JP2004519060A - 分配された安全上重要なシステムを駆動する方法 - Google Patents
分配された安全上重要なシステムを駆動する方法 Download PDFInfo
- Publication number
- JP2004519060A JP2004519060A JP2002574009A JP2002574009A JP2004519060A JP 2004519060 A JP2004519060 A JP 2004519060A JP 2002574009 A JP2002574009 A JP 2002574009A JP 2002574009 A JP2002574009 A JP 2002574009A JP 2004519060 A JP2004519060 A JP 2004519060A
- Authority
- JP
- Japan
- Prior art keywords
- pro
- process computer
- communication
- communication system
- drive
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60G—VEHICLE SUSPENSION ARRANGEMENTS
- B60G17/00—Resilient suspensions having means for adjusting the spring or vibration-damper characteristics, for regulating the distance between a supporting surface and a sprung part of vehicle or for locking suspension during use to meet varying vehicular or surface conditions, e.g. due to speed or load
- B60G17/015—Resilient suspensions having means for adjusting the spring or vibration-damper characteristics, for regulating the distance between a supporting surface and a sprung part of vehicle or for locking suspension during use to meet varying vehicular or surface conditions, e.g. due to speed or load the regulating means comprising electric or electronic elements
- B60G17/0195—Resilient suspensions having means for adjusting the spring or vibration-damper characteristics, for regulating the distance between a supporting surface and a sprung part of vehicle or for locking suspension during use to meet varying vehicular or surface conditions, e.g. due to speed or load the regulating means comprising electric or electronic elements characterised by the regulation being combined with other vehicle control systems
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60T—VEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
- B60T13/00—Transmitting braking action from initiating means to ultimate brake actuator with power assistance or drive; Brake systems incorporating such transmitting means, e.g. air-pressure brake systems
- B60T13/74—Transmitting braking action from initiating means to ultimate brake actuator with power assistance or drive; Brake systems incorporating such transmitting means, e.g. air-pressure brake systems with electrical assistance or drive
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B9/00—Safety arrangements
- G05B9/02—Safety arrangements electric
- G05B9/03—Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/1629—Error detection by comparing the output of redundant processing systems
- G06F11/1641—Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60G—VEHICLE SUSPENSION ARRANGEMENTS
- B60G2600/00—Indexing codes relating to particular elements, systems or processes used on suspension systems or suspension control systems
- B60G2600/08—Failure or malfunction detecting means
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60G—VEHICLE SUSPENSION ARRANGEMENTS
- B60G2600/00—Indexing codes relating to particular elements, systems or processes used on suspension systems or suspension control systems
- B60G2600/70—Computer memory; Data storage, e.g. maps for adaptive control
- B60G2600/702—Parallel processing
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60G—VEHICLE SUSPENSION ARRANGEMENTS
- B60G2800/00—Indexing codes relating to the type of movement or to the condition of the vehicle and to the end result to be achieved by the control action
- B60G2800/80—Detection or control after a system or component failure
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W2050/0001—Details of the control system
- B60W2050/0043—Signal treatments, identification of variables or parameters, parameter estimation or state estimation
- B60W2050/0044—In digital systems
- B60W2050/0045—In digital systems using databus protocols
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/02—Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
- B60W50/0205—Diagnosing or detecting failures; Failure detection models
- B60W2050/021—Means for detecting failure or malfunction
-
- B—PERFORMING OPERATIONS; TRANSPORTING
- B60—VEHICLES IN GENERAL
- B60W—CONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
- B60W50/00—Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
- B60W50/04—Monitoring the functioning of the control system
- B60W2050/041—Built in Test Equipment [BITE]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/18—Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/18—Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
- G06F11/181—Eliminating the failing redundant component
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/18—Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
- G06F11/182—Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits based on mutual exchange of the output between redundant processing components
Landscapes
- Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Mechanical Engineering (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Medical Informatics (AREA)
- General Health & Medical Sciences (AREA)
- Signal Processing (AREA)
- Quality & Reliability (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Transportation (AREA)
- Safety Devices In Control Systems (AREA)
- Hardware Redundancy (AREA)
- Programmable Controllers (AREA)
Abstract
本発明は,分配された安全上重要なシステム,特に自動車内のX−バイ−ワイヤ−システムを駆動する方法に関する。分配されたシステムは,システムのコンポーネント(Akt1)を駆動するための少なくとも1つの第1のプロセスコンピュータ(Pro1)と,少なくとも1つの他のプロセスコンピュータ(Prom)とを有している。プロセスコンピュータ(Pro1,Prom)は,それぞれ通信コントローラ(S1,Sm)を介して通信システム(K1)に接続されている。少なくとも1つの第1のプロセスコンピュータ(Pro1)の機能能力は,少なくとも1つの他のプロセスコンピュータ(Prom)によって検査される。この方法は,分配された監視コンセプトとも称される。本発明によれば,少なくとも1つのエラーのある第1のプロセスコンピュータ(Pro1)を他のプロセスコンピュータ(Prom)の少なくとも1つによって安全確保してオフにするための機構が提案され,分配された監視コンセプトを実現するための通信システム(K1)の通信プロトコルがその機構の分だけ拡張されている。
【選択図】図1
【選択図】図1
Description
【0001】
従来の技術
本発明は,分配された安全上重要なシステム,特に自動車内のX−バイ−ワイヤ−システムを駆動する方法に関する。分配されたシステムは,システムのコンポーネントを駆動するための少なくとも1つの第1のプロセスコンピュータと少なくとも1つの他のプロセスコンピュータとを有しており,その際にプロセスコンピュータは,それぞれ通信コントローラを介して通信システムに接続されている。このとき,少なくとも1つの第1のプロセスコンピュータの機能能力は,少なくとも1つの他のプロセスコンピュータによって試験される。
【0002】
本発明は,さらに,分配された安全上重要なシステム,特に自動車内のX−バイ−ワイヤ−システムに関する。分配されたシステムは,システムのコンポーネントを駆動するための少なくとも1つの第1のプロセスコンピュータと少なくとも1つの他のプロセスコンピュータを有している場合に,プロセスコンピュータは,それぞれ通信コントローラを介して通信システムに接続されている。このとき,少なくとも1つの第1のプロセスコンピュータの機能能力の監視は,少なくとも1つの他のプロセスコンピュータによって実行される。
【0003】
さらに,本発明は,少なくとも1つの第1のプロセスコンピュータと少なくとも1つの他のプロセスコンピュータを,分配された安全上重要なシステム,特に自動車内のX−バイ−ワイヤ−システムの通信システムに接続するための通信コントローラに関する。このとき,少なくとも1つの第1のプロセスコンピュータは,分配されたシステムのコンポーネントを駆動するために使用される。また,通信コントローラ上では,プロセスコンピュータと通信システムとの間のデータ伝送を実現するために通信プロトコルが遂行される。
【0004】
そして本発明は,分配された安全上重要なシステム,特に自動車内のX−バイ−ワイヤ−システムの通信システムのための通信プロトコルにも関する。分配されたシステムは,分配されたシステムのコンポーネントを駆動するための少なくとも1つの第1のプロセスコンピュータと,少なくとも1つの他のプロセスコンピュータを有している。このとき,プロセスコンピュータは,それぞれ通信コントローラを介して通信システムに接続されている。また,通信プロトコルは,プロセスコンピュータと通信システムとの間のデータ伝送を実現するために通信コントローラ上で遂行される。
【0005】
制御装置(プロセスコンピュータ),センサ技術およびアクター技術を通信システムの使用によってネットワーク化することは,自動車関連分野において近年著しく増加している。その際に,通信システムを介して相互に影響し合うことを排除しなければならない。このとき,機能を多数のプロセスコンピュータへ分配することによる相乗効果が前面に出てくる。分配されたシステムについて以下で述べる。
【0006】
この種の分配されたシステムの特殊な実現が,X−バイ−ワイヤ−システムである。X−バイ−ワイヤ−システムは,車両運動に用いられる自動車システムであって,運転者意図の検出とその変換を分離することを許すものである。運転者意図の検出とかかる変換の間の接続は,機械的な方法ではなく,大体において(電子的な)情報伝送のみに基づいて実行される。X−バイ−ワイヤ−システムは,高い安全要請を有するシステムであって,すなわちかかるシステムが完全に故障すると,車両内で可能な最高の安全段階のエラーをもたらす。この種のシステムとして,以下の3つの分類が考えられる。
【0007】
1.ウェット性のX−バイ−ワイヤ−システムは,電気的なエネルギー供給がなされない場合でも(例えばエネルギー供給が絶たれた後に)ベース機能を維持することのできる,油圧的(機械的)フォールバック平面を有するシステムである。ベース機能とは,運転者意図が得られる機能に機械的に固定結合されている場合にも,まだ存在する機能である。車両ブレーキにおいては,例えばベースブレーキ機能は,可変のブレーキ力分配を形成することのできる電子的制御システムのないブレーキ機能である。その際にベースブレーキ機能においては(システムに従って),例えばブレーキ力の65%は,前車軸に,35%は,後ろ車軸に分配されることが固定的に設定されている。アンチロックブレーキングシステム(ABS),アンチスリップ制御(ASR)および走行動特性制御(FDR)は,ベースブレーキ機能には属していない。
【0008】
2.ドライ性のX−バイ−ワイヤ−システムは,機械的/油圧的フォールバック平面をもたないシステムである。かかるシステムの実現は,電気機械的コンポーネントのみに基づいている。
【0009】
3.半ドライ性のX−バイ−ワイヤ−システムは,油圧操作装置を使用するが,「ドライなインターフェイス」を有しているシステムである。従って,通信要請に関して,かかるシステムは,ドライ性のX−バイ−ワイヤ−システムと同様に取り扱われる。
【0010】
X−バイ−ワイヤ−システムの典型的な例として,ステア−バイ−ワイヤシステムおよびブレーキ−バイ−ワイヤシステムがある(電子ステアリングおよび電子ブレーキ)。
【0011】
高い安全要請を有するX−バイ−ワイヤ−システムの全システム,特にX−バイ−ワイヤ−システムにおいて,アクター技術を例えば電気モータまたは油圧ポンプから解放するための機構が必要である。これは,従来技術によれば,質問−応答−通信に基づく,いわゆる「インテリジェントウォッチドッグ」によって実現される。
【0012】
冒頭で挙げた種類の方法は,例えばDE19826131A1から知られている。かかる公報においては,分配された安全上重要なシステムは,自動車の電気的なブレーキシステムとして記載されている。コンポーネントは,自動車のブレーキとして,若しくは,さらに正確に言うと,ブレーキを駆動するためのアクターとして形成されている。この種のシステムは,高度に安全上重要である。なぜなら,コンポーネントのエラーのある駆動,特にブレーキのエラーのある操作は,予測不可能な安全上のリスクをもたらす恐れがあるからである。この理由から,コンポーネントのエラーのある駆動が確実に排除されなければならない。
【0013】
公知のブレーキシステムの本質的な特徴は,中央で運転者意図を検出するためのペダルモジュール,ブレーキアクチュエータを車輪個別に制御するための4つの車輪モジュールおよび上位のブレーキ機能を計算するための処理モジュールである。個々のモジュール間の互いの通信は,1つまたは複数の通信システムによって実行可能である。本特許出願の図2には,種々の論理平面を有する車輪モジュールの内部構造が例示されている。その際に論理平面L1は,少なくとも,車輪ブレーキのための開ループ制御および閉ループ制御機能の計算を有し,論理平面L2からL4は,コンピュータを監視し,かつL1の機能を試験するための種々の機能を含む内容としている。
【0014】
ブレーキ,例えばブレーキシューを操作するための電気モータの駆動は,各車輪モジュールについて同様に以下のステップを有している。:
【0015】
a)少なくとも1つの入力信号(aR2,aR3,aR4;aV,ref;sR2,sR3,sR4;ΔsV,ref;vF;n1;d1;Fli;aR1;sR1)に従って,第1のマイクロコンピュータシステム(R1A)によってブレーキのための少なくとも1つの駆動信号(f1)を求める。入力信号は,通信システム(K1)若しくはバスシステムを介して,マイクロコンピュータシステム(R1A)へ提供される。
【0016】
b)少なくとも1つの論理的な駆動信号(e1H)を求める。論理的な駆動信号(e1H)は,少なくとも部分的に,第1のマイクロコンピュータシステム(R1A)に依存しない監視ユニット(R1B)によって,少なくとも1つの入力信号に従って求められる。
【0017】
c)少なくとも1つの駆動信号(f1)を,パワーエレクトロニクス(LE1K)において少なくとも1つの論理的な駆動信号(e1H)と比較する。
【0018】
d)駆動信号(f1)と論理的な駆動信号(e1H)との比較の結果に従って,(パワーエレクトロニクスLE内部の)少なくとも1つのイネーブル信号を求める。
【0019】
e)少なくとも1つのイネーブル信号が予め設定可能な値を有する場合に,少なくとも1つの駆動信号(f1)または駆動信号(f1)に依存する信号(i1K)をブレーキ若しくはブレーキシューのためのアクチュエータAkt1へ供給する。
【0020】
監視ユニット(R1B)は,特に系統的(いわゆるコモンモードの)エラーを認識するために使用される。この種のエラーの例は,電圧供給におけるエラーである。公知のブレーキシステムにおいては,監視ユニット(R1B)は,自立したマイクロコンピュータシステムとして形成されている。しかしながら,監視ユニット(R1B)を,独自のプロセッサを持たないハードウェアモジュールとして形成することもできるが,かかるハードウェアモジュールは,具体的な論理機能を,あるいは,かかるハードウェアモジュールがレジスタを有している場合には,さらに切り換え機能を実施することができる。この種のハードウェアモジュールの例として,例えばASIC(Applied Specific Integrated Circuit),FPGA(Field−Programmable Gate Array)または監視回路(いわゆるウォッチドッグ)がある。
【0021】
コンポーネント(アクター技術)を駆動する責任を有する制御装置(マイクロコンピュータシステムまたはプロセスコンピュータ)は,監視されて,エラーの場合には,監視ユニットによってオフにされる。このとき,監視は,質問−応答−通信に基づいており,固定されたプロトコルに従わなければならない。
【0022】
アクター技術(LE2R)のイネーブルは,マイクロコンピュータシステム(R1A)と独立した監視ユニット(R1B)が一致した場合(質問−応答−通信は明細設定されたように作動する)にのみ実行される。このイネーブルの原理は,プロセスコンピュータと監視ユニットとの間で実現されている電気的なイネーブル回路(アンド結合)に基づいている。これは,2つのユニットがアクター技術の通常の機能について,論理「1」をイネーブル回路へ印加しなければならないことを意味している。
【0023】
マイクロコンピュータシステム(R1A)内のプロセスがオフにする信号を出力するとすぐにアクター技術の接続が切断される。監視コンポーネント(R1B)は,監視されているユニット(マイクロコンピュータシステムR1A)にエラーがあると認識された場合にのみ,オフにする信号を出力する。
【0024】
しかし,安全上重要なシステムにおいては,質問−応答−通信の範囲を超える,制御装置(プロセスコンピュータ)のための監視機構も必要である。これは,特に,いわゆる−フェイル−サイレント−コンピュータ(Fail−Silent−Rechner)のために大きな役割を果たす。このコンピュータは,定義によって1つの値のみを,かかる値が(正しい時期に)正確に存在し,あるいは認識可能に誤って示された場合に,外部へ出力することができる。そのためにローカルの連続的な監視機能(メモリテスト,蓋然性チェック)がプロセスコンピュータ自体に実装される。しかし,特に安全上重要な課題については,フェイル−サイレント−コンピュータが予測される確実性を満たさない場合を考慮しなければならない。コンピュータは,もはや自分でオフにはできず,若しくは再始動を開始することはできない。独立したユニットが,安全確保されたオフを引継ぎ,あるいは再始動を開始しなければならない。
【0025】
自動車領域内の通信システムを使用することは,最近では,ほぼ全てのメーカーにおいて標準になっている。ソサイティフォアオートモーティブエンジニアリング(Society for Automotive Engineering/SAE)は,通信に対する3つの異なる要請クラス:クラスA,B,Cを定めた。これらのクラスは,様々な実時間要請と使用領域に至るまで,交換される情報の量において異なっている。最高の要請を有するプロトコルクラスは,クラスCである。かかるクラスCについて,SAEの明細書「クラスCの使用のための通信プロトコル(Kommunikationsprotokolle fuer Klasse C Anwendungen)」,SAE J2056/1,1993年6月が入手できる。このクラスCは,X−バイ−ワイヤ−システムのための権限を有するクラスである。
【0026】
X−バイ−ワイヤ−使用に利用することのできる通信システムは,例えばCAN−,TTCAN(Time Triggered CAN)−,TTP/C−またはフレックスレイ−プロトコルである。この種のプロトコルにおける本発明にとって重要なサービスは,加入者−サービス(いわゆるメンバーシップ−サービス)である。その際に,情報証明の機構を介して,全てのアクティブな通信加入者の決定手続内で,通信加入者(マイクロコンピュータシステムまたはプロセスコンピュータ)の所属/アクティビティが設定される。通信加入者の所属/アクティビティに関する情報は,いわゆるメンバーシップ情報として記憶される。所定数の決定サークルに従って,メンバーシップ情報は,安定となり,すなわち全ての加入者から有効と認められる。この決定によって,加入者がインアクティブとして特徴づけられた場合には,かかるノードは,通信にアクティブに参加できなくなる。かかるノードを管轄するプロセスコンピュータは,インアクティブな状態を認識して,その通信コントローラを再びアクティブに切り換えるために(再始動と再同期),処置をとらなければならない。加入者を設定するための機構は,連続的に実施され,かつ本来の通信プロトコルの一部となる。
【0027】
DE19826131A1から明らかにされた従来技術における欠点は,論理的平面L4が常に別個の構成部分において実現されており(例えば電気的ブレーキシステムの車輪モジュール内の),その構成部分は,分配された安全上重要なシステムの内部でさらに多重に設けられなければならないことである。
【0028】
上記の欠点を除去するために,監視ユニットを完全に省き,監視ユニットの課題を分配された安全上重要なシステムの少なくとも1つの他のプロセスコンピュータへ,および/または通信コントローラの少なくとも1つへ移動することが,提案され,それら通信コントローラを介して他のプロセスコンピュータが通信システムに接続されている。
【0029】
本発明の課題は,この種の分配された監視コンセプトにおいて,通信システム若しくは通信コントローラのベース機能,すなわち安全確保されたメッセージ伝送,同時に通信システム内の多数の目標へ向けられたメッセージの送信(いわゆるマルチキャスティング),情報証明および−例えばTTP/C(Time Triggered Protocol for Class C)またはCAN(Controller Area Network)においては−加入者サービスを,通信システムを介することによってプロセッサを安全確保してオフにするための機構だけ拡張する可能性を提供することである。
【0030】
この課題を解決するために,本発明は,冒頭で挙げた種類の方法に基づいて,以下のステップを有する方法を提案する。:
【0031】
−少なくとも1つの第1のプロセスコンピュータのエラーを求めた少なくとも1つの他のプロセスコンピュータは,エラーのある第1のプロセスコンピュータまたはかかる第1のプロセスコンピュータによって駆動されるコンポーネントを駆動するために通信システムを介して駆動メッセージを伝達し;
−駆動メッセージの発信者が,エラーのある第1のプロセスコンピュータを駆動する権限を有しているかを調べ;
−駆動メッセージの発信者が通信システムに接続されており,かつ通信システムを介して通信にアクティブに参加しているかを調べ;
−エラーのある第1のプロセスコンピュータを駆動する権限を有し,通信システムに接続されており,かつ通信システムを介して通信にアクティブに参加している発信者の駆動メッセージの内容に従って,予め設定可能な決定アルゴリズムに従って,エラーのある第1のプロセスコンピュータおよび/またはコンポーネントがどのように駆動されるかを決定され;かつ
−エラーのある第1のプロセスコンピュータおよび/またはコンポーネントが,それに応じて駆動される。
【0032】
発明の利点
従って本発明によれば,ローカルまたはグローバルに提供可能な情報が設けられており,その情報によって通信システム内部の分配された監視コンセプトのより安全かつ確実な実現を達成することができる。かかる情報は,第1のプロセスコンピュータについては,それぞれローカルなリストに関するものであって,かかるリストの中に,エラーの場合にそれぞれ第1のプロセスコンピュータを駆動する(例えばオフにする)ことのできる他のプロセスコンピュータが設けられている。さらに情報は,グローバルなリストに関し,そのリスト内には,通信システムに接続されており,かつ通信システムを介して通信にアクティブに参加しているプロセスコンピュータが設けられている。このリストのために,例えば加入者サービスのメンバーシップ情報を利用することができる。また情報は,それぞれ他のプロセスコンピュータについて,グローバルに提供可能なリストに関し,かかるリスト内には,それぞれ他のプロセスコンピュータにエラーがあると認識し,従って駆動する(例えばオフにする)ことのできる第1のプロセスコンピュータが設けられている。
【0033】
本発明は,多数のプロセスコンピュータを有する通信システムに基づいている。プロセスコンピュータは,2つのグループに,すなわち一方では,監視される第1のプロセスコンピュータとして,他方では,監視する他のプロセスコンピュータとして分割されている。分配されたシステムのプロセスコンピュータのいずれかが第1のグループに属し,いずれかが第2のグループに属しているかについては,定義の問題である。1つの同じプロセスコンピュータが,一方では,他のプロセスコンピュータの1つまたは複数によって監視されることにより,第1のグループに属し,他方では,1つまたは複数の他の(第1の)プロセスコンピュータを監視することにより,第2のグループに属することも容易に考えられる。
【0034】
本発明によって,通信システム若しくは通信プロトコルのベース機能,すなわち安全確保されたメッセージ伝送,マルチキャスティング,情報証明および加入者サービスは,通信システムを介してプロセスコンピュータを安全確保してオフにする機構によって拡張される。その場合に通信システムは,従来技術においては,ハードウェアにおいて(配線により)実現されていたオフレーン(例えばブレーキ−バイ−ワイヤ−システムにおける車輪コンピュータへの星状の配線を有する監視ユニット)の代用をする。通信システムは,従来技術に従って,制御装置のプロセスコンピュータにローカルに実装されたインテリジェントウォッチドッグ(しばしば単純なハードウェア回路の形式)を,通信システム内の任意に選択されたプロセスコンピュータへ移動させることができる。その際に,分配されたシステム内で既に設けられている制御装置のプロセスコンピュータが利用されることが好ましい。拡張されたウォッチドッグ機能,例えば相手コンピュータによる蓋然性チェックは,それによってより簡単に実現することができる。
【0035】
しかし,通信システム内で安全確保してオフにするための付加的な機構は,分配された監視コンセプトも可能にする。このことは,プロセスコンピュータがインテリジェントなウォッチドッグの機能を引き受けるだけでなく,多数の制御装置は,かかるプロセスコンピュータによって,通信システムを介して駆動若しくはオフをもたらすことができることを意味している。
【0036】
今日の自動車内に既に標準化されている通信システムおよびかかるシステムに結びついたバス配線(単線または二線導線)が,オフレーンとして利用される。このとき,通信システムのユニット間におけるオフレーンのために明確な配線は,不要である。通信システムは,駆動プロトコル若しくはオフプロトコルを実施して,通常のプロトコルシーケンス(メッセージの本来の送信と受信,情報証明および加入者サービス)に組み込まれている。その際に,通信コントローラのわずかな負担増は,発生するが,既にある制御装置(プロセスコンピュータ)の利用における著しい改良が得られる。さらに,通信システムは,駆動プロトコル若しくはオフプロトコルを開始若しくは実行に移すために,プロセスコンピュータへのソフトウェア−およびハードウェアインターフェイスを提供する。
【0037】
従って,分配された安全上重要なシステムのコンポーネント(アクター技術)が本発明に基づく方法に従って,かかるシステムを介して駆動される,イネーブル回路は,一方では,プロセスコンピュータによって,他方では,通信コントローラによって操作される。従って,通信システムを介してコンポーネントを駆動若しくはオフにすることが可能となる。さらにプロセスコンピュータ自体も通信コントローラと結合されることができるので,コンポーネントを駆動するプロセスコンピュータ自体が,例えば通信コントローラをプロセスコンピュータのリセット線に接続することによって,駆動若しくはオフにされることができる。
【0038】
本発明の好適な展開によれば,駆動メッセージによってエラーのある第1のプロセスコンピュータおよび/または第1のプロセスコンピュータによって駆動されるコンポーネントのオフが実行されることが提案される。
【0039】
本発明の好適な実施形態によれば,少なくとも1つの第1のプロセスコンピュータの通信コントローラ内に,ローカルな権限リストが設けられており,それを用いて,駆動メッセージの発信者の識別子が権限リストの内容と比較されることによって,駆動メッセージの発信者がエラーのある第1のプロセスコンピュータを駆動する権限を有しているかを検査されることが提案される。
【0040】
本発明の他の好適な実施形態によれば,通信システム内にグローバルな加入者リストが設けられており,それを用いて,駆動メッセージの発信者の識別子が加入者リストの内容と比較されることによって,駆動メッセージの発信者が通信システムに接続されており,かつ通信システムを介して通信にアクティブに参加しているかを調べられることが提案される。
【0041】
本発明の他の好適な展開によれば,少なくとも1つの第1のプロセスコンピュータについて多数の駆動メッセージが存在する場合に,駆動メッセージの内容に従って多数決に基づいて,エラーのある第1のプロセスコンピュータおよび/またはコンポーネントがいかに駆動されるかを決定されることが提案される。
【0042】
このとき,エラーのある第1のプロセスコンピュータおよび/またはコンポーネントの成功裏に実行された駆動は,駆動メッセージの少なくとも1つの発信者に伝達されることが好ましい。
【0043】
このとき,エラーのある第1のプロセスコンピュータおよび/またはコンポーネントの成功裏に実行された駆動は,エラーのある第1のプロセスコンピュータが通信システム内に設けられているグローバルな加入者リストから抹消されることによって,全てのプロセスコンピュータへ伝達され,その際に通信加入者リスト内には,通信システムに接続されており,かつ通信システムを介して通信にアクティブに参加しているプロセスコンピュータが設けられていることが好ましい。
【0044】
本発明の課題の他の解決として,冒頭で挙げた種類の分配された安全上重要なシステムに基づいて,
−他のプロセスコンピュータの少なくとも1つは,第1のプロセスコンピュータの少なくとも1つのもののエラーを求める手段,および少なくとも1つのエラーのある第1のプロセスコンピュータがエラーを有する場合に,エラーのある第1のプロセスコンピュータおよび/または第1のプロセスコンピュータによって駆動されるコンポーネントを駆動するための駆動メッセージが通信システムを介して伝達される手段を有しており;
−エラーのある第1のプロセスコンピュータの通信コントローラに,駆動メッセージの発信者が,エラーのある第1のプロセスコンピュータを駆動する権限を有しているかの情報が提供され;
−エラーのある第1のプロセスコンピュータの通信コントローラに,駆動メッセージの発信者が通信システムに接続されており,かつ通信システムを介して通信にアクティブに参加しているかの情報が提供され;
−エラーのある第1のプロセスコンピュータの通信コントローラは,予め設定可能な決定アルゴリズムに従って,エラーのある第1のプロセスコンピュータおよび/またはコンポーネントが,エラーのある第1のプロセスコンピュータを駆動する権限を有しており,かつ通信システムに接続されており,通信システムを介して通信にアクティブに参加している発信者の駆動メッセージの内容に従っていかにして駆動されるかを決定する手段を有しており;かつ
−エラーのある第1のプロセスコンピュータの通信コントローラは,エラーのある第1のプロセスコンピュータおよび/またはコンポーネントをそれに応じて駆動する手段を有している,
ことが提案される。
【0045】
本発明の好適な展開によれば,駆動メッセージの発信者が,エラーのある第1のプロセスコンピュータを駆動する権限を有しているかの情報が,少なくとも1つの第1のプロセスコンピュータの通信コントローラ内に設けられているローカルな権限リストの形式で提供されることが提案される。
【0046】
本発明の好適な実施形態によれば,駆動メッセージの発信者が通信システムに接続されており,かつ通信システムを介して通信にアクティブに参加しているかの情報が,通信システム内に設けられているグローバルな加入者リストの形式で提供されることが提案される。
【0047】
本発明の課題のさらに他の解決として,冒頭で挙げた種類の通信コントローラに基づいて,通信プロトコルが通信コントローラに,
−少なくとも1つの第1のエラーのあるプロセスコンピュータおよび/または第1のエラーのあるプロセスコンピュータによって駆動されるコンポーネントを駆動するための駆動メッセージが通信システムを介して伝達される,他のプロセスコンピュータの1つが,通信システムに接続されており,かつ通信システムを介して通信にアクティブに参加しているかを検査すること;
−駆動メッセージの発信者が,エラーのある第1のプロセスコンピュータを駆動する権限を有しているかを検査すること;
−予め設定可能な決定アルゴリズムに従って,第1のプロセスコンピュータおよび/またはコンポーネントが,エラーのある第1のプロセスコンピュータを駆動する権限を有し,かつ通信システムに接続されており,かつ通信システムを介して通信にアクティブに参加している発信者の駆動メッセージの内容に従ってどのように駆動されるかを決定すること;および
−それに応じて第1のプロセスコンピュータおよび/またはコンポーネントを駆動すること,
を可能にする機構だけ補足されていることが提案される。
【0048】
本発明の好適な展開によれば,通信プロトコルは,本発明に基づく方法を実施するための機構だけ補足されていることが提案される。
【0049】
また,本発明の課題のさらに他の解決として,冒頭で挙げた種類の通信プロトコルに基づいて,通信プロトコルが,
−少なくとも1つの第1のエラーのあるプロセスコンピュータおよび/または第1のエラーのあるプロセスコンピュータによって駆動されるコンポーネントを駆動するための駆動メッセージが通信システムを介して伝達される他のプロセスコンピュータの1つが,通信システムに接続されており,かつ通信システムを介して通信にアクティブに参加しているかを検査し;
−駆動メッセージの発信者が,エラーのある第1のプロセスコンピュータを駆動する権限を有しているかを調べ;
−予め設定可能な決定アルゴリズムに従って,第1のプロセスコンピュータおよび/またはコンポーネントが,エラーのある第1のプロセスコンピュータを駆動する権限を有し,かつ通信システムに接続されており,かつ通信システムを介して通信にアクティブに参加している発信者の駆動メッセージの内容に従って,どのように駆動されるかを決定し;かつ
−それに応じて第1のプロセスコンピュータおよび/またはコンポーネントを駆動する機構だけ補足されていることが提案される。
【0050】
本発明の好適な展開によれば,通信プロトコルは,本発明に基づく方法を実施するための機構だけ補足されていることが提案される。
【0051】
本発明の他の特徴,使用可能性および利点は,図面に示される本発明の実施例についての以下の説明から明らかにされる。その場合に全ての記載されている,あるいは図示されている特徴は,それ自体あるいは任意の組み合わせにおいて,特許請求項におけるその要約またはその帰属に関係なく,かつ詳細な説明ないし図面におけるその表現若しくは図示に関係なく,本発明の対象を形成するものである。
【0052】
実施例の説明
本発明を,以下で電気的なブレーキシステムを用いて詳細に説明する。しかし,本発明は電気的なブレーキシステムに限定されるものではなく,むしろ任意の分配された安全上重要なシステムに使用することができる。本発明は,付加的な監視ユニットを使用せずに,安全上重要なシステムのコンポーネントAkt1の確実なイネーブルを許す。監視ユニットの課題は,むしろ分配されたシステムの他のプロセスコンピュータPmによって引き受けられ,かかるプロセスコンピュータは,本来システム内に存在しており,かつ該当する機能の分だけ拡張されている。
【0053】
ブレーキシステムは,制動すべき各車輪について,車輪モジュールR1,Rmを有している。各車輪モジュールR1,Rmは,マイクロコンピュータシステムP1,Pmとイネーブル回路FS1,FSmを有している。マイクロコンピュータシステムP1,Pmは,それぞれプロセスコンピュータPro1,Promとインテリジェント通信コントローラS1,Smを有している。マイクロコンピュータシステムR1,PmのプロセスコンピュータPro1,Promと通信コントローラS1,Smは,半導体モジュール(いわゆるチップ)上にまとめることができる。しかし,それらは,常に互いに依存しない別体のユニットとして形成されている。各車輪モジュールR1,Rmは,通信コントローラS1,Smを介して,物理的なデータバスの形式の通信システムK1に接続されている。データバスを介してデータは,例えばCAN(Controller Area Network)−,TTCAN(Time Triggered CAN)−,TTP/C(Time Triggered Protocol for ClassC)−またはフレックスレイ−プロトコルに従って伝送することができる。車輪モジュールR1,Rmは,それぞれアクター技術Akt1,Aktmの形式のコンポーネントを制御し,かかるアクター技術は,例えば車輪ブレーキを操作若しくは緩めるための電気モータとして形成されている。
【0054】
図1には,分配された監視コンセプトの可能な実施形態において,2つの車輪モジュールの内部構造とその中で遂行される信号の流れが示されている。車輪モジュールR1の(もっと正確に言うと,プロセスコンピュータPro1の)課題は,電気的なブレーキシステムのアクター技術Akt1の駆動である。アクター技術Akt1を駆動する場合に重要なのは,アクター技術Akt1がマイクロコンピュータシステムP1のエラーのある駆動信号A11によって駆動されることを防止することである。かかる動作は,駆動信号A11が十分に高い確率でエラーのないことが確認された場合にのみ,さらにアクター技術Akt1へ供給されるべきであることを意味している。従ってアクター技術Akt1の駆動は,大体において以下のステップを有している。:
【0055】
a)マイクロコンピュータシステムP1のプロセッサPro1は,少なくとも1つの入力信号に従ってプログラムコードを処理することにより,アクター技術Akt1のための少なくとも1つの駆動信号A11を求める。入力信号は,ブレーキシステムと自動車の実際状態に関する情報を含んでおり,データバスK1を介して第1の車輪モジュールR1へ伝達される。
【0056】
b)他のマイクロコンピュータシステムPmのプロセッサProm(例えばm=2…4)は,同様に同じプログラムコードを同じ入力信号に従って処理することにより,論理的な駆動信号Am1を求める。かかる動作は,プロセッサProm内で,アクターAktmのための駆動信号Am1を求めるプログラムコードの他に,さらにプロセッサPro1からプログラムコードが提供されなければならないことを前提としている。多数の同種の車輪モジュールR1,Rmを有する本例においては,かかる前提は,付加的な手間ではなく,最少の手間のみを意味する。なぜなら,プロセッサPro1上で遂行されるプログラムコードは,ほぼ等しいからである。従って,プロセッサProm内で元来提供されているプログラムコードを論理的な駆動信号A1mで得るために,第1の車輪モジュールR1の入力信号によって処理することができる。かかる簡略化は,同種の駆動モジュールを有する全ての分配されたシステムに該当する。入力信号は,データバスK1を介してマイクロコンピュータシステムPmへ伝達することができる。プロセスコンピュータPro1,Promの機能が正しい場合には,駆動信号A11と論理的な駆動信号A1mは,同一である。
【0057】
c)駆動信号A11は,他のマイクロコンピュータシステムPmのプロセスコンピュータProm内で,前もってプロセスコンピュータPro1内で求められた駆動信号A11と比較される。そのためには,駆動信号A11がデータバスK1を介して他のマイクロコンピュータシステムPmへ伝達されなければならない。他のマイクロコンピュータシステムPmは,ステータス情報を生成し,かかるステータス情報がデータバスK1を介して第1のマイクロコンピュータシステムP1の通信コントローラS1へ伝達される。分配された監視コンセプトを実現するために通信システムK1を介して伝達されなければならない情報は,例えば1つまたは複数のビットからなる。その際,伝達するための情報をデータバスK1の通信プロトコルへ組み込むことが考えられる。
【0058】
d)第1のマイクロコンピュータシステムP1の通信コントローラS1は,詳しいステータス情報を評価して,該当するステータスの場合に(例えばプロセスコンピュータPro1の正しい機能方法が信号化された場合に),イネーブル信号F1を生成する。ステータス情報の評価は,様々な方法で実行可能である。例えば,ステータス情報SF1mの比較,論理的な(好ましくはアンド−)結合または多数決とすることができる。
【0059】
e)少なくとも1つのイネーブル信号F1が予め設定可能な値を有する場合に,少なくとも1つの駆動信号A11またはそれに従った少なくとも1つの信号がアクター技術Akt1へ供給される。これを検査するために,イネーブル回路RS1内で駆動信号A11とイネーブル信号F1のアンド結合が実施される。イネーブル信号F1が論理的に1である場合には,駆動信号A11は,アクター技術Akt1へ供給される。しかし,イネーブル信号F1が論理的にゼロである場合には,駆動信号A11は,アクター技術Akt1へは伝達されない。
【0060】
上述した方法によって,マイクロコンピュータシステムP1のプロセッサPro1の機能能力を調べて,アクター技術Akt1の確実なイネーブルを得ることができる。プロセッサPro1を調べるためには,主として他のマイクロコンピュータシステムPmのプロセッサPromが使用される。しかし同様にして,本発明に基づく方法を他のマイクロコンピュータシステムPmのプロセッサPromの機能能力を検査し,アクター技術Aktmを確実にイネーブルにするために使用することもできる。その場合に残りのプロセッサProm(検査すべきプロセッサなし)と第1のマイクロコンピュータシステムP1のプロセッサPro1が,検査するために利用される。従って安全上重要な分配されたブレーキシステムの内部の個々のマイクロコンピュータシステムP1,Pmは,一方では,それに対応づけられているアクター技術Akt1,Aktmのための駆動信号A11,Am1を求めるという一次課題を有し,他方では,一次課題が満たされた場合に,残りのプロセッサの機能を管理するという二次課題を有している。従って,付加的な監視ユニットを使用しないで,アクターAkt1,Aktmの確実で,かつさらに冗長で有効なイネーブルの可能性が提供される。
【0061】
図3には,車輪モジュールR1が部分的に示されている。通信システムK1を介して安全確保されたオフレーンを実現するために,通信コントローラS1とプロセスコンピュータPro1との間にソフトウェアインターフェイスSS1が設けられている。かかるインターフェイスSS1は,他のプロセスコンピュータPromによるオフベクトルの形式の駆動メッセージをセットするため,および通信コントローラS1を介して受信した,実際の有効なオフベクトルを照会するために使用される。
【0062】
分配された監視コンセプトを実現するためには,さらに通信コントローラS1からイネーブル回路FS1へ案内されているハードウェアインターフェイスが必要である。かかるハードウェアインターフェイスは,特にプロセスコンピュータPro1が実際のオフベクトルを読み出して,アクター技術Akt1をオフにできないエラー状況において,通信コントローラS1によってアクター技術Akt1をオフにするために使用される。そのために接続ピンF1が設けられており,通信線を介してイネーブル回路FS1へ導かれている。かかるピンF1は,通常の場合(オフコマンドが存在しない)には,通信コントローラS1によるアクター技術Akt1のイネーブルを保証するために,論理的な1に保持される。オフコマンドが存在する場合には,イネーブル回路FS1への接続ピンF1は,イネーブルを保証するために,論理的ゼロへ切り換えられなければならない。
【0063】
今日の自動車内には,既に標準化されている通信システムK1とかかる通信システムK1に接続されたバス配線(単線または二線式回線)は,分配された監視コンセプトにおいてオフレーンとして利用される。分配されたシステムのユニット間にオフレーンのための明確な配線は,不要である。通信システムK1は,通常のプロトコルシーケンス(メッセージの本来の送信と受信,情報証明およびいわゆる加入者サービス)に組み込まれているオフプロトコルを実施する。その際に,プロトコルコンピュータ(通信コントローラS1)のわずかな負担増は,発生するが,既存の制御装置(P1,Pm)若しくはプロセスコンピュータ(Pro1,Prom)の負担減に関して著しい改善が得られる。さらに,通信システムK1は,駆動若しくはオフプロトコルを開始し,若しくは実行に移すために,プロセスコンピュータPro1,Promへのソフトウェア−およびハードウェアインターフェイスを提供する。
【0064】
従って,上述した分配された監視コンセプトにおいて,イネーブル回路FS1は,一方ではプロセスコンピュータPro1によって,他方では,通信コントローラS1によって操作される。従って,本特許出願に記載されているオフ機構によってアクター技術Akt1を,通信システムK1を介してオフにすることが可能である。さらに,プロセスコンピュータPro1自体も通信コントローラS1と結合することができるので,例えばプロセスコンピュータPro1のリセット線Bに結合することによって,プロセスコンピュータPro1をオフにすることもできる。
【0065】
通信システムK1を介して安全確保されたオフレーンを実現することは,その通信コントローラS1,SmによってデータバスK1に接続されている,各制御装置Pro1,Promによってほぼ可能である。通信コントローラS1,Smは,通信プロトコル内のオフプロトコルを実行に移さなければならない。オフプロトコルとそのために必要なコンフィグレーションデータ若しくはインターフェイスSS1,F1について,以下で説明する。
【0066】
通信コントローラS1内には,どのマイクロコンピュータシステムPm若しくはどのプロセスコンピュータPromが,通信コントローラS1に対応づけられたプロセスコンピュータPro1をオフにする権限を有しているかに関する静的な情報が格納されている。かかる静的な情報は,通信コントローラS1内の例えばフラッシューEPROM(Erasable and Programmable Read Only Memory)に格納されている。
【0067】
かかる静的な情報は,以下の内容にまとめることができる。:
【0068】
・ローカルな通信コントローラS1の識別子。これは,幾つかのプロトコル,例えばTTP/Cにおいては,既に存在している。
【0069】
・その中に通信コントローラの識別子が記載されている,ローカル(個別)リストであって,ローカルなプロセスコンピュータPro1若しくはかかるプロセスコンピュータPro1によって駆動されるアクター技術Akt1をオフにするためのオフメッセージは,通信コントローラS1を介して案内されなければならない。リストは,権限を有する通信コントローラの数,例えば3エントリーに制限されていることが好ましい。
【0070】
さらに,静的な情報内で,権限のあるオフは,プロセスコンピュータPro1へ通じるインターフェイスSS1内でのみ表示されるべきか,あるいはオフメッセージが適当な配線を介してイネーブル回路FS1へも供給されるべきかについて構成されなければならない。
【0071】
オフベクトルは,ビットベクトルであって,分配された安全上重要なシステム全体内のm番目の加入者を表している。所定のビット位置は,所定の通信コントローラS1,Smの識別子に割り当てられている。オフベクトル内で,制御装置P1,Pm当たり2つの状態を示すことができる。:
【0072】
ゼロ:該当するビット位置に識別子を有する通信コントローラへのオフコマンドは存在しない。
【0073】
1:ビット位置に相当する通信コントローラのためのオフコマンドが存在する。
【0074】
オフベクトルは,帯域幅またはプロトコルデータ(メッセージパケット内で有効データと一緒に通信システムK1を介して送信される,プロトコルシーケンスのための制御データ)の数が制限されている理由から短縮することができる。その場合にオフベクトル内には,選択された制御装置P1,Pmのみが示される。
【0075】
分配された監視コンセプトを本発明に基づいて実現するために,さらに,オフベクトルの発信者が通信システムK1に接続されており,かつ通信システムK1を介して通信に参加しているかについての情報へアクセスされる。かかる情報は,多くの通信プロトコルによって標準的に提供される。この機能は,通信プロトコル内では,加入者サービスまたはメンバーシップサービスとも称される。その場合に,かかる情報は,いわゆるメンバーシップ情報に含まれている。その際に,情報証明の機構を介して,全てのアクティブな通信加入者の決定手続内でプロセスコンピュータPro1,Promの所属/アクティビティが設定される。所定数の決定サークルに従って,メンバーシップ情報は,安定であり,すなわちかかるメンバーシップ情報は,全ての加入者によって有効であると承認される。
【0076】
この決定によって制御装置P1,Pmがインアクティブとして特徴づけられた場合には,かかる制御装置は,通信にアクティブに参加することができない。担当のプロセスコンピュータPro1,Promは,かかる状態を認識して,それに対応づけられた通信コントローラS1,Smを再びアクティブに切り換える手段をとらなければならない(再始動と再同期化)。アクティブな加入者(メンバーシップ)を定める機構は,連続的に実施され,かつ本来の通信プロトコルの一部である。メンバーシップ情報は,通信システムK1内でメンバーシップベクトルMeの形式で提供される。
【0077】
本発明に基づく方法を実施するための初期状況は,機能している加入者(通信コントローラS1,Smとその制御装置P1,Pm若しくはプロセスコンピュータPro1,Prom)を有するアクティブな分配されたシステムである。従ってメンバーシップ情報Meは,各加入者について「1」になっており,オフのための要請(オフベクトルAb)は存在しない。この初期状況が,図4と5のステップ1に,4つの加入者A,B,C,Dを有する分配されたシステムについて示されている。図4は,唯一の有権者によるオフプロトコルを示しており(加入者Aは加入者Dによってのみオフにすることができる),それに対して図5は,オフプロトコルは,3人の有権者と絶対的多数決によるオフプロトコルを示している(加入者Aは,3人の他の加入者B,C,Dのうちの少なくとも2人によって加入者Aのオフが支持された場合に,オフにされる)。
【0078】
オブベクトルAbは,所定の制御装置P1のためのビット位置が「1」にセットされるとすぐに,かかる制御装置P1について権限のある制御装置Pmのオフ指令を表す。オフベクトルは,通信プロトコルによって発信者Pmにおいてメッセージの残りの制御データと共にコード化されて,送信される(図4と5のステップ2を参照)。
【0079】
通信システムK1は,マルチキャストメッセージに基づいている。それによって各アクティブな制御装置P1,Pmは,送信されてエラーなしと認められた全てのメッセージを受信し,その後ローカルなプロトコル機構を開始すると仮定することができる。メッセージの正確さが,所定数の他の送信プロセスの後に初めて決定される特殊な場合(例えばTTP/Cにおいて)は,別に扱わなければならない。かかる特殊な場合は,受信されたオフベクトルもこの最終的に有効な決定までは無効であると考えなければならないことを意味している。通信コントローラS1は,受信したプロトコルデータからオフベクトルAbの情報を取り出す。
【0080】
プロトコル実現に基づいて発信者Pmの識別子が明らかにされている場合には,受信者S1において権限の検査を実行可能である。受信者S1は,送信時点,メッセージ識別子およびオフ権限についての静的な情報の関連を介して,メッセージの発信者Pmの識別子を認識する。発信者Pmの同定が明白に定められていない場合には,オフベクトルAbに加えて発信者Pmの識別子が一緒に伝達されなければならない。
【0081】
図4に示すオフプロトコルにおいては,加入者DのオフベクトルAb内に,加入者Aの識別子と一致するビット個所がセットされている。加入者Aのローカルな権限リスト内に,加入者Dは,オフをするための有権者として登録されている。この理由から,ステップ3においては,加入者Aのプロセスコンピュータおよび/またはプロセスコンピュータによって駆動されるアクター技術のオフが実行される。
【0082】
通信コントローラS1は,ソフトウェアインターフェイスSS1内のオフベクトルAbのステータスを図4の実際の状態にセットする(図4のステップ3と図3のSS1を参照)。通信コントローラS1は,イネーブル回路FS1を介してアクター技術のオフを開始するために,ハードウェアインターフェイスに設けられている接続ピンにオフのためのレベルをセットする(図4のステップ3,および図3の信号F1と信号Bを参照)。通信コントローラS1は,パッシブな状態に変化し,すなわちかかる通信コントローラは,通信システムK1を介して通信には参加しない。かかる手段によって,他の加入者B,C,Dに,ノード全体(制御装置,アクター技術,センサ技術および加入者Aの通信コントローラ)が提供されないことを信号で知らせる。このことは,該当するビット個所が「0」にセットされることによって,分配されたシステム内の他の加入者B,C,DのメンバーシップベクトルMe内の加入者Aの消去をもたらす(図4のステップ4を参照)。オフにされた加入者Aのメンバーシップエントリーがないことによって,オフベクトルAbの発信者Dは,かかるオフ指令の成果を介してコンファメーションを受け取る。オフベクトルAb内でセットが繰り返されることは,不要となる(図4のステップ5を参照)。オフベクトルAb内で,加入者Aに相当するビット個所は,オフ指令のコンファメーションが存在するまで頻繁にセットされる。
【0083】
図5のオフプロトコルにおいて,加入者Aのオフは,一方で,オフベクトルAb内にセットされたビット個所が加入者Aの識別子と一致し,他方では,権限を有する加入者B,C,D間で加入者Aのオフに関する一致が支配している場合にのみ実行され,その場合にローカルな権限リスト内に3人の加入者B,C,Dは,全て加入者Aをオフにする有権者として登録されている。
【0084】
これを実現するために,種々の加入者B,C,DのオフベクトルAbが集められなければならない。所定の加入者B,CまたはDのオフベクトルAbは,加入者B,CまたはDが通信プロトコルのメンバーシップベクトルMe内でアクティブとして特徴づけられている場合にのみ集めることができる(図5のステップ3から5を参照)。それによって,加入者Aのオフが必要であるが,加入者B,C,D自体の1つがアクティブではなく,インアクティブな加入者B,CまたはDのオフ指令が欠けるので,加入者Aのオフが阻止されてしまう状況が発生し得ることが防止される。
【0085】
全ての権限を有する加入者B,C,DがそのオフベクトルAbB,AbC,AbDを伝達した後に,予め設定可能な決定アルゴリズムに従って同調プロセスが開始される。かかる同調のために,この場合においては,アクティブな権限のある加入者B,C,Dの絶対多数決が選択される。例えば三分の二選択のような,他の決定アルゴリズムも,同様に実現することができる。使用すべき決定アルゴリズムの選択,例えば絶対多数決−,三分の二選択−または少なくとも1(at least one)の意味論の選択は,通信コントローラS1内のコンフィグレーションによって調節することができる。従って図5に示す実施例において,加入者Aは,全ての権限のある加入者B,C,DがそれぞれのオフベクトルAbB,AbC,AbDを介して加入者Aのオフを要求した場合に,初めてオフにされる(図5のステップ5を参照)。通信コントローラS1は,ソフトウェアインターフェイス内のオフベクトルAbのステータスを実際の状態にセットする(図5のステップ5および図3のSS1を参照)。通信コントローラS1は,イネーブル回路FS1を介してオフを開始するために,ハードウェアインターフェイス内に設けられている接続ピンにオフのためのレベルをセットする(図5のステップ5および図3の信号F1と信号B)。通信コントローラS1は,パッシブな状態に変化し,すなわち,かかる通信コントローラは,もはや通信には参加しない。この手段によって,他の加入者B,C,Dには,制御装置,アクター技術,センサ技術および通信コントローラを含むノード全体が提供されないことが信号で知らされる。このことは,分配されたシステムにおける他の加入者B,C,DのメンバーシップベクトルMe内の加入者Aの消去をもたらす(図5のステップ6を参照)。オフにされた加入者Aのメンバーシップエントリーがないことにより,オフベクトルAbの発信者(加入者B,C,D)は,オフ指令の成果を介してコンファメーションを受け取る。加入者Aに相当するビット個所をオフベクトルAb内に繰り返しセットすることは,この時点で必要ない(図5のステップ7を参照)。オフベクトルAbの各発信者Promは,かかるオフベクトル内に加入者Aに相当するビット個所を,オフにすべき加入者Aの成功裏に実行されたオフに関するコンファメーションがメンバーシップベクトルMe内に該当する加入者Aがないこと
により,伝達されるまでの間にセットする。
【図面の簡単な説明】
【図1】
好適な実施形態に基づく,本発明に従って分配された安全上重要なシステムの一部を示している。
【図2】
従来技術から知られている,分配された安全上重要なシステムの駆動モジュールを示している。
【図3】
図1に基づく駆動モジュールの内部のイネーブル信号を示している。
【図4】
本発明に基づく方法の第1の好適な実施形態によるオフプロトコルを示している。
【図5】
本発明に基づく方法の第2の好適な実施形態によるオフプロトコルを示している。
従来の技術
本発明は,分配された安全上重要なシステム,特に自動車内のX−バイ−ワイヤ−システムを駆動する方法に関する。分配されたシステムは,システムのコンポーネントを駆動するための少なくとも1つの第1のプロセスコンピュータと少なくとも1つの他のプロセスコンピュータとを有しており,その際にプロセスコンピュータは,それぞれ通信コントローラを介して通信システムに接続されている。このとき,少なくとも1つの第1のプロセスコンピュータの機能能力は,少なくとも1つの他のプロセスコンピュータによって試験される。
【0002】
本発明は,さらに,分配された安全上重要なシステム,特に自動車内のX−バイ−ワイヤ−システムに関する。分配されたシステムは,システムのコンポーネントを駆動するための少なくとも1つの第1のプロセスコンピュータと少なくとも1つの他のプロセスコンピュータを有している場合に,プロセスコンピュータは,それぞれ通信コントローラを介して通信システムに接続されている。このとき,少なくとも1つの第1のプロセスコンピュータの機能能力の監視は,少なくとも1つの他のプロセスコンピュータによって実行される。
【0003】
さらに,本発明は,少なくとも1つの第1のプロセスコンピュータと少なくとも1つの他のプロセスコンピュータを,分配された安全上重要なシステム,特に自動車内のX−バイ−ワイヤ−システムの通信システムに接続するための通信コントローラに関する。このとき,少なくとも1つの第1のプロセスコンピュータは,分配されたシステムのコンポーネントを駆動するために使用される。また,通信コントローラ上では,プロセスコンピュータと通信システムとの間のデータ伝送を実現するために通信プロトコルが遂行される。
【0004】
そして本発明は,分配された安全上重要なシステム,特に自動車内のX−バイ−ワイヤ−システムの通信システムのための通信プロトコルにも関する。分配されたシステムは,分配されたシステムのコンポーネントを駆動するための少なくとも1つの第1のプロセスコンピュータと,少なくとも1つの他のプロセスコンピュータを有している。このとき,プロセスコンピュータは,それぞれ通信コントローラを介して通信システムに接続されている。また,通信プロトコルは,プロセスコンピュータと通信システムとの間のデータ伝送を実現するために通信コントローラ上で遂行される。
【0005】
制御装置(プロセスコンピュータ),センサ技術およびアクター技術を通信システムの使用によってネットワーク化することは,自動車関連分野において近年著しく増加している。その際に,通信システムを介して相互に影響し合うことを排除しなければならない。このとき,機能を多数のプロセスコンピュータへ分配することによる相乗効果が前面に出てくる。分配されたシステムについて以下で述べる。
【0006】
この種の分配されたシステムの特殊な実現が,X−バイ−ワイヤ−システムである。X−バイ−ワイヤ−システムは,車両運動に用いられる自動車システムであって,運転者意図の検出とその変換を分離することを許すものである。運転者意図の検出とかかる変換の間の接続は,機械的な方法ではなく,大体において(電子的な)情報伝送のみに基づいて実行される。X−バイ−ワイヤ−システムは,高い安全要請を有するシステムであって,すなわちかかるシステムが完全に故障すると,車両内で可能な最高の安全段階のエラーをもたらす。この種のシステムとして,以下の3つの分類が考えられる。
【0007】
1.ウェット性のX−バイ−ワイヤ−システムは,電気的なエネルギー供給がなされない場合でも(例えばエネルギー供給が絶たれた後に)ベース機能を維持することのできる,油圧的(機械的)フォールバック平面を有するシステムである。ベース機能とは,運転者意図が得られる機能に機械的に固定結合されている場合にも,まだ存在する機能である。車両ブレーキにおいては,例えばベースブレーキ機能は,可変のブレーキ力分配を形成することのできる電子的制御システムのないブレーキ機能である。その際にベースブレーキ機能においては(システムに従って),例えばブレーキ力の65%は,前車軸に,35%は,後ろ車軸に分配されることが固定的に設定されている。アンチロックブレーキングシステム(ABS),アンチスリップ制御(ASR)および走行動特性制御(FDR)は,ベースブレーキ機能には属していない。
【0008】
2.ドライ性のX−バイ−ワイヤ−システムは,機械的/油圧的フォールバック平面をもたないシステムである。かかるシステムの実現は,電気機械的コンポーネントのみに基づいている。
【0009】
3.半ドライ性のX−バイ−ワイヤ−システムは,油圧操作装置を使用するが,「ドライなインターフェイス」を有しているシステムである。従って,通信要請に関して,かかるシステムは,ドライ性のX−バイ−ワイヤ−システムと同様に取り扱われる。
【0010】
X−バイ−ワイヤ−システムの典型的な例として,ステア−バイ−ワイヤシステムおよびブレーキ−バイ−ワイヤシステムがある(電子ステアリングおよび電子ブレーキ)。
【0011】
高い安全要請を有するX−バイ−ワイヤ−システムの全システム,特にX−バイ−ワイヤ−システムにおいて,アクター技術を例えば電気モータまたは油圧ポンプから解放するための機構が必要である。これは,従来技術によれば,質問−応答−通信に基づく,いわゆる「インテリジェントウォッチドッグ」によって実現される。
【0012】
冒頭で挙げた種類の方法は,例えばDE19826131A1から知られている。かかる公報においては,分配された安全上重要なシステムは,自動車の電気的なブレーキシステムとして記載されている。コンポーネントは,自動車のブレーキとして,若しくは,さらに正確に言うと,ブレーキを駆動するためのアクターとして形成されている。この種のシステムは,高度に安全上重要である。なぜなら,コンポーネントのエラーのある駆動,特にブレーキのエラーのある操作は,予測不可能な安全上のリスクをもたらす恐れがあるからである。この理由から,コンポーネントのエラーのある駆動が確実に排除されなければならない。
【0013】
公知のブレーキシステムの本質的な特徴は,中央で運転者意図を検出するためのペダルモジュール,ブレーキアクチュエータを車輪個別に制御するための4つの車輪モジュールおよび上位のブレーキ機能を計算するための処理モジュールである。個々のモジュール間の互いの通信は,1つまたは複数の通信システムによって実行可能である。本特許出願の図2には,種々の論理平面を有する車輪モジュールの内部構造が例示されている。その際に論理平面L1は,少なくとも,車輪ブレーキのための開ループ制御および閉ループ制御機能の計算を有し,論理平面L2からL4は,コンピュータを監視し,かつL1の機能を試験するための種々の機能を含む内容としている。
【0014】
ブレーキ,例えばブレーキシューを操作するための電気モータの駆動は,各車輪モジュールについて同様に以下のステップを有している。:
【0015】
a)少なくとも1つの入力信号(aR2,aR3,aR4;aV,ref;sR2,sR3,sR4;ΔsV,ref;vF;n1;d1;Fli;aR1;sR1)に従って,第1のマイクロコンピュータシステム(R1A)によってブレーキのための少なくとも1つの駆動信号(f1)を求める。入力信号は,通信システム(K1)若しくはバスシステムを介して,マイクロコンピュータシステム(R1A)へ提供される。
【0016】
b)少なくとも1つの論理的な駆動信号(e1H)を求める。論理的な駆動信号(e1H)は,少なくとも部分的に,第1のマイクロコンピュータシステム(R1A)に依存しない監視ユニット(R1B)によって,少なくとも1つの入力信号に従って求められる。
【0017】
c)少なくとも1つの駆動信号(f1)を,パワーエレクトロニクス(LE1K)において少なくとも1つの論理的な駆動信号(e1H)と比較する。
【0018】
d)駆動信号(f1)と論理的な駆動信号(e1H)との比較の結果に従って,(パワーエレクトロニクスLE内部の)少なくとも1つのイネーブル信号を求める。
【0019】
e)少なくとも1つのイネーブル信号が予め設定可能な値を有する場合に,少なくとも1つの駆動信号(f1)または駆動信号(f1)に依存する信号(i1K)をブレーキ若しくはブレーキシューのためのアクチュエータAkt1へ供給する。
【0020】
監視ユニット(R1B)は,特に系統的(いわゆるコモンモードの)エラーを認識するために使用される。この種のエラーの例は,電圧供給におけるエラーである。公知のブレーキシステムにおいては,監視ユニット(R1B)は,自立したマイクロコンピュータシステムとして形成されている。しかしながら,監視ユニット(R1B)を,独自のプロセッサを持たないハードウェアモジュールとして形成することもできるが,かかるハードウェアモジュールは,具体的な論理機能を,あるいは,かかるハードウェアモジュールがレジスタを有している場合には,さらに切り換え機能を実施することができる。この種のハードウェアモジュールの例として,例えばASIC(Applied Specific Integrated Circuit),FPGA(Field−Programmable Gate Array)または監視回路(いわゆるウォッチドッグ)がある。
【0021】
コンポーネント(アクター技術)を駆動する責任を有する制御装置(マイクロコンピュータシステムまたはプロセスコンピュータ)は,監視されて,エラーの場合には,監視ユニットによってオフにされる。このとき,監視は,質問−応答−通信に基づいており,固定されたプロトコルに従わなければならない。
【0022】
アクター技術(LE2R)のイネーブルは,マイクロコンピュータシステム(R1A)と独立した監視ユニット(R1B)が一致した場合(質問−応答−通信は明細設定されたように作動する)にのみ実行される。このイネーブルの原理は,プロセスコンピュータと監視ユニットとの間で実現されている電気的なイネーブル回路(アンド結合)に基づいている。これは,2つのユニットがアクター技術の通常の機能について,論理「1」をイネーブル回路へ印加しなければならないことを意味している。
【0023】
マイクロコンピュータシステム(R1A)内のプロセスがオフにする信号を出力するとすぐにアクター技術の接続が切断される。監視コンポーネント(R1B)は,監視されているユニット(マイクロコンピュータシステムR1A)にエラーがあると認識された場合にのみ,オフにする信号を出力する。
【0024】
しかし,安全上重要なシステムにおいては,質問−応答−通信の範囲を超える,制御装置(プロセスコンピュータ)のための監視機構も必要である。これは,特に,いわゆる−フェイル−サイレント−コンピュータ(Fail−Silent−Rechner)のために大きな役割を果たす。このコンピュータは,定義によって1つの値のみを,かかる値が(正しい時期に)正確に存在し,あるいは認識可能に誤って示された場合に,外部へ出力することができる。そのためにローカルの連続的な監視機能(メモリテスト,蓋然性チェック)がプロセスコンピュータ自体に実装される。しかし,特に安全上重要な課題については,フェイル−サイレント−コンピュータが予測される確実性を満たさない場合を考慮しなければならない。コンピュータは,もはや自分でオフにはできず,若しくは再始動を開始することはできない。独立したユニットが,安全確保されたオフを引継ぎ,あるいは再始動を開始しなければならない。
【0025】
自動車領域内の通信システムを使用することは,最近では,ほぼ全てのメーカーにおいて標準になっている。ソサイティフォアオートモーティブエンジニアリング(Society for Automotive Engineering/SAE)は,通信に対する3つの異なる要請クラス:クラスA,B,Cを定めた。これらのクラスは,様々な実時間要請と使用領域に至るまで,交換される情報の量において異なっている。最高の要請を有するプロトコルクラスは,クラスCである。かかるクラスCについて,SAEの明細書「クラスCの使用のための通信プロトコル(Kommunikationsprotokolle fuer Klasse C Anwendungen)」,SAE J2056/1,1993年6月が入手できる。このクラスCは,X−バイ−ワイヤ−システムのための権限を有するクラスである。
【0026】
X−バイ−ワイヤ−使用に利用することのできる通信システムは,例えばCAN−,TTCAN(Time Triggered CAN)−,TTP/C−またはフレックスレイ−プロトコルである。この種のプロトコルにおける本発明にとって重要なサービスは,加入者−サービス(いわゆるメンバーシップ−サービス)である。その際に,情報証明の機構を介して,全てのアクティブな通信加入者の決定手続内で,通信加入者(マイクロコンピュータシステムまたはプロセスコンピュータ)の所属/アクティビティが設定される。通信加入者の所属/アクティビティに関する情報は,いわゆるメンバーシップ情報として記憶される。所定数の決定サークルに従って,メンバーシップ情報は,安定となり,すなわち全ての加入者から有効と認められる。この決定によって,加入者がインアクティブとして特徴づけられた場合には,かかるノードは,通信にアクティブに参加できなくなる。かかるノードを管轄するプロセスコンピュータは,インアクティブな状態を認識して,その通信コントローラを再びアクティブに切り換えるために(再始動と再同期),処置をとらなければならない。加入者を設定するための機構は,連続的に実施され,かつ本来の通信プロトコルの一部となる。
【0027】
DE19826131A1から明らかにされた従来技術における欠点は,論理的平面L4が常に別個の構成部分において実現されており(例えば電気的ブレーキシステムの車輪モジュール内の),その構成部分は,分配された安全上重要なシステムの内部でさらに多重に設けられなければならないことである。
【0028】
上記の欠点を除去するために,監視ユニットを完全に省き,監視ユニットの課題を分配された安全上重要なシステムの少なくとも1つの他のプロセスコンピュータへ,および/または通信コントローラの少なくとも1つへ移動することが,提案され,それら通信コントローラを介して他のプロセスコンピュータが通信システムに接続されている。
【0029】
本発明の課題は,この種の分配された監視コンセプトにおいて,通信システム若しくは通信コントローラのベース機能,すなわち安全確保されたメッセージ伝送,同時に通信システム内の多数の目標へ向けられたメッセージの送信(いわゆるマルチキャスティング),情報証明および−例えばTTP/C(Time Triggered Protocol for Class C)またはCAN(Controller Area Network)においては−加入者サービスを,通信システムを介することによってプロセッサを安全確保してオフにするための機構だけ拡張する可能性を提供することである。
【0030】
この課題を解決するために,本発明は,冒頭で挙げた種類の方法に基づいて,以下のステップを有する方法を提案する。:
【0031】
−少なくとも1つの第1のプロセスコンピュータのエラーを求めた少なくとも1つの他のプロセスコンピュータは,エラーのある第1のプロセスコンピュータまたはかかる第1のプロセスコンピュータによって駆動されるコンポーネントを駆動するために通信システムを介して駆動メッセージを伝達し;
−駆動メッセージの発信者が,エラーのある第1のプロセスコンピュータを駆動する権限を有しているかを調べ;
−駆動メッセージの発信者が通信システムに接続されており,かつ通信システムを介して通信にアクティブに参加しているかを調べ;
−エラーのある第1のプロセスコンピュータを駆動する権限を有し,通信システムに接続されており,かつ通信システムを介して通信にアクティブに参加している発信者の駆動メッセージの内容に従って,予め設定可能な決定アルゴリズムに従って,エラーのある第1のプロセスコンピュータおよび/またはコンポーネントがどのように駆動されるかを決定され;かつ
−エラーのある第1のプロセスコンピュータおよび/またはコンポーネントが,それに応じて駆動される。
【0032】
発明の利点
従って本発明によれば,ローカルまたはグローバルに提供可能な情報が設けられており,その情報によって通信システム内部の分配された監視コンセプトのより安全かつ確実な実現を達成することができる。かかる情報は,第1のプロセスコンピュータについては,それぞれローカルなリストに関するものであって,かかるリストの中に,エラーの場合にそれぞれ第1のプロセスコンピュータを駆動する(例えばオフにする)ことのできる他のプロセスコンピュータが設けられている。さらに情報は,グローバルなリストに関し,そのリスト内には,通信システムに接続されており,かつ通信システムを介して通信にアクティブに参加しているプロセスコンピュータが設けられている。このリストのために,例えば加入者サービスのメンバーシップ情報を利用することができる。また情報は,それぞれ他のプロセスコンピュータについて,グローバルに提供可能なリストに関し,かかるリスト内には,それぞれ他のプロセスコンピュータにエラーがあると認識し,従って駆動する(例えばオフにする)ことのできる第1のプロセスコンピュータが設けられている。
【0033】
本発明は,多数のプロセスコンピュータを有する通信システムに基づいている。プロセスコンピュータは,2つのグループに,すなわち一方では,監視される第1のプロセスコンピュータとして,他方では,監視する他のプロセスコンピュータとして分割されている。分配されたシステムのプロセスコンピュータのいずれかが第1のグループに属し,いずれかが第2のグループに属しているかについては,定義の問題である。1つの同じプロセスコンピュータが,一方では,他のプロセスコンピュータの1つまたは複数によって監視されることにより,第1のグループに属し,他方では,1つまたは複数の他の(第1の)プロセスコンピュータを監視することにより,第2のグループに属することも容易に考えられる。
【0034】
本発明によって,通信システム若しくは通信プロトコルのベース機能,すなわち安全確保されたメッセージ伝送,マルチキャスティング,情報証明および加入者サービスは,通信システムを介してプロセスコンピュータを安全確保してオフにする機構によって拡張される。その場合に通信システムは,従来技術においては,ハードウェアにおいて(配線により)実現されていたオフレーン(例えばブレーキ−バイ−ワイヤ−システムにおける車輪コンピュータへの星状の配線を有する監視ユニット)の代用をする。通信システムは,従来技術に従って,制御装置のプロセスコンピュータにローカルに実装されたインテリジェントウォッチドッグ(しばしば単純なハードウェア回路の形式)を,通信システム内の任意に選択されたプロセスコンピュータへ移動させることができる。その際に,分配されたシステム内で既に設けられている制御装置のプロセスコンピュータが利用されることが好ましい。拡張されたウォッチドッグ機能,例えば相手コンピュータによる蓋然性チェックは,それによってより簡単に実現することができる。
【0035】
しかし,通信システム内で安全確保してオフにするための付加的な機構は,分配された監視コンセプトも可能にする。このことは,プロセスコンピュータがインテリジェントなウォッチドッグの機能を引き受けるだけでなく,多数の制御装置は,かかるプロセスコンピュータによって,通信システムを介して駆動若しくはオフをもたらすことができることを意味している。
【0036】
今日の自動車内に既に標準化されている通信システムおよびかかるシステムに結びついたバス配線(単線または二線導線)が,オフレーンとして利用される。このとき,通信システムのユニット間におけるオフレーンのために明確な配線は,不要である。通信システムは,駆動プロトコル若しくはオフプロトコルを実施して,通常のプロトコルシーケンス(メッセージの本来の送信と受信,情報証明および加入者サービス)に組み込まれている。その際に,通信コントローラのわずかな負担増は,発生するが,既にある制御装置(プロセスコンピュータ)の利用における著しい改良が得られる。さらに,通信システムは,駆動プロトコル若しくはオフプロトコルを開始若しくは実行に移すために,プロセスコンピュータへのソフトウェア−およびハードウェアインターフェイスを提供する。
【0037】
従って,分配された安全上重要なシステムのコンポーネント(アクター技術)が本発明に基づく方法に従って,かかるシステムを介して駆動される,イネーブル回路は,一方では,プロセスコンピュータによって,他方では,通信コントローラによって操作される。従って,通信システムを介してコンポーネントを駆動若しくはオフにすることが可能となる。さらにプロセスコンピュータ自体も通信コントローラと結合されることができるので,コンポーネントを駆動するプロセスコンピュータ自体が,例えば通信コントローラをプロセスコンピュータのリセット線に接続することによって,駆動若しくはオフにされることができる。
【0038】
本発明の好適な展開によれば,駆動メッセージによってエラーのある第1のプロセスコンピュータおよび/または第1のプロセスコンピュータによって駆動されるコンポーネントのオフが実行されることが提案される。
【0039】
本発明の好適な実施形態によれば,少なくとも1つの第1のプロセスコンピュータの通信コントローラ内に,ローカルな権限リストが設けられており,それを用いて,駆動メッセージの発信者の識別子が権限リストの内容と比較されることによって,駆動メッセージの発信者がエラーのある第1のプロセスコンピュータを駆動する権限を有しているかを検査されることが提案される。
【0040】
本発明の他の好適な実施形態によれば,通信システム内にグローバルな加入者リストが設けられており,それを用いて,駆動メッセージの発信者の識別子が加入者リストの内容と比較されることによって,駆動メッセージの発信者が通信システムに接続されており,かつ通信システムを介して通信にアクティブに参加しているかを調べられることが提案される。
【0041】
本発明の他の好適な展開によれば,少なくとも1つの第1のプロセスコンピュータについて多数の駆動メッセージが存在する場合に,駆動メッセージの内容に従って多数決に基づいて,エラーのある第1のプロセスコンピュータおよび/またはコンポーネントがいかに駆動されるかを決定されることが提案される。
【0042】
このとき,エラーのある第1のプロセスコンピュータおよび/またはコンポーネントの成功裏に実行された駆動は,駆動メッセージの少なくとも1つの発信者に伝達されることが好ましい。
【0043】
このとき,エラーのある第1のプロセスコンピュータおよび/またはコンポーネントの成功裏に実行された駆動は,エラーのある第1のプロセスコンピュータが通信システム内に設けられているグローバルな加入者リストから抹消されることによって,全てのプロセスコンピュータへ伝達され,その際に通信加入者リスト内には,通信システムに接続されており,かつ通信システムを介して通信にアクティブに参加しているプロセスコンピュータが設けられていることが好ましい。
【0044】
本発明の課題の他の解決として,冒頭で挙げた種類の分配された安全上重要なシステムに基づいて,
−他のプロセスコンピュータの少なくとも1つは,第1のプロセスコンピュータの少なくとも1つのもののエラーを求める手段,および少なくとも1つのエラーのある第1のプロセスコンピュータがエラーを有する場合に,エラーのある第1のプロセスコンピュータおよび/または第1のプロセスコンピュータによって駆動されるコンポーネントを駆動するための駆動メッセージが通信システムを介して伝達される手段を有しており;
−エラーのある第1のプロセスコンピュータの通信コントローラに,駆動メッセージの発信者が,エラーのある第1のプロセスコンピュータを駆動する権限を有しているかの情報が提供され;
−エラーのある第1のプロセスコンピュータの通信コントローラに,駆動メッセージの発信者が通信システムに接続されており,かつ通信システムを介して通信にアクティブに参加しているかの情報が提供され;
−エラーのある第1のプロセスコンピュータの通信コントローラは,予め設定可能な決定アルゴリズムに従って,エラーのある第1のプロセスコンピュータおよび/またはコンポーネントが,エラーのある第1のプロセスコンピュータを駆動する権限を有しており,かつ通信システムに接続されており,通信システムを介して通信にアクティブに参加している発信者の駆動メッセージの内容に従っていかにして駆動されるかを決定する手段を有しており;かつ
−エラーのある第1のプロセスコンピュータの通信コントローラは,エラーのある第1のプロセスコンピュータおよび/またはコンポーネントをそれに応じて駆動する手段を有している,
ことが提案される。
【0045】
本発明の好適な展開によれば,駆動メッセージの発信者が,エラーのある第1のプロセスコンピュータを駆動する権限を有しているかの情報が,少なくとも1つの第1のプロセスコンピュータの通信コントローラ内に設けられているローカルな権限リストの形式で提供されることが提案される。
【0046】
本発明の好適な実施形態によれば,駆動メッセージの発信者が通信システムに接続されており,かつ通信システムを介して通信にアクティブに参加しているかの情報が,通信システム内に設けられているグローバルな加入者リストの形式で提供されることが提案される。
【0047】
本発明の課題のさらに他の解決として,冒頭で挙げた種類の通信コントローラに基づいて,通信プロトコルが通信コントローラに,
−少なくとも1つの第1のエラーのあるプロセスコンピュータおよび/または第1のエラーのあるプロセスコンピュータによって駆動されるコンポーネントを駆動するための駆動メッセージが通信システムを介して伝達される,他のプロセスコンピュータの1つが,通信システムに接続されており,かつ通信システムを介して通信にアクティブに参加しているかを検査すること;
−駆動メッセージの発信者が,エラーのある第1のプロセスコンピュータを駆動する権限を有しているかを検査すること;
−予め設定可能な決定アルゴリズムに従って,第1のプロセスコンピュータおよび/またはコンポーネントが,エラーのある第1のプロセスコンピュータを駆動する権限を有し,かつ通信システムに接続されており,かつ通信システムを介して通信にアクティブに参加している発信者の駆動メッセージの内容に従ってどのように駆動されるかを決定すること;および
−それに応じて第1のプロセスコンピュータおよび/またはコンポーネントを駆動すること,
を可能にする機構だけ補足されていることが提案される。
【0048】
本発明の好適な展開によれば,通信プロトコルは,本発明に基づく方法を実施するための機構だけ補足されていることが提案される。
【0049】
また,本発明の課題のさらに他の解決として,冒頭で挙げた種類の通信プロトコルに基づいて,通信プロトコルが,
−少なくとも1つの第1のエラーのあるプロセスコンピュータおよび/または第1のエラーのあるプロセスコンピュータによって駆動されるコンポーネントを駆動するための駆動メッセージが通信システムを介して伝達される他のプロセスコンピュータの1つが,通信システムに接続されており,かつ通信システムを介して通信にアクティブに参加しているかを検査し;
−駆動メッセージの発信者が,エラーのある第1のプロセスコンピュータを駆動する権限を有しているかを調べ;
−予め設定可能な決定アルゴリズムに従って,第1のプロセスコンピュータおよび/またはコンポーネントが,エラーのある第1のプロセスコンピュータを駆動する権限を有し,かつ通信システムに接続されており,かつ通信システムを介して通信にアクティブに参加している発信者の駆動メッセージの内容に従って,どのように駆動されるかを決定し;かつ
−それに応じて第1のプロセスコンピュータおよび/またはコンポーネントを駆動する機構だけ補足されていることが提案される。
【0050】
本発明の好適な展開によれば,通信プロトコルは,本発明に基づく方法を実施するための機構だけ補足されていることが提案される。
【0051】
本発明の他の特徴,使用可能性および利点は,図面に示される本発明の実施例についての以下の説明から明らかにされる。その場合に全ての記載されている,あるいは図示されている特徴は,それ自体あるいは任意の組み合わせにおいて,特許請求項におけるその要約またはその帰属に関係なく,かつ詳細な説明ないし図面におけるその表現若しくは図示に関係なく,本発明の対象を形成するものである。
【0052】
実施例の説明
本発明を,以下で電気的なブレーキシステムを用いて詳細に説明する。しかし,本発明は電気的なブレーキシステムに限定されるものではなく,むしろ任意の分配された安全上重要なシステムに使用することができる。本発明は,付加的な監視ユニットを使用せずに,安全上重要なシステムのコンポーネントAkt1の確実なイネーブルを許す。監視ユニットの課題は,むしろ分配されたシステムの他のプロセスコンピュータPmによって引き受けられ,かかるプロセスコンピュータは,本来システム内に存在しており,かつ該当する機能の分だけ拡張されている。
【0053】
ブレーキシステムは,制動すべき各車輪について,車輪モジュールR1,Rmを有している。各車輪モジュールR1,Rmは,マイクロコンピュータシステムP1,Pmとイネーブル回路FS1,FSmを有している。マイクロコンピュータシステムP1,Pmは,それぞれプロセスコンピュータPro1,Promとインテリジェント通信コントローラS1,Smを有している。マイクロコンピュータシステムR1,PmのプロセスコンピュータPro1,Promと通信コントローラS1,Smは,半導体モジュール(いわゆるチップ)上にまとめることができる。しかし,それらは,常に互いに依存しない別体のユニットとして形成されている。各車輪モジュールR1,Rmは,通信コントローラS1,Smを介して,物理的なデータバスの形式の通信システムK1に接続されている。データバスを介してデータは,例えばCAN(Controller Area Network)−,TTCAN(Time Triggered CAN)−,TTP/C(Time Triggered Protocol for ClassC)−またはフレックスレイ−プロトコルに従って伝送することができる。車輪モジュールR1,Rmは,それぞれアクター技術Akt1,Aktmの形式のコンポーネントを制御し,かかるアクター技術は,例えば車輪ブレーキを操作若しくは緩めるための電気モータとして形成されている。
【0054】
図1には,分配された監視コンセプトの可能な実施形態において,2つの車輪モジュールの内部構造とその中で遂行される信号の流れが示されている。車輪モジュールR1の(もっと正確に言うと,プロセスコンピュータPro1の)課題は,電気的なブレーキシステムのアクター技術Akt1の駆動である。アクター技術Akt1を駆動する場合に重要なのは,アクター技術Akt1がマイクロコンピュータシステムP1のエラーのある駆動信号A11によって駆動されることを防止することである。かかる動作は,駆動信号A11が十分に高い確率でエラーのないことが確認された場合にのみ,さらにアクター技術Akt1へ供給されるべきであることを意味している。従ってアクター技術Akt1の駆動は,大体において以下のステップを有している。:
【0055】
a)マイクロコンピュータシステムP1のプロセッサPro1は,少なくとも1つの入力信号に従ってプログラムコードを処理することにより,アクター技術Akt1のための少なくとも1つの駆動信号A11を求める。入力信号は,ブレーキシステムと自動車の実際状態に関する情報を含んでおり,データバスK1を介して第1の車輪モジュールR1へ伝達される。
【0056】
b)他のマイクロコンピュータシステムPmのプロセッサProm(例えばm=2…4)は,同様に同じプログラムコードを同じ入力信号に従って処理することにより,論理的な駆動信号Am1を求める。かかる動作は,プロセッサProm内で,アクターAktmのための駆動信号Am1を求めるプログラムコードの他に,さらにプロセッサPro1からプログラムコードが提供されなければならないことを前提としている。多数の同種の車輪モジュールR1,Rmを有する本例においては,かかる前提は,付加的な手間ではなく,最少の手間のみを意味する。なぜなら,プロセッサPro1上で遂行されるプログラムコードは,ほぼ等しいからである。従って,プロセッサProm内で元来提供されているプログラムコードを論理的な駆動信号A1mで得るために,第1の車輪モジュールR1の入力信号によって処理することができる。かかる簡略化は,同種の駆動モジュールを有する全ての分配されたシステムに該当する。入力信号は,データバスK1を介してマイクロコンピュータシステムPmへ伝達することができる。プロセスコンピュータPro1,Promの機能が正しい場合には,駆動信号A11と論理的な駆動信号A1mは,同一である。
【0057】
c)駆動信号A11は,他のマイクロコンピュータシステムPmのプロセスコンピュータProm内で,前もってプロセスコンピュータPro1内で求められた駆動信号A11と比較される。そのためには,駆動信号A11がデータバスK1を介して他のマイクロコンピュータシステムPmへ伝達されなければならない。他のマイクロコンピュータシステムPmは,ステータス情報を生成し,かかるステータス情報がデータバスK1を介して第1のマイクロコンピュータシステムP1の通信コントローラS1へ伝達される。分配された監視コンセプトを実現するために通信システムK1を介して伝達されなければならない情報は,例えば1つまたは複数のビットからなる。その際,伝達するための情報をデータバスK1の通信プロトコルへ組み込むことが考えられる。
【0058】
d)第1のマイクロコンピュータシステムP1の通信コントローラS1は,詳しいステータス情報を評価して,該当するステータスの場合に(例えばプロセスコンピュータPro1の正しい機能方法が信号化された場合に),イネーブル信号F1を生成する。ステータス情報の評価は,様々な方法で実行可能である。例えば,ステータス情報SF1mの比較,論理的な(好ましくはアンド−)結合または多数決とすることができる。
【0059】
e)少なくとも1つのイネーブル信号F1が予め設定可能な値を有する場合に,少なくとも1つの駆動信号A11またはそれに従った少なくとも1つの信号がアクター技術Akt1へ供給される。これを検査するために,イネーブル回路RS1内で駆動信号A11とイネーブル信号F1のアンド結合が実施される。イネーブル信号F1が論理的に1である場合には,駆動信号A11は,アクター技術Akt1へ供給される。しかし,イネーブル信号F1が論理的にゼロである場合には,駆動信号A11は,アクター技術Akt1へは伝達されない。
【0060】
上述した方法によって,マイクロコンピュータシステムP1のプロセッサPro1の機能能力を調べて,アクター技術Akt1の確実なイネーブルを得ることができる。プロセッサPro1を調べるためには,主として他のマイクロコンピュータシステムPmのプロセッサPromが使用される。しかし同様にして,本発明に基づく方法を他のマイクロコンピュータシステムPmのプロセッサPromの機能能力を検査し,アクター技術Aktmを確実にイネーブルにするために使用することもできる。その場合に残りのプロセッサProm(検査すべきプロセッサなし)と第1のマイクロコンピュータシステムP1のプロセッサPro1が,検査するために利用される。従って安全上重要な分配されたブレーキシステムの内部の個々のマイクロコンピュータシステムP1,Pmは,一方では,それに対応づけられているアクター技術Akt1,Aktmのための駆動信号A11,Am1を求めるという一次課題を有し,他方では,一次課題が満たされた場合に,残りのプロセッサの機能を管理するという二次課題を有している。従って,付加的な監視ユニットを使用しないで,アクターAkt1,Aktmの確実で,かつさらに冗長で有効なイネーブルの可能性が提供される。
【0061】
図3には,車輪モジュールR1が部分的に示されている。通信システムK1を介して安全確保されたオフレーンを実現するために,通信コントローラS1とプロセスコンピュータPro1との間にソフトウェアインターフェイスSS1が設けられている。かかるインターフェイスSS1は,他のプロセスコンピュータPromによるオフベクトルの形式の駆動メッセージをセットするため,および通信コントローラS1を介して受信した,実際の有効なオフベクトルを照会するために使用される。
【0062】
分配された監視コンセプトを実現するためには,さらに通信コントローラS1からイネーブル回路FS1へ案内されているハードウェアインターフェイスが必要である。かかるハードウェアインターフェイスは,特にプロセスコンピュータPro1が実際のオフベクトルを読み出して,アクター技術Akt1をオフにできないエラー状況において,通信コントローラS1によってアクター技術Akt1をオフにするために使用される。そのために接続ピンF1が設けられており,通信線を介してイネーブル回路FS1へ導かれている。かかるピンF1は,通常の場合(オフコマンドが存在しない)には,通信コントローラS1によるアクター技術Akt1のイネーブルを保証するために,論理的な1に保持される。オフコマンドが存在する場合には,イネーブル回路FS1への接続ピンF1は,イネーブルを保証するために,論理的ゼロへ切り換えられなければならない。
【0063】
今日の自動車内には,既に標準化されている通信システムK1とかかる通信システムK1に接続されたバス配線(単線または二線式回線)は,分配された監視コンセプトにおいてオフレーンとして利用される。分配されたシステムのユニット間にオフレーンのための明確な配線は,不要である。通信システムK1は,通常のプロトコルシーケンス(メッセージの本来の送信と受信,情報証明およびいわゆる加入者サービス)に組み込まれているオフプロトコルを実施する。その際に,プロトコルコンピュータ(通信コントローラS1)のわずかな負担増は,発生するが,既存の制御装置(P1,Pm)若しくはプロセスコンピュータ(Pro1,Prom)の負担減に関して著しい改善が得られる。さらに,通信システムK1は,駆動若しくはオフプロトコルを開始し,若しくは実行に移すために,プロセスコンピュータPro1,Promへのソフトウェア−およびハードウェアインターフェイスを提供する。
【0064】
従って,上述した分配された監視コンセプトにおいて,イネーブル回路FS1は,一方ではプロセスコンピュータPro1によって,他方では,通信コントローラS1によって操作される。従って,本特許出願に記載されているオフ機構によってアクター技術Akt1を,通信システムK1を介してオフにすることが可能である。さらに,プロセスコンピュータPro1自体も通信コントローラS1と結合することができるので,例えばプロセスコンピュータPro1のリセット線Bに結合することによって,プロセスコンピュータPro1をオフにすることもできる。
【0065】
通信システムK1を介して安全確保されたオフレーンを実現することは,その通信コントローラS1,SmによってデータバスK1に接続されている,各制御装置Pro1,Promによってほぼ可能である。通信コントローラS1,Smは,通信プロトコル内のオフプロトコルを実行に移さなければならない。オフプロトコルとそのために必要なコンフィグレーションデータ若しくはインターフェイスSS1,F1について,以下で説明する。
【0066】
通信コントローラS1内には,どのマイクロコンピュータシステムPm若しくはどのプロセスコンピュータPromが,通信コントローラS1に対応づけられたプロセスコンピュータPro1をオフにする権限を有しているかに関する静的な情報が格納されている。かかる静的な情報は,通信コントローラS1内の例えばフラッシューEPROM(Erasable and Programmable Read Only Memory)に格納されている。
【0067】
かかる静的な情報は,以下の内容にまとめることができる。:
【0068】
・ローカルな通信コントローラS1の識別子。これは,幾つかのプロトコル,例えばTTP/Cにおいては,既に存在している。
【0069】
・その中に通信コントローラの識別子が記載されている,ローカル(個別)リストであって,ローカルなプロセスコンピュータPro1若しくはかかるプロセスコンピュータPro1によって駆動されるアクター技術Akt1をオフにするためのオフメッセージは,通信コントローラS1を介して案内されなければならない。リストは,権限を有する通信コントローラの数,例えば3エントリーに制限されていることが好ましい。
【0070】
さらに,静的な情報内で,権限のあるオフは,プロセスコンピュータPro1へ通じるインターフェイスSS1内でのみ表示されるべきか,あるいはオフメッセージが適当な配線を介してイネーブル回路FS1へも供給されるべきかについて構成されなければならない。
【0071】
オフベクトルは,ビットベクトルであって,分配された安全上重要なシステム全体内のm番目の加入者を表している。所定のビット位置は,所定の通信コントローラS1,Smの識別子に割り当てられている。オフベクトル内で,制御装置P1,Pm当たり2つの状態を示すことができる。:
【0072】
ゼロ:該当するビット位置に識別子を有する通信コントローラへのオフコマンドは存在しない。
【0073】
1:ビット位置に相当する通信コントローラのためのオフコマンドが存在する。
【0074】
オフベクトルは,帯域幅またはプロトコルデータ(メッセージパケット内で有効データと一緒に通信システムK1を介して送信される,プロトコルシーケンスのための制御データ)の数が制限されている理由から短縮することができる。その場合にオフベクトル内には,選択された制御装置P1,Pmのみが示される。
【0075】
分配された監視コンセプトを本発明に基づいて実現するために,さらに,オフベクトルの発信者が通信システムK1に接続されており,かつ通信システムK1を介して通信に参加しているかについての情報へアクセスされる。かかる情報は,多くの通信プロトコルによって標準的に提供される。この機能は,通信プロトコル内では,加入者サービスまたはメンバーシップサービスとも称される。その場合に,かかる情報は,いわゆるメンバーシップ情報に含まれている。その際に,情報証明の機構を介して,全てのアクティブな通信加入者の決定手続内でプロセスコンピュータPro1,Promの所属/アクティビティが設定される。所定数の決定サークルに従って,メンバーシップ情報は,安定であり,すなわちかかるメンバーシップ情報は,全ての加入者によって有効であると承認される。
【0076】
この決定によって制御装置P1,Pmがインアクティブとして特徴づけられた場合には,かかる制御装置は,通信にアクティブに参加することができない。担当のプロセスコンピュータPro1,Promは,かかる状態を認識して,それに対応づけられた通信コントローラS1,Smを再びアクティブに切り換える手段をとらなければならない(再始動と再同期化)。アクティブな加入者(メンバーシップ)を定める機構は,連続的に実施され,かつ本来の通信プロトコルの一部である。メンバーシップ情報は,通信システムK1内でメンバーシップベクトルMeの形式で提供される。
【0077】
本発明に基づく方法を実施するための初期状況は,機能している加入者(通信コントローラS1,Smとその制御装置P1,Pm若しくはプロセスコンピュータPro1,Prom)を有するアクティブな分配されたシステムである。従ってメンバーシップ情報Meは,各加入者について「1」になっており,オフのための要請(オフベクトルAb)は存在しない。この初期状況が,図4と5のステップ1に,4つの加入者A,B,C,Dを有する分配されたシステムについて示されている。図4は,唯一の有権者によるオフプロトコルを示しており(加入者Aは加入者Dによってのみオフにすることができる),それに対して図5は,オフプロトコルは,3人の有権者と絶対的多数決によるオフプロトコルを示している(加入者Aは,3人の他の加入者B,C,Dのうちの少なくとも2人によって加入者Aのオフが支持された場合に,オフにされる)。
【0078】
オブベクトルAbは,所定の制御装置P1のためのビット位置が「1」にセットされるとすぐに,かかる制御装置P1について権限のある制御装置Pmのオフ指令を表す。オフベクトルは,通信プロトコルによって発信者Pmにおいてメッセージの残りの制御データと共にコード化されて,送信される(図4と5のステップ2を参照)。
【0079】
通信システムK1は,マルチキャストメッセージに基づいている。それによって各アクティブな制御装置P1,Pmは,送信されてエラーなしと認められた全てのメッセージを受信し,その後ローカルなプロトコル機構を開始すると仮定することができる。メッセージの正確さが,所定数の他の送信プロセスの後に初めて決定される特殊な場合(例えばTTP/Cにおいて)は,別に扱わなければならない。かかる特殊な場合は,受信されたオフベクトルもこの最終的に有効な決定までは無効であると考えなければならないことを意味している。通信コントローラS1は,受信したプロトコルデータからオフベクトルAbの情報を取り出す。
【0080】
プロトコル実現に基づいて発信者Pmの識別子が明らかにされている場合には,受信者S1において権限の検査を実行可能である。受信者S1は,送信時点,メッセージ識別子およびオフ権限についての静的な情報の関連を介して,メッセージの発信者Pmの識別子を認識する。発信者Pmの同定が明白に定められていない場合には,オフベクトルAbに加えて発信者Pmの識別子が一緒に伝達されなければならない。
【0081】
図4に示すオフプロトコルにおいては,加入者DのオフベクトルAb内に,加入者Aの識別子と一致するビット個所がセットされている。加入者Aのローカルな権限リスト内に,加入者Dは,オフをするための有権者として登録されている。この理由から,ステップ3においては,加入者Aのプロセスコンピュータおよび/またはプロセスコンピュータによって駆動されるアクター技術のオフが実行される。
【0082】
通信コントローラS1は,ソフトウェアインターフェイスSS1内のオフベクトルAbのステータスを図4の実際の状態にセットする(図4のステップ3と図3のSS1を参照)。通信コントローラS1は,イネーブル回路FS1を介してアクター技術のオフを開始するために,ハードウェアインターフェイスに設けられている接続ピンにオフのためのレベルをセットする(図4のステップ3,および図3の信号F1と信号Bを参照)。通信コントローラS1は,パッシブな状態に変化し,すなわちかかる通信コントローラは,通信システムK1を介して通信には参加しない。かかる手段によって,他の加入者B,C,Dに,ノード全体(制御装置,アクター技術,センサ技術および加入者Aの通信コントローラ)が提供されないことを信号で知らせる。このことは,該当するビット個所が「0」にセットされることによって,分配されたシステム内の他の加入者B,C,DのメンバーシップベクトルMe内の加入者Aの消去をもたらす(図4のステップ4を参照)。オフにされた加入者Aのメンバーシップエントリーがないことによって,オフベクトルAbの発信者Dは,かかるオフ指令の成果を介してコンファメーションを受け取る。オフベクトルAb内でセットが繰り返されることは,不要となる(図4のステップ5を参照)。オフベクトルAb内で,加入者Aに相当するビット個所は,オフ指令のコンファメーションが存在するまで頻繁にセットされる。
【0083】
図5のオフプロトコルにおいて,加入者Aのオフは,一方で,オフベクトルAb内にセットされたビット個所が加入者Aの識別子と一致し,他方では,権限を有する加入者B,C,D間で加入者Aのオフに関する一致が支配している場合にのみ実行され,その場合にローカルな権限リスト内に3人の加入者B,C,Dは,全て加入者Aをオフにする有権者として登録されている。
【0084】
これを実現するために,種々の加入者B,C,DのオフベクトルAbが集められなければならない。所定の加入者B,CまたはDのオフベクトルAbは,加入者B,CまたはDが通信プロトコルのメンバーシップベクトルMe内でアクティブとして特徴づけられている場合にのみ集めることができる(図5のステップ3から5を参照)。それによって,加入者Aのオフが必要であるが,加入者B,C,D自体の1つがアクティブではなく,インアクティブな加入者B,CまたはDのオフ指令が欠けるので,加入者Aのオフが阻止されてしまう状況が発生し得ることが防止される。
【0085】
全ての権限を有する加入者B,C,DがそのオフベクトルAbB,AbC,AbDを伝達した後に,予め設定可能な決定アルゴリズムに従って同調プロセスが開始される。かかる同調のために,この場合においては,アクティブな権限のある加入者B,C,Dの絶対多数決が選択される。例えば三分の二選択のような,他の決定アルゴリズムも,同様に実現することができる。使用すべき決定アルゴリズムの選択,例えば絶対多数決−,三分の二選択−または少なくとも1(at least one)の意味論の選択は,通信コントローラS1内のコンフィグレーションによって調節することができる。従って図5に示す実施例において,加入者Aは,全ての権限のある加入者B,C,DがそれぞれのオフベクトルAbB,AbC,AbDを介して加入者Aのオフを要求した場合に,初めてオフにされる(図5のステップ5を参照)。通信コントローラS1は,ソフトウェアインターフェイス内のオフベクトルAbのステータスを実際の状態にセットする(図5のステップ5および図3のSS1を参照)。通信コントローラS1は,イネーブル回路FS1を介してオフを開始するために,ハードウェアインターフェイス内に設けられている接続ピンにオフのためのレベルをセットする(図5のステップ5および図3の信号F1と信号B)。通信コントローラS1は,パッシブな状態に変化し,すなわち,かかる通信コントローラは,もはや通信には参加しない。この手段によって,他の加入者B,C,Dには,制御装置,アクター技術,センサ技術および通信コントローラを含むノード全体が提供されないことが信号で知らされる。このことは,分配されたシステムにおける他の加入者B,C,DのメンバーシップベクトルMe内の加入者Aの消去をもたらす(図5のステップ6を参照)。オフにされた加入者Aのメンバーシップエントリーがないことにより,オフベクトルAbの発信者(加入者B,C,D)は,オフ指令の成果を介してコンファメーションを受け取る。加入者Aに相当するビット個所をオフベクトルAb内に繰り返しセットすることは,この時点で必要ない(図5のステップ7を参照)。オフベクトルAbの各発信者Promは,かかるオフベクトル内に加入者Aに相当するビット個所を,オフにすべき加入者Aの成功裏に実行されたオフに関するコンファメーションがメンバーシップベクトルMe内に該当する加入者Aがないこと
により,伝達されるまでの間にセットする。
【図面の簡単な説明】
【図1】
好適な実施形態に基づく,本発明に従って分配された安全上重要なシステムの一部を示している。
【図2】
従来技術から知られている,分配された安全上重要なシステムの駆動モジュールを示している。
【図3】
図1に基づく駆動モジュールの内部のイネーブル信号を示している。
【図4】
本発明に基づく方法の第1の好適な実施形態によるオフプロトコルを示している。
【図5】
本発明に基づく方法の第2の好適な実施形態によるオフプロトコルを示している。
Claims (14)
- システムのコンポーネント(Akt1)を駆動するための少なくとも1つの第1のプロセスコンピュータ(Pro1)と,少なくとも1つの他のプロセスコンピュータ(Prom)とを有し,
その際に前記プロセスコンピュータ(Pro1,Prom)は,それぞれ通信コントローラ(S1,Sm)を介して通信システム(K1)に接続されており,
かつ前記少なくとも1つの第1のプロセスコンピュータ(Pro1)の機能能力が,前記少なくとも1つの他のプロセスコンピュータ(Prom)によって検査される分配された安全上重要なシステム,特に自動車内のX−バイ−ワイヤ−システムを駆動する方法において,
次のステップ,すなわち:
−少なくとも1つの前記第1のプロセスコンピュータ(Pro1)のエラーを求めた少なくとも1つの前記他のプロセスコンピュータ(Prom)は,前記エラーのある第1のプロセスコンピュータ(Pro1)または前記駆動されるコンポーネント(Akt1)を駆動するために前記通信システム(K1)を介して駆動メッセージ(Abm)を伝達し;
−前記駆動メッセージ(Abm)の発信者が,前記エラーのある第1のプロセスコンピュータ(Pro1)を駆動する権限を有しているかを調べ;
−前記駆動メッセージ(Abm)の前記発信者が,前記通信システム(K1)に接続され,かつ前記通信システム(K1)を介して通信にアクティブに参加しているかを調べ;
−前記エラーのある第1のプロセスコンピュータ(Pro1)を駆動する権限を有し,かつ前記通信システム(K1)に接続されており,かつ前記通信システム(K1)を介して前記通信にアクティブに参加している発信者の前記駆動メッセージ(Abm)の内容に従い,予め設定可能な決定アルゴリズムによって,前記エラーのある第1のプロセスコンピュータ(Pro1)および/または前記コンポーネント(Akt1)がどのように駆動されるかが決定され;かつ
−前記エラーのある第1のプロセスコンピュータ(Pro1)および/または前記コンポーネント(Akt1)がそれに従って駆動されることを特徴とする,分配された安全上重要なシステムを駆動する方法。 - 前記駆動メッセージによって,前記エラーのある第1のプロセスコンピュータ(Pro1)および/または前記コンポーネント(Akt1)の接続が切断されることを特徴とする,請求項1に記載の方法。
- 前記少なくとも1つの第1のプロセスコンピュータ(Pro1)の前記通信コントローラ(S1)内に,ローカルな権限リスト(Be1)が設けられており,
該権限リストを用いて,前記駆動メッセージ(Abm)の前記発信者の識別子が前記権限リスト(Be1)の内容と比較されることにより,前記駆動メッセージ(Abm)の前記発信者が前記エラーのある第1のプロセスコンピュータ(Pro1)を駆動する権限を有しているかを調べられることを特徴とする,請求項1または2に記載の方法。 - 前記通信システム(K1)内に包括的な加入者リスト(Me)が設けられており,
該加入者リストを用いて,前記駆動メッセージ(Abm)の前記発信者の識別子が前記加入者リスト(Me)の内容と比較されることにより,前記駆動メッセージ(Abm)の発信者が前記通信システム(K1)に接続されており,
かつ前記通信システム(K1)を介して前記通信にアクティブに参加しているかを調べられることを特徴とする,請求項1から3のいずれか1項に記載の方法。 - 前記少なくとも1つの第1のプロセスコンピュータ(Pro1)について多数の駆動メッセージ(Abm)が存在する場合に,前記駆動メッセージ(Abm)の内容に従い,多数決決定に基づいて,前記エラーのあるプロセスコンピュータ(Pro1)および/または前記コンポーネント(Akt1)が駆動されるかが決定されることを特徴とする,請求項1から4のいずれか1項に記載の方法。
- 前記エラーのある第1のプロセスコンピュータ(Pro1)および/または前記コンポーネント(Akt1)の成功裏に実行された駆動が,前記駆動メッセージ(Abm)の少なくとも1つの発信者に伝達されることを特徴とする,請求項1から5のいずれか1項に記載の方法。
- 前記エラーのある第1のプロセスコンピュータ(Pro1)および/または前記コンポーネント(Akt1)の前記成功裏に実行された駆動が,前記エラーのある第1のプロセスコンピュータ(Pro1)が前記通信システム(K1)内に設けられている包括的な加入者リスト(Me)から抹消されることにより,全てのプロセスコンピュータ(Prom)に伝達され,
その際に前記加入者リスト(Me)内に,前記通信システム(K1)に接続されており,かつ前記通信システム(K1)を介して前記通信にアクティブに参加している前記プロセスコンピュータ(Prom)が記載されていることを特徴とする,請求項6に記載の方法。 - システムのコンポーネント(Akt1)を駆動するための少なくとも1つの第1のプロセスコンピュータ(Pro1)と少なくとも1つの他のプロセスコンピュータ(Prom)とを有し,
その際に前記プロセスコンピュータ(Pro1,Prom)は,それぞれ通信コントローラ(S1,Sm)を介して通信システム(K1)に接続されており,
かつ前記少なくとも1つの第1のプロセスコンピュータ(Pro1)の機能能力の監視が,前記少なくとも1つの他のプロセスコンピュータ(Prom)によって実行される,分配された安全上重要なシステム,特に自動車内のX−バイ−ワイヤ−システムにおいて,
−少なくとも1つの前記他のプロセスコンピュータ(Prom)は,少なくとも1つの前記第1のプロセスコンピュータ(Pro1)のエラーを求める手段と,前記少なくとも1つのエラーのある第1のプロセスコンピュータ(Pro1)がエラーを有する場合に,前記エラーのある第1のプロセスコンピュータ(Pro1)および/または前記駆動されるコンポーネント(Akt1)を駆動するための駆動メッセージ(Abm)を前記通信システム(K1)を介して伝達するための手段とを有しており;
−前記エラーのある第1のプロセスコンピュータ(Pro1)の前記通信コントローラ(S1)に,前記駆動メッセージ(Abm)の発信者が前記エラーのある第1のプロセスコンピュータ(Pro1)を駆動する権限を有しているかの情報が提供され;
−前記エラーのあるプロセスコンピュータ(Pro1)の前記通信コントローラ(S1)に,前記駆動メッセージ(Abm)の発信者が前記通信システム(K1)に接続されており,かつ該通信システム(K1)を介してアクティブに通信に参加しているかについての情報が提供され;
−前記エラーのある第1のプロセスコンピュータ(Pro1)の前記通信コントローラ(S1)は,予め設定可能な決定アルゴリズムに従って,前記エラーのある第1のプロセスコンピュータ(Pro1)および/または前記コンポーネント(Akt1)が,前記エラーのある第1のプロセスコンピュータ(Pro1)を駆動する権限を有し,かつ前記通信システム(K1)に接続されており,かつ前記通信システム(K1)を介して通信にアクティブに参加している発信者の前記駆動メッセージ(Abm)の内容に従って,どのように駆動されるかを決定するための手段を有しており;かつ
−前記エラーのある第1のプロセスコンピュータ(Pro1)の前記通信コントローラ(S1)は,前記エラーのある第1のプロセスコンピュータ(Pro1)および/または前記コンポーネント(Akt1)を適切に駆動するための手段を有していることを特徴とする,分配されたシステム。 - 前記駆動メッセージ(Abm)の発信者が,前記エラーのある第1のプロセスコンピュータ(Pro1)を駆動する権限を有しているかの情報が,前記少なくとも1つの第1のプロセスコンピュータ(Pro1)の前記通信コントローラ(S1)内に設けられているローカルな権限リスト(Be1)の形式で提供されることを特徴とする,請求項8に記載の分配されたシステム。
- 前記駆動メッセージ(Abm)の発信者が前記通信システム(K1)に接続されており,かつ前記通信システム(K1)を介して通信にアクティブに参加しているかの情報が,前記通信システム(K1)内に設けられているグローバルな加入者リスト(Me)の形式で提供されることを特徴とする,請求項8または9に記載の分配されたシステム。
- 少なくとも1つの第1のプロセスコンピュータ(Pro1)と少なくとも1つの他のプロセスコンピュータ(Prom)を分配されたシステムの,特に自動車内のX−バイ−ワイヤ−システムの通信システム(K1)に接続するための通信コントローラ(S1)であって,
その際に前記少なくとも1つの第1のプロセスコンピュータ(Pro1)は,前記分配されたシステムのコンポーネント(Akt1)を駆動するために使用され,前記通信コントローラ(S1)上では,前記プロセスコンピュータ(Pro1,Prom)と前記通信システム(K1)との間のデータ伝達を実現するために通信プロトコルが遂行される,前記通信コントローラにおいて,
前記通信プロトコルは,前記通信コントローラ(S1)に,
−少なくとも1つの第1のエラーのあるプロセスコンピュータ(Pro1)および/または前記駆動されるコンポーネント(Akt1)を駆動するための駆動メッセージ(Abm)を前記通信システム(K1)を介して伝達する,前記他のプロセスコンピュータ(Prom)の1つが,前記通信システム(K1)に接続されており,かつ該通信システム(K1)を介して通信にアクティブに参加しているかを検査すること;
−前記駆動メッセージ(Abm)の発信者が,前記エラーのある第1のプロセスコンピュータ(Pro1)を駆動する権限を有しているかを調べること;
−予め設定可能な決定アルゴリズムに従って,前記第1のプロセスコンピュータ(Pro1)および/または前記コンポーネント(Akt1)が,前記エラーのある第1のプロセスコンピュータ(Pro1)を駆動する権限を有し,前記通信システム(K1)に接続されており,かつ該通信システム(K1)を介して通信にアクティブに参加している発信者の前記駆動メッセージ(Abm)の内容に従って,どのように駆動されるかを決定すること;および
−前記第1のプロセスコンピュータ(Pro1)および/または前記コンポーネント(Akt1)をそれに応じて駆動すること,
を可能にする機構だけ補足されていることを特徴とする,通信コントローラ。 - 前記通信プロトコルが,請求項2から7のいずれか1項に記載の方法を実施するための機構だけ補足されていることを特徴とする,請求項11に記載の通信コントローラ(S1)。
- 分配された安全上重要なシステムの,特に自動車内のX−バイ−ワイヤ−システムの通信システム(K1)のための通信プロトコルであって,
その際に前記分配されたシステムは,該分配されたシステムのコンポーネント(Akt1)を駆動するための少なくとも1つの第1のプロセスコンピュータ(Pro1)と,少なくとも1つの他のプロセスコンピュータ(Prom)とを有しており,
かつ前記プロセスコンピュータ(Pro1,Prom)は,それぞれ通信コントローラ(S1,Sm)を介して前記通信システム(K1)に接続されており,
その場合に,前記プロセスコンピュータ(Pro1,Prom)と前記通信システム(K1)の間でデータ伝送を実現するための前記通信プロトコルが,前記通信コントローラ(S1,Sm)上で遂行される,前記通信プロトコルにおいて,
前記通信プロトコルは,
−前記少なくとも1つの第1のエラーのあるプロセスコンピュータ(Pro1)および/または前記駆動されるコンポーネント(Akt1)を駆動するための駆動メッセージ(Abm)を前記通信システム(K1)を介して伝達する,前記他のプロセスコンピュータ(Prom)の1つが,前記通信システム(K1)に接続されており,かつ該通信システム(K1)を介して通信にアクティブに参加しているかを検査し;
−前記駆動メッセージ(Abm)の発信者が,前記エラーのある第1のプロセスコンピュータ(Pro1)を駆動する権限を有しているかを検査し;
−予め設定可能な決定アルゴリズムに従って,前記第1のプロセスコンピュータ(Pro1)および/または前記コンポーネント(Akt1)が,前記エラーのある第1のプロセスコンピュータ(Pro1)を駆動する権限を有し,かつ前記通信システム(K1)に接続されており,かつ該通信システム(K1)を介して通信にアクティブに参加している発信者の前記駆動メッセージ(Abm)の内容に従って,どのように駆動されるかを決定し;かつ
−それに応じて前記第1のプロセスコンピュータ(Pro1)および/または前記コンポーネント(Akt1)を駆動する,
機構だけ補足されていることを特徴とする,通信プロトコル。 - 前記通信プロトコルは,請求項2から7のいずれか1項に記載の方法を実施するための機構だけ補足されていることを特徴とする,請求項13に記載の通信プロトコル。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE10112911 | 2001-03-15 | ||
PCT/DE2002/000915 WO2002075464A1 (de) | 2001-03-15 | 2002-03-14 | Verfahren zum betreiben eines verteilten sicherheitsrelevanten systems |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2004519060A true JP2004519060A (ja) | 2004-06-24 |
Family
ID=7677840
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2002574009A Pending JP2004519060A (ja) | 2001-03-15 | 2002-03-14 | 分配された安全上重要なシステムを駆動する方法 |
Country Status (5)
Country | Link |
---|---|
US (1) | US20030184158A1 (ja) |
EP (1) | EP1370914A1 (ja) |
JP (1) | JP2004519060A (ja) |
DE (2) | DE10291113D2 (ja) |
WO (1) | WO2002075464A1 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2020517001A (ja) * | 2017-04-07 | 2020-06-11 | エアビクティ インコーポレイテッド | 制御システム動作を検証するための技術 |
Families Citing this family (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE10248456A1 (de) * | 2001-10-19 | 2003-06-18 | Denso Corp | Fahrzeugkommunikationssystem |
DE10235527C1 (de) * | 2002-08-03 | 2003-10-09 | Daimler Chrysler Ag | Vorrichtung und Verfahren zur redundanten Spannungsversorgung sicherheitsrelevanter Systeme |
WO2005053223A2 (en) * | 2003-11-19 | 2005-06-09 | Honeywell International Inc. | Coupling linear bus nodes to rings |
DE102005018837A1 (de) * | 2005-04-22 | 2006-10-26 | Robert Bosch Gmbh | Verfahren und Vorrichtung zur Synchronisation zweier Bussysteme sowie Anordnung aus zwei Bussystemen |
DE102009005266A1 (de) | 2009-01-20 | 2010-07-22 | Continental Teves Ag & Co. Ohg | Anbindung eines Kommunikationscontrollers in Sicherheitsarchitekturen |
FR2944612A3 (fr) * | 2009-04-15 | 2010-10-22 | Renault Sas | Architecture de commande electronique d'un vehicule automobile. |
DE102010054188A1 (de) | 2010-07-27 | 2012-02-02 | Volkswagen Aktiengesellschaft | Verfahren und Rechnerverbund zur Steuerung eines Elektromotors |
DE102010039858A1 (de) | 2010-08-27 | 2011-09-15 | Robert Bosch Gmbh | Watchdog-Funktion |
DE102010039860A1 (de) | 2010-08-27 | 2012-03-01 | Robert Bosch Gmbh | Komponentenüberwachung in einem elektrisch betriebenen Fahrzeug |
DE102011118172A1 (de) | 2011-11-10 | 2013-05-16 | Volkswagen Aktiengesellschaft | Notlaufbetrieb eines Elektromotors |
US10112606B2 (en) | 2016-01-22 | 2018-10-30 | International Business Machines Corporation | Scalable sensor fusion and autonomous x-by-wire control |
EP3492999A1 (de) * | 2017-11-30 | 2019-06-05 | Siemens Aktiengesellschaft | Verfahren zum betrieb eines kommunikationssystems, kommunikationssystem und kommunikationsteilnehmer |
DE102019207809A1 (de) * | 2019-05-28 | 2020-12-03 | Siemens Mobility GmbH | Steueranlage und Verfahren zum Betreiben einer Steueranlage |
Family Cites Families (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE4022671A1 (de) * | 1990-07-17 | 1992-01-23 | Wabco Westinghouse Fahrzeug | Elektronisches bremssystem fuer stassenfahrzeuge |
DE4339570B4 (de) * | 1993-11-19 | 2004-03-04 | Robert Bosch Gmbh | Elektronisches Bremssystem |
DE19510525A1 (de) * | 1995-03-23 | 1996-09-26 | Bosch Gmbh Robert | Verfahren und Vorrichtung zur Steuerung bzw. Regelung der Bremsanlage eines Fahrzeugs |
US5924774A (en) * | 1995-11-30 | 1999-07-20 | Zeftron, Inc. | Electronic pneumatic brake system |
DE19742988C1 (de) * | 1997-09-29 | 1999-01-28 | Siemens Ag | Bremsanlage für ein Kraftfahrzeug |
US6002970A (en) * | 1997-10-15 | 1999-12-14 | International Business Machines Corp. | Method and apparatus for interface dual modular redundancy |
US6748438B2 (en) * | 1997-11-17 | 2004-06-08 | International Business Machines Corporation | Method and apparatus for accessing shared resources with asymmetric safety in a multiprocessing system |
DE19800311A1 (de) * | 1998-01-07 | 1999-07-08 | Itt Mfg Enterprises Inc | Elektronische, digitale Einrichtung |
DE19826131A1 (de) * | 1998-06-12 | 1999-12-16 | Bosch Gmbh Robert | Elektrisches Bremssystem für ein Kraftfahrzeug |
GB2339869B (en) * | 1998-07-20 | 2002-05-15 | Motorola Ltd | Fault-tolerant electronic braking system |
DE19840484A1 (de) * | 1998-09-04 | 2000-03-09 | Bosch Gmbh Robert | Fahrzeugrechneranordnung |
GB2345161A (en) * | 1998-12-23 | 2000-06-28 | Motorola Ltd | Microprocessor module and method |
US6212457B1 (en) * | 1999-08-05 | 2001-04-03 | Trw Inc. | Mixed parallel and daisy chain bus architecture in a vehicle safety system |
DE19937156A1 (de) * | 1999-08-06 | 2001-02-08 | Bosch Gmbh Robert | Elektrisch gesteuertes, dezentrales Steuersystem in einem Fahrzeug |
DE19939567B4 (de) * | 1999-08-20 | 2007-07-19 | Pilz Gmbh & Co. Kg | Vorrichtung zum Steuern von sicherheitskritischen Prozessen |
EP1161664B1 (en) * | 1999-12-15 | 2004-06-16 | Delphi Technologies, Inc. | Electric caliper and steering motor hardware topologies for a safety system |
US6424900B2 (en) * | 2000-02-01 | 2002-07-23 | Delphi Technologies, Inc. | Multi-module control-by-wire architecture |
JP4727896B2 (ja) * | 2001-06-27 | 2011-07-20 | ローベルト ボッシュ ゲゼルシャフト ミット ベシュレンクテル ハフツング | システムの機能性の監視方法,その監視装置,メモリ素子,コンピュータプログラム |
-
2002
- 2002-03-14 EP EP02726060A patent/EP1370914A1/de not_active Withdrawn
- 2002-03-14 US US10/276,816 patent/US20030184158A1/en not_active Abandoned
- 2002-03-14 WO PCT/DE2002/000915 patent/WO2002075464A1/de active Application Filing
- 2002-03-14 JP JP2002574009A patent/JP2004519060A/ja active Pending
- 2002-03-14 DE DE10291113T patent/DE10291113D2/de not_active Expired - Fee Related
- 2002-03-14 DE DE10211279A patent/DE10211279A1/de not_active Withdrawn
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2020517001A (ja) * | 2017-04-07 | 2020-06-11 | エアビクティ インコーポレイテッド | 制御システム動作を検証するための技術 |
US11455843B2 (en) | 2017-04-07 | 2022-09-27 | Airbiquity Inc. | Technologies for verifying control system operation |
JP7148542B2 (ja) | 2017-04-07 | 2022-10-05 | エアビクティ インコーポレイテッド | 制御システム動作を検証するための技術 |
US11847871B2 (en) | 2017-04-07 | 2023-12-19 | Airbiquity Inc. | Technologies for verifying control system operation |
Also Published As
Publication number | Publication date |
---|---|
DE10211279A1 (de) | 2002-09-26 |
WO2002075464A1 (de) | 2002-09-26 |
DE10291113D2 (de) | 2004-04-15 |
US20030184158A1 (en) | 2003-10-02 |
EP1370914A1 (de) | 2003-12-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR102320043B1 (ko) | 차량용 제어 장치의 진단 방법 및 장치 | |
JP2004519060A (ja) | 分配された安全上重要なシステムを駆動する方法 | |
RU2284929C2 (ru) | Способ управления компонентом важной для обеспечения безопасности распределенной системы | |
US7620465B2 (en) | Fault-tolerant node architecture for distributed systems | |
US20090044041A1 (en) | Redundant Data Bus System | |
CN113165612A (zh) | 用于车辆系统的冗余传感器组件的运行方法和相应的冗余传感器组件 | |
US20220335754A1 (en) | Electrical architecture for service-oriented vehicle diagnostics | |
US20080306647A1 (en) | In-vehicle network system and control method thereof | |
WO2020085330A1 (ja) | 電子制御装置、電子制御方法及びプログラム | |
JP4754993B2 (ja) | 分布システムのためのフォールトトレランスのノードアーキテクチャー | |
CN113474230A (zh) | 安全系统和用于运行安全系统的方法 | |
Kenjić et al. | Connectivity challenges in automotive solutions | |
US7269488B2 (en) | Method for controlling a component of a distributed safety-relevant system | |
US11814069B2 (en) | Vehicle control system, data transmitting method, and recording medium on which program is recorded | |
CN112533173A (zh) | 用于确保数据完整性以保证操作安全的方法以及车对外界信息交互的装置 | |
KR100974404B1 (ko) | 이중화 구조를 갖는 can용 ieee 1451 기반 스마트 모듈 | |
US20230331207A1 (en) | Vehicle's brake system and a method for braking a vehicle | |
US20240007450A1 (en) | Apparatus, Method, and Computer Program for the Secure, High-Availability Transmission of Messages, and a Vehicle Comprising the Apparatus | |
US20230261898A1 (en) | Relay device, communication network system, and communication control method | |
KR20190081758A (ko) | 차량용 이더넷 통신을 위한 전원공급 시스템 및 그 방법 | |
WO2022163392A1 (ja) | 車載装置、及び状態変化検出方法 | |
US11787427B2 (en) | Method and device for controlling at least one actuator of an actuator system | |
US20240089142A1 (en) | Vehicle-mounted apparatus and a method for relaying | |
US20240089145A1 (en) | In-vehicle apparatus and information processing method | |
CN115743152A (zh) | 用于监控作用链的系统和用于运行系统的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20050311 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070724 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20080304 |