DE10211279A1 - Verfahren zum Betreiben eines verteilten sicherheitsrelevanten Systems - Google Patents
Verfahren zum Betreiben eines verteilten sicherheitsrelevanten SystemsInfo
- Publication number
- DE10211279A1 DE10211279A1 DE10211279A DE10211279A DE10211279A1 DE 10211279 A1 DE10211279 A1 DE 10211279A1 DE 10211279 A DE10211279 A DE 10211279A DE 10211279 A DE10211279 A DE 10211279A DE 10211279 A1 DE10211279 A1 DE 10211279A1
- Authority
- DE
- Germany
- Prior art keywords
- pro
- process computer
- communication
- control
- communication system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60G—VEHICLE SUSPENSION ARRANGEMENTS
- B60G17/00—Resilient suspensions having means for adjusting the spring or vibration-damper characteristics, for regulating the distance between a supporting surface and a sprung part of vehicle or for locking suspension during use to meet varying vehicular or surface conditions, e.g. due to speed or load
- B60G17/015—Resilient suspensions having means for adjusting the spring or vibration-damper characteristics, for regulating the distance between a supporting surface and a sprung part of vehicle or for locking suspension during use to meet varying vehicular or surface conditions, e.g. due to speed or load the regulating means comprising electric or electronic elements
- B60G17/0195—Resilient suspensions having means for adjusting the spring or vibration-damper characteristics, for regulating the distance between a supporting surface and a sprung part of vehicle or for locking suspension during use to meet varying vehicular or surface conditions, e.g. due to speed or load the regulating means comprising electric or electronic elements characterised by the regulation being combined with other vehicle control systems
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60T—VEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
- B60T13/00—Transmitting braking action from initiating means to ultimate brake actuator with power assistance or drive; Brake systems incorporating such transmitting means, e.g. air-pressure brake systems
- B60T13/74—Transmitting braking action from initiating means to ultimate brake actuator with power assistance or drive; Brake systems incorporating such transmitting means, e.g. air-pressure brake systems with electrical assistance or drive
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
- G05B9/03—Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1629—Error detection by comparing the output of redundant processing systems
- G06F11/1641—Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60G—VEHICLE SUSPENSION ARRANGEMENTS
- B60G2600/00—Indexing codes relating to particular elements, systems or processes used on suspension systems or suspension control systems
- B60G2600/08—Failure or malfunction detecting means
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60G—VEHICLE SUSPENSION ARRANGEMENTS
- B60G2600/00—Indexing codes relating to particular elements, systems or processes used on suspension systems or suspension control systems
- B60G2600/70—Computer memory; Data storage, e.g. maps for adaptive control
- B60G2600/702—Parallel processing
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60G—VEHICLE SUSPENSION ARRANGEMENTS
- B60G2800/00—Indexing codes relating to the type of movement or to the condition of the vehicle and to the end result to be achieved by the control action
- B60G2800/80—Detection or control after a system or component failure
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W2050/0001—Details of the control system
- B60W2050/0043—Signal treatments, identification of variables or parameters, parameter estimation or state estimation
- B60W2050/0044—In digital systems
- B60W2050/0045—In digital systems using databus protocols
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/0205—Diagnosing or detecting failures; Failure detection models
- B60W2050/021—Means for detecting failure or malfunction
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/04—Monitoring the functioning of the control system
- B60W2050/041—Built in Test Equipment [BITE]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/18—Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/18—Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
- G06F11/181—Eliminating the failing redundant component
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/18—Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
- G06F11/182—Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits based on mutual exchange of the output between redundant processing components
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Theoretical Computer Science (AREA)
- Mechanical Engineering (AREA)
- Computer Networks & Wireless Communication (AREA)
- Medical Informatics (AREA)
- General Health & Medical Sciences (AREA)
- Signal Processing (AREA)
- Transportation (AREA)
- Computing Systems (AREA)
- Quality & Reliability (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Safety Devices In Control Systems (AREA)
- Hardware Redundancy (AREA)
- Programmable Controllers (AREA)
Abstract
Die Erfindung betrifft ein Verfahren zum Betreiben eines verteilten sicherheitsrelevanten Systems, insbesondere eines X-by-Wire-Systems in einem Kraftfahrzeug. Das verteilte System umfasst mindestens einen ersten Prozessrechner (Pro_1) zur Ansteuerung einer Komponente (Akt_1) des Systems und mindestens einen weiteren Prozessrechner (Pro_m). Die Prozessrechner (Pro_1, Pro_m) sind jeweils über einen Kommunikationscontroller (S_1, S_m) an ein Kommunikationssystem (K_1) angeschlossen. Die Funktionsfähigkeit des mindestens einen ersten Prozessrechners (Pro_1) wird durch den mindestens einen weiteren Prozessrechner (Pro_m) überprüft. Dieses Verfahren wird auch als ein verteiltes Überwachungskonzept bezeichnet. Erfindungsgemäß wird ein Mechanismus zur gesicherten Abschaltung mindestens eines fehlerhaften ersten Prozessrechners (Pro_1) durch mindestens einen der weiteren Prozessrechner (Pro_m) vorgeschlagen, um den ein Kommunikationsprotokoll des Kommunikationssystems (K_1) zur Realisierung des verteilten Überwachungskonzepts erweitert wird.
Description
Die vorliegende Erfindung betrifft ein Verfahren zum
Betreiben eines verteilten sicherheitsrelevanten Systems,
insbesondere eines X-by-Wire-Systems in einem
Kraftfahrzeug. Das verteilte System umfasst mindestens
einen ersten Prozessrechner zur Ansteuerung einer
Komponente des Systems und mindestens einen weiteren
Prozessrechner, wobei die Prozessrechner jeweils über einen
Kommunikationscontroller an ein Kommunikationssystem
angeschlossen sind. Die Funktionsfähigkeit des mindestens
einen ersten Prozessrechners wird durch den mindestens
einen weiteren Prozessrechner überprüft.
Die Erfindung betrifft außerdem ein verteiltes
sicherheitsrelevantes System, insbesondere ein X-by-Wire-
System in einem Kraftfahrzeug. Das verteilte System umfasst
mindestens einen ersten Prozessrechner zur Ansteuerung
einer Komponente des Systems und mindestens einen weiteren
Prozessrechner, wobei die Prozessrechner jeweils über einen
Kommunikationscontroller an ein Kommunikationssystem
angeschlossen sind. Eine Überwachung der Funktionsfähigkeit
des mindestens einen ersten Prozessrechners erfolgt durch
den mindestens einen weiteren Prozessrechner.
Des weiteren betrifft die vorliegende Erfindung einen
Kommunikationscontroller zum Anschluss mindestens eines
ersten Prozessrechners und mindestens eines weiteren
Prozessrechners an ein Kommunikationssystem eines
verteilten sicherheitsrelevanten Systems, insbesondere
eines X-by-Wire-Systems in einem Kraftfahrzeug. Der
mindestens eine erste Prozessrechner dient zur Ansteuerung
einer Komponente des verteilten Systems. Auf dem
Kommunikationscontroller läuft zur Realisierung einer
Datenübertragung zwischen den Prozessrechnern und dem
Kommunikationssystem ein Kommunikationsprotokoll ab.
Schließlich betrifft die Erfindung auch ein
Kommunikationsprotokoll für ein Kommunikationssystem eines
verteilten sicherheitsrelevanten Systems, insbesondere
eines X-by-Wire-Systems in einem Kraftfahrzeug. Das
verteilte System umfasst mindestens einen ersten
Prozessrechner zur Ansteuerung einer Komponente des
verteilten Systems und mindestens einen weiteren
Prozessrechner. Die Prozessrechner sind jeweils über einen
Kommunikationscontroller an das Kommunikationssystem
angeschlossen. Das Kommunikationsprotokoll läuft zur
Realisierung einer Datenübertragung zwischen den
Prozessrechnern und dem Kommunikationssystem auf den
Kommunikationscontrollern ab.
Die Vernetzung von Steuergeräten (Prozessrechnern),
Sensorik und Aktorik mit Hilfe eines Kommunikationssystems
hat im Kraftfahrzeugbereich in den letzten Jahren stark
zugenommen. Dabei muss eine gegenseitige Beeinflussung der
Prozessrechner über das Kommunikationssystem ausgeschlossen
werden. Synergieeffekte durch Verteilung von Funktionen auf
mehrere Prozessrechner steht im Vordergrund. Man spricht
von verteilten Systemen.
Eine spezielle Realisierung solcher verteilter Systeme sind
X-by-Wire-Systeme. Ein X-by-Wire-System ist ein
Kraftfahrzeugsystem, das der Fahrzeugbewegung dient und die
Entkopplung von Fahrerwunscherfassung und deren Umsetzung
erlaubt. Die Verbindung zwischen Fahrerwunscherfassung und
deren Umsetzung ist nicht mechanischer Art, sondern beruht
im Wesentlichen nur auf der (elektronischen)
Informationsübertragung. Ein X-by-Wire-System ist ein
System mit hohen Sicherheitsanforderungen, d. h. ein
Komplettausfall dieses Systems erzeugt einen Fehler der
höchsten, im Fahrzeug möglichen Sicherheitsstufe. Es werden
drei Klassen solcher Systeme betrachtet.
- 1. Nasse X-by-Wire-Systeme sind solche Systeme mit einer hydraulischen (mechanischen) Rückfallebene, welche die Basisfunktionalität auch ohne elektrische Energieversorgung (z. B. nach einem Ausfall der Energieversorgung) aufrechterhalten können. Unter Basisfunktionalität ist die Funktion zu verstehen, die bei einer festen mechanischen Kopplung von Fahrerwunsch zu erzielter Wirkung auch noch vorhanden wäre. Bei einer Fahrzeugbremse ist z. B. die Basisbremsfunktion die Bremsfunktion ohne ein elektronisches Regelsystem, das eine variable Bremskraftverteilung erzeugen könnte. Bei der Basisbremsfunktion ist dann (systemabhängig) fest vorgegeben, dass bspw. 65% der Bremskraft auf die Vorderachse und 35% auf die Hinterachse entfallen. Antiblockiersystem (ABS), Antischlupfregelung (ASR) und Fahrdynamikregelung (FDR) gehören nicht zur Basisbremsfunktion.
- 2. Trockene X-by-Wire-Systeme sind solche Systeme ohne eine mechanische/hydraulische Rückfallebene. Die Realisierung basiert ausschließlich auf elektro mechanischen Komponenten.
- 3. Halb-trockene X-by-Wire-Systeme sind solche Systeme, die zwar über einen hydraulischen Steller verfügen, die aber eine "trockene Schnittstelle" haben. Bezüglich der Kommunikationsanforderungen sind diese Systeme daher gleich zu behandeln wie trockene X-by- Wire-Systeme.
Typische Beispiele für X-by-Wire-Systeme sind Steer-by-
Wire- und Brake-by-Wire-Systeme (elektronische Lenkung und
elektronische Bremse).
In allen Systemen mit hohen Sicherheitsanforderungen,
insbesondere in X-by-Wire-Systemen, sind Mechanismen zur
Freigabe der Aktorik, z. B. von Elektromotoren oder
Hydraulikpumpen, notwendig. Dies wird nach dem Stand der
Technik durch sog. "intelligente Watchdogs" auf Basis einer
Frage-Antwort-Kommunikation realisiert.
Ein Verfahren der eingangs genannten Art ist bspw. aus der
DE 198 26 131 Al bekannt. In dieser Druckschrift ist das
verteilte sicherheitsrelevante System als ein elektrisches
Bremssystem eines Kraftfahrzeugs beschrieben. Die
Komponenten sind als die Bremsen des Kraftfahrzeugs bzw.
genauer gesagt als Aktoren zur Ansteuerung der Bremsen
ausgebildet. Ein solches System ist in hohem Maße
sicherheitsrelevant, da eine fehlerhafte Ansteuerung der
Komponenten, insbesondere ein fehlerhaftes Betätigen der
Bremsen, zu einem nicht vorhersehbaren Sicherheitsrisiko
führen kann. Aus diesem Grund muss eine fehlerhafte
Ansteuerung der Komponenten mit Sicherheit ausgeschlossen
werden.
Wesentliche Merkmale des bekannten Bremssystems sind ein
Pedalmodul zur zentralen Fahrerwunscherfassung, vier
Radmodule zur radindividuellen Regelung der Bremsaktuatoren
und ein Verarbeitungsmodul zur Berechnung übergeordneter
Bremsfunktionen. Die Kommunikation der einzelnen Module
untereinander kann durch ein oder mehrere
Kommunikationssysteme erfolgen. In Fig. 2 der vorliegenden
Patentanmeldung ist die interne Struktur eines Radmoduls
mit verschiedenen logischen Ebenen beispielhaft
dargestellt. Die logische Ebene L1 umfasst dabei mindestens
die Berechnung der Steuer- und Regelfunktionen für die
Radbremsen, während die logischen Ebenen L2 bis L4
verschiedene Funktionen zur Rechnerüberwachung und
Funktionsüberprüfung von L1 beinhalten.
Die Ansteuerung der Bremsen, bzw. der Elektromotoren zur
Betätigung der Bremsbacken, umfasst für jedes Radmodul
gleichermaßen die nachfolgenden Schritte:
- a) Ermitteln mindestens eines Ansteuersignals (f_1) für die Bremse durch ein erstes Mikrorechnersystem (R_1A) in Abhängigkeit von mindestens einem Eingangssignal (a_R2, a_R3, a_R4; a_V, ref; s_R2, s_R3, s_R4; Δs_V, ref; v_F; n_1; d_1; F_li; a_R1; s_R1). Die Eingangssignale werden dem Mikrorechnersystem (R_1A) über ein Kommunikationssystem (K_1), bspw. ein Bussystem, zur Verfügung gestellt.
- b) Ermitteln mindestens eines logischen Ansteuersignals (e_1H). Das logische Ansteuersignal (e_1H) wird zumindest teilweise von einer von dem ersten Mikrorechnersystem (R_1A) unabhängigen Überwachungseinheit (R_1B) in Abhängigkeit von dem mindestens einen Eingangssignal ermittelt.
- c) Vergleichen des mindestens einen Ansteuersignals (f_1) mit dem mindestens einen logischen Ansteuersignal (e_1H) in einer Leistungselektronik (LE_1K).
- d) Ermitteln mindestens eines Freigabesignals (innerhalb der Leistungselektroniken LE) in Abhängigkeit von dem Ergebnis des Vergleichs des Ansteuersignals (f_1) und des logischen Ansteuersignals (e_1H); und
- e) Weiterleiten des mindestens einen Ansteuersignals (f_1) oder eines von dem Ansteuersignal (f_1) abhängigen Signals (i_1K) an die Bremse, bzw. an einen Aktuator Akt_1 für die Bremsbacken, falls das mindestens eine Freigabesignal einen vorgebbaren Wert aufweist.
Die Überwachungseinheit (R_1B) dient insbesondere zur
Erkennung systematischer (sog. common mode) Fehler. Ein
Beispiel für solche Fehler sind Fehler in der
Spannungsversorgung. Bei dem bekannten Bremssystem ist die
Überwachungseinheit (R_1B) als ein selbständiges
Mikrorechnersystem ausgebildet. Alternativ kann die
Überwachungseinheit (R_1B) jedoch auch als ein
Hardwarebaustein ohne eigenen Prozessor ausgebildet sein,
der jedoch konkrete logische Funktionen oder, falls er ein
Register aufweist, sogar Schaltfunktionen ausführen kann.
Ein Beispiel für einen solchen Hardwarebaustein ist bspw.
ein ASIC (Applied Specific Integrated Circuit), ein FPGA
(Field-Programmable Gate Array) oder eine
Überwachungsschaltung (sog. Watch-Dog).
Das Steuergerät (Mikrorechnersystem oder Prozessrechner),
das für die Ansteuerung der Komponente (Aktorik)
verantwortlich ist, wird überwacht und im Fehlerfall von
der Überwachungseinheit abgeschaltet. Die Überwachung
basiert auf einer Frage-Antwort-Kommunikation, die einem
festgelegten Protokoll folgen muss.
Die Freigabe der Aktorik (LE2R) erfolgt ausschließlich bei
Übereinstimmung (Frage-Antwort-Kommunikation arbeitet wie
spezifiziert) des Mikrorechnersysrems (R_1A) und der
unabhängigen Überwachungseinheit (R_1B). Das Prinzip dieser
Freigabe basiert auf einer elektrischen Freigabeschaltung
(UND-Verknüpfung), die zwischen dem Prozessrechner und der
Überwachungseinheit realisiert ist. Das bedeutet, dass
beide Einheiten für die normale Funktion der Aktorik eine
logische "Eins" an die Freigabeschaltung anlegen müssen.
Die Abschaltung der Aktorik erfolgt, sobald ein Prozess in
dem Mikrorechnersystem (R_1A) das Signal zur Abschaltung
gibt. Die Überwachungskomponente (R_1B) wird nur dann das
Signal zur Abschaltung geben, wenn die überwachte Einheit
(Mikrorechnersystem R_1A) als fehlerhaft erkannt wurde.
In sicherheitsrelevanten Systemen sind aber auch
Überwachungsmechanismen für Steuergeräte (Prozessrechner)
notwendig, die über den Umfang einer Frage-Antwort-
Kommunikation hinausgehen. Dies spielt insbesondere eine
große Rolle für sogenannte Fail-Silent-Rechner. Diese
Rechner dürfen per Definition nur einen Wert nach Außen
geben, wenn dieser korrekt vorliegt (zur richtigen Zeit)
oder erkennbar falsch dargestellt wird. Hierzu werden lokal
laufende Überwachungsfunktionen (Speichertests,
Plausibilitätsprüfungen) am Prozessrechner selbst
implementiert. Für besonders sicherheitsrelevante Aufgaben
muss aber der Fall berücksichtigt werden, dass der Fail-
Silent-Rechner die erwartete Zuverlässigkeit nicht mehr
erfüllt. Der Rechner kann sich nicht mehr selbst abschalten
bzw. einen Wiederanlauf initiieren. Eine unabhängige
Einheit muss die gesicherte Abschaltung übernehmen oder
einen Wiederanlauf initiieren.
Der Einsatz von Kommunikationssystemen im Automobilbereich
ist inzwischen bei nahezu allen Herstellern zum Standard
geworden. Die Society for Automotive Engineering (SAE) hat
drei unterschiedliche Anforderungsklassen an die
Kommunikation definiert: Klasse A, B und C. Diese Klassen
unterscheiden sich in der Menge der Informationen, die
ausgetauscht werden bis hin zu den unterschiedlichen
Echtzeitanforderungen und Anwendungsgebieten. Die
Protokollklasse mit den höchsten Anforderungen ist die
Klasse C. Hierzu ist eine Spezifikation der SAE
"Kommunikationsprotokolle für Klasse C Anwendungen", SAE
J2056/1, Juni 1993 erhältlich. Diese Klasse C ist die für
X-by-Wire-Systeme zuständige Klasse.
Kommunikationssyteme, die für X-by-Wire-Anwendungen
herangezogen werden können, arbeiten bspw. nach dem CAN-,
TTCAN (Time Triggered CAN)-, TTP/C- oder FlexRay-Protokoll.
Ein für die vorliegende Erfindung wichtiger Dienst in
solchen Protokollen stellt der Teilnehmer-Service (sog.
Membership-Service) dar. Dabei wird über einen Mechanismus
der Nachrichtenbestätigung die Zugehörigkeit/Aktivität
eines Kommunikationsteilnehmers (Mikrorechnersystems oder
Prozessrechners) in einem Entscheidungsverfahren aller
aktiven Kommunikationsteilnehmer bestimmt. Die
Informationen über die Zugehörigkeit/Aktivität der
Kommunikationsteilnehmer werden als sog. Membership-
Information gespeichert. Nach einer bestimmter Anzahl an
Entscheidungsrunden ist die Membership-Information stabil,
d. h. von allen Teilnehmern als gültig anerkannt. Wird durch
diese Entscheidung ein Teilnehmer als inaktiv bezeichnet,
darf dieser Knoten nicht mehr aktiv an der Kommunikation
teilnehmen. Der für diesen Knoten zuständige Prozessrechner
erkennt den inaktiven Zustand und muss Maßnahmen ergreifen,
um seinen Kommunikationscontroller wieder aktiv zu schalten
(Wiederanlauf und Resynchronisation). Der Mechanismus zur
Bestimmung der Teilnehmer wird laufend ausgeführt und ist
Teil des eigentlichen Kommunikationsprotokolls.
Nachteilig bei dem aus der DE 198 26 131 A1 hervorgehenden
Stand der Technik ist es, dass die logische Ebene L4 stets
in einem gesonderten Bauteil realisiert ist, das - bspw. in
Radmodulen eines elektrischen Bremssystems - innerhalb des
verteilten sicherheitsrelevanten Systems zudem mehrfach
vorgesehen sein muss.
Um diesen Nachteil zu beheben wird vorgeschlagen, auf die
Überwachungseinheit ganz zu verzichten und die Aufgaben der
Überwachungseinheit dem mindestens einen weiteren
Prozessrechner des verteilten sicherheitsrelevanten Systems
und/oder mindestens einem der Kommunikationscontroller zu
übertragen, über welche die weiteren Prozessrechner an das
Kommunikationssystem angeschlossen sind.
Der vorliegenden Erfindung liegt die Aufgabe zugrunde, bei
einem solchen verteilten Überwachungskonzept Möglichkeiten
zu schaffen, durch welche die Basisfunktionalität eines
Kommunikationssystems bzw. eines Kommunikationsprotokolls,
nämlich gesicherte Nachrichtenübertragung, Senden von
Nachrichten, die gleichzeitig an mehrere Ziele in dem
Kommunikationssystem gerichtet sind (sog. Multicasting),
Nachrichtenbestätigung und - z. B. bei TTP/C (Time Triggered
Protocol for Class C) oder CAN (Controller Area Network) -
der Teilnehmer-Service, um einen Mechanismus zur
gesicherten Abschaltung von Prozessrechnern über das
Kommunikationssystem erweitert wird.
Zur Lösung dieser Aufgabe schlägt die vorliegende Erfindung
ausgehend von dem Verfahren der eingangs genannten Art ein
Verfahren mit den nachfolgenden Schritten vor:
- - mindestens einer der weiterer Prozessrechner, der einen Fehler mindestens eines der ersten Prozessrechner ermittelt hat, übermittelt eine Ansteuernachricht über das Kommunikationssystem zum Ansteuern des fehlerhaften ersten Prozessrechners oder der von diesem angesteuerten Komponente;
- - es wird überprüft, ob der Absender der Ansteuernachricht berechtigt ist, den fehlerhaften ersten Prozessrechner anzusteuern;
- - es wird überprüft, ob der Absender der Ansteuernachricht an das Kommunikationssystem angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem beteiligt ist;
- - in Abhängigkeit des Inhalts von Ansteuernachrichten derjenigen Absender, die berechtigt sind, den fehlerhaften ersten Prozessrechner anzusteuern, und die an das Kommunikationssystem angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem beteiligt sind, wird nach einem vorgebbaren Entscheidungsalgorithmus entschieden, wie der fehlerhafte erste Prozessrechner und/oder die Komponente anzusteuern sind; und
- - der fehlerhafte erste Prozessrechner und/oder die Komponente werden dementsprechend angesteuert.
Erfindungsgemäß werden also lokal oder global verfügbare
Informationen vorgesehen, durch die eine sichere und
zuverlässige Realisierung des verteilten
Überwachungskonzepts innerhalb des Kommunikationssystems
erreicht werden kann. Diese Informationen betreffen für die
ersten Prozessrechner jeweils eine lokale Liste, in der
diejenigen weiteren Prozessrechner aufgeführt sind, die den
jeweiligen ersten Prozessrechner im Fehlerfalle ansteuern
(z. B. abschalten) dürfen. Außerdem betreffen die
Informationen eine globale Liste, in der diejenigen
Prozessrechner aufgeführt sind, die an das
Kommunikationssystem angeschlossen und aktiv an der
Kommunikation über das Kommunikationssystem beteiligt sind.
Für diese Liste kann bspw. die Membership-Information des
Teilnehmer-Services herangezogen werden. Schließlich
betreffen die Informationen für jeden weiteren
Prozessrechner eine global verfügbare Liste, in der
diejenigen ersten Prozessrechner aufgeführt sind, die der
jeweilige weitere Prozessrechner als fehlerhaft erkannt hat
und die er deshalb ansteuern (z. B. abschalten) möchte.
Die vorliegende Erfindung geht von einem
Kommunikationssystem mit mehreren Prozessrechnern aus. Die
Prozessrechner sind in zwei Gruppen unterteilt, nämlich zum
einen erste Prozessrechner, die überwacht werden, und zum
anderen weitere Prozessrechner, die überwachen. Welcher der
Prozessrechner des verteilten Systems der ersten und
welcher der zweiten Gruppe angehören, ist eine Frage der
Definition. Es ist durchaus denkbar, dass ein und derselbe
Prozessrechner einerseits der ersten Gruppe angehört, weil
der von einem oder mehreren der weiteren Prozessrechner
überwacht wird, andererseits aber auch der zweiten Gruppe
angehört, weil er einen oder mehrere andere (erste)
Prozessrechner überwacht.
Durch die vorliegende Erfindung wird die
Basisfunktionalität eines Kommunikationssystems bzw.
Kommunikationsprotokolls, nämlich gesicherte
Nachrichtenübertragung, Multicasting,
Nachrichtenbestätigung und Teilnehmer-Service, mit einem
Mechanismus zur gesicherten Abschaltung von Prozessrechnern
über das Kommunikationssystem erweitert. Das
Kommunikationssystem ersetzt dabei die beim Stand der
Technik in Hardware (durch Verkabelung) realisierten
Abschaltpfade (z. B. Überwachungseinheit mit sternförmiger
Verkabelung zu Radrechnern in einem Brake-by-Wire-System).
Das Kommunikationssystem ermöglicht es, einen nach dem
Stand der Technik lokal implementierten intelligenten
Watchdog (oftmals in Form einfacher Hardwareschaltungen) am
Prozessrechner des Steuergeräts in einen beliebigen
ausgewählten Prozessrechner in der Kommunikationssystem zu
Verlagern. Dabei wird vorzugsweise ein in dem verteilten
System bereits vorhandenes Steuergerät mit seinem
Prozessrechner herangezogen. Eine erweiterte Watchdog-
Funktionalität, z. B. Plausibilitätsprüfung durch
Gegenrechnen, kann dadurch einfacher realisiert werden.
Der zusätzliche Mechanismus zur gesicherten Abschaltung in
dem Kommunikationssystem ermöglicht aber auch ein
verteiltes Überwachungskonzept. Das bedeutet, dass nicht
nur ein Prozessrechner die Funktion des intelligenten
Watchdogs übernimmt, sondern dass mehrere Steuergeräte mit
ihren Prozessrechnern über das Kommunikationssystem eine
Ansteuerung bzw. Abschaltung bewirken können.
Ein in heutigen Kraftfahrzeugen bereits standardisiertes
Kommunikationssystem und eine damit verbundene
Busverkabelung (Eindraht- oder Zweidrahtleitung) wird als
Abschaltpfad genutzt. Es ist keine explizite Verkabelung
für den Abschaltpfad zwischen den Einheiten des
Kommunikationssystems notwendig. Das Kommunikationssystem
führt ein Ansteuer- bzw. Abschalt-Protokoll aus, das im
normalen Protokollablauf (eigentliches Senden und Empfangen
von Nachrichten, Nachrichtenbestätigung und Teilnehmer-
Service) eingebaut ist. Dabei entsteht zwar eine geringe
Mehrbelastung des Kommunikationscontrollers, aber eine
bedeutende Verbesserung in der Nutzung vorhandener
Steuergeräte (Prozessorrechner). Des weiteren stellt das
Kommunikationssystem Software- und Hardwareschnittstellen
an den Prozessrechner zur Verfügung, um das Ansteuer- bzw.
Abschalt-Protokoll zu initiieren bzw. umzusetzen.
Eine Freigabeschaltung, über welche eine Komponente (die
Aktorik) eines verteilten sicherheitsrelevanten Systems
nach dem erfindungsgemäßen Verfahren angesteuert wird, wird
also von einem Prozessrechner einerseits und von einem
Kommunikationscontroller andererseits bedient. Somit wird
es möglich, die Komponente über das Kommunikationssystem
anzusteuern bzw. abzuschalten. Außerdem kann auch der
Prozessrechner selbst mit dem Kommunikationscontroller
gekoppelt werden, so dass der Prozessrechner, der die
Komponente ansteuert, selbst angesteuert bzw. abgeschaltet
werden kann, z. B. durch Anschluss des
Kommunikationscontrollers an einer Reset-Leitung des
Prozessrechners.
Gemäß einer vorteilhaften Weiterbildung der vorliegenden
Erfindung wird vorgeschlagen, dass durch die
Ansteuernachricht ein Abschalten des fehlerhaften ersten
Prozessrechners und/oder der von diesem angesteuerten
Komponente erzielt wird.
Gemäß einer bevorzugten Ausführungsform der vorliegenden
Erfindung wird vorgeschlagen, dass in dem
Kommunikationscontroller des mindestens einen ersten
Prozessrechners eine lokale Berechtigungsliste vorgesehen
ist, anhand der überprüft wird, ob der Absender der
Ansteuernachricht berechtigt ist, den fehlerhaften ersten
Prozessrechner anzusteuern, indem eine Kennung des
Absenders der Ansteuernachricht mit dem Inhalt der
Berechtigungsliste verglichen wird.
Gemäß einer weiteren bevorzugten Ausführungsform der
vorliegenden Erfindung wird vorgeschlagen, dass in dem
Kommunikationssystem eine globale Teilnehmerliste
vorgesehen ist, anhand der überprüft wird, ob der Absender
der Ansteuernachricht an das Kommunikationssystem
angeschlossen und aktiv an der Kommunikation über das
Kommunikationssystem beteiligt ist, indem eine Kennung des
Absenders der Ansteuernachricht mit dem Inhalt der
Teilnehmerliste verglichen wird.
Gemäß einer anderen vorteilhaften Weiterbildung der
vorliegenden Erfindung wird vorgeschlagen, dass falls
mehrere Ansteuernachrichten für den mindestens einen ersten
Prozessrechner vorliegen, in Abhängigkeit von dem Inhalt
der Ansteuernachrichten nach einer Mehrheitsentscheidung
entschieden wird, wie der fehlerhafte erste Prozessrechner
und/oder die Komponente anzusteuern sind.
Vorteilhafterweise wird eine erfolgreiche Ansteuerung des
fehlerhaften ersten Prozessrechners und/oder der Komponente
zumindest dem mindestens einen Absender der
Ansteuernachricht mitgeteilt.
Vorzugsweise wird die erfolgreiche Ansteuerung des
fehlerhaften ersten Prozessrechners und/oder der Komponente
allen Prozessrechnern mitgeteilt, indem der fehlerhafte
erste Prozessrechner aus einer in dem Kommunikationssystem
vorgesehenen globalen Teilnehmerliste gestrichen wird,
wobei in der Teilnehmerliste diejenigen Prozessrechner
aufgeführt sind, die an das Kommunikationssystem
angeschlossen und aktiv an der Kommunikation über das
Kommunikationssystem beteiligt sind.
Als eine weitere Lösung der Aufgabe der vorliegenden
Erfindung wird ausgehend von dem verteilten
sicherheitsrelevanten System der eingangs genannten Art
vorgeschlagen, dass
- - mindestens einer der weiteren Prozessrechner Mittel zum Ermitteln eines Fehlers mindestens eines der ersten Prozessrechner und Mittel aufweist, um, falls der mindestens eine fehlerhafte erste Prozessrechner einen Fehler aufweist, eine Ansteuernachricht zur Ansteuerung des fehlerhaften ersten Prozessrechners und/oder der von diesem angesteuerten Komponente über das Kommunikationssystem zu übermitteln;
- - dem Kommunikationscontroller des fehlerhaften ersten Prozessrechners Informationen zur Verfügung stehen, ob der Absender der Ansteuernachricht berechtigt ist, den fehlerhaften ersten Prozessrechner anzusteuern;
- - dem Kommunikationscontroller des fehlerhaften ersten Prozessrechners Informationen zur Verfügung stehen, ob der Absender der Ansteuernachricht an das Kommunikationssystem angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem beteiligt ist;
- - der Kommunikationscontroller des fehlerhaften ersten Prozessrechners Mittel zum Entscheiden nach einem vorgebbaren Entscheidungsalgorithmus aufweist, wie der fehlerhafte erste Prozessrechner und/oder die Komponente in Abhängigkeit des Inhalts von Ansteuernachrichten derjenigen Absender, die berechtigt sind, den fehlerhaften ersten Prozessrechner anzusteuern, und die an das Kommunikationssystem angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem beteiligt sind, anzusteuern sind; und
- - der Kommunikationscontroller des fehlerhaften ersten Prozessrechners Mittel zum dementsprechenden Ansteuern des fehlerhaften ersten Prozessrechners und/oder der Komponente aufweist.
Gemäß einer vorteilhaften Weiterbildung der vorliegenden
Erfindung wird vorgeschlagen, dass die Informationen, ob
der Absender der Ansteuernachricht berechtigt ist, den
fehlerhaften ersten Prozessrechner anzusteuern, in Form
einer in dem Kommunikationscontroller des mindestens einen
ersten Prozessrechners vorgesehenen lokalen
Berechtigungsliste zur Verfügung stehen.
Gemäß einer bevorzugten Ausführungsform der vorliegenden
Erfindung wird vorgeschlagen, dass die Informationen, ob
der Absender der Ansteuernachricht an das
Kommunikationssystem angeschlossen und aktiv an der
Kommunikation über das Kommunikationssystem beteiligt ist,
in Form einer in dem Kommunikationssystem vorgesehenen
globalen Teilnehmerliste zur Verfügung stehen.
Als noch eine weitere Lösung der Aufgabe der vorliegenden
Erfindung wird ausgehend von dem Kommunikationscontroller
der eingangs genannten Art vorgeschlagen, dass das
Kommunikationsprotokoll um Mechanismen ergänzt ist, die es
dem Kommunikationscontroller ermöglichen
- - zu prüfen, ob einer der weiteren Prozessrechner, der eine Ansteuernachricht zum Ansteuern mindestens eines ersten fehlerhafter. Prozessrechners und/oder der von diesem angesteuerten Komponente über das Kommunikationssystem übermittelt, an das Kommunikationssystem angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem beteiligt ist;
- - zu prüfen, ob der Absender der Ansteuernachricht berechtigt ist, den fehlerhaften ersten Prozessrechner anzusteuern;
- - nach einem vorgebbaren Entscheidungsalgorithmus zu entscheiden, wie der erste Prozessrechner und/oder die Komponente in Abhängigkeit des Inhalts von Ansteuernachrichten derjenigen Absender, die berechtigt sind, den fehlerhaften ersten Prozessrechner anzusteuern, und die an das Kommunikationssystem angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem beteiligt sind, anzusteuern sind; und
- - den ersten Prozessrechner und/oder die Komponente dementsprechend anzusteuern.
Gemäß einer vorteilhaften Weiterbildung der vorliegenden
Erfindung wird vorgeschlagen, dass das
Kommunikationsprotokoll um Mechanismen zur Ausführung des
erfindungsgemäßen Verfahrens ergänzt ist.
Schließlich wird als noch eine weitere Lösung der Aufgabe
der vorliegenden Erfindung ausgehend von dem
Kommunikationsprotokoll der eingangs genannten Art
vorgeschlagen, dass das Kommunikationsprotokoll um
Mechanismen ergänzt ist, um
- - zu prüfen, ob einer der weiteren Prozessrechner, der eine Ansteuernachricht zum Ansteuern mindestens eines ersten fehlerhaften Prozessrechners und/oder der von diesem angesteuerten Komponente über das Kommunikationssystem übermittelt, an das Kommunikationssystem angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem beteiligt ist;
- - zu prüfen, ob der Absender der Ansteuernachricht berechtigt ist, den fehlerhaften ersten Prozessrechner anzusteuern;
- - nach einem vorgebbaren Entscheidungsalgorithmus zu entscheiden, wie der erste Prozessrechner und/oder die Komponente in Abhängigkeit des Inhalts von Ansteuernachrichten derjenigen Absender, die berechtigt sind, den fehlerhaften ersten Prozessrechner anzusteuern, und die an das Kommunikationssystem angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem beteiligt sind, anzusteuern sind; und
- - den ersten Prozessrechner und/oder die Komponente.
Gemäß einer vorteilhaften Weiterbildung der Vorliegenden
Erfindung wird vorgeschlagen, dass das
Kommunikationsprotokoll um Mechanismen zur Ausführung des
erfindungsgemäßen Verfahrens ergänzt ist.
Weitere Merkmale, Anwendungsmöglichkeiten und Vorteile der
Erfindung ergeben sich aus der nachfolgenden Beschreibung
von Ausführungsbeispielen der Erfindung, die in der
Zeichnung dargestellt sind. Dabei bilden alle beschriebenen
oder dargestellten Merkmale für sich oder in beliebiger
Kombination den Gegenstand der Erfindung, unabhängig von
ihrer Zusammenfassung in den Patentansprüchen oder deren
Rückbeziehung sowie unabhängig von ihrer Formulierung bzw.
Darstellung in der Beschreibung bzw. in den Zeichnungen. Es
zeigen
Fig. 1 ein erfindungsgemäßes verteiltes
sicherheitsrelevantes System im Ausschnitt gemäß
einer bevorzugten Ausführungsform;
Fig. 2 ein aus dem Stand der Technik bekanntes
Ansteuermodul eines verteilten
sicherheitsrelevanten Systems;
Fig. 3 Freigabesignale innerhalb eines Ansteuermoduls
aus Fig. 1;
Fig. 4 ein Abschaltprotokoll nach einer ersten
bevorzugten Ausführungsform des erfindungsgemäßen
Verfahrens; und
Fig. 5 ein Abschaltprotokoll nach einer zweiten
bevorzugten Ausführungsform des erfindungsgemäßen
Verfahrens.
Die vorliegende Erfindung wird nachfolgend anhand eines
elektrischen Bremssystems näher erläutert. Die Erfindung
ist aber nicht auf elektrische Bremssysteme beschränkt,
sondern vielmehr für beliebige verteilte
sicherheitsrelevante Systeme einsetzbar. Die vorliegende
Erfindung erlaubt eine sichere Freigabe von Komponenten
Akt_1 des sicherheitsrelevanten Systems ohne den Einsatz
zusätzlicher Überwachungseinheiten. Die Aufgaben der
Überwachungseinheiten werden vielmehr von weiteren
Prozessrechnern P-m des verteilten Systems übernommen, die
sowieso in dem System vorhanden sind und um eine
entsprechende Funktionalität erweitert wurden.
Das Bremssystem umfasst für jedes zu bremsende Fahrzeugrad
ein Radmodul R_1, R_m. Jedes Radmodul R_1, R_m umfasst ein
Mikrorechnersystem P_1, P_m und eine Freigabeschaltung
FS_1, FS_m. Die Mikrorechnersysteme P_1, P_m umfassen
jeweils einen Prozessrechner Pro_1, Pro_m und einen
intelligenten Kommunikationscontroller S_1, S_m. Der
Prozessrechner Pro_1, Pro_m und der
Kommunikationscontroller S_1, S_m eines Mikrorechnersystems
P_1, P_m können auf einem Halbleiterbaustein (sog. Chip)
zusammengefasst sein; sie sind jedoch stets als voneinander
unabhängige, gesonderte Einheiten ausgebildet. Jedes
Radmodul R_1, R_m ist über einen Kommunikationscontroller
S_1, S_m an ein Kommunikationssystem K_1 in Form eines
physikalischen Datenbusses angeschlossen. Über den Datenbus
werden Daten bspw. nach dem CAN (Controller Area Network)-,
TTCAN (Time Triggered CAN)-, TTP/C (Time Triggered Protocol
for Class C)- oder FlexRay-Protokoll übertragen. Die
Radmodule R_1, R_m steuern jeweils eine Komponente in Form
einer Aktorik Akt_1, Akt_m an, die bspw. als Elektromotoren
zur Betätigung oder zum Lösen von Radbremsen ausgebildet
sind.
In Fig. 1 ist die interne Struktur von zwei Radmodulen und
der darin ablaufende Signalfluss bei einer möglichen
Ausführungsform des verteilten Überwachungskonzepts
dargestellt. Die Aufgabe des Radmoduls R_1 (genauer gesagt
des Prozessrechners Pro_1) ist die Ansteuerung der Aktorik
Akt_1 des elektrischen Bremssystems. Wichtig bei der
Ansteuerung der Aktorik Akt_1 ist es zu verhindern, dass
die Aktorik Akt_1 von einem fehlerhaften Ansteuersignal
A_11 des Mikrorechnersystems P_1 angesteuert wird. Das
bedeutet, dass das Ansteuersignal A_11 nur dann an die
Aktorik Akt_1 weitergeleitet werden sollte, wenn mit
ausreichend hoher Wahrscheinlichkeit feststeht, dass es
fehlerfrei ist. Die Ansteuerung der Aktorik Akt_1 umfasst
deshalb im wesentlichen die nachfolgenden Schritte:
- a) Der Prozessor Pro_1 des Mikrorechnersystems P_1 ermittelt durch Abarbeiten eines Programmcodes in Abhängigkeit von mindestens einem Eingangssignal mindestens ein Ansteuersional A_11 für die Aktorik Akt_1. Die Eingangssignale enthalten Informationen über den Ist-Zustand des Bremssystems und des Kraftfahrzeugs und werden über den Datenbus K_1 an das erste Radmodul R_1 übermittelt.
- b) Die Prozessoren Pro_m (z. B. m = 2 . . 4) der weiteren Mikrorechnersysteme P_m ermitteln ebenfalls durch Abarbeiten des gleichen Programmcodes in Abhängigkeit von den gleichen Eingangssignalen ein logisches Ansteuersignal A_1m. Das setzt voraus, dass in den Prozessoren Pro_m außer einem Programmcode zur Ermittlung der Ansteuersignale A_m1 für die Aktoren Akt_m zusätzlich noch der Programmcode aus dem Prozessor Pro_1 zur Verfügung stehen muss. In dem vorliegenden Beispiel mit mehreren gleichartigen Radmodulen R_1, R_m bedeutet dies keinen oder nur einen minimalen zusätzlichen Aufwand, da die auf den Prozessoren Pro_1, Pro_m ablaufenden Programmcodes im wesentlichen gleich sind. So kann also der in den Prozessoren Pro_m sowieso zur Verfügung stehend Programmcode mit den Eingangssignalen des ersten Radmoduls R_1 abgearbeitet werden, um die logischen Ansteuersignale A_1m zu erhalten. Diese Vereinfachung gilt für alle verteilten Systeme mit gleichartigen Ansteuermodulen. Die Eingangssignale können den Mikrorechnersystemen P_m über den Datenbus K_1 übermittelt werden. Bei korrekter Funktion der Prozessrechner Pro_1, Pro_m sind die Ansteuersignale A_11 und die logischen Ansteuersignale A_1m identisch.
- c) Das Ansteuersignal A_11 wird in den Prozessrechnern Pro_m der weiteren Mikrorechnersysteme P_m mit dem zuvor in dem Prozessrechner Pro_1 ermittelten Ansteuersignal A_11 verglichen. Dazu muss das Ansteuersignal A_11 über den Datenbus K_1 an die weiteren Mikrorechnersysteme P_m übermittelt werden. Die weiteren Mikroprozessorsysteme P_m erzeugen Statusinformation, die über den Datenbus K_1 an den Kommunikationscontroller S_1 des ersten Mikrorechnersystems P_1 übermittelt werden. Die Informationen, die zur Realisierung des verteilten Überwachungskonzepts über das Kommunikationssystem K_1 übertragen werden müssen, bestehen bspw. aus einem oder mehreren Bits. Es ist denkbar, die Informationen zur Übertragung in das Kommunikationsprotokoll des Datenbusses K_1 einzubinden.
- d) Der Kommunikationscontroller S_1 des ersten Mikrorechnersystems P_1 wertet die eingehenden Statusinformationen aus und erzeugt im Falle eines entsprechenden Status (d. h. bei Signalisierung einer korrekten Funktionsweise des Prozessrechners Pro_1) ein Freigabesignal F_1. Das Auswerten der Statusinformationen kann auf unterschiedliche Weise erfolgen. Es kann bspw. ein Vergleich, eine logische (vorzugsweise eine UND-) Verknüpfung oder eine Mehrheitsentscheidung der Statusinformationen SF_1m sein.
- e) Schließlich wird das mindestens eine Ansteuersignal A_11 oder mindestens ein davon abhängiges Signal an die Aktorik Akt_1 weitergeleitet, falls das mindestens eine Freigabesignal F_1 einen vorgebbaren Wert aufweist. Um dies zu prüfen, wird in der Freigabeschaltung FS_1 eine UND-Verknüpfung des Ansteuersignals A_11 mit dem Freigabesignal F_1 ausgeführt. Falls das Freigabesignal F_1 logisch Eins ist, wird das Ansteuersignal A_11 an die Aktorik Akt_1 weitergeleitet. Falls das Freigabesignal F_1 jedoch logisch Null ist, wird das Ansteuersignal A_11 nicht an die Aktorik Akt_1 weitergeleitet.
Durch das beschriebene Verfahren kann die
Funktionsfähigkeit des Prozessors Pro_1 des
Mikrorechnersystems P_1 überprüft und eine sichere Freigabe
der Aktorik Akt_1 erzielt werden. Zur Überprüfung des
Prozessors Pro_1 werden hauptsächlich die Prozessoren Pro_m
der weiteren Mikrorechnersysteme P_m eingesetzt. In
gleicher Weise kann das erfindungsgemäße Verfahren jedoch
auch zur Überprüfung der Funktionsfähigkeit der Prozessoren
Pro_m der weiteren Mikrorechnersysteme P_m und zur sicheren
Freigabe der Aktorik Akt_m eingesetzt werden. Dann werden
die übrigen Prozessoren Pro_m (ohne den zu überprüfenden
Prozessor) und der Prozessor Pro_1 des ersten
Mikrorechnersystems P_1 zur Überprüfung herangezogen. Jedes
einzelne Mikrorechnersystem P_1, P_m innerhalb des
sicherheitsrelevanten verteilten Bremssystems hat also
einerseits die Primäraufgabe, die Ansteuersignale A_11,
A_m1 für die ihm zugeordnete Aktorik Akt_1, Akt_m zu
ermitteln, und andererseits die Sekundäraufgabe, die
Funktion der übrigen Prozessoren bei der Erfüllung ihrer
Primäraufgaben zu kontrollieren. Ohne den Einsatz
zusätzlicher Überwachungseinheiten wird durch das
beschriebene verteilte Überwachungskonzept also die
Möglichkeit einer sicheren und sogar redundant wirksamen
Freigabe der Aktoren Akt_1, Akt_m geschaffen.
In Fig. 3 ist das Radmodul R_1 im Ausschnitt dargestellt.
Zur Realisierung eines gesicherten Abschaltpfades über das
Kommunikationssystem K_1 sind Software-Schnittstellen SS_1
zwischen dem Kommunikationscontroller S_1 und dem
Prozessrechner Pro_1 vorgesehen. Die Schnittstellen SS_1
dienen zum Setzen einer Ansteuernachricht in Form eines
Abschalt-Vektors durch einen weiteren Prozessrechner Pro_m
und zur Abfrage des aktuell gültigen Abschalt-Vektors, der
über den Kommunikationscontroller S_1 empfangen wurde.
Zur Realisierung des verteilten Überwachungskonzepts ist
außerdem eine Hardware-Schnittstelle notwendig, die von dem
Kommunikationscontroller S_1 an die Freigabeschaltung FS_1
herangeführt wird. Die Hardware-Schnittstelle dient
insbesondere dazu, bei Fehlersituationen, in denen der
Prozessrechner Pro_1 nicht mehr zuverlässig den aktuellen
Abschalt-Vektor auslesen und die Aktorik Akt_1 abschalten
kann, die Aktorik Akt_1 durch den Kommunikationscontroller
S_1 abzuschalten. Hierzu ist ein Anschluss-Pin F_1
vorgesehen, das über eine Verbindungsleitung an die
Freigabeschaltung FS_1 geführt ist. Dieser Pin F_1 muss im
Normalfall (es liegt kein Abschaltkommando vor) auf logisch
Eins gehalten werden, um die Freigabe der Aktorik Akt_1
durch den Kommunikationscontroller S_1 sicherzustellen. Im
Fall eines vorliegenden Abschaltkommandos muss der
Anschluss-Pin F_1 an die Freigabeschaltung FS_1 auf logisch
Null geschaltet werden, um die Freigabe zu gewährleisten.
Ein in heutigen Kraftfahrzeugen bereits standardisiertes
Kommunikationssystem K_1 und die damit verbundene
Busverkabelung (Eindraht- oder Zweidrahtleitungen) wird bei
dem verteilten Überwachungskonzept als Abschaltepfad
genutzt. Es ist keine explizite Verkabelung für den
Abschaltpfad zwischen den Einheiten des verteilten Systems
notwendig. Das Kommunikationssystem K_1 führt ein
Abschaltprotokoll aus, das in dem normalen Protokollablauf
(eigentliches Senden und Empfangen von Nachrichten,
Nachrichtenbestätigung und sogenannter Teilnehmer-Service)
eingebaut ist. Dabei entsteht zwar eine geringe
Mehrbelastung des Protokollrechners
(Kommunikationscontrollers S_1), aber es wird eine
bedeutende Verbesserung bezüglich der Auslastung
vorhandener Steuergeräte (P_1, P_m) bzw. Prozessrechner
(Pro_1, Pro_m) erzielt. Des Weiteren stellt das
Kommunikationssystem K_1 Software- und
Hardwareschnittstellen SS_1, F_1 an die Prozessrechner
Pro_1, Pro_m zur Verfügung, um das Ansteuer- bzw.
Abschaltprotokoll zu initiieren bzw. umzusetzen.
Bei dem oben beschriebenen verteilten Überwachungskonzept
wird also eine Freigabeschaltung FS_1 von dem
Prozessrechner Pro_1 einerseits und von dem
Kommunikationscontroller S_1 andererseits bedient. Somit
ist es möglich, die Aktorik Akt_1 mit dem in dieser
Patentanmeldung beschriebenen Abschaltmechanismus über das
Kommunikationssystem K_1 abzuschalten. Außerdem kann auch
der Prozessrechner Pro_1 selbst mit dem
Kommunikationscontroller S_1 gekoppelt werden, sodass auch
der Prozessrechner Pro_1 abgeschaltet werden kann, z. B.
durch Kopplung an eine Reset-Leitung B des Prozessrechners
Pro_1.
Die Realisierung des gesicherten Abschaltpfades über das
Kommunikationssystem K_1 ist mit nahezu jedem Steuergerät
Pro_1, Pro_m möglich, das mit seinem
Kommunikationscontroller S_1, S_m an einen Datenbus K_1
angeschlossen ist. Der Kommunikationscontroller S_1, S_m
muss das Abschaltprotokoll in dem Kommunikationsprotokoll
umsetzen. Das Abschaltprotokoll und die dafür notwendigen
Konfigurationsdaten bzw. Schnittstellen SS_1, F_1 werden
nachfolgend beschrieben.
In den Kommunikationscontrollern S_1 ist eine statische
Information darüber abgelegt, welches Mikrorechnersystem
P_m bzw. welcher Prozessrechner Pro_m die Berechtigung
besitzt, den dem Kommunikationscontroller S_1 zugeordneten
Prozessrechner Pro_1 abzuschalten. Die statische
Information ist beispielsweise auf einem Flash-EPROM
(Erasable and Programmable Read Only Memory) in den
Kommunikationscontrollern S_1 abgelegt.
Diese statische Information kann sich aus folgenden
Inhalten zusammensetzen:
- - Eine Kennung des lokalen Kommunikationscontrollers S_1. Diese ist bei einigen Protokollen, z. B. TTP/C, bereits vorhanden.
- - Eine lokale (individuelle) Liste, in der Kennungen von Kommunikationscontrollern S_m aufgeführt sind, deren Abschalt-Nachricht zur Abschaltung des lokalen Prozessrechners Pro_1 bzw. der durch diesen angesteuerten Aktorik Akt_1 über den Kommunikationscontroller S_1 führen darf. Die Liste ist vorzugsweise auf die Zahl der berechtigten Kommunikationscontroller, z. B. auf drei Einträge, begrenzt.
Des Weiteren muss in den statischen Informationen
konfiguriert werden, ob eine berechtigte Abschaltung nur in
der Schnittstelle SS_1 zu dem Prozessrechner Pro_1
angezeigt werden soll oder ob die Abschalt-Nachricht auch
über eine geeignete Verdrahtung an die Freigabeschaltung
FS_1 weitergegeben werden soll.
Der Abschalt-Vektor ist ein Bit-Vektor und repräsentiert
die m-Teilnehmer in dem gesamten verteilten
sicherheitsrelevanten System. Eine bestimmte Bit-Position
ist einer Kennung eines bestimmten
Kommunikationscontrollers S_1, S_m zugewiesen. In dem
Abschaltvektor können zwei Zustände pro Steuergerät P_1,
P_m dargestellt werden:
Null: es liegt kein Abschalt-Kommando an den Kommunikationscontroller mit der Kennung an der entsprechenden Bit-Position vor.
Eins: es liegt ein Abschalt-Kommando für den der Bit- Position entsprechenden Kommunikationscontroller vor.
Null: es liegt kein Abschalt-Kommando an den Kommunikationscontroller mit der Kennung an der entsprechenden Bit-Position vor.
Eins: es liegt ein Abschalt-Kommando für den der Bit- Position entsprechenden Kommunikationscontroller vor.
Der Abschalt-Vektor kann aus Gründen beschränkter
Bandbreite oder begrenzter Anzahl von Protokolldaten
(Steuerdaten für den Protokollablauf, die gemeinsam mit den
Nutzdaten in einem Nachrichtenpaket über das
Kommunikationssystem K_1 versandt werden) gekürzt werden.
In dem Abschalt-Vektor werden dann nur ausgewählte
Steuergeräte P_1, P_m dargestellt.
Für die erfindungsgemäße Realisierung des verteilten
Überwachungskonzepts wird außerdem auf Informationen
zugegriffen, ob der Absender eines Abschalt-Vektors an das
Kommunikationssystem K_1 angeschlossen und aktiv an der
Kommunikation über das Kommunikationssystem K_1 beteiligt
ist. Diese Informationen werden von manchen
Kommunikationsprotokollen standardmäßig zur Verfügung
gestellt. Diese Funktionalität wird in den
Kommunikationsprotokollen auch als Teilnehmer-Service oder
Membership-Service bezeichnet. Dann sind diese
Informationen in der sog. Membership-Information enthalten.
Dabei wird über einen Mechanismus der
Nachrichtenbestätigung die Zugehörigkeit/Aktivität eines
Prozessrechners Pro_1, Pro_m in einem
Entscheidungsverfahren aller aktiven
Kommunikationsteilnehmer bestimmt. Nach einer bestimmten
Anzahl von Entscheidungsrunden ist die Membership-
Information stabil, d. h. sie wird von allen Teilnehmern
als gültig anerkannt.
Wird durch diese Entscheidung ein Steuergerät P_1, P_m als
inaktiv bezeichnet, darf dieses Steuergerät nicht mehr
aktiv an der Kommunikation teilnehmen. Der zuständige
Prozessrechner Pro_1, Pro_m erkennt diesen Zustand und muss
Maßnahmen ergreifen, um den ihm zugeordneten
Kommunikationscontroller S_1, S_m wieder aktiv zu schalten
(Wiederanlauf und Resynchronisation). Der Mechanismus zur
Bestimmung der aktiven Teilnehmer (Membership) wird laufend
ausgeführt und ist Teil des eigentlichen
Kommunikationsprotokolls. Die Membership-Informationen
stehen in dem Kommunikationssystem K_1 in Form eines
Membership-Vektors Me zur Verfügung.
Die Ausgangssituation zur Durchführung des
erfindungsgemäßen Verfahrens ist ein aktives verteiltes
System mit funktionierenden Teilnehmern
(Kommunikationscontrollern S_1, S_m und deren Steuergeräte
P_1, P_m bzw. Prozessrechner Pro_1, Pro_m). Die Membership-
Information Me ist also für jeden Teilnehmer auf "1", und
es liegt keine Anforderung für eine Abschaltung (Abschalt-
Vektor Ab) vor. Diese Ausgangssituation ist in Schritt 1)
der Fig. 4 und 5 für ein verteiltes System mit vier
Teilnehmern A, B, C, D dargestellt. Fig. 4 betrifft ein
Abschaltprotokoll mit nur einem Berechtigten (Teilnehmer A
darf nur von Teilnehmer D abgeschaltet werden), wohingegen
Fig. 5 ein Abschaltprotokoll mit drei Berechtigten und
absoluter Mehrheit (Teilnehmer A wird abgeschaltet, wenn
mindestens zwei der drei weiteren Teilnehmer B, C, D ein
Abschalten des Teilnehmers A befürworten).
Der Abschalt-Vektor Ab stellt einen Abschaltbefehl eines
berechtigten Steuergeräts P_m für ein bestimmtes
Steuergerät P_1 dar, sobald die Bit-Position für dieses
Steuergerät P_1 auf "1" gesetzt wird. Der Abschalt-Vektor
wird von dem Kommunikationsprotokoll beim Absender P_m mit
den übrigen Steuerdaten einer Nachricht codiert und
versendet (vgl. Schritt 2) in den Fig. 4 und 5).
Das Kommunikationssystems K_1 beruht auf Multicast-
Nachrichten. Damit kann angenommen werden, dass jedes
aktive Steuergerät P_1, P_m alle gesendeten und als
fehlerfrei erkannten Nachrichten empfängt und danach lokale
Protokollmechanismen startet. Sonderfälle, bei denen die
Korrektheit einer Nachricht erst nach einer bestimmten
Anzahl weiterer Sendevorgänge entschieden wird (z. B. bei
TTP/C) müssen gesondert behandelt werden. Dieser Sonderfall
bedeutet, dass auch der empfangene Abschalt-Vektor bis zu
dieser endgültigen Entscheidung als ungültig zu betrachten
ist. Der Kommunikationscontroller S_1 entnimmt den
empfangenen Protokolldaten die Informationen des
Abschaltvektors Ab.
Ist aufgrund der Protokollrealisierung die Kennung des
Absenders P_m geklärt, kann bei dem Empfänger S_1 die
Überprüfung der Berechtigung erfolgen. Der Empfänger S_1
kennt über den Zusammenhang von Sendezeitpunkt,
Nachrichtenkennung und statischer Information zur
Abschaltberechtigung, die Kennung des Absenders P_m in der
Nachricht. Ist die Identität des Absenders P_m nicht
eindeutig festgelegt, muss die Kennung des Absenders P_m
zusätzlich zu dem Abschalt-Vektor Ab mit übertragen werden.
Bei dem Abschaltprotokoll aus Fig. 4 ist in dem Abschalt-
Vektor Ab des Teilnehmers D eine Bitstelle gesetzt, die mit
der Kennung des Teilnehmers A übereinstimmt. In der lokalen
Berechtigungsliste des Teilnehmers A ist der Teilnehmer D
als Berechtigter zum Abschalten eingetragen. Aus diesem
Grund erfolgt in Schritt 3) eine Abschaltung des
Prozessrechners und/oder der von dem Prozessrechner
angesteuerten. Aktorik des Teilnehmers A.
Der Kommunikationscontroller S_1 setzt den Status des
Abschalt-Vektors Ab in der Software-Schnittstelle SS_1 auf
den aktuellen Stand (vgl. Schritt 3) in Fig. 4 und SS_1 in
Fig. 3). Der Kommunikationscontroller S_1 setzt den Pegel
zum Abschalten an dem vorgesehenen Anschlusspin an der
Hardware-Schnittstelle um die Abschaltung der Aktorik über
die Freigabeschaltung FS_1 zu initiieren (vgl. Schritt 3)
in Fig. 4 und Signal F_1 und Signal B in Fig. 3). Der
Kommunikationscontroller S_1 wechselt in einen passiven
Zustand, d. h. er nimmt nicht mehr an der Kommunikation
über das Kommunikationssystem K_1 teil. Durch diese
Maßnahme wird den anderen Teilnehmern B, C, D signalisiert,
dass der gesamte Knoten (umfassend das Steuergerät, die
Aktorik, die Sensorik und den Kommunikationscontroller des
Teilnehmers A) nicht mehr verfügbar ist. Dies bewirkt die
Löschung des Teilnehmers A in dem Membership-Vektor Me der
anderen Teilnehmer B, C, D in dem verteilten System (vgl.
Schritt 4) in Fig. 4), indem die entsprechende Bitstelle
auf "0" gesetzt wird. Durch den fehlenden Membership-
Eintrag des abgeschalteten Teilnehmers A erhält der
Absender D des Abschalt-Vektors Ab die Bestätigung über den
Erfolg seines Abschaltbefehls. Ein wiederholtes Setzen in
dem Abschalt-Vektor Ab ist nicht mehr erforderlich (vgl.
Schritt 5) in Fig. 4). In dem Abschalt-Vektor Ab wird die
dem Teilnehmer A entsprechende Bitstelle so oft gesetzt,
bis eine Bestätigung des Abschaltbefehls vorliegt.
Bei dem Abschaltprotokoll aus Fig. 5 erfolgt die
Abschaltung eines Teilnehmers A nur dann, wenn zum einen
die in dem Abschalt-Vektor Ab gesetzte Bitstelle mit der
Kennung des Teilnehmers A übereinstimmt und zum anderen
zwischen den berechtigten Teilnehmern B, C, D
Übereinstimmung betreffend die Abschaltung des Teilnehmers
A herrscht, wobei alle drei Teilnehmer B, C, D in der
lokalen Berechtigungsliste als Berechtigte zum Abschalten
des Teilnehmers A eingetragen sind.
Um dies zu realisieren, müssen die Abschalt-Vektoren Ab der
verschiedenen Teilnehmer B, C, D gesammelt werden. Der
Abschalt-Vektor Ab eines bestimmten Teilnehmers B, C oder D
darf nur dann gesammelt werden, wenn der Teilnehmer B, C
oder D in dem Membership-Vektor Me des
Kommunikationsprotokolls als aktiv gekennzeichnet ist (vgl.
Schritte 3 bis 5 in Fig. 5). Dadurch wird verhindert, dass
eine Situation eintreten kann, bei der eine Abschaltung
eines Teilnehmers A notwendig wäre aber einer der
Teilnehmer B, C, D selbst nicht aktiv ist und damit die
Abschaltung des Teilnehmers A verhindern kann, da der
Abschaltbefehl des inaktiven Teilnehmers B, C oder D fehlt.
Nachdem alle berechtigten Teilnehmer B, C, D ihre
Abschaltvektoren AbB, AbC, AbD übermittelt haben, wird der
Abstimmungsvorgang nach einem vorgebbaren
Entscheidungsalgorithmus initiiert. Für die Abstimmung wird
im vorliegenden Fall die absolute Mehrheit der aktiven
berechtigten Teilnehmer B, C, D gewählt. Ein anderer
Entscheidungsalgorithmus, wie z. B. eine Zwei- aus Drei-
Auswahl, kann ebenfalls implementiert werden. Die Wahl des
anzuwendenden Entscheidungsalgorithmus kann mit der
Konfiguration in dem Kommunikationscontroller S_1
eingestellt werden, z. B. eine Auswahl einer absoluten
Mehrheit, einer Zwei- aus Drei-Auswahl oder einer
mindestens-Eins(at least one)-Semantik. In dem in Fig. 5
dargestellten Ausführungsbeispiel wird also der Teilnehmer
A erst dann abgeschaltet, wenn alle berechtigten Teilnehmer
B, C, D ein Abschalten des Teilnehmers A über ihre
jeweiligen Abschaltvektoren AbB, AbC, AbD fordern (vgl.
Schritt 5) in Fig. 5). Der Kommunikationscontroller S_1
besitzt den Status des Abschalt-Vektors Ab in der Software-
Schnittstelle auf den aktuellen Stand (vgl. Schritt 5) in
Fig. 5 und SS_1 in Fig. 3). Der Kommunikationscontroller
S_1 setzt den Pegel zum Abschalten an dem vorgesehenen
Anschlusspin in der Hardware-Schnittstelle, um die
Abschaltung über die Freigabeschaltung FS_1 zu initiieren
(Schritt 5) in Fig. 5 und Signal F_1 und Signal B in Fig.
3). Der Kommunikationscontroller S_1 wechselt in einen
passiven Zustand, d. h. er nimmt nicht mehr an der
Kommunikation teil. Durch diese Maßnahme wird den anderen
Teilnehmern B, C, D signalisiert, dass der gesamte Knoten
umfassend das Steuergerät, die Aktorik, die Sensorik und
den Kommunikationscontroller nicht mehr verfügbar ist. Dies
bewirkt die Löschung des Teilnehmers A in dem Membership-
Vektor Me der übrigen Teilnehmer B, C, D in dem verteilten
System (vgl. Schritt 6) in Fig. 5). Durch den fehlenden
Membership-Eintrag des abgeschalteten Teilnehmers A
erhalten die Absender (Teilnehmer B, C, D) des Abschalt-
Vektors Ab die Bestätigung über den Erfolg des
Abschaltbefehls. Ein wiederholtes Setzen derjenigen
Bitstelle in dem Abschalt-Vektor Ab, die dem Teilnehmer A
entspricht, ist nicht mehr notwendig (vgl. Schritt 7) in
Fig. 5). Jeder Absender Pro_m eines Abschalt-Vektors Ab
setzt die dem Teilnehmer A entsprechende Bitstelle in
seinem Abschalt-Vektor Ab so lange, bis die Bestätigung
über die erfolgreiche Abschaltung des abzuschaltenden
Teilnehmers A durch ein Fehlen des entsprechenden
Teilnehmers A in dem Membership-Vektor Me übermittelt wird.
Claims (14)
1. Verfahren zum Betreiben eines verteilten
sicherheitsrelevanten Systems, insbesondere eines X-by-
Wire-Systems in einem Kraftfahrzeug, umfassend mindestens
einen ersten Prozessrechner (Pro_1) zur Ansteuerung einer
Komponente (Akt_1) des Systems und mindestens einen
weiteren Prozessrechner (Pro_m), wobei die Prozessrechner
(Pro_1, Pro_m) jeweils über einen Kommunikationscontroller
(S_1, S_m) an ein Kommunikationssystem (K_1) angeschlossen
sind und die Funktionsfähigkeit des mindestens einen ersten
Prozessrechners (Pro_1) durch den mindestens einen weiteren
Prozessrechner (Pro_m) überprüft wird, gekennzeichnet durch
die nachfolgenden Schritte:
mindestens einer der weiteren Prozessrechner (Pro_m), der einen Fehler mindestens eines der ersten Prozessrechner (Pro_1) ermittelt hat, übermittelt eine Ansteuernachricht (Ab_m) über das Kommunikationssystem (K_1) zum Ansteuern des fehlerhaften ersten Prozessrechners (Pro_1) oder der von diesem angesteuerten Komponente (Akt_1);
es wird überprüft, ob der Absender der Ansteuernachricht (Ab_m) berechtigt ist, den fehlerhaften ersten Prozessrechner (Pro_1) anzusteuern;
es wird überprüft, ob der Absender der Ansteuernachricht (Ab_m) an das Kommunikationssystem (K_1) angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem (K_1) beteiligt ist;
in Abhängigkeit des Inhalts von Ansteuernachrichten (Ab_m) derjenigen Absender, die berechtigt sind, den fehlerhaften ersten Prozessrechner (Pro_1) anzusteuern, und die an das Kommunikationssystem (K_1) angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem (K_1) beteiligt sind, wird nach einem vorgebbaren Entscheidungsalgorithmus entschieden, wie der fehlerhafte erste Prozessrechner (Pro_1) und/oder die Komponente (Akt_1) anzusteuern sind; und
der fehlerhafte erste Prozessrechner (Pro_1) und/oder die Komponente (Akt_1) werden dementsprechend angesteuert.
mindestens einer der weiteren Prozessrechner (Pro_m), der einen Fehler mindestens eines der ersten Prozessrechner (Pro_1) ermittelt hat, übermittelt eine Ansteuernachricht (Ab_m) über das Kommunikationssystem (K_1) zum Ansteuern des fehlerhaften ersten Prozessrechners (Pro_1) oder der von diesem angesteuerten Komponente (Akt_1);
es wird überprüft, ob der Absender der Ansteuernachricht (Ab_m) berechtigt ist, den fehlerhaften ersten Prozessrechner (Pro_1) anzusteuern;
es wird überprüft, ob der Absender der Ansteuernachricht (Ab_m) an das Kommunikationssystem (K_1) angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem (K_1) beteiligt ist;
in Abhängigkeit des Inhalts von Ansteuernachrichten (Ab_m) derjenigen Absender, die berechtigt sind, den fehlerhaften ersten Prozessrechner (Pro_1) anzusteuern, und die an das Kommunikationssystem (K_1) angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem (K_1) beteiligt sind, wird nach einem vorgebbaren Entscheidungsalgorithmus entschieden, wie der fehlerhafte erste Prozessrechner (Pro_1) und/oder die Komponente (Akt_1) anzusteuern sind; und
der fehlerhafte erste Prozessrechner (Pro_1) und/oder die Komponente (Akt_1) werden dementsprechend angesteuert.
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet,
dass durch die Ansteuernachricht ein Abschalten des
fehlerhaften ersten Prozessrechners (Pro_1) und/oder der
Komponente (Akt_1) erzielt wird.
3. Verfahren nach Anspruch 1 oder 2, dadurch
gekennzeichnet, dass in dem Kommunikationscontroller (S_1)
des mindestens einen ersten Prozessrechners (Pro_1) eine
lokale Berechtigungsliste (Be_1) vorgesehen ist, anhand der
überprüft wird, ob der Absender der Ansteuernachricht
(Ab_m) berechtigt ist, den fehlerhaften ersten
Prozessrechner (Pro_1) anzusteuern, indem eine Kennung des
Absenders der Ansteuernachricht (Ab_m) mit dem Inhalt der
Berechtigungsliste (Be_1) verglichen wird.
4. Verfahren nach einem der Ansprüche 1 bis 3, dadurch
gekennzeichnet, dass in dem Kommunikationssystem (K_1) eine
globale Teilnehmerliste (Me) vorgesehen ist, anhand der
überprüft wird, ob der Absender der Ansteuernachricht
(Ab_m) an das Kommunikationssystem (K_1) angeschlossen und
aktiv an der Kommunikation über das Kommunikationssystem
(K_1) beteiligt ist, indem eine Kennung des Absenders der
Ansteuernachricht (Ab_m) mit dem Inhalt der Teilnehmerliste
(Me) verglichen wird.
5. Verfahren nach einem der Ansprüche 1 bis 4, dadurch
gekennzeichnet, dass falls mehrere Ansteuernachrichten
(Ab_m) für den mindestens einen ersten Prozessrechner
(Pro_1) vorliegen, in Abhängigkeit von dem Inhalt der
Ansteuernachrichten (Ab_m) nach einer Mehrheitsentscheidung
entschieden wird, wie der fehlerhafte erste Prozessrechner
(Pro_1) und/oder die Komponente (Akt_1) anzusteuern sind.
6. Verfahren nach einem der Ansprüche 1 bis 5, dadurch
gekennzeichnet, dass eine erfolgreiche Ansteuerung des
fehlerhaften ersten Prozessrechners (Pro_1) und/oder der
Komponente (Akt_1) zumindest dem mindestens einen Absender
der Ansteuernachricht (Ab_m) mitgeteilt wird.
7. Verfahren nach Anspruch 6, dadurch gekennzeichnet,
dass die erfolgreiche Ansteuerung des fehlerhaften ersten
Prozessrechners (Pro_1) und/oder der Komponente (Akt_1)
allen Prozessrechnern (Pro_m) mitgeteilt wird, indem der
fehlerhafte erste Prozessrechner (Pro_1) aus einer in dem
Kommunikationssystem (K_1) vorgesehenen globalen
Teilnehmerliste (Me) gestrichen wird, wobei in der
Teilnehmerliste (Me) diejenigen Prozessrechner (Pro_1,
Pro_m) aufgeführt sind, die an das Kommunikationssystem
(K_1) angeschlossen und aktiv an der Kommunikation über das
Kommunikationssystem (K_1) beteiligt sind.
8. Verteiltes sicherheitsrelevantes System, insbesondere
X-by-Wire-System in einem Kraftfahrzeug, umfassend
mindestens einen ersten Prozessrechner (Pro_1) zur
Ansteuerung einer Komponente (Akt_1) des Systems und
mindestens einen weiteren Prozessrechner (Pro_m), wobei die
Prozessrechner (Pro_1, Pro_m) jeweils über einen
Kommunikationscontroller (S_1, S_m) an ein
Kommunikationssystem (K_1) angeschlossen sind und eine
Überwachung der Funktionsfähigkeit des mindestens einen
ersten Prozessrechners (Pro_1) durch den mindestens einen
weiteren Prozessrechner (Pro_m) erfolgt, dadurch
gekennzeichnet, dass
mindestens einer der weiteren Prozessrechner (Pro_m) Mittel zum Ermitteln eines Fehlers mindestens eines der ersten Prozessrechner (Pro_1) und Mittel aufweist, um, falls der mindestens eine fehlerhafte erste Prozessrechner (Pro_1) einen Fehler aufweist, eine Ansteuernachricht (Ab_m) zur Ansteuerung des fehlerhaften ersten Prozessrechners (Pro_1) und/oder der von diesem angesteuerten Komponente (Akt_1) über das Kommunikationssystem (K_1) zu übermitteln;
dem Kommunikationscontroller (S_1) des fehlerhaften ersten Prozessrechners (Pro_1) Informationen zur Verfügung stehen, ob der Absender der Ansteuernachricht (Ab_m) berechtigt ist, den fehlerhaften ersten Prozessrechner (Pro_1) anzusteuern;
dem Kommunikationscontroller (S_1) des fehlerhaften ersten Prozessrechners (Pro_1) Informationen zur Verfügung stehen, ob der Absender der Ansteuernachricht (Ab_m) an das Kommunikationssystem (K_1) angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem (K_1) beteiligt ist;
der Kommunikationscontroller (S_1) des fehlerhaften ersten Prozessrechners (Pro_1) Mittel zum Entscheiden nach einem vorgebbaren Entscheidungsalgorithmus aufweist, wie der fehlerhafte erste Prozessrechner (Pro_1) und/oder die Komponente (Akt_1) in Abhängigkeit des Inhalts von Ansteuernachrichten (Ab_m) derjenigen Absender, die berechtigt sind, den fehlerhaften ersten Prozessrechner (Pro_1) anzusteuern, und die an das Kommunikationssystem (K_1) angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem (K_1) beteiligt sind, anzusteuern sind; und
der Kommunikationscontroller (S_1) des fehlerhaften ersten Prozessrechners (Pro_1) Mittel zum dementsprechenden Ansteuern des fehlerhaften ersten Prozessrechners (Pro_1) und/oder der Komponente (Akt_1) aufweist.
mindestens einer der weiteren Prozessrechner (Pro_m) Mittel zum Ermitteln eines Fehlers mindestens eines der ersten Prozessrechner (Pro_1) und Mittel aufweist, um, falls der mindestens eine fehlerhafte erste Prozessrechner (Pro_1) einen Fehler aufweist, eine Ansteuernachricht (Ab_m) zur Ansteuerung des fehlerhaften ersten Prozessrechners (Pro_1) und/oder der von diesem angesteuerten Komponente (Akt_1) über das Kommunikationssystem (K_1) zu übermitteln;
dem Kommunikationscontroller (S_1) des fehlerhaften ersten Prozessrechners (Pro_1) Informationen zur Verfügung stehen, ob der Absender der Ansteuernachricht (Ab_m) berechtigt ist, den fehlerhaften ersten Prozessrechner (Pro_1) anzusteuern;
dem Kommunikationscontroller (S_1) des fehlerhaften ersten Prozessrechners (Pro_1) Informationen zur Verfügung stehen, ob der Absender der Ansteuernachricht (Ab_m) an das Kommunikationssystem (K_1) angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem (K_1) beteiligt ist;
der Kommunikationscontroller (S_1) des fehlerhaften ersten Prozessrechners (Pro_1) Mittel zum Entscheiden nach einem vorgebbaren Entscheidungsalgorithmus aufweist, wie der fehlerhafte erste Prozessrechner (Pro_1) und/oder die Komponente (Akt_1) in Abhängigkeit des Inhalts von Ansteuernachrichten (Ab_m) derjenigen Absender, die berechtigt sind, den fehlerhaften ersten Prozessrechner (Pro_1) anzusteuern, und die an das Kommunikationssystem (K_1) angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem (K_1) beteiligt sind, anzusteuern sind; und
der Kommunikationscontroller (S_1) des fehlerhaften ersten Prozessrechners (Pro_1) Mittel zum dementsprechenden Ansteuern des fehlerhaften ersten Prozessrechners (Pro_1) und/oder der Komponente (Akt_1) aufweist.
9. Verteiltes System nach Anspruch 8, dadurch
gekennzeichnet, dass die Informationen, ob der Absender der
Ansteuernachricht (Ab_m) berechtigt ist, den fehlerhaften
ersten Prozessrechner (Pro_1) anzusteuern, in Form einer in
dem Kommunikationscontroller (S_1) des mindestens einen
ersten Prozessrechners (Pro_1) vorgesehenen lokalen
Berechtigungsliste (Be_1) zur Verfügung stehen.
10. Verteiltes System nach Anspruch 8 oder 9, dadurch
gekennzeichnet, dass die Informationen, ob der Absender der
Ansteuernachricht (Ab_m) an das Kommunikationssystem (K_1)
angeschlossen und aktiv an der Kommunikation über das
Kommunikationssystem (K_1) beteiligt ist, in Form einer in
dem Kommunikationssystem (K_1) vorgesehenen globalen
Teilnehmerliste (Me) zur Verfügung stehen.
11. Kommunikationscontroller (S_1) zum Anschluss
mindestens eines ersten Prozessrechners (Pro_1) und
mindestens eines weiteren Prozessrechners (Pro_m) an ein
Kommunikationssystem (K_1) eines verteilten
sicherheitsrelevanten Systems, insbesondere eines X-by-
Wire-Systems in einem Kraftfahrzeug, wobei der mindestens
eine erste Prozessrechner (Pro_1) zur Ansteuerung einer
Komponente (Akt_1) des verteilten Systems dient und auf dem
Kommunikationscontroller (S_1) zur Realisierung einer
Datenübertragung zwischen den Prozessrechnern (Pro_1,
Pro_m) und dem Kommunikationssystem (K_1) ein
Kommunikationsprotokoll abläuft, dadurch gekennzeichnet,
dass das Kommunikationsprotokoll um Mechanismen ergänzt
ist, die es dem Kommunikationscontroller (S_1) ermöglichen
zu prüfen, ob einer der weiteren Prozessrechner (Pro_m), der eine Ansteuernachricht (Ab_m) zum Ansteuern mindestens eines ersten fehlerhaften Prozessrechners (Pro_1) und/oder der von diesem angesteuerten Komponente (Akt_1) über das Kommunikationssystem (K_1) übermittelt, an das Kommunikationssystem (K_1) angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem (K_1) beteiligt ist;
zu prüfen, ob der Absender der Ansteuernachricht (Ab_m) berechtigt ist, den fehlerhaften ersten Prozessrechner (Pro_1) anzusteuern;
nach einem vorgebbaren Entscheidungsalgorithmus zu entscheiden, wie der erste Prozessrechner (Pro_1) und/oder die Komponente (Akt_1) in Abhängigkeit des Inhalts von Ansteuernachrichten (Ab_m) derjenigen Absender, die berechtigt sind, den fehlerhaften ersten Prozessrechner (Pro_1) anzusteuern, und die an das Kommunikationssystem (K_1) angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem (K_1) beteiligt sind, anzusteuern sind; und
den ersten Prozessrechner (Pro_1) und/oder die Komponente (Akt_1) dementsprechend anzusteuern.
zu prüfen, ob einer der weiteren Prozessrechner (Pro_m), der eine Ansteuernachricht (Ab_m) zum Ansteuern mindestens eines ersten fehlerhaften Prozessrechners (Pro_1) und/oder der von diesem angesteuerten Komponente (Akt_1) über das Kommunikationssystem (K_1) übermittelt, an das Kommunikationssystem (K_1) angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem (K_1) beteiligt ist;
zu prüfen, ob der Absender der Ansteuernachricht (Ab_m) berechtigt ist, den fehlerhaften ersten Prozessrechner (Pro_1) anzusteuern;
nach einem vorgebbaren Entscheidungsalgorithmus zu entscheiden, wie der erste Prozessrechner (Pro_1) und/oder die Komponente (Akt_1) in Abhängigkeit des Inhalts von Ansteuernachrichten (Ab_m) derjenigen Absender, die berechtigt sind, den fehlerhaften ersten Prozessrechner (Pro_1) anzusteuern, und die an das Kommunikationssystem (K_1) angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem (K_1) beteiligt sind, anzusteuern sind; und
den ersten Prozessrechner (Pro_1) und/oder die Komponente (Akt_1) dementsprechend anzusteuern.
12. Kommunikationscontroller (S_1) nach Anspruch 11,
dadurch gekennzeichnet, dass das Kommunikationsprotokoll um
Mechanismen zur Ausführung eines Verfahrens nach einem der
Ansprüche 2 bis 7 ergänzt ist.
13. Kommunikationsprotokoll für ein Kommunikationssystem
(K_1) eines verteilten sicherheitsrelevanten Systems,
insbesondere eines X-by-Wire-Systems in einem
Kraftfahrzeug, wobei das verteilte System mindestens einen
ersten Prozessrechner (Pro_1) zur Ansteuerung einer
Komponente (Akt_1) des verteilten Systems und mindestens
einen weiteren Prozessrechner (Pro_m) umfasst und die
Prozessrechner (Pro_1, Pro_m) jeweils über einen
Kommunikationscontroller (S_1, S_m) an das
Kommunikationssystem (K_1) angeschlossen sind, wobei das
Kommunikationsprotokoll zur Realisierung einer
Datenübertragung zwischen den Prozessrechnern (Pro_1,
Pro_m) und dem Kommunikationssystem (K_1) auf den
Kommunikationscontrollern (S_1, S_m) abläuft, dadurch
gekennzeichnet, dass das Kommunikationsprotokoll um
Mechanismen ergänzt ist, um
zu prüfen, ob einer der weiteren Prozessrechner (Pro_m), der eine Ansteuernachricht (Ab_m) zum Ansteuern mindestens eines ersten fehlerhaften Prozessrechners (Pro_1) und/oder der von diesem angesteuerten Komponente (Akt_1) über das Kommunikationssystem (K_1) übermittelt, an das Kommunikationssystem (K_1) angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem (K_1) beteiligt ist;
zu prüfen, ob der Absender der Ansteuernachricht (Ab_m) berechtigt ist, den fehlerhaften ersten Prozessrechner (Pro_1) anzusteuern;
nach einem vorgebbaren Entscheidungsalgorithmus zu entscheiden, wie der erste Prozessrechner (Pro_1) und/oder die Komponente (Akt_1) in Abhängigkeit des Inhalts von Ansteuernachrichten (Ab_m) derjenigen Absender, die berechtigt sind, den fehlerhaften ersten Prozessrechner (Pro_1) anzusteuern, und die an das Kommunikationssystem (K_1) angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem (K_1) beteiligt sind, anzusteuern sind; und
den ersten Prozessrechner (Pro_1) und/oder die Komponente (Akt_1) dementsprechend anzusteuern.
zu prüfen, ob einer der weiteren Prozessrechner (Pro_m), der eine Ansteuernachricht (Ab_m) zum Ansteuern mindestens eines ersten fehlerhaften Prozessrechners (Pro_1) und/oder der von diesem angesteuerten Komponente (Akt_1) über das Kommunikationssystem (K_1) übermittelt, an das Kommunikationssystem (K_1) angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem (K_1) beteiligt ist;
zu prüfen, ob der Absender der Ansteuernachricht (Ab_m) berechtigt ist, den fehlerhaften ersten Prozessrechner (Pro_1) anzusteuern;
nach einem vorgebbaren Entscheidungsalgorithmus zu entscheiden, wie der erste Prozessrechner (Pro_1) und/oder die Komponente (Akt_1) in Abhängigkeit des Inhalts von Ansteuernachrichten (Ab_m) derjenigen Absender, die berechtigt sind, den fehlerhaften ersten Prozessrechner (Pro_1) anzusteuern, und die an das Kommunikationssystem (K_1) angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem (K_1) beteiligt sind, anzusteuern sind; und
den ersten Prozessrechner (Pro_1) und/oder die Komponente (Akt_1) dementsprechend anzusteuern.
14. Kommunikationsprotokoll nach Anspruch 13, dadurch
gekennzeichnet, dass das Kommunikationsprotokoll um
Mechanismen zur Ausführung eines Verfahrens nach einem der
Ansprüche 2 bis 7 ergänzt ist.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE10211279A DE10211279A1 (de) | 2001-03-15 | 2002-03-14 | Verfahren zum Betreiben eines verteilten sicherheitsrelevanten Systems |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE10112911 | 2001-03-15 | ||
DE10211279A DE10211279A1 (de) | 2001-03-15 | 2002-03-14 | Verfahren zum Betreiben eines verteilten sicherheitsrelevanten Systems |
Publications (1)
Publication Number | Publication Date |
---|---|
DE10211279A1 true DE10211279A1 (de) | 2002-09-26 |
Family
ID=7677840
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE10211279A Withdrawn DE10211279A1 (de) | 2001-03-15 | 2002-03-14 | Verfahren zum Betreiben eines verteilten sicherheitsrelevanten Systems |
DE10291113T Expired - Fee Related DE10291113D2 (de) | 2001-03-15 | 2002-03-14 | Verfahren zum Betreiben eines verteilten sicherheitsrelevanten Systems |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE10291113T Expired - Fee Related DE10291113D2 (de) | 2001-03-15 | 2002-03-14 | Verfahren zum Betreiben eines verteilten sicherheitsrelevanten Systems |
Country Status (5)
Country | Link |
---|---|
US (1) | US20030184158A1 (de) |
EP (1) | EP1370914A1 (de) |
JP (1) | JP2004519060A (de) |
DE (2) | DE10211279A1 (de) |
WO (1) | WO2002075464A1 (de) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102009005266A1 (de) | 2009-01-20 | 2010-07-22 | Continental Teves Ag & Co. Ohg | Anbindung eines Kommunikationscontrollers in Sicherheitsarchitekturen |
FR2944612A3 (fr) * | 2009-04-15 | 2010-10-22 | Renault Sas | Architecture de commande electronique d'un vehicule automobile. |
DE102010039858A1 (de) | 2010-08-27 | 2011-09-15 | Robert Bosch Gmbh | Watchdog-Funktion |
DE102010054188A1 (de) | 2010-07-27 | 2012-02-02 | Volkswagen Aktiengesellschaft | Verfahren und Rechnerverbund zur Steuerung eines Elektromotors |
DE102010039860A1 (de) | 2010-08-27 | 2012-03-01 | Robert Bosch Gmbh | Komponentenüberwachung in einem elektrisch betriebenen Fahrzeug |
DE102011118172A1 (de) | 2011-11-10 | 2013-05-16 | Volkswagen Aktiengesellschaft | Notlaufbetrieb eines Elektromotors |
WO2020239370A1 (de) * | 2019-05-28 | 2020-12-03 | Siemens Mobility GmbH | Steueranlage und verfahren zum betreiben einer steueranlage |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE10248456A1 (de) * | 2001-10-19 | 2003-06-18 | Denso Corp | Fahrzeugkommunikationssystem |
DE10235527C1 (de) * | 2002-08-03 | 2003-10-09 | Daimler Chrysler Ag | Vorrichtung und Verfahren zur redundanten Spannungsversorgung sicherheitsrelevanter Systeme |
EP1719286A2 (de) * | 2003-11-19 | 2006-11-08 | Honeywell International, Inc. | Ankoppeln von linearbusknoten an ringe |
DE102005018837A1 (de) * | 2005-04-22 | 2006-10-26 | Robert Bosch Gmbh | Verfahren und Vorrichtung zur Synchronisation zweier Bussysteme sowie Anordnung aus zwei Bussystemen |
US10112606B2 (en) | 2016-01-22 | 2018-10-30 | International Business Machines Corporation | Scalable sensor fusion and autonomous x-by-wire control |
US10269192B2 (en) | 2017-04-07 | 2019-04-23 | Airbiquity Inc. | Technologies for verifying control system operation |
EP3492999A1 (de) * | 2017-11-30 | 2019-06-05 | Siemens Aktiengesellschaft | Verfahren zum betrieb eines kommunikationssystems, kommunikationssystem und kommunikationsteilnehmer |
Family Cites Families (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE4022671A1 (de) * | 1990-07-17 | 1992-01-23 | Wabco Westinghouse Fahrzeug | Elektronisches bremssystem fuer stassenfahrzeuge |
DE4339570B4 (de) * | 1993-11-19 | 2004-03-04 | Robert Bosch Gmbh | Elektronisches Bremssystem |
DE19510525A1 (de) * | 1995-03-23 | 1996-09-26 | Bosch Gmbh Robert | Verfahren und Vorrichtung zur Steuerung bzw. Regelung der Bremsanlage eines Fahrzeugs |
US5924774A (en) * | 1995-11-30 | 1999-07-20 | Zeftron, Inc. | Electronic pneumatic brake system |
DE19742988C1 (de) * | 1997-09-29 | 1999-01-28 | Siemens Ag | Bremsanlage für ein Kraftfahrzeug |
US6002970A (en) * | 1997-10-15 | 1999-12-14 | International Business Machines Corp. | Method and apparatus for interface dual modular redundancy |
US6748438B2 (en) * | 1997-11-17 | 2004-06-08 | International Business Machines Corporation | Method and apparatus for accessing shared resources with asymmetric safety in a multiprocessing system |
DE19800311A1 (de) * | 1998-01-07 | 1999-07-08 | Itt Mfg Enterprises Inc | Elektronische, digitale Einrichtung |
DE19826131A1 (de) * | 1998-06-12 | 1999-12-16 | Bosch Gmbh Robert | Elektrisches Bremssystem für ein Kraftfahrzeug |
GB2339869B (en) * | 1998-07-20 | 2002-05-15 | Motorola Ltd | Fault-tolerant electronic braking system |
DE19840484A1 (de) * | 1998-09-04 | 2000-03-09 | Bosch Gmbh Robert | Fahrzeugrechneranordnung |
GB2345161A (en) * | 1998-12-23 | 2000-06-28 | Motorola Ltd | Microprocessor module and method |
US6212457B1 (en) * | 1999-08-05 | 2001-04-03 | Trw Inc. | Mixed parallel and daisy chain bus architecture in a vehicle safety system |
DE19937156A1 (de) * | 1999-08-06 | 2001-02-08 | Bosch Gmbh Robert | Elektrisch gesteuertes, dezentrales Steuersystem in einem Fahrzeug |
DE19939567B4 (de) * | 1999-08-20 | 2007-07-19 | Pilz Gmbh & Co. Kg | Vorrichtung zum Steuern von sicherheitskritischen Prozessen |
WO2001044778A1 (en) * | 1999-12-15 | 2001-06-21 | Delphi Technologies, Inc. | Electric caliper hardware topologies for a safety system |
EP1257903A4 (de) * | 2000-02-01 | 2004-10-13 | Delphi Tech Inc | Multimodul-control-by-wire-architektur |
JP4727896B2 (ja) * | 2001-06-27 | 2011-07-20 | ローベルト ボッシュ ゲゼルシャフト ミット ベシュレンクテル ハフツング | システムの機能性の監視方法,その監視装置,メモリ素子,コンピュータプログラム |
-
2002
- 2002-03-14 DE DE10211279A patent/DE10211279A1/de not_active Withdrawn
- 2002-03-14 EP EP02726060A patent/EP1370914A1/de not_active Withdrawn
- 2002-03-14 DE DE10291113T patent/DE10291113D2/de not_active Expired - Fee Related
- 2002-03-14 JP JP2002574009A patent/JP2004519060A/ja active Pending
- 2002-03-14 US US10/276,816 patent/US20030184158A1/en not_active Abandoned
- 2002-03-14 WO PCT/DE2002/000915 patent/WO2002075464A1/de active Application Filing
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102009005266A1 (de) | 2009-01-20 | 2010-07-22 | Continental Teves Ag & Co. Ohg | Anbindung eines Kommunikationscontrollers in Sicherheitsarchitekturen |
FR2944612A3 (fr) * | 2009-04-15 | 2010-10-22 | Renault Sas | Architecture de commande electronique d'un vehicule automobile. |
DE102010054188A1 (de) | 2010-07-27 | 2012-02-02 | Volkswagen Aktiengesellschaft | Verfahren und Rechnerverbund zur Steuerung eines Elektromotors |
DE102010039858A1 (de) | 2010-08-27 | 2011-09-15 | Robert Bosch Gmbh | Watchdog-Funktion |
DE102010039860A1 (de) | 2010-08-27 | 2012-03-01 | Robert Bosch Gmbh | Komponentenüberwachung in einem elektrisch betriebenen Fahrzeug |
DE102011118172A1 (de) | 2011-11-10 | 2013-05-16 | Volkswagen Aktiengesellschaft | Notlaufbetrieb eines Elektromotors |
WO2020239370A1 (de) * | 2019-05-28 | 2020-12-03 | Siemens Mobility GmbH | Steueranlage und verfahren zum betreiben einer steueranlage |
Also Published As
Publication number | Publication date |
---|---|
JP2004519060A (ja) | 2004-06-24 |
WO2002075464A1 (de) | 2002-09-26 |
EP1370914A1 (de) | 2003-12-17 |
US20030184158A1 (en) | 2003-10-02 |
DE10291113D2 (de) | 2004-04-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP0925674B1 (de) | Verfahren zur kontrolle der verbindungen eines übertragungssystems und komponente zur durchführung des verfahrens | |
EP1040623B1 (de) | Verfahren zur koordination von netzwerkkomponenten | |
EP0979189B1 (de) | Schaltungsanordnung für ein kraftfahrzeug-regelungssystem | |
DE10326287B4 (de) | Fahrzeug-Kommunikationssystem, Initialisierungseinheit sowie im Fahrzeug eingebaute Steuereinheit | |
DE10210664C1 (de) | Vorrichtung zur Verwaltung von Netzwerken | |
DE10211279A1 (de) | Verfahren zum Betreiben eines verteilten sicherheitsrelevanten Systems | |
WO2009015962A1 (de) | Bremssystem für ein fahrzeug und verfahren zum betreiben eines bremssystems für ein fahrzeug | |
EP1533673A2 (de) | Steuerungssystem | |
EP2491492B1 (de) | Automatisierungssystem und verfahren zum betrieb eines automatisierungssystems | |
WO2016134855A1 (de) | Kraftfahrzeug-kommunikationsnetzwerk mit switchvorrichtung | |
DE10211278A1 (de) | Verfahren zur Ansteuerung einer Komponente eines verteilten sicherheitsrelevanten Systems | |
DE10236080A1 (de) | Verfahren und Vorrichtung zur Steuerung von Betriebsabläufen, insbesondere in einem Fahrzeug | |
EP3385934A1 (de) | Vorrichtung für die steuerung eines sicherheitsrelevanten vorganges, verfahren zum testen der funktionsfähigkeit der vorrichtung, sowie kraftfahrzeug mit der vorrichtung | |
DE10316452A1 (de) | Elektrisches, dezentrales Bremssystem in einem Fahrzeug | |
DE102008029948B4 (de) | Überwachungssystem | |
EP3871393B1 (de) | Verfahren zur überwachung eines datenübertragungssystems, datenübertragungssystem und kraftfahrzeug | |
DE102007008168A1 (de) | Schaltungsvorrichtung und entsprechendes Verfahren zum Ansteuern einer Last | |
WO2006024447A1 (de) | Energiemanagement auf der basis eines logischen rings | |
DE19960959C2 (de) | Vorrichtung zum manipulationssicheren Datenaustausch in einem Kraftfahrzeug | |
EP1384122B1 (de) | Verfahren zur ansteuerung einer komponente eines verteilten sicherheitsrelevanten systems | |
EP3096970B1 (de) | Verfahren zum betrieb eines hochspannungsnetzes eines kraftfahrzeugs und kraftfahrzeug | |
DE102012209445A1 (de) | Verfahren und Kommunikationssystem zur sicheren Datenübertragung | |
WO2021165371A1 (de) | Sicherheitsmodul für eine gesicherte antriebssteuerung eines antriebssystems in einem automatisierungssystem, antriebssystem und automatisierungssystem | |
DE10123802B4 (de) | Steuerungssystem für Kfz-Komponenten und Steuerungsverfahren | |
DE10211280A1 (de) | Verfahren zur Ansteuerung einer Komponente eines verteilten sicherheitsrelevanten Systems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
8139 | Disposal/non-payment of the annual fee |