2 research outputs found
Functional diversity with asymmetrically located comparison and its use for steering angle acquisition
Elektronik und Dutzende elektronische Steuereinheiten (ECUs) dominieren mittlerweile das Automobil und alle seine Funktionen. Ein Lenkwinkelsensormodul stellt beispielsweise verschiedensten Fahrzeugfunktionen die aktuelle Fahrtrichtung bereit. Fehlerbedingte Ausgabe falscher Winkel fĂŒhrt in einer verknĂŒpften Assistenzfunktion mit eigenstĂ€ndiger Beeinflussung der Quer- und LĂ€ngsdynamik des Fahrzeugs zu einem unvertretbaren Gefahrenrisiko. Zur Risikominderung werden sich bei Versagen gefĂ€hrlich auswirkende FunktionalitĂ€ten gemÀà der Norm ISO 26262 entwickelt. Dazu werden in dieser Norm unter anderem ein geeignetes Sicherheitskonzept und seine Anwendung gefordert. Um die höchste normgemĂ€Ăe SicherheitsintegritĂ€tsstufe ASIL D zu erreichen, ist das altbewĂ€hrte Sicherheitskonzept EGAS in aller Regel zu schwach, weil es nur ein nichtredundantes Rechnersystem (MC) vorsieht.
Unter der Bedingung, ebenfalls mit einem einzigen MC auszukommen, wird zur Lösung dieses Problems ein neuartiges Sicherheitskonzept entwickelt. Es sieht vor, von MC berechnete AusgangsgröĂen funktionell diversitĂ€r auf redundante SensorgröĂen umzurechnen. Die im zweiten Sensorbaustein integrierte und damit asymmetrisch angeordnete Vergleichseinrichtung (AAV) stellt unabhĂ€ngig von MC und fĂŒr jeden einzelnen von MC erarbeiteten Funktions- und Ausgabewert die IntegritĂ€t sowohl der Daten als auch der Rechner- und Sensorhardware sicher. Weiterhin vereinfacht dieser Aufbau den Verifikationsaufwand entscheidend, weil weder Sensoren noch umfangreiche MC-Software, sondern allein die Funktion der weit weniger komplexen AAV verifiziert werden muss. Die BeschrĂ€nkung auf neben MC nur zwei weitere integrierte Schaltungen (ICs) stellt ebenfalls eine fĂŒr die funktionale Sicherheit vorteilhafte Vereinfachung dar, denn zwei gleiche, jedoch funktionell diversitĂ€r erfassende Sensor-ICs verringern die KomplexitĂ€t des neuen Konzepts auf das Notwendigste. Im Gegensatz zum EGAS-Konzept ist allmĂ€hliche Leistungsabsenkung sowie Notlauf einzelner FunktionalitĂ€ten möglich. Dies wird durch von Ende zu Ende abgesicherte Freigabe- bzw. Abschaltbotschaften erreicht, die AAV nach Vergleichen unabhĂ€ngig von MC an die Aktorik sendet. Im konkreten Einsatz zur Lenkwinkelerfassung wird demonstriert, wie bzw. dass die höchsten normativen Anforderungen an die HardwaresicherheitsintegritĂ€t fĂŒr eine ECU mit nur einem Rechnersystem erfĂŒllt werden. AnschlieĂend wird in einer tiefgreifenden und umfassenden Bewertung der SicherheitsintegritĂ€t in Systemen mit dem vorgestellten Sicherheitskonzept verallgemeinernd seine Eignung fĂŒr FahrzeugfunktionalitĂ€ten mit Sicherheitszielen bis ASIL D gezeigt und nachgewiesen