DE102017212560A1 - Verfahren zum ausfallsicheren Durchführen einer sicherheitsgerichteten Funktion - Google Patents

Verfahren zum ausfallsicheren Durchführen einer sicherheitsgerichteten Funktion Download PDF

Info

Publication number
DE102017212560A1
DE102017212560A1 DE102017212560.8A DE102017212560A DE102017212560A1 DE 102017212560 A1 DE102017212560 A1 DE 102017212560A1 DE 102017212560 A DE102017212560 A DE 102017212560A DE 102017212560 A1 DE102017212560 A1 DE 102017212560A1
Authority
DE
Germany
Prior art keywords
computing systems
asil
security level
safety
systems
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102017212560.8A
Other languages
English (en)
Inventor
Nicolas Sommer
Ronald Canisius
Andreas Heyl
Jens Werneth
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102017212560.8A priority Critical patent/DE102017212560A1/de
Publication of DE102017212560A1 publication Critical patent/DE102017212560A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/181Eliminating the failing redundant component
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/183Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Hardware Redundancy (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zum ausfallsicheren Durchführen einer sicherheitsgerichteten mit einer ersten Sicherheitsstufe, bei dem eine Gesamt-Anzahl (G) an in Kommunikationsverbindung stehender Rechensysteme (500) vorgehalten wird, die jeweils eine Entscheidungseinheit umfassen, wobei eine Erkennungs-Anzahl (E) an Rechensystemen eine Anzahl darstellt, die mindestens nötig ist, um automatisch eine Ausfall-Anzahl (A), die wenigstens eins beträgt, an Rechensystemen, bei denen eine Funktionseinschränkung (F) auftritt, erkennen zu können, wobei unter Verwendung der Entscheidungseinheiten erkannt wird, wenn bei wenigstens einem, jedoch höchstens der Ausfall-Anzahl (A) der vorgehaltenen Rechensysteme (500) eine Funktionseinschränkung (F) auftritt, und wobei bei erkannter Funktionseinschränkung (F) die sicherheitsgerichtete Funktion mit den übrigen Rechensystemen durchgeführt wird, wobei die Gesamt-Anzahl (G) größer oder gleich einer Summe aus der Ausfall-Anzahl (A) und einer Mindest-Anzahl (K) gewählt wird, welche eine Anzahl an beliebig aus den vorgehaltenen Rechensystemen (500) ausgewählten Rechensystemen darstellt, die mindestens nötig sind, um die sicherheitsgerichtete Funktion mit der ersten Sicherheitsstufe durchzuführen, und wobei die Gesamt-Anzahl (G) kleiner als ein Produkt aus der Erkennungs-Anzahl (E) und der Mindest-Anzahl (M) gewählt wird, wobei wenigstens eines der vorgehaltenen Rechensysteme (500) mit einer zweiten Sicherheitsstufe, die geringer als die erste Sicherheitsstufe ist, betrieben wird.

Description

  • Die vorliegende Erfindung betrifft ein Verfahren zum ausfallsicheren Durchführen einer sicherheitsgerichteten Funktion mit einer Sicherheitsstufe sowie ein System und ein Computerprogramm zu dessen Durchführung.
  • Stand der Technik
  • Moderne Fahrzeugsteuerungen und Fahrzeugassistenzsysteme, die sicherheitsrelevante Funktionen ausführen, daran beteiligt sind oder diese unterstützen, sollen in zukünftigen Architekturen die Anforderung der Verfügbarkeit möglichst auch bei Ausfall einer oder mehrerer Teil-Funktionen erfüllen können.
  • Die Verfügbarkeit kann hierzu durch Redundanz kompletter Steuerungssysteme mit einem mehr oder weniger hohen Kostenaufwand dargestellt werden. Dies liegt auch darin begründet, dass die Entwicklungs- und Absicherungsmaßnahmen in den genannten Bereichen nicht einer gezielten Dekomposition unterworfen werden können, müssen oder sollen.
  • Offenbarung der Erfindung
  • Erfindungsgemäß werden ein Verfahren zum ausfallsicheren Durchführen einer sicherheitsgerichteten Funktion, insbesondere in einem Fahrzeug, sowie ein System und ein Computerprogramm zu dessen Durchführung mit den Merkmalen der unabhängigen Patentansprüche vorgeschlagen. Vorteilhafte Ausgestaltungen sind Gegenstand der Unteransprüche sowie der nachfolgenden Beschreibung.
  • Die Erfindung geht aus von einem Verfahren zum ausfallsicheren (und insbesondere auch ausfalltoleranten) Durchführen einer sicherheitsgerichteten Funktion mit einer ersten Sicherheitsstufe, bei dem eine Gesamt-Anzahl an in Kommunikationsverbindung stehenden Rechensystemen vorgehalten wird, die jeweils eine Entscheidungseinheit umfassen. Als sicherheitsgerichtete Funktion kommen dabei insbesondere Funktionen im Rahmen eines autonomen oder teilautonomen Fahrens in Betracht. Als Sicherheitsstufen kommen dabei insbesondere bei Verwendung in einem Fahrzeug die sog. ASIL-Stufen (engl. Automotive Safety Integrity Level) in Frage, die in der ISO 26262 definiert werden. Unter einem Rechensystem ist dabei eine Menge verschiedener Komponenten zu verstehen, die zusammenwirken können, um die geforderte Funktion durchführen zu können. Hierzu können insbesondere Prozessoreinheit, eine Steuerlogikeinheit, eine Speichereinheit, eine Ein- und/oder Ausgabeeinheit und eine Kommunikationseinheit gehören, ggf. auch nur eine Auswahl davon. Bei einem Rechensystem kann es sich also um eine Recheneinheit, insbesondere ein Steuergerät handeln. Denkbar ist jedoch ebenfalls, dass die einzelnen Komponenten oder einige davon auf mehrere Recheneinheiten bzw. Steuergeräte verteilt sind und über geeignete Kommunikationsverbindungen zusammenwirken und so ein Rechensystem bilden. Ebenso denkbar ist, dass ein Rechensystem auf, ggf. verteilten, Software-Bestandteilen beruht, d.h. dass die Funktion an sich nur durch Software gebildet wird, die dann aber auf einem bzw. mehreren geeigneten Recheneinheiten laufen müssten (z.B. Datenbanken, wobei eine Erkennung von Ausführungsfehlern nur über ein Servicemodell in der Software abgedeckt wird). Ein einzelnes solches Rechensystem kann dabei - mit einer bestimmten Sicherheitsstufe - auch als funktional sicherheitsgerichtetes (oder engl. Fail Safe) Rechensystem bezeichnet werden. Je höherer die Sicherheitsstufe, desto geringer ist beispielsweise die Wahrscheinlichkeit eines sicherheitsrelevanten Ausfalls des Rechensystems.
  • Weiterhin gibt es auch funktional sicherheitsgerichtete Systeme mit vollständiger Verfügbarkeit bei sicherheitstechnisch erkanntem, beherrschtem und kontrolliertem Ausfall einer oder mehrerer redundanter Teile des Systems (teils auch als engl. Fail Operational / Failure Tolerant bezeichnet). Es handelt sich also um ein ausfallsicheres und ausfalltolerantes System. Es muss also auch bei Ausfall oder Störung bzw. einer Funktionseinschränkung eines Teils des Systems noch eine geforderte Sicherheitsstufe vorhanden sein. Hierzu können mehrere der zuvor genannten Rechensysteme zusammen verwendet werden. Dabei stellt nun eine Erkennungs-Anzahl an Rechensystemen eine Anzahl dar, die mindestens nötig ist, um automatisch eine Ausfall-Anzahl, die wenigstens Eins beträgt, an Rechensystemen, bei denen eine Funktionseinschränkung auftritt, erkennen zu können. Hierbei sind nur aktiv betriebene Rechensysteme zu berücksichtigen, da ein nicht aktives Rechensystem nicht zur Beurteilung eines Ausfalls verwendet werden kann. Prinzipiell kann zwar bei zwei Rechensystemen mit der gleichen Sicherheitsstufe immer noch die Funktion mit dieser Sicherheitsstufe durchgeführt werden, wenn bei einem der Rechensysteme eine Funktionseinschränkung vorliegt. Jedoch ist eine automatische Erkennung einer solchen Funktionseinschränkung nur möglich, wenn nur bei weniger als der Hälfte der Rechensysteme eine Funktionseinschränkung vorliegt. So sind also beispielsweise mindestens drei Rechensysteme nötig, um eine Funktionseinschränkung bei einem davon automatisch erkennen zu können. Zur Erkennung einer gleichartigen Funktionseinschränkung bei zwei Rechensystemen sind hingegen schon fünf Rechensysteme nötig.
  • Es wird nun unter Verwendung der Entscheidungseinheiten erkannt, wenn bei wenigstens einem, jedoch höchstens bei der Ausfall-Anzahl der vorgehaltenen Rechensysteme eine Funktionseinschränkung auftritt. Beispielsweise wird also bei einem von drei Rechensystemen eine Funktionseinschränkung erkannt. Eine Entscheidungseinheit stellt dabei einen sicherheitsrelevanten Mechanismus dar, dessen Aufgabe darin besteht, einen Ausfall eines Rechensystems zu erkennen, insbesondere auch die Schwere des Ausfalls mittels eines sicherheitsrelevanten und ggf. redundant auszuführenden Mehrheitsentscheids zu bewerten und die daraus erforderliche Reaktion einzuleiten.
  • Bei erkannter Funktionseinschränkung, also beispielsweise einem Ausfall oder einer Störung, wird dann die sicherheitsgerichtete Funktion mit den übrigen Rechensystemen, also denjenigen Rechensystemen, bei denen keine Funktionseinschränkung vorliegt bzw. erkannt wurde, durchgeführt. Am Beispiel der drei Rechensysteme und einer Funktionseinschränkung bei einem davon werden also die zwei verbleibenden Rechensysteme hierfür verwendet.
  • Erfindungsgemäß ist nun vorgesehen, dass die Gesamt-Anzahl größer oder gleich einer Summe aus der Ausfall-Anzahl und einer Mindest-Anzahl gewählt wird. Die Mindest-Anzahl stellt dabei eine Anzahl an beliebig aus den vorgehaltenen Rechensystemen ausgewählten Rechensystemen dar, die mindestens nötig sind, um die sicherheitsgerichtete Funktion mit der ersten Sicherheitsstufe durchzuführen. Zudem wird die Gesamt-Anzahl kleiner als ein Produkt aus der Erkennungs-Anzahl und der Mindest-Anzahl gewählt. Außerdem wird wenigstens eines der vorgehaltenen Rechensysteme mit einer zweiten Sicherheitsstufe, die geringer als die erste Sicherheitsstufe ist, betrieben.
  • Das eingangs erwähnte Vorgehen für ein ausfallsicheres (und insbesondere ausfalltolerantes) System einer bestimmten Sicherheitsstufe würde es erforderlich machen, mehrere, also beispielsweise drei, einzelne sicherheitsgerichtete Rechensysteme derselben Sicherheitsstufe zu verwenden. Ein ausfallsicheres System mit ASIL-D kann also durch drei Rechensysteme, jeweils ebenfalls mit ASIL-D, bereitgestellt werden.
  • Es ist ebenfalls möglich, eine Funktion mit einer bestimmten Sicherheitsstufe durch mehrere einzelne Rechensysteme mit jeweils einer geringeren Sicherheitsstufe durchzuführen, sofern diese einzelnen Rechensysteme hinsichtlich etwaiger Fehler unabhängig voneinander sind. Insbesondere erlauben die ASIL-Stufen gemäß ISO 26262 eine Dekomposition. So lässt sich eine Funktion mit ASIL-D durch zwei Rechensysteme mit jeweils ASIL-B durchführen. In diesem Zusammengang werden die ASIL-B-Stufen dann auch mit ASIL-B(D) bezeichnet. Auf gleiche Weise lässt sich ASIL-B durch zwei ASIL-A(B) darstellen. An sich sind dabei auch asymmetrische Dekompositionen möglich wie beispielsweise die Darstellung eines ASIL-D durch ASIL-A(D) und ASIL-C(D). Für nähere Details sei an dieser Stelle auf die genannte ISO-Norm verwiesen.
  • Für ein einzelnes Rechensystem ist es dabei zudem möglich, die Eingabe- und/oder Ausgabeeinheiten, ggf. auch die Kommunikationseinheiten, von den übrigen Komponenten zu separieren und durch Kommunikationsverbindungen anzubinden. Dies erleichtert die Dekomposition.
  • Um nun den Aufwand zur Darstellung (insbesondere auch hinsichtlich Design und Absicherung) von Rechensystemen mit einer höheren Sicherheitsstufe zu reduzieren, können die nötigen Rechensysteme jeweils durch zwei Rechensysteme mit niedrigerer Stufe ersetzt werden. Im erwähnten Beispielsfall könnten also sechs Rechensysteme mit ASIL-B(D) verwendet werden, um ein ausfallsicheres System bzw. eine entsprechende Funktion mit ASIL-D darzustellen. Im Allgemeinen entspricht dies einer Gesamt-Anzahl, die einem Produkt aus Mindest-Anzahl und Erkennungs-Anzahl ist. Dies bedeutet jedoch eine sehr hohe Anzahl an nötigen Rechensystemen, selbst wenn die Eingabe- und/oder Ausgabeeinheiten, ggf. auch die Kommunikationseinheiten, separiert und nur einfach redundant vorgesehen werden.
  • Es wurde nun erkannt, dass bereits durch eine Gesamt-Anzahl an vorzuhaltenden Rechensystemen, die gleich der Summe aus der Ausfall-Anzahl und der Mindest-Anzahl ist, eine Funktion mit einer geforderten Sicherheitsstufe bereitgestellt werden kann, während sogar jedes der Rechensysteme nur eine geringere als die letztlich geforderte Sicherheitsstufe aufweist. So kann beispielsweise bereits durch die Verwendung von drei Rechensystemen mit jeweils ASIL-B(D) ein ausfallsicheres System bzw. eine sicherheitsgerichtete Funktion mit ASIL-D ausfallsicher dargestellt werden. Bei drei Rechensystemen kann zum einen bereits automatisch eine Funktionseinschränkung bei einem der Rechensysteme erkannt werden, zum anderen kann aber auch mit den dann noch verbleibenden zwei Rechensystemen mit ASIL-B(D) gemäß oben erläuterter Dekomposition ein System mit ASIL-D erreicht werden. Auf die gleiche Weise lässt sich eine sicherheitsgerichtete Funktion mit ASIL-B ausfallsicher durch drei Rechensysteme mit jeweils ASIL-A(B) darstellen.
  • Insbesondere kann also die Gesamt-Anzahl genau gleich der Summe aus der Ausfall-Anzahl und der Mindest-Anzahl gewählt werden, wenngleich bereits mit jeder Gesamt-Anzahl, die geringer als das Produkt aus Mindest-Anzahl und Erkennungs-Anzahl ist, eine Aufwandseinsparung gegenüber dem herkömmlichen Vorgehen erreicht werden kann.
  • Hierzu sei noch erwähnt, dass nicht notwendigerweise jedes der Rechensysteme eine niedrigere (hier also eine zweite) Sicherheitsstufe aufweisen muss, da beispielsweise auch mit zwei ASIL-B(D) und einem ASIL-D Rechensystem ein gefordertes ausfallsicheres System mit ASIL-D dargestellt werden kann, wenngleich dies hinsichtlich des erforderlichen Aufwandes zweckmäßig ist. Das vorgeschlagene Verfahren ist dabei insbesondere für autonomes oder teilautonomes Fahren von Vorteil, da hier besonders hohe Sicherheitsanforderungen gelten.
  • Besonders bevorzugt ist die Anwendung des vorgeschlagenen Verfahrens dabei in einem Fahrzeug, insbesondere einem Kraftfahrzeug. Hier kommen dann insbesondere komplexe Fahrerassistenz- und Fahrzeugsteuerungssysteme in Betracht, die keinen Ausfall einer Funktion oder sicherheitsgerichteten Funktion in speziellen Betriebsarten erlauben. Besonders kommen für die Erfindung die folgenden Anwendungsgebiete in Betracht: Einsatz- und Rettungsfahrzeuge, autonom fahrende Fahrzeuge, kommerziell eingesetzte Fracht- und Personenbeförderungsfahrzeuge, Fahrzeugassistenzsysteme, Fahrzeugbrems- und Lenksysteme, Energieregenerationssysteme, die einen Schutz vor Beschädigungen in Folge eines Steuergeräteausfalles benötigen, sicherheitsgerichtete Fahrzeug-Interkommunikationssysteme, Bahnkomponenten, deren Entwicklungsprinzipien insbesondere an die ISO26262 angelehnt werden können und akzeptiert werden, aber auch medizintechnische Anwendungen, deren Entwicklungsprinzipien insbesondere an die ISO26262 angelehnt werden können.
  • Vorzugsweise werden von den vorgehaltenen Rechensystemen wenigstens eines mehr als die Mindest-Anzahl, insbesondere alle, aktiv betrieben, wobei bei erkannter Funktionseinschränkung eines der aktiven Rechensysteme dieses Rechensystem wenigstens teilweise deaktiviert wird. Im Beispielsfall werden hier also alle drei Rechensysteme aktiv betrieben. Wenn bei einem eine Funktionseinschränkung bzw. ein Ausfall erkannt wird, wird dieses einfach ganz oder teilweise abgeschaltet. Hierzu müssen zwar für den regulären Betrieb mehr Rechensysteme als eigentlich nötig aktiv betrieben werden, jedoch kann besonders schnell auf eine Funktionseinschränkung reagiert werden, sodass diese möglichst im normalen Betrieb beispielsweise des Kraftfahrzeugs gar nicht bemerkt wird.
  • Weiterhin ist es bevorzugt, wenn zusätzlich zu den aktiv betriebenen Rechensystemen ein nicht aktiv betriebenes, aber funktionsfähiges Rechensystem vorgehalten wird, wobei nach der wenigstens teilweisen Deaktivierung des zuvor aktiven Rechensystems mit erkannter Funktionseinschränkung das zuvor nicht aktiv betriebene, aber funktionsfähige Rechensystem aktiv betrieben wird. Auf diese Weise kann weiterhin automatisch und sicher eine Funktionseinschränkung eines der aktiven Rechensysteme erkannt werden. Zudem kann nach dem Abschalten des defekten Rechensystems sehr schnell wieder ein ausfallsicheres und insbesondere ausfalltolerantes System hergestellt werden, da ein zuvor bereits vorgehaltenes und funktionsfähiges, aber zunächst nicht aktives Rechensystem, aktiviert, also zum System hinzugenommen wird.
  • Für diese Varianten der Redundanz ist es bevorzugt, dass, wenn eine Funktionseinschränkung nur einer Teilfunktion und/oder einer Komponente eines der aktiven Rechensysteme erkannt wird, zur Durchführung der sicherheitsgerichteten Funktion nur eine entsprechende Teilfunktion und/oder Komponente eines der übrigen Rechensysteme verwendet wird. Es kann also beispielsweise nur ein Teil des Rechensystems bei einer Funktionseinschränkung deaktiviert werden, wodurch insgesamt noch eine gewisse Redundanz (bei den übrigen Teilfunktionen bzw. Komponenten) erhalten bleibt und die Auslastung der Komponenten verringert wird. Im anderen Fall kann beispielsweise nur ein Teil des bislang nicht aktiven und funktionsfähigen Rechensystems zugeschaltet werden, wodurch ebenfalls noch eine gewisse Redundanz erhalten bleibt und die Auslastung verringert wird.
  • Vorzugsweise wird für wenigstens eine Komponente eines der vorgehaltenen Rechensysteme als eine redundante Komponente eine entsprechende Komponente eines anderen der vorgehaltenen Rechensysteme, die insbesondere diversitär ausgeführt ist, verwendet. Wenn also beispielsweise gefordert wird, dass gewisse Komponenten der Rechensysteme diversitär redundant ausgeführt werden, so kann dies übergreifend über die ohnehin vorhandenen, mehreren Rechensysteme erfolgen, sodass insgesamt nicht mehr Rechensysteme vorgehalten werden müssen. Zudem können auf diese Weise auch Rechensysteme gebildet werden, bei denen eine asymmetrische Dekomposition der insgesamt geforderten Sicherheitsstufe verwendet werden kann, da Komponenten auf verschiedenen Rechensystemen geeignet ausgewählt werden können.
  • Ein erfindungsgemäßes System umfassend mehrere Rechensysteme, insbesondere auch mehrere Recheneinheiten, z.B. ein Steuergeräteverbund eines Fahrzeugs oder über mehrere Fahrzeuge verteilt, ist, insbesondere programmtechnisch, dazu eingerichtet, ein erfindungsgemäßes Verfahren durchzuführen.
  • Auch die Implementierung des Verfahrens in Form eines Computerprogramms ist vorteilhaft, da dies besonders geringe Kosten verursacht, insbesondere wenn ein ausführendes Steuergerät noch für weitere Aufgaben genutzt wird und daher ohnehin vorhanden ist. Geeignete Datenträger zur Bereitstellung des Computerprogramms sind insbesondere magnetische, optische und elektrische Speicher, wie z.B. Festplatten, Flash-Speicher, EEPROMs, DVDs u.a.m. Auch ein Download eines Programms über Computernetze (Internet, Intranet usw.) ist möglich.
  • Weitere Vorteile und Ausgestaltungen der Erfindung ergeben sich aus der Beschreibung und der beiliegenden Zeichnung.
  • Die Erfindung ist anhand von Ausführungsbeispielen in der Zeichnung schematisch dargestellt und wird im Folgenden unter Bezugnahme auf die Zeichnung beschrieben.
  • Figurenliste
    • 1 bis 3 zeigen schematisch verschiedene Rechensysteme.
    • 4 zeigt schematisch ein nicht erfindungsgemäßes System zum ausfallsicheren Durchführen einer sicherheitsgerichteten Funktion.
    • 5 bis 6 zeigen schematisch erfindungsgemäße Systeme in verschiedenen bevorzugten Ausführungsformen.
    • 7 bis 8 zeigen schematische Abläufe erfindungsgemäßer Verfahren in verschiedenen bevorzugten Ausführungsformen.
  • Ausführungsform(en) der Erfindung
  • In 1 ist schematisch ein Rechensystem 100 gezeigt. Das Rechensystem 100 umfasst hier beispielhaft eine Prozessoreinheit 101', eine Steuerlogikeinheit 102', eine Speichereinheit 103', eine Kommunikationseinheit 104 und eine Ein- und/oder Ausgabeeinheit 105, wobei die Kommunikationseinheit 104 und die Ein- und/oder Ausgabeeinheit 105 über eine Schnittstelle 109' mit den übrigen Komponenten verbunden sind.
  • Die Prozessoreinheit 101', die Steuerlogikeinheit 102', die Speichereinheit 103' und die Schnittstelle 109' sind hier beispielhaft als ASIL-D-Komponenten ausgebildet, was einerseits schraffiert und andererseits durch den Apostroph angedeutet ist. Das Rechensystem 100 kann beispielsweise als Steuergerät ausgebildet sein. Wie eingangs bereits erwähnt, ist es jedoch auch denkbar, dass die einzelnen Komponenten über verschiedene Steuergeräte verteilt sind.
  • In 2 ist ein weiteres Rechensystem 200 gezeigt, das weitgehend dem Rechensystem 100 gemäß 1 entspricht. Allerdings sind hier mehrere Eingabe- und/oder Ausgabeeinheiten 105 ausgelagert und über eine Schnittstelle 110, eine Kommunikationseinheit 104 und einen entsprechenden Bus 111 an eine Kommunikationseinheit 104 angebunden, wobei sich letztere Kommunikationseinheit 104 in einer Einheit mit den übrigen Komponenten des Rechensystems 200 befinden kann. Dies ermöglicht eine Vereinfachung beispielsweise des Designs des Rechensystems 200. Das Rechensystem 200 ist weiterhin als ASIL-D-Rechensystem ausgebildet, insbesondere mit einzelnen ASIL-D-Komponenten.
  • In 3 ist ein weiteres Rechensystem 301 gezeigt, bei dem gegenüber dem Rechensystem 200 gemäß 2 zwei einzelne Rechensysteme 300, die jeweils als ASIL-B-Rechensystem ausgebildet sind, verwendet werden, um insgesamt ein ASIL-D-Rechensystem, das Rechensystem 301, darzustellen. Hierzu sind in den beiden Rechensystemen 300 jeweils miteinander in Kommunikationsverbindung stehende Module 120 für einen Kreuzvergleich vorgesehen. Die einzelnen Komponenten sind hier nun ebenfalls mit ASIL-B ausgeführt, was durch nicht schraffierte Komponenten und fehlenden Apostroph beim Bezugszeichen dargestellt ist.
  • Die Rechensysteme 100, 200 und 301 gemäß den 1 bis 3 bilden dabei jeweils ein sicherheitsgerichtetes Rechensystem (Fail Safe) mit einer ersten Sicherheitsstufe, hier ASIL-D.
  • In 4 ist nun schematisch ein nicht erfindungsgemäßes System 401 zum ausfallsicheren Durchführen einer sicherheitsgerichteten Funktion, und damit ein ausfallsicheres System (Fail Operational / Failure Tolerant), dargestellt. Hierzu werden drei Rechensysteme 400 verwendet, die jeweils im Grunde dem Rechensystem 200 gemäß 2 entsprechen (die einzelnen Komponenten sind hierzu auch entsprechend bezeichnet). Die Eingabe- und/oder Ausgabeeinheiten 104 sind hier, wie auch bei den 2 bis 4 gezeigt, über einen Bus 111 angebunden, was für ein solches, ausfallsicheres System ausreichend ist.
  • In den drei Rechensystemen 400 ist nun jeweils zusätzlich eine Entscheidungseinheit 130' (auch als sog. Voter bezeichnet) vorgesehen. Anhand der insgesamt drei Entscheidungseinheiten 130' kann nun erkannt werden, wenn bei einem der Rechensysteme 400 eine Funktionseinschränkung auftritt. Entsprechend kann dann beispielsweise das betreffende Rechensystem deaktiviert werden.
  • Jedes der Rechensysteme 400 und jede der davon umfassten Komponenten ist dabei mit ASIL-D ausgeführt (für die Eingabe- und/oder Ausgabeeinheiten aufgrund der Separierung nicht nötig). Hiermit ist nun zwar ein ausfallsicheres System mit ASIL-D dargestellt, jedoch werden drei ASIL-D-Rechensysteme benötigt, jedes davon mit einzelnen ASIL-D-Komponenten, was einen erheblichen Aufwand, insbesondere hinsichtlich Absicherung und Kosten bedeutet.
  • Denkbar wäre nun, jedes der drei Rechensysteme 400 durch jeweils zwei Rechensysteme zu ersetzen - ähnlich wie dies für ein Rechensystem im Vergleich zwischen den 2 und 3 gezeigt ist. Dies würde zwar ggf. den Aufwand für die Absicherung verringern, jedoch ist insgesamt eine sehr hohe Anzahl an Rechensystemen nötig.
  • In 5 ist nun schematisch ein erfindungsgemäßes System 501 in einer bevorzugten Ausführungsform dargestellt. Das System 501 entspricht von der Architektur her zwar dem System 501 gemäß 5, jedoch werden nur Rechensysteme 500 mit einer zweiten Sicherheitsstufe, hier ASIL-B, jeweils nur mit ASIL-B-Komponenten, verwendet. Gegenüber dem System 501 ergibt sich damit ein System mit deutlich geringerem Aufwand hinsichtlich der Absicherung, jedoch nicht erhöhter Anzahl an einzelnen Rechensystemen.
  • Dennoch wird auf diese Weise ein ausfallsicheres System mit der ersten Sicherheitsstufe, ASIL-D, dargestellt. Zum einen kann durch die Entscheidungseinheiten 130 automatisch erkannt werden, wenn bei einem der Rechensysteme 500 eine Funktionseinschränkung auftritt, zum anderen kann durch die zwei verbleibenden Rechensysteme weiterhin eine Funktion mit ASIL-D durchgeführt werden, da - wie bereits erwähnt - durch zwei Rechensysteme mit jeweils ASIL-B eine Funktion mit ASIL-D dargestellt werden kann.
  • In 6 ist schematisch ein erfindungsgemäßes System 601 in einer weiteren bevorzugten Ausführungsform dargestellt. Das System 601 entspricht im Grunde dem System 501 gemäß 5, wobei hier der Übersichtlichkeit halber jedoch weniger Komponenten der einzelnen Rechensysteme 600 gezeigt sind. Durch geeignete Ansteuerung bzw. Kombination der einzelnen Komponenten der Rechensysteme 600 untereinander können dabei Redundanzen für die einzelnen Komponenten gebildet werden, was hier durch Verbindungspfeile R angedeutet ist.
  • Insbesondere können die einzelnen Komponenten im Hinblick auf die unterschiedlichen Rechensysteme auch diversitär ausgebildet sein, wodurch eine höhere Ausfallsicherheit erreicht werden kann. Insgesamt werden jedoch keine zusätzlichen, diversitär ausgebildeten, redundanten Komponenten benötigt.
  • In 7 ist schematisch ein Ablauf eines erfindungsgemäßen Verfahrens in einer bevorzugten Ausführungsform schematisch dargestellt. Hierzu ist der Betriebsmodus von drei Rechensystemen 500, wie sie in Bezug auf 5 beschrieben wurden, über der Zeit t dargestellt. Dabei gibt 0 ein deaktiviertes und 1 ein aktiviertes Rechensystem an. Insgesamt sind hier eine Gesamt-Anzahl G von drei, die auch der Erkennungs-Anzahl E entspricht, vorgesehen. Wie bereits erwähnt, sind eine Mindest-Anzahl M von zwei nötig, um eine Ausfall-Anzahl A von Eins an Rechensystemen mit Funktionseinschränkung zu erkennen.
  • Zunächst sind alle drei Rechensysteme aktiv. Zum Zeitpunkt t0 wird nun eine Funktionseinschränkung F in dem oberen der drei Rechensysteme erkannt. Anschließend wird dieses Rechensystem deaktiviert. Mit den beiden übrigen Rechensystemen kann dann weiterhin eine sicherheitsgerichtete Funktion mit ASIL-D dargestellt werden.
  • In 8 ist schematisch ein Ablauf eines erfindungsgemäßen Verfahrens in einer weiteren bevorzugten Ausführungsform schematisch dargestellt. Hier sind Betriebsmodi von vier Rechensystemen 500, wie sie in Bezug auf 5 beschrieben wurden, über der Zeit t dargestellt. Dabei gibt 0 ein deaktiviertes und 1 ein aktiviertes Rechensystem an.
  • Zunächst sind nur die drei unteren der vier Rechensysteme aktiv. Das obere Rechensystem wird dabei vorgehalten und ist nicht aktiv, jedoch funktionsfähig. Zum Zeitpunkt t0 wird nun eine Funktionseinschränkung F in dem zweiten Rechensystem von oben erkannt. Anschließend wird dieses Rechensystem deaktiviert und - ggf. nach bzw. einhergehend mit einem Neustart der verbleibenden zwei, unteren Rechensysteme - wird das obere, zunächst deaktivierte und funktionsfähige Rechensystem aktiviert. Mit den drei aktiven und funktionsfähigen Rechensystemen kann dann weiterhin eine sicherheitsgerichtete und insbesondere auch ausfalltolerante Funktion mit ASIL-D dargestellt werden.

Claims (15)

  1. Verfahren zum ausfallsicheren Durchführen einer sicherheitsgerichteten Funktion mit einer ersten Sicherheitsstufe (ASIL-D), bei dem eine Gesamt-Anzahl (G) an in Kommunikationsverbindung stehenden Rechensystemen (500, 600) vorgehalten wird, die jeweils eine Entscheidungseinheit (130) umfassen, wobei eine Erkennungs-Anzahl (E) an Rechensystemen eine Anzahl darstellt, die mindestens nötig ist, um automatisch eine Ausfall-Anzahl (A), die wenigstens Eins beträgt, an Rechensystemen, bei denen eine Funktionseinschränkung (F) auftritt, erkennen zu können, wobei unter Verwendung der Entscheidungseinheiten (130) erkannt wird, wenn bei wenigstens einem, jedoch höchstens der Ausfall-Anzahl (A) der vorgehaltenen Rechensysteme (500, 600) eine Funktionseinschränkung (F) auftritt, und wobei bei erkannter Funktionseinschränkung (F) die sicherheitsgerichtete Funktion mit den übrigen Rechensystemen durchgeführt wird, dadurch gekennzeichnet, dass die Gesamt-Anzahl (G) größer oder gleich einer Summe aus der Ausfall-Anzahl (A) und einer Mindest-Anzahl (K), welche eine Anzahl an beliebig aus den vorgehaltenen Rechensystemen (500, 600) ausgewählten Rechensystemen darstellt, die mindestens nötig sind, um die sicherheitsgerichtete Funktion mit der ersten Sicherheitsstufe (ASIL-D) durchzuführen, gewählt wird, und dass die Gesamt-Anzahl (G) kleiner als ein Produkt aus der Erkennungs-Anzahl (E) und der Mindest-Anzahl (M) gewählt wird, wobei wenigstens eines der vorgehaltenen Rechensysteme (500, 600) mit einer zweiten Sicherheitsstufe (ASIL-B), die geringer als die erste Sicherheitsstufe (ASIL-D) ist, betrieben wird.
  2. Verfahren nach Anspruch 1, wobei die Gesamt-Anzahl (G) genau gleich der Summe aus der Ausfall-Anzahl (A) und der Mindest-Anzahl (M) gewählt wird.
  3. Verfahren nach Anspruch 1 oder 2, wobei jedes der vorgehaltenen Rechensysteme (500, 600) mit einer zweiten Sicherheitsstufe (ASIL-B), die geringer als die erste Sicherheitsstufe (ASIL-D) ist, betrieben wird, und wobei insbesondere jedes der vorgehaltenen Rechensysteme (500, 600) die gleiche Sicherheitsstufe (ASIL-B) aufweist.
  4. Verfahren nach einem der vorstehenden Ansprüche, wobei von den vorgehaltenen Rechensystemen (500, 600) wenigstens eines mehr als die Mindest-Anzahl (M) aktiv betrieben werden, und wobei bei erkannter Funktionseinschränkung (F) eines der aktiven Rechensysteme dieses Rechensystem wenigstens teilweise deaktiviert wird.
  5. Verfahren nach Anspruch 4, wobei zusätzlich zu den aktiv betriebenen Rechensystemen (500, 600) ein nicht aktiv betriebenes, aber funktionsfähiges Rechensystem vorgehalten wird, und wobei nach der wenigstens teilweisen Deaktivierung des zuvor aktiven Rechensystems mit erkannter Funktionseinschränkung (F) das zuvor nicht aktiv betriebene, aber funktionsfähige Rechensystem aktiv betrieben wird.
  6. Verfahren nach Anspruch 4 oder 5, wobei, wenn eine Funktionseinschränkung (F) nur einer Teilfunktion und/oder einer Komponente eines der aktiven Rechensysteme erkannt wird, zur Durchführung der sicherheitsgerichteten Funktion nur eine entsprechende Teilfunktion und/oder Komponente eines der übrigen Rechensysteme verwendet wird.
  7. Verfahren nach einem der vorstehenden Ansprüche, wobei als die erste Sicherheitsstufe ASIL-D und die zweite Sicherheitsstufe ASIL-B verwendet werden, oder wobei als die erste Sicherheitsstufe ASIL-B und die zweite Sicherheitsstufe ASIL-A verwendet werden.
  8. Verfahren nach einem der vorstehenden Ansprüche, wobei die vorgehaltenen Rechensysteme (500, 600) weiterhin jeweils eine Prozessoreinheit (101), eine Steuerlogikeinheit (102), eine Speichereinheit (103), eine Ein- und/oder Ausgabeeinheit (105) und eine Kommunikationseinheit (104) umfassen.
  9. Verfahren nach einem der vorstehenden Ansprüche, wobei jedes der vorgehaltenen Rechensysteme (500, 600) durch eine einzelne Recheneinheit oder verteilt auf mehrere Recheneinheiten dargestellt wird.
  10. Verfahren nach einem der vorstehenden Ansprüche, wobei für wenigstens eine Komponente eines der vorgehaltenen Rechensysteme (600) als eine redundante Komponente eine entsprechende Komponente eines anderen der vorgehaltenen Rechensysteme, die insbesondere diversitär ausgeführt ist, verwendet wird.
  11. Verfahren nach einem der vorstehenden Ansprüche, wobei als die Erkennungs-Anzahl (E) Drei, als die Ausfall-Anzahl (A) Eins und als die Mindest-Anzahl (M) Zwei verwendet werden, oder wobei als die Erkennungs-Anzahl (E) Drei, als die Ausfall-Anzahl (A) Zwei und als die Mindest-Anzahl (M) Zwei verwendet werden.
  12. Verfahren nach einem der vorstehenden Ansprüche, wobei die sicherheitsgerichtete Funktion in einem Fahrzeug durchgeführt wird.
  13. System (501, 601) umfassend eine Gesamt-Anzahl (G) an Rechensystemen (500, 600), das dazu eingerichtet ist, ein Verfahren nach einem der vorstehenden Ansprüche durchzuführen.
  14. Computerprogramm, das ein System (501, 601) umfassend eine Gesamt-Anzahl (G) an Rechensystemen (500, 600) dazu veranlasst, ein Verfahren nach einem der Ansprüche 1 bis 12 durchzuführen, wenn es auf dem System (501, 601) ausgeführt wird.
  15. Maschinenlesbares Speichermedium mit einem darauf gespeicherten Computerprogramm nach Anspruch 14.
DE102017212560.8A 2017-07-21 2017-07-21 Verfahren zum ausfallsicheren Durchführen einer sicherheitsgerichteten Funktion Pending DE102017212560A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102017212560.8A DE102017212560A1 (de) 2017-07-21 2017-07-21 Verfahren zum ausfallsicheren Durchführen einer sicherheitsgerichteten Funktion

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102017212560.8A DE102017212560A1 (de) 2017-07-21 2017-07-21 Verfahren zum ausfallsicheren Durchführen einer sicherheitsgerichteten Funktion

Publications (1)

Publication Number Publication Date
DE102017212560A1 true DE102017212560A1 (de) 2019-03-21

Family

ID=65526976

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102017212560.8A Pending DE102017212560A1 (de) 2017-07-21 2017-07-21 Verfahren zum ausfallsicheren Durchführen einer sicherheitsgerichteten Funktion

Country Status (1)

Country Link
DE (1) DE102017212560A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102021213077A1 (de) 2021-11-22 2023-05-25 Zf Friedrichshafen Ag Verfahren zur Überwachung einer Signalverarbeitung für ein automatisiertes Fahrsystems und Steuergerät für ein automatisiertes Fahrsystems

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
ARMOUSH, A.: Design Patterns for Safety-Critical Embedded Systems. Dissertation. 2010 *
BUSZEK, J.: Autonomous Driving – Production Challenges. 2015. Im Internet:<URL:https://twittertechnews.com/wp-content/uploads/2017/12/141217-the-making-of-an-autonomous-car-Renesas-1.pdf> *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102021213077A1 (de) 2021-11-22 2023-05-25 Zf Friedrichshafen Ag Verfahren zur Überwachung einer Signalverarbeitung für ein automatisiertes Fahrsystems und Steuergerät für ein automatisiertes Fahrsystems

Similar Documents

Publication Publication Date Title
DE102015110968B4 (de) Fahrzeugparksystem-Ausfallmanagement
EP2550599B1 (de) Kontrollrechnersystem, verfahren zur steuerung eines kontrollrechnersystems, sowie verwendung eines kontrollrechnersystems
DE102016107015B4 (de) System mit integrierter Ruhigstellung bei Ausfall und Funktionsfähigkeit bei Ausfall
DE102017218395A1 (de) Verfahren zur fehlerrobusten Regelung von hochautomatisierten Fahrzeugen
EP3661819B1 (de) Kontrollsystem für ein kraftfahrzeug, kraftfahrzeug, verfahren zur kontrolle eines kraftfahrzeugs, computerprogrammprodukt und computerlesbares medium
DE19509150C2 (de) Verfahren zum Steuern und Regeln von Fahrzeug-Bremsanlagen sowie Fahrzeug-Bremsanlage
DE102016102259A1 (de) Rechner- und Funktionsarchitektur zur Erhöhung der Ausfallsicherheit einer Hilfskraftlenkung
DE112014002675T5 (de) Optimierte Spannungsversorgungsarchitektur
EP2078253A2 (de) Verfahren und vorrichtung zur fehlerverwaltung
EP2099667B2 (de) Verfahren zum sicherstellen oder aufrechterhalten der funktion eines komplexen sicherheitskritischen gesamtsystems
DE102017218643A1 (de) Funktionsmodul, Steuereinheit für ein Betriebsassistenzsystem und Arbeitsvorrichtung
WO2008014940A1 (de) Steuergerät und verfahren zur steuerung von funktionen
EP3983897B1 (de) Verfahren zum sicherstellen und aufrechterhalten der funktion eines sicherheitskritischen gesamtsystems
DE102013021231A1 (de) Verfahren zum Betrieb eines Assistenzsystems eines Fahrzeugs und Fahrzeugsteuergerät
DE102017212560A1 (de) Verfahren zum ausfallsicheren Durchführen einer sicherheitsgerichteten Funktion
DE102020203420B4 (de) Verfahren und Vorrichtung zum Rekonfigurieren eines automatisiert fahrenden Fahrzeugs in einem Fehlerfall
DE102007046706A1 (de) Steuervorrichtung für Fahrzeuge
EP2013731B1 (de) Schaltungsanordnung und verfahren zum betrieb einer schaltungsanordnung
DE102012212680A1 (de) Verfahren und System zur fehlertoleranten Steuerung von Stellgliedern für eine begrenzte Zeit auf der Grundlage von vorberechneten Werten
DE10328059A1 (de) Verfahren und Vorrichtung zur Überwachung eines verteilten Systems
DE102020121244A1 (de) Fail-Operational-System für ein Fahrzeug mit zumindest einer eigenständigen redundanten Komponentenpaarung zur Regelung einer Fahrzeugfunktion, Fahrzeug sowie Verfahren
DE102020200414A1 (de) Verfahren und Vorrichtung zum Rekonfigurieren eines automatisiert fahrenden Fahrzeugs in einem Fehlerfall
DE102006045153A1 (de) System und Verfahren zum Verteilen und Ausführen von Programmcode in einem Steuergerätenetzwerk
DE102020209228A1 (de) Verfahren zum Überwachen wenigstens einer Recheneinheit
DE102019200812A1 (de) Verfahren zum Schützen einer Hauptfunktion eines Steuergeräts vor einer Behinderung ihres Betriebs durch einen Laufzeitfehler einer Nebenfunktion des Steuergeräts sowie Steuergerät, Kraftfahrzeug und Fahrzeugbatterie

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R002 Refusal decision in examination/registration proceedings
R125 Request for further processing filed
R126 Request for further processing allowed