-
HINTERGRUND DER ERFINDUNG
-
Eine Ausführungsform betrifft störungstolerante Steuersysteme.
-
Systeme, die Sicherheitsfunktionen bereitstellen, verwenden typischerweise redundante Controller zum Gewährleisten der Sicherheit, indem Funktionen abgeschaltet werden, die eine Störung oder einen Ausfall erfahren haben. Solche Systeme sind als Systeme mit Ruhigstellung bei Ausfall (Fail-Silent-Systeme) bekannt. Wenn eine Störung detektiert wird, werden Steuerungen für das Merkmal abgeschaltet, und das Merkmal ist innerhalb des Systems nicht länger betriebsfähig.
-
Einige Systeme versuchen, Steuersysteme unter Verwendung eines Systems mit Funktionsfähigkeit bei Ausfall (Fail-Operational-Systems) zu implementieren, wobei zusätzliche Controller zum Sicherstellen verwendet werden, dass ein sicherer Betrieb für eine Zeitspanne fortgesetzt werden kann, wie beispielsweise duale Doppelcontroller. Wenn ein erster Controller ausfällt und ruhiggestellt wird, wird ein zweiter Controller aktiviert, und alle Aktuatoren werden derart umgeschaltet, dass sie von Anforderungen des zweiten Controllers abhängen. Das Problem bei doppelten Ausgestaltungen liegt darin, dass die Controller aufgrund der Tatsache, dass sie im Wesentlichen identisch sind, die gleichen Defekte tragen, insbesondere Softwaredefekte. Da die Software identisch ist, weisen beide Controller inhärent die gleichen Probleme auf, wenn ein mit der Software verbundener Defekt auftritt. Infolgedessen stellen solche Systeme in einem System, das eine symmetrische Implementierung von Controllern verwendet, die im Wesentlichen exakte Kopien bezüglich jeder Funktion sind, bezogen auf Softwarestörungen eine geringe Unterstützung bereit.
-
Andere Typen von Systemen, die eine nicht symmetrische Implementierung von Controllern verwenden, können verdoppelte Hardware- und Softwarestörungen vermeiden; die Verwendung eines zweiten, nicht symmetrischen Controllers, der die notwendige Software und Hardware zum Steuern aller Merkmale aufweist, die durch den ersten, nicht symmetrischen Controller gesteuert werden, ist jedoch teuer.
-
Aus der
US 9 195 232 B1 ist ein System mit den Merkmalen gemäß dem Oberbegriff des Anspruchs 1 bekannt.
-
Die US 2011 / 0 087 343 A1 beschreibt ein ähnliches System.
-
Eine Aufgabe der Erfindung besteht darin, ein System mit Sicherheitsfunktion zu schaffen, das auf kostengünstige Weise die Vermeidung von Hardware- und Softwarestörungen sowie die Umgehung von Softwarekonstruktionsfehlern ermöglicht.
-
ZUSAMMENFASSUNG DER ERFINDUNG
-
Diese Aufgabe wird durch ein System mit den Merkmalen des Anspruchs 1 gelöst.
-
Ein Vorteil des Systems ist eine skalierbare störungstolerante Architektur, welche eine beliebige Kombination von Merkmalsanforderungen sowohl mit Ruhigstellung bei Ausfall als auch mit Funktionsfähigkeit bei Ausfall in einem einzigen Architekturschema unterstützt. Die Architekturausgestaltung verringert die Kosten und verbessert die Abdeckung von Softwarekonstruktionsfehlern. Das System integriert die Fehlerdetektion und die Störungsermittlung in ein einziges Modul, das Merkmale sowohl mit Ruhigstellung bei Ausfall als auch mit Funktionsfähigkeit bei Ausfall eines Systems überwachen kann. Das Modul ermittelt, ob die Störung mit einem Merkmal in Beziehung steht, das mit einer Anforderung mit Ruhigstellung bei Ausfall oder mit einer Anforderung mit Funktionsfähigkeit bei Ausfall verbunden ist. Wenn die Störung mit einer Anforderung mit Ruhigstellung bei Ausfall verbunden ist, dann wird das Merkmal, das der Störung zugeordnet ist, innerhalb des Systems nicht betriebsfähig; der primäre Controller kann jedoch weiterhin damit fortfahren, andere Merkmale zu steuern, die durch die Störung nicht beeinflusst werden. Wenn die Störung mit einer Anforderung mit Funktionsfähigkeit bei Ausfall verbunden ist, dann wird die Steuerung über das Merkmal durch das primäre Steuermodul an einen sekundären Controller übergeben, um das Merkmal zu überwachen und zu steuern. Ein weiterer Vorteil des Systems besteht darin, dass nur Software für Merkmale, die als Merkmale mit Funktionsfähigkeit bei Ausfall identifiziert sind, in dem sekundären Controller gespeichert ist. Infolgedessen können der Prozessor und der Speicher aufgrund der verringerten Komplexität und der verringerten computertechnischen Anforderungen verkleinert werden.
-
Eine Ausführungsform zieht eine Störungssteuerstrategie für ein System zur integrierten Steuerung einer Ruhigstellung bei Ausfall und einer Funktionsfähigkeit bei Ausfall in Betracht. Es ist ein primärer Controller vorgesehen, um Merkmale von Einrichtungen zu steuern, während diese unter einer Betriebsbedingung ohne Störung betrieben werden. Es ist ein sekundärer Controller vorgesehen, der ein Ausfall-Detektor-/Entscheidermodul aufweist. Das Ausfall-Detektor-/Entscheidermodul überwacht Störungen in dem primären Controller und in dem sekundären Controller. Das Ausfall-Detektor-/Entscheidermodul ermittelt, ob eine Störung in dem primären Controller eine Anforderung mit Ruhigstellung bei Ausfall oder eine Anforderung mit Funktionsfähigkeit bei Ausfall ist. Ein Abschaltbefehl wird durch den Detektor/Entscheider über eine Ruhigstellung bei Ausfall an den primären Controller ausgegeben, um das Merkmal abzuschalten, das durch die Störung beeinflusst wird, wobei das Merkmal in Ansprechen darauf, dass das Ausfall-Detektor-/Entscheidermodul ermittelt, dass die Störung eine Anforderung mit Ruhigstellung bei Ausfall ist, nicht betriebsfähig wird. Die Steuerung des Merkmals wird in Ansprechen darauf, dass das Ausfall-Detektor-/Entscheidermodul ermittelt, dass die Störung eine Anforderung mit Funktionsfähigkeit bei Ausfall ist, auf den sekundären Controller übertragen. Der sekundäre Controller wirkt als ein Hochsicherheitssystem zum Steuern des Merkmals in einem Modus mit Funktionsfähigkeit bei Ausfall.
-
Eine Ausführungsform zieht ein System mit integrierter Steuerung einer Ruhigstellung bei Ausfall und einer Funktionsfähigkeit bei Ausfall in Betracht. Ein primärer Controller steuert Merkmale von Einrichtungen, während diese unter Betriebsbedingungen ohne Störung betrieben werden. Ein sekundärer Controller umfasst ein Ausfall-Detektor-/Entscheidermodul. Das Ausfall-Detektor-/Entscheidermodul überwacht Störungen in dem primären Controller und in dem sekundären Controller. Das Ausfall-Detektor-/Entscheidermodul ermittelt, ob die Störung in dem primären Controller einer Anforderung mit Ruhigstellung bei Ausfall oder einer Anforderung mit Funktionsfähigkeit bei Ausfall zugeordnet ist. Wenn das Ausfall-/Detektor-/Entscheidermodul ermittelt, dass die Störung eine Anforderung mit Ruhigstellung bei Ausfall ist, dann gibt der Detektor/Entscheider über eine Ruhigstellung bei Ausfall eine Abschaltanweisung an den primären Controller aus, um ein Merkmal abzuschalten, das durch die Störung beeinflusst wird, wobei das Merkmal nicht betriebsfähig wird. Wenn das Ausfall-Detektor-/Entscheidermodul ermittelt, dass das Merkmal, das der Störung zugeordnet ist, eine Anforderung mit Funktionsfähigkeit bei Ausfall ist, dann überträgt das Ausfall-Detektor-/Entscheidermodul ein Signal an den primären Controller, um die Steuerungen des Merkmals auf den sekundären Controller zu übertragen. Der sekundäre Controller wirkt als ein Hochsicherheitssystem zum Steuern des Merkmals in einem Modus mit Funktionsfähigkeit bei Ausfall.
-
Figurenliste
-
- 1 ist ein Architektur-Blockdiagramm eines Systems zur integrierten Steuerung einer Ruhigstellung bei Ausfall und einer Funktionsfähigkeit bei Ausfall.
- 2 ist ein erweitertes Blockdiagramm des primären Controllers und des sekundären Controllers.
- 3 stellt ein Flussdiagramm zum Detektieren und Aktivieren eines Modus mit Ruhigstellung bei Ausfall oder mit Funktionsfähigkeit bei Ausfall dar.
-
AUSFÜHRLICHE BESCHREIBUNG
-
In 1 ist ein Architektur-Blockdiagramm eines Systems zur integrierten Steuerung einer Ruhigstellung bei Ausfall und einer Funktionsfähigkeit bei Ausfall gezeigt. Steuersysteme, die solche für Fahrzeuge, Flugzeuge und Schiffe, ohne Einschränkung auf diese, umfassen, die sicherheitskritische Systeme oder autonome Systeme verwenden, erfordern störungstolerante Gegenmaßnahmen, wenn ein Fehler innerhalb des Steuersystems auftreten sollte. Solche Steuersysteme verwenden oft zwei Controller, so dass dann, wenn ein Fehler bei einem primären Controller auftritt (der aus einer Störung resultiert), ein Ersatzcontroller leicht aktiviert werden kann, um ein Merkmal des Steuersystems zu steuern oder um eine Steuerung für eine eingeschränkte Funktionalität des Merkmals mit Fehler bereitzustellen. Wenn ein sekundärer Controller jedoch identisch mit dem primären Controller ist, dann weisen Störungen in dem primären Controller, die aus der Software resultieren, inhärent die gleichen Defekte in der Software des sekundären Controllers auf, da die Software identisch ist. Daher wird ein integriertes Hochleistungssystem und Hochsicherheitssystem verwendet und hierin beschrieben.
-
In 1 ist ein System gezeigt, und es umfasst einen primären Controller 12 sowie einen sekundären Controller 14. Das beispielhafte System, wie es hierin beschrieben wird, ist fahrzeugbasiert, wie jedoch vorstehend erwähnt ist, kann die Architektur auf Nicht-Fahrzeug-Systeme angewendet werden.
-
Ein Kommunikationsbus 16 stellt eine Verbindung zwischen dem primären Controller 12 und dem sekundären Controller 14 her. Aktuatoren 18 umfassen Einrichtungen zum Betätigen eines Merkmals des Systems. Die Aktuatoren 18 können Merkmale aufweisen, die nur durch den primären Controller gesteuert werden, und unter einer Bedingung mit Ruhigstellung bei Ausfall (Fail-Silence-Bedingung), bei welcher eine Störung in dem primären Controller auftritt, die mit diesem Merkmal verbunden ist, wird der Betrieb des entsprechenden Merkmals deaktiviert. Die Aktuatoren 18 können ferner Merkmale aufweisen, die unter einer Bedingung mit Funktionsfähigkeit bei Ausfall betrieben werden (Fail-Operational-Bedingung), bei welcher die Einrichtungen sowohl durch den primären Controller 12 als auch durch den sekundären Controller 14 gesteuert werden. Unter einer Bedingung mit Funktionsfähigkeit bei Ausfall werden die Merkmale nicht länger durch den primären Controller überwacht und gesteuert; die Einrichtungen bleiben jedoch auf eine eingeschränkte Weise funktionsfähig, um einen teilweisen Betrieb des Merkmals aufrechtzuerhalten, wenn vorher während Konstruktionsphasen ermittelt wurde, dass das Merkmal kritisch für das Fahrzeug ist, so dass das Merkmal nicht vollständig abgeschaltet werden kann. Typischerweise sind solche Merkmale diejenigen, die entweder kritisch oder für das Fahrzeug erforderlich sind, um zumindest einen gewissen sicheren Betrieb des Fahrzeugs aufrechtzuerhalten.
-
Der primäre Controller 12 umfasst einen Prozessor, der primäre Steuerungen 20 aufweist. Der primäre Controller 12 wird unter Betriebsbedingungen ohne Störung betrieben (die hierin als normale Betriebsbedingungen bezeichnet werden), und er erzeugt und überträgt Steuersignale, um dadurch Merkmale der Fahrzeugeinrichtungen 18 zu steuern.
-
Ein sekundärer Controller 14 umfasst einen Prozessor, der Ausfall-Betriebssteuerungen 24 aufweist, um Vorgänge ausgewählter Aktuatoren während Bedingungen mit Funktionsfähigkeit bei Ausfall zu steuern. Der sekundäre Controller 14, der in einem Betriebsmodus mit Funktionsfähigkeit bei Ausfall arbeitet, erzeugt Steuersignale zum Aktivieren bestimmter Merkmale des Systems, um Vorgänge zum Sicherstellen aufrechtzuerhalten, dass das System betrieben werden kann, wenn auch nur auf eine eingeschränkte Weise. Solche Steuereinrichtungen sind typischerweise kritische Einrichtungen, die Bremssteuerungen und Lenkungssteuerungen umfassen, ohne auf diese beschränkt zu sein. Unter einer Bedingung mit Funktionsfähigkeit bei Ausfall wird die Funktionalität für kritische Einrichtungen ermöglicht, wenn auch eingeschränkt, um dem Fahrer zu ermöglichen, das Fahrzeug sicher zu betreiben, bis das Fahrzeug an einen Ort zur Inspektion gefahren werden kann.
-
Der sekundäre Controller 14 umfasst ferner ein Modul 26 mit Decodierer/Entscheider über eine Ruhigstellung bei Ausfall, um Fehlerbedingungen sowohl in dem primären Controller 12 als auch in dem sekundären Controller 14 zu überwachen. Anders als bei bekannten Systemen, bei denen jeder Controller ein Überwachungssystem umfasst, verwendet die hierin beschriebene Architektur ein einziges Modul 26 mit Decodierer/Entscheider über eine Ruhigstellung bei Ausfall, welches Störungsbedingungen sowohl des primären Controllers 12 als auch des sekundären Controllers 14 überwacht und Steuersignale erzeugt, um die Controller abzuschalten und/oder umzuschalten.
-
2 ist ein erweitertes Blockdiagramm des primären Controllers 12 und des sekundären Controllers 14. Die primären Steuerungen 20 des primären Controllers 12 empfangen Eingangssignale/Eingangsdaten 30 von verschiedenen Einrichtungen oder Sensoren aus dem gesamten Fahrzeug. Steuermaßnahmen 32 werden während der normalen Betriebsbedingungen durch den primären Controller 20 basierend auf den empfangenen Eingangssignalen/Eingangsdaten 30 ermittelt, die von den verschiedenen Einrichtungen und Sensoren erhalten werden. Ausgangssignale/Anweisungen 34 werden durch die primären Steuerungen 20 zu den Fahrzeugaktuatoren oder Fahrzeugsystemen übertragen, um Vorgänge von Merkmalen während der normalen Betriebsbedingungen zu steuern.
-
Der sekundäre Controller 14 umfasst das Ausfall-Detektor-/Entscheidermodul 26 zum Überwachen von Störungsbedingungen innerhalb des primären Controllers 12. Die Verantwortlichkeit des Ausfall-Detektor-/Entscheidermoduls 26 liegt darin, einen fehlerhaften, unsicheren Zustand innerhalb des primären Controllers 12 zu detektieren und zu ermitteln, ob der unsichere Zustand zu einer Bedingung mit Ruhigstellung bei Ausfall oder zu einer Bedingung mit Funktionsfähigkeit bei Ausfall führen sollte. Es versteht sich, dass der Fehlerdetektionsteil des Ausfall-Detektor-/Entscheidermoduls 26 sowohl für die Bedingung mit Ruhigstellung bei Ausfall als auch für die Bedingung mit Funktionsfähigkeit bei Ausfall derselbe ist. Der einzige Unterschied zwischen den Merkmalen mit Ruhigstellung bei Ausfall und mit Funktionsfähigkeit bei Ausfall ist die Maßnahme, die durch den primären Controller 12 und den sekundären Controller 14 bei der Detektion des Fehlers ergriffen werden soll. Für Merkmale mit Ruhigstellung bei Ausfall besteht die erforderliche Maßnahme darin, das Merkmal abzuschalten, das dem Fehler zugeordnet ist, während bei Merkmalen mit Funktionsfähigkeit bei Ausfall die erforderliche Maßnahme, die ergriffen werden soll, darin besteht, die Steuerung von dem primären Controller 12 auf den sekundären Controller 14 umzuschalten.
-
Der sekundäre Controller 14 wirkt als ein Hochsicherheitssystem basierend auf einem einfachen Schema, das als die Steuerung mit Funktionsfähigkeit bei Ausfall dient. Das Hochsicherheitssystem ist nur in dem Fall von Merkmalen mit Funktionsfähigkeit bei Ausfall erforderlich. Die Daten und die zugeordnete Software, die in dem sekundären Controller 14 zum Ausführen der Merkmale mit Funktionsfähigkeit bei Ausfall eingebunden sind, können im Vergleich zu dem primären Controller 12 sehr klein sein, da der sekundäre Controller 14 nur das reine Minimalverhalten mit Funktionsfähigkeit bei Ausfall implementiert, für das eine geringere Leistungsanforderung bestehen kann oder das im Vergleich zu der Funktionalität, die für den primären Controller 12 erforderlich ist, eine verringerte Funktionalität aufweisen kann. Zusätzlich implementiert der sekundäre Controller 14 nur einen Teil der Merkmale, die in dem primären Controller 12 implementiert sind. Wenn ein entsprechendes System beispielsweise 90% Merkmale mit Ruhigstellung bei Ausfall und nur 10% Merkmale mit Funktionsfähigkeit bei Ausfall umfasst, müssen nur die 10% Merkmale mit Funktionsfähigkeit bei Ausfall in dem sekundären Controller 14 gespeichert werden. Der Grund dafür ist, dass der primäre Controller 12, solange das System in dem normalen Betriebsmodus ohne Fehler arbeitet, die Steuerung der Merkmale des Fahrzeugs behält. Der sekundäre Controller 14 wird nur dann aktiviert, wenn der primäre Controller 12 Fehler in dem System erzeugt und ermittelt wird, dass das Merkmal nicht zuverlässig ist. Infolgedessen erfordert der sekundäre Controller 14 nur die minimale Menge an Software, die zum Aufrechterhalten eines eingeschränkten Betriebs für diejenigen jeweiligen Merkmale erforderlich ist, von denen angenommen wird, dass sie für den Betrieb der Merkmale des Systems notwendig sind.
-
In Ansprechen auf eine Ermittlung durch den Detektor/Entscheider 26 über eine Ruhigstellung bei Ausfall, dass die Steuerungen in den Hochsicherheitsmodus des sekundären Controllers 14 umgeschaltet werden sollten, werden die Steuerungen mit Funktionsfähigkeit bei Ausfall anschließend durch den Mikroprozessor des sekundären Controllers 14 ausgeführt. Der Mikroprozessor des sekundären Controllers 14 empfängt Eingangssignale/Eingangsdaten 40 von verschiedenen Einrichtungen oder Sensoren aus dem gesamten Fahrzeug. Steuerungsmaßnahmen 42 werden durch die Steuerungen 24 mit Funktionsfähigkeit bei Ausfall basierend auf den empfangenen Eingangssignalen/Eingangsdaten 40, die durch die verschiedenen Einrichtungen und Sensoren erhalten werden, während der Bedingungen mit Funktionsfähigkeit bei Ausfall ermittelt. Ausgangssignale/Anweisungen 44 werden durch die Steuerungen 24 mit Funktionsfähigkeit bei Ausfall zu den Fahrzeugaktuatoren übertragen, um die Merkmale mit Funktionsfähigkeit bei Ausfall während des Modus mit Funktionsfähigkeit bei Ausfall zu steuern. Wie vorstehend beschrieben ist, können ein Mikroprozessor und auch ein Speicher mit geringerer Größe in dem sekundären Controller 14 verwendet werden, da die Merkmale mit Funktionsfähigkeit bei Ausfall im Vergleich zu den Merkmalen mit Ruhigstellung bei Ausfall von geringem Umfang sind.
-
3 stellt ein Flussdiagramm für eine Steuerstrategie in dem sekundären Controller dar, um einen Fehler zu detektieren und um zu ermitteln, ob Merkmale mit Ruhigstellung bei Ausfall oder Merkmale mit Funktionsfähigkeit bei Ausfall aktiviert werden sollen.
-
Bei Block 50 werden Störungsbedingungen durch das Modul des sekundären Controllers mit Decodierer/Entscheider über eine Ruhigstellung bei Ausfall überwacht. Der Detektor/Entscheider über eine Ruhigstellung bei Ausfall ermittelt den Typ der Störungen und die Heftigkeit der Störungen, die dem primären Controller zugeordnet sind.
-
Bei Block 51 bewertet das Ausfall-Detektor-/Entscheidermodul die Korrektheit und die Sicherheit jeder der Steuerungen des primären Controllers in einer sich wiederholenden Schleife. Dies wird unabhängig davon ausgeführt, ob die primäre Steuerung bei Ausfall ruhiggestellt wird oder bei Ausfall funktionsfähig ist. Wenn ermittelt wird, dass die Steuerungen, die durch den primären Controller ausgegeben werden, korrekt sind, dann wird eine Rückführung zu Schritt 50 ausgeführt, um Ausgaben und Störungen weiterhin zu analysieren. Unter dieser Bedingung ist der primäre Controller aktiviert, und er behält die Steuerung über das Merkmal.
-
Wenn bei Block 51 ermittelt wird, dass die Steuerungen entweder inkorrekt oder unsicher sind, dann schreitet die Routine zu Schritt 52 voran.
-
Bei Schritt 52 ermittelt das Modul mit Detektor/Entscheider über eine Ruhigstellung bei Ausfall, ob das Merkmal, das der Störung zugeordnet ist, eine Anforderung mit Ruhigstellung bei Ausfall oder eine Anforderung mit Funktionsfähigkeit bei Ausfall ist. Wenn ermittelt wird, dass das Merkmal als eine Anforderung mit Ruhigstellung bei Ausfall kategorisiert ist, dann schreitet die Routine zu Schritt 53 voran; ansonsten schreitet die Routine zu Schritt 54 voran.
-
Bei Schritt 53 tritt der primäre Controller in Ansprechen auf eine Ermittlung, dass eine Bedingung mit Ruhigstellung bei Ausfall vorliegt, bezogen auf die Steuerungsvorgänge dieses Merkmals in einen Modus mit Ruhigstellung bei Ausfall ein. In einem Modus mit Ruhigstellung bei Ausfall wird das entsprechende Merkmal für die Einrichtung bzw. für das System nicht betriebsfähig, und es werden keine Steuersignale übertragen, die sich auf das entsprechende Merkmal beziehen. Weder der primäre Controller noch der sekundäre Controller können die gestörten Merkmale aktivieren. Es versteht sich, dass die Merkmale, die während der Konstruktionsphase für eine Ruhigstellung bei Ausfall identifiziert werden, solche Merkmale sind, die typischerweise für die Funktionalität des Fahrzeugs nicht kritisch sind, oder der Fahrzeugbetrieb hängt nicht von solchen Merkmalen ab. Daher gibt es keine Steuerstrategie in dem sekundären Controller, um den Betrieb des Merkmals aufrechtzuerhalten.
-
Es versteht sich auch, dass der primäre Controller verschiedene Merkmale in einem System oder einem Fahrzeug steuern kann. Wenn eine Störung in dem primären Controller bezüglich eines Merkmals auftritt, das durch den primären Controller gesteuert wird, wird daher anschließend nur der Betrieb dieses Merkmals nicht betriebsfähig. Der primäre Controller kann andere Merkmale weiterhin überwachen und steuern, die durch die Störung nicht beeinflusst werden.
-
Bei Schritt 54 überlässt der primäre Controller in Ansprechen auf eine Ermittlung bei Schritt 52, das das Merkmal als eine Anforderung mit Funktionsfähigkeit bei Ausfall kategorisiert ist, die Steuerung des gestörten Merkmals dem sekundären Controller. Unter einer Bedingung mit Funktionsfähigkeit bei Ausfall hält der sekundäre Controller den Betrieb des entsprechenden Merkmals aufrecht. Das Merkmal kann einen variierenden Grad der Funktionalität aufweisen, welcher während der Konstruktionsphasen vorprogrammiert wird. Der sekundäre Controller arbeitet typischerweise als ein Hochsicherheitssystem, das ermöglicht, dass die Konstruktion im Vergleich zu dem primären Controller ein leichtgewichtiger Controller ist. Der Begriff leichtgewichtig bezieht sich dann, wenn er hierin verwendet wird, auf ein System, das im Gegensatz zu dem primären Controller weniger computertechnisch intensiv ist. Darüber hinaus hält der sekundäre Controller eine erhöhte Sicherheit der Datenintegrität und der Genauigkeit basierend auf den Daten aufrecht, die beim Ausführen seiner Ermittlungen verwendet werden. Daher werden nur diejenige Software und die mit dieser verbundenen Vorgänge in den Controller programmiert, die eine größere Sicherheit bereitstellen, dass das Merkmal betrieben werden kann, um einen gewissen Betrieb des Merkmals aufrechtzuerhalten, welches für das System kritisch sein kann, das Merkmal kann jedoch auf eine reduzierte Weise betrieben werden. Während der sekundäre Controller den Betrieb für das entsprechende Merkmal aufrechterhält, das der Störung zugeordnet ist, weist der primäre Controller nicht länger irgendeine Beteiligung oder Steuerung bezogen auf dieses Merkmal auf; der primäre Controller hält jedoch die Analyse und die Steuerung über die anderen Merkmale aufrecht, die durch die Störung nicht beeinflusst werden.