为了集成安全功能性测试安全地操纵信号的方法及系统。在第一步骤选择以据ISO标准26262危险等级ASIL A至D评价的基于软件的机动车组件的输入信号;在第二步骤通过改变输入信号确定测试信号;在第三步骤为了根据ISO标准26262的QM上下文中的安全功能验证和生效测试提供外部信号操纵单元;在第四步骤建立机动车组件与外部信号操纵单元的连接;在第五步骤测试机动车组件安全功能;在第六步骤借助第三测试信号检查测试结果;在第七步骤按需要修改测试信号直至相应输出信号对应于额定输出信号;在第八步骤激活经检查的安全功能。该方法在基于软件的车辆组件中实现高效、复杂、灵活且成本低的信号操纵并同时改善其功能安全性。
【技术实现步骤摘要】
用于进行安全的信号操纵的方法和系统
本专利技术涉及一种用于为了测试集成的安全功能性而进行安全的信号操纵的方法。本专利技术还涉及一种用于为了测试集成的安全功能性而进行安全的信号操纵的系统。
技术介绍
几乎所有在现代机动车中在行驶运行中出现的控制和调节任务在使用基于软件的、大多电子的车辆组件或系统的情况下被实施。对于由这些组件或系统在典型的行驶运行中承担的任务的范围(Bandbreite)来说示例性地应只提到:一方面在有迎面车流时的自动的弱光照明(Abblenden)而另一方面利用多个辅助系统进行高自动化驾驶,其中在通过这些系统的完全控制下对行驶环境进行监控。因此,在现代机动车中,软件不仅有助于驾驶员的舒适性改善,而且也提供了对避免事故和保护乘客的重要贡献。就这方面来说,随着朝着自主行驶或无驾驶员行驶的最新发展而不仅仅出现:在机动车中增多地使用到基于软件的组件,而是因此而出现:这种系统占总车辆成本的成本份额的增加。实际上,该发展尤其是也通过对现有的软件解决方案的定性的如下的继续发展来被确定,其中,已经仅仅从在部分自主行驶中就已经要考虑的问题的数目和复杂性中就得出这种继续发展。因此,在真实的行驶运行中是否能掌控这些问题以及能以何种程度来掌控这些问题因此主要取决于:分别参与的辅助系统的没有错误的共同作用并且因此取决于每个单独的被使用的组件软件的无缺陷性。尤其是,还应考虑安全方面,这些安全方面能够尽可能可靠地防止对所使用的车辆组件的未经授权的访问。借此,在现代机动车中,不仅每个基于软件的单个组件本身都必须满足关于其功能安全性方面的高要求。同样,在系统网络中的所有这样的组件都必须可靠地满足对高功能安全性的要求。这应通过所有车辆组件的适当的功能测试来证明。在此,以公知的方式给分别所要检查的软件加载(beaufschlagen)适当的测试信号并且分析系统反应。与在现代机动车中的这样的系统组件的大数目相对应地,这种测试不仅是耗费的,它们也是成本密集的。例如在用于在机动车中的安全相关的电系统或电子系统的ISO标准26262中,根据多层概念(第1层——系统层,第2层——硬件层,第3层——软件层)来调节对用于安全功能的验证和生效的测试的执行。然后,应鉴于在行驶运行中的严重程度(severity(严重性))、危险程度(exposure(暴露率))和可掌控性(controllability(可控性))方面来分析每种功能失效并且给其分配总共五个相对应的危险等级QM、ASILA、ASILB、ASILC、ASILD之一,其中ASILD表示最高的危险等级而QM表示最低的危险等级(ASIL–(汽车安全完整性等级),QM–QualityManagement(质量管理))。由此出发,接着设置在该标准下详细地提及的补救措施。在该基础上在测试方案中借助于具有集成的信号操纵的单独软件(错误接入软件(Fehleraufschaltsoftware))来进行安全功能的验证和生效。为此,该错误接入软件引起(provozieren)在所要测试的系统组件的第1层上的功能失效,以便证明第2层的安全功能识别出该功能失效并且采取相对应的措施。通常,在使用该特殊软件的情况下来进行系统组件的发布并且因此针对如下软件版本(Sofwarestand)来进行系统组件的发布,该软件版本并不相应于应获得相对应的发布推荐的系列软件版本。就这方面来说,这两个提到的软件版本的区别总是在于对于信号操纵而言附加地引入的功能性。因为该附加的软件功能性没有单独被监控,所以该附加的软件功能性构成潜在的安全风险。根据现有技术,该错误接入软件通常集成在系列软件中,使得在系列产品中也随时可能对相应的安全功能进行验证和生效。在此,为了防止在行驶运行中对操纵功能的不经意的触发,必须提供适当的保护措施。与在验证系统组件的安全功能并且使系统组件的安全功能生效时所使用的测试方法的类型无关地需要这些保护措施,并且因此不仅在根据具有已知的多层概念的ISO标准26262的测试中需要这些保护措施,而且在替选的测试中需要这些保护措施,这些替选的测试已借助于有资格的工具、诸如具有经认证的编译器的SCADE来开发。不过,并不能利用这些保护措施来保证:不能在对所集成的错误接入软件的周期性执行期间进行不容许的操纵。相反,必须做出附加的预防措施。在系列软件中实现的错误接入功能(Fehleraufschaltfunktion)还需要以应提供(vorhalten)的存储空间和运行时间的形式的附加资源。此外,对于必须针对不同的测试利用在系列软件中实现的错误接入功能来操纵的每种信号,都应提供相对应的干预。如果应该利用在系列软件中实现的错误接入功能来执行具有更复杂的信号波形的测试,则必须将相对应的信号发生器、比如针对斜坡形波形、正弦函数或三角函数的信号发生器以及相关参量的计算保存(hinterlegen)在目标系统中。此外,应针对这样的测试提供相对应数目的应用参数,这些应用参数必须被管理、被测试并且被记录(dokumentieren)。在具有所实现的错误接入软件的基于软件的单个组件的每次按照规定的应用时,都必须可靠地防止在行驶运行中对错误接入功能的不经意的激活。为此,应设置适当的基本数据采集(Grundbedatung)和文档编制(Dokumentation)。为了降低误操作的风险和/或专有技术保护(Know-how-Schutz)的目的,按具体情况也可能需要:对基于软件的单个组件的用户隐藏由错误接入软件所检测的数据。为此所采取的针对数据锁定(Datenverriegelung)的措施也接受根据ISO标准26262的规定并且在每种单个情况下都必须被考虑,以便排除对相应的组件的功能安全性的危害。从现有技术公知不同的方法,利用这些方法可以根据控制信号来检查车辆的安全功能。为此示例性地应提到DE102012215343A1。然后,依据诊断测试以时间上的间隔来重复地检查在机动车系统中是否存在如下干扰,该干扰可能损害到对安全功能的执行。在使用通信系统和控制单元的情况下,根据测试数据来确定用于在损害安全功能之前识别出干扰的可靠性值。从DE102017202347A1公知如下方法,利用该方法,可以依据在两个控制设备之间的数据交换并依据通过第三个控制设备而对控制信号的改变来测试在车辆运行时的功能安全性。在这种情况下,在这些控制设备之间鉴于系统层面来对信号改变进行测试。在EP2759939B1中说明了一种用于通过存储器操纵程序组件来操纵存储器访问的方法,该方法通过车辆中的控制设备单元的控制设备程序来执行。
技术实现思路
应该利用本专利技术来提供一种用于为了测试集成的安全功能性而进行安全的信号操纵的方法,该方法适合于克服现有技术的缺点并且尤其是能够在基于软件的车辆组件中实现高效的、复杂的、灵活的并且成本低廉的信号操纵,而同时改善这些基于软件的车辆组件的功能安全性。按照本专利技术的任务通过专利独立权利要求的主题来解决。优选的扩展方案是从属本文档来自技高网...
【技术保护点】
1.一种用于为了测试在机动车(11)中的基于软件的机动车组件(12)的集成的安全功能性而进行安全的信号操纵的方法,/n其特征在于如下步骤:/n选择(100)至少一个施加在利用根据ISO标准26262的危险等级ASIL A至ASIL D来评价的、基于软件的机动车组件(12)的输入端(121)上的第一输入信号(V'),用于对所述机动车组件(12)的安全功能的安全技术分析,其中施加在所述输入端(121)上的第一输入信号(V')相应于由所述机动车(11)生成的第一控制信号(V);/n通过改变所选择的所述至少一个第一输入信号(V')来确定(200)至少一个第一测试信号(W1);/n提供(300)外部的信号操纵单元(21),用于在QM上下文(2)中借助于所确定的所述至少一个第一测试信号(W1)对所述机动车组件(12)的安全功能的验证和生效测试;/n中断(400)所述机动车组件(12)与所述机动车(11)的连接并且建立与所述信号操纵单元(21)的连接,使得在所述机动车组件(12)的所述输入端(121)上施加所述第一测试信号(W1)而不施加所述第一输入信号(V');/n在使用标准化XCP服务的情况下借助于所述至少一个第一测试信号(W1)来执行(500)对所述机动车组件(12)的安全功能的验证和生效测试,其中由所述信号操纵单元(21)来检测分别施加在所述机动车组件(12)的输出端(122)上的输出信号(F');/n借助于由所述信号操纵单元(21)提供的第三测试信号(W3)和所述机动车组件(12)的额定输出信号(F)来检查(600)利用在所述机动车组件(12)之外的所述信号操纵单元(21)执行的验证和生效测试;/n通过对分别选择的信号(V、F)的进一步的外部信号操纵来使所述至少一个第一和第三测试信号(W1、W3)适配(700)并且利用被操纵的所述测试信号(W1、W3)来重复步骤(500)和(600),如果需要的话则一直重复步骤(500)和(600),直至相应的输出信号(F')相应于所述额定输出信号(F);/n通过中断所述信号操纵单元(21)与所述机动车组件(12)的连接并且经由所述机动车组件(12)的至少一个所述输入端(121)和所述输出端(122)来重新建立所述机动车组件(12)与所述机动车(11)的连接来激活(800)经检查的安全功能。/n...
【技术特征摘要】
20190311 DE 102019203251.61.一种用于为了测试在机动车(11)中的基于软件的机动车组件(12)的集成的安全功能性而进行安全的信号操纵的方法,
其特征在于如下步骤:
选择(100)至少一个施加在利用根据ISO标准26262的危险等级ASILA至ASILD来评价的、基于软件的机动车组件(12)的输入端(121)上的第一输入信号(V'),用于对所述机动车组件(12)的安全功能的安全技术分析,其中施加在所述输入端(121)上的第一输入信号(V')相应于由所述机动车(11)生成的第一控制信号(V);
通过改变所选择的所述至少一个第一输入信号(V')来确定(200)至少一个第一测试信号(W1);
提供(300)外部的信号操纵单元(21),用于在QM上下文(2)中借助于所确定的所述至少一个第一测试信号(W1)对所述机动车组件(12)的安全功能的验证和生效测试;
中断(400)所述机动车组件(12)与所述机动车(11)的连接并且建立与所述信号操纵单元(21)的连接,使得在所述机动车组件(12)的所述输入端(121)上施加所述第一测试信号(W1)而不施加所述第一输入信号(V');
在使用标准化XCP服务的情况下借助于所述至少一个第一测试信号(W1)来执行(500)对所述机动车组件(12)的安全功能的验证和生效测试,其中由所述信号操纵单元(21)来检测分别施加在所述机动车组件(12)的输出端(122)上的输出信号(F');
借助于由所述信号操纵单元(21)提供的第三测试信号(W3)和所述机动车组件(12)的额定输出信号(F)来检查(600)利用在所述机动车组件(12)之外的所述信号操纵单元(21)执行的验证和生效测试;
通过对分别选择的信号(V、F)的进一步的外部信号操纵来使所述至少一个第一和第三测试信号(W1、W3)适配(700)并且利用被操纵的所述测试信号(W1、W3)来重复步骤(500)和(600),如果需要的话则一直重复步骤(500)和(600),直至相应的输出信号(F')相应于所述额定输出信号(F);
通过中断所述信号操纵单元(21)与所述机动车组件(12)的连接并且经由所述机动车组件(12)的至少一个所述输入端(121)和所述输出端(122)来重新建立所述机动车组件(12)与所述机动车(11)的连接来激活(800)经检查的安全功能。
2.根据权利要求1所述的方法,其中在使用XCP-STIM服务...
【专利技术属性】
技术研发人员:H迪尔科普,M诺伊鲍尔,AL科博斯,
申请(专利权)人:大众汽车有限公司,
类型:发明
国别省市:德国;DE
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。