DE102012209144A1 - Method for transferring electrical drive system to safe state, involves switching off arrangement access to power supply over switching off path, where switching off path is formed such that path is tested in regular time spacings - Google Patents

Method for transferring electrical drive system to safe state, involves switching off arrangement access to power supply over switching off path, where switching off path is formed such that path is tested in regular time spacings Download PDF

Info

Publication number
DE102012209144A1
DE102012209144A1 DE201210209144 DE102012209144A DE102012209144A1 DE 102012209144 A1 DE102012209144 A1 DE 102012209144A1 DE 201210209144 DE201210209144 DE 201210209144 DE 102012209144 A DE102012209144 A DE 102012209144A DE 102012209144 A1 DE102012209144 A1 DE 102012209144A1
Authority
DE
Germany
Prior art keywords
path
switching
arrangement
power supply
level
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE201210209144
Other languages
German (de)
Inventor
Chengxuan Fu
Wilfried FEUCHTER
Rene Bischof
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE201210209144 priority Critical patent/DE102012209144A1/en
Publication of DE102012209144A1 publication Critical patent/DE102012209144A1/en
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01RMEASURING ELECTRIC VARIABLES; MEASURING MAGNETIC VARIABLES
    • G01R31/00Arrangements for testing electric properties; Arrangements for locating electric faults; Arrangements for electrical testing characterised by what is being tested not provided for elsewhere

Abstract

The method involves providing an arrangement (100) for cutting off a power supply (112) with control devices (102, 104), where an arrangement access of the arrangement to the power supply is switched off over a switching off path (120). The switching off path is formed such that the path is tested in regular time spacings. An energy management system is additionally used for controlling the power supplies. The power supply cutting off arrangement is used for monitoring a three-level design. An independent claim is also included for an arrangement for switching off a power supply of an electric drive system.

Description

Die Erfindung betrifft ein Verfahren zur Überführung eines elektrischen Antriebsystems in einen sicheren Zustand durch Abschaltung der Energieversorgung und eine Anordnung zur Durchführung des Verfahrens.The invention relates to a method for transferring an electric drive system to a safe state by switching off the power supply and an arrangement for carrying out the method.

Stand der TechnikState of the art

In Kraftfahrzeugen werden Steuergeräte zur Steuerung und Regelung der Komponenten eingesetzt. So ist u.a. ein Motorsteuergerät zur Steuerung und Regelung des Motors vorgesehen. Für den sicheren Betrieb des Kraftfahrzeugs ist es unerlässlich, die korrekte Funktionsweise des überwachten Steuergeräts kontinuierlich zu überprüfen und ggf. eine Energieversorgung abzuschalten.In motor vehicles, control devices are used to control and regulate the components. So is u.a. an engine control unit is provided for controlling and regulating the engine. For the safe operation of the motor vehicle, it is essential to continuously check the correct functioning of the monitored control unit and possibly switch off a power supply.

Bei Fahrzeugen mit einem sogenannten elektronischen Motorfüllungssteuerungssystem (EGAS) muss bspw. das 3-Ebenen-Konzept im Motorsteuergerät implementiert werden. Das 3-Ebenen-Konzept beruht auf der gegenseitigen Überwachung von Funktionsrechner und separatem Überwachungsmodul, dem sogenannten Watchdog. Der Funktionsrechner und das Überwachungsmodul kommunizieren über eine Frage/Antwort-Kommunikation und besitzen getrennte Abschaltpfade, über die die Leistungsendstufen bei Fehlerfällen abgeschaltet werden können und somit die Sicherheit des Fahrzeugs gewährleisten werden kann.In vehicles with a so-called electronic engine fill control system (EGAS), for example, the 3-level concept must be implemented in the engine control unit. The 3-level concept is based on the mutual monitoring of function computer and separate monitoring module, the so-called watchdog. The function computer and the monitoring module communicate via a question / answer communication and have separate shutdown paths, via which the power output stages can be switched off in case of faults and thus ensure the safety of the vehicle.

Die erste Ebene bzw. Ebene 1 bezeichnet die eigentliche Funktionssoftware, die zum Motorbetrieb notwendig ist. Diese wird auf dem Funktionsrechner ausgeführt. In der zweiten Ebene bzw. Ebene 2, die ebenfalls auf dem Funktionsrechner ausgeführt wird, wird anhand eines vereinfachten Motormodells ein zulässiges Moment mit einem Motor-Istmoment verglichen. Diese Ebene wird in einem durch die dritte Ebene bzw. Ebene 3 abgesicherten Hardwarebereich durchgeführt. Bestandteil der dritten Ebene ist der Befehlstest, die Programmablaufkontrolle, der A/D-Wandler-Test sowie zyklische und vollständige Speichertests.The first level or level 1 denotes the actual functional software, which is necessary for engine operation. This is executed on the function computer. In the second level or level 2, which is also executed on the function calculator, a permissible torque is compared with an actual engine torque based on a simplified engine model. This level is carried out in a hardware area protected by the third level or level 3. Part of the third level is the command test, the program flow control, the A / D converter test and cyclic and complete memory tests.

Bei aktuellen elektronischen Motorfüllungssteuerungssystemen befindet sich die gesamte Funktions- und Überwachungssoftware in einem Steuergerät. Aus der Druckschrift DE 44 38 714 A1 sind ein Verfahren und eine Vorrichtung zur Steuerung der Antriebsleistung eines Kraftfahrzeugs bekannt. Hierbei wird nur ein Rechenelement zur Durchführung von Steuerungs- und Überwachungsfunktionen eingesetzt. In diesem Rechenelement sind wenigstens zwei voneinander unabhängige Ebenen festgelegt, wobei die erste Ebene die Steuerungsfunktionen und die zweite Ebene Überwachungsfunktionen ausführt. Zu beachten ist, dass das 3-Ebenen Konzept im Vergleich zu dem 2-Rechner Konzept, welches oft in ABS/ESP-Systemen verwendet wird, kostengünstiger ist.With current electronic engine fill control systems, all the functionality and monitoring software is in one controller. From the publication DE 44 38 714 A1 For example, a method and a device for controlling the drive power of a motor vehicle are known. In this case, only one computing element is used to perform control and monitoring functions. At least two mutually independent planes are defined in this computing element, wherein the first level carries out the control functions and the second level carries out monitoring functions. It should be noted that the 3-level concept is more cost-effective compared to the 2-computer concept, which is often used in ABS / ESP systems.

Aus der Druckschrift DE 103 31 872 A1 ist ein Verfahren zur Überwachung eines Systems mit vernetzten Steuergeräten bekannt, wobei die Steuergeräte jeweils wenigstens ein Rechenelement aufweisen und jeweils überwachungsrelevante Steuerungsvorgänge sowie Überwachungsvorgänge durchführen. Die Steuergeräte kommunizieren miteinander über ein Bussystem. Die Funktionen und Module der zweiten Ebene sind auf alle in dem Netzverbund angeschlossenen Steuergeräte frei verteilbar. Weiterhin ist in der Druckschrift beschrieben, dass die Kommunikationskomponente des steuergeräteübergreifenden Softwarerahmens Fehlerreaktionenanforderungen und Funktionsgrößen anderer Steuergeräte über das Bussystem einliest, den Modulen und Komponenten des steuergeräteübergreifenden Softwarerahmens zur Verfügung stellt und über das Bussystem an andere Steuergeräte wieder abgibt.From the publication DE 103 31 872 A1 a method for monitoring a system with networked control units is known, wherein the control units each have at least one computing element and each perform monitoring-relevant control operations and monitoring operations. The control units communicate with each other via a bus system. The functions and modules of the second level are freely distributable to all controllers connected in the network. Furthermore, it is described in the document that the communication component of the cross-ECU software frame reads error reaction requests and functional variables of other control devices via the bus system, provides the modules and components of the ECU cross-software frame and makes it over the bus system to other control devices again.

Die verteilte Überwachung auf mehreren Steuergeräten hat den Vorteil, dass die Ausfallwahrscheinlichkeit der Überwachungsfunktionalitäten durch zusätzliche Redundanz reduziert werden kann. Damit kann die verteilte Überwachung ein höheres Sicherheitsniveau bzw. eine höhere Automotive Safety Integrity Level (ASIL Level) als das 3-Ebenen Konzept erreichen.The distributed monitoring on several control devices has the advantage that the probability of failure of the monitoring functionalities can be reduced by additional redundancy. This means that distributed monitoring can achieve a higher level of safety or a higher level of Automotive Safety Integrity (ASIL) than the 3-level concept.

Bei Elektrofahrzeugen oder Hybrid-Fahrzeugen werden für das Elektroantriebsystem höhere ASIL Level als bei Verbrennungsmotoren gefordert, weil Elektromotoren in beide Richtungen ab Drehzahl Null ein maximales Drehmoment abgeben können. Ein Fehler in der Elektromotorsteuerung könnte bspw. ein ungewolltes maximales negatives Moment bewirken, was wiederum zu einer Blockade der Hinterachse und somit zum Schleudern des fahrenden Fahrzeugs führen könnte.With electric vehicles or hybrid vehicles, the electric drive system requires higher ASIL levels than internal combustion engines because electric motors can deliver maximum torque in both directions from zero speed. An error in the electric motor control could, for example, cause an undesired maximum negative torque, which in turn could lead to a blockage of the rear axle and thus to the skid of the moving vehicle.

Um höhere ASIL Level zu erreichen, wird das verteilte Überwachungskonzept eingesetzt. Dabei werden die Software-Module der zweiten Ebene auf zwei oder mehreren Steuergeräten dupliziert, so dass die Module der ersten Ebene in einem Steuergerät von den Modulen der zweiten Ebene aus beiden oder mehreren Steuergeräten überwacht werden. Die verteilten Module der zweiten Ebene kommunizieren mit der eigentlichen ersten Ebene und der zweiten Ebene über Kommunikationsnetzwerke, wie z.B. CAN, FlexRay oder Ethernet. To achieve higher ASIL levels, the distributed monitoring concept is used. In this case, the software modules of the second level are duplicated on two or more control units, so that the modules of the first level in a control unit are monitored by the modules of the second level of two or more control units. The distributed second-level modules communicate with the actual first level and the second level via communication networks, such as e.g. CAN, FlexRay or Ethernet.

Ein mögliches Abschaltkonzept bei der verteilten Überwachung ist die Abschaltung der Energieversorgung. Beide Steuergeräte können über eine Kommunikationsschnittstelle, bspw. CAN-Bus, FlexRay, Ethernet, SPI, Abschaltanforderungen an ein Energiemanagementsystem senden. Dies schaltet dann die Energieversorgung für das gesamte System ab.A possible shutdown concept for distributed monitoring is the shutdown of the power supply. Both control units can via a communication interface, for example. CAN bus, FlexRay, Ethernet, SPI, shutdown requests to a Send energy management system. This then shuts off the power supply to the entire system.

Ein solcher beschriebener Abschaltpfad muss mindestens ein Mal pro Fahrzyklus getestet werden, um seine ordnungsgemäße Arbeitsweise im Fehlerfall sicherzustellen. Ein möglicher Fehler im Abschaltpfad (Abschaltung Energieversorgung) ist ein schlafender Fehler, der in Kombination mit einem anderen Fehler zu einer Gefährdung führen kann. Ein schlafender Fehler muss detektiert werden können.Such a described shutdown path must be tested at least once per drive cycle to ensure its proper operation in the event of a fault. A possible fault in the shutdown path (shutdown of the power supply) is a sleeping fault that, in combination with another fault, can cause a hazard. A sleeping error must be detected.

Aus der Druckschrift DE 101 52 273 B4 sind ein Verfahren und eine Vorrichtung zur Überwachung eines redundanten Abschaltpfads für ein Kraftfahrzeug bekannt. Bei diesen ist vorgesehen, während einer Initialisierungsphase eines Steuergeräts durch eine Simulation einer Abschaltung die Funktionsfähigkeit des redundanten Abschaltpfads zu überprüfen. Dabei werden eine Pufferspannung und eine Spannungshöhe einer Piezoendstufe ausgewertet. Der Test des Abschaltpfads kann mehrere Testblöcke umfassen.From the publication DE 101 52 273 B4 For example, a method and an apparatus for monitoring a redundant shutdown path for a motor vehicle are known. In these, it is provided to check the functionality of the redundant shutdown path during an initialization phase of a control unit by simulating a shutdown. In this case, a buffer voltage and a voltage level of a piezo output stage are evaluated. The test of the shutdown path may include multiple test blocks.

Die Druckschrift DE 10 2006 018 053 A1 beschreibt ein Ansteuersystem für eine permanenterregte elektrische Maschine. Zur Abschaltung der Ansteuerung der elektrischen Maschine wird bei diesem ein Dreiphasenkurzschluss der Leistungsendstufen durchgeführt. Auf diese Weise wird erreicht, das Bremsmoment einer abgeschalteten und noch drehenden elektrischen Maschine zu reduzieren.The publication DE 10 2006 018 053 A1 describes a drive system for a permanent-magnet electric machine. To shut off the control of the electric machine, a three-phase short circuit of the power output stages is performed in this. In this way it is achieved to reduce the braking torque of a switched off and still rotating electrical machine.

Nachteilig bei bekannten Abschaltkonzepten ist, dass diese ein hohes ASIL Level in dem Energiemanagementsystem voraussetzen. Die Abschaltfunktionalität muss "eigensicher" sein. Häufig werden in einem Fahrzeug Komponenten von unterschiedlichen Zulieferern eingesetzt, so dass z.B. der Lieferant für das Antriebssystem nicht das Energiemanagementsystem liefert. Somit ist der Lieferant des Antriebssystems nicht allein für die Sicherheit seines Systems verantwortlich, sondern er ist auch abhängig von anderen Zulieferern.A disadvantage of known shutdown concepts is that they require a high ASIL level in the energy management system. The shutdown functionality must be "intrinsically safe". Frequently in a vehicle components from different suppliers are used, so that e.g. the supplier for the drive system does not supply the energy management system. Thus, the supplier of the drive system is not only responsible for the safety of his system, but he is also dependent on other suppliers.

Weiterhin ist zu beachten, dass das Hauptschütz, bspw. ein Unterbrecher-Relais, in dem Batteriesystem in der Regel nicht unter Last geöffnet werden sollte, da dies zu einer Beschädigung oder gar Zerstörung des Hauptschützes führen kann. Daher führt eine Abschaltung, um bspw. diese zu testen, zu einem erhöhten Wartungsaufwand und zusätzlichen Kosten. Außerdem wird durch diese Eigenschaft das Testen der Abschaltung während der Entwicklung erschwert.Furthermore, it should be noted that the main contactor, for example, a breaker relay, in the battery system should not be opened under load as a rule, as this may lead to damage or even destruction of the main contactor. Therefore, a shutdown, for example, to test these leads to increased maintenance and additional costs. In addition, this feature makes it difficult to test shutdown during development.

Offenbarung der ErfindungDisclosure of the invention

Vor diesem Hintergrund werden ein Verfahren nach Anspruch 1 und eine Anordnung mit den Merkmalen des Anspruchs 6 vorgestellt. Ausgestaltungen ergeben sich aus den abhängigen Ansprüchen und der Beschreibung.Against this background, a method according to claim 1 and an arrangement with the features of claim 6 are presented. Embodiments result from the dependent claims and the description.

Mit dem vorgestellten Verfahren wird erstmalig ein Abschaltpfadtest für die Abschaltung der Energieversorgung im Automotive-Bereich genutzt. Dabei erfolgt eine indirekte Abschaltung der leistungs- und momentenbestimmenden Endstufen aufgrund der abgeschalteten Energieversorgung. Auf diese Weise ist es möglich, die Fehlerreaktionszeit konstant und damit berechenbar und reproduzierbar zu halten. Bei dem Verfahren wird eine Energieversorgung abgeschaltet, um ein elektrisches Antriebssystem in einen sicheren Zustand zu überführen. Mittels Frage-Antwort-Kommunikation kann zudem sichergestellt werden, dass der Kommunikationsweg, bspw. eine Kommunikationsschnittstelle, zur Energieversorgung sowie die sendende und die empfangende Kommunikationseinheit noch funktionsfähig sind.For the first time, the shutdown path test for switching off the power supply in the automotive sector is used with the presented method. In this case, there is an indirect shutdown of the power and torque-determining output stages due to the disconnected power supply. In this way it is possible to keep the error reaction time constant and thus calculable and reproducible. In the method, a power supply is turned off to bring an electric drive system to a safe state. By means of question-answer communication it can also be ensured that the communication path, for example a communication interface, for the energy supply as well as the transmitting and the receiving communication unit are still functional.

Der Test des Abschaltpfads findet bspw. im sogenannten "Steuergeräte-Nachlauf" statt. Nachlauf bezeichnet die Phase, nachdem der Fahrer das Fahrzeug ausgeschaltet hat („Klemme 15“), aber das Steuergerät noch einige Dinge erledigt, wie bspw. die Ansteuerung der Lüfter, die Speicherung von Daten in EEPROM, bevor es sich komplett ausschaltet. Der Test findet bei dieser Ausführung nicht in der Steuergerätinitialisierung statt, da davon auszugehen ist, dass die Hauptschütze zur Energieversorgung zunächst geöffnet sind. Außerdem würde der Test die Initialisierungsdauer des Steuergeräts zu stark verlängern, so dass die Verfügbarkeit des Systems verschlechtert wird, der Fahrer also bspw. erst einige Sekunden warten muss, um das Fahrzeug zu starten und loszufahren.The test of Abschaltpfads takes place, for example, in the so-called "control unit overrun" instead. Caster refers to the phase after the driver has switched off the vehicle ("terminal 15"), but the controller still does some things, such as controlling the fans, storing data in EEPROM before it completely shuts off. The test does not take place in this version in the ECU initialization, since it can be assumed that the main contactors are initially open for power supply. In addition, the test would extend the initialization time of the controller too much, so that the availability of the system is deteriorated, so the driver, for example. Wait a few seconds to start the vehicle and go.

Wenn alle Bedingungen für den Start des Abschaltpfadtests erfüllt sind, bspw. dass kein Strom mehr über die (Batterie-)Hauptschütze fließt, was notwendig ist, da das Hauptschütz ansonsten irreversibel beschädigt wird, wird eine Abschaltung durch das Software-Testmodul, bspw. aus einem Steuergerät, angetriggert.If all the conditions for the start of the shutdown path test are met, for example, that no more current flows through the (battery) main contactors, which is necessary because otherwise the main contactor is irreversibly damaged, a shutdown by the software test module, for example a control unit, triggered.

Das Software-Testmodul hat nun mehrere Möglichkeiten die Abschaltung zu überprüfen.The software test module now has several options for checking the shutdown.

Eine einfache Methode besteht darin, die Rückmeldung aus dem Batterie Management Steuergerät (BMS) zu überprüfen. Falls das BMS zurückmeldet, dass die Hauptschütze erfolgreich aufgrund des Abschaltbefehls geöffnet worden sind, wird der Test erfolgreich beendet.A simple method is to check the feedback from the Battery Management Controller (BMS). If the BMS reports back that the main contactors have been successfully opened due to the shutdown command, the test is successfully completed.

Eine aufwendigere aber sicherere Methode kann durchgeführt werden, indem zusätzlich der Abfall der Hochvolt-Spannungsversorgung in dem eigenen Steuergerät überprüft wird. Dabei wird nach dem Senden des Abschaltbefehls eine geeignet definierte Zeit abgewartet. Anschließend wird leistungsstufenseitig die noch zur Verfügung stehende Spannung gemessen. Ist die Spannung kleiner als eine bestimmte Schwelle, unter der die Endstufen des Steuergeräts nicht mehr aktiviert werden können und somit das Fahrzeug nicht mehr bewegt werden kann, dann wird der Test erfolgreich abgeschlossen. A more complex but safer method can be performed by additionally checking the drop in the high-voltage power supply in your own control unit. In this case, a suitably defined time is waited after sending the shutdown command. Subsequently, the still available voltage is measured on the power stage side. If the voltage is less than a certain threshold, under which the power amplifiers of the control unit can not be activated and thus the vehicle can not be moved, then the test is completed successfully.

Falls der Test fehlerhaft beendet ist, wird keine sofortige Reaktion ausgelöst, da das Fahrzeug bereits ausgeschaltet ist. Das Testmodul speichert stattdessen den Fehler im nicht flüchtigen Speicher des Steuergeräts bzw. der Steuergeräte ab. Zu Beginn des nächsten Fahrzyklus wird dann dieser Fehler ausgewertet und ggf. ein Fehlerzähler inkrementiert. Ist der Fehlerzähler größer als eine applizierbare Schwelle, wird ein irreversibler Fehler gesetzt, der den (Gesamt-)Systemstart verhindert, so dass die Moment stellenden Endstufen abgeschaltet sind und das Fahrzeug nicht mehr bewegt werden kann. Erst nach einem erneuten Test der Abschaltung, welcher erfolgreich abgeschlossen werden muss, kann dieser Zustand wieder verlassen werden.If the test is terminated incorrectly, no immediate reaction is triggered because the vehicle is already switched off. Instead, the test module stores the error in the non-volatile memory of the control unit or the control units. At the beginning of the next drive cycle, this error is then evaluated and, if necessary, an error counter is incremented. If the error counter is greater than an applicable threshold, an irreversible error is set, which prevents the (overall) system start, so that the momentary end stages are switched off and the vehicle can no longer be moved. Only after a new test of the shutdown, which must be completed successfully, this state can be left again.

Um die eigentliche Kommunikationsschnittstelle zu überprüfen, erfolgt eine zyklische Frage-Antwort-Kommunikation. Sollte nach einer erfolgten Frage die erwartete Antwort nicht korrekt, d.h. bspw. nicht in einem erwarteten Zeitfenster oder mit falschem Antwortbeitrag, zurückübermittelt werden, so soll ebenfalls das Abschalten der Hochvolt-Spannungsversorgung erfolgen. Zur Bildung der Frage bzw. zur Kontrolle der korrekten Antwort kann das aus dem 3-Ebenen-Konzept bekannte Überwachungsmodul des Energiemanagement-Systems, erweitert um den zusätzlichen Kommunikationsschnittstellentest-Teil, genutzt werden.In order to check the actual communication interface, a cyclic question-answer communication takes place. If, after a successful question, the expected answer is not correct, i. For example, not in an expected time window or with an incorrect response, to be returned, so also the shutdown of the high voltage power supply. To form the question or to check the correct answer, the monitoring module of the energy management system known from the 3-level concept can be used, supplemented by the additional communication interface test part.

Weitere Vorteile und Ausgestaltungen der Erfindung ergeben sich aus der Beschreibung und den beiliegenden Zeichnungen.Further advantages and embodiments of the invention will become apparent from the description and the accompanying drawings.

Es versteht sich, dass die voranstehend genannten und die nachstehend noch zu erläuternden Merkmale nicht nur in der jeweils angegebenen Kombination, sondern auch in anderen Kombinationen oder in Alleinstellung verwendbar sind, ohne den Rahmen der vorliegenden Erfindung zu verlassen.It is understood that the features mentioned above and those yet to be explained below can be used not only in the particular combination indicated, but also in other combinations or in isolation, without departing from the scope of the present invention.

Kurze Beschreibung der ZeichnungenBrief description of the drawings

1 zeigt eine Anordnung zur Realisierung eines Überwachungskonzepts gemäß dem Stand der Technik; 1 shows an arrangement for implementing a monitoring concept according to the prior art;

2 zeigt die Anordnung aus 1 erweitert um ein Abschaltkonzept; 2 shows the arrangement 1 extended with a shutdown concept;

3 zeigt eine erste Ausführungsform der vorgestellten Anordnung zur Durchführung des beschriebenen Verfahrens; 3 shows a first embodiment of the proposed arrangement for carrying out the method described;

4 zeigt eine zweite Ausführungsform der Anordnung; 4 shows a second embodiment of the arrangement;

5 zeigt eine dritte Ausführungsform der Anordnung. 5 shows a third embodiment of the arrangement.

6 zeigt eine vierte Ausführungsform der Anordnung. 6 shows a fourth embodiment of the arrangement.

7 zeigt eine dritte Ausführungsform der Anordnung. 7 shows a third embodiment of the arrangement.

8 zeigt eine sechste Ausführungsform der Anordnung. 8th shows a sixth embodiment of the arrangement.

Ausführungsformen der ErfindungEmbodiments of the invention

Die Erfindung ist anhand von Ausführungsformen in den Zeichnungen schematisch dargestellt und wird nachfolgend unter Bezugnahme auf die Zeichnungen ausführlich beschrieben.The invention is schematically illustrated by means of embodiments in the drawings and will be described in detail below with reference to the drawings.

1 zeigt eine Ausführung einer Anordnung 10 zur Umsetzung eines Überwachungskonzepts nach dem Stand der Technik. Die Anordnung 10 realisiert ein verteiltes Überwachungskonzept mit einem ersten Steuergerät (ECU-A) 12 und einem zweiten Steuergerät (ECU-B) 14. In einer ersten Ebene 20 des ersten Steuergeräts 12 ist ein Ebene-1-Modul 22 des ersten Steuergeräts 12, in einer zweiten Ebene 24 sowohl ein Ebene-2-Modul 26 des ersten Steuergeräts 12 als auch ein Ebene-2-Modul 28 des zweiten Steuergeräts 14 und in einer dritten Ebene 30 ein Ebene-3-Modul 32 des ersten Steuergeräts 12 vorgesehen. 1 shows an embodiment of an arrangement 10 to implement a monitoring concept according to the prior art. The order 10 implements a distributed monitoring concept with a first control unit (ECU-A) 12 and a second control unit (ECU-B) 14 , In a first level 20 of the first controller 12 is a level 1 module 22 of the first controller 12 in a second level 24 both a level 2 module 26 of the first controller 12 as well as a level 2 module 28 of the second controller 14 and in a third level 30 a level 3 module 32 of the first controller 12 intended.

In einer ersten Ebene 40 des zweiten Steuergeräts 14 ist ein Ebene-1-Modul 42 des zweiten Steuergeräts 14, in einer zweiten Ebene 44 sowohl ein Ebene-2-Modul 46 des ersten Steuergeräts 12 als auch ein Ebene-2-Modul 48 des zweiten Steuergeräts 14 und in einer dritten Ebene 50 ein Ebene-3-Modul 52 des zweiten Steuergeräts 14 vorgesehen.In a first level 40 of the second controller 14 is a level 1 module 42 of the second controller 14 in a second level 44 both a level 2 module 46 of the first controller 12 as well as a level 2 module 48 of the second controller 14 and in a third level 50 a level 3 module 52 of the second controller 14 intended.

Somit werden Ebene-1-Module von den Ebene-2-Modulen aus den beiden Steuergeräten 12, 14 überwacht. Die verteilten Ebene-2-Module kommunizieren mit den eigentlichen Ebene-1- und Ebene-2-Modulen über ein Kommunikationsnetzwerksystem 56.Thus, level 1 modules of the level 2 modules become the two controllers 12 . 14 supervised. The distributed level 2 modules communicate with the actual level 1 and level 2 modules via a communication network system 56 ,

2 zeigt die Anordnung 10 aus 1 zusammen mit einer Abschaltmöglichkeit. Hierbei können beide Steuergeräte 12, 14 über das Kommunikationsnetzwerk 56 eine Abschaltanforderung an ein Energieverwaltungssystem 60 senden, das dann, in diesem Fall über einen Schalter 62, die Energieversorgung 64 für das gesamte System abschaltet. 2 shows the arrangement 10 out 1 together with a switch-off option. in this connection can both controllers 12 . 14 over the communication network 56 a shutdown request to an energy management system 60 then send that, in this case via a switch 62 , the energy supply 64 for the entire system turns off.

In 3 ist eine erste Ausführungsform einer Anordnung zur Durchführung des beschriebenen Verfahrens, insgesamt mit der Bezugsziffer 100 bezeichnet, wiedergegeben. Die Darstellung zeigt ein erstes Steuergerät (ECU-A) 102 und ein zweites Steuergerät (ECU-B) 104. Das erste Steuergerät 102 weist einen Mikrocontroller 106, einen Watchdog-Baustein 108, Endstufen 110 und eine Energieversorgung 112 auf. Das zweite Stergerät 104 umfasst einen Mikrocontroller 114 und einen Watchdog-Baustein 116.In 3 is a first embodiment of an arrangement for carrying out the method described, in total with the reference numeral 100 designated, reproduced. The illustration shows a first control unit (ECU-A) 102 and a second control unit (ECU-B) 104 , The first controller 102 has a microcontroller 106 , a watchdog module 108 , Power amplifiers 110 and a power supply 112 on. The second device 104 includes a microcontroller 114 and a watchdog module 116 ,

In den beteiligten Steuergeräten 102 und 104 wird das 3-Ebenen Konzept oder ein vergleichbares Überwachungskonzept implementiert. In 3 steuert das erste Steuergerät 102 die leistungsbestimmenden Endstufen 110, bspw. die IGBTs, für einen Pulswechselrichter, der wiederum einen Elektromotor antreibt. Das erste Steuergerät 102 und das zweite Steuergerät 104 kommunizieren über ein Bussystem 118, beispielsweise einen CAN-Bus. Die Endstufen 110 in dem ersten Steuergerät 102 werden von dem Mikrocontroller 106 angesteuert, der wiederum von dem externen Watchdog-Baustein 108 überwacht wird. In the participating control units 102 and 104 the 3-level concept or a comparable monitoring concept is implemented. In 3 controls the first controller 102 the power-determining output stages 110 For example, the IGBTs, for a pulse inverter, which in turn drives an electric motor. The first controller 102 and the second controller 104 communicate via a bus system 118 , for example a CAN bus. The power amplifiers 110 in the first controller 102 be from the microcontroller 106 which in turn is controlled by the external watchdog module 108 is monitored.

Zwischen dem Mikrocontroller 114 des zweiten Steuergeräts 104 und den Endstufen 110 des ersten Steuergeräts 102 ist eine direkte Hardware-Abschaltleitung 120 bereitgestellt. Durch ein digitales Signal oder ein PWM-Signal kann somit das zweite Steuergerät 104 die Endstufen 110 des ersten Steuergeräts 102 aktivieren. Ein High-Pegel-Signal bedeutet bspw. "aktiv" und ein Low-Pegel-Signal "deaktiv". Alternativ bedeutet PWM-Signal vorhanden "aktiv" und PWM-Signal nicht vorhanden "deaktiv".Between the microcontroller 114 of the second controller 104 and the power amplifiers 110 of the first controller 102 is a direct hardware shutdown cable 120 provided. By a digital signal or a PWM signal thus the second control unit 104 the power amplifiers 110 of the first controller 102 activate. A high-level signal means, for example, "active" and a low-level signal "inactive". Alternatively, the PWM signal means "active" and the PWM signal does not exist "inactive".

4 zeigt eine zweite Ausführungsform der Anordnung, die mit der Bezugsziffer 200 bezeichnet ist. Die Darstellung zeigt ein erstes Steuergerät (ECU-A) 202 und ein zweites Steuergerät (ECU-B) 204. Das erste Steuergerät 202 weist einen Mikrocontroller 206, einen Watchdog-Baustein 208, Endstufen 210 und eine Energieversorgung 212 auf. Das zweite Steuergerät 204 umfasst einen Mikrocontroller 214 und einen Watchdog-Baustein 216. Ein CAN-Bus ist mit 218 und eine erste Abschaltleitung ist mit 220 bezeichnet. 4 shows a second embodiment of the arrangement, denoted by the reference numeral 200 is designated. The illustration shows a first control unit (ECU-A) 202 and a second control unit (ECU-B) 204 , The first controller 202 has a microcontroller 206 , a watchdog module 208 , Power amplifiers 210 and a power supply 212 on. The second control unit 204 includes a microcontroller 214 and a watchdog module 216 , A CAN bus is with 218 and a first shut-off line is with 220 designated.

In 4 wird somit eine weitere Variante dargestellt. Der Watchdog-Baustein 216 des zweiten Steuergeräts 204 schaltet über eine zweite Abschaltleitung 230 die Endstufen 210 des ersten Steuergeräts 202 ab. Somit hat diese Variante den Vorteil, dass der Watchdog-Baustein 216 in dem zweiten Steuergerät 204 auch die Endstufen 210 des ersten Steuergeräts 202 abschalten kann, wenn dieser einen Fehler in dem Mikrocontroller 214 des zweiten Steuergeräts 204 entdeckt hat.In 4 Thus, another variant is shown. The watchdog module 216 of the second controller 204 Switches via a second shutdown cable 230 the power amplifiers 210 of the first controller 202 from. Thus, this variant has the advantage that the watchdog module 216 in the second control device 204 also the power amplifiers 210 of the first controller 202 can turn off if this is an error in the microcontroller 214 of the second controller 204 has discovered.

5 zeigt eine dritte Ausführungsform der Anordnung 300. Die Darstellung zeigt ein erstes Steuergerät (ECU-A) 302 und ein zweites Steuergerät (ECU-B) 304. Das erste Steuergerät 302 weist einen Mikrocontroller 306, einen Watchdog-Baustein 308, Endstufen 310 und eine Energieversorgung 312 auf. Das zweite Stergerät 304 umfasst einen Mikrocontroller 314 und einen Watchdog-Baustein 316. Ein CAN-Bus ist mit 318 und eine erste Abschaltleitung ist mit 320 bezeichnet. Weiterhin ist in dem zweiten Steuergerät 304 ein Verknüpfungsglied 340 dargestellt. 5 shows a third embodiment of the arrangement 300 , The illustration shows a first control unit (ECU-A) 302 and a second control unit (ECU-B) 304 , The first controller 302 has a microcontroller 306 , a watchdog module 308 , Power amplifiers 310 and a power supply 312 on. The second device 304 includes a microcontroller 314 and a watchdog module 316 , A CAN bus is with 318 and a first shut-off line is with 320 designated. Furthermore, in the second control unit 304 a link 340 shown.

In 5 ist somit noch eine weitere Variante dargestellt, bei der die Abschaltsignale in dem zweiten Steuergerät 304 aus dem Mikrocontroller 314 und dem Watchdog-Baustein 316 zunächst miteinander verknüpft und die finale Abschaltleitung 320 mit den Endstufen 310 in dem ersten Steuergerät 302 verbunden werden. Diese Ausführung hat den Vorteil, dass nur eine Abschaltleitung 320 zwischen den beiden Steuergeräten 302 und 304 bereitgestellt werden muss, was wiederum kostengünstiger und robust ist.In 5 Thus, yet another variant is shown, in which the shutdown signals in the second control unit 304 from the microcontroller 314 and the watchdog module 316 initially linked together and the final shutdown line 320 with the power amplifiers 310 in the first controller 302 get connected. This design has the advantage that only one shutdown 320 between the two control units 302 and 304 must be provided, which in turn is more cost effective and robust.

6 zeigt eine vierte Ausführungsform der Anordnung 400. Die Darstellung zeigt ein erstes Steuergerät (ECU-A) 402 und ein zweites Steuergerät (ECU-B) 404. Das erste Steuergerät 402 weist einen Mikrocontroller 406, einen Watchdog-Baustein 408, Endstufen 410 und eine Energieversorgung 412 auf. Das zweite Stergerät 404 umfasst einen Mikrocontroller 414 und einen Watchdog-Baustein 416. Ein CAN-Bus ist mit 418 bezeichnet. Weiterhin ist in dem zweiten Steuergerät 404 ein Verknüpfungsglied 440 dargestellt. 6 shows a fourth embodiment of the arrangement 400 , The illustration shows a first control unit (ECU-A) 402 and a second control unit (ECU-B) 404 , The first controller 402 has a microcontroller 406 , a watchdog module 408 , Power amplifiers 410 and a power supply 412 on. The second device 404 includes a microcontroller 414 and a watchdog module 416 , A CAN bus is with 418 designated. Furthermore, in the second control unit 404 a link 440 shown.

Bei der in 6 wiedergegeben Ausführungsform werden nicht die Endstufen 410 in dem ersten Steuergerät 402 direkt abgeschaltet, sondern werden über eine weitere Abschaltleitung 450 die Spannungsversorgung 412 der Endstufen 410 abgeschaltet. At the in 6 reproduced embodiment, not the final stages 410 in the first controller 402 Switched off directly, but via another shutdown cable 450 the power supply 412 the power amplifiers 410 off.

Eine Kombination dieser Variante mit der Variante aus 5 wird in 7, insgesamt mit der Bezugsziffer 500 bezeichnet, wiedergegeben. Die Darstellung zeigt ein erstes Steuergerät (ECU-A) 502 und ein zweites Steuergerät (ECU-B) 504. Das erste Steuergerät 502 weist einen Mikrocontroller 506, einen Watchdog-Baustein 508, Endstufen 510 und eine Energieversorgung 512 auf. Das zweite Stergerät 504 umfasst einen Mikrocontroller 514 und einen Watchdog-Baustein 516. Ein CAN-Bus ist mit 418 bezeichnet. Weiterhin ist in dem zweiten Steuergerät 504 ein Verknüpfungsglied 540 dargestellt. Eine erste Abschaltleitung ist mit 520 und eine zweite Abschaltleitung ist mit 550 bezeichnet.A combination of this variant with the variant 5 is in 7 , in total with the reference number 500 designated, reproduced. The illustration shows a first control unit (ECU-A) 502 and a second control unit (ECU-B) 504 , The first controller 502 has a microcontroller 506 , a watchdog module 508 , Power amplifiers 510 and a power supply 512 on. The second device 504 includes a microcontroller 514 and a watchdog module 516 , A CAN bus is with 418 designated. Furthermore, in the second control unit 504 a link 540 shown. A first shut-off line is with 520 and a second shut-off line is with 550 designated.

8 zeigt eine sechste Ausführungsform mit einer Anordnung 600 mit einem Leistungselektronikteil 602 und einem Energiesystem 604. Die Anordnung 600 steuert ein elektrisches Antriebssystem 608 an. In dem Leistungselektronikteil 602 ist ein Steuergerät 608 mit einer ersten Ebene 610, einer zweiten Ebene 612 und einer dritten Ebene 614, welches mit einem Watchdog-Baustein 616 gekoppelt ist, vorgesehen. In diesem Steuergerät 608 ist sicherheitsrelevante Software abgelegt. Ein herkömmlicher Abschaltpfad 618 besteht zwischen dem Steuergerät 608 und einem Leistungsteil 620, in dem IGBTs vorgesehen sind. 8th shows a sixth embodiment with an arrangement 600 with a power electronics part 602 and an energy system 604 , The order 600 controls an electric drive system 608 at. In the power electronics part 602 is a control unit 608 with a first level 610 , a second level 612 and a third level 614 , which comes with a watchdog module 616 is coupled provided. In this controller 608 is security-related software stored. A conventional shutdown path 618 exists between the controller 608 and a power section 620 in which IGBTs are provided.

In dem Energiesystem 604 sind ein Energiemanagementsystem 622, eine Energieversorgung 624, ein erster Vorladeschütz 626, ein zweiter Vorladeschütz 628 und ein Hochvoltschütz 630 vorgesehen. Die Kommunikation zwischen dem Energiemangementsystem 622 und dem Steuergerät 608 erfolgt über eine Kommunikationsschnittstelle 634. Gestrichelt eingezeichnet ist ein Abschaltpfad 640. Über diesen Abschaltpfad 640 ist die Energieversorgung 624 abzuschalten.In the energy system 604 are an energy management system 622 , a power supply 624 , a first pre-charging contactor 626 , a second pre-charging contactor 628 and a high-voltage contactor 630 intended. The communication between the energy management system 622 and the controller 608 via a communication interface 634 , Dashed lines indicate a shutdown path 640 , About this shutdown path 640 is the energy supply 624 off.

ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.

Zitierte PatentliteraturCited patent literature

  • DE 4438714 A1 [0005] DE 4438714 A1 [0005]
  • DE 10331872 A1 [0006] DE 10331872 A1 [0006]
  • DE 10152273 B4 [0012] DE 10152273 B4 [0012]
  • DE 102006018053 A1 [0013] DE 102006018053 A1 [0013]

Claims (10)

Verfahren zur Überführung eines elektrischen Antriebsystems (608) in einen sicheren Zustand, mit einer Anordnung (100, 200, 300, 400, 500, 600) zum Abschalten einer Energieversorgung (112, 212, 312, 412, 512, 624), die mindestens ein Steuergerät (102, 104, 202, 204, 302, 304, 402, 404, 502, 608) umfasst, wobei über einen Abschaltpfad (120, 220, 230, 320, 450, 520, 550, 640) ein Zugriff der Anordnung auf die Energieversorgung (112, 212, 312, 412, 512, 624) besteht, um diese abschalten zu können, wobei der Abschaltpfad (120, 220, 230, 320, 450, 520, 550, 640) derart ausgebildet ist, dass dieser in regelmäßigen zeitlichen Abständen getestet werden kann.Method for transferring an electric drive system ( 608 ) in a safe condition, with an arrangement ( 100 . 200 . 300 . 400 . 500 . 600 ) for switching off a power supply ( 112 . 212 . 312 . 412 . 512 . 624 ), the at least one control unit ( 102 . 104 . 202 . 204 . 302 . 304 . 402 . 404 . 502 . 608 ), whereby via a shutdown path ( 120 . 220 . 230 . 320 . 450 . 520 . 550 . 640 ) an access of the arrangement to the power supply ( 112 . 212 . 312 . 412 . 512 . 624 ) in order to be able to switch it off, whereby the switch-off path ( 120 . 220 . 230 . 320 . 450 . 520 . 550 . 640 ) is designed such that it can be tested at regular intervals. Verfahren nach Anspruch 1, bei dem zusätzlich ein Energiemanagementsystem (622) zur Steuerung der Energieversorgung (112, 212, 312, 412, 512, 624) verwendet wird.Method according to claim 1, wherein additionally an energy management system ( 622 ) for controlling the power supply ( 112 . 212 . 312 . 412 . 512 . 624 ) is used. Verfahren nach Anspruch 1 oder 2, bei dem der Abschaltpfad (120, 220, 230, 320, 450, 520, 550, 640) in jedem Fahrzyklus mindestens einmal durchzuführen ist.Method according to Claim 1 or 2, in which the shutdown path ( 120 . 220 . 230 . 320 . 450 . 520 . 550 . 640 ) is to be carried out at least once in each driving cycle. Verfahren nach einem der Ansprüche 1 bis 3, bei dem in der Anordnung (100, 200, 300, 400, 500, 600) zur Überwachung ein 3-Ebenen Konzept verwendet wird.Method according to one of claims 1 to 3, in which in the arrangement ( 100 . 200 . 300 . 400 . 500 . 600 ) is used for monitoring a 3-level concept. Verfahren nach einem der Ansprüche 1 bis 4, bei dem in der Anordnung mehrere Steuergeräte (102, 104, 202, 204, 302, 304, 402, 404, 502, 608) verwendet werden.Method according to one of claims 1 to 4, wherein in the arrangement a plurality of control devices ( 102 . 104 . 202 . 204 . 302 . 304 . 402 . 404 . 502 . 608 ) be used. Anordnung zum Abschalten einer Energieversorgung (112, 212, 312, 412, 512, 624) eines elektrischen Antriebsystems (608), insbesondere zur Durchführung eines Verfahrens nach einem der Ansprüche 1 bis 5, mit mindestens einem Steuergerät (102, 104, 202, 204, 302, 304, 402, 404, 502, 608), das über einen Abschaltpfad (120, 220, 230, 320, 450, 520, 550, 640) einen Zugriff auf eine Energieversorgung hat.Arrangement for switching off a power supply ( 112 . 212 . 312 . 412 . 512 . 624 ) of an electric drive system ( 608 ), in particular for carrying out a method according to one of claims 1 to 5, with at least one control device ( 102 . 104 . 202 . 204 . 302 . 304 . 402 . 404 . 502 . 608 ) via a shutdown path ( 120 . 220 . 230 . 320 . 450 . 520 . 550 . 640 ) has access to a power supply. Anordnung nach Anspruch 6, bei dem das mindestens eine Steuergerät (102, 104, 202, 204, 302, 304, 402, 404, 502, 608) dazu ausgebildet ist, eine Überwachung im Rahmen eines 3-Ebenen Konzepts durchzuführen.Arrangement according to Claim 6, in which the at least one control device ( 102 . 104 . 202 . 204 . 302 . 304 . 402 . 404 . 502 . 608 ) is designed to perform a monitoring in the context of a 3-level concept. Anordnung nach Anspruch 6 oder 7, bei der zusätzlich ein Energiemanagementsystem (622) vorgesehen ist. Arrangement according to Claim 6 or 7, in which additionally an energy management system ( 622 ) is provided. Anordnung nach Anspruch 8, bei der eine Kommunikation zwischen Steuergerät und Energiemanagementsystem (622) über eine Kommunikationsschnittstelle (634) erfolgt.Arrangement according to Claim 8, in which communication between the control device and the energy management system ( 622 ) via a communication interface ( 634 ) he follows. Anordnung nach Anspruch 9, bei der die Funktionsfähigkeit der Kommunikationsschnittstelle (634) zyklisch mittels Frage-Antwort-Kommunikationsverfahren zu überprüfen ist.Arrangement according to Claim 9, in which the functionality of the communication interface ( 634 ) is to be checked cyclically by means of a question-answer communication method.
DE201210209144 2012-05-31 2012-05-31 Method for transferring electrical drive system to safe state, involves switching off arrangement access to power supply over switching off path, where switching off path is formed such that path is tested in regular time spacings Pending DE102012209144A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE201210209144 DE102012209144A1 (en) 2012-05-31 2012-05-31 Method for transferring electrical drive system to safe state, involves switching off arrangement access to power supply over switching off path, where switching off path is formed such that path is tested in regular time spacings

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE201210209144 DE102012209144A1 (en) 2012-05-31 2012-05-31 Method for transferring electrical drive system to safe state, involves switching off arrangement access to power supply over switching off path, where switching off path is formed such that path is tested in regular time spacings

Publications (1)

Publication Number Publication Date
DE102012209144A1 true DE102012209144A1 (en) 2013-12-05

Family

ID=49579402

Family Applications (1)

Application Number Title Priority Date Filing Date
DE201210209144 Pending DE102012209144A1 (en) 2012-05-31 2012-05-31 Method for transferring electrical drive system to safe state, involves switching off arrangement access to power supply over switching off path, where switching off path is formed such that path is tested in regular time spacings

Country Status (1)

Country Link
DE (1) DE102012209144A1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019223995A1 (en) 2018-05-22 2019-11-28 Volkswagen Aktiengesellschaft Electrical on-board network device for supplying at least two electrical consumers in a motor vehicle, and motor vehicle, switchover device, and method for operating an electrical on-board network device
CN111133389A (en) * 2017-09-18 2020-05-08 罗伯特·博世工具公司 Method for ensuring safety-critical functions of an electric machine
US11493896B2 (en) 2018-04-25 2022-11-08 Robert Bosch Gmbh Turn-off device for components in safety-critical systems

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4438714A1 (en) 1994-10-29 1996-05-02 Bosch Gmbh Robert Method and device for controlling the drive unit of a vehicle
DE10331872A1 (en) 2003-07-14 2005-02-10 Robert Bosch Gmbh Method for monitoring a technical system
DE10152273B4 (en) 2001-10-20 2007-03-08 Robert Bosch Gmbh Method and device for monitoring a redundant shutdown path
DE102006018053A1 (en) 2006-04-19 2007-10-31 Daimlerchrysler Ag Drive system for an electric machine

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4438714A1 (en) 1994-10-29 1996-05-02 Bosch Gmbh Robert Method and device for controlling the drive unit of a vehicle
DE10152273B4 (en) 2001-10-20 2007-03-08 Robert Bosch Gmbh Method and device for monitoring a redundant shutdown path
DE10331872A1 (en) 2003-07-14 2005-02-10 Robert Bosch Gmbh Method for monitoring a technical system
DE102006018053A1 (en) 2006-04-19 2007-10-31 Daimlerchrysler Ag Drive system for an electric machine

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111133389A (en) * 2017-09-18 2020-05-08 罗伯特·博世工具公司 Method for ensuring safety-critical functions of an electric machine
US11493896B2 (en) 2018-04-25 2022-11-08 Robert Bosch Gmbh Turn-off device for components in safety-critical systems
WO2019223995A1 (en) 2018-05-22 2019-11-28 Volkswagen Aktiengesellschaft Electrical on-board network device for supplying at least two electrical consumers in a motor vehicle, and motor vehicle, switchover device, and method for operating an electrical on-board network device
US11345240B2 (en) 2018-05-22 2022-05-31 Volkswagen Aktiengesellschaft Electrical on-board network device for supply of at least two electrical loads in a motor vehicle, and motor vehicle, switching device, and method for operating an on-board network device

Similar Documents

Publication Publication Date Title
DE102008022776B4 (en) Simplified automatic unloading function for vehicles
DE102018201119A1 (en) Method for monitoring the power supply of a motor vehicle with automated driving function
DE102013225020A1 (en) On-board network for fault-tolerant and redundant supply
DE102011008795A1 (en) Method and apparatus for monitoring electrical ground isolation in a powertrain system
DE102011055258A1 (en) Control device for a motor vehicle
DE112017004002B4 (en) abnormality diagnosis device
DE102018103196A1 (en) CONTROLLING A REDUNDANT PERFORMANCE ARCHITECTURE FOR A VEHICLE
DE102008000904A1 (en) Method and device for controlling an electric machine of a hybrid drive with increased availability
DE102019118804A1 (en) Anomalitätsbestimmungssystem
EP2720900B1 (en) Method for the safe deactivation of a high voltage network of a motor vehicle
DE102020210046A1 (en) Method for operating a battery system
DE102008009652A1 (en) Monitoring device and monitoring method for a sensor, and sensor
DE102011118172A1 (en) Method for controlling electromotor in electric vehicle, involves determining target motor position angle of electric motor in emergency operation, in case of failure of position sensor by simulation unit
DE102016221250A1 (en) Method for operating a vehicle electrical system
DE102012209144A1 (en) Method for transferring electrical drive system to safe state, involves switching off arrangement access to power supply over switching off path, where switching off path is formed such that path is tested in regular time spacings
DE102015200121A1 (en) Method for monitoring a vehicle electrical system
DE102012104322B4 (en) Method for testing two processing units in battery management system of motor car, involves communicating a comparison result to battery control unit for carrying out decision-making process on continued operation of motor car device
WO2017153318A1 (en) Method and apparatus for supplying electric power to a device
DE102009055044A1 (en) Method and device for suppressing an unwanted acceleration of a vehicle
DE102010017863A1 (en) Method for detecting error in hybrid power train of electrically propelled vehicle, involves stopping energy supply to electromotor of vehicle when fault drive torque is identified at electromotor
DE102015213831A1 (en) Method for decommissioning an electrically controlled component of a vehicle in the event of a fault of a component unit controlling the component
DE102010002468A1 (en) Method for stopping functional unit operated by controller in motor vehicle, involves operating functional unit by internal output circuit of controller
DE102020215648A1 (en) Method for controlling a power supply system for a mild hybrid electric vehicle
DE102013208700A1 (en) Motor vehicle with at least two propulsion factors and increased reliability, operating methods and means for its implementation
DE102017216460A1 (en) Vehicle with electric drive device, in particular for autonomous driving, and method for driving drive and steering devices in such a vehicle

Legal Events

Date Code Title Description
R012 Request for examination validly filed