DE10328059A1 - Verfahren und Vorrichtung zur Überwachung eines verteilten Systems - Google Patents

Verfahren und Vorrichtung zur Überwachung eines verteilten Systems Download PDF

Info

Publication number
DE10328059A1
DE10328059A1 DE10328059A DE10328059A DE10328059A1 DE 10328059 A1 DE10328059 A1 DE 10328059A1 DE 10328059 A DE10328059 A DE 10328059A DE 10328059 A DE10328059 A DE 10328059A DE 10328059 A1 DE10328059 A1 DE 10328059A1
Authority
DE
Germany
Prior art keywords
monitoring
participants
data
bus system
subscribers
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE10328059A
Other languages
English (en)
Inventor
Dietmar Baumann
Dirk Hofmann
Herbert Vollert
Willi Nagel
Andreas Henke
Bertram Foitzik
Bernd Goetzelmann
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE10328059A priority Critical patent/DE10328059A1/de
Priority to US10/560,124 priority patent/US7502973B2/en
Priority to PCT/EP2004/050704 priority patent/WO2005001692A2/de
Priority to EP04731022A priority patent/EP1649373A2/de
Publication of DE10328059A1 publication Critical patent/DE10328059A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/183Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components
    • G06F11/184Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits by voting, the voting not being performed by the redundant components where the redundant components implement processing functionality
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/182Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits based on mutual exchange of the output between redundant processing components
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/16Error detection or correction of the data by redundancy in hardware
    • G06F11/18Error detection or correction of the data by redundancy in hardware using passive fault-masking of the redundant circuits
    • G06F11/181Eliminating the failing redundant component

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Hardware Redundancy (AREA)
  • Small-Scale Networks (AREA)

Abstract

Verfahren, Vorrichtung und Bussystem zur Überwachung des verteilten Systems, welches aus mehreren Teilnehmern besteht, die mittels eines Bussystems verbunden sind, wobei wenigstens eine Anzahl der Teilnehmer als überwachende Teilnehmer vorgesehen sind und Prozessdaten wenigstens eines überwachten Teilnehmers in Datenbereichen von Speichereinheiten des Bussystems abgelegt werden, auf welche die überwachenden Teilnehmer Zugriff haben und die Prozessdaten durch die überwachenden Teilnehmer ausgewertet werden.

Description

  • Stand der Technik
  • Die Erfindung geht aus von einem Verfahren und einer Vorrichtung zur Überwachung eines verteilten Systems, welches aus mehreren Teilnehmern besteht, die mittels eines Bussystems verbunden sind sowie einem entsprechenden Bussystem und einem entsprechenden verteilten System gemäß den Oberbegriffen der unabhängigen Ansprüche.
  • Der heutige Ansatz einer Vielzahl elektronischer Steuereinheiten in allen technischen Bereichen, wie z. B. in industriellen Anwendungen, z. B. im Werkzeugmaschinenbereich oder auch der Automatisierung sowie im Fahrzeugbereich und die Vernetzung dieser Steuereinheiten wirft insbesondere bei sicherheitsrelevanten Anwendungen wie beispielsweise Bremsfunktionen beim Kraftfahrzeug, z. B. ABS oder ESP, Lenkfunktionen oder auch Getriebeschaltfunktionen sowie Motorsteuerungsfunktionen das Problem des sicheren Betriebs eines solchen verteilten Systems auf.
  • Dabei werden heute gerade im Kraftfahrzeugbereich gemischt mechanisch-elektronische Systeme verwendet. Heutige mechatronische Systeme überwachen die Funktion des Systems selbsttätig, indem z. B. Redundanz eingebaut wird. Übliche Systeme beinhalten dabei je Steuereinheit bzw. Teilsystem zwei Prozessoren, welche die Funktionen berechnen und dann die Ergebnisse vergleichen. Liegt eine Differenz der Ergebnisse vor, so muss ein Fehler eingetreten sein und es können sicherheitsrelevante Maßnahmen eingeleitet werden. Dabei ist der zweite Prozessor häufig leistungsschwächer ausgelegt. In einem solchen Fall rechnet dieser zweite Prozessor nur ausgewählte Teilbereiche nach und vergleicht diese mit dem eigentlichen Funktionsrechner, wie dies beispielsweise in der DE 195 00 188 A1 gezeigt ist.
  • Übertragen auf ein verteiltes System bedeutet das, dass jedes Steuergerät des Teilsystems in sich so aufgebaut ist, dass es einen Fehler selbsttätig erkennen kann und dann Fehlerbehandlungsmaßnahmen einleitet, jedes Teilsystem also selbst redundant zur Ermittlung der Ergebnisse aufgebaut ist. Zur Erzeugung dieser Redundanz in den selbstüberwachenden Steuereinheiten müssen diese sehr aufwändig aufgebaut sein und es müssen Komponenten integriert sein, die für die eigentliche Funktion der Steuereinheit nicht zwingend notwendig wären.
  • Aufgabe der Erfindung ist es nun, diesen Überwachungsaufwand für jedes einzelne Teilsystem zu reduzieren.
  • Vorteile der Erfindung
  • Gelöst wird diese Aufgabe durch die Verlagerung wesentlicher Überwachungsfunktionalität auf das Bussystem selbst. So wird eine Überwachung von verteilten Systemen über das Bussystem hinweg ermöglicht, wodurch vorteilhafter Weise die Teilsysteme bzw. Steuereinheiten oder Teilnehmer auf ihre eigene Funktion bezogen aufgebaut werden können und zusätzlicher Überwachungsaufwand in diesem Teilnehmeraufbau weitgehend vermieden werden kann.
  • Dazu geht die Erfindung von einem Verfahren und einer Vorrichtung zur Überwachung eines verteilten Systems aus, welches aus mehreren Teilnehmern besteht, die mittels eines Bussystems verbunden sind. Zweckmäßiger Weise wird dann wenigstens eine Anzahl der Teilnehmer als überwachende Teilnehmer vorgesehen und Prozessdaten wenigstens eines überwachten Teilnehmers werden in Datenbereichen von Speichereinheiten des Bussystems abgelegt, auf welche die überwachenden Teilnehmer Zugriff haben, wobei diese Prozessdaten durch die überwachenden Teilnehmer ausgewertet werden.
  • So muss vorteilhafter Weise in einem System mit verteilter Intelligenz nicht jedes Teilsystem in sich alle relevanten Fehler selbst entdecken und nötige Gegenmaßnahmen einleiten, da dies erhöhte Kosten aufwerfen würde und die vorhandenen Möglichkeiten des Bussystems nicht genutzt würden. So kann erfindungsgemäß auf Teile der Überwachungsvorrichtungen verzichtet werden, indem Teile der Überwachung durch andere Teilnehmer mitübernommen werden, insbesondere durch den jedem Teilnehmer individuell zugeordneten Abschnitt des Bussystems, die Busankoppeleinheit.
  • Zweckmäßiger Weise wird dazu jeder der Datenbereiche eindeutig einem überwachten Teilnehmer zugeordnet.
  • Dabei ist es vorteilhaft, wenn der überwachte Teilnehmer selbst auf den ihm zugeordneten Datenbereich keinen Zugriff hat. Dabei können zum Einen die Datenbereiche über die wenigstens zwei Speichereinheiten verteilt sein, so dass sozusagen virtuelle Datenbereiche entstehen und/oder wenigstens ein Teil der Datenbereiche ist gleichzeitig in jeder Speichereinheit vorsehbar, abhängig vom Zugriffspotential der einzelnen Teilnehmer.
  • Zur Überwachung selbst, erzeugt jeder überwachende Teilnehmer vorteilhafter Weise abhängig von der Auswertung der Prozessdaten des überwachten Teilnehmers Ergebnisdaten. Diese Ergebnisdaten zur Überwachung werden von allen überwachenden Teilnehmern mit Ausnahme des wenigstens einen überwachten Teilnehmers selbst erzeugt und ergeben sich aus der Auswertung der Prozessdaten, insbesondere indem die eigenermittelten Daten zu den Prozessen mit denen des zu überwachenden Teilnehmers verglichen werden. Zweckmäßiger Weise wird in diesen Ergebnisdaten dann eine Fehlerinformation und/oder eine Maßnahmeninformation enthalten sein. Damit kann dem zu überwachenden Teilnehmer zum Einen aus individueller Sicht jedes überwachenden Teilnehmers mitgeteilt werden, ob ein Fehler vorliegt und welche Maßnahmen aufgrund eines vorliegenden Fehlers der jeweils überwachende Teilnehmer einleiten würde.
  • Dies erfolgt vorteilhafter Weise dadurch, dass die Ergebnisdaten über das Bussystem zu einem Kommunikationscontroller des Bussystems übertragen werden, der dem überwachten Teilnehmer zugeordnet ist. Die Auswertung der Ergebnisdaten kann so zum Einen durch den Kommunikationscontroller des überwachten Teilnehmers selbst ausgeführt werden. Werden die Ergebnisdaten in einer vorteilhaften Ausführungsform in den Datenbereichen, insbesondere der Busankoppeleinheit abgelegt, kann eine Auswertung auch durch andere Teilnehmer oder andere Kommunikationscontroller außer dem des überwachten Teilnehmers erfolgen.
  • Durch die erfindungsgemäßen Verfahren, Vorrichtung, Bussystem und Verteiltes System können im Gesamtsystem weniger kostenträchtige Maßnahmen zur Überwachung einzelner Baugruppen oder Teilsysteme des Gesamtsystems eingesetzt werden, so dass insbesondere die Anzahl von Hardwarekomponenten in den Teilsystemen und damit die Kosten für diese verringert werden können. Weiterhin kann ohne großen Mehraufwand eine Bewertung durch Voting der Überwachungsinformationen, insbesondere einer M- aus N-Auswahl bezüglich der Ergebnisdaten erfolgen, wobei N und M natürliche Zahlen sind und M größer 2 sowie N größer M/2 ist.
  • Weitere Vorteile und vorteilhafte Ausgestaltungen ergeben sich aus der Beschreibung sowie den Merkmalen der Ansprüche.
  • Zeichnung
  • Nachfolgend wird die Erfindung anhand der in der Zeichnung dargestellten Figuren näher erläutert.
  • Dabei zeigt
  • 1 ein verteiltes System mit mehreren Teilnehmern, wobei ein Teilnehmer aus einem entsprechenden Teilsystem und einer Busankoppeleinheit besteht.
  • 2 zeigt einen solchen Teilnehmer und seine Anbindung an die Kommunikationsverbindung in detaillierterer Darstellung.
  • 3 zeigt die Busankoppeleinheit mit erfindungsgemäßen Datenbereichen.
  • In 4 ist nochmals ein Teilnehmer detailliert dargestellt, diesmal bezüglich eines redundant ausgelegten Bussystems.
  • Beschreibung der Ausführungsbeispiele
  • 1 zeigt ein verteiltes System 100 mit vier Teilnehmern 101 bis 104. Jeder Teilnehmer besteht dabei aus einem entsprechenden Teilsystem 1 bis 4 sowie einer Busankoppeleinheit 106 bis 109. Diese Teilnehmer 101 bis 104 sind über eine Kommunikationsverbindung 105 miteinander verbunden. Erfindungsgemäß übernehmen nun in diesem verteilten System die überwachenden Teilnehmer, insbesondere deren Busankoppeleinheiten, auch Teile der Überwachung des wenigstens einen überwachten Teilnehmers, hier beispielsweise Teilnehmer 101 überwacht durch die Teilnehmer 102 bis 104. Gleichzeitig wird beispielsweise Teilnehmer 102 durch die Teilnehmer 101, 103 und 104 überwacht usw., so dass jeder Teilnehmer respektive jedes Teilsystem durch wenigstens zwei weitere Teilnehmer des verteilten Systems überwacht wird.
  • Wird jeder Teilnehmer durch wenigstens drei weitere Teilnehmer des verteilten Systems überwacht, so ist auch eine Votingfunktion, also eine Auswahlfunktion bezüglich der Beurteilung der überwachenden Teilnehmer bezogen auf den überwachten Teilnehmer möglich. Dazu können die überwachenden Teilnehmer ihre Einschätzung, also das Ergebnis der Überwachung über den Funktionszustand des wenigstens einen überwachten Teilnehmers über die Kommunikationsverbindung an beispielsweise den Kommunikationscontroller des überwachten Teilnehmers übermitteln. Diese Ergebnisdaten werden dann vom Kommunikationscontroller ausgewertet, woraufhin dieser dann gegebenenfalls entsprechende Maßnahmen ergreift. Bei dieser Auswertung kann dann ein Voting dergestalt erfolgen, dass beispielsweise bei drei überwachenden Teilnehmern eine 2- aus 3-Bewertung zum Einen zur Fehlererkennung und auch zur Maßnahmeneinleitung erfolgen kann. Dabei kann jener Teilnehmer von allen anderen dem verteilten System zugehörigen Teilnehmern überwacht werden oder nur von einem Teil der Teilnehmer, wobei diese Teilnehmer dann als überwachende Teilnehmer vorgesehen sind.
  • Zur Erhöhung der Sicherheit, insbesondere bei einem fehlerhaften Teilsystem, kann das Teilsystem selbst, insbesondere die Recheneinheit des Teilsystems, nicht auf die Überwachungsergebnisse, also die Ergebnisdaten der anderen Teilnehmer zugreifen, so dass die Überwachung unabhängig im und über das Bussystem geschieht.
  • Das verteilte System gemäß 1 ist somit so konzipiert, dass Teile der Funktionsüberwachung auch außerhalb der Teilsysteme, sprich in den anderen Teilnehmern bzw. in der Busankoppeleinheit abgearbeitet werden können. Ausgehend von einer Überwachung des Teilsystems 1 legt das Teilsystem 1 die Prozessdaten auf dem Datenbus im Bussystem ab. Dabei werden die Prozessdaten in Datenbereiche von Speichereinheiten des Bussystems in der Busankoppeleinheit wie in den nachfolgenden Zeichnungen noch erläutert wird, abgelegt. Die Teilnehmer 101 bis 104 respektive die Teilsysteme 2 bis 4 können auf diese Prozessdaten in den Datenbereichen von Speichereinheiten des Bussystems zugreifen und diese auswerten, so dass aus diesen Informationen die Überwachung gerechnet werden kann. Jedes Teilsystem legt seine Einschätzung in Form von Ergebnisdaten über den Zustand des Teilsystems 1, also des überwachten Teilsystems wieder auf dem Datenbus, also dem Bussystem in speziellen Bereichen ab. Diese Ergebnisdatenbereiche sind dem Kommunikationscontroller bzw. der Busankoppeleinheit oder einer speziell darin vorgesehenen zusätzlichen Einrichtung zugeordnet und können von dieser ausgewertet werden.
  • Diese Ergebnisdaten enthalten zum Einen Fehlerinformationen, also die Einschätzung des jeweiligen Teilsystems, ob das überwachte teilsystem eine Fehlfunktion aufweist oder nicht. Zum Anderen kann diese Fehlerinformation in Form einer Kennung derart ausgeweitet werden, dass konkret angegeben werden kann, bei welchen Prozessdaten und damit bei welcher Funktionalität ein Fehler erkannt wurde. Neben dieser Fehlerinformation, die also zum Einen eine Ja-Nein-Entscheidung des Fehlers erlaubt oder in einer ausgeweiteten Form den Fehler genau bezeichnen kann (bzw. den zugrundeliegenden Prozess oder die Funktionalität), kann weiterhin in den Ergebnisdaten eine Maßnahmeninformation vorgesehen sein. Dies bedeutet, dass abhängig von beispielsweise der Fehlerart oder der Prozessdatenart, bei der der Fehler aufgetreten ist oder der Prozessart bzw. Funktionalität, bei der der Fehler zu Tage trat, Fehlermaßnahmen differenziert eingeleitet werden können. Solche Maßnahmen können das Abschalten eines Teilsystems, den Übergang eines Teilsystems in den Notlauf oder auch das normale Weiterarbeiten bei geringer Fehlerpriorität sein. Bei Übergang in einen Notlauf kann dabei ein vorgegebenes Programm abgearbeitet, feste Werte angenommen oder eine eingeschränkte Funktionalität vorgesehen werden.
  • Somit kann in einem einfachen Fall ein Voting erfolgen, eben eine N- aus M-Auswahl oder hier eine 2- aus 3-Auswahl mit fest vorgegebener Fehlerreaktion oder auch in differenzierter Weise abhängig von der Art des Fehlers, wie beschrieben, eine spezielle Maßnahme eingeleitet werden, wobei eine Zuordnung von Maßnahme zu Fehlerart beispielsweise über eine fest vorgegebene Zuordnungstabelle oder andere Auswahlkriterien erfolgen kann.
  • Um beispielsweise bei einem fehlerhaften Prozessor bzw. einer so fehlerhaften Recheneinheit des Teilsystems 1 zu vermeiden, dass diese selbsttätig durch die eigene Fehlerhaftigkeit die Auswertung der Daten gefährdet, soll die Recheneinheit des Teilsystems 1, also des überwachten Systems, keine Möglichkeit haben, auf die speziellen Datenbereiche bezüglich der Ergebnisdaten in den Speichereinheiten des Bussystems, die diesem Teilsystem 1 zugeordnet sind, zuzugreifen.
  • 2 zeigt nun detailliert einen solchen Teilnehmer, der an die Kommunikationsverbindung 201 angekoppelt ist. Die Ankopplung an diese Kommunikationsverbindung 201 erfolgt über eine Busankoppeleinheit 202, welche aus einem Transceiver 203, einem Kommunikationscontroller 204 und der Speichereinheit einem Überwachungsregister oder Monitoringregister 205 besteht. Mit dieser Busankoppeleinheit ist das Teilsystem über eine Rechnereinheit 206 verbunden, welche die Steuereinheit bzw. Rechnereinheit, den μC des Teilsystems darstellt. Diese Teileinheit enthält von Sensoren 211 über eine Sensorsignalanpassungseinheit 212 gelieferte Eingangsdaten, wobei solche Sensordaten ebenfalls über die Kommunikationsverbindung und die Busankoppeleinheit zur Recheneinheit lieferbar sind. Dies gilt beispielsweise für intelligente Sensorik, die ihrerseits mit der Kommunikationsverbindung in Verbindung steht.
  • Ausgehend von diesen Eingangsdaten werden Ausgangssignale durch die Rechnereinheit 206 generiert und zum Einen eine Leistungseinheit 209 angesteuert, welche ihrerseits wiederum Aktuatoren 210 bedient. Ebenso sind weitere Signalausgänge über eine Signalanpassungseinheit 208 optional möglich.
  • Das Überwachungsregister bzw. die Busankoppeleinheit 202 steht direkt mit einer Fehlereinheit 207 in Verbindung. Dadurch kann die Busankoppeleinheit, insbesondere der Kommunikationscontroller 204 ausgehend von den Daten in den Datenbereichen des Überwachungsregisters 205 Signale ausgeben, beispielsweise an eine Rücksetzeinheit oder Reset-Unit, einen Spannungsregler, also voltage regulator, einen Oszillator und/oder einen watchdog.
  • In dem Teilnehmer 200 nach 2, bestehend eben aus dem entsprechenden Teilsystem und der Busankoppeleinheit, gelangen so die Überwachungsinformationen, also zum Einen die Prozessdaten des überwachten Teilnehmers und zum Anderen die Ergebnisdaten der anderen Teilnehmer, sofern er selbst überwacht wird, direkt vom Kommunikationscontroller 204 in die Überwachingsregister, also die Datenbereiche der Speichereinheit 205. In diesen Datenbereichen kann nun eine Gewichtung, eben beispielsweise durch Voting erfolgen, welche Maßnahmen eingeleitet werden sollen.
  • Sind sich die Teilsystems 2 bis 4 respektive die Teilnehmer 102 bis 104 einig, das Teilsystem 1 seine Funktion fehlerhaft erfüllt bzw. ergibt sich eine solche Einschätzung z.B. aus einem entsprechenden Voting, eben z. B. einer 2- aus 3-Auswahl, so kann beispielsweise Teilsystem 1 resetiert, also zurückgesetzt, ganz abgeschaltet oder beispielsweise nur die Leistungseinheit 209 deakliviert werden. Eine solche Fehlerreaktion, wie auch schon vorher beschrieben, kann auch durch die Busankoppeleinheit unter Umgehung der Rechnereinheit 206 optional durch direkte Ansteuerung der Leistungseinheit 209 bzw. Signalanpassungseinheit 208, wie durch die gestrichelten Pfeile dargestellt, realisiert werden.
  • Ist bei mehreren Teilsystemen oder Teilnehmern nur ein Teilnehmer der Meinung, dass das Teilsystem 1 einen Fehler aufweist, so ist denkbar, dass statt dem überwachten Teilsystem in diesem Teilsystem, das den Fehler detektiert hat, ein Fehler vorliegt. Da, wie zu 1 beschrieben, jedes Teilsystem über Kreuz mit diesem Verfahren geprüft werden kann, kann nun speziell dieses Teilsystem auf Fehler hin untersucht werden. So werden dann die Prozessdaten dieses Teilsystems ausgewertet und das Teilsystem, das irrtümlich auf Fehler erkannt hat, wird seinerseits überprüft. Einem fehlerhaften Abschalten wird somit vorgebeugt. Ebenso wird unzureichenden oder falschen Fehlerreaktionen und Maßnahmen vorgebeugt.
  • 3 zeigt nochmals eine Busankoppeleinheit 300 mit einem Transceiver 301, einem Kommunikationscontroller 302 sowie der Speichereinheit, also dem Überwachungsregister 303. Dieses Überwachungsregister ist hier beispielhaft in vier Datenbereiche T1, T2, T3 und T4 entsprechend der Anzahl der überwachten oder zu überwachenden Teilnehmer eingeteilt. Diese Datenbereiche T1 bis T4 können dann wieder seinerseits geteilt sein, so dass zum Einen die Prozessdaten des entsprechenden Teilnehmers eingeschrieben werden, zum Anderen die entsprechenden Ergebnisdaten zugeordnet werden können. Diese Datenbereiche können identisch in jeder Busankoppeleinheit vorgesehen sein, wobei entsprechend der Anzahl der überwachten und überwachenden Teilnehmer auch beliebige andere Kombinationen denkbar und erfindungsgemäß möglich sind.
  • Bei Überwachung des Teilnehmers T1 werden somit die Prozessdaten dieses Teilnehmers in T1 eingeschrieben. Die überwachenden Teilnehmer werten nun diese Prozessdaten aus und erstellen aus dieser Auswertung Ergebnisdaten. Für das Einschreiben der Ergebnisdaten gibt es nun verschiedene Möglichkeiten. Zum Einen können alle Ergebnisdaten der einzelnen Teilnehmer in den Dateibereich des überwachten Teilnehmers eingeschrieben werden, wobei z.B. durch eine Kennung einen Zuordnung der Daten zum jeweiligen überwachenden Teilnehmer möglich ist. Der Komminikationscontroller nimmt nun eine Bewertung dieser Ergebnisdaten durch Vergleich oder Voting vor und leitet eine entsprechende Fehlerreaktion ein.
  • Zum Anderen können die entsprechenden Daten dem jeweiligen teilnehmerzugeordneten Datenbereich eingeschrieben werden, so dass die jeweiligen Prozessdaten des entsprechenden Teilnehmers eingeschrieben werden und diesen Prozessdaten in PE1 von T1 spezielle Bereiche PE2 bis PE4 zugeordnet sind, in welche die jeweiligen Ergebnisdaten eben des Teilnehmers 2, 3 oder 4 eingeschrieben werden, so dass durch den Kommunikationscontroller 302 über diese optionale Zeile 304 ein Vergleich und ein Voting sowie die entsprechenden Maßnahmen durchgeführt werden können. Im ersten Fall entspricht die Anzahl der Datenbereiche der Anzahl der überwachten Teilnehmer, so dass jedem überwachten Teilnehmer ein Datenbereich eindeutig zugeordnet ist. Im zweiten Fall entspricht die Anzahl der Datenbereiche der Summe der Anzahl der überwachenden und der überwachten Teilnehmer, wobei, wie schon beschrieben, dabei auch eine Schnittmenge bis vollständigen Übereinstimmung der Anzahl von überwachten und überwachenden Teilnehmern möglich ist, sodaß im Extremfall jeder Teilnehmer von allen anderen überwacht wird..
  • In 4 nun ist ein redundantes System mit Kommunikationsverbindungen 401 und 402 als Teilnehmer 400 dargestellt. Dabei sind nun zwei Busankoppeleinheiten 403 und 404 vorgesehen, von denen jede mit einer Kommunikationsverbindung gekoppelt ist. Auch hier enthalten die Busankoppeleinheiten einen Transceiver 405 bzw. 408, einen Kommunikationscontroller 406 respektive 409 sowie ein Überwachungsregister, die Speichereinheit 407 bzw. 410. Auch hierbei ist wenigstens eine Fehlereinheit 411 vorgesehen, die durch die Speichereinheit bzw. die Busankoppeleinheit 404 bedient wird.
  • Dabei kann die selbe Fehlereinheit 411 durch die andere Busankoppeleinheit 403 gleichfalls bedient werden, oder aber es ist eine zweite Fehlereinheit aus Redundanzgründen, also je Busankoppeleinheit eine Fehlereinheit vorgesehen. Beide Busankoppeleinheiten stehen auch hier mit der Rechnereinheit 417 des Teilsystems in Verbindung, welche wiederum von Sensoren 415 über eine Sensorsignalanpassungseinheit 416 Eingangssignale erhält. Gleichermaßen bildet hier die Rechnereinheit 417 Ausgangssignale zu einer Leistungseinheit 413 oder einer Signalanpassungseinheit 412. Die Leistungseinheit 413 steuert auch hier Aktuatoren 414 an.
  • Durch Verwendung eines solchen redundanten Systems ist eine Skalierbarkeit bezüglich der Fehlersicherheit durch Anordnung der Datenbereiche in den Speichereinheiten 407 bzw. 410 möglich. So können die Datenbereiche beispielsweise über die zwei Speichereinheiten verteilt sein oder auch nur teilweise verteilt und teilweise gleichermaßen vorgesehen sein. So ist es möglich, manche Datenbereiche in beiden Speichereinheiten 407 und 410 vorzusehen und andere Datenbereiche jeweils nur in einer Speichereinheit. Dadurch ergibt sich eine skalierbare Redundanz, mit welcher sehr flexibel auf sicherheitsrelevante Anforderungen des Systems reagiert werden kann. So kann wenigstens ein Teil der Datenbereiche zum Einen in jeder Busankoppeleinheit des verteilten Systems, aber auch in jeder Busankoppeleinheit dieses redundanten verteilten Systems vorgesehen sein. Dies hängt auch insbesondere von der Anzahl der überwachten und/oder der überwachenden Teilnehmer ab.
  • Damit ist eine sehr flexible und dennoch einfache Form der Fehlerüberwachung in einem verteilten System gegeben.

Claims (16)

  1. Verfahren zur Überwachung eines verteilten Systems, welches aus mehreren Teilnehmern besteht, die mittels eines Bussystems verbunden sind, dadurch gekennzeichnet dass wenigstens eine Anzahl der Teilnehmer als überwachende Teilnehmer vorgesehen sind und Prozessdaten wenigstens eines überwachten Teilnehmers in Datenbereichen von Speichereinheiten des Bussystems abgelegt werden auf welche die überwachenden Teilnehmer Zugriff haben und die Prozessdaten durch die überwachenden Teilnehmer ausgewertet werden.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass jeder der Datenbereiche eindeutig einem überwachten Teilnehmer zugeordnet ist.
  3. Verfahren nach Anspruch 2, dadurch gekennzeichnet, dass der überwachte Teilnehmer auf den ihm zugeordneten Datenbereich keinen Zugriff hat.
  4. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Datenbereiche über wenigstens zwei Speichereinheiten verteilt sind.
  5. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass wenigstens ein Teil der Datenbereiche gleichzeitig in jeder Speichereinheit vorgesehen ist.
  6. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass jeder überwachende Teilnehmer, außer der überwachte Teilnehmer selbst, abhängig von der Auswertung der Prozessdaten des überwachten Teilnehmers Ergebnisdaten erzeugt.
  7. Verfahren nach Anspruch 6, dadurch gekennzeichnet, dass die Ergebnisdaten eine Fehlerinformation enthalten.
  8. Verfahren nach Anspruch 6, dadurch gekennzeichnet, dass die Ergebnisdaten eine Maßnahmeninformation enthalten.
  9. Verfahren nach Anspruch 6, dadurch gekennzeichnet, dass die Ergebnisdaten über das Bussystem zu einem Kommunikationskontrollen des Bussystems bei dem überwachten Teilnehmers übertragen werden.
  10. Verfahren nach Anspruch 6, dadurch gekennzeichnet, dass die Ergebnisdaten in den Datenbereichen abgelegt werden.
  11. Verfahren nach Anspruch 2 und 6, dadurch gekennzeichnet, dass die Ergebnisdaten jeweils jedem überwachten Teilnehmer zugeordnet und in den diesen zugeordneten Datenbereichen abgelegt werden.
  12. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass zur Überwachung eine gewichtete Fehlerauswahl als n aus m Entscheidung durchgeführt wird, wobei m die Anzahl der überwachenden Teilnehmer ist, abzüglich des überwachten selbst und m > 2 mit n > m/2.
  13. Vorrichtung zur Überwachung eines verteilten Systems, welches aus mehreren Teilnehmern besteht, die mittels eines Bussystems verbunden sind, dadurch gekennzeichnet, dass wenigstens eine Anzahl der Teilnehmer als überwachende Teilnehmer vorgesehen sind und erste Mittel vorgesehen sind, welche die Prozessdaten wenigstens eines überwachten Teilnehmers in Datenbereichen von Speichereinheiten des Bussystems ablegen auf welche zweite Mittel der überwachenden Teilnehmer Zugriff haben und diese zweiten Mittel die Prozessdaten auswerten.
  14. Vorrichtung nach Anspruch 13, dadurch gekennzeichnet, dass jede der Speichereinheiten einem überwachenden Teilnehmer zugeordnet ist.
  15. Bussystem zur Überwachung eines verteilten Systems, welches aus mehreren Teilnehmern besteht, die mittels des Bussystems verbunden sind, dadurch gekennzeichnet, dass wenigstens eine Anzahl der Teilnehmer als überwachende Teilnehmer vorgesehen sind und erste Mittel vorgesehen sind, welche die Prozessdaten wenigstens eines überwachten Teilnehmers in Datenbereichen von Speichereinheiten des Bussystems ablegen auf welche zweite Mittel der überwachenden Teilnehmer Zugriff haben und diese zweiten Mittel die Prozessdaten auswerten.
  16. Verteiltes System, welches aus mehreren Teilnehmern besteht, die mittels eines Bussystems verbunden sind, dadurch gekennzeichnet, dass wenigstens eine Anzahl der Teilnehmer als überwachende Teilnehmer vorgesehen sind und erste Mittel vorgesehen sind, welche die Prozessdaten wenigstens eines überwachten Teilnehmers in Datenbereichen von Speichereinheiten des Bussystems ablegen auf welche zweite Mittel der überwachenden Teilnehmer Zugriff haben und diese zweiten Mittel die Prozessdaten auswerten.
DE10328059A 2003-06-23 2003-06-23 Verfahren und Vorrichtung zur Überwachung eines verteilten Systems Withdrawn DE10328059A1 (de)

Priority Applications (4)

Application Number Priority Date Filing Date Title
DE10328059A DE10328059A1 (de) 2003-06-23 2003-06-23 Verfahren und Vorrichtung zur Überwachung eines verteilten Systems
US10/560,124 US7502973B2 (en) 2003-06-23 2004-05-04 Method and device for monitoring a distributed system
PCT/EP2004/050704 WO2005001692A2 (de) 2003-06-23 2004-05-04 Verfahren und vorrichtung zur überwachung eines verteilten systems
EP04731022A EP1649373A2 (de) 2003-06-23 2004-05-04 Verfahren und vorrichtung zur berwachung eines verteilten s ystems

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE10328059A DE10328059A1 (de) 2003-06-23 2003-06-23 Verfahren und Vorrichtung zur Überwachung eines verteilten Systems

Publications (1)

Publication Number Publication Date
DE10328059A1 true DE10328059A1 (de) 2005-01-13

Family

ID=33520796

Family Applications (1)

Application Number Title Priority Date Filing Date
DE10328059A Withdrawn DE10328059A1 (de) 2003-06-23 2003-06-23 Verfahren und Vorrichtung zur Überwachung eines verteilten Systems

Country Status (4)

Country Link
US (1) US7502973B2 (de)
EP (1) EP1649373A2 (de)
DE (1) DE10328059A1 (de)
WO (1) WO2005001692A2 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102004041428A1 (de) * 2004-08-27 2006-03-02 Daimlerchrysler Ag Systemintegrationsprüfstand für vernetzte mechatronische Gesamtsysteme

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2015182A3 (de) * 2007-05-30 2010-03-24 Hitachi Ltd. Verteiltes System
US20080298256A1 (en) * 2007-05-30 2008-12-04 Hitachi, Ltd. Distributed System
JP4433006B2 (ja) * 2007-07-04 2010-03-17 株式会社デンソー マルチコアの異常監視装置
US7913030B2 (en) * 2007-12-28 2011-03-22 Sandisk Il Ltd. Storage device with transaction logging capability
US7979662B2 (en) * 2007-12-28 2011-07-12 Sandisk Il Ltd. Storage device with transaction indexing capability
AU2009325878B2 (en) 2008-12-08 2014-01-16 Compugen Ltd. TMEM154 polypeptides and polynucleotides, and uses thereof as a drug target for producing drugs and biologics
FR3000196B1 (fr) * 2012-12-21 2015-02-06 Airbus Operations Sas Dispositif de mise a disposition de valeurs de parametres de navigation d'un vehicule

Family Cites Families (43)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB1253309A (en) * 1969-11-21 1971-11-10 Marconi Co Ltd Improvements in or relating to data processing arrangements
US3783250A (en) * 1972-02-25 1974-01-01 Nasa Adaptive voting computer system
GB1434186A (en) * 1972-04-26 1976-05-05 Gen Electric Co Ltd Multiprocessor computer systems
US3898621A (en) * 1973-04-06 1975-08-05 Gte Automatic Electric Lab Inc Data processor system diagnostic arrangement
US4015246A (en) * 1975-04-14 1977-03-29 The Charles Stark Draper Laboratory, Inc. Synchronous fault tolerant multi-processor system
JPS594054B2 (ja) * 1979-04-17 1984-01-27 株式会社日立製作所 マルチプロセツサ障害検出方式
US4321666A (en) 1980-02-05 1982-03-23 The Bendix Corporation Fault handler for a multiple computer system
US4323966A (en) * 1980-02-05 1982-04-06 The Bendix Corporation Operations controller for a fault-tolerant multiple computer system
US4453213A (en) * 1981-07-30 1984-06-05 Harris Corporation Error reporting scheme
US4926315A (en) * 1981-10-01 1990-05-15 Stratus Computer, Inc. Digital data processor with fault tolerant peripheral bus communications
US4757442A (en) * 1985-06-17 1988-07-12 Nec Corporation Re-synchronization system using common memory bus to transfer restart data from non-faulty processor to failed processor
US4965717A (en) * 1988-12-09 1990-10-23 Tandem Computers Incorporated Multiple processor system having shared memory with private-write capability
JPH07117905B2 (ja) * 1989-02-09 1995-12-18 日本電気株式会社 マイクロプロセッサ
US5295258A (en) * 1989-12-22 1994-03-15 Tandem Computers Incorporated Fault-tolerant computer system with online recovery and reintegration of redundant components
JPH0469141A (ja) * 1990-07-10 1992-03-04 Fujitsu Ltd 障害の集中・分散管理処理方式
CA2068048A1 (en) * 1991-05-06 1992-11-07 Douglas D. Cheung Fault tolerant processing section with dynamically reconfigurable voting
JP2500038B2 (ja) * 1992-03-04 1996-05-29 インターナショナル・ビジネス・マシーンズ・コーポレイション マルチプロセッサ・コンピュ―タ・システム、フォ―ルト・トレラント処理方法及びデ―タ処理システム
JP2812045B2 (ja) * 1992-03-16 1998-10-15 株式会社日立製作所 高信頼型分散処理システム
US5265832A (en) * 1992-03-18 1993-11-30 Aeg Transportation Systems, Inc. Distributed PTU interface system
US5485573A (en) * 1993-07-16 1996-01-16 Unisys Corporation Method and apparatus for assisting in the determination of the source of errors in a multi-host data base management system
US5453737A (en) * 1993-10-08 1995-09-26 Adc Telecommunications, Inc. Control and communications apparatus
DE19500188B4 (de) 1995-01-05 2006-05-11 Robert Bosch Gmbh Schaltungsanordnung für eine Bremsanlage
US5666483A (en) * 1995-09-22 1997-09-09 Honeywell Inc. Redundant processing system architecture
GB9606833D0 (en) * 1996-03-30 1996-06-05 Int Computers Ltd Multi-processor system
US5799022A (en) * 1996-07-01 1998-08-25 Sun Microsystems, Inc. Faulty module location in a fault tolerant computer system
US5991518A (en) * 1997-01-28 1999-11-23 Tandem Computers Incorporated Method and apparatus for split-brain avoidance in a multi-processor system
US5923830A (en) * 1997-05-07 1999-07-13 General Dynamics Information Systems, Inc. Non-interrupting power control for fault tolerant computer systems
US5931959A (en) * 1997-05-21 1999-08-03 The United States Of America As Represented By The Secretary Of The Air Force Dynamically reconfigurable FPGA apparatus and method for multiprocessing and fault tolerance
US6247143B1 (en) * 1998-06-30 2001-06-12 Sun Microsystems, Inc. I/O handling for a multiprocessor computer system
WO2000036492A2 (en) * 1998-12-18 2000-06-22 Triconex Corporation Method and apparatus for processing control using a multiple redundant processor control system
EP1107119A3 (de) * 1999-12-02 2005-07-20 Sun Microsystems, Inc. Erweiterung der Gruppenzugehörigkeit und Quorumsbestimmung zu intelligenten Speicherbereichsystemens
US6651242B1 (en) * 1999-12-14 2003-11-18 Novell, Inc. High performance computing system for distributed applications over a computer
US6523139B1 (en) * 1999-12-17 2003-02-18 Honeywell International Inc. System and method for fail safe process execution monitoring and output control for critical systems
FR2803057B1 (fr) * 1999-12-22 2002-11-29 Centre Nat Etd Spatiales Systeme informatique tolerant aux erreurs transitoires et procede de gestion dans un tel systeme
US6862613B1 (en) * 2000-01-10 2005-03-01 Sun Microsystems, Inc. Method and apparatus for managing operations of clustered computer systems
US6732300B1 (en) * 2000-02-18 2004-05-04 Lev Freydel Hybrid triple redundant computer system
US6665811B1 (en) * 2000-08-24 2003-12-16 Hewlett-Packard Development Company, L.P. Method and apparatus for checking communicative connectivity between processor units of a distributed system
US6928583B2 (en) * 2001-04-11 2005-08-09 Stratus Technologies Bermuda Ltd. Apparatus and method for two computing elements in a fault-tolerant server to execute instructions in lockstep
US7260741B2 (en) * 2001-09-18 2007-08-21 Cedar Point Communications, Inc. Method and system to detect software faults
US6938183B2 (en) * 2001-09-21 2005-08-30 The Boeing Company Fault tolerant processing architecture
US7363543B2 (en) * 2002-04-30 2008-04-22 International Business Machines Corporation Method and apparatus for generating diagnostic recommendations for enhancing process performance
US7089484B2 (en) * 2002-10-21 2006-08-08 International Business Machines Corporation Dynamic sparing during normal computer system operation
US7373557B1 (en) * 2003-04-04 2008-05-13 Unisys Corporation Performance monitor for data processing systems

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102004041428A1 (de) * 2004-08-27 2006-03-02 Daimlerchrysler Ag Systemintegrationsprüfstand für vernetzte mechatronische Gesamtsysteme

Also Published As

Publication number Publication date
US20060248409A1 (en) 2006-11-02
EP1649373A2 (de) 2006-04-26
WO2005001692A2 (de) 2005-01-06
US7502973B2 (en) 2009-03-10
WO2005001692A3 (de) 2005-04-21

Similar Documents

Publication Publication Date Title
DE2908316C2 (de) Modular aufgebaute Multiprozessor-Datenverarbeitungsanlage
DE60019038T2 (de) Intelligente Fehlerverwaltung
EP1600831B1 (de) Verfahren und Vorrichtung zur Überwachung mehrerer Steuergeräte mittels einer Frage-Antwort-Kommunikation
EP1597643B1 (de) Vorrichtung und verfahren zur modellbasierten on-board-diagnose
DE102005014550A1 (de) Brake By-Wire Steuersystem
EP3709166B1 (de) Verfahren und system zur sicheren signalmanipulation für den test integrierter sicherheitsfunktionalitäten
DE19509150C2 (de) Verfahren zum Steuern und Regeln von Fahrzeug-Bremsanlagen sowie Fahrzeug-Bremsanlage
WO2008040641A2 (de) Verfahren und vorrichtung zur fehlerverwaltung
DE10331873A1 (de) Verfahren zur Überwachung verteilter Software
EP1700211B1 (de) Laden von software-modulen
EP2099667A1 (de) Verfahren zum sicherstellen oder aufrechterhalten der funktion eines komplexen sicherheitskritischen gesamtsystems
DE102005061393A1 (de) Verfahren zur Verteilung von Softwaremodulen
DE10142511B4 (de) Fehlerbehandlung von Softwaremodulen
DE10328059A1 (de) Verfahren und Vorrichtung zur Überwachung eines verteilten Systems
EP3338189A2 (de) Verfahren zum betrieb eines mehrkernprozessors
DE102012221277A1 (de) Fahrzeugsteuervorrichtung
DE10321229B4 (de) Gegenkontrollierende Prozessoren für Antriebsstrangsteuerungssysteme, die eine dedizierte serielle Datenleitung verwenden
DE102019208729A1 (de) Verfahren zum Sicherstellen und Aufrechterhalten der Funktion eines sicherheitskritischen Gesamtsystems
DE3238692A1 (de) Datenuebertragungssystem
DE102020209228A1 (de) Verfahren zum Überwachen wenigstens einer Recheneinheit
DE102005007477B4 (de) Programmierbare Steuerung zur Maschinen-und/oder Anlagenautomatisierung mit Standard-Steuerungs- und Sicherheitsfunktionen und Kommunikation mit einer Sicherheits-EA sowie Verfahren zum Betrieb der programmierbaren Steuerung
DE102009027369A1 (de) Verfahren sowie System zur Ansteuerung von mindestens einem Aktuator
DE102011011224A1 (de) Steuergeräteanordnung
EP1960854A1 (de) Diagnoseverfahren und diagnosevorrichtung zur funktionsorientierten diagnose eines systems mit vernetzten komponenten
DE102017212560A1 (de) Verfahren zum ausfallsicheren Durchführen einer sicherheitsgerichteten Funktion

Legal Events

Date Code Title Description
8110 Request for examination paragraph 44
R084 Declaration of willingness to licence
R084 Declaration of willingness to licence

Effective date: 20150114

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee