WO2002075464A1 - Verfahren zum betreiben eines verteilten sicherheitsrelevanten systems - Google Patents

Verfahren zum betreiben eines verteilten sicherheitsrelevanten systems Download PDF

Info

Publication number
WO2002075464A1
WO2002075464A1 PCT/DE2002/000915 DE0200915W WO02075464A1 WO 2002075464 A1 WO2002075464 A1 WO 2002075464A1 DE 0200915 W DE0200915 W DE 0200915W WO 02075464 A1 WO02075464 A1 WO 02075464A1
Authority
WO
WIPO (PCT)
Prior art keywords
pro
process computer
communication
communication system
faulty
Prior art date
Application number
PCT/DE2002/000915
Other languages
English (en)
French (fr)
Inventor
Thomas Fuehrer
Original Assignee
Robert Bosch Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch Gmbh filed Critical Robert Bosch Gmbh
Priority to JP2002574009A priority Critical patent/JP2004519060A/ja
Priority to DE10291113T priority patent/DE10291113D2/de
Priority to EP02726060A priority patent/EP1370914A1/de
Publication of WO2002075464A1 publication Critical patent/WO2002075464A1/de

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60GVEHICLE SUSPENSION ARRANGEMENTS
    • B60G17/00Resilient suspensions having means for adjusting the spring or vibration-damper characteristics, for regulating the distance between a supporting surface and a sprung part of vehicle or for locking suspension during use to meet varying vehicular or surface conditions, e.g. due to speed or load
    • B60G17/015Resilient suspensions having means for adjusting the spring or vibration-damper characteristics, for regulating the distance between a supporting surface and a sprung part of vehicle or for locking suspension during use to meet varying vehicular or surface conditions, e.g. due to speed or load the regulating means comprising electric or electronic elements
    • B60G17/0195Resilient suspensions having means for adjusting the spring or vibration-damper characteristics, for regulating the distance between a supporting surface and a sprung part of vehicle or for locking suspension during use to meet varying vehicular or surface conditions, e.g. due to speed or load the regulating means comprising electric or electronic elements characterised by the regulation being combined with other vehicle control systems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T13/00Transmitting braking action from initiating means to ultimate brake actuator with power assistance or drive; Brake systems incorporating such transmitting means, e.g. air-pressure brake systems
    • B60T13/74Transmitting braking action from initiating means to ultimate brake actuator with power assistance or drive; Brake systems incorporating such transmitting means, e.g. air-pressure brake systems with electrical assistance or drive
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/1629Error detection by comparing the output of redundant processing systems
    • G06F11/1641Error detection by comparing the output of redundant processing systems where the comparison is not performed by the redundant processing components
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60GVEHICLE SUSPENSION ARRANGEMENTS
    • B60G2600/00Indexing codes relating to particular elements, systems or processes used on suspension systems or suspension control systems
    • B60G2600/08Failure or malfunction detecting means
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60GVEHICLE SUSPENSION ARRANGEMENTS
    • B60G2600/00Indexing codes relating to particular elements, systems or processes used on suspension systems or suspension control systems
    • B60G2600/70Computer memory; Data storage, e.g. maps for adaptive control
    • B60G2600/702Parallel processing
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60GVEHICLE SUSPENSION ARRANGEMENTS
    • B60G2800/00Indexing codes relating to the type of movement or to the condition of the vehicle and to the end result to be achieved by the control action
    • B60G2800/80Detection or control after a system or component failure
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0001Details of the control system
    • B60W2050/0043Signal treatments, identification of variables or parameters, parameter estimation or state estimation
    • B60W2050/0044In digital systems
    • B60W2050/0045In digital systems using databus protocols
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • B60W2050/021Means for detecting failure or malfunction
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/04Monitoring the functioning of the control system
    • B60W2050/041Built in Test Equipment [BITE]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/181Eliminating the failing redundant component
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/182Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits based on mutual exchange of the output between redundant processing components

Definitions

  • the present invention relates to a method for operating a distributed safety-relevant system, in particular an X-by-wire system in a motor vehicle.
  • the distributed system comprises at least one first process computer for controlling one
  • Component of the system and at least one further process computer each being connected to a communication system via a communication controller.
  • the functionality of the at least one first process computer is checked by the at least one further process computer.
  • the invention also relates to a distributed security-relevant system, in particular an X-by-wire system in a motor vehicle.
  • the distributed system comprises at least a first process computer for controlling a component of the system and at least one further process computer, the process computers each being connected to a communication system via a communication controller. Monitoring the functionality the at least one first process computer is carried out by the at least one further process computer.
  • the present invention relates to a communication controller for connecting at least one first process computer and at least one further process computer to a communication system of a distributed safety-relevant system, in particular an X-by-wire system in a motor vehicle.
  • the at least one first process computer is used to control a component of the distributed system.
  • a communication protocol runs on the communication controller to implement data transmission between the process computers and the • communication system.
  • the invention also relates to a communication protocol for a communication system of a distributed security-relevant system, in particular an X-by-wire system in a motor vehicle.
  • the 'distributed system comprising at least a first
  • Process computer for controlling a component of the distributed system and at least one further process computer.
  • the process computers are each connected to the communication system via a communication controller.
  • the communication protocol runs to implement data transmission between the process computers and the communication system on the communication controllers.
  • X-by-wire systems are a special implementation of such distributed systems.
  • An X-by-Wire system is one
  • An X-by-Wire system is a system with high security requirements, i.e. a complete failure of this system generates an error of the highest security level possible in the vehicle. Three classes of such systems are considered.
  • Water X-by-Wire systems are systems with a hydraulic (mechanical) fallback level that improve the basic functionality even without electrical power supply (e.g. after a failure of the
  • Basic braking function the braking function without an electronic control system that could generate a variable braking force distribution.
  • the basic braking function then specifies (depending on the system) that, for example, 65% of the braking force is applied to the front axle and 35% to the rear axle.
  • Anti-lock braking system (ABS), anti-slip control (ASR) and vehicle dynamics control (FDR) are not part of the basic brake function.
  • Dry X-by-Wire systems are such systems without a mechanical / hydraulic fallback level. The implementation is based exclusively on electromechanical components.
  • Semi-dry X-by-Wire systems are systems that have a hydraulic actuator but have a "dry interface". In terms of communication requirements, these systems should therefore be treated in the same way as dry X-by-Wire Systems.
  • X-by-wire systems are steer-by- wire and brake-by-wire systems (electronic steering and electronic brakes).
  • a method of the type mentioned is known, for example, from DE 198 26 131 AI.
  • the distributed safety-related system is described as an electrical braking system of a motor vehicle.
  • the components are designed as the brakes of the motor vehicle or more precisely as actuators for controlling the brakes.
  • Such a system is to a high degree relevant to safety, since faulty control of the components, in particular faulty actuation of the brakes, can lead to an unforeseeable safety risk. For this reason, incorrect control of the components must be ruled out with certainty become.
  • Essential features of the known brake system are a pedal module for central driver request recording, four wheel modules for wheel-specific regulation of the brake actuators and a processing module for calculating higher-level brake functions.
  • the individual modules can communicate with one another using one or more communication systems.
  • FIG. 2 of the present patent application the internal structure of a wheel module with different logic levels is shown as an example.
  • the logical level L1 comprises at least the calculation of the control and regulating functions for the wheel brakes, while the logical levels L2 to L4 contain various functions for computer monitoring and functional testing of Ll.
  • the control of the brakes or the electric motors for actuating the brake shoes comprises the following steps for each wheel module:
  • the input signals are made available to the microcomputer system (R_1A) via a communication system (K_l), for example a bus system.
  • e_lH Determining at least one logical control signal (e_lH).
  • the logic control signal (e_lH) is at least partially dependent on a monitoring unit (R_1B) which is independent of the first microcomputer system (R_1A) determined at least one input signal.
  • the monitoring unit (R_1B) is used in particular to identify systematic (so-called common mode) errors. Faults in the power supply are an example of such faults.
  • the monitoring unit (R_1B) is designed as an independent microcomputer system. Alternatively, the monitoring unit (R_1B) can also be used as a
  • Hardware module can be designed without its own processor, which, however, can perform specific logical functions or, if it has a register, even switching functions.
  • An example of such a hardware module is, for example, an ASIC (Applied Specific Integrated Circuit), an FPGA (Field-Programmable Gate Array) or a monitoring circuit (so-called watchdog).
  • the control device (micro-computer system or process computer) that is used to control the component (actuators) is responsible, is monitored and switched off by the monitoring unit in the event of a fault. Monitoring is based on question-answer communication, which must follow a specified protocol.
  • the actuators (LE2R) are only released if the microcomputer system (R_l ⁇ ) and the independent monitoring unit (R_1B) agree (question-answer communication works as specified).
  • the principle of this release is based on an electrical release circuit (AND link), which is implemented between the process computer and the monitoring unit. This means that both units have one for the normal function of the actuators . have to create a logical "one" on the release circuit.
  • the actuators are switched off as soon as a process in the microcomputer system (R_1A) gives the signal to switch off.
  • the monitoring component (R_1B) will only give the signal to switch off if the monitored unit (microcomputer system R__1A) has been identified as faulty.
  • the use of communication systems in the automotive sector has become the standard for almost all manufacturers.
  • the Society for Automotive Engineering (SAE) has defined three different classes of requirements for communication: Classes A, B and C. These classes differ in the amount of information that is exchanged down to the different real-time requirements and areas of application.
  • the protocol class _ with the highest requirements is class C.
  • a specification of the SAE "Communication protocols for class C applications", SAE J2056 / 1, June 1993 is available.
  • This class C is the class responsible for X-by-wire systems.
  • TTCAN Time Triggered CAN
  • TTP / C or FlexRay protocol An important service for the present invention in such protocols is the subscriber service (so-called membership service).
  • the membership / activity of a communication subscriber is determined by a mechanism of the message confirmation in a decision-making process of all active communication subscribers.
  • the information about the affiliation / activity of the communication participants is provided as a so-called membership
  • the membership information is stable, ie recognized by all participants as valid. If a participant is designated as inactive by this decision, this node may no longer be active in the communication take part.
  • the process computer responsible for this node recognizes the inactive state and must take measures to switch its communication controller active again (restart and resynchronization).
  • the 'ECHANISM for the determination of the participants is performed continuously and is part of the actual communication protocol.
  • a disadvantage of the state of the art resulting from DE 198 26 131 AI is that the logic level L4 is always implemented in a separate component which, for example in wheel modules of an electrical braking system, is also provided several times within the distributed safety-related system got to.
  • the object of the present invention is to provide possibilities in such a distributed monitoring concept by means of which the basic functionality of a
  • Communication systems or a communication protocol namely secure message transmission, sending messages that are simultaneously directed to several destinations in the communication system (so-called multicasting), message confirmation and - for example in the case of TTP / C (Time Triggered Protocol for Class C) or CAN ( Controller Area Network) - the subscriber service is expanded to include a mechanism for secure shutdown of process computers via the communication system.
  • the present invention based on the method of the type mentioned at the beginning, proposes a method with the following steps: at least one of the further process computers which has an error in at least one of the first
  • Process computer has determined, transmits a control message via the communication system to control the faulty first process computer or the component controlled by it; - It is checked whether the sender of the
  • Control message is authorized to control the faulty first process computer; it is checked whether the sender of the control message is connected to the communication system and is actively involved in communication via the communication system; depending on the content of control messages from those senders who are authorized to control the faulty first process computer and who are connected to the communication system and actively involved in the communication via the
  • Communication system are involved, it is decided according to a predeterminable decision algorithm how the faulty first process computer and / or the component are to be controlled; and the faulty first process computer and / or the component are controlled accordingly.
  • Monitoring concept can be achieved within the communication system.
  • This information concerns for the first process computer each has a local list in which those further process computers are listed which may control (eg switch off) the respective first process computer in the event of an error.
  • the information relates to a global list, which lists those process computer connected to the communication system and actively involved in communication via the 'communication system. For example, the membership information of the subscriber service can be used for this list.
  • the information relates to a globally available list for each additional process computer, in which those first process computers are listed which the respective further process computer has identified as faulty and which it therefore wishes to control (eg switch off).
  • the present invention is based on one
  • Process computers are divided into two groups, namely first process computers that are monitored and other process computers that monitor. Which of the process computers of the distributed system belongs to the first and which to the second group is a question of definition. It is quite conceivable that one and the same process computer belongs on the one hand to the first group because it is monitored by one or more of the other process computers, but on the other hand also belongs to the second group because it monitors one or more other (first) process computers.
  • the present invention provides the basic functionality of a communication system or communication protocol, namely secure message transmission, multicasting, message confirmation and subscriber service Mechanism for secure shutdown of process computers via the communication system expanded.
  • the communication system replaces the switch-off paths implemented in the prior art in hardware (by cabling) (for example monitoring unit with star-shaped cabling to wheel computers in a brake-by ⁇ wire system).
  • the communication system enables an intelligent watchdog implemented locally according to the prior art (often in the form of simple hardware circuits) on the process computer of the control unit to be shifted to any selected process computer in the communication system.
  • a control unit with its process computer that is already present in the distributed system is preferably used.
  • An extended watchdog functionality such as a plausibility check
  • the additional mechanism for secure shutdown in the communication system also enables a distributed monitoring concept. This means that not only a process computer takes over the function of the intelligent watchdog, but that several control units with their process computers can trigger or switch off via the communication system.
  • a communication system that is already standardized in today's motor vehicles and an associated bus cabling (single-wire or two-wire line) is used as the switch-off path. There is no explicit wiring for the shutdown path between the units of the
  • the communication system executes a control or shutdown protocol which is built into the normal protocol sequence (actual sending and receiving of messages, message confirmation and subscriber service). This creates a small one Increased load on the communication controller, but a significant improvement in the use of existing control devices (processor computers). Furthermore, the communication system provides software and hardware interfaces to the process computer in order to initiate or implement the control or switch-off protocol.
  • An enable circuit via which a component (the actuators) of a distributed safety-relevant system is controlled according to the method according to the invention, is operated by a process computer on the one hand and by a communication controller on the other hand.
  • a process computer itself can also be coupled to the communication controller, so that the process computer which controls the component can itself be controlled or switched off, e.g. by connecting the communication controller to a reset line of the process computer.
  • control message shuts down the faulty first process computer and / or the component controlled by it.
  • a local authorization list is provided to the process computer, on the basis of which it is checked whether the sender of the control message is authorized to control the faulty first process computer by identifying the sender of the control message with the content of the control message Authorization list is compared.
  • a global subscriber list is provided in the communication system, on the basis of which it is checked whether the sender of the control message is connected to the communication system and is actively involved in the communication via the communication system by an identifier of the sender of the control message is compared with the content of the participant list.
  • a successful activation of the defective first process computer and / or the component is advantageously communicated to at least one sender of the activation message.
  • the successful activation of the faulty first process computer and / or the component is preferably communicated to all process computers by deleting the faulty first process computer from a global participant list provided in the communication system, the participant list listing those process computers which are connected to the communication system and are active are involved in communication via the communication system.
  • At least one of the further process computers has means for determining an error of at least one of the first process computers and means for, if the at least one faulty the first process computer has an error in transmitting a control message for controlling the faulty first process computer and / or the component controlled by it via the communication system;
  • the communication controller of the faulty first process computer has information available as to whether the sender of the control message is authorized to control the faulty first process computer;
  • the communication controller of the faulty first process computer has information available as to whether the sender of the control message is connected to the communication system and is active on the
  • the communication controller of the faulty first process computer has means for deciding according to a predeterminable decision algorithm, such as the faulty first process computer and / or the component, depending on the content of control messages from the senders who are authorized to control the faulty first process computer, and to the
  • Communication system connected and actively involved in communication via the communication system are to be controlled; and the communication controller of the faulty first process computer means for corresponding control of the faulty first process computer and / or the component.
  • the information as to whether the sender of the control message is authorized to control the faulty first process computer is available in the form of a local authorization list provided in the communication controller of the at least one first process computer.
  • Communication via the communication system is involved in the form of a global subscriber list provided in the communication system.
  • the communication protocol is supplemented by mechanisms which enable the communication controller to check whether one of the further process computers which have a trigger message for triggering at least one first faulty process computer and / or the component controlled by it is transmitted via the communication system, connected to the communication system and active on the
  • Communication via the communication system is involved; to check whether the sender of the control message is authorized to control the faulty first process computer; , to decide according to a predeterminable decision algorithm, such as the first process computer and / or the component, depending on the content of control messages of the senders who are authorized, the faulty first one
  • Control process computers and which are connected to the communication system and are actively involved in communication via the communication system are to be controlled; and - to control the first process computer and / or the component accordingly.
  • the communication protocol be supplemented by mechanisms for executing the method according to the invention.
  • Communication via the communication system are involved, are to be controlled; and the first process computer and / or the component.
  • Communication protocol is supplemented by mechanisms for executing the method according to the invention.
  • FIG. 1 shows a distributed safety-relevant system according to the invention in a cutout according to a preferred embodiment
  • FIG. 2 shows a control module of a distributed safety-relevant system known from the prior art
  • FIG. 3 enable signals within a control module from FIG. 1;
  • Figure 4 shows a shutdown protocol according to a first preferred embodiment of the invention
  • Figure 5 shows a shutdown protocol according to a second preferred embodiment of the method according to the invention.
  • the present invention is explained in more detail below on the basis of an electrical braking system.
  • the invention is not limited to electrical braking systems, but rather can be used for any distributed safety-related systems.
  • the present invention allows components Akt_l of the safety-relevant system to be safely released without the use of additional monitoring units.
  • the tasks of the monitoring units are rather taken over by further process computers P-m of the distributed system, which are present in the system anyway and have been expanded by a corresponding functionality.
  • the braking system comprises a wheel module R__l, R_m for each vehicle wheel to be braked.
  • Each wheel module R_l, R_m. comprises a microcomputer system P_l, P_m and an enabling circuit FS_1, FS_m.
  • the microcomputer systems P_l, P_m each include a process computer Pro_l, Pro_m and an intelligent communication controller S_l, S_m. The process computer Pro_l, Pro_m and the
  • Communication controllers S_l, S__m of a microcomputer system P_l f P can be on a semiconductor module (so-called chip) be summarized; however, they are always designed as independent, separate units.
  • Each wheel module R_l, R__m is connected via a communication controller S_l, S_m to a communication system K_l in the form of a physical data bus. Data is transmitted via the data bus, e.g. according to the CAN (Controller Area Network), TTCAN (Time Triggered CAN), TTP / C (Time Triggered Protocol for Class C) or FlexRay protocol.
  • Wheel modules R_l, R_m each control a component in the form of an actuator Akt_l, Akt_m, which are designed, for example, as electric motors for actuating or releasing wheel brakes.
  • FIG. 1 shows the internal structure of two wheel modules and the signal flow running therein in one possible embodiment of the distributed monitoring concept.
  • the task of the wheel module R_l (more precisely, the process computer Pro_l) is to control the actuators Akt_l of the electric braking system.
  • the actuator Akt_l When activating the actuator Akt_l, it is important to prevent the actuator Akt_l from being actuated by a faulty actuation signal A_ll of the microcomputer system P_l. This means that the control signal A_ll should only be passed on to the actuator Akt_l if it is determined with a sufficiently high probability that it is error-free.
  • Actuator Akt_l therefore essentially comprises the following steps:
  • the processor Pro_l of the microcomputer system P_l determines by executing a program code as a function of at least one input signal at least one control signal A_ll for the actuator system Akt_l.
  • the input signals contain information about the actual state of the brake system and the motor vehicle and are sent to the via the data bus K_l first wheel module R_l transmitted.
  • Processor Pro_l must be available. In the present example with a plurality of similar wheel modules R_l, R_m, this means no or only minimal additional effort, since the program codes running on the processors Pro_l, Pro_m are essentially the same. Thus, the program code, which is available in the processors Pro_m anyway, can be processed with the input signals of the first wheel module R_l in order to obtain the logical control signals A_lm. This simplification applies to all distributed systems with identical control modules. The input signals can be transmitted to the microcomputer systems P__m via the data bus K_l. If the process computers Pro_l, Pro_m are functioning correctly, the control signals are
  • the control signal A_ll is compared in the process computers Pro_m of the further microcomputer systems P_m with the control signal A_ll previously determined in the process computer Pro__l. For this purpose, the control signal A_ll must be transmitted to the further microcomputer systems P_m via the data bus K_l.
  • the other microprocessor systems P_m generate status information which is sent to the data bus K 1 Communication controller S_l of the first microcomputer system P_l are transmitted.
  • the information that has to be transmitted via the communication system K_1 in order to implement the distributed monitoring concept consists, for example, of one or more bits. It is conceivable to include the information for transmission in the communication protocol of the data bus K_l.
  • Microcomputer system P__l evaluates the incoming status information and generates an enable signal F_l in the event of a corresponding status (i.e. when the correct functioning of the process computer Pro_l is signaled). Evaluating the
  • Status information can be done in different ways. For example, it can be a comparison, a logical (preferably an AND) link or a majority decision of the status information SF_lm.
  • the at least one control signal A_ll or at least one signal dependent thereon is forwarded to the actuator Akt__l if the at least one enable signal F_l has a predeterminable value.
  • an AND operation of the control signal A_ll with the enable signal F_l is carried out in the enable circuit FS_1. If the enable signal F_l is logic one, the control signal A__ll is forwarded to the actuator Akt_l. However, if the enable signal F_l is logic zero, the control signal A_ll is not passed on to the actuator Akt__l.
  • the described method can Functionality of the processor Pro_l des
  • Microcomputer system P_l checked and a safe release of Aktorik Akt_l can be achieved.
  • the Pro_m processors of the other microcomputer systems P_m are mainly used to check the Pro__l processor.
  • the method according to the invention can also be used to check the functionality of the processors Pro_m of the further microcomputer systems P_m and to safely release the actuators Akt__m. Then the other processors Pro_m (without the processor to be checked) and the processor Pro_l of the first microcomputer system P_l are used for the check.
  • Each individual microcomputer system P_l, P_m within the safety-relevant distributed braking system therefore has on the one hand the primary task, to determine the control signals A_ll, A_ml for the actuators Akt_l, Akt_m assigned to it, and on the other hand the secondary task, the function of the other processors in fulfilling them Control primary tasks.
  • the described distributed monitoring concept thus creates the possibility of a safe and even redundantly effective release of the actuators Akt__l, Akt_m.
  • the wheel module R_1 is shown in detail in FIG.
  • Software interfaces SS__1 are provided between the communication controller S_l and the process computer Pro_l to implement a secure shutdown path via the communication system K_l.
  • the interfaces SS_1 are used to set a control message in the form of a
  • a hardware interface is also required, which is brought up to the release circuit FS_1 by the communication controller S_l.
  • the hardware interface is used in particular in the event of error situations in which the 5 process computer Pro__l can no longer reliably read the current shutdown vector and the actuator Akt_l can be switched off by the communication controller 'S_l.
  • a connection pin F_l is provided which is connected to the
  • a communication system K__l already standardized in today's motor vehicles and the associated one
  • an enable circuit FS_1 is therefore operated by the process computer Pro_l on the one hand and by the communication controller S_l on the other. It is thus possible to switch off the actuator Akt__l using the switch-off mechanism described in this patent application via the communication system K_l.
  • the process computer Pro_l itself can also use the
  • ⁇ Communication controller S_l are coupled so that the process computer Pro_l can also be switched off, eg. B. by coupling to a Res ' et line B of the process computer Pro_l.
  • the realization of the secured shutdown path via the communication system K_l is possible with almost every control device Pro_l, Pro_m which is connected to a data bus K_l with its communication controller S_l, S_m.
  • the communication controller S_l, S_m must implement the shutdown protocol in the communication protocol.
  • the shutdown protocol and the necessary configuration data or interfaces SS_1, F_l are described below.
  • a static information is stored about which microcomputer system has P_m or which process computer Pro_m permission 'to disable the communications controller S_L associated process computer Pro_l.
  • the static information is stored, for example, on a flash EPROM (Erasable and Programmable Read Only Memory) in the communication controllers S_l.
  • This static information can be composed of the following contents: e An identifier of the local communication controller S_l. For some protocols, e.g. B. TTP / C, already exists. ⁇ A local (individual) list, in which identifiers of communication controllers S_m are listed, whose switch-off message for switching off the local process computer Pro_l or the actuators Akt_l controlled by it via the
  • Communication controller S_l may lead.
  • the list is preferably based on the number of authorized communication controllers, e.g. B. limited to three entries.
  • the shutdown vector is a bit vector and represents the m participants in the entire distributed safety-relevant system.
  • a certain bit position is an identifier of a certain one
  • Shutdown vector can have two states per control unit .P_l,
  • the shutdown vector can be shortened for reasons of limited bandwidth or a limited number of protocol data (control data for the protocol sequence, which are sent together with the user data in a message packet via the communication system K_l). Only selected control devices P 1, P m are then shown in the shutdown vector.
  • information is also accessed as to whether the sender of a shutdown vector is connected to the communication system K_l and is actively involved in communication via the communication system K_l.
  • Some communication protocols provide this information as standard. This functionality is also referred to in the communication protocols as a subscriber service or membership service. Then these are
  • control device P_l, P_m If a control device P_l, P_m is designated as inactive by this decision, this control device may no longer actively participate in the communication.
  • the responsible process computer Pro_l, Pro_m recognizes this state and must take measures to correct the one assigned to it Switch communication controller S_l, S_m active again (restart and resynchronization).
  • the mechanism for determining the active participants (membership) is carried out continuously and is part of the actual communication protocol.
  • the leadership information is available in the communication system K_l in the form of a membership vector Me.
  • the starting situation for carrying out the method according to the invention is an active distributed system with functioning participants
  • FIGS. 4 and 5 Communication controllers S_l, ' S_m and their control devices P_l, P_m or process computers Pro ⁇ l, Pro_m).
  • the membrane information Me is therefore "1" for each subscriber, and there is no requirement for a shutdown (shutdown vector Ab).
  • This starting situation is in step 1) of FIGS. 4 and 5 for a distributed system with four subscribers A, B, C, D.
  • Figure 4 relates to a switch-off protocol with only one authorized user (subscriber A may only be switched off by user D)
  • Figure 5 relates to a switch-off protocol with three authorized users and an absolute majority (user A is switched off if at least two of the three other participants B, C, D advocate switching off participant A).
  • the shutdown vector Ab represents a shutdown command from an authorized control device P_m for a specific control device P_l as soon as the bit position for this control device P_l is set to "1".
  • the shutdown vector is used by the communication protocol at the sender P_m with the other control data a message coded and sent (see step 2) in Figures 4 and 5).
  • the communication system K_l is based on multicast messages. It can be assumed that each active control unit P_l, P_rn receives all messages sent and recognized as error-free and then starts local protocol mechanisms. Special cases in which the correctness of a message is only decided after a certain number of further transmission processes (e.g. with TTP / C) must be treated separately. This special case means that the received shutdown vector is to be regarded as invalid until this final decision.
  • the communication controller S_l takes the information from the shutdown vector Ab from the received protocol data.
  • the authorization S can be checked at the recipient S__l.
  • the recipient S_l knows the identifier of the sender P__m of the message from the connection between the time of transmission, message identifier and static information on the deactivation authorization If the identity of the sender P_m is not clearly defined, the identifier of the sender P_m must also be transmitted in addition to the shutdown vector Ab.
  • a bit position is set in the shutdown vector Ab of subscriber D that corresponds to the identifier of subscriber A.
  • subscriber D is entered as the authorized person to switch off. For this reason, in step 3) the process computer and / or the actuator system of subscriber A controlled by the process computer is switched off.
  • the communication controller S_l sets the status of the shutdown vector Ab in the software interface SS_1 to the current status (cf. step 3) in FIG. 4 and SS_1 in FIG. 3).
  • the communication controller S 1 sets the level for switching off at the connection pin provided on the hardware interface in order to initiate the switching off of the actuators via the enable circuit FS_1 (cf. step 3) in FIG. 4 'and signal F_1 and signal B in FIG. 3).
  • the communication controller S_l changes to a passive state, ie it no longer takes part in the communication via the communication system K_l. This measure signals to the other participants B, C, D that the entire node (including the control unit, the actuators, the sensors and the communication controller of the participant A) is no longer available.
  • subscriber A is only shutdown if, on the one hand, the bit position set in the shutdown vector Ab matches the identifier of subscriber A and, on the other hand, there is a match between the authorized subscribers B, C, D Subscriber A is switched off, with all three subscribers B, C, D being entered in the local authorization list as authorized to switch off subscriber A.
  • the shutdown vectors Ab of the different participants B, C, D must be collected.
  • the Shutdown vector From a certain participant B, C or D may only be collected if the participant B, C or D in the membership vector Me des
  • Communication protocol is marked as active (see steps 3 to 5 in Figure 5). This prevents a situation from occurring in which a shutdown of subscriber A would be necessary but one of the subscribers B, C, D itself is not active and thus can prevent the shutdown of subscriber A, since the shutdown command of the inactive subscriber B, C or D.
  • the voting process is initiated according to a predeterminable decision algorithm.
  • the absolute majority of active authorized participants B, C, D is chosen for the vote.
  • Another decision algorithm such as B. a two out of three selection can also be implemented.
  • the choice of the decision algorithm to be used can be set with the configuration in the communication controller S_l, e.g. B. a choice of an absolute majority, a two- from three-choice or a at least one (at least one) semantics.
  • B a choice of an absolute majority, a two- from three-choice or a at least one (at least one) semantics.
  • the communication controller S_l has the status of the shutdown vector Ab in the software interface to the current status (cf. step 5) in FIG. 5 and SS__1 in FIG. 3).
  • the communication controller S_l sets the level for switching off at the connection pin provided in the hardware interface in order to initiate the switching off via the enable circuit FS_1 (Step 5) in Figure 5 and signal F_l and signal B in Figure 3).
  • the communication controller S_l changes to a passive state, ie it no longer takes part in the communication.
  • This measure signals to the other participants B, C, D that the entire node comprising the control unit, the actuators, the sensors and the communication controller is no longer available.
  • This causes the deletion of subscriber A in the membership vector Me of the other subscribers B, C, D in the distributed system (cf. step 6) in FIG. 5).
  • the senders (subscribers B, C, D) of the shutdown vector Ab receive confirmation of the success of the shutdown command.
  • Repeated setting of the bit position in the shutdown vector Ab which corresponds to subscriber A is no longer necessary (cf. step 7) in FIG. 5).
  • Each sender Pro_m a shut-vector from sets the corresponding subscriber A bit position in its shut-vector from so long, transmitted to the confirmation of successful disconnection of the disconnected subscriber A by an absence 'of the corresponding subscriber A in the membership vector Me becomes.

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Theoretical Computer Science (AREA)
  • Mechanical Engineering (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Medical Informatics (AREA)
  • General Health & Medical Sciences (AREA)
  • Signal Processing (AREA)
  • Transportation (AREA)
  • Computing Systems (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Safety Devices In Control Systems (AREA)
  • Hardware Redundancy (AREA)
  • Programmable Controllers (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zum Betreiben eines verteilten sicherheitsrelevanten Systems, insbesondere eines X-by-Wire-Systems in einem Kraftfahrzeug. Das verteile System umfasst mindestens einen ersten Prozessrechner (Pro_1) zur Ansteuerung einer Komponente (Akt_1) des Systems und mindestens einen weiteren Prozessrechner (Pro_m). Die Prozessrechner (Pro_1, Pro_m) sind jeweils über einen Kommunikationscontroller (S_1, S_m) an ein Kommunikationssystem (K_1) angeschlossen. Die Funktionsfähigkeit des mindestens einen ersten Prozessrechners (Pro_1) wird durch den mindestens einen weiteren Prozessrechner (Pro_m) überprüft. Dieses Verfahren wird auch als ein verteiltes Überwachungskonzept bezeichnet. Erfindungsgemäss wird ein Mechanismus zur gesicherten Abschaltung mindesten eines fehlerhaften ersten Prozessrechners (Pro_1) durch mindestens einen der weiteren Prozessrechner (Pro_m) vorgeschlagen, um den ein Kommunikationsprotokoll des Kommunikationssystems (K_1) zur Realisierung des verteilen Überwachungskonzepts erweitert wird.

Description

Verfahren zum Betreiben eines verteilten sicherheitsrelevanten Systems
Stand der Technik
Die vorliegende Erfindung betrifft ein Verfahren zum Betreiben eines verteilten sicherheitsrelevanten Systems, insbesondere eines X-by-Wire-Systεms in einem Kraftfahrzeug. Das verteilte System umfasst mindestens einen ersten Prozesεrechner zur Ansteuerung einer
Komponente des Systems und mindestens einen weiteren Prozessrechner, wobei die Prozessrechner jeweils über einen Kommunikationscontroller an ein Kommunikationssystem angeschlossen sind. Die Funktionsfähigkeit des mindestens einen ersten Prozessrechners wird durch den mindestens einen weiteren Prozessrechner überprüft .
Die Erfindung betrifft außerdem ein verteiltes sicherhεitsrelevantes System, insbesondere ein X-by-Wire- System in einem Kraftfahrzeug. Das verteilte System umfasst mindestens einen ersten Prozessrechner zur Ansteuerung- einer Komponente des Systems und mindestens einen weiteren Prozeεsrechne , wobei die Prozessrechner jeweils über einen Kommunikationscontroller an ein Kommunikationssystem angeschlossen sind. Eine Überwachung der Funktionsfähigkeit des mindestens einen ersten Prozessrechners erfolgt durch den mindestens einen weiteren Prozessrechner.
Des weiteren betrifft die vorliegende Erfindung einen Kommunikationscontroller zum Anschluss mindestens eines ersten Prozessrechners und mindestens eines weiteren Prozessrechners an ein Kommunikationssystem eines verteilten sicherheitsrelevanten Systems, insbesondere eines X-by-Wire-Systems in einem Kraftfahrzeug. Der mindestens eine erste Prozessrechner dient zur Ansteuerung einer Komponente des verteilten Systems. Auf dem Kommunikationscontroller läuft zur Realisierung einer Datenübertragung zwischen den Prozessrechnern und dem • Kommunikationssystem ein Kommunikationsprotokoll ab.
Schließlich betrifft die Erfindung auch ein Kommunikationsprotokoll für ein Kommunikationssystem eines verteilten sicherheitsrelevanten Systems, insbesondere eines X-by-Wire-Systems in einem Kraftfahrzeug. Das ' verteilte System umfasst mindestens einen ersten
Prozessrechner zur Ansteuerung einer Komponente des verteilten Systems und mindestens einen weiteren Prozessrechner. Die Prozessrechner sind jeweils über einen Kommunikationscontroller an das Ko munikationssystem angeschlossen. Das Kommunikationsprotokoll läuft zur Realisierung einer Datenübertragung zwischen den Prozessrechnern und dem Kommunikationssystem auf den Kommunikationscontrollern ab.
Die Vernetzung von Steuergeräten (Prozessrechnern),
Sensorik und Aktorik mit Hilfe eines Kommuni ationssystems hat im Kraftfahrzeugbereich in den letzten Jahren stark zugenommen. Dabei uss eine gegenseitige Beeinflussung der Prozessrechner über das Kommunikationssystem ausgeschlossen werden. Synergieeffekte durch Verteilung von Funktionen auf mehrere Prozessrechner steht im Vordergrund. Man spricht von verteilten Systemen.
Eine spezielle Realisierung solcher verteilter Systeme sind X-by-Wire-Systeme. Ein X-by-Wire-System ist ein
Kraftfahrzeugsystem, das der Fahrzeugbewegung dient und die Entkopplung von Fahrerwunscherfassung und deren Umsetzung erlaubt. Die Verbindung zwischen Fahrerwunscherfassung und deren Umsetzung ist nicht mechanischer Art, sondern beruht im Wesentlichen nur auf der (elektronischen)
Informationsübertragung. Ein X-by-Wire-System ist ein System mit hohen Sicherheitsanforderungen, d.h. ein Komplettausfall dieses Systems erzeugt einen Fehler der höchsten, im Fahrzeug möglichen Sicherheitsstufe. Es werden drei Klassen solcher Systeme betrachtet.
1. Nasse X-by-Wire-Systeme sind solche Systeme mit einer hydraulischen (mechanischen) Rückfallebene, welche die Basisfunktionalität auch ohne elektrische Energieversorgung (z.B. nach einem Ausfall der
Energieversorgung) au rechterhalten können. Unter Basisfunktionalität ist die Funktion zu verstehen, die bei einer festen mechanischen Kopplung von Fahrerwunsch zu erzielter Wirkung auch noch vorhanden wäre. Bei einer Fahrzeugbremse ist z.B. die
Basisbremsfunktion die Bremsfunktion ohne ein elektronisches Regelsystem, das eine variable Bremskraftverteilung erzeugen könnte. Bei der Basisbremsfunktion ist dann (systemabhängig) fest vorgegeben, dass bspw. 65% der Bremskraft auf die Vorderachse und 35% auf die Hinterachse entfallen. Antiblockiersystem (ABS) , Antischlupfregelung (ASR) und Fahrdynamikregelung (FDR) gehören nicht zur Basisbremsfunktion. 2. Trockene X-by-Wire-Systeme sind solche Systeme ohne eine mechanische/hydraulische Rückfallebene. Die Realisierung basiert ausschließlich auf elektro- mechanischen, Komponenten.
3. Halb-trockene X-by-Wire-Systeme sind solche Systeme, die zwar über einen hydraulischen Steller verfügen, die aber eine „trockene Schnittstelle" haben. Bezüglich der Kommunikationsanforderungen sind diese Systeme daher gleich zu behandeln wie trockene X-by- Wire-Systeme .
Typische Beispiele für X-by-Wire-Systeme sind Steer-by- - Wire- und Brake-by-Wire-Systeme (elektronische Lenkung und elektronische Bremse) .
In allen Systemen mit hohen Sicherheitsanforderungen, insbesondere in X-by-Wire-Systemen, sind Mechanismen zur Freigabe der Aktorik, z.B. von Elektromotoren oder Hydrauli pumpen, notwendig. Dies wird nach dem Stand' der
Technik durch sog. „intelligente Watchdogs^ auf Basis einer Frage-Antwort-Kommunikation realisiert .
Ein Verfahren der eingangs genannten Art ist bspw. aus der DE 198 26 131 AI bekannt. In dieser Druckschrift ist das verteilte sicherheitsrelevante System als ein elektrisches Bremssystem eines Kraftfahrzeugs beschrieben. Die Komponenten sind als die Bremsen des Kraftfahrzeugs bzw. genauer gesagt als Aktoren zur Ansteuerung der Bremsen ausgebildet. Ein solches System ist in hohem Maße sicherheitsrelevant, da eine fehlerhafte Ansteuerung der Komponenten, insbesondere ein fehlerhaftes Betätigen der Bremsen, zu einem nicht vorhersehbaren Sicherheitsrisiko führen kann. Aus diesem Grund muss eine fehlerhafte Ansteuerung der Komponenten mit Sicherheit ausgeschlossen werden.
Wesentliche Merkmale des bekannten Bremssystems sind ein Pedalmodul zur zentralen Fahrerwunscherfassung, vier Radmodule zur radindividuellen Regelung der Bremsaktuatoren und ein Verarbeitungsmodul zur Berechnung übergeordneter Bremsfunktionen. Die Kommunikation der einzelnen Module untereinander kann durch ein oder mehrere Kommunikationssysteme erfolgen. In Figur 2 der vorliegenden Patentanmeldung ist die interne Struktur eines Radmoduls mit verschiedenen logischen Ebenen beispielhaft dargestellt. Die logische Ebene Ll umfasst dabei mindestens die -Berechnung der Steuer- und Regelfunktionen für die Radbremsen, während die logischen Ebenen L2 bis L4 verschiedene Funktionen zur Rechnerüberwachung und Funktionsüberprüfung von Ll beinhalten.
Die Ansteuerung der Bremsen, bzw. der Elektromotoren zur Betätigung der Bremsbacken, umfasst für jedes Radmodul gleichermaßen die nachfolgenden Schritte:
a) Ermitteln mindestens eines Ansteuersignais (f_l) für die Bremse durch ein erstes Mikrorechnersystem (R_1A) in Abhängigkeit von mindestens einem Eingangssignal (a_R2, a_R3, a_R4 ; a_V,ref; s_R2, s_R3, s_R4 ;
Λs_V, ref; v_F; n_l; d_l; F__li; a_Rl; s_Rl) . Die Eingangssignale werden dem Mikrorechnersystem (R_1A) über ein Kommunikationssystem (K_l), bspw. ein Bussystem, zur Verfügung gestellt.
b) Ermitteln mindestens eines logischen Ansteuersignais (e_lH) . Das logische Ansteuersignal (e_lH) wird zumindest teilweise von einer von dem ersten Mikrorechnersystem (R_1A) unabhängigen Überwachungseinheit (R_1B) in Abhängigkeit von dem mindestens einen Eingangssignal ermittelt.
c) Vergleichen des mindestens einen Ansteuersignais (f_l) mit dem mindestens einen logischen Ansteuersignal (e_lH) in, einer Leistungselektronik (LE_1K) .
d) Ermitteln mindestens eines Freigabesignals (innerhalb der Leistungselektroniken LE) in Abhängigkeit von dem Ergebnis des Vergleichs des Ansteuersignais (f_l) und des logischen Ansteuersignals (e_lH) ; und
e) Weiterleiten des mindestens einen Ansteuersignals (f_l) oder eines von dem Ansteuersignal (f_l) abhängigen Signals (i_lK) an die Bremse, bzw. an einen Aktuator Akt_l für die Bremsbacken, falls das mindestens eine Freigabesignal einen vorgebbaren Wert aufweist .
Die Überwachungseinheit (R_1B) dient insbesondere zur Erkennung systematischer (sog. common mode) Fehler. Ein Beispiel für solche Fehler sind Fehler in der Spannungsversorgung. Bei dem bekannten Bremssystem ist die Überwachungseinheit (R_1B) als ein selbständiges Mikrorechnersystem ausgebildet. Alternativ kann die Überwachungseinheit (R_1B) jedoch auch als ein
Hardwarebaustein ohne eigenen Prozessor ausgebildet sein, der jedoch konkrete l gische Funktionen oder, falls er ein Register aufweist, sogar Schaltfunktionen ausführen kann. Ein Beispiel für einen solchen Hardwarebaustein ist bspw. ein ASIC (Applied Specific Integrated Circuit), ein FPGA (Field-Programmable Gate Array) oder eine Überwachungsschaltung (sog. Watch-Dog) .
Das Steuergerät (Mikrorechnersystem oder Prozessrechner) , das für die Ansteuerung der Komponente (Aktorik) verantwortlich ist , wird überwacht und im Fehlerfall von der Überwachungseinheit abgeschaltet . Die Überwachung basiert auf einer Frage-Antwort-Kommunikation, die einem festgelegten Protokoll folgen muss .
Die Freigabe der Aktorik (LE2R) erfolgt ausschließlich bei Übereinstimmung ( Frage-Antwort-Kommunikation arbeitet wie spezifiziert ) des Mikrorechnersystems (R_lÄ) und der unabhängigen Überwachungseinheit (R_1B) . Das Prinzip dieser Freigabe basiert auf einer elektrischen Freigabeschaltung (UND-Verknüpfung) , die zwischen dem Prozessrechner und der Überwachungseinheit realisiert ist . Das bedeutet, dass beide Einheiten für die normale Funktion der Aktorik eine. ' logische „Eins" an die Freigabeschaltung anlegen müssen .
Die Abschaltung der Aktorik erfolgt, sobald ein Prozess in dem Mikrorechnersystem (R_1A) das Signal zur Abschaltung gibt . Die Überwachungskomponente (R_1B) wird nur dann das Signal zur Abschaltung geben, wenn die überwachte Einheit (Mikrorechnersystem R__1A) als fehlerhaft erkannt wurde .
In sicherheitsrelevanten Systemen sind aber auch' Überwachungsmechanismen für Steuergeräte (Prozessrechner) notwendig, die über den Umfang einer Frage-Antwort- Kommunikation hinausgehen . Dies spielt insbesondere eine große Rolle für sogenannte Fail-Silent-Rechner . Diese Rechner dürfen per Definition nur einen Wert nach Außen geben, wenn dieser korrekt vorliegt ( zur richtigen Zeit ) oder erkennbar falsch dargestellt wird . Hierzu werden lokal laufende Überwachungsfunktionen ( Speichertest s ,
Plausibilitätsprüfungen) am Prozessrechner selbst implementiert . Für besonders sicherheitsrelevante Aufgaben muss aber der Fall berücksichtigt werden, dass der Fail- Silent-Rechner die erwartete Zuverlässigkeit nicht mehr erfüllt . Der Rechner kann sich nicht mehr selbst abschalten bzw. einen Wiederanlauf initiieren. Eine unabhängige Einheit muss die gesicherte Abschaltung übernehmen oder einen Wiederanlauf initiieren.
Der Einsatz von Kommunikationssystemen im Automobilbereich ist inzwischen bei nahezu allen Herstellern zum Standard geworden. Die Society for Automotive Engineering (SAE) hat drei unterschiedliche Anforderungsklassen an die Kommunikation definiert: Klasse A, B und C. Diese Klassen unterscheiden sich in der Menge der Informationen, die ausgetauscht werden bis hin zu den unterschiedlichen EchtZeitanforderungen und Anwendungsgebieten. Die Protokollklasse _mit den höchsten Anforderungen ist die Klasse C. Hierzu ist eine Spezifikation der SAE „Kommunikationsprotokolle für Klasse C Anwendungen", SAE J2056/1, Juni 1993 erhältlich. Diese Klasse C ist die für X-by-Wire-Systeme zuständige Klasse.
Kommunikationssyteme, die für X-by-Wire-Anwendungen herangezogen werden können, arbeiten bspw. nach dem CAN-,
TTCAN (Time Triggered CAN)-, TTP/C- oder FlexRay-Protokoll . Ein für die vorliegende Erfindung wichtiger Dienst in solchen Protokollen stellt der Teilnehmer-Service (sog. Membership-Service) dar. Dabei wird über einen Mechanismus der Nachrichtenbestätigung die Zugehörigkeit/Aktivität eines Kommunikationsteilnehmers (Mikrorechnersystems oder Prozessrechners) in einem Entscheidungsverfahren aller aktiven Kommunikationsteilnehmer bestimmt. Die Informationen über die Zugehörigkeit/Aktivität der Kommunikationsteilnehmer werden als sog. Membership-
Information gespeichert. Nach einer bestimmten Anzahl an Entscheidungsrunden ist die Membership-Information stabil, d.h. von allen Teilnehmern als gültig anerkannt. Wird durch diese Entscheidung ein Teilnehmer als inaktiv bezeichnet, darf dieser Knoten nicht mehr aktiv an der Kommunikation teilnehmen. Der für diesen Knoten zuständige Prozessrechner erkennt den inaktiven Zustand und muss Maßnahmen ergreifen, um seinen Kommunikationscontroller wieder aktiv zu schalten (Wiederanlauf und Resynchronisation) . Der' echanismus zur Bestimmung der Teilnehmer wird laufend ausgeführt und ist Teil des eigentlichen Kommunikationsprotokolls.
Nachteilig bei dem aus der DE 198 26 131 AI hervorgehenden Stand der Technik ist es, dass die logische Ebene L4 stets in einem gesonderten Bauteil realisiert ist, das.- bspw. in Radmodulen eines elektrischen Bremssystems - innerhalb des verteilten sicherheitsrelevanten Systems zudem mehrfach vorgesehen sein muss.
Um diesen Nachteil zu beheben wird vorgeschlagen, auf die
Überwachungseinheit ganz zu verzichten und die Aufgaben der Überwachungseinheit dem mindestens einen weiteren Prozessrechner des verteilten sicherheitsrelevanten Systems und/oder mindestens einem der Kommunikationscontroller zu übertragen, über welche die weiteren Prozessrechner an das Kommunikationssystem angeschlossen sind.
Der vorliegenden Erfindung liegt die Aufgabe zugrunde, bei einem solchen verteilten Überwachungskonzept Möglichkeiten zu schaffen, durch welche die Basisfunktionalität eines
Kommunikationssyste s bzw. eines Kommunikationsprotokolls , nämlich gesicherte Nachrichtenübertragung, Senden von Nachrichten, die gleichzeitig an mehrere Ziele in dem Kommunikationssystem gerichtet sind (sog. Multicasting) , Nachrichtenbestätigung und - z.B. bei TTP/C (Time Triggered Protocol for Class C) oder CAN (Controller Area Network) - der Teilnehmer-Service, um einen Mechanismus zur gesicherten Abschaltung von Prozessrechnern über das Kommunikationssystem erweitert wird. Zur Lösung dieser Aufgabe schlägt die vorliegende Erfindung ausgehend von dem Verfahren der eingangs genannten Art ein Verfahren mit den nachfolgenden Schritten vor: mindestens einer der weiteren Prozessrechner, der einen Fehler mindestens eines der ersten
Prozessrechner ermittelt hat, übermittelt eine Ansteuernachricht über das Kommunikationssystem zum Ansteuern des fehlerhaften ersten Prozessrechners oder der von diesem angesteuerten Komponente; - es wird überprüft, ob der Absender der
Ansteuernachricht berechtigt ist, den fehlerhaften ersten Prozessrechner anzusteuern; es wird überprüft, ob der Absender der Ansteuernachricht an das Kommunikationssystem angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem beteiligt ist; in Abhängigkeit des Inhalts von Ansteuernachrichten derjenigen Absender, die berechtigt sind, den fehlerhaften ersten Prozessrechner anzusteuern, und die an das Kommunikationssystem angeschlossen und aktiv an der Kommunikation über das
Kommunikationssystem beteiligt sind, wird nach einem vorgebbaren Entscheidungsalgorithmus entschieden, wie der fehlerhafte erste Prozessrechner und/oder die Komponente anzusteuern sind; und der fehlerhafte erste Prozessrechner und/oder die Komponente werden dementsprechend angesteuert.
Vorteile der Erfindung
Erfindungsgemäß werden also lokal oder global verfügbare Informationen vorgesehen, durch die eine sichere und zuverlässige Realisierung des verteilten
Überwachungskonzepts innerhalb des Kommunikationssystems erreicht werden kann. Diese Informationen betreffen für die ersten Prozessrechner jeweils eine lokale Liste, in der diejenigen weiteren Prozessrechner aufgeführt sind, die den jeweiligen ersten Prozessrechner im Fehlerfalle ansteuern (z.B. abschalten) dürfen. Außerdem betreffen die Informationen eine globale Liste, in der diejenigen Prozessrechner aufgeführt sind, die an das Kommunikationssystem angeschlossen und aktiv an der Kommunikation über das' Kommunikationssystem beteiligt sind. Für diese Liste kann bspw. die Membership-Information des Teilnehmer-Services herangezogen werden. Schließlich betreffen die Informationen für jeden weiteren Prozessrechner eine global verfügbare Liste, in der diejenigen ersten- Prozessrechner aufgeführt sind, die der jeweilige weitere .Prozessrechner als fehlerhaft erkannt hat und die er deshalb ansteuern (z.B. abschalten) möchte.
Die vorliegende Erfindung geht von einem
KommunikationsSystem mit mehreren Prozessrechnern aus. Die
Prozessrechner sind in zwei Gruppen unterteilt, nämlich zum einen erste Prozessrechner, die überwacht werden, und zum anderen weitere Prozessrechner, die überwachen. Welcher der Prozessrechner des verteilten Systems der ersten und welcher der zweiten Gruppe angehören, ist eine Frage der Definition. Es ist durchaus denkbar, dass ein und derselbe Prozessrechner einerseits der ersten Gruppe angehört, weil der von einem oder mehreren der weiteren Prozessrechner überwacht wird, andererseits aber auch der zweiten Gruppe angehört, weil er einen oder mehrere andere (erste) Prozessrechner überwacht.
Durch die vorliegende Erfindung wird die Basisfunktionalität eines Kommunikationssystems bzw. Kommunikationsprotokolls, nämlich gesicherte Nachrichtenübertragung, Multicasting, Nachrichtenbestätigung und Teilnehmer-Service, mit einem Mechanismus zur gesicherten Abschaltung von Prozessrechnern über das Kommunikationssystem erweitert. Das Kommunikationssystem ersetzt dabei die beim Stand der Technik in Hardware (durch Verkabelung) realisierten Abschaltpfade (z.B. Überwachungseinheit mit sternförmiger Verkabelung zu Radrechnern in einem Brake-by~Wire-System) . Das Kommunikationssystem ermöglicht es, einen nach dem Stand der Technik lokal implementierten intelligenten Watchdog (oftmals in Form einfacher Hardwareschaltungen) am Prozessrechner des Steuergeräts in einen beliebigen ausgewählten Prozessrechner in dem Kommunikationssystem zu verlagern. Dabei wird vorzugsweise ein in dem verteilten System bereits vorhandenes Steuergerät mit seinem Prozessrechner herangezogen. Eine erweiterte Watchdog- Funktionalität, z.B. Plausibilitätsprüfung durch
Gegenrechnen, kann dadurch einfacher realisiert werden.
Der zusätzliche Mechanismus zur gesicherten Abschaltung in dem Kommunikationssystem ermöglicht aber auch ein verteiltes Überwachungskonzept. Das bedeutet, dass nicht nur ein Prozessrechner die Funktion des intelligenten Watchdogs übernimmt, sondern dass mehrere Steuergeräte mit ihren Prozessrechnern über das Kommunikationssystem eine Ansteuerung bzw. Abschaltung bewirken können.
Ein in heutigen Kraftfahrzeugen bereits standardisiertes Kommunikationssystem und eine damit verbundene Busverkabelung (Eindraht- oder Zweidrahtleitung), wird als Abschaltpfad genutzt. Es ist keine explizite Verkabelung für den Abschaltpfad zwischen den Einheiten des
Kommunikationssystems notwendig. Das Kommunikationssystem führt ein Ansteuer- bzw. Abschalt-Protokoll aus, das im normalen Protokollablauf (eigentliches Senden und Empfangen von Nachrichten, Nachrichtenbestätigung und Teilnehmer- Service) eingebaut ist. Dabei entsteht zwar eine geringe Mehrbelastung des Kommunikationscontrollers, aber eine bedeutende Verbesserung in der Nutzung vorhandener Steuergeräte (Prozessorrechner). Des weiteren stellt das .Kommunikationssystem Software- und Hardwareschnittstellen an den Prozessrechner zur Verfügung, um das Ansteuer- bzw. Abschalt-Protokoll zu initiieren bzw. umzusetzen.
Eine Freigabeschaltung, über welche eine Komponente (die Aktorik) eines verteilten sicherheitsrelevanten Systems nach dem erfindungsgemäßen Verfahren angesteuert wird, wird also von einem Prozessrechner einerseits und von einem Kommunikationscontroller andererseits bedient. Somit wird es möglich, die Komponente über das Kommunikationssystem anzusteuern bzw. abzuschalten. Außerdem kann auch der - Prozessrechner selbst mit dem Kommunikationscontroller gekoppelt werden, so dass der Prozessrechner, der die Komponente ansteuert, selbst angesteuert bzw. abgeschaltet werden kann, z.B. durch Anschluss des Kommunikationscontrollers an einer Reset-Leitung des - Prozessrechners.
Gemäß einer vorteilhaften Weiterbildung der vorliegenden Erfindung wird vorgeschlagen, dass durch die Ansteuernachricht ein Abschalten des fehlerhaften ersten Prozessrechners und/oder der von diesem angesteuerten Komponente erzielt wird.
Gemäß einer bevorzugten Ausführungsfor der vorliegenden Erfindung wird vorgeschlagen, dass in dem Kommunikationscontroller des mindestens einen ersten
Prozessrechners eine lokale Berechtigungsliste vorgesehen ist, anhand der überprüft wird, ob der Absender der Ansteuernachricht berechtigt ist, den fehlerhaften ersten Prozessrechner anzusteuern, indem eine Kennung des Absenders der Ansteuernachricht mit dem Inhalt der Berechtigungsliste verglichen wird.
Gemäß einer weiteren bevorzugten Ausführungsform der vorliegenden Erfindung wird vorgeschlagen, dass in dem Ko munikationssystem eine globale Teilnehmerliste vorgesehen ist, anhand der überprüft wird, ob der Absender der Ansteuernachricht an das Kommunikationssystem angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem beteiligt ist, indem eine Kennung des Absenders der Ansteuernachricht mit dem Inhalt der Teilnehmerliste verglichen wird.
Gemäß einer anderen vorteilhaften Weiterbildung der vorliegenden Erfindung wird vorgeschlagen, dass falls mehrere Ansteuernachrichten für den mindestens einen ersten Prozessrechner vorliegen, in Abhängigkeit von dem Inhalt der Ansteuernachrichten nach einer Mehrheitsentscheidung entschieden wird, wie der fehlerhafte erste Prozessrechner und/oder die Komponente anzusteuern sind.
Vorteilhafterweise wird eine erfolgreiche Ansteuerung des fehlerhaften ersten Prozessrechners und/oder der Komponente zumindest dem mindestens einen Absender der Ansteuernachricht mitgeteilt.
Vorzugsweise wird die erfolgreiche Ansteuerung des fehlerhaften ersten Prozessrechners und/oder der Komponente allen Prozessrechnern mitgeteilt, indem der fehlerhafte erste Prozessrechner aus einer in dem Kommunikationssystem vorgesehenen globalen Teilnehmerliste gestrichen wird, wobei in der Teilnehmerliste diejenigen Prozessrechner aufgeführt sind, die an das Kommunikationssystem angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem beteiligt sind. Als eine weitere Lösung der Aufgabe der vorliegenden Erfindung wird ausgehend von dem verteilten sicherheitsrelevanten System der eingangs genannten Art vorgeschlagen, dass - mindestens einer der weiteren Prozessrechner Mittel zum Ermitteln eines Fehlers mindestens eines der ersten Prozessrechner und Mittel aufweist, um, falls der mindestens eine fehlerhafte erste Prozessrechner einen Fehler aufweist, eine Ansteuernachricht zur Ansteuerung des fehlerhaften ersten Prozessrechners und/oder der von diesem angesteuerten Komponente über das Kommunikationssystem zu übermitteln; dem Kommunikationscontroller des fehlerhaften- ersten Prozessrechners Informationen zur Verfügung stehen, ob der Absender der Ansteuernachricht berechtigt ist, den fehlerhaften ersten Prozessrechner anzusteuern; dem Kommunikationscontroller des fehlerhaften ersten Prozessrechners Informationen zur Verfügung stehen, ob der Absender der Ansteuernachricht an das Kommunikationssystem angeschlossen und aktiv an der
Kommunikation über das Kommunikationssystem beteiligt ist; der Kommunikationscontroller des fehlerhaften ersten Prozessrechners Mittel zum Entscheiden nach eine vorgebbaren Entscheidungsalgorithmus aufweist, wie der fehlerhafte erste Prozessrechner und/oder die Komponente in Abhängigkeit des Inhalts von Ansteuernachrichten derjenigen Absender, die berechtigt sind, den fehlerhaften ersten Prozessrechner anzusteuern, und die an das
Kommunikationssystem angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem beteiligt sind, anzusteuern sind; und der Kommunikationscontroller des fehlerhaften ersten Prozessrechners Mittel zum clementsprechenden Ansteuern des fehlerhaften ersten Prozessrechners und/oder der Komponente aufweist.
Gemäß einer vorteilhaften Weiterbildung der vorliegenden Erfindung wird vorgeschlagen, dass die Informationen, ob der Absender der Ansteuernachricht berechtigt ist, den fehlerhaften ersten Prozessrechner anzusteuern, in Form einer in dem Kommunikationscontroller des mindestens einen ersten Prozessrechners vorgesehenen lokalen Berechtigungsliste zur Verfügung stehen.
Gemäß einer bevorzugten Ausführungsform der vorliegenden Erfindung wird vorgeschlagen, dass die Informationen, ob der. 'Absender der Ansteuernachricht an das Kommunikationssystem angeschlossen und aktiv an der
Kommunikation über das Kommunikationssystem beteiligt ist, in Form einer in dem Kommunikationssystem vorgesehenen globalen Teilnehmerliste zur Verfügung stehen.
Als -noch eine weitere Lösung der Aufgabe der vorliegenden Erfindung wird ausgehend von dem Kommunikationscontroller der eingangs genannten Art vorgeschlagen, dass das Kommunikationsprotokoll um Mechanismen ergänzt ist, die es dem Kommunikationscontroller ermöglichen - zu prüfen, ob einer der weiteren Prozessrechner, der eine Ansteuernachricht zum Ansteuern mindestens eines ersten fehlerhaften Prozessrechners und/oder der von diesem angesteuerten Komponente über das Kommunikationssystem übermittelt, an das Kommunikationssystem angeschlossen und aktiv an der
Kommunikation über das Kommunikationssystem beteiligt ist; zu prüfen, ob der Absender der Ansteuernachricht berechtigt ist, den fehlerhaften ersten Prozessrechner anzusteuern; . nach einem vorgebbaren Entscheidungsalgorithmus zu entscheiden, wie der erste Prozessrechner und/oder die Komponente in Abhängigkeit des Inhalts von Ansteuernachrichten derjenigen Absender, die berechtigt sind, den fehlerhaften ersten
Prozessrechner anzusteuern, und die an das Kommunikationssystem angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem beteiligt sind, anzusteuern sind; und - den ersten Prozessrechner und/oder die Komponente dementsprechend anzusteuern.
Gemäß einer vorteilhaften Weiterbildung der vorliegenden Erfindung wird vorgeschlagen, dass das Kommunikationsprotokoll um Mechanismen zur Ausführung des erfindungsgemäßen Verfahrens ergänzt ist.
Schließlich wird als noch eine weitere Lösung der Aufgabe der vorliegenden Erfindung ausgehend von dem Kommunikationsprotokoll der eingangs genannten Art vorgeschlagen, dass das Kommunikationsprotokoll um Mechanismen ergänzt ist, um zu prüfen, ob einer der weiteren Prozessrechner, der eine Ansteuernachricht zum Ansteuern mindestens eines ersten fehlerhaften Prozessrechners und/oder der von diesem angesteuerten Komponente über das Kommunikationssystem übermittelt, an das Kommunikationssystem angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem beteiligt ist; zu prüfen, ob der Absender der Ansteuernachricht berechtigt ist, den fehlerhaften ersten Prozessrechner anzusteuern; nach einem vorgebbaren Entscheidungsalgorithmus zu entscheiden, wie der erste Prozessrechne'r und/oder die Komponente in Abhängigkeit des Inhalts von Ansteuernachrichten derjenigen Absender, die berechtigt sind, den fehlerhaften ersten Prozessrechner anzusteuern, und die an das Kommunikationssystem angeschlossen und aktiv an der
Kommunikation über das Kommunikationssystem beteiligt sind, anzusteuern sind; und den ersten Prozessrechner und/oder die Komponente .
Gemäß einer vorteilhaften Weiterbildung der vorliegenden Erfindung wird vorgeschlagen, dass das
Kommunikationsprotokoll um Mechanismen zur Ausführung des,, erfindungsgemäßen Verfahrens ergänzt ist.
Zeichnungen
Weitere Merkmale, Anwendungsmöglichkeiten und Vorteile der Erfindung ergeben sich aus der nachfolgenden Beschreibung von Ausführungsbeispielen der Erfindung, die in der Zeichnung dargestellt sind. Dabei bilden alle beschriebenen oder dargestellten Merkmale für sich oder -in beliebiger Kombination den Gegenstand der Erfindung, unabhängig von ihrer Zusammenfassung in den Patentansprüchen oder deren Rückbeziehung sowie unabhängig von ihrer Formulierung bzw. Darstellung in der Beschreibung bzw. in den Zeichnungen. Es zeigen:
Figur 1 ein erfindungsgemäßes verteiltes sicherheitsrelevantes System im Ausschnitt gemäß einer bevorzugten Ausführungsform;
Figur 2 ein aus dem Stand der Technik bekanntes Ansteuermodul eines verteilten sicherheitsrelevanten Systems; Figur 3 Freigabesignale innerhalb eines Ansteuermoduls aus Figur 1;
Figur 4 ein Abschaltprotokoll nach einer ersten bevorzugten Ausführungsform des erfindungsgemäßen
Verfahrens; und
Figur 5 ein Abschaltprotokoll nach einer zweiten bevorzugten Ausführungsform des erfindungsgemäßen Verfahrens.
Beschreibung der Ausführungsbeispiele
Die vorliegende Erfindung wird nachfolgend anhand eines elektrischen Bremssystems näher erläutert. Die Erfindung ist aber nicht auf elektrische Bremssysteme beschränkt, sondern vielmehr für beliebige verteilte sicherheitsrelevante Systeme einsetzbar. Die vorliegende Erfindung erlaubt eine sichere Freigabe von Komponenten Akt_l des sicherheitsrelevanten Systems ohne den Einsatz zusätzlicher Überwachungseinheiten. Die Aufgaben der Überwachungseinheiten werden vielmehr von weiteren Prozessrechnern P-m des verteilten Systems übernommen, die sowieso in dem System vorhanden sind und um eine entsprechende Funktionalität erweitert wurden.
Das Bremssystem umfasst für jedes zu bremsende Fahrzeugrad ein Radmodul R__l, R_m. Jedes Radmodul R_l, R_m. umfasst ein Mikrorechnersystem P_l, P_m und eine Freigabeschaltung FS_1, FS_m. Die Mikrorechnersysteme P_l, P_m umfassen jeweils einen Prozessrechner Pro_l, Pro_m und einen intelligenten Kommunikationscontroller S_l, S_m. Der Prozessrechner Pro_l, Pro_m und der
Kommunikationscontroller S_l, S__m eines Mikrorechnersystems P_lf P können auf einem Halbleiterbaustein (sog. Chip) zusammengefasst sein; sie sind jedoch stets als voneinander unabhängige, gesonderte Einheiten ausgebildet. Jedes Radmodul R_l, R__m ist über einen Kommunikationscontroller S_l, S_m an ein Kommunikationssystem K_l in Form eines physikalischen Datenbusses angeschlossen. Über den Datenbus werden Daten bspw. nach dem CAN (Controller Area Network)-, TTCAN (Time Triggered CAN)-, TTP/C (Time Triggered Protocol for Class C)- oder FlexRay-Protokoll übertragen. Die . Radmodule R_l, R_m steuern jeweils eine Komponente in Form einer Aktorik Akt_l, Akt_m an, die bspw. als Elektromotoren zur Betätigung oder zum Lösen von Radbremsen ausgebildet sind.
In Figur 1 ist die interne Struktur von zwei Radmodulen und der darin ablaufende Signalfluss bei einer möglichen Ausführungsform des verteilten Überwachungskonzepts dargestellt. Die Aufgabe des Radmoduls R_l (genauer gesagt des Prozessrechners Pro_l) ist die Ansteuerung der Aktorik Akt_l des elektrischen Bremssystems. Wichtig bei der Ansteuerung der Aktorik Akt_l ist es zu verhindern, dass die Aktorik Akt_l von einem fehlerhaften Ansteuersignal A_ll des Mikrorechnersystems P_l angesteuert wird. Das bedeutet, dass das Ansteuersignal A_ll nur dann an die Aktorik Akt_l weitergeleitet werden sollte, wenn mit ausreichend hoher Wahrscheinlichkeit feststeht, dass es fehlerfrei ist. Die Ansteuerung der Aktorik Akt_l umfasst deshalb im wesentlichen die nachfolgenden Schritte:
a) Der Prozessor Pro_l des Mikrorechnersystems P_l ermittelt durch Abarbeiten eines Programmcodes in Abhängigkeit von mindestens einem Eingangssignal mindestens ein Ansteuersignal A_ll für die Aktorik Akt_l. Die Eingangssignale enthalten Informationen über den Ist-Zustand des Bremssystems und des Kraftfahrzeugs und werden über den Datenbus K_l an das erste Radmodul R_l übermittelt.
b) Die Prozessoren Pro_m (z.B. m = 2... 4)der weiteren Mikrorechnersysteme P_m ermitteln ebenfalls durch Abarbeiten des gleichen Programmcodes in Abhängigkeit von den gleichen Eingangssignalen ein logisches Ansteuersignal A_lm. Das setzt voraus, dass in den Prozessoren Pro_m außer einem Programmcode zur Ermittlung der Ansteuersignale A_ml für die Aktoren Akt_m zusätzlich noch der Programmcode aus dem
Prozessor Pro_l zur Verfügung stehen muss. In dem vorliegenden Beispiel mit mehreren gleichartigen Radmodulen R_l, R_m bedeutet dies keinen oder nur einen minimalen zusätzlichen Aufwand, da die auf den Prozessoren Pro_l, Pro_m ablaufenden Programmcodes im wesentlichen gleich sind. So kann also der in den Prozessoren Pro_m sowieso zur Verfügung stehend Programmcode mit den Eingangssignalen des ersten Radmoduls R_l abgearbeitet werden, um die logischen Ansteuersignale A_lm zu erhalten. Diese Vereinfachung gilt für alle verteilten Systeme mit gleichartigen Ansteuermodulen. Die Eingangssignale können den Mikrorechnersystemen P__m über den Datenbus K_l übermittelt werden. Bei korrekter Funktion der Prozessrechner Pro_l, Pro_m sind die Ansteuersignale
A_ll und die logischen Ansteuersignale A_lm identisch.
c) Das Ansteuersignal A_ll wird in den Prozessrechnern Pro_m der weiteren Mikrorechnersysteme P_m mit dem zuvor in dem Prozessrechner Pro__l ermittelten Ansteuersignal A_ll verglichen. Dazu muss das Ansteuersignal A_ll über den Datenbus K_l an die weiteren Mikrorechnersysteme P_m übermittelt werden. Die weiteren Mikroprozessorsysteme P_m erzeugen Statusinformation, die über den Datenbus K 1 an den Kommunikationscontroller S_l des ersten Mikrorechnersystems P_l übermittelt werden. Die Informationen, die zur Realisierung des verteilten Überwachungskonzepts über das Kommunikationssystem K_l übertragen werden müssen, bestehen bspw. aus einem oder mehreren Bits. Es ist denkbar, die Informationen zur Übertragung in das Kommunikationsprotokoll des Datenbusses K_l einzubinden.
d) Der Kommunikationscontroller S_l des ersten
Mikrorechnersystems P__l wertet die eingehenden Statusinformationen aus und erzeugt im Falle eines entsprechenden Status (d.h. bei Signalisierung einer korrekten Funktionsweise des Prozessrechners Pro_l) ein Freigabesignal F_l . Das Auswerten der
Statusinformationen kann auf unterschiedliche Weise erfolgen. Es kann bspw. ein Vergleich, eine logische (vorzugsweise eine UND-) Verknüpfung oder eine Mehrheitsentscheidung der Statusinformationen SF_lm sein.
e) Schließlich wird das mindestens eine Ansteuersignal A_ll oder mindestens ein davon abhängiges Signal an die Aktorik Akt__l weitergeleitet, falls das mindestens eine Freigabesignal F_l einen vorgebbaren Wert aufweist. Um dies zu prüfen, wird in der Freigabeschaltung FS_1 eine UND-Verknüpfung des Ansteuersignals A_ll mit dem Freigabesignal F_l ausgeführt. Falls das Freigabesignal F_l logisch Eins ist, wird das Ansteuersignal A__ll an die Aktorik Akt_l weitergeleitet. Falls das Freigabesignal F_l jedoch logisch Null ist, wird das Ansteuersignal A_ll nicht an die Aktorik Akt__l weitergeleitet.
Durch das beschriebene Verfahren kann die Funktionsfähigkeit des Prozessors Pro_l des
Mikrorechnersystems P_l überprüft und eine sichere Freigabe der Aktorik Akt_l erzielt werden. Zur Überprüfung des Prozessors Pro__l werden hauptsächlich die Prozessoren Pro_m der weiteren Mikrorechnersysteme P_m eingesetzt. In gleicher Weise kann das erfindungsgemäße Verfahren jedoch auch zur Überprüfung der Funktionsfähigkeit der Prozessoren Pro_m der weiteren Mikrorechnersysteme P_m und zur sicheren Freigabe der Aktorik Akt__m eingesetzt werden. Dann werden die übrigen Prozessoren Pro_m (ohne den zu überprüfenden Prozessor) und der Prozessor Pro_l des ersten Mikrorechnersystems P_l zur Überprüfung herangezogen. Jedes einzelne Mikrorechnersystem P_l, P_m innerhalb des sicherheitsrelevanten verteilten Bremssystems ha-t also einerseits die Primäraufgabe, die Ansteuersignale A_ll, A_ml für die ihm zugeordnete Aktorik Akt_l, Akt_ m zu ermitteln, und andererseits die Sekundäraufgabe, die Funktion der übrigen Prozessoren bei der Erfüllung ihrer Primäraufgaben zu kontrollieren. Ohne den Einsatz zusätzlicher Überwachungseinheiten wird durch das beschriebene verteilte Überwachungskonzept also die Möglichkeit einer sicheren und sogar redundant wirksamen Freigabe der Aktoren Akt__l , Akt_m geschaffen.
In Figur 3 ist das Radmodul R_l im Ausschnitt dargestellt. Zur Realisierung eines gesicherten Abschaltpfades über das Kommunikationssystem K_l sind Software-Schnittstellen SS__1 zwischen dem Kommunikationscontroller S_l und dem Prozessrechner Pro_l vorgesehen. Die Schnittstellen SS_1 dienen zum Setzen einer Ansteuernachricht in Form eines
Abschalt-Vektors durch einen weiteren Prozessrechner Pro_m und zur Abfrage des aktuell gültigen Abschalt-Vektors, cler über den Ko munikarionscontroller S__l empfangen wurde.
Zur Realisierung des verteilten Überwachungskonzeprs ist außerdem eine Hardware-Schnittstelle notwendig, die von dem Kommunikationscontroller S_l an die Freigabeschaltung FS_1 herangeführt wird. Die Hardware-Schnittstelle dient insbesondere dazu, bei Fehlersituationen, in denen der 5 Prozessrechner Pro__l nicht mehr zuverlässig den aktuellen Abschalt-Vektor auslesen und die Aktorik Akt_l abschalten kann, die Aktorik Akt_l durch den Kommunikationscontroller ' S_l abzuschalten. Hierzu ist ein Anschluss-Pin F_l vorgesehen, das über eine Verbindungsleitung an die
10 Freigabeschaltung FS_1 geführt ist. Dieser Pin F_l muss im Normalfall (es liegt kein Abschaltkommando vor) auf logisch Eins gehalten werden, um die Freigabe der Aktorik Akt_l durch den Kommunikationscontroller S_l sicherzustellen. Im Fall eines vorliegenden Abschaltkommandos muss der
15 Anschluss-Pin F_l an die Freigabeschaltung FS_1 auf logisch Null geschaltet werden, um die Freigabe zu gewährleisten.
Ein in heutigen Kraftfahrzeugen bereits standardisiertes Kommunikationssystem K__l und die damit verbundene
•20 Busverkabelung (Eindraht- oder Zweidrahtleitungen) ird bei dem verteilten Überwachungskonzept als Abschaltepfad genutzt. Es ist keine explizite Verkabelung für den Abschaltpfad zwischen den Einheiten des verteilten Systems notwendig. Das Kommunikationssystem K_l führt ein
25 . Abschaltprotokoll aus, das in dem normalen Protokollablauf (eigentliches Senden und Empfangen von Nachrichten, Nachrichtenbestätigung und sogenannter Teilnehmer-Service) eingebaut ist. Dabei entsteht zwar eine geringe Mehrbelastung des Protokollrechners
30 (Kommunikationscontrollers S_l), aber es wird eine bedeutende Verbesserung bezüglich der Auslastung vorhandener Steuergeräte (P_l, P_m) bzw. Prozessrechner (Pro_l, Pro_m) erzielt. Des Weiteren stellt das Kommunikationssystem K_l Software- und
35 Hardwareschnittstellen SS 1, F 1 an die Prozessrechner Pro_l, Pro_m zur Verfügung, um das Ansteuer- bzw. Abschaltprotokoll zu initiieren bzw. umzusetzen.
Bei dem oben beschriebenen verteilten Überwachungskonzept wird also eine Freigabeschaltung FS_1 von dem Prozessrechner Pro_l einerseits und von dem Kommunikationscontroller S_l andererseits bedient. Somit ist es möglich, die Aktorik Akt__l mit dem in dieser Patentanmeldung beschriebenen Abschaltmechanismus über das Kommunikationssystem K_l abzuschalten. Außerdem kann auch der Prozessrechner Pro_l selbst mit dem
■ Kommunikationscontroller S_l gekoppelt werden, sodass auch der Prozessrechner Pro_l abgeschaltet werden kann, z. B. durch Kopplung an eine Res'et-Leitung B des Prozessrechners Pro_l.
Die Realisierung des gesicherten Abschaltpfades über das Kommunikationssystem K_l ist mit nahezu jedem Steuergerät Pro_l, Pro_m möglich, das mit seinem Kommunikationscontroller S_l, S_m an einen Datenbus K_l angeschlossen ist. Der Kommunikationscontroller S_l, S_m muss das Abschaltprotokoll in dem Kommunikationsprotokoll umsetzen. Das Abschaltprotokoll und die dafür notwendigen Konfigurationsdaten bzw. Schnittstellen SS_1, F_l werden nachfolgend beschrieben.
In den Kommunikationscontrollern S_l ist eine statische Information darüber abgelegt, welches Mikrorechnersystem P_m bzw. welcher Prozessrechner Pro_m die Berechtigung 'besitzt, den dem Kommunikationscontroller S_l zugeordneten Prozessrechner Pro_l abzuschalten. Die statische Information ist beispielsweise auf einem Flash-EPROM (Erasable and Programmable Read Only Memory) in den Kommunikationscontrollern S_l abgelegt. Diese statische Information kann sich aus folgenden Inhalten zusammensetzt: e Eine Kennung des lokalen Kommunikationscontrollers S_l . Diese ist bei einigen Protokollen, z. B. TTP/C, bereits vorhanden. β Eine lokale (individuelle) Liste, in der Kennungen von Kommunikationscontrollern S_m aufgeführt sind, deren Abschalt-Nachricht zur Abschaltung des lokalen Prozessrechners Pro_l bzw. der durch diesen angesteuerten Aktorik Akt_l über den
Kommunikationscontroller S_l führen darf. Die Liste ist vorzugsweise auf die Zahl der berechtigten Kommunikationscontroller, z. B. auf drei Einträge, - begrenzt.
Des Weiteren muss in den statischen Informationen konfiguriert werden, ob eine berechtigte Abschaltung nur in der Schnittstelle SS_1 zu dem Prozessrechner Pro_l angezeigt werden soll oder ob die Abschalt-Nachricht auch über eine geeignete Verdrahtung an die Freigabeschaltung FS__1 weitergegeben werden soll.
Der Abschält-Vektor ist ein Bit-Vektor und repräsentiert die m-Teilnehmer in dem gesamten verteilten sicherheitsrelevanten System. Eine bestimmte Bit-Position ist einer Kennung eines bestimmten
Kommunikationscontrollers S_l, S_m zugewiesen. In dem
Abschaltvektor können zwei Zustände pro Steuergerät .P_l,
P_m dargestellt werden:
Null: es liegt kein Abschalt-Kommando an den
Kommunikationscontroller mit der Kennung an der entsprechenden Bit-Position vor.
Eins: es liegt ein Abschalt-Kommando für den der Bit- Position entsprechenden Kommunikationscontroller vor.
Der Abschalt-Vektor kann aus Gründen beschränkter Bandbreite oder begrenzter Anzahl von Protokolldaten (Steuerdaten für den Protokollablauf, die gemeinsam mit den Nutzdaten in einem Nachrichtenpaket über das Kommunikationssystem K_l versandt werden) gekürzt werden. In dem Abschalt-Vektor werden dann nur ausgewählte Steuergeräte P 1, P m dargestellt.
Für die erfindungsgemäße Realisierung des verteilten Überwachungskonzepts wird außerdem auf Informationen zugegriffen, ob der Absender eines Abschalt-Vektors an das Kommu ikationssystem K_l angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem K_l beteiligt ist. Diese Informationen werden von manchen Kommunikationsprotokollen standardmäßig zur Verfügung gestellt. Diese Funktionalität wird in den Kommunikationsprotokollen auch als Teilnehmer-Service oder Membership-Service bezeichnet. Dann sind diese
Informationen in der sog. Membership-Information enthalten. Dabei wird über einen Mechanismus der
Nachrichtenbestätigung die Zugehörigkeit/Aktivität eines Prozessrechners Pro_l, Pro_m in einem Entscheidungsverfahren aller aktiven
Kommunikationsteilnehmer bestimmt. Nach einer bestimmten Anzahl von Entscheidungsrunden ist die Membership- Information stabil, d. h. sie wird von allen Teilnehmern als gültig anerkannt.
Wird durch diese Entscheidung ein Steuergerät P_l, P_m als inaktiv bezeichnet, darf dieses Steuergerät nicht mehr aktiv an der Kommunikation teilnehmen. Der zuständige Prozessrechner Pro_l, Pro_m erkennt diesen Zustand und muss Maßnahmen ergreifen, um den ihm zugeordneten Kommunikationscontroller S_l, S_m wieder aktiv zu schalten (Wiederanlauf und Resynchronisation) . Der Mechanismus zur Bestimmung der aktiven Teilnehmer (Membership) wird laufend ausgeführt und ist Teil des eigentlichen Kommunikationsprotokolls. Die Me bership-Informationen stehen in dem Kommunikationssystem K_l in Form eines Membership-Vektors Me zur Verfügung.
Die Ausgangssituation zur Durchführung des erfindungsgemäßen Verfahrens ist ein aktives verteiltes System mit funktionierenden Teilnehmern
(Kommunikationscontrollern S_l, 'S_m und deren Steuergeräte P_l, P_m bzw. Prozessrechner Pro^l , Pro_m) . Die Membεrship- Information Me ist also für jeden Teilnehmer auf „1", und es liegt keine Anforderung für eine Abschaltung (Abschalt- Vektor Ab) vor. Diese Ausgangssituation ist in Schritt 1) der Figuren 4 und 5 für ein verteiltes System mit vier Teilnehmers A, B, C, D dargestellt. Figur 4 betrifft ein Abschaltprotokoll mit nur einem Berechtigten (Teilnehmer A darf nur von Teilnehmer D abgeschaltet werden) , wohingegen Figur 5 ein Abschaltprotokoll mit drei Berechtigten und absoluter Mehrheit (Teilnehmer A wird abgeschaltet, wenn mindestens zwei der drei weiteren Teilnehmer B, C, D ein Abschalten des Teilnehmers A befürworten) .
Der Abschalt-Vektor Ab stellt einen Abschaltbefehl eines berechtigten Steuergeräts P_m für ein bestimmtes Steuergerät P_l dar, sobald die Bit-Position für dieses Steuergerät P_l auf „1" gesetzt wird. Der Abschalt-Vektor wird von dem Kommunikationsprotokoll beim Absender P_m mit den übrigen Steuerdaten einer Nachricht codiert und versendet (vgl. Schritt 2) in den Figuren 4 und 5) .
Das Kommunikationssystems K_l beruht auf- Multicast- Nachrichten. Damit kann angenommen werden, dass jedes aktive Steuergerät P_l, P_rn alle gesendeten und als fehlerfrei erkannten Nachrichten empfängt und danach lokale Protokollmechanismen startet. Sonderfälle, bei denen die Korrektheit einer Nachricht erst nach einer bestimmten Anzahl weiterer Sendevorgänge entschieden wird (z. B. bei TTP/C) müssen gesondert behandelt werden. Dieser Sonderfall bedeutet, dass auch der empfangene Abschalt-Vektor bis zu dieser endgültigen Entscheidung als ungültig zu betrachten ist. Der Kommunikationscontroller S_l entnimmt den empfangenen Protokolldaten die Informationen des Abschaltvektors Ab.
Ist aufgrund der Protokollrealisierung die Kennung des" Absenders P_m geklärt, kann bei dem Empfänger S__l die Überprüfung der Berechtigung erfolgen. Der Empfänger S_l kennt über den Zusammenhang von Sendezeitpunkt, Nachrichtenkennung und statischer Information zur Abschaltberechtigung, die Kennung des Absenders P__m der Nachricht. Ist die Identität des Absenders P_m nicht eindeutig festgelegt, muss die Kennung des Absenders P_m zusätzlich zu dem Abschalt-Vektor Ab mit übertragen werden.
Bei dem Abschaltprotokoll aus Figur 4 ist in dem Abschalt- Vektor Ab des Teilnehmers D eine Bitstelle gesetzt, die mit der Kennung des Teilnehmers A übereinstimmt. In der lokalen Berechtigungsliste des Teilnehmers A ist der Teilnehmer D als Berechtigter zum Abschalten eingetragen. Aus diesem Grund erfolgt in Schritt 3) eine Abschaltung des Prozessrechners und/oder der von dem Prozessrechner angesteuerten Aktorik des Teilnehmers A.
Der Kommunikationscontroller S_l setzt den Status des Abschalt-Vektors Ab in der Software-Schnittstelle SS_1 auf den aktuellen Stand (vgl. Schritt 3) in Figur 4 und SS_1 in Figur 3) . Der Kommunikationscontroller S 1 setzt den Pegel zum Abschalten an dem vorgesehenen Anschlusspin an der Hardware-Schnittstelle um die Abschaltung der Aktorik über die Freigabeschaltung FS_1 zu initiieren (vgl. Schritt 3) in Figur 4 'und Signal F_l und Signal B in Figur 3) . Der Kommunikationscontroller S_l wechselt in einen passiven Zustand, d. h. er nimmt nicht mehr an der Kommunikation über das Kommunikationssystem K_l teil. Durch diese Maßnahme wird den anderen Teilnehmern B, C, D signalisiert, dass der gesamte Knoten (umfassend das Steuergerät, die Aktorik, die Sensorik und den Kommunikationscontroller des Teilnehmers A) nicht mehr verfügbar ist. Dies bewirkt die Löschung des Teilnehmers A in dem Me bership-Vektor Me der anderen Teilnehmer B, C, D in dem verteilten System (vgl. Schritt -4)' in Figur 4), indem die entsprechende Bitstelle auf „0" gesetzt wird. Durch den fehlenden Membership- Eintrag des abgeschalteten Teilnehmers A erhält der Absender D des Abschalt-Vektors Ab die Bestätigung über den Erfolg seines Abschaltbefehls. Ein wiederholtes Setzen in dem Abschalt-Vektor Ab ist nicht mehr erforderlich (vgl. Schritt 5) in Figur 4). In dem Abschalt-Vektor Ab wird die dem Teilnehmer A entsprechende Bitstelle so oft gesetzt, bis eine Bestätigung des Abschaltbefehls vorliegt.
Bei dem Abschaltprotokoll aus Figur 5 erfolgt die Abschaltung- eines Teilnehmers A nur dann, wenn zum einen die in dem Abschalt-Vektor Ab gesetzte Bitstelle mit der Kennung des Teilnehmers A übereinstimmt und zum anderen zwischen den berechtigten Teilnehmern B, C, D Übereinstimmung betreffend die Abschaltung des Teilnehmers A herrscht, wobei alle drei Teilnehmer B, C, D in der lokalen Berechtigungsliste als Berechtigte zum Abschalten des Teilnehmers A eingetragen sind.
Um dies zu realisieren, müssen die Abschalt-Vektoren Ab der verschiedenen Teilnehmer B, C, D gesammelt werden. Der Abschalt-Vektor Ab eines bestimmten Teilnehmers B, C oder D darf nur dann gesammelt werden, wenn der Teilnehmer B, C oder D in dem Membership-Vektor Me des
Kommunikationsprotokolls als aktiv gekennzeichnet ist (vgl. Schritte 3 bis 5 in Figur 5) . Dadurch wird verhindert, dass eine Situation eintreten kann, bei der eine Abschaltung eines Teilnehmers A notwendig wäre aber einer der Teilnehmer B, C, D selbst nicht aktiv ist und damit die Abschaltung des Teilnehmers A verhindern kann, da der Abschaltbefehl des inaktiven Teilnehmers B, C oder D ehlt.
Nachdem alle berechtigten Teilnehmer B-, C, D ihre Abschaltvektoren AbB, AbC, AbD übermittelt haben, wird der Abstimmungsvorgang nach einem vorgebbaren Entscheidungsalgorithmus initiiert.' Für die Abstimmung wird im vorliegenden Fall die absolute Mehrheit der aktiven berechtigten Teilnehmer B, C, D gewählt. Ein anderer Entscheidungsalgorithmus, wie z. B. eine Zwei- aus Drei- Auswahl, kann ebenfalls implementiert werden. Die Wahl des anzuwendenden Entscheidungsalgorithmus kann mit der Konfiguration in dem Kommunikationscontroller S_l eingestellt werden, z. B. eine Auswahl einer absoluten Mehrheit, einer Zwei- aus Drei-Auswahl oder einer mindestens-Eins (at least one) -Semantik. In dem in Figur 5 dargestellten Ausführungsbeispiel wird- also der Teilnehmer A erst dann abgeschaltet, ■ wenn alle berechtigten Teilnehmer' B, C, D ein Abschalten des Teilnehmers A über ihre jeweilige Abschaltvektoren AbB, AbC, AbD fordern (vgl. Schritt 5) in Figur 5) . Der Kommunikationscontroller S_l besitzt den Status des Abschalt-Vektors Ab in der Software- Schnittstelle auf den aktuellen Stand (vgl. Schritt 5) in Figur 5 und SS__1 in Figur 3) . Der Kommunikationscontroller S_l setzt den Pegel zum Abschalten an dem vorgesehenen Anschlusspin in der Hardware-Schnittstelle, um die Abschaltung über die Freigabeschaltung FS_1 zu initiieren (Schritt 5) in Figur 5 und Signal F_l und Signal B in Figur 3) . Der Kommunikationscontroller S_l wechselt in einen passiven Zustand, d. h. er nimmt nicht mehr an der Kommunikation teil. Durch diese Maßnahme wird den anderen Teilnehmern B, C, D signalisiert, dass der gesamte Knoten umfassend das Steuergerät, die Aktorik, die Sensorik und den Kommunikationscontroller nicht mehr verfügbar ist. Dies bewirkt die Löschung des Teilnehmers A in dem Membership- Vektor Me der übrigen Teilnehmer B, C, D in dem verteilten System (vgl. Schritt 6) in Fig. 5). Durch den fehlenden Membership-Eintrag des abgeschalteten Teilnehmers A erhalten die Absender (Teilnehmer B, C, D) des Abschalt- Vektors Ab die Bestätigung über den Erfolg des Abschaltbefehls. Ein wiederholtes Setzen derjenigen Bitstelle in dem Abschalt-Vektor Ab, die dem Teilnehmer A entspricht, ist nicht mehr notwendig (vgl. Schritt 7) in Figur 5) . Jeder Absender Pro_m eines Abschalt-Vektors Ab setzt die dem Teilnehmer A entsprechende Bitstelle in seinem Abschalt-Vektor Ab so lange, bis die Bestätigung über die erfolgreiche Abschaltung des abzuschaltenden Teilnehmers A durch ein Fehlen 'des entsprechenden Teilnehmers A in dem Membership-Vektor Me übermittelt wird.

Claims

Ansprüche
1. Verfahren zum Betreiben eines verteilten sicherheitsrelevanten Systems, insbesondere eines X-by- Wire-Systems in einem Kraftfahrzeug, umfassend mindestens einen ersten Prozeßrechner (Pro_l) zur Ansteuerung einer Komponente (Akt__l) des Systems und mindestens einen weiteren Prozessrechner (Pro_m) , wobei die Prozessrechner 'Pro_l, Pro_m) jeweils über einen Kommunikationscontroller (S__l, S_m) an ein Kommunikationssystem (K_l) angeschlossen sind und die Funktionsfahigkeit des mindestens einen ersten Prozessrechners (Pro__l) durch den mindestens einen weiteren Prozessrechner (Pro_m) überprüft wird, gekennzeichnet durch die nachfolgenden Schritte:
mindestens einer der weiteren Prozessrechner (Pro_m) , der einen Fehler mindestens eines der ersten Prozessrechner (?ro_l) ermittelt hat, übermittelt eine Ansteuernachricht (Ab_m) über das Kommunikationssystem (K_l) zum Ansteuern des fehlerhaften ersten Prozessrechners (Pro_l) oder der von diesem angesteuerten Komponente (Akt_l);
- es -wird überprüft, ob der Absender der
Ansteuernachricht (Ab_m) berechtigt ist, den fehlerhaften ersten Prozessrechner (Pro_l) an usteuern; es wird überprüft, ob der Absender der Ansteuernachricht (Ab_m) an das Kommunikationssystem (K_l) angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem (K_l) beteiligt ist;
- in Abhängigkeit des Inhalts von Ansteuernachrichten (Ab__m) derjenigen Absender, die berechtigt sind, den fehlerhaften ersten Prozessrechner (Pro_l) anzusteuern, und die an das Kommunikationssystem (K_l) angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem (K_l) beteiligt sind, wird nach einem vorgebbaren Entscheidungsalgorithmus entschieden, wie der fehlerhafte erste Prozessrechner (Pro_l) und/oder die Komponente (Akt_l) 'anzusteuern sind; und
- der fehlerhafte erste Prozessrechner (Pro_l) und/oder die Komponente (Akt_l) werden dementsprechend angesteuert .
2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass durch die Ansteuernachricht ein- Abschalten des fehlerhaften ersten Prozessrechners (Pro_l) und/oder der Komponente (Akt_l) erzielt wird.
3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass in dem Kommunikationscontroller (S 1) des mindestens einen ersten Prozessrechners (Pro_l) eine lokale Berechtigungsliste (Be_l) vorgesehen ist, anhand der überprüft wird, ob der Absender der Ansteuernachricht (Ab_m) berechtigt ist, den fehlerhaften ersten Prozessrechner (Pro_l) anzusteuern, indem eine Kennung des Absenders der Ansteuernachricht (Ab_m) mit dem Inhalt der Berechtigungsliste (Be_l) verglichen wird.
4. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass in dem Kommunikationssystem (K_l) eine globale Teilnehmerliste (Me) vorgesehen ist, anhand der überprüft wird, ob der Absender der Ansteuernachricht (Ab_m) an das Kommunikationssystem (K_l) angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem (K_l) beteiligt ist, indem eine Kennung des Absenders der Ansteuernachricht (Ab_m) mit dem Inhalt der Teilnehmerliste (Me) verglichen wird.
5. Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass falls mehrere Ansteuernachrichten
(Ab_m) für den mindestens einen ersten Prozessrechner (Pro_l) vorliegen, in Abhängigkeit von dem Inhalt der Ansteuernachrichten (Ab_m) nach einer Mehrheitsentscheidung entschieden wird, wie der fehlerhafte erste Prozessrechner (Pro_l) und/oder die Komponente (Akt_l) anzusteuern sind.
6. Verfahren nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass eine erfolgreiche Ansteuerung des fehlerhaften ersten Prozessrechners (Pro_l) und/oder der Komponente (Akt_l) zumindest dem mindestens einen Absender der Ansteuernachricht (Ab_m) mitgeteilt wird.
7. Verfahren nach Anspruch 6, dadurch gekennzeichnet, dass die erfolgreiche Ansteuerung des fehlerhaften ersten Prozessrechners (Pro_l) und/oder der Komponente (Akt_l) allen Prozessrechnern (Pro_m) mitgeteilt wird, indem der fehlerhafte erste Prozessrechner (Pro_l) aus einer in dem Kommunikationssystem (K_l) vorgesehenen globalen Teilnehmerliste (Me) gestrichen wird, wobei in der Teilnehmerliste (Me) diejenigen Prozessrechner (Pro_l, Pro_m) aufgeführt sind, die an das Kommunikationssystem (K_l) angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem (K_l) beteiligt sind.
8. Verteiltes sicherheitsrelevantes System, insbesondere X-by-Wire-System in einem Kraftfahrzeug, umfassend mindestens einen ersten Prozessrechner (Pro_l) zur Ansteuerung einer Komponente (Akt_l) des Systems und mindestens einen weiteren Prozessrechner (Pro_m) , wobei die Prozessrechner (Pro_l, Pro_m) jeweils über einen Kommunikationscontroller (S__l, S__m) an ein Kommunikationssystem (K_l) angeschlossen sind und eine Überwachung der Funktionsfähigkeit des mindestens einen ersten Prozessrechners (Pro_l) durch den mindestens einen weiteren Prozessrechner (Pro_m) erfolgt, dadurch gekennzeichnet, dass
mindestens einer der weiteren Prozessrechner (Pro_m) Mittel zum Ermitteln eines Fehlers mindestens eines • der ersten Prozessrechner (Pro_l) und Mittel aufweist, um, falls der mindestens eine fehlerhafte erste
Prozessrechner (Pro_l) einen Fehler aufweist, eine Ansteuernachricht (Ab_m) zur Ansteuerung des fehlerhaften ersten Prozessrechners (Pro_l) und/oder der von diesem angesteuerten Komponente (Akt_l) über das Kommunikationssystem (K_l) zu übermitteln;
dem Kommunikationscontroller (S_l) des fehlerhaften ersten Prozessrechners (Pro_l) Informationen zur Verfügung stehen, ob der Absender der Ansteuernachricht (Ab_m) berechtigt ist, den fehlerhaften ersten Prozessrechner (Pro_l) anzusteuern;
dem Kommunikationscontroller (S_l) des fehlerhaften ersten Prozessrechners (Pro_l) Informationen zur Verfügung stehen, ob der Absender der Ansteuernachricht (Ab_m) an das Kommunikationssystem (K_l) angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem (K 1) beteiligt ist; der Kommunikationscontroller (S_l) des fehlerhaften ersten Prozessrechners (Pro_l) Mittel zum Entscheiden nach einem vorgebbaren Entscheidungsalgorithmus . aufweist, wie der fehlerhafte erste Prozessrechner (Pro_l) und/oder die Komponente (Akt_l) in
Abhängigkeit des Inhalts von Ansteuernachrichten (Ab__m) derjenigen Absender, die berechtigt sind, den fehlerhaften ersten Prozessrechner (Pro_l) anzusteuern, und die an das Kommunikationssystem (K_l) angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem (K_l) beteiligt sind, anzusteuern sind; und
der Kommunikationscontroller (S_l) des fehlerhaften ersten Prozessrechners (Pro_l) Mittel zum dementsprechenden Ansteuern des fehlerhaften ersten Prozessrechners (Pro_l) und/oder der Komponente (Akt_l) aufweist.
9. Verteiltes System nach Anspruch 8, dadurch, gekennzeichnet, dass die Informationen, ob der Absender der Ansteuernachricht (Ab_m) berechtigt ist, den fehlerhaften ersten Prozessrechner (Pro_l) anzusteuern, in Form einer in dem Kommunikationscontroller (S_l) des mindestens einen ersten Prozessrechners (Pro_l) vorgesehenen lokalen Berechtigungsliste (Be_l) zur Verfügung stehen.
10. Verteiltes System nach Anspruch 8 oder 9, dadurch gekennzeichnet, dass die Informationen, ob der Absender der Ansteuernachricht (Ab_m) an das Kommunikationssystem (K_l) angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem (K_l) beteiligt ist, in Form einer in dem Kommunikationssystem (K_l) vorgesehenen globalen Teilnehmerliste (Me) zur Verfügung stehen.
11. Kommunikationscontroller (S 1) zum Anschluss mindestens eines ersten Prozessrechners (Pro_l) und mindestens eines weiteren Prozessrechners (Pro_m) an ein Kommunikationssystem (K_l) eines verteilten sicherheitsrelevanten Systems, insbesondere eines X-by- Wire-Systems in einem Kraftfahrzeug, wobei der mindestens eine erste Prozessrechner (Pro_l) zur Ansteuerung einer Komponente (Akt_l) des verteilten Systems dient und auf dem Kommunikationscontroller (S_l) zur Realisierung einer Datenübertragung zwischen den Prozessrechnern (Pro_l, Pro_m) ) und dem Kommunikationssystem (K_l) ein
Kommunikationsprotokoll abläuft, dadurch gekennzeichnet, dass das Kommunikationsprotokoll um Mechanismen ergänzt ist,, die es dem Kommunikationscontroller (S_l) ermöglichen
zu prüfen, ob einer der weiteren Prozessrechner (Pro__m) , der eine Ansteuernachricht (Ab_m) zum Ansteuern mindestens eines ersten fehlerhaften Prozessrechners (Pro_l) und/oder der von diesem angesteuerten Komponente (Akt_l) über das Kommunikationssystem (K_l) übermittelt, an das Kommunikationssystem (K_l) angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem (K_l) beteiligt ist;
zu prüfen, ob der Absender der Ansteuernachricht (Ab_m) berechtigt ist, den fehlerhaften ersten Prozessrechner (Pro_l) anzusteuern;
nach einem vorgebbaren Entscheidungsalgorithmus zu entscheiden, wie der erste Prozessrechner (Pro_l) und/oder die Komponente (Akt_l) in Abhängigkeit des Inhalts von Ansteuernachrichten (Ab_m) derjenigen Absender, die berechtigt sind, den fehlerhaften ersten Prozessrechner (Pro_l) anzusteuern, und die an das Kommunikationssystem (K_l) angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem (K 1) beteiligt sind, anzusteuern sind; und
den ersten Prozessrechner (Pro_l) und/oder die Komponente (Akt_l) dementsprechend anzusteuern.
12. Kommunikationscontroller (S_l) nach Anspruch 11, dadurch gekennzeichnet, dass das Kommunikationsprotokoll um Mechanismen zur Ausführung eines Verfahrens nach einem der Ansprüche 2 bis 7 ergänzt ist.
13. Kommunikationsprotokoll für ein Kommunikationssystem (K_l) eines verteilten sicherheitsrelevanten Systems, insbesondere eines X-by-Wire-Systems in einem
Kraftfahrzeug, wobei das verteilte System mindestens einen ersten Prozessrechner (Pro_l) zur Ansteuerung einer Komponente (Akt_l) des verteilten Systems und mindestens einen weiteren Prozessrechner (Pro_m) umfasst und die Prozessrechner (Pro_l, Pro_m) jeweils über einen Kommunikationscontroller (S_l, S_m) an das Kommunikationssystem (K_l) angeschlossen sind, wobei das Kommunikationsprotokoll zur Realisierung einer Datenübertragung zwischen den Prozessrechnern (Pro_l, Pro_m) und dem Kommunikationssystem (K_l) auf den
Kommunikationscontrollern (S_l, S_m) abläuft, dadurch gekennzeichnet, dass das Kommunikationsprotokoll um Mechanismen ergänzt ist, um
zu prüfen, ob einer der weiteren Prozessrechner (Pro_m), der eine Ansteuernachricht (Ab_m) zum
Ansteuern mindestens eines ersten fehlerhaften Prozessrechners (Pro_l) und/oder der von diesem angesteuerten Komponente (Akt_l) über das Kommunikationssystem (K_l) übermittelt, an das Kommunikationssystem (K_l) angeschlossen und aktiv an der Kommunikation über das Kommuni kations system (K_l) beteiligt ist; zu prüfen, ob der Absender der Ansteuernachricht (Ab_m) berechtigt ist, den fehlerhaften ersten Prozessrechner (Pro_l) anzusteuern;
nach einem vorgebbaren Entscheidungsalgorithmus zu entscheiden, wie der erste Prozessrechner (Pro_l) und/oder die Komponente (Äkt_l) in Abhängigkeit des Inhalts von Ansteuernachrichten (Ab_m) derjenigen Absender, die berechtigt sind, den fehlerhaften ersten Prozessrechner (Pro_l) anzusteuern, und die an das Kommunikationssystem (K_l) angeschlossen und aktiv an der Kommunikation über das Kommunikationssystem (K__l) beteiligt sind, anzusteuern sind; und
den ersten Prozessrechner (Pro_l) und/oder die Komponente (Akt_l) dementsprechend anzusteuern.
14. Kommunikationsprotokoll nach Anspruch 13, dadurch gekennzeichnet, dass das Kommunikationsprotokoll um Mechanismen zur Ausführung eines Verfahrens nach einem der Ansprüche 2 bis 7 ergänzt ist.
PCT/DE2002/000915 2001-03-15 2002-03-14 Verfahren zum betreiben eines verteilten sicherheitsrelevanten systems WO2002075464A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2002574009A JP2004519060A (ja) 2001-03-15 2002-03-14 分配された安全上重要なシステムを駆動する方法
DE10291113T DE10291113D2 (de) 2001-03-15 2002-03-14 Verfahren zum Betreiben eines verteilten sicherheitsrelevanten Systems
EP02726060A EP1370914A1 (de) 2001-03-15 2002-03-14 Verfahren zum betreiben eines verteilten sicherheitsrelevanten systems

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE10112911.4 2001-03-15
DE10112911 2001-03-15

Publications (1)

Publication Number Publication Date
WO2002075464A1 true WO2002075464A1 (de) 2002-09-26

Family

ID=7677840

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/DE2002/000915 WO2002075464A1 (de) 2001-03-15 2002-03-14 Verfahren zum betreiben eines verteilten sicherheitsrelevanten systems

Country Status (5)

Country Link
US (1) US20030184158A1 (de)
EP (1) EP1370914A1 (de)
JP (1) JP2004519060A (de)
DE (2) DE10211279A1 (de)
WO (1) WO2002075464A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3492999A1 (de) * 2017-11-30 2019-06-05 Siemens Aktiengesellschaft Verfahren zum betrieb eines kommunikationssystems, kommunikationssystem und kommunikationsteilnehmer

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10248456A1 (de) * 2001-10-19 2003-06-18 Denso Corp Fahrzeugkommunikationssystem
DE10235527C1 (de) * 2002-08-03 2003-10-09 Daimler Chrysler Ag Vorrichtung und Verfahren zur redundanten Spannungsversorgung sicherheitsrelevanter Systeme
WO2005053223A2 (en) * 2003-11-19 2005-06-09 Honeywell International Inc. Coupling linear bus nodes to rings
DE102005018837A1 (de) * 2005-04-22 2006-10-26 Robert Bosch Gmbh Verfahren und Vorrichtung zur Synchronisation zweier Bussysteme sowie Anordnung aus zwei Bussystemen
DE102009005266A1 (de) 2009-01-20 2010-07-22 Continental Teves Ag & Co. Ohg Anbindung eines Kommunikationscontrollers in Sicherheitsarchitekturen
FR2944612A3 (fr) * 2009-04-15 2010-10-22 Renault Sas Architecture de commande electronique d'un vehicule automobile.
DE102010054188A1 (de) 2010-07-27 2012-02-02 Volkswagen Aktiengesellschaft Verfahren und Rechnerverbund zur Steuerung eines Elektromotors
DE102010039858A1 (de) 2010-08-27 2011-09-15 Robert Bosch Gmbh Watchdog-Funktion
DE102010039860A1 (de) 2010-08-27 2012-03-01 Robert Bosch Gmbh Komponentenüberwachung in einem elektrisch betriebenen Fahrzeug
DE102011118172A1 (de) 2011-11-10 2013-05-16 Volkswagen Aktiengesellschaft Notlaufbetrieb eines Elektromotors
US10112606B2 (en) 2016-01-22 2018-10-30 International Business Machines Corporation Scalable sensor fusion and autonomous x-by-wire control
US10269192B2 (en) 2017-04-07 2019-04-23 Airbiquity Inc. Technologies for verifying control system operation
DE102019207809A1 (de) * 2019-05-28 2020-12-03 Siemens Mobility GmbH Steueranlage und Verfahren zum Betreiben einer Steueranlage

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6002970A (en) * 1997-10-15 1999-12-14 International Business Machines Corp. Method and apparatus for interface dual modular redundancy
DE19826131A1 (de) * 1998-06-12 1999-12-16 Bosch Gmbh Robert Elektrisches Bremssystem für ein Kraftfahrzeug
WO2000005116A1 (en) * 1998-07-20 2000-02-03 Motorola Limited Fault-tolerant electronic braking system
WO2001014940A1 (de) * 1999-08-20 2001-03-01 Pilz Gmbh & Co. Vorrichtung zum steuern von sicherheitskritischen prozessen

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4022671A1 (de) * 1990-07-17 1992-01-23 Wabco Westinghouse Fahrzeug Elektronisches bremssystem fuer stassenfahrzeuge
DE4339570B4 (de) * 1993-11-19 2004-03-04 Robert Bosch Gmbh Elektronisches Bremssystem
DE19510525A1 (de) * 1995-03-23 1996-09-26 Bosch Gmbh Robert Verfahren und Vorrichtung zur Steuerung bzw. Regelung der Bremsanlage eines Fahrzeugs
US5924774A (en) * 1995-11-30 1999-07-20 Zeftron, Inc. Electronic pneumatic brake system
DE19742988C1 (de) * 1997-09-29 1999-01-28 Siemens Ag Bremsanlage für ein Kraftfahrzeug
US6748438B2 (en) * 1997-11-17 2004-06-08 International Business Machines Corporation Method and apparatus for accessing shared resources with asymmetric safety in a multiprocessing system
DE19800311A1 (de) * 1998-01-07 1999-07-08 Itt Mfg Enterprises Inc Elektronische, digitale Einrichtung
DE19840484A1 (de) * 1998-09-04 2000-03-09 Bosch Gmbh Robert Fahrzeugrechneranordnung
GB2345161A (en) * 1998-12-23 2000-06-28 Motorola Ltd Microprocessor module and method
US6212457B1 (en) * 1999-08-05 2001-04-03 Trw Inc. Mixed parallel and daisy chain bus architecture in a vehicle safety system
DE19937156A1 (de) * 1999-08-06 2001-02-08 Bosch Gmbh Robert Elektrisch gesteuertes, dezentrales Steuersystem in einem Fahrzeug
DE60011583T2 (de) * 1999-12-15 2004-11-04 Delphi Technologies, Inc., Troy Hardwaretopologien für elektrisch betätigte Bremssättel und Lenkmotor eines Sicherheitssystems
EP1257903A4 (de) * 2000-02-01 2004-10-13 Delphi Tech Inc Multimodul-control-by-wire-architektur
JP4727896B2 (ja) * 2001-06-27 2011-07-20 ローベルト ボッシュ ゲゼルシャフト ミット ベシュレンクテル ハフツング システムの機能性の監視方法,その監視装置,メモリ素子,コンピュータプログラム

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6002970A (en) * 1997-10-15 1999-12-14 International Business Machines Corp. Method and apparatus for interface dual modular redundancy
DE19826131A1 (de) * 1998-06-12 1999-12-16 Bosch Gmbh Robert Elektrisches Bremssystem für ein Kraftfahrzeug
WO2000005116A1 (en) * 1998-07-20 2000-02-03 Motorola Limited Fault-tolerant electronic braking system
WO2001014940A1 (de) * 1999-08-20 2001-03-01 Pilz Gmbh & Co. Vorrichtung zum steuern von sicherheitskritischen prozessen

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3492999A1 (de) * 2017-11-30 2019-06-05 Siemens Aktiengesellschaft Verfahren zum betrieb eines kommunikationssystems, kommunikationssystem und kommunikationsteilnehmer

Also Published As

Publication number Publication date
US20030184158A1 (en) 2003-10-02
DE10291113D2 (de) 2004-04-15
EP1370914A1 (de) 2003-12-17
JP2004519060A (ja) 2004-06-24
DE10211279A1 (de) 2002-09-26

Similar Documents

Publication Publication Date Title
DE102017209721B4 (de) Vorrichtung für die Steuerung eines sicherheitsrelevanten Vorganges, Verfahren zum Testen der Funktionsfähigkeit der Vorrichtung, sowie Kraftfahrzeug mit der Vorrichtung
EP0925674B1 (de) Verfahren zur kontrolle der verbindungen eines übertragungssystems und komponente zur durchführung des verfahrens
DE19634567B4 (de) Elektrisches Bremssystem
EP0979189B1 (de) Schaltungsanordnung für ein kraftfahrzeug-regelungssystem
EP1763454B1 (de) Redundantes datenbussystem
EP2176106B1 (de) Bremssystem für ein fahrzeug und verfahren zum betreiben eines bremssystems für ein fahrzeug
WO2002075464A1 (de) Verfahren zum betreiben eines verteilten sicherheitsrelevanten systems
DE102007036259A1 (de) Bremssystem für ein Fahrzeug und ein Verfahren zum Betreiben eines Bremssystems für ein Fahrzeug
EP1533673A2 (de) Steuerungssystem
EP3385934B1 (de) Vorrichtung für die steuerung eines sicherheitsrelevanten vorganges, verfahren zum testen der funktionsfähigkeit der vorrichtung, sowie kraftfahrzeug mit der vorrichtung
EP1615811B1 (de) Elektrisches, dezentrales bremssystem in einem fahrzeug
EP1401690A1 (de) Verfahren zur ansteuerung einer komponente eines verteilten sicherheitsrelevanten systems
EP1814765B1 (de) Verfahren und vorrichtung zur lenksäulenverriegelung
DE10236080A1 (de) Verfahren und Vorrichtung zur Steuerung von Betriebsabläufen, insbesondere in einem Fahrzeug
WO2011048145A1 (de) Automatisierungssystem und verfahren zum betrieb eines automatisierungssystems
DE102008029948B4 (de) Überwachungssystem
EP1962193B1 (de) Schaltungsvorrichtung und entsprechendes Verfahren zum Ansteuern einer Last
EP3871393B1 (de) Verfahren zur überwachung eines datenübertragungssystems, datenübertragungssystem und kraftfahrzeug
WO2006024447A1 (de) Energiemanagement auf der basis eines logischen rings
EP3096970B1 (de) Verfahren zum betrieb eines hochspannungsnetzes eines kraftfahrzeugs und kraftfahrzeug
EP1447830B1 (de) Schaltvorrichtung zur codierung unterschiedlicher Schaltzustände
EP4187858A1 (de) Eine sekundärsteuereinheit für ein fahrzeug mit einer primärsteuereinheit und einem datenübertragungsweg
WO2024061559A1 (de) Anhängernetzwerksystem zur datenkommunikation in einem anhängerfahrzeug sowie anhängerfahrzeug damit und verfahren dafür
DE102020107751A1 (de) Verfahren zur Arbitrierung von Signalen von Steuergeräten in einem redundanten System für autonomes Fahren
DE102022203853A1 (de) Verfahren und Vorrichtung zum Abbremsen eines Fahrzeugs bei Ausfall der Bremsensteuerung

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): AE AL AM AT AU AZ BA BB BG BR BY CA CH CN CU CZ DE DK EE ES FI GB GD GE GH GM HR HU ID IL IN IS JP KE KG KP KR KZ LC LK LR LS LT LU LV MD MG MK MN MW MX NO NZ PL PT RO RU SD SE SG SI SK SL TJ TM TR TT UA UG US UZ VN YU ZA ZW

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): GH GM KE LS MW MZ SD SL SZ TZ UG ZM ZW AM AZ BY KG KZ MD RU TJ TM AT BE CH CY DE DK ES FI FR GB GR IE IT LU MC NL PT SE TR BF BJ CF CG CI CM GA GN GQ GW ML MR NE SN TD TG

WWE Wipo information: entry into national phase

Ref document number: 2002726060

Country of ref document: EP

121 Ep: the epo has been informed by wipo that ep was designated in this application
WWE Wipo information: entry into national phase

Ref document number: 10276816

Country of ref document: US

WWP Wipo information: published in national office

Ref document number: 2002726060

Country of ref document: EP

REF Corresponds to

Ref document number: 10291113

Country of ref document: DE

Date of ref document: 20040415

Kind code of ref document: P

WWE Wipo information: entry into national phase

Ref document number: 10291113

Country of ref document: DE