DE102020114099A1 - Funktionale sicherheit über verfolgung-und-fehlerbeseitigung - Google Patents

Funktionale sicherheit über verfolgung-und-fehlerbeseitigung Download PDF

Info

Publication number
DE102020114099A1
DE102020114099A1 DE102020114099.1A DE102020114099A DE102020114099A1 DE 102020114099 A1 DE102020114099 A1 DE 102020114099A1 DE 102020114099 A DE102020114099 A DE 102020114099A DE 102020114099 A1 DE102020114099 A1 DE 102020114099A1
Authority
DE
Germany
Prior art keywords
circuit
data
tracking
functional safety
function
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102020114099.1A
Other languages
English (en)
Inventor
Riccardo Locatelli
Peter Lachner
Riccardo Mariani
Michael Paulitsch
Kevin Safford
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intel Corp
Original Assignee
Intel Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intel Corp filed Critical Intel Corp
Publication of DE102020114099A1 publication Critical patent/DE102020114099A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/75Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information by inhibiting the analysis of circuitry or operation
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01RMEASURING ELECTRIC VARIABLES; MEASURING MAGNETIC VARIABLES
    • G01R31/00Arrangements for testing electric properties; Arrangements for locating electric faults; Arrangements for electrical testing characterised by what is being tested not provided for elsewhere
    • G01R31/28Testing of electronic circuits, e.g. by signal tracer
    • G01R31/317Testing of digital circuits
    • G01R31/3181Functional testing
    • G01R31/319Tester hardware, i.e. output processing circuits

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Debugging And Monitoring (AREA)

Abstract

Ein System zum Bewerten von funktionaler Sicherheit in einer integrierten Schaltung. Das System umfasst eine erste Schaltung zum Ausführen einer Operation, um das System zu veranlassen, eine Funktion durchzuführen, wobei die Funktion einem spezifizierten Sicherheitsintegritätspegel zugeordnet ist. Das System umfasst auch eine zweite Schaltung zum Erfassen von Verfolgungsdaten an einer Schnittstelle zu der ersten Schaltung oder bei internen Signalen, ohne die Performance der Funktion zu hindern, wobei die Verfolgungsdaten Informationen umfassen, die verwendet werden, um zu bestimmen, ob das System die Funktion mit einem angezeigten Pegel von funktionaler Sicherheit ausführen und die Verfolgungsdaten an eine Sicherheits-Bewertungsschaltung übertragen kann.

Description

  • TECHNISCHES GEBIET
  • Hierin beschriebene Ausführungsbeispiele beziehen sich allgemein auf elektronische Schaltungen und genauer auf Techniken zur Ermöglichung von funktionaler Sicherheit einer integrierten Schaltung.
  • HINTERGRUND
  • Automobil-, Industrie-, Fertigungs- und andere Branchen, die Systeme verwenden oder herstellen, deren Betrieb potenziell die Gefahr einer Verletzung von Leben oder Eigentum birgt, wenden zunehmend standardisierte Sicherheitstechniken für Entwurf und Prüfung solcher Systeme an. Solche standardisierten Techniken können die Implementierung von funktionalen Sicherheitsstandards umfassen, wie beispielsweise durch die Integration von Sicherheitsfunktionen in ein System, um sicherzustellen, dass das System als Reaktion auf Eingaben, Bedienungsfehler, Hardware- oder Softwarefehler oder Änderungen der Betriebsumgebung korrekt arbeitet. Solche standardisierten Techniken können auch die Implementierung von funktionalen Sicherheitsstandards umfassen, um Fälle zu detektieren, in denen ein unsicherer Betrieb eines Systems auftreten kann, und um zusätzliche Maßnahmen zu ergreifen. Solche Sicherheitsfunktionen können abhängig sein von oder können Einblicke in den Betrieb jeder Komponente solcher Systeme erfordern. Beispiele für funktionale Sicherheitsstandards umfassen den Standard IEC 61508 der Internationalen Elektrotechnischen Kommission für elektrische/elektronische/programmierbare elektronische sicherheitsrelevante Systeme und den ISO 26262 der Internationalen Organisation für Normung zur funktionalen Sicherheit von Straßenfahrzeugen.
  • Figurenliste
  • In den Zeichnungen, die nicht zwingend maßstabsgetreu sind, können gleiche Bezugszeichen ähnliche Komponenten in unterschiedlichen Ansichten beschreiben. Gleiche Bezugszeichen, die unterschiedliche Buchstabenendungen aufweisen, können unterschiedliche Instanzen ähnlicher Komponenten repräsentieren. Einige Ausführungsbeispiele sind in den Figuren der beiliegenden Zeichnungen beispielhaft und nicht einschränkend dargestellt, in denen gilt:
    • 1 ist ein Blockdiagramm, das ein System darstellt, das eine Verfolgungsinfrastruktur für funktionale Sicherheit über Verfolgung und Fehlerbeseitigung einlagert, gemäß einem Ausführungsbeispiel;
    • 2 ist ein Blockdiagramm, das Komponenten eines Systems darstellt, das eine Verfolgungsinfrastruktur für funktionale Sicherheit über Verfolgung und Fehlerbeseitigung einlagert, gemäß einem Ausführungsbeispiel;
    • 3 ist ein Blockdiagramm, das Komponenten einer Verfolgungsinfrastruktur für funktionale Sicherheit über Verfolgung und Fehlerbeseitigung darstellt, gemäß einem Ausführungsbeispiel;
    • 4A stellt ein Zeitgebungsdiagramm für das Auslösen einer Hardware-Verfolgungssammlung basierend auf einem Auftreten eines Ereignisses dar, gemäß einem Ausführungsbeispiel;
    • 4B stellt ein Zeitgebungsdiagramm für ein periodisches Auslösen der Hardware-Verfolgungssammlung dar, gemäß einem Ausführungsbeispiel;
    • 4C stellt ein Zeitgebungsdiagramm für das Auslösen einer Hardware-Verfolgungssammlung basierend auf einem Auftreten eines Inbetriebnahme-Ereignisses dar, gemäß einem Ausführungsbeispiel;
    • 5 ist ein Diagramm, dass einen Prozess darstellt, der nützlich ist, um die funktionale Sicherheit eines Systems zu bestimmen, das durch eine integrierte Schaltung betätigt wird, gemäß einem Ausführungsbeispiel; und
    • 6 ist ein Blockdiagramm, das eine beispielhafte Maschine darstellt, auf der irgendeine oder mehrere der Techniken (z. B. Methodologien), die hierin erörtert sind, ausgeführt werden können, gemäß einem Ausführungsbeispiel.
  • DETAILLIERTE BESCHREIBUNG
  • In der folgendem Beschreibung sind zu Erläuterungszwecken zahlreiche spezifische Details dargelegt, um ein tiefgreifendes Verständnis einiger beispielhafter Ausführungsbeispiele bereitzustellen. Für Fachleute auf dem Gebiet ist es jedoch erkennbar, dass die vorliegende Offenbarung ohne diese spezifischen Details ausgeführt werden kann.
  • Integrierte Schaltungsbauelemente sind herkömmliche Komponenten von Systemen, die in modernen Automobil-, Industrie- oder Fertigungsbranchen verwendet oder hergestellt werden. Diese elektronischen Bauelemente können als das Steuerungszentrum dieser Systeme arbeiten, wie beispielsweise durch Steuerung oder Implementierung der Entscheidungsfindungs-, Benachrichtigungs-, Betätigungs- und Leistungssteuerungsfunktionen solcher Systeme. Folglich können der Entwurf und das Testen dieser Systeme zur Erfüllung funktionaler Sicherheitsstandards von der Implementierung von Sicherheitsfunktionen abhängen, die eine Exposition gegenüber Daten erfordern, die den internen Betrieb dieser integrierten Schaltungsbauelemente anzeigen.
  • Einige Systeme werden von komplexen Multisegment-integrierten Schaltungen gesteuert, wie beispielsweise Systemen-auf-Chip (SoC; systems on chip) - Bauelementen, die einen oder mehrere disparate Verarbeitungskerne oder anwendungsspezifische Geistiges-Eigentum-Elemente umfassen. Die Ausbildung dieser komplexen integrierten Schaltungen zur Unterstützung der funktionalen Sicherheit kann entweder die Einbettung dedizierter Hardware-Sicherheitsmerkmale in diese Bauelemente oder die Verwendung von Softwaretechniken zur Implementierung von Sicherheitsüberprüfungsfunktionalität umfassen. Die Integration von Hardware-Sicherheitsmerkmalen in eine komplexe Multisegment-IC kann die beste Abdeckung der Bauelementfunktionalität bieten, aber solche Techniken können hohe Entwurfskosten aufweisen, die angesichts der Tatsache, dass viele dieser Bauelemente für Märkte hergestellt oder in Märkten verwendet werden, die sich nicht an die funktionalen Sicherheitsstandards halten, nicht gerechtfertigt sein können. Die Implementierung der funktionalen Sicherheit in diese Bauelemente unter Verwendung von Software-Techniken kann die Implementierung komplexen funktionalen Sicherheitsüberprüfungen oder solchen auf hoher Ebene ermöglichen, während das Problem ungerechtfertigter Hardware-EntwurfsKosten vermieden wird. Die Kosten für die Entwicklung der Software-Bibliotheken und anderer Werkzeuge, die zur Implementierung solcher Software-Techniken verwendet werden, können hoch sein, während der von diesen Techniken bereitgestellte Diagnosedeckungsgrad aufgrund der Komplexität der Software, die für den Zugriff auf nützliche Hardware-Informationen von diesen Bauelementen benötigt wird, begrenzt und schwer zu messen sein kann.
  • Ausführungsbeispiele der vorliegenden Offenbarung basieren auf der Erkenntnis, dass die Hardware-Verfolgungs- und Fehlerbeseitigungsinfrastruktur einiger SoC-Bauelemente genutzt werden kann, um Verfolgungsdaten zu erfassen oder zu erzeugen (z.B. Software- oder Firmware-Verfolgungsdaten, die Informationen über die Ausführung der Software- oder Firmware-Anwendung erfassen, oder Hardware-Verfolgungsdaten, die durch die Verwendung von Hardwareschaltungen zur Sondierung oder Erfassung von Signalen oder Bauelementschnittstellen erzeugt werden), die funktionale sicherheitsrelevante Einblicke in die Operation interner Komponenten dieser Bauelemente bereitstellen können. Solche funktionalen Sicherheitsinformationen können von softwarebasierten funktionalen Sicherheitsmechanischem verwendet werden, um die Operation der SoC-Bauelemente gegenüber spezifizierten funktionalen Sicherheitsstandards zu validieren.
  • Gemäß den hierin beschriebenen Techniken (z.B. Schaltungen, Systeme und Prozesse) kann ein SoC-Bauelement eine Sammlung von einem oder mehreren Verarbeitungskernen, Mikrocontroller-Einheiten oder anderen anwendungs- oder benutzerspezifischen Elementen des geistigen Eigentums umfassen, die funktionell durch einen oder mehrere Kommunikationsbusse oder Verbindungsstrukturen miteinander verbunden sind, um benutzerdefinierte Operationen des SoCs auszuführen, wie sie z.B. in einer Software-Anwendung vorgeschrieben sind. Das SoC-Bauelement kann auch eine Hardware-Verfolgungsinfrastruktur umfassen, die verbessert wird, um während der Operation des SoC-Bauelements funktionale sicherheitsrelevante Daten (z.B. sicherheitsrelevante Hardware-, Firmware- oder Software-Verfolgung) zu erfassen. Beispiele einer Hardware-Verfolgungsinfrastruktur können Intel® Process Trace oder Trace Hub oder andere Schaltungen umfassen, die Zweigverfolgungs- oder Anweisungsverfolgungstechniken implementieren. Solche Schaltungen können Verfolgungsdaten während der Operation eines SoC-Bauelements erfassen, ohne die Operation des Bauelements zu stören oder zu hindern. Solche Verfolgungsdaten können Hardware-Verfolgungsdaten umfassen, wie Informationen auf Bauelementebene (z.B. Temperatur, Bauelement-Registerwerte wie Fehleranzahl, Anweisungsadresse oder Speicheradresse). Solche Verfolgungsdaten können auch Firmware-Verfolgungsdaten umfassen, die von einem SoC-Bauelement blockprogrammierbarem Code erzeugt werden. Solche Verfolgungsdaten können auch Software-Verfolgungsdaten umfassen, erzeugte Verfolgungsanweisungen, eingefügt in den Quellcode, um sicherheitsrelevante Daten zu erfassen. Die Hardware-Verfolgungsinfrastruktur kann verbessert werden, wie beispielsweise durch Software oder durch Modifikationen an physikalischen Schaltungen der Hardware-Verfolgungsinfrastruktur, um funktionale sicherheitsrelevante Verfolgungen (z.B. Hardware-, Software- oder Firmware-Verfolgungen) von einem oder mehreren Elementen des SoC-Bauelements zu erfassen.
  • Bei einigen Ausführungsbeispielen kann ein SoC-Bauelement ein dediziertes funktionales Sicherheitsverarbeitungselement umfassen, wie z.B. eine Sicherheitsintegritätspegel-Insel (SILI; safety integrity level island,), die in das SoC integriert ist und mit einem oder mehreren Sicherheitsüberprüfungsalgorithmen programmiert wird, um die sicherheitsrelevanten Verfolgungen zur Auswertung der funktionalen Sicherheit des SoC-Bauelements oder eines Systems, das das SoC-Bauelement einlagert, zu verwenden. Eine solche SILI kann eine Verarbeitungsschaltung umfassen, wie z.B. eine Mikrocontroller-Einheit (MCU; microcontroller unit), die ausgebildet ist, um starke Sicherheitsentwicklungs-Gewährleistungsansprüche aufgrund ihres rigorosen Entwurfs- und Entwicklungsprozesses zu erstellen. Bei anderen Ausführungsbeispielen kann die Hardware-Verfolgungsinfrastruktur ausgebildet sein, um die Sicherheitsverfolgungsdaten, beispielsweise über einen Verfolgungsport an eine Rechenvorrichtung zu übertragen, das sich außerhalb des SoC befindet, um die Sicherheitsüberwachungsfunktionen auszuführen.
  • Die hierin beschriebenen Techniken realisieren Vorteile gegenüber anderen Techniken zur Implementierung funktionaler Sicherheit in integrierten Schaltungen, z.B. durch die Kombination von Software-Techniken zur Validierung eines Bauelements gegenüber einem funktionalen Sicherheitsstandard mit einer verbesserten Hardware-Technik zur Erfassung von funktionalen Sicherheitsinformationen von internen Elementen der integrierten Schaltungen. Genauer gesagt ermöglichen die hierin beschriebenen Techniken durch Anpassung der bestehenden Hardware-Verfolgungsinfrastruktur zur Erfassung von funktionalen Sicherheitsdaten, dass komplexe Multisegment-SoCs funktionale Sicherheitsstandards unterstützen, ohne dass Kosten für die Neugestaltung dieser Bauelemente zur Unterstützung spezifischer funktionaler Sicherheitsmerkmale anfallen.
  • Die hierin beschriebenen Techniken ermöglichen die Implementierung von funktionalen Sicherheitsstandards, ohne die Performance eines Systems wesentlich einzuschränken. Genauer gesagt kann die Performancebeeinträchtigung für die Ausführung von funktionaler Sicherheitssoftware in einem SoC-Bauelement gering sein, da sowohl das funktionale Sicherheit-Verarbeitungselement als auch die Hardware-Verfolgungsinfrastruktur zur Erfassung sicherheitsrelevanter Hardware-Verfolgungen unter Verwendung dedizierter Hardwareressourcen implementiert werden, die eine geringe oder gesteuerte Auswirkung auf die Ressourcen haben, die zur Ausführung von Benutzeranwendungen verwendet werden.
  • Zusätzlich können die hierin beschriebenen Techniken durch die Verwendung einer Kombination von Software- (oder Firmware-) Instrumentierung und Hardwaretechniken zur Erfassung von funktionalen Sicherheitsinformationen über Ausführungsanwendungen und die Implementierung von semantischen funktionalen Sicherheitsüberprüfungen in Software komplexe oder abstrakte funktionale Sicherheitslösungen implementieren, wie beispielsweise den Softwarevergleich von zwei Kopien der Anwendung, die auf Verarbeitungskernen läuft. Ferner können diese Techniken unterschiedliche funktionale Sicherheitsstandards mit unterschiedlichen Sicherheitsintegritätspegeln wirtschaftlich implementieren. Diese und andere Vorteile werden hierin weiter beschrieben.
  • 1 ist ein Blockdiagramm, das ein System 100 darstellt, das eine Verfolgungsinfrastruktur für funktionale Sicherheit über Verfolgung und Fehlerbeseitigung einlagert, gemäß einem Ausführungsbeispiel. Das System 100 kann irgendein elektrisches, elektronisches oder programmierbares elektronisches System sein, das eine elektronische Steuerungseinheit 105 und ein oder mehrere elektronisch betätigbare Vorrichtungen oder Systeme umfasst, wie beispielsweise ein akustisches Warnsystem 110, ein industrielles Steuerungssystem 115, ein Antriebsstrangsteuerungssystem 120, ein Benachrichtigungssystem 125 oder ein Leistungssystem 130. Das System 100 kann ausgebildet sein, um irgendeine Steuerungs- oder Benachrichtigungsfunktion (im Folgenden als „Systemfunktion“ bezeichnet) auszuführen, die in irgendeinem Satz von einer oder mehreren Operationen spezifiziert werden kann, die von der Steuerungseinheit 105 ausgeführt werden können, wie beispielsweise zur Steuerung der Betätigung einer/s elektrisch betätigbaren Vorrichtung oder Systems. Eine solche Kontrolle kann das Initiieren, Beenden oder Anpassen der Betätigung solcher Vorrichtungen oder Systeme umfassen.
  • Bei einigen Ausführungsbeispielen kann das System 100 mit einer oder mehreren Sicherheitsfunktionen instrumentiert werden, die ausgebildet sind, um das System zu veranlassen, eine angezeigte Systemfunktion gemäß einem angezeigten Sicherheitsintegritätspegel (SIL) auszuführen, wie beispielsweise durch Reduzierung irgendwelcher Risiken aufgrund spezifischer Ausfallmodi auf einen von dem SIL oder dem zugeordneten funktionalen Sicherheitsstandard vorgeschriebenen Pegel. Solche Sicherheitsfunktionen können Daten empfangen, die die Operation des Systems 100 anzeigen, die Daten analysieren, um zu bestimmen, ob sich das System 100 in einem Zustand befindet oder kurz davor steht, in einen Zustand einzutreten, der verhindert, dass das System eine Systemfunktion gemäß dem angezeigten SIL ausführen kann. Eine Sicherheitsfunktion kann eine Benachrichtigung der Bestimmung bereitstellen, wie beispielsweise an eine/n Systemoperation oder Benutzer. Zusätzlich oder alternativ zur Bereitstellung der Benachrichtigung kann eine Sicherheitsfunktion eine oder mehrere Operationen ausführen, um die Operation des Systems basierend auf der Bestimmung zu hindern, zu aktivieren oder anzupassen. Im Allgemeinen kann eine Sicherheitsfunktion ausgebildet sein, um ihre Detektions-, Benachrichtigungs- oder Regelungsfunktionen basierend auf einem SIL, zugeordnet zu einer Systemfunktion des Systems 100, auszuführen. Ein solcher SIL kann durch einen funktionalen Sicherheitsstandard vorgeschrieben werden, wie beispielsweise der in ISO 26262 definierte Automobil-Si cherheitsintegritätspegel.
  • Die Steuerungseinheit 105 kann irgendeine integrierte Schaltung umfassen, die konfigurierbar ist, wie beispielsweise durch Programmierung mit einer oder mehreren Softwareanwendungen, um eine Steuerung der Ausführung einer Systemfunktion des Systems 100 gemäß einem angezeigten SIL auszuführen. Bei einem Ausführungsbeispiel umfasst die Steuerungseinheit 105 eine Multisegment-IC, wie beispielsweise ein SoC-Bauelement. Wie in 1 gezeigt, kann die Steuerungseinheit 105 ein oder mehrere Verarbeitungselemente umfassen, wie beispielsweise einen Verarbeitungskern 135, eine Mikrocontroller-Einheit (MCU) 140, einen digitalen Signalprozessor (DSP; digital signal processor) 165, rekonfigurierbare Schaltungen wie beispielsweise ein feldprogrammierbares Gate-Array 170 oder andere benutzer- oder herstellerdefinierte Elemente des geistigen Eigentums (IP; intellectual property) 175. Die Kernverarbeitungseinheit 135 oder eine Mikrocontroller-Einheit 140 (im folgenden „Verarbeitungseinheiten“ genannt) kann, z.B. über einen Rechenbus oder eine Verbindungsstruktur (nicht gezeigt), mit einem oder mehreren IP-Elementen der Steuerungseinheit 105 gekoppelt werden, um z.B. Adressen, Daten, Steuersignale oder andere Informationen zwischen Verarbeitungseinheiten und den IP-Elementen zu kommunizieren. Die Steuerungseinheit 105 lagert eine Hardware-Verfolgungsinfrastruktur oder ein Teilsystem, umfassend einen Verfolgungsbus 155, einen oder mehrere Verfolgungspunkte 160 und eine Verfolgungs-Verwaltungssteuerung (TMC; trace management controller) 145 ein.
  • Bei einem Ausführungsbeispiel lagert die Steuerungseinheit 105 eine Sicherheitsintegritätspegel-Insel (SILI) 150 ein.
  • Die Kernverarbeitungseinheit 135 oder Mikrocontroller-Einheit 140 kann durch eine oder mehrere Operationen einer Benutzer- oder Systemsoftwareanwendung ausgebildet werden, um die Operation oder die Ausführung einer Systemfunktion des Systems 100 zu steuern. Solche Operationen können Operationen zur Verteilung von Daten und Anweisungen an und zum Empfang von verarbeiteten Daten von einem oder mehreren IP-Elementen 175 der Steuerungseinheit 105 umfassen. Ein IP-Element 175 kann Daten und Anweisungen empfangen von oder verarbeitete Daten übertragen an eine Schnittstelle zum Systembus oder zur Verbindungsstruktur (im Folgenden „Systemverbindung“ genannt)
  • Die Verfolgungsinfrastruktur kann einen Satz von dedizierten Ressourcen umfassen, die unabhängig oder parallel mit den Ressourcen arbeiten, die von der Kernverarbeitungseinheit 135 oder der Mikrocontroller-Einheit 140 zur Ausführung von Software-Anwendungen verwendet werden. Solche dedizierten Ressourcen können den Verfolgungs-Bus 155, den einen oder die mehreren Verfolgungspunkte 160 oder die Verfolgungs-Verwaltungssteuerung (TMC) 145 umfassen. Der Verfolgungsbus 155 kann ein dedizierter Kommunikationsbus oder eine Verbindungsstruktur (im Folgenden „Verfolgungsverbindung“) sein, die sich von der Systemverbindung unterscheidet. Die Verfolgungspunkte 160 können dedizierte Schaltungen umfassen, die zur Überwachung einer Schnittstelle zwischen einem IP-Element 175 und der Systemverbindung konfigurierbar sind. Solche Verfolgungspunkte können auch ausgebildet sein, um irgendwelche internen IP-Signale zu überwachen, die durch das IP-Element 175 erzeugt werden. Eine solche Überwachung kann die Erfassung von Daten in Echtzeit, wie beispielsweise während der Ausführung einer Softwareanwendung, und die Kommunikation solcher Daten an die TMC 145 umfassen, ohne die Ausführung der Softwareanwendung wesentlich zu hindern oder zu stören.
  • Die von der Verfolgungsinfrastruktur erfassten Daten können Informationen umfassen, die den Zustand der Operation irgendeines Elements der Steuerungseinheit 105 anzeigen. Bei einem Ausführungsbeispiel umfassen solche erfassten Daten (z.B. Verfolgungsdaten) interne Signalwerte oder Anweisungsadressen, Datenadressen, Systemverbindungs-Nutzungsstatistiken oder irgendwelche anderen Roh-(z.B. unverarbeitete) Daten, die an einer Schnittstelle zwischen der Systemverbindungsstruktur und der Kernverarbeitungseinheit 135, der Mikrocontroller-Einheit 140 oder einem IP-Element 175 erfasst werden können. Bei einem anderen Ausführungsbeispiel können solche Verfolgungsdaten einen Zeitstempel umfassen, der einen Zeitpunkt anzeigt, zu dem ein Element der Verfolgungsdaten erfasst wurde.
  • Bei einigen Ausführungsbeispielen kann eine Softwareanwendung, die ausgebildet ist, um auf der Kernverarbeitungseinheit 135 oder der Mikrocontroller-Einheit 140 ausgeführt zu werden, mit einer oder mehreren Verfolgungsanweisungen instrumentiert werden, die diese Verarbeitungsschaltungen oder irgendeine andere Ausführungseinheit (z. B. DSP 165 oder FPGA 170) oder das IP-Element 175 veranlassen, die Werte von Variablen oder andere Software-Zustandsinformationen explizit an die Hardware-Verfolgungsinfrastruktur zu übertragen. Bei diesen Ausführungsbeispielen können die Verfolgungsdaten die Werte einer solchen Variablen oder solche andere Software-Zustandsinformationen umfassen.
  • Bei einem Ausführungsbeispiel umfassen die Verfolgungsdaten anwendungsausgewählte Nachrichten, wie z.B. Audioton-Nachrichten, die eine Schnittstelle kreuzen, ad-hoc erzeugte Signaturen, redundante Software-Ausgaben, Ausgaben für die Thread-Elaboration, Aktivierungsbefehle in spezifizierten IO-Schnittstellen, Kommunikationsprotokollsignale oder Lese-/Schreibverkehr, der die Systemverbindungsstruktur kreuzt.
  • Die TMC 145 kann ausgebildet sein, um Verfolgungsdaten von einem oder mehreren Verfolgungspunkten 160 zu empfangen und solche Daten an eine oder mehrere Verarbeitungsschaltungen oder Rechenvorrichtungen zur Verarbeitung oder Auswertung zu übertragen. Bei einigen Ausführungsbeispielen können die TMC 145, ein Verfolgungspunkt 160 oder eine IP-Elementschnittstelle bestimmte Verfolgungsdaten als relevant für die funktionale Sicherheit des Systems 100 identifizieren. Solche sicherheitsrelevanten Verfolgungen können irgendwelche Daten umfassen, die für die Durchführung einer Sicherheitsüberprüfung oder die Auswertung einer Sicherheitsfunktion so nützlich sind. Die TMC 145 kann solche sicherheitsrelevanten Verfolgungen an eine dedizierte funktionelle Sicherheits-Auswertungs-Verarbeitungsschaltung, wie z.B. die SILI 150, übertragen.
  • Die Sicherheitsintegritätspegel-Insel (SIILI) 150 kann ein Verarbeitungselement umfassen, das ausgebildet ist, um eine oder mehrere Softwareanwendungen auszuführen, die Algorithmen oder Sicherheitsfunktionen umfassen, mit denen bewertet werden kann, ob der Betrieb des Systems 100 einen spezifizierten SIL erfüllt. Bei einem Ausführungsbeispiel umfasst die SILI 150 ein Verarbeitungselement, das in die Steuerungseinheit 105 eingelagert ist. Bei einem anderen Ausführungsbeispiel ist die SILI 150 eine externe Rechenvorrichtung oder Verarbeitungselement, das mit der Steuerungseinheit 105 gekoppelt ist, z.B. über einen Hardware-Verfolgungs-Port, Fehlerbeseitigungs-Port oder eine andere Schnittstelle. Die SILI 150 kann sicherheitsrelevante Verfolgungen von TMC 145 empfangen, die Verfolgungen zur Auswertung einer oder mehrerer Sicherheitsfunktionen verwenden und basierend auf dem Ergebnis der Auswertung eine Handlung ausführen. Bei einem Ausführungsbeispiel umfasst eine solche Handlung das Bereitstellen einer Benachrichtigung, z.B. durch Auslösen eines Alarms oder die Bereitstellung von Informationen, die für die Anzeige auf einer elektronischen Anzeige oder einer anderen grafischen Benutzerschnittstelle formatiert sind. Bei einem anderen Ausführungsbeispiel umfasst eine solche Handlung die Hinderung der Operation des Systems 100 oder eines oder mehrerer Elemente der Steuerungseinheit 105, wie beispielsweise, wenn die Auswertung einer Sicherheitsfunktion anzeigt, dass die Operation des Systems 100 einen spezifizierten SIL nicht erfüllen kann. Bei einem anderen Ausführungsbeispiel umfasst eine solche Handlung das Ermöglichen der Operation des Systems 100 oder eines oder mehrerer Elemente der Steuerungseinheit 105, wie beispielsweise, wenn die Auswertung einer Sicherheitsfunktion anzeigt, dass die Operation des Systems 100 einen spezifizierten SIL erfüllen kann.
  • 2 ist ein Blockdiagramm, das Komponenten eines Systems 200 darstellt, das eine Verfolgungsinfrastruktur für funktionale Sicherheit über Verfolgung und Fehlerbeseitigung einlagert, gemäß einem Ausführungsbeispiel. Das System 200 kann eine Implementierung des Systems 100 umfassen. Bei einigen Ausführungsbeispielen ist das System 200 ausgebildet, um gemäß einem oder mehreren funktionalen Sicherheitsstandards 205 oder einem oder mehreren Sicherheitsintegritätspegeln 210 zu arbeiten. Das System 200 kann eine Sicherheitsintegritätspegel-Insel 215 oder eine Steuerungseinheit 220 umfassen.
  • Der funktionale Sicherheitsstandard 205 kann irgendeinen funktionalen Sicherheitsstandard zur Risikominderung in elektrischen, elektronischen und programmierbaren Systemen umfassen. Bei einigen Beispielen kann der funktionale Sicherheitsstandard 205 einen oder mehrere SILs 210 definieren, basierend auf der Analyse der vom System 200 ausgeführten Systemfunktionen oder der potenziellen Gefahren oder Risiken, die während der Performance solcher Systemfunktionen auftreten können, z. B. durch unerwartete Änderungen bei den Eingaben oder der Betriebsumgebung.
  • Die Sicherheitsintegritätspegel-Insel 215 kann eine Implementierung der SILI 150 (1) umfassen und kann eine Sicherheitsüberprüfungsbibliothek 225, eine Sicherheitsüberprüfungs-Softwareanwendung 230, eine Ausführungseinheit 235 und einen funktionalen Sicherheitsausgang 240 umfassen.
  • Die Sicherheitsprüfungsbibliothek 235 kann eine oder mehrere Sicherheitsfunktionen oder Algorithmen umfassen, die durch einen spezifizierten SIL 210 des Systems 200 vorgeschrieben sind. Solche Algorithmen oder Sicherheitsfunktionen können sicherheitsrelevante Verfolgungsdaten verwenden, um zu prüfen oder auszuwerten, ob die Operation des Systems 200 gemäß dem spezifizierten SIL erfolgt. Die Sicherheitsfunktionen, die in der Sicherheitsüberprüfungsbibliothek 235 umfasst sind, können flexibel formuliert oder entwickelt werden, um es beispielsweise zu ermöglichen, dass die Sicherheitsüberprüfungsbibliothek in Anwendungen nützlich ist, die mit unterschiedlichen Sicherheitsintegritätspegeln arbeiten oder disparate Beträge an Rechenressourcen aufweisen. Eine solche Flexibilität kann die Implementierung der Sicherheitsfunktionen unter Verwendung von Algorithmen umfassen, die bei unterschiedlichen Komplexitäts- oder Abstraktionsebenen formuliert sind. Bei einem Ausführungsbeispiel umfasst die Überprüfungs- oder Auswertungsfunktionalität einer Sicherheitsfunktion die Auswertung eines Signalwertes oder die Analyse von Signaturdaten. Bei einem anderen Ausführungsbeispiel umfasst eine solche Überprüfungs- oder Auswertungsfunktionalität kompliziertere Operationen, wie beispielsweise die Durchführung von Eigenschaftsmodellüberprüfungen für komplexe Datenflüsse oder die Durchführung einer abstrakten semantischen Datenauswertung oder einer solchen auf hoher Ebene.
  • Die Softwareüberprüfungsbibliothek oder die darin umfassten Sicherheitsfunktionen können eine oder mehrere Arten von Überprüfungen oder Auswertungen funktionell implementieren. Bei einem Ausführungsbeispiel umfassen solche Überprüfungs- oder Auswertungsfunktionalitäten Sicherheitszielprüfungen, wie sie durch einen spezifizierten SIL bezeichnet sind. Bei einem beispielhaften Szenario ist ein Fahrzeug mit einer oder mehreren Kabinenvorrichtungen ausgebildet, die einen Audioton erzeugen, um einem Fahrer eine Warn- oder Gefahrenmeldung zu melden. In diesem Szenario kann der spezifizierte SIL ein Sicherheitsziel vorschreiben, das erfordert, dass der Audioton dem Fahrer korrekt gemeldet wird. Die Sicherheitsüberprüfungsbibliothek 225 oder eine bestimmte Sicherheitsfunktion kann dieses Sicherheitsziel unter Verwendung von Algorithmen überprüfen, die sicherheitsrelevante Verfolgungen verarbeiten, die entlang des Audioton-Signalpfades von einer Verarbeitungseinheit oder einem IP-Element in einer Steuerungseinheit (z.B. wie der Steuerungseinheit 105) zu einer Aktuatorfahrschnittstelle erfasst wurden, um zu bestätigen, dass der Audioton auf der Vorrichtungsebene wie erwartet erzeugt und weitergeleitet wird.
  • Bei einem anderen Ausführungsbeispiel umfasst eine solche Überprüfungs- oder Auswertungsfunktionalität auch Inbetriebnahme-Diagnose-Überprüfungen, z.B. Überprüfungen, um festzustellen, ob ein SoC-Bauelement oder ein IP-Element des SoC-Bauelements latente Defekte aufweist. Bei einem beispielhaften Szenario umfassen solche Inbetriebnahme-Diagnose-Überprüfungen einen auf die funktionale Sicherheit bezogenen eingebauten Selbsttest- (BIST; built in self-test ) Mechanismus für das SoC-Bauelement oder ein konstituierendes IP-Element. In diesem Szenario können Steuerungs- oder vorbestimmte Stimuli erzeugt und dem SoC-Bauelement oder dem konstituierenden IP-Element bereitgestellt werden, und zugeordnete Verfolgungsdaten können erfasst und der Sicherheitsüberprüfungsbibliothek 225 oder einer Sicherheitsfunktion bereitgestellt werden, wo die Verfolgungsdaten gegen erwartete Werte geprüft werden können.
  • Bei einem anderen Ausführungsbeispiel umfasst eine solche Überprüfungs- oder Auswertungsfunktionalität periodische oder durchgehende diagnostische Überprüfungen für ein SoC oder ein konstituierendes IP-Element. Bei einem beispielhaften Szenario umfassen solche periodischen oder durchgehenden diagnostischen Überprüfungen eine Protokollüberprüfung für eine Systemverbindung. In diesem Szenario werden Hardware-Verfolgungen an einer Schnittstelle zur Systemverbindung erfasst und gefiltert, um Daten zu identifizieren, die sich auf einen Aspekt eines Protokolls beziehen, das verwendet wird, um mit der Systemverbindung eine Schnittstelle zu bilden. Die Sicherheitsüberprüfungsbibliothek 225 oder eine Sicherheitsfunktion können die identifizierten Daten verwenden, um die Operation eines oder mehrerer Aspekte der Protokollschnittstelle zu überprüfen.
  • Bei einem anderen Ausführungsbeispiel umfasst eine solche Überprüfungs- oder Auswertungsfunktionalität auch Softwareaktivitäts-Synchronisationsüberprüfungen, wie z.B. bei fehlertoleranten Systemen, die redundante Verarbeitungshardware einlagern. Bei einem beispielhaften Szenario umfassen solche Softwareaktivitäts-Synchronisationsüberprüfungen eine Implementierung eines lose gekoppelten, fehlertoleranten Lockstep-Systems, bei dem zwei oder mehr Instanzen einer Softwareanwendung auf zwei oder mehr redundanten Verarbeitungskernen ausgeführt werden. Von jedem redundanten Verarbeitungskern wird erwartet, dass er an spezifizierten Beobachtungspunkten vergleichbare Verfolgungsdaten erzeugt. Die Sicherheitsüberprüfungsbibliothek 225 oder eine Sicherheitsfunktion können, die in jedem Kern erfassten Verfolgungsdaten mit Parametern vergleichen, die für die Verwendung bei der Überprüfung der Synchronisation der Kerne vorgesehen sind. Die Verwendung von Verfolgungsdaten in diesem Lockstep-System ermöglicht es einer Software, auf jedem Kern synchron zu laufen, während sie nur einen nominalen Betrag an Instrumentierung zur Unterstützung der Synchronisationsüberprüfungen verwendet.
  • Bei einem anderen Ausführungsbeispiel umfasst eine solche Überprüfungs- oder Auswertungsfunktionalität sicherheitszielunabhängige, fortschrittliche Diagnose- und Überprüfungstechniken zum Nachweis der Zuverlässigkeit einer Vorrichtung oder eines Systems. Solche Diagnose- und Überprüfungstechniken können maschinelles Lernen zur Detektion und Überwachung von Anomalien verwenden.
  • Bei einem anderen Ausführungsbeispiel ist eine solche Überprüfungs- oder Auswertungsfunktionalität ausgebildet, um andere Aspekte, zugeordnet zu der Zuverlässigkeit einer Vorrichtung oder eines Systems, wie z.B. Sicherheit, zu bewerten.
  • Die Sicherheitsüberprüfungsanwendung 230 kann eine oder mehrere ausgewählte Sicherheitsfunktionen oder Algorithmen implementieren, die in der Sicherheitsüberprüfungsbibliothek 225 umfasst sind. Solche sicherheitsrelevanten Funktionen können basierend auf einem spezifizierten SIL des Systems 200 oder spezifischer Systemfunktionen ausgewählt werden, die von dem System oder dessen Steuerungseinheit ausgeführt werden. Die Sicherheitsüberprüfungsanwendung 230 kann von der Verarbeitungseinheit 235 ausgeführt werden, um die ausgewählten Sicherheitsfunktionen basierend auf den von dem System oder der Steuerungseinheit empfangenen sicherheitsrelevanten Verfolgungen auszuwerten. Die Verarbeitungseinheit 235 kann einen funktionale Sicherheitsausgang 240 als Antwort auf die Ausführung der Sicherheitsüberprüfungsanwendung 230 erzeugen. Der funktionale Sicherheitsausgang 240 kann ein Ausgang einer individuellen Sicherheitsfunktion oder ein akkumulierter Ausgang von zwei oder mehr Sicherheitsfunktionen sein. Der funktionale Sicherheitsausgang 240 kann eine Benachrichtigung oder einen Steuerungsausgang umfassen, wie hierin beschrieben. Bei einigen Ausführungsbeispielen kann der funktionale Sicherheitsausgang 240 als Rückmeldung an die Steuerungseinheit 220 bereitgestellt werden.
  • Die Steuerungseinheit 220 kann ein Beispiel der Steuerungseinheit 105 sein und kann eine oder mehrere ihrer Komponenten einlagern. Die Steuerungseinheit 220 kann die Systemsoftwareanwendung 245, ein oder mehrere IP-Elemente 255 und Verfolgungsdaten 250 umfassen. Die IP-Elemente 255 können irgendeines der Hardware-Elemente der Steuerung 105 umfassen. Die Systemsoftwareanwendung 245 kann irgendeine Industrie- oder benutzerdefinierte Softwareanwendung sein, die ausgebildet ist zum Ausführen auf den IP-Elementen 255 oder zur Verwendung dieser. Bei einigen Ausführungsbeispielen kann die Systemsoftwareanwendung 245 mit einer oder mehreren Verfolgungs-Operationen instrumentiert werden, um den Softwarezustand oder variable Daten an die Hardware-Verfolgungsinfrastruktur des Systems 200 bereitzustellen.
  • 3 ist ein Blockdiagramm, das Komponenten einer Verfolgungsinfrastruktur 300 für funktionale Sicherheit über Verfolgung und Fehlerbeseitigung darstellt, gemäß einem Ausführungsbeispiel. Die Verfolgungsinfrastruktur 300 kann ein Beispiel einer Implementierung eines oder mehrerer Aspekte des Systems 100 (1) oder des Systems 200 (2) umfassen. Die Verfolgungsinfrastruktur 300 kann einen oder mehrere Verfolgungspunkte 315, eine Verfolgungsverbindung 325, eine Verfolgungs-Verwaltungssteuerung 335, eine interne Sicherheitsintegritätspegel-Insel 380 oder eine externe Sicherheitsintegritätspegel-Insel 310 umfassen.
  • Verfolgungspunkte 315 (z.B. Hardware-, Firmware- oder Software-Verfolgungspunkte) können ein Beispiel für einen Verfolgungspunkt 160 (1) sein und können durch die Verfolgungsverbindung 325 mit der TMC 335 gekoppelt werden. Solche Verfolgungspunkte 315 können mit Schnittstellen zwischen einem oder mehreren IP-Elementen (z.B. IP-Elemente 255, wie in 2 gezeigt) und der Systemverbindung der Steuerungseinheit 305 gekoppelt werden und können ausgebildet sein, um Daten zu erfassen, die diese Schnittstellen oder interne IP-Signale kreuzen. Bei einem Ausführungsbeispiel können IP-Elementschnittstellenprotokolle (z.B. IP-Blockschnittstellenprotokolle), die zur Kommunikation von Daten über diese Schnittstellen verwendet werden, ausgebildet sein, um solche Daten als relevant für die funktionale Sicherheit zu kennzeichnen. Bei diesen Ausführungsbeispielen kann die Verfolgungsinfrastruktur 300 ausgebildet sein, z.B. mit einem oder mehreren Filterprofilen, um solche Kennzeichnungen zu identifizieren und funktionale Sicherheitsdaten zu erfassen, die diese Schnittstellen kreuzen.
  • Bei einigen Ausführungsbeispielen umfassen die Verfolgungspunkte 315 einen oder mehrere Verfolgungspunkte 320 oder 330, die als relevant für die funktionale Sicherheit bezeichnet (z.B. durch einen Hersteller oder IP-Element bereitgestellt) werden. Solche sicherheitsstrategischen Verfolgungspunkte 320, 330 können ausgebildet sein, um Daten zu erfassen, die für die Auswertung eines Sicherheitsüberprüfungsziels, semantischer Eigenschaftsüberprüfungen oder einer Sicherheitsfunktion, die durch eine Sicherheitsüberprüfungsbibliothek unterstützt wird, nützlich sind. Die Verfolgung auf diesen sicherheitsstrategischen Verfolgungspunkten 320, 330 kann die Erfassung spezifischer sicherheitsrelevanter Verfolgungen ermöglichen.
  • Die Verfolgungsinfrastruktur 300 kann Filterungsprofile oder die Benennung von Auswahl-Verfolgungspunkten als sicherheitsstrategische Verfolgungspunkte verwenden, um Verfolgungsdaten zu filtern, die auf der Verfolgungsverbindung 325 übertragen werden. Bei einem Ausführungsbeispiel kann die Verfolgungsinfrastruktur 300 ausgebildet sein, um Verfolgungsdaten zu filtern, indem es nur Daten, die von ausgewählten Hardware-Verfolgungspunkten (z.B. sicherheitsstrategische Verfolgungsunkte 320, 330) erfasst werden, erlaubt, entlang der Verfolgungsverbindung 325 kommuniziert zu werden. Bei einem anderen Ausführungsbeispiel kann die Verfolgungsinfrastruktur 300 ausgebildet sein, um die Verfolgungsdaten zu filtern, in dem es nur sicherheitsrelevanten Verfolgungsdaten erlaubt, entlang der Verfolgungsverbindung 325 übertragen zu werden.
  • Die Verfolgungsinfrastruktur 300 kann durch Software neu konfiguriert werden, um die Infrastruktur an unterschiedliche Anwendungsprofile oder an den Anwendungsfall der Steuerungseinheit 305 anzupassen. Bei einem Ausführungsbeispiel kann die Verfolgungsinfrastruktur 300 ausgebildet sein, um System-Fehlerbeseitigung und funktionale Sicherheit zu unterstützen. Bei diesen Ausführungsbeispielen kann die Verfolgungsinfrastruktur 300 wieder ausgebildet sein, wie beispielsweise durch eine Software-Anwendung, um den Betrag der Verfolgungsverbindungs-Bandbreite, die für sicherheitsrelevante Verfolgungsdaten verbraucht wird, anzupassen, z.B. um sicherzustellen, dass die Verfolgungsinfrastruktur genügend Bandbreite behält, um sowohl Fehlerbeseitigungs- als auch funktionale Sicherheitsoperationen zu unterstützen. Bei einem Ausführungsbeispiel kann eine solche Neukonfiguration die Verwendung von Software umfassen, um den Satz von Hardware-Verfolgungspunkten zu ändern, die als sicherheitsstrategische Verfolgungspunkte bezeichnet werden. Bei einem anderen Ausführungsbeispiel kann eine solche Neukonfiguration die Änderung oder Anpassung der Filterungsprofile und/oder Filterungstechniken umfassen, die zur Bestimmung der Art der Verfolgungsdaten verwendet werden, die an den Verfolgungspunkten 315 erfasst oder an die Verfolgungsverbindung 325 übermittelt werden. Eine solche Neukonfiguration kann zu einer Reduzierung des Leistungsverbrauchs und einer Optimierung der Bandbreite über unterschiedliche Anwendungsfälle führen.
  • Die Verfolgungsinfrastruktur 300 kann eines oder mehrere Sicherheitsmerkmale einlagern, um die Verfolgungsinfrastruktur, Verfolgungsdaten und die Konfigurationssoftware vor unbefugtem Zugriff zu schützen. Bei einem Ausführungsbeispiel umfassen solche Sicherheitsmerkmale Schaltungen oder Techniken zur Trennung oder Entkopplung von Hardware-Verfolgungsschaltungen oder der SIL 380 oder 310 von irgendwelchen externen Steuerungs- und Beobachtungsmechanismen. Bei einem anderen Ausführungsbeispiel kann die Verfolgungsinfrastruktur 300 mit anderen Sicherheitsmerkmalen ausgebildet werden, z.B. mit einem oder mehreren Verschlüsselungs- oder Authentifizierungsmechanismen.
  • Die Verfolgungs-Verwaltungssteuerung 335 kann eine oder mehrere Schaltungs- oder Software-Elemente umfassen, die ausgebildet sind, um Verfolgungsdaten von einem Verfolgungspunkt zu empfangen und solche Daten an eine oder mehrere Verarbeitungsschaltungen oder Rechenvorrichtungen zur Verarbeitung oder Auswertung, wie hierin beschrieben, zu übertragen. Die TMC 335 kann eine Verfolgungs-Verbindungsschnittstelle 340, eine Steuerung 370, eine interne SILI-Schnittstelle 345, eine externe SILI-Schnittstelle 375 und einen Puffer 350 umfassen. Die Verfolgungs-Verbindungsschnittstelle 340, die interne SILI-Schnittstelle 345 oder die externe SILI-Schnittstelle 375 kann Schaltungen, Software-Anwendungen oder Kommunikationsprotokolle zur Kommunikation von Verfolgungsdaten oder Ausbildungsinformationen zwischen der TMC 335, der Verfolgungsverbindung 325, der internen SILI 380 oder der externen SILI 310 umfassen. Bei einem Ausführungsbeispiel können die zwischen der TMC 335 und dem internen SILI 380 kommunizierten Verfolgungsdaten durch den Puffer 350 gepuffert werden.
  • Die Steuerung 370 kann Schaltungen oder Software-Anwendungen umfassen, um es der TMC 335 zu ermöglichen, die Verfolgungs-Datenansammlungsoperationen der Verfolgungsinfrastruktur 300 durchzuführen. Die Steuerung 370 kann das Ausbildungselement 355, das Auslöseelement 360 oder das Filterelement 365 umfassen. Bei einem Ausführungsbeispiel können ein oder mehrere Elemente der Steuerung 370 in den Verfolgungspunkten 315 umfasst sein.
  • Das Ausbildungselement 355 kann Informationen oder Operationen umfassen, die die Typ-Verfolgungsdaten vorschreiben oder steuern, die von der Verfolgungsinfrastruktur 300 erfasst, von der TMC 335 gesammelt oder an die interne SILI 380 oder die externe SIILI 310 verteilt werden. Bei einem Ausführungsbeispiel kann das Ausbildungselement 355 Informationen oder Operationen umfassen, um einen oder mehrere Hardware-Verfolgungspunkte 320 oder 330 als sicherheitsstrategische Verfolgungspunkte zu bestimmen. Bei einem anderen Ausführungsbeispiel kann das Ausbildungselement 355 Informationen oder Operationen umfassen, die es den Verfolgungspunkten 315 ermöglichen, Verfolgungsdaten, wie hierin beschrieben, zu filtern.
  • Das Auslöseelement 360 kann Ausbildungsinformationen oder eine oder mehrere Schaltungen oder Operationen umfassen, um zu verursachen, dass die Verfolgungsinfrastruktur 300 die Erfassung der Verfolgungsdaten initiiert. Bei einem Ausführungsbeispiel kann das Auslöseelement 360 verursachen, dass die Verfolgungsinfrastruktur 300 Verfolgungsdaten erfasst und Sicherheitsüberprüfungen auf Anforderung durchführt, beispielsweise in Echtzeit als Antwort auf ein Ereignis. Solche Ereignisse können ein Einschalt-Ereignis umfassen, z.B. wenn die Steuerungseinheit 305 während Schalter-Ein-/Schalter-Aus-Tests für latente Fehler ein- oder ausgeschaltet wird. Solche Ereignisse können Anwendungsereignisse umfassen, die in Echtzeit während der Ausführung einer Systemanwendung durch die Steuerungseinheit 305 erzeugt werden. Bei einem anderen Ausführungsbeispiel kann das Auslöseelement 360 verursachen, dass die Verfolgungsinfrastruktur 300 Verfolgungsdaten erfasst und Sicherheitsüberprüfungen periodisch durchführt. Bei einem anderen Ausführungsbeispiel kann das Auslöseelement 360 ermöglichen, dass die Verfolgungsinfrastruktur 300 während der Ausführung bestimmter Teile einer Systemanwendung taktgesteuert oder ausgeschaltet wird.
  • Das Filterelement 360 kann Ausbildungsinformationen umfassen, wie z.B. eines oder mehrere Filter oder eine oder mehrere Schaltungen oder Operationen, die verursachen, dass die Verfolgungsinfrastruktur 300 die an den Verfolgungspunkten 315 erfassten Verfolgungsdaten filtert, wie hierin beschrieben.
  • Die SILI 380 kann ein Verarbeitungselement umfassen, das ausgebildet ist, um eine oder mehrere Softwareanwendungen (z.B. eine Sicherheitsüberprüfungsanwendung 230, wie in 2 gezeigt) auszuführen, die Sicherheitsüberprüfungen durchführen oder Sicherheitsfunktionen auswerten, die bestimmen, ob die Operation eines Systems (z. B. des Systems 100 oder des Systems 200), das die Steuerungseinheit 305 einlagert, gemäß einem spezifizierten SIL, wie hierin beschrieben, erfolgt. Bei einem Ausführungsbeispiel ist die SILI 380 ein IP-Element der Steuerungseinheit 305 mit spezifischen gesteuerten Schnittstellen, wie z.B. Schnittstellen zu der TMC 335 oder spezifizierten Schaltungen, die für den Empfang von Melde- oder Steuersignalen von der SILI 380 ausgebildet sind.
  • Die SILI 380 kann eine Steuerung 385, einlagernd Ausbildungsinformationen 390, Sicherheitsüberprüfungsanwendung 395 und Ausgangselement 396, umfassen. Die Ausbildungsinformationen 390 können irgendwelche Informationen umfassen, die für die Ausbildung der SILI 380 nützlich sind, um mit der Verfolgungsinfrastruktur 300 eine Schnittstelle zu bilden. Solche Ausbildungsinformationen können Informationen, zugeordnet zu Kommunikationsprotokollen, Sicherheits- und Authentifizierungsmechanismen, Filtertechniken, Anwendungsprofilen oder der Implementierung eines bestimmten funktionalen Sicherheitsstandards umfassen. Die Sicherheitsüberprüfungsanwendung 395 kann eine Implementierung der Sicherheitsüberprüfungsanwendung 230 sein, wie in der Erörterung von 2 beschrieben. Das Ausgangselement 396 kann irgendwelche Schaltungen oder Operationen umfassen, die nützlich sind, um einen oder mehrere der SILI-Ausgänge 240, wie in der Erörterung von 2 beschrieben, zu implementieren oder zu unterstützen.
  • Bei einigen Ausführungsbeispielen kann die SILI 380 in eine Vorrichtung oder ein System 310 implementiert werden, das sich außerhalb der Steuerungseinheit 305 befindet. Ein/e solche/s Vorrichtung oder System kann über eine Hardware-Verfolgungsschnittstelle, eine Fehlerbeseitigungs-Schnittstelle oder einen anderen Kommunikationsport mit der TMC 335 gekoppelt werden.
  • 4A-4C stellen beispielhafte Szenarien für die Auslösung von Hardware-Verfolgungssammlung oder funktionale Sicherheitsüberprüfungen in irgendeinem der hierin beschriebenen Systeme dar.
  • 4A stellt ein Zeitgebungsdiagramm für das Auslösen einer Verfolgungssammlung basierend auf einem Auftreten eines Ereignisses dar, gemäß einem Ausführungsbeispiel. Wie in 4A gezeigt, kann die Hardware-Verfolgungssammlung auf Anfrage als Antwort auf ein auslösendes Ereignis, z. B. eine Software-Anwendung (z. B. ein Systemanwendungsereignis, das zur Zeit 405 oder 415 eintritt), ausgelöst werden. Wie hierin erörtert, kann ein auslösendes Ereignis ein Softwareanwendungs- (z.B. eine Systemanwendung) -Ereignis, Empfang einer bestimmten Eingabe durch ein System oder irgendein anderes spezifiziertes Auftreten umfassen. Die Verfolgungsdaten-Sammlung kann für eine bestimmte Zeitperiode 410 oder für eine beliebige andere Zeitperiode, wie z.B. eine dem auslösenden Ereignis zugeordnete Zeitperiode, fortgesetzt werden. Bei einem Ausführungsbeispiel kann die Initiierung der Verfolgungsdaten-Sammlung die Ausführung einer Software-Sicherheitsüberprüfung auslösen, z.B. nachdem genügend Verfolgungsdaten erfasst wurden, um eine Sicherheitsfunktion auszuwerten.
  • 4B stellt ein Zeitgebungsdiagramm für ein periodisches Auslösen der Verfolgungssammlung dar, gemäß einem Ausführungsbeispiel. Wie in 4B gezeigt, kann Hardware-Verfolgungssammlung oder eine Software-Sicherheitsüberprüfung periodisch zu spezifizierten Intervallen 420 und 425 ausgelöst werden, wie sie z.B. durch einen oder mehrere Zeitgeberschaltungen bestimmt werden, die einem System, wie z.B. dem System 100 oder dem System 200, zugeordnet sind.
  • 4C stellt ein Zeitgebungsdiagramm für das Auslösen der Verfolgungssammlung basierend auf einem Auftreten eines Inbetriebnahme-Ereignisses dar, gemäß einem Ausführungsbeispiel. Eine solche Hardware-Verfolgungssammlung kann einen eingebauten Selbsttest initiieren, wenn das System 100 oder das System 200 eingeschaltet wird.
  • 5 ist ein Diagramm, dass einen Prozess 500 darstellt, der nützlich ist, um die funktionale Sicherheit eines Systems zu bestimmen, das durch eine integrierte Schaltung betätigt wird, gemäß einem Ausführungsbeispiel. Der Prozess 500 kann von einer Softwareanwendung ausgeführt werden, die eine oder mehrere der hierin beschriebenen Steuerungen ausführt, um die funktionale Sicherheit eines Systems, wie z.B. des Systems 100 oder des Systems 200, auszuwerten.
  • Bei 505 kann die Hardware-Verfolgungsinfrastruktur einer integrierten Schaltung angepasst werden, um zu verursachen, dass die Verfolgungsinfrastruktur funktionale Sicherheitsdaten identifiziert. Solche funktionalen Sicherheitsdaten können Daten umfassen, die über eine Schnittstelle an ein Element der integrierten Schaltung kommuniziert werden, und können Daten umfassen, die nützlich sind, um zu bestimmen, ob die Operation der integrierten Schaltung anzeigt, dass das System eine bestimmte Systemfunktion sicher ausführen kann. Bei einigen Ausführungsbeispielen umfasst die Anpassung der Hardware-Verfolgungsinfrastruktur der integrierten Schaltung eine programmatische (z.B. durch Ausführung einer Software-Anwendung) Ausbildung eines oder mehrerer Verfolgungspunkte (z.B. sicherheitsstrategische Verfolgungspunkte), die der Hardware-Verfolgungsinfrastruktur zugeordnet sind, um identifizierte funktionale Sicherheitsdaten zu erfassen.
  • Bei 510 können funktionale Sicherheitsdaten, die durch die angepasste Hardware-Verfolgungsinfrastruktur identifiziert werden, an einem Verfolgungspunkt erfasst werden. Solche funktionalen Sicherheitsdaten können periodisch, auf Anfrage oder in Echtzeit erfasst werden. Bei einem Beispiel können solche Verfolgungsdaten während der Ausführung einer Software-Anwendung durch die integrierte Schaltung erfasst werden, ohne die Ausführung oder die Operation des Systems, das die integrierte Schaltung einlagert, zu hindern.
  • Bei 515 können die erfassten funktionalen Sicherheitsdaten einer Bewertungsschaltung, wie z.B. der Sicherheitsintegritätspegel- Insel 150 (1), 380 (3) oder 310, bereitgestellt werden. Bei einem Ausführungsbeispiel ist die Bewertungsschaltung ausgebildet, um eine oder mehrere Operationen auszuführen (z.B. Sicherheitsfunktionen, die in einer Sicherheitsüberprüfungsanwendung eingelagert sind), um zu bestimmen, ob das System die spezifizierte Systemfunktion sicher ausführen kann. Bei einem Ausführungsbeispiel kann das System eine spezifizierte Systemfunktion sicher ausführen, wenn die Operation des Systems zur Ausführung der Systemfunktion die Anforderungen oder Kriterien eines dem System zugeordneten SIL erfüllt. Als Antwort auf das Bestimmen, ob das System die spezifizierte Systemfunktion sicher ausführen kann, kann die Bewertungsschaltung eine oder mehrere Operationen ausführen, um eine Anzeige des Bestimmens bereitzustellen, die Operation des Systems zu hindern, oder die Operation des Systems zu ermöglichen, wie hierin beschrieben.
  • Bei einem Ausführungsbeispiel kann der Prozess 500 das Filtern der funktionalen Sicherheitsdaten basierend auf zumindest einem Profil einer Systemfunktion, ausgeführt durch das System, einem Sicherheitsintegritätspegel des Systems, oder einer Bandbreite einer Verfolgungsverbindung der Hardware-Verfolgungsinfrastruktur umfassen. Bei einem anderen Ausführungsbeispiel kann der Prozess 500 irgendeine andere Operation zur Durchführung oder Implementierung der hierin beschriebenen Techniken umfassen.
  • 6 ist ein Blockdiagramm, das gemäß einem Ausführungsbeispiel eine Maschine in der beispielhaften Form eines Computersystems 600 darstellt, innerhalb dessen ein Satz oder eine Sequenz von Anweisungen ausgeführt werden kann, um die Maschine zum Ausführen irgendeiner der hierin erörterten Methodologien zu veranlassen. Bei alternativen Ausführungsbeispielen arbeitet die Maschine als eine eigenständige Vorrichtung, oder sie kann mit anderen Maschinen verbunden (z.B. vernetzt) sein. In einer vernetzten Anwendung kann die Maschine in der Eigenschaft von entweder einer Server- oder einer Client-Maschine in Server-Client-Netzwerkumgebungen arbeiten, oder sie kann als eine Peer-Maschine in Peer-to-Peer- (oder verteilten) Netzwerkumgebungen agieren. Die Maschine kann ein Fahrzeug-Teilsystem, ein Personal-Computer (PC), ein Tablet-PC, ein Hybrid-Tablet, ein persönlicher digitaler Assistent (PDA; Personal Digital Assistant), ein Mobiltelefon, oder irgendeine Maschine sein, die fähig zum Ausführen von Anweisungen (sequentiell oder anderweitig) ist, die Aktionen spezifizieren, die durch diese Maschine ausgeführt werden sollen. Während nur eine einzelne Maschine dargestellt ist, soll der Begriff „Maschine“ ferner auch irgendeine Sammlung von Maschinen umfassen, die individuell oder gemeinsam einen Satz (oder mehrere Sätze) von Anweisungen ausführen, um irgendeine oder mehrere der hierin erörterten Methodologien auszuführen. Ähnlich ist der Begriff „prozessorbasiertes System“ so zu verstehen, dass er irgendeinen Satz einer oder mehrerer Maschinen umfasst, die durch einen Prozessor (z.B. einen Computer) gesteuert oder betrieben werden, um einzeln oder gemeinsam Anweisungen auszuführen, um irgendeine oder mehrere der hierin erörterten Methodologien durchzuführen.
  • Das beispielhafte Computersystem 600 umfasst zumindest einen Prozessor 602 (z.B. eine zentrale Verarbeitungseinheit (CPU; central processing unit), eine Grafikverarbeitungseinheit (GPU; graphics processing unit), oder beides, Prozessorkerne, Computerknoten, etc.), einen Hauptspeicher 604 und einen statischen Speicher 606, die miteinander über einen Link 608 (z.B. einen Bus) kommunizieren. Das Computer-System 600 kann ferner eine Video-Anzeigeeinheit 610, eine alphanumerische Eingabevorrichtung 612 (z.B. eine Tastatur) und eine Navigationsvorrichtung 614 mit Benutzerschnittstelle (UI; user interface) (z. B. eine Maus) aufweisen. Bei einem Ausführungsbeispiel sind die Video-Anzeigeeinheit 610, die Eingabevorrichtung 612 und die UI-Navigationsvorrichtung 614 in eine Berührungsbildschirmanzeige eingebracht. Das Computersystem 600 kann zusätzlich eine Speichervorrichtung 616 (z.B. eine Laufwerkeinheit), eine sicherheitsinstrumentierte Vorrichtung 618 (z.B. eine Steuerungseinheit 105, eine Netzwerkschnittstellenvorrichtung 620, und einen oder mehrere Sensoren (nicht gezeigt) wie beispielsweise einen Globales-Positionierungssystem (GPS; global positioning system) -Sensor, Kompass, Beschleunigungssensor, Gyrometer, Magnetometer oder anderen Sensor umfassen.
  • Die Speichervorrichtung 616 umfasst ein maschinenlesbares Medium 622, auf dem ein oder mehrere Sätze von Datenstrukturen und Anweisungen 624 (z.B. Software) gespeichert sind, die durch irgendeine oder mehrere der Methodologien oder Funktionen, die hierin beschrieben werden, ausgeführt oder benutzt werden. Die Anweisungen 624 können auch vollständig oder zumindest teilweise innerhalb des Hauptspeichers 604, statischen Speichers 606 und/oder innerhalb des Prozessors 602 während der Ausführung derselben durch das Computersystem 600 vorliegen, wobei der Hauptspeicher 604, der statische Speicher 606 und der Prozessor 602 auch maschinenlesbare Medien bilden.
  • Obwohl das maschinenlesbare Medium 622 bei einem beispielhaften Ausführungsbeispiel als ein einzelnes Medium dargestellt ist, kann der Begriff „maschinenlesbares Medium“ ein einzelnes Medium oder mehrere Medien umfassen (z.B. eine zentralisierte oder verteilte Datenbank und/oder zugeordnete Caches und Server), die die eine oder die mehreren Anweisungen 624 speichern. Der Begriff „maschinenlesbares Medium“ ist auch so zu verstehen, dass er irgendein greifbares Medium umfasst, das in der Lage ist, Anweisungen zur Ausführung durch die Maschine zu speichern, zu kodieren oder zu tragen, und das die Maschine dazu veranlasst, irgendeine oder mehrere der Methodologien der vorliegenden Offenbarung durchzuführen, oder das in der Lage ist, Datenstrukturen, die durch derartige Anweisungen verwendet werden können oder diesen zugeordnet sind, zu speichern, zu kodieren oder zu tragen. Der Begriff „maschinenlesbares Medium“ soll dementsprechend Festkörperspeicher und optische und magnetische Medien umfassen, ist aber nicht darauf beschränkt. Spezifische Beispiele von maschinenlesbaren Medien umfassen nicht-flüchtigen Speicher, beispielsweise umfassend, aber nicht beschränkt auf, Halbleiterspeicherbauelemente (z.B. elektrisch programmierbaren Nur-Lese-Speicher (EPROM; Electrically Programmable Read-Only Memory), elektrisch löschbaren programmierbaren Nur-Lese-Speicher (EEPROM; Electrically Erasable Programmable Read-Only Memory)) und Flash-Speicher-Bauelemente; Magnetplatten wie beispielsweise interne Festplatten und Wechselplatten; magneto-optische Platten; und CD-ROM- und DVD-ROM-Platten.
  • Die Anweisungen 624 können ferner über ein Kommunikationsnetzwerk 626 unter Verwendung eines Übertragungsmediums via die Netzwerkschnittstellenvorrichtung 620 unter Verwendung irgendeiner der Anzahl von gut bekannten Übertragungsprotokollen (z.B. HTTP) gesendet oder empfangen werden. Beispiele von Kommunikationsnetzwerken umfassen ein lokales Netz (LAN), ein Weitbereichsnetz (WAN), das Internet, Mobilfunknetze, Plain Old Telephone (einfacher alter Telefondienst; POTS) -Netze und drahtlose Datennetze (z.B. Bluetooth, Wi-Fi, 3G und 4G LTE/LTE-A, 5G, DSRC oder WiMAX-Netze). Der Begriff „Übertragungsmedium“ ist so aufzufassen, dass er irgendein nicht greifbares Medium umfasst, das in der Lage ist, Anweisungen zur Ausführung durch die Maschine zu speichern, zu kodieren oder zu tragen, und digitale oder analoge Kommunikationssignale oder ein anderes nicht greifbares Medium zum Ermöglichen von Kommunikation solcher Software umfasst.
  • Ausführungsbeispiele können in einem aus Hardware, Firmware und Software oder einer Kombination daraus implementiert sein. Ausführungsbeispiele können auch als Anweisungen implementiert sein, die auf einer maschinenlesbaren Speichervorrichtung gespeichert sind, die durch zumindest einen Prozessor gelesen und ausgeführt werden können, um die hierin beschriebenen Operationen durchzuführen. Eine maschinenlesbare Speichervorrichtung kann irgendeinen nichtflüchtigen Mechanismus für ein Speichern von Informationen in einer Form aufweisen, die durch eine Maschine (z. B. einen Computer) lesbar ist. Zum Beispiel kann eine maschinenlesbare Speicherbauelemente einen Nur-Lese-Speicher (ROM), einen Direktzugriffspeicher (RAM; random-access memory), Magnetplattenspeichermedien, optische Speichermedien, Flash-Speicherbauelemente und andere Speicherbauelemente und Medien umfassen.
  • Ein Prozessor-Teilsystem kann verwendet werden, um die Anweisung auf dem lesbaren Medium durchzuführen. Das Prozessor-Teilsystem kann einen oder mehrere Prozessoren umfassen, jeder mit einem oder mehreren Kernen. Zusätzlich kann das Prozessor-Teilsystem auf einer oder mehreren physikalischen Vorrichtungen angeordnet sein. Das Prozessor-Teilsystem kann einen oder mehrere spezialisierte Prozessoren umfassen, wie beispielsweise eine Grafikverarbeitungseinheit (GPU), einen digitalen Signalprozessor (DSP), ein feld-programmierbares Gate-Array (FPGA; field programmable gate array), oder einen Prozessor mit fester Funktion.
  • Beispiele, wie hierin beschrieben, können Logik oder eine Anzahl von Komponenten, Modulen oder Mechanismen umfassen oder basierend auf denselben arbeiten. Module können Hardware, Software oder Firmware sein, die kommunikativ mit einem oder mehreren Prozessoren gekoppelt sind, um die hierin beschriebenen Operationen auszuführen. Die Module können Hardware-Module sein, und somit können Module als greifbare Einheiten betrachtet werden, die in der Lage sind, spezifische Operationen durchzuführen, und sie können auf eine bestimmte Weise ausgebildet oder angeordnet sein. Bei einem Beispiel können Schaltungen auf eine bestimmte Weise als ein Modul angeordnet sein (z. B. intern oder im Hinblick auf externe Einheiten, z. B. andere Schaltungen). Bei einem Beispiel kann das ganze oder ein Teil von einem oder mehreren Computersystemen (z. B. ein alleinstehendes, Client- oder Server-Computersystem) oder ein oder mehrere Hardware-Prozessoren durch Firmware oder Software (z. B. Anweisungen, einen Anwendungsabschnitt oder eine Anwendung) als ein Modul ausgebildet sein, das arbeitet, um bestimmte Operationen auszuführen. Bei einem Beispiel kann die Software auf einem maschinenlesbaren Medium vorliegen. Bei einem Beispiel kann die Software bei Ausführung durch die zugrundeliegende Hardware des Moduls verursachen, dass die Hardware die bestimmten Operationen ausführt. Dementsprechend ist der Begriff Hardware-Modul so zu verstehen, dass er eine greifbare Einheit umfasst, sei dies eine Einheit, die physisch konstruiert ist, speziell ausgebildet ist (z.B. fest verdrahtet) oder temporär (z.B. vorübergehend) ausgebildet (z.B. programmiert) ist, um auf eine bestimmte Weise zu arbeiten oder einen Teil oder alles von irgendeiner hierin beschriebenen Operation auszuführen. Bei Betrachtung von Beispielen, bei denen Module temporär ausgebildet sind, ist es nicht erforderlich, dass jedes von den Modulen zu irgendeinem Zeitpunkt instantiiert wird. Zum Beispiel, wo die Module einen Allzweck-Hardware-Prozessor umfassen, der unter Verwendung von Software ausgebildet ist, kann der Allzweck-Hardware-Prozessor zu unterschiedlichen Zeiten als jeweilige unterschiedliche Module ausgebildet sein. Software kann dementsprechend einen Hardware-Prozessor ausbilden, um zum Beispiel ein bestimmtes Modul zu einem Zeitpunkt zu bilden und ein unterschiedliches Modul zu einem unterschiedlichen Zeitpunkt zu bilden. Module können auch Software- oder Firmware-Module sein, die arbeiten, um die hierin beschriebenen Methodologien durchzuführen.
  • Schaltungsanordnungen oder Schaltungen können nach Gebrauch in diesem Dokument zum Beispiel einzeln oder in irgendeiner Kombination fest verdrahtete Schaltungsanordnungen, programmierbare Schaltungsanordnungen, wie beispielsweise Computerprozessoren, die einen oder mehrere einzelne Anweisungsverarbeitungskerne umfassen, Zustandsmaschinenschaltungsanordnungen und/oder Firmware, die Anweisungen speichert, die durch die programmierbaren Schaltungsanordnungen ausgeführt werden, umfassen. Die Schaltungen, Schaltungsanordnungen oder Module können kollektiv oder einzeln als eine Schaltungsanordnung ausgeführt sein, die einen Teil eines größeren Systems bildet, zum Beispiel eine integrierte Schaltung (IC; integrated circuit), System-auf-einem-Chip (SoC), Desktop-Computer, Laptop-Computer, Tablet-Computer, Server, Smartphones, etc.
  • Nach Gebrauch in irgendeinem Ausführungsbeispiel hierin kann sich der Begriff „Logik“ auf Firmware und/oder Schaltungsanordnungen beziehen, die ausgebildet sind, um irgendwelche der vorangehend erwähnten Operationen durchzuführen. Firmware kann als Code, Anweisungen oder Anweisungssätze und/oder Daten, die in Speicherbauelementen und/oder Schaltungsanordnungen hartcodiert (z.B. nichtflüchtig) sind, ausgebildet sein.
  • „Schaltungsanordnungen“ können, wie sie hierin in irgendeinem Ausführungsbeispiel verwendet werden, zum Beispiel einzeln oder in irgendeiner Kombination fest verdrahtete Schaltungsanordnungen, programmierbare Schaltungsanordnungen, Zustandsmaschinenschaltungsanordnungen, Logik- und/oder Firmware, die die Anwendungen speichert, die durch die programmierbare Schaltungsanordnung ausgeführt werden, umfassen. Die Schaltungsanordnung kann als eine integrierte Schaltung ausgeführt sein, wie beispielsweise ein Integrierte-Schaltungs-Chip. Bei einigen Ausführungsbeispielen kann die Schaltungsanordnung zumindest teilweise dadurch gebildet werden, dass die Prozessorschaltungsanordnung entsprechend der hierin beschriebenen Funktionalität Code- und/oder Anweisungssätze (z.B. Software, Firmware, etc.) ausführt, wodurch ein Allzweckprozessor in eine Spezialzweck-Verarbeitungsumgebung umgewandelt wird, um eine oder mehrere der hierin beschriebenen Operationen auszuführen. Bei einigen Ausführungsbeispielen kann die Prozessorschaltungsanordnung als eine eigenständige integrierte Schaltung ausgeführt sein, oder kann als eine von mehreren Komponenten auf einer integrierten Schaltung eingebracht sein. Bei einigen Ausführungsbeispielen können die verschiedenen Komponenten und die Schaltungsanordnung des Knotens oder anderer Systeme in einer SoC-Architektur kombiniert sein.
  • Zusätzliche Anmerkungen & Beispiele
  • Beispiel 1 ist ein System zum Bewerten funktionaler Sicherheit in einer integrierten Schaltung, das System umfassend: eine erste Schaltung zum Ausführen einer Operation, um das System zu veranlassen, eine Funktion durchzuführen, wobei die Funktion einem spezifizierten Sicherheitsintegritätspegel zugeordnet ist; und eine zweite Schaltung zum: Erfassen von Verfolgungsdaten an einer Schnittstelle zu der ersten Schaltung oder bei internen Signalen, ohne die Performance der Funktion zu hindern, wobei die Verfolgungsdaten Informationen umfassen, die für die Bestimmung verwendet werden, ob das System die Funktion mit einem angezeigten Pegel von funktionaler Sicherheit ausführen kann, und Übertragen der Verfolgungsdaten an eine Sicherheits-Bewertungsschaltung.
  • Bei Beispiel 2 umfasst der Gegenstand von Beispiel 1 die Sicherheits-Bewertungsschaltung, die Sicherheits-Bewertungsschaltung umfassend: einen Speicher zum Speichern von zumindest einer computerausführbaren Anweisung, um Sicherheitskriterien zu spezifizieren, um zu bestimmen, ob das System die Funktion mit dem angezeigten Pegel von funktionaler Sicherheit ausführen kann; und eine Ausführungseinheit, um die Verfolgungsdaten zum Bewerten der Sicherheitskriterien zu verwenden, um zu bestimmen, ob das System die Funktion mit dem angegebenen Pegel von funktionaler Sicherheit ausführen kann.
  • Bei Beispiel 3 umfasst der Gegenstand von Beispiel 2, wobei die Sicherheits-Bewertungsschaltung ausgebildet ist, um zu bestimmen, ob die erste Schaltung die Funktion mit dem angezeigten Pegel von funktionaler Sicherheit unter Verwendung eines angezeigten Satzes von Operationen ausführen kann, die ausgebildet sind, um vorbestimmte Verfolgungsdaten zu erzeugen.
  • Bei Beispiel 4 umfasst der Gegenstand der Beispiele 2-3, wobei die zumindest eine computerausführbare Anweisung aus einer Datenbank von computerausführbaren Anweisungen zur Bewertung der funktionalen Sicherheit von elektronischen Schaltungen ausgewählt ist.
  • Bei Beispiel 5 umfasst der Gegenstand der Beispiele 1-4 eine integrierte Schaltung, umfassend: die erste Schaltung; die zweite Schaltung; und die Sicherheits-Bewertungsschaltung.
  • Bei Beispiel 6 umfasst der Gegenstand der Beispiele 1-5, wobei die Sicherheits-Bewertungsschaltung in einer ersten integrierten Schaltung gepackaged ist und die erste Schaltung und die zweite Schaltung sind in einer zweiten integrierten Schaltung gepackaged, wobei die erste und zweite integrierte Schaltung getrennt und verschieden voneinander sind.
  • Bei Beispiel 7 umfasst der Gegenstand der Beispiele 1-6, wobei: die erste Schaltung ferner ausgebildet ist, um die Verfolgungsdaten zu kennzeichnen, um anzuzeigen, dass die Verfolgungsdaten Informationen umfassen, die nützlich ist, um zu bestimmen, ob die erste Schaltung die Funktion mit dem angezeigten Pegel von funktionaler Sicherheit ausführen kann; und die zweite Schaltung ist ferner ausgebildet, um die Verfolgungsdaten basierend auf der Kennzeichnung zu filtern.
  • Bei Beispiel 8 umfasst der Gegenstand der Beispiele 1-7, wobei die Schnittstelle zu der ersten Schaltung eine Mehrzahl von Schnittstellen umfasst, und die zweite Schaltung konfigurierbar ist, um eine Schnittstelle von der Mehrzahl von Schnittstellen auszuwählen, von der die Verfolgungsdaten erfasst werden sollen, basierend auf: der Funktion, ausgeführt von der ersten Schaltung, Sicherheitskriterien zum Bestimmen, ob das System die Funktion mit dem angezeigten Pegel von funktionaler Sicherheit ausführen kann, oder dem angezeigten Pegel von funktionaler Sicherheit.
  • Bei Beispiel 9 umfasst der Gegenstand der Beispiele 1-8, wobei die zweite Schaltung ferner ausgebildet ist, um periodisch die Verfolgungsdaten zu erfassen.
  • Bei Beispiel 10 umfasst der Gegenstand der Beispiele 1-9, wobei die zweite Schaltung ausgebildet ist, um die Verfolgungsdaten als Antwort auf ein Auftreten eines Ereignisses zu erfassen, zugeordnet zu der Operation des Systems.
  • Bei Beispiel 11 umfasst der Gegenstand der Beispiele 1-10, wobei: die erste Schaltung ausgebildet ist, um die Funktion basierend auf Operationen einer Software-Anwendung auszuführen; und die empfangenen Verfolgungsdaten umfassen zumindest eines aus: Daten, ausgewählt durch die Software-Anwendung, digitalen Signaturen, zugeordnet zu der Software-Anwendung, Daten, die Operationen anzeigen, die von der ersten Schaltung ausgeführt werden, unverarbeiteten Daten, erfasst an der Schnittstelle auf der ersten Schaltung, oder einem Zeitstempel.
  • Bei Beispiel 12 umfasst der Gegenstand der Beispiele 1-11 ein Sicherheitsmerkmal zum Schützen der zweiten Schaltung oder der Bewertungsschaltung vor unbefugtem Zugriff.
  • Beispiel 13 ist ein Verfahren zum Bestimmen der funktionalen Sicherheit eines Systems, das durch eine integrierte Schaltung betätigt wird, das Verfahren umfassend: Anpassen einer Hardware-Verfolgungsinfrastruktur der integrierten Schaltung, um funktionale Sicherheitsdaten in Daten zu identifizieren, die über eine Schnittstelle an ein Element der integrierten Schaltung oder ihre internen Signale kommuniziert werden, wobei die funktionalen Sicherheitsdaten Daten umfassen, die nützlich sind, um zu bestimmen, ob die Operation der integrierten Schaltung anzeigt, dass das System eine spezifizierte Funktion sicher ausführen kann, Erfassen der funktionalen Sicherheitsdaten an einem oder mehreren Verfolgungspunkten der Hardware-Verfolgungsinfrastruktur; und Bereitstellen der erfassten funktionalen Sicherheitsdaten an eine Bewertungsschaltung, wobei die Bewertungsschaltung ausgebildet ist, um eine oder mehrere Operationen auszuführen, um zu bestimmen, ob das System die spezifizierte Funktion sicher ausführen kann.
  • Bei Beispiel 14 umfasst der Gegenstand von Beispiel 13, wobei das Anpassen der Hardware-Verfolgungsinfrastruktur der integrierten Schaltung ein programmatisches Ausbilden des einen oder der mehreren Hardware-Verfolgungspunkte umfasst, um die identifizierten funktionalen Sicherheitsdaten zu erfassen.
  • Bei Beispiel 15 umfasst der Gegenstand der Beispiele 13-14 das Filtern der funktionalen Sicherheitsdaten basierend auf zumindest einem aus einem Profil der spezifizierten Funktion, einem Sicherheitsintegritätspegel des Systems, oder einer Bandbreite einer Verbindungsstruktur der Hardware-Verfolgungsinfrastruktur.
  • Bei Beispiel 16 umfasst der Gegenstand der Beispiele 13-15, wobei als Antwort auf das Bestimmen, ob das System die spezifizierte Funktion sicher ausführen kann, die Bewertungsschaltung ferner ausgebildet ist, um eine oder mehrere Operationen auszuführen zum: Bereitstellen einer Anzeige, ob das System die spezifizierte Funktion sicher ausführen kann, Hindern der Operation des Systems, oder Ermöglichen der Operation des Systems.
  • Bei Beispiel 17 umfasst der Gegenstand der Beispiele 13-16 das Erfassen der funktionalen Sicherheitsdaten, umfassend ein Erfassen der funktionalen Sicherheitsdaten während der Operation der elektronischen Schaltung, ohne die Performance der spezifizierten Funktion zu hindern.
  • Bei Beispiel 18 umfasst der Gegenstand der Beispiele 13-17 das Erfassen der gefilterten Verfolgungsdaten an der Bewertungsschaltung, periodisch oder als Antwort auf ein Ereignis.
  • Bei Beispiel 19 umfasst der Gegenstand der Beispiele 13-18, wobei das Empfangen der Verfolgungsdaten das Empfangen von Verfolgungsdaten umfasst, umfassend zumindest eines aus: Daten, die einen Zustand einer Software-Anwendung anzeigen, die durch die integrierte Schaltung ausgeführt wird, digitalen Signaturen, zugeordnet zu der Software-Anwendung, Daten, die Operationen anzeigen, die von der integrierten Schaltung ausgeführt werden, unverarbeiteten Daten, erfasst an einer Schnittstelle auf der integrierten Schaltung, oder einem Zeitstempel.
  • Beispiel 20 ist zumindest ein maschinenlesbares Medium, umfassend Anweisungen zum Bestimmen der funktionalen Sicherheit eines Systems, das durch eine integrierte Schaltung betätigt wird, wobei die Anweisungen, wenn sie durch eine Maschine ausgeführt werden, die Maschine veranlassen zum Ausführen der Operationen, umfassend: Empfangen von Verfolgungsdaten, umfassend funktionale Sicherheitsinformationen, die verwendet werden, um zu bestimmen, ob das System eine Funktion mit einem spezifizierten Pegel von funktionaler Sicherheit ausführen kann; Bestimmen, unter Verwendung der empfangenen Verfolgungsdaten, ob das System die spezifizierte Funktion mit einem spezifizierten Pegel von funktionaler Sicherheit ausführen kann; und Anpassen der Operation des Systems basierend als Antwort auf die Bestimmung.
  • Bei Beispiel 21 umfasst der Gegenstand von Beispiel 20, wobei das Anpassen der Operation des Systems basierend als Antwort auf die Bestimmung umfasst: Bereitstellen einer Anzeige, ob das System die spezifizierte Funktion sicher ausführen kann, Hindern der Operation des Systems, oder Ermöglichen der Operation des Systems.
  • Bei Beispiel 22 umfasst der Gegenstand der Beispiele 20-21, wobei die Verfolgungsdaten von einer Hardware-Verfolgungsinfrastruktur der integrierten Schaltung empfangen werden.
  • Bei Beispiel 23 umfasst der Gegenstand der Beispiele 20-22, wobei die Operationen ferner ein Anpassen der Hardware-Verfolgungsinfrastruktur der integrierten Schaltung durch ein programmatisches Ausbilden des einen oder der mehreren Hardware-Verfolgungspunkte umfassen, um die Verfolgungsdaten zu erfassen.
  • Bei Beispiel 24 umfasst der Gegenstand von Beispiel 23, wobei das Anpassen ferner das Veranlassen der Hardware-Verfolgungsinfrastruktur umfasst, die Verfolgungsdaten periodisch oder als Antwort auf ein Ereignis zu erfassen.
  • Bei Beispiel 25, umfasst der Gegenstand der Beispiele 20-24, wobei die Verfolgungsdaten durch eine Software-Anwendung erhalten werden, die auf der integrierten Schaltung ausgeführt wird.
  • Beispiel 26 ist zumindest ein maschinenlesbares Medium, umfassend Anweisungen, die, wenn sie durch eine Verarbeitungsschaltungsanordnung ausgeführt werden, verursachen, dass die Verarbeitungsschaltungsanordnung Operationen durchführt, um irgendeines der Beispiele 1-25 zu implementieren.
  • Beispiel 27 ist eine Vorrichtung umfassend Mittel, um irgendeines der Beispiele 1-25 zu implementieren.
  • Beispiel 28 ist ein System, um irgendeines der Beispiele 1-25 zu implementieren.
  • Beispiel 29 ist ein Verfahren, um irgendeines der Beispiele 1-25 zu implementieren.
  • Die obige detaillierte Beschreibung nimmt Bezug auf die beiliegenden Zeichnungen, die Bestandteil der detaillierten Beschreibung sind. Veranschaulichend zeigen die Zeichnungen spezifische Ausführungsbeispiele, die ausgeführt werden können. Diese Ausführungsbeispiele werden hierin auch als „Beispiele“ bezeichnet. Solche Beispiele können Elemente zusätzlich zu den Gezeigten oder Beschriebenen umfassen. Jedoch werden auch Beispiele betrachtet, die die gezeigten oder beschriebenen Elemente umfassen. Ferner werden auch Beispiele betrachtet, die irgendeine Kombination oder Permutation jener gezeigten oder beschriebenen Elemente (oder einen oder mehrere Aspekte derselben) verwenden, entweder im Hinblick auf ein bestimmtes Beispiel (oder einen oder mehrere Aspekte desselben) oder im Hinblick auf andere Beispiele (oder einen oder mehrere Aspekte derselben), die hierin gezeigt oder beschrieben sind.
  • Offenlegungen, Patente und Patentdokumente, auf die in diesem Dokument Bezug genommen ist, sind hierin durch Bezugnahme in ihrer Gesamtheit aufgenommen, als ob sie individuell durch Bezugnahme aufgenommen sind. In dem Fall von inkonsistenten Verwendungen zwischen diesem Dokument und diesen Dokumenten, die derart durch Bezugnahme aufgenommen sind, ist die Verwendung in der einen oder den mehreren aufgenommenen Bezugnahmen ergänzend zu der dieses Dokuments; bei unvereinbaren Inkonsistenzen gilt die Verwendung in diesem Dokument.
  • In diesem Dokument werden die Begriffe „ein, eine“ verwendet, wie in Patentdokumenten üblich, um einen oder mehrere als einen zu umfassen, unabhängig von irgendwelchen anderen Fällen oder Verwendungen von „zumindest ein,e,s“ oder „ein,e,s oder mehrere“. In diesem Dokument wird der Begriff „oder“ verwendet, um auf ein nicht-exklusives oder Bezug zu nehmen, derart, dass „A oder B“ „A aber nicht B“, „B aber nicht A“ und „A und B“ umfasst, sofern es nicht anderweitig angegeben ist. In den beigefügten Ansprüchen werden die Begriffe „aufweisend“ und „bei dem,r“ als die einfachen Entsprechungen der jeweiligen Begriffe „umfassend“ und „wobei“ verwendet. In den folgenden Ansprüchen sind ferner die Begriffe „aufweisend“ und „umfassend“ offene Begriffe, d.h. ein System, Bauelement/Vorrichtung (device), Artikel oder Prozess, der Elemente zusätzlich zu jenen umfasst, die nach einem solchen Begriff in einem Anspruch aufgeführt sind, fällt immer noch in den Schutzbereich dieses Anspruchs. Ferner werden in den folgenden Ansprüchen die Begriffe „erste,r,s“ „zweite,r,s“ und „dritte,r,s“ etc. lediglich als Kennzeichnungen verwendet und sollen nicht auf eine numerische Reihenfolge ihrer Objekte hinweisen.
  • Die obige Beschreibung soll veranschaulichend und nicht einschränkend sein. Zum Beispiel können die vorangehend beschriebenen Beispiele (oder einer oder mehrere Aspekte derselben) in Kombination mit anderen verwendet werden. Andere Ausführungsbeispiele können verwendet werden, wie beispielsweise durch einen Fachmann nach Prüfung der vorangehenden Beschreibung. Die Zusammenfassung dient dazu, es dem Leser zu erlauben, das Wesen der technischen Offenbarung schnell zu verstehen. Sie wird mit dem Verständnis eingereicht, dass sie nicht benutzt wird, um den Schutzbereich oder die Bedeutung der Ansprüche zu interpretieren oder einzuschränken. Ferner können in der obigen detaillierten Beschreibung verschiedene Merkmale zu einer Gruppe zusammengefasst werden, um die Offenbarung zu vereinheitlichen. Jedoch führen die Ansprüche möglicherweise nicht jedes hierin offenbarte Merkmal auf, da Ausführungsbeispiele eine Teilmenge der Merkmale umfassen können. Ferner umfassen Ausführungsbeispiele möglicherweise weniger Merkmale als die, die bei einem bestimmten Beispiel offenbart sind. Somit sind die folgenden Ansprüche hiermit in die detaillierte Beschreibung aufgenommen, wobei ein Anspruch als ein getrenntes Ausführungsbeispiel für sich steht. Der Schutzbereich der hierin offenbarten Ausführungsbeispiele sollte deshalb Bezug nehmend auf die beigefügten Ansprüche bestimmt werden, zusammen mit dem vollständigen Schutzbereich von Entsprechungen, auf welche solche Ansprüche Anrecht haben.

Claims (22)

  1. Ein Verfahren zum Bewerten funktionaler Sicherheit in einer integrierten Schaltung, das Verfahren umfassend: Ausführen, unter Verwendung einer ersten Schaltung, einer Operation, um ein System zu veranlassen, eine Funktion durchzuführen, wobei die Funktion einem spezifizierten Sicherheitsintegritätspegel zugeordnet ist; und Erfassen, unter Verwendung einer zweiten Schaltung, von Verfolgungsdaten an einer Schnittstelle zu der ersten Schaltung oder bei internen Signalen, ohne die Performance der Funktion zu hindern, wobei die Verfolgungsdaten Informationen anzeigen, die verwendbar für die Bestimmung sind, ob das System die Funktion mit einem angezeigten Pegel einer funktionalen Sicherheit ausführen kann; und Übertragen der Verfolgungsdaten an eine Sicherheits-Bewertungsschaltung.
  2. Das Verfahren gemäß Anspruch 1, ferner umfassend: Speichern von zumindest einer computerausführbaren Anweisung, um Sicherheitskriterien zur Bestimmung zu spezifizieren, ob das System die Funktion mit dem angezeigten Pegel von funktionaler Sicherheit ausführen kann; und Bewerten, unter Verwendung der Verfolgungsdaten, der Sicherheitskriterien, um zu bestimmen, ob das System die Funktion mit dem angezeigten Pegel von funktionaler Sicherheit ausführen kann.
  3. Das Verfahren gemäß Anspruch 2, ferner umfassend ein Bestimmen, ob das System die Funktion mit dem angezeigten Pegel von funktionaler Sicherheit unter Verwendung eines angezeigten Satzes von Operationen ausführen kann, die ausgebildet sind, um vorbestimmte Verfolgungsdaten zu erzeugen.
  4. Das Verfahren gemäß einem der Ansprüche 2-3, ferner umfassend ein Auswählen der zumindest einen computerausführbaren Anweisung aus einer Datenbank von computerausführbaren Anweisungen zur Bewertung der funktionalen Sicherheit von elektronischen Schaltungen.
  5. Das Verfahren gemäß einem der Ansprüche 1-4, wobei das System eine integrierte Schaltung umfasst, umfassend: die erste Schaltung; die zweite Schaltung; und die Sicherheits-Bewertungsschaltung.
  6. Das Verfahren gemäß einem der Ansprüche 1-5, wobei die Sicherheits-Bewertungsschaltung in einer ersten integrierten Schaltung gepackaged ist und die erste Schaltung und die zweite Schaltung in einer zweiten integrierten Schaltung gepackaged sind, wobei die erste und zweite integrierte Schaltung getrennt und verschieden voneinander sind.
  7. Das Verfahren gemäß einem der Ansprüche 1-6, ferner umfassend: Kennzeichnen der Verfolgungsdaten, um anzuzeigen, dass die Verfolgungsdaten Informationen anzeigen, die nützlich sind beim Bestimmen, ob das System die Funktion mit dem angezeigten Pegel von funktionaler Sicherheit ausführen kann; und Filtern, unter Verwendung der zweiten Schaltung, der Verfolgungsdaten, basierend auf der Kennzeichnung.
  8. Das Verfahren gemäß einem der Ansprüche 1-7, wobei die Schnittstelle zu der ersten Schaltung eine Mehrzahl von Schnittstellen umfasst, und das Verfahren ferner ein Ausbilden der zweiten Schaltung umfasst, um eine Schnittstelle aus der Mehrzahl von Schnittstellen auszuwählen, von der die Verfolgungsdaten erfasst werden sollen, basierend auf zumindest einem aus: der Funktion, ausgeführt durch die erste Schaltung, Sicherheitskriterien zum Bestimmen, ob das System die Funktion mit dem angezeigten Pegel von funktionaler Sicherheit ausführen kann, oder dem angezeigten Pegel von funktionaler Sicherheit.
  9. Das Verfahren gemäß einem der Ansprüche 1-8, ferner umfassend ein periodisches Erfassen der Verfolgungsdaten.
  10. Das Verfahren gemäß einem der Ansprüche 1-9, ferner umfassend ein Erfassen der Verfolgungsdaten als Antwort auf ein Auftreten eines Ereignisses, zugeordnet zu der Operation des Systems.
  11. Das Verfahren gemäß einem der Ansprüche 1-10, ferner umfassend: Ausführen, unter Verwendung der ersten Schaltung, der Funktion basierend auf Operationen einer Software-Anwendung, wobei die erhaltenen Verfolgungsdaten zumindest eines umfassen aus: Daten, ausgewählt durch die Software-Anwendung, digitalen Signaturen, zugeordnet zu der Software-Anwendung, Daten, die Operationen anzeigen, die von der ersten Schaltung ausgeführt werden, unverarbeiteten Daten, erfasst an der Schnittstelle auf der ersten Schaltung, oder einem Zeitstempel.
  12. Das Verfahren gemäß einem der Ansprüche 1-11, ferner umfassend ein Schützen der zweiten Schaltung oder der Bewertungsschaltung vor unbefugtem Zugriff unter Verwendung eines Sicherheitsmerkmals.
  13. Eine Vorrichtung umfassend Mittel zum Ausführen eines Verfahrens wie in einem der vorangehenden Ansprüche beansprucht.
  14. Eine maschinenlesbare Speicherung, umfassend maschinenlesbare Anweisungen, die bei Ausführung ein Verfahren implementieren oder eine Vorrichtung realisieren, wie in einem der vorangehenden Ansprüche beansprucht.
  15. Ein System zum Bewerten von funktionaler Sicherheit in einer integrierten Schaltung, das System umfassend: eine erste Schaltung zum Ausführen einer Operation, um das System zu veranlassen, eine Funktion durchzuführen, wobei die Funktion einem spezifizierten Sicherheitsintegritätspegel zugeordnet ist; und eine zweite Schaltung zum: Erfassen von Verfolgungsdaten an einer Schnittstelle zu der ersten Schaltung oder bei internen Signalen, ohne die Performance der Funktion zu hindern, wobei die Verfolgungsdaten Informationen umfassen, die für die Bestimmung verwendet werden, ob das System die Funktion mit einem angezeigten Pegel von funktionaler Sicherheit ausführen kann, und Übertragen der Verfolgungsdaten an eine Sicherheits-Bewertungsschaltung.
  16. Ein Verfahren zum Bestimmen der funktionalen Sicherheit eines Systems, das von einer integrierten Schaltung betätigt wird, das Verfahren umfassend: Anpassen einer Hardware-Verfolgungsinfrastruktur der integrierten Schaltung, um funktionale Sicherheitsdaten in Daten zu identifizieren, die über eine Schnittstelle an ein Element der integrierten Schaltung oder ihre internen Signale kommuniziert werden, wobei die funktionalen Sicherheitsdaten Daten umfassen, die nützlich sind, um zu bestimmen, ob die Operation der integrierten Schaltung anzeigt, dass das System eine spezifizierte Funktion sicher ausführen kann; Erfassen der funktionalen Sicherheitsdaten an einem oder mehreren Verfolgungspunkten der Hardware-Verfolgungsinfrastruktur; und Bereitstellen der erfassten funktionalen Sicherheitsdaten an eine Bewertungsschaltung, wobei die Bewertungsschaltung ausgebildet ist, um eine oder mehrere Operationen auszuführen, um zu bestimmen, ob das System die spezifizierte Funktion sicher ausführen kann.
  17. Das Verfahren gemäß Anspruch 16, wobei das Anpassen der Hardware-Verfolgungsinfrastruktur der integrierten Schaltung ein programmatisches Ausbilden des einen oder der mehreren Hardware-Verfolgungspunkte umfasst, um die identifizierten funktionalen Sicherheitsdaten zu erfassen.
  18. Das Verfahren gemäß einem der Ansprüche 16-17, ferner umfassend das Filtern der funktionalen Sicherheitsdaten basierend auf zumindest einem aus einem Profil der spezifizierten Funktion, einem Sicherheitsintegritätspegel des Systems, oder einer Bandbreite einer Verbindungstruktur der Hardware-Verfolgungsinfrastruktur.
  19. Das Verfahren gemäß einem der Ansprüche 16-18, wobei als Antwort auf das Bestimmen, ob das System die spezifizierte Funktion sicher ausführen kann, die Bewertungsschaltung ferner ausgebildet ist, um eine oder mehrere Operationen auszuführen zum: Bereitstellen einer Anzeige, ob das System die spezifizierte Funktion sicher ausführen kann, Hindern der Operation des Systems, oder Ermöglichen der Operation des Systems.
  20. Das Verfahren gemäß einem der Ansprüche 16-19, wobei das Erfassen der funktionalen Sicherheitsdaten ein Erfassen der funktionalen Sicherheitsdaten während der Operation der elektronischen Schaltung umfasst, ohne die Performance der spezifizierten Funktion zu hindern.
  21. Das Verfahren gemäß einem der Ansprüche 16-20, ferner umfassend das Erfassen der gefilterten Verfolgungsdaten an der Bewertungsschaltung, periodisch oder als Antwort auf ein Ereignis.
  22. Das Verfahren gemäß einem der Ansprüche 16-21, wobei das Empfangen der Verfolgungsdaten das Empfangen von Verfolgungsdaten umfasst, umfassend zumindest eines aus: Daten, die einen Zustand einer Software-Anwendung anzeigen, die durch die integrierte Schaltung ausgeführt wird, digitalen Signaturen, zugeordnet zu der Software-Anwendung, Daten, die Operationen anzeigen, die von der integrierten Schaltung ausgeführt werden, unverarbeiteten Daten, erfasst an einer Schnittstelle auf der integrierten Schaltung, oder einem Zeitstempel.
DE102020114099.1A 2019-06-28 2020-05-26 Funktionale sicherheit über verfolgung-und-fehlerbeseitigung Pending DE102020114099A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US16/457,748 US10846439B2 (en) 2019-06-28 2019-06-28 Functional safety over trace-and-debug
US16/457,748 2019-06-28

Publications (1)

Publication Number Publication Date
DE102020114099A1 true DE102020114099A1 (de) 2020-12-31

Family

ID=68694044

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102020114099.1A Pending DE102020114099A1 (de) 2019-06-28 2020-05-26 Funktionale sicherheit über verfolgung-und-fehlerbeseitigung

Country Status (2)

Country Link
US (1) US10846439B2 (de)
DE (1) DE102020114099A1 (de)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP4087293A1 (de) * 2021-05-06 2022-11-09 Robert Bosch GmbH Verfahren und vorrichtungen zur funkkommunikation
US11709970B1 (en) * 2022-12-19 2023-07-25 Fend Incorporated One-way communication data diode on a chip

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2916229B1 (de) * 2014-03-07 2019-09-04 Airbus Opérations SAS Prüfung integrierter unabhängiger, auf einer Visualisierungsplattform gehosteter Sicherheitskomponentenebenen
WO2016020815A1 (en) * 2014-08-04 2016-02-11 Yogitech S.P.A. Method of executing programs in an electronic system for applications with functional safety comprising a plurality of processors, corresponding system and computer program product

Also Published As

Publication number Publication date
US20190370503A1 (en) 2019-12-05
US10846439B2 (en) 2020-11-24

Similar Documents

Publication Publication Date Title
DE102018113625A1 (de) Fehlerinjektionstestvorrichtung und -verfahren
DE102012212471B3 (de) Vorrichtung zum Realisieren einer physikalischen Degradations-/Tampererkennung eines digitalen ICs mittels einer (digitalen) PUF und Unterscheiden zwischen einer Degradation aufgrund von physikalischer Manipulation und aufgrund von Alterungsprozessen
DE102019112734A1 (de) Verbesserte analoge Funktionssicherheit mit Anomaliedetektion
US9702703B2 (en) System and method for monitoring driving behavior of a driver
DE102015119439A1 (de) Reduzierte Leistungsaufnahme bei Datenübertragung mit Sensoren mittels Strommodulation
WO2016096599A1 (de) Verfahren und vorrichtung zum rückwirkungsfreien erfassen von daten
AT521713B1 (de) Verfahren zur Detektion sicherheitsrelevanter Datenflüsse
DE112016004325T5 (de) Universalsensor und/oder Sensorcluster zur Bereitstellung eines Detektionsmusters
EP3379447A1 (de) Verfahren und vorrichtung zum manipulationssicheren speichern von informationen bezüglich objektbezogener massnahmen
DE102020114099A1 (de) Funktionale sicherheit über verfolgung-und-fehlerbeseitigung
DE102020114133A1 (de) Ips-soc-pll-überwachung und fehlerberichterstattung
EP0104635A2 (de) Verfahren und Anordnung zum Prüfen eines digitalen Rechners
EP3732913A1 (de) Steuereinheit und verfahren zum manipulationsgeschütztes erfassen von betriebssicherheitsrelevanten integritätsüberwachungsdaten
DE102014114877A1 (de) Eine Vorrichtung und ein Verfahren zum Bereitstellen eines Ausgangsparameters und eines Sensorbauelements
WO2022258412A1 (de) Fahrzeugdatenkommunikationssystem zur übermittlung von fahrzeugdaten
DE102011007467A1 (de) Mehrkernige integrierte Mikroprozessorschaltung mit Prüfeinrichtung, Prüfverfahren und Verwendung
EP2729857B1 (de) Dokumentation von fehlern in einem fehlerspeicher eines kraftfahrzeugs
DE102016216728A1 (de) Fehlerdiagnose in einem Bordnetz
DE102017201621A1 (de) Integrierte Schaltung für ein Steuergerät eines Kraftfahrzeugs, Verfahren zur Herstellung einer integrierten Schaltung
DE102016215213A1 (de) Vorrichtung, Steuergerät, Verfahren, Fahrzeug und Computerprogramm zum Bestimmen von Information über einen Ersatzwert für einen Sensorwert
DE112019007286T5 (de) Fahrzeuginterne steuerungsvorrichtung und fahrzeuginternes steuerungssystem
DE102020203058A1 (de) Automatisierte Zuverlässigkeitsprüfung einer infrastrukturseitigen Überwachungssensorik
DE102018008006A1 (de) Verfahren zur Aufzeichnung von Fahrzeugdaten
DE102013223234A1 (de) Zugriff auf einen Speicher
DE102021108930B3 (de) Signalprüfung

Legal Events

Date Code Title Description
R081 Change of applicant/patentee

Owner name: INTEL CORPORATION, SANTA CLARA, US

Free format text: FORMER OWNER: INTEL CORPORATION, SANTA CLARA, CALIF., US

R082 Change of representative

Representative=s name: 2SPL PATENTANWAELTE PARTG MBB SCHULER SCHACHT , DE