DE10339336A1 - Verfahren zur Entwicklung einer technischen Komponente - Google Patents

Verfahren zur Entwicklung einer technischen Komponente Download PDF

Info

Publication number
DE10339336A1
DE10339336A1 DE2003139336 DE10339336A DE10339336A1 DE 10339336 A1 DE10339336 A1 DE 10339336A1 DE 2003139336 DE2003139336 DE 2003139336 DE 10339336 A DE10339336 A DE 10339336A DE 10339336 A1 DE10339336 A1 DE 10339336A1
Authority
DE
Germany
Prior art keywords
model
modules
security
software
model information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE2003139336
Other languages
English (en)
Inventor
Melanie Dipl.-Ing. Cossy (FH)
Joachim Missel
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mercedes Benz Group AG
Original Assignee
DaimlerChrysler AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by DaimlerChrysler AG filed Critical DaimlerChrysler AG
Priority to DE2003139336 priority Critical patent/DE10339336A1/de
Publication of DE10339336A1 publication Critical patent/DE10339336A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/20Software design

Abstract

Die Erfindung betrifft die Verfahren zur Entwicklung einer technischen Komponente, insbesondere Software-Komponente, eines Verkehrsmittels, bei dem mittels eines Software-Entwicklungswerkzeugs ein Modell zur Entwicklung und/oder Simulation der Eigenschaften der technischen Komponente anhand vorab spezifizierter Eigenschaften erstellt wird. An einer Schnittstelle des Software-Entwicklungswerkzeugs werden Modellinformationen bezüglich des Modells und der Simulation der Eigenschaften der modellierten technischen Komponente bereitgestellt, mittels der an der Schnittstelle bereitgestellten Modellinformationen eine Überprüfung der modellierten Eigenschaften anhand der spezifizierten Eigenschaften erfolgt und eine Aufteilung der technischen Komponente in Funktionsmodule und Sicherheitsmodule vorgenommen wird. Die Modellinformationen werden um sicherheitsrelevante Spezifikationsinformationen ergänzt.

Description

  • Die Erfindung betrifft ein Verfahren zur Entwicklung einer technischen Komponente, insbesondere Software-Komponente, eines Verkehrsmittels.
  • Der Anteil von Software bzw. Software-Komponenten nimmt in technischen Komponenten immer mehr zu. Insbesondere hat sich die Zahl elektronischer Systeme im Kraftfahrzeug in den letzten Jahren erhöht. Der Umfang und die Komplexität der Software erfordert, dass die elektronischen Systeme auch sicherheitsrelevante Aufgaben übernehmen. Es ist deshalb wichtig durch ein geeignetes Software-Sicherheitssystem zu gewährleisten, dass sich alle elektronischen Systeme im Fahrzeug trotz der gestiegenen Komplexität sicher verhalten. Zur Gewährleistung der Sicherheit wird die Integrität und Verfügbarkeit der sicherheitsrelevanten elektronischen Systeme durch geeignete Fehlererkennungs- und Fehlerbehandlungsmaßnahmen sichergestellt.
  • Die Entwicklung von technischen Komponenten, insbesondere Software-Komponenten, erfolgt mittels graphischer Entwicklungswerkzeuge, welche eine Erhöhung des Abstraktionsniveaus sowie die Möglichkeit der automatischen Codegenerierung erlauben. Die graphischen Entwicklungswerkzeuge erlauben die Modellierung einer technischen Komponenten anhand der für diese Komponente vorgegebenen Eigenschaften. Diese Modellierung erfolgt beispielsweise anhand eines sogenannten Zustandsautomaten.
  • Ein Zustandsautomat (finite state machine) zur Modellierung von technischen Komponenten besteht aus Zuständen und Zustandsübergängen (Transitionen). Zustandsdiagramme zeigen an, bei welchem Ereignis ein Objekt von einem bestimmten Zustand in einen Nachbarzustand übergeht. Ein Nachfolgezustand hängt vom Ausgangszustand und vom eintretenden Ereignis ab.
  • Mit Hilfe der Verifikationstechnik "Model Checking" ist es möglich, die Modellierung eines Systems (das sogenannte Modell, beispielsweise ein ein System beschreibendes Programm oder ein Zustandsautomat) daraufhin zu überprüfen (Checking), ob sie die Eigenschaften aus einer bestimmten Spezifikation (Beschreibung der Eigenschaften des Modells, beispielsweise durch logische Formeln) erfüllt.
  • Ein wesentlicher Vorteil des Model Checking ist die Automatisierung des Verifikationsprozesses, wodurch es möglich ist, Systeme größerer Komplexität behandeln zu können, die mit Hilfe anderer Methoden nicht verifizierbar wären. Beispielsweise kann durch die Model Checking mittels eines Model Checkers alle mathematisch möglichen Szenarien untersucht werden, die durch Simulation und Testen nicht (oder nur mit unverhältnismäßig hohem zeitlichen Aufwand und damit Kosten) erfasst werden
  • Für eine erfolgreiche Anwendung des Verifikationsverfahrens mittels eines Model Checkers muss dem Model Checker eine formal eindeutige Spezifikation der zu modellierenden technischen Komponente vorliegen. Dies bedeutet, dass die vom Model Checker nachzuweisenden Eigenschaften der technischen Komponeten dem Model Checker als logische Formel in einer formal vom Model Checker zu verarbeitbaren Sprache vorliegen muss. Damit muss der Anwender die Spezifikation formal, d.h. eindeutig mathematisch, spezifizieren. Es gibt verschiedene An sätze, wie die Erstellung der logischen Formeln für eine zu überprüfendes System, hier technischer Komponente, erfolgt.
  • Die Ansätze versuchen mittels graphischer Benutzeroberflächen die Eingabe der logischen Formeln zu erleichtern.
  • Bei der Modellierung von technischen Komponenten, insbesondere Software-Komponenten ist es vorteilhaft, die Software der technischen Komponente in Funktions- und Sicherheitsmodule aufzuteilen. Die Funktionsmodule realisieren die funktionalen Anforderungen des technischen Systems. Die Sicherheitsmodule setzen Fehlererkennung- und Fehlerbehandlung-Maßnahmen um, wie dies in „Softwarearchitektur für sicherheitsrelevante Systeme im Automobil", M. Cossy, F. Hepperle in Extra Automotive Electronics (03/2003)) bereits veröffentlich wurde.
  • Aufgabe der Erfindung ist es, das Verfahren zur Entwicklung einer technischen Komponente, insbesondere Software-Komponente, zu verbessern.
  • Diese Aufgabe wird erfindungsgemäß durch die Merkmale des Anspruchs 1 gelöst. Danach wird eine Aufteilung des Modells der technischen Komponente in Funktionsmodule und Sicherheitsmodule derart vorgenommen, dass die Sicherheitsmodule als Steuergröße die Betriebsart der Funktionsmodule ausgeben und die Modellinformationen der Sicherheitsmodule vom Software-Entwicklungswerkzeug an der Schnittstelle bereitgestellt werden. Diese Modellinformationen werden zur Festlegung der formal eindeutig spezifizierten Eigenschaften eingesetzt.
  • Die Erfindung ermöglicht die formale, d.h. die mathematisch vollständige, Verifikation der Spezifikation der technischen Komponente, insbesondere der Sicherheitsmodule, eines komplexen elektronischen Systems. Es wird mathematisch nachgewiesen, dass die Spezifikationen der Sicherheitssoftware wichtige sicherheitsrelevante Eigenschaften besitzt. Spezifikationsfehler werden erkannt und können frühzeitig vor der Umset zung eines Systems korrigiert werden. Die Kosten für eine Fehlerbehebung werden dadurch minimiert. Mit Hilfe der formalen Verifikation lässt sich die Qualität und Korrektheit der Spezifikationen ohne zeitaufwändige manuelle Reviews nachweisen. Eine qualitativ hochwertige Spezifikation führt zu einer erhöhten Softwarequalität und damit zu einer Reduzierung der Zahl von Fehlern, die erst im Feld erkannt werden.
  • Bevorzugt werden Modellinformationen wie zulässige Betriebsarten und/oder benötigte Komponenten in der jeweiligen Betriebsart der Sicherheitsmodule vom Software-Entwicklungswerkzeug zur Verfügung gestellt.
  • Die Sicherheitsmodulen bestehen aus Fehlererkennungsmodulen, Softwareschnittstellen-Modulen und Softwarekontroll-Modulen. Wird ein Fehlverhalten einer Hardware- oder Software-Komponente erkannt, entscheiden die Funktionsmodule nicht selbstständig, wie auf dieses Fehlverhalten reagiert werden muss, sondern die Sicherheitsmodule geben den einzelnen Funktionsmodulen eine passende Betriebsart als Steuergröße vor. Funktionsmodule realisieren die funktionalen Anforderungen.
  • Werden die Modellinformationen in Form von einheitlichen Tabellen zur Verfügung gestellt, wird die formale Spezifikation deutlich vereinfacht, da die Identifikation der gewünschten Eigenschaften und die Analyse, wie diese Eigenschaften vollständig und formal verifiziert werden können, nicht mehr erforderlich ist. Bevorzugt ähneln die Tabellen Dokumenten, die bereits im Rahmen des Entwicklungsablaufs bestehender Systeme erstellt und verwendet werden. Dadurch wird die Akzeptanz erhöht und die Hemmschwelle erniedrigt, formale Methoden einzusetzen. Ein etwaiger Zusatzaufwand wird minimiert.
  • Werden entsprechende Tabellen zu den aktuellen Sicherheitsmodulen automatisch an einer Schnittstelle generiert, wird der Aufwand weiter vermindert. Soll eine konkrete Spezifikation formal verifiziert werden, können aufgrund des einheitlichen Aufbaus der Tabellen die benötigten Tabellen passend zu den aktuellen Spezifikationen automatisch generiert und Toolunterstützt ausgefüllt werden.
  • Dies gilt ebenso, wenn die Tabellen in eine formale Spezifikationssprache transformiert werden. Bevorzugt wird als formale Spezifikationssprache eine Baumlogik CTL (Computation Tree Logic) verwendet. Die tabellarische Darstellung der sicherheitsrelevanten Eigenschaften kann automatisiert in die formale Spezifikationssprache transformiert werden, so dass es mit Hilfe eines Mittels zur Überprüfung, insbesondere eines so genannten Model Checkers, möglich ist, einen mathematisch vollständigen Sicherheitsnachweis zu erbringen.
  • Zweckmäßigerweise erfolgt die Ergänzung der Modellinformationen mit einem Graphical User Interface (GUI). Dadurch wird dieser Schritt besonders benutzerfreundlich.
  • Vorzugsweise wird nach der Erkennung eines Spezifikationsfehlers zur Ursachenanalyse eine Trennung zwischen einem Fehler in der Modellierung mittels des Software-Entwicklungswerkzeugs und einem Fehler der ergänzten sicherheitsrelevanten Spezifikationsinformationen durchgeführt.
  • Eine Vorrichtung zur Entwicklung einer technischen Komponente, insbesondere Software-Komponente, eines Verkehrsmittels, sieht Mittel zur Ergänzung der Modellinformationen um sicherheitsrelevante Spezifikationsinformationen vor.
  • Vorzugsweise umfassen die Sicherheitsmodule Fehlererkennungs- und Softwareschnittstellen- und Softwarekontroll-Module, wobei Mittel zur Ausgabe von Modellinformationen der Sicherheitsmodule bezüglich Betriebsart und benötigter Komponente in der Betriebsart vorhanden sind.
  • Bevorzugt sind Mittel zur automatischen Generierung von Tabellen mit den Modellinformationen zu den aktuellen Sicher heitsmodulen an einer Schnittstelle vorgesehen, wobei die Tabellen von dem Software-Entwicklungswerkzeug generiert werden.
  • Zudem sind Mittel zur Transformation der Tabellen in eine formale Spezifikationssprache vorgesehen, damit diese vom Model Checker bearbeitbar sind.
  • Es gibt nun verschiedene Möglichkeiten, die Lehre der vorliegenden Erfindung in vorteilhafter Weise auszugestalten und weiterzubilden. Dazu ist einerseits auf die untergeordneten Ansprüche und andererseits auf die nachfolgende Erläuterung einer Ausführungsform zu verweisen. Es sollen auch die vorteilhaften Ausgestaltungen einbezogen sein, die sich aus einer beliebigen Kombination der Unteransprüche ergeben.
  • Im Folgenden wird die Erfindung anhand eines in einem Flussdiagramm dargestellten Ausführungsbeispiels beschrieben. Dabei zeigt:
  • 1 den Verfahrensablauf in einem Flussdiagramm.
  • Das Ausführungsbeispiel betrifft ein Verfahren zur Entwicklung einer technischen Komponente, insbesondere Software-Komponente, eines Verkehrsmittels, bei dem mittels eines Software-Entwicklungswerkzeugs ein Modell der technischen Komponente anhand vorgegebener Eigenschaften erstellt wird. An einer Schnittstelle des Software-Entwicklungswerkzeugs werden Modellinformationen bezüglich des Modells der modellierten technischen Komponente bereitgestellt, wobei mittels der an der Schnittstelle bereitgestellten Modellinformationen eine Überprüfung der modellierten Eigenschaften anhand von formal eindeutig spezifizierten Eigenschaften erfolgt.
  • Eine Aufteilung des Modells der technischen Komponente in Funktionsmodule und Sicherheitsmodule wird derart vorgenommen, dass die Sicherheitsmodule als Steuergröße die Betriebs art der Funktionsmodule ausgeben und Modellinformationen der Sicherheitsmodule vom Software-Entwicklungswerkzeug an der Schnittstelle bereitgestellt werden. Diese Modellinformationen werden zur Festlegung der formal eindeutig spezifizierten Eigenschaften eingesetzt.
  • Als technische Komponente ist beispielhaft eine technische Komponente aus dem Kraftfahrzeugbereich wie beispielsweise ABS (Anti-Blockier-System), ASR (Anti-Schlupfregelung), ESP (Elektronisches Stabilitätsprogramm) oder elektronisches Gaspedal usw. beispielhaft angeführt.
  • Das Software-Entwicklungswerkzeug weist ein Werkzeug zur Modellierung eines Zustandsautomaten auf. Das Software-Entwicklungswerkzeug ist von der Fa. MATHWORKS. Das Werkzeug hat den Namen MATLAB-Simulink-Stateflow.
  • Als Mittel zur Überprüfung der modellierten Eigenschaften wird ein SMV-Model-Checker (Symbolic Model Verifier) eingesetzt, welcher über das Internet (http://www-cad.eecs.berkeley.edu) frei zugänglich ist.
  • Die Modellierung der technischen Komponente erfolgt in Funktionsmodulen und Sicherheitsmodulen wie dies in dem eingangs zitierten Stand der Technik sowie in dem im Mai 2003 in dem Konferenzband "Entwicklerforum Kfz-Elektronik, Ludwigsburg" unter dem Titel "Software-Sicherheitsarchitektur für Steuergeräte im Fahrzeug" veröffentlicht wurde.
  • Bei dieser Art der Modellierung werden, um die sicherheitsrelevanten Eigenschaften zu definieren, Sicherheitsmodule eines elektronischen Systems mit einem Software-Sicherheitssystem spezifiziert. Mit diesem Software-Sicherheitssystem werden die Funktionsmodule von Sicherheitsmodulen getrennt. Mit Hilfe von Überwachungen, Sicherheitsschnittstellen-Modulen und Sicherheitskontroll-Modulen wird eine korrekte Fehlererkennung und Fehlerbehandlung durchgeführt. Das Verhalten der Sicherheitsschnittstellen-Module und Sicherheitskontroll-Module wird durch Zustandsautomaten beschrieben.
  • In dem Flussdiagramm gemäß 1 ist dargestellt, dass nach der Erkennung eines Spezifikationsfehlers zur Ursachenanalyse eine Trennung zwischen einem Fehler in der Modellierung mittels des Software-Entwicklungswerkzeugs und einem Fehler der ergänzten sicherheitsrelevanten Spezifikationsinformationen durchgeführt wird.
  • Die Funktionssoftware wird durch Funktionsmodule realisiert. Funktionsmodule realisieren die funktionalen Anforderungen. Ein typisches Fahrzeugregelsystem besteht beispielsweise aus drei Funktionsmodulen „Input", „Control" und „Output", wobei das Funktionsmodul „Input" beispielsweise zur Erfassung von Sensorgrößen dient, das Funktionsmodul „Output" zugehörige Aktoren steuert oder regelt und das Funktionsmodule „Control" eine auf diesen Basisfunktionen aufbauende höhere Funktion realisiert.
  • Durch die verschiedenen Arten der Funktionserfüllung des Funktionsmoduls wird bestimmt, welche Hardware-Ressourcen zur Erbringung der Funktion verwendet werden.
  • Die Zustandsautomaten für die verschiedenen Module (Funktions- und/oder Sicherheitsmodule) werden mittels des Werkzeugs MATLAB-Simulink-Stateflow generiert.
  • Die Sicherheitssoftware wird durch Softwaremodule zur Fehlererkennung und Fehlerbehandlung realisiert.
  • Nach der Fehlererkennung einer Hardware- oder Softwarekomponente wird mit Hilfe der Sicherheitssoftware zur Fehlerbehandlung den jeweiligen Funktionsmodulen eine entsprechende Betriebsart vorgegeben.
  • Für die Fehlerbehandlung werden Sicherheitsschnittstellen-Module und Sicherheitskontroll-Module generiert. Mit den Sicherheitsschnittstellen-Modulen wird der Status der Hardware- und Softwarekomponente erfasst. Die Sicherheitskontroll-Module bestimmen die aktuellen Betriebsarten der Funktionsmodule.
  • Für die formal eindeutige Spezifikation der Eigenschaften der Sicherheitssoftware der technischen Komponenten werden einheitliche Tabellen verwendet. Die Tabellen werden aus den an einer Schnittstelle des Werkzeugs MATLAB-Simulink bereitgestellten Daten erstellt. Diese Tabellen werden mittels einer graphischen Benutzeroberfläche (Graphical User Interface – GUI) ausgefüllt. Anschließend werden die Tabellen in eine formale Spezifikationssprache transformiert. Es wird beispielsweise eine temporale Logik CTL (Computation Tree Logic) für die Generierung der formalen Sicherheitseigenschaften verwendet.
  • Anschließend werden die formale Repräsentation der Modellinformationen der Zustandsautomaten und die ergänzten sicherheitsrelevanten Spezifikationsinformationen einer Syntaxprüfung unterzogen. Nach erfolgreicher Syntaxprüfung wird mit Hilfe eines Model Checkers eine Überprüfung zwischen modellierter Komponente und formal eindeutig spezifizierter Eigenschaften durchgeführt. Hierbei werden alle mathematisch möglichen Szenarien, welche aufgrund des modellierten Zustandsautomaten möglich sind, durchgespielt. Dies reduziert den Testaufwand deutlich, da alle möglichen Szenarien automatisch, also ohne manuelle Steuerung von Eingangsdaten, überprüft werden.
  • Aus der nachweisbar korrekten Spezifikation kann mit Hilfe eines Codegenerators der lauffähige Code der technischen Komponente generiert werden. Zudem kann die nachweisbar korrekte Spezifikation als ausführbare Spezifikation zum Test der technischen Komponente in ihrem weiteren Umfeld eingesetzt werden. Dies reduziert den Testaufwand deutlich, insbesondere wenn eine Einbindung der ausführbaren Spezifikation in die Testumgebung, z.B. einem Software-in-the-Loop Prüfstand erfolgt.
  • Entsprechend der Erfindung wird die Sicherheitssoftware bzw. die Sicherheitsmodule eines elektronischen Systems auf zwei Arten mit unterschiedlichen Schwerpunkten definiert. Zum eine werden mit den modellierten Zustandsautomaten alle Details der Sicherheitslogik beschrieben und zum anderen werden mit den aus den Tabellen generierten CTL Formeln alle sicherheitsrelevanten Eigenschaften definiert. Die Konsistenz dieser zwei Spezifikationsformen wird mittels eines Model Checkers formal sichergestellt.
  • Es ist vorteilhaft, wenn die zwei Spezifikationsformen von unterschiedlichen Teams erstellt werden. Eine Variante ist, dass die Zustandsautomaten von einem Software-Entwicklungsteam modelliert werden und die Tabellen von einem Team erstellt werden, das für das Sicherheitskonzept des Gesamtssystems verantwortlich ist. Die unterschiedlichen Spezifikationsformen werden gegeneinander geprüft. Eine weitere Variante ist, dass von einem Automobilhersteller die Tabellen und von einem Zulieferer die Zustandsautomaten spezifiziert werden, wobei die zeitliche Reihenfolge dieser Tätigkeiten entweder sequentiell oder parallel erfolgen kann.
  • Beispielhaft wird das Verfahren in der Entwicklung eines elektronischen Gaspedal ausgeführt. Das elektronische Gaspedal besteht aus vier Funktionsmodulen. Das erste Funktionsmodul ermittelt mit Hilfe von zwei Pedalwegsensoren die aktuelle Gaspedalstellung. Das zweite Funktionsmodul regelt die Drosselklappe mit Hilfe eines Gleichstrommotors entsprechend des Fahrerwunsches. Das dritte und vierte Funktionsmodul realisieren Zusatzfunktionen. Das dritte Funktionsmodul ermittelt, ob der Fahrer sehr schnell vom Gaspedal geht. Das vierte Funktionsmodul berechnet mit Hilfe der Motortemperatur, die durch einen Temperatursensor ermittelt wird, einen Offset, der zur gewünschten Drosselklappenstellung addiert und subtrahiert wird. Diesen vier Funktionsmodulen ist jeweils ein Sicherheitskontrollmodul zur Ermittlung seiner aktuellen Betriebsart zugeordnet.
  • Die Betriebsartenkombinationen, die als Betriebszustände eines elektronischen Gaspedals zulässig sind, werden als sicherheitsrelevante Spezifikationsinformationen ergänzt und anschließend mathematisch formal mittels des Model Checkers verifiziert.
  • Um den Anwender bei der Definition der zulässigen Betriebsartenkombinationen zu unterstützen, werden aus dem Software-Entwicklungswerkzeug die Modellinformationen der Sicherheitskontroll-Module extrahiert, welche die Informationen über mögliche Betriebsarten, mögliche Betriebsartenkombination sowie benötigter Komponenten enthält. Diese Modellinformationen werden in Tabellen bereitgestellt. Die Werkzeugunterstützung stellt sicher, dass in jede Spalte der Tabelle nur Betriebsarten eingetragen werden, die das von dem Sicherheitsmodul gesteuerte Funktionsmodul besitzt. Vorteilhaft ist hier, dass der Anwender lediglich die erreichbaren Betriebsartenkombinationen bezüglich ihrer Zulässigkeit zu beurteilen hat.
  • Zur Definition der notwendigen Betriebsarten wird der Informationsfluss zwischen den Funktionsmodulen automatisch analysiert, modelliert und für den Anwender aufbereitet.
  • Um optimale Funktionserbringung nachweisen zu können, werden die zulässigen Betriebsartenkombinationen priorisiert. Mit Hilfe der benötigten Komponenten wird festgestellt, welche Kombinationen in der aktuellen Situation zulässig sind. Anschließend wird überprüft, ob die Priorisierung eingehalten wird.
  • Mittels sicherheitsrelevanter Eigenschaften wird außerdem überprüft, wie viele Fehler toleriert werden dürfen, ohne das gravierende Einschränkungen der Funktionalität stattfinden. Um formal nachzuweisen, dass ein bestimmte Anzahl von Fehlern toleriert wird, werden die möglichen Betriebsartenkombinationen entsprechen dem Kriterium „Funktion erfüllt" klassifiziert.

Claims (12)

  1. Verfahren zur Entwicklung einer technischen Komponente, insbesondere Software-Komponente, eines Verkehrsmittels, – bei dem mittels eines Software-Entwicklungswerkzeugs ein Modell der technischen Komponente anhand vorgegebener Eigenschaften erstellt wird, – bei dem an einer Schnittstelle des Software-Entwicklungswerkzeugs Modellinformationen bezüglich des Modells der modellierten technischen Komponente bereitgestellt werden, – wobei mittels der an der Schnittstelle bereitgestellten Modellinformationen eine Überprüfung der modellierten Eigenschaften anhand von formal eindeutig spezifizierten Eigenschaften erfolgt, dadurch gekennzeichnet, dass – eine Aufteilung des Modells der technischen Komponente in Funktionsmodule und Sicherheitsmodule derart vorgenommen wird, dass die Sicherheitsmodule als Steuergröße die Betriebsart der Funktionsmodule ausgeben, – Modellinformationen der Sicherheitsmodule vom Software-Entwicklungswerkzeug an der Schnittstelle bereitgestellt werden und – die Modellinformationen zur Festlegung der formal eindeutig spezifizierten Eigenschaften eingesetzt werden.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Modellinformationen um sicherheitsrelevante Spezifikationsinformationen ergänzt werden.
  3. Verfahren nach Anspruch 2, dadurch gekennzeichnet, dass die sicherheitsrelevanten Spezifikationsinformationen umfassen: – zulässige Betriebsartenkombinationen und/oder – in der jeweiligen Betriebsart verwendete Komponente.
  4. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass das Sicherheitsmodul in Fehlererkennungsmodule und Sicherheitsschnittstellen-Module und Sicherheitskontroll-Module aufgeteilt wird.
  5. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass die Modellinformationen in Form von einheitlichen Tabellen zur Verfügung gestellt werden.
  6. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass die Tabellen zu den Sicherheitsmodulen mittels des Software-Entwicklungswerkzeugs werden.
  7. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass die Tabellen in eine formale Spezifikationssprache des Mittels zur Überprüfung des Modells transformiert werden.
  8. Verfahren nach Anspruch 7, dadurch gekennzeichnet, dass als formale Spezifikationssprache eine temporale Logik CTL (Computation Tree Logic) verwendet wird.
  9. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass die Ergänzung der Modellinformationen mit einem Graphical User Interface (GUI) erfolgt.
  10. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass nach der Erkennung eines Spezifikationsfehlers zur Ursachenanalyse eine Trennung zwischen einem Fehler in der Modellierung mittels des Software-Entwicklungswerkzeugs und einem Fehler der ergänzten sicherheitsrelevanten Spezifikationsinformationen durchgeführt wird.
  11. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass bei der Überprüfung der modellierten Eigenschaften die Modellinformationen mit den formal eindeutig spezifizierten Eigenschaften überprüft werden, indem für beliebige Eingangsgrößen die Ausgangsgrößen ermittelt und verglichen werden.
  12. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass das Software-Entwicklungswerkzeug die Modellierung von Zustandsautomaten zur Modellierung der technischen Komponente ermöglicht und die Überprüfung des mit Hilfe des Zustandsautomaten definierten Modells mittels eines Model Checkers erfolgt.
DE2003139336 2003-08-25 2003-08-25 Verfahren zur Entwicklung einer technischen Komponente Withdrawn DE10339336A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE2003139336 DE10339336A1 (de) 2003-08-25 2003-08-25 Verfahren zur Entwicklung einer technischen Komponente

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE2003139336 DE10339336A1 (de) 2003-08-25 2003-08-25 Verfahren zur Entwicklung einer technischen Komponente

Publications (1)

Publication Number Publication Date
DE10339336A1 true DE10339336A1 (de) 2005-03-24

Family

ID=34202083

Family Applications (1)

Application Number Title Priority Date Filing Date
DE2003139336 Withdrawn DE10339336A1 (de) 2003-08-25 2003-08-25 Verfahren zur Entwicklung einer technischen Komponente

Country Status (1)

Country Link
DE (1) DE10339336A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102009058058A1 (de) 2009-12-14 2011-06-16 Basf Se Verfahren zur Polymerisationsinhibierung von (Meth)acrylsäure und/oder Meth)acrylsäureestern

Non-Patent Citations (8)

* Cited by examiner, † Cited by third party
Title
AMMANN,P.,et.al.: Using a model checker to test safety properties. In: Proceedings of the seventh IEEE International Conference on Engineering of Complex Systems, 2001, 11.-12.Juni 2001,S.212-221 *
AMMANN,P.,et.al.: Using a model checker to test safety properties. In: Proceedings of the seventh IEEE International Conference on Engineering of Complex Systems, 2001, 11.-12.Juni 2001,S.212-221;
COSSY,M.,HEPPERLE,F.: Softwarearchtiktur für sicherheitsrelevante Systeme im Automobil. In: Automotive Eelctronics, 1/2003,S.2-6 *
COSSY,M.,HEPPERLE,F.: Softwarearchtiktur für sicherheitsrelevante Systeme im Automobil. In: Automotive Eelctronics, 1/2003,S.2-6;
COSSY,M.: Software Safety Architecture to Fullfill Increased Safety and Availability Requirements. In: SAE 2003, World Congress, March 2003, Detroit,USA,S.2003-01-0102, S.1-8, www.sae.org *
COSSY,M.: Software Safety Architecture to Fullfill Increased Safety and Availability Requirements. In: SAE 2003, World Congress, March 2003, Detroit,USA,S.2003-01-0102, S.1-8, www.sae.org;
HUUCK,Ralf,et.al.: Verifying Untimed and Timed Aspects of the Experimental Batch Plant. In: European Journal of Control,Vol.7, No.4,S.400-415,2001 *
HUUCK,Ralf,et.al.: Verifying Untimed and Timed Aspects of the Experimental Batch Plant. In: European Journal of Control,Vol.7, No.4,S.400-415,2001;

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102009058058A1 (de) 2009-12-14 2011-06-16 Basf Se Verfahren zur Polymerisationsinhibierung von (Meth)acrylsäure und/oder Meth)acrylsäureestern
WO2011082952A1 (de) 2009-12-14 2011-07-14 Basf Se Verfahren zur polymerisationsinhibierung von (meth)acrylsäure und/oder meth)acrylsäureestern
US8491758B2 (en) 2009-12-14 2013-07-23 Basf Se Process for inhibiting polymerization of (meth)acrylic acid and/or (meth)acrylic esters

Similar Documents

Publication Publication Date Title
EP2770389B1 (de) Verfahren zur Durchführung einer Konfiguration eines Steuergeräte-Testsystems
EP2685382B1 (de) Verfahren und Vorrichtung zum Erstellen und Testen eines Steuergeräteprogramms
DE102017211433B4 (de) Verfahren zum Durchführen eines Funktionstests eines Steuergeräts in einem Hardware-in-the-Loop-Test, HIL-Test, sowie HIL-Prüfstand und Steuergerät
EP3451202B1 (de) Verfahren zum erzeugen eines auf einem testgerät ausführbaren modells eines technischen systems und testgerät
EP3709166B1 (de) Verfahren und system zur sicheren signalmanipulation für den test integrierter sicherheitsfunktionalitäten
EP1428126A2 (de) Verfahren zur softwareverifikation für steuereinheiten und verifikationssystem
EP3306295B1 (de) Verfahren und vorrichtung zum testen elektronischer steuerungen, insbesondere zum testen von automobilsteuerungen
EP1860565A1 (de) Verfahren zur Funktionsprüfung eines Steuergeräts für ein Kraftfahrzeug
EP2483775A1 (de) Verfahren und anordnung zum installieren und konfigurieren eines computersystems
WO2005040838A1 (de) System und verfahren zum testen von steuervorgängen bei einem fahrzeug
EP1483745A2 (de) Einrichtung und verfahren zur beurteilung und erzielung von sicherheit bei systemen sowie entsprechendes computerprogramm
WO2015035438A1 (de) Verfahren zur verifizierung generierter software sowie verifizierungseinrichtung zum durchführen eines solchen verfahrens
DE10228610A1 (de) Verfahren zum Überprüfen eines auf einer elektronischen Recheneinheit ablaufenden Steuerprogramms
DE10339336A1 (de) Verfahren zur Entwicklung einer technischen Komponente
EP3979009A1 (de) Erzeugen eines vereinfachten modells für xil-systeme
EP3933593A1 (de) Verfahren und computerprogramm zum testen eines technischen systems
EP3783493A1 (de) Verfahren zum testen eines systems auf eine anforderung
AT511297B1 (de) Verfahren zur Erzeugung eines Modells einer Kommunikationsaufgabe
DE102009054137A1 (de) Verfahren zum Testen einer Applikation hinsichtlich ihrer Performanz
DE102010014720A1 (de) Verfahren zum Verifizieren eines aus einem Quellmodell generierten Zielprogramms
WO2021105103A1 (de) Verfahren und software-werkzeug zum vornehmen ausführbarer spezifikationen bei der systementwicklung oder -validierung komplexer funktionaler systeme
DE102016101853A1 (de) Computerimplementiertes Verfahren zur Simulation eines Restbus-Steuergeräteverbundes
EP3764185A1 (de) Verfahren zum testen eines systems
DE102023102523A1 (de) Verfahren zum effizienten szenariobasierten Testen eines automatisierten Fahrsystems
EP2960731A1 (de) Verfahren zur Unterbrechung der Ausführung eines Gesamtprogramms eines elektronischen Steuergeräts

Legal Events

Date Code Title Description
OM8 Search report available as to paragraph 43 lit. 1 sentence 1 patent law
8127 New person/name/address of the applicant

Owner name: DAIMLERCHRYSLER AG, 70327 STUTTGART, DE

8127 New person/name/address of the applicant

Owner name: DAIMLER AG, 70327 STUTTGART, DE

8130 Withdrawal