EP1966695A1 - Bus-guardian of a subscriber of a communication system, and subscriber for a communication system - Google Patents

Bus-guardian of a subscriber of a communication system, and subscriber for a communication system

Info

Publication number
EP1966695A1
EP1966695A1 EP06830568A EP06830568A EP1966695A1 EP 1966695 A1 EP1966695 A1 EP 1966695A1 EP 06830568 A EP06830568 A EP 06830568A EP 06830568 A EP06830568 A EP 06830568A EP 1966695 A1 EP1966695 A1 EP 1966695A1
Authority
EP
European Patent Office
Prior art keywords
monitoring unit
bus
communication
bus controller
controller
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP06830568A
Other languages
German (de)
French (fr)
Inventor
Thomas Fuehrer
Bernd Mueller
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Publication of EP1966695A1 publication Critical patent/EP1966695A1/en
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/54Interprogram communication
    • G06F9/546Message passing systems or structures, e.g. queues
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • H04L12/40026Details regarding a bus guardian
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/407Bus networks with decentralised control
    • H04L12/413Bus networks with decentralised control with random access, e.g. carrier-sense multiple-access with collision detection [CSMA-CD]
    • H04L12/4135Bus networks with decentralised control with random access, e.g. carrier-sense multiple-access with collision detection [CSMA-CD] using bit-wise arbitration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/40Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass for recovering from a failure of a protocol instance or entity, e.g. service redundancy protocols, protocol state redundancy or protocol service redirection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04JMULTIPLEX COMMUNICATION
    • H04J3/00Time-division multiplex systems
    • H04J3/02Details
    • H04J3/06Synchronising arrangements
    • H04J3/0635Clock or time synchronisation in a network
    • H04J3/0685Clock or time synchronisation in a node; Intranode synchronisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40241Flexray

Definitions

  • the present invention relates to a monitoring unit locally associated with a bus controller of a subscriber of a communication system for monitoring and controlling access to a data bus.
  • the bus controller accesses the data bus via a bus driver, and the monitoring unit monitors and controls the access authorization of the bus driver.
  • the invention also relates to a subscriber of a communication system comprising a data bus.
  • the subscriber has a bus controller and a bus driver, the bus controller being connected to the data bus via the bus driver.
  • the subscriber has a monitoring unit assigned to the bus controller for monitoring and controlling the access authorization of the bus driver to the data bus.
  • CAN Controller Area Network
  • TTCAN Time Triggered CAN
  • TTP / C Time Triggered Protocol Class C
  • FlexRay is a fast, deterministic and fault-tolerant bus system, especially for use in motor vehicles.
  • the FlexRay protocol operates on the principle of Time Division Multiple Access (TDMA), whereby the subscribers or the messages to be transmitted are assigned fixed time slots in which they have exclusive access to the communication connection. The time slots are repeated in a fixed cycle, so that the time at which a message is transmitted over the bus, can be accurately predicted and the bus access is deterministic.
  • TDMA Time Division Multiple Access
  • FlexRay divides the communication cycle into a static and a dynamic part or into a static and a dynamic segment.
  • the fixed time slots are located in the static part at the beginning of the bus cycle.
  • the time slots are specified dynamically.
  • the exclusive bus access is only possible for a short time, for the duration of at least one so-called mini slot. Only if a bus access occurs within a minislot, the time slot is extended to the time required for the access. Thus, bandwidth is only consumed when it is actually needed.
  • FlexRay communicates via one or two physically separate lines with a maximum data rate of 10 Mb / s. Of course, FlexRay can also work with operated at lower data rates.
  • the two channels correspond to the physical layer, in particular the so-called OSI (Open System Architecture) layer model. These are mainly used for the redundant and thus fault-tolerant transmission of messages, but can also transmit different messages, which could then double the data rate. It is also conceivable that the signal transmitted via the connecting lines results as a difference signal.
  • the physical layer is designed such that it enables electrical or optical transmission of the signal or signals via the line (s) or a transmission by other means, for example by radio.
  • the global time is a system-wide time base to which the local times of the nodes (nodes or controllers) of the communication system are synchronized.
  • Global time plays an important role in timing in communication and in the application (time-controlled operating systems such as (OSEKtime), but also in diagnostic functions and error detection or error handling, which means that each communication controller (host or participant) has one
  • a communication system has its own clock (for example, a quartz oscillator), which is synchronized with all the other clocks in the system (so-called local time base) via the mechanism of global time synchronization messages in the static part of the synchronization Cycle, where using a special algorithm according to the FlexRay specification, the local time of a subscriber is corrected so that all local clocks run synchronously to a global clock.
  • BG bus guardian
  • the local bus guardian is supplied via the clock of the bus controller and its lap information is used for the monitoring function.
  • the current FlexRay protocol specification v2.1 describes a concept that is limited in terms of the time monitoring of the communication protocol or the communication controller.
  • a macrotick (MT) of the local FlexRay communication controller clocks its local bus guardian.
  • the time slot with transmit activity is also indicated by the communication controller by an ARM signal.
  • the timing (the temporal activities) of the monitored FlexRay communication controller is only by a
  • Offset correction is available, for example, with TTCAN, TTP / C, and FlexRay, whereby in FlexRay the offset correction phase takes place during the so-called Network Idle Time (NIT) of the local communication controller at the end of a communication cycle.
  • NIT Network Idle Time
  • the correction of the offset at the end of a communication round or a double round shortens or lengthens the local round within specified specified limits.
  • the next round of communication begins sooner or later due to the correction of a few so-called microticks ( ⁇ T).
  • ⁇ T microticks
  • the local bus guardian must allow this offset correction.
  • the timer monitor must accept this.
  • the transmission timeslots of the different subscribers may overlap. The likelihood of overlap increases as the number of laps increases.
  • the Bus Guardian concept according to the FlexRay protocol specification v2.1 is based on the assumption that the described error cases due to permanent disturbances occur only with low probability or these disturbances or errors Additional measures can be detected in the participant host or by additional functionalities.
  • the release of the actuator is carried out exclusively on successful question-answer communication, ie the question asked by the monitoring component to the control unit is answered correctly by the controller on the one hand within a given time window and on the other hand and asked a question asked by the control unit of the Surveillance component correctly answered within a given time window. If the control unit and the monitoring component are asked questions that have the same correct answer, the release of the actuator is done only if the response of the controller with the response of the monitoring component (1 1 A computer concept).
  • the principle of release is based on an electrical circuit, the so-called release circuit (in the known from DE 198 26 131 Al embodiment in the form of a UN D link), which is implemented between the control unit (the process computer) and the monitoring unit.
  • the selection of questions from the list can be random or purely cyclic.
  • An important part of the question-answer communication are the timers for preferably periodically starting the question-answer communication and setting the time window allowed for the answers.
  • the time window describes the period between the earliest possible and the latest possible arrival of the answer.
  • the present invention has the object to extend known Bus Guardian concepts for communication systems to the effect that even permanent disturbances in the participants or in the bus controllers of the participants are detected and corrected or corrected if necessary can.
  • the monitoring unit has means for realizing a question-answer communication with the bus controller, and only releases the access of the bus controller to the data bus, if the question-answer communication results in the proper functioning of the bus controller.
  • the monitoring concept known per se from the monitoring of control units is transmitted to the bus controller and the monitoring unit of the participants of a communication system for carrying out a question and answer communication.
  • the monitoring concept is therefore transferred to the FlexRay communication controller and the FlexRay bus guardian.
  • the proposed monitoring concept is not limited to use in FlexRay communication systems, but can be used in any communication systems that have a monitoring unit (eg, a bus guardian) to monitor the function of a bus controller.
  • the monitoring unit must use the question and answer concept to detect possible errors in the bus controller, in particular due to permanent disturbances in the bus controller, which lead to the problems described above.
  • the question-answer communication between the bus controller and the monitoring unit preferably takes into account the following possible errors:
  • the monitoring unit takes over the task of a monitoring computer and provides, preferably periodically, questions to its associated bus controller, to then monitor the receipt of the correct answer within a specified time window. In the event that the time window is not respected or an incorrect answer to the question arrives, the monitoring unit takes over the shutdown of the bus controller or prevents the active transmission of messages by the bus controller.
  • the response of the monitoring unit to failed question-answer communication may be either temporary (for one or more communication cycles), or permanent in nature (until the subscriber or the entire communication system shuts down).
  • the present invention eliminates the conceptual weaknesses of the hitherto known monitoring concept, in particular the known Bus Guardian concept in the FlexRay protocol specification v2.1. In this case, a cost-optimized implementation is possible because only necessary logic / functionality extends the monitoring unit, namely the monitoring functionality of the question-answer communication.
  • the integration of the concept in so-called monitoring computers has particular advantages. This saves costs when introducing new ones
  • the present invention has particular advantages for implementation in a FlexRay communication system, wherein the bus guardians and the communication controllers of the users of a FlexRay communication system are designed to perform the question-answer communication.
  • the monitoring unit needs to be supplemented with a list of questions and corresponding answers.
  • the monitoring unit is supplemented by a mechanism which allows for preferably periodic questions, setting according to the timers for the time window, monitoring this time window and checking the response.
  • the monitoring unit has a pin for releasing the bus controller and for operating an optionally present in the participant release circuit.
  • the proposed concept deliberately tests the logic of the bus controller responsible for calculating the clock synchronization values (for synchronization of the subscriber's local time base to the global time base of the communication system).
  • a simple read-back mechanism can be performed on the relevant clock registers for clock synchronization.
  • This is an advanced Interface between the monitoring unit and the bus controller provided.
  • the FlexRay protocol currently proposes the exchange of information via an SPI (Serial Peripheral Interface) interface.
  • SPI Serial Peripheral Interface
  • the SPI interface is a simple synchronous serial data bus. This interface would also be sufficient for the question-and-answer communication according to the present invention.
  • the previous functionality of the monitoring unit for example the functionality of the bus guardian according to FlexRay protocol specification v2.1, can be completely retained.
  • the invention proposes that the monitoring unit is extended by a logic that specifically checks the input set of the bus controller for the clock synchronization.
  • the aim is to keep the quality of the clock synchronization high and to detect and, if necessary, prevent faults due to permanent faults. If this is not successful, the user or the bus controller or the bus driver should be set to a fail-silent mode in order to avoid the transmission of the bus controller or to block any available enable circuit for the bus controller ,
  • the monitoring unit is supplied via an interface to the bus controller with information regarding the synchronization messages (sync frames, data frame for synchronization of the local time base), which form the basis for the clock synchronization in the bus controller.
  • the monitoring unit is thus provided with information which of the sync frames were received by the local bus controller, decoded and used for the calculation of correction values (for the local time base). For this purpose, in the bus controller, a list with information regarding the synchronization messages (sync frames, data frame for synchronization of the local time base), which
  • Synchronization messages are created, as proposed for example in the FlexRay protocol specification v2.1. This list can now be subjected to the following checks as part of the question-answer communication:
  • a majority vote can be taken on the number of available sync frames. If a critical number of sync frames is undershot, there is a risk that the following calculations the correction values were based on an inaccurate local time base and therefore lead to incorrect results.
  • the limit of the minimum permissible number of sync frames is preferably adapted to the settings of the bus controller.
  • a corresponding check of the number of available sync frames can also be carried out in the bus controller. Through the redundant execution of the verification of the number of existing sync frames by the monitoring unit, a consistency check can be performed. If there are different results, the monitoring unit should avoid sending messages by the local bus controller or any existing ones
  • a fault rate correction for the global time base of the communication system calculated by a bus controller which then results in the local time base of the subscriber or bus controller, can have various causes.
  • the erroneous calculation may result from an incorrect input set or due to an error in a calculation logic of the bus controller. To verify the proper functioning of the calculation logic, several possibilities are suggested:
  • the calculation of the rate correction is performed in the same way as in the bus controller, ie in the monitoring unit, there is an identical implementation of the mechanism of the bus controller for Calculation of rate correction.
  • the values of the input set are present in the monitoring unit in the manner described above.
  • the calculation results are also available in the bus controller and can be compared with the results of the monitoring unit. This is additional communication via an interface between the
  • Monitoring unit and the bus controller necessary. If different results are obtained, the monitoring unit must avoid the transmission of messages by the local bus controller or block any existing enable circuit.
  • the monitoring unit can also ask specific questions to the calculation logic of the bus controller, which is responsible for the calculation of the rate correction values.
  • the calculation logic must return a response to the monitoring unit. The required response must be made within a specified time window. The monitoring unit compares this
  • the correct function of the calculation logic for the rate correction of the bus controller is preferably checked periodically. Permanent disturbances and the resulting errors can thus be determined.
  • the monitoring unit must avoid the transmission of messages by the local bus controller or disable an enable circuit accordingly.
  • the reason for incorrect application of a correctly calculated value for the global time base rate correction by the bus controller may be due to several causes.
  • MT macrotick
  • a memory element for example a memory register
  • the following mechanisms are proposed: a) The monitoring unit receives a value for the rate correction communicated from the bus controller via the interface and compares the value with the corresponding memory value in a control register of the bus controller. If there are different results, the monitoring unit must avoid the transmission of messages by the local bus controller
  • the monitoring unit can ask specific questions to the logic of the bus controller, which is responsible for the macrotick generation.
  • the logic must return a response to the monitoring unit. The required
  • the monitoring unit compares the result with a corresponding locally stored answer to this question.
  • the correct function of the macrotick generation logic is preferably periodically checked. Permanent disturbances and the resulting errors can be detected. In this case, the monitoring unit must avoid the transmission of messages by the local bus controller or block any existing enable circuit.
  • the monitoring unit receives the number of microticks ( ⁇ T) per round or the number of microticks ( ⁇ T) per macrotick (MT) from the bus controller.
  • the information is exchanged via the interface between the bus controller and the monitoring unit.
  • the information is exchanged and adjusted from round to round. For comparison by the monitoring unit are
  • the bus controller may erroneous in the computation logic of the bus controller due to erroneous input sets or incorrect offset correction for the global time base of the communication system to which the local time base of the subscriber is synchronized. For the detection of a faulty input set, several suggestions have already been made above. The following mechanisms are proposed for detecting an error in the offset correction calculation logic:
  • the offset correction from the bus controller is traced. For example, in the monitoring unit, a 1: 1
  • the values of the input set are present in the monitoring unit as described above.
  • the calculation results of the offset correction are also present in the bus controller and can be compared with the results of the monitoring unit. This requires additional communication via the interface between the monitoring unit and the bus controller. If different results are obtained, the monitoring unit must avoid the transmission of messages by the local bus controller or block any existing enable circuit.
  • the monitoring unit asks specific questions to the logic of the bus controller, which is responsible for calculating the offset correction values.
  • the calculation logic must return a response to the monitoring unit. The required response must be made within specified time windows.
  • Monitoring unit compares the result with their locally stored answers. In particular, it is checked whether the response of the bus controller is the correct answer to the question asked. Thus, the correct function of the calculation logic is preferably checked periodically. Permanent disturbances and the resulting errors are detected. In this case, the
  • Monitoring unit sending messages through the local bus Avoid controller or block any existing enable circuit.
  • the cause of the bus controller not correctly applying a correctly calculated global time base offset correction may be in the logic of the offset application or in a memory element, such as a memory register, for the correction value. In any case, this will cause an incorrect correction value to be used for the offset correction.
  • the monitoring unit receives the offset correction value from the bus controller via the interface and compares the correction value with the memory value in a control register of the bus controller. If different results are obtained, the monitoring unit must avoid the transmission of messages by the local bus controller or block any existing enable circuit.
  • the monitoring unit asks specific questions to the logic of the bus controller, which is responsible for the offset application, for FlexRay, for example, during network idle time (NIT).
  • the logic must return a response to the monitoring unit.
  • the required answer must be made within specified time windows.
  • the monitoring unit compares the result with its locally stored answers, in particular it checks whether it is the correct answer to the question asked.
  • the correct function of the offset application is preferably checked periodically. Permanent disturbances and the resulting errors are detected. In this case, the monitoring unit must avoid the transmission of messages by the local bus controller or any existing ones
  • the monitoring unit compares a microtick counter ( ⁇ T counter) of the bus controller before the offset correction with the microtick counter after the offset correction. These microtick counters are exchanged via the interface between the bus controller and the monitoring unit. The difference of the microtick counter before and after the offset correction must be within predefined ranges. If these ranges are exceeded and no values are supplied, the monitoring unit must avoid the transmission of messages by the local bus controller or block any enable circuits that may be present.
  • ⁇ T counter microtick counter
  • FIG. 1 shows a communication system according to the invention according to a preferred embodiment
  • FIG. 2 shows a subscriber of a communication system known from the prior art
  • FIG. 3 shows a subscriber according to the invention of the FlexRay
  • FIG. 1 a simplified topology of a FlexRay communication system is indicated in its entirety by the reference numeral 1.
  • the communication system comprises a physical layer, which in the present case is designed as a data bus 2 with two electrically conductive lines.
  • the physical layer can also be realized by optical waveguides or by radio links. Likewise, it is conceivable not to provide two separate transmission channels, but only one channel.
  • the host Connected to the data bus 2 are a plurality of subscribers 3, which are also referred to as controllers or hosts. Strictly speaking, however, the host also comprises a microcontroller, which is denoted by reference numeral 4 in FIG. Thus, the subscriber 3 and the microcontroller 4 together form the actual host 5.
  • the subscribers 3 of the communication system each comprise a communication controller 6, which receives data 7 to be transmitted via the data bus 2 from the microcontroller 4 and according to the protocol specification used in the communication system 1, in the illustrated example according to the FlexRay protocol specification v2.1, into the correct data format for transmission over the data bus 2 brings.
  • the information 7 in the correct data format is transmitted to the bus driver 8 of the subscriber 3, which places it in a form required for transmission over the data bus, also in accordance with the protocol specification used.
  • 3 bus guards 9 (Bus Guardian) are provided in the participants, which monitor and control the access authorization of the bus driver 8.
  • the bus drivers 8 can only apply information or data packets to the data bus 2 if they receive a corresponding enable signal 10 from the associated bus guardian 9.
  • the FlexRay communication system 1 from FIG. 1 has a particularly simple topology.
  • the topology of the data bus 2 may also be annular or star-shaped.
  • amplifier elements for example an active star, in the data bus structure 2 for transmission of the data packets over relatively long distances.
  • FIG. 2 shows a FlexRay subscriber 3 known from the prior art with a known Bus Guardian concept.
  • the concept described in the FlexRay Protocol Specification v2.1 is limited with regard to the time monitoring of the communication protocol or the communication controller 6.
  • a macrotick (MT) 13 of the local communication controller 6 clocks its local bus guardian 9.
  • the time slot with transmission activity is additionally indicated by an ARM signal 14 of the communication controller 6.
  • the time sequences (the so-called timing) of the monitored FlexRay communication controller 6 is roughly monitored only by an RC oscillator 15 or monitored by an additional quartz oscillator (not shown) with a higher resolution.
  • the bus guardian 9 thus derives its time base from the corrected macrotick signal 13, which it receives from the communication controller 6.
  • the ARM signal 14 is used to synchronize the beginning of a communication cycle or the transmission slots of the communication cycle.
  • the RC oscillator 15 allows a rough monitoring of the macrotick signal 13, so that deviations are recognized as such only above 20 to 30% of the signal.
  • the time base of the bus guardian 9 is not independent of the time base of the communication controller 6, but depending on the macrotick (MT) signal 13.
  • MT macrotick
  • the communication controller 6 receives data to be distinguished from the host computer (microcontroller) 4.
  • the controller 6 brings the data into the data format prescribed according to the FlexRay protocol specification.
  • the data is introduced into a payload segment (so-called payload segment) of a data frame (FlexRay frame).
  • the formatted data to be transmitted via the data bus 2 are designated by the reference numeral 16 in FIG.
  • the data 16 is transmitted to the bus driver 8, which brings it into a format suitable for data transmission.
  • the bus driver 8 then applies the data 16 to be transmitted to the data bus 2 at the time of transmission.
  • the activity of the bus driver 8 is monitored and / or controlled so far by the bus guardian 9 that the bus driver 8 can only apply the data 16 to the data bus 2 if the bus guardian 9 has the access authorization of the bus Driver 8 and an enable signal 17 to the bus driver 8 applies.
  • the known monitoring concept has particular weaknesses in cases where there are permanent disturbances due to errors or inaccuracies in the communication controller 6 to a creeping shift of the transmission timeslots of the subscriber 3 in the other transmission time slots according to the communication schedule remaining participants 3 of the communication cycle. For example, there is a problem that the
  • the local communication controller 6 can be transmitted to the bus guardian 9.
  • the clock correction of the FlexRay communication controller 6 is faulty according to the protocol specification v2.1 or the setting of setting registers for the clock correction of the communication controller 6 is faulty and undiscovered, the local communication controller 6 drifts and thus also the local Bus guardian 9 compared to the rest of the communication network 1.
  • the transmission slots of the communication cycle for the subscriber 3, the communication controller 6 has errors or inaccuracies in the local time base, so over time in the transmission time slots of the other
  • Another problem is the so-called offset correction phase during the so-called Network Idle Time (NIT) of the local communication controller 6 at the end of a communication cycle.
  • the offset correction phase is used inter alia to synchronize the local time base of the subscriber 3 on the global time base of Communication System 1. In order to make such a correction, it may be corrected within specified limits. The subsequent communication round starts by a few microticks ( ⁇ T) sooner or later. The local bus guardian 9 must allow this correction. The timer monitoring must accept this. However, there is no bus guardian knowledge regarding the effects of offset correction on the next round of communication. Also in this case, the transmission time slots may overlap. The likelihood of such overlap increases as the number of laps increases.
  • FIG. 3 An inventive participant 3 is shown in detail in Figure 3.
  • the bus guardian 9 has been circuitically and functionally extended in comparison to a known FlexRay bus guardian (see FIG. 2) in such a way that even permanent disturbances of the FlexRay communication controller 6 when accessing the data bus 2 are secure and reliably detected and appropriate remedial and countermeasures can be taken.
  • the proposed solution according to the invention is particularly simple and inexpensive to implement, but at the same time extremely effective.
  • an interface 18 is arranged, which is designed for example as an SPI (Serial Peripheral Interface) interface.
  • the bus guardian 9 can selectively transmit questions to the communication controller 6 via this interface 18, and the communication controller 6 can transmit the answers calculated to the questions back to the bus guardian 9.
  • a question and answer communication between the bus guardian 9 and the communication controller 6 can be realized via the interface 18.
  • a list 19 with various questions and a list 20 with the corresponding correct answers to the questions from the list 19 are stored are.
  • the lists 19 and 20 can also be combined into a common list.
  • the lists 19 and 20 can also be stored on a memory outside the bus guardian 9, in which case questions and / or answers are transmitted to the bus guardian 9 as needed.
  • the bus guardian 9 means 21 must be provided to initiate a question-answer communication at certain times, preferably periodically.
  • the macrotick (MT) signal 13 of the communication controller 6 and / or a clock signal of the RC oscillator can be used. Even if the MT signal 13 is drifting because, for example, the clock synchronization in the communication controller 6 is erroneous, and thus there is an error of the controller 6, this error can be detected with the present invention solely by the question-answer communication.
  • the communication controller 6 will provide a false result or result, but outside the allowable response window.
  • the effectiveness of the procedure depends crucially on the nature of the questions asked. These must be matched to the component and / or function of the communication controller 6 to be monitored. All components / functions to be monitored must be covered by the questions. A defect of the component / function must actually lead to a faulty response.
  • a suitable question is selected.
  • the questions can be taken from the list 19 either randomly or in a predetermined order, for example in the order in which they are stored in the list 19.
  • Certain question and answer combinations are suitable for detecting certain errors of the communication controller 6. Through the specific selection of specific questions, certain functions and / or properties of the communication controller 6 can therefore be checked for proper functioning.
  • the lists 19 and 20 include such questions and answers which enable a recognition of the following errors: a) Error of the input set (the synchronization messages actually used, sync frames) for the clock synchronization, b) incorrect calculation of the rate correction, c) incorrect application of correctly calculated rate correction values, d) incorrect calculation of the offset Correction, and e) incorrect application of correctly calculated offset correction values.
  • the means 21 in other means 22 for checking the response start a timer for a time window within which the response must be received from a properly functioning communication controller 6. Compliance with this time window is monitored by the means 22. If a response from the communication controller 6 is received within the time window, this response is checked in the means 22 for correctness. For this purpose, the means 22 compare the received answer with the correct answer from the list 20. Only when the correct answer is received within the defined time window, the bus guardian 9 releases the access to the data bus 2 by the enable signal 17.
  • the questions asked by the bus guardian 9 to the communication controller 6 may include one or more of the following questions:
  • additional information must in some cases be transmitted from the communication controller 6 to the bus guardian 9 via the interface 18.
  • additional information to be transmitted include, for example:

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Debugging And Monitoring (AREA)

Abstract

The invention relates to a monitoring unit (9) for monitoring and controlling access to a data bus (2) which is associated locally with a bus-controller (6) of a subscriber (3) of a communication system (1). Said bus-controller (6) accesses the data bus (2) via a bus-driver (8), and the monitoring unit (9) monitors and controls access authorisation of the bus-driver (8) to the data bus (2). The monitoring unit (9) comprises means (18, 19, 20, 21, 22) for producing a question-answer type communication with the bus controller in order to detect malfunctions which may be permanent, of the bus-controller (6) and thus resulting errors of the bus controller (6) when accessing the data bus (2) and the access of the bus-controller (6). The data bus (2) is only then released if the question-answer type communication produces an appropriate function of the bus-controller (6).

Description

Bus-Guardian eines Teilnehmers eines Kommunikationssystems, sowie Teilnehmer für ein KommunikationssystemBus guardian of a subscriber of a communication system, as well as subscribers for a communication system
Beschreibungdescription
Die vorliegende Erfindung betrifft eine Überwachungseinheit, die einem Bus-Controller eines Teilnehmers eines Kommunikationssystems lokal zugeordnet ist, zur Überwachung und Steuerung des Zugriffs auf einen Datenbus. Der Bus-Controller greift über einen Bus-Treiber auf den Datenbus zu, und die Überwachungseinheit überwacht und steuert die Zugriffsberechtigung des Bus-Treibers.The present invention relates to a monitoring unit locally associated with a bus controller of a subscriber of a communication system for monitoring and controlling access to a data bus. The bus controller accesses the data bus via a bus driver, and the monitoring unit monitors and controls the access authorization of the bus driver.
Die Erfindung betrifft auch einen Teilnehmer eines einen Datenbus umfassenden Kommunikationssystems. Der Teilnehmer weist einen Bus-Controller und einen Bus- Treiber auf, wobei der Bus-Controller über den Bus-Treiber an den Datenbus angeschlossen ist. Der Teilnehmer weist eine dem Bus-Controller zugeordnete Überwachungseinheit zur Überwachung und Steuerung der Zugriffsberechtigung des Bus-Treibers auf den Datenbus auf.The invention also relates to a subscriber of a communication system comprising a data bus. The subscriber has a bus controller and a bus driver, the bus controller being connected to the data bus via the bus driver. The subscriber has a monitoring unit assigned to the bus controller for monitoring and controlling the access authorization of the bus driver to the data bus.
Stand der TechnikState of the art
Die Vernetzung von Steuergeräten, Sensorik und Aktuatorik mit Hilfe eines Kommunikationssystems oder Datenübertragungssystems und einer Kommunikationsverbindung, beispielsweise in Form eines Bus-Systems oder eines Datenbusses, hat in den letzten Jahren in modernen Kraftfahrzeugen aber auch in anderen Bereichen, beispielsweise im Maschinenbau, insbesondere im Werkzeugmaschinenbereich, und in der Automatisierung drastisch zugenommen. Synergieeffekte durch Verteilung von Funktionen auf mehrere Teilnehmer, beispielsweise Steuergeräte, des Kommunikationssystems können dabei erzielt werden. Man spricht hierbei von verteilten Systemen.The networking of control devices, sensors and actuators using a communication system or data transmission system and a communication link, for example in the form of a bus system or a data bus, has in recent years in modern motor vehicles but also in other areas, such as in mechanical engineering, in particular Machine tools sector, and dramatically increased in automation. Synergy effects can be achieved by distributing functions over several subscribers, for example control devices, of the communication system. This is called distributed systems.
Die Kommunikation zwischen verschiedenen Teilnehmern eines solchen Kommunikationssystems findet mehr und mehr über ein Bus-System statt. Der Kommunikationsverkehr auf dem Bus-System, Zugriffs- und Empfangsmechanismen, sowie Fehlerbehandlung werden über ein Protokoll geregelt. Bekannte Protokolle sind beispielsweise CAN (Controller Area Network), TTCAN (Time Triggered CAN), TTP/C (Time Triggered Protocol Class C) und das FlexRay- Protokoll, wobei derzeit die FlexRay-Protokollspezifikation v2.1 zu Grunde liegt. Bei FlexRay handelt es sich um ein schnelles, deterministisches und fehlertolerantes Bussystem, insbesondere für den Einsatz in Kraftfahrzeugen. Das FlexRay-Protokoll arbeitet nach dem Prinzip des Time Division Multiple Access (TDMA), wobei den Teilnehmern bzw. den zu übertragenden Botschaften feste Zeitschlitze zugewiesen werden, in denen sie einen exklusiven Zugriff auf die Kommunikationsverbindung haben. Die Zeitschlitze wiederholen sich dabei in einem festgelegten Zyklus, so dass der Zeitpunkt, zu dem eine Botschaft über den Bus übertragen wird, exakt vorausgesagt werden kann und der Buszugriff deterministisch erfolgt.Communication between different subscribers of such a communication system takes place more and more via a bus system. The communication traffic on the bus system, access and reception mechanisms, as well as error handling are regulated by a protocol. Known protocols include CAN (Controller Area Network), TTCAN (Time Triggered CAN), TTP / C (Time Triggered Protocol Class C) and the FlexRay protocol, which is currently based on the FlexRay protocol specification v2.1. FlexRay is a fast, deterministic and fault-tolerant bus system, especially for use in motor vehicles. The FlexRay protocol operates on the principle of Time Division Multiple Access (TDMA), whereby the subscribers or the messages to be transmitted are assigned fixed time slots in which they have exclusive access to the communication connection. The time slots are repeated in a fixed cycle, so that the time at which a message is transmitted over the bus, can be accurately predicted and the bus access is deterministic.
Um die Bandbreite für die Übertragung von Botschaften auf dem Bussystem optimal zu nutzen, unterteilt FlexRay den Kommunikationszyklus in einen statischen und einen dynamischen Teil bzw. in ein statisches und ein dynamisches Segment. Die festen Zeitschlitze befinden sich dabei im statischen Teil am Anfang des Buszyklusses. Im dynamischen Teil werden die Zeitschlitze dynamisch vorgegeben. Darin wird der exklusive Buszugriff jeweils nur für eine kurze Zeit, für die Dauer mindestens eines sogenannten Minislots, ermöglicht. Nur wenn innerhalb eines Minislots ein Buszugriff erfolgt, wird der Zeitschlitz auf die für den Zugriff benötigte Zeit verlängert. Damit wird Bandbreite also nur verbraucht, wenn sie auch tatsächlich benötigt wird. Dabei kommuniziert FlexRay über eine oder zwei physikalisch getrennte Leitungen mit einer Datenrate von jeweils maximal 10 Mbil/sec. Selbstverständlich kann FlexRay auch mit niedrigeren Datenraten betrieben werden. Die beiden Kanäle entsprechen dabei der physikalischen Schicht, insbesondere des sogenannten OSI (Open System Architecture)-Schichtenmodells. Diese dienen hauptsächlich der redundanten und damit fehlertoleranten Übertragung von Botschaften, können jedoch auch unterschiedliche Botschaften übertragen, wodurch sich dann die Datenrate verdoppeln könnte. Es ist auch denkbar, dass sich das über die Verbindungsleitungen übertragene Signal als ein Differenzsignal ergibt. Die physikalische Schicht ist derart ausgestaltet, dass sie eine elektrische aber auch optische Übertragung des oder der Signale über die Leitung(en) oder eine Übertragung auf anderem Wege, bspw. über Funk, ermöglicht.In order to make the most of the bandwidth available for the transmission of messages on the bus system, FlexRay divides the communication cycle into a static and a dynamic part or into a static and a dynamic segment. The fixed time slots are located in the static part at the beginning of the bus cycle. In the dynamic part, the time slots are specified dynamically. Therein, the exclusive bus access is only possible for a short time, for the duration of at least one so-called mini slot. Only if a bus access occurs within a minislot, the time slot is extended to the time required for the access. Thus, bandwidth is only consumed when it is actually needed. FlexRay communicates via one or two physically separate lines with a maximum data rate of 10 Mb / s. Of course, FlexRay can also work with operated at lower data rates. The two channels correspond to the physical layer, in particular the so-called OSI (Open System Architecture) layer model. These are mainly used for the redundant and thus fault-tolerant transmission of messages, but can also transmit different messages, which could then double the data rate. It is also conceivable that the signal transmitted via the connecting lines results as a difference signal. The physical layer is designed such that it enables electrical or optical transmission of the signal or signals via the line (s) or a transmission by other means, for example by radio.
Um synchrone Funktionen zu realisieren und die Bandbreite durch kleine Abstände zwischen zwei Botschaften zu optimieren, benötigen die Teilnehmer in dem Kommunikationsnetzwerk eine gemeinsame Zeitbasis, die sogenannte globale Zeit. Die globale Zeit ist eine systemweit gültige Zeitbasis, auf welche die lokalen Zeiten der Teilnehmer (Knoten oder Steuergeräte) des Kommunikationssystems synchronisiert werden. Die globale Zeit spielt für die Zeitsteuerung in der Kommunikation und in der Applikation (zeitgesteuerte Betriebssysteme wie beispielsweise (OSEKtime), aber auch für Diagnosefunktionen und Fehlererkennung bzw. Fehlerbehandlung eine wichtige Rolle. Das bedeutet, dass jeder Kommunikations-Controller (Host oder Teilnehmer) eines solchen Kommunikationssystems eine eigene Uhr (beispielsweise einen Quarz- Oszillator) besitzt, die über den Mechanismus der globalen Zeit sogar mit allen anderen Uhren im System synchronisiert ist (sogenannte lokale Zeitbasis). Für die Synchronisation von lokalen Uhren der Teilnehmer werden Synchronisationsnachrichten im statischen Teil des Zyklus übertragen, wobei mit Hilfe eines speziellen Algorithmus entsprechend der FlexRay-Spezifikation die lokale Uhrzeit eines Teilnehmers so korrigiert wird, dass alle lokalen Uhren zu einer globalen Uhr synchron laufen.In order to realize synchronous functions and to optimize the bandwidth by small distances between two messages, the subscribers in the communication network need a common time base, the so-called global time. The global time is a system-wide time base to which the local times of the nodes (nodes or controllers) of the communication system are synchronized. Global time plays an important role in timing in communication and in the application (time-controlled operating systems such as (OSEKtime), but also in diagnostic functions and error detection or error handling, which means that each communication controller (host or participant) has one Such a communication system has its own clock (for example, a quartz oscillator), which is synchronized with all the other clocks in the system (so-called local time base) via the mechanism of global time synchronization messages in the static part of the synchronization Cycle, where using a special algorithm according to the FlexRay specification, the local time of a subscriber is corrected so that all local clocks run synchronously to a global clock.
Für die verschiedenen bekannten Kommunikationssysteme gibt es eine Reihe von Möglichkeiten, Zugriffskonflikte zu vermeiden oder zu lösen. In CAN wird zum Beispiel die sogenannte bitweise Arbitrierung verwendet. Diese ist sehr robust, durch Laufzeit- Phänomene ist aber die maximale Übertragungsgeschwindigkeit prinzipbedingt limitiert. Bei zeitgesteuerten Kommunikationssystemen wird das Zugriffsproblem per Ansatz und Konfiguration gelöst, die Konflikte werden schon offline vermieden. Voraussetzung ist allerdings ein gemeinsames Verständnis der Zeit, das netzwerkweit Gültigkeit hat (bei FlexRay: globale Zeit). Bei diesen Systemen gibt es aber in der Regel keine Möglichkeit, im Fehlerfall die Zugriffskonflikte zu behandeln, da der Zugriff an sich nicht verhindert werden kann. Deshalb sind für sicherheitsrelevante oder gar sicherheitskritische Anwendungen im Fahrzeug, bspw. für X-by-Wire-Systeme, Mechanismen zur Sicherstellung einer fehlerfreien Datenübertragung über das Kommunikationssystem und zur Freigabe von Aktuatorik des Sensors, z.B. von Elektromotoren oder Hydraulikpumpen, erforderlich. Bei verschiedenenFor the various known communication systems, there are a number of ways to avoid or solve access conflicts. In CAN, for example, the so-called bitwise arbitration is used. This is very robust, but runtime phenomena limit the maximum transmission speed as a matter of principle. In time-controlled communication systems, the access problem is solved by approach and configuration, the conflicts are already avoided offline. Prerequisite, however, is a common understanding of the time, which has validity throughout the network (with FlexRay: global time). In these systems, however, there is usually no way to handle the access conflicts in the event of an error, since access can not be prevented in itself. Therefore, for safety-relevant or even safety-critical applications in the vehicle, for example, for X-by-wire systems, mechanisms for ensuring error-free data transmission via the communication system and to release the actuator of the sensor, such as electric motors or hydraulic pumps required. At different
Kommunikationssystemen, beispielsweise TTP/C oder FlexRay, ist es bekannt, einen sogenannten Bus-Guardian (BG; Buswächter) als zusätzliche Überwachungseinheit einzuführen, der den physikalischen Zugriff auf den Datenbus nur in den vorab konfigurierten Zeitabschnitten erlaubt. Damit ist der Zugriffskonflikt auch im Fehlerfall lösbar bzw. vermeidbar.Communication systems, such as TTP / C or FlexRay, it is known to introduce a so-called bus guardian (BG, bus guardian) as an additional monitoring unit that allows physical access to the data bus only in the pre-configured periods. Thus, the access conflict is solvable or avoidable even in the event of a fault.
In aktuellen Konzepten wird der lokale Bus-Guardian über den Takt des Bus-Controllers versorgt und dessen Rundeninformation für die Überwachungsfunktion verwendet. Bei der derzeit aktuellen FlexRay- Protokollspezifikation v2.1 wird ein Konzept beschrieben, das bezüglich der zeitlichen Überwachung des Kommunikationsprotokolls bzw. des Kommunikations-Controllers eingeschränkt ist. In dem bekannten Konzept taktet ein Makrotick (MT) des lokalen FlexRay-Kommunikations-Controllers seines lokalen Bus- Guardian. Der Zeitschlitz mit Sendeaktivität wird durch den Kommunikations-Controller zusätzlich durch ein ARM-Signal angezeigt. Das Timing (die zeitlichen Aktivitäten) des zu überwachenden FlexRay-Kommunikations-Controllers wird lediglich durch einenIn current concepts, the local bus guardian is supplied via the clock of the bus controller and its lap information is used for the monitoring function. The current FlexRay protocol specification v2.1 describes a concept that is limited in terms of the time monitoring of the communication protocol or the communication controller. In the known concept, a macrotick (MT) of the local FlexRay communication controller clocks its local bus guardian. The time slot with transmit activity is also indicated by the communication controller by an ARM signal. The timing (the temporal activities) of the monitored FlexRay communication controller is only by a
RC-Oszillator grob überwacht bzw. durch einen zusätzlichen Quarz-Oszillator auch mit höherer Auflösung überwacht.Coarse monitored RC oscillator or monitored by an additional quartz oscillator with higher resolution.
Prinzipiell bleibt aber das Problem bestehen, dass durch die Makrotick- Versorgung und die ARM-Signale kleinere Uhrendrifts des lokalen Kommunikations-Controllers an den Bus-Guardian übertragen werden. Das bedeutet also, dass falls die Uhrenkorrektur des FlexRay-Kommunikations-Controllers gemäß der Protokollspezifikation v2.1 fehlerbehaftet arbeitet oder die Einstellung der Stell- Register zur Uhrenkorrektur fehlerhaft und unentdeckt sind, der lokale Kommunikations-Controller im Vergleich zum restlichen Kommunikationsnetzwerk driftet. Die Zeitschlitze zum Senden von Nachrichten (Sendeschlitze, Sendeslots) werden sich mit der Zeit in die Zeitschlitze der anderen Teilnehmer im Netzwerk verschieben, ohne dass der lokale Bus-Guardian diese Situation erfassen und entsprechende Gegenmaßnahmen einleiten kann. Dieser Problemfall tritt insbesondere bei FlexRay und TTCAN auf.In principle, however, there remains the problem that smaller clock drifts of the local communication controller are transmitted to the bus guardian by the macrotick supply and the ARM signals. This means that if the clock correction of the FlexRay communication controller according to the protocol specification v2.1 erroneous or undetected setting of the clock register correcting registers, drifts the local communication controller relative to the rest of the communication network. The time slots for sending messages (transmit slots, transmit slots) will shift over time into the time slots of the other participants in the network without the local bus guardian being able to detect this situation and initiate appropriate countermeasures. This problem occurs especially with FlexRay and TTCAN.
Ein anderer Problemfall betrifft die Offset- Korrektur der lokalen Zeiten der Teilnehmer, so dass die lokalen Zeiten synchron zu der globalen Zeit des Kommunikationssystems laufen. Eine Offset- Korrektur gibt es beispielsweise bei TTCAN, TTP/C, und FlexRay, wobei bei FlexRay die Offset- Korrekturphase während der sogenannten Network-Idle- Time (NIT) des lokalen Kommunikations-Controllers am Ende eines Kommunikationszyklus erfolgt. Die Korrektur des Offsets am Ende einer Kommunikationsrunde bzw. einer Doppelrunde verkürzt bzw. verlängert die lokale Runde innerhalb vorgegebener spezifizierter Grenzen. Die nächste Kommunikationsrunde beginnt aufgrund der Korrektur um einige sogenannte Mikroticks (μT) früher oder später. Der lokale Bus-Guardian muss diese Offset- Korrektur zulassen. Die Timerüberwachung muss dies akzeptieren. Allerdings besteht kein Bus- Guardian- Wissen bezüglich der Auswirkungen der Offset- Korrektur auf die nächste Kommunikationsrunde. Auch in diesem Fall kann es zum Überschneiden der Sende- Zeitschlitze der verschiedenen Teilnehmer kommen. Die Wahrscheinlichkeit einer Überschneidung erhöht sich mit zunehmender Rundenzahl.Another problem case concerns the offset correction of the local times of the subscribers so that the local times are synchronous with the global time of the communication system. Offset correction is available, for example, with TTCAN, TTP / C, and FlexRay, whereby in FlexRay the offset correction phase takes place during the so-called Network Idle Time (NIT) of the local communication controller at the end of a communication cycle. The correction of the offset at the end of a communication round or a double round shortens or lengthens the local round within specified specified limits. The next round of communication begins sooner or later due to the correction of a few so-called microticks (μT). The local bus guardian must allow this offset correction. The timer monitor must accept this. However, there is no Bus Guardian knowledge regarding the effects of offset correction on the next communication round. Also in this case, the transmission timeslots of the different subscribers may overlap. The likelihood of overlap increases as the number of laps increases.
In beiden genannten Problemfällen liegt eine permanente Störung vor. Spontane Fehler führen dagegen nicht zu dieser Situation, da das Kommunikationsprotokoll selbst geeignete Korrekturmaßnahmen umfasst bzw. Fehlerbehandlungsmaßnahmen vorsieht, um spontane Fehler zu erkennen, korrigieren und zu beheben.In both mentioned problem cases there is a permanent disturbance. On the other hand, spontaneous errors do not lead to this situation, since the communication protocol itself contains suitable corrective measures or provides error handling measures in order to recognize, correct and remedy spontaneous errors.
Das Bus-Guardian-Konzept gemäß der FlexRay-Protokollspezifikation v2.1 beruht auf der Annahme, dass die beschriebenen Fehlerfälle aufgrund permanenter Störungen nur mit geringer Wahrscheinlichkeit auftreten bzw. diese Störungen oder Fehler durch zusätzliche Maßnahmen im Teilnehmer-Host bzw. durch ergänzende Funktionalitäten erkannt werden können.The Bus Guardian concept according to the FlexRay protocol specification v2.1 is based on the assumption that the described error cases due to permanent disturbances occur only with low probability or these disturbances or errors Additional measures can be detected in the participant host or by additional functionalities.
Aus dem Stand der Technik sind des weiteren verschiedene Verfahren zur Überwachung von Steuergeräten (oder Prozessrechner) bekannt. Dies kann nach dem Stand der Technik durch eine sogenannte Frage- Antwort- Kommunikation auf Basis eines 1 1A- Rechner- Konzepts ausgeführt werden. In der DE 198 26 131 Al ist dieses Überwachungskonzept für eine Radeinheit eines Brake-by-Wire-Systems dargestellt. Dabei wird das eigentliche Steuergerät, das für die Ansteuerung der Aktuatorik (z.B. hydraulische Radbremsen) verantwortlich ist, von einer Überwachungskomponente überwacht und im Fehlerfall abgeschaltet. Die Überwachung des Steuergeräts basiert auf einer Frage- Antwort- Kommunikation, die einem festgelegten Protokoll folgt. Die Freigabe der Aktuatorik erfolgt ausschließlich bei erfolgreicher Frage-Antwort- Kommunikation, d.h. die von der Überwachungskomponente an das Steuergerät gestellte Frage wird von dem Steuergerät zum einen innerhalb eines vorgegebenen Zeitfensters und zum anderen richtig beantwortet und umgekehrt eine von dem Steuergerät gestellte Frage wird von der Überwachungskomponente innerhalb eines vorgegebenen Zeitfensters richtig beantwortet. Falls dem Steuergerät und der Überwachungskomponente Fragen gestellt werden, welche die gleiche richtige Antwort haben, erfolgt die Freigabe der Aktuatorik ausschließlich bei Übereinstimmung der Antwort des Steuergeräts mit der Antwort der Überwachungskomponente (1 1A- Rechner-Konzept). Das Prinzip der Freigabe basiert dabei auf einer elektrischen Schaltung, der sogenannten Freigabeschaltung (in dem aus der DE 198 26 131 Al bekannten Ausführungsbeispiel in Form einer U N D- Verknüpfung), die zwischen dem Steuergerät (dem Prozessrechner) und der Überwachungseinheit realisiert ist. Das bedeutet, dass beide Komponenten, d.h. das Steuergerät und die Überwachungskomponente, für eine normale Funktion der Aktuatorik eine logische "1" an die Freigabeschaltung anlegen müssen. Die Abschaltung der Akuatorik erfolgt, sobald ein Prozess in dem Steuergerät das Signal zur Abschaltung gibt. Die Überwachungskomponente wird nur dann das Signal zur Abschaltung geben, wenn die überwachte Komponente, d.h. das Steuergerät (der Prozessrechner), als fehlerhaft erkannt wurde. Die Frage- Antwort- Kommunikation ist ein gängiges Verfahren zur Überwachung von Steuergeräten in einem Kraftfahrzeug. Die unabhängige Überwachungseinheit (der sogenannte Überwachungsrechner) besitzt eine Liste an Fragen, die dem eigentlichen Prozessrechner (Steuergerät) vorzugsweise periodisch gestellt werden. Diese Fragen müssenFurthermore, various methods for monitoring control devices (or process computers) are known from the state of the art. This can be done in the prior art by a so-called question-answer communication based on a 1 1 A computer concept. In DE 198 26 131 Al this monitoring concept for a wheel unit of a brake-by-wire system is shown. In this case, the actual control unit which is responsible for the actuation of the actuator (eg hydraulic wheel brakes) is monitored by a monitoring component and switched off in the event of an error. Control of the controller is based on a question-answer communication that follows a specified protocol. The release of the actuator is carried out exclusively on successful question-answer communication, ie the question asked by the monitoring component to the control unit is answered correctly by the controller on the one hand within a given time window and on the other hand and asked a question asked by the control unit of the Surveillance component correctly answered within a given time window. If the control unit and the monitoring component are asked questions that have the same correct answer, the release of the actuator is done only if the response of the controller with the response of the monitoring component (1 1 A computer concept). The principle of release is based on an electrical circuit, the so-called release circuit (in the known from DE 198 26 131 Al embodiment in the form of a UN D link), which is implemented between the control unit (the process computer) and the monitoring unit. This means that both components, ie the control unit and the monitoring component, have to apply a logical "1" to the enable circuit for a normal function of the actuator system. The shutdown of the Akuatorik takes place as soon as a process in the control unit gives the signal for shutdown. The monitoring component will only signal the switch-off if the monitored component, ie the control unit (the process computer), has been detected as faulty. Question-answer communication is a common method for monitoring ECUs in a motor vehicle. The independent monitoring unit (the so-called monitoring computer) has a list of questions that are preferably provided periodically to the actual process computer (control unit). These questions need
a) innerhalb einer vorgegebenen, spezifizierten Zeit beantwortet werden und b) die Antwort muss in einer entsprechenden Antworttabelle des Überwachungsrechners als Antwort auf die zuvor gestellte Frage eingetragen sein.a) be answered within a given, specified time and b) the answer must be entered in a corresponding response table of the monitoring computer in response to the question previously asked.
Die Auswahl der Fragen aus der Liste kann nach einem Zufallsverfahren oder rein zyklisch erfolgen. Ein wichtiger Bestandteil der Frage- Antwort- Kommunikation sind die Timer (Zeitgeber) zum vorzugsweise periodischen Starten der Frage-Antwort- Kommunikation und zum Festlegen des für die Antworten erlaubten Zeitfensters. Das Zeitfenster beschreibt den Zeitraum zwischen dem frühest möglichen und dem spätest möglichen Eintreffen der Antwort.The selection of questions from the list can be random or purely cyclic. An important part of the question-answer communication are the timers for preferably periodically starting the question-answer communication and setting the time window allowed for the answers. The time window describes the period between the earliest possible and the latest possible arrival of the answer.
Ausgehend von dem beschriebenen Stand der Technik liegt der vorliegenden Erfindung die Aufgabe zugrunde, bekannte Bus-Guardian-Konzepte für Kommunikationssysteme dahingehend zu erweitern, dass auch permanente Störungen in den Teilnehmern bzw. in den Bus-Controllern der Teilnehmer erkannt und gegebenenfalls korrigiert oder behoben werden können.Based on the described prior art, the present invention has the object to extend known Bus Guardian concepts for communication systems to the effect that even permanent disturbances in the participants or in the bus controllers of the participants are detected and corrected or corrected if necessary can.
Zur Lösung dieser Aufgabe wird ausgehend von der lokalen Überwachungseinheit der eingangs genannten Art vorgeschlagen, dass die Überwachungseinheit Mittel zur Realisierung einer Frage- Antwort- Kommunikation mit dem Bus-Controller aufweist, und den Zugriff des Bus-Controllers auf den Datenbus nur dann freigibt, wenn die Frage- Antwort- Kommunikation ein ordnungsgemäßes Funktionieren des Bus-Controllers ergibt. Erfindungsgemäß wird also das von der Überwachung von Steuergeräten an sich bekannte Überwachungs- Konzept zur Durchführung einer Frage-Antwort- Kommunikation auf den Bus-Controller und die Überwachungseinheit der Teilnehmer eines Kommunikationssystems übertragen. Bei einem FlexRay- Kommunikationssystem wird das Überwachungs-Konzept also auf den FlexRay- Kommunikations-Controller und den FlexRay-Bus-Guardian übertragen. Selbstverständlich ist das vorgeschlagene Überwachungskonzept nicht auf den Einsatz in FlexRay-Kommunikationssystemen beschränkt, sondern kann in belieben Kommunikationssystemen eingesetzt werden, die über eine Überwachungseinheit (z.B. einen Bus-Guardian) zur Überwachung der Funktion eines Bus-Controllers verfügen. Die Überwachungseinheit muss mit Hilfe des Frage- Antwort- Konzepts mögliche Fehler im Bus-Controller, insbesondere aufgrund von permanenten Störungen in dem Bus- Controller, entdecken, die zu den eingangs beschriebenen Problemstellungen führen.To solve this problem is proposed starting from the local monitoring unit of the type mentioned that the monitoring unit has means for realizing a question-answer communication with the bus controller, and only releases the access of the bus controller to the data bus, if the question-answer communication results in the proper functioning of the bus controller. According to the invention, therefore, the monitoring concept known per se from the monitoring of control units is transmitted to the bus controller and the monitoring unit of the participants of a communication system for carrying out a question and answer communication. In a FlexRay communication system, the monitoring concept is therefore transferred to the FlexRay communication controller and the FlexRay bus guardian. Of course, the proposed monitoring concept is not limited to use in FlexRay communication systems, but can be used in any communication systems that have a monitoring unit (eg, a bus guardian) to monitor the function of a bus controller. The monitoring unit must use the question and answer concept to detect possible errors in the bus controller, in particular due to permanent disturbances in the bus controller, which lead to the problems described above.
Vorzugsweise berücksichtigt die Frage- Antwort- Kommunikation zwischen dem Bus- Controller und der Überwachungseinheit die folgenden Fehlermöglichkeiten:The question-answer communication between the bus controller and the monitoring unit preferably takes into account the following possible errors:
a) Input-Set für die Uhrensynchronisation prüfen b) korrekte Berechnung der Rate- Korrektur c) korrekte Anwendung der Rate- Korrektur d) korrekte Berechnung der Offset- Korrektur e) korrekte Anwendung der Offset- Korrektura) check clock synchronization input set b) correct rate correction calculation c) correct application of rate correction d) correct calculation of offset correction e) correct application of offset correction
Die Überwachungseinheit übernimmt dabei die Aufgabe eines Überwachungsrechners und stellt, vorzugsweise periodisch, Fragen an den ihr zugeordneten Bus-Controller, um dann den Eingang der richtigen Antwort innerhalb eines spezifizierten Zeitfensters zu überwachen. Für den Fall, dass das Zeitfenster nicht eingehalten wird oder eine falsche Antwort auf die Frage eintrifft, übernimmt die Überwachungseinheit die Abschaltung des Bus-Controllers bzw. verhindert das aktive Senden von Nachrichten durch den Bus-Controller. Die Reaktion der Überwachungseinheit auf eine fehlgeschlagene Frage- Antwort- Kommunikation kann entweder temporärer Natur sein (für einen oder mehrere Kommunikationszyklen), oder aber von dauerhafter Natur sein (bis zum Herunterfahren des Teilnehmers oder des gesamten Kommunikationssystems).The monitoring unit takes over the task of a monitoring computer and provides, preferably periodically, questions to its associated bus controller, to then monitor the receipt of the correct answer within a specified time window. In the event that the time window is not respected or an incorrect answer to the question arrives, the monitoring unit takes over the shutdown of the bus controller or prevents the active transmission of messages by the bus controller. The response of the monitoring unit to failed question-answer communication may be either temporary (for one or more communication cycles), or permanent in nature (until the subscriber or the entire communication system shuts down).
Die vorliegende Erfindung beseitigt die konzeptionellen Schwachstellen des bisher bekannten Überwachungs- Konzepts, insbesondere des bekannten Bus-Guardian- Konzepts in der FlexRay-Protokollspezifikation v2.1. Dabei ist eine kostenoptimierte Realisierung möglich, da nur notwendige Logik/Funktionalität die Überwachungseinheit erweitert, nämlich die Überwachungsfunktionalität der Frage- Antwort- Kommunikation. Die Integration des Konzepts in sogenannte Überwachungsrechner hat besondere Vorteile. Dadurch sind Kosteneinsparungen bei der Einführung neuerThe present invention eliminates the conceptual weaknesses of the hitherto known monitoring concept, in particular the known Bus Guardian concept in the FlexRay protocol specification v2.1. In this case, a cost-optimized implementation is possible because only necessary logic / functionality extends the monitoring unit, namely the monitoring functionality of the question-answer communication. The integration of the concept in so-called monitoring computers has particular advantages. This saves costs when introducing new ones
Kommunikationssystem-Technologien, beispielsweise der FlexRay-Technologie, mit der Forderung nach einer Überwachungseinheit (Bus-Guardian) werden ermöglicht. Es ist keine separate Überwachungseinheit (Bus-Guardian) notwendig, sondern die vorliegende Erfindung kann in das bestehende Überwachungsrechnerkonzept integriert werden.Communication system technologies, such as the FlexRay technology, with the requirement for a monitoring unit (bus guardian) are made possible. No separate monitoring unit (bus guardian) is necessary, but the present invention can be integrated into the existing monitoring computer concept.
Die vorliegende Erfindung hat besondere Vorteile für die Realisierung in einem FlexRay-Kommunikationssystem, wobei die Bus-Guardians und die Kommunikations- Controller der Teilnehmer eines FlexRay-Kommunikationssystems zur Durchführung der Frage- Antwort- Kommunikation ausgebildet sind. Zur Realisierung des Konzepts muss lediglich die Überwachungseinheit um eine Liste von Fragen und entsprechenden Antworten ergänzt werden. Die Überwachungseinheit wird um einen Mechanismus ergänzt, der das vorzugsweise periodische Fragen, das Setzen entsprechend der Zeitgeber (Timer) für das Zeitfenster, die Überwachung dieses Zeitfensters und die Überprüfung der Antwort ermöglicht. Schließlich hat die Überwachungseinheit einen Pin zur Freigabe des Bus-Controllers und zum Bedienen einer eventuell in dem Teilnehmer vorhandenen Freigabeschaltung. Bei dem vorgeschlagenen Konzept wird gezielt die Logik des Bus-Controllers getestet, die für die Berechnung der Uhrensynchronisationswerte (für eine Synchronisation der lokalen Zeitbasis des Teilnehmers auf die globale Zeitbasis des Kommunikationssystems) zuständig ist. Des Weiteren kann ein einfacher Read- Back- Mechanismus auf die relevanten Stell- Register für die Uhrensynchronisation durchgeführt werden. Hierzu ist eine erweiterte Schnittstelle zwischen der Überwachungseinheit und dem Bus-Controller vorgesehen. Das FlexRay-Protokoll beispielsweise schlägt derzeit den Austausch von Informationen über eine SPI (Serial Peripheral Interface)-Schnittstelle vor. Bei der SPI-Schnittstelle handelt es sich um einen einfachen synchronen, seriellen Datenbus. Diese Schnittstelle wäre auch ausreichend für die Frage-Antwort-Kommunikation gemäß der vorliegenden Erfindung. Die bisherige Funktionalität der Überwachungseinheit, beispielsweise die Funktionalität des Bus-Guardian gemäß FlexRay- Protokollspezifikation v2.1, kann vollständig erhalten bleiben.The present invention has particular advantages for implementation in a FlexRay communication system, wherein the bus guardians and the communication controllers of the users of a FlexRay communication system are designed to perform the question-answer communication. To realize the concept, only the monitoring unit needs to be supplemented with a list of questions and corresponding answers. The monitoring unit is supplemented by a mechanism which allows for preferably periodic questions, setting according to the timers for the time window, monitoring this time window and checking the response. Finally, the monitoring unit has a pin for releasing the bus controller and for operating an optionally present in the participant release circuit. The proposed concept deliberately tests the logic of the bus controller responsible for calculating the clock synchronization values (for synchronization of the subscriber's local time base to the global time base of the communication system). Furthermore, a simple read-back mechanism can be performed on the relevant clock registers for clock synchronization. This is an advanced Interface between the monitoring unit and the bus controller provided. For example, the FlexRay protocol currently proposes the exchange of information via an SPI (Serial Peripheral Interface) interface. The SPI interface is a simple synchronous serial data bus. This interface would also be sufficient for the question-and-answer communication according to the present invention. The previous functionality of the monitoring unit, for example the functionality of the bus guardian according to FlexRay protocol specification v2.1, can be completely retained.
Um das Input-Set für die Uhrensynchronisation des Teilnehmers zu prüfen, wird erfindungsgemäß vorgeschlagen, dass die Überwachungseinheit um eine Logik erweitert wird, die gezielt das Input-Set des Bus-Controllers für die Uhrensynchronisation überprüft. Ziel ist es, die Qualität der Uhrensynchronisation hoch zu halten und Fehler aufgrund von permanenten Störungen zu detektieren und ggf. zu unterbinden. Gelingt dies nicht, sollte der Teilnehmer bzw. der Bus-Controller oder der Bus-Treiber in einen Fail-Silent-Mode gesetzt werden, um das Senden des Bus- Controllers zu vermeiden bzw. eine eventuell vorhandene Freigabeschaltung für den Bus-Controller zu sperren. Hierzu wird die Überwachungseinheit über eine Schnittstelle zum Bus-Controller mit Informationen bezüglich der Synchronisationsnachrichten (Sync- Frames; Datenrahmen zur Synchronisation der lokalen Zeitbasis) versorgt, welche die Grundlage für die Uhrensynchronisation in dem Bus-Controller bilden. Der Überwachungseinheit werden also Informationen zur Verfügung gestellt, welche der Sync-Frames von dem lokalen Bus-Controller empfangen, dekodiert und für die Berechnung von Korrekturwerten (für die lokale Zeitbasis) herangezogen wurden. Hierzu kann in dem Bus-Controller eine Liste mit Informationen bezüglich derTo check the input set for the clock synchronization of the subscriber, the invention proposes that the monitoring unit is extended by a logic that specifically checks the input set of the bus controller for the clock synchronization. The aim is to keep the quality of the clock synchronization high and to detect and, if necessary, prevent faults due to permanent faults. If this is not successful, the user or the bus controller or the bus driver should be set to a fail-silent mode in order to avoid the transmission of the bus controller or to block any available enable circuit for the bus controller , For this purpose, the monitoring unit is supplied via an interface to the bus controller with information regarding the synchronization messages (sync frames, data frame for synchronization of the local time base), which form the basis for the clock synchronization in the bus controller. The monitoring unit is thus provided with information which of the sync frames were received by the local bus controller, decoded and used for the calculation of correction values (for the local time base). For this purpose, in the bus controller, a list with information regarding the
Synchronisationsnachrichten angelegt werden, wie dies beispielsweise in der FlexRay- Protokollspezifikation v2.1 vorgeschlagen ist. Diese Liste kann nun im Rahmen der Frage- Antwort- Kommunikation folgenden Prüfungen unterzogen werden:Synchronization messages are created, as proposed for example in the FlexRay protocol specification v2.1. This list can now be subjected to the following checks as part of the question-answer communication:
a) Es kann eine Mehrheitsentscheidung über die Anzahl der vorliegenden Sync- Frames ausgeführt werden. Falls eine kritische Anzahl an Sync-Frames unterschritten wird, besteht die Gefahr, dass die nachfolgenden Berechnungen der Korrekturwerte auf Grundlage einer ungenauen lokalen Zeitbasis erfolgten und damit zu falschen Ergebnissen führen. Die Grenze der minimal zulässigen Anzahl an Sync- Frames ist vorzugsweise an die Einstellungen des Bus- Controllers angepasst. Eine entsprechende Überprüfung der Anzahl der vorliegenden Sync-Frames kann auch in dem Bus-Controller ausgeführt werden. Durch die redundante Ausführung der Überprüfung der Anzahl der vorliegenden Sync-Frames durch die Überwachungseinheit kann eine Konsistenzprüfung ausgeführt werden. Falls unterschiedliche Ergebnisse vorliegen, sollte die Überwachungseinheit des Senden von Nachrichten durch den lokalen Bus-Controller vermeiden bzw. eine eventuell vorhandenea) A majority vote can be taken on the number of available sync frames. If a critical number of sync frames is undershot, there is a risk that the following calculations the correction values were based on an inaccurate local time base and therefore lead to incorrect results. The limit of the minimum permissible number of sync frames is preferably adapted to the settings of the bus controller. A corresponding check of the number of available sync frames can also be carried out in the bus controller. Through the redundant execution of the verification of the number of existing sync frames by the monitoring unit, a consistency check can be performed. If there are different results, the monitoring unit should avoid sending messages by the local bus controller or any existing ones
Freigabeschaltung sperren.Lock enable circuit.
b) Falls Informationen in dem Kommunikationssystem über zwei separate Kanäle redundant übertragen werden, kann auch die Anzahl und die Identifikation der Synchronisationsnachrichten (Sync-Frames) beider Kanäle verglichen werden.b) If information in the communication system is transmitted redundantly via two separate channels, the number and the identification of the synchronization messages (sync frames) of both channels can also be compared.
Diese Informationen stehen ebenfalls in dem Bus-Controller zur Verfügung (vergleiche beispielsweise FlexRay-Protokollspezifikation v2.1). Falls unterschiedliche Ergebnisse vorliegen, muss die Überwachungseinheit das Senden von Nachrichten durch den lokalen Bus-Controller vermeiden bzw. eine eventuell vorhandene Freigabeschaltung sperren.This information is also available in the bus controller (compare, for example, FlexRay protocol specification v2.1). If different results are obtained, the monitoring unit must avoid the transmission of messages by the local bus controller or block any existing enable circuit.
Eine durch einen Bus-Controller berechnete, fehlerhafte Rate- Korrektur für die globale Zeitbasis des Kommunikationssystems, welche dann die lokale Zeitbasis des Teilnehmers bzw. Bus-Controllers ergibt, kann verschiedene Ursachen haben. Die fehlerhafte Berechnung kann sich aufgrund eines inkorrekten Input-Sets oder aufgrund eines Fehlers in einer Berechnungs-Logik des Bus-Controllers ergeben. Zum Überprüfen eines ordnungsgemäßen Funktionierens der Berechnungs-Logik werden verschiedene Möglichkeiten vorgeschlagen:A fault rate correction for the global time base of the communication system calculated by a bus controller, which then results in the local time base of the subscriber or bus controller, can have various causes. The erroneous calculation may result from an incorrect input set or due to an error in a calculation logic of the bus controller. To verify the proper functioning of the calculation logic, several possibilities are suggested:
a) In der Überwachungseinheit wird die Berechnung der Rate- Korrektur in gleicher Weise vollzogen wie in dem Bus-Controller, d.h. in der Überwachungseinheit gibt es eine identische Umsetzung des Mechanismus des Bus-Controllers zur Berechnung der Rate- Korrektur. Die Werte des Input-Sets liegen in der oben beschriebenen Weise in der Überwachungseinheit vor. Die Berechnungsergebnisse liegen auch in dem Bus-Controller vor und können mit den Ergebnissen der Überwachungseinheit abgeglichen werden. Hierzu ist zusätzliche Kommunikation über eine Schnittstelle zwischen dera) In the monitoring unit, the calculation of the rate correction is performed in the same way as in the bus controller, ie in the monitoring unit, there is an identical implementation of the mechanism of the bus controller for Calculation of rate correction. The values of the input set are present in the monitoring unit in the manner described above. The calculation results are also available in the bus controller and can be compared with the results of the monitoring unit. This is additional communication via an interface between the
Überwachungseinheit und dem Bus-Controller notwendig. Falls unterschiedliche Ergebnisse vorliegen, muss die Überwachungseinheit das Senden von Nachrichten durch den lokalen Bus-Controller vermeiden bzw. eine eventuell vorhandene Freigabeschaltung sperren.Monitoring unit and the bus controller necessary. If different results are obtained, the monitoring unit must avoid the transmission of messages by the local bus controller or block any existing enable circuit.
b) Die Überwachungseinheit kann auch gezielte Fragen an die Berechnungs-Logik des Bus-Controllers stellen, die für die Berechnung der Rate- Korrektur- Werte zuständig ist. Die Berechnungslogik muss eine Antwort an die Überwachungseinheit zurückliefern. Die geforderte Antwort hat innerhalb eines festgelegten Zeitfensters zu erfolgen. Die Überwachungseinheit vergleicht dasb) The monitoring unit can also ask specific questions to the calculation logic of the bus controller, which is responsible for the calculation of the rate correction values. The calculation logic must return a response to the monitoring unit. The required response must be made within a specified time window. The monitoring unit compares this
Ergebnis mit der entsprechenden lokal abgespeicherten Antwort auf die Frage. Damit wird die korrekte Funktion der Berechnungs-Logik für die Rate- Korrektur des Bus-Controllers vorzugsweise periodisch überprüft. Permanente Störungen und die daraus resultierenden Fehler können so festgestellt werden. In diesem Fall muss die Überwachungseinheit das Senden von Nachrichten durch den lokalen Bus-Controller vermeiden bzw. eine Freigabeschaltung entsprechend sperren.Result with the corresponding locally stored answer to the question. Thus, the correct function of the calculation logic for the rate correction of the bus controller is preferably checked periodically. Permanent disturbances and the resulting errors can thus be determined. In this case, the monitoring unit must avoid the transmission of messages by the local bus controller or disable an enable circuit accordingly.
Die Ursache für eine falsche Anwendung eines korrekt berechneten Wertes für die Rate- Korrektur für die globale Zeitbasis durch den Bus-Controller kann verschiedene Ursachen haben. Zum Einen kann es an Fehlern in der Logik zur Makrotick (MT)- Generierung und zum Anderen in Fehlern eines Speicherelements, beispielsweise eines Speicherregisters, für den Korrekturwert liegen, so dass ein falscher Korrekturwert in der Makrotick-Generierung verwendet wird. Erfindungsgemäß werden folgende Mechanismen vorgeschlagen: a) Die Überwachungseinheit erhält einen Wert für die Rate- Korrektur von dem Bus-Controller über die Schnittstelle mitgeteilt und vergleicht den Wert mit dem entsprechenden Speicherwert in einem Stellregister des Bus-Controllers. Falls unterschiedliche Ergebnisse vorliegen, muss die Überwachungseinheit das Senden von Nachrichten durch den lokalen Bus-Controller vermeiden bzw. dieThe reason for incorrect application of a correctly calculated value for the global time base rate correction by the bus controller may be due to several causes. On the one hand there can be errors in the logic for macrotick (MT) generation and on the other hand errors in a memory element, for example a memory register, for the correction value, so that an incorrect correction value is used in the macrotick generation. According to the invention, the following mechanisms are proposed: a) The monitoring unit receives a value for the rate correction communicated from the bus controller via the interface and compares the value with the corresponding memory value in a control register of the bus controller. If there are different results, the monitoring unit must avoid the transmission of messages by the local bus controller
Freigabeschaltung sperren.Lock enable circuit.
b) Die Überwachungseinheit kann gezielte Fragen an die Logik des Bus- Controllers stellen, die für die Makrotick-Generierung zuständig ist. Die Logik muss eine Antwort an die Überwachungseinheit zurückliefern. Die geforderteb) The monitoring unit can ask specific questions to the logic of the bus controller, which is responsible for the macrotick generation. The logic must return a response to the monitoring unit. The required
Antwort muss innerhalb eines festgelegten Zeitfensters erfolgen. Die Überwachungseinheit vergleicht das Ergebnis mit einer entsprechenden lokal abgespeicherten Antwort auf diese Frage. Damit wird die korrekte Funktion der Makrotick-Generierungs-Logik vorzugsweise periodisch überprüft. Permanente Störungen und die daraus resultierenden Fehler können festgestellt werden. In diesem Fall muss die Überwachungseinheit das Senden von Nachrichten durch den lokalen Bus-Controller vermeiden bzw. eine eventuell vorhandene Freigabeschaltung sperren.Answer must be within a specified time window. The monitoring unit compares the result with a corresponding locally stored answer to this question. Thus, the correct function of the macrotick generation logic is preferably periodically checked. Permanent disturbances and the resulting errors can be detected. In this case, the monitoring unit must avoid the transmission of messages by the local bus controller or block any existing enable circuit.
c) Die Überwachungseinheit erhält am Ende einer Kommunikationsrunde von dem Bus-Controller die Anzahl der Mikroticks (μT) pro Runde bzw. die Anzahl der Mikroticks (μT) pro Makrotick (MT) mitgeteilt. Die Information wird über die Schnittstelle zwischen dem Bus-Controller und der Überwachungseinheit ausgetauscht. Die Informationen werden von Runde zu Runde ausgetauscht und abgeglichen. Für den Vergleich durch die Überwachungseinheit sindc) At the end of a communication cycle, the monitoring unit receives the number of microticks (μT) per round or the number of microticks (μT) per macrotick (MT) from the bus controller. The information is exchanged via the interface between the bus controller and the monitoring unit. The information is exchanged and adjusted from round to round. For comparison by the monitoring unit are
Grenzen festzulegen, d.h. ein zulässiger Drift in Mikrotick pro Runde bzw. Mikrotick pro Makrotick spezifiziert. Überschreitet bzw. unterschreitet der Vergleich eine festgesetzte Ober- bzw. Untergrenze, kann die Überwachungseinheit das Senden von Nachrichten durch den lokalen Bus- Controller vermeiden bzw. eine eventuell vorhandene Freigabeschaltung sperren. Der Bus-Controller kann aufgrund eine fehlerhaften Input-Sets oder aufgrund eines Fehlers in der Berechnungs-Logik des Bus-Controllers eine fehlerhafte Offset- Korrektur für die globale Zeitbasis des Kommunikationssystems, auf welche die lokale Zeitbasis des Teilnehmers synchronisiert wird. Zur Detektion eines fehlerhaften Input-Sets wurden bereits oben mehrere Vorschläge gemacht. Zur Detektion eines Fehlers in der Berechnungs-Logik für die Offset- Korrektur werden folgende Mechanismen vorgeschlagen:Specify limits, ie a permissible drift in microtick per round or microtick per macrotick specified. If the comparison exceeds or falls below a fixed upper or lower limit, the monitoring unit can avoid the transmission of messages by the local bus controller or block any existing enable circuit. The bus controller may erroneous in the computation logic of the bus controller due to erroneous input sets or incorrect offset correction for the global time base of the communication system to which the local time base of the subscriber is synchronized. For the detection of a faulty input set, several suggestions have already been made above. The following mechanisms are proposed for detecting an error in the offset correction calculation logic:
a) In der Überwachungseinheit wird die Offset- Korrektur aus dem Bus-Controller nachvollzogen. Beispielsweise ist in der Überwachungseinheit eine 1:1-a) In the monitoring unit, the offset correction from the bus controller is traced. For example, in the monitoring unit, a 1: 1
Umsetzung des Mechanismus aus dem Bus-Controller ausgebildet. Die Werte des Input-Sets liegen - wie bereits oben beschrieben - in der Überwachungseinheit vor. Die Berechnungsergebnisse der Offset- Korrektur liegen auch in dem Bus-Controller vor und können mit dem Ergebnissen der Überwachungseinheit verglichen werden. Hierzu ist zusätzliche Kommunikation über die Schnittstelle zwischen der Überwachungseinheit und dem Bus- Controller notwendig. Falls unterschiedliche Ergebnisse vorliegen, muss die Überwachungseinheit das Senden von Nachrichten durch den lokalen Bus- Controller vermeiden bzw. eine eventuell vorhandene Freigabeschaltung sperren.Implementation of the mechanism formed from the bus controller. The values of the input set are present in the monitoring unit as described above. The calculation results of the offset correction are also present in the bus controller and can be compared with the results of the monitoring unit. This requires additional communication via the interface between the monitoring unit and the bus controller. If different results are obtained, the monitoring unit must avoid the transmission of messages by the local bus controller or block any existing enable circuit.
b) Die Überwachungseinheit stellt gezielte Fragen an die Logik des Bus- Controllers, die für die Berechnung der Offset- Korrektur- Werte zuständig ist. Die Berechnungslogik muss eine Antwort an die Überwachungseinheit zurückliefern. Die geforderte Antwort hat innerhalb festgelegter Zeitfenster zu erfolgen. Dieb) The monitoring unit asks specific questions to the logic of the bus controller, which is responsible for calculating the offset correction values. The calculation logic must return a response to the monitoring unit. The required response must be made within specified time windows. The
Überwachungseinheit vergleicht das Ergebnis mit ihren lokal abgespeicherten Antworten. Insbesondere wird überprüft, ob die Antwort des Bus-Controllers die richtige Antwort auf die gestellte Frage ist. Damit wird die korrekte Funktion der Berechnungs-Logik vorzugsweise periodisch überprüft. Permanente Störungen und die daraus resultierenden Fehler werden detektiert. In diesem Fall muss dieMonitoring unit compares the result with their locally stored answers. In particular, it is checked whether the response of the bus controller is the correct answer to the question asked. Thus, the correct function of the calculation logic is preferably checked periodically. Permanent disturbances and the resulting errors are detected. In this case, the
Überwachungseinheit das Senden von Nachrichten durch den lokalen Bus- Controller vermeiden bzw. eine eventuell vorhandene Freigabeschaltung sperren.Monitoring unit sending messages through the local bus Avoid controller or block any existing enable circuit.
Die Ursache, dass der Bus-Controller eine korrekt errechnete Offset- Korrektur für die globale Zeitbasis nicht richtig anwendet, kann in der Logik der Offset-Anwendung oder in einem Speicherelement, beispielsweise einem Speicherregister, für den Korrekturwert liegen. Dies führt auf jeden Fall dazu, dass ein falscher Korrekturwert für die Offset- Korrektur verwendet wird.The cause of the bus controller not correctly applying a correctly calculated global time base offset correction may be in the logic of the offset application or in a memory element, such as a memory register, for the correction value. In any case, this will cause an incorrect correction value to be used for the offset correction.
Zur Überprüfung der korrekten Anwendung der Offset- Korrektur werden verschiedene Mechanismen vorgeschlagen:Various mechanisms are proposed for checking the correct application of the offset correction:
a) Die Überwachungseinheit erhält den Offset- Korrekturwert von dem Bus- Controller über die Schnittstelle mitgeteilt und vergleicht den Korrekturwert mit dem Speicherwert in einem Stellregister des Bus-Controllers. Falls unterschiedliche Ergebnisse vorliegen, muss die Überwachungseinheit das Senden von Nachrichten durch den lokalen Bus-Controller vermeiden bzw. eine eventuell vorhandene Freigabeschaltung sperren.a) The monitoring unit receives the offset correction value from the bus controller via the interface and compares the correction value with the memory value in a control register of the bus controller. If different results are obtained, the monitoring unit must avoid the transmission of messages by the local bus controller or block any existing enable circuit.
b) Die Überwachungseinheit stellt gezielte Fragen an die Logik des Bus- Controllers, die für die Offset-Anwendung, bei FlexRay beispielsweise während der Network-Idle-Time (NIT), zuständig ist. Die Logik muss eine Antwort an die Überwachungseinheit zurückliefern. Die geforderte Antwort muss innerhalb festgelegter Zeitfenster erfolgen. Die Überwachungseinheit vergleicht das Ergebnis mit ihren lokal abgespeicherten Antworten, insbesondere prüft sie, ob es sich um die richtige Antwort auf die gestellte Frage handelt. Damit wird die korrekte Funktion der Offset-Anwendung vorzugsweise periodisch überprüft. Permanente Störungen und die daraus resultierenden Fehler werden detektiert. In diesem Fall muss die Überwachungseinheit das Senden von Nachrichten durch den lokalen Bus-Controller vermeiden bzw. eine eventuell vorhandeneb) The monitoring unit asks specific questions to the logic of the bus controller, which is responsible for the offset application, for FlexRay, for example, during network idle time (NIT). The logic must return a response to the monitoring unit. The required answer must be made within specified time windows. The monitoring unit compares the result with its locally stored answers, in particular it checks whether it is the correct answer to the question asked. Thus, the correct function of the offset application is preferably checked periodically. Permanent disturbances and the resulting errors are detected. In this case, the monitoring unit must avoid the transmission of messages by the local bus controller or any existing ones
Freigabeschaltung sperren. c) Die Überwachungseinheit vergleicht einen Microtick- Zähler (μT-Counter) des Bus-Controllers vor der Off set- Korrektur mit dem Mikrotick-Zähler nach der Offset- Korrektur. Diese Microtick-Zähler werden über die Schnittstelle zwischen dem Bus-Controller und der Überwachungseinheit ausgetauscht. Die Differenz des Microtick-Zählers vor und nach der Offset- Korrektur muss innerhalb vorab festgelegter Bereiche liegen. Werden diese Bereiche überschritten und werden keine Werte geliefert, muss die Überwachungseinheit das Senden von Nachrichten durch den lokalen Bus-Controller vermeiden bzw. eventuell vorhandene Freigabeschaltungen sperren.Lock enable circuit. c) The monitoring unit compares a microtick counter (μT counter) of the bus controller before the offset correction with the microtick counter after the offset correction. These microtick counters are exchanged via the interface between the bus controller and the monitoring unit. The difference of the microtick counter before and after the offset correction must be within predefined ranges. If these ranges are exceeded and no values are supplied, the monitoring unit must avoid the transmission of messages by the local bus controller or block any enable circuits that may be present.
Bevorzugte Ausführungsbeispiele der vorliegenden Erfindung können den Unteransprüchen entnommen werden. Bevorzugte Ausführungsbeispiele der Erfindung und weitere Vorteile der Erfindung werden anliegend anhand der Figuren näher erläutert. Es zeigen:Preferred embodiments of the present invention can be taken from the subclaims. Preferred embodiments of the invention and further advantages of the invention will be explained in more detail with reference to the figures. Show it:
Figur 1 ein erfindungsgemäßes Kommunikationssystem gemäß einer bevorzugten Ausführungsform;1 shows a communication system according to the invention according to a preferred embodiment;
Figur 2 ein aus dem Stand der Technik bekannter Teilnehmer eines Kommunikations-Systems; undFIG. 2 shows a subscriber of a communication system known from the prior art; and
Figur 3 einen erfindungsgemäßen Teilnehmer des FlexRay-FIG. 3 shows a subscriber according to the invention of the FlexRay
Kommunikationssystems aus Figur 1.Communication system of Figure 1.
Beschreibung der AusführungsbeispieleDescription of the embodiments
Die vorliegende Erfindung wird nachfolgend beispielhaft anhand eines FlexRay- Kommunikationssystems erläutert. Selbstverständlich kann die vorliegende Erfindung jedoch auch in anderen Kommunikationssystemen eingesetzt werden, bei denen bereits jetzt schon andere Bus-Guardian-Konzepte zum Einsatz kommen, oder bei denen das erfindungsgemäße Bus-Guardian-Konzept sinnvoll erscheint und/oder Vorteile bringen würde. In Figur 1 ist eine vereinfachte Topologie eines FlexRay-Kommunikationssystems in seiner Gesamtheit mit dem Bezugszeichen 1 bezeichnet. Das Kommunikationssystem umfasst eine physikalische Schicht, die in dem vorliegenden Fall als ein Datenbus 2 mit zwei elektrisch leitfähigen Leitungen ausgebildet ist. Selbstverständlich kann die physikalische Schicht auch durch optische Lichtwellenleiter oder mittels Funkstrecken realisiert werden. Ebenso ist es denkbar, nicht zwei separate Übertragungskanäle, sondern lediglich einen Kanal vorzusehen. An den Datenbus 2 sind mehrere Teilnehmer 3 angeschlossen, die auch als Steuergeräte oder Hosts bezeichnet werden. Streng genommen umfasst der Host jedoch noch einen Mikrocontroller, der in Figur 1 mit dem Bezugszeichen 4 bezeichnet ist. Somit bilden der Teilnehmer 3 und der Mikrocontroller 4 gemeinsam den eigentlichen Host 5.The present invention will be explained below by way of example with reference to a FlexRay communication system. Of course, however, the present invention can also be used in other communication systems in which already other bus guardian concepts are already being used, or in which the inventive bus guardian concept would make sense and / or would bring benefits. In FIG. 1, a simplified topology of a FlexRay communication system is indicated in its entirety by the reference numeral 1. The communication system comprises a physical layer, which in the present case is designed as a data bus 2 with two electrically conductive lines. Of course, the physical layer can also be realized by optical waveguides or by radio links. Likewise, it is conceivable not to provide two separate transmission channels, but only one channel. Connected to the data bus 2 are a plurality of subscribers 3, which are also referred to as controllers or hosts. Strictly speaking, however, the host also comprises a microcontroller, which is denoted by reference numeral 4 in FIG. Thus, the subscriber 3 and the microcontroller 4 together form the actual host 5.
Die Teilnehmer 3 des Kommunikationssystems umfassen jeweils einen Kommunikations-Controller 6, der über den Datenbus 2 zu übertragenden Informationen 7 von dem Mikrocontroller 4 empfängt und gemäß der in dem Kommunikationssystem 1 verwendeten Protokollspezifikation, in dem dargestellten Beispiel gemäß der FlexRay-Protokollspezifikation v2.1, in das richtige Datenformat zur Übertragung über den Datenbus 2 bringt. Die Informationen 7 in dem richtigen Datenformat werden an den Bus-Treiber 8 des Teilnehmers 3 übertragen, der sie in eine für die Übertragung über den Datenbus erforderliche Form, ebenfalls gemäß der verwendeten Protokoll-Spezifikation, bringt.The subscribers 3 of the communication system each comprise a communication controller 6, which receives data 7 to be transmitted via the data bus 2 from the microcontroller 4 and according to the protocol specification used in the communication system 1, in the illustrated example according to the FlexRay protocol specification v2.1, into the correct data format for transmission over the data bus 2 brings. The information 7 in the correct data format is transmitted to the bus driver 8 of the subscriber 3, which places it in a form required for transmission over the data bus, also in accordance with the protocol specification used.
Um beispielsweise in sicherheitsrelevanten Applikationen des Kommunikationssystems 1 ein blockierendes Datenbusses 2 durch einen defekten, ständig sendendenFor example, in security-relevant applications of the communication system 1 a blocking data bus 2 by a defective, constantly sending
Teilnehmer 3 zu verhindern, sind in den Teilnehmern 3 Buswächter 9 (Bus-Guardian) vorgesehen, welche die Zugriffsberechtigung der Bus-Treiber 8 überwachen und steuern. Die Bus-Treiber 8 können nur dann Informationen oder Datenpakete an den Datenbus 2 anlegen, wenn sie von dem zugehörigen Bus-Guardian 9 ein entsprechendes Enable-Signal 10 erhalten. Das FlexRay-Kommunikationssystem 1 aus Figur 1 hat eine besonders einfache Topologie. Selbstverständlich kann die Topologie des Datenbusses 2 auch ringförmig oder sternförmig ausgebildet sein. Ebenso ist es denkbar, zur Übertragung der Datenpakete über größere Strecken Verstärkerelemente, beispielsweise einen Active- Star, in der Datenbus-Struktur 2 anzuordnen.To prevent subscriber 3, 3 bus guards 9 (Bus Guardian) are provided in the participants, which monitor and control the access authorization of the bus driver 8. The bus drivers 8 can only apply information or data packets to the data bus 2 if they receive a corresponding enable signal 10 from the associated bus guardian 9. The FlexRay communication system 1 from FIG. 1 has a particularly simple topology. Of course, the topology of the data bus 2 may also be annular or star-shaped. Likewise, it is conceivable to arrange amplifier elements, for example an active star, in the data bus structure 2 for transmission of the data packets over relatively long distances.
In Figur 2 ist ein aus dem Stand der Technik bekannter FlexRay-Teilnehmer 3 mit einem bekannten Bus-Guardian-Konzept dargestellt. Das in der FlexRay- Protokollspezifikation v2.1 beschriebene Konzept ist bezüglich der zeitlichen Überwachung des Kommunikationsprotokolls bzw. des Kommunikations-Controllers 6 eingeschränkt. Bei dem bekannten Überwachungs-Konzept taktet ein Makrotick (MT) 13 des lokalen Kommunikations-Controllers 6 seinen lokalen Bus-Guardian 9. Der Zeitschlitz mit Sendeaktivität wird zusätzlich durch ein ARM-Signal 14 des Kommunikations-Controllers 6 angezeigt. Die zeitlichen Abfolgen (das sogenannte Timing) des zu überwachenden FlexRay-Kommunikations-Controllers 6 wird lediglich durch einen RC-Oszillator 15 grob überwacht bzw. durch einen zusätzlichen Quarz- Oszillator (nicht dargestellt) auch mit höherer Auflösung überwacht.FIG. 2 shows a FlexRay subscriber 3 known from the prior art with a known Bus Guardian concept. The concept described in the FlexRay Protocol Specification v2.1 is limited with regard to the time monitoring of the communication protocol or the communication controller 6. In the known monitoring concept, a macrotick (MT) 13 of the local communication controller 6 clocks its local bus guardian 9. The time slot with transmission activity is additionally indicated by an ARM signal 14 of the communication controller 6. The time sequences (the so-called timing) of the monitored FlexRay communication controller 6 is roughly monitored only by an RC oscillator 15 or monitored by an additional quartz oscillator (not shown) with a higher resolution.
Bei dem Teilnehmer 3 mit dem bekannten Überwachungs-Konzept leitet der Bus- Guardian 9 also seine Zeitbasis von dem korrigierten Makrotick-Signal 13 ab, das er von dem Kommunikations-Controller 6 erhält. Das ARM-Signal 14 dient zur Synchronisation des Beginns eines Kommunikationszyklus bzw. der Sendeschlitze des Kommunikationszyklus. Der RC-Oszillator 15 erlaubt eine grobe Überwachung des Makrotick-Signals 13, so dass Abweichungen erst oberhalb von 20 bis 30 % des Signals als solche erkannt werden.In the subscriber 3 with the known monitoring concept, the bus guardian 9 thus derives its time base from the corrected macrotick signal 13, which it receives from the communication controller 6. The ARM signal 14 is used to synchronize the beginning of a communication cycle or the transmission slots of the communication cycle. The RC oscillator 15 allows a rough monitoring of the macrotick signal 13, so that deviations are recognized as such only above 20 to 30% of the signal.
Somit ist die Zeitbasis des Bus-Guardian 9 nicht unabhängig von der Zeitbasis des Kommunikations-Controllers 6, sondern abhängig von dem Makrotick (MT)-Signal 13. Durch die Überwachung dieses Signals 13 mittels der Signale des RC-Oszillators 15 kann eine vollständige Unabhängigkeit von der Zeitbasis des Kommunikations- Controllers 6 nicht erzielt werden. Der Kommunikations-Controller 6 empfängt zu überragende Daten von dem Hostrechner (Mikrocontroller) 4. Der Controller 6 bringt die Daten in das gemäß FlexRay-Protokollspezifikation vorgeschriebene Datenformat. Insbesondere werden die Daten in ein Nutzdaten-Segment (sog. Payload Segment) eines Datenrahmens (FlexRay-Frame) eingebracht. Die über den Datenbus 2 zu übertragenden formatierten Daten sind in Figur 2 mit dem Bezugszeichen 16 bezeichnet. Die Daten 16 werden an den Bus-Treiber 8 übermittelt, der sie in ein für die Datenübertragung geeignetes Format bringt. Der Bus-Treiber 8 legt die zu übertragenden Daten 16 dann zum Übertragungszeitpunkt an den Datenbus 2 an. Die Tätigkeit des Bus-Treibers 8 wird durch den Bus-Guardian 9 so weit überwacht und/oder gesteuert, dass der Bus-Treiber 8 die Daten 16 nur dann an den Datenbus 2 anlegen kann, wenn der Bus-Guardian 9 die Zugriffsberechtigung des Bus-Treibers 8 bestätigt und ein Enable-Signal 17 an den Bus-Treiber 8 anlegt.Thus, the time base of the bus guardian 9 is not independent of the time base of the communication controller 6, but depending on the macrotick (MT) signal 13. By monitoring this signal 13 by means of the signals of the RC oscillator 15, a complete independence from the time base of the communication controller 6 can not be achieved. The communication controller 6 receives data to be distinguished from the host computer (microcontroller) 4. The controller 6 brings the data into the data format prescribed according to the FlexRay protocol specification. In particular, the data is introduced into a payload segment (so-called payload segment) of a data frame (FlexRay frame). The formatted data to be transmitted via the data bus 2 are designated by the reference numeral 16 in FIG. The data 16 is transmitted to the bus driver 8, which brings it into a format suitable for data transmission. The bus driver 8 then applies the data 16 to be transmitted to the data bus 2 at the time of transmission. The activity of the bus driver 8 is monitored and / or controlled so far by the bus guardian 9 that the bus driver 8 can only apply the data 16 to the data bus 2 if the bus guardian 9 has the access authorization of the bus Driver 8 and an enable signal 17 to the bus driver 8 applies.
Das bekannte Überwachungs- Konzept hat insbesondere in den Fällen Schwächen, in denen permanente Störungen vorliegen, die aufgrund von Fehlern oder Ungenauigkeiten in dem Kommunikations-Controller 6 zu einer schleichenden Verschiebung der Sende-Zeitschlitze des Teilnehmers 3 in die gemäß Kommunikations-Schedule anderen Sendezeitschlitze der übrigen Teilnehmer 3 des Kommunikationszyklus. So besteht beispielsweise ein Problem, dass durch dieThe known monitoring concept has particular weaknesses in cases where there are permanent disturbances due to errors or inaccuracies in the communication controller 6 to a creeping shift of the transmission timeslots of the subscriber 3 in the other transmission time slots according to the communication schedule remaining participants 3 of the communication cycle. For example, there is a problem that the
Makrotick-Versorgung 13 und die ARM-Signale 14 minimale Uhrendrifts des lokalen Kommunikations-Controllers 6 an den Bus-Guardian 9 übertragen werden können. Falls also die Uhrenkorrektur des FlexRay-Kommunikations-Controllers 6 gemäß der Protokollspezifikation v2.1 fehlerbehaftet arbeitet oder die Einstellung von Stell- Registern zur Uhrenkorrektur des Kommunikations-Controllers 6 fehlerbehaftet und unentdeckt sind, driftet der lokale Kommunikations-Controller 6 und damit auch der lokale Bus-Guardian 9 im Vergleich zum restlichen Kommunikationsnetzwerk 1. Die Sendeschlitze des Kommunikationszyklus für den Teilnehmer 3, dessen Kommunikations-Controller 6 Fehler oder Ungenauigkeiten in der lokalen Zeitbasis aufweist, werden sich mit der Zeit also in die Sende-Zeitschlitze der anderenMacrotick supply 13 and the ARM signals 14 minimum Uhrendrifts the local communication controller 6 can be transmitted to the bus guardian 9. Thus, if the clock correction of the FlexRay communication controller 6 is faulty according to the protocol specification v2.1 or the setting of setting registers for the clock correction of the communication controller 6 is faulty and undiscovered, the local communication controller 6 drifts and thus also the local Bus guardian 9 compared to the rest of the communication network 1. The transmission slots of the communication cycle for the subscriber 3, the communication controller 6 has errors or inaccuracies in the local time base, so over time in the transmission time slots of the other
Teilnehmer 3 in dem Kommunikationsnetzwerk 1 schieben, ohne dass der lokale Bus- Guardian 9 diese Situation erfassen und entsprechende Reaktionen auslösen könnte. Einen anderen Problemfall stellt die sogenannte Offset- Korrekturphase während der sogenannten Network IdIe Time (NIT) des lokalen Kommunikations-Controllers 6 am Ende eines Kommunikationszyklus dar. Die Offset- Korrekturphase dient unter anderem zur Synchronisation der lokalen Zeitbasis des Teilnehmers 3 auf die globale Zeitbasis des Kommunikationssystems 1. Um eine solche Korrektur vorzunehmen, darf in spezifizierten Grenzen korrigiert werden. Die nachfolgende Kommunikations- Runde beginnt um einige Mikroticks (μT) früher oder später. Der lokale Bus-Guardian 9 muss diese Korrektur zulassen. Die Timer-Überwachung muss dies akzeptieren. Es besteht jedoch kein Bus-Guardian-Wissen bezüglich der Auswirkungen der Offset- Korrektur auf die nächste Kommunikations- Runde. Auch in diesem Fall kann es zum Überschneiden der Sende-Zeitschlitze kommen. Die Wahrscheinlichkeit einer solchen Überschneidung erhöht sich mit zunehmender Rundenzahl.Push subscriber 3 in the communication network 1, without the local bus guardian 9 could detect this situation and trigger appropriate responses. Another problem is the so-called offset correction phase during the so-called Network Idle Time (NIT) of the local communication controller 6 at the end of a communication cycle. The offset correction phase is used inter alia to synchronize the local time base of the subscriber 3 on the global time base of Communication System 1. In order to make such a correction, it may be corrected within specified limits. The subsequent communication round starts by a few microticks (μT) sooner or later. The local bus guardian 9 must allow this correction. The timer monitoring must accept this. However, there is no bus guardian knowledge regarding the effects of offset correction on the next round of communication. Also in this case, the transmission time slots may overlap. The likelihood of such overlap increases as the number of laps increases.
Ein erfindungsgemäßer Teilnehmer 3 ist im Detail in Figur 3 dargestellt. In dem erfindungsgemäßen Teilnehmer 3 ist der Bus-Guardian 9 schaltungstechnisch und funktional gegenüber einem bekannten FlexRay-Bus-Guardian (vgl. Figur 2) derart erweitert worden, dass selbst permanente Störungen des FlexRay-Kommunikations- Controllers 6 beim Zugriff auf den Datenbus 2 sicher und zuverlässig detektiert und entsprechende Abhilfe- und Gegenmaßnahmen unternommen werden können. Die erfindungsgemäß vorgeschlagene Lösung ist besonders einfach und kostengünstig realisierbar, aber gleichzeitig äußerst wirkungsvoll.An inventive participant 3 is shown in detail in Figure 3. In the subscriber 3 according to the invention, the bus guardian 9 has been circuitically and functionally extended in comparison to a known FlexRay bus guardian (see FIG. 2) in such a way that even permanent disturbances of the FlexRay communication controller 6 when accessing the data bus 2 are secure and reliably detected and appropriate remedial and countermeasures can be taken. The proposed solution according to the invention is particularly simple and inexpensive to implement, but at the same time extremely effective.
Zwischen dem Bus-Guardian 9 und dem Kommunikations-Controller 6 ist eine Schnittstelle 18 angeordnet, die beispielsweise als eine SPI (Serial Peripheral Interface)-Schnittstelle ausgebildet ist. Über diese Schnittstelle 18 kann der Bus- Guardian 9 gezielt Fragen an den Kommunikations-Controller 6 übertragen und kann der Kommunikations-Controller 6 auf die Fragen berechnete Antworten wieder zurück an den Bus-Guardian 9 übermitteln. Über die Schnittstelle 18 lässt sich also eine Frage- Antwort- Kommunikation zwischen dem Bus-Guardian 9 und dem Kommunikations-Controller 6 realisieren. Dazu ist es erforderlich, dass in dem Bus- Guardian 9 eine Liste 19 mit verschiedenen Fragen und eine Liste 20 mit den entsprechenden richtigen Antworten auf die Fragen aus der Liste 19 abgespeichert sind. Selbstverständlich können die Listen 19 und 20 auch zu einer gemeinsamen Liste zusammengefasst sein. Die Listen 19 und 20 können auch auf einem Speicher außerhalb des Bus-Guardian 9 abgespeichert sein, wobei dann bei Bedarf Fragen und/oder Antworten in den Bus-Guardian 9 übertragen werden.Between the bus guardian 9 and the communication controller 6, an interface 18 is arranged, which is designed for example as an SPI (Serial Peripheral Interface) interface. The bus guardian 9 can selectively transmit questions to the communication controller 6 via this interface 18, and the communication controller 6 can transmit the answers calculated to the questions back to the bus guardian 9. Thus, a question and answer communication between the bus guardian 9 and the communication controller 6 can be realized via the interface 18. For this it is necessary that in the bus guardian 9 a list 19 with various questions and a list 20 with the corresponding correct answers to the questions from the list 19 are stored are. Of course, the lists 19 and 20 can also be combined into a common list. The lists 19 and 20 can also be stored on a memory outside the bus guardian 9, in which case questions and / or answers are transmitted to the bus guardian 9 as needed.
Des Weiteren müssen in dem Bus-Guardian 9 Mittel 21 vorgesehen sein, um zu bestimmten Zeitpunkten, vorzugsweise periodisch, eine Frage- Antwort- Kommunikation zu initiieren. Zur zeitlichen Koordination der Frage- Antwort- Kommunikation kann das Makrotick (MT)-Signal 13 des Kommunikations-Controllers 6 und/oder ein Taktsignal des RC-Oszillators herangezogen werden. Selbst wenn das MT-Signal 13 driftet, weil bspw. die Uhrensynchronisation in dem Kommunikations-Controller 6 fehlerhaft arbeitet, und somit ein Fehler des Controller 6 vorliegt, kann dieser Fehler mit der vorliegenden Erfindung allein durch die Frage- Antwort- Kommunikation detektiert werden, da der Kommunikations-Controller 6 idealerweise ein falsches Ergebnis oder ein richtiges Ergebnis, aber außerhalb des zulässigen Antwort- Fensters liefern wird. Die Wirksamkeit des Verfahrens hängt entscheidend von der Art der gestellten Fragen ab. Diese müssen auf die zu überwachende Komponente und/oder Funktion des Kommunikations-Controllers 6 abgestimmt sein. Alle zu überwachenden Komponenten/ Funktionen müssen durch die Fragen abgedeckt sein. Ein Defekt der Komponente / Funktion muss auch tatsächlich zu einer fehlerhaften Antwort führen.Furthermore, in the bus guardian 9 means 21 must be provided to initiate a question-answer communication at certain times, preferably periodically. For the temporal coordination of the question-answer communication, the macrotick (MT) signal 13 of the communication controller 6 and / or a clock signal of the RC oscillator can be used. Even if the MT signal 13 is drifting because, for example, the clock synchronization in the communication controller 6 is erroneous, and thus there is an error of the controller 6, this error can be detected with the present invention solely by the question-answer communication. Ideally, the communication controller 6 will provide a false result or result, but outside the allowable response window. The effectiveness of the procedure depends crucially on the nature of the questions asked. These must be matched to the component and / or function of the communication controller 6 to be monitored. All components / functions to be monitored must be covered by the questions. A defect of the component / function must actually lead to a faulty response.
Zu Beginn einer Frage- Antwort- Kommunikation wird aus der Liste 19 eine geeignete Frage ausgesucht. Die Fragen können entweder nach dem Zufallsprinzip oder aber in einer vorgegebenen Reihenfolge, beispielsweise in der Reihenfolge wie sie in der Liste 19 abgelegt sind, aus der Liste 19 entnommen werden. Bestimmte Frage- und Antwort- Kombinationen sind zum Erkennen bestimmter Fehler des Kommunikations-Controllers 6 geeignet. Durch die gezielte Auswahl bestimmter Fragen können also bestimmte Funktionen und/oder Eigenschaften des Kommunikations-Controllers 6 auf ordnungsgemäßes Funktionieren geprüft werden. Erfindungsgemäß umfassen die Listen 19 und 20 solche Fragen und Antworten, die ein Erkennen folgender Fehler ermöglichen: a) Fehler des Input-Sets (der tatsächlich herangezogenen Synchronisationsnachrichten, Sync-Frames) für die Uhrensynchronisation, b) fehlerhafte Berechnung der Rate- Korrektur, c) fehlerhafte Anwendung von korrekt berechneten Rate- Korrektur- Werten, d) fehlerhafte Berechnung der Offset- Korrektur, und e) fehlerhafte Anwendung von korrekt berechneten Offset- Korrektur- Werten.At the beginning of a question-answer communication from the list 19 a suitable question is selected. The questions can be taken from the list 19 either randomly or in a predetermined order, for example in the order in which they are stored in the list 19. Certain question and answer combinations are suitable for detecting certain errors of the communication controller 6. Through the specific selection of specific questions, certain functions and / or properties of the communication controller 6 can therefore be checked for proper functioning. According to the invention, the lists 19 and 20 include such questions and answers which enable a recognition of the following errors: a) Error of the input set (the synchronization messages actually used, sync frames) for the clock synchronization, b) incorrect calculation of the rate correction, c) incorrect application of correctly calculated rate correction values, d) incorrect calculation of the offset Correction, and e) incorrect application of correctly calculated offset correction values.
Nach der Auswahl einer geeigneten Frage aus der Liste 19 wird diese über die Schnittstelle 18 an den Kommunikations-Controller 6 übermittelt. Gleichzeitig starten die Mittel 21 in weiteren Mitteln 22 zum Überprüfen der Antwort einen Zeitgeber (Timer) für ein Zeitfenster, innerhalb dem die Antwort von einem ordnungsgemäß funktionierenden Kommunikations-Controller 6 eingehen muss. Die Einhaltung dieses Zeitfensters wird durch die Mittel 22 überwacht. Falls innerhalb des Zeitfensters eine Antwort von dem Kommunikations-Controller 6 eingeht, wird diese Antwort in den Mitteln 22 auf ihre Richtigkeit hin überprüft. Dazu vergleichen die Mittel 22 die eingegangene Antwort mit der richtigen Antwort aus der Liste 20. Nur wenn die richtige Antwort innerhalb des definierten Zeitfensters eingeht, gibt der Bus-Guardian 9 den Zugriff auf den Datenbus 2 durch das Enable-Signal 17 frei.After selecting a suitable question from the list 19, this is transmitted via the interface 18 to the communication controller 6. At the same time, the means 21 in other means 22 for checking the response start a timer for a time window within which the response must be received from a properly functioning communication controller 6. Compliance with this time window is monitored by the means 22. If a response from the communication controller 6 is received within the time window, this response is checked in the means 22 for correctness. For this purpose, the means 22 compare the received answer with the correct answer from the list 20. Only when the correct answer is received within the defined time window, the bus guardian 9 releases the access to the data bus 2 by the enable signal 17.
Die von dem Bus-Guardian 9 an den Kommunikations-Controller 6 gestellten Fragen können beispielsweise eine oder mehrere der nachfolgenden Fragen umfassen:For example, the questions asked by the bus guardian 9 to the communication controller 6 may include one or more of the following questions:
Anzahl der von dem Kommunikations-Controller 6 empfangenen, dekodierten und zur Synchronisation der lokalen Zeitbasis herangezogenen Synchronisationsnachrichten (Sync-Frames)?Number of synchronization messages (sync frames) received by the communication controller 6, decoded and used to synchronize the local time base?
Sind die Anzahl und Identifikation der über die beiden Kommunikationskanäle (Leitungen) des Datenbus 2 redundant übertragenen Synchronisationsnachrichten gleich?Are the number and identification of the synchronization messages redundantly transmitted via the two communication channels (lines) of the data bus 2 the same?
Zu welchem Ergebnis kommt die Rate- Korrektur- bzw. Offset- Korrektur- Berechnung in dem Kommunikations-Controller 6? (Die richtige Antwort liefert eine in dem Bus-Guardian 9 ausgebildete zusätzliche Logik zur Berechnung der Rate- Korrektur bzw. Offset- Korrektur, welche eine identische Umsetzung des Mechanismus aus dem Kommunikations- Controller 6 ist.)What is the result of the rate correction calculation in the communication controller 6? (The right answer provides additional logic for calculating the rate correction, which is an identical implementation of the mechanism from the communication controller 6, formed in the bus guardian 9.)
Ist der von dem Mechanismus des Kommunikations-Controllers 6 berechnete Wert der Rate- Korrektur bzw. der Offset- Korrektur gleich dem in einem Speicherelement, insbesondere in einem Speicherregister, des Kommunikations-Controllers 6 abgelegten Korrekturwert?Is the value of the rate correction or the offset correction calculated by the mechanism of the communication controller 6 equal to the correction value stored in a memory element, in particular in a memory register, of the communication controller 6?
Liegt die Anzahl der Mikroticks (μT) pro Makrotick (MT) oder die Anzahl der Mikroticks (μT) pro Kommunikationsrunde (sog. Communication Cycle) am Ende einer Runde noch unterhalb eines vorgebbaren Grenzwertes?Is the number of microticks (μT) per macrotick (MT) or the number of microticks (μT) per communication round (so-called communication cycle) still below a predefinable limit at the end of a lap?
- Liegt die Differenz eines Mikrotick-Zählers (μT) vor der Offset- Korrektur und danach noch innerhalb eines vorgebbaren Bereichs?- Is the difference of a microtick counter (μT) before the offset correction and then within a predefinable range?
Damit der Bus-Guardian 9 diese Fragen beantworten kann, müssen zum Teil zusätzliche Informationen von dem Kommunikations-Controller 6 zu dem Bus-Guardian 9 über die Schnittstelle 18 übermittelt werden. Diese zusätzlich zu übermittelnden Informationen sind beispielsweise:In order for the bus guardian 9 to be able to answer these questions, additional information must in some cases be transmitted from the communication controller 6 to the bus guardian 9 via the interface 18. These additional information to be transmitted include, for example:
Das Ergebnis der Berechnung der Rate- Korrektur bzw. der Offset- Korrektur, die Anzahl der Mikroticks (μT) pro Kommunikationsrunde bzw. die Anzahl der Mikroticks (μT) pro Makrotick (MT) am Ende einer Kommunikationsrunde, der Stand eines Mikrotick (μT)-Zählers des Kommunikations-Controllers 6 vor der Offset- Korrektur und danach. The result of the calculation of the rate correction or the offset correction, the number of microticks (μT) per communication round or the number of microticks (μT) per macrotick (MT) at the end of a communication round, the level of a microtick (μT) Counter of the communication controller 6 before the offset correction and thereafter.

Claims

Ansprüche claims
1. Einem Bus-Controller (6) eines Teilnehmers (3) eines Kommunikationssystems (1) lokal zugeordnete Überwachungseinheit (9) zur Überwachung und Steuerung des Zugriffs auf einen Datenbus (2), wobei der Bus-Controller (6) über ei- nen Bus-Treiber (8) auf den Datenbus (2) zugreift und die Überwachungseinheit1. A bus controller (6) of a subscriber (3) of a communication system (1) locally associated monitoring unit (9) for monitoring and controlling the access to a data bus (2), wherein the bus controller (6) via a NEN Bus driver (8) accesses the data bus (2) and the monitoring unit
(9) die Zugriffsberechtigung des Bus-Treibers (8) überwacht und steuert, dadurch gekennzeichnet, dass die Überwachungseinheit (9) Mittel (18, 19, 20, 21, 22) zur Realisierung einer Frage- Antwort- Kommunikation mit dem Bus- Controller (6) aufweist und den Zugriff des Bus-Controllers (6) auf den Datenbus (2) nur dann freigibt, wenn die Frage- Antwort- Kommunikation ein ordnungsgemäßes Funktionieren des Bus-Controllers (6) ergibt.(9) monitors and controls the access authorization of the bus driver (8), characterized in that the monitoring unit (9) comprises means (18, 19, 20, 21, 22) for realizing a question-answer communication with the bus controller (6) and only enables the access of the bus controller (6) to the data bus (2) if the question-answer communication results in the proper functioning of the bus controller (6).
2. Überwachungseinheit (9) nach Anspruch 9, dadurch gekennzeichnet, dass eine lokale Zeitbasis des Bus-Controllers (6) mittels Synchronisationsnachrichten auf eine globale Zeitbasis des Kommunikationssystems (1) synchronisiert wird, dass die Überwachungseinheit (9) über eine Schnittstelle (18) zum Bus-Second monitoring unit (9) according to claim 9, characterized in that a local time base of the bus controller (6) is synchronized by means of synchronization messages to a global time base of the communication system (1) that the monitoring unit (9) via an interface (18). to the bus-
Controller (6) Informationen über die in dem Bus-Controller (6) dekodierten und zur Uhrensynchronisation herangezogenen Synchronisationsnachrichten erhält, und dass die Frage- Antwort- Kommunikation unter Berücksichtigung der erhaltenen Synchronisationsinformationen erfolgt.Controller (6) receives information about the in the bus controller (6) decoded and used for clock synchronization synchronization messages, and that the question-answer communication takes into account the synchronization information obtained.
3. Überwachungseinheit (9) nach Anspruch 2, dadurch gekennzeichnet, dass in dem Bus-Controller (6) eine Liste mit von dem Bus-Controller (6) empfangenen, dekodierten und zur Uhrensynchronisation herangezogenen Synchronisationsnachrichten vorliegt, wobei die Überwachungseinheit (9) die Synchronisationsinformationen aus der Liste erhält und im Rahmen der Frage-Antwort- Kommunikation abfragt, ob die Synchronisationsinformationen bestimmte Mindestanforderungen erfüllen. 3. Monitoring unit (9) according to claim 2, characterized in that in the bus controller (6) is a list of the bus controller (6) received, decoded and used for clock synchronization synchronization messages, wherein the monitoring unit (9) the Obtain synchronization information from the list and queries in the question-answer communication whether the synchronization information meets certain minimum requirements.
4. Überwachungseinheit (9) nach Anspruch 3, dadurch gekennzeichnet, dass die Überwachungseinheit (9) im Rahmen der Frage- Antwort- Kommunikation abfragt, ob die Anzahl der empfangenen, dekodierten und zur Uhrensynchronisation herangezogenen Synchronisationsnachrichten größer und/oder gleich einer Mindestanzahl ist.4. Monitoring unit (9) according to claim 3, characterized in that the monitoring unit (9) in the question-answer communication queries whether the number of received, decoded and used for clock synchronization synchronization messages is greater and / or equal to a minimum number.
5. Überwachungseinheit (9) nach einem der Ansprüche 2 bis 4, dadurch gekennzeichnet, dass, falls die Synchronisationsnachrichten über den Datenbus (2) in zwei redundanten Kommunikationskanälen übertragen werden, die Überwachungseinheit (9) im Rahmen der Frage- Antwort- Kommunikation abfragt, ob die empfangenen, dekodierten und/oder zur Uhrensynchronisation herangezogenen5. Monitoring unit (9) according to one of claims 2 to 4, characterized in that, if the synchronization messages are transmitted via the data bus (2) in two redundant communication channels, the monitoring unit (9) queries in the context of question-answer communication, whether the received, decoded and / or used for clock synchronization
Synchronisationsinformationen für beide Kommunikationskanäle gleich sind.Synchronization information for both communication channels are the same.
6. Überwachungseinheit (9) nach Anspruch 5, dadurch gekennzeichnet, dass die Überwachungseinheit (9) im Rahmen der Frage- Antwort- Kommunikation abfragt, ob die Anzahl und/oder die Identifikation der Synchronisationsnachrichten beider Kommunikationskanäle gleich sind.6. Monitoring unit (9) according to claim 5, characterized in that the monitoring unit (9) in the question-answer communication queries whether the number and / or the identification of the synchronization messages of both communication channels are the same.
7. Überwachungseinheit (9) nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass eine lokale Zeitbasis des Bus-Controllers (6) mittels Synchronisationsnachrichten auf eine globale Zeitbasis des Kommunikationssystems (1) mittels Rate- Korrektur und/oder Offset- Korrektur relativ zur globalen Zeitbasis synchronisiert wird und dass die Überwachungseinheit (9) im Rahmen der Frage-Antwort-Kommunikation die korrekte Berechnung der Rate- Korrektur und/oder der Offset- Korrektur für die lokale Zeitbasis abfragt.7. monitoring unit (9) according to one of claims 1 to 6, characterized in that a local time base of the bus controller (6) by means of synchronization messages to a global time base of the communication system (1) by means of rate correction and / or offset correction relative is synchronized to the global time base and that the monitoring unit (9) in the context of the question-answer communication queries the correct calculation of the rate correction and / or the offset correction for the local time base.
8. Überwachungseinheit (9) nach Anspruch 7, dadurch gekennzeichnet, dass Mittel des Bus-Controllers (6) zur Berechnung der Rate- Korrektur und/oder der Offset- Korrektur identisch in der Überwachungseinheit (9) ausgebildet sind, die Überwachungseinheit (9) Informationen über die in dem Bus-Controller (6) empfangenen, decodierten und zur Uhrensynchronisation herangezogenen Synchronisationsnachrichten erhält, die in der Überwachungseinheit (9) vorgesehenen Berechnungsmittel in Abhängigkeit von den Synchronisationsinformationen die Rate- Korrektur und/oder die Offset- Korrektur berechnen, und die Überwa- chungseinheit (9) das Ergebnis im Rahmen der Frage- Antwort- Kommunikation mit der durch die in dem Kommunikations-Controller (6) vorgesehenen Berechnungsmittel berechnete Rate- Korrektur bzw. Offset- Korrektur vergleicht.8. Monitoring unit (9) according to claim 7, characterized in that means of the bus controller (6) for calculating the rate correction and / or the offset correction are formed identically in the monitoring unit (9), the monitoring unit (9) Information about the synchronization messages received, decoded and used for the clock synchronization in the bus controller (6) is obtained, the computing means provided in the monitoring unit (9) calculate the rate correction and / or the offset correction depending on the synchronization information, and supervision monitoring unit (9) compares the result in the question-answer communication with the rate correction or offset correction calculated by the calculation means provided in the communication controller (6).
9. Überwachungseinheit (9) nach Anspruch 7, dadurch gekennzeichnet, dass die Überwachungseinheit (9) an in dem Bus-Controller (6) vorgesehene Mittel zur9. Monitoring unit (9) according to claim 7, characterized in that the monitoring unit (9) provided in the bus controller (6) means for
Berechnung der Rate- Korrektur und/oder der Offset- Korrektur gezielte Fragen stellt (21) und den Eingang der richtigen Antwort von dem Bus-Controller (6) innerhalb eines vorgegebenen Antwort- Fensters überwacht.Calculation of rate correction and / or offset correction asks (21) and monitors the receipt of the correct response from the bus controller (6) within a given response window.
10. Überwachungseinheit (9) nach einem der Ansprüche 1 bis 6, dadurch gekenn- zeichnet, dass eine lokale Zeitbasis des Bus-Controllers (6) mittels Synchronisationsnachrichten auf eine globale Zeitbasis des Kommunikationssystems (1) mittels Rate- Korrektur und/oder Offset- Korrektur relativ zur globalen Zeitbasis synchronisiert wird und dass die Überwachungseinheit (9) im Rahmen der Frage-Antwort-Kommunikation die korrekte Anwendung der berechneten Werte für die Rate- Korrektur und/oder die Offset- Korrektur für die lokale Zeitbasis abfragt.10. Monitoring unit (9) according to any one of claims 1 to 6, characterized in that a local time base of the bus controller (6) by means of synchronization messages on a global time base of the communication system (1) by means of rate correction and / or offset Correction is synchronized relative to the global time base and that the monitoring unit (9) in the context of the question-answer communication queries the correct application of the calculated values for the rate correction and / or the offset correction for the local time base.
11. Überwachungseinheit (9) nach Anspruch 10, dadurch gekennzeichnet, dass die Überwachungseinheit (9) Mittel des Bus-Controllers (6) zur Generierung eines Makroticks und/oder Speichermittel für den im Rahmen der Rate- Korrektur berechneten Korrekturwert im Rahmen der Frage- Antwort- Kommunikation auf feh- lerfreie Funktion prüft.11. Monitoring unit (9) according to claim 10, characterized in that the monitoring unit (9) comprises means of the bus controller (6) for generating a macrotick and / or storage means for the correction value calculated during the rate correction within the scope of the questionnaire. Response communication checks for error-free operation.
12. Überwachungseinheit (9) nach Anspruch 10, dadurch gekennzeichnet, dass die Überwachungsmittel (9) Mittel des Bus-Controllers (6) zur Anwendung der Offset-Korrektur und/oder Speichermittel für den im Rahmen der Offset- Korrektur berechneten Korrekturwert im Rahmen der Frage- Antwort- Kommunikation auf fehlerfreie Funktion prüft.12. Monitoring unit (9) according to claim 10, characterized in that the monitoring means (9) comprise means of the bus controller (6) for applying the offset correction and / or storage means for the correction value calculated in the course of the offset correction in the context of Question-answer communication checks for error-free operation.
13. Überwachungseinheit (9) nach Anspruch 11 oder 12, dadurch gekennzeichnet, dass die Überwachungseinheit (9) den berechneten Korrekturwert vom Bus- Controller (6) über eine Schnittstelle (18) erhält und diesen Korrekturwert im Rahmen der Frage- Antwort- Kommunikation mit einem in den Speichermitteln des Bus-Controllers (6) abgelegten Korrekturwert vergleicht.13. Monitoring unit (9) according to claim 11 or 12, characterized in that the monitoring unit (9) receives the calculated correction value from the bus controller (6) via an interface (18) and this correction value in Compares the frame of the question-answer communication with a stored in the memory means of the bus controller (6) correction value.
14. Überwachungseinheit (9) nach Anspruch 11, dadurch gekennzeichnet, dass die Überwachungseinheit (9) an die in dem Bus-Controller (6) vorgesehenen Mittel zur Generierung des Makroticks gezielte Fragen stellt und den Eingang der richtigen Antwort von dem Bus-Controller (6) innerhalb eines vorgegebenen Zeitfensters überwacht.14. Monitoring unit (9) according to claim 11, characterized in that the monitoring unit (9) to the means provided in the bus controller (6) for generating the macrotick specific questions and the receipt of the correct response from the bus controller ( 6) monitored within a given time window.
15. Überwachungseinheit (9) nach Anspruch 12, dadurch gekennzeichnet, dass die Überwachungseinheit (9) an die in dem Bus-Controller (6) vorgesehenen Mittel zur Anwendung der Offset- Korrektur gezielte Fragen stellt und den Eingang der richtigen Antwort von dem Bus-Controller (6) innerhalb eines vorgegebenen Zeitfensters überwacht.15. Monitoring unit (9) according to claim 12, characterized in that the monitoring unit (9) provides targeted questions to the means provided in the bus controller (6) for applying the offset correction, and the input of the correct response from the bus controller. Controlled controller (6) within a predetermined time window.
16. Überwachungseinheit (9) nach Anspruch 11, dadurch gekennzeichnet, dass die Überwachungseinheit (9) am Ende einer Kommunikationsrunde vom Bus- Controller (6) über eine Schnittstelle (18) die Anzahl von Mikroticks pro Runde und/oder die Anzahl der Mikroticks pro Makrotick erhält, und die Überwachungseinheit (9) im Rahmen der Frage- Antwort- Kommunikation abfragt, ob ein Drift der Anzahl der Mikroticks pro Runde und/oder der Anzahl der Mikroticks pro Makrotick zwischen einer Kommunikationsrunde und einer nachfolgenden Runde betragsmäßig größer und/oder gleich einem vorgebbaren zulässigen16. Monitoring unit (9) according to claim 11, characterized in that the monitoring unit (9) at the end of a communication cycle from the bus controller (6) via an interface (18) the number of microticks per round and / or the number of microticks per As part of the question-and-answer communication, the monitoring unit (9) queries whether a drift in the number of microticks per round and / or the number of microticks per macrotick between a communication round and a subsequent round is greater in magnitude and / or equal a predetermined allowable
Drift ist.Drift is.
17. Überwachungseinheit (9) nach Anspruch 12, dadurch gekennzeichnet, dass die Überwachungseinheit (9) den Stand eines Mikrotick-Zählers des Bus- Controllers (6) über eine Schnittstelle (18) vor einer Offset- Korrektur und da- nach erhält, und die Überwachungseinheit (9) im Rahmen der Frage-Antwort-17. Monitoring unit (9) according to claim 12, characterized in that the monitoring unit (9) receives the state of a microtick counter of the bus controller (6) via an interface (18) before an offset correction and thereafter, and the monitoring unit (9) as part of the question and answer
Kommunikation abfragt, ob eine Differenz zwischen dem Stand des Mikrotick- Zählers vor der Offset- Korrektur und danach betragsmäßig größer und/oder gleich einem vorgebbaren Grenzwert ist. Communication queries whether a difference between the state of the microtick counter before the offset correction and then in terms of amount is greater and / or equal to a predetermined limit.
18. Teilnehmer (3) eines einen Datenbus (2) umfassenden Kommunikationssystems (1), wobei der Teilnehmer (3) einen Bus-Controller (6) und einen Bus- Treiber (8) aufweist, wobei der Bus-Controller (6) über den Bus-Treiber (8) an den Datenbus (2) angeschlossen ist, und wobei der Teilnehmer (3) eine dem Bus-Controller (6) zugeordnete Überwachungseinheit (9) zur Überwachung und18. Subscriber (3) of a data bus (2) comprehensive communication system (1), wherein the subscriber (3) comprises a bus controller (6) and a bus driver (8), wherein the bus controller (6) via the bus driver (8) is connected to the data bus (2), and wherein the subscriber (3) has a monitoring unit (9) assigned to the bus controller (6) for monitoring and
Steuerung der Zugriffsberechtigung des Bus-Treibers (8) auf den Datenbus (2) aufweist, dadurch gekennzeichnet, dass die Überwachungseinheit (9) nach einem der Ansprüche 1 bis 17 ausgebildet ist.Control of the access authorization of the bus driver (8) on the data bus (2), characterized in that the monitoring unit (9) is designed according to one of claims 1 to 17.
19. Teilnehmer (3) nach Anspruch 18, dadurch gekennzeichnet, dass der Bus- Controller (6) Mittel zum Empfangen einer Frage von der Überwachungseinheit19. Subscriber (3) according to claim 18, characterized in that the bus controller (6) comprises means for receiving a question from the monitoring unit
(9), Mittel zur Bearbeitung einer von der Überwachungseinheit (9) empfangenen Frage und zum Generieren einer entsprechenden Antwort und Mittel zur Übermittlung der generierten Antwort an die Überwachungseinheit (9) aufweist.(9), means for processing a question received from the monitoring unit (9) and for generating a corresponding answer and means for transmitting the generated response to the monitoring unit (9).
20. Teilnehmer (3) nach Anspruch 18 oder 19, dadurch gekennzeichnet, dass der Teilnehmer (3) als ein FlexRay-Teilnehmer eines FlexRay-20. Subscriber (3) according to claim 18 or 19, characterized in that the subscriber (3) as a FlexRay subscriber of a FlexRay
Kommunikationssystems (1) zur Übermittlung von Informationen nach der Flex- Ray- Protokollspezifikation ausgebildet ist. Communication system (1) for transmitting information according to the FlexRay protocol specification is formed.
EP06830568A 2005-12-22 2006-12-12 Bus-guardian of a subscriber of a communication system, and subscriber for a communication system Withdrawn EP1966695A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102005061392A DE102005061392A1 (en) 2005-12-22 2005-12-22 Bus guardian for monitoring and controlling access to data bus, has serial peripheral interface approving access of controller to data bus only when communication offers normal functioning of controller
PCT/EP2006/069620 WO2007074058A1 (en) 2005-12-22 2006-12-12 Bus-guardian of a subscriber of a communication system, and subscriber for a communication system

Publications (1)

Publication Number Publication Date
EP1966695A1 true EP1966695A1 (en) 2008-09-10

Family

ID=37899267

Family Applications (1)

Application Number Title Priority Date Filing Date
EP06830568A Withdrawn EP1966695A1 (en) 2005-12-22 2006-12-12 Bus-guardian of a subscriber of a communication system, and subscriber for a communication system

Country Status (5)

Country Link
US (1) US20100229046A1 (en)
EP (1) EP1966695A1 (en)
CN (1) CN101346698B (en)
DE (1) DE102005061392A1 (en)
WO (1) WO2007074058A1 (en)

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1857935B1 (en) * 2006-05-16 2013-10-23 Saab Ab Fault tolerant data bus node in a distributed system
DE102007051657A1 (en) * 2007-10-26 2009-04-30 Robert Bosch Gmbh Communication system with a CAN bus and method for operating such a communication system
DE102007056662A1 (en) * 2007-11-24 2009-05-28 Bayerische Motoren Werke Aktiengesellschaft System for activating the functionality of a sequence control, which is stored in a control unit of a motor vehicle
JP4844658B2 (en) * 2009-08-07 2011-12-28 株式会社デンソー Diagnostic device and diagnostic system
DE102010002478A1 (en) * 2010-03-01 2011-09-01 Robert Bosch Gmbh Method for forming transmission instants for answer, involves providing question answer communication between monitoring module and functional computer with time base, where answer is sent to functional computer at monitoring module
DE102011016706A1 (en) * 2011-04-11 2012-10-11 Conti Temic Microelectronic Gmbh Circuit arrangement with fail-silent function
DE102011078630A1 (en) * 2011-07-05 2013-01-10 Robert Bosch Gmbh Method for setting up a system of technical units
DE102011089587A1 (en) * 2011-12-22 2013-06-27 Robert Bosch Gmbh Subscriber station of a bus system and method for transmitting messages between subscriber stations of a bus system
DE102012023748A1 (en) * 2012-12-04 2014-06-05 Valeo Schalter Und Sensoren Gmbh Method for synchronizing sensors on a data bus
DE102012224024A1 (en) * 2012-12-20 2014-06-26 Robert Bosch Gmbh Data transfer using a log exemption state
KR101558084B1 (en) * 2014-04-15 2015-10-06 엘에스산전 주식회사 Plc system having a plurality of cpu modules and control method thereof
DE102015201278B4 (en) * 2015-01-26 2016-09-29 Continental Automotive Gmbh control system
TWI834603B (en) * 2017-02-14 2024-03-11 日商索尼半導體解決方案公司 Communication device, communication method, communication program and communication system
DE102018101103A1 (en) * 2018-01-18 2019-07-18 Volkswagen Aktiengesellschaft Method and computer programs for a monitoring entity and a communication component, monitoring entity, communication component, system and vehicle
DE102019204176B4 (en) * 2019-03-26 2021-05-27 Vitesco Technologies GmbH Circuit arrangement for preventing incorrect data transmission via a bus interface
DE102019205487A1 (en) * 2019-04-16 2020-10-22 Robert Bosch Gmbh Subscriber station for a serial bus system and method for communication in a serial bus system
DE102019205488A1 (en) * 2019-04-16 2020-10-22 Robert Bosch Gmbh Subscriber station for a serial bus system and method for communication in a serial bus system
EP3761569B1 (en) * 2019-07-03 2023-03-01 Nxp B.V. Error frame detection in a can bus
CN113722251B (en) * 2020-05-26 2023-12-26 上海汽车变速器有限公司 Two-wire SPI communication system and method for functional safety monitoring

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19826131A1 (en) * 1998-06-12 1999-12-16 Bosch Gmbh Robert Electrical braking system for a motor vehicle has optimised operating reliability and availability
ATE367700T1 (en) * 2002-04-16 2007-08-15 Bosch Gmbh Robert METHOD AND UNIT FOR BIT STREAM DECODING
DE10236080A1 (en) * 2002-08-07 2004-02-19 Robert Bosch Gmbh Process flow control method, especially for use with a motor vehicle CAN bus automation system, wherein if a function unit is faulty it is prevented from communicating with the bus by disabling its bus driver
WO2004098955A1 (en) * 2003-05-06 2004-11-18 Philips Intellectual Property & Standards Gmbh Timeslot sharing over different cycles in tdma bus
CN101084652A (en) * 2004-12-20 2007-12-05 皇家飞利浦电子股份有限公司 Bus guardian as well as method for monitoring communication between and among a number of nodes, node comprising such bus guardian, and distributed communication system comprising such nodes

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See references of WO2007074058A1 *

Also Published As

Publication number Publication date
CN101346698B (en) 2012-03-21
DE102005061392A1 (en) 2007-06-28
WO2007074058A1 (en) 2007-07-05
US20100229046A1 (en) 2010-09-09
CN101346698A (en) 2009-01-14

Similar Documents

Publication Publication Date Title
EP1966695A1 (en) Bus-guardian of a subscriber of a communication system, and subscriber for a communication system
WO2007074057A1 (en) Monitoring unit for monitoring or controlling subscriber access to a data bus and subscriber comprising said type of monitoring unit
EP1756986B1 (en) Method for establishing a global time base in a timed communications system and associated communications system
DE10291119B4 (en) A method and apparatus for synchronizing the cycle time of multiple buses, wherein at least one of the buses is a TTCAN bus, and a corresponding bus system
DE10148325A1 (en) Central node of data bus system with bus monitor unit e.g. for motor vehicles and aircraft, has diagnosis unit integrated into central node
DE10144070A1 (en) Communication network and method for controlling the communication network
WO2009109590A1 (en) Communication system having a can bus and method for operating such a communication system
WO2006114314A1 (en) Address assignment for safe users of a field bus
DE10206875A1 (en) Method and circuit arrangement for monitoring and managing the data traffic in a communication system with several communication nodes
EP2619935B1 (en) Device and method for providing a global time infomration in an event controlled bus communication
DE19620137A1 (en) Protocol for security-critical applications
EP3977682A1 (en) Error detection test device for a subscriber station of a serial bus system, and method for testing mechanisms for detecting errors in a communication in a serial bus system
DE602004012252T2 (en) TIME-CONTROLLED COMMUNICATION SYSTEM AND METHOD FOR THE SYNCHRONIZED START OF A TWO-CHANNEL NETWORK
EP2675114A1 (en) Method for operating a network formation, a network arrangement and a network formation
EP1495590B1 (en) Network comprising an interconnecting network and several network nodes that are coupled to said interconnecting network
DE10065117A1 (en) Method and communication system for exchanging data between at least two participants via a bus system
DE10327548A1 (en) Method, device and system for exchanging data via a bus system
EP1384122B1 (en) Method for controlling a component of a distributed safety-relevant system
DE102009005266A1 (en) Method for operating communication node of flex ray communication system of e.g. car, involves determining whether reestablishment of communication between controller and process computer is allowed when error occurs in computer
EP0935198B1 (en) Secure data processing method and computer system
DE10032597B4 (en) Bus guard unit for a network node of a time-triggered data communication network
EP1287435B1 (en) Device and method for synchronising a system of coupled data processing facilities
DE10211280A1 (en) Motor vehicle X-by-wire system for vehicle braking and control method therefor, whereby a communications controller for an actuator and process computer module also acts as a monitoring unit for the process controller
DE102015014210B4 (en) Network management for a two-channel FlexRay network
DE69631508T2 (en) Secure data transfer for process execution with the ARINC 629 protocol

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20080722

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LI LT LU LV MC NL PL PT RO SE SI SK TR

DAX Request for extension of the european patent (deleted)
17Q First examination report despatched

Effective date: 20140704

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

18D Application deemed to be withdrawn

Effective date: 20140701