DE102022110952A1 - Antriebssystem für ein Fahrzeug - Google Patents

Antriebssystem für ein Fahrzeug Download PDF

Info

Publication number
DE102022110952A1
DE102022110952A1 DE102022110952.6A DE102022110952A DE102022110952A1 DE 102022110952 A1 DE102022110952 A1 DE 102022110952A1 DE 102022110952 A DE102022110952 A DE 102022110952A DE 102022110952 A1 DE102022110952 A1 DE 102022110952A1
Authority
DE
Germany
Prior art keywords
accelerator pedal
value
raw
control unit
module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102022110952.6A
Other languages
English (en)
Inventor
Manuel Paßler
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Audi AG
Original Assignee
Audi AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Audi AG filed Critical Audi AG
Priority to DE102022110952.6A priority Critical patent/DE102022110952A1/de
Priority to PCT/EP2023/055259 priority patent/WO2023213461A1/de
Publication of DE102022110952A1 publication Critical patent/DE102022110952A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/023Avoiding failures by using redundant parts
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/04Monitoring the functioning of the control system
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/08Interaction between the driver and the control system
    • B60W50/10Interpretation of driver requests or demands
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0001Details of the control system
    • B60W2050/0002Automatic control, details of type of controller or control system architecture
    • B60W2050/0004In digital systems, e.g. discrete-time systems involving sampling
    • B60W2050/0006Digital architecture hierarchy
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2540/00Input parameters relating to occupants
    • B60W2540/10Accelerator pedal position
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2540/00Input parameters relating to occupants
    • B60W2540/10Accelerator pedal position
    • B60W2540/103Accelerator thresholds, e.g. kickdown
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W60/00Drive control systems specially adapted for autonomous road vehicles
    • B60W60/005Handover processes
    • B60W60/0059Estimation of the risk associated with autonomous or manual driving, e.g. situation too complex, sensor failure or driver incapacity

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Auxiliary Drives, Propulsion Controls, And Safety Devices (AREA)

Abstract

Die Erfindung betrifft ein Antriebssystem für ein Fahrzeug, mit einem Fahrpedal (1) mit zugeordnetem Fahrpedal-Steuergerät (3), das bei einer fahrerseitigen Fahrpedalbetätigung eine Fahraufgabe durchführt, wobei das Fahrpedal-Steuergerät (3) als Sender-Steuergerät mit einem Assistenz-Steuergerät (5) als Empfänger-Steuergerät verbunden ist, das eine fahrerunabhängige, automatisierte Fahraufgabe durchführt, wobei insbesondere das Assistenz-Steuergerät (5) bei Vorliegen einer gültigen fahrerseitigen Kickdownbetätigung die fahrerunabhängige, automatisierte Fahraufgabe deaktiviert.

Description

  • Die Erfindung betrifft ein Antriebssystem für ein Fahrzeug nach dem Oberbegriff des Anspruches 1 sowie ein Verfahren zum Betreiben eines solchen Antriebssystems.
  • Ein gattungsgemäßes Fahrzeug weist eine Assistenzfunktion oder eine pilotierte Funktion auf, die bei Aktivierung den Fahrbetrieb vom Fahrer übernimmt. Bei einer fahrerseitigen Deaktivierung der Assistenzfunktion erfolgt eine Fahrerübernahme. Das Antriebssystem des Fahrzeugs weist ein Fahrpedal mit zugeordnetem Fahrpedal-Steuergerät auf, das bei einer fahrerseitigen Fahrpedalbetätigung eine Fahraufgabe durchführt. Das Fahrpedal-Steuergerät ist mit einem Assistenz-Steuergerät verbunden, das die Assistenzfunktion durchführt. Bei Vorliegen einer fahrerseitigen Kickdownbetätigung wird die Assistenzfunktion oder die pilotierte Funktion deaktiviert, so dass der Fahrer wieder in der Verantwortung steht, die Fahraufgabe zu übernehmen.
  • Im obigen Assistenzsystem muss also zur Erkennung der Fahrerübernahme ein vollständig durchgedrücktes Fahrpedal (Kickdown) identifiziert werden. Ein nur leichtes Betätigen des Fahrpedals darf dagegen nicht zu einer Deaktivierung der Assistenzfunktion führen. Somit sind die Erkennung und die Auswertung der Fahrpedalinformationen im Assistenz-Steuergerät hoch sicherheitsrelevant. Bei einer fehlerhaften Erkennung einer Fahrerübernahme würde sich nämlich die Assistenzfunktion abschalten, obwohl der Fahrer gegebenenfalls nicht für eine Übernahme bereit ist. Im Stand der Technik sind daher sämtliche Komponenten, beginnend von der Erfassung der Fahrpedalrohwerte, deren Verarbeitung bis hin zur Ausgabe mit der höchsten Sicherheitsintegrität (ASIL= automotive safety integrity level) entwickelt, damit die benötigten Informationen am Assistenz-Steuergerät mit der geforderten Sicherheitsintegrität (ASIL) ankommt. Die erforderliche Sicherheitsintegrität jeder Komponente führt zu sehr hohen prozessualen und technischen Anforderungen.
  • Aus der DE 101 50 422 A1 ist ein Verfahren und eine Vorrichtung zur Ermittlung eins Fahrerwunsches bekannt. Aus der DE 10 2016 011 175 A1 ist eine Vorrichtung zum Erfassen einer Betätigung eines Fahrpedals eines Kraftfahrzeugs bekannt. Aus der WO 2020/180140 A1 ist ein Bremspedalsystem für eine elektronisch gesteuerte Fahrzeugbremse bekannt.
  • Die Aufgabe der Erfindung besteht darin, ein Assistenzsystem für ein Fahrzeug sowie ein Verfahren zum Betreiben eines solchen Assistenzsystems bereitzustellen, das im Vergleich zum Stand der Technik ohne Einbußen in der Sicherheitsintegrität mit reduziertem Aufwand herstellbar ist.
  • Die Aufgabe ist durch die Merkmale des Anspruches 1 gelöst. Bevorzugte Weiterentwicklungen der Erfindung sind in den Unteransprüchen offenbart.
  • Es ist hervorzuheben, dass die Erfindung in erster Linie ein Antriebssystem betrifft, in dem mit hoher Sicherheitsintegrität eine Kickdownbetätigung erkennbar ist, mittels der eine fahrerunabhängige, automatisierte Fahraufgabe deaktivierbar ist. Die Erfindung ist jedoch nicht auf diesen speziellen Anwendungsfall beschränkt. Vielmehr ist die Erfindung auch allgemein auf das Erkennen einer Fahrpedalbetätigung anwendbar. Nachfolgend wird jedoch aus Gründen der einfacheren Verständlichkeit beispielhaft auf das Erkennen einer Kickdownbetätigung Bezug genommen:
    • So geht die Erfindung von einem Antriebssystem aus, das ein Fahrpedal-Steuergerät mit zugeordnetem Fahrpedal aufweist. Bei einer fahrerseitigen Fahrpedalbetätigung wird vom Fahrer eine Fahraufgabe durchgeführt. Das Fahrpedal-Steuergerät ist als ein Sender-Steuergerät mit einem Assistenz-Steuergerät als Empfänger-Steuergerät verbunden. Das Assistenz-Steuergerät kann eine fahrerunabhängige, automatisierte Fahraufgabe durchführen.
  • Bei Vorliegen einer fahrerseitigen Kickdownbetätigung wird die Assistenzfunktion oder die pilotierte Funktion deaktiviert, so dass der Fahrer wieder in der Verantwortung steht, die Fahraufgabe zu übernehmen. Für ein sicheres Erkennen einer solchen Kickdownbetätigung mit dem Fahrpedal sind gemäß dem kennzeichnenden Teil des Anspruches 1 die folgenden Maßnahmen getroffen: So sind dem Fahrpedal zwei Fahrpedalsensoren zugeordnet. Der erste Fahrpedalsensor erfasst einen ersten Fahrpedalrohwert, während der zweite Fahrpedalsensor unabhängig davon im Parallelbetrieb einen zweiten Fahrpedalrohwert erfasst. Der erste Fahrpedalsensor ist über einen ersten Signalpfad mit dem Fahrpedal-Steuergerät und im weiteren Signalverlauf mit dem Assistenz-Steuergerät verbunden. In gleicher Weise ist auch der zweite Fahrpedalsensor über einen zweiten Signalpfad mit dem Fahrpedal-Steuergerät und im weiteren Signalverlauf mit dem Assistenz-Steuergerät verbunden. Bei einer fehlerfreien Signalverarbeitung wird von den beiden Fahrpedalsensoren eine Kickdownbetätigung des Fahrers erfasst. Entsprechend wird in jedem Signalpfad ein Kickdownsignal erzeugt. Im Assistenz-Steuergerät wird eine fehlerfreie Signalverarbeitung in den Signalpfaden durch Plausibilisierung der beiden Kickdownsignale geprüft.
  • Mit der erfindungsgemäßen Signalverarbeitung kann die Sicherheitsintegrität des Fahrpedal-Steuergeräts reduziert werden. Durch geschickte Signalverarbeitung und Plausibilitätsprüfung im Assistenz-Steuergerät (das heißt Empfängersteuergerät) können Teile der Wirkkette (das heißt das Fahrpedal-Steuergerät) mit einer im Vergleich zum Fahrpedal und zum Assistenz-Steuergerät niedrigeren Sicherheitsintegritätsanforderung (das heißt zum Beispiel ASIL B) entwickelt werden. Das Fahrpedal und das Assistenz-Steuergerät werden dagegen mit höherer Sicherheitsintegritätsanforderung (das heißt zum Beispiel ASIL D) entwickelt.
  • Nachfolgend werden die Signalpfade vom Fahrpedal zum Assistenz-Steuergerät beschrieben: So kann von einem der Fahrpedalsensoren der Fahrpedalrohwert, der zum Beispiel mit der Güte ASIL B(D) verfügbar ist, unverfälscht an das Assistenz-Steuergerät (Empfängersteuergerät) geleitet werden.
  • Zusammen mit der im Fahrpedal-Steuergerät aufbereiteten Fahrpedalinformation können im Assistenz-Steuergerät diese beiden Information sinnvoll verknüpft werden, so dass am Ende eine geforderte hohe Sicherheitsintegrität ASIL D (siehe Dekompositionsregeln der ISO 26262) erreicht wird.
  • Das Fahrpedal-Steuergerät routet einen der beiden ASIL B(D)-Informationen des Fahrpedals (Fahrpedalrohwerte) zum Assistenz-Steuergerät (das heißt Empfängersteuergerät), und zwar zusammen mit den Prüfinformationen Checksumme und Botschaftszähler.
  • Beispielhaft kann folgender Fehlerfall in der Signalverarbeitung eintreten: Da das Fahrpedal-Steuergerät weniger vertrauenswürdig ist (das heißt eine niedrigere Sicherheitsintegrität aufweist), wird beim Routing die Botschaft verfälscht. Erfindungsgemäß wird die Fehlerbestimmung wie folgt durchgeführt: Das Assistenz-Steuergerät (Empfängersteuergerät) empfängt über den ersten Signalpfad die aufbereiteten Fahrpedalinformation vom Fahrpedal-Steuergerät (Sendersteuergerät) mit Integrität ASIL B(D). Zudem erhält das Empfängersteuergerät über einen zweiten Signalpfad mit ASIL B(D) die Rohinformationen des anderen Fahrpedalsensors und kann mit ASIL B(D) die gleichen Informationen bilden. Um eine Kickdown-Information mit ASIL D zu erhalten, müssen die Ergebnisse aus dem ersten Signalpfad und dem zweiten Signalpfad verknüpft werden. Damit eine Verfälschung des Fahrpedalrohwerts im zweiten Signalpfad durch das Assistenz-Steuergerät entdeckt werden kann, muss das Assistenz-Steuergerät die Integrität der Fahrpedalinformationen mit den zusätzlich erhaltenen Prüfinformationen (Botschaftszähler, Checksumme) prüfen.
  • Wie bereits oben erwähnt, ist hervorzuheben, dass neben der Information „Kickdown“ auch allgemein die Information „Fahrpedal betätigt“ oder „Fahrpedal nicht betätigt“ mit dem gleichen Verfahren abgebildet werden kann.
  • In einer technischen Umsetzung kann die Signalverarbeitung im ersten Signalpfad wie folgt durchgeführt werden: So kann das Fahrpedal-Steuergerät einen Vergleicherbaustein aufweisen, der den ersten Fahrpedalrohwert mit einem Kickdowngrenzwert vergleicht. Der Vergleicherbaustein setzt das Kickdownsignal auf „Kickdown durchgeführt“ (das heißt K1 =ja), sofern der erste Fahrpedalrohwert größer ist als der Kickdowngrenzwert. Zudem kann im Fahrpedal-Steuergerät eine Latentfehlerdiagnose erfolgen. Bei der Latentfehlerdiagnose vergleicht ein Diagnosebaustein die ersten und zweiten Fahrpedalrohwerte miteinander. Der Diagnosebaustein erkennt bei einer signifikanten Abweichung der beiden Fahrpedalrohwerte einen Latentfehler. In diesem Fall setzt der Diagnosebaustein eine Diagnoseinformation auf einen Fehlerwert. Alternativ dazu erkennt der Diagnosebaustein bei Übereinstimmung beider Fahrpedalrohwerte keinen Latentfehler, sodass der Diagnosebaustein die Diagnoseinformation auf einen Fehlerfrei-Wert setzt. Die im Diagnosebaustein erzeugte Diagnoseinformation wird dem ersten Kickdownsignal hinzugefügt. Es ist hervorzuheben, dass Latentfehlerdiagnosen laut ISO 26262 mit niedrigerer Integrität durchgeführt werden dürfen. Vor diesem Hintergrund kann die erfindungsgemäße Latentfehlerdiagnose ohne weiteres im Fahrpedal-Steuergerät durchgeführt werden, das bevorzugt mit einer im Vergleich zum Fahrpedal und zum Assistenz-Steuergerät niedrigere Sicherheitsintegritätsanforderung (das heißt zum Beispiel ASIL B) entwickelt ist.
  • In einer weiteren technischen Umsetzung kann die Signalverarbeitung im zweiten Signalpfad wie folgt durchgeführt werden: So kann im zweiten Signalpfad im Fahrpedal-Steuergerät ein Routing erfolgen, bei dem der zweite Fahrpedalrohwert ohne Signalverarbeitung zum Assistenz-Steuergerät übertragen wird. In diesem Fall wird erst im Assistenz-Steuergerät eine Signalverarbeitung des zweiten Fahrpedalrohwerts durchgeführt. Diese erfolgt mit einem Vergleicherbaustein, der den zweiten Fahrpedalrohwert mit dem Kickdowngrenzwert vergleicht. Der Vergleicherbaustein setzt das Kickdownsignal auf „Kickdown durchgeführt“ (das heißt K2=ja), sofern der zweite Fahrpedalrohwert größer ist als der Kickdowngrenzwert.
  • Bevorzugt kann der zweite Signalpfad eine End-to-End-Absicherung aufweisen. Mit Hilfe der End-to-End-Absicherung kann ein Signalübertragungsfehler im zweiten Signalpfad identifiziert werden, der sich aus einem fehlerhaften Routing im Fahrpedal-Steuergerät ergibt. Die End-to-End-Absicherung kann grundsätzlich wie in EP 2 454 864 B1 beschrieben aufgebaut sein, auf die hiermit Bezug genommen wird. Beispielhaft kann die End-to-End-Absicherung im Assistenz-Steuergerät einen Prüfbaustein aufweisen, der eine Absicherung durch Prüfung einer Checksumme und eines Botschaftszählwerts durchführt.
  • Nachfolgend ist die End-to-End-Absicherung beispielhaft für den zweiten Signalpfad beschrieben: Für die Checksummen-Prüfung berechnet ein (dem Fahrpedal-Steuergerät zugeordneter) Sender-Berechnungsbaustein aus dem zweiten Fahrpedalrohwert mittels einer Berechnungsformel eine Sender-Checksumme (vor der Routingstrecke im Fahrpedal-Steuergerät). Die Sender-Checksumme wird dem zweiten Fahrpedalrohwert hinzugefügt. Im Signalverlauf nach der Routingstrecke ist ein (dem Assistenz-Steuergerät zugeordneter) Empfänger-Berechnungsbaustein bereitgestellt. Dieser berechnet mit gleicher Checksummen-Berechnungsformel eine Empfänger-Checksumme, und zwar aus dem empfangenen zweiten Fahrpedalrohwert. Zudem vergleicht der Prüfbaustein die Sender-Checksumme mit der Empfänger-Checksumme. Bei einer Abweichung der Sender-Checksumme von der Empfänger-Checksumme erkennt der Prüfbaustein einen Übertragungsfehler.
  • Der (ebenfalls dem Fahrpedal zugeordnete) Botschaftszähler der End-to-End-Absicherung erhöht einen Botschaftszählwert für jeden Abtastzyklus des zweiten Fahrpedalrohwerts um ein Inkrement, zum Beispiel um den Wert eins. Für jeden Abtastzyklus wird dem zweiten Fahrpedalrohwert der aktuelle Botschaftszählwert hinzugefügt. Im Prüfbaustein des Assistenz-Steuergeräts wird der Botschaftszählwert auf Plausibilität geprüft. Insbesondere wird geprüft, ob sich der aktuelle Botschaftszählwert gegenüber dem Botschaftszählwert des zuletzt empfangenen zweiten Fahrpedalrohwerts erhöht hat. Bei Nicht-Plausibilität wird ein Übertragungsfehler erkannt.
  • Der im Assistenz-Steuergerät befindliche Prüfbaustein generiert nach erfolgter Prüfung eine Prüfinformation. Der Prüfbaustein setzt die Prüfinformation auf einen Fehlerwert, sofern der im Prüfbaustein geprüfte Botschaftszählwert nicht plausibel ist und/oder bei einer Nicht-Übereinstimmung von Empfänger-Checksumme und Sender-Checksumme. Alternativ dazu setzt der Prüfbaustein die Prüfinformation auf einen Fehlerfrei-Wert, sofern der im Prüfbaustein geprüfte Botschaftszählwert plausibel ist und die beiden Checksummen übereinstimmen. Die vom Prüfbaustein generierte Prüfinformation wird dem zweiten Kickdownsignal hinzugefügt.
  • In gleicher Weise kann auch der erste Signalpfad eine End-to-End-Absicherung aufweisen, mit der ein Signalübertragungsfehler im ersten Signalpfad identifizierbar ist. Im Unterschied zum zweiten Signalpfad sind der Berechnungsbaustein und der Botschaftszähler nicht dem Fahrpedal, sondern dem Fahrpedal-Steuergerät zugeordnet. Im ersten Signalpfad werden daher die Sicherungsdaten (das heißt die Sender-Checksumme und der Botschaftszählwert) nicht in Signalflussrichtung vor dem Fahrpedal-Steuergerät dem ersten Fahrpedalrohwert hinzugefügt, sondern unmittelbar im Fahrpedal-Steuergerät dem ersten Fahrpedalrohwert hinzugefügt.
  • Ein Kern der Erfindung besteht darin, dass sowohl die Strecke vom Fahrpedal bis zum Fahrpedal-Steuergerät als auch die Strecke vom Fahrpedal-Steuergerät bis zum Assistenz-Steuergerät mit der End-to-End-Absicherung abgesichert ist. Damit im Fahrpedal-Steuergerät die Fahrpedalrohwerte verarbeitet werden können (zum Beispiel für eine Latentfehlerprüfung), muss das Fahrpedal-Steuergerät sowohl die Daten aus beiden Fahrpedalrohwerten auspacken und auf Gültigkeit prüfen, bevor diese der Latentfehlerprüfung zugeführt werden. Die Prüfung auf Gültigkeit dieser Daten erfolgt im Fahrpedal-Steuergerät im Rahmen der End-to-End-Absicherung. Zusätzlich wird der zweite Fahrpedalrohwert mit den Sicherungsdaten SD (das heißt Sender-Checksumme CS und Botschaftszählwert BZ) an das Assistenz-Steuergerät weitergeschickt.
  • In einer bevorzugten Ausführungsvariante können die beiden Signalpfade bis zu einem Auswertebaustein des Assistenz-Steuergeräts geführt sein. Der Auswertebaustein ist mit dem Programmbaustein des ersten Signalpfads und mit dem Programmbaustein des zweiten Signalpfads in Signalverbindung. Von daher erfasst der Auswertebaustein zum Einen das erste Kickdownsignal mit zugeordneter Diagnoseinformation und mit zugeordneter Prüfinformation. Zum Anderen erfasst der Auswertebaustein das zweite Kickdownsignal mit zugeordneter Prüfinformation. Auf dieser Grundlage erkennt der Auswertebaustein eine gültige fahrerseitige Kickdownbetätigung, sofern folgende Bedingungen in Kombination zutreffen:
    • - das erste Kickdownsignal K1 ist auf K1 =ja gesetzt;
    • - die dem ersten Kickdownsignal hinzugefügte Diagnoseinformation ist auf einen Fehlerfrei-Wert gesetzt;
    • - die dem ersten Kickdownsignal hinzugefügte Prüfinformation ist auf einen Fehlerfrei-Wert gesetzt.
    • - das zweite Kickdownsignal K2 ist auf K2=ja gesetzt;
    • - die dem zweiten Kickdownsignal hinzugefügte Prüfinformation ist auf einen Fehlerfrei-Wert gesetzt.
  • Nachfolgend ist ein Ausführungsbeispiel der Erfindung anhand der beigefügten Figuren beschrieben.
  • Es zeigen:
    • 1 ein Antriebssystem für ein Fahrzeug in einem schematischen Blockschaltdiagramm;
    • 2 bis 6 in Ansichten entsprechend der 1 unterschiedliche Betriebszustände des Antriebssystems.
  • In der 1 ist ein Antriebssystem für ein Fahrzeug in einem Blockschaltdiagramm insoweit dargestellt, als es für das Verständnis der Erfindung erforderlich ist. Die Programmbausteine des Blockschaltdiagramms sind im Hinblick auf ein einfaches Verständnis der Erfindung gewählt und geben nicht die tatsächliche Softwarearchitektur im Antriebssystem wieder.
  • Das Antriebssystem weist ein Fahrpedal 1 mit zugeordnetem Fahrpedal-Steuergerät 3 auf, das bei einer fahrerseitigen Fahrpedalbetätigung eine Fahraufgabe durchführt. Das Fahrpedal-Steuergerät 3 ist als Sender-Steuergerät mit einem Assistenz-Steuergerät 5 als Empfänger-Steuergerät verbunden. Mit Hilfe des Assistenz-Steuergeräts 5 ist eine fahrerunabhängige, automatisierte Fahraufgabe ohne Fahrer-Eingriff durchführbar. Bei Vorliegen einer fahrerseitigen Kickdownbetätigung deaktiviert das Assistenz-Steuergerät 5 die Assistenzfunktion oder die pilotierte Funktion, so dass der Fahrer wieder in der Verantwortung steht, die Fahraufgabe zu übernehmen. In den Figuren weisen das Fahrpedal 1 und das Assistenz-Steuergerät 5 jeweils eine hohe Sicherheitsintegrität ASIL D auf, während das Fahrpedal-Steuergerät 3 eine reduzierte Sicherheitsintegrität ASIL B aufweist.
  • Wie aus der 1 hervorgeht, sind dem Fahrpedal 1 zwei Fahrpedalsensoren 7, 9 zugeordnet. Dieser erfassen voneinander unabhängig jeweils einen ersten Fahrpedalrohwert F1 und einen zweiten Fahrpedalrohwert F2. Der erste Fahrpedalsensor 7 ist über einen ersten Signalpfad I mit dem Fahrpedal-Steuergerät 3 und im weiteren Signalverlauf mit dem Assistenz-Steuergerät 5 verbunden. In gleicher Weise ist der zweite Fahrpedalsensor 9 über einen zweiten Signalpfad II mit dem Fahrpedal-Steuergerät 3 und im weiteren Signalverlauf mit dem Assistenz-Steuergerät 5 verbunden.
  • Im Fahrpedal-Steuergerät 3 erfolgt eine Signalverarbeitung des ersten Fahrpedalrohwerts F1, und zwar mit einem Vergleicherbaustein 11, der den ersten Fahrpedalrohwert F1 mit einem Kickdowngrenzwert y (zum Beispiel y = 95 %) vergleicht. Der Vergleicherbaustein 11 erzeugt ein Kickdownsignal K1. Das Kickdownsignal K1 wird auf „Kickdown durchgeführt“, das heißt K1=ja, gesetzt, sofern der erste Fahrpedalrohwert F1 größer ist als der Kickdowngrenzwert y. Sofern der erste Fahrpedalrohwert F1 kleiner als der Kickdowngrenzwert y ist, wird das Kickdownsignal K1 auf „kein Kickdown durchgeführt“, das heißt K1 =nein, gesetzt.
  • Das Fahrpedal-Steuergerät 3 prüft zudem Latentfehler zwischen den Fahrpedalrohwerten F1, F2 (zum Beispiel Driftfehler) und offenbart diese Fehler.
  • Diese Prüfung ist mit ASIL B ausreichend (ISO 26262-4:2018, 6.4.2.5). Die Latentfehlerdiagnose erfolgt mit einem Diagnosebaustein 13, der den ersten Fahrpedalrohwert F1 und den zweiten Fahrpedalrohwert F2 miteinander vergleicht. Bei einer signifikanten Abweichung der beiden Fahrpedalrohwerte F1, F2 erkennt der Diagnosebaustein 13 einen Latentfehler, zum Beispiel einen Driftfehler. In diesem Fall setzt der Diagnosebaustein 13 eine Diagnoseinformation DI auf einen Fehlerwert „niO“. Alternativ dazu erkennt der Diagnosebaustein 13 bei Übereinstimmung beider Fahrpedalrohwerte F1, F2 keinen Latentfehler. In diesem Fall setzt der Diagnosebaustein 13 die Diagnoseinformation DI auf einen Fehlerfrei-Wert „iO“. Gemäß der 1 wird die im Diagnosebaustein 13 erzeugte Diagnoseinformation DI an einem Programmbaustein 15 dem ersten Kickdownsignal K1 hinzugefügt.
  • Das Fahrpedal-Steuergerät 3 bildet anhand der Sensorinformation F1 nicht nur die Fahrpedalinformationen:
    • - Fahrpedalwert, ASIL B(D)
    • - Kickdown betätigt, ASIL B(D)
    • - Kickdown nicht betätigt, ASIL B(D),
    sondern auch die folgenden Fahrpedalinformationen:
    • - Fahrpedal betätigt, ASIL B(D)
    • - Fahrpedal nicht betätigt, ASIL B(D)
  • In Summe kann das Fahrpedal-Steuergerät 3 nur Informationen mit ASIL B(D) bereitstellen, da die Basissoftware/-hardware des Fahrpedal-Steuergerätes 3 nur Maßnahmen gegen E/E-Fehler mit max. ASIL B(D) bereitstellt.
  • Im Gegensatz zum ersten Signalpfad I wird im zweiten Signalpfad II der Fahrpedalrohwert F2 im Fahrpedal-Steuergerät 3 über eine Routingstrecke 20 geführt, entlang der der zweite Fahrpedalrohwert F2 ohne Signalverarbeitung zum Assistenz-Steuergerät 5 übertragen wird.
  • Das Fahrpedal-Steuergerät 3 routet daher den Fahrpedalrohwert F2 des Fahrpedals 1 zusammen mit später beschriebenen Sicherungsdaten SD an das Assistenz-Steuergerät 5 durch. Wenn ein anderes Busprotokoll verwendet wird, muss gegebenenfalls ein „Umpacken“ in andere Busbotschaften erfolgen. Beim „Umpacken“ und „Routen“ können ebenfalls Fehler passieren. Diese Fehler werden im Assistenz-Steuergerät 5 anhand der Sicherungsdaten SD ermitteln.
  • Die Signalverarbeitung des zweiten Fahrpedalrohwerts F2 wird erfindungsgemäß nicht im Fahrpedal-Steuergerät 3, sondern erst im Assistenz-Steuergerät 5 durchgeführt. Die Signalverarbeitung erfolgt mit einem Vergleicherbaustein 17, der den zweiten Fahrpedalrohwert F2 mit dem Kickdowngrenzwert y vergleicht. Der Vergleicherbaustein 17 setzt das Kickdownsignal K2 auf „Kickdown durchgeführt“, das heißt K2 = ja, sofern der zweite Fahrpedalrohwert F2 größer ist als der Kickdowngrenzwert y. Sofern der zweite Fahrpedalrohwert F2 kleiner ist als der Kickdowngrenzwert y, wird das Kickdownsignal K2 auf „kein Kickdown durchgeführt“, das heißt K2 = nein, gesetzt.
  • Ein fehlerhaftes Routing im Fahrpedal-Steuergerät 3 kann zu einem Signalübertragungsfehler im zweiten Signalpfad II führen. Zur Identifikation eines solchen Signalübertragungsfehlers ist eine End-to-End-Absicherung 19 bereitgestellt, wie sie grundsätzlich bereits aus der EP 2 454 865 B1 bekannt ist. Die End-to-End-Absicherung 19 weist im Assistenz-Steuergerät 5 einen Empfänger-Prüfbaustein 21 auf, der eine Absicherung durch Checksummen-Prüfung sowie mit Hilfe eines Botschaftszählers 23 durchführt.
  • Für die Checksummen-Prüfung weist die End-to-End-Absicherung 19 - neben dem Botschaftszähler 23 - einen Sender-Berechnungsbaustein 25 auf. Sowohl der Botschaftszähler 23 als auch der Sender-Berechnungsbaustein 25 sind dem Fahrpedal 1 zugeordnet. Der Sender-Berechnungsbaustein 25 berechnet mit einer Checksummen-Berechnungsformel Cs=f(x) eine Sender-Checksumme Cs. In der Praxis ist die Berechnungsformel ein Polynom, zum Beispiel CRC8 oder 16Bit. Im Hinblick auf ein einfacheres Verständnis der Erfindung ist im Sender-Berechnungsbaustein 25 und im Empfänger-Prüfbaustein 27 die Berechnungsformel grob vereinfacht wie folgt angedeutet: Cs = F2/2. In der 1 bilden die Sender-Checksumme Cs und der Botschaftszählwert BZ die Sicherungsdaten SD, die dem zweiten Fahrpedalrohwert F2 vor der Routingstrecke 20 hinzugefügt werden. Die Sicherungsdaten SD werden bereits im Fahrpedal 1 generiert, da diese Informationen mit der höchsten Sicherheitsintegrität vorliegen müssen.
  • Nach der Routingstrecke 20 weist die End-to-End-Absicherung 19 einen Empfänger-Berechnungsbaustein 27 auf. Dieser berechnet mit gleicher Checksummen-Berechnungsformel aus dem empfangenen zweiten Fahrpedalrohwert F2 eine Empfänger-Checksumme CE. Im Empfänger-Prüfbaustein 27 wird die Sender-Checksumme Cs mit der Empfänger-Checksumme CE verglichen. Der Empfänger-Prüfbaustein 27 erkennt bei einer Abweichung der Sender-Checksumme Cs von der Empfänger-Checksumme CE einen Übertragungsfehler.
  • Wie bereits oben erwähnt, sind in der 1 der Botschaftszähler 23 und der Sender-Berechnungsbaustein 25 der End-to End-Absicherung 19 dem Fahrpedal 1 zugeordnet. Das Fahrpedal-Steuergerät 3 routet den zweiten Fahrpedalrohwert F2 zusammen mit den Sicherungsdaten SD (das heißt den Botschaftszählwert BZ und die Sender-Checksumme Cs) - ohne Signalverarbeitung - nur durch. Der Botschaftszähler 23 erhöht einen Botschaftszählwert BZ für jeden Abtastzyklus des zweiten Fahrpedalrohwerts F2 um ein Inkrement, zum Beispiel um eins. Für jeden Abtastzyklus wird dem zweiten Fahrpedalrohwert F2 der aktuelle Botschaftszählwert BZ hinzugefügt. Im Empfänger-Prüfbaustein 21 wird der Botschaftszählwert BZ auf Plausibilität geprüft. Insbesondere wird geprüft, ob sich der aktuelle Botschaftszählwert BZ gegenüber dem Botschaftszählwert BZ des zuletzt empfangenen zweiten Fahrpedalrohwerts F2 erhöht hat. Bei Nicht-Plausibilität wird ein Übertragungsfehler erkannt.
  • Der Empfänger-Prüfbaustein 21 setzt eine Prüfinformation PI2 auf einen Fehlerwert niO, sofern der im Empfänger-Prüfbaustein 21 geprüfte Botschaftszählwert BZ nicht plausibel ist und/oder bei Nicht-Übereinstimmung der Empfänger-Checksumme CE mit der Sender-Checksumme CS. Alternativ dazu setzt der Empfänger-Prüfbaustein 21 die Prüfinformation PI2 auf einen Fehlerfrei-Wert iO, sofern der im Empfänger-Prüfbaustein 21 geprüfte Botschaftszählwert BZ plausibel ist und die beiden Checksummen CE, CS übereinstimmen. Die vom Empfänger-Prüfbaustein 21 erzeugte Prüfinformation PI2 wird an einem Programmbaustein 29 dem zweiten Kickdownsignal K2 hinzugefügt.
  • Dem ersten Signalpfad I ist ebenfalls eine End-to-End-Absicherung 19 zugeordnet, die im Wesentlichen identisch wie die oben beschriebene End-to End-Absicherung 19 des zweiten Signalpfads II aufgebaut ist, jedoch aus Gründen der Übersichtlichkeit in den Figuren nur angedeutet ist. Im Unterschied zum zweiten Signalpfad II werden im ersten Signalpfad I die Sicherungsdaten SD der End-to-End-Absicherung 19 (das heißt Sender-Checksumme Cs und Botschaftszählwert BZ) dem Kickdownsignal K1 im Fahrpedal-Steuergerät 3 hinzugefügt, um der Integrität ASIL B(D) zu genügen.
  • Ein Kern der Erfindung besteht darin, dass sowohl die Strecke vom Fahrpedal 1 bis zum Fahrpedal-Steuergerät 3 als auch die Strecke vom Fahrpedal-Steuergerät 3 bis zum Assistenz-Steuergerät 5 mit der End-to-End-Absicherung 19 abgesichert ist. Das heißt um die Daten verarbeiten zu können (zum Beispiel Latentfehlerprüfung im Diagnosebaustein 13), muss das Fahrpedal-Steuergerät 3 sowohl die Daten aus dem Fahrpedalrohwert F1 als auch aus dem Fahrpedalrohwert F2 auspacken und auf Gültigkeit prüfen, bevor diese zum Beispiel für die Latentfehlerprüfung verwendet werden.
  • Die Prüfung auf Gültigkeit dieser Daten erfolgt im Fahrpedal-Steuergerät 3 im Rahmen der End-to-End-Absicherung 19, die in den Figuren nicht durch Programmbausteine veranschaulicht ist. Die Prüfung auf Gültigkeit erfolgt auf gleiche Weise, wie es anhand der Empfänger-Prüfbausteine 21 und der Empfänger-Berechnungsbausteine 27 im Assistenz-Steuergerät 5 beschrieben ist.
  • Zusätzlich wird der Fahrpedalrohwert F2 mit den Sicherungsdaten SD (das heißt Sender Checksumme CS und Botschaftszählwert BZ) an das Assistenzsystem weiter geschickt.
  • Der Empfänger-Prüfbaustein 21 setzt eine Prüfinformation PI1 auf einen Fehlerwert niO, sofern der im Empfänger-Prüfbaustein 21 geprüfte Botschaftszählwert BZ nicht plausibel ist und/oder bei Nicht-Übereinstimmung der Empfänger-Checksumme CE mit der Sender-Checksumme CS. Alternativ dazu setzt der Empfänger-Prüfbaustein 21 die Prüfinformation PI1 auf einen Fehlerfrei-Wert iO, sofern der im Empfänger-Prüfbaustein 21 geprüfte Botschaftszählwert BZ plausibel ist und die beiden Checksummen CE, Cs übereinstimmen. Die vom Empfänger-Prüfbaustein 21 erzeugte Prüfinformation PI1 wird dem ersten Kickdownsignal K1 hinzugefügt.
  • Im weiteren Signalverlauf wird sowohl das erste Kickdownsignal K1 (mit hinzugefügter Diagnoseinformation DI und Prüfinformation PI1) als auch das zweite Kickdownsignal K2 mit hinzugefügter Prüfinformation PI2 einem Auswertebaustein 31 zugeführt, der sich im Assistenz-Steuergerät 5 befindet. Der Auswertebaustein 31 erkennt eine gültige fahrerseitige Kickdownbetätigung, sofern folgende Bedingungen in Kombination erfüllt sind:
    • - erstes Kickdownsignal K1 auf K1 =ja gesetzt;
    • - die dem ersten Kickdownsignal K1 hinzugefügte Diagnoseinformation DI ist auf einen Fehlerfrei-Wert „iO“ gesetzt;
    • - die dem ersten Kickdownsignal K1 hinzugefügte Prüfinformation PI1 ist auf einen Fehlerfrei-Wert „iO“ gesetzt;
    • - zweites Kickdownsignal K2 auf K2=ja gesetzt;
    • - die dem zweiten Kickdownsignal K2 hinzugefügte Prüfinformation PI2 ist auf einen Fehlerfrei-Wert „iO“ gesetzt.
  • In der 2 wird eine fehlerfreie Signalverarbeitung im Antriebssystem beschrieben, bei der der Fahrer keine Kickdownbetätigung des Fahrpedals 1 vorgenommen hat. Entsprechend sind die beiden Fahrpedalrohwerte F1, F2 bei 0 %. Sowohl im Fahrpedal-Steuergerät 3 als auch im Assistenz-Steuergerät 5 werden daher die Kickdownsignale K1, K2 jeweils auf K1 =nein und auf K2 = nein gesetzt. Auf dieser Grundlage erkennt der Auswertebaustein 31, dass keine gültige fahrerseitige Kickdownbetätigung vorgenommen worden ist.
  • In der 3 ist ebenfalls eine fehlerfreie Signalverarbeitung angedeutet, bei der der Fahrer eine Kickdownbetätigung vorgenommen hat. Entsprechend sind die beiden Fahrpedalrohwerte F1, F2 bei 100 %. Im Fahrpedal-Steuergerät 3 wird daher das erste Kickdownsignal K1 auf K1 = ja gesetzt und im Assistenz-Steuergerät 5 das zweite Kickdownsignal K2 auf K2 = ja gesetzt. Die im Fahrpedal-Steuergerät 3 ermittelte Diagnoseinformation DI ist auf einen Fehlerfrei-Wert iO gesetzt. Ebenso sind die im Assistenz-Steuergerät 5 ermittelten Prüfinformationen PI1, PI2 auf einen Fehlerfrei-Wert iO gesetzt. Der Auswertebaustein 31 des Assistenz-Steuergerätes 5 erkennt daher, dass eine gültige fahrerseitige Kickdownbetätigung vorgenommen worden ist.
  • In der 4 ist eine fehlerbehaftete Signalverarbeitung dargestellt, bei der der Fahrer keine Kickdownbetätigung vorgenommen hat, so dass die beiden Fahrpedalrohwerte F1, F2 bei 0 % liegen. Jedoch ist in der 4 in der Signalverarbeitung des Fahrpedal-Steuergeräts 3 ein Fehlerfall 32 aufgetreten, bei dem der Vergleicherbaustein 11 fehlerhaft das erste Kickdownsignal K1 auf K1=ja setzt. Der Auswertebaustein 31 ermittelt daher, dass das erste Kickdownsignal K1 auf K1=ja gesetzt ist, jedoch das zweite Kickdownsignal K2 richtigerweise auf K2=nein gesetzt ist. Auf dieser Grundlage erkennt der Auswertebaustein 31, dass keine gültige fahrerseitige Kickdownbetätigung vorgenommen worden ist.
  • In der 5 ist eine fehlerhafte Signalverarbeitung angedeutet, bei der der Fahrer keine Kickdownbetätigung vorgenommen hat, jedoch ein Latentfehler (zum Beispiel Driftfehler) bei der Latentfehlerdiagnose im Fahrpedal-Steuergerät 3 erkannt worden ist. Demnach erzeugt der Fahrpedalsensor 7 einen fehlerhaften Fahrpedalrohwert F1 von 100 %, während der zweite Fahrpedalsensor 9 einen fehlerhaften Fahrpedalrohwert F2 von 96 % erzeugt. Im Fahrpedal-Steuergerät 3 wird daher das Kickdownsignal K1 auf K1=ja gesetzt. Zudem wird im Fahrpedal-Steuergerät 3 die Diagnoseinformation DI auf einen Fehlerwert niO gesetzt, da die beiden Fahrpedalrohwerte F1, F2 nicht übereinstimmen. Dem ersten Kickdownsignal K1 wird außerdem die Prüfinformation PI1 zugeordnet, die auf einen Fehlerfrei-Wert iO gesetzt ist.
  • Bei dem Latentfehler-Fall gemäß 5 wird im Assistenz-Steuergerät 5 das zweite Kickdownsignal K2 auf K2=ja gesetzt. Dem zweiten Kickdownsignal K2 wird die Prüfinformation PI2 hinzugefügt, die auf einen Fehlerfrei-Wert iO gesetzt ist. Auf diese Grundlage ermittelt der Auswertebaustein 31, das zwar beide Kickdownsignale K1, K2 auf K1=ja und auf K2=ja gesetzt sind, jedoch die Diagnoseinformation DI auf einen Fehlerwert niO gesetzt ist. Dadurch erkennt der Auswertebaustein 31, das keine gültige fahrerseitige Kickdownbetätigung vorgenommen worden ist.
  • Anhand der 6 ist eine fehlerhafte Signalverarbeitung angedeutet, bei der der Fahrer keine Kickdownbetätigung vorgenommen hat, jedoch in der Routingstrecke 20 des Fahrpedal-Steuergeräts 3 ein Fehlerfall 32 eingetreten ist, bei dem der zweite Fahrpedalrohwert F2 von 0 % auf 100 % gesetzt wird. In diesem Fall berechnet der Sender-Berechnungsbaustein 25 der End-to-End-Absicherung 19 eine Sender-Checksumme Cs von 0 %, während der Empfänger-Berechnungsbaustein 27 der End-to-End-Absicherung 19 eine Empfänger-Checksumme CE von 50 % berechnet. Durch Vergleich der beiden CE und Cs ermittelt der im Assistenz-Steuergerät 5 befindliche Prüfbaustein 21 eine Nicht-Plausibilität, wodurch der Übertragungsfehler auf der Routingstrecke 20 im Fahrpedal-Steuergerät 3 erkannt wird. Dem zweiten Kickdownsignal K2 ist daher eine Prüfinformation PI2 hinzugefügt, die auf einen Fehlerwert niO gesetzt ist. Auf dieser Grundlage erkennt der Auswertebaustein 31, das keine gültige fahrerseitige Kickdownbetätigung vorgenommen ist.
  • BEZUGSZEICHENLISTE:
    • 1
    Fahrpedal-Steuergerät
    5
    Assistenz-Steuergerät
    7,9
    Fahrpedalsensoren
    11
    Vergleicherbaustein
    13
    Diagnosebaustein
    15
    Programmbaustein
    17
    Vergleicherbaustein
    19
    End-to-End-Absicherung
    20
    Routingstrecke
    21
    Empfänger-Prüfbaustein
    23
    Botschaftszähler
    25
    Sender-Berechnungsbaustein
    27
    Empfänger-Berechnungsbaustein
    29
    Programmbaustein
    31
    Auswertebaustein
    32
    Fehlerfall
    y
    Kickdowngrenzwert
    I, II
    Signalpfade
    ASIL
    automotive safety integrity level
    DI
    Diagnoseinformation
    PI1, PI2
    Prüfinformation
    CE
    Empfänger-Checksumme
    CS
    Sender-Checksumme
    F1
    Fahrpedalrohwert
    F2
    Fahrpedalrohwert
    SD
    Sicherungsdaten
    K1, K2
    Kickdownsignale
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • DE 10150422 A1 [0004]
    • DE 102016011175 A1 [0004]
    • WO 2020/180140 A1 [0004]
    • EP 2454864 B1 [0017]
    • EP 2454865 B1 [0037]

Claims (10)

  1. Antriebssystem für ein Fahrzeug, mit einem Fahrpedal (1) mit zugeordnetem Fahrpedal-Steuergerät (3), das bei einer fahrerseitigen Fahrpedalbetätigung eine Fahraufgabe durchführt, wobei das Fahrpedal-Steuergerät (3) als Sender-Steuergerät mit einem Assistenz-Steuergerät (5) als Empfänger-Steuergerät verbunden ist, das eine fahrerunabhängige, automatisierte Fahraufgabe durchführt, wobei insbesondere das Assistenz-Steuergerät (5) bei Vorliegen einer gültigen fahrerseitigen Kickdownbetätigung die fahrerunabhängige, automatisierte Fahraufgabe deaktiviert, dadurch gekennzeichnet, dass für ein sicheres Erkennen einer Pedalbetätigung, insbesondere einer gültigen Kickdownbetätigung als Fahrerübernahmeaufforderung, dem Fahrpedal (1) zwei Fahrpedalsensoren (7, 9) zugeordnet sind, die voneinander unabhängig jeweils einen ersten Fahrpedalrohwert (F1) und einen zweiten Fahrpedalrohwert (F2) erfassen, dass der erste Fahrpedalsensor (7) über einen ersten Signalpfad (I) mit dem Fahrpedal-Steuergerät (3) und mit dem Assistenz-Steuergerät (5) verbunden ist, und der zweite Fahrpedalsensor (9) über einen zweiten Signalpfad (II) mit dem Fahrpedal-Steuergerät (3) und mit dem Assistenz-Steuergerät (5) verbunden ist, dass bei einer Pedalbetätigung in jedem Signalpfad (I, II) ein Betätigungssignal, insbesondere Kickdownsignal (K1, K2) erzeugt wird, und dass das Assistenz-Steuergerät (5) eine fehlerfreie Signalverarbeitung in den Steuergeräten (3, 5) prüft.
  2. Antriebssystem nach Anspruch 1, dadurch gekennzeichnet, dass im Fahrpedal-Steuergerät (3) eine Signalverarbeitung des ersten Fahrpedalrohwerts (F1) erfolgt, und zwar mit einem Vergleicherbaustein (11), der den ersten Fahrpedalrohwert (F1) mit einem Grenzwert, insbesondere Kickdowngrenzwert (y) vergleicht, und dass der Vergleicherbaustein (11) bei einem ersten Fahrpedalrohwert (F1) größer als der Grenzwert (y) das erste Betätigungssignal (K1) auf (K1=ja) setzt.
  3. Antriebssystem nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass in dem Fahrpedal-Steuergerät (3) eine Latentfehlerdiagnose erfolgt, bei der ein Diagnosebaustein (13) die ersten und zweiten Fahrpedalrohwerte (F1, F2) miteinander vergleicht, und dass der Diagnosebaustein (13) bei einer signifikanten Abweichung der beiden Fahrpedalrohwerte (F1, F2) einen Latentfehler erkennt, so dass der Diagnosebaustein (13) eine Diagnoseinformation (DI) auf einen Fehlerwert (niO) setzt, oder dass der Diagnosebaustein (13) bei Übereinstimmung beider Fahrpedalrohwerte (F1, F2) keinen Latentfehler erkennt, so dass der Diagnosebaustein (13) eine Diagnoseinformation (DI) auf einen Fehlerfrei-Wert (iO) setzt, und dass die im Diagnosebaustein (13) erzeugte Diagnoseinformation (DI) dem ersten Betätigungssignal (K1) hinzugefügt wird.
  4. Antriebssystem nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass im zweiten Signalpfad (II) im Fahrpedal-Steuergerät (3) ein Routing erfolgt, bei dem der zweite Fahrpedalrohwert (F2) über eine Routingstrecke (20) ohne Signalverarbeitung zum Assistenz-Steuergerät (5) übertragen wird.
  5. Antriebssystem nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass im Assistenz-Steuergerät (5) eine Signalverarbeitung des zweiten Fahrpedalrohwerts (F2) erfolgt, und zwar mit einem Vergleicherbaustein (17), der den zweiten Fahrpedalrohwert (F2) mit dem Grenzwert (y) vergleicht, und dass der Vergleicherbaustein (17) das zweite Betätigungssignal (K2) auf (K2=ja) setzt, sofern der zweite Fahrpedalrohwert (F2) größer ist als der Grenzwert (y).
  6. Antriebssystem nach Anspruch 4 oder 5, dadurch gekennzeichnet, dass eine End-to-End-Absicherung (19) bereitgestellt ist, mittels der ein Signalübertragungsfehler im ersten Signalpfad (I) und/oder im zweiten Signalpfad (II) identifizierbar ist, der sich aus einer fehlerhaften Signalverarbeitung im Fahrpedal-Steuergerät (3) ergibt, und dass die End-to-End-Absicherung (19) im Assistenz-Steuergerät (5) einen Empfänger-Prüfbaustein (21) aufweist, der eine Absicherung durch eine Checksummen-Prüfung und durch einen Botschaftszähler (23) durchführt.
  7. Antriebssystem nach Anspruch 6, dadurch gekennzeichnet, dass für die Checksummen-Prüfung ein Sender-Berechnungsbaustein (25) aus dem Fahrpedalrohwert (F1, F2) mit einer Berechnungsformel (Cs=f(x)) eine Sender-Checksumme (Cs) berechnet, die dem Fahrpedalrohwert (F1, F2), insbesondere vor der Routingstrecke (20), hinzugefügt wird, dass ein Empfänger-Berechnungsbaustein (27) mit gleicher Berechnungsformel (CE=f(x)) aus dem empfangenen Fahrpedalrohwert (F1, F2) eine Empfänger-Checksumme (CE) berechnet, und dass der Empfänger-Prüfbaustein (21) die Sender-Checksumme (Cs) mit der Empfänger-Checksumme (CE) vergleicht, und dass der Empfänger-Prüfbaustein (21) bei einer Abweichung der Sender-Checksumme (Cs) von der Empfänger-Checksumme (CE) einen Übertragungsfehler erkennt, und dass insbesondere im ersten Signalpfad (I) der Sender-Berechnungsbaustein (25) und der Botschaftszähler (23) dem Fahrpedal-Steuergerät (3) zugeordnet sind, so dass die Sender-Checksumme (Cs) und ein Botschaftszählwert (BZ) des Botschaftszählers (23) im Fahrpedal-Steuergerät (3) dem ersten Fahrpedalrohwert (F1) hinzugefügt werden, und dass insbesondere im zweiten Signalpfad (II) der Sender-Berechnungsbaustein (25) und der Botschaftszähler (23) dem Fahrpedal (1) zugeordnet sind, so dass die Sender-Checksumme (Cs) und ein Botschaftszählwert (BZ) des Botschaftszählers (23) bereits im Fahrpedal (1) dem zweiten Fahrpedalrohwert (F2) hinzugefügt werden.
  8. Antriebssystem nach Anspruch 6 oder 7, dadurch gekennzeichnet, dass der Botschaftszähler (23) einen Botschaftszählwert (BZ) für jeden Abtastzyklus des zweiten Fahrpedalrohwerts (F2) um ein Inkrement erhöht, und dass für jeden Abtastzyklus dem zweiten Fahrpedalrohwert (F2) der aktuelle Botschaftszählwert (BZ) hinzugefügt wird, und dass der Empfänger-Prüfbaustein (21) der Botschaftszählwert (BZ) auf Plausibilität prüft, wobei insbesondere geprüft wird, ob sich der aktuelle Botschaftszählwert gegenüber dem Botschaftszählwert des zuletzt empfangenen zweiten Fahrpedalrohwerts (F2) erhöht hat, und dass der Prüfbaustein (21) bei Nicht-Plausibilität ein Übertragungsfehler erkennt.
  9. Antriebssystem nach Anspruch 8, dadurch gekennzeichnet, dass der Empfänger-Prüfbaustein (21) eine Prüfinformation (PI1, PI2) auf einen Fehlerwert (niO) setzt, sofern der im Empfänger-Prüfbaustein (21) geprüfte Botschaftszählwert (BZ) nicht plausibel ist und/oder bei Nicht-Übereinstimmung von Empfänger-Checksumme (CE) und Sender-Checksumme (Cs), oder dass der Empfänger-Prüfbaustein (21) die Prüfinformation (PI1, PI2) auf einen Fehlerfrei-Wert (iO) setzt, sofern der im Empfänger-Prüfbaustein (21) geprüfte Botschaftszählwert (BZ) plausibel ist und die beiden Checksummen (CS, CE) übereinstimmen, und/oder dass insbesondere die vom Empfänger-Prüfbaustein (21) erzeugte Prüfinformation (PI1, PI2) dem jeweiligen ersten oder zweiten Betätigungssignal (K1, K2) zugeordnet wird.
  10. Antriebssystem nach einem der Ansprüche 3 bis 9, dadurch gekennzeichnet, dass die beiden Signalpfade (I, II) bis zu einem Auswertebaustein (31) des Assistenz-Steuergeräts (5) geführt sind, und dass der Auswertebaustein (31) eine fahrerseitige Pedalbetätigung erkennt, sofern in der Auswerteeinheit (31) die folgenden Bedingungen in Kombination erfüllt sind: - erstes Betätigungssignal (K1) auf (K1=ja) gesetzt; - die dem ersten Betätigungssignal (K1a) hinzugefügte Diagnoseinformation (DI) ist auf den Fehlerfrei-Wert (iO) gesetzt; - die dem ersten Betätigungssignal (K1) hinzugefügte Prüfinformation (PI1) ist auf den Fehlerfrei-Wert (iO) gesetzt; - zweites Betätigungssignal (K2) auf (K2=ja) gesetzt; - die dem zweiten Betätigungssignal (K2) hinzugefügte Prüfinformation (PI2) ist auf den Fehlerfrei-Wert (iO) gesetzt.
DE102022110952.6A 2022-05-04 2022-05-04 Antriebssystem für ein Fahrzeug Pending DE102022110952A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102022110952.6A DE102022110952A1 (de) 2022-05-04 2022-05-04 Antriebssystem für ein Fahrzeug
PCT/EP2023/055259 WO2023213461A1 (de) 2022-05-04 2023-03-02 Antriebssystem für ein fahrzeug

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102022110952.6A DE102022110952A1 (de) 2022-05-04 2022-05-04 Antriebssystem für ein Fahrzeug

Publications (1)

Publication Number Publication Date
DE102022110952A1 true DE102022110952A1 (de) 2023-11-09

Family

ID=85511231

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102022110952.6A Pending DE102022110952A1 (de) 2022-05-04 2022-05-04 Antriebssystem für ein Fahrzeug

Country Status (2)

Country Link
DE (1) DE102022110952A1 (de)
WO (1) WO2023213461A1 (de)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10150422A1 (de) 2001-10-11 2003-04-17 Bosch Gmbh Robert Verfahren und Vorrichtung zur Ermittlung eines Fahrerwunsches
EP2454865A1 (de) 2009-07-13 2012-05-23 Qualcomm Incorporated Selektive medienmischung während einer gruppenkommunikationssitzung in einem drahtlosen kommunikationssystem
DE102016011175A1 (de) 2016-09-15 2017-03-30 Daimler Ag Verfahren und Vorrichtung zum Erfassen einer Betätigung eines Fahrpedals eines Kraftfahrzeugs
EP2454864B1 (de) 2009-07-14 2018-10-03 Audi AG Vermeidung von maskerade durch verwendung von kennungssequenzen
WO2020180140A1 (en) 2019-03-06 2020-09-10 Mando Corporation Brake pedal system for an electrically controlled vehicle brake

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4133268A1 (de) * 1991-10-08 1993-04-15 Bosch Gmbh Robert Vorrichtung zur steuerung der antriebsleistung eines fahrzeuges
DE10113917B4 (de) * 2001-03-21 2019-05-23 Robert Bosch Gmbh Verfahren und Vorrichtung zur Überwachung von Steuereinheiten
DE102005005995A1 (de) * 2004-02-23 2006-06-22 Continental Teves Ag & Co. Ohg Verfahren und Vorrichtung zum Überwachen von Signalverarbeitungseinheiten für Sensoren
DE102017219661A1 (de) * 2017-11-06 2019-05-09 Robert Bosch Gmbh Verfahren zum Betreiben eines Steuergeräts

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10150422A1 (de) 2001-10-11 2003-04-17 Bosch Gmbh Robert Verfahren und Vorrichtung zur Ermittlung eines Fahrerwunsches
EP2454865A1 (de) 2009-07-13 2012-05-23 Qualcomm Incorporated Selektive medienmischung während einer gruppenkommunikationssitzung in einem drahtlosen kommunikationssystem
EP2454864B1 (de) 2009-07-14 2018-10-03 Audi AG Vermeidung von maskerade durch verwendung von kennungssequenzen
DE102016011175A1 (de) 2016-09-15 2017-03-30 Daimler Ag Verfahren und Vorrichtung zum Erfassen einer Betätigung eines Fahrpedals eines Kraftfahrzeugs
WO2020180140A1 (en) 2019-03-06 2020-09-10 Mando Corporation Brake pedal system for an electrically controlled vehicle brake

Also Published As

Publication number Publication date
WO2023213461A1 (de) 2023-11-09

Similar Documents

Publication Publication Date Title
DE10113917B4 (de) Verfahren und Vorrichtung zur Überwachung von Steuereinheiten
DE10056408C1 (de) Vorrichtung zur Überwachung eines Prozessors
EP1040028B1 (de) Verfahren zur fehlererkennung von mikroprozessoren in steuergeräten eines kfz
EP3201894B1 (de) Vorrichtung zum senden und empfangen eines sensorsignals
EP2425304B1 (de) Steuersystem zum sicheren betreiben von mindestens einer funktionskomponente
DE102006017302B4 (de) Verfahren und System zur Kontrolle einer Signalübertragung eines elektrischen Pedals
WO1993009020A1 (de) Verfahren und vorrichtung zur fehlerbehandlung in elektronischen steuergeräten
WO2018188877A1 (de) Fusion von daten mehrerer sensoren zur objekterkennung
DE102016105016A1 (de) Verfahren zur Erkennung eines Ausfalls eines Sensors einer Fahrzeugsicherheitseinrichtung
DE102014226211A1 (de) Verfahren zur Steuerung und/oder Regelung einer Bremsanlage für ein Fahrzeug sowie Bremsanlage
EP1200294B1 (de) Verfahren zur funktionsprüfung einer fahrdynamikregelungssensorik
EP2655150B1 (de) Verfahren zur kalibrierung eines aus einem drucksensorsignal berechneten aussteuerpunktes eines pneumatischen bremskraftverstärkers
DE102018217118B4 (de) Verfahren zum Erstellen einer Fehlerdiagnose eines Antriebsstrangs eines elektrisch betriebenen Kraftfahrzeugs und Kraftfahrzeug
WO1988005570A1 (en) Process and device for monitoring computer-controlled final control elements
DE102022110952A1 (de) Antriebssystem für ein Fahrzeug
DE102020126434A1 (de) Fahrsystem zum automatisierten fahren mit akustischer informationsausgabe und einem mikrofon, entsprechendes verfahren und entsprechende software
DE102019216342B3 (de) Auswertevorrichtung zur fehlertoleranten Auswertung von Sensorsignalen für ein Motorsteuergerät einer Kraftfahrzeuglenkung und Kraftfahrzeuglenkung
DE102017109175A1 (de) Steuereinrichtung, Fahrerassistenzsystem, Kraftfahrzeug und Verfahren zum Steuern einer Fahrerassistenzfunktion
WO2011091996A1 (de) Verfahren und vorrichtung zur erzeugung eines bremslichtausgangssignals einer bremsanlage für ein fahrzeug
DE102016224580B3 (de) Prüfverfahren für einen Betätigungsschalter einer Funktionseinheit eines Kraftfahrzeugs
EP0694451B1 (de) Fahrzeugsicherungsanordnung
DE10361072A1 (de) Verfahren und Vorrichtung zur Diagnose von Steuergeräten
DE102021105700B3 (de) Verfahren und Steuergerät zur Funktionsüberwachung eines Systems zur Überwachung der Lenkaktivität eines Fahrers sowie Kraftfahrzeug
EP1665611A1 (de) Daten bertragungsstrecke mit einrichtung zur pruefung der datenintegritaet
DE19722549A1 (de) Elektrische Meßeinrichtung bzw. elektrisches Meßverfahren zur Erzeugung eines elektrischen Signals

Legal Events

Date Code Title Description
R163 Identified publications notified