB) der Systemsteuerung (ST) angeschlossen. Besonders bevorzugt sind die Einspeisevorrichtung (EV) und/oder die Bewertungsvorrichtung (BV) Teil dieser Datenbusschnittstelle (IF) oder dieser im Datenstrom vom sicherheitsrelevanten Sensor (RS) zur Einspeisevorrichtung (EV) und damit zur Bewertungsvorrichtung (BV) vorgelagert.
  • In einer weiteren Variante des vorgeschlagenen Verfahrens erfolgt eine Programmierung des virtuellen Sensors (VS) mit Parametern für die Erzeugung mit virtuellen Sensordaten durch den virtuellen Sensor (VS), wobei insbesondere die Programmierung des virtuellen Sensors (VS) durch die Systemsteuerung (ST) über den zweiten Steuerbus (SPI2) und den internen Steuerbus (ISPI) erfolgt. In dieser Variante ist also der virtuelle Sensor (VS) in der Lage selbstständig virtuelle Sensordaten zu erzeugen, während der virtuelle Sensor (VS) in der vorausgehenden Variante des Verfahrens die Sensordaten vorgegeben bekam und nur reproduzierte. Dies soll an einem Beispiel verdeutlicht werden: Es werde zur Verdeutlichung beispielhaft angenommen, dass der sicherheitsrelevante Sensor (RS) als Messsignal eine zeitliche Sinusschwingung generiert, deren Frequenz beispielhaft von einem hier nicht näher bestimmten physikalischen Parameter abhängt, den der sicherheitsrelevante Sensor (RS) erfassen soll. In diesem Fall kann der virtuelle Sensor (VS) gemäß der zuvor vorgeschlagenen Variante beispielsweise über den zweiten Steuerbus (SPI2) und den internen Steuerbus (ISPI) durch die Sytemsteuerung (ST) mit Abtastwerten einer Sinusfunktion programmiert werden, die der virtuelle Sensor (VS) dann als virtuelle Sensordaten im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) zu einem sinusförmigen virtuellen Sensorsignal des virtuellen Sensors (VS) durch Abspielen der Abtastwerte wandelt. Gemäß dieser anderen, zuletzt vorgeschlagenen Verfahrensvariante kann der virtuelle Sensor (VS) aber in diesem Beispiel zur Verdeutlichung auch als Oszillator gestaltet werden, dessen Amplitude und Frequenz als Parameter des virtuellen Sensors (VS) durch die Systemsteuerung (ST) vor der Einnahme des Testzustands des sicherheitsrelevanten Gesamtsystems (GS) programmiert werden. Natürlich ist es denkbar, verschiedene Prüfungen hintereinander durchzuführen. Daher ist es sinnvoll, dass das sicherheitsrelevante Gesamtsystem (GS) den Testzustand zwischen zwei unterschiedlichen Tests nicht verlässt. Wenn hier also davon die Rede ist, dass etwas vor der Einnahme des Testzustands durchgeführt werden soll, so kann dies immer auch so verstanden werden, das dies vor der Durchführung des nächsten Tests erfolgt, ohne den Testzustand des sicherheitsrelevanten Gesamtsystems (GS) zu verlassen.
  • Die Reaktionen der Bewertungsvorrichtung (BV) sollen ja überprüft werden. Dies geschieht bevorzugt durch eine Testbewertungsvorrichtung (TB). Das vorgeschlagene Verfahren umfasst daher in einer weiteren Variante eine Programmierung der Testbewertungsvorrichtung (TB) mit Referenzdaten zur Bewertung der virtuellen Sensordaten des virtuellen Sensors (VS) bevorzugt mittels des zweiten Steuerbusses (SPI2) und des internen Steuerbuses (ISPI), wenn sich das sicherheitsrelevante Gesamtsystem (GS) im Testzustand befindet. Diese Referenzdaten stellen den Vergleichsmaßstab dar, mit dem die Testbewertungsvorrichtung (TB) die Bewertungssignale und/oder bereitgestellten Bewertungsdaten der Bewertungsvorrichtung (BV), also die Bewertungsergebnisse der Bewertungsvorrichtung (BV) bewertet. Ist die Testbewertungsvorrichtung (TB) separat von der Systemsteuerung (ST) innerhalb des sicherheitsrelevanten Gesamtsystems (GS) realisiert, so ist sie bevorzugt mittels des zweiten Steuerbusses (SPI2) und des internen Steuerbuses (ISPI) durch die der Systemsteuerung (ST) steuer- und bedienbar.
  • Da virtuelle Sensordaten durch den virtuellen Sensor (VS) erzeugbar sein sollen, die allen bestimmungsgemäß erlaubten Sensorsignalen des sicherheitsrelevanten Sensors (RV) entsprechen, kann es vorkommen, dass einzelne solcher Sensorsignale im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) zu einem unsicheren Zustand bestimmungsgemäß führen. Im Falle des beispielhaften Airbag-Sensorsystems als beispielhaftes sicherheitsrelevantes Gesamtsystem (GS) könnte dies beispielsweise ein Sensorsignal mit Sensordaten sein, dass eine Zündung des Airbags verursachen würde. Auch solche Sensordaten müssen als virtuelle Sensordaten verwendbar sein. Die Bewertungsvorrichtung (BV) muss nach dem Empfang solcher Sensordaten eine Bewertung vornehmen und entsprechende Signale erzeugen bzw. Bewertungsdaten bereitstellen, die diese Zündung im Normalzustand des Gesamtsystems (GS) auslösen würden. Ein solcher unsicherer Zustand muss aber zuverlässig verhindert werden. Daher wird in einer weiteren Variante vorgeschlagen, eine zumindest einfache, besser jedoch eine doppelte Blockierung unsicherer Zustände des sicherheitsrelevanten Gesamtsystems (GS) vor dem Übergang des sicherheitsrelevanten Gesamtsystems (GS) in den Testzustand vorzunehmen. Dies erfolgt bevorzugt durch die Systemsteuerung (ST) oder eine spezielle Sicherheitseinrichtung (SE), die mit der Systemsteuerung (ST) identisch sein kann. Bevorzugt weist hierzu ein Aktor-System, beispielsweise die eigentliche Zündansteuerung der Zündpille eines Airbags, mehrere Eingänge auf, die alle einen bestimmten Aktivierungszustand einnehmen müssen, bevor der unsichere Zustand, im Beispiel eines Airbag-Systems die Zündung des Airbags, eingenommen wird. Es wird mindestens einer, bevorzugt jedoch zwei dieser Eingänge blockiert, womit die Einnahme des unsicheren Zustands sicher verhindert wird. Ganz besonders bevorzugt werden alle Eingänge des Aktor-System blockiert, um die Sicherheit zu erhöhen. Diese Blockierung aller Eingänge des Aktor-System erfolgt wieder bevorzugt durch die Systemsteuerung (ST) oder eine spezielle Sicherheitseinrichtung (SE), die mit der Systemsteuerung (ST) identisch sein kann. Bevorzugt wird eine solche Sicherheitseinrichtung (SE) über den zweiten Steuerbus (SPI2) und den internen Steuerbus (ISPI) durch die Systemsteuerung (ST) gesteuert.
  • Vor oder mit dem Übergang des Zustands des sicherheitsrelevanten Gesamtsystems (GS) in den Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) wird diese Blockierung wieder aufgehoben, um die bestimmungsgemäße Funktion inklusive des bestimmungsgemäßen unsicheren Zustands zuzulassen und so den bestimmungsgemäßen Gebrauch des sicherheitsrelevanten Gesamtsystems (GS) wieder zuzulassen. Es erfolgt somit das Zulassen vorbestimmter unsicherer Zustände des sicherheitsrelevanten Gesamtsystems (GS) vor oder mit dem Übergang des sicherheitsrelevanten Gesamtsystems (GS) in den Normalzustand. Diese Aufhebung erfolgt wieder bevorzugt durch die Systemsteuerung (ST) oder eine spezielle Sicherheitseinrichtung (SE), die mit der Systemsteuerung (ST) identisch sein kann.
  • Diese Aufhebung der Blockierung darf jedoch nur dann erfolgen, wenn die Bewertung der Signalisierungen der Bewertungsvorrichtung (BV) und/oder der durch die Bewertungsvorrichtung (BV) bereitgestellten Bewertungsdaten durch die Testbewertungsvorrichtung (TB) in Form der Signalisierung oder Bereitstellung des Bewertungsergebnisses der Testbewertungsvorrichtung (TB) durch die Testbewertungsvorrichtung (TB) bevorzugt mittels des zweiten Steuerbusses (SPI2) und des internen Steuerbuses (ISPI) ergibt, dass die Signalisierungen der Bewertungsvorrichtung (BV) und/oder die durch die Bewertungsvorrichtung (BV) bereitgestellten Bewertungsdaten vorbestimmten Signalisierungen und/oder vorbestimmten Bewertungsdaten entsprechen. Ist dies nicht der Fall, so wird für diesen Fall hier vorgeschlagen, dass das sicherheitsrelevante Gesamtsystem (GS) dann einen zusätzlichen vorbestimmten Fehlerzustand einnehmen kann. Diese Einnahme des vorbestimmten Fehlerzustands des sicherheitsrelevanten Gesamtsystems (GS) umfasst bevorzugt ein fortdauerndes Blockieren vorbestimmter unsicherer Zustände des sicherheitsrelevanten Gesamtsystems (GS), die von den zuvor im Testzustand des Gesamtsystems blockierten unsicheren Zuständen des sicherheitsrelevanten Gesamtsystems (GS) abweichen können. Dieses fortdauernde Blockieren erfolgt wieder bevorzugt durch die Systemsteuerung (ST) oder eine spezielle Sicherheitseinrichtung (SE), die mit der Systemsteuerung (ST) identisch sein kann.
  • Der Übergang des sicherheitsrelevanten Gesamtsystems (GS) vom Testzustand in den vorbestimmten Fehlerzustand erfolgt also dann, wenn die Bewertung der Signalisierungen der Bewertungsvorrichtung (BV) und/oder der durch die Bewertungsvorrichtung (BV) bereitgestellten Bewertungsdaten durch die Testbewertungsvorrichtung (TB) in Form der Signalisierung oder Bereitstellung des Bewertungsergebnisses der Testbewertungsvorrichtung (TB) durch die Testbewertungsvorrichtung (TB) bevorzugt mittels des zweiten Steuerbusses (SPI2) und des internen Steuerbuses (ISPI) ergibt, dass die Signalisierungen der Bewertungsvorrichtung (BV) und/oder die durch die Bewertungsvorrichtung (BV) bereitgestellten Bewertungsdaten vorbestimmten Signalisierungen und/oder vorbestimmten Bewertungsdaten NICHT entsprechen.
  • Je nach festgestelltem Fehler können ein sicherheitsrelevanter Sensor (RS) oder mehrere sicherheitsrelevante Sensoren (RS1, RS2, ... RSn) für die Verwendung der Sensordaten durch das sicherheitsrelevante Gesamtsystem (GS) gesperrt werden. Im Falle eines beispielhaften Airbag-Systems als beispielhaftes sicherheitsrelevantes Gesamtsystem (GS) kann beispielsweise die Art der Signalisierung an den Fahrer eines Fahrzeugs von der Schwere der Abweichung abhängen. Eine falsche Signalisierung an den Fahrer eines Fahrzeugs ist im Sinne dieser Offenlegung ein unsicherer Zustand des sicherheitsrelevanten Gesamtsystems (GS).
  • Neben diesen Aspekten ist es noch sinnvoll, die Programmierung oder Einstellung des virtuellen Sensors mit solchen Daten vorzunehmen, die inkonsistente, redundante virtuelle Sensordaten zur Folge haben. Beispielsweise können diese fehlerhaften virtuellen Sensordaten für die beabsichtigten testzwecke CRC- oder Parity- Fehler beinhalten. Der virtuelle Sensor (VS) muss also in der Lage sein, fehlerhafte virtuelle Sensordaten in vorbestimmter Weise zu für die Verwendung zu Testzwecken innerhalb des sicherheitsrelevanten Gesamtsystems (GS) erzeugen zu können.
  • Ebenso sollte der virtuelle Sensor (VS) unplausible virtuelle Sensordaten erzeugen können. Solche unplausiblen Daten wären beispielsweise virtuelle Sensordaten mit falschem Vorzeichen oder Sensordaten mit Grenzwertüberschreitungen- oder Grenzwertunterschreitungen oder mehrdimensionale Sensordaten mit nicht erlaubten Wertekombinationen oder Sequenzen von Sensordaten mit nicht erlaubten Sensorwertabfolgen etc.
  • Besonders bevorzugt ist es, wenn eine Möglichkeit vorgesehen wird, der virtuellen Quelle in Form des virtuellen Sensors (VS) Informationen über den Ursprung der virtuellen Sensordaten hinzuzufügen. Dies ermöglicht die Prüfung multipler Pfade in der Bewertungsvorrichtung (BV). Bevorzugt ist hierbei der Verlauf der Datenpfade der Sensordaten in der Bewertungsvorrichtung (BV) von diesen Informationen über den Ursprung der Sensordaten abhängig. In diesem Fall ist es in einigen Fällen vorteilhaft, wenn je nach Ursprung der Sensordaten (z.B. aus unterschiedlichen Sensoren (RS1, RS2,... RSn) unterschiedliche Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) innerhalb der Bewertungsvorrichtung (BV) für die Bewertung der Daten durch die Bewertungsvorrichtung (BV) verwendet werden.
  • In diesem Fall wird ein Verfahren vorgeschlagen, bei dem die Bewertungsvorrichtung (BV) mindestens zwei verschiedene Teilbewertungsvorrichtungen (BTV1, BTV2, ... BTVn) aufweist. Eine solche vorgeschlagene Vorrichtung ist insbesondere dann sinnvoll, wenn verschiedene sicherheitsrelevante Sensoren (RS1, RS2, ... RSn) unterschiedlicher Sensortypen oder mehrere sicherheitsrelevante Sensoren (RS1, RS2, ... RSn) an dem gleichen Sensordatenbus (DB) angeschlossen sind. In dem Fall hat der Sensordatenbus (DB) also eine sternförmige Grundstruktur. Im Sinne dieser Offenlegung liegen mehrere Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) bereits dann vor, wenn eine Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) aufgrund von Informationen in den Sensordaten so umkonfiguriert werden kann, dass sie einer zweiten Bewertungsteilvorrichtung (z.B. BTV2) entspricht. In dem Fall liegt ein Zeitmultiplex statt eines Raummultiplex der Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) vor. Die Sensordaten der mehreren sicherheitsrelevanten Sensoren (RS1, RS2... RSn) enthalten dann bevorzugt Informationen über die Quelle der jeweiligen Sensordaten. Aufgrund dieser Informationen wird innerhalb einer Bewertungsvorrichtung (BV) zumindest eine betreffende Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) der Bewertungsvorrichtung (BV) aktiviert. Ggf. werden auch zwei, drei oder mehr Bewertungsteilvorrichtungen der Bewertungsteilvorrichtungen (BTV1, BTV2,...BTVn) aktiviert. Welche Bewertungsteilvorrichtungen (BTV) im Einzelnen genau aktiviert werden oder inaktiv bleiben, hängt von den Informationen über die Quelle der jeweiligen Sensordaten in den Sensordaten ab, die durch die Bewertungsteilvorrichtung (BV), deren Teil die Bewertungsteilvorrichtungen (BTV1, BTV2, .....BTVn) sind, empfangen werden. Wir gehen nun in der folgenden Beschreibung vereinfachend davon aus, dass eine betreffende Bewertungsteilvorrichtung (BTV) dieser Bewertungsteilvorrichtungen (BTV1, BTV2 bis BTVn) der Bewertungsvorrichtung (BV) aktiviert wird und benennen diese betreffende Bewertungsvorrichtung (BTV). Es kann sich aber um eine beliebige dieser Bewertungsteilvorrichtungen (BTV1, BTV2, bis BTVn) der Bewertungsvorrichtung (BV) handeln. Diese betreffende Bewertungsteilvorrichtung (BTV) der mindestens zwei Bewertungsteilvorrichtungen(BTV1, BTV2, .... BTVn) empfängt aufgrund der besagten Informationen in den Sensordaten im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) Sensordaten über den Sensordatenbus (DB) von einem betreffenden sicherheitsrelevanten Sensor (RS) der sicherheitsrelevanten Sensoren (RS1, RS2, ... RSn). Dies geschieht voraussetzungsgemäß nur dann, wenn die Informationen über die Quelle der Sensordaten innerhalb der Sensordaten des betreffenden sicherheitsrelevanten Sensors (RS) vorbestimmten Kriterien genügen.
  • Für diesen Fall, dass die Informationen über die Quelle der Sensordaten innerhalb der Sensordaten diesen vorbestimmten Kriterien genügen, bewertet nun die betreffende Bewertungsteilvorrichtung (BTV) im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) die Sensordaten des betreffenden sicherheitsrelevanten Sensors (RS). Die betreffende Bewertungsteilvorrichtung (BTV) führt dann unter dieser Vorbedingung, dass die Informationen über die Quelle der Sensordaten innerhalb der Sensordaten diesen vorbestimmten Kriterien genügen, im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) Signalisierungen in Abhängigkeit von diesen Sensordaten durch. Die betreffende Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, .... BTVn) kann gleichzeitig oder alternativ dazu unter dieser Vorbedingung, dass die Informationen über die Quelle der Sensordaten innerhalb der Sensordaten diesen vorbestimmten Kriterien genügen, im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) Bewertungsdaten bereitstellen, die von diesen Sensordaten abhängen.
  • Die Einspeisevorrichtung (EV) empfängt wieder im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) Sensordaten vom besagten betreffenden sicherheitsrelevanten Sensor (RS) der sicherheitsrelevanten Sensoren (RS1, RS2,... RSn) und modifiziert diese oder modifiziert diese nicht. Die Einspeisevorrichtung (EV) leitet diese Sensordaten an die betreffende Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) weiter. Bevorzugt übermittelt die Systemsteuerung (ST) virtuelle Sensordaten und/oder Daten zur Erzeugung virtueller Sensordaten an den virtuellen Sensor (VS) über den zweiten Steuerbus (SPI2, ISPI). Diese Signalisierung kann sowohl im Testzustand als auch im Normalzustand erfolgen. Im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) Erzeugt der virtuelle Sensors (VS) virtuelle Sensordaten durch in Abhängigkeit von den erhaltenen virtueller Sensordaten und/oder von den erhaltenen Daten zur Erzeugung virtueller Sensordaten. Im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) empfängt die Einspeisevorrichtung (EV) virtuelle Sensordaten somit vom virtuellen Sensor (VS), statt der Sensordaten des betreffenden sicherheitsrelevanten Sensors (RS) der sicherheitsrelevanten Sensoren (RS1, RS2, ... RSn). Die Einspeisevorrichtung (EV) modifiziert diese virtuellen Sensordaten des virtuellen Sensors (SV) oder modifiziert diese nicht. Im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) leitet die Einspeisevorrichtung (EV) diese virtuellen Sensordaten an Stelle der Sensordaten der sicherheitsrelevanten Sensoren (RS1, RS2, ... RSn) an die betreffende Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, ....BTVn) der Bewertungsvorrichtung (BV) weiter. Dabei enthalten auch diese virtuellen Sensordaten nun Informationen über eine simulierte Quelle der virtuellen Sensordaten. Hierdurch wird es möglich, verschiedene Sensortypen als sicherheitsrelevante Sensoren (RS1, RS2, ... RSn) an einem sternförmigen Sensordatenbus (DB) zu betreiben und deren typischerweise verschiedene Sensordaten durch den virtuellen Sensor (VS) mit seinen virtuellen Sensordaten zu emulieren und die korrekte und doch verschiedene Bewertung durch die Bewertungsvorrichtung (BV) und ihre Bewertungsteilvorrichtungen (BTV1, BTV2, .... BTVn) zu überprüfen.
  • Für den Fall, dass die Informationen über die simulierte Quelle der virtuellen Sensordaten innerhalb der virtuellen Sensordaten vorbestimmten Kriterien genügen, bewertet die betreffende Bewertungsteilvorrichtung (BVT) der Bewertungsteilvorrichtungen (BTV1, BTV2, .... BTVn) im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) die virtuellen Sensordaten. In diesem Fall, dass die Informationen über die simulierte Quelle der virtuellen Sensordaten innerhalb der virtuellen Sensordaten vorbestimmten Kriterien genügen, führt die betreffende Bewertungsteilvorrichtung (BVT) der Bewertungsteilvorrichtungen (BTV1, BTV2, .... BTVn) im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) Signalisierungen in Abhängigkeit von diesen virtuellen Sensordaten aus. Gleichzeitig oder alternativ dazu, wenn die Informationen über die simulierte Quelle der virtuellen Sensordaten innerhalb der virtuellen Sensordaten vorbestimmten Kriterien genügen, kann die betreffende Bewertungsteilvorrichtung (BVT) der Bewertungsteilvorrichtungen (BTV1, BTV2, .... BTVn) im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) Bewertungsdaten bereitstellen, die von diesen virtuellen Sensordaten abhängen.
  • Vorzugsweise ist die Systemsteuerung (ST) oder eine spezielle Sicherheitseinrichtung (SE) in der Lage, etwaige sicherheitsrelevante Funktionen während der Überprüfungen bevorzugt mittels Signalisierungen über den zweiten Steuerbus (SPI2) und den internen Steuerbus (ISPI) zu blockieren, um Fehlauslösungen während der Prüfungen sicher zu unterbinden.
  • In einer vereinfachten Version des Verfahrens zur Prüfung einer sicherheitsrelevanten Bewertungsvorrichtung (BV) für Signale und/oder Daten eines sicherheitsrelevanten Sensors (RS) als Teil eines sicherheitsrelevanten Gesamtsystems (GS) kann auf die Einspeisevorrichtung (EV) verzichtet werden. Dies insbesondere dann der Vorteil, wenn der sicherheitsrelevante Sensor (RS) direkt über eine Datenschnittstelle (IF) an den internen Datenbus (IDB) angeschlossen ist. Die gesamte Kommunikation kann also auch über den internen Datenbus (IDB) abgewickelt werden. Das sicherheitsrelevante Gesamtsystem (GS) umfasst dann einen virtuellen Sensor (VS), eine Systemsteuerung (ST) und Mittel, um die Kommunikation zwischen diesen zu ermöglichen, also beispielsweise den internen Datenbus (IDB), die Datenschnittstelle (IF) und den externen Sensordatenbus (EDB), den zweiten Steuerbus (SPI2) und den internen Steuerbus (ISPI). Das sicherheitsrelevante Gesamtsystem (GS) kann sich auch jetzt wieder ein einem Normalzustand und in einem Testzustand befinden. Das vorgeschlagene Verfahren umfasst dann den Empfang von Sensordaten des sicherheitsrelevanten Sensors (RS) im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) durch die Bewertungsvorrichtung (BV) und die Bewertung dieser Sensordaten des sicherheitsrelevanten Sensors (RS) im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) durch die Bewertungsvorrichtung (BV) zur Erzeugung eines Bewertungsergebnisses der Bewertungsvorrichtung (BV).
  • Im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) umfasst das vorgeschlagene Verfahren das Übermitteln virtueller Sensordaten und/oder von Daten zur Erzeugung virtueller Sensordaten durch die Systemsteuerung (ST) an den virtuellen Sensor (VS) über den zweiten Steuerbus (SPI2, ISPI) sowie die Erzeugung virtueller Sensordaten durch den virtuellen Sensors (VS) in Abhängigkeit von den erhaltenen virtueller Sensordaten und/oder von den erhaltenen Daten zur Erzeugung virtueller Sensordaten. Des Weiteren umfasst im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) das vorgeschlagene Verfahren den Empfang dieser virtuellen Sensordaten des virtuellen Sensors (VS) durch die Bewertungsvorrichtung (BV) und die Bewertung dieser virtuellen Sensordaten des virtuellen Sensors (VS) durch die Bewertungsvorrichtung (BV) zur Erzeugung eines Bewertungsergebnisses der Bewertungsvorrichtung (BV). Das Verfahren umfasst unabhängig von dem Normalzustand oder Testzustand des Gesamtsystems (GS) die Signalisierung des Bewertungsergebnisses der Bewertungsvorrichtung (BV) und/oder Bereitstellung des Bewertungsergebnisses der Bewertungsvorrichtung (BV) in Form von Bewertungsdaten durch die Bewertungsvorrichtung (BV) über den ersten Datenbus, der bevorzugt den internen Datenbus (IDB) und den ersten Steuerbus (SPI1) umfasst. Weitere Varianten entsprechen analog den Merkmalen der zuvor besprochenen Varianten mit Einspeisevorrichtung (EV). Bei mehreren Bewertungsteilvorrichtungen stellt sich eine Variante des Verfahrens dann aber ohne Einspeisevorrichtung (EV) so dar, dass das sicherheitsrelevante Gesamtsystem auch mehr als einen sicherheitsrelevanten Sensor (RS1, RS2, ... RSn) aufweisen kann. Entsprechend weist die Bewertungsvorrichtung (BV) in dieser Variante mindestens zwei verschiedene Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) auf. Die Sensordaten umfassen dann bevorzugt Informationen über eine simulierte Quelle der Sensordaten. Ebenso umfassen dann die virtuellen Sensordaten Informationen über die simulierte Quelle der virtuellen Sensordaten.
  • Das Verfahren umfasst in dieser Variante dann den Empfang von Sensordaten eines betreffenden sicherheitsrelevanten Sensors (RS) der sicherheitsrelevanten Sensoren (RS1, RS2, .... RSn) durch eine betreffende Bewertungsvorrichtung (BTV) der mindestens zwei Bewertungsteilvorrichtungen (BTV1, BTV2,... BTVn) im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS), wenn die Informationen über die Quelle der Sensordaten innerhalb der Sensordaten des sicherheitsrelevanten Sensors der sicherheitsrelevanten Sensoren (RS1, RS2, ... RSn) vorbestimmten Kriterien genügen. Es folgt die Bewertung der Sensordaten des betreffenden sicherheitsrelevanten Sensors (RS) durch die betreffende Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS), wenn die Informationen über die Quelle der Sensordaten innerhalb der Sensordaten diesen vorbestimmten Kriterien genügen und/oder die Erzeugung eines Bewertungsergebnisses durch die betreffende Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) in Abhängigkeit von diesen Sensordaten im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS). Im Testzustand des Gesamtsystem erfolgt jedoch stattdessen das Übermitteln virtueller Sensordaten und/oder von Daten zur Erzeugung virtueller Sensordaten durch die Systemsteuerung (ST) an den virtuellen Sensor (VS) über den zweiten Steuerbus (SPI2, ISPI) und die Erzeugung virtueller Sensordaten durch den virtuellen Sensors (VS) in Abhängigkeit von den erhaltenen virtueller Sensordaten und/oder von den erhaltenen Daten zur Erzeugung virtueller Sensordaten sowie der Empfang dieser virtuellen Sensordaten eines virtuellen Sensors (VS) durch eine betreffende Bewertungsvorrichtung (BTV) der mindestens zwei Bewertungsteilvorrichtungen (BTV1, BTV2,...BTVn) im Testzustand des sicherheitsrelevanten Gesamtsystems (GS), wenn die Informationen über die simulierte Quelle der virtuellen Sensordaten innerhalb der virtuellen Sensordaten vorbestimmten Kriterien genügen und die Bewertung der virtuellen Sensordaten des virtuellen Sensors (VS) durch die betreffende Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) im Testzustand des sicherheitsrelevanten Gesamtsystems (GS), wenn die Informationen über die Quelle der virtuellen Sensordaten innerhalb der virtuellen Sensordaten diesen vorbestimmten Kriterien genügen, sowie die Erzeugung eines Bewertungsergebnisses durch die betreffende Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) in Abhängigkeit von diesen virtuellen Sensordaten im Testzustand des sicherheitsrelevanten Gesamtsystems (GS), wenn die Informationen über die Quelle der virtuellen Sensordaten innerhalb der virtuellen Sensordaten diesen vorbestimmten Kriterien genügen. Abschließend erfolgt die Signalisierungen des Bewertungsergebnisses und/oder die Bereitstellung des Bewertungsergebnisses der betreffenden Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) in Form von Bewertungsdaten durch die betreffende Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) über den ersten Datenbus (IDB, SPI1).
  • Diesen Verfahrensvarianten korrespondiert wieder eine entsprechende Vorrichtung zur Durchführung eines Verfahrens zur Prüfung einer sicherheitsrelevanten Bewertungsvorrichtung (BV) für Signale und/oder Daten eines sicherheitsrelevanten Sensors (RS) als Teil eines sicherheitsrelevanten Gesamtsystems (GS). Das sicherheitsrelevante Gesamtsystem (GS) umfasst einen virtuellen Sensor (VS) und eine Systemsteuerung (ST). Das sicherheitsrelevante Gesamtsystem (GS) kann sich in einem Normalzustand und in einem Testzustand befinden. Die Bewertungsvorrichtung (BV) empfängt im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) Sensordaten von dem sicherheitsrelevanten Sensor (RS) und bewertet die Sensordaten des sicherheitsrelevanten Sensors (RS). Im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) nimmt die Bewertungsvorrichtung (BV) Signalisierungen in Abhängigkeit von diesen Sensordaten vor und/oder stellt im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) Bewertungsdaten bereit, die von diesen Sensordaten abhängen. Die Systemsteuerung (ST) übermittelt virtuelle Sensordaten und/oder Daten zur Erzeugung virtueller Sensordaten durch die Systemsteuerung (ST) an den virtuellen Sensor (VS) über den zweiten Steuerbus (SPI2, ISPI). Diese Übermittlung kann zu iregend einem Zeitpunkt vor oder nach Einnahme des Testzustands erfolgen. Im Testzustand des Gesamtsystems (GS) erzeugt der virtuelle Sensor (VS) virtuelle Sensordaten in Abhängigkeit von den erhaltenen virtueller Sensordaten und/oder von den erhaltenen Daten zur Erzeugung virtueller Sensordaten im Testzustand des sicherheitsrelevanten Gesamtsystems (GS). m Testzustand des Gesamtsystems (GS) empfängt stattdessen somit die Bewertungsvorrichtung (BV) virtuelle Sensordaten von dem virtuellen Sensor (VS) und bewertet im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) die virtuellen Sensordaten des virtuellen Sensors (VS) und nimmt im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) Signalisierungen in Abhängigkeit von diesen virtuellen Sensordaten vor oder stellt im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) Bewertungsdaten bereit, die von diesen virtuellen Sensordaten abhängen. Auch hier kann eine Variante mit mehr als zwei Teilbewertungsvorrichtungen (BTV1, BTV2, ... BTVn) vorgesehen werden. Die Bewertungsvorrichtung (BV) weist dann wieder mindestens zwei verschiedene Teilbewertungsvorrichtungen (BTV1, BTV2, ... BTVn) auf. Die Sensordaten umfassen dann wieder Informationen über die Quelle der Sensordaten, also insbesondere Informationen über den betreffenden sicherheitsrelevanten Sensor der sicherheitsrelevanten Sensoren (RS1, RS2, ... RSn), der die Sensordaten erzeugt hat. Ebenso umfassen die virtuellen Sensordaten des virtuellen Sensors (VS) Informationen über eine simulierte Quelle für virtuelle Sensordaten. Eine Bewertungsvorrichtung (BTV) der mindestens zwei Bewertungsteilvorrichtungen(BTV1, BTV2, ... BTVn) empfängt im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) Sensordaten von dem sicherheitsrelevanten Sensor (RS) der sicherheitsrelevanten Sensoren (RS1, RS2, ... RSn), wenn die Informationen über die Quelle der Sensordaten innerhalb der Sensordaten vorbestimmten Kriterien genügen, wobei für den Fall, dass die Informationen über die Quelle der Sensordaten innerhalb der Sensordaten diesen vorbestimmten Kriterien genügen, die Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) die Sensordaten des sicherheitsrelevanten Sensors (RS) der sicherheitsrelevanten Sensoren (RS1, RS2, ... RSn) bewertet und im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) Signalisierungen in Abhängigkeit von diesen Sensordaten vornimmt und/oder im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) Bewertungsdaten bereitstellt, die von diesen Sensordaten abhängen. Die Systemsteuerung (ST) übermittelt virtuelle Sensordaten und/oder Daten zur Erzeugung virtueller Sensordaten durch die Systemsteuerung (ST) an den virtuellen Sensor (VS) über den zweiten Steuerbus (SPI2, ISPI). Diese Übermittlung kann zu iregend einem Zeitpunkt vor oder nach Einnahme des Testzustands erfolgen. Im Testzustand des Gesamtsystems (GS) erzeugt der virtuelle Sensor (VS) virtuelle Sensordaten in Abhängigkeit von den erhaltenen virtueller Sensordaten und/oder von den erhaltenen Daten zur Erzeugung virtueller Sensordaten im Testzustand des sicherheitsrelevanten Gesamtsystems (GS). Im Testzustand des Gesamtsystems (GS) empfängt eine Bewertungsvorrichtung (BTV) der mindestens zwei Bewertungsteilvorrichtungen(BTV1, BTV2, ... BTVn) somit virtuelle Sensordaten von dem virtuellen Sensor (VS), wenn die Informationen über die Quelle der virtuellen Sensordaten innerhalb der virtuellen Sensordaten vorbestimmten Kriterien genügen, wobei für den Fall, dass die Informationen über die Quelle der virtuellen Sensordaten innerhalb der Sensordaten diesen vorbestimmten Kriterien genügen, die Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) die virtuellen Sensordaten des virtuellen Sensors (VS) bewertet und im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) Signalisierungen in Abhängigkeit von diesen virtuellen Sensordaten vornimmt und/oder im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) Bewertungsdaten bereitstellt, die von diesen virtuellen Sensordaten abhängen. Die Signalisierung dieser Bewertungsdaten erfolgt bevorzugt über den ersten Datenbus (IDB, SPI1).
  • Vorteil des Vorschlags
  • Ein solches Verfahren zur Prüfung einer sicherheitsrelevanten Bewertungsvorrichtung (BV) für Signale und/oder Daten eines sicherheitsrelevanten Sensors (RS) und die zugehörige Vorrichtung ermöglichen zumindest in einigen Realisierungen die Erkennung latenter Fehler in komplexen Bewertungsvorrichtungen (BV) durch Testdaten (virtuelle Sensordaten) mit minimalem Eingriff in die kritischen Sensordatenpfade des sicherheitsrelevanten Gesamtsystems (GS). Die Vorteile sind hierauf aber nicht beschränkt.
  • Im Gegensatz zur technischen Lehre der EP 1 239 370 A2 kann die Ausgabe fehlerhafter Daten erkannt werden, da die Teststeuerung über den zweiten Steuerbus (SP2) und den internen Steuerbus (ISPI) erfolgt, während der Datenpfad über den Sensordatenbus (EDB), den interenen Datenbus (IDB) und dem ersten Steuerbus (SPI1) verläuft. Damit können Fehler sowohl in der Teststeuerung als auch in dem Datenpfad unabhängig voneinander erkannt werden.
  • Beispielsweise kann eine Teilvorrichtung zur Durchführung des vorgeschlagenen Verfahrens in eine integrierte mikroelektronische Schaltung (IC) für Sicherheitsanwendungen nach ISO26262 integriert werden. Somit eignet sich das vorgeschlagene Verfahren zur Durchführung als eingebettetes Verfahren innerhalb einer mikroelektronischen Schaltung (IC). Ein solches Verfahren kann also beispielsweise als Hardware, Firmware oder Software in einer solchen mikroelektronischen Schaltung (IC) implementiert werden. Es wird somit die Möglichkeit geschaffen, in sicherheitsrelevanten Gesamtsystemen, Sensordaten so nahe am jeweiligen sicherheitsrelevanten Sensor (RS) wie möglich im Sensordatenpfad der Verarbeitungskette einzuspeisen und damit das Maß an Quer-Eingriffen in der Verarbeitungskette insbesondere auf die Einspeisevorrichtung (EV) für virtuelle Sensordaten zu reduzieren. Die gezielte Einspeisung fehlerhafter virtueller Sensordaten in die Bewertungsvorrichtung (BV) wird somit ermöglicht, ohne direkt in die sicherheitsrelevanten Baugruppen zur Ermittlung oder Bewertung von Sensordaten eingreifen zu müssen. Die Reaktion der Bewertungsvorrichtung (BV) kann somit auf einfache Weise ermittelt und gegenüber einer Referenzreaktion verglichen werden, was die Erkennung von Fehlern der Bewertungsvorrichtung (BV) ermöglicht, die dem Nichterkennen von Fehlern in den Sensordaten entsprechen. Umgekehrt wird die gezielte Einspeisung korrekter virtueller Sensordaten in die Bewertungsvorrichtung (BV) somit auch ermöglicht, ohne direkt in die sicherheitsrelevanten Baugruppen zur Ermittlung oder Bewertung von Sensordaten eingreifen zu müssen. Die Reaktion der Bewertungsvorrichtung (BV) kann somit auf einfache Weise auch für diese Fälle ermittelt und gegenüber einer Referenzreaktion für diese Fälle verglichen werden, was die Erkennung von Fehlern der Bewertungsvorrichtung (BV) ermöglicht, die dem Erkennen von Fehlern in den korrekte Sensordaten entsprechen. Somit ermöglicht das vorgeschlagene Verfahren einen umfangreichen Test der Bewertungsvorrichtung (BV). Die Methode wird zusätzlich darüber abgesichert, dass die Prüfungen nicht zu sicherheitsrelevanten Fehlentscheidungen führen können. Letztlich können die bei der Konstruktion sicherheitsrelevanter Systeme geforderten Fitraten nach ISO26262 als Qualitätsmerkmal einer Implementierung besser erreicht werden, was das eigentliche Ziel dieses Verfahrens ist.
  • Figurenliste
    • 1 zeigt schematisch ein Prinzipschaubild einer vorgeschlagenen Vorrichtung zur Durchführung des vorgeschlagenen Verfahrens mit Einspeisevorrichtung (EV).
    • 2 zeigt schematisch ein Prinzipschaubild einer vorgeschlagenen Vorrichtung zur Durchführung des vorgeschlagenen Verfahrens ohne Einspeisevorrichtung (EV).
  • Bezugszeichenliste
    • BV
    Bewertungsvorrichtung;
    BTV
    Bewertungsteilvorrichtung;
    BTV1
    erste Bewertungsteilvorrichtung;
    BTV2
    zweite Bewertungsteilvorrichtung;
    BTVn
    n-te Bewertungsteilvorrichtung;
    DB
    Sensordatenbus;
    EDB
    externer Sensordatenbus. Der externe Sensordatenbus ist typischerweise eine Fortsetzung des internen Datenbusses IDB der Systemsteuerung;
    EV
    Einspeisevorrichtung;
    GS
    Gesamtsystem;
    IC
    integrierte Schaltung (in einer bevorzugten Partitionierung des Gesamtsystems (GS));
    IF
    Datenschnittstelle zwischen externen Sensordatenbus EDB und internem Datenbus (IDB) der Systemsteuerung;
    IDB
    interner Datenbus der Systemsteuerung;
    ISPI
    interner Steuerbus;
    RS
    sicherheitsrelevanter Sensor;
    RS1
    erster sicherheitsrelevanter Sensor;
    RS2
    zweiter sicherheitsrelevanter Sensor;
    RSn
    n-ter sicherheitsrelevanter Sensor
    SE
    Sicherheitseinrichtung;
    SPI1
    erster Steuerbus;
    SPI2
    zweiter Steuerbus;
    SPIIF1
    erste Schnttstelle der integrierten Schaltung (IC) zwischen erstem Steuerbus (SPI1) und internem Datenbus (IDB);
    SPIIF2
    zweite Schnttstelle der integrierten Schaltung (IC) zwischen zweitem Steuerbus (SPI2) und internem Steuerbis (ISPI);
    ST
    Systemsteuerung;
    TB
    Testbewertungsvorrichtung;
    VS
    virtueller Sensor.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • EP 1239370 A2 [0003, 0007, 0009, 0043]

Claims (10)

  1. Verfahren zur Prüfung einer sicherheitsrelevanten Bewertungsvorrichtung (BV) für Signale und/oder Daten eines sicherheitsrelevanten Sensors (RS) als Teil eines sicherheitsrelevanten Gesamtsystems (GS) - mit einem virtuellen Sensor (VS), - mit einer Systemsteuerung (ST), - mit einem ersten Datenbus (IDB, SPI1), - mit einem zweiten Steuerbus (SPI2, ISPI), - wobei der zweite Steuerbus (SPI2, ISPI) von dem ersten Datenbus (IDB, SPI1) verschieden ist, - wobei das sicherheitsrelevante Gesamtsystem (GS) sich in einem Normalzustand und in einem Testzustand befinden kann mit folgenden Schritten: - Empfang von Sensordaten des sicherheitsrelevanten Sensors (RS) im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) durch die Bewertungsvorrichtung (BV); - Bewertung der Sensordaten des sicherheitsrelevanten Sensors (RS) im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) durch die Bewertungsvorrichtung (BV) zur Erzeugung eines Bewertungsergebnisses der Bewertungsvorrichtung (BV); - Übermittlung virtueller Sensordaten und/oder von Daten zur Erzeugung virtueller Sensordaten durch die Systemsteuerung (ST) an den virtuellen Sensor (VS) über den zweiten Steuerbus (SPI2, ISPI); - Erzeugung virtueller Sensordaten durch den virtuellen Sensors (VS) in Abhängigkeit von den erhaltenen virtueller Sensordaten und/oder von den erhaltenen Daten zur Erzeugung virtueller Sensordaten; - Empfang dieser virtuellen Sensordaten des virtuellen Sensors (VS) im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) durch die Bewertungsvorrichtung (BV); - Bewertung der virtuellen Sensordaten des virtuellen Sensors (VS) im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) durch die Bewertungsvorrichtung (BV) zur Erzeugung eines Bewertungsergebnisses der Bewertungsvorrichtung (BV); - Signalisierung des Bewertungsergebnisses der Bewertungsvorrichtung (BV) über den ersten Datenbus (IDB, SPI1) oder Bereitstellung des Bewertungsergebnisses der Bewertungsvorrichtung (BV) in Form von Bewertungsdaten durch die Bewertungsvorrichtung (BV) unter Nutzung des ersten Datenbusses (IDB, SPI1).
  2. Verfahren nach Anspruch Fehler! Verweisquelle konnte nicht gefunden werden. - wobei die übermittelten, virtuellen Sensordaten und/oder übermittelten Daten zur Erzeugung virtueller Sensordaten durch die Systemsteuerung (ST) an den virtuellen Sensor (VS) nach der Signalisierung des Bewertungsergebnisses der Bewertungsvorrichtung (BV) und/oder nach der Bereitstellung des Bewertungsergebnisses und/oder nach der Bewertung der virtuellen Sensordaten des virtuellen Sensors (VS) im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) durch die Bewertungsvorrichtung (BV) gelöscht werden oder durch Daten ersetzt werden, die das sicherheitsrelevante Gesamtsystems (GS) nicht in einen sicherheitsrelevanten Zustand versetzen können.
  3. Verfahren nach Anspruch 1 oder 2 - wobei das sicherheitsrelevante Gesamtsystem (GS), das das Verfahren ausführt, eine Testbewertungsvorrichtung (TB) aufweist, mit den zusätzlichen Schritten - Übermitteln von Bewertungsdaten durch die Systemsteuerung (ST) an die Testbewertungsvorrichtung (TB) über den zweiten Steuerbus (SPI2, ISPI); - Bewertung der Signalisierungen der Bewertungsvorrichtung (BV) und/oder der durch die Bewertungsvorrichtung (BV) übermittelten Bewertungsdaten durch die Testbewertungsvorrichtung (TB), wenn das sicherheitsrelevante Gesamtsystem (GS) sich im Testzustand befindet, und dem Bewerten nachfolgendes Löschen der übermittelten Bewertungsdaten; - Erzeugung eines Bewertungsergebnisses der Testbewertungsvorrichtung (TB), wenn das sicherheitsrelevante Gesamtsystem (GS) sich im Testzustand befindet; - Signalisierung oder Bereitstellung des Bewertungsergebnisses der Testbewertungsvorrichtung (TB) durch die Testbewertungsvorrichtung (TB) über den zweiten Steuerbus (SPI2, ISPI) oder einen anderen Bus, der nicht der erste Datenbus (IDB, SPI1) ist.
  4. Verfahren nach Anspruch 1 - wobei das sicherheitsrelevante Gesamtsystem (GS), das das Verfahren ausführt, eine Testbewertungsvorrichtung (TB) aufweist mit dem zusätzlichen Schritt - Bewertung der Signalisierungen der Bewertungsvorrichtung (BV) und/oder der durch die Bewertungsvorrichtung (BV) bereitgestellten Bewertungsdaten durch die Testbewertungsvorrichtung (TB), wenn das sicherheitsrelevante Gesamtsystem (GS) sich im Testzustand befindet; - Erzeugung eines Bewertungsergebnisses der Testbewertungsvorrichtung (TB), wenn das sicherheitsrelevante Gesamtsystem (GS) sich im Testzustand befindet; - Signalisierung oder Bereitstellung des Bewertungsergebnisses der Testbewertungsvorrichtung (TB) durch die Testbewertungsvorrichtung (TB) über den zweiten Steuerbus (SPI2, ISPI) oder einen anderen Bus, der nicht der erste Datenbus (IDB, SPI1) ist.
  5. Verfahren nach Anspruch 3 oder 4 umfassend den zeitlich vorausgehenden Schritt - Programmierung der Testbewertungsvorrichtung (TB) mit Referenzdaten zur Bewertung der virtuellen Sensordaten des virtuellen Sensors (VS), insbesondere durch die Systemsteuerung (ST) über den zweiten Steuerbus (SPI2, ISPI), - wobei vorgesehen ist, dass diese Bewertung der virtuellen Sensordaten des virtuellen Sensors (VS) erfolgt, wenn sich das sicherheitsrelevante Gesamtsystem (GS) im Testzustand befindet.
  6. Verfahren nach einem oder mehreren der vorausgehenden Ansprüche umfassend den vorausgehenden Schritt - Blockierung unsicherer Zustände des sicherheitsrelevanten Gesamtsystems (GS) vor oder mit dem Übergang des sicherheitsrelevanten Gesamtsystems (GS) in den Testzustand, insbesondere durch eine Sicherheitseinrichtung (SE).
  7. Verfahren nach Anspruch 5 umfassend den nachfolgenden Schritt - Zulassen vorbestimmter unsicherer Zustände des sicherheitsrelevanten Gesamtsystems (GS) vor oder mit dem Übergang des sicherheitsrelevanten Gesamtsystems (GS) vom Testzustand in den Normalzustand, insbesondere durch eine Sicherheitseinrichtung (SE).
  8. Verfahren nach den Ansprüchen 4 und/oder 5 umfassend den nachfolgenden Schritt - Zulassen vorbestimmter unsicherer Zustände des sicherheitsrelevanten Gesamtsystems (GS) nach oder mit dem Übergang des sicherheitsrelevanten Gesamtsystems (GS) vom Testzustand in den Normalzustand, wenn die Bewertung der Signalisierungen der Bewertungsvorrichtung (BV) und/oder der durch die Bewertungsvorrichtung (BV) bereitgestellten Bewertungsdaten durch die Testbewertungsvorrichtung (TB) in Form der Signalisierung oder Bereitstellung des Bewertungsergebnisses der Testbewertungsvorrichtung (TB) durch die Testbewertungsvorrichtung (TB) ergibt, dass die Signalisierungen der Bewertungsvorrichtung (BV) und/oder die durch die Bewertungsvorrichtung (BV) bereitgestellten Bewertungsdaten vorbestimmten Signalisierungen und/oder vorbestimmten Bewertungsdaten entsprechen, - wobei insbesondere dieses Zulassen durch eine Sicherheitseinrichtung (SE) erfolgen kann.
  9. Verfahren nach den Ansprüchen 4 und/oder 5 - wobei das sicherheitsrelevante Gesamtsystem (GS) einen zusätzlichen vorbestimmten Fehlerzustand einnehmen kann, umfassend den nachfolgenden Schritt - fortdauerndes Blockieren vorbestimmter unsicherer Zustände des sicherheitsrelevanten Gesamtsystems (GS), die von den zuvor im Testzustand des sicherheitsrelevanten Gesamtsystems blockierten unsicheren Zuständen des sicherheitsrelevanten Gesamtsystems (GS) abweichen können, und Übergang des sicherheitsrelevanten Gesamtsystems (GS) vom Testzustand und/oder Normalzustand in den vorbestimmten Fehlerzustand, wenn die Bewertung der Signalisierungen der Bewertungsvorrichtung (BV) und/oder der durch die Bewertungsvorrichtung (BV) im Testzustand bereitgestellten Bewertungsdaten durch die Testbewertungsvorrichtung (TB) in Form der Signalisierung oder Bereitstellung des Bewertungsergebnisses der Testbewertungsvorrichtung (TB) durch die Testbewertungsvorrichtung (TB) ergibt, dass die Signalisierungen der Bewertungsvorrichtung (BV) und/oder die durch die Bewertungsvorrichtung (BV) bereitgestellten Bewertungsdaten vorbestimmten Signalisierungen und/oder vorbestimmten Bewertungsdaten NICHT entsprechen, - wobei insbesondere dieses fortdauernde Blockieren durch eine Sicherheitseinrichtung (SE) erfolgen kann.
  10. Verfahren nach Anspruch 1 - wobei das sicherheitsrelevante Gesamtsystem auch mehr als einen sicherheitsrelevanten Sensor (RS1, RS2 ... RSn) aufweisen kann und - wobei die Bewertungsvorrichtung (BV) mindestens zwei verschiedene Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) aufweist und - wobei die Sensordaten Informationen über eine simulierte Quelle der Sensordaten umfassen und - wobei die virtuellen Sensordaten Informationen über die simulierte Quelle der virtuellen Sensordaten umfassen umfassend die Schritte - Empfang von Sensordaten eines betreffenden sicherheitsrelevanten Sensors (RS) der sicherheitsrelevanten Sensoren (RS1, RS2, .... RSn) durch eine betreffende Bewertungsvorrichtung (BTV) der mindestens zwei Bewertungsteilvorrichtungen (BTV1, BTV2,... BTVn) im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS), wenn die Informationen über die Quelle der Sensordaten innerhalb der Sensordaten vorbestimmten Kriterien genügen; - Bewertung der Sensordaten des betreffenden sicherheitsrelevanten Sensors (RS) durch die betreffende Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS), wenn die Informationen über die Quelle der Sensordaten innerhalb der Sensordaten diesen vorbestimmten Kriterien genügen; - Erzeugung eines Bewertungsergebnisses durch die betreffende Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) in Abhängigkeit von diesen Sensordaten im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS); - Übermitteln virtueller Sensordaten und/oder von Daten zur Erzeugung virtueller Sensordaten durch die Systemsteuerung (ST) an den virtuellen Sensor (VS) über den zweiten Steuerbus (SPI2, ISPI); - Erzeugung virtueller Sensordaten durch den virtuellen Sensors (VS) in Abhängigkeit von den erhaltenen virtueller Sensordaten und/oder von den erhaltenen Daten zur Erzeugung virtueller Sensordaten; - Empfang von virtuellen Sensordaten eines virtuellen Sensors (VS) durch eine betreffende Bewertungsvorrichtung (BTV) der mindestens zwei Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) im Testzustand des sicherheitsrelevanten Gesamtsystems (GS), wenn die Informationen über die simulierte Quelle der virtuellen Sensordaten innerhalb der virtuellen Sensordaten vorbestimmten Kriterien genügen; - Bewertung der virtuellen Sensordaten des virtuellen Sensors (VS) durch die betreffende Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) über den ersten Datenbus (IDB, SPI1) im Testzustand des sicherheitsrelevanten Gesamtsystems (GS), wenn die Informationen über die Quelle der virtuellen Sensordaten innerhalb der virtuellen Sensordaten diesen vorbestimmten Kriterien genügen; - Erzeugung eines Bewertungsergebnisses durch die betreffende Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2,... BTVn) in Abhängigkeit von diesen virtuellen Sensordaten im Testzustand des sicherheitsrelevanten Gesamtsystems (GS), wenn die Informationen über die Quelle der virtuellen Sensordaten innerhalb der virtuellen Sensordaten diesen vorbestimmten Kriterien genügen; - Signalisierungen des Bewertungsergebnisses und/oder Bereitstellung des Bewertungsergebnisses der betreffenden Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) in Form von Bewertungsdaten durch die betreffende Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) über den ersten Datenbus (IDB, SPI1);
DE102018107452.2A 2017-06-01 2018-03-28 ISO 26262 konformes Verfahren zur Prüfung einer Bewertungsvorrichtung für Sensordaten innerhalb eines sicherheitsrelevanten Gesamtsystems Active DE102018107452B4 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102017112138.2 2017-06-01
DE102017112138 2017-06-01

Publications (2)

Publication Number Publication Date
DE102018107452A1 true DE102018107452A1 (de) 2018-12-06
DE102018107452B4 DE102018107452B4 (de) 2019-04-11

Family

ID=64279038

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102018107452.2A Active DE102018107452B4 (de) 2017-06-01 2018-03-28 ISO 26262 konformes Verfahren zur Prüfung einer Bewertungsvorrichtung für Sensordaten innerhalb eines sicherheitsrelevanten Gesamtsystems

Country Status (1)

Country Link
DE (1) DE102018107452B4 (de)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102019101733A1 (de) 2019-01-24 2020-07-30 Elmos Semiconductor Aktiengesellschaft Vorrichtung zur Absicherung der Überwachung einer Airbag Zündstufe im Betrieb
DE102019101739A1 (de) 2019-01-24 2020-07-30 Elmos Semiconductor Aktiengesellschaft Vorrichtung mit Überprüfungsfähigkeit einer Airbag Zündstufe im Betrieb
DE102019101732A1 (de) 2019-01-24 2020-07-30 Elmos Semiconductor Aktiengesellschaft Vorrichtung mit Überprüfungsfähigkeit einer Airbag Zündstufe im Betrieb
DE102019101735A1 (de) 2019-01-24 2020-07-30 Elmos Semiconductor Aktiengesellschaft Verfahren zur Überprüfung einer Airbag Zündstufe im Betrieb

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210114532A (ko) 2019-01-24 2021-09-23 엘모스 세미컨덕터 에스이 차량에 있어서 보호 기능을 개시하기 위한 장치

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1239370A2 (de) 2001-03-09 2002-09-11 Robert Bosch Gmbh Verfahren zur Überprüfung eines Schnittstellenbausteins

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1613510B1 (de) 2003-04-01 2007-08-29 Robert Bosch Gmbh Steuergerät für ein rückhaltesystem
DE102004049082B4 (de) 2004-10-08 2013-04-04 Robert Bosch Gmbh Endstufe zur Ansteuerung einer Airbag-Zündeinheit mit integrierter Testeinrichtung

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1239370A2 (de) 2001-03-09 2002-09-11 Robert Bosch Gmbh Verfahren zur Überprüfung eines Schnittstellenbausteins

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102019101733A1 (de) 2019-01-24 2020-07-30 Elmos Semiconductor Aktiengesellschaft Vorrichtung zur Absicherung der Überwachung einer Airbag Zündstufe im Betrieb
DE102019101739A1 (de) 2019-01-24 2020-07-30 Elmos Semiconductor Aktiengesellschaft Vorrichtung mit Überprüfungsfähigkeit einer Airbag Zündstufe im Betrieb
DE102019101732A1 (de) 2019-01-24 2020-07-30 Elmos Semiconductor Aktiengesellschaft Vorrichtung mit Überprüfungsfähigkeit einer Airbag Zündstufe im Betrieb
DE102019101735A1 (de) 2019-01-24 2020-07-30 Elmos Semiconductor Aktiengesellschaft Verfahren zur Überprüfung einer Airbag Zündstufe im Betrieb
DE102019101735B4 (de) * 2019-01-24 2021-02-11 Elmos Semiconductor Se Verfahren zur Überprüfung einer Airbag Zündstufe im Betrieb
DE102019101739B4 (de) * 2019-01-24 2021-02-11 Elmos Semiconductor Se Vorrichtung mit Überprüfungsfähigkeit einer Airbag Zündstufe im Betrieb
DE102019101733B4 (de) * 2019-01-24 2021-02-11 Elmos Semiconductor Se Vorrichtung zur Absicherung der Überwachung einer Airbag Zündstufe im Betrieb
DE102019101732B4 (de) * 2019-01-24 2021-02-11 Elmos Semiconductor Se Vorrichtung mit Überprüfungsfähigkeit einer Airbag Zündstufe im Betrieb

Also Published As

Publication number Publication date
DE102018107452B4 (de) 2019-04-11

Similar Documents

Publication Publication Date Title
DE102018107449B4 (de) ISO 26262 konformes Verfahren zur Prüfung einer Bewertungsvorrichtung für Sensordaten innerhalb eines sicherheitsrelevanten Gesamtsystems
DE102018107452B4 (de) ISO 26262 konformes Verfahren zur Prüfung einer Bewertungsvorrichtung für Sensordaten innerhalb eines sicherheitsrelevanten Gesamtsystems
DE102018107441A1 (de) ISO 26262 konforme Vorrichtung zur Prüfung einer Bewertungsvorrichtung für Sensordaten innerhalb eines sicherheitsrelevanten Gesamtsystems
DE102018107438A1 (de) ISO 26262 konforme Vorrichtung zur Prüfung einer Bewertungsvorrichtung für Sensordaten innerhalb eines sicherheitsrelevanten Gesamtsystems
EP0691244B1 (de) Prüfverfahren für eine passive Sicherheitseinrichtung in Kraftfahrzeugen
DE102012216529B4 (de) Verfahren zur Auslösung zumindest eines Personenschutzmittels sowie System und Computerprogrammprodukt zur Durchführung des Verfahrens
EP1339571B1 (de) Steuergerät für ein rückhaltesystem in einem kraftfahrzeug
DE102005030770B4 (de) Schaltungsanordnung und Verfahren zum Steuern einer Sicherheitseinrichtung für ein Fahrzeug
EP3024707A1 (de) Verfahren und elektronische schaltungsanordnung zur redundanten signalverarbeitung einer sicherheitsrelevanten anwendung, kraftfahrzeugbremssystem und kraftfahrzeug damit sowie verwendung einer derartigen elektronischen schaltungsanordnung
DE202006003273U1 (de) Diagnosevorrichtung in einem Fahrzeug für eine funktionsorientierte Diagnose
DE102017011685A1 (de) Verfahren und Vorrichtung zur Verarbeitung von Alarmsignalen
DE10252990B3 (de) Steuereinheit zur Auslösung eines Insassenschutzmittels in einem Kraftfahrzeug und Verfahren zur Überwachung der ordnungsgemäßen Funktion einer vorzugsweise solchen Steuereinheit
DE102015203250A1 (de) Sicherheitsvorrichtung und Verfahren zum Überführen eines Aktorsystems in einen sicheren Zustand, Aktorsystem und Verfahren zum Betreiben eines Aktorsystems
EP0694451B1 (de) Fahrzeugsicherungsanordnung
DE102018110937B4 (de) Verfahren zur betriebssicheren vereinfachten Aktivierung von Produktionstestmodi in sicherheitsrelevanten elektronischen Schaltungen für Fußgängeraufprallschutzsysteme
DE102018110926B4 (de) Verfahren zur betriebssicheren Aktivierung von Produktionstestmodi in sicherheitsrelevanten elektronischen Schaltungen für ein sicherheitsrelevantes System
DE102018110932B4 (de) Verfahren zur betriebssicheren Aktivierung von Produktionstestmodi in sicherheitsrelevanten elektronischen Schaltungen für ein Fahrzeuginsassenrückhaltesystem
DE102018110934B4 (de) Verfahren zur betriebssicheren vereinfachten Aktivierung von Produktionstestmodi in sicherheitsrelevanten elektronischen Schaltungen für ein Fahrzeuginsassenrückhaltesystem
DE102004036291B4 (de) Schaltungsanordnung und Verfahren zum Steuern einer Sicherheitseinrichtung für ein Fahrzeug
DE102017110423B4 (de) Verfahren zur betriebssicheren Aktivierung von Produktionstestmodi in sicherheitsrelevanten elektronischen Schaltungen für ein Fußgängeraufprallschutzsystem
EP4277313A2 (de) System zum übermitteln von informationen über signalzustände einer lichtsignalanlage an zumindest ein autonomes kraftfahrzeug
DE102011101933B4 (de) Verfahren zur Entsorgungszündung pyrotechnischer Aktoren in einem Kraftfahrzeug sowie Steuergerät
EP2028063B1 (de) Verfahren zum Erzeugen eines Ansteuersignals und Mikrocontroller für ein Steuergerät
EP1815259B1 (de) Verfahren zum betrieb eines steuerger[ts f]r ein fahrzeug, insbesondere für eine sicherheitseinrichtung eines fahrzeugs
EP1863681A1 (de) Vorrichtung zur ansteuerung und diagnose von reversiblen schutzsystemen

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final
R081 Change of applicant/patentee

Owner name: ELMOS SEMICONDUCTOR SE, DE

Free format text: FORMER OWNER: ELMOS SEMICONDUCTOR AKTIENGESELLSCHAFT, 44227 DORTMUND, DE