DE102013208700A1 - Kraftfahrzeug mit zumindest zwei Vortriebsaktoren und erhöhter Ausfallsicherheit, Betriebsverfahren und Mittel zu dessen Implementierung - Google Patents

Kraftfahrzeug mit zumindest zwei Vortriebsaktoren und erhöhter Ausfallsicherheit, Betriebsverfahren und Mittel zu dessen Implementierung Download PDF

Info

Publication number
DE102013208700A1
DE102013208700A1 DE102013208700.4A DE102013208700A DE102013208700A1 DE 102013208700 A1 DE102013208700 A1 DE 102013208700A1 DE 102013208700 A DE102013208700 A DE 102013208700A DE 102013208700 A1 DE102013208700 A1 DE 102013208700A1
Authority
DE
Germany
Prior art keywords
propulsion
motor vehicle
engine control
actuators
control units
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE102013208700.4A
Other languages
English (en)
Inventor
Thomas Kuhn
Bernd Mueller
Thomas Hartgen
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102013208700.4A priority Critical patent/DE102013208700A1/de
Publication of DE102013208700A1 publication Critical patent/DE102013208700A1/de
Ceased legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60KARRANGEMENT OR MOUNTING OF PROPULSION UNITS OR OF TRANSMISSIONS IN VEHICLES; ARRANGEMENT OR MOUNTING OF PLURAL DIVERSE PRIME-MOVERS IN VEHICLES; AUXILIARY DRIVES FOR VEHICLES; INSTRUMENTATION OR DASHBOARDS FOR VEHICLES; ARRANGEMENTS IN CONNECTION WITH COOLING, AIR INTAKE, GAS EXHAUST OR FUEL SUPPLY OF PROPULSION UNITS IN VEHICLES
    • B60K28/00Safety devices for propulsion-unit control, specially adapted for, or arranged in, vehicles, e.g. preventing fuel supply or ignition in the event of potentially dangerous conditions
    • B60K28/10Safety devices for propulsion-unit control, specially adapted for, or arranged in, vehicles, e.g. preventing fuel supply or ignition in the event of potentially dangerous conditions responsive to conditions relating to the vehicle 
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W20/00Control systems specially adapted for hybrid vehicles
    • B60W20/50Control strategies for responding to system failures, e.g. for fault diagnosis, failsafe operation or limp mode
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/04Monitoring the functioning of the control system
    • B60W50/045Monitoring control system parameters
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W10/00Conjoint control of vehicle sub-units of different type or different function
    • B60W10/02Conjoint control of vehicle sub-units of different type or different function including control of driveline clutches
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • B60W2050/0292Fail-safe or redundant systems, e.g. limp-home or backup systems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2510/00Input parameters relating to a particular sub-units
    • B60W2510/08Electric propulsion units
    • B60W2510/083Torque
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2540/00Input parameters relating to occupants
    • B60W2540/10Accelerator pedal position

Abstract

Die vorliegende Erfindung betrifft ein Kraftfahrzeug (100) mit zumindest zwei Vortriebsaktoren (11, 12, 13, 14), die jeweils mit zumindest einem Rad (21, 22, 23, 34) des Kraftfahrzeugs (100) gekoppelt oder koppelbar sind. Steuermittel (31, 32, 33, 34) sind vorgesehen, die dafür eingerichtet sind, in einem Fehlerfall, in dem zumindest ein beliebiger Vortriebsaktor (11, 12, 13, 14) der zumindest zwei Vortriebsaktoren (11, 12, 13, 14) betriebsfähig ist und zumindest ein beliebiger anderer der zumindest zwei Vortriebsaktoren (11, 12, 13, 14) nicht betriebsfähig ist, das Kraftfahrzeug (100) nur mittels des zumindest einen betriebsfähigen Vortriebsaktors (11, 12, 13, 14) vortriebsleistend anzutreiben. Ein Betriebsverfahren für ein derartiges Kraftfahrzeug (100) und Mittel zu dessen Implementierung sind ebenfalls Gegenstand der vorliegenden Erfindung.

Description

  • Die vorliegende Erfindung betrifft ein Kraftfahrzeug mit zumindest zwei Vortriebsaktoren und erhöhter Ausfallsicherheit, ein Betriebsverfahren für ein derartiges Kraftfahrzeug und Mittel zu dessen Implementierung.
  • Stand der Technik
  • In herkömmlichen Kraftfahrzeugen steht zur Erzeugung des Vortriebs lediglich ein Verbrennungsmotor als Vortriebsaktor zur Verfügung. Zur Erhöhung der Sicherheit ist in derartigen Kraftfahrzeugen beispielsweise ein sogenanntes Drei-Ebenen-Sicherheitskonzept realisiert. Dessen Aufgabe ist es, einen als kritisch eingestuften Fehlerfall, z.B. das "Durchgehen" des Verbrennungsmotors, das sich in Form eines zu hohen oder ungewollten Motormoments äußert, zu verhindern und, falls erforderlich, den Verbrennungsmotor abzuschalten. Entsprechendes gilt auch für Systeme mit anderen Vortriebsaktoren.
  • Aus einer Veröffentlichung der Anmelderin (vgl. Ottomotor-Management: Motronic-Systeme. Robert Bosch GmbH, 2003. ISBN-3-7782-2029-2) ist in diesem Zusammenhang ein Verfahren zur Überwachung eines Funktionsrechners in einem Motorsteuergerät bekannt, der die Drehmomenterzeugung eines Verbrennungsmotors steuert, wobei ein Maximalwert für das vom Verbrennungsmotor zu erzeugende Drehmoment aus einem Fahrerwunsch bestimmt wird, der Maximalwert mit einem Ist-Wert des tatsächlich vom Verbrennungsmotor erzeugten Drehmoments verglichen wird, und durch geeignete Maßnahmen ein beherrschbarer Zustand sichergestellt wird, wenn der Ist-Wert größer als der Maximalwert ist. Bei in Serie verwendeten Motorsteuergeräten erfolgt die Sicherstellung des beherrschbaren Zustands über eine Beschränkung der Luftzufuhr.
  • Der Funktionsrechner steuert die Drehmomenterzeugung unter Rückgriff auf in einem Programmspeicher des Motorsteuergeräts abgelegte Algorithmen und als Funktion von bestimmten Eingangsgrößen. Wichtige Eingangsgrößen sind die Drehzahl des Verbrennungsmotors und eine Fahrpedalstellung, die eine Drehmomentanforderung durch einen Fahrer, also einen Fahrerwunsch, charakterisiert. Moderne Steuergeräte berücksichtigen eine Vielzahl weiterer Eingangsgrößen, die aus Informationen von Sollwertgebern und Sensoren abgeleitet werden.
  • Aus diesen Eingangsgrößen bildet der Funktionsrechner Ansteuersignale für Stellglieder, mit denen das Drehmoment des Verbrennungsmotors eingestellt wird. Ein Beispiel eines solchen Stellgliedes ist ein Luftmassenstellglied, beispielsweise eine elektronisch gesteuerte Drosselklappe, die eine in den Verbrennungsmotor strömende Luftmasse steuert.
  • Solche auch als EGas-Systeme bezeichneten Konfigurationen stellen hohe Anforderungen an die Betriebssicherheit der beteiligten Komponenten, da eine mechanische Kopplung zwischen dem Fahrpedal als Fahrerwunschgeber und der Drosselklappe als Stellglied nicht mehr existiert. Um eine fehlerhafte Erzeugung unerwünscht großer Drehmomente durch Fehlfunktionen des Funktionsrechners zu verhindern, überwacht ein Überwachungsmodul den Funktionsrechner und leitet im Fehlerfall Ersatzmaßnahmen ein, mit denen das Drehmoment des Verbrennungsmotors aus Sicherheitsgründen beschränkt wird.
  • Wenngleich Bestrebungen existieren, die Abschaltung des Verbrennungsmotors hierbei durch geeignete Maßnahmen zu verhindern bzw. unwahrscheinlich zu machen, lässt sich dies bei einer Reihe kritischer Fehler nicht vermeiden. Das Fahrzeug bleibt in solchen Fällen liegen.
  • In Hybridsystemen ist teilweise eine sogenannte Limp Home-Funktion implementiert, in dem im Falle des Versagens des Elektromotors noch eine Restfunktionalität über den Verbrennungsmotor dargestellt ist. Dies ermöglicht einen Notbetrieb (Limp Home), der beispielsweise ein Anfahren der nächstgelegenen Werkstatt erlaubt. Auch dies erweist sich jedoch häufig nicht als ausreichend.
  • Die ISO 26262 gilt seit November 2011 für den Automobilbereich. Sie führt sogenannte "Safety Goals" als sicherzustellende Ziele ein und klassifiziert diese nach sogenannten ASILs (Automotive Safety Integrity Levels). Die sicherheitstechnische Relevanz des Liegenbleibens wird zwar diskutiert, nach aktuellem Stand der Technik ist aber das Liegenbleiben als akzeptable Rückfallebene eingestuft. Diese Einstufung kann sich jedoch künftig ändern.
  • Insbesondere für diesen Fall sind konstruktive Maßnahmen, die im kritischen Fehlerfall ein Liegenbleiben verhindern, nicht nur aus Verfügbarkeitsgründen, sondern auch aus Sicherheitsgründen (wie beispielsweise in der ISO 26262 oder künftigen Normen definiert) wünschenswert.
  • Offenbarung der Erfindung
  • Vor diesem Hintergrund schlägt die vorliegende Erfindung ein Kraftfahrzeug mit zumindest zwei Vortriebsaktoren und erhöhter Ausfallsicherheit, ein Betriebsverfahren für ein derartiges Kraftfahrzeug und Mittel zu dessen Implementierung mit den Merkmalen der unabhängigen Patentansprüche vor. Vorteilhafte Ausgestaltungen sind jeweils Gegenstand der abhängigen Patentansprüche sowie der nachfolgenden Beschreibung.
  • Vorteile der Erfindung
  • Durch die erfindungsgemäß vorgeschlagenen Maßnahmen wird eine Reihe von Vorteilen erzielt. Diese umfassen unter anderem die Verhinderung bzw. sicherheitstechnische Beherrschung eines Liegenbleibers selbst im Falle eines kritischen Fehlers, die Darstellung der hierfür erforderlichen Fehlertoleranz, die Beherrschung nicht-trivialer ASIL-Zuordnungen für das Safety Goal "Liegenbleiber" und eine verbesserte Limp Home-Funktion.
  • Bei einem erfindungsgemäß ausgebildeten Kraftfahrzeug mit zumindest zwei Vortriebsaktoren, beispielsweise einem Hybridsystem mit einem Verbrennungsmotor und mindestens einem Elektromotor, besteht die Möglichkeit, im Fehlerfall eines oder mehrerer Vortriebsaktoren noch eine Restfunktionalität durch einen oder mehrere andere, noch betriebsfähige Vortriebsaktoren zu ermöglichen. Die Erfindung unterscheidet sich dabei von der eingangs erläuterten Limp Home-Funktion bei bekannten Hybridfahrzeugen insbesondere dadurch, dass ein beliebiger Vortriebsaktor (oder eine beliebige Gruppe von Vortriebsaktoren bei mehr als zwei Vortriebsaktoren) ausfallen kann, ohne dass ein Liegenbleiber verursacht würde. In den bekannten Hybridsystemen mit Limp Home-Funktion ist bei einem Ausfall des Verbrennungsmotors keine Weiterfahrt mehr möglich.
  • Insbesondere umfasst die Erfindung die Bereitstellung von Steuermitteln, die dafür eingerichtet sind, das Kraftfahrzeug in einem Fehlerfall, in dem zumindest ein beliebiger Vortriebsaktor der zumindest zwei Vortriebsaktoren betriebsfähig ist und zumindest ein beliebiger anderer Vortriebsaktor der zumindest zwei Vortriebsaktoren nicht betriebsfähig ist, mittels des zumindest einen betriebsfähigen Vortriebsaktors vortriebsleistend anzutreiben.
  • In einer sicherheitstechnisch besonders vorteilhaften Form können diese Mittel im Rahmen einer Zwei-Steuergeräte-Architektur implementiert sein, innerhalb gewisser Grenzen jedoch auch im Rahmen einer Ein-Steuergeräte-Architektur.
  • Erfindungsgemäß ist jeder Vortriebsaktor der wenigstens zwei Vortriebsaktoren für sich alleine in der Lage, das Kraftfahrzeug zumindest in einem Notbetrieb zu bewegen. Eine Abschaltung jedes beliebigen einzelnen Vortriebsaktors ist in einer Form möglich, die sicherstellt, dass der oder die übrigen Vortriebsaktoren nicht behindert werden. In entsprechender Weise gilt dies auch beispielsweise für einen Steuergerätefehler in einer der ECUs (Engine Control Units, Motorsteuergeräte), der auch dazu führen kann, dass ein entsprechend angesteuerter Vortriebsaktor nicht mehr betriebsfähig ist, obwohl der Vortriebsaktor selbst intakt ist.
  • Insgesamt lässt sich mittels der vorliegenden Erfindung ein fehlertolerantes System darstellen, bei dem konstruktive Maßnahmen zur Aufrechterhaltung der Verfügbarkeit des Vortriebs selbst bei Vorliegen schwerwiegender Fehler der Vortriebsaktoren oder Motorsteuergeräte existieren.
  • Die Erfindung kann dabei, wie in den nachfolgend erläuterten Zeichnungen dargestellt, in Form unterschiedlicher Systemkonfigurationen implementiert sein. Besonders vorteilhaft ist eine Fehlertoleranz auf Ebene der Motorsteuergeräte, z.B. unter Verwendung entsprechender Fehlertoleranzlayer und/oder einer parallelen Fahrerwunscherfassung durch wenigstens zwei Motorsteuergeräte.
  • Die Erfindung kann mit beliebigen Vortriebsaktoren zum Einsatz kommen, beispielsweise Verbrennungsmotoren oder Elektromotoren, und ist nicht auf Fahrzeuge mit vier Rädern beschränkt.
  • Eine erfindungsgemäße Recheneinheit, z.B. ein Steuergerät eines Kraftfahrzeugs, ist als Mittel zur Implementierung des erfindungsgemäßen Verfahrens, insbesondere programmtechnisch, dazu eingerichtet, ein erfindungsgemäßes Verfahren durchzuführen.
  • Auch die Implementierung des Verfahrens in Form von Software ist vorteilhaft, da dies besonders geringe Kosten verursacht, insbesondere wenn ein ausführendes Steuergerät noch für weitere Aufgaben genutzt wird und daher ohnehin vorhanden ist. Geeignete Datenträger zur Bereitstellung des Computerprogramms sind insbesondere Disketten, Festplatten, Flash-Speicher, EEPROMs, CD-ROMs, DVDs u.a.m. Auch ein Download eines Programms über Computernetze (Internet, Intranet usw.) ist möglich.
  • Weitere Vorteile und Ausgestaltungen der Erfindung ergeben sich aus der Beschreibung und der beiliegenden Zeichnung.
  • Es versteht sich, dass die vorstehend genannten und die nachfolgend noch zu erläuternden Merkmale nicht nur in der jeweils angegebenen Kombination, sondern auch in anderen Kombinationen oder in Alleinstellung verwendbar sind, ohne den Rahmen der vorliegenden Erfindung zu verlassen.
  • Die Erfindung ist anhand von Ausführungsbeispielen in der Zeichnung schematisch dargestellt und wird im Folgenden unter Bezugnahme auf die Zeichnung ausführlich beschrieben.
  • Kurze Beschreibung der Zeichnungen
  • 1 zeigt eine Systemkonfiguration mit zwei Vortriebsaktoren gemäß einer Ausführungsform der Erfindung in Form eines Blockdiagramms.
  • 2 zeigt ein Kraftfahrzeug mit zwei Vortriebsaktoren gemäß einer Ausführungsform der Erfindung in Form eines Blockdiagramms.
  • 3 zeigt ein Kraftfahrzeug mit zwei Vortriebsaktoren gemäß einer Ausführungsform der Erfindung in Form eines Blockdiagramms.
  • 4 zeigt ein Kraftfahrzeug mit Einzelradantrieb gemäß einer Ausführungsform der Erfindung in Form eines Blockdiagramms.
  • 5 zeigt ein Grundkonzept einer Fehlerdarstellung in einem Kraftfahrzeug mit zwei Vortriebsaktoren gemäß einer Ausführungsform der Erfindung.
  • 6 zeigt eine Fahrerwunscherfassung gemäß einer Ausführungsform der Erfindung in Form eines schematischen Blockdiagramms.
  • In den Figuren sind einander funktional entsprechende Elemente jeweils mit identischen Bezugszeichen angegeben und werden der Übersichtlichkeit halber nicht wiederholt erläutert.
  • Ausführungsform(en) der Erfindung
  • 1 zeigt ein Grundkonzept einer in einem Kraftfahrzeug implementierten Systemkonfiguration mit zwei Vortriebsaktoren gemäß einer Ausführungsform der Erfindung in Form eines schematischen Blockdiagramms.
  • Zwei Vortriebsaktoren 11 und 12, beispielsweise ein Elektromotor und ein Verbrennungsmotor eines Hybridfahrzeugs, sind hierbei über entsprechende Ansteuerleitungen mit jeweils einem Motorsteuergerät 31 und 32 verbunden.
  • Die Motorsteuergeräte 31 und 32 sind die Steuergeräte, die den Vortrieb oder allgemeiner die Bewegung der Vortriebsaktoren 11 und 12 steuern. Grundsätzlich können die Motorsteuergeräte 31 und 32 zu einem Steuergerät zusammengefasst werden, wobei jedoch ggf. nicht alle Vorteile der vorliegenden Erfindung vollständig darstellbar sind.
  • Auch weitere Steuergeräte können vorgesehen sein; beispielsweise kann mittels einer Transmission Control Unit (TCU) 33 eine Getriebesteuerung vorgenommen werden und mittels einer Hybrid Control Unit (HCU) oder einer Vehicle Control Unit (VCU) 34 eine Momentenverteilung auf die Vortriebsaktoren 11 und 12 eingestellt werden.
  • Wenn die Steuergeräte 31 bis 34 in sogenannter expliziter Form (also als selbständige Einzelgeräte) vorliegen, wie es aufgrund der Lieferkette oder der Unabhängigkeit bzw. Modularisierung entsprechender Systeme vorteilhaft sein kann, kann eine Vernetzung der Steuergeräte 31 bis 34 über ein Kommunikationssystem, beispielsweise einen Bus 40, erfolgen. Es kann jedoch auch vorgesehen sein, zumindest nicht alle Steuergeräte 31 bis 34 in expliziter Form bereitzustellen. In diesem Fall sind alle oder Teile der Funktionen der Steuergeräte 31 bis 34 auf den Motorsteuergeräten 31 und/oder 32 lokalisiert.
  • 2 zeigt ein Kraftfahrzeug mit zwei Vortriebsaktoren gemäß einer Ausführungsform der Erfindung in Form eines Blockdiagramms. Das Kraftfahrzeug ist schematisch in Draufsicht dargestellt und insgesamt mit 100 bezeichnet. 2 zeigt dabei eine besonders einfache und kostengünstige Möglichkeit, die in der 1 dargestellte elektrisch-elektronische Architektur in eine physikalischmechanische Architektur umzusetzen.
  • Mit 11 und 12 sind erneut entsprechende Vortriebsaktoren, beispielsweise ein Elektromotor und ein Verbrennungsmotor eines Hybridfahrzeugs bezeichnet. Mit 21 bis 24 sind die Räder des Kraftfahrzeugs 100 bezeichnet. Die Erfindung ist dabei nicht auf vierrädrige Kraftfahrzeuge 100 beschränkt.
  • Über Kupplungen 51 und 52 kann ein durch die Vortriebsaktoren 11 und 12 erzeugtes Drehmoment auf Antriebswellen 71 und 72 übertragen werden. Über optionale Differentialgetriebe 81 und 82 werden mittels der Antriebswellen 71 und 72 die Räder 21 bis 24 bzw. deren Radwellen 91 bis 94 angetrieben. Optional ist ein Getriebe 60 vorhanden.
  • Im dargestellten Beispiel bewegt bei geschlossener Kupplung 51 der Vortriebsaktor 11 (optional über das Differentialgetriebe 81) die zwei Räder 21 und 22. Entsprechend bewegt bei geschlossener Kupplung 52 der Vortriebsaktor 12 (optional über das Differentialgetriebe 82) die zwei anderen Räder 23 und 24. Eine hierdurch realisierte sogenannte 2:2-Aufteilung kann vorteilhaft sein, ist jedoch nicht zwingend erforderlich.
  • Im Allgemeinen (auch bei anderer Rädergesamtzahl) ist für eine Anwendung dieses Beispiels entscheidend, dass kein Rad 21 bis 24 von mehr als einem Vortriebsaktor 11, 12 (direkt) bewegt wird und jeder Vortriebsaktor 11, 12 mindestens ein Rad bewegt.
  • Im Falle eines Fehlers des Vortriebsaktors 11 kann das diesem zugeordnete Steuergerät (hier das Motorsteuergerät 31, vgl. 1) dies detektieren und den Vortriebsaktor 11 derart abschalten, dass höchstens ein minimales Schleppmoment auf die zugeordneten Räder 21 und 22 wirkt. Dies kann auch dadurch realisiert werden, dass die Kupplung 51 geöffnet wird.
  • Vorteilhafterweise signalisiert das Motorsteuergerät 31 diese Tatsache an das dem Vortriebsaktor 12 zugeordnete Steuergerät (hier das Motorsteuergerät 32, vgl. 1), dies kann jedoch auch implizit erfolgen, beispielsweise wenn eine sogenannte Fail-Silent-Kommunikationsbeziehung in der zugrundeliegenden Architektur vorausgesetzt wird (d.h. hier, wenn das Ausbleiben einer bestimmten Kommunikation einen Fehler signalisiert).
  • Entsprechendes gilt für den Vortriebsaktor 32, das entsprechende Motorsteuergerät 32 und die Kupplung 52. Dies bedeutet aber, dass im Falle eines (nahezu beliebigen) Fehlers eines der beiden Vortriebsaktoren 11, 12 in Summe noch über den anderen Vortriebsaktor 11, 12, ein Vortrieb des Kraftfahrzeugs 100 realisiert werden kann.
  • Wenn die HCU 34 in expliziter Form vorliegt, erhält sie die gleiche Information wie das Motorsteuergerät 31, 32 des noch betriebsfähigen Vortriebsaktors 11, 12, beispielsweise über den Bus 40. In diesem Fall ist auch für die HCU einfach feststellbar, welches Motorsteuergerät 31, 32 und welcher Vortriebsaktor 11, 12 noch betriebsfähig sind. Die Momentenverteilung kann auf dieser Grundlage derart angepasst werden, dass der relevante Vortrieb vom verbleibenden Vortriebsaktor 11, 12 realisiert wird.
  • Auch im Falle von Steuergerätefehlern der Motorsteuergeräte 31, 32 kann dieses Fehlertoleranzprinzip umgesetzt werden. Dazu muss sichergestellt sein, dass die Motorsteuergeräte 31, 32 selbst dem erläuterten Fail-Silent-Prinzip genügen, d.h. eigensicher sind und sich im Fall eines kritischen Fehlers selbst abschalten.
  • Um ein eigensicheres Motorsteuergerät 31, 32 darzustellen, existieren mehrere Möglichkeiten, die auch kombiniert werden können. Beispielsweise können hierbei Watchdoglösungen, Rechnerüberwachungen durch Software, Hardwareredundanzen oder ähnliches zum Einsatz kommen.
  • Ferner muss gewährleistet sein, dass auch bei einer Abschaltung eines Motorsteuergeräts 31, 32, beispielsweise wegen eines internen Fehlers, die Wirkung auf die Aktorik derart ist, dass der zugehörige Vortriebsaktor 11, 12 nur ein minimales (möglichst verschwindend geringes) Schleppmoment auf die Räder 21 bis 24 ausübt. Hierzu kann im Falle einer Abschaltung, wie erwähnt, die zugehörige Kupplung 51, 52 geöffnet werden; es ist aber auch möglich, diese Eigenschaft durch konstruktive Lösungen im Vortriebsaktor 11, 12 sicherzustellen oder, beispielsweise bei einem Elektromotor, durch eine entsprechende Schaltung, die im stromlosen Zustand sicherstellt, dass in diesem kein signifikantes Gegenmoment entsteht (z.B. durch aktiven Kurzschluss).
  • In Summe kann somit sowohl bei Vorliegen von Fehlern der Vortriebsaktoren 11, 12 als auch bei Fehlern der Motorsteuergeräte 31, 32 immer noch ein Vortrieb realisiert und damit die Zuverlässigkeit und Verfügbarkeit der Vortriebsfunktion deutlich gesteigert werden.
  • Ferner kann durch tatsächliche konstruktive Maßnahmen mit Fehlern umgegangen werden, die ohne die entsprechenden Maßnahmen zu einer Verletzung des Safety Goals "Liegenbleiber" führen würden. Dieses Safety Goal wird also durch Sicherheitsmechanismen, denen man eine relevante Diagnostic Coverage (z.B. die Fail-Silence-Coverage des gesamten Motorsteuergeräts 31, 32) zuordnen kann, beherrscht.
  • 3 zeigt ein Kraftfahrzeug mit zwei Vortriebsaktoren gemäß einer Ausführungsform der Erfindung in Form eines Blockdiagramms. Das Kraftfahrzeug ist auch hier in Draufsicht dargestellt und insgesamt mit 100 bezeichnet.
  • Auch in der in 3 dargestellten Alternative werden zwei Vortriebsaktoren 11, 12 durch zwei nicht dargestellte Motorsteuergeräte 31, 32 angesteuert. Die elektrisch-elektronische Architektur entspricht auch hier beispielsweise der in der 1 dargestellten Architektur.
  • In dem in 3 dargestellten Beispiel sind jedoch beide Vortriebsaktoren 11, 12 hintereinander (in Reihe) geschaltet; sie wirken am Ende der Wirkkette auf das Getriebe 60. Falls der Vortriebsaktor 11 oder das zugehörige Steuergerät 31 fehlerhaft sind, muss auch hier über eine entsprechende Abschaltung gewährleistet sein, dass der Vortriebsaktor 11 kein oder nur ein minimales Schleppmoment für den Vortriebsaktor 12 darstellt. Dies kann beispielsweise wieder über ein Öffnen einer Kupplung 53 realisiert werden oder über konstruktive Lösungen im Vortriebsaktor 11 oder der Anbindung des Vortriebsaktors 11 an den Triebstrang.
  • Falls jedoch hier der Vortriebsaktor 12 oder das zugehörige Steuergerät 32 fehlerhaft sind, muss dennoch noch der Vortriebsaktor 11 wirken können. Eine Kupplung 54 hat also hier eine nicht direkt mit den Kupplungen 51 und 52 oder der Kupplung 53 vergleichbare sicherheitstechnische Bedeutung. Die Kupplung 54 darf im Fehlerfall des Vortriebsaktors 12 oder des zugehörigen Steuergeräts 32 nicht einfach dauerhaft geöffnet werden. Um zu verhindern, dass in diesem Fehlerfall der Vortriebsaktor 12 noch ein signifikantes Schleppmoment auf den Triebstrang bringt, sind hier in jedem Fall konstruktive Lösungen erforderlich. Hierbei kann beispielsweise eine Ankopplung über ein Planentengetriebe, eine erläuterte elektrische Schaltung, die bei einem Elektromotor im stromlosen Zustand (weitgehende) Momentenfreiheit sicherstellt, oder auch eine spezielle Kupplung verwendet werden.
  • 4 zeigt ein Kraftfahrzeug mit Einzelradantrieb gemäß einer Ausführungsform der Erfindung in Form eines schematischen Blockdiagramms.
  • Bei einem Kraftfahrzeug 100 mit Einzelradantrieb, wie es in 4 dargestellt ist, ist pro Rad 21 bis 24 ein Vortriebsaktor 11 bis 14 vorgesehen. Das Zusammenspiel mit der zugrundeliegenden elektrisch-elektronischen Architektur kann beispielsweise derart sein, dass (vgl. 1) jedes der Motorsteuergeräte 31 und 32 jeweils zwei der Vortriebsaktoren 11 bis 14 steuert (z.B. kreuz, achs- oder seitenweise). Es ist auch eine 1:3 Aufteilung denkbar. Typischerweise entfällt in den genannten Fällen die TCU 33. Alternativ dazu kann auch ein Motorsteuergerät pro Vortriebsaktor 11 bis 14 vorgesehen werden; d.h. in diesem Fall sind insgesamt vier Motorsteuergeräte vorgesehen.
  • Grundsätzlich ist in der in der 4 dargestellten Systemkonfiguration eine noch höhere Fehlertoleranz darstellbar, da jeder Fehler eines der Vortriebsaktoren 11 bis 14 der Räder 21 bis 24 systemweit durch die verbleibenden Vortriebsaktoren 11 bis 14 kompensiert werden kann, u.U. sogar zwei einzelne solcher Fehler.
  • Fällt beispielsweise der Vortriebsaktor 11 (oder das den Vortriebsaktor 11 beispielsweise steuernde Motorsteuergerät 31) aus, muss erneut konstruktiv sichergestellt sein, dass der ausgefallene (oder stromlose) Vortriebsaktor 11 kein Schleppmoment mehr aufbringen kann. Ferner ist hier besonders wichtig, dass alle beteiligten Motorsteuergeräte die gleiche "Sicht" auf den Ausfallstatus der relevanten Komponenten haben. In diesem Fall kann bei einer entsprechenden Aufteilung durch die HCU oder VCU der Vortrieb durch die anderen Vortriebsaktoren 12 bis 14 dargestellt werden (bzw. durch die hiervon verbliebenen).
  • Wenn die HCU nicht als explizites Steuergerät vorliegt, muss die Momentenverteilungsfunktion in anderer Form realisiert sein. Besonders vorteilhaft in der Kombination mit dieser Erfindung ist es, wenn die HCU selbst fehlertolerant realisiert ist. Die Fehlertoleranz hat dabei vorteilhafterweise zwei Ebenen:
    Auf einer funktionalen Ebene muss die Momentenverteilungsfunktion, um den Ausfall eines Motors tolerieren zu können, selbst eine Rückfallebene vorsehen, die die Momentenverteilung für diese Ausfälle regelt. Diese Ebene muss auch für eine explizit vorliegende HCU vorhanden sein.
  • Die HCU-Funktion selbst muss auf einer Architekturebene in sich fehlertolerant realisiert sein. Wenn beispielsweise die HCU-Funktion komplett und nur auf dem Motorsteuergerät 31 implementiert ist, kann bei einem Fehler des Motorsteuergeräts 31 keinerlei Momentenverteilung mehr vorgenommen werden. Als Minimum muss also die Rückfallebene der HCU-Funktion, die bei Ausfall des Motorsteuergeräts 31 als Funktion vorliegen muss, auf dem Motorsteuergerät 32 implementiert sein, um eine sinnvolle Funktion darzustellen.
  • Die TCU muss ebenfalls nicht explizit vorliegen. Eine asymmetrische Lösung umfasst beispielsweise, die TCU funktional auf einem der Motorsteuergeräte 31, 32 zu realisieren (die HCU kommt hierfür auch in Frage). Dies hat Kostenvorteile; eine entsprechende Asymmetrie zeigt aber eine abweichende Fehlertoleranz, da ein Ausfall des "ungünstigen" Steuergeräts umfangreiche Funktionsverluste nach sich zieht.
  • Sind die Motorsteuergeräte 31, 32 auf einem Steuergerät zusammengefasst, ist eine Toleranz gegen Steuergerätefehler nur noch eingeschränkt möglich. Die Toleranz gegenüber Fehlern der Vortriebsaktoren 11, 12 selbst bleibt aber nach wie vor erhalten. Abhängig von den Ausfallschwerpunkten kann auch dies also eine vorteilhafte Lösung darstellen, die darüber hinaus Kostenvorteile bietet.
  • Die Toleranz gegenüber Steuergerätefehlern kann auch lediglich steuergeräteintern dargestellt werden. Beispielsweise sind Ein-/Ausgangsbeschaltungen, die pro Vortriebsaktor 11, 12 vorhanden sind, einfach zu tolerieren. Speicherfehler können durch ECC (Error Correcting Code) toleriert werden, transiente Fehler über Reset- oder Recoveryfunktionen.
  • Um die Fehlertoleranz auf der Steuergeräteebene besonders vorteilhaft zu implementieren, kann es, wie erwähnt, nützlich sein, wenn sichergestellt ist, dass alle beteiligten Motorsteuergeräte 31, 32 zu jedem Zeitpunkt (bis auf eine gewisse Synchronisationstoleranz) die gleiche "Sicht" auf die im Gesamtsystem relevanten Fehlereigenschaften der Komponenten haben. Im einfachsten Fall sind dies im betrachteten System die Vortriebsaktoren 11 und 12 sowie die Motorsteuergeräte 31 und 32. Für diese Komponenten sind auf der Systemfehlertoleranzebene dabei beispielsweise die beiden Zustände "betriebsfähig" und "nicht betriebsfähig" definiert.
  • In diesem Fall kann eine Fehlerzustandsinformation gemäß einer Ausführungsform der Erfindung wie in 5 gezeigt dargestellt werden.
  • Informationstechnisch lässt sich im einfachsten Fall jede einschlägige Komponente, hier die Vortriebsaktoren 11 und 12 und die Motorsteuergeräte 31, 32, über ein Feld 110 und 120 bzw. 310 und 320 der Fehlzustandsinformation mit einem Bit abbilden, bei dem z.B. 1 bedeutet, dass die jeweilige Komponente betriebsfähig ist und 0, dass sie nicht betriebsfähig ist. Es ist dann Aufgabe des Fehlertoleranzlayers auf der Steuergeräteebene, sicherzustellen, dass alle beteiligten Motorsteuergeräte 31, 32 die gleiche Sicht auf diese vier Bit haben. Durch die Synchronisationsdauer kann auch eine Ungleichheit während einer kurzen Zeitspanne (z.B. wenige 10 ms) auftreten. Dies ist i.d.R. akzeptabel; hiervon abgesehen muss die Gleichheit der Information in allen beteiligten Motorsteuergeräten 31, 32 gegeben sein, da nur dann eine konsistente Reaktion möglich ist.
  • Für das Fehlertoleranzlayer existieren unterschiedliche Lösungsmöglichkeiten. Eine günstig zu implementierende Lösung umfasst, die Fehlzustandsinformationen explizit über das Kommunikationssystem zu übertragen. Dies erfolgt derart, dass zumindest einige der beteiligten Partner (z.B. das Motorsteuergerät 31 oder 32) in regelmäßigen Abständen ihre Sicht dieser Information explizit übertragen. Unter der Fail-Silence-Annahme der beteiligten Motorsteuergeräte 31, 32 ist dabei eine (mehr als kurzfristig aus Synchronisationsgründen mögliche) Inkonsistenz dieser Informationen extrem unwahrscheinlich (faktisch ausschließbar), so dass bei einer Erkennung einer Inkonsistenz eine einfache Systemreaktion, beispielsweise eine Fahrerwarnung mit der Aufforderung zum Anhalten des Kraftfahrzeugs 100, gewählt werden kann.
  • Eine im Rahmen der vorliegenden Erfindung verwendbare Kommunikationsstrategie kann z.B. eine Kommunikation dieser Statusnachrichten (über den Fehlerzustand) in zeitgesteuerter Weise (z.B. in Runden) umfassen. Jedes der beteiligten Motorsteuergeräte 31, 32 schickt dabei einmal pro Runde seine Sicht. Jedes der beteiligten Motorsteuergeräte 31, 32 aktualisiert seine eigene Sicht entsprechend der internen Fehlerdetektionsmechanismen und gemäß der empfangenen Nachricht (ein Empfang von einem anderen der beteiligten Motorsteuergeräte 31, 32 bedeutet dabei, dass das andere Motorsteuergerät 31, 32 betriebsfähig ist, falls eine Fail-Silent-Funktion implementiert ist). Wird in mehr als n Runden (mit z.B. n = 4) eine Inkonsistenz festgestellt, schickt ein entsprechendes Motorsteuergerät 31, 32 eine Inkonsistenzwarnung. Liegt eine Konsistenz vor, wird eine Handlung entsprechend der betriebsfähigen Komponenten vorgenommen. Es ist erforderlich, dass jedes Motorsteuergerät 31, 32 das zuvor erläuterte Warnsignal (z.B. die Aufforderung zum Anhalten) an den Fahrer abgeben kann.
  • Ein weiterer zentraler Aspekt der vorliegenden Erfindung ist eine Fahrerwunscherfassung. Diese wird im Stand der Technik üblicherweise redundant ausgeführt, um Fehler in der Sensorik zu beherrschen. Damit die zuvor beschriebenen Lösungen umgesetzt werden können, kann es erforderlich sein, dass der Fahrerwunsch von beiden beteiligten Motorsteuergeräten 31, 32 erfasst werden kann. In einem sicherheitstechnisch besonders günstigen Fall wird sogar in jedem Motorsteuergerät 31, 32 der Fahrerwunsch redundant erfasst. Damit ist selbst in der Rückfallebene ein weiter abgesicherter (und damit im Prinzip zeitlich unbegrenzter) Weiterbetrieb möglich.
  • In einer kostengünstigeren Variante kann auch jedes der beiden Motorsteuergeräte 31, 32 je einen Sensor direkt einlesen und den Wert dann über den Bus dem anderen Motorsteuergerät 31, 32 mitteilen, um einen Vergleich und/oder die übliche Minimalauswahl zu ermöglichen.
  • Eine weitere Möglichkeit besteht darin, die Fahrerwunscherfassung mit drei Sensoren auszuführen. Hierbei werden einem Motorsteuergerät 31, 32 zwei Sensoren direkt zugeführt und dem anderen Motorsteuergerät 31, 32 ein Sensor direkt zugeführt. Eine Kommunikation der Motorsteuergeräte 31, 32 kann über einen Bus erfolgen. Damit ist, je nachdem welches Motorsteuergerät 31, 32 fehlerhaft ist, u.U. ein abgesicherter Betrieb möglich.
  • 6 zeigt in den Teil6A bis 6C diese Grundkonzepte einer Fahrerwunscherfassung durch die zwei Motorsteuergeräte 31, 32 in Form eines schematischen Blockdiagramms. Die Sensoren sind hierbei mit A, B und C, entsprechende Sensorleitungen mit a, a1, a2, b, b1 und b2 bezeichnet.
  • Grundsätzlich kann auch die Verwendung eines Sensorbusses vorteilhaft sein. In allen Fällen kann es vorteilhaft sein, wenn sich die beiden Motorsteuergeräte 31, 32 über den tatsächlich verwendeten Fahrerwunsch abstimmen. Eine Abstimmung kann z.B. nach folgendem Verfahren ablaufen
    • 1. Jedes Motorsteuergerät 31, 32 liest die dem Motorsteuergerät 31, 32 direkt zugeordneten Sensoren A, B, C ein.
    • 2. Jedes Motorsteuergerät 31, 32 sendet die eingelesenen Sensorwerte oder einen geeigneten, aus diesen ermittelten Wert über den Bus oder ein anderes Kommunikationssystem das oder die anderen Motorsteuergeräte 31, 32.
    • 3. Jedes Motorsteuergerät 31, 32 bestimmt den tatsächlich verwendeten Wert aus den bisher beschriebenen Daten.
  • Für Schritt 3 existieren mehrere Verfahren, die – unter der Prämisse eines Fail-Silent-Steuergeräts – die Konsistenz der Werte sicherstellen. Mittelwertbildung, fehlertolerante Mittelung (unter Weglassen beispielsweise der Maximalwerte) oder die Verwendung eines Minimalwerts (was sicherheitstechnisch vorteilhaft sein kann) sind mögliche Lösungen.
  • Damit dieses Verfahren optimal abläuft ist eine zeitliche Synchronisation notwendig. Beide Motorsteuergeräte 31, 32 müssen die Sensorwerte zur (ungefähr) gleichen Zeit einlesen und beide müssen sie zur (ungefähr) gleichen Zeit anwenden. Dies kann durch Software erfolgen, es können jedoch auch spezielle Protokolle (wie TTCAN, FlexRay) verwendet werden, die eine Synchronisation bereits implementieren. In Summe ist also ein zeitgesteuertes (z.B. periodisches) Senden dieser Nachrichten vorteilhaft.
  • Für das Austauschverfahren sind auch Kommunikationsfehler zu berücksichtigen. Verfälschungsfehler können dabei über Busmechanismen, Anwendungsprüfsummen und Botschaftszähler gut abgefangen werden. Ein hier besonders zu berücksichtigender Fall ist der Ausfall einzelner Nachrichten oder eines Senders. Der Ausfall eines Senders kann sehr leicht detektiert werden (durch das Ausbleiben von Nachrichten). In diesem Fall müssen die beteiligten anderen Motorsteuergeräte 31, 32 ihre Fehlzustandsinformation (s.o.) entsprechend aktualisieren und austauschen. Im Netzwerk wird dazu vorteilhafterweise eine allen beteiligten Komponenten bekannte Zeitkonstante vorgesehen, die angibt, nach welcher Zeit des Ausbleibens von Nachrichten die Fehlzustandsinformation dementsprechend angepasst werden soll.
  • Anspruchsvoller sind Ausfälle einzelner Nachrichten oder einiger weniger Nachrichten (wie sie beispielsweise durch Störungen des Busses auftreten können). Auch für diesen Fall existiert eine Reihe von Lösungen. Beispiele sind
    • • Man kann (falls die Störungen nur ein Motorsteuergerät 31, 32 betreffen) grundsätzlich nur die auf dem Bus sichtbaren Werte verwenden.
    • • Jedes Motorsteuergerät 31, 32 rechnet für eine definierte Zeit (z.B. die Fehlertoleranzzeit des Systems) mit den lokalen Werten. Dies ist beispielsweise dann besonders vorteilhaft, wenn die Kommunikationsstörung alle Motorsteuergeräte 31, 32 betrifft.
    • • Eine Modifikation einer beiden Lösungen in Richtung kleinerer Fahrerwunsch oder Restriktion des Gradienten.
  • Die bezüglich der Fahrerwunscherfassung beschriebenen Mechanismen zur Erfassung des Fahrerwunsches durch die beteiligten Motorsteuergeräte 31, 32 gelten auch für Drehzahl- und Momentenforderungen von externen Steuergeräten, im Besonderen für Fahrerassistenzsysteme (z.B. Einparkhilfen) oder Komponenten, welche ein (teil-)autonomes Fahren ermöglichen. Die Erfindung eignet sich in besonderer Weise für die eingangs erläuterten EGas-Systeme.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Nicht-Patentliteratur
    • Ottomotor-Management: Motronic-Systeme. Robert Bosch GmbH, 2003. ISBN-3-7782-2029-2 [0003]
    • ISO 26262 [0009]
    • ISO 26262 [0010]

Claims (15)

  1. Kraftfahrzeug (100) mit zumindest zwei Vortriebsaktoren (11, 12, 13, 14), die jeweils mit zumindest einem Rad (21, 22, 23, 34) des Kraftfahrzeugs (100) gekoppelt oder koppelbar sind, wobei Steuermittel (31, 32, 33, 34) vorgesehen sind, die dafür eingerichtet sind, in einem Fehlerfall, in dem zumindest ein beliebiger Vortriebsaktor (11, 12, 13, 14) der zumindest zwei Vortriebsaktoren (11, 12, 13, 14) betriebsfähig ist und zumindest ein beliebiger anderer der zumindest zwei Vortriebsaktoren (11, 12, 13, 14) nicht betriebsfähig ist, das Kraftfahrzeug (100) nur mittels des zumindest einen betriebsfähigen Vortriebsaktors (11, 12, 13, 14) vortriebsleistend anzutreiben.
  2. Kraftfahrzeug (100) nach Anspruch 1, das Momentenmittel (5154) aufweist, die dazu eingerichtet sind, in dem Fehlerfall ein Schleppmoment des zumindest einen nicht betriebsfähigen Vortriebsaktors (11, 12, 13, 14) auf das zumindest eine Rad (21, 22, 23, 34) und/oder den zumindest einen betriebsfähigen Vortriebsaktor (11, 12, 13, 14) zu reduzieren.
  3. Kraftfahrzeug (100) nach Anspruch 2, bei dem die Momentenmittel (5154) zumindest eine Kupplung (5154) und/oder zumindest ein Planetengetriebe zwischen dem zumindest einen nicht betriebsfähigen Vortriebsaktor (11, 12, 13, 14) und dem zumindest einen Rad (21, 22, 23, 34) und/oder dem zumindest einen betriebsfähigen Vortriebsaktor (11, 12, 13, 14) umfassen.
  4. Kraftfahrzeug (100) nach Anspruch 2 oder 3, bei dem die zumindest zwei Vortriebsaktoren (11, 12, 13, 14), zumindest einen Elektromotor umfassen, wobei die Momentenmittel (5154) dazu eingerichtet sind, den Elektromotor schleppmomentenreduzierend anzusteuern.
  5. Kraftfahrzeug (100) nach einem der vorstehenden Ansprüche, bei dem die Steuermittel (31, 32, 33, 34) zumindest zwei Motorsteuergeräte (31, 32) umfassen, die dafür eingerichtet sind, jeweils zumindest einen der zumindest zwei Vortriebsaktoren (11, 12, 13, 14) anzusteuern.
  6. Kraftfahrzeug (100) nach Anspruch 5, bei dem die zumindest zwei Motorsteuergeräte (31, 32) für eine Kommunikation zwischeneinander eingerichtet sind.
  7. Kraftfahrzeug (100) nach Anspruch 6, bei dem jedes der zumindest zwei Motorsteuergeräte (31, 32) dafür eingerichtet ist, einen Fehlerzustand eines jeden anderen der zumindest zwei Motorsteuergeräte (31, 32) zu detektieren.
  8. Kraftfahrzeug (100) nach einem der Ansprüche 5 bis 7, bei dem zwei jeweils mit zwei Rädern (21, 22; 23, 34) des Kraftfahrzeugs (100) gekoppelte oder koppelbare Vortriebsaktoren (11, 12) vorgesehen sind, wobei jedem der zwei Vortriebsaktoren (11, 12) ein Motorsteuergerät (31, 32) zugeordnet ist.
  9. Kraftfahrzeug (100) nach einem der Ansprüche 5 bis 7, bei dem drei oder vier jeweils mit einem Rad (21, 22; 23, 34) des Kraftfahrzeugs (100) gekoppelte oder koppelbare Vortriebsaktoren (11, 12, 13, 14) vorgesehen sind.
  10. Kraftfahrzeug (100) nach einem der Ansprüche 5 bis 9, bei dem jedes der Motorsteuergeräte (31, 32) für eine Fahrerwunscherfassung mittels wenigstens einen Sensors (A, B, C, D) eingerichtet ist.
  11. Kraftfahrzeug (100) nach Anspruch 10, bei dem die Motorsteuergeräte (31, 32) für eine Plausibilisierung eines mittels des jeweils wenigstens einen Sensors (A, B, C, D) erfassten Fahrerwunschs eingerichtet sind.
  12. Verfahren zum Betreiben eines Kraftfahrzeugs (100) nach einem der vorstehenden Ansprüche, wobei in einem Fehlerfall, in dem zumindest ein beliebiger Vortriebsaktor (11, 12, 13, 14) der zumindest zwei Vortriebsaktoren (11, 12, 13, 14) betriebsfähig ist und zumindest ein beliebiger anderer der zumindest zwei Vortriebsaktoren (11, 12, 13, 14) nicht betriebsfähig ist, das Kraftfahrzeug (100) nur mittels des zumindest einen betriebsfähigen Vortriebsaktors (11, 12, 13, 14) vortriebsleistend angetrieben wird.
  13. Recheneinheit, insbesondere Motorsteuergerät (31, 32), die dazu eingerichtet ist, ein Verfahren nach Anspruch 12 durchzuführen.
  14. Computerprogramm mit Programmcodemitteln, die eine Recheneinheit veranlassen, ein Verfahren nach Anspruch 12 durchzuführen, wenn sie auf der Recheneinheit, insbesondere nach Anspruch 13, ausgeführt werden.
  15. Maschinenlesbares Speichermedium mit einem darauf gespeicherten Computerprogramm nach Anspruch 14.
DE102013208700.4A 2013-05-13 2013-05-13 Kraftfahrzeug mit zumindest zwei Vortriebsaktoren und erhöhter Ausfallsicherheit, Betriebsverfahren und Mittel zu dessen Implementierung Ceased DE102013208700A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102013208700.4A DE102013208700A1 (de) 2013-05-13 2013-05-13 Kraftfahrzeug mit zumindest zwei Vortriebsaktoren und erhöhter Ausfallsicherheit, Betriebsverfahren und Mittel zu dessen Implementierung

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102013208700.4A DE102013208700A1 (de) 2013-05-13 2013-05-13 Kraftfahrzeug mit zumindest zwei Vortriebsaktoren und erhöhter Ausfallsicherheit, Betriebsverfahren und Mittel zu dessen Implementierung

Publications (1)

Publication Number Publication Date
DE102013208700A1 true DE102013208700A1 (de) 2014-11-13

Family

ID=51787584

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102013208700.4A Ceased DE102013208700A1 (de) 2013-05-13 2013-05-13 Kraftfahrzeug mit zumindest zwei Vortriebsaktoren und erhöhter Ausfallsicherheit, Betriebsverfahren und Mittel zu dessen Implementierung

Country Status (1)

Country Link
DE (1) DE102013208700A1 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102014223002A1 (de) * 2014-11-11 2016-05-12 Robert Bosch Gmbh Verfahren zum sicheren Betreiben eines Kraftfahrzeugs
US10983519B2 (en) 2017-10-19 2021-04-20 Volkswagen Aktiengesellschaft Functional module, control unit for an operation assistance system, and device

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
ISO 26262
Ottomotor-Management: Motronic-Systeme. Robert Bosch GmbH, 2003. ISBN-3-7782-2029-2

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102014223002A1 (de) * 2014-11-11 2016-05-12 Robert Bosch Gmbh Verfahren zum sicheren Betreiben eines Kraftfahrzeugs
US10983519B2 (en) 2017-10-19 2021-04-20 Volkswagen Aktiengesellschaft Functional module, control unit for an operation assistance system, and device

Similar Documents

Publication Publication Date Title
EP1219489B1 (de) System und Verfahren zur Steuerung und/oder überwachung eines wenigstens zwei Steuergeräte aufweisenden Steuergeräteverbunde
DE112008003289B4 (de) Kupplungsaktor und Verfahren zu dessen Steuerung
EP2972607B1 (de) Verfahren zur behandlung von fehlern in einem zentralen steuergerät sowie steuergerät
DE10348362A1 (de) Integriertes Fahrzeugsteuersystem
DE102008000904A1 (de) Verfahren und Vorrichtung zur Steuerung einer elektrischen Maschine eines Hybridantriebs bei erhöhter Verfügbarkeit
EP2739883B1 (de) Verfahren und steuergerät für eine antriebsstrang-komponente
DE102008042887A1 (de) Verfahren zur Verfügbarkeitserhöhung bei Hybridfahrzeugen
DE102013200535A1 (de) Verfahren und Vorrichtung zum Betrieb eines Kommunikationsnetzwerks insbesondere eines Kraftfahrzeugs
DE102010033836A1 (de) Kupplungsaktor und Verfahren zu dessen Steuerung
DE102011054480B4 (de) Verfahren und Diagnosevorrichtung zum Diagnostizieren eines Betriebszustands einer Trennkupplung
DE102011088764A1 (de) Verfahren zum Betreiben eines Steuergeräts
EP2331378A2 (de) Verfahren zum diagnostizieren eines betriebsstatus einer antriebsvorrichtung sowie diagnosevorrichtung und antriebssystem
DE102013205010A1 (de) Verfahren zur Überführung eines Antriebsstrangs eines Kraftfahrzeugs von einem Segelbetrieb in einen Normalbetrieb
DE102011017741A1 (de) Verfahren zum Überwachen eines Schaltablaufs eines automatischen Getriebes, sowie automatisches Getriebe
DE102013201477A1 (de) Steuervorrichtung für eine Hybrid-Energiequelle
DE102013208700A1 (de) Kraftfahrzeug mit zumindest zwei Vortriebsaktoren und erhöhter Ausfallsicherheit, Betriebsverfahren und Mittel zu dessen Implementierung
EP2612059B1 (de) Vorrichtung und verfahren zur regelung eines doppelkupplungsgetriebes
DE102005040786A1 (de) Verfahren zur Steuerung einer Fahrzeug-Antriebseinheit
DE102012209144A1 (de) Verfahren zur Überführung eines elektrischen Antriebsystems in einen sicheren Zustand und Anordnung zur Durchführung des Verfahrens
DE102012212680A1 (de) Verfahren und System zur fehlertoleranten Steuerung von Stellgliedern für eine begrenzte Zeit auf der Grundlage von vorberechneten Werten
DE102009039504A1 (de) Verfahren zur Fehlererkennung in einem Antriebsstrang
DE102019132428A1 (de) Funktionsorientierte Elektronik-Architektur
DE102014202984A1 (de) Verteiltes System, Überwachungsschaltung für ein verteiltes System
DE102014105626A1 (de) Verfahren zum Verwalten verfügbarer Betriebszustände in einem Elektrofahrzeug-Antriebsstrang
WO2016139048A1 (de) Verfahren und vorrichtung zum feststellen, ob in einem kraftfahrzeug ein fehlerzustand vorliegt oder nicht

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R016 Response to examination communication
R002 Refusal decision in examination/registration proceedings
R003 Refusal decision now final