Functional diversity with asymmetrically located comparison and its use for steering angle acquisition

Elektronik und Dutzende elektronische Steuereinheiten (ECUs) dominieren mittlerweile das Automobil und alle seine Funktionen. Ein Lenkwinkelsensormodul stellt beispielsweise verschiedensten Fahrzeugfunktionen die aktuelle Fahrtrichtung bereit. Fehlerbedingte Ausgabe falscher Winkel führt in einer verknüpften Assistenzfunktion mit eigenständiger Beeinflussung der Quer- und Längsdynamik des Fahrzeugs zu einem unvertretbaren Gefahrenrisiko. Zur Risikominderung werden sich bei Versagen gefährlich auswirkende Funktionalitäten gemäß der Norm ISO 26262 entwickelt. Dazu werden in dieser Norm unter anderem ein geeignetes Sicherheitskonzept und seine Anwendung gefordert. Um die höchste normgemäße Sicherheitsintegritätsstufe ASIL D zu erreichen, ist das altbewährte Sicherheitskonzept EGAS in aller Regel zu schwach, weil es nur ein nichtredundantes Rechnersystem (MC) vorsieht. Unter der Bedingung, ebenfalls mit einem einzigen MC auszukommen, wird zur Lösung dieses Problems ein neuartiges Sicherheitskonzept entwickelt. Es sieht vor, von MC berechnete Ausgangsgrößen funktionell diversitär auf redundante Sensorgrößen umzurechnen. Die im zweiten Sensorbaustein integrierte und damit asymmetrisch angeordnete Vergleichseinrichtung (AAV) stellt unabhängig von MC und für jeden einzelnen von MC erarbeiteten Funktions- und Ausgabewert die Integrität sowohl der Daten als auch der Rechner- und Sensorhardware sicher. Weiterhin vereinfacht dieser Aufbau den Verifikationsaufwand entscheidend, weil weder Sensoren noch umfangreiche MC-Software, sondern allein die Funktion der weit weniger komplexen AAV verifiziert werden muss. Die Beschränkung auf neben MC nur zwei weitere integrierte Schaltungen (ICs) stellt ebenfalls eine für die funktionale Sicherheit vorteilhafte Vereinfachung dar, denn zwei gleiche, jedoch funktionell diversitär erfassende Sensor-ICs verringern die Komplexität des neuen Konzepts auf das Notwendigste. Im Gegensatz zum EGAS-Konzept ist allmähliche Leistungsabsenkung sowie Notlauf einzelner Funktionalitäten möglich. Dies wird durch von Ende zu Ende abgesicherte Freigabe- bzw. Abschaltbotschaften erreicht, die AAV nach Vergleichen unabhängig von MC an die Aktorik sendet. Im konkreten Einsatz zur Lenkwinkelerfassung wird demonstriert, wie bzw. dass die höchsten normativen Anforderungen an die Hardwaresicherheitsintegrität für eine ECU mit nur einem Rechnersystem erfüllt werden. Anschließend wird in einer tiefgreifenden und umfassenden Bewertung der Sicherheitsintegrität in Systemen mit dem vorgestellten Sicherheitskonzept verallgemeinernd seine Eignung für Fahrzeugfunktionalitäten mit Sicherheitszielen bis ASIL D gezeigt und nachgewiesen