DE102018107448A1 - ISO 26262 konforme Vorrichtung zur Prüfung einer Bewertungsvorrichtung mit mehreren Bewertungsteilvorrichtungen für Sensordaten innerhalb eines sicherheitsrelevanten Gesamtsystems - Google Patents

ISO 26262 konforme Vorrichtung zur Prüfung einer Bewertungsvorrichtung mit mehreren Bewertungsteilvorrichtungen für Sensordaten innerhalb eines sicherheitsrelevanten Gesamtsystems Download PDF

Info

Publication number
DE102018107448A1
DE102018107448A1 DE102018107448.4A DE102018107448A DE102018107448A1 DE 102018107448 A1 DE102018107448 A1 DE 102018107448A1 DE 102018107448 A DE102018107448 A DE 102018107448A DE 102018107448 A1 DE102018107448 A1 DE 102018107448A1
Authority
DE
Germany
Prior art keywords
safety
evaluation
sensor data
relevant
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102018107448.4A
Other languages
English (en)
Inventor
André Sudhaus
Jens-Arne Schürstedt
Tan Subijanto
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Elmos Semiconductor SE
Original Assignee
Elmos Semiconductor SE
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Elmos Semiconductor SE filed Critical Elmos Semiconductor SE
Publication of DE102018107448A1 publication Critical patent/DE102018107448A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q9/00Arrangements in telecontrol or telemetry systems for selectively calling a substation from a main station, in which substation desired apparatus is selected for applying a control signal thereto or for obtaining measured values therefrom
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0218Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults
    • G05B23/0221Preprocessing measurements, e.g. data collection rate adjustment; Standardization of measurements; Time series or signal analysis, e.g. frequency analysis or wavelets; Trustworthiness of measurements; Indexes therefor; Measurements using easily measured parameters to estimate parameters difficult to measure; Virtual sensor creation; De-noising; Sensor fusion; Unconventional preprocessing inherently present in specific fault detection methods like PCA-based methods
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • G05B23/0205Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults
    • G05B23/0218Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults
    • G05B23/0256Electric testing or monitoring by means of a monitoring system capable of detecting and responding to faults characterised by the fault detection method dealing with either existing or incipient faults injecting test signals and analyzing monitored process response, e.g. injecting the test signal while interrupting the normal operation of the monitored system; superimposing the test signal onto a control signal during normal operation of the monitored system
    • GPHYSICS
    • G08SIGNALLING
    • G08CTRANSMISSION SYSTEMS FOR MEASURED VALUES, CONTROL OR SIMILAR SIGNALS
    • G08C19/00Electric signal transmission systems
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/37Measurements
    • G05B2219/37537Virtual sensor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q2209/00Arrangements in telecontrol or telemetry systems
    • H04Q2209/30Arrangements in telecontrol or telemetry systems using a wired architecture

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Air Bags (AREA)

Abstract

Es wird eine Vorrichtung, die zur Prüfung einer sicherheitsrelevanten Bewertungsvorrichtung (BV) für Signale und/oder Daten eines sicherheitsrelevanten Sensors (RS) als Teil eines sicherheitsrelevanten Gesamtsystems (GS) in der Lage ist, vorgeschlagen. Statt echter Sensordaten des sicherheitsrelevanten Sensors (RS) werden durch die Bewertungsvorrichtung (BV) virtuelle Sensordaten eines virtuellen Sensors (VS) verwendet. Die Reaktion der Bewertungsvorrichtung (BV) wird durch eine Testbewertungsvorrichtung (TB) bewertet. Es wird sichergestellt, dass der Test selbst keine sicherheitskritischen Ereignisse auslöst.

Description

  • Oberbegriff
  • Die vorgeschlagene Vorrichtung befasst sich mit der Überprüfung eines sicherheitsrelevanten Bewertungssystems für Sensordaten, das diese Sensordaten von sicherheitsrelevanten Sensoren zur Verfügung gestellt bekommt. Besonders bevorzugt ist der Einsatz der Vorrichtung in Fahrzeuginsassenrückhaltesystemen, wie in Airbag-Systemen und in Fußgängeraufprallschutzsystemen in Fahrzeugen.
  • Allgemeine Einleitung
  • Es soll eine Bewertungsvorrichtung (BV) zur Bewertung von Sensordaten eines sicherheitsrelevanten Sensors (RV) innerhalb eines sicherheitsrelevanten Gesamtsystems auf korrekte Funktion geprüft werden. Diese Prüfung soll innerhalb des normalen Betriebs erfolgen können, ohne das sicherheitsrelevante Gesamtsystem (GS) in einen unsicheren Zustand zu bringen. Als Beispiel für ein solches sicherheitsrelevantes Gesamtsystem (GS) kann ein Airbag-System zur Zündung der Zündpille eines Airbags genannt werden. Die Bewertungsvorrichtung (BV) kann dabei Sensordaten beispielsweise von Crash-Sensoren als sicherheitsrelevante Sensoren (RS) auswerten. Die Bewertungsvorrichtung (BV) ist also ein zentraler Teil eines solchen Airbag-Systems. Die Zündung der Zündpille eines solchen Airbags darf nur in vorbestimmten Fällen erfolgen und ist ansonsten ein unsicherer Zustand des Gesamtsystems, da eine solche Zündung durchaus mit einer von Null verschiedenen Wahrscheinlichkeit zu Verletzungen oder gar zum Tod von Insassen führen kann. Eine solche Zündung ist daher nur zulässig wenn die Überlebenswahrscheinlichkeit der Fahrzeuginsassen dadurch gesteigert und das Verletzungs- und Todesrisiko gesenkt werden. Bei einem solchen Airbag-System kommen somit unsichere Zustände als bestimmungsgemäße Zustände vor. Die Bewertungsvorrichtung (BV) eines solchen Airbag-Systems hat dementsprechend einen entscheidenden Anteil an der sachgerechten Funktion des sicherheitsrelevanten Airbag-Systems. Die Daten eines sicherheitsrelevanten Systems sollen immer durch zwei oder mehr unabhängige Baugruppen eines Systems (Bewertungsvorrichtung BV) auf Grenzen überprüft werden.
  • Aus der EP 1 239 370 A2 ist ein Verfahren zur Überprüfung einer Schnittstelle bekannt. Dort wird ein Verfahren zur Überprüfung eines Schnittstellenbausteins vorgeschlagen, wobei nach Aufforderung eines Tests durch einen Prozessor mit einem Datentelegramm der Schnittstellenbaustein abgespeicherte Werte, die Sensorwerte repräsentieren, mit einem zweiten Datentelegramm an den Prozessor zurückgibt. Mit diesen festen Sensorwerten kann der Prozessor entsprechend der technischen Lehre der EP 1 239 370 A2 die Funktion des Schnittstellenbausteins und seinen eigenen Algorithmus überprüfen. Ein Sicherheitsbaustein, der ebenfalls die Sensorwerte aufnimmt, überprüft auch seine Funktion damit, da der Sicherheitsbaustein ein redundanter Hardwarepfad zum Prozessor ist und als Plausibilitätsüberprüfung für die Auslöseentscheidung von Rückhaltemitteln verwendet wird. Der Schnittstellenbaustein wird in einen Testmodus versetzt, sobald er das erste Datentelegramm vom Prozessor erhält und unterdrückt dann die Übertragung von den echten Sensorwerten, die von angeschlossenen Sensoren empfangen wurden.
  • Aus der DE 10 2004 049 082 A1 ist eine Endstufe zur Ansteuerung einer Airbag-Zündeinheit bekannt. Die DE 10 2004 049 082 A1 offenbart eine elektronische Schaltungsanordnung zur Ansteuerung einer Zündeinheit für einen Airbag, mit einer Treibereinrichtung zum Treiben eines Zündstroms durch die Zündeinheit wobei die Zündeinheit zwischen einen ersten Ausgangsanschluss und einen zweiten Ausgangsanschluss der Treibereinrichtung geschaltet ist, und mit einer Kommunikationseinrichtung zur Verarbeitung von Ansteuersignalen für eine Airbag-Auslösung und zur Bereitstellung von Auslösesignalen für die Treibereinrichtung in Abhängigkeit von den Ansteuersignalen und mit einer Testeinrichtung zum Testen der Funktionsfähigkeit der Treibereinrichtung und der Zündeinheit, wobei die Testeinrichtung die Funktionsfähigkeit der Treibereinrichtung und der Zündeinheit mittels eines durch die Zündeinheit getriebenen Prüfstroms testet und ein Blockierungssignal zur Blockierung der Airbag-Auslösung an die Treibereinrichtung ausgibt, wenn der durch die Zündeinheit getriebene Prüfstrom mindestens einen vorgegebenen Schwellenwert überschreitet.
  • Diesen ist gemeinsam, dass sie die Natur des angeschlossenen Sensors nicht berücksichtigen.
  • Aufgabe
  • Dem Vorschlag liegt daher die Aufgabe zugrunde, eine Vorrichtung vorzuschlagen dass die Prüfung einer Bewertungsvorrichtung, insbesondere auch im Betrieb nach der Fertigung der Vorrichtung, ermöglicht.
  • Diese Aufgabe wird durch eine Vorrichtung nach Anspruch 1 gelöst.
  • Lösung der Aufgabe
  • Es wird zur Lösung der Aufgabe vorgeschlagen, um latenten Fehlern vorzubeugen, in derartige Bewertungsvorrichtungen sicherheitsrelevanter Gesamtsysteme (GS) Testdaten als virtuelle Sensordaten einzuspeisen, die vorteilhafterweise sowohl fehlerhaft, als auch formal korrekt sein sollten, um die Erkennungsfunktion der Bewertungsvorrichtungen (BV) zu überprüfen.
  • Die Lösung besteht aus einem vorgeschlagenen Verfahren und einer vorgeschlagenen Vorrichtung zur Durchführung des vorgeschlagenen Verfahrens. Im Folgenden wird das Verfahrenbeschrieben, dass auf der vorgeschlagenen Vorrichtung ausgeführt wird. Später wird auf die vorgeschlagene Vorrichtung, für die hier Schutz begehrt wird, eingegangen.
  • Das vorgeschlagene Verfahren zur Überprüfung einer sicherheitsrelevanten Bewertungsvorrichtung für Sensordaten befasst sich mit dem Test der Bewertungsvorrichtung in der Hinsicht, ob die Bewertungsvorrichtung funktional korrekt arbeitet.
  • Die Grundidee des vorgeschlagenen Verfahrens besteht darin, durch einen entsprechenden Schnittstellenschalter zumindest einen realen Sensor durch einen virtuellen Sensor zu ersetzen. Dieser virtuelle Sensor dient als eine virtuelle Quelle von korrekten oder fehlerhaften virtuellen Sensordaten. Für diese virtuellen Sensordaten sind die Reaktionen der sicherheitsrelevanten Bewertungsvorrichtung vorbestimmt. Diese virtuellen Sensordaten werden daher an Stelle der realen Sensordaten des realen Sensors zugeführt und durch die Bewertungsvorrichtung bewertet und/oder überprüft. Bei den Sensordaten kann es sich um einzelne analoge, digitale, binäre Werte und Signale handeln. Es kann sich auch um Vektoren oder andere Zusammenstellungen von Werten und Signalen handeln. Neben diesem Raummultiplex ist auch ein Zeitmultiplex bei der Signalisierung zwischen realem Sensor und Bewertungsvorrichtung denkbar und möglich. Dementsprechend können Fehler auftreten, die die Erfassung der Daten durch den sicherheitsrelevanten Sensor selbst, die Datenaufbereitung für die Übertragung vom sicherheitsrelevanten Sensor zur Bewertungsvorrichtung, die Datenübertragung und den Empfang der Sensordaten durch die Bewertungsvorrichtung betreffen. Im Folgenden werden Sensordaten allgemein als zeitlich und räumlich gemultiplexter Vektordatenstrom aufgefasst, wobei auch ein eindimensionaler Vektordatenstrom ausdrücklich von der folgenden Beschreibung umfasst ist.
  • Beispielsweise sollte daher die Bewertungsvorrichtung folgende Fehler erkennen:
    • • Aktueller Wert des Vektordatenstroms außerhalb einer vorgegebenen Menge erlaubter Werte dieses Vektordatenstroms.
    • • Zeitliche Abfolge aktueller Werte des Vektordatenstroms außerhalb einer vorgegebenen Menge erlaubter zeitlicher Abfolgen von Werten dieses Vektordatenstroms.
  • Durch die Definition einer virtuellen Sensordatenquelle kann die sicherheitsrelevante Bewertungsvorrichtung somit auf korrekte Funktion überwacht werden. Der virtuelle Sensor liefert virtuelle Sensordaten an die Bewertungsvorrichtung, worauf diese in vorbestimmter Weise durch geeignete Signale so reagiert, als wenn sie gleiche echte Sensordaten vom sicherheitsrelevanten Sensor erhalten hätte. Sofern die Überprüfung im Betrieb ausgeführt werden soll, wird die Bewertungsvorrichtung zuvor durch einen Einkapselungsbefehl, typischerweise von einer Systemsteuerung, so vom Restsystem getrennt, dass auch bei einer Fehlfunktion im Verlauf des Tests sicher kein unsicherer Zustand durch den Test der Bewertungsvorrichtung durch das Gesamtsystem, dessen Teil der reale Sensor und das Bewertungssystem ja sind, erreicht werden kann.
  • Durch das Einspeisen der virtuellen Sensordaten eines virtuellen Sensors wird somit die Möglichkeit eröffnet zu prüfen, ob die Bewertungsvorrichtung, inkonsistente oder nicht plausible Sensordaten durch den jeweiligen Sensor in korrekter Weise verwirft und plausible Sensordaten korrekt behandelt, nicht verwirft und richtige Signale erzeugt.
  • Vorteilhafterweise verfügt der virtuelle Sensor über einen konfigurierbaren Speicher, in dem ein Steuerprozessor virtuelle Sensordaten ablegen kann und/oder Parameter für die Erzeugung solcher virtueller Sensordaten durch den virtuellen Sensor ablegen kann.
  • Zur Durchführung des Verfahrens wird eine Struktur der das Verfahren durchführenden Vorrichtung, also des sicherheitsrelevanten Gesamtsystems (GS), vorgeschlagen, die eine Bewertungsvorrichtung (BV) und einen sicherheitsrelevanten Sensor (RS) umfasst. Der sicherheitsrelevante Sensor (RS) sendet seine Sensordaten über den Sensordatenbus (DB) und eine Einspeisevorrichtung (EV), deren Funktion noch erläutert werden wird, an die Bewertungsvorrichtung (BV). Diese Übersendung kann über einen eigenen Signalisierungskanal, wie in der 1 gezeigt, erfolgen als auch über den internen Datenbus (IDB) der Systemsteuerung. Insofern zeigt 1 nur eine Realisierungsvariante. Das vorgeschlagene sicherheitsrelevante Gesamtsystem umfasst darüber hinaus einen virtuellen Sensor (VS), der ggf. auch durch ein Rechnersystem, also beispielsweise die Systemsteuerung (ST), emuliert werden kann oder als fest vorgegebene elektronische Schaltung oder als teilprogrammierbare elektronische Schaltung vorliegen kann. Auch ist eine Realisierung des virtuellen Sensors (VS) als separates zweites Rechnersystem denkbar. Eine Systemsteuerung (ST) steuert bevorzugt sowohl die Bewertungsvorrichtung (BV), als auch den sicherheitsrelevanten Sensor (RS), als auch den virtuellen Sensor (VS), sowie die besagte Einspeisevorrichtung (EV). Die Einspeisevorrichtung ist in den Sensordatenbus (DB) zwischen dem sicherheitsrelevanten Sensor (RS) und der Bewertungsvorrichtung (BV) eingefügt und dient der Einspeisung von virtuellen Sensordaten, die durch den virtuellen Sensor (VS) erzeugt werden anstelle der Sensordaten des sicherheitsrelevanten Sensors (RS). Diese virtuellen Sensordaten des virtuellen Sensors (VS) werden somit in einem Testzustand des Gesamtsystems (GS) anstelle der Sensordaten des sicherheitsrelevanten Sensors (RS) der Bewertungsvorrichtung (BV) zugeführt, wodurch diese Bewertungsvorrichtung (BV) einer Prüfung mittels vorgegebener Testdaten, Testdatensätze, Testdatensequenzen und Testdatensequenzsätzen zugänglich wird. Diese Testdaten, Testdatensätze, Testdatensequenzen und Testdatensequenzsätzen können durch den virtuellen Sensor (VS) bevorzugt erzeugt werden. Im Normalbetrieb befindet sich das sicherheitsrelevante Gesamtsystem (GS) in einem Normalzustand. Somit kann das sicherheitsrelevante Gesamtsystem (GS) sich in einem Normalzustand und in einem Testzustand befinden. Die Systemsteuerung (ST) ist bevorzugt, aber nicht notwendigerweise ein Rechnersystem. Es kann sich bei der Systemsteuerung (ST) auch um einen endlichen Automaten oder eine andere nicht, teilweise oder ganz konfigurierbare oder programmierbare elektronische Schaltung handeln.
  • Die Bewertungsvorrichtung (BV) empfängt im Normalzustand des Gesamtsystems (GS) Sensordaten des Sensors (RS) über den Sensordatenbus (DB) von dem Sensor (RS). Die Bewertungsvorrichtung (BV) bewertet im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) die Sensordaten. Die Bewertungsvorrichtung (BV) bewertet im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) an Stelle der Sensordaten des sicherheitsrelevanten Sensors (RS) die virtuellen Sensordaten des virtuellen Sensors (VS). Die Bewertungsvorrichtung (BV) nimmt Signalisierungen in Abhängigkeit von diesen Sensordaten im Normalzustand des Gesamtsystems (GS) bzw. in Abhängigkeit von den erwähnten virtuellen Sensordaten im Testzustand des Gesamtsystems (GS) vor. Gleichzeitig oder auch alternativ kann die Bewertungsvorrichtung (BV) Bewertungsdaten beispielsweise zur Benutzung durch die Systemsteuerung (ST) bereitstellen. Befindet sich das sicherheitsrelevante Gesamtsystem (GS) im Normalzustand hängen diese Bewertungsdaten und/oder Signalisierungen der Bewertungsvorrichtung (BV) von den Sensordaten des sicherheitsrelevanten Sensors (RS) ab. Befindet sich das Gesamtsystem (GS) im Testzustand hängen diese Bewertungsdaten und/oder Signalisierungen der Bewertungsvorrichtung (BV) von den virtuellen Sensordaten des virtuellen Sensors (VS) ab. Um diese Unterscheidung zwischen den Sensordatenquellen, dem sicherheitsrelevanten Sensor (RS) und dem virtueller Sensor (VS) durchführen zu können, verfügt das vorgeschlagene Gesamtsystem (GS) über eine Einspeisevorrichtung (EV). Der Sensordatenbus (DB) wird durch diese Einspeisevorrichtung (EV) in zwei Teile unterteilt. Die Einspeisevorrichtung (EV) ist so gestaltet, dass sie im Normalzustand des Gesamtsystems (GS) Sensordaten vom Sensor (RS) empfängt und modifiziert oder nicht modifiziert an die Bewertungsvorrichtung (BV) weiterleitet. Es ist nämlich denkbar, aber eben nicht unbedingt notwendig, dass die Einspeisevorrichtung (EV) bereits eine Vorauswertung, Filterung oder sonstige Modifikation der Sensordaten vor deren Weiterleitung an die Bewertungsvorrichtung (BV) vornimmt. Um eine gute Testabdeckung im sicherheitsrelevanten Gesamtsystem (GS) bei der Durchführung des vorgeschlagenen Verfahrens zu erreichen, wird empfohlen, die Sensordaten des sicherheitsrelevanten Sensors (RS) unverändert, also nicht modifiziert, an die Bewertungsvorrichtung (BV) durch die Einspeisevorrichtung (EV) im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) durchzuleiten. In diesem Fall sollte der virtuelle Sensor (VS) virtuelle Sensordaten, die Sensordaten des sicherheitsrelevanten Sensors (RS) in realen, erlaubten und bestimmungsgemäßen Zuständen entsprechen sollten, für die Fälle (vorgegebene Testdaten, Testdatensätze, Testdatensequenzen und Testdatensequenzsätzen) erzeugen, für die überprüft werden soll, ob sich die Bewertungsvorrichtung (BV) bei fehlerfreien oder vorbestimmt fehlerbehafteten Sensordaten jeweils korrekt verhält.
  • Die Einspeisevorrichtung (EV) empfängt dann im Testzustand des Gesamtsystems (GS) virtuelle Sensordaten vom virtuellen Sensor (VS) und leitet diese virtuellen Sensordaten modifiziert oder bevorzugt nicht modifiziert anstelle der Sensordaten des Sensors (RS) an die Bewertungsvorrichtung (BV) weiter. Die Einspeisevorrichtung (EV) kann also als Datenweiche für die Sensordaten betrachtet werden, die die jeweilige Datenquelle für die Bewertungsvorrichtung (BV) abhängig vom Zustand des Gesamtsystems (GS) (Normalzustand, Testzustand und ggf. Fehlerzustand) umschaltet. Vorzugsweise wird die Einspeisevorrichtung (EV) durch die Systemsteuerung (ST) gesteuert, die bevorzugt auch den Zustand (Normalzustand, Testzustand und ggf. Fehlerzustand) des Gesamtsystems (GS) festlegt und die Elemente des sicherheitsrelevanten Gesamtsystems (GS) entsprechend dem aktuellen Zustand (Normalzustand, Testzustand und ggf. Fehlerzustand) konfiguriert. Die Übergänge zwischen den Zuständen (Normalzustand, Testzustand und ggf. Fehlerzustand) werden dabei bevorzugt so gestaltet, dass zu keinem Zeitpunkt ein unsicherer Zustand eingenommen wird, wenn dies nicht bestimmungsgemäß erforderlich ist. Ein solcher bestimmungsgemäß unsicherer Zustand kann bei einem Airbag-System als sicherheitsrelevantes Gesamtsystem (GS) beispielsweise dann vorliegen, wenn die Sensordaten eines Crash-Sensors als sicherheitsrelevanter Sensor (RS) auf einen Aufprall schließen lassen. In dem Fall würde der Airbag durch die Systemsteuerung (ST) gezündet. Ein solcher Zündungszustand ist aber im Sinne dieser Offenbarung ein unsicherer Zustand, der in allen anderen Betriebsfällen auszuschließen ist.
  • Die Bewertungsvorrichtung (BV) bewertet im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) die virtuellen Sensordaten und erzeugt ein entsprechendes Bewertungsergebnis und/oder nimmt Signalisierungen dieses Bewertungsergebnisses in Abhängigkeit von diesen virtuellen Sensordaten vor. Gleichzeitig oder alternativ bewertet die Bewertungsvorrichtung (BV) im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) die virtuellen Sensordaten und stellt das Bewertungsergebnis als Bewertungsdaten bereit, die von diesen virtuellen Sensordaten abhängen.
  • In einer besonderen Ausprägung des vorgeschlagenen Verfahrens führt das sicherheitsrelevante Gesamtsystem (GS) eine Bewertung der Signalisierungen der Bewertungsvorrichtung (BV) und/oder der durch die Bewertungsvorrichtung (BV) bereitgestellten Bewertungsdaten und/oder Signalisierungen mittels einer Testbewertungsvorrichtung (TB) aus, wenn das sicherheitsrelevante Gesamtsystem (GS) sich im Testzustand befindet. Die Testbewertungsvorrichtung (TB) erzeugt ein entsprechendes Bewertungsergebnis der Testbewertungsvorrichtung (TB). Die Testbewertungsvorrichtung (TB) führt typischerweise eine Signalisierung und/oder Bereitstellung dieses Bewertungsergebnisses der Testbewertungsvorrichtung (TB) aus. Hierzu weist die vorgeschlagene Vorrichtung bevorzugt eine Testbewertungsvorrichtung (TB) auf, die mit der Systemsteuerung (ST) ganz oder teilweise identisch sein kann.
  • In einer weiteren Variante des vorgeschlagenen Verfahrens erfolgt vor der Einnahme des Testzustands durch das sicherheitsrelevante Gesamtsystem (GS) eine Programmierung des virtuellen Sensors (VS) mit virtuellen Sensordaten, wobei bevorzugt die Programmierung des virtuellen Sensors (VS) durch die Steuerung (ST) erfolgt. Hierzu weist der virtuelle Sensor (VS) bevorzugt geeignete Speicherknoten auf. Bei den Speicherknoten kann es sich um binäre, digitale und/oder analoge Speicherknoten handeln. Die Programmierung des virtuellen Sensors (VS) wird bevorzugt durch die Systemsteuerung (ST) vorgenommen. Daher ist der virtuelle Sensor (VS) bevorzugt an den internen Datenbus (IDB) der Systemsteuerung (ST) angeschlossen. Bevorzugt sind auch die Bewertungsvorrichtung (BV) und die Einspeisevorrichtung (EV) an diesen internen Datenbus (IDB) der Systemsteuerung (ST) angeschlossen. Der sicherheitsrelevante Sensor ist bevorzugt über eine Datenschnittstelle (IF) mittels des Sensordatenbusses (DB) an den internen Datenbus (IDB) der Systemsteuerung (ST) angeschlossen. Besonders bevorzugt sind die Einspeisevorrichtung (EV) und/oder die Bewertungsvorrichtung (BV) Teil dieser Datenbusschnittstelle (IF) oder dieser im Datenstrom vom sicherheitsrelevanten Sensor (RS) zur Einspeisevorrichtung (EV) und damit zur Bewertungsvorrichtung (BV) vorgelagert.
  • In einer weiteren Variante des vorgeschlagenen Verfahrens erfolgt eine Programmierung des virtuellen Sensors (VS) mit Parametern für die Erzeugung mit virtuellen Sensordaten durch den virtuellen Sensor (VS), wobei insbesondere die Programmierung des virtuellen Sensors (VS) durch die Systemsteuerung (ST) erfolgt. In dieser Variante ist also der virtuelle Sensor (VS) in der Lage selbstständig virtuelle Sensordaten zu erzeugen, während der virtuelle Sensor (VS) in der vorausgehenden Variante des Verfahrens die Sensordaten vorgegeben bekam und nur reproduzierte. Dies soll an einem Beispiel verdeutlicht werden: Es werde zur Verdeutlichung beispielhaft angenommen, dass der sicherheitsrelevante Sensor (RS) als Messsignal eine zeitliche Sinusschwingung generiert, deren Frequenz beispielhaft von einem hier nicht näher bestimmten physikalischen Parameter abhängt, den der sicherheitsrelevante Sensor (RS) erfassen soll. In diesem Fall kann der virtuelle Sensor (VS) gemäß der zuvor vorgeschlagenen Variante beispielsweise mit Abtastwerten einer Sinusfunktion programmiert werden, die der virtuelle Sensor (VS) dann als virtuelle Sensordaten im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) zu einem sinusförmigen virtuellen Sensorsignal des virtuellen Sensors (VS) durch Abspielen der Abtastwerte wandelt. Gemäß dieser anderen, zuletzt vorgeschlagenen Verfahrensvariante kann der virtuelle Sensor (VS) aber in diesem Beispiel zur Verdeutlichung auch als Oszillator gestaltet werden, dessen Amplitude und Frequenz als Parameter des virtuellen Sensors (VS) durch die Systemsteuerung (ST) vor der Einnahme des Testzustands des sicherheitsrelevanten Gesamtsystems (GS) programmiert werden. Natürlich ist es denkbar, verschiedene Prüfungen hintereinander durchzuführen. Daher ist es sinnvoll, dass das sicherheitsrelevante Gesamtsystem (GS) den Testzustand zwischen zwei unterschiedlichen Tests nicht verlässt. Wenn hier also davon die Rede ist, dass etwas vor der Einnahme des Testzustands durchgeführt werden soll, so kann dies immer auch so verstanden werden, das dies vor der Durchführung des nächsten Tests erfolgt, ohne den Testzustand des sicherheitsrelevanten Gesamtsystems (GS) zu verlassen.
  • Die Reaktionen der Bewertungsvorrichtung (BV) sollen ja überprüft werden. Dies geschieht bevorzugt durch eine Testbewertungsvorrichtung (TB). Diese kann mit der Systemsteuerung (ST) ganz oder in Teilen identisch sein. Das vorgeschlagene Verfahren umfasst daher in einer weiteren Variante eine Programmierung der Testbewertungsvorrichtung (TB) mit Referenzdaten zur Bewertung der virtuellen Sensordaten des virtuellen Sensors (VS), wenn sich das sicherheitsrelevante Gesamtsystem (GS) im Testzustand befindet. Diese Referenzdaten stellen den Vergleichsmaßstab dar, mit dem die Testbewertungsvorrichtung (TB) die Bewertungssignale und/oder bereitgestellten Bewertungsdaten der Bewertungsvorrichtung (BV), also die Bewertungsergebnisse der Bewertungsvorrichtung (BV) bewertet. Ist die Testbewertungsvorrichtung (TB) separat von der Systemsteuerung (ST) innerhalb des sicherheitsrelevanten Gesamtsystems (GS) realisiert, so ist sie typischerweise mittels des internen Datenbusses (IDB) der Systemsteuerung (ST) steuer- und bedienbar.
  • Da virtuelle Sensordaten durch den virtuellen Sensor (VS) erzeugbar sein sollen, die allen bestimmungsgemäß erlaubten Sensorsignalen des sicherheitsrelevanten Sensors (RV) entsprechen, kann es vorkommen, dass einzelne solcher Sensorsignale im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) zu einem unsicheren Zustand bestimmungsgemäß führen. Im Falle des beispielhaften Airbag-Sensorsystems als beispielhaftes sicherheitsrelevantes Gesamtsystem (GS) könnte dies beispielsweise ein Sensorsignal mit Sensordaten sein, dass eine Zündung des Airbags verursachen würde. Auch solche Sensordaten müssen als virtuelle Sensordaten verwendbar sein. Die Bewertungsvorrichtung (BV) muss nach dem Empfang solcher Sensordaten eine Bewertung vornehmen und entsprechende Signale erzeugen bzw. Bewertungsdaten bereitstellen, die diese Zündung im Normalzustand des Gesamtsystems (GS) auslösen würden. Ein solcher unsicherer Zustand muss aber zuverlässig verhindert werden. Daher wird in einer weiteren Variante vorgeschlagen, eine zumindest einfache, besser jedoch eine doppelte Blockierung unsicherer Zustände des sicherheitsrelevanten Gesamtsystems (GS) vor dem Übergang des sicherheitsrelevanten Gesamtsystems (GS) in den Testzustand vorzunehmen. Dies erfolgt bevorzugt durch die Systemsteuerung (ST) oder eine spezielle Sicherheitseinrichtung (SE), die mit der Systemsteuerung (ST) identisch sein kann. Bevorzugt weist hierzu ein Aktor-System, beispielsweise die eigentliche Zündansteuerung der Zündpille eines Airbags, mehrere Eingänge auf, die alle einen bestimmten Aktivierungszustand einnehmen müssen, bevor der unsichere Zustand, im Beispiel eines Airbag-Systems die Zündung des Airbags, eingenommen wird. Es wird mindestens einer, bevorzugt jedoch zwei dieser Eingänge blockiert, womit die Einnahme des unsicheren Zustands sicher verhindert wird. Ganz besonders bevorzugt werden alle Eingänge des Aktor-System blockiert, um die Sicherheit zu erhöhen. Diese Blockierung aller Eingänge des Aktor-System erfolgt wieder bevorzugt durch die Systemsteuerung (ST) oder eine spezielle Sicherheitseinrichtung (SE), die mit der Systemsteuerung (ST) identisch sein kann.
  • Vor oder mit dem Übergang des Zustands des sicherheitsrelevanten Gesamtsystems (GS) in den Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) wird diese Blockierung wieder aufgehoben, um die bestimmungsgemäße Funktion inklusive des bestimmungsgemäßen unsicheren Zustands zuzulassen und so den bestimmungsgemäßen Gebrauch des sicherheitsrelevanten Gesamtsystems (GS) wieder zuzulassen. Es erfolgt somit das Zulassen vorbestimmter unsicherer Zustände des sicherheitsrelevanten Gesamtsystems (GS) vor oder mit dem Übergang des sicherheitsrelevanten Gesamtsystems (GS) in den Normalzustand. Diese Aufhebung erfolgt wieder bevorzugt durch die Systemsteuerung (ST) oder eine spezielle Sicherheitseinrichtung (SE), die mit der Systemsteuerung (ST) identisch sein kann.
  • Diese Aufhebung der Blockierung darf jedoch nur dann erfolgen, wenn die Bewertung der Signalisierungen der Bewertungsvorrichtung (BV) und/oder der durch die Bewertungsvorrichtung (BV) bereitgestellten Bewertungsdaten durch die Testbewertungsvorrichtung (TB) in Form der Signalisierung oder Bereitstellung des Bewertungsergebnisses der Testbewertungsvorrichtung (TB) durch die Testbewertungsvorrichtung (TB) ergibt, dass die Signalisierungen der Bewertungsvorrichtung (BV) und/oder die durch die Bewertungsvorrichtung (BV) bereitgestellten Bewertungsdaten vorbestimmten Signalisierungen und/oder vorbestimmten Bewertungsdaten entsprechen. Ist dies nicht der Fall, so wird für diesen Fall hier vorgeschlagen, dass das sicherheitsrelevante Gesamtsystem (GS) dann einen zusätzlichen vorbestimmten Fehlerzustand einnehmen kann. Diese Einnahme des vorbestimmten Fehlerzustands des sicherheitsrelevanten Gesamtsystems (GS) umfasst bevorzugt ein fortdauerndes Blockieren vorbestimmter unsicherer Zustände des sicherheitsrelevanten Gesamtsystems (GS), die von den zuvor im Testzustand des Gesamtsystems blockierten unsicheren Zuständen des sicherheitsrelevanten Gesamtsystems (GS) abweichen können. Dieses fortdauernde Blockieren erfolgt wieder bevorzugt durch die Systemsteuerung (ST) oder eine spezielle Sicherheitseinrichtung (SE), die mit der Systemsteuerung (ST) identisch sein kann.
  • Der Übergang des sicherheitsrelevanten Gesamtsystems (GS) vom Testzustand in den vorbestimmten Fehlerzustand erfolgt also dann, wenn die Bewertung der Signalisierungen der Bewertungsvorrichtung (BV) und/oder der durch die Bewertungsvorrichtung (BV) bereitgestellten Bewertungsdaten durch die Testbewertungsvorrichtung (TB) in Form der Signalisierung oder Bereitstellung des Bewertungsergebnisses der Testbewertungsvorrichtung (TB) durch die Testbewertungsvorrichtung (TB) ergibt, dass die Signalisierungen der Bewertungsvorrichtung (BV) und/oder die durch die Bewertungsvorrichtung (BV) bereitgestellten Bewertungsdaten vorbestimmten Signalisierungen und/oder vorbestimmten Bewertungsdaten NICHT entsprechen.
  • Je nach festgestelltem Fehler können ein sicherheitsrelevanter Sensor (RS) oder mehrere sicherheitsrelevante Sensoren (RS1, RS2, ... RSn) für die Verwendung der Sensordaten durch das sicherheitsrelevante Gesamtsystem (GS) gesperrt werden. Im Falle eines beispielhaften Airbag-Systems als beispielhaftes sicherheitsrelevantes Gesamtsystem (GS) kann beispielsweise die Art der Signalisierung an den Fahrer eines Fahrzeugs von der Schwere der Abweichung abhängen. Eine falsche Signalisierung an den Fahrer eines Fahrzeugs ist im Sinne dieser Offenlegung ein unsicherer Zustand des sicherheitsrelevanten Gesamtsystems (GS).
  • Neben diesen Aspekten ist es noch sinnvoll, die Programmierung oder Einstellung des virtuellen Sensors mit solchen Daten vorzunehmen, die inkonsistente, redundante virtuelle Sensordaten zur Folge haben. Beispielsweise können diese fehlerhaften virtuellen Sensordaten für die beabsichtigten testzwecke CRC- oder Parity- Fehler beinhalten. Der virtuelle Sensor (VS) muss also in der Lage sein, fehlerhafte virtuelle Sensordaten in vorbestimmter Weise zu für die Verwendung zu Testzwecken innerhalb des sicherheitsrelevanten Gesamtsystems (GS) erzeugen zu können.
  • Ebenso sollte der virtuelle Sensor (VS) unplausible virtuelle Sensordaten erzeugen können. Solche unplausiblen Daten wären beispielsweise virtuelle Sensordaten mit falschem Vorzeichen oder Sensordaten mit Grenzwertüberschreitungen- oder Grenzwertunterschreitungen oder mehrdimensionale Sensordaten mit nicht erlaubten Wertekombinationen oder Sequenzen von Sensordaten mit nicht erlaubten Sensorwertabfolgen etc.
  • Besonders bevorzugt ist es, wenn eine Möglichkeit vorgesehen wird, der virtuellen Quelle in Form des virtuellen Sensors (VS) Informationen über den Ursprung der virtuellen Sensordaten hinzuzufügen. Dies ermöglicht die Prüfung multipler Pfade in der Bewertungsvorrichtung (BV). Bevorzugt ist hierbei der Verlauf der Datenpfade der Sensordaten in der Bewertungsvorrichtung (BV) von diesen Informationen über den Ursprung der Sensordaten abhängig. In diesem Fall ist es in einigen Fällen vorteilhaft, wenn je nach Ursprung der Sensordaten (z.B. aus unterschiedlichen Sensoren (RS1, RS2,... RSn) unterschiedliche Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) innerhalb der Bewertungsvorrichtung (BV) für die Bewertung der Daten durch die Bewertungsvorrichtung (BV) verwendet werden.
  • In diesem Fall wird ein Verfahren vorgeschlagen, bei dem die Bewertungsvorrichtung (BV) mindestens zwei verschiedene Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) aufweist. Eine solche vorgeschlagene Vorrichtung ist insbesondere dann sinnvoll, wenn verschiedene sicherheitsrelevante Sensoren (RS1, RS2, ... RSn) unterschiedlicher Sensortypen oder mehrere sicherheitsrelevante Sensoren (RS1, RS2, ... RSn) an dem gleichen Sensordatenbus (DB) angeschlossen sind. In dem Fall hat der Sensordatenbus (DB) also eine sternförmige Grundstruktur. Im Sinne dieser Offenlegung liegen mehrere Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) bereits dann vor, wenn eine Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) aufgrund von Informationen in den Sensordaten so umkonfiguriert werden kann, dass sie einer zweiten Bewertungsteilvorrichtung (z.B. BTV2) entspricht. In dem Fall liegt ein Zeitmultiplex statt eines Raummultiplex der Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) vor. Die Sensordaten der mehreren sicherheitsrelevanten Sensoren (RS1, RS2... RSn) enthalten dann bevorzugt Informationen über die Quelle der jeweiligen Sensordaten. Aufgrund dieser Informationen wird innerhalb einer Bewertungsvorrichtung (BV) zumindest eine betreffende Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) der Bewertungsvorrichtung (BV) aktiviert. Ggf. werden auch zwei, drei oder mehr Bewertungsteilvorrichtungen der Bewertungsteilvorrichtungen (BTV1, BTV2,...BTVn) aktiviert. Welche Bewertungsteilvorrichtungen (BTV) im Einzelnen genau aktiviert werden oder inaktiv bleiben, hängt von den Informationen über die Quelle der jeweiligen Sensordaten in den Sensordaten ab, die durch die Bewertungsteilvorrichtung (BV), deren Teil die Bewertungsteilvorrichtungen (BTV1, BTV2, .....BTVn) sind, empfangen werden. Wir gehen nun in der folgenden Beschreibung vereinfachend davon aus, dass eine betreffende Bewertungsteilvorrichtung (BTV) dieser Bewertungsteilvorrichtungen (BTV1, BTV2 bis BTVn) der Bewertungsvorrichtung (BV) aktiviert wird und benennen diese betreffende Bewertungsvorrichtung (BTV). Es kann sich aber um eine beliebige dieser Bewertungsteilvorrichtungen (BTV1, BTV2, bis BTVn) der Bewertungsvorrichtung (BV) handeln. Diese betreffende Bewertungsteilvorrichtung (BTV) der mindestens zwei Bewertungsteilvorrichtungen(BTV1, BTV2, .... BTVn) empfängt aufgrund der besagten Informationen in den Sensordaten im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) Sensordaten über den Sensordatenbus (DB) von einem betreffenden sicherheitsrelevanten Sensor (RS) der sicherheitsrelevanten Sensoren (RS1, RS2, ... RSn). Dies geschieht voraussetzungsgemäß nur dann, wenn die Informationen über die Quelle der Sensordaten innerhalb der Sensordaten des betreffenden sicherheitsrelevanten Sensors (RS) vorbestimmten Kriterien genügen.
  • Für diesen Fall, dass die Informationen über die Quelle der Sensordaten innerhalb der Sensordaten diesen vorbestimmten Kriterien genügen, bewertet nun die betreffende Bewertungsteilvorrichtung (BTV) im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) die Sensordaten des betreffenden sicherheitsrelevanten Sensors (RS). Die betreffende Bewertungsteilvorrichtung (BTV) führt dann unter dieser Vorbedingung, dass die Informationen über die Quelle der Sensordaten innerhalb der Sensordaten diesen vorbestimmten Kriterien genügen, im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) Signalisierungen in Abhängigkeit von diesen Sensordaten durch. Die betreffende Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, .... BTVn) kann gleichzeitig oder alternativ dazu unter dieser Vorbedingung, dass die Informationen über die Quelle der Sensordaten innerhalb der Sensordaten diesen vorbestimmten Kriterien genügen, im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) Bewertungsdaten bereitstellen, die von diesen Sensordaten abhängen.
  • Die Einspeisevorrichtung (EV) empfängt wieder im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) Sensordaten vom besagten betreffenden sicherheitsrelevanten Sensor (RS) der sicherheitsrelevanten Sensoren (RS1, RS2,... RSn) und modifiziert diese oder modifiziert diese nicht. Die Einspeisevorrichtung (EV) leitet diese Sensordaten an die betreffende Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) weiter.
  • Im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) empfängt die Einspeisevorrichtung (EV) virtuelle Sensordaten vom virtuellen Sensor (VS), statt der Sensordaten des betreffenden sicherheitsrelevanten Sensors (RS) der sicherheitsrelevanten Sensoren (RS1, RS2, ... RSn). Die Einspeisevorrichtung (EV) modifiziert diese virtuellen Sensordaten des virtuellen Sensors (SV) oder modifiziert diese nicht. Im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) leitet die Einspeisevorrichtung (EV) diese virtuellen Sensordaten an Stelle der Sensordaten der sicherheitsrelevanten Sensoren (RS1, RS2, ... RSn) an die betreffende Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, ....BTVn) der Bewertungsvorrichtung (BV) weiter. Dabei enthalten auch diese virtuellen Sensordaten nun Informationen über eine simulierte Quelle der virtuellen Sensordaten. Hierdurch wird es möglich, verschiedene Sensortypen als sicherheitsrelevante Sensoren (RS1, RS2, ... RSn) an einem sternförmigen Sensordatenbus (DB) zu betreiben und deren typischerweise verschiedene Sensordaten durch den virtuellen Sensor (VS) mit seinen virtuellen Sensordaten zu emulieren und die korrekte und doch verschiedene Bewertung durch die Bewertungsvorrichtung (BV) und ihre Bewertungsteilvorrichtungen (BTV1, BTV2, .... BTVn) zu überprüfen.
  • Für den Fall, dass die Informationen über die simulierte Quelle der virtuellen Sensordaten innerhalb der virtuellen Sensordaten vorbestimmten Kriterien genügen, bewertet die betreffende Bewertungsteilvorrichtung (BVT) der Bewertungsteilvorrichtungen (BTV1, BTV2, .... BTVn) im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) die virtuellen Sensordaten. In diesem Fall, dass die Informationen über die simulierte Quelle der virtuellen Sensordaten innerhalb der virtuellen Sensordaten vorbestimmten Kriterien genügen, führt die betreffende Bewertungsteilvorrichtung (BVT) der Bewertungsteilvorrichtungen (BTV1, BTV2, .... BTVn) im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) Signalisierungen in Abhängigkeit von diesen virtuellen Sensordaten aus. Gleichzeitig oder alternativ dazu, wenn die Informationen über die simulierte Quelle der virtuellen Sensordaten innerhalb der virtuellen Sensordaten vorbestimmten Kriterien genügen, kann die betreffende Bewertungsteilvorrichtung (BVT) der Bewertungsteilvorrichtungen (BTV1, BTV2, .... BTVn) im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) Bewertungsdaten bereitstellen, die von diesen virtuellen Sensordaten abhängen.
  • Vorzugsweise ist die Systemsteuerung (ST) oder eine spezielle Sicherheitseinrichtung (SE) in der Lage, etwaige sicherheitsrelevante Funktionen während der Überprüfungen zu blockieren, um Fehlauslösungen während der Prüfungen sicher zu unterbinden.
  • In einer vereinfachten Version des Verfahrens zur Prüfung einer sicherheitsrelevanten Bewertungsvorrichtung (BV) für Signale und/oder Daten eines sicherheitsrelevanten Sensors (RS) als Teil eines sicherheitsrelevanten Gesamtsystems (GS) kann auf die Einspeisevorrichtung (EV) verzichtet werden. Dies insbesondere dann der Vorteil, wenn der sicherheitsrelevante Sensor (RS) direkt über eine Datenschnittstelle (IF) an den internen Datenbus (IDB) angeschlossen ist. Die gesamte Kommunikation kann also auch über den internen Datenbus (IDB) abgewickelt werden. Das sicherheitsrelevante Gesamtsystem (GS) umfasst dann einen virtuellen Sensor (VS), eine Systemsteuerung (ST) und Mittel, um die Kommunikation zwischen diesen zu ermöglichen, also beispielsweise den internen Datenbus (IDB), die Datenschnittstelle (IF) und den externen Sensordatenbus (EDB). Das sicherheitsrelevante Gesamtsystem (GS) kann sich auch jetzt wieder ein einem Normalzustand und in einem Testzustand befinden. Das vorgeschlagene Verfahren umfasst dann den Empfang von Sensordaten des sicherheitsrelevanten Sensors (RS) im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) durch die Bewertungsvorrichtung (BV) und die Bewertung dieser Sensordaten des sicherheitsrelevanten Sensors (RS) im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) durch die Bewertungsvorrichtung (BV) zur Erzeugung eines Bewertungsergebnisses der Bewertungsvorrichtung (BV). Im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) umfasst das vorgeschlagene Verfahren den Empfang von virtuellen Sensordaten des virtuellen Sensors (VS) durch die Bewertungsvorrichtung (BV) und die Bewertung dieser virtuellen Sensordaten des virtuellen Sensors (VS) durch die Bewertungsvorrichtung (BV) zur Erzeugung eines Bewertungsergebnisses der Bewertungsvorrichtung (BV). Das Verfahren umfasst unabhängig von dem Normalzustand oder Testzustand des Gesamtsystems (GS) die Signalisierung des Bewertungsergebnisses der Bewertungsvorrichtung (BV) und/oder Bereitstellung des Bewertungsergebnisses der Bewertungsvorrichtung (BV) in Form von Bewertungsdaten durch die Bewertungsvorrichtung (BV). Weitere Varianten entsprechen analog den Merkmalen der zuvor besprochenen Varianten mit Einspeisevorrichtung (EV). Bei mehreren Bewertungsteilvorrichtungen stellt sich eine Variante des Verfahrens dann aber ohne Einspeisevorrichtung (EV) so dar, dass das sicherheitsrelevante Gesamtsystem auch mehr als einen sicherheitsrelevanten Sensor (RS1, RS2, ... RSn) aufweisen kann. Entsprechend weist die Bewertungsvorrichtung (BV) in dieser Variante mindestens zwei verschiedene Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) auf. Die Sensordaten umfassen dann bevorzugt Informationen über eine simulierte Quelle der Sensordaten. Ebenso umfassen dann die virtuellen Sensordaten Informationen über die simulierte Quelle der virtuellen Sensordaten.
  • Das Verfahren umfasst in dieser Variante dann den Empfang von Sensordaten eines betreffenden sicherheitsrelevanten Sensors (RS) der sicherheitsrelevanten Sensoren (RS1, RS2, .... RSn) durch eine betreffende Bewertungsvorrichtung (BTV) der mindestens zwei Bewertungsteilvorrichtungen (BTV1, BTV2,... BTVn) im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS), wenn die Informationen über die Quelle der Sensordaten innerhalb der Sensordaten des sicherheitsrelevanten Sensors der sicherheitsrelevanten Sensoren (RS1, RS2, ... RSn) vorbestimmten Kriterien genügen. Es folgt die Bewertung der Sensordaten des betreffenden sicherheitsrelevanten Sensors (RS) durch die betreffende Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS), wenn die Informationen über die Quelle der Sensordaten innerhalb der Sensordaten diesen vorbestimmten Kriterien genügen und/oder die Erzeugung eines Bewertungsergebnisses durch die betreffende Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) in Abhängigkeit von diesen Sensordaten im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS). Im Testzustand des Gesamtsystem erfolgt jedoch stattdessen der Empfang von virtuellen Sensordaten eines virtuellen Sensors (VS) durch eine betreffende Bewertungsvorrichtung (BTV) der mindestens zwei Bewertungsteilvorrichtungen (BTV1, BTV2,...BTVn) im Testzustand des sicherheitsrelevanten Gesamtsystems (GS), wenn die Informationen über die simulierte Quelle der virtuellen Sensordaten innerhalb der virtuellen Sensordaten vorbestimmten Kriterien genügen und die Bewertung der virtuellen Sensordaten des virtuellen Sensors (VS) durch die betreffende Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) im Testzustand des sicherheitsrelevanten Gesamtsystems (GS), wenn die Informationen über die Quelle der virtuellen Sensordaten innerhalb der virtuellen Sensordaten diesen vorbestimmten Kriterien genügen, sowie die Erzeugung eines Bewertungsergebnisses durch die betreffende Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) in Abhängigkeit von diesen virtuellen Sensordaten im Testzustand des sicherheitsrelevanten Gesamtsystems (GS), wenn die Informationen über die Quelle der virtuellen Sensordaten innerhalb der virtuellen Sensordaten diesen vorbestimmten Kriterien genügen. Abschließend erfolgt die Signalisierungen des Bewertungsergebnisses und/oder die Bereitstellung des Bewertungsergebnisses der betreffenden Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) in Form von Bewertungsdaten durch die betreffende Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn).
  • Diesen Verfahrensvarianten korrespondiert wieder eine entsprechende Vorrichtung zur Durchführung eines Verfahrens zur Prüfung einer sicherheitsrelevanten Bewertungsvorrichtung (BV) für Signale und/oder Daten eines sicherheitsrelevanten Sensors (RS) als Teil eines sicherheitsrelevanten Gesamtsystems (GS). Das sicherheitsrelevante Gesamtsystem (GS) umfasst einen virtuellen Sensor (VS) und eine Systemsteuerung (ST). Das sicherheitsrelevante Gesamtsystem (GS) kann sich in einem Normalzustand und in einem Testzustand befinden. Die Bewertungsvorrichtung (BV) empfängt im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) Sensordaten von dem sicherheitsrelevanten Sensor (RS) und bewertet die Sensordaten des sicherheitsrelevanten Sensors (RS). Im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) nimmt die Bewertungsvorrichtung (BV) Signalisierungen in Abhängigkeit von diesen Sensordaten vor und/oder stellt im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) Bewertungsdaten bereit, die von diesen Sensordaten abhängen. Im Testzustand des Gesamtsystems (GS) empfängt stattdessen die Bewertungsvorrichtung (BV) virtuelle Sensordaten von dem virtuellen Sensor (VS) und bewertet im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) die virtuellen Sensordaten des virtuellen Sensors (VS) und nimmt im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) Signalisierungen in Abhängigkeit von diesen virtuellen Sensordaten vor oder stellt im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) Bewertungsdaten bereit, die von diesen virtuellen Sensordaten abhängen. Auch hier kann eine Variante mit mehr als zwei Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) vorgesehen werden. Die Bewertungsvorrichtung (BV) weist dann wieder mindestens zwei verschiedene Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) auf. Die Sensordaten umfassen dann wieder Informationen über die Quelle der Sensordaten, also insbesondere Informationen über den betreffenden sicherheitsrelevanten Sensor der sicherheitsrelevanten Sensoren (RS1, RS2, ... RSn), der die Sensordaten erzeugt hat. Ebenso umfassen die virtuellen Sensordaten des virtuellen Sensors (VS) Informationen über eine simulierte Quelle für virtuelle Sensordaten. Eine Bewertungsvorrichtung (BTV) der mindestens zwei Bewertungsteilvorrichtungen(BTV1, BTV2, ... BTVn) empfängt im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) Sensordaten von dem sicherheitsrelevanten Sensor (RS) der sicherheitsrelevanten Sensoren (RS1, RS2, ... RSn), wenn die Informationen über die Quelle der Sensordaten innerhalb der Sensordaten vorbestimmten Kriterien genügen, wobei für den Fall, dass die Informationen über die Quelle der Sensordaten innerhalb der Sensordaten diesen vorbestimmten Kriterien genügen, die Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) die Sensordaten des sicherheitsrelevanten Sensors (RS) der sicherheitsrelevanten Sensoren (RS1, RS2, ... RSn) bewertet und im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) Signalisierungen in Abhängigkeit von diesen Sensordaten vornimmt und/oder im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) Bewertungsdaten bereitstellt, die von diesen Sensordaten abhängen. Im Testzustand des sicherheitsrelevanten Gesamtsystems empfängt eine Bewertungsvorrichtung (BTV) der mindestens zwei Bewertungsteilvorrichtungen(BTV1, BTV2, ... BTVn) virtuelle Sensordaten von dem virtuellen Sensor (VS), wenn die Informationen über die Quelle der virtuellen Sensordaten innerhalb der virtuellen Sensordaten vorbestimmten Kriterien genügen, wobei für den Fall, dass die Informationen über die Quelle der virtuellen Sensordaten innerhalb der Sensordaten diesen vorbestimmten Kriterien genügen, die Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) die virtuellen Sensordaten des virtuellen Sensors (VS) bewertet und im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) Signalisierungen in Abhängigkeit von diesen virtuellen Sensordaten vornimmt und/oder im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) Bewertungsdaten bereitstellt, die von diesen virtuellen Sensordaten abhängen.
  • Vorteil des Vorschlags
  • Die vorgeschlagene Vorrichtung nutzt ein Verfahren zur Prüfung einer sicherheitsrelevanten Bewertungsvorrichtung (BV) für Signale und/oder Daten eines sicherheitsrelevanten Sensors (RS) und die zugehörige Vorrichtung ermöglichen zumindest in einigen Realisierungen die Erkennung latenter Fehler in komplexen Bewertungsvorrichtungen (BV) durch Testdaten (virtuelle Sensordaten) mit minimalem Eingriff in die kritischen Sensordatenpfade des sicherheitsrelevanten Gesamtsystems (GS). Die Vorteile sind hierauf aber nicht beschränkt.
  • Beispielsweise kann eine Teilvorrichtung zur Durchführung des vorgeschlagenen Verfahrens in eine integrierte mikroelektronische Schaltung (IC) für Sicherheitsanwendungen nach ISO26262 integriert werden. Somit eignet sich das vorgeschlagene Verfahren zur Durchführung als eingebettetes Verfahren innerhalb einer mikroelektronischen Schaltung (IC). Ein solches Verfahren kann also beispielsweise als Hardware, Firmware oder Software in einer solchen mikroelektronischen Schaltung (IC), also als Vorrichtung, implementiert werden. Es wird somit die Möglichkeit geschaffen, in sicherheitsrelevanten Gesamtsystemen, Sensordaten so nahe am jeweiligen sicherheitsrelevanten Sensor (RS) wie möglich im Sensordatenpfad der Verarbeitungskette einzuspeisen und damit das Maß an Quer-Eingriffen in der Verarbeitungskette insbesondere auf die Einspeisevorrichtung (EV) für virtuelle Sensordaten zu reduzieren. Die gezielte Einspeisung fehlerhafter virtueller Sensordaten in die Bewertungsvorrichtung (BV) wird somit ermöglicht, ohne direkt in die sicherheitsrelevanten Baugruppen zur Ermittlung oder Bewertung von Sensordaten eingreifen zu müssen. Die Reaktion der Bewertungsvorrichtung (BV) kann somit auf einfache Weise ermittelt und gegenüber einer Referenzreaktion verglichen werden, was die Erkennung von Fehlern der Bewertungsvorrichtung (BV) ermöglicht, die dem Nichterkennen von Fehlern in den Sensordaten entsprechen. Umgekehrt wird die gezielte Einspeisung korrekter virtueller Sensordaten in die Bewertungsvorrichtung (BV) somit auch ermöglicht, ohne direkt in die sicherheitsrelevanten Baugruppen zur Ermittlung oder Bewertung von Sensordaten eingreifen zu müssen. Die Reaktion der Bewertungsvorrichtung (BV) kann somit auf einfache Weise auch für diese Fälle ermittelt und gegenüber einer Referenzreaktion für diese Fälle verglichen werden, was die Erkennung von Fehlern der Bewertungsvorrichtung (BV) ermöglicht, die dem Erkennen von Fehlern in den korrekte Sensordaten entsprechen. Somit ermöglicht die vorgeschlagene Vorrichtung einen umfangreichen Test der Bewertungsvorrichtung (BV). Die Methode wird zusätzlich darüber abgesichert, dass die Prüfungen nicht zu sicherheitsrelevanten Fehlentscheidungen führen können. Letztlich können die bei der Konstruktion sicherheitsrelevanter Systeme geforderten Fitraten nach ISO26262 als Qualitätsmerkmal einer Implementierung besser erreicht werden, was das eigentliche Ziel dieses Verfahrens dieser vorgeschlagenen Vorrichtung ist.
  • Figurenliste
    • 1 zeigt schematisch ein Prinzipschaubild einer vorgeschlagenen Vorrichtung zur Durchführung des vorgeschlagenen Verfahrens mit Einspeisevorrichtung (EV).
    • 2 zeigt schematisch ein Prinzipschaubild einer vorgeschlagenen Vorrichtung zur Durchführung des vorgeschlagenen Verfahrens.
  • Bezugszeichenliste
    • BV
    Bewertungsvorrichtung;
    BTV
    Bewertungsteilvorrichtung;
    BTV1
    erste Bewertungsteilvorrichtung;
    BTV2
    zweite Bewertungsteilvorrichtung;
    BTVn
    n-te Bewertungsteilvorrichtung;
    DB
    Sensordatenbus;
    EDB
    externer Sensordatenbus. Der externe Sensordatenbus ist typischerweise eine Fortsetzung des internen Datenbusses IDB der Systemsteuerung;
    EV
    Einspeisevorrichtung;
    GS
    Gesamtsystem;
    IC
    integrierte Schaltung (in einer bevorzugten Partitionierung des Gesamtsystems (GS));
    IF
    Datenschnittstelle zwischen externen Sensordatenbus EDB und internem Datenbus
    (IDB)
    der Systemsteuerung;
    IDB
    interner Datenbus der Systemsteuerung;
    RS
    sicherheitsrelevanter Sensor;
    RS1
    erster sicherheitsrelevanter Sensor;
    RS2
    zweiter sicherheitsrelevanter Sensor;
    RSn
    n-ter sicherheitsrelevanter Sensor
    SE
    Sicherheitseinrichtung;
    ST
    Systemsteuerung;
    TB
    Testbewertungsvorrichtung;
    VS
    virtueller Sensor.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • EP 1239370 A2 [0003]
    • DE 102004049082 A1 [0004]

Claims (11)

  1. Vorrichtung zur Durchführung eines Verfahrens zur Prüfung einer sicherheitsrelevanten Bewertungsvorrichtung (BV) für Signale und/oder Daten eines sicherheitsrelevanten Sensors (RS) als Teil eines sicherheitsrelevanten Gesamtsystems (GS) - mit einem virtuellen Sensor (VS) - mit einer Systemsteuerung (ST) - wobei das sicherheitsrelevante Gesamtsystem (GS) sich in einem Normalzustand und in einem Testzustand befinden kann und - wobei die Bewertungsvorrichtung (BV) mindestens zwei verschiedene Bewertungsvorrichtungen(BTV1, BTV2, ... BTVn) aufweist und - wobei die Sensordaten Informationen über die Quelle der Sensordaten umfassen und/oder Informationen über den sicherheitsrelevanten Sensor (RS1, RS2, ... RSn) umfassen, der die Sensordaten erzeugt hat, und - wobei die virtuellen Sensordaten des virtuellen Sensors (VS) Informationen über eine simulierte Quelle für virtuelle Sensordaten umfassen und - wobei eine Bewertungsvorrichtung (BTV) der mindestens zwei Bewertungsteilvorrichtungen(BTV1, BTV2,.. BTVn) im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) Sensordaten von dem sicherheitsrelevanten Sensor (RS) der sicherheitsrelevanten Sensoren (RS1, RS2, ... RSn) empfängt, wenn die Informationen über die Quelle der Sensordaten innerhalb der Sensordaten vorbestimmten Kriterien genügen, und - wobei für den Fall, dass die Informationen über die Quelle der Sensordaten innerhalb der Sensordaten diesen vorbestimmten Kriterien genügen, die Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, BTVn) im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) die Sensordaten des sicherheitsrelevanten Sensors (RS) der sicherheitsrelevanten Sensoren (RS1, RS2, ... RSn) bewertet und im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) Signalisierungen in Abhängigkeit von diesen Sensordaten vornimmt und/oder im Normalzustand des sicherheitsrelevanten Gesamtsystems (GS) Bewertungsdaten bereitstellt, die von diesen Sensordaten abhängen und - wobei eine Bewertungsvorrichtung (BTV) der mindestens zwei Bewertungsteilvorrichtungen(BTV1, BTV2,.. BTVn) im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) virtuelle Sensordaten von dem virtuellen Sensor (VS) empfängt, wenn die Informationen über die Quelle der virtuellen Sensordaten innerhalb der virtuellen Sensordaten vorbestimmten Kriterien genügen, und - wobei für den Fall, dass die Informationen über die Quelle der virtuellen Sensordaten innerhalb der Sensordaten diesen vorbestimmten Kriterien genügen, die Bewertungsteilvorrichtung (BTV) der Bewertungsteilvorrichtungen (BTV1, BTV2, ... BTVn) im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) die virtuellen Sensordaten des virtuellen Sensors (VS) bewertet und im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) Signalisierungen in Abhängigkeit von diesen virtuellen Sensordaten vornimmt und/oder im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) Bewertungsdaten bereitstellt, die von diesen virtuellen Sensordaten abhängen.
  2. Vorrichtung nach Anspruch 1 - wobei das sicherheitsrelevante Gesamtsystem (GS) eine Testbewertungsvorrichtung (TB) aufweist, die mit der Systemsteuerung (ST) ganz oder teilweise identisch sein kann, und - wobei die Testbewertungsvorrichtung (TB) die Signalisierungen der Bewertungsvorrichtung (BV) und/oder der durch die Bewertungsvorrichtung (BV) bereitgestellten Bewertungsdaten bewertet und ein Bewertungsergebnis erzeugt, wenn das sicherheitsrelevante Gesamtsystem (GS) sich im Testzustand befindet, und - wobei die Testbewertungsvorrichtung (TB) das Bewertungsergebnis der Testbewertungsvorrichtung (TB) signalisiert und/oder bereitstellt.
  3. Vorrichtung nach Anspruch 1 - wobei der virtuelle Sensor (VS) dazu vorgesehen ist, mit virtuellen Sensordaten programmiert zu werden.
  4. Verfahren nach Anspruch 1 - wobei der virtuelle Sensor (VS) dazu vorgesehen ist, mit Parametern für die Erzeugung mit virtuellen Sensordaten durch den virtuellen Sensor (VS) programmiert zu werden.
  5. Vorrichtung nach Anspruch 3 oder 4 - wobei der virtuelle Sensor (VS) dazu vorgesehen ist, durch die Systemsteuerung (ST) programmiert zu werden.
  6. Vorrichtung nach Anspruch 3 oder 4 oder 5 - wobei die Testbewertungsvorrichtung (TB) dazu vorgesehen ist, mit Referenzdaten programmiert zu werden und - wobei die Referenzdaten zur Bewertung der virtuellen Sensordaten des virtuellen Sensors (VS) dienen sollen, wenn sich das sicherheitsrelevante Gesamtsystem (GS) im Testzustand befindet.
  7. Vorrichtung nach Anspruch 6 - wobei die Testbewertungsvorrichtung (TB) dazu vorgesehen ist, durch die Systemsteuerung (ST) programmiert zu werden.
  8. Vorrichtung nach Anspruch 1 - wobei das Gesamtsystem (GS) eine Sicherheitseinrichtung (SE) aufweist und - wobei diese Sicherheitseinrichtung (SE) dazu vorgesehen ist, zumindest einen unsicheren Zustand des sicherheitsrelevanten Gesamtsystems (GS) vor oder mit dem Übergang des sicherheitsrelevanten Gesamtsystems (GS) in den Testzustand zu blockieren.
  9. Vorrichtung nach Anspruch 8 - wobei die Sicherheitseinrichtung (SE) dazu vorgesehen ist, vorbestimmte unsichere Zustände des sicherheitsrelevanten Gesamtsystems (GS) vor oder mit dem Übergang des sicherheitsrelevanten Gesamtsystems (GS) in den Normalzustand zuzulassen.
  10. Vorrichtung nach den Ansprüchen 2 und 8 - wobei die Sicherheitseinrichtung (SE) dazu vorgesehen ist, vorbestimmte unsichere Zustände des sicherheitsrelevanten Gesamtsystems (GS) nach oder mit dem Übergang des sicherheitsrelevanten Gesamtsystems (GS) in den Normalzustand zuzulassen, wenn die Bewertung der Signalisierungen der Bewertungsvorrichtung (BV) und/oder der durch die Bewertungsvorrichtung (BV) bereitgestellten Bewertungsdaten durch die Testbewertungsvorrichtung (TB) in Form der Signalisierung oder Bereitstellung des Bewertungsergebnisses der Testbewertungsvorrichtung (TB) durch die Testbewertungsvorrichtung (TB) ergibt, dass die Signalisierungen der Bewertungsvorrichtung (BV) und/oder die durch die Bewertungsvorrichtung (BV) bereitgestellten Bewertungsdaten vorbestimmten Signalisierungen und/oder vorbestimmten Bewertungsdaten entsprechen.
  11. Verfahren nach den Ansprüchen 2 und 8 - wobei das sicherheitsrelevante Gesamtsystem (GS) einen zusätzlichen vorbestimmten Fehlerzustand einnehmen kann, und - wobei die Sicherheitseinrichtung (SE) dazu vorgesehen ist, vorbestimmte unsichere Zustände des sicherheitsrelevanten Gesamtsystems (GS) fortdauernd zu blockieren, die von den zuvor im Testzustand des sicherheitsrelevanten Gesamtsystems (GS) blockierten unsicheren Zuständen des sicherheitsrelevanten Gesamtsystems (GS) abweichen können, - wobei das sicherheitsrelevante Gesamtsystem (GS) vom Testzustand in den vorbestimmten Fehlerzustand übergeht, wenn die Bewertung der Signalisierungen der Bewertungsvorrichtung (BV) und/oder der durch die Bewertungsvorrichtung (BV) bereitgestellten Bewertungsdaten durch die Testbewertungsvorrichtung (TB) in Form der Signalisierung oder Bereitstellung des Bewertungsergebnisses der Testbewertungsvorrichtung (TB) durch die Testbewertungsvorrichtung (TB) ergibt, dass die Signalisierungen der Bewertungsvorrichtung (BV) und/oder die durch die Bewertungsvorrichtung (BV) bereitgestellten Bewertungsdaten vorbestimmten Signalisierungen und/oder vorbestimmten Bewertungsdaten im Testzustand NICHT entsprechen.
DE102018107448.4A 2017-06-01 2018-03-28 ISO 26262 konforme Vorrichtung zur Prüfung einer Bewertungsvorrichtung mit mehreren Bewertungsteilvorrichtungen für Sensordaten innerhalb eines sicherheitsrelevanten Gesamtsystems Pending DE102018107448A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102017112140.4 2017-06-01
DE102017112140 2017-06-01

Publications (1)

Publication Number Publication Date
DE102018107448A1 true DE102018107448A1 (de) 2018-12-06

Family

ID=64279036

Family Applications (2)

Application Number Title Priority Date Filing Date
DE102018107448.4A Pending DE102018107448A1 (de) 2017-06-01 2018-03-28 ISO 26262 konforme Vorrichtung zur Prüfung einer Bewertungsvorrichtung mit mehreren Bewertungsteilvorrichtungen für Sensordaten innerhalb eines sicherheitsrelevanten Gesamtsystems
DE102018107441.7A Pending DE102018107441A1 (de) 2017-06-01 2018-03-28 ISO 26262 konforme Vorrichtung zur Prüfung einer Bewertungsvorrichtung für Sensordaten innerhalb eines sicherheitsrelevanten Gesamtsystems

Family Applications After (1)

Application Number Title Priority Date Filing Date
DE102018107441.7A Pending DE102018107441A1 (de) 2017-06-01 2018-03-28 ISO 26262 konforme Vorrichtung zur Prüfung einer Bewertungsvorrichtung für Sensordaten innerhalb eines sicherheitsrelevanten Gesamtsystems

Country Status (1)

Country Link
DE (2) DE102018107448A1 (de)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020152281A1 (de) 2019-01-24 2020-07-30 Elmos Semiconductor Aktiengesellschaft Vorrichtung zur auslösung einer schutzfunktion in einem fahrzeug
DE102019101735A1 (de) 2019-01-24 2020-07-30 Elmos Semiconductor Aktiengesellschaft Verfahren zur Überprüfung einer Airbag Zündstufe im Betrieb
DE102019101739A1 (de) 2019-01-24 2020-07-30 Elmos Semiconductor Aktiengesellschaft Vorrichtung mit Überprüfungsfähigkeit einer Airbag Zündstufe im Betrieb
DE102019101733A1 (de) 2019-01-24 2020-07-30 Elmos Semiconductor Aktiengesellschaft Vorrichtung zur Absicherung der Überwachung einer Airbag Zündstufe im Betrieb
DE102019101732B4 (de) * 2019-01-24 2021-02-11 Elmos Semiconductor Se Vorrichtung mit Überprüfungsfähigkeit einer Airbag Zündstufe im Betrieb
EP4325308A1 (de) * 2022-08-18 2024-02-21 Sick Ag Sicherheitssystem und verfahren mit einem sicherheitssystem

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1239370A2 (de) 2001-03-09 2002-09-11 Robert Bosch Gmbh Verfahren zur Überprüfung eines Schnittstellenbausteins
DE102004049082A1 (de) 2004-10-08 2006-04-13 Robert Bosch Gmbh Endstufe zur Ansteuerung einer Airbag-Zündeinheit mit integrierter Testeinrichtung

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1239370A2 (de) 2001-03-09 2002-09-11 Robert Bosch Gmbh Verfahren zur Überprüfung eines Schnittstellenbausteins
DE102004049082A1 (de) 2004-10-08 2006-04-13 Robert Bosch Gmbh Endstufe zur Ansteuerung einer Airbag-Zündeinheit mit integrierter Testeinrichtung

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020152281A1 (de) 2019-01-24 2020-07-30 Elmos Semiconductor Aktiengesellschaft Vorrichtung zur auslösung einer schutzfunktion in einem fahrzeug
DE102019101735A1 (de) 2019-01-24 2020-07-30 Elmos Semiconductor Aktiengesellschaft Verfahren zur Überprüfung einer Airbag Zündstufe im Betrieb
DE102019101739A1 (de) 2019-01-24 2020-07-30 Elmos Semiconductor Aktiengesellschaft Vorrichtung mit Überprüfungsfähigkeit einer Airbag Zündstufe im Betrieb
DE102019101733A1 (de) 2019-01-24 2020-07-30 Elmos Semiconductor Aktiengesellschaft Vorrichtung zur Absicherung der Überwachung einer Airbag Zündstufe im Betrieb
DE102019101739B4 (de) * 2019-01-24 2021-02-11 Elmos Semiconductor Se Vorrichtung mit Überprüfungsfähigkeit einer Airbag Zündstufe im Betrieb
DE102019101732B4 (de) * 2019-01-24 2021-02-11 Elmos Semiconductor Se Vorrichtung mit Überprüfungsfähigkeit einer Airbag Zündstufe im Betrieb
DE102019101733B4 (de) * 2019-01-24 2021-02-11 Elmos Semiconductor Se Vorrichtung zur Absicherung der Überwachung einer Airbag Zündstufe im Betrieb
DE102019101735B4 (de) * 2019-01-24 2021-02-11 Elmos Semiconductor Se Verfahren zur Überprüfung einer Airbag Zündstufe im Betrieb
KR20210114532A (ko) 2019-01-24 2021-09-23 엘모스 세미컨덕터 에스이 차량에 있어서 보호 기능을 개시하기 위한 장치
EP4325308A1 (de) * 2022-08-18 2024-02-21 Sick Ag Sicherheitssystem und verfahren mit einem sicherheitssystem

Also Published As

Publication number Publication date
DE102018107441A1 (de) 2018-12-06

Similar Documents

Publication Publication Date Title
DE102018107449B4 (de) ISO 26262 konformes Verfahren zur Prüfung einer Bewertungsvorrichtung für Sensordaten innerhalb eines sicherheitsrelevanten Gesamtsystems
DE102018107452B4 (de) ISO 26262 konformes Verfahren zur Prüfung einer Bewertungsvorrichtung für Sensordaten innerhalb eines sicherheitsrelevanten Gesamtsystems
DE102018107448A1 (de) ISO 26262 konforme Vorrichtung zur Prüfung einer Bewertungsvorrichtung mit mehreren Bewertungsteilvorrichtungen für Sensordaten innerhalb eines sicherheitsrelevanten Gesamtsystems
DE102018107446A1 (de) ISO 26262 konforme Vorrichtung zur Prüfung einer Bewertungsvorrichtung mit einer Einspeisevorrichtung und mehreren Bewertungsteilvorrichtungen für Sensordaten innerhalb eines sicherheitsrelevanten Gesamtsystems
EP0691244B1 (de) Prüfverfahren für eine passive Sicherheitseinrichtung in Kraftfahrzeugen
DE102012216529B4 (de) Verfahren zur Auslösung zumindest eines Personenschutzmittels sowie System und Computerprogrammprodukt zur Durchführung des Verfahrens
EP0693401B1 (de) Datenübertragungsverfahren in einem für den Einsatz in Kraftfahrzeugen geeigneten Datenverarbeitungssystem
EP1337921B1 (de) Vorrichtung zur überwachung eines prozessors
DE10057916C2 (de) Steuergerät für ein Rückhaltesystem in einem Kraftfahrzeug
DE102005030770B4 (de) Schaltungsanordnung und Verfahren zum Steuern einer Sicherheitseinrichtung für ein Fahrzeug
DE4016644C2 (de)
EP1012003A1 (de) Verfahren und vorrichtung zur steuerung der datenübertragung zwischen zwei in einem kraftfahrzeug vorhandenen modulen
DE102007008091B4 (de) Fahrzeuginsassen-Schutzvorrichtung
EP3024707A1 (de) Verfahren und elektronische schaltungsanordnung zur redundanten signalverarbeitung einer sicherheitsrelevanten anwendung, kraftfahrzeugbremssystem und kraftfahrzeug damit sowie verwendung einer derartigen elektronischen schaltungsanordnung
EP2707255B1 (de) Verfahren und vorrichtung zur überprüfung eines sensorsignals und zur ansteuerung eines insassenschutzmittels eines fahrzeugs
DE102016220116A1 (de) Vorrichtung und Verfahren zur Überwachung eines Fahrzeugsitzes sowie Fahrzeug mit einer derartigen Vorrichtung
DE102018110937B4 (de) Verfahren zur betriebssicheren vereinfachten Aktivierung von Produktionstestmodi in sicherheitsrelevanten elektronischen Schaltungen für Fußgängeraufprallschutzsysteme
DE102018110926B4 (de) Verfahren zur betriebssicheren Aktivierung von Produktionstestmodi in sicherheitsrelevanten elektronischen Schaltungen für ein sicherheitsrelevantes System
DE102018110934B4 (de) Verfahren zur betriebssicheren vereinfachten Aktivierung von Produktionstestmodi in sicherheitsrelevanten elektronischen Schaltungen für ein Fahrzeuginsassenrückhaltesystem
DE102018110932B4 (de) Verfahren zur betriebssicheren Aktivierung von Produktionstestmodi in sicherheitsrelevanten elektronischen Schaltungen für ein Fahrzeuginsassenrückhaltesystem
DE102004036291B4 (de) Schaltungsanordnung und Verfahren zum Steuern einer Sicherheitseinrichtung für ein Fahrzeug
WO1997015474A2 (de) Airbagsystem
DE102017110423B4 (de) Verfahren zur betriebssicheren Aktivierung von Produktionstestmodi in sicherheitsrelevanten elektronischen Schaltungen für ein Fußgängeraufprallschutzsystem
EP0694451A1 (de) Fahrzeugsicherungsanordnung
DE102011101933B4 (de) Verfahren zur Entsorgungszündung pyrotechnischer Aktoren in einem Kraftfahrzeug sowie Steuergerät

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R081 Change of applicant/patentee

Owner name: ELMOS SEMICONDUCTOR SE, DE

Free format text: FORMER OWNER: ELMOS SEMICONDUCTOR AKTIENGESELLSCHAFT, 44227 DORTMUND, DE

R016 Response to examination communication