Description, Analysis and Evaluation of a Novel Architecture Concept for Fault-Tolerant Control Systems

Die Frage, wie sicherheitskritische Steuerungen fehlertolerant gestaltet werden können, kann als grundsätzlich beantwortet angesehen werden (Echtle, 1990). Teils seit Jahrzehnten existieren Verfahren zur Fehlererkennung, Wiederholung misslungener Rechenoperationen oder paralleler Programmausführung auf mehreren Rechnern. Auf ein Gesamtsystem, wie z. B. ein Automobil bezogen, wurde jedoch bislang meist jedes einzelne Teilsystem (Lenkanlage, Bremsen etc.) isoliert betrachtet, was im Ergebnis zu massiver, aus Fehlertoleranzsicht aber entbehrlicher, struktureller Redundanz führte. Aus dieser Überlegung heraus entstand das Konzept der "Entfernten Redundanz", welches es erlaubt, im Gesamtsystem vorhandene Ressourcen unabhängig vom Ort ihres Vorhandenseins nutzbar zu machen. Als Folge können Hardwarekomponenten durch auf einem fremden Teilsystem ausgeführte Software ersetzt werden, was im Hinblick auf die für das Gesamtsystem entstehenden Kosten ein wesentliches Einsparpotenzial darstellt. Aber auch in Bezug auf ein einzelnes Teilsystem ermöglicht es der Einsatz Entfernter Redundanz, aufwändige (und darüber hinaus fehleranfällige) Verkabelungsstrukturen in beträchtlichem Umfang zu reduzieren. Die durch Entfernte Redundanz entstehende Systemarchitektur ist dabei nahezu frei skalierbar und nicht etwa auf einen bestimmten Fehlertoleranzgrad eingeschränkt. Realisierbar sind dementsprechend neben den beiden in der Praxis häufigsten Anforderungen − Ausfallsicherheit und Einfehlertoleranz − beliebige n-von-m-Systeme.The general problem of designing safety-critical control systems in a fault-tolerant manner may be regarded as largely solved (Echtle, 1990). Methods allowing for fault detection, forward/backward error recovery or fault masking using redundant computers partly exist since decades. As to a complete system, e. g. an automobile, usually each subsystem (steering system, brakes etc.) has, however, been treated and analyzed separately so far, leading to massive, but, from a fault tolerance point of view, superfluous, structural redundancy. Against this background, the concept of "remote redundancy" has been developed in order to enable the use of computing resources regardless of the location of their presence. As a consequence, formerly necessary hardware components may be replaced by a piece of software running on a different node, leading to a substantial savings potential for the production of the overall system. Even with regard to a single subsystem, remote redundancy allows to reduce complex and error-prone wiring structures to a considerable degree. The system architecture resulting from the appliance of remote redundancy is highly scalable and not at all restricted to a certain degree of fault tolerance. In addition to the most common requirements of single-fault tolerance and fail-safe behavior, any n-out-of-m-system is feasible

Overcoming digitalization-driven challenges in banks : An exploration of theory and practice towards improving Enterprise Architecture Management’s ability to support rapid change

Banks increasingly need the ability to implement rapid change to react to changes in technology, user demands, and regulations that are difficult to foresee. The complex information systems (IS) and process landscape of incumbent banks impede this ability. Enterprise architecture management (EAM), as a function that aims to oversee the coherent development of the IS and IT landscape in alignment with the business, is argued to have the capability to support this ability. However, the speed and uncertainty of changes, as well as a focus of banks to implement Agile project methodolo-gies and de-centralize decision-making, challenges EAM to effectively fulfill this role. A Theoretical Base model is constructed from the literature and promising approaches to increase the effectiveness are identified. An exploratory case study of three large banks that are affected by digitalization to different extents, is conducted on the basis of this model. The findings indicate non-technical issues to be the most challenging factors for EAM today, which need to be addressed to allow EAM to valuably support banks’ ability to accommodate rapid change by providing transparency, guidance for projects regarding processes and technology, as well as steering for the long-term evolution of the IT landscape. EAM can help banks most effectively by supporting cross-team communication and facilitating reduced complexity in the long-run

Eine Entwicklungsmethodik für sicherheitsrelevante Elektroniksysteme im Automobil

Es wird eine neue Entwicklungsmethodik für sicherheitsrelevante Elektroniksysteme im Automobil vorgestellt. Die im Automobilbereich gängige Methodik wird um Inhalte bzgl. Sicherheit und Zuverlässigkeit erweitert, die an den Luftfahrt-Standard SAE ARP 4761 angelehnt an die Anforderungen im Automobilbereich angepasst wurden. Wesentliche Erweiterungen sind neben dem Einsatz einer Gefährdungsanalyse der intensive Einsatz von FTA und FMEA zum Nachweis der Sicherheitseigenschaften des Systems

Sensorkonzept zur direkten Bestimmung von Zustandsgrößen an aktiv gelenkten Fahrwerken für Straßenbahnen

Mechatronische Fahrwerke mit aktiver Spurführung können Verschleiß und Lärm im Vergleich zu konventionellen Fahrwerken durch Vermeidung des Spurkranzanlaufs reduzieren. Trotz wissenschaftlicher Untersuchungen, die das Potential aufzeigen, wird eine technische Umsetzung selten vorgenommen. Dies liegt unter anderem an unzureichender Verfügbarkeit von geeigneter Messtechnik, insbesondere von Sensoren. Zur Regelung des Spurführungsverhaltens benötigen mechatronische Fahrwerke Kenntnisse über ihren aktuellen Zustand. Am Markt erhältliche Sensoren sind oft ungeeignet, wichtige Zustandsgrößen am Fahrwerk während der Fahrt direkt zu messen. Alternative Ansätze, die interessierenden Größen über Zustandsschätzer ableiten, sind oft unzureichend genau. In dieser Arbeit wird anhand eines aktiv gelenkten Radpaars ein neues Sensorkonzept zur direkten Bestimmung der Zustandsgrößen Anlaufwinkel und Lateralversatz vorgestellt. Aus den Anforderungen mechatronischer Fahrwerke wird mittels des V-Modells in drei Makrozyklen ein Sensorkonzept entwickelt und prototypisch aufgebaut. Das Sensorkonzept nutzt dabei die ferromagnetischen Eigenschaften der Schiene. Ein durch den Sensor künstlich erzeugtes Magnetfeld wird durch die Schiene verändert, und Hallsensorelemente messen diese Veränderungen. Aus den Messdaten wird die Lateralposition der Schiene unter dem Sensor über einen Luftspalt von 20mm mit ausreichender Genauigkeit berechnet. Der Sensorprototyp wird mittels einer Simulation des aktiv gelenkten Radpaars in verschiedenen Testszenarien validiert. Mit zusätzlichen Hardware-in-the-loop-Versuchen wird gezeigt, dass das Sensorkonzept für die mechatronische Spurführung eignet ist

Meta-Analyse und "publication bias": eine empirisch-statistische Fallstudie

"Die Schrift berichtet über empirische Analysen zur Identifikation eines “publication bias” in einer Meta-Analyse von 30 Studien zu den Effekten von pädosexueller Viktimisierung auf die Entstehung von pädosexueller Delinquenz. Zur Identifikation eines möglichen „publication bias“ werden verschiedene statistische Verfahren vorgestellt und erläutert (graphische und regressionsanalytische „funnel-plot“-Methodik sowie die „rank-correlation“-, „fail-safe numbers“- und „trim and fill“-Methodik). In den empirisch-statistischen Analysen kann kein Nachweis dafür gefunden werden, dass die Ergebnisse der Meta-Analyse durch einen „publication bias“ verfälscht wurden." [Autorenreferat]"The paper reports about various empirical analyses to identify a publication bias in a meta-analysis of 30 studies investigating the effects of pedo-sexual victimization on pedo-sexual delinquency. The paper presents and explains several methods used to identify a publication bias in meta-analysis (methods of graphical and regression based funnel-plot-analysis, rank-correlation-, fail-safe numbers-, and trim and fill-analysis). No evidence can be found that the results of the meta-analysis were distorted by an existing publication bias." [author's abstract

Meta-analysis and "publication bias" : an empirical-statistical case study

Die Schrift berichtet über empirische Analysen zur Identifikation eines "publication bias"” in einer Meta-Analyse von 30 Studien zu den Effekten von pädosexueller Viktimisierung auf die Entstehung von pädosexueller Delinquenz. Zur Identifikation eines möglichen "publication bias" werden verschiedene statistische Verfahren vorgestellt und erläutert (graphische und regressionsanalytische "funnel-plot"-Methodik sowie die "rank-correlation"-, "fail-safe numbers"- und "trim and fill"-Methodik). In den empirisch-statistischen Analysen kann kein Nachweis dafür gefunden werden, dass die Ergebnisse der Meta-Analyse durch einen "publication bias" verfälscht wurden.The paper reports about various empirical analyses to identify a publication bias in a meta-analysis of 30 studies investigating the effects of pedo-sexual victimization on pedo-sexual delinquency. The paper presents and explains several methods used to identify a publication bias in meta-analysis (methods of graphical and regression based funnel-plot-analysis, rank-correlation-, fail-safe numbers-, and trim and fill-analysis). No evidence can be found that the results of the meta-analysis were distorted by an existing publication bias

Entwurf eines fehlertoleranten Lenkventils für Steer-by-Wire Anwendungen bei Traktoren

In der Arbeit wird ein hydrostatisches Steer-by-Wire Ventil mit unabhängigen Steuerkanten untersucht und bezüglich der Eignung für sicherheitskritische Anwendungen bewertet. Durch experimentelle Untersuchungen wird nachgewiesen, dass Ventilfehler inhärent kompensiert werden können und die Lenkbarkeit auch im Fehlerfall gewährleistet ist. Der Verzicht auf eine strikt zweikanalige Struktur mit unabhängigen Abschaltpfaden sorgt für eine niedrige Systemkomplexität

Functional diversity with asymmetrically located comparison and its use for steering angle acquisition

Elektronik und Dutzende elektronische Steuereinheiten (ECUs) dominieren mittlerweile das Automobil und alle seine Funktionen. Ein Lenkwinkelsensormodul stellt beispielsweise verschiedensten Fahrzeugfunktionen die aktuelle Fahrtrichtung bereit. Fehlerbedingte Ausgabe falscher Winkel führt in einer verknüpften Assistenzfunktion mit eigenständiger Beeinflussung der Quer- und Längsdynamik des Fahrzeugs zu einem unvertretbaren Gefahrenrisiko. Zur Risikominderung werden sich bei Versagen gefährlich auswirkende Funktionalitäten gemäß der Norm ISO 26262 entwickelt. Dazu werden in dieser Norm unter anderem ein geeignetes Sicherheitskonzept und seine Anwendung gefordert. Um die höchste normgemäße Sicherheitsintegritätsstufe ASIL D zu erreichen, ist das altbewährte Sicherheitskonzept EGAS in aller Regel zu schwach, weil es nur ein nichtredundantes Rechnersystem (MC) vorsieht. Unter der Bedingung, ebenfalls mit einem einzigen MC auszukommen, wird zur Lösung dieses Problems ein neuartiges Sicherheitskonzept entwickelt. Es sieht vor, von MC berechnete Ausgangsgrößen funktionell diversitär auf redundante Sensorgrößen umzurechnen. Die im zweiten Sensorbaustein integrierte und damit asymmetrisch angeordnete Vergleichseinrichtung (AAV) stellt unabhängig von MC und für jeden einzelnen von MC erarbeiteten Funktions- und Ausgabewert die Integrität sowohl der Daten als auch der Rechner- und Sensorhardware sicher. Weiterhin vereinfacht dieser Aufbau den Verifikationsaufwand entscheidend, weil weder Sensoren noch umfangreiche MC-Software, sondern allein die Funktion der weit weniger komplexen AAV verifiziert werden muss. Die Beschränkung auf neben MC nur zwei weitere integrierte Schaltungen (ICs) stellt ebenfalls eine für die funktionale Sicherheit vorteilhafte Vereinfachung dar, denn zwei gleiche, jedoch funktionell diversitär erfassende Sensor-ICs verringern die Komplexität des neuen Konzepts auf das Notwendigste. Im Gegensatz zum EGAS-Konzept ist allmähliche Leistungsabsenkung sowie Notlauf einzelner Funktionalitäten möglich. Dies wird durch von Ende zu Ende abgesicherte Freigabe- bzw. Abschaltbotschaften erreicht, die AAV nach Vergleichen unabhängig von MC an die Aktorik sendet. Im konkreten Einsatz zur Lenkwinkelerfassung wird demonstriert, wie bzw. dass die höchsten normativen Anforderungen an die Hardwaresicherheitsintegrität für eine ECU mit nur einem Rechnersystem erfüllt werden. Anschließend wird in einer tiefgreifenden und umfassenden Bewertung der Sicherheitsintegrität in Systemen mit dem vorgestellten Sicherheitskonzept verallgemeinernd seine Eignung für Fahrzeugfunktionalitäten mit Sicherheitszielen bis ASIL D gezeigt und nachgewiesen

Programmiersprachen und Rechenkonzepte

Seit 1984 veranstaltet die GI-Fachgruppe "Programmiersprachen und Rechenkonzepte" regelmäßig im Frühjahr einen Workshop im Physikzentrum Bad Honnef. Das Treffen dient in erster Linie dem gegenseitigen Kennenlernen, dem Erfahrungsaustausch, der Diskussion und der Vertiefung gegenseitiger Kontakte. In diesem Forum werden Vorträge und Demonstrationen sowohl bereits abgeschlossener als auch noch laufender Arbeiten vorgestellt, unter anderem (aber nicht ausschließlich) zu Themen wie - Sprachen, Sprachparadigmen - Korrektheit von Entwurf und Implementierung - Werkzeuge - Software-/Hardware-Architekturen - Spezifikation, Entwurf - Validierung, Verifikation - Implementierung, Integration - Sicherheit (Safety und Security) - eingebettete Systeme - hardware-nahe Programmierung. In diesem Technischen Bericht sind einige der präsentierten Arbeiten zusammen gestellt

Dynamische Rekonfigurationsmethodik für zuverlässige, echtzeitfähige Eingebettete Systeme in Automotive

Currently, dynamically reconfigurable systems are not used in automotive and there is no process model for their development. The focus of this dissertation is to explore methods and approaches for the development of such systems. One major architectural driver is autonomous driving, another is functional high integration on central computing platforms. Taking these into account, dynamic reconfiguration is classified and explored