DE10312557A1 - Verfahren zur Überprüfung der funktionalen Sicherheit von elektronischen Systemen eines Fahrzeugs - Google Patents

Verfahren zur Überprüfung der funktionalen Sicherheit von elektronischen Systemen eines Fahrzeugs Download PDF

Info

Publication number
DE10312557A1
DE10312557A1 DE2003112557 DE10312557A DE10312557A1 DE 10312557 A1 DE10312557 A1 DE 10312557A1 DE 2003112557 DE2003112557 DE 2003112557 DE 10312557 A DE10312557 A DE 10312557A DE 10312557 A1 DE10312557 A1 DE 10312557A1
Authority
DE
Germany
Prior art keywords
functional
model
vehicle
component
diagnostic
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE2003112557
Other languages
English (en)
Other versions
DE10312557B4 (de
Inventor
Frank Henecker
Ulrich Dr. Siebel
Andreas Breuer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Audi AG
Volkswagen AG
Original Assignee
Audi AG
Volkswagen AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Audi AG, Volkswagen AG filed Critical Audi AG
Priority to DE2003112557 priority Critical patent/DE10312557B4/de
Publication of DE10312557A1 publication Critical patent/DE10312557A1/de
Application granted granted Critical
Publication of DE10312557B4 publication Critical patent/DE10312557B4/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01RMEASURING ELECTRIC VARIABLES; MEASURING MAGNETIC VARIABLES
    • G01R31/00Arrangements for testing electric properties; Arrangements for locating electric faults; Arrangements for electrical testing characterised by what is being tested not provided for elsewhere
    • G01R31/005Testing of electric installations on transport means

Abstract

Der Erstellungsaufwand von Applikationen beziehungsweise Funktionsmodellen soll reduziert werden. Hierzu wird ausgenutzt, dass in Fahrzeugen vielfach auch Diagnosemodelle zum Ermitteln von Fehlerursachen eingesetzt werden. Diese Diagnosemodelle können üblicherweise auch Funktionsverhalten bestimmter Komponenten simulieren und so parallel zum Funktionsmodell in der Applikation eingesetzt werden. Um aus sicherheitstechnischen Gründen eine gewisse Diversität zu gewährleisten, muss daher nicht ein Funktionsmodell mehrfach entwickelt werden, sondern es kann auf das Diagnosemodell zurückgegriffen werden.

Description

  • Die vorliegende Erfindung betrifft ein Verfahren zum Überprüfen der funktionalen Sicherheit von elektronischen Systemen eines Fahrzeugs und/oder mindestens einer seiner Komponenten. Dabei werden hier sowie in den nachfolgenden Ausführungen unter dem Begriff „Fahrzeug" neben Kraftfahrzeugen auch Flugzeuge, Schiffe und schienengeführte Fahrzeuge verstanden.
  • Sicherheitskritische Applikationen zur Steuerung von Fahrzeugen müssen hinsichtlich ihrer Korrektheit, Zuverlässigkeit und Vollständigkeit besondere Anforderungen erfüllen (siehe Norm IEC 61508, Funktionale Sicherheit, sicherheitsbezogene elektrische, elektronische, programmierbare elektronische Systeme). Eine derartig kritische Applikation wird beispielsweise für die elektronische Steuerung der Bremsen eines Kraftfahrzeugs benötigt.
  • Die speziellen sicherheitstechnischen Anforderungen können für betroffene Applikationsanteile dadurch erfüllt werden, dass sie diversitär entwickelt werden, d. h. es werden unterschiedliche Entwicklungstools verwendet, eventuell werden sie parallel erstellt. Nach Abschluss der vollständigen Entwicklung werden die beiden unabhängig voneinander entstandenen Applikationen parallel zur Laufzeit eingesetzt und so permanent auf Richtigkeit, Vollständigkeit usw. überprüft. Es wird also beispielsweise das Funktionsmodell eines Fahrzeugs zweimal unabhängig voneinander entwickelt und parallel eingesetzt, so dass mit hoher Wahrscheinlichkeit davon ausgegangen werden kann, dass das daraus resultierende Funktionsverhalten korrekt und zuverlässig ist.
  • Der Aufwand für derartige diversitären Prozesse und Implementierungen ist erheblich, da zwei voneinander unabhängige Systeme entwickelt werden müssen.
    •
  • Die Aufgabe der vorliegenden Erfindung besteht somit darin, den Aufwand für die Entwicklung von Funktionsapplikationen beziehungsweise Funktionsmodellen zu reduzieren.
  • Erfindungsgemäß wird diese Aufgabe gelöst durch eine Verfahren zum Überprüfen der funktionalen Sicherheit von elektronischen Systemen eines Fahrzeugs und/oder mindestens einer seiner Komponenten durch Bereitstellen eines Funktionsmodells zur Modellierung einer Funktion des Fahrzeugs oder der mindestens einen Komponente, Bereitstellen eines Diagnosemodells, durch das das Funktionsverhalten des Fahrzeugs und/oder der mindestens einen Komponente zumindest teilweise modelliert wird, zum Überwachen des Fahrzeugs und/oder der mindestens einen Komponente und paralleles Einsetzen des Diagnosemodells und Funktionsmodells hinsichtlich des Funktionsverhaltens der Fahrzeugs und/oder der Komponente.
  • Der Vorteil dieses Verfahrens besteht darin, dass das Diagnosemodell zur sicherheitsrelevanten Funktionsüberprüfung in der Applikation und ggf. während des Entwicklungsprozesses eingesetzt wird. Da auch in dem Diagnosemodell das Funktionsverhalten des Kraftfahrzeugs beziehungsweise einer seiner Komponenten zumindest teilweise simuliert wird, können die von dem System oder Funktionsmodell gelieferten Steuerungswerte beziehungsweise Simulationsergebnisse mit denen des Diagnosemodells verglichen werden. Der Entwicklungsaufwand für die Applikation kann somit deutlich reduziert werden, da ein Diagnosemodell in dem Fahrzeug in der Regel ebenfalls verwendet wird.
  • Vorzugsweise basiert das Diagnosemodell auf einem fahrzeugunabhängigen Diagnosealgorithmus. Durch die Verwendung eines Algorithmus mit universeller Grundstruktur kann der Entwicklungsaufwand weiter reduziert werden.
  • Das Diagnosemodell und das Funktionsmodell sollten unterschiedliche Grundstrukturen besitzen. Dies dient dazu, dass der Grad der Diversität vergrößert wird.
  • Das Funktionsmodell ist vorzugsweise signalorientiert und liefert somit signalorientierte Steuerungs- beziehungsweise Simulationswerte. Die signalorientierte Verarbeitung hat Vorteile bei der Steuerung von Komponenten.
  • Demgegenüber sollte das Diagnosemodell komponentenorientiert sein und somit komponentenorientierte Simulationsergebnisse liefern. Die Komponentenbezogenheit hat Vorteile bei der Ortung von Fehlerursachen.
  • Da das Funktionsmodell signalorientiert und das Diagnosemodell komponentenorientiert ist, sind schon ihre Grundstrukturen stark diversitär ausgeprägt.
  • Das Vergleichen der Steuerungs- beziehungsweise Simulationswerte des Funktions- und Diagnosemodells kann ein Überprüfen auf Vollständigkeit umfassen. Dabei kann eine Überprüfung der Vollständigkeit sowohl der Eingangsgrößen als auch der Ausgangsgrößen erfolgen. Die Überprüfung hinsichtlich der Vollständigkeit kann sich auf das gesamte Modell beziehungsweise die gesamte Applikation oder aber auf Teilbereiche beziehen.
    •
  • Die vorliegende Erfindung wird nun anhand der beigefügten Zeichnung näher erläutert, die ein Blockschaltbild des Verfahrens gemäß einer Ausführungsform der vorliegenden Erfindung wiedergibt.
  • Das nachfolgend näher beschriebene Ausführungsbeispiel stellt eine bevorzugte Ausführungsform der vorliegenden Erfindung dar.
  • Wie in der Zeichnung in Schritt 1 dargestellt ist, wird eine zentrale Anforderung in Form eines Lastenhefts für ein Steuerungssystem erstellt. Im Hinblick darauf wird entsprechend Schritt 2 ein Funktionsmodell mit den entsprechenden Entwicklungstools entwickelt. Dieses erste Entwicklungsteam ist speziell für Funktionsmodelle zuständig.
  • Ein zweites Entwicklungsteam entwickelt gemäß Schritt 3 in der Zeichnung ein Diagnosemodell. Dieses dient zum zielgerichteten Auffinden einer Fehlerursache aufgrund von detektierten oder eingegebenen Symptomen. In dem Diagnosemodell wird mindestens das Ok-Verhalten modelliert. Dieses Verhalten gibt Aufschluss darüber, welche Signale vorliegen müssten, wenn kein Fehler vorliegen würde. Auf diese Weise kann diejenige Komponente ausfindig gemacht werden, deren Funktion defekt ist.
  • An das Diagnosemodell werden grundsätzlich andere Anforderungen gestellt als an das Funktionsmodell. Zum Beispiel kann das Diagnosemodell auch wesentlich gröber als das Funktionsmodell gestaltet sein. Vielfach genügt es nämlich, dass ein ganzes Modul als fehlerhaft erkannt wird, während ihr Funktionsverhalten beziehungsweise ihre Simulation wesentlich feinstufiger erfolgen muss. Ein weiterer Unterschied zwischen dem Funktionsmodell und dem Diagnosemodell besteht darin, dass das Funktionsmodell signalorientiert ist, während das Diagnosemodell komponentenorientiert ist. Dies lässt sich beispielhaft an einer Reihenschaltung von Widerständen erklären. Für das Funktionsmodell ist beispielsweise lediglich der durch die Gesamtschaltung fließende Strom von Interesse. Im Gegensatz dazu muss von dem Diagnosemodell beispielsweise erkannt werden, welcher der beiden Widerstände defekt ist.
  • Die genannten unterschiedlichen Anforderungen an das Diagnose- beziehungsweise Funktionsmodell bedingen, dass beide Modelle mit unterschiedlichen Algorithmen realisiert werden. Da mit beiden Modellen das Funktionsverhalten mindestens einer Komponente oder des gesamten Fahrzeugs abgebildet wird, entsteht durch die unterschiedlichen Algorithmen eine Diversität. Der Grad der Diversität kann noch dadurch erhöht werden, dass für die Entwicklung des Funktionsmodells beispielsweise ein Steuerungsentwicklungsteam zuständig ist, wogegen für die Entwicklung des Diagnosemodells ein Diagnoseteam zuständig ist.
  • Mit Hilfe beider Modelle kann nun das Funktionsverhalten gemäß Schritt 4 in der Zeichnung überprüft und gegenseitig miteinander verglichen. Auf diese Weise kann ermittelt werfen, ob die einzelnen Modell zu den gleichen Ergebnissen hinsichtlich des Funktionsverhaltens führen. Dabei wird nicht nur die Qualität der Simulationsergebnisse, sondern auch deren Quantität überprüft. Entsprechend der Überprüfung kann das ein oder andere Modell ergänzt werden.
  • Vorteilhaft ist nun, dass das Diagnosemodell zur Überprüfung der sicherheitsrelevanten Funktion eingesetzt wird und so automatisch die Diversität beim Einsatz in der Applikation und ggf. während des Entwicklungsprozesses gewährleistet wird, die den sicherheitstechnischen Entwurfs- und Implementationsanforderungen genügt.
  • Ein konkreter Anwendungsfall wäre beispielsweise ein elektronisches Bremssystem. Sowohl das Entwicklungsteam der Bremsfunktion als auch das Diagnoseteam gehen von einer zentralen Spezifikation, z. B. Lastenheft, aus. Das Entwicklungsteam für die Bremsfunktion und das Diagnoseteam realisieren ihre jeweilige Applikation entkoppelt voneinander. Ein Vergleichslauf kann Hinweise darauf ergeben, ob ein Modell oder beide Modelle ergänzt werden müssen. Der parallele Einsatz von beiden Systemen (Funktions- und Diagnosemodell) garantiert so die geforderte Diversität.
  • Die beiden gemeinsam entwickelten Modelle, das Diagnosemodell und das Funktionsmodell können in das jeweilig vorgesehene Steuergerät im Kraftfahrzeug implementiert werden. Ferner besteht die Möglichkeit, beide Modelle in einem einzigen Steuergerät gemeinsam zu implementieren. Letzteres hat den Vorteil, dass weniger Daten beispielsweise über Busleitungen übertragen werden müssen. Falls jedoch getrennte Steuergeräte, ein Funktionssteuergerät und ein Diagnosesteuergerät, vorgesehen sind, ist dies hinsichtlich der Ausfallsicherheit von Vorteil.

Claims (7)

  1. Verfahren zum Überprüfen der funktionalen Sicherheit von elektronischen Systemen eines Fahrzeugs und/oder mindestens einer seiner Komponenten gekennzeichnet durch Bereitstellen (2) eines Funktionsmodells zur Modellierung einer Funktion des Fahrzeugs oder der mindestens einen Komponente, Bereitstellen (3) eines Diagnosemodells, durch das das Funktionsverhalten des Fahrzeugs und/oder der mindestens einen Komponente zumindest teilweise modelliert wird, zum Überwachen des Fahrzeugs und/oder der mindestens einen Komponente und paralleles Einsetzen (5) des Diagnosemodells und Funktionsmodells hinsichtlich des Funktionsverhaltens der Fahrzeugs und/oder der Komponente.
  2. Verfahren nach Anspruch 1, wobei das Diagnosemodell auf einem fahrzeugunabhängigen Diagnosealgorithmus basiert.
  3. Verfahren nach Anspruch 1 oder 2, wobei das Diagnosemodell und das Funktionsmodell jeweils eine unterschiedliche Grundstruktur besitzen.
  4. Verfahren nach einem der Ansprüche 1 bis 3, wobei das Funktionsmodell signalorientiert ist und somit signalorientierte Simulationsergebnisse liefert.
  5. Verfahren nach einem der Ansprüche 1 bis 4, wobei das Diagnosemodell komponentenorientiert ist und somit komponentenorientierte Simulationsergebnisse liefert.
  6. Verfahren nach einem der Ansprüche 1 bis 5, wobei Simulationsergebnisse und/oder Steuerungswerte des Funktionsmodells mit Simulationsergebnissen des Diagnosemodells betreffend das Funktionsverhalten des Fahrzeugs und/oder der mindestens einen Komponente verglichen werden.
  7. Verfahren nach einem der Ansprüche 1 bis 6, wobei das Vergleichen der Simulationsergebnisse zumindest in Teilbereichen ein Überprüfen auf Vollständigkeit der Simulationsergebnisse umfasst.
DE2003112557 2003-03-21 2003-03-21 Verfahren zur Überprüfung der funktionalen Sicherheit von elektronischen Systemen eines Fahrzeugs Expired - Fee Related DE10312557B4 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE2003112557 DE10312557B4 (de) 2003-03-21 2003-03-21 Verfahren zur Überprüfung der funktionalen Sicherheit von elektronischen Systemen eines Fahrzeugs

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE2003112557 DE10312557B4 (de) 2003-03-21 2003-03-21 Verfahren zur Überprüfung der funktionalen Sicherheit von elektronischen Systemen eines Fahrzeugs

Publications (2)

Publication Number Publication Date
DE10312557A1 true DE10312557A1 (de) 2004-10-14
DE10312557B4 DE10312557B4 (de) 2007-07-12

Family

ID=32980634

Family Applications (1)

Application Number Title Priority Date Filing Date
DE2003112557 Expired - Fee Related DE10312557B4 (de) 2003-03-21 2003-03-21 Verfahren zur Überprüfung der funktionalen Sicherheit von elektronischen Systemen eines Fahrzeugs

Country Status (1)

Country Link
DE (1) DE10312557B4 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102005031724A1 (de) * 2005-07-07 2007-01-18 Audi Ag Verfahren und Vorrichtung zur Diagnose von elektronischen Systemen eines Kraftfahrzeugs
CN102893230A (zh) * 2010-04-14 2013-01-23 空中客车德国公司 配置和/或装备尤其是飞机的运输工具舱的方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0442809A2 (de) * 1990-02-15 1991-08-21 Digital Equipment Corporation Modellgestütztes deduktives System für Netzwerksfehlerdiagnose
DE19742446A1 (de) * 1997-09-26 1999-04-22 Daimler Chrysler Ag Fehlerdiagnoseeinrichtung
DE19852560A1 (de) * 1997-11-13 1999-07-01 Fraunhofer Ges Forschung Verfahren zur Bestimmung einer Leitungssatz-Architektur für die Verknüpfung wenigstens zweier elektrischer Komponenten
DE10046742A1 (de) * 2000-09-21 2002-04-11 Daimler Chrysler Ag Vorrichtung und Verfahren für ein Fahrzeugentwurfssytem
DE10056413A1 (de) * 2000-11-14 2002-05-29 Daimler Chrysler Ag Diagnosemodul und Verfahren zum Erzeugen eines Simulationsmodells für eine Diagnose
DE10143056A1 (de) * 2001-09-03 2003-03-20 Delphi Tech Inc Verfahren zur Vorbereitung einer Computersimulation einer Kraftfahrzeugelektrik

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0442809A2 (de) * 1990-02-15 1991-08-21 Digital Equipment Corporation Modellgestütztes deduktives System für Netzwerksfehlerdiagnose
DE19742446A1 (de) * 1997-09-26 1999-04-22 Daimler Chrysler Ag Fehlerdiagnoseeinrichtung
DE19852560A1 (de) * 1997-11-13 1999-07-01 Fraunhofer Ges Forschung Verfahren zur Bestimmung einer Leitungssatz-Architektur für die Verknüpfung wenigstens zweier elektrischer Komponenten
DE10046742A1 (de) * 2000-09-21 2002-04-11 Daimler Chrysler Ag Vorrichtung und Verfahren für ein Fahrzeugentwurfssytem
DE10056413A1 (de) * 2000-11-14 2002-05-29 Daimler Chrysler Ag Diagnosemodul und Verfahren zum Erzeugen eines Simulationsmodells für eine Diagnose
DE10143056A1 (de) * 2001-09-03 2003-03-20 Delphi Tech Inc Verfahren zur Vorbereitung einer Computersimulation einer Kraftfahrzeugelektrik

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102005031724A1 (de) * 2005-07-07 2007-01-18 Audi Ag Verfahren und Vorrichtung zur Diagnose von elektronischen Systemen eines Kraftfahrzeugs
DE102005031724B4 (de) * 2005-07-07 2014-10-09 Audi Ag Verfahren und Vorrichtung zur Diagnose von elektronischen Systemen eines Kraftfahrzeugs
CN102893230A (zh) * 2010-04-14 2013-01-23 空中客车德国公司 配置和/或装备尤其是飞机的运输工具舱的方法
CN102893230B (zh) * 2010-04-14 2016-01-20 空中客车德国公司 配置和/或装备尤其是飞机的运输工具舱的方法

Also Published As

Publication number Publication date
DE10312557B4 (de) 2007-07-12

Similar Documents

Publication Publication Date Title
EP2801873B1 (de) Testeinrichtung zum Test eines virtuellen Steuergeräts
DE10307342B4 (de) Vorrichtung und Verfahren zur modellbasierten On-Board-Diagnose
EP2770389B1 (de) Verfahren zur Durchführung einer Konfiguration eines Steuergeräte-Testsystems
WO2018233935A1 (de) Vorrichtung und verfahren zur ansteuerung eines fahrzeugmoduls in abhängigkeit eines zustandssignals
EP1639465B1 (de) Verfahren zur überwachung des programmlaufs in einem mikro-computer
EP3709166B1 (de) Verfahren und system zur sicheren signalmanipulation für den test integrierter sicherheitsfunktionalitäten
EP2099667B2 (de) Verfahren zum sicherstellen oder aufrechterhalten der funktion eines komplexen sicherheitskritischen gesamtsystems
DE102007006296A1 (de) Verfahren zur Kraftcharakterisierung und Sensorsystem
EP4003823B1 (de) Verfahren zum initialisieren eines kraftfahrzeugs
DE10312557B4 (de) Verfahren zur Überprüfung der funktionalen Sicherheit von elektronischen Systemen eines Fahrzeugs
DE102009012887B4 (de) Verfahren zum Prüfen einer nicht korrekten Installation von Fahrzeugsensoren
DE102007062974B4 (de) Signalverarbeitungsvorrichtung
DE102021002302A1 (de) Verfahren zur Ablaufplanung durchzuführender Testprozesse
WO2005001692A2 (de) Verfahren und vorrichtung zur überwachung eines verteilten systems
EP3933593A1 (de) Verfahren und computerprogramm zum testen eines technischen systems
EP3173928B1 (de) Verfahren und vorrichtung zum überprüfen eines komponentenfehlerbaums
DE10307344A1 (de) Vorrichtung und Verfahren zur dezentralen On-Board-Diagnose für Kraftfahrzeuge
WO2021083659A1 (de) Schaltvorrichtung für ein bremssystem für ein fahrzeug, bremssystem mit einer schaltvorrichtung und verfahren zum betreiben einer schaltvorrichtung
DE102018217728A1 (de) Verfahren und Vorrichtung zum Schätzen von mindestens einer Leistungskennzahl eines Systems
DE102011000958A1 (de) Verfahren und System zum Testen von Software und/oder Hardware eines oder mehrerer in ein Kraftfahrzeug zu integrierender Bauteile
DE10220811B4 (de) Verfahren und Vorrichtung zur Überwachung der Funktionsweise eines Systems
DE102005031724B4 (de) Verfahren und Vorrichtung zur Diagnose von elektronischen Systemen eines Kraftfahrzeugs
WO2021219276A1 (de) Verfahren, vorrichtung, computerprogramm und computerlesbares speichermedium zum erzeugen einer graphen-datenbank zur ermittlung eines zu überprüfenden bauteils eines mechatronischen systems
DE102013201831A1 (de) Verfahren und Vorrichtung zum Analysieren von Ereignissen in einem System
EP3193221A1 (de) Signalpfadüberprüfungsvorrichtung

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8364 No opposition during term of opposition
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee