DE102009054106A1 - Verfahren und Vorrichtung zur Erfassung von Daten in einem redundanten System - Google Patents

Verfahren und Vorrichtung zur Erfassung von Daten in einem redundanten System Download PDF

Info

Publication number
DE102009054106A1
DE102009054106A1 DE102009054106A DE102009054106A DE102009054106A1 DE 102009054106 A1 DE102009054106 A1 DE 102009054106A1 DE 102009054106 A DE102009054106 A DE 102009054106A DE 102009054106 A DE102009054106 A DE 102009054106A DE 102009054106 A1 DE102009054106 A1 DE 102009054106A1
Authority
DE
Germany
Prior art keywords
security
safety
redundant system
activation
paths
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE102009054106A
Other languages
English (en)
Inventor
Richard Baur
Marcus Weidner
Simon Schilling
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bayerische Motoren Werke AG
Original Assignee
Bayerische Motoren Werke AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bayerische Motoren Werke AG filed Critical Bayerische Motoren Werke AG
Priority to DE102009054106A priority Critical patent/DE102009054106A1/de
Publication of DE102009054106A1 publication Critical patent/DE102009054106A1/de
Ceased legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T7/00Brake-action initiating means
    • B60T7/12Brake-action initiating means for automatic initiation; for initiation not subject to will of driver or passenger
    • B60T7/16Brake-action initiating means for automatic initiation; for initiation not subject to will of driver or passenger operated by remote control, i.e. initiating means not mounted on vehicle
    • B60T7/18Brake-action initiating means for automatic initiation; for initiation not subject to will of driver or passenger operated by remote control, i.e. initiating means not mounted on vehicle operated by wayside apparatus
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0218Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults
    • G05B23/0224Process history based detection method, e.g. whereby history implies the availability of large amounts of data
    • G05B23/0227Qualitative history assessment, whereby the type of data acted upon, e.g. waveforms, images or patterns, is not relevant, e.g. rule based assessment; if-then decisions
    • G05B23/0237Qualitative history assessment, whereby the type of data acted upon, e.g. waveforms, images or patterns, is not relevant, e.g. rule based assessment; if-then decisions based on parallel systems, e.g. comparing signals produced at the same time by same type systems and detect faulty ones by noticing differences among their responses
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1641Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • Human Computer Interaction (AREA)
  • Air Bags (AREA)

Abstract

Es werden ein Verfahren und eine Vorrichtung zur Erfassung von Daten in einem redundanten System vorgeschlagen, umfassend mindestens zwei Sicherheitspfade, bei dem abhängig von Eingangsparametern mindestens einer der mindestens zwei Sicherheitspfade aktiviert wird; und bei dem die Aktivierung des mindestens einen Sicherheitspfads erfasst wird. Weiterhin wird ein Fahrzeug mit mindestens einer derartigen Vorrichtung angegeben.

Description

  • Die Erfindung betrifft ein Verfahren und eine Vorrichtung zur Erfassung von Daten in einem redundanten System.
  • Fahrzeuge werden nach einem Anforderungskatalog entwickelt. Durch den ständig wachsenden Einsatz von Elektronik in dem Fahrzeug werden einem Benutzer eine Vielzahl von Funktionen und Einstellmöglichkeiten angeboten. Auch sicherheitsrelevante Funktionen des Fahrzeugs, z. B. betreffend Airbag, Antiblockiersystem (ABS), elektronisches Stabilitätsprogramm (ESP), Aktivlenkung (AFS, Active Front Steering), erfordern eine elektronische Ansteuerung und/oder Auswertung. Dabei nehmen die Anforderungen, z. B. Komplexität, Vernetzung und Kommunikation, an die Komponenten zu. Hierbei ist es von Bedeutung, dass trotz steigender Anforderungen die Komponenten, z. B. Steuergeräte, nach vorgegebenen Sicherheitsvorschriften gefertigt werden und dass die Funktion der Komponenten unter Einhaltung vorgegebener Sicherheitsvorschriften erfolgt.
  • Beispielsweise dient ein sogenannter Sicherheitsnachweis dazu, dass für eine Komponente, z. B. ein Steuergerät, oder einen Verbund aus mehreren Komponenten eine Dokumentation von durchgeführten Maßnahmen erfolgt, die zum Erreichen einer vorgegebenen (z. B. notwendigen) Sicherheit erforderlich sind.
  • So kann ein bestimmtes Maß an Sicherheit mittels mindestens eines der folgenden Ansätze zur Fehlerbeherrschung erreicht werden:
    • a) Komponenten (oder Teilsysteme) werden redundant ausgelegt.
    • b) Es erfolgt eine Aufteilung von Funktionen und/oder Komponenten in sicherheitsrelevante und nicht-sicherheitsrelevante Teilfunktionen oder Teilsysteme.
    • c) Die Komponenten verfügen jeweils über Diagnosemechanismen, insbesondere zur Eigendiagnose. Entsprechend kann je nach Anforderung eine hohe Diagnoseabdeckung erreicht werden.
  • Somit können beispielsweise Fehler oder Ausfälle während des eigentlichen Betriebs der Komponente als auch Ausfälle auf Grund systematischer Fehler, wie sie z. B. bei der Entwicklung, Produktion, oder Wartung auftreten können, erkannt werden.
  • Insbesondere gibt es die folgenden Arten von Sicherheitsmaßnahmen:
    • 1) Eine Sicherheitsmaßnahme, die bewirkt, dass eine sicherheitskritische Systemfunktion nicht aus- oder weitergeführt wird. Beispielsweise kann eine Überwachungskomponente (”Watchdog”) das Gesamtsystem bei Erkennung eines Fehlers in einen sicheren Zustand überführen, z. B. abschalten.
    • 2) Eine Sicherheitsmaßnahme mit einem ermöglichendem Charakter: So kann über eine Aktivierung der Sicherheitsmaßnahme bewirkt werden, dass eine sicherheitskritische Systemfunktion ausgeführt wird.
  • Eine Beschreibung aller zum Erreichen der Sicherheit einer Funktion geeigneten oder notwendigen Sicherheitsmaßnahmen erfolgt in einem sogenannten Sicherheitskonzept.
  • Hierbei ist es grundsätzlich problematisch, dass z. B. bei einer redundanten Auslegung einer Komponente (z. B. eines Steuergeräts) sich widersprechende Sicherheitsanforderungen vorliegen können. Im Falle eines Airbag-Steuergeräts kann z. B. einerseits die Sicherheitsanforderung ”Verhindern einer Fehlauslösung des Airbags” und andererseits die Sicherheitsanforderung ”Sicherstellen der Auslösung des Airbags bei einem Unfall” vorliegen.
  • Somit besteht einerseits ein Zielkonflikt zwischen der Verfügbarkeit und der Sicherheit der Komponente bzw. Funktion. Werden Sicherheitsmaßnahme zu restriktiv ausgelegt, steigt zwar die Sicherheit der Gesamtfunktion bei gleichzeitiger Abnahme der Verfügbarkeit der Funktion. Wird umgekehrt bei entsprechender Auslegung der Sicherheitsmaßnahmen die Verfügbarkeit der Funktion erhöht, sinkt die Sicherheit der Komponente bzw. Funktion.
  • Auch ist es ein Problem, dass aufgrund geringer konkreter Daten und/oder geringer Felderfahrung zum Zeitpunkt der Entwicklung neuer Systeme Abschätzungen und Vermutungen hinsichtlich der Auslegung von Sicherheitsmaßnahmen bzw. der Notwendigkeit von (ggf. zusätzlichen) Sicherheitsmaßnahmen vorgenommen werden.
  • Eine derartige Abschätzung bzw. Vermutung kann u. U. recht ungenau sein und z. B. zu einer zu konservativen Auslegung der Komponente bzw. Funktion führen.
  • Die Aufgabe der Erfindung besteht darin, die vorstehend genannten Nachteile zu vermeiden und insbesondere eine Möglichkeit zur effizienten Auslegung einer sicherheitsrelevanten Komponente und/oder Funktion zu schaffen. Beispielsweise wird hierdurch die Qualität der Auslegung von Sicherheitsmaßnahmen verbessert.
  • Diese Aufgabe wird gemäß den Merkmalen der unabhängigen Patentansprüche gelöst. Weiterbildungen der Erfindung ergeben sich auch aus den abhängigen Ansprüchen.
  • Zur Lösung der Aufgabe wird ein Verfahren zur Erfassung von Daten in einem redundanten System vorgeschlagen, umfassend mindestens zwei Sicherheitspfade,
    • – bei dem abhängig von Eingangsparametern mindestens einer der mindestens zwei Sicherheitspfade aktiviert wird;
    • – bei dem die Aktivierung des mindestens einen Sicherheitspfads erfasst wird.
  • Für die Auslegung der Sicherheitsmaßnahmen mit ermöglichendem Charakter ist es von Vorteil, zu wissen, wie oft die Sicherheitsmaßnahme im ”normalen Betrieb” aktiviert wurde bzw. wird. Der hier vorliegende Ansatz stellt eine derartige Größe bereit und erlaubt somit vorteilhaft eine robuste und gleichzeitig nicht unnötig restriktive Auslegung der Sicherheitsmaßnahme. Hierbei wird die Effizienz des Systems erhöht und zusätzliche Kosten für weitere Test- und Absicherungsmaßnahmen (z. B. in Form von ansonsten anfallenden Nacharbeiten für unpassend ausgelegte Sicherheitsmaßnahmen) können eingespart werden.
  • Jeder Sicherheitspfad entspricht z. B. einer Sicherheitsmaßnahme bzw. einer Teilsicherheitsmaßnahme des Systems. Bei der Sicherheitsmaßnahme kann es sich um eine ermöglichende Maßnahme oder eine verbietende (deaktivierende) Maßnahme handeln. Im ersten Fall ermöglicht der Sicherheitspfad eine Aktivierung des sicherheitsrelevanten Systems falls auch der andere Sicherheitspfad (im Falle zweier Sicherheitspfade) die Aktivierung vorschlägt. Somit sind im Ergebnis die Sicherheitspfade logisch UND verknüpft. Alternativ kann jeder Sicherheitspfad verhindern, dass ein sicherheitsrelevantes System aktiviert wird; somit reicht es auch, wenn ein einziger der mehreren Sicherheitspfade ein Verbot zur Aktivierung anzeigt. Dies entspricht einer logischen NICHT-ODER-Verknüpfung.
  • Hierbei sei angemerkt, dass die Aktivierung des mindestens einen Sicherheitspfads einem beliebigen vorgegebenen Ereignis entsprechen kann. Dieses Ereignis wird geeignet erfasst. Beispielsweise kann die Aktivierung des Sicherheitspfads auch zu einer Deaktivierung eines Aktors führen. Insbesondere entspricht die Aktivierung des mindestens einen Sicherheitspfads einer Zustandsänderung des mindestens einen Sicherheitspfads.
  • Bei dem Sicherheitspfad kann es sich auch um einen Funktionspfad handeln, also um einen Pfad, der mit einer vorgegebenen Funktion assoziiert ist. Der Funktionspfad kann mit einem weiteren Sicherheitspfad kombiniert werden, so dass der Sicherheitspfad eine Aktivierung bzw. Deaktivierung eines Aktors sicherstellt, z. B. wenn zusätzlich zu bzw. unabhängig von dem Funktionspfad übereinstimmend mit diesem auch der Sicherheitspfad die Aktivierung bzw. Deaktivierung des Aktors vorschlägt.
  • Eine Weiterbildung ist es, dass das redundante System mindestens ein Steuergerät oder mindestens eine Steuerfunktionalität umfasst.
  • Beispielsweise kann es sich bei dem Steuergerät um ein Steuergerät in einem Kraftfahrzeug handeln, z. B. ein Airbagsteuergerät, ein Steuergerät für ein Antiblockiersystem, ein Steuergerät für eine Aktivlenkung, ein Steuergerät für ein elektronisches Fahrstabilitätsprogramm, etc.
  • Eine andere Weiterbildung ist es, dass das redundante System mindestens einen Aktor umfasst, der über eine geeignete Verknüpfung der Sicherheitspfade aktiviert oder deaktiviert wird.
  • Die Verknüpfung der Sicherheitspfade ist beispielsweise eine UND-Verknüpfung der von den Sicherheitspfaden bereitgestellten Aktivierungssignale. Auch andere logische Verknüpfungen, z. B. eine ODER-Verknüpfung oder eine NICHT-ODER-Verknüpfung sind möglich. Auch Kombinationen aus (beliebigen) logischen Verknüpfungen sind möglich, insbesondere bei einer Vielzahl von Sicherheitspfaden.
  • Der mindestens eine Aktor kann ein beliebiger Aktor, insbesondere ein Aktor in einem Kraftfahrzeug, sein.
  • Insbesondere ist es eine Weiterbildung, dass mit der Aktivierung des mindestens einen Sicherheitspfads die Eingangsparameter oder ein Teil der Eingangsparameter erfasst werden.
  • Auch ist es möglich, dass GPS-Daten zusammen mit der Aktivierung des mindestens einen Sicherheitspfads erfasst werden.
  • Auch ist es eine Weiterbildung, dass das System anhand der erfassten Daten eingestellt wird.
  • Insbesondere kann das System anhand der erfassten Daten geändert oder dimensioniert werden.
  • Ferner ist es eine Weiterbildung, dass die Daten erfasst werden während des Betriebs des Systems und/oder während der Erprobung des Systems.
  • Bei dem System handelt es sich vorzugweise um ein Fahrzeug oder ein Teil in einem Fahrzeug.
  • Im Rahmen einer zusätzlichen Weiterbildung werden die erfassten Daten gespeichert.
  • Beispielsweise können die erfassten Daten zwischengespeichert werden zur späteren Verarbeitung und/oder Anpassung des redundanten Systems.
  • Eine nächste Weiterbildung besteht darin, dass die mindestens zwei Sicherheitspfade unterschiedliche Eingangsparameter auswerten.
  • Optional können die mehreren Sicherheitspfade auch die gleichen Eingangsparameter auswerten. Insbesondere können die mehreren Sicherheitspfade jeweils unterschiedliche Funktionen bereitstellen.
  • Eine Ausgestaltung ist es, dass die mindestens zwei Sicherheitspfade mit unterschiedlicher Hardware ausgeführt sind.
  • Optional können die mehreren Sicherheitspfade auch mit gleicher oder funktionsgleicher Hardware ausgestattet sein. Durch die unterschiedlichen Realisierungen der mehreren Sicherheitspfade ist es möglich, abhängig von dem jeweiligen Bearbeitungsaufwand kosteneffizient Teilfunktionen bereitzustellen. So kann z. B. in einem Sicherheitspfad ein ASIC eingesetzt werden, der kostengünstig ist und schnell geeignete Auswertungen durchführen kann; in einem zweiten Sicherheitspfad kann ein Prozessor mit geeigneter Beschattung vorhanden sein, der aufwändige Berechnungen (z. B. in Echtzeit) durchführt und entsprechend teurer als der oben genannte ASIC ist.
  • Eine alternative Ausführungsform besteht darin, dass eine Dauer der Aktivierung des mindestens einen Sicherheitspfads erfasst wird.
  • Eine nächste Ausgestaltung ist es, dass eine Häufigkeit der Aktivierung des mindestens einen Sicherheitspfads erfasst wird.
  • Auch ist es eine Ausgestaltung, dass die mindestens zwei Sicherheitspfade gleiche oder unterschiedliche Sicherheitsguten aufweisen.
  • Die Sicherheitsgüte kann z. B. einer Einstufung gemäß den Normen IEC 61508 oder ISO 26262 entsprechen. Somit kann für das Gesamtsystem eine höhere Sicherheitsgüte erreicht werden, obwohl die einzelnen Sicherheitspfade jeweils eine geringere Sicherheitsgüte aufweisen: Durch die redundante Auslegung der Sicherheitspfade steigt die Sicherheitsgüte des Gesamtsystems.
  • Eine weitere Ausgestaltung ist es, dass das redundante System ein System oder eine Funktion in einem Kraftfahrzeug ist.
  • Die vorstehend genannte Aufgabe wird auch gelöst durch eine Vorrichtung zur Erfassung von Daten in einem redundanten System
    • – umfassend mindestens zwei Sicherheitspfade,
    • – bei der abhängig von Eingangsparametern mindestens einer der mindestens zwei Sicherheitspfade aktivierbar ist;
    • – bei der die Aktivierung des mindestens einen Sicherheitspfads erfassbar ist.
  • Auch wird die oben genannte Aufgabe gelöst durch ein Fahrzeug umfassend mindestens eine der hierin erläuterten Vorrichtungen.
  • Ausführungsbeispiele der Erfindung werden nachfolgend anhand der Zeichnung dargestellt und erläutert.
  • Es zeigt:
  • 1 ein schematisches Blockdiagramm zur Realisierung einer sicherheitsrelevanten Funktion, z. B. zur Auslösung (mindestens) eines Airbags in einem Fahrzeug.
  • Es wird vorgeschlagen, dass mindestens eine Aktivierung einer Sicherheitsmaßnahme einer Komponente oder einer Funktion, insbesondere eines sicherheitsrelevanten Systems, erfasst wird. Eine solche Aktivierung kann z. B. abgespeichert, übertragen und/oder weiterverarbeitet werden. Insbesondere kann die Aktivierung der Sicherheitsmaßnahme während des normalen Betriebs der Komponente oder Funktion erfasst werden, z. B.
    • – während einer Entwicklungsphase oder einer Erprobungsphase bzw.
    • – während eines Feldbetriebs.
  • Die Komponente oder Funktion kann Sicherheitsanforderungen und/oder Sicherheitsguten unterliegen, die durch mindestens eine der Sicherheitsmaßnahmen mit ermöglichendem Charakter erfüllt wird.
  • Bei der Sicherheitsmaßnahme mit ermöglichendem Charakter kann beispielsweise eine Absicherung eines Airbagsteuergeräts dahingehend erfolgen, dass ein unerwünschter Fehler ”Fehlauslösen des Airbags” durch eine redundante Aufteilung der Gesamtfunktionalität in zwei Sicherheitspfade vermieden wird. Vorzugsweise können die beiden Sicherheitspfade unterschiedliche Überwachungen durchführen, z. B. basierend auf unterschiedlichen Eingangsparametern. Das Airbagsteuergerät löst in diesem Beispiel nur dann aus, wenn beide Sicherheitspfade übereinstimmend die Aktivierung vorschlagen.
  • Insbesondere wird erfasst und/oder gespeichert, wie oft und/oder wie lange ein Sicherheitspfad aktiviert wird und/oder aktiviert ist.
  • Die erfassten bzw. abgespeicherten Daten z. B. aus dem Erprobungs- oder Feldbetrieb können ausgewertet werden, wodurch
    • a) ein Nachweis erbracht werden kann, dass die Komponente bzw. Funktion eine ausreichend robuste aber nicht unnötig restriktive Auslegung der Sicherheitsmaßnahme aufweist;
    • b) ein Nachweis erbracht werden kann, dass eine ausreichende Sicherheit der Sicherheitsmaßnahme und/oder der Gesamtfunktion gegeben ist;
    • c) ein Nachweis erbracht werden kann, dass eine Aufteilung der Gesamtfunktion in redundante Teilsysteme mit unterschiedlichen Sicherheitsguten funktioniert, insbesondere korrekt ist und eine entsprechende Gültigkeit aufweist.
  • Die vorstehend genannte Nachweise a) bis c) können einzeln oder in Kombination miteinander erbracht werden.
  • Die redundanten Komponenten können gleiche oder unterschiedliche Sicherheitsguten aufweisen. Die Sicherheitsgüte kann z. B. in Form einer SIL oder ASIL Einstufung gemäß den Normen IEC 61508 oder ISO 26262 erfolgen.
  • Hierbei ist es von Vorteil, dass bei der Aufteilung der Gesamtfunktionen in zumindest teilweise redundante Teilsysteme mit jeweils unterschiedlichen Sicherheitsguten diese Teilsysteme nur noch eine gegenüber der Anforderung an das Gesamtsystem reduzierte Sicherheitsgute aufweisen müssen. Somit ermöglicht die redundante Auslegung insgesamt eine kostengunstigere Implementierung der Gesamtfunktion.
  • Durch die hier vorgeschlagene Lösung ist es möglich, sicherheitsrelevante Komponenten oder Funktionen, z. B. Steuergeräte, effizient zu entwickeln und dabei eine vorgegebene Sicherheitsgüte sicherzustellen.
  • Ein weiterer Vorteil besteht darin, dass ein Sicherheitsnachweis erbracht werden kann. Somit ist z. B. eine Zertifizierung möglich oder es kann eine Sicherheitsgüte entsprechend dokumentiert werden.
  • 1 zeigt ein schematisches Blockdiagramm zur Realisierung einer sicherheitsrelevanten Funktion, z. B. zur Auslösung (mindestens) eines Airbags in einem Fahrzeug.
  • Um ein bestimmtes Maß an Sicherheit, z. B. eine vorgegebene Sicherheitsgüte, zu erreichen, ist die sicherheitsrelevante Funktion redundant in Form von Teilfunktionen ausgelegt. So kann die Entscheidung, ob oder ob nicht der Airbag gezündet wird davon abhängig gemacht werden, dass Teilfunktionen übereinstimmend eine Aktivierung anzeigen. Jede Teilfunktion stellt somit eine Sicherheitsmaßnahme mit einem ermöglichendem Charakter bereit.
  • Die sicherheitsrelevante Funktion gemäß 1 weist zwei Sicherheitspfade 108, 109 auf. In einem Kraftfahrzeug stehen, z. B. über ein Bussystem, eine Vielzahl von Parametern 101 bis 107 zur Verfügung, die redundanten Teilfunktionen der sicherheitsrelevanten Funktion bereitgestellt werden. Die erste Teilfunktion ist mittels eines Mikrokontrollers 110 und die zweite Teilfunktion ist mittels eines ASICs 111 realisiert. Der Mikrokontroller 110 erhält die Parameter 102, 103, 105 und 106 und bestimmt hieraus, ob oder ob nicht eine Aktivierung der ersten Teilfunktion erfolgen soll. Entsprechend erhält der ASIC 111 die Parameter 101, 103, 106 und 107 und ermittelt, ob eine Aktivierung der zweiten Teilfunktion nötig ist.
  • Die vorstehende Zuordnung von Parametern zu Teilfunktionen ist nur beispielhaft zu verstehen. Es ist auch möglich, dass beide Teilfunktionen jeweils gleiche Parameter, oder beliebige Zuordnungen von Parametern erhalten. Auch können eine Vielzahl von Teilfunktionen (mehr als die zwei gezeigten Sicherheitspfade 108, 109) vorgesehen sein, die auf gleiche oder unterschiedliche Parameter zugreifen und über gleiche oder unterschiedliche Verarbeitungsmittel (Mikrokontroller, Prozessor, FPGA, ASIC, programmierbare Logik, etc.) verfügen.
  • Beispielhaft können unterschiedliche Teilfunktionen mit unterschiedlicher Hardware realisiert sein, z. B. kann in einem Sicherheitspfad eine einfachere bzw. kostengünstigere Hardware eingesetzt werden, die z. B. eine Sicherheitsmaßnahme mit ermöglichendem Charakter bereitstellt, während in dem anderen Sicherheitspfad eine aufwändigere Hardware eine komplexere Auswertung durchführt, ob oder ob nicht die Aktivierung (z. B. eines Airbags) erfolgen soll.
  • Beide Sicherheitspfade 108, 109 liefern unabhängig voneinander ggf. ein Aktivierungssignal; die Aktivierungssignale werden in einer Einheit 112 miteinander kombiniert, d. h. logisch UND verknüpft, so dass ein Aktor 113 nur ausgelöst wird, wenn die Signale beider Sicherheitspfade 108 und 109 übereinstimmend eine Aktivierung vorschlagen.
  • Hierbei sein angemerkt, dass die Einheit 112 auch eine andere logische Verknüpfung aufweisen kann. Z. B. kann es bei einer sicherheitsrelevanten Funktion mittels der Sicherheitspfade nötig sein, dass mindestens ein Sicherheitspfad eine Aktivierung des Aktors 113 durchführen kann. In diesem Fall kann die Einheit 112 die Sicherheitspfade logisch ODER verknüpfen. Ergänzend sei darauf hingewiesen, dass der Aktor 113 dazu eingerichtet sein kann, eine Funktion oder Komponente in einen sicheren Zustand zu überführen. Insbesondere in diesem Fall kann die ODER-Verknüpfung vorteilhaft sein, weil jedes Aktivierungssignal jedes Sicherheitspfads den sicheren Zustand einleitet.
  • Weiterhin ist eine Einheit 114 zur Erfassung und/oder Auswertung von Aktivierungssignalen der beiden Sicherheitspfade 108, 109 vorgesehen. Die Erfassung kann z. B. am Ausgang des Mikrokontrollers 110 oder des ASICs 111 erfolgen. Die Einheit 114 speichert die Aktivierungssignale sowie die Nicht-Aktivierungssignale ab, so dass hieraus insbesondere im Zusammenhang mit weiteren Daten, z. B. einer erfassten Fahrstrecke, feststellbar ist, ob die Auslegung der sicherheitsrelevanten Funktion einer Vorgabe entspricht. Anhand der von der Einheit 114 erfassten Daten ist es z. B. möglich, alle Signale auszuwerten, bei denen mindestens ein Sicherheitspfad 108, 109 eine Aktivierung vorschlägt. Z. B. kann mithilfe von zusätzlich abgespeicherten Parametern das Ereignis ausgewertet werden und diese Auswertung entsprechend zur Einstellung der Auslöseschwellen der Sicherheitspfade 108, 109 verwendet werden. Bei den vorstehend genannten abgespeicherten Parametern handelt es sich z. B. um einen zeitlichen Verlauf der Parameter 101 bis 107 über die Fahrstrecke eines Kraftfahrzeugs, wobei die Fahrstrecke beispielsweise mittels GPS-Koordinaten eines Navigationssystems ermittelt und abgespeichert wird.
  • Weiterhin ist es möglich, dass die Sicherheitspfade 108, 109 mit jeweils einer geringeren Sicherheitsgüte eine höhere Sicherheitsgüte der gesamten sicherheitsrelevanten Funktion ermöglichen. Durch den hier vorgeschlagenen Ansatz kann weiterhin die Güte der sicherheitsrelevanten Funktion geeignet dokumentiert werden. Diese Transparenz ist geeignet, um die sicherheitsrelevante Funktion weiter zu verbessern und so auszulegen, dass sie z. B. noch besser auf das Fahrzeug oder den Fahrzeugtyp abgestimmt ist.
  • Bezugszeichenliste
    • 101
    Parameter
    102
    Parameter
    103
    Parameter
    104
    Parameter
    105
    Parameter
    106
    Parameter
    107
    Parameter
    108
    Sicherheitspfad
    109
    Sicherheitspfad
    110
    Mikrokontroller
    111
    ASIC
    112
    Einheit (zur logischen Verknüpfung der Aktivierungssignale der Sicherheitspfade 108, 109)
    113
    Aktor
    114
    Einheit zur Erfassung und/oder Auswertung der Aktivierungssignale
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Nicht-Patentliteratur
    • IEC 61508 [0039]
    • ISO 26262 [0039]
    • IEC 61508 [0052]
    • ISO 26262 [0052]

Claims (15)

  1. Verfahren zur Erfassung von Daten in einem redundanten System umfassend mindestens zwei Sicherheitspfade (108, 109), – bei dem abhängig von Eingangsparametern (101107) mindestens einer der mindestens zwei Sicherheitspfade (108, 109) aktiviert wird; – bei dem die Aktivierung des mindestens einen Sicherheitspfads erfasst (114) wird.
  2. Verfahren nach Anspruch 1, bei dem das redundante System mindestens ein Steuergerät oder mindestens eine Steuerfunktionalität umfasst.
  3. Verfahren nach einem der vorhergehenden Ansprüche, bei dem das redundante System mindestens einen Aktor (113) umfasst, der über eine geeignete Verknüpfung der Sicherheitspfade (108, 109) aktiviert oder deaktiviert wird.
  4. Verfahren nach einem der vorhergehenden Ansprüche, bei dem mit der Aktivierung des mindestens einen Sicherheitspfads die Eingangsparameter oder ein Teil der Eingangsparameter erfasst werden.
  5. Verfahren nach einem der vorhergehenden Ansprüche, bei dem das System anhand der erfassten Daten eingestellt wird.
  6. Verfahren nach einem der vorhergehenden Ansprüche, bei dem die Daten erfasst werden während des Betriebs des Systems und/oder während der Erprobung des Systems.
  7. Verfahren nach einem der vorhergehenden Ansprüche, bei dem die erfassten Daten gespeichert werden.
  8. Verfahren nach einem der vorhergehenden Ansprüche, bei dem die mindestens zwei Sicherheitspfade unterschiedliche Eingangsparameter auswerten.
  9. Verfahren nach einem der vorhergehenden Ansprüche, bei dem die mindestens zwei Sicherheitspfade mit unterschiedlicher Hardware ausgeführt sind.
  10. Verfahren nach einem der vorhergehenden Ansprüche, bei dem eine Dauer der Aktivierung des mindestens einen Sicherheitspfads erfasst wird.
  11. Verfahren nach einem der vorhergehenden Ansprüche, bei dem eine Häufigkeit der Aktivierung des mindestens einen Sicherheitspfads erfasst wird.
  12. Verfahren nach einem der vorhergehenden Ansprüche, bei dem die mindestens zwei Sicherheitspfade gleiche oder unterschiedliche Sicherheitsguten aufweisen.
  13. Verfahren nach einem der vorhergehenden Ansprüche, bei dem das redundante System ein System oder eine Funktion in einem Kraftfahrzeug ist.
  14. Vorrichtung zur Erfassung von Daten in einem redundanten System – umfassend mindestens zwei Sicherheitspfade, – bei der abhängig von Eingangsparametern mindestens einer der mindestens zwei Sicherheitspfade aktivierbar ist; – bei der die Aktivierung des mindestens einen Sicherheitspfads erfassbar ist.
  15. Fahrzeug umfassend mindestens eine Vorrichtung gemäß Anspruch 14.
DE102009054106A 2009-11-20 2009-11-20 Verfahren und Vorrichtung zur Erfassung von Daten in einem redundanten System Ceased DE102009054106A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102009054106A DE102009054106A1 (de) 2009-11-20 2009-11-20 Verfahren und Vorrichtung zur Erfassung von Daten in einem redundanten System

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102009054106A DE102009054106A1 (de) 2009-11-20 2009-11-20 Verfahren und Vorrichtung zur Erfassung von Daten in einem redundanten System

Publications (1)

Publication Number Publication Date
DE102009054106A1 true DE102009054106A1 (de) 2011-05-26

Family

ID=43902052

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102009054106A Ceased DE102009054106A1 (de) 2009-11-20 2009-11-20 Verfahren und Vorrichtung zur Erfassung von Daten in einem redundanten System

Country Status (1)

Country Link
DE (1) DE102009054106A1 (de)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2693278A3 (de) * 2012-07-31 2015-12-23 Audi Ag Verfahren zur effizienten Absicherung sicherheitskritischer Funktionen eines Steuergeräts und Steuergerät
DE102015203252A1 (de) 2015-02-24 2016-08-25 Zf Friedrichshafen Ag Sicherheitsvorrichtung und Verfahren zum Überführen eines Aktorsystems in einen sicheren Zustand, Aktorsystem und Verfahren zum Betreiben eines Aktorsystems
DE102015203250A1 (de) * 2015-02-24 2016-08-25 Zf Friedrichshafen Ag Sicherheitsvorrichtung und Verfahren zum Überführen eines Aktorsystems in einen sicheren Zustand, Aktorsystem und Verfahren zum Betreiben eines Aktorsystems
DE102019133582A1 (de) * 2019-12-09 2021-06-10 Joyson Safety Systems Germany Gmbh Sensorvorrichtung für eine Lenkvorrichtung eines Kraftfahrzeugs

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4446829A1 (de) * 1993-12-31 1995-07-06 Eberspaecher J Fahrzeugheizgerät mit Überhitzungs-Überwachungseinrichtung
DE19834870A1 (de) * 1998-08-01 2000-02-03 Bosch Gmbh Robert Fehlertoleranter elektromechanischer steer-by-wire-Lenksteller
DE102005030770A1 (de) * 2004-07-27 2006-03-23 Conti Temic Microelectronic Gmbh Schaltungsanordnung und Verfahren zum Steuern einer Sicherheitseinrichtung für ein Fahrzeug

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4446829A1 (de) * 1993-12-31 1995-07-06 Eberspaecher J Fahrzeugheizgerät mit Überhitzungs-Überwachungseinrichtung
DE19834870A1 (de) * 1998-08-01 2000-02-03 Bosch Gmbh Robert Fehlertoleranter elektromechanischer steer-by-wire-Lenksteller
DE102005030770A1 (de) * 2004-07-27 2006-03-23 Conti Temic Microelectronic Gmbh Schaltungsanordnung und Verfahren zum Steuern einer Sicherheitseinrichtung für ein Fahrzeug

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
IEC 61508
ISO 26262

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2693278A3 (de) * 2012-07-31 2015-12-23 Audi Ag Verfahren zur effizienten Absicherung sicherheitskritischer Funktionen eines Steuergeräts und Steuergerät
US9335756B2 (en) 2012-07-31 2016-05-10 Audi Ag Method for the efficient protection of safety-critical functions of a controller and a controller
DE102015203252A1 (de) 2015-02-24 2016-08-25 Zf Friedrichshafen Ag Sicherheitsvorrichtung und Verfahren zum Überführen eines Aktorsystems in einen sicheren Zustand, Aktorsystem und Verfahren zum Betreiben eines Aktorsystems
DE102015203250A1 (de) * 2015-02-24 2016-08-25 Zf Friedrichshafen Ag Sicherheitsvorrichtung und Verfahren zum Überführen eines Aktorsystems in einen sicheren Zustand, Aktorsystem und Verfahren zum Betreiben eines Aktorsystems
DE102019133582A1 (de) * 2019-12-09 2021-06-10 Joyson Safety Systems Germany Gmbh Sensorvorrichtung für eine Lenkvorrichtung eines Kraftfahrzeugs

Similar Documents

Publication Publication Date Title
DE112018002176B4 (de) Anormalitätsbestimmungsvorrichtung, Anormalitätsbestimmungsverfahren und Anormalitätsbestimmungsprogramm
DE10243713B4 (de) Redundante Steuergeräteanordnung
DE102006013381B4 (de) Steuervorrichtung für ein Kfz-Sicherheitssystem
DE10361931A1 (de) Fehlertolerante Fahrstabilitätsregelung
WO2013010643A1 (de) Fehlervermeidung bei der gestengesteuerten öffnung eines kraftfahrzeugtür und -koffer
EP2099667B2 (de) Verfahren zum sicherstellen oder aufrechterhalten der funktion eines komplexen sicherheitskritischen gesamtsystems
WO2008040641A2 (de) Verfahren und vorrichtung zur fehlerverwaltung
EP3473512A1 (de) Funktionsmodul, steuereinheit für ein betriebsassistenzsystem und arbeitsvorrichtung
DE102015224696A1 (de) Risikobasierte Steuerung eines Kraftfahrzeugs
DE102009054106A1 (de) Verfahren und Vorrichtung zur Erfassung von Daten in einem redundanten System
DE102008009652A1 (de) Überwachungseinrichtung und Überwachungsverfahren für einen Sensor, sowie Sensor
DE102017103724B4 (de) Vorrichtung und Verfahren zum Steuern eines Sensorbauelements eines Sicherheitssystems eines Objekts, Steuerungssystem für ein Automobilfahrzeug und Sensorbauelement für ein Sicherheitssystem eines Automobilfahrzeugs
DE102007029116A1 (de) Verfahren zum Betreiben eines Mikrocontrollers und einer Ausführungseinheit sowie ein Mikrocontroller und eine Ausführungseinheit
DE202006003273U1 (de) Diagnosevorrichtung in einem Fahrzeug für eine funktionsorientierte Diagnose
WO2004108495A1 (de) Bremsvorrichtung und -verfahren für ein fahrzeug
WO2005001692A2 (de) Verfahren und vorrichtung zur überwachung eines verteilten systems
DE102007046706A1 (de) Steuervorrichtung für Fahrzeuge
DE10252990B3 (de) Steuereinheit zur Auslösung eines Insassenschutzmittels in einem Kraftfahrzeug und Verfahren zur Überwachung der ordnungsgemäßen Funktion einer vorzugsweise solchen Steuereinheit
DE102020211541A1 (de) Verfahren zum Erkennen eines Stillstands eines Fahrzeugs
DE112019007286T5 (de) Fahrzeuginterne steuerungsvorrichtung und fahrzeuginternes steuerungssystem
DE102010028080A1 (de) Verfahren und Vorrichtung zur Erzeugung eines Beschleunigungssignals für einen niedrigen G-Bereich
DE10002519C1 (de) Verfahren zur Verhinderung von Fehlfunktionen in einem signalverarbeitenden System und Prozessorsystem
DE102015119611B4 (de) Verbesserung der Diagnostizierbarkeit von Fail-operational Systemen
DE69027456T2 (de) Antiblockier-Steuerungsgerät
DE102007004941A1 (de) Elektromechanische Feststell-Bremsanlage und elektronisches System zum Betreiben derselben

Legal Events

Date Code Title Description
OM8 Search report available as to paragraph 43 lit. 1 sentence 1 patent law
R012 Request for examination validly filed
R012 Request for examination validly filed

Effective date: 20150226

R002 Refusal decision in examination/registration proceedings
R003 Refusal decision now final