| 摘要 |
Die Erfindung betrifft ein Verfahren zur Behandlung von Fehlern in einem zentralen Steuer- gerät, wobei das Steuergerät ein verteiltes Computersystem (100) umfasst, an welches verteilte Computersystem (100) Sensoren (112, 113, 122, 123) angeschlossen bzw. anschließ- bar sind, wobei das verteilte Computersystem (100), insbesondere alle Komponenten des Computersystems, auf eine erste Fault-Containment-Unit FCU1 (101) und eine zweite Fault- Containment-Unit FCU2 (102) aufgeteilt ist, wobei die FCU1 (101) und die FCU2 (102) jeweils über eine eigene, unabhängige Stromversorgung versorgt werden, und wobei die FCU1 (101) und die FCU2 (102) ausschließlich über galvanisch getrennte Leitungen Daten austauschen, und wobei ein Teil der Sensoren zumindest mit der FCU1 (101) verbunden ist und der andere Teil der Sensoren zumindest mit der FCU2 (102) verbunden ist, und wobei die FCU1 (101) und die FCU2 (102) mit einem redundant ausgelegten Kommunikationssys- tem (131, 132) mit einem oder mehreren Aktuatoren verbunden sind, sodass bei Ausfall der FCU1 die FCU2 eine eingeschränkte Funktionalität unter Verwendung der der FCU2 zuge- ordneten Sensoren aufrecht erhält, und bei Ausfall der FCU2 die FCU1 eine eingeschränkte Funktionalität unter Verwendung der der FCU1 zugeordneten Sensoren aufrecht erhält. |
