FORSCHUNG
Elektronik
Fehlertolerante Komponenten für Drive-by-WireSysteme
Die Realisierung von Drive-by-Wire-Systemen erfordert ein fehlertolerantes Verhalten besonders der elektronischen und elektrischen Komponenten. Dieser Beitrag aus dem Institut für Automatisierungstechnik, Technische Universität Darmstadt, beschreibt Fehlertoleranz-Prinzipien mit unterschiedlichen Formen von Redundanz und zeigt, wie sich hieraus Failoperational-, Fail-silent- und Fail-safe-Systeme mit analytischer Redundanz entwickeln lassen.
Der Autor Prof. Dr.-Ing. Dr. h. c. Rolf Isermann ist Direktor des Instituts für Automatisierungstechnik der TU Darmstadt. Forschungsgebiete: Mechatronische Systeme und Regelungstechnik. Modellbildung, Identifikation und Simulation mit Anwendungen in Energietechnik, Kraftfahrzeugund Motorentechnik und Medizintechnik.
382
1 Einführung – auf dem Weg zu Drive-by-Wire-Systemen
Kraftfahrzeuge und Verbrennungsmotoren zeigen eine zunehmende Integration von Aktoren, Sensoren, Mikroelektronik und Informationsverarbeitung. Sie entwickeln sich zu mechatronischen Systemen, die auf der Integration von Komponenten (Hardware-Integration) und der Integration von
signalbasierenden Funktionen (SoftwareIntegration) beruhen und einen automatischen Funktionsablauf haben. 1.1 Drive-by-Wire-Systeme mit mechanischer Rückfallebene
Seit etwa 1986 werden Verbrennungsmotoren in zunehmendem Umfang über elektromechanische Pedale und elektrische Drosselklappen oder Einspritzsysteme gesteu-
ATZ 4/2002 Jahrgang 104
ert, [1,2]. Dies stellt erste Drive-by-WireKomponenten dar. In diesem Fall wird eine Notlauffunktion nach Fehlern in der Elektronik möglich, weil das Drossel-Federsystem eine reduzierte Drehzahl von zum Beispiel 1200/min einstellt. Dadurch wird das System fail-safe durch die Mechanik. Weitere Beispiele für mechatronische Systeme mit Fail-safe-Verhalten sind die den Fahrer unterstützenden elektronischen Bremsfunktionen wie zum Beispiel ABS (AntiBlockier-System) (1978), ASR (Anti-SchlupfRegelung) (1986) und ESP (Elektronisches Stabilitätssystem) [3] sowie BA (Bremsassistent), siehe zum Beispiel [4]. In diesen Fällen wird der hydraulische Druck über Magnetventile moduliert, um zum Beispiel den Schlupf einzelner Räder (ABS) oder eine Dämpfung des Gier-Winkels des Fahrzeuges durch Einzelrad-Bremseingriffe zu erzeugen (ESP). Wenn die elektronische Steuerung ausfällt, verhält sich das Bremssystem wie eine konventionelle, rein hydraulische Bremse. Sowohl bei hydraulischen als auch elektrischen Servolenkungen bleibt bei einem Ausfall der direkte mechanische Durchgriff mit dem Lenkrad erhalten. In all diesen Fällen erfolgt also ein fail-safe in das ursprüngliche mechanische System. 1.2 Drive-by-Wire ohne mechanische Rückfallebene
Die Lösungen für die erfolgreiche Einführung von Fly-by-Wire-Systemen und die guten Erfahrungen mit bisherigen Driveby-Wire-Systemen mit mechanischer Rück-
fallebene sind nun eine Basis bei der Entwicklung von vollständigen Drive-by-WireSystemen ohne mechanische Rückfallebene für Bremsen, Lenkung und die Fahrerassistenzsysteme der höheren Automatisierungsebenen. Die mechanischen Back-upSysteme haben die Nachteile, dass sie teuer, schwer, passiv sicherheitskritisch (Lenksäule, Bremspedalerie) sind und nicht genügend Freiheit bei der Nutzung des Potenzials von elektrischen/elektronischen Systemen erlauben. Drive-by-Wire-Systeme ohne mechanische Rückfallebene erzeugen elektrische Signale aufgrund der Aktionen des Fahrers und übermitteln diese an rechnergesteuerte und -geregelte elektromechanische Aktoren und haben in ihrer Reinform kein Fail-safe-Verhalten durch die Mechanik. Sie benötigen daher fehlertolerante Eigenschaften. 2 Drive-by-Wire-Strukturen mit und ohne mechanische Rückfallebene
Der Schritt vom Drive-by-Wire-System mit mechanischer Rückfallebene zu Systemen ohne mechanisches Backup oder ohne Failsafe-Verhalten durch Mechanik ist beträchtlich wegen der kleineren Zuverlässigkeit und dem verschiedenen Ausfallverhalten von elektronischen und elektrischen Komponenten im Vergleich zu mechanischen Komponenten. Deshalb müssen fehlertolerante elektronische Systeme herangezogen werden, um die hohen Sicherheitsanforderungen zu erfüllen.
Bild 1 zeigt ein allgemeines Signalflussdiagramm für ein Drive-by-Wire-System. Die Betätigungseinheit des Fahrers (Lenkrad, Bremspedal) hat einen mechanischen Eingang (zum Beispiel Drehmoment oder Kraft) und einen elektrischen Ausgang (zum Beispiel Busprotokoll). Die Betätigungseinheit enthält Sensoren und Schalter für Position und/oder Kraft, Mikroelektronik und entweder eine passive Rückführung (Feder-Dämpfer) oder eine aktive Rückführung (elektrischer Aktor), um dem Fahrer eine haptische Information („Pedalgefühl“) seines Eingriffs zu geben. Ein Bus verbindet die Betätigungseinheit mit dem elektromechanischen Bremssystem oder dem Lenkregelungssystem. Diese Systeme bestehen aus Leistungselektronik, elektromechanischen Aktoren, Brems- oder Lenkmechaniken, mit Sensoren oder berechneten Größen und Mikrorechnern. Die Mikrorechner sind zuständig für die Steuerung und Regelung der Aktoren, die Regelung der Brems- und Lenkfunktionen, die Überwachung und verschiedene Arten des Managements (zum Beispiel Fehlertoleranz durch Rekonfiguration, Optimierung). Jeder der Sensoren, Elektronik-Einheiten, Busverbindungen, Leistungselektronik-Komponenten, Aktoren mit hoher Leistung und Mikrorechner muss fehlertolerant in Bezug auf mindestens einen sicherheitskritischen Fehler sein. Deshalb sind eine Sicherheitsintegritätsanalyse und Methoden der Fehlertoleranz grundsätzliche Voraussetzungen, um Drive-by-Wire-Systeme zu entwerfen.
2 Drive-by-Wire Strukturen mit und ohne mechanische Rückfallebene
Bild 1: Allgemeines Signalflussdiagramm für ein Drive-by-Wire-System Figure 1: Basic signal flow diagram of drive-by-wire systems
ATZ 4/2002 Jahrgang 104
383
FORSCHUNG
Elektronik
3 Methoden der Ausfallsicherheit
Drive-by-Wire-Systeme sind sicherheitsgerichtete Systeme. Deshalb müssen alle Gesichtspunkte der Zuverlässigkeit, Verfügbarkeit, Wartbarkeit und Sicherheit (RAMS) berücksichtigt werden, weil sie maßgebend sind für die Verantwortung des Herstellers und die Akzeptanz des Marktes. Um die Sicherheitsanforderungen zu erfüllen, wurden spezielle Vorgehensweisen in verschiedenen technischen Disziplinen entwickelt, wie zum Beispiel dem Eisenbahnwesen, der Luftfahrt, der Raumfahrt, im Bereich des Militärs und der Kernkraftwerke. Diese Vorgehensweisen werden durch den Begriff Systemintegrität (System Integrity, System Dependability) beschrieben [5]. Die Sicherheit und Zuverlässigkeit wird im Allgemeinen erreicht durch eine Kombination von Fehlervermeidung, Fehlerbehebung, Fehlertoleranz, Fehlererkennung und Diagnose, automatische Überwachung und automatischen Schutz. Fehlervermeidung und -behebung muss im wesentlichen während des Entwurfes und der Testphasen behandelt werden. Um die Auswirkung von Fehlern auf die Zuverlässigkeit und Sicherheit während des Entwurfs und auch für die Zertifizierung zu untersuchen, wurden eine Reihe von Analysemethoden entwickelt. Diese sind hauptsächlich: ■ Zuverlässigkeitsanalyse ■ Ereignisablaufanalyse (ETA: Event-TreeAnalysis) und Fehlerbaumanalyse (FTA: Fault-Tree-Analysis). DIN 25424, 25448 ■ Fehlermöglichkeits- und Effektanalyse (FMEA: Failure Mode and Effects Analysis) ■ Gefährdungsanalyse (HA: Hazard Analysis) ■ Risikoklassifikation. Einzelheiten hierzu sind in [6, 7] und [8] beschrieben. Diese Methoden müssen nun geeignet kombiniert werden. Bild 2 gibt hierzu einen Überblick, siehe auch [9, 10].
3 Methoden der Ausfallsicherheit
Bild 2: Integrierte Entwurfsmethoden für Systemzuverlässigkeit und -sicherheit zur Erlangung hoher Systemintegrität Figure 2: Integrated design procedures for system reliability and safety to result in high system integrity
4.2.1 Grundsätzliche redundante Strukturen
4 Entwurf fehlertoleranter Systeme
Systeme mit hoher Integrität (Ausfallsicherheit) müssen so viel Fehlertoleranz wie möglich besitzen. Dies bedeutet, dass Fehler automatisch so kompensiert werden, dass sie nicht zu einem Ausfall des Systems führen. Eine Möglichkeit, um dieses Ziel zu erreichen, ist die Redundanz der Komponenten, der Einheiten oder Untersysteme. Deshalb werden in diesem Abschnitt verschiedene Typen von Fehlern und fehlertoleranten Methoden kurz zusammengestellt. 4.1 Fehlertypen
Der Entwurf von Systemen hoher Integrität (hoher Ausfallsicherheit) hängt unter anderem auch vom Typ der Fehler ab, die jeweils
384
Bild 3: Fehlertolerante Schemata für elektronische Hardware a) Statische Redundanz: mehrfach redundante Module mit Mehrheitsentscheidung und Fehlerausblendung, m aus n Systeme (alle Module sind aktiv), b) Dynamische Redundanz: standby Modul, das kontinuierlich aktiv ist, „hot standby“, c) Dynamische Redundanz: standby Modul, das inaktiv ist, „cold standby“ Figure 3: Fault tolerant schemes for electronic hardware a) Static redundancy: multiple redundant modules with majority voting and fault masking, m out of n systems (all modules are active) b) Dynamic redundancy: Standby module which is continuously active, “hot standby” c) Dynamic redundancy: Standby module which is inactive, “cold standby”
ATZ 4/2002 Jahrgang 104
ein charakteristisches Verhalten für die einzelnen Komponenten aufweisen. Sie können durch ihre Form, ihr Zeitverhalten und ihre Ausprägung unterschieden werden. Die Form kann entweder systematisch oder zufällig sein. Das Zeitverhalten kann beschrieben werden durch dauernd, transient, zufällig, rauschförmig oder driftförmig. Die Ausprägung von Fehlern ist entweder lokal oder global und schließt die Größe des Fehlers mit ein. Die elektronische Hardware zeigt systematische Fehler, wenn sie ihre Ursache in Spezifikations- oder Entwurfs-Fehlern hat. Im Betrieb zeigen elektronische Hardwarekomponenten meist zufälliges Fehlerverhalten mit allen Arten von zeitlichem Verhalten. Fehler in der Software (Bugs) sind normalerweise systematisch, zum Beispiel entstanden durch falsche Spezifikation, Kodierung, Logik, Berechnungen, Zahlenüberläufe, usw. Sie sind in der Regel nicht zufällig wie Fehler der Hardware. Fehler des mechanischen Systems können klassifiziert werden in folgende Fehlermechanismen: Überlastung, Ermüdung, Abnutzung (abrasiv, adhesiv, Kavitation) oder Korrosion (galvanisch, chemisch, biologisch), siehe zum Beispiel [8]. Sie erscheinen als Drift wie zum Beispiel Änderungen (Abnutzung, Korrosion) oder abrupt (Bruch) zu irgend einem Zeitpunkt oder nach einer Beanspruchung. Elektrische Systeme bestehen gewöhnlich aus einer großen Zahl von Komponenten mit unterschiedlichen Fehlereigenschaften, wie zum Beispiel Kurzschlüssen, lose oder gebrochene Verbindungen, Parameteränderungen, Kontaktproblemen, Verschmutzung oder Korrosion, EMV-Probleme usw. Im Allgemeinen sind elektrische Fehler mehr zufällig als mechanische Fehler. Sensoren gehören hauptsächlich zur Klasse der elektrischen Systeme und Aktoren zu beiden, elektrischen und mechanischen Systemen.
6.1.2 Analytische Sensor-Redundanz
Bild 5: Fehlertolerante Sensoren mit kombinierter analytischer Redundanz für zwei gemessene Ausgänge und einem gemessenen Eingang durch (analytische) Prozessmodelle. a) y1 ist die Hauptmessung, y1, u sind die Hilfsmessungen b) y1, y2 und u sind Messungen der gleichen Qualität (Ansatz mit Paritätsgleichungen) Figure 5: Fault-tolerant sensors with combined analytical redundancy for two measured outputs and one measured input through (analytical) process models a) y1 is main measurement, y1, u are auxiliary measurements b) y1, y2 and u are measurements of same quality (parity equation approach)
6.2 Fehlertolerante Aktoren
4.2 Fehlertoleranz der Komponenten
Fehlertoleranzmethoden nutzen im Allgemeinen die Redundanz. Das heißt, dass das betrachtete Modul durch eine oder mehrere Module ergänzt wird, gewöhnlich in paralleler Anordnung. Diese redundanten Module können entweder identisch oder divers (verschieden) sein. 4.2.1 Grundsätzliche redundante Strukturen
Es existieren hauptsächlich zwei verschiedene Anordnungen für fehlertolerante Systeme, die statische Redundanz und die dynamische Redundanz. Die entsprechenden Anordnungen werden zunächst für elektronische Hardware und dann für andere Kompo-
ATZ 4/2002 Jahrgang 104
Bild 6: Fehlertoleranter Aktor, a) herkömmlicher Aktor, b) Aktor mit DuplexAntrieb und statischer Redundanz Figure 6: Fault-tolerant actuator, a) common actuator b) actuator with duplex drive and static redundancy
385
FORSCHUNG
Elektronik
4.2.1 Grundsätzliche redundante Strukturen Tabelle 1: Fehlerverhalten elektronischer Hardware für verschiedene redundante Strukturen FO: Fehler-operativ, F: Fehler (FS: Fehlersicher, nicht einbezogen) Table 1: Fail behavior of electronic hardware for different redundant structures. FO: fail-operational; F: fail; (FS: fail-safe not considered)
Static redundancy
Dynamic redundancy
Tolerated Failures 0
F
Tolerated Failures 0 1
Fail behaviour
Duplex
Number of Elements 2
Triplex Quadruplex Duo-Duplex
3 4 4
1 2 1
FO-F FO-F FO-F
2 3 –
FO-FO-F FO-FO-FO-F –
Structure
nenten betrachtet. Bild 3 a zeigt ein Schema für statische Redundanz. Es nutzt drei oder mehrere parallele Module, die dasselbe Eingangssignal haben, alle aktiv sind und einen Voter oder Mehrheitsentscheider. Die dynamische Redundanz benötigt weniger Module auf Kosten von mehr Informationsverarbeitung. Eine minimale Konfiguration besteht aus zwei Modulen, Bild 3 b und c, mit entweder Hot standby oder Cold standby. Systeme mit dynamischer Redundanz
Fail behavior
müssen eine Fehlererkennung enthalten. Ähnliche redundante Strukturen existieren auch für eine fehlertolerante Software. Fehlertoleranz kann auch entworfen werden für mechanische und elektrische Systeme. Anstelle eines Voters tritt dann eine Additionsstelle [10, 12]. Die Fehlertoleranz mit dynamischer Redundanz und Cold standby ist normalerweise für mechatronische Systeme geeignet, bei denen mehr gemessene Signale existieren, eingebettete Rechner be-
5 Fehlererkennung für Sensoren, Aktoren und mechatronische Servosysteme
Bild 4: Allgemeines Schema für prozessmodellbasierte und signalbasierte Fehlererkennung Figure 4: General schematic of process model-based and signal-based fault detection
386
F FO-F
Discrepancy detection 2 comperators fault detection fault detection fault detection –
reits vorhanden sind und deshalb eine Fehlererkennung wesentlich durch die Anwendung von prozessmodellbasierten Methoden verbessert werden kann, siehe Abschnitt 5. Tabelle 1 fasst die verschiedenen Fehlertoleranzmethoden für den Fall der elektronischen Hardware zusammen. 4.2.2 Redundante Strukturen für Drive-by-Wire-Komponenten
Hauptsächlich wegen der entstehenden Kosten, des Raumbedarfs und des Gewichtes muss für X-by-Wire-Systeme für Kraftfahrzeuge ein geeigneter Kompromiss zwischen dem Grad der Fehlertoleranz und der Zahl der redundanten Komponenten gefunden werden. Im Gegensatz zu Fly-byWire-Systemen muss (bisher) nur ein einziger Fehler für gefährliche Zustände toleriert werden [11]. Das wird dadurch begründet, dass ein sicherer Zustand im Vergleich zu Flugsystemen leichter und viel schneller erreicht werden kann. Dies bedeutet, dass nicht für alle Komponenten von Drive-byWire-Systemen sehr scharfe Anforderungen an die Fehlertoleranz benötigt werden. Es können folgende Stufen einer Degradation (Reduzierung des Aufgabenumfangs) unterschieden werden: ■ Fail-operational (Fehleroperativ) (FO): Ein Fehler wird toleriert, das heißt, die Komponente bleibt betriebsfähig nach einem Fehler. Dies ist erforderlich, wenn kein sicherer Zustand unmittelbar nach dem Ausfall einer Komponente existiert. ■ Fail-safe (Fehlersicher) (FS): Nach einem (oder mehreren) Fehler(n) besitzt die Komponente direkt einen sicheren Zustand (passives fail-safe, ohne externe Energie) oder wird in einen sicheren Zustand gebracht durch eine besondere Aktion (aktives fail-safe, mit externer Energie).
ATZ 4/2002 Jahrgang 104
■ Fail-silent (Fehlerpassiv) (FSIL): nach einem (oder mehreren) Fehler(n) verhält sich die Komponente nach außen hin ruhig, das heißt sie bleibt passiv durch Ausschalten und beeinflusst deshalb nicht die anderen Komponenten in einer möglicherweise falschen Art. Für Fahrzeuge wird vorgeschlagen, FO in „Langzeit“ und „Kurzzeit“ zu unterscheiden, [7].
6.1 Fehlertolerante Sensoren
5 Fehlererkennung für Sensoren, Aktoren und mechatronische Servosysteme
Sensorsysteme mit statischer Redundanz können zum Beispiel mit einem Triplexsystem und einem Voter (Vergleicher) aufgebaut werden, Bild 3 a. Eine Konfiguration mit dynamischer Redundanz benötigt zumindest zwei Sensoren und eine Fehlererkennung für jeden Sensor, Bild 3 b. Gewöhnlich wird nur ein hot standby sinnvoll sein. Andere weniger leistungsfähige Möglichkeiten sind Plausibilitätsprüfungen für zwei Sensoren, auch durch Anwendung von Signalmodellen (zum Beispiel Varianz), um den plausibelsten der Sensorsignale auszuwählen. Die Fehlererkennung kann durch Selbsttests erreicht werden, zum Beispiel durch Anlegen eines bekannten Messwertes an der Sensorstelle. Ein anderer Weg sind selbst validierende Sensoren [17], bei denen Sensor, Messumformer und Mikrorechner eine integrierte dezentrale Einheit mit selbstdiagnostizierenden Möglichkeiten bilden.
Fehlererkennungsmethoden basieren auf gemessenen Signalen und können klassifiziert werden in ■ Grenzwertüberwachung (Toleranzen) und Plausibilitätsprüfungen (Bereiche) von einzelnen Signalen ■ signalmodellbasierte Methoden für einzelne periodische oder stochastische Signale ■ prozessmodellbasierte Methoden für zwei und mehrere zusammenhängende Signale. Bild 4 zeigt ein Schema. Für eine Beschreibung der verschiedenen Methoden wird auf die Literatur hingewiesen, zum Beispiel [13, 14]. Um spezifische Symptome zu erhalten, ist es beim Einsatz von Paritätsgleichungen oder Ausgangsbeobachtern erforderlich, dass mehr als eine Eingangs- und eine Ausgangsgröße messbar sind. Für die Parameterschätzung reicht in der Regel eine Eingangs- und eine Ausgangsgröße. Wegen der verschiedenen Eigenschaften der einzelnen Fehlererkennungsmethoden wird empfohlen, verschiedene Methoden geeignet zu kombinieren, um einen möglichst großen Umfang von Fehlern zu erkennen [15], [16]. 6 Fehlertoleranz-Prinzipien für Komponenten von Drive-by-Wire-Systemen
Die Betrachtung von Drive-by-Wire-Systemen mit hoher Integrität zeigt, dass eine umfassende Gesamtfehlertoleranz durch fehlertolerante Komponenten und durch eine fehlertolerante Regelung erhalten werden kann. Dies bedeutet, dass fehlertolerante Sensoren, fehlertolerante Aktoren, fehlertolerante Teilprozesse, fehlertolerante Rechner, fehlertolerante Kommunikationssysteme (Bussysteme) und fehlertolerante Regelalgorithmen entworfen werden müssen. Beispiele für Komponenten mit mehrfacher Redundanz sind bekannt aus den Bereichen der Luft- und Raumfahrt und aus Kernkraftwerken, jedoch müssen für den Fahrzeugbereich preiswerte Komponenten mit eingebauter Fehlertoleranz erst entwickelt werden. Im Folgenden werden einige Beispiele beschrieben.
ATZ 4/2002 Jahrgang 104
Ein fehlertolerantes Sensorsystem sollte zumindest fail-operational (FO) für einen Sensorfehler sein. Dies kann durch die Anwendung von Hardwareredundanz mit dem selben Sensortyp oder durch analytische Redundanz mit verschiedenen Sensoren und Prozessmodellen erreicht werden. 6.1.1 Hardware-SensorRedundanz
6.1.2 Analytische SensorRedundanz
Als Beispiel wird ein Prozess mit einem messbaren Eingangssignal und zwei messbaren Ausgangssignalen betrachtet, Bild 5 a. Falls Prozessmodelle mit den Übertragungsfunktionen GM1 und GM2 bekannt sind, kann zum Beispiel das Ausgangssignal y1 über die gemessenen Signale u und y2 berechnet werden, so dass zwei rekonstruierte Signale ^y1 und ^y1u zur Verfügung stehen. Somit sind drei Signalwerte für y1 vorhanden, die einem Voter zugeführt werden. Damit kann ein Ausfall des Sensors für y1 erkannt und durch einen berechneten Wert ersetzt werden. Diese analytische Sensorredundanz kann zu einem allgemeinen Fehlertoleranzschema erweitert werden, wie in Bild 5 b gezeigt, wenn alle drei Signale von guter Messqualität sind. Dann lassen sich drei Residuen bilden, und über eine Fehlerentscheidungslogik können fehlertolerante Ausgangssignale für einen einzigen Fehler einer der drei Sensoren erhalten werden. Die Residuen werden hierbei durch Paritätsgleichungen gebildet. Ein Beispiel für diese kombinierte analytische Redundanz ist der Gierraten-Sensor für das ESP System, [18]. Hierbei wird ein vereinfachtes Modell für das Lenkverhalten mit dem Lenkradwinkel als Eingang und
dem Gierraten-Sensor als Ausgang verwendet. Aus der Querbeschleunigung und der Differenz der Drehzahlsignale wird dann über Prozessmodelle die Gierrate rekonstruiert, und alle drei Ausgangssignale werden zum Beispiel einem Voter zugeführt. 6.2 Fehlertolerante Aktoren
Aktoren bestehen im Allgemeinen aus verschiedenen Teilen: Eingangsübertrager, Aktorwandler, Aktorübertrager und einem Stellglied, zum Beispiel eine Kombination von Gleichstromverstärker, Gleichstrommotor, Getriebe und Durchflussstellglied, Bild 6 a. Der Aktorwandler formt eine Energie (zum Beispiel elektrische oder pneumatische Energie) in eine andere Energie (zum Beispiel mechanische oder hydraulische Energie) um. Verfügbare Messungen sind häufig das Eingangssignal Ui, die Stellgröße U0 und ein Zwischensignal U3, zum Beispiel die Position des Stellgliedes. Fehlertolerante Aktoren können zum Beispiel dadurch erhalten werden, dass Mehrfachaktoren parallel angeordnet werden, entweder mit statischer oder mit dynamischer Redundanz mit cold oder hot standby, Bild 3. Eine andere Möglichkeit ist, die Redundanz auf Aktorteile zu begrenzen, welche die kleinste Zuverlässigkeit haben. Bild 6 b zeigt ein Schema, bei dem der Aktorwandler (Motor) in zwei getrennte parallele Teile aufgeteilt wird (zum Beispiel Wicklungspakete mit Kommutatoren bei Gleichstrommotoren, mehreren Wicklungen mit Leistungselektronik bei Drehstrommotoren). Bei Aktoren für die Kabinendruckluftregelung von Passagierflugzeugen wird zum Beispiel ein bürstenloser Gleichstrommotor doppelt angeordnet, das Getriebe zur Bewegung der Klappe im Rumpf jedoch nur einfach, [16]. Für den Kraftfahrzeugbereich müssen solche Aktoren erst entwickelt werden. Da Kosten und Gewicht im Allgemeinen höher sind als für Sensoren, werden vermutlich Aktoren mit fail-operational-Verhalten und Duplex-Konfiguration vorgezogen werden. Dann kann entweder die statische Redundanz, bei der beide Aktorteile dauernd im Eingriff sind, Bild 3 a, oder eine dynamische Redundanz mit hot standby, nach Bild 3 b oder mit cold standby, Bild 3 c, verwendet werden. Für die dynamische Redundanz sind Fehlererkennungsmethoden des Aktors erforderlich, [15, 16]. Ein Ziel sollte bei der Entwicklung sein, dass der fehlerhafte Teil des Aktors in einen fail-silent-Status fällt, das heißt, dass er keinen Einfluss auf die redundanten Teile hat. 6.3 Fehlertolerante Kommunikation
Drive-by-Wire-Systeme erfordern auch fehlertolerante Kommunikationssysteme zwi-
387
FORSCHUNG
Elektronik
schen mehreren elektronischen Steuereinheiten, Sensoren und Aktoren (Knoten). Dies kann durch ein Mehrfach-Bussystem realisiert werden, das jedoch harte Echtzeitanforderungen erfüllen muss. Es muss zumindest ein duales Bussystem mit zwei unabhängigen Bussen und unabhängigen Spannungsversorgungen realisiert werden. Beide Busse verbinden dann alle Knoten, von denen einige auch zumindest dual exi-
stieren müssen. Insgesamt entsteht dann ein verteiltes Echtzeitsystem mit Mehrfachzugriff, siehe zum Beispiel [19, 20].
Beispiel einer elektromechanischen Drosselklappe beschrieben, einer der ersten Drive-by-Wire-Komponenten.
7 Beispiel für die Fehlererkennung und Sensorenfehlertoleranz einer elektrischen Drosselklappe
7.1 Fehlerdiagnose des Aktors
Die beschriebene Methodik zur Fehlererkennung und Fehlertoleranz wird nun am
7.1 Fehlerdiagnose des Aktors
Bild 7: Schema einer elektrisch angetriebenen Drosselkappe Figure 7: Scheme of an electromechanical throttle valve actuator
Tabelle 2: Prozessparameteränderungen für verschiedene Aktorfehler 0TM keine Änderung +TM Zunahme - TM Abnahme Table 2: Process parameter deviations for different actuator faults 0TM no significant change +TM large increase -TM large decrease
parameter estimates ↓Faults
Features→
RA
ψ
coe
J
c1
MR1
MRO +
F1
Incr. spring pretension
O
O
O
O
O
O
F2
Decr. spring pretension
O
O
O
O
O
O
–
F3
Commutator shortcut
–
–
O
+
+
+
O
F4
Arm. winding shortcut
O
–
O
+
+
+
O
F5
Arm. winding break
+
–
O
O
+
+
+
F6
Add. serial resistance
+
O
O
O
O
O
O
F7
Add. parallel resistance
–
–
O
O
+
+
O
F8
Increased gear friction
O
O
O
+
+
+
O
F9
Offset fault UA
O
O
+/–
O
O
O
O
O
O
+/–
O
O
O
–/+
F10 Offset fault IA F11 Offset fault ϕK
O
O
O
O
O
O
–/+
F12 Scale fault UA
+/–
+/–
+/–
+/–
+/–
+/–
+/–
F13 Scale fault IA
+/–
O
O
+/–
+/–
+/–
+/–
F14 Scale fault ϕK
O
+/–
O
+/–
+/–
+/–
+/–
388
Bild 7 zeigt das Schema des Drosselklappen-Aktors. Ein permanent erregter Gleichstrommotor mit Getriebe bewegt die Drosselklappe gegen eine Feder. Auf den Motor wirken die amplitudenmodulierte Ankerspannung UA und der Ankerstrom IA ein. Die Winkelposition ϕkwird durch zwei redundante Potentiometer ϕ1k und ϕ2k im Bereich 0....90° gemessen. Somit sind im normalen Betrieb immer drei Messgrößen UA(t), IA(t) und ϕk(t) aktiv. Für den Ankerstromkreis gilt Gl. (1) und für den elektromechanischen Teil Gl. (2). Für dieses Gleichungssystem wird nun eine rekursive Parameterschätzung mit Modellen in kontinuierlicher Zeit und Zustandsvariablenfilterung zur Ermittlung der Signalableitungen angewandt [15]. Damit erhält man die geschätzten Parameter nach Gl. (3) wobei c0e eine Konstante ist. Zusätzlich werden zwei Paritätsgleichungen für die Fehlererkennung der Sensoren ϕ1k und ϕ2k verwendet, siehe Gl. (4) und (5). Das erste Residuum r1 gibt direkt Abweichungen zwischen den PotentiometerMesswerten an, und das Residuum r2 verwendet die analytische Redundanz durch das Ankerstromkreismodell des Gleichstrommotors, um den Wert ϕˆ· 1k aus den Messungen UA(t) und IA(t) zu rekonstruieren. Tabelle 2 zeigt die erhaltenen Parameterabweichungen als Symptome aus der Parameterschätzung des mit einem PRBSSignal (Pseudo-Rausch-Binär-Signal) angeregten geschlossenen Positionsregelkreises. Bis auf F11 und F1, F2 entstehen verschiedene Symptommuster. Die Symptommuster für F1 bis F8 zeigen eine bessere Isolierbarkeit als die Sensor-Gleichwertfehler. Deshalb werden die Fehler F1 bis F8 durch Parameterschätzung und die Sensorfehler F9 bis F14 durch Paritätsgleichungen diagnostiziert. Durch Kombination beider Fehlererkennungsmethoden werden also viele Fehler diagnostizierbar, siehe [15]. Zur Fehlererkennung an Bord reicht aber die Bildung von Paritätsgleichungen aus. 7.2 Fehlertolerante Positionssensoren
Die beiden Paritätsgleichungen werden nun zur Realisierung eines fehlertoleranten Positions-Sensorsystems des Aktors verwendet. Die doppelte Anordnung des Positionssensors erlaubt den Aufbau eines Duplexsystems mit dynamischer Redundanz und hot standby, entsprechend Bild 3 b. Bild 8 zeigt das angewandte Schema für die
ATZ 4/2002 Jahrgang 104
Fehlererkennung und Sensor-Fehlertoleranz, das Bild 5 b entspricht. In Tabelle 3 sind die entstehenden Residuen bei additiven Sensorfehlern zu sehen. Somit können Fehler für beide Potentiometer erkannt und isoliert werden. Bei einem Fehler des an den Positionsregler angeschlossenen Sensors wird auf den anderen Sensor umgeschaltet, also rekonfiguriert (im Unterschied zu Bild 6 a werden also nur zwei redundante Sensoren verwendet und ein dritter Messwert wird aus den gemessenen Größen UA(t) und IA(t) des Gleichstrommotors berechnet, in dem die analytische Redundanz angewandt wird). Wenn sich nur r2 ändert, dann kann aufgrund von Tabelle 3 auch ein Fehler im Ankerstromkreis erkannt werden. Im Bild 9 ist das Regelverhalten des Drosselklappen-Aktors gezeigt für den Fall, dass der Schleifer von ϕ1k bei t=0,2s während eines linearen Anstiegs des Positionsollwerts hängen bleibt. Beide Residuen weichen ab, und zeigen somit einen OffsetFehler des Sensors ϕ1k an. Nach etwa 100 ms überschreitet das Residuum r2 den (adaptiven) Schwellwert, der Regler wird auf den Sensor ϕ2k umgeschaltet und nach weiteren 200 ms erreicht der Drosselklappenwinkel wieder den Sollwert [15]. Dieses Beispiel zeigt, dass im Fall der dynamischen Redundanz eine gewisse Fehlererkennungszeit und nach Rekonfiguration eine Wiederherstellzeit (recovery-time) bzw. Einschwingzeit des Positionsregelkreises benötigt wird. Praktisch wirkt sich das so aus, dass eine kurze zusätzliche Zunahme der Fahrzeuggeschwindigkeit (ein Ruck) erfolgt, und eine Warnung an den Fahrer gegeben wird, um zum Beispiel eine Werkstatt aufzusuchen, da zwar normal weitergefahren werden kann, aber nur noch ein Sensor zur Verfügung steht. Das Beispiel weist ferner darauf hin, wie wichtig eine kleine Fehlererkennungszeit ist, sowohl bei statischer als auch dynamischer Redundanz. Eine Möglichkeit zur graduellen Umschaltung vom Sensorwert vor der Fehlererkennung auf den redundanten Sensor wird in [16] beschrieben.
7.2 Fehlertolerante Positionssensoren
Bild. 8: Signalflussbild für ein fehlertolerantes Positionssensorsystem mit einem zweifachen Sensor und analytischer Redundanz über die Motorsignale Figure 8: Signalflowdiagram of a faulttolerant position sensor system with double sensors and analytical redundancy by measured motor signals
Residuals→
r1
r2
Offset sensor +Δϕ1k
+
+
Offset sensor +Δϕ2k
–
0
Faults in armature circuit
0
+/–
↓Faults
Tabelle 3: Residuen für Paritätsgleichungen des Aktors beim Auftreten von Fehlern Table 3: Residual deviations for parity equations of different faults
8 Ein Beispiel für ein Brake-by-Wire-System
Ein Brake-by-Wire-System ohne mechanische Rückfallebene ist ein Beispiel für die Entwicklung von fehlertoleranten Systemen und Überwachungsfunktionen eines Drive-by-Wire-Systems. Die gezeigte Version ist ein Prototyp für ein elektromechanisches Bremssystem von Continental Teves, Frankfurt, das in den letzten Jahren ent-
ATZ 4/2002 Jahrgang 104
Bild 9: Positionsregelung mit hängenbleibendem ersten Sensor ϕ1k und Rekonfiguration mit dem zweiten Sensor ϕ2k Figure 9: Closed loop position control behavior after stuck fault of the first sensor ϕ1k, fault detection and reconfiguration with the second sensor ϕ2k.
FORSCHUNG
Elektronik
Die gewählte Struktur ist das Ergebnis einer FMEA- und Hazard-Analyse, Bild 2. Die Fehlertoleranz wird mit Duplex-Systemen für die Radbremsregler, die Buskommunikation, den Bremsmanagementrechner und die Spannungsversorgung aufgebaut. Das Bremspedal enthält wegen seiner zentralen Funktion jedoch intern höhere Redundanzmechanismen. Die Einwirkung des Fahrers auf das Pedal wird durch eine geeignete Kombination von Positions- (und Kraft-) Sensoren gemessen. Die gemessenen analogen Signale werden dann Mikrocontrollern zugeführt. Nach entsprechender Signalverarbeitung wird die Bremspedalinformation an das CAN-Bussystem übertragen. Weil das Pedal ein zentrales Teil im Bremssystem ist, muss der Aufbau mit einem hohen Grad an Fehlertoleranz erfolgen. Deshalb ist das Pedalmodul fail-operational nach einem Fehler in den Sensoren oder in der Elektronik oder in den Steckverbindungen [9].
8 Ein Beispiel für ein Brake-by-Wire-System
Bild 10: Brake-by-wire-Architektur Figure 10: Brake-by-wire architecture
9 Schlussfolgerungen und Ausblick
Formeln U A (t ) = R A I A (t ) + Ψω A (t )
(1)
1 νJω˙ k (t ) = ΨI A (t ) − (c F ϕ k (t ) + M 0 ) − M R 1 ω A ν
(2)
Hierbei bedeuten: ωk = ϕ·k Drosselwinkelgeschwindigkeit (throttle angle speed) RA Ankerwiderstand (armature resistance) Ψ Magnetische Flussverkettung (magnetic flux linkage) J Trägheitsmoment des Motors (ratio of inertia of the motor) cF Federkonstante (spring constant) M0 Trockener Reibungskoeffizient (Coulomb friction coefficient) MR1 Viskoser Reibungskoeffizient (viscous friction coefficient) ν Getriebeübersetzung (gear ratio)
p = [ R A , Ψ , c oe , J , c F , M R 1 , M 0 ]
(3)
r 1 ( t ) = ϕ 1 k (t ) − ϕ 2 k ( t )
(4)
[
]
r2 (t ) = Ψν ϕ˙ 1 k (t ) − ϕˆ˙ 1 k (t ) = Ψνϕ˙ k (t ) − U A (t ) + R A I A (t )
wickelt und in [22, 23] vorgestellt wurde. Der Entwurf der elektromechanischen Radbremse wird beeinflusst durch die Forderung nach hohem elektromechanischen Wirkungsgrad, kleinem Bauraum, kleinem Gewicht und Robustheit gegenüber rauen Umgebungsbedingungen.
390
(5)
Das Brake-by-Wire-System besteht aus vier elektromechanischen Radbremsmodulen mit lokalen Mikrorechnern, einem elektromechanischen Bremspedalmodul, einem Duplex-Kommunikations-Bussystem und einem zentralen BremsmanagementComputer, Bild 10.
Zuverlässigkeit und Sicherheit sind von höchster Bedeutung für die Einführung von Drive-by-Wire-Systemen. Die erforderliche große Sicherheitsintegrität benötigt eine Fehlertoleranz für alle elektronischen und elektromechanischen Komponenten, Einheiten und Untersysteme. Dabei spielen Fehler in der elektronischen Hardware, der Software und den elektrischen und mechanischen Teilen eine entscheidende Rolle. Fehlertolerante Eigenschaften können hauptsächlich erreicht werden durch statische oder dynamische Redundanz, die letzteren mit cold oder hot standby. Diese Sys-teme ermöglichen dann ein fail-operational Verhalten für zumindest einen Fehler. Die Fehlererkennung ist eine grundlegende Voraussetzung für alle fehlertoleranten Systeme mit redundanten Mehrfachmodulen. Verglichen mit der statischen Redundanz erlauben es Fehlererkennungsmethoden für die einzelnen Module, bei dynamischer Redundanz mindestens ein Modul einzusparen. Eine große ingenieurmäßige Herausforderung ist der Entwurf von serientauglichen fehlertoleranten Sensoren, Aktoren, Mikrorechnern und Buskommunikationssystemen mit harten Echtzeitanforderungen für vertretbare niedere Kosten. Besonders attraktiv für die Massenherstellung sind hierbei Komponenten mit eingebauter Redundanz. Die Entwicklung von Drive-by-Wire-Systemen beginnt also mit der Gestaltung fehlertoleranter Komponenten. Die Einführung von Drive-by-Wire Gesamtsystemen wird jedoch in mehreren nicht zu großen Schritten erfolgen, bei denen man,
ATZ 4/2002 Jahrgang 104
besonders bei Steer-by-Wire, vorläufig auf eine mechanische Rückfallebene vermutlich noch nicht verzichtet. Eine etwas ausführlichere Fassung von Teilen dieses Beitrages findet man unter [9, 10, 21].
2001 [22] Rieth, R.: Technologie im Wandel: X-by-wire. In: Neue Elektronikkonzepte in der Automobilindustrie. Institute for International Research (IIR), Stuttgart, Germany, 1999 [23] Stölzl, S.; Schwarz, R.; Isermann, R.; Böhm, J.; Nell, J.; Rieth, R.: Control and supervision of an electromechanical brake system. In: Fisita World Automotive Congress, The Second Century of the Automobile, Paris, France, 1998
Literaturhinweise [1] [2] [3]
[4] [5]
[6] [7] [8] [9]
[10]
[11] [12] [13] [14] [15]
[16]
[17]
[18]
[19]
[20] [21]
Kohlberg, G.: Elektronische Motorsteuerung für Kraftfahrzeuge. In Motortechnische Zeitschrift 46 (1985) Gilz, G.; Wokan, A.: Elektronisches Gaspedal für Nutzfahrzeuge. In: Automobiltechnische Zeitschrift 95 (1993) , Nr. 2, S. 80-88 Zanten, A. T. van; Erhardt, R.; Pfaff, G.: VDC. The vehicle dynamics control system of Bosch. SAE Technical Paper Series, no. 950759, Warrendale, PA, USA, 1995 Jurgen, R. K.: Electronic braking, traction, and stability control. SAE PT-76, Warrendale, PA, USA, 1999 IEC 6 IEC: Normenentwurf IEC 61508, Part 1-7. Functional Safety of E/ E/ PES: (complex) Electrical/ (comlex) Electronic/ Programmable Electronic Systems. Version 4.0, 1997 Storey, N.: Safety-critical computer systems. Addison Wesley Longman Ltd., Essex, UK, 1997 Reichart, G.: „Sichere Elektronik im Kraftfahrzeug”, Automatisierungstechnik 46 (1998). Nr. 2, S. 78-83 Reliability Toolkit: Commercial Practices Edition. Rome Laboratory and Reliability Analysis Center, Rome, NY, USA, 1995 Stölzl, S.: Fehlertolerante Pedaleinheit für ein elektromehanisches Bremssystem (Brake-ByWire). Dissertation TU Darmstadt. Fortschr.-Ber. VDI Reihe 12, No. 426. Düsseldorf, Germany, VDI-Verlag, 2000 Isermann, R.; Schwarz, R.; Stölzl, S., Fault-tolerant Drive-by-Wire Systems – concepts and realizations. In IFAC Symposium on Fault Detection, Supervision and Safety for Technical Processes (SAFERPROCESS ’ 2000), Proc. Elsevier, London and IEEE Control System Magazine (2002) Schunck, E.: Das Sicherheitskonzept einer elektrohydraulischen Bremse. In: VDA Technischer Kongress, Frankfurt, Germany, 1999 Meyna, A.: Einführung in die Sicherheitstheorie.: sicherheitstechnische Analyseverfahren. München, Germany, Hanser, 1982 Isermann, R. (Hrsg.): Überwachung und Fehlerdiagnose. Düsseldorf, Germany, VDI-Verlag, 1994 Isermann, R.: Modellgestützte Diagnose im Kraftfahrzeug. MTZ/ATZ Automotive Electronics 2000, Sonderheft S. 92-99 Pfeufer, T.: Modellgestützte Fehlererkennung und Diagnose am Beispiel einer Kraftfahrzeugaktoren. Fortschr.-Berichte VDI, Reihe 8, Nr. 749, VDI-Verlag, Düsseldorf, 1999 Moseler, O.: Mikrocontrollerbasierte Fehlererkennung für mechatronische Komponenten am Beispiel eines elektromechanischen Stellantriebs, Fortschr. Bericht, VDI Reihe 8, Nr. 908, 2001 Henry, M. P.; Clarke, D. W.: The self-validating sensor: rationale, definitions, and examples. In: Control Engineering Practice 1 (1993) Nr. 2, S. 585-610 Zanten, A. T. van; Erhardt, R.; Schramm, H.; Pfaff, G.: Die Fahrdynamik-Regelung ESP vom Pkw zum Nkw. In: 3. Stuttgarter Symposium Kraftfahrwesen und Verbrennungsmotoren, expert verlag, Renningen-Malmsheim, Germany, S. 801-814, 1999 X-by-wire: Safety related fault-tolerant systems in vehicles. Final report of EU Project Brite-EuRam III, 3.B.5, 3.B.6, Prog. No. BE 95/1329. Contract No: BRPR-CT95-0032, 1998 Poledna, S.; Kroiss, G.: TTP: Drive-by-Wire in greifbarer Nähe. In: Elektronik (1999) Nr. 14, S. 36-43 Isermann, R.: Fehlertolerante Komponenten für Drive-by-wire-Systeme. In: VDI-Kongress „Elektronik im Kraftfahrzeug”, Baden-Baden, Oktober
ATZ 4/2002 Jahrgang 104
For an English version of this article, see ATZ worldwide For information on subscriptions, just call us or send an email or fax.
ATZ
Vieweg Verlag Postfach 1546 D-65173 Wiesbaden Hotline 06 11/78 78-151 Fax 06 11/78 78-423 email:
[email protected]
391
