DE102005001421A1 - Datenbustrennschalter und zugehörige Steuergeräteanordnung - Google Patents

Datenbustrennschalter und zugehörige Steuergeräteanordnung Download PDF

Info

Publication number
DE102005001421A1
DE102005001421A1 DE200510001421 DE102005001421A DE102005001421A1 DE 102005001421 A1 DE102005001421 A1 DE 102005001421A1 DE 200510001421 DE200510001421 DE 200510001421 DE 102005001421 A DE102005001421 A DE 102005001421A DE 102005001421 A1 DE102005001421 A1 DE 102005001421A1
Authority
DE
Germany
Prior art keywords
separation
signal path
data bus
units
ecu
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE200510001421
Other languages
English (en)
Inventor
Oliver Dipl.-Ing. Rooks
Armin Dr. Sulzmann
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mercedes Benz Group AG
Original Assignee
DaimlerChrysler AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by DaimlerChrysler AG filed Critical DaimlerChrysler AG
Priority to DE200510001421 priority Critical patent/DE102005001421A1/de
Publication of DE102005001421A1 publication Critical patent/DE102005001421A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1608Error detection by comparing the output signals of redundant hardware
    • G06F11/1625Error detection by comparing the output signals of redundant hardware in communications, e.g. transmission, interfaces
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1641Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Hardware Redundancy (AREA)

Abstract

Die Erfindung betrifft einen Datenbustrennschalter (10) mit einer schaltbaren elektrischen Verbindung, welcher zum Trennen von angeschlossenen Kommunikationsleitungen in einem Trennmodus und zum Verbinden der angeschlossenen Kommunikationsleitungen in einem Verbindungsmodus betreibbar ist, und eine zugehörige Steuergeräteanordnung. DOLLAR A Erfindungsgemäß umfasst die schaltbare elektrische Verbindung mindestens zwei Signalpfade (Signalpfad 1, Signalpfad 2), welche unabhängig voneinander eine Verbindung und/oder Trennung von allen angeschlossenen Kommunikationsleitungen der elektrischen Verbindung vornehmen, wobei jeder der mindestens zwei Signalpfade (Signalpfad 1, Signalpfad 2) mindestens zwei in Reihe geschaltete Trenneinheiten (2.1, 2.2 oder 2.3, 2.4) umfasst, und wobei die ordnungsgemäße Funktion des Datenbustrennschalters (10, 20) während des Trennmodus und/oder des Verbindungsmodus überprüfbar ist.

Description

  • Die Erfindung betrifft einen Datenbustrennschalter nach dem Oberbegriff des Patentanspruchs 1 und eine zugehörige Steuergeräteanordnung.
  • Viele sicherheitsrelevanten Systeme, welche beispielsweise in „Drive-by-Wire"-Systemen für Fahrzeuge eingesetzt werden, werden über elektrische Signale gesteuert und müssen gegen Fehlerausfall besonders gesichert sein. Beispiele für „Drive-by-Wire"-Systeme in Fahrzeugen sind „Steer-by-Wire"-Systeme, bei welchen keine permanente mechanische bzw. hydraulische Verbindung zwischen dem Lenkrad und den lenkbaren Fahrzeugrädern besteht, oder ESP-(Elektronisches Stabilität Programm)-Systeme, bei welchen im fahrdynamischen Grenzbereich das Fahrverhalten des Fahrzeugs angepasst wird. Um die Ausfallsicherheit solcher „Drive-by-Wire"-Systeme zu erhöhen, werden diese Systeme redundant ausgelegt, so dass bei Ausfall beispielsweise eines Steuergerätes auf ein redundant ausgelegtes Steuergerät umgeschaltet werden kann. Ein redundant ausgelegtes System ist ein System, in welchem ein Bauteil mehrfach vorhanden ist und auf diesen mehrfach vorhandenen Bauteilen dieselbe Funktion ausgeführt wird. Dies bedeutet insbesondere, dass von den Bauteilen dieselben Eingabedaten verarbeitet und dieselben Ausgabedaten erzeugt werden. Bekannte redundante Anordnungen sind das TMR-(Triple Modular Redundancy)-System und das Duo-Duplex-System. Beim TRM-System werden drei redundante Bauteile derart gekoppelt, dass ein fehlerhaftes Bauteil erkannt werden kann und seine Auswirkungen auf die Umgebung beispielsweise durch einen Datenbustrennschalter unterbunden werden kann. Beim Duo-Duplex-System werden jeweils zwei redundante Bauteile zu einem Kanal zusammengefasst, wobei innerhalb eines Kanals das Fehlverhalten eines Bauteils erkannt werden kann, und der korrespondierende Kanal beispielsweise durch einen Datenbustrennschalter abgeschaltet werden kann.
  • In der DE 102 43 713 A1 wird eine redundante Steuergeräteanordnung mit mehreren über einen ersten Datenbus vernetzten Steuergeräten in einem Verkehrsmittel beschrieben, wobei bezüglich einer Steuerfunktion redundant ausgelegte Steuergeräte vorhanden sind und den redundant ausgelegten Steuergeräten jeweils ein Datenbustrennschalter zugeordnet ist, welcher den Datenbus abhängig von einem Bewertungssignal durchschaltet oder unterbricht. Zur Optimierung der redundanten Anordnung ist jeder dieser Datenbustrennschalter mit einer Signalleitung mindestens eines weiteren redundanten Steuergerätes verbunden. Ein weiteres redundantes Steuergerät überträgt ein Bewertungssignal an den einem ersten redundanten Steuergerät zugeordneten Datenbustrennschalter, wobei das Bewertungssignal das Ergebnis einer Funktionsüberprüfung des weiteren, redundanten Steuergerätes bezüglich des ersten redundanten Steuergerätes ist. Der Datenbustrennschalter des ersten redundanten Steuergeräts unterbricht in Abhängigkeit des Ergebnisses einer Logikschaltung den Datenbus, wobei mindestens ein Eingangssignal der Logikschaltung von dem mindestens einen Bewertungssignal gebildet wird.
    •
  • Aufgabe der Erfindung ist es, einen Datenbustrennschalter zur Verfügung zu stellen, welcher Kommunikationsleitungen auf Anforderung trennt und/oder verbindet und bei einem Ausfall einen sicheren Zustand „Kommunikationsleitungen getrennt" einnimmt, und eine zugehörige Steuergeräteanordnung anzugeben.
  • Die Erfindung löst diese Aufgabe durch Bereitstellung eines Datenbustrennschalters mit den Merkmalen des Patentanspruchs 1 und durch eine Steuergeräteanordnung mit den Merkmalen des Patentanspruchs 9.
  • Vorteilhafte Ausführungsformen und Weiterbildungen der Erfindung sind in den abhängigen Ansprüchen angegeben.
  • Erfindungsgemäß umfasst ein Datenbustrennschalter eine schaltbare elektrische Verbindung mit mindestens zwei Signalpfaden, welche unabhängig voneinander während eines Trennmodus eine Trennung von allen angeschlossenen Kommunikationsleitungen der elektrischen Verbindung vornehmen und während eines Verbindungsmodus eine Verbindung von allen angeschlossenen Kommunikationsleitungen der elektrischen Verbindung vornehmen, wobei jeder der mindestens zwei Signalpfade mindestens zwei in Reihe geschaltete Trenneinheiten umfasst, und wobei die ordnungsgemäße Funktion des Datenbustrennschalters während des Trennmodus und/oder des Verbindungsmodus überprüfbar ist.
  • Durch die Ausführung der elektrischen Verbindung in Form von mindestens zwei Signalpfaden, welche unabhängig voneinander eine Verbindung der Kommunikationsleitungen vornehmen können, wodurch beispielsweise eine Verbindung zwischen Steuergeräten eines Kanals und deren Umgebung hergestellt werden kann, besteht in vorteilhafter Weise im Verbindungsmodus die Möglichkeit, über den ersten Signalpfad die Verbindung und damit die Kommunikation aufrecht zu erhalten, während Komponenten des zweiten Signalpfads überprüft werden. Nach der Überprüfung des zweiten Signalpfades übernimmt dieser die Kommunikation und die Komponenten des ersten Signalpfades können überprüft werden. Während des Verbindungsmodus des Datenbustrennschalters werden diese Überprüfungen der Signalpfade abwechselnd durchgeführt.
  • Durch die Verwendung von mindestens zwei Trenneinheiten für jeden der Signalpfade, können die einzelnen Komponenten der Signalpfade in vorteilhafter Weise auch während eines Trennmodus überprüft werden. So können beispielsweise im Trennmodus des Datenbusverbindungsschalters die Trenneinheiten der Signalpfade nacheinander angesteuert werden, um ihre Verbindungsfähigkeit zu überprüfen, ohne eine niederohmige Verbindung zwischen dem Eingang und dem Ausgang des Datenbusverbindungsschalters herzustellen. Somit kann der erfindungsgemäße Datenbustrennschalter in vorteilhafter Weise seine Trennfähigkeit und seine Verbindungsfähigkeit im Verbindungsmodus und im Trennmodus überprüfen, ohne die Funktionalität des Datenbustrennschalters im Verbindungsmodus oder im Trennmodus zu beeinträchtigen.
  • In Ausgestaltung umfasst der erfindungsgemäße Datenbustrennschalter für die Trenneinheiten jeweils eine Vergleichseinheit, welche Zustände auf Eingabeleitungen einer jeden Trenneinheit mit Zuständen auf zugehörigen Ausgabeleitungen der Tenneinheit miteinander vergleicht, wobei die Zustände vorzugsweise durch Spannungsniveaus auf den entsprechenden Eingabe- oder Ausgabeleitungen repräsentiert werden, wobei die Vergleichseinheit für jedes Eingabe-/Ausgabeleitungspaar bei einer Übereinstimmung der Zustände ein erstes Signal ausgibt, und für jedes Eingabe-/Ausgabeleitungspaar bei unterschiedlichen Zuständen ein zweites Signal ausgibt.
  • In weiterer Ausgestaltung umfasst der erfindungsgemäße Datenbustrennschalter zwischen den zwei in Reihe geschalteten Trenneinheiten eines der Signalpfade einen Floating-Kompensator, welcher ein Spannungspotentials auf den Kommunikationsleitungen auf Massepotential zieht, wenn beide Trenneinheiten eines Signalpfades im Trennzustand sind. Dadurch befinden sich die Kommunikationsleitungen zwischen den Trenneinheiten auf einem definierten elektrischen Potential, wenn die beiden Trenneinheiten im Trennzustand sind, wodurch in vorteilhafter Weise der Vergleich der Potentiale auf den Eingabeleitungen und den Ausgabeleitungen der Trenneinheiten erleichtert wird. Der Floating-Kompensator kann beispielsweise durch Widerstände realisiert werden, die jede Kommunikationsleitung mit der Masse des Datenbustrennschalters verbinden. Die Dimensionierung der Widerstände erfolgt beispielsweise in Abhängigkeit von den Datenbusspezifikationen bezüglich des Innenwiderstandes und des differentiellen Widerstandes eines Datenbusknotens.
  • In weiterer Ausgestaltung des Datenbustrennschalters sind zwei Mikrocontroller vorhanden, welche die Ausgabesignale der Vergleichseinheiten und Steuersignale empfangen und die Trenneinheiten in Reaktion auf die empfangenen Signale trennend oder verbindend ansteuern, wobei sich die Mikrocontroller gegenseitig überwachen und wobei jede Trenneinheit über jeweils eine Steuerleitung mit jedem der beiden Mikrocontroller verbunden ist.
  • Die Mikrocontroller überwachen beispielsweise das Kommunikationsprotokoll und versetzen bei einer Verletzung des Kommunikationsprotokolls und/oder bei einem Trennungswunsch die Trenneinheiten in den Trennzustand.
  • Zur Funktionsüberprüfung des Datenbustrennschalters steuern die Mikrocontroller die Trenneinheiten während des Verbindungsmodus oder während des Trennmodus mit einem vorgegebenen Algorithmus an, empfangen die Ausgabesignale der zugehörigen Vergleichseinheiten und werten die empfangenen Signale aus.
  • Zur Funktionsüberprüfung des Datenbustrennschalters während des Verbindungsmodus versetzen die Mikrocontroller ausgehend von einem Zustand, in welchem beide Signalpfade in einem Verbindungszustand sind, beispielsweise einen ersten der Signalpfade in den Trennmodus, um die Trennfähigkeit der beiden Trenneinheiten des ersten Signalpfades zu testen und versetzten anschließend den ersten Signalpfad wieder in den Verbindungsmodus und den zweiten Signalpfad in den Trennmodus, um die Trennfähigkeit der beiden Trenneinheiten des zweiten Signalpfades zu testen.
  • Zur Funktionsüberprüfung des Datenbustrennschalters während des Trennmodus versetzen die Mikrocontroller ausgehend von einem Zustand, in welchem beide Signalpfade in einem Trennzustand sind, eine der Trenneinheiten in den Verbindungsmodus und werten die Ausgabesignale der zugehörigen Vergleichseinheit aus und versetzen anschließend die Trenneinheit wieder in den Trennzustand zurück. Dieser Vorgang wird für die anderen Trenneinheiten wiederholt.
  • Eine erfindungsgemäße Steuergeräteanordnung mit mindestens vier unabhängigen Verarbeitungseinheiten, von welchen jeweils zwei Verarbeitungseinheiten zu einem Kanal zusammengefasst sind, umfasst für jeden Kanal mindestens einen erfindungsgemäßen Datenbustrennschalter, welcher in einem Trennmodus die zugehörigen Verarbeitungseinheiten von angeschlossenen Kommunikationsleitungen trennt und in einem Verbindungsmodus die zugehörigen Verarbeitungseinheiten mit den angeschlossenen Kommunikationsleitungen verbindet.
  • In Ausgestaltung der erfindungsgemäßen Steuergeräteanordnung sind zur Erhöhung der Verfügbarkeit der Kommunikationstrennung mehrere Datenbustrennschalter innerhalb eines jeden Kanals parallel geschaltet.
    •
  • Vorteilhafte Ausführungsformen der Erfindung sind in den Zeichnungen dargestellt und werden nachfolgend beschrieben.
  • Dabei zeigen:
  • 1 ein schematisches Blockdiagramm einer Steuergeräteanordnung,
  • 2 ein Blockdiagramm eines Datenbustrennschalters,
  • 3 ein Piktogramm zur Darstellung verschiedener Zustände des Datenbustrennschalters aus 2,
  • 4 eine schematische Darstellung von Ausgabesignalen von Vergleichseinheiten des Datenbustrennschalters aus 2,
  • 5 ein Flussdiagramm der Funktionsüberprüfung des Datenbustrennschalters aus 2 im Verbindungsmodus,
  • 6 ein Flussdiagramm der Funktionsüberprüfung des Datenbustrennschalters aus 2 im Trennmodus, und
  • 7 eine schematische Darstellung einer Parallelanordnung mehrere Datenbustrennschalter aus 2.
  • 1 zeigt ein Ausführungsbeispiel einer erfindungsgemäßen Steuergeräteanordnung 100, welche als softwarebasiertes Duo-Duplex-System für eine „Drive-by-Wire"-Anwendung ausgeführt ist. Wie aus 1 ersichtlich ist, umfasst die dargestellte Steuergeräteanordnung 100 vier unabhängige Verarbeitungseinheiten (Electronic Control Units) ECU 1 bis ECU 4, von welchen jeweils zwei Verarbeitungseinheiten ECU 1, ECU 2, bzw. ECU 3, ECU 4 einen Duplex-Kanal Kanal 1, Kanal 2 bilden. Alle Verarbeitungseinheiten ECU 1 bis ECU 4 berechnen fortlaufend Ausgangsergebnisse, deren Übereinstimmung mit dem Kanalnachbar in einer Vergleichkomponente geprüft wird. Tritt nun in dem ersten Kanal 1 eine Abweichung auf, so schaltet die Vergleichskomponente den Ausgang des Gesamtsystems auf den zweiten Kanal 2 um. Tritt zusätzlich ein Fehler im nun aktivierten Duplex-Kanal Kanal 2 auf, dann wird auch dieser Kanal 2 vom Systemausgang getrennt. Bei Vergleichskomponenten, die keine Toleranz in den Ausgangsgrößen der Verarbeitungseinheiten ECU 1 bis ECU 4 zulassen, kann von einer hundertprozentigen Aufdeckung von Einfachfehlern innerhalb eines Kanals ausgegangen werden. Da alle Verarbeitungseinheiten ECU 1 bis ECU 4 über Datenbustrennschalter 10, 20 direkt an das Kommunikationsmedium angeschlossen sind, versendet nur eine der Verarbeitungseinheiten ECU 1, ECU 2 des aktiven Duplex-Kanals Kanal 1 Verarbeitungsergebnisse. Tritt ein Fehler im Gesamtsystem auf, dann verhält sich der ausgefallene Duplex-Kanal Kanal 1, bzw. Kanal 2 still und der nicht betroffene Duplex-Kanal übernimmt die Ansteuerung der Umgebung.
  • Im dargestellten Ausführungsbeispiel ist das Kommunikationsmedium als CAN-Bussystem ausgeführt, über welches die Verarbeitungseinheiten ECU 1 bis ECU 4 mit ihrer Umgebung kommunizieren. Das CAN-Bussystem ist ein serielles Broadcast System, bei welchem die Informationsübertragung in so genannten CAN-Frames erfolgt, welche neben der eigentlichen Nutzinformation eine CAN-ID enthalten, welche die Nachricht eindeutig bezeichnen. Zusätzlich bestimmt die CAN-ID die Priorität des CAN-Frames. CAN Nachrichten mit hoher Priorität können solche mit niedriger Priorität verdrängen.
  • Um den Ausfall eines CAN-Busses tolerieren zu können, werden mindestens zwei Systeme CAN2, CAN3 zum Transport der Ein- und Ausgabedaten eingesetzt. Da dieses Bussystem über eine Vielzahl an Fehlerdetektionsmechanismen verfügt, wird der CAN-Bus als Fail-Silent-System betrachtet, welches keine aktiven Ausfälle zulässt. Aus Sicht der Verarbeitungseinheiten ECU 1 bis ECU 4 bestehen somit nur die Zustände „CAN-Bus verfügbar" bzw. „CAN-Bus nicht verfügbar".
  • Um den Anforderungen einer niedrigen Buslast in der Kommunikation mit anderen Verarbeitungseinheiten des Duo-Duplex Systems 100 nachzukommen, wird pro Duplex-Kanal Kanal 1, Kanal 2 ein weiterer CAN-Bus CAN1 für den internen Austausch der Verarbeitungsergebnisse eingesetzt. Dadurch verhält sich dieses System 100, bis auf wenige Ausnahmen, an seinen externen CAN-Schnittstellen wie eine einzelne nichtredundante Verarbeitungseinheit.
  • Das dargestellte Duo-Duplex System 100 basiert auf dem Prinzip, Fehler innerhalb eines Duplex-Kanals Kanal 1, Kanal 2 anhand von Abweichungen in den Ausgangsergebnissen der Verarbeitungseinheiten ECU 1 bis ECU 4 zu erkennen. Diese Erkennung ist in die einzelnen Verarbeitungseinheiten ECU 1 bis ECU 4 integriert. Um die Kommunikationsleitungen der einzelnen Duplex-Kanäle Kanal 1, Kanal 2 trennen zu können, umfasst jeder Duplex-Kanal Kanal 1, Kanal 2 einen Datenbustrennschalter 10, 20, dessen Aufgabe darin besteht, den Ausgang des Kanals CAN2, CAN3 von der Umgebung der Verarbeitungseinheiten abzutrennen.
  • Da der Datenbustrennschalter 10, 20 nicht von anderen Komponenten des zugehörigen Duplex-Kanals Kanal 1, Kanal 2 überwacht wird, überwacht sich der Datenbustrennschalter 10, 20 selbst und geht im Falle eines erkannten Fehlers einer seiner Komponenten in einen sicheren Zustand über. Der sichere Zustand entspricht dem Zustand „Kommunikationsverbindungen trennen".
  • 2 zeigt ein Blockdiagramm eines Ausführungsbeispiels eines erfindungsgemäßen Datenbustrennschalters. Stellvertretend für alle Datenbustrennschalter 10, 20, 30, 40 mit gleichem Aufbau, ist der Aufbau des Datenbustrennschalters 10 dargestellt. Wie aus 2 ersichtlich ist, umfasst der Datenbustrennschalter zwei Mikrocontroller, 5.1, 5.2, welche über entsprechende Steuerleitungen zwei Signalpfade Signalpfad 1 und Signalpfad 2 steuern, welche jeweils zwei Trenneinheiten 2.1, 2.2 oder 2.3, 2.4, jeweils zwei Vergleichseinheiten 3.1, 3.2 oder 3.3, 3.4 und jeweils einen Floating-Kompensator 4.1, 4.2 umfassen.
  • Die Aufgabe der Mikrocontroller 5.1, 5.2 besteht in der Auswertung der digitalen Signale der Verarbeitungseinheiten ECU 1 bis ECU 4, wobei die Mikrocontroller 5.1, 5.2 die Einhaltung des Kommunikationsprotokolls der Verarbeitungseinheiten ECU 1 bis ECU 4 überwachen. Erkennen die Mikrocontroller 5.1, 5.2 einen Trennungswunsch oder eine Verletzung des Kommunikationsprotokolls, dann wird die Kommunikation der Verarbeitungseinheiten ECU 1 bis ECU 4 durch die Trenneinheiten 2.1 bis 2.4 abgetrennt. Zusätzlich überwachen sich die beiden Mikrocontroller 5.1, 5.2 gegenseitig.
  • Die Trenneinheiten 2.1 bis 2.4 verfügen jeweils über zwei Steuereingänge μC1, μC2, welche von den beiden Mikrocontrollern 5.1, 5.2 zur Ansteuerung verwendet werden. Zeigen beide Eingänge an, dass die zugehörige Trenneinheit 2.1 bis 2.4 die Kommunikation zulassen soll, dann verbindet die zugehörige Trenneinheit 2.1 bis 2.4 die Kommunikationsleitungen niederohmig. In allen anderen Fällen, auch im spannungslosen Zustand, trennen die Trenneinheiten 2.1 bis 2.4 die Kommunikationsleitungen. Im Folgenden werden die oben dargestellten Anschlüsse des Datenbustrennschalters als Eingang und die unteren als Ausgang bezeichnet. Dadurch wird zwar die Arbeitsweise dieser Bauteile nicht ganz genau wiedergegeben, da die Trenneinheiten 2.1 bis 2.4 bidirektional arbeiten. Allerdings erleichtert dies die Beschreibung der Funktionen des Datenbustrennschalters 10 erheblich.
  • Trennen beide Trenneinheiten 2.1, 2.2 bzw. 2.3, 2.4 eines Signalpfades Signalpfad 1, Signalpfad 2, dann ist das elektrische Potential zwischen den jeweiligen Trenneinheiten 2.1, 2.2 bzw. 2.3, 2.4 undefiniert. Dies erschwert den Vergleich der Potentiale am Eingang und Ausgang eines der Trenneinheiten 2.1 bis 2.4. Aus diesem Grund wird für jeden Signalpfad ein Floating-Kompensator 4.1, 4.2 eingesetzt, welcher das Spannungsniveau im getrennten Zustand auf den Massepegel des Datenbustrennschalters 10 zieht. Der Floating-Kompensator 4.1, 4.2 kann beispielsweise durch Widerstände realisiert werden, die jede Kommunikationsleitung mit der Masse des Datenbustrennschalters 10 verbinden. Die Dimensionierung der Widerstände erfolgt in Abhängigkeit der CAN-Spezifikation des Innenwiderstands und des differentiellen Widerstands eines CAN-Knotens.
  • Die Vergleichseinheiten 3.1 bis 3.4 überwachen die Differenz der Spannungsniveaus der Kommunikationsleitungen, beispielsweise von acht Datenleitungen, zwischen den Ein- und Ausgängen der Trenneinheiten 2.1 bis 2.4, wobei für jede der Trenneinheiten 2.1 bis 2.4 eine Vergleichseinheit 3.1 bis 3.4 vorhanden ist. Die Anzahl der Ausgänge einer der Trenneinheiten 3.1 bis 3.4 entspricht der Anzahl der zu vergleichenden Ein- und Ausgänge. Im dargestellten Ausführungsbeispiel umfassen die Vergleichseinheiten 3.1 bis 3.4 jeweils acht Ausgänge. Jeder dieser Ausgänge kann zwei Zustände anzeigen, wobei ein erster Zustand, z.B. „1", anzeigt, dass die Potentiale der korrespondierenden Kommunikationsleitung am Ein- und Ausgang der zugehörigen Trenneinheit übereinstimmen, und ein zweiter Zustand, z.B. „0", anzeigt, dass das Spannungsniveau der Kommunikationsleitung am Ein- und Ausgang der zugehörigen Trenneinheit verschieden ist.
  • Jeder der Signalpfade Signalpfad 1, Signalpfad 2 verbindet alle an den Datenbustrennschalter angeschlossenen CAN-Busse CAN 2, CAN 3 der Verarbeitungseinheiten ECU 1 bis ECU 4 mit der Umgebung. Solange mindestens einer der Signalpfade Signalpfad 1, Signalpfad 2 eine Verbindung herstellt, können beide Verarbeitungseinheiten ECU 1, ECU 2 bzw. ECU 3, ECU 4 mit der Umgebung kommunizieren. Erst wenn beide Signalpfade Signalpfad 1, Signalpfad 2 trennen, kommt die Kommunikation zum Erliegen.
  • Durch die Ausführung mit zwei Signalpfaden Signalpfad 1, Signalpfad 2, welche unabhängig voneinander eine Verbindung zwischen den Verarbeitungseinheiten ECU 1, ECU 2 bzw. ECU 3, ECU 4 eines Kanals und deren Umgebung herstellen können, kann auch im Verbindungsmodus des Datenbustrennschalters 10 eine Überprüfung der Trennfähigkeit der Trenneinheiten 2.1 bis 2.4 durchgeführt werden. Gehen die Trenneinheiten 2.1, 2.2 bzw. 2.3, 2.4 eines Signalpfades Signalpfad 1, Signalpfad 2 in den Trennmodus über, dann kann die Kommunikation über den anderen Signalpfad weiter geführt werden, solange dieser Signalpfad die Verbindung ermöglicht. Zur Überprüfung seiner Trennfähigkeit wird beispielsweise der erste Signalpfad Signalpfad 1 in den Trennmodus versetzt. Im Anschluss geht er wieder in den Verbindungszustand über und der zweite Signalpfad Signalpfad 2 wird überprüft. Während des Verbindungsmodus werden diese Überprüfungen abwechselnd durchgeführt. Bevor nun im Detail auf den Ablauf dieser Überprüfungen eingegangen wird, werden mögliche Fehlerfälle der einzelnen Komponenten des Datenbustrennschalters vorgestellt.
  • Ein möglicher Fehler ist, dass eine der Trenneinheiten 2.1 bis 2.4 dauerhaft im Verbindungsmodus verharrt. Dies bedeutet, dass unabhängig von den Vorgaben der Mikrocontroller 5.1, 5.2 die fehlerhafte Trenneinheit ihre Ein- und Ausgänge niederohmig verbindet. Ebenso ist der entgegengesetzte Fall denkbar, d.h. eine der Trenneinheiten 2.1 bis 2.4 trennt dauerhaft. Diese Fehlerfälle können auch beschränkt auf einzelne Leitungen der Trenneinheit eintreten.
  • Neben diesen funktionalen Fehlern sind auch Bauteilefehler denkbar. So können die Datenleitungen mit dem Masseanschluss einer der Trenneinheiten 2.1 bis 2.4 kurzgeschlossen sein. Ebenso ist eine Verbindung zwischen den Kommunikationsleitungen und der Versorgungsspannung möglich. Diese Fehlerfälle können durch die Wahl der verwendeten Bauteile abgefangen werden, welche gewährleistet, dass diese Kurzschlüsse nicht durch den normalen Alterungsprozess der Bauteile eintreten können. Zusätzlich ist das System so ausgeführt, dass externe Einflüsse, wie beispielsweise Überspannung, zu einer hochohmigen Trennung der Kommunikationsleitungen führen. Von der weiteren Betrachtung sind diese Fehlerfälle ausgeschlossen.
  • Die funktionalen Fehlerfälle der Vergleichseinheiten 3.1 bis 3.4 bestehen darin, dass die Potentialüberprüfung der Ein- und Ausgänge der zugehörigen Trenneinheit 2.1 bis 2.4 nicht richtig wiedergegeben wird. Daraus ergeben sich zwei Fehlermöglichkeiten. Bei einem ersten Fehler stimmen die Potentiale der Ein- und Ausgänge der zugehörigen Trenneinheit überein, es wird aber eine Abweichung angezeigt. Bei einem zweiten Fehler kann dauerhaft eine nicht vorhandene Übereinstimmung der Datenleitungen signalisiert werden. Auch diese Fehlerfälle können für jeden Ausgang der jeweiligen Vergleichseinheit 3.1 bis 3.4 einzeln auftreten.
  • Jeder der Mikrocontroller 5.1, 5.2 verfügt über vier digitale Ausgänge, welche für die Ansteuerung der Trenneinheiten 2.1 bis 2.4 eingesetzt werden. An diesen Ausgängen muss jeder beliebige Fehler aufgedeckt werden, der auf eine Abweichung von dem nachfolgend beschriebenen Diagnoseablauf hinweist.
  • Die Floating-Kompensatoren 4.1, 4.2 bestehen aus einem Widerstand pro Kommunikationsleitung. Fehler von Bauteilen dieser Art werden hier nicht behandelt.
  • Bei der Aufdeckung latenter Fehler in den Trenneinheiten 2.1 bis 2.4 sowie den Vergleichseinheiten 3.1 bis 3.4 werden die beiden Betriebsarten „Verbindungsmodus" und „Trennmodus" unterschieden. Zunächst wird die Fehlerüberwachung der Trenneinheiten 2.1 bis 2.4 sowie der Vergleichseinheiten 3.1 bis 3.4 im Verbindungsmodus des Datenbustrennschalters 10 betrachtet. Zu diesem Zweck steuern die Mikrocontroller 5.1, 5.2 die Trenneinheiten 2.1 bis 2.4 nach einem definierten Algorithmus an.
  • 5 zeigt ein Flussdiagramm der Fehlerüberwachung im Verbindungsmodus. Dort sind neben den Anweisungsblöcken Piktogramme abgebildet, welche den aktuellen fehlerfreien Zustand der Trenneinheiten 2.1 bis 2.4 des Datenbustrennschalters 10 anzeigen. 3 zeigt ein solches Piktogramm zur Darstellung der verschiedenen Zustände des Datenbustrennschalters 10. Schwarz dargestellte Trenneinheiten 2.3, 2.4 lassen eine Kommunikation zu, d.h. die Ein- und Ausgänge der jeweiligen Trenneinheit sind niederohmig miteinander verbunden. Weiß dargestellte Trenneinheiten 2.1, 2.2 lassen keine Kommunikation zu, d.h. die Ein- und Ausgänge der jeweiligen Trenneinheit sind getrennt. Das Spannungsniveau von schwarz dargestellten Kommunikationsleitungen wird durch die Datenkommunikation bestimmt. Weiß dargestellte Kommunikationsleitungen weisen das Massepotential des Datenbustrennschalters 10 auf.
  • Um die Beschreibung der Fehlerüberwachung weiter zu erleichtern, beschränken sich die folgenden Ausführungen auf eine Kommunikationsleitung pro Trenneinheit 2.1 bis 2.4 und ebenso auf einen Ausgang pro Vergleichseinheit 3.1 bis 3.4. Es ist leicht einzusehen, dass die Überwachung für die übrigen Kommunikationsleitungen identisch ausgeführt werden kann. Daher kommt anstatt einer Signatur bestehend aus 32 Ausgangswerten aller Vergleichseinheiten 3.1 bis 3.4 eine auf vier Ziffern reduzierte Version zum Einsatz, die jeweils nur das Vergleichsergebnis der ersten Kommunikationsleitung darstellt. Die Reduzierung der Signatur ist in 4 dargestellt Die Ziffern können zwei Werte annehmen, wobei der Wert "0" für eine Abweichung des Eingangs vom korrespondierenden Ausgang einer Trenneinheit steht und der Wert "1" für eine Übereinstimmung der Potentiale am Eingang und am Ausgang der Trenneinheit steht.
  • Wie aus 5 ersichtlich ist, beginnt die Überprüfung im Schritt 100 damit, dass alle Trenneinheiten 2.1 bis 2.4 durchgeschaltet sind. Im Schritt 200 wird zuerst die Trenneinheit 2.1 getrennt. Im entsprechenden Piktogramm in 5 ist deutlich zu erkennen, dass das elektrische Potential der Ein- und Ausgänge aller Trenneinheiten 2.1 bis 2.4 durch die Datenkommunikation bestimmt wird. Daher ist es nicht möglich die Trennung der ersten Trenneinheit 2.1 anhand einer Potenzialdifferenz zu erkennen. Dieser Umstand wird durch den zweiten Signalpfad im Verbindungsmodus hervorgerufen, welcher die Datensignale über die verbundene zweite Trenneinheit 2.2 an den Ausgang der ersten Trenneinheit 2.1 führt.
  • Obwohl die Trennung der ersten Trenneinheit 2.1 im aktuellen Fall keine Auswirkung auf das Verhalten der Vergleichseinheiten 3.1 bis 3.4 hat, können doch einige Fehlerfälle anhand der Signatur aufgedeckt werden. Trennt die zweite Trenneinheit 2.2 beispielsweise dauerhaft, so tritt die Situation ein, welche eigentlich erst im Schritt 400 in 5 dargestellt ist. In diesem Fall zeigen beide Vergleichseinheiten 3.1, 3.2 des ersten Signalpfads Signalpfad 1 eine Abweichung der Zustände am Ein- und Ausgang der Trenneinheiten 2.1 und 2.2 an. Die Signatur lautet dann 0011. Da sie vom Nominalfall 1111 abweicht, stellt diese Signatur eine Realisierung des Fehlers A dar, welcher eine dauerhaft getrennte zweite Trenneinheit 2.2 repräsentiert.
  • Zusätzlich zu dem Ausfall der zweiten Trenneinheit 2.2 können Fehler in den Vergleichseinheiten 3.1 bis 3.4 aufgedeckt werden. Signaturen, die jeweils den Wert "0" enthalten, weisen auf die dauerhafte Anzeige einer Abweichung der entsprechenden Vergleichseinheit 3.1 bis 3.4 hin. Somit ist dieser Fehlerfall für alle Vergleichseinheiten 3.1 bis 3.4 bereits im Schritt 300 des Flussdiagramms detektierbar. In den Tabelle 1 und 2 sind die abgedeckten Fehlerfälle der Trenneinheiten 2.1 bis 2.4 sowie der Vergleichseinheiten 3.1 bis 3.4 eingetragen. Für die Kombination "Trenneinheit 2.2 – dauerhaft getrennt" wird der Fehler A aufgeführt. Ebenso bei den Fehlern "dauerhafte Abweichung" für die Vergleichseinheiten 3.1 bis 3.4.
  • Tabelle 1
    Figure 00170001
  • Tabelle 2
    Figure 00180001
  • Bleibt Fehler A aus, so wird im nächsten Schritt 400 zusätzlich die Trenneinheit 2.2 getrennt. Nun tritt dieselbe Situation wie im Nominalfall auf, welche gerade als Fehlerfall von Trenneinheit 2.2 beschrieben wurde. Die Signatur für den fehlerfreien Fall lautet im Schritt 500 0011. Wird diese Signatur nicht angezeigt, dann ist Fehler B aufgetreten. Fehler B führt zur Signatur 1111, falls eine der Trenneinheiten 2.1 oder 2.2 dauerhaft verbindet. Zeigen die Vergleichseinheiten 1011 oder 0111 an, weist dies auf den Fehlerfall "dauerhafte Übereinstimmung" der Vergleichseinheiten 3.1 oder 3.2 hin. Darüber hinaus kann die dauerhafte Anzeige einer Abweichung bei den Vergleichseinheiten 3.3 und 3.4 aufgedeckt werden.
  • Im nächsten Schritt 600 wird die erste Trenneinheit 2.1 wieder verbunden. Auch hier kann im fehlerfreien Fall keine Änderung der Ausgabesignale der Vergleichseinheiten 3.1 bis 3.4 beobachtet werden, obwohl eine der Trenneinheiten 2.2 die Kommunikation des ersten Signalpfads Signalpfad 1 unterbricht. Ähnlich wie unter Schritt 300 wird nun die dauerhafte Unterbrechung bei der Trenneinheit 2.1 aufgedeckt. Für diesen Fehlerfall C lautet die Signatur im Schritt 700 0011. Zusätzlich kann auch erneut der Fehler "dauerhafte Abweichung" für die Vergleichseinheiten 3.1 bis 3.4 nachgewiesen werden.
  • Im Schritt 800 wird auch die Trenneinheit 2.2 wieder verbunden. In dieser Konfiguration können keine neuen Fehlerfälle aufgedeckt werden. Trotzdem muss dieser Zustand vor der Überwachung des zweiten Signalpfads Signalpfad 2 eingenommen werden, um eine dauerhafte Kommunikation der Verarbeitungseinheiten ECU 1 bis ECU 4 sicherzustellen.
  • Der Schritt 1000 ähnelt den Schritten 200 und 600. Auch hier wird eine Trenneinheit 2.3 abgeschaltet. Dadurch wird erkannt, ob die vierte Trenneinheit 2.4 dauerhaft trennt. Ist dies nicht der Fall erfolgt in Schritt 1200 die vollständige Trennung des zweiten Signalpfads Signalpfad 2, wobei in Übereinstimmung mit Schritt 400 die Fehlerfälle "dauerhaft verbinden" der Trenneinheiten 3.3 und 3.4 erkannt werden können. Darüber hinaus ermöglicht diese Konfiguration die Überwachung der Vergleichseinheiten 3.3 und 3.4 hinsichtlich des Fehlerzustands "dauerhaft Übereinstimmung".
  • Im Schritt 1400 lässt die Trenneinheit 2.3 eine Kommunikation zu, wodurch getestet werden kann, ob die Trenneinheit 2.3 dauerhaft trennt, da in diesem Fall die Vergleichseinheiten 3.3 und 3.4 des zweiten Signalpfads Signalpfad 2 die Signatur 1100 anzeigen würden.
  • Ein Blick auf die Tabellen 1 und 2 zeigt, dass alle definierten Ausfallarten der Trenneinheiten 2.1 bis 2.4 sowie der Vergleichseinheiten 3.1 bis 3.4 aufgedeckt werden können. Sobald einer der Fehlerfälle A bis G auftritt, trennt der Datenbustrennschalter 10 die Kommunikation und geht somit in seinen sicheren Kommunikationszustand über. Diese Situation entspricht dem sicheren Zustand "Kommunikationstrennung".
  • Auch bei einem Datenbustrennschalter 10 im Trennmodus muss die Funktionsfähigkeit der einzelnen Komponenten des Datenbustrennschalters 10 bekannt sein. So kann beispielsweise zuerst die Vergleichseinheit 3.1 ausfallen und dauerhaft die Trennung der Trenneinheit 2.1 anzeigen. In gleicher Weise trifft es auch die Vergleichseinheit 3.2. Nun können beide Trenneinheiten 2.1, 2.2 des ersten Signalpfads Signalpfad 1 ausfallen, ohne dass dieser Fehler bemerkt würde. Das Ergebnis dieses Szenarios ist ein leitender Datenbustrennschalter 10, welcher eigentlich trennen sollte.
  • Dieser Fehlerfall kann wiederum durch eine wechselnde Aktivierung der verschiedenen Komponenten 2.1 bis 2.4 beider Signalpfade Signalpfad 1, Signalpfad 2 verhindert werden. Die Vorgehensweise wird wieder anhand der reduzierten Signaturen erläutert. 6 zeigt ein Flussdiagramm der Funktionsüberprüfung des Datenbustrennschalters 10 aus 2 im Trennmodus.
  • Bevor detailliert auf die Abfolge der Überprüfung eingegangen wird, sind zwei Randbedingungen zu nennen, die bei der Überwachung des Datenbustrennschalters 10 im Verbindungsmodus nicht auftreten. Der Datenbustrennschalter 10 trennt die physikalische Verbindung der Kommunikationsleitungen zwischen den Verarbeitungseinheiten ECU 1 bis ECU 4 und dem CAN-Bussystem der Umgebung des Duo-Duplex-Systems 100. Daher weicht die Datenkommunikation an den Verarbeitungseinheiten von der Datenkommunikation am CAN-Bussystem der Umgebung ab. Dies resultiert in verschiedenen Signalpegeln am Eingang der Trenneinheit 2.1 und am Ausgang der Trenneinheit 2.2. Gleiches gilt für den Signalpfad Signalpfad 2 mit der dritten und vierten Trenneinheit 2.3 und 2.4. Die zweite Randbedingung betrifft die Abfolge der Komponentenüberwachung. Bei verbundenem Datenbustrennschalter 10 darf bei der Überwachung im Fehlerfall eine Kommunikationstrennung auftreten. Sie ist die Folge eines Komponentenausfalls und wird im Anschluss auf die Fehleraufdeckung ohnehin als sicherer Zustand eingenommen. Bei einem trennenden Datenbustrennschalter 10 darf hingegen der Nominalzustand "Trennung" unter keinen Umständen verlassen werden. Daher wird vor jedem Übergang einer der Trenneinheit 2.1 bis 2.4 in den verbindenden Zustand, überprüft, ob ein Einfachfehler eine Verbindung zwischen dem CAN-Bussystem der Umgebung und den Verarbeitungseinheiten ECU 1 bis ECU 4 erzwingen kann, d.h. ob eine der Trenneinheiten 2.1 bis 2.4 den Fehler „dauerhaft verbunden" aufweist.
  • In 6 wird im Schritt 2000 der Überprüfungsvorgang im Trennmodus gestartet und im Schritt 2100 ein Zähler auf 0 gesetzt. Nun werden im Schritt 2200 alle Trenneinheiten 2.1 bis 2.4 getrennt, wobei das Potential zwischen den Trenneinheiten 2.1 und 2.2 des ersten Signalpfades Signalpfad 1 und zwischen den Trenneinheiten 2.3 und 2.4 des zweiten Signalpfades Signalpfad 2 durch die Floating-Kompensatoren 4.1 bzw. 4.2 das Massepotential des Datenbustrennschalters 10 annimmt. Dies wird durch das zugehörige Piktogramm dargestellt. Im Schritt 2300 wird überprüft, ob die Vergleichseinheiten 3.1 bis 3.4 die Signatur 0000 anzeigen. An dieser Stelle sollen zunächst die möglichen Auswirkungen eines Einfachfehlers beleuchtet werden. Tritt ein Einfachfehler in den Vergleichseinheiten 3.1 bis 3.4 auf, so werden die Trenneinheiten 2.1 bis 2.4 als intakt angesehen. Dies bedeutet, dass in jedem Signalpfad beide Trenneinheiten 2.1, 2.2 bzw. 2.3, 2.4 trennen. Ist hingegen eine Trenneinheit defekt, dann zeigt die zugehörige Vergleichseinheit den Ausfall korrekt an. Unter diesen Bedingungen kann bei einer trennenden Ansteuerung aller Trenneinheiten 2.1 bis 2.4 und bei einer angezeigten Signatur 0000 keine Gefahr bestehen, durch die Aktivierung des Verbindungsmodus einer Trenneinheit eine Verbindung zwischen den Verarbeitungseinheiten ECU 1 bis ECU 4 und deren Umgebung herzustellen. Dauerhafte Verbindungsfehler der Trenneinheiten 2.1 bis 2.4 sowie die Fehler dauerhaft angezeigte Übereinstimmung der Signalpegel können in diesem Zustand durch eine Abweichung der Signatur vom Wert 0000 aufgezeigt werden. Daher ist in Tabelle 3 und 4 für diese Ausfälle der Fehler 0 eingetragen.
  • Tabelle 3
    Figure 00220001
  • Tabelle 4
    Figure 00220002
  • Bei der Überwachung des Datenbustrennschalters 10 im Trennmodus wird vor jeder Aktivierung einer Trenneinheit 2.1 bis 2.4 eine vollständige Trennung herbeigeführt, um potentielle Ausfälle einer Trenneinheit 2.1 bis 2.4 zu überprüfen. Nach dieser Überprüfung im Schritt 2300 wird im Schritt 2400 der Zählerstand erhöht, um in Abhängigkeit vom Zählerstand eine der Trenneinheiten 2.1 bis 2.4 in den verbindenden Zustand zu setzen. Dadurch werden die Trenneinheiten 2.1 bis 2.4 reihum in Abhängigkeit des Zählerstandes in den verbindenden Zustand versetzt. So wird bei einem Zählerstand 1 im Schritt 2600 die erste Trenneinheit 2.1 in den verbindenden Zustand versetzt und im Schritt 2700 die Ausgabe der Verbindungseinheiten 3.1 bis 3.4 überprüft, wobei bei einer Abweichung von der Signatur 1000 ein Fehler 1 erkannt wird. Danach wird wieder zum Schritt 2200 verzweigt und alle Trenneinheiten 2.1 bis 2.4 werden wieder in den trennenden Zustand versetzt. Bei einem Zählerstand 2 wird im Schritt 2900 die zweite Trenneinheit 2.2 in den verbindenden Zustand versetzt und im Schritt 3000 wird die Ausgabe der Verbindungseinheiten 3.1 bis 3.4 überprüft, wobei bei einer Abweichung von der Signatur 0100 ein Fehler 2 erkannt wird. Danach wird wieder zum Schritt 2200 verzweigt und alle Trenneinheiten 2.1 bis 2.4 werden wieder in den trennenden Zustand versetzt. Bei einem Zählerstand 3 wird im Schritt 3200 die dritte Trenneinheit 2.3 in den verbindenden Zustand versetzt und im Schritt 3300 wird die Ausgabe der Verbindungseinheiten 3.1 bis 3.4 überprüft, wobei bei einer Abweichung von der Signatur 0010 ein Fehler 3 erkannt wird. Danach wird wieder zum Schritt 2200 verzweigt und alle Trenneinheiten 2.1 bis 2.4 werden wieder in den trennenden Zustand versetzt. Liegt keiner der Zählerstände 1 bis 3 vor, dann wird im Schritt 3400 die vierte Trenneinheit 2.4 in den verbindenden Zustand versetzt und im Schritt 3500 die Ausgabe der Verbindungseinheiten 3.1 bis 3.4 überprüft, wobei bei einer Abweichung von der Signatur 0001 ein Fehler 4 erkannt wird. Danach wird der Zähler wieder auf 0 zurückgesetzt und zum Schritt 2200 verzweigt, in welchem alle Trenneinheiten 2.1 bis 2.4 wieder in den trennenden Zustand versetzt werden. So können, wie aus den Tabellen 3 und 4 ersichtlich ist, die Fehler "dauerhaft getrennt" der Trenneinheiten 2.1 bis 2.4 sowie die fehlerhaft angezeigte "dauerhafte Abweichung" der Vergleichseinheiten 3.1 bis 3.4 nacheinander aufgedeckt werden.
  • Wie aus den bisherigen Ausführungen deutlich wird, können die in den Tabellen 1 bis 4 aufgeführten Fehlerfälle für die Trenneinheiten 2.1 bis 2.4 und die Vergleichseinheiten 3.1 bis 3.4 während des Betriebs des Datenbustrennschalters 10 aufgedeckt werden. Im Folgenden wird auf den Überwachungsmechanismus der Mikrocontroller 5.1, 5.2 eingegangen. Hierbei kann auf eine Unterscheidung zwischen dem Trenn- und Verbindungsmodus des Datenbustrennschalters 10 verzichtet werden.
  • Die Überwachung der Mikrocontroller 5.1, 5.2 des Datenbustrennschalters 10 ähnelt der Überwachung der Verarbeitungsgeräte ECU 1, ECU 2 bzw. ECU 3, ECU 4 in einem Duplex-Kanal Kanal 1, Kanal 2. Daher sollen zunächst die Unterschiede im Vergleich zur Überwachung der Steuergeräte aufgezeigt werden. Im Gegensatz zu den Verarbeitungseinheiten ECU 1, ECU 2 bzw. ECU 3, ECU 4 eines Duplex-Kanals Kanal 1, Kanal 2 haben beide Mikrocontroller 5.1, 5.2 Zugriff auf die Trenneinheiten 2.1 bis 2.4. Da der Datenbustrennschalter 10 auf die Funktion beider Mikrocontroller 5.1, 5.2 angewiesen ist, ist es sinnvoll lediglich eine Spannungsversorgung für beide Einheiten einzusetzen. Anders verhält es sich mit den Taktgebern. Um zu verhindern, dass ein Ausfall dieser Einheit beide Mikrocontroller 5.1, 5.2 gleichzeitig betrifft und somit das Konzept der gegenseitigen Überwachung unterminiert kommen zwei unabhängige Taktgeber zum Einsatz. Dies bringt den Nachteil mit sich, dass die Verarbeitung der Mikrocontroller 5.1, 5.2 nicht synchron erfolgt. Diesem Problem wird durch eine Master-Slave-Anordnung begegnet, die auf keine synchrone Verarbeitung angewiesen ist.
  • Im Fall des Datenbustrennschalters 10 übernimmt der erste Mikrocontroller 5.1 die Rolle des Masters, während der zweite Mikrocontroller 5.2 als Slave operiert. Diese Priorisierung äußert sich darin, dass der Mikrocontroller 5.1 in der Abarbeitung des Überwachungsprogramms jeweils die Ansteuerung der Trenneinheiten 2.1 bis 2.4 vorgibt (z.B. Verbindungszustand der ersten Trenneinheit 2.1). Durch die gegenseitige Überwachung der Mikrocontrollerausgänge erkennt der Slave diese Anforderung und überprüft, ob sie zum aktuellen Zustand der Überwachung des Datenbustrennschalters 10 passt. Ist dies der Fall, so steuert der zweite Mikrocontroller 5.2 die Trenneinheiten 2.1 bis 2.4 in derselben Art an. Verhält sich der Master hingegen fehlerhaft, erfolgt eine Abschaltung des gesamten Datenbustrennschalters 10. Der Master 5.1 überwacht ebenfalls die Reaktion des Slaves 5.2. So kann auch er ein Fehlverhalten seines Nachbarn erkennen und schaltet den gesamten Datenbustrennschalter 10 gegebenenfalls ab.
  • 7 zeigt eine schematische Darstellung einer Parallelanordnung mehrerer Datenbustrennschalter 10, 30, 40 aus 2. In den bisherigen Ausführungen wurde beschrieben, wie die einzelnen Bauteile des Datenbustrennschalters 10 auf korrekte Funktion hin überwacht werden. Dabei hat sich gezeigt, dass alle definierten Fehlerfälle der Bestandteile des Datenbustrennschalters 10 aufgedeckt werden können. Als Reaktion auf diese Ausfälle wird der sichere Zustand, die Abschaltung des Datenbustrennschalters 10 eingenommen, d.h. die Trennung der Kommunikation. Dabei entspricht ein abgeschalteter Datenbustrennschalter 10 einer Kommunikationstrennung der Verarbeitungseinheiten. Durch diese Fail-Safe-Eigenschaft eröffnet sich die Möglichkeit den Datenbustrennschalter 10 zu parallelisieren, ohne dass neue nicht behandelte Fehlerfälle entstehen. Dadurch kann die Ausfallwahrscheinlichkeit der Trennfunktion innerhalb eines Duplex-Kanals Kanal 1, Kanal 2 deutlich verringert werden, da sich die Gesamtausfallwahrscheinlichkeit, wie aus Gleichung (1) ersichtlich ist, Qges(t) = Qn BUSPWR(t) (1)als Produkt der Einzelausfallwahrscheinlichkeiten ergibt. Dabei ist QBUSPWR(t) die Ausfallwahrscheinlichkeit eines Datenbustrennschalters und n die Anzahl der parallel betriebenen Datenbustrennschalter. In einem solchen Fall werden die CAN-Busssysteme aller Verarbeitungseinheiten ECU 1 bis ECU 4 eines Duplex-Kanals Kanal 1, Kanal 2 durch jeden der parallelen Datenbustrennschalter 10, 30, 40 geführt. Die Ansteuerung der Datenbustrennschalter 10, 30, 40 erfolgt weiterhin über digitale Signale, welche allen parallelen Einheiten zugeführt werden.
  • Für eine erfolgreiche Parallelisierung erfolgt die Verknüpfung mehrerer Datenbustrennschalter 10, 30, 40 ohne die Einführung ausfallträchtiger Bauteile, wie z.B. Steckverbindungen. Optimalerweise werden die unabhängigen Datenbustrennschalter 10, 30, 40 auf einer Platine integriert. Anderenfalls gilt die Beziehung in Gleichung (1) nicht uneingeschränkt. Zudem wird die Verbindung so ausgeführt, dass der Ausfall einer der Datenbustrennschalter 10, 30, 40 bei Wartungsarbeiten erkannt wird.
  • Der erfindungsgemäße Datenbustrennschalter ermöglicht es, latente Fehler in seinen funktionalen Komponenten aufzudecken. So kann der Datenbustrennschalter im Fehlerfall in den sicheren Zustand überführt werden. Dies eröffnet die Möglichkeit, durch eine Parallelisierung des Datenbustrennschalters die Verfügbarkeit der Kommunikationstrennung innerhalb des Duplex-Kanals deutlich zu erhöhen.

Claims (10)

  1. Datenbustrennschalter mit einer schaltbaren elektrischen Verbindung, welcher zum Trennen von angeschlossenen Kommunikationsleitungen in einem Trennmodus und zum Verbinden der angeschlossenen Kommunikationsleitungen in einem Verbindungsmodus betreibbar ist, dadurch gekennzeichnet, dass die schaltbare elektrische Verbindung mindestens zwei Signalpfade (Signalpfad 1, Signalpfad 2) umfasst, welche unabhängig voneinander eine Verbindung und/oder eine Trennung von allen angeschlossenen Kommunikationsleitungen der elektrischen Verbindung vornehmen, wobei jeder der mindestens zwei Signalpfade (Signalpfad 1, Signalpfad 2) mindestens zwei in Reihe geschaltete Trenneinheiten (2.1, 2.2 oder 2.3, 2.4) umfasst, und wobei die ordnungsgemäße Funktion des Datenbustrennschalters (10, 20) während des Trennmodus und/oder des Verbindungsmodus überprüfbar ist.
  2. Datenbustrennschalter nach Anspruch 1, dadurch gekennzeichnet, dass jeweils eine Vergleichseinheit (3.1, bis 3.4) Zustände auf Eingabeleitungen einer jeden Trenneinheit (2.1 bis 2.4) mit Zuständen auf zugehörigen Ausgabeleitungen der Tenneinheit (2.1 bis 2.4) miteinander vergleicht, vorzugsweise durch einen Vergleich von Spannungsniveaus auf dem entsprechenden Eingabe-/Ausgabeleitungspaar, wobei die Vergleichseinheit (3.1 bis 3.4) für jedes Eingabe-/Ausgabeleitungspaar bei einer Übereinstimmung der Zustände ein erstes Signal und bei unterschiedlichen Zuständen ein zweites Signal ausgibt.
  3. Datenbustrennschalter nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass zwischen den zwei in Reihe geschalteten Trenneinheiten (2.1, 2.2 oder 2.3, 2.4) eines Signalpfads (Signalpfad 1, Signalpfad 2) ein Floating-Kompensator (4.1, 4.2) angeordnet ist, welcher ein Spannungspotential auf den Kommunikationsleitungen auf ein definiertes Potential (Masse, Ubat) zieht, wenn beide Trenneinheiten (2.1, 2.2 oder 2.3, 2.4) des zugehörigen Signalpfads (Signalpfad 1, Signalpfad 2) im Trennzustand sind.
  4. Datenbustrennschalter nach einem der Ansprüche 1 bis 3, gekennzeichnet durch, zwei Logikschaltungen (5.1, 5.2), welche die Ausgabesignale der Vergleichseinheiten (3.1 bis 3.4) und Steuersignale empfangen und die Trenneinheiten (2.1 bis 2.4) in Reaktion auf die empfangenen Signale trennend oder verbindend ansteuern, wobei sich die Mikrocontroller (5.1, 5.2) gegenseitig überwachen und wobei jede Trenneinheit (2.1 bis 2.4) über jeweils eine Steuerleitung (μC1, μC2) mit jedem der beiden Mikrocontrollern (5.1, 5.2) verbunden ist.
  5. Datenbustrennschalter nach Anspruch 4, dadurch gekennzeichnet, dass die Mikrocontroller (5.1, 5.2) das Kommunikationsprotokoll überwachen und bei einer Verletzung des Kommunikationsprotokoll und/oder bei einem Trennungswunsch die Trenneinheiten (2.1 bis 2.4) in den Trennzustand versetzen.
  6. Datenbustrennschalter nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass zur Funktionsüberprüfung des Datenbustrennschalters (10, 20) die Mikrocontroller (5.1, 5.2) die Trenneinheiten (2.1 bis 2.4) während des Verbindungsmodus oder während des Trennmodus mit einem vorgegebenen Algorithmus ansteuern und die Ausgabesignale der zugehörigen Vergleichseinheiten (3.1 bis 3.4) empfangen und auswerten.
  7. Datenbustrennschalter nach Anspruch 6, dadurch gekennzeichnet, dass die Mikrocontroller (5.1, 5.2) zur Funktionsüberprüfung des Datenbustrennschalters (10, 20, 30, 40) während des Verbindungsmodus ausgehend von einem Zustand, in welchem beide Signalpfade (Signalpfad 1, Signalpfad 2) in einem Verbindungszustand sind, einen ersten der Signalpfade (Signalpfad 1) in den Trennmodus versetzen, um die Trennfähigkeit der beiden Trenneinheiten (2.1, 2.2) des ersten Signalpfades (Signalpfad 1) zu testen und anschließend den ersten Signalpfad (Signalpfad 1) wieder in den Verbindungsmodus versetzen und den zweiten Signalpfad (Signalpfad 1) in den Trennmodus versetzen, um die Trennfähigkeit der beiden Trenneinheiten (2.3, 2.4) des zweiten Signalpfades (Signalpfad 2) zu überprüfen.
  8. Datenbustrennschalter nach Anspruch 6 oder 7, dadurch gekennzeichnet, dass die Mikrocontroller (5.1, 5.2) zur Funktionsüberprüfung des Datenbustrennschalters (10, 20, 30, 40) während des Trennmodus ausgehend von einem Zustand, in welchem beide Signalpfade (Signalpfad 1, Signalpfad 2) in einem Trennzustand sind, eine der Trenneinheiten (2.1) in den Verbindungsmodus versetzen und die Ausgabesignale der zugehörigen Vergleichseinheit (3.1) auswerten und anschließend die Trenneinheit (2.1) wieder in den Trennzustand versetzen, wobei der Vorgang für die anderen Trenneinheiten (2.2, 2.3, 2.4) wiederholt wird.
  9. Steuergeräteanordnung mit mindestens vier Verarbeitungseinheiten (ECU 1 bis ECU 4), von welchen jeweils zwei Verarbeitungseinheiten (ECU 1, ECU 2 oder ECU 3, ECU 4) zu einem Kanal (Kanal 1, Kanal 2) zusammengefasst sind, dadurch gekennzeichnet, dass für jeden Kanal (Kanal 1, Kanal 2) mindestens ein Datenbustrennschalter (10, 20) nach einem der Ansprüche 1 bis 8 vorhanden ist, welcher in einem Trennmodus die zugehörigen Verarbeitungseinheiten (ECU 1, ECU 2, oder ECU 3, ECU 4) von angeschlossenen Kommunikationsleitungen trennt und in einem Verbindungsmodus die zugehörigen Verarbeitungseinheiten (ECU 1, ECU 2, oder ECU 3, ECU 4) mit den angeschlossenen Kommunikationsleitungen verbindet.
  10. Steuergeräteanordnung nach Anspruch 9, dadurch gekennzeichnet, dass zur Erhöhung der Verfügbarkeit der Kommunikationstrennung mehrere Datenbustrennschalter (10, 30, 40) innerhalb eines jeden Kanals (Kanal 1, Kanal 2) parallel geschaltet sind.
DE200510001421 2005-01-12 2005-01-12 Datenbustrennschalter und zugehörige Steuergeräteanordnung Withdrawn DE102005001421A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE200510001421 DE102005001421A1 (de) 2005-01-12 2005-01-12 Datenbustrennschalter und zugehörige Steuergeräteanordnung

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE200510001421 DE102005001421A1 (de) 2005-01-12 2005-01-12 Datenbustrennschalter und zugehörige Steuergeräteanordnung

Publications (1)

Publication Number Publication Date
DE102005001421A1 true DE102005001421A1 (de) 2006-07-20

Family

ID=36643022

Family Applications (1)

Application Number Title Priority Date Filing Date
DE200510001421 Withdrawn DE102005001421A1 (de) 2005-01-12 2005-01-12 Datenbustrennschalter und zugehörige Steuergeräteanordnung

Country Status (1)

Country Link
DE (1) DE102005001421A1 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103927285B (zh) * 2014-04-23 2017-01-25 上海乐耘电气技术有限公司 一种高可靠的双通道串行总线的数据传输方法
CN115695069A (zh) * 2022-08-15 2023-02-03 中国船舶重工集团公司第七一三研究所 一种逻辑环形can总线组网与智能重构方法

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103927285B (zh) * 2014-04-23 2017-01-25 上海乐耘电气技术有限公司 一种高可靠的双通道串行总线的数据传输方法
CN115695069A (zh) * 2022-08-15 2023-02-03 中国船舶重工集团公司第七一三研究所 一种逻辑环形can总线组网与智能重构方法
CN115695069B (zh) * 2022-08-15 2023-11-28 中国船舶重工集团公司第七一三研究所 一种双终端逻辑环形can总线网络系统

Similar Documents

Publication Publication Date Title
EP1540428B1 (de) Redundante steuergeräteanordnung
DE102010049534B4 (de) Kopplungseinheiten, System mit einer Kopplungseinheit und Verfahren zur Anwendung in einem System mit einer Kopplungseinheit
EP2613463B1 (de) Verfahren zur überwachung eines transmitters und entsprechender transmitter
DE102016220197A1 (de) Verfahren zum Verarbeiten von Daten für ein automatisiertes Fahrzeug
EP1687681B1 (de) Verfahren zum betreiben eines netzwerks
EP1365543B1 (de) Verfahren und Vorrichtung zur Übertragung von Information und Fehlererkennung in einem ringförmigen Netzwerk
DE102008029948B4 (de) Überwachungssystem
DE102006013329B4 (de) Verfahren zur Fehlererkennung eines Netzwerksystems
WO2017174338A1 (de) Busteilnehmer und verfahren zum betreiben eines busteilnehmers
DE102010041437B4 (de) Überprüfung von Funktionen eines Steuersystems mit Komponenten
DE102005001421A1 (de) Datenbustrennschalter und zugehörige Steuergeräteanordnung
EP1469627B1 (de) Verfahren zur signaltechnisch sicheren Datenübertragung
WO2021074373A1 (de) Sichere prüfanordnung
EP3281365B1 (de) Schnittstellenerweiterungseinrichtung für eine netzwerkeinrichtung und verfahren zum betrieb einer schnittstellenerweiterungseinrichtung
DE102008049662B4 (de) Verfahren und Vorrichtung zum Prüfen einer asynchronen Übertragung von Steuersignalen
EP1068700B1 (de) Signalisierungsendstufe zur erzeugung digitaler spannungssignale auf einem bussystem
DE102018203887B4 (de) Steuergerät für ein Mehrspannungsbordnetz eines Fahrzeugs und Mehrspannungsbordnetz
DE10329196A1 (de) Verfahren zum Reset von elektronischen Fahrzeug-Steuergeräten
DE102021127310B4 (de) System und Verfahren zur Datenübertragung
DE102008045961B4 (de) Schnittstelle für mehrere Empfänger und eine Widerstandskette
WO2001001364A2 (de) Schaltung zum einschalten und betreiben von bezüglich ihrer versorgungsspannung in reihe geschalteten geräten in einer steuer- und datenübertragungsanlage
DE102004055053A1 (de) Netzwerk, insbesondere PROFIBUS PA-Netzwerk, mit Redundanzeigenschaften sowie Abzweigelement für ein Teilnehmergerät in einem derartigen Netzwerk, Redundanzmanager für ein derartiges Netzwerk und Verfahren zum Betreiben eines derartigen Netzwerks
DE102015220964A1 (de) Elektronische Steuerungsvorrichtung
DE102022126893A1 (de) Verfahren und Verschaltung zum Betrieb eines Netzwerks oder Netzwerkabschnitts
EP4066114A1 (de) Verfahren zur überprüfung einer signalverbindung

Legal Events

Date Code Title Description
8127 New person/name/address of the applicant

Owner name: DAIMLERCHRYSLER AG, 70327 STUTTGART, DE

8127 New person/name/address of the applicant

Owner name: DAIMLER AG, 70327 STUTTGART, DE

8139 Disposal/non-payment of the annual fee