WO2014121871A1 - Verfahren und vorrichtung zum analysieren von ereignissen in einem system - Google Patents

Verfahren und vorrichtung zum analysieren von ereignissen in einem system Download PDF

Info

Publication number
WO2014121871A1
WO2014121871A1 PCT/EP2013/076716 EP2013076716W WO2014121871A1 WO 2014121871 A1 WO2014121871 A1 WO 2014121871A1 EP 2013076716 W EP2013076716 W EP 2013076716W WO 2014121871 A1 WO2014121871 A1 WO 2014121871A1
Authority
WO
WIPO (PCT)
Prior art keywords
component
interface
analysis
components
isolated
Prior art date
Application number
PCT/EP2013/076716
Other languages
English (en)
French (fr)
Inventor
Joachim FRÖHLICH
Stefan Rothbauer
Original Assignee
Siemens Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Aktiengesellschaft filed Critical Siemens Aktiengesellschaft
Priority to KR1020157024080A priority Critical patent/KR20150115898A/ko
Priority to CN201380072308.0A priority patent/CN104956335A/zh
Priority to EP13810931.9A priority patent/EP2954417A1/de
Priority to US14/765,776 priority patent/US20160014000A1/en
Publication of WO2014121871A1 publication Critical patent/WO2014121871A1/de

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0805Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
    • H04L43/0817Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking functioning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/22Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
    • G06F11/2294Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing by remote test
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]

Definitions

  • the invention relates to a method and a device for analyzing events which occur in a system, in particular an electronic system, which consists of system components which communicate internally via a common database.
  • Systems in particular electronic systems, can consist of a multiplicity of different system components.
  • These system components may include hardware components on the one hand and software components on the other hand.
  • system components may also be hardware components on which software is implemented.
  • faulty system components when an error occurs usually be switched off immediately. The immediate shutdown of such system components, however, leads to a loss of data, which are necessary for the analysis and limitation of the causes of the error. If errors occur in a safety-critical electronic system, then the entire faulty system or at least the affected system components are immediately shut down in many applications.
  • the invention provides a method of analyzing events occurring in a system that consists of system components, which internally communicate via a common data base to one another and are connected via a first interface of the system with a system environment of the Sys ⁇ tems which method the following
  • the inventive method can be used during Systement ⁇ development of tests of the system or to search for causes of errors within an error debugging. Furthermore, the method according to the invention can be carried out during the use of the system in the field, ie during the operational use of the system.
  • the analysis component of the system provides the component data of the isolated system component of the external analysis unit stored in the common database of the system via the established communication connection for analysis of the event occurring in the isolated system component.
  • the external analysis unit deactivates the isolated Systemkomponen ⁇ te After making the analysis of the occurred event in the isolated system component.
  • the analysis component subsequently writes a ⁇ hd definable data components of the system component concerned in the common data base of the system.
  • the external analysis unit after writing the definable component data into the common database of the system, the external analysis unit initiates a restart of the entire system or the affected system component.
  • a data copy of the component data of all system components of the system stored in the common database is stored in each system component of the system.
  • the integrity of component monitors the occurrence of an event in a system component of the system on the basis of data stored in the common data base of the TEMS Sys ⁇ component data continuously.
  • the integrity component is isolated when a specific event in a Systemkompo ⁇ component of the system this system component of the system Conversely ⁇ bung.
  • the integrity component keeps the iso ⁇ lated system component, as far as possible, at least as long active until an analysis oflibrary ⁇ tenen in the system component event by the external analysis unit is meet ⁇ closed.
  • a write access by a system component of the system exclusively on their own Comp ⁇ nentendaten the respective system component within the ge ⁇ common data base of the system is carried out.
  • the analysis component of the system uses the test component of the system to perform write and read access permission ⁇ fe on component data of system components of the system, which are stored in the common database of the system.
  • the existing in the system test ⁇ component via the second interface of the system on a communication link with an external test unit.
  • test compound specifically calls as Systemkompo ⁇ component of the system events in one or more system components of the system shown, which are detected by the inte- rticianskomponente of the system.
  • system components of the system control and / or monitor external components of the system environment of the system.
  • the external components of the system environment of the system comprise actuators and / or sensors which are connected via a network to the system or the first interfaces of the system and controlled and / or monitored by system components of the system.
  • Systemkomponen ⁇ th of the system including the integrity of the component, the component analysis and the test component Softwarekompo ⁇ components that are implemented on one or more processor cores of the system.
  • the integrity of the component detects on ⁇ occur in an event of a system component upon occurrence of deviations of the components stored data from predetermined desired values, if it exceeds limit or threshold values or on the occurrence of inconsistencies.
  • the first interface of the system is formed by a network interface to a network of the Sys ⁇ temum poverty of the system.
  • the second interface of the system by an interface, in particular a wireless
  • the invention further provides a system, in particular an electronic system with the attached give ⁇ nen in claim 15 characteristics.
  • the invention accordingly provides a system, in particular elekt ⁇ ronisches system that consists of system components, which internally communicate via a common data base to one another and are connected via at least a first interface of the system with a system environment of the system, the system comprising:
  • an integrity component that isolates a system component of the system from the system environment of the system when the integrity component of the system detects the occurrence of a particular event in the particular system component of the system
  • an analysis component in which the integrity of component transfers control of the isolated system component wor ⁇ aufhin the analysis component, a communication link via a second interface of the system to an external analysis unit establishes that the occurred in the isolated Sys ⁇ temkomponente event based on Komponentenda ⁇ th, the are vomit ⁇ chert in the common data base of the system analyzed.
  • system components of the system are redundant in the respective system.
  • system is a distributed system.
  • system is a real-time system.
  • system environment of the system comprises a network which connects actuators and / or sensors to the first interface of the system.
  • the first interface of the system is a network interface to a network of the system environment.
  • the second interface of the system to the analysis unit and / or test unit is a wireless interface
  • Interface in particular a mobile radio interface.
  • the system has a plurality of processors each having a plurality of processor cores, wherein software components are implemented on the processor cores, which are monitored by an integrity component.
  • the invention further provides a vehicle, in particular a road, railway or aircraft, with at least one system, in particular electronic system consisting of system components that communicate internally via a common Since ⁇ tenbasis each other and with at least a first interface of the system a system environment of the system, the system comprising:
  • an integrity component that isolates a system component of the system from the system environment of the system when the integrity component of the system detects the occurrence of a particular event in the particular system component of the system
  • An analysis component to which the integrity component passes the control of the isolated system component. alshin the analysis component, a communication link via a second interface of the system establishes with an external analysis unit which th the occurred in the isolated Sys ⁇ temkomponente event based on Komponentenda- which are vomit ⁇ chert in the common data base of the system analyzed.
  • the invention further provides an automation system with at least one system of the invention, the actuators of the automation system controls and sensor data, which are supplied by Sen ⁇ sensors of the automation system, evaluates them.
  • FIG. 1 shows a flow chart for illustrating an exemplary embodiment of a method according to the invention
  • Fig. 2 is a schematic diagram for illustrating a
  • Embodiment of a sys ⁇ system according to the invention Embodiment of a sys ⁇ system according to the invention.
  • Fig. 1 in the illustrated embodiment of the inventive method for Analy ⁇ Sieren of events that occur in a system, in particular an electronic system, which for example consists of several system components, several steps.
  • the system ⁇ components of the system communicate internally via a common data base together.
  • the Systemkompo ⁇ components of the system via at least a first interface with a system environment of the system are connected.
  • the system environment of the system can, for example, a network aufwei ⁇ sen, the actuators and / or sensors connected via one or a plurality of first interfaces of the system.
  • step S1 a system component of the system is first isolated from the system environment, as long as an integrity component of the system detects the occurrence of a particular event in the system component.
  • the Integrticianskomponen ⁇ te can continuously monitor the occurrence of an event in a Systemkompo ⁇ component of the system on the basis of data stored in the common data base of the system component data.
  • the Integrticianskompo ⁇ component isolated upon occurrence of a specified event in a system component of the system this system component of the system environment, and preferably maintains the isolated system component, if possible, at least as active until an analysis of the occurred in the system ⁇ component event is completed.
  • the integrity component subsequently transfers the control of the isolated system component to an analysis component of the system.
  • the ⁇ se analysis component establishes a communication link via a second interface of the system to an external Ana ⁇ lyseiki.
  • the second interface of the system to the external analysis unit may be implemented by a wireless interface in a possible execution ⁇ form. This wireless interface is, in particular, a mobile radio interface.
  • step S3 of the method of the invention which occurred in the isolated system component events are subsequently by the external analysis unit based on the compo ⁇ nentendaten the isolated system component that stored in the common data base of the system are, analyzed.
  • the analysis component of the system may provide the information stored in the ge ⁇ common data base of the system component data of the isolated in step Sl system component of the external analysis unit over the established communications link to the analysis of the bosstre ⁇ requested in the isolated system component event.
  • the external analysis unit After making the analysis of the occurred event in the isolated system component to ⁇ least the isolated system component of the system deattentionie ⁇ ren.
  • the deactivation may be carried out in dependence on the analysis result.
  • the analysis component may write definable component data into the common database of the system.
  • the external analysis unit which is connected to the system, in particular electronic system, via the second interface, for example a wireless interface, can initiate a reboot of the entire system after writing the definable component data into the common database of the system .
  • the system components of the system include both hardware and software components.
  • the system may for example comprise a plurality of processors, each having one or more processor cores, wherein ⁇ software components implemented on the processor cores that are monitored by an integrity component.
  • the integrity component ⁇ he knows in one possible embodiment, the occurrence of an event in a system component upon detection of Ab ⁇ deviations of the stored component data of the respective system component of predetermined nominal values.
  • the integrity component can detect the occurrence of an event when thresholds or thresholds are exceeded or when data inconsistencies occur. Upon occurrence of such an event the integrity of the component may be isolate ⁇ troffene system component in step Sl and subsequently pass control system of the insulated component to an analysis component of the system in step S2.
  • This analysis component then builds a Kommunikati ⁇ onstress, for example via a wireless second interface with the external analysis unit which that occurred in the system component events in ⁇ play, the occurrence of a deviation of the stored component data from predetermined desired values, or the passing of a border or Thresholds, based on the components tendants of the isolated system component stored in the common database of the system are analyzed in step S3.
  • the common database of the system can the state of all system components at a certain time, for example, at the time of a clock edge of a clock signal ange ⁇ ben.
  • the internal state of the system and its components Systemkompo ⁇ includes variables, and signals which have been exchanged in the last clock cycle between the system components.
  • the data base may also include Modulzu ⁇ states of the system components including the Integrticiansund analysis component.
  • the common database is present as a data copy on all system components.
  • a data copy of the component data stored in the common database of all system components of the system is stored in each system component of the system.
  • test component present in the system or implemented in addition to the integrity and Analysekom ⁇ additional component a test component present in the system or implemented.
  • this test component implemented in the system preferably both write accesses and read accesses to the component data can be undertaken by all system components of the system which are stored in the common database of the respective system.
  • the analysis component of the system uses the handene before ⁇ test component thereto to perform read and write accesses to data components of system components of the system, which are stored in the common database of the system.
  • the test component present in the system may, in one possible embodiment, be via the second interface of the system, for example a wireless interface, ei ⁇ ne communication link with an external test unit have.
  • the test component calls as a system component of the system targeted events in one or meh ⁇ reren system components of the system shown, which are detected by the integrity of the system component.
  • Some of the system components of the system, including the integrity component, the analysis component, and the possibly existing test component are formed by software components implemented on one or more processor cores of the system.
  • Some of the system components monitor external components of the system environment and can also control them.
  • the system environment may include a network that connects actuators and / or sensors to one or more first interfaces of the system.
  • the various system components of the system may be redundant in one possible embodiment.
  • the system can be a distributed system.
  • the system is also a real-time system that collects and evaluates data in real time. The method illustrated in FIG. 1 may be used during the system development of the system for test purposes and / or to search for causes of errors.
  • the method illustrated in Figure 1 may also be performed during its operational deployment of the system to analyze events.
  • an additional system component is integrated in comparison to conventional systems, namely the analysis component.
  • the analysis component can be implemented as a software component in one possible embodiment ⁇ form.
  • the system in particular electronic system performs the integrated Ana ⁇ lysekomponente as any other system component also to certain times, for example at occurrence of a
  • the integrated analysis component is thus permanently also during the system teminal and scheduled during system deployment and therefore does not unduly alter the system behavior of the Sys ⁇ tems, in particular a safety-critical electronic system.
  • the integrated analysis component is connected via a separate communication connection or communication line to an external analysis unit not belonging to the system itself.
  • Another particular system component that is integrated into the inventive Sys tem ⁇ represents the integrity of the component, which detects system failures and system inconsistencies.
  • Fig. 2 shows schematically a simple embodiment of an inventive system in which the invention shown SSE method of analyzing events can be performed.
  • the system comprises a platform core with several DCC units (Data Communication Computer), which can be connected to each other via network factory interfaces, for example, annular.
  • the system has a certain number of DCC units and several conforming or non-compliant sensors or actuators AIS.
  • Each DCC unit can contain a memory as well as a software module in which an integrity component and analysis component is implemented.
  • An external analysis unit AE is a more gestri ⁇ smiles shown interface, such as a wire ⁇ less interface, combined with the implemented on the DCC units and their software modules analysis components.
  • the system components communicate via a central shared database.
  • ⁇ ser central shared database lay their system components Component states and events or signals.
  • a test component can read and write zugrei ⁇ fen to the central common database.
  • the health component detects system errors or a system component error, it isolates them affected system component of the system environment.
  • ⁇ HYd the integrity component via the system controller to the analysis component.
  • the analysis component then informs the analysis unit of the system status. Further exceeded averages the analysis unit, the analysis component Comp ⁇ nentenzuconference and events from the central data area and the central data base.
  • the Ana ⁇ lyseiki decides on the further action, such as whether a disconnection of the faulty system component or even the entire system is carried out or whether a defined state in the central data area and the central data base is recorded and a system restart is performed.
  • the analyzer component may be the external one if an error or event occurs
  • the affected system component or the affected system components is detected
  • Occurrence of a fault or specific event is isolated, however, kept active, so that further analysis of the system, for example, by an analysis program or an engineer may be performed, or to the faulty comparison of the system keep changing, and then the system as ⁇ the to be able to operate.
  • a central data area or a central database of the system is used.
  • This central Da ⁇ tenbasis provides decoupling of system components of the sys- tems with each other, since communication between the system components only via the central database.
  • a specialized test component is present, which is the central le database and write to this database, but otherwise treated by the system as any other system component.
  • the specialized test ⁇ component and a possibly connected test unit can not impermissibly affect the system performance of the system.
  • the inventive method can be seamlessly combined with conventional logging techniques.
  • the method of the invention can support automatic testing of the system as well as interactive, exploratory testing.
  • the inventive method can also be used in scenarios in which the causes of errors or system behavior are not known in advance.
  • this is integrated in a vehicle.
  • this vehicle is a road, rail or air vehicle.
  • the inventive system is provided in an automation system, said automation system actuators ⁇ controls, and sensor data, which are supplied by sensors of the automation system, evaluates them.
  • the method or system according to the invention can be used, for example, in the context of vehicle controls, in particular in
  • Electric vehicles in particular for testing hardware / software-specific non-functional security services, which the redundant, central hardware / software platform or the system for vehicle functions should automatically provide.
  • the central hardware / software platform of the electric vehicle is configured redundantly and monitors and compares the states of redundant Ka nälen. This can be redundant for everyone
  • Computer of this hardware / software platform are performed. For example, does the integrity component of this hardware / software platform represent intolerable inconsistencies or fault, then the affected part of the controller or the affected system component is isolated and then ⁇ takes over a redundant system component whose Funkti ⁇ onen, since no safe operation with the faulty control part or the faulty system component is more possible.
  • the method according to the invention not only the behavior of a system component or the entire system can be logged to shutdown a faulty system component, but the faulty system component is also isolated and remains available to the test system so that it is analyzed and operationally, for example within a vehicle , if necessary, can even be repaired.
  • not only the faulty affected system component of the system but the entire system can be isolated in the manner described in the event of an error.
  • field operation ie in the operative use of the system, it depends on the respective application to what extent the system or the system component can be isolated.
  • the method according to the invention can be used as follows. After isolation of a defective system component or of a faulty sub-system, the test component transmits automatically the existing time of the fault system condition to a data ⁇ store, the later a vehicle service analyzed in a conventional manner, or transmits to an external, preferably wire ⁇ los connected test or analysis unit ,
  • This test or analysis unit can, for example, in the
  • Test component can be used either independently or as instructed by the test unit
  • the method and system according to the invention are particularly suitable for highly available, safety-critical and redundantly designed distributed real-time systems. These filters in Ent ⁇ development and after development of high demands on the reproducibility and adjustment of errors as well as the analysis of causes of faults.
  • the method and system according to the invention is not limited to use in redundant systems or in vehicles, but can be integrated into electronic systems of various kinds. If the system is not designed to be redundant, there is an error-related one
  • the analysis and / or the test component as well as the associated communication connection to the test and / or analysis unit can in turn be configured redundantly. This offers the advantage that the inventive method and system continue to function even if the test component or analysis ⁇ component and the associated test or analysis unit are even defective.

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Computer Hardware Design (AREA)
  • Data Mining & Analysis (AREA)
  • Environmental & Geological Engineering (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Debugging And Monitoring (AREA)

Abstract

Verfahren zum Analysieren von Ereignissen, die in einem System auftreten, das aus Systemkomponenten besteht, welche intern über eine gemeinsame Datenbasis miteinander kommunizieren und über mindestens eine erste Schnittstelle des Systems mit einer Systemumgebung des Systems verbunden sind, mit den Schritten: Isolieren (S1) einer Systemkomponente des Systems von der Systemumgebung, sofern eine Integritätskomponente des Systems das Auftreten eines bestimmten Ereignisses in der Systemkomponente erkennt; Übergeben (S2) der Steuerung der isolierten Systemkomponente durch die Integritätskomponente an eine Analysekomponente des Systems, welche eine Kommunikationsverbindung über eine zweite Schnittstelle des Systems mit einer externen Analyseeinheit aufbaut; und Analysieren (S3) des in der isolierten Systemkomponente aufgetretenen Ereignisses durch die externe Analyseeinheit anhand der Komponentendaten der isolierten Systemkomponente, die in der gemeinsamen Datenbasis des Systems abgelegt sind.

Description

Beschreibung
Verfahren und Vorrichtung zum Analysieren von Ereignissen in einem System
Die Erfindung betrifft ein Verfahren und eine Vorrichtung zum Analysieren von Ereignissen, die in einem System, insbesondere einem elektronischen System auftreten, das aus Systemkomponenten besteht, welche intern über eine gemeinsame Datenba- sis miteinander kommunizieren.
Systeme, insbesondere elektronische Systeme, können aus einer Vielzahl verschiedener Systemkomponenten bestehen. Diese Systemkomponenten können einerseits Hardwarekomponenten und an- dererseits Softwarekomponenten umfassen. Weiterhin können Systemkomponenten auch Hardwarekomponenten sein, auf denen Software implementiert ist. Insbesondere bei sicherheitskri¬ tischen Systemen werden fehlerhafte Systemkomponenten bei Auftreten eines Fehlers in der Regel sofort abgeschaltet. Das sofortige Abschalten derartiger Systemkomponenten führt allerdings zu einem Verlust von Daten, die für die Analyse und Eingrenzung der Fehlerursachen notwendig sind. Wenn in einem sicherheitskritischen elektronischen System Fehler auftreten, dann wird das gesamte fehlerhafte System oder zumindest die betroffenen Systemkomponenten in vielen Anwendungen sofort abgeschaltet. Ist das betroffene System redundant ausgelegt, wird bei Erkennen eines Fehlers, der einer Systemkomponente zugeordnet und auf diese beschränkt werden kann, die betrof¬ fene fehlerhafte Systemkomponente abgeschaltet und anschlie- ßend wird die betroffene Systemkomponente entweder neu ge¬ startet, um den Fehler zu beheben und die Systemkomponente zu prüfen und in einen definierten Zustand zu versetzen oder die betroffene fehlerhafte Systemkomponente wird durch eine funk¬ tional äquivalente redundante Systemkomponente des elektroni- sehen Systems ersetzt. In beiden Fällen geht ein Großteil der benötigten Daten, wie Ereignisse oder Systemzustände, die zur Abschaltung des gesamten fehlerhaften Systems oder zumindest der fehlerhaften Systemkomponente geführt haben, nach der Ab- Schaltung verloren und steht zur Analyse und Eingrenzung der Fehlerursachen nicht mehr zur Verfügung.
Während des Betriebes eines elektronischen Systems werden bei vielen herkömmlichen elektronischen Systemen wichtige Ereignisse und Systemzustände des elektronischen Systems protokol¬ liert, wobei die protokollierten Ereignisse und Systemzustände bzw. Daten später Aufschluss für mögliche Fehlerursachen geben sollen. Beispiele für derartige herkömmliche elektroni- sehe Systeme sind sogenannte Black Boxes in Flugzeugen oder Schienenfahrzeugen oder sogenannte Event Logs auf Microsoft Windows-Systemen oder System Logs auf Unix-Systemen. Aus Platzgründen speichern derartige Systeme nur eine Auswahl an temporalen Daten in einem Datenfenster, beispielsweise die jüngsten N Datensätze. Weiterhin werden bei derartigen herkömmlichen Systemen nur diejenigen Daten in einem Datenspeicher gespeichert, welche geeignet sind, Fehler zu dokumentie¬ ren, die ein Systementwickler des Systems vor dem Systemeinsatz bedacht hat. Daher können Wartungsingenieure beispiels- weise nicht Ereignisse analysieren, die zum Ausfall von Sys¬ temfunktionen führen bzw. geführt haben, falls die Möglichkeit eines Auftretens eines entsprechenden Fehlers während der Systementwicklung nicht seitens des Systementwicklers be¬ dacht wurde oder die gespeicherten Daten außerhalb des rele- vanten Datenfensters liegen. Für die Analyse eines Fehler¬ falls stehen nur die aufgezeichneten und noch verfügbaren Daten bzw. Datensätze bereit, sofern der Datenspeicher nicht selbst von einem Fehler betroffen ist. Daher ist die Prüfung von temporären Systemzuständen an einem im Fehlerfall sofort abgeschalteten System bzw. Systemkomponente bei herkömmlichen Systemen nicht möglich.
Es ist daher eine Aufgabe der vorliegenden Erfindung, ein Verfahren und eine Vorrichtung zum Analysieren von Ereignis- sen zu schaffen, das eine Analyse des aufgetretenen Fehlers hinsichtlich seiner Fehlerursache auch nach einem Abschalten der betroffenen Systemkomponenten erlaubt. Diese Aufgabe wird erfindungsgemäß durch ein Verfahren mit den in Patentanspruch 1 angegebenen Merkmalen gelöst.
Die Erfindung schafft demnach ein Verfahren zum Analysieren von Ereignissen, die in einem System auftreten, das aus Systemkomponenten besteht, welche intern über eine gemeinsame Datenbasis miteinander kommunizieren und über eine erste Schnittstelle des Systems mit einer Systemumgebung des Sys¬ tems verbunden sind, wobei das Verfahren die folgenden
Schritte aufweist:
Isolieren einer Systemkomponente des Systems von der Systemumgebung, sofern eine Integritätskomponente des Systems das Auftreten eines bestimmten Ereignisses in der Systemkomponente erkennt,
Übergeben der Steuerung der isolierten Systemkomponente durch die Integritätskomponente an eine Analysekomponente des Sys¬ tems, welche eine Kommunikationsverbindung über eine zweite Schnittstelle des Systems mit einer externen Analyseeinheit aufbaut, und
Analysieren des in der isolierten Systemkomponente aufgetre¬ tenen Ereignisses durch die externe Analyseeinheit anhand der Komponentendaten der isolierten Systemkomponente, die in der gemeinsamen Datenbasis des Systems abgelegt sind. Mit dem erfindungsgemäßen Verfahren werden somit die zum
Zeitpunkt des Eintritts eines Fehlers vorliegenden Systemzu¬ stände und aufgezeichneten Ereignisse aufbewahrt. Dadurch steht das gesamte fehlerhafte System oder zumindest die be¬ troffene fehlerhafte Systemkomponente weiter für Analysen zur Verfügung.
Das erfindungsgemäße Verfahren kann während der Systement¬ wicklung für Tests des Systems oder zur Suche nach Fehlerursachen im Rahmen eines Fehler-Debuggens verwendet werden. Weiterhin kann das erfindungsgemäße Verfahren während des Einsatzes des Systems im Feld, d.h. während des operativen Einsatzes des Systems, ausgeführt werden. Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens stellt die Analysekomponente des Systems die in der gemeinsamen Datenbasis des Systems abgelegten Komponentendaten der isolierten Systemkomponente der externen Analyseeinheit über die aufgebaute Kommunikationsverbindung zur Analyse des in der isolierten Systemkomponente aufgetretenen Ereignisses bereit.
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens deaktiviert die externe Analyseeinheit nach vorgenommener Analyse des in der isolierten Systemkomponente aufgetretenen Ereignisses die isolierte Systemkomponen¬ te .
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens schreibt die Analysekomponente anschlie¬ ßend definierbare Komponentendaten der betroffenen Systemkomponente in die gemeinsame Datenbasis des Systems ein.
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens veranlasst die externe Analyseeinheit nach dem Einschreiben der definierbaren Komponentendaten in die gemeinsame Datenbasis des Systems einen Neustart des gesamten Systems oder der betroffenen Systemkomponente.
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens wird in jeder Systemkomponente des Systems eine Datenkopie der in der gemeinsamen Datenbasis abgelegten Komponentendaten aller Systemkomponenten des Systems gespeichert .
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens überwacht die Integritätskomponente das Auftreten eines Ereignisses in einer Systemkomponente des Systems auf Basis der in der gemeinsamen Datenbasis des Sys¬ tems abgelegten Komponentendaten kontinuierlich. Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens isoliert die Integritätskomponente bei Auftreten eines bestimmten Ereignisses in einer Systemkompo¬ nente des Systems diese Systemkomponente von der Systemumge¬ bung .
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens hält die Integritätskomponente die iso¬ lierte Systemkomponente, soweit möglich, zumindest so lange aktiv, bis eine Analyse des in der Systemkomponente aufgetre¬ tenen Ereignisses durch die externe Analyseeinheit abge¬ schlossen ist.
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens wird ein Schreibzugriff durch eine Systemkomponente des Systems ausschließlich auf die eigenen Kompo¬ nentendaten der jeweiligen Systemkomponente innerhalb der ge¬ meinsamen Datenbasis des Systems vorgenommen.
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens werden durch eine in dem System implementierte Testkomponente sowohl Schreibzugriffe als auch Lese¬ zugriffe auf die Komponentendaten von allen Systemkomponenten des Systems, die in der gemeinsamen Datenbasis des Systems abgelegt sind, vorgenommen.
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens benutzt die Analysekomponente des Systems die Testkomponente des Systems dazu, Schreib- und Lesezugrif¬ fe auf Komponentendaten von Systemkomponenten des Systems vorzunehmen, die in der gemeinsamen Datenbasis des Systems abgelegt sind.
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens weist die in dem System vorhandene Test¬ komponente über die zweite Schnittstelle des Systems eine Kommunikationsverbindung mit einer externen Testeinheit auf. b
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens ruft die Testkomponente als Systemkompo¬ nente des Systems gezielt Ereignisse in einer oder mehreren Systemkomponenten des Systems hervor, welche durch die Integ- ritätskomponente des Systems erfasst werden.
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens steuern und/oder überwachen die Systemkomponenten des Systems externe Komponenten der Systemumgebung des Systems.
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens weisen die externen Komponenten der Systemumgebung des Systems Aktuatoren und/oder Sensoren auf, die über ein Netzwerk mit der bzw. den ersten Schnittstellen des Systems verbunden sind und durch Systemkomponenten des Systems gesteuert und/oder überwacht werden.
Bei einer weiteren möglichen Ausführungsform des erfindungs- gemäßen Verfahrens sind zumindest einige der Systemkomponen¬ ten des Systems, einschließlich der Integritätskomponente, der Analysekomponente und der Testkomponente, Softwarekompo¬ nenten, die auf einem oder mehreren Prozessorkernen des Systems implementiert sind.
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens erkennt die Integritätskomponente das Auf¬ treten eines Ereignisses in einer Systemkomponente bei einem Auftreten von Abweichungen der gespeicherten Komponentendaten von vorgegebenen Sollwerten, bei Überschreiten von Grenz- o- der Schwellwerten oder bei Auftreten von Inkonsistenzen .
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens wird die erste Schnittstelle des Systems durch eine Netzwerkschnittstelle zu einem Netzwerk der Sys¬ temumgebung des Systems gebildet. Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens wird die zweite Schnittstelle des Systems durch eine Schnittstelle, insbesondere eine drahtlose
Schnittstelle, zu der lokal oder entfernt vorgesehenen Analy- seeinheit und/oder Testeinheit gebildet.
Die Erfindung schafft ferner ein System, insbesondere ein elektronisches System, mit den in Patentanspruch 15 angegebe¬ nen Merkmalen.
Die Erfindung schafft demnach ein System, insbesondere elekt¬ ronisches System, das aus Systemkomponenten besteht, welche intern über eine gemeinsame Datenbasis miteinander kommunizieren und über mindestens eine erste Schnittstelle des Sys- tems mit einer Systemumgebung des Systems verbunden sind, wobei das System aufweist:
eine Integritätskomponente, welche eine Systemkomponente des Systems von der Systemumgebung des Systems isoliert, sobald die Integritätskomponente des Systems das Auftreten eines be- stimmten Ereignisses in der jeweiligen Systemkomponente des Systems erkennt,
eine Analysekomponente, an welche die Integritätskomponente die Steuerung der isolierten Systemkomponente übergibt, wor¬ aufhin die Analysekomponente eine Kommunikationsverbindung über eine zweite Schnittstelle des Systems mit einer externen Analyseeinheit herstellt, welche das in der isolierten Sys¬ temkomponente aufgetretene Ereignis anhand von Komponentenda¬ ten, die in der gemeinsamen Datenbasis des Systems gespei¬ chert sind, analysiert.
Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Systems sind die Systemkomponenten des Systems redundant in dem jeweiligen System vorhanden. Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Systems handelt es sich bei dem System um ein verteiltes System. Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Systems handelt es sich bei dem System um ein Echtzeitsystem. Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Systems weist die Systemumgebung des Systems ein Netzwerk auf, das Aktuatoren und/oder Sensoren mit der ersten Schnittstelle des Systems verbindet. Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Systems ist die erste Schnittstelle des Systems eine Netzwerkschnittstelle zu einem Netzwerk der Systemumgebung.
Bei einer weiteren möglichen Ausführungsform des erfindungs- gemäßen Systems ist die zweite Schnittstelle des Systems zu der Analyseeinheit und/oder Testeinheit eine drahtlose
Schnittstelle, insbesondere eine Mobilfunkschnittstelle.
Bei einer weiteren möglichen Ausführungsform des erfindungs- gemäßen Systems weist das System mehrere Prozessoren auf, die jeweils über mehrere Prozessorkerne verfügen, wobei auf den Prozessorkernen Softwarekomponenten implementiert sind, die durch eine Integritätskomponente überwacht werden. Die Erfindung schafft ferner ein Fahrzeug, insbesondere ein Straßen-, Schienen- oder Luftfahrzeug, mit mindestens einem System, insbesondere elektronischen System, das aus Systemkomponenten besteht, welche intern über eine gemeinsame Da¬ tenbasis miteinander kommunizieren und über mindestens eine erste Schnittstelle des Systems mit einer Systemumgebung des Systems verbunden sind, wobei das System aufweist:
eine Integritätskomponente, welche eine Systemkomponente des Systems von der Systemumgebung des Systems isoliert, sobald die Integritätskomponente des Systems das Auftreten eines be- stimmten Ereignisses in der jeweiligen Systemkomponente des Systems erkennt,
eine Analysekomponente, an welche die Integritätskomponente die Steuerung der isolierten Systemkomponente übergibt, wor- aufhin die Analysekomponente eine Kommunikationsverbindung über eine zweite Schnittstelle des Systems mit einer externen Analyseeinheit herstellt, welche das in der isolierten Sys¬ temkomponente aufgetretene Ereignis anhand von Komponentenda- ten, die in der gemeinsamen Datenbasis des Systems gespei¬ chert sind, analysiert.
Die Erfindung schafft ferner eine Automatisierungsanlage mit mindestens einem erfindungsgemäßen System, das Aktuatoren der Automatisierungsanlage steuert und Sensordaten, die von Sen¬ soren der Automatisierungsanlage geliefert werden, auswertet.
Im Weiteren werden mögliche Ausführungsformen des erfindungsgemäßen Verfahrens und des erfindungsgemäßen Systems unter Bezugnahme auf die beigefügten Figuren näher erläutert.
Es zeigen:
Fig. 1 ein Ablaufdiagramm zur Darstellung eines Ausfüh- rungsbeispiels eines erfindungsgemäßen Verfahrens;
Fig. 2 ein schematisches Diagramm zur Darstellung eines
Ausführungsbeispiels eines erfindungsgemäßen Sys¬ tems .
Wie man aus Fig. 1 erkennen kann, weist bei dem dargestellten Ausführungsbeispiel das erfindungsgemäße Verfahren zum Analy¬ sieren von Ereignissen, die in einem System, insbesondere einem elektronischen System, auftreten, das z.B. aus mehreren Systemkomponenten besteht, mehrere Schritte auf. Die System¬ komponenten des Systems kommunizieren intern über eine gemeinsame Datenbasis miteinander. Ferner sind die Systemkompo¬ nenten des Systems über mindestens eine erste Schnittstelle mit einer Systemumgebung des Systems verbunden. Die Systemum- gebung des Systems kann beispielsweise ein Netzwerk aufwei¬ sen, das Aktuatoren und/oder Sensoren über eine oder mehrere erste Schnittstellen des Systems verbindet. Wie in dem Ablaufdiagramm gemäß Fig. 1 dargestellt, wird in einem Schritt Sl zunächst eine Systemkomponente des Systems von der Systemumgebung isoliert, sofern eine Integritätskomponente des Systems das Auftreten eines bestimmten Ereignis- ses in der Systemkomponente erkennt. Die Integritätskomponen¬ te kann das Auftreten eines Ereignisses in einer Systemkompo¬ nente des Systems auf Basis der in der gemeinsamen Datenbasis des Systems abgelegten Komponentendaten kontinuierlich überwachen. Bei Auftreten eines bestimmten Ereignisses in einer Systemkomponente des Systems isoliert die Integritätskompo¬ nente diese Systemkomponente von der Systemumgebung und hält vorzugsweise die isolierte Systemkomponente, soweit möglich, zumindest so lange aktiv, bis eine Analyse des in der System¬ komponente aufgetretenen Ereignisses abgeschlossen ist.
Bei einem weiteren Schritt S2 wird durch die Integritätskomponente anschließend die Steuerung der isolierten Systemkomponente an eine Analysekomponente des Systems übergeben. Die¬ se Analysekomponente baut eine Kommunikationsverbindung über eine zweite Schnittstelle des Systems mit einer externen Ana¬ lyseeinheit auf. Die zweite Schnittstelle des Systems zu der externen Analyseeinheit kann bei einer möglichen Ausführungs¬ form durch eine drahtlose Schnittstelle implementiert sein. Bei dieser drahtlosen Schnittstelle handelt es sich insbeson- dere um eine Mobilfunkschnittstelle.
In einem weiteren Schritt S3 des erfindungsgemäßen Verfahrens, wie es in Fig. 1 dargestellt ist, werden die in der isolierten Systemkomponente aufgetretenen Ereignisse an- schließend durch die externe Analyseeinheit anhand der Kompo¬ nentendaten der isolierten Systemkomponente, die in der gemeinsamen Datenbasis des Systems abgelegt sind, analysiert. Dabei kann die Analysekomponente des Systems die in der ge¬ meinsamen Datenbasis des Systems abgelegten Komponentendaten der in Schritt Sl isolierten Systemkomponente der externen Analyseeinheit über die aufgebaute Kommunikationsverbindung zur Analyse des in der isolierten Systemkomponente aufgetre¬ tenen Ereignisses bereitstellen. Optional kann anschließend die externe Analyseeinheit nach vorgenommener Analyse des in der isolierten Systemkomponente aufgetretenen Ereignisses zu¬ mindest die isolierte Systemkomponente des Systems deaktivie¬ ren. Die Deaktivierung kann in Abhängigkeit von dem Analyse- ergebnis erfolgen. Weiterhin kann die Analysekomponente bei einer möglichen Ausführungsform definierbare Komponentendaten in die gemeinsame Datenbasis des Systems einschreiben. Die externe Analyseeinheit, die mit dem System, insbesondere elektronischen System, über die zweite Schnittstelle, bei- spielsweise eine drahtlose Schnittstelle, verbunden ist, kann nach Einschreiben der definierbaren Komponentendaten in die gemeinsame Datenbasis des Systems einen Neustart des gesamten Systems veranlassen bzw. selbst vornehmen. Die Systemkomponenten des Systems umfassen sowohl Hardwareais auch Softwarekomponenten. Das System kann beispielsweise mehrere Prozessoren aufweisen, die jeweils eine oder mehrere Prozessorkerne haben, wobei auf den Prozessorkernen Software¬ komponenten implementiert sind, die durch eine Integritäts- komponente überwacht werden. Die Integritätskomponente er¬ kennt bei einer möglichen Ausführungsform das Auftreten eines Ereignisses in einer Systemkomponente nach Erkennung von Ab¬ weichungen der gespeicherten Komponentendaten der jeweiligen Systemkomponente von vorgegebenen Sollwerten. Weiterhin kann die Integritätskomponente das Auftreten eines Ereignisses bei Überschreiten von Grenz- oder Schwellwerten oder bei Auftreten von Dateninkonsistenzen erkennen. Bei Auftreten eines derartigen Ereignisses kann die Integritätskomponente die be¬ troffene Systemkomponente in Schritt Sl isolieren und an- schließend die Steuerung der isolierten Systemkomponente an eine Analysekomponente des Systems in Schritt S2 übergeben. Diese Analysekomponente baut anschließend eine Kommunikati¬ onsverbindung, beispielsweise über eine drahtlose zweite Schnittstelle, mit der externen Analyseeinheit auf, welche die in der Systemkomponente aufgetretenen Ereignisse, bei¬ spielsweise das Auftreten einer Abweichung der gespeicherten Komponentendaten von vorgegebenen Sollwerten oder das Überschreiten von Grenz- oder Schwellwerten, anhand der Komponen- tendaten der isolierten Systemkomponente, die in der gemeinsamen Datenbasis des Systems abgelegt sind, in Schritt S3 analysiert . Die gemeinsame Datenbasis des Systems kann den Zustand aller Systemkomponenten zu einem bestimmten Zeitpunkt, beispielsweise zum Zeitpunkt einer Taktflanke eines Taktsignals, ange¬ ben. Der interne Zustand des Systems und seiner Systemkompo¬ nenten umfasst insbesondere Variablen und Signale, die im letzten Taktzyklus zwischen den Systemkomponenten ausgetauscht wurden. Weiterhin kann die Datenbasis auch Modulzu¬ stände der Systemkomponenten einschließlich der Integritätsund Analysekomponente beinhalten. Bei einer möglichen Ausführungsform ist die gemeinsame Datenbasis als Datenkopie auf allen Systemkomponenten vorhanden. Bei einer möglichen Ausführungsform ist in jeder Systemkomponente des Systems eine Datenkopie der in der gemeinsamen Datenbasis abgelegten Komponentendaten aller Systemkomponenten des Systems gespeichert. Durch eine Systemkomponente des Systems ist vorzugs- weise ein Schreibzugriff ausschließlich auf die eigenen Komponentendaten der jeweiligen Systemkomponente innerhalb der gemeinsamen Datenbasis vornehmbar.
Bei einer weiteren möglichen Ausführungsform des erfindungs- gemäßen Verfahrens ist neben der Integritäts- und Analysekom¬ ponente zusätzlich eine Testkomponente in dem System vorhanden bzw. implementiert. Durch diese im System implementierte Testkomponente können vorzugsweise sowohl Schreibzugriffe als auch Lesezugriffe auf die Komponentendaten von allen System- komponenten des Systems vorgenommen werden, die in der gemeinsamen Datenbasis des jeweiligen Systems abgelegt sind. Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens benutzt die Analysekomponente des Systems die vor¬ handene Testkomponente dazu, um Schreib- und Lesezugriffe auf Komponentendaten von Systemkomponenten des Systems vorzunehmen, die in der gemeinsamen Datenbasis des Systems abgelegt sind. Die in dem System vorhandene Testkomponente kann bei einer möglichen Ausführungsform über die zweite Schnittstelle des Systems, beispielsweise eine drahtlose Schnittstelle, ei¬ ne Kommunikationsverbindung mit einer externen Testeinheit aufweisen. Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens ruft die Testkomponente als System- komponente des Systems gezielt Ereignisse in einer oder meh¬ reren Systemkomponenten des Systems hervor, welche durch die Integritätskomponente des Systems erfasst werden. Einige der Systemkomponenten des Systems, einschließlich der Integritätskomponente, der Analysekomponente und der ggf. vorhande- nen Testkomponente werden durch Softwarekomponenten gebildet, die auf einem oder mehreren Prozessorkernen des Systems implementiert sind. Einige der Systemkomponenten überwachen dabei externe Komponenten der Systemumgebung und können diese auch steuern. Die Systemumgebung kann beispielsweise ein Netzwerk aufweisen, das Aktuatoren und/oder Sensoren mit einer oder mehreren ersten Schnittstellen des Systems verbindet. Die verschiedenen Systemkomponenten des Systems können bei einer möglichen Ausführungsform redundant vorhanden sein. Zudem kann das System ein verteiltes System sein. Bei einer möglichen Ausführungsform ist das System zudem ein Echtzeitsystem, das in Echtzeit Daten erfasst und auswertet. Das in Fig. 1 dargestellte Verfahren kann während der Systementwicklung des Systems zu Testzwecken und/oder zur Suche nach Fehlerursachen benutzt werden.
Ferner kann das in Fig. 1 dargestellte Verfahren auch während dessen operativen Einsatzes des Systems ausgeführt werden, um Ereignisse zu analysieren. Bei dem erfindungsgemäßen System ist im Vergleich zu herkömmlichen Systemen eine zusätzliche Systemkomponente integriert, nämlich die Analysekomponente. Die Analysekomponente kann bei einer möglichen Ausführungs¬ form als Softwarekomponente implementiert sein. Das System, insbesondere elektronische System, führt die integrierte Ana¬ lysekomponente wie jede andere Systemkomponente auch zu be- stimmten Zeitpunkten, beispielsweise bei Auftreten einer
Taktflanke, oder beim Eintritt bestimmter Ereignisse, bei¬ spielsweise wenn ein Fehler auftritt, aus. Die integrierte Analysekomponente ist somit permanent auch während der Sys- tementwicklung und während des Systemeinsatzes eingeplant und verändert daher nicht unzulässig das Systemverhalten des Sys¬ tems, insbesondere eines sicherheitskritischen elektronischen Systems. Bei dem erfindungsgemäßen System ist die integrierte Analysekomponente über eine separate Kommunikationsverbindung bzw. Kommunikationsleitung mit einer externen nicht zum System selbst gehörenden Analyseeinheit verbunden. Eine weitere spezielle Systemkomponente, die in dem erfindungsgemäßen Sys¬ tem integriert ist, stellt die Integritätskomponente dar, welche Systemfehler und Systeminkonsistenzen feststellt.
Fig. 2 zeigt schematisch ein einfaches Ausführungsbeispiel für ein erfindungsgemäßes System, bei dem das erfindungsgemä¬ ße Verfahren zum Analysieren von Ereignissen durchgeführt werden kann.
Bei dem in Fig. 2 schematisch dargestellten Ausführungsbeispiel umfasst das System einen Plattformkern mit mehreren DCC-Einheiten (Data Communication Computer) , die über Netz- Werkschnittstellen, beispielsweise ringförmig miteinander verbunden sein können. Das System weist eine bestimmte Anzahl von DCC-Einheiten und mehrere konformen oder nicht konformen Sensoren oder Aktoren AIS auf. Jede DCC-Einheit kann einen Speicher enthalten sowie ein Softwaremodul, in dem eine In- tegritätskomponente und Analysekomponente implementiert ist. Eine externe Analyseeinheit AE ist über eine weitere gestri¬ chelt dargestellte Schnittstelle, beispielsweise eine draht¬ lose Schnittstelle, mit den auf den DCC-Einheiten und deren Softwaremodulen implementierten Analysekomponenten verbunden.
Bei einer möglichen Ausführungsform kommunizieren die Systemkomponenten über eine zentrale gemeinsame Datenbasis. In die¬ ser zentralen gemeinsamen Datenbasis legen die Systemkomponenten Komponentenzustände und Ereignisse oder Signale ab. Wenn eine Testkomponente vorhanden ist, kann diese auf die zentrale gemeinsame Datenbasis lesend und schreibend zugrei¬ fen. Sobald die Integritätskomponente Systemfehler bzw. einen Fehler einer Systemkomponente feststellt, isoliert sie die betroffene Systemkomponente von der Systemumgebung. Anschlie¬ ßend übergibt die Integritätskomponente die Systemsteuerung an die Analysekomponente. Die Analysekomponente informiert dann die Analyseeinheit über den Systemzustand. Ferner über- mittelt die Analyseeinheit über die Analysekomponente Kompo¬ nentenzustände und Ereignisse aus dem zentralen Datenbereich bzw. der zentralen Datenbasis. Daraufhin entscheidet die Ana¬ lyseeinheit über den weiteren Vorgang, beispielsweise ob eine Abschaltung der fehlerhaften Systemkomponente oder gar des gesamten Systems erfolgt oder ob ein definierter Zustand in dem zentralen Datenbereich bzw. die zentrale Datenbasis eingespielt wird und ein Neustart des Systems durchgeführt wird.
Bei einer möglichen Ausführungsform kann die Analysekomponen- te bei Eintritt eines Fehlers bzw. Ereignisses die externe
Analyseeinheit kontinuierlich mit Daten versorgen bzw. Daten an die Analyseeinheit senden (Protokollierung) .
Bei dem erfindungsgemäßen Verfahren wird die betroffene Sys- temkomponente bzw. die betroffenen Systemkomponenten nach
Eintritt eines Fehlers bzw. bestimmten Ereignisses isoliert, jedoch aktiv gehalten, sodass weitere Analysen an dem System, beispielsweise durch ein Analyseprogramm oder einen Ingenieur, durchgeführt werden können, oder um das fehlerhafte Ver- halten des Systems zu ändern und anschließend das System wie¬ der in Betrieb nehmen zu können. Dazu werden bei dem erfindungsgemäßen Verfahren ein zentraler Datenbereich bzw. eine zentrale Datenbasis des Systems verwendet. Diese zentrale Da¬ tenbasis dient zur Entkopplung von Systemkomponenten des Sys- tems untereinander, da eine Kommunikation zwischen den Systemkomponenten nur über die zentrale Datenbasis erfolgt. Wei¬ terhin werden Komponentenzustände und Komponentenfunktionen der Systemkomponenten entkoppelt, indem man Zustandsvariablen in den zentralen Datenbereich bzw. die zentrale Datenbasis auslagert.
Bei einer möglichen Ausführungsform des erfindungsgemäßen ist eine spezialisierte Testkomponente vorhanden, die die zentra- le Datenbasis lesen und in diese Datenbasis schreiben kann, jedoch im Übrigen vom System wie jede andere Systemkomponente behandelt wird. Auf diese Weise kann die spezialisierte Test¬ komponente und eine ggf. angeschlossene Testeinheit nicht un- zulässig das Systemverhalten des Systems beeinflussen.
Das erfindungsgemäße Verfahren kann nahtlos mit herkömmlichen Protokollierungstechniken kombiniert werden. Das erfindungsgemäße Verfahren kann automatische Tests des Systems ebenso unterstützen wie ein interaktives, exploratives Testen. Das erfindungsgemäße Verfahren kann ferner in Szenarien eingesetzt werden, in denen die Ursachen für Fehler oder Systemverhalten im Vorhinein nicht bekannt sind. Bei einer möglichen Ausführungsform des erfindungsgemäßen Systems ist dieses in einem Fahrzeug integriert. Bei einer möglichen Ausführungsform handelt es sich bei diesem Fahrzeug um ein Straßen-, Schienen- oder Luftfahrzeug. Weiterhin ist es möglich, dass das erfindungsgemäße System in einer Automa- tisierungsanlage vorgesehen wird, wobei die Automatisierungs¬ anlage Aktuatoren steuert, und Sensordaten, die von Sensoren der Automatisierungsanlage geliefert werden, auswertet.
Das erfindungsgemäße Verfahren bzw. System kann beispielswei- se im Kontext von Fahrzeugsteuerungen, insbesondere bei
Elektrofahrzeugen, eingesetzt werden, insbesondere zum Testen von hardware-/softwarespezifischer nichtfunktionaler Sicherheitsservices, welche die redundant ausgelegte, zentrale Hardware-/Softwareplattform bzw. das System für Fahrzeugfunk- tionen automatisch erbringen soll. Zur Erkennung von Fehlern und Gewährleistung der Verfügbarkeit des Systems bzw. elekt¬ ronischen Systems ist die zentrale Hardware- /Softwareplattform des Elektrofahrzeugs redundant ausgelegt und überwacht und vergleicht die Zustände von redundanten Ka- nälen. Dies kann für jeden ebenfalls redundant ausgelegten
Rechner dieser Hardware-/Softwareplattform durchgeführt werden. Stellt beispielsweise die Integritätskomponente dieser Hardware-/Softwareplattform nicht tolerierbare Inkonsistenzen oder Fehler fest, dann wird der betroffene Teil der Steuerung bzw. die betroffene Systemkomponente isoliert und anschlie¬ ßend übernimmt eine redundante Systemkomponente deren Funkti¬ onen, da kein sicherer Betrieb mit dem fehlerhaften Steue- rungsteil bzw. der fehlerhaften Systemkomponente mehr möglich ist. Mit dem erfindungsgemäßen Verfahren kann nicht nur das Verhalten einer Systemkomponente oder des Gesamtsystems bis zum Abschalten einer fehlerhaften Systemkomponente mitprotokolliert werden, sondern die fehlerhafte Systemkomponente wird zudem isoliert und steht dem Testsystem weiter zur Verfügung, sodass es analysiert und im operativen Einsatz, beispielsweise innerhalb eines Fahrzeuges, ggf. sogar repariert werden kann. Bei einer möglichen Ausführungsform kann im Fehlerfall nicht nur die fehlerhafte betroffene Systemkomponente des Systems, sondern das gesamte System in der beschriebenen Weise isoliert werden. Im Feldbetrieb, d.h. im operativen Einsatz des Systems, hängt es von der jeweiligen Anwendung ab, inwieweit das System bzw. die Systemkomponente isoliert werden kann.
Für den Einsatz in Serienfahrzeugen kann das erfindungsgemäße Verfahren wie folgt Verwendung finden. Nach der Isolierung einer fehlerhaften Systemkomponente bzw. eines fehlerhaften Teilsystems überträgt die Testkomponente selbstständig dem zum Fehlerzeitpunkt vorhandenen Systemzustand zu einem Daten¬ speicher, den später ein Fahrzeugservice in herkömmlicher Weise analysiert oder zu einer externen, vorzugsweise draht¬ los angeschlossenen Test- bzw. Analyseeinheit überträgt. Die- se Test- oder Analyseeinheit kann beispielsweise bei dem
Fahrzeughersteller installiert sein, um Diagnosen oder Reparaturen durchzuführen. Für die Datenübertragung steht bei dem erfindungsgemäßen Verfahren eine separate Kommunikationsverbindung zur Verfügung. Weiterhin kann die Testkomponente ent- weder selbständig oder auf Anweisung der Testeinheit einen
Neustart mit einem definierten Zustand vornehmen und prüfen, ob das Teilsystem bzw. die betroffene Systemkomponente nach der durchgeführten Reinitialisierung des Systems wieder verwendbar ist.
Das erfindungsgemäße Verfahren und System eignet sich vor al- lern für hochverfügbare, sicherheitskritische und redundant ausgelegte verteilte Echtzeitsysteme . Diese stellen in Ent¬ wicklung und auch nach Entwicklung hohe Anforderungen an die Nachvollziehbarkeit und Nachstellung von Fehlern sowie an die Analyse von Fehlerursachen.
Das erfindungsgemäße Verfahren und System ist jedoch nicht auf den Einsatz in redundanten Systemen oder in Fahrzeugen beschränkt, sondern lässt sich in elektronischen Systemen unterschiedlichster Art integrieren. Sofern das System nicht redundant ausgelegt ist, stehen nach einer fehlerbedingten
Abschaltung die Systemfunktionen der betroffenen Systemkomponenten nicht mehr zur Verfügung. Der Systemzustand und auch der bisherige Systemablauf kann jedoch mit dem erfindungsge¬ mäßen Verfahren noch vollständig analysiert werden. Unter Um- ständen kann in Abhängigkeit von der Fehlerart des aufgetre¬ tenen Fehlers ein durch die Analyse wiederhergestelltes Sys¬ tem sogar seine Arbeit fortsetzen.
Bei einer weiteren möglichen Ausführungsform des erfindungs- gemäßen Verfahrens und des erfindungsgemäßen Systems können die Analyse- und/oder die Testkomponente sowie die zugehörige Kommunikationsverbindung zu der Test- und/oder Analyseeinheit ihrerseits redundant ausgelegt sein. Dies bietet den Vorteil, dass das erfindungsgemäße Verfahren und System weiterhin funktionieren, selbst wenn die Testkomponente bzw. Analyse¬ komponente und die zugehörige Test- bzw. Analyseeinheit selbst fehlerhaft sind.

Claims

Patentansprüche
Verfahren zum Analysieren von Ereignissen, die in einem System auftreten, das aus Systemkomponenten besteht, welche intern über eine gemeinsame Datenbasis miteinander kommunizieren und über mindestens eine erste Schnittstel¬ le des Systems mit einer Systemumgebung des Systems ver¬ bunden sind, mit den Schritten:
(a) Isolieren (Sl) einer Systemkomponente des Systems von der Systemumgebung, sofern eine Integritätskomponente des Systems das Auftreten eines bestimmten Ereignis¬ ses in der Systemkomponente erkennt;
(b) Übergeben (S2) der Steuerung der isolierten Systemkomponente durch die Integritätskomponente an eine Analysekomponente des Systems, welche eine Kommunika¬ tionsverbindung über eine zweite Schnittstelle des Systems mit einer externen Analyseeinheit aufbaut; und
(c) Analysieren (S3) des in der isolierten Systemkomponente aufgetretenen Ereignisses durch die externe Analyseeinheit anhand der Komponentendaten der iso¬ lierten Systemkomponente, die in der gemeinsamen Da¬ tenbasis des Systems abgelegt sind.
Verfahren nach Anspruch 1,
wobei die Analysekomponente des Systems die in der ge¬ meinsamen Datenbasis des Systems abgelegten Komponentendaten der isolierten Systemkomponente der externen Analy seeinheit über die aufgebaute Kommunikationsverbindung zur Analyse des in der isolierten Systemkomponente aufge tretenen Ereignisses bereitstellt.
Verfahren nach Anspruch 1 oder 2,
wobei die externe Analyseeinheit nach vorgenommener Ana¬ lyse des in der isolierten Systemkomponente aufgetretenen Ereignisses zumindest die isolierte Systemkomponente des Systems deaktiviert und/oder definierbare Komponentenda¬ ten in die gemeinsame Datenbasis des Systems einschreibt.
4. Verfahren nach Anspruch 3,
wobei die externe Analyseeinheit nach dem Einschreiben der definierbaren Komponentendaten in die gemeinsame Datenbasis des Systems einen Neustart des Systems veran¬ lasst oder vornimmt.
5. Verfahren nach einem der vorangehenden Ansprüche 1 bis 4, wobei in jeder Systemkomponente des Systems eine Datenko¬ pie der in der gemeinsamen Datenbasis abgelegten Komponentendaten aller Systemkomponenten des Systems gespeichert wird.
6. Verfahren nach einem der vorangehenden Ansprüche 1 bis 5, wobei die Integritätskomponente das Auftreten eines Er¬ eignisses in einer Systemkomponente des Systems auf Basis der in der gemeinsamen Datenbasis des Systems abgelegten Komponentendaten kontinuierlich überwacht,
wobei die Integritätskomponente bei Auftreten eines be¬ stimmten Ereignisses in einer Systemkomponente des Sys¬ tems diese Systemkomponente von der Systemumgebung des Systems isoliert und die isolierte Systemkomponente zu¬ mindest so lange aktiv hält, bis eine Analyse des in der Systemkomponente aufgetretenen Ereignisses durch die ex¬ terne Analyseeinheit abgeschlossen ist.
7. Verfahren nach einem der vorangehenden Ansprüche 1 bis 6, wobei durch eine in dem System implementierte Testkompo¬ nente sowohl Schreibzugriffe als auch Lesezugriffe auf die Komponentendaten von allen Systemkomponenten des Systems, die in der gemeinsamen Datenbasis des Systems abge¬ legt sind, vorgenommen werden.
8. Verfahren nach Anspruch 7,
wobei die Analysekomponente des Systems die Testkomponen¬ te des Systems benutzt, um Schreib- und Lesezugriffe auf Komponentendaten von Systemkomponenten des Systems, die in der gemeinsamen Datenbasis des Systems abgelegt sind, vorzunehmen .
Verfahren nach Anspruch 7 oder 8,
wobei die in dem System vorhandene Testkomponente über die zweite Schnittstelle des Systems eine Kommunikations Verbindung mit einer externen Testeinheit aufweist. 10. Verfahren nach einem der vorangehenden Ansprüche 7 bis 9, wobei die Testkomponente als Systemkomponente des Systems gezielt Ereignisse in einer oder mehreren Systemkomponenten des Systems hervorruft, welche durch die Integritäts¬ komponente des Systems erfasst werden.
11. Verfahren nach einem der vorangehenden Ansprüche 1 bis 10,
wobei die Systemkomponenten des Systems externe Komponenten der Systemumgebung des Systems steuern und/oder über- wachen,
wobei die externen Komponenten der Systemumgebung des Systems Aktuatoren und/oder Sensoren aufweisen, die über ein Netzwerk mit der ersten Schnittstelle des Systems verbunden sind und durch Systemkomponenten des Systems gesteuert und/oder überwacht werden.
12. Verfahren nach einem der vorangehenden Ansprüche 1 bis 11,
wobei zumindest einige der Systemkomponenten des Systems, einschließlich der Integritätskomponente, der Analysekomponente und der Testkomponente, Softwarekomponenten sind, die auf einem oder mehreren Prozessorkernen des Systems implementiert sind.
Verfahren nach einem der vorangehenden Ansprüche 1 bis 12,
wobei die Integritätskomponente das Auftreten eines Er¬ eignisses in einer Systemkomponente bei einem Auftreten von Abweichungen der gespeicherten Komponentendaten von vorgegebenen Sollwerten, bei Überschreiten von Grenz- o- der Schwellwerten oder bei Auftreten von Inkonsistenzen erkennt .
Verfahren nach einem der vorangehenden Ansprüche 1 bis 13,
wobei die erste Schnittstelle des Systems durch eine Netzwerkschnittstelle zu einem Netzwerk der Systemumge¬ bung des Systems gebildet wird
wobei die zweite Schnittstelle des Systems durch eine Schnittstelle, insbesondere eine drahtlose Schnittstelle, zu der lokal oder entfernt vorgesehenen Analyseeinheit und/oder Testeinheit gebildet wird.
System, insbesondere elektronisches System, das aus Sys¬ temkomponenten besteht, welche intern über eine gemeinsa¬ me Datenbasis miteinander kommunizieren und über eine erste Schnittstelle des Systems mit einer Systemumgebung des Systems verbunden sind, wobei das System aufweist: eine Integritätskomponente, welche eine Systemkomponente des Systems von der Systemumgebung des Systems isoliert, sobald die Integritätskomponente des Systems das Auftre¬ ten eines bestimmten Ereignisses in der jeweiligen Systemkomponente des Systems erkennt;
eine Analysekomponente, an welche die Integritätskompo¬ nente die Steuerung der isolierten Systemkomponente übergibt, woraufhin die Analysekomponente eine Kommunikati¬ onsverbindung über eine zweite Schnittstelle des Systems mit einer externen Analyseeinheit herstellt, welche das in der isolierten Systemkomponente aufgetretene Ereignis anhand von Komponentendaten, die in der gemeinsamen Datenbasis des Systems gespeichert sind, analysiert.
System nach Anspruch 15,
wobei das System ein verteiltes System, insbesondere ein verteiltes Echtzeitsystem ist, das redundante Systemkom¬ ponenten aufweist.
17. System nach einem der vorangehenden Ansprüche 15 und 16, wobei die Systemumgebung des Systems ein Netzwerk aufweist, das Aktuatoren und/oder Sensoren mit der ersten Schnittstelle des Systems verbindet.
18. System nach einem der vorangehenden Ansprüche 15 bis 17, wobei die erste Schnittstelle des Systems eine Netzwerk¬ schnittstelle zu einem Netzwerk der Systemumgebung ist, wobei die zweite Schnittstelle des Systems zu der Analy¬ seeinheit und/oder Testeinheit eine drahtlose Schnitt¬ stelle, insbesondere eine Mobilfunkschnittstelle, ist.
19. System nach einem der vorangehenden Ansprüche 15 bis 18, wobei das System mehrere Prozessoren aufweist, die je¬ weils über mehrere Prozessorkerne verfügen, wobei auf den Prozessorkernen Softwarekomponenten implementiert sind, die durch eine Integritätskomponente überwacht werden.
20. Fahrzeug, insbesondere Straßen-, Schienen- oder Luftfahrzeug, mit mindestens einem System nach einem der vorange¬ henden Ansprüche 15 bis 19.
21. Automatisierungsanlage mit mindestens einem System nach einem der vorangehenden Ansprüche 15 bis 19, das Aktuato¬ ren der Automatisierungsanlage steuert und Sensordaten, die von Sensoren der Automatisierungsanlage geliefert werden, auswertet.
PCT/EP2013/076716 2013-02-05 2013-12-16 Verfahren und vorrichtung zum analysieren von ereignissen in einem system WO2014121871A1 (de)

Priority Applications (4)

Application Number Priority Date Filing Date Title
KR1020157024080A KR20150115898A (ko) 2013-02-05 2013-12-16 시스템에서의 이벤트들을 분석하기 위한 방법 및 디바이스
CN201380072308.0A CN104956335A (zh) 2013-02-05 2013-12-16 用于分析系统中的事件的方法和装置
EP13810931.9A EP2954417A1 (de) 2013-02-05 2013-12-16 Verfahren und vorrichtung zum analysieren von ereignissen in einem system
US14/765,776 US20160014000A1 (en) 2013-02-05 2013-12-16 Method and device for analyzing events in a system

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102013201831.2A DE102013201831A1 (de) 2013-02-05 2013-02-05 Verfahren und Vorrichtung zum Analysieren von Ereignissen in einem System
DE102013201831.2 2013-02-05

Publications (1)

Publication Number Publication Date
WO2014121871A1 true WO2014121871A1 (de) 2014-08-14

Family

ID=49816918

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2013/076716 WO2014121871A1 (de) 2013-02-05 2013-12-16 Verfahren und vorrichtung zum analysieren von ereignissen in einem system

Country Status (6)

Country Link
US (1) US20160014000A1 (de)
EP (1) EP2954417A1 (de)
KR (1) KR20150115898A (de)
CN (1) CN104956335A (de)
DE (1) DE102013201831A1 (de)
WO (1) WO2014121871A1 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113379293B (zh) * 2021-06-28 2023-04-18 成都飞机工业(集团)有限责任公司 一种批产飞机工程更改评估方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080270823A1 (en) * 2007-04-27 2008-10-30 International Business Machines Corporation Fast node failure detection via disk based last gasp mechanism
WO2011071490A1 (en) * 2009-12-08 2011-06-16 Hewlett-Packard Development Company, L.P. Managing errors in a data processing system

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE29623758U1 (de) * 1996-04-15 1999-08-12 Baumueller Anlagen Systemtech Fehlerdiagnose-System und Anordnung
US6845469B2 (en) * 2001-03-29 2005-01-18 International Business Machines Corporation Method for managing an uncorrectable, unrecoverable data error (UE) as the UE passes through a plurality of devices in a central electronics complex
US7103808B2 (en) * 2003-04-10 2006-09-05 International Business Machines Corporation Apparatus for reporting and isolating errors below a host bridge
US20040255186A1 (en) * 2003-05-27 2004-12-16 Lucent Technologies, Inc. Methods and apparatus for failure detection and recovery in redundant systems
US20070128895A1 (en) * 2003-11-17 2007-06-07 Dieter Kleyer Redundant automation system for controlling a techinical device, and method for operating such an automation system
US7200525B1 (en) * 2004-06-29 2007-04-03 Sun Microsystems, Inc. System and method for generating a data structure representative of a fault tree
US9956974B2 (en) * 2004-07-23 2018-05-01 General Electric Company Vehicle consist configuration control
US7346469B2 (en) * 2005-03-31 2008-03-18 General Electric Company System and method for sensor data validation
CA2626993A1 (en) * 2005-10-25 2007-05-03 The Trustees Of Columbia University In The City Of New York Methods, media and systems for detecting anomalous program executions
AT10073U9 (de) * 2008-01-14 2009-02-15 Avl List Gmbh Verfahren und vorrichtung zur analyse und bewertung von messdaten eines messsystems
CN101628628B (zh) * 2009-08-03 2013-05-15 北京航空航天大学 适用于航天器系统的自修正冗余切换机制及其验证方法
US8464102B2 (en) * 2010-12-23 2013-06-11 GM Global Technology Operations LLC Methods and systems for diagnosing hardware and software faults using time-stamped events
CN103547746B (zh) * 2011-03-03 2016-08-10 伊顿公司 用于施工设备中的控制电动液压系统的故障检测、隔离及重新配置系统
WO2012140601A1 (en) * 2011-04-13 2012-10-18 Bar-Ilan University Anomaly detection methods, devices and systems
US9352944B2 (en) * 2012-03-19 2016-05-31 Gray Manufacturing Company, Inc. Control and communication system for a wireless vehicle lift system
CN102663283B (zh) * 2012-03-20 2016-02-10 浪潮电子信息产业股份有限公司 一种动态隔离计算机系统的方法
JP6003350B2 (ja) * 2012-07-30 2016-10-05 富士通株式会社 監視装置、情報処理装置、及び監視方法
WO2014035385A1 (en) * 2012-08-29 2014-03-06 GM Global Technology Operations LLC Method and apparatus for on-board/off-board fault detection
CN102904760B (zh) * 2012-10-25 2015-04-01 苏州林华通信科技有限公司 通信机房综合监控系统

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080270823A1 (en) * 2007-04-27 2008-10-30 International Business Machines Corporation Fast node failure detection via disk based last gasp mechanism
WO2011071490A1 (en) * 2009-12-08 2011-06-16 Hewlett-Packard Development Company, L.P. Managing errors in a data processing system

Also Published As

Publication number Publication date
CN104956335A (zh) 2015-09-30
EP2954417A1 (de) 2015-12-16
US20160014000A1 (en) 2016-01-14
DE102013201831A1 (de) 2014-08-07
KR20150115898A (ko) 2015-10-14

Similar Documents

Publication Publication Date Title
EP3209996B1 (de) Verfahren und vorrichtung zur ausführung eines testvorgangs betreffend ein schienenfahrzeug
DE102011014557B4 (de) Verfahren zum Diagnostizieren von Ursachen von Fehlern in Fahrzeugsystemen
DE60019038T2 (de) Intelligente Fehlerverwaltung
EP1597643B1 (de) Vorrichtung und verfahren zur modellbasierten on-board-diagnose
EP1703350B1 (de) Diagnose eines Automatisierungssystems
WO2014138767A1 (de) Verfahren zur behandlung von fehlern in einem zentralen steuergerät sowie steuergerät
DE102011081477A1 (de) Stellwerksrechner
EP2927819A1 (de) Verfahren zur automatischen Verarbeitung einer Anzahl von Protokolldateien eines Automatisierungssystems
WO2014121871A1 (de) Verfahren und vorrichtung zum analysieren von ereignissen in einem system
DE102007010264B4 (de) Verfahren zum Betreiben eines ersten und eines zweiten Steuergeräts und Geräteanordnung mit dem ersten und dem zweiten Steuergerät
DE10307344B4 (de) Vorrichtung und Verfahren zur dezentralen On-Board-Diagnose für Kraftfahrzeuge
WO2022258412A1 (de) Fahrzeugdatenkommunikationssystem zur übermittlung von fahrzeugdaten
EP3557356A1 (de) Verfahren und automatisierungssystem zum sicheren automatischen betrieb einer maschine oder eines fahrzeugs
DE102020209228A1 (de) Verfahren zum Überwachen wenigstens einer Recheneinheit
DE102017201621A1 (de) Integrierte Schaltung für ein Steuergerät eines Kraftfahrzeugs, Verfahren zur Herstellung einer integrierten Schaltung
WO2015180932A1 (de) Verfahren zum rechnergestützten testen eines technischen systems
EP3132322A1 (de) Verfahren zur diagnose eines kraftfahrzeugsystems, diagnosegerät für ein kraftfahrzeugsystem, steuergerät für ein kraftfahrzeugsystem und kraftfahrzeug
DE102020108987A1 (de) Verfahren, System, Computerprogramm und Speichermedium zum fehlertoleranten Betreiben eines Fahrzeugs
DE102018222659A1 (de) Verfahren zur Diagnose einer Sicherheitskomponente in einem Kraftfahrzeug
WO2018050491A1 (de) Überwachung von sicherheitsrelevanten funktionen durch eine nicht sichere recheneinheit
WO2011113405A1 (de) Steuergeräteanordnung
DE102022001254B4 (de) Verfahren zur Durchführung einer Funktionsdiagnose zumindest einer Fahrzeugkomponente und Diagnosesystem
DE102022111493A1 (de) System zur Datenübertragung insbesondere ein Fahrzeugdatenkommunikationssystem zur Übermittlung von Fahrzeugdaten
EP3779797A1 (de) Verfahren zur rechnergestützten vorausschauenden instandhaltung eines technischen systems
DE102015223579A1 (de) Verfahren und Vorrichtung zum Überprüfen eines Komponentenfehlerbaums

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 13810931

Country of ref document: EP

Kind code of ref document: A1

WWE Wipo information: entry into national phase

Ref document number: 2013810931

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 14765776

Country of ref document: US

NENP Non-entry into the national phase

Ref country code: DE

ENP Entry into the national phase

Ref document number: 20157024080

Country of ref document: KR

Kind code of ref document: A