DE102007046731B4 - Verfahren zur Ansteuerung eines Aktuators in einem Kraftfahrzeug - Google Patents

Verfahren zur Ansteuerung eines Aktuators in einem Kraftfahrzeug Download PDF

Info

Publication number
DE102007046731B4
DE102007046731B4 DE200710046731 DE102007046731A DE102007046731B4 DE 102007046731 B4 DE102007046731 B4 DE 102007046731B4 DE 200710046731 DE200710046731 DE 200710046731 DE 102007046731 A DE102007046731 A DE 102007046731A DE 102007046731 B4 DE102007046731 B4 DE 102007046731B4
Authority
DE
Germany
Prior art keywords
hdc
acc
actuator
function
control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE200710046731
Other languages
English (en)
Other versions
DE102007046731A1 (de
Inventor
Walter Kagerer
Sonja De Castro Bonfim
Verena Reiser
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bayerische Motoren Werke AG
Original Assignee
Bayerische Motoren Werke AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bayerische Motoren Werke AG filed Critical Bayerische Motoren Werke AG
Priority to DE200710046731 priority Critical patent/DE102007046731B4/de
Publication of DE102007046731A1 publication Critical patent/DE102007046731A1/de
Application granted granted Critical
Publication of DE102007046731B4 publication Critical patent/DE102007046731B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/04Monitoring the functioning of the control system
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Regulating Braking Force (AREA)

Abstract

Verfahren zur Ansteuerung eines Aktors in einem Kraftfahrzeug, wobei eine mittels einer Ansteuerfunktion erzeugte Stellgröße für einen Aktor durch eine Sicherheitsfunktion überprüft wird und der Aktor in Abhängigkeit von der erzeugten Stellgröße angesteuert wird, dadurch gekennzeichnet, dass bei zumindest zwei Ansteuerfunktionen (F_ACC, F_HDC) und zumindest zwei Sicherheitsfunktionen (S_ACC, S_HDC), die jeweils eine Stellgröße und eine Freigabe (fr1a, fr2a, fr1b, fr2b) für den gleichen Aktor erzeugen, mittels einer Koordinatorinstanz (K), die ablauftechnisch zwischen den Ansteuerfunktionen (F_ACC, F_HDC) und den Sicherheitsfunktionen (S_ACC, S_HDC) auf der einen Seite und dem Aktor auf der anderen Seite angeordnet ist, die Ausgabe und Freigabe der von den Ansteuerfunktionen (F_ACC, F_HDC) erzeugten Stellgrößen an den Aktor koordiniert wird.

Description

  • Die Erfindung bezieht sich auf ein Verfahren zur Ansteuerung eines Aktors in einem Kraftfahrzeug nach dem Oberbegriff des Anspruchs 1.
  • Heutige Fahrzeuge sind mit vielen Zusatzsystemen ausgestattet, die den Fahrer bei bestimmten Fahrsituationen unterstützten. Diese sog. Fahrerunterstützungssysteme umfassen in der Regel eine Ansteuerfunktion, die zumindest eine Stellgröße ermittelt, welche über eine Schnittstelle an einen entsprechenden Aktor ausgegeben werden soll, so dass der Aktor diese Stellgröße umsetzt. Eine dieser Ansteuerfunktion zugeordnete Sicherheitsfunktion prüft nach Bilden der Stellgröße den Wert bzw. die Ausgabe auf Zulässigkeit und Plausibilität. Erkennt die Sicherheitsfunktion einen Fehler in der erzeugten Stellgröße, wird eine Ausgabe an den Aktor unterbunden.
  • Aufgrund der immer größer werdenden Anzahl von Zusatzfunktionen in einem Kraftfahrzeug kann ein Fahrzeug bspw. auch mit mehreren verschiedenen Ansteuerfunktionen ausgestattet sein, die aber jeweils eine Stellgröße für den gleichen Aktor ermitteln. Diese Ansteuerfunktionen können völlig unabhängig voneinander eine Stellgröße ermitteln, die anschließend von der zu dieser Ansteuerfunktion gehörigen Sicherheitsfunktion überprüft wird. Ist der Wert der Stellgröße in Ordnung, wird die Stellgröße an den Aktor weitergegeben. Unter gewissen Umständen kann es vorkommen, dass mehrere Ansteuerfunktionen eine gültige Stellgröße ermitteln, und diese zur Ansteuerung des Aktors ausgeben. Haben diese Stellgrößen unterschiedliche Werte, ist nicht klar, welche Stellgröße als Ansteuersignal verwendet werden soll. Um dieses Problem zu umgehen, wird eine Koordinatorfunktion eingeführt, die zwischen den Einzelstellgrößen priorisiert oder Übergänge schafft. Damit ist aber an der Schnittstelle „Koordinator-Aktor” nicht mehr klar, welche Ansteuerfunktion derzeit den Aktor anfordert und damit auch nicht, welche Sicherheitsfunktion den Sollwert überprüfen muß.
  • Aus der DE 199 49 051 A1 sind ein Verfahren sowie eine Vorrichtung zur Steuerung von Vorgängen, insbesondere zur Ansteuerung eines Aktors in einem Fahrzeug bekannt, wobei in einer Prozessoreinheit eine Stellgröße für einen Aktor erzeugt wird. Greifen bei der Erzeugung der Stellgröße zwei Prozessoreinheiten auf einen gleichen Bereich im Speichermodul zu, wird mittels einer Koordinationsschaltung der Zugriff auf die Ressource koordiniert.
  • Aufgabe der Erfindung ist es, ein Verfahren anzugeben, so dass die Schnittstelle lückenfrei von der der Ansteuerfunktion zugeordneten Sicherheitsfunktion, mindestens aber von einer übergreifenden Sicherheitsfunktion überwacht wird.
  • Diese Aufgabe wird durch ein Verfahren nach Anspruch 1 gelöst. Vorteilhafte Weiterbildungen ergeben sich aus den abhängigen Ansprüchen.
  • Es wird von einem Verfahren zur Ansteuerung eines Aktors in einem Kraftfahrzeug ausgegangen, das prinzipiell auf mehreren Steuergeräten ablaufen kann. Das System umfasst zumindest zwei Ansteuerfunktionen, die jeweils eine Stellgröße für einen Aktor erzeugen, die durch eine der Ansteuerfunktion und der Stellgröße zugeordnete Sicherheitsfunktion überprüft werden. Die Erfindung zeichnet sich dadurch aus, dass bei zumindest zwei Ansteuerfunktionen, die jeweils eine Stellgröße für den gleichen Aktor erzeugen können, eine Koordinatorinstanz vorgesehen ist, die (ablauftechnisch) zwischen den Sicherheitsfunktionen auf der einen Seite und dem Aktor auf der anderen Seite angeordnet ist. Die Koordinatorinstanz erhält somit Eingangssignale von den Ansteuerfunktionen und/oder den dazugehörigen Sicherheitsfunktionen, und gibt als Ausgangssignal ein Signal aus, das die Freigabe des Aktorsollwertes erlaubt. Diese Koordinatorinstanz koordiniert die Ausgabe der von den Sicherheitsfunktionen erzeugten Freigaben an den Aktor derart, dass nur eine, oder unter bestimmten Umständen keine Stellgröße an den Aktor freigegeben wird. Es wird eine Koordinatorinstanz installiert, die zwischen den Sicherheitsfunktionen der Ansteuerfunktionen lückenfrei hin- und herschaltet. Somit wird dem Aktor maximal eine Freigabe zur Stellgröße übermittelt.
  • Vorteilhafterweise überwacht die Koordinationsinstanz die aktuelle Zuständigkeit der Ansteuerfunktionen und koordiniert in Abhängigkeit von der aktuell zuständigen Ansteuerfunktion die Ausgaben der von der zuständigen Sicherheitsfunktion erzeugten Freigabe an den Aktor. Sind mehrere Ansteuerfunktionen zuständig, koordiniert die Koordinationsinstanz die Ausgabe einer der von den zuständigen Sicherheitsfunktionen erzeugten Freigaben an den Aktor.
  • Ist genau eine Ansteuerfunktion aktuell zuständig, koordiniert die Koordinationsinstanz vorteilhafterweise derart die Ausgabe, dass sie in Abhängigkeit von der aktuell zuständigen Ansteuerfunktion die von dieser Ansteuerfunktion erzeugte Stellgröße an den Aktor ausgibt, oder die Ausgabe der von dieser Ansteuerfunktion erzeugten Stellgröße zur Ausgabe an den Aktor freigibt, wenn die Sicherheitsfunktion der zuständigen Ansteuerfunktion eine Freigabe der erzeugten Stellgröße zulässt. Ist also nur eine Ansteuerfunktion zuständig, wird die Verantwortung an die dieser Ansteuerfunktion zugeordnete Sicherheitsfunktion übertragen. Ist der Koordinatorinstanz bekannt, dass genau eine Ansteuerungsfunktion aktiv ist und welche es ist, hängt es lediglich vom Ergebnis der Sicherheitsfunktion ab, ob die von dieser Ansteuerfunktion ermittelte Stellgröße zur Ansteuerung des Aktors freigegeben wird. Die Koordinatorinstanz schaltet dementsprechend bei positiver Überprüfung der erzeugten Stellgröße diese direkt durch an den Aktor oder gibt die Ausgabe der Stellgröße an den Aktor frei.
  • Sind zumindest zwei Ansteuerfunktionen gleichzeitig zuständig, die beide eine Stellgröße für den gleichen Aktor erzeugen können, dann koordiniert die Koordinatorinstanz vorteilhafterweise derart die Ausgabe der erzeugten Stellgrößen, dass sie in Abhängigkeit von den aktuell zuständigen Ansteuerfunktion eine von den zuständigen Ansteuerfunktionen erzeugte Stellgröße an den Aktor ausgibt oder die Ausgabe einer der von diesen Ansteuerfunktionen erzeugten Stellgrößen zur Ausgabe an den Aktor freigibt, wenn die Sicherheitsfunktion derjenigen Ansteuerfunktion, deren erzeugte Stellgröße an den Aktor ausgegeben werden soll, eine Freigabe dieser erzeugten Stellgröße zulässt. Anders ausgedrückt koordiniert die die Koordinationsinstanz bei zumindest zwei zuständigen Ansteuerfunktionen die Anforderungen an die Sicherheitsfunktionen. Die Koordination erfolgt je nach hinterlegter Funktionslogik, d. h. es wird eine der Freigaben in Abhängigkeit von vorgegebenen Bedingungen ausgewählt (z. B. und, oder, etc).
  • In einer vorteilhaften Ausgestaltung der Erfindung kann die Koordinatorinstanz auch derart die Ausgabe einer Stellgröße an den Aktor koordinieren, dass sie bei Vorliegen vorgegebener Bedingungen keine der von einer Ansteuerfunktion erzeugten Stellgröße an den Aktor ausgibt bzw. die Ausgabe keiner Stellgröße freigibt. Dies kann bspw. der Fall sein, wenn die Koordinatorinstanz erkennt, dass keine der erzeugten Stellgrößen für die Ansteuerung des Aktors geeignet ist. Ist beispielsweise aktuell keine der aktiven Ansteuerfunktionen, d. h. derjenigen Ansteuerfunktionen, die eine (zulässige) Stellgröße erzeugen, zuständig, übernimmt der Koordinator in einer vorteilhaften Ausgestaltung der Erfindung die Überwachung selbst, indem er die Ausgabe der erzeugten Stellgröße an den Aktor unterbindet. Eine vorgegebene Bedingung könnte folglich vorliegen, wenn keine Ansteuerfunktion zuständig ist und/oder wenn keine der zuständigen Ansteuerfunktionen eine Stellgröße erzeugt und/oder wenn keine Sicherheitsfunktion der zuständigen Ansteuerfunktionen eine Freigabe der erzeugten Stellgröße zulässt, insbesondere dann, wenn die Sicherheitsfunktion derjenigen Ansteuerfunktion, deren erzeugte Stellgröße an den Aktor übergeben werden soll, keine Freigabe dieser Stellgröße zulässt.
  • Vorteilhafterweise überwacht die Koordinatorinstanz die Zuständigkeit und ggf. auch die Aktivität der Ansteuerfunktionen durch Abbilden der verschieden Zustände innerhalb eines Zustandsdiagramms. Für jede Zuständigkeitsmöglichkeit (jede Ansteuerfunktion für sich, eine vorgegebene Kombination aus zwei oder mehreren Ansteuerfunktionen, und ein Zustand, indem keine Ansteuerfunktion zuständig ist) wird ein Zustand hinterlegt. Die einzelnen Zustände sind durch verschiedene Verbindungslinien bzw. Zustandsübergangsmöglichkeiten verbunden, wobei die Verbindungen der einzelnen Zustände in Abhängigkeit davon vorgegeben werden, ob ein Wechsel vom einen Aktivitätszustand in einen anderen möglicht ist. Ist dies nicht der Fall, ist zwischen den beiden Aktivitätszuständen keine Verbindung in diese Richtung abgebildet.
  • In der Regel sind die Sicherheitsfunktionen derart aufgebaut, dass sie neben der ansteuerfunktionsspezifischen Überwachung noch andere Sub-Funktionen zur Prüfung der ermittelten Stellgröße durchführen, die für einige oder alle Sicherheitsfunktionen (unabhängig von der Ansteuerfunktion) identisch sind. Um das gesamte Bordnetz schlanker gestalten zu können, übernimmt die Koordinatorinstanz vorteilhafterweise zumindest eine dieser übergreifenden Sub-Funktionen. Bei diesen Sub-Funktionen kann es sich bspw. um sog. Freigabeüberwachungsfunktionen (Bewertung ob die Freigabe der Sollgröße durch die zuständige Sicherheitsfunktion erlaubt ist), Abschaltmatrizen (Bewertung, welche Reaktion folgen soll), Abschaltreaktionsfunktionen (Unterbinden der Ansteuerung des Aktors) oder um Fehlerdokumentationsfunktionen (Speicherung von Fehlern mit Umweltbedingungen) handeln.
  • Die Ansteuerfunktionen sowie deren Sicherheitsfunktion(en) können auf unterschiedliche Steuergeräte aufgeteilt werden, so dass die Funktionen durch unterschiedliche Steuergeräte ausgeführt werden. Es kann sich aber auch zumindest eine der Ansteuerfunktionen sowie deren Sicherheitsfunktion(en) ein Steuergerät mit der Koordinatorinstanz teilen, so dass die entsprechenden Funktionen von einem Steuergerät durchgeführt werden.
  • Diese Steuerungseinheit bzw. dieser Systemaufbau kann für verschiedene Ansteuerfunktionen verwendet werden. So zeigt das nachfolgende Ausführungsbeispiel eine Steuerungseinheit mit einer erfindungsgemäßen Koordinatorinstanz, welche die Ausgabe einer von einer abstandsgeregelten Geschwindigkeitsregelfunktion oder einer Geschwindigkeitsregelfunktion bei Bergabfahrt erzeugten Stellgröße an den Aktor koordiniert. Dabei zeigt die
  • 1 einen stark vereinfachten Aufbau einer Koordinatorinstanz zum Koordinieren der Ausgabe der von Ansteuerfunktionen erzeugten Stellgrößen, und
  • 2 einen zur 1 detaillierter Darstellung der Koordinatorinstanz.
  • Die 1 zeigt im Gesamten ein System zur Ansteuerung eines hier nicht dargestellten Aktors in einem Kraftfahrzeug. Das Gesamtsystem umfasst eine als abstandsgeregelte Geschwindigkeitsfunktion F_ACC ausgestaltete erste Ansteuerfunktion und eine als Geschwindigkeitsregelfunktion bei Bergabfahrt F_HDC ausgestaltete zweite Ansteuerfunktion. Es können auch noch andere Ansteuerfunktionen vorhanden sein, die eine Stellgröße für den gleichen Aktor erzeugen. Jeder dieser Ansteuerfunktionen F_ACC und F_HDC bzw. jeder Schnittstelle, an die die Ansteuerfunktion F_ACC oder F_HDC eine Ausgabe in Form einer Stellgröße macht, ist eine Sicherheitsfunktion S_ACC bzw. S_HDC zugeordnet, welche die erzeugte und an der Schnittstelle auszugebende Stellgröße auf Zulässigkeit und Plausibilität überwacht. Der Einfachheit halber wird in diesem Beispiel davon ausgegangen, dass jede der Ansteuerfunktionen F_ACC und F_HDC nur eine Stellgröße für einen Aktor – bspw. den Antrieb – erzeugt.
  • Die zwei Ansteuerfunktionen F_ACC und F_HDC bzw. deren Sicherheitsfunktionen S_ACC und S_HDC stehen durch verschiedene Signale mit einer Koordinatorinstanz K in Verbindung, welche die Ausgabe der von den Ansteuerfunktionen F_ACC und F_HDC erzeugten – und den jeweiligen Sicherheitsfunktionen S_ACC und S_HDC überprüften – Stellgrößen an den Aktor koordiniert.
  • In der Koordinatorinstanz K ist ein Zustandsdiagramm ZD abgebildet welches die verschiedenen möglichen Aktivitätszustände und Aktivitätszustandskombinationen abbildet. Es kann entweder nur die erste Ansteuerfunktion F_ACC aktiv und zuständig sein (ACC), oder nur die zweite Ansteuerfunktion F_HDC (HDC), oder während eines Übergangs von der ersten Ansteuerfunktion F_ACC auf die zweite Ansteuerfunktion F_HDC beide Ansteuerfunktionen (ACC->HDC). Unter bestimmten Umständen kann auch ein Zustand AUS erreicht werden, bei dem keine (aktive) Ansteuerfunktion zuständig ist. Die von den einzelnen Zuständen ACC, ACC->HDC, HDC und AUS abgehenden Pfeile zeigen an, in welchen Zustand ausgehend vom aktuellen Zustand gewechselt werden kann.
  • Zusätzlich zu dem Zustandsdiagramm ZD umfasst die Koordinatorinstanz K mehrere übergreifende Sub-Funktionen SF1, SF2, SF3 und SF4, welche nach dem Stand der Technik normalerweise innerhalb jeder Sicherheitsfunktion S_ACC und S_HDC hinterlegt sind. Um das gesamte Bordnetz schlanker gestalten zu können, übernimmt die Koordinatorinstanz K diese übergreifenden Sub-Funktionen SF1, SF2, SF3 und SF4. Bei diesen Sub-Funktionen SF1, SF2, SF3 und SF4 kann es sich bspw. um sog. Freigabeüberwachungsfunktionen, Abschaltreaktionsfunktionen, Fehlerdokumentationsfunktionen oder um eine Abschaltmatrix handeln.
  • Um die Ausgabe der erzeugten Stellgrößen an den Aktor koordinieren zu können, werden zwischen der Koordinatorinstanz K und den Ansteuerfunktionen F_ACC und F_HDC folgende Signale ausgetauscht: Die Koordinatorinstanz K sendet an jede Ansteuereinheit F_ACC und F_HDC ein Aktivierungsfreigabe-Signal ak1 und ak2. Durch dieses Signal ak1 bzw. ak2 wird den Ansteuerfunktionen F_ACC und F_HDC bzw. deren Sicherheitsfunktionen S_ACC und S_HDC mitgeteilt, ob sie aus dem aktuell vorliegenden Zustand prinzipiell eine Freigabe zur Aktivierung einer Ansteuerfunktion oder zur Ausgabe einer Stellgröße an einen bestimmten Aktor erhalten. Die Ansteuerfunktionen F_ACC und F_HDC bzw. deren Sicherheitsfunktionen S_ACC und S_HDC senden ein Aktivierungszustands-Signal a1 bzw. a2, wenn sie gerade aktiv sind, d. h. eine Stellgröße für den entsprechenden Aktor erzeugen, ein Freigabesignal fr1 bzw. fr2, wenn die Sicherheitsfunktion S_ACC bzw. S_HDC eine Freigabe der erzeugten Stellgröße zulässt, und einen Fehlerstatus f1 bzw. f2, wenn die Sicherheitsfunktion S_ACC oder S_HDC einen Fehler bei der erzeugten Stellgröße erkennt und die Freigabe deshalb nicht zulässt.
  • In der 2 ist eine detaillierte Darstellung der Koordinatorinstanz K zum Aufzeigen der Signalauswertung und Signalerzeugung der einzelnen Signale dargestellt. Wie bereits unter 1 erwähnt, erhält die Koordinatorinstanz K von den jeweiligen Ansteuerfunktionen F_ACC und F_HDC bzw. deren Sicherheitsfunktionen S_ACC und S_HDC ein Aktivierungszustands-Signal a1 und a2, wenn die Ansteuerfunktionen aktiv sind und somit eine Stellgröße für den entsprechenden Aktor erzeugen. Anhand dieser Signale a1 und a2 und dem abgebildeten Zustandsdiagramm ZD ermittelt die Koordinatorinstanz K innerhalb einer Einheit AkF_ACC zur Bildung einer Aktivierungsfreigabe, ob prinzipiell eine Freigabe der Aktivierung der entsprechenden Ansteuerfunktion F_ACC bzw. F_HDC erlaubt ist. Ist eine Freigabe der Aktivierung der ersten Ansteuerfunktion F_ACC erlaubt, sendet die Koordinatorinstanz K, insbesondere die Einheit AkF_ACC eine Aktivierungsfreigabe-Signal ak1 an die entsprechende Sicherheitsfunktion S_ACC. Analog zur Einheit AkF_ACC ist eine Einheit AkF_HDC zur Bildung einer Aktivierungsfreigabe für die zweite Ansteuerfunktion F_HDC vorgesehen, welche ermittelt, ob für eine Freigabe der Aktivierung für diese zweite Ansteuerfunktion F_HDC erlaubt ist. Ist eine Freigabe der Aktivierung der zweiten Ansteuerfunktion F_HDC erlaubt, sendet die Koordinatorinstanz K, insbesondere die Einheit AkF_HDC eine Aktivierungsfreigabe-Signal ak2 an die entsprechende Sicherheitsfunktion S_HDC.
  • Weiter umfasst die Koordinatorinstanz K eine Einheit A_Antrieb und A_Bremse zur Bildung einer Ausgangsfreigabe für den Antrieb und die Bremse. Diese Einheiten A_Antrieb und A_Bremse erhalten als Eingangssignale die entsprechenden Freigabesignale fr1a, fr2a, fr1b und fr2b von der ersten und zweiten Ansteuerfunktion F_ACC und F_HDC bzw. deren Sicherheitsfunktion S_ACC und S_HDC. Erzeugt die erste Ansteuerfunktion F_ACC eine Stellgröße für den Antrieb und ist die Stellgröße nach Überprüfung durch die Sicherheitsfunktion S_ACC freigegeben, wird an die Einheit A_Antrieb ein Freigabesignal fr1a gesendet. Erzeugt die zweite Ansteuerfunktion F_HDC eine Stellgröße für den Antrieb und ist die Stellgröße nach Überprüfung durch die Sicherheitsfunktion S_HDC freigegeben, wird an die Einheit A_Antrieb ein Freigabesignal fr2a gesendet. Analog dazu wird an die Einheit A_Bremse ein Freigabesignal fr1 b bzw. fr2b gesendet, wenn die von der ersten bzw. zweiten Ansteuerfunktion F_ACC bzw. F_HDC erzeugte Stellgröße für die Bremse durch die entsprechende Sicherheitsfunktion S_ACC bzw. S_HCD freigegeben wurde. Die Einheiten A_Antrieb und A_Bremse senden an eine Freigabe-Überwachungseinheit Fr_Überw ein entsprechendes Signal, wenn einer Ansteuerung der entsprechenden Aktoren durch die Koordinatorinstanz K zugestimmt wird. Tritt bei der Ansteuerung ein Fehler auf, sendet die Freigabe-Überwachungseinheit Fr_Überw ein Fehlersignal f3 an eine Überwachungsmatrix Überw, welche in Abhängigkeit vom ermittelten Fehler eine Dokumentation des Fehlers in einer Fehlerdokumentation Dok Fehler, oder eine Abschaltreaktion Abs_Rea einleitet. Wird ein Fehler bereits bei der Ermittlung der Stellgröße durch die Sicherheitsfunktion S_ACC bzw. S_HDC erkannt, senden dies Sicherheitsfunktion S_ACC bzw. S_HDC ebenfalls ein Fehlersignal f1 bzw. f2 an die Fehler-Überwachungsmatrix Überw. Auf diese Fehler reagiert die Überwachungsmatrix analog zu oben.
  • Durch die erfindungsgemäße Koordinatorinstanz können durch gemeinsame Nutzung von Schnittstellen Synergieeffekte genutzt werden. Außerdem vermindern sich der Absicherungsaufwand und der Applikationsaufwand. Die Fehleranfälligkeit des oben beschriebenen Systems sinkt ebenfalls gegenüber dem Stand der Technik.

Claims (10)

  1. Verfahren zur Ansteuerung eines Aktors in einem Kraftfahrzeug, wobei eine mittels einer Ansteuerfunktion erzeugte Stellgröße für einen Aktor durch eine Sicherheitsfunktion überprüft wird und der Aktor in Abhängigkeit von der erzeugten Stellgröße angesteuert wird, dadurch gekennzeichnet, dass bei zumindest zwei Ansteuerfunktionen (F_ACC, F_HDC) und zumindest zwei Sicherheitsfunktionen (S_ACC, S_HDC), die jeweils eine Stellgröße und eine Freigabe (fr1a, fr2a, fr1b, fr2b) für den gleichen Aktor erzeugen, mittels einer Koordinatorinstanz (K), die ablauftechnisch zwischen den Ansteuerfunktionen (F_ACC, F_HDC) und den Sicherheitsfunktionen (S_ACC, S_HDC) auf der einen Seite und dem Aktor auf der anderen Seite angeordnet ist, die Ausgabe und Freigabe der von den Ansteuerfunktionen (F_ACC, F_HDC) erzeugten Stellgrößen an den Aktor koordiniert wird.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass mittels der Koordinationsinstanz (K) die aktuelle Zuständigkeit der Ansteuerfunktionen (F_ACC, F_HDC) überwacht wird und in Abhängigkeit von der aktuell zuständigen Ansteuerfunktion (ACC, HDC, ACC->HDC, AUS) oder den aktuell zuständigen Ansteuerfunktionen die Ausgabe und Freigabe der von der zuständigen Ansteuerfunktion (F_ACC, F_HDC) erzeugten Stellgröße, oder den zuständigen Ansteuerfunktionen (F_ACC, F_HDC) erzeugten Stellgrößen koordiniert wird.
  3. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass mittels der Koordinatorinstanz (K) derart die Ausgabe und Freigabe der erzeugten Stellgrößen koordiniert wird, dass die Koordinatorinstanz (K) bei genau einer zuständigen Ansteuerfunktion (F_ACC, F_HDC) in Abhängigkeit von der aktuell zuständigen Ansteuerfunktion (ACC, HDC) die von dieser Ansteuerfunktion erzeugte Stellgröße an den Aktor ausgibt oder die Ausgabe der von dieser Ansteuerfunktion (F_ACC, F_HDC) erzeugten Stellgröße zur Ausgabe an den Aktor freigibt, wenn die Sicherheitsfunktion (S_ACC, S_HDC) der zuständigen Ansteuerfunktion (F_ACC, F_HDC) eine Freigabe (fr1a, fr1b, fr2a, fr2b) der erzeugten Stellgröße zulässt.
  4. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass mittels der Koordinatorinstanz (K) derart die Ausgabe und Freigabe der erzeugten Stellgrößen koordiniert wird, dass die Koordinatorinstanz (K) bei zumindest zwei zuständigen Ansteuerfunktionen (F_ACC, F_HDC) in Abhängigkeit von den aktuell zuständigen Ansteuerfunktionen (ACC->HDC) eine von den zuständigen Ansteuerfunktionen (F_ACC, F_HDC) erzeugte Stellgröße an den Aktor ausgibt oder die Ausgabe einer der von diesen Ansteuerfunktionen (F_ACC, F_HDC) erzeugten Stellgrößen zur Ausgabe an den Aktor freigibt, wenn die Sicherheitsfunktion (S_ACC, S_HDC) derjenigen Ansteuerfunktion (F_ACC, F_HDC), deren erzeugte Stellgröße an den Aktor ausgegeben werden soll, eine Freigabe dieser erzeugten Stellgröße zulässt.
  5. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass mittels der Koordinatorinstanz (K) bei Vorliegen vorgegebener Bedingungen (AUS) keine von einer Ansteuerfunktion (F_ACC, F_HDC) erzeugte Stellgröße an den Aktor ausgibt oder keine erzeugten Stellgröße zur Ausgabe an den Aktor freigegeben wird.
  6. Verfahren nach Anspruch 5, dadurch gekennzeichnet, dass eine vorgegebene Bedingung vorliegt, wenn keine Ansteuerfunktion zuständig ist (AUS) oder wenn keine der zuständigen Ansteuerfunktionen eine Stellgröße erzeugt oder wenn die Sicherheitsfunktion der zuständigen Ansteuerfunktionen eine Freigabe der erzeugten Stellgröße nicht zulässt.
  7. Verfahren nach einem der Ansprüche 2 bis 6, dadurch gekennzeichnet, dass mittels der Koordinatorinstanz (K) die Zuständigkeit der Ansteuerfunktionen durch Abbilden eines Zustandsdiagramms (ZD) überwacht wird.
  8. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass mittels der Koordinatorinstanz (K) zusätzlich zumindest eine übergreifende Sub-Funktion (SF1, SF2, SF3, SF4, Dok_Fehler, Abs_Rea, Überw), welche für zumindest zwei Sicherheitsfunktionen (S_ACC, S_HDC) der Ansteuerfunktionen (F_ACC, F_HDC) identisch ist, ausgeführt wird.
  9. Verfahren nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass die Ansteuerfunktionen (F_ACC, F_HDC) und die dazugehörigen Sicherheitsfunktionen (S_ACC, S_HDC) durch ein Steuergerät, oder durch verschiedene Steuergeräte ausgeführt werden.
  10. Verfahren nach einem der vorangegangen Ansprüche, dadurch gekennzeichnet, dass es sich bei einer der Ansteuerfunktionen (F_ACC, F_HDC) um eine abstandsgeregelte Geschwindigkeitsfunktion (F_ACC) oder um eine Geschwindigkeitsregelfunktion bei Bergabfahrt (F_HDC) handelt.
DE200710046731 2007-09-28 2007-09-28 Verfahren zur Ansteuerung eines Aktuators in einem Kraftfahrzeug Active DE102007046731B4 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE200710046731 DE102007046731B4 (de) 2007-09-28 2007-09-28 Verfahren zur Ansteuerung eines Aktuators in einem Kraftfahrzeug

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE200710046731 DE102007046731B4 (de) 2007-09-28 2007-09-28 Verfahren zur Ansteuerung eines Aktuators in einem Kraftfahrzeug

Publications (2)

Publication Number Publication Date
DE102007046731A1 DE102007046731A1 (de) 2009-04-02
DE102007046731B4 true DE102007046731B4 (de) 2011-06-09

Family

ID=40384376

Family Applications (1)

Application Number Title Priority Date Filing Date
DE200710046731 Active DE102007046731B4 (de) 2007-09-28 2007-09-28 Verfahren zur Ansteuerung eines Aktuators in einem Kraftfahrzeug

Country Status (1)

Country Link
DE (1) DE102007046731B4 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102015203250A1 (de) 2015-02-24 2016-08-25 Zf Friedrichshafen Ag Sicherheitsvorrichtung und Verfahren zum Überführen eines Aktorsystems in einen sicheren Zustand, Aktorsystem und Verfahren zum Betreiben eines Aktorsystems

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102014224665A1 (de) * 2014-12-02 2016-06-02 Robert Bosch Gmbh Fahrerassistenzsteuergerät, Kraftfahrzeug, Verfahren zum Betreiben eines Fahrerassistenzsteuergeräts eines Kraftfahrzeugs
DE102019134872B4 (de) * 2019-12-18 2021-07-22 HELLA GmbH & Co. KGaA Verbesserung der Betriebsparameter eines Rechensystems im Fahrzeug

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19949051A1 (de) * 1999-10-11 2001-04-12 Bosch Gmbh Robert Verfahren und Vorrichtung zur Steuerung von Vorgängen in einem Fahrzeug
DE10340369A1 (de) * 2003-09-02 2005-03-24 Zf Lenksysteme Gmbh Verfahren zur Steuerung mindestens einer Stelleinrichtung
US7162346B2 (en) * 2003-06-19 2007-01-09 Ford Global Technologies, Llc Vehicle control method and apparatus
DE102006029514B3 (de) * 2006-06-27 2007-05-31 Atmel Germany Gmbh Schaltungsanordnung und Verfahren zum Steuern mindestens eines Aktors in einem Kraftfahrzeug

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19949051A1 (de) * 1999-10-11 2001-04-12 Bosch Gmbh Robert Verfahren und Vorrichtung zur Steuerung von Vorgängen in einem Fahrzeug
US7162346B2 (en) * 2003-06-19 2007-01-09 Ford Global Technologies, Llc Vehicle control method and apparatus
DE10340369A1 (de) * 2003-09-02 2005-03-24 Zf Lenksysteme Gmbh Verfahren zur Steuerung mindestens einer Stelleinrichtung
DE102006029514B3 (de) * 2006-06-27 2007-05-31 Atmel Germany Gmbh Schaltungsanordnung und Verfahren zum Steuern mindestens eines Aktors in einem Kraftfahrzeug

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102015203250A1 (de) 2015-02-24 2016-08-25 Zf Friedrichshafen Ag Sicherheitsvorrichtung und Verfahren zum Überführen eines Aktorsystems in einen sicheren Zustand, Aktorsystem und Verfahren zum Betreiben eines Aktorsystems

Also Published As

Publication number Publication date
DE102007046731A1 (de) 2009-04-02

Similar Documents

Publication Publication Date Title
EP2183136B1 (de) Bremssystem für ein fahrzeug und ein verfahren zum betreiben eines bremssystems für ein fahrzeug
EP2176106B1 (de) Bremssystem für ein fahrzeug und verfahren zum betreiben eines bremssystems für ein fahrzeug
DE19861144C2 (de) Elektrisches Bremssystem für ein Kraftfahrzeug
DE102013007857B4 (de) Verfahren zum Betrieb eines Bremssystems beim vollautomatischen Fahren und Kraftfahrzeug
EP3697654B1 (de) Redundanzarchitektur für systeme der hochautomatisierung
DE102020116410A1 (de) Vorrichtung zur Steuerung einer Bremse eines autonomen Fahrzeugs
EP3661819B1 (de) Kontrollsystem für ein kraftfahrzeug, kraftfahrzeug, verfahren zur kontrolle eines kraftfahrzeugs, computerprogrammprodukt und computerlesbares medium
WO2006037415A1 (de) Längsdynamiksteuervorrichtung für kraftfahrzeuge
DE102013020177A1 (de) Kraftfahrzeug
DE112020000597T5 (de) Bremssystem
EP2099667B2 (de) Verfahren zum sicherstellen oder aufrechterhalten der funktion eines komplexen sicherheitskritischen gesamtsystems
EP1401690A1 (de) Verfahren zur ansteuerung einer komponente eines verteilten sicherheitsrelevanten systems
DE10142511B4 (de) Fehlerbehandlung von Softwaremodulen
DE19826130A1 (de) Elektromechanisches Bremssystem für ein Kraftfahrzeug
EP1966008A1 (de) Verfahren zur verteilung von softwaremodulen
DE102007046731B4 (de) Verfahren zur Ansteuerung eines Aktuators in einem Kraftfahrzeug
WO2005021347A1 (de) Notbremseinrichtung und bremssystem für ein schienenfahrzeug sowie verfahren zum sicherstellen einer notbremsfunktion bei schienenfahrzeugen
DE102012219533A1 (de) Bremsanlage für Kraftfahrzeuge
DE102016007149A1 (de) Verfahren zum Überwachen einer ABS-Regelung in einem elektrisch steuerbaren Bremssystem sowie elektronisch steuerbares Bremssystem
DE102006045153A1 (de) System und Verfahren zum Verteilen und Ausführen von Programmcode in einem Steuergerätenetzwerk
EP3720756A1 (de) Verfahren zum betreiben einer lenkvorrichtung und lenkvorrichtung
DE102019134872B4 (de) Verbesserung der Betriebsparameter eines Rechensystems im Fahrzeug
EP4077075B1 (de) Systemarchitektur eines elektronischen bremssystems
DE102022106664A1 (de) Verfahren zum Betätigen eines Sensorsystems, Sensorsystem, Fahrzeug, Computerprogrammprodukt und Speichermedium
DE102004056926B4 (de) Verfahren zur Verbesserung von Komfort und Sicherheit in Fahrzeugen

Legal Events

Date Code Title Description
OM8 Search report available as to paragraph 43 lit. 1 sentence 1 patent law
8110 Request for examination paragraph 44
R020 Patent grant now final

Effective date: 20110910