DE102009037721A1 - Vorrichtungen und Verfahren zum Identifizieren von äußeren Einflüssen auf zumindest eine Verarbeitungseinheit eines eingebetteten Systems - Google Patents

Vorrichtungen und Verfahren zum Identifizieren von äußeren Einflüssen auf zumindest eine Verarbeitungseinheit eines eingebetteten Systems Download PDF

Info

Publication number
DE102009037721A1
DE102009037721A1 DE102009037721A DE102009037721A DE102009037721A1 DE 102009037721 A1 DE102009037721 A1 DE 102009037721A1 DE 102009037721 A DE102009037721 A DE 102009037721A DE 102009037721 A DE102009037721 A DE 102009037721A DE 102009037721 A1 DE102009037721 A1 DE 102009037721A1
Authority
DE
Germany
Prior art keywords
data
arrangement
sensor circuit
processing unit
external influences
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE102009037721A
Other languages
English (en)
Inventor
Ulrich Hahn
Martin Rothfelder
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE102009037721A priority Critical patent/DE102009037721A1/de
Priority to PCT/EP2010/060281 priority patent/WO2011020661A1/de
Priority to US13/391,164 priority patent/US20120151281A1/en
Priority to EP10734972A priority patent/EP2467780A1/de
Priority to CN2010800365551A priority patent/CN102473124A/zh
Publication of DE102009037721A1 publication Critical patent/DE102009037721A1/de
Ceased legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/36Preventing errors by testing or debugging software
    • G06F11/3668Software testing
    • G06F11/3672Test management
    • G06F11/3684Test management for test design, e.g. generating new test cases
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/36Preventing errors by testing or debugging software
    • G06F11/3668Software testing
    • G06F11/3672Test management
    • G06F11/3692Test management for test results analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Arrangements For Transmission Of Measured Signals (AREA)

Abstract

Die vorliegende Erfindung betrifft das Identifizieren von äußeren Einflüssen auf zumindest eine Verarbeitungseinheit einer Menge von Verarbeitungseinheiten in einem eingebetteten System. Dabei weist eine dafür konfigurierte Anordnung auf: einen Datengenerator, der konfiguriert ist, Daten zu generieren, die zum Identifizieren von äußeren Einflüssen auf zumindest eine Verarbeitungseinheit der Menge von Verarbeitungseinheiten ausgestaltet sind; eine Sensorschaltung, die eine Menge an elektronischen Elementen aufweist, wobei die elektronischen Elemente zum Speichern von den Daten konfiguriert sind, wobei die Sensorschaltung konfiguriert ist, die Daten an einen Datenprüfer durch ein sequentielles Zwischenspeichern der Daten in den elektronischen Elementen zu übermitteln; den Datenprüfer, der konfiguriert ist, die Korrektheit der Daten zu prüfen. Durch die vorliegende Erfindung wird ein verbessertes Identifizieren von äußeren Einflüssen auf zumindest eine Verarbeitungseinheit eines eingebetteten Systems ermöglicht. Sie ist im Bezug auf eingebettete Systeme anwendbar.

Description

  • Die vorliegende Erfindung betrifft das Identifizieren von äußeren Einflüssen auf zumindest eine Verarbeitungseinheit eines eingebetteten Systems. Insbesondere betrifft die vorliegende Erfindung eine Anordnung, ein Verfahren und eine Dateneinheit, die zum Identifizieren von äußeren Einflüssen auf zumindest eine Verarbeitungseinheit eines eingebetteten Systems konfiguriert oder ausgestaltet sind. Ferner bezieht sich die vorliegende Erfindung auf ein eingebettetes System, das die Anordnung zum Identifizieren von äußeren Einflüssen auf zumindest eine Verarbeitungseinheit des eingebetteten Systems aufweist.
  • Beim Ausgestalten eingebetteter Systeme werden eine, zwei oder mehr Verarbeitungseinheiten oder Komponenten (z. B. Kanäle, Hauptprozessoren in Mehrprozessor-Ausgestaltungen etc.) auf einem Chip platziert. Die Verarbeitungseinheiten oder Komponenten sind dabei Einheiten oder Komponenten eines eingebetteten Systems. Um ein sicheres und/oder zuverlässiges Funktionieren und/oder Operieren solcher eingebetteten Systeme sicherzustellen, werden die Ergebnisse der Verarbeitungseinheiten oder Komponenten eines eingebetteten Systems durch entsprechende sicherheitsrelevante Steuerungsvorrichtungen miteinander verglichen, um in zumindest einer der Verarbeitungseinheiten oder Komponenten möglicherweise aufgetretene Fehler zu offenbaren oder aufzudecken. Gegebenenfalls können die jeweiligen sicherheitsrelevanten Steuerungsvorrichtungen konfiguriert sein, beim Auftreten von Fehlern zumindest eine entsprechende vorbestimmte Reaktion einzuleiten (z. B. Herbeiführen eines sicheren Systemzustands).
  • Es können aber nicht nur interne Verarbeitungsfehler auftreten. In einem eingebetteten System können Ausfälle von Verarbeitungseinheiten oder Komponenten und/oder Fehler in Verarbeitungseinheiten oder Komponenten negative Auswirkungen auf zumindest eine weitere Verarbeitungseinheit oder Komponente in dem eingebetteten System haben. Ferner können auch negative Einflüsse von außerhalb (z. B. Strahlung, erhöhte Temperatur, mechanische Effekte, Einflüsse aus der Spannungsversorgung usw.) in einem eingebetteten System auftreten und negative Auswirkungen auf zumindest eine Verarbeitungseinheit oder Komponente des eingebetteten Systems haben. Im Nachfolgenden werden derartige Ausfälle und/oder Fehler einer Verarbeitungseinheit oder Komponente und/oder negative Einflüsse von außerhalb allgemein als ”externe Einflüsse” oder als ”äußere Einflüsse” bezeichnet. Solche ”externen Einflüsse” oder ”äußeren Einflüsse” weisen physikalischer Effekte auf, durch die negative Auswirkungen auf zumindest eine weitere Verarbeitungseinheit oder Komponente entstehen oder entstehen können. Solche Ausfälle von Verarbeitungseinheiten oder Komponenten und/oder Fehler in Verarbeitungseinheiten oder Komponenten weisen physikalische Effekte auf, die zumindest in einem bestimmten Umkreis um die ausgefallenen oder fehlerhaften Verarbeitungseinheiten oder Komponenten wirksam sind und sich negativ auf zumindest eine weitere, in diesem Umkreis platzierte und bis dahin nicht ausgefallene und nicht fehlerhafte Verarbeitungseinheit oder Komponente auswirken oder auswirken können. Die allgemeinen negativen Einflüsse von außerhalb treten in der Regel in einem Bereich eines eingebetteten Systems auf und können in einem bestimmten Umkreis um diesen Bereich wirksam sein. Die Verarbeitungseinheiten oder Komponenten eines eingebetteten Systems, die sich in diesem Bereich und in dem bestimmten Umkreis befinden, können negative Auswirkungen durch diese negativen Einflüsse von außerhalb erfahren.
  • Derartige externe Einflüsse können zu fehlerhaftem Verhalten von betroffenen Verarbeitungseinheiten oder Komponenten in dem jeweiligen eingebetteten System führen. Im schlimmsten Fall können derartige externe Einflüsse auch Ausfälle zumindest einer betroffenen Verarbeitungseinheit als Auswirkungen umfassen. Obwohl in einem eingebetteten System der oben genannte Vergleich der Ergebnisse der Verarbeitungseinheiten oder Komponenten des eingebetteten Systems durch zumindest eine entsprechende sicherheitsgerichtete Steuerungsvorrichtung durchgeführt wird, können Ausfälle von und/oder Fehler in Verarbeitungseinheiten oder Komponenten, die durch derartige externe Einflüsse ausgelöst werden, oft nicht festgestellt oder aufgefunden werden. Obwohl durch einen externen Einfluss ein Ausfall oder ein fehlerhaftes Verhalten zumindest einer Verarbeitungseinheit oder Komponente des eingebetteten Systems vorliegt, kann es vorkommen, dass eine für diese Situation vorgesehene oder definierte Reaktion auf Fehler nicht ausgelöst wird. D. h. das eingebettete System wird ohne ein heilendes Eingreifen und trotz Fehler und/oder Ausfälle Weiterbetrieben.
  • Solche externen Einflüsse umfassen auch den „Fehlertransport” von internen Fehlern und/oder Ausfällen von einer ausgefallenen oder fehlerhaften Verarbeitungseinheit oder Komponente zu einer anderen, noch nicht ausgefallenen und noch nicht fehlerhaften Verarbeitungseinheit oder Komponente in einem eingebetteten System. So zum Beispiel kann ein Hotspot z. B. nach einen Kurzschluss in einem Kanal durch die Wärmekopplung über den Halbleiter oder andere Komponenten auch einen anderen Kanal beeinträchtigen. Ferner kann beispielsweise ein Stuck-at-Fehler an einem Signal, das von einem Kanal zum anderen transportiert wird, Schaltungsteile in einem anderen Kernprozessor beschädigen (z. B. durch Überlastung). Des Weiteren kann sich ein Hotspot in einem Ausgangstreiber eines Kernprozessors über einen off-chip-Kurzschluss auf einen weiteren Kernprozessor negativ auswirken.
  • Bekannte Vorgehensweisen zum Identifizieren solcher externen oder äußeren Einflüsse auf eine Verarbeitungseinheit oder Komponente in einem eingebetteten System weisen bislang eine Vielzahl an Nachteilen auf. Ihre Umsetzung ist oft kostspielig und/oder aufwendig. Ferner leiden die bekannten Vorgehensweisen zum Identifizieren solcher externen oder äußeren Einflüsse oft an mangelnder oder unzureichender Unabhängigkeit, d. h. an mangelnder oder unzureichender Strategie zur Erhöhung der Ausfallsicherheit. Des Weiteren weisen die bisherigen Vorgehensweisen nur eine mangelnde oder gar unzureichende sicherheitstechnische Wirkung in einem eingebetteten System usw.
  • Somit besteht nach wie vor Bedarf an einer verbesserten Methodik zum Identifizieren oder Feststellen solcher externen oder äußeren Einflüsse auf Verarbeitungseinheiten oder Komponenten von eingebetteten Systemen.
  • Die Aufgabe der vorliegenden Erfindung besteht darin, ein verbessertes Identifizieren, Bestimmen oder Ermitteln von externen bzw. äußeren Einflüssen auf zumindest eine Verarbeitungseinheit oder Komponente eines eingebetteten Systems bereitzustellen.
  • Die Aufgabe wird gelöst durch eine Anordnung zum Identifizieren von äußeren Einflüssen mit den Merkmalen des Anspruchs 1, durch ein eingebettetes System mit den Merkmalen des Anspruchs 18, durch ein Verfahren mit den Merkmalen des Anspruchs 19, und/oder durch eine Dateneinheit mit den Merkmalen des Anspruchs 20.
  • Die Unteransprüche geben weitere Ausgestaltungen der vorliegenden Erfindung an.
  • Die oben genannte Aufgabe wird durch eine Anordnung zum Identifizieren von äußeren Einflüssen auf zumindest eine Verarbeitungseinheit einer Menge von Verarbeitungseinheiten in einem eingebetteten System gelöst, wobei die Anordnung aufweist:
    • – einen Datengenerator, der konfiguriert ist, Daten zu generieren, die zum Identifizieren von äußeren Einflüssen auf zumindest eine Verarbeitungseinheit der Menge von Verarbeitungseinheiten ausgestaltet sind;
    • – eine Sensorschaltung, die eine Menge an elektronischen Elementen aufweist, wobei die elektronischen Elemente zum Speichern von den Daten konfiguriert sind, wobei die Sensorschaltung konfiguriert ist, die Daten an einen Datenprüfer durch ein sequentielles Zwischenspeichern der Daten in den elektronischen Elementen zu übermitteln;
    • – den Datenprüfer, der konfiguriert ist, die Korrektheit der Daten zu prüfen.
  • Auf diese Weise erlaubt die vorliegende Erfindung ein zuverlässiges und sicheres Identifizieren von äußeren Einflüssen in einem eingebetteten System, was dabei auf eine effiziente und kostensparende Weise implementiert werden kann.
  • Gemäß einem Ausführungsbeispiel der vorliegenden Erfindung sind die elektronischen Elemente an den Verarbeitungseinheiten der Menge von Verarbeitungseinheiten angeordnet. Somit können die äußeren Einflüsse auf die Verarbeitungseinheiten identifiziert werden, wenn diese tatsächlich oder möglicherweise negative Auswirkungen auf die Verarbeitungseinheiten haben können.
  • Gemäß einem Ausführungsbeispiel der vorliegenden Erfindung sind die elektronischen Elemente der Menge der elektronischen Elemente sequentiell angeordnet. Dadurch kann ein geordnetes und übersichtliches Identifizieren von äußeren Einflüssen durchgeführt werden.
  • Gemäß einem Ausführungsbeispiel der vorliegenden Erfindung weisen die Daten ein Datenmuster auf, das zum Identifizieren von äußeren Einflüssen auf zumindest eine Verarbeitungseinheit der Menge von Verarbeitungseinheiten ausgestaltet ist. Dadurch können beim Identifizieren von äußeren Einflüssen bekannte, geprüfte und/oder bewährte Mustererkennungsverfahren verwendet werden, um die Korrektheit der durch die Sensorschaltung transportierten Daten zu prüfen. Dadurch wird eine effektive Vorgehensweise ermöglicht, bei der wirksame und auf die jeweilige Situation abgestimmte Mustererkennungsverfahren eingesetzt werden können.
  • Gemäß einem Ausführungsbeispiel der vorliegenden Erfindung weisen die Daten einen Zeitstempel auf, wobei der Zeitstempel anzeigt, zu welcher Zeit die Daten durch den Datengenerator zum Übermitteln an die Sensorschaltung generiert wurden. Dadurch kann ein weiterer Faktor zum Überprüfen der Korrektheit der durch die Sensorschaltung transportierten Daten herangezogen werden.
  • Gemäß einem Ausführungsbeispiel der vorliegenden Erfindung weisen die Daten einen Sicherheitsanhang auf, wobei der Sicherheitsanhang derart konfiguriert ist, dass das Prüfen der Korrektheit der Daten durch den Datenprüfer unter Verwendung des Sicherheitsanhangs ausgeführt wird. Dadurch wird ein sicheres Feststellen von äußeren Einflüssen ermöglicht.
  • Gemäß einem Ausführungsbeispiel der vorliegenden Erfindung ist der Datengenerator konfiguriert, den Sicherheitsanhang unter Verwendung des Datenmusters zu generieren.
  • Gemäß einem Ausführungsbeispiel der vorliegenden Erfindung ist der Datengenerator konfiguriert, den Sicherheitsanhang unter Verwendung des Datenmusters und des Zeitstempels zu generieren.
  • Gemäß einem Ausführungsbeispiel der vorliegenden Erfindung weist die Anordnung eine Spannungsversorgung der Sensorschaltung zum Versorgen der Sensorschaltung mit Spannung auf.
  • Dabei wird gemäß einem weiteren Ausführungsbeispiel der vorliegenden Erfindung die Empfindlichkeit der Sensorschaltung im Hinblick auf die äußeren Einflüsse durch eine Wahl eines Pegels einer Spannung geregelt, die von der Spannungsversorgung an die Sensorschaltung bereitgestellt wird. Dadurch wird die Möglichkeit geboten, die Sensorschaltung nach individuellen Vorstellungen und/oder gemäß aktuellen Gegebenheiten einzustellen.
  • Gemäß einem Ausführungsbeispiel der vorliegenden Erfindung weist die Anordnung einen Sender auf, der konfiguriert ist, die Daten von dem Datengenerator zu empfangen und zyklisch an die Sensorschaltung zu übermitteln.
  • Gemäß einem Ausführungsbeispiel der vorliegenden Erfindung ist der Datengenerator konfiguriert, die Daten zyklisch zu generieren. Dadurch wird ein kontinuierliches Prüfen eines eingebetteten Systems ermöglicht.
  • Gemäß einem Ausführungsbeispiel der vorliegenden Erfindung weist die Anordnung einen Empfänger auf, der konfiguriert ist, die Daten von der Sensorschaltung zu empfangen und an den Datenprüfer bereitzustellen.
  • Gemäß einem Ausführungsbeispiel der vorliegenden Erfindung weist die Anordnung eine beobachtende Schaltung auf, die konfiguriert ist, Signale, die von einer ersten Verarbeitungseinheit der Menge von Verarbeitungseinheiten an eine zweite Verarbeitungseinheit der Menge von Verarbeitungseinheiten geleitet werden, im Bezug auf ihre Fehlerfreiheit zu prüfen. Dadurch wird durch die vorliegende Erfindung ein zusätzlicher Mechanismus zum Identifizieren von äußeren Einflüssen ermöglicht.
  • Gemäß einem Ausführungsbeispiel der vorliegenden Erfindung ist die beobachtende Schaltung konfiguriert, Eingangssignale, Zwischensignale und/oder Ausgangssignale der ersten Verarbeitungseinheit zu prüfen, wobei Eingangssignale, Zwischensignale und/oder Ausgangssignale derartige Signale sind, aus denen die Signale entstehen, die von der ersten Verarbeitungseinheit an die zweite Verarbeitungseinheit geleitet werden. Auf diese Weise wird ein flexibles und zugleich genaues Prüfen der Funktionsfähigkeit der Verarbeitungseinheiten ermöglicht.
  • Gemäß einem Ausführungsbeispiel der vorliegenden Erfindung ist der Datenprüfer konfiguriert, die von dem Datengenerator generierten Daten mit den Daten zu vergleichen, die der Datenprüfer von der Sensorschaltung empfangen hat, wobei die von dem Datengenerator generierten Daten den Daten entsprechen, die der Datenprüfer von der Sensorschaltung empfangen hat.
  • Gemäß einem Ausführungsbeispiel der vorliegenden Erfindung weist die Menge von Verarbeitungseinheiten zumindest eines der folgenden als eine Verarbeitungseinheit auf: einen Kanal und/oder einen Hauptprozessor.
  • Die Aufgabe der vorliegenden Erfindung wird durch ein eingebettetes System gelöst, das eine Anordnung zum Identifizieren von äußeren Einflüssen auf zumindest eine Verarbeitungseinheit einer Menge von Verarbeitungseinheiten in dem eingebetteten System aufweist, wobei die Anordnung der oben eingeführten und nachfolgend genauer erläuterten Anordnung entspricht.
  • Die Aufgabe der vorliegenden Erfindung wird auch durch ein Verfahren zum Identifizieren von äußeren Einflüssen auf zumindest eine Verarbeitungseinheit einer Menge von Verarbeitungseinheiten in einem eingebetteten System gelöst, wobei das Verfahren aufweist:
    • – Generieren von Daten, die zum Identifizieren von äußeren Einflüssen auf zumindest eine Verarbeitungseinheit der Menge von Verarbeitungseinheiten ausgestaltet sind;
    • – Übermitteln von den Daten an einen Datenprüfer durch eine Sensorschaltung, die eine Menge an elektronischen Elementen aufweist, die zum Speichern von den Daten konfiguriert sind, wobei die Sensorschaltung die Daten dem Datenprüfer durch ein sequentielles Zwischenspeichern der Daten in den elektronischen Elementen übermittelt;
    • – Prüfen der Korrektheit der Daten durch den Datenprüfer.
  • Dabei ist unter dem Prüfen der Korrektheit der Daten ein Prüfen der Übereinstimmung der generierten Daten mit den durch die Sensorschaltung übermittelten Daten zu verstehen. D. h. es wird geprüft, ob die Daten während des Übermittelns durch die Sensorschaltung verändert oder verfälscht wurden. Wurden die Daten verändert oder verfälscht, so ist deren Korrektheit zu verneinen. In diesem Fall liegt ein externer oder äußerer Einfluss vor. Durch Feststellen der Inkorrektheit oder Verfälschtheit der Daten wird gemäß der vorliegenden Erfindung der externe oder äußere Einfluss durch das Verfahren identifiziert. Stimmen die generierten Daten mit den durch die Sensorschaltung übermittelten Daten überein, so sind die Daten korrekt und es liegt kein externer oder äußerer Einfluss vor.
  • Gemäß einem Ausführungsbeispiel der vorliegenden Erfindung wird das Verfahren von der oben eingeführten und nachfolgend genauer erläuterten Anordnung oder ihren Komponenten respektive ausgeführt. Somit ist das Verfahren konfiguriert, die Aktionen der Anordnung oder ihrer Komponenten respektive auszuführen.
  • Ferner wird die Aufgabe der vorliegenden Erfindung durch eine Dateneinheit gelöst, die:
    • – zum Identifizieren von äußeren Einflüssen auf zumindest eine Verarbeitungseinheit einer Menge von Verarbeitungseinheiten in einem eingebetteten System ausgestaltet ist;
    • – zum Übermitteln durch eine Sensorschaltung an einen Datenprüfer zum Identifizieren von äußeren Einflüssen vorgesehen oder ausgestaltet ist, wobei die Sensorschaltung eine Menge an elektronischen Elementen aufweist, die zum Speichern von Daten konfiguriert sind, und wobei die Sensorschaltung die Dateneinheit dem Datenprüfer durch ein sequentielles Zwischenspeichern der Dateneinheit in den elektronischen Elementen der Sensorschaltung übermittelt; und
    • – zum Prüfen ihrer Korrektheit durch den Datenprüfer ausgestaltet ist.
  • Dabei entspricht die Dateneinheit den Daten, die im Rahmen der oben eingeführten und nachfolgend genauer erläuterten Anordnung generiert, durch eine Sensorschaltung transportiert und anschließend im Hinblick auf ihre Korrektheit geprüft werden.
  • Gemäß einem Ausführungsbeispiel der vorliegenden Erfindung weist die Dateneinheit ein Datenmuster auf, das zum Identifizieren von äußeren Einflüssen auf zumindest eine Verarbeitungseinheit der Menge von Verarbeitungseinheiten ausgestaltet ist.
  • Gemäß einem Ausführungsbeispiel der vorliegenden Erfindung weist die Dateneinheit einen Sicherheitsanhang auf; und der Sicherheitsanhang ist derart konfiguriert, dass das Prüfen der Korrektheit der Dateneinheit durch den Datenprüfer unter Verwendung des Sicherheitsanhangs ausgeführt wird.
  • Gemäß einem Ausführungsbeispiel der vorliegenden Erfindung ist der Sicherheitsanhang unter Verwendung des Datenmusters generiert.
  • Gemäß einem Ausführungsbeispiel der vorliegenden Erfindung weist die Dateneinheit einen Zeitstempel auf, der anzeigt, zu welcher Zeit die Dateneinheit generiert wurde.
  • Gemäß einem Ausführungsbeispiel der vorliegenden Erfindung ist der Sicherheitsanhang unter Verwendung des Datenmusters und des Zeitstempels generiert.
  • Auf diese Weise wird durch die vorliegende Erfindung ein zuverlässiges, sicheres, flexibles, effektives und effizientes Identifizieren von äußeren Einflüssen in einem eingebetteten System bereitgestellt. Dadurch kann die Sicherheit der eingebetteten Systeme und ihrer Verarbeitungseinheiten oder Komponenten deutlich erhöht werden.
  • Im Folgenden werden Ausführungsformen der vorliegenden Erfindung detailliert mit Bezug auf die unten beigefügten Figuren beschrieben.
  • Es zeigen:
  • 1 eine Anordnung zum Identifizieren von äußeren Einflüssen auf zumindest eine Verarbeitungseinheit oder Komponente einer Menge von Verarbeitungseinheiten oder Komponenten in einem eingebetteten System gemäß einem Ausführungsbeispiel der vorliegenden Erfindung;
  • 2 eine weitere Anordnung zum Identifizieren von äußeren Einflüssen auf zumindest eine Verarbeitungseinheit oder Komponente einer Menge von Verarbeitungseinheiten oder Komponenten in einem eingebetteten System gemäß einem weiteren Ausführungsbeispiel der vorliegenden Erfindung;
  • 3 eine Anordnung zum Identifizieren von äußeren Einflüssen auf zumindest eine Verarbeitungseinheit oder Komponente einer Menge von Verarbeitungseinheiten oder Komponenten in einem eingebetteten System gemäß einem weiteren Ausführungsbeispiel der vorliegenden Erfindung;
  • 4 eine weitere Anordnung zum Identifizieren von äußeren Einflüssen auf zumindest eine Verarbeitungseinheit oder Komponente einer Menge von Verarbeitungseinheiten oder Komponenten in einem eingebetteten System gemäß einem weiteren Ausführungsbeispiel der vorliegenden Erfindung;
  • 5a eine Dateneinheit, die gemäß einem Ausführungsbeispiel der vorliegenden Erfindung zum Identifizieren von äußeren Einflüssen auf zumindest eine Verarbeitungseinheit oder Komponente einer Menge von Verarbeitungseinheiten oder Komponenten in einem eingebetteten System ausgestaltet ist;
  • 5b eine Dateneinheit, die gemäß einem weiteren Ausführungsbeispiel der vorliegenden Erfindung zum Identifizieren von äußeren Einflüssen auf zumindest eine Verarbeitungseinheit oder Komponente einer Menge von Verarbeitungseinheiten oder Komponenten in einem eingebetteten System ausgestaltet ist; und
  • 5c eine weitere Dateneinheit, die gemäß einem Ausführungsbeispiel der vorliegenden Erfindung zum Identifizieren von äußeren Einflüssen auf zumindest eine Verarbeitungseinheit oder Komponente einer Menge von Verarbeitungseinheiten oder Komponenten in einem eingebetteten System ausgestaltet ist.
  • 1 veranschaulicht eine Anordnung 1 zum Identifizieren von äußeren Einflüssen auf zumindest eine Verarbeitungseinheit 121, 122 einer Menge von Verarbeitungseinheiten 121, 122 in einem eingebetteten System gemäß einem Ausführungsbeispiel der vorliegenden Erfindung.
  • Gemäß dem vorliegenden Ausführungsbeispiel ist in einem eingebetteten System eine zweikanalige Schaltung zum Übertragen von Daten über die Kanäle 121 und 122 als Verarbeitungseinheiten 121, 122 des eingebetteten Systems beispielhaft gegeben. Eingangsdaten 16 gehen in einen ersten Kanal 121 ein und werden durch den ersten Kanal 121 bearbeitet und/oder transportiert. Der abgeschlossene Transport der Daten oder die Ergebnisse der Verarbeitung der Daten 16 wird in 1 durch die Ausgangsdaten 17 des ersten Kanals 121 angezeigt. Eingangsdaten 18 gehen in den zweiten Kanal 122 ein und werden durch diesen zweiten Kanal 122 bearbeitet und/oder transportiert. Der abgeschlossene Transport der Daten oder die Ergebnisse der Verarbeitung dieser Daten 18 wird in 1 durch die Ausgangsdaten 19 des zweiten Kanals 122 angezeigt. Die beiden Kanäle 121, 122 sind gemäß dem vorliegenden Ausführungsbeispiel auf einem Chip 12 platziert.
  • Hier ist anzumerken, dass die vorliegende Erfindung nicht auf solche Architekturen von eingebetteten Systemen beschränkt ist, die nur zwei Kanäle als Verarbeitungseinheiten auf einem Chip aufweisen. Die vorliegende Erfindung ist auf beliebige andere Architekturen mit entsprechender Ausgestaltung anwendbar, die Kanäle einsetzt, die möglichst unabhängig von einander sein sollen. Solche Architekturen können beispielsweise Dual-channel-Cross-Check; zweikanalig mit einem externen Vergleicher, oder 2-aus-3-Architekturen sein. Die Verarbeitungseinheiten wie z. B. Kanäle können dabei auch auf mehr als auf einem Chip platziert sein. Ferner kann das eingebettete System zumindest eine Verarbeitungseinheit wie z. B. einen Kanal aufweisen.
  • Tritt z. B. im zweiten Kanal 122 ein Fehler 1222 auf oder kommt es zu Umständen (z. B. erhöhter Temperatur usw.), die einen Fehler 1222 im Kanal 122 verursachen, kann dieser Fehler 1222 Auswirkungen auch auf den ersten Kanal 121 haben. Die Reichweite derartiger Auswirkungen ist in 1 durch die gestrichelten kurvenartig geformten Linien beispielhaft dargestellt. Dabei strahlen die Auswirkungen, die von dem Fehler 1222 verursacht wurden, von dem Auftritts-Ort oder -Bereich des Fehlers 1222 auch in die Richtung des ersten Kanals 121 aus. Gemäß dem vorliegenden Ausführungsbeispiel liegt der erste Kanal 121 in einem Bereich des eingebetteten Systems, der von den Auswirkungen des Fehlers 1222 betroffen ist oder sein könnte. D. h. durch den Fehler 1222 können Fehler in dem ersten Kanal 121 verursacht werden. Im schlimmsten Fall kann der Fehler 1222 einen Ausfall des ersten Kanals 121 bewirken.
  • Um den in der 1 beispielhaft dargestellten Einfluss des Fehlers 1222 auf den ersten Kanal 121 rechtzeitig zu Identifizieren (d. h. vor dem Auftreten von Fehlern im ersten Kanal 121 und vor dem Ausfall des ersten Kanals 121) und somit ein sicheres Funktionieren des eingebetteten Systems zu gewährleisten, wird gemäß dem vorliegenden Ausführungsbeispiel eine Sensorschaltung 123 eingesetzt. Die Sensorschaltung 123 weist eine Menge an elektronischen Elementen 123_1, 123_2, ..., 123_n auf, die zum Speichern oder Zwischenspeichern von Daten ausgestaltet sind. Insbesondere sind die elektronischen Elemente 123_1, 123_2, ..., 123_n ausgestaltet, einen Transport von Daten durch ein sequentielles Speichern oder Zwischenspeichern dieser Daten durchzuführen. D. h. die zu transportierenden Daten werden in einer vorbestimmten Reihenfolge von einem ersten zum Transport ausgestalteten elektronischen Element 1231, 1232, ..., 123_n bis zu einem letzten zum Transport ausgestalteten elektronischen Element 123_1, 123_2, ..., 123_n weitergereicht, wobei dasjenige elektronische Element 123_1, 123_2, ..., 123_n, das die zu transportierenden Daten aktuell aufweist, diese Daten für eine vorbestimmte Zeit zwischenspeichert, bevor es die Daten an ein weiteres elektronisches Element 123_1, 123_2, ..., 123_n weiterreicht.
  • Gemäß dem vorliegenden Ausführungsbeispiel werden die Daten von dem elektronischen Element 123_1 über das elektronische Element 123_2 bis zum elektronischen Element 123_n weitergereicht und zwischengespeichert. D. h. zunächst empfängt das erste elektronische Element 123_1 der Transportreihe 123_1, 123_2, ..., 123_n die zu transportierenden Daten und zwischenspeichert diese, dann übermittelt das erste elektronische Element 123_1 die Daten an ein weiteres elektronisches Element 123_2, das die Daten zwischenspeichert und nach einer vorbestimmten Zeit an ein nächstes elektronische Element der Transportreihe 123_1, 123_2, ..., 123_n reicht. Dieses wird so lange durchgeführt, bis das letzte elektronische Element 123_n der Transportreihe 123_1, 123_2, ..., 123_n erreicht ist. Das letzte elektronische Element 123_n empfängt die zu transportierenden Daten, zwischenspeichert diese und übermittelt dann die Daten mittels eines Empfängers 13 an einen Datenprüfer 14, der die Korrektheit der durch die Transportreihe 123_1, 123_2, ..., 123_n transportierten oder gereichten Daten nach dem Ausführen der vielen Schritte des Zwischenspeicherns in der Sensorschaltung 123 überprüft.
  • Es ist anzumerken, dass die elektronischen Elemente der Transportreihe 123_1, 123_2, ..., 123_n zwar eine vorbestimmte Reihenfolge aufweisen, wenn es um das Transportieren und Zwischenspeichern von Daten geht, die elektronischen Elemente der Transportreihe 123_1, 123_2, ..., 123_n müssen aber nicht zwingend physikalisch sequentiell angeordnet sein, so dass die Reihenfolge des Transportierens und Zwischenspeicherns der Reihenfolge deren physikalischen Anordnung entspricht. Die vorliegende Erfindung erlaubt verschiedene entsprechende Platzierungen der elektronischen Elemente einer Transportreihe 123_1, 123_2, ..., 123_n und verschiedenartige Sortierung der elektronischen Elemente im Hinblick auf ihre Reihenfolge.
  • Gemäß dem vorliegenden Ausführungsbeispiel ist die Sensorschaltung 123 zwischen den zwei Kanälen 121, 122 platziert. Somit kann sie die von einem Kanal 121, 122 ausgehenden Einflüsse auf das andere Kanal 121, 122 besser identifizieren. Die Sensitivität der Sensorschaltung 123 kann beispielsweise durch ein hinreichend dichtes Platzieren der elektronischen Elemente 123_1, 123_2, ..., 123_n an einander erreicht werden. D. h. je dichter die elektronischen Elemente 123_1, 123_2, ..., 123_n an einander platziert sind, desto besser kann die Sensorschaltung 123 einen negativen äußeren Einfluss auf einen der Kanäle 121, 122 identifizieren oder feststellen. Tritt ein solcher negativer äußerer Einfluss auf, so wirkt sich dieses auf den Transport und auf das Zwischenspeichern der Daten in der Sensorschaltung 123 aus. Dabei werden die jeweiligen Daten während des Transports und des Zwischenspeicherns in der Sensorschaltung 123 verändert.
  • Gemäß dem vorliegenden Ausführungsbeispiel werden die Daten von einem Datengenerator 10 generiert oder erstellt. Der Datengenerator 10 kann die Daten zyklisch erstellen. Dieses kann z. B. in beliebigen, zufälligen oder vorbestimmten Zeitabständen erfolgen. Der Datengenerator 10 generiert die Daten derart, dass sie zum Identifizieren von äußeren Einflüssen ausgestaltet sind. Mögliche Ausgestaltungsformen der Daten, die von dem Datengenerator 10 unterstützt werden, werden unten im Bezug auf 5a bis 5c beispielhaft erläutert.
  • Gemäß dem vorliegenden Ausführungsbeispiel übermittelt der Datengenerator 10 die generierten Daten, die zum Identifizieren von äußeren Einflüssen ausgestaltet sind, an einen Sender 11. Der Sender 11 übermittelt dann die Daten an die Sensorschaltung 123 zum Transportieren und Zwischenspeichern der Daten in der Sensorschaltung 123. Der Sender 11 kann die Daten z. B. an das erste elektronische Element 123_1 der Sensorschaltung 123 übermitteln. Ferner kann der Sender 11 ausgestaltet sein, die Daten zyklisch an die Sensorschaltung 123 zu senden oder zu übermitteln. Dieses kann z. B. in beliebigen, zufälligen oder vorbestimmten Zeitabständen erfolgen. Ferner kann das Senden der Daten durch den Sender 11 in Abstimmung mit dem Datengenerator 10 erfolgen.
  • Werden die Daten von dem Datengenerator 10 zyklisch erstellt und von dem Sender 11 an die Sensorschaltung 123 zyklisch gesendet, so ist die Sensorschaltung 123 ausgestaltet, diese Daten zyklisch zu übertragen oder zu transportieren. Dabei werden die Datenzyklisch zwischengespeichert, wobei das Zwischenspeichern und das Transportieren durch die Sensorschaltung 123 jeder der zyklisch oder fortlaufend generierten Dateneinheit so wie oben erläutert durchgeführt wird.
  • Insbesondere werden die fortlaufend oder zyklisch generierten Daten von dem elektronischen Element 123_1 fortlaufend über die nächsten elektronischen Elemente 123_2, ..., 123n-1 bis zu dem letzten elektronischen Element 123_n der Transportreihe 123_1, 123_2, ..., 123_n weitergereicht und zwischengespeichert. Sobald eine fortlaufend oder zyklisch generierte Dateneinheit aus einem elektronischen Element 123_k im nachfolgenden elektronischen Element 123_k+1 (wobei 1 ≤ k < n) gespeichert worden sind, wird die nächste fortlaufend oder zyklisch generierte Dateneinheit in das elektronische Element 123_k gespeichert. Wie oben dargelegt wird dieses für eine fortlaufend oder zyklisch generierte Dateneinheit so lange durchgeführt, bis sie das im letzte elektronische Element 123_n der Transportreihe 123_1, 123_2, ..., 123_n erreicht hat. Gemäß einem Ausführungsbeispiel kann ein solches Weiterreichen von fortlaufend oder zyklisch generierten Daten auch zeitgleich geschehen. D. h. während eine Dateneinheit beispielsweise vom elektronischen Element 123_k zum elektronischen Element 123_k+1 weiter gereicht wird, wird eine andere Dateneinheit vom elektronischen Element 123_j zum elektronischen Element 123_j+l (wobei l ≤ j < n und j ≠ k) weiter gereicht. Auf diese Weise können gemäß dem Ausführungsbeispiel der vorliegenden Erfindung fortlaufend oder zyklisch generierte Daten oder Dateneinheiten durch die Sensorschaltung 123 übermittelt oder transportiert und dabei zwischengespeichert werden.
  • Hier ist anzumerken, dass die vorliegende Erfindung auch weitere Möglichkeiten des Übermittelns der durch den Datengenerator 11 generierten Daten zum Identifizieren von äußeren Einflüssen an die Sensorschaltung 123 erlaubt. Hierfür können auch weitere geeignete Mechanismen eingesetzt werden. Ferner kann auch der Datengenerator 10 selbst die durch ihn generierten Daten an die Sensorschaltung 123 senden oder übermitteln.
  • Gemäß dem vorliegenden Ausführungsbeispiel weist die Anordnung 1 einen Empfänger 13 auf, der konfiguriert ist, die durch die Sensorschaltung 123 transportierten und zwischengespeicherten Daten zu empfangen. Der Empfänger 13 kann die Daten z. B. direkt von dem letzten elektronischen Element 123_n empfangen, wobei hier verschiedene entsprechende Ausgestaltungsmöglichkeiten denkbar sind.
  • Ferner weist die Anordnung 1 gemäß dem vorliegenden Ausführungsbeispiel auch einen Datenprüfer 14 auf. Der Datenprüfer 14 empfängt die durch die Sensorschaltung 123 transportierten und zwischen gespeicherten Daten und prüft diese auf ihre Korrektheit hin. D. h. der Datenprüfer 14 ist konfiguriert, zu prüfen, ob sich die Daten während des Transports und des Zwischenspeicherns in der Sensorschaltung 123 verändert haben.
  • Gemäß dem vorliegenden Ausführungsbeispiel übermittelt der Empfänger 13 die Daten an den Datenprüfer 14. Die vorliegende Erfindung erlaubt aber noch weitere Ausgestaltungen des Übermittelns der Daten an den Datenprüfer. So zum Beispiel kann der Datenprüfer 14 selbst die Daten von der Sensorschaltung 123 empfangen.
  • Ferner weist die Anordnung 1 ein Reaktionsbestimmungselement 15 auf, das konfiguriert ist, sicherzustellen, dass ein sicherer Systemzustand besteht. Wird z. B. durch den Datenprüfer 14 festgestellt, dass die durch die Sensorschaltung 123 transportierten und zwischengespeicherten Daten nicht korrekt sind, d. h. sich während des Transports und des Zwischenspeichern verändert haben, so ist das ein Anzeichen dafür, dass eine Störung oder ein Fehler im eingebetteten System vorliegt. D. h. das Betreiben zumindest einer Verarbeitungseinheit 121, 122 ist durch äußere Einflüsse fehlerhaft, beeinträchtigt oder nicht möglich. In einem solchen Fall benachrichtigt der Datenprüfer 14 das Reaktionsbestimmungselement 15, dass ein unsicherer Systemzustand vorliegt. Der Datenprüfer 14 kann dabei auch konfiguriert sein, weitere für die Sicherheit des Systems relevante Informationen bereitzustellen. Das Reaktionsbestimmungselement 15 ist dann konfiguriert, ein Herbeiführen eines sicheren Systemzustands unter Verwendung der von dem Datenprüfer 14 bereitgestellten Daten oder Informationen durchzuführen. Dieses kann beispielsweise als Kontakt in einer Ruhestromschleife realisiert werden. Ferner kann das Reaktionsbestimmungselement 15 beispielsweise ein Abschalten des eingebetteten Systems oder der jeweiligen Verarbeitungseinheiten des eingebetteten Systems, ein Anzeigen des Fehlers usw. als Reaktion auf die Feststellung der mangelnden Korrektheit der Daten ansteuern oder durchführen. Die vorliegende Erfindung erlaubt verschiedenartige an eine jeweilige, Situation ausgerichtete Reaktionen oder Handlungen des Reaktionsbestimmungselements 15 zum Handhaben der jeweiligen äußeren Auswirkungen und/oder ihrer Effekte.
  • Gemäß dem vorliegenden Ausführungsbeispiel weist die Anordnung ferner zumindest eine beobachtende Schaltung 1211, 1221 auf, die konfiguriert ist, Signale, die von einer Verarbeitungseinheit 121, 122 des eingebetteten Systems an eine weitere Verarbeitungseinheit 121, 122 des eingebetteten Systems geleitet werden, zu überprüfen. Weisen die Signale Fehler auf, so liegen ein äußerer Einfluss und/oder eine Fehlfunktion der jeweiligen Verarbeitungseinheit vor, die ein einwandfreies Funktionieren weiterer Verarbeitungseinheiten beeinträchtigen.
  • Diese beobachtende Schaltung 1211, 1221 kann in der Nähe von Verarbeitungseinheiten 121, 122 des eingebetteten Systems und/oder in den Verarbeitungseinheiten 121, 122 des eingebetteten Systems platziert sein.
  • Gemäß dem vorliegenden Ausführungsbeispiel weist jede Verarbeitungseinheit des eingebetteten Systems, d. h. jeder Kanal 121, 122 eine beobachtende Schaltung 1211, 1221 auf.
  • Jede der beobachtenden Schaltungen 1211, 1221 hat Kenntnis von den Bearbeitungs- und Transport-Vorgängen in dem jeweiligen Kanal 121, 122, in dem sie platziert ist, und ist konfiguriert, solche Signale zu prüfen, die als Ausgangssignale 17, 18 dem die jeweils anderen Kanal als Eingangssignale übermittelt werden. Solche zu prüfenden Signale können Ausgangssignale 16, 18, Zwischensignale (die in dem jeweiligen Kanal noch in Bearbeitung sind oder noch transportiert werden) und/oder Ausgangssignale 17, 19 sein.
  • Gemäß dem vorliegenden Ausführungsbeispiel übermittelt die beobachtende Schaltung 1211 des ersten Kanals 121 ein solches zu prüfendes Signal des ersten Kanals 121 an die beobachtende Schaltung 1221 des zweiten Kanals 122. Die beobachtende Schaltung 1221 des zweiten Kanals 122 überprüft dann, ob das zu prüfende Signal des ersten Kanals 121 korrekt ist. Umgekehrt übermittelt die beobachtende Schaltung 1221 des zweiten Kanals 122 ein zu prüfendes Signal des zweiten Kanals 122 an die beobachtende Schaltung 1211 des ersten Kanals 121. Die beobachtende Schaltung 1211 des ersten Kanals 121 überprüft dann, ob das zu prüfende Signal des zweiten Kanals 122 korrekt ist.
  • Wenn wie in 1 dargestellt ein Fehler oder eine Störung 1222 im zweiten Kanal 122 vorliegt, wird ein entsprechendes Zwischensignal oder Ausgangssignal 19 des zweiten Kanals 122 fehlerhaft sein. Gemäß dem vorliegenden Ausführungsbeispiel übermittelt die beobachtende Schaltung 1221 des zweiten Kanals 122 das jeweilige zu überprüfende Signal an die beobachtende Schaltung 1211 des ersten Kanals 121. Da im zweiten Kanal 122 ein Fehler oder eine Störung 1222 vorliegt, wird das Überprüfen des Signals durch die beobachtende Schaltung 1211 des ersten Kanals 121 ergeben, dass das jeweilige Signal fehlerhaft bzw. nicht korrekt ist. In so einem Fall ist eine beobachtende Schaltung 1211, 1221 konfiguriert, eine entsprechende Meldung (z. B. über ein Signal) nach Außen oder an das Reaktionsbestimmungselement 15 zu senden, um ein Herbeiführen eines sicheren Zustands des eingebetteten Systems zu bewirken oder anzusteuern.
  • Solche Signale, die von einem Kanal 121, 122 zum andern führen und die durch beobachtende Schaltung 1211, 1221 zu beobachten, zu prüfen sind, können beispielsweise dazu dienen, eine Cross-Check-Architektur zu realisieren. Dazu werden die Eingangssignale 16, 18, die Ausgangssignale 17, 19 und ggf. Zwischenergebnisse geprüft, um so Fehler des jeweils andern Kanals zu offenbaren, festzustellen oder zu identifizieren.
  • Gemäß dem vorliegenden Ausführungsbeispiel sind einige Elemente der Anordnung 1 außerhalb des Chips 12 platziert. Solche Elemente sind in der 1 der Datengenerator 10, der Sender 11, der Empfänger 13, der Datenprüfer 14 und das Reaktionsbestimmungselement 15. Es ist jedoch anzumerken, dass dieses nur die Eigenart der Ausgestaltung gemäß dem vorliegenden Ausführungsbeispiel ist und dass gemäß der vorliegenden Erfindung auch weitere andere Platzierungen dieser Elemente möglich sind. Die vorliegende Erfindung ist nicht auf die Platzierung der Elemente der Anordnung 1 wie in 1 dargestellt beschränkt.
  • Wenn z. B. ein Fehler 1222 im zweiten Kanal 122 auftritt, der potenziell auch den ersten Kanal 121 in gleicher Weise beeinträchtigen könnte oder umgekehrt, oder wenn z. B. ein externer Einfluss beide Kanäle 121, 122 beeinträchtigt und zu Fehlfunktionen in beiden Kanälen 121, 122 führt, so wird der Datenprüfer 14 dieses durch Vorhandensein von Veränderungen in den Daten, die entsprechend durch den Datengenerator erstellt wurden und durch die Sensorschaltung 123 transportiert wurden, erkennen. Die Wahrscheinlichkeit dafür, dass durch einen externen oder äußeren Einfluss die jeweiligen Auswirkungen auch im Hinblick auf die Sensorschaltung 123 aufgetreten sind und dass die durch die Sensorschaltung 124 transportierten Daten verändert worden sind, ist in einem solchen Fall sehr groß. Der Datenprüfer 14 wird dann dem Reaktionsbestimmungselement 15 signalisieren, dass ein kritischer Fehler aufgetreten ist. Das Reaktionsbestimmungselement 15 wird dann daraufhin auf jeden Fall einen sicheren Systemzustand herbeiführen.
  • Externe Einflüsse, d. h. Common-Cause-Ausfälle (z. B. aufgrund eines gleichzeitigen Temperaturanstiegs, mechanischer Probleme, EMV usw.) werden durch die vorliegende Erfindung mit sehr großer Wahrscheinlichkeit erkannt oder identifiziert werden.
  • Die Anordnung 1 dient beispielsweise der Offenbarung, dem Identifizieren oder Feststellen von solchen Ausfällen und/oder Fehlern, welche z. B. von einem Kanal 121, 122 auf den anderen „übersprechen” oder übergehen, welche Temperaturerhöhungen umfassen, die als Common-Cause beide Kanäle 121, 122 ausfallen lassen würden und welche z. B. EMV-Einflüsse, die als Common-Cause beide Kanäle 121, 122 ausfallen lassen würden und deshalb nicht mit Gewissheit durch einen einfachen Vergleich durch die oben genannten sicherheitsrelevanten Steuerungsvorrichtungen offenbart werden würden, usw.
  • Ferner können der Datengenerator 10, der Sender 11, die Sensorschaltung 12, der Empfänger 13 und der Datenprüfer 14 mit einer eigenen Clock-Versorgung versehen werden. Auf diese Weise kann ein abgestimmtes und effektives Identifizieren von äußeren Einflüssen durchgeführt werden.
  • Zusätzlich können der Datengenerator 10, der Sender 11, die Sensorschaltung 12, der Empfänger 13 und der Datenprüfer 14 mit einer eigenen Spannungsversorgung versehen werden, so dass ein verbessertes Reagieren auf Fehler in der Versorgung der Chips realisiert werden kann.
  • Ferner kann die Empfindlichkeit der Sensorschaltung 12 durch die Wahl geeigneter Spannungs-Pegel beeinflusst werden. Bei niedrigeren Spannungs-Pegeln wird die Sensorschaltung 12 im Hinblick auf äußere Störungen empfindlicher und somit sensitiver sein. Dadurch wird die Wahrscheinlichkeit dafür, dass die durch die Sensorschaltung 12 transportierten Daten sich ändern, erhöht.
  • Des Weiteren ist anzumerken, dass die vorliegende Erfindung auch im Bezug auf weitere Verarbeitungseinheiten oder Komponenten eines eingebetteten Systems und nicht nur im Bezug auf Kanäle implementiert werden kann. Beispielhaft können CPLD (”Complex Programmable Logic Device”), FPGA (”Field Programmable Gate Array”) usw. als ein Anwendungsgebiet der vorliegenden Erfindung genannt werden.
  • Zusätzlich ist anzumerken, dass die Komponenten der Anordnung 1 (z. B. der Datengenerator 10, der Sender 11, der Empfänger 13 und der Datenprüfer 14) Soft- und/oder Hardware-Komponenten sein können. Gemäß der vorliegenden Erfindung sind verschiedene Ausgestaltungen der jeweiligen Komponenten und/oder Module möglich.
  • 2 zeigt eine weitere Anordnung 2 zum Identifizieren von äußeren Einflüssen auf zumindest eine Verarbeitungseinheit 201, 203 einer Menge von Verarbeitungseinheiten in einem eingebetteten System gemäß einem weiteren Ausführungsbeispiel der vorliegenden Erfindung. Gemäß dem vorliegenden Ausführungsbeispiel wird die vorliegende Erfindung im Hinblick auf einen Mehrkernprozessor implementiert. Dabei stellen die Verarbeitungseinheiten oder Komponenten 201, 203 zwei Hauptprozessoren eines Mehrkernprozessors dar und werden gemäß dem vorliegenden Ausführungsbeispiel im Hinblick auf mögliche externe oder äußere Einflüsse ähnlich wie die Kanäle 121, 123 der 1 behandelt. Gemäß dem vorliegenden Ausführungsbeispiel kommunizieren die Hauptprozessoren 201, 203 miteinander über beobachtende Schaltungen 2011, 2031. Die beobachtenden Schaltungen 2011, 2031 entsprechen gemäß dem vorliegenden Ausführungsbeispiel allgemein den beobachtenden Schaltungen 1211, 1221 der 1. Ferner weist die Anordnung 2 gemäß dem vorliegenden Ausführungsbeispiel eine diagnostizierende Schaltung 204 auf, die konfiguriert ist, externe oder äußere Einflüsse auf die Hauptprozessoren 201, 203 zu erkennen oder zu identifizieren.
  • Gemäß dem vorliegenden Ausführungsbeispiel weisen die Hauptprozessoren 201, 203 eine Spannungsversorgung ”Vcc1, Vcc2” 208 und eine Taktversorgung ”CLK” 209 auf. Gemäß dem vorliegenden Ausführungsbeispiel sind die Spannungsversorgung ”Vcc1, Vcc2” 208 und die Taktversorgung ”CLK” 209 als von der diagnostizierende Schaltung 204 unabhängig ausgestaltet. Die diagnostizierende Schaltung 204 weist wiederum gemäß dem vorliegenden Ausführungsbeispiel eine Spannungsversorgung ”VCC3” 206 und eine Taktversorgung ”CLK2” 205 auf. Dabei sind die Spannungsversorgung ”VCC3” 206 und die Taktversorgung ”CLK2” 205 als von den Hauptprozessoren 201, 203 unabhängig ausgestaltet.
  • Die diagnostizierende Schaltung 204 ist gemäß dem vorliegenden Ausführungsbeispiel konfiguriert oder ausgestaltet, die Funktionen der folgenden in 1 erläuterten Einheiten oder Module auszuführen: des Datengenerators 10, des Senders 11, des Empfängers 13 und des Datenprüfers 14.
  • Gemäß dem vorliegenden Ausführungsbeispiel sendet die diagnostizierende Schaltung 204 Sensordaten 207 an eine Sensorschaltung 202, die ähnlich wie die Sensorschaltung 123 der 1 konfiguriert oder ausgestaltet ist. Die Sensordaten 207 sind von der diagnostizierenden Schaltung 204 generierte Daten 2041 und entsprechen den von dem Datengenerator 10 der 1 generierten Daten. Diese Sensordaten 207 können beispielsweise ein Sensordatenstrom sein. Die Sensordaten 207 werden von der Sensorschaltung 202 empfangen und wie im Bezug auf das Ausführungsbeispiel der 1 erläutert durch die Sensorschaltung 202 transportiert und dabei in den jeweiligen elektronischen Elementen der Sensorschaltung 202 zwischengespeichert. Nach dem Transport der Sensordaten 207 durch die Sensorschaltung 202 werden transportierte Sensordaten 210 erhalten. Die transportierten Sensordaten 210 werden von der Sensorschaltung 202 an die diagnostizierende Schaltung 204 übermittelt.
  • Gemäß dem vorliegenden Ausführungsbeispiel weist die diagnostizierende Schaltung 204 zwei Datenprüf-Module oder -Elemente 2042, 2043 auf, die konfiguriert sind, die Korrektheit der transportierten Sensordaten 210 wie oben im Bezug auf 1 erläutert zu prüfen. Dabei sind die Datenprüf-Module oder -Elemente 2042, 2043 konfiguriert, die Prüfung der Korrektheit der transportierten Sensordaten 210 unter Verwendung der von der diagnostizierenden Schaltung 204 generierten Daten 2041, die als Sensordaten 207 an die Sensorschaltung 202 geschickt wurden, vorzunehmen oder durchzuführen. Stellen die Datenprüf-Module oder -Elemente 2042, 2043 eine Abweichung von den ursprünglich generierten Daten 2041 fest, so steuern die Datenprüf-Module oder -Elemente 2042, 2043 eine Transistorschaltung derart an, dass am Element 214 ein Fehler angezeigt wird. Daraufhin wird zumindest eine geeignete Reaktion zum Behandeln des aufgetretenen äußeren Einflusses und/oder seiner Effekte bestimmt und ausgeführt. Element 213 ist dabei eine Spannungsquelle.
  • Gemäß dem vorliegenden Ausführungsbeispiel sind die beobachtenden Schaltungen 2011, 2031 konfiguriert, die Signale, Daten und/oder Informationen, die in den jeweiligen Hauptprozessoren 201, 203 eingegangen, zwischenbearbeitet oder endgültig bearbeitet sind, unter einander auszutauschen und dann im Bezug auf ihre Fehlerfreiheit zu prüfen (wie bereits in 1 im Bezug auf die beobachtenden Schaltungen 1211, 1221 erläutert). Wird im Hinblick auf die ausgetauschten Signale, Daten und/oder Informationen Fehler entdeckt, so sind die beobachtenden Schaltungen 2011, 2031 gemäß dem vorliegenden Ausführungsbeispiel konfiguriert, Fehler-Signale, -Daten und/oder -Informationen 211, 212 an die diagnostizierende Schaltung 204 zu übermitteln. Die diagnostizierende Schaltung 204 initiiert dann das Bestimmen und/oder Ausführen zumindest einer geeigneten Reaktion zum Behandeln des aufgetretenen äußeren Einflusses und/oder seiner Effekte, die unter Verwendung der Fehler-Signale, -Daten und/oder -Informationen 211, 212 entdeckt werden konnten.
  • 3 zeigt eine Anordnung 3 zum Identifizieren von äußeren Einflüssen auf zumindest eine Verarbeitungseinheit 32 einer Menge von Verarbeitungseinheiten in einem eingebetteten System gemäß einem weiteren Ausführungsbeispiel der vorliegenden Erfindung. Gemäß dem vorliegenden Ausführungsbeispiel weist das eingebettete System eine Verarbeitungseinheit 32 auf. In 3 wird ein mögliches Anordnen einer Sensorschaltung 33 wie oben detaillierter im Bezug auf 1 und 2 beschrieben um eine Verarbeitungseinheit 32 beispielhaft gezeigt. Dabei ist sind die elektronischen Elemente der Sensorschaltung 33 um die Verarbeitungseinheit 32 derart platziert, dass äußere Einflüsse aus verschiedenen Richtungen identifiziert oder festgestellt werden können. Ein Datengenerator 31 ist konfiguriert, Daten, wie im Bezug auf den Datengenerator 10 der 1 erläutert, zu generieren. Diese Daten werden durch die Sensorschaltung 33 transportiert und dabei zwischengespeichert. Ein Datenprüfer 34 ist konfiguriert, die Richtigkeit oder Fehlerfreiheit der durch die Sensorschaltung 33 transportierten Daten zu prüfen, um festzustellen, ob solche äußere oder externe Einflüsse vorliegen, die die Funktionalität der Verarbeitungseinheit 32 stören oder beeinträchtigen können.
  • 4 zeigt eine weitere Anordnung 4 zum Identifizieren von äußeren Einflüssen auf zumindest eine Verarbeitungseinheit 42_1, 42_2, 42_3 einer Menge von Verarbeitungseinheiten 42_1, 42_2, 42_3 in einem eingebetteten System gemäß einem weiteren Ausführungsbeispiel der vorliegenden Erfindung. Durch dieses Ausführungsbeispiel wird gezeigt, dass die vorliegende Erfindung auch im Bezug auf mehrere Verarbeitungseinheiten 42_1, 42_2, 42_3 eines eingebetteten Systems implementiert werden kann. Gemäß dem vorliegenden Ausführungsbeispiel wird die Funktionalität von zumindest drei Verarbeitungseinheiten 42_1, 42_2, 42_3 geprüft. Eine Sensorschaltung 43 ist dabei derart um die Verarbeitungseinheiten 42_1, 42_2, 42_3 platziert, dass äußere oder externe Einflüsse aus verschiedenen Richtungen um die Verarbeitungseinheiten 42_1, 42_2, 42_3 identifiziert oder festgestellt werden können.
  • Ein Datengenerator 41 der Anordnung 4 ist konfiguriert, Daten, wie im Bezug auf den Datengenerator 10 der 1 erläutert, zu generieren. Diese Daten werden durch die Sensorschaltung 43 transportiert und dabei zwischengespeichert. Ein Datenprüfer 44 ist konfiguriert, die Richtigkeit oder Fehlerfreiheit der durch die Sensorschaltung 43 transportierten Daten zu prüfen, um festzustellen, ob äußere oder externe Einflüsse vorliegen, die die Funktionalität die Verarbeitungseinheiten 42_1, 42_2, 42_3 stören oder beeinträchtigen können.
  • Auf diese Weise, kann durch ein geeignetes Anordnen einer Sensorschaltung 123, 202, 33, 43 eine beliebige Anzahl an Verarbeitungseinheiten oder Komponenten 121, 122, 201, 203, 32, 42_1, 42_2, 42_3 eines eingebetteten Systems im Hinblick auf äußere Einflüsse überwacht werden, so dass darauf reagiert werden kann.
  • Somit kann die vorliegende Erfindung flexibel und effektiv im Hinblick auf eine beliebige Anzahl an Verarbeitungseinheiten oder Komponenten 121, 122, 201, 203, 32, 42_1, 42_2, 42_3 eines eingebetteten Systems eingesetzt, implementiert und/oder ausgeführt werden.
  • Im Folgenden werden anhand der 5a bis 5c verschiedene Ausgestaltungsformen von Daten beispielhaft erläutert, die gemäß der vorliegenden Erfindung zum Identifizieren von äußeren Einflüssen verwendet werden können.
  • 5a zeigt eine Dateneinheit 51, die gemäß einem Ausführungsbeispiel der vorliegenden Erfindung zum Identifizieren von äußeren Einflüssen auf zumindest eine Verarbeitungseinheit einer Menge von Verarbeitungseinheiten in einem eingebetteten System ausgestaltet ist. Die Dateneinheit 51 wird von einem Datengenerator, der einem der oben erläuterten Datengeneratoren entspricht, derart generiert, dass sie ein bestimmtes Datenmuster 511 aufweist. Das Datenmuster 511 ist dabei derart ausgestaltet, dass es bei einem Transport durch eine Sensorschaltung, die einer der oben erläuterten Sensorschaltungen entspricht, zum Identifizieren von äußeren Einflüssen geeignet ist. D. h. das Datenmuster 511 ist möglichst fehlersensitiv und erlaubt das Erkennen möglichst vieler Verfälschungen des Datenmusters 511. Beim Identifizieren von äußeren Einflüssen kommt es darauf an, dass beim Vorliegen der äußeren Einflüsse die durch die Sensorschaltung transportierten Daten durch die äußeren Einflüsse tatsächlich verändert werden. Je höher die Fehlersensitivität des Datenmusters 511 ist, desto wahrscheinlicher wird es, dass beim Vorliegen der äußeren Einflüsse die durch die Sensorschaltung transportierte Dateneinheit 51 bzw. das Datenmuster 511 verändert wird. Der Datenprüfer ist dann konfiguriert, eine Datenmusterprüfung vorzunehmen. Dabei wird geprüft, ob das durch den Datenprüfer empfangene Muster dem erwarteten Muster 511 entspricht.
  • 5b zeigt eine Dateneinheit 52, die gemäß einem weiteren Ausführungsbeispiel der vorliegenden Erfindung zum Identifizieren von äußeren Einflüssen auf zumindest eine Verarbeitungseinheit einer Menge von Verarbeitungseinheiten in einem eingebetteten System ausgestaltet ist. Wie in 5a weist die Dateneinheit 52 ein Datenmuster 521 auf. Das Datenmuster 521 entspricht dabei allgemein dem Datenmuster 511 der 5a. Ferner weist die Dateneinheit 52 gemäß dem vorliegenden Ausführungsbeispiel einen Sicherheitsanhang 522 auf. Der Sicherheitsanhang 522 ist gemäß dem vorliegenden Ausführungsbeispiel derart konfiguriert oder ausgestaltet, dass mittels des Sicherheitsanhangs 522 eine Überprüfung der Korrektheit der Dateneinheit 52 oder des Datenmusters 521 respektive ausgeführt werden kann.
  • Gemäß einem Ausführungsbeispiel wird der Sicherheitsanhang 522 durch einen Datengenerator im Hinblick auf das Datenmuster 521 generiert. So zum Beispiel kann der Sicherheitsanhang 522 unter Verwendung des Verfahrens der zyklischen Redundanzprüfung (englisch: ”cyclic redundancy check” (CRC)) erstellt werden. CRC ist ein Verfahren zur Bestimmung eines Prüfwerts für Daten, um Fehler bei der Übertragung oder Speicherung erkennen zu können. Für jede Dateneinheit 52, die durch die Sensorschaltung transportiert wird, oder für das Datenmuster 521 der Dateneinheit 52 respektive wird nach einem bestimmten Verfahren ein sogenannter CRC-Wert berechnet. Dieser CRC-Wert wird in die Dateneinheit 52 als der Sicherheitsblock 522 eingefügt. Bei dem Prüfen der Dateneinheit 52 oder des Datenmusters 521 respektive wendet der Datenprüfer dasselbe Berechnungsverfahren wie der Datengenerator auf das Datenmuster 521 einschließlich des angefügten CRC-Werts oder Sicherheitsanhangs 522 an. Ist das Ergebnis gleich Null, kann angenommen werden, dass der die Dateneinheit 52 oder das Datenmuster 521 respektive unverfälscht ist.
  • CRC ist so ausgelegt, dass Fehler bei der Übertragung der Daten bzw. beim Transport von Dateneinheiten 52 durch die Sensorschaltung, wie sie beispielsweise durch Rauschen auf der Leitung verursacht werden könnten, mit hoher Wahrscheinlichkeit entdeckt werden. D. h. gemäß dem vorliegenden Ausführungsbeispiel ist die Wahrscheinlichkeit sehr hoch, dass äußere Einflüsse auf zumindest eine Verarbeitungseinheit oder Komponente eines eingebetteten Systems durch die vorliegende Erfindung entdeckt werden.
  • Gemäß einem Ausführungsbeispiel kann die Hamming-Distanz berechnet werden, um ein geeignetes Datenmuster 521 zu bestimmen. Hamming-Distanz ist ein Maß für die Unterschiedlichkeit von Zeichenketten oder Datenmustern 521. Die Hamming-Distanz zweier Datenmuster mit fester Länge ist dabei die Anzahl der unterschiedlichen Stellen in den Datenmustern, die verfälscht werden müssen, um wieder ein gültiges, nicht erkennbar verfälschtes Codewort zu erzeugen. Hamming-Distanz ist allgemein bekannt und wird deshalb im Nachfolgenden nicht tiefgehender diskutiert. Gemäß dem Ausführungsbeispiel, werden die Datenmuster 521 derart gewählt, dass die Hamming-Distanz des prinzipiell frei wählbaren Sicherungsanhangs 522 möglichst hoch ist, da je höher die Hamming-Distanz ist, desto höher wird die Fehleraufdeckungsquote sein. D. h. mit steigenden Hamming-Distanzen steigt die gewünschte Sensitivität des Datenmusters 521.
  • 5c zeigt eine weitere Dateneinheit 53, die gemäß einem Ausführungsbeispiel der vorliegenden Erfindung zum Identifizieren von äußeren Einflüssen auf zumindest eine Verarbeitungseinheit einer Menge von Verarbeitungseinheiten in einem eingebetteten System ausgestaltet ist. Die Dateneinheit 53 weist neben einem Datenmuster 531 und neben einem Sicherheitsanhang 532 auch einen Zeitstempel 533 auf. Der Zeitstempel 533 zeigt dabei an, zu welcher Zeit oder zu welchem Zeitpunkt die Dateneinheit 53 generiert wurde. Der Zeitstempel 533 kann ebenfalls verwendet werden, um die Korrektheit der Dateneinheit 53 nach dem Transport durch die Sensorschaltung zu prüfen. Das Datenmuster 531 entspricht dabei im Allgemeinen den oben erläuterten Datenmustern 511, 521 der 5a und b. Der Sicherheitsanhang 532 entspricht wiederum im Allgemeinen dem oben erläuterten Sicherheitsanhang 522 der 5b ggf. unter Einschluss des Zeitstempels.
  • Gemäß einem weiteren Ausführungsbeispiel der vorliegenden Erfindung kann der Sicherheitsanhang 532 im Bezug auf das Datenmuster 531 und im Bezug auf den Zeitstempel 533 generiert werden. Der Zeitstempel kann in den Datenprüfern 14, 2042, 2043, 34, 44 dazu verwendet werden, festzustellen, wenn zwar gültige, aber fehlerhaft zwischengespeicherte Muster im Datenprüfer 14, 2042, 2043, 34, 44 anliegen, obwohl die Transportkette durch den Sensor 123, 202, 33, 43 unterbrochen ist.
  • Somit betrifft die vorliegende Erfindung das Identifizieren von äußeren Einflüssen auf zumindest eine Verarbeitungseinheit einer Menge von Verarbeitungseinheiten in einem eingebetteten System. Dabei weist eine dafür konfigurierte Anordnung auf: einen Datengenerator, der konfiguriert ist, Daten zu generieren, die zum Identifizieren von äußeren Einflüssen auf zumindest eine Verarbeitungseinheit der Menge von Verarbeitungseinheiten ausgestaltet sind; eine Sensorschaltung, die eine Menge an elektronischen Elementen aufweist, wobei die elektronischen Elemente zum Speichern von den Daten konfiguriert sind, wobei die Sensorschaltung konfiguriert ist, die Daten an einen Datenprüfer durch ein sequentielles Zwischenspeichern der Daten in den elektronischen Elementen zu übermitteln; den Datenprüfer, der konfiguriert ist, die Korrektheit der Daten zu prüfen. Durch die vorliegende Erfindung wird ein verbessertes Identifizieren von äußeren Einflüssen auf zumindest eine Verarbeitungseinheit eines eingebetteten Systems ermöglicht. Sie ist im Bezug auf eingebettete Systeme anwendbar.
  • Obwohl die Erfindung oben mit Bezug auf die Ausführungsbeispiele gemäß den beiliegenden Zeichnungen erklärt wird, ist es ersichtlich, dass die Erfindung nicht auf diese beschränkt ist, sondern innerhalb des Bereichs der oben und in den anhängigen Ansprüchen offenbarten erfinderischen Idee modifiziert werden kann. Es versteht sich von selbst, dass es noch weitere Ausführungsbeispiele geben kann, die den Grundsatz der Erfindung darstellen und äquivalent sind, und dass somit verschiedene Modifikationen ohne Abweichen vom Umfang der Erfindung implementiert werden können.

Claims (25)

  1. Anordnung (14) zum Identifizieren von äußeren Einflüssen (1222) auf zumindest eine Verarbeitungseinheit (121, 122, 201, 203, 32, 421, 422, 42_3) einer Menge von Verarbeitungseinheiten (121, 122, 201, 203, 32, 42_1, 42_2, 42_3) in einem eingebetteten System, wobei die Anordnung (14) aufweist: – einen Datengenerator (10, 31, 41), der konfiguriert ist, Daten (2041, 207, 5153) zu generieren, die zum Identifizieren von äußeren Einflüssen (1222) auf zumindest eine Verarbeitungseinheit (121, 122, 201, 203, 32, 42_1, 42_2, 42_3) der Menge von Verarbeitungseinheiten (121, 122, 201, 203, 32, 42_1, 42_2, 42_3) ausgestaltet sind; – eine Sensorschaltung (123, 202, 33, 43), die eine Menge an elektronischen Elementen (123_1, 123_2, ..., 123_n) aufweist, wobei die elektronischen Elemente (123_1, 123_2, ..., 123_n) zum Speichern von den Daten (2041, 207, 5153) konfiguriert sind, wobei die Sensorschaltung (123, 202, 33, 43) konfiguriert ist, die Daten (2041, 207, 210, 5153) an einen Datenprüfer durch ein sequentielles Zwischenspeichern der Daten (2041, 207, 5153) in den elektronischen Elementen (123_1, 123_2, ..., 123_n) zu übermitteln; – den Datenprüfer (14, 2042, 2043, 34, 44), der konfiguriert ist, die Korrektheit der Daten (2041, 207, 5153) zu prüfen.
  2. Anordnung (14) nach Anspruch 1, wobei die elektronischen Elemente (123_1, 123_2, ..., 123_n) an den Verarbeitungseinheiten (121, 122, 201, 203, 32, 42_1, 42_2, 42_3) der Menge von Verarbeitungseinheiten (121, 122, 201, 203, 32, 42_1, 42_2, 42_3) angeordnet sind.
  3. Anordnung (14) nach Anspruch 1 oder 2, wobei die elektronischen Elemente (123_1, 123_2, ..., 123_n) der Menge der elektronischen Elemente (123_1, 123_2, ..., 123_n) sequentiell angeordnet sind.
  4. Anordnung (14) nach zumindest einem der vorstehenden Ansprüche, wobei die Daten (2041, 207, 5153) ein Datenmuster (511, 521, 531) aufweisen, das zum Identifizieren von äußeren Einflüssen (1222) auf zumindest eine Verarbeitungseinheit (121, 122, 201, 203, 32, 42_1, 42_2, 42_3) der Menge von Verarbeitungseinheiten (121, 122, 201, 203, 32, 42_1, 42_2, 42_3) ausgestaltet ist.
  5. Anordnung (14) nach zumindest einem der vorstehenden Ansprüche, wobei die Daten (2041, 207, 5153) einen Zeitstempel (533) aufweisen, wobei der Zeitstempel (533) anzeigt, zu welcher Zeit die Daten (2041, 207, 5153) durch den Datengenerator (10, 31, 41) zum Übermitteln an die Sensorschaltung (123, 202, 33, 43) generiert wurden.
  6. Anordnung (14) nach zumindest einem der vorstehenden Ansprüche, wobei die Daten (2041, 207, 5153) einen Sicherheitsanhang (522, 532) aufweisen, wobei der Sicherheitsanhang (522, 532) derart konfiguriert ist, dass das Prüfen der Korrektheit der Daten (2041, 207, 5153) durch den Datenprüfer (14, 2042, 2043, 34, 44) unter Verwendung des Sicherheitsanhangs (522, 532) ausgeführt wird.
  7. Anordnung (14) nach Ansprüchen 4 und 6, wobei der Datengenerator (10, 31, 41) konfiguriert ist, den Sicherheitsanhang (522, 532) unter Verwendung des Datenmusters (511, 521, 531) zu generieren.
  8. Anordnung (14) nach Ansprüchen 4 bis 6, wobei der Datengenerator (10, 31, 41) konfiguriert ist, den Sicherheitsanhang (522, 532) unter Verwendung des Datenmusters (511, 521, 531) und des Zeitstempels (533) zu generieren.
  9. Anordnung (14) nach zumindest einem der vorstehenden Ansprüche, wobei die Anordnung eine Spannungsversorgung der Sensorschaltung (123, 202, 33, 43) zum Versorgen der Sensorschaltung (123, 202, 33, 43) mit Spannung aufweist.
  10. Anordnung (14) nach Anspruch 9, wobei die Empfindlichkeit der Sensorschaltung (123, 202, 33, 43) im Hinblick auf die äußeren Einflüsse (1222) durch eine Wahl eines Pegels einer Spannung geregelt wird, die von der Spannungsversorgung an die Sensorschaltung (123, 202, 33, 43) bereitgestellt wird.
  11. Anordnung (14) nach zumindest einem der vorstehenden Ansprüche, wobei die Anordnung (14) einen Sender aufweist, der konfiguriert ist, die Daten (2041, 207, 5153) von dem Datengenerator (10, 31, 41) zu empfangen und zyklisch an die Sensorschaltung (123, 202, 33, 43) zu übermitteln.
  12. Anordnung (14) nach zumindest einem der vorstehenden Ansprüche, wobei der Datengenerator (10, 31, 41) konfiguriert ist, die Daten (2041, 207, 5153) zyklisch zu generieren.
  13. Anordnung (14) nach zumindest einem der vorstehenden Ansprüche, wobei die Anordnung (14) einen Empfänger aufweist, der konfiguriert ist, die Daten (2041, 207, 210, 5153) von der Sensorschaltung (123, 202, 33, 43) zu empfangen und an den Datenprüfer (14, 2042, 2043, 34, 44) bereitzustellen.
  14. Anordnung (14) nach zumindest einem der vorstehenden Ansprüche, wobei die Anordnung (14) eine beobachtende Schaltung (1211, 1221, 2011, 2021) aufweist, die konfiguriert ist, Signale, die von einer ersten Verarbeitungseinheit (121, 122, 201, 203, 32, 42_1, 42_2, 42_3) der Menge von Verarbeitungseinheiten (121, 122, 201, 203, 32, 42_1, 42_2, 42_3) an eine zweite Verarbeitungseinheit (121, 122, 201, 203, 32, 42_1, 42_2, 42_3) der Menge von Verarbeitungseinheiten (121, 122, 201, 203, 32, 42_1, 42_2, 42_3) geleitet werden, im Bezug auf ihre Fehlerfreiheit zu prüfen.
  15. Anordnung (14) nach Anspruch 14, wobei die beobachtende Schaltung (1211, 1221, 2011, 2021) konfiguriert ist, Eingangssignale, Zwischensignale und/oder Ausgangssignale der ersten Verarbeitungseinheit (121, 122, 201, 203, 32, 42_1, 422, 42_3) zu prüfen, wobei Eingangssignale, Zwischensignale und/oder Ausgangssignale derartige Signale sind, aus denen die Signale entstehen, die von der ersten Verarbeitungseinheit (121, 122, 201, 203, 32, 42_1, 42_2, 42_3) an die zweite Verarbeitungseinheit (121, 122, 201, 203, 32, 42_1, 42_2, 42_3) geleitet werden.
  16. Anordnung (14) nach zumindest einem der vorstehenden Ansprüche, wobei der Datenprüfer (14, 2042, 2043, 34, 44) konfiguriert ist, die von dem Datengenerator (10, 31, 41) generierten Daten (2041, 207, 5153) mit den Daten (2041, 207, 210, 5153) zu vergleichen, die der Datenprüfer (14, 2042, 2043, 34, 44) von der Sensorschaltung (123, 202, 33, 43) empfangen hat, wobei die von dem Datengenerator (10, 31, 41) generierten Daten (2041, 207, 5153) den Daten (2041, 207, 210, 5153) entsprechen, die der Datenprüfer (14, 2042, 2043, 34, 44) von der Sensorschaltung (123, 202, 33, 43) empfangen hat.
  17. Anordnung (14) nach zumindest einem der vorstehenden Ansprüche, wobei die Menge von Verarbeitungseinheiten (121, 122, 201, 203, 32, 421, 422, 42_3) zumindest eines der folgenden als eine Verarbeitungseinheit (121, 122, 201, 203, 32, 421, 422, 42_3) aufweist: einen Kanal und/oder einen Hauptprozessor.
  18. Eingebettetes System, das eine Anordnung (14) zum Identifizieren von äußeren Einflüssen (1222) auf zumindest eine Verarbeitungseinheit (121, 122, 201, 203, 32, 42_1, 42_2, 42_3) einer Menge von Verarbeitungseinheiten (121, 122, 201, 203, 32, 421, 422, 423) in dem eingebetteten System aufweist, wobei die Anordnung (14) eine Anordnung (14) nach zumindest einem der vorstehenden Ansprüche ist.
  19. Verfahren zum Identifizieren von äußeren Einflüssen (1222) auf zumindest eine Verarbeitungseinheit (121, 122, 201, 203, 32, 421, 422, 423) einer Menge von Verarbeitungseinheiten (121, 122, 201, 203, 32, 42_1, 42_2, 42_3) in einem eingebetteten System, wobei das Verfahren aufweist: – Generieren von Daten (2041, 207, 5153), die zum Identifizieren von äußeren Einflüssen (1222) auf zumindest eine Verarbeitungseinheit (121, 122, 201, 203, 32, 42_1, 42_2, 42_3) der Menge von Verarbeitungseinheiten (121, 122, 201, 203, 32, 42_1, 42_2, 42_3) ausgestaltet sind; – Übermitteln von den Daten (2041, 207, 5153) an einen Datenprüfer (14, 2042, 2043, 34, 44) durch eine Sensorschaltung (123, 202, 33, 43), die eine Menge an elektronischen Elementen (123_1, 123_2, ..., 123_n) aufweist, die zum Speichern von den Daten (2041, 207, 5153) konfiguriert sind, wobei die Sensorschaltung (123, 202, 33, 43) die Daten (2041, 207, 5153) dem Datenprüfer (14, 2042, 2043, 34, 44) durch ein sequentielles Zwischenspeichern der Daten (2041, 207, 5153) in den elektronischen Elementen (123_1, 123_2, ..., 123_n) übermittelt; – Prüfen der Korrektheit der Daten (2041, 207, 210, 5153) durch den Datenprüfer (14, 2042, 2043, 34, 44).
  20. Dateneinheit (2041, 207, 5153), die: – zum Identifizieren von äußeren Einflüssen (1222) auf zumindest eine Verarbeitungseinheit (121, 122, 201, 203, 32, 42_1, 42_2, 42_3) einer Menge von Verarbeitungseinheiten (121, 122, 201, 203, 32, 42_1, 42_2, 42_3) in einem eingebetteten System ausgestaltet ist; – zum Übermitteln durch eine Sensorschaltung (123, 202, 33, 43) an einen Datenprüfer (14, 2042, 2043, 34, 44) zum Identifizieren von äußeren Einflüssen (1222) ausgestaltet ist, wobei die Sensorschaltung (123, 202, 33, 43) eine Menge an elektronischen Elementen (123_1, 123_2, ..., 123_n) aufweist, die zum Speichern von Daten (2041, 207, 5153) konfiguriert sind, und wobei die Sensorschaltung (123, 202, 33, 43) die Dateneinheit (2041, 207, 5153) dem Datenprüfer (14, 2042, 2043, 34, 44) durch ein sequentielles Zwischenspeichern der Dateneinheit (2041, 207, 5153) in den elektronischen Elementen (123_1, 123_2, ..., 123_n) übermittelt; und – zum Prüfen ihrer Korrektheit durch den Datenprüfer (14, 2042, 2043, 34, 44) ausgestaltet ist.
  21. Dateneinheit (2041, 207, 5153) nach Anspruch 20, wobei die Dateneinheit (2041, 207, 5153) ein Datenmuster (511, 521, 531) aufweist, das zum Identifizieren von äußeren Einflüssen (1222) auf zumindest eine Verarbeitungseinheit (121, 122, 201, 203, 32, 421, 422, 42_3) der Menge von Verarbeitungseinheiten (121, 122, 201, 203, 32, 42_1, 42_2, 42_3) ausgestaltet ist.
  22. Dateneinheit (2041, 207, 5153) nach Anspruch 20 oder 21, wobei: – die Dateneinheit (2041, 207, 5153) einen Sicherheitsanhang (522, 532) aufweist; und – der Sicherheitsanhang (522, 532) derart konfiguriert ist, dass das Prüfen der Korrektheit der Dateneinheit (2041, 207, 5153) durch den Datenprüfer (14, 2042, 2043, 34, 44) unter Verwendung des Sicherheitsanhangs (522, 532) ausgeführt wird.
  23. Dateneinheit (2041, 207, 5153) nach zumindest einem der vorstehenden Ansprüche 20 bis 22, wobei der Sicherheitsanhang (522, 532) unter Verwendung des Datenmusters (511, 521, 531) generiert ist.
  24. Dateneinheit (2041, 207, 5153) nach zumindest einem der Ansprüche 20 bis 23, wobei die Dateneinheit einen Zeitstempel (533) aufweist, der anzeigt, zu welcher Zeit die Dateneinheit (2041, 207, 5153) generiert wurde.
  25. Dateneinheit (2041, 207, 5153) nach zumindest einem der Ansprüche 20 bis 24, wobei der Sicherheitsanhang (522, 532) unter Verwendung des Datenmusters (511, 521, 531) und des Zeitstempels (533) generiert ist.
DE102009037721A 2009-08-17 2009-08-17 Vorrichtungen und Verfahren zum Identifizieren von äußeren Einflüssen auf zumindest eine Verarbeitungseinheit eines eingebetteten Systems Ceased DE102009037721A1 (de)

Priority Applications (5)

Application Number Priority Date Filing Date Title
DE102009037721A DE102009037721A1 (de) 2009-08-17 2009-08-17 Vorrichtungen und Verfahren zum Identifizieren von äußeren Einflüssen auf zumindest eine Verarbeitungseinheit eines eingebetteten Systems
PCT/EP2010/060281 WO2011020661A1 (de) 2009-08-17 2010-07-16 Vorrichtungen und verfahren zum identifizieren von äusseren einflüssen auf zumindest eine verarbeitungseinheit eines eingebetteten systems
US13/391,164 US20120151281A1 (en) 2009-08-17 2010-07-16 Apparatuses and methods for identification of external influences on at least one processing unit of an embedded system
EP10734972A EP2467780A1 (de) 2009-08-17 2010-07-16 Vorrichtungen und verfahren zum identifizieren von äusseren einflüssen auf zumindest eine verarbeitungseinheit eines eingebetteten systems
CN2010800365551A CN102473124A (zh) 2009-08-17 2010-07-16 用于标识出对嵌入式***的至少一个处理单元的外部影响的装置和方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102009037721A DE102009037721A1 (de) 2009-08-17 2009-08-17 Vorrichtungen und Verfahren zum Identifizieren von äußeren Einflüssen auf zumindest eine Verarbeitungseinheit eines eingebetteten Systems

Publications (1)

Publication Number Publication Date
DE102009037721A1 true DE102009037721A1 (de) 2011-04-28

Family

ID=42942608

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102009037721A Ceased DE102009037721A1 (de) 2009-08-17 2009-08-17 Vorrichtungen und Verfahren zum Identifizieren von äußeren Einflüssen auf zumindest eine Verarbeitungseinheit eines eingebetteten Systems

Country Status (5)

Country Link
US (1) US20120151281A1 (de)
EP (1) EP2467780A1 (de)
CN (1) CN102473124A (de)
DE (1) DE102009037721A1 (de)
WO (1) WO2011020661A1 (de)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0106985A2 (de) * 1982-09-02 1984-05-02 Siemens Aktiengesellschaft Betriebsüberwachung von digitalen Übertragungsstrecken

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS5229898B2 (de) * 1972-02-18 1977-08-04
US4365332A (en) * 1980-11-03 1982-12-21 Fairchild Camera And Instrument Corp. Method and circuitry for correcting errors in recirculating memories
JP2805970B2 (ja) * 1990-04-06 1998-09-30 株式会社デンソー 車両用電子制御装置
DE4421083C2 (de) * 1994-06-16 1996-04-11 Volkswagen Ag Verfahren zur Überwachung einer seriellen Übertragung von digitalen Daten auf einer Ein-Draht-Multiplexverbindung zwischen untereinander kommunizierenden Signalverarbeitungsgeräten
DE19601830A1 (de) * 1995-01-31 1996-08-01 Volkswagen Ag Verfahren zur Überwachung einer seriellen Übertragung von digitalen Datennachrichten zwischen untereinander kommunizierenden Signalverarbeitungsgeräten
JPH1164041A (ja) * 1997-08-12 1999-03-05 Mitsubishi Electric Corp 物理量センサ
DE102004018858A1 (de) * 2004-04-19 2005-11-10 Elektro Beckhoff Gmbh Unternehmensbereich Industrie Elektronik Verfahren und Steuerungssystem zum Erkennen eines Fehlers bei einer Verarbeitung von Daten in einem Verarbeitungssystem
JP2005353238A (ja) * 2004-06-14 2005-12-22 Renesas Technology Corp 連想メモリ
US7657807B1 (en) * 2005-06-27 2010-02-02 Sun Microsystems, Inc. Integrated circuit with embedded test functionality
KR100749820B1 (ko) * 2006-11-06 2007-08-17 한국전자통신연구원 센서 네트워크로부터의 센싱 데이터 처리 시스템 및 그방법
CH699148B1 (de) * 2007-12-19 2010-01-29 Elpro Buchs Ag Datenlogger.

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0106985A2 (de) * 1982-09-02 1984-05-02 Siemens Aktiengesellschaft Betriebsüberwachung von digitalen Übertragungsstrecken

Also Published As

Publication number Publication date
WO2011020661A1 (de) 2011-02-24
US20120151281A1 (en) 2012-06-14
EP2467780A1 (de) 2012-06-27
CN102473124A (zh) 2012-05-23

Similar Documents

Publication Publication Date Title
DE60117066T2 (de) Verfahren und Vorrichtung zum Überprüfen von fehlerkorrigierenden Codes
DE112020000036T5 (de) Automatisierte prüfeinrichtung zum prüfen eines oder mehrerer prüfobjekte, verfahren zum automatisierten prüfen eines oder mehrerer prüfobjekte und computerprogramm unter verwendung eines pufferspeichers
EP3207683A1 (de) Verfahren und vorrichtung zum rückwirkungsfreien erfassen von daten
DE102010013349B4 (de) Computersystem und Verfahren zum Vergleichen von Ausgangssignalen
EP2273369B1 (de) Verfahren zur Darstellung einer sicherheitsrelevanten Information auf einer Anzeigevorrichtung und Vorrichtung zur Durchführung des Verfahrens
DE102006001872B4 (de) Vorrichtung und Verfahren zum Überprüfen einer Fehlererkennungsfunktionalität einer Datenverarbeitungseinrichtung auf Angriffe
DE102010047960A1 (de) Sensoranordnung und Verfahren, um diese zu nutzen
WO2009000597A1 (de) Prüfverfahren und elektronische schaltung zur sicheren seriellen übertragung von daten
WO2013160009A1 (de) Verfahren und vorrichtung zum erkennen einer manipulation an einer elektrischen leitung
EP2273278A2 (de) Prüfsystem zum Prüfen einer Leitungsanordnung und Verfahren zum Herstellen einer Leitungsanordnung
DE69419269T2 (de) Verfahren zur automatischen Ermittlung von offenen Schaltkreisen
DE10120670B4 (de) Verfahren zur Reparatur von Hardwarefehlern in Speicherbausteinen
DE102016106531A1 (de) Busteilnehmer und Verfahren zum Betreiben eines Busteilnehmers
DE102009037721A1 (de) Vorrichtungen und Verfahren zum Identifizieren von äußeren Einflüssen auf zumindest eine Verarbeitungseinheit eines eingebetteten Systems
EP3273352A1 (de) Computerisiertes system
WO2009087017A1 (de) Verfahren zur fehlererkennung in einem steuerungssystem eines medizinischen behandlungs- und/oder diagnosegeräts
DE102017201621A1 (de) Integrierte Schaltung für ein Steuergerät eines Kraftfahrzeugs, Verfahren zur Herstellung einer integrierten Schaltung
EP0182134A2 (de) Verfahren zum Betrieb eines signaltechnisch sicheren Mehrrechnersystems mit mehreren signaltechnisch nicht sicheren Ein/Ausgabebaugruppen
DE102011087132B4 (de) Halbleiterbauelement mit Adressierungsüberwachung eines Pixelarrays
DE102020001561A1 (de) Medizingeräteanordnung mit einem Prüfmodul
EP1394559A1 (de) Verfahren und Anordnung zur Erkennung und Behebung von Leitungsdefekten
DE10029141A1 (de) Verfahren zur Fehlerüberwachung eines Speicherinhalts mittels Prüfsummen sowie Mikrocontroller mit einem prüfsummengesicherten Speicherbereich
DE102018217406B4 (de) Verfahren und Vorrichtung zum elektrischen Prüfen einer elektrischen Baugruppe
EP2318974B1 (de) Verfahren zum betrieb einer transaktionsbasierten ablaufsteuerung
AU2020101968A4 (en) Low level instrumentation layer for component-level diagnosis of failures in industrial iot system

Legal Events

Date Code Title Description
R016 Response to examination communication
OP8 Request for examination as to paragraph 44 patent law
R002 Refusal decision in examination/registration proceedings
R003 Refusal decision now final

Effective date: 20120218