Nothing Special   »   [go: up one dir, main page]

DE102005061392A1 - Bus-Guardian eines Teilnehmers eines Kommunikationssystems, sowie Teilnehmer für ein Kommunikationssystem - Google Patents

Bus-Guardian eines Teilnehmers eines Kommunikationssystems, sowie Teilnehmer für ein Kommunikationssystem Download PDF

Info

Publication number
DE102005061392A1
DE102005061392A1 DE102005061392A DE102005061392A DE102005061392A1 DE 102005061392 A1 DE102005061392 A1 DE 102005061392A1 DE 102005061392 A DE102005061392 A DE 102005061392A DE 102005061392 A DE102005061392 A DE 102005061392A DE 102005061392 A1 DE102005061392 A1 DE 102005061392A1
Authority
DE
Germany
Prior art keywords
monitoring unit
bus
communication
bus controller
controller
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE102005061392A
Other languages
English (en)
Inventor
Thomas Fuehrer
Bernd Mueller
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102005061392A priority Critical patent/DE102005061392A1/de
Priority to PCT/EP2006/069620 priority patent/WO2007074058A1/de
Priority to US12/086,472 priority patent/US20100229046A1/en
Priority to EP06830568A priority patent/EP1966695A1/de
Priority to CN2006800485491A priority patent/CN101346698B/zh
Publication of DE102005061392A1 publication Critical patent/DE102005061392A1/de
Ceased legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/54Interprogram communication
    • G06F9/546Message passing systems or structures, e.g. queues
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/40006Architecture of a communication node
    • H04L12/40026Details regarding a bus guardian
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L12/407Bus networks with decentralised control
    • H04L12/413Bus networks with decentralised control with random access, e.g. carrier-sense multiple-access with collision detection [CSMA-CD]
    • H04L12/4135Bus networks with decentralised control with random access, e.g. carrier-sense multiple-access with collision detection [CSMA-CD] using bit-wise arbitration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/40Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass for recovering from a failure of a protocol instance or entity, e.g. service redundancy protocols, protocol state redundancy or protocol service redirection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04JMULTIPLEX COMMUNICATION
    • H04J3/00Time-division multiplex systems
    • H04J3/02Details
    • H04J3/06Synchronising arrangements
    • H04J3/0635Clock or time synchronisation in a network
    • H04J3/0685Clock or time synchronisation in a node; Intranode synchronisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40241Flexray

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Debugging And Monitoring (AREA)

Abstract

Die Erfindung betrifft eine Überwachungseinheit (9) zur Überwachung und Steuerung des Zugriffs auf einen Datenbus (2), die einem Bus-Controller (6) eines Teilnehmers (3) eines Kommunikationssystems (1) lokal zugeordnet ist. Der Bus-Controller (6) greift über einen Bus-Treiber (8) auf den Datenbus (2) zu, und die Überwachungseinheit (9) überwacht und steuert die Zugriffsberechtigung des Bus-Treibers (8) auf den Datenbus (2). Um auch permanente Störungen des Bus-Controllers (6) und daraus resultierende Fehler des Bus-Controllers (6) beim Zugriff auf den Datenbus (2) zu detektieren, wird vorgeschlagen, dass die Überwachungseinheit (9) Mittel (18, 19, 20, 21, 22) zur Realisierung einer Frage-Antwort-Kommunikation mit dem Bus-Controller (6) aufweist und den Zugriff des Bus-Controllers (6) auf den Datenbus (2) nur dann freigibt, wenn die Frage-Antwort-Kommunikation ein ordnungsgemäßes Funktionieren des Bus-Controllers (6) ergibt.

Description

  • Die vorliegende Erfindung betrifft eine Überwachungseinheit, die einem Bus-Controller eines Teilnehmers eines Kommunikationssystems lokal zugeordnet ist, zur Überwachung und Steuerung des Zugriffs auf einen Datenbus. Der Bus-Controller greift über einen Bus-Treiber auf den Datenbus zu, und die Überwachungseinheit überwacht und steuert die Zugriffsberechtigung des Bus-Treibers.
  • Die Erfindung betrifft auch einen Teilnehmer eines einen Datenbus umfassenden Kommunikationssystems. Der Teilnehmer weist einen Bus-Controller und einen Bus-Treiber auf, wobei der Bus-Controller über den Bus-Treiber an den Datenbus angeschlossen ist. Der Teilnehmer weist eine dem Bus-Controller zugeordnete Überwachungseinheit zur Überwachung und Steuerung der Zugriffsberechtigung des Bus-Treibers auf den Datenbus auf.
  • Stand der Technik
  • Die Vernetzung von Steuergeräten, Sensorik und Aktuatorik mit Hilfe eines Kommunikationssystems oder Datenübertragungssystems und einer Kommunikationsverbindung, beispielsweise in Form eines Bus-Systems oder eines Datenbusses, hat in den letzten Jahren in modernen Kraftfahrzeugen aber auch in anderen Bereichen, beispielsweise im Maschinenbau, insbesondere im Werkzeugmaschinenbereich, und in der Automatisierung drastisch zugenommen. Synergieeffekte durch Verteilung von Funktionen auf mehrere Teilnehmer, beispielsweise Steuergeräte, des Kommunikationssystems können dabei erzielt werden. Man spricht hierbei von verteilten Systemen.
  • Die Kommunikation zwischen verschiedenen Teilnehmern eines solchen Kommunikationssystems findet mehr und mehr über ein Bus-System statt. Der Kommunikationsverkehr auf dem Bus-System, Zugriffs- und Empfangsmechanismen, sowie Fehlerbehandlung werden über ein Protokoll geregelt. Bekannte Protokolle sind beispielsweise CAN (Controller Area Network), TTCAN (Time Triggered CAN), TTP/C (Time Triggerrd Protocol Class C) und das FlexRay-Protokoll, wobei derzeit die FlexRay-Protokollspezifikation v2.1 zu Grunde liegt. Bei FlexRay handelt es sich um ein schnelles, deterministisches und fehlertolerantes Bussystem, insbesondere für den Einsatz in Kraftfahrzeugen. Das FlexRay-Protokoll arbeitet nach dem Prinzip des Time Division Multiple Access (TDMA), wobei den Teilnehmern bzw. den zu übertragenden Botschaften feste Zeitschlitze zugewiesen werden, in denen sie einen exklusiven Zugriff auf die Kommunikationsverbindung haben. Die Zeitschlitze wiederholen sich dabei in einem festgelegten Zyklus, so dass der Zeitpunkt, zu dem eine Botschaft über den Bus übertragen wird, exakt vorausgesagt werden kann und der Buszugriff deterministisch erfolgt.
  • Um die Bandbreite für die Übertragung von Botschaften auf dem Bussystem optimal zu nutzen, unterteilt FlexRay den Kommunikationszyklus in einen statischen und einen dynamischen Teil bzw. in ein statisches und ein dynamisches Segment. Die festen Zeitschlitze befinden sich dabei im statischen Teil am Anfang des Buszyklusses. Im dynamischen Teil werden die Zeitschlitze dynamisch vorgegeben. Darin wird der exklusive Buszugriff jeweils nur für eine kurze Zeit, für die Dauer mindestens eines sogenannten Minislots, ermöglicht. Nur wenn innerhalb eines Minislots ein Buszugriff erfolgt, wird der Zeitschlitz auf die für den Zugriff benötigte Zeit verlängert. Damit wird Bandbreite also nur verbraucht, wenn sie auch tatsächlich benötigt wird. Dabei kommuniziert FlexRay über eine oder zwei physikalisch getrennte Leitungen mit einer Datenrate von jeweils maximal 10 Mbit/sec. Selbstverständlich kann FlexRay auch mit niedrigeren Datenraten betrieben werden. Die beiden Kanäle entsprechen dabei der physikalischen Schicht, insbesondere des sogenannten OSI (Open System Architecture)-Schichtenmodells. Diese dienen hauptsächlich der redundanten und damit fehlertoleranten Übertragung von Botschaften, können jedoch auch unterschiedliche Botschaften übertragen, wodurch sich dann die Datenrate verdoppeln könnte. Es ist auch denkbar, dass sich das über die Verbindungsleitungen übertragene Signal als ein Differenzsignal ergibt. Die physikalische Schicht ist derart ausgestaltet, dass sie eine elektrische aber auch optische Übertragung des oder der Signale über die Leitung(en) oder eine Übertragung auf anderem Wege, bspw. über Funk, ermöglicht.
  • Um synchrone Funktionen zu realisieren und die Bandbreite durch kleine Abstände zwischen zwei Botschaften zu optimieren, benötigen die Teilnehmer in dem Kommunikationsnetzwerk eine gemeinsame Zeitbasis, die sogenannte globale Zeit. Die globale Zeit ist eine systemweit gültige Zeitbasis, auf welche die lokalen Zeiten der Teilnehmer (Knoten oder Steuergeräte) des Kommunikationssystems synchronisiert werden. Die globale Zeit spielt für die Zeitsteuerung in der Kommunikation und in der Applikation (zeitgesteuerte Betriebssysteme wie beispielsweise (OSEKtime), aber auch für Diagnosefunktionen und Fehlererkennung bzw. Fehlerbehandlung eine wichtige Rolle. Das bedeutet, dass jeder Kommunikations-Controller (Host oder Teilnehmer) eines solchen Kommunikationssystems eine eigene Uhr (beispielsweise einen Quarz-Oszillator) besitzt, die über den Mechanismus der globalen Zeit sogar mit allen anderen Uhren im System synchronisiert ist (sogenannte lokale Zeitbasis). Für die Synchronisation von lokalen Uhren der Teilnehmer werden Synchronisationsnachrichten im statischen Teil des Zyklus übertragen, wobei mit Hilfe eines speziellen Algorithmus entsprechend der FlexRay-Spezifikation die lokale Uhrzeit eines Teilnehmers so korrigiert wird, dass alle lokalen Uhren zu einer globalen Uhr synchron laufen.
  • Für die verschiedenen bekannten Kommunikationssysteme gibt es eine Reihe von Möglichkeiten, Zugriffskonflikte zu vermeiden oder zu lösen. In CAN wird zum Beispiel die sogenannte bitweise Arbitrierung verwendet. Diese ist sehr robust, durch Laufzeit-Phänomene ist aber die maximale Übertragungsgeschwindigkeit prinzipbedingt limitiert. Bei zeitgesteuerten Kommunikationssystemen wird das Zugriffsproblem per Ansatz und Konfiguration gelöst, die Konflikte werden schon offline vermieden. Voraussetzung ist allerdings ein gemeinsames Verständnis der Zeit, das netzwerkweit Gültigkeit hat (bei FlexRay: globale Zeit). Bei diesen Systemen gibt es aber in der Regel keine Möglichkeit, im Fehlerfall die Zugriffskonflikte zu behandeln, da der Zugriff an sich nicht verhindert werden kann. Deshalb sind für sicherheitsrelevante oder gar sicherheitskritische Anwendungen im Fahrzeug, bspw. für X-by-Wire-Systeme, Mechanismen zur Sicherstellung einer fehlerfreien Datenübertragung über das Kommunikationssystem und zur Freigabe von Aktuatorik des Sensors, z.B. von Elektromotoren oder Hydraulikpumpen, erforderlich. Bei verschiedenen Kommunikationssystemen, beispielsweise TTP/C oder FlexRay, ist es bekannt, einen sogenannten Bus-Guardian (BG; Buswächter) als zusätzliche Überwachungseinheit einzuführen, der den physikalischen Zugriff auf den Datenbus nur in den vorab konfigurierten Zeitabschnitten erlaubt. Damit ist der Zugriffskonflikt auch im Fehlerfall lösbar bzw. vermeidbar, In aktuellen Konzepten wird der lokale Bus-Guardian über den Takt des Bus-Controllers versorgt und dessen Rundeninformation für die Überwachungsfunktion verwendet. Bei der derzeit aktuellen FlexRay-Protokollspezifikation v2.1 wird ein Konzept beschrieben, das bezüglich der zeitlichen Überwachung des Kommunikationsprotokolls bzw. des Kommunikations-Controllers eingeschränkt ist. In dem bekannten Konzept taktet ein Makrotick (MT) des lokalen FlexRay-Kommunikations-Controllers seines lokalen Bus-Guardian. Der Zeitschlitz mit Sendeaktivität wird durch den Kommunikations-Controller zusätzlich durch ein ARM-Signal angezeigt. Das Timing (die zeitlichen Aktivitäten) des zu überwachenden FlexRay-Kommunikations-Controllers wird lediglich durch einen RC-Oszillator grob überwacht bzw. durch einen zusätzlichen Quarz-Oszillator auch mit höherer Auflösung überwacht.
  • Prinzipiell bleibt aber das Problem bestehen, dass durch die Makrotick-Versorgung und die ARM-Signale kleinere Uhrendrifts des lokalen Kommunikations-Controllers an den Bus-Guardian übertragen werden. Das bedeutet also, dass falls die Uhrenkorrektur des FlexRay-Kommunikations-Controllers gemäß der Protokollspezifikation v2.1 fehlerbehaftet arbeitet oder die Einstellung der Stell-Register zur Uhrenkorrektur fehlerhaft und unentdeckt sind, der lokale Kommunikations-Controller im Vergleich zum restlichen Kommunikationsnetzwerk driftet. Die Zeitschlitze zum Senden von Nachrichten (Sendeschlitze, Sendeslots) werden sich mit der Zeit in die Zeitschlitze der anderen Teilnehmer im Netzwerk verschieben, ohne dass der lokale Bus-Guardian diese Situation erfassen und entsprechende Gegenmaßnahmen einleiten kann. Dieser Problemfall tritt insbesondere bei FlexRay und TTCAN auf.
  • Ein anderer Problemfall betrifft die Offset-Korrektur der lokalen Zeiten der Teilnehmer, so dass die lokalen Zeiten synchron zu der globalen Zeit des Kommunikationssystems laufen. Eine Offset-Korrektur gibt es beispielsweise bei TTCAN, TTP/C, und FlexRay, wobei bei FlexRay die Offset-Konekturphase während der sogenannten Network-Idle-Time (NIT) des lokalen Kommunikations-Controllers am Ende eines Kommunikationszyklus erfolgt. Die Korrektur des Offsets am Ende einer Kommunikationsrunde bzw. einer Doppelrunde verkürzt bzw. verlängert die lokale Runde innerhalb vorgegebener spezifizierter Grenzen. Die nächste Kommunikationsrunde beginnt aufgrund der Korrektur um einige sogenannte Mikroticks (μT) früher oder später. Der lokale Bus-Guardian muss diese Offset-Korrektur zulassen. Die Timerüberwachung muss dies akzeptieren. Allerdings besteht kein Bus-Guardian-Wissen bezüglich der Auswirkungen der Offset-Korrektur auf die nächste Kommunikationsrunde. Auch in diesem Fall kann es zum Überschneiden der Sende-Zeitschlitze der verschiedenen Teilnehmer kommen. Die Wahrscheinlichkeit einer Überschneidung erhöht sich mit zunehmender Rundenzahl.
  • In beiden genannten Problemfällen liegt eine permanente Störung vor. Spontane Fehler führen dagegen nicht zu dieser Situation, da das Kommunikationsprotokoll selbst geeignete Korrekturmaßnahmen umfasst bzw. Fehlerbehandlungsmaßnahmen vorsieht, um spontane Fehler zu erkennen, korrigieren und zu beheben.
  • Das Bus-Guardian-Konzept gemäß der FlexRay-Protokollspezifikation v2.1 beruht auf der Annahme, dass die beschriebenen Fehlerfälle aufgrund permanenter Störungen nur mit geringer Wahrscheinlichkeit auftreten bzw. diese Störungen oder Fehler durch zusätzliche Maßnahmen im Teilnehmer-Host bzw. durch ergänzende Funktionalitäten erkannt werden können.
  • Aus dem Stand der Technik sind des weiteren verschiedene Verfahren zur Überwachung von Steuergeräten (oder Prozessrechner) bekannt. Dies kann nach dem Stand der Technik durch eine sogenannte Frage-Antwort-Kommunikation auf Basis eines 1½-Rechner-Konzepts ausgeführt werden. In der DE 198 26 131 A1 ist dieses Überwachungskonzept für eine Radeinheit eines Brake-by-Wire-Systems dargestellt. Dabei wird das eigentliche Steuergerät, das für die Ansteuerung der Aktuatorik (z.B. hydraulische Radbremsen) verantwortlich ist, von einer Überwachungskomponente überwacht und im Fehlerfall abgeschaltet. Die Überwachung des Steuergeräts basiert auf einer Frage-Antwort-Kommunikation, die einem festgelegten Protokoll folgt. Die Freigabe der Aktuatorik erfolgt ausschließlich bei erfolgreicher Frage-Antwort-Kommunikation, d.h. die von der Überwachungskomponente an das Steuergerät gestellte Frage wird von dem Steuergerät zum einen innerhalb eines vorgegebenen Zeitfensters und zum anderen richtig beantwortet und umgekehrt eine von dem Steuergerät gestellte Frage wird von der Überwachungskomponente innerhalb eines vorgegebenen Zeitfensters richtig beantwortet. Falls dem Steuergerät und der Überwachungskomponente Fragen gestellt werden, welche die gleiche richtige Antwort haben, erfolgt die Freigabe der Aktuatorik ausschließlich bei Übereinstimmung der Antwort des Steuergeräts mit der Antwort der Überwachungskomponente (1½-Rechner-Konzept). Das Prinzip der Freigabe basiert dabei auf einer elektrischen Schaltung, der sogenannten Freigabeschaltung (in dem aus der DE 198 26 131 A1 bekannten Ausführungsbeispiel in Form einer UND-Verknüpfung), die zwischen dem Steuergerät (dem Prozessrechner) und der Überwachungseinheit realisiert ist. Das bedeutet, dass beide Komponenten, d.h. das Steuergerät und die Überwachungskomponente, für eine normale Funktion der Aktuatorik eine logische "1" an die Freigabeschaltung anlegen müssen. Die Abschaltung der Akuatorik erfolgt, sobald ein Prozess in dem Steuergerät das Signal zur Abschaltung gibt. Die Überwachungskomponente wird nur dann das Signal zur Abschaltung geben, wenn die überwachte Komponente, d.h. das Steuergerät (der Prozessrechner), als fehlerhaft erkannt wurde.
  • Die Frage-Antwort-Kommunikation ist ein gängiges Verfahren zur Überwachung von Steuergeräten in einem Kraftfahrzeug. Die unabhängige Überwachungseinheit (der sogenannte Überwachungsrechner) besitzt eine Liste an Fragen, die dem eigentlichen Prozessrechner (Steuergerät) vorzugsweise periodisch gestellt werden. Diese Fragen müssen
    • a) innerhalb einer vorgegebenen, spezifizierten Zeit beantwortet werden und
    • b) die Antwort muss in einer entsprechenden Antworttabelle des Überwachungsrechners als Antwort auf die zuvor gestellte Frage eingetragen sein.
  • Die Auswahl der Fragen aus der Liste kann nach einem Zufallsverfahren oder rein zyklisch erfolgen. Ein wichtiger Bestandteil der Frage-Antwort-Kommunikation sind die Timer (Zeitgeber) zum vorzugsweise periodischen Starten der Frage-Antwort-Kommunikation und zum Festlegen des für die Antworten erlaubten Zeitfensters. Das Zeitfenster beschreibt den Zeitraum zwischen dem frühest möglichen und dem spätest möglichen Eintreffen der Antwort.
  • Ausgehend von dem beschriebenen Stand der Technik liegt der vorliegenden Erfindung die Aufgabe zugrunde, bekannte Bus-Guardian-Konzepte für Kommunikationssysteme dahingehend zu erweitern, dass auch permanente Störungen in den Teilnehmern bzw. in den Bus-Controllern der Teilnehmer erkannt und gegebenenfalls korrigiert oder behoben werden können.
  • Zur Lösung dieser Aufgabe wird ausgehend von der lokalen Überwachungseinheit der eingangs genannten Art vorgeschlagen, dass die Überwachungseinheit Mittel zur Realisierung einer Frage-Antwort-Kommunikation mit dem Bus-Controller aufweist, und den Zugriff des Bus-Controllers auf den Datenbus nur dann freigibt, wenn die Frage-Antwort-Kommunikation ein ordnungsgemäßes Funktionieren des Bus-Controllers ergibt.
  • Erfindungsgemäß wird also das von der Überwachung von Steuergeräten an sich bekannte Überwachungs-Konzept zur Durchführung einer Frage-Antwort-Kommunikation auf den Bus-Controller und die Überwachungseinheit der Teilnehmer eines Kommunikationssystems übertragen. Bei einem FlexRay-Kommunikationssystem wird das Überwachungs-Konzept also auf den FlexRay-Kommunikations-Controller und den FlexRay-Bus-Guardian übertragen. Selbstverständlich ist das vorgeschlagene Überwachungskonzept nicht auf den Einsatz in FlexRay-Kommunikationssystemen beschränkt, sondern kann in belieben Kommunikationssystemen eingesetzt werden, die über eine Überwachungseinheit (z.B. einen Bus-Guardian) zur Überwachung der Funktion eines Bus-Controllers verfügen. Die Überwachungseinheit muss mit Hilfe des Frage-Antwort-Konzepts mögliche Fehler im Bus-Controller, insbesondere aufgrund von permanenten Störungen in dem Bus-Controller, entdecken, die zu den eingangs beschriebenen Problemstellungen führen.
  • Vorzugsweise berücksichtigt die Frage-Antwort-Kommunikation zwischen dem Bus-Controller und der Überwachungseinheit die folgenden Fehlermöglichkeiten:
    • a) Input-Set für die Uhrensynchronisation prüfen
    • b) korrekte Berechnung der Rate-Korrektur
    • c) korrekte Anwendung der Rate-Korrektur
    • d) korrekte Berechnung der Offset-Korrektur
    • e) korrekte Anwendung der Offset-Korrektur
  • Die Überwachungseinheit übernimmt dabei die Aufgabe eines Überwachungsrechners und stellt, vorzugsweise periodisch, Fragen an den ihr zugeordneten Bus-Controller, um dann den Eingang der richtigen Antwort innerhalb eines spezifizierten Zeitfensters zu überwachen. Für den Fall, dass das Zeitfenster nicht eingehalten wird eine eine falsche Antwort auf die Frage eintrifft, übernimmt die Überwachungseinheit die Abschaltung des Bus-Controllers bzw. verhindert das aktive Senden von Nachrichten durch den Bus-Controller. Die Reaktion der Überwachungseinheit auf eine fehlgeschlagene Frage-Antwort-Kommunikation kann entweder temporärer Natur sein (für einen oder mehrere Kommunikationszyklen), oder aber von dauerhafter Natur sein (bis zum Herunterfahren des Teilnehmers oder des gesamten Kommunikationssystems).
  • Die vorliegende Erfindung beseitigt die konzeptionellen Schwachstellen des bisher bekannten Überwachungs-Konzepts, insbesondere des bekannten Bus-Guardian-Konzepts in der FlexRay-Protokollspezifikation v2.1. Dabei ist eine kostenoptimierte Realisierung möglich, da nur notwendige Logik/Funktionalität die Überwachungseinheit erweitert, nämlich die Überwachungsfunktionalität der Frage-Antwort-Kommunikation. Die Integration des Konzepts in sogenannte Überwachungsrechner hat besondere Vorteile. Dadurch sind Kosteneinsparungen bei der Einführung neuer Kommunikationssystem-Technologien, beispielsweise der FlexRay-Technologie, mit der Forderung nach einer Überwachungseinheit (Bus-Guardian) werden ermöglicht. Es ist keine separate Überwachungseinheit (Bus-Guardian) notwendig, sondern die vorliegende Erfindung kann in das bestehende Überwachungsrechnerkonzept integriert werden.
  • Die vorliegende Erfindung hat besondere Vorteile für die Realisierung in einem FlexRay-Kommunikationssystem, wobei die Bus-Guardians und die Kommunikations-Controller der Teilnehmer eines FlexRay-Kommunikationssystems zur Durchführung der Frage-Antwort-Kommunikation ausgebildet sind. Zur Realisierung des Konzepts muss lediglich die Überwachungseinheit um eine Liste von Fragen und entsprechenden Antworten ergänzt werden. Die Überwachungseinheit wird um einen Mechanismus ergänzt, der das vorzugsweise periodische Fragen, das Setzen entsprechend der Zeitgeber (Timer) für das Zeitfenster, die Überwachung dieses Zeitfensters und die Überprüfung der Antwort ermöglicht. Schließlich hat die Überwachungseinheit einen Pin zur Freigabe des Bus-Controllers und zum Bedienen einer eventuell in dem Teilnehmer vorhandenen Freigabeschaltung. Bei dem vorgeschlagenen Konzept wird gezielt die Logik des Bus-Controllers getestet, die für die Berechnung der Uhrensynchronisationswerte (für eine Synchronisation der lokalen Zeitbasis des Teilnehmers auf die globale Zeitbasis des Kommunikationssystems) zuständig ist. Des Weiteren kann ein einfacher Read-Back-Mechanismus auf die relevanten Stell-Register für die Uhrensynchronisation durchgeführt werden. Hierzu ist eine erweiterte Schnittstelle zwischen der Überwachungseinheit und dem Bus-Controller vorgesehen. Das FlexRay-Protokoll beispielsweise schlägt derzeit den Austausch von Informationen über eine SPI (Serial Peripheral Interface)-Schnittstelle vor. Bei der SPI-Schnittstelle handelt es sich um einen einfachen synchronen, seriellen Datenbus. Diese Schnittstelle wäre auch ausreichend für die Frage-Antwort-Kommunikation gemäß der vorliegenden Erfindung. Die bisherige Funktionalität der Überwachungseinheit, beispielsweise die Funktionalität des Bus-Guardian gemäß FlexRay-Protokollspezifikation v2.1, kann vollständig erhalten bleiben.
  • Um das Input-Set für die Uhrensynchronisation des Teilnehmers zu prüfen, wird erfindungsgemäß vorgeschlagen, dass die Überwachungseinheit um eine Logik erweitert wird, die gezielt das Input-Set des Bus-Controllers für die Uhrensynchronisation überprüft. Ziel ist es, die Qualität der Uhrensynchronisation hoch zu halten und Fehler aufgrund von permanenten Störungen zu detektieren und ggf. zu unterbinden. Gelingt dies nicht, sollte der Teilnehmer bzw. der Bus-Controller oder der Bus-Treiber in einen Fail-Silent-Mode gesetzt werden, um das Senden des Bus-Controllers zu vermeiden bzw. eine eventuell vorhandene Freigabeschaltung für den Bus-Controller zu sperren. Hierzu wird die Überwachungseinheit über eine Schnittstelle zum Bus-Controller mit Informationen bezüglich der Synchronisationsnachrichten (Sync-Frames; Datenrahmen zur Synchronisation der lokalen Zeitbasis) versorgt, welche die Grundlage für die Uhrensynchronisation in dem Bus-Controller bilden. Der Überwachungseinheit werden also Informationen zur Verfügung gestellt, welche der Sync-Frames von dem lokalen Bus-Controller empfangen, dekodiert und für die Berechnung von Korrekturwerten (für die lokale Zeitbasis) herangezogen wurden. Hierzu kann in dem Bus-Controller eine Liste mit Informationen bezüglich der Synchronisationsnachrichten angelegt werden, wie dies beispielsweise in der FlexRay-Protokollspezifikation v2.1 vorgeschlagen ist. Diese Liste kann nun im Rahmen der Frage-Antwort-Kommunikation folgenden Prüfungen unterzogen werden:
    • a) Es kann eine Mehrheitsentscheidung über die Anzahl der vorliegenden Sync-Frames ausgeführt werden. Falls eine kritische Anzahl an Sync-Frames unterschritten wird, besteht die Gefahr, dass die nachfolgenden Berechnungen der Korrekturwerte auf Grundlage einer ungenauen lokalen Zeitbasis erfolgten und damit zu falschen Ergebnissen führen. Die Grenze der minimal zulässigen Anzahl an Sync-Frames ist vorzugsweise an die Einstellungen des Bus-Controllers angepasst. Eine entsprechende Überprüfung der Anzahl der vorliegenden Sync-Frames kann auch in dem Bus-Controller ausgeführt werden. Durch die redundante Ausführung der Überprüfung der Anzahl der vorliegenden Sync-Frames durch die Überwachungseinheit kann eine Konsistenzprüfung ausgeführt werden. Falls unterschiedliche Ergebnisse vorliegen, sollte die Überwachungseinheit des Senden von Nachrichten durch den lokalen Bus-Controller vermeiden bzw. eine eventuell vorhandene Freigabeschaltung sperren.
    • b) Falls Informationen in dem Kommunikationssystem über zwei separate Kanäle redundant übertragen werden, kann auch die Anzahl und die Identifikation der Synchronisationsnachrichten (Sync-Frames) beider Kanäle verglichen werden. Diese Informationen stehen ebenfalls in dem Bus-Controller zur Verfügung (vergleiche beispielsweise FlexRay-Protokollspezifikation v2.1). Falls unterschiedliche Ergebnisse vorliegen, muss die Überwachungseinheit das Senden von Nachrichten durch den lokalen Bus-Controller vermeiden bzw. eine eventuell vorhandene Freigabeschaltung sperren.
  • Eine durch einen Bus-Controller berechnete, fehlerhafte Rate-Korrektur für die globale Zeitbasis des Kommunikationssystems, welche dann die lokale Zeitbasis des Teilnehmers bzw. Bus-Controllers ergibt, kann verschiedene Ursachen haben. Die fehlerhafte Berechnung kann sich aufgrund eines inkorrekten Input-Sets oder aufgrund eines Fehlers in einer Berechnungs-Logik des Bus-Controllers ergeben. Zum Überprüfen eines ordnungsgemäßen Funktionierens der Berechnungs-Logik werden verschiedene Möglichkeiten vorgeschlagen:
    • a) In der Überwachungseinheit wird die Berechnung der Rate-Korrektur in gleicher Weise vollzogen wie in dem Bus-Controller, d.h. in der Überwachungseinheit gibt es eine identische Umsetzung des Mechanismus des Bus-Controllers zur Berechnung der Rate-Korrektur. Die Werte des Input-Sets liegen in der oben beschriebenen Weise in der Überwachungseinheit vor. Die Berechnungsergebnisse liegen auch in dem Bus-Controller vor und können mit den Ergebnissen der Überwachungseinheit abgeglichen werden. Hierzu ist zusätzliche Kommunikation über eine Schnittstelle zwischen der Überwachungseinheit und dem Bus-Controller notwendig. Falls unterschiedliche Ergebnisse vorliegen, muss die Überwachungseinheit das Senden von Nachrichten durch den lokalen Bus-Controller vermeiden bzw. eine eventuell vorhandene Freigabeschaltung sperren.
    • b) Die Überwachungseinheit kann auch gezielte Fragen an die Berechnungs-Logik des Bus-Controllers stellen, die für die Berechnung der Rate-Korrektur-Werte zuständig ist. Die Berechnungslogik muss eine Antwort an die Überwachungseinheit zurückliefern. Die geforderte Antwort hat innerhalb eines festgelegten Zeitfensters zu erfolgen. Die Überwachungseinheit vergleicht das Ergebnis mit der entsprechenden lokal abgespeicherten Antwort auf die Frage. Damit wird die korrekte Funktion der Berechnungs-Logik für die Rate-Korrektur des Bus-Controllers vorzugsweise periodisch überprüft. Permanente Störungen und die daraus resultierenden Fehler können so festgestellt werden. In diesem Fall muss die Überwachungseinheit das Senden von Nachrichten durch den lokalen Bus-Controller vermeiden bzw. eine Freigabeschaltung entsprechend sperren.
  • Die Ursache für eine falsche Anwendung eines korrekt berechneten Wertes für die Rate-Korrektur für die globale Zeitbasis durch den Bus-Controller kann verschiedene Ursachen haben. Zum Einen kann es an Fehlern in der Logik zur Makrotick (MT)-Generierung und zum Anderen in Fehlern eines Speicherelements, beispielsweise eines Speicherregisters, für den Korrekturwert liegen, so dass ein falscher Korrekturwert in der Makrotick-Generierung verwendet wird. Erfindungsgemäß werden folgende Mechanismen vorgeschlagen:
    • a) Die Überwachungseinheit erhält einen Wert für die Rate-Korrektur von dem Bus-Controller über die Schnittstelle mitgeteilt und vergleicht den Wert mit dem entsprechenden Speicherwert in einem Stellregister des Bus-Controllers. Falls unterschiedliche Ergebnisse vorliegen, muss die Überwachungseinheit das Senden von Nachrichten durch den lokalen Bus-Controller vermeiden bzw. die Freigabeschaltung sperren.
    • b) Die Überwachungseinheit kann gezielte Fragen an die Logik des Bus-Controllers stellen, die für die Makrotick-Generierung zuständig ist. Die Logik muss eine Antwort an die Überwachungseinheit zurückliefern. Die geforderte Antwort muss innerhalb eines festgelegten Zeitfensters erfolgen. Die Überwachungseinheit vergleicht das Ergebnis mit einer entsprechenden lokal abgespeicherten Antwort auf diese Frage. Damit wird die korrekte Funktion der Makrotick-Generierungs-Logik vorzugsweise periodisch überprüft. Permanente Störungen und die daraus resultierenden Fehler können festgestellt werden. In diesem Fall muss die Überwachungseinheit das Senden von Nachrichten durch den lokalen Bus-Controller vermeiden bzw. eine eventuell vorhandene Freigabeschaltung sperren.
    • c) Die Überwachungseinheit erhält am Ende einer Kommunikationsrunde von dem Bus-Controller die Anzahl der Mikroticks (μT) pro Runde bzw. die Anzahl der Mikroticks (μT) pro Makrotick (MT) mitgeteilt. Die Information wird über die Schnittstelle zwischen dem Bus-Controller und der Überwachungseinheit ausgetauscht. Die Informationen werden von Runde zu Runde ausgetauscht und abgeglichen. Für den Vergleich durch die Überwachungseinheit sind Grenzen festzulegen, d.h. ein zulässiger Drift in Mikrotick pro Runde bzw. Mikrotick pro Makrotick spezifiziert. Überschreitet bzw. unterschreitet der Vergleich eine festgesetzte Ober- bzw. Untergrenze, kann die Überwachungseinheit das Senden von Nachrichten durch den lokalen Bus-Controller vermeiden bzw. eine eventuell vorhandene Freigabeschaltung sperren.
  • Der Bus-Controller kann aufgrund eine fehlerhaften Input-Sets oder aufgrund eines Fehlers in der Berechnungs-Logik des Bus-Controllers eine fehlerhafte Offset-Korrektur für die globale Zeitbasis des Kommunikationssystems, auf welche die lokale Zeitbasis des Teilnehmers synchronisiert wird. Zur Detektion eines fehlerhaften Input-Sets wurden bereits oben mehrere Vorschläge gemacht. Zur Detektion eines Fehlers in der Berechnungs-Logik für die Offset-Korrektur werden folgende Mechanismen vorgeschlagen:
    • a) In der Überwachungseinheit wird die Offset-Korrektur aus dem Bus-Controller nachvollzogen. Beispielsweise ist in der Überwachungseinheit eine 1:1-Umsetzung des Mechanismus aus dem Bus-Controller ausgebildet. Die Werte des Input-Sets liegen – wie bereits oben beschrieben – in der Überwachungseinheit vor. Die Berechnungsergebnisse der Offset-Korrektur liegen auch in dem Bus-Controller vor und können mit dem Ergebnissen der Überwachungseinheit verglichen werden. Hierzu ist zusätzliche Kommunikation über die Schnittstelle zwischen der Überwachungseinheit und dem Bus-Controller notwendig. Falls unterschiedliche Ergebnisse vorliegen, muss die Überwachungseinheit das Senden von Nachrichten durch den lokalen Bus-Controller vermeiden bzw. eine eventuell vorhandene Freigabeschaltung sperren.
    • b) Die Überwachungseinheit stellt gezielte Fragen an die Logik des Bus-Controllers, die für die Berechnung der Offset-Korrektur-Werte zuständig ist. Die Berechnungslogik muss eine Antwort an die Überwachungseinheit zurückliefern. Die geforderte Antwort hat innerhalb festgelegter Zeitfenster zu erfolgen. Die Überwachungseinheit vergleicht das Ergebnis mit ihren lokal abgespeicherten Antworten. Insbesondere wird überprüft, ob die Antwort des Bus-Controllers die richtige Antwort auf die gestellte Frage ist. Damit wird die korrekte Funktion der Berechnungs-Logik vorzugsweise periodisch überprüft. Permanente Störungen und die daraus resultierenden Fehler werden detektiert. In diesem Fall muss die Überwachungseinheit das Senden von Nachrichten durch den lokalen Bus-Controller vermeiden bzw. eine eventuell vorhandene Freigabeschaltung sperren.
  • Die Ursache, dass der Bus-Controller eine korrekt errechnete Offset-Korrektur für die globale Zeitbasis nicht richtig anwendet, kann in der Logik der Offset-Anwendung oder in einem Speicherelement, beispielsweise einem Speicherregister, für den Korrekturwert liegen. Dies führt auf jeden Fall dazu, dass ein falscher Korrekturwert für die Offset-Korrektur verwendet wird.
  • Zur Überprüfung der korrekten Anwendung der Offset-Korrektur werden verschiedene Mechanismen vorgeschlagen:
    • a) Die Überwachungseinheit erhält den Offset-Korrekturwert von dem Bus-Controller über die Schnittstelle mitgeteilt und vergleicht den Korrekturwert mit dem Speicherwert in einem Stellregister des Bus-Controllers. Falls unterschiedliche Ergebnisse vorliegen, muss die Überwachungseinheit das Senden von Nachrichten durch den lokalen Bus-Controller vermeiden bzw. eine eventuell vorhandene Freigabeschaltung sperren.
    • b) Die Überwachungseinheit stellt gezielte Fragen an die Logik des Bus-Controllers, die für die Offset-Anwendung, bei FlexRay beispielsweise während der Network-Idle-Time (NIT), zuständig ist. Die Logik muss eine Antwort an die Überwachungseinheit zurückliefern. Die geforderte Antwort muss innerhalb festgelegter Zeitfenster erfolgen. Die Überwachungseinheit vergleicht das Ergebnis mit ihren lokal abgespeicherten Antworten, insbesondere prüft sie, ob es sich um die richtige Antwort auf die gestellte Frage handelt. Damit wird die korrekte Funktion der Offset-Anwendung vorzugsweise periodisch überprüft. Permanente Störungen und die daraus resultierenden Fehler werden detektiert. In diesem Fall muss die Überwachungseinheit das Senden von Nachrichten durch den lokalen Bus-Controller vermeiden bzw. eine eventuell vorhandene Freigabeschaltung sperren.
    • c) Die Überwachungseinheit vergleicht einen Microtick-Zähler (μT-Counter) des Bus-Controllers vor der Offset-Korrektur mit dem Mikrotick-Zähler nach der Offset-Korrektur. Diese Microtick-Zähler werden über die Schnittstelle zwischen dem Bus-Controller und der Überwachungseinheit ausgetauscht. Die Differenz des Microtick-Zählers vor und nach der Offset-Korrektur muss innerhalb vorab festgelegter Bereiche liegen. Werden diese Bereiche überschritten und werden keine Werte geliefert, muss die Überwachungseinheit das Senden von Nachrichten durch den lokalen Bus-Controller vermeiden bzw. eventuell vorhandene Freigabeschaltungen sperren.
  • Bevorzugte Ausführungsbeispiele der vorliegenden Erfindung können den Unteransprüchen entnommen werden. Bevorzugte Ausführungsbeispiele der Erfindung und weitere Vorteile der Erfindung werden anliegend anhand der Figuren näher erläutert. Es zeigen:
  • 1 ein erfindungsgemäßes Kommunikationssystem gemäß einer bevorzugten Ausführungsform;
  • 2 ein aus dem Stand der Technik bekannter Teilnehmer eines Kommunikations-Systems; und
  • 3 einen erfindungsgemäßen Teilnehmer des FlexRay-Kommunikationssystems aus 1.
  • Beschreibung der Ausführungsbeispiele
  • Die vorliegende Erfindung wird nachfolgend beispielhaft anhand eines FlexRay-Kommunikationssystems erläutert. Selbstverständlich kann die vorliegende Erfindung jedoch auch in anderen Kommunikationssystemen eingesetzt werden, bei denen bereits jetzt schon andere Bus-Guardian-Konzepte zum Einsatz kommen, oder bei denen das erfindungsgemäße Bus-Guardian-Konzept sinnvoll erscheint und/oder Vorteile bringen würde.
  • In 1 ist eine vereinfachte Topologie eines FlexRay-Kommunikationssystems in seiner Gesamtheit mit dem Bezugszeichen 1 bezeichnet. Das Kommunikationssystem umfasst eine physikalische Schicht, die in dem vorliegenden Fall als ein Datenbus 2 mit zwei elektrisch leitfähigen Leitungen ausgebildet ist. Selbstverständlich kann die physikalische Schicht auch durch optische Lichtwellenleiter oder mittels Funkstrecken realisiert werden. Ebenso ist es denkbar, nicht zwei separate Übertragungskanäle, sondern lediglich einen Kanal vorzusehen. An den Datenbus 2 sind mehrere Teilnehmer 3 angeschlossen, die auch als Steuergeräte oder Hosts bezeichnet werden. Streng genommen umfasst der Host jedoch noch einen Mikrocontroller, der in 1 mit dem Bezugszeichen 4 bezeichnet ist. Somit bilden der Teilnehmer 3 und der Mikrocontroller 4 gemeinsam den eigentlichen Host 5.
  • Die Teilnehmer 3 des Kommunikationssystems umfassen jeweils einen Kommunikations-Controller 6, der über den Datenbus 2 zu übertragenden Informationen 7 von dem Mikrocontroller 4 empfängt und gemäß der in dem Kommunikationssystem 1 verwendeten Protokollspezifikation, in dem dargestellten Beispiel gemäß der FlexRay-Protokollspezifikation v2.1, in das richtige Datenformat zur Übertragung über den Datenbus 2 bringt. Die Informationen 7 in dem richtigen Datenformat werden an den Bus-Treiber 8 des Teilnehmers 3 übertragen, der sie in eine für die Übertragung über den Datenbus erforderliche Form, ebenfalls gemäß der verwendeten Protokoll-Spezifikation, bringt.
  • Um beispielsweise in sicherheitsrelevanten Applikationen des Kommunikationssystems 1 ein blockierendes Datenbusses 2 durch einen defekten, ständig sendenden Teilnehmer 3 zu verhindern, sind in den Teilnehmern 3 Buswächter 9 (Bus-Guardian) vorgesehen, welche die Zugriffsberechtigung der Bus-Treiber 8 überwachen und steuern. Die Bus-Treiber 8 können nur dann Informationen oder Datenpakete an den Datenbus 2 anlegen, wenn sie von dem zugehörigen Bus-Guardian 9 ein entsprechendes Enable-Signal 10 erhalten.
  • Das FlexRay-Kommunikationssystem 1 aus 1 hat eine besonders einfache Topologie. Selbstverständlich kann die Topologie des Datenbusses 2 auch ringförmig oder sternförmig ausgebildet sein. Ebenso ist es denkbar, zur Übertragung der Datenpakete über größere Strecken Verstärkerelemente, beispielsweise einen Active-Star, in der Datenbus-Struktur 2 anzuordnen.
  • In 2 ist ein aus dem Stand der Technik bekannter FlexRay-Teilnehmer 3 mit einem bekannten Bus-Guardian-Konzept dargestellt. Das in der FlexRay-Protokollspezifikation v2.1 beschriebene Konzept ist bezüglich der zeitlichen Überwachung des Kommunikationsprotokolls bzw. des Kommunikations-Controllers 6 eingeschränkt. Bei dem bekannten Überwachungs-Konzept taktet ein Makrotick (MT) 13 des lokalen Kommunikations-Controllers 6 seinen lokalen Bus-Guardian 9. Der Zeitschlitz mit Sendeaktivität wird zusätzlich durch ein ARM-Signal 14 des Kommunikations-Controllers 6 angezeigt. Die zeitlichen Abfolgen (das sogenannte Timing) des zu überwachenden FlexRay-Kommunikations-Controllers 6 wird lediglich durch einen RC-Oszillator 15 grob überwacht bzw. durch einen zusätzlichen Quarz-Oszillator (nicht dargestellt) auch mit höherer Auflösung überwacht.
  • Bei dem Teilnehmer 3 mit dem bekannten Überwachungs-Konzept leitet der Bus-Guardian 9 also seine Zeitbasis von dem korrigierten Makrotick-Signal 13 ab, das er von dem Kommunikations-Controller 6 erhält. Das ARM-Signal 14 dient zur Synchronisation des Beginns eines Kommunikationszyklus bzw. der Sendeschlitze des Kommunikationszyklus. Der RC-Oszillator 15 erlaubt eine grobe Überwachung des Makrotick-Signals 13, so dass Abweichungen erst oberhalb von 20 bis 30 % des Signals als solche erkannt werden.
  • Somit ist die Zeitbasis des Bus-Guardian 9 nicht unabhängig von der Zeitbasis des Kommunikations-Controllers 6, sondern abhängig von dem Makrotick (MT)-Signal 13. Durch die Überwachung dieses Signals 13 mittels der Signale des RC-Oszillators 15 kann eine vollständige Unabhängigkeit von der Zeitbasis des Kommunikations-Controllers 6 nicht erzielt werden.
  • Der Kommunikations-Controller 6 empfängt zu überragende Daten von dem Hostrechner (Mikrocontroller) 4. Der Controller 6 bringt die Daten in das gemäß FlexRay-Protokollspezifikation vorgeschriebene Datenformat. Insbesondere werden die Daten in ein Nutzdaten-Segment (sog. Payload Segment) eines Datenrahmens (FlexRay-Frame) eingebracht. Die über den Datenbus 2 zu übertragenden formatierten Daten sind in 2 mit dem Bezugszeichen 16 bezeichnet. Die Daten 16 werden an den Bus-Treiber 8 übermittelt, der sie in ein für die Datenübertragung geeignetes Format bringt. Der Bus-Treiber 8 legt die zu übertragenden Daten 16 dann zum Übertragungszeitpunkt an den Datenbus 2 an. Die Tätigkeit des Bus-Treibers 8 wird durch den Bus-Guardian 9 so weit überwacht und/oder gesteuert, dass der Bus-Treiber 8 die Daten 16 nur dann an den Datenbus 2 anlegen kann, wenn der Bus-Guardian 9 die Zugriffsberechtigung des Bus-Treibers 8 bestätigt und ein Enable-Signal 17 an den Bus-Treiber 8 anlegt.
  • Das bekannte Überwachungs-Konzept hat insbesondere in den Fällen Schwächen, in denen permanente Störungen vorliegen, die aufgrund von Fehlern oder Ungenauigkeiten in dem Kommunikations-Controller 6 zu einer schleichenden Verschiebung der Sende-Zeitschlitze des Teilnehmers 3 in die gemäß Kommunikations-Schedule anderen Sendezeitschlitze der übrigen Teilnehmer 3 des Kommunikationszyklus. So besteht beispielsweise ein Problem, dass durch die Makrotick-Versorgung 13 und die ARM-Signale 14 minimale Uhrendrifts des lokalen Kommunikations-Controllers 6 an den Bus-Guardian 9 übertragen werden können. Falls also die Uhrenkorrektur des FlexRay-Kommunikations-Controllers 6 gemäß der Protokollspezifikation v2.1 fehlerbehaftet arbeitet oder die Einstellung von Stell-Registern zur Uhrenkorrektur des Kommunikations-Controllers 6 fehlerbehaftet und unentdeckt sind, driftet der lokale Kommunikations-Controller 6 und damit auch der lokale Bus-Guardian 9 im Vergleich zum restlichen Kommunikationsnetzwerk 1. Die Sendeschlitze des Kommunikationszyklus für den Teilnehmer 3, dessen Kommunikations-Controller 6 Fehler oder Ungenauigkeiten in der lokalen Zeitbasis aufweist, werden sich mit der Zeit also in die Sende-Zeitschlitze der anderen Teilnehmer 3 in dem Kommunikationsnetzwerk 1 schieben, ohne dass der lokale Bus-Guardian 9 diese Situation erfassen und entsprechende Reaktionen auslösen könnte. Einen anderen Problemfall stellt die sogenannte Offset-Korrekturphase während der sogenannten Network Idle Time (NIT) des lokalen Kommunikations-Controllers 6 am Ende eines Kommunikationszyklus dar. Die Offset-Korrekturphase dient unter anderem zur Synchronisation der lokalen Zeitbasis des Teilnehmers 3 auf die globale Zeitbasis des Kommunikationssystems 1. Um eine solche Korrektur vorzunehmen, darf in spezifizierten Grenzen korrgiert werden. Die nachfolgende Kommunikations-Runde beginnt um einige Mikroticks (μT) früher oder später. Der lokale Bus-Guardian 9 muss diese Korrektur zulassen. Die Timer-Überwachung muss dies akzeptieren. Es besteht jedoch kein Bus-Guardian-Wissen bezüglich der Auswirkungen der Offset-Korrektur auf die nächste Kommunikations-Runde. Auch in diesem Fall kann es zum Überschneiden der Sende-Zeitschlitze kommen. Die Wahrscheinlichkeit einer solchen Überschneidung erhöht sich mit zunehmender Rundenzahl.
  • Ein erfindungsgemäßer Teilnehmer 3 ist im Detail in 3 dargestellt. In dem erfindungsgemäßen Teilnehmer 3 ist der Bus-Guardian 9 schaltungstechnisch und funktional gegenüber einem bekannten FlexRay-Bus-Guardian (vgl. 2) derart erweitert worden, dass selbst permanente Störungen des FlexRay-Kommunikations-Controllers 6 beim Zugriff auf den Datenbus 2 sicher und zuverlässig detektiert und entsprechende Abhilfe- und Gegenmaßnahmen unternommen werden können. Die erfindungsgemäß vorgeschlagene Lösung ist besonders einfach und kostengünstig realisierbar, aber gleichzeitig äußerst wirkungsvoll.
  • Zwischen dem Bus-Guardian 9 und dem Kommunikations-Controller 6 ist eine Schnittstelle 18 angeordnet, die beispielsweise als eine SPI (Serial Peripheral Interface)-Schnittstelle ausgebildet ist. Über diese Schnittstelle 18 kann der Bus-Guardian 9 gezielt Fragen an den Kommunikations-Controller 6 übertragen und kann der Kommunikations-Controller 6 auf die Fragen berechnete Antworten wieder zurück an den Bus-Guardian 9 übermitteln. Über die Schnittstelle 18 lässt sich also eine Frage-Antwort-Kommunikation zwischen dem Bus-Guardian 9 und dem Kommunikations-Controller 6 realisieren. Dazu ist es erforderlich, dass in dem Bus-Guardian 9 eine Liste 19 mit verschiedenen Fragen und eine Liste 20 mit den entsprechenden richtigen Antworten auf die Fragen aus der Liste 19 abgespeichert sind. Selbstverständlich können die Listen 19 und 20 auch zu einer gemeinsamen Liste zusammengefasst sein. Die Listen 19 und 20 können auch auf einem Speicher außerhalb des Bus-Guardian 9 abgespeichert sein, wobei dann bei Bedarf Fragen und/oder Antworten in den Bus-Guardian 9 übertragen werden.
  • Des Weiteren müssen in dem Bus-Guardian 9 Mittel 21 vorgesehen sein, um zu bestimmten Zeitpunkten, vorzugsweise periodisch, eine Frage-Antwort-Kommunikation zu initiieren. Zur zeitlichen Koordination der Frage-Antwort-Kommunikation kann das Makrotick (MT)-Signal 13 des Kommunikations-Controllers 6 und/oder ein Taktsignal des RC-Oszillators herangezogen werden. Selbst wenn das MT-Signal 13 driftet, weil bspw. die Uhrensynchronisation in dem Kommunikations-Controller 6 fehlerhaft arbeitet, und somit ein Fehler des Controller 6 vorliegt, kann dieser Fehler mit der vorliegenden Erfindung allein durch die Frage-Antwort-Kommunikation detektiert werden, da der Kommunikations-Controller 6 idealerweise ein falsches Ergebnis oder ein richtiges Ergebnis, aber außerhalb des zulässigen Antwort-Fensters liefern wird. Die Wirksamkeit des Verfahrens hängt entscheidend von der Art der gestellten Fragen ab. Diese müssen auf die zu überwachende Komponente und/oder Funktion des Kommunikations-Controllers 6 abgestimmt sein. Alle zu überwachenden Komponenten/Funktionen müssen durch die Fragen abgedeckt sein. Ein Defekt der Komponente/Funktion muss auch tatsächlich zu einer fehlerhaften Antwort führen.
  • Zu Beginn einer Frage-Antwort-Kommunikation wird aus der Liste 19 eine geeignete Frage ausgesucht. Die Fragen können entweder nach dem Zufallsprinzip oder aber in einer vorgegebenen Reihenfolge, beispielsweise in der Reihenfolge wie sie in der Liste 19 abgelegt sind, aus der Liste 19 entnommen werden. Bestimmte Frage- und Antwort-Kombinationen sind zum Erkennen bestimmter Fehler des Kommunikations-Controllers 6 geeignet. Durch die gezielte Auswahl bestimmter Fragen können also bestimmte Funktionen und/oder Eigenschaften des Kommunikations-Controllers 6 auf ordnungsgemäßes Funktionieren geprüft werden. Erfindungsgemäß umfassen die Listen 19 und 20 solche Fragen und Antworten, die ein Erkennen folgender Fehler ermöglichen:
    • a) Fehler des Input-Sets (der tatsächlich herangezogenen Synchronisationsnachrichten, Sync-Frames) für die Uhrensynchronisation,
    • b) fehlerhafte Berechnung der Rate-Korrektur,
    • c) fehlerhafte Anwendung von korrekt berechneten Rate-Korrektur-Werten,
    • d) fehlerhafte Berechnung der Offset-Korrektur, und
    • e) fehlerhafte Anwendung von korrekt berechneten Offset-Korrektur-Werten.
  • Nach der Auswahl einer geeigneten Frage aus der Liste 19 wird diese über die Schnittstelle 18 an den Kommunikations-Controller 6 übermittelt. Gleichzeitig starten die Mittel 21 in weiteren Mitteln 22 zum Überprüfen der Antwort einen Zeitgeber (Timer) für ein Zeitfenster, innerhalb dem die Antwort von einem ordnungsgemäß funktionierenden Kommunikations-Controller 6 eingehen muss. Die Einhaltung dieses Zeitfensters wird durch die Mittel 22 überwacht. Falls innerhalb des Zeitfensters eine Antwort von dem Kommunikations-Controller 6 eingeht, wird diese Antwort in den Mitteln 22 auf ihre Richtigkeit hin überprüft. Dazu vergleichen die Mittel 22 die eingegangene Antwort mit der richtigen Antwort aus der Liste 20. Nur wenn die richtige Antwort innerhalb des definierten Zeitfensters eingeht, gibt der Bus-Guardian 9 den Zugriff auf den Datenbus 2 durch das Enable-Signal 17 frei.
  • Die von dem Bus-Guardian 9 an den Kommunikations-Controller 6 gestellten Fragen können beispielsweise eine oder mehrere der nachfolgenden Fragen umfassen:
    • – Anzahl der von dem Kommunikations-Controller 6 empfangenen, dekodierten und zur Synchronisation der lokalen Zeitbasis herangezogenen Synchronisationsnachrichten (Sync-Frames)?
    • – Sind die Anzahl und Identifikation der über die beiden Kommunikationskanäle (Leitungen) des Datenbus 2 redundant übertragenen Synchronisationsnachrichten gleich?
    • – Zu welchem Ergebnis kommt die Rate-Korrektur- bzw. Offset-Korrektur-Berechnung in dem Kommunikations-Controller 6? (Die richtige Antwort liefert eine in dem Bus-Guardian 9 ausgebildete zusätzliche Logik zur Berechnung der Rate-Korrektur bzw. Offset-Korrektur, welche eine identische Umsetzung des Mechanismus aus dem Kommunikations-Controller 6 ist.)
    • – Ist der von dem Mechanismus des Kommunikations-Controllers 6 berechnete Wert der Rate-Korrektur bzw. der Offset-Korrektur gleich dem in einem Speicherelement, insbesondere in einem Speicherregister, des Kommunikations-Controllers 6 abgelegten Korrekturwert?
    • – Liegt die Anzahl der Mikroticks (μT) pro Makrotick (MT) oder die Anzahl der Mikroticks (μT) pro Kommunikationsrunde (sog. Communication Cycle) am Ende einer Runde noch unterhalb eines vorgebbaren Grenzwertes?
    • – Liegt die Differenz eines Mikrotick-Zählers (μT) vor der Offset-Korrektur und danach noch innerhalb eines vorgebbaren Bereichs?
  • Damit der Bus-Guardian 9 diese Fragen beantworten kann, müssen zum Teil zusätzliche Informationen von dem Kommunikations-Controller 6 zu dem Bus-Guardian 9 über die Schnittstelle 18 übermittelt werden. Diese zusätzlich zu übermittelnden Informationen sind beispielsweise:
    • – Das Ergebnis der Berechnung der Rate-Korrektur bzw. der Offset-Korrektur,
    • – die Anzahl der Mikroticks (μT) pro Kommunikationsrunde bzw. die Anzahl der Mikroticks (μT) pro Makrotick (MT) am Ende einer Kommunikationsrunde,
    • – der Stand eines Mikrotick (μT)-Zählers des Kommunikations-Controllers 6 vor der Offset-Korrektur und danach.

Claims (20)

  1. Einem Bus-Controller (6) eines Teilnehmers (3) eines Kommunikationssystems (1) lokal zugeordnete Überwachungseinheit (9) zur Überwachung und Steuerung des Zugriffs auf einen Datenbus (2), wobei der Bus-Controller (6) über einen Bus-Treiber (8) auf den Datenbus (2) zugreift und die Überwachungseinheit (9) die Zugriffsberechtigung des Bus-Treibers (8) überwacht und steuert, dadurch gekennzeichnet, dass die Überwachungseinheit (9) Mittel (18, 19, 20, 21, 22) zur Realisierung einer Frage-Antwort-Kommunikation mit dem Bus-Controller (6) aufweist und den Zugriff des Bus-Controllers (6) auf den Datenbus (2) nur dann freigibt, wenn die Frage-Antwort-Kommunikation ein ordnungsgemäßes Funktionieren des Bus-Controllers (6) ergibt.
  2. Überwachungseinheit (9) nach Anspruch 9, dadurch gekennzeichnet, dass eine lokale Zeitbasis des Bus-Controllers (6) mittels Synchronisationsnachrichten auf eine globale Zeitbasis des Kommunikationssystems (1) synchronisiert wird, dass die Überwachungseinheit (9) über eine Schnittstelle (18) zum Bus-Controller (6) Informationen über die in dem Bus-Controller (6) dekodierten und zur Uhrensynchronisation herangezogenen Synchronisationsnachrichten erhält, und dass die Frage-Antwort-Kommunikation unter Berücksichtigung der erhaltenen Synchronisationsinformationen erfolgt.
  3. Überwachungseinheit (9) nach Anspruch 2, dadurch gekennzeichnet, dass in dem Bus-Controller (6) eine Liste mit von dem Bus-Controller (6) empfangenen, dekodierten und zur Uhrensynchronisation herangezogenen Synchronisationsnachrichten vorliegt, wobei die Überwachungseinheit (9) die Synchronisationsinformationen aus der Liste erhält und im Rahmen der Frage-Antwort-Kommunikation abfragt, ob die Synchronisationsinformationen bestimmte Mindestanforderungen erfüllen.
  4. Überwachungseinheit (9) nach Anspruch 3, dadurch gekennzeichnet, dass die Überwachungseinheit (9) im Rahmen der Frage-Antwort-Kommunikation abfragt, ob die Anzahl der empfangenen, dekodierten und zur Uhrensynchronisation herangezogenen Synchronisationsnachrichten größer und/oder gleich einer Mindestanzahl ist.
  5. Überwachungseinheit (9) nach einem der Ansprüche 2 bis 4, dadurch gekennzeichnet, dass, falls die Synchronisationsnachrichten über den Datenbus (2) in zwei redundanten Kommunikationskanälen übertragen werden, die Überwachungseinheit (9) im Rahmen der Frage-Antwort-Kommunikation abfragt, ob die empfangenen, dekodierten und/oder zur Uhrensynchronisation herangezogenen Synchronisationsinformationen für beide Kommunikationskanäle gleich sind.
  6. Überwachungseinheit (9) nach Anspruch 5, dadurch gekennzeichnet, dass die Überwachungseinheit (9) im Rahmen der Frage-Antwort-Kommunikation abfragt, ob die Anzahl und/oder die Identifikation der Synchronisationsnachrichten beider Kommunikationskanäle gleich sind.
  7. Überwachungseinheit (9) nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass eine lokale Zeitbasis des Bus-Controllers (6) mittels Synchronisationsnachrichten auf eine globale Zeitbasis des Kommunikationssystems (1) mittels Rate-Korrektur und/oder Offset-Korrektur relativ zur globalen Zeitbasis synchronisiert wird und dass die Überwachungseinheit (9) im Rahmen der Frage-Antwort-Kommunikation die korrekte Berechnung der Rate-Korrektur und/oder der Offset-Korrektur für die lokale Zeitbasis abfragt.
  8. Überwachungseinheit (9) nach Anspruch 7, dadurch gekennzeichnet, dass Mittel des Bus-Controllers (6) zur Berechnung der Rate-Korrektur und/oder der Offset-Korrektur identisch in der Überwachungseinheit (9) ausgebildet sind, die Überwachungseinheit (9) Informationen über die in dem Bus-Controller (6) empfangenen, decodierten und zur Uhrensynchronisation herangezogenen Synchronisationsnachrichten erhält, die in der Überwachungseinheit (9) vorgesehenen Berechnungsmittel in Abhängigkeit von den Synchronisationsinformationen die Rate-Korrektur und/oder die Offset-Korrektur berechnen, und die Überwachungseinheit (9) das Ergebnis im Rahmen der Frage-Antwort-Kommunikation mit der durch die in dem Kommunikations-Controller (6) vorgesehenen Berechnungsmittel berechnete Rate-Korrektur bzw. Offset-Korrektur vergleicht.
  9. Überwachungseinheit (9) nach Anspruch 7, dadurch gekennzeichnet, dass die Überwachungseinheit (9) an in dem Bus-Controller (6) vorgesehene Mittel zur Berechnung der Rate-Korrektur und/oder der Offset-Korrektur gezielte Fragen stellt (21) und den Eingang der richtigen Antwort von dem Bus-Controller (6) innerhalb eines vorgegebenen Antwort-Fensters überwacht.
  10. Überwachungseinheit (9) nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass eine lokale Zeitbasis des Bus-Controllers (6) mittels Synchronisationsnachrichten auf eine globale Zeitbasis des Kommunikationssystems (1) mittels Rate-Korrektur und/oder Offset-Korrektur relativ zur globalen Zeitbasis synchronisiert wird und dass die Überwachungseinheit (9) im Rahmen der Frage-Antwort-Kommunikation die korrekte Anwendung der berechneten Werte für die Rate-Korrektur und/oder die Offset-Korrektur für die lokale Zeitbasis abfragt.
  11. Überwachungseinheit (9) nach Anspruch 10, dadurch gekennzeichnet, dass die Überwachungseinheit (9) Mittel des Bus-Controllers (6) zur Generierung eines Makroticks und/oder Speichermittel für den im Rahmen der Rate-Korrektur berechneten Korrekturwert im Rahmen der Frage-Antwort-Kommunikation auf fehlerfreie Funktion prüft.
  12. Überwachungseinheit (9) nach Anspruch 10, dadurch gekennzeichnet, dass die Überwachungsmittel (9) Mittel des Bus-Controllers (6) zur Anwendung der Offset-Korrektur und/oder Speichermittel für den im Rahmen der Offset-Korrektur berechneten Korrekturwert im Rahmen der Frage-Antwort-Kommunikation auf fehlerfreie Funktion prüft.
  13. Überwachungseinheit (9) nach Anspruch 11 oder 12, dadurch gekennzeichnet, dass die Überwachungseinheit (9) den berechneten Korrekturwert vom Bus-Controller (6) über eine Schnittstelle (18) erhält und diesen Korrekturwert im Rahmen der Frage-Antwort-Kommunikation mit einem in den Speichermitteln des Bus-Controllers (6) abgelegten Korrekturwert vergleicht.
  14. Überwachungseinheit (9) nach Anspruch 11, dadurch gekennzeichnet, dass die Überwachungseinheit (9) an die in dem Bus-Controller (6) vorgesehenen Mittel zur Generierung des Makroticks gezielte Fragen stellt und den Eingang der richtigen Antwort von dem Bus-Controller (6) innerhalb eines vorgegebenen Zeitfensters überwacht.
  15. Überwachungseinheit (9) nach Anspruch 12, dadurch gekennzeichnet, dass die Überwachungseinheit (9) an die in dem Bus-Controller (6) vorgesehenen Mittel zur Anwendung der Offset-Korrektur gezielte Fragen stellt und den Eingang der richtigen Antwort von dem Bus-Controller (6) innerhalb eines vorgegebenen Zeitfensters überwacht.
  16. Überwachungseinheit (9) nach Anspruch 11, dadurch gekennzeichnet, dass die Überwachungseinheit (9) am Ende einer Kommunikationsrunde vom Bus-Controller (6) über eine Schnittstelle (18) die Anzahl von Mikroticks pro Runde und/oder die Anzahl der Mikroticks pro Makrotick erhält, und die Überwachungseinheit (9) im Rahmen der Frage-Antwort-Kommunikation abfragt, ob ein Drift der Anzahl der Mikroticks pro Runde und/oder der Anzahl der Mikroticks pro Makrotick zwischen einer Kommunikationsrunde und einer nachfolgenden Runde betragsmäßig größer und/oder gleich einem vorgebbaren zulässigen Drift ist.
  17. Überwachungseinheit (9) nach Anspruch 12, dadurch gekennzeichnet, dass die Überwachungseinheit (9) den Stand eines Mikrotick-Zählers des Bus-Controllers (6) über eine Schnittstelle (18) vor einer Offset-Korrektur und danach erhält, und die Überwachungseinheit (9) im Rahmen der Frage-Antwort-Kommunikation abfragt, ob eine Differenz zwischen dem Stand des Mikrotick-Zählers vor der Offset-Korrektur und danach betragsmäßig größer und/oder gleich einem vorgebbaren Grenzwert ist.
  18. Teilnehmer (3) eines einen Datenbus (2) umfassenden Kommunikationssystems (1), wobei der Teilnehmer (3) einen Bus-Controller (6) und einen Bus-Treiber (8) aufweist, wobei der Bus-Controller (6) über den Bus-Treiber (8) an den Datenbus (2) angeschlossen ist, und wobei der Teilnehmer (3) eine dem Bus-Controller (6) zugeordnete Überwachungseinheit (9) zur Überwachung und Steuerung der Zugriffsberechtigung des Bus-Treibers (8) auf den Datenbus (2) aufweist, dadurch gekennzeichnet, dass die Überwachungseinheit (9) nach einem der Ansprüche 1 bis 17 ausgebildet ist.
  19. Teilnehmer (3) nach Anspruch 18, dadurch gekennzeichnet, dass der Bus-Controller (6) Mittel zum Empfangen einer Frage von der Überwachungseinheit (9), Mittel zur Bearbeitung einer von der Überwachungseinheit (9) empfangenen Frage und zum Generieren einer entsprechenden Antwort und Mittel zur Übermittlung der generierten Antwort an die Überwachungseinheit (9) aufweist.
  20. Teilnehmer (3) nach Anspruch 18 oder 19, dadurch gekennzeichnet, dass der Teilnehmer (3) als ein FlexRay-Teilnehmer eines FlexRay-Kommunikationssystems (1) zur Übermittlung von Informationen nach der FlexRay-Protokollspezifikation ausgebildet ist.
DE102005061392A 2005-12-22 2005-12-22 Bus-Guardian eines Teilnehmers eines Kommunikationssystems, sowie Teilnehmer für ein Kommunikationssystem Ceased DE102005061392A1 (de)

Priority Applications (5)

Application Number Priority Date Filing Date Title
DE102005061392A DE102005061392A1 (de) 2005-12-22 2005-12-22 Bus-Guardian eines Teilnehmers eines Kommunikationssystems, sowie Teilnehmer für ein Kommunikationssystem
PCT/EP2006/069620 WO2007074058A1 (de) 2005-12-22 2006-12-12 Bus-guardian eines teilnehmers eines kommunikationssystems, sowie teilnehmer für ein kommunikationssystem
US12/086,472 US20100229046A1 (en) 2005-12-22 2006-12-12 Bus Guardian of a User of a Communication System, and a User of a Communication System
EP06830568A EP1966695A1 (de) 2005-12-22 2006-12-12 Bus-guardian eines teilnehmers eines kommunikationssystems, sowie teilnehmer für ein kommunikationssystem
CN2006800485491A CN101346698B (zh) 2005-12-22 2006-12-12 通信系统的用户的总线监控器以及通信系统的用户

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102005061392A DE102005061392A1 (de) 2005-12-22 2005-12-22 Bus-Guardian eines Teilnehmers eines Kommunikationssystems, sowie Teilnehmer für ein Kommunikationssystem

Publications (1)

Publication Number Publication Date
DE102005061392A1 true DE102005061392A1 (de) 2007-06-28

Family

ID=37899267

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102005061392A Ceased DE102005061392A1 (de) 2005-12-22 2005-12-22 Bus-Guardian eines Teilnehmers eines Kommunikationssystems, sowie Teilnehmer für ein Kommunikationssystem

Country Status (5)

Country Link
US (1) US20100229046A1 (de)
EP (1) EP1966695A1 (de)
CN (1) CN101346698B (de)
DE (1) DE102005061392A1 (de)
WO (1) WO2007074058A1 (de)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102007056662A1 (de) * 2007-11-24 2009-05-28 Bayerische Motoren Werke Aktiengesellschaft System zur Freischaltung der Funktionalität einer Ablaufsteuerung, die in einem Steuergerät eines Kraftfahrzeugs gespeichert ist
DE102011016706A1 (de) * 2011-04-11 2012-10-11 Conti Temic Microelectronic Gmbh Schaltungsanordnung mit Fail-Silent-Funktion
DE102012023748A1 (de) * 2012-12-04 2014-06-05 Valeo Schalter Und Sensoren Gmbh Verfahren zur Synchronisation von Sensoren an einem Datenbus
DE102019204176A1 (de) * 2019-03-26 2020-10-01 Vitesco Technologies GmbH Schaltungsanordnung zum Verhindern der fehlerhaften Datenübertragung über eine Busschnittstelle

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ES2436609T3 (es) * 2006-05-16 2014-01-03 Saab Ab Nodo de bus de datos de tolerancia de fallos en un sistema distribuido
DE102007051657A1 (de) * 2007-10-26 2009-04-30 Robert Bosch Gmbh Kommunikationssystem mit einem CAN-Bus und Verfahren zum Betreiben eines solchen Kommunikationssystems
JP4844658B2 (ja) * 2009-08-07 2011-12-28 株式会社デンソー 診断装置および診断システム
DE102010002478A1 (de) * 2010-03-01 2011-09-01 Robert Bosch Gmbh Verfahren zum Bereitstellen eines zulässigen Sendezeitpunkts für die Antwort bei einer Frage-/Antwort-Kommunikation zwischen einem Überwachungsmodul und einem Funktionsrechner
DE102011078630A1 (de) * 2011-07-05 2013-01-10 Robert Bosch Gmbh Verfahren zum Einrichten einer Anordnung technischer Einheiten
DE102011089587A1 (de) * 2011-12-22 2013-06-27 Robert Bosch Gmbh Teilnehmerstation eines Bussystems und Verfahren zur Übertragung von Nachrichten zwischen Teilnehmerstationen eines Bussystems
DE102012224024A1 (de) * 2012-12-20 2014-06-26 Robert Bosch Gmbh Datenübertragung unter Nutzung eines Protokollausnahmezustands
KR101558084B1 (ko) * 2014-04-15 2015-10-06 엘에스산전 주식회사 복수의 cpu 모듈을 구비하는 plc 시스템 및 제어방법
DE102015201278B4 (de) * 2015-01-26 2016-09-29 Continental Automotive Gmbh Steuersystem
TWI834603B (zh) * 2017-02-14 2024-03-11 日商索尼半導體解決方案公司 通信裝置、通信方法、通信程式及通信系統
DE102018101103A1 (de) * 2018-01-18 2019-07-18 Volkswagen Aktiengesellschaft Verfahren und Computerprogramme für eine Überwachungsinstanz und eine Kommunikationskomponente, Überwachungsinstanz, Kommunikationskomponente, System und Fahrzeug
DE102019205487A1 (de) * 2019-04-16 2020-10-22 Robert Bosch Gmbh Teilnehmerstation für ein serielles Bussystem und Verfahren zur Kommunikation in einem seriellen Bussystem
DE102019205488A1 (de) * 2019-04-16 2020-10-22 Robert Bosch Gmbh Teilnehmerstation für ein serielles Bussystem und Verfahren zur Kommunikation in einem seriellen Bussystem
EP3761569B1 (de) * 2019-07-03 2023-03-01 Nxp B.V. Fehlerrahmenerkennung in einem can-bus
CN113722251B (zh) * 2020-05-26 2023-12-26 上海汽车变速器有限公司 用于功能安全监控的双线spi通信系统及方法
JP7547896B2 (ja) 2020-09-24 2024-09-10 株式会社デンソー 車両用制御装置、車両用制御システム及びアクセス権管理プログラム

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19826131A1 (de) * 1998-06-12 1999-12-16 Bosch Gmbh Robert Elektrisches Bremssystem für ein Kraftfahrzeug
ATE306163T1 (de) * 2002-04-16 2005-10-15 Bosch Gmbh Robert Verfahren zur überwachung einer zugriffsablaufsteuerung für ein kommunikationsmedium einer kommunikationssteuerung eines kommunikationssystems
DE10236080A1 (de) * 2002-08-07 2004-02-19 Robert Bosch Gmbh Verfahren und Vorrichtung zur Steuerung von Betriebsabläufen, insbesondere in einem Fahrzeug
WO2004098955A1 (en) * 2003-05-06 2004-11-18 Philips Intellectual Property & Standards Gmbh Timeslot sharing over different cycles in tdma bus
WO2006067673A2 (en) * 2004-12-20 2006-06-29 Philips Intellectual Property & Standards Gmbh Bus guardian as well as method for monitoring communication between and among a number of nodes, node comprising such bus guardian, and distributed communication system comprising such nodes

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102007056662A1 (de) * 2007-11-24 2009-05-28 Bayerische Motoren Werke Aktiengesellschaft System zur Freischaltung der Funktionalität einer Ablaufsteuerung, die in einem Steuergerät eines Kraftfahrzeugs gespeichert ist
DE102011016706A1 (de) * 2011-04-11 2012-10-11 Conti Temic Microelectronic Gmbh Schaltungsanordnung mit Fail-Silent-Funktion
US9594356B2 (en) 2011-04-11 2017-03-14 Conti Temic Microelectronic Gmbh Circuit arrangement having a fail-silent function
DE102012023748A1 (de) * 2012-12-04 2014-06-05 Valeo Schalter Und Sensoren Gmbh Verfahren zur Synchronisation von Sensoren an einem Datenbus
DE102019204176A1 (de) * 2019-03-26 2020-10-01 Vitesco Technologies GmbH Schaltungsanordnung zum Verhindern der fehlerhaften Datenübertragung über eine Busschnittstelle
DE102019204176B4 (de) * 2019-03-26 2021-05-27 Vitesco Technologies GmbH Schaltungsanordnung zum Verhindern der fehlerhaften Datenübertragung über eine Busschnittstelle

Also Published As

Publication number Publication date
EP1966695A1 (de) 2008-09-10
US20100229046A1 (en) 2010-09-09
CN101346698A (zh) 2009-01-14
CN101346698B (zh) 2012-03-21
WO2007074058A1 (de) 2007-07-05

Similar Documents

Publication Publication Date Title
DE102005061392A1 (de) Bus-Guardian eines Teilnehmers eines Kommunikationssystems, sowie Teilnehmer für ein Kommunikationssystem
DE102005061403A1 (de) Überwachungseinheit zur Überwachung und Steuerung des Zugriffs eines Teilnehmers auf einen Datenbus und Teilnehmer mit einer solchen Überwachungseinheit
DE10291119B4 (de) Verfahren und Vorrichtung zur Synchronisation der Zykluszeit von mehreren Bussen, wobei mindestens einer der Busse ein TTCAN Bus ist, sowie entsprechendes Bussystem
DE19620137C2 (de) Protokoll für sicherheitskritische Anwendungen
DE10148325A1 (de) Buswächtereinheit
DE10206875A1 (de) Verfahren und Schaltungsanordnung zum Überwachen und Verwalten des Datenverkehrs in einem Kommunikationssystem mit mehreren Kommunikationsknoten
WO2009109590A1 (de) Kommunikationssystem mit einem can-bus und verfahren zum betreiben eines solchen kommunikationssystems
WO2012038493A1 (de) Vorrichtung und verfahren zur bereitstellung einer globalen zeitinformation in ereignisgesteuerter buskommunikation
DE602004012252T2 (de) Zeitgesteuertes kommunikationssystem und verfahren für den synchronisierten start eines zweikanal netzes
DE10327548A1 (de) Verfahren, Vorrichtung und System zum Austausch von Daten über ein Bussystem
EP1220104A2 (de) Verfahren und Kommunikationssystem zum Austausch von Daten zwischen mindestens zwei Teilnehmern über ein Bussystem
DE102018213198A1 (de) Verfahren zum Überwachen der Kommunikation eines Bussystems eines Fahrzeugs
WO2003088590A1 (de) Netzwerk mit einem verbindungs-netzwerk and mehreren mit dem verbindungs-netzwerk gekoppelten netzknoten
EP1384122B1 (de) Verfahren zur ansteuerung einer komponente eines verteilten sicherheitsrelevanten systems
DE10032597B4 (de) Buswächtereinheit für einen Netzknoten eines zeitgetriggerten Datenkommunikationsnetzes
DE102015014210B4 (de) Netzwerkmanagement für ein zweikanaliges FlexRay-Netzwerk
EP0935198B1 (de) Verfahren zur sicheren Datenverarbeitung sowie ein Rechnersystem
EP1287435B1 (de) Vorrichtung und verfahren zur synchronisation eines systems von gekoppelten datenverarbeitungsanlagen
DE69631508T2 (de) Sichere Datenübertragung zur Prozessausführung mit dem ARINC 629 Protokoll
DE10211280A1 (de) Verfahren zur Ansteuerung einer Komponente eines verteilten sicherheitsrelevanten Systems
DE10216920A1 (de) Verfahren und Vorrichtung zur Überprüfung einer Überwachungsfunktion eines Bussystems und Bussystem
DE10206904A1 (de) Kommunikation in einem verteilten Steuerungssystem mit Unterdrücken der zyklischen Kommunikation nach Äquidistanzverletzung
DE29809721U1 (de) Anordnung zur Steuerung und Regelung technischer Prozesse
EP1780923A1 (de) Übertragung von Datentelegrammen
WO2004090734A2 (de) Zeitgesteuertes betriebssystem für echtzeitkritische anwendungen

Legal Events

Date Code Title Description
R012 Request for examination validly filed

Effective date: 20120910

R016 Response to examination communication
R002 Refusal decision in examination/registration proceedings
R003 Refusal decision now final
R003 Refusal decision now final

Effective date: 20141118