DE10211279A1 - Verfahren zum Betreiben eines verteilten sicherheitsrelevanten Systems - Google Patents

Verfahren zum Betreiben eines verteilten sicherheitsrelevanten Systems

Info

Publication number
DE10211279A1
DE10211279A1 DE10211279A DE10211279A DE10211279A1 DE 10211279 A1 DE10211279 A1 DE 10211279A1 DE 10211279 A DE10211279 A DE 10211279A DE 10211279 A DE10211279 A DE 10211279A DE 10211279 A1 DE10211279 A1 DE 10211279A1
Authority
DE
Germany
Prior art keywords
pro
process computer
communication
control
communication system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE10211279A
Other languages
English (en)
Inventor
Thomas Fuehrer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE10211279A priority Critical patent/DE10211279A1/de
Publication of DE10211279A1 publication Critical patent/DE10211279A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60GVEHICLE SUSPENSION ARRANGEMENTS
    • B60G17/00Resilient suspensions having means for adjusting the spring or vibration-damper characteristics, for regulating the distance between a supporting surface and a sprung part of vehicle or for locking suspension during use to meet varying vehicular or surface conditions, e.g. due to speed or load
    • B60G17/015Resilient suspensions having means for adjusting the spring or vibration-damper characteristics, for regulating the distance between a supporting surface and a sprung part of vehicle or for locking suspension during use to meet varying vehicular or surface conditions, e.g. due to speed or load the regulating means comprising electric or electronic elements
    • B60G17/0195Resilient suspensions having means for adjusting the spring or vibration-damper characteristics, for regulating the distance between a supporting surface and a sprung part of vehicle or for locking suspension during use to meet varying vehicular or surface conditions, e.g. due to speed or load the regulating means comprising electric or electronic elements characterised by the regulation being combined with other vehicle control systems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T13/00Transmitting braking action from initiating means to ultimate brake actuator with power assistance or drive; Brake systems incorporating such transmitting means, e.g. air-pressure brake systems
    • B60T13/74Transmitting braking action from initiating means to ultimate brake actuator with power assistance or drive; Brake systems incorporating such transmitting means, e.g. air-pressure brake systems with electrical assistance or drive
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1641Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60GVEHICLE SUSPENSION ARRANGEMENTS
    • B60G2600/00Indexing codes relating to particular elements, systems or processes used on suspension systems or suspension control systems
    • B60G2600/08Failure or malfunction detecting means
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60GVEHICLE SUSPENSION ARRANGEMENTS
    • B60G2600/00Indexing codes relating to particular elements, systems or processes used on suspension systems or suspension control systems
    • B60G2600/70Computer memory; Data storage, e.g. maps for adaptive control
    • B60G2600/702Parallel processing
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60GVEHICLE SUSPENSION ARRANGEMENTS
    • B60G2800/00Indexing codes relating to the type of movement or to the condition of the vehicle and to the end result to be achieved by the control action
    • B60G2800/80Detection or control after a system or component failure
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0001Details of the control system
    • B60W2050/0043Signal treatments, identification of variables or parameters, parameter estimation or state estimation
    • B60W2050/0044In digital systems
    • B60W2050/0045In digital systems using databus protocols
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • B60W2050/021Means for detecting failure or malfunction
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/04Monitoring the functioning of the control system
    • B60W2050/041Built in Test Equipment [BITE]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/181Eliminating the failing redundant component
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/182Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits based on mutual exchange of the output between redundant processing components

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Theoretical Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Medical Informatics (AREA)
  • General Health & Medical Sciences (AREA)
  • Signal Processing (AREA)
  • Transportation (AREA)
  • Computing Systems (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Safety Devices In Control Systems (AREA)
  • Hardware Redundancy (AREA)
  • Programmable Controllers (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zum Betreiben eines verteilten sicherheitsrelevanten Systems, insbesondere eines X-by-Wire-Systems in einem Kraftfahrzeug. Das verteilte System umfasst mindestens einen ersten Prozessrechner (Pro_1) zur Ansteuerung einer Komponente (Akt_1) des Systems und mindestens einen weiteren Prozessrechner (Pro_m). Die Prozessrechner (Pro_1, Pro_m) sind jeweils über einen Kommunikationscontroller (S_1, S_m) an ein Kommunikationssystem (K_1) angeschlossen. Die Funktionsfähigkeit des mindestens einen ersten Prozessrechners (Pro_1) wird durch den mindestens einen weiteren Prozessrechner (Pro_m) überprüft. Dieses Verfahren wird auch als ein verteiltes Überwachungskonzept bezeichnet. Erfindungsgemäß wird ein Mechanismus zur gesicherten Abschaltung mindestens eines fehlerhaften ersten Prozessrechners (Pro_1) durch mindestens einen der weiteren Prozessrechner (Pro_m) vorgeschlagen, um den ein Kommunikationsprotokoll des Kommunikationssystems (K_1) zur Realisierung des verteilten Überwachungskonzepts erweitert wird.

Description

Stand der Technik
Die vorliegende Erfindung betrifft ein Verfahren zum Betreiben eines verteilten sicherheitsrelevanten Systems, insbesondere eines X-by-Wire-Systems in einem Kraftfahrzeug. Das verteilte System umfasst mindestens einen ersten Prozessrechner zur Ansteuerung einer Komponente des Systems und mindestens einen weiteren Prozessrechner, wobei die Prozessrechner jeweils über einen Kommunikationscontroller an ein Kommunikationssystem angeschlossen sind. Die Funktionsfähigkeit des mindestens einen ersten Prozessrechners wird durch den mindestens einen weiteren Prozessrechner überprüft.
Die Erfindung betrifft außerdem ein verteiltes sicherheitsrelevantes System, insbesondere ein X-by-Wire- System in einem Kraftfahrzeug. Das verteilte System umfasst mindestens einen ersten Prozessrechner zur Ansteuerung einer Komponente des Systems und mindestens einen weiteren Prozessrechner, wobei die Prozessrechner jeweils über einen Kommunikationscontroller an ein Kommunikationssystem angeschlossen sind. Eine Überwachung der Funktionsfähigkeit des mindestens einen ersten Prozessrechners erfolgt durch den mindestens einen weiteren Prozessrechner.
Des weiteren betrifft die vorliegende Erfindung einen Kommunikationscontroller zum Anschluss mindestens eines ersten Prozessrechners und mindestens eines weiteren Prozessrechners an ein Kommunikationssystem eines verteilten sicherheitsrelevanten Systems, insbesondere eines X-by-Wire-Systems in einem Kraftfahrzeug. Der mindestens eine erste Prozessrechner dient zur Ansteuerung einer Komponente des verteilten Systems. Auf dem Kommunikationscontroller läuft zur Realisierung einer Datenübertragung zwischen den Prozessrechnern und dem Kommunikationssystem ein Kommunikationsprotokoll ab.
Schließlich betrifft die Erfindung auch ein Kommunikationsprotokoll für ein Kommunikationssystem eines verteilten sicherheitsrelevanten Systems, insbesondere eines X-by-Wire-Systems in einem Kraftfahrzeug. Das verteilte System umfasst mindestens einen ersten Prozessrechner zur Ansteuerung einer Komponente des verteilten Systems und mindestens einen weiteren Prozessrechner. Die Prozessrechner sind jeweils über einen Kommunikationscontroller an das Kommunikationssystem angeschlossen. Das Kommunikationsprotokoll läuft zur Realisierung einer Datenübertragung zwischen den Prozessrechnern und dem Kommunikationssystem auf den Kommunikationscontrollern ab.
Die Vernetzung von Steuergeräten (Prozessrechnern), Sensorik und Aktorik mit Hilfe eines Kommunikationssystems hat im Kraftfahrzeugbereich in den letzten Jahren stark zugenommen. Dabei muss eine gegenseitige Beeinflussung der Prozessrechner über das Kommunikationssystem ausgeschlossen werden. Synergieeffekte durch Verteilung von Funktionen auf mehrere Prozessrechner steht im Vordergrund. Man spricht von verteilten Systemen.
Eine spezielle Realisierung solcher verteilter Systeme sind X-by-Wire-Systeme. Ein X-by-Wire-System ist ein Kraftfahrzeugsystem, das der Fahrzeugbewegung dient und die Entkopplung von Fahrerwunscherfassung und deren Umsetzung erlaubt. Die Verbindung zwischen Fahrerwunscherfassung und deren Umsetzung ist nicht mechanischer Art, sondern beruht im Wesentlichen nur auf der (elektronischen) Informationsübertragung. Ein X-by-Wire-System ist ein System mit hohen Sicherheitsanforderungen, d. h. ein Komplettausfall dieses Systems erzeugt einen Fehler der höchsten, im Fahrzeug möglichen Sicherheitsstufe. Es werden drei Klassen solcher Systeme betrachtet.
  • 1. Nasse X-by-Wire-Systeme sind solche Systeme mit einer hydraulischen (mechanischen) Rückfallebene, welche die Basisfunktionalität auch ohne elektrische Energieversorgung (z. B. nach einem Ausfall der Energieversorgung) aufrechterhalten können. Unter Basisfunktionalität ist die Funktion zu verstehen, die bei einer festen mechanischen Kopplung von Fahrerwunsch zu erzielter Wirkung auch noch vorhanden wäre. Bei einer Fahrzeugbremse ist z. B. die Basisbremsfunktion die Bremsfunktion ohne ein elektronisches Regelsystem, das eine variable Bremskraftverteilung erzeugen könnte. Bei der Basisbremsfunktion ist dann (systemabhängig) fest vorgegeben, dass bspw. 65% der Bremskraft auf die Vorderachse und 35% auf die Hinterachse entfallen. Antiblockiersystem (ABS), Antischlupfregelung (ASR) und Fahrdynamikregelung (FDR) gehören nicht zur Basisbremsfunktion.
  • 2. Trockene X-by-Wire-Systeme sind solche Systeme ohne eine mechanische/hydraulische Rückfallebene. Die Realisierung basiert ausschließlich auf elektro­ mechanischen Komponenten.
  • 3. Halb-trockene X-by-Wire-Systeme sind solche Systeme, die zwar über einen hydraulischen Steller verfügen, die aber eine "trockene Schnittstelle" haben. Bezüglich der Kommunikationsanforderungen sind diese Systeme daher gleich zu behandeln wie trockene X-by- Wire-Systeme.
Typische Beispiele für X-by-Wire-Systeme sind Steer-by- Wire- und Brake-by-Wire-Systeme (elektronische Lenkung und elektronische Bremse).
In allen Systemen mit hohen Sicherheitsanforderungen, insbesondere in X-by-Wire-Systemen, sind Mechanismen zur Freigabe der Aktorik, z. B. von Elektromotoren oder Hydraulikpumpen, notwendig. Dies wird nach dem Stand der Technik durch sog. "intelligente Watchdogs" auf Basis einer Frage-Antwort-Kommunikation realisiert.
Ein Verfahren der eingangs genannten Art ist bspw. aus der DE 198 26 131 Al bekannt. In dieser Druckschrift ist das verteilte sicherheitsrelevante System als ein elektrisches Bremssystem eines Kraftfahrzeugs beschrieben. Die Komponenten sind als die Bremsen des Kraftfahrzeugs bzw. genauer gesagt als Aktoren zur Ansteuerung der Bremsen ausgebildet. Ein solches System ist in hohem Maße sicherheitsrelevant, da eine fehlerhafte Ansteuerung der Komponenten, insbesondere ein fehlerhaftes Betätigen der Bremsen, zu einem nicht vorhersehbaren Sicherheitsrisiko führen kann. Aus diesem Grund muss eine fehlerhafte Ansteuerung der Komponenten mit Sicherheit ausgeschlossen werden.
Wesentliche Merkmale des bekannten Bremssystems sind ein Pedalmodul zur zentralen Fahrerwunscherfassung, vier Radmodule zur radindividuellen Regelung der Bremsaktuatoren und ein Verarbeitungsmodul zur Berechnung übergeordneter Bremsfunktionen. Die Kommunikation der einzelnen Module untereinander kann durch ein oder mehrere Kommunikationssysteme erfolgen. In Fig. 2 der vorliegenden Patentanmeldung ist die interne Struktur eines Radmoduls mit verschiedenen logischen Ebenen beispielhaft dargestellt. Die logische Ebene L1 umfasst dabei mindestens die Berechnung der Steuer- und Regelfunktionen für die Radbremsen, während die logischen Ebenen L2 bis L4 verschiedene Funktionen zur Rechnerüberwachung und Funktionsüberprüfung von L1 beinhalten.
Die Ansteuerung der Bremsen, bzw. der Elektromotoren zur Betätigung der Bremsbacken, umfasst für jedes Radmodul gleichermaßen die nachfolgenden Schritte:
  • a) Ermitteln mindestens eines Ansteuersignals (f_1) für die Bremse durch ein erstes Mikrorechnersystem (R_1A) in Abhängigkeit von mindestens einem Eingangssignal (a_R2, a_R3, a_R4; a_V, ref; s_R2, s_R3, s_R4; Δs_V, ref; v_F; n_1; d_1; F_li; a_R1; s_R1). Die Eingangssignale werden dem Mikrorechnersystem (R_1A) über ein Kommunikationssystem (K_1), bspw. ein Bussystem, zur Verfügung gestellt.
  • b) Ermitteln mindestens eines logischen Ansteuersignals (e_1H). Das logische Ansteuersignal (e_1H) wird zumindest teilweise von einer von dem ersten Mikrorechnersystem (R_1A) unabhängigen Überwachungseinheit (R_1B) in Abhängigkeit von dem mindestens einen Eingangssignal ermittelt.
  • c) Vergleichen des mindestens einen Ansteuersignals (f_1) mit dem mindestens einen logischen Ansteuersignal (e_1H) in einer Leistungselektronik (LE_1K).
  • d) Ermitteln mindestens eines Freigabesignals (innerhalb der Leistungselektroniken LE) in Abhängigkeit von dem Ergebnis des Vergleichs des Ansteuersignals (f_1) und des logischen Ansteuersignals (e_1H); und
  • e) Weiterleiten des mindestens einen Ansteuersignals (f_1) oder eines von dem Ansteuersignal (f_1) abhängigen Signals (i_1K) an die Bremse, bzw. an einen Aktuator Akt_1 für die Bremsbacken, falls das mindestens eine Freigabesignal einen vorgebbaren Wert aufweist.
Die Überwachungseinheit (R_1B) dient insbesondere zur Erkennung systematischer (sog. common mode) Fehler. Ein Beispiel für solche Fehler sind Fehler in der Spannungsversorgung. Bei dem bekannten Bremssystem ist die Überwachungseinheit (R_1B) als ein selbständiges Mikrorechnersystem ausgebildet. Alternativ kann die Überwachungseinheit (R_1B) jedoch auch als ein Hardwarebaustein ohne eigenen Prozessor ausgebildet sein, der jedoch konkrete logische Funktionen oder, falls er ein Register aufweist, sogar Schaltfunktionen ausführen kann. Ein Beispiel für einen solchen Hardwarebaustein ist bspw. ein ASIC (Applied Specific Integrated Circuit), ein FPGA (Field-Programmable Gate Array) oder eine Überwachungsschaltung (sog. Watch-Dog).
Das Steuergerät (Mikrorechnersystem oder Prozessrechner), das für die Ansteuerung der Komponente (Aktorik) verantwortlich ist, wird überwacht und im Fehlerfall von der Überwachungseinheit abgeschaltet. Die Überwachung basiert auf einer Frage-Antwort-Kommunikation, die einem festgelegten Protokoll folgen muss.
Die Freigabe der Aktorik (LE2R) erfolgt ausschließlich bei Übereinstimmung (Frage-Antwort-Kommunikation arbeitet wie spezifiziert) des Mikrorechnersysrems (R_1A) und der unabhängigen Überwachungseinheit (R_1B). Das Prinzip dieser Freigabe basiert auf einer elektrischen Freigabeschaltung (UND-Verknüpfung), die zwischen dem Prozessrechner und der Überwachungseinheit realisiert ist. Das bedeutet, dass beide Einheiten für die normale Funktion der Aktorik eine logische "Eins" an die Freigabeschaltung anlegen müssen.
Die Abschaltung der Aktorik erfolgt, sobald ein Prozess in dem Mikrorechnersystem (R_1A) das Signal zur Abschaltung gibt. Die Überwachungskomponente (R_1B) wird nur dann das Signal zur Abschaltung geben, wenn die überwachte Einheit (Mikrorechnersystem R_1A) als fehlerhaft erkannt wurde.
In sicherheitsrelevanten Systemen sind aber auch Überwachungsmechanismen für Steuergeräte (Prozessrechner) notwendig, die über den Umfang einer Frage-Antwort- Kommunikation hinausgehen. Dies spielt insbesondere eine große Rolle für sogenannte Fail-Silent-Rechner. Diese Rechner dürfen per Definition nur einen Wert nach Außen geben, wenn dieser korrekt vorliegt (zur richtigen Zeit) oder erkennbar falsch dargestellt wird. Hierzu werden lokal laufende Überwachungsfunktionen (Speichertests, Plausibilitätsprüfungen) am Prozessrechner selbst implementiert. Für besonders sicherheitsrelevante Aufgaben muss aber der Fall berücksichtigt werden, dass der Fail- Silent-Rechner die erwartete Zuverlässigkeit nicht mehr erfüllt. Der Rechner kann sich nicht mehr selbst abschalten bzw. einen Wiederanlauf initiieren. Eine unabhängige Einheit muss die gesicherte Abschaltung übernehmen oder einen Wiederanlauf initiieren.
Der Einsatz von Kommunikationssystemen im Automobilbereich ist inzwischen bei nahezu allen Herstellern zum Standard geworden. Die Society for Automotive Engineering (SAE) hat drei unterschiedliche Anforderungsklassen an die Kommunikation definiert: Klasse A, B und C. Diese Klassen unterscheiden sich in der Menge der Informationen, die ausgetauscht werden bis hin zu den unterschiedlichen Echtzeitanforderungen und Anwendungsgebieten. Die Protokollklasse mit den höchsten Anforderungen ist die Klasse C. Hierzu ist eine Spezifikation der SAE "Kommunikationsprotokolle für Klasse C Anwendungen", SAE J2056/1, Juni 1993 erhältlich. Diese Klasse C ist die für X-by-Wire-Systeme zuständige Klasse.
Kommunikationssyteme, die für X-by-Wire-Anwendungen herangezogen werden können, arbeiten bspw. nach dem CAN-, TTCAN (Time Triggered CAN)-, TTP/C- oder FlexRay-Protokoll. Ein für die vorliegende Erfindung wichtiger Dienst in solchen Protokollen stellt der Teilnehmer-Service (sog. Membership-Service) dar. Dabei wird über einen Mechanismus der Nachrichtenbestätigung die Zugehörigkeit/Aktivität eines Kommunikationsteilnehmers (Mikrorechnersystems oder Prozessrechners) in einem Entscheidungsverfahren aller aktiven Kommunikationsteilnehmer bestimmt. Die Informationen über die Zugehörigkeit/Aktivität der Kommunikationsteilnehmer werden als sog. Membership- Information gespeichert. Nach einer bestimmter Anzahl an Entscheidungsrunden ist die Membership-Information stabil, d. h. von allen Teilnehmern als gültig anerkannt. Wird durch diese Entscheidung ein Teilnehmer als inaktiv bezeichnet, darf dieser Knoten nicht mehr aktiv an der Kommunikation teilnehmen. Der für diesen Knoten zuständige Prozessrechner erkennt den inaktiven Zustand und muss Maßnahmen ergreifen, um seinen Kommunikationscontroller wieder aktiv zu schalten (Wiederanlauf und Resynchronisation). Der Mechanismus zur Bestimmung der Teilnehmer wird laufend ausgeführt und ist Teil des eigentlichen Kommunikationsprotokolls.
Nachteilig bei dem aus der DE 198 26 131 A1 hervorgehenden Stand der Technik ist es, dass die logische Ebene L4 stets in einem gesonderten Bauteil realisiert ist, das - bspw. in Radmodulen eines elektrischen Bremssystems - innerhalb des verteilten sicherheitsrelevanten Systems zudem mehrfach vorgesehen sein muss.
Um diesen Nachteil zu beheben wird vorgeschlagen, auf die Überwachungseinheit ganz zu verzichten und die Aufgaben der Überwachungseinheit dem mindestens einen weiteren Prozessrechner des verteilten sicherheitsrelevanten Systems und/oder mindestens einem der Kommunikationscontroller zu übertragen, über welche die weiteren Prozessrechner an das Kommunikationssystem angeschlossen sind.
Der vorliegenden Erfindung liegt die Aufgabe zugrunde, bei einem solchen verteilten Überwachungskonzept Möglichkeiten zu schaffen, durch welche die Basisfunktionalität eines Kommunikationssystems bzw. eines Kommunikationsprotokolls, nämlich gesicherte Nachrichtenübertragung, Senden von Nachrichten, die gleichzeitig an mehrere Ziele in dem Kommunikationssystem gerichtet sind (sog. Multicasting), Nachrichtenbestätigung und - z. B. bei TTP/C (Time Triggered Protocol for Class C) oder CAN (Controller Area Network) - der Teilnehmer-Service, um einen Mechanismus zur gesicherten Abschaltung von Prozessrechnern über das Kommunikationssystem erweitert wird.
Zur Lösung dieser Aufgabe schlägt die vorliegende Erfindung ausgehend von dem Verfahren der eingangs genannten Art ein Verfahren mit den nachfolgenden Schritten vor:
  • - mindestens einer der weiterer Prozessrechner, der einen Fehler mindestens eines der ersten Prozessrechner ermittelt hat, übermittelt eine Ansteuernachricht über das Kommunikationssystem zum Ansteuern des fehlerhaften ersten Prozessrechners oder der von diesem angesteuerten Komponente;
  • - es wird überprüft, ob der Absender der Ansteuernachricht berechtigt ist, den fehlerhaften ersten Prozessrechner anzusteuern;
  • - es wird überprüft, ob der Absender der Ansteuernachricht an das Kommunikationssystem angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem beteiligt ist;
  • - in Abhängigkeit des Inhalts von Ansteuernachrichten derjenigen Absender, die berechtigt sind, den fehlerhaften ersten Prozessrechner anzusteuern, und die an das Kommunikationssystem angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem beteiligt sind, wird nach einem vorgebbaren Entscheidungsalgorithmus entschieden, wie der fehlerhafte erste Prozessrechner und/oder die Komponente anzusteuern sind; und
  • - der fehlerhafte erste Prozessrechner und/oder die Komponente werden dementsprechend angesteuert.
Vorteile der Erfindung
Erfindungsgemäß werden also lokal oder global verfügbare Informationen vorgesehen, durch die eine sichere und zuverlässige Realisierung des verteilten Überwachungskonzepts innerhalb des Kommunikationssystems erreicht werden kann. Diese Informationen betreffen für die ersten Prozessrechner jeweils eine lokale Liste, in der diejenigen weiteren Prozessrechner aufgeführt sind, die den jeweiligen ersten Prozessrechner im Fehlerfalle ansteuern (z. B. abschalten) dürfen. Außerdem betreffen die Informationen eine globale Liste, in der diejenigen Prozessrechner aufgeführt sind, die an das Kommunikationssystem angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem beteiligt sind. Für diese Liste kann bspw. die Membership-Information des Teilnehmer-Services herangezogen werden. Schließlich betreffen die Informationen für jeden weiteren Prozessrechner eine global verfügbare Liste, in der diejenigen ersten Prozessrechner aufgeführt sind, die der jeweilige weitere Prozessrechner als fehlerhaft erkannt hat und die er deshalb ansteuern (z. B. abschalten) möchte.
Die vorliegende Erfindung geht von einem Kommunikationssystem mit mehreren Prozessrechnern aus. Die Prozessrechner sind in zwei Gruppen unterteilt, nämlich zum einen erste Prozessrechner, die überwacht werden, und zum anderen weitere Prozessrechner, die überwachen. Welcher der Prozessrechner des verteilten Systems der ersten und welcher der zweiten Gruppe angehören, ist eine Frage der Definition. Es ist durchaus denkbar, dass ein und derselbe Prozessrechner einerseits der ersten Gruppe angehört, weil der von einem oder mehreren der weiteren Prozessrechner überwacht wird, andererseits aber auch der zweiten Gruppe angehört, weil er einen oder mehrere andere (erste) Prozessrechner überwacht.
Durch die vorliegende Erfindung wird die Basisfunktionalität eines Kommunikationssystems bzw. Kommunikationsprotokolls, nämlich gesicherte Nachrichtenübertragung, Multicasting, Nachrichtenbestätigung und Teilnehmer-Service, mit einem Mechanismus zur gesicherten Abschaltung von Prozessrechnern über das Kommunikationssystem erweitert. Das Kommunikationssystem ersetzt dabei die beim Stand der Technik in Hardware (durch Verkabelung) realisierten Abschaltpfade (z. B. Überwachungseinheit mit sternförmiger Verkabelung zu Radrechnern in einem Brake-by-Wire-System). Das Kommunikationssystem ermöglicht es, einen nach dem Stand der Technik lokal implementierten intelligenten Watchdog (oftmals in Form einfacher Hardwareschaltungen) am Prozessrechner des Steuergeräts in einen beliebigen ausgewählten Prozessrechner in der Kommunikationssystem zu Verlagern. Dabei wird vorzugsweise ein in dem verteilten System bereits vorhandenes Steuergerät mit seinem Prozessrechner herangezogen. Eine erweiterte Watchdog- Funktionalität, z. B. Plausibilitätsprüfung durch Gegenrechnen, kann dadurch einfacher realisiert werden.
Der zusätzliche Mechanismus zur gesicherten Abschaltung in dem Kommunikationssystem ermöglicht aber auch ein verteiltes Überwachungskonzept. Das bedeutet, dass nicht nur ein Prozessrechner die Funktion des intelligenten Watchdogs übernimmt, sondern dass mehrere Steuergeräte mit ihren Prozessrechnern über das Kommunikationssystem eine Ansteuerung bzw. Abschaltung bewirken können.
Ein in heutigen Kraftfahrzeugen bereits standardisiertes Kommunikationssystem und eine damit verbundene Busverkabelung (Eindraht- oder Zweidrahtleitung) wird als Abschaltpfad genutzt. Es ist keine explizite Verkabelung für den Abschaltpfad zwischen den Einheiten des Kommunikationssystems notwendig. Das Kommunikationssystem führt ein Ansteuer- bzw. Abschalt-Protokoll aus, das im normalen Protokollablauf (eigentliches Senden und Empfangen von Nachrichten, Nachrichtenbestätigung und Teilnehmer- Service) eingebaut ist. Dabei entsteht zwar eine geringe Mehrbelastung des Kommunikationscontrollers, aber eine bedeutende Verbesserung in der Nutzung vorhandener Steuergeräte (Prozessorrechner). Des weiteren stellt das Kommunikationssystem Software- und Hardwareschnittstellen an den Prozessrechner zur Verfügung, um das Ansteuer- bzw. Abschalt-Protokoll zu initiieren bzw. umzusetzen.
Eine Freigabeschaltung, über welche eine Komponente (die Aktorik) eines verteilten sicherheitsrelevanten Systems nach dem erfindungsgemäßen Verfahren angesteuert wird, wird also von einem Prozessrechner einerseits und von einem Kommunikationscontroller andererseits bedient. Somit wird es möglich, die Komponente über das Kommunikationssystem anzusteuern bzw. abzuschalten. Außerdem kann auch der Prozessrechner selbst mit dem Kommunikationscontroller gekoppelt werden, so dass der Prozessrechner, der die Komponente ansteuert, selbst angesteuert bzw. abgeschaltet werden kann, z. B. durch Anschluss des Kommunikationscontrollers an einer Reset-Leitung des Prozessrechners.
Gemäß einer vorteilhaften Weiterbildung der vorliegenden Erfindung wird vorgeschlagen, dass durch die Ansteuernachricht ein Abschalten des fehlerhaften ersten Prozessrechners und/oder der von diesem angesteuerten Komponente erzielt wird.
Gemäß einer bevorzugten Ausführungsform der vorliegenden Erfindung wird vorgeschlagen, dass in dem Kommunikationscontroller des mindestens einen ersten Prozessrechners eine lokale Berechtigungsliste vorgesehen ist, anhand der überprüft wird, ob der Absender der Ansteuernachricht berechtigt ist, den fehlerhaften ersten Prozessrechner anzusteuern, indem eine Kennung des Absenders der Ansteuernachricht mit dem Inhalt der Berechtigungsliste verglichen wird.
Gemäß einer weiteren bevorzugten Ausführungsform der vorliegenden Erfindung wird vorgeschlagen, dass in dem Kommunikationssystem eine globale Teilnehmerliste vorgesehen ist, anhand der überprüft wird, ob der Absender der Ansteuernachricht an das Kommunikationssystem angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem beteiligt ist, indem eine Kennung des Absenders der Ansteuernachricht mit dem Inhalt der Teilnehmerliste verglichen wird.
Gemäß einer anderen vorteilhaften Weiterbildung der vorliegenden Erfindung wird vorgeschlagen, dass falls mehrere Ansteuernachrichten für den mindestens einen ersten Prozessrechner vorliegen, in Abhängigkeit von dem Inhalt der Ansteuernachrichten nach einer Mehrheitsentscheidung entschieden wird, wie der fehlerhafte erste Prozessrechner und/oder die Komponente anzusteuern sind.
Vorteilhafterweise wird eine erfolgreiche Ansteuerung des fehlerhaften ersten Prozessrechners und/oder der Komponente zumindest dem mindestens einen Absender der Ansteuernachricht mitgeteilt.
Vorzugsweise wird die erfolgreiche Ansteuerung des fehlerhaften ersten Prozessrechners und/oder der Komponente allen Prozessrechnern mitgeteilt, indem der fehlerhafte erste Prozessrechner aus einer in dem Kommunikationssystem vorgesehenen globalen Teilnehmerliste gestrichen wird, wobei in der Teilnehmerliste diejenigen Prozessrechner aufgeführt sind, die an das Kommunikationssystem angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem beteiligt sind.
Als eine weitere Lösung der Aufgabe der vorliegenden Erfindung wird ausgehend von dem verteilten sicherheitsrelevanten System der eingangs genannten Art vorgeschlagen, dass
  • - mindestens einer der weiteren Prozessrechner Mittel zum Ermitteln eines Fehlers mindestens eines der ersten Prozessrechner und Mittel aufweist, um, falls der mindestens eine fehlerhafte erste Prozessrechner einen Fehler aufweist, eine Ansteuernachricht zur Ansteuerung des fehlerhaften ersten Prozessrechners und/oder der von diesem angesteuerten Komponente über das Kommunikationssystem zu übermitteln;
  • - dem Kommunikationscontroller des fehlerhaften ersten Prozessrechners Informationen zur Verfügung stehen, ob der Absender der Ansteuernachricht berechtigt ist, den fehlerhaften ersten Prozessrechner anzusteuern;
  • - dem Kommunikationscontroller des fehlerhaften ersten Prozessrechners Informationen zur Verfügung stehen, ob der Absender der Ansteuernachricht an das Kommunikationssystem angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem beteiligt ist;
  • - der Kommunikationscontroller des fehlerhaften ersten Prozessrechners Mittel zum Entscheiden nach einem vorgebbaren Entscheidungsalgorithmus aufweist, wie der fehlerhafte erste Prozessrechner und/oder die Komponente in Abhängigkeit des Inhalts von Ansteuernachrichten derjenigen Absender, die berechtigt sind, den fehlerhaften ersten Prozessrechner anzusteuern, und die an das Kommunikationssystem angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem beteiligt sind, anzusteuern sind; und
  • - der Kommunikationscontroller des fehlerhaften ersten Prozessrechners Mittel zum dementsprechenden Ansteuern des fehlerhaften ersten Prozessrechners und/oder der Komponente aufweist.
Gemäß einer vorteilhaften Weiterbildung der vorliegenden Erfindung wird vorgeschlagen, dass die Informationen, ob der Absender der Ansteuernachricht berechtigt ist, den fehlerhaften ersten Prozessrechner anzusteuern, in Form einer in dem Kommunikationscontroller des mindestens einen ersten Prozessrechners vorgesehenen lokalen Berechtigungsliste zur Verfügung stehen.
Gemäß einer bevorzugten Ausführungsform der vorliegenden Erfindung wird vorgeschlagen, dass die Informationen, ob der Absender der Ansteuernachricht an das Kommunikationssystem angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem beteiligt ist, in Form einer in dem Kommunikationssystem vorgesehenen globalen Teilnehmerliste zur Verfügung stehen.
Als noch eine weitere Lösung der Aufgabe der vorliegenden Erfindung wird ausgehend von dem Kommunikationscontroller der eingangs genannten Art vorgeschlagen, dass das Kommunikationsprotokoll um Mechanismen ergänzt ist, die es dem Kommunikationscontroller ermöglichen
  • - zu prüfen, ob einer der weiteren Prozessrechner, der eine Ansteuernachricht zum Ansteuern mindestens eines ersten fehlerhafter. Prozessrechners und/oder der von diesem angesteuerten Komponente über das Kommunikationssystem übermittelt, an das Kommunikationssystem angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem beteiligt ist;
  • - zu prüfen, ob der Absender der Ansteuernachricht berechtigt ist, den fehlerhaften ersten Prozessrechner anzusteuern;
  • - nach einem vorgebbaren Entscheidungsalgorithmus zu entscheiden, wie der erste Prozessrechner und/oder die Komponente in Abhängigkeit des Inhalts von Ansteuernachrichten derjenigen Absender, die berechtigt sind, den fehlerhaften ersten Prozessrechner anzusteuern, und die an das Kommunikationssystem angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem beteiligt sind, anzusteuern sind; und
  • - den ersten Prozessrechner und/oder die Komponente dementsprechend anzusteuern.
Gemäß einer vorteilhaften Weiterbildung der vorliegenden Erfindung wird vorgeschlagen, dass das Kommunikationsprotokoll um Mechanismen zur Ausführung des erfindungsgemäßen Verfahrens ergänzt ist.
Schließlich wird als noch eine weitere Lösung der Aufgabe der vorliegenden Erfindung ausgehend von dem Kommunikationsprotokoll der eingangs genannten Art vorgeschlagen, dass das Kommunikationsprotokoll um Mechanismen ergänzt ist, um
  • - zu prüfen, ob einer der weiteren Prozessrechner, der eine Ansteuernachricht zum Ansteuern mindestens eines ersten fehlerhaften Prozessrechners und/oder der von diesem angesteuerten Komponente über das Kommunikationssystem übermittelt, an das Kommunikationssystem angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem beteiligt ist;
  • - zu prüfen, ob der Absender der Ansteuernachricht berechtigt ist, den fehlerhaften ersten Prozessrechner anzusteuern;
  • - nach einem vorgebbaren Entscheidungsalgorithmus zu entscheiden, wie der erste Prozessrechner und/oder die Komponente in Abhängigkeit des Inhalts von Ansteuernachrichten derjenigen Absender, die berechtigt sind, den fehlerhaften ersten Prozessrechner anzusteuern, und die an das Kommunikationssystem angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem beteiligt sind, anzusteuern sind; und
  • - den ersten Prozessrechner und/oder die Komponente.
Gemäß einer vorteilhaften Weiterbildung der Vorliegenden Erfindung wird vorgeschlagen, dass das Kommunikationsprotokoll um Mechanismen zur Ausführung des erfindungsgemäßen Verfahrens ergänzt ist.
Zeichnungen
Weitere Merkmale, Anwendungsmöglichkeiten und Vorteile der Erfindung ergeben sich aus der nachfolgenden Beschreibung von Ausführungsbeispielen der Erfindung, die in der Zeichnung dargestellt sind. Dabei bilden alle beschriebenen oder dargestellten Merkmale für sich oder in beliebiger Kombination den Gegenstand der Erfindung, unabhängig von ihrer Zusammenfassung in den Patentansprüchen oder deren Rückbeziehung sowie unabhängig von ihrer Formulierung bzw. Darstellung in der Beschreibung bzw. in den Zeichnungen. Es zeigen
Fig. 1 ein erfindungsgemäßes verteiltes sicherheitsrelevantes System im Ausschnitt gemäß einer bevorzugten Ausführungsform;
Fig. 2 ein aus dem Stand der Technik bekanntes Ansteuermodul eines verteilten sicherheitsrelevanten Systems;
Fig. 3 Freigabesignale innerhalb eines Ansteuermoduls aus Fig. 1;
Fig. 4 ein Abschaltprotokoll nach einer ersten bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens; und
Fig. 5 ein Abschaltprotokoll nach einer zweiten bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens.
Beschreibung der Ausführungsbeispiele
Die vorliegende Erfindung wird nachfolgend anhand eines elektrischen Bremssystems näher erläutert. Die Erfindung ist aber nicht auf elektrische Bremssysteme beschränkt, sondern vielmehr für beliebige verteilte sicherheitsrelevante Systeme einsetzbar. Die vorliegende Erfindung erlaubt eine sichere Freigabe von Komponenten Akt_1 des sicherheitsrelevanten Systems ohne den Einsatz zusätzlicher Überwachungseinheiten. Die Aufgaben der Überwachungseinheiten werden vielmehr von weiteren Prozessrechnern P-m des verteilten Systems übernommen, die sowieso in dem System vorhanden sind und um eine entsprechende Funktionalität erweitert wurden.
Das Bremssystem umfasst für jedes zu bremsende Fahrzeugrad ein Radmodul R_1, R_m. Jedes Radmodul R_1, R_m umfasst ein Mikrorechnersystem P_1, P_m und eine Freigabeschaltung FS_1, FS_m. Die Mikrorechnersysteme P_1, P_m umfassen jeweils einen Prozessrechner Pro_1, Pro_m und einen intelligenten Kommunikationscontroller S_1, S_m. Der Prozessrechner Pro_1, Pro_m und der Kommunikationscontroller S_1, S_m eines Mikrorechnersystems P_1, P_m können auf einem Halbleiterbaustein (sog. Chip) zusammengefasst sein; sie sind jedoch stets als voneinander unabhängige, gesonderte Einheiten ausgebildet. Jedes Radmodul R_1, R_m ist über einen Kommunikationscontroller S_1, S_m an ein Kommunikationssystem K_1 in Form eines physikalischen Datenbusses angeschlossen. Über den Datenbus werden Daten bspw. nach dem CAN (Controller Area Network)-, TTCAN (Time Triggered CAN)-, TTP/C (Time Triggered Protocol for Class C)- oder FlexRay-Protokoll übertragen. Die Radmodule R_1, R_m steuern jeweils eine Komponente in Form einer Aktorik Akt_1, Akt_m an, die bspw. als Elektromotoren zur Betätigung oder zum Lösen von Radbremsen ausgebildet sind.
In Fig. 1 ist die interne Struktur von zwei Radmodulen und der darin ablaufende Signalfluss bei einer möglichen Ausführungsform des verteilten Überwachungskonzepts dargestellt. Die Aufgabe des Radmoduls R_1 (genauer gesagt des Prozessrechners Pro_1) ist die Ansteuerung der Aktorik Akt_1 des elektrischen Bremssystems. Wichtig bei der Ansteuerung der Aktorik Akt_1 ist es zu verhindern, dass die Aktorik Akt_1 von einem fehlerhaften Ansteuersignal A_11 des Mikrorechnersystems P_1 angesteuert wird. Das bedeutet, dass das Ansteuersignal A_11 nur dann an die Aktorik Akt_1 weitergeleitet werden sollte, wenn mit ausreichend hoher Wahrscheinlichkeit feststeht, dass es fehlerfrei ist. Die Ansteuerung der Aktorik Akt_1 umfasst deshalb im wesentlichen die nachfolgenden Schritte:
  • a) Der Prozessor Pro_1 des Mikrorechnersystems P_1 ermittelt durch Abarbeiten eines Programmcodes in Abhängigkeit von mindestens einem Eingangssignal mindestens ein Ansteuersional A_11 für die Aktorik Akt_1. Die Eingangssignale enthalten Informationen über den Ist-Zustand des Bremssystems und des Kraftfahrzeugs und werden über den Datenbus K_1 an das erste Radmodul R_1 übermittelt.
  • b) Die Prozessoren Pro_m (z. B. m = 2 . . 4) der weiteren Mikrorechnersysteme P_m ermitteln ebenfalls durch Abarbeiten des gleichen Programmcodes in Abhängigkeit von den gleichen Eingangssignalen ein logisches Ansteuersignal A_1m. Das setzt voraus, dass in den Prozessoren Pro_m außer einem Programmcode zur Ermittlung der Ansteuersignale A_m1 für die Aktoren Akt_m zusätzlich noch der Programmcode aus dem Prozessor Pro_1 zur Verfügung stehen muss. In dem vorliegenden Beispiel mit mehreren gleichartigen Radmodulen R_1, R_m bedeutet dies keinen oder nur einen minimalen zusätzlichen Aufwand, da die auf den Prozessoren Pro_1, Pro_m ablaufenden Programmcodes im wesentlichen gleich sind. So kann also der in den Prozessoren Pro_m sowieso zur Verfügung stehend Programmcode mit den Eingangssignalen des ersten Radmoduls R_1 abgearbeitet werden, um die logischen Ansteuersignale A_1m zu erhalten. Diese Vereinfachung gilt für alle verteilten Systeme mit gleichartigen Ansteuermodulen. Die Eingangssignale können den Mikrorechnersystemen P_m über den Datenbus K_1 übermittelt werden. Bei korrekter Funktion der Prozessrechner Pro_1, Pro_m sind die Ansteuersignale A_11 und die logischen Ansteuersignale A_1m identisch.
  • c) Das Ansteuersignal A_11 wird in den Prozessrechnern Pro_m der weiteren Mikrorechnersysteme P_m mit dem zuvor in dem Prozessrechner Pro_1 ermittelten Ansteuersignal A_11 verglichen. Dazu muss das Ansteuersignal A_11 über den Datenbus K_1 an die weiteren Mikrorechnersysteme P_m übermittelt werden. Die weiteren Mikroprozessorsysteme P_m erzeugen Statusinformation, die über den Datenbus K_1 an den Kommunikationscontroller S_1 des ersten Mikrorechnersystems P_1 übermittelt werden. Die Informationen, die zur Realisierung des verteilten Überwachungskonzepts über das Kommunikationssystem K_1 übertragen werden müssen, bestehen bspw. aus einem oder mehreren Bits. Es ist denkbar, die Informationen zur Übertragung in das Kommunikationsprotokoll des Datenbusses K_1 einzubinden.
  • d) Der Kommunikationscontroller S_1 des ersten Mikrorechnersystems P_1 wertet die eingehenden Statusinformationen aus und erzeugt im Falle eines entsprechenden Status (d. h. bei Signalisierung einer korrekten Funktionsweise des Prozessrechners Pro_1) ein Freigabesignal F_1. Das Auswerten der Statusinformationen kann auf unterschiedliche Weise erfolgen. Es kann bspw. ein Vergleich, eine logische (vorzugsweise eine UND-) Verknüpfung oder eine Mehrheitsentscheidung der Statusinformationen SF_1m sein.
  • e) Schließlich wird das mindestens eine Ansteuersignal A_11 oder mindestens ein davon abhängiges Signal an die Aktorik Akt_1 weitergeleitet, falls das mindestens eine Freigabesignal F_1 einen vorgebbaren Wert aufweist. Um dies zu prüfen, wird in der Freigabeschaltung FS_1 eine UND-Verknüpfung des Ansteuersignals A_11 mit dem Freigabesignal F_1 ausgeführt. Falls das Freigabesignal F_1 logisch Eins ist, wird das Ansteuersignal A_11 an die Aktorik Akt_1 weitergeleitet. Falls das Freigabesignal F_1 jedoch logisch Null ist, wird das Ansteuersignal A_11 nicht an die Aktorik Akt_1 weitergeleitet.
Durch das beschriebene Verfahren kann die Funktionsfähigkeit des Prozessors Pro_1 des Mikrorechnersystems P_1 überprüft und eine sichere Freigabe der Aktorik Akt_1 erzielt werden. Zur Überprüfung des Prozessors Pro_1 werden hauptsächlich die Prozessoren Pro_m der weiteren Mikrorechnersysteme P_m eingesetzt. In gleicher Weise kann das erfindungsgemäße Verfahren jedoch auch zur Überprüfung der Funktionsfähigkeit der Prozessoren Pro_m der weiteren Mikrorechnersysteme P_m und zur sicheren Freigabe der Aktorik Akt_m eingesetzt werden. Dann werden die übrigen Prozessoren Pro_m (ohne den zu überprüfenden Prozessor) und der Prozessor Pro_1 des ersten Mikrorechnersystems P_1 zur Überprüfung herangezogen. Jedes einzelne Mikrorechnersystem P_1, P_m innerhalb des sicherheitsrelevanten verteilten Bremssystems hat also einerseits die Primäraufgabe, die Ansteuersignale A_11, A_m1 für die ihm zugeordnete Aktorik Akt_1, Akt_m zu ermitteln, und andererseits die Sekundäraufgabe, die Funktion der übrigen Prozessoren bei der Erfüllung ihrer Primäraufgaben zu kontrollieren. Ohne den Einsatz zusätzlicher Überwachungseinheiten wird durch das beschriebene verteilte Überwachungskonzept also die Möglichkeit einer sicheren und sogar redundant wirksamen Freigabe der Aktoren Akt_1, Akt_m geschaffen.
In Fig. 3 ist das Radmodul R_1 im Ausschnitt dargestellt. Zur Realisierung eines gesicherten Abschaltpfades über das Kommunikationssystem K_1 sind Software-Schnittstellen SS_1 zwischen dem Kommunikationscontroller S_1 und dem Prozessrechner Pro_1 vorgesehen. Die Schnittstellen SS_1 dienen zum Setzen einer Ansteuernachricht in Form eines Abschalt-Vektors durch einen weiteren Prozessrechner Pro_m und zur Abfrage des aktuell gültigen Abschalt-Vektors, der über den Kommunikationscontroller S_1 empfangen wurde.
Zur Realisierung des verteilten Überwachungskonzepts ist außerdem eine Hardware-Schnittstelle notwendig, die von dem Kommunikationscontroller S_1 an die Freigabeschaltung FS_1 herangeführt wird. Die Hardware-Schnittstelle dient insbesondere dazu, bei Fehlersituationen, in denen der Prozessrechner Pro_1 nicht mehr zuverlässig den aktuellen Abschalt-Vektor auslesen und die Aktorik Akt_1 abschalten kann, die Aktorik Akt_1 durch den Kommunikationscontroller S_1 abzuschalten. Hierzu ist ein Anschluss-Pin F_1 vorgesehen, das über eine Verbindungsleitung an die Freigabeschaltung FS_1 geführt ist. Dieser Pin F_1 muss im Normalfall (es liegt kein Abschaltkommando vor) auf logisch Eins gehalten werden, um die Freigabe der Aktorik Akt_1 durch den Kommunikationscontroller S_1 sicherzustellen. Im Fall eines vorliegenden Abschaltkommandos muss der Anschluss-Pin F_1 an die Freigabeschaltung FS_1 auf logisch Null geschaltet werden, um die Freigabe zu gewährleisten.
Ein in heutigen Kraftfahrzeugen bereits standardisiertes Kommunikationssystem K_1 und die damit verbundene Busverkabelung (Eindraht- oder Zweidrahtleitungen) wird bei dem verteilten Überwachungskonzept als Abschaltepfad genutzt. Es ist keine explizite Verkabelung für den Abschaltpfad zwischen den Einheiten des verteilten Systems notwendig. Das Kommunikationssystem K_1 führt ein Abschaltprotokoll aus, das in dem normalen Protokollablauf (eigentliches Senden und Empfangen von Nachrichten, Nachrichtenbestätigung und sogenannter Teilnehmer-Service) eingebaut ist. Dabei entsteht zwar eine geringe Mehrbelastung des Protokollrechners (Kommunikationscontrollers S_1), aber es wird eine bedeutende Verbesserung bezüglich der Auslastung vorhandener Steuergeräte (P_1, P_m) bzw. Prozessrechner (Pro_1, Pro_m) erzielt. Des Weiteren stellt das Kommunikationssystem K_1 Software- und Hardwareschnittstellen SS_1, F_1 an die Prozessrechner Pro_1, Pro_m zur Verfügung, um das Ansteuer- bzw. Abschaltprotokoll zu initiieren bzw. umzusetzen.
Bei dem oben beschriebenen verteilten Überwachungskonzept wird also eine Freigabeschaltung FS_1 von dem Prozessrechner Pro_1 einerseits und von dem Kommunikationscontroller S_1 andererseits bedient. Somit ist es möglich, die Aktorik Akt_1 mit dem in dieser Patentanmeldung beschriebenen Abschaltmechanismus über das Kommunikationssystem K_1 abzuschalten. Außerdem kann auch der Prozessrechner Pro_1 selbst mit dem Kommunikationscontroller S_1 gekoppelt werden, sodass auch der Prozessrechner Pro_1 abgeschaltet werden kann, z. B. durch Kopplung an eine Reset-Leitung B des Prozessrechners Pro_1.
Die Realisierung des gesicherten Abschaltpfades über das Kommunikationssystem K_1 ist mit nahezu jedem Steuergerät Pro_1, Pro_m möglich, das mit seinem Kommunikationscontroller S_1, S_m an einen Datenbus K_1 angeschlossen ist. Der Kommunikationscontroller S_1, S_m muss das Abschaltprotokoll in dem Kommunikationsprotokoll umsetzen. Das Abschaltprotokoll und die dafür notwendigen Konfigurationsdaten bzw. Schnittstellen SS_1, F_1 werden nachfolgend beschrieben.
In den Kommunikationscontrollern S_1 ist eine statische Information darüber abgelegt, welches Mikrorechnersystem P_m bzw. welcher Prozessrechner Pro_m die Berechtigung besitzt, den dem Kommunikationscontroller S_1 zugeordneten Prozessrechner Pro_1 abzuschalten. Die statische Information ist beispielsweise auf einem Flash-EPROM (Erasable and Programmable Read Only Memory) in den Kommunikationscontrollern S_1 abgelegt.
Diese statische Information kann sich aus folgenden Inhalten zusammensetzen:
  • - Eine Kennung des lokalen Kommunikationscontrollers S_1. Diese ist bei einigen Protokollen, z. B. TTP/C, bereits vorhanden.
  • - Eine lokale (individuelle) Liste, in der Kennungen von Kommunikationscontrollern S_m aufgeführt sind, deren Abschalt-Nachricht zur Abschaltung des lokalen Prozessrechners Pro_1 bzw. der durch diesen angesteuerten Aktorik Akt_1 über den Kommunikationscontroller S_1 führen darf. Die Liste ist vorzugsweise auf die Zahl der berechtigten Kommunikationscontroller, z. B. auf drei Einträge, begrenzt.
Des Weiteren muss in den statischen Informationen konfiguriert werden, ob eine berechtigte Abschaltung nur in der Schnittstelle SS_1 zu dem Prozessrechner Pro_1 angezeigt werden soll oder ob die Abschalt-Nachricht auch über eine geeignete Verdrahtung an die Freigabeschaltung FS_1 weitergegeben werden soll.
Der Abschalt-Vektor ist ein Bit-Vektor und repräsentiert die m-Teilnehmer in dem gesamten verteilten sicherheitsrelevanten System. Eine bestimmte Bit-Position ist einer Kennung eines bestimmten Kommunikationscontrollers S_1, S_m zugewiesen. In dem Abschaltvektor können zwei Zustände pro Steuergerät P_1, P_m dargestellt werden:
Null: es liegt kein Abschalt-Kommando an den Kommunikationscontroller mit der Kennung an der entsprechenden Bit-Position vor.
Eins: es liegt ein Abschalt-Kommando für den der Bit- Position entsprechenden Kommunikationscontroller vor.
Der Abschalt-Vektor kann aus Gründen beschränkter Bandbreite oder begrenzter Anzahl von Protokolldaten (Steuerdaten für den Protokollablauf, die gemeinsam mit den Nutzdaten in einem Nachrichtenpaket über das Kommunikationssystem K_1 versandt werden) gekürzt werden. In dem Abschalt-Vektor werden dann nur ausgewählte Steuergeräte P_1, P_m dargestellt.
Für die erfindungsgemäße Realisierung des verteilten Überwachungskonzepts wird außerdem auf Informationen zugegriffen, ob der Absender eines Abschalt-Vektors an das Kommunikationssystem K_1 angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem K_1 beteiligt ist. Diese Informationen werden von manchen Kommunikationsprotokollen standardmäßig zur Verfügung gestellt. Diese Funktionalität wird in den Kommunikationsprotokollen auch als Teilnehmer-Service oder Membership-Service bezeichnet. Dann sind diese Informationen in der sog. Membership-Information enthalten. Dabei wird über einen Mechanismus der Nachrichtenbestätigung die Zugehörigkeit/Aktivität eines Prozessrechners Pro_1, Pro_m in einem Entscheidungsverfahren aller aktiven Kommunikationsteilnehmer bestimmt. Nach einer bestimmten Anzahl von Entscheidungsrunden ist die Membership- Information stabil, d. h. sie wird von allen Teilnehmern als gültig anerkannt.
Wird durch diese Entscheidung ein Steuergerät P_1, P_m als inaktiv bezeichnet, darf dieses Steuergerät nicht mehr aktiv an der Kommunikation teilnehmen. Der zuständige Prozessrechner Pro_1, Pro_m erkennt diesen Zustand und muss Maßnahmen ergreifen, um den ihm zugeordneten Kommunikationscontroller S_1, S_m wieder aktiv zu schalten (Wiederanlauf und Resynchronisation). Der Mechanismus zur Bestimmung der aktiven Teilnehmer (Membership) wird laufend ausgeführt und ist Teil des eigentlichen Kommunikationsprotokolls. Die Membership-Informationen stehen in dem Kommunikationssystem K_1 in Form eines Membership-Vektors Me zur Verfügung.
Die Ausgangssituation zur Durchführung des erfindungsgemäßen Verfahrens ist ein aktives verteiltes System mit funktionierenden Teilnehmern (Kommunikationscontrollern S_1, S_m und deren Steuergeräte P_1, P_m bzw. Prozessrechner Pro_1, Pro_m). Die Membership- Information Me ist also für jeden Teilnehmer auf "1", und es liegt keine Anforderung für eine Abschaltung (Abschalt- Vektor Ab) vor. Diese Ausgangssituation ist in Schritt 1) der Fig. 4 und 5 für ein verteiltes System mit vier Teilnehmern A, B, C, D dargestellt. Fig. 4 betrifft ein Abschaltprotokoll mit nur einem Berechtigten (Teilnehmer A darf nur von Teilnehmer D abgeschaltet werden), wohingegen Fig. 5 ein Abschaltprotokoll mit drei Berechtigten und absoluter Mehrheit (Teilnehmer A wird abgeschaltet, wenn mindestens zwei der drei weiteren Teilnehmer B, C, D ein Abschalten des Teilnehmers A befürworten).
Der Abschalt-Vektor Ab stellt einen Abschaltbefehl eines berechtigten Steuergeräts P_m für ein bestimmtes Steuergerät P_1 dar, sobald die Bit-Position für dieses Steuergerät P_1 auf "1" gesetzt wird. Der Abschalt-Vektor wird von dem Kommunikationsprotokoll beim Absender P_m mit den übrigen Steuerdaten einer Nachricht codiert und versendet (vgl. Schritt 2) in den Fig. 4 und 5).
Das Kommunikationssystems K_1 beruht auf Multicast- Nachrichten. Damit kann angenommen werden, dass jedes aktive Steuergerät P_1, P_m alle gesendeten und als fehlerfrei erkannten Nachrichten empfängt und danach lokale Protokollmechanismen startet. Sonderfälle, bei denen die Korrektheit einer Nachricht erst nach einer bestimmten Anzahl weiterer Sendevorgänge entschieden wird (z. B. bei TTP/C) müssen gesondert behandelt werden. Dieser Sonderfall bedeutet, dass auch der empfangene Abschalt-Vektor bis zu dieser endgültigen Entscheidung als ungültig zu betrachten ist. Der Kommunikationscontroller S_1 entnimmt den empfangenen Protokolldaten die Informationen des Abschaltvektors Ab.
Ist aufgrund der Protokollrealisierung die Kennung des Absenders P_m geklärt, kann bei dem Empfänger S_1 die Überprüfung der Berechtigung erfolgen. Der Empfänger S_1 kennt über den Zusammenhang von Sendezeitpunkt, Nachrichtenkennung und statischer Information zur Abschaltberechtigung, die Kennung des Absenders P_m in der Nachricht. Ist die Identität des Absenders P_m nicht eindeutig festgelegt, muss die Kennung des Absenders P_m zusätzlich zu dem Abschalt-Vektor Ab mit übertragen werden.
Bei dem Abschaltprotokoll aus Fig. 4 ist in dem Abschalt- Vektor Ab des Teilnehmers D eine Bitstelle gesetzt, die mit der Kennung des Teilnehmers A übereinstimmt. In der lokalen Berechtigungsliste des Teilnehmers A ist der Teilnehmer D als Berechtigter zum Abschalten eingetragen. Aus diesem Grund erfolgt in Schritt 3) eine Abschaltung des Prozessrechners und/oder der von dem Prozessrechner angesteuerten. Aktorik des Teilnehmers A.
Der Kommunikationscontroller S_1 setzt den Status des Abschalt-Vektors Ab in der Software-Schnittstelle SS_1 auf den aktuellen Stand (vgl. Schritt 3) in Fig. 4 und SS_1 in Fig. 3). Der Kommunikationscontroller S_1 setzt den Pegel zum Abschalten an dem vorgesehenen Anschlusspin an der Hardware-Schnittstelle um die Abschaltung der Aktorik über die Freigabeschaltung FS_1 zu initiieren (vgl. Schritt 3) in Fig. 4 und Signal F_1 und Signal B in Fig. 3). Der Kommunikationscontroller S_1 wechselt in einen passiven Zustand, d. h. er nimmt nicht mehr an der Kommunikation über das Kommunikationssystem K_1 teil. Durch diese Maßnahme wird den anderen Teilnehmern B, C, D signalisiert, dass der gesamte Knoten (umfassend das Steuergerät, die Aktorik, die Sensorik und den Kommunikationscontroller des Teilnehmers A) nicht mehr verfügbar ist. Dies bewirkt die Löschung des Teilnehmers A in dem Membership-Vektor Me der anderen Teilnehmer B, C, D in dem verteilten System (vgl. Schritt 4) in Fig. 4), indem die entsprechende Bitstelle auf "0" gesetzt wird. Durch den fehlenden Membership- Eintrag des abgeschalteten Teilnehmers A erhält der Absender D des Abschalt-Vektors Ab die Bestätigung über den Erfolg seines Abschaltbefehls. Ein wiederholtes Setzen in dem Abschalt-Vektor Ab ist nicht mehr erforderlich (vgl. Schritt 5) in Fig. 4). In dem Abschalt-Vektor Ab wird die dem Teilnehmer A entsprechende Bitstelle so oft gesetzt, bis eine Bestätigung des Abschaltbefehls vorliegt.
Bei dem Abschaltprotokoll aus Fig. 5 erfolgt die Abschaltung eines Teilnehmers A nur dann, wenn zum einen die in dem Abschalt-Vektor Ab gesetzte Bitstelle mit der Kennung des Teilnehmers A übereinstimmt und zum anderen zwischen den berechtigten Teilnehmern B, C, D Übereinstimmung betreffend die Abschaltung des Teilnehmers A herrscht, wobei alle drei Teilnehmer B, C, D in der lokalen Berechtigungsliste als Berechtigte zum Abschalten des Teilnehmers A eingetragen sind.
Um dies zu realisieren, müssen die Abschalt-Vektoren Ab der verschiedenen Teilnehmer B, C, D gesammelt werden. Der Abschalt-Vektor Ab eines bestimmten Teilnehmers B, C oder D darf nur dann gesammelt werden, wenn der Teilnehmer B, C oder D in dem Membership-Vektor Me des Kommunikationsprotokolls als aktiv gekennzeichnet ist (vgl. Schritte 3 bis 5 in Fig. 5). Dadurch wird verhindert, dass eine Situation eintreten kann, bei der eine Abschaltung eines Teilnehmers A notwendig wäre aber einer der Teilnehmer B, C, D selbst nicht aktiv ist und damit die Abschaltung des Teilnehmers A verhindern kann, da der Abschaltbefehl des inaktiven Teilnehmers B, C oder D fehlt.
Nachdem alle berechtigten Teilnehmer B, C, D ihre Abschaltvektoren AbB, AbC, AbD übermittelt haben, wird der Abstimmungsvorgang nach einem vorgebbaren Entscheidungsalgorithmus initiiert. Für die Abstimmung wird im vorliegenden Fall die absolute Mehrheit der aktiven berechtigten Teilnehmer B, C, D gewählt. Ein anderer Entscheidungsalgorithmus, wie z. B. eine Zwei- aus Drei- Auswahl, kann ebenfalls implementiert werden. Die Wahl des anzuwendenden Entscheidungsalgorithmus kann mit der Konfiguration in dem Kommunikationscontroller S_1 eingestellt werden, z. B. eine Auswahl einer absoluten Mehrheit, einer Zwei- aus Drei-Auswahl oder einer mindestens-Eins(at least one)-Semantik. In dem in Fig. 5 dargestellten Ausführungsbeispiel wird also der Teilnehmer A erst dann abgeschaltet, wenn alle berechtigten Teilnehmer B, C, D ein Abschalten des Teilnehmers A über ihre jeweiligen Abschaltvektoren AbB, AbC, AbD fordern (vgl. Schritt 5) in Fig. 5). Der Kommunikationscontroller S_1 besitzt den Status des Abschalt-Vektors Ab in der Software- Schnittstelle auf den aktuellen Stand (vgl. Schritt 5) in Fig. 5 und SS_1 in Fig. 3). Der Kommunikationscontroller S_1 setzt den Pegel zum Abschalten an dem vorgesehenen Anschlusspin in der Hardware-Schnittstelle, um die Abschaltung über die Freigabeschaltung FS_1 zu initiieren (Schritt 5) in Fig. 5 und Signal F_1 und Signal B in Fig. 3). Der Kommunikationscontroller S_1 wechselt in einen passiven Zustand, d. h. er nimmt nicht mehr an der Kommunikation teil. Durch diese Maßnahme wird den anderen Teilnehmern B, C, D signalisiert, dass der gesamte Knoten umfassend das Steuergerät, die Aktorik, die Sensorik und den Kommunikationscontroller nicht mehr verfügbar ist. Dies bewirkt die Löschung des Teilnehmers A in dem Membership- Vektor Me der übrigen Teilnehmer B, C, D in dem verteilten System (vgl. Schritt 6) in Fig. 5). Durch den fehlenden Membership-Eintrag des abgeschalteten Teilnehmers A erhalten die Absender (Teilnehmer B, C, D) des Abschalt- Vektors Ab die Bestätigung über den Erfolg des Abschaltbefehls. Ein wiederholtes Setzen derjenigen Bitstelle in dem Abschalt-Vektor Ab, die dem Teilnehmer A entspricht, ist nicht mehr notwendig (vgl. Schritt 7) in Fig. 5). Jeder Absender Pro_m eines Abschalt-Vektors Ab setzt die dem Teilnehmer A entsprechende Bitstelle in seinem Abschalt-Vektor Ab so lange, bis die Bestätigung über die erfolgreiche Abschaltung des abzuschaltenden Teilnehmers A durch ein Fehlen des entsprechenden Teilnehmers A in dem Membership-Vektor Me übermittelt wird.

Claims (14)

1. Verfahren zum Betreiben eines verteilten sicherheitsrelevanten Systems, insbesondere eines X-by- Wire-Systems in einem Kraftfahrzeug, umfassend mindestens einen ersten Prozessrechner (Pro_1) zur Ansteuerung einer Komponente (Akt_1) des Systems und mindestens einen weiteren Prozessrechner (Pro_m), wobei die Prozessrechner (Pro_1, Pro_m) jeweils über einen Kommunikationscontroller (S_1, S_m) an ein Kommunikationssystem (K_1) angeschlossen sind und die Funktionsfähigkeit des mindestens einen ersten Prozessrechners (Pro_1) durch den mindestens einen weiteren Prozessrechner (Pro_m) überprüft wird, gekennzeichnet durch die nachfolgenden Schritte:
mindestens einer der weiteren Prozessrechner (Pro_m), der einen Fehler mindestens eines der ersten Prozessrechner (Pro_1) ermittelt hat, übermittelt eine Ansteuernachricht (Ab_m) über das Kommunikationssystem (K_1) zum Ansteuern des fehlerhaften ersten Prozessrechners (Pro_1) oder der von diesem angesteuerten Komponente (Akt_1);
es wird überprüft, ob der Absender der Ansteuernachricht (Ab_m) berechtigt ist, den fehlerhaften ersten Prozessrechner (Pro_1) anzusteuern;
es wird überprüft, ob der Absender der Ansteuernachricht (Ab_m) an das Kommunikationssystem (K_1) angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem (K_1) beteiligt ist;
in Abhängigkeit des Inhalts von Ansteuernachrichten (Ab_m) derjenigen Absender, die berechtigt sind, den fehlerhaften ersten Prozessrechner (Pro_1) anzusteuern, und die an das Kommunikationssystem (K_1) angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem (K_1) beteiligt sind, wird nach einem vorgebbaren Entscheidungsalgorithmus entschieden, wie der fehlerhafte erste Prozessrechner (Pro_1) und/oder die Komponente (Akt_1) anzusteuern sind; und
der fehlerhafte erste Prozessrechner (Pro_1) und/oder die Komponente (Akt_1) werden dementsprechend angesteuert.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass durch die Ansteuernachricht ein Abschalten des fehlerhaften ersten Prozessrechners (Pro_1) und/oder der Komponente (Akt_1) erzielt wird.
3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass in dem Kommunikationscontroller (S_1) des mindestens einen ersten Prozessrechners (Pro_1) eine lokale Berechtigungsliste (Be_1) vorgesehen ist, anhand der überprüft wird, ob der Absender der Ansteuernachricht (Ab_m) berechtigt ist, den fehlerhaften ersten Prozessrechner (Pro_1) anzusteuern, indem eine Kennung des Absenders der Ansteuernachricht (Ab_m) mit dem Inhalt der Berechtigungsliste (Be_1) verglichen wird.
4. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass in dem Kommunikationssystem (K_1) eine globale Teilnehmerliste (Me) vorgesehen ist, anhand der überprüft wird, ob der Absender der Ansteuernachricht (Ab_m) an das Kommunikationssystem (K_1) angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem (K_1) beteiligt ist, indem eine Kennung des Absenders der Ansteuernachricht (Ab_m) mit dem Inhalt der Teilnehmerliste (Me) verglichen wird.
5. Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass falls mehrere Ansteuernachrichten (Ab_m) für den mindestens einen ersten Prozessrechner (Pro_1) vorliegen, in Abhängigkeit von dem Inhalt der Ansteuernachrichten (Ab_m) nach einer Mehrheitsentscheidung entschieden wird, wie der fehlerhafte erste Prozessrechner (Pro_1) und/oder die Komponente (Akt_1) anzusteuern sind.
6. Verfahren nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass eine erfolgreiche Ansteuerung des fehlerhaften ersten Prozessrechners (Pro_1) und/oder der Komponente (Akt_1) zumindest dem mindestens einen Absender der Ansteuernachricht (Ab_m) mitgeteilt wird.
7. Verfahren nach Anspruch 6, dadurch gekennzeichnet, dass die erfolgreiche Ansteuerung des fehlerhaften ersten Prozessrechners (Pro_1) und/oder der Komponente (Akt_1) allen Prozessrechnern (Pro_m) mitgeteilt wird, indem der fehlerhafte erste Prozessrechner (Pro_1) aus einer in dem Kommunikationssystem (K_1) vorgesehenen globalen Teilnehmerliste (Me) gestrichen wird, wobei in der Teilnehmerliste (Me) diejenigen Prozessrechner (Pro_1, Pro_m) aufgeführt sind, die an das Kommunikationssystem (K_1) angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem (K_1) beteiligt sind.
8. Verteiltes sicherheitsrelevantes System, insbesondere X-by-Wire-System in einem Kraftfahrzeug, umfassend mindestens einen ersten Prozessrechner (Pro_1) zur Ansteuerung einer Komponente (Akt_1) des Systems und mindestens einen weiteren Prozessrechner (Pro_m), wobei die Prozessrechner (Pro_1, Pro_m) jeweils über einen Kommunikationscontroller (S_1, S_m) an ein Kommunikationssystem (K_1) angeschlossen sind und eine Überwachung der Funktionsfähigkeit des mindestens einen ersten Prozessrechners (Pro_1) durch den mindestens einen weiteren Prozessrechner (Pro_m) erfolgt, dadurch gekennzeichnet, dass
mindestens einer der weiteren Prozessrechner (Pro_m) Mittel zum Ermitteln eines Fehlers mindestens eines der ersten Prozessrechner (Pro_1) und Mittel aufweist, um, falls der mindestens eine fehlerhafte erste Prozessrechner (Pro_1) einen Fehler aufweist, eine Ansteuernachricht (Ab_m) zur Ansteuerung des fehlerhaften ersten Prozessrechners (Pro_1) und/oder der von diesem angesteuerten Komponente (Akt_1) über das Kommunikationssystem (K_1) zu übermitteln;
dem Kommunikationscontroller (S_1) des fehlerhaften ersten Prozessrechners (Pro_1) Informationen zur Verfügung stehen, ob der Absender der Ansteuernachricht (Ab_m) berechtigt ist, den fehlerhaften ersten Prozessrechner (Pro_1) anzusteuern;
dem Kommunikationscontroller (S_1) des fehlerhaften ersten Prozessrechners (Pro_1) Informationen zur Verfügung stehen, ob der Absender der Ansteuernachricht (Ab_m) an das Kommunikationssystem (K_1) angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem (K_1) beteiligt ist;
der Kommunikationscontroller (S_1) des fehlerhaften ersten Prozessrechners (Pro_1) Mittel zum Entscheiden nach einem vorgebbaren Entscheidungsalgorithmus aufweist, wie der fehlerhafte erste Prozessrechner (Pro_1) und/oder die Komponente (Akt_1) in Abhängigkeit des Inhalts von Ansteuernachrichten (Ab_m) derjenigen Absender, die berechtigt sind, den fehlerhaften ersten Prozessrechner (Pro_1) anzusteuern, und die an das Kommunikationssystem (K_1) angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem (K_1) beteiligt sind, anzusteuern sind; und
der Kommunikationscontroller (S_1) des fehlerhaften ersten Prozessrechners (Pro_1) Mittel zum dementsprechenden Ansteuern des fehlerhaften ersten Prozessrechners (Pro_1) und/oder der Komponente (Akt_1) aufweist.
9. Verteiltes System nach Anspruch 8, dadurch gekennzeichnet, dass die Informationen, ob der Absender der Ansteuernachricht (Ab_m) berechtigt ist, den fehlerhaften ersten Prozessrechner (Pro_1) anzusteuern, in Form einer in dem Kommunikationscontroller (S_1) des mindestens einen ersten Prozessrechners (Pro_1) vorgesehenen lokalen Berechtigungsliste (Be_1) zur Verfügung stehen.
10. Verteiltes System nach Anspruch 8 oder 9, dadurch gekennzeichnet, dass die Informationen, ob der Absender der Ansteuernachricht (Ab_m) an das Kommunikationssystem (K_1) angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem (K_1) beteiligt ist, in Form einer in dem Kommunikationssystem (K_1) vorgesehenen globalen Teilnehmerliste (Me) zur Verfügung stehen.
11. Kommunikationscontroller (S_1) zum Anschluss mindestens eines ersten Prozessrechners (Pro_1) und mindestens eines weiteren Prozessrechners (Pro_m) an ein Kommunikationssystem (K_1) eines verteilten sicherheitsrelevanten Systems, insbesondere eines X-by- Wire-Systems in einem Kraftfahrzeug, wobei der mindestens eine erste Prozessrechner (Pro_1) zur Ansteuerung einer Komponente (Akt_1) des verteilten Systems dient und auf dem Kommunikationscontroller (S_1) zur Realisierung einer Datenübertragung zwischen den Prozessrechnern (Pro_1, Pro_m) und dem Kommunikationssystem (K_1) ein Kommunikationsprotokoll abläuft, dadurch gekennzeichnet, dass das Kommunikationsprotokoll um Mechanismen ergänzt ist, die es dem Kommunikationscontroller (S_1) ermöglichen
zu prüfen, ob einer der weiteren Prozessrechner (Pro_m), der eine Ansteuernachricht (Ab_m) zum Ansteuern mindestens eines ersten fehlerhaften Prozessrechners (Pro_1) und/oder der von diesem angesteuerten Komponente (Akt_1) über das Kommunikationssystem (K_1) übermittelt, an das Kommunikationssystem (K_1) angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem (K_1) beteiligt ist;
zu prüfen, ob der Absender der Ansteuernachricht (Ab_m) berechtigt ist, den fehlerhaften ersten Prozessrechner (Pro_1) anzusteuern;
nach einem vorgebbaren Entscheidungsalgorithmus zu entscheiden, wie der erste Prozessrechner (Pro_1) und/oder die Komponente (Akt_1) in Abhängigkeit des Inhalts von Ansteuernachrichten (Ab_m) derjenigen Absender, die berechtigt sind, den fehlerhaften ersten Prozessrechner (Pro_1) anzusteuern, und die an das Kommunikationssystem (K_1) angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem (K_1) beteiligt sind, anzusteuern sind; und
den ersten Prozessrechner (Pro_1) und/oder die Komponente (Akt_1) dementsprechend anzusteuern.
12. Kommunikationscontroller (S_1) nach Anspruch 11, dadurch gekennzeichnet, dass das Kommunikationsprotokoll um Mechanismen zur Ausführung eines Verfahrens nach einem der Ansprüche 2 bis 7 ergänzt ist.
13. Kommunikationsprotokoll für ein Kommunikationssystem (K_1) eines verteilten sicherheitsrelevanten Systems, insbesondere eines X-by-Wire-Systems in einem Kraftfahrzeug, wobei das verteilte System mindestens einen ersten Prozessrechner (Pro_1) zur Ansteuerung einer Komponente (Akt_1) des verteilten Systems und mindestens einen weiteren Prozessrechner (Pro_m) umfasst und die Prozessrechner (Pro_1, Pro_m) jeweils über einen Kommunikationscontroller (S_1, S_m) an das Kommunikationssystem (K_1) angeschlossen sind, wobei das Kommunikationsprotokoll zur Realisierung einer Datenübertragung zwischen den Prozessrechnern (Pro_1, Pro_m) und dem Kommunikationssystem (K_1) auf den Kommunikationscontrollern (S_1, S_m) abläuft, dadurch gekennzeichnet, dass das Kommunikationsprotokoll um Mechanismen ergänzt ist, um
zu prüfen, ob einer der weiteren Prozessrechner (Pro_m), der eine Ansteuernachricht (Ab_m) zum Ansteuern mindestens eines ersten fehlerhaften Prozessrechners (Pro_1) und/oder der von diesem angesteuerten Komponente (Akt_1) über das Kommunikationssystem (K_1) übermittelt, an das Kommunikationssystem (K_1) angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem (K_1) beteiligt ist;
zu prüfen, ob der Absender der Ansteuernachricht (Ab_m) berechtigt ist, den fehlerhaften ersten Prozessrechner (Pro_1) anzusteuern;
nach einem vorgebbaren Entscheidungsalgorithmus zu entscheiden, wie der erste Prozessrechner (Pro_1) und/oder die Komponente (Akt_1) in Abhängigkeit des Inhalts von Ansteuernachrichten (Ab_m) derjenigen Absender, die berechtigt sind, den fehlerhaften ersten Prozessrechner (Pro_1) anzusteuern, und die an das Kommunikationssystem (K_1) angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem (K_1) beteiligt sind, anzusteuern sind; und
den ersten Prozessrechner (Pro_1) und/oder die Komponente (Akt_1) dementsprechend anzusteuern.
14. Kommunikationsprotokoll nach Anspruch 13, dadurch gekennzeichnet, dass das Kommunikationsprotokoll um Mechanismen zur Ausführung eines Verfahrens nach einem der Ansprüche 2 bis 7 ergänzt ist.
DE10211279A 2001-03-15 2002-03-14 Verfahren zum Betreiben eines verteilten sicherheitsrelevanten Systems Withdrawn DE10211279A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE10211279A DE10211279A1 (de) 2001-03-15 2002-03-14 Verfahren zum Betreiben eines verteilten sicherheitsrelevanten Systems

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE10112911 2001-03-15
DE10211279A DE10211279A1 (de) 2001-03-15 2002-03-14 Verfahren zum Betreiben eines verteilten sicherheitsrelevanten Systems

Publications (1)

Publication Number Publication Date
DE10211279A1 true DE10211279A1 (de) 2002-09-26

Family

ID=7677840

Family Applications (2)

Application Number Title Priority Date Filing Date
DE10211279A Withdrawn DE10211279A1 (de) 2001-03-15 2002-03-14 Verfahren zum Betreiben eines verteilten sicherheitsrelevanten Systems
DE10291113T Expired - Fee Related DE10291113D2 (de) 2001-03-15 2002-03-14 Verfahren zum Betreiben eines verteilten sicherheitsrelevanten Systems

Family Applications After (1)

Application Number Title Priority Date Filing Date
DE10291113T Expired - Fee Related DE10291113D2 (de) 2001-03-15 2002-03-14 Verfahren zum Betreiben eines verteilten sicherheitsrelevanten Systems

Country Status (5)

Country Link
US (1) US20030184158A1 (de)
EP (1) EP1370914A1 (de)
JP (1) JP2004519060A (de)
DE (2) DE10211279A1 (de)
WO (1) WO2002075464A1 (de)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102009005266A1 (de) 2009-01-20 2010-07-22 Continental Teves Ag & Co. Ohg Anbindung eines Kommunikationscontrollers in Sicherheitsarchitekturen
FR2944612A3 (fr) * 2009-04-15 2010-10-22 Renault Sas Architecture de commande electronique d'un vehicule automobile.
DE102010039858A1 (de) 2010-08-27 2011-09-15 Robert Bosch Gmbh Watchdog-Funktion
DE102010054188A1 (de) 2010-07-27 2012-02-02 Volkswagen Aktiengesellschaft Verfahren und Rechnerverbund zur Steuerung eines Elektromotors
DE102010039860A1 (de) 2010-08-27 2012-03-01 Robert Bosch Gmbh Komponentenüberwachung in einem elektrisch betriebenen Fahrzeug
DE102011118172A1 (de) 2011-11-10 2013-05-16 Volkswagen Aktiengesellschaft Notlaufbetrieb eines Elektromotors
WO2020239370A1 (de) * 2019-05-28 2020-12-03 Siemens Mobility GmbH Steueranlage und verfahren zum betreiben einer steueranlage

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10248456A1 (de) * 2001-10-19 2003-06-18 Denso Corp Fahrzeugkommunikationssystem
DE10235527C1 (de) * 2002-08-03 2003-10-09 Daimler Chrysler Ag Vorrichtung und Verfahren zur redundanten Spannungsversorgung sicherheitsrelevanter Systeme
EP1719286A2 (de) * 2003-11-19 2006-11-08 Honeywell International, Inc. Ankoppeln von linearbusknoten an ringe
DE102005018837A1 (de) * 2005-04-22 2006-10-26 Robert Bosch Gmbh Verfahren und Vorrichtung zur Synchronisation zweier Bussysteme sowie Anordnung aus zwei Bussystemen
US10112606B2 (en) 2016-01-22 2018-10-30 International Business Machines Corporation Scalable sensor fusion and autonomous x-by-wire control
US10269192B2 (en) 2017-04-07 2019-04-23 Airbiquity Inc. Technologies for verifying control system operation
EP3492999A1 (de) * 2017-11-30 2019-06-05 Siemens Aktiengesellschaft Verfahren zum betrieb eines kommunikationssystems, kommunikationssystem und kommunikationsteilnehmer

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4022671A1 (de) * 1990-07-17 1992-01-23 Wabco Westinghouse Fahrzeug Elektronisches bremssystem fuer stassenfahrzeuge
DE4339570B4 (de) * 1993-11-19 2004-03-04 Robert Bosch Gmbh Elektronisches Bremssystem
DE19510525A1 (de) * 1995-03-23 1996-09-26 Bosch Gmbh Robert Verfahren und Vorrichtung zur Steuerung bzw. Regelung der Bremsanlage eines Fahrzeugs
US5924774A (en) * 1995-11-30 1999-07-20 Zeftron, Inc. Electronic pneumatic brake system
DE19742988C1 (de) * 1997-09-29 1999-01-28 Siemens Ag Bremsanlage für ein Kraftfahrzeug
US6002970A (en) * 1997-10-15 1999-12-14 International Business Machines Corp. Method and apparatus for interface dual modular redundancy
US6748438B2 (en) * 1997-11-17 2004-06-08 International Business Machines Corporation Method and apparatus for accessing shared resources with asymmetric safety in a multiprocessing system
DE19800311A1 (de) * 1998-01-07 1999-07-08 Itt Mfg Enterprises Inc Elektronische, digitale Einrichtung
DE19826131A1 (de) * 1998-06-12 1999-12-16 Bosch Gmbh Robert Elektrisches Bremssystem für ein Kraftfahrzeug
GB2339869B (en) * 1998-07-20 2002-05-15 Motorola Ltd Fault-tolerant electronic braking system
DE19840484A1 (de) * 1998-09-04 2000-03-09 Bosch Gmbh Robert Fahrzeugrechneranordnung
GB2345161A (en) * 1998-12-23 2000-06-28 Motorola Ltd Microprocessor module and method
US6212457B1 (en) * 1999-08-05 2001-04-03 Trw Inc. Mixed parallel and daisy chain bus architecture in a vehicle safety system
DE19937156A1 (de) * 1999-08-06 2001-02-08 Bosch Gmbh Robert Elektrisch gesteuertes, dezentrales Steuersystem in einem Fahrzeug
DE19939567B4 (de) * 1999-08-20 2007-07-19 Pilz Gmbh & Co. Kg Vorrichtung zum Steuern von sicherheitskritischen Prozessen
WO2001044778A1 (en) * 1999-12-15 2001-06-21 Delphi Technologies, Inc. Electric caliper hardware topologies for a safety system
EP1257903A4 (de) * 2000-02-01 2004-10-13 Delphi Tech Inc Multimodul-control-by-wire-architektur
JP4727896B2 (ja) * 2001-06-27 2011-07-20 ローベルト ボッシュ ゲゼルシャフト ミット ベシュレンクテル ハフツング システムの機能性の監視方法,その監視装置,メモリ素子,コンピュータプログラム

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102009005266A1 (de) 2009-01-20 2010-07-22 Continental Teves Ag & Co. Ohg Anbindung eines Kommunikationscontrollers in Sicherheitsarchitekturen
FR2944612A3 (fr) * 2009-04-15 2010-10-22 Renault Sas Architecture de commande electronique d'un vehicule automobile.
DE102010054188A1 (de) 2010-07-27 2012-02-02 Volkswagen Aktiengesellschaft Verfahren und Rechnerverbund zur Steuerung eines Elektromotors
DE102010039858A1 (de) 2010-08-27 2011-09-15 Robert Bosch Gmbh Watchdog-Funktion
DE102010039860A1 (de) 2010-08-27 2012-03-01 Robert Bosch Gmbh Komponentenüberwachung in einem elektrisch betriebenen Fahrzeug
DE102011118172A1 (de) 2011-11-10 2013-05-16 Volkswagen Aktiengesellschaft Notlaufbetrieb eines Elektromotors
WO2020239370A1 (de) * 2019-05-28 2020-12-03 Siemens Mobility GmbH Steueranlage und verfahren zum betreiben einer steueranlage

Also Published As

Publication number Publication date
JP2004519060A (ja) 2004-06-24
WO2002075464A1 (de) 2002-09-26
EP1370914A1 (de) 2003-12-17
US20030184158A1 (en) 2003-10-02
DE10291113D2 (de) 2004-04-15

Similar Documents

Publication Publication Date Title
EP0925674B1 (de) Verfahren zur kontrolle der verbindungen eines übertragungssystems und komponente zur durchführung des verfahrens
EP1040623B1 (de) Verfahren zur koordination von netzwerkkomponenten
EP0979189B1 (de) Schaltungsanordnung für ein kraftfahrzeug-regelungssystem
DE10326287B4 (de) Fahrzeug-Kommunikationssystem, Initialisierungseinheit sowie im Fahrzeug eingebaute Steuereinheit
DE10210664C1 (de) Vorrichtung zur Verwaltung von Netzwerken
DE10211279A1 (de) Verfahren zum Betreiben eines verteilten sicherheitsrelevanten Systems
WO2009015962A1 (de) Bremssystem für ein fahrzeug und verfahren zum betreiben eines bremssystems für ein fahrzeug
EP1533673A2 (de) Steuerungssystem
EP2491492B1 (de) Automatisierungssystem und verfahren zum betrieb eines automatisierungssystems
WO2016134855A1 (de) Kraftfahrzeug-kommunikationsnetzwerk mit switchvorrichtung
DE10211278A1 (de) Verfahren zur Ansteuerung einer Komponente eines verteilten sicherheitsrelevanten Systems
DE10236080A1 (de) Verfahren und Vorrichtung zur Steuerung von Betriebsabläufen, insbesondere in einem Fahrzeug
EP3385934A1 (de) Vorrichtung für die steuerung eines sicherheitsrelevanten vorganges, verfahren zum testen der funktionsfähigkeit der vorrichtung, sowie kraftfahrzeug mit der vorrichtung
DE10316452A1 (de) Elektrisches, dezentrales Bremssystem in einem Fahrzeug
DE102008029948B4 (de) Überwachungssystem
EP3871393B1 (de) Verfahren zur überwachung eines datenübertragungssystems, datenübertragungssystem und kraftfahrzeug
DE102007008168A1 (de) Schaltungsvorrichtung und entsprechendes Verfahren zum Ansteuern einer Last
WO2006024447A1 (de) Energiemanagement auf der basis eines logischen rings
DE19960959C2 (de) Vorrichtung zum manipulationssicheren Datenaustausch in einem Kraftfahrzeug
EP1384122B1 (de) Verfahren zur ansteuerung einer komponente eines verteilten sicherheitsrelevanten systems
EP3096970B1 (de) Verfahren zum betrieb eines hochspannungsnetzes eines kraftfahrzeugs und kraftfahrzeug
DE102012209445A1 (de) Verfahren und Kommunikationssystem zur sicheren Datenübertragung
WO2021165371A1 (de) Sicherheitsmodul für eine gesicherte antriebssteuerung eines antriebssystems in einem automatisierungssystem, antriebssystem und automatisierungssystem
DE10123802B4 (de) Steuerungssystem für Kfz-Komponenten und Steuerungsverfahren
DE10211280A1 (de) Verfahren zur Ansteuerung einer Komponente eines verteilten sicherheitsrelevanten Systems

Legal Events

Date Code Title Description
8139 Disposal/non-payment of the annual fee