-
Die vorliegende Erfindung betrifft ein Verfahren zum ausfallsicheren Durchführen einer sicherheitsgerichteten Funktion mit einer Sicherheitsstufe sowie ein System und ein Computerprogramm zu dessen Durchführung.
-
Stand der Technik
-
Moderne Fahrzeugsteuerungen und Fahrzeugassistenzsysteme, die sicherheitsrelevante Funktionen ausführen, daran beteiligt sind oder diese unterstützen, sollen in zukünftigen Architekturen die Anforderung der Verfügbarkeit möglichst auch bei Ausfall einer oder mehrerer Teil-Funktionen erfüllen können.
-
Die Verfügbarkeit kann hierzu durch Redundanz kompletter Steuerungssysteme mit einem mehr oder weniger hohen Kostenaufwand dargestellt werden. Dies liegt auch darin begründet, dass die Entwicklungs- und Absicherungsmaßnahmen in den genannten Bereichen nicht einer gezielten Dekomposition unterworfen werden können, müssen oder sollen.
-
Offenbarung der Erfindung
-
Erfindungsgemäß werden ein Verfahren zum ausfallsicheren Durchführen einer sicherheitsgerichteten Funktion, insbesondere in einem Fahrzeug, sowie ein System und ein Computerprogramm zu dessen Durchführung mit den Merkmalen der unabhängigen Patentansprüche vorgeschlagen. Vorteilhafte Ausgestaltungen sind Gegenstand der Unteransprüche sowie der nachfolgenden Beschreibung.
-
Die Erfindung geht aus von einem Verfahren zum ausfallsicheren (und insbesondere auch ausfalltoleranten) Durchführen einer sicherheitsgerichteten Funktion mit einer ersten Sicherheitsstufe, bei dem eine Gesamt-Anzahl an in Kommunikationsverbindung stehenden Rechensystemen vorgehalten wird, die jeweils eine Entscheidungseinheit umfassen. Als sicherheitsgerichtete Funktion kommen dabei insbesondere Funktionen im Rahmen eines autonomen oder teilautonomen Fahrens in Betracht. Als Sicherheitsstufen kommen dabei insbesondere bei Verwendung in einem Fahrzeug die sog. ASIL-Stufen (engl. Automotive Safety Integrity Level) in Frage, die in der ISO 26262 definiert werden. Unter einem Rechensystem ist dabei eine Menge verschiedener Komponenten zu verstehen, die zusammenwirken können, um die geforderte Funktion durchführen zu können. Hierzu können insbesondere Prozessoreinheit, eine Steuerlogikeinheit, eine Speichereinheit, eine Ein- und/oder Ausgabeeinheit und eine Kommunikationseinheit gehören, ggf. auch nur eine Auswahl davon. Bei einem Rechensystem kann es sich also um eine Recheneinheit, insbesondere ein Steuergerät handeln. Denkbar ist jedoch ebenfalls, dass die einzelnen Komponenten oder einige davon auf mehrere Recheneinheiten bzw. Steuergeräte verteilt sind und über geeignete Kommunikationsverbindungen zusammenwirken und so ein Rechensystem bilden. Ebenso denkbar ist, dass ein Rechensystem auf, ggf. verteilten, Software-Bestandteilen beruht, d.h. dass die Funktion an sich nur durch Software gebildet wird, die dann aber auf einem bzw. mehreren geeigneten Recheneinheiten laufen müssten (z.B. Datenbanken, wobei eine Erkennung von Ausführungsfehlern nur über ein Servicemodell in der Software abgedeckt wird). Ein einzelnes solches Rechensystem kann dabei - mit einer bestimmten Sicherheitsstufe - auch als funktional sicherheitsgerichtetes (oder engl. Fail Safe) Rechensystem bezeichnet werden. Je höherer die Sicherheitsstufe, desto geringer ist beispielsweise die Wahrscheinlichkeit eines sicherheitsrelevanten Ausfalls des Rechensystems.
-
Weiterhin gibt es auch funktional sicherheitsgerichtete Systeme mit vollständiger Verfügbarkeit bei sicherheitstechnisch erkanntem, beherrschtem und kontrolliertem Ausfall einer oder mehrerer redundanter Teile des Systems (teils auch als engl. Fail Operational / Failure Tolerant bezeichnet). Es handelt sich also um ein ausfallsicheres und ausfalltolerantes System. Es muss also auch bei Ausfall oder Störung bzw. einer Funktionseinschränkung eines Teils des Systems noch eine geforderte Sicherheitsstufe vorhanden sein. Hierzu können mehrere der zuvor genannten Rechensysteme zusammen verwendet werden. Dabei stellt nun eine Erkennungs-Anzahl an Rechensystemen eine Anzahl dar, die mindestens nötig ist, um automatisch eine Ausfall-Anzahl, die wenigstens Eins beträgt, an Rechensystemen, bei denen eine Funktionseinschränkung auftritt, erkennen zu können. Hierbei sind nur aktiv betriebene Rechensysteme zu berücksichtigen, da ein nicht aktives Rechensystem nicht zur Beurteilung eines Ausfalls verwendet werden kann. Prinzipiell kann zwar bei zwei Rechensystemen mit der gleichen Sicherheitsstufe immer noch die Funktion mit dieser Sicherheitsstufe durchgeführt werden, wenn bei einem der Rechensysteme eine Funktionseinschränkung vorliegt. Jedoch ist eine automatische Erkennung einer solchen Funktionseinschränkung nur möglich, wenn nur bei weniger als der Hälfte der Rechensysteme eine Funktionseinschränkung vorliegt. So sind also beispielsweise mindestens drei Rechensysteme nötig, um eine Funktionseinschränkung bei einem davon automatisch erkennen zu können. Zur Erkennung einer gleichartigen Funktionseinschränkung bei zwei Rechensystemen sind hingegen schon fünf Rechensysteme nötig.
-
Es wird nun unter Verwendung der Entscheidungseinheiten erkannt, wenn bei wenigstens einem, jedoch höchstens bei der Ausfall-Anzahl der vorgehaltenen Rechensysteme eine Funktionseinschränkung auftritt. Beispielsweise wird also bei einem von drei Rechensystemen eine Funktionseinschränkung erkannt. Eine Entscheidungseinheit stellt dabei einen sicherheitsrelevanten Mechanismus dar, dessen Aufgabe darin besteht, einen Ausfall eines Rechensystems zu erkennen, insbesondere auch die Schwere des Ausfalls mittels eines sicherheitsrelevanten und ggf. redundant auszuführenden Mehrheitsentscheids zu bewerten und die daraus erforderliche Reaktion einzuleiten.
-
Bei erkannter Funktionseinschränkung, also beispielsweise einem Ausfall oder einer Störung, wird dann die sicherheitsgerichtete Funktion mit den übrigen Rechensystemen, also denjenigen Rechensystemen, bei denen keine Funktionseinschränkung vorliegt bzw. erkannt wurde, durchgeführt. Am Beispiel der drei Rechensysteme und einer Funktionseinschränkung bei einem davon werden also die zwei verbleibenden Rechensysteme hierfür verwendet.
-
Erfindungsgemäß ist nun vorgesehen, dass die Gesamt-Anzahl größer oder gleich einer Summe aus der Ausfall-Anzahl und einer Mindest-Anzahl gewählt wird. Die Mindest-Anzahl stellt dabei eine Anzahl an beliebig aus den vorgehaltenen Rechensystemen ausgewählten Rechensystemen dar, die mindestens nötig sind, um die sicherheitsgerichtete Funktion mit der ersten Sicherheitsstufe durchzuführen. Zudem wird die Gesamt-Anzahl kleiner als ein Produkt aus der Erkennungs-Anzahl und der Mindest-Anzahl gewählt. Außerdem wird wenigstens eines der vorgehaltenen Rechensysteme mit einer zweiten Sicherheitsstufe, die geringer als die erste Sicherheitsstufe ist, betrieben.
-
Das eingangs erwähnte Vorgehen für ein ausfallsicheres (und insbesondere ausfalltolerantes) System einer bestimmten Sicherheitsstufe würde es erforderlich machen, mehrere, also beispielsweise drei, einzelne sicherheitsgerichtete Rechensysteme derselben Sicherheitsstufe zu verwenden. Ein ausfallsicheres System mit ASIL-D kann also durch drei Rechensysteme, jeweils ebenfalls mit ASIL-D, bereitgestellt werden.
-
Es ist ebenfalls möglich, eine Funktion mit einer bestimmten Sicherheitsstufe durch mehrere einzelne Rechensysteme mit jeweils einer geringeren Sicherheitsstufe durchzuführen, sofern diese einzelnen Rechensysteme hinsichtlich etwaiger Fehler unabhängig voneinander sind. Insbesondere erlauben die ASIL-Stufen gemäß ISO 26262 eine Dekomposition. So lässt sich eine Funktion mit ASIL-D durch zwei Rechensysteme mit jeweils ASIL-B durchführen. In diesem Zusammengang werden die ASIL-B-Stufen dann auch mit ASIL-B(D) bezeichnet. Auf gleiche Weise lässt sich ASIL-B durch zwei ASIL-A(B) darstellen. An sich sind dabei auch asymmetrische Dekompositionen möglich wie beispielsweise die Darstellung eines ASIL-D durch ASIL-A(D) und ASIL-C(D). Für nähere Details sei an dieser Stelle auf die genannte ISO-Norm verwiesen.
-
Für ein einzelnes Rechensystem ist es dabei zudem möglich, die Eingabe- und/oder Ausgabeeinheiten, ggf. auch die Kommunikationseinheiten, von den übrigen Komponenten zu separieren und durch Kommunikationsverbindungen anzubinden. Dies erleichtert die Dekomposition.
-
Um nun den Aufwand zur Darstellung (insbesondere auch hinsichtlich Design und Absicherung) von Rechensystemen mit einer höheren Sicherheitsstufe zu reduzieren, können die nötigen Rechensysteme jeweils durch zwei Rechensysteme mit niedrigerer Stufe ersetzt werden. Im erwähnten Beispielsfall könnten also sechs Rechensysteme mit ASIL-B(D) verwendet werden, um ein ausfallsicheres System bzw. eine entsprechende Funktion mit ASIL-D darzustellen. Im Allgemeinen entspricht dies einer Gesamt-Anzahl, die einem Produkt aus Mindest-Anzahl und Erkennungs-Anzahl ist. Dies bedeutet jedoch eine sehr hohe Anzahl an nötigen Rechensystemen, selbst wenn die Eingabe- und/oder Ausgabeeinheiten, ggf. auch die Kommunikationseinheiten, separiert und nur einfach redundant vorgesehen werden.
-
Es wurde nun erkannt, dass bereits durch eine Gesamt-Anzahl an vorzuhaltenden Rechensystemen, die gleich der Summe aus der Ausfall-Anzahl und der Mindest-Anzahl ist, eine Funktion mit einer geforderten Sicherheitsstufe bereitgestellt werden kann, während sogar jedes der Rechensysteme nur eine geringere als die letztlich geforderte Sicherheitsstufe aufweist. So kann beispielsweise bereits durch die Verwendung von drei Rechensystemen mit jeweils ASIL-B(D) ein ausfallsicheres System bzw. eine sicherheitsgerichtete Funktion mit ASIL-D ausfallsicher dargestellt werden. Bei drei Rechensystemen kann zum einen bereits automatisch eine Funktionseinschränkung bei einem der Rechensysteme erkannt werden, zum anderen kann aber auch mit den dann noch verbleibenden zwei Rechensystemen mit ASIL-B(D) gemäß oben erläuterter Dekomposition ein System mit ASIL-D erreicht werden. Auf die gleiche Weise lässt sich eine sicherheitsgerichtete Funktion mit ASIL-B ausfallsicher durch drei Rechensysteme mit jeweils ASIL-A(B) darstellen.
-
Insbesondere kann also die Gesamt-Anzahl genau gleich der Summe aus der Ausfall-Anzahl und der Mindest-Anzahl gewählt werden, wenngleich bereits mit jeder Gesamt-Anzahl, die geringer als das Produkt aus Mindest-Anzahl und Erkennungs-Anzahl ist, eine Aufwandseinsparung gegenüber dem herkömmlichen Vorgehen erreicht werden kann.
-
Hierzu sei noch erwähnt, dass nicht notwendigerweise jedes der Rechensysteme eine niedrigere (hier also eine zweite) Sicherheitsstufe aufweisen muss, da beispielsweise auch mit zwei ASIL-B(D) und einem ASIL-D Rechensystem ein gefordertes ausfallsicheres System mit ASIL-D dargestellt werden kann, wenngleich dies hinsichtlich des erforderlichen Aufwandes zweckmäßig ist. Das vorgeschlagene Verfahren ist dabei insbesondere für autonomes oder teilautonomes Fahren von Vorteil, da hier besonders hohe Sicherheitsanforderungen gelten.
-
Besonders bevorzugt ist die Anwendung des vorgeschlagenen Verfahrens dabei in einem Fahrzeug, insbesondere einem Kraftfahrzeug. Hier kommen dann insbesondere komplexe Fahrerassistenz- und Fahrzeugsteuerungssysteme in Betracht, die keinen Ausfall einer Funktion oder sicherheitsgerichteten Funktion in speziellen Betriebsarten erlauben. Besonders kommen für die Erfindung die folgenden Anwendungsgebiete in Betracht: Einsatz- und Rettungsfahrzeuge, autonom fahrende Fahrzeuge, kommerziell eingesetzte Fracht- und Personenbeförderungsfahrzeuge, Fahrzeugassistenzsysteme, Fahrzeugbrems- und Lenksysteme, Energieregenerationssysteme, die einen Schutz vor Beschädigungen in Folge eines Steuergeräteausfalles benötigen, sicherheitsgerichtete Fahrzeug-Interkommunikationssysteme, Bahnkomponenten, deren Entwicklungsprinzipien insbesondere an die ISO26262 angelehnt werden können und akzeptiert werden, aber auch medizintechnische Anwendungen, deren Entwicklungsprinzipien insbesondere an die ISO26262 angelehnt werden können.
-
Vorzugsweise werden von den vorgehaltenen Rechensystemen wenigstens eines mehr als die Mindest-Anzahl, insbesondere alle, aktiv betrieben, wobei bei erkannter Funktionseinschränkung eines der aktiven Rechensysteme dieses Rechensystem wenigstens teilweise deaktiviert wird. Im Beispielsfall werden hier also alle drei Rechensysteme aktiv betrieben. Wenn bei einem eine Funktionseinschränkung bzw. ein Ausfall erkannt wird, wird dieses einfach ganz oder teilweise abgeschaltet. Hierzu müssen zwar für den regulären Betrieb mehr Rechensysteme als eigentlich nötig aktiv betrieben werden, jedoch kann besonders schnell auf eine Funktionseinschränkung reagiert werden, sodass diese möglichst im normalen Betrieb beispielsweise des Kraftfahrzeugs gar nicht bemerkt wird.
-
Weiterhin ist es bevorzugt, wenn zusätzlich zu den aktiv betriebenen Rechensystemen ein nicht aktiv betriebenes, aber funktionsfähiges Rechensystem vorgehalten wird, wobei nach der wenigstens teilweisen Deaktivierung des zuvor aktiven Rechensystems mit erkannter Funktionseinschränkung das zuvor nicht aktiv betriebene, aber funktionsfähige Rechensystem aktiv betrieben wird. Auf diese Weise kann weiterhin automatisch und sicher eine Funktionseinschränkung eines der aktiven Rechensysteme erkannt werden. Zudem kann nach dem Abschalten des defekten Rechensystems sehr schnell wieder ein ausfallsicheres und insbesondere ausfalltolerantes System hergestellt werden, da ein zuvor bereits vorgehaltenes und funktionsfähiges, aber zunächst nicht aktives Rechensystem, aktiviert, also zum System hinzugenommen wird.
-
Für diese Varianten der Redundanz ist es bevorzugt, dass, wenn eine Funktionseinschränkung nur einer Teilfunktion und/oder einer Komponente eines der aktiven Rechensysteme erkannt wird, zur Durchführung der sicherheitsgerichteten Funktion nur eine entsprechende Teilfunktion und/oder Komponente eines der übrigen Rechensysteme verwendet wird. Es kann also beispielsweise nur ein Teil des Rechensystems bei einer Funktionseinschränkung deaktiviert werden, wodurch insgesamt noch eine gewisse Redundanz (bei den übrigen Teilfunktionen bzw. Komponenten) erhalten bleibt und die Auslastung der Komponenten verringert wird. Im anderen Fall kann beispielsweise nur ein Teil des bislang nicht aktiven und funktionsfähigen Rechensystems zugeschaltet werden, wodurch ebenfalls noch eine gewisse Redundanz erhalten bleibt und die Auslastung verringert wird.
-
Vorzugsweise wird für wenigstens eine Komponente eines der vorgehaltenen Rechensysteme als eine redundante Komponente eine entsprechende Komponente eines anderen der vorgehaltenen Rechensysteme, die insbesondere diversitär ausgeführt ist, verwendet. Wenn also beispielsweise gefordert wird, dass gewisse Komponenten der Rechensysteme diversitär redundant ausgeführt werden, so kann dies übergreifend über die ohnehin vorhandenen, mehreren Rechensysteme erfolgen, sodass insgesamt nicht mehr Rechensysteme vorgehalten werden müssen. Zudem können auf diese Weise auch Rechensysteme gebildet werden, bei denen eine asymmetrische Dekomposition der insgesamt geforderten Sicherheitsstufe verwendet werden kann, da Komponenten auf verschiedenen Rechensystemen geeignet ausgewählt werden können.
-
Ein erfindungsgemäßes System umfassend mehrere Rechensysteme, insbesondere auch mehrere Recheneinheiten, z.B. ein Steuergeräteverbund eines Fahrzeugs oder über mehrere Fahrzeuge verteilt, ist, insbesondere programmtechnisch, dazu eingerichtet, ein erfindungsgemäßes Verfahren durchzuführen.
-
Auch die Implementierung des Verfahrens in Form eines Computerprogramms ist vorteilhaft, da dies besonders geringe Kosten verursacht, insbesondere wenn ein ausführendes Steuergerät noch für weitere Aufgaben genutzt wird und daher ohnehin vorhanden ist. Geeignete Datenträger zur Bereitstellung des Computerprogramms sind insbesondere magnetische, optische und elektrische Speicher, wie z.B. Festplatten, Flash-Speicher, EEPROMs, DVDs u.a.m. Auch ein Download eines Programms über Computernetze (Internet, Intranet usw.) ist möglich.
-
Weitere Vorteile und Ausgestaltungen der Erfindung ergeben sich aus der Beschreibung und der beiliegenden Zeichnung.
-
Die Erfindung ist anhand von Ausführungsbeispielen in der Zeichnung schematisch dargestellt und wird im Folgenden unter Bezugnahme auf die Zeichnung beschrieben.
-
Figurenliste
-
- 1 bis 3 zeigen schematisch verschiedene Rechensysteme.
- 4 zeigt schematisch ein nicht erfindungsgemäßes System zum ausfallsicheren Durchführen einer sicherheitsgerichteten Funktion.
- 5 bis 6 zeigen schematisch erfindungsgemäße Systeme in verschiedenen bevorzugten Ausführungsformen.
- 7 bis 8 zeigen schematische Abläufe erfindungsgemäßer Verfahren in verschiedenen bevorzugten Ausführungsformen.
-
Ausführungsform(en) der Erfindung
-
In 1 ist schematisch ein Rechensystem 100 gezeigt. Das Rechensystem 100 umfasst hier beispielhaft eine Prozessoreinheit 101', eine Steuerlogikeinheit 102', eine Speichereinheit 103', eine Kommunikationseinheit 104 und eine Ein- und/oder Ausgabeeinheit 105, wobei die Kommunikationseinheit 104 und die Ein- und/oder Ausgabeeinheit 105 über eine Schnittstelle 109' mit den übrigen Komponenten verbunden sind.
-
Die Prozessoreinheit 101', die Steuerlogikeinheit 102', die Speichereinheit 103' und die Schnittstelle 109' sind hier beispielhaft als ASIL-D-Komponenten ausgebildet, was einerseits schraffiert und andererseits durch den Apostroph angedeutet ist. Das Rechensystem 100 kann beispielsweise als Steuergerät ausgebildet sein. Wie eingangs bereits erwähnt, ist es jedoch auch denkbar, dass die einzelnen Komponenten über verschiedene Steuergeräte verteilt sind.
-
In 2 ist ein weiteres Rechensystem 200 gezeigt, das weitgehend dem Rechensystem 100 gemäß 1 entspricht. Allerdings sind hier mehrere Eingabe- und/oder Ausgabeeinheiten 105 ausgelagert und über eine Schnittstelle 110, eine Kommunikationseinheit 104 und einen entsprechenden Bus 111 an eine Kommunikationseinheit 104 angebunden, wobei sich letztere Kommunikationseinheit 104 in einer Einheit mit den übrigen Komponenten des Rechensystems 200 befinden kann. Dies ermöglicht eine Vereinfachung beispielsweise des Designs des Rechensystems 200. Das Rechensystem 200 ist weiterhin als ASIL-D-Rechensystem ausgebildet, insbesondere mit einzelnen ASIL-D-Komponenten.
-
In 3 ist ein weiteres Rechensystem 301 gezeigt, bei dem gegenüber dem Rechensystem 200 gemäß 2 zwei einzelne Rechensysteme 300, die jeweils als ASIL-B-Rechensystem ausgebildet sind, verwendet werden, um insgesamt ein ASIL-D-Rechensystem, das Rechensystem 301, darzustellen. Hierzu sind in den beiden Rechensystemen 300 jeweils miteinander in Kommunikationsverbindung stehende Module 120 für einen Kreuzvergleich vorgesehen. Die einzelnen Komponenten sind hier nun ebenfalls mit ASIL-B ausgeführt, was durch nicht schraffierte Komponenten und fehlenden Apostroph beim Bezugszeichen dargestellt ist.
-
Die Rechensysteme 100, 200 und 301 gemäß den 1 bis 3 bilden dabei jeweils ein sicherheitsgerichtetes Rechensystem (Fail Safe) mit einer ersten Sicherheitsstufe, hier ASIL-D.
-
In 4 ist nun schematisch ein nicht erfindungsgemäßes System 401 zum ausfallsicheren Durchführen einer sicherheitsgerichteten Funktion, und damit ein ausfallsicheres System (Fail Operational / Failure Tolerant), dargestellt. Hierzu werden drei Rechensysteme 400 verwendet, die jeweils im Grunde dem Rechensystem 200 gemäß 2 entsprechen (die einzelnen Komponenten sind hierzu auch entsprechend bezeichnet). Die Eingabe- und/oder Ausgabeeinheiten 104 sind hier, wie auch bei den 2 bis 4 gezeigt, über einen Bus 111 angebunden, was für ein solches, ausfallsicheres System ausreichend ist.
-
In den drei Rechensystemen 400 ist nun jeweils zusätzlich eine Entscheidungseinheit 130' (auch als sog. Voter bezeichnet) vorgesehen. Anhand der insgesamt drei Entscheidungseinheiten 130' kann nun erkannt werden, wenn bei einem der Rechensysteme 400 eine Funktionseinschränkung auftritt. Entsprechend kann dann beispielsweise das betreffende Rechensystem deaktiviert werden.
-
Jedes der Rechensysteme 400 und jede der davon umfassten Komponenten ist dabei mit ASIL-D ausgeführt (für die Eingabe- und/oder Ausgabeeinheiten aufgrund der Separierung nicht nötig). Hiermit ist nun zwar ein ausfallsicheres System mit ASIL-D dargestellt, jedoch werden drei ASIL-D-Rechensysteme benötigt, jedes davon mit einzelnen ASIL-D-Komponenten, was einen erheblichen Aufwand, insbesondere hinsichtlich Absicherung und Kosten bedeutet.
-
Denkbar wäre nun, jedes der drei Rechensysteme 400 durch jeweils zwei Rechensysteme zu ersetzen - ähnlich wie dies für ein Rechensystem im Vergleich zwischen den 2 und 3 gezeigt ist. Dies würde zwar ggf. den Aufwand für die Absicherung verringern, jedoch ist insgesamt eine sehr hohe Anzahl an Rechensystemen nötig.
-
In 5 ist nun schematisch ein erfindungsgemäßes System 501 in einer bevorzugten Ausführungsform dargestellt. Das System 501 entspricht von der Architektur her zwar dem System 501 gemäß 5, jedoch werden nur Rechensysteme 500 mit einer zweiten Sicherheitsstufe, hier ASIL-B, jeweils nur mit ASIL-B-Komponenten, verwendet. Gegenüber dem System 501 ergibt sich damit ein System mit deutlich geringerem Aufwand hinsichtlich der Absicherung, jedoch nicht erhöhter Anzahl an einzelnen Rechensystemen.
-
Dennoch wird auf diese Weise ein ausfallsicheres System mit der ersten Sicherheitsstufe, ASIL-D, dargestellt. Zum einen kann durch die Entscheidungseinheiten 130 automatisch erkannt werden, wenn bei einem der Rechensysteme 500 eine Funktionseinschränkung auftritt, zum anderen kann durch die zwei verbleibenden Rechensysteme weiterhin eine Funktion mit ASIL-D durchgeführt werden, da - wie bereits erwähnt - durch zwei Rechensysteme mit jeweils ASIL-B eine Funktion mit ASIL-D dargestellt werden kann.
-
In 6 ist schematisch ein erfindungsgemäßes System 601 in einer weiteren bevorzugten Ausführungsform dargestellt. Das System 601 entspricht im Grunde dem System 501 gemäß 5, wobei hier der Übersichtlichkeit halber jedoch weniger Komponenten der einzelnen Rechensysteme 600 gezeigt sind. Durch geeignete Ansteuerung bzw. Kombination der einzelnen Komponenten der Rechensysteme 600 untereinander können dabei Redundanzen für die einzelnen Komponenten gebildet werden, was hier durch Verbindungspfeile R angedeutet ist.
-
Insbesondere können die einzelnen Komponenten im Hinblick auf die unterschiedlichen Rechensysteme auch diversitär ausgebildet sein, wodurch eine höhere Ausfallsicherheit erreicht werden kann. Insgesamt werden jedoch keine zusätzlichen, diversitär ausgebildeten, redundanten Komponenten benötigt.
-
In 7 ist schematisch ein Ablauf eines erfindungsgemäßen Verfahrens in einer bevorzugten Ausführungsform schematisch dargestellt. Hierzu ist der Betriebsmodus von drei Rechensystemen 500, wie sie in Bezug auf 5 beschrieben wurden, über der Zeit t dargestellt. Dabei gibt 0 ein deaktiviertes und 1 ein aktiviertes Rechensystem an. Insgesamt sind hier eine Gesamt-Anzahl G von drei, die auch der Erkennungs-Anzahl E entspricht, vorgesehen. Wie bereits erwähnt, sind eine Mindest-Anzahl M von zwei nötig, um eine Ausfall-Anzahl A von Eins an Rechensystemen mit Funktionseinschränkung zu erkennen.
-
Zunächst sind alle drei Rechensysteme aktiv. Zum Zeitpunkt t0 wird nun eine Funktionseinschränkung F in dem oberen der drei Rechensysteme erkannt. Anschließend wird dieses Rechensystem deaktiviert. Mit den beiden übrigen Rechensystemen kann dann weiterhin eine sicherheitsgerichtete Funktion mit ASIL-D dargestellt werden.
-
In 8 ist schematisch ein Ablauf eines erfindungsgemäßen Verfahrens in einer weiteren bevorzugten Ausführungsform schematisch dargestellt. Hier sind Betriebsmodi von vier Rechensystemen 500, wie sie in Bezug auf 5 beschrieben wurden, über der Zeit t dargestellt. Dabei gibt 0 ein deaktiviertes und 1 ein aktiviertes Rechensystem an.
-
Zunächst sind nur die drei unteren der vier Rechensysteme aktiv. Das obere Rechensystem wird dabei vorgehalten und ist nicht aktiv, jedoch funktionsfähig. Zum Zeitpunkt t0 wird nun eine Funktionseinschränkung F in dem zweiten Rechensystem von oben erkannt. Anschließend wird dieses Rechensystem deaktiviert und - ggf. nach bzw. einhergehend mit einem Neustart der verbleibenden zwei, unteren Rechensysteme - wird das obere, zunächst deaktivierte und funktionsfähige Rechensystem aktiviert. Mit den drei aktiven und funktionsfähigen Rechensystemen kann dann weiterhin eine sicherheitsgerichtete und insbesondere auch ausfalltolerante Funktion mit ASIL-D dargestellt werden.