Verfahren zum Sicherstellen oder Aufrechterhalten der Funktion eines komplexen sicherheitskritischen Gesamtsystems

Die Erfindung betrifft ein Verfahren gemäß Anspruch 1, dessen Verwendung, sowie ein Computerprogrammprodukt.

Aus der WO 2004/005096 Al ist ein Verfahren zum Sicherstellen oder Aufrechterhalten der Funktion eines komplexen sicherheitskritischen Gesamtsystems, wie eines Kraftfahrzeugregelungssystems, z.B. eines elektrischen, elektrohydrauli- schen oder elektromechanischen Bremsensystems (Brake-by- Wire) , eines elektronischen Lenkungssystems (Steering-by- Wire) etc., beim Auftreten von Fehlern oder Fehlfunktionen bekannt .

Sicherheitsrelevante Systeme mit vielen unterschiedlichen, teilweise aufeinander aufbauenden Teilsystemen erfordern Maßnahmen, die auch bei Funktionsfehlern und beim Ausfall einzelner Systemkomponenten (z.B. ESP, ABS, TCS usw.) eine definierte Funktionsweise sicherstellen. Ohne ein Sicherheitskonzept führt schon ein relativ unbedeutender Fehler zu einem Totalausfall eines Teilsystems oder sogar der gesamten Regelung.

Eine einfache Fehlerquellenanalyse durch Abarbeiten bestimmter, gespeicherter Fehlerbilder funktioniert nur in einem übersichtlichen System mit einer geringen Anzahl an Einzelfehlern. In einem komplexen Gesamtsystem existieren derart viele Fehlerkombinationen, dass nach der Methode der Fehlerbildbehandlung nur die wahrscheinlichsten Fehlerbilder berücksichtigt werden können. In allen anderen Fällen wird das Gesamtsystem sicherheitshalber komplett stillgelegt. Dies ist jedoch zum Beispiel dann nicht hinnehmbar, wenn es sich bei dem Gesamtsystem um ein Steuergerät für eine elektrische Lenkung (ohne mechanische Rückfallebene) handelt.

Das aus der WO 2004/005096 Al bekannte Verfahren, welches sich auf ein integriertes Gesamtsystem (Das Gesamtsystem führt nur eine Hauptaufgabe aus, also z.B. die Steuerung/Regelung ein Bremssystem) bezieht, nimmt daher eine Fehleraufteilung für jede einzelne Systemkomponente (z.B. Drucksensor, Raddrehzahlsensor am Rad vorne links usw.) vor. Außerdem werden für jede Systemkomponente einzelne Notlaufmodi definiert werden. Dann wird ein Auswahlsystem definiert, mit dem festgestellt wird, welche Betriebsmodi in Abhängigkeit von dem erkannen Einzelfehler für alle Systemkomponenten zulässig sind.

Die durch das obige Verfahren durchgeführte Erstfehleranalyse liefert folgende Ergebnisse:

- Die Unterteilung des Systems in voneinander unabhängige Systemkomponten;

- die Definition der Betriebsmodi für jede einzelne Systemkomponente (neben "verfügbar/nicht verfügbar" können diverse Notlaufmodi definiert werden) ;

- es wird ein Auswahlsystem, z.B. in Form einer Entscheidungsmatrix, gebildet, mit dem festgestellt wird, welche Betriebsmodi in Abhängigkeit von dem erkannten "Einzelfehler" für alle Systemkomponenten zulässig sind.

Gemäß dem bekannten Verfahern werden permanent (in jeder Loop) sämtliche Fehlerquellen analysiert. Bei Auftreten eines Fehlers werden den betroffenen Systemkomponenten alle korrelierten Betriebsmodi aberkannt. Somit wird eine systemweite Komponentendegradation erreicht. Aus den nach der Fehleranalyse für die Systemkomponenten noch verfügbaren Betriebsmodi werden schließlich nach Vorgaben eines Modus-

Auswahlsystems diejenigen Betriebsmodi ausgewählt und zum Einsatz gebracht, die unter den gegebenen Bedingungen das optimale Verhalten des Gesamtsystems garantieren.

Das obige Verfahren löst zwar prinzipiell die primäre Aufgabe der Mehrfachfehlertauglichkeit eines Fehlerbehandlungsverfahrens, jedoch wertet das Verfahren nachteilhafterweise ausschließlich Systemfehler und -Störungen aus. Dabei ist es unerheblich, ob die Komponentenverfügbarkeit aufgrund eines Systemfehlers/einer Systemstörung oder aufgrund von Konfigurationsmaßnahmen bzw. besonderer Systemzustände (Diagnose u.a.) beeinflusst wird.

Außerdem setzt das bekannte Fehlerbehandlungsverfahren voraus, dass dieses im Gesamtfahrzeugregelungs- und/oder - Steuerungsystems eine zentralisierte Stellung einnimmt und dass in dessen Wirkungsbereich sämtliche Systemkomponenten eingeschlossen bzw. erreichbar sind. Aufgrund dieses Erfo- dernisses kann das Verfahren nicht in solchen Gesamtrege- lungs- und/oder -Steuerungssystemen zum Einsatz kommen, die über das Kraftfahrzeug verteilt sind.

Ein weiterer Nachteil des bekannten Systems besteht darin, dass viele Eingangssignale in dem oben erwähnten Betriebsmodus-Berechnungssystem (wie finale Fehler, Online- Konfigurationssignale etc.) einen quasistationären Charak- tier aufweisen, d.h. sie ändern während eines Betriebszyklus höchstens einmal ihren Zustand. Die in jedem Berechnungsschritt aufs Neue vorgenommene Auswertung dieser Signale ist sehr rechenintensiv.

Schließlich ist das bekannte Verfahren noch dahingehend Nachteilhaft, dass in jedem Berechnungsschritt die zum Einsatz zu bringenden Betriebsmodi ermittelt werden müssen,

selbst dann, wenn die noch verfügbaren Betriebsmodi der Systemkomponenten keine änderung erfahren haben. Nicht zuletzt wegen des hohen Rechenaufwands erscheint es nicht sinnvoll, die Auswahl der zum Einsatz zu bringenden Betriebsmodi auf jeden Fall durchzuführen.

Der Erfindung liegt daher die Aufgabe zugrunde, ein Verfahren zu entwickeln, das es ermöglicht, die Funktion oder Notfunktion eines komplexen sicherheitskritischen, im Fahrzeug verteilten Systems beim Auftreten eines beliebigen Fehlers, einer beliebigen Anzahl von Fehlern oder Fehlerkombinationen aufrecht zu erhalten und dabei weniger Rechenzeit in Anspruch zu nehmen.

Es hat sich herausgestellt, dass diese Aufgabe durch das im Anspruch 1 beschriebene Verfahren gelöst wird.

Weitere bevorzugte Ausführungsformen ergeben sich aus den Unteransprüchen und der nachfolgenden Beschreibung eines Ausführungsbeispiels an Hand von Figuren.

Es zeigen

Fig. 1 ein schematisches Blockschaltbild zur Erläuterung der Funktionsblöcke des erfindungsgemäßen Verfahrens,

Fig. 2 eine schematische Darstellung von Komponenten und der Wirkungsweise bei Ereignissen, die für eine Komponente relevant sind und

Fig. 3 eine schematische Darstellung der Komponenten unterschiedlicher Teilsysteme.

Nach dem Verfahren wird das Gesamtsystem (z.B. ein elektronisches Kraftfahrzeugbremssystem mit ABS, ESP und weiteren Teilfunktionen) nach den Erkenntnissen einer Fehlerquellenanalyse in Systemkomponenten unterteilt.

Für die einzelnen Systemkomponenten (z.B. Sensoren oder Regelfunktionen des Bremssystems) werden jeweils Betriebsmodi definiert, die beispielsweise in den Blöcken 5 und 6 in Fig. 1 gespeichert werden.

Beim Auftreten von Fehlern und/oder Ereignissen (Bezugszeichen 1 bis 4 und 7 in Fig. 1) im Gesamtsystem werden die Fehlerquellen analysiert und diejenigen Betriebsmodi ermittelt, die von den aufgetretenen Fehlern betroffen sind. Dies wird beispielsweise in den Blöcken 5 und 6 bewerkstelligt.

Danach werden in Block 8 (Modusauswahl) auf Basis der Fehlerquellenanalyse und nach den Vorgaben eines Auswahlsystems aus den von den Fehlern/Ereignissen nicht betroffenen, d.h. noch verfügbaren Betriebsmodi der einzelnen Systemkomponenten diejenigen ausgewählt, die in Anbetracht der aufgetretenen Fehler/Ereignisse ein optimales oder ein vorgegebenes Verhalten des Gesamtsystems oder zumindest die Aufrechterhaltung der Funktion des Gesamtsystems gewährleisten.

Eine Besonderheit des erfindungsgemäßen Verfahrens besteht nun darin, dass bei der Definition der Fehler und/oder Ereignisse für die Systemkomponenten zumindest eine Einteilung in

a) nur zeitweise auftretende Fehler/Ereignisse, die eine zeitweise Abschaltung oder Einschränkung des Systems und/oder einer Teilfunktion bewirken, und

b) in Fehler/Ereignisse, die eine endgültige Abschaltung o- der Einschränkung des Systems und/oder einer Teilfunktion bewirken, vorgenommen wird.

Dieses Vorgehen ist durch die Aufteilung der Modi in die Blöcke 5 und 6 in Fig. 1 deutlich gemacht.

In verteilten Systemen, bei denen mehrere Steuergeräte zur Bildung eines Gesamtsytems miteinander über Bussysteme kommunizieren (z.B. AUTOSAR), sind die Systemkomponenten nicht mehr voneinander unabhängig. Dehalb ist es bevorzugt, um diese "externen" Systemkomponenten bei der Fehleranalyse mitberücksichtigen zu können, die Betriebszustände von externen Steuergeräten als Ereignisse zu behandeln und bei der Fehleranalyse zu verarbeiten. Auf diese Weise kann für das Gesamtsystem auch bei verteilen Steuergeräten eine Aussage über die Verfügbarkeit getroffen werden.

Bevorzugt werden bei der Systemkomponentenauswahl in Block 8 zunächst nur finale Fehler/Ereignisse berücksichtigt (Datensatz in Block 5) . Der so bereinigte Datensatz kann besonders bevorzugt bei einem erneuten Fehleranalyseschritt übernommen werden. Dies ist durch Block 6 symbolisiert. Durch Verwendung von bereinigten Datensätzen kann das Verfahren gegenüber dem gattungsgemäßen Verfahren einfacher eine Aussage über die finale Systemdegradation treffen.

Die Auswertung der Betriebsmodi bezüglich ihrer Auswirkung auf das System wird bevorzugt ein Mal zu Beginn des Verfahrens ausgeführt. Außerdem erfolgt die Auwertung immer dann, wenn ein Fehler oder ein Ereignis auftritt. Bei der gemäß dem Stand der Technik durchgeführten Fehleranalyse wurde die Auswertung in einer Schleife ständig wiederholt. Durch die vorstehend beschriebene ereignisgesteuerte Auswer-

tung ergibt sich also ein erheblich geringerer Rechenzeitverbrauch .

Die Betriebsmodusauswahl bestimmt die zum Einsatz zu bringenden Betriebsmodi einer Systemkomponente. Es ist dabei zweckmäßig, dass immer erst dann, wenn eine Veränderung der Fehler- oder Signalzuordnung bei einer Komponente auftritt, die Betriebsmodiauswahl erneut durchgeführt wird.

Vorzugsweise werden neben Fehlern und Störungen uneingeschränkt und gleichberechtigt auch alle anderen Signalarten ausgewertet, die entweder einen Einfluss auf die Komponentenverfügbarkeiten oder auf das Betriebsmodi-Auswahlsystem haben. Dazu gehören z.B. Compilezeit- und Online- Konfiguration, besondere Systemzustände wie Systeminitialisierung und -shutdown, Eigendiagnose, Diagnose, Kalibriervorgänge u.a.. Somit ist das Betriebsmodi-Auswahlsystem erheblich flexibler auf die eintretenden Systemzustände anpassbar .

Im Beispiel in Fig. 1 werden im linken Teil in Block 5 ereignisgesteuert die verschiedenen Signalarten, wie finale Fehler 1, Konfigurationsereignisse, Initialisierung 3 und andere finale Ereignisse 4 ausgewertet. In Block 5 ist ein erster Datensatz mit einer Auswahl der zum Einsatz zu bringenden Betriebsmodi enthalten, wobei dieser durch Elimination der Betriebsmodi bereinigt ist, die durch lediglich ausschließlich temporäre Ereignisse nicht verfügbar werden.

Block 6 umfasst einen zweiten Datensatz mit einer Auswahl der zum Einsatz zu bringenden Betriebsmodi einschließlich der Betriebsmodi, die durch temporäre Ereignisse 7 nicht verfügbar werden.

In Block 8 erfolgt die Betriebsmodi-Auswahl. Diese kann auf Basis des zweiten Datensatzes (Block 6) einen bestimmten Mo ^¬ dus auf Grund finaler und temporärer Ereignisse festlegen (Block 10) oder lediglich einen Modus, der sich aus dem ersten Datensatz ergeben, der die finalen Ereignisse behandelt (Block 9) . Die Modusauswahl 8 wird von verschiedenen Blöcken 13 aktiviert, welche eine Veränderung der Betriebsmodusver ^¬ fügbarkeit oder der Auswahlkriterien feststellen können.

Der grau unterlegte Teil des Blockschaltbilds wird in jeder Reglerschleife durchgeführt ("Event Polling"). Es handelt sich also nicht um einen ereignisgesteuerten Teil. Der übrige Teil des Blockschaltbilds, welcher nicht grau unterlegt ist, wird einmal zu Beginn und nur dann aktiviert, wenn ein Fehler oder Ereignis vorliegt ("Event Triggered").

Fig. 2 erläutert die "fehlerabhängige" Rücknahme oder Einschränkung von Teilfunktionen, die auch als Degradation be ^¬ zeichnet wird, bei den einzelnen Systemkomponenten 14 nach dem Auftreten eines Ereignisses 15. Ereignis 15 betrifft die Komponente 14 ^' . Daraufhin wird gemäß der Komponentenabhängigkeiten (zum Beispiel funktioniert die Komponente ESP nur, wenn die Elektronik und der Gierratensensor in Ordnung ist) auf die Komponenten 17, 18 ^' , 18 ^{' ' '} und 18 ^{' ' ' '} heruntergebro ^¬ chen bzw. propagiert. Bei Auftreten eines Fehlers (oder ei ^¬ nes anderen relevanten Ereignisses) wird also zunächst aus ^¬ schließlich die Verfügbarkeit der korrelierten Betriebsmodi der betroffenen Komponente 14 ^' aberkannt und nicht, wie im Stand der Technik beschrieben, die Verfügbarkeit der Betriebsmodi aller, auch nur mittelbar betroffener Komponenten .

Mit den Grafiken in Fig. 3 wird die Komponentendegradation noch weiter veranschaulicht. Die Propagierung der Degradati-

on zwischen den Komponenten unterschiedlicher Teilsysteme 19 bis 24 erfolgt in jedem Teilsystem entsprechend dem im Zusammenhang mit Fig. 1 erläuterten Verfahren. Die grau unterlegten Teilsysteme 22 und 23 symbolisieren Systeme, die nicht Bestandteil des Gesamtsystems sind (externe Teilsysteme) . Komponentengruppen, bei denen die Degradationspropagierung ausgehend von den noch verfügbaren Komponenten- Betriebsmodi möglich ist (vorrangig lokale Komponenten mit einer Betriebsmodusauswahl dem Prinzip folgend, immer den besten Modus einer Komponente zu wählen) , werden zu Teilsystemen zusammengefasst ; die Degradationspropagierung zwischen den Komponenten unterschiedlicher Teilsysteme erfolgt dagegen ausgehend von den zum Einsatz gebrachten Betriebsmodi.

Das erfindungsgemäße Verfahren bietet den Vorteil einer hohen Rechenzeiteffizienz, da es größtenteils ereignisgesteuert arbeitet. Gleichzeitig werden die Aufgaben eines System- verwaltungs- und Fehlerbeherrschungssystems bewältigt. Die Ermittlung der um temporäre Ereignisse bereinigten Systemdegradation verbraucht keine zusätzlichen Resourcen und ermöglicht eine vereinfachte Berechnung der adäquaten Warnstufe. Das vorgeschlagene Verfahren ermöglicht zudem eine einfache Handhabung von komplexen verteilten Systemen, deren einzelne Teilsysteme (Steuergeräte, Aktoren, Sensoren etc.) ggf. von Dritten erstellt wurden.

Die Erfindung betrifft schließlich auch die Verwendung des obigen Verfahrens in elektronischen Kraftfahrzeugbremssystemen, elektronischen Lenksystemen, Fahrerassistenzsystemen oder ganz allgemein in Fahrzeugsteuergeräten.