Sicherheitsrisiko

So vielfältig das Potenzial von aktiven Sicherheits- und Fahrerassistenzfunktionen auch ist - sie stellen, und dies gilt vor allem für elektronische Systeme mit elektronischen Schnittstellen zum Fahrwerk, ein großes Sicherheitsrisiko dar. Schon die Störung oder der Ausfall einzelner Systemkomponenten kann schwerwiegende Folgen haben. Um die Sicherheit von by-Wire-Systemen zu garantieren wird versucht, durch Perfektionieren der Systemkomponenten, das Auftreten von Fehlern von vornherein zu vermeiden.

Fehlertoleranz

Treten dennoch Fehler auf, wird zusätzlich das Konzept der Fehlertoleranz genutzt um die spezifizierte Funktion des Gesamtsystems aufrechtzuerhalten. Fehlertoleranz erfordert zusätzliche Mittel um aufgetretene Fehler tolerieren zu können. Dabei kann zwischen der Informationsredundanz und der strukturellen Redundanz unterschieden werden. Im Kontext der Gewährleistung einer sicheren Datenkommunikation, kommt beiden Prinzipien große Bedeutung zu.

Redundanz

Informationsredundanz entsteht durch die Ergänzung der Nutzinformation durch zusätzliche Information z. B. zur Fehlererkennung und Fehlerkorrektur. Damit die durch die Systemspezifikation festgelegten Anwendungsfunktionen ausfallfrei bleiben, auch wenn in kommunikationsspezifischen Komponenten wie Busknoten Fehler im Rahmen der Fehlervorgabe auftreten, wird ein Kommunikationssystem um zusätzliche, für den Nutzbetrieb nicht notwendige Komponenten erweitert (strukturelle Redundanz).

Bei der Art der Aktivierung von Redundanz unterscheidet man grundsätzlich zwischen der statischen Redundanz, die ständig aktiv ist, und der dynamischen Redundanz, die erst fehlerbedingt aktiviert wird. Aufgrund der sehr hohen Anforderungen an die Echtzeitfähigkeit von verteilten sicherheitskritischen Systemen, kommt für dort eingesetzte Kommunikationssysteme nur das Prinzip der statischen Redundanz in Frage.

Redundanter Kommunikationskanal

Zur Minimierung des Sicherheitsrisikos gerade im Kontext von by-Wire-Systemen sieht man zusätzlich auch die redundante Auslegung des Kommunikationskanals vor, was aber unbedingt voraussetzt, dass auf beiden Kommunikationskanälen stets die gleichen Informationen übertragen werden. Nur so kann der Ausfall eines Kanals toleriert werden. Die Grafik „Strukturelle Redundanz“ zeigt die redundante Auslegung der Busknoten und des Kommunikationskanals eines Kommunikationssystems unter Zugrundelegung einer physikalischen Linientopologie.

Aktiver Sternkoppler

Auch die Entscheidung für eine bestimmte physikalische Topologie beeinflusst die Fehlertoleranz eines Kommunikationssystems. Wenn sich der Systemdesigner z.B. für eine aktive Sterntopologie entscheidet, dann besteht die Möglichkeit, die Ausbreitung von Fehlern zu vermeiden, indem fehlerhafte Kommunikationszweige vom aktiven Sternkoppler abgeschaltet werden.