DE102005024358A1 - Verfahren und Vorrichtung zum Betreiben eines sicherheitskritischen Systems - Google Patents

Verfahren und Vorrichtung zum Betreiben eines sicherheitskritischen Systems Download PDF

Info

Publication number
DE102005024358A1
DE102005024358A1 DE200510024358 DE102005024358A DE102005024358A1 DE 102005024358 A1 DE102005024358 A1 DE 102005024358A1 DE 200510024358 DE200510024358 DE 200510024358 DE 102005024358 A DE102005024358 A DE 102005024358A DE 102005024358 A1 DE102005024358 A1 DE 102005024358A1
Authority
DE
Germany
Prior art keywords
value
sub
sensor signals
difference
sensor
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE200510024358
Other languages
English (en)
Inventor
Bend Sternecker
Hans-Peter Hank
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bayerische Motoren Werke AG
Original Assignee
Bayerische Motoren Werke AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bayerische Motoren Werke AG filed Critical Bayerische Motoren Werke AG
Priority to DE200510024358 priority Critical patent/DE102005024358A1/de
Publication of DE102005024358A1 publication Critical patent/DE102005024358A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B62LAND VEHICLES FOR TRAVELLING OTHERWISE THAN ON RAILS
    • B62DMOTOR VEHICLES; TRAILERS
    • B62D5/00Power-assisted or power-driven steering
    • B62D5/04Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear
    • B62D5/0457Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear characterised by control features of the drive means as such
    • B62D5/0481Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear characterised by control features of the drive means as such monitoring the steering system, e.g. failures
    • B62D5/0484Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear characterised by control features of the drive means as such monitoring the steering system, e.g. failures for reaction to failures, e.g. limp home
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B62LAND VEHICLES FOR TRAVELLING OTHERWISE THAN ON RAILS
    • B62DMOTOR VEHICLES; TRAILERS
    • B62D5/00Power-assisted or power-driven steering
    • B62D5/04Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear
    • B62D5/0457Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear characterised by control features of the drive means as such
    • B62D5/0481Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear characterised by control features of the drive means as such monitoring the steering system, e.g. failures
    • B62D5/049Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear characterised by control features of the drive means as such monitoring the steering system, e.g. failures detecting sensor failures

Landscapes

  • Engineering & Computer Science (AREA)
  • Chemical & Material Sciences (AREA)
  • Combustion & Propulsion (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Power Steering Mechanism (AREA)
  • Steering Control In Accordance With Driving Conditions (AREA)

Abstract

Die vorliegende Erfindung betrifft ein Verfahren und eine Vorrichtung zum Betreiben eines Stellorgans, die insbesondere als eletromotorische Servolenkung in einem Personenkraftfahrzeug eingesetzt wird. DOLLAR A Um ein Verfahren und eine entsprechende Vorrichtung aus dem Stand der Technik bekannten Art zur Verbesserung eines Verhaltens im Fehlerfall weiterzubilden, wird vorgeschlagen, das beide Sensor-Signale (Main, Sub) zur Prüfung auf eine Abweichung der Sensor-Signale (Main, Sub) voneinander verarbeitet werden und DOLLAR A in dem Fall, dass ein Betrag der Differenz der beiden Sensor-Signale (Main, Sub) kleiner oder gleich einem Schwellwert (W) ist, das Sensor-Signal (Main) zum Sollwert (Soll) bestimmt wird, DOLLAR A andernfalls im Falle eines Überschreitens eines Schwellwertes (W) durch die Differenz zwischen den beiden Sensor-Signalen (Main, Sub) ein Sollwert (Soll) auf Basis des Wertes des zweiten Sensor-Signals (Sub) bestimmt wird zu Sollwert Soll = Sub + W und DOLLAR A im Falle eines Unterschreitens des Schwellwertes (W) durch die Differenz zwischen den beiden Sensor-Signalen (Main, Sub) der Sollwert als Soll = Sub - W bestimmt wird.

Description

  • Die vorliegende Erfindung betrifft ein Verfahren und eine Vorrichtung zum Betreiben eines sicherheitskritischen Systems, das insbesondere als elektromotorische Servolenkung in einem Personenkraftfahrzeug eingesetzt wird.
  • Aus dem Stand der Technik ist bekannt, dass bei Verfahren und Vorrichtungen zum Betreiben eines sicherheitskritischen Systems, wie z.B. eines Stellorgans, mindestens zwei redundante Sensor-Signale zur Absicherung verwendet werden. Es werden somit mindestens zwei Sensor-Signale erzeugt, wobei eines, nachfolgend als Main-Signal bezeichnet, zur Berechnung eines Soll-Wertes verwendet wird. Das zweite Signal, nachfolgend als Sub-Signal bezeichnet, dient lediglich als Kontrollsignal. Bei einer zu großen Differenz zwischen den Signalen Main und Sub wird eine Abschaltemaßnahme eingeleitet. Es verstreicht jedoch eine als Fehlerlatenzzeit bezeichnete Zeitspanne bis zum Greifen der jeweils ausgelösten Abschaltemaßnahme, dass heißt bis also in einem Fehlerfall eine Abschaltung einer zu regelnden oder zu steuernden Einheit an einem Stellorgan aktiv ist. Je nach Einsatzsituation wird eine noch zulässige Systemreaktion bestimmt, aus der eine zulässige Fehlerlatenzzeit rückwärts berechnet wird.
  • Ohne Beschränkung seiner allgemeinen Einsetzbarkeit bei verschiedenen sicherheitskritischen Systemen wird nachfolgend auf elektromotorische Servolenkung als Stellorganen für Personenkraftfahrzeuge eingegangen. Diese Systeme werden fortschrei tend in größerem Umfang in Personenkraftfahrzeugen eingesetzt und unterliegen hohen Sicherheitsanforderungen. Wie für alle sicherheitstechnischen Überlegungen, so muss auch hier für eine Fehlerlatenzzeit das Eintreten eines schlimmsten Falles als sogenanntes worst-case Szenario angesetzt werden. Bei einer elektromotorischen Servolenkung bzw. electronic-power-steering EPS liegt im schlimmsten Fall der Maximalwert des Handmoments als fehlerhaftes Sensorsignal an. Somit wird während der Fehlerlatenzzeit an der elektromotorischen Servolenkung ein maximales Motormoment angelegt.
  • Nach aus dem Stand der Technik bekannter Art und Weise werden elektromotorische Servolenkungen unter zyklischer Messung eines von dem Fahrer aufgebrachten Handmomentes durch einen redundant ausgeführten Sensor realisiert, wobei das Lenkmoment mit einem durch einen Elektromotor beaufschlagtes Motormoment unterstützt wird. So ist beispielsweise eine Servolenkung bzw. eine Fahrzeuglenkung mit Lenkhilfe bei elektromotorischer Lenkkraftunterstützung aus der DE 38 24 424 A1 bekannt. In Weiterentwicklung dieser Lehre ist aus der DE 40 39 267 A1 ein Verfahren oder eine Vorrichtung für eine elektromotorische Servolenkung bekannt, bei der eine Lenksäule ein Zahnrad trägt, das mit einem Ritzel eines Elektromotors kämmt, dessen Antriebsachse parallel zur Lenksäule verläuft und in geringem Abstand hierzu angeordnet ist. In der Lenksäule ist über dem Zahnrad, über das das Motormoment eingeleitet wird, ein redundanter Drehmoment-Sensor vorgesehen. Die Ausgangssignale der beiden Sensoren werden an ein elektronisches Steuergerät weitergeleitet und dort unter Berücksichtigung weiterer Fahrzeugspezifischer und zustandskennzeichnender Messgrößen verarbeitet, wobei ein Motormoment aus den Phasenströmen und der Rotorlage berechnet wird.
  • Ferner ist aus der DE 103 03 383 A1 ein Verfahren und eine Vorrichtung zur Überwachung eines sicheren Betriebs einer Funktionseinheit in einem Kraftfahrzeug bekannt, die insbesondere unter Anwendung auf sicherheitskritische Funktionseinheiten, wie eine Fahrzeuglenkung, zwei an einen Datenbus angeschlossene, fehlersichere elektronische Einheiten zum Ansteuern einer Funktionseinheit vorsieht. Es ist nach einem Fail-Safe-Konzept ein Datenaustausch zwischen den Einheiten und dem Bus vorgesehen, der im Fehlerfall zu einer Umschaltung der das Main-Signal generierenden Einheit führen kann.
  • Für die elektromotorische Unterstützung werden zunehmend Synchronmotoren mit gegenüber anderen Motorbauformen bessere Systemeigenschaften verwendet, wobei Synchronmotoren jedoch aufwendiger anzusteuern sind. Es werden in bekannten Vorrichtungen aber auch Bürstenmotoren bzw. Gleichstrommotoren oder auch Asynchronmotoren verwendet, die gegenüber einem Synchronmotor jedoch eine geringere Dynamik aufweisen. Bei dem insgesamt erstrebenswerten Einsatz eines Synchronmotors ist aufgrund dessen großer Dynamik eine Systemreaktion unter Einwirkung eines maximalen Motormomentes sehr groß. Dementsprechend muss die Fehlerlatenzzeit sehr niedrig angesetzt werden. Akzeptable Fehlerlatenzzeiten von 20 ms oder noch geringer sind jedoch auch in modernen Systemen schwierig realisierbar, wobei Latenzzeiten von 20 ms gerade noch darstellbar sind, aber hohe Anforderungen an die Sensorauslegung stellen, weil dabei auch Fehlabschaltungen vermieden werden müssen. Dabei ist die Systemreaktion einer elektromotorischen unterstützten Servolenkung bereits unterhalb des genannten Wertes als problematisch anzusehen.
  • In bekannten Ansätzen werden daher regelungstechnische Eingriffe an den ansteuernden Synchronmotoren vorgenommen, wodurch eine Änderung des Motormomentes mit dem Ziel einer Be grenzung bzw. Rate-limitation durchgeführt werden. Diese Rate-limitation ist dabei immer aktiv und führt damit auch im regulären, störungs- und fehlerfreien Betrieb des Fahrzeugs zu funktionalen Einbußen.
    •
  • Es ist Aufgabe der vorliegenden Erfindung, ein Verfahren und eine entsprechende Vorrichtung der vorstehend genannten und aus dem Stand der Technik bekannten Art zur Verbesserung eines Verhaltens im Fehlerfall weiterzubilden.
  • Diese Aufgabe wird durch die Merkmale der unabhängigen Patentansprüche dadurch gelöst, dass für eine Regelung und/oder Steuerung eines sicherheitskritischen Systems, wie eines Stellorgans in einem Kraftfahrzeug, mindestens zwei redundante Sensor-Signale Main und Sub ausgewertet werden, wobei beide Sensor-Signale zur Prüfung auf eine Abweichung der Sensor-Signale voneinander verarbeitet werden und in dem Fall, dass ein Betrag der Differenz der beiden Sensor-Signale kleiner oder gleich einem Schwellwert ist, das Sensor-Signal zum Sollwert bestimmt wird, andernfalls im Fall eines Überschreitens eines Schwellwertes durch die Differenz zwischen den beiden Sensor-Signalen ein Sollwert auf Basis des Wertes des zweiten Sensor-Signals bestimmt wird zu Sollwert Soll = Sub + W und im Falle eines Unterschreitens des Schwellwertes durch die Differenz zwischen den beiden Sensor-Signalen der Sollwert als Soll = Sub – W bestimmt wird.
  • In einer bevorzugten Ausführungsform der Erfindung wird für die Applikation des Schwellwerts derjenige Momenten-Offset verwendet, bei dem eine Systemreaktion noch ohne Sicherheitsrisiko auftritt. Die Toleranzen des Sensors werden dann so ausgelegt, dass statistische Fehler und Rauschen in den beiden Sensor-Signalen innerhalb dieses Schwellwerts liegen und somit nicht zu Fehlabschaltungen führen können. Der Schwell wert ist ein fester Wert, der in einer Ausführungsform der Erfindung während der Entwicklung appliziert werden kann. Für diese Applikation gibt es obere und untere Grenzen, die durch Systemreaktion einerseits und Toleranzen andererseits vorgeben sind. Die Auswahl des Schwellwertes findet also in dem üblichen Spannungsfeld zwischen Sicherheit und Verfügbarkeit statt.
  • Auch während des Eingreifens des vorstehend beschriebenen Algorithmus bleibt eine Überwachung der Differenz zwischen den Sensor-Signalen Main und Sub weiterhin aktiv. In einem Ausführungsbeispiel der Erfindung findet diese Überwachung während einer vorbestimmten Zeitspanne jedoch mit geänderter Fehlerlatenzzeit und angepasster Fehleramplitude statt.
  • Fehler im Sensorsignal Sub wirken sich wie eine Begrenzung des Arbeitsbereichs des Sensorsignals Main aus. Springt das Sensorsignal Sub an die Grenzen eines vorgegebenen Messbereichs, so wird als Soll-Signal ein Gesamtwert nahe Null ausgegeben, das heißt, es erfolgt nur eine sehr geringe Unterstützung der Lenkbewegung in dem Fall, dass der Schwellwert hoch genug gewählt wurde. Gemäß vorliegender Erfindung wirkt sich nun ein Einzelfehler eines Sensorsignals in keinem Fall vollständig auf ein Ausgangssignal aus. Diese Begrenzung ist auch bei sehr hohen Schwellwerten, das heißt nahe den Maximalwerten der verwendeten Sensoren, wirksam, weil bei dem betrachteten System eine Rückkopplung mit Einfluss eines jeweiligen Motormomentes auf das Handmoment gegeben ist. Ein fehlerhaft angegebenes Signal eines Motormoments führt sehr schnell zu einer niedrigeren Umsetzung eines jeweiligen Handmoments und verringert damit einen möglichen Einfluss im vorliegenden Beispiel auf eine Lenkung. Hierdurch wird die gewählte Begrenzungsfunktion noch wirksamer.
  • Es ergeben sich mithin die Vorteile einer Reduzierung der Fehlerauswirkung bei Fehlfunktion eines Sensorsignals, wobei vorteilhafterweise keine Umschaltung zwischen Auswerteeinheiten durchgeführt wird. Innerhalb einer Überwachung wird eine Erhöhung der Fehleramplitude ermöglicht, wodurch eine erhöhte Robustheit des Gesamtsystems erzielt wird. Aufgrund der deutlichen Begrenzung der Auswirkung von Fehlern ist auch eine Erhöhung einer zulässigen Fehlerlatenzzeit möglich. Die Notwendigkeit des Einsatzes einer Rate-limitation entfällt vorteilhafterweise zugleich, so dass ein vorstehend beschriebenes Verfahren und eine entsprechend ausgebildete Vorrichtung im Regelbetrieb eine deutliche Funktionsverbesserung gegenüber bekannten Systemen ohne die vorstehend beschriebene Prinzip-bedingten funktionale Einbußen zeigt.
    •
  • Weitere Vorteile an diesem erfindungsgemäßen Verfahren und einer entsprechenden Vorrichtung werden nachfolgend anhand eines Ausführungsbeispiels der Erfindung unter Bezugnahme auf die Zeichnung näher beschrieben. In der Zeichnung zeigen:
  • 1: eine schematisierte dreidimensionale Ansicht einer Kraftfahrzeuglenkung;
  • 2: ein Signalflussdiagramm eines erfindungsgemäßen Verfahrens und
  • 3: einen Verlauf einer Unterstützungskennlinie einer EPS mit erfindungsgemäßen Abweichungen.
  • 1 zeigt eine Kraftfahrzeuglenkung 1, die in nicht weiter dargestellter Art und Weise eine Verbindung durch eine Längssäule mit einem Lenkrad aufweist. Eine von einem Fahrer veran lasste Lenkbewegung wird von einem Momentensensor 2 aufgenommen und an ein Steuergerät 3 übermittelt. Das Steuergerät 3 regelt daraufhin den Einsatz eines Elektromotors 4 zur Unterstützung einer von dem Fahrer vorgegebenen Lenkbewegung. Über eine Getriebeeinheit 5 erfolgt eine Übertragung durch Spurstangen 6 auf die gelenkten Vorderräder dieses Kraftfahrzeugs.
  • Das vorliegende Ausführungsbeispiel der Erfindung baut auf der Erkenntnis auf, dass eine unerkannte Falschmessung eines Sensors aufgrund mechanischer Fehler durch Sicherheitsanalysen, z.B. in Form einer Fehler-Möglichkeits- und Einfluss-Analyse bzw. "Failure mode and effect analysis" FMEA, ausgeschlossen werden kann. Ein Ausfall eines Sensors kann hingegen durch Bereichsüberwachung etc. erkannt werden, dann kann eine Systemabschaltung eingeleitet werden, so dass dieser Fehlerfall kein echtes Sicherheitsrisiko darstellt. Mechanisch kann ein Sensor über die Lebenszeit eines Fahrzeugs mit überschaubarem Aufwand ausgelegt werden, während eine vergleichbare Absicherung auf elektrischer bzw. elektronischer Ebene kaum möglich ist. Demnach ist im vorliegenden Fall in nicht weiter detailliert dargestellter Weise nur ein Sensor mit zwei getrennt ausgeführten Auswerteeinheiten als Momentensensor 2 vorgesehen.
  • Würde in einem nach dem Stand der Technik bekannten Verfahren in einer Vorrichtung gemäß 1 ein fehlerhaftes Sensorsignal verarbeitet werden, so würde gemäß der Fail-safe Strategie nach einer Fehlerlatenzzeit Δt eine Abschaltung des Elektromotors 4 bewirkt werden. Anders bei einem erfindungsgemäßen Verfahren, wie in dem Ablaufdiagramm von 2 dargestellt: Es werden redundante Sensor-Signale Main und Sub ausgewertet, wobei das Signal Main zur Berechnung eines Sollwertes Soll und zusätzlich beide Signale zur Prüfung auf eine Abweichung der Sensor-Signale Main und Sub voneinander verarbeitet werden. Während eines normalen und störungsfreien Betrieb wird der Be trag eines Differenzwertes der Sensor-Signale Main, Sub kleiner als ein Schwellwert W, oder gleich groß wie der Schwellwert W sein. Im Fall eines Überschreitens des Schwellwertes W durch eine Betrag der Differenz zwischen den beiden Sensor-Signalen Main, Sub wird ein Sollwert Soll auf Basis des zweiten Sensorwertes Sub bestimmt zu Sollwert Soll = Sub + W. Falls der Betrag eines Differenzwertes der Sensor-Signale Main, Sub größer als ein Schwellwert W und zugleich eine Differenz zwischen den Sensor-Signalen Main, Sub kleiner als der Schwellwert W ist, dann wird der Sollwert zu Soll = Sub – W bestimmt.
  • Der Schwellwert W wird durch eine maximal zulässige Differenz zwischen den Sensor-Signalen Main, Sub, die sich insbesondere aus maximal zulässigen Toleranzabweichungen der Sensor-Signale Main, Sub ergeben können, bestimmt. Damit wird der Schwellwert W für jedes System gesondert festgelegt, also insbesondere für jeden Fahrzeugtyp.
  • 3 zeigt in skizzierter Darstellung einen Verlauf einer Unterstützungskennlinie U einer EPS, in der erfindungsgemäße Abweichungen gegenüber dem Stand der Technik mit eingezeichnet worden sind. Die Kennlinie zeigt, dass um den Ursprung herum generell nur eine geringe Unterstützung von Hand-Lenkmomenten. Hier wirkt sich also ein Fehler in einem der beiden Sensor-Signale Main, Sub auch sehr gering aus. Der Vollständigkeit halber ist in das Diagramm von 3 auch noch eine in den Ursprung verschobene Kurve eines der Sensorausgangssignale Main, Sub eingezeichnet worden, durch die der Einfluss der Kennlinie U auf das Verhalten des Gesamtsystems verdeutlicht wird.
  • Im Stand der Technik muss für die Fehlerlatenzzeit Δt das maximale Motormoment als Fehlerreaktion angenommen werden, weil während der Fehlerlatenzzeit Δt das Sensor-Signal Main verwendet wird. Mit einer erfindungsgemäß vorgeschlagenen Strategie gibt es zwei anzunehmende Worst Case Fehlerfälle: maximaler Signal-Wert im Sensor-Signal Main oder maximaler Signal-Wert im Sensor-Signal Sub, wobei ein maximaler Signal-Wert C eines Sensor-Signals nach dem Stand der Technik gemäß 3 bei etwa 8 Nm Handmoment erreicht wird. Im Gegensatz zu Ansätzen nach dem Stand der Technik muss in jedem der vorstehend aufgeführten Fehlerfälle für den kritischen Zeitabschnitt während der Fehlerlatenzzeit Δt nicht mehr der Maximalwert für einen fehlerhaften Sollwert Soll angenommen werden, sondern nur noch ein Offset mit dem Schwellwert W:
    • 1. Bei fehlerhafter Abweichung bis zum maximalen Signal-Pegel im Sensor-Signal Main wird als Sollwert Soll = Sub + W verwendet. Das entspricht einem Offset, da das Sensor-Signal Sub noch als korrekt angenommen wird.
    • 2. Der zweite Fehlerfall ist ein maximaler Signalwert im Sensor-Signal Sub. In diesem Fall wird als Sollwert Soll = Sub – W verwendet. Ein Fehler im Sensor-Signal Sub wird sich also wie eine Begrenzung des Arbeitsbereiches des Sensor-Signals Main aus. Springt das Sensor-Signal Sub an die Grenze des Messbereiches, wird als Sollwert Soll ein Wert nahe Null ausgegeben. Es erfolgt damit eine nur geringe fehlerhafte Unterstützung, wenn der Schwellwert W hoch genug gewählt wurde.
  • Damit ist sichergestellt, dass sich Einzelfehler, also Fehler in einem der beiden Sensor-Signale Main, Sub sich in keinem Fall vollständig auf das Ausgangssignal Soll auswirken. Zudem ist die Begrenzung auch bei sehr hohen Schwellwerten W, die nahe am Maximalwert liegen, sehr effektiv wirksam, weil bei EPS-Systemen eine Rückkopplung der Motor momente auf das Handmoment gegeben ist. Ein fehlerhaft zu großes Motormoment führt damit sehr schnell zu einem geringeren Handmoment, wodurch die Begrenzungsfunktion nur noch wirksamer wird.
  • Das maximal anzunehmende Motormoment wird also während der Fehlerlatenzzeit Δt gegenüber dem Stand der Technik deutlich reduziert. Damit entfällt in einem erfindungsgemäßen Verfahren auch die Notwendigkeit einer permanent wirksamen Ratelimitation vollständig und ersatzlos, wodurch insbesondere im Normalbetrieb gegenüber bekannten Ansätzen eine deutliche Performance-Steigerung bewirkt wird. Die Überwachung einer Differenz zwischen den beiden Sensor-Signalen Main, Sub bleibt in einem Fehlerfall, aber auch im Normalbetrieb weiterhin ohne Performance-Einbußen des Gesamtsystems aktiv. Im Fehlerfall werden im Gegensatz zum Normalbetrieb lediglich geänderte Fehlerlatenzzeiten Δt und Fehleramplituden vorgegeben. Diese Änderung wird einem Grad der Abweichung zwischen den beiden Sensor-Signalen Main, Sub entsprechend gestuft vorgegeben.
  • Damit ist ein Verfahren, das leicht in einer Vorrichtung mit Mitteln in Form zweier Auswerteeinheiten der Sensor-Signale Main, Sub mit einem Differenzbildner und einem mit diesen drei Signalen verbundenen Entscheider umsetzbar ist, geschaffen worden, das eine wesentliche Reduzierung einer Fehlerauswirkung bei Fehlfunktionen realisiert. Zudem wird eine Erhöhung der Fehleramplitude über die Wahl eines entsprechenden Schwellwertes W einer fortlaufenden Überwachung zur Erhöhung der Robustheit einer erfindungsgemäßen Vorrichtung geschaffen. Im vorliegenden Beispielfall ist bei einem Maximalwert für den Schwellwert W ein Handmoment von ca. 5 Nm und als Schwellwert W ein Handmoment von ca. 3 Nm ausgewählt worden. Die Vorrichtung zeichnete sich durch hohe Verfügbarkeit bei guten Ver hältnis zwischen Kosten und Nutzen aus. Mit gleicher Auswirkung kann eine zulässige Fehlerlatenzzeit Δt erhöht werden. Zudem kann zur generellen Funktionsverbesserung eine Ratelimitation vollständig entfallen.
    • 1
    Kraftfahrzeuglenkung
    2
    Momentensensor
    3
    Steuergerät
    4
    Elektromotor
    5
    Getriebeeinheit
    6
    Spurstange
    C
    Worst-Case Wert
    M
    Handmoment
    Max
    Maximalwert einer elektromotorischen Unterstützung
    K
    Sensorausgangssignal (in den Ursprung normiert)
    U
    Unterstützungskurve des Motormoments
    W
    Schwellwert
    Wmax
    Obergrenze des Schwellwertes W
    Δt
    Fehlerlatenzzeit
    Δtneu
    geänderte Fehlerlatenzzeiten
    Wneu
    angepasster Schwellwert

Claims (6)

  1. Verfahren zum Betreiben eines sicherheitskritischen Systems, das insbesondere als elektromotorische Servolenkung in einem Personenkraftfahrzeug eingesetzt wird, zu dessen Steuerung und/oder Regelung mindestens zwei redundante Sensor-Signale verwendet werden, dadurch gekennzeichnet, dass beide Sensor-Signale (Main, Sub) zur Prüfung auf eine Abweichung der Sensor-Signale (Main, Sub) voneinander verarbeitet werden und in dem Fall, dass ein Betrag der Differenz der beiden Sensor-Signale (Main, Sub) kleiner oder gleich einem Schwellwert (W) ist, das Sensor-Signal (Main) zum Sollwert (Soll) bestimmt wird, andernfalls im Fall eines Überschreitens eines Schwellwertes (W) durch die Differenz zwischen den beiden Sensor-Signalen (Main, Sub) ein Sollwert (Soll) auf Basis des Wertes des zweiten Sensor-Signals (Sub) bestimmt wird zu Sollwert Soll = Sub + W und im Falle eines Unterschreitens des Schwellwertes (W) durch die Differenz zwischen den beiden Sensor-Signalen (Main, Sub) der Sollwert als Soll = Sub – W bestimmt wird.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass der Schwellwert (W) zwischen einem Minimalwert und einem Maximalwert ausgewählt wird, wobei der Minimalwert statistische Fehler und Rauschen in den beiden Sensor-Signalen abdeckt und beim Maximalwert eine Systemreaktion noch ohne Sicherheitsrisiko auftritt.
  3. Verfahren nach Anspruch 2, dadurch gekennzeichnet, dass der Schwellwert ein fester Wert ist, der während der Entwicklung appliziert wird.
  4. Verfahren nach einem der Ansprüche 2 und 3, dadurch gekennzeichnet, dass der Schwellwert (W) nahe des Maximalwertes gewählt wird.
  5. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass in einem Fehlerfall im Gegensatz zu einem fehlerfreien Normalbetrieb geänderte Fehlerlatenzzeiten (Δtneu) und über einen Schwellwert (Wneu) angepasste Fehleramplituden vorgegeben werden.
  6. Vorrichtung zum Steuern eines automatisch schaltenden Getriebes in einem Kraftfahrzeug, dadurch gekennzeichnet, dass Mittel zum Durchführen eines Verfahrens nach einem der vorhergehenden Ansprüche vorgesehen sind, indem zwei Auswerteeinheiten eines Sensorsignals mit einem Differenzbildner und einem Entscheider verbunden sind.
DE200510024358 2005-05-27 2005-05-27 Verfahren und Vorrichtung zum Betreiben eines sicherheitskritischen Systems Withdrawn DE102005024358A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE200510024358 DE102005024358A1 (de) 2005-05-27 2005-05-27 Verfahren und Vorrichtung zum Betreiben eines sicherheitskritischen Systems

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE200510024358 DE102005024358A1 (de) 2005-05-27 2005-05-27 Verfahren und Vorrichtung zum Betreiben eines sicherheitskritischen Systems

Publications (1)

Publication Number Publication Date
DE102005024358A1 true DE102005024358A1 (de) 2006-11-30

Family

ID=37387701

Family Applications (1)

Application Number Title Priority Date Filing Date
DE200510024358 Withdrawn DE102005024358A1 (de) 2005-05-27 2005-05-27 Verfahren und Vorrichtung zum Betreiben eines sicherheitskritischen Systems

Country Status (1)

Country Link
DE (1) DE102005024358A1 (de)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102009000165A1 (de) * 2009-01-13 2010-07-15 Zf Lenksysteme Gmbh Verfahren zum Betreiben einer Hilfskraftlenkung
WO2019170746A1 (de) * 2018-03-06 2019-09-12 Konecranes Global Corporation Verfahren zur steuerung und insbesondere überwachung eines aktors, insbesondere einer winde, eines hebezeugs oder eines krans und system zur durchführung eines solchen verfahrens
US12030755B2 (en) 2018-03-06 2024-07-09 Konecranes Global Corporation Method for controlling and in particular monitoring an actuator, in particular of a winch, a hoist or a crane, and system for carrying out such a method

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4215630A1 (de) * 1992-05-12 1992-12-03 Zahnradfabrik Friedrichshafen Lenkung fuer kraftfahrzeuge
DE4219457A1 (de) * 1992-06-13 1993-12-16 Bosch Gmbh Robert Rechnersystem
US5365904A (en) * 1993-07-23 1994-11-22 Caterpillar Inc. Redundant speed sensor for engine control

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4215630A1 (de) * 1992-05-12 1992-12-03 Zahnradfabrik Friedrichshafen Lenkung fuer kraftfahrzeuge
DE4219457A1 (de) * 1992-06-13 1993-12-16 Bosch Gmbh Robert Rechnersystem
US5365904A (en) * 1993-07-23 1994-11-22 Caterpillar Inc. Redundant speed sensor for engine control

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102009000165A1 (de) * 2009-01-13 2010-07-15 Zf Lenksysteme Gmbh Verfahren zum Betreiben einer Hilfskraftlenkung
WO2019170746A1 (de) * 2018-03-06 2019-09-12 Konecranes Global Corporation Verfahren zur steuerung und insbesondere überwachung eines aktors, insbesondere einer winde, eines hebezeugs oder eines krans und system zur durchführung eines solchen verfahrens
US12030755B2 (en) 2018-03-06 2024-07-09 Konecranes Global Corporation Method for controlling and in particular monitoring an actuator, in particular of a winch, a hoist or a crane, and system for carrying out such a method

Similar Documents

Publication Publication Date Title
EP2828131B1 (de) Fremdkraftbremsanlage
WO2021089369A1 (de) Steer-by-wire-system
DE102014201107A1 (de) Verfahren und Vorrichtung zur Beschränkung eines unterstützenden Lenkmoments in einem Lenksystem mit elektronischer Lenkunterstützung
EP2331383B1 (de) Vorrichtung und verfahren zur steuerung einer elektrischen lenkung
DE102018130664B4 (de) Benachrichtigung über zahnstangenbegrenzungsbedingungen für steer-by-wire-lenksysteme
EP3661819B1 (de) Kontrollsystem für ein kraftfahrzeug, kraftfahrzeug, verfahren zur kontrolle eines kraftfahrzeugs, computerprogrammprodukt und computerlesbares medium
DE102019206980A1 (de) Verfahren und Lenkungssteuergerät zum Ermitteln einer Stellgröße für das Einstellen eines Servolenkmoments bei einem Fahrzeuglenksystem
EP1188640B1 (de) Vorrichtung und Verfahren zur elektronischen Steuerung eines einem Regelsystem zugeordneten Aktuators in Kraftfahrzeugen
DE102017220069B4 (de) Verfahren zum Betrieb eines Lenksystems in einem Fahrzeug
DE102016221565B4 (de) Verfahren zum Unterscheiden zwischen gewollten Lenkbewegungen eines Fahrers zur Beeinflussung eines gewollten Fahrpfades eines Kraftfahrzeuges von Korrekturlenkbewegungen des Fahrers als Reaktion auf unerwartete Abweichungen des Kraftfahrzeuges vom gewollten Fahrpfad sowie maschinenlesbarer Datenträger
DE102007024489A1 (de) Verfahren und Vorrichtung zum Schützen einer elektromechanischen Lenkung eines Kraftfahrzeugs
DE102019117222A1 (de) Steer-by-Wire-Lenksystem, Verfahren zum Betrieb eines Steer-by-Wire-Lenksystems und Fahrzeug
DE102012015988A1 (de) Lenksystem mit Vorderachslenkung und Hinterachslenkung sowie Verfahren zur Steuerung eines derartigen Lenksystems
EP3470301B1 (de) Lenkungssteuersystem für ein lenksystem eines kraftfahrzeuges sowie verfahren zum betreiben eines lenkungssteuersystems
DE102020213553A1 (de) Lenksystem und Verfahren zum Betreiben eines Lenksystems
DE102005024358A1 (de) Verfahren und Vorrichtung zum Betreiben eines sicherheitskritischen Systems
WO2016155914A1 (de) Verfahren zum betreiben eines lenksystems und lenksystem
DE19905433B4 (de) Aktives Lenksystem
DE102008055873B4 (de) Elektromechanisches Servo-Lenksystem und Verfahren zum Betreiben eines elektromechanischen Servo-Lenksystems
DE102016117748B4 (de) Verfahren und vorrichtung zum betreiben eines servolenksystems eines kraftfahrzeugs, servolenksystem
WO2021259820A1 (de) Sensoranordnung
DE102018202483B4 (de) Verfahren zum Betreiben eines Lenksystems sowie Lenksystem
DE102012102924B4 (de) Verfahren zum Betreiben einer Hilfskraftlenkung
BE1030848B1 (de) Lenksystem eines Kraftfahrzeugs und Verfahren zum Betreiben einer Lenkstellereinheit eines Kraftfahrzeugs bei einer Blockade eines gelenkten Rades
DE102019207615A1 (de) Verfahren zur Regelung einer Bewegung einer Lenkhandhabe eines Lenksystems

Legal Events

Date Code Title Description
OM8 Search report available as to paragraph 43 lit. 1 sentence 1 patent law
R012 Request for examination validly filed

Effective date: 20120306

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee