DE102020121244A1 - Fail-Operational-System für ein Fahrzeug mit zumindest einer eigenständigen redundanten Komponentenpaarung zur Regelung einer Fahrzeugfunktion, Fahrzeug sowie Verfahren - Google Patents

Fail-Operational-System für ein Fahrzeug mit zumindest einer eigenständigen redundanten Komponentenpaarung zur Regelung einer Fahrzeugfunktion, Fahrzeug sowie Verfahren Download PDF

Info

Publication number
DE102020121244A1
DE102020121244A1 DE102020121244.5A DE102020121244A DE102020121244A1 DE 102020121244 A1 DE102020121244 A1 DE 102020121244A1 DE 102020121244 A DE102020121244 A DE 102020121244A DE 102020121244 A1 DE102020121244 A1 DE 102020121244A1
Authority
DE
Germany
Prior art keywords
component
components
main
vehicle
fail
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102020121244.5A
Other languages
English (en)
Inventor
Martin Kuemmel
Martin Schaefer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bayerische Motoren Werke AG
Original Assignee
Bayerische Motoren Werke AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bayerische Motoren Werke AG filed Critical Bayerische Motoren Werke AG
Priority to DE102020121244.5A priority Critical patent/DE102020121244A1/de
Publication of DE102020121244A1 publication Critical patent/DE102020121244A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/023Avoiding failures by using redundant parts
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W60/00Drive control systems specially adapted for autonomous road vehicles
    • B60W60/001Planning or execution of driving tasks
    • B60W60/0015Planning or execution of driving tasks specially adapted for safety
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • B60W2050/0292Fail-safe or redundant systems, e.g. limp-home or backup systems

Abstract

Die Erfindung betrifft ein Fail-Operational-System für ein Fahrzeug, umfassend: eine Mehrzahl von redundanten Komponentenpaarungen, wobei jede Komponentenpaarung eine Hauptkomponente in einer Hauptsystemebene und eine Ersatzkomponente in einer Ersatzsystemebene umfasst, wobei die Hauptkomponenten zur Regelung einer Fahrzeugfunktion in einem Normalbetrieb eingerichtet sind, wobei die Ersatzkomponenten zur Regelung der Fahrzeugfunktion in einem Fehlerbetrieb eingerichtet sind, wobei die Hauptkomponenten und die Ersatzkomponenten jeweils eine kaskadierte Regelung der Fahrzeugfunktion bereitstellen, wobei die Komponentenpaarungen durch eine redundante Kommunikationsverbindung miteinander verbunden sind, wobei zumindest eine der Komponentenpaarungen als eigenständige Komponentenpaarung ausgebildet ist und eine redundante interne Kommunikationsverbindung zwischen der Hauptkomponente und der Ersatzkomponente aufweist und wobei die zumindest eine eigenständige Komponentenpaarung dazu eingerichtet ist, anhand der redundanten internen Kommunikationsverbindung eine Funktionsfähigkeit der Hauptkomponente und der Ersatzkomponente zu erkennen und anhand der erkannten Funktionsfähigkeit eine Aktivierung der Hauptkomponente oder der Ersatzkomponente zu bestimmen.

Description

  • Die vorliegende Erfindung betrifft ein Fail-Operational-System für ein Fahrzeug. Des Weiteren betrifft die vorliegende Erfindung ein Fahrzeug mit einem derartigen Fail-Operational-System. Schließlich betrifft die vorliegende Erfindung ein Verfahren zum Betreiben eines solchen Fail-Operational-Systems.
  • Fahrzeuge und insbesondere derartige Fahrzeuge, welche hochautomatisiert betrieben werden, benötigen redundante Systeme. Vorliegend gilt das Interesse insbesondere sogenannten Fail-Operational-Systemen. Ein derartiges System kann in einem Fehlerfall weiter arbeiten bzw. weiter betrieben werden. Derartige Systeme verfügen meist über eine Fehlerdiagnose und eine Fehlerreaktion. Durch einen entsprechenden Vergleich der einzelnen Komponenten untereinander kann ermittelt werden, ob ein Fehler vorliegt, und bei welcher Komponente dieser Fehler vorhanden ist. Ein derartiges System kann auch als fehlertolerantes System bezeichnet werden.
  • Für solche Fail-Operational-Systeme werden redundante Teilsysteme eingesetzt, die über Datenbusse miteinander kommunizieren. Um die Voraussetzungen für den hochautomatisierten Betrieb eines Fahrzeugs zu ermöglichen, werden beispielsweise auf jeder Ebene einer kaskadierten Regelung zwei Komponenten in symmetrischer oder asymmetrischer Redundanz eingesetzt. Beispielsweise können zwei elektrische Lenksysteme, ein Haupt- und ein Ersatzbremssystem sowie ein Haupt- und ein Ersatzfahrzeugregelsystem verwendet werden. Im Normalbetrieb, also im fehlerfreien Betrieb, sind jeweils die Hauptkomponenten aktiv an der Fahrzeugregelung beteiligt, während die Ersatzkomponenten in der Regel in Bereitschaft verharren, ohne jedoch aktiv an der Fahrzeugregelung teil zu nehmen. Die Ersatzkomponenten stellen also je nach Ausgestaltung eine kalte oder heiße Redundanz dar.
  • Um bei einem beliebigen Fehler in einer Komponente, einem Datenbus oder einer Energieversorgung, welcher ein oder mehrere Elemente des Fail-Operational-Systems gleichzeitig ausfallen lässt, sicher auf einen geeigneten Verbund aus noch betriebsfähigen Komponenten mit einer der Fahraufgabe entsprechenden Wirkverbindung umzuschalten, wurde eine auf die einzelnen im Fail-Operational-System kombinierten Steuergeräte verteilte Kanalumschaltungslogik entwickelt. Hierzu beschreibt die DE 10 2017 218 395 A1 ein Verfahren zur fehlerrobusten Regelung eines hochautomatisierten Fahrzeugs, umfassend zumindest zwei funktional redundante Fahrzeugsteuerungscluster bzw. Ausfallcluster, umfassend jeweils einen Haupt-Auftraggeber und zumindest einen Neben-Auftraggeber und einen Haupt-Auftragnehmer und zumindest einen Neben-Auftragnehmer, die miteinander und untereinander in Wirkverbindung stehen. Dabei ist für jede von einem der Auftraggeber an einen der Auftragnehmer übermittelte auszuführende Aufgabe eine Priorisierung der Wirkverbindung zur Ausführung der Aufgabe vorgesehen. Des Weiteren erfasst jede der in der Wirkketten vorgesehenen Komponenten des zumindest einen Auftraggebers und jede der in jeder der Wirkketten vorgesehenen Komponenten des zumindest einen Auftragnehmers ihren eigenen Verfügbarkeits-Zustand und stellt diesen anderen Komponenten zur Verfügung. Im Falle des Verfügbarkeits-Zustands der Nicht-Verfügbarkeit einer der Komponenten erfolgt eine Auswahl einer Wirkkette zur Durchführung der auszuführenden Aufgabe basierend auf der Priorisierung der Wirkverbindung und die ausgewählte Wirkkette wird aktiviert.
  • Eine in der DE 10 2017 218 395 A1 beschriebene Kanalumschaltungslogik ist individuell für die im Fail-Operational-System eingesetzten Komponenten auf Basis deren Architektur entwickelt und spezifiziert das Verhalten des jeweiligen Steuergeräts genau. Diese Kanalumschaltungslogik kann aber bei Änderungen von einzelnen Komponenten eine spezifische Implementierung erfordern. Die Kanalschaltungslogik ist beispielsweise abhängig von Änderungen bei der Verteilung der Funktionen auf die einzelnen Steuergeräte, die Anzahl der Steuergeräte und deren Datenbordnetz-Vernetzung sowie der Energieversorgung der Steuergeräte.
  • Es ist Aufgabe der vorliegenden Erfindung, ein Fail-Operational-System für ein Fahrzeug der eingangs genannten Art bereit zu stellen, welches flexibler für unterschiedliche Komponenten eingesetzt werden kann. Des Weiteren soll ein Fahrzeug mit einem solchen Fail-Operational-System bereitgestellt werden.
  • Diese Aufgabe wird erfindungsgemäß durch ein Fail-Operational-System, durch ein Fahrzeug sowie durch ein Verfahren mit den Merkmalen gemäß den unabhängigen Ansprüchen gelöst. Vorteilhafte Weiterbildungen der vorliegenden Erfindung sind in den abhängigen Ansprüchen angegeben.
  • Ein erfindungsgemäßes Fail-Operational-System für ein Fahrzeug umfasst eine Mehrzahl von redundanten Komponentenpaarungen, wobei jede Komponentenpaarung eine Hauptkomponente in einer Hauptsystemebene und eine Ersatzkomponente in einer Ersatzsystemebene umfasst. Dabei sind die Hauptkomponenten zur Regelung einer Fahrzeugfunktion in einem Normalbetrieb eingerichtet und die Ersatzkomponenten sind zur Regelung der Fahrzeugfunktion in einem Fehlerbetrieb eingerichtet. Dabei stellen die Hauptkomponenten und die Ersatzkomponenten jeweils eine kaskadierte Regelung der Fahrzeugfunktion bereit. Außerdem sind die Komponentenpaarungen durch eine redundante Kommunikationsverbindung miteinander verbunden. Hierbei ist vorgesehen, dass zumindest eine der Komponentenpaarungen als eigenständige Komponentenpaarung ausgebildet ist und eine redundante interne Kommunikationsverbindung zwischen der Hauptkomponente und der Ersatzkomponente aufweist. Des Weiteren ist die zumindest eine eigenständige Komponentenpaarung dazu eingerichtet, anhand der redundanten internen Kommunikationsverbindung eine Funktionsfähigkeit der Hauptkomponente und der Ersatzkomponente zu erkennen und anhand der erkannten Funktionsfähigkeit eine Aktivierung der Hauptkomponente oder der Ersatzkomponente zu bestimmen.
  • Das Fail-Operational-System kann in dem Fahrzeug eingesetzt werden, um Fahrzeugfunktionen bzw. Fahraufgaben zu regeln. Insbesondere kann das Fail-Operational-System für einen hochautomatisierten Betrieb des Fahrzeugs bzw. während des hochautomatisierten Betriebs eingesetzt werden. Um die Fahrzeugfunktion bzw. die Fahraufgabe des Fahrzeugs regeln zu können, werden im Normalbetrieb, also im fehlerfreien Betrieb, die Hauptkomponenten verwendet. Als Hauptkomponenten können Sensoren bzw. Sensor-Steuergeräte, Regler bzw. Regler-Steuergeräte und Aktoren bzw. Aktor-Steuergeräte verwendet werden. Durch die Hauptkomponenten wird für die Regelung der Fahrzeugfunktion bzw. der Fahraufgabe eine kaskadierte Regelung bereitgestellt. Hierzu können Hauptkomponenten als übergeordneter Regler und untergelagerter Regler ausgebildet sein.
  • Die Ersatzkomponenten stellen die Redundanz für die einzelnen Hauptkomponenten dar. Dies bedeutet insbesondere, dass für jede der Hauptkomponenten eine Ersatzkomponente vorhanden ist. Durch die Ersatzkomponenten kann die Regelung der Fahrzeugfunktion in dem Fehlerbetrieb übernommen werden. Die korrespondierenden Hauptkomponenten und Ersatzkomponenten bilden jeweils eine Komponentenpaarung. Diese einzelnen Komponentenpaarungen, sind über redundante Kommunikationsverbindungen miteinander verbunden. Beispielsweise kann zwischen benachbarten Komponentenpaarungen eine redundante Kommunikationsverbindung ausgebildet sein.
  • Gemäß einem wesentlichen Aspekt der vorliegenden Erfindung ist vorgesehen, dass zumindest eine der Komponentenpaarungen als eigenständige Komponentenpaarung ausgebildet ist. Diese eigenständige Komponentenpaarung weist eine redundante interne Kommunikationsverbindung zwischen der Hauptkomponente und der Ersatzkomponente auf. Mindestens eine der Komponentenpaarungen des Fail-Operational-Systems ist also als eigenständige Komponentenpaarung ausgebildet. Unter dem Begriff eigenständige Komponentenpaarung ist vorliegend zu verstehen, dass innerhalb dieser eigenständigen Komponentenpaarung auch die Kommunikationsverbindung zwischen der Hauptkomponente und der Ersatzkomponente redundant ausgebildet ist. Diese interne Kommunikationsverbindung unterscheidet sich von der redundanten Kommunikationsverbindung zwischen den Komponentenpaarungen. Da die eigenständige Komponentenpaarung über die redundante interne Kommunikation verfügt, können beide Komponenten der Komponentenpaarung eindeutig feststellen, ob die jeweils andere Komponente noch verfügbar ist. Es kann also die Funktionsfähigkeit der Hauptkomponente und der Ersatzkomponente innerhalb der eigenständigen Komponentenpaarung erkannt werden.
  • Des Weiteren ist es gemäß der Erfindung vorgesehen, dass die zumindest eine eigenständige Komponentenpaarung dazu eingerichtet ist, anhand der erkannten Funktionsfähigkeit eine Aktivierung der Hauptkomponente oder der Ersatzkomponente zu bestimmen. Mit anderen Worten soll gemäß der vorliegenden Erfindung das in der DE 10 2017 218 395 A1 beschriebene Kanalumschaltungskonzept derart weitergebildet werden, dass die redundanten Komponentenpaarungen eigenständig entscheiden können, ob die Hauptkomponente oder die Nebenkomponente aktiviert werden muss. Durch die eigenständige Komponentenpaarung können die Komponenten und/oder Funktionen des Fail-Operational-Systems bei Architekturänderungen mit geringem Aufwand angepasst werden.
  • Bevorzugt ist die zumindest eine eigenständige Komponentenpaarung dazu eingerichtet, über die redundante Kommunikationsverbindung an eine in der kaskadierten Regelung nachgelagerte Komponentenpaarung entweder mittels der Hauptkomponente und der Ersatzkomponente identische Informationen auszugeben oder mittels der Hauptkomponente oder der Ersatzkomponente eine Information auszugeben. Die zumindest eine eigenständige Komponentenpaarung muss also auf höherer Ebene sicher stellen, dass die Komponentenpaarung entweder auf beiden Kanälen die identische Information an die untergelagerte Ebene ausgibt oder nur auf einem der beiden Kanäle eine gültige Information an die untergelagerte Ebene ausgibt. Damit ist sichergestellt, dass die untergelagerte Ebene unabhängig davon, von welchem Kanal (Hauptkomponente oder Ersatzkomponente) die Information eingelesen wird, die korrekte und aktuell im Reglerverbund zu verwendende Information tatsächlich verwendet. Somit kann also sichergestellt werden, dass die in der kaskadierten Regelung nachgelagerte Komponentenpaarung keine fehlerhafte Information erhält. Hierbei kann zusätzlich eine Priorisierung der Informationen realisiert werden. Beispielsweise kann den Informationen der Hauptkomponente und der Ersatzkomponente eine jeweilige Priorisierung zugeordnet werden.
  • In einer Ausführungsform weist die Ersatzkomponente der zumindest einen eigenständigen Komponentenpaarung einen Umschalter auf, wobei die Ersatzkomponente bei einer ersten Schalterstellung des Umschalters die Information der Hauptkomponente weitergibt und bei einer zweiten Schalterstellung des Umschalters die Information der Ersatzkomponente weitergibt. Die Sicherstellung der Ausgabe der identischen Information kann beispielsweise so erfolgen, dass die Hauptkomponente die Ausgabeinformation an die Ersatzkomponente weitergibt und die Ersatzkomponente einen Umschalter umfasst, der im Normalfall die Information der Hauptkomponente weitergibt. Hier befindet sich der Umschalter in der ersten Schalterstellung. Wenn die Information der Hauptkomponente aufgrund eines Systemausfalls der Kommunikationsverbindung oder der Hauptsystemebene nicht empfangen wird, wird die Information des Ersatzsystems weitergegeben. Hierzu nimmt der Umschalter die zweite Schalterstellung ein. Somit kann auf einfache und zuverlässige Weise sichergestellt werden, dass keine fehlerhaften Informationen an die nachgelagerte Komponentenpaarung weitergegeben werden.
  • Hierbei ist insbesondere vorgesehen, dass die Ersatzkomponente dazu eingerichtet ist, ein Umschaltsignal, welches die Schalterstellung des Umschalters beschreibt, an die Hauptkomponente über die redundante interne Kommunikationsverbindung zu übertragen. Es ist also vorgesehen, dass die Ersatzkomponente die Hauptkomponente lediglich darüber informiert, ob sich der Umschalter in der Ersatzkomponente in der zweiten Schalterstellung befindet und somit die Information der Ersatzkomponente an die nachgelagerte Komponentenpaarung ausgegeben wird. Bevorzugt ist die Hauptkomponente dazu eingerichtet, ein Senden der Information zu unterbinden, falls das Umschaltsignal beschreibt, dass sich der Umschalter in der zweiten Schalterstellung befindet. Wenn sich der Umschalter in der zweiten Schalterstellung befindet und somit die Information der Ersatzkomponente ausgegeben wird, muss die Hauptkomponente das Versenden der Information einstellen. Somit kann erreicht werden, dass der Empfänger, also die Komponenten der untergelagerten Ebene, gezwungen sind, die Informationen der Ersatzkomponente zu verwenden. Zumindest eine stimmige und konsistente Umschaltung auf die Information der Ersatzkomponente ist sichergestellt. Dies gilt auch für den Fall, wenn mehrere Komponenten, welche beispielsweise eine Bremse, eine Lenkung und/oder einen Antrieb betreffen, verwendet werden.
  • In einer weiteren Ausführungsform ist die Hauptkomponente der zumindest einen eigenständigen Komponentenpaarung dazu eingerichtet, ein Senden der Information zu unterbinden, falls eine Fehlfunktion der Hauptkomponente einer nachgelagerten Komponentenpaarung vorhanden ist. Mit anderen Worten muss die Hauptkomponente der zumindest einen eigenständigen Komponentenpaarung das Versenden der Information auch dann einstellen, wenn es einen Ausfall des nachgelagerten Systems in der Hauptsystemebene erkennt bzw. wenn die Fehlfunktion dieser Hauptkomponente durch Fehlerpropagation an die Hauptkomponente der eigenständigen Komponentenpaarung übertragen wird. Somit können untergelagerte Komponentenpaarungen bzw. Systeme sowohl mit einfach als auch mit redundanter internen Kommunikationsverbindung gleichermaßen verwendet werden.
  • Weiterhin ist vorteilhaft, wenn die redundante interne Kommunikationsverbindung zwei Datenbusse oder einen Datenbus und eine Signalleitung zum Übertragen eines Signals, welches die Funktionsfähigkeit der Hauptkomponente und/oder der Ersatzkomponente beschreibt, umfasst. Für die redundante interne Kommunikationsverbindung können also zwei separate Kommunikationsverbindungen verwendet werden. Beispielsweise können zwei Datenbusse verwendet werden. Alternativ hierzu kann ein Datenbus und ein so genanntes „Alive“-Signal verwendet werden. Somit kann auf einfache und zuverlässige Weise die redundante interne Kommunikation innerhalb der eigenständigen Komponentenpaarung realisiert werden.
  • Wie bereits erläutert, kann die Fahrzeugfunktion ein Lenken, ein Bremsen und/oder ein Antreiben des Fahrzeugs während eines hochautomatisierten Betriebs des Fahrzeugs sein. Im hochautomatisierten Betrieb des Fahrzeugs können entsprechende Sensordaten empfangen werden und auf Grundlage der Sensordaten eine Regelung mit der kaskadierten Regelung durchgeführt werden. Somit können die entsprechenden Aktoren angesteuert werden. Auf diese Weise kann ein Lenksystem, ein Bremssystem und/oder ein Antriebsmotor des Fahrzeugs angesteuert werden.
  • Ein erfindungsgemäßes Fahrzeug umfasst ein erfindungsgemäßes Fail-Operational-System. Das Fahrzeug kann insbesondere als Personenkraftwagen ausgebildet sein. Es kann auch vorgesehen sein, dass das Fahrzeug als Nutzfahrzeug ausgebildet ist.
  • Ein erfindungsgemäßes Verfahren dient zum Betreiben eines Fail-Operational-Systems für ein Fahrzeug. Dabei umfasst das Fail-Operational-System eine Mehrzahl von redundanten Komponentenpaarungen, von denen jede eine Hauptkomponente in einer Hauptsystemebene und eine Ersatzkomponente in einer Ersatzsystemebene aufweist. Das Verfahren umfasst das Regeln einer Fahrzeugfunktion in einem Normalbetrieb mittels den Hauptkomponenten oder das Regeln der Fahrzeugfunktion in einem Fehlerbetrieb mittels den Ersatzkomponenten. Dabei wird mittels den Hauptkomponenten und den Ersatzkomponenten jeweils eine kaskadierte Regelung der Fahrzeugfunktion bereitgestellt. Des Weiteren sind die Komponentenpaarungen durch eine redundante Kommunikationsverbindung miteinander verbunden. Dabei ist vorgesehen, dass zumindest eine der Komponentenpaarungen als eigenständige Komponentenpaarung ausgebildet ist und eine redundante interne Kommunikationsverbindung zwischen der Hauptkomponente und der Ersatzkomponente aufweist. Des Weiteren wird mittels der zumindest einen eigenständigen Komponentenpaarung anhand der redundanten internen Kommunikationsverbindung eine Funktionsfähigkeit der Hauptkomponente und der Ersatzkomponente erkannt. Darüber hinaus wird anhand der erkannten Funktionsfähigkeit eine Aktivierung der Hauptkomponente oder der Ersatzkomponente bestimmt.
  • Die mit Bezug auf das erfindungsgemäße Fail-Operational-System vorgestellten bevorzugten Ausführungsformen und deren Vorteile gelten entsprechend für das erfindungsgemäße Fahrzeug sowie für das erfindungsgemäße Verfahren.
  • Weitere Merkmale der Erfindung ergeben sich aus den Ansprüchen, den Figuren und der Figurenbeschreibung. Die vorstehend in der Beschreibung genannten Merkmale und Merkmalskombinationen, sowie die nachfolgend in der Figurenbeschreibung genannten und/oder in den Figuren alleine gezeigten Merkmale und Merkmalskombinationen sind nicht nur in der jeweils angegebenen Kombination, sondern auch in anderen Kombinationen oder in Alleinstellung verwendbar, ohne den Rahmen der Erfindung zu verlassen.
  • Die Erfindung wird nun anhand von bevorzugten Ausführungsbeispielen sowie unter Bezugnahme auf die beigefügten Zeichnungen näher erläutert. Dabei zeigen:
    • 1 eine schematische Darstellung eines Fahrzeugs, welches ein Fail-Operational-System umfasst; und
    • 2 eine schematische Darstellung des Fail-Operational-Systems, welches eine Mehrzahl von redundanten Komponentenpaarungen umfasst.
  • In den Figuren werden gleiche oder funktionsgleiche Elemente mit den gleichen Bezugszeichen versehen.
  • 1 zeigt in einer schematischen Darstellung ein Fahrzeug 1, welches vorliegend als Personenkraftwagen ausgebildet ist, in einer Draufsicht. Wie vorliegend schematisch angedeutet, umfasst das Fahrzeug 1 ein Fail-Operational-System 2. Dieses Fail-Operational-System 2 kann dazu eingesetzt werden, während eines hochautomatisierten Betriebs des Fahrzeugs 1 Fahrfunktionen bzw. Fahraufgaben zu regeln. Insbesondere kann mittels des Fail-Operational-Systems 2 die Längsführung und die Querführung des Fahrzeugs 1 geregelt werden. Mittels des Fail-Operational-Systems kann also ein Lenksystem, ein Bremssystem oder der Betrieb eines Antriebsmotors des Fahrzeugs 1 geregelt werden.
  • 2 zeigt eine schematische Darstellung des Fail-Operational-Systems 2. Das Fail-Operational-System 2 umfasst eine Mehrzahl von Hauptkomponenten 3, welche einer Hauptsystemebene 5 zugeordnet sind. Dabei sind jeweils benachbarte Hauptkomponenten 3 über Kommunikationsverbindungen 8 miteinander verbunden. Diese Kommunikationsverbindungen 8 können beispielsweise durch entsprechende Datenbusse realisiert werden. Durch die Hauptkomponenten 3 kann eine Fahrzeugfunktion in einem Normalbetrieb geregelt werden. Dabei wird durch die einzelnen Hauptkomponenten 3 eine kaskadierte Regelung der Fahrzeugfunktion ermöglicht. Darüber hinaus umfasst das Fail-Operational-System 2 eine Mehrzahl von Ersatzkomponenten 4. Dabei ist jeder der Hauptkomponenten 3 eine Ersatzkomponente 4 zugeordnet. Die Ersatzkomponenten 4 sind einer Ersatzsystemebene 6 zugeordnet. Auch die Ersatzkomponenten 4 sind über entsprechende Kommunikationsverbindungen 8 miteinander verbunden. Mit den Ersatzkomponenten 4 kann die Fahrzeugfunktion in einem Fehlerbetrieb geregelt werden.
  • Jeweils eine Hauptkomponente 3 und eine Ersatzkomponente 4 bilden eine redundante Komponentenpaarung 7, 7'. Die Komponentenpaarungen 7, 7' können jeweils ein redundantes Fail-Silent-System bilden. Durch die beiden Kommunikationsverbindungen 8 zwischen den benachbarten Komponentenpaarungen 7, 7' ergibt sich eine redundante Kommunikationsverbindung 9. Die redundante Komponentenpaarung 7 auf der linken Seite kann beispielsweise einer Sensorik-Steuergeräte-Schicht zugeordnet sein. Diese Komponentenpaarung 7 kann als Hauptkomponente 3 ein Sensor-Steuergerät 10 und als Ersatzkomponente 4 ein Sensor-Steuergerät 10' aufweisen. Die nächsten Komponentenpaarung 7' kann einem übergeordneten Regler zugeordnet sein. Dieser übergeordnete Regler kann als Hauptkomponente 3 ein Regler-Steuergerät 11 aufweisen, mittels welchem eine Haupt-Regelfunktion 12 bereitgestellt wird. Als Ersatzkomponente 4 kann dieser übergeordnete Regler ein Regler-Steuergerät 11' aufweisen, mittels welchem eine Ersatzregelfunktion 12' umgesetzt wird. Die nachfolgende Komponentenpaarung 7 kann als Hauptkomponente 3 ein Regler-Steuergerät 13 und als Ersatzkomponente 4 ein Regler-Steuergerät 13' umfassen. Die nachfolgende Komponentenpaarung 7 kann als Hauptkomponente 3 ein Aktor-Steuergerät 14 und als Ersatzkomponente 4 ein Aktor-Steuergerät 14' umfassen.
  • Vorliegend ist eine der Komponentenpaarungen 7, 7' als eigenständige Komponentenpaarung 7' ausgebildet. Diese eigenständige Komponentenpaarung 7' weist eine redundante interne Kommunikationsverbindung 15 auf. Diese redundante interne Kommunikationsverbindung 15 wird einerseits durch eine Kommunikationsverbindung 8 sowie durch eine Signalleitung 16 bereitgestellt. Diese eigenständige Komponentenpaarung 7' kann eigenständig entscheiden, ob innerhalb dieser eigenständigen Komponentenpaarung 7' die Hauptkomponente 3 oder die Ersatzkomponente 4 aktiviert werden muss. Hierzu muss diese eigenständige Komponentenpaarung 7' auf höherer Ebene in der kaskadierten Regelung sicherstellen, dass innerhalb der eigenständigen Komponentenpaarung 7' über die redundante interne Kommunikationsverbindung 15 festgestellt werden kann, ob die Hauptkomponente 3 oder die Ersatzkomponente verfügbar sind.
  • Des Weiteren ist sicher zu stellen, dass diese eigenständige Komponentenpaarung 7' entweder auf beiden Kanälen bzw. Kommunikationsverbindungen 8 die identische Information an die untergelagerte Ebene bzw. die nachfolgende Komponentenpaarung 7 ausgibt, oder nur auf einem der beiden Kanäle bzw. über eine Kommunikationsverbindung 8 eine gültige Information an die untergelagerte Ebene ausgibt. Vorliegend umfasst die Ersatzkomponente 4 der eigenständigen Komponentenpaarung 7' einen Umschalter 17. Im Normalbetrieb ist dieser Umschalter mit der Hauptkomponente 3 verbunden. Hier befindet sich der Umschalter in einer ersten Schalterstellung, sodass auch mit der Ersatzkomponente 4 das Signal der Hauptkomponente 3 ausgegeben wird. Bei einem Fehlerfall der Hauptkomponente 3 kann die Schalterstellung des Umschalters 7 in eine zweite Schalterstellung verändert werden, sodass die Information der Ersatzkomponente 4 ausgegeben wird. In diesem Fall kann die Ersatzkomponente 4 über die Signalleitung 16 ein Umschaltsignal an die Hauptkomponente 3 übertragen, wobei das Umschaltsignal die Schalterstellung des Umschalters 17 beschreibt. Dabei muss die Hauptkomponente 3 das Versenden der Information einstellen, sodass die nachfolgende Komponentenpaarung 7 die Information der Ersatzkomponente empfängt und diese verwendet.
  • Die Hauptkomponente 3 kann das Versenden der Information auch dann einstellen, wenn ein Ausfall der Hauptkomponente 3 der nachfolgenden Komponentenpaarung 7 erkannt bzw. auf Fehlerpropagation mitgeteilt wird. Auf diese Weise können untergelagerte Komponentenpaarungen 7 und auch nachgelagerte eigenständige Komponentenpaarungen 7' mit redundanter interner Kommunikationsverbindung 15 gleichermaßen eingesetzt werden. Das Fail-Operational-System 2 ist somit unempfindlich bei Architekturänderungen und ist sicher für alle Einfachfehler, wenn mindestens die höchste Reglerschicht ausgeführt wurde.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • DE 102017218395 A1 [0004, 0005, 0012]

Claims (10)

  1. Fail-Operational-System (2) für ein Fahrzeug (1), umfassend: - eine Mehrzahl von redundanten Komponentenpaarungen (7, 7'), wobei jede Komponentenpaarung (7, 7') eine Hauptkomponente (3) in einer Hauptsystemebene (5) und eine Ersatzkomponente (4) in einer Ersatzsystemebene (6) umfasst, - wobei die Hauptkomponenten (3) zur Regelung einer Fahrzeugfunktion in einem Normalbetrieb eingerichtet sind, - wobei die Ersatzkomponenten (4) zur Regelung der Fahrzeugfunktion in einem Fehlerbetrieb eingerichtet sind, - wobei die Hauptkomponenten (3) und die Ersatzkomponenten (4) jeweils eine kaskadierte Regelung der Fahrzeugfunktion bereitstellen, und - wobei die Komponentenpaarungen (7, 7') durch eine redundante Kommunikationsverbindung (9) miteinander verbunden sind, dadurch gekennzeichnet, dass - zumindest eine der Komponentenpaarungen (7, 7') als eigenständige Komponentenpaarung (7') ausgebildet ist und eine redundante interne Kommunikationsverbindung (15) zwischen der Hauptkomponente (3) und der Ersatzkomponente (4) aufweist und - die zumindest eine eigenständige Komponentenpaarung (7') dazu eingerichtet ist, anhand der redundanten internen Kommunikationsverbindung (15) eine Funktionsfähigkeit der Hauptkomponente (3) und der Ersatzkomponente (4) zu erkennen und anhand der erkannten Funktionsfähigkeit eine Aktivierung der Hauptkomponente (3) oder der Ersatzkomponente (4) zu bestimmen.
  2. Fail-Operational-System (2) nach Anspruch 1, dadurch gekennzeichnet, dass die zumindest eine eigenständige Komponentenpaarung (7') dazu eingerichtet ist, über die redundante Kommunikationsverbindung (9) an eine in der kaskadierten Regelung nachgelagerte Komponentenpaarung (7, 7') entweder mittels der Hauptkomponente (3) und der Ersatzkomponente (4) identische Informationen auszugeben oder mittels der Hauptkomponente (3) oder der Ersatzkomponente (4) eine Information auszugeben.
  3. Fail-Operational-System (2) nach Anspruch 2, dadurch gekennzeichnet, dass die Ersatzkomponente (4) der zumindest einen eigenständigen Komponentenpaarung (7') einen Umschalter (17) aufweist, wobei die Ersatzkomponente (4) bei einer erste Schalterstellung des Umschalters (17) die Information der Hauptkomponente (3) weitergibt und bei einer zweiten Schalterstellung des Umschalters (17) die Information der Ersatzkomponente (4) weitergibt.
  4. Fail-Operational- System (2) nach Anspruch 3, dadurch gekennzeichnet, dass die Ersatzkomponente (4) dazu eingerichtet ist, ein Umschaltsignal, welches die Schalterstellung des Umschalters (17) beschreibt, an die Hauptkomponente (3) über die redundante interne Kommunikationsverbindung (15) zu übertragen.
  5. Fail-Operational-System (2) nach Anspruch 3 oder 4, dadurch gekennzeichnet, dass die Hauptkomponente (3) dazu eingerichtet ist, ein Senden der Information zu unterbinden, falls das Umschaltsignal beschreibt, dass sich der Umschalter (17) in der zweiten Schalterstellung befindet.
  6. Fail-Operational-System (2) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Hauptkomponente (3) der zumindest einen eigenständigen Komponentenpaarung (7') dazu eingerichtet ist, ein Senden der Information zu unterbinden, falls eine Fehlfunktion der Hauptkomponente (3) einer nachgelagerte Komponentenpaarung (7, 7') vorhanden ist.
  7. Fail-Operational-System (2) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die redundante interne Kommunikationsverbindung (15) zwei Datenbusse oder einen Datenbus und eine Signalleitung (16) zum Übertragen eines Signals, welches die Funktionsfähigkeit der Hauptkomponente (3) und/oder der Ersatzkomponente (4) beschreibt, umfasst.
  8. Fail-Operational-System (2) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Fahrzeugfunktion ein Lenken, ein Bremsen und/oder ein Antreiben des Fahrzeugs (1) während eines hochautomatisierten Betriebs des Fahrzeugs (1) ist.
  9. Fahrzeug (1), insbesondere Personenkraftwagen, mit einem Fail-Operational-System (2) nach einem der vorhergehenden Ansprüche.
  10. Verfahren zum Betreiben eines Fail-Operational-Systems (2) für ein Fahrzeug (1), wobei das Fail-Operational-System (2) eine Mehrzahl von redundanten Komponentenpaarungen, von denen jede eine Hauptkomponente (3) in einer Hauptsystemebene (5) und eine Ersatzkomponente (4) in einer Ersatzsystemebene (6) aufweist, umfasst, mit den Schritten: - Regeln einer Fahrzeugfunktion in einem Normalbetrieb mittels den Hauptkomponenten (3), - Regeln der Fahrzeugfunktion in einem Fehlerbetrieb mittels den Ersatzkomponenten (4), - wobei mittels der Hauptkomponenten (3) und der Ersatzkomponenten (4) jeweils eine kaskadierte Regelung der Fahrzeugfunktion bereitgestellt wird, und - wobei die Komponentenpaarungen (7, 7') durch eine redundante Kommunikationsverbindung (9) miteinander verbunden sind, dadurch gekennzeichnet, dass - zumindest eine der Komponentenpaarungen (7, 7') als eigenständige Komponentenpaarung (7') ausgebildet ist und eine redundante interne Kommunikationsverbindung (15) zwischen der Hauptkomponente (3) und der Ersatzkomponente (4) aufweist und - mittels der zumindest einen eigenständigen Komponentenpaarung (7') anhand der redundanten internen Kommunikationsverbindung (15) eine Funktionsfähigkeit der Hauptkomponente (3) und der Ersatzkomponente (4) erkannt und anhand der erkannten Funktionsfähigkeit eine Aktivierung der Hauptkomponente (3) oder der Ersatzkomponente (4) bestimmt wird.
DE102020121244.5A 2020-08-12 2020-08-12 Fail-Operational-System für ein Fahrzeug mit zumindest einer eigenständigen redundanten Komponentenpaarung zur Regelung einer Fahrzeugfunktion, Fahrzeug sowie Verfahren Pending DE102020121244A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102020121244.5A DE102020121244A1 (de) 2020-08-12 2020-08-12 Fail-Operational-System für ein Fahrzeug mit zumindest einer eigenständigen redundanten Komponentenpaarung zur Regelung einer Fahrzeugfunktion, Fahrzeug sowie Verfahren

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102020121244.5A DE102020121244A1 (de) 2020-08-12 2020-08-12 Fail-Operational-System für ein Fahrzeug mit zumindest einer eigenständigen redundanten Komponentenpaarung zur Regelung einer Fahrzeugfunktion, Fahrzeug sowie Verfahren

Publications (1)

Publication Number Publication Date
DE102020121244A1 true DE102020121244A1 (de) 2022-02-17

Family

ID=80000555

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102020121244.5A Pending DE102020121244A1 (de) 2020-08-12 2020-08-12 Fail-Operational-System für ein Fahrzeug mit zumindest einer eigenständigen redundanten Komponentenpaarung zur Regelung einer Fahrzeugfunktion, Fahrzeug sowie Verfahren

Country Status (1)

Country Link
DE (1) DE102020121244A1 (de)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102017218395A1 (de) 2016-10-19 2018-04-19 Bayerische Motoren Werke Aktiengesellschaft Verfahren zur fehlerrobusten Regelung von hochautomatisierten Fahrzeugen
DE102018220605A1 (de) 2018-11-29 2020-06-04 Audi Ag Kraftfahrzeugnetzwerk und Verfahren zum Betreiben eines Kraftfahrzeugnetzwerks

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102017218395A1 (de) 2016-10-19 2018-04-19 Bayerische Motoren Werke Aktiengesellschaft Verfahren zur fehlerrobusten Regelung von hochautomatisierten Fahrzeugen
DE102018220605A1 (de) 2018-11-29 2020-06-04 Audi Ag Kraftfahrzeugnetzwerk und Verfahren zum Betreiben eines Kraftfahrzeugnetzwerks

Similar Documents

Publication Publication Date Title
EP1763454B1 (de) Redundantes datenbussystem
DE102018125701A1 (de) System und Verfahren zur Parksteuerung eines Fahrzeuges
DE112008003120B4 (de) Elektronisches System zum Betreiben einer elektromechanischen Parkbremse
EP2146881A1 (de) Elektromechanisches bremssystem mit einer ausfallsicheren energieversorgung und verfahren zur ausfallsicheren energieversorgung in einem elektromechanischen bremssystem für fahrzeuge
EP3661819B1 (de) Kontrollsystem für ein kraftfahrzeug, kraftfahrzeug, verfahren zur kontrolle eines kraftfahrzeugs, computerprogrammprodukt und computerlesbares medium
DE102008024180A1 (de) Kombinierte Bremsanlage, insbesondere für Kraftfahrzeuge
DE19915253A1 (de) Verfahren und Vorrichtung zum Betreiben eines verteilten Steuersystems in einem Fahrzeug
EP1540428A1 (de) Redundante steuergeräteanordnung
DE102017218395A1 (de) Verfahren zur fehlerrobusten Regelung von hochautomatisierten Fahrzeugen
WO2002079972A2 (de) Verfahren zum betrieb eines verteilten computersystems
DE102013020177A1 (de) Kraftfahrzeug
EP3741635B1 (de) Bremssteuersystem
DE19756976A1 (de) Bremseinrichtung für Fahrzeuge
EP1989470B1 (de) Sicherheitskonzept für eine getriebestellvorrichtung
EP4114696A1 (de) Bremsanlage mit redundanter parkbremsenansteuerung
DE102005046373B4 (de) Kommunikationssystem für ein technisches Gerät, insbesondere für ein Kraftfahrzeug
DE102018220605B4 (de) Kraftfahrzeugnetzwerk und Verfahren zum Betreiben eines Kraftfahrzeugnetzwerks
DE102020121244A1 (de) Fail-Operational-System für ein Fahrzeug mit zumindest einer eigenständigen redundanten Komponentenpaarung zur Regelung einer Fahrzeugfunktion, Fahrzeug sowie Verfahren
DE102015218906B4 (de) Verfahren zum Betreiben eines Datenübertragungssystems und Datenübertragungssystem
DE19618161C1 (de) Selbstüberprüfung einer Funktionsgruppe in einem Kraftfahrzeug
DE102017212560A1 (de) Verfahren zum ausfallsicheren Durchführen einer sicherheitsgerichteten Funktion
DE102010062476A1 (de) Verfahren und Vorrichtung zum Ansteuern eines Kfz-Antriebsstranges
DE102022116307A1 (de) Fahrzeugnetzwerk zur Datenkommunikation zwischen Komponenten eines Fahrzeugs sowie System und Fahrzeug damit und Verfahren dafür
WO2011113405A1 (de) Steuergeräteanordnung
DE102022104072A1 (de) Steuergerät, Fahrzeugsystem, Fahrzeug und Verfahren zum Betreiben des Steuergerätes

Legal Events

Date Code Title Description
R163 Identified publications notified