JP2005518992A - システムにおける安全性を判定し,かつその安全性を得るための装置,方法および対応するコンピュータプログラム - Google Patents
システムにおける安全性を判定し,かつその安全性を得るための装置,方法および対応するコンピュータプログラム Download PDFInfo
- Publication number
- JP2005518992A JP2005518992A JP2003573502A JP2003573502A JP2005518992A JP 2005518992 A JP2005518992 A JP 2005518992A JP 2003573502 A JP2003573502 A JP 2003573502A JP 2003573502 A JP2003573502 A JP 2003573502A JP 2005518992 A JP2005518992 A JP 2005518992A
- Authority
- JP
- Japan
- Prior art keywords
- error
- functional structure
- component
- safety
- components
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07C—TIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
- G07C5/00—Registering or indicating the working of vehicles
- G07C5/008—Registering or indicating the working of vehicles communicating information to a remotely located station
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W2050/0001—Details of the control system
- B60W2050/0002—Automatic control, details of type of controller or control system architecture
- B60W2050/0004—In digital systems, e.g. discrete-time systems involving sampling
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W2050/0001—Details of the control system
- B60W2050/0043—Signal treatments, identification of variables or parameters, parameter estimation or state estimation
- B60W2050/0044—In digital systems
- B60W2050/0045—In digital systems using databus protocols
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/0205—Diagnosing or detecting failures; Failure detection models
- B60W2050/021—Means for detecting failure or malfunction
Landscapes
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
- Testing And Monitoring For Control Systems (AREA)
- Hardware Redundancy (AREA)
Abstract
特に自動車内で,システムにおける安全分析を実施する方法であって,複数のシステムまたは少なくとも1つのシステムが複数のコンポーネントから構成され,前記複数のコンポーネント間に通信関係が存在し,前記複数のコンポーネントおよび前記通信関係によって前記複数のシステムまたは前記少なくとも1つのシステムの機能構造が形成され,前記機能構造に依存するエラーが求められ,前記機能構造に関する前記エラー依存性が評価される。
Description
本発明は,独立請求項の上位概念に記載された,製品開発の早期の段階において,特に自動車内の,システムの安全性を判定する装置,方法および対応するコンピュータプログラム,コンピュータプログラム製品に関する。独立請求項の上位概念に相当するカテゴリーの方法は,CARTRONIC(登録商標)ベースの安全分析(CSA)と称され,それに応じて装置によって,またはコンピュータプログラムを実施する際に,実施される。
製品開発サイクルを短縮しながら,同時に安全性と信頼性に対する増大する要請を満たすことは,自動車産業だけにおける挑戦ではない。このような状況では,製品開発の間の極めて早い時期にすでに,安全に対する分析を考慮することが必要となる。プランニングの開始から市場導入までの期間が短いということは,製品をライバルより前に市場に定着させるために,決定的な競争上の利点となる。製品開発の早い段階において安全分析を考慮することによって,製品開発の進んだ段階において製品をテストして改良するための時間のかかる反復が減少し,理想的な場合にはそのような反復を回避できる。早期の開発段階においては,システムの考察方法は抽象的である。すなわち,システムがどの機能を満たすべきか,そしてこれらの機能がどのように協働するかは認識されているが,これらの機能がどのように実現されるか(たとえばハードウェア,ソフトウェア,機構)はまだ決定されていない。この抽象的な見方は,自動車メーカーおよび納入者ニュートラルな構造化コンセプトCARTRONIC(登録商標)によって示すことができる。この構造化コンセプトは,CARTRONIC(登録商標)ベースの安全分析のための基礎を形成する。
特に,自動車というシステムの複雑さが増すことは,一方では個々のサブシステムの複雑さと数が増すことにあるが,そのネットワーク化の増大によっても著しく影響を受ける。自動車というシステムの複雑さを支配することは,他のサブシステムとの相互作用を考慮して,CARTRONIC(登録商標)に基づくサブシステムの構造化によって達成される。
CARTRONIC(登録商標)構造化コンセプト(Bertram, T.; Bitzer, R.; Mayer, R.; Volkhart, A.; 1998,CARTRONIC−An open architecture for networking the control systems of an automobile(自動車のコントロールシステムをネットワーク化するためのオープンアーキテクチャ),Detroit/Michigan USA, SAE 98200を参照)は,オブジェクト指向の考え方に基づいている。自動車というシステムは,論理的な機能ユニットに構造化されて,それらが標準化されたインターフェイスを介して互いに通信する。
CARTRONIC(登録商標)は,車両のすべての開ループ制御および閉ループ制御システムのための構造化コンセプトである。このコンセプトは,取り決め可能な形式的な構造化およびモデル化規則に基づく「機能」と「安全性」のためのモジュール状の拡張可能なアーキテクチャを有している。
ここでアーキテクチャとは,構造化システム(規則)でもあり,それを具体的な構造に変換することでもある。機能アーキテクチャは,車両内で生じるすべての開ループ制御および閉ループ制御の課題を包含している。システム複合体の課題は,いわゆる機能的なコンポーネントに対応づけられ,コンポーネントのインターフェイス(機能的なインターフェイス)とその協働が決定される。安全アーキテクチャは,機能アーキテクチャを,システム複合体の確実な駆動を保証するエレメントだけ拡張する。
他の表示形式は,UML(Unified Modelling Language)へコピーすることによって得られる,それがさらに,コンピュータシステムの管理を容易にする。CARTRONIC(登録商標)機能構造をUMLモデルへコピーすることは,(Torre Flores, P.; Lapp, A.; Hermsen, W.; Schirmer, J.; Walther, M.; Bertram, T.; Petersen, J.; 2001, Integration of a structuring concept for a vehicle control system into the software development process using UML modeling methods(車両コントロールシステムのための構造化コンセプトをUMLモデリング方法を使用してソフトウェア開発プロセス内へ統合すること), Detroit/Michigan USA, SAE 2001−01−0066)に記載されている。
構造化のための基本装備が,機能的なコンポーネントを形成する。機能的なコンポーネントは,自動車というシステム内の機能を表している。コンパクトに表示するために,以下においては,機能的なコンポーネントという概念の代わりに,単にコンポーネントという概念が使用される。コンポーネントは,開発の経過と共に細分(細目化)され,その場合に上位に配置されている機能は覆いとして残される。上位に配置されている機能は,細分(細目化)の内部で再び,上位に配置された機能の個々の部分を表すコンポーネントから構成される。構造化コンセプトにおいて,3つの異なるタイプのコンポーネントに区別される:
□主に調整し,かつ分配する課題を有するコンポーネント,
□主として作戦的かつ実施する課題を有するコンポーネント,
□もっぱら情報を形成し,かつ用意するコンポーネント
□主に調整し,かつ分配する課題を有するコンポーネント,
□主として作戦的かつ実施する課題を有するコンポーネント,
□もっぱら情報を形成し,かつ用意するコンポーネント
通信関係においては,命令(フィードバックを含む),照会(指示を含む)および要請の間で区別される。命令を特徴づけるのは,実施する義務である。つまり,命令を満たすことができない場合には,命令の受け手は命令の送り手へ命令を満たせない理由をフィードバックしなければならない。照会は,命令実施のための情報の形成に用いられる。あるコンポーネントが照会された情報を用意できない場合には,そのコンポーネントは照会したコンポーネントへ指摘を与える。要請は,機能が他のコンポーネントによって実施される,という「希望」を記述する。要請には,もちろん満たす義務はなく,そのことはたとえば要請が競り合っている場合に考慮される。表1は,構造エレメントを要約して示している。
構造化規則は,車両全体のアーキテクチャの内部で許される通信関係を規定する。同一の抽象的なレベルにおける通信関係およびより高いレベルとより低いレベルにおける通信関係を,与えられた周辺条件を考慮して定める構造化規則が区別される。さらに,構造化規則は通信関係を他の機能性の細部へ伝えることを明らかにする。
構造化およびモデリング規則に従って開発された構造は,次の特徴によって特徴づけられる:
□すべての抽象レベルにおける,取り決められた統一的な構造化およびモデリング規則,
□階層的な命令フロー
□個々のコンポーネントの高い自己責任
□操作エレメント,センサおよび評価装置は,等価の情報マスターであり,かつ
□各コンポーネントを残りのコンポーネントのために,必要な程度に見えるように,かつ可能な限り見えないように表す,カプセル化
□すべての抽象レベルにおける,取り決められた統一的な構造化およびモデリング規則,
□階層的な命令フロー
□個々のコンポーネントの高い自己責任
□操作エレメント,センサおよび評価装置は,等価の情報マスターであり,かつ
□各コンポーネントを残りのコンポーネントのために,必要な程度に見えるように,かつ可能な限り見えないように表す,カプセル化
従って,特に自動車内で,少なくとも1つのシステムの改良された安全分析および改良された安全構造の形成を可能にする,方法と装置および対応するコンピュータプログラムとコンピュータプログラム製品を提供するという,課題が設定される。
本発明は,特に自動車内で,システムにおける安全分析を実施するための装置,特にコンピュータシステム,コンピュータプログラム,コンピュータプログラム製品および方法に関するものである。その場合に複数のシステムまたは少なくとも1つのシステムが複数のコンポーネントからなり,それら複数のコンポーネントの間に通信関係が存在し,コンポーネントおよびその通信関係が複数のシステムまたは少なくとも1つのシステムの機能構造を形成する。その場合に,好ましくは,機能構造に依存するエラーが求められ,機能構造に関するエラー依存性が評価される。
実施形態においては,本発明は,特に自動車内で,システムにおける予め定めることのできる安全段階を得るための装置,特にコンピュータシステム,コンピュータプログラム,コンピュータプログラム製品および方法に関するものである。その場合に複数のシステムまたは少なくとも1つのシステムが複数のコンポーネントからなり,それらコンポーネントの間に通信関係が存在し,コンポーネントとその通信関係がシステムの機能構造を形成する。その場合に,機能構造に依存するエラーが求められ,機能構造に関するこのエラー依存性が評価されるものであって,次のステップを有している:
a)機能構造内のエラー依存性を追求してエラーパスを形成し,エラーのグローバルな作用を求め,
b)グローバルな作用を,予め定めることのできる安全段階に従って評価し,
c)コンポーネントまたは通信関係のエラー行動をもたらすエラーを求め,
c)コンポーネントまたは通信関係のエラー行動を,グローバルな作用に対応づけ,
e)エラーを認識する措置および/またはエラーをコントロール措置を求め,
f)得ることのできる安全段階を求めて,求められた安全段階を,得るべき安全段階と比較し,かつ
g)比較に従って,得るべき安全段階が得られるまで,a)から新たな処理を開始する。
b)グローバルな作用を,予め定めることのできる安全段階に従って評価し,
c)コンポーネントまたは通信関係のエラー行動をもたらすエラーを求め,
c)コンポーネントまたは通信関係のエラー行動を,グローバルな作用に対応づけ,
e)エラーを認識する措置および/またはエラーをコントロール措置を求め,
f)得ることのできる安全段階を求めて,求められた安全段階を,得るべき安全段階と比較し,かつ
g)比較に従って,得るべき安全段階が得られるまで,a)から新たな処理を開始する。
従って好ましくは,問題領域を正しい時期に認識するために,製品開発の早期の段階における安全分析を実施することと,早い時期に安全措置を機能構造内へ統合することが行われる(“safety through design”)。
従って本発明に基づく安全分析は,好ましい方法で,反復する分析および改良プロセスとしても示される。
システムの安全性を判定する方法は,好ましくは,CARTRONIC(登録商標)機能構造またはCARTRONIC(登録商標)−UMLモデルに基づいて示すことができるが,他のシステムモデルにも適用できる。
本方法は,好ましくは,CSAテーブルを用いて実施される。CSAテーブルによって,グローバルなエラー作用が識別されて,評価される。CSAテーブルには,コンポーネントと通信関係のエラー依存性が示される。その場合にエラー行動は,コンポーネントまたは通信内の機能構造エラー(以後,FSエラーとも称する。)によってもたらされる。通信エラー(命令,要請)は,通信の目標コンポーネント(通信先のコンポーネント)において考慮される。照会の際のFSエラーは,通信元のコンポーネントにおいて考慮される。
コンポーネントのエラー行動が,グローバルな作用に対応づけられる。それによってグローバルな作用の判定だけでなく,機能構造のどのコンポーネントがそれに関して責任を有しているか,も得られる。
本方法は,特殊な実施形態においては,CARTRONIC(登録商標)ベースの開発プロセスへ組み込まれる。それによって,形式的,系統的なやり方が促進される。
安全措置は,特にCARTRONIC(登録商標)−UMLモデルに適用される。このことが,決定された製品要請または製品仕様書に対する形式的な検証を可能にする。製品仕様書の妥当性検査は,このやり方においても可能である。
従って安全措置を含む,CSAテーブル,CARTRONIC(登録商標)機能構造またはCARTRONIC(登録商標)−UMLモデルを基礎とする,さらに進歩した量的な安全考察の実施を得ることができる。
他の利点と好ましい形態は,明細書,請求項の特徴から明らかにされる。
以下,図によって示される図面と表を用いて本発明を詳細に説明する。
以上説明したように本発明によれば,開発段階で潜在的な危険箇所を識別することにおいてシステム開発者を支援することができる。
以下で説明する安全分析は,考察されるシステムのCARTRONIC(登録商標)機能構造またはCARTRONIC(登録商標)−UML−モデルに基づいている。CARTRONIC(登録商標)−UML−モデルは,CARTRONIC(登録商標)機能構造をUML(unified modeling language)へ適用するものである。UMLへ適用することによって,発明の自動化された実現を容易にするような,形式化され,かつより正確に明細化された表示が得られる。CARTRONIC(登録商標)機能構造をUMLモデルへコピーすることは,(Torre Flores, P.; Lapp, A.; Hermsen, W.; Schirmer, J.; Walther, M.; Bertram, T.; Petersen, J.; 2001, Integration of a structuring concept for a vehicle control system into the software development process using UML modeling methods(車両コントロールシステムのための構造化コンセプトをUMLモデリング方法を使用してソフトウェア開発プロセス内へ統合すること), Detroit/Michigan USA, SAE 2001−01−0066)に記載されている。
CARTRONIC(登録商標)ベースの安全分析は,抽象的なシステムレベルで系統的な安全分析を行う方法であって,従って開発信条「デザインを通しての安全(safety through design)」を支援するものである。より以前の刊行物に記載されている,CARTRONIC(登録商標)ベースの安全分析を行う方法(Bertram, T.; Dominke, P.; Mueller, B.; 1999, The Safety−Related Aspect of CARTRONIC(CARTRONICの安全関連のアスペクト), Detroit/Michigan USA, SAE‘99, Session Code PC 26)が,根本的に検討されて,構造的なエラー依存性の分析だけ拡張されている。早期の開発段階において本方法を使用することによって,エラーとその原因を抽象的に,たとえば「エラーが存在する」あるいは「エラーは存在しない」と記述することができる。従って本方法は,FMEA(Failure Mode and Effects Analysis またはFehler−Moeglichkeits−und Einfluss−Analysis(エラー可能性および影響分析))の抽象を表しており,その方法が構造化されたエラー依存性の分析だけ拡張されている。その場合にFMEAは,システム,構成部品および製造プロセスを分析,評価および文書化する,方法上の処理であって,特にエラー回避に用いられる。CSAの意図は,FMEAに代わることではなく,ただ早期の開発段階において潜在的な危険箇所を識別することにおいてシステム開発者を支援することである。
まず重要な概念を定義してから,例を用いて発明を説明する。
定義1(グローバルな作用)
グローバルな作用は,アクチュエータによって自動車というシステム全体に作用する,物理的な効果である。それらはセンサ技術により(あるいは車両運転者によっても)機能損失(たとえばブレーキシステムの不具合)または快適性損失(たとえばアダプティブクルーズコントロールのようなアシストシステムのオフによる)によって認識される。
グローバルな作用は,アクチュエータによって自動車というシステム全体に作用する,物理的な効果である。それらはセンサ技術により(あるいは車両運転者によっても)機能損失(たとえばブレーキシステムの不具合)または快適性損失(たとえばアダプティブクルーズコントロールのようなアシストシステムのオフによる)によって認識される。
定義2(機能構造エラー)
機能構造エラー(FSエラー)は,コンポーネントまたは通信のエラー行動をもたらすエラーである。
機能構造エラー(FSエラー)は,コンポーネントまたは通信のエラー行動をもたらすエラーである。
定義3(機能構造エラー原因)
機能構造エラー原因(FSエラー原因)は,コンポーネントのエラー行動の理由である。コンポーネントのエラー行動の理由は,FSエラーの存在にある。FSエラーは,さらに細目化されたエラー種類に分割される。その場合に細目化されたエラー種類がまた,FSエラーの原因になることもある。細目化されたエラー種類は次のごとくである:
コンポーネントエラー:
コンポーネントが機能していない
コンポーネントが誤った値を計算
コンポーネントは,コントロールされない状態でアクティブである
コンポーネントは,誤った時期に結果を生成
通信エラー:
通信中断
通信が誤った情報を提供
通信は,コントロールされない状態でアクティブである
通信は,誤った時期に情報を提供
通信は,誤ってガイドされている
機能構造エラー原因(FSエラー原因)は,コンポーネントのエラー行動の理由である。コンポーネントのエラー行動の理由は,FSエラーの存在にある。FSエラーは,さらに細目化されたエラー種類に分割される。その場合に細目化されたエラー種類がまた,FSエラーの原因になることもある。細目化されたエラー種類は次のごとくである:
コンポーネントエラー:
コンポーネントが機能していない
コンポーネントが誤った値を計算
コンポーネントは,コントロールされない状態でアクティブである
コンポーネントは,誤った時期に結果を生成
通信エラー:
通信中断
通信が誤った情報を提供
通信は,コントロールされない状態でアクティブである
通信は,誤った時期に情報を提供
通信は,誤ってガイドされている
図1は,CARTRONIC(登録商標)ベースの安全分析の処置方法を示している。本方法は,以下のように区分することができる:
ステップ1:CARTRONIC(登録商標)機能構造ないしCARTRONIC(登録商標)−UMLモデルに基づいて,グローバル作用を識別
ステップ2:安全段階(safety level,以後,SLとも称する。)によってグローバル作用を評価
ステップ3:FSエラー原因の分析(定義3を参照),たとえばコンポーネントまたは通信関係のエラーを分析
ステップ4:コンポーネントのエラー行動をグローバル作用に対応づける
ステップ5:エラー認識措置および/またはエラーコントロール措置を求める
ステップ6:CARTRONIC(登録商標)安全構造の形成ないし補完
ステップ7:もたらされた機能および安全構造を,安全性の観点から検証
ステップ1:CARTRONIC(登録商標)機能構造ないしCARTRONIC(登録商標)−UMLモデルに基づいて,グローバル作用を識別
ステップ2:安全段階(safety level,以後,SLとも称する。)によってグローバル作用を評価
ステップ3:FSエラー原因の分析(定義3を参照),たとえばコンポーネントまたは通信関係のエラーを分析
ステップ4:コンポーネントのエラー行動をグローバル作用に対応づける
ステップ5:エラー認識措置および/またはエラーコントロール措置を求める
ステップ6:CARTRONIC(登録商標)安全構造の形成ないし補完
ステップ7:もたらされた機能および安全構造を,安全性の観点から検証
次に,CARTRONIC(登録商標)ベースの安全分析を例を用いて説明する。例として,簡略化されたブレーキシステムを選択する。簡略化されたブレーキシステムのCARTRONIC(登録商標)機能構造とCARTRONIC(登録商標)−UMLモデルが,図2と3に示されている。例示されたシステムは,コンポーネントであるトルク分配器,推進装置,ブレーキシステム,ブレーキシステムコーディネータ,ブレーキアクチュエータおよびブレーキライトを備える。CARTRONIC(登録商標)の論理的,階層的な機能構造において,コンポーネントであるブレーキシステムコーディネータとブレーキアクチュエータは,ブレーキシステムの細目化内にある。コンポーネントであるトルク分配器,推進装置およびブレーキシステムは,推進装置とブレーキの細目化である。機能構造において,推進装置とブレーキは,車両運動の細目化である。コンポーネントであるブレーキライトは,ライトと光信号の細目化内にあって,その光信号は外部照明の細目化である。この外部照明もまた,コンポーネントである,ボディと室内の視認性と信号化の細目化である。車両運動およびボディと室内の細目化は,車両レベル内に位置づけされている。車両レベルは,CARTRONIC(登録商標)機能構造の一番上のレベルである。
CARTRONIC(登録商標)ベースの安全分析の認識は,表,CSAテーブルにわかりやすくまとめて記憶される。
CSAテーブルによって,機能構造の内部でエラー依存性に対する個々のコンポーネントのエラー行動の対応づけが得られる。CSAテーブルで示されたFSエラーは,上述したエラー種類に細分することができる。細分化されたエラー種類は,抽象的なシステムレベルで,FSエラーの原因として解釈可能である。さらに,「内部の作用」(コンポーネントのエラー行動)が,グローバルな作用に対応づけられる。それによって構造内部のエラー依存性とグローバルな作用との間の複雑な依存性が認識可能となる。
以下で説明する方法は,原因分析に関して「ボトムアップ」の考え方を採用している。というのは,潜在的なエラー行動に基づいて,そのエラー行動を引き起こす可能性のある原因が識別されるからである。この措置を,上述した例とすでに示されているステップ1〜7を用いて説明する。
ステップ1:グローバルな作用を識別
グローバルな作用は,周囲へのシステムインターフェイスを考察する場合に生じる。考察されるシステムによって駆動されるアクチュエータは,周囲へのインターフェイスを表す。ここで考察される文脈において,周囲とは全体としての自動車を意味する。図2と3に例示するシステムのためのアクチュエータは,ブレーキシステム(細目化においてはブレーキアクチュエータ),推進装置およびブレーキライトである。単に,調査すべきサブシステムが責任を負うべきグローバルな作用が考察され,たとえばコンピュータシステム内で検出される。すなわち,たとえば,ブレーキ作用の全体的な損失に対する責任をブレーキシステムに負わせるように駆動するアダプティブクルーズコントロール(ACC)サブシステムは,重要ではない。この関係は,対応表またはエキスパートシステムによって検出可能であって,処理の推移においてコンピュータシステムによってアクセス可能に提供される。その場合に措置が反復する場合には,それぞれ反復プロセスに従って異なる関係を上述した形式で使用することができる。これはまた,以下で説明するような,他の措置についても当てはまる。
グローバルな作用は,周囲へのシステムインターフェイスを考察する場合に生じる。考察されるシステムによって駆動されるアクチュエータは,周囲へのインターフェイスを表す。ここで考察される文脈において,周囲とは全体としての自動車を意味する。図2と3に例示するシステムのためのアクチュエータは,ブレーキシステム(細目化においてはブレーキアクチュエータ),推進装置およびブレーキライトである。単に,調査すべきサブシステムが責任を負うべきグローバルな作用が考察され,たとえばコンピュータシステム内で検出される。すなわち,たとえば,ブレーキ作用の全体的な損失に対する責任をブレーキシステムに負わせるように駆動するアダプティブクルーズコントロール(ACC)サブシステムは,重要ではない。この関係は,対応表またはエキスパートシステムによって検出可能であって,処理の推移においてコンピュータシステムによってアクセス可能に提供される。その場合に措置が反復する場合には,それぞれ反復プロセスに従って異なる関係を上述した形式で使用することができる。これはまた,以下で説明するような,他の措置についても当てはまる。
図2に示す例について,たとえば以下のグローバルな作用を識別することができる:
□加速作用→推進装置
・管理されない加速
○加速強すぎ
○加速弱すぎ
・加速なし
□ブレーキ作用→ブレーキアクチュエータ
・ブレーキ作用なし
・小さすぎるブレーキ作用
□信号化→ブレーキライト
・表示なし
・連続的な表示(制動されないのに,ブレーキライトが点灯,というシナリオが得られる)
□加速作用→推進装置
・管理されない加速
○加速強すぎ
○加速弱すぎ
・加速なし
□ブレーキ作用→ブレーキアクチュエータ
・ブレーキ作用なし
・小さすぎるブレーキ作用
□信号化→ブレーキライト
・表示なし
・連続的な表示(制動されないのに,ブレーキライトが点灯,というシナリオが得られる)
図4には,CSAテーブルにおいてグローバルな作用が設定されているヘッダ部分が示されている。
ステップ2:安全段階によってグローバルな作用を評価
グローバルな作用の評価は,DIN V19250に定められている要請クラスに準拠して行われる。規格内の要請クラスは,一般にMSR保護装置(MSR−Messen, Steuern, Regeln/測定,開ループ制御,閉ループ制御)のために定められている。そこで決定されている前提は,直接自動車には移し替えられない。この規格内では,次の点が評価に取り入れられる。
グローバルな作用の評価は,DIN V19250に定められている要請クラスに準拠して行われる。規格内の要請クラスは,一般にMSR保護装置(MSR−Messen, Steuern, Regeln/測定,開ループ制御,閉ループ制御)のために定められている。そこで決定されている前提は,直接自動車には移し替えられない。この規格内では,次の点が評価に取り入れられる。
□危険領域内の滞在時間
□一人または複数の人間が,潜在的なエラーの作用を受ける
それに対して自動車の場合には,上記2点の場合を考慮することは,重要ではない。上記2点は,所定の機械を駆動する場合に,機械を操作する人間はその機械を検査台から操作し,たとえば保守作業の場合に,制限された期間の間所定の前提の元でのみ潜在的な危険にさらされる,という前提の元で考慮される。それに対して自動車においては,人は常に潜在的な危険にさらされている。さらに,常に複数の人がエラーの作用を受ける可能性がある。この違いを考慮して,自動車のための適合された「要請クラス」が設けられ,それはCSAの枠内で安全段階(英語ではsafety level−SL)と称される。エラー作用に対する安全段階の対応づけが,図5のリスクグラフに示されている。
□一人または複数の人間が,潜在的なエラーの作用を受ける
それに対して自動車の場合には,上記2点の場合を考慮することは,重要ではない。上記2点は,所定の機械を駆動する場合に,機械を操作する人間はその機械を検査台から操作し,たとえば保守作業の場合に,制限された期間の間所定の前提の元でのみ潜在的な危険にさらされる,という前提の元で考慮される。それに対して自動車においては,人は常に潜在的な危険にさらされている。さらに,常に複数の人がエラーの作用を受ける可能性がある。この違いを考慮して,自動車のための適合された「要請クラス」が設けられ,それはCSAの枠内で安全段階(英語ではsafety level−SL)と称される。エラー作用に対する安全段階の対応づけが,図5のリスクグラフに示されている。
図示のように,作用が特殊な場合において生じるか,あるいは通常の場合において生じるか,が区別される。特殊な場合においてとういのは,圧倒的多数の場合において,該当する作用を考慮する必要がないことを意味している。安全段階に,事象頻度を対応づけることができる。このような事象頻度は,後に実現されるコンポーネントによって少なくとも満たされるべき設定値である。事象頻度のアプリオリな検証は,通常不可能である。というのは,信頼できるデータは,しばしば一連の使用の後に提供されるからである。しかし,安全段階に対応付けられた事象頻度の目標値を,後から,検出された実際値と比較することは可能である。その場合に偏差が生じた場合には,すなわち実際に求められた事象頻度が,安全段階の許容される事象頻度よりも大きい場合には,事象頻度を減少させる措置を講じなければならない。
図6には,安全段階によるブレーキシステムのグローバルな作用の評価が示されている。ブレーキシステムは,すべての状況の下で保証されなければならない自動車の最も重要な機能である。グローバルな作用「ブレーキ作用なし」は,通常の場合においては,車両運転者によってはコントロールできない身体と生命の脅威を意味している。従ってここでは,安全段階SL4が与えられなければならない。作用「加速なし」については,安全段階SL1が与えられる。とういのは,ここでは通常の場合において,たとえばわずかな速度差を有する追突事故による,最大でも軽微な損傷であるということが推定できるからである。特殊な場合においては,身体と生命の危険が生じる可能性があるが,それは,たとえば警告点滅設備をオンにすることによって,コントロールできる。
以下においては,見やすい表示を得るために,テーブル欄「管理されない加速」の細分化は省かれている。
ステップ3:機能構造−エラー−原因分析
原因分析においては,何がコンポーネント(トルク分配器,推進装置,ブレーキシステム,ブレーキシステムコーディネータ,ブレーキアクチュエータ,ブレーキライト)のエラー行動をもたらしたか,が問われる。
原因分析においては,何がコンポーネント(トルク分配器,推進装置,ブレーキシステム,ブレーキシステムコーディネータ,ブレーキアクチュエータ,ブレーキライト)のエラー行動をもたらしたか,が問われる。
原因分析は,何によってCARTRONIC(登録商標)コンポーネント(トルク分配器,推進装置,ブレーキシステム,ブレーキシステムコーディネータ,ブレーキアクチュエータ,ブレーキライト)のエラー行動がもたらされた可能性があるか,を調査する。コンポーネントとその細目化(わかっている限りにおいて)のエラー行動が調査される。原因分析するために,考察されるシステムのCARTRONIC(登録商標)機能構造が,CSAテーブルの先頭行「機能構造」へ引き継がれる。さらにCARTRONIC(登録商標)機能構造が,欄「エラー行動コンポーネント」へ引き継がれる(図7を参照)。
1つのコンポーネントにおけるFSエラーが同じコンポーネント内のエラー行動をもたらした場合には,機能構造に基づくコンポーネントが同じコンポーネントのエラー行動へ対応づけられる(「x」で識別,図7を参照)。さらに,コンポーネントにとって重要な,通信関係のFSエラーも考慮される。通信関係のFSエラーが,エラー行動をもたらした場合には,同様に,考察される通信の種類と名称を表す,機能構造の対応づけが行われる。通信関係の種類は,通信の英語表現の大文字の頭文字によって示される。従って命令(英語ではOrder)については「O」,要請(英語ではRequest)については「R」,照会(英語ではInquiry)については[I」が使用される。通信の種類にアンダーバー「_」が続き,それに通信の名称が続く(たとえばI_I1)。
コンポーネントのエラー行動についての原因分析において,
□コンポーネント自体,および
□到着した命令
□到着した要請
□出力される照会
が考察される。
□コンポーネント自体,および
□到着した命令
□到着した要請
□出力される照会
が考察される。
以降の推移において,エラー依存性が調査される。従って,他のどのコンポーネントと通信が,考察されるコンポーネントのエラー行動に責任を有する可能性があるか,が求められる。そのために,コンポーネントの欄Mにある1つまたは複数の通信が遡及されて,新しく見いだされた1つまたは複数のコンポーネントが同じ行内でコンポーネントエラー特性に対応づけられる。新しく見いだされたこの1つは,新しい出発点として用いられる。このコンポーネントに対応づけられた1つまたは複数の通信が求められて,該当するコンポーネントの欄Mへ記録される。このコンポーネントに対応づけられた通信も,遡及される。従って新しい出発コンポーネントが見いだされる。このプロセスは,他の通信が存在しなくなるまで,またはすべての到達可能なコンポーネントが通過されるまで,反復して続行される(以下の例と図8を参照)。
例:
コンポーネントトルク分配器(fc1)のエラー行動は,コンポーネントトルク分配器(fc1)自体内のコンポーネントエラー,照会I1または要請R1あるいは要請R2内の通信エラー,コンポーネント推進装置(fc3)内のコンポーネントエラーまたは命令O2における通信エラー,コンポーネントブレーキシステムコーディネータ(fc21)内のコンポーネントエラーあるいは命令O1内の通信エラーが発生したことに,原因を有している。
コンポーネントブレーキシステム(fc2)のエラー行動は,ブレーキシステム(fc2)自体内にコンポーネントエラーが存在するか,命令O1内の通信エラーあるいはここで考慮すべき通信エラー要請R1,要請R2および照会I1を伴うトルク分配器(fc1)内のコンポーネントエラー,またはコンポーネント推進装置(fc3)内のエラー,命令O2内の通信エラーが発生していることに,原因を有している。
コンポーネントトルク分配器(fc1)のエラー行動は,コンポーネントトルク分配器(fc1)自体内のコンポーネントエラー,照会I1または要請R1あるいは要請R2内の通信エラー,コンポーネント推進装置(fc3)内のコンポーネントエラーまたは命令O2における通信エラー,コンポーネントブレーキシステムコーディネータ(fc21)内のコンポーネントエラーあるいは命令O1内の通信エラーが発生したことに,原因を有している。
コンポーネントブレーキシステム(fc2)のエラー行動は,ブレーキシステム(fc2)自体内にコンポーネントエラーが存在するか,命令O1内の通信エラーあるいはここで考慮すべき通信エラー要請R1,要請R2および照会I1を伴うトルク分配器(fc1)内のコンポーネントエラー,またはコンポーネント推進装置(fc3)内のエラー,命令O2内の通信エラーが発生していることに,原因を有している。
図2に示す例についてのCSAテーブルへの記入が,図8の,特に図8aから明らかにされる。
細目内のコンポーネントのエラー行動が考察される場合には,覆いは原因分析のためには関心を持たれない。というのは,通信関係のみがより高いレベルから細目へ伝えられるからである。「機能構造」の欄のブレーキシステム(ブレーキシステム(fc2)はブレーキシステムコーディネータとブレーキアクチュエータのための覆い)は,コンポーネントブレーキシステムコーディネータ(欄「エラー行動コンポーネント」内の行ブレーキシステムコーディネータ(fc21))のエラー行動の原因分析のために考慮する必要はない。コンポーネントブレーキライトのエラー行動の原因分析においては,コンポーネントブレーキシステムの細目のための分析が行われている場合には,コンポーネントブレーキシステムのための分析を実施することは不要である。可能性のある原因は,細目(ブレーキシステムコーディネータとブレーキアクチュエータ)を考察する際にすでに考慮されているからである。
従ってCSAテーブルは,論理的なエラー依存性の追求を許すものである。多数の記入を有する機能構造の欄,たとえばトルク分配器(fc1)の欄と推進装置(fc3)の欄は,そこでは1つのエラーがシステムの大きな部分へ作用するので,重要なコンポーネントであるといえる。
ステップ4:グローバルな作用に対するコンポーネントのエラー行動の対応づけ
従ってまず,ステップ1において識別されたグローバルな作用が,そのエラー行動がグローバルな作用をもたらしたコンポーネントに対応づけられる。これらのコンポーネントは,システムインターフェイスである(ステップ1を参照)。
従ってまず,ステップ1において識別されたグローバルな作用が,そのエラー行動がグローバルな作用をもたらしたコンポーネントに対応づけられる。これらのコンポーネントは,システムインターフェイスである(ステップ1を参照)。
ステップ1で,この対応づけはすでに示されている。
□加速作用→エラー行動 推進装置
□ブレーキ作用→エラー行動 ブレーキアクチュエータ
□信号化→エラー行動 ブレーキライト
□ブレーキ作用→エラー行動 ブレーキアクチュエータ
□信号化→エラー行動 ブレーキライト
CSAテーブル内のこの対応づけは,図8bから明らかである。
ステップ3で求められたエラー依存性によって,グローバルな作用への残りのコンポーネントの対応づけが得られる。これは,システムインターフェイスの行のための機能構造の欄を考察することによって達成される(コンポーネントブレーキアクチュエータ(fc22),推進装置(fc3)およびブレーキライト(fc4)のエラー行動)。システムインターフェイスのエラー行動に対応づけられている(たとえば「x」で示されている),機能構造の各欄は,同じグローバルな作用をもたらす可能性がある。細目のエンベロープには,細分化のコンポーネントに対応づけられている,すべてのグローバルな作用が割り当てられる。このステップの結果が,図8cに示されている。
例:
以下,機能構造におけるコンポーネントトルク分配器(fc1)を考察する。機能構造内のコンポーネントトルク分配器(fc1)は,エラー行動 ブレーキアクチュエータ(fc22)の行に対応づけられており,すなわちコンポーネントトルク分配器内のエラーがブレーキアクチュエータのエラー行動をもたらす可能性がある。そのことから,コンポーネントトルク分配器のエラー行動がブレーキアクチュエータのグローバルな作用もたらす可能性もあることが推定される。従ってブレーキアクチュエータのエラー行動のグローバルな作用(「ブレーキ作用なし」と「過少なブレーキ作用」)は,トルク分配器のエラー行動にも対応づけられる。さらに,コンポーネントトルク分配器(fc1)内のFSエラーが,推進装置(fc3)のエラー行動をもたらす可能性がある。従ってコンポーネントトルク分配器のエラー行動が,グローバルな作用「管理されない加速」と「加速なし」をもたらす可能性もある。コンポーネントトルク分配器(fc1)内のFSエラーは,ブレーキライト(fc4)のエラー行動をもたらす可能性がある。従ってコンポーネントトルク分配器のエラー行動が,グローバルな作用「表示なし」と「管理されない表示」をもたらす可能性がある。
コンポーネントブレーキシステムコーディネータ(fc21)とブレーキアクチュエータ(fc22)のエンベロープとしてのブレーキシステム(fc2)のエラー行動は,細目におけるそのすべてのコンポーネントのグローバルな作用をもたらす可能性がある。
以下,機能構造におけるコンポーネントトルク分配器(fc1)を考察する。機能構造内のコンポーネントトルク分配器(fc1)は,エラー行動 ブレーキアクチュエータ(fc22)の行に対応づけられており,すなわちコンポーネントトルク分配器内のエラーがブレーキアクチュエータのエラー行動をもたらす可能性がある。そのことから,コンポーネントトルク分配器のエラー行動がブレーキアクチュエータのグローバルな作用もたらす可能性もあることが推定される。従ってブレーキアクチュエータのエラー行動のグローバルな作用(「ブレーキ作用なし」と「過少なブレーキ作用」)は,トルク分配器のエラー行動にも対応づけられる。さらに,コンポーネントトルク分配器(fc1)内のFSエラーが,推進装置(fc3)のエラー行動をもたらす可能性がある。従ってコンポーネントトルク分配器のエラー行動が,グローバルな作用「管理されない加速」と「加速なし」をもたらす可能性もある。コンポーネントトルク分配器(fc1)内のFSエラーは,ブレーキライト(fc4)のエラー行動をもたらす可能性がある。従ってコンポーネントトルク分配器のエラー行動が,グローバルな作用「表示なし」と「管理されない表示」をもたらす可能性がある。
コンポーネントブレーキシステムコーディネータ(fc21)とブレーキアクチュエータ(fc22)のエンベロープとしてのブレーキシステム(fc2)のエラー行動は,細目におけるそのすべてのコンポーネントのグローバルな作用をもたらす可能性がある。
ステップ4.1:安全段階をコンポーネントのエラー行動に対応づける
1つの行内でエラー行動に対応づけられている,グローバルな作用の安全段階の最大値が,欄SLの対応するエレメント内に記入される。この措置が,図8dに示されている。
1つの行内でエラー行動に対応づけられている,グローバルな作用の安全段階の最大値が,欄SLの対応するエレメント内に記入される。この措置が,図8dに示されている。
ステップ5:エラー認識措置および/またはエラーコントロール措置
以下の2つの表は,コンポーネント(表2)と通信関係(表3)のためのエラーを認識およびコントロールする手段を有している。
以下の2つの表は,コンポーネント(表2)と通信関係(表3)のためのエラーを認識およびコントロールする手段を有している。
高い抽象レベルでのエラー認識および/またはエラーコントロール措置を示すことは,具体的に実現されたシステムがまだ存在していない場合には,困難である。CSAテーブル内の多くの抽象的なエラーについて,それらが実現に関係する,すなわち具体的なシステムトポロジーのために,示される場合にのみ,エラーを認識してコントロールするための有効かつ経済的に有意義な措置が示される。そうでない場合に実現に無関係に考察した場合には,抽象的なレベルで解決のために示すことのできる,余りにも多くの可能性が存在する(表2と表3を参照)。措置は,抽象的な原因を認識してコントロールするための可能性を示す。こられの抽象的な原因は,一般的なFSエラーのエラーモード(エラー種類)として理解することができる(定義3を参照)。
高い抽象レベルでは,すでに早期の開発段階において明らかにされている措置が示される。
それに数えられるのは,エラー伝播を阻止し,あるいは蓋然性に基づく措置である。すなわち,信号は,所定の限界値内にのみ存在することを許されていることは,明白であると言える。エラー伝播は,冗長性によって制限することができる。冗長な構造は,後の開発段階において,すなわち実現されたトポロジーの詳細な知識において,安価な措置に変換することができる。その例は,エラーを認識して補正するためのコードである。表の明文の記載は,プログラムやコンピュータシステム内ではコード化によって短縮可能かつ対応づけ可能である。
技術的および経済的な種類の最適な解決は,既知のトポロジーの内部でエラーを考察する場合に初めて見いだすことができる。ある照会について,原因「誤った情報を供給する」がクリティカルであると識別された場合に,とるべき措置は,照会がどのように実現されているか,に著しく関係する。プロセッサシステムの内部の値が照会される場合には(たとえば内部のメモリ),場合によっては措置はとられない(固有に安全)。またはユニット全体としてのプロセッサシステムを考察して,唯一の措置,たとえばウォッチドッグタイマによって,多数のオペレーションを監視することができる。通信が外部の接続(ケーブル,バスシステム)を介して進行する場合には,接続/メッセージ伝達を場合によっては冗長に設計しなければならない。電磁的な互換性の問題においては,場合によっては,シールドされたケーブルを介しての接続を他の付加的な電子的コストなしで保証できれば,十分である。
ステップ6:CARTRONIC(登録商標)−安全構造
システムのCARTRONIC(登録商標)表示(図2の例について示される)は,CARTRONIC(登録商標)−UMLモデル(図3)に適用することができる。これは,CARTRONIC(登録商標)よりも形式的なシステム仕様書を可能にするものである。さらに,UMLは,国際的に規格化された言語である。しかし,システムトポロジーを記述するためには,すでにあるCARTRONIC(登録商標)−UMLモデルを拡張することが必要である。拡張は,エラーを認識しコントロールするための措置,制御装置への機能のパーティショニングおよび時間的かつ論理的シーケンスの表示を含まなければならない。拡張された構造は,使用される安全措置の文書化に使用することができる。構造,機能およびトポロジーを含む表示は,特に自動化された実施のための,未来の量的なシステム分析にも適している。
システムのCARTRONIC(登録商標)表示(図2の例について示される)は,CARTRONIC(登録商標)−UMLモデル(図3)に適用することができる。これは,CARTRONIC(登録商標)よりも形式的なシステム仕様書を可能にするものである。さらに,UMLは,国際的に規格化された言語である。しかし,システムトポロジーを記述するためには,すでにあるCARTRONIC(登録商標)−UMLモデルを拡張することが必要である。拡張は,エラーを認識しコントロールするための措置,制御装置への機能のパーティショニングおよび時間的かつ論理的シーケンスの表示を含まなければならない。拡張された構造は,使用される安全措置の文書化に使用することができる。構造,機能およびトポロジーを含む表示は,特に自動化された実施のための,未来の量的なシステム分析にも適している。
ステップ7:検証
検証する場合に,CARTRONIC(登録商標)ベースの安全分析の結果が,製品仕様書が満たされることをもたらすか,が調べられる。与えられた安全段階が仕様書の要請に相当するか,つまり,得るべき安全段階が予め設定可能で,得るべき安全段階と一致するか,が調べられる。これがそうならない場合には,CARTRONIC(登録商標)ベースの安全分析のさらなる反復を実施することができる。この反復される改良プロセスは,仕様書ないし予め定められた安全段階のすべての要請が満たされるまでの間,続行される。
検証する場合に,CARTRONIC(登録商標)ベースの安全分析の結果が,製品仕様書が満たされることをもたらすか,が調べられる。与えられた安全段階が仕様書の要請に相当するか,つまり,得るべき安全段階が予め設定可能で,得るべき安全段階と一致するか,が調べられる。これがそうならない場合には,CARTRONIC(登録商標)ベースの安全分析のさらなる反復を実施することができる。この反復される改良プロセスは,仕様書ないし予め定められた安全段階のすべての要請が満たされるまでの間,続行される。
図9には,開発プロセスにおいて整理されたCSAが示されている。使用された開発プロセスは,V−モデルにおいて方向を定められている。V−モデルは,ITシステムのための連盟の開発標準である。V−モデルを,与えられている周辺条件にプロジェクト固有に適合させることができる。このプロセスは,テイラリング(Tailoring)と称される。V−モデル内で,活動(アクティビティ)とその製品が決定される。CARTRONIC(登録商標)ベースの開発プロセスに適合されたインクリメンタルな,反復的なV−モデル(IIV−モデル)は,3つのレベル,システムレベル,サブシステムレベルおよび部分実現レベルで利用される。IIV−モデル内のナビゲーションは,記入されている矢印に沿って行われる。V−モデルの左から右側へ達し(テストケース),かつ戻る(反復)ことができる。レベル間で,複数のインクリメントも可能である。部分実現レベルでは,たとえば,実現のために付加的な機能が必要とされることを,認識することができる。その場合には,サブシステム上で機能とその反復が導入されて,その後それらが部分実現レベルで実現されることにより,付加的なインクリメントを修了することができる。システムレベルでは,全体としての自動車が考察される。サブシステムは,自動車という全体システムを,部分システムへ細分する。これらの部分システムは,たとえばエンジン制御,ブレーキシステム,トランスミッションまたはアダプティブクルーズコントロールとすることができる。サブシステムレベルは,自動車の部分システムをさらに実現に関係なく表しており,すなわち機能性のみは考察されるが,技術的実現は考察されない。部分実現レベルでは,各システムがさらに細分される。
トポロジーに関する決定がなされ,かつ機能がソフトウェアとして,コンピュータハードウェアとして,油圧,電子,電気,機械などとして実現されるか,が決定される。次に,対応するサブシステムが形成されて,場合によってはソフトウェアが実装される。IIV−モデルの各レベルでは,V−モデルの左側で要請分析が実施されて,草案が形成される。IIV−モデルの右側は,該当するレベルで形成された草案の統合と検証に用いられる。システムレベルでは,上述したプロセスに加えて,妥当性検査を実施することができる。妥当性検査は,システム仕様書がそれに課せられた要請を満たすか,を調べる。それに対して検証は,製品が仕様書に適合しているかを検査する。
処理ステップ1からステップ5は,サブシステムレベルの分析段階で実施される。ステップ6は,サブシステムレベルの草案段階で実行される。ステップ5における考察,つまりエラーを認識してコントロールするための措置の具体化が,しばしばシステムトポロジーが認識された場合に初めて有意義になる。そのことに基づいて,ステップ5において安全措置の細分化を実施し,そしてステップ6を部分実現レベルで実施することが,推奨される。この段階において,システムトポロジー,すなわち制御装置への機能のパーティショニングが行われて,機能実現が決定される。従って,ここで説明したようなCSAは,主としてサブシステムレベルで利用される。しかし,CSAを,部分実現レベルで続行することも,効果的である。ここでは,トポロジーと部分システムの実現に従ってどのように安全措置が構成されるか,という要請分析が実施されて,それに応じた草案が形成される。この草案とその統合は,IIV−モデルの右側で検証することができる。
示されている発明は,コンピュータシステム上で自動的に遂行することができる。そのために,個々のステップまたはこれらのステップの部分は,表と同様に,データと指令とを有するコンピュータプログラムとして示すことができる。従って,ステップ1から7をプログラムコードで実現でき,装置,特にコンピュータシステム内にそのプログラムコードが記憶されて実行されることによって上記装置において本発明に基づく方法を実施できる。その場合にメモリないしデータ担体として,CD−ROM,DVD,フロッピー(登録商標)ディスク,EPROM,フラッシュEPROM,ROM,RAMなどのような,考えられる各形式が有効であって,それによってコンピュータプログラムと組み合わせたコンピュータプログラム製品が提供される。特にプログラムをインターネットのようなネットワークを介して1つのメモリから他のメモリないしネットワーク加入者へ伝達することも,同様にその中に入る。
Claims (15)
- 特に自動車内で,システムにおける安全分析を実施する方法であって:
複数のシステムまたは少なくとも1つのシステムが複数のコンポーネントから構成され,前記複数のコンポーネント間に通信関係が存在し,前記複数のコンポーネントおよび前記通信関係によって前記複数のシステムまたは前記少なくとも1つのシステムの機能構造が形成され,
前記機能構造に依存するエラーが求められ,前記機能構造に関する前記エラー依存性が評価されることを特徴とする,システムにおける安全分析を実施する方法。 - 前記機能構造内のエラー依存性が追求され,前記エラー依存性が追求されることによってエラーパスが形成され,エラーのグローバルな作用が前記エラーパスの終端として求められることを特徴とする請求項1に記載の方法。
- 前記機能構造内のエラー依存性が追求され,前記エラー依存性が追求されることによってエラーパスが形成され,エラーのグローバルな作用が前記エラーパスの終端として求められて評価されることを特徴とする請求項1に記載の方法。
- 前記グローバルな作用が,少なくとも1つの安全段階を求めることにより評価されることを特徴とする請求項3に記載の方法。
- 前記機能構造に関するエラー依存性の他に,前記コンポーネントまたは前記通信関係のエラー行動をもたらすエラーが求められることを特徴とする請求項1に記載の方法。
- 前記コンポーネントまたは前記通信関係のエラー行動が,グローバルな作用に対応づけられることを特徴とする請求項2および5,または請求項3および5に記載の方法。
- 前記エラーを認識する措置および/または前記エラーをコントロールする措置が求められることを特徴とする請求項1から6のいずれか1項に記載の方法。
- 前記機能構造が,前記グローバルな作用および/またはコンポーネントもしくは通信関係のエラー行動が考慮されるように,拡張されることを特徴とする請求項1から7のいずれか1項に記載の方法。
- 前記機能構造が,前記エラーを認識する措置および/または前記エラーをコントロールする措置が取り入れられるように,拡張されることを特徴とする請求項1から8のいずれか1項に記載の方法。
- 特に自動車内で,予め定めることのできる安全段階を得る方法であって:
複数のシステムまたは少なくとも1つのシステムが複数のコンポーネントから構成され,前記複数のコンポーネント間に通信関係が存在し,前記コンポーネントおよび前記通信関係によって前記システムの機能構造が形成され,前記機能構造に依存するエラーが求められ,前記機能構造に関する前記エラー依存性が評価され;
a)前記機能構造内の前記エラー依存性を追求してエラーパスを形成し,前記エラーのグローバルな作用を求める
b)前記グローバルな作用を,予め定めることのできる安全段階に従って評価する
c)前記コンポーネントまたは前記通信関係のエラー行動をもたらす前記エラーを求める
c)前記コンポーネントまたは前記通信関係の前記エラー行動を,前記グローバルな作用に対応づける
e)前記エラーを認識する措置および/またはエラーをコントロールする措置を求める
f)得ることのできる安全段階を求めて,前記求められた安全段階を,前記得るべき安全段階と比較する
g)前記比較結果に従って,前記得るべき安全段階が得られるまで,a)から新たな処理を開始する
前記a)からg)のステップを含むことを特徴とする,予め定めることのできる安全段階を得る方法。 - ステップe)とステップf)の間に,前記機能構造の文書化が行われることを特徴とする請求項10に記載の方法。
- 前記機能構造が,UMLを使用したCARTRONIC(登録商標)機能構造として示されることを特徴とする請求項1から11のいずれか1項に記載の方法。
- 請求項1から12の少なくとも1項に記載の方法を実施するための装置,特にコンピュータシステム。
- 請求項13に記載の装置内で実行された場合に,請求項1から12の少なくとも1項に記載の方法を実施するコンピュータプログラム。
- 請求項13に記載の装置内へ導入した場合に,請求項1から12の少なくとも1項に記載の方法を実施する,コンピュータプログラム製品,特に請求項14に記載のコンピュータプログラムを有するデータ担体。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE10208866A DE10208866A1 (de) | 2002-03-01 | 2002-03-01 | Einrichtung und Verfahren zur Beurteilung und Erzielung von Sicherheit bei Systemen sowie entsprechendes Computerprogramm |
| PCT/DE2003/000329 WO2003075104A2 (de) | 2002-03-01 | 2003-02-06 | Einrichtung und verfahren zur beurteilung und erzielung von sicherheit bei systemen sowie entsprechendes computerprogramm |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005518992A true JP2005518992A (ja) | 2005-06-30 |
| JP4382494B2 JP4382494B2 (ja) | 2009-12-16 |
Family
ID=27675137
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003573502A Expired - Fee Related JP4382494B2 (ja) | 2002-03-01 | 2003-02-06 | システムにおける安全性を判定し,かつその安全性を得るための装置,方法および対応するコンピュータプログラム |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US7469170B2 (ja) |
| EP (1) | EP1483745A2 (ja) |
| JP (1) | JP4382494B2 (ja) |
| DE (1) | DE10208866A1 (ja) |
| WO (1) | WO2003075104A2 (ja) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023145491A1 (ja) * | 2022-01-25 | 2023-08-03 | 株式会社デンソー | 運転システムの評価方法及び記憶媒体 |
| WO2023145490A1 (ja) * | 2022-01-25 | 2023-08-03 | 株式会社デンソー | 運転システムの設計方法及び運転システム |
| WO2023223431A1 (ja) * | 2022-05-17 | 2023-11-23 | 三菱電機株式会社 | 車両走行データ記録装置および車両走行データ可視化装置 |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2448351B8 (en) * | 2007-04-12 | 2017-03-01 | It Acs Ltd | Method and apparatus for active system safety |
| US7920988B2 (en) * | 2008-11-13 | 2011-04-05 | Caterpillar Inc. | Capturing system interactions |
| EP2221679B1 (de) * | 2009-02-11 | 2012-06-06 | Siemens Aktiengesellschaft | Verfahren zur logischen Verschaltung von Sicherheitskreisen in einer industriellen Automatisierungsordnung und Projektierungseinrichtung zur Durchführung des Verfahrens |
| JP5549665B2 (ja) | 2011-12-28 | 2014-07-16 | 株式会社デンソー | 車両制御装置及びソフトウェア部品 |
| US20130282190A1 (en) * | 2012-04-24 | 2013-10-24 | General Electric Company | System and method for configuration and management of power plant assets |
| US20150032643A1 (en) * | 2013-07-23 | 2015-01-29 | Micropilot Inc. | Product configuration method and system using failure mode design |
| US9639450B2 (en) | 2015-06-17 | 2017-05-02 | General Electric Company | Scalable methods for analyzing formalized requirements and localizing errors |
| DE102016206586A1 (de) * | 2016-04-19 | 2017-10-19 | Zf Friedrichshafen Ag | Verfahren zum Generieren von Fehlerspeichereinträgen in einem Fehlerspeicher einer Getriebesteuerung |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS62291537A (ja) | 1986-06-11 | 1987-12-18 | Nippon Denso Co Ltd | 車両用総合診断装置 |
| JPH0827650B2 (ja) | 1988-04-18 | 1996-03-21 | 株式会社日立製作所 | 異常予知支援装置 |
| JP2890815B2 (ja) | 1990-11-08 | 1999-05-17 | 三菱電機株式会社 | プラントの異常診断装置 |
| JP2658600B2 (ja) | 1991-01-30 | 1997-09-30 | 日産自動車株式会社 | 車両の制御装置 |
| JPH06123642A (ja) | 1992-10-13 | 1994-05-06 | Toshiba Corp | プラント異常診断方法及びプラント異常診断装置 |
| DE19639424A1 (de) * | 1995-09-25 | 1997-03-27 | Siemens Ag | Entwurfsverfahren für die Anlagentechnik und rechnergestütztes Projektierungssystem zur Verwendung bei diesem Verfahren |
| JPH09146630A (ja) | 1995-11-24 | 1997-06-06 | Jatco Corp | 故障診断装置 |
| DE19611944C2 (de) * | 1996-03-26 | 2003-03-27 | Daimler Chrysler Ag | Integrierter Schaltkreis zur Kopplung eines mikrokontrollierten Steuergerätes an einen Zweidraht-Bus |
| JP2001100835A (ja) | 1999-09-29 | 2001-04-13 | Toshiba Corp | プラント状態監視システム |
| US6684349B2 (en) * | 2000-01-18 | 2004-01-27 | Honeywell International Inc. | Reliability assessment and prediction system and method for implementing the same |
| DE10015114A1 (de) | 2000-03-28 | 2001-10-04 | Bosch Gmbh Robert | Verfahren und Vorrichtung zur Modellierung eines mechatronischen Systems in einem Kraftfahrzeug |
| JP3770053B2 (ja) * | 2000-05-26 | 2006-04-26 | 三菱ふそうトラック・バス株式会社 | 車両用ネットワークの通信復帰判定方法 |
| US6816798B2 (en) * | 2000-12-22 | 2004-11-09 | General Electric Company | Network-based method and system for analyzing and displaying reliability data |
| US6577971B2 (en) * | 2001-08-06 | 2003-06-10 | Johnson Controls Technology Company | System and method for evaluating craftsmanship |
-
2002
- 2002-03-01 DE DE10208866A patent/DE10208866A1/de not_active Ceased
-
2003
- 2003-02-06 JP JP2003573502A patent/JP4382494B2/ja not_active Expired - Fee Related
- 2003-02-06 US US10/506,372 patent/US7469170B2/en not_active Expired - Fee Related
- 2003-02-06 EP EP03706283A patent/EP1483745A2/de not_active Ceased
- 2003-02-06 WO PCT/DE2003/000329 patent/WO2003075104A2/de active Application Filing
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023145491A1 (ja) * | 2022-01-25 | 2023-08-03 | 株式会社デンソー | 運転システムの評価方法及び記憶媒体 |
| WO2023145490A1 (ja) * | 2022-01-25 | 2023-08-03 | 株式会社デンソー | 運転システムの設計方法及び運転システム |
| WO2023223431A1 (ja) * | 2022-05-17 | 2023-11-23 | 三菱電機株式会社 | 車両走行データ記録装置および車両走行データ可視化装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2003075104A2 (de) | 2003-09-12 |
| WO2003075104A3 (de) | 2004-04-01 |
| US7469170B2 (en) | 2008-12-23 |
| EP1483745A2 (de) | 2004-12-08 |
| DE10208866A1 (de) | 2003-09-04 |
| JP4382494B2 (ja) | 2009-12-16 |
| US20050223263A1 (en) | 2005-10-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7991583B2 (en) | Diagnosis in automotive applications | |
| JP4382494B2 (ja) | システムにおける安全性を判定し,かつその安全性を得るための装置,方法および対応するコンピュータプログラム | |
| US9250873B2 (en) | Method for the computer-aided generation of at least one part of an executable control program | |
| Reese et al. | Software deviation analysis | |
| Luo et al. | An architecture pattern for safety critical automated driving applications: Design and analysis | |
| Mader et al. | Automatic and optimal allocation of safety integrity levels | |
| Thomas et al. | An integrated approach to requirements development and hazard analysis | |
| Meyer et al. | Scenario-and model-based systems engineering procedure for the sotif-compliant design of automated driving functions | |
| Chen et al. | Identifying accident causes of driver-vehicle interactions using system theoretic process analysis (stpa) | |
| US20220153293A1 (en) | Method and device for operating an automated vehicle | |
| Battram et al. | A Modular Safety Assurance Method considering Multi-Aspect Contracts during Cyber Physical System Design. | |
| Jianyu et al. | Model-based systemic hazard analysis approach for connected and autonomous vehicles and case study application in automatic emergency braking system | |
| US20220358024A1 (en) | Computer-implemented method for scenario-based testing and / or homologation of at least partially autonomous driving functions to be tested by means of key performance indicators (kpi) | |
| Farkas et al. | An integrative approach for embedded software design with UML and Simulink | |
| Liu et al. | Formal Verification on the Safety of Internet of Vehicles Based on TPN and Z | |
| Seebach et al. | Designing self-healing in automotive systems | |
| Ertl et al. | Using a mediator to handle undesired feature interaction of automated driving | |
| Kaiser et al. | An AEBS use case for model-based system design integrating safety analyses and simulation | |
| Möstl et al. | Controlling Concurrent Change-A Multiview Approach Toward Updatable Vehicle Automation Systems | |
| KR20210023722A (ko) | 요구 사항에 대한 시스템의 테스트 방법 | |
| Philippi | Analysis of fault tolerance and reliability in distributed real-time system architectures | |
| Sari et al. | Model-driven Approaches for ISO 26262 Work Products and DFA | |
| Alotaibi et al. | High-level rigorous template for analysing safety properties of self-driving vehicle systems | |
| US20230266964A1 (en) | Method for controlling a robotic device | |
| CN110077234B (zh) | 一种电动车辆安全树更新方法和电动车辆 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060203 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070904 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20071204 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20071218 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20071227 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080507 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20080807 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20080814 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20080905 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20080916 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20081007 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20081015 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20081106 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090818 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090917 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121002 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131002 Year of fee payment: 4 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |