DE10223880A1 - Verfahren zur gegenseitigen Überwachung von Komponenten eines dezentral verteilten Rechnersystems - Google Patents

Verfahren zur gegenseitigen Überwachung von Komponenten eines dezentral verteilten Rechnersystems Download PDF

Info

Publication number
DE10223880A1
DE10223880A1 DE10223880A DE10223880A DE10223880A1 DE 10223880 A1 DE10223880 A1 DE 10223880A1 DE 10223880 A DE10223880 A DE 10223880A DE 10223880 A DE10223880 A DE 10223880A DE 10223880 A1 DE10223880 A1 DE 10223880A1
Authority
DE
Germany
Prior art keywords
components
component
results
mutual
computer system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE10223880A
Other languages
English (en)
Other versions
DE10223880B4 (de
Inventor
Hans Heckmann
Reinhard Weiberle
Bernd Kesch
Peter Blessing
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE10223880A priority Critical patent/DE10223880B4/de
Priority to US10/446,296 priority patent/US7269762B2/en
Publication of DE10223880A1 publication Critical patent/DE10223880A1/de
Application granted granted Critical
Publication of DE10223880B4 publication Critical patent/DE10223880B4/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3065Monitoring arrangements determined by the means or processing involved in reporting the monitored data
    • G06F11/3072Monitoring arrangements determined by the means or processing involved in reporting the monitored data where the reporting involves data filtering, e.g. pattern matching, time or event triggered, adaptive or policy-based reporting
    • G06F11/3082Monitoring arrangements determined by the means or processing involved in reporting the monitored data where the reporting involves data filtering, e.g. pattern matching, time or event triggered, adaptive or policy-based reporting the data filtering being achieved by aggregating or compressing the monitored data
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T8/00Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force
    • B60T8/32Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration
    • B60T8/88Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration with failure responsive means, i.e. means for detecting and indicating faulty operation of the speed responsive control means
    • B60T8/885Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration with failure responsive means, i.e. means for detecting and indicating faulty operation of the speed responsive control means using electrical circuitry
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3006Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is distributed, e.g. networked systems, clusters, multiprocessor systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3013Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is an embedded system, i.e. a combination of hardware and software dedicated to perform a certain function in mobile devices, printers, automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3055Monitoring arrangements for monitoring the status of the computing system or of the computing system component, e.g. monitoring if the computing system is on, off, available, not available
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T2270/00Further aspects of brake control systems not otherwise provided for
    • B60T2270/40Failsafe aspects of brake control systems
    • B60T2270/413Plausibility monitoring, cross check, redundancy
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24033Failure, fault detection and isolation
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/31From computer integrated manufacturing till monitoring
    • G05B2219/31356Automatic fault detection and isolation
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Quality & Reliability (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Mechanical Engineering (AREA)
  • Transportation (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Regulating Braking Force (AREA)
  • Hardware Redundancy (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zur gegenseitigen Überwachung von Komponenten (RM_i) eines dezentral verteilten Rechnersystems (1) für eine sicherheitsrelevante Anwendung insbesondere in einem Kraftfahrzeug. Die Komponenten (RM_i) stehen über mindestens ein Kommunikationssystem (4) miteinander in Verbindung. Um die gegenseitige Überwachung der Komponenten möglichst einfach und übersichtlich zu gestalten und um zusätzliche Hardware-Komponenten für die Überwachung einsparen zu können, wird vorgeschlagen, dass in mehreren Komponenten (RM_i) des Rechnersystems (1) eine interne Überwachungsfunktion (14), die Fehler in der überwachten Komponente (RM_i) erkennt, und eine gegenseitige Überwachungsfunktion (15) ausgeführt wird, welche eine gegenseitige Überprüfung von Ergebnissen (E_j [S_i(t_x)], C_ij) ausgeführt, die von den überwachten Komponenten RM_i ermittelt wurden, und eine Mehrheitsauswahl aus den Ergebnissen (E_j [S_i(t_x)], C_ij) trifft, und dass sowohl das Ergebnis (B_i) der internen Überwachungsfunktion (14) als auch die Ergebnisse (E_j [S_i(t_x)], C_ij) der gegenseitigen Überwachungsfunktionen (15) bei einer Entscheidung über das Vorliegen eines Fehlers einer Komponente (RM_i) berücksichtigt werden.

Description

  • Die vorliegende Erfindung betrifft ein Verfahren zur gegenseitigen Überwachung von Komponenten eines dezentral verteilten Rechnersystems für eine sicherheitsrelevante Anwendung insbesondere in einem Kraftfahrzeug. Dabei stehen die Komponenten über mindestens ein Kommunikationssystem miteinander in Verbindung.
  • Die Erfindung betrifft außerdem ein Computerprogramm zur Realisierung einer gegenseitigen Überwachung von Komponenten eines dezentral verteilten Rechnersystems für eine sicherheitsrelevante Anwendung insbesondere in einem Kraftfahrzeug. Dabei ist das Computerprogramm auf einem Rechengerät, insbesondere auf einem Mikroprozessor, ablauffähig.
  • Die vorliegende Erfindung betrifft des weiteren ein Steuergerät für eine Komponente eines mehrere Komponenten umfassenden dezentral verteilten Rechnersystems für eine sicherheitsrelevante Anwendung insbesondere in einem Kraftfahrzeug.
  • Schließlich betrifft die Erfindung auch ein mehrere Komponenten umfassendes, dezentral verteiltes Rechnersystem für eine sicherheitsrelevante Anwendung insbesondere in einem Kraftfahrzeug. Das Rechnersystem umfasst mindestens ein Kommunikationssystem, über das die Komponenten miteinander in Verbindung stehen.
  • Stand der Technik
  • Aus dem Stand der Technik sind Rechnersysteme der eingangs genannten Art bekannt. Aus der DE 198 26 130 A1 , der DE 198 26 131 A1 , der DE 198 26 132 A1 und der DE 198 61 144 A1 sind mehrere Komponenten umfassende, dezentral verteilte Rechnersysteme für eine elektronische Bremsanlage (Brake-by-Wire) in einem Kraftfahrzeug bekannt. Der Einsatz solcher Rechnersysteme und von Verfahren zur gegenseitigen Überwachung von Komponenten solcher Rechnersysteme sind jedoch nicht auf den Einsatz in Kraftfahrzeugen beschränkt. Vielmehr können sie für beliebige sicherheitsrelevante Anwendungen, bspw. in Land-, Schienen- oder Luftfahrzeugen, eingesetzt werden. Als sicherheitsrelevante Anwendungen werden solche Anwendungen bezeichnet, bei denen eine fehlerfreie Ausgabe von mindestens einer Prozessgröße unbedingt erforderlich ist.
  • Neben einer elektronischen Bremsanlage ist der Einsatz solcher Rechnersysteme in elektronischen Lenksystemen (Steer-by-Wire) oder anderen sog. X-by-Wire-Systemen denkbar, bei denen die Aufgabe einer mechanischen Verbindung ausschließlich von elektrischen und elektronischen Komponenten übernommen wird. Eine weitere typische Anwendung für das Rechnersystem der eingangs genannten Art in einem Kraftfahrzeug ist der Einsatz in einer Motorsteuerung zur nockenwellenfreien Betätigung von Einlass- und Auslassventilen.
  • Die aus den o. g. Druckschriften bekannte elektronische Bremsanlage weist Radbremsen mit einer elektromechanischen Betätigung auf. Zur Bereitstellung der Sollwerte für die einzelnen Radbremsen wird ein zentrales Steuergerät verwendet. Um einen zuverlässigen Betrieb des Steuergeräts und eine sichere Überwachung der Komponenten zu ermöglichen, ist das Steuergerät neben dem eigentlichen Rechengerät zur Berechnung der Sollwerte mit einem redundanten Rechengerät und einer zusätzlichen Überwachungseinheit ausgestattet. Diese schaltungstechnische Realisierung und eine gegenseitige Überwachungsstrategie der in dem Steuergerät enthaltenen Rechengeräte, die auf einer Frage-Antwort-Kommunikation aufbaut, ermöglichen eine sichere Bereitstellung der Sollgrößen für die Aktivierung der Radbremsen.
  • Das zentrale Steuergerät gibt die Sollgrößen über mindestens ein Kommunikationssystem an elektronische Steuereinheiten ab, die dezentral vor Ort in der Nähe der Radbremsen angeordnet sind. Diese Steuereinheiten bewirken eine Betätigung der Bremsbacken mittels Elektromotoren und eine Zuspannung der Bremsscheiben an den einzelnen Rädern in Abhängigkeit von den Sollwerten. Eine sichere Ansteuerung der Elektromotoren wird durch ein an jeder Steuereinheit zusätzlich angeordnetes Überwachungsmodul erreicht. Dieses erkennt mittels einer abgestimmten Frage-Antwort-Kommunikation potentielle Fehler in der überwachten Steuereinheit und betätigt ggf. einen Abschaltpfad.
  • Zusätzlich werden in den Steuereinheiten Selbsttestroutinen realisiert, die in gewissem Umfang eine Fehlererkennung ermöglichen. Diese Selbsttestroutinen können als interne Überwachungsfunktionen, die Fehler in der überwachten Steuereinheit erkennen, bezeichnet werden. Zur Sicherstellung der Betriebsfunktionalität der Steuereinheiten sind für die Versorgung der einzelnen elektrischen Komponenten zudem zwei voneinander unabhängige Energiequellen vorgesehen. Die einzelnen elektrischen Komponenten werden entweder von beiden Energiequellen oder von jeweils nur einer Energiequelle versorgt, um bei Ausfall einer Energiequelle zumindest einen teilweisen Betrieb der elektrischen Bremsanlage aufrechtzuerhalten.
  • Als besonders nachteilig bei den bekannten Rechnersystemen und bei dem bekannten Verfahren zur gegenseitigen Überwachung von Komponenten der Rechnersysteme hat es sich erwiesen, dass ein relativ hoher hardware- und softwaremäßiger Aufwand betrieben werden muss, um die hohen Sicherheitsanforderungen zu erfüllen. Andererseits ist es aus verständlichen Gründen nicht ohne Weiteres möglich, bei sicherheitsrelevanten Anwendungen die Sicherheitsanforderungen einfach zu reduzieren.
  • Aus diesem Grund liegt der vorliegenden Erfindung die Aufgabe zugrunde, die Überwachung von Komponenten eines dezentral verteilten Rechnersystems für eine sicherheitsrelevante Anwendung unter Beibehaltung bestehender Sicherheitsanforderungen mit einem geringeren Aufwand realisieren zu können.
  • Zur Lösung dieser Aufgabe schlägt die vorliegende Erfindung ausgehend von dem Verfahren der eingangs genannten Art vor, dass in mehreren Komponenten des Rechnersystems eine interne Überwachungsfunktion, die Fehler in der überwachten Komponente erkennt, und eine gegenseitige Überwachungsfunktion ausgeführt wird, welche eine gegenseitige Überprüfung von Ergebnissen ausführt, die von den Komponenten ermittelt wurden, und eine Mehrheitsauswahl aus den Ergebnissen trifft, und dass sowohl das Ergebnis der internen Überwachungsfunktion als auch die Ergebnisse der gegenseitigen Überwachungsfunktionen bei einer Entscheidung über das Vorliegen eines Fehlers einer Komponente berücksichtigt werden.
  • Vorteile der Erfindung
  • Bei dem erfindungsgemäßen Verfahren verfügen mehrere der Komponenten des Rechnersystems, vorzugsweise alle Komponenten des Rechnersystems, über eine interne Überwachungsfunktion. Das erfindungsgemäße Verfahren wird insbesondere in Rechnersystemen eingesetzt, die über mehrere gleichartige Komponenten verfügen. Gleichartige Komponenten können bspw. Radmodule einer elektronischen Bremsanlage oder einer elektronischen Lenkung, Ventilmodule einer Motorsteuerung zur nockenwellenfreien Betätigung von Einlass- und Auslassventilen oder ähnliches sein.
  • Die interne Überwachungsfunktion erkennt Fehler in der überwachten Komponente, vorzugsweise in der Hardware eines Rechengeräts, insbesondere eines Mikroprozessors, der überwachten Komponente. Die interne Überwachungsfunktion kann auf unterschiedliche Weise realisiert sein, bspw. mittels eines Computerprogramms oder eines Programmmoduls, welches bestimmte Funktionen der Komponente, vorzugsweise des Rechengeräts der Komponente, überprüft.
  • Zudem ist in mehreren Komponenten des Rechnersystems, vorzugsweise in allen Komponenten des Rechnersystems, jeweils eine gegenseitige Überwachungsfunktion vorgesehen. Mit Hilfe der auf einer Komponente ablaufenden gegenseitigen Überwachungsfunktion kann das ordnungsgemäße Arbeiten der übrigen Komponenten des Rechnersystems überprüft werden. Vorzugsweise überwachen jeweils mehrere Komponenten die ordnungsgemäße Funktion einer Komponente.
  • Im Anschluss daran werden nacheinander auch die übrigen Komponenten des Rechnersystems überwacht. Im Rahmen der gegenseitigen Überwachung wechseln sich also überwachende und überwachte Komponenten ab, so dass nach einer bestimmten Überwachungszeit alle zu überwachenden Komponenten auch tatsächlich mindestens einmal überwacht worden sind.
  • Vorzugsweise überprüfen immer mehrere Komponenten das ordnungsgemäße Arbeiten einer Komponente des Rechnersystems. Wenn die überwachte und die überwachenden Komponenten als Ergebnis einer bestimmten Berechnung alle das gleiche Ergebnis liefern, ist ein ordnungsgemäßes Arbeiten der überwachten Komponente sichergestellt. Relevanter wird die Detektion einer fehlerhaften Komponente dann, wenn die überwachte und/oder eine oder mehrere der überwachenden Komponenten unterschiedliche Ergebnisse liefern. Dann müssen die Ergebnisse der Komponenten derart verarbeitet werden, dass festgestellt werden kann, welche Ergebnisse richtig und welche falsch sind bzw. welche Komponenten fehlerfrei arbeiten und welche Komponenten einen Fehler aufweisen. Zu diesem Zweck werden die von den überwachenden Komponenten ermittelten Ergebnisse dahingehend überprüft, dass eine Mehrheitsauswahl aus den Ergebnissen getroffen wird, um die fehlerhafte Komponente zu detektieren. Um ein möglichst zuverlässiges Überwachungsergebnis zu erhalten, werden bei der Entscheidung über das Vorliegen eines Fehlers einer Komponente sowohl das Ergebnis der internen Überwachungsfunktion der Komponenten als auch die Ergebnisse der gegenseitigen Überwachungsfunktionen berücksichtigt.
  • Es ist damit zu rechnen, dass in Zukunft die Zahl der dezentral verteilten Rechnersysteme für sicherheitsrelevante Anwendungen insbesondere in Kraftfahrzeugen deutlich zunehmen wird. Aus diesem Grund kommt der vorliegenden Erfindung eine besonders große Bedeutung zu, da durch die Erfindung ohne Sicherheitseinbußen hohe Sicherheitsanforderungen für verteilte Rechnersysteme mit einem deutlich verringerten Aufwand erfüllt werden können. Dadurch können zum einen Kosten bei der Projektierung und Herstellung solcher Rechnersysteme eingespart werden. Zum anderen können aber auch – was bei den hier betrachteten sicherheitsrelevanten Anwendungen noch wichtiger ist – die Überwachungsabläufe zur Überwachung eines fehlerfreien Betriebs der Komponenten des Rechnersystems wesentlich einfacher und damit auch transparenter realisiert werden. Dadurch kann die Projektierung und Realisierung der Überwachungsfunktionen von Komponenten eines dezentral verteilten Rechnersystems vereinfacht werden und die Fehleranfälligkeit des Überwachungsverfahrens aufgrund eines fehlerhaften Entwurfs oder einer fehlerhaften Realisierung kann deutlich verringert werden.
  • Gemäß einer vorteilhaften Weiterbildung der vorliegenden Erfindung wird vorgeschlagen, dass die interne Überwachungsfunktion die Fehler in der überwachten Komponente durch eine Überprüfung von Grundoperationen eines Befehlssatzes eines Rechengeräts, insbesondere eines Mikroprozessors, der Komponente erkennt. Grundoperationen, die im Rahmen der internen Überwachungsfunktion überwacht werden, sind bspw. Addition, Multiplikation, Shift-Funktion usw.
  • Gemäß einer bevorzugten Ausführungsform der vorliegenden Erfindung wird vorgeschlagen, dass die Komponenten Signale von externen Einheiten, insbesondere von Sensoren, empfangen und weiterverarbeiten und dass im Rahmen der internen Überwachungsfunktion auch die externen Einheiten der überwachten Komponente überwacht werden. Als Grundlage zur Überwachung der externen Einheiten dient bspw. eine Plausibilitätsprüfung oder eine Gradientenüberwachung der von den Sensoren empfangenen Signale.
  • Gemäß einer weiteren bevorzugten Ausführungsform der vorliegenden Erfindung wird vorgeschlagen, dass die gegenseitigen Überwachungsfunktionen die Ergebnisse, die von den Komponenten ermittelt wurden, über Modellrechnungen überprüfen. Typische Beispiele für eine Modellrechnung am Beispiel eines elektronischen Bremssystems sind eine einfache Berechnung des Schlupfes aufgrund von Drehzahlsignalen, eine Berechnung der Referenzgeschwindigkeit aus Drehzahlsignalen oder eine Berechnung einer Bremskraftverteilung aus vorhandenen Signalen.
  • Vorteilhafterweise erfolgt die Ermittlung der Ergebnisse in den Komponenten durch Berechnungen anhand von ausgewählten Prozessdaten, die jeweils von einer Komponente den übrigen Komponenten zur Verfügung gestellt werden. Die ausgewählten Prozessdaten werden vorzugsweise abwechselnd von der jeweils einen Komponente den übrigen Komponenten zur Verfügung gestellt. Nach und nach stellen also alle Komponenten des Rechensystems den übrigen Komponenten Prozessdaten zur Verfügung, welche die Grundlage für die Modellrechnungen bilden. Die ausgewählten Prozessdaten werden von der jeweils einen Komponente über das Kommunikationssystem den übrigen Komponenten zur Verfügung gestellt.
  • Gemäß noch einer weiteren bevorzugten Ausführungsform der vorliegenden Erfindung wird vorgeschlagen, dass die Ermittlung der Ergebnisse in den Komponenten durch Berechnungen von Antworten auf eine vorgebbare Frage im Rahmen einer Frage-Antwort-Kommunikation erfolgt, wobei die Fragen jeweils von einer Komponente den übrigen Komponenten zur Verfügung gestellt werden. Gemäß dieser Ausführungsform werden also keine Prozessdaten, sondern Fragen bereitgestellt. Zu diesem Zweck ist in jeder Komponente ein Satz verschiedener Fragen abgespeichert. Zu jeder Frage ist in den Komponenten zudem die richtige Antwort abgespeichert. Im Rahmen der Frage-Antwort-Kommunikation sendet eine Komponente zu einem vorgebbaren Zeitpunkt eine Frage an die übrigen Komponenten. Die Frage ist von der überwachten Komponente und von den übrigen überwachenden Komponenten innerhalb eines vorgebbaren Zeitintervalls richtig zu beantworten. Für ebne richtige Beantwortung einer Frage müssen verschiedene Teilantworten gebildet werden, die sich z. B. aus einem korrekten Durchlauf von sicherheitsrelevanten Programmteilen mit einem vorgebbaren Datensatz oder aus einem fehlerfreien Ablauf der Programme für einen Funktionstest und einen Befehlstest für ein Rechengerät einer Komponente ergeben. Die Teilantworten werden in jeder Komponente zu einer Gesamtantwort zusammengefasst, die als Antwort auf die Frage an die überwachende Komponente zurückgegeben wird.
  • Vorteilhafterweise werden die Fragen abwechselnd von der jeweils einen Komponente den übrigen Komponenten zur Verfügung gestellt. Dadurch wird sichergestellt, dass jede Komponente des Rechnersystems in regelmäßigen zeitlichen Abständen überwacht wird. Vorzugsweise werden die Fragen von der jeweils einen Komponente über das Kommunikationssystem den übrigen Komponenten zur Verfügung gestellt. Ebenso werden die Antworten auf die Fragen von den Komponenten vorzugsweise über das Kommunikationssystem an die Komponente übermittelt, welche die Fragen stellt.
  • Von besonderer Bedeutung ist die Realisierung des erfindungsgemäßen Verfahrens in der Form eines Computerprogramms, das auf einem Rechengerät, insbesondere auf einem Mikroprozessor, ablauffähig und zur Ausführung des erfindungsgemäßen Verfahrens geeignet ist. In diesem Fall wird also die Erfindung durch ein Computerprogramm realisiert, so dass dieses Computerprogramm in gleicher Weise die Erfindung darstellt wie das Verfahren, zu dessen Ausführung das Computerprogramm geeignet ist. Besonders bevorzugt ist dabei, wenn das Computerprogramm auf einem Speicherelement, insbesondere auf einem Read-Only-Memory, einem Random-Access-Memory oder auf einem Flash-Memory abgespeichert ist.
  • Als eine weitere Lösung der Aufgabe der vorliegenden Erfindung wird ausgehend von dem Steuergerät für ein dezentral verteiltes Rechnersystem der eingangs genannten Art vorgeschlagen, dass das Steuergerät in mehrere Komponenten eine interne Überwachungsfunktion, die Fehler in der überwachten Komponente erkennt, und eine gegenseitige Überwachungsfunktion steuert, welche eine gegenseitige Überprüfung von Ergebnissen ausführt, die von den Komponenten ermittelt wurden, und eine Mehrheitsauswahl aus den Ergebnissen trifft, und dass das Steuergerät sowohl das Ergebnis der internen Überwachungsfunktion als auch die Ergebnisse der gegenseitigen Überwachungsfunktionen bei einer Entscheidung über das Vorliegen eines Fehlers einer Komponente berücksichtigt.
  • Gemäß einer vorteilhaften Weiterbildung der vorliegenden Erfindung wird vorgeschlagen, dass das Steuergerät Mittel zur Ausführung des erfindungsgemäßen Verfahrens aufweist.
  • Als noch eine weitere Lösung der Aufgabe der vorliegenden Erfindung wird ausgehend von dem dezentral verteilten Rechnersystem der eingangs genannten Art vorgeschlagen, dass in mehreren Komponenten eine interne Überwachungsfunktion, die Fehler in der überwachten Komponente erkennt, und eine gegenseitige Überwachungsfunktion realisiert ist, welche eine gegenseitige Überprüfung von Ergebnissen ausführt, die von den Komponenten ermittelt wurden, und eine Mehrheitsauswahl aus den Ergebnissen trifft, und dass das Rechnersystem Mittel zur Entscheidung über das Vorliegen eines Fehlers einer Komponente unter Berücksichtigung sowohl des Ergebnisses der internen Überwachungsfunktion als auch der Ergebnisse der gegenseitigen Überwachungsfunktionen aufweist.
  • Gemäß einer vorteilhaften Weiterbildung der vorliegenden Erfindung wird vorgeschlagen, dass das Rechnersystem Mittel zur Ausführung des erfindungsgemäßen Verfahrens ausweist.
  • Zeichnungen
  • Weitere Merkmale, Anwendungsmöglichkeiten und Vorteile der Erfindung ergeben sich aus der nachfolgenden Beschreibung von Ausführungsbeispielen der Erfindung, die in der Zeichnung dargestellt sind. Dabei bilden alle beschriebenen oder dargestellten Merkmale für sich oder in beliebiger Kombination den Gegenstand der Erfindung, unabhängig von ihrer Zusammenfassung in den Patentansprüchen oder deren Rückbeziehung sowie unabhängig von ihrer Formulierung bzw. Darstellung in der Beschreibung bzw. in der Zeichnung. Es zeigen:
  • 1 ein erfindungsgemäßes verteiltes dezentrales Rechnersystem am Beispiel einer elektrischen Bremsanlage gemäß einer ersten bevorzugten Ausführungsform;
  • 2 ein erfindungsgemäßes dezentral verteiltes Rechnersystem am Beispiel einer elektrischen Bremsanlage gemäß einem zweiten bevorzugten Ausführungsbeispiel;
  • 3 eine Komponente eines aus dem Stand der Technik bekannten dezentral verteilten Rechnersystems am Beispiel eines Radmoduls einer elektrischen Bremsanlage;
  • 4 eine Komponente eines erfindungsgemäßen dezentral verteilten Rechnersystems am Beispiel eines Radmoduls einer elektrischen Bremsanlage; und
  • 5 eine Tabelle zur Verdeutlichung des Ablaufs der gegenseitigen Überwachung mit ausgewählten Prozessdaten; und
  • 6 eine Tabelle zur Verdeutlichung des Ablaufs der gegenseitigen Überwachung mit einer Frage-Antwort-Kommunikation.
  • Beschreibung der Ausführungsbeispiele
  • Die vorliegende Erfindung betrifft ein Verfahren zur gegenseitigen Überwachung der Komponenten eines dezentral verteilten Rechnersystems. Diese gegenseitige Überwachung ist insbesondere bei sicherheitsrelevanten Anwendungen von Bedeutung, d. h. bei Systemen, in denen eine fehlerfreie Ausgabe von mindestens einer Prozessgröße erforderlich ist. Eine typische Anwendung ist in Kraftfahrzeugen für elektrische Bremsanlagen (Brake-by-Wire) gegeben. Die nachfolgenden Ausführungen beziehen sich auf eine elektrische Bremsanlage, bei der ein dezentral verteiltes Rechnersystem eingesetzt wird. Die vorliegende Erfindung ist aber nicht auf solche elektrische Bremsanlagen beschränkt.
  • Die Struktur eines erfindungsgemäßen elektrischen Rechnersystems ist in 1 am Beispiel einer elektrischen Bremsanlage dargestellt. Das Rechnersystem 1 umfasst ein Pedalmodul (PM2), in dem über Sensoren 3 der Wunsch eines Fahrers des Kraftfahrzeugs sowohl bezüglich einer Betriebsbremsung wie auch bezüglich einer Park- bzw. Feststellbremsung erfasst wird. Aus dem erfassten Fahrerwunsch werden Führungsgrößen (Sollwerte) für eine Regelung der Bremskräfte berechnet und über ein Kommunikationssystem 4, das als ein sicheres redundantes Bussystem ausgebildet ist, übertragen. Das Pedalmodul 2 ist mit zwei oder drei unabhängigen Rechengeräten realisiert und enthält zudem eine redundante Komponente zur Signalerfassung.
  • Die Komponenten des in 1 dargestellten Rechnersystems 1 sind als Radmodule RM_1–RM_4 5154 ausgebildet. In den Radmodulen 5154 werden Stellsignale für elektrische Aktoren 6164 zur Regelung der Bremskräfte bzw. der Bremsmomente für die einzelnen Räder des Kraftfahrzeugs berechnet und an die Aktoren 6164 ausgegeben. Hierzu werden in den Radmodulen 5154 die erforderlichen Signalwerte von Sensoren 7174, wie bspw. Zuspannkraft oder Bremsmoment, Drehwinkel oder Position des elektrischen Bremsstellers 6164 erfasst und verarbeitet. In einem Verarbeitungsmodul VM8 werden übergeordnete Bremsfunktionalitäten wie bspw. Antiblockiersystem (ABS) oder elektronisches Stabilitätsprogramm (ESP) realisiert.
  • Im Unterschied zu dem in 1 dargestellten Rechnersystem, wo die Sensoren 7174 die Sensorsignale lokal erfassen und direkt an die Radmodule 5154 weiterleiten, stehen bei dem Rechnersystem 1 aus 2 die erfassten Sensorsignale über das Kommunikationssystem 4 global zur Verfügung. Ebenso sind die Aktoren 6164 über das Kommunikationssystem 4 global ansteuerbar. Die in 2 dargestellte Ausführungsform des Rechnersystems 1 hat den Vorteil, dass im Falle eines Defekts eines der Radmodule 5154 dieses aus Sicherheitsgründen nicht einfach abgeschaltet wird, sondern dass ein beliebig anderes intaktes Radmodul die Funktion des defekten Radmoduls übernimmt und anhand von Sensorsignalen des dem defekten Radmodul zugeordneten Sensors Ansteuersignale für die dem defekten Radmodul zugeordneten Aktoren berechnet und zur Ansteuerung des Aktors über das Kommunikationssystem 4 an diesen weiterleitet.
  • In 3 ist ein Radmodul (RM5) einer aus dem Stand der Technik bekannten elektrischen Bremsanlage dargestellt. Das Radmodul 5 weist ein dezentrales Rechengerät 9, das insbesondere als ein Mikroprozessor ausgebildet ist, zur Ausführung der bestimmungsgemäßen Funktion des Radmoduls 5 auf. Die bestimmungsgemäße Funktion des Radmoduls 5 besteht – wie oben bereits erläutert – im Wesentlichen darin, Sensorsignale von einem Sensor 7 zu erfassen, zu verarbeiten und ein Ansteuersignal zur Ansteuerung eines Aktors 6 zu generieren und an diesen weiterzuleiten. zur Überwachung des Rechengeräts 9 ist bei dem aus dem Stand der Technik bekannten Radmodul 5 ein zusätzliches Überwachungsmodul 10 erforderlich, welches in einer Frage-Antwort-Kommunikation und unter Einbeziehung eines jeweils zugeordneten Abschaltpfades beim Auftreten eines Fehlers in einem der Radmodule 5 eine sichere Abschaltung des fehlerbehafteten Radmoduls 5 ermöglicht. Das Überwachungsmodul 10 umfasst ein weiteres Rechengerät 11, welches im Wesentlichen die gleiche Berechnung wie das Rechengerät 9 ausführt. Das Rechengerät 11 kann auch eine Einheit mit dem Rechengerät 9 bilden, wobei die funktionale Aufteilung dieselbe bleibt, wie oben beschrieben. Die im Rahmen der Ausführung der bestimmungsgemäßen Funktion des Radmoduls 5 berechneten Ergebnisse des Rechengeräts 9 und des Rechengeräts 11 werden in dem Rechengerät 11 miteinander verglichen. Sobald eine Abweichung der Ergebnisse der Rechengeräte 9 und 11 vorliegt, wird das Radmodul 5 aus Sicherheitsgründen abgeschaltet. Zusätzlich ist ein weiterer Rechner 12 für eine Frage-Antwort-Kommunikation zur Überwachung der Funktion des Rechengeräts 11 vorgesehen. Der Rechner 12 stellt dem Rechengerät 11 ausgewählte Fragen, die von einem Bereich 13 des Rechengeräts 11 beantwortet werden. Das von dem Rechengerät 9 berechnete Ansteuersignal für die Aktoren 6 wird nur dann an diese weitergeleitet, wenn das Rechengerät innerhalb eines vorgebbaren Zeitintervalls die richtige Antwort auf die von dem Rechner 12 gestellte Frage liefert. Dieses zusätzliche Überwachungsmodul kann bei der erfindungsgemäß vorgeschlagenen gegenseitigen Überwachung der Radmodule entfallen.
  • In 4 ist ein Radmodul 5 eines Rechnersystems 1 gemäß der vorliegenden Erfindung dargestellt. Bei dem Radmodul 5 des erfindungsgemäßen Rechnersystems 1 entfällt das gesamte in 3 dargestellte Überwachungsmodul 10. Es ist lediglich ein Rechengerät 9 vorgesehen, um die bestimmungsgemäße Funktion des Radmoduls 5 auszuführen. Ein Bereich des Rechengeräts 9 dient zur Ausführung einer internen Überwachungsfunktion 14 und ein weiterer Bereich dient zur Ausführung einer gegenseitigen Überwachungsfunktion 15. Die interne Überwachungsfunktion und die gegenseitige Überwachungsfunktion 15 werden nachfolgend näher erläutert. Die Sensoren 7 und die Aktoren 6 stehen entweder unmittelbar oder mittelbar über das Kommunikationssystem 4 mit dem Radmodul 5 in Verbindung.
  • Jedes Rechengerät 9 eines Radmoduls 5 beinhaltet eine interne Überwachungsfunktion 14, die Fehler einer zugehörigen Rechnerhardware 9 und der Sensorik 7 erkennt. Die Überwachung der Rechnerhardware 9 geschieht durch Anwendung von Computerprogrammen zur Überprüfung von Grundoperationen eines Rechnerbefehlssatzes des Rechengeräts 9, wie bspw. Addition, Multiplikation, Shift-Funktion und andere. Als Grundlage der Überwachung der Sensorik 7 dient bspw. eine Plausibilitätsüberprüfung oder eine Gradientenüberwachung der empfangenen Sensorsignale. Das Ergebnis der internen Überwachung 14 eines Radmoduls RM_i wird in einer logischen Größe B_i abgebildet. Für diese logische Größe B_i gilt:
    Figure 00160001
  • Da die internen Überwachungsfunktionen 14 nicht alle in den Radmodulen 5 auftretenden Fehler erkennen können, wird eine weitere Überwachungsfunktion, die gegenseitige Überwachungsfunktion 15, eingeführt. Im Folgenden werden zwei verschiedene Ausführungsformen der gegenseitigen Überwachung 15 näher beschrieben.
  • Zunächst wird eine gegenseitige Überwachungsfunktion anhand von ausgewählten Prozessdaten beschrieben. In der Regel sind im Betrieb der Radmodule 5 zu jedem Zeitpunkt gegenseitige Überwachungsfunktionen 15 in drei der vier Radmodule 5 aktiv. Über Modellrechnungen überprüfen die an der Überwachung beteiligten Radmodule 5 ihre Ergebnisse gegenseitig und können somit eine Mehrheitsauswahl ( 2 aus 3) treffen. Diese Berechnungen werden mit ausgewählten Prozessdaten durchgeführt, die abwechselnd von jeweils einem Radmodul 5 den übrigen Radmodulen über das Kommunikationssystem 4 bereitgestellt werden.
  • Die von einem Radmodul RM_i zu einem Zeitpunkt T_x bereitgestellten Prozessdaten werden mit S_i (t_x) bezeichnet. Das Ergebnis einer Modellrechnung, die in einem Radmodul RM_j mit den Prozessdaten S_i (t_x) durchgeführt wird, wird mit E_j [S_i (t_x)], mit i = 1 . . . 4 bezeichnet. Die zur Ermittlung des Ergebnisses E_j [S_i (t_x)] erforderlichen Modellrechnungen sind repräsentativ bezüglich der erforderlichen Berechnungen, die für die bestimmungsgemäße Funktion des Radmoduls RM_i notwendig sind, d. h. in diesen Modellrechnungen wird der gleiche Befehlsvorrat des Rechengeräts 9 verwendet, ist der gleiche Programmablauf gegeben und werden die gleichen Speicherbereiche angesprochen. Bezüglich des strukturellen Aufbaus der Prozessdaten S_i (t_x) sind drei Varianten denkbar:
    • (a) die Prozessdaten beinhalten sowohl aktualisierte Daten, die über die Sensorik 7 des Radmoduls 5 erfasst wurden, als auch prozesstypische aufbereitete Rechengrößen.
    • (b) Die Prozessdaten enthalten speziell vorbereitete und abgespeicherte Werte, die bei der Realisierung der bestimmungsgemäßen Funktion innerhalb des Radmoduls 5 repräsentativ als Sensorwerte bzw. als aufbereitete Rechengrößen auftreten.
    • (c) Die Prozessdaten werden zu einem Zeitpunkt t_x zufällig aus einem Wertebereich ausgewählt, der bei der Aufarbeitung der bestimmungsgemäßen Funktion des Radmoduls 5 im Betrieb typischerweise auftritt.
  • Typische Beispiele für die Modellrechnung E_j [S_i (t_x)] sind:
    • – Berechnung eines Radschlupfes aufgrund von Drehzahlsignalen,
    • – Berechnung einer Referenzgeschwindigkeit aus Drehzahlsignalen,
    • – Berechnung einer Bremskraftverteilung aus vorhandenen Signalen.
  • Die Anzahl der an der Überwachung beteiligten Module beschränkt sich in einer bevorzugten Realisierungsvariante auf die Radmodule 5. Davon abweichend ist es denkbar, dass außer den Radmodulen 5 noch weitere Module des Rechnersystems 1 an der Überwachung beteiligt sind. Insbesondere könnte auch das Pedalmodul PM2 und/oder das Verarbeitungsmodul VM8 in die Überwachung eingebunden werden oder zumindest bei Ausfall eines Radmoduls 5 dessen Berechnungen für die gegenseitige Überwachungsfunktion 15 übernehmen. Die Einbindung des Pedalmoduls 2 bzw. des Verarbeitungsmoduls 8 ist problematisch bezüglich eines nach Möglichkeit angestrebten modularen und gleichartigen Aufbaus des elektrischen Bremssystems.
  • Die gegenseitige Überwachung 15 rotiert mit fortschreitender Zeit t über die beteiligten Radmodule 5. Zur Verdeutlichung wird ein Umlauf der gegenseitigen Überwachung 15 in der nachfolgenden Tabelle 1 dargestellt. Dabei wurden zur Überwachung eines Radmoduls 5 jeweils zwei andere Radmodule 5 eingebunden. Die Anzahl der beteiligten Module ist hier n = 3.
  • Figure 00190001
    Tabelle 1
  • Betrachtet werden im Folgenden beispielhaft die zum Zeitpunkt t_0 beginnende gegenseitige Überwachung 15 der Radmodule RM_1, RM_2 und RM_3. Hierzu werden über das Kommunikationssystem 4 die Prozessdaten S_1 (t_0) den anderen Radmodulen 5 bereitgestellt. In den beteiligten Radmodulen 5 werden dann mit den Prozessdaten S_1 (t_0) die Modellrechnungen durchgeführt. Die daraus resultierenden Ergebnisse E_j [S_1 (t_0)], mit j = 1 . . . n und n ≥ 3 werden anschließend über das Kommunikationssystem 4 gegenseitig ausgetauscht und in jedem beteiligten Radmodul 5 miteinander verglichen. Als Ergebnis dieses Vergleichs werden logische Vergleichsvariablen V_kji gebildet. Eine in dem Radmodul RM_k berechnete logische Vergleichsvariable xxx unter Einbeziehung der Ergebnisse E_j [S_1 (t_0)] und E_i [S_1 (t_0)] wird im Folgenden mit V_kji bezeichnet und ist definiert durch:
    Figure 00190002
    mit k, j, i ∈ [1 . . . n] und i ≠ j.
  • ∈ steht für eine Fehlertoleranz, die auch den Wert 0 annehmen kann. Der Index k der logischen Vergleichsvariablen V_kji gibt an, welches Radmodul 5 den Vergleich durchführt. Der Index j steht für den ersten Wert und der Index i für den zweiten Wert des Vergleichs. Aufgrund des symmetrischen Aufbaus des elektrischen Bremssystems ergibt sich eine vereinfachte Berechnung V_kji = V_kij.
  • Die fest vorgegebene Genauigkeitsschranke ∈ berücksichtigt zulässige Toleranzen zwischen den Berechnungen in den verschiedenen Radmodulen 5. Aus diesen logischen Vergleichvariablen V_kji werden in jedem an der Überwachung 15 beteiligten Radmodul 5 logische Hilfsvariablen H_ki berechnet. Eine in dem Radmodul RM_k berechnete Hilfsvariable, die Informationen über die Korrektheit der Berechnung in dem Radmodul RM_i enthält, wird nachfolgend mit H_ki bezeichnet. Betrachtet man eine Anzahl n an der Überwachung 15 beteiligten Radmodule 5, so sind die logischen Hilfsvariablen H_ki definiert durch die Folgende logische UND-Verknüpfung von je (n–1)-Vergleichsvariablen V_kji.
  • Figure 00200001
  • Hierbei entspricht der Index k der logischen Hilfsvariablen H_ki dem Radmodul 5, in dem die Berechnung ausgeführt wird und der Index i dem Radmodul 5, das überprüft wurde. Bei einer erweiterten Realisierungsvariante mehr als drei an der gegenseitigen Überwachung 15 beteiligten Radmodule kann die Bestimmung der logischen Hilfsvariable H_ki auf eine logische UND-Verknüpfung mit zwei Vergleichsvariablen V_kji beschränkt werden.
  • Eine Abschaltung der durch das Radmodul RM_i angesteuerten Prozessgrößen erfolgt durch eine logische Variable A_i, die bei einer Anzahl n betrachteter Radmodule 5 durch folgende Bool'sche Beziehung gegeben ist:
    Figure 00210001
  • In der Gleichung (4) entsprechen B_i v H_ii intern ermittelten Fehlern des Radmoduls RM_i. Das Produkt der Hilfsvariablen H_ij entspricht dagegen von externen Radmodulen ermittelten Fehlern des Radmoduls RM_i. In Gleichung (4) charakterisiert v eine ODER-Verknüpfung. Aus dieser Beziehung wird deutlich, dass ein Abschaltsignal A_i für die von dem Radmodul RM_i angesteuerten Prozessgrößen ausgelöst wird, falls entweder das Radmodul RM_i durch die interne Überwachung 14 oder durch die Vergleichsrechnungen einen Fehlerzustand detektiert oder falls die weiteren (n–1) an der gegenseitigen Überwachung 15 beteiligten Radmodule 5 übereinstimmend einen Fehler detektieren. Werden in einer erweiterten Realisierungsvariante n > 3 Module in die gegenseitige Überwachung 15 einbezogen, kann als Bedingung für eine Abschaltung der durch das Radmodul RMi angesteuerten Prozessgrößen anstelle der Gleichung (4) die Beziehung: AI = BI ∨ HII ∨ ΩI (5) verwendet werden. Dabei beschreibt Ω_i eine (2 aus k)-Auswahl (sog. Mehrheitsauswahl) bezüglich der logischen Variablen H_ij mit 3 ≤ k ≤ n – 1; i, j ∈ [1 . . . n] und j ≠ i.
  • Aufgrund des hohen Risikopotentials bei unberechtigtem Abschalten der Prozessgrößen eines oder mehrerer Radmodule 5 sollte die Realisierung der durch die Gleichungen (9) bzw. (5) beschriebenen Funktion sehr sicher gestaltet werden. Die Realisierung dieser Funktion erfolgt für jedes Radmodul RM_i auf zwei Abschaltpfaden. Der erste Abschaltpfad realisiert die Bedingung A_i1 = B_i v H_ii und wird von dem Radmodul RM_i ausgeführt. Dies ist der eigene Abschaltpfad des Radmoduls RM_i. Der zweite Abschaltpfad (externer Abschaltpfad) realisiert in Gleichung (4) die Verknüpfung A_i2 mit dem Produkt über die Hilfsvariablen H_j bzw. in Gleichung (5) die Bedingung A_i2 = Ω_i. Hierfür sind für jedes Radmodul RM_i Mittel erforderlich, die von den beteiligten Radmodulen 5 die erforderlichen logischen Variablen H_ij empfangen und gemäß den logischen Verknüpfungen verarbeiten können. Das Ergebnis der Verarbeitung erlaubt dann eine unabhängige Abschaltung der von dem Radmodul RM_i angesteuerten Prozessgrößen. Dieser externe Abschaltpfad kann bspw. mittels intelligenter Kommunikationscontroller realisiert werden, über die die Rechengeräte der einzelnen Radmodule an das Kommunikationssystem angeschlossen sind. Diese Kommunikationscontroller übernehmen dann neben der Anbindung des Rechengeräts an das Kommunikationssystem auch die Überwachung der übrigen Radmodule.
  • Durch den rotierenden Umlauf kann die gegenseitige Überwachung 15 auch bei einem als defekt erkannten oder nicht vorhandenen Radmodul 5 durchgeführt werden. In diesem Fall werden für die zuvor definierten Bedingungen durch eine Rekonfiguration nur die funktionstüchtigen Module herangezogen.
  • Mit Hilfe eines zeitgesteuerten Busses als Kommunikationssystem 4, d. h. mit einer globalen Systemzeit, kann der Programmablauf der an der gegenseitigen Überwachung beteiligten Radmodule 5 synchronisiert werden. Voraussetzung dafür ist, dass jede Task in einem fest definierten Zeitrahmen abläuft. Folglich muss für jede Task eine minimale und eine maximale Laufzeit vorgegeben sein, um den korrekten Ablauf der zuvor festgelegten Tasks innerhalb eines Zyklus gewährleisten zu können. Auch die Modell- und Vergleichsrechnungen zur gegenseitigen Überwachung 15 können in Form von zeitsynchronen Tasks ablaufen. Der zeitliche und funktionelle Ablauf der gegenseitigen Überwachung 15 der Radmodule RM_1, RM_2 und RM_3 wird in der Tabelle aus 5 verdeutlicht.
  • Als eine weitere Ausführungsform der gegenseitigen Überwachung wird die Überprüfung der richtigen Funktion eines Radmoduls RM_i anhand einer Frage-Antwort-Kommunikation näher beschrieben. Die Überprüfung der richtigen Funktion eines Radmoduls RM_i wird bei dieser Ausführungsform von den anderen Radmodulen RM_j unterstützt. Die Anzahl n der an der Überwachung beteiligten Radmodule 5 liegt bei n ≥ 3. Die Überwachungsvariante gemäß dieser Ausführungsform hat im Wesentlichen den gleichen Ablauf wie die weiter oben beschriebene Überwachung anhand von ausgewählten Prozessdaten. Anstelle der Prozessdaten S_i (t_x) werden bei der vorliegenden Ausführungsform jedoch Fragen bereitgestellt. Zu diesem Zweck ist in jedem an der gegenseitigen Überwachung 15 beteiligten Radmodule RM_j ein Satz von verschiedenen Fragen F_k, mit k = 1 . . . r abgespeichert. Zu jeder Frage F_k ist in den Radmodulen RM_j zudem die richtige Antwort W_k, mit k = 1 . . . r abgespeichert. Die Kontrolle erfolgt bei der beschriebenen Ausführungsform durch eine Frage-Antwort-Kommunikation. Das Radmodul RM_j sendet zu einem vorgebbaren Zeitpunkt t_x allen übrigen an der gegenseitigen Überwachung 15 beteiligten Radmodulen RM_i eine Frage F_k (t_x). Diese Frage sollte von dem sendenden Radmodul RM_j und allen weiteren an der Überwachung beteiligten Radmodulen RM_i innerhalb eines vorgebbaren Zeitintervalls richtig beantwortet werden. Zur Beantwortung der verschiedenen Fragen werden jeweils Teilantworten gebildet, die sich z. B. aus einem korrekten Durchlauf von sicherheitsrelevanten Programmteilen mit einem vorgegebenen Datensatz oder einem fehlerfreien Ablauf eines Computerprogramms für den Rechnerfunktionstest und den Befehlstest ergeben.
  • Die aus den Teilprogrammen gebildeten Teilantworten werden in allen n an der Überwachung beteiligten Radmodulen RM_i zu einer Gesamtantwort zusammengefasst. Die in einem Radmodul RM_i berechnete Antwort auf die Frage F_k (t_x) wird im Folgenden mit L_i (F_k), mit i = 1 . . . n bezeichnet. Jedes Radmodul RM_i überträgt allen weiteren an der Überwachung beteiligten Radmodulen 5 die ermittelte Antwort L_i (F_k). Eine Antwort L_i (F_k) wird in dem Radmodul RM_i und in den weiteren beteiligten Radmodulen RM_j auf Richtigkeit hinsichtlich des Zeitintervalls für das Eintreffen der Antwort und auf Übereinstimmung mit der der Frage zugeordneten richtigen Antwort W_k überprüft. Eine in dem Radmodul RM_i entdeckte fehlerhafte Funktion des Radmoduls RM_j wird durch eine logische Variable C_ij gekennzeichnet, die gemäß
    Figure 00240001
    mit j, i ∈ [1 . . . n]
    definiert ist.
  • Eine Abschaltung der durch das Radmodul RM_i angesteuerten Prozessgrößen erfolgt durch die logische Variable A_i, die bei einer Anzahl n betrachten Radmodulen 5 durch folgende Bool'sche Beziehung gegeben ist:
    Figure 00250001
  • Bei einer Realisierungsvariante mit mehr als drei an der gegenseitigen Überwachung 15 beteiligten Radmodulen 5 kann die logische UND-Verknüpfung in Gleichung (7) auf zwei logische Variablen C_ji beschränkt werden oder anstelle der Gleichung (7) kann die Beziehung: AI = BI ∨ CII ∨ ΩI (8) verwendet werden. Hierin beschreibt Ω_i eine (2 aus k)-Auswahl bezüglich der logischen Variablen C_ji, mit i, j ∈ [1 . . . n] und j ≠ i .
  • Auch bei dieser zweiten Ausführungsform realisiert die Bedingung A_i1 = B_i v C_ii den eigenen Abschaltpfad, der von dem Radmodul RM_i ausgeführt wird. Das Produkt über die logischen Variablen C_ji bzw. die (2 aus k)-Auswahl Ω_i beschreibt einen externen Abschaltpfad A_i2, der von den Radmodulen RM_j ausgeführt wird, welche das Radmodul RM_i überwachen.
  • Der zeitliche Ablauf der gegenseitigen Überwachungsfunktion 15 mittels Frage-Antwort-Kommunikation ist in der Tabelle aus 6 dargestellt.
  • Zusammenfassend kann durch die vorliegende Erfindung auf zusätzliche Hardware-Komponenten zur Überwachung der Rechner-Komponenten eines dezentral verteilten Rechnersystems verzichtet werden. Die für die Überwachung nach dem erfindungsgemäßen Verfahren erforderliche Hardware wird allein durch die aus Funktionsüberlegungen erforderliche dezentrale Aufteilung der Komponenten bestimmt. Durch die vorgestellte gegenseitige Überwachung wird eine eindeutige Lokalisierung fehlerhafter Komponenten und auch deren Abschaltung über zwei getrennte Abschaltpfade ermöglicht.

Claims (16)

  1. Verfahren zur gegenseitigen Überwachung von Komponenten (RM_i) eines dezentral verteilten Rechnersystems (1) für eine sicherheitsrelevante Anwendung insbesondere in einem Kraftfahrzeug, wobei die Komponenten (RM_i) über mindestens ein Kommunikationssystem (4) miteinander in Verbindung stehen, dadurch gekennzeichnet, dass in mehreren Komponenten (RM_i) des Rechnersystems (1) eine interne Überwachungsfunktion (14), die Fehler in der überwachten Komponente (RM_i) erkennt, und eine gegenseitige Überwachungsfunktion (15) ausgeführt wird, welche eine gegenseitige Überprüfung von Ergebnissen (E_j[S_i(t_x)], C_ij) ausführt, die von den Komponenten (RM_i) ermittelt wurden, und eine Mehrheitsauswahl aus den Ergebnissen (E_j[S_i(t_x)], C_ij) trifft, und dass sowohl das Ergebnis (B_i) der internen Überwachungsfunktion (14) als auch die Ergebnisse (E_j[S_i(t_x)], C_ij) der gegenseitigen Überwachungsfunktionen (15) bei einer Entscheidung über das Vorliegen eines Fehlers einer Komponente (RM_i) berücksichtigt werden.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die interne Überwachungsfunktion (14) die Fehler in der überwachten Komponente (RM_i) durch eine Überprüfung von Grundoperationen eines Befehlssatzes eines Rechengeräts (9), insbesondere eines Mikroprozessors, der Komponente (RM_i) erkennt.
  3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die Komponenten (RM_i) Signale von externen Einheiten (7; 71 . . . 74), insbesondere von Sensoren, empfangen und weiterverarbeiten und dass im Rahmen der internen Überwachungsfunktion (14) auch die externen Einheiten (7; 71 . . . 74) der überwachten Komponente (RM_i) überwacht werden.
  4. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass die gegenseitigen Überwachungsfunktionen (15) die Ergebnisse (E_j[S_i(t_x)]), die von den Komponenten (RM_i) ermittelt wurden, über Modellrechnungen überprüfen.
  5. Verfahren nach Anspruch 4, dadurch gekennzeichnet, dass die Ermittlung der Ergebnisse (E_j[S_i(t_x)]) in den Komponenten (RM_i) durch Berechnungen anhand von ausgewählten Prozessdaten (S_i(t_x)) erfolgt, die jeweils von einer Komponente (RM_i) den übrigen Komponenten (RM_i) zur Verfügung gestellt werden.
  6. Verfahren nach Anspruch 5, dadurch gekennzeichnet, dass die ausgewählten Prozessdaten (S_i(t_x)) abwechselnd von der jeweils einen Komponente (RM_i) den übrigen Komponenten (RM_i) zur Verfügung gestellt werden.
  7. Verfahren nach Anspruch 5 oder 6, dadurch gekennzeichnet, dass die ausgewählten Prozessdaten (S_i(t_x)) von der jeweils einen Komponente (RM_i) über das Kommunikationssystem (4) den übrigen Komponenten (RM_i) zur Verfügung gestellt werden.
  8. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass die Ermittlung der Ergebnisse (C_ij) in den Komponenten (RM_i) durch Berechnungen von Antworten (W_k) auf eine vorgebbare Frage (F_k) im Rahmen einer Frage-Antwort-Kommunikation erfolgt, wobei die Fragen (F_k) jeweils von einer Komponente (RM_i) den übrigen Komponenten (RM_i) zur Verfügung gestellt werden.
  9. Verfahren nach Anspruch 8, dadurch gekennzeichnet, dass die Fragen (F_k) abwechselnd von der jeweils einen Komponente (RM_i) den übrigen Komponenten (RM_i) zur Verfügung gestellt werden.
  10. Verfahren nach Anspruch 8 oder 9, dadurch gekennzeichnet, dass die Fragen (F_k) von der jeweils einen Komponente (RM_i) über das Kommunikationssystem (4) den übrigen Komponenten (RM_i) zur Verfügung gestellt werden.
  11. Computerprogramm zur Realisierung einer gegenseitigen Überwachung von Komponenten (RM_i) eines dezentral verteilten Rechnersystems (1) für eine sicherheitsrelevante Anwendung insbesondere in einem Kraftfahrzeug, wobei das Computerprogramm auf einem Rechengerät (9), insbesondere auf einem Mikroprozessor, ablauffähig ist, dadurch gekennzeichnet, dass das Computerprogramm zur Ausführung eines Verfahrens nach einem der Ansprüche 1 bis 10 geeignet ist, wenn es auf dem Rechengerät (9) abläuft.
  12. Computerprogramm nach Anspruch 11, dadurch gekennzeichnet, dass das Computerprogramm auf einem Speicherelement, insbesondere auf einem Read-Only-Memory, Random-Access-Memory oder einem Flash-Memory, abgespeichert ist.
  13. Steuergerät für eine Komponente (RM_i) eines mehrere Komponenten (RM_i) umfassenden dezentral verteilten Rechnersystems (1) für eine sicherheitsrelevante Anwendung insbesondere in einem Kraftfahrzeug, dadurch gekennzeichnet, dass das Steuergerät in der Komponente (RM_i) eine interne Überwachungsfunktion (14), die Fehler in der überwachten Komponente (RM_i) erkennt, und eine gegenseitige Überwachungsfunktion (15) steuert, welche eine gegenseitige Überprüfung von Ergebnissen (E_j[S_i(t_x)], C_ij) ausführt, die von den Komponenten (RM_i) ermittelt wurden, und eine Mehrheitsauswahl aus den Ergebnissen (E_j[S_i(t_x)], C_ij) trifft, und dass das Steuergerät sowohl das Ergebnis (B_i) der internen Überwachungsfunktion (14) als auch die Ergebnisse (E_j[S_i(t_x)], C_ij) der gegenseitigen Überwachungsfunktionen (15) bei einer Entscheidung über das Vorliegen eines Fehlers einer Komponente (RM_i) berücksichtigt.
  14. Steuergerät nach Anspruch 13, dadurch gekennzeichnet, dass das Steuergerät Mittel zur Ausführung eines Verfahrens nach einem der Ansprüche 2 bis 10 aufweist.
  15. Mehrere Komponenten (RM_i) umfassendes, dezentral verteiltes Rechnersystem (1) für eine sicherheitsrelevante Anwendung insbesondere in einem Kraftfahrzeug, mit mindestens einem Kommunikationssystem (4), über das die Komponenten (RM_i) miteinander in Verbindung stehen, dadurch gekennzeichnet, dass in mehreren Komponenten (RM_i) eine interne Überwachungsfunktion (14), die Fehler in der überwachten Komponente (RM_i) erkennt, und eine gegenseitige Überwachungsfunktion (14) realisiert ist, welche eine gegenseitige Überprüfung von Ergebnissen (E_j[S_i(t_x)], C_ij) ausführt, die von den Komponenten (RM_i) ermittelt wurden, und eine Mehrheitsauswahl aus den Ergebnissen (E_j[S_i(t_x)], C_ij) trifft, und dass das Rechnersystem (1) Mittel zur Entscheidung über das Vorliegen eines Fehlers einer Komponente (RM_i) unter Berücksichtigung sowohl des Ergebnisses (B_i) der internen Überwachungsfunktion (14) als auch der Ergebnisse (E_j[S_i(t_x)], C_ij) der gegenseitigen Überwachungsfunktionen (15) aufweist.
  16. Rechnersystem (1) nach Anspruch 15, dadurch gekennzeichnet, dass das Rechnersystem (1) Mittel zur Ausführung eines Verfahrens nach einem der Ansprüche 2 bis 10 aufweist.
DE10223880A 2002-05-29 2002-05-29 Verfahren zur gegenseitigen Überwachung von Komponenten eines dezentral verteilten Rechnersystems Expired - Fee Related DE10223880B4 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE10223880A DE10223880B4 (de) 2002-05-29 2002-05-29 Verfahren zur gegenseitigen Überwachung von Komponenten eines dezentral verteilten Rechnersystems
US10/446,296 US7269762B2 (en) 2002-05-29 2003-05-28 Method for mutual monitoring of components of a distributed computer system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE10223880A DE10223880B4 (de) 2002-05-29 2002-05-29 Verfahren zur gegenseitigen Überwachung von Komponenten eines dezentral verteilten Rechnersystems

Publications (2)

Publication Number Publication Date
DE10223880A1 true DE10223880A1 (de) 2004-01-08
DE10223880B4 DE10223880B4 (de) 2004-06-17

Family

ID=29718816

Family Applications (1)

Application Number Title Priority Date Filing Date
DE10223880A Expired - Fee Related DE10223880B4 (de) 2002-05-29 2002-05-29 Verfahren zur gegenseitigen Überwachung von Komponenten eines dezentral verteilten Rechnersystems

Country Status (2)

Country Link
US (1) US7269762B2 (de)
DE (1) DE10223880B4 (de)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005114341A1 (de) * 2004-05-18 2005-12-01 Robert Bosch Gmbh Verfahren zur überwachung eines verbundes von steuergeräten
DE102005046373A1 (de) * 2005-09-28 2007-04-05 Siemens Ag Kommunikationssystem für ein technisches Gerät, insbesondere für ein Kraftfahrzeug
EP1964741A2 (de) 2007-02-28 2008-09-03 Robert Bosch Gmbh Elektrische Parkbremse
EP2685378A1 (de) * 2012-07-11 2014-01-15 Rohm Co., Ltd. Integrierte Stromversorgungs-Überwachungsschaltung für eine elektrische Bauteileinheit eines Kraftfahrzeugs
WO2015051945A1 (de) * 2013-10-11 2015-04-16 Siemens Aktiengesellschaft Semantische deduplikation
FR3023814A1 (fr) * 2014-07-16 2016-01-22 Chassis Brakes Int Bv Dispositif de commande de freinage pour vehicule
DE102022204011A1 (de) 2022-04-26 2023-10-26 Volkswagen Aktiengesellschaft Verfahren zum Überwachen eines mechanisch ungekoppelten Aktuatorsystems und mechanisch ungekoppeltes Aktuatorsystem

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2435655A1 (en) * 2003-07-21 2005-01-21 Symbium Corporation Embedded system administration
JP4837903B2 (ja) * 2004-06-30 2011-12-14 横河電機株式会社 通信ネットワーク・システム
FR2883241B1 (fr) * 2005-03-15 2007-06-08 Renault Sas Procede de gestion d'information de freinage
CA2504333A1 (en) * 2005-04-15 2006-10-15 Symbium Corporation Programming and development infrastructure for an autonomic element
WO2007051118A2 (en) * 2005-10-25 2007-05-03 Nxstage Medical, Inc Safety features for medical devices requiring assistance and supervision
JP4859803B2 (ja) * 2007-10-01 2012-01-25 日立オートモティブシステムズ株式会社 電動アクチュエータの制御装置
US7822841B2 (en) * 2007-10-30 2010-10-26 Modern Grids, Inc. Method and system for hosting multiple, customized computing clusters
FR2943036B1 (fr) * 2009-03-11 2011-04-15 Airbus France Systeme distribue de commande de vol implemente selon une architecture avionique modulaire integree.
US8712626B2 (en) * 2009-05-05 2014-04-29 Goodrich Corporation Autobrake and decel control built-in test equipment
US8442690B2 (en) * 2009-06-29 2013-05-14 Honeywell International Inc. Vehicle system monitoring and communications architecture
DE102010002020A1 (de) * 2010-02-17 2011-08-18 Deere & Company, Ill. Vorrichtung zur Steuerung einer Parksperre für ein Kraftfahrzeug
JP5163807B2 (ja) * 2010-03-18 2013-03-13 トヨタ自動車株式会社 マイコン相互監視システム及びマイコン相互監視方法
US8847535B2 (en) * 2011-11-08 2014-09-30 Autoliv Asp, Inc. System and method to determine the operating status of an electrical system having a system controller and an actuator controller
EP2685379B1 (de) * 2012-07-11 2021-09-22 Rohm Co., Ltd. Integrierte Überwachungsschaltung für eine elektrische Bauteileinheit eines Automobils
US9156357B2 (en) * 2013-09-11 2015-10-13 GM Global Technology Operations LLC Controller for an electric motor, and a method thereof
US9026841B1 (en) 2014-09-09 2015-05-05 Belkin International, Inc. Coordinated and device-distributed detection of abnormal network device operation
US10063439B2 (en) 2014-09-09 2018-08-28 Belkin International Inc. Coordinated and device-distributed detection of abnormal network device operation
US9428162B1 (en) * 2015-05-19 2016-08-30 Goodrich Corporation System and method for brake control in response to load cell failure
US9989955B2 (en) 2015-07-09 2018-06-05 Honda Motor Co., Ltd. System configuration management using encapsulation and discovery
DE102016100680A1 (de) * 2016-01-16 2017-07-20 Ssb Wind Systems Gmbh & Co. Kg Windkraftanlage
JP7111606B2 (ja) * 2018-12-19 2022-08-02 日立Astemo株式会社 電子制御装置および車載システム

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3930075A1 (de) * 1988-09-16 1990-03-22 Akad Wissenschaften Ddr Verfahren und anordnung eines fehlertoleranten mehrrechnersystems
DE19826130A1 (de) * 1998-06-12 1999-12-16 Bosch Gmbh Robert Elektromechanisches Bremssystem für ein Kraftfahrzeug

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3504096A1 (de) * 1985-02-07 1986-08-07 Wabco Westinghouse Fahrzeugbremsen GmbH, 3000 Hannover Sollwertgeber
US6823244B2 (en) * 1995-06-07 2004-11-23 Automotive Technologies International, Inc. Vehicle part control system including electronic sensors
DE4339570B4 (de) * 1993-11-19 2004-03-04 Robert Bosch Gmbh Elektronisches Bremssystem
JP3085844B2 (ja) * 1994-01-10 2000-09-11 富士通株式会社 集中監視システムにおける障害表示方式
US5572187A (en) * 1994-05-23 1996-11-05 Williford; Robert F. Air brake monitoring and safety system
DE19510525A1 (de) * 1995-03-23 1996-09-26 Bosch Gmbh Robert Verfahren und Vorrichtung zur Steuerung bzw. Regelung der Bremsanlage eines Fahrzeugs
DE19548392C2 (de) * 1995-12-22 2001-05-17 Siemens Ag Bremsanlage für ein Kraftfahrzeug
DE19716291B4 (de) * 1997-04-18 2016-07-07 Robert Bosch Gmbh Verfahren und Vorrichtung zum Steuern einer Bremsanlage eines Fahrzeugs
DE19717686A1 (de) * 1997-04-28 1998-10-29 Itt Mfg Enterprises Inc Schaltungsanordnung für ein Kraftfahrzeug-Regelungssystem
DE19826131A1 (de) * 1998-06-12 1999-12-16 Bosch Gmbh Robert Elektrisches Bremssystem für ein Kraftfahrzeug
DE19826132C2 (de) 1998-06-12 2000-06-29 Bosch Gmbh Robert Elektrisches Bremssystem für ein Kraftfahrzeug
DE19933086B4 (de) * 1999-07-15 2008-11-20 Robert Bosch Gmbh Verfahren und Vorrichtung zur gegenseitigen Überwachung von Steuereinheiten
DE19937156A1 (de) * 1999-08-06 2001-02-08 Bosch Gmbh Robert Elektrisch gesteuertes, dezentrales Steuersystem in einem Fahrzeug
DE19954284B4 (de) * 1999-11-11 2018-06-14 Robert Bosch Gmbh Elektrisch gesteuertes Bremssystem für ein Fahrzeug
DE10006206A1 (de) * 2000-02-11 2001-08-30 Daimler Chrysler Ag Elektronisches Steuersystem
DE10131806A1 (de) * 2001-06-30 2003-01-16 Bosch Gmbh Robert Verfahren und Vorrichtung zum Betreiben eines dezentralen Steuersystems

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3930075A1 (de) * 1988-09-16 1990-03-22 Akad Wissenschaften Ddr Verfahren und anordnung eines fehlertoleranten mehrrechnersystems
DE19826130A1 (de) * 1998-06-12 1999-12-16 Bosch Gmbh Robert Elektromechanisches Bremssystem für ein Kraftfahrzeug

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005114341A1 (de) * 2004-05-18 2005-12-01 Robert Bosch Gmbh Verfahren zur überwachung eines verbundes von steuergeräten
US8037353B2 (en) 2004-05-18 2011-10-11 Robert Bosch Gmbh Method for operating a system
DE102005046373A1 (de) * 2005-09-28 2007-04-05 Siemens Ag Kommunikationssystem für ein technisches Gerät, insbesondere für ein Kraftfahrzeug
DE102005046373B4 (de) * 2005-09-28 2007-12-13 Siemens Ag Kommunikationssystem für ein technisches Gerät, insbesondere für ein Kraftfahrzeug
EP1964741A2 (de) 2007-02-28 2008-09-03 Robert Bosch Gmbh Elektrische Parkbremse
EP1964741A3 (de) * 2007-02-28 2010-11-03 Robert Bosch Gmbh Elektrische Parkbremse
EP2685378A1 (de) * 2012-07-11 2014-01-15 Rohm Co., Ltd. Integrierte Stromversorgungs-Überwachungsschaltung für eine elektrische Bauteileinheit eines Kraftfahrzeugs
WO2015051945A1 (de) * 2013-10-11 2015-04-16 Siemens Aktiengesellschaft Semantische deduplikation
US9952919B2 (en) 2013-10-11 2018-04-24 Siemens Aktiengesellschaft Semantic deduplication
FR3023814A1 (fr) * 2014-07-16 2016-01-22 Chassis Brakes Int Bv Dispositif de commande de freinage pour vehicule
DE102022204011A1 (de) 2022-04-26 2023-10-26 Volkswagen Aktiengesellschaft Verfahren zum Überwachen eines mechanisch ungekoppelten Aktuatorsystems und mechanisch ungekoppeltes Aktuatorsystem

Also Published As

Publication number Publication date
US20040034810A1 (en) 2004-02-19
US7269762B2 (en) 2007-09-11
DE10223880B4 (de) 2004-06-17

Similar Documents

Publication Publication Date Title
DE10223880B4 (de) Verfahren zur gegenseitigen Überwachung von Komponenten eines dezentral verteilten Rechnersystems
EP1600831B1 (de) Verfahren und Vorrichtung zur Überwachung mehrerer Steuergeräte mittels einer Frage-Antwort-Kommunikation
EP1763454B1 (de) Redundantes datenbussystem
EP2972607B1 (de) Verfahren zur behandlung von fehlern in einem zentralen steuergerät sowie steuergerät
EP1040028B1 (de) Verfahren zur fehlererkennung von mikroprozessoren in steuergeräten eines kfz
DE102014220781A1 (de) Ausfallsichere E/E-Architektur für automatisiertes Fahren
WO2002032742A1 (de) Verfahren zum steuern eines steer-by-wire-lenksystems
DE10112514A1 (de) X-by-wire-System für ein Fahrzeug
WO1993009020A1 (de) Verfahren und vorrichtung zur fehlerbehandlung in elektronischen steuergeräten
WO2008040641A2 (de) Verfahren und vorrichtung zur fehlerverwaltung
DE19509150C2 (de) Verfahren zum Steuern und Regeln von Fahrzeug-Bremsanlagen sowie Fahrzeug-Bremsanlage
DE19937159B4 (de) Elektrisch gesteuertes Bremssystem
WO2007025844A1 (de) Verfahren zur verfügbarkeitserhöhung von kraftfahrzeugmotoren
EP1053153B1 (de) Verfahren zur behandlung von fehlern in einem elektronischen bremssystem und zugehörige vorrichtung
DE4431901B4 (de) Vorrichtung zur Störerfassung in einem Antischlupf-Bremssteuersystem für Kraftfahrzeuge
DE102017118174A1 (de) Brake-by-wire-system
WO2013164224A2 (de) Verfahren und vorrichtung zur überwachung von funktionen eines rechnersystems, vorzugsweise eines motorsteuersystems eines kraftfahrzeuges
DE102008009652A1 (de) Überwachungseinrichtung und Überwachungsverfahren für einen Sensor, sowie Sensor
DE10142511B4 (de) Fehlerbehandlung von Softwaremodulen
DE102018001866A1 (de) Verfahren zum automatischen Abbremsen eines sich während eines automatischen fahrerlosen Parkvorganges bewegenden Fahrzeuges
DE10331872A1 (de) Verfahren zur Überwachung eines technischen Systems
DE102006053559B4 (de) Inbetriebnahme eines Notbremssystems in einer Werkstatt
DE19832950A1 (de) Verfahren zur Behandlung von Fehlern in einem elektronischen Bremssystem und zugehörige Vorrichtung
EP1384122B1 (de) Verfahren zur ansteuerung einer komponente eines verteilten sicherheitsrelevanten systems
DE102012212680A1 (de) Verfahren und System zur fehlertoleranten Steuerung von Stellgliedern für eine begrenzte Zeit auf der Grundlage von vorberechneten Werten

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8364 No opposition during term of opposition
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee