ソフトウェアベースの電子システムの安全性と信頼性を検査する方法
本発明は,システムの要求される機能を検査するための信頼性機能を用いて,そのために必要とされる,システムのハードウェアコンポーネントに基づいて,ソフトウェアベースの電子システムの安全性と信頼性を検査する方法に関する。その場合に,システムの要求される機能の少なくとも1つのものの信頼性を計算するための信頼性機能と,システムの安全性機能の少なくとも1つのものの信頼性を計算するための他の信頼性機能を定めることが提案され,その場合にこれら信頼性を定めるために,システムのソフトウェアコンポーネントが,これらソフトウェアコンポーネントがそれに分配されている,ハードウェアコンポーネントを用いて一緒に考慮される。それによって,ソフトウェアとハードウェアによって実現される,この種のシステムとこのシステムの機能の様々な監視コンセプトを早期に評価することが可能となる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は,システムの要求される機能を検査するための信頼性機能を用いて,そのために必要なシステムのハードウェアコンポーネントに基づいて,ソフトウェアベースの電子システムの安全性と信頼性を検査する方法に関する。さらに,本発明は,この方法の使用および方法を実装するためのコンピュータプログラムとコンピュータプログラム製品に関する。
【背景技術】
【0002】
車両機能に対する信頼性要請と安全性要請は,技術的,法律的および経済的な周辺条件を考慮して,顧客要望から得られる。車両機能に対する信頼性要請は,たとえば短い修理時間または長いサービスインターバルの形式で与えられる。それに対して安全性要請は,車両の部品の故障または障害の場合における車両の安全な行動を定める。車両機能に課せられる信頼性要請と安全性要請は,最初から,実現と立証義務に対する要請も定める。安全性と信頼性を向上させるための強力な手段の1つは,冗長性である。車両機能または車両機能の一部がソフトウェアによって実現されることが増えているので,信頼性分析と安全性分析を行う体系的な方法が,電子制御装置のためのソフトウェア開発に,たとえば監視概念,診断概念および安全性概念の実現に,ますます大きくなる影響を有している。
【0003】
複雑な電子システムのためには,信頼性と安全性を確保するための行動が早期に計画されて,プロジェクトプラン全体に統合されなけれならない。
【0004】
「システム」という概念は,本出願の枠内において,それぞれ文脈に従って以下のものと考えられる:所定の機能を得るために必要な最小のシステム部分,システム全体へ至るまでの,協働するシステム部分あるいは,さらに広く捉えて,操作者またはシステム全体に作用する他の要素を含めたシステム全体を指す。本発明を説明するために,本出願の枠内では,大体において,車両制御の構成部分であるシステムを参照する。この参照は,純粋に説明的な特性を有しており,本発明は決してこの種のシステムに限定されない。本発明は,むしろ,ソフトウェアベースの電子システムに関して,普遍的に妥当性を有している。
【0005】
この種のシステムの安全性と信頼性を検査するために,信頼性機能の使用が知られており,その信頼性機能を用いてシステムの要求される機能についての信頼性の程度を示すことができる。この種の信頼性機能を定めるために,要求されるシステム機能に必要な,システムのハードウェアコンポーネントの信頼性から始めることができる。信頼性分析は,たとえば,故障率分析および作用分析(FMIA)あるいはエラーツリー分析(FTA)のような,故障率分析および故障種類分析を有する。以下においては,信頼性分析を,故障率分析を用いて,考察されるシステムのための信頼性ブロック図を用いて信頼性機能を計算しながら,詳細に説明する。
【0006】
考察ユニットの故障率の系統的調査は,計算による考察ユニットのための信頼性の予測を可能にする。弱い箇所を早期に認識して,代替策を評価し,信頼性,安全性および可用性の間の関係を量的に検出できるようにするために,この予測は重要である。さらに,たとえばシステムコンポーネントに対して信頼性要請を課すことができるようにするために,この種の調査は必要である。
【0007】
無視と簡略化により,および使用される入力データの不確実性により,計算され,予測された信頼性は,真の信頼性のためのおおよその数値でしかなく,真の信頼性は信頼性検査とフィールド観察によってしか求められない。しかし,分析段階における比較調査の枠内では,絶対的な精度は役割を果たさないので,特に実現選択肢を評価する際に,予測される信頼性の計算は,有用である。
【0008】
以下の部分において,考察単位は,常に車両の技術システムまたはシステムコンポーネントである。一般的な場合においては考察単位は,もっと広く捉えることができ,たとえば車両の運転者も含めることができる。
【0009】
故障率分析(これについては,アレッサンドロ・ビロリーニの「機器とシステムの信頼性(Alessandro Birolini:Zuverlaessigkeit von Geraete und Systemen,
Springere Verlag, 1997)を参照)は,以下のステップを区別する:
・技術的システムの限界とコンポーネント,要求される機能および要求プログラムを定義
・信頼性ブロック図(英語ではReliability Block Diagram)を作成
・各コンポーネントについて負荷条件を決定
・各コンポーネントについて信頼性機能または故障率を決定
・システムのための信頼性機能を算出
・弱い箇所を克服
【0010】
故障率分析は,多段階の方法であって,システムレベルから種々のサブシステムレベルを介して技術的システムアーキテクチャのコンポーネントレベルへ至るまで「トップダウン」で実施することができる。故障率分析は,技術的システムアーキテクチャが変化した後に,繰り返されなければならない。
【0011】
以下,故障率分析の第1のステップを,詳細に説明する。
【0012】
信頼性の予測のために必要な,論理的考察のためには,システムとその機能および信頼性と安全性を改良するための具体的可能性の詳細な知識が前提とされる。システム理解には,システムのアーキテクチャとその作用方法の知識,すべてのシステムコンポーネントのための作業条件と負荷条件および,たとえば信号の流れおよびすべてのコンポーネントの入力および出力サイトの形式の,コンポーネント間の相互の相互作用が重視される。改良のための具体的可能性に属するのは,駆動中のコンポーネントの負荷,たとえば静的または動的な負荷,インターフェイスの負荷の制限と減少,もっと適したコンポーネントの使用,システムまたはコンポーネント設計の簡略化,重要なコンポーネントの前処理および冗長性の使用である。
【0013】
要求される機能が,システムの課題を指定する。システム限界および要求される機能を決定することは,それによって故障も定義されるので,各信頼性分析の出発点を形成する。
【0014】
付加的に,システムのすべてのコンポーネントについて環境条件が定義されなければならない。というのは,それによってコンポーネントの信頼性が影響を受けるからである。すなわち,たとえば,温度領域は,ハードウェアコンポーネントの故障率に大きい影響を有している。車両内では,たとえば,要求される温度領域,湿度,埃または腐食性の環境下での使用あるいは振動,ショックまたは,たとえば供給電圧の変動による負荷が,環境条件に属する。さらに,要求される機能と環境条件が時間に依存する場合には,要求プロフィールが決定されなければならない。車両内の法律的に定められた要求プロフィールの例は,排ガス規則の維持を立証するための走行サイクルである。この場合において,代表的な要求プロフィールにも言及される。
【0015】
次に,故障率分析の第2のステップを詳細に説明する。
【0016】
信頼性ブロック図は,システムのどのハードウェアコンポーネントが必要な機能を満たすために原則的に機能しなければならないか,およびどのハードウェアコンポーネントが,故障した場合に,冗長に存在しているために原則的に機能を損なわないか,という問いに解答を与える。信頼性ブロック図の形成は,技術的システムアーキテクチャのコンポーネントを考察することによって行われる。これらのコンポーネントは,信頼性ブロック図内で,機能を満たすために必要なコンポーネントは直列に接続され,冗長なコンポーネントは並列回路内で接続されるようにして,接続される。
【0017】
図1は,いわゆるブレーキ−バイ−ワイヤ−システム1を概略的に示しており,その場合にブレーキペダル2,制御装置3および4つのブレーキユニット,すなわち左前のブレーキユニット4,左後ろのブレーキユニット5,右前のブレーキユニット6および右後ろのブレーキユニット7,が示されている。ブレーキ−バイ−ワイヤ−システム1の機能のために必要なハードウェアコンポーネントは,Kで示されている。
【0018】
図1に示すような,仮想のブレーキ−バイ−ワイヤ−システム1のために,まずシステム限界が定められる。システムは,ブレーキペダルユニット(K1),制御装置(K2),車輪ブレーキユニット(K5,K7,K9,K11)および電気的な接続(K3,K4,K6,K8,K10)のコンポーネントからなる。
【0019】
ブレーキ−バイ−ワイヤ−システムにおいては,ブレーキペダルと車輪ブレーキの間に油圧的な接続はなく,電気的な接続がある。運転者の指示によってブレーキがかかった場合に,ブレーキペダルユニットK1によって設定されて,制御装置K2内で処理される,運転者の指示によるブレーキに必要なエネルギは,「ワイヤによって」車輪ブレーキユニットK5,K7,K9およびK11へ伝達される。その場合に,従来のブレーキシステムにおいては機械−油圧的に実施される,電気的および電子的コンポーネントK2,K3,K4,K6,K8およびK10による,ペダルユニットと車輪ブレーキユニットとの間の「情報伝達およびエネルギ伝達」機能の引渡しが,付加的な安全リスクをもたらさず,安全利得をもたらすことが,保証されなければならない。従ってブレーキ指令の予測可能な伝達は,必然的な予測である。同様に,コンポーネントの障害と故障においても,安全が保証されなければならない。
【0020】
「ブレーキ」の機能を考察する。そのためにシステムの信頼性全体が定められる。コンポーネントK1からK11の故障率λ1からλ11がわかっているものと仮定する。
【0021】
この例は,さらに,極めて著しく簡略化される。信頼性分析の際の原理的な方法のみが,明らかにされる。従って,情報伝送のみを考察し,エネルギ供給とエネルギ伝達の視点および,前車軸と後車軸上の要求されるブレーキ力分配のような,走行動的な周辺条件は無視される。もちろん,これらは信頼性分析の場合にも考慮されなければならない。
【0022】
「ブレーキ」機能を満たすために,この簡略化された視点においては,ブレーキペダルユニットK1,制御装置K2のコンポーネントおよびブレーキペダルユニットと制御装置K3間の接続が機能することが,必要不可欠である。
【0023】
ホイールブレーキユニットは,制御装置とホイールブレーキユニットの間の接続において,冗長性を有する。車両のための十分な補助ブレーキ力が1つのホイールブレーキユニットのみによって得られる,という著しく簡略化された仮定の下で,たとえばコンポーネントK4とK5は必要不可欠であって,コンポーネントK6とK7,K8とK9並びにK10とK11は冗長に存在している。この種の配置を,4−1の冗長性と称する。
【0024】
「ブレーキ」機能のための信頼性ブロック図は,図2のように示される。
【0025】
すべてのコンポーネントKiについて負荷条件を決定し,かつ信頼性機能Ri(t)を定めた後に,次の表3に示す,信頼性ブロック図のための基本的な規則を考慮して,システムの信頼性機能Rs(t)を計算することができる。
【0026】
従って図2の例について,システムの信頼性機能Rsを計算することができる。R4=R6=R8=R10およびR5=R7=R9=R11と仮定して,Rsについて次の式が成り立つ:
Rs=R1R2R3[1−(1−R4R5)4]
【0027】
この簡略化した例が示すように,機能のためのシステムの信頼性は,信頼性ブロック図内の冗長なコンポーネントにより,コンポーネントの信頼性に比較して増大する。それに対して,連続的に図示されているコンポーネントにおいては,システム信頼性はコンポーネント信頼性に比較して減少する。従って信頼性ブロック図内の連続的なコンポーネントのために,既にコンポーネントの高い信頼性を要求しなければならず,あるいはここでも冗長な構造を設ける,技術的システムアーキテクチャを計画しなければならない。
【0028】
上記では,システムの信頼性機能の計算が,所定の要求されるシステム機能について実例として,著しく簡略化して示されているが,同様な方法で,システムの安全性に関する説明を行うことができるようにすることが望ましい。システムの安全性のためには,しばしば,考察の単位が要求される機能を満たしているか否かは,それによって支持し得ない高いリスクが生じない限り,重要ではない。本出願において考察されるような,ソフトウェアベースの電子システムは,主としてハードウェアコンポーネントとソフトウェアコンポーネントからなり,その場合にソフトウェアコンポーネントは大体において,システムのハードウェアコンポーネントの幾つかに分配することができる。この種のソフトウェアベースの電子システムの安全性も信頼性も,信頼のおけるように検査できるようにする,強い要請がある。
【発明の開示】
【0029】
本発明によれば,システムが要求する機能の少なくとも1つのものの信頼性を計算するための信頼性機能と,システムの安全性機能の少なくとも1つのものの信頼性を計算するための信頼性機能とが定められ,その場合にこの信頼性機能を定める際に,システムのソフトウェアコンポーネントも一緒に考慮される。その場合にソフトウェアコンポーネントは,ハードウェアコンポーネント(このハードウェアコンポーネントにソフトウェアコンポーネントが分配されている)を用いて,一緒に考慮される。その場合にこの考慮は,1つまたは複数のハードウェアコンポーネント自体と,それぞれのソフトウェアにより(たとえば出力信号の出力によって)影響を受けるハードウェアの接続にも拡げることができる。それによって初めて,ソフトウェアベースの電子システムの安全性と信頼性に関する説明を行うことが可能となり,その場合にこの説明は,それぞれの接続を含めたハードウェアコンポーネントとソフトウェアコンポーネントからなるシステムに関するものであって,ハードウェアコンポーネントのみに限定されない。
【0030】
ハードウェアコンポーネントとソフトウェアコンポーネントを有するシステムの安全性と信頼性は,信頼性機能を使用して検査され,その信頼性機能は,例えば冒頭で説明した,システムのための信頼性ブロック図を用いて定めることができる。後で説明するように,本発明によれば,信頼性機能を定める場合にシステムのソフトウェアコンポーネントが一緒に考慮される。これは,新しいシステム定義に匹敵する。というのは,これまで信頼性分析のためには,ハードウェアコンポーネントからなるシステムのみが考慮されており,ソフトウェアコンポーネントはもし考慮されるとしても,独自の別の分析を受けていたからである。
【0031】
本発明によれば,一般に,ソフトウェアとハードウェアから実現される電子システムの特殊性と機能において,達成可能なシステム安全性およびシステム信頼性に関して,電子制御装置の様々な監視概念を早期に評価することが可能となる。結果は,特にネットワーク化された制御装置のマイクロコントローラへのソフトウェア機能の分配と,それに伴って分配された,ネットワーク化された制御装置のためのソフトウェアの開発に影響を与える。
【0032】
全体としてシステムに関する説明を行うことができるようにするために,システムのすべての機能,従ってすべての要求されるシステム機能とシステムのすべての安全性機能を,該当する信頼性機能の規定によって検査することが適切である。
【0033】
信頼性機能は,通常,たとえば0から1の,所定の範囲の値を有しており,その場合に以下においては普遍妥当性を制限することなしに,高い値(1)が高い信頼性を表し,低い値(0)は低い信頼性を表すと仮定する。本発明に基づく信頼性機能は,一方では,要求されるシステム機能の信頼性に関し,他方ではシステムの安全性機能の信頼性に関する。該当する信頼性機能を定めた後に,システム機能の信頼性ないし安全性機能に関する具体的な説明を得るために,選択したシステムアーキテクチャ(またはシステム構成)についてこれらの信頼性機能の具体的な値を計算することが,効果的である。
【0034】
通常,選択されたシステムアーキテクチャの他に,同一の要求されるシステム機能をもたらす,他の構成も実現可能である。同じことが,要求される安全性機能についても当てはまる。従って適切なシステムアーキテクチャを選択するためには,種々のシステムアーキテクチャについて本発明により定められる信頼性機能が定められると,効果的である。その場合にシステムアーキテクチャは,以下のように変化させることができる:要求されるシステム機能および安全機能を実現するために必要なハードウェアコンポーネントの決定(ハードウェアコンポーネントの種類,これらのコンポーネントの配置と冗長性);要求されるシステム機能と安全機能を実現するために必要なソフトウェアコンポーネントの決定および所定のハードウェアコンポーネントへのソフトウェアコンポーネントの対応付け。これらの決定あるいは対応づけの1つまたは複数のバリエーションによって,システムアーキテクチャが変化する。
【0035】
その場合に,生じるシステムアーキテクチャについて信頼性(信頼性機能の値)を計算し,高い信頼性を有するコンフィグレーションに優先順位を与えることが有効である。その場合に計算された信頼性は,要求されるシステム機能に関するか,あるいはシステムの安全機能に関する。2つの信頼性を混合して,それによって信頼性に関しても安全性に関しても高い値を得るシステムアーキテクチャを見出すと,効果的である。
【0036】
安全性を高めるためには,要求されるシステム機能を監視機能によってコントロールすることが有効である。それによって,システムの所定のシステム機能がもはや供給できない場合に,遅すぎない時期に措置を講じることができる。この措置は,万一のリスクを最小限に抑えるために,該当する情報の出力からシステム全体の遮断に及ぶ。
【0037】
安全性は,システム機能を監視するための監視機能自体がシステム監視機能によって監視されることにより,さらに向上する。
【0038】
さらに,システム監視機能が,システム機能を監視するための監視機能を有するシステム部分を,少なくとも部分的に監視すると,効果的である。それによって監視機能だけでなく,システム部分(たとえばマイクロコントローラ)全体も管理され,このシステム部分の故障が検出される。
【0039】
さらに,システム監視機能が2つのシステム部分へ分配され,そのうちの一方のシステム部分が上述の監視機能と,この分配された監視機能によって監視される,要求されるシステム機能を有していると,効果的である。すなわち,この種の構成は,2つのシステム部分の相互監視,特にこれらシステム部分の相互の監視を可能にする。
【0040】
本発明に基づく方法は,以下で詳細に説明するように,分配され,ネットワーク化されたシステム(制御装置)内でソフトウェアコンポーネントを(マイクロコントローラのような)ハードウェアコンポーネントに最適に対応づけるために,効果的に使用される。さらに,本発明に基づく方法は,ソフトウェアベースの電子システム,特に,エンジン制御装置のような,制御装置のシステムアーキテクチャを効果的に定めるのに,適している。
【0041】
本発明に基づく方法は,実際において,数多く存在する複雑な電子システムのために,好ましくはコンピュータプログラムを用いて実装される。このコンピュータプログラムは,与えられたシステムアーキテクチャにおいて付属の信頼性機能を定め,それに基づいてシステムの信頼性と安全性についての該当する値を計算する。コンピュータプログラムを介して実装する場合に,特にシステムアーキテクチャが効率的に最適化され,その場合に(モンテカルロ方法のような)既知の最適化方法を使用することができる。信頼性機能を定めるために信頼性ブロック図を使用する場合に,コンピュータプログラムは冒頭で示された基本的規則(上の表3を参照)を使用して迅速に該当する信頼性機能を求める。
【0042】
コンピュータプログラムは,EEPROM,フラッシュメモリ,そしてまたDVD,CD−ROM,ディスケットまたはハードディスクドライブのような,適切なデータ媒体上に記憶させることができる。内部の,あるいは公的に利用可能なネットワーク(イントラネットまたはインターネット)を介してコンピュータプログラムをダウンロードすることも可能である。
【発明を実施するための最良の形態】
【0043】
図1と2は,明細書導入部ですでに詳細に扱われている。
【0044】
まず,図3を用いて信頼性分析および安全性分析のステップを説明する。それは,複数のステップを有する,反復性を有してつながり合ったプロセスである。それは,電子システムのためのハードウェア,ソフトウェアとおよびソフトウェア開発プロセスへの要求に影響を与える。ここでは,システムの安全性分析のためにも,FMEAまたはFTAのような,故障率分析の方法が使用される。故障率分析は,システムのすべての機能についてのリスクの評価をもたらす。許容しうる限界リスクは,通常,法律,規格または規則のような,安全技術的定義によって暗示的に予め定められる。システムの機能について求められたリスクおよび許容しうる限界から,たとえばIEC61508のような規格を用いて,システムに対する安全技術的要求が導き出され,それはしばしばエレクトロニクス開発においてシステム設計,ハードウェア設計およびソフトウェア設計に大きい影響を有している。
【0045】
故障率分析によって定められ,定義された,システムのいわゆる安全上重要な機能のために,しばしば特別な保護措置がとられなければならず,それはたとえばハードウェアまたはソフトウェア内で実現することができる。
【0046】
詳細には,図3は,2つのメインブロック9と10を示しており,その場合に第1のメインブロック9は信頼性分析および安全性分析に関するものであって,第2のメインブロック10は,信頼できる,安全なシステムの詳細な説明に関する。信頼性分析および安全性分析(メインブロック9)へ,論理的システムアーキテクチャ11も,技術的システムアーキテクチャ12も加わる。技術的システムアーキテクチャ12自体は,システムの詳細な説明の結果であって,その場合に変更されたシステムの詳細な説明(システムアーキテクチャ)が更新された信頼性分析および安全性分析をもたらす。
【0047】
信頼性分析および安全性分析の最初には,一方では危険分析13が,他方では重要なコンポーネントおよびサブシステムの識別(符号14を有するブロック)がある。危険分析13からは,具体的な,危険な状態15が生じ,それに,明細書の導入部(背景技術)で詳細に説明したように,リスク(故障種類)および故障率分析17が接続されている。この故障率分析17の結果が,システムへの信頼性要求および安全性要求18である。他方の側で,重要なコンポーネントおよびサブシステムの識別14の結果として,システムの信頼と安全上重要なコンポーネントおよびサブシステム16が得られる。
【0048】
2つの信頼性分析および安全性分析の結果から,すなわち信頼上および安全上重要なコンポーネントおよびサブシステム16とシステムへの信頼性要求および安全性要求18から,必要かつ可能なシステム仕様書(メインブロック10)が導き出される。重要なコンポーネントおよびサブシステムは,検証および妥当性検査プロセスの定義19と技術的コンポーネントおよびサブシステムへの要求の定義20に影響を与える。システムへの信頼性要求および安全性要求18は,ソフトウェア開発プロセスの定義(ブロック21)に影響を与える。
【0049】
具体的な結果は,ここでは,検証と妥当性検査プロセス22,ハードウェアへの信頼性要求および安全性要求23,ソフトウェアへの信頼性要求および安全性要求24並びに本来のソフトウェア開発プロセス25である。
【0050】
この4つの具体的な結果が,技術的システムアーキテクチャ12の全体結果をもたらす。この技術的アーキテクチャは,場合によっては補正することができ,補正したシステムアーキテクチャがより信頼性と安全性が高いシステムをもたらすかを検査するために,上述したステップを繰り返すことができる。
【0051】
この監視概念の安全性と信頼性の立証は,道路交通に対して車両を許可するための前提である。以下において,E−ガス−システムのための監視概念の例で,信頼性ブロック図を使用して監視概念の信頼性と安全性を判定する方法を説明する。
【0052】
E−ガス−システムにおいて起こりうる危険として,意図しない加速とそれに基づく事故が想定される。エンジン制御装置にとって,これは,エンジントルクの不用意な増大をもたらす可能性のある,すべての開ループ制御および閉ループ制御機能fnが安全上重要であることを意味している。従って,これらの機能について,監視概念が必要である。
【0053】
この例において,何年も前からエンジン制御装置において使用されているような,安全性と信頼性に関する,幾分簡略化された監視コンセプトを,本発明に基づく方法を用いて調べる。自動車産業組合(VDA)のワークグループ「E−ガス」の枠内では,ローベルトボッシュ社によって開発された,この基本概念が,現在,オットーエンジンとディーゼルエンジンのエンジン制御のための標準化された監視概念として,さらに開発されている。
【0054】
図4には,安全上重要な開ループ制御および閉ループ制御機能fnのための監視コンセプトが示されている。
【0055】
図4では,ソフトウェアベースの電子システムとして,制御装置30が示されている。第1のマイクロコントローラ31が,機能計算機として用いられ,第2のマイクロコントローラ32は監視計算機として使用される。信号が,制御装置30の入力段33へ達して,そこからマイクロコントローラ31内のA/D変換器34へ供給される。デジタル化された信号が,本来の開ループ制御および閉ループ制御機能fn(ブロック41)を作動させる。並行して信号がブロック42へ供給され,そのブロックは開ループ制御および閉ループ制御機能を監視するための機能fUn(Uはウムラウト付き。以下同様)を有している。開ループ制御および閉ループ制御機能を監視するために,ブロック41はブロック42と接続されている。上述した監視機能fUnは,それ自体マイクロコントローラを監視する機能,すなわちいわゆるシステム監視機能によって検査される。そのために,ブロック42がブロック43と接続されている。ブロック41,42および43は,マイクロコントローラ31のソフトウェア45の構成部分である。ブロック42と43は,純粋な監視機能を有している。
【0056】
さらに図4には,監視計算機として用いられるマイクロコントローラ32が示されており,マイクロコントローラを監視する機能(ブロック44)がマイクロコントローラ32に属している。図4から明らかなように,マイクロコントローラを監視するためのこの機能(システム監視機能)は,2つのマイクロコントローラ31と32に分配されている。それについては,後に詳しく説明する。ブロック42,43および44は,監視機能29を表している。
【0057】
制御装置によって実施される開ループ制御および閉ループ制御機能fn(ブロック41)は,出力信号の形式でD/A変換器35へ印加され,その出力に出力段40が接続されている。監視を行うブロック42,43および44の出力36,37および38は,加算素子39へ供給されるので,3つのブロックの中の1つの,ブロック42,43または44によるエラーの認識が,加算素子39のエラーの認識に応じた出力信号をもたらす。加算素子は,出力段40と接続されており,エラーの認識によってそれぞれのエラーの種類に応じて,定義された影響を出力段へ与えることができる。
【0058】
以下で,図4に示す監視概念の機能を詳細に説明する。
【0059】
安全上重要な開ループ制御および閉ループ制御機能fnは,監視機能fUnによって常に監視される。監視機能fUnは,開ループ制御および閉ループ制御機能fnと同じ入力量を使用するが,異なるデータおよび異なるアルゴリズムで作動する。
【0060】
マイクロコントローラを監視する機能(=システム監視機能)は,RAM機能,ROM機能およびマイクロプロセッサ機能の他に,たとえば,開ループ制御および閉ループ制御機能fnと監視機能fUnがそもそも実施されるかについても検査する。これが,この例において,制御装置30内の第2のマイクロコントローラの,いわゆる監視計算機の使用を必要とする。マイクロコントローラ31,32を監視する機能は,機能計算機と監視計算機に分配されている。両者は,好ましくは質問−応答プレイにおいて,相互に監視する。
【0061】
安全な状態として,この実施例においては,電気機械的な絞り弁のための電流遮断が定められている。絞り弁は,電流遮断後に自動的にアイドリング位置を占めるような構造に設計されている。従って,安全な状態への移行は,絞り弁を駆動する制御装置の出力段40の切断が行われることによって,導かれる。従ってエンジンは,非常走行でさらに駆動することができる。
【0062】
従って,機能計算機と監視計算機上の監視機能fUnもマイクロコントローラを監視する機能も,制御装置30の絞り弁出力段を遮断することができる。エラーが認識された場合には,この安全反応の他に,エラーメモリへの記入も行われる。さらに,多くは,たとえば計器板内の表示を介して,運転者にも情報が出力される。
【0063】
この監視コンセプトの信頼性を判定しようとする場合には,まず,3つの種類の機能が区別される:
・開ループ制御および閉ループ制御機能fn
・監視機能fUn
・マイクロコントローラを監視する機能(=システム監視機能)
その場合に,これら異なる機能のための図5に示した信頼性ブロック図の45,46,47が,極めて簡単に定められる。
【0064】
システム信頼性を定めるために,3つの種類の機能すべてが必要となる。その場合にシステム信頼性は,これらのブロック図の直列接続によって得られる。付加的に,個々の機能のブロック図内には設けられない,コンポーネントK7とK8(図4のブロック43と44の接続)も,直列に接続されなければならない。
【0065】
システム信頼性RS Zuverlaessigkeitは,3つの機能Rx;x=A,B,Cの信頼性をコンポーネントの信頼性K7RDとK8REで乗算することによって得られ,Rx<1であるので,どんな場合にも機能Rxのそれぞれの信頼性よりも小さい。システム信頼性を計算する場合に,信頼性ブロック図内で何回も生じるエレメントを有する計算のための規則に注意しなければならない(上記Allessandro Birolini:Zuverlaessigkeit von Geraete und Systemenを参照)。
RS
Zuverlaessigkeit=RARBRCRDRE
【0066】
それに対して安全性については,信頼できる故障の確認と信頼できる安全な状態への移行のみが必要とされる。この安全反応の信頼性RS Sicherheitは,監視機能fUnまたはマイクロコントローラを監視する機能の信頼性によって予め定められ,従って機能Rxの信頼性よりも高い。さらに,コンポーネントの信頼性K7RDとK8REは,RS Sicherheitの計算には含まれない。
【0067】
安全機能(安全反応)の信頼性のための信頼性機能は,以下のようになる:
RS
Sicherheit=1−(1−RB)(1−RC)
【0068】
この例が示すように,安全性を向上させるための手段は,システムの信頼性を減少させる可能性がある。さらに,信頼性を向上させる手段が,システムの安全性の低減をもたらす可能性があることが,明らかである。
【0069】
本発明に基づく方法においては,原則として,ハードウェアコンポーネントとハードウェア接続のみが考察されるが,信頼性分析および安全性分析は,ソフトウェア開発に大きな影響を有している。監視概念の評価の例で示したように,それは,たとえば分配され,ネットワーク化されたシステム内のマイクロコントローラへのソフトウェア機能の対応づけあるいはソフトウェア開発において必要な品質保証手段に影響を与える。これは,従来技術に比較して,著しい前進であって,システム開発における大きな利点をもたらす。
【0070】
本発明に基づく方法は,ソフトウェアベースの電子システムの安全性と信頼性を検査するための以下の方法を可能にする(図4と5を参照):
【0071】
ステップ1:電子システムのハードウェアネットワークの決定,すなわち特にマイクロコントローラ31,32の特殊化とそのネットワーク化;
ステップ2:電子システムの機能を実現するために必要な,ソフトウェアコンポーネント41−44の決定とソフトウェアコンポーネント41〜44間の通信の特殊化;
ステップ3:ハードウェアネットワークのマイクロコントローラ31,32へのソフトウェアコンポーネント41−44の対応づけ;
ステップ4:ハードウェアコンポーネントとハードウェア接続Ki,i=1,…,13に基づいて電子システム30の要求される機能のための信頼性ブロック図45〜47を作成;
ステップ5:電子システム(30)の安全性機能のための信頼性と要求される全機能のための信頼性の計算により安全性と信頼性を立証;
ステップ6:場合によってはステップ1から5を繰り返して,システムアーキテクチャ,すなわちソフトウェアネットワークおよびハードウェアネットワークと,ハードウェアコンポーネントへのソフトウェアコンポーネントの対応づけを補正。
【図面の簡単な説明】
【0072】
【図1】電子システムの例としてブレーキ−バイ−ワイヤ−システムを概略的に示す説明図である。
【図2】図1に示すシステムに属する信頼性ブロック図を機能「ブレーキ」について示す説明図である。
【図3】信頼性および安全性分析におけるステップのシーケンスと信頼できかつ安全なシステムの仕様書の例を示す説明図である。
【図4】本発明に基づいて安全性と信頼性に関して監視される,分配され,ネットワーク化されたシステムの例として,制御装置のコンポーネントを概略的に示す説明図である。
【図5】図4に示すシステムの機能についての種々の信頼性ブロック図を示す説明図である。
【技術分野】
【0001】
本発明は,システムの要求される機能を検査するための信頼性機能を用いて,そのために必要なシステムのハードウェアコンポーネントに基づいて,ソフトウェアベースの電子システムの安全性と信頼性を検査する方法に関する。さらに,本発明は,この方法の使用および方法を実装するためのコンピュータプログラムとコンピュータプログラム製品に関する。
【背景技術】
【0002】
車両機能に対する信頼性要請と安全性要請は,技術的,法律的および経済的な周辺条件を考慮して,顧客要望から得られる。車両機能に対する信頼性要請は,たとえば短い修理時間または長いサービスインターバルの形式で与えられる。それに対して安全性要請は,車両の部品の故障または障害の場合における車両の安全な行動を定める。車両機能に課せられる信頼性要請と安全性要請は,最初から,実現と立証義務に対する要請も定める。安全性と信頼性を向上させるための強力な手段の1つは,冗長性である。車両機能または車両機能の一部がソフトウェアによって実現されることが増えているので,信頼性分析と安全性分析を行う体系的な方法が,電子制御装置のためのソフトウェア開発に,たとえば監視概念,診断概念および安全性概念の実現に,ますます大きくなる影響を有している。
【0003】
複雑な電子システムのためには,信頼性と安全性を確保するための行動が早期に計画されて,プロジェクトプラン全体に統合されなけれならない。
【0004】
「システム」という概念は,本出願の枠内において,それぞれ文脈に従って以下のものと考えられる:所定の機能を得るために必要な最小のシステム部分,システム全体へ至るまでの,協働するシステム部分あるいは,さらに広く捉えて,操作者またはシステム全体に作用する他の要素を含めたシステム全体を指す。本発明を説明するために,本出願の枠内では,大体において,車両制御の構成部分であるシステムを参照する。この参照は,純粋に説明的な特性を有しており,本発明は決してこの種のシステムに限定されない。本発明は,むしろ,ソフトウェアベースの電子システムに関して,普遍的に妥当性を有している。
【0005】
この種のシステムの安全性と信頼性を検査するために,信頼性機能の使用が知られており,その信頼性機能を用いてシステムの要求される機能についての信頼性の程度を示すことができる。この種の信頼性機能を定めるために,要求されるシステム機能に必要な,システムのハードウェアコンポーネントの信頼性から始めることができる。信頼性分析は,たとえば,故障率分析および作用分析(FMIA)あるいはエラーツリー分析(FTA)のような,故障率分析および故障種類分析を有する。以下においては,信頼性分析を,故障率分析を用いて,考察されるシステムのための信頼性ブロック図を用いて信頼性機能を計算しながら,詳細に説明する。
【0006】
考察ユニットの故障率の系統的調査は,計算による考察ユニットのための信頼性の予測を可能にする。弱い箇所を早期に認識して,代替策を評価し,信頼性,安全性および可用性の間の関係を量的に検出できるようにするために,この予測は重要である。さらに,たとえばシステムコンポーネントに対して信頼性要請を課すことができるようにするために,この種の調査は必要である。
【0007】
無視と簡略化により,および使用される入力データの不確実性により,計算され,予測された信頼性は,真の信頼性のためのおおよその数値でしかなく,真の信頼性は信頼性検査とフィールド観察によってしか求められない。しかし,分析段階における比較調査の枠内では,絶対的な精度は役割を果たさないので,特に実現選択肢を評価する際に,予測される信頼性の計算は,有用である。
【0008】
以下の部分において,考察単位は,常に車両の技術システムまたはシステムコンポーネントである。一般的な場合においては考察単位は,もっと広く捉えることができ,たとえば車両の運転者も含めることができる。
【0009】
故障率分析(これについては,アレッサンドロ・ビロリーニの「機器とシステムの信頼性(Alessandro Birolini:Zuverlaessigkeit von Geraete und Systemen,
Springere Verlag, 1997)を参照)は,以下のステップを区別する:
・技術的システムの限界とコンポーネント,要求される機能および要求プログラムを定義
・信頼性ブロック図(英語ではReliability Block Diagram)を作成
・各コンポーネントについて負荷条件を決定
・各コンポーネントについて信頼性機能または故障率を決定
・システムのための信頼性機能を算出
・弱い箇所を克服
【0010】
故障率分析は,多段階の方法であって,システムレベルから種々のサブシステムレベルを介して技術的システムアーキテクチャのコンポーネントレベルへ至るまで「トップダウン」で実施することができる。故障率分析は,技術的システムアーキテクチャが変化した後に,繰り返されなければならない。
【0011】
以下,故障率分析の第1のステップを,詳細に説明する。
【0012】
信頼性の予測のために必要な,論理的考察のためには,システムとその機能および信頼性と安全性を改良するための具体的可能性の詳細な知識が前提とされる。システム理解には,システムのアーキテクチャとその作用方法の知識,すべてのシステムコンポーネントのための作業条件と負荷条件および,たとえば信号の流れおよびすべてのコンポーネントの入力および出力サイトの形式の,コンポーネント間の相互の相互作用が重視される。改良のための具体的可能性に属するのは,駆動中のコンポーネントの負荷,たとえば静的または動的な負荷,インターフェイスの負荷の制限と減少,もっと適したコンポーネントの使用,システムまたはコンポーネント設計の簡略化,重要なコンポーネントの前処理および冗長性の使用である。
【0013】
要求される機能が,システムの課題を指定する。システム限界および要求される機能を決定することは,それによって故障も定義されるので,各信頼性分析の出発点を形成する。
【0014】
付加的に,システムのすべてのコンポーネントについて環境条件が定義されなければならない。というのは,それによってコンポーネントの信頼性が影響を受けるからである。すなわち,たとえば,温度領域は,ハードウェアコンポーネントの故障率に大きい影響を有している。車両内では,たとえば,要求される温度領域,湿度,埃または腐食性の環境下での使用あるいは振動,ショックまたは,たとえば供給電圧の変動による負荷が,環境条件に属する。さらに,要求される機能と環境条件が時間に依存する場合には,要求プロフィールが決定されなければならない。車両内の法律的に定められた要求プロフィールの例は,排ガス規則の維持を立証するための走行サイクルである。この場合において,代表的な要求プロフィールにも言及される。
【0015】
次に,故障率分析の第2のステップを詳細に説明する。
【0016】
信頼性ブロック図は,システムのどのハードウェアコンポーネントが必要な機能を満たすために原則的に機能しなければならないか,およびどのハードウェアコンポーネントが,故障した場合に,冗長に存在しているために原則的に機能を損なわないか,という問いに解答を与える。信頼性ブロック図の形成は,技術的システムアーキテクチャのコンポーネントを考察することによって行われる。これらのコンポーネントは,信頼性ブロック図内で,機能を満たすために必要なコンポーネントは直列に接続され,冗長なコンポーネントは並列回路内で接続されるようにして,接続される。
【0017】
図1は,いわゆるブレーキ−バイ−ワイヤ−システム1を概略的に示しており,その場合にブレーキペダル2,制御装置3および4つのブレーキユニット,すなわち左前のブレーキユニット4,左後ろのブレーキユニット5,右前のブレーキユニット6および右後ろのブレーキユニット7,が示されている。ブレーキ−バイ−ワイヤ−システム1の機能のために必要なハードウェアコンポーネントは,Kで示されている。
【0018】
図1に示すような,仮想のブレーキ−バイ−ワイヤ−システム1のために,まずシステム限界が定められる。システムは,ブレーキペダルユニット(K1),制御装置(K2),車輪ブレーキユニット(K5,K7,K9,K11)および電気的な接続(K3,K4,K6,K8,K10)のコンポーネントからなる。
【0019】
ブレーキ−バイ−ワイヤ−システムにおいては,ブレーキペダルと車輪ブレーキの間に油圧的な接続はなく,電気的な接続がある。運転者の指示によってブレーキがかかった場合に,ブレーキペダルユニットK1によって設定されて,制御装置K2内で処理される,運転者の指示によるブレーキに必要なエネルギは,「ワイヤによって」車輪ブレーキユニットK5,K7,K9およびK11へ伝達される。その場合に,従来のブレーキシステムにおいては機械−油圧的に実施される,電気的および電子的コンポーネントK2,K3,K4,K6,K8およびK10による,ペダルユニットと車輪ブレーキユニットとの間の「情報伝達およびエネルギ伝達」機能の引渡しが,付加的な安全リスクをもたらさず,安全利得をもたらすことが,保証されなければならない。従ってブレーキ指令の予測可能な伝達は,必然的な予測である。同様に,コンポーネントの障害と故障においても,安全が保証されなければならない。
【0020】
「ブレーキ」の機能を考察する。そのためにシステムの信頼性全体が定められる。コンポーネントK1からK11の故障率λ1からλ11がわかっているものと仮定する。
【0021】
この例は,さらに,極めて著しく簡略化される。信頼性分析の際の原理的な方法のみが,明らかにされる。従って,情報伝送のみを考察し,エネルギ供給とエネルギ伝達の視点および,前車軸と後車軸上の要求されるブレーキ力分配のような,走行動的な周辺条件は無視される。もちろん,これらは信頼性分析の場合にも考慮されなければならない。
【0022】
「ブレーキ」機能を満たすために,この簡略化された視点においては,ブレーキペダルユニットK1,制御装置K2のコンポーネントおよびブレーキペダルユニットと制御装置K3間の接続が機能することが,必要不可欠である。
【0023】
ホイールブレーキユニットは,制御装置とホイールブレーキユニットの間の接続において,冗長性を有する。車両のための十分な補助ブレーキ力が1つのホイールブレーキユニットのみによって得られる,という著しく簡略化された仮定の下で,たとえばコンポーネントK4とK5は必要不可欠であって,コンポーネントK6とK7,K8とK9並びにK10とK11は冗長に存在している。この種の配置を,4−1の冗長性と称する。
【0024】
「ブレーキ」機能のための信頼性ブロック図は,図2のように示される。
【0025】
すべてのコンポーネントKiについて負荷条件を決定し,かつ信頼性機能Ri(t)を定めた後に,次の表3に示す,信頼性ブロック図のための基本的な規則を考慮して,システムの信頼性機能Rs(t)を計算することができる。
【0026】
従って図2の例について,システムの信頼性機能Rsを計算することができる。R4=R6=R8=R10およびR5=R7=R9=R11と仮定して,Rsについて次の式が成り立つ:
Rs=R1R2R3[1−(1−R4R5)4]
【0027】
この簡略化した例が示すように,機能のためのシステムの信頼性は,信頼性ブロック図内の冗長なコンポーネントにより,コンポーネントの信頼性に比較して増大する。それに対して,連続的に図示されているコンポーネントにおいては,システム信頼性はコンポーネント信頼性に比較して減少する。従って信頼性ブロック図内の連続的なコンポーネントのために,既にコンポーネントの高い信頼性を要求しなければならず,あるいはここでも冗長な構造を設ける,技術的システムアーキテクチャを計画しなければならない。
【0028】
上記では,システムの信頼性機能の計算が,所定の要求されるシステム機能について実例として,著しく簡略化して示されているが,同様な方法で,システムの安全性に関する説明を行うことができるようにすることが望ましい。システムの安全性のためには,しばしば,考察の単位が要求される機能を満たしているか否かは,それによって支持し得ない高いリスクが生じない限り,重要ではない。本出願において考察されるような,ソフトウェアベースの電子システムは,主としてハードウェアコンポーネントとソフトウェアコンポーネントからなり,その場合にソフトウェアコンポーネントは大体において,システムのハードウェアコンポーネントの幾つかに分配することができる。この種のソフトウェアベースの電子システムの安全性も信頼性も,信頼のおけるように検査できるようにする,強い要請がある。
【発明の開示】
【0029】
本発明によれば,システムが要求する機能の少なくとも1つのものの信頼性を計算するための信頼性機能と,システムの安全性機能の少なくとも1つのものの信頼性を計算するための信頼性機能とが定められ,その場合にこの信頼性機能を定める際に,システムのソフトウェアコンポーネントも一緒に考慮される。その場合にソフトウェアコンポーネントは,ハードウェアコンポーネント(このハードウェアコンポーネントにソフトウェアコンポーネントが分配されている)を用いて,一緒に考慮される。その場合にこの考慮は,1つまたは複数のハードウェアコンポーネント自体と,それぞれのソフトウェアにより(たとえば出力信号の出力によって)影響を受けるハードウェアの接続にも拡げることができる。それによって初めて,ソフトウェアベースの電子システムの安全性と信頼性に関する説明を行うことが可能となり,その場合にこの説明は,それぞれの接続を含めたハードウェアコンポーネントとソフトウェアコンポーネントからなるシステムに関するものであって,ハードウェアコンポーネントのみに限定されない。
【0030】
ハードウェアコンポーネントとソフトウェアコンポーネントを有するシステムの安全性と信頼性は,信頼性機能を使用して検査され,その信頼性機能は,例えば冒頭で説明した,システムのための信頼性ブロック図を用いて定めることができる。後で説明するように,本発明によれば,信頼性機能を定める場合にシステムのソフトウェアコンポーネントが一緒に考慮される。これは,新しいシステム定義に匹敵する。というのは,これまで信頼性分析のためには,ハードウェアコンポーネントからなるシステムのみが考慮されており,ソフトウェアコンポーネントはもし考慮されるとしても,独自の別の分析を受けていたからである。
【0031】
本発明によれば,一般に,ソフトウェアとハードウェアから実現される電子システムの特殊性と機能において,達成可能なシステム安全性およびシステム信頼性に関して,電子制御装置の様々な監視概念を早期に評価することが可能となる。結果は,特にネットワーク化された制御装置のマイクロコントローラへのソフトウェア機能の分配と,それに伴って分配された,ネットワーク化された制御装置のためのソフトウェアの開発に影響を与える。
【0032】
全体としてシステムに関する説明を行うことができるようにするために,システムのすべての機能,従ってすべての要求されるシステム機能とシステムのすべての安全性機能を,該当する信頼性機能の規定によって検査することが適切である。
【0033】
信頼性機能は,通常,たとえば0から1の,所定の範囲の値を有しており,その場合に以下においては普遍妥当性を制限することなしに,高い値(1)が高い信頼性を表し,低い値(0)は低い信頼性を表すと仮定する。本発明に基づく信頼性機能は,一方では,要求されるシステム機能の信頼性に関し,他方ではシステムの安全性機能の信頼性に関する。該当する信頼性機能を定めた後に,システム機能の信頼性ないし安全性機能に関する具体的な説明を得るために,選択したシステムアーキテクチャ(またはシステム構成)についてこれらの信頼性機能の具体的な値を計算することが,効果的である。
【0034】
通常,選択されたシステムアーキテクチャの他に,同一の要求されるシステム機能をもたらす,他の構成も実現可能である。同じことが,要求される安全性機能についても当てはまる。従って適切なシステムアーキテクチャを選択するためには,種々のシステムアーキテクチャについて本発明により定められる信頼性機能が定められると,効果的である。その場合にシステムアーキテクチャは,以下のように変化させることができる:要求されるシステム機能および安全機能を実現するために必要なハードウェアコンポーネントの決定(ハードウェアコンポーネントの種類,これらのコンポーネントの配置と冗長性);要求されるシステム機能と安全機能を実現するために必要なソフトウェアコンポーネントの決定および所定のハードウェアコンポーネントへのソフトウェアコンポーネントの対応付け。これらの決定あるいは対応づけの1つまたは複数のバリエーションによって,システムアーキテクチャが変化する。
【0035】
その場合に,生じるシステムアーキテクチャについて信頼性(信頼性機能の値)を計算し,高い信頼性を有するコンフィグレーションに優先順位を与えることが有効である。その場合に計算された信頼性は,要求されるシステム機能に関するか,あるいはシステムの安全機能に関する。2つの信頼性を混合して,それによって信頼性に関しても安全性に関しても高い値を得るシステムアーキテクチャを見出すと,効果的である。
【0036】
安全性を高めるためには,要求されるシステム機能を監視機能によってコントロールすることが有効である。それによって,システムの所定のシステム機能がもはや供給できない場合に,遅すぎない時期に措置を講じることができる。この措置は,万一のリスクを最小限に抑えるために,該当する情報の出力からシステム全体の遮断に及ぶ。
【0037】
安全性は,システム機能を監視するための監視機能自体がシステム監視機能によって監視されることにより,さらに向上する。
【0038】
さらに,システム監視機能が,システム機能を監視するための監視機能を有するシステム部分を,少なくとも部分的に監視すると,効果的である。それによって監視機能だけでなく,システム部分(たとえばマイクロコントローラ)全体も管理され,このシステム部分の故障が検出される。
【0039】
さらに,システム監視機能が2つのシステム部分へ分配され,そのうちの一方のシステム部分が上述の監視機能と,この分配された監視機能によって監視される,要求されるシステム機能を有していると,効果的である。すなわち,この種の構成は,2つのシステム部分の相互監視,特にこれらシステム部分の相互の監視を可能にする。
【0040】
本発明に基づく方法は,以下で詳細に説明するように,分配され,ネットワーク化されたシステム(制御装置)内でソフトウェアコンポーネントを(マイクロコントローラのような)ハードウェアコンポーネントに最適に対応づけるために,効果的に使用される。さらに,本発明に基づく方法は,ソフトウェアベースの電子システム,特に,エンジン制御装置のような,制御装置のシステムアーキテクチャを効果的に定めるのに,適している。
【0041】
本発明に基づく方法は,実際において,数多く存在する複雑な電子システムのために,好ましくはコンピュータプログラムを用いて実装される。このコンピュータプログラムは,与えられたシステムアーキテクチャにおいて付属の信頼性機能を定め,それに基づいてシステムの信頼性と安全性についての該当する値を計算する。コンピュータプログラムを介して実装する場合に,特にシステムアーキテクチャが効率的に最適化され,その場合に(モンテカルロ方法のような)既知の最適化方法を使用することができる。信頼性機能を定めるために信頼性ブロック図を使用する場合に,コンピュータプログラムは冒頭で示された基本的規則(上の表3を参照)を使用して迅速に該当する信頼性機能を求める。
【0042】
コンピュータプログラムは,EEPROM,フラッシュメモリ,そしてまたDVD,CD−ROM,ディスケットまたはハードディスクドライブのような,適切なデータ媒体上に記憶させることができる。内部の,あるいは公的に利用可能なネットワーク(イントラネットまたはインターネット)を介してコンピュータプログラムをダウンロードすることも可能である。
【発明を実施するための最良の形態】
【0043】
図1と2は,明細書導入部ですでに詳細に扱われている。
【0044】
まず,図3を用いて信頼性分析および安全性分析のステップを説明する。それは,複数のステップを有する,反復性を有してつながり合ったプロセスである。それは,電子システムのためのハードウェア,ソフトウェアとおよびソフトウェア開発プロセスへの要求に影響を与える。ここでは,システムの安全性分析のためにも,FMEAまたはFTAのような,故障率分析の方法が使用される。故障率分析は,システムのすべての機能についてのリスクの評価をもたらす。許容しうる限界リスクは,通常,法律,規格または規則のような,安全技術的定義によって暗示的に予め定められる。システムの機能について求められたリスクおよび許容しうる限界から,たとえばIEC61508のような規格を用いて,システムに対する安全技術的要求が導き出され,それはしばしばエレクトロニクス開発においてシステム設計,ハードウェア設計およびソフトウェア設計に大きい影響を有している。
【0045】
故障率分析によって定められ,定義された,システムのいわゆる安全上重要な機能のために,しばしば特別な保護措置がとられなければならず,それはたとえばハードウェアまたはソフトウェア内で実現することができる。
【0046】
詳細には,図3は,2つのメインブロック9と10を示しており,その場合に第1のメインブロック9は信頼性分析および安全性分析に関するものであって,第2のメインブロック10は,信頼できる,安全なシステムの詳細な説明に関する。信頼性分析および安全性分析(メインブロック9)へ,論理的システムアーキテクチャ11も,技術的システムアーキテクチャ12も加わる。技術的システムアーキテクチャ12自体は,システムの詳細な説明の結果であって,その場合に変更されたシステムの詳細な説明(システムアーキテクチャ)が更新された信頼性分析および安全性分析をもたらす。
【0047】
信頼性分析および安全性分析の最初には,一方では危険分析13が,他方では重要なコンポーネントおよびサブシステムの識別(符号14を有するブロック)がある。危険分析13からは,具体的な,危険な状態15が生じ,それに,明細書の導入部(背景技術)で詳細に説明したように,リスク(故障種類)および故障率分析17が接続されている。この故障率分析17の結果が,システムへの信頼性要求および安全性要求18である。他方の側で,重要なコンポーネントおよびサブシステムの識別14の結果として,システムの信頼と安全上重要なコンポーネントおよびサブシステム16が得られる。
【0048】
2つの信頼性分析および安全性分析の結果から,すなわち信頼上および安全上重要なコンポーネントおよびサブシステム16とシステムへの信頼性要求および安全性要求18から,必要かつ可能なシステム仕様書(メインブロック10)が導き出される。重要なコンポーネントおよびサブシステムは,検証および妥当性検査プロセスの定義19と技術的コンポーネントおよびサブシステムへの要求の定義20に影響を与える。システムへの信頼性要求および安全性要求18は,ソフトウェア開発プロセスの定義(ブロック21)に影響を与える。
【0049】
具体的な結果は,ここでは,検証と妥当性検査プロセス22,ハードウェアへの信頼性要求および安全性要求23,ソフトウェアへの信頼性要求および安全性要求24並びに本来のソフトウェア開発プロセス25である。
【0050】
この4つの具体的な結果が,技術的システムアーキテクチャ12の全体結果をもたらす。この技術的アーキテクチャは,場合によっては補正することができ,補正したシステムアーキテクチャがより信頼性と安全性が高いシステムをもたらすかを検査するために,上述したステップを繰り返すことができる。
【0051】
この監視概念の安全性と信頼性の立証は,道路交通に対して車両を許可するための前提である。以下において,E−ガス−システムのための監視概念の例で,信頼性ブロック図を使用して監視概念の信頼性と安全性を判定する方法を説明する。
【0052】
E−ガス−システムにおいて起こりうる危険として,意図しない加速とそれに基づく事故が想定される。エンジン制御装置にとって,これは,エンジントルクの不用意な増大をもたらす可能性のある,すべての開ループ制御および閉ループ制御機能fnが安全上重要であることを意味している。従って,これらの機能について,監視概念が必要である。
【0053】
この例において,何年も前からエンジン制御装置において使用されているような,安全性と信頼性に関する,幾分簡略化された監視コンセプトを,本発明に基づく方法を用いて調べる。自動車産業組合(VDA)のワークグループ「E−ガス」の枠内では,ローベルトボッシュ社によって開発された,この基本概念が,現在,オットーエンジンとディーゼルエンジンのエンジン制御のための標準化された監視概念として,さらに開発されている。
【0054】
図4には,安全上重要な開ループ制御および閉ループ制御機能fnのための監視コンセプトが示されている。
【0055】
図4では,ソフトウェアベースの電子システムとして,制御装置30が示されている。第1のマイクロコントローラ31が,機能計算機として用いられ,第2のマイクロコントローラ32は監視計算機として使用される。信号が,制御装置30の入力段33へ達して,そこからマイクロコントローラ31内のA/D変換器34へ供給される。デジタル化された信号が,本来の開ループ制御および閉ループ制御機能fn(ブロック41)を作動させる。並行して信号がブロック42へ供給され,そのブロックは開ループ制御および閉ループ制御機能を監視するための機能fUn(Uはウムラウト付き。以下同様)を有している。開ループ制御および閉ループ制御機能を監視するために,ブロック41はブロック42と接続されている。上述した監視機能fUnは,それ自体マイクロコントローラを監視する機能,すなわちいわゆるシステム監視機能によって検査される。そのために,ブロック42がブロック43と接続されている。ブロック41,42および43は,マイクロコントローラ31のソフトウェア45の構成部分である。ブロック42と43は,純粋な監視機能を有している。
【0056】
さらに図4には,監視計算機として用いられるマイクロコントローラ32が示されており,マイクロコントローラを監視する機能(ブロック44)がマイクロコントローラ32に属している。図4から明らかなように,マイクロコントローラを監視するためのこの機能(システム監視機能)は,2つのマイクロコントローラ31と32に分配されている。それについては,後に詳しく説明する。ブロック42,43および44は,監視機能29を表している。
【0057】
制御装置によって実施される開ループ制御および閉ループ制御機能fn(ブロック41)は,出力信号の形式でD/A変換器35へ印加され,その出力に出力段40が接続されている。監視を行うブロック42,43および44の出力36,37および38は,加算素子39へ供給されるので,3つのブロックの中の1つの,ブロック42,43または44によるエラーの認識が,加算素子39のエラーの認識に応じた出力信号をもたらす。加算素子は,出力段40と接続されており,エラーの認識によってそれぞれのエラーの種類に応じて,定義された影響を出力段へ与えることができる。
【0058】
以下で,図4に示す監視概念の機能を詳細に説明する。
【0059】
安全上重要な開ループ制御および閉ループ制御機能fnは,監視機能fUnによって常に監視される。監視機能fUnは,開ループ制御および閉ループ制御機能fnと同じ入力量を使用するが,異なるデータおよび異なるアルゴリズムで作動する。
【0060】
マイクロコントローラを監視する機能(=システム監視機能)は,RAM機能,ROM機能およびマイクロプロセッサ機能の他に,たとえば,開ループ制御および閉ループ制御機能fnと監視機能fUnがそもそも実施されるかについても検査する。これが,この例において,制御装置30内の第2のマイクロコントローラの,いわゆる監視計算機の使用を必要とする。マイクロコントローラ31,32を監視する機能は,機能計算機と監視計算機に分配されている。両者は,好ましくは質問−応答プレイにおいて,相互に監視する。
【0061】
安全な状態として,この実施例においては,電気機械的な絞り弁のための電流遮断が定められている。絞り弁は,電流遮断後に自動的にアイドリング位置を占めるような構造に設計されている。従って,安全な状態への移行は,絞り弁を駆動する制御装置の出力段40の切断が行われることによって,導かれる。従ってエンジンは,非常走行でさらに駆動することができる。
【0062】
従って,機能計算機と監視計算機上の監視機能fUnもマイクロコントローラを監視する機能も,制御装置30の絞り弁出力段を遮断することができる。エラーが認識された場合には,この安全反応の他に,エラーメモリへの記入も行われる。さらに,多くは,たとえば計器板内の表示を介して,運転者にも情報が出力される。
【0063】
この監視コンセプトの信頼性を判定しようとする場合には,まず,3つの種類の機能が区別される:
・開ループ制御および閉ループ制御機能fn
・監視機能fUn
・マイクロコントローラを監視する機能(=システム監視機能)
その場合に,これら異なる機能のための図5に示した信頼性ブロック図の45,46,47が,極めて簡単に定められる。
【0064】
システム信頼性を定めるために,3つの種類の機能すべてが必要となる。その場合にシステム信頼性は,これらのブロック図の直列接続によって得られる。付加的に,個々の機能のブロック図内には設けられない,コンポーネントK7とK8(図4のブロック43と44の接続)も,直列に接続されなければならない。
【0065】
システム信頼性RS Zuverlaessigkeitは,3つの機能Rx;x=A,B,Cの信頼性をコンポーネントの信頼性K7RDとK8REで乗算することによって得られ,Rx<1であるので,どんな場合にも機能Rxのそれぞれの信頼性よりも小さい。システム信頼性を計算する場合に,信頼性ブロック図内で何回も生じるエレメントを有する計算のための規則に注意しなければならない(上記Allessandro Birolini:Zuverlaessigkeit von Geraete und Systemenを参照)。
RS
Zuverlaessigkeit=RARBRCRDRE
【0066】
それに対して安全性については,信頼できる故障の確認と信頼できる安全な状態への移行のみが必要とされる。この安全反応の信頼性RS Sicherheitは,監視機能fUnまたはマイクロコントローラを監視する機能の信頼性によって予め定められ,従って機能Rxの信頼性よりも高い。さらに,コンポーネントの信頼性K7RDとK8REは,RS Sicherheitの計算には含まれない。
【0067】
安全機能(安全反応)の信頼性のための信頼性機能は,以下のようになる:
RS
Sicherheit=1−(1−RB)(1−RC)
【0068】
この例が示すように,安全性を向上させるための手段は,システムの信頼性を減少させる可能性がある。さらに,信頼性を向上させる手段が,システムの安全性の低減をもたらす可能性があることが,明らかである。
【0069】
本発明に基づく方法においては,原則として,ハードウェアコンポーネントとハードウェア接続のみが考察されるが,信頼性分析および安全性分析は,ソフトウェア開発に大きな影響を有している。監視概念の評価の例で示したように,それは,たとえば分配され,ネットワーク化されたシステム内のマイクロコントローラへのソフトウェア機能の対応づけあるいはソフトウェア開発において必要な品質保証手段に影響を与える。これは,従来技術に比較して,著しい前進であって,システム開発における大きな利点をもたらす。
【0070】
本発明に基づく方法は,ソフトウェアベースの電子システムの安全性と信頼性を検査するための以下の方法を可能にする(図4と5を参照):
【0071】
ステップ1:電子システムのハードウェアネットワークの決定,すなわち特にマイクロコントローラ31,32の特殊化とそのネットワーク化;
ステップ2:電子システムの機能を実現するために必要な,ソフトウェアコンポーネント41−44の決定とソフトウェアコンポーネント41〜44間の通信の特殊化;
ステップ3:ハードウェアネットワークのマイクロコントローラ31,32へのソフトウェアコンポーネント41−44の対応づけ;
ステップ4:ハードウェアコンポーネントとハードウェア接続Ki,i=1,…,13に基づいて電子システム30の要求される機能のための信頼性ブロック図45〜47を作成;
ステップ5:電子システム(30)の安全性機能のための信頼性と要求される全機能のための信頼性の計算により安全性と信頼性を立証;
ステップ6:場合によってはステップ1から5を繰り返して,システムアーキテクチャ,すなわちソフトウェアネットワークおよびハードウェアネットワークと,ハードウェアコンポーネントへのソフトウェアコンポーネントの対応づけを補正。
【図面の簡単な説明】
【0072】
【図1】電子システムの例としてブレーキ−バイ−ワイヤ−システムを概略的に示す説明図である。
【図2】図1に示すシステムに属する信頼性ブロック図を機能「ブレーキ」について示す説明図である。
【図3】信頼性および安全性分析におけるステップのシーケンスと信頼できかつ安全なシステムの仕様書の例を示す説明図である。
【図4】本発明に基づいて安全性と信頼性に関して監視される,分配され,ネットワーク化されたシステムの例として,制御装置のコンポーネントを概略的に示す説明図である。
【図5】図4に示すシステムの機能についての種々の信頼性ブロック図を示す説明図である。
【特許請求の範囲】
【請求項1】
システム(30)の要求される機能を検査するための信頼性機能を使用して,そのために必要なハードウェアコンポーネントに基づいて,ソフトウェアベースの電子システムの安全性と信頼性を検査する方法において,
システム(30)の要求される機能の少なくとも1つのものの信頼性を計算するための信頼性機能と,システム(30)の安全性機能の少なくとも1つのものの信頼性を計算するための信頼性機能が定められ,その場合に前記信頼性機能を定めるために,システムのソフトウェアコンポーネント(41,42,43,44)が,前記ソフトウェアコンポーネント(41,42,43,44)が分配されているハードウェアコンポーネントを用いて一緒に考慮されることを特徴とする,ソフトウェアベースの電子システムの安全性と信頼性を検査する方法。
【請求項2】
システム(30)のすべての要求される機能について,前記信頼性機能が定められることを特徴とする請求項1に記載のソフトウェアベースの電子システムの安全性と信頼性を検査する方法。
【請求項3】
システムのすべての前記安全性機能について,前記信頼性機能が定められることを特徴とする請求項1または2に記載のソフトウェアベースの電子システムの安全性と信頼性を検査する方法。
【請求項4】
所定のシステムアーキテクチャについて2つの前記信頼性機能の値が計算されることを特徴とする請求項1〜3のいずれか1項に記載のソフトウェアベースの電子システムの安全性と信頼性を検査する方法。
【請求項5】
システムアーキテクチャが,
要求されるシステム機能および安全性機能の実現のために必要なハードウェアコンポーネントの決定と;
要求されるシステム機能および安全性機能の実現のために必要なソフトウェアコンポーネントの決定と;
ハードウェアコンポーネントへのソフトウェアコンポーネントの対応づけと;
の構成部分の中の1つまたは複数によって変化されることを特徴とする請求項4に記載のソフトウェアベースの電子システムの安全性と信頼性を検査する方法。
【請求項6】
システムアーキテクチャが,様々なシステムアーキテクチャにおいて要求されるシステム機能について最大化された,計算された信頼性を用いて,最適化されることを特徴とする請求項4または5に記載のソフトウェアベースの電子システムの安全性と信頼性を検査する方法。
【請求項7】
システムアーキテクチャが,種々のシステムアーキテクチャにおいてシステムの安全性機能について計算された信頼性の混合を用いて,最適化されることを特徴とする請求項4〜6のいずれかに記載のソフトウェアベースの電子システムの安全性と信頼性を検査する方法。
【請求項8】
前記信頼性機能が,信頼性ブロック図を用いて定められることを特徴とする請求項1〜7のいずれかに記載のソフトウェアベースの電子システムの安全性と信頼性を検査する方法。
【請求項9】
要求されるシステム機能が,前記システム機能を監視するための監視機能によって監視され,その場合に前記監視機能自体がシステム監視機能によって監視されることを特徴とする請求項1〜8のいずれかに記載のソフトウェアベースの電子システムの安全性と信頼性を検査する方法。
【請求項10】
前記システム監視機能が,システム機能を監視するための前記監視機能を含むシステム部分(31)を,少なくとも部分的に監視することを特徴とする請求項9に記載のソフトウェアベースの電子システムの安全性と信頼性を検査する方法。
【請求項11】
前記システム監視機能が,2つのシステム部分(31,32)に分配され,そのうちの一方のシステム部分(31)が要求されるシステム機能および前記監視機能を有していることを特徴とする請求項10に記載のソフトウェアベースの電子システムの安全性と信頼性を検査する方法。
【請求項12】
2つのシステム部分(31,32)が,前記システム監視機能を介して相互に監視することを特徴とする請求項11に記載のソフトウェアベースの電子システムの安全性と信頼性を検査する方法。
【請求項13】
システム(30)の安全性と信頼性を検査するために,
システム(30)のハードウェアコンポーネントとそのネットワーク化を決定し,特にマイクロコントローラ(31,32)とそのネットワーク化を特殊化するステップと;
システム(30)のシステム機能と安全機能を実現するために必要な,システム(30)のソフトウェアコンポーネント(41,42,43,44)を決定し,かつ前記ソフトウェアコンポーネント(41,42,43,44)間の通信を特殊化するステップと;
前記ソフトウェアコンポーネント(41,42,43,44)を,ハードウェアコンポーネント,特にシステム(30)のマイクロコントローラ(31,32)へ対応づけるステップと;
前記ハードウェアコンポーネントおよびハードウェア接続に基づいて安全性機能を含めてシステム(30)の要求される機能について信頼性ブロック図(45,46,47)を作成するステップと;
システム(30)の安全性と信頼性を立証するために,システム(30)の安全性についての信頼性と,要求される全機能についての信頼性を計算するステップと;
を含むことを特徴とする請求項1〜12のいずれかに記載のソフトウェアベースの電子システムの安全性と信頼性を検査する方法。
【請求項14】
他のステップとして,システムアーキテクチャ,従ってソフトウェアネットワークおよびハードウェアネットワークと,ハードウェアコンポーネントに対するソフトウェアコンポーネントの対応づけが補正され,請求項13に示すステップが繰り返されることを特徴とする請求項13に記載のソフトウェアベースの電子システムの安全性と信頼性を検査する方法。
【請求項15】
分配され,ネットワーク化されたシステム(30)内で,マイクロコントローラ(31,32)のようなハードウェアコンポーネントにソフトウェアコンポーネント(41,42,43,44)を対応づけるために,請求項1〜14のいずれかに記載のソフトウェアベースの電子システムの安全性と信頼性を検査する方法。
【請求項16】
エンジン制御装置のような,制御装置(30)のシステムアーキテクチャを決定するために,請求項1〜14のいずれかに記載のソフトウェアベースの電子システムの安全性と信頼性を検査する方法。
【請求項17】
コンピュータプログラムがコンピュータまたは該当する計算ユニット上で実施された場合に,請求項1〜14のいずれかに記載のソフトウェアベースの電子システムの安全性と信頼性を検査する方法のすべてのステップを実施するために,プログラムコード手段を有するコンピュータプログラム。
【請求項18】
コンピュータプログラム製品がコンピュータ上または該当する計算ユニット上で実施された場合に,請求項1〜14のいずれかに記載のソフトウェアベースの電子システムの安全性と信頼性を検査する方法のすべてのステップを実施するために,コンピュータ読み取り可能なデータ担体上に記憶されている,プログラムコード手段を有するコンピュータプログラム製品。
【請求項1】
システム(30)の要求される機能を検査するための信頼性機能を使用して,そのために必要なハードウェアコンポーネントに基づいて,ソフトウェアベースの電子システムの安全性と信頼性を検査する方法において,
システム(30)の要求される機能の少なくとも1つのものの信頼性を計算するための信頼性機能と,システム(30)の安全性機能の少なくとも1つのものの信頼性を計算するための信頼性機能が定められ,その場合に前記信頼性機能を定めるために,システムのソフトウェアコンポーネント(41,42,43,44)が,前記ソフトウェアコンポーネント(41,42,43,44)が分配されているハードウェアコンポーネントを用いて一緒に考慮されることを特徴とする,ソフトウェアベースの電子システムの安全性と信頼性を検査する方法。
【請求項2】
システム(30)のすべての要求される機能について,前記信頼性機能が定められることを特徴とする請求項1に記載のソフトウェアベースの電子システムの安全性と信頼性を検査する方法。
【請求項3】
システムのすべての前記安全性機能について,前記信頼性機能が定められることを特徴とする請求項1または2に記載のソフトウェアベースの電子システムの安全性と信頼性を検査する方法。
【請求項4】
所定のシステムアーキテクチャについて2つの前記信頼性機能の値が計算されることを特徴とする請求項1〜3のいずれか1項に記載のソフトウェアベースの電子システムの安全性と信頼性を検査する方法。
【請求項5】
システムアーキテクチャが,
要求されるシステム機能および安全性機能の実現のために必要なハードウェアコンポーネントの決定と;
要求されるシステム機能および安全性機能の実現のために必要なソフトウェアコンポーネントの決定と;
ハードウェアコンポーネントへのソフトウェアコンポーネントの対応づけと;
の構成部分の中の1つまたは複数によって変化されることを特徴とする請求項4に記載のソフトウェアベースの電子システムの安全性と信頼性を検査する方法。
【請求項6】
システムアーキテクチャが,様々なシステムアーキテクチャにおいて要求されるシステム機能について最大化された,計算された信頼性を用いて,最適化されることを特徴とする請求項4または5に記載のソフトウェアベースの電子システムの安全性と信頼性を検査する方法。
【請求項7】
システムアーキテクチャが,種々のシステムアーキテクチャにおいてシステムの安全性機能について計算された信頼性の混合を用いて,最適化されることを特徴とする請求項4〜6のいずれかに記載のソフトウェアベースの電子システムの安全性と信頼性を検査する方法。
【請求項8】
前記信頼性機能が,信頼性ブロック図を用いて定められることを特徴とする請求項1〜7のいずれかに記載のソフトウェアベースの電子システムの安全性と信頼性を検査する方法。
【請求項9】
要求されるシステム機能が,前記システム機能を監視するための監視機能によって監視され,その場合に前記監視機能自体がシステム監視機能によって監視されることを特徴とする請求項1〜8のいずれかに記載のソフトウェアベースの電子システムの安全性と信頼性を検査する方法。
【請求項10】
前記システム監視機能が,システム機能を監視するための前記監視機能を含むシステム部分(31)を,少なくとも部分的に監視することを特徴とする請求項9に記載のソフトウェアベースの電子システムの安全性と信頼性を検査する方法。
【請求項11】
前記システム監視機能が,2つのシステム部分(31,32)に分配され,そのうちの一方のシステム部分(31)が要求されるシステム機能および前記監視機能を有していることを特徴とする請求項10に記載のソフトウェアベースの電子システムの安全性と信頼性を検査する方法。
【請求項12】
2つのシステム部分(31,32)が,前記システム監視機能を介して相互に監視することを特徴とする請求項11に記載のソフトウェアベースの電子システムの安全性と信頼性を検査する方法。
【請求項13】
システム(30)の安全性と信頼性を検査するために,
システム(30)のハードウェアコンポーネントとそのネットワーク化を決定し,特にマイクロコントローラ(31,32)とそのネットワーク化を特殊化するステップと;
システム(30)のシステム機能と安全機能を実現するために必要な,システム(30)のソフトウェアコンポーネント(41,42,43,44)を決定し,かつ前記ソフトウェアコンポーネント(41,42,43,44)間の通信を特殊化するステップと;
前記ソフトウェアコンポーネント(41,42,43,44)を,ハードウェアコンポーネント,特にシステム(30)のマイクロコントローラ(31,32)へ対応づけるステップと;
前記ハードウェアコンポーネントおよびハードウェア接続に基づいて安全性機能を含めてシステム(30)の要求される機能について信頼性ブロック図(45,46,47)を作成するステップと;
システム(30)の安全性と信頼性を立証するために,システム(30)の安全性についての信頼性と,要求される全機能についての信頼性を計算するステップと;
を含むことを特徴とする請求項1〜12のいずれかに記載のソフトウェアベースの電子システムの安全性と信頼性を検査する方法。
【請求項14】
他のステップとして,システムアーキテクチャ,従ってソフトウェアネットワークおよびハードウェアネットワークと,ハードウェアコンポーネントに対するソフトウェアコンポーネントの対応づけが補正され,請求項13に示すステップが繰り返されることを特徴とする請求項13に記載のソフトウェアベースの電子システムの安全性と信頼性を検査する方法。
【請求項15】
分配され,ネットワーク化されたシステム(30)内で,マイクロコントローラ(31,32)のようなハードウェアコンポーネントにソフトウェアコンポーネント(41,42,43,44)を対応づけるために,請求項1〜14のいずれかに記載のソフトウェアベースの電子システムの安全性と信頼性を検査する方法。
【請求項16】
エンジン制御装置のような,制御装置(30)のシステムアーキテクチャを決定するために,請求項1〜14のいずれかに記載のソフトウェアベースの電子システムの安全性と信頼性を検査する方法。
【請求項17】
コンピュータプログラムがコンピュータまたは該当する計算ユニット上で実施された場合に,請求項1〜14のいずれかに記載のソフトウェアベースの電子システムの安全性と信頼性を検査する方法のすべてのステップを実施するために,プログラムコード手段を有するコンピュータプログラム。
【請求項18】
コンピュータプログラム製品がコンピュータ上または該当する計算ユニット上で実施された場合に,請求項1〜14のいずれかに記載のソフトウェアベースの電子システムの安全性と信頼性を検査する方法のすべてのステップを実施するために,コンピュータ読み取り可能なデータ担体上に記憶されている,プログラムコード手段を有するコンピュータプログラム製品。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公表番号】特表2007−506591(P2007−506591A)
【公表日】平成19年3月22日(2007.3.22)
【国際特許分類】
【出願番号】特願2006−515277(P2006−515277)
【出願日】平成16年6月23日(2004.6.23)
【国際出願番号】PCT/DE2004/001317
【国際公開番号】WO2005/003972
【国際公開日】平成17年1月13日(2005.1.13)
【出願人】(501125231)ローベルト ボッシュ ゲゼルシャフト ミット ベシュレンクテル ハフツング (329)
【Fターム(参考)】
【公表日】平成19年3月22日(2007.3.22)
【国際特許分類】
【出願日】平成16年6月23日(2004.6.23)
【国際出願番号】PCT/DE2004/001317
【国際公開番号】WO2005/003972
【国際公開日】平成17年1月13日(2005.1.13)
【出願人】(501125231)ローベルト ボッシュ ゲゼルシャフト ミット ベシュレンクテル ハフツング (329)
【Fターム(参考)】
[ Back to top ]