Bussysteme
Latente Fehler in CAN- und FlexRay-Bussystemen untersuchen
Fortsetzung des Artikels von Teil 2
Latente Fehler im CAN-Bus erkennen
Als die ISO 26262 verabschiedet wurde, waren CAN- und FlexRay-Bussysteme bereits seit Jahren spezifiziert und kamen erfolgreich in zahlreichen Straßenfahrzeugen zum Einsatz (Bild). Die in CAN- und FlexRay-Bussystemen eingebauten Sicherheitsmechanismen erreichen einen außerordentlich hohen Fehlerabdeckungsgrad. Der Ausfall eines Sicherheitsmechanismus kann jedoch einem realistischen latenten Fehler zugrunde liegen. Die Ergebnisse der durchgeführten Untersuchung sind in den Tabellen 1 und 2 jeweils für CAN und FlexRay zu sehen. In den Tabellen wird der Ausfall eines Sicherheitsmechanismus als ein mögliches latentes, gefahrbringendes Ereignis eingestuft, falls der Ausfall überhaupt nicht erkennbar oder die Auswirkungen des Ausfalls weder wahrnehmbar noch vermeidbar sind. Jeder CAN-Knoten verfügt über folgende Sicherheitsmechanismen (SM) zur Fehlererkennung:
- Zyklische Redundanzprüfung (Cyclic Redundancy Check, CRC) (SM1),
- Bit-Stopfen-Regel (SM2),
- Bit-Überwachung (SM3),
- Formatprüfung (SM4) und
- Bestätigungsprüfung (SM5).
Jobangebote+ passend zum Thema
Nach dem aktuellen Stand der Technik lässt sich der Ausfall eines CAN-Sicherheitsmechanismus nicht erkennen. Aufgrund der Komplementarität von CAN-Sicherheitsmechanismen in jedem Knoten und zwischen verschiedenen Knoten werden mögliche Folgen einer fehlenden Prüfung oder Überwachung wahrgenommen oder vermieden. In einem CAN-Bussystem nehmen alle empfangenden Knoten an der Erkennung der CRC-, Bit-Stopfen- und Formatfehler teil. Die Auswirkungen des Ausfalls eines der betroffenen Sicherheitsmechanismen SM1, SM2 oder SM4 in einem CAN-Knoten sind dadurch vermeidbar, dass ein anderer Knoten den möglichen Fehler erkennen kann und anschließend ein Fehlertelegramm übertragen wird. Die Aussage trifft nur zu, wenn das Netzwerk mehr als zwei CAN-Knoten umfasst. Für eine Punkt-zu-Punkt-CAN-Verbindung stellt jeder Ausfall eines der Sicherheitsmechanismen SM1, SM2 oder SM4 einen potenziellen latenten Fehler dar. Darüber hinaus erreicht der Sicherheitsmechanismus SM1 (CRC-Prüfung) den größten Fehlerabdeckungsgrad und kann somit die Folgen erkennen, die durch den Ausfall der Sicherheitsmechanismen SM2, SM3 und SM4 entstehen können. Der Ausfall der CRC-Prüfung in einem Knoten bleibt jedoch immer ein potenzieller latenter Fehler in jeder Netzwerkkonfiguration, wenn eine Bit-Verfälschung im empfangenden Knoten und nicht auf dem Bus auftritt. In diesem Fall können die anderen Knoten nicht bei der Fehlererkennung mitwirken. Bei einem Ausfall der Bestätigungsprüfung (SM5) wird der Fehlerzähler im sendenden Knoten weiter inkrementiert, bis sich der Knoten nach Überschreitung des Zählerschwellwerts in den passiven Zustand versetzt. Daher wird ein Ausfall der Bestätigungsprüfung (SM5) keine gefahrbringenden Auswirkungen zeigen.
- Latente Fehler in CAN- und FlexRay-Bussystemen untersuchen
- ISO 26262: notwendig – aber auch ausreichend?
- Latente Fehler im CAN-Bus erkennen
- Latente Fehler im FlexRay-Bus betrachten
- Ausblick
- Der Autor
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
