Bussysteme
Latente Fehler in CAN- und FlexRay-Bussystemen untersuchen
Fortsetzung des Artikels von Teil 3
Latente Fehler im FlexRay-Bus betrachten
Für die Fehlererkennung in einem FlexRay-Knoten sorgen die folgenden eingebauten Sicherheitsmechanismen:
- Zyklische Redundanzprüfung des Nachrichtenkopfs (Header-CRC) (SM1),
- Zyklische Redundanzprüfung eines ganzen FlexRay-Datentelegramms (SM2),
- Überwachung der Identifizierungsnummern der Datentelegramme/Frame ID (SM3),
- Überwachung des Zykluszählers (SM4),
- Überwachung der Status-Bits in jedem Zeitschlitz (SM5) und
- Synchronisationsüberwachung (SM6).
Als weitere FlexRay-Sicherheitsmechanismen lassen sich die Kanalredundanz (SM7) und der Bus Guardian (SM8) in Betracht ziehen.
Ähnlich wie in einem CAN-Bussystem ist der Ausfall eines FlexRay-Sicherheitsmechanismus nicht erkennbar. Weil sich einige FlexRay-Sicherheitsmechanismen ergänzen, lassen sich Folgen eines derartigen Ausfalls wahrnehmen oder vermeiden. Hinsichtlich der Fehlererkennung ist die Zusammenarbeit zwischen verschiedenen FlexRay-Bussen nicht so intensiv wie in einem CAN-Bussystem. Ohne eine zyklische Redundanzprüfung des Nachrichtenkopfs in einem FlexRay-Empfänger können Fehler im abdeckten Teil des Nachrichtenkopfs eines FlexRay-Datentelegramms mit der Frame-CRC-Prüfung (SM2), der Frame-ID-Überwachung (SM3) oder mit der Slot-Status-Überwachung (SM5) erkannt werden. Die Frame-CRC-Prüfsumme (SM2) deckt das ganze Datentelegramm samt dem Nachrichtenkopf und den Header-CRC-Prüf-Bits ab. Bei einem Ausfall der Frame-CRC-Prüfung (SM2) lassen sich nur Fehler im Nachrichtenkopf mit anderen Sicherheitsmechanismen erkennen. Fehlerhafte Nutzdaten können jedoch nicht erkannt werden. Somit stellt der mögliche Ausfall der FlexRay-Frame-CRC-Prüfung einen schwerwiegenden latenten Fehler dar – anders als in einem CAN-Bussystem wie vorher beschrieben. Wie in Tabelle 2 veranschaulicht, lassen sich fehlerhafte Frame-ID- und Zykluszählerwerte mit der Frame-CRC-Prüfung (SM2) sowie mit der Slot-Status-Überwachung (SM5) erkennen. Die Überwachung der Synchronisation (SM6) und der Slot-Status-Informationen (SM5) weist einen hohen Komplexitätsgrad auf, so dass einige mögliche Fehler nach einem Ausfall der Überwachung weder wahrnehmbar noch vermeidbar sind. Die Kanalredundanz (SM7) sorgt dafür, die Datenkommunikation zu erhöhen und gefahrbringende Risiken nach Ausfall eines der in Tabelle 2 aufgelisteten Sicherheitsmechanismen besser zu vermeiden. Der Ausfall eines Kanals wird in einem FlexRay-Knoten unmittelbar wahrgenommen und stellt somit keinen potenziellen latenten Fehler dar. Der Bus Guardian (SM8) hilft dabei, die Zuordnung der Zeitschlitze optimal zu überwachen. Ein Ausfall des Bus Guardian kann zu einer Gefährdung eines Sicherheitsziels führen, allerdings nur, wenn eine andere Überwachung, beispielsweise das Synchronisationsmodul, auch Fehler aufweist. Beim Einsatz von CAN- und FlexRay-Bussystemen lassen sich mit Software-basierten Sicherheitsmechanismen gefährliche Risiken nach dem Ausfall eines Hardware-Sicherheitsmechanismus besser wahrnehmen oder sogar vermeiden.
Jobangebote+ passend zum Thema
- Latente Fehler in CAN- und FlexRay-Bussystemen untersuchen
- ISO 26262: notwendig – aber auch ausreichend?
- Latente Fehler im CAN-Bus erkennen
- Latente Fehler im FlexRay-Bus betrachten
- Ausblick
- Der Autor
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
