EP2954417A1 - Verfahren und vorrichtung zum analysieren von ereignissen in einem system - Google Patents

Verfahren und vorrichtung zum analysieren von ereignissen in einem system

Info

Publication number
EP2954417A1
EP2954417A1 EP13810931.9A EP13810931A EP2954417A1 EP 2954417 A1 EP2954417 A1 EP 2954417A1 EP 13810931 A EP13810931 A EP 13810931A EP 2954417 A1 EP2954417 A1 EP 2954417A1
Authority
EP
European Patent Office
Prior art keywords
component
interface
analysis
components
isolated
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP13810931.9A
Other languages
English (en)
French (fr)
Inventor
Joachim FRÖHLICH
Stefan Rothbauer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Publication of EP2954417A1 publication Critical patent/EP2954417A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0805Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
    • H04L43/0817Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking functioning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/22Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
    • G06F11/2294Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing by remote test
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]

Definitions

  • Systemkomponen ⁇ th of the system including the integrity of the component, the component analysis and the test component Softwarekompo ⁇ components that are implemented on one or more processor cores of the system.
  • the invention accordingly provides a system, in particular elekt ⁇ ronisches system that consists of system components, which internally communicate via a common data base to one another and are connected via at least a first interface of the system with a system environment of the system, the system comprising:
  • an analysis component in which the integrity of component transfers control of the isolated system component wor ⁇ aufhin the analysis component, a communication link via a second interface of the system to an external analysis unit establishes that the occurred in the isolated Sys ⁇ temkomponente event based on Komponentenda ⁇ th, the are vomit ⁇ chert in the common data base of the system analyzed.
  • An analysis component to which the integrity component passes the control of the isolated system component. alshin the analysis component, a communication link via a second interface of the system establishes with an external analysis unit which th the occurred in the isolated Sys ⁇ temkomponente event based on Komponentenda- which are vomit ⁇ chert in the common data base of the system analyzed.
  • Fig. 2 is a schematic diagram for illustrating a
  • step S1 a system component of the system is first isolated from the system environment, as long as an integrity component of the system detects the occurrence of a particular event in the system component.
  • the Integrticianskomponen ⁇ te can continuously monitor the occurrence of an event in a Systemkompo ⁇ component of the system on the basis of data stored in the common data base of the system component data.
  • the Integrticianskompo ⁇ component isolated upon occurrence of a specified event in a system component of the system this system component of the system environment, and preferably maintains the isolated system component, if possible, at least as active until an analysis of the occurred in the system ⁇ component event is completed.
  • step S3 of the method of the invention which occurred in the isolated system component events are subsequently by the external analysis unit based on the compo ⁇ nentendaten the isolated system component that stored in the common data base of the system are, analyzed.
  • the analysis component of the system may provide the information stored in the ge ⁇ common data base of the system component data of the isolated in step Sl system component of the external analysis unit over the established communications link to the analysis of the bosstre ⁇ requested in the isolated system component event.
  • the external analysis unit After making the analysis of the occurred event in the isolated system component to ⁇ least the isolated system component of the system deattentionie ⁇ ren.
  • the deactivation may be carried out in dependence on the analysis result.
  • Occurrence of a fault or specific event is isolated, however, kept active, so that further analysis of the system, for example, by an analysis program or an engineer may be performed, or to the faulty comparison of the system keep changing, and then the system as ⁇ the to be able to operate.
  • a central data area or a central database of the system is used.
  • This central Da ⁇ tenbasis provides decoupling of system components of the sys- tems with each other, since communication between the system components only via the central database.
  • a specialized test component is present, which is the central le database and write to this database, but otherwise treated by the system as any other system component.
  • the specialized test ⁇ component and a possibly connected test unit can not impermissibly affect the system performance of the system.
  • Computer of this hardware / software platform are performed. For example, does the integrity component of this hardware / software platform represent intolerable inconsistencies or fault, then the affected part of the controller or the affected system component is isolated and then ⁇ takes over a redundant system component whose Funkti ⁇ onen, since no safe operation with the faulty control part or the faulty system component is more possible.
  • the method according to the invention not only the behavior of a system component or the entire system can be logged to shutdown a faulty system component, but the faulty system component is also isolated and remains available to the test system so that it is analyzed and operationally, for example within a vehicle , if necessary, can even be repaired.
  • not only the faulty affected system component of the system but the entire system can be isolated in the manner described in the event of an error.
  • field operation ie in the operative use of the system, it depends on the respective application to what extent the system or the system component can be isolated.
  • Test component can be used either independently or as instructed by the test unit

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Computer Hardware Design (AREA)
  • Data Mining & Analysis (AREA)
  • Environmental & Geological Engineering (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Debugging And Monitoring (AREA)

Abstract

Verfahren zum Analysieren von Ereignissen, die in einem System auftreten, das aus Systemkomponenten besteht, welche intern über eine gemeinsame Datenbasis miteinander kommunizieren und über mindestens eine erste Schnittstelle des Systems mit einer Systemumgebung des Systems verbunden sind, mit den Schritten: Isolieren (S1) einer Systemkomponente des Systems von der Systemumgebung, sofern eine Integritätskomponente des Systems das Auftreten eines bestimmten Ereignisses in der Systemkomponente erkennt; Übergeben (S2) der Steuerung der isolierten Systemkomponente durch die Integritätskomponente an eine Analysekomponente des Systems, welche eine Kommunikationsverbindung über eine zweite Schnittstelle des Systems mit einer externen Analyseeinheit aufbaut; und Analysieren (S3) des in der isolierten Systemkomponente aufgetretenen Ereignisses durch die externe Analyseeinheit anhand der Komponentendaten der isolierten Systemkomponente, die in der gemeinsamen Datenbasis des Systems abgelegt sind.

Description

Beschreibung
Verfahren und Vorrichtung zum Analysieren von Ereignissen in einem System
Die Erfindung betrifft ein Verfahren und eine Vorrichtung zum Analysieren von Ereignissen, die in einem System, insbesondere einem elektronischen System auftreten, das aus Systemkomponenten besteht, welche intern über eine gemeinsame Datenba- sis miteinander kommunizieren.
Systeme, insbesondere elektronische Systeme, können aus einer Vielzahl verschiedener Systemkomponenten bestehen. Diese Systemkomponenten können einerseits Hardwarekomponenten und an- dererseits Softwarekomponenten umfassen. Weiterhin können Systemkomponenten auch Hardwarekomponenten sein, auf denen Software implementiert ist. Insbesondere bei sicherheitskri¬ tischen Systemen werden fehlerhafte Systemkomponenten bei Auftreten eines Fehlers in der Regel sofort abgeschaltet. Das sofortige Abschalten derartiger Systemkomponenten führt allerdings zu einem Verlust von Daten, die für die Analyse und Eingrenzung der Fehlerursachen notwendig sind. Wenn in einem sicherheitskritischen elektronischen System Fehler auftreten, dann wird das gesamte fehlerhafte System oder zumindest die betroffenen Systemkomponenten in vielen Anwendungen sofort abgeschaltet. Ist das betroffene System redundant ausgelegt, wird bei Erkennen eines Fehlers, der einer Systemkomponente zugeordnet und auf diese beschränkt werden kann, die betrof¬ fene fehlerhafte Systemkomponente abgeschaltet und anschlie- ßend wird die betroffene Systemkomponente entweder neu ge¬ startet, um den Fehler zu beheben und die Systemkomponente zu prüfen und in einen definierten Zustand zu versetzen oder die betroffene fehlerhafte Systemkomponente wird durch eine funk¬ tional äquivalente redundante Systemkomponente des elektroni- sehen Systems ersetzt. In beiden Fällen geht ein Großteil der benötigten Daten, wie Ereignisse oder Systemzustände, die zur Abschaltung des gesamten fehlerhaften Systems oder zumindest der fehlerhaften Systemkomponente geführt haben, nach der Ab- Schaltung verloren und steht zur Analyse und Eingrenzung der Fehlerursachen nicht mehr zur Verfügung.
Während des Betriebes eines elektronischen Systems werden bei vielen herkömmlichen elektronischen Systemen wichtige Ereignisse und Systemzustände des elektronischen Systems protokol¬ liert, wobei die protokollierten Ereignisse und Systemzustände bzw. Daten später Aufschluss für mögliche Fehlerursachen geben sollen. Beispiele für derartige herkömmliche elektroni- sehe Systeme sind sogenannte Black Boxes in Flugzeugen oder Schienenfahrzeugen oder sogenannte Event Logs auf Microsoft Windows-Systemen oder System Logs auf Unix-Systemen. Aus Platzgründen speichern derartige Systeme nur eine Auswahl an temporalen Daten in einem Datenfenster, beispielsweise die jüngsten N Datensätze. Weiterhin werden bei derartigen herkömmlichen Systemen nur diejenigen Daten in einem Datenspeicher gespeichert, welche geeignet sind, Fehler zu dokumentie¬ ren, die ein Systementwickler des Systems vor dem Systemeinsatz bedacht hat. Daher können Wartungsingenieure beispiels- weise nicht Ereignisse analysieren, die zum Ausfall von Sys¬ temfunktionen führen bzw. geführt haben, falls die Möglichkeit eines Auftretens eines entsprechenden Fehlers während der Systementwicklung nicht seitens des Systementwicklers be¬ dacht wurde oder die gespeicherten Daten außerhalb des rele- vanten Datenfensters liegen. Für die Analyse eines Fehler¬ falls stehen nur die aufgezeichneten und noch verfügbaren Daten bzw. Datensätze bereit, sofern der Datenspeicher nicht selbst von einem Fehler betroffen ist. Daher ist die Prüfung von temporären Systemzuständen an einem im Fehlerfall sofort abgeschalteten System bzw. Systemkomponente bei herkömmlichen Systemen nicht möglich.
Es ist daher eine Aufgabe der vorliegenden Erfindung, ein Verfahren und eine Vorrichtung zum Analysieren von Ereignis- sen zu schaffen, das eine Analyse des aufgetretenen Fehlers hinsichtlich seiner Fehlerursache auch nach einem Abschalten der betroffenen Systemkomponenten erlaubt. Diese Aufgabe wird erfindungsgemäß durch ein Verfahren mit den in Patentanspruch 1 angegebenen Merkmalen gelöst.
Die Erfindung schafft demnach ein Verfahren zum Analysieren von Ereignissen, die in einem System auftreten, das aus Systemkomponenten besteht, welche intern über eine gemeinsame Datenbasis miteinander kommunizieren und über eine erste Schnittstelle des Systems mit einer Systemumgebung des Sys¬ tems verbunden sind, wobei das Verfahren die folgenden
Schritte aufweist:
Isolieren einer Systemkomponente des Systems von der Systemumgebung, sofern eine Integritätskomponente des Systems das Auftreten eines bestimmten Ereignisses in der Systemkomponente erkennt,
Übergeben der Steuerung der isolierten Systemkomponente durch die Integritätskomponente an eine Analysekomponente des Sys¬ tems, welche eine Kommunikationsverbindung über eine zweite Schnittstelle des Systems mit einer externen Analyseeinheit aufbaut, und
Analysieren des in der isolierten Systemkomponente aufgetre¬ tenen Ereignisses durch die externe Analyseeinheit anhand der Komponentendaten der isolierten Systemkomponente, die in der gemeinsamen Datenbasis des Systems abgelegt sind. Mit dem erfindungsgemäßen Verfahren werden somit die zum
Zeitpunkt des Eintritts eines Fehlers vorliegenden Systemzu¬ stände und aufgezeichneten Ereignisse aufbewahrt. Dadurch steht das gesamte fehlerhafte System oder zumindest die be¬ troffene fehlerhafte Systemkomponente weiter für Analysen zur Verfügung.
Das erfindungsgemäße Verfahren kann während der Systement¬ wicklung für Tests des Systems oder zur Suche nach Fehlerursachen im Rahmen eines Fehler-Debuggens verwendet werden. Weiterhin kann das erfindungsgemäße Verfahren während des Einsatzes des Systems im Feld, d.h. während des operativen Einsatzes des Systems, ausgeführt werden. Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens stellt die Analysekomponente des Systems die in der gemeinsamen Datenbasis des Systems abgelegten Komponentendaten der isolierten Systemkomponente der externen Analyseeinheit über die aufgebaute Kommunikationsverbindung zur Analyse des in der isolierten Systemkomponente aufgetretenen Ereignisses bereit.
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens deaktiviert die externe Analyseeinheit nach vorgenommener Analyse des in der isolierten Systemkomponente aufgetretenen Ereignisses die isolierte Systemkomponen¬ te .
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens schreibt die Analysekomponente anschlie¬ ßend definierbare Komponentendaten der betroffenen Systemkomponente in die gemeinsame Datenbasis des Systems ein.
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens veranlasst die externe Analyseeinheit nach dem Einschreiben der definierbaren Komponentendaten in die gemeinsame Datenbasis des Systems einen Neustart des gesamten Systems oder der betroffenen Systemkomponente.
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens wird in jeder Systemkomponente des Systems eine Datenkopie der in der gemeinsamen Datenbasis abgelegten Komponentendaten aller Systemkomponenten des Systems gespeichert .
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens überwacht die Integritätskomponente das Auftreten eines Ereignisses in einer Systemkomponente des Systems auf Basis der in der gemeinsamen Datenbasis des Sys¬ tems abgelegten Komponentendaten kontinuierlich. Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens isoliert die Integritätskomponente bei Auftreten eines bestimmten Ereignisses in einer Systemkompo¬ nente des Systems diese Systemkomponente von der Systemumge¬ bung .
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens hält die Integritätskomponente die iso¬ lierte Systemkomponente, soweit möglich, zumindest so lange aktiv, bis eine Analyse des in der Systemkomponente aufgetre¬ tenen Ereignisses durch die externe Analyseeinheit abge¬ schlossen ist.
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens wird ein Schreibzugriff durch eine Systemkomponente des Systems ausschließlich auf die eigenen Kompo¬ nentendaten der jeweiligen Systemkomponente innerhalb der ge¬ meinsamen Datenbasis des Systems vorgenommen.
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens werden durch eine in dem System implementierte Testkomponente sowohl Schreibzugriffe als auch Lese¬ zugriffe auf die Komponentendaten von allen Systemkomponenten des Systems, die in der gemeinsamen Datenbasis des Systems abgelegt sind, vorgenommen.
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens benutzt die Analysekomponente des Systems die Testkomponente des Systems dazu, Schreib- und Lesezugrif¬ fe auf Komponentendaten von Systemkomponenten des Systems vorzunehmen, die in der gemeinsamen Datenbasis des Systems abgelegt sind.
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens weist die in dem System vorhandene Test¬ komponente über die zweite Schnittstelle des Systems eine Kommunikationsverbindung mit einer externen Testeinheit auf. b
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens ruft die Testkomponente als Systemkompo¬ nente des Systems gezielt Ereignisse in einer oder mehreren Systemkomponenten des Systems hervor, welche durch die Integ- ritätskomponente des Systems erfasst werden.
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens steuern und/oder überwachen die Systemkomponenten des Systems externe Komponenten der Systemumgebung des Systems.
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens weisen die externen Komponenten der Systemumgebung des Systems Aktuatoren und/oder Sensoren auf, die über ein Netzwerk mit der bzw. den ersten Schnittstellen des Systems verbunden sind und durch Systemkomponenten des Systems gesteuert und/oder überwacht werden.
Bei einer weiteren möglichen Ausführungsform des erfindungs- gemäßen Verfahrens sind zumindest einige der Systemkomponen¬ ten des Systems, einschließlich der Integritätskomponente, der Analysekomponente und der Testkomponente, Softwarekompo¬ nenten, die auf einem oder mehreren Prozessorkernen des Systems implementiert sind.
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens erkennt die Integritätskomponente das Auf¬ treten eines Ereignisses in einer Systemkomponente bei einem Auftreten von Abweichungen der gespeicherten Komponentendaten von vorgegebenen Sollwerten, bei Überschreiten von Grenz- o- der Schwellwerten oder bei Auftreten von Inkonsistenzen .
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens wird die erste Schnittstelle des Systems durch eine Netzwerkschnittstelle zu einem Netzwerk der Sys¬ temumgebung des Systems gebildet. Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens wird die zweite Schnittstelle des Systems durch eine Schnittstelle, insbesondere eine drahtlose
Schnittstelle, zu der lokal oder entfernt vorgesehenen Analy- seeinheit und/oder Testeinheit gebildet.
Die Erfindung schafft ferner ein System, insbesondere ein elektronisches System, mit den in Patentanspruch 15 angegebe¬ nen Merkmalen.
Die Erfindung schafft demnach ein System, insbesondere elekt¬ ronisches System, das aus Systemkomponenten besteht, welche intern über eine gemeinsame Datenbasis miteinander kommunizieren und über mindestens eine erste Schnittstelle des Sys- tems mit einer Systemumgebung des Systems verbunden sind, wobei das System aufweist:
eine Integritätskomponente, welche eine Systemkomponente des Systems von der Systemumgebung des Systems isoliert, sobald die Integritätskomponente des Systems das Auftreten eines be- stimmten Ereignisses in der jeweiligen Systemkomponente des Systems erkennt,
eine Analysekomponente, an welche die Integritätskomponente die Steuerung der isolierten Systemkomponente übergibt, wor¬ aufhin die Analysekomponente eine Kommunikationsverbindung über eine zweite Schnittstelle des Systems mit einer externen Analyseeinheit herstellt, welche das in der isolierten Sys¬ temkomponente aufgetretene Ereignis anhand von Komponentenda¬ ten, die in der gemeinsamen Datenbasis des Systems gespei¬ chert sind, analysiert.
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Systems sind die Systemkomponenten des Systems redundant in dem jeweiligen System vorhanden. Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Systems handelt es sich bei dem System um ein verteiltes System. Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Systems handelt es sich bei dem System um ein Echtzeitsystem. Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Systems weist die Systemumgebung des Systems ein Netzwerk auf, das Aktuatoren und/oder Sensoren mit der ersten Schnittstelle des Systems verbindet. Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Systems ist die erste Schnittstelle des Systems eine Netzwerkschnittstelle zu einem Netzwerk der Systemumgebung.
Bei einer weiteren möglichen Ausführungsform des erfindungs- gemäßen Systems ist die zweite Schnittstelle des Systems zu der Analyseeinheit und/oder Testeinheit eine drahtlose
Schnittstelle, insbesondere eine Mobilfunkschnittstelle.
Bei einer weiteren möglichen Ausführungsform des erfindungs- gemäßen Systems weist das System mehrere Prozessoren auf, die jeweils über mehrere Prozessorkerne verfügen, wobei auf den Prozessorkernen Softwarekomponenten implementiert sind, die durch eine Integritätskomponente überwacht werden. Die Erfindung schafft ferner ein Fahrzeug, insbesondere ein Straßen-, Schienen- oder Luftfahrzeug, mit mindestens einem System, insbesondere elektronischen System, das aus Systemkomponenten besteht, welche intern über eine gemeinsame Da¬ tenbasis miteinander kommunizieren und über mindestens eine erste Schnittstelle des Systems mit einer Systemumgebung des Systems verbunden sind, wobei das System aufweist:
eine Integritätskomponente, welche eine Systemkomponente des Systems von der Systemumgebung des Systems isoliert, sobald die Integritätskomponente des Systems das Auftreten eines be- stimmten Ereignisses in der jeweiligen Systemkomponente des Systems erkennt,
eine Analysekomponente, an welche die Integritätskomponente die Steuerung der isolierten Systemkomponente übergibt, wor- aufhin die Analysekomponente eine Kommunikationsverbindung über eine zweite Schnittstelle des Systems mit einer externen Analyseeinheit herstellt, welche das in der isolierten Sys¬ temkomponente aufgetretene Ereignis anhand von Komponentenda- ten, die in der gemeinsamen Datenbasis des Systems gespei¬ chert sind, analysiert.
Die Erfindung schafft ferner eine Automatisierungsanlage mit mindestens einem erfindungsgemäßen System, das Aktuatoren der Automatisierungsanlage steuert und Sensordaten, die von Sen¬ soren der Automatisierungsanlage geliefert werden, auswertet.
Im Weiteren werden mögliche Ausführungsformen des erfindungsgemäßen Verfahrens und des erfindungsgemäßen Systems unter Bezugnahme auf die beigefügten Figuren näher erläutert.
Es zeigen:
Fig. 1 ein Ablaufdiagramm zur Darstellung eines Ausfüh- rungsbeispiels eines erfindungsgemäßen Verfahrens;
Fig. 2 ein schematisches Diagramm zur Darstellung eines
Ausführungsbeispiels eines erfindungsgemäßen Sys¬ tems .
Wie man aus Fig. 1 erkennen kann, weist bei dem dargestellten Ausführungsbeispiel das erfindungsgemäße Verfahren zum Analy¬ sieren von Ereignissen, die in einem System, insbesondere einem elektronischen System, auftreten, das z.B. aus mehreren Systemkomponenten besteht, mehrere Schritte auf. Die System¬ komponenten des Systems kommunizieren intern über eine gemeinsame Datenbasis miteinander. Ferner sind die Systemkompo¬ nenten des Systems über mindestens eine erste Schnittstelle mit einer Systemumgebung des Systems verbunden. Die Systemum- gebung des Systems kann beispielsweise ein Netzwerk aufwei¬ sen, das Aktuatoren und/oder Sensoren über eine oder mehrere erste Schnittstellen des Systems verbindet. Wie in dem Ablaufdiagramm gemäß Fig. 1 dargestellt, wird in einem Schritt Sl zunächst eine Systemkomponente des Systems von der Systemumgebung isoliert, sofern eine Integritätskomponente des Systems das Auftreten eines bestimmten Ereignis- ses in der Systemkomponente erkennt. Die Integritätskomponen¬ te kann das Auftreten eines Ereignisses in einer Systemkompo¬ nente des Systems auf Basis der in der gemeinsamen Datenbasis des Systems abgelegten Komponentendaten kontinuierlich überwachen. Bei Auftreten eines bestimmten Ereignisses in einer Systemkomponente des Systems isoliert die Integritätskompo¬ nente diese Systemkomponente von der Systemumgebung und hält vorzugsweise die isolierte Systemkomponente, soweit möglich, zumindest so lange aktiv, bis eine Analyse des in der System¬ komponente aufgetretenen Ereignisses abgeschlossen ist.
Bei einem weiteren Schritt S2 wird durch die Integritätskomponente anschließend die Steuerung der isolierten Systemkomponente an eine Analysekomponente des Systems übergeben. Die¬ se Analysekomponente baut eine Kommunikationsverbindung über eine zweite Schnittstelle des Systems mit einer externen Ana¬ lyseeinheit auf. Die zweite Schnittstelle des Systems zu der externen Analyseeinheit kann bei einer möglichen Ausführungs¬ form durch eine drahtlose Schnittstelle implementiert sein. Bei dieser drahtlosen Schnittstelle handelt es sich insbeson- dere um eine Mobilfunkschnittstelle.
In einem weiteren Schritt S3 des erfindungsgemäßen Verfahrens, wie es in Fig. 1 dargestellt ist, werden die in der isolierten Systemkomponente aufgetretenen Ereignisse an- schließend durch die externe Analyseeinheit anhand der Kompo¬ nentendaten der isolierten Systemkomponente, die in der gemeinsamen Datenbasis des Systems abgelegt sind, analysiert. Dabei kann die Analysekomponente des Systems die in der ge¬ meinsamen Datenbasis des Systems abgelegten Komponentendaten der in Schritt Sl isolierten Systemkomponente der externen Analyseeinheit über die aufgebaute Kommunikationsverbindung zur Analyse des in der isolierten Systemkomponente aufgetre¬ tenen Ereignisses bereitstellen. Optional kann anschließend die externe Analyseeinheit nach vorgenommener Analyse des in der isolierten Systemkomponente aufgetretenen Ereignisses zu¬ mindest die isolierte Systemkomponente des Systems deaktivie¬ ren. Die Deaktivierung kann in Abhängigkeit von dem Analyse- ergebnis erfolgen. Weiterhin kann die Analysekomponente bei einer möglichen Ausführungsform definierbare Komponentendaten in die gemeinsame Datenbasis des Systems einschreiben. Die externe Analyseeinheit, die mit dem System, insbesondere elektronischen System, über die zweite Schnittstelle, bei- spielsweise eine drahtlose Schnittstelle, verbunden ist, kann nach Einschreiben der definierbaren Komponentendaten in die gemeinsame Datenbasis des Systems einen Neustart des gesamten Systems veranlassen bzw. selbst vornehmen. Die Systemkomponenten des Systems umfassen sowohl Hardwareais auch Softwarekomponenten. Das System kann beispielsweise mehrere Prozessoren aufweisen, die jeweils eine oder mehrere Prozessorkerne haben, wobei auf den Prozessorkernen Software¬ komponenten implementiert sind, die durch eine Integritäts- komponente überwacht werden. Die Integritätskomponente er¬ kennt bei einer möglichen Ausführungsform das Auftreten eines Ereignisses in einer Systemkomponente nach Erkennung von Ab¬ weichungen der gespeicherten Komponentendaten der jeweiligen Systemkomponente von vorgegebenen Sollwerten. Weiterhin kann die Integritätskomponente das Auftreten eines Ereignisses bei Überschreiten von Grenz- oder Schwellwerten oder bei Auftreten von Dateninkonsistenzen erkennen. Bei Auftreten eines derartigen Ereignisses kann die Integritätskomponente die be¬ troffene Systemkomponente in Schritt Sl isolieren und an- schließend die Steuerung der isolierten Systemkomponente an eine Analysekomponente des Systems in Schritt S2 übergeben. Diese Analysekomponente baut anschließend eine Kommunikati¬ onsverbindung, beispielsweise über eine drahtlose zweite Schnittstelle, mit der externen Analyseeinheit auf, welche die in der Systemkomponente aufgetretenen Ereignisse, bei¬ spielsweise das Auftreten einer Abweichung der gespeicherten Komponentendaten von vorgegebenen Sollwerten oder das Überschreiten von Grenz- oder Schwellwerten, anhand der Komponen- tendaten der isolierten Systemkomponente, die in der gemeinsamen Datenbasis des Systems abgelegt sind, in Schritt S3 analysiert . Die gemeinsame Datenbasis des Systems kann den Zustand aller Systemkomponenten zu einem bestimmten Zeitpunkt, beispielsweise zum Zeitpunkt einer Taktflanke eines Taktsignals, ange¬ ben. Der interne Zustand des Systems und seiner Systemkompo¬ nenten umfasst insbesondere Variablen und Signale, die im letzten Taktzyklus zwischen den Systemkomponenten ausgetauscht wurden. Weiterhin kann die Datenbasis auch Modulzu¬ stände der Systemkomponenten einschließlich der Integritätsund Analysekomponente beinhalten. Bei einer möglichen Ausführungsform ist die gemeinsame Datenbasis als Datenkopie auf allen Systemkomponenten vorhanden. Bei einer möglichen Ausführungsform ist in jeder Systemkomponente des Systems eine Datenkopie der in der gemeinsamen Datenbasis abgelegten Komponentendaten aller Systemkomponenten des Systems gespeichert. Durch eine Systemkomponente des Systems ist vorzugs- weise ein Schreibzugriff ausschließlich auf die eigenen Komponentendaten der jeweiligen Systemkomponente innerhalb der gemeinsamen Datenbasis vornehmbar.
Bei einer weiteren möglichen Ausführungsform des erfindungs- gemäßen Verfahrens ist neben der Integritäts- und Analysekom¬ ponente zusätzlich eine Testkomponente in dem System vorhanden bzw. implementiert. Durch diese im System implementierte Testkomponente können vorzugsweise sowohl Schreibzugriffe als auch Lesezugriffe auf die Komponentendaten von allen System- komponenten des Systems vorgenommen werden, die in der gemeinsamen Datenbasis des jeweiligen Systems abgelegt sind. Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens benutzt die Analysekomponente des Systems die vor¬ handene Testkomponente dazu, um Schreib- und Lesezugriffe auf Komponentendaten von Systemkomponenten des Systems vorzunehmen, die in der gemeinsamen Datenbasis des Systems abgelegt sind. Die in dem System vorhandene Testkomponente kann bei einer möglichen Ausführungsform über die zweite Schnittstelle des Systems, beispielsweise eine drahtlose Schnittstelle, ei¬ ne Kommunikationsverbindung mit einer externen Testeinheit aufweisen. Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens ruft die Testkomponente als System- komponente des Systems gezielt Ereignisse in einer oder meh¬ reren Systemkomponenten des Systems hervor, welche durch die Integritätskomponente des Systems erfasst werden. Einige der Systemkomponenten des Systems, einschließlich der Integritätskomponente, der Analysekomponente und der ggf. vorhande- nen Testkomponente werden durch Softwarekomponenten gebildet, die auf einem oder mehreren Prozessorkernen des Systems implementiert sind. Einige der Systemkomponenten überwachen dabei externe Komponenten der Systemumgebung und können diese auch steuern. Die Systemumgebung kann beispielsweise ein Netzwerk aufweisen, das Aktuatoren und/oder Sensoren mit einer oder mehreren ersten Schnittstellen des Systems verbindet. Die verschiedenen Systemkomponenten des Systems können bei einer möglichen Ausführungsform redundant vorhanden sein. Zudem kann das System ein verteiltes System sein. Bei einer möglichen Ausführungsform ist das System zudem ein Echtzeitsystem, das in Echtzeit Daten erfasst und auswertet. Das in Fig. 1 dargestellte Verfahren kann während der Systementwicklung des Systems zu Testzwecken und/oder zur Suche nach Fehlerursachen benutzt werden.
Ferner kann das in Fig. 1 dargestellte Verfahren auch während dessen operativen Einsatzes des Systems ausgeführt werden, um Ereignisse zu analysieren. Bei dem erfindungsgemäßen System ist im Vergleich zu herkömmlichen Systemen eine zusätzliche Systemkomponente integriert, nämlich die Analysekomponente. Die Analysekomponente kann bei einer möglichen Ausführungs¬ form als Softwarekomponente implementiert sein. Das System, insbesondere elektronische System, führt die integrierte Ana¬ lysekomponente wie jede andere Systemkomponente auch zu be- stimmten Zeitpunkten, beispielsweise bei Auftreten einer
Taktflanke, oder beim Eintritt bestimmter Ereignisse, bei¬ spielsweise wenn ein Fehler auftritt, aus. Die integrierte Analysekomponente ist somit permanent auch während der Sys- tementwicklung und während des Systemeinsatzes eingeplant und verändert daher nicht unzulässig das Systemverhalten des Sys¬ tems, insbesondere eines sicherheitskritischen elektronischen Systems. Bei dem erfindungsgemäßen System ist die integrierte Analysekomponente über eine separate Kommunikationsverbindung bzw. Kommunikationsleitung mit einer externen nicht zum System selbst gehörenden Analyseeinheit verbunden. Eine weitere spezielle Systemkomponente, die in dem erfindungsgemäßen Sys¬ tem integriert ist, stellt die Integritätskomponente dar, welche Systemfehler und Systeminkonsistenzen feststellt.
Fig. 2 zeigt schematisch ein einfaches Ausführungsbeispiel für ein erfindungsgemäßes System, bei dem das erfindungsgemä¬ ße Verfahren zum Analysieren von Ereignissen durchgeführt werden kann.
Bei dem in Fig. 2 schematisch dargestellten Ausführungsbeispiel umfasst das System einen Plattformkern mit mehreren DCC-Einheiten (Data Communication Computer) , die über Netz- Werkschnittstellen, beispielsweise ringförmig miteinander verbunden sein können. Das System weist eine bestimmte Anzahl von DCC-Einheiten und mehrere konformen oder nicht konformen Sensoren oder Aktoren AIS auf. Jede DCC-Einheit kann einen Speicher enthalten sowie ein Softwaremodul, in dem eine In- tegritätskomponente und Analysekomponente implementiert ist. Eine externe Analyseeinheit AE ist über eine weitere gestri¬ chelt dargestellte Schnittstelle, beispielsweise eine draht¬ lose Schnittstelle, mit den auf den DCC-Einheiten und deren Softwaremodulen implementierten Analysekomponenten verbunden.
Bei einer möglichen Ausführungsform kommunizieren die Systemkomponenten über eine zentrale gemeinsame Datenbasis. In die¬ ser zentralen gemeinsamen Datenbasis legen die Systemkomponenten Komponentenzustände und Ereignisse oder Signale ab. Wenn eine Testkomponente vorhanden ist, kann diese auf die zentrale gemeinsame Datenbasis lesend und schreibend zugrei¬ fen. Sobald die Integritätskomponente Systemfehler bzw. einen Fehler einer Systemkomponente feststellt, isoliert sie die betroffene Systemkomponente von der Systemumgebung. Anschlie¬ ßend übergibt die Integritätskomponente die Systemsteuerung an die Analysekomponente. Die Analysekomponente informiert dann die Analyseeinheit über den Systemzustand. Ferner über- mittelt die Analyseeinheit über die Analysekomponente Kompo¬ nentenzustände und Ereignisse aus dem zentralen Datenbereich bzw. der zentralen Datenbasis. Daraufhin entscheidet die Ana¬ lyseeinheit über den weiteren Vorgang, beispielsweise ob eine Abschaltung der fehlerhaften Systemkomponente oder gar des gesamten Systems erfolgt oder ob ein definierter Zustand in dem zentralen Datenbereich bzw. die zentrale Datenbasis eingespielt wird und ein Neustart des Systems durchgeführt wird.
Bei einer möglichen Ausführungsform kann die Analysekomponen- te bei Eintritt eines Fehlers bzw. Ereignisses die externe
Analyseeinheit kontinuierlich mit Daten versorgen bzw. Daten an die Analyseeinheit senden (Protokollierung) .
Bei dem erfindungsgemäßen Verfahren wird die betroffene Sys- temkomponente bzw. die betroffenen Systemkomponenten nach
Eintritt eines Fehlers bzw. bestimmten Ereignisses isoliert, jedoch aktiv gehalten, sodass weitere Analysen an dem System, beispielsweise durch ein Analyseprogramm oder einen Ingenieur, durchgeführt werden können, oder um das fehlerhafte Ver- halten des Systems zu ändern und anschließend das System wie¬ der in Betrieb nehmen zu können. Dazu werden bei dem erfindungsgemäßen Verfahren ein zentraler Datenbereich bzw. eine zentrale Datenbasis des Systems verwendet. Diese zentrale Da¬ tenbasis dient zur Entkopplung von Systemkomponenten des Sys- tems untereinander, da eine Kommunikation zwischen den Systemkomponenten nur über die zentrale Datenbasis erfolgt. Wei¬ terhin werden Komponentenzustände und Komponentenfunktionen der Systemkomponenten entkoppelt, indem man Zustandsvariablen in den zentralen Datenbereich bzw. die zentrale Datenbasis auslagert.
Bei einer möglichen Ausführungsform des erfindungsgemäßen ist eine spezialisierte Testkomponente vorhanden, die die zentra- le Datenbasis lesen und in diese Datenbasis schreiben kann, jedoch im Übrigen vom System wie jede andere Systemkomponente behandelt wird. Auf diese Weise kann die spezialisierte Test¬ komponente und eine ggf. angeschlossene Testeinheit nicht un- zulässig das Systemverhalten des Systems beeinflussen.
Das erfindungsgemäße Verfahren kann nahtlos mit herkömmlichen Protokollierungstechniken kombiniert werden. Das erfindungsgemäße Verfahren kann automatische Tests des Systems ebenso unterstützen wie ein interaktives, exploratives Testen. Das erfindungsgemäße Verfahren kann ferner in Szenarien eingesetzt werden, in denen die Ursachen für Fehler oder Systemverhalten im Vorhinein nicht bekannt sind. Bei einer möglichen Ausführungsform des erfindungsgemäßen Systems ist dieses in einem Fahrzeug integriert. Bei einer möglichen Ausführungsform handelt es sich bei diesem Fahrzeug um ein Straßen-, Schienen- oder Luftfahrzeug. Weiterhin ist es möglich, dass das erfindungsgemäße System in einer Automa- tisierungsanlage vorgesehen wird, wobei die Automatisierungs¬ anlage Aktuatoren steuert, und Sensordaten, die von Sensoren der Automatisierungsanlage geliefert werden, auswertet.
Das erfindungsgemäße Verfahren bzw. System kann beispielswei- se im Kontext von Fahrzeugsteuerungen, insbesondere bei
Elektrofahrzeugen, eingesetzt werden, insbesondere zum Testen von hardware-/softwarespezifischer nichtfunktionaler Sicherheitsservices, welche die redundant ausgelegte, zentrale Hardware-/Softwareplattform bzw. das System für Fahrzeugfunk- tionen automatisch erbringen soll. Zur Erkennung von Fehlern und Gewährleistung der Verfügbarkeit des Systems bzw. elekt¬ ronischen Systems ist die zentrale Hardware- /Softwareplattform des Elektrofahrzeugs redundant ausgelegt und überwacht und vergleicht die Zustände von redundanten Ka- nälen. Dies kann für jeden ebenfalls redundant ausgelegten
Rechner dieser Hardware-/Softwareplattform durchgeführt werden. Stellt beispielsweise die Integritätskomponente dieser Hardware-/Softwareplattform nicht tolerierbare Inkonsistenzen oder Fehler fest, dann wird der betroffene Teil der Steuerung bzw. die betroffene Systemkomponente isoliert und anschlie¬ ßend übernimmt eine redundante Systemkomponente deren Funkti¬ onen, da kein sicherer Betrieb mit dem fehlerhaften Steue- rungsteil bzw. der fehlerhaften Systemkomponente mehr möglich ist. Mit dem erfindungsgemäßen Verfahren kann nicht nur das Verhalten einer Systemkomponente oder des Gesamtsystems bis zum Abschalten einer fehlerhaften Systemkomponente mitprotokolliert werden, sondern die fehlerhafte Systemkomponente wird zudem isoliert und steht dem Testsystem weiter zur Verfügung, sodass es analysiert und im operativen Einsatz, beispielsweise innerhalb eines Fahrzeuges, ggf. sogar repariert werden kann. Bei einer möglichen Ausführungsform kann im Fehlerfall nicht nur die fehlerhafte betroffene Systemkomponente des Systems, sondern das gesamte System in der beschriebenen Weise isoliert werden. Im Feldbetrieb, d.h. im operativen Einsatz des Systems, hängt es von der jeweiligen Anwendung ab, inwieweit das System bzw. die Systemkomponente isoliert werden kann.
Für den Einsatz in Serienfahrzeugen kann das erfindungsgemäße Verfahren wie folgt Verwendung finden. Nach der Isolierung einer fehlerhaften Systemkomponente bzw. eines fehlerhaften Teilsystems überträgt die Testkomponente selbstständig dem zum Fehlerzeitpunkt vorhandenen Systemzustand zu einem Daten¬ speicher, den später ein Fahrzeugservice in herkömmlicher Weise analysiert oder zu einer externen, vorzugsweise draht¬ los angeschlossenen Test- bzw. Analyseeinheit überträgt. Die- se Test- oder Analyseeinheit kann beispielsweise bei dem
Fahrzeughersteller installiert sein, um Diagnosen oder Reparaturen durchzuführen. Für die Datenübertragung steht bei dem erfindungsgemäßen Verfahren eine separate Kommunikationsverbindung zur Verfügung. Weiterhin kann die Testkomponente ent- weder selbständig oder auf Anweisung der Testeinheit einen
Neustart mit einem definierten Zustand vornehmen und prüfen, ob das Teilsystem bzw. die betroffene Systemkomponente nach der durchgeführten Reinitialisierung des Systems wieder verwendbar ist.
Das erfindungsgemäße Verfahren und System eignet sich vor al- lern für hochverfügbare, sicherheitskritische und redundant ausgelegte verteilte Echtzeitsysteme . Diese stellen in Ent¬ wicklung und auch nach Entwicklung hohe Anforderungen an die Nachvollziehbarkeit und Nachstellung von Fehlern sowie an die Analyse von Fehlerursachen.
Das erfindungsgemäße Verfahren und System ist jedoch nicht auf den Einsatz in redundanten Systemen oder in Fahrzeugen beschränkt, sondern lässt sich in elektronischen Systemen unterschiedlichster Art integrieren. Sofern das System nicht redundant ausgelegt ist, stehen nach einer fehlerbedingten
Abschaltung die Systemfunktionen der betroffenen Systemkomponenten nicht mehr zur Verfügung. Der Systemzustand und auch der bisherige Systemablauf kann jedoch mit dem erfindungsge¬ mäßen Verfahren noch vollständig analysiert werden. Unter Um- ständen kann in Abhängigkeit von der Fehlerart des aufgetre¬ tenen Fehlers ein durch die Analyse wiederhergestelltes Sys¬ tem sogar seine Arbeit fortsetzen.
Bei einer weiteren möglichen Ausführungsform des erfindungs- gemäßen Verfahrens und des erfindungsgemäßen Systems können die Analyse- und/oder die Testkomponente sowie die zugehörige Kommunikationsverbindung zu der Test- und/oder Analyseeinheit ihrerseits redundant ausgelegt sein. Dies bietet den Vorteil, dass das erfindungsgemäße Verfahren und System weiterhin funktionieren, selbst wenn die Testkomponente bzw. Analyse¬ komponente und die zugehörige Test- bzw. Analyseeinheit selbst fehlerhaft sind.

Claims

Patentansprüche
Verfahren zum Analysieren von Ereignissen, die in einem System auftreten, das aus Systemkomponenten besteht, welche intern über eine gemeinsame Datenbasis miteinander kommunizieren und über mindestens eine erste Schnittstel¬ le des Systems mit einer Systemumgebung des Systems ver¬ bunden sind, mit den Schritten:
(a) Isolieren (Sl) einer Systemkomponente des Systems von der Systemumgebung, sofern eine Integritätskomponente des Systems das Auftreten eines bestimmten Ereignis¬ ses in der Systemkomponente erkennt;
(b) Übergeben (S2) der Steuerung der isolierten Systemkomponente durch die Integritätskomponente an eine Analysekomponente des Systems, welche eine Kommunika¬ tionsverbindung über eine zweite Schnittstelle des Systems mit einer externen Analyseeinheit aufbaut; und
(c) Analysieren (S3) des in der isolierten Systemkomponente aufgetretenen Ereignisses durch die externe Analyseeinheit anhand der Komponentendaten der iso¬ lierten Systemkomponente, die in der gemeinsamen Da¬ tenbasis des Systems abgelegt sind.
Verfahren nach Anspruch 1,
wobei die Analysekomponente des Systems die in der ge¬ meinsamen Datenbasis des Systems abgelegten Komponentendaten der isolierten Systemkomponente der externen Analy seeinheit über die aufgebaute Kommunikationsverbindung zur Analyse des in der isolierten Systemkomponente aufge tretenen Ereignisses bereitstellt.
Verfahren nach Anspruch 1 oder 2,
wobei die externe Analyseeinheit nach vorgenommener Ana¬ lyse des in der isolierten Systemkomponente aufgetretenen Ereignisses zumindest die isolierte Systemkomponente des Systems deaktiviert und/oder definierbare Komponentenda¬ ten in die gemeinsame Datenbasis des Systems einschreibt.
4. Verfahren nach Anspruch 3,
wobei die externe Analyseeinheit nach dem Einschreiben der definierbaren Komponentendaten in die gemeinsame Datenbasis des Systems einen Neustart des Systems veran¬ lasst oder vornimmt.
5. Verfahren nach einem der vorangehenden Ansprüche 1 bis 4, wobei in jeder Systemkomponente des Systems eine Datenko¬ pie der in der gemeinsamen Datenbasis abgelegten Komponentendaten aller Systemkomponenten des Systems gespeichert wird.
6. Verfahren nach einem der vorangehenden Ansprüche 1 bis 5, wobei die Integritätskomponente das Auftreten eines Er¬ eignisses in einer Systemkomponente des Systems auf Basis der in der gemeinsamen Datenbasis des Systems abgelegten Komponentendaten kontinuierlich überwacht,
wobei die Integritätskomponente bei Auftreten eines be¬ stimmten Ereignisses in einer Systemkomponente des Sys¬ tems diese Systemkomponente von der Systemumgebung des Systems isoliert und die isolierte Systemkomponente zu¬ mindest so lange aktiv hält, bis eine Analyse des in der Systemkomponente aufgetretenen Ereignisses durch die ex¬ terne Analyseeinheit abgeschlossen ist.
7. Verfahren nach einem der vorangehenden Ansprüche 1 bis 6, wobei durch eine in dem System implementierte Testkompo¬ nente sowohl Schreibzugriffe als auch Lesezugriffe auf die Komponentendaten von allen Systemkomponenten des Systems, die in der gemeinsamen Datenbasis des Systems abge¬ legt sind, vorgenommen werden.
8. Verfahren nach Anspruch 7,
wobei die Analysekomponente des Systems die Testkomponen¬ te des Systems benutzt, um Schreib- und Lesezugriffe auf Komponentendaten von Systemkomponenten des Systems, die in der gemeinsamen Datenbasis des Systems abgelegt sind, vorzunehmen .
Verfahren nach Anspruch 7 oder 8,
wobei die in dem System vorhandene Testkomponente über die zweite Schnittstelle des Systems eine Kommunikations Verbindung mit einer externen Testeinheit aufweist. 10. Verfahren nach einem der vorangehenden Ansprüche 7 bis 9, wobei die Testkomponente als Systemkomponente des Systems gezielt Ereignisse in einer oder mehreren Systemkomponenten des Systems hervorruft, welche durch die Integritäts¬ komponente des Systems erfasst werden.
11. Verfahren nach einem der vorangehenden Ansprüche 1 bis 10,
wobei die Systemkomponenten des Systems externe Komponenten der Systemumgebung des Systems steuern und/oder über- wachen,
wobei die externen Komponenten der Systemumgebung des Systems Aktuatoren und/oder Sensoren aufweisen, die über ein Netzwerk mit der ersten Schnittstelle des Systems verbunden sind und durch Systemkomponenten des Systems gesteuert und/oder überwacht werden.
12. Verfahren nach einem der vorangehenden Ansprüche 1 bis 11,
wobei zumindest einige der Systemkomponenten des Systems, einschließlich der Integritätskomponente, der Analysekomponente und der Testkomponente, Softwarekomponenten sind, die auf einem oder mehreren Prozessorkernen des Systems implementiert sind.
Verfahren nach einem der vorangehenden Ansprüche 1 bis 12,
wobei die Integritätskomponente das Auftreten eines Er¬ eignisses in einer Systemkomponente bei einem Auftreten von Abweichungen der gespeicherten Komponentendaten von vorgegebenen Sollwerten, bei Überschreiten von Grenz- o- der Schwellwerten oder bei Auftreten von Inkonsistenzen erkennt .
Verfahren nach einem der vorangehenden Ansprüche 1 bis 13,
wobei die erste Schnittstelle des Systems durch eine Netzwerkschnittstelle zu einem Netzwerk der Systemumge¬ bung des Systems gebildet wird
wobei die zweite Schnittstelle des Systems durch eine Schnittstelle, insbesondere eine drahtlose Schnittstelle, zu der lokal oder entfernt vorgesehenen Analyseeinheit und/oder Testeinheit gebildet wird.
System, insbesondere elektronisches System, das aus Sys¬ temkomponenten besteht, welche intern über eine gemeinsa¬ me Datenbasis miteinander kommunizieren und über eine erste Schnittstelle des Systems mit einer Systemumgebung des Systems verbunden sind, wobei das System aufweist: eine Integritätskomponente, welche eine Systemkomponente des Systems von der Systemumgebung des Systems isoliert, sobald die Integritätskomponente des Systems das Auftre¬ ten eines bestimmten Ereignisses in der jeweiligen Systemkomponente des Systems erkennt;
eine Analysekomponente, an welche die Integritätskompo¬ nente die Steuerung der isolierten Systemkomponente übergibt, woraufhin die Analysekomponente eine Kommunikati¬ onsverbindung über eine zweite Schnittstelle des Systems mit einer externen Analyseeinheit herstellt, welche das in der isolierten Systemkomponente aufgetretene Ereignis anhand von Komponentendaten, die in der gemeinsamen Datenbasis des Systems gespeichert sind, analysiert.
System nach Anspruch 15,
wobei das System ein verteiltes System, insbesondere ein verteiltes Echtzeitsystem ist, das redundante Systemkom¬ ponenten aufweist.
17. System nach einem der vorangehenden Ansprüche 15 und 16, wobei die Systemumgebung des Systems ein Netzwerk aufweist, das Aktuatoren und/oder Sensoren mit der ersten Schnittstelle des Systems verbindet.
18. System nach einem der vorangehenden Ansprüche 15 bis 17, wobei die erste Schnittstelle des Systems eine Netzwerk¬ schnittstelle zu einem Netzwerk der Systemumgebung ist, wobei die zweite Schnittstelle des Systems zu der Analy¬ seeinheit und/oder Testeinheit eine drahtlose Schnitt¬ stelle, insbesondere eine Mobilfunkschnittstelle, ist.
19. System nach einem der vorangehenden Ansprüche 15 bis 18, wobei das System mehrere Prozessoren aufweist, die je¬ weils über mehrere Prozessorkerne verfügen, wobei auf den Prozessorkernen Softwarekomponenten implementiert sind, die durch eine Integritätskomponente überwacht werden.
20. Fahrzeug, insbesondere Straßen-, Schienen- oder Luftfahrzeug, mit mindestens einem System nach einem der vorange¬ henden Ansprüche 15 bis 19.
21. Automatisierungsanlage mit mindestens einem System nach einem der vorangehenden Ansprüche 15 bis 19, das Aktuato¬ ren der Automatisierungsanlage steuert und Sensordaten, die von Sensoren der Automatisierungsanlage geliefert werden, auswertet.
EP13810931.9A 2013-02-05 2013-12-16 Verfahren und vorrichtung zum analysieren von ereignissen in einem system Withdrawn EP2954417A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102013201831.2A DE102013201831A1 (de) 2013-02-05 2013-02-05 Verfahren und Vorrichtung zum Analysieren von Ereignissen in einem System
PCT/EP2013/076716 WO2014121871A1 (de) 2013-02-05 2013-12-16 Verfahren und vorrichtung zum analysieren von ereignissen in einem system

Publications (1)

Publication Number Publication Date
EP2954417A1 true EP2954417A1 (de) 2015-12-16

Family

ID=49816918

Family Applications (1)

Application Number Title Priority Date Filing Date
EP13810931.9A Withdrawn EP2954417A1 (de) 2013-02-05 2013-12-16 Verfahren und vorrichtung zum analysieren von ereignissen in einem system

Country Status (6)

Country Link
US (1) US20160014000A1 (de)
EP (1) EP2954417A1 (de)
KR (1) KR20150115898A (de)
CN (1) CN104956335A (de)
DE (1) DE102013201831A1 (de)
WO (1) WO2014121871A1 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113379293B (zh) * 2021-06-28 2023-04-18 成都飞机工业(集团)有限责任公司 一种批产飞机工程更改评估方法

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE29623758U1 (de) * 1996-04-15 1999-08-12 Baumueller Anlagen Systemtech Fehlerdiagnose-System und Anordnung
US6845469B2 (en) * 2001-03-29 2005-01-18 International Business Machines Corporation Method for managing an uncorrectable, unrecoverable data error (UE) as the UE passes through a plurality of devices in a central electronics complex
US7103808B2 (en) * 2003-04-10 2006-09-05 International Business Machines Corporation Apparatus for reporting and isolating errors below a host bridge
US20040255186A1 (en) * 2003-05-27 2004-12-16 Lucent Technologies, Inc. Methods and apparatus for failure detection and recovery in redundant systems
DE10394366D2 (de) * 2003-11-17 2006-10-19 Siemens Ag Redundantes Automatisierungssystem zur Steuerung einer technischen Einrichtung sowie Verfahren zum Betrieb eines derartigen Automatisierungssystems
US7200525B1 (en) * 2004-06-29 2007-04-03 Sun Microsystems, Inc. System and method for generating a data structure representative of a fault tree
US9956974B2 (en) * 2004-07-23 2018-05-01 General Electric Company Vehicle consist configuration control
US7346469B2 (en) * 2005-03-31 2008-03-18 General Electric Company System and method for sensor data validation
EP1952240A2 (de) * 2005-10-25 2008-08-06 The Trustees of Columbia University in the City of New York Verfahren, medien und systeme zum detektieren anomaler programmausführungen
US7937610B2 (en) * 2007-04-27 2011-05-03 International Business Machines Corporation Fast node failure detection via disk based last gasp mechanism
AT10073U9 (de) * 2008-01-14 2009-02-15 Avl List Gmbh Verfahren und vorrichtung zur analyse und bewertung von messdaten eines messsystems
CN101628628B (zh) * 2009-08-03 2013-05-15 北京航空航天大学 适用于航天器系统的自修正冗余切换机制及其验证方法
EP2510439B1 (de) * 2009-12-08 2022-05-04 Hewlett Packard Enterprise Development LP Fehlerverwaltung in einem datenverarbeitungssystem
US8464102B2 (en) * 2010-12-23 2013-06-11 GM Global Technology Operations LLC Methods and systems for diagnosing hardware and software faults using time-stamped events
EP2990544B8 (de) * 2011-03-03 2019-09-04 Eaton Corporation Fehlererkennung, isolierungs- und neukonfigurationssystem zur steuerung elektrohydraulischer systeme für baumaschinen
WO2012140601A1 (en) * 2011-04-13 2012-10-18 Bar-Ilan University Anomaly detection methods, devices and systems
US9352944B2 (en) * 2012-03-19 2016-05-31 Gray Manufacturing Company, Inc. Control and communication system for a wireless vehicle lift system
CN102663283B (zh) * 2012-03-20 2016-02-10 浪潮电子信息产业股份有限公司 一种动态隔离计算机系统的方法
JP6003350B2 (ja) * 2012-07-30 2016-10-05 富士通株式会社 監視装置、情報処理装置、及び監視方法
US20160217628A1 (en) * 2012-08-29 2016-07-28 GM Global Technology Operations LLC Method and apparatus for on-board/off-board fault detection
CN102904760B (zh) * 2012-10-25 2015-04-01 苏州林华通信科技有限公司 通信机房综合监控系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
None *
See also references of WO2014121871A1 *

Also Published As

Publication number Publication date
WO2014121871A1 (de) 2014-08-14
US20160014000A1 (en) 2016-01-14
KR20150115898A (ko) 2015-10-14
CN104956335A (zh) 2015-09-30
DE102013201831A1 (de) 2014-08-07

Similar Documents

Publication Publication Date Title
EP3209996B1 (de) Verfahren und vorrichtung zur ausführung eines testvorgangs betreffend ein schienenfahrzeug
DE102011014557B4 (de) Verfahren zum Diagnostizieren von Ursachen von Fehlern in Fahrzeugsystemen
DE60019038T2 (de) Intelligente Fehlerverwaltung
EP1597643B1 (de) Vorrichtung und verfahren zur modellbasierten on-board-diagnose
EP1703350B1 (de) Diagnose eines Automatisierungssystems
WO2014138767A1 (de) Verfahren zur behandlung von fehlern in einem zentralen steuergerät sowie steuergerät
DE102011081477A1 (de) Stellwerksrechner
EP2927819A1 (de) Verfahren zur automatischen Verarbeitung einer Anzahl von Protokolldateien eines Automatisierungssystems
EP2954417A1 (de) Verfahren und vorrichtung zum analysieren von ereignissen in einem system
DE102007010264B4 (de) Verfahren zum Betreiben eines ersten und eines zweiten Steuergeräts und Geräteanordnung mit dem ersten und dem zweiten Steuergerät
DE102019104246A1 (de) System und Verfahren zur Überwachung von Halbleiter-Bauteilen eines Fahrzeugs
DE10307344B4 (de) Vorrichtung und Verfahren zur dezentralen On-Board-Diagnose für Kraftfahrzeuge
WO2022258412A1 (de) Fahrzeugdatenkommunikationssystem zur übermittlung von fahrzeugdaten
EP3557356A1 (de) Verfahren und automatisierungssystem zum sicheren automatischen betrieb einer maschine oder eines fahrzeugs
DE102020209228A1 (de) Verfahren zum Überwachen wenigstens einer Recheneinheit
DE102017201621A1 (de) Integrierte Schaltung für ein Steuergerät eines Kraftfahrzeugs, Verfahren zur Herstellung einer integrierten Schaltung
WO2015180932A1 (de) Verfahren zum rechnergestützten testen eines technischen systems
EP3132322A1 (de) Verfahren zur diagnose eines kraftfahrzeugsystems, diagnosegerät für ein kraftfahrzeugsystem, steuergerät für ein kraftfahrzeugsystem und kraftfahrzeug
DE102020108987A1 (de) Verfahren, System, Computerprogramm und Speichermedium zum fehlertoleranten Betreiben eines Fahrzeugs
DE102018222659A1 (de) Verfahren zur Diagnose einer Sicherheitskomponente in einem Kraftfahrzeug
WO2018050491A1 (de) Überwachung von sicherheitsrelevanten funktionen durch eine nicht sichere recheneinheit
WO2011113405A1 (de) Steuergeräteanordnung
DE102022001254B4 (de) Verfahren zur Durchführung einer Funktionsdiagnose zumindest einer Fahrzeugkomponente und Diagnosesystem
DE102022111493A1 (de) System zur Datenübertragung insbesondere ein Fahrzeugdatenkommunikationssystem zur Übermittlung von Fahrzeugdaten
EP3779797A1 (de) Verfahren zur rechnergestützten vorausschauenden instandhaltung eines technischen systems

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20150623

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

AX Request for extension of the european patent

Extension state: BA ME

DAX Request for extension of the european patent (deleted)
17Q First examination report despatched

Effective date: 20170307

RAP1 Party data changed (applicant data changed or rights of an application transferred)

Owner name: SIEMENS AKTIENGESELLSCHAFT

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

18D Application deemed to be withdrawn

Effective date: 20170718