[go: up one dir, main page]

DE10223880B4 - Verfahren zur gegenseitigen Überwachung von Komponenten eines dezentral verteilten Rechnersystems - Google Patents

Verfahren zur gegenseitigen Überwachung von Komponenten eines dezentral verteilten Rechnersystems Download PDF

Info

Publication number
DE10223880B4
DE10223880B4 DE10223880A DE10223880A DE10223880B4 DE 10223880 B4 DE10223880 B4 DE 10223880B4 DE 10223880 A DE10223880 A DE 10223880A DE 10223880 A DE10223880 A DE 10223880A DE 10223880 B4 DE10223880 B4 DE 10223880B4
Authority
DE
Germany
Prior art keywords
components
monitoring
monitored
computer system
results
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE10223880A
Other languages
English (en)
Other versions
DE10223880A1 (de
Inventor
Hans Heckmann
Reinhard Weiberle
Bernd Kesch
Peter Blessing
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE10223880A priority Critical patent/DE10223880B4/de
Priority to US10/446,296 priority patent/US7269762B2/en
Publication of DE10223880A1 publication Critical patent/DE10223880A1/de
Application granted granted Critical
Publication of DE10223880B4 publication Critical patent/DE10223880B4/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3065Monitoring arrangements determined by the means or processing involved in reporting the monitored data
    • G06F11/3072Monitoring arrangements determined by the means or processing involved in reporting the monitored data where the reporting involves data filtering, e.g. pattern matching, time or event triggered, adaptive or policy-based reporting
    • G06F11/3082Monitoring arrangements determined by the means or processing involved in reporting the monitored data where the reporting involves data filtering, e.g. pattern matching, time or event triggered, adaptive or policy-based reporting the data filtering being achieved by aggregating or compressing the monitored data
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T8/00Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force
    • B60T8/32Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration
    • B60T8/88Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration with failure responsive means, i.e. means for detecting and indicating faulty operation of the speed responsive control means
    • B60T8/885Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration with failure responsive means, i.e. means for detecting and indicating faulty operation of the speed responsive control means using electrical circuitry
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3006Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is distributed, e.g. networked systems, clusters, multiprocessor systems
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3013Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is an embedded system, i.e. a combination of hardware and software dedicated to perform a certain function in mobile devices, printers, automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3055Monitoring arrangements for monitoring the status of the computing system or of the computing system component, e.g. monitoring if the computing system is on, off, available, not available
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T2270/00Further aspects of brake control systems not otherwise provided for
    • B60T2270/40Failsafe aspects of brake control systems
    • B60T2270/413Plausibility monitoring, cross check, redundancy
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24033Failure, fault detection and isolation
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/31From computer integrated manufacturing till monitoring
    • G05B2219/31356Automatic fault detection and isolation
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Quality & Reliability (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Mechanical Engineering (AREA)
  • Transportation (AREA)
  • Hardware Redundancy (AREA)
  • Regulating Braking Force (AREA)

Abstract

Verfahren zur gegenseitigen Überwachung von Komponenten (RM_i) eines dezentral verteilten Rechnersystems (1) für eine sicherheitsrelevante Anwendung insbesondere in einem Kraftfahrzeug, wobei die Komponenten (RM_i) über mindestens ein Kommunikationssystem (4) miteinander in Verbindung stehen und mindestens eine der Komponenten (RM_i) überwacht wird, indem in mindestens zwei überwachenden Komponenten (RM_i) des Rechnersystems (1) eine gegenseitige Überwachungsfunktion (15) ausgeführt wird, die eine Ermittlung von Ergebnissen (E_j[S_i(t_x)], C_ij) in den überwachenden Komponenten (RM_i) umfasst, und indem die Ergebnisse (E_j[S_i(t_x)], C_ij) überprüft werden und zur Ermittlung eines Fehlers der überwachten Komponente (RM_i) eine Mehrheitsauswahl aus den Ergebnissen (E_j[S_i(t_x)], C_ij) getroffen wird, dadurch gekennzeichnet, dass die überwachte Komponente (RM_i) den überwachenden Komponenten (RM_i) übereinstimmende Eingangssignale für die Ermittlung der Ergebnisse (E_j[S_i(t_x)], C_ij) zur Verfügung stellt und dass sich im Rahmen der gegenseitigen Überwachungsfunktion (15) überwachende und überwachte Komponenten (RM_i) abwechseln, so dass nach einer bestimmten Überwachungszeit alle zu überwachenden Komponenten (RM_i) des Rechnersystems (1) mindestens einmal...

Description

  • Die vorliegende Erfindung betrifft ein Verfahren zur gegenseitigen Überwachung von Komponenten eines dezentral verteilten Rechnersystems für eine sicherheitsrelevante Anwendung insbesondere in einem Kraftfahrzeug. Die Komponenten stehen über mindestens ein Kommunikationssystem miteinander in Verbindung. Mindestens eine der Komponenten wird überwacht, indem in mindestens zwei überwachenden Komponenten des Rechnersystems eine gegenseitige Überwachungsfunktion ausgeführt wird, die eine Ermittlung von Ergebnissen in den überwachenden Komponenten umfasst, und indem die Ergebnisse überprüft werden und zur Ermittlung eines Fehlers der überwachten Komponente eine Mehrheitsauswahl aus den Ergebnissen getroffen wird.
  • Die Erfindung betrifft außerdem ein Computerprogramm zur Realisierung einer gegenseitigen Überwachung von Komponenten eines dezentral verteilten Rechnersystems für eine sicherheitsrelevante Anwendung insbesondere in einem Kraftfahrzeug. Das Computerprogramm ist auf einem Rechengerät, insbesondere auf einem Mikroprozessor, einer Komponente des Rechnersystems ablauffähig.
  • Die vorliegende Erfindung betrifft des weiteren ein Rechengerät für eine Komponente eines mehrere Komponenten umfassenden dezentral verteilten Rechnersystems für eine sicherheitsrelevante Anwendung insbesondere in einem Kraftfahrzeug. Die Komponenten stehen über mindestens ein Kommunikationssystem miteinander in Verbindung. Mindestens eine der Komponenten wird überwacht, indem in mindestens zwei überwachender Komponenten des Rechnersystems eine gegenseitige Überwachungsfunktion ausgeführt wird, die eine Ermittlung von Ergebnissen in den überwachenden Komponenten umfasst, und indem die Ergebnisse überprüft werden und zur Ermittlung eines Fehlers der überwachten Komponente eine Mehrheitsauswahl aus den Ergebnissen getroffen wird.
  • Schließlich betrifft die Erfindung auch ein mehrere Komponenten umfassendes, dezentral verteiltes Rechnersystem für eine sicherheitsrelevante Anwendung insbesondere in einem Kraftfahrzeug. Das Rechnersystem umfasst mindestens ein Kommunikationssystem, über das die Komponenten miteinander in Verbindung stehen. Mindestens eine der Komponenten wird überwacht, indem mindestens zwei überwachende Komponenten des Rechnersystems eine gegenseitige Überwachungsfunktion ausführen, die eine Ermittlung von Ergebnissen in den überwachenden Komponenten umfasst, und indem die Ergebnisse überprüft werden und zur Ermittlung eines Fehlers der überwachten Komponente eine Mehrheitsauswahl aus den Ergebnissen getroffen wird.
  • Aus der DE 39 30 075 A1 ist ein Verfahren zur gegenseitigen Überwachung von Komponenten eines dezentral verteilten Rechnersystems bekannt. Dabei stehen die Komponenten (Rechner) über ein Kommunikationssystem (Kommunikationsnetzwerk) miteinander in Verbindung. Mindestens eine der Komponenten wird überwacht, indem in N überwachenden Komponenten des Rechnersystems (Mehrrechnersystem) eine gegenseitige Überwachungsfunktion ausgeführt wird. Anhand identischer Datenfolgen werden in den N überwachenden Komponenten Ergebnisse ermittelt. Die Ergebnisse werden. überprüft, und zur Ermittlung eines Fehlers der überwachten Komponente wird eine Mehrheitsauswahl aus den Ergebnissen getroffen.
  • Das aus dieser Druckschrift bekannte Verfahren geht von mindestens einem Rechner aus, der eine bestimmungsgemäße Funktion erfüllen soll. Um sicherzustellen, dass dieser Rechner seine bestimmungsgemäße Funktion auch fehlerfrei ausführt, ist dieser Rechner mehrfach redundant ausgebildet und bildet zusammen mit den redundanten Rechnern das Mehrrechnersystem. Bei dem bekannten Überwachungsverfahren wird in erster Linie nur das Ergebnis des Rechners mit der bestimmungsgemäßen Funktion anhand der redundanten Rechner überprüft. Die Funktion des Rechners wird nur indirekt überprüft. Nachteilig ist bei dem bekannten Verfahren auch, dass es von einem Mehrrechnersystem ausgeht, in dem eine Vielzahl redundanter Rechner vorgesehen ist, um die Ergebnisse der Rechner mit den bestimmungsgemäßen Funktionen zu überwachen. Den redundanten Rechnern kommt ausschließlich eine Überwachungsfunktion der Rechner mit den bestimmungsgemäßen Funktionen zu. Dadurch ergibt sich ein äußerst komplexes Mehrrechnersystem, das aufwendig und kostspielig in der Planung, Realisierung und Wartung ist und deshalb sicherlich nicht für den Einsatz in einem Kraftfahrzeug in Frage kommt.
  • Aus der DE 198 26 130 A1 , der DE 198 26 131 A1 , der DE 198 26 132 A1 und der DE 198 61 144 A1 sind mehrere Komponenten umfassende, dezentral verteilte Rechnersysteme für eine elektronische Bremsanlage (Brake-by-Wire) in einem Kraftfahrzeug bekannt. Der Einsatz solcher Rechnersysteme und von Verfahren zur gegenseitigen Überwachung von Komponenten solcher Rechnersysteme sind jedoch nicht auf den Einsatz in Kraftfahrzeugen beschränkt. Vielmehr können sie für beliebige sicherheitsrelevante Anwendungen, bspw. in Land-, Schienen- oder Luftfahrzeugen, eingesetzt werden. Als sicherheitsrelevante Anwendungen werden solche Anwendungen bezeichnet, bei denen eine fehlerfreie Ausgabe von mindestens einer Prozessgröße unbedingt erforderlich ist.
  • Neben einer elektronischen Bremsanlage ist der Einsatz solcher Rechnersysteme in elektronischen Lenksystemen (Steer-by-Wire) oder anderen sog. X-by-Wire-Systemen denkbar, bei denen die Aufgabe einer mechanischen Verbindung ausschließlich von elektrischen und elektronischen Komponenten übernommen wird. Eine weitere typische Anwendung für das Rechnersystem der eingangs genannten Art in einem Kraftfahrzeug ist der Einsatz in einer Motorsteuerung zur nockenwellenfreien Betätigung von Einlass- und Auslassventilen.
  • Die aus den o. g. Druckschriften bekannte elektronische Bremsanlage weist Radbremsen mit einer elektromechanischen Betätigung auf. Zur Bereitstellung der Sollwerte für die einzelnen Radbremsen wird ein zentrales Steuergerät verwendet. Um einen zuverlässigen Betrieb des Steuergeräts und eine sichere Überwachung der Komponenten zu ermöglichen, ist das Steuergerät neben dem eigentlichen Rechengerät zur Berechnung der Sollwerte mit einem redundanten Rechengerät und einer zusätzlichen Überwachungseinheit ausgestattet. Diese schaltungstechnische Realisierung und eine gegenseitige Überwachungsstrategie der in dem Steuergerät enthaltenen Rechengeräte, die auf einer Frage-Antwort-Kommunikation aufbaut, ermöglichen eine sichere Bereitstellung der Sollgrößen für die Aktivierung der Radbremsen.
  • Das zentrale Steuergerät gibt die Sollgrößen über mindestens ein Kommunikationssystem an elektronische Steuereinheiten ab, die dezentral vor Ort in der Nähe der Radbremsen angeordnet sind. Diese Steuereinheiten bewirken eine Betätigung der Bremsbacken mittels Elektromotoren und eine Zuspannung der Bremsscheiben an den einzelnen Rädern in Abhängigkeit von den Sollwerten. Eine sichere Ansteuerung der Elektromotoren wird durch ein an jeder Steuereinheit zusätzlich angeordnetes Überwachungsmodul erreicht. Dieses erkennt mittels einer abgestimmten Frage-Antwort-Kommunikation potentielle Fehler in der überwachten Steuereinheit und betätigt ggf. einen Abschaltpfad.
  • Zusätzlich werden in den Steuereinheiten Selbsttestroutinen realisiert, die in gewissem Umfang eine Fehlererkennung ermöglichen. Diese Selbsttestroutinen können als interne Überwachungsfunktionen, die Fehler in der überwachten Steuereinheit erkennen, bezeichnet werden. Zur Sicherstellung der Betriebsfunktionalität der Steuereinheiten sind für die Versorgung der einzelnen elektrischen Komponenten zudem zwei voneinander unabhängige Energiequellen vorgesehen. Die einzelnen elektrischen Komponenten werden entweder von beiden Energiequellen oder von jeweils nur einer Energiequelle versorgt, um bei Ausfall einer Energiequelle zumindest einen teilweisen Betrieb der elektrischen Bremsanlage aufrechtzuerhalten.
  • Als besonders nachteilig bei den bekannten Rechnersystemen und bei dem bekannten Verfahren zur gegenseitigen Überwachung von Komponenten der Rechnersysteme hat es sich erwiesen, dass ein relativ hoher hardware- und softwaremäßiger Aufwand betrieben werden muss, um die hohen Sicherheitsanforderungen zu erfüllen. Andererseits ist es aus verständlichen Gründen nicht ohne Weiteres möglich, bei sicherheitsrelevanten Anwendungen die Sicherheitsanforderungen einfach zu reduzieren.
    •
  • Der vorliegenden Erfindung liegt die Aufgabe zugrunde, die Überwachung von Komponenten eines dezentral verteilten Rechnersystems für eine sicherheitsrelevante Anwendung unter Beibehaltung bestehender Sicherheitsanforderungen mit einem möglichst geringen Aufwand zu realisieren.
  • Zur Lösung dieser Aufgabe schlägt die vorliegende Erfindung ausgehend von dem Verfahren der eingangs genannten Art vor, dass die überwachte Komponente den überwachenden Komponenten übereinstimmende Eingangssignale für die Ermittlung der Ergebnisse zur Verfügung stellt und dass sich im Rahmen der gegenseitigen Überwachungsfunktion überwachende und überwachte Komponenten abwechseln, so dass nach einer bestimmten Überwachungszeit alle zu überwachenden Komponenten des Rechnersystems mindestens einmal überwacht worden sind.
  • Vorteile der Erfindung
  • Erfindungsgemäß wird also vorgeschlagen, dass in einem Rechnersystem mit mehreren dezentral verteilten Komponenten, die jeweils eine bestimmungsgemäße Funktion haben, die Überwachung der Komponenten reihum durch die bereits vorhandenen Komponenten selbst erfolgt. Auf den Einsatz zusätzlicher, redundanter Komponenten kann somit verzichtet werden. Statt dessen wird in dem Rechnersystem zunächst mindestens eine der Komponenten als überwachte Komponente definiert und von mindestens zwei überwachenden Komponenten überwacht. Dazu beaufschlagt die überwachte Komponente die überwachenden Komponenten mit übereinstimmenden Eingangssignalen. Die überwachenden Komponenten ermitteln anhand dieser Eingangssignale Ergebnisse, die dann überprüft werden. Zur Ermittlung eines Fehlers der überwachten Komponenten wird eine Mehrheitsauswahl aus den Ergebnissen getroffen. Danach wird eine andere Komponente des Rechnersystems als überwachte Komponente definiert, die den nun als überwachenden Komponenten arbeitenden Komponenten ihrerseits übereinstimmende Eingangssignale zur Verfügung stellt. So wechseln sich während des Betriebs des Rechnersystems überwachte und überwachende Komponenten reihum ab.
  • In mehreren Komponenten des Rechnersystems, vorzugsweise in allen Komponenten des Rechnersystems, ist jeweils eine gegenseitige Überwachungsfunktion vorgesehen. Mit Hilfe der auf einer Komponente ablaufenden gegenseitigen Überwachungsfunktion kann das ordnungsgemäße Arbeiten der übrigen Komponenten des Rechnersystems überprüft werden. Vorzugsweise überwachen jeweils mehrere Komponenten die ordnungsgemäße Funktion einer Komponente. Im Anschluss daran werden nacheinander auch die übrigen Komponenten des Rechnersystems überwacht. Im Rahmen der gegenseitigen Überwachung wechseln sich also überwachende und überwachte Komponenten ab, so dass nach einer bestimmten Überwachungszeit alle zu überwachenden Komponenten auch tatsächlich mindestens einmal überwacht worden sind.
  • Vorzugsweise überprüfen immer mehrere Komponenten das ordnungsgemäße Arbeiten einer Komponente des Rechnersystems. Wenn die überwachte und die überwachenden Komponenten als Ergebnis einer bestimmten Berechnung alle das gleiche Ergebnis liefern, ist ein ordnungsgemäßes Arbeiten der überwachten Komponente sichergestellt. Relevanter wird die Detektion einer fehlerhaften Komponente dann, wenn die überwachte und/oder eine oder mehrere der überwachenden Komponenten unterschiedliche Ergebnisse liefern. Dann müssen die Ergebnisse der Komponenten derart verarbeitet werden, dass festgestellt werden kann, welche Ergebnisse richtig und welche falsch sind bzw. welche Komponenten fehlerfrei arbeiten und welche Komponenten einen Fehler aufweisen. Zu diesem Zweck werden die von den überwachenden Komponenten ermittelten Ergebnisse dahingehend überprüft, dass eine Mehrheitsauswahl aus den Ergebnissen getroffen wird, um die fehlerhafte Komponente zu detektieren. Um ein möglichst zuverlässiges Überwachungsergebnis zu erhalten, werden bei der Entscheidung über das Vorliegen eines Fehlers einer Komponente sowohl das Ergebnis der internen Überwachungsfunktion der Komponenten als auch die Ergebnisse der gegenseitigen Überwachungsfunktionen berücksichtigt.
  • Es ist damit zu rechnen, dass in Zukunft die Zahl der dezentral verteilten Rechnersysteme für sicherheitsrelevante Anwendungen insbesondere in Kraftfahrzeugen deutlich zunehmen wird. Aus diesem Grund kommt der vorliegenden Erfindung eine besonders große Bedeutung zu, da durch die Erfindung ohne Sicherheitseinbußen hohe Sicherheitsanforderungen für verteilte Rechnersysteme mit einem deutlich verringerten Aufwand erfüllt werden können. Dadurch können zum einen Kosten bei der Projektierung und Herstellung solcher Rechnersysteme eingespart werden. Zum anderen können aber auch – was bei den hier betrachteten sicherheitsrelevanten Anwendungen noch wichtiger ist – die Überwachungsabläufe zur Überwachung eines fehlerfreien Betriebs der Komponenten des Rechnersystems wesentlich einfacher und damit auch transparenter realisiert werden. Dadurch kann die Projektierung und Realisierung der Überwachungsfunktionen von Komponenten eines dezentral verteilten Rechnersystems vereinfacht werden und die Fehleranfälligkeit des Überwachungsverfahrens aufgrund eines fehlerhaften Entwurfs oder einer fehlerhaften Realisierung kann deutlich verringert werden.
  • Gemäß einer vorteilhaften Weiterbildung der vorliegenden Erfindung wird vorgeschlagen, dass in den Komponenten jeweils eine interne Überwachungsfunktion, die Fehler in der Komponente erkennt, ausgeführt wird und sowohl das Ergebnis der internen Überwachungsfunktion als auch die Ergebnisse der gegenseitigen Überwachungsfunktionen bei einer Entscheidung über das Vorliegen eines Fehlers einer Komponente berücksichtigt werden. Bei dem erfindungsgemäßen Verfahren verfügen mehrere der Komponenten des Rechnersystems, vorzugsweise alle Komponenten des Rechnersystems, über eine interne Überwachungsfunktion. Das erfindungsgemäße Verfahren wird insbesondere in Rechnersystemen eingesetzt, die über mehrere gleichartige Komponenten verfügen. Gleichartige Komponenten können bspw. Radmodule einer elektronischen Bremsanlage oder einer elektronischen Lenkung, Ventilmodule einer Motorsteuerung zur nockenwellenfreien Betätigung von Einlass- und Auslassventilen oder ähnliches sein.
  • Die interne Überwachungsfunktion erkennt Fehler in der überwachten Komponente, vorzugsweise in der Hardware eines Rechengeräts, insbesondere eines Mikroprozessors, der überwachten Komponente. Die interne Überwachungsfunktion kann auf unterschiedliche Weise realisiert sein, bspw. mittels eines Computerprogramms oder eines Programmmoduls, welches bestimmte Funktionen der Komponente, vorzugsweise des Rechengeräts der Komponente, überprüft.
  • Gemäß einer bevorzugten Ausführungsform der Erfindung wird vorgeschlagen, dass die interne Überwachungsfunktion die Fehler in der überwachten Komponente durch eine Überprüfung von Grundoperationen eines Befehlssatzes eines Rechengeräts, insbesondere eines Mikroprozessors, der Komponente erkennt. Grundoperationen, die im Rahmen der internen Überwachungsfunktion überwacht werden, sind bspw. Addition, Multiplikation, Shift-Funktion usw.
  • Gemäß einer weiteren bevorzugten Ausführungsform der vorliegenden Erfindung wird vorgeschlagen, dass die Komponenten Eingangssignale von externen Einheiten, insbesondere von Sensoren, empfangen und weiterverarbeiten und dass im Rahmen der internen Überwachungsfunktion auch die externen Einheiten der überwachten Komponente überwacht werden. Als Grundlage zur Überwachung der externen Einheiten dient bspw. eine Plausibilitätsprüfung oder eine Gradientenüberwachung der von den Sensoren empfangenen Signale.
  • Gemäß noch einer weiteren bevorzugten Ausführungsform der vorliegenden Erfindung wird vorgeschlagen, dass die von den überwachenden Komponenten ermittelten Ergebnisse mittels Modellrechnungen überprüft werden. Typische Beispiele für eine Modellrechnung am Beispiel eines elektronischen Bremssystems sind eine einfache Berechnung des Schlupfes aufgrund von Drehzahlsignalen, eine Berechnung der Referenzgeschwindigkeit aus Drehzahlsignalen oder eine Berechnung einer Bremskraftverteilung aus vorhandenen Signalen.
  • Vorteilhafterweise werden den überwachenden Komponenten von der überwachten Komponente ausgewählte Prozessdaten als Eingangssignale zur Berechnung der Ergebnisse zur Verfügung gestellt. Die Ermittlung der Ergebnisse in den Komponenten erfolgt durch Berechnungen anhand von ausgewählten Prozessdaten, die jeweils von einer Komponente den übrigen Komponenten zur Verfügung gestellt werden. Die ausgewählten Prozessdaten werden vorzugsweise abwechselnd von der jeweils einen Komponente den übrigen Komponenten zur Verfügung gestellt. Nach und nach stellen also alle Komponenten des Rechensystems den übrigen Komponenten Prozessdaten zur Verfügung, welche die Grundlage für die Modellrechnungen bilden. Die ausgewählten Prozessdaten werden von der jeweils einen Komponente über das Kommunikationssystem den übrigen Komponenten zur Verfügung gestellt.
  • Vorteilhafterweise werden die Eingangssignale den überwachenden Komponenten über das Kommunikationssystem von der überwachten Komponente zur Verfügung gestellt.
  • Gemäß noch einer weiteren bevorzugten Ausführungsform der vorliegenden Erfindung wird vorgeschlagen, dass den überwachenden Komponenten von der überwachten Komponente im Rahmen einer Frage-Antwort-Kommunikation vorgebbare Fragen als Eingangssignale zur Verfügung gestellt werden und dass zur Berechnung der Ergebnisse Antworten auf die Fragen in den überwachenden Komponenten ermittelt werden. Die Ermittlung der Ergebnisse in den Komponenten erfolgt also durch Berechnung von Antworten auf eine vorgebbare Frage im Rahmen einer Frage- Antwort-Kommunikation, wobei die Frager. jeweils von einer Komponente den übrigen Komponenten zur Verfügung gestellt werden. Gemäß dieser Ausführungsform werden also keine Prozessdaten, sondern Fragen bereitgestellt. Zu diesem Zweck ist in jeder Komponente ein Satz verschiedener Fragen abgespeichert. Zu jeder Frage ist in den Komponenten zudem die richtige Antwort abgespeichert. Im Rahmen der Frage-Antwort-Kommunikation sendet eine Komponente zu einem vorgebbaren Zeitpunkt eine Frage an die übrigen Komponenten. Die Frage ist von der überwachten Komponente und von den übrigen überwachenden Komponenten innerhalb eines vorgebbaren Zeitintervalls richtig zu beantworten. Für eine richtige Beantwortung einer Frage müssen verschiedene Teilantworten gebildet werden, die sich z. B. aus einem korrekten Durchlauf von sicherheitsrelevanten Programmteilen mit einem vorgebbaren Datensatz oder aus einem fehlerfreien Ablauf der Programme für einen Funktionstest und einen Befehlstest für ein Rechengerät einer Komponente ergeben. Die Teilantworten werden in jeder Komponente zu einer Gesamtantwort zusammengefasst, die als Antwort auf die Frage an die überwachende Komponente zurückgegeben wird.
  • Vorteilhafterweise werden die Fragen abwechselnd von der jeweils einen Komponente den übrigen Komponenten zur Verfügung gestellt. Dadurch wird sichergestellt, dass jede Komponente des Rechnersystems in regelmäßigen zeitlichen Abständen überwacht wird. Vorzugsweise werden die Fragen von der jeweils einen Komponente über das Kommunikationssystem den übrigen Komponenten zur Verfügung gestellt. Ebenso werden die Antworten auf die Fragen von den Komponenten vorzugsweise über das Kommunikationssystem an die Komponente übermittelt, welche die Fragen stellt.
  • Von besonderer Bedeutung ist die Realisierung des erfindungsgemäßen Verfahrens in der Form eines Computerprogramms, das auf einem Rechengerät, insbesondere auf einem Mikroprozessor, ablauffähig und zur Ausführung des erfindungsgemäßen Verfahrens programmiert ist. In diesem Fall wird also die Erfindung durch ein Computerprogramm realisiert, so dass dieses Computerprogramm in gleicher Weise die Erfindung darstellt wie das Verfahren, zu dessen Ausführung das Computerprogramm geeignet ist. Besonders bevorzugt ist dabei, wenn das Computerprogramm auf einem Speicherelement, insbesondere auf einem Read-Only-Memory, einem Random-Access-Memory oder auf einem Flash-Memory abgespeichert ist.
  • Als eine weitere Lösung der Aufgabe der vorliegenden Erfindung wird ausgehend von dem Rechengerät für ein dezentral verteiltes Rechnersystem der eingangs genannten Art vorgeschlagen, dass das Rechengerät der überwachten Komponente diese veranlasst, den überwachenden Komponenten übereinstimmende Eingangssignale für die Ermittlung der Ergebnisse zur Verfügung zu stellen, und dass das Rechengerät der Komponente mit Rechengeräten anderer Komponenten des Rechnersystems derart zusammenwirkt, dass sich im Rahmen der gegenseitigen Überwachungsfunktion überwachende und überwachte Komponenten abwechseln, so dass nach einer bestimmten Überwachungszeit alle zu überwachenden Komponenten des Rechnersystems (1) mindestens einmal überwacht worden sind.
  • Gemäß einer vorteilhaften Weiterbildung der vorliegenden Erfindung wird vorgeschlagen, dass das Rechengerät Mittel zur Ausführung des erfindungsgemäßen Verfahrens aufweist.
  • Als noch eine weitere Lösung der Aufgabe der vorliegenden Erfindung wird ausgehend von dem dezentral verteilten Rechnersystem der eingangs genannten Art vorgeschlagen, dass die überwachte Komponente den überwachenden Komponenten übereinstimmende Eingangssignale für die Ermittlung der Ergebnisse zur Verfügung stellt und dass sich im Rahmen der gegenseitigen Überwachungsfunktion überwachende und überwachte Komponenten abwechseln, so dass nach einer bestimmten Überwachungszeit alle zu überwachenden Komponenten des Rechnersystems mindestens einmal Überwacht worden sind.
  • Gemäß einer vorteilhaften Weiterbildung der vorliegenden Erfindung wird vorgeschlagen, dass das Rechnersystem Mittel zur Ausführung des erfindungsgemäßen Verfahrens aufweist.
  • Zeichnungen
  • Weitere Merkmale, Anwendungsmöglichkeiten und Vorteile der Erfindung ergeben sich aus der nachfolgenden Beschreibung von Ausführungsbeispielen der Erfindung, die in der Zeichnung dargestellt sind. Dabei bilden alle beschriebenen oder dargestellten Merkmale für sich oder in beliebiger Kombination den Gegenstand der Erfindung, unabhängig von ihrer Zusammenfassung in den Patentansprüchen oder deren Rückbeziehung sowie unabhängig von ihrer Formulierung bzw. Darstellung in der Beschreibung bzw. in. der Zeichnung. Es zeigen:
  • 1 ein erfindungsgemäßes verteiltes dezentrales Rechnersystem am Beispiel einer elektrischen Bremsanlage gemäß einer ersten bevorzugten Ausführungsform;
  • 2 ein erfindungsgemäßes dezentral verteiltes Rechnersystem am Beispiel einer elektrischen Bremsanlage gemäß einem zweiten bevorzugten Ausführungsbeispiel;
  • 3 eine Komponente eines aus dem Stand der Technik bekannten dezentral verteilten Rechnersystems am Beispiel eines Radmoduls einer elektrischen Bremsanlage;
  • 4 eine Komponente eines erfindungsgemäßen dezentral verteilten Rechnersystems am Beispiel eines Radmoduls einer elektrischen Bremsanlage; und
  • 5 eine Tabelle zur Verdeutlichung des Ablaufs der gegenseitigen Überwachung mit ausgewählten Prozessdaten; und
  • 6 eine Tabelle zur Verdeutlichung des Ablaufs der gegenseitigen Überwachung mit einer Frage-Antwort-Kommunikation.
  • Beschreibung der Ausführungsbeispiele
  • Die vorliegende Erfindung betrifft ein Verfahren zur gegenseitigen Überwachung der Komponenten eines dezentral verteilten Rechnersystems. Diese gegenseitige Überwachung ist insbesondere bei sicherheitsrelevanten Anwendungen von Bedeutung, d. h. bei Systemen, in denen eine fehlerfreie Ausgabe von mindestens einer Prozessgröße erforderlich ist. Eine typische Anwendung ist in Kraftfahrzeugen für elektrische Bremsanlagen (Brake-by-Wire) gegeben. Die nachfolgenden Ausführungen beziehen sich auf eine elektrische Bremsanlage, bei der ein dezentral verteiltes Rechnersystem eingesetzt wird. Die vorliegende Erfindung ist aber nicht auf solche elektrische Bremsanlagen beschränkt.
  • Die Struktur eines erfindungsgemäßen elektrischen Rechnersystems ist in 1 am Beispiel einer elektrischen Bremsanlage dargestellt. Das Rechnersystem 1 umfasst ein Pedalmodul (PM2), in dem über Sensoren 3 der Wunsch eines Fahrers des Kraftfahrzeugs sowohl bezüglich einer Betriebsbremsung wie auch bezüglich einer Park- bzw. Feststellbremsung erfasst wird. Aus dem erfassten Fahrerwunsch werden Führungsgrößen (Sollwerte) für eine Regelung der Bremskräfte berechnet und über ein Kommunikationssystem 4, das als ein sicheres redundantes Bussystem ausgebildet ist, übertragen. Das Pedalmodul 2 ist mit zwei oder drei unabhängigen Rechengeräten realisiert und enthält zudem eine redundante Komponente zur Signalerfassung.
  • Die Komponenten des in 1 dargestellten Rechnersystems 1 sind als Radmodule RM_1 – RM_4 5154 ausgebildet. In den Radmodulen 5154 werden Stellsignale für elektrische Aktoren 6164 zur Regelung der Bremskräfte bzw. der Bremsmomente für die einzelnen Räder des Kraftfahrzeugs berechnet und an die Aktoren 6164 ausgegeben. Hierzu werden in den Radmodulen 5154 die erforderlichen Signalwerte von Sensoren 7174, wie bspw. Zuspannkraft oder Bremsmoment, Drehwinkel oder Position des elektrischen Bremsstellers 61 – 64 erfasst und verarbeitet. In einem Verarbeitungsmodul VM8 werden übergeordnete Bremsfunktionalitäten wie bspw. Antiblockiersystem (ABS) oder elektronisches Stabilitätsprogramm (ESP) realisiert.
  • Im Unterschied zu dem in 1 dargestellten Rechnersystem, wo die Sensoren 7174 die Sensorsignale lokal erfassen und direkt an die Radmodule 5154 weiterleiten, stehen bei dem Rechnersystem 1 aus 2 die erfassten Sensorsignale über das Kommunikationssystem 4 global zur Verfügung. Ebenso sind die Aktoren 6164 über das Kommunikationssystem 4 global ansteuerbar. Die in 2 dargestellte Ausführungsform des Rechnersystems 1 hat den Vorteil, dass im Falle eines Defekts eines der Radmodule 5154 dieses aus Sicherheitsgründen nicht einfach abgeschaltet wird, sondern dass ein beliebig anderes intaktes Radmodul die Funktion des defekten Radmoduls übernimmt und anhand von Sensorsignalen des dem defekten Radmodul zugeordneten Sensors Ansteuersignale für die dem defekten Radmodul zugeordneten Aktoren berechnet und zur Ansteuerung des Aktors über das Kommunikationssystem 4 an diesen weiterleitet.
  • In 3 ist ein Radmodul (RM5) einer aus dem Stand der Technik bekannten elektrischen Bremsanlage dargestellt. Das Radmodul 5 weist ein dezentrales Rechengerät 9, das insbesondere als ein Mikroprozessor ausgebildet ist, zur Ausführung der bestimmungsgemäßen Funktion des Radmoduls 5 auf. Die bestimmungsgemäße Funktion des Radmoduls 5 besteht – wie oben bereits erläutert – im Wesentlichen darin, Sensorsignale von einem Sensor 7 zu erfassen, zu verarbeiten und ein Ansteuersignal zur Ansteuerung eines Aktors 6 zu generieren und an diesen weiterzuleiten. Zur Überwachung des Rechengeräts 9 ist bei dem aus dem Stand der Technik bekannten Radmodul 5 ein zusätzliches Überwachungsmodul 10 erforderlich, welches in einer Frage-Antwort-Kommunikation und unter Einbeziehung eines jeweils zugeordneten Abschaltpfades beim Auftreten eines Fehlers in einem der Radmodule 5 eine sichere Abschaltung des fehlerbehafteten Radmoduls 5 ermöglicht. Das Überwachungsmodul 10 umfasst ein weiteres Rechengerät 11, welches im Wesentlichen die gleiche Berechnung wie das Rechengerät 9 ausführt. Das Rechengerät 11 kann auch eine Einheit mit dem Rechengerät 9 bilden, wobei die funktionale Aufteilung dieselbe bleibt, wie oben beschrieben. Die im Rahmen der Ausführung der bestimmungsgemäßen Funktion des Radmoduls 5 berechneten Ergebnisse des Rechengeräts 9 und des Rechengeräts 11 werden in dem Rechengerät 11 miteinander verglichen. Sobald eine Abweichung der Ergebnisse der Rechengeräte 9 und 11 vorliegt, wird das Radmodul 5 aus Sicherheitsgründen abgeschaltet. Zusätzlich ist ein weiterer Rechner 12 für eine Frage-Antwort-Kommunikation zur Überwachung der Funktion des Rechengeräts 11 vorgesehen. Der Rechner 12 stellt dem Rechengerät 11 ausgewählte Fragen, die von einem Bereich 13 des Rechengeräts 11 beantwortet werden. Das von dem Rechengerät 9 berechnete Ansteuersignal für die Aktoren 6 wird nur dann an diese weitergeleitet, wenn das Rechengerät innerhalb eines vorgebbaren Zeitintervalls die richtige Antwort auf die von dem Rechner 12 gestellte Frage liefert. Dieses zusätzliche Überwachungsmodul kann bei der erfindungsgemäß vorgeschlagenen gegenseitigen Überwachung der Radmodule entfallen.
  • In 4 ist ein Radmodul 5 eines Rechnersystems 1 gemäß der vorliegenden Erfindung dargestellt. Bei dem Radmodul 5 des erfindungsgemäßen Rechnersystems 1 entfällt das gesamte in 3 dargestellte Überwachungsmodul 10. Es ist lediglich ein Rechengerät 9 vorgesehen, um die bestimmungsgemäße Funktion des Radmoduls 5 auszuführen. Ein Bereich des Rechengeräts 9 dient zur Ausführung einer internen Überwachungsfunktion 14 und ein weiterer Bereich dient zur Ausführung einer gegenseitigen Überwachungsfunktion 15. Die interne Überwachungsfunktion und die gegenseitige Überwachungsfunktion 15 werden nachfolgend näher erläutert. Die Sensoren 7 und die Aktoren 6 stehen entweder unmittelbar oder mittelbar über das Kommunikationssystem 4 mit dem Radmodul 5 in Verbindung.
  • Jedes Rechengerät 9 eines Radmoduls 5 beinhaltet eine interne Überwachungsfunktion 14, die Fehler einer zugehörigen Rechnerhardware 9 und der Sensorik 7 erkennt. Die Überwachung der Rechnerhardware 9 geschieht durch Anwendung von Computerprogrammen zur Überprüfung von Grundoperationen eines Rechnerbefehlssatzes des Rechengeräts 9, wie bspw. Addition, Multiplikation, Shift-Funktion und andere. Als Grundlage der Überwachung der Sensorik 7 dient bspw. eine Plausibilitätsüberprüfung oder eine Gradientenüberwachung der empfangenen Sensorsignale. Das Ergebnis der internen Überwachung 14 eines Radmoduls RM_i wird in einer logischen Größe B_i abgebildet. Für diese logische Größe B_i gilt:
    Figure 00180001
  • Da die internen Überwachungsfunktionen 14 nicht alle in den Radmodulen 5 auftretenden Fehler erkennen können, wird eine weitere Überwachungsfunktion, die gegenseitige Überwachungsfunktion 15, eingeführt. Im Folgenden werden zwei verschiedene Ausführungsformen der gegenseitigen Überwachung 15 näher beschrieben.
  • Zunächst wird eine gegenseitige Überwachungsfunktion anhand von ausgewählten Prozessdaten beschrieben. In der Regel sind im Betrieb der Radmodule 5 zu jedem Zeitpunkt gegenseitige Überwachungsfunktionen 15 in drei der vier Radmodule 5 aktiv. Über Modellrechnungen überprüfen die an der Überwachung beteiligten Radmodule 5 ihre Ergebnisse gegenseitig und können somit eine Mehrheitsauswahl (2 aus 3) treffen. Diese Berechnungen werden mit ausgewählten Prozessdaten durchgeführt, die abwechselnd von jeweils einem Radmodul 5 den übrigen Radmodulen über das Kommunikationssystem 4 bereitgestellt werden.
  • Die von einem Radmodul RM_i zu einem Zeitpunkt T_x bereitgestellten Prozessdaten werden mit S_i (t_x) bezeichnet. Das Ergebnis einer Modellrechnung, die in einem Radmodul RM_j mit den Prozessdaten S_i (t_x) durchgeführt wird, wird mit E_j [S_i (t_x)], mit i = 1 ... 4 bezeichnet. Die zur Ermittlung des Ergebnisses E_j [S_i (t_x)] erforderlichen Modellrechnungen sind repräsentativ bezüglich der erforderlichen Berechnungen, die für die bestimmungsgemäße Funktion des Radmoduls RM_i hotwendig sind, d. h. in diesen Modellrechnungen wird der gleiche Befehlsvorrat des Rechengeräts 9 verwendet, ist der gleiche Programmablauf gegeben und werden die gleichen Speicherbereiche angesprochen. Bezüglich des strukturellen Aufbaus der Prozessdaten S_i (t_x) sind drei Varianten denkbar:
    • (a) die Prozessdaten beinhalten sowohl aktualisierte Daten, die über die Sensorik 7 des Radmoduls 5 erfasst wurden, als auch prozesstypische aufbereitete Rechengrößen.
    • (b) Die Prozessdaten enthalten speziell vorbereitete und abgespeicherte Werte, die bei der Realisierung der bestimmungsgemäßen Funktion innerhalb des Radmoduls 5 repräsentativ als Sensorwerte bzw. als aufbereitete Rechengrößen auftreten.
    • (c) Die Prozessdaten werden zu einem Zeitpunkt t_x zufällig aus einem Wertebereich ausgewählt, der bei der Aufarbeitung der bestimmungsgemäßen Funktion des Radmoduls 5 im Betrieb typischerweise auftritt.
  • Typische Beispiele für die Modellrechnung E_j [S_i (t_x)] sind:
    • – Berechnung eines Radschlupfes aufgrund von Drehzahlsignalen,
    • – Berechnung einer Referenzgeschwindigkeit aus Drehzahlsignalen,
    • – Berechnung einer Bremskraftverteilung aus vorhandenen Signalen.
  • Die Anzahl der an der Überwachung beteiligten Module beschränkt sich in einer bevorzugten Realisierungsvariante auf die Radmodule 5. Davon abweichend ist es denkbar, dass außer den Radmodulen 5 noch weitere Module des Rechnersystems 1 an der Überwachung beteiligt sind. Insbesondere könnte auch das Pedalmodul PM2 und/oder das Verarbeitungsmodul VM8 in die Überwachung eingebunden werden oder zumindest bei Ausfall eines Radmoduls 5 dessen Berechnungen für die gegenseitige Überwachungsfunktion 15 übernehmen. Die Einbindung des Pedalmoduls 2 bzw. des Verarbeitungsmoduls 8 ist problematisch bezüglich eines nach Möglichkeit angestrebten modularen und gleichartigen Aufbaus des elektrischen Bremssystems.
  • Die gegenseitige Überwachung 15 rotiert mit fortschreitender Zeit t über die beteiligten Radmodule 5. Zur Verdeutlichung wird ein Umlauf der gegenseitigen Überwachung 15 in der nachfolgenden Tabelle 1 dargestellt. Dabei wurden zur Überwachung eines Radmoduls 5 jeweils zwei andere Radmodule 5 eingebunden. Die Anzahl der beteiligten Module ist hier n = 3.
  • Figure 00210001
    Tabelle 1
  • Betrachtet werden im Folgenden beispielhaft die zum Zeitpunkt t_0 beginnende gegenseitige Überwachung 15 der Radmodule RM_1, RM_2 und RM_3. Hierzu werden über das Kommunikationssystem 4 die Prozessdaten S_1 (t_0) den anderen Radmodulen 5 bereitgestellt. In den beteiligten Radmodulen 5 werden dann mit den Prozessdaten S_1 (t_0) die Modellrechnungen durchgeführt. Die daraus resultierenden Ergebnisse E_j [S_1 (t_0)], mit j = 1 ... n und n ≥ 3 werden anschließend über das Kommunikationssystem 4 gegenseitig ausgetauscht und in jedem beteiligten Radmodul 5 miteinander verglichen. Als Ergebnis dieses Vergleichs werden logische Vergleichsvariablen V_kji gebildet. Eine in dem Radmodul RM_k berechnete logische Vergleichsvariable xxx unter Einbeziehung der Ergebnisse E_j [S_1 (t_0)] und E_i [S_1 (t_0)] wird im Folgenden mit V_kji bezeichnet und ist definiert durch:
    Figure 00210002
    mit k, j , i ∈ [1 . . . n] und i ≠ j .
  • ∈ steht für eine Fehlertoleranz, die auch den Wert 0 annehmen kann. Der Index k der logischen Vergleichsvariablen V_kji gibt an, welches Radmodul 5 den Vergleich durchführt. Der Index j steht für den ersten Wert und der Index i für den zweiten Wert des Vergleichs. Aufgrund des symmetrischen Aufbaus des elektrischen Bremssystems ergibt sich eine vereinfachte Berechnung V_kji = V_kij.
  • Die fest vorgegebene Genauigkeitsschranke ∈ berücksichtigt zulässige Toleranzen zwischen den Berechnungen in den verschiedenen Radmodulen 5. Aus diesen logischen Vergleichvariablen V_kji werden in jedem an der Überwachung 15 beteiligten Radmodul 5 logische Hilfsvariablen H_ki berechnet. Eine in dem Radmodul RM_k berechnete Hilfsvariable, die Informationen über die Korrektheit der Berechnung in dem Radmodul RM_i enthält, wird nachfolgend mit H_ki bezeichnet. Betrachtet man eine Anzahl n an der Überwachung 15 beteiligten Radmodule 5, so sind die logischen Hilfsvariablen H_ki definiert durch die folgende logische UND-Verknüpfung von je (n – 1)-Vergleichsvariablen V_kji:
  • Figure 00220001
  • Hierbei entspricht der Index k der logischen Hilfsvariablen H_ki dem Radmodul 5, in dem die Berechnung ausgeführt wird und der Index i dem Radmodul 5, das überprüft wurde. Bei einer erweiterten Realisierungsvariante mehr als drei an der gegenseitigen Überwachung 15 beteiligten Radmodule kann die Bestimmung der logischen Hilfsvariable H_ki auf eine logische UND-Verknüpfung mit zwei Vergleichsvariablen V_kji beschränkt werden.
  • Eine Abschaltung der durch das Radmodul RM_i angesteuerten Prozessgrößen erfolgt durch eine logische Variable A_i, die bei einer Anzahl n betrachteter Radmodule 5 durch folgende Bool'sche Beziehung gegeben ist:
    Figure 00230001
  • In der Gleichung (4) entsprechen B_i v H_ii intern ermittelten Fehlern des Radmoduls RM_i. Das Produkt der Hilfsvariablen H_ij entspricht dagegen von externen Radmodulen ermittelten Fehlern des Radmoduls RM_i. In Gleichung (4) charakterisiert v eine ODER-Verknüpfung. Aus dieser Beziehung wird deutlich, dass ein Abschaltsignal A_i für die von dem Radmodul RM_i angesteuerten Prozessgrößen ausgelöst wird, falls entweder das Radmodul RM_i durch die interne Überwachung 14 oder durch die Vergleichsrechnungen einen Fehlerzustand detektiert oder falls die weiteren (n – 1) an der gegenseitigen Überwachung 15 beteiligten Radmodule 5 übereinstimmend einen Fehler detektieren. Werden in einer erweiterten Realisierungsvariante n > 3 Module in die gegenseitige Überwachung 15 einbezogen, kann als Bedingung für eine Abschaltung der durch das Radmodul RMi angesteuerten Prozessgrößen anstelle der Gleichung (4) die Beziehung:
    Figure 00230002
    verwendet werden. Dabei beschreibt Ω_i eine (2 aus k)-Auswahl (sog. Mehrheitsauswahl) bezüglich der logischen Variablen H_ij mit 3 ≤ k ≤ n – 1; i, j ∈ [1 ... n] und j ≠ i.
  • Aufgrund des hohen Risikopotentials bei unberechtigtem Abschalten der Prozessgrößen eines oder mehrerer Radmodule 5 sollte die Realisierung der durch die Gleichungen (4) bzw. (5) beschriebenen Funktion sehr sicher gestaltet werden. Die Realisierung dieser Funktion erfolgt für jedes Radmodul RM_i auf zwei Abschaltpfaden. Der erste Abschaltpfad realisiert die Bedingung A_i1 = B_i v H_ii und wird von dem Radmodul RM_i ausgeführt. Dies ist der eigene Abschaltpfad des Radmoduls RM_i. Der zweite Abschaltpfad (externer Abschaltpfad) realisiert in Gleichung (4) die Verknüpfung A_i2 mit dem Produkt über die Hilfsvariablen H_j bzw. in Gleichung (5) die Bedingung A_i2 = Ω_i. Hierfür sind für jedes Radmodul RM_i Mittel erforderlich, die von den beteiligten Radmodulen 5 die erforderlichen logischen Variablen H_ij empfangen und gemäß den logischen Verknüpfungen verarbeiten können. Das Ergebnis der Verarbeitung erlaubt dann eine unabhängige Abschaltung der von dem Radmodul RM_i angesteuerten Prozessgrößen. Dieser externe Abschaltpfad kann bspw. mittels intelligenter Kommunikationscontroller realisiert werden, über die die Rechengeräte der einzelnen Radmodule an das Kommunikationssystem angeschlossen sind. Diese Kommunikationscontroller übernehmen dann neben der Anbindung des Rechengeräts an das Kommunikationssystem auch die Überwachung der übrigen Radmodule.
  • Durch den rotierenden Umlauf kann die gegenseitige Überwachung 15 auch bei einem als defekt erkannten oder nicht vorhandenen Radmodul 5 durchgeführt werden. In diesem Fall werden für die zuvor definierten Bedingungen durch eine Rekonfiguration nur die funktionstüchtigen Module herangezogen.
  • Mit Hilfe eines zeitgesteuerten Busses als Kommunikationssystem 4, d. h. mit einer globalen Systemzeit, kann der Programmablauf der an der gegenseitigen Überwachung beteiligten Radmodule 5 synchronisiert werden. Voraussetzung dafür ist, dass jede Task in einem fest definierten Zeitrahmen abläuft. Folglich muss für jede Task eine minimale und eine maximale Laufzeit vorgegeben sein, um den korrekten Ablauf der zuvor festgelegten Tasks innerhalb eines Zyklus gewährleisten zu können. Auch die Modell- und Vergleichsrechnungen zur gegenseitigen Überwachung 15 können in Form von zeitsynchronen Tasks ablaufen. Der zeitliche und funktionelle Ablauf der gegenseitigen Überwachung 15 der Radmodule RM_1, RM_2 und RM_3 wird in der Tabelle aus 5 verdeutlicht.
  • Als eine weitere Ausführungsform der gegenseitigen Überwachung wird die Überprüfung der richtigen Funktion eines Radmoduls RM_i anhand einer Frage-Antwort-Kommunikation näher beschrieben. Die Überprüfung der richtigen Funktion eines Radmoduls RM_i wird bei dieser Ausführungsform von den anderen Radmodulen RM_j unterstützt. Die Anzahl n der an der Überwachung beteiligten Radmodule 5 liegt bei n ≥ 3. Die Überwachungsvariante gemäß dieser Ausführungsform hat im Wesentlichen den gleichen Ablauf wie die weiter oben beschriebene Überwachung anhand von ausgewählten Prozessdaten. Anstelle der Prozessdaten S_i (t_x) werden bei der vorliegenden Ausführungsform jedoch Fragen bereitgestellt. Zu diesem Zweck ist in jedem an der gegenseitigen Überwachung 15 beteiligten Radmodule RM_j ein Satz von verschiedenen Fragen F_k, mit k = 1 ... r abgespeichert. Zu jeder Frage F_k ist in den Radmodulen RM_j zudem die richtige Antwort W_k, mit k = 1 ... r abgespeichert. Die Kontrolle erfolgt bei der beschriebenen Ausführungsform durch eine Frage-Antwort-Kommunikation. Das Radmodul RM_j sendet zu einem vorgebbaren Zeitpunkt t_x allen übrigen an der gegenseitigen Überwachung 15 beteiligten Radmodulen RM_i eine Frage F_k (t_x). Diese Frage sollte von dem sendenden Radmodul RM_j und allen weiteren an der Überwachung beteiligten Radmodulen RM_i innerhalb eines vorgebbaren Zeitintervalls richtig beantwortet werden. Zur Beantwortung der verschiedenen Fragen werden jeweils Teilantworten gebildet, die sich z. B. aus einem korrekten Durchlauf von sicherheitsrelevanten Programmteilen mit einem vorgegebenen Datensatz oder einem fehlerfreien Ablauf eines Computerprogramms für den Rechnerfunktionstest und den Befehlstest ergeben.
  • Die aus den Teilprogrammen gebildeten Teilantworten werden in allen n an der Überwachung beteiligten Radmodulen RM_i zu einer Gesamtantwort zusammengefasst. Die in einem Radmodul RM_i berechnete Antwort auf die Frage F_k (t_x) wird im Folgenden mit L_i (F_k), mit i = 1 ... n bezeichnet. Jedes Radmodul RM_i überträgt allen weiteren an der Überwachung beteiligten Radmodulen 5 die ermittelte Antwort L_i (F_k). Eine Antwort L_i (F_k) wird in dem Radmodul RM_i und in den weiteren beteiligten Radmodulen RM_j auf Richtigkeit hinsichtlich des Zeitintervalls für das Eintreffen der Antwort und auf Übereinstimmung mit der der Frage zugeordneten richtigen Antwort W_k überprüft. Eine in dem Radmodul RM_i entdeckte fehlerhafte Funktion des Radmoduls RM_j wird durch eine logische Variable C_ij gekennzeichnet, die gemäß
    Figure 00260001
    mit j, i ∈ [1 ... n] definiert ist.
  • Eine Abschaltung der durch das Radmodul RM_i angesteuerten Prozessgrößen erfolgt durch die logische Variable A_i, die bei einer Anzahl n betrachten Radmodulen 5 durch folgende Bool'sche Beziehung gegeben ist:
    Figure 00270001
  • Bei einer Realisierungsvariante mit mehr als drei an der gegenseitigen Überwachung 15 beteiligten Radmodulen 5 kann die logische UND-Verknüpfung in Gleichung (7) auf zwei logische Variablen C_ji beschränkt werden oder anstelle der Gleichung (7) kann die Beziehung:
    Figure 00270002
    verwendet werden. Hierin beschreibt Ω_i eine (2 aus k)-Auswahl bezüglich der logischen Variablen C_ji, mit i, j ∈ [1 ... n] und j ≠ i.
  • Auch bei dieser zweiten Ausführungsform realisiert die Bedingung A_i1 = B_i v C_ii den eigenen Abschaltpfad, der von dem Radmodul RM_i ausgeführt wird. Das Produkt über die logischen Variablen C_ji bzw. die (2 aus k)-Auswahl Ω_i beschreibt einen externen Abschaltpfad A_i2, der von den Radmodulen RM_j ausgeführt wird, welche das Radmodul RM_i überwachen.
  • Der zeitliche Ablauf der gegenseitigen Überwachungsfunktion 15 mittels Frage-Antwort-Kommunikation ist in der Tabelle aus 6 dargestellt.
  • Zusammenfassend kann durch die vorliegende Erfindung auf zusätzliche Hardware-Komponenten zur Überwachung der Rechner-Komponenten eines dezentral verteilten Rechnersystems verzichtet werden. Die für die Überwachung nach dem erfindungsgemäßen Verfahren erforderliche Hardware wird allein durch die aus Funktionsüberlegungen erforderliche dezentrale Aufteilung der Komponenten bestimmt. Durch die vorgestellte gegenseitige Überwachung wird eine eindeutige Lokalisierung fehlerhafter Komponenten und auch deren Abschaltung über zwei getrennte Abschaltpfade ermöglicht.
    •

Claims (14)

  1. Verfahren zur gegenseitigen Überwachung von Komponenten (RM_i) eines dezentral verteilten Rechnersystems (1) für eine sicherheitsrelevante Anwendung insbesondere in einem Kraftfahrzeug, wobei die Komponenten (RM_i) über mindestens ein Kommunikationssystem (4) miteinander in Verbindung stehen und mindestens eine der Komponenten (RM_i) überwacht wird, indem in mindestens zwei überwachenden Komponenten (RM_i) des Rechnersystems (1) eine gegenseitige Überwachungsfunktion (15) ausgeführt wird, die eine Ermittlung von Ergebnissen (E_j[S_i(t_x)], C_ij) in den überwachenden Komponenten (RM_i) umfasst, und indem die Ergebnisse (E_j[S_i(t_x)], C_ij) überprüft werden und zur Ermittlung eines Fehlers der überwachten Komponente (RM_i) eine Mehrheitsauswahl aus den Ergebnissen (E_j[S_i(t_x)], C_ij) getroffen wird, dadurch gekennzeichnet, dass die überwachte Komponente (RM_i) den überwachenden Komponenten (RM_i) übereinstimmende Eingangssignale für die Ermittlung der Ergebnisse (E_j[S_i(t_x)], C_ij) zur Verfügung stellt und dass sich im Rahmen der gegenseitigen Überwachungsfunktion (15) überwachende und überwachte Komponenten (RM_i) abwechseln, so dass nach einer bestimmten Überwachungszeit alle zu überwachenden Komponenten (RM_i) des Rechnersystems (1) mindestens einmal überwacht worden sind.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass in den Komponenten (RM_i) jeweils eine interne Überwachungsfunktion (14), die Fehler in der Komponente (RM_i) erkennt, ausgeführt wird und sowohl das Ergebnis (B_i) der internen Überwachungsfunktion (14) als auch die Ergebnisse (E_j[S_i(t_x)], C_ij) der gegenseitigen Überwachungsfunktionen (15) bei einer Entscheidung über das Vorliegen eines Fehlers einer Komponente (RM_i) berücksichtigt werden.
  3. Verfahren nach Anspruch 2, dadurch gekennzeichnet, dass die interne Überwachungsfunktion (14) die Fehler in der überwachten Komponente (RM_i) durch eine Überprüfung von Grundoperationen eines Befehlssatzes eines Rechengeräts (9), insbesondere eines Mikroprozessors, der Komponente (RM_i) erkennt.
  4. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass die Komponenten (RM_i) Eingangssignale von externen Einheiten (7; 71...74), insbesondere von Sensoren, empfangen und weiterverarbeiten und dass im Rahmen der internen Überwachungsfunktion (14) auch die externen Einheiten (7; 71...74) der überwachten Komponente (RM_i) überwacht werden.
  5. Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass die von den überwachenden Komponenten (RM_i) ermittelten Ergebnisse (E_j[S_i(t_x)]) mittels Modellrechnungen überprüft werden.
  6. Verfahren nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass den überwachenden Komponenten (RM_i) von der überwachten Komponente (RM_i) ausgewählte Prozessdaten (S_i(t_x)) als Eingangssignale zur Berechnung der Ergebnisse (E_j[S_i(t_x)]) zur Verfügung gestellt werden.
  7. Verfahren nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass die Eingangssignale den überwachenden Komponenten (RM_i) über das Kommunikationssystem (4) von der überwachten Komponente (RM_i) zur Verfügung gestellt werden.
  8. Verfahren nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass den überwachenden Komponenten (RM_i) von der überwachten Komponente (RM_i) im Rahmen einer Frage-Antwort-Kommunikation vorgebbare Fragen (F_k) als Eingangssignale zur Verfügung gestellt werden und dass zur Berechnung der Ergebnisse (E_j[S_i(t_x)]) Antworten (W_k) auf die Fragen (F_k) in den überwachenden Komponenten (RM_i) ermittelt werden.
  9. Computerprogramm zur Realisierung einer gegenseitigen Überwachung von Komponenten (RM_i) eines dezentral verteilten Rechnersystems (1) für eine sicherheitsrelevante Anwendung insbesondere in einem Kraftfahrzeug, wobei das Computerprogramm auf einem Rechengerät (9), insbesondere auf einem Mikroprozessor, einer Komponente (RM_i) des Rechnersystems (1) ablauffähig ist, dadurch gekennzeichnet, dass das Computerprogramm zur Ausführung eines Verfahrens nach einem der Ansprüche 1 bis 8 programmiert ist, wenn es auf dem Rechengerät (9) abläuft.
  10. Computerprogramm nach Anspruch 9, dadurch gekennzeichnet, dass das Computerprogramm auf einem Speicherelement, insbesondere auf einem Read-Only-Memory, Random-Access-Memory oder einem Flash-Memory, abgespeichert ist.
  11. Rechengerät (9) für eine Komponente (RM_i) eines mehrere Komponenten (RM_i) umfassenden dezentral verteilten Rechnersystems (1) für eine sicherheitsrelevante Anwendung insbesondere in einem Kraftfahrzeug, wobei die Komponenten (RM_i) über mindestens ein Kommunikationssystem (4) miteinander in Verbindung stehen und mindestens eine der Komponenten (RM_i) überwacht wird, indem in mindestens zwei überwachenden Komponenten (RM_i) des Rechnersystems (1) eine gegenseitige Überwachungsfunktion (15) ausgeführt wird, die eine Ermittlung von Ergebnissen (E_j[S_i(t_x)], C_ij) in den überwachenden Komponenten (RM_i) umfasst, und indem die Ergebnisse (E_j[S_i(t_x)], C_ij) überprüft werden und zur Ermittlung eines Fehlers der überwachten Komponente (RM_i) eine Mehrheitsauswahl aus den Ergebnissen (E_j[S_i(t_x)], C_ij) getroffen wird, dadurch gekennzeichnet, dass das Rechengerät (9) der überwachten Komponente (RM_i) diese veranlasst, den überwachenden Komponenten (RM_i) übereinstimmende Eingangssignale für die Ermittlung der Ergebnisse (E_j[S_i(t_x)], C_ij) zur Verfügung zu stellen, und dass das Rechengerät (9) der Komponente (RM_i) mit Rechengeräten (9) anderer Komponenten des Rechnersystems (1) derart zusammenwirkt, dass sich im Rahmen der gegenseitigen Überwachungsfunktion (15) überwachende und überwachte Komponenten (RM_i) abwechseln, so dass nach einer bestimmten Überwachungszeit alle zu überwachenden Komponenten (RM_i) des Rechnersystems (1) mindestens einmal überwacht worden sind.
  12. Rechengerät (9) nach Anspruch 11, dadurch gekennzeichnet, dass das Rechengerät (9) Mittel (14, 15) zur Ausführung eines Verfahrens nach einem der Ansprüche 2 bis 8 aufweist.
  13. Mehrere Komponenten (RM_i) umfassendes, dezentral verteiltes Rechnersystem (1) für eine sicherheitsrelevante Anwendung insbesondere in einem Kraftfahrzeug, mit mindestens einem Kommunikationssystem (4), über das die Komponenten (RM_i) miteinander in Verbindung stehen, wobei mindestens eine der Komponenten (RM_i) überwacht wird, indem mindestens zwei überwachende Komponenten (RM_i) des Rechnersystems (1) eine gegenseitige Überwachungsfunktion (15) ausführen, die eine Ermittlung von Ergebnissen (E_j[S_i(t_x)], C_ij) in den überwachenden Komponenten (RM_i) umfasst, und indem die Ergebnisse (E_j[S_i(t_x)], C_ij) überprüft werden und zur Ermittlung eines Fehlers der überwachten Komponente (RM_i) eine Mehrheitsauswahl aus den Ergebnissen (E_j[S_i(t_x)], C_ij) getroffen wird, dadurch gekennzeichnet, dass die überwachte Komponente (RM_i) den überwachenden Komponenten (RM_i) übereinstimmende Eingangssignale für die Ermittlung der Ergebnisse (E_j[S_i(t_x)], C_ij) zur Verfügung stellt und dass sich im Rahmen der gegenseitigen Überwachungsfunktion (15) überwachende und überwachte Komponenten (RM_i) abwechseln, so dass nach einer bestimmten Überwachungszeit alle zu überwachenden Komponenten (RM_i) des Rechnersystems (1) mindestens einmal überwacht worden sind.
  14. Rechnersystem (1) nach Anspruch 13, dadurch gekennzeichnet, dass das Rechnersystem (1) Mittel (9; 14, 15) zur Ausführung eines Verfahrens nach einem der Ansprüche 2 bis 8 aufweist.
DE10223880A 2002-05-29 2002-05-29 Verfahren zur gegenseitigen Überwachung von Komponenten eines dezentral verteilten Rechnersystems Expired - Fee Related DE10223880B4 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE10223880A DE10223880B4 (de) 2002-05-29 2002-05-29 Verfahren zur gegenseitigen Überwachung von Komponenten eines dezentral verteilten Rechnersystems
US10/446,296 US7269762B2 (en) 2002-05-29 2003-05-28 Method for mutual monitoring of components of a distributed computer system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE10223880A DE10223880B4 (de) 2002-05-29 2002-05-29 Verfahren zur gegenseitigen Überwachung von Komponenten eines dezentral verteilten Rechnersystems

Publications (2)

Publication Number Publication Date
DE10223880A1 DE10223880A1 (de) 2004-01-08
DE10223880B4 true DE10223880B4 (de) 2004-06-17

Family

ID=29718816

Family Applications (1)

Application Number Title Priority Date Filing Date
DE10223880A Expired - Fee Related DE10223880B4 (de) 2002-05-29 2002-05-29 Verfahren zur gegenseitigen Überwachung von Komponenten eines dezentral verteilten Rechnersystems

Country Status (2)

Country Link
US (1) US7269762B2 (de)
DE (1) DE10223880B4 (de)

Families Citing this family (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2435655A1 (en) * 2003-07-21 2005-01-21 Symbium Corporation Embedded system administration
DE102004024536A1 (de) 2004-05-18 2005-12-15 Robert Bosch Gmbh Verfahren zum Betrieb eines Systems
JP4837903B2 (ja) * 2004-06-30 2011-12-14 横河電機株式会社 通信ネットワーク・システム
FR2883241B1 (fr) * 2005-03-15 2007-06-08 Renault Sas Procede de gestion d'information de freinage
CA2504333A1 (en) * 2005-04-15 2006-10-15 Symbium Corporation Programming and development infrastructure for an autonomic element
DE102005046373B4 (de) * 2005-09-28 2007-12-13 Siemens Ag Kommunikationssystem für ein technisches Gerät, insbesondere für ein Kraftfahrzeug
WO2007051118A2 (en) * 2005-10-25 2007-05-03 Nxstage Medical, Inc Safety features for medical devices requiring assistance and supervision
EP1964741B1 (de) 2007-02-28 2013-04-03 Robert Bosch Gmbh Elektrische Parkbremse
JP4859803B2 (ja) * 2007-10-01 2012-01-25 日立オートモティブシステムズ株式会社 電動アクチュエータの制御装置
US7822841B2 (en) * 2007-10-30 2010-10-26 Modern Grids, Inc. Method and system for hosting multiple, customized computing clusters
FR2943036B1 (fr) * 2009-03-11 2011-04-15 Airbus France Systeme distribue de commande de vol implemente selon une architecture avionique modulaire integree.
US8712626B2 (en) * 2009-05-05 2014-04-29 Goodrich Corporation Autobrake and decel control built-in test equipment
US8442690B2 (en) * 2009-06-29 2013-05-14 Honeywell International Inc. Vehicle system monitoring and communications architecture
DE102010002020A1 (de) * 2010-02-17 2011-08-18 Deere & Company, Ill. Vorrichtung zur Steuerung einer Parksperre für ein Kraftfahrzeug
DE112010005400T5 (de) * 2010-03-18 2013-04-18 Toyota Jidosha Kabushiki Kaisha System für gegenseitige Überwachung von Mikrocomputern und ein Verfahren für gegenseitige Überwachung von Mikrocomputern
US8847535B2 (en) * 2011-11-08 2014-09-30 Autoliv Asp, Inc. System and method to determine the operating status of an electrical system having a system controller and an actuator controller
EP2685379B1 (de) * 2012-07-11 2021-09-22 Rohm Co., Ltd. Integrierte Überwachungsschaltung für eine elektrische Bauteileinheit eines Automobils
EP2685378B1 (de) * 2012-07-11 2016-06-29 Rohm Co., Ltd. Elektrische Bauteileinheit eines Kraftfahrzeugs
US9156357B2 (en) * 2013-09-11 2015-10-13 GM Global Technology Operations LLC Controller for an electric motor, and a method thereof
CN105637811B (zh) 2013-10-11 2019-05-14 西门子公司 语义消重
FR3023814B1 (fr) * 2014-07-16 2017-12-08 Chassis Brakes Int Bv Dispositif de commande de freinage pour vehicule
US10063439B2 (en) 2014-09-09 2018-08-28 Belkin International Inc. Coordinated and device-distributed detection of abnormal network device operation
US9026841B1 (en) 2014-09-09 2015-05-05 Belkin International, Inc. Coordinated and device-distributed detection of abnormal network device operation
US9428162B1 (en) * 2015-05-19 2016-08-30 Goodrich Corporation System and method for brake control in response to load cell failure
US9989955B2 (en) 2015-07-09 2018-06-05 Honda Motor Co., Ltd. System configuration management using encapsulation and discovery
DE102016100680A1 (de) * 2016-01-16 2017-07-20 Ssb Wind Systems Gmbh & Co. Kg Windkraftanlage
JP7111606B2 (ja) 2018-12-19 2022-08-02 日立Astemo株式会社 電子制御装置および車載システム
DE102022204011A1 (de) 2022-04-26 2023-10-26 Volkswagen Aktiengesellschaft Verfahren zum Überwachen eines mechanisch ungekoppelten Aktuatorsystems und mechanisch ungekoppeltes Aktuatorsystem

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3930075A1 (de) * 1988-09-16 1990-03-22 Akad Wissenschaften Ddr Verfahren und anordnung eines fehlertoleranten mehrrechnersystems
DE19826130A1 (de) * 1998-06-12 1999-12-16 Bosch Gmbh Robert Elektromechanisches Bremssystem für ein Kraftfahrzeug

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3504096A1 (de) * 1985-02-07 1986-08-07 Wabco Westinghouse Fahrzeugbremsen GmbH, 3000 Hannover Sollwertgeber
US6823244B2 (en) * 1995-06-07 2004-11-23 Automotive Technologies International, Inc. Vehicle part control system including electronic sensors
DE4339570B4 (de) * 1993-11-19 2004-03-04 Robert Bosch Gmbh Elektronisches Bremssystem
JP3085844B2 (ja) * 1994-01-10 2000-09-11 富士通株式会社 集中監視システムにおける障害表示方式
US5572187A (en) * 1994-05-23 1996-11-05 Williford; Robert F. Air brake monitoring and safety system
DE19510525A1 (de) * 1995-03-23 1996-09-26 Bosch Gmbh Robert Verfahren und Vorrichtung zur Steuerung bzw. Regelung der Bremsanlage eines Fahrzeugs
DE19548392C2 (de) * 1995-12-22 2001-05-17 Siemens Ag Bremsanlage für ein Kraftfahrzeug
DE19716291B4 (de) * 1997-04-18 2016-07-07 Robert Bosch Gmbh Verfahren und Vorrichtung zum Steuern einer Bremsanlage eines Fahrzeugs
DE19717686A1 (de) * 1997-04-28 1998-10-29 Itt Mfg Enterprises Inc Schaltungsanordnung für ein Kraftfahrzeug-Regelungssystem
DE19826131A1 (de) 1998-06-12 1999-12-16 Bosch Gmbh Robert Elektrisches Bremssystem für ein Kraftfahrzeug
DE19861144C2 (de) 1998-06-12 2003-10-09 Bosch Gmbh Robert Elektrisches Bremssystem für ein Kraftfahrzeug
DE19933086B4 (de) * 1999-07-15 2008-11-20 Robert Bosch Gmbh Verfahren und Vorrichtung zur gegenseitigen Überwachung von Steuereinheiten
DE19937156A1 (de) * 1999-08-06 2001-02-08 Bosch Gmbh Robert Elektrisch gesteuertes, dezentrales Steuersystem in einem Fahrzeug
DE19954284B4 (de) * 1999-11-11 2018-06-14 Robert Bosch Gmbh Elektrisch gesteuertes Bremssystem für ein Fahrzeug
DE10006206A1 (de) * 2000-02-11 2001-08-30 Daimler Chrysler Ag Elektronisches Steuersystem
DE10131806A1 (de) * 2001-06-30 2003-01-16 Bosch Gmbh Robert Verfahren und Vorrichtung zum Betreiben eines dezentralen Steuersystems

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3930075A1 (de) * 1988-09-16 1990-03-22 Akad Wissenschaften Ddr Verfahren und anordnung eines fehlertoleranten mehrrechnersystems
DE19826130A1 (de) * 1998-06-12 1999-12-16 Bosch Gmbh Robert Elektromechanisches Bremssystem für ein Kraftfahrzeug

Also Published As

Publication number Publication date
US7269762B2 (en) 2007-09-11
US20040034810A1 (en) 2004-02-19
DE10223880A1 (de) 2004-01-08

Similar Documents

Publication Publication Date Title
DE10223880B4 (de) Verfahren zur gegenseitigen Überwachung von Komponenten eines dezentral verteilten Rechnersystems
EP1332083B1 (de) Verfahren zum steuern eines steer-by-wire-lenksystems
EP1040028B1 (de) Verfahren zur fehlererkennung von mikroprozessoren in steuergeräten eines kfz
EP2676200B1 (de) Halbleiterschaltkreis und verfahren in einem sicherheitskonzept zum einsatz in einem kraftfahrzeug
DE19509150C2 (de) Verfahren zum Steuern und Regeln von Fahrzeug-Bremsanlagen sowie Fahrzeug-Bremsanlage
DE10112514A1 (de) X-by-wire-System für ein Fahrzeug
WO1993009020A1 (de) Verfahren und vorrichtung zur fehlerbehandlung in elektronischen steuergeräten
EP2078253A2 (de) Verfahren und vorrichtung zur fehlerverwaltung
EP1053153B1 (de) Verfahren zur behandlung von fehlern in einem elektronischen bremssystem und zugehörige vorrichtung
DE4431901B4 (de) Vorrichtung zur Störerfassung in einem Antischlupf-Bremssteuersystem für Kraftfahrzeuge
EP1171332B1 (de) Lenk- und bremssystem für ein fahrzeug
EP1600831B1 (de) Verfahren und Vorrichtung zur Überwachung mehrerer Steuergeräte mittels einer Frage-Antwort-Kommunikation
DE10211278A1 (de) Verfahren zur Ansteuerung einer Komponente eines verteilten sicherheitsrelevanten Systems
DE102017118174A1 (de) Brake-by-wire-system
WO2013164224A2 (de) Verfahren und vorrichtung zur überwachung von funktionen eines rechnersystems, vorzugsweise eines motorsteuersystems eines kraftfahrzeuges
DE102020113443A1 (de) Steuerschaltung für einen Sensor, eine elektrische Steuereinheit für einen Raddrehzahlsensor, ein Verfahren zum Betreiben eines Raddrehzahlsensors, ein Verfahren zum Steuern eines Sensors und ein Computerprogramm
DE10142511B4 (de) Fehlerbehandlung von Softwaremodulen
DE10331872A1 (de) Verfahren zur Überwachung eines technischen Systems
EP1483745A2 (de) Einrichtung und verfahren zur beurteilung und erzielung von sicherheit bei systemen sowie entsprechendes computerprogramm
DE19832950A1 (de) Verfahren zur Behandlung von Fehlern in einem elektronischen Bremssystem und zugehörige Vorrichtung
EP1384122B1 (de) Verfahren zur ansteuerung einer komponente eines verteilten sicherheitsrelevanten systems
EP1649373A2 (de) Verfahren und vorrichtung zur berwachung eines verteilten s ystems
DE102012212680A1 (de) Verfahren und System zur fehlertoleranten Steuerung von Stellgliedern für eine begrenzte Zeit auf der Grundlage von vorberechneten Werten
WO2021148333A1 (de) Elektrik/elektronik-architektur für ein kraftfahrzeug mit einer elektronischen recheneinrichtung und mit einem schnittstellensteuergerät, sowie verfahren
DE102006053559B4 (de) Inbetriebnahme eines Notbremssystems in einer Werkstatt

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8364 No opposition during term of opposition
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee