KR20220043858A

KR20220043858A - 임베디드 시스템 내에서 신호 무결성의 사용

Info

Publication number: KR20220043858A
Application number: KR1020210117983A
Authority: KR
Inventors: 크리스티나 아르트만; 노먼 마르슈
Original assignee: 비테스코 테크놀로지스 게엠베하
Priority date: 2020-09-29
Filing date: 2021-09-03
Publication date: 2022-04-05
Also published as: KR102534450B1; DE102020212287A1

Abstract

본 발명은, 신호 무결성을 결정하기 위한 방법 및 장치에 관한 것이며, 이 경우에는 시스템을 통과하는 효과 흐름이 무결성 결정을 위해 직접적으로 사용된다. 효과 흐름은 물리적인 관계 또는 물리적인 효과에 의해서 결정되며, 무결성 요구 사항은 시스템 작동 동안에 조정된다. 무결성 결정은 ASIL-레벨에 따라 신호 무결성의 결정을 적용할 수 있다.

Description

임베디드 시스템 내에서 신호 무결성의 사용{USE OF A SIGNAL INTEGRITY IN EMBEDDED SYSTEMS}

본 발명은, 보안 컨셉을 적합하게 지원하기 위하여, 신호 품질 요구 사항과 관련하여 신호 무결성을 사용하기 위한 방법에 관한 것이다. 또한, 자체 실행 중에 이와 같은 방법을 수행하는 제어 프로그램이 설명된다. 또한, 신호 무결성을 처리하기 위한 제어 시스템, 특히 자동차 제어 시스템이 설명된다.

현대의 자동차 내에서는, 점점 더 많은 제어 장치가 통합되고 점점 더 많은 기능이 구현된다. 네트워킹 및 복잡성이 증가함에 따라, 기능적인 안전 구현도 마찬가지로 점점 더 복잡해지고 있다.

추가로, 자율 주행 차량으로의 개발 경향에 의해서는, 기능적인 안전에 대한 요구 사항이 강력하게 증가하고 있다. 지금까지는 자주 운전자가 안전과 관련된 상황에서 최종 결정을 내려야 했지만, 이와 같은 결정은 수많은 운전자 지원 시스템의 사용에 의해서 점점 더 차량으로 또는 차량 제어부 자체로 옮겨지고 있다.

또 다른 한 가지의 중요한 측면은, 기능적인 안전을 구현할 때에는 지금까지 거의 전적으로 시스템 오류가 감지될 때에 시스템을 비활성("fail safe")으로 전환하는 데에만 초점을 맞추고 있었다는 것이다. 하지만, 자율 주행 차량용 시스템에서는, 차량의 위험도가 가장 낮은("fail operational") 상태에 도달하기 위하여 훨씬 더 복잡한 오류 반응을 구현하는 것이 강력히 필요하게 되었다. 이에 의해서는, 예를 들어 결함이 발생한 경우 최대한 신속하게 차량을 정차하는 대신, 예를 들어 건널목을 건널 때에 차량을 레일로부터 멀리 이동시키기 위하여 먼저 차량을 재차 가속해야만 하는 경우도 있을 수 있다.

그 다음 고려 사항은, 복잡한 기술적 시스템의 시스템 개발, 특히 차량 제어 시스템과 관련이 있지만, 일반적으로는 (임베디드) 시스템의 개발로 이전될 수 있다.

차량용 제어부의 개발의 틀 안에서 한 가지 중요한 측면은 기능적인 안전의 구현이다. 기능적인 안전은, 시스템을 사용할 때에 위험을 줄이기 위하여 기술 시스템의 안전을 높이는 데에 이용된다. 도로상에서 운행되는 차량에 대해서는, ISO 26262에 따른 기능적인 안전이 규정되어 있다.

상응하는 소프트웨어 기능에서 신호 무결성의 구현은, 한 편으로는 요구되는 무결성의 일관된 실현을 가능하게 하고, 다른 한 편으로는 시스템 작동 상태에 대한 동적이고 유연한 적응을 가능하게 한다. 이와 같은 상황은 캡슐화된 시스템 요소에 의해서 지원된다.

오류의 제어 가능성 및 영향에 따라, ISO 26262 "자동차 안전 무결성 수준"(ASIL: Automotive Safety Integrity Level)에서는, 특정 신호의 무결성에 대한 요구 사항을 확정하는 특정의 수준 또는 "레벨"이 정의된다.

이와 같은 무결성 수준(ASIL)은 관련된 모든 시스템 요소에 의해서 충족되어야만 한다. 이 경우, 시스템 요소 또는 관련 시스템 내부의 신호에 대해 요구되는 무결성 수준은, 시스템 요소가 전체 시스템 내에서 분류되어 있는 방식 및 전체 시스템의 기능에 기여하는 방식에 따라 달라진다.

현대의 차량에서는, 점점 더 많은 제어 장치가 통합되고 점점 더 많은 기능이 구현된다. 네트워킹과 복잡성이 증가함에 따라, 관련된 개별 시스템 요소 및 시스템 신호에 대해 요구되는 무결성 수준을 확정하는 것이 점점 더 어려워지고 있다. 하지만, 개별 요소에 대하여 올바른 ASIL-분류를 선택하는 것은, 전체 시스템 안전성을 결정하기 위하여 그리고 전체 시스템에 필요한 안전에 도달하기 위하여 결정적이다. 지나치게 낮게 나타나는 잘못된 수준 분류는 치명적인 효과를 초래할 수 있다.

상기와 같은 상황은, 다른 무엇보다 안전한 상태가 더 이상 스위치를 끄는 상태(fail safe)가 아니라, 오히려 오류 발생 시의 지속적인 작동(fail operational)이 위험도가 가장 낮은 상태인 자율 운영 시스템에서 적용된다. 이에 의해서는, 예를 들어 결함이 발생한 경우 최대한 신속하게 차량을 정차하는 대신, 예를 들어 건널목을 건널 때에 차량을 레일로부터 멀리 이동시키기 위하여 먼저 차량을 재차 가속해야만 하는 경우도 있을 수 있다.

자율 주행 차량에서는, 운전자에 의한 시스템의 제어 가능성이 현저하게 떨어지기 때문에, 요구되는 ASIL-레벨도 추가로는 더 높은 범위 안에서 이동하는 경향을 갖는다. 반면에, 선택된 무결성 수준 또는 무결성 요구 사항은 시스템의 비용 및 개발 복잡성에 상당한 영향을 미치며, 이와 같은 이유로 인해 지나치게 높은 ASIL-레벨 분류가 피해져야만 한다.

ISO 26262에서 개발 프로세스에 대해 제기되는 요구 사항을 구현하기 위해, 이 개발 프로세스는 "ISO 15288 - 시스템 및 소프트웨어 엔지니어링"의 사양에 따라 구성되는 경우가 많다. 이때, 시스템 엔지니어링의 틀 안에서의 한 가지 중요한 측면은, 필요 사항 엔지니어링을 다루는 프로세스다.

시스템에 대해 제기되는 요구 사항(필요 사항)은 개발 프로세스 동안에 예컨대 계층적으로 또는 효과 흐름을 따라 세분화되고 상세하게 설명된다. 효과 흐름은, 효과가 전달되는 흐름을 의미하거나, 쓰레드(thread)의 원칙에서는 무언가가 어디로부터 어디로 효과를 나타내는지를 설명하는 흐름을 의미한다. 효과는 예컨대 기계적, 전기적 또는 열적일 수 있다. 차량 내에서의 기계적인 효과 체인 또는 효과 흐름은 휠, 샤프트, 허브, 차동 장치, 샤프트, 트랜스미션을 통해서 이루어질 것이다. 효과가 상응하는 인터페이스를 통해 일 요소로부터 다른 요소로 전달되는 곳에서는 항상 이루어진다.

일 요소 내부에서, 효과 체인은 요소의 전달 함수를 통해 설명된다.

이에 의해서는, 개별 시스템을 특징짓는 효과 흐름의 전달 함수가 세분화되고 상세하게 설명될 수 있다. 이때, 한 가지의 요구 사항은 개발될 시스템의 ASIL-분류로부터 나타난다. 요구되는 이와 같은 신호 무결성은, 개별 시스템 요소 및 신호에 대한 요구 사항 및 시스템의 세분화 또는 분해에 따라 시스템 내부에서 변경된다. 신호에 대해 제기되는 개별적인 무결성 요구 사항은 상호 독립적이지 않으며, 오히려 시스템 효과 체인(효과 흐름의 효과 체인)을 따르는 시스템 내에서의 물리적인 관계를 통해서 상호 영향을 미친다.

본 발명에 따라, 시스템에 대한 요구 사항 엔지니어링이 시스템에 대한 아키텍처 개발과 함께 실행되면, 시스템을 통과하는 효과 흐름, 예를 들어 물리적인 관계가 신호 무결성(ASIL-레벨)을 결정하기 위해 직접적으로 사용될 수 있게 되며, 이에 의해서는 신호 무결성을 자동화된 상태에서 결정하는 것이 가능해진다.

상응하는 소프트웨어 기능에서 상기와 같은 신호 무결성의 구현은, 한 편으로는 요구되는 무결성의 일관된 실현을 가능하게 하고, 다른 한 편으로는 캡슐화된 시스템 요소 내에서 시스템 작동 상태에 대한 동적이고 유연한 적응을 가능하게 한다. 구현은, 예컨대 요구되는 ASIL-레벨의 전송을 통해서 또는 상응하는 물리적 값(예컨대 ASIL B의 경우; 10 내지 7/시간 미만의 고장 확률; 또는 100 Fit)의 전송을 통해서 이루어질 수 있다. 이때, 물리적 값의 전송은, ASIL-레벨만으로 가능해지는 것보다 훨씬 더 정확한 전송을 가능하게 한다.

예를 들어, 차량에서 신호 무결성을 동적으로 조정함으로써는, 제동 등 스위치의 신호 무결성에 대한 요구 사항이 주행 동안보다는 정지 동안에 더 낮을 수 있다.

이와 같이 동적으로 조정된 무결성 요구 사항에 의해서는, 특정 작동 상황에서 다른 무엇보다 추가의 센서 시스템을 끄거나 켜는 것 그리고 이에 의해서 예컨대 부품의 에너지 효율성 또는 서비스 수명을 최적화하는 것이 가능해질 것이다.

예를 들어, 센서 신호를 기록하는 경우, 이 센서 신호는 다양한 작동 조건하에서 상이한 신호 정확도로 센서에 의해 제공될 수 있다. 예를 들어, 람다 프로브의 경우 결정된 값의 정확도는 센서의 작동 온도에 따라 다르다. 2개의 제어 장치 간에 신호를 전송하는 경우에도, 전송되는 신호의 품질 또는 신호 정확도는 제어 장치들 간의 통신 상태에 따라 다르다.

미래의 기능적인 안전 컨셉, 특히 점점 더 자율적으로 되어 가는 시스템을 위해서는, 발생하는 오류 반응 및 이에 의해서 시스템의 가용성을 최적화하기 위하여, 필요한 진단 기능을 매우 표적화된 방식으로 활성화하거나 비활성화하는 것이 점점 더 중요해지고 있다. 특히, "fail operational" 시스템의 틀 안에서는, 시스템의 진단 능력 및 증가된 가용성이 요구된다.

차량 내에서, 또는 엔진 제어부 및 드라이브 트레인 제어부 내에서 기능적인 안전을 구현하기 위한 종래의 솔루션에서는, 안전과 관련된 기능이 예를 들어 병렬 수준에서 잉여로(redundant) 매핑되었다. 모니터링 수준으로부터 감지되는 시스템적인 또는 무작위적인 오류의 경우에는, 상응하는 오류 반응이 트리거링 된다. 예로서는, 시스템의 안전한 상태가 활성화될 수 있을 것이다. 이에 의해서, 예를 들어 의도치 않은 가속을 방지하기 위해, 가속 페달 위치를 수집할 때에 오류가 감지되면, 스로틀 밸브가 비상 주행 위치로 이동하거나 분사가 비활성화된다.

기능적인 안전의 틀 안에서는, 근거 없는 오류 반응을 피하기 위하여, 시스템을 모니터링하기 위해 사용되는 기능이 작동 상황에 따라 활성화될 수 있거나 비활성화될 수 있다. 이에 의해서, 예컨대 주차 과정 동안 전진/후진 동작이 급격하게 교체되는 경우에는, 오류 반응의 잘못된 트리거링을 피하기 위하여, 운전자의 요청 모멘트(driver request moment)에 대한 타당성 검사가 비활성화될 수 있다.

미래의 기능적인 안전 컨셉, 특히 점점 더 높게 자동화되는 시스템을 위해서는, 오류를 인식할 뿐만 아니라 또한 오류 사례에 대한 정성적인 진술에 도달하는 것 그리고 오류의 영향에 대한 정량적인 진술을 만들 수 있는 것 그리고 상응하는 오류에 대해 차량의 오류 반응을 적응시키는 것도 필요할 수 있다.

무결성 요구 사항의 사용에 의해서는, 한 편으로는 모니터링 기능의 최적화된 활성화 또는 비활성화를 통해 시스템의 가용성이 증가할 수 있지만, 다른 한 편으로는 오류 반응이 필요시에는 또한 더욱 신속하게 그리고 목적 지향적으로 트리거링될 수 있는데, 그 이유는 모니터링 기능의 더욱 표적화된 활성화 및 비활성화에 의해서는 오류 사례에 대한 한계 값이 훨씬 더 정확하게 정의될 수 있기 때문이다.

상기와 같은 사실은 특히 자율 주행 차량을 위해서는 안전 컨셉을 구현할 때에 명백한 부가 가치로서 나타나는데, 그 이유는 이와 같은 경우에는 시스템의 가용성이 매우 중요하기 때문이다. 추가로, 오류 발생 시에 추구되는 안전한 상태는 시스템의 작동을 중단시키는 데 한정될 수 없고, 오히려 본 오류에 대해, 즉 시스템이 오류 발생 시점에 놓이게 되는 작동 조건 및 환경 조건에 대해 정확하게 적응된 반응이 예상된다. 상위의 제어 기능이 무결성 요구 사항에 따라 시스템 상태에 구체적으로 반응할 수 있는 사실이 중요하다.

무결성 값은, (특히 안전과 관련된) 시스템 상태를 평가하기 위해서 필요한 센서 상태 및 액추에이터 상태에 관한 정보를 결정하기 위하여, 기능적인 안전 컨셉의 틀 안에서 사용될 수 있으며, 이로 인해서는 유효하거나 오류가 있는 신호에 관한 정보를 간접적으로 얻기 위하여, 지금까지와 마찬가지로 수많은 다른 정보 또는 신호가 더 높은 시스템 수준에서 이용될 필요가 더 이상 없어진다.

따라서, 본 발명의 과제는, 다수의 신호를 갖고 있으며 그리고 이 경우에는 무결성 요구 조건을 고려해서 신호가 평가되는 차량에서 기능적인 안전성을 증가시키는 것이다.

신호 무결성을 결정하기 위한 방법이 제안되며, 이 경우에는 시스템을 통과하는 효과 흐름이 무결성을 결정하기 위해 직접적으로 사용된다. 효과 흐름은 물리적인 관계에 의해 결정될 수 있으며, 그리고 무결성 요구 사항은 시스템 작동 동안에 조정될 수 있다.

도면부에서:
도 1은 복수의 개별적인 정확도 신호로부터 전체 정확도 신호를 계산하기 위한 다양한 기능 블록의 개략적인 블록 회로도를 도시하고;
도 2는 효과 체인을 따르는 무결성 요구 사항의 변화를 도시하며; 그리고
도 3은 ASIL-컨셉의 개요를 도시한다.

도 1은, 신호 정확도 및 정확도 요구 사항을 고려하여, 제어 신호를 소비하는 제어 시스템의 하나 또는 복수의 신호 처리 구성 요소에 대한 제어 신호를 모니터링하기 위한 전술된 방법을 수행하기 위한 다양한 기능 블록의 개략적인 블록 회로도를 보여준다. 이와 같은 시스템은 예컨대 자동차 내에서 찾아질 수 있다.

도 1에 도시된 기능 블록은, 예를 들어 제어 시스템 내부에서의 구현의 부분이거나 통신 제어 시스템을 통해서 분배된다.

먼저, 특정한 유형의 복수의 제어 신호(1a 및 1b) 및 복수의 정확도 신호(2a 및 2b)가 생성된다. 이와 같은 생성은 제어 시스템의 신호 생성 구성 요소(Ⅰ)의 영역에서 이루어진다. 개별적인 정확도 신호(2a 및 2b)는, 각각 상응하는 제어 신호(1a 및 1b)의 신호 정확도를 나타낸다. 이것은, 정확도 신호(2a)가 제어 신호(1a)의 신호 정확도를 나타내는 한편, 정확도 신호(2b)는 제어 신호(1b)의 신호 정확도를 나타낸다는 것을 의미한다.

신호 생성 구성 요소(Ⅰ)는 예를 들어 복수의 측정 신호 생성 유닛을 통해 생성되는 측정 신호를 평가하기 위한 평가 유닛으로서 동작하며, 이 경우 신호 생성 구성 요소(Ⅰ)는 수집된 측정 신호로부터 제어 신호(1a 및 1b) 그리고 이들 제어 신호의 정확도 신호(2a 및 2b)를 각각 도출한다. 도 1은 엔진 오일 온도의 결정을 예시적으로 보여주며, 이 경우 예컨대 온도 센서는 제1 측정 신호 생성 유닛으로서 사용되고, 시스템 모델은 제2 측정 신호 생성 유닛으로서 사용된다. 온도 센서는 제1 측정 신호를 생성하고, 시스템 모델은 제2 측정 신호를 생성한다. 이에 의해서, 각각 특정 유형의 대체 측정 신호를 제공하는 (본 실시예에서는 엔진 오일 온도를 결정하기 위해) 2개의 신호 소스가 사용된다. 신호 생성 구성 요소(Ⅰ)는, 온도 센서의 제1 측정 신호로부터 제1 제어 신호(1a)를 생성하고, 시스템 모델의 측정 신호로부터 제2 제어 신호(1b)를 생성한다. 예를 들어, 개별 제어 신호(1a 및 1b)는 온도 센서 또는 시스템 모델의 전기 전압 신호로부터 온도 신호로서 획득된다.

신호 무결성 값(2a 및 2b)의 개별적인 생성은, 예컨대 신호 생성 구성 요소(Ⅰ)에 의한 시스템 모델 또는 온도 센서의 상태 또는 거동에 대한 지식을 기반으로 해서 이루어진다. 예컨대, 무결성 값(2a 또는 2b)은, 신호 생성 구성 요소(Ⅰ)에 알려진 온도 센서 또는 시스템 모델의 특성 곡선 거동으로부터 획득될 수 있다.

그 다음에, 2개 무결성 값(2a 및 2b)이 이들의 신뢰성과 관련하여 평가된다. 이 목적을 위해, 시스템 또는 물리적인 관계를 통과하는 효과 흐름이 신호 무결성(ASIL-레벨)을 결정하기 위해 직접적으로 사용된다. 따라서, 신호 무결성을 자동화된 방식으로 결정하는 것이 가능해진다.

평가 블록은, 결정된 무결성 값을 모니터링하고, 무결성 요구 사항을 참조해서 신호를 체크한다. 무결성 요구 사항은 2개의 신호에 대해 동일할 수 있거나, 무결성 요구 사항은 각각의 신호에 대해 개별적으로 확정될 수 있다. 일 실시예에서, 각각의 신호에 대한 무결성 요구 사항은 견고하게 결합되어 있지 않고 서로에 대해 비율 관계를 갖는다.

차량 내의, 또는 엔진 제어부 및 드라이브 트레인 제어부 내의 개별 시스템 요소에 대한 ASIL-레벨의 선택은 위협 분석 및 위험 분석을 통해서 이루어진다. 드라이브 제어 장치 및 엔진 제어 장치를 위한 기능 개발의 분야에서, 신호에 대해 선택된 ASIL-레벨은 예를 들어 더 높은 ASIL-레벨을 갖는 기능에 대한 신호가 더 높은 수준의 무결성(고장에 대한 안전, 신뢰성)으로 제공되도록 작용한다. 이와 같은 작업은, 종종 요구 사항 엔지니어링 및 시스템 아키텍처 개발과 병행하여 또는 별개로 이루어지고, 많은 추가의 작업과 연계되어 있다. 또한, 이와 같은 접근 방식은 요구 사항, 시스템 아키텍처 및 ASIL 분류 간에 불일치가 발생할 높은 위험을 낳는다.

신호 무결성과 관련된 요구 사항은 시스템 수준에서 개발 프로세스 동안 처리되는데, 그 이유는 실질적으로 오류 거동에 의해서 야기되는 시스템 기능이 잠재적인 손상(심각도)을 결정하기 때문이다. 시스템이 계층적으로 구성되어 있든지 아니면 효과 흐름을 따라 구성되어 있든지, 손상의 효과는 세분화되고 상세하게 설명된다. 개발될 시스템의 ASIL 분류는 기준 값 또는 목표로서 이용될 수 있으며, 이 경우 목표 수준의 충족은 강제적이다. 무결성 요구 사항은 개별 시스템을 특징짓는 전달 함수를 참조해서 계속 전달될 수 있다.

도 2에서는, 효과 체인을 따르는 신호 무결성 요구 사항의 효과가 도시된다. 차량 내 2개의 시스템(200)은 제동 과정에 관한 정보를 이용한다. 제동 등(240)은 브레이크 페달 스위치(220)로부터의 신호를 참조해서 제어된다. ESP-제어부(230)는 또한 브레이크 페달 스위치의 신호도 사용하지만 유압 스위치(210)의 신호도 사용한다. 이에 의해서, 예컨대 "제동 과정에 의존하는 제동 등의 활성화" 기능은, 특정의 페달 위치로부터 활성화되는 브레이크 페달 스위치를 통해서 이루어진다. 이와 같은 기능을 위해서는, 낮은 ASIL-레벨(ASIL B)이 확정되었다. 제동 과정(예컨대 ESP)에 따라 수행되고 더 높은 ASIL-레벨(ASIL C)을 충족시켜야만 하는 차량 역학 기능을 위해서는, 반드시 더 높은 무결성을 갖는 제동 과정에 대한 정보가 제공되어야만 한다. 그렇기 때문에, 이와 같은 기능들을 위해서는, 제동 과정에 대한 정보가 브레이크 페달 스위치를 통해서 결정될 뿐만 아니라 브레이크 라인의 유압을 통해서도 결정된다. 하지만, 이와 같은 구현은 선택된 시스템 아키텍처 및 요구 사항 엔지니어링과는 무관하며, 그리고 돌이켜 보면 ASIL C-품질 또는 ASIL B-품질을 갖는 신호가 왜 필요한지를 더 이상 인식할 수 없는 경우가 많다.

아키텍처 개발 및 요구 사항 엔지니어링이 적합한 프로그램 내에서 수행되고, 무결성에 대한 요구 사항의 파라미터가 기계 판독 가능한 방식으로 입력되면, 기존의 무결성 요구 사항 및 하위 시스템의 물리적인 관계 또는 전달 함수를 통해서, 예를 들어 (오류)-재생 계산(DE 10 2017 218 755호 및 DE 10 2017 216 749호 참조)을 통해서 또 다른 무결성 요구 사항 또는 무결성 수준이 자동화된 방식으로 결정될 수 있다.

시스템을 통과하는 효과 흐름은, 물리적 관계를 통과하는 효과 흐름이 결정되자마자 무결성 결정을 위해 직접적으로 사용될 수 있다.

본 발명의 일 실시예에서, 무결성 요구 사항은 시스템 작동 동안에 조정된다. 신호 무결성의 또는 ASIL-레벨의 종속성은, 상응하는 지점에서 요구 사항을 올바르게 결정하기 위하여, 요구 사항 엔지니어링의 틀 안에서 고려되어야만 한다. 요구 사항 엔지니어링 및 시스템 아키텍처 개발 동안에 확정된 신호 무결성에 대한 요구 사항을 기반으로 하여, 무결성은 구현예(SW, HW, ...) 내에서 실현되어야만 한다.

이로 인해, 소프트웨어 내에는, 요구되는 신호 무결성을 전송할 수 있는 가능성 및 이로 인해 시스템 구성 또는 작동 상태에 대해 동적으로 적응시킬 수 있는 가능성도 존재하게 된다.

예를 들어, 요구 사항 엔지니어링의 틀 안에서 시스템 아키텍처로부터 일 시스템의 전달 함수가 사용되면, 하위 시스템 "제동 등"을 위해 분류 및 효과 흐름을 토대로 해서 "차선 유지 보조"와 비교하여 상이한 ASIL-레벨이 자동으로 나타나는 바와 같이, 예컨대 하위 시스템 "차선 유지 보조"를 위해서는 시스템 내에서의 그리고 효과 흐름 내에서의 배열을 참조하여 상응하는 ASIL-레벨이 자동으로 결정될 수 있다. 이에 의해서, 예컨대 ESP-제어부(230)가 신호에 대해 더 높은 무결성 요구 조건을 제기하지 않는다면, 브레이크 페달 스위치(220)에 대한 요구 조건이 감소할 수 있다. 이에 의해서, 정지 상태 차량의 구현예에서는 예컨대 다만 ASIL-B만 필수적인 한편, 주행 동작 중에는 ASIL-C가 요구된다. 여러 번 사용된 신호에 대한 무결성 요구 사항은 항상 모든 가능한 요구 사항들 중 가장 높은 요구 사항에 상응하는데, 다시 말하자면 필요한 가장 높은 안전 또는 ASIL-레벨에 상응한다.

도 3에는, ASIL-컨셉(300)이 개략적으로 도시되어 있다. 오류의 영향, 즉 "심각도"는 수직으로 (311)로 표시되고, 제어 옵션 또는 "제어 가능성"은 수평 축에 표시된다. 따라서, "높은 확률", "일반적으로 제어 가능"에 대해서뿐만 아니라 "중간 확률", "제어하기 어려움"에 대해서도 전체 무결성 요구 사항, 예컨대 ASIL-C가 나타난다.

요구되는 신호 무결성은 개별적인 시스템 요소 및 신호에 대한 시스템 요구 사항이 상세하게 설명되거나 분해됨에 따라 시스템 내부에서 변경된다. 신호에 대한 개별적인 무결성 요구 사항은 상호 독립적이지 않으며, 오히려 시스템 효과의 체인(효과 흐름의 효과 체인)을 따라 시스템 내에서의 물리적인 관계를 통해 상호 영향을 미친다.

신호 무결성 및 무결성 요구 사항의 확인에 대한 응답으로서, 제어 신호 소스에 대한 결정이 내려질 수 있거나 확정될 수 있다. 평가 블록(5)의 결정은 각각 전환 스위치(6a) 및 전환 스위치(6b)를 제어한다. 평가 블록(5)의 결정에 따라, 전환 스위치(6a)에 의해서는, 온도 센서로부터 획득된 제어 신호(1a)가 선택되거나 시스템 모델로부터 획득된 제어 신호(1b)가 선택된다. 도 1에서는, 예시적으로 제어 신호(1a)가 추가 처리를 위해 전환 스위치(6a)에 의해서 선택되었다. 이로 인해, 제어 신호(1a)는, 제어 신호(3)를 소비하는 하나 또는 복수의 신호 처리 구성요소(Ⅲ)의 선택된 제어 신호(3)로서 전송된다. 대안적으로 또는 추가로는, 오류가 있는 신호 무결성을 토대로 하여 조정된 오류 반응이 트리거링될 수 있다.

측정 신호 생성 유닛이 센서 모델 또는 시스템 모델인 경우, 신호 생성 구성 요소는 예컨대 자신에게 알려진 모델 변수 또는 모델 파라미터로부터 상기 센서 모델 또는 상기 시스템 모델의 특정의 동작 또는 특정의 상태를 추론할 수 있고, 이와 연계하여 또한 특정의 측정 정확도 또는 측정 부정확성도, 외란 변수 거동 등도 추론할 수 있다. 측정 신호 생성 유닛의 이와 같은 상태 또는 이와 같은 동작은, 한 편으로는 측정 신호 생성 유닛에 의해 전달되는 측정 신호로부터 제어 신호를 생성하기 위해 이용되며, 다른 한 편으로는 병렬로 생성되고 제어 신호의 신호 정확도를 나타내는 정확도 값을 생성하기 위해 이용된다.

신호 무결성을 결정하는 필수 요소는, 계산 방법에 의해서 영향을 받을 수 있거나 심지어 특히 계산 방법의 실패 확률이 0에 가까운 경향에 의해서도 확정될 수 있다. 그에 상응하게, 구동 장치 및 엔진 제어 장치를 위한 기능 개발의 분야에서는, 더 높은 ASIL-레벨 필요, 즉 더 높은 무결성(고장 안전, 신뢰성)을 갖는 기능에 대한 신호가 제공될 수 있다.

무결성 요구 사항은, 측정 신호의 이용 또는 측정 신호 생성 유닛의 상태 혹은 동작이 시간에 걸쳐 변경되는지의 여부에 따라 상응하게 변경되거나 조정될 수 있다. 예를 들어 온도 의존적인 특성을 나타내는 센서에서 작동 온도가 변경되면, 센서의 상태 또는 동작도 변경되며, 이와 같은 상황은 센서에 의해 제공되는 신호 무결성에 영향을 미친다. 예를 들어, 센서에 의해 제공되는 전압 신호는 센서에서의 온도가 증가함에 따라 비례해서 증가한다. 또한, 센서가 온도에 의존하는 측정 정확도를 갖는다는 것도 생각할 수 있다. 따라서, 온도가 증가함에 따라서는 센서에 의해 제공되는 측정 신호의 신호 정확도 또한 변경되고, 이에 의해서 결과적으로는 측정 신호로부터 결정된 제어 신호의 신호 무결성이 변경된다. 신호 무결성의 이와 같은 변경은, 무결성 요구 사항이 충족되는지의 여부를 확인할 때에 고려된다.

신호 전송은, 예를 들어 CAN-버스 또는 기타의 필드 버스와 같은 제어 버스를 이용해서 또는 하나 또는 복수의 네트워크를 이용해서 이루어질 수 있다. 예를 들어, 신호 생성 구성 요소는 제어 시스템의 제1 제어 장치 내에 설치되어 있는 한편, 상기 하나 또는 복수의 신호 처리 구성 요소는 제2 제어 장치 내에 설치되어 있다. 이들 제어 장치 사이에서는, 위에서 언급된 하나 또는 복수의 전송 경로를 통해 신호 전송이 이루어진다.

방법의 다양한 구현예에서는, 복수의 제어 신호가 상기 신호 생성 구성 요소에 의해서 또는 복수의 신호 생성 컴포넌트에 의해 생성된다. 이 경우에는, 각각 하나의 무결성 요구 사항이 하나의 신호 또는 제어 신호에 상응할 수 있거나, 하나의 무결성 요구 사항이 복수의 신호 또는 제어 신호에 상응할 수 있다.

Claims

신호 무결성을 결정하기 위한 방법으로서,
시스템을 통과하는 효과 흐름이 무결성 결정을 위해 직접적으로 사용되고, 상기 효과 흐름은 하나 또는 복수의 물리적인 관계 또는 물리적인 효과에 의해서 결정되며, 상기 무결성 요구 사항은 시스템 작동 동안에 조정되는, 신호 무결성을 결정하기 위한 방법.
제1항에 있어서, 상기 무결성 결정이 ASIL-레벨에 따라 신호 무결성의 결정을 적용하는, 신호 무결성을 결정하기 위한 방법.
제1항 또는 제2항에 있어서, 일 물리적인 효과가 차량의 주행 또는 정지와 관련이 있는, 신호 무결성을 결정하기 위한 방법.
제1항 내지 제3항 중 어느 한 항에 있어서, 일 물리적인 관계가 트랜스미션 또는 드라이브 트레인의 기계적인 변속과 관련이 있는, 신호 무결성을 결정하기 위한 방법.
제1항 내지 제4항 중 어느 한 항에 있어서, 상기 무결성 요구 사항이 기능적인 안전 프로파일을 참조해서 확정되는, 신호 무결성을 결정하기 위한 방법.
하나 또는 복수의 제어 시스템상에서 실행하기 위한 제어 프로그램으로서,
상기 제어 프로그램이 실행의 경우에는 제1항 내지 제5항 중 어느 한 항에 따른 방법을 실행하는, 제어 프로그램.
하나 이상의 신호를 수신하도록 설계된 제어 시스템으로서,
상기 제어 시스템이 수신된 신호의 필요한 신호 무결성 요구 사항을 결정하고, 시스템을 통과하는 효과 흐름이 무결성 결정을 위해 직접적으로 사용되며, 효과 흐름이 물리적인 관계 또는 물리적인 효과에 의해서 결정되는, 제어 시스템.
제7항에 있어서, 시스템 작동 동안에 무결성 요구 사항을 조정하도록 설계되어 있는, 제어 시스템.
제7항에 있어서, 상기 제어 시스템이 차량 내에서 사용하도록 설계되어 있는, 제어 시스템.
제7항 또는 제9항에 있어서, 상기 제어 시스템이 제6항에 따른 제어 프로그램을 실행하도록 설계되어 있는, 제어 시스템.