DE102018112584A1 - Konfigurierbare Sensorvorrichtung und Verfahren zur Überwachung ihrer Konfiguration - Google Patents

Konfigurierbare Sensorvorrichtung und Verfahren zur Überwachung ihrer Konfiguration Download PDF

Info

Publication number
DE102018112584A1
DE102018112584A1 DE102018112584.4A DE102018112584A DE102018112584A1 DE 102018112584 A1 DE102018112584 A1 DE 102018112584A1 DE 102018112584 A DE102018112584 A DE 102018112584A DE 102018112584 A1 DE102018112584 A1 DE 102018112584A1
Authority
DE
Germany
Prior art keywords
data
configuration
cdb
sensor device
monitoring
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102018112584.4A
Other languages
English (en)
Inventor
Michael Hallek
Bastian Hafner
Marek Lewandowski
Udo Splettstößer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Valeo Schalter und Sensoren GmbH
Original Assignee
Valeo Schalter und Sensoren GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Valeo Schalter und Sensoren GmbH filed Critical Valeo Schalter und Sensoren GmbH
Priority to DE102018112584.4A priority Critical patent/DE102018112584A1/de
Publication of DE102018112584A1 publication Critical patent/DE102018112584A1/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G01MEASURING; TESTING
    • G01SRADIO DIRECTION-FINDING; RADIO NAVIGATION; DETERMINING DISTANCE OR VELOCITY BY USE OF RADIO WAVES; LOCATING OR PRESENCE-DETECTING BY USE OF THE REFLECTION OR RERADIATION OF RADIO WAVES; ANALOGOUS ARRANGEMENTS USING OTHER WAVES
    • G01S15/00Systems using the reflection or reradiation of acoustic waves, e.g. sonar systems
    • G01S15/88Sonar systems specially adapted for specific applications
    • G01S15/93Sonar systems specially adapted for specific applications for anti-collision purposes
    • G01S15/931Sonar systems specially adapted for specific applications for anti-collision purposes of land vehicles
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01SRADIO DIRECTION-FINDING; RADIO NAVIGATION; DETERMINING DISTANCE OR VELOCITY BY USE OF RADIO WAVES; LOCATING OR PRESENCE-DETECTING BY USE OF THE REFLECTION OR RERADIATION OF RADIO WAVES; ANALOGOUS ARRANGEMENTS USING OTHER WAVES
    • G01S7/00Details of systems according to groups G01S13/00, G01S15/00, G01S17/00
    • G01S7/52Details of systems according to groups G01S13/00, G01S15/00, G01S17/00 of systems according to group G01S15/00
    • G01S7/52004Means for monitoring or calibrating
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/08Error detection or correction by redundancy in data representation, e.g. by using checking codes
    • G06F11/10Adding special bits or symbols to the coded information, e.g. parity check, casting out 9's or 11's
    • G06F11/1004Adding special bits or symbols to the coded information, e.g. parity check, casting out 9's or 11's to protect a block of data words, e.g. CRC or checksum
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01SRADIO DIRECTION-FINDING; RADIO NAVIGATION; DETERMINING DISTANCE OR VELOCITY BY USE OF RADIO WAVES; LOCATING OR PRESENCE-DETECTING BY USE OF THE REFLECTION OR RERADIATION OF RADIO WAVES; ANALOGOUS ARRANGEMENTS USING OTHER WAVES
    • G01S15/00Systems using the reflection or reradiation of acoustic waves, e.g. sonar systems
    • G01S15/88Sonar systems specially adapted for specific applications
    • G01S15/93Sonar systems specially adapted for specific applications for anti-collision purposes
    • G01S15/931Sonar systems specially adapted for specific applications for anti-collision purposes of land vehicles
    • G01S2015/932Sonar systems specially adapted for specific applications for anti-collision purposes of land vehicles for parking operations

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Radar, Positioning & Navigation (AREA)
  • Remote Sensing (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Acoustics & Sound (AREA)
  • Computer Security & Cryptography (AREA)
  • Quality & Reliability (AREA)
  • Arrangements For Transmission Of Measured Signals (AREA)

Abstract

Die Erfindung betrifft die Überwachung der Konfiguration einer mittels in einem flüchtigen Datenspeicher gespeicherten Konfigurationsdaten konfigurierbaren Sensorvorrichtung, insbesondere einer konfigurierbaren Ultraschallsensorvorrichtung. Speziell betrifft die Erfindung ein entsprechendes Verfahren, eine entsprechende zur Ausführung des Verfahrens eingerichtete Sensorvorrichtung, sowie ein Computerprogramm zur Ausführung des Verfahrens auf der Sensorvorrichtung. Das Verfahren weist auf: Lesen von durch eine Datenquelle in einem flüchtigen Datenspeicher abgelegten Konfigurationsdaten zur Konfiguration der Sensorvorrichtung; Berechnen zumindest eines initialen Prüfwerts gemäß einem vorbestimmten Fehlererkennungscodierungsverfahren aus den gelesenen Konfigurationsdaten und Ablegen des zumindest einen initialen Prüfwerts in dem Datenspeicher; Detektieren eines Auftretens eines vorbestimmten Triggerereignisses und in Reaktion darauf: Neuberechnen des zumindest einen Prüfwerts aus den in dem Datenspeicher abgelegten Konfigurationsdaten gemäß dem Fehlererkennungscodierungsverfahren, Vergleichen des dabei neu berechneten zumindest einen Prüfwerts mit dem jeweils korrespondierenden zuvor in dem Datenspeicher abgelegten initialen Prüfwert zur Bestimmung eines Überwachungsergebnisses in Abhängigkeit vom Ergebnis des Vergleichs, und Bereitstellen des Überwachungsergebnisses.

Description

  • Die vorliegende Erfindung betrifft die Überwachung der Konfiguration einer mittels in einem flüchtigen Datenspeicher gespeicherten Konfigurationsdaten konfigurierbaren Sensorvorrichtung, insbesondere einer konfigurierbaren Ultraschallsensorvorrichtung. Speziell betrifft die Erfindung ein entsprechendes Verfahren, eine entsprechende zur Ausführung des Verfahrens eingerichtete Sensorvorrichtung, sowie ein Computerprogramm zur Ausführung des Verfahrens auf der Sensorvorrichtung.
  • Neben der Gruppe der nicht konfigurierbaren Sensoren, deren Eigenschaften zumindest im Wesentlichen bereits bei ihrer Herstellung unveränderbar festgelegt werden, ist eine weitere Gruppe von Sensoren bekannt, deren Eigenschaften, insbesondere deren Funktionalität, dynamisch konfigurierbar ist. Dies kann insbesondere mittels Änderung entsprechender, die Konfiguration des jeweiligen Sensors bestimmender Konfigurationsparameter erfolgen, die insbesondere in Form von Konfigurationsdaten vorliegen können. Ein Beispiel für solche konfigurierbaren Sensorvorrichtungen sind Parkhilfesysteme für Kraftfahrzeuge, die auf Ultraschalltechnologie beruhen, und bei denen die Funktionalität von Ultraschallsensoren der Sensorvorrichtung in Abhängigkeit von variablen Konfigurationsparametern bestimmt wird. Beispielsweise kann die Frequenz, mit der ein Ultraschallsensor ein akustisches Signal aussendet, bei einigen Sensorvorrichtungen mittels einer variabel einstellbaren Parametrisierung verändert werden. So lassen sich mittels einer solchen Parametrisierung insbesondere verschiedene Betriebsmodi einstellen, wie etwa ein erster Betriebsmodus, bei dem der Ultraschallsensor zum Zwecke der Abstandsmessung Ultraschallsignale aussendet und an Objekten reflektierte Ultraschallsignale sensorisch erfasst, und ein zweiter Betriebsmodus, bei dem stattdessen Signale im für Menschen oder bestimmte Tierarten hörbaren Bereich, etwa zu Warnzwecken, ausgesendet werden. Ein weiterer kraftfahrzeugbezogener Betriebsmodus kann beispielsweise darin bestehen, dass die ultraschallbasierte Abstandsmessung mit einer automatischen Bremsfunktion des Kraftahrzeugs verknüpft wird, um automatische Notbremsungen zu ermöglichen. Auch ein Betriebsmodus, bei dem mittels Modulation, insbesondere Frequenzmodulation, des ausgesandten Signals eine Nachrichtenübermittlung bewirkt wird, ist möglich.
  • Je komplexer die von der Sensorvorrichtung auszuführenden verschiedenen Funktionen sind, desto umfangreicher ist typischerweise die zu deren Konfiguration erforderliche Parametrisierung in Form entsprechender Konfigurationsdaten.
  • In einigen Fällen, werden solche konfigurierbaren Sensorvorrichtungen in sicherheitsrelevanten Anwendungen eingesetzt, wie dies etwa bei Systemen zur Abstandsmessung bei Fahrzeugen, beispielsweise bei ultraschallbasierten Parkhilfesystemen oder Notbremssystemen, der Fall ist. Derartige Systeme benötigen, insbesondere im Bereich der Kraftfahrzeugtechnik, eine entsprechende Sicherheitseinstufung, beispielsweise gemäß dem sog. „Automotive Safety Integrity Level (ASIL)“-Schema, (einem im internationalen Standard ISO 26262 definierten Risikoklassifikationsschema), um eine Zulassung zu erhalten.
  • In vielen Branchen, insbesondere auch in der Automobilindustrie, unterliegen Sensorvorrichtungen typischerweise einem beständigen hohen Kostendruck. Es gilt daher in der Regel, Sensorvorrichtungen einerseits so kostengünstig wie möglich und andererseits aber mindestens so sicher und zuverlässig wie für eine entsprechende erfolgreiche Zulassung erforderlich, zu gestalten.
  • Der vorliegenden Erfindung liegt die Aufgabe zugrunde, die Sicherheit und Zuverlässigkeit von konfigurierbaren Sensorvorrichtungen, insbesondere von ultraschallbasierten Sensorvorrichtungen, auf effiziente Weise weiter zu verbessern.
  • Die Lösung dieser Aufgabe wird gemäß der Lehre der unabhängigen Ansprüche erreicht. Verschiedene Ausführungsformen und Weiterbildungen der Erfindung sind Gegenstand der Unteransprüche.
  • Ein erster Aspekt der Erfindung betrifft ein Verfahren zur Überwachung der Konfiguration einer konfigurierbaren Sensorvorrichtung, insbesondere einer konfigurierbaren Ultraschallsensorvorrichtung, wobei das Verfahren aufweist: (i) Lesen von durch eine Datenquelle in einem flüchtigen Datenspeicher abgelegten Konfigurationsdaten zur Konfiguration der Sensorvorrichtung; (ii) Berechnen zumindest eines initialen Prüfwerts gemäß einem vorbestimmten Fehlererkennungscodierungsverfahren aus den gelesenen Konfigurationsdaten und Ablegen des zumindest einen initialen Prüfwerts in dem Datenspeicher; (ii) Detektieren eines Auftretens eines vorbestimmten Triggerereignisses und in Reaktion darauf: (iii-1) Neuberechnen des zumindest einen Prüfwerts aus den in dem Datenspeicher abgelegten Konfigurationsdaten gemäß dem Fehlererkennungscodierungsverfahren, (iii-2) Vergleichen des dabei neu berechneten zumindest einen Prüfwerts mit dem jeweils korrespondierenden zuvor in dem Datenspeicher abgelegten initialen Prüfwert zur Bestimmung eines Überwachungsergebnisses in Abhängigkeit vom Ergebnis des Vergleichs, und (iii-3) Bereitstellen des Überwachungsergebnisses.
  • Die Datenquelle kann insbesondere ein Steuergerät eines Fahrzeugs (engl. Electronic Control Unit, ECU) sein, welche die Sensorvorrichtung nutzen, jedenfalls aber konfigurieren kann. Als flüchtiger Datenspeicher kommt insbesondere ein Speicher mit wahlfreiem Zugriff (engl. Random Access Memory, RAM) infrage.
  • Unter einem „Fehlererkennungscodierungsverfahren“ ist im Sinne der Erfindung ein Codierungsverfahren zur Codierung von Daten zu verstehen, mit dessen Hilfe zumindest ein in den Daten aufgetretener Fehler, beispielsweise ein verändertes Datenbit, erkannt werden kann. Optional kann das Codierungsverfahren zusätzlich eine Fehlerkorrekturfähigkeit aufweisen und somit zugleich ein Fehlerkorrektur(codierungs)verfahren sein (engl. Error Correction Coding, ECC). Derartige Verfahren zur Detektion bzw. Korrektur von bei der Übermittlung von Daten über einen Kanal (wozu auch das Speichern von Daten in sowie das Auslesen von Daten aus einem Speicher zählen kann) aufgetretenen Datenfehlern sind insbesondere aus dem Bereich der nachrichtentechnischen Kanalcodierung bekannt. Diese Verfahren beruhen darauf, dass den Daten vor ihrer Übermittlung über den Kanal eine aus den Daten generierte Redundanz hinzugefügt wird, mit deren Hilfe empfängerseitig durch Bestimmung und Auswertung eines Prüfwerts aus den empfangenen Daten einschließlich der Redundanz, jedenfalls bis zu einem gewissen Grad, überprüft werden kann, ob die empfangenen Daten den ursprünglich gesendeten Daten entsprechen oder ob bei der Übermittlung zumindest ein Datenfehler, etwa bezüglich eines einzelnen Bits bei einer binären Datendarstellung, aufgetreten ist. Im Falle, dass der Kanal ein Datenspeicher ist oder einen solchen enthält, entspricht das Senden von Daten einem Schreiben der Daten in den Datenspeicher und das Übermitteln von Daten über den Kanal der Kombination aus einem solchen Schreiben von Daten und einem nachfolgenden Auslesen dieser zuvor geschriebenen Daten aus dem Datenspeicher. Ohne dass dies als Beschränkung aufzufassen wäre, kann hier als Beispiel für ein solches ECC-Verfahren das Bose-Chaudhuri-Hocquenghem (BCH)-Verfahren genannt werden, wobei es sich um ein insbesondere Zusammenhang mit der Speicherung und dem Auslesen von Daten aus einem Datenspeicher oft verwendetes Fehlerkorrekturverfahren handelt.
  • Mithilfe des Verfahrens nach dem ersten Aspekt der Erfindung ist es auf schnelle und besonders effiziente Weise möglich, die Integrität (im Sinne von Informationssicherheit) der Konfigurationsdaten einer konfigurierbaren Sensorvorrichtung zu überwachen. Insbesondere ist dies auch auf kostengünstige Weise möglich, da die Überwachung nur eine einmalige Datenübertragung der Konfigurationsdaten von der Datenquelle erfordert, wozu auch eine schmalbandige und daher kostengünstige Kommunikationsverbindung, beispielsweise eine auf das zur leitungsgebundenen Datenübermittlung erforderliche Minimum beschränkte „1-Draht“-Verbindung, genutzt werden kann. Auch kann - anders als bei bekannten konfigurierbaren Sensorvorrichtungen, bei denen langsamere und komplexere und somit in aller Regel teurere Speicherarten, insbesondere nichtflüchtige Speicher (NVM), wie etwa Flashspeicher, zum Einsatz kommen - auf solche verzichtet werden, da bei dem Verfahren nur ein flüchtiger Speicher benötigt wird.
  • Zudem ist eine Übermittlung von Informationen zur Datenquelle oder einer anderen Kommunikationsgegenseite nur dann erforderlich, wenn im Rahmen der Überwachung ein Datenfehler detektiert wurde. Das Verfahren ermöglicht es somit, die Konfiguration der Sensorvorrichtung dynamisch zu verändern, ohne dass dazu verschiedene Sätze von Konfigurationsparametern im Datenspeicher gleichzeitig vorgehalten werden müssten. Auch deshalb kann die Größe des Datenspeichers, die ebenso kostenrelevant ist, geringgehalten werden. Zugleich ermöglicht die vorgeschlagene Lösung mittels der durch sie bewirkten Überwachung der im flüchtigen Speicher abgelegten Konfigurationsdaten die Erreichung und Einhaltung erforderlicher Sicherheit- und Zuverlässigkeitsniveaus, da möglicherweise sicherheitsrelevante fehlerhafte Konfigurationen der überwachten Sensorvorrichtung, insbesondere vor deren weiteren Einsatz (dessen Anforderung insbesondere als Triggerereignis definiert werden kann) erkannt und darauf reagiert werden kann.
  • Nachfolgend werden bevorzugte Ausführungsformen des Verfahrens beschrieben, die jeweils, soweit dies nicht ausdrücklich ausgeschlossen wird oder technisch unmöglich ist, beliebig miteinander sowie mit den weiteren beschriebenen anderen Aspekten der Erfindung kombiniert werden können.
  • Bei einigen Ausführungsformen erfolgt das Lesen der von der Datenquelle im Datenspeicher abgelegten Konfigurationsdaten zumindest teilweise aus einem ersten definierten physischen Speicherbereich des Datenspeichers. Zudem erfolgt das Ablegen des initialen Prüfwerts in einen von dem ersten Speicherbereich funktional entkoppelten, zweiten physischen Speicherbereich des Datenspeichers. Auf diese Weise wird die Wahrscheinlichkeit dafür verringert, dass sowohl die Konfigurationsdaten, als auch der initialen Prüfwert (oder gegebenenfalls mehrere initiale Prüfwerte) zugleich korrumpiert werden, etwa durch einen Teilausfall oder eine Fehlfunktion des Datenspeichers selbst oder durch einen nur lokal in Datenspeicher wirkenden externen Einfluss, etwa eine Wärme- oder Strahlungseinwirkung auf einzelne Teilbereiche des Speichers. Die verschiedenen voneinander im Sinne der Erfindung „entkoppelten“ physischen Speicherbereiche können insbesondere durch verschiedene physische Speicherblöcke, Sektoren oder Seiten (engl. pages) des in solche Speichereinheiten untergliederten Datenspeichers definiert sein, so dass ein Defekt speziell im ersten Speicherbereich die Funktion des zweiten Speicherbereichs nicht beeinträchtigt, und umgekehrt.
  • Bei einigen Ausführungsformen erfolgt das Lesen der Konfigurationsdaten blockweise bezüglich separater Datenblöcke. Ebenso erfolgt das Berechnen eines initialen Prüfwerts blockweise auf Basis dieser einzelnen Datenblöcke, wobei aus jedem dieser Datenblöcke ein zugehöriger initialer Prüfwert berechnet und separat adressierbar in dem Datenspeicher abgelegt wird. Das Bestimmen und Bereitstellen des Überwachungsergebnisses erfolgt ebenso blockweise auf Basis dieser einzelnen Datenblöcke, wobei für jeden der im Datenspeicher abgelegten Datenblöcke ein zugehöriger Prüfwert aus diesem jeweiligen Datenblock gemäß dem Fehlererkennungscodierungsverfahren neu berechnet wird und dieser neu berechneten Prüfwert mit dem korrespondierenden, zuvor in dem Datenspeicher abgelegten initialen Prüfwert verglichen und ein dem Datenblock zugeordnetes individuelles Überwachungsergebnis in Abhängigkeit vom Ergebnis dieses Vergleichs bestimmt und bereitgestellt wird.
  • Diese Behandlung der Konfigurationsdaten auf Datenblockbasis kann eine Reihe verschiedener Vorteile mit sich bringen. So ist es beispielsweise möglich, die Konfigurationsdaten nur datenblockweise zu ändern, wenn die Konfiguration modifiziert werden soll, was einen geringeren Umfang der dazu erforderlichen Datenübertragung von der Datenquelle und somit sowohl einen Geschwindigkeitsgewinn als auch einen Sicherheitsgewinn mit sich bringen kann, da nicht mehr der gesamte Satz an Konfigurationsdaten übermittelt und gespeichert werden muss. Auch lässt sich so die Wahrscheinlichkeit für das Auftreten eines Datenfehlers in den im Datenspeicher abgelegten Daten reduzieren. Des Weiteren kann auch die Überwachung auf Datenblockbasis durchgeführt werden, sodass insbesondere anwendungsabhängig nur solche Datenblöcke überwacht werden, die beispielsweise für einen gerade eingesetzten oder einen demnächst vorgesehenen Betriebsmodus relevant sind. Auch kann entsprechend das Fehlererkennungscodierungsverfahren auf Datenblockbasis durchgeführt werden, wodurch sich in bestimmten Anwendungsfällen oder bei nur selektiven Modifikationen der Konfigurationsdaten auf Datenblockbasis nicht erforderliche (De-)Codierungsberechnungen bezüglich anderer Datenblöcke vermeiden lassen. Zudem lässt sich das Verhältnis aus Nutzdaten (d. h. Konfigurationsdaten) und Redundanzinformationen auf Datenblockbasis individuell einstellen. So ist es etwa möglich, dass bei Datenblöcken, die besonders sicherheitsrelevanten Betriebsmodi zugeordnet sind, die Redundanzinformationen im Verhältnis zu den Konfigurationsdaten einen größeren Anteil einnehmen, um eine erhöhte Sicherheit und gegebenenfalls Fehlerkorrekturfähigkeit zu erreichen, während dies bei anderen Datenblöcken, die zu weniger sicherheitskritischen Betriebsmodi korrespondieren, andersherum sein kann, wodurch sich dann komplexere Konfigurationen auf Basis eines größeren Anteils an Konfigurationsdaten erreichen lassen.
  • Bei einigen Ausführungsformen umfasst das vorbestimmte Fehlererkennungscodierungsverfahren zumindest für einen der Prüfwerte eine zyklische Redundanzprüfung, CRC. Die Verwendung von CRC stellt eine besonders effiziente und skalierbare Möglichkeit zur Implementierung eines Fehlererkennungscodierverfahrens und sogar eines ECC-Verfahrens dar, die sich insbesondere durch geringen Berechnungsaufwand, und somit durch die Möglichkeit einer besonders effizienten und somit auch kostengünstigen und performanten Implementierung auszeichnet. Insbesondere ist die CRC-Codierung besonders für eine hardwarebasierte Implementierung, also etwa mittels einer entsprechenden festverdrahteten Schaltung anstelle eines variabel einsetzbaren Mikroprozessors, geeignet, was insbesondere Kosten-, Raum- und/oder Performanzvorteile mit sich bringen kann.
  • Bei einigen Ausführungsformen weist das Verfahren des Weiteren auf: (i) Empfangen zumindest eines durch die Datenquelle übermittelten abgeleiteten Prüfwerts, der zuvor gemäß dem vorbestimmten Fehlererkennungscodierungsverfahren aus den von der Datenquelle an den Datenspeicher zur Ablage darin übermittelten Konfigurationsdaten abgeleitet wurde; (ii) Vergleichen dieses empfangenen Prüfwerts mit dem korrespondierenden aus den aus dem Datenspeicher gelesenen Konfigurationsdaten berechneten Prüfwerts; und (iii) Feststellen eines Übermittlungsfehlers, wenn bei diesem Vergleich gemäß einem vorbestimmten Prüfkriterium eine Abweichung der dabei verglichenen Prüfwerte auftritt. Auf diese Weise kann die mittels der Überwachung erreichbare Sicherheit und Zuverlässigkeit noch weiter erhöht werden, da nicht nur die bereits im Datenspeicher abgelegten Konfigurationsdaten überwacht werden, sondern bereits zuvor die von der Datenquelle an den Datenspeicher beim Schreiben übermittelten Konfigurationsdaten dahingehend überprüft werden, ob sie fehlerfrei an den Datenspeicher übermittelt und darin abgelegt wurden. Somit wird auch der Fall abgesichert, dass zwar im Datenspeicher selbst keine Fehler bezüglich der darin abgelegten Konfigurationsdaten auftreten, aber diese Konfigurationsdaten bereits zuvor schon während des Übermittlungsvorgangs von der Datenquelle eine fehlerhafte Modifikation erlitten.
  • Darauf aufbauend wird bei einigen Ausführungsformen, wenn ein Übermittlungsfehler festgestellt wird, zumindest einmalig eine Anforderung an die Datenquelle zum erneuten Ablegen der Konfigurationsdaten im Datenspeicher und/oder zur erneuten Übermittlung des zumindest einen abgeleiteten Prüfwerts übermittelt. Auf diese Weise können sich solche Fehler, die typischerweise als sich nicht systematisch wiederholende Einmalfehler auftreten, durch erneute Übermittlung an und Abspeicherung der Konfigurationsdaten im Datenspeicher auf einfache und automatisierte Weise beheben lassen, insbesondere auch während des Verfahrensablaufs selbst, ohne dass dazu ein externer Wartungseingriff oder eine temporäre Deaktivierung der Sensorvorrichtung wären. Sollte der Fehler dagegen neu auftreten, können stattdessen andere Sicherheitsmaßnahmen, wie beispielsweise die genannte Deaktivierung, eingeleitet werden.
  • Bei einigen Ausführungsformen erfolgt das Bereitstellen des Überwachungsergebnisses mittels Ablegen von das Überwachungsergebnis charakterisierenden Überwachungsdaten in dem Datenspeicher. Auf diese Weise kann der Datenspeicher als zumindest Teil eines Kommunikationskanals in Gegenrichtung, beispielsweise mit der Datenquelle oder einer anderen auf das Überwachungsergebnis angewiesenen Funktionseinheit, die auf den Datenspeicher zumindest Lesezugriff hat, als Empfänger verwendet werden. Auf diese Weise kann auf eine zusätzliche, zur Datenübermittlung in dieser Gegenrichtung zu nutzende Kommunikationsverbindung, etwa mittels einer dedizierten Kommunikationsleitung, verzichtet werden, und stattdessen der sowieso schon vorhandene Datenspeicher als Kommunikationskanal genutzt werden, was weitere Effizienzgewinne, insbesondere bezüglich Platzbedarf und Kosten, ermöglicht. Die Überwachungsdaten können insbesondere in Form eines oder mehrerer Statusflags, die bevorzugt jeweils durch ein einzelnes Bit im Datenspeicher repräsentiert werden, im Datenspeicher abgelegt werden, was eine besonders effiziente, vor allem speicherplatzsparende Variante darstellt.
  • Bei einigen Ausführungsformen ist das Triggerereignis durch eines der folgenden oder durch eine Kombination aus zumindest zwei der folgenden bestimmt: (i) eine Anforderung für eine durch die Sensorvorrichtung auszuführende sensorische Messung; (ii) einen Ablauf einer bestimmten Zeitspanne seit dem letzten Triggerereignis oder einer Aktivierung der Sensorvorrichtung; (iii) einen Empfang eines Triggersignals, welches insbesondere von der Datenquelle stammen kann; (iv) einen eine Mehrzahl von Triggerereignissen zeitlich definierenden Zeitplan; (v) ein Auftreten eines vorbestimmten Zustands der Sensorvorrichtung; (vi) ein Auftreten von einem vorbestimmten Triggerkriterium genügenden Messergebnissen beim Durchführen einer sensorischen Messung durch die Sensorvorrichtung. Auf diese Weise ist es je nach Variante möglich, die Überwachung kontinuierlich oder aber nur an vorbestimmten insbesondere sicherheitsrelevanten Zeitpunkten oder beim Auftreten bestimmter Situationen und Zustände auszulösen, und somit eine anwendungsspezifische Konfiguration der Überwachung selbst zu erreichen. Insbesondere kann, wie etwa bei der Variante (i) das Triggerereignis so definiert sein, dass jeder durch die Sensorvorrichtung vorgenommenen Messung zwingend eine Überwachung der Konfigurationsdaten im Datenspeicher unmittelbar vorausgeht, wodurch sich die Sicherheit und Zuverlässigkeit der Sensorvorrichtung optimieren lässt.
  • Bei einigen Ausführungsformen wird in dem Falle, dass das Überwachungsergebnis eine Abweichung des initialen Prüfwerts von dem neuberechneten Prüfwert anzeigt, eine der folgenden Maßnahmen oder eine Kombination aus zumindest zwei dieser Maßnahmen ausgelöst: (i) Überführen der Sensorvorrichtung aus einem Betriebszustand in einen deaktivierten Zustand, in dem sie eine empfangene Anforderung einer durch die Sensorvorrichtung auszuführenden sensorischen Messung nicht befolgt; (ii) Anfordern einer erneuten Initialisierung mittels Übermitteln einer entsprechenden Anforderung an die Datenquelle; (iii) Ausgeben einer Fehlermeldung. Sämtlichen dieser Maßnahmen ist gemein, dass damit in Reaktion auf ein negatives Überwachungsergebnis eine sicherheitsrelevante Reaktion zur Herstellung eines sicheren Zustands initiiert wird, um auch im Fehlerfall die erforderliche Sicherheit zu gewährleisten. Die Fehlermeldung kann insbesondere an einer Datenschnittstelle, wie etwa einer Datenschnittstelle zur Datenquelle, und/oder an einer Mensch-Maschine-Schnittstelle, die nicht selbst Teil der Sensorvorrichtung sein muss, ausgegeben werden.
  • Ein zweiter Aspekt der Erfindung betrifft eine Konfigurationsüberwachungsvorrichtung zur Überwachung der Konfiguration einer konfigurierbaren Sensorvorrichtung, insbesondere einer konfigurierbaren Ultraschallsensorvorrichtung, wobei die Konfigurationsüberwachungsvorrichtung eingerichtet ist, das Verfahren gemäß dem ersten Aspekt auszuführen. Sie kann insbesondere eingerichtet sein, dieses Verfahren gemäß einer oder mehrere der hierin beschriebenen zugehörigen Ausführungsformen auszuführen.
  • Nachfolgend werden bevorzugte Ausführungsformen der Konfigurationsüberwachungsvorrichtung beschrieben, die jeweils, soweit dies nicht ausdrücklich ausgeschlossen wird oder technisch unmöglich ist, beliebig miteinander sowie mit einem oder mehreren der weiteren hierin beschriebenen Aspekten der Erfindung kombiniert werden können.
  • Bei einigen Ausführungsformen ist die Konfigurationsüberwachungsvorrichtung eingerichtet, das vorbestimmte Fehlererkennungscodierungsverfahren sowohl zur verfahrensgemäßen Überwachung der Konfiguration einer konfigurierbaren Sensorvorrichtung als auch zur darüberhinausgehenden Absicherung einer Kommunikationsverbindung mit der Datenquelle und/oder einer weiteren Kommunikationsgegenseite zu nutzen. Auf diese Weise lässt sich eine bereits vorhandene Implementierung des Fehlererkennung Codierungsverfahrens, beispielsweise in Software und/oder Hardware auf doppelte Weise nutzen („dual-use“), sodass sich weitere Effizienzgewinne, insbesondere wiederum unter Platz- und Kostengesichtspunkten, erzielen lassen, während zugleich die Sicherung der Datenübermittlung über die Kommunikationsverbindung als auch die Überwachung der im Datenspeicher abgelegten Konfigurationsdaten erreicht wird.
  • Bei einigen Ausführungsformen ist die Konfigurationsüberwachungsvorrichtung als eine integrierte Einheit, insbesondere als eine integrierte Schaltung (IC), beispielsweise als applikationsspezifischer IC (ASIC) ausgebildet. Dies ermöglicht eine besonders Platz- und kostensparende, und somit effiziente Implementierung, die insbesondere eine Integration der Vorrichtung in eine auch einen oder mehrere Sensoren aufweisende Sensorvorrichtung, die anspruchsvollen Größenlimitierungen unterworfen ist, ermöglicht.
  • Ein dritter Aspekt der Erfindung betrifft eine konfigurierbare Sensorvorrichtung, aufweisend: (i) zumindest einen mittels in einem flüchtigen Datenspeicher vorgehaltenen Konfigurationsdaten konfigurierbaren Sensor und (ii) eine Konfigurationsüberwachungsvorrichtung nach dem zweiten Aspekt der Erfindung zur Überwachung der mittels der vorgehaltenen Konfigurationsdaten bewirkten Konfiguration. Auf diese Weise lässt sich eine besonders hohe Integration und somit insbesondere eine hohe Raumeffizienz erreichen, indem die Sensorvorrichtung neben dem zumindest einen Sensor auch die zur Durchführung des Verfahrens erforderliche Konfigurationsüberwachungsvorrichtung selbst enthält. Die Sensorvorrichtung kann insbesondere als integrierte Einheit ausgebildet sein, etwa als im Ganzen verbaubares Sensormodul.
  • In einigen Ausführungsformen kann zusätzlich auch die Datenquelle, bei der es sich insbesondere um eine Steuergerät (ECU) handeln kann, Teil der Sensorvorrichtung sein und insbesondere ebenfalls Teil der genannten integrierten Einheit sein.
  • Ein vierter Aspekt der Erfindung betrifft schließlich ein Computerprogram, aufweisend Anweisungen, die bei ihrer Ausführung auf einer Konfigurationsüberwachungsvorrichtung nach dem zweiten Aspekt bzw. einer Sensorvorrichtung nach dem dritten Aspekt, diese veranlassen, das Verfahren nach dem ersten Aspekt der Erfindung auszuführen. Das Computerprogramm kann insbesondere auf einem nichtflüchtigen Datenträger gespeichert sein. Bevorzugt ist dies ein Datenträger in Form eines optischen Datenträgers oder eines Flashspeichermoduls. Dies kann vorteilhaft sein, wenn das Computerprogramm als solches unabhängig von einer Prozessorplattform gehandelt werden soll, auf der das ein bzw. die mehreren Programme auszuführen sind. In einer anderen Implementierung kann das Computerprogramm als eine Datei auf einer Datenverarbeitungseinheit, insbesondere auf einem Server vorliegen, und über eine Datenverbindung, beispielsweise das Internet oder eine dedizierte Datenverbindung, wie etwa ein proprietäres oder lokales Netzwerk, herunterladbar sein. In anderen Ausführungsformen ist das Computerprogram fest in der Konfigurationsüberwachungsvorrichtung integriert und beispielsweise in einem Nur-Lese-Speicher (ROM) oder nur einmal programmierbaren Speicher (OTP) abgelegt Datenspeicher abgelegt. Zudem kann das Computerprogramm eine Mehrzahl von zusammenwirkenden einzelnen Programmodulen aufweisen.
  • Die in Bezug auf den ersten Aspekt der Erfindung erläuterten Merkmale und Vorteile gelten entsprechend auch für die weiteren Aspekte der Erfindung.
  • Weitere Vorteile, Merkmale und Anwendungsmöglichkeiten der vorliegenden Erfindung ergeben sich aus der nachfolgenden detaillierten Beschreibung im Zusammenhang mit den Figuren.
  • Dabei zeigen
    • 1 in schematischer Blockbilddarstellung und in verschiedenen Integrationsgraden ein konfigurierbares Sensorsystem mit einem Steuergerät, einem flüchtigen Datenspeicher, einer durch in dem Datenspeicher abgelegte Konfigurationsdaten konfigurierbare Sensoranordnung sowie eine Konfigurationsüberwachungsvorrichtung zur Überwachung der in dem Datenspeicher abgelegten Konfigurationsdaten, gemäß einer Ausführungsform der Erfindung; und
    • die 2 bis 4 unter Bezugnahme auf das Sensorsystem aus 1 eine schematische Illustration eines Verfahrens gemäß einer Ausführungsform der Erfindung.
  • In den Figuren werden durchgängig dieselben Bezugszeichen für dieselben oder einander entsprechenden Elemente der Erfindung verwendet.
  • Das in 1 dargestellte Sensorsystem 1 weist eine Sensoranordnung 4 mit zumindest einem Sensor auf. Bei dem bzw. den Sensoren kann es sich insbesondere um eine Ultraschallsensoranordnung für ein Kraftfahrzeug, etwa für ein Abstandsmessungssystem, insbesondere Parkhilfesystem, handeln. Des Weiteren weist das Sensorsystem 1 einen flüchtigen Datenspeicher 5, insbesondere vom RAM-Typ, auf, der unter anderem dazu vorgesehen ist, Konfigurationsdaten abzuspeichern, mit deren Hilfe die Funktionalität und/oder andere Eigenschaften der Sensoranordnung 4 konfiguriert werden können. Insbesondere können die Konfigurationsdaten im Falle einer zumindest einen Ultraschallsensor aufweisenden Sensoranordnung 4 verschiedene Profile für die Erzeugung von akustischen Signalen durch die Sensoranordnung definieren. So könnte in einem einfachen Fall ein erstes Profil dazu dienen, eine erste Funktionalität der Sensoranordnung 4 zu definieren, bei dem diese zum Zwecke einer Laufzeiterfassung, und darauf beruhend einer Abstandsmessung Ultraschallsignale aussendet und deren Reflexionen an Objekten, erfasst. Ein alternatives zweites Profil könnte dann beispielsweise die Sensoranordnung 4 so konfigurieren, dass sie bei ihrer Aktivierung akustische Signale im für den Menschen oder bestimmte Tiere hörbaren Bereich aussendet, etwa um Warnsignale zu erzeugen.
  • Der Datenspeicher 5 weist zwei oder mehr verschiedene Speicherbereiche 5a, 5b auf, die auf solche Weise unabhängig voneinander ausgebildet bzw. so entkoppelt sind, dass eine Störung des einen Speicherbereichs nicht, jedenfalls nicht zwangsläufig und auch in der Regel nicht, zu einem Versagen des bzw. weiteren Speicherbereiche führt, sodass in diesem Sinne eine Unabhängigkeit der Speicherbereiche voneinander besteht. Das bedeutet insbesondere, dass wenn es in einem der Speicherbereiche zu Datenverlusten oder Datenmodifikationen kommt, die in dem bzw. den anderen Speicherbereichen abgelegten Daten dadurch in der Regel nicht beeinträchtigt werden. Jeder der Speicherbereiche ist separat, d. h. unabhängig von dem jeweils anderen Speicherbereichen im Sinne eines Lese-und Schreibzugriffs adressierbar. Ein erster Speicherbereich 5a ist im vorliegenden Beispiel dazu vorgesehen, eine Mehrzahl N von Konfigurationsdatenblöcken CDB -1 bis CDB-N abzuspeichern, die zusammen Konfigurationsdaten zur Konfiguration der Funktionalität der Sensoranordnung 4 repräsentieren.
  • Das Sensorsystem 1 weist außerdem eine Datenquelle 6 für die Konfigurationsdaten auf, welche insbesondere in Form eines Steuergeräts (ECU), insbesondere als ein Steuergerät für ein Kraftfahrzeug, ausgebildet sein kann. In seiner Grundform ist das Sensorsystem 1 aus mehreren diskreten Komponenten aufgebaut, wobei insbesondere die Konfigurationsüberwachungsvorrichtung 3, die Sensoranordnung 4, der nichtflüchtige Speicher 5 sowie die Datenquelle 6 jeweils schon als solche integrierte Komponente bzw. Einheiten ausgebildet sein können. Alternativ können jedoch auch demgegenüber höhere Integrationsgrade vorliegen. Insbesondere kann das Sensorsystem 1 eine konfigurierbare Sensorvorrichtung aufweisen, die in Baueinheit in einem ersten Integrationsgrad 2a bereits die Konfigurationsüberwachungsvorrichtung 3 sowie Sensoranordnung 4 enthält und beispielsweise als Modul ausgebildet sein kann. In einem dazu alternativen, zweiten Integrationsgrad 2b, weist die konfigurierbare Sensorvorrichtung in Baueinheit zusätzlich auch noch den flüchtigen Datenspeicher 5 auf. In einem noch weitergehenden Integrationsgrad 2c weist die konfigurierbare Sensorvorrichtung zudem noch die Datenquelle 6 auf, sodass die Sensorvorrichtung beim Integrationsgrad 2c insbesondere mit dem Sensorsystem 1 zusammenfallen kann. Die in 1 dargestellten Integrationsgrade 2a bis 2c stellen dabei nur besonders zweckmäßige beispielhafte Möglichkeiten zur Ausbildung der Sensorvorrichtung 1 dar, ohne dass dies als Beschränkung darauf zu verstehen ist.
  • Die vorgenannten einzelnen Bestandteile 3 bis 6 des Sensorsystems 1 sind, wie in 1 dargestellt, auf verschiedene Weise über Kommunikationsverbindungen miteinander verbunden. Dabei ist die Datenquelle 6 zumindest über einen Schreibzugriff W mit dem Datenspeicher 5 verbunden, sodass sie Konfigurationsdaten, insbesondere in Form der vorgenannten Konfigurationsdatenblöcke CDB, in den Datenspeicher 5, insbesondere in dessen ersten Speicherbereich 5a, schreiben kann. Des Weiteren verfügt die Datenquelle 6 über einen Lesezugriff R auf den Datenspeicher 5, insbesondere einen anderen Speicherbereich, der wahlweise auch dem zweiten Speicherbereich 5b entsprechen kann, um darin abgelegte Diagnoseinformationen SF auslesen zu können. Die Diagnoseinformationen SF können dabei insbesondere als zu den Konfigurationsdatenblöcken CDB-1 bis CDB-N korrespondierende Dateneinheiten SF-1 bis SF-N, bei denen es sich in einfachster Form jeweils um ein einzelnes Bit (Bitflag) handeln kann, definiert sein.
  • Die Konfigurationsüberwachungsvorrichtung 3 hat ebenso Lesezugriff R auf den Datenspeicher 5, insbesondere auch auf seinen ersten Speicherbereich 5a für die Konfigurationsdaten CDB. Zudem hat sie einen Schreib/Lesezugriff R/W zumindest auf den zweiten Speicherbereich 5b, der insbesondere (auch) dazu vorgesehen ist, von der Konfigurationsüberwachungsvorrichtung 3 aus den Konfigurationsdaten CDB berechnete CRC-Codes abzuspeichern. Die CRC-Codes können dabei wiederum entsprechend den Diagnoseinformationen SF, als zu den Konfigurationsdatenblöcken CDB-1 bis CDB-N korrespondierende Dateneinheiten CRC-1 bis CRC-N definiert sein. Zudem hat die Konfigurationsüberwachungsvorrichtung 3 zumindest Schreibzugriff W auf denjenigen Speicherbereich des Datenspeichers 5, beispielsweise den Speicherbereich 5b, in den die Diagnoseinformationen SF von ihr zu schreiben sind.
  • Zusätzlich sind weitere, typischerweise - ohne jedoch darauf beschränkt zu sein - leitungsgebundene, Kommunikationsverbindungen im Sensorsystem 1 vorgesehen. Dazu gehört eine erste Kommunikationsverbindung zwischen der Datenquelle 6 und der Konfigurationsüberwachungsvorrichtung 3, über welche die Datenquelle 6 Informationen, insbesondere Update-Nachrichten bzw. -signale UM1 bzw. UM2 an die Konfigurationsüberwachungsvorrichtung 3 übermitteln kann. Auch zwischen der Sensoranordnung 4 und der Konfigurationsüberwachungsvorrichtung 3 kann, wie dargestellt, eine ähnliche Kommunikationsverbindung bestehen, über die insbesondere eine weitere Update-Nachrichten bzw. -signale UM3 von der Sensoranordnung 4 an die Konfigurationsüberwachungsvorrichtung 3 übermittelt werden können. Schließlich kann eine weitere Kommunikationsverbindung zwischen der Datenquelle 6 und der Sensoranordnung 4 bestehen, über die insbesondere von der Datenquelle 6 ausgehende Messanforderungen MR an die Sensoranordnung 4 übermittelt werden können.
  • Unter zusätzlicher Bezugnahme auf die weiteren 2 bis 4 wird nun eine Ausführungsform des erfindungsgemäßen Verfahrens anhand des Sensorsystems 1 aus 1 erläutert. Den Kern des Verfahrens bilden dabei die von der Konfigurationsüberwachungsvorrichtung 3 ausgeführten Schritte S1 bis S9. Die von den anderen Komponenten, insbesondere der Datenquelle 6 und der Sensoranordnung 4 ausgeführten Schritte des beschriebenen Verfahrens, gehören zu einem übergeordneten, durch das konfigurierbare Sensorsystem 1 insgesamt ausführbaren Verfahren, das nur dann dem erfindungsgemäßen, durch die Konfigurationsüberwachungsvorrichtung 3 ausführbaren Verfahren entspricht, wenn dem Integrationsgrad 2c entsprechend sämtliche Komponenten des Sensorsystems 1 zugleich zur Konfigurationsüberwachungsvorrichtung 3 gehören.
  • Das durch das Sensorsystem 1 ausführbare Verfahren weist eine, in den 2 und 3 illustrierte, Initialisierungsphase, sowie eine nachfolgende, in 4 illustrierte, Überwachungsphase auf. In einem ersten Abschnitt der Initialisierungsphase, der in 2 dargestellt ist, werden von der Datenquelle 6 in einem Schritt SE-1 neue Konfigurationsdaten in den ersten Speicherbereich des Datenspeichers 5 geschrieben. Wie schon erwähnt, können die Konfigurationsdaten insbesondere blockweise vorliegen. Das Schreiben der Konfigurationsdaten erfolgt insbesondere im Rahmen einer erstmaligen Konfiguration, sowie nachfolgend als Update dazu jedes Mal dann, wenn die Konfigurationsdaten für die Sensoranordnung 4 zumindest teilweise modifiziert werden sollen, etwa um einen anderen Betriebsmodus bzw. ein anderes Funktionsprofil damit zu konfigurieren. Dementsprechend kann sich das Schreiben der Konfigurationsdaten situationsabhängig auch nur auf einen oder eine Untermenge der Datenblöcke CDB-1 bis CDB-N beziehen. So kann es etwa vorkommen, dass verschiedene Konfigurationen sich nur in einzelnen der Datenblöcke unterscheiden, während andere Datenblöcke von beiden gemeinsam genutzt werden. In diesem Fall müssen somit nur die sich unterscheidenden Datenblöcke im Falle einer Neukonfiguration neu geschrieben werden. Die Konfigurationsdatenüberwachungsvorrichtung 3 sowie die Sensoranordnung 4 sind in der Regel an dem Schreiben der Konfigurationsdaten CDB in Schritt SE-1 nicht beteiligt.
  • In einem weiteren Abschnitt der Initialisierungsphase, der in 3 dargestellt ist, sendet die Datenquelle 6 in einem Schritt SE-2 eine Update-Nachricht bzw. ein Update-Signal UM1 an die Konfigurationsüberwachungsvorrichtung 3, und diese darüber zu informieren, dass in dem Datenspeicher 5 neue bzw. geänderte Konfigurationsdaten CDB vorliegen. Optional enthält die Nachricht bzw. das Signal UM1 zusätzlich CRC-Informationen, die zu den seitens der Datenquelle 6 im Schritt SE-1 an den Datenspeicher 5 übermittelten Konfigurationsdaten CDB korrespondieren und seitens der Datenquelle 6 unter Verwendung eines geeigneten CRC-Fehlererkennungscodierungsverfahrens gewonnen wurden. Die Konfigurationsüberwachungsvorrichtung 3 empfängt die Nachricht bzw. das Signal UM1 in einem Schritt S1. In einem weiteren Schritt S2 liest die Konfigurationsüberwachungsvorrichtung 3 die Konfigurationsdaten CDB, insbesondere blockweise, aus dem Datenspeicher 5 aus und berechnet in einem Schritt S3 für jeden der ausgelesenen Konfigurationsdatenblöcke CDB-1 bis CDB-N mit einem dem seitens der Datenquelle 6 zuvor eingesetzten CRC-Fehlererkennungscodierungsverfahren entsprechenden Fehlererkennungscodierungsverfahren einen jeweiligen CRC-Code. In einem weiteren Schritt S4 findet ein blockweiser Vergleich der zueinander korrespondierenden CRCs aus UM1 mit den im Schritt S3 berechneten CRCs statt, wobei in Abhängigkeit von dem jeweiligen Vergleichsergebnis je Block CDB ein dazu korrespondierendes Bitflag aus der Menge der die Diagnoseinformationen repräsentierenden Bitflags SF-1 bis SF-N gesetzt wird. Dabei kann z.B. ein Setzen auf „1“ einen Fehler anzeigen (CRCs des Blocks beim Vergleich in S4 waren unterschiedlich) während ein Setzen auf „0“ Fehlerfreiheit signalisiert, oder umgekehrt.
  • Zumindest dann, wenn sich bei dem Vergleich im Schritt S4 keine Fehler ergeben haben, sondern jeder CRC aus UM1 mit seinem dazu korrespondierenden CRC aus der Berechnung im Schritt S3 übereinstimmt, werden in einem weiteren Schritt S5 von der Konfigurationsüberwachungsvorrichtung 3 die im Schritt S3 berechneten CRCs in den Datenspeicher 5 geschrieben, vorzugsweise in den zweiten Speicherbereich 5b oder einen (nicht dargestellten) dritten, von den Speicherbereichen 5a und 5b verschiedenen Speicherbereich des Datenspeichers 5.
  • Anschließend kann die Datenquelle 6 in einem Schritt SE 3 die gesetzten Bitflags (Diagnoseinformationen) per Lesezugriff R auf den entsprechenden Speicherbereich des Datenspeichers 5 auslesen. Falls dabei anhand der Diagnoseinformationen das Auftreten eines Fehlers erkannt wird, d. h. wenn zumindest eines der Bitflags entsprechend gesetzt ist, kann die Datenquelle in einem weiteren Schritt SE-4 angemessen darauf reagieren. Insbesondere kann sie wahlweise erneut die Initialisierung durchführen, indem sie zum Schritt SE 1 (vgl. 2) des Verfahrens zurückspringt. Alternativ oder zusätzlich dazu kann sie beispielsweise auch das Ausgeben einer Fehlermeldung, etwa an einer Mensch-Maschine-Schnittstelle veranlassen und/oder entsprechende Diagnoseinformationen in einem Diagnosedatenspeicher eines übergeordneten Systems, beispielsweise eines Kraftfahrzeugs
    oder eines Subsystems davon, ablegen.
  • Nachdem die in den 2 und 3 beschriebene Initialisierungsphase abgeschlossen ist, kann die eigentliche Überwachungsphase beginnen, die nun unter Bezugnahme auf 4 beschrieben wird. Sie kann insbesondere mittels eines Triggerereignisses eingeleitet werden, welches etwa, wie in 4 dargestellt, eine Messanforderungsnachricht MR zur Vornahme einer Messung durch die Sensoranordnung 4 sein kann. Die Messanforderungsnachricht MR wird von der Datenquelle 6 an die Sensoranordnung 4 übermittelt und löst dort eine Übermittlung (Schritt SS1) einer von der Sensoranordnung 4 an die Konfigurationsüberwachungsvorrichtung 3 gerichteten Update-Nachricht UM3 aus. Zusätzlich oder alternativ dazu, kann im Schritt SE5 als Triggerereignis auch eine von der Datenquelle 6 an die Konfigurationsüberwachungsvorrichtung 3 gerichtete Update-Nachricht UM2 übermittelt werden.
  • Die Konfigurationsüberwachungsvorrichtung 3 empfängt die Nachricht UM2 bzw. UM3 in einem Schritt S6, liest daraufhin in einem Schritt S7 die in den Datenspeicher 5 in dessen ersten Speicherbereich 5a abgelegten Konfigurationsdaten CDB aus und berechnet blockweise jeweils wieder den CRC dazu. In einem Schritt S8 werden die bereits während der Initialisierungsphase in dem zweiten Speicherbereich 5b des Datenspeichers 5 abgelegten CRCs ausgelesen und im Schritt S9 blockweise mit den im Schritt S7 berechneten CRCs verglichen. Auf gleiche Weise wie zuvor in der Initialisierungsphase werden sodann in Abhängigkeit von dem Vergleich die Diagnoseinformationen in Form der Bitflags SF im Datenspeicher 5 gesetzt. Die Datenquelle 6 liest sodann in einem Schritt SE6 die gesetzten Diagnoseinformationen SF aus dem Datenspeicher aus und gibt in dem Fall, dass zumindest eines der Bitflags einen Fehler anzeigt, eine Fehlermeldung aus, beispielsweise an einer Mensch-Maschine Schnittstelle. Zusätzlich, oder alternativ kann sie in diesem Fall auch über eine entsprechende Ansteuerung der Sensoranordnung 4, direkt oder indirekt über die Konfigurationsüberwachungsvorrichtung 3, die Sensoranordnung 4 in einen deaktivierten Zustand versetzen, um eine weitere, möglicherweise fehlerhafte, Verwendung der Sensoranordnung 4 entsprechend zu blockieren. Ein solcher Fehler kann insbesondere dadurch aufgetreten sein, dass die in dem Datenspeicher 5 abgelegten Konfigurationsdaten beeinträchtigt oder gar gelöscht wurden, beispielsweise durch temporären Ausfall der Stromversorgung des Datenspeichers 5, insbesondere seines ersten Speicherbereichs 5a, eine Fehlfunktion des ersten Speicherbereichs 5a, oder durch externe Einflüsse, wie etwa übermäßigen Wärmeeintrag oder Einflüsse einer externen Strahlenquelle.
  • Das hier vorgestellte Verfahren ist somit geeignet, an den im Datenspeicher 5 abgelegten Konfigurationsdaten aufgetretene Fehler auf effiziente Weise zu erkennen. Insbesondere kann die in der Konfigurationsüberwachungsvorrichtung 3 vorzusehende Funktion zur CRC-Berechnung nicht nur zum Zwecke der Überprüfung der Konfigurationsdaten CDB verwendet werden, sondern vielmehr auch zu Absicherung, im Sinne einer Kanalcodierung, jeglicher anderer Kommunikation, sei es mit der Datenquelle 6, der Sensoranordnung 4 oder einer beliebigen anderen Kommunikationsgegenseite (Dual-Use).
  • Das durch die Konfigurationsüberwachungsvorrichtung 3 auszuführende Verfahren kann in dieser insbesondere mittels einer hartverdrahteten Schaltung ausgeführt sein, oder aber, zumindest teilweise, mittels eines Computerprogramms, das entweder in der Konfigurationsüberwachungsvorrichtung 3 selbst, beispielsweise in einem (kostengünstigen) Nur-Lese-Speicher (ROM) oder einem nur einmalig zu beschreibenden Speicher (engl. one time programmable memory, OTP), oder aber in einem dazu externen Speicher, der in einigen Ausführungsformen insbesondere dem Datenspeicher 5 entsprechen kann, abgelegt ist.
  • Während vorausgehend wenigstens eine beispielhafte Ausführungsform beschrieben wurde, ist zu bemerken, dass eine große Anzahl von Variationen dazu existiert. Es ist dabei auch zu beachten, dass die beschriebenen beispielhaften Ausführungsformen nur nichtlimitierende Beispiele darstellen, und es nicht beabsichtigt ist, dadurch den Umfang, die Anwendbarkeit oder die Konfiguration der hier beschriebenen Vorrichtungen und Verfahren zu beschränken. Vielmehr wird die vorausgehende Beschreibung dem Fachmann eine Anleitung zur Implementierung mindestens einer beispielhaften Ausführungsform liefern, wobei sich versteht, dass verschiedene Änderungen in der Funktionsweise und der Anordnung der in einer beispielhaften Ausführungsform beschriebenen Elemente vorgenommen werden können, ohne dass dabei von dem in den angehängten Ansprüchen jeweils festgelegten Gegenstand sowie seinen rechtlichen Äquivalenten abgewichen wird.
  • Bezugszeichenliste
    • 1
    konfigurierbares Sensorsystem
    2a - 2c
    verschiedene Integrationsgrade der Sensorvorrichtung des Sensorsystems
    3
    Konfigurationsüberwachungsvorrichtung, insbesondere ASIC
    4
    Sensoranordnung, mit zumindest einem Sensor
    5
    flüchtiger Datenspeicher, insbesondere RAM
    5a
    erster Speicherbereich, für Konfigurationsdaten
    5b
    zweiter Speicherbereich, für CRC und SF
    6
    Steuergerät, ECU
    W
    (zumindest) Schreibzugriff
    R
    (zumindest) Lesezugriff
    W/R
    Schreib-/Lese-Zugriff
    UM1-UM3
    Update-Nachrichten bzw. -signale
    MR
    Messanforderungsnachricht bzw. - signal

Claims (14)

  1. Verfahren zur Überwachung der Konfiguration einer konfigurierbaren Sensorvorrichtung (3, 4), insbesondere einer konfigurierbaren Ultraschallsensorvorrichtung, wobei das Verfahren aufweist: Lesen (S2) von durch eine Datenquelle (6) in einem flüchtigen Datenspeicher (5) abgelegten Konfigurationsdaten (CDB) zur Konfiguration der Sensorvorrichtung; Berechnen (S3) zumindest eines initialen Prüfwerts (CRC) gemäß einem vorbestimmten Fehlererkennungscodierungsverfahren aus den gelesenen Konfigurationsdaten (CDB) und Ablegen (S5) des zumindest einen initialen Prüfwerts (CRC) in dem Datenspeicher (5); und Detektieren (S6) eines Auftretens eines vorbestimmten Triggerereignisses (UM2, UM3) und in Reaktion darauf: - Neuberechnen (S7) des zumindest einen Prüfwerts (CRC) aus den in dem Datenspeicher (5) abgelegten Konfigurationsdaten (CDB) gemäß dem Fehlererkennungscodierungsverfahren, - Vergleichen (S9) des dabei neu berechneten zumindest einen Prüfwerts (CRC) mit dem jeweils korrespondierenden zuvor in dem Datenspeicher (5) abgelegten initialen Prüfwert (CRC) zur Bestimmung eines Überwachungsergebnisses (SF) in Abhängigkeit vom Ergebnis des Vergleichs, und - Bereitstellen des Überwachungsergebnisses (SF).
  2. Verfahren nach Anspruch 1, wobei: das Lesen (S2; S7)der von der Datenquelle (6) im Datenspeicher (S5) abgelegten Konfigurationsdaten (CDB) zumindest teilweise aus einem ersten definierten physischen Speicherbereich (5a) des Datenspeichers (5) erfolgt; und das Ablegen (S5) des initialen Prüfwerts (CRC) in einen von dem ersten Speicherbereich (5a) funktional entkoppelten, zweiten physischen Speicherbereich (5b) des Datenspeichers (5) erfolgt.
  3. Verfahren nach einem der vorausgehenden Ansprüche, wobei: das Lesen (S2) der Konfigurationsdaten (CDB) blockweise bezüglich separater Datenblöcke (CDB-1,...,CDB-N) erfolgt; das Berechnen (S3) eines initialen Prüfwerts (CRC) blockweise auf Basis dieser einzelnen Datenblöcke (CDB-1,...,CDB-N) erfolgt, wobei aus jedem dieser Datenblöcke (CDB-1,...,CDB-N) ein zugehöriger initialer Prüfwert (CRC-1,...,CRC-N) berechnet und separat adressierbar in dem Datenspeicher (5) abgelegt wird; und das Bestimmen und Bereitstellen (S7 bis S9) des Überwachungsergebnisses (SF-1,..., SF-N) ebenso blockweise auf Basis dieser einzelnen Datenblöcke (CDB-1,...,CDB-N) erfolgt, wobei für jeden der im Datenspeicher (5) abgelegten Datenblöcke ein zugehöriger Prüfwert aus diesem jeweiligen Datenblock (CDB-1,...,CDB-N) gemäß dem Fehlererkennungscodierungsverfahren neu berechnet wird und dieser neu berechneten Prüfwert mit dem korrespondierenden zuvor in dem Datenspeicher abgelegten initialen Prüfwert (CRC-1,...,CRC-N) verglichen und ein dem Datenblock (CDB-1,...,CDB-N) zugeordnetes individuelles Überwachungsergebnis (SF-1,..., SF-N) in Abhängigkeit vom Ergebnis dieses Vergleichs bestimmt und bereitgestellt wird.
  4. Verfahren nach einem der vorausgehenden Ansprüche, wobei das vorbestimmte Fehlererkennungscodierungsverfahren zumindest für einen der Prüfwerte (SF; SF-1,...,SF-N) eine zyklische Redundanzprüfung, CRC, umfasst;
  5. Verfahren nach einem der vorausgehenden Ansprüche, des Weiteren aufweisend: Empfangen (S1) zumindest eines durch die Datenquelle (6) übermittelten abgeleiteten Prüfwerts, der zuvor gemäß dem vorbestimmten Fehlererkennungscodierungsverfahren aus den von der Datenquelle (6) an den Datenspeicher (5) zur Ablage darin übermittelten Konfigurationsdaten (CDB) abgeleitet wurde; Vergleichen (S4) dieses empfangenen Prüfwerts mit dem korrespondierenden aus den aus dem Datenspeicher (6) gelesenen Konfigurationsdaten (CDB) berechneten Prüfwert; und Feststellen eines Übermittlungsfehlers, wenn bei diesem Vergleich (S4) gemäß einem vorbestimmten Prüfkriterium eine Abweichung der dabei verglichenen Prüfwerte auftritt.
  6. Verfahren nach Anspruch 5, des Weiteren aufweisend: wenn ein Übermittlungsfehler festgestellt wird, zumindest einmaliges Übermitteln einer Anforderung (SF) an die Datenquelle (6) zum erneuten Ablegen (SE-1) der Konfigurationsdaten im Datenspeicher (5) und/oder zur erneuten Übermittlung (UM1) des zumindest einen abgeleiteten Prüfwerts.
  7. Verfahren nach einem der vorausgehenden Ansprüche, wobei das Bereitstellen (S9) des Überwachungsergebnisses (SF) mittels Ablegen von das Überwachungsergebnis (SF) charakterisierenden Überwachungsdaten (SF-1,...,SF-N) in dem Datenspeicher (5) erfolgt.
  8. Verfahren nach einem der vorausgehenden Ansprüche, wobei das Triggerereignis durch eines der folgenden oder durch eine Kombination aus zumindest zwei der folgenden bestimmt ist: - eine Anforderung für eine durch die Sensorvorrichtung auszuführende sensorische Messung (MR, UM3); - einen Ablauf einer bestimmten Zeitspanne seit dem letzten Triggerereignis oder einer Aktivierung der Sensorvorrichtung; - einen Empfang eines Triggersignals (UM2); - einen Zeitplan; - ein Auftreten eines vorbestimmten Zustands der Sensorvorrichtung; - ein Auftreten von einem vorbestimmten Triggerkriterium genügenden Messergebnissen beim Durchführen einer sensorischen Messung durch die Sensorvorrichtung.
  9. Verfahren nach einem der vorausgehenden Ansprüche, wobei im Falle, dass das Überwachungsergebnis (SF) eine Abweichung des initialen Prüfwerts (CRC) von dem neuberechneten Prüfwert anzeigt, eine der folgenden Maßnahmen oder eine Kombination aus zumindest zwei dieser Maßnahmen ausgelöst wird: - Überführen der Sensorvorrichtung aus einem Betriebszustand in einen deaktivierten Zustand, in dem sie eine empfangene Anforderung einer durch die Sensorvorrichtung auszuführenden sensorischen Messung nicht befolgt; - Anfordern einer erneuten Initialisierung mittels Übermitteln einer entsprechenden Anforderung (SF) an die Datenquelle (&) ; - Ausgeben einer Fehlermeldung.
  10. Konfigurationsüberwachungsvorrichtung (3; 2a-c) zur Überwachung der Konfiguration einer konfigurierbaren Sensorvorrichtung (3,4), insbesondere einer konfigurierbaren Ultraschallsensorvorrichtung, wobei die Konfigurationsüberwachungsvorrichtung (3; 2a-c) eingerichtet, ist das Verfahren gemäß einem der vorausgehenden Ansprüche auszuführen.
  11. Konfigurationsüberwachungsvorrichtung (3; 2a-c) nach Anspruch 10, wobei die Konfigurationsüberwachungsvorrichtung (3; 2a-c) eingerichtet ist, das vorbestimmte Fehlererkennungscodierungsverfahren sowohl zur verfahrensgemäßen Überwachung der Konfiguration einer konfigurierbaren Sensorvorrichtung (3,4; 2a-c) als auch zur darüberhinausgehenden Absicherung einer Kommunikationsverbindung mit der Datenquelle (6) und/oder einer weiteren Kommunikationsgegenseite (4) zu nutzen.
  12. Konfigurationsüberwachungsvorrichtung (3; 2a-c) nach Anspruch 10 oder 11, wobei die Konfigurationsüberwachungsvorrichtung (3; 2a-c) als eine integrierte Einheit, insbesondere als eine integrierte Schaltung ausgebildet ist.
  13. Konfigurierbare Sensorvorrichtung (3,4; 2a-c), aufweisend: zumindest einen mittels in einem flüchtigen Datenspeicher (5) vorgehaltenen Konfigurationsdaten konfigurierbaren Sensor (4); und eine Konfigurationsüberwachungsvorrichtung (3) nach einem der Ansprüche 10 bis 12 zur Überwachung der mittels der vorgehaltenen Konfigurationsdaten bewirkten Konfiguration.
  14. Computerprogram, aufweisend Anweisungen, die bei ihrer Ausführung auf einer Konfigurationsüberwachungsvorrichtung (3) nach einem der Ansprüche 10 bis 12 diese veranlassen, das Verfahren nach einem der Ansprüche 1 bis 9 auszuführen.
DE102018112584.4A 2018-05-25 2018-05-25 Konfigurierbare Sensorvorrichtung und Verfahren zur Überwachung ihrer Konfiguration Withdrawn DE102018112584A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102018112584.4A DE102018112584A1 (de) 2018-05-25 2018-05-25 Konfigurierbare Sensorvorrichtung und Verfahren zur Überwachung ihrer Konfiguration

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102018112584.4A DE102018112584A1 (de) 2018-05-25 2018-05-25 Konfigurierbare Sensorvorrichtung und Verfahren zur Überwachung ihrer Konfiguration

Publications (1)

Publication Number Publication Date
DE102018112584A1 true DE102018112584A1 (de) 2019-11-28

Family

ID=68499164

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102018112584.4A Withdrawn DE102018112584A1 (de) 2018-05-25 2018-05-25 Konfigurierbare Sensorvorrichtung und Verfahren zur Überwachung ihrer Konfiguration

Country Status (1)

Country Link
DE (1) DE102018112584A1 (de)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111220990A (zh) * 2020-01-17 2020-06-02 铁将军汽车电子股份有限公司 障碍物检测方法、超声波传感器的参数配置方法及设备
CN113364555A (zh) * 2020-03-04 2021-09-07 英飞凌科技股份有限公司 设备、用于设备的控制器和通信的方法
DE102023208646A1 (de) 2022-09-08 2024-03-14 Dana Motion Systems Italia S.R.L. Parametrierungsprozess und -system für ein fahrzeug
US12007836B2 (en) 2022-09-08 2024-06-11 Dana Motion Systems Italia S.R.L. Parameterization process and system for a vehicle

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102014218742A1 (de) * 2014-09-18 2016-03-24 Continental Automotive Gmbh Steuergerät für ein Fahrzeug und Verfahren zum Speichern von Daten
DE102016223341A1 (de) * 2016-11-24 2018-05-24 Robert Bosch Gmbh Integrierte Schaltung mit Hardwareprüfeinheit zum Überprüfen von ausgewählten Speicherzugriffen

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102014218742A1 (de) * 2014-09-18 2016-03-24 Continental Automotive Gmbh Steuergerät für ein Fahrzeug und Verfahren zum Speichern von Daten
DE102016223341A1 (de) * 2016-11-24 2018-05-24 Robert Bosch Gmbh Integrierte Schaltung mit Hardwareprüfeinheit zum Überprüfen von ausgewählten Speicherzugriffen

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111220990A (zh) * 2020-01-17 2020-06-02 铁将军汽车电子股份有限公司 障碍物检测方法、超声波传感器的参数配置方法及设备
CN113364555A (zh) * 2020-03-04 2021-09-07 英飞凌科技股份有限公司 设备、用于设备的控制器和通信的方法
DE102023208646A1 (de) 2022-09-08 2024-03-14 Dana Motion Systems Italia S.R.L. Parametrierungsprozess und -system für ein fahrzeug
US12007836B2 (en) 2022-09-08 2024-06-11 Dana Motion Systems Italia S.R.L. Parameterization process and system for a vehicle

Similar Documents

Publication Publication Date Title
EP1802019B1 (de) Erkennung von Fehlern bei der Übermittlung von Daten
EP1046088B1 (de) Elektronische, digitale einrichtung
DE102007042353B4 (de) Verfahren zum Detektieren von Fehlern in einem Fahrzeugsystem einer aktiven Frontlenkung
EP2693278B1 (de) Verfahren zur effizienten Absicherung sicherheitskritischer Funktionen eines Steuergeräts und Steuergerät
DE10152235B4 (de) Verfahren zum Erkennen von Fehlern bei der Datenübertragung innerhalb eines CAN-Controllers und ein CAN-Controller zur Durchführung dieses Verfahrens
DE3702006A1 (de) Speichervorrichtung
DE2225841C3 (de) Verfahren und Anordnung zur systematischen Fehlerprüfung eines monolithischen Halbleiterspeichers
DE102018112584A1 (de) Konfigurierbare Sensorvorrichtung und Verfahren zur Überwachung ihrer Konfiguration
EP2122382B1 (de) Verfahren zum erhöhen der verfügbarkeit eines globalen navigationssystems
DE102017210156A1 (de) Vorrichtung und Verfahren zum Ansteuern eines Fahrzeugmoduls
EP1588380B1 (de) Verfahren zur erkennung und/oder korrektur von speicherzugriffsfehlern und elektronische schaltungsanordnung zur durchführung des verfahrens
WO2017080942A1 (de) Verfahren zum betreiben eines steuergeräts eines kraftfahrzeugs
DE102013021231A1 (de) Verfahren zum Betrieb eines Assistenzsystems eines Fahrzeugs und Fahrzeugsteuergerät
DE102005016801A1 (de) Verfahren und Rechnereinheit zur Fehlererkennung und Fehlerprotokollierung in einem Speicher
EP0922253B1 (de) Fehlererkennung in einem speichersystem
DE102009012887B4 (de) Verfahren zum Prüfen einer nicht korrekten Installation von Fahrzeugsensoren
DE102020203420B4 (de) Verfahren und Vorrichtung zum Rekonfigurieren eines automatisiert fahrenden Fahrzeugs in einem Fehlerfall
DE102006036384A1 (de) Mikroprozessorsystem zur Steuerung bzw. Regelung von zumindest zum Teil sicherheitskritischen Prozessen
DE102005060901A1 (de) Verfahren zur Erkennung einer Versorgungsunterbrechung in einem Datenspeicher und zur Wiederherstellung des Datenspeichers
DE102020203058A1 (de) Automatisierte Zuverlässigkeitsprüfung einer infrastrukturseitigen Überwachungssensorik
DE102020001561A1 (de) Medizingeräteanordnung mit einem Prüfmodul
DE102016208869A1 (de) Verfahren zum Betreiben einer Datenverarbeitungsvorrichtung für ein Fahrzeug
WO2020001824A1 (de) Verfahren, vorrichtung, computerprogramm und computerprogrammprodukt zum codieren eines steuergerätes eines fahrzeuges und zum überprüfen eines steuergerätes eines fahrzeuges
DE102023100668A1 (de) Vorrichtung und Verfahren zur Erfassung eines Kurzschlusses zwischen Teil-Systemen in einem Verteilungssystem und Verteilungssystem mit dieser Vorrichtung
DE102022212227A1 (de) Verfahren zum Ermitteln eines Betriebszustands eines ein erstes Umfeldsensorsystem und ein zweites Umfeldsensorsystem umfassenden Objekterkennungssystems eines Schienenfahrzeugs

Legal Events

Date Code Title Description
R163 Identified publications notified
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee