国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      提供故障檢測功能的系統(tǒng)和方法

      文檔序號(hào):7939619閱讀:163來源:國知局
      專利名稱:提供故障檢測功能的系統(tǒng)和方法
      技術(shù)領(lǐng)域
      本發(fā)明涉及一種提供故障檢測功能的系統(tǒng)和方法,更具體地,涉及一種具有故障 檢測功能的系統(tǒng)和方法,其中利用提供關(guān)于數(shù)據(jù)有效性的信息的有效性密鑰來覆蓋要傳輸 的數(shù)據(jù)。
      背景技術(shù)
      近年來,車載網(wǎng)絡(luò)(IVN)已經(jīng)進(jìn)入汽車中,并用于傳輸針對各種分布式應(yīng)用的控 制數(shù)據(jù)。汽車領(lǐng)域中這種通信網(wǎng)絡(luò)的突出和新近示例是LIN(本地互聯(lián)網(wǎng)絡(luò))、CAN(控制 器區(qū)域網(wǎng)絡(luò))以及FlexRay。這些網(wǎng)絡(luò)還可以用于車輛動(dòng)態(tài)控制領(lǐng)域內(nèi)的安全相關(guān)應(yīng)用中 (例如,輔助前輪轉(zhuǎn)向(AFS)或電子穩(wěn)定程序(ESP)),用于被動(dòng)安全系統(tǒng)(例如氣囊)中, 以及用于引擎管理系統(tǒng)中。對于這些應(yīng)用,在分布式系統(tǒng)建立中,必須經(jīng)由通信網(wǎng)絡(luò)來傳輸 安全相關(guān)數(shù)據(jù)。在這種應(yīng)用中使用的控制系統(tǒng)通常以如下方式進(jìn)行設(shè)計(jì)在第一節(jié)點(diǎn)中,對由連 接至第一節(jié)點(diǎn)的傳感器提供的傳感器信息進(jìn)行匯集并可能地進(jìn)行預(yù)處理,然后將其傳輸給 至少一個(gè)其他節(jié)點(diǎn),即,第二節(jié)點(diǎn)。該第二節(jié)點(diǎn)使用傳輸?shù)男畔砜刂七B接至第二節(jié)點(diǎn)的致 動(dòng)器。該第一和第二節(jié)點(diǎn)通常包括微控制器單元(MCU)。關(guān)于這種系統(tǒng)中的安全相關(guān)數(shù)據(jù)的傳輸,必須采取特定措施,以便于妥善處理 傳輸錯(cuò)誤的發(fā)生,如數(shù)據(jù)重復(fù)、數(shù)據(jù)丟失、數(shù)據(jù)插入、次序破壞、傳輸延遲以及各種偽裝 (masquerade)和數(shù)據(jù)訛誤。作為這種措施的示例,使用安全過程,該安全過程作為安全層在 傳輸協(xié)議之上運(yùn)行,并允許接收節(jié)點(diǎn)(即第二節(jié)點(diǎn))檢測傳輸錯(cuò)誤已經(jīng)發(fā)生。在傳輸錯(cuò)誤 的檢測之后,第二節(jié)點(diǎn)然后可以采取適當(dāng)動(dòng)作,例如,進(jìn)入安全系統(tǒng)狀態(tài)。作為這種安全過程的示例,在從第一節(jié)點(diǎn)到第二節(jié)點(diǎn)的傳輸之前,通常利用應(yīng)用 校驗(yàn)和來保護(hù)要傳輸?shù)臄?shù)據(jù),該應(yīng)用校驗(yàn)和允許第二節(jié)點(diǎn)檢測由于傳輸錯(cuò)誤的發(fā)生在傳輸 期間數(shù)據(jù)是否已經(jīng)改變。通常,CRC(循環(huán)冗余校驗(yàn))用于被附加至要傳輸?shù)臄?shù)據(jù)的校驗(yàn)和, 以此來實(shí)現(xiàn)傳輸錯(cuò)誤的可靠檢測。除了在從第一節(jié)點(diǎn)到第二節(jié)點(diǎn)的數(shù)據(jù)傳輸期間的傳輸錯(cuò)誤以外,在第一節(jié)點(diǎn)的處 理子系統(tǒng)中會(huì)發(fā)生故障,其中該處理子系統(tǒng)負(fù)責(zé)需要在第一節(jié)點(diǎn)中執(zhí)行的所有軟件任務(wù)的 執(zhí)行。為了解決對節(jié)點(diǎn)的處理子系統(tǒng)產(chǎn)生影響的故障的檢測和處理,已經(jīng)提出了許多構(gòu) 思。這些構(gòu)思包括復(fù)雜的雙微控制器解決方案、非對稱微控制器體系結(jié)構(gòu)以及集成雙核、鎖 步(lock-step)構(gòu)思。由于需要具有與主控制器相同性能的另一微控制器,運(yùn)行全冗余微控制器作為獨(dú) 立單元是十分昂貴的。具有似真檢驗(yàn)(plausibility check)的非對稱解決方案缺乏針對故障覆蓋范圍 的廣泛性。一些錯(cuò)誤不能被檢測到,使得可信賴性遭受懷疑。此外,這樣的方法需要分離的 微控制器之間的多個(gè)互聯(lián),以實(shí)現(xiàn)復(fù)雜并通常是應(yīng)用相關(guān)的信息交換。所引入的錯(cuò)誤檢測
      3延遲可能超過特定應(yīng)用的可允許的限制。因此,非對稱方法不適合于所有類型的應(yīng)用。R. Mariani 等人在 SAE TECHNICAL PAPER SERIES 2006-01-0837 的公開 "Cost-effective Approach to Error Detection for an EmbeddedAutomotive Platform,, 中公開了通過獨(dú)立的校驗(yàn)器和監(jiān)控器體系結(jié)構(gòu)來實(shí)現(xiàn)快速和精確的故障檢測。根據(jù)該體系 結(jié)構(gòu),向節(jié)點(diǎn)的子單元提供集成的故障檢測器,并且通過主故障管理器單元對這些集成故 障檢測器的錯(cuò)誤指示進(jìn)行匯集和處理,該主故障管理器單元也可以集成到相同芯片上。該 體系結(jié)構(gòu)消除了對在應(yīng)用級(jí)上進(jìn)行冗余操作和處理任務(wù)的第二微控制器的需求。具體地,當(dāng)在安全相關(guān)應(yīng)用中使用時(shí),第二節(jié)點(diǎn)的操作必須依賴于第一節(jié)點(diǎn)的正 確操作,而且必須將與在第一節(jié)點(diǎn)的處理子系統(tǒng)中發(fā)生的故障有關(guān)的信息轉(zhuǎn)發(fā)至第二節(jié) 點(diǎn),以防止第二節(jié)點(diǎn)的無意或不正確操作。通常,已知經(jīng)由外部線路或附加的通信系統(tǒng)傳輸與第一節(jié)點(diǎn)的處理子系統(tǒng)中的故 障有關(guān)的信息。然而,這樣的解決方案是昂貴的并對于汽車領(lǐng)域中的應(yīng)用是不可行的。此 外,已知以分離的片的形式傳輸這樣的信息,例如,逐一傳輸數(shù)據(jù)和相關(guān)聯(lián)的有效性信息。 在這種情況下,數(shù)據(jù)和有效性信息在時(shí)間上僅松散地聯(lián)系,這可能妨礙關(guān)于故障檢測等待 時(shí)間的要求,這在安全相關(guān)應(yīng)用中是不可接受的。因此,必須確保作為單個(gè)實(shí)體來傳輸數(shù)據(jù) 和有效性信息。此外,基于相同原因,必須確保數(shù)據(jù)和有效性信息均不受可能導(dǎo)致將故障數(shù)據(jù)錯(cuò) 誤地聲明為有效的常見故障的影響。

      發(fā)明內(nèi)容
      因此,本發(fā)明的目的是提供一種提供故障檢測功能的系統(tǒng)和方法,其中,以最小處 理資源和可靠的方式來提供與在傳輸數(shù)據(jù)的第一節(jié)點(diǎn)處發(fā)生的錯(cuò)誤有關(guān)的信息。通過根據(jù)權(quán)利要求1的系統(tǒng)解決了該目的。所述系統(tǒng)包括具有產(chǎn)生要傳輸?shù)臄?shù)據(jù)的第一處理子系統(tǒng)的第一節(jié)點(diǎn)。所述第一 節(jié)點(diǎn)具有故障管理器單元,該故障管理器單元適于匯集和處理在第一節(jié)點(diǎn)中出現(xiàn)的故障指 示。第一處理子系統(tǒng)和故障管理器單元均集成在第一節(jié)點(diǎn)中。當(dāng)故障管理器單元沒有檢測 到故障指示時(shí),故障管理器單元提供第一密鑰作為有效性密鑰。當(dāng)故障管理器單元檢測到 至少一個(gè)故障指示時(shí),故障管理器單元提供第二密鑰作為有效性密鑰。通過將相應(yīng)的有效 性密鑰覆蓋在要傳輸?shù)臄?shù)據(jù)上來對該數(shù)據(jù)進(jìn)行加密。在此上下文中,將有效性密鑰覆蓋在數(shù)據(jù)上表明,通過應(yīng)用有效性密鑰來修改要 傳輸?shù)臄?shù)據(jù)本身、該數(shù)據(jù)的一部分、或者形成要傳輸?shù)臄?shù)據(jù)的一部分的校驗(yàn)和。這意味著, 不是與數(shù)據(jù)分離地提供有效性密鑰,或僅僅將有效性密鑰附加到該數(shù)據(jù)。在此上下文中,對 數(shù)據(jù)進(jìn)行加密的含義是對數(shù)據(jù)或校驗(yàn)和進(jìn)行修改,使得其包含修改后的信息。通過提供具有與第一處理子系統(tǒng)集成的故障管理器單元的第一節(jié)點(diǎn),利用集成單 元可以可靠地檢測第一節(jié)點(diǎn)中出現(xiàn)的故障,而無需提供復(fù)雜和成本高的結(jié)構(gòu)。由于故障管 理器單元提供指示是否在第一節(jié)點(diǎn)中檢測到錯(cuò)誤的不同密鑰,可以將與要傳輸?shù)臄?shù)據(jù)有關(guān) 的有效性信息與要傳輸?shù)臄?shù)據(jù)一起提供。通過將有效性密鑰覆蓋在要傳輸?shù)臄?shù)據(jù)上,可以 將與第一節(jié)點(diǎn)處的錯(cuò)誤有關(guān)的有效性信息與該數(shù)據(jù)進(jìn)行組合,使得不必采取分離的措施來 傳輸有效性信息。將有效性信息覆蓋在數(shù)據(jù)上的優(yōu)點(diǎn)是數(shù)據(jù)和有效性信息形成一個(gè)單個(gè)實(shí)體,并且不需要額外帶寬用于傳輸。此外,系統(tǒng)實(shí)現(xiàn)了具有最小處理資源的特征。根據(jù)一個(gè)方面,第一節(jié)點(diǎn)連接至傳感器,并且要傳輸?shù)臄?shù)據(jù)與傳感器提供的信號(hào) 有關(guān)。由于第一節(jié)點(diǎn)連接至傳感器,可以通過有效性信息顯式地使傳感器提供的信息(該 信息必須由第一節(jié)點(diǎn)進(jìn)行處理,并在之后進(jìn)行傳輸)有效或無效。因此,可以將與在處理傳 感器信號(hào)期間檢測到的錯(cuò)誤有關(guān)的信息以可靠方式與傳輸?shù)臄?shù)據(jù)進(jìn)行組合。根據(jù)另一方面,該系統(tǒng)還包括至少具備第一密鑰的第二節(jié)點(diǎn),被構(gòu)造成接收傳輸 的數(shù)據(jù)并提取有效性信息。利用該布置,從第一節(jié)點(diǎn)接收數(shù)據(jù)的第二節(jié)點(diǎn)能夠可靠地檢測 數(shù)據(jù)的有效或無效。如果第二節(jié)點(diǎn)連接至響應(yīng)于傳輸?shù)臄?shù)據(jù)而受控的致動(dòng)器,第二節(jié)點(diǎn)可以在第一節(jié) 點(diǎn)處已經(jīng)使數(shù)據(jù)無效的情況下適當(dāng)?shù)刈鞒龇磻?yīng),例如,致動(dòng)器可以可靠地被驅(qū)動(dòng)進(jìn)入安全 狀態(tài)。因此,增強(qiáng)了安全相關(guān)應(yīng)用中的系統(tǒng)(其中由第一節(jié)點(diǎn)處產(chǎn)生的數(shù)據(jù)來驅(qū)動(dòng)致動(dòng)器) 的性能,并且提高了致動(dòng)器的操作的可靠性。如果第二節(jié)點(diǎn)包括第二處理子系統(tǒng),在第二節(jié)點(diǎn)中可以進(jìn)一步對傳輸?shù)臄?shù)據(jù)進(jìn)行 分析,并且可以提取與傳輸?shù)臄?shù)據(jù)的有效性有關(guān)的其他信息。此外,在這種情況下,第二節(jié) 點(diǎn)可以執(zhí)行各種操作,以便進(jìn)一步處理傳輸?shù)臄?shù)據(jù)以用于后續(xù)處理。優(yōu)選地,第二節(jié)點(diǎn)配備有安全狀態(tài)控制單元或耦合至安全狀態(tài)控制單元,該安全 狀態(tài)控制單元被構(gòu)造成,如果傳輸至第二節(jié)點(diǎn)的數(shù)據(jù)是無效的,則在安全系統(tǒng)狀態(tài)下驅(qū)動(dòng) 致動(dòng)器。該安全狀態(tài)控制單元可以集成到第二節(jié)點(diǎn)中,或者可以位于第二節(jié)點(diǎn)外部。根據(jù) 這種實(shí)現(xiàn),在第一節(jié)點(diǎn)中已經(jīng)發(fā)生錯(cuò)誤的情況下,或者在已經(jīng)發(fā)生傳輸錯(cuò)誤的情況下,可以 可靠地在安全系統(tǒng)狀態(tài)下驅(qū)動(dòng)致動(dòng)器。因此,可以防止發(fā)生由于無效數(shù)據(jù)所導(dǎo)致的致動(dòng)器 的故障。在此上下文中,可以將安全系統(tǒng)狀態(tài)理解為針對在系統(tǒng)中發(fā)生重大錯(cuò)誤的情況下 預(yù)先確定的致動(dòng)器狀態(tài)。換言之,安全系統(tǒng)狀態(tài)是在出現(xiàn)可能會(huì)導(dǎo)致系統(tǒng)危險(xiǎn)的錯(cuò)誤的情 況下對致動(dòng)器進(jìn)行驅(qū)動(dòng)的狀態(tài)。如果數(shù)據(jù)具有能夠檢測傳輸錯(cuò)誤的校驗(yàn)和,并且有效性密鑰被覆蓋在該校驗(yàn)和 上,則可以將關(guān)于在第一節(jié)點(diǎn)處發(fā)生的錯(cuò)誤的信息和關(guān)于傳輸錯(cuò)誤的信息與實(shí)際數(shù)據(jù)作為 單個(gè)實(shí)體一起傳輸,而不需要增大的帶寬。因此,在錯(cuò)誤的情況下,可以從傳輸?shù)臄?shù)據(jù)中提 取關(guān)于實(shí)際已經(jīng)發(fā)生的錯(cuò)誤的類型的信息。根據(jù)又一方面,經(jīng)由總線系統(tǒng)將數(shù)據(jù)從第一節(jié)點(diǎn)傳輸至第二節(jié)點(diǎn)。因此,總線系統(tǒng) 中的數(shù)據(jù)傳輸可以以安全方式來實(shí)現(xiàn),并且可以經(jīng)由該總線將關(guān)于在連接至總線系統(tǒng)的節(jié) 點(diǎn)中發(fā)生的錯(cuò)誤的信息與該數(shù)據(jù)一起可靠地傳輸。如果總線系統(tǒng)是汽車的車載網(wǎng)絡(luò),則可 以可靠地傳輸連接至該網(wǎng)絡(luò)的各個(gè)系統(tǒng)的安全相關(guān)信息,并且該系統(tǒng)滿足關(guān)于汽車中應(yīng)用 所需的故障容限、成本效率和可靠性的要求。根據(jù)另一方面,第一節(jié)點(diǎn)包括若干子單元,這些子單元配備有集成故障檢測器,并 且故障管理器單元對從這些集成故障檢測器接收的故障指示進(jìn)行處理。因此,第一節(jié)點(diǎn)配 備有獨(dú)立的管理器和檢查器體系結(jié)構(gòu),該獨(dú)立的管理器和檢查器體系結(jié)構(gòu)可靠地允許對相 應(yīng)子單元中發(fā)生的錯(cuò)誤進(jìn)行檢測。此外,在該體系結(jié)構(gòu)中,通過獨(dú)立單元(即,對對關(guān)于第 一節(jié)點(diǎn)的所有子單元的錯(cuò)誤信息進(jìn)行處理的故障管理器單元)以顯式方式使數(shù)據(jù)有效或 無效。因此,在無需復(fù)雜的或成本高的附加結(jié)構(gòu)或處理資源的情況下,能夠使數(shù)據(jù)有效或無 效。
      優(yōu)選地,不僅用于保持傳輸?shù)臄?shù)據(jù)有效的第一密鑰存在于第二節(jié)點(diǎn)中,而且用于 使數(shù)據(jù)無效的第二密鑰也存在于第二節(jié)點(diǎn)中。在這種情況下,通過使用用于檢驗(yàn)傳輸?shù)臄?shù) 據(jù)的兩個(gè)密鑰,可以在第二節(jié)點(diǎn)中確定已經(jīng)有意使數(shù)據(jù)無效,還是已經(jīng)發(fā)生了傳輸錯(cuò)誤。優(yōu)選地,故障管理器單元配備有校驗(yàn)和計(jì)算單元,將要傳輸?shù)膶?shí)際數(shù)據(jù)提供給故 障管理器單元,并且故障管理器單元執(zhí)行該校驗(yàn)和計(jì)算。在這種情況下,通過故障管理器單 元來提供第一密鑰或第二密鑰的實(shí)現(xiàn)在于,例如通過選擇不同的CRC生成多項(xiàng)式或者初始 化矢量,根據(jù)相應(yīng)的第一和第二密鑰以不同方式來執(zhí)行校驗(yàn)和計(jì)算。在可靠系統(tǒng)中提供故障檢測能力的方法解決了上述目的,所述方法包括如下步 驟產(chǎn)生要傳輸?shù)臄?shù)據(jù);從系統(tǒng)接收故障指示;其中,當(dāng)沒有接收到故障指示時(shí),使用第一 密鑰作為有效性密鑰對要傳輸?shù)臄?shù)據(jù)進(jìn)行加密,當(dāng)接收到至少一個(gè)故障指示時(shí),使用第二 密鑰作為有效性密鑰對數(shù)據(jù)進(jìn)行加密,以及通過將相應(yīng)的有效性密鑰覆蓋在數(shù)據(jù)上來對要 傳輸?shù)臄?shù)據(jù)進(jìn)行加密。


      參照附圖,根據(jù)實(shí)施例的詳細(xì)描述獲得本發(fā)明的其他特征和優(yōu)點(diǎn)。圖1示意性示出了根據(jù)本發(fā)明第一實(shí)施例的系統(tǒng)的基本結(jié)構(gòu)。圖2示意性示出了圖1的第一節(jié)點(diǎn)的處理子系統(tǒng)的基本結(jié)構(gòu)。圖3示意性示出了在根據(jù)本發(fā)明第一實(shí)施例的系統(tǒng)中傳輸?shù)臄?shù)據(jù)的結(jié)構(gòu)。圖4示意性示出了根據(jù)本發(fā)明的第一節(jié)點(diǎn)中執(zhí)行的操作。圖5示意性更詳細(xì)示出了根據(jù)本發(fā)明第一實(shí)施例的系統(tǒng)的結(jié)構(gòu)。
      具體實(shí)施例方式參照圖1至5將描述本發(fā)明的第一實(shí)施例。如圖1所見,根據(jù)實(shí)施例的系統(tǒng)1包 括第一節(jié)點(diǎn)2和第二節(jié)點(diǎn)3。第一節(jié)點(diǎn)2經(jīng)由連接線4連接至傳感器S。第一節(jié)點(diǎn)2包括 處理子系統(tǒng)5,被構(gòu)造成匯集和處理經(jīng)由連接線4從傳感器S接收的信息。第二節(jié)點(diǎn)3經(jīng)由 另一連接線6連接至致動(dòng)器A。此外,第二節(jié)點(diǎn)3包括另一處理子系統(tǒng)7,被構(gòu)造成控制致 動(dòng)器A的操作。在本實(shí)施例中,第一節(jié)點(diǎn)2和第二節(jié)點(diǎn)3均由微控制器單元形成。第一節(jié)點(diǎn) 2和第二節(jié)點(diǎn)3經(jīng)由網(wǎng)絡(luò)IVN互聯(lián),網(wǎng)絡(luò)IVN尤其允許從第一節(jié)點(diǎn)2到第二節(jié)點(diǎn)3的傳輸。 但是,反向傳輸方向或向未示出節(jié)點(diǎn)的傳輸也是可能的。如圖1示意性所示,第一節(jié)點(diǎn)2和 第二節(jié)點(diǎn)3配備有接口 I,用于將信號(hào)從傳感器S傳輸至第一節(jié)點(diǎn)2的處理子系統(tǒng)5、從第 二節(jié)點(diǎn)3的處理子系統(tǒng)7傳輸至致動(dòng)器A、從第一節(jié)點(diǎn)2的處理子系統(tǒng)5傳輸至網(wǎng)絡(luò)IVN、 以及從網(wǎng)絡(luò)IVN傳輸至第二節(jié)點(diǎn)3的的處理子系統(tǒng)7。例如,用于從傳感器S到處理子系統(tǒng) 5以及從處理子系統(tǒng)7到致動(dòng)器A的傳輸?shù)慕涌?I可以由AD轉(zhuǎn)換器和DA轉(zhuǎn)換器或其他適 合的外圍接口來提供。為了允許經(jīng)由網(wǎng)絡(luò)IVN的數(shù)據(jù)傳輸,第一節(jié)點(diǎn)2和第二節(jié)點(diǎn)3配備 有適當(dāng)?shù)目偩€接口和總線驅(qū)動(dòng)器(未示出),其中,確切的結(jié)構(gòu)與本實(shí)施例無關(guān),從而不進(jìn) 行詳細(xì)描述。具體地,第一節(jié)點(diǎn)2和第二節(jié)點(diǎn)3可以由通信網(wǎng)絡(luò)(如LIN、CAN或FlexRay) 來連接,從而可以提供適當(dāng)?shù)木W(wǎng)絡(luò)設(shè)備。在特定實(shí)施例中,通信網(wǎng)絡(luò)是適于在汽車中使用的 車載網(wǎng)絡(luò)。原則上,系統(tǒng)1被適配為使得第一節(jié)點(diǎn)2匯集并處理從傳感器S接收的信息(如Fl示意性所示),并且經(jīng)由網(wǎng)絡(luò)IVN將與接收的信息有關(guān)的數(shù)據(jù)14傳輸至第二節(jié)點(diǎn)3。通 常傳輸數(shù)字?jǐn)?shù)據(jù)。如F2示意性所示,第二節(jié)點(diǎn)3接收傳輸?shù)臄?shù)據(jù)14并基于該數(shù)據(jù)來控制 致動(dòng)器A。第一節(jié)點(diǎn)2由包括處理子系統(tǒng)5在內(nèi)的微控制器單元(MCU)形成。將關(guān)于圖2更 詳細(xì)地描述處理子系統(tǒng)5的結(jié)構(gòu)。處理子系統(tǒng)5基本上包括中央處理單元(CPU)、存儲(chǔ)器、 總線基本結(jié)構(gòu)(例如,AHB或AXI)、以及軟件執(zhí)行所需的其他基礎(chǔ)結(jié)構(gòu)元件(例如,中斷控 制器等)。類似地,第二節(jié)點(diǎn)3的處理子系統(tǒng)7包括CPU、存儲(chǔ)器、總線基礎(chǔ)結(jié)構(gòu)、以及軟件 執(zhí)行所需的其他基礎(chǔ)結(jié)構(gòu)元件。由于類似的結(jié)構(gòu)和相應(yīng)操作,第二節(jié)點(diǎn)3的處理子系統(tǒng)7 將不進(jìn)行詳細(xì)描述。在圖2中,第一節(jié)點(diǎn)2的處理子系統(tǒng)5的子單元由附圖標(biāo)記8、9、10、11 和12來表示,其中附圖標(biāo)記8例如表示CPU。如圖2所見,處理子系統(tǒng)5的子單元8-12配備有相應(yīng)的集成故障檢測器8a、9a、 10a、lla、12a,這些檢測器能夠確定在關(guān)聯(lián)的子單元8、9、10、11或12之一中是否已經(jīng)發(fā)生 了故障。在圖2中,所示的所有子單元8-12配備有集成故障檢測器8a-12a。然而,備選地, 僅其中可能發(fā)生故障的那些子單元配備這樣的集成故障檢測器8a_12a。將可以在本實(shí)施例 中使用的這種集成故障檢測器的基本結(jié)構(gòu)實(shí)現(xiàn)為背景技術(shù)中討論的現(xiàn)有技術(shù)所公開的基 本結(jié)構(gòu)??傊?,集成故障檢測器被構(gòu)造為檢測和標(biāo)記對處理子系統(tǒng)5產(chǎn)生影響的故障以及 在第一節(jié)點(diǎn)2的外圍設(shè)備處發(fā)生的故障。相應(yīng)的集成故障檢測器8a、9a、10a、Ila或12a通 過發(fā)出故障指示來指示子單元8-12之一中故障的發(fā)生。此外,處理子系統(tǒng)5包括連接至各個(gè)集成故障檢測器8a-12a的故障管理器 (supervisor)單元13。故障管理器單元13接收并處理由集成故障檢測器8a-12a發(fā)出的 故障指示。故障管理器單元13和處理子系統(tǒng)5均集成在第一節(jié)點(diǎn)2中,在本實(shí)施例中,第 一節(jié)點(diǎn)1由微控制器單元形成。故障管理器單元對故障指示進(jìn)行處理,以檢測處理子系統(tǒng) 5中或在第一節(jié)點(diǎn)2的外圍設(shè)備處是否已經(jīng)發(fā)生任何故障。圖3示意性示出了經(jīng)由網(wǎng)絡(luò)IVN從第一節(jié)點(diǎn)2傳輸至第二節(jié)點(diǎn)3的數(shù)據(jù)的結(jié)構(gòu)。 如圖3所見,傳輸?shù)臄?shù)據(jù)14包括實(shí)際數(shù)據(jù)14a,包含要傳輸至第二節(jié)點(diǎn)3的信息;以及應(yīng) 用校驗(yàn)和14b,與實(shí)際數(shù)據(jù)14a—起傳輸以允許檢測傳輸錯(cuò)誤。例如,CRC(循環(huán)冗余校驗(yàn)) 用于應(yīng)用校驗(yàn)和14b。首先,將概括地描述使用應(yīng)用校驗(yàn)和的過程。根據(jù)本實(shí)施例,該一般過程將根據(jù)后 文的描述進(jìn)行修改。第一節(jié)點(diǎn)2的處理子系統(tǒng)5提供要傳輸?shù)膶?shí)際數(shù)據(jù)14a并確定應(yīng)用校 驗(yàn)和14b,以產(chǎn)生要傳輸至第二節(jié)點(diǎn)3的數(shù)據(jù)14。第二節(jié)點(diǎn)3的處理子系統(tǒng)7接收傳輸?shù)?數(shù)據(jù)14,并且基于與實(shí)際數(shù)據(jù)14a —同傳輸?shù)膽?yīng)用校驗(yàn)和14b,來確定是否已經(jīng)發(fā)生了通信 /傳輸錯(cuò)誤。因此,通過使用應(yīng)用校驗(yàn)和14b,可以可靠地檢測通信錯(cuò)誤,并且第二節(jié)點(diǎn)3可 以在檢測到已經(jīng)發(fā)生通信錯(cuò)誤時(shí)進(jìn)入安全系統(tǒng)狀態(tài)。將描述第一實(shí)施例中的故障管理器單元13的操作。如圖4示意性所示,故障管理 器單元13從各個(gè)集成故障檢測器8a、9a、10a、lla和12a之一接收故障指示。如果故障管 理器單元13檢測到在第一節(jié)點(diǎn)2中沒有發(fā)生故障,則故障管理器單元13選擇第一密鑰15。 相反,如果故障管理單元13檢測到已經(jīng)發(fā)生了一個(gè)或多個(gè)故障,則故障管理器單元13選擇 第二密鑰16。故障管理器單元13將所選密鑰15或16輸出至在處理子系統(tǒng)5上執(zhí)行的應(yīng) 用軟件17。應(yīng)用軟件17被配置為使得將故障管理器單元13分別輸出的第一或第二密鑰15或16覆蓋在要傳輸?shù)臄?shù)據(jù)14上作為有效性信息。第一密鑰15被配置為使得當(dāng)將第一 密鑰15覆蓋在要傳輸?shù)臄?shù)據(jù)14上時(shí),應(yīng)用校驗(yàn)和14b保持有效。相反,第二密鑰16被配 置為使得當(dāng)將第二密鑰16覆蓋在要傳輸?shù)臄?shù)據(jù)14上時(shí),應(yīng)用校驗(yàn)和14b是無效的。例如,將第一密鑰15或第二密鑰16提供給應(yīng)用軟件17的過程可以通過向用于到 達(dá)數(shù)據(jù)部分14a的CRC校驗(yàn)和計(jì)算提供不同初始矢量來實(shí)現(xiàn)。第一密鑰15和第二密鑰16 可以被實(shí)現(xiàn)為表示用于校驗(yàn)和計(jì)算的不同生成多項(xiàng)式。在向第二節(jié)點(diǎn)3的傳輸之后,第二節(jié)點(diǎn)3的處理子系統(tǒng)7使用第一密鑰15和應(yīng)用 校驗(yàn)和過程(如上所述)對傳輸?shù)臄?shù)據(jù)14的有效性進(jìn)行檢查。如果在第一節(jié)點(diǎn)2中已經(jīng) 將第一密鑰15覆蓋在數(shù)據(jù)上,并且沒有發(fā)生傳輸錯(cuò)誤,那么處理子系統(tǒng)7獲得以下結(jié)果傳 輸?shù)膶?shí)際數(shù)據(jù)14a是有效的。然而,如果已經(jīng)將第二密鑰16覆蓋在要傳輸?shù)臄?shù)據(jù)14上,那 么當(dāng)?shù)诙?jié)點(diǎn)3的處理子系統(tǒng)7通過使用第一密鑰15和應(yīng)用校驗(yàn)和過程檢查數(shù)據(jù)有效性 時(shí),會(huì)引起可檢測的失配。因此,第二節(jié)點(diǎn)3可以可靠地檢測出在第一節(jié)點(diǎn)2中或是在傳輸期間是否發(fā)生故 障。由于將有效性信息覆蓋在要傳輸?shù)臄?shù)據(jù)14上,對于從第一節(jié)點(diǎn)2到第二節(jié)點(diǎn)3的傳輸 不需要額外帶寬。然而,在該實(shí)施例中,由于第二節(jié)點(diǎn)3僅使用第一密鑰15和應(yīng)用校驗(yàn)和 過程,第二節(jié)點(diǎn)3不能對傳輸錯(cuò)誤和已經(jīng)在第一節(jié)點(diǎn)2中發(fā)生的錯(cuò)誤進(jìn)行區(qū)分。將關(guān)于圖5給出根據(jù)第一實(shí)施例的實(shí)現(xiàn)的更詳細(xì)描述。在圖5中,示意性示出了在第一節(jié)點(diǎn)2的處理子系統(tǒng)5上運(yùn)行的軟件功能 (software function)和在第二節(jié)點(diǎn)3的處理子系統(tǒng)7上運(yùn)行的軟件功能。此外,示意性示 出了分配給第一節(jié)點(diǎn)2的故障檢測器8a-12a和第二節(jié)點(diǎn)3的故障檢測器18以及第一節(jié)點(diǎn) 2的故障管理器13和第二節(jié)點(diǎn)3的故障管理器19的功能。關(guān)于第一節(jié)點(diǎn)2,Π表示應(yīng)用功能,其匯集和預(yù)處理經(jīng)由連接線4從傳感器S接收 的傳感器輸入,并準(zhǔn)備用于傳輸至第二節(jié)點(diǎn)3的數(shù)據(jù)14。sfl. 1表示負(fù)責(zé)向Π提供正確的傳感器信息的應(yīng)用功能。此外,sfl. 1表示實(shí)現(xiàn) 用于經(jīng)由網(wǎng)絡(luò)IVN的通信所需的安全協(xié)議層而需要的所有其他安全功能。在所示實(shí)施例中,提供可第二傳感器Sb,該第二傳感器Sb向第一節(jié)點(diǎn)2提供與由 傳感器S所提供的信息冗余的第二傳感器信息。實(shí)現(xiàn)在第一節(jié)點(diǎn)2的處理子系統(tǒng)5上運(yùn)行 的軟件功能sfl. 1,以檢查來自傳感器S和Sb的傳感器輸入。sfl. 1檢查來自S和Sb的兩 個(gè)值是彼此相等、彼此偏離還是值丟失。如果沒有確定正確的傳感器值,這經(jīng)由安全信號(hào) ssSI_l向故障管理器單元13發(fā)信號(hào)通知。還可以采用三重模式冗余(TMR)方案來提供和 評(píng)估傳感器信息,在這種情況下,sfl. 1用作表決器(voter)。作為另一備選,如果能夠接受 相應(yīng)的可靠性損失,則可以省略第二冗余傳感器Sb的提供。關(guān)于第二節(jié)點(diǎn)3,f2表示根據(jù)傳輸?shù)臄?shù)據(jù)14來控制致動(dòng)器A的功能。sf2. 1表示 安全功能,該安全功能負(fù)責(zé)拆卸被引入以保護(hù)經(jīng)由網(wǎng)絡(luò)IVN傳輸?shù)臄?shù)據(jù)的安全協(xié)議層。sf_procl表示針對處理子系統(tǒng)5的集成故障檢測器8a_12a,sf_proc2表示針對 處理子系統(tǒng)7的集成故障檢測器18。它們被實(shí)現(xiàn)為分別經(jīng)由安全信號(hào)ssPS_l或ssPS_2發(fā) 信號(hào)通知影響處理子系統(tǒng)5或7的故障。將這些安全信號(hào)ssPS_l或ssPS_2提供給相應(yīng)的 故障管理器單元13、19,相應(yīng)的故障管理器單元13、19分別由處理子系統(tǒng)5和處理子系統(tǒng)7 中最上面的框來示意性表示。
      處理子系統(tǒng)5的故障管理器單元13接收和檢驗(yàn)安全信號(hào)ssPS_l和ssSI_l,并被 實(shí)現(xiàn)為響應(yīng)于這些信號(hào)作出反應(yīng)。該功能由安全功能sf_sysl. 1指示。第二節(jié)點(diǎn)3的處理 子系統(tǒng)7的故障管理器單元19接收和檢驗(yàn)安全信號(hào)ssPS_2和ssSI_2,并被實(shí)現(xiàn)為響應(yīng)于 這些信號(hào)作出反應(yīng)。該功能由安全功能sf_sys2. 1指示。如圖5所示,安全功能sf_sysl. 1 和sf_sys2. 1可以被實(shí)現(xiàn)為通過信號(hào)ssSS和ssAS將檢驗(yàn)的結(jié)果提供到相應(yīng)的第一節(jié)點(diǎn)2 或第二節(jié)點(diǎn)3的外部。如圖5所見,在本實(shí)施例中,將第二節(jié)點(diǎn)3的故障管理器單元19輸 出的信號(hào)ssAS提供給安全狀態(tài)控制單元20。如果信號(hào)ssAS指示第二節(jié)點(diǎn)3的故障管理器 單元19已經(jīng)檢測到發(fā)生了故障,安全狀態(tài)控制單元20適用于通過關(guān)閉控制信號(hào)SC在安全 系統(tǒng)狀態(tài)下驅(qū)動(dòng)致動(dòng)器A。備選地,可以省略安全狀態(tài)控制單元20,并且ssAS信號(hào)能夠直 接用于對致動(dòng)器A的安全狀態(tài)進(jìn)行初始化。對安全狀態(tài)控制單元20的需要取決于例如針 對致動(dòng)器控制的物理信號(hào)特性,即,信號(hào)ssAS的信號(hào)特性是否適合于直接控制致動(dòng)器A。此外,在第一節(jié)點(diǎn)2的處理子系統(tǒng)5上運(yùn)行的軟件功能sfl. 2和在故障管理器單 元13內(nèi)實(shí)現(xiàn)的軟件功能sf_sysl. 2實(shí)現(xiàn)了第一節(jié)點(diǎn)2中的驗(yàn)證功能,其原理上文已經(jīng)描述 過。在第二節(jié)點(diǎn)3的處理子系統(tǒng)7處運(yùn)行的軟件功能sf2. 2實(shí)現(xiàn)了傳輸?shù)臄?shù)據(jù)14有 效還是無效的檢測。根據(jù)第一實(shí)施例,在fl的處理(即,傳感器輸入的匯集和預(yù)處理)期間,以及 sfl. 1的處理期間,表示集成故障檢測器8a-12a的安全功能sf_pr0Cl監(jiān)控正確執(zhí)行并經(jīng) 由信號(hào)ssPS_l發(fā)信號(hào)通知錯(cuò)誤。根據(jù)信號(hào)ssPS_l,在故障管理器單元13內(nèi)實(shí)現(xiàn)的軟件功 能sf_sysl. 2在沒有發(fā)信號(hào)通知故障的情況下選擇第一密鑰15,或者在發(fā)信號(hào)通知一個(gè)或 多個(gè)故障的情況下選擇第二密鑰16。然后經(jīng)由信號(hào)sdata_l將所選密鑰15或16提供給 sfl. 2。軟件功能sfl. 2然后計(jì)算應(yīng)用校驗(yàn)和14b,并且根據(jù)信號(hào)Sdata_l將第一密鑰15或 第二密鑰16覆蓋在數(shù)據(jù)14上。在該實(shí)施例中,將第一密鑰15或第二密鑰16僅覆蓋在應(yīng) 用校驗(yàn)和14b上。在第二節(jié)點(diǎn)3中,sf2. 2通過應(yīng)用第一密鑰15和應(yīng)用校驗(yàn)和過程來檢驗(yàn)接收到的 數(shù)據(jù)14。在第一節(jié)點(diǎn)2通過使用第二密鑰16已經(jīng)使傳輸?shù)臄?shù)據(jù)14無效的情況下,將在第 二節(jié)點(diǎn)3中檢測到失配,并將會(huì)判斷數(shù)據(jù)14a無效。同樣,在第一節(jié)點(diǎn)2和第二節(jié)點(diǎn)3之間 已經(jīng)發(fā)生了傳輸錯(cuò)誤的情況下,將在第二節(jié)點(diǎn)3中檢測到失配,并將會(huì)判斷數(shù)據(jù)14a無效。 因此,第二節(jié)點(diǎn)3的故障管理器單元19將發(fā)出信號(hào)ssAS,使得安全狀態(tài)控制單元20開始以 安全系統(tǒng)狀態(tài)來驅(qū)動(dòng)致動(dòng)器A。應(yīng)當(dāng)注意,向處理子系統(tǒng)5上運(yùn)行的應(yīng)用軟件提供驗(yàn)證密鑰15或16可以由CPU請 求。備選地,該提供由故障管理器單元13來觸發(fā)。這可以通過以下方式來實(shí)現(xiàn)故障管理 器單元13評(píng)估CPU對專用存儲(chǔ)器位置的訪問或特定中斷的發(fā)生,以獨(dú)立地導(dǎo)出情況從而觸 發(fā)數(shù)據(jù)有效性加密。故障管理器單元13還可以監(jiān)控有效性密鑰的使用,如CPU的讀訪問。根據(jù)本實(shí)施例,將指示處理子系統(tǒng)5中是否已經(jīng)發(fā)生故障的有效性密鑰15或16 覆蓋至用于保護(hù)實(shí)際數(shù)據(jù)14a的應(yīng)用校驗(yàn)和14b以進(jìn)行傳輸。因此,不需要附加帶寬來傳 輸有效性信息。此外,將有效性信息與實(shí)際數(shù)據(jù)作為單個(gè)實(shí)體一同傳輸。根據(jù)上述結(jié)構(gòu),可 以在第二節(jié)點(diǎn)3處可靠地檢測傳輸錯(cuò)誤以及第一節(jié)點(diǎn)2上發(fā)生的錯(cuò)誤。第一實(shí)施例的修改
      根據(jù)修改,對第一節(jié)點(diǎn)2的功能的實(shí)現(xiàn)方式進(jìn)行修改。將要傳輸?shù)膶?shí)際數(shù)據(jù)14a 提供給故障管理器單元13,并且在故障管理器單元13內(nèi)實(shí)現(xiàn)的功能sf_sysl. 2執(zhí)行校驗(yàn)和 計(jì)算并提供將要附加至要傳輸?shù)膶?shí)際數(shù)據(jù)14a的校驗(yàn)和14b。在該修改中,故障管理器單元 13配備有可以被實(shí)現(xiàn)為CRC單元的校驗(yàn)和計(jì)算單元。第二實(shí)施例根據(jù)第二實(shí)施例的系統(tǒng)大體上與第一實(shí)施例的系統(tǒng)相對應(yīng),因此將僅對二者的區(qū) 別進(jìn)行描述。根據(jù)第二實(shí)施例,不僅用于保持傳輸?shù)臄?shù)據(jù)14有效的第一密鑰15存在于第 二節(jié)點(diǎn)3中,而且用于使數(shù)據(jù)14無效的第二密鑰16也存在與第二節(jié)點(diǎn)3中。在這種情況 下,在第二節(jié)點(diǎn)3中實(shí)現(xiàn)的功能適于使得如果使用第一密鑰15并判斷數(shù)據(jù)14是無效的, 則還使用第二密鑰16來檢驗(yàn)數(shù)據(jù)14。根據(jù)第二檢驗(yàn)的結(jié)果,然后在第二節(jié)點(diǎn)3中確定是第 一節(jié)點(diǎn)2通過應(yīng)用第二密鑰16已經(jīng)有意使數(shù)據(jù)14無效,還是已經(jīng)發(fā)生傳輸錯(cuò)誤。因此,根 據(jù)該實(shí)施例的系統(tǒng)允許對使傳輸?shù)臄?shù)據(jù)無效的原因進(jìn)行更明確的識(shí)別。第三實(shí)施例根據(jù)第三實(shí)施例的系統(tǒng)僅在細(xì)節(jié)上與第一實(shí)施例的系統(tǒng)不同,并且僅將對二者的 不同進(jìn)行描述。根據(jù)第三實(shí)施例,在第二節(jié)點(diǎn)3中提供類似于第一節(jié)點(diǎn)2的功能。具體地,通 過使用與用于在第一節(jié)點(diǎn)中提供驗(yàn)證密鑰的相同過程(即,通過相同操作)來提供驗(yàn)證密 鑰。在第二節(jié)點(diǎn)3的故障管理器單元19內(nèi)實(shí)現(xiàn)安全功能sf_sys2. 2,該安全功能sf_sys2. 2 經(jīng)由可選地由圖5中的虛線所指示的信號(hào)Sdata_2,與在第二節(jié)點(diǎn)3的處理子系統(tǒng)7處運(yùn)行 的軟件功能sf2. 2交換信息。在該修改中,安全功能sf_sys2. 2提供要用于檢驗(yàn)接收到的 數(shù)據(jù)14的第一密鑰15。在第二節(jié)點(diǎn)3中,通過第二節(jié)點(diǎn)3的故障管理器單元19將驗(yàn)證密 鑰提供給在處理子系統(tǒng)7上運(yùn)行的應(yīng)用軟件。這樣,可以排除第二節(jié)點(diǎn)3中對數(shù)據(jù)14的檢 驗(yàn)由于軟件錯(cuò)誤而錯(cuò)誤地使用錯(cuò)誤的驗(yàn)證密鑰,使用該錯(cuò)誤的驗(yàn)證密鑰將可能導(dǎo)致錯(cuò)誤地 將數(shù)據(jù)識(shí)別為無效。因此,可以進(jìn)一步增強(qiáng)系統(tǒng)的可靠性。第四實(shí)施例同樣,僅對與先前實(shí)施例的不同之處進(jìn)行描述。根據(jù)第四實(shí)施例,將要傳輸?shù)膶?shí)際 數(shù)據(jù)14a提供給第一節(jié)點(diǎn)2的故障管理器單元13。當(dāng)提供第一密鑰15和第二密鑰16時(shí), 功能sf_sysl.2實(shí)現(xiàn)應(yīng)用于實(shí)際數(shù)據(jù)14a的簡單的可逆邏輯功能(例如XOR功能)。然后, 將修改后的數(shù)據(jù)提供回在第一節(jié)點(diǎn)2的處理子系統(tǒng)5處運(yùn)行的sfl. 2。在這種情況下,相應(yīng) 的簡單的可逆邏輯功能表示驗(yàn)證密鑰。因此,提供兩個(gè)不同的可逆邏輯功能,作為第一密鑰 15和第二密鑰16。在第二節(jié)點(diǎn)3中,將用于驗(yàn)證數(shù)據(jù)的簡單可逆邏輯功能的相應(yīng)逆功能應(yīng)用于傳輸 的數(shù)據(jù)。這樣,同樣地,在第一節(jié)點(diǎn)2處可以顯式地使數(shù)據(jù)有效或無效,并且在第二節(jié)點(diǎn)3 處,可以確定數(shù)據(jù)是否有效。由于簡單的可逆邏輯功能容易實(shí)現(xiàn),能夠以最小處理資源并以非常成本有效的方 式來實(shí)現(xiàn)本實(shí)施例。此外,能夠以節(jié)省時(shí)間的方式來執(zhí)行這些簡單的可逆邏輯功能。其他備選方式本發(fā)明不限于經(jīng)由網(wǎng)絡(luò)從第一節(jié)點(diǎn)向第二節(jié)點(diǎn)傳輸信息的系統(tǒng)。本發(fā)明還應(yīng)用于 將傳感器S和致動(dòng)器A連接至形成針對兩者的控制單元的相同節(jié)點(diǎn)的系統(tǒng)。同樣在這種情 況下,通過獨(dú)立單元顯式地使控制致動(dòng)器A所基于的傳感器數(shù)據(jù)有效或無效。如果控制單元檢測到已經(jīng)使數(shù)據(jù)無效,則可以將致動(dòng)器A控制到安全系統(tǒng)狀態(tài)。備選地,當(dāng)檢測到已經(jīng) 顯式地使數(shù)據(jù)無效時(shí),可以應(yīng)用其他類型的錯(cuò)誤處理。此外,本發(fā)明不僅限于兩個(gè)節(jié)點(diǎn)。系統(tǒng)可以包括多個(gè)互連的節(jié)點(diǎn)。具體地,可以將 有效性信息傳輸至多個(gè)節(jié)點(diǎn),并由這些節(jié)點(diǎn)進(jìn)行分析。盡管以上僅描述了用于使要傳輸?shù)臄?shù)據(jù)14有效和無效的第一密鑰15和第二密鑰 16,可以應(yīng)用使用多于兩個(gè)密鑰的更詳細(xì)的系統(tǒng)。在這種情況下,如果在第一節(jié)點(diǎn)2中發(fā)生 故障,則故障管理器單元13可以根據(jù)已經(jīng)發(fā)生的故障的類型,選擇要覆蓋在要傳輸?shù)臄?shù)據(jù) 上的多個(gè)密鑰之一作為有效性信息。因此,可以將與已經(jīng)發(fā)生的故障的類型有關(guān)的特定信 息覆蓋在數(shù)據(jù)上,并從而與該數(shù)據(jù)一同傳輸。因此,控制致動(dòng)器的處理子系統(tǒng)可以根據(jù)該特 定的有效性信息來判定需要執(zhí)行哪個(gè)過程。盡管上述方案在無故障條件下提供第一密鑰15并在由故障檢測器單元之一報(bào)告 任何故障的情況下提供第二密鑰16,但是故障管理器還可以實(shí)現(xiàn)其他的密鑰提供判定策 略。如果在第一節(jié)點(diǎn)2的故障管理器13處已知故障檢測器所報(bào)告的故障對包括第二節(jié)點(diǎn) 3和致動(dòng)器的系統(tǒng)安全造成影響的危險(xiǎn)程度,如果故障管理器指示的是不嚴(yán)重的故障,則可 以提供第一密鑰15。僅在嚴(yán)重故障的情況下,提供第二密鑰16,即,對于第二節(jié)點(diǎn)3將相應(yīng) 數(shù)據(jù)14標(biāo)記為無效。故障的分類和對相應(yīng)的有效性密鑰的映射規(guī)則可以通過硬件預(yù)定義 或通過軟件來配置。
      權(quán)利要求
      一種具有故障檢測功能的系統(tǒng),所述系統(tǒng)包括第一節(jié)點(diǎn)(2),第一節(jié)點(diǎn)(2)包括產(chǎn)生要傳輸?shù)臄?shù)據(jù)(14)的第一處理子系統(tǒng)(5);第一節(jié)點(diǎn)(2)具有適于匯集和處理在第一節(jié)點(diǎn)(2)中出現(xiàn)的故障指示的故障管理器單元(13);第一處理子系統(tǒng)(5)和故障管理器單元(13)均集成在第一節(jié)點(diǎn)(2)中;其中,第一節(jié)點(diǎn)(2)被構(gòu)造為使得當(dāng)故障管理器單元(13)沒有檢測到故障指示時(shí),故障管理器單元(13)提供第一密鑰(15)作為有效性密鑰,并且當(dāng)故障管理器單元(13)檢測到至少一個(gè)故障指示時(shí),故障管理器單元(13)提供第二密鑰(16)作為有效性密鑰,以及通過將相應(yīng)的有效性密鑰(15;16)覆蓋在要傳輸?shù)臄?shù)據(jù)(14)上來對所述數(shù)據(jù)進(jìn)行加密。
      2.根據(jù)權(quán)利要求1所述的具有故障檢測功能的系統(tǒng),其中,第一節(jié)點(diǎn)(2)連接至至少一 個(gè)傳感器(S),并且要傳輸?shù)臄?shù)據(jù)(14)與傳感器(S)提供的信號(hào)有關(guān)。
      3.根據(jù)權(quán)利要求1或2所述的具有故障檢測功能的系統(tǒng),其中,所述系統(tǒng)還包括至少 具備第一密鑰(15)的第二節(jié)點(diǎn)(3),第二節(jié)點(diǎn)(3)被構(gòu)造為接收傳輸?shù)臄?shù)據(jù)(14)并通過應(yīng) 用第一密鑰(15)從傳輸?shù)臄?shù)據(jù)中提取有效性信息。
      4.根據(jù)權(quán)利要求3所述的具有故障檢測功能的系統(tǒng),其中,第二節(jié)點(diǎn)(3)連接至響應(yīng)于 傳輸?shù)臄?shù)據(jù)(14)而受控的至少一個(gè)致動(dòng)器(A)。
      5.根據(jù)權(quán)利要求3或4之一所述的具有故障檢測功能的系統(tǒng),其中,第二節(jié)點(diǎn)(3)包括 第二處理子系統(tǒng)(7)。
      6.根據(jù)權(quán)利要求3至5之一所述的具有故障檢測功能的系統(tǒng),其中,第二節(jié)點(diǎn)(3)配備 有安全狀態(tài)控制單元(20),所述安全狀態(tài)控制單元(20)被構(gòu)造為如果要傳輸至第二節(jié)點(diǎn) (3)的數(shù)據(jù)是無效的,則在安全系統(tǒng)狀態(tài)下驅(qū)動(dòng)致動(dòng)器(A)。
      7.根據(jù)權(quán)利要求1至6之一所述的具有故障檢測功能的系統(tǒng),其中,數(shù)據(jù)具備能夠檢測 傳輸錯(cuò)誤的校驗(yàn)和(14b),并且有效性密鑰(15 ;16)被覆蓋在校驗(yàn)和上。
      8.根據(jù)權(quán)利要求3至7之一所述的具有故障檢測功能的系統(tǒng),其中,經(jīng)由總線系統(tǒng) (IVN)將數(shù)據(jù)(14)從第一節(jié)點(diǎn)(2)傳輸至第二節(jié)點(diǎn)(3)。
      9.根據(jù)權(quán)利要求1至8之一所述的具有故障檢測功能的系統(tǒng),其中,第一節(jié)點(diǎn)(2)包括 配備有相應(yīng)的集成故障檢測器(8a-12a)的若干子單元(8_12),而且故障管理器單元(13) 對從這些集成故障檢測器(8a_12a)接收的故障指示進(jìn)行處理。
      10.根據(jù)權(quán)利要求3至9之一所述的具有故障檢測功能的系統(tǒng),其中,第一密鑰(15)和 第二密鑰(16)均存在于第二節(jié)點(diǎn)(3)。
      11.一種用于可靠系統(tǒng)中的故障檢測功能的方法,包括以下步驟產(chǎn)生要傳輸?shù)臄?shù)據(jù)(14);接收來自所述系統(tǒng)的故障指示;其中,當(dāng)沒有接收到故障指示時(shí),使用第一密鑰(15)作為有效性密鑰對要傳輸?shù)臄?shù)據(jù) 進(jìn)行加密,以及當(dāng)接收到至少一個(gè)故障指示時(shí),使用第二密鑰(16)作為有效性密鑰對所述數(shù)據(jù)進(jìn)行 加密,通過將相應(yīng)的有效性密鑰(15 ; 16)覆蓋在數(shù)據(jù)上來對要傳輸?shù)臄?shù)據(jù)(14)進(jìn)行加密,并 將其傳輸至所述系統(tǒng)的接收方。
      全文摘要
      本發(fā)明提供了一種用于提供故障檢測功能的系統(tǒng)和方法,包括第一節(jié)點(diǎn)(2)。第一節(jié)點(diǎn)(2)包括產(chǎn)生要傳輸?shù)臄?shù)據(jù)(14)的第一處理子系統(tǒng)(5)。第一節(jié)點(diǎn)(2)具有適于匯集和處理在第一節(jié)點(diǎn)(2)中出現(xiàn)的故障指示的故障管理器單元(13)。第一處理子系統(tǒng)(5)和故障管理器單元均集成在第一節(jié)點(diǎn)(2)中。第一節(jié)點(diǎn)(2)被構(gòu)造為使得當(dāng)故障管理器單元(13)沒有檢測到故障指示時(shí),故障管理器單元(13)提供第一密鑰(15)作為有效性密鑰,并且當(dāng)故障管理器單元(13)檢測到至少一個(gè)故障指示時(shí),故障管理器單元(13)提供第二密鑰(16)作為有效性密鑰,以及通過將相應(yīng)的有效性密鑰(15;16)覆蓋在要傳輸?shù)臄?shù)據(jù)(14)上來對所述數(shù)據(jù)進(jìn)行加密。
      文檔編號(hào)H04L12/40GK101884196SQ200880103206
      公開日2010年11月10日 申請日期2008年8月7日 優(yōu)先權(quán)日2007年8月16日
      發(fā)明者彼德·福爾曼, 曼弗雷德·秦克, 馬庫斯·鮑邁斯特 申請人:Nxp股份有限公司
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
      1