[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

WO2002001240A1 - Procede d'evaluation de la surete de fonctionnement d'un ensemble de systemes eectroniques integres recevant et produisant des donnees - Google Patents

Procede d'evaluation de la surete de fonctionnement d'un ensemble de systemes eectroniques integres recevant et produisant des donnees Download PDF

Info

Publication number
WO2002001240A1
WO2002001240A1 PCT/FR2001/001974 FR0101974W WO0201240A1 WO 2002001240 A1 WO2002001240 A1 WO 2002001240A1 FR 0101974 W FR0101974 W FR 0101974W WO 0201240 A1 WO0201240 A1 WO 0201240A1
Authority
WO
WIPO (PCT)
Prior art keywords
data
functions
error
datum
electronic systems
Prior art date
Application number
PCT/FR2001/001974
Other languages
English (en)
Inventor
Annie Blondel
Samuel Boutin
Alexis Toulet
Original Assignee
Renault
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Renault filed Critical Renault
Priority to EP01947585A priority Critical patent/EP1309876A1/fr
Publication of WO2002001240A1 publication Critical patent/WO2002001240A1/fr

Links

Classifications

    • GPHYSICS
    • G01MEASURING; TESTING
    • G01RMEASURING ELECTRIC VARIABLES; MEASURING MAGNETIC VARIABLES
    • G01R31/00Arrangements for testing electric properties; Arrangements for locating electric faults; Arrangements for electrical testing characterised by what is being tested not provided for elsewhere
    • G01R31/28Testing of electronic circuits, e.g. by signal tracer
    • G01R31/317Testing of digital circuits
    • G01R31/3181Functional testing
    • G01R31/3183Generation of test inputs, e.g. test vectors, patterns or sequences
    • G01R31/318342Generation of test inputs, e.g. test vectors, patterns or sequences by preliminary fault modelling, e.g. analysis, simulation
    • G01R31/31835Analysis of test coverage or failure detectability
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01RMEASURING ELECTRIC VARIABLES; MEASURING MAGNETIC VARIABLES
    • G01R31/00Arrangements for testing electric properties; Arrangements for locating electric faults; Arrangements for electrical testing characterised by what is being tested not provided for elsewhere
    • G01R31/28Testing of electronic circuits, e.g. by signal tracer
    • G01R31/317Testing of digital circuits
    • G01R31/31719Security aspects, e.g. preventing unauthorised access during test

Definitions

  • the present invention relates to a method for evaluating the dependability of a set of integrated electronic systems receiving and producing data.
  • data incorporated, for example, into messages materialized by groups of digital signals propagating on at least one common multiplex bus.
  • sets of electronic systems of this type designed in particular to equip motor vehicles.
  • Such a vehicle commonly comprises several systems, each ensuring the execution of a service such as controlling the engine propelling the vehicle, managing the air conditioning of the passenger compartment, managing the connections of the vehicle to the ground (braking, suspension, etc.). .), management of telephone communications, etc., etc.
  • FIG. 1 of the attached drawing The material means which constitute all of these systems are shown diagrammatically in FIG. 1 of the attached drawing.
  • These means essentially comprise electronic control units or "computers" UCE m , each computer possibly being connected to sensors C n i and to actuators A m j , all the computers being connected to the same bus B for transmitting or receiving therein suitably multiplexed information from or to the other computers connected to bus B.
  • This multiplexing is obtained in particular, as is well known for the CAN bus for example, by introducing the information in question in messages materialized by digital signal frames comprising in particular an "identifier field" of said frame and a “data field “commonly gathering several pieces of information of different natures (pressure, temperature, etc.) each contained in a predetermined part of this field.
  • engine control includes the ECU 2 computer, several sensors C _ sensitive to quantities such as the engine speed, for example internal combustion, the pressure at intake manifold of this engine, outside air pressure, engine cooling water temperature, air temperature, battery charge status, etc, etc., and several actuators A 2.
  • the ECU 2 computer is duly programmed to execute several engine control functions such as: idling control, regulation of the richness of the air / fuel mixture, adjustment of the ignition advance of this mixture and recirculation exhaust gases.
  • the ECU 2 computer uses information from the above-mentioned sensors C ⁇ and develops control signals for the actuators A j constituted by an additional air control valve and a spark plug ignition coil for the "regulation of idle ", a fuel injector for the" richness regulator “function, the same ignition coil for the” ignition advance "function and a valve for the" exhaust gas recirculation "function.
  • All these systems put in communication by the same bus B constitute a multiplex network. It is therefore understandable that several functions belonging to different systems can exploit information from the same sensors, for example, which avoids costly redundancies in the structure of all the systems.
  • the use of a multiplex network also makes it possible to significantly reduce the length of the electrical lines interconnecting the various elements of the assembly.
  • Such a multiplex assembly also makes it possible to set up non-conventional and possibly complex functions, sometimes involving several systems and therefore called “transverse”.
  • the perception of information "air bag (or "airbag”) triggered ", significant that the vehicle has suffered an impact can then be treated so as to control the emission of a call for help by a mobile telephone device on board the vehicle.
  • the present invention specifically aims to provide a method for evaluating the operational safety of a set of integrated electronic systems, suitable for the production of such diagnostics.
  • the present invention also aims to provide such a method making it possible to determine whether the functions distributed as a whole may be subject to failure failures which are too broad in impact, from the point of view of the operational safety of the system. This is the case, for example, when minor function failures have an impact on more critical functions.
  • X n is the set of data affected by an error on the data (i), after n application of the consuming functions (Xi),
  • the database used includes 1 °) a "functions” table, defining all the functions executed by the set of electronic systems, 2 °) a "data” table defining the different data exchanged by said functions, 3 °) a "functions-data links” table which defines the links between data and functions and, 4 °) a "modes" table containing the list of modes in which the data can be found, the database also includes a "Modes- data-values "which defines the particular values taken by each data in each of its different modes, said data is transmitted in said set of electronic systems in the form of digital signal frames comprising means for identifying the mode in which it is found the data transmitted, the database also includes a "degraded
  • FIG. 1 is a diagram of a set of electronic systems for which it is proposed to study the dependability by the method according to the present invention, this assembly being described in the preamble to the present description
  • FIG. 2 is a diagram of organization of the database used in the method according to the invention. According to the present invention, this database gathers all the information making it possible to describe the functional architecture of the set of electronic systems.
  • a software tool is constituted which is capable of interrogating the database, by way of queries, so as to execute the error impact finding algorithms described below.
  • the SQL query language well known to those skilled in the art, can be used for this purpose.
  • x is an object of the database, we note in the sequence F (x) a query on x, for example the query "set of functions whose entry is x".
  • F (X) is then the union of the sets F (x) for x belonging to X. This is consistent with the exploitation of the queries of a database since the result of a query is a set of solutions.
  • an error on a piece of data may or may not be detectable, the set may indeed include means for detecting an error on certain data. Recognition of such an error automatically controls the processing of the data thus degraded, or even absent, by one or more functions designed to accommodate such degradation. Other errors, on the contrary, cannot be detected by the systems of the assembly. The study of the dependability of this assembly therefore involves looking for the impact of an error on a data item, successively in the case of an undetected error and a detected error.
  • X x being the set of data potentially affected by an error on x i ⁇ after application, at least once, of each of the functions consuming the data i.
  • X x being the set of data potentially affected by an error on x i ⁇ after application, at least once, of each of the functions consuming the data i.
  • X 2 X 1 ⁇ G (F (X) the set X 2 of potentially affected data after all the functions consuming ⁇ ⁇ have been applied at least twice.
  • X n is the set of data affected by an error on the data (x ⁇ ) after n applications of the consuming functions (Xi),
  • F (X n ) is the set of functions which take as argument at least one datum of the set X n
  • G (F (X n )) the set of output data of the functions of the set F ( X n ).
  • X ⁇ the limit when n tends to + ⁇ x> of the sequence X n
  • X ⁇ thus designating the set of data potentially affected by an error on t
  • F (Xoo) the set of functions potentially affected by this fault. It is obviously necessary to ensure the existence of X w and that the found set G (F (X ⁇ )) of data is a proper subset of X ⁇ .
  • X n c X n + ⁇ .
  • the set X ⁇ thus found can be very important, much more than the observation of the effective reactions of the set of electronic systems,. To an error on a particular datum x t , cannot let predict it. The reason is that the impact of certain variables of a function can be minor, for example of an order of magnitude lower than that of other variables of this function. According to the present invention, it is then possible to reduce the importance of the data set X ⁇ to be studied from the point of view of the operational safety of the set of electronic systems, by refining the request G (F (X n ) ). To do this, we define it as the search for all the outputs of the functions of the set F (X n ) which are significantly affected by an error on the data of the set X n .
  • the set of input variables of the function f is different from that of the function f.
  • the output variables of f are, at least for some, obviously affected by the unavailability of the variable x A in error. The quality level of these outputs can be seen from the value given to them, or from status bits.
  • the impact of the error on Xi can be limited to a drop in precision on some of the outputs of the function f, rather than to a total loss of output.
  • the request F must now take into account the degraded function or functions and the request G must integrate the fact that some of the outputs of these degraded functions are no longer provided at their best level of precision.
  • This base contains: a table A "functions" which contains all the functions of the set of electronic systems, corresponding to a normal or degraded situation. For each function, the table includes, in addition to the identification elements Function_Id and
  • Function_Name its level of criticality.
  • the function can thus, going • to the simplest, be characterized as being "critical” or “non-critical”.
  • a table B "data”, defining the various data exchanged by the functions, by wire link or, as described in the preamble to this description, by multiplex link.
  • the table contains the identification elements of each data.
  • a C table "data_functions" which defines the links between data and functions.
  • Each element of the table is a quadruplet (function f, data if indicator i produced / consumed, mode m).
  • f produces the data Xi in the mode m. If i indicates "consumed”, f consumes the data i in the m mode.
  • the mode m will be "normal" for all the data produced or consumed by f.
  • a table D "degraded_modes" which defines the conditions under which the transition from a function to one of its degraded modes takes place.
  • Each element of the table is a quadruplet (given x ⁇ , mode m, function f, degraded function f). This implies that the degraded function f consumes the data x ⁇ in the mode m and no longer in the mode required by the function f for this data Xi.
  • a table E "Modes-Data-Values" which defines the particular values taken by a data, in its different modes, if applicable.
  • a “Modes” table which contains the list of modes in which the data can be found. The modes can correspond to different levels of quality for the production of a data, corresponding to more or less degraded situations, or to transient phases
  • the function f can also have a degraded mode f ", in the event that another entry of f is itself degraded or invalidated.
  • the queries posed on the database must then establish a loop on table D to follow the propagation of errors in all possible degraded modes occurring following an error on one or more of the inputs of the function. f, or the function f '.
  • Example By hypothesis the vehicle is equipped, in particular, an engine management computer, a device for antilock braking system for maintaining the 'control of the trajectory of the vehicle by the driver, and an automatic transmission (BVA).
  • BVA automatic transmission
  • a sequence of events which may occur in this context is as follows: one of the sensors delivering signals to the engine management computer breaks down and prevents the latter from calculating the torque delivered by the engine. The "torque" data then changes to an "invalid" value.
  • Each manager of a system or part of a system is thus also responsible for updating a group of tables associated with the system or with said part of the system. If modified, the corresponding tables are updated and these tables are used in turn to update the database.
  • the query language mentioned above then makes it possible to interrogate the updated database so as to assess the impact of the modification on the dependability of the set of electronic systems studied above.
  • the software diagnoses the causes to allow the persons responsible to remedy them.
  • the present invention makes it possible to achieve the set goal, namely to allow the automatic performance of an assessment of the dependability of a set of electronic systems, both in the design phase thereof and 'in the operating phase, and this after any modification affecting the structure or operation of the assembly.
  • the invention is not limited to the embodiment described and shown which has been given only by way of example.
  • the invention is applicable in any industry to the evaluation of the dependability of any set of multiplex electronic systems, whatever the type of network used for multiplexing, the CAN network mentioned above being able to be replaced by a VAN network, for example.
  • the messages transporting the information circulating in the network could be constituted otherwise than by digital information frames, by example by statically defined time intervals in the case of a TDMA bus (from the English Time Division Multiple Access), that is to say a bus for which the exchange between two computers is done in a time interval defined in advance between the two computers, or even by frequency ranges for media of the FDMA (English Frequency Division Multiple Access) type, that is to say media for which data exchange takes place done at frequency ranges agreed in advance between the two computers.
  • TDMA from the English Time Division Multiple Access
  • FDMA English Frequency Division Multiple Access

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Combined Controls Of Internal Combustion Engines (AREA)

Abstract

Suivant ce procédé: (a) on constitue une base de données (A-E) décrivant l'architecture fonctionnelle dudit ensemble; (b) pour chaque donnée (xi) on recherche dans ladite base l'ensemble (X INFINITY ) des données potentiellement affectées par une erreur sur ladite donnée (xi), (X INFINITY ) étant la limite, quand n tend vers l'infini, de la suite définie par la relation de récurrence: <i>X</i>n+1 = <i>X</i>n UNION <i>G</i>(<i>F</i>(<i>X</i>n)) où: Xn est l'ensemble des données touchées par une erreur sur la donnée (xi), après <u>n</u> applications des fonctions consommant (xi); F(Xn) l'ensemble des fonctions qui prennent en argument au moins une donnée de l'ensemble Xn; G(F(Xn)) l'ensemble des données de sortie des fonctions de l'ensemble F(Xn); et (c) on identifie dans l'ensemble (X INFINITY ) de données ainsi déterminées, celles qui affectent la sûreté de fonctionnement dudit ensemble de systèmes électroniques et appellent la mise en place de mesures correctives, touchant soit la donnée (xi) soit les données touchées par la propagation de l'erreur sur ladite donnée (xi).

Description

Procédé d'évaluation de la sûreté de fonctionnement d'un ensemble de systèmes électroniques intégrés recevant et produisant des données La présente invention est relative à un procédé d'évaluation de la sûreté de fonctionnement d'un ensemble de systèmes électroniques intégrés recevant et produisant des données incorporées, par exemple, à des messages matérialisés par des groupes de signaux numériques se propageant sur au moins un bus multiplexe commun. On connaît des ensembles de systèmes électroniques de ce type, conçus notamment pour équiper des véhicules automobiles. Un tel véhicule comprend couramment plusieurs systèmes assurant chacun l'exécution d'une prestation telle que la commande du moteur propulsant le véhicule, la gestion de la climatisation de l'habitacle, la gestion des liaisons du véhicule au sol (freinage, suspension...) , la gestion de communications téléphoniques, etc, etc..
On a schématisé à la figure 1 du dessin annexé les moyens matériels qui constituent l'ensemble de ces systèmes. Ces moyens comprennent essentiellement des unités de commande électroniques ou "calculateurs" UCEm, chaque calculateur étant éventuellement connecté à des capteurs Cni et à des actionneurs Am j, tous les calculateurs étant connectés à un même bus B pour y émettre ou recevoir des informations convenablement multiplexees, en provenance ou à destination des autres calculateurs connectés au bus B.
Ce multiplexage est obtenu notamment, comme cela est bien connu pour le bus CAN par exemple, en introduisant les informations en cause dans des messages matérialisés par des trames de signaux numériques comprenant notamment un "champ identificateur" de ladite trame et un "champ de données" réunissant couramment plusieurs informations de natures différentes (pression, température, etc.) contenues chacune dans une partie prédéterminée de ce champ. A titre d'exemple illustratif, le système S2 de
"commande du moteur" comprend le calculateur UCE2, plusieurs capteurs C _ sensibles à des grandeurs telles que le régime du moteur, à combustion interne par exemple, la pression au collecteur d'admission de ce moteur, la pression de l'air extérieur, la température de l'eau de refroidissement du moteur, celle de l'air, l'état de charge de la batterie, etc, etc., et plusieurs actionneurs A 2 . Le calculateur UCE2 est dûment programmé pour exécuter plusieurs fonctions de commande du moteur telles que : la régulation de ralenti, la régulation de la richesse du mélange air/carburant, le réglage de l'avance à l'allumage de ce mélange et la recirculation des gaz d'échappement. Pour ce faire le calculateur UCE2 exploite des informations venues des capteurs C ± précités et élabore des signaux de commande des actionneurs A j constitués par une vanne de commande d'air additionnel et une bobine d'allumage de bougie pour la fonction "régulation de ralenti", un injecteur de carburant pour la fonction "régulateur de richesse", la même bobine d'allumage pour la fonction "avance de l'allumage" et une vanne pour la fonction "recirculation de gaz d'échappement".
Les autres "prestations" évoquées ci-dessus,
"climatisation de l'habitacle", "liaison avec le sol", etc.. sont exécutées par des systèmes d'architecture analogues à celle présentée ci-dessus pour la commande du moteur.
Tous ces systèmes mis en communication par un même bus B constituent un réseau multiplexe. On conçoit alors que plusieurs fonctions relevant de systèmes différents peuvent exploiter des informations issues de mêmes capteurs, par exemple, ce qui évite de coûteuses redondances dans la structure de l'ensemble des systèmes. L'utilisation d'un réseau multiplexe permet aussi de réduire de manière très importante la longueur des lignes électriques interconnectant les différents éléments de l'ensemble. Un tel ensemble multiplexe permet aussi la mise en place de fonctions non classiques et éventuellement complexes, faisant intervenir parfois plusieurs systèmes et dites pour cette raison "transversales". A titre d'exemple illustratif et non limitatif, la perception de l'information "sac d'air (ou "airbag") déclenché", significative de ce que le véhicule a subi un choc, peut être traitée alors de manière à commander l'émission d'un appel au secours par un dispositif de téléphonie mobile embarqué dans le véhicule. Un ensemble de systèmes électroniques du type décrit ci-dessus est, sous la poussée des progrès techniques, soumis à une constante évolution, tant dans sa phase de conception que dans ses versions successives, postérieures à sa première mise sur le marché. Ces évolutions peuvent résulter, par exemple, de l'intégration dans le système de fonctions nouvelles, par exemple de fonctions dites de "deuxième niveau" telles que par exemple la fonction dite "ESP" visant à commander la stabilité du véhicule en virage à partir d'informations fournies par des fonctions de "premier niveau" (antipatinage, anti-blocage de roues, commande du moteur, etc..) . Ces évolutions peuvent aussi résulter de la nécessité de modifier l'architecture de l'ensemble en fonction des prestations différentes offertes par les différents véhicules d'une gamme de tels véhicules, de l'appartenance d'un véhicule particulier à tel ou tel "segment" ou catégorie de véhicules ("normale" ou "supérieure", par exemple) , voire aussi de modifications logicielles ou matérielles apportées à une architecture donnée par le remplacement d'un calculateur spécifique, fourni par un équipementier, par un calculateur originaire d'un autre équipementier .
Ces évolutions peuvent toucher un système seulement, voire un élément ou une fonction de ce système. Il convient de pouvoir vérifier à tout moment la compatibilité des modifications apportées par une évolution particulière dudit système, dudit élément de système ou de ladite fonction, avec les caractéristiques des autres systèmes de l'ensemble, notamment au niveau des circulations d'informations qui s'opèrent dans le réseau multiplexe. A cet effet, la demande de brevet français N° 0004408 déposée le 6 avril 2000 par la demanderesse décrit un procédé de contrôle de la cohérence d'un ensemble de systèmes électroniques, permettant de contrôler automatiquement cette cohérence à tout moment, pendant la phase de conception de l'ensemble par exemple, et d'indiquer éventuellement les corrections à apporter à l'ensemble pour assurer cette cohérence, ce qui permet une progression sûre de ladite phase de conception. II convient aussi, notamment pendant une telle phase de conception ou de développement d'un ensemble de systèmes électroniques embarqués dans un véhicule automobile, de pouvoir évaluer la sûreté de fonctionnement de l'ensemble, à tout moment de ces phases de conception ou de développement. Une telle évaluation est difficile à réaliser car, pendant de telles phases, les évolutions des différents calculateurs ou autres composants électroniques de l'ensemble sont difficiles à contrôler, ces évolutions résultant des travaux d'un grand nombre de personnes travaillant en parallèle. Malgré cette difficulté, il est nécessaire, pour assurer la sûreté de fonctionnement de l'ensemble de systèmes électroniques, de pouvoir déterminer le périmètre d'impact d'une erreur détectée à l'intérieur de l'ensemble, activant un "mode dégradé" de traitement des informations qui prend en compte cette erreur, ou le périmètre d'impact d'une erreur non détectée par l' ensemble.
En matière d'analyse des défauts de fonctionnement de sous-système formant partie d'un système électronique, on connaît du brevet US 5 161 158 un appareil d'analyse de la propagation de tels défauts dans le système, comprenant une base de connaissances pour simuler le système, ' une interface utilisateur et un "moteur" d'analyse de défauts couplé auxdites base et interface, ce moteur comprenant une intelligence artificielle et un système expert permettant, par un traitement systématique de chaque erreur possible, de déterminer les sous-systèmes affectés par cette erreur.
Cet appareil, développé pour des systèmes d'avionique, n'est cependant pas adapté à l'étude -d'un système dans lequel les échanges d'informations s'opèrent au moyen d'un bus multiplexe installé dans un véhicule automobile, tel que décrit ci-dessus en liaison avec la figure 1. Par ailleurs le traitement d'une erreur par les moyens décrits dans l'appareil de US 5 161 158 peut subir un bouclage et donc ne pas permettre de déboucher sur un diagnostic.
Enfin, le traitement systématique décrit dans ce document n'est pas adapté à la détermination du périmètre d'impact maximal d'une erreur permettant, par exemple, de diagnostiquer' que des fonctions considérées comme critiques ne sont pas affectées par des défaillances de fonctions qui ne le sont pas .
La présente invention a précisément pour but de fournir un procédé d'évaluation de la sûreté de fonctionnement d'un ensemble de systèmes électroniques intégrés, adapté à la production de tels diagnostics.
La présente invention a aussi pour but de fournir un tel procédé permettant de déterminer si les fonctions distribuées dans l'ensemble peuvent être sujettes à des défaillances d'impact trop large, du point de vue de la sûreté de fonctionnement du système. Il en est ainsi, par exemple, quand des défaillances de fonctions mineures ont un impact sur des fonctions plus critiques.
On atteint ces buts de l'invention, ainsi que d'autres qui apparaîtront à la lecture de la description qui va suivre, avec un procédé d'évaluation de la sûreté de fonctionnement d'un ensemble de système électronique intégré recevant et produisant des données ( i) , ce procédé étant remarquable en ce que ' : a) on constitue une base de données décrivant l'architecture fonctionnelle dudit ensemble, b) pour chaque donnée (x±) on recherche dans ladite base l'ensemble (X^) des données potentiellement affectées par une erreur sur ladite données (Xi) , (X∞) étant la limite, quand n tend vers l'infini, de la suite définie par la relation de récurrence :
XM = XΛ UG(F(XH)) où :
Xn est l'ensemble des données touchées par une erreur sur la donnée ( i) , après n application des fonctions consommant (Xi) ,
F(Xn) l'ensemble des ' fonctions qui prennent en argument au moins une donnée de l'ensemble Xn, G(F(Xn)) l'ensemble des données de sortie des fonctions de l'ensemble F (Xn) , et c) on identifie dans l'ensemble (X) de données ainsi déterminées, celles qui affectent la sûreté de fonctionnement dudit ensemble de systèmes électroniques et appellent la mise en place de mesures correctives, touchant soit la donnée ( i) soit les données touchées par la propagation de l'erreur sur ladite donnée ( i) .
Suivant d'autres caractéristiques optionnelles du procédé selon l'invention : pour la recherche de l'ensemble de données (X) , on limite l'ensemble G(F(Xn)) aux données de sortie des fonctions de l'ensemble F(Xn) de fonctions qui sont sensiblement affectées par une erreur sur les données de l'ensemble (Xn) , la base de données utilisée comprend 1°) une table "fonctions", définissant toutes les fonctions exécutées par l'ensemble de systèmes électroniques, 2°) une table "données" définissant les différentes données échangées par lesdites fonctions, 3°) une table "liens fonctions-données" qui définit les liens entre données et fonctions et, 4°) une table "modes" contenant la liste des modes dans lesquels peuvent se trouver les données, la base de données comprend en outre une table "Modes-données-valeurs" qui définit les valeurs particulières prises par chaque donnée dans chacun de ses différents modes, lesdites données sont transmises dans ledit ensemble de systèmes électroniques sous la forme de trames de signaux numériques comportant des moyens d'identification du mode dans lequel se trouve la donnée transmise, la base de données comprend en outre une table "modes dégradés", définissant les conditions dans lesquelles une des fonctions dudit ensemble est remplacée par une version dégradée de ladite fonction.
D'autres caractéristiques de la présente invention apparaîtront à la lecture de la description qui va suivre et à l'examen du dessin annexé dans lequel : la figure 1 est un schéma d'un ensemble de systèmes électroniques dont on se propose d'étudier la sûreté de fonctionnement par le procédé suivant la présente invention, cet ensemble étant décrit dans le préambule de la présente description, et la figure 2 est un schéma d'organisation de la base de données utilisée dans le procédé suivant 1 ' invention. Suivant la présente invention, cette base de données rassemble toutes les informations permettant de décrire l'architecture fonctionnelle de l'ensemble de systèmes électroniques .
Suivant la présente invention, également, on constitue un outil logiciel propre à interroger la base de données, par voie de requêtes, de manière à exécuter les algorithmes de recherche d'impact d'erreur décrits ci- dessous. A titre d'exemple illustratif .et non limitatif, on pourra utiliser à cet effet le langage de requête SQL, bien connu de l'homme de métier. Si x est un objet de la base de données, on note dans la suite F(x) une requête sur x, par exemple la requête "ensemble des fonctions dont une entrée est x" . On utilise la notation majuscule X pour dénommer un ensemble donné. F(X) est alors l'union des ensembles F(x) pour x appartenant à X. Ceci est cohérent avec l'exploitation des requêtes d'une base de données puisque le résultat d'une requête est un ensemble de solutions . Comme les résultats de plusieurs requêtes sur des éléments homogènes sont homogènes, on peut parler de leur union ou réunion. Dans l'ensemble de systèmes électroniques considéré, une erreur sur une donnée peut être détectable ou non, l'ensemble pouvant en effet comprendre des moyens de détection d'erreur sur certaines données. La reconnaissance d'une telle erreur commande automatiquement le traitement de la donnée ainsi dégradée, voire absente, par une ou plusieurs fonctions conçues par s'accommoder d'une telle dégradation. D'autres erreurs, au contraire, ne peuvent être détectées par les systèmes de l'ensemble. L'étude de la sûreté de fonctionnement de cet ensemble passe donc par la recherche de l'impact d'une erreur sur une donnée, successivement dans les cas d'une erreur non détectée et d'une erreur détectée.
Algorithme de recherche de l'impact d'une erreur non détectée par l'ensemble de systèmes électroniques. Si on considère une donnée i (i de 1 à p) particulière produite ou consommée par une ou plusieurs fonctions de l'ensemble, on note :
F( i) la requête "ensemble des fonctions qui prennent la donnée Xi en argument" G(f) la requête "ensemble des sorties de la fonction f".
On peut écrire alors :
Figure imgf000011_0001
Xx étant l'ensemble des données potentiellement affectées par une erreur sur x après application, au moins une fois, de chacune des fonctions consommant la donnée i. On définit de même :
X2 =X1 \ G(F(X ) l ' ensemble X2 des données potentiellement affectées après que toutes les fonctions consommant κ± se soient appliquées au moins deux fois .
On tire de ce qui précède la suite récurrente d' ensembles de données (X0 .« ^ Xn+i-) telle que : X0 ≈ {x± } et
X„+ =XnU G(F(Xn)) où :
Xn est l'ensemble des données touchées par une erreur sur la donnée (x±) après n applications des fonctions consommant (Xi) ,
F(Xn) est l'ensemble des fonctions qui prennent en argument au moins une donnée de l'ensemble Xn, et G(F(Xn)) l'ensemble des données de sortie des fonctions de l'ensemble F(Xn) . On appelle X la limite quand n tend vers +<x> de la suite Xn, X désignant ainsi l'ensemble des données potentiellement affectées par une erreur sur t et F(Xoo) l'ensemble des fonctions potentiellement affectées par cette erreur. II faut évidemment s'assurer de l'existence de Xw et de ce que l'ensemble trouvé G(F(X)) de données est un sous-ensemble propre de X . Sur le premier point il est clair que Xn c Xn+ι. Par ailleurs, Xn étant inclus dans l'ensemble des données' de l'ensemble de systèmes électroniques, il existe un indice, N pour lequel XΝ+ι = Ν- II s'ensuit que
**« = ^r+, U G F(XN+l)) = XN \) G(F(XN) = X„+% = X„
Il en résulte, par récurrence, que X = XΝ* ce qui démontre l'existence de X.
Sur le deuxième point, puisque XN^ = XN \JG(F(XN)) , on tire, en substituant X à XΝ+ι et XN :
X = X ϋG(F(X )
La lecture de cette égalité de la droite vers la gauche fait apparaître que tout élément de G(F(Xœ)) appartient à X et donc que G (F X) ) est un sous-ensemble propre de X».
Ayant ainsi établi la composition de l'ensemble de données X, on identifie dans cet ensemble de données celles qui affectent la sûreté de fonctionnement de l'ensemble de systèmes électroniques étudié, et qui appellent la mise en place de mesures correctives touchant soit Xi, soit les données touchées par la propagation de 1 ' erreur sur A .
L'ensemble Xœ ainsi trouvé peut être très important, beaucoup plus que l'observation des réactions effectives de l'ensemble de systèmes électroniques, .à une erreur sur une donnée xt particulière, ne peut le laisser prévoir. La raison en est que l'impact de certaines variables d'une fonction peut être mineur, par exemple d'un ordre de grandeur inférieur à celui d'autres variables de cette fonction. Suivant la présente invention, on peut alors réduire l'importance de l'ensemble de données X à étudier du point de vue de la sûreté de fonctionnement de l'ensemble de systèmes électroniques, en affinant la requête G(F(Xn)). Pour ce faire on définit celle-ci comme recherche de l'ensemble des sorties des fonctions de l'ensemble F(Xn) qui sont sensiblement affectées par une erreur sur les données de l'ensemble Xn.
Pour s'assurer qu'aucune erreur non détectable sur une donnée ne peut affecter une fonction critique, on utilise l'algorithme de recherche d'impact d'erreur non détectée pour toutes les données produites par des fonctions mineures, c'est-à-dire en l'appliquant à l'ensemble Xm de toutes ces données. Ceci revient à écrire X0=Xm, et à réutiliser l'algorithme défini précédemment. Il suffit alors de vérifier que F (X«,) ne contient aucune fonction critique.
Algorithme de recherche de l'impact d'une erreur détectée par l'ensemble de systèmes électroniques Pour certaines fonctions exécutées par des systèmes de cet ensemble, lorsqu'une des données variables i de la fonction est affectée d'une erreur, il y a remplacement de cette fonction f par une autre fonction f dite "dégradée", conçue pour pallier le fait que Xi est en erreur. Ce fait peut être signalé par la valeur même prise par i, ou par un bit d'état associé à i.
L'ensemble des variables d'entrée de la fonction f est différent de celui de la fonction f. Les variables de sortie de f sont, au moins pour certaines, évidemment affectées par la non disponibilité de la variable xA en erreur. Le niveau de qualité de ces sorties peut ressortir de la valeur qui leur est donnée, ou de bits d'état. C'est ainsi que 1 ' impact de 1 ' erreur sur Xi peut être limité à une baisse de précision sur certaines des sorties de la fonction f, plutôt qu'à une perte totale de sortie. On reprend alors l'algorithme de recherche d'impact décrit ci-dessus en cas d'erreur non détectée, en remplaçant la fonction f par la fonction "dégradée" f' . La requête F doit maintenant prendre en compte la ou les fonctions dégradées et la requête G doit intégrer le fait que certaines des sorties de ces fonctions dégradées ne sont plus fournies à leur meilleur niveau de précision.
On se réfère maintenant à la figure 2 du dessin annexé pour décrire les différents objets de la base de données sur laquelle sont formulées les requêtes définies ci-dessus. Cette base contient : une table A "fonctions" qui contient toutes les fonctions de l'ensemble de systèmes électroniques, correspondant à une situation normale ou dégradée. Pour chaque fonction, la table comprend outre les éléments d'identification Fonction_Id et
Nom_Fonction, son niveau de criticité. La fonction peut ainsi, en allant • au plus simple, être caractérisée comme étant "critique" ou "non critique". une table B "données", définissant les différentes données échangées par les fonctions, par liaison filaire ou, comme décrit en préambule de la présente description, par liaison multiplexée. La table contient les éléments d'identification de chaque donnée .
Une table C "liens_fonctions_données" qui définit les liens entre données et fonctions. Chaque élément de la table est un quadruplet (fonction f, donnée if indicateur i produite/consommée, mode m) .
Si i indique "produite", f produit la donnée Xi dans le mode m. Si i indique "consommée", f consomme la donnée i dans le mode m.
Si la fonction f ne correspond ni à un mode dégradé ni à un mode transitoire (lié à une phase de fonctionnement particulière, d'initialisation par exemple) , le mode m sera "normal" pour toutes les données produites ou consommées par f.
Une table D "modes_dégradés" qui définit les conditions dans lesquelles s'opère le passage d'une fonction à l'un de ses modes dégradés. Chaque élément de la table est un quadruplet (donnée x±, mode m, fonction f, fonction dégradée f). Ceci implique que la fonction dégradée f consomme la donnée x± dans le mode m et non plus dans le mode qu'exigeait la fonction f pour cette donnée Xi.
Une table E "Modes-Données-Valeurs" qui définit les valeurs particulières prises par une donnée, dans ses différents modes, le cas échéant. - Une table "Modes" qui contient la liste des modes dans lesquels peuvent se trouver les données. Les modes peuvent correspondre à des niveaux de qualité différents pour la production d'une donnée, correspondant à des situations plus ou moins dégradées, ou à des phases transitoires
(initialisation etc..) .
En ce qui concerne la table D, relative au passage d'une fonction f a une fonction dégradée f, on notera que la fonction f peut elle aussi avoir un mode dégradé f", au cas où une autre entrée de f serait elle-même dégradée ou invalidée. Les requêtes posées sur la base de données doivent alors établir un bouclage sur la table D pour suivre la propagation d'erreurs dans tous les modes dégradés possibles intervenant à la suite d'une erreur sur une ou plusieurs des entrées de la fonction f, ou de la fonction f' .
Deux listes de données sont nécessaires pour décrire le mode dégradé d'une fonction : 1) les nouvelles données d'entrée avec leur mode attendu, "normal" pour certaines et pour d'autres non, 2) les nouvelles données de sortie pour lesquelles le mode sera aussi "normal" ou non. Ces deux listes peuvent être tirées des tables A, B et C. Une comparaison avec les entrées et sorties de la fonction non dégradée permet de repérer les sorties dégradées et donc les directions dans lesquelles la propagation d'une erreur doit être suivie.
Pour illustrer le procédé suivant l'invention, on décrit ci-dessous, à titre évidemment illustratif et non limitatif, un exemple d'une situation pouvant être rencontrée dans le contexte d'un véhicule automobile, analysée par le procédé d'évaluation de sûreté de fonctionnement selon l'invention. Exemple. Par hypothèse le véhicule est muni, notamment, d'un calculateur de gestion du moteur, d'un dispositif d' antiblocage des roues permettant le maintien du' contrôle de la trajectoire du véhicule par le conducteur, et d'une boîte de vitesses automatique (BVA) . Une séquence d'événements pouvant intervenir dans ce contexte est la suivante : un des capteurs délivrant des signaux au calculateur de gestion du moteur tombe en panne et empêche le calcul, par ce dernier, du couple délivré par le moteur. La donnée "couple" passe alors en valeur "invalide". Il s'ensuit que le contrôle de trajectoire subit une dégradation légère, la fonction correspondante passant en un mode dégradé. Cependant la non-disponibilité du couple a aussi pour conséquence de faire passer la gestion de la BVA en mode "refuge", ce passage inhibant totalement le contrôle de trajectoire qui passe dans un mode dégradé correspondant en fait à une totale indisponibilité de ce contrôle.
On formalise cet enchaînement de conséquence en notant fi, f2 et f3 la fonction "gestion du moteur", la fonction "contrôle de trajectoire" et la fonction "gestion BVA", respectivement, i, x2 la donnée "couple réel", et la donnée "mode de gestion BVA" respectivement. Ainsi l'événement à l'origine de l'enchaînement décrit ci-dessus est l'impossibilité pour fi de fournir x à son meilleur niveau de précision, comme suite à la panne de l'un des capteurs associé à la gestion du moteur. Ceci se modélise en posant que fi passe dans un mode dégradé f'i fournissant i dans le mode "invalide" et non dans le mode "normal". Il s'ensuit que f2 et f3 passent dans les modes dégradés f'2 et f'3 respectivement, f3 fournissant alors x3 dans un mode différent de celui dans lesquels f3 fournit normalement x3 (la valeur "refuge" particulière de x2 ayant des conséquences pour la sûreté de fonctionnement, on lui associe un mode particulier) . Or le passage de 2 dans ce mode "refuge" provoque l'inhibition complète de f2 qui passe au mode dégradé f"2, dans lequel toutes les données produites par f2 sont invalides, cette dernière fonction ayant ainsi subi deux dégradations successives .
Lorsqu'on met en œuvre le procédé selon l'invention dans le contexte d'un ensemble de systèmes électroniques embarqués dans un véhicule automobile par exemple, on doit tenir compte de ce que cet ensemble évolue constamment pour s' adapter aux progrès techniques rapides de 1 ' industrie automobile. Comme on l'a indiqué en préambule de la présente description, l'architecture d'un tel ensemble évolue alors constamment, tant pendant la phase de conception de l'ensemble, qu'après la première commercialisation du véhicule. Cette évolution peut concerner un ou plusieurs systèmes ou parties. de systèmes, placés sous la responsabilité de personnes différentes. Il est évidemment nécessaire qu'une personne qui modifie le système ou la partie de système dont elle est responsable, puisse s'assurer que cette modification ne dégrade pas la sûreté de fonctionnement de l'ensemble des systèmes. Une telle dégradation est en effet possible étant donné les multiples échanges de données qui s'opèrent entre ces systèmes, intégrés dans un réseau multiplexe. Les personnes responsables évoquées ci-dessus disposent d'une base de données intégrant toutes les informations permettant de décrire structurellement et fonctionnellement l'ensemble, y compris celles comprises dans les tables de la figure 2.
Chaque responsable d'un système ou d'une partie de système est ainsi également responsable de la mise à jour d'un groupe de tables associées au système ou à ladite partie du système. En cas de modification, les tables correspondantes sont mises à jour et ces tables servent à leur tour à mettre à jour la base de données. Le langage de requête évoqué ci-dessus permet alors d'interroger la base mise à jour de manière à évaluer l'impact de la modification sur la sûreté de fonctionnement de l'ensemble de systèmes électroniques étudié ci-dessus. En cas de non satisfaction des règles posées en la matière, le logiciel en diagnostique les causes pour permettre aux personnes responsables d'y porter remède.
Il apparaît maintenant que la présente invention permet bien d'atteindre le but fixé, à savoir permettre la réalisation automatique d'une évaluation de la sûreté de fonctionnement d'un ensemble de systèmes électroniques, aussi bien en phase de conception de celui-ci qu'en phase d'exploitation, et ceci après toute modification affectant la structure ou le fonctionnement de l'ensemble.
Bien entendu l'invention n'est pas limitée au mode de réalisation décrit et représenté qui n'a été donné qu'à titre d'exemple. C'est ainsi que l'invention est applicable dans toute industrie à l'évaluation de la sûreté de fonctionnement de tout ensemble de systèmes électroniques multiplexes, quel que soit le type du réseau utilisé pour le multiplexage, le réseau CAN évoqué ci-dessus pouvant être remplacé par un réseau VAN, par exemple.
De même les messages transportant les informations circulant dans le réseau pourraient être constitués autrement que par des trames d'informations numériques, par exemple par des intervalles de temps définis statiquement dans le cas d'un bus TDMA (de l'anglais Time Division Multiple Access) c'est-à-dire un bus pour lequel l'échange entre deux calculateurs se fait dans un intervalle de temps défini à l'avance entre les deux calculateurs, ou encore par des plages de fréquences pour des média de type FDMA (de l'anglais Frequency Division Multiple Access) c'est-à-dire des média pour lesquels l'échange de données se fait à des plages de fréquences convenues à l'avance entre les deux calculateurs.

Claims

REVENDICATIONS 1. Procédé d'évaluation de la sûreté de fonctionnement d'un ensemble de systèmes électroniques intégrés recevant et produisant des données (Xi) , ce procédé étant caractérisé en ce que : a) on constitue une base de données (A-E) décrivant l'architecture fonctionnelle dudit ensemble, b) pour chaque donnée ( i) , on recherche dans ladite base l'ensemble (X«)) des données potentiellement affectées par une erreur sur ladite donnée (Xi) , (X») étant la limite, quand n tend vers l'infini, de la suite définie par la relation de récurrence :
où :
Xn est 1 ' ensemble des données touchées par une erreur sur la donnée ( i) , après n applications des fonctions consommant ( i) ,
F(Xn) l'ensemble des fonctions qui prennent en argument au moins une donnée de l'ensemble Xn,
G(F(Xn)) l'ensemble des données de sortie des fonctions de l'ensemble F(Xn), et c) on' identifie dans l'ensemble (Xα>) de données ainsi déterminées, celles qui affectent la sûreté de fonctionnement dudit ensemble de systèmes électroniques et appellent la mise en - place de mesures correctives, touchant soit la donnée (Xi) soit les données touchées par la propagation de l'erreur sur ladite donnée (Xi) .
2. Procédé conforme à la revendication 1, caractérisé en ce que, pour la recherche de l'ensemble de données (X , on limite l'ensemble G(F(Xn)) aux données de sortie des fonctions de l'ensemble F(Xn) des fonctions qui sont sensiblement affectées par une erreur sur les données de l'ensemble (Xn) .
3. Procédé conforme à l'une quelconque des revendications 1 et 2, caractérisé en ce que ladite base de donnée comprend 1) une table "fonctions", définissant toutes les fonctions exécutées par ledit ensemble de systèmes électroniques, 2) une table "données" définissant les différentes données échangées par lesdites fonctions, 3) une table "liens fonctions-données" qui définit les liens entre données et fonctions, et 4) une table "modes" contenant la liste des modes dans lesquels peuvent se trouver les données.
4. Procédé conforme à la revendication 3, caractérisé en ce que ladite base de données comprend en outre une table "Modes-données-valeurs" qui définit les valeurs particulières prises par chaque donnée dans chacun de ses différents modes.
5. Procédé conforme à la revendication 4, caractérisé en ce que lesdites données sont transmises dans ledit ensemble de systèmes électroniques sous la forme de trames de signaux numériques comportant des moyens d'identification du mode dans lequel se trouve la donnée transmise.
6. Procédé conforme à l'une quelconque des revendications 1 à 5, caractérisé en ce que ladite base de données comprend une table "modes dégradés", définissant les conditions dans lesquelles une des fonctions (f) dudit ensemble est remplacée par une version dégradée (f) de ladite fonction.
PCT/FR2001/001974 2000-06-27 2001-06-22 Procede d'evaluation de la surete de fonctionnement d'un ensemble de systemes eectroniques integres recevant et produisant des donnees WO2002001240A1 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
EP01947585A EP1309876A1 (fr) 2000-06-27 2001-06-22 Procede d'evaluation de la surete de fonctionnement d'un ensemble de systemes eectroniques integres recevant et produisant des donnees

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR00/08251 2000-06-27
FR0008251A FR2810758B1 (fr) 2000-06-27 2000-06-27 Procede d'evaluation de la surete de fonctionnement d'un ensemble de systemes electroniques integres recevant et produisant des donnees

Publications (1)

Publication Number Publication Date
WO2002001240A1 true WO2002001240A1 (fr) 2002-01-03

Family

ID=8851749

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2001/001974 WO2002001240A1 (fr) 2000-06-27 2001-06-22 Procede d'evaluation de la surete de fonctionnement d'un ensemble de systemes eectroniques integres recevant et produisant des donnees

Country Status (3)

Country Link
EP (1) EP1309876A1 (fr)
FR (1) FR2810758B1 (fr)
WO (1) WO2002001240A1 (fr)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4766595A (en) * 1986-11-26 1988-08-23 Allied-Signal Inc. Fault diagnostic system incorporating behavior models
US5822218A (en) * 1996-08-27 1998-10-13 Clemson University Systems, methods and computer program products for prediction of defect-related failures in integrated circuits

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4766595A (en) * 1986-11-26 1988-08-23 Allied-Signal Inc. Fault diagnostic system incorporating behavior models
US5822218A (en) * 1996-08-27 1998-10-13 Clemson University Systems, methods and computer program products for prediction of defect-related failures in integrated circuits

Also Published As

Publication number Publication date
FR2810758A1 (fr) 2001-12-28
FR2810758B1 (fr) 2002-10-11
EP1309876A1 (fr) 2003-05-14

Similar Documents

Publication Publication Date Title
CA2619143C (fr) Procede de surveillance des moteurs d&#39;avion
US5835871A (en) Method and system for diagnosing and reporting failure of a vehicle emission test
FR2800190A1 (fr) Procede et systeme pour l&#39;autodiagnostic d&#39;une voiture
FR3078791A1 (fr) Outil de diagnostic calculateur
RU2622777C2 (ru) Способ обнаружения самовольного нарушения настройки
EP1573579A2 (fr) Procede de diagnostic de defaut de fonctionnement d&#39;un ensemble de systemes electroniques
EP1451655B1 (fr) Procede de diagnostic de defauts de fonctionnement d&#39;un ensemble de systemes electroniques, notamment dans un vehicule automobile
WO2002001240A1 (fr) Procede d&#39;evaluation de la surete de fonctionnement d&#39;un ensemble de systemes eectroniques integres recevant et produisant des donnees
EP1573412B1 (fr) Procede de diagnostic de defauts de fonctionnement d une arc hitecture fonctionnelle
EP3947058B1 (fr) Système de nettoyage d&#39;au moins deux capteurs/émetteurs d&#39;un véhicule automobile
EP2219898B1 (fr) Procédé de gestion de dysfonctionnements d&#39;un système de contrôle à architecture modulaire d&#39;un groupe motopropulseur de véhicule automobile et système de contrôle correspondant
FR2970947A1 (fr) Equipement a surveillance integree remplacable en escale et architecture distribuee comprenant un tel equipement
FR2957171A1 (fr) Methode et outil d&#39;aide a la conception d&#39;un aeronef utilisant un critere de disponibilite operationnelle
EP1673733B1 (fr) Systeme de diagnostic predictif des dysfonctionnements d&#39;un vehicule automobile et son dispositf de diagnostic embarque
FR3064390A1 (fr) Vehicule automobile equipe d’un ordinateur de bord et d’un outil de diagnostic
FR2807531A1 (fr) Procede de controle de la coherence d&#39;un ensemble de systemes electroniques integres
EP3225007B1 (fr) Procédé de communication entre un outil de production et un véhicule automobile
EP0697638A1 (fr) Procédé de détection des séquences complètes et des séquences d&#39;échec dans un système de reconnaissance de situations
EP4379681A1 (fr) Procédé de détection, de prédiction et de prévention de l&#39;apparition de défaillances et de contrôle de continuité de véhicules, système mettant en oeuvre ledit procédé et dispositif utilisé dans ledit système
EP1431855A2 (fr) Procédé de diagnostic de défauts de fonctionnement d&#39;un ensemble de fonctions
FR2923040A1 (fr) Procede de diagnostic d&#39;un calculateur
EP4158177B1 (fr) Véhicule à moteur thermique à essence et contrôle du type de carburant utilisé, et procédé de contrôle associé
EP4058365B1 (fr) Dispositif et procede de gestion d&#39;une flotte de dispositifs de communication d&#39;information pour mise a jour d&#39;un jumeau numerique d&#39;une turbomachine
FR2655443A1 (fr) Un systeme et procede pour retrouver des cas appropries justifies dans une bibliotheque de cas.
FR2870890A1 (fr) Procede d&#39;activation d&#39;operations d&#39;apprentissage d&#39;un appareil de commande et appareil pour la mise en oeuvre du procede

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): JP

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): AT BE CH CY DE DK ES FI FR GB GR IE IT LU MC NL PT SE TR

121 Ep: the epo has been informed by wipo that ep was designated in this application
DFPE Request for preliminary examination filed prior to expiration of 19th month from priority date (pct application filed before 20040101)
WWE Wipo information: entry into national phase

Ref document number: 2001947585

Country of ref document: EP

WWP Wipo information: published in national office

Ref document number: 2001947585

Country of ref document: EP

NENP Non-entry into the national phase

Ref country code: JP

WWW Wipo information: withdrawn in national office

Ref document number: 2001947585

Country of ref document: EP