DE102018209662A1 - Steuerungssystem, Steuerungsverfahren und Fahrzeug mit mindestens einem Steuerungssystem - Google Patents

Steuerungssystem, Steuerungsverfahren und Fahrzeug mit mindestens einem Steuerungssystem Download PDF

Info

Publication number
DE102018209662A1
DE102018209662A1 DE102018209662.7A DE102018209662A DE102018209662A1 DE 102018209662 A1 DE102018209662 A1 DE 102018209662A1 DE 102018209662 A DE102018209662 A DE 102018209662A DE 102018209662 A1 DE102018209662 A1 DE 102018209662A1
Authority
DE
Germany
Prior art keywords
subunit
control system
energy source
energy
component
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
DE102018209662.7A
Other languages
English (en)
Inventor
Andreas Achtzehn
Dirk Langner
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102018209662.7A priority Critical patent/DE102018209662A1/de
Publication of DE102018209662A1 publication Critical patent/DE102018209662A1/de
Ceased legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/023Avoiding failures by using redundant parts
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/03Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for supply of electrical power to vehicle subsystems or for
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0225Failure correction strategy
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W60/00Drive control systems specially adapted for autonomous road vehicles
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W2050/0001Details of the control system
    • B60W2050/0002Automatic control, details of type of controller or control system architecture
    • B60W2050/0004In digital systems, e.g. discrete-time systems involving sampling
    • B60W2050/0006Digital architecture hierarchy

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Mechanical Engineering (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Electric Propulsion And Braking For Vehicles (AREA)

Abstract

Offenbart ist ein Steuerungssystem (1), insbesondere für ein Fahrzeug (100), aufweisend mindestens eine Komponente (30) zum Ausführen von mindestens einer Funktion (F) und aufweisend mindestens zwei Energiequellen (10, 20), welche über separate Leitungen (13, 23) mit der mindestens einen Komponente (30) verbunden sind, wobei die mindestens eine Funktion (F) zumindest anteilig durch mindestens zwei Subeinheiten (31, 32) der mindestens einen Komponente (30) ausführbar ist und wobei mindestens eine Subeinheit (32) mit einer ersten Energiequelle (10) und/oder mit mindestens einer zweiten Energiequelle (20) verbindbar ist. Des Weiteren ist ein Fahrzeug (100) offenbart.

Description

  • Die Erfindung betrifft ein Steuerungssystem, insbesondere für ein Fahrzeug, aufweisend mindestens eine Komponente zum Ausführen von mindestens einer Funktion und aufweisend mindestens zwei Energiequellen, welche über separate Leitungen mit der mindestens einen Komponente verbunden sind. Die Erfindung betrifft weiterhin ein Steuerungsverfahren. Des Weiteren betrifft die Erfindung ein Fahrzeug.
  • Stand der Technik
  • In verschiedenen technischen Bereichen übernehmen komplexe elektrische oder elektronische Komponenten zunehmend sicherheitskritische Funktionen und Aufgaben. Insbesondere im automobilen Bereich werden zum Schutz von Passagieren und anderen Verkehrsteilnehmern hohe Anforderungen an die Verfügbarkeit derartiger Komponenten gestellt. Bei der Verfügbarkeit ist auch eine sichere Stromversorgung der Komponenten zu berücksichtigen. Zur Erhöhung der Zuverlässigkeit der Energieversorgung sicherheitskritischer Komponenten werden vorrangig redundante Auslegungskonzepte genutzt. Hierbei bezieht sich die Redundanz insbesondere auf Energiebereitstellungssysteme, Energieverteilungssysteme und Komponenten.
  • Im Bereich der Energiebereitstellungssysteme ist aus der DE 10 2014 014 838 A1 eine Methode bekannt, welche mittels Nutzung zweier Batterien eine Gesamtenergieversorgung eines Fahrzeuges sicherstellt. Die Batterien arbeiten jeweils originär mit einer Versorgungsspannung von 12V oder 48V. Eine zweite Batterie kann permanent mit einem Energienetz verbunden sein, oder im Fall des Ausfalls der Hauptstromversorgung zugeschaltet werden.
  • In der US6512452B wird die Gesamtsicherheit einer Bremsanlage durch redundante Auslegung eines Energieverteilungssystems verbessert. Es wird eine Schaltung für eine Trailer-Bremse beschrieben, bei der die elektrischen Anschlüsse und Leitungen zweifach ausgelegt sind, so dass im Falle einer Unterbrechung eines Pfades die Bremsfunktion über den zweiten Pfad ausgelöst werden kann. Aus EP1605569B1 ist ein ähnlicher Ansatz bekannt, bei welchem statt zweier physikalisch getrennter elektrischer Pfade ein einzelnes Koaxialkabel eingesetzt wird. Die Stromleitung erfolgt hier wahlweise über den Außen- oder den Innenleiter des Koaxialkabels.
  • Aus der WO16012134A1 ist eine redundante Auslegung von Komponenten bekannt. Es wird eine Energieversorgung einer Komponente durch zwei parallel angeschlossene Energienetze beschrieben.
  • Außerhalb des Fahrzeugbereichs sind unterschiedliche Methoden zur Auslegung eines Verbrauchers mit einer sekundären Energieversorgung bekannt. Der Großteil dieser Technologien sieht eine temporäre Energieversorgung über einen Kurzzeitenergiespeicher, wie beispielsweise eine Batterie oder einen Kondensator, vor. Die temporäre Energieversorgung ist üblicherweise als ein permanent zu ladender Energiespeicher ausgestaltet, aus dem durchgehend eine Entladung stattfindet. Alternativ kann der temporäre Energiespeicher bei einem Ausfall der Energieversorgung aktiv mit dem Verbraucher verbunden werden.
  • Der Stand der Technik beschränkt sich auf die Sicherstellung der Versorgung von sicherheitsrelevanten Komponenten, die redundant über mehrere Energiequellen oder mehrere Energiepfade betrieben werden können. Jede dieser Versorgungsmöglichkeiten muss hierbei in der Lage sein, den gesamten Energiebedarf der Komponenten zu tragen.
  • Offenbarung der Erfindung
  • Der Erfindung liegt die Aufgabe zugrunde, ein Steuerungssystem zu schaffen, welches einen Mischbetrieb aus sicherheitskritischen und nicht sicherheitskritischen Funktionen ermöglicht. Diese Aufgabe wird durch die im Anspruch 1 angegebenen Merkmale gelöst. Weitere vorteilhafte Ausgestaltungen der Erfindung sind in den Unteransprüchen beschrieben.
  • Gemäß einem Aspekt der Erfindung wird ein Steuerungssystem, insbesondere für ein Fahrzeug, bereitgestellt. Das Steuerungssystem weist mindestens eine Komponente zum Ausführen von mindestens einer Funktion auf. Des Weiteren weist das Steuerungssystem mindestens zwei Energiequellen auf, welche über separate Leitungen mit der mindestens einen Komponente verbunden sind. Erfindungsgemäß ist die mindestens eine Funktion zumindest anteilig durch mindestens zwei Subeinheiten der mindestens einen Komponente ausführbar, wobei mindestens eine Subeinheit mit einer ersten Energiequelle und/oder mit mindestens einer zweiten Energiequelle verbindbar ist.
  • Insbesondere im automobilen Bereich werden die kommenden Fahrzeuggenerationen neue sicherheitskritische E/E-(elektrisch/elektronisch) Komponenten mit einem hohen Energiebedarf aufweisen. Zum Beispiel durch die zunehmende Automatisierung des Fahrens hin zu hoch- und vollautomatisierten Fahrfunktionen werden zukünftig komplexe Steuergeräte benötigt, deren Energiebedarf nicht alleinig aus dem regulären Niederspannungsbordnetz des Fahrzeugs gedeckt werden kann. Diese werden voraussichtlich über ein zusätzliches Hochspannungsnetz, beispielsweise mit 48V Basisspannung, versorgt. Eine einzige sicherheitskritische Funktion wird hier in einem Gerät abgebildet sein. Zur Kosten- und Gewichtsreduktion werden vormals in separaten E/E-Komponenten im Fahrzeug implementierte Funktionen zukünftig zu einer geringeren Zahl von sogenannten Domänen- oder Zonen-Steuergeräten vereint. Zum Beispiel kann ein Infotainmentsystem auch die direkte Ansteuerung von angeschlossenen Clusterinstrumenten übernehmen. Derartige Clusterinstrumente können beispielsweise Geschwindigkeits- und Ganganzeigen sowie Komfortfunktionen wie Navigationsfunktionen visualisieren. Hierbei ist zu beachten, dass häufig nur an definierte Teile der Gerätefunktionen erhöhte funktionale Sicherheitsanforderungen gestellt werden. Es kann sich somit ein Mischbetrieb aus Funktionen mit minimalen Anforderungen und hohen Anforderungen ergeben. Die Funktionen mit minimalen Anforderungen können beispielsweise durch Qualitätsmanagement-Standards definiert sein. Die Funktionen mit hohen Anforderungen können einen Einfluss auf die Sicherheit von Verkehrsteilnehmern, des Fahrers und der Passagiere des Fahrzeugs haben. Die sicherheitskritischen Funktionen werden gemäß dem sogenannten ASIL (Automotive Safety Integrity Level) eingestuft und weisen somit hohe Anforderungen bezüglich ihrer Verfügbarkeit auf.
  • Das Steuerungssystem kann eine oder mehrere Komponenten aufweisen, welche beispielsweise als E/E-Komponenten, Steuereinheiten oder Steuergeräte ausgestaltet sein können. Eine zumindest doppelte Energieversorgung durch mindestens zwei Energiequellen kann eine erforderliche Redundanz im Bereich der Versorgung ermöglichen. Die erste Energiequelle kann hierbei eine Niederspannungsquelle sein, welche beispielsweise eine Betriebsspannung von 6V, 12V oder 24V bereitstellen kann. Die mindestens eine zweite Energiequelle kann vorzugsweise eine Hochspannungsquelle mit einer bereitgestellten Spannung von mindestens 48V sein.
  • Die mindestens eine Komponente kann vorzugsweise mehrere Subeinheiten aufweisen, welche unterschiedliche Teile der Funktionen ausführen bzw. verarbeiten können. Es kann somit ein sicherheitsrelevanter Bestandteil der Funktion auf der mindestens einen Subeinheit ausführbar sein. Andere Bestandteile der Funktion können auf andere Subeinheiten verlagert und von diesen Subeinheiten ausführbar sein. Hierdurch kann eine komponenteninterne Trennung der Funktionen gemäß ihren Sicherheitsanforderungen erfolgen. Durch eine redundante Auslegung von elektrischen Verbindungen und der Energiequellen kann bei der mindestens einen mit sicherheitskritischen Funktionen betrauten Subeinheit eine hohe Verfügbarkeit sichergestellt werden. Hierdurch kann ein Mischbetrieb von sicherheitskritischen und nicht sicherheitskritischen Funktionen in mindestens einen integral ausgestalteten Komponente umgesetzt werden, indem die sicherheitskritischen Funktionen nahtlos zwischen redundant und nicht redundant versorgten Subeinheiten migriert werden. Hierdurch können die Voraussetzungen zur Erreichung eines ASILLevels erfüllt werden. Insbesondere kann die Funktionstüchtigkeit des Geräts auch dann sichergestellt werden, wenn in einem normalen Betriebszustand eine Last durch die Komponente generiert wird, welche nur durch Betrieb an einem Hochspannungsnetz sichergestellt werden kann.
  • Die Subeinheiten können aus verschiedenen technischen Komponenten, wie beispielsweise CPUs, Speicher, Relais, Mikrokontroller und dergleichen bestehen. Die mindestens eine erste Subeinheit kann dabei primäre Funktionen mit erhöhtem Energiebedarf übernehmen. Die mindestens eine zweite Subeinheit kann vorzugsweise Funktionen mit einem geringen Energiebedarf ausführen. Somit kann die mindestens eine erste Subeinheit von der mindestens einen zweiten Energiequelle und die mindestens eine zweite Subeinheit von der ersten Energiequelle mit einer Niederspannung versorgt werden. Zum Gewährleisten der Verfügbarkeit der zweiten Subeinheit kann die mindestens eine zweite Subeinheit auch durch die mindestens eine zweite Energiequelle parallel zu oder unabhängig von der ersten Energiequelle elektrisch versorgt werden. Die Subeinheiten können beispielsweise ebenfalls eine oder mehrere Einheiten bzw. Master- und Slave-Einheiten aufweisen. Dabei kann die erste Subeinheit, bestehend aus einem oder mehreren Slaves, über das Hochspannungsnetz und die zweite Subeinheit über das Niederspannungsnetz und/oder das Hochspannungsnetz elektrisch versorgt werden.
  • Bei einer Unterbrechung der Stromversorgung durch das Niederspannungsnetz wird die mindestens eine zweite Subeinheit unterbrechungsfrei durch das Hochspannungsnetz weiterversorgt. Die sicherheitskritische Funktion bleibt somit in vollem Umfang erhalten.
  • Durch eine Verbindung der ersten Subeinheit der mindestens einen Komponente mit der mindestens einen zweiten Energiequelle kann ein hoher Energiebedarf der ersten Subeinheit durch die als eine Hochspannungsversorgung ausgestaltete zweite Energiequelle gedeckt werden.
  • Gemäß einer Ausführungsform des Steuerungssystems ist mindestens eine zweite Subeinheit der mindestens einen Komponente durch eine passive oder aktive Schalteinheit mit der mindestens einen ersten Energiequelle und/oder mit der mindestens einen zweiten Energiequelle verbindbar. Hierdurch kann eine wahlweise Umschaltung der Energieversorgung der mindestens einen zweiten Subeinheit durch die erste und/oder die zweite Energiequelle gewährleistet werden.
  • Aufgrund einer Anordnung einer internen oder externen Konvertierungseinheit zum Anpassen einer Spannung und/oder eines Stroms der mindestens einen zweiten Energiequelle an eine Betriebsspannung und/oder einen Betriebsstrom der zweiten Subeinheit im Energiepfad zwischen der zweiten Energiequelle und der zweiten Subeinheit kann die mindestens eine zweite Subeinheit mit unterschiedlichen Energiequellen betrieben werden. Es kann somit eine flexible und universelle zweite Subeinheit realisiert werden, welche auch fahrzeugübergreifend einsetzbar ist.
  • Nach einer weiteren Ausführungsform des Steuerungssystems ist die erste Subeinheit mit der mindestens einen zweiten Subeinheit über eine Signalleitung verbunden. Über die Signalleitung können bidirektional Informationen und Anweisungen übertragen werden, die zur Implementierung von Funktionen notwendig sind. Darüber hinaus können auch Informationen und Anweisungen zwischen den Subeinheiten übertragen werden, welche beispielsweise nach einem Ausfall der ersten Subeinheit von der zweiten Subeinheit benötigt werden. Im Falle eines Stromverlustes kann somit der Zugang zu den Eingangsdaten erhalten bleiben.
  • Gemäß einer weiteren Ausführungsform des Steuerungssystems weist ein Teil der von der mindestens einen zweiten Subeinheit ausgeführten Funktion eine automatisierte oder teilautomatisierte Fahrzeugsteuerung auf, wobei ein Teil der von der ersten Subeinheit ausgeführten Funktion Berechnungen für die automatisierte oder teilautomatisierte Fahrzeugsteuerung aufweist. Hierdurch kann die mindestens eine erste Subeinheit beispielsweise eine oder mehrere Notfalltrajektorien für einen sicheren Notstopp eines automatisierten Fahrzeuges berechnen. Einfach ausgelegte Sensordateneingänge können darüber hinaus ebenfalls in der ersten Subeinheit terminiert und mittels der Signalleitung als Input der mindestens einen zweiten Subeinheit bereitgestellt werden. Die explizite Steuerung des Fahrzeugs kann anschließend durch die redundant ausgestaltete mindestens eine zweite Subeinheit übernommen werden. Die mindestens eine zweite Subeinheit kann bevorzugsweise integrierte Notlaufprogramme und/oder Notlauftrajektorien aufweisen.
  • Durch eine Trennungseinheit ist die Leitung zwischen der mindestens einen Komponente und der mindestens einen ersten Energiequelle elektrisch und/oder galvanisch trennbar. Es kann somit eine Fehlfunktion der ersten Energiequelle und eine daraus resultierende für die mindestens eine zweite Subeinheit schädliche Überspannung vermieden werden.
  • Die Funktionsfähigkeit der Trennungseinheit und/oder der mindestens einen zweiten Subeinheit bei einem Spannungsausfall kann durch einen internen oder externen Energiespeicher zum zumindest temporären Betreiben der Trennungseinheit und/oder der mindestens einen zweiten Subeinheit sichergestellt werden.
  • Gemäß einer weiteren Ausführungsform des Steuerungssystems ist mindestens eine dritte Subeinheit redundant über mindestens eine Energiequelle und/oder mindestens eine erste oder zweite Subeinheit elektrisch versorgt, wobei die mindestens eine dritte Subeinheit mit einer externen Komponente datenleitend und stromleitend verbindbar ist. Durch diese Maßnahme kann die mindestens eine Komponente mit externen Komponenten gekoppelt werden. Die Erweiterung durch die mindestens eine externe Komponente kann bei Bedarf ebenfalls redundant ausgestaltet sein.
  • Nach einer weiteren Ausführungsform des Steuerungssystems ist eine Warnung, eine Signalisierung, ein kontrolliertes Abschalten und/oder ein Notlaufprogramm bei einem Ausfall einer Funktion oder mindestens einer Energiequelle ausführbar. Insbesondere bei einer Unterbrechung der Stromversorgung im Hochspannungsnetz kann die Funktion der mindestens einen ersten Subeinheit entfallen. Die zweite Subeinheit kann anschließend vollumfänglich oder partiell die Funktion der ersten Subeinheit übernehmen. Alternativ ersetzt die redundant abgesicherte mindestens eine zweite Subeinheit die Funktion der ersten Subeinheit durch eine Ersatzfunktion, welche einen sogenannten fail-operational Zustand mit einem geringen Leistungsumfang ermöglicht. Auch kann die mindestens eine zweite Subeinheit in einen sogenannten fail-safe Zustand schalten und so ein kontrolliertes Herunterfahren der Komponente oder eine kontrollierte Abschaltung des Fahrzeugs ermöglichen.
  • Des Weiteren kann die Komponente den Ausfall eines Bordnetzes oder einer Fahrfunktion durch entsprechende Signalisierung dem Fahrer des Fahrzeugs mitteilen. Die Signalisierung kann optisch, haptisch und/oder akustisch ausgeführt werden. Aufgrund der getrennten Trassenführung des redundanten Energieverteilungsnetzes des Steuerungssystems kann ein Ausfall aller Subeinheiten selbst bei einem teilweisen Energieausfall verhindert werden. Darüber hinaus kann durch die redundante und an den Leistungsbedarf der Subeinheiten angepasste Auslegung der Energiequellen und der elektrischen Verbindungen eine optimierte Lastverteilung in einem Fahrzeugbordnetz umgesetzt werden.
  • Gemäß eines weiteren Aspekts der Erfindung wird ein Fahrzeug mit mindestens einem erfindungsgemäßen Steuerungssystem zum Ausführen von automatisierten oder teilautomatisierten Funktionen bereitgestellt.
  • Hierdurch können sicherheitskritische Funktionen auch in E/E-Komponenten mit einem hohen Energiebedarf implementiert werden. Im Falle des Verlustes, insbesondere der Hochspannungsversorgung, kann somit eine Erreichung eines fail-operational Zustandes durch Sicherstellung der Verfügbarkeit eingeschränkter Funktionen sichergestellt werden. Für sicherheitskritische Komponenten, wie beispielsweise für hochautomatisierte Fahrzeuge vorgesehen, kann dies die Möglichkeit des Abfahrens einer Notfalltrajektorie zur Erreichung des Fahrbahnrandes sein.
  • Das Steuerungssystem kann beispielsweise in Form eines Steuergerätes mit einer redundanten Stromversorgung ausgestaltet sein, welches auch bei einem teilweisen Ausfall der Energieversorgung die Funktionsfähigkeit von sicherheitskritischen Funktionen gewährleisten kann.
  • Die Erfindung umfasst auch ein Steuerungsverfahren, eingerichtet zum Steuern des Steuerungssystems nach einem der vorhergehenden Ansprüche. Das Steuerungsverfahren kann vorteilhaft in Form einer Steuerungssoftware mit Programmcode ausgebildet sein, welches bei seiner Ausführung auf einer Rechnereinheit, die vorzugsweise Bestandteil des vor- und auch nachstehenden Steuerungssystems ist oder sein kann, die vor- und nachstehend im Zusammenhang mit dem Steuerungssystem, zumindest implizit skizzierten Steuerungsabläufe umsetzt.
  • Nachstehend werden mehrere Ausführungsbeispiele der Erfindung anhand der Zeichnungen näher erläutert. Es zeigen:
    • 1 einen schematischen Schaltplan eines Steuerungssystems gemäß einer ersten Ausführungsform der Erfindung,
    • 2 einen schematischen Schaltplan eines Steuerungssystems gemäß einer zweiten Ausführungsform der Erfindung,
    • 3 einen schematischen Schaltplan eines Steuerungssystems gemäß einer dritten Ausführungsform der Erfindung und
    • 4 eine schematische Darstellung eines Fahrzeugs gemäß einer Ausführungsform der Erfindung.
  • In den Figuren weisen dieselben konstruktiven Elemente jeweils dieselben Bezugsziffern auf.
  • In der 1 ist ein schematischer Schaltplan eines Steuerungssystems 1 gemäß einer ersten Ausführungsform der Erfindung dargestellt. Das Steuerungssystem 1 weist eine erste Energiequelle 10 und eine zweite Energiequelle 20 auf. Die Energiequellen 10, 20 sind als Gleichspannungsquellen ausgeführt. Die erste Energiequelle 10 ist eine Niederspannungsquelle 10 mit einer Versorgungsspannung von beispielsweise 12V. Die zweite Energiequelle 20 ist gemäß dem Ausführungsbeispiel eine Hochspannungsquelle mit einer Spannung von 48V.
  • Die Energiequellen 10, 20 können verschiedene Quellen nutzen, z.B. Batteriespeicher 11, 21 oder Generatoren 12, 22. Das Niederspannungsnetz 10 wird über einen elektrischen Leiter 13 mit einer Komponente 30 verbunden. Das Hochspannungsnetz 20 wird über Leiter 23 mit der Komponente 30 verbunden.
  • Zwischen den Energiequellen 10, 20 und der als eine E/E-Komponente ausgestalteten Komponente 30 können insbesondere auch andere leitende Zwischenkomponenten, wie beispielsweise Unterverteiler, angeordnet sein. Die erste Energiequelle 10 stellt eine Speisespannung U2 bereit. Die zweite Energiequelle 20 stellt eine Speisespannung U1 zur Verfügung. Die Spannungen U1 und U2 können identisch sein, wobei gemäß dem Ausführungsbeispiel die Spannung U1 größer als die Spannung U2 ist.
  • Die Energiequellen 10, 20 und die Komponente 30 sind gegen eine gemeinsame Masse geschaltet. Im Fahrzeug 100, welches in der 4 gezeigt ist, liegt die Masse üblicherweise auf der Karosserie.
  • Die Komponente 30 weist zwei Subeinheiten 31, 32 auf. Die erste Subeinheit 31 wird direkt mit der Spannung U1 von der zweiten Energiequelle 20 gespeist. Insbesondere sind auch weitere Spannungstransformationen innerhalb der ersten Subeinheit 31 möglich. Die erste Subeinheit 31 erfüllt einen Teil F1' einer sicherheitskritischen Funktion F1. Die Funktion F1 und F1' können dabei identisch sein. Darüber hinaus kann die erste Subeinheit 31 auch eine weitere Funktion F2 ausführen.
  • Die erste Subeinheit 31 ist mit der zweiten Subeinheit 32 über eine Signalleitung 33 verbunden. Über die Signalleitung 33 können bidirektional Informationen und Anweisungen übertragen werden, welche beispielsweise zur Implementierung der Funktion F1 notwendig sind. Darüber hinaus kann die erste Subeinheit 31 an die zweite Subeinheit 32 über die Signalleitung 33 Informationen und Anweisungen übertragen, die nach einem Ausfall von der ersten Subeinheit 31 von der zweiten Subeinheit 32 benötigt werden. Zum Beispiel können dies eine oder mehrere Notfalltrajektorien für einen sicheren Notstopp des Fahrzeugs 100 sein. Einfach ausgelegte Sensordateneingänge werden in der zweiten Subeinheit 32 terminiert und mittels der Signalleitung 33 als Input der ersten Subeinheit 31 zur Verfügung gestellt. Im Falle des Stromverlustes bleibt so der Zugang zu den Eingangsdaten erhalten.
  • Die zweite Subeinheit 32 wird über eine passive Schalteinheit 40 redundant mit Energie durch die erste Energiequelle 10 und/oder die zweite Energiequelle 20 versorgt. Die passive Schalteinheit 40 ist beispielshaft aus zwei Dioden aufgebaut. Die Spannung U1 der Hochspannungsquelle 20 wird dabei mittels einer Konvertierungseinheit 35 auf die Betriebsspannung U2 der zweiten Subeinheit 32 transformiert. Die zweite Subeinheit 32 kann analog zur ersten Subeinheit 32 weitere Funktionen F3 übernehmen. Falls die Spannung U1 und U2 identisch sind kann die Transformation entfallen. Das System 1 weist eine Messvorrichtung 36 zur Feststellung des Energieverlustes der zweiten Energiequelle 20 auf. Alternativ kann über einen Heartbeat-Mechanismus der Signalleitung 33 indirekt auf den Ausfall der ersten Subeinheit 31 geschlossen werden. Bei einem Erkennen des Ausfalls der Komponentenversorgung durch die zweite Energiequelle 20 schaltet die zweite Subeinheit 32 in einen Alternativbetrieb, der in der vollständigen oder partiellen Übernahme der vormals in der Teilfunktion F1' durchgeführten Operationen besteht. Alternativ oder zusätzlich kann die zweite Subeinheit 32 auch in einen anderen Alternativbetrieb schalten, bei dem eine Gesamtalternativfunktion FN zu der Funktion F1 läuft.
  • Exemplarisch ist im ersten Ausführungsbeispiel eine folgende Systemkonfiguration gegeben: Die erste Subeinheit 31 und die zweite Subeinheit 32 implementieren die Funktion F1 „Bereitstellung eines digitalen Fahrhorizonts für das hochautomatisierte Fahren“. In der ersten Subeinheit 31 werden dazu komplexe Berechnungen zur Transformation großer Kartendatenmengen in einen beschränkten Fahrhorizont durchgeführt (F1'). Informationen zur aktuellen Position/Orientierung des Fahrzeugs erhält die erste Subeinheit 31 nach Weiterleitung durch die zweite Subeinheit 32, welche an einen entsprechenden Positionssensor 50 angeschlossen ist. Die erste Subeinheit 31 übergibt an die zweite Subeinheit 32 mehrere alternative Fahrhorizonte, die jeweils ihre Gültigkeit für eine bestimmte Fahrzeugposition/-orientierung haben. Diese können auch dynamische Quelleninformationen erhalten, wie z.B. Staumeldungen oder Meldungen über Unfälle. Die zweite Subeinheit 32 leitet einen von der ersten Subeinheit 31 vorgegebenen Horizont an nachgelagerte Steuersysteme, wie beispielsweise das Fahrzeug-HAD-Modul weiter (F1"). Bei einem Ausfall der ersten Subeinheit 31 durch Verlust der Versorgungsspannung U1 schaltet die zweite Subeinheit 32 in einen Notlaufbetrieb: Aus den im Vorhinein eingelagerten alternativen Fahrhorizonten wählt die zweite Subeinheit 32 den zu den Sensordaten passenden Horizont aus und leitet diesen in Form einer zusätzlichen Funktion FN weiter. Aktuellere Informationen, wie beispielsweise aus den Unfall- und Staumeldungen, stehen nun aber nicht mehr zur Aktualisierung des Horizonts zur Verfügung.
  • Die 2 zeigt einen schematischen Schaltplan eines Steuerungssystems 1 gemäß einer zweiten Ausführungsform der Erfindung. Im Unterschied zur in 1 dargestellten ersten Ausführungsform, weist die Komponente 30 eine aktiv ausgestaltete Schalteinheit 40 auf. Die Schalteinheit 40 kann über die Steuerungsleitung 41 die Energieleitung 13 der ersten Energiequelle 10 unterbrechen, indem ein interner Schalter 42 geöffnet wird. Hierdurch wird die Energieversorgung der zweiten Subeinheit 32 allein durch die zweite Energiequelle 20 sichergestellt. Zur Überbrückung der Umschaltzeit bei Verlust der Energieversorgung durch eine der Energiequellen 10, 20 ist parallel zum Schalter 42 ein Energiespeicher 43 angeordnet, welcher ausreichend dimensioniert ist, um die Zeit bis zur Umschaltung des Schalters 42 zu überbrücken.
  • In 3 ist ein schematischer Schaltplan eines Steuerungssystems 1 gemäß einer dritten Ausführungsform der Erfindung dargestellt. Dabei ist insbesondere ein gegenüber der 1 und 2 erweitertes Steuerungssystem 1 dargestellt, welches eine redundante Anbindung einer externen sicherheitskritischen Komponente 60 ermöglicht. Dies könnte z.B. ein Display sein, welches bei Störung der Versorgung 10, 20 eine Warnung darstellt. Hierzu wird die Komponente 30 um eine dritte Subeinheit 37 erweitert, welche über eine Abzweigleitung 38 redundant mit Energie versorgt wird. Über entsprechende Versorgungsleitungen 39 kann die dritte Subeinheit 37 separat mit der ersten Subeinheit 31 und der zweiten Subeinheit 32 verbunden werden, um z.B. Steueranweisungen zu übertragen. Über eine externe Leitung 61 kann die dritte Subeinheit 37 eine schaltbare Stromversorgung für die externe Komponente 60 zur Verfügung stellen. Alternativ kann auch eine nicht schaltbare Versorgung über die Abzweigleitung 38 erfolgen. Über eine Datenleitung 62 kann die externe Komponente 60 gesteuert werden. Die Datenleitung 62 kann beispielsweise als eine LVDS-Displayverbindung ausgestaltet sein.
  • Die 4 zeigt eine schematische Darstellung eines Fahrzeugs 100 gemäß einer Ausführungsform der Erfindung. Das Fahrzeug 100 ist beispielsweise ein autonomes oder teilautonomes Fahrzeug 100, welches über zumindest ein Steuerungssystem 1 verfügt. Das Steuerungssystem 1 dient hierbei zur Ausführung mindestens einer sicherheitskritischen Funktion eines autonomen oder teilautonomen Fahrmodus des Fahrzeugs 100.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • DE 102014014838 A1 [0003]
    • US 6512452 B [0004]
    • EP 1605569 B1 [0004]
    • WO 16012134 A1 [0005]

Claims (12)

  1. Steuerungssystem (1), insbesondere für ein Fahrzeug (100), aufweisend mindestens eine Komponente (30) zum Ausführen von mindestens einer Funktion (F) und aufweisend mindestens zwei Energiequellen (10, 20), welche über separate Leitungen (13, 23) mit der mindestens einen Komponente (30) verbunden sind, dadurch gekennzeichnet, dass die mindestens eine Funktion (F) zumindest anteilig durch mindestens zwei Subeinheiten (31, 32) der mindestens einen Komponente (30) ausführbar ist, wobei mindestens eine Subeinheit (32) mit einer ersten Energiequelle (10) und/oder mit mindestens einer zweiten Energiequelle (20) der mindestens zwei Energiequellen verbindbar ist.
  2. Steuerungssystem nach Anspruch 1, wobei eine erste Subeinheit (31) der mindestens einen Komponente (30) mit der mindestens einen zweiten Energiequelle (20) verbunden ist.
  3. Steuerungssystem nach Anspruch 1 oder 2, wobei mindestens eine zweite Subeinheit (32) der mindestens einen Komponente (30) durch eine passive oder aktive Schalteinheit (40) mit der mindestens einen ersten Energiequelle (10) und/oder mit der mindestens einen zweiten Energiequelle (20) verbindbar ist.
  4. Steuerungssystem nach einem der Ansprüche 1 bis 3, wobei eine interne oder externe Konvertierungseinheit (35) zum Anpassen einer Spannung und/oder eines Stroms der mindestens einen zweiten Energiequelle (20) an eine Betriebsspannung und/oder einen Betriebsstrom der zweiten Subeinheit (32) im Energiepfad zwischen der zweiten Energiequelle (20) und der zweiten Subeinheit (32) angeordnet ist.
  5. Steuerungssystem nach einem der Ansprüche 1 bis 4, wobei die erste Subeinheit (31) mit der mindestens einen zweiten Subeinheit (32) über eine Signalleitung (33) verbunden ist.
  6. Steuerungssystem nach einem der Ansprüche 1 bis 5, wobei ein Teil (F1") der von der mindestens einen zweiten Subeinheit (32) ausgeführten Funktion (F) eine automatisierte oder teilautomatisierte Fahrzeugsteuerung aufweist, wobei ein Teil (F1') der von der ersten Subeinheit (31) ausgeführten Funktion (F) Berechnungen für die automatisierte oder teilautomatisierte Fahrzeugsteuerung aufweist.
  7. Steuerungssystem nach einem der Ansprüche 1 bis 6, wobei die Leitung (13, 23) zwischen der mindestens einen Komponente (30) und der mindestens einen ersten Energiequelle (10, 20) durch eine Trennungseinheit (40) elektrisch und/oder galvanisch trennbar ist.
  8. Steuerungssystem nach Anspruch 7, wobei die Trennungseinheit (40) einen internen oder externen Energiespeicher (43) zum zumindest temporären Betreiben der Trennungseinheit (40) und/oder der mindestens einen zweiten Subeinheit (32) aufweist.
  9. Steuerungssystem nach einem der Ansprüche 1 bis 8, wobei mindestens eine dritte Subeinheit (37) redundant über mindestens eine Energiequelle (10, 20) und/oder mindestens eine erste oder zweite Subeinheit (31, 32) elektrisch versorgt ist, wobei die mindestens eine dritte Subeinheit (37) mit einer externen Komponente (60) datenleitend und stromleitend verbindbar ist.
  10. Steuerungssystem nach einem der Ansprüche 1 bis 9, wobei eine Warnung, eine Signalisierung, ein kontrolliertes Abschalten und/oder ein Notlaufprogramm bei einem Ausfall einer Funktion (F) oder mindestens einer Energiequelle (10, 20) ausführbar ist.
  11. Steuerungsverfahren, eingerichtet zum Steuern des Steuerungssystems nach einem der vorhergehenden Ansprüche.
  12. Fahrzeug (100) mit mindestens einem Steuerungssystem (1) nach einem der vorhergehenden Ansprüche 1 bis 10 zum Ausführen von automatisierten oder teilautomatisierten Funktionen.
DE102018209662.7A 2018-06-15 2018-06-15 Steuerungssystem, Steuerungsverfahren und Fahrzeug mit mindestens einem Steuerungssystem Ceased DE102018209662A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102018209662.7A DE102018209662A1 (de) 2018-06-15 2018-06-15 Steuerungssystem, Steuerungsverfahren und Fahrzeug mit mindestens einem Steuerungssystem

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102018209662.7A DE102018209662A1 (de) 2018-06-15 2018-06-15 Steuerungssystem, Steuerungsverfahren und Fahrzeug mit mindestens einem Steuerungssystem

Publications (1)

Publication Number Publication Date
DE102018209662A1 true DE102018209662A1 (de) 2019-12-19

Family

ID=68724622

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102018209662.7A Ceased DE102018209662A1 (de) 2018-06-15 2018-06-15 Steuerungssystem, Steuerungsverfahren und Fahrzeug mit mindestens einem Steuerungssystem

Country Status (1)

Country Link
DE (1) DE102018209662A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023285112A1 (de) * 2021-07-12 2023-01-19 Knorr-Bremse Systeme für Nutzfahrzeuge GmbH Energieversorgungsmanagementsystem für ein fahrzeug, verfahren für einen betrieb des energiemanagementsystems und computerprogrammprodukt zur durchführung des verfahrens

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6512452B1 (en) 2000-05-18 2003-01-28 Astoria Industries Of Iowa Inc. Redundant electric trailer brake circuit
EP1605569B1 (de) 2004-06-11 2006-11-15 Delphi Technologies, Inc. Redundante Spannungsversorgung mit Koaxialkabel
WO2016012134A1 (de) 2014-07-21 2016-01-28 Robert Bosch Gmbh Vorrichtung zur versorgung zumindest eines verbrauchers
DE102014014838A1 (de) 2014-10-07 2016-04-07 Audi Ag Redundantes Energieversorgungssystem für ein Bordnetz eines Kraftfahrzeugs
DE102014220781A1 (de) * 2014-10-14 2016-04-14 Robert Bosch Gmbh Ausfallsichere E/E-Architektur für automatisiertes Fahren
DE112014005130T5 (de) * 2013-11-08 2016-08-11 Hitachi Automotive Systems, Ltd. Fahrzeugsteuervorrichtung und Ausfallsicherheitsverfahren

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6512452B1 (en) 2000-05-18 2003-01-28 Astoria Industries Of Iowa Inc. Redundant electric trailer brake circuit
EP1605569B1 (de) 2004-06-11 2006-11-15 Delphi Technologies, Inc. Redundante Spannungsversorgung mit Koaxialkabel
DE112014005130T5 (de) * 2013-11-08 2016-08-11 Hitachi Automotive Systems, Ltd. Fahrzeugsteuervorrichtung und Ausfallsicherheitsverfahren
WO2016012134A1 (de) 2014-07-21 2016-01-28 Robert Bosch Gmbh Vorrichtung zur versorgung zumindest eines verbrauchers
DE102014014838A1 (de) 2014-10-07 2016-04-07 Audi Ag Redundantes Energieversorgungssystem für ein Bordnetz eines Kraftfahrzeugs
DE102014220781A1 (de) * 2014-10-14 2016-04-14 Robert Bosch Gmbh Ausfallsichere E/E-Architektur für automatisiertes Fahren

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023285112A1 (de) * 2021-07-12 2023-01-19 Knorr-Bremse Systeme für Nutzfahrzeuge GmbH Energieversorgungsmanagementsystem für ein fahrzeug, verfahren für einen betrieb des energiemanagementsystems und computerprogrammprodukt zur durchführung des verfahrens

Similar Documents

Publication Publication Date Title
DE102018209833B4 (de) Verfahren und Vorrichtung für die Steuerung eines sicherheitsrelevanten Vorganges, sowie Fahrzeug
EP3137343B1 (de) Vorrichtung und zum verbinden eines basis-bordnetzes mit einem insbesondere sicherheitsrelevanten teilnetz
DE102018210943B4 (de) Bordnetz für ein Fahrzeug sowie Fahrzeug
DE102015200124A1 (de) Verfahren zum Versorgen mindestens eines Verbrauchers
EP3137342B1 (de) Vorrichtung zur versorgung zumindest eines verbrauchers
DE102007021286A1 (de) Elektromechanisches Bremssystem mit einer ausfallsicheren Energieversorgung und Verfahren zur ausfallsicheren Energieversorgung in einem elektromechanischen Bremssystem für Fahrzeuge
DE102018127423A1 (de) Redundante fahrzeugleistungsversorgungssteuersysteme und -verfahren
DE102019207517A1 (de) Bremssteuersystem
WO2021089307A1 (de) Vorrichtung zur steuerung eines automatisierten fahrbetriebs eines fahrzeugs
DE102019218718B4 (de) Steuerungssystem zur Steuerung eines Betriebs eines selbstfahrenden Fahrzeugs sowie Kraftfahrzeug
DE102016221250A1 (de) Verfahren zum Betreiben eines Bordnetzes
DE102019201607A1 (de) Steuerungssystem für ein Kraftfahrzeug
DE102018209662A1 (de) Steuerungssystem, Steuerungsverfahren und Fahrzeug mit mindestens einem Steuerungssystem
DE102018220092A1 (de) Verfahren und Vorrichtung zum Absichern von automatisierten Fahrfunktionen
WO2020254120A1 (de) Einrichtung und verfahren zum ausführen zumindest einer fahrzeugfunktion für ein fahrzeug
EP3197726B1 (de) Bordnetz
DE112015001252T5 (de) Elektronische Steuereinheit
DE102019200812A1 (de) Verfahren zum Schützen einer Hauptfunktion eines Steuergeräts vor einer Behinderung ihres Betriebs durch einen Laufzeitfehler einer Nebenfunktion des Steuergeräts sowie Steuergerät, Kraftfahrzeug und Fahrzeugbatterie
WO2011113405A1 (de) Steuergeräteanordnung
DE102017218898A1 (de) Kontrollsystem für ein Batteriesystem
DE102018203887B4 (de) Steuergerät für ein Mehrspannungsbordnetz eines Fahrzeugs und Mehrspannungsbordnetz
DE102016117169A1 (de) System zur Energie- und/oder Datenübertragung
DE102019200942A1 (de) Sicherheitseinrichtung zur Verwendung in einem Fahrzeug, Fahrzeug und Verfahren zum Betreiben eines Fahrzeugs
DE102022116307A1 (de) Fahrzeugnetzwerk zur Datenkommunikation zwischen Komponenten eines Fahrzeugs sowie System und Fahrzeug damit und Verfahren dafür
DE112020007774T5 (de) Fahrzeugsteuersystem

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R002 Refusal decision in examination/registration proceedings
R003 Refusal decision now final