JP2004519060A - 分配された安全上重要なシステムを駆動する方法 - Google Patents

分配された安全上重要なシステムを駆動する方法 Download PDF

Info

Publication number
JP2004519060A
JP2004519060A JP2002574009A JP2002574009A JP2004519060A JP 2004519060 A JP2004519060 A JP 2004519060A JP 2002574009 A JP2002574009 A JP 2002574009A JP 2002574009 A JP2002574009 A JP 2002574009A JP 2004519060 A JP2004519060 A JP 2004519060A
Authority
JP
Japan
Prior art keywords
pro
process computer
communication
communication system
drive
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2002574009A
Other languages
English (en)
Inventor
フエーラー,トーマス
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Publication of JP2004519060A publication Critical patent/JP2004519060A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60GVEHICLE SUSPENSION ARRANGEMENTS
    • B60G17/00Resilient suspensions having means for adjusting the spring or vibration-damper characteristics, for regulating the distance between a supporting surface and a sprung part of vehicle or for locking suspension during use to meet varying vehicular or surface conditions, e.g. due to speed or load
    • B60G17/015Resilient suspensions having means for adjusting the spring or vibration-damper characteristics, for regulating the distance between a supporting surface and a sprung part of vehicle or for locking suspension during use to meet varying vehicular or surface conditions, e.g. due to speed or load the regulating means comprising electric or electronic elements
    • B60G17/0195Resilient suspensions having means for adjusting the spring or vibration-damper characteristics, for regulating the distance between a supporting surface and a sprung part of vehicle or for locking suspension during use to meet varying vehicular or surface conditions, e.g. due to speed or load the regulating means comprising electric or electronic elements characterised by the regulation being combined with other vehicle control systems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T13/00Transmitting braking action from initiating means to ultimate brake actuator with power assistance or drive; Brake systems incorporating such transmitting means, e.g. air-pressure brake systems
    • B60T13/74Transmitting braking action from initiating means to ultimate brake actuator with power assistance or drive; Brake systems incorporating such transmitting means, e.g. air-pressure brake systems with electrical assistance or drive
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1641Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60GVEHICLE SUSPENSION ARRANGEMENTS
    • B60G2600/00Indexing codes relating to particular elements, systems or processes used on suspension systems or suspension control systems
    • B60G2600/08Failure or malfunction detecting means
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60GVEHICLE SUSPENSION ARRANGEMENTS
    • B60G2600/00Indexing codes relating to particular elements, systems or processes used on suspension systems or suspension control systems
    • B60G2600/70Computer memory; Data storage, e.g. maps for adaptive control
    • B60G2600/702Parallel processing
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60GVEHICLE SUSPENSION ARRANGEMENTS
    • B60G2800/00Indexing codes relating to the type of movement or to the condition of the vehicle and to the end result to be achieved by the control action
    • B60G2800/80Detection or control after a system or component failure
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0001Details of the control system
    • B60W2050/0043Signal treatments, identification of variables or parameters, parameter estimation or state estimation
    • B60W2050/0044In digital systems
    • B60W2050/0045In digital systems using databus protocols
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • B60W2050/021Means for detecting failure or malfunction
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/04Monitoring the functioning of the control system
    • B60W2050/041Built in Test Equipment [BITE]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/181Eliminating the failing redundant component
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/182Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits based on mutual exchange of the output between redundant processing components

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Mechanical Engineering (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Medical Informatics (AREA)
  • General Health & Medical Sciences (AREA)
  • Signal Processing (AREA)
  • Quality & Reliability (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Transportation (AREA)
  • Safety Devices In Control Systems (AREA)
  • Hardware Redundancy (AREA)
  • Programmable Controllers (AREA)

Abstract

本発明は,分配された安全上重要なシステム,特に自動車内のX−バイ−ワイヤ−システムを駆動する方法に関する。分配されたシステムは,システムのコンポーネント(Akt)を駆動するための少なくとも1つの第1のプロセスコンピュータ(Pro)と,少なくとも1つの他のプロセスコンピュータ(Pro)とを有している。プロセスコンピュータ(Pro,Pro)は,それぞれ通信コントローラ(S,S)を介して通信システム(K)に接続されている。少なくとも1つの第1のプロセスコンピュータ(Pro)の機能能力は,少なくとも1つの他のプロセスコンピュータ(Pro)によって検査される。この方法は,分配された監視コンセプトとも称される。本発明によれば,少なくとも1つのエラーのある第1のプロセスコンピュータ(Pro)を他のプロセスコンピュータ(Pro)の少なくとも1つによって安全確保してオフにするための機構が提案され,分配された監視コンセプトを実現するための通信システム(K)の通信プロトコルがその機構の分だけ拡張されている。
【選択図】図1

Description

【0001】
従来の技術
本発明は,分配された安全上重要なシステム,特に自動車内のX−バイ−ワイヤ−システムを駆動する方法に関する。分配されたシステムは,システムのコンポーネントを駆動するための少なくとも1つの第1のプロセスコンピュータと少なくとも1つの他のプロセスコンピュータとを有しており,その際にプロセスコンピュータは,それぞれ通信コントローラを介して通信システムに接続されている。このとき,少なくとも1つの第1のプロセスコンピュータの機能能力は,少なくとも1つの他のプロセスコンピュータによって試験される。
【0002】
本発明は,さらに,分配された安全上重要なシステム,特に自動車内のX−バイ−ワイヤ−システムに関する。分配されたシステムは,システムのコンポーネントを駆動するための少なくとも1つの第1のプロセスコンピュータと少なくとも1つの他のプロセスコンピュータを有している場合に,プロセスコンピュータは,それぞれ通信コントローラを介して通信システムに接続されている。このとき,少なくとも1つの第1のプロセスコンピュータの機能能力の監視は,少なくとも1つの他のプロセスコンピュータによって実行される。
【0003】
さらに,本発明は,少なくとも1つの第1のプロセスコンピュータと少なくとも1つの他のプロセスコンピュータを,分配された安全上重要なシステム,特に自動車内のX−バイ−ワイヤ−システムの通信システムに接続するための通信コントローラに関する。このとき,少なくとも1つの第1のプロセスコンピュータは,分配されたシステムのコンポーネントを駆動するために使用される。また,通信コントローラ上では,プロセスコンピュータと通信システムとの間のデータ伝送を実現するために通信プロトコルが遂行される。
【0004】
そして本発明は,分配された安全上重要なシステム,特に自動車内のX−バイ−ワイヤ−システムの通信システムのための通信プロトコルにも関する。分配されたシステムは,分配されたシステムのコンポーネントを駆動するための少なくとも1つの第1のプロセスコンピュータと,少なくとも1つの他のプロセスコンピュータを有している。このとき,プロセスコンピュータは,それぞれ通信コントローラを介して通信システムに接続されている。また,通信プロトコルは,プロセスコンピュータと通信システムとの間のデータ伝送を実現するために通信コントローラ上で遂行される。
【0005】
制御装置(プロセスコンピュータ),センサ技術およびアクター技術を通信システムの使用によってネットワーク化することは,自動車関連分野において近年著しく増加している。その際に,通信システムを介して相互に影響し合うことを排除しなければならない。このとき,機能を多数のプロセスコンピュータへ分配することによる相乗効果が前面に出てくる。分配されたシステムについて以下で述べる。
【0006】
この種の分配されたシステムの特殊な実現が,X−バイ−ワイヤ−システムである。X−バイ−ワイヤ−システムは,車両運動に用いられる自動車システムであって,運転者意図の検出とその変換を分離することを許すものである。運転者意図の検出とかかる変換の間の接続は,機械的な方法ではなく,大体において(電子的な)情報伝送のみに基づいて実行される。X−バイ−ワイヤ−システムは,高い安全要請を有するシステムであって,すなわちかかるシステムが完全に故障すると,車両内で可能な最高の安全段階のエラーをもたらす。この種のシステムとして,以下の3つの分類が考えられる。
【0007】
1.ウェット性のX−バイ−ワイヤ−システムは,電気的なエネルギー供給がなされない場合でも(例えばエネルギー供給が絶たれた後に)ベース機能を維持することのできる,油圧的(機械的)フォールバック平面を有するシステムである。ベース機能とは,運転者意図が得られる機能に機械的に固定結合されている場合にも,まだ存在する機能である。車両ブレーキにおいては,例えばベースブレーキ機能は,可変のブレーキ力分配を形成することのできる電子的制御システムのないブレーキ機能である。その際にベースブレーキ機能においては(システムに従って),例えばブレーキ力の65%は,前車軸に,35%は,後ろ車軸に分配されることが固定的に設定されている。アンチロックブレーキングシステム(ABS),アンチスリップ制御(ASR)および走行動特性制御(FDR)は,ベースブレーキ機能には属していない。
【0008】
2.ドライ性のX−バイ−ワイヤ−システムは,機械的/油圧的フォールバック平面をもたないシステムである。かかるシステムの実現は,電気機械的コンポーネントのみに基づいている。
【0009】
3.半ドライ性のX−バイ−ワイヤ−システムは,油圧操作装置を使用するが,「ドライなインターフェイス」を有しているシステムである。従って,通信要請に関して,かかるシステムは,ドライ性のX−バイ−ワイヤ−システムと同様に取り扱われる。
【0010】
X−バイ−ワイヤ−システムの典型的な例として,ステア−バイ−ワイヤシステムおよびブレーキ−バイ−ワイヤシステムがある(電子ステアリングおよび電子ブレーキ)。
【0011】
高い安全要請を有するX−バイ−ワイヤ−システムの全システム,特にX−バイ−ワイヤ−システムにおいて,アクター技術を例えば電気モータまたは油圧ポンプから解放するための機構が必要である。これは,従来技術によれば,質問−応答−通信に基づく,いわゆる「インテリジェントウォッチドッグ」によって実現される。
【0012】
冒頭で挙げた種類の方法は,例えばDE19826131A1から知られている。かかる公報においては,分配された安全上重要なシステムは,自動車の電気的なブレーキシステムとして記載されている。コンポーネントは,自動車のブレーキとして,若しくは,さらに正確に言うと,ブレーキを駆動するためのアクターとして形成されている。この種のシステムは,高度に安全上重要である。なぜなら,コンポーネントのエラーのある駆動,特にブレーキのエラーのある操作は,予測不可能な安全上のリスクをもたらす恐れがあるからである。この理由から,コンポーネントのエラーのある駆動が確実に排除されなければならない。
【0013】
公知のブレーキシステムの本質的な特徴は,中央で運転者意図を検出するためのペダルモジュール,ブレーキアクチュエータを車輪個別に制御するための4つの車輪モジュールおよび上位のブレーキ機能を計算するための処理モジュールである。個々のモジュール間の互いの通信は,1つまたは複数の通信システムによって実行可能である。本特許出願の図2には,種々の論理平面を有する車輪モジュールの内部構造が例示されている。その際に論理平面Lは,少なくとも,車輪ブレーキのための開ループ制御および閉ループ制御機能の計算を有し,論理平面LからLは,コンピュータを監視し,かつLの機能を試験するための種々の機能を含む内容としている。
【0014】
ブレーキ,例えばブレーキシューを操作するための電気モータの駆動は,各車輪モジュールについて同様に以下のステップを有している。:
【0015】
a)少なくとも1つの入力信号(aR2,aR3,aR4;a,ref;sR2,sR3,sR4;Δs,ref;v;n;d;Fli;aR1;sR1)に従って,第1のマイクロコンピュータシステム(R1A)によってブレーキのための少なくとも1つの駆動信号(f)を求める。入力信号は,通信システム(K)若しくはバスシステムを介して,マイクロコンピュータシステム(R1A)へ提供される。
【0016】
b)少なくとも1つの論理的な駆動信号(e1H)を求める。論理的な駆動信号(e1H)は,少なくとも部分的に,第1のマイクロコンピュータシステム(R1A)に依存しない監視ユニット(R1B)によって,少なくとも1つの入力信号に従って求められる。
【0017】
c)少なくとも1つの駆動信号(f)を,パワーエレクトロニクス(LE1K)において少なくとも1つの論理的な駆動信号(e1H)と比較する。
【0018】
d)駆動信号(f)と論理的な駆動信号(e1H)との比較の結果に従って,(パワーエレクトロニクスLE内部の)少なくとも1つのイネーブル信号を求める。
【0019】
e)少なくとも1つのイネーブル信号が予め設定可能な値を有する場合に,少なくとも1つの駆動信号(f)または駆動信号(f)に依存する信号(i1K)をブレーキ若しくはブレーキシューのためのアクチュエータAktへ供給する。
【0020】
監視ユニット(R1B)は,特に系統的(いわゆるコモンモードの)エラーを認識するために使用される。この種のエラーの例は,電圧供給におけるエラーである。公知のブレーキシステムにおいては,監視ユニット(R1B)は,自立したマイクロコンピュータシステムとして形成されている。しかしながら,監視ユニット(R1B)を,独自のプロセッサを持たないハードウェアモジュールとして形成することもできるが,かかるハードウェアモジュールは,具体的な論理機能を,あるいは,かかるハードウェアモジュールがレジスタを有している場合には,さらに切り換え機能を実施することができる。この種のハードウェアモジュールの例として,例えばASIC(Applied Specific Integrated Circuit),FPGA(Field−Programmable Gate Array)または監視回路(いわゆるウォッチドッグ)がある。
【0021】
コンポーネント(アクター技術)を駆動する責任を有する制御装置(マイクロコンピュータシステムまたはプロセスコンピュータ)は,監視されて,エラーの場合には,監視ユニットによってオフにされる。このとき,監視は,質問−応答−通信に基づいており,固定されたプロトコルに従わなければならない。
【0022】
アクター技術(LE2R)のイネーブルは,マイクロコンピュータシステム(R1A)と独立した監視ユニット(R1B)が一致した場合(質問−応答−通信は明細設定されたように作動する)にのみ実行される。このイネーブルの原理は,プロセスコンピュータと監視ユニットとの間で実現されている電気的なイネーブル回路(アンド結合)に基づいている。これは,2つのユニットがアクター技術の通常の機能について,論理「1」をイネーブル回路へ印加しなければならないことを意味している。
【0023】
マイクロコンピュータシステム(R1A)内のプロセスがオフにする信号を出力するとすぐにアクター技術の接続が切断される。監視コンポーネント(R1B)は,監視されているユニット(マイクロコンピュータシステムR1A)にエラーがあると認識された場合にのみ,オフにする信号を出力する。
【0024】
しかし,安全上重要なシステムにおいては,質問−応答−通信の範囲を超える,制御装置(プロセスコンピュータ)のための監視機構も必要である。これは,特に,いわゆる−フェイル−サイレント−コンピュータ(Fail−Silent−Rechner)のために大きな役割を果たす。このコンピュータは,定義によって1つの値のみを,かかる値が(正しい時期に)正確に存在し,あるいは認識可能に誤って示された場合に,外部へ出力することができる。そのためにローカルの連続的な監視機能(メモリテスト,蓋然性チェック)がプロセスコンピュータ自体に実装される。しかし,特に安全上重要な課題については,フェイル−サイレント−コンピュータが予測される確実性を満たさない場合を考慮しなければならない。コンピュータは,もはや自分でオフにはできず,若しくは再始動を開始することはできない。独立したユニットが,安全確保されたオフを引継ぎ,あるいは再始動を開始しなければならない。
【0025】
自動車領域内の通信システムを使用することは,最近では,ほぼ全てのメーカーにおいて標準になっている。ソサイティフォアオートモーティブエンジニアリング(Society for Automotive Engineering/SAE)は,通信に対する3つの異なる要請クラス:クラスA,B,Cを定めた。これらのクラスは,様々な実時間要請と使用領域に至るまで,交換される情報の量において異なっている。最高の要請を有するプロトコルクラスは,クラスCである。かかるクラスCについて,SAEの明細書「クラスCの使用のための通信プロトコル(Kommunikationsprotokolle fuer Klasse C Anwendungen)」,SAE J2056/1,1993年6月が入手できる。このクラスCは,X−バイ−ワイヤ−システムのための権限を有するクラスである。
【0026】
X−バイ−ワイヤ−使用に利用することのできる通信システムは,例えばCAN−,TTCAN(Time Triggered CAN)−,TTP/C−またはフレックスレイ−プロトコルである。この種のプロトコルにおける本発明にとって重要なサービスは,加入者−サービス(いわゆるメンバーシップ−サービス)である。その際に,情報証明の機構を介して,全てのアクティブな通信加入者の決定手続内で,通信加入者(マイクロコンピュータシステムまたはプロセスコンピュータ)の所属/アクティビティが設定される。通信加入者の所属/アクティビティに関する情報は,いわゆるメンバーシップ情報として記憶される。所定数の決定サークルに従って,メンバーシップ情報は,安定となり,すなわち全ての加入者から有効と認められる。この決定によって,加入者がインアクティブとして特徴づけられた場合には,かかるノードは,通信にアクティブに参加できなくなる。かかるノードを管轄するプロセスコンピュータは,インアクティブな状態を認識して,その通信コントローラを再びアクティブに切り換えるために(再始動と再同期),処置をとらなければならない。加入者を設定するための機構は,連続的に実施され,かつ本来の通信プロトコルの一部となる。
【0027】
DE19826131A1から明らかにされた従来技術における欠点は,論理的平面Lが常に別個の構成部分において実現されており(例えば電気的ブレーキシステムの車輪モジュール内の),その構成部分は,分配された安全上重要なシステムの内部でさらに多重に設けられなければならないことである。
【0028】
上記の欠点を除去するために,監視ユニットを完全に省き,監視ユニットの課題を分配された安全上重要なシステムの少なくとも1つの他のプロセスコンピュータへ,および/または通信コントローラの少なくとも1つへ移動することが,提案され,それら通信コントローラを介して他のプロセスコンピュータが通信システムに接続されている。
【0029】
本発明の課題は,この種の分配された監視コンセプトにおいて,通信システム若しくは通信コントローラのベース機能,すなわち安全確保されたメッセージ伝送,同時に通信システム内の多数の目標へ向けられたメッセージの送信(いわゆるマルチキャスティング),情報証明および−例えばTTP/C(Time Triggered Protocol for Class C)またはCAN(Controller Area Network)においては−加入者サービスを,通信システムを介することによってプロセッサを安全確保してオフにするための機構だけ拡張する可能性を提供することである。
【0030】
この課題を解決するために,本発明は,冒頭で挙げた種類の方法に基づいて,以下のステップを有する方法を提案する。:
【0031】
−少なくとも1つの第1のプロセスコンピュータのエラーを求めた少なくとも1つの他のプロセスコンピュータは,エラーのある第1のプロセスコンピュータまたはかかる第1のプロセスコンピュータによって駆動されるコンポーネントを駆動するために通信システムを介して駆動メッセージを伝達し;
−駆動メッセージの発信者が,エラーのある第1のプロセスコンピュータを駆動する権限を有しているかを調べ;
−駆動メッセージの発信者が通信システムに接続されており,かつ通信システムを介して通信にアクティブに参加しているかを調べ;
−エラーのある第1のプロセスコンピュータを駆動する権限を有し,通信システムに接続されており,かつ通信システムを介して通信にアクティブに参加している発信者の駆動メッセージの内容に従って,予め設定可能な決定アルゴリズムに従って,エラーのある第1のプロセスコンピュータおよび/またはコンポーネントがどのように駆動されるかを決定され;かつ
−エラーのある第1のプロセスコンピュータおよび/またはコンポーネントが,それに応じて駆動される。
【0032】
発明の利点
従って本発明によれば,ローカルまたはグローバルに提供可能な情報が設けられており,その情報によって通信システム内部の分配された監視コンセプトのより安全かつ確実な実現を達成することができる。かかる情報は,第1のプロセスコンピュータについては,それぞれローカルなリストに関するものであって,かかるリストの中に,エラーの場合にそれぞれ第1のプロセスコンピュータを駆動する(例えばオフにする)ことのできる他のプロセスコンピュータが設けられている。さらに情報は,グローバルなリストに関し,そのリスト内には,通信システムに接続されており,かつ通信システムを介して通信にアクティブに参加しているプロセスコンピュータが設けられている。このリストのために,例えば加入者サービスのメンバーシップ情報を利用することができる。また情報は,それぞれ他のプロセスコンピュータについて,グローバルに提供可能なリストに関し,かかるリスト内には,それぞれ他のプロセスコンピュータにエラーがあると認識し,従って駆動する(例えばオフにする)ことのできる第1のプロセスコンピュータが設けられている。
【0033】
本発明は,多数のプロセスコンピュータを有する通信システムに基づいている。プロセスコンピュータは,2つのグループに,すなわち一方では,監視される第1のプロセスコンピュータとして,他方では,監視する他のプロセスコンピュータとして分割されている。分配されたシステムのプロセスコンピュータのいずれかが第1のグループに属し,いずれかが第2のグループに属しているかについては,定義の問題である。1つの同じプロセスコンピュータが,一方では,他のプロセスコンピュータの1つまたは複数によって監視されることにより,第1のグループに属し,他方では,1つまたは複数の他の(第1の)プロセスコンピュータを監視することにより,第2のグループに属することも容易に考えられる。
【0034】
本発明によって,通信システム若しくは通信プロトコルのベース機能,すなわち安全確保されたメッセージ伝送,マルチキャスティング,情報証明および加入者サービスは,通信システムを介してプロセスコンピュータを安全確保してオフにする機構によって拡張される。その場合に通信システムは,従来技術においては,ハードウェアにおいて(配線により)実現されていたオフレーン(例えばブレーキ−バイ−ワイヤ−システムにおける車輪コンピュータへの星状の配線を有する監視ユニット)の代用をする。通信システムは,従来技術に従って,制御装置のプロセスコンピュータにローカルに実装されたインテリジェントウォッチドッグ(しばしば単純なハードウェア回路の形式)を,通信システム内の任意に選択されたプロセスコンピュータへ移動させることができる。その際に,分配されたシステム内で既に設けられている制御装置のプロセスコンピュータが利用されることが好ましい。拡張されたウォッチドッグ機能,例えば相手コンピュータによる蓋然性チェックは,それによってより簡単に実現することができる。
【0035】
しかし,通信システム内で安全確保してオフにするための付加的な機構は,分配された監視コンセプトも可能にする。このことは,プロセスコンピュータがインテリジェントなウォッチドッグの機能を引き受けるだけでなく,多数の制御装置は,かかるプロセスコンピュータによって,通信システムを介して駆動若しくはオフをもたらすことができることを意味している。
【0036】
今日の自動車内に既に標準化されている通信システムおよびかかるシステムに結びついたバス配線(単線または二線導線)が,オフレーンとして利用される。このとき,通信システムのユニット間におけるオフレーンのために明確な配線は,不要である。通信システムは,駆動プロトコル若しくはオフプロトコルを実施して,通常のプロトコルシーケンス(メッセージの本来の送信と受信,情報証明および加入者サービス)に組み込まれている。その際に,通信コントローラのわずかな負担増は,発生するが,既にある制御装置(プロセスコンピュータ)の利用における著しい改良が得られる。さらに,通信システムは,駆動プロトコル若しくはオフプロトコルを開始若しくは実行に移すために,プロセスコンピュータへのソフトウェア−およびハードウェアインターフェイスを提供する。
【0037】
従って,分配された安全上重要なシステムのコンポーネント(アクター技術)が本発明に基づく方法に従って,かかるシステムを介して駆動される,イネーブル回路は,一方では,プロセスコンピュータによって,他方では,通信コントローラによって操作される。従って,通信システムを介してコンポーネントを駆動若しくはオフにすることが可能となる。さらにプロセスコンピュータ自体も通信コントローラと結合されることができるので,コンポーネントを駆動するプロセスコンピュータ自体が,例えば通信コントローラをプロセスコンピュータのリセット線に接続することによって,駆動若しくはオフにされることができる。
【0038】
本発明の好適な展開によれば,駆動メッセージによってエラーのある第1のプロセスコンピュータおよび/または第1のプロセスコンピュータによって駆動されるコンポーネントのオフが実行されることが提案される。
【0039】
本発明の好適な実施形態によれば,少なくとも1つの第1のプロセスコンピュータの通信コントローラ内に,ローカルな権限リストが設けられており,それを用いて,駆動メッセージの発信者の識別子が権限リストの内容と比較されることによって,駆動メッセージの発信者がエラーのある第1のプロセスコンピュータを駆動する権限を有しているかを検査されることが提案される。
【0040】
本発明の他の好適な実施形態によれば,通信システム内にグローバルな加入者リストが設けられており,それを用いて,駆動メッセージの発信者の識別子が加入者リストの内容と比較されることによって,駆動メッセージの発信者が通信システムに接続されており,かつ通信システムを介して通信にアクティブに参加しているかを調べられることが提案される。
【0041】
本発明の他の好適な展開によれば,少なくとも1つの第1のプロセスコンピュータについて多数の駆動メッセージが存在する場合に,駆動メッセージの内容に従って多数決に基づいて,エラーのある第1のプロセスコンピュータおよび/またはコンポーネントがいかに駆動されるかを決定されることが提案される。
【0042】
このとき,エラーのある第1のプロセスコンピュータおよび/またはコンポーネントの成功裏に実行された駆動は,駆動メッセージの少なくとも1つの発信者に伝達されることが好ましい。
【0043】
このとき,エラーのある第1のプロセスコンピュータおよび/またはコンポーネントの成功裏に実行された駆動は,エラーのある第1のプロセスコンピュータが通信システム内に設けられているグローバルな加入者リストから抹消されることによって,全てのプロセスコンピュータへ伝達され,その際に通信加入者リスト内には,通信システムに接続されており,かつ通信システムを介して通信にアクティブに参加しているプロセスコンピュータが設けられていることが好ましい。
【0044】
本発明の課題の他の解決として,冒頭で挙げた種類の分配された安全上重要なシステムに基づいて,
−他のプロセスコンピュータの少なくとも1つは,第1のプロセスコンピュータの少なくとも1つのもののエラーを求める手段,および少なくとも1つのエラーのある第1のプロセスコンピュータがエラーを有する場合に,エラーのある第1のプロセスコンピュータおよび/または第1のプロセスコンピュータによって駆動されるコンポーネントを駆動するための駆動メッセージが通信システムを介して伝達される手段を有しており;
−エラーのある第1のプロセスコンピュータの通信コントローラに,駆動メッセージの発信者が,エラーのある第1のプロセスコンピュータを駆動する権限を有しているかの情報が提供され;
−エラーのある第1のプロセスコンピュータの通信コントローラに,駆動メッセージの発信者が通信システムに接続されており,かつ通信システムを介して通信にアクティブに参加しているかの情報が提供され;
−エラーのある第1のプロセスコンピュータの通信コントローラは,予め設定可能な決定アルゴリズムに従って,エラーのある第1のプロセスコンピュータおよび/またはコンポーネントが,エラーのある第1のプロセスコンピュータを駆動する権限を有しており,かつ通信システムに接続されており,通信システムを介して通信にアクティブに参加している発信者の駆動メッセージの内容に従っていかにして駆動されるかを決定する手段を有しており;かつ
−エラーのある第1のプロセスコンピュータの通信コントローラは,エラーのある第1のプロセスコンピュータおよび/またはコンポーネントをそれに応じて駆動する手段を有している,
ことが提案される。
【0045】
本発明の好適な展開によれば,駆動メッセージの発信者が,エラーのある第1のプロセスコンピュータを駆動する権限を有しているかの情報が,少なくとも1つの第1のプロセスコンピュータの通信コントローラ内に設けられているローカルな権限リストの形式で提供されることが提案される。
【0046】
本発明の好適な実施形態によれば,駆動メッセージの発信者が通信システムに接続されており,かつ通信システムを介して通信にアクティブに参加しているかの情報が,通信システム内に設けられているグローバルな加入者リストの形式で提供されることが提案される。
【0047】
本発明の課題のさらに他の解決として,冒頭で挙げた種類の通信コントローラに基づいて,通信プロトコルが通信コントローラに,
−少なくとも1つの第1のエラーのあるプロセスコンピュータおよび/または第1のエラーのあるプロセスコンピュータによって駆動されるコンポーネントを駆動するための駆動メッセージが通信システムを介して伝達される,他のプロセスコンピュータの1つが,通信システムに接続されており,かつ通信システムを介して通信にアクティブに参加しているかを検査すること;
−駆動メッセージの発信者が,エラーのある第1のプロセスコンピュータを駆動する権限を有しているかを検査すること;
−予め設定可能な決定アルゴリズムに従って,第1のプロセスコンピュータおよび/またはコンポーネントが,エラーのある第1のプロセスコンピュータを駆動する権限を有し,かつ通信システムに接続されており,かつ通信システムを介して通信にアクティブに参加している発信者の駆動メッセージの内容に従ってどのように駆動されるかを決定すること;および
−それに応じて第1のプロセスコンピュータおよび/またはコンポーネントを駆動すること,
を可能にする機構だけ補足されていることが提案される。
【0048】
本発明の好適な展開によれば,通信プロトコルは,本発明に基づく方法を実施するための機構だけ補足されていることが提案される。
【0049】
また,本発明の課題のさらに他の解決として,冒頭で挙げた種類の通信プロトコルに基づいて,通信プロトコルが,
−少なくとも1つの第1のエラーのあるプロセスコンピュータおよび/または第1のエラーのあるプロセスコンピュータによって駆動されるコンポーネントを駆動するための駆動メッセージが通信システムを介して伝達される他のプロセスコンピュータの1つが,通信システムに接続されており,かつ通信システムを介して通信にアクティブに参加しているかを検査し;
−駆動メッセージの発信者が,エラーのある第1のプロセスコンピュータを駆動する権限を有しているかを調べ;
−予め設定可能な決定アルゴリズムに従って,第1のプロセスコンピュータおよび/またはコンポーネントが,エラーのある第1のプロセスコンピュータを駆動する権限を有し,かつ通信システムに接続されており,かつ通信システムを介して通信にアクティブに参加している発信者の駆動メッセージの内容に従って,どのように駆動されるかを決定し;かつ
−それに応じて第1のプロセスコンピュータおよび/またはコンポーネントを駆動する機構だけ補足されていることが提案される。
【0050】
本発明の好適な展開によれば,通信プロトコルは,本発明に基づく方法を実施するための機構だけ補足されていることが提案される。
【0051】
本発明の他の特徴,使用可能性および利点は,図面に示される本発明の実施例についての以下の説明から明らかにされる。その場合に全ての記載されている,あるいは図示されている特徴は,それ自体あるいは任意の組み合わせにおいて,特許請求項におけるその要約またはその帰属に関係なく,かつ詳細な説明ないし図面におけるその表現若しくは図示に関係なく,本発明の対象を形成するものである。
【0052】
実施例の説明
本発明を,以下で電気的なブレーキシステムを用いて詳細に説明する。しかし,本発明は電気的なブレーキシステムに限定されるものではなく,むしろ任意の分配された安全上重要なシステムに使用することができる。本発明は,付加的な監視ユニットを使用せずに,安全上重要なシステムのコンポーネントAktの確実なイネーブルを許す。監視ユニットの課題は,むしろ分配されたシステムの他のプロセスコンピュータPによって引き受けられ,かかるプロセスコンピュータは,本来システム内に存在しており,かつ該当する機能の分だけ拡張されている。
【0053】
ブレーキシステムは,制動すべき各車輪について,車輪モジュールR,Rを有している。各車輪モジュールR,Rは,マイクロコンピュータシステムP,Pとイネーブル回路FS,FSを有している。マイクロコンピュータシステムP,Pは,それぞれプロセスコンピュータPro,Proとインテリジェント通信コントローラS,Sを有している。マイクロコンピュータシステムR,PのプロセスコンピュータPro,Proと通信コントローラS,Sは,半導体モジュール(いわゆるチップ)上にまとめることができる。しかし,それらは,常に互いに依存しない別体のユニットとして形成されている。各車輪モジュールR,Rは,通信コントローラS,Sを介して,物理的なデータバスの形式の通信システムKに接続されている。データバスを介してデータは,例えばCAN(Controller Area Network)−,TTCAN(Time Triggered CAN)−,TTP/C(Time Triggered Protocol for ClassC)−またはフレックスレイ−プロトコルに従って伝送することができる。車輪モジュールR,Rは,それぞれアクター技術Akt,Aktの形式のコンポーネントを制御し,かかるアクター技術は,例えば車輪ブレーキを操作若しくは緩めるための電気モータとして形成されている。
【0054】
図1には,分配された監視コンセプトの可能な実施形態において,2つの車輪モジュールの内部構造とその中で遂行される信号の流れが示されている。車輪モジュールRの(もっと正確に言うと,プロセスコンピュータProの)課題は,電気的なブレーキシステムのアクター技術Aktの駆動である。アクター技術Aktを駆動する場合に重要なのは,アクター技術AktがマイクロコンピュータシステムPのエラーのある駆動信号A11によって駆動されることを防止することである。かかる動作は,駆動信号A11が十分に高い確率でエラーのないことが確認された場合にのみ,さらにアクター技術Aktへ供給されるべきであることを意味している。従ってアクター技術Aktの駆動は,大体において以下のステップを有している。:
【0055】
a)マイクロコンピュータシステムPのプロセッサProは,少なくとも1つの入力信号に従ってプログラムコードを処理することにより,アクター技術Aktのための少なくとも1つの駆動信号A11を求める。入力信号は,ブレーキシステムと自動車の実際状態に関する情報を含んでおり,データバスKを介して第1の車輪モジュールRへ伝達される。
【0056】
b)他のマイクロコンピュータシステムPのプロセッサPro(例えばm=2…4)は,同様に同じプログラムコードを同じ入力信号に従って処理することにより,論理的な駆動信号Am1を求める。かかる動作は,プロセッサPro内で,アクターAktのための駆動信号Am1を求めるプログラムコードの他に,さらにプロセッサProからプログラムコードが提供されなければならないことを前提としている。多数の同種の車輪モジュールR,Rを有する本例においては,かかる前提は,付加的な手間ではなく,最少の手間のみを意味する。なぜなら,プロセッサPro上で遂行されるプログラムコードは,ほぼ等しいからである。従って,プロセッサPro内で元来提供されているプログラムコードを論理的な駆動信号A1mで得るために,第1の車輪モジュールRの入力信号によって処理することができる。かかる簡略化は,同種の駆動モジュールを有する全ての分配されたシステムに該当する。入力信号は,データバスKを介してマイクロコンピュータシステムPへ伝達することができる。プロセスコンピュータPro,Proの機能が正しい場合には,駆動信号A11と論理的な駆動信号A1mは,同一である。
【0057】
c)駆動信号A11は,他のマイクロコンピュータシステムPのプロセスコンピュータPro内で,前もってプロセスコンピュータPro内で求められた駆動信号A11と比較される。そのためには,駆動信号A11がデータバスKを介して他のマイクロコンピュータシステムPへ伝達されなければならない。他のマイクロコンピュータシステムPは,ステータス情報を生成し,かかるステータス情報がデータバスKを介して第1のマイクロコンピュータシステムPの通信コントローラSへ伝達される。分配された監視コンセプトを実現するために通信システムKを介して伝達されなければならない情報は,例えば1つまたは複数のビットからなる。その際,伝達するための情報をデータバスKの通信プロトコルへ組み込むことが考えられる。
【0058】
d)第1のマイクロコンピュータシステムPの通信コントローラSは,詳しいステータス情報を評価して,該当するステータスの場合に(例えばプロセスコンピュータProの正しい機能方法が信号化された場合に),イネーブル信号Fを生成する。ステータス情報の評価は,様々な方法で実行可能である。例えば,ステータス情報SF1mの比較,論理的な(好ましくはアンド−)結合または多数決とすることができる。
【0059】
e)少なくとも1つのイネーブル信号Fが予め設定可能な値を有する場合に,少なくとも1つの駆動信号A11またはそれに従った少なくとも1つの信号がアクター技術Aktへ供給される。これを検査するために,イネーブル回路RS内で駆動信号A11とイネーブル信号Fのアンド結合が実施される。イネーブル信号Fが論理的に1である場合には,駆動信号A11は,アクター技術Aktへ供給される。しかし,イネーブル信号Fが論理的にゼロである場合には,駆動信号A11は,アクター技術Aktへは伝達されない。
【0060】
上述した方法によって,マイクロコンピュータシステムPのプロセッサProの機能能力を調べて,アクター技術Aktの確実なイネーブルを得ることができる。プロセッサProを調べるためには,主として他のマイクロコンピュータシステムPのプロセッサProが使用される。しかし同様にして,本発明に基づく方法を他のマイクロコンピュータシステムPのプロセッサProの機能能力を検査し,アクター技術Aktを確実にイネーブルにするために使用することもできる。その場合に残りのプロセッサPro(検査すべきプロセッサなし)と第1のマイクロコンピュータシステムPのプロセッサProが,検査するために利用される。従って安全上重要な分配されたブレーキシステムの内部の個々のマイクロコンピュータシステムP,Pは,一方では,それに対応づけられているアクター技術Akt,Aktのための駆動信号A11,Am1を求めるという一次課題を有し,他方では,一次課題が満たされた場合に,残りのプロセッサの機能を管理するという二次課題を有している。従って,付加的な監視ユニットを使用しないで,アクターAkt,Aktの確実で,かつさらに冗長で有効なイネーブルの可能性が提供される。
【0061】
図3には,車輪モジュールRが部分的に示されている。通信システムKを介して安全確保されたオフレーンを実現するために,通信コントローラSとプロセスコンピュータProとの間にソフトウェアインターフェイスSSが設けられている。かかるインターフェイスSSは,他のプロセスコンピュータProによるオフベクトルの形式の駆動メッセージをセットするため,および通信コントローラSを介して受信した,実際の有効なオフベクトルを照会するために使用される。
【0062】
分配された監視コンセプトを実現するためには,さらに通信コントローラSからイネーブル回路FSへ案内されているハードウェアインターフェイスが必要である。かかるハードウェアインターフェイスは,特にプロセスコンピュータProが実際のオフベクトルを読み出して,アクター技術Aktをオフにできないエラー状況において,通信コントローラSによってアクター技術Aktをオフにするために使用される。そのために接続ピンFが設けられており,通信線を介してイネーブル回路FSへ導かれている。かかるピンFは,通常の場合(オフコマンドが存在しない)には,通信コントローラSによるアクター技術Aktのイネーブルを保証するために,論理的な1に保持される。オフコマンドが存在する場合には,イネーブル回路FSへの接続ピンFは,イネーブルを保証するために,論理的ゼロへ切り換えられなければならない。
【0063】
今日の自動車内には,既に標準化されている通信システムKとかかる通信システムKに接続されたバス配線(単線または二線式回線)は,分配された監視コンセプトにおいてオフレーンとして利用される。分配されたシステムのユニット間にオフレーンのための明確な配線は,不要である。通信システムKは,通常のプロトコルシーケンス(メッセージの本来の送信と受信,情報証明およびいわゆる加入者サービス)に組み込まれているオフプロトコルを実施する。その際に,プロトコルコンピュータ(通信コントローラS)のわずかな負担増は,発生するが,既存の制御装置(P,P)若しくはプロセスコンピュータ(Pro,Pro)の負担減に関して著しい改善が得られる。さらに,通信システムKは,駆動若しくはオフプロトコルを開始し,若しくは実行に移すために,プロセスコンピュータPro,Proへのソフトウェア−およびハードウェアインターフェイスを提供する。
【0064】
従って,上述した分配された監視コンセプトにおいて,イネーブル回路FSは,一方ではプロセスコンピュータProによって,他方では,通信コントローラSによって操作される。従って,本特許出願に記載されているオフ機構によってアクター技術Aktを,通信システムKを介してオフにすることが可能である。さらに,プロセスコンピュータPro自体も通信コントローラSと結合することができるので,例えばプロセスコンピュータProのリセット線Bに結合することによって,プロセスコンピュータProをオフにすることもできる。
【0065】
通信システムKを介して安全確保されたオフレーンを実現することは,その通信コントローラS,SによってデータバスKに接続されている,各制御装置Pro,Proによってほぼ可能である。通信コントローラS,Sは,通信プロトコル内のオフプロトコルを実行に移さなければならない。オフプロトコルとそのために必要なコンフィグレーションデータ若しくはインターフェイスSS,Fについて,以下で説明する。
【0066】
通信コントローラS内には,どのマイクロコンピュータシステムP若しくはどのプロセスコンピュータProが,通信コントローラSに対応づけられたプロセスコンピュータProをオフにする権限を有しているかに関する静的な情報が格納されている。かかる静的な情報は,通信コントローラS内の例えばフラッシューEPROM(Erasable and Programmable Read Only Memory)に格納されている。
【0067】
かかる静的な情報は,以下の内容にまとめることができる。:
【0068】
・ローカルな通信コントローラSの識別子。これは,幾つかのプロトコル,例えばTTP/Cにおいては,既に存在している。
【0069】
・その中に通信コントローラの識別子が記載されている,ローカル(個別)リストであって,ローカルなプロセスコンピュータPro若しくはかかるプロセスコンピュータProによって駆動されるアクター技術Aktをオフにするためのオフメッセージは,通信コントローラSを介して案内されなければならない。リストは,権限を有する通信コントローラの数,例えば3エントリーに制限されていることが好ましい。
【0070】
さらに,静的な情報内で,権限のあるオフは,プロセスコンピュータProへ通じるインターフェイスSS内でのみ表示されるべきか,あるいはオフメッセージが適当な配線を介してイネーブル回路FSへも供給されるべきかについて構成されなければならない。
【0071】
オフベクトルは,ビットベクトルであって,分配された安全上重要なシステム全体内のm番目の加入者を表している。所定のビット位置は,所定の通信コントローラS,Sの識別子に割り当てられている。オフベクトル内で,制御装置P,P当たり2つの状態を示すことができる。:
【0072】
ゼロ:該当するビット位置に識別子を有する通信コントローラへのオフコマンドは存在しない。
【0073】
1:ビット位置に相当する通信コントローラのためのオフコマンドが存在する。
【0074】
オフベクトルは,帯域幅またはプロトコルデータ(メッセージパケット内で有効データと一緒に通信システムKを介して送信される,プロトコルシーケンスのための制御データ)の数が制限されている理由から短縮することができる。その場合にオフベクトル内には,選択された制御装置P,Pのみが示される。
【0075】
分配された監視コンセプトを本発明に基づいて実現するために,さらに,オフベクトルの発信者が通信システムKに接続されており,かつ通信システムKを介して通信に参加しているかについての情報へアクセスされる。かかる情報は,多くの通信プロトコルによって標準的に提供される。この機能は,通信プロトコル内では,加入者サービスまたはメンバーシップサービスとも称される。その場合に,かかる情報は,いわゆるメンバーシップ情報に含まれている。その際に,情報証明の機構を介して,全てのアクティブな通信加入者の決定手続内でプロセスコンピュータPro,Proの所属/アクティビティが設定される。所定数の決定サークルに従って,メンバーシップ情報は,安定であり,すなわちかかるメンバーシップ情報は,全ての加入者によって有効であると承認される。
【0076】
この決定によって制御装置P,Pがインアクティブとして特徴づけられた場合には,かかる制御装置は,通信にアクティブに参加することができない。担当のプロセスコンピュータPro,Proは,かかる状態を認識して,それに対応づけられた通信コントローラS,Sを再びアクティブに切り換える手段をとらなければならない(再始動と再同期化)。アクティブな加入者(メンバーシップ)を定める機構は,連続的に実施され,かつ本来の通信プロトコルの一部である。メンバーシップ情報は,通信システムK内でメンバーシップベクトルMeの形式で提供される。
【0077】
本発明に基づく方法を実施するための初期状況は,機能している加入者(通信コントローラS,Sとその制御装置P,P若しくはプロセスコンピュータPro,Pro)を有するアクティブな分配されたシステムである。従ってメンバーシップ情報Meは,各加入者について「1」になっており,オフのための要請(オフベクトルAb)は存在しない。この初期状況が,図4と5のステップ1に,4つの加入者A,B,C,Dを有する分配されたシステムについて示されている。図4は,唯一の有権者によるオフプロトコルを示しており(加入者Aは加入者Dによってのみオフにすることができる),それに対して図5は,オフプロトコルは,3人の有権者と絶対的多数決によるオフプロトコルを示している(加入者Aは,3人の他の加入者B,C,Dのうちの少なくとも2人によって加入者Aのオフが支持された場合に,オフにされる)。
【0078】
オブベクトルAbは,所定の制御装置Pのためのビット位置が「1」にセットされるとすぐに,かかる制御装置Pについて権限のある制御装置Pのオフ指令を表す。オフベクトルは,通信プロトコルによって発信者Pにおいてメッセージの残りの制御データと共にコード化されて,送信される(図4と5のステップ2を参照)。
【0079】
通信システムKは,マルチキャストメッセージに基づいている。それによって各アクティブな制御装置P,Pは,送信されてエラーなしと認められた全てのメッセージを受信し,その後ローカルなプロトコル機構を開始すると仮定することができる。メッセージの正確さが,所定数の他の送信プロセスの後に初めて決定される特殊な場合(例えばTTP/Cにおいて)は,別に扱わなければならない。かかる特殊な場合は,受信されたオフベクトルもこの最終的に有効な決定までは無効であると考えなければならないことを意味している。通信コントローラSは,受信したプロトコルデータからオフベクトルAbの情報を取り出す。
【0080】
プロトコル実現に基づいて発信者Pの識別子が明らかにされている場合には,受信者Sにおいて権限の検査を実行可能である。受信者Sは,送信時点,メッセージ識別子およびオフ権限についての静的な情報の関連を介して,メッセージの発信者Pの識別子を認識する。発信者Pの同定が明白に定められていない場合には,オフベクトルAbに加えて発信者Pの識別子が一緒に伝達されなければならない。
【0081】
図4に示すオフプロトコルにおいては,加入者DのオフベクトルAb内に,加入者Aの識別子と一致するビット個所がセットされている。加入者Aのローカルな権限リスト内に,加入者Dは,オフをするための有権者として登録されている。この理由から,ステップ3においては,加入者Aのプロセスコンピュータおよび/またはプロセスコンピュータによって駆動されるアクター技術のオフが実行される。
【0082】
通信コントローラSは,ソフトウェアインターフェイスSS内のオフベクトルAbのステータスを図4の実際の状態にセットする(図4のステップ3と図3のSSを参照)。通信コントローラSは,イネーブル回路FSを介してアクター技術のオフを開始するために,ハードウェアインターフェイスに設けられている接続ピンにオフのためのレベルをセットする(図4のステップ3,および図3の信号Fと信号Bを参照)。通信コントローラSは,パッシブな状態に変化し,すなわちかかる通信コントローラは,通信システムKを介して通信には参加しない。かかる手段によって,他の加入者B,C,Dに,ノード全体(制御装置,アクター技術,センサ技術および加入者Aの通信コントローラ)が提供されないことを信号で知らせる。このことは,該当するビット個所が「0」にセットされることによって,分配されたシステム内の他の加入者B,C,DのメンバーシップベクトルMe内の加入者Aの消去をもたらす(図4のステップ4を参照)。オフにされた加入者Aのメンバーシップエントリーがないことによって,オフベクトルAbの発信者Dは,かかるオフ指令の成果を介してコンファメーションを受け取る。オフベクトルAb内でセットが繰り返されることは,不要となる(図4のステップ5を参照)。オフベクトルAb内で,加入者Aに相当するビット個所は,オフ指令のコンファメーションが存在するまで頻繁にセットされる。
【0083】
図5のオフプロトコルにおいて,加入者Aのオフは,一方で,オフベクトルAb内にセットされたビット個所が加入者Aの識別子と一致し,他方では,権限を有する加入者B,C,D間で加入者Aのオフに関する一致が支配している場合にのみ実行され,その場合にローカルな権限リスト内に3人の加入者B,C,Dは,全て加入者Aをオフにする有権者として登録されている。
【0084】
これを実現するために,種々の加入者B,C,DのオフベクトルAbが集められなければならない。所定の加入者B,CまたはDのオフベクトルAbは,加入者B,CまたはDが通信プロトコルのメンバーシップベクトルMe内でアクティブとして特徴づけられている場合にのみ集めることができる(図5のステップ3から5を参照)。それによって,加入者Aのオフが必要であるが,加入者B,C,D自体の1つがアクティブではなく,インアクティブな加入者B,CまたはDのオフ指令が欠けるので,加入者Aのオフが阻止されてしまう状況が発生し得ることが防止される。
【0085】
全ての権限を有する加入者B,C,DがそのオフベクトルAbB,AbC,AbDを伝達した後に,予め設定可能な決定アルゴリズムに従って同調プロセスが開始される。かかる同調のために,この場合においては,アクティブな権限のある加入者B,C,Dの絶対多数決が選択される。例えば三分の二選択のような,他の決定アルゴリズムも,同様に実現することができる。使用すべき決定アルゴリズムの選択,例えば絶対多数決−,三分の二選択−または少なくとも1(at least one)の意味論の選択は,通信コントローラS内のコンフィグレーションによって調節することができる。従って図5に示す実施例において,加入者Aは,全ての権限のある加入者B,C,DがそれぞれのオフベクトルAbB,AbC,AbDを介して加入者Aのオフを要求した場合に,初めてオフにされる(図5のステップ5を参照)。通信コントローラSは,ソフトウェアインターフェイス内のオフベクトルAbのステータスを実際の状態にセットする(図5のステップ5および図3のSSを参照)。通信コントローラSは,イネーブル回路FSを介してオフを開始するために,ハードウェアインターフェイス内に設けられている接続ピンにオフのためのレベルをセットする(図5のステップ5および図3の信号Fと信号B)。通信コントローラSは,パッシブな状態に変化し,すなわち,かかる通信コントローラは,もはや通信には参加しない。この手段によって,他の加入者B,C,Dには,制御装置,アクター技術,センサ技術および通信コントローラを含むノード全体が提供されないことが信号で知らされる。このことは,分配されたシステムにおける他の加入者B,C,DのメンバーシップベクトルMe内の加入者Aの消去をもたらす(図5のステップ6を参照)。オフにされた加入者Aのメンバーシップエントリーがないことにより,オフベクトルAbの発信者(加入者B,C,D)は,オフ指令の成果を介してコンファメーションを受け取る。加入者Aに相当するビット個所をオフベクトルAb内に繰り返しセットすることは,この時点で必要ない(図5のステップ7を参照)。オフベクトルAbの各発信者Proは,かかるオフベクトル内に加入者Aに相当するビット個所を,オフにすべき加入者Aの成功裏に実行されたオフに関するコンファメーションがメンバーシップベクトルMe内に該当する加入者Aがないこと
により,伝達されるまでの間にセットする。
【図面の簡単な説明】
【図1】
好適な実施形態に基づく,本発明に従って分配された安全上重要なシステムの一部を示している。
【図2】
従来技術から知られている,分配された安全上重要なシステムの駆動モジュールを示している。
【図3】
図1に基づく駆動モジュールの内部のイネーブル信号を示している。
【図4】
本発明に基づく方法の第1の好適な実施形態によるオフプロトコルを示している。
【図5】
本発明に基づく方法の第2の好適な実施形態によるオフプロトコルを示している。

Claims (14)

  1. システムのコンポーネント(Akt)を駆動するための少なくとも1つの第1のプロセスコンピュータ(Pro)と,少なくとも1つの他のプロセスコンピュータ(Pro)とを有し,
    その際に前記プロセスコンピュータ(Pro,Pro)は,それぞれ通信コントローラ(S,S)を介して通信システム(K)に接続されており,
    かつ前記少なくとも1つの第1のプロセスコンピュータ(Pro)の機能能力が,前記少なくとも1つの他のプロセスコンピュータ(Pro)によって検査される分配された安全上重要なシステム,特に自動車内のX−バイ−ワイヤ−システムを駆動する方法において,
    次のステップ,すなわち:
    −少なくとも1つの前記第1のプロセスコンピュータ(Pro)のエラーを求めた少なくとも1つの前記他のプロセスコンピュータ(Pro)は,前記エラーのある第1のプロセスコンピュータ(Pro)または前記駆動されるコンポーネント(Akt)を駆動するために前記通信システム(K)を介して駆動メッセージ(Ab)を伝達し;
    −前記駆動メッセージ(Ab)の発信者が,前記エラーのある第1のプロセスコンピュータ(Pro)を駆動する権限を有しているかを調べ;
    −前記駆動メッセージ(Ab)の前記発信者が,前記通信システム(K)に接続され,かつ前記通信システム(K)を介して通信にアクティブに参加しているかを調べ;
    −前記エラーのある第1のプロセスコンピュータ(Pro)を駆動する権限を有し,かつ前記通信システム(K)に接続されており,かつ前記通信システム(K)を介して前記通信にアクティブに参加している発信者の前記駆動メッセージ(Ab)の内容に従い,予め設定可能な決定アルゴリズムによって,前記エラーのある第1のプロセスコンピュータ(Pro)および/または前記コンポーネント(Akt)がどのように駆動されるかが決定され;かつ
    −前記エラーのある第1のプロセスコンピュータ(Pro)および/または前記コンポーネント(Akt)がそれに従って駆動されることを特徴とする,分配された安全上重要なシステムを駆動する方法。
  2. 前記駆動メッセージによって,前記エラーのある第1のプロセスコンピュータ(Pro)および/または前記コンポーネント(Akt)の接続が切断されることを特徴とする,請求項1に記載の方法。
  3. 前記少なくとも1つの第1のプロセスコンピュータ(Pro)の前記通信コントローラ(S)内に,ローカルな権限リスト(Be)が設けられており,
    該権限リストを用いて,前記駆動メッセージ(Ab)の前記発信者の識別子が前記権限リスト(Be)の内容と比較されることにより,前記駆動メッセージ(Ab)の前記発信者が前記エラーのある第1のプロセスコンピュータ(Pro)を駆動する権限を有しているかを調べられることを特徴とする,請求項1または2に記載の方法。
  4. 前記通信システム(K)内に包括的な加入者リスト(Me)が設けられており,
    該加入者リストを用いて,前記駆動メッセージ(Ab)の前記発信者の識別子が前記加入者リスト(Me)の内容と比較されることにより,前記駆動メッセージ(Ab)の発信者が前記通信システム(K)に接続されており,
    かつ前記通信システム(K)を介して前記通信にアクティブに参加しているかを調べられることを特徴とする,請求項1から3のいずれか1項に記載の方法。
  5. 前記少なくとも1つの第1のプロセスコンピュータ(Pro)について多数の駆動メッセージ(Ab)が存在する場合に,前記駆動メッセージ(Ab)の内容に従い,多数決決定に基づいて,前記エラーのあるプロセスコンピュータ(Pro)および/または前記コンポーネント(Akt)が駆動されるかが決定されることを特徴とする,請求項1から4のいずれか1項に記載の方法。
  6. 前記エラーのある第1のプロセスコンピュータ(Pro)および/または前記コンポーネント(Akt)の成功裏に実行された駆動が,前記駆動メッセージ(Ab)の少なくとも1つの発信者に伝達されることを特徴とする,請求項1から5のいずれか1項に記載の方法。
  7. 前記エラーのある第1のプロセスコンピュータ(Pro)および/または前記コンポーネント(Akt)の前記成功裏に実行された駆動が,前記エラーのある第1のプロセスコンピュータ(Pro)が前記通信システム(K)内に設けられている包括的な加入者リスト(Me)から抹消されることにより,全てのプロセスコンピュータ(Pro)に伝達され,
    その際に前記加入者リスト(Me)内に,前記通信システム(K)に接続されており,かつ前記通信システム(K)を介して前記通信にアクティブに参加している前記プロセスコンピュータ(Pro)が記載されていることを特徴とする,請求項6に記載の方法。
  8. システムのコンポーネント(Akt)を駆動するための少なくとも1つの第1のプロセスコンピュータ(Pro)と少なくとも1つの他のプロセスコンピュータ(Pro)とを有し,
    その際に前記プロセスコンピュータ(Pro,Pro)は,それぞれ通信コントローラ(S,S)を介して通信システム(K)に接続されており,
    かつ前記少なくとも1つの第1のプロセスコンピュータ(Pro)の機能能力の監視が,前記少なくとも1つの他のプロセスコンピュータ(Pro)によって実行される,分配された安全上重要なシステム,特に自動車内のX−バイ−ワイヤ−システムにおいて,
    −少なくとも1つの前記他のプロセスコンピュータ(Pro)は,少なくとも1つの前記第1のプロセスコンピュータ(Pro)のエラーを求める手段と,前記少なくとも1つのエラーのある第1のプロセスコンピュータ(Pro)がエラーを有する場合に,前記エラーのある第1のプロセスコンピュータ(Pro)および/または前記駆動されるコンポーネント(Akt)を駆動するための駆動メッセージ(Ab)を前記通信システム(K)を介して伝達するための手段とを有しており;
    −前記エラーのある第1のプロセスコンピュータ(Pro)の前記通信コントローラ(S)に,前記駆動メッセージ(Ab)の発信者が前記エラーのある第1のプロセスコンピュータ(Pro)を駆動する権限を有しているかの情報が提供され;
    −前記エラーのあるプロセスコンピュータ(Pro)の前記通信コントローラ(S)に,前記駆動メッセージ(Ab)の発信者が前記通信システム(K)に接続されており,かつ該通信システム(K)を介してアクティブに通信に参加しているかについての情報が提供され;
    −前記エラーのある第1のプロセスコンピュータ(Pro)の前記通信コントローラ(S)は,予め設定可能な決定アルゴリズムに従って,前記エラーのある第1のプロセスコンピュータ(Pro)および/または前記コンポーネント(Akt)が,前記エラーのある第1のプロセスコンピュータ(Pro)を駆動する権限を有し,かつ前記通信システム(K)に接続されており,かつ前記通信システム(K)を介して通信にアクティブに参加している発信者の前記駆動メッセージ(Ab)の内容に従って,どのように駆動されるかを決定するための手段を有しており;かつ
    −前記エラーのある第1のプロセスコンピュータ(Pro)の前記通信コントローラ(S)は,前記エラーのある第1のプロセスコンピュータ(Pro)および/または前記コンポーネント(Akt)を適切に駆動するための手段を有していることを特徴とする,分配されたシステム。
  9. 前記駆動メッセージ(Ab)の発信者が,前記エラーのある第1のプロセスコンピュータ(Pro)を駆動する権限を有しているかの情報が,前記少なくとも1つの第1のプロセスコンピュータ(Pro)の前記通信コントローラ(S)内に設けられているローカルな権限リスト(Be)の形式で提供されることを特徴とする,請求項8に記載の分配されたシステム。
  10. 前記駆動メッセージ(Ab)の発信者が前記通信システム(K)に接続されており,かつ前記通信システム(K)を介して通信にアクティブに参加しているかの情報が,前記通信システム(K)内に設けられているグローバルな加入者リスト(Me)の形式で提供されることを特徴とする,請求項8または9に記載の分配されたシステム。
  11. 少なくとも1つの第1のプロセスコンピュータ(Pro)と少なくとも1つの他のプロセスコンピュータ(Pro)を分配されたシステムの,特に自動車内のX−バイ−ワイヤ−システムの通信システム(K)に接続するための通信コントローラ(S)であって,
    その際に前記少なくとも1つの第1のプロセスコンピュータ(Pro)は,前記分配されたシステムのコンポーネント(Akt)を駆動するために使用され,前記通信コントローラ(S)上では,前記プロセスコンピュータ(Pro,Pro)と前記通信システム(K)との間のデータ伝達を実現するために通信プロトコルが遂行される,前記通信コントローラにおいて,
    前記通信プロトコルは,前記通信コントローラ(S)に,
    −少なくとも1つの第1のエラーのあるプロセスコンピュータ(Pro)および/または前記駆動されるコンポーネント(Akt)を駆動するための駆動メッセージ(Ab)を前記通信システム(K)を介して伝達する,前記他のプロセスコンピュータ(Pro)の1つが,前記通信システム(K)に接続されており,かつ該通信システム(K)を介して通信にアクティブに参加しているかを検査すること;
    −前記駆動メッセージ(Ab)の発信者が,前記エラーのある第1のプロセスコンピュータ(Pro)を駆動する権限を有しているかを調べること;
    −予め設定可能な決定アルゴリズムに従って,前記第1のプロセスコンピュータ(Pro)および/または前記コンポーネント(Akt)が,前記エラーのある第1のプロセスコンピュータ(Pro)を駆動する権限を有し,前記通信システム(K)に接続されており,かつ該通信システム(K)を介して通信にアクティブに参加している発信者の前記駆動メッセージ(Ab)の内容に従って,どのように駆動されるかを決定すること;および
    −前記第1のプロセスコンピュータ(Pro)および/または前記コンポーネント(Akt)をそれに応じて駆動すること,
    を可能にする機構だけ補足されていることを特徴とする,通信コントローラ。
  12. 前記通信プロトコルが,請求項2から7のいずれか1項に記載の方法を実施するための機構だけ補足されていることを特徴とする,請求項11に記載の通信コントローラ(S)。
  13. 分配された安全上重要なシステムの,特に自動車内のX−バイ−ワイヤ−システムの通信システム(K)のための通信プロトコルであって,
    その際に前記分配されたシステムは,該分配されたシステムのコンポーネント(Akt)を駆動するための少なくとも1つの第1のプロセスコンピュータ(Pro)と,少なくとも1つの他のプロセスコンピュータ(Pro)とを有しており,
    かつ前記プロセスコンピュータ(Pro,Pro)は,それぞれ通信コントローラ(S,S)を介して前記通信システム(K)に接続されており,
    その場合に,前記プロセスコンピュータ(Pro,Pro)と前記通信システム(K)の間でデータ伝送を実現するための前記通信プロトコルが,前記通信コントローラ(S,S)上で遂行される,前記通信プロトコルにおいて,
    前記通信プロトコルは,
    −前記少なくとも1つの第1のエラーのあるプロセスコンピュータ(Pro)および/または前記駆動されるコンポーネント(Akt)を駆動するための駆動メッセージ(Ab)を前記通信システム(K)を介して伝達する,前記他のプロセスコンピュータ(Pro)の1つが,前記通信システム(K)に接続されており,かつ該通信システム(K)を介して通信にアクティブに参加しているかを検査し;
    −前記駆動メッセージ(Ab)の発信者が,前記エラーのある第1のプロセスコンピュータ(Pro)を駆動する権限を有しているかを検査し;
    −予め設定可能な決定アルゴリズムに従って,前記第1のプロセスコンピュータ(Pro)および/または前記コンポーネント(Akt)が,前記エラーのある第1のプロセスコンピュータ(Pro)を駆動する権限を有し,かつ前記通信システム(K)に接続されており,かつ該通信システム(K)を介して通信にアクティブに参加している発信者の前記駆動メッセージ(Ab)の内容に従って,どのように駆動されるかを決定し;かつ
    −それに応じて前記第1のプロセスコンピュータ(Pro)および/または前記コンポーネント(Akt)を駆動する,
    機構だけ補足されていることを特徴とする,通信プロトコル。
  14. 前記通信プロトコルは,請求項2から7のいずれか1項に記載の方法を実施するための機構だけ補足されていることを特徴とする,請求項13に記載の通信プロトコル。
JP2002574009A 2001-03-15 2002-03-14 分配された安全上重要なシステムを駆動する方法 Pending JP2004519060A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE10112911 2001-03-15
PCT/DE2002/000915 WO2002075464A1 (de) 2001-03-15 2002-03-14 Verfahren zum betreiben eines verteilten sicherheitsrelevanten systems

Publications (1)

Publication Number Publication Date
JP2004519060A true JP2004519060A (ja) 2004-06-24

Family

ID=7677840

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002574009A Pending JP2004519060A (ja) 2001-03-15 2002-03-14 分配された安全上重要なシステムを駆動する方法

Country Status (5)

Country Link
US (1) US20030184158A1 (ja)
EP (1) EP1370914A1 (ja)
JP (1) JP2004519060A (ja)
DE (2) DE10291113D2 (ja)
WO (1) WO2002075464A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020517001A (ja) * 2017-04-07 2020-06-11 エアビクティ インコーポレイテッド 制御システム動作を検証するための技術

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10248456A1 (de) * 2001-10-19 2003-06-18 Denso Corp Fahrzeugkommunikationssystem
DE10235527C1 (de) * 2002-08-03 2003-10-09 Daimler Chrysler Ag Vorrichtung und Verfahren zur redundanten Spannungsversorgung sicherheitsrelevanter Systeme
WO2005053223A2 (en) * 2003-11-19 2005-06-09 Honeywell International Inc. Coupling linear bus nodes to rings
DE102005018837A1 (de) * 2005-04-22 2006-10-26 Robert Bosch Gmbh Verfahren und Vorrichtung zur Synchronisation zweier Bussysteme sowie Anordnung aus zwei Bussystemen
DE102009005266A1 (de) 2009-01-20 2010-07-22 Continental Teves Ag & Co. Ohg Anbindung eines Kommunikationscontrollers in Sicherheitsarchitekturen
FR2944612A3 (fr) * 2009-04-15 2010-10-22 Renault Sas Architecture de commande electronique d'un vehicule automobile.
DE102010054188A1 (de) 2010-07-27 2012-02-02 Volkswagen Aktiengesellschaft Verfahren und Rechnerverbund zur Steuerung eines Elektromotors
DE102010039858A1 (de) 2010-08-27 2011-09-15 Robert Bosch Gmbh Watchdog-Funktion
DE102010039860A1 (de) 2010-08-27 2012-03-01 Robert Bosch Gmbh Komponentenüberwachung in einem elektrisch betriebenen Fahrzeug
DE102011118172A1 (de) 2011-11-10 2013-05-16 Volkswagen Aktiengesellschaft Notlaufbetrieb eines Elektromotors
US10112606B2 (en) 2016-01-22 2018-10-30 International Business Machines Corporation Scalable sensor fusion and autonomous x-by-wire control
EP3492999A1 (de) * 2017-11-30 2019-06-05 Siemens Aktiengesellschaft Verfahren zum betrieb eines kommunikationssystems, kommunikationssystem und kommunikationsteilnehmer
DE102019207809A1 (de) * 2019-05-28 2020-12-03 Siemens Mobility GmbH Steueranlage und Verfahren zum Betreiben einer Steueranlage

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4022671A1 (de) * 1990-07-17 1992-01-23 Wabco Westinghouse Fahrzeug Elektronisches bremssystem fuer stassenfahrzeuge
DE4339570B4 (de) * 1993-11-19 2004-03-04 Robert Bosch Gmbh Elektronisches Bremssystem
DE19510525A1 (de) * 1995-03-23 1996-09-26 Bosch Gmbh Robert Verfahren und Vorrichtung zur Steuerung bzw. Regelung der Bremsanlage eines Fahrzeugs
US5924774A (en) * 1995-11-30 1999-07-20 Zeftron, Inc. Electronic pneumatic brake system
DE19742988C1 (de) * 1997-09-29 1999-01-28 Siemens Ag Bremsanlage für ein Kraftfahrzeug
US6002970A (en) * 1997-10-15 1999-12-14 International Business Machines Corp. Method and apparatus for interface dual modular redundancy
US6748438B2 (en) * 1997-11-17 2004-06-08 International Business Machines Corporation Method and apparatus for accessing shared resources with asymmetric safety in a multiprocessing system
DE19800311A1 (de) * 1998-01-07 1999-07-08 Itt Mfg Enterprises Inc Elektronische, digitale Einrichtung
DE19826131A1 (de) * 1998-06-12 1999-12-16 Bosch Gmbh Robert Elektrisches Bremssystem für ein Kraftfahrzeug
GB2339869B (en) * 1998-07-20 2002-05-15 Motorola Ltd Fault-tolerant electronic braking system
DE19840484A1 (de) * 1998-09-04 2000-03-09 Bosch Gmbh Robert Fahrzeugrechneranordnung
GB2345161A (en) * 1998-12-23 2000-06-28 Motorola Ltd Microprocessor module and method
US6212457B1 (en) * 1999-08-05 2001-04-03 Trw Inc. Mixed parallel and daisy chain bus architecture in a vehicle safety system
DE19937156A1 (de) * 1999-08-06 2001-02-08 Bosch Gmbh Robert Elektrisch gesteuertes, dezentrales Steuersystem in einem Fahrzeug
DE19939567B4 (de) * 1999-08-20 2007-07-19 Pilz Gmbh & Co. Kg Vorrichtung zum Steuern von sicherheitskritischen Prozessen
EP1161664B1 (en) * 1999-12-15 2004-06-16 Delphi Technologies, Inc. Electric caliper and steering motor hardware topologies for a safety system
US6424900B2 (en) * 2000-02-01 2002-07-23 Delphi Technologies, Inc. Multi-module control-by-wire architecture
JP4727896B2 (ja) * 2001-06-27 2011-07-20 ローベルト ボッシュ ゲゼルシャフト ミット ベシュレンクテル ハフツング システムの機能性の監視方法,その監視装置,メモリ素子,コンピュータプログラム

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2020517001A (ja) * 2017-04-07 2020-06-11 エアビクティ インコーポレイテッド 制御システム動作を検証するための技術
US11455843B2 (en) 2017-04-07 2022-09-27 Airbiquity Inc. Technologies for verifying control system operation
JP7148542B2 (ja) 2017-04-07 2022-10-05 エアビクティ インコーポレイテッド 制御システム動作を検証するための技術
US11847871B2 (en) 2017-04-07 2023-12-19 Airbiquity Inc. Technologies for verifying control system operation

Also Published As

Publication number Publication date
DE10211279A1 (de) 2002-09-26
WO2002075464A1 (de) 2002-09-26
DE10291113D2 (de) 2004-04-15
US20030184158A1 (en) 2003-10-02
EP1370914A1 (de) 2003-12-17

Similar Documents

Publication Publication Date Title
KR102320043B1 (ko) 차량용 제어 장치의 진단 방법 및 장치
JP2004519060A (ja) 分配された安全上重要なシステムを駆動する方法
RU2284929C2 (ru) Способ управления компонентом важной для обеспечения безопасности распределенной системы
US7620465B2 (en) Fault-tolerant node architecture for distributed systems
US20090044041A1 (en) Redundant Data Bus System
CN113165612A (zh) 用于车辆系统的冗余传感器组件的运行方法和相应的冗余传感器组件
US20220335754A1 (en) Electrical architecture for service-oriented vehicle diagnostics
US20080306647A1 (en) In-vehicle network system and control method thereof
WO2020085330A1 (ja) 電子制御装置、電子制御方法及びプログラム
JP4754993B2 (ja) 分布システムのためのフォールトトレランスのノードアーキテクチャー
CN113474230A (zh) 安全系统和用于运行安全系统的方法
Kenjić et al. Connectivity challenges in automotive solutions
US7269488B2 (en) Method for controlling a component of a distributed safety-relevant system
US11814069B2 (en) Vehicle control system, data transmitting method, and recording medium on which program is recorded
CN112533173A (zh) 用于确保数据完整性以保证操作安全的方法以及车对外界信息交互的装置
KR100974404B1 (ko) 이중화 구조를 갖는 can용 ieee 1451 기반 스마트 모듈
US20230331207A1 (en) Vehicle's brake system and a method for braking a vehicle
US20240007450A1 (en) Apparatus, Method, and Computer Program for the Secure, High-Availability Transmission of Messages, and a Vehicle Comprising the Apparatus
US20230261898A1 (en) Relay device, communication network system, and communication control method
KR20190081758A (ko) 차량용 이더넷 통신을 위한 전원공급 시스템 및 그 방법
WO2022163392A1 (ja) 車載装置、及び状態変化検出方法
US11787427B2 (en) Method and device for controlling at least one actuator of an actuator system
US20240089142A1 (en) Vehicle-mounted apparatus and a method for relaying
US20240089145A1 (en) In-vehicle apparatus and information processing method
CN115743152A (zh) 用于监控作用链的系统和用于运行系统的方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050311

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070724

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20080304