DE102018214201A1 - Verfahren zur Sicherstellung der Funktionssicherheit und Integrität von Abschalteinrichtungen im Fahrzeug durch präventive Steuerung der Abschaltung von Energieversorgern in einem Fahrzeug, sowie Fahrzeug - Google Patents

Verfahren zur Sicherstellung der Funktionssicherheit und Integrität von Abschalteinrichtungen im Fahrzeug durch präventive Steuerung der Abschaltung von Energieversorgern in einem Fahrzeug, sowie Fahrzeug Download PDF

Info

Publication number
DE102018214201A1
DE102018214201A1 DE102018214201.7A DE102018214201A DE102018214201A1 DE 102018214201 A1 DE102018214201 A1 DE 102018214201A1 DE 102018214201 A DE102018214201 A DE 102018214201A DE 102018214201 A1 DE102018214201 A1 DE 102018214201A1
Authority
DE
Germany
Prior art keywords
collision
shutdown
vehicle
time period
mode
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102018214201.7A
Other languages
English (en)
Inventor
Steffen Krüger
Özgür Can Celik
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bayerische Motoren Werke AG
Original Assignee
Bayerische Motoren Werke AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bayerische Motoren Werke AG filed Critical Bayerische Motoren Werke AG
Priority to DE102018214201.7A priority Critical patent/DE102018214201A1/de
Priority to CN201910719223.6A priority patent/CN110857072B/zh
Publication of DE102018214201A1 publication Critical patent/DE102018214201A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R21/00Arrangements or fittings on vehicles for protecting or preventing injuries to occupants or pedestrians in case of accidents or other traffic risks
    • B60R21/01Electrical circuits for triggering passive safety arrangements, e.g. airbags, safety belt tighteners, in case of vehicle accidents or impending vehicle accidents
    • B60R21/013Electrical circuits for triggering passive safety arrangements, e.g. airbags, safety belt tighteners, in case of vehicle accidents or impending vehicle accidents including means for detecting collisions, impending collisions or roll-over
    • B60R21/0134Electrical circuits for triggering passive safety arrangements, e.g. airbags, safety belt tighteners, in case of vehicle accidents or impending vehicle accidents including means for detecting collisions, impending collisions or roll-over responsive to imminent contact with an obstacle, e.g. using radar systems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/03Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for supply of electrical power to vehicle subsystems or for
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02TCLIMATE CHANGE MITIGATION TECHNOLOGIES RELATED TO TRANSPORTATION
    • Y02T10/00Road transport of goods or passengers
    • Y02T10/80Technologies aiming to reduce greenhouse gasses emissions common to all road transportation technologies
    • Y02T10/92Energy efficient charging or discharging systems for batteries, ultracapacitors, supercapacitors or double-layer capacitors specially adapted for vehicles

Abstract

Bereitgestellt wird ein Verfahren zur Sicherstellung der Funktionssicherheit und Integrität von Abschalteinrichtungen im Fahrzeug, wobei eine präventive Steuerung der Abschaltung von Energieversorgern erfolgt, bei der aus einer Trajektorienplanung zur Bestimmung eines kollisionsfreien Fahrwegs eine Zeitspanne ermittelt wird, innerhalb derer ein Manöver ohne eine Kollision ausgeführt werden kann, wobei eine Kollisionswarnung ausgegeben wird, welche das System zur Abschaltung der Energieversorgung in einen Bereitschaftsmodus versetzt, wenn ein Wert der erfassten Zeitspanne einen vorgegebenen Grenzwert erreicht oder unterschreitet.

Description

  • Die Erfindung betrifft ein Verfahren zur präventiven Steuerung der Abschaltung von Energieversorgern in einem Fahrzeug, sowie Fahrzeug.
  • In Fahrzeugen vorhandene Energieversorgungssysteme wie Batterie, Wandler, oder auch Energieleitungen, müssen im Crashfall abgetrennt werden, um Kurzschlüssen und damit Brandgefahr zu entgegnen, und um das Post-Crash relevante Bordnetz zu sichern. Aktuell wird die Abtrennung über Beschleunigungssensoren oder Druckschläuche durchgeführt.
  • Die Abschaltinformation wird dabei im Falle eines Crashes, d.h. wenn tatsächlich ein Aufprall bzw. eine Kollision geschieht, generiert. Dadurch ist es zwingend notwendig, die Speicher für eine sehr schnelle Abschaltung zu befähigen, welche in der Regel bei weniger als 20ms liegt. Dies bedeutet hohe Kosten, da Leistungselektronikschalter verwendet werden müssen, und auch eine starke technische Einschränkung der Lösungsoptionen.
  • Insbesondere im Bereich des hochautomatisierten bis hin zu autonomem Fahren werden immer strengere Anforderungen an das Energieversorgungssystem hinsichtlich „Fail Operational“, also der sicheren Energieversorgung, gestellt. Damit unterliegen Abschaltmechanismen dementsprechend einer hohen Anforderung bzgl. Funktionssicherheit und Integrität.
  • Deshalb ist es eine Aufgabe dieser Erfindung, ein entsprechendes Verfahren und System bereitzustellen, bei denen ein verbessertes Steuern der Abschaltung von Energiespeichern möglich ist. Diese Aufgabe wird erfindungsgemäß durch die Merkmale der unabhängigen Patentansprüche gelöst. Vorteilhafte Ausgestaltungen sind Gegenstand der abhängigen Ansprüche.
  • Aufgrund der Tatsache, dass zwei sich entgegenstehende Forderungen an das Energiemanagement des Energiebordnetzes bestehen, ist es nötig, eine Lösung zur Abschaltung von Energiespeichern vor allem im Crashfall, also im Falle eines Unfalls, der eine Kollision nach sich zieht oder ziehen könnte, bereitzustellen.
  • Die Anforderungen an das Energiemanagement des Energiebordnetzes sind einerseits, dass keine negativen Einflüsse auf die Bordnetz-Stabilität des Post-Crash relevanten Bordnetzes entstehen dürfen, also z.B. keine dauerhaften Kurzschlüsse. Auch dürfen keine negativen Einflüsse bzgl. möglicher thermischer Ereignisse und keine Rückspeisung in Post-Crash nichtrelevante Bordnetz-Bereiche erfolgen. Um dies präventiv zu verhindern, ist ein Abschalten der nicht Post-Crash relevanten Systeme gefordert.
  • Andererseits ist vor allem im AD-Betrieb (AD= Autonomous/Automated Driving-System, also autonomes/automatisiertes Fahrsystem), also im Betrieb des hochautomatisierten Fahrens, bei dem automatisierte Fahrfunktionen bzw. Fahrerassistenzsysteme mit hohen Integritätsanforderungen vorhanden sind, eine fehlerhafte Crashabschaltung des sekundären Energiebordnetzes, aber auch von sicherheitsrelevanten Komponenten im primären Energiebordnetz, mit sehr hohen Integritätsanforderungen, in der Regel mindestens ASIL B(D), zu vermeiden. Auch ist im AD-Betrieb eine fehlerhafte gemeinsame Crashabschaltung des sekundären Energiebordnetzes und der sicherheitsrelevanten Komponenten im primären Energiebordnetz zu vermeiden. Das heißt, dass eine sichere Energieversorgung der Partnersysteme während des Fahrzeugbetriebs gewährleistet sein muss, wobei geschwindigkeitsabhängige Sicherheitsziele an die Energieversorgung gestellt werden. Außerdem ist ein fehlerhaftes Abschalten des Hochvolt- (HV-) Systems zu vermeiden, da hierbei z.B. eine irreversible Abtrennung z.B. über Pyrotechnik, erfolgt.
  • Insofern ist eine Abschaltung der Energieversorgung, im Speziellen von Li-Ion Speichern, sicherzustellen, durch welche beide Anforderungen bedient werden können. Li-Ion Speicher sind insbesondere betroffen, da davon ein hohes Risiko für thermische Ereignisse ausgeht, und auf der anderen Seite dauerhaft hohe Ströme geliefert werden können, was die Brandgefahr bei Kurzschlüssen erhöht. Prinzipiell kann auch eine Abschaltung anderer Batteriearten wie Bleibatterien erfolgen.
  • In der ISO 26262, welche eine Norm für sicherheitsrelevante elektrische/elektronische Systeme ist, sind sogenannte ASI-Level, kurz ASIL definiert, wobei ASIL für „Automotive Safety Integrity Level“ steht. Hierbei werden bei der Entwicklung der Komponenten zum Ausschluss von Fehlern Risiken nach ihrer Bedeutung mit einer ASIL Einstufung versehen. Diese Einstufung erfolgt in Bereiche von A bis D, wobei hierbei die Sicherheitsanforderung an die funktionale Sicherheit bzgl. Ausfallwahrscheinlichkeit des Systems von A bis D steigt. In Bezug auf Energiespeicher sind also alle Funktionen, die an der Energieversorgung beteiligt sind, strengeren Anforderungen bezüglich der Integrität unterworfen. Damit also auch die der Abschalteinrichtung.
  • Um die oben genannte Problematik der sich entgegenstehenden Anforderungen zu lösen, wird ein präventives Abschalten bzw. Auslösen einer Schnittstelle zur Abschaltung bzw. Abtrennung der Energieversorgung, z.B. von Batterien, Wandlern oder Airbags, und PreCrash Funktionen durch Verwenden von Daten einer Trajektorienplanung zur Bestimmung eines kollisionsfreien Fahrwegs bereitgestellt. Die vorgeschlagene Lösung ist besonders vorteilhaft für automatisierte Fahrzeuge, also Fahrzeuge, welche mindestens im AD-Modus fahren, also wenn ein Fahrer anwesend ist, aber nicht mehr ins Fahrgeschehen eingebunden ist. Nachfolgend wird das Verfahren anhand eines Fahrzeugs im AD-Modus beschrieben.
  • Zum Fahren im AD-Modus verfügt ein Fahrzeug über eine umfangreiche Sensorik zur Trajektorienplanung. Die Trajektorien werden aus zahlreichen Sensoren, welche von Sensoren zur Bildverarbeitung, bis zu Radar in unterschiedlichsten Ausführungen, LIDAR, Ultraschallsensoren, Beschleunigungssensoren etc. reichen, in zentralen Steuergeräten berechnet. Ein Nebenprodukt ist die Möglichkeit, eine Kollision inklusive eine Schadensauswirkung vorherzusagen. Diese Informationen können unter anderem zur direkten Abschaltung von Energieversorgungssystemen wie Batterien, Leitungen oder Wandlern genutzt werden.
  • Durch Verwendung von Informationen aus der Trajektorienplanung kann eine Crashabschaltung in ASIL D erfolgen oder ein fehlerhaftes Auslösen der Crashabschaltung in ASIL D verhindert werden, ohne dass weitere (redundante) Sensorik oder Logik verbaut werden muss. Somit kann präventiv gehandelt werden, wodurch geringere Anforderungen an die Aktuatorik gestellt werden müssen. Ferner kann Zusatzsensorik z.B. für Airbags entfallen.
  • Vorgeschlagen wird also ein Verfahren zur präventiven Steuerung der Abschaltung von Energieversorgern in einem Fahrzeug, wobei aus einer Trajektorienplanung eine Zeitspanne ermittelt wird, innerhalb derer ein Manöver ohne eine Kollision ausgeführt werden kann. Abhängig von der erfassten Zeitspanne wird eine Kollisionswarnung ausgegeben, welche das System zur Abschaltung der Energieversorgung in einen Bereitschaftsmodus versetzt.
  • Es wird also aus bereits vorhandenen Daten zur Planung eines Fahrwegs vorausschauend eine mögliche Kollisionssituation ermittelt. Im Falle eines wahrscheinlichen Crashs, also wenn ein vorgegebener Grenzwert erreicht oder unterschritten wird, wird also eine Kollisionswarnung ausgegeben und das System damit in einen Bereitschaftsmodus versetzt, aber die Energieversorgung (noch) nicht abgeschaltet. Der Bereitschaftsmodus zeichnet sich dadurch aus, dass eine regelmäßige Überprüfung erfolgt, ob sich die Situation geändert hat, also ob die Wahrscheinlichkeit höher oder niedriger wird, dass ein Crash geschieht. Somit kann eine schnellere Reaktion, d.h. Abschaltung der Energiespeicher, im Falle einer Erhöhung der Wahrscheinlichkeit und damit eines Crashs erfolgen. Der Bereitschaftsmodus bleibt solange aktiv, bis eine Entwarnung, also eine Rückstufung der Wahrscheinlichkeit eines Crashs, erfolgt, oder ein Crash detektiert wird und damit die Abschaltung der Energieversorgung erfolgt.
  • Eine Trajektorienplanung ist für ein Fahren in einem AD-Modus nötig, wobei hier zur Vorhersage eines kollisionsfreien Fahrwegs auch eine Vorhersage einer Kollision getroffen wird, in der Regel durch Bestimmen einer Time-to-Last-Maneuver TLM, also einer Zeitspanne, bis wann ein Manöver durchgeführt werden muss, um eine Kollision zu verhindern, oder einer Time-To-Collision TTC, also einer verbleibenden Zeitspanne bis zu einer Kollision. Die bereits bekannten Daten aus der Trajektorienplanung werden gemäß der Erfindung zusätzlich verwendet, um die oben genannte Anforderung an die funktionale Sicherheit für Fahren im AD-Modus zu erfüllen. Diese ist, dass die Energieversorgung zur Durchführen des Fahrens im AD-Modus möglichst nicht abgeschaltet werden darf, außer im Falle eines Crashs, wenn hierdurch ein Risiko eines Schadens aufgrund einer Beschädigung der Energiespeicher, also z.B. der Li-lonen-Batterien, erfolgen könnte. Das Risiko wird durch eine entsprechende, später beschriebene Einstufung bestimmt.
  • Die Energieversorgung für automatisierte Fahrfunktionen ist in der Regel in zwei separate Kanäle aufgeteilt, nämlich dem primären Energiebordnetz und dem sekundären Energiebordnetz. Diese sind in der Regel Niedervoltnetze, also z.B. 12V-Netze. Das vorgeschlagene Verfahren kann prinzipiell auch auf die gesamte Energieversorgung für alle Post-Crash nicht relevanten Bereiche angewendet werden, da mit einem ASIL D aus der Trajektorienplanung bereits die höchste Sicherheitsstufe gewährleistet ist.
  • Unter einem AD-Modus ist ein Modus zu verstehen, in dem ein Fahrzeug hochautomatisiert fährt. Unter hochautomatisiert ist ein Modus zu verstehen, der zwischen assistiertem und autonomem Fahren liegt. Beim hochautomatisierten Fahren plant das Fahrzeug bereits voraus und übernimmt die Fahraufgabe zumindest in den meisten Situationen. Es steht also kurz davor, autonom zu fahren. Im Rahmen dieses Dokuments wird unter AD-Modus ein Modus verstanden, der mindestens das hochautomatisierte Fahren umfasst, also auch ein Modus bis hin zum autonomen Fahren.
  • Der Grenzwert, ab welchem eine Kollisionswarnung ausgegeben wird, da ein möglicher Crash vorhergesagt wird, kann vom Fachmann gewählt werden, und liegt vorteilhaft in einem Bereich von 500ms oder weniger, von 300 ms oder weniger oder 200 ms oder weniger bis zu einem Crash, wenn eine Time-To-Collision TTC verwendet wird. Wenn eine Time-to-Last-Maneuver TLM verwendet wird, kann dieser Wert als Null gewählt werden, da dann immer noch genügend Zeit, also mindestens 500ms TTC oder weniger, zur Verfügung stehende Reaktionszeit verbleibt, um die Kollision zu verhindern.
  • Ferner ist vorgesehen, dass eine Abschaltung der Energieversorgung, welche zum Durchführen des Fahrens im AD-Modus dient, verhindert wird, wenn nach Ausgabe der Kollisionswarnung kein Crash detektiert wird. Hingegen erfolgt eine Freigabe der Abschaltung der Energieversorgung, welche zum Durchführen des Fahrens im AD-Modus dient, wenn nach Ausgabe der Kollisionswarnung ein Crash detektiert wird.
  • Bei der Trajektorienplanung wird bereits eine Vielzahl an Informationen, welche für das Verfahren gemäß der Erfindung verwendet werden können, ermittelt. So wird beispielsweise ein sogenannter Safety Score SSC in ASIL D berechnet. Auch wird eine Time-to-Last-Maneuver TLM bestimmt. Hierunter ist eine Zeitspanne zu verstehen, bis wann ein Manöver durchgeführt werden muss, um eine Kollision zu verhindern, bzw. gibt die TLM eine zur Verfügung stehende Reaktionszeit an, innerhalb derer die Kollision verhindert werden kann. Auch kann eine Time-To-Collision TTC berechnet werden, also eine Zeitspanne bis zu einer Kollision, wobei in der Regel lediglich die TLM verwendet wird. Aus diesem Grund wird als die Zeitspanne, innerhalb derer ein Manöver ohne eine Kollision ausgeführt werden kann, vorteilhaft die TLM verwendet. Der SSC wird bei potentiell kollisionsbehaften Trajektorien sehr groß, wobei bei unvermeidbaren Kollisionen, also TLM = 0, je nach Schadenschwere bestimmte Schwellwerte überschritten werden.
  • Ferner ist vorgesehen, dass das System zur Abschaltung der Energieversorgung eine aktive Rückmeldung ausgibt, dass es die Kollisionswarnung erhalten hat und im Bereitschaftsmodus ist. Somit ist eine zusätzliche Kontrollebene vorhanden. Wenn keine Rückmeldung empfangen wird, kann das entsprechende Signal nochmal gesendet werden, bis eine Rückmeldung gegeben wird.
  • Ferner ist vorgesehen, dass, wenn kein oder ein ungültiger Wert für die Zeitspanne ausgegeben wird, eine Abschaltung der Energieversorgung, welche zum Durchführen des Fahrens im AD-Modus dient, verhindert wird. Dies dient dazu, die Energieversorgung für das Fahren im AD-Modus aufrechtzuerhalten, um die funktionale Sicherheit zu gewährleisten.
  • Ferner ist vorgesehen, dass abhängig von der erfassten Zeitspanne eine Bewertung erfolgt, ob eine Kollision bevorsteht und mit welcher Wahrscheinlichkeit sie bevorsteht. Ferner ist vorgesehen, dass zusätzlich eine Bewertung erfolgt, mit welcher Schwere die Kollision bevorsteht. Der Begriff Schwere ist dabei im Sinne des Begriffs „Severity“ der ISO26262 zu verstehen, also die Schwere eines auftretenden Fehlers, d.h. also, welche Gefährdung des Nutzers oder der Umgebung vorhanden ist. Ferner ist vorgesehen, dass die Bewertung in Stufen erfolgt, wobei die Stufen in die Wahrscheinlichkeit, dass eine Kollision auftritt, unterteilt sind.
  • Eine Unterteilung erfolgt dabei z.B. in drei Stufen: Stufe 0: keine bevorstehende Kollision, Stufe 1: Kollision möglich, Stufe 2: Kollision unausweichlich. Zusätzlich kann z.B. Stufe 2 noch weiter verfeinert werden. Beispielsweise kann definiert sein, dass Stufe 2 eine unausweichliche Kollision mit Einstufung der Beherrschbarkeit des Fehlers als CS1 ist. Stufe 3 kann dann als eine unausweichliche Kollision mit Einstufung der Beherrschbarkeit des Fehlers als CS2, und Stufe 4 als eine unausweichliche Kollision mit Einstufung der Beherrschbarkeit des Fehlers als CS3 eingestuft sein. Weitere Stufen oder Zwischenstufen sind ebenfalls möglich. Unter den Begriffen CS1-CS3 wird die Schwere der Kollision bzw. Crashschwere CS bezeichnet, wobei Bewertungskriterien gemäß ISO26262 verwendet werden. Die Crashschwere CS kann aus der Differenzgeschwindigkeit, sowie Art und Beschaffenheit der Objekte ermittelt werden und ist in Stufen eingeteilt. Ab Stufe 2 ist die TLM gleich 0, d.h. eine Kollision ist unvermeidlich, wie oben bereits erwähnt. Bei Stufe 3 übersteigt die Differenzgeschwindigkeit, auch abhängig von der Art und Beschaffenheit der Objekte, einen Grenzwert und die Crashschwere CS steigt. Ferner ist vorgesehen, dass über die Trajektorienplanung die Aufprallrichtung im Crash ermittelt wird und diese Bewertung in die Crashschwere CS mit einfließt. Wenn also ein Frontalcrash bevorsteht, kritische Komponenten aber nur im Heck verortet sind, kann eine Crashauslösung unterdrückt werden, um für die Detektion und Reaktion auf Folgeunfälle noch reaktionsfähig zu sein.
  • Die Bewertung ist hilfreich, um zu entscheiden, ob eine Kollision (unvermeidlich) bevorsteht oder ob sie lediglich möglicherweise bevorsteht. Somit kann eine Entscheidung getroffen werden, ob eine Abschaltung der Energieversorgung, welche zum Durchführen des Fahrens im AD-Modus dient, verhindert wird oder nicht. Beispielsweise kann eine Abschaltung erfolgen, wenn die Stufe 2 oder höher erkannt wird, während keine Abschaltung erfolgt, wenn lediglich Stufe 0 oder 1 erkannt wird, also eine unwahrscheinliche Kollision.
  • Grundsätzlich ist die Verwendung des Verfahrens nur dann vorgesehen, wenn das Fahrzeug im AD-Modus fährt oder fahren kann, da dann die entsprechenden Systeme vorhanden und aktiv sind. Insofern wird die auch als Crashverriegelung bezeichnete Steuerung der Abschaltung der Energieversorgung zur Durchführung des Fahrens im AD-Modus nur im AD-Modus durchgeführt. Das heißt, dass hier als Anforderung vorgegeben ist, dass die Energieversorgung möglichst nicht abgeschaltet wird. Hier wird also die Energieversorgung nur im Falle eines tatsächlichen Crashs abgeschaltet, um Schäden durch die Energiespeicher zu verhindern.
  • Falls ein Fahrer eingebunden ist, wird das Crashsignal vorteilhaft standardmäßig ausgewertet, das Verfahren wird also nicht angewendet.
  • Um das Verfahren anwenden zu können wird ferner ein Fahrzeug vorgeschlagen, das dazu ausgebildet ist, in einem AD-Modus zu fahren. Hierfür sollte das Fahrzeug mindestens eine Energieversorgungseinheit aufweisen, welche zur Energieversorgung einer Steuereinheit eingerichtet ist, welche zur Durchführung des Fahrens im AD-Modus eingerichtet ist.
  • Ferner sollte es eine Sensorik zur Überwachung der Umgebung des Fahrzeugs und mindestens eine Verarbeitungseinrichtung aufweisen. Die Verarbeitungseinrichtung sollte mit der Sensorik und der Steuereinheit derart in Verbindung stehen, dass sie Signale und/oder Daten empfangen und senden kann.
  • Außerdem sollte die Verarbeitungseinrichtung ferner dazu eingerichtet sein, die Signale und/oder Daten der Sensorik derart auszuwerten, dass eine Trajektorienplanung zur Ermittlung eines kollisionsfreien Fahrwegs derart durchführbar ist, dass eine Zeitspanne ermittelbar ist, innerhalb derer ein Manöver ohne eine Kollision ausgeführt werden kann.
  • Die Verarbeitungseinrichtung ist dann vorteilhaft ferner dazu eingerichtet, abhängig von der erfassten Zeitspanne eine Kollisionswarnung auszugeben, welche das System zur Abschaltung der Energieversorgung in einen Bereitschaftsmodus versetzt, wenn ein Wert der erfassten Zeitspanne einen vorgegebenen Grenzwert erreicht oder unterschreitet. Die Verarbeitungseinrichtung kann hierfür in einer einzigen Einheit vorgesehen sein, oder in Form mehrerer miteinander mindestens ins Kommunikationsverbindung stehender Steuereinrichtungen.
  • Vorteil der Erfindung ist es also, dass Daten, welche durch ein vorhandenes System im Fahrzeug, auch unabhängig von der verwendeten Technologie zur Abschaltung, verfügbar sind, derart zusätzlich aufbereitet werden, dass eine vorausschauende, d.h. prädiktive, Steuerung einer Abschaltung von Energieversorgern in einem Fahrzeug realisiert werden kann. Hierfür wird eine Kollisionswarnung aktiviert, wenn ein vorgegebener Grenzwert, welcher eine wahrscheinliche Kollision vorhersagt, erreicht oder unterschritten wird. Somit ist das System in Bereitschaft und kann bei einem tatsächlich auftretenden Crash schneller eine Abschaltung von Energiespeichern, welche auch als Energieversorger bezeichnet werden können, ausführen.
  • Weitere Merkmale und Vorteile der Erfindung ergeben sich aus der nachfolgenden Beschreibung von Ausführungsbeispielen der Erfindung, anhand der Figuren der Zeichnung, die erfindungsgemäße Einzelheiten zeigt, und aus den Ansprüchen. Die einzelnen Merkmale können je einzeln für sich oder zu mehreren in beliebiger Kombination bei einer Variante der Erfindung verwirklicht sein.
  • Bevorzugte Ausführungsformen der Erfindung werden nachfolgend anhand der beigefügten Zeichnung näher erläutert.
    • 1 zeigt ein Ablaufdiagramm des Verfahrens gemäß einer Ausführung der vorliegenden Erfindung.
  • Das vorgeschlagene Verfahren wird in einer Ausführung umgesetzt, indem im aktiven AD-Modus 1 Informationen aus einer Trajektorienplanung zur kollisionsfreien Fahrtwegplanung des Fahrzeugs erfasst werden und daraufhin basierend auf diesen Informationen das oben beschriebene Vorgehen durchgeführt wird. Wenn also der AD-Modus 1 aktiv ist Y, erfolgt basierend auf der Trajektorienplanung T eine Entscheidung, ob eine Kollisionswarnung K verschickt werden soll. Dies erfolgt, wenn ein vorgegebener Grenzwert erreicht oder unterschritten wird, wie oben beschrieben. Wenn eine Kollisionswarnung K verschickt wird, wird auch erfasst, mit welcher Wahrscheinlichkeit ein Crash C auftritt, z.B. in Form der oben beschriebenen Stufen. Wenn eine bestimmte Stufe erkannt wurde Y, erfolgt eine Freigabe der Möglichkeit zur Abschaltung A. Wenn kein möglicher Crash C erkannt N wurde, also z.B. eine Stufe 0 oder 1, erfolgt ein Verhindern der Abschaltung NA. Das heißt, dass nicht nur kein aktives Abschalten erfolgt, sondern auch ein Abschalten aktiv verhindert wird, z.B. durch nicht beachten einer Klemme, welche normalerweise zum Abschalten aktiviert wird. Wenn nach Senden der Kollisionswarnung K dann ein tatsächlicher Crash detektiert wird, kann die Abschaltung schneller erfolgen als bisher.
  • Durch dieses Verfahren kann bereits im Vorfeld, also bei einer Erfassung z.B. mittels TLM oder TTC, dass ein Crash bevorstehen kann, das System zur Abschaltung durch die Kollisionswarnung K in Bereitschaft versetzt werden, so dass abhängig von der erkannten Wahrscheinlichkeit, dass ein Crash C auftritt, eine Freigabe zur Abschaltung z.B. der Batterie gegeben wird.
  • Wenn der AD-Modus 1 nicht aktiv ist N, d.h. dass beispielsweise ein Fahrer das Fahrzeug fährt, und ein Crash erkannt wurde Y, erfolgt eine Abschaltung A wie bisher üblich. Wenn kein Crash erkannt wurde, erfolgt keine Abschaltung NA.
  • Zur Erkennung, ob ein Crash bevorsteht wird z.B. ein Safety Score (SSc) und eine Time to Last Manoever (TLM) bei der Bestimmung der berechneten Trajektorien erfasst. Wenn die Time to Last Manoever (TLM) kleiner als eine Ist-Latenzzeit ist, ist eine Kollision möglich. Wenn die Time to Last Manoever (TLM) gleich Null ist, ist eine Kollision unausweichlich. Durch Bestimmen des SSC und der voraussichtlichen Differenzgeschwindigkeit, sowie die Art oder Beschaffenheit der Hindernisse, kann eine Schadensschwere abgeleitet werden, welche ebenfalls in die Bewertung einfließt, ob eine Freigabe der Abschaltung erfolgen soll oder nicht. Beispielweise kann bei Erfassen einer TTC von 500ms oder weniger, oder 300ms oder weniger oder 200ms oder weniger eine Freigabe der Abschaltung in jedem Fall erfolgen. Bei vollautomatisierten Fahrzeugen wird beispielsweise ein Fußgänger oder Fahrradfahrer erkannt, aber die Energieversorgung wird nicht abgeschaltet, da die Crashschwere gering ist. Dies sichert das volle Sensor/Aktuator Set zu, um auch in den letzten Millisekunden noch optimal reagieren zu können.
  • Die Einstufung in Stufen wie oben beschrieben kann abhängig von der erfassten Schwere des Fehlers und damit Auswirkung auf Fahrer und Umgebung gewählt werden.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Nicht-Patentliteratur
    • ISO 26262 [0010]

Claims (10)

  1. Verfahren zur Sicherstellung der Funktionssicherheit und Integrität von Abschalteinrichtungen im Fahrzeug, wobei eine präventive Steuerung der Abschaltung von Energieversorgern erfolgt, bei der aus einer Trajektorienplanung (T) zur Bestimmung eines kollisionsfreien Fahrwegs eine Zeitspanne ermittelt wird, innerhalb derer ein Manöver ohne eine Kollision ausgeführt werden kann, wobei eine Kollisionswarnung (K) ausgegeben wird, welche das System zur Abschaltung der Energieversorgung in einen Bereitschaftsmodus versetzt, wenn ein Wert der erfassten Zeitspanne einen vorgegebenen Grenzwert erreicht oder unterschreitet.
  2. Verfahren nach Anspruch 1, wobei der vorgegebene Grenzwert 500ms oder weniger, oder 300ms oder weniger, oder 200ms oder weniger beträgt, wenn die erfasste Zeitspanne eine Time-To-Collision ist, und Null ist, wenn die erfasste Zeitspanne eine Time-to-Last-Maneuver ist.
  3. Verfahren nach Anspruch 1 oder 2, wobei eine Abschaltung der Energieversorgung, welche zum Durchführen des Fahrens im AD-Modus dient, verhindert wird (NA), wenn nach Ausgabe der Kollisionswarnung kein Crash (C) detektiert wird, und wobei eine Freigabe zur Abschaltung der Energieversorgung erfolgt (A), welche zum Durchführen des Fahrens im AD-Modus dient, wenn nach Ausgabe der Kollisionswarnung (K) ein Crash (C) detektiert wird.
  4. Verfahren nach einem der vorhergehenden Ansprüche, wobei das System zur Abschaltung der Energieversorgung eine aktive Rückmeldung ausgibt, dass es die Kollisionswarnung (K) erhalten hat.
  5. Verfahren nach einem der vorhergehenden Ansprüche, wobei, wenn kein oder ein ungültiger Wert für die Zeitspanne ausgegeben wird, eine Abschaltung der Energieversorgung, welche zum Durchführen des Fahrens im AD-Modus dient, verhindert wird (NA).
  6. Verfahren nach einem der vorhergehenden Ansprüche, wobei abhängig von der erfassten Zeitspanne eine Bewertung erfolgt, ob eine Kollision bevorsteht und mit welcher Wahrscheinlichkeit sie bevorsteht.
  7. Verfahren nach Anspruch 6, wobei zusätzlich eine Bewertung erfolgt, mit welcher Schwere die Kollision bevorsteht.
  8. Verfahren nach Anspruch 7, wobei die Bewertung in Stufen erfolgt, wobei die Stufen mindestens unterteilt sind in: Stufe 0: keine bevorstehende Kollision, Stufe 1: Kollision möglich, Stufe 2: Kollision unausweichlich, wobei erst ab dem Falle der Stufe 2 eine Abschaltung der Energieversorgung, welche zum Durchführen des Fahrens im AD-Modus dient, durchgeführt wird.
  9. Verfahren nach Anspruch 8, wobei weitere Stufen zusätzlich zu Stufe 2 vorhanden sind, welche je nach Schwere der Kollision eingeteilt sind.
  10. Fahrzeug, das dazu ausgebildet ist, in einem AD-Modus zu fahren, aufweisend zumindest: - mindestens eine Energieversorgungseinheit, welche zur Energieversorgung einer Steuereinheit eingerichtet ist, welche zur Durchführung des Fahrens im AD-Modus eingerichtet ist, - Sensorik zur Überwachung der Umgebung des Fahrzeugs - mindestens eine Verarbeitungseinrichtung, die mit der Sensorik und der Steuereinheit derart in Verbindung steht, dass sie Signale und/oder Daten empfangen und senden kann, wobei die Verarbeitungseinrichtung ferner dazu eingerichtet ist, die Signale und/oder Daten der Sensorik derart auszuwerten, dass eine Trajektorienplanung (T) zur Bestimmung eines kollisionsfreien Fahrwegs derart durchführbar ist, dass eine Zeitspanne ermittelbar ist, innerhalb derer ein Manöver ohne eine Kollision ausgeführt werden kann, wobei die Verarbeitungseinrichtung ferner dazu eingerichtet ist, abhängig von der erfassten Zeitspanne eine Kollisionswarnung (K) auszugeben, welche das System zur Abschaltung der Energieversorgung in einen Bereitschaftsmodus versetzt, wenn ein Wert der erfassten Zeitspanne einen vorgegebenen Grenzwert erreicht oder unterschreitet.
DE102018214201.7A 2018-08-22 2018-08-22 Verfahren zur Sicherstellung der Funktionssicherheit und Integrität von Abschalteinrichtungen im Fahrzeug durch präventive Steuerung der Abschaltung von Energieversorgern in einem Fahrzeug, sowie Fahrzeug Pending DE102018214201A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102018214201.7A DE102018214201A1 (de) 2018-08-22 2018-08-22 Verfahren zur Sicherstellung der Funktionssicherheit und Integrität von Abschalteinrichtungen im Fahrzeug durch präventive Steuerung der Abschaltung von Energieversorgern in einem Fahrzeug, sowie Fahrzeug
CN201910719223.6A CN110857072B (zh) 2018-08-22 2019-08-06 用于确保切断装置的功能安全性和完整性的方法以及车辆

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102018214201.7A DE102018214201A1 (de) 2018-08-22 2018-08-22 Verfahren zur Sicherstellung der Funktionssicherheit und Integrität von Abschalteinrichtungen im Fahrzeug durch präventive Steuerung der Abschaltung von Energieversorgern in einem Fahrzeug, sowie Fahrzeug

Publications (1)

Publication Number Publication Date
DE102018214201A1 true DE102018214201A1 (de) 2020-02-27

Family

ID=69412653

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102018214201.7A Pending DE102018214201A1 (de) 2018-08-22 2018-08-22 Verfahren zur Sicherstellung der Funktionssicherheit und Integrität von Abschalteinrichtungen im Fahrzeug durch präventive Steuerung der Abschaltung von Energieversorgern in einem Fahrzeug, sowie Fahrzeug

Country Status (2)

Country Link
CN (1) CN110857072B (de)
DE (1) DE102018214201A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102022125519A1 (de) 2022-10-04 2024-04-04 Bayerische Motoren Werke Aktiengesellschaft Verfahren zum Abschalten einer Hochvoltkomponente eines zumindest teilweise elektrisch betriebenen Kraftfahrzeugs, Computerprogrammprodukt sowie Sicherheitsvorrichtung

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102011010230A1 (de) * 2011-02-03 2012-08-09 Audi Ag Verfahren und Vorrichtung zur Steuerung der Stromversorgung in einem Stromnetz eines Kraftwagens, sowie Kraftwagen
DE102012007119A1 (de) * 2012-04-05 2013-10-24 Audi Ag Verfahren zum Betrieb eines Kraftfahrzeugs während und/oder nach einer Kollision
DE102012110733A1 (de) * 2012-11-09 2014-05-15 Continental Automotive Gmbh Verfahren zum Steuern der Zufuhr von Strom und/oder Treibstoff in einem Kraftfahrzeug sowie Kraftfahrzeug mit einer solchen Steuereinheit sowie entsprechende Batterie
DE102015011520A1 (de) * 2015-09-03 2016-05-12 Daimler Ag Verfahren zum Betrieb eines Fahrzeuges

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5715454B2 (ja) * 2011-03-15 2015-05-07 富士重工業株式会社 車両の運転支援装置
JP5577460B2 (ja) * 2011-05-18 2014-08-20 本田技研工業株式会社 走行制御装置
JP5772712B2 (ja) * 2012-05-14 2015-09-02 株式会社デンソー 車両装置
DE102014002540B4 (de) * 2014-02-22 2018-08-30 Audi Ag Sicherheitseinrichtung für ein Kraftfahrzeug und zugehöriges Betriebsverfahren
CN105882655A (zh) * 2016-05-20 2016-08-24 观致汽车有限公司 一种车辆碰撞的预判方法和系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102011010230A1 (de) * 2011-02-03 2012-08-09 Audi Ag Verfahren und Vorrichtung zur Steuerung der Stromversorgung in einem Stromnetz eines Kraftwagens, sowie Kraftwagen
DE102012007119A1 (de) * 2012-04-05 2013-10-24 Audi Ag Verfahren zum Betrieb eines Kraftfahrzeugs während und/oder nach einer Kollision
DE102012110733A1 (de) * 2012-11-09 2014-05-15 Continental Automotive Gmbh Verfahren zum Steuern der Zufuhr von Strom und/oder Treibstoff in einem Kraftfahrzeug sowie Kraftfahrzeug mit einer solchen Steuereinheit sowie entsprechende Batterie
DE102015011520A1 (de) * 2015-09-03 2016-05-12 Daimler Ag Verfahren zum Betrieb eines Fahrzeuges

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102022125519A1 (de) 2022-10-04 2024-04-04 Bayerische Motoren Werke Aktiengesellschaft Verfahren zum Abschalten einer Hochvoltkomponente eines zumindest teilweise elektrisch betriebenen Kraftfahrzeugs, Computerprogrammprodukt sowie Sicherheitsvorrichtung

Also Published As

Publication number Publication date
CN110857072B (zh) 2023-07-11
CN110857072A (zh) 2020-03-03

Similar Documents

Publication Publication Date Title
EP3016827B1 (de) Verfahren und vorrichtung zum betreiben eines kraftfahrzeugs in einem automatisierten fahrbetrieb
DE112018003191T5 (de) Elektronische Steuervorrichtung, Fahrzeugsteuerverfahren und Fahrzeugsteuerprogramm
DE102011010230B4 (de) Verfahren und Vorrichtung zur Steuerung der Stromversorgung in einem Stromnetz eines Kraftwagens, sowie Kraftwagen
DE102015001971A1 (de) Verfahren und Überwachungsvorrichtung zur Überwachung von Fahrerassistenzsystemen
DE102017217856A1 (de) Bremssystem für ein Kraftfahrzeug und Verfahren zum Betreiben eines Bremssystems
DE102020116410A1 (de) Vorrichtung zur Steuerung einer Bremse eines autonomen Fahrzeugs
WO2014033172A1 (de) Verfahren zum durchführen einer sicherheitsfunktion eines fahrzeugs und system zum durchführen des verfahrens
DE102015209137A1 (de) Verfahren und System zur Steuerung einer Fahrfunktion eines Fahrzeuges
DE102015213227A1 (de) Vorausschauende Steuerung eines Kraftfahrzeugs
DE102010006214A1 (de) Notbremsassistent zum automatischen Abbremsen eines Fahrzeugs zur Kollisionsvermeidung oder Kollisionsfolgenminderung
DE102016124259B4 (de) Fahrzeugbrennstoffzellensystem und Verfahren zum Steuern desselben
DE102017208462A1 (de) Verfahren und Vorrichtung zum Ermitteln von Betriebsdaten für ein automatisiertes Fahrzeug
WO2017076405A1 (de) Vorrichtung zur umfeldmodellierung für ein fahrerassistenzsystem für ein kraftfahrzeug
DE102017214531A1 (de) Verfahren und Vorrichtung zum Betreiben eines Kraftfahrzeugs in einem automatisierten Fahrbetrieb sowie Kraftfahrzeug
DE102020213357A1 (de) Verfahren zum Überprüfen des Verhaltens mindestens einer Gruppe von Verbrauchern in einem Kraftfahrzeug
DE102018216423A1 (de) Bestimmung eines Ansteuerungssignals für ein teilautonomes Fahrzeug
DE102015224696A1 (de) Risikobasierte Steuerung eines Kraftfahrzeugs
DE102019218718B4 (de) Steuerungssystem zur Steuerung eines Betriebs eines selbstfahrenden Fahrzeugs sowie Kraftfahrzeug
DE102018214201A1 (de) Verfahren zur Sicherstellung der Funktionssicherheit und Integrität von Abschalteinrichtungen im Fahrzeug durch präventive Steuerung der Abschaltung von Energieversorgern in einem Fahrzeug, sowie Fahrzeug
DE102017213496B4 (de) Verfahren und Steuervorrichtung zum fehlertoleranten Betrieb eines Kraftfahrzeugs
DE102018218099A1 (de) Fahrassistenzsystem für ein Kraftfahrzeug, Kraftfahrzeug und Verfahren zum Betreiben eines Fahrassistenzsystem oder Kraftfahrzeugs
WO2023012243A1 (de) System, verfahren und software zum betreiben eines fahrerassistenzsystems
DE102014203806A1 (de) Verfahren zur Vorhersage eines voraussichtlichen Anfahrzeitpunktes eines Fahrzeugs
DE102019219464B3 (de) Verfahren zum Betrieb eines selbstfahrenden Fahrzeugs sowie Steuerungssystem zum Durchführen eines solchen Verfahrens
DE102015215284A1 (de) Verfahren zum Betreiben eines Kraftfahrzeuges und Kraftfahrzeug

Legal Events

Date Code Title Description
R163 Identified publications notified