DE102022103798A1 - Verfahren zum Betreiben eines Fahrzeuges - Google Patents

Verfahren zum Betreiben eines Fahrzeuges Download PDF

Info

Publication number
DE102022103798A1
DE102022103798A1 DE102022103798.3A DE102022103798A DE102022103798A1 DE 102022103798 A1 DE102022103798 A1 DE 102022103798A1 DE 102022103798 A DE102022103798 A DE 102022103798A DE 102022103798 A1 DE102022103798 A1 DE 102022103798A1
Authority
DE
Germany
Prior art keywords
vehicle
error
request
braking
steering
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE102022103798.3A
Other languages
English (en)
Other versions
DE102022103798B4 (de
Inventor
Arne Bartels
Frank Bärecke
Hauke Schlimme
Kilian Förster
Tobias Brok
Roger Ziegler
Michael Sagefka
Martin Stolorz
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Audi AG
Volkswagen AG
Original Assignee
Audi AG
Volkswagen AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Audi AG, Volkswagen AG filed Critical Audi AG
Priority to DE102022103798.3A priority Critical patent/DE102022103798B4/de
Publication of DE102022103798A1 publication Critical patent/DE102022103798A1/de
Application granted granted Critical
Publication of DE102022103798B4 publication Critical patent/DE102022103798B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • B60W2050/0292Fail-safe or redundant systems, e.g. limp-home or backup systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Regulating Braking Force (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zum Betreiben eines Fahrzeuges (F) beim Bereitstellen mindestens einer Steuerfunktion (B, L), insbesondere einer Bremsfunktion (B) und/oder einer Lenkfunktion (L), während einer Fahrt des Fahrzeuges (F),wobei die Steuerfunktion (B, L) eine primäre Ebene (B1, L1), eine sekundäre Ebene (B2, L2) zum Bereitstellen mindestens einer ersten Rückfallebene für die Steuerfunktion (B, L) und/oder eine dritte Ebene (B3, L3) zum Bereitstellen einer zweiten Rückfallebene für die Steuerfunktion (B, L) aufweist,das Verfahren aufweisend:- Überwachen der Steuerfunktion (B, L) auf Auftreten eines ersten Fehlers (F1),- Erfassen des ersten Fehlers (F1),- Bewerten des ersten Fehlers (F1) unter der Annahme, dass auf den ersten Fehler (F1) ein zweiter Fehler (F2) folgen wird, im Hinblick auf eine mögliche Weiterfahrt des Fahrzeuges (F),- Betreiben des Fahrzeuges (F) in Abhängigkeit von der Bewertung.

Description

  • Die Erfindung betrifft ein Verfahren zum Betreiben eines Fahrzeuges beim Bereitstellen mindestens einer Steuerfunktion, insbesondere einer Bremsfunktion und/oder einer Lenkfunktion, während einer Fahrt des Fahrzeuges. Ferner betrifft die Erfindung ein korrespondierendes Computerprogrammprodukt. Weiterhin betrifft die Erfindung eine korrespondierende Steuereinheit zum Durchführen eines entsprechenden Verfahrens. Zudem betrifft die Erfindung ein korrespondierendes Fahrzeug.
  • Brake-by-Wire-Systeme und/oder Steer-by-Wire-Systeme zum Bereitstellen von Steuerfunktionen, wie z. B. einer Bremsfunktion und/oder einer Lenkfunktion, sind grundsätzlich bekannt. Sowohl für konventionelle Fahrzeuge als auch für automatisiert (Level 4 gem. SAE Definition) bis autonom (Level 5 gem. SAE Definition) fahrende Fahrzeuge können Brake-by-Wire-Systeme mehrere Vorteile bereitstellen.
  • Für automatisiert fahrende Fahrzeuge können Brake-by-Wire-Systeme und/oder Steer-by-Wire-Systeme das Wegklappen und/oder Einziehen des Fußhebelwerkes und/oder des Lenkrads ermöglichen. Hierdurch wird für den Fahrer, der während der vollautomatisierten Fahrt zum Passagier wird, mehr Platz für Aktivitäten geschaffen, wie z. B. Schlafen, Zeitunglesen, im Internet surfen, usw. Ferner werden durch das Wegklappen und/oder Einziehen des Fußhebelwerkes und/oder des Lenkrads neue Innenraumkonzepte ermöglicht, z. B. mit drehbaren Sitzen und ausklappbaren Tischen. Zudem vermeidet die mechanische Entkopplung zwischen Bremspedal und Bremsaktuator bzw. zwischen Lenkrad und Lenkaktuator eine ungewollte Falschbedienung während der vollautomatischen Fahrt: Selbst wenn das Bremspedal bzw. das Lenkrad nicht eingezogen werden würde, dennoch führt eine versehentliche Berührung des Bremspedals bzw. des Lenkrads während der vollautomatisierten Fahrt (Fahrer schläft dabei z. B.) nicht zu einer ungewollten Fahrzeugreaktion. Bei autonomen Fahrzeugen ist kein Fahrer vorgesehen, sodass dabei ein Brake-by-Wire-System und ein Steer-by-Wire-System zwingend erforderlich ist.
  • Für konventionelle Fahrzeuge können Brake-by-Wire-Systeme und/oder Steer-by-Wire-Systeme durch das Wegklappen und/oder Einziehen des Fußhebelwerkes und/oder des Lenkrads das Ein- und Aussteigen erleichtert werden. Durch ein variables, an die Fahrzeuggeschwindigkeit angepasstes Übersetzungsverhältnis zwischen Lenkradwinkel und Lenkwinkel an den Rädern muss beim Parken und Rangieren zum Einstellen der in dieser Situation erforderlichen großen Lenkwinkel das Lenkrad nur wenig gedreht werden. Das Brems- und/oder Lenkverhalten kann individuell an den Fahrer angepasst und personalisiert werden. Bei einem Steer-by-Wire-System mit sog. „Force Feedback Actuator“ kann das haptische Feedback / die „Lenkradrückmeldung“ an den Fahrer weicher oder härter, sportlich oder komfortabel, direkt oder gedämpft eingestellt werden. Durch elektronische Einstellbarkeit der Bremsenkennlinie (Bremsmoment in Abhängigkeit von Pedalweg und/oder Pedalkraft) kann diese so verändert werden, dass der Fahrer das Bremsverhalten als weicher oder härter, sportlich oder komfortabel, direkt oder gedämpft empfindet. Diese Einstellungen können individuell für den Fahrer von Fahrzeug zu Fahrzeug übertragen werden.
  • Es sind außerdem Vorteile im Hinblick auf den Umweltschutz denkbar. Durch die Vergrößerung des Lüftspiels zwischen der Bremsscheibe und dem Bremsbelag können Restbremsmomente reduziert werden. Dies ermöglicht eine Reduktion von CO2- und Bremsstaubemission sowie eine Erhöhung der batterieelektrischen Reichweite.
  • Ferner sind Vorteile im Hinblick auf die Sicherheit möglich. Dadurch, dass die mechanische Verbindung über eine Druck/Zugstange zwischen Bremspedal und Bremsregelsystem aufgebrochen wird, kann die Pedalintrusion im Crashfall reduziert werden.
  • Zudem können die Fahrzeuge auf eine einfache Art und Weise behindertengerecht ausgelegt werden. Für Menschen mit einer körperlichen Behinderung, welche die Bedienung der Pedale und/oder des Lenkrads erschwert oder unmöglich macht, können bei einem serienmäßigen Verbau von Brake-By-Wire- und/oder Steer-by-Wire-Systemen alternative Bedienkonzepte, ohne aufwändige Fahrzeugumbauten, angeboten werden.
  • Weiterhin kann dadurch die Variantenvielfalt reduziert werden. Über alle Fahrzeugklassen kann nun ein nahezu einheitliches Fußhebelwerk verbaut werden.
  • Bei Brake-by-Wire Systemen und/oder Steer-by-Wire-Systemen entfällt die mechanische Rückfallebene durch den Fahrer. Um bei einem Fahrzeug mit einem Brake-by-Wire-System und/oder Steer-by-Wire-System nach einem Erstfehler die Weiterfahrt in einem degradierten Fahrmodus (z. B. reduzierte Geschwindigkeit) und/oder begrenzt (z. B. nur für eine begrenzte Zeit oder eine begrenzte Strecke) zu ermöglichen, kann für das jeweilige By-Wire-System eine Rückfallebene vorgehalten werden.
  • Nachteilig ist bei bekannten Systemen, dass nach einem Zweitfehler und/oder nach dem Rückfall des primären Bremssystems bzw. Lenksystems und weiterhin des sekundären Bremssystems bzw. Lenksystems, die Weiterfahrt und die Sicherheit im Betrieb des Fahrzeuges nicht mehr garantiert werden können.
  • Aufgabe der Erfindung ist daher, ein verbessertes Verfahren zum Betreiben eines Fahrzeuges beim Bereitstellen mindestens einer Steuerfunktion, insbesondere einer Bremsfunktion und/oder einer Lenkfunktion, vorzugsweise einer Brake-by-Wire-Funktion und/oder einer Steer-by-Wire-Funktion, während einer Fahrt des Fahrzeuges bereitzustellen. Insbesondere ist es Aufgabe der Erfindung, ein Verfahren zum Betreiben eines Fahrzeuges bereitzustellen, welches eine erhöhte Sicherheit im Betrieb des Fahrzeuges ermöglicht und welches einen verbesserten Kundenkomfort schafft. Ferner ist es Aufgabe der Erfindung, ein korrespondierendes Computerprogrammprodukt zur Verfügung zu stellen. Weiterhin ist es Aufgabe der Erfindung, eine entsprechende Steuereinheit bereitzustellen. Zudem ist es Aufgabe der Erfindung, ein entsprechendes Fahrzeug zur Verfügung zu stellen.
  • Die erfindungsgemäße Aufgabe wird gelöst durch: ein Verfahren zum Betreiben eines Fahrzeuges beim Bereitstellen mindestens einer Steuerfunktion, insbesondere einer Bremsfunktion und/oder einer Lenkfunktion, vorzugsweise einer Brake-by-Wire-Funktion und/oder einer Steer-by-Wire-Funktion, während einer Fahrt des Fahrzeuges mit den Merkmalen des unabhängigen Verfahrensanspruches. Ferner betrifft die Erfindung ein korrespondierendes Computerprogrammprodukt mit den Merkmalen des unabhängigen Produktanspruches. Weiterhin betrifft die Erfindung eine entsprechende Steuereinheit mit den Merkmalen des unabhängigen Vorrichtungsanspruches. Zudem betrifft die Erfindung ein entsprechendes Fahrzeug mit den Merkmalen des nebengeordneten Vorrichtungsanspruches. Dabei gelten Merkmale, die im Zusammenhang mit einzelnen Aspekten und/oder Ausführungsformen der Erfindung beschrieben sind, selbstverständlich auch im Zusammenhang mit den anderen Aspekten und/oder Ausführungsformen und jeweils umgekehrt, sodass bezüglich der Offenbarung zu den einzelnen Erfindungsaspekten und/oder Ausführungsformen stets wechselseitig Bezug genommen wird bzw. werden kann.
  • Die Erfindung stellt bereit: ein Verfahren zum Betreiben eines Fahrzeuges beim Bereitstellen mindestens einer Steuerfunktion, insbesondere einer Bremsfunktion und/oder einer Lenkfunktion, vorzugsweise einer Brake-by-Wire-Funktion und/oder einer Steer-by-Wire-Funktion, während einer Fahrt des Fahrzeuges, wobei die Steuerfunktion eine primäre Ebene, eine sekundäre Ebene zum Bereitstellen mindestens einer ersten Rückfallebene für die Steuerfunktion und/oder eine dritte Ebene zum Bereitstellen einer zweiten Rückfallebene für die Steuerfunktion aufweist, das Verfahren aufweisend:
    • - Überwachen der Steuerfunktion auf Auftreten eines ersten Fehlers (sog. Erstfehler),
    • - Erfassen des ersten Fehlers,
    • - Bewerten des ersten Fehlers unter der Annahme, dass auf den ersten Fehler ein zweiter Fehler folgen wird bzw. folgen kann, im Hinblick auf eine mögliche Weiterfahrt des Fahrzeuges,
    • - Betreiben des Fahrzeuges in Abhängigkeit von der Bewertung.
  • Das Fahrzeug, bei dem das erfindungsgemäße Verfahren zum Einsatz kommen kann, kann bspw. eine Traktionsbatterie aufweisen, z. B. eine Hochvolt-Batterie, die mit Gleichspannungen von ung. 60 V bis ung. 1,5 kV betrieben werden kann. Das Fahrzeug kann ferner einen Elektromotor aufweisen. Weiterhin kann das Fahrzeug mindestens eine zentrale Steuereinheit aufweisen. Des Weiteren kann das Fahrzeug eine Fahrer-Fahrzeug-Schnittstelle aufweisen, bspw. in Form einer interaktiven Ein- und Ausgabeeinheit, z. B. umfassend ein Display, eine akustische Ausgabevorrichtung usw.
  • Das Fahrzeug, bei dem das erfindungsgemäße Verfahren zum Einsatz kommen kann, kann vorzugsweise als ein vollautomatisiert fahrendes Fahrzeug (Level 4 gem. SAE Definition) oder ein autonom fahrendes Fahrzeug (Level 5 gem. SAE Definition) ausgebildet sein.
  • Wenn der Fahrer die Fahrzeugführung hat, dann kann die Aufforderung für die Steuerfunktion (insbesondere umfassend eine Bremsaufforderung und/oder eine Lenkaufforderung) von dem Fahrer kommen, bspw. durch Betätigung eines elektronischen Bremspedals und/oder eines Lenkrads. Wenn das Fahrzeug die Fahrzeugführung hat, dann kommt die Aufforderung für die Steuerfunktion von dem Fahrzeug.
  • Bei einem vollautomatisiert fahrenden Fahrzeug (Level 4 gem. SAE Definition) kann der Fahrer zu einem Passagier bzw. Benutzer des Fahrzeuges werden. Bei einem vollautomatisiert fahrenden Fahrzeug kann eine Fahrer-Fahrzeug-Schnittstelle vorgesehen sein. Bei einem autonom fahrenden Fahrzeug (Level 5 gem. SAE Definition) ist kein Fahrer vorgesehen. Dort sind nur Benutzer vorgesehen. Bei einem autonom fahrenden Fahrzeug kann eine Benutzer-Fahrzeug-Schnittstelle vorgesehen sein.
  • Das Fahrzeug, bei dem das erfindungsgemäße Verfahren zum Einsatz kommen kann, kann zum einem einen Bremssystemaufbau, ein sog. Brake-by-Wire-System, aufweisen, bei welchem Erfassungsvorrichtungen und Umsetzungsvorrichtungen für eine Bremsaufforderung (die bspw. vom Fahrer oder vom Fahrzeug kommen kann) mechanisch voneinander entkoppelt sein können. Der Bremssystemaufbau kann folgende Untersysteme aufweisen:
    • - ein erstes (bzw. primäres) Bremssystem (sog. autonomes Bremssystem) zum Bereitstellen einer Bremsfunktion, welches autonom ausgebildet ist und/oder über eine erste (bzw. primäre) Energieversorgung mit elektrischer Energie versorgt wird,
    • - ein zweites (bzw. sekundäres) Bremssystem (sog. autonomes Bremssystem) zum Bereitstellen einer ersten Rückfallebene für die Bremsfunktion, welches autonom ausgebildet ist und/oder über eine zweite (bzw. sekundäre) Energieversorgung mit elektrischer Energie versorgt wird,
    • - und ein drittes Bremssystem (zumindest zum Teil mittelbares und/oder funktional umgesetztes Bremssystem) zum Bereitstellen einer zweiten Rückfallebene für die Bremsfunktion, insbesondere über ein elektromechanisches Antriebssystem des Fahrzeuges, z. B. durch ein generatorisches Verzögern.
  • Bei dem Bremssystemaufbau sind zwei redundant vorgehaltene autonome Bremssysteme vorgesehen, die autark bzw. selbstständig ausgebildet sind und die unabhängig voneinander sowie von anderen Funktionssystemen des Fahrzeuges funktionieren können.
  • Jedes dieser beiden Bremssysteme kann zudem mehrere Subsysteme aufweisen, wie z. B. jeweils eine Bremsaufforderungserfassung (bzw. Erfassungsvorrichtung zum Erfassen der Bremsaufforderung) und jeweils eine Bremsaufforderungsumsetzung (bzw. Umsetzungsvorrichtung zum Umsetzen der Bremsaufforderung). Die Bremsaufforderung kann in beiden autonomen Bremssystemen von der jeweiligen Erfassung zu der jeweiligen Umsetzung über ein entsprechendes Übertragungssystem, wie z. B. ein Bus-System bzw. einen Datenbus, z. B. mit einem CAN- oder SENT-Protokoll, übertragen werden.
  • Die jeweilige Bremsaufforderungserfassung kann als ein elektronisches Bremspedal ausgeführt sein. Die Betätigung des Bremspedals durch den Fahrer kann bspw. über Kraft- und/oder Wegsensoren oder Ähnliches erfasst werden. Eine Steuerelektronik der Bremsaufforderungserfassung, umfassend bspw. eine entsprechende Elektronik und/oder Software, kann die Sensordaten passiv erhalten, aktiv abfragen und ggf. auswerten. Weiterhin kann die Steuerelektronik der jeweiligen Bremsaufforderungserfassung die Sensordaten und/oder die Ergebnisse der Auswertung über ein zugehöriges Übertragungssystem an die korrespondierende Bremsaufforderungsumsetzung übermitteln. Die jeweilige Bremsaufforderungsumsetzung kann ebenfalls eine Steuerelektronik, umfassend bspw. eine entsprechende Elektronik und/oder Software, aufweisen. Die Auswertung von Sensordaten der jeweiligen Bremsaufforderungserfassung kann in der Steuerelektronik der Bremsaufforderungserfassung und/oder in der Steuerelektronik der Bremsaufforderungsumsetzung durchgeführt werden. Die Steuerelektronik der Bremsaufforderungserfassung und die Steuerelektronik der Bremsaufforderungsumsetzung können als separate Steuerelektroniken oder als eine gemeinsame Steuerelektronik bereitgestellt werden.
  • Mindestens eine oder jede Bremsaufforderungsumsetzung kann als ein sog. „nasses“ By-Wire-Bremssystem ausgeführt sein. Die jeweilige Bremsaufforderungsumsetzung kann einen Elektromotor, diverse Sensoren und Hydraulikventile aufweisen. In den Bremssätteln der Räder befinden sich Bremsbeläge, welche durch einen hydraulischen Druck an die Bremsscheiben gepresst werden. Eine Steuerelektronik der Bremsaufforderungsumsetzung und die Bremssättel sind über Hydraulikleitungen (für Hydraulikventile) miteinander verbunden. Die Steuerelektronik steuert den Elektromotor an, um einen bestimmten hydraulischen Druck und somit ein bestimmtes Bremsmoment zu erzeugen, welcher(s) der erfassten Bremsaufforderung entspricht. Über die Hydraulikventile kann der Druck an den vier Rädern eingestellt, angepasst und/oder moduliert werden.
  • Mindestens eine oder jede Bremsaufforderungsumsetzung kann als ein sog. „trockenes“ By-Wire-Bremssystem ausgeführt sein. Die jeweilige Bremsaufforderungsumsetzung kann einen Elektromotor, diverse Sensoren und mechanische Stellelemente umfassen. In den Bremssätteln der Räder befinden sich Bremsbeläge, welche über Elektromotoren und mechanische Stellelemente an die Bremsscheiben gepresst werden. Die Steuerelektronik und die Bremssättel sind über Energieleitungen (für die Elektromotoren) und Datenleitungen (für die Sensoren) miteinander verbunden. Die Steuerelektronik steuert die Elektromotoren in den Bremssätteln an, um ein bestimmtes Bremsmoment zu erzeugen, welches der Bremsaufforderung entspricht. Über eine geeignete Ansteuerung der Elektromotoren kann das Bremsmoment an den vier Rädern moduliert werden.
  • Neben dem ersten und dem zweiten autonomen Bremssystem, die über eine eigene Langzeit-Energieversorgung verfügen können, kann weiterhin eine Kurzzeit-Energieversorgung vorgesehen sein. Das dritte Bremssystem verwendet den generatorisch betriebenen Elektromotor und die Steuereinheit des Elektromotors. Der Elektromotor ist direkt an die Hochvolt-Batterie, insbesondere die Traktionsbatterie, angeschlossen. Die Hochvolt-Batterie, insbesondere die Traktionsbatterie, speist die erste Energieversorgung und die zweite Energieversorgung. Die Steuereinheit des Elektromotors ist an die ersten Energieversorgung und an die Kurzzeit-Energieversorgung angeschlossen. Die Kurzzeit-Energieversorgung kann einen Teil des dritten Bremssystems und/oder des dritten Lenksystems darstellen. Die jeweilige Langzeit-Energieversorgung kann z. B. über einen DC/DC-Wandler erfolgen, welcher an eine korrespondierende Hochvolt-Batterie angeschlossen sein kann. Die Kurzzeit-Energieversorgung kann z. B. über eine Niedervolt-Batterie und/oder einen Superkondensator, sog. Ultra-Cap, oder Ähnliches erfolgen. Die Betriebsspannung der Niedervolt-Batterie kann im Bereich zwischen 12 V und 14 V liegen.
  • Wenn ein sog. „nasses“ By-Wire-Bremssystem genutzt wird, kann vorteilhafterweise dieses mit Hydraulikventilen ausgestattete Bremssystem an die Kurzzeit-Energieversorgung angeschlossen werden. Denn so können auch bei gleichzeitigem Ausfall der primären und sekundären Langzeit-Energieversorgung grundlegende Bremsfunktionen wie z. B. das Herunterbremsen des Fahrzeugs in den Stillstand, sowie sicherheitsrelevanten Bremsregelfunktionen, wie z. B. ABS und ESC, zumindest für eine kurze Zeit, aufrecht erhalten werden.
  • Das dritte Bremssystem kann zumindest zum Teil als ein mittelbares bzw. abhängiges und/oder funktional umgesetztes bzw. indirektes Bremssystem (oder Verzögerungssystem) zum Bereitstellen einer zweiten Rückfallebene für die Bremsfunktion bereitgestellt werden, bspw. über ein weiteres funktionswesentliches System des Fahrzeuges, wie z. B. ein elektromechanisches Antriebssystem, bspw. durch ein generatorisches Verzögern. Ein Elektromotor des elektromechanischen Antriebssystems, welcher zum generatorischen Verzögern in einem Generatormodus betrieben wird, agiert dabei als eine dritte Bremsaufforderungsumsetzung (bzw. Umsetzungsvorrichtung zum Umsetzen der Bremsaufforderung).
  • Das dritte Bremssystem kann vorteilhafterweise eine dritte Bremsaufforderungserfassung umfassen. Die Bremsaufforderungserfassung kann z. B. über einen Taster einer elektronischen Parkbremse erfolgen. Der Taster kann über eine Signalleitung direkt mit der Elektronik der primären und sekundären Bremsaufforderungsumsetzung verbunden sein (also kein Datenbus). Die dritte Bremsaufforderungserfassung kann die Ergebnisse der Erfassung an das erste und/oder das zweite autonome Bremssystem liefern.
  • Der Bremssystemaufbau kann eine eigene Steuereinheit aufweisen, die mit einer zentralen Steuereinheit des Fahrzeuges in einer Kommunikationsverbindung stehen kann. Zudem kann der Bremssystemaufbau eine Steuereinheit aufweisen, die in der zentralen Steuereinheit des Fahrzeuges softwaretechnisch und/oder hardwaretechnisch integriert sein kann.
  • Da die Subsysteme mehrere Komponenten aufweisen, kann der Ausfall einer dieser Komponenten zum Ausfall des jeweiligen Subsystems führen. Zum Ausfall der primären oder sekundären Bremsaufforderungserfassung kann z. B. ein Ausfall einer Elektronik, eines Sensors, oder einer Software führen. Zu einem Ausfall der der primären oder sekundären Bremsaufforderungsumsetzung kann z. B. ein Ausfall einer Elektronik, eines Sensors, einer Software oder eines Elektromotors führen. Zum Ausfall der primären oder der sekundären Energieversorgung kann z. B. ein Ausfall einer Energieleitung, einer Batterie, eines DC/DC-Wandlers, einer Sicherung, einer Elektronik oder einer Software führen. Zum Ausfall des primären oder sekundären Bremssystems kann auch der Ausfall eines Datenbus führen, wie z. B. der Ausfall des Datenbus zwischen Bremsaufforderungserfassung und Bremsaufforderungsumsetzung.
  • Die Steuereinheit kann Diagnosebotschaften, „Alive“-Signale, und/oder Fehlerzustände sowohl von dem ersten und von dem zweiten autonomen Bremssystem sowie von dem dritten mittelbaren Bremssystem als auch von der ersten und der zweiten Energieversorgung sowie von der dritten Energieversorgung erhalten, bspw. über ein geeignetes Übertragungssystem, wie z. B. ein Bus-System bzw. einen Datenbus, z. B. mit einem CAN- oder SENT-Protokoll, z. B. via CAN-Bus, und/oder eine drahtlose Übertragung, wie z. B. eine Funkübertragung. Von der Batterie, insbesondere der Hochvolt-Batterie, vorzugsweise einer Traktionsbatterie, kann die Steuereinheit die Betriebsparameter, wie z. B. den Ladezustand und die Temperatur, erhalten, bspw. über ein geeignetes Übertragungssystem, wie z. B. ein Bus-System bzw. einen Datenbus, z. B. mit einem CAN- oder SENT-Protokoll, z. B. via CAN-Bus, und/oder eine drahtlose Übertragung, wie z. B. eine Funkübertragung.
  • Die Steuereinheit kann anhand dieser Eingangssignale (Diagnosebotschaften und/oder Fehlerzustände und/oder Betriebsparameter) entscheiden, ob ein generatorisches Verzögern überhaupt, in wie weit und/oder bis in den Stillstand möglich ist. Zudem kann die Steuereinheit entscheiden, ob nach einem Erst- oder Zweitfehler in den jeweiligen Bremssystemen und/oder bei den Energieversorgungen eine Weiterfahrt möglich ist. Außerdem kann die Steuereinheit entscheiden, ob eine automatische Abbremsung und/oder Zwangsbremsung angefordert werden muss, und/oder ob die automatische Abbremsung und/oder Zwangsbremsung generatorisch mithilfe des Elektromotors und/oder über die ersten Bremsaufforderungsumsetzung und/oder über die zweite Bremsaufforderungsumsetzung mithilfe der Bremssättel erfolgen soll.
  • Die Steuereinheit kann von einer Steuereinheit des Elektromotors anfordern, ein generatorisches Verzögern durchzuführen. Die Steuereinheit kann von der ersten Bremsaufforderungsumsetzung und/oder von der zweiten Bremsaufforderungsumsetzung ein Verzögern mithilfe der Bremssättel anfordern. Zudem kann die Steuereinheit die Fahrer-Fahrzeug-Schnittstelle ansteuern, um den Fahrer über die Fehler zu informieren und/oder zu warnen und/oder um einen Vorschlag zum weiteren Betreiben des Fahrzeuges auszugeben, wie z. B. Aufsuchen einer Werkstatt. Außerdem kann die Steuereinheit den Fahrer über die verbleibende Fahrstrecke und/oder über die verbleibende Fahrzeit informieren.
  • Die Steuereinheit und die Steuereinheit des Elektromotors können als eine gemeinsame Einheit oder als zwei separate Steuereinheiten bereitgestellt werden.
  • Das Fahrzeug, bei dem das erfindungsgemäße Verfahren zum Einsatz kommen kann, kann zum anderen einen Lenksystemaufbau, ein sog. Steer-by-Wire-System, aufweisen, bei welchem Erfassungsvorrichtungen und Umsetzungsvorrichtungen für eine Lenkaufforderung (die bspw. vom Fahrer oder vom Fahrzeug kommen kann) mechanisch voneinander entkoppelt sein können. Der Lenksystemaufbau weist folgende Untersysteme auf:
    • - ein erstes (bzw. primäres) Lenksystem (sog. autonomes Lenksystem) zum Bereitstellen einer Lenkfunktion, welches autonom ausgebildet ist und/oder über die erste (bzw. primäre) Energieversorgung mit elektrischer Energie versorgt wird,
    • - ein zweites (bzw. sekundäres) Lenksystem (sog. autonomes Lenksystem) zum Bereitstellen einer ersten Rückfallebene für die Lenkfunktion, welches autonom ausgebildet ist und/oder über die zweite (bzw. sekundäre) Energieversorgung mit elektrischer Energie versorgt wird,
    • - und ein drittes Lenksystem (zumindest zum Teil mittelbares und/oder funktional umgesetztes Lenksystem) zum Bereitstellen einer zweiten Rückfallebene für die Lenkfunktion, bspw. über das Brake-by-Wire-System, insbesondere durch ein radselektives, ggf. gepulstes, Abbremsen (vorzugsweise durch radselektive, ggf. gepulste, Bremseingriffe).
  • Bei dem Lenksystemaufbau können zwei redundant vorgehaltene autonome Lenksysteme vorgesehen werden, die autark bzw. selbstständig ausgebildet sind und die unabhängig voneinander sowie von anderen Funktionssystemen des Fahrzeuges funktionieren können. Das erste und das zweite autonome Lenksystem können über zwei voneinander unabhängige Energieversorgungen mit elektrischer Energie versorgt werden, der ersten und der zweiten Energieversorgung. Die unabhängigen Energieversorgungen können bspw. jeweils eine Hochvoltbatterie aufweisen, die mit Gleichspannungen von ung. 60 V bis ung. 1,5 kV betrieben werden kann. Zudem können die unabhängigen Energieversorgungen jeweils einen geeigneten DC/DC-Wandler aufweisen.
  • Jedes dieser beiden Lenksysteme kann zudem mehrere Subsysteme aufweisen, wie z. B. jeweils eine Lenkaufforderungserfassung (bzw. Erfassungsvorrichtung zum Erfassen der Lenkaufforderung) und jeweils eine Lenkaufforderungsumsetzung (bzw. Umsetzungsvorrichtung zum Umsetzen der Lenkaufforderung). Die Lenkaufforderung kann in beiden autonomen Lenksystemen von der jeweiligen Erfassung zu der jeweiligen Umsetzung über ein entsprechendes Übertragungssystem, wie z. B. ein Bus-System bzw. einen Datenbus, z. B. mit einem CAN- oder SENT-Protokoll, übertragen werden.
  • Die jeweilige Lenkaufforderungserfassung kann als ein Lenksäulenmodul ausgeführt sein. Die Betätigung des Lenkrads durch den Fahrer kann über Lenkradwinkelsensoren am Lenkrad erfasst werden. Eine Steuerelektronik der jeweiligen Lenkaufforderungserfassung, umfassend bspw. eine entsprechende Elektronik und/oder Software, kann die Sensordaten passiv erhalten, aktiv abfragen und ggf. auswerten. Weiterhin kann die Steuerelektronik der jeweiligen Lenkaufforderungserfassung die Sensordaten und/oder die Ergebnisse der Auswertung über ein zugehöriges Übertragungssystem an die korrespondierende Lenkaufforderungsumsetzung übermitteln. Die jeweilige Lenkaufforderungsumsetzung kann ebenfalls eine Steuerelektronik, umfassend bspw. eine entsprechende Elektronik und/oder Software, aufweisen. Die Auswertung von Sensordaten der jeweiligen Lenkaufforderungserfassung kann in der Steuerelektronik der Lenkaufforderungserfassung und/oder in der Steuerelektronik der Lenkaufforderungsumsetzung durchgeführt werden. Die Steuerelektronik der Lenkaufforderungserfassung und die Steuerelektronik der Lenkaufforderungsumsetzung können als separate Steuerelektroniken oder als eine gemeinsame Steuerelektronik bereitgestellt werden.
  • Die jeweilige Lenkaufforderungsumsetzung kann als ein Lenkgetriebe ausgeführt sein, welches bspw. an einer Fahrzeugachse, bspw. Vorderachse, verbaut sein kann. Eine Steuerelektronik der Lenkaufforderungsumsetzung, umfassend bspw. eine entsprechende Elektronik und/oder Software, kann einen Elektromotor und ein Lenkgetriebe ansteuern, um die erfasste Lenkaufforderung umzusetzen. An der Fahrzeugachse, bspw. Vorderachse, können Sensoren vorgesehen sein, welche die Ansteuerung, insbesondere die umgesetzte Lenkaufforderung, überwachen. Die Steuerelektronik und die Sensoren können über eine Datenleitung miteinander verbunden sein. Die Steuerelektronik setzt die Lenkaufforderung vorteilhafterweise unter Berücksichtigung von Sensordaten um.
  • Neben dem ersten und dem zweiten autonomen Lenksystem, die über eine eigene Langzeit-Energieversorgung verfügen können, kann weiterhin eine Kurzzeit-Energieversorgung vorgesehen sein. Das dritte Lenksystem verwendet radselektives Abbremsen und die jeweilige Steuereinheit des ersten und/oder des zweiten Bremssystems. Die Hochvolt-Batterie, insbesondere die Traktionsbatterie, speist die erste Energieversorgung und die zweite Energieversorgung. Das erste Bremssystem ist an die erste Energieversorgung und an die Kurzzeit-Energieversorgung angeschlossen. Das zweite Bremssystem ist an die zweite Energieversorgung angeschlossen. Die Kurzzeit-Energieversorgung kann einen Teil des dritten Bremssystems und/oder des dritten Lenksystems darstellen. Die jeweilige Langzeit-Energieversorgung kann z. B. über einen DC/DC-Wandler erfolgen, welcher an eine korrespondierende Hochvolt-Batterie angeschlossen sein kann. Die Kurzzeit-Energieversorgung kann z. B. über eine Niedervolt-Batterie und/oder einen Superkondensator, sog. Ultra-Cap, oder Ähnliches erfolgen. Die Betriebsspannung der Niedervolt-Batterie kann im Bereich zwischen 12 V und 14 V liegen.
  • Das dritte Lenksystem kann zumindest zum Teil als ein mittelbares bzw. abhängiges und/oder funktional umgesetztes bzw. indirektes Lenksystem zum Bereitstellen einer zweiten Rückfallebene für die Lenkfunktion bereitgestellt werden, bspw. über ein weiteres funktionswesentliches System des Fahrzeuges, wie z. B. ein Bremssystem, bspw. durch ein radselektives, ggf. gepulstes, Abbremsen. Das Bremssystem agiert dabei als eine dritte Lenkaufforderungsumsetzung (bzw. Umsetzungsvorrichtung zum Umsetzen der Lenkaufforderung).
  • Das dritte Lenksystem kann vorteilhafterweise eine dritte Lenkaufforderungserfassung umfassen. Die dritte Lenkaufforderungserfassung kann z. B. über einen dritten Lenkradwinkelsensor erfolgen. Alternativ oder zusätzlich kann die dritte Lenkaufforderungserfassung ein Fahrerassistenzsystem, bspw. einen Spurhalteassistenten, Fahrstreifenerkennung, einen Autopiloten usw., nutzen. Die dritte Lenkaufforderungserfassung kann über eine Signalleitung direkt mit einer Steuereinheit verbunden sein. Die Steuereinheit kann die erste, die zweite oder die dritte Lenkaufforderungsumsetzung ansteuern. In einem kritischen Fehlerfall kann das Fahrzeug automatisch an den Fahrbahnrand gelenkt werden. Wenn eine Lenkung nicht möglich ist, dann kann das Fahrzeug, bspw. in der Fahrstreifenmitte, verzögert und/oder abgebremst werden, vorzugsweise bis in den Stillstand.
  • Der Lenksystemaufbau kann eine eigene Steuereinheit aufweisen, die mit einer zentralen Steuereinheit des Fahrzeuges in einer Kommunikationsverbindung stehen kann. Ferner ist es denkbar, dass der Lenksystemaufbau eine eigene Steuereinheit aufweisen kann, die in der zentralen Steuereinheit des Fahrzeuges softwaretechnisch und/oder hardwaretechnisch integriert sein kann.
  • Da die Subsysteme mehrere Komponenten aufweisen, kann der Ausfall einer dieser Komponenten zum Ausfall des jeweiligen Subsystems führen. Zum Ausfall der primären oder sekundären Lenkaufforderungserfassung kann z. B. ein Ausfall einer Elektronik, eines Sensors, oder einer Software führen. Zu einem Ausfall der der primären oder sekundären Lenkaufforderungsumsetzung kann z. B. ein Ausfall einer Elektronik, eines Sensors, einer Software oder eines Elektromotors führen. Zum Ausfall der primären oder der sekundären Energieversorgung kann z. B. ein Ausfall einer Energieleitung, einer Batterie, eines DC/DC-Wandlers, einer Sicherung, einer Elektronik oder einer Software führen. Zum Ausfall des primären oder sekundären Lenksystems kann auch der Ausfall eines Datenbus führen, wie z. B. der Ausfall des Datenbus zwischen Lenkaufforderungserfassung und Lenkaufforderungsumsetzung.
  • Die Steuereinheit kann Diagnosebotschaften, „Alive“-Signale, und/oder Fehlerzustände sowohl von dem ersten und von dem zweiten autonomen Lenksystem sowie von dem dritten mittelbaren Lenksystem als auch von der ersten und der zweiten Energieversorgung sowie von der dritten Energieversorgung erhalten, bspw. über ein geeignetes Übertragungssystem, wie z. B. ein Bus-System bzw. einen Datenbus, z. B. mit einem CAN- oder SENT-Protokoll, z. B. via CAN-Bus, und/oder eine drahtlose Übertragung, wie z. B. eine Funkübertragung. Weiterhin kann die Steuereinheit Betriebsparameter des Fahrzeuges, wie z. B. Geschwindigkeit, Beladungszustand, usw., erhalten. Zudem kann die Steuereinheit Umgebungsparameter, wie z. B, insbesondere Straßenzustand (Schnee, Eis, Nässegrad, Trockenheit, Reibwert), Temperatur, Luftfeuchte, usw., erhalten.
  • Die Steuereinheit kann anhand dieser Eingangssignale (Diagnosebotschaften und/oder Fehlerzustände, Betriebsparameter des Fahrzeuges und/oder Umgebungsparameter) entscheiden, ob ein Lenken über radselektive Bremspulse möglich ist, und/oder ob nach einem Erst- oder Zweitfehler in den Lenksystemen oder in den Energieversorgungen eine Weiterfahrt des Fahrzeuges möglich ist, oder/oder ob ein Lenken an den Fahrbahnrand möglich ist, und/oder ob ein automatisches Verzögern in den Stillstand erforderlich ist, und/oder ob nach einem Ausfall der primären und sekundären Lenkaufforderungserfassung diese anhand der dritten Lenkaufforderungserfassung erfolgen soll.
  • Die Steuereinheit kann von der Steuereinheit des Bremssystems ggf. ein Lenken über radselektive Bremspulse und/oder ein Verzögern und/oder ein Abbremsen des Fahrzeuges anfordern. Die Steuereinheit kann an die Steuereinheit des Bremssystems ggf. die Lenkaufforderung senden.
  • Die Steuereinheit des Lenksystemaufbaus und die Steuereinheit des Bremssystems können als eine gemeinsame Einheit oder als zwei separate Steuereinheiten bereitgestellt werden.
  • Die Steuereinheit kann zudem die Fahrer-Fahrzeug-Schnittstelle ansteuern, um den Fahrer über die Fehler zu informieren und/oder zu warnen und/oder um einen Vorschlag zum weiteren Betreiben des Fahrzeuges auszugeben, wie z. B. Aufsuchen einer Werkstatt. Außerdem kann die Steuereinheit den Fahrer über die verbleibende Fahrstrecke und/oder über die verbleibende Fahrzeit informieren.
  • Der Erfindungsgedanke liegt dabei darin, dass ein Erstfehler in einem Steer-By-Wire-System bzw. Brake-by-Wire-System im Hinblick darauf bewertet wird, ob er für eine möglichst sichere Weiterfahrt des Fahrzeuges kritisch oder unkritisch ist.
    • • Ein Erstfehler in einem Brake-by-Wire-System und/oder Steer-by-Wire-System ist dann kritisch, wenn nach einem darauf folgenden Zweitfehler das Fahrzeug nicht mehr (vom Fahrer und/oder vom Autopiloten) gelenkt werden kann (Erfassung oder Umsetzung der Lenkaufforderung nicht mehr möglich), oder wenn nach einem darauf folgenden Zweitfehler das Fahrzeug weder vom Fahrer (Erfassung oder Umsetzung der Bremsaufforderung nicht mehr möglich) noch automatisch in den Stillstand verzögert werden kann. Eine Weiterfahrt ist dann nicht mehr möglich.
    • • Ein Erstfehler in einem Brake-by-Wire-System und/oder Steer-by-Wire-System ist dann unkritisch, wenn nach einem darauf folgenden Zweitfehler das Fahrzeug weiter (vom Fahrer und/oder vom Autopiloten) gelenkt werden kann (Erfassung und Umsetzung der Lenkaufforderung weiter möglich), und wenn nach diesem Zweitfehler das Fahrzeug entweder vom Fahrer (Erfassung und Umsetzung der Bremsaufforderung weiter möglich) oder automatisch in den Stillstand verzögert werden kann. Eine Weiterfahrt ist dann zumindest begrenzt möglich.
  • Beispiel: Nach einem Ausfall der primären Erfassungsvorrichtung für eine Bremsaufforderung und/oder eine Lenkaufforderung würde nach einem darauf folgenden Ausfall der sekundären Erfassungsvorrichtung für eine Bremsaufforderung und/oder eine Lenkaufforderung die Bremsaufforderung und/oder eine Lenkaufforderung über die dritte Erfassungsvorrichtung (z. B. einen dritten Lenkradwinkelsensor und/oder einen Taster der Elektronischen Parkbremse) erfasst werden können. Folglich ist ein Ausfall der primären Erfassungsvorrichtung für eine Bremsaufforderung und/oder eine Lenkaufforderung als Erstfehler unkritisch.
  • Beispiel: Nach einem Ausfall der primären Umsetzungsvorrichtung für eine Lenkaufforderung würde nach einem darauf folgenden Ausfall der sekundären Umsetzungsvorrichtung für eine Lenkaufforderung die Lenkaufforderung über radselektive Bremspulse weiter umgesetzt werden können - vorausgesetzt, dass der Fahrzeugzustand und/oder Straßenzustand dies zulassen - also die Straße z. B. nicht zu glatt und die Fahrzeuggeschwindigkeit nicht zu niedrig ist. Das Fahrzeug könnte nach diesem Zweitfehler weiter vom Fahrer gelenkt werden. Folglich ist ein Ausfall der primären Umsetzungsvorrichtung für eine Lenkaufforderung als Erstfehler dann unkritisch, wenn Fahrzeugzustand und/oder Straßenzustand ein Lenken über radselektive Bremspulse zulassen. Andernfalls ist dieser Erstfehler kritisch. Auch ein Ausfall der sekundären Umsetzungsvorrichtung für eine Lenkaufforderung kann mit gleicher Logik als unkritisch oder als kritisch bewertet werden.
  • Beispiel: Nach einem Ausfall der primären Umsetzungsvorrichtung für eine Bremsaufforderung würde nach einem darauf folgenden Ausfall der sekundären Umsetzungsvorrichtung für eine Bremsaufforderung ein automatisches Verzögern in den Stillstand über generatorisches Verzögern weiter möglich sein - vorausgesetzt, dass der Ladezustand und/oder Temperatur der Hochvolt-Batterie, insbesondere der Traktionsbatterie, dies zulassen - also die Traktionsbatterie z. B. nicht zu vollgeladen und nicht zu kalt ist. Folglich ist ein Ausfall der primären Umsetzungsvorrichtung für eine Bremsaufforderung als Erstfehler dann unkritisch, wenn der Ladezustand und/oder Temperatur der Hochvolt-Batterie, insbesondere der Traktionsbatterie, ein generatorisches Verzögern in den Stillstand zulassen. Andernfalls ist dieser Erstfehler kritisch. Auch ein Ausfall der sekundären Umsetzungsvorrichtung für eine Bremsaufforderung kann mit gleicher Logik als unkritisch oder als kritisch bewertet werden.
  • Beispiel: Nach einem Ausfall der primären Langzeit-Energieversorgung würde nach einem darauf folgenden Ausfall der sekundären Langzeit-Energieversorgung sowohl die Erfassungsvorrichtung und Umsetzungsvorrichtung der Aufforderung für die Steuerfunktion (insbesondere umfassend eine Bremsaufforderung und/oder eine Lenkaufforderung), als auch die automatische Verzögerung in den Stillstand mit Hilfe der Kurzzeit-Energieversorgung erfolgen können. Folglich ist ein Ausfall der primären Langzeit-Energieversorgung als Erstfehler unkritisch. Auch ein Ausfall der sekundären Langzeit-Energieversorgung als Erstfehler kann mit gleicher Logik als unkritisch bewertet werden.
  • Mit anderen Worten kann vorgesehen sein, dass der erste Fehler als kritisch bewertet wird, wenn nach einem darauffolgenden zweiten Fehler die Weiterfahrt des Fahrzeuges nicht mehr möglich ist, insbesondere wenn das Fahrzeug nicht mehr gesteuert, insbesondere nicht mehr gebremst und/oder gelenkt, werden kann.
  • Mit anderen Worten kann vorgesehen sein, dass der erste Fehler als unkritisch bewertet wird, wenn nach einem darauffolgenden zweiten Fehler die Weiterfahrt des Fahrzeuges weiterhin möglich ist, insbesondere mithilfe mindestens einer Ebene zum Bereitstellen der Steuerfunktion.
  • Mithilfe des erfindungsgemäßen Verfahrens können eine erhöhte Sicherheit und Komfort im Betrieb des Fahrzeuges ermöglicht werden.
  • Vorteilhafterweise kann das Verfahren ferner aufweisen:
    • - Überwachen der Steuerfunktion auf Auftreten eines zweiten Fehlers (sog. Zweitfehler),
    • - Erfassen des zweiten Fehlers,
    • - Bewerten des zweiten Fehlers im Hinblick auf eine mögliche Weiterfahrt des Fahrzeuges,
    • - Betreiben des Fahrzeuges in Abhängigkeit von der Bewertung.
  • Auf diese Weise kann das Verfahren zum Betreiben des Fahrzeuges verbessert, insbesondere verfeinert werden.
  • Im Folgenden wird definiert, wann ein Zweitfehler in einem Brake-by-Wire-System und/oder Steer-by-Wire-System kritisch oder unkritisch ist, sowie Beispiele für kritische und unkritische Zweitfehler gegeben.
    • • Ein Zweitfehler in einem Brake-by-Wire-System und/oder Steer-by-Wire-System ist dann kritisch, wenn nach einem darauf folgenden Drittfehler das Fahrzeug nicht mehr (vom Fahrer und/oder vom Autopiloten) gelenkt werden kann (Erfassung oder Umsetzung der Lenkaufforderung nicht mehr möglich), oder nach Drittfehler das Fahrzeug entweder vom Fahrer (Erfassung oder Umsetzung der Bremsaufforderung nicht mehr möglich) noch automatisch in den Stillstand verzögert werden kann. Eine Weiterfahrt ist dann nicht mehr möglich.
    • • Ein Zweitfehler in einem Brake-by-Wire-System und/oder Steer-by-Wire-System ist dann unkritisch, wenn nach einem darauf folgenden Drittfehler das Fahrzeug weiter (vom Fahrer und/oder vom Autopiloten) gelenkt werden kann (Erfassung oder Umsetzung der Lenkaufforderung möglich), und nach Drittfehler das Fahrzeug entweder vom Fahrer (Erfassung oder Umsetzung der Bremsaufforderung möglich) oder automatisch in den Stillstand verzögert werden kann. Eine Weiterfahrt ist dann begrenzt möglich.
  • Beispiel: Nach Ausfall des primären Bremssystems (Ausfall der primären Bremsaufforderungs-Erfassung oder -Umsetzung, oder der primären Langzeit-Energieversorgung) fällt auch das sekundäre Bremssystem aus (Ausfall der sekundären Bremsaufforderungs-Erfassung oder -Umsetzung, oder der sekundären Langzeit-Energieversorgung). Würde jetzt ein Drittfehler in einem anderen System das generatorische Verzögern in den Stillstand unterbinden, dann würde das Fahrzeug weder vom Fahrer noch automatisch in den Stillstand verzögern können. Folglich ist ein Ausfall des sekundären Bremssystems als Zweitfehler mit einem vorangegangenen Ausfall des primären Bremssystems als Erstfehler kritisch.
  • Beispiel: Nach Ausfall des primären Lenksystems (Ausfall der primären Lenkaufforderungs-Erfassung oder -Umsetzung, oder der primären Langzeit-Energieversorgung) fällt auch das sekundäre Lenksystem aus (Ausfall der sekundären Lenkaufforderungs-Erfassung oder -Umsetzung, oder der sekundären Langzeit-Energieversorgung). Würde jetzt ein Drittfehler in einem anderen System das Lenken über radselektive Bremspulse unterbinden, dann würde das Fahrzeug vom Fahrer nicht mehr gelenkt werden können. Folglich ist ein Ausfall des sekundären Lenksystems als Zweitfehler mit einem vorangegangenen Ausfall des primären Lenksystems als Erstfehler kritisch.
  • Beispiel: Nach einem Ausfall der primären Lenkaufforderungs-Erfassung fällt auch die primäre Lenkaufforderungs-Umsetzung aus. Würde jetzt durch einen Drittfehler auch das sekundäre Lenksystem ausfallen (z. B. Ausfall der sekundären Lenkaufforderungs-Erfassung oder -Umsetzung, oder der sekundären Langzeit-Energieversorgung), dann könnte das Fahrzeug weiter über radselektive Bremspulse vom Fahrer gelenkt werden. Würde dagegen durch einen Drittfehler in einem anderen System das Lenken über radselektive Bremspulse unterbunden werden, dann könnte das Fahrzeug weiter über das sekundäre Lenksystem gelenkt werden. Folglich ist ein Ausfall der primären Lenkaufforderungs-Umsetzung als Zweitfehler mit einem vorangegangenen Ausfall der primären Lenkaufforderungs-Erfassung als Erstfehler unkritisch.
  • Beispiel: Nach einem Ausfall der primären Bremsaufforderungs-Erfassung fällt auch die primäre Bremsaufforderungs-Umsetzung aus. Würde jetzt durch einen Drittfehler auch das sekundäre Bremssystem ausfallen (z. B. Ausfall der sekundären Bremsaufforderungs-Erfassung oder -Umsetzung, oder der sekundären Langzeit-Energieversorgung), dann könnte das Fahrzeug weiter generatorisch automatisch in den Stillstand verzögert werden. Würde dagegen durch einen Drittfehler in einem anderen System das generatorische Verzögern unterbunden werden, dann könnte das Fahrzeug weiter über das sekundäre Bremssystem vom Fahrer in den Stillstand verzögert werden. Folglich ist ein Ausfall der primären Bremsaufforderungs-Umsetzung als Zweitfehler mit einem vorangegangenen Ausfall der primären Bremsaufforderungs-Erfassung als Erstfehler unkritisch.
  • Die Kritikalität weiterer Kombinationen von Erst- und Zweitfehlern kann nach gleicher Logik bewertet werden.
  • Mit anderen Worten kann vorgesehen sein, dass der zweite Fehler als kritisch bewertet wird, wenn nach einem darauffolgenden Drittfehler die Weiterfahrt des Fahrzeuges nicht mehr möglich ist, insbesondere wenn das Fahrzeug nicht mehr gesteuert, insbesondere nicht mehr gebremst und/oder gelenkt, werden kann.
  • Mit anderen Worten kann vorgesehen sein, dass der zweite Fehler als unkritisch bewertet wird, wenn nach einem darauffolgenden Drittfehler die Weiterfahrt des Fahrzeuges weiterhin möglich ist, insbesondere mithilfe mindestens einer Ebene zum Bereitstellen der Steuerfunktion.
  • Ferner kann es vorteilhaft sein, dass beim Bewerten des ersten Fehlers und/oder des zweiten Fehlers mindestens einer der folgenden Parameter berücksichtigt wird:
    • - mindestens ein Betriebsparameter des Fahrzeuges, umfassend insbesondere Geschwindigkeit, Beladungszustand, usw.,
    • - mindestens ein Betriebsparameter einer Batterie, insbesondere Hochvolt-Batterie, vorzugsweise einer Traktionsbatterie, des Fahrzeuges, umfassend insbesondere Ladezustand, Temperatur, usw., und/oder
    • - mindestens ein Umgebungsparameter, umfassend insbesondere Straßenzustand, Reibwert, Temperatur, Luftfeuchte, usw.
  • Auf diese Weise kann bewertet werden, ob eine zweite Rückfallebene für die Steuerfunktion bzw. die dritte Ebene für Steuerfunktion sichergestellt werden kann.
  • Weiterhin kann nach einem Auftreten von einem kritischen ersten Fehler mindestens eine von den folgenden Aktionen beim Betreiben des Fahrzeuges durchgeführt werden:
    • - Ausgeben einer zweiten Warnung an einen Benutzer des Fahrzeuges mit einer Aufforderung zum Handeln, insbesondere zum Anhalten des Fahrzeuges,
    • - Anzeigen einer verbleibenden Fahrstrecke und einer verbleibenden Fahrzeit an einen Benutzer des Fahrzeuges,
    • - Setzen eines Timers (ung. 1 min) zum Umsetzen der Aufforderung durch den Benutzer des Fahrzeuges gemäß der zweiten Warnung,
    • - automatisches Verzögern (insbesondere moderates Verzögern, vorzugsweise über ein generatorisches Verzögern des Fahrzeuges, mit einer Beschleunigung von ung. 1 bis 2 m/s2) und/oder Abbremsen des Fahrzeuges, insbesondere bis in den Stillstand, wenn nach Ablauf des Timers die Aufforderung gemäß der zweiten Warnung durch den Benutzer des Fahrzeuges nicht umgesetzt wurde.
  • Auf diese Weise kann bei einem kritischen Erstfehler ein sicheres Anhalten des Fahrzeuges ermöglicht werden, wenn die Weiterfahrt nicht mehr möglich ist.
  • Des Weiteren kann nach einem Auftreten von einem unkritischen ersten Fehler mindestens eine von den folgenden Aktionen beim Betreiben des Fahrzeuges durchgeführt werden:
    • - Ausgeben einer ersten Warnung an einen Benutzer des Fahrzeuges mit einer Empfehlung zum Handeln, insbesondere zum Aufsuchen einer Werkstatt,
    • - automatisches Verzögern (insbesondere moderates Verzögern, vorzugsweise über ein generatorisches Verzögern des Fahrzeuges, mit einer Beschleunigung von ung. 1 bis 2 m/s2) und/oder Abbremsen des Fahrzeuges, insbesondere auf eine begrenzte Geschwindigkeit, vorzugsweise nachdem der unkritische erster Fehler erfasst wurde,
    • - Betreiben des Fahrzeuges in einem begrenzten Betriebsmodus, insbesondere mit einer begrenzten Geschwindigkeit, bspw. 130 km/h, vorzugsweise für eine begrenzte Zeit, bspw. 40 min, und/oder eine begrenzte Strecke, bspw. 25 km,
    • - Ausgeben einer zweiten Warnung an einen Benutzer des Fahrzeuges mit einer Aufforderung zum Handeln, insbesondere zum Anhalten des Fahrzeuges,
    • - Anzeigen einer verbleibenden Fahrstrecke und einer verbleibenden Fahrzeit an einen Benutzer des Fahrzeuges,
    • - Setzen eines Timers zum Umsetzen der Aufforderung durch den Benutzer des Fahrzeuges gemäß der zweiten Warnung, und/oder
    • - automatisches Verzögern (insbesondere moderates Verzögern, vorzugsweise über ein generatorisches Verzögern des Fahrzeuges, mit einer Beschleunigung von ung. 1 bis 2 m/s2) und/oder Abbremsen des Fahrzeuges, insbesondere bis in den Stillstand, wenn nach Ablauf der begrenzten Zeit und/oder der begrenzten Strecke der erfasste erste Fehler nicht behoben wurde.
  • Auf diese Weise kann eine sichere Weiterfahrt zumindest begrenzt ermöglicht werden.
  • Zudem kann das Verfahren ferner aufweisen:
    • - Überwachen des erfassten unkritischen ersten Fehlers auf Umwandeln in einen kritischen ersten Fehler,
    • - Erfassen einer Umwandlung des erfassten unkritischen ersten Fehlers in einen kritischen ersten Fehler,
    • - Ausgeben einer zweiten Warnung an einen Benutzer des Fahrzeuges mit einer Aufforderung zum Handeln, insbesondere zum Anhalten des Fahrzeuges,
    • - Anzeigen einer verbleibenden Fahrstrecke und einer verbleibenden Fahrzeit an einen Benutzer des Fahrzeuges,
    • - Setzen eines Timers (ung. 1 min) zum Umsetzen der Aufforderung durch den Benutzer des Fahrzeuges gemäß der zweiten Warnung,
    • - automatisches Verzögern (insbesondere moderates Verzögern, vorzugsweise über ein generatorisches Verzögern des Fahrzeuges, mit einer Beschleunigung von ung. 1 bis 2 m/s2) und/oder Abbremsen des Fahrzeuges, insbesondere bis in den Stillstand, wenn nach Ablauf des Timers die Aufforderung gemäß der zweiten Warnung durch den Benutzer des Fahrzeuges nicht umgesetzt wurde.
  • Auf diese Weise kann bei einem kritisch werdenden Erstfehler ein sicheres Anhalten des Fahrzeuges ermöglicht werden, wenn die Weiterfahrt nach einer bestimmten Zeit nicht mehr möglich ist.
  • Außerdem kann nach einem Auftreten von einem unkritischen ersten Fehler und einem kritischen zweiten Fehler mindestens eine von den folgenden Aktionen beim Betreiben des Fahrzeuges durchgeführt werden:
    • - Ausgeben einer zweiten Warnung an einen Benutzer des Fahrzeuges mit einer Aufforderung zum Handeln, insbesondere zum Anhalten des Fahrzeuges,
    • - Anzeigen einer verbleibenden Fahrstrecke und einer verbleibenden Fahrzeit an einen Benutzer des Fahrzeuges,
    • - Setzen eines Timers (ung. 1 min) zum Umsetzen der Aufforderung durch den Benutzer des Fahrzeuges gemäß der zweiten Warnung,
    • - automatisches Verzögern (insbesondere moderates Verzögern, vorzugsweise über ein generatorisches Verzögern des Fahrzeuges, mit einer Beschleunigung von ung. 1 bis 2 m/s2) und/oder Abbremsen des Fahrzeuges, insbesondere bis in den Stillstand, wenn nach Ablauf des Timers die Aufforderung gemäß der zweiten Warnung durch den Benutzer des Fahrzeuges nicht umgesetzt wurde.
  • Auf diese Weise kann bei einem kritischen Zweitfehler ein sicheres Anhalten des Fahrzeuges ermöglicht werden, wenn die Weiterfahrt nicht mehr möglich ist.
  • Darüber hinaus kann nach einem Auftreten von einem unkritischen ersten Fehler und einem unkritischen zweiten Fehler mindestens eine von den folgenden Aktionen beim Betreiben des Fahrzeuges durchgeführt werden:
    • - erneutes Ausgeben einer ersten Warnung an einen Benutzer des Fahrzeuges mit einer Empfehlung zum Handeln, insbesondere zum Aufsuchen einer Werkstatt,
    • - Betreiben des Fahrzeuges in einem begrenzten Betriebsmodus, insbesondere mit einer begrenzten Geschwindigkeit, bspw. 130 km/h, vorzugsweise für eine begrenzte Zeit, bspw. 40 min, und/oder eine begrenzte Strecke, bspw. 25 km, bevorzugt gemessen seit dem Erfassen des unkritischen ersten Fehlers, und/oder
    • - automatisches Verzögern (insbesondere moderates Verzögern, vorzugsweise über ein generatorisches Verzögern des Fahrzeuges, mit einer Beschleunigung von ung. 1 bis 2 m/s2) und/oder Abbremsen des Fahrzeuges, insbesondere bis in den Stillstand, wenn nach Ablauf der begrenzten Zeit und/oder der begrenzten Strecke der erfasste erste Fehler und der zweite Fehler nicht behoben wurden.
  • Auf diese Weise kann eine sichere Weiterfahrt zumindest begrenzt ermöglicht werden.
  • Die Erfindung stellt ferner bereit: ein Computerprogrammprodukt, umfassend Befehle, die bei der Ausführung des Computerprogrammprodukts durch einen Computer diesen veranlassen, ein Verfahren wie oben beschrieben durchzuführen. Mithilfe des erfindungsgemäßen Computerprogrammprodukts können die gleichen Vorteile erreicht werden, die oben im Zusammenhang mit dem erfindungsgemäßen Verfahren beschrieben wurden. Auf diese Vorteile wird vorliegend vollumfänglich Bezug genommen.
  • Die Erfindung stellt weiterhin bereit: eine Steuereinheit, aufweisend eine Recheneinheit und eine Speichereinheit, in welcher ein Code hinterlegt ist, welcher bei zumindest teilweiser Ausführung durch die Recheneinheit, ein Verfahren wie oben beschrieben durchführt. Mithilfe der erfindungsgemäßen Steuereinheit können die gleichen Vorteile erreicht werden, die oben im Zusammenhang mit dem erfindungsgemäßen Verfahren beschrieben wurden. Auf diese Vorteile wird vorliegend vollumfänglich Bezug genommen.
  • Die Steuereinheit zum Durchführen des erfindungsgemäßen Verfahrens kann als eine separate Steuereinheit ausgeführt oder in einer zentralen Steuereinheit des Fahrzeuges softwaretechnisch und/oder hardwaretechnisch integriert sein. Die Steuereinheit zum Durchführen des erfindungsgemäßen Verfahrens kann zudem eine Steuereinheit für den Bremssystemaufbau und/oder eine Steuereinheit für den Lenksystemaufbau oder eine gemeinsame Steuereinheit für den Bremssystemaufbau und den Lenksystemaufbau umfassen.
  • Die Erfindung stellt zudem bereit: ein Fahrzeug, aufweisend eine entsprechende Steuereinheit. Mithilfe des erfindungsgemäßen Fahrzeuges können die gleichen Vorteile erreicht werden, die oben im Zusammenhang mit dem erfindungsgemäßen Verfahren beschrieben wurden. Auf diese Vorteile wird vorliegend vollumfänglich Bezug genommen.
  • Weiterhin wird die Erfindung anhand der Figuren näher dargestellt. Dabei ist zu beachten, dass die Figuren nur einen beschreibenden Charakter haben und nicht dazu gedacht sind, die Erfindung in irgendeiner Form einzuschränken. Es zeigen:
    • 1 eine tabellarische Übersicht von Erstfehlern in primären und sekundären Lenk- und Bremssystemen und ihre Bewertung als kritisch oder unkritisch,
    • 2 eine tabellarische Übersicht von möglichen Kombinationen von Erstfehlern und Zweitfehlern in primären und sekundären Lenk- und Bremssystemen und ihre Bewertung als kritisch oder unkritisch,
    • 3 Fahrzeugverhalten nach einem kritischen Erstfehler,
    • 4 Fahrzeugverhalten nach einem unkritischen Erstfehler und bei Erreichen eines Strecken- oder Zeitlimits,
    • 5 Fahrzeugverhalten nach einem unkritischen Erstfehler, der zu einem kritischen Erstfehler wird,
    • 6 eine beispielhafte Darstellung eines Streckenlimits und eines Zeitlimits in einem Kombiinstrument über Balkendiagramme mit Zahlenwerten,
    • 7 Fahrzeugverhalten nach einem unkritischen Erstfehler und einem kritischen Zweitfehler, und
    • 8 Fahrzeugverhalten nach einem unkritischen Erstfehler und einem unkritischen Zweitfehler.
  • Die 1 bis 8 dienen zum Erklären eines Verfahrens im Rahmen der vorliegenden Offenbarung. Das Verfahren dient zum Betreiben eines Fahrzeuges F beim Bereitstellen mindestens einer Steuerfunktion B, L, insbesondere einer Bremsfunktion B und/oder einer Lenkfunktion L, vorzugsweise einer Brake-by-Wire-Funktion und/oder einer Steer-by-Wire-Funktion, während einer Fahrt des Fahrzeuges F, d. h. während eines mobilen Betriebes des Fahrzeuges. Die Steuerfunktion B, L weist eine primäre Ebene B1, L1, eine sekundäre Ebene B2, L2 zum Bereitstellen mindestens einer ersten Rückfallebene für die Steuerfunktion B, L und vorteilhafterweise eine dritte Ebene B3, L3 zum Bereitstellen einer zweiten Rückfallebene für die Steuerfunktion B, L auf.
  • Während des mobilen Betriebes des Fahrzeuges F kann ein Ausfall einer Steuerfunktion B, L, wie einer Bremsfunktion B und/oder einer Lenkfunktion L, zu einem Sicherheitsrisiko für das Fahrzeug sowie für die andere Verkehrsteilnehmer und/oder die Umgebung des Fahrzeuges führen. Das vorgeschlagene Verfahren begegnet diesem Risiko und reduziert es auf eine sichere und zuverlässige Weise.
  • Das Verfahren weist dabei folgende Aktionen/Verfahrensschritte auf:
    • - Überwachen der Steuerfunktion B, L auf Auftreten eines ersten Fehlers F1 (sog. Erstfehler),
    • - Erfassen des ersten Fehlers F1,
    • - Bewerten des ersten Fehlers F1 unter der Annahme, dass auf den ersten Fehler F1 ein zweiter Fehler F2 folgen wird bzw. folgen kann, im Hinblick auf eine mögliche Weiterfahrt des Fahrzeuges F,
    • - Betreiben des Fahrzeuges F in Abhängigkeit von der Bewertung.
  • Das Fahrzeug F als Ganzes ist in den Figuren lediglich aus Einfachheitsgründen nicht dargestellt. Das Fahrzeug F kann dabei als ein vollautomatisiert fahrendes Fahrzeug (Level 4 gem. SAE Definition) oder ein autonom fahrendes Fahrzeug (Level 5 gem. SAE Definition) ausgebildet sein.
  • Wenn der Fahrer die Fahrzeugführung hat, dann kann die Aufforderung für die Steuerfunktion B, L (insbesondere umfassend eine Bremsaufforderung und/oder eine Lenkaufforderung) von dem Fahrer kommen, bspw. durch Betätigung eines elektronischen Bremspedals und/oder eines Lenkrads. Wenn das Fahrzeug F (im selbstfahrenden Modus oder im autonomen Modus) die Fahrzeugführung hat, dann kommt die Aufforderung für die Steuerfunktion von dem Fahrzeug F selbst.
  • Bei einem vollautomatisiert fahrenden Fahrzeug (Level 4 gem. SAE Definition) kann der Fahrer zu einem Passagier bzw. Benutzer des Fahrzeuges werden. Bei einem autonom fahrenden Fahrzeug (Level 5 gem. SAE Definition) ist kein Fahrer vorgesehen. Dort sind nur Benutzer vorgesehen.
  • Wie es die 1 zeigt, kann das Fahrzeug F, bei dem das erfindungsgemäße Verfahren zum Einsatz kommen kann, einen Bremssystemaufbau 100 in Form eines sog. Brake-by-Wire-Systems aufweisen, bei welchem Erfassungsvorrichtungen BE1, BE2 und Umsetzungsvorrichtungen BU1, BU2 für eine Bremsaufforderung (die bspw. vom Fahrer oder vom Fahrzeug kommen kann) mechanisch voneinander entkoppelt sind. Der Bremssystemaufbau 100 kann zudem folgende Untersysteme aufweisen:
    • - ein erstes (bzw. primäres) Bremssystem B1 (sog. autonomes Bremssystem) zum Bereitstellen einer Bremsfunktion B, welches autonom ausgebildet ist und/oder über eine erste (bzw. primäre) Energieversorgung E1 mit elektrischer Energie versorgt wird,
    • - ein zweites (bzw. sekundäres) Bremssystem B2 (sog. autonomes Bremssystem) zum Bereitstellen einer ersten Rückfallebene für die Bremsfunktion B, welches autonom ausgebildet ist und/oder über eine zweite (bzw. sekundäre) Energieversorgung mit elektrischer Energie versorgt wird,
    • - und ein drittes Bremssystem B3 (zumindest zum Teil mittelbares und/oder funktional umgesetztes Bremssystem) zum Bereitstellen einer zweiten Rückfallebene für die Bremsfunktion B, insbesondere über ein elektromechanisches Antriebssystem des Fahrzeuges, z. B. durch ein generatorisches Verzögern.
  • Bei dem Bremssystemaufbau 100 sind zwei redundant vorgehaltene autonome Bremssysteme B1, B2 vorgesehen, die unabhängig voneinander sowie unabhängig von anderen Funktionssystemen des Fahrzeuges F funktionieren können.
  • Jedes dieser beiden Bremssysteme B1, B2 kann zudem mehrere Subsysteme BE1, BE2, BU1, BU2 aufweisen, wie z. B. jeweils eine Erfassungsvorrichtung BE1, BE2 zum Erfassen der Bremsaufforderung und jeweils Umsetzungsvorrichtung BU1, BU2 zum Umsetzen der Bremsaufforderung). Die Bremsaufforderung kann in beiden autonomen Bremssystemen von der jeweiligen Erfassung zu der jeweiligen Umsetzung über ein entsprechendes Übertragungssystem, wie z. B. ein Bus-System bzw. einen Datenbus, z. B. mit einem CAN- oder SENT-Protokoll, übertragen werden. Das Übertragungssystem ist lediglich aus Einfachheitsgründen nicht dargestellt.
  • Das erste Bremssystem B1 und das zweite Bremssystem B2 werden über zwei voneinander unabhängige Energieversorgungen E1, E2 mit elektrischer Energie E versorgt. Die unabhängigen Energieversorgungen E1, E2 können in Form von Langzeit-Energieversorgungen E1, E2 ausgebildet sein und bspw. jeweils eine Hochvoltbatterie aufweisen, die mit Gleichspannungen von ung. 60 V bis ung. 1,5 kV betrieben werden kann. Zudem können die unabhängigen Energieversorgungen E1, E2 jeweils einen geeigneten DC/DC-Wandler aufweisen.
  • Die jeweilige Erfassungsvorrichtung BE1, BE2 kann als ein elektronisches Bremspedal ausgeführt sein. Die Betätigung des Bremspedals durch den Fahrer kann bspw. über Kraft- und/oder Wegsensoren oder Ähnliches erfasst werden. Eine korrespondierende Steuerelektronik der jeweiligen Erfassungsvorrichtung BE1, BE2, umfassend bspw. eine entsprechende Elektronik und/oder Software, kann die Sensordaten passiv erhalten, aktiv abfragen und ggf. auswerten. Weiterhin kann die Steuerelektronik der jeweiligen Erfassungsvorrichtung BE1, BE2 die Sensordaten und/oder die Ergebnisse der Auswertung über ein zugehöriges Übertragungssystem an die korrespondierende Umsetzungsvorrichtung BU1, BU2 übermitteln.
  • Die jeweilige Umsetzungsvorrichtung BU1, BU2 kann ebenfalls eine korrespondierende Steuerelektronik, umfassend bspw. eine entsprechende Elektronik und/oder Software, aufweisen. Die Auswertung von Sensordaten der jeweiligen Erfassungsvorrichtung BE1, BE2 kann in der Steuerelektronik der Erfassungsvorrichtung BE1, BE2 und/oder in der Steuerelektronik der Umsetzungsvorrichtung BU1, BU2 durchgeführt werden. Die Steuerelektronik der Erfassungsvorrichtung BE1, BE2 und die Steuerelektronik der Umsetzungsvorrichtung BU1, BU2 können als separate Steuerelektroniken oder als eine gemeinsame Steuerelektronik bereitgestellt werden.
  • Mindestens eine Umsetzungsvorrichtung BU1, BU2 kann als ein sog. „nasses“ By-Wire-Bremssystem ausgeführt sein. Die Umsetzungsvorrichtung LU1, LU2 kann dabei einen Elektromotor, diverse Sensoren und Hydraulikventile aufweisen. Die Bremsbeläge in den Bremssätteln können hierbei durch einen hydraulischen Druck an die Bremsscheiben gepresst werden. Eine Steuerelektronik der Umsetzungsvorrichtung BU1, BU2 und die Bremssättel können über Hydraulikleitungen (für Hydraulikventile) miteinander verbunden werden. Die Steuerelektronik steuert den Elektromotor derart an, dass ein bestimmter hydraulischer Druck und ein bestimmtes Bremsmoment erzeugt werden können, welche der erfassten Bremsaufforderung entsprechen.
  • Mindestens eine Umsetzungsvorrichtung BU1, BU2 kann als ein sog. „trockenes“ By-Wire-Bremssystem ausgeführt sein. Die Umsetzungsvorrichtung BU1, BU2 kann dabei einen Elektromotor, diverse Sensoren und mechanische Stellelemente umfassen. Die Bremsbeläge in den Bremssätteln können über Elektromotoren und mechanische Stellelemente an die Bremsscheiben gepresst werden. Die Steuerelektronik und die Bremssättel können über Energieleitungen (für die Elektromotoren) und Datenleitungen (für die Sensoren) miteinander verbunden werden. Die Steuerelektronik steuert die Elektromotoren derart an, dass ein bestimmtes Bremsmoment bereitgestellt werden kann, welches der erfassten Bremsaufforderung entspricht.
  • Das erste Bremssystem B1 und das zweite Bremssystem B2 weisen jeweils eine eigene Energieversorgung E1, E2, insbesondere eine Langzeit-Energieversorgung, auf. Das dritte Bremssystem B3 kann weiterhin eine dritte Energieversorgung E3, insbesondere eine Kurzzeit-Energieversorgung, aufweisen. Die jeweilige Langzeit-Energieversorgung E1, E2 kann z. B. einen DC/DC-Wandler aufweisen, welcher an eine korrespondierende Hochvolt-Batterie angeschlossen sein kann. Die Kurzzeit-Energieversorgung E3 kann z. B. eine Niedervolt-Batterie und/oder einen Superkondensator, sog. Ultra-Cap, oder Ähnliches aufweisen.
  • Wenn ein sog. „nasses“ By-Wire-Bremssystem genutzt wird und nur eines der beiden Bremssysteme B1, B2 mit Hydraulikventilen zur Modulation der Bremsdrücke ausgestattet ist, kann vorteilhafterweise das Bremssystem, das mit Hydraulikventilen ausgestattet ist, an die Kurzzeit-Energieversorgung E3 angeschlossen werden. Auf diese Weise können auch bei gleichzeitigem Ausfall der primären und sekundären Langzeit-Energieversorgung E1, E2 grundlegende Bremsfunktionen wie z. B. das Herunterbremsen des Fahrzeugs in den Stillstand, sowie sicherheitsrelevante Bremsregelfunktionen, wie z. B. ABS und ESC, zumindest für eine kurze Zeit, sichergestellt werden.
  • Das dritte Bremssystem B3 kann zumindest zum Teil als ein mittelbares bzw. indirekt ausgeführtes Bremssystem, vorzugsweise als ein Verzögerungssystem, zum Bereitstellen einer zweiten Rückfallebene für die Bremsfunktion ausgeführt sein. Das dritte Bremssystem B3 kann funktional ein weiteres funktionswesentliches System des Fahrzeuges F nutzen, wie z. B. das elektromechanische Antriebssystem, insbesondere einen Elektromotor in einem Generatorbetrieb, um die Bremsfunktion in der zweiten Rückfallebene bereitzustellen, bspw. durch ein generatorisches Verzögern des Fahrzeuges F. Der Elektromotor in dem Generatorbetrieb kann dabei wie eine dritte Umsetzungsvorrichtung zum Bereitstellen der Bremsfunktion B in der zweiten Rückfallebene agieren. Der Elektromotor kann dabei einen Ladestrom für die mindestens eine Batterie, umfassend bspw. eine Hochvolt-Batterie, wie z. B. eine Traktionsbatterie, und ggf. mindestens eine weitere Hilfsbatterie generieren.
  • Das dritte Bremssystem B3 kann vorteilhafterweise eine eigene, gemeint ist dritte, Erfassungsvorrichtung BE3 zum Erfassen der Bremsaufforderung (die bspw. vom Fahrer kommen kann) umfassen. Die Erfassungsvorrichtung BE3 kann einen Taster einer elektronischen Parkbremse aufweisen. Der Taster kann über eine Signalleitung direkt mit der Elektronik der primären und sekundären Umsetzungsvorrichtung BU1, BU2 verbunden sein.
  • Der Bremssystemaufbau 100 kann eine eigene Steuereinheit aufweisen, die mit einer zentralen Steuereinheit des Fahrzeuges F in einer Kommunikationsverbindung stehen kann. Zudem kann der Bremssystemaufbau 100 eine Steuereinheit aufweisen, die in der zentralen Steuereinheit des Fahrzeuges F softwaretechnisch und/oder hardwaretechnisch integriert sein kann.
  • Da die Subsysteme der beiden autonomen Bremssysteme B1, B2 mehrere Komponenten aufweisen, kann der Ausfall einer dieser Komponenten zu einem teilweisen oder kompletten Ausfall der Bremssysteme B1, B2 führen. Ein Ausfall eines der Bremssysteme B1, B2 kann durch einen Ausfall einer Energieleitung, eines Datenbus, einer Batterie, eines DC/DC-Wandlers, einer Sicherung, einer Software, eines Sensors, eines Aktuators, eines Ventils, eines Stellelementes usw. bedingt sein.
  • Die Steuereinheit des Bremssystemaufbaus 100 kann Diagnosedaten und/oder Fehlerzustände sowohl von dem ersten und von dem zweiten autonomen Bremssystem B1, B2 sowie von dem dritten mittelbaren Bremssystem B3 als auch von der ersten und der zweiten Energieversorgung E1, E2 sowie von der dritten Energieversorgung E3 erhalten, bspw. über ein geeignetes Übertragungssystem, wie z. B. ein Bus-System bzw. einen Datenbus, z. B. mit einem CAN- oder SENT-Protokoll, z. B. via CAN-Bus, und/oder eine drahtlose Übertragung, wie z. B. eine Funkübertragung. Von der Batterie, insbesondere der Hochvolt-Batterie, wie z. B. der Traktionsbatterie, kann die Steuereinheit des Bremssystemaufbaus 100 die Betriebsparameter, wie z. B. den Ladezustand SOC und die Temperatur T, erhalten, bspw. über ein geeignetes Übertragungssystem, wie z. B. ein Bus-System bzw. einen Datenbus, z. B. mit einem CAN- oder SENT-Protokoll, z. B. via CAN-Bus, und/oder eine drahtlose Übertragung, wie z. B. eine Funkübertragung.
  • Die Steuereinheit des Bremssystemaufbaus 100 kann in Abhängigkeit von Diagnosedaten und/oder Betriebsparameter der Batterie, insbesondere der Hochvolt-Batterie, wie z. B. der Traktionsbatterie, entscheiden, ob ein generatorisches Verzögern überhaupt, in wie weit und/oder bis zu einer Vollbremsung möglich ist. Zudem kann die Steuereinheit des Bremssystemaufbaus 100 entscheiden, ob nach einem Erst- oder Zweitfehler in den jeweiligen Bremssystemen B1, B2, B3 und/oder bei den Energieversorgungen E1, E2, E3 eine Weiterfahrt des Fahrzeuges F möglich ist. Außerdem kann die Steuereinheit des Bremssystemaufbaus 100 entscheiden, ob eine moderate Abbremsung und/oder Zwangsbremsung des Fahrzeuges F erforderlich ist, und/oder ob eine automatische Abbremsung und/oder Zwangsbremsung generatorisch mithilfe des Elektromotors und/oder über die erste Umsetzungsvorrichtung und/oder über die zweite Umsetzungsvorrichtung mithilfe der Bremssättel erfolgen soll.
  • Die Steuereinheit des Bremssystemaufbaus 100 kann von einer Steuereinheit des Elektromotors anfordern, ein generatorisches Verzögern durchzuführen. Die Steuereinheit des Bremssystemaufbaus 100 kann von der ersten Umsetzungsvorrichtung BU1 und/oder von der zweiten Umsetzungsvorrichtung BU2 ein Verzögern mithilfe der Bremssättel anfordern. Zudem kann die Steuereinheit des Bremssystemaufbaus 100 die Fahrer-Fahrzeug-Schnittstelle HMI ansteuern, um den Fahrer über die Fehler F1, F2 in den Bremssystemen B1, B2 zu informieren und/oder zu warnen und/oder um einen Vorschlag zum weiteren Betreiben des Fahrzeuges F auszugeben, wie z. B. Aufsuchen einer Werkstatt. Außerdem kann die Steuereinheit den Fahrer über die verbleibende Fahrstrecke und/oder über die verbleibende Fahrzeit informieren.
  • Die Steuereinheit des Bremssystemaufbaus 100 und die Steuereinheit des Elektromotors können als eine gemeinsame Steuereinheit, bspw. im Rahmen der zentralen Steuereinheit des Fahrzeuges F, oder als zwei separate Steuereinheiten bereitgestellt werden.
  • Wie es die 1 zeigt, kann das Fahrzeug F, bei dem das erfindungsgemäße Verfahren zum Einsatz kommen kann, einen Lenksystemaufbau 200, ein sog. Steer-by-Wire-System, aufweisen, bei welchem Erfassungsvorrichtungen LE1, LE2 und Umsetzungsvorrichtungen LU1, LU2 für eine Lenkaufforderung (die bspw. vom Fahrer oder vom Fahrzeug kommen kann) mechanisch voneinander entkoppelt sein können. Der Lenksystemaufbau 200 kann folgende Untersysteme aufweisen:
    • - ein erstes (bzw. primäres) Lenksystem L1 (sog. autonomes Lenksystem) zum Bereitstellen einer Lenkfunktion L, welches autonom ausgebildet ist und/oder über die erste (bzw. primäre) Energieversorgung mit elektrischer Energie versorgt wird,
    • - ein zweites (bzw. sekundäres) Lenksystem L2 (sog. autonomes Lenksystem) zum Bereitstellen einer ersten Rückfallebene für die Lenkfunktion L, welches autonom ausgebildet ist und/oder über die zweite (bzw. sekundäre) Energieversorgung mit elektrischer Energie versorgt wird,
    • - und ein drittes Lenksystem L3 (zumindest zum Teil mittelbares und/oder funktional umgesetztes Lenksystem) zum Bereitstellen einer zweiten Rückfallebene für die Lenkfunktion L, bspw. über das oben beschriebene Brake-by-Wire-System, insbesondere durch ein radselektives, ggf. gepulstes, Abbremsen (vorzugsweise durch radselektive, ggf. gepulste, Bremseingriffe).
  • Die Lenksysteme L1, L2 können über zwei voneinander unabhängige Energieversorgungen E1, E2 mit elektrischer Energie E versorgt werden, wie es in der 1 mithilfe von strichpunktierten Linien angedeutet ist. Die Energieversorgungen E1, E2 können jeweils eine Hochvolt-Batterie aufweisen, die mit Gleichspannungen von ung. 60 V bis ung. 1,5 kV betrieben werden kann, und jeweils einen geeigneten DC/DC-Wandler aufweisen.
  • Jedes von den Lenksystemen L1, L2 kann zudem mehrere Subsysteme LE1, LE2 und LU1, LU2 aufweisen, wie z. B. jeweils eine Erfassungsvorrichtung LE1, LE2 zum Erfassen der Lenkaufforderung und jeweils eine Umsetzungsvorrichtung LU1, LU2 zum Umsetzen der Lenkaufforderung und ein korrespondierendes Übertragungssystem, wie z. B. ein Bus-System bzw. einen Datenbus, z. B. mit einem CAN- oder SENT-Protokoll. Das Übertragungssystem ist lediglich aus Einfachheitsgründen nicht dargestellt.
  • Die jeweilige Erfassungsvorrichtung LE1, LE2 kann als ein Lenksäulenmodul ausgeführt sein. Die Betätigung des Lenkrads durch den Fahrer kann über Lenkradwinkelsensoren am Lenkrad erfasst werden. Eine Steuerelektronik der jeweiligen Erfassungsvorrichtung LE1, LE2, umfassend bspw. eine entsprechende Elektronik und/oder Software, kann die Sensordaten passiv erhalten, aktiv abfragen und ggf. auswerten. Weiterhin kann die Steuerelektronik der jeweiligen Erfassungsvorrichtung LE1, LE2 die Sensordaten und/oder die Ergebnisse der Auswertung über ein zugehöriges Übertragungssystem an die korrespondierende Umsetzungsvorrichtung LU1, LU2 übermitteln. Die jeweilige Umsetzungsvorrichtung LU1, LU2 kann ebenfalls eine Steuerelektronik, umfassend bspw. eine entsprechende Elektronik und/oder Software, aufweisen. Die Auswertung von Sensordaten der jeweiligen Erfassungsvorrichtung LE1, LE2 kann in der Steuerelektronik der Erfassungsvorrichtung LE1, LE2 und/oder in der Steuerelektronik der Umsetzungsvorrichtung LU1, LU2 durchgeführt werden. Die Steuerelektronik der Erfassungsvorrichtung LE1, LE2 und die Steuerelektronik der Umsetzungsvorrichtung LU1, LU2 können als separate Steuerelektroniken oder als eine gemeinsame Steuerelektronik bereitgestellt werden.
  • Die jeweilige Umsetzungsvorrichtung LU1, LU2 kann als ein Lenkgetriebe ausgeführt sein, welches bspw. an einer Fahrzeugachse, bspw. Vorderachse, verbaut sein kann. Eine Steuerelektronik der Umsetzungsvorrichtung LU1, LU2, umfassend bspw. eine entsprechende Elektronik und/oder Software, kann einen Elektromotor und ein Lenkgetriebe ansteuern, um die erfasste Lenkaufforderung umzusetzen. An der Fahrzeugachse, bspw. Vorderachse, können Sensoren vorgesehen sein, welche die Ansteuerung, insbesondere die umgesetzte Lenkaufforderung, überwachen können. Die Steuerelektronik der Umsetzungsvorrichtung LU1, LU2 und die Sensoren können über eine Datenleitung miteinander verbunden sein. Die Steuerelektronik der Umsetzungsvorrichtung LU1, LU2 kann die Lenkaufforderung vorteilhafterweise unter Berücksichtigung dieser Sensordaten umsetzen.
  • Das erste Lenksystem L1 und das zweite Lenksystem L2 weisen jeweils eine eigene Energieversorgung E1, E2, insbesondere eine Langzeit-Energieversorgung, auf. Das dritte Lenksystem L3 kann weiterhin eine dritte Energieversorgung E3, insbesondere eine Kurzzeit-Energieversorgung, aufweisen. Die jeweilige Langzeit-Energieversorgung E1, E2 kann z. B. einen DC/DC-Wandler aufweisen, welcher an eine korrespondierende Hochvolt-Batterie angeschlossen sein kann. Die Kurzzeit-Energieversorgung E3 kann z. B. eine Niedervolt-Batterie und/oder einen Superkondensator, sog. Ultra-Cap, oder Ähnliches aufweisen.
  • Das dritte Lenksystem L3 kann zumindest zum Teil als ein mittelbares bzw. abhängiges und/oder funktional umgesetztes bzw. indirektes Lenksystem L3 zum Bereitstellen einer zweiten Rückfallebene für die Lenkfunktion bereitgestellt werden. Dies kann vorzugsweise über ein weiteres funktionswesentliches System des Fahrzeuges F, wie z. B. das oben beschriebene Bremssystem 100 erfolgen, bspw. durch ein radselektives, ggf. gepulstes, Abbremsen des Fahrzeuges F. Das Bremssystem B kann somit als eine dritte Umsetzungsvorrichtung LU3 zum Umsetzen der Lenkaufforderung genutzt werden.
  • Das dritte Lenksystem L3 kann vorteilhafterweise eine eigene, gemeint ist dritte, Erfassungsvorrichtung LE3 umfassen. Die dritte Erfassungsvorrichtung LE3 kann einen dritten Lenkradwinkelsensor nutzen. Alternativ oder zusätzlich kann die dritte Erfassungsvorrichtung LE3 ein Fahrerassistenzsystem, bspw. einen Spurhalteassistenten, Fahrstreifenerkennung, einen Autopiloten usw., nutzen. Die dritte Erfassungsvorrichtung LE3 kann ein drittes Übertragungssystem zum Weiterleiten der erfassten Lenkaufforderung an eine Steuereinheit des Lenksystemaufbaus 200 aufweisen. Die Steuereinheit kann die erste, die zweite oder die dritte Lenkaufforderungsumsetzung ansteuern. In einem kritischen Fehlerfall kann die Steuereinheit das Fahrzeug F automatisch an den Fahrbahnrand lenken. Wenn eine Lenkung nicht möglich ist, dann kann die Steuereinheit des Lenksystemaufbaus 200 das Fahrzeug F, bspw. in der Fahrstreifenmitte, verzögern und/oder abbremsen, wenn möglich bis in den Stillstand.
  • Der Lenksystemaufbau 200 kann eine eigene Steuereinheit aufweisen, die mit einer zentralen Steuereinheit des Fahrzeuges F in einer Kommunikationsverbindung stehen kann. Zudem kann der Lenksystemaufbau 200 eine Steuereinheit aufweisen, die in der zentralen Steuereinheit des Fahrzeuges F softwaretechnisch und/oder hardwaretechnisch integriert sein kann.
  • Da die Subsysteme der beiden autonomen Lenksysteme L1, L2 mehrere Komponenten aufweisen, kann der Ausfall einer dieser Komponenten zu einem teilweisen oder kompletten Ausfall der Lenksysteme L1, L2 führen. Ein Ausfall eines der Bremssysteme L1, L2 kann durch einen Ausfall einer Energieleitung, eines Datenbus, einer Batterie, eines DC/DC-Wandlers, einer Sicherung, einer Software, eines Sensors, eines Aktuators, eines Ventils, eines Stellelementes usw. bedingt sein.
  • Die Steuereinheit des Lenksystemaufbau 200 kann Diagnosedaten und/oder Fehlerzustände sowohl von dem ersten autonomen Lenksystem L1 und von dem zweiten autonomen Lenksystem L2 sowie von dem dritten mittelbaren Lenksystem L3 als auch von der ersten Energieversorgung E1 und der zweiten Energieversorgung E2 sowie von der dritten Energieversorgung E3 erhalten, bspw. über ein geeignetes Übertragungssystem, wie z. B. ein Bus-System bzw. einen Datenbus, z. B. mit einem CAN- oder SENT-Protokoll, z. B. via CAN-Bus, und/oder eine drahtlose Übertragung, wie z. B. eine Funkübertragung. Weiterhin kann die Steuereinheit des Lenksystemaufbau 200 Betriebsparameter BP des Fahrzeuges F, wie z. B. Geschwindigkeit V, Beladungszustand, usw., berücksichtigen. Zudem kann die Steuereinheit des Lenksystemaufbaus 200 Umgebungsparameter UP, wie z. B, insbesondere Straßenzustand (Schnee, Eis, Nässegrad, Trockenheit, Reibwert), Temperatur, Luftfeuchte, usw. berücksichtigen.
  • Die Steuereinheit des Lenksystemaufbaus 200 kann anhand der Diagnosedaten, der Betriebsparameter BP des Fahrzeuges F und/oder der Umgebungsparameter UP entscheiden, ob ein Lenken über radselektive Bremspulse möglich ist.
  • Die Steuereinheit des Lenksystemaufbaus 200 kann anhand der Diagnosedaten, der Betriebsparameter BP des Fahrzeuges F und/oder der Umgebungsparameter UP entscheiden, ob nach einem Erst- oder Zweitfehler F1, F2 in den Lenksystemen L1, L2 oder in den Energieversorgungen E1, E2 eine Weiterfahrt des Fahrzeuges F möglich ist.
  • Die Steuereinheit des Lenksystemaufbaus 200 kann anhand der Diagnosedaten, der Betriebsparameter BP des Fahrzeuges F und/oder der Umgebungsparameter UP entscheiden, ob ein Lenken an den Fahrbahnrand möglich ist, und/oder ob ein automatisches Verzögern und/oder Abbremsen in den Stillstand erforderlich ist.
  • Die Steuereinheit des Lenksystemaufbaus 200 kann anhand der Diagnosedaten, der Betriebsparameter BP des Fahrzeuges F und/oder der Umgebungsparameter UP entscheiden, ob nach einem Ausfall der primären und sekundären Lenkaufforderungserfassung diese anhand der dritten Lenkaufforderungserfassung erfolgen soll.
  • Die Steuereinheit des Lenksystemaufbaus 200 kann von einer Steuereinheit des Bremssystemaufbaus 100 ein Lenken über radselektive Bremspulse und/oder ein Verzögern und/oder ein Abbremsen des Fahrzeuges F anfordern. Die Steuereinheit des Lenksystemaufbaus 200 kann an die Steuereinheit des Bremssystemaufbaus 100 ggf. die Lenkaufforderung senden, die in entsprechende radselektive Bremspulse übersetzt werden kann.
  • Die Steuereinheit des Lenksystemaufbaus 200 und die Steuereinheit des Bremssystemaufbaus 100 können als eine gemeinsame Einheit oder als zwei separate Steuereinheiten bereitgestellt werden.
  • Die Steuereinheit des Lenksystemaufbaus 200 kann zudem die Fahrer-Fahrzeug-Schnittstelle HMI ansteuern, um den Fahrer über die Fehler zu informieren und/oder zu warnen und/oder um einen Vorschlag zum weiteren Betreiben des Fahrzeuges F auszugeben, wie z. B. Aufsuchen einer Werkstatt, Fahren an den Rand und/oder Abbremsen des Fahrzeuges. Außerdem kann die Steuereinheit den Fahrer über die verbleibende Fahrstrecke und/oder über die verbleibende Fahrzeit informieren.
  • Die Steuereinheit zum Durchführen des erfindungsgemäßen Verfahrens kann als eine separate Steuereinheit ausgeführt oder in einer zentralen Steuereinheit des Fahrzeuges F softwaretechnisch und/oder hardwaretechnisch integriert sein. Die Steuereinheit zum Durchführen des erfindungsgemäßen Verfahrens kann zudem eine Steuereinheit für den Bremssystemaufbau 100 und/oder eine Steuereinheit für den Lenksystemaufbau 200 oder eine gemeinsame Steuereinheit für den Bremssystemaufbau 100 und den Lenksystemaufbau 200 umfassen.
  • Der Erfindungsgedanke liegt dabei darin, dass ein Erstfehler F1 in einem Steer-By-Wire-System und/oder Brake-by-Wire-System im Hinblick darauf bewertet wird, ob er für eine möglichst sichere Weiterfahrt des Fahrzeuges F kritisch oder unkritisch ist.
    • • Ein Erstfehler F1 in einem Brake-by-Wire-System und/oder Steer-by-Wire-System ist dann kritisch K, wenn nach einem darauf folgenden Zweitfehler F2 das Fahrzeug F nicht mehr (vom Fahrer und/oder vom Autopiloten) gelenkt werden kann (Erfassung oder Umsetzung der Lenkaufforderung nicht mehr möglich), oder wenn nach einem darauf folgenden Zweitfehler F2 das Fahrzeug F weder vom Fahrer (Erfassung oder Umsetzung der Bremsaufforderung nicht mehr möglich) noch automatisch in den Stillstand verzögert werden kann. Eine Weiterfahrt ist dann nicht mehr möglich.
    • • Ein Erstfehler F1 in einem Brake-by-Wire-System und/oder Steer-by-Wire-System ist dann unkritisch U, wenn nach einem darauf folgenden Zweitfehler F2 das Fahrzeug F weiter (vom Fahrer und/oder vom Autopiloten) gelenkt werden kann (Erfassung und Umsetzung der Lenkaufforderung weiter möglich), und wenn nach diesem Zweitfehler F2 das Fahrzeug F entweder vom Fahrer (Erfassung und Umsetzung der Bremsaufforderung weiter möglich) oder automatisch in den Stillstand verzögert werden kann. Eine Weiterfahrt ist dann zumindest begrenzt möglich.
  • Die 1 zeigt ein Beispiel eines ersten Fehlers F1 (Für eine übersichtliche Darstellung wurden hier die Fehler in dem dritten Lenk- und Bremssystem nicht dargestellt):
    • Nach einem Ausfall der primären Erfassungsvorrichtung BE1, LE1 für eine Bremsaufforderung und/oder eine Lenkaufforderung würde nach einem darauf folgenden Ausfall der sekundären Erfassungsvorrichtung BE2, LE2 für eine Bremsaufforderung und/oder eine Lenkaufforderung die Bremsaufforderung und/oder eine Lenkaufforderung über die dritte Erfassungsvorrichtung BE3, LE4 (z. B. einen dritten Lenkradwinkelsensor und/oder einen Taster der Elektronischen Parkbremse) erfasst werden können. Folglich ist ein Ausfall der primären Erfassungsvorrichtung BE1, LE1 für eine Bremsaufforderung und/oder eine Lenkaufforderung als Erstfehler unkritisch U.
  • Die 1 zeigt ein weiteres Beispiel eines ersten Fehlers F1:
    • Nach einem Ausfall der primären Umsetzungsvorrichtung LU1 für eine Lenkaufforderung würde nach einem darauf folgenden Ausfall der sekundären Umsetzungsvorrichtung LU2 für eine Lenkaufforderung die Lenkaufforderung über radselektive Bremspulse LU3 weiter umgesetzt werden können - vorausgesetzt, dass der Fahrzeugzustand und/oder Straßenzustand dies zulassen - also die Straße z. B. nicht zu glatt und die Fahrzeuggeschwindigkeit V nicht zu niedrig ist. Das Fahrzeug F könnte nach diesem Zweitfehler F2 weiter vom Fahrer gelenkt werden. Folglich ist ein Ausfall der primären Umsetzungsvorrichtung LU1 für eine Lenkaufforderung als Erstfehler F1 dann unkritisch U, wenn Fahrzeugzustand und/oder Straßenzustand ein Lenken über radselektive Bremspulse LU3 zulassen. Andernfalls ist dieser Erstfehler F1 kritisch K. Auch ein Ausfall der sekundären Umsetzungsvorrichtung LU2 für eine Lenkaufforderung kann mit gleicher Logik als unkritisch U oder als kritisch K bewertet werden.
  • Die 1 zeigt ein weiteres Beispiel eines ersten Fehlers F1:
    • Nach einem Ausfall der primären Umsetzungsvorrichtung BU1 für eine Bremsaufforderung würde nach einem darauf folgenden Ausfall der sekundären Umsetzungsvorrichtung BU2 für eine Bremsaufforderung ein automatisches Verzögern in den Stillstand über generatorisches Verzögern BU3 weiter möglich sein - vorausgesetzt, dass der Ladezustand und/oder Temperatur der Hochvolt-Batterie, insbesondere der Traktionsbatterie, dies zulassen - also die Traktionsbatterie z. B. nicht zu vollgeladen und nicht zu kalt ist. Folglich ist ein Ausfall der primären Umsetzungsvorrichtung BU1 für eine Bremsaufforderung als Erstfehler F1 dann unkritisch U, wenn der Ladezustand und/oder Temperatur der Hochvolt-Batterie, insbesondere der Traktionsbatterie, ein generatorisches Verzögern BU3 in den Stillstand zulassen. Andernfalls ist dieser Erstfehler F1 kritisch K. Auch ein Ausfall der sekundären Umsetzungsvorrichtung BU2 für eine Bremsaufforderung kann mit gleicher Logik als unkritisch U oder als kritisch K bewertet werden.
  • Die 1 zeigt ein weiteres Beispiel eines ersten Fehlers F1:
    • Nach einem Ausfall der primären Langzeit-Energieversorgung E1 würde nach einem darauf folgenden Ausfall der sekundären Langzeit-Energieversorgung E2 sowohl die Erfassungsvorrichtung BE1, LE1 und Umsetzungsvorrichtung BU1, LU1 der Aufforderung für die Steuerfunktion (insbesondere umfassend eine Bremsaufforderung und/oder eine Lenkaufforderung), als auch die automatische Verzögerung in den Stillstand mit Hilfe der Kurzzeit-Energieversorgung E3 erfolgen können. Folglich ist ein Ausfall der primären Langzeit-Energieversorgung E1 als Erstfehler F1 unkritisch U. Auch ein Ausfall der sekundären Langzeit-Energieversorgung E2 als Erstfehler F1 kann mit gleicher Logik als unkritisch U bewertet werden.
  • Das Verfahren kann ferner folgende Aktionen/Verfahrensschritte aufweisen:
    • - Überwachen der Steuerfunktion B, L auf Auftreten eines zweiten Fehlers F2 (sog. Zweitfehler),
    • - Erfassen des zweiten Fehlers F2,
    • - Bewerten des zweiten Fehlers F2 im Hinblick auf eine mögliche Weiterfahrt des Fahrzeuges F,
    • - Betreiben des Fahrzeuges F in Abhängigkeit von der Bewertung.
  • Im Folgenden wird definiert, wann ein Zweitfehler in einem Brake-by-Wire-System und/oder Steer-by-Wire-System kritisch K oder unkritisch U ist. In der 2 werden Beispiele für kritische K und unkritische U Zweitfehler beispielsweise veranschaulicht.
    • • Ein zweiter Fehler F2 in einem Brake-by-Wire-System und/oder Steer-by-Wire-System ist dann kritisch K, wenn nach einem darauf folgenden Drittfehler das Fahrzeug F nicht mehr (vom Fahrer und/oder vom Autopiloten) gelenkt werden kann (Erfassung oder Umsetzung der Lenkaufforderung nicht mehr möglich), oder nach Drittfehler das Fahrzeug F entweder vom Fahrer (Erfassung oder Umsetzung der Bremsaufforderung nicht mehr möglich) noch automatisch in den Stillstand verzögert werden kann. Eine Weiterfahrt ist dann nicht mehr möglich.
    • • Ein Zweitfehler F2 in einem Brake-by-Wire-System und/oder Steer-by-Wire-System ist dann unkritisch U, wenn nach einem darauf folgenden Drittfehler das Fahrzeug F weiter (vom Fahrer und/oder vom Autopiloten) gelenkt werden kann (Erfassung oder Umsetzung der Lenkaufforderung möglich), und nach Drittfehler das Fahrzeug entweder vom Fahrer (Erfassung oder Umsetzung der Bremsaufforderung möglich) oder automatisch in den Stillstand verzögert werden kann. Eine Weiterfahrt ist dann begrenzt möglich.
  • Die 2 zeigt ein Beispiel eines zweiten Fehlers F2 (Für eine übersichtliche Darstellung wurden hier die Fehler in dem dritten Lenk- und Bremssystem nicht dargestellt):
    • Nach Ausfall des primären Bremssystems B1 (Ausfall der primären Bremsaufforderungs-Erfassung BE1 oder -Umsetzung BU1, oder der primären Langzeit-Energieversorgung E1) fällt auch das sekundäre Bremssystem B2 aus (Ausfall der sekundären Bremsaufforderungs-Erfassung BE2 oder -Umsetzung BU2, oder der sekundären Langzeit-Energieversorgung E2). Würde jetzt ein Drittfehler in einem anderen System das generatorische Verzögern in den Stillstand unterbinden, dann würde das Fahrzeug F weder vom Fahrer noch automatisch in den Stillstand verzögern können. Folglich ist ein Ausfall des sekundären Bremssystems B2 als Zweitfehler F2 mit einem vorangegangenen Ausfall des primären Bremssystems B1 als Erstfehler F1 kritisch K.
  • Die 2 zeigt ein weiteres Beispiel eines zweiten Fehlers F2:
    • Nach Ausfall des primären Lenksystems L1 (Ausfall der primären Lenkaufforderungs-Erfassung LE1 oder -Umsetzung LU1, oder der primären Langzeit-Energieversorgung E1) fällt auch das sekundäre Lenksystem L2 aus (Ausfall der sekundären Lenkaufforderungs-Erfassung LE2 oder -Umsetzung LU2, oder der sekundären Langzeit-Energieversorgung E2). Würde jetzt ein Drittfehler in einem anderen System das Lenken über Rad selektive Bremspulse unterbinden, dann würde das Fahrzeug F vom Fahrer nicht mehr gelenkt werden können. Folglich ist ein Ausfall des sekundären Lenksystems L2 als Zweitfehler F2 mit einem vorangegangenen Ausfall des primären Lenksystems L1 als Erstfehler F1 kritisch K.
  • Die 2 zeigt ein weiteres Beispiel eines zweiten Fehlers F2:
    • Nach einem Ausfall der primären Lenkaufforderungs-Erfassung LE1 fällt auch die primäre Lenkaufforderungs-Umsetzung LU1 aus. Würde jetzt durch einen Drittfehler auch das sekundäre Lenksystem L2 ausfallen (z. B. Ausfall der sekundären Lenkaufforderungs-Erfassung LE2 oder -Umsetzung LU2, oder der sekundären Langzeit-Energieversorgung E2), dann könnte das Fahrzeug F weiter über radselektive Bremspulse gelenkt werden. Würde dagegen durch einen Drittfehler in einem anderen System das Lenken über radselektive Bremspulse unterbunden werden, dann könnte das Fahrzeug weiter über das sekundäre Lenksystem L2 gelenkt werden. Folglich ist ein Ausfall der primären Lenkaufforderungs-Umsetzung LU1 als Zweitfehler F2 mit einem vorangegangenen Ausfall der primären Lenkaufforderungs-Erfassung LE1 als Erstfehler F1 unkritisch U.
  • Die 2 zeigt ein weiteres Beispiel eines zweiten Fehlers F2:
    • Nach einem Ausfall der primären Bremsaufforderungs-Erfassung BE1 fällt auch die primäre Bremsaufforderungs-Umsetzung BU1 aus. Würde jetzt durch einen Drittfehler auch das sekundäre Bremssystem B2 ausfallen (z. B. Ausfall der sekundären Bremsaufforderungs-Erfassung BE2 oder -Umsetzung BU2, oder der sekundären Langzeit-Energieversorgung E2), dann könnte das Fahrzeug F weiter generatorisch automatisch in den Stillstand verzögert werden. Würde dagegen durch einen Drittfehler in einem anderen System das generatorische Verzögern unterbunden werden, dann könnte das Fahrzeug F weiter über das sekundäre Bremssystem B2 in den Stillstand verzögert werden. Folglich ist ein Ausfall der primären Bremsaufforderungs-Umsetzung BU1 als Zweitfehler F2 mit einem vorangegangenen Ausfall der primären Bremsaufforderungs-Erfassung BE1 als Erstfehler F1 unkritisch U.
  • Die Kritikalität weiterer Kombinationen von Erst- und Zweitfehlern kann nach gleicher Logik bewertet werden. Dabei kann grundsätzlich bestimmt werden, dass ein Erstfehler F1 in einem Steuersystem B1, B2, L1, L2 und ein Zweitfehler F2 in dem gleichen Steuersystem B1, B2, L1, L2 als unkritisch U bewertet werden können. Ein Erstfehler F1 in einem Steuersystem (Bremssystem B1, B2 oder Lenksystem L1, L2) und ein Zweitfehler F2 in einem korrespondierenden Steuersystem (Bremssystem B2, B1 oder Lenksystem L2, L1) der gleichen Steuerfunktion in der Rückfallebene kann grundsätzlich als kritisch K beurteilt werden.
  • Eine Übersicht der möglichen Kombinationen von Erstfehlern F1 und Zweitfehlern F2 in einem Brake-By-Wire-System und/oder einem Steer-by-Wire-System und ihre jeweilige Bewertung als kritisch K oder unkritisch U zeigt die Tabelle in der 2. Die Tabelle kann in ihren Zeilen und Spalten um ein generatorisches Verzögern BU3 sowie Lenken über Rad selektive Bremspulse LU3, eine dritte Erfassungsvorrichtung BE3 für eine Bremsaufforderung und eine dritte Erfassungsvorrichtung LE3 für eine Lenkaufforderung sinngemäß ergänzt werden. Aus Gründen der Übersichtlichkeit wird bei der 2 darauf verzichtet.
  • Vorteilhafterweise kann beim Bewerten des ersten Fehlers F1 und/oder des zweiten Fehlers F2 mindestens einer der folgenden Parameter berücksichtigt wird:
    • - mindestens ein Betriebsparameter BP des Fahrzeuges F, umfassend insbesondere Geschwindigkeit, Beladungszustand, usw.,
    • - mindestens ein Betriebsparameter SOC, T einer Batterie, insbesondere einer Hochvolt-Batterie, vorzugsweise einer Traktionsbatterie des Fahrzeuges F, umfassend insbesondere Ladezustand SOC, Temperatur T, usw., und/oder
    • - mindestens ein Umgebungsparameter UP, umfassend insbesondere Straßenzustand, Reibwert, Temperatur, Luftfeuchte, usw.
  • Die 3 zeigt schematisch ein mögliches Betreiben des Fahrzeuges F nach einem kritischen K Erstfehler F1 mithilfe einer Funktion einer Geschwindigkeit V des Fahrzeuges F in Abhängigkeit von der Zeit t. Dabei kann mindestens eine von den folgenden Aktionen beim Betreiben des Fahrzeuges F durchgeführt werden, insbesondere in der vorgegebener Reihenfolge:
    • - Ausgeben einer zweiten Warnung W2 an einen Benutzer des Fahrzeuges F mit einer Aufforderung zum Handeln, wie z. B. zum Anhalten des Fahrzeuges F,
    • - Anzeigen einer verbleibenden Fahrstrecke und einer verbleibenden Fahrzeit an einen Benutzer des Fahrzeuges F,
    • - Setzen eines Timers (ung. 1 min) zum Umsetzen der Aufforderung durch den Benutzer des Fahrzeuges F gemäß der zweiten Warnung W2,
    • - automatisches Verzögern (insbesondere moderates Verzögern, vorzugsweise über ein generatorisches Verzögern des Fahrzeuges F, mit einer Beschleunigung a von ung. 1 bis 2 m/s2) und/oder Abbremsen des Fahrzeuges F, insbesondere bis in den Stillstand, wenn nach Ablauf des Timers t1 die Aufforderung gemäß der zweiten Warnung W2 durch den Benutzer des Fahrzeuges F nicht umgesetzt wurde.
  • Die 4 zeigt schematisch ein mögliches Betreiben des Fahrzeuges F nach einem Auftreten von einem unkritischen U ersten Fehler F1 mithilfe einer Funktion einer Geschwindigkeit V des Fahrzeuges F in Abhängigkeit von der Zeit t. Dabei kann mindestens eine von den folgenden Aktionen beim Betreiben des Fahrzeuges F durchgeführt werden, insbesondere in der vorgegebener Reihenfolge:
    • - Ausgeben einer ersten Warnung W1 an einen Benutzer des Fahrzeuges F mit einer Empfehlung zum Handeln, wie z. B zum Aufsuchen einer Werkstatt,
    • - automatisches Verzögern (insbesondere moderates Verzögern, vorzugsweise über ein generatorisches Verzögern des Fahrzeuges F, mit einer Beschleunigung a von ung. 1 bis 2 m/s2) und/oder Abbremsen des Fahrzeuges F, insbesondere auf eine begrenzte Geschwindigkeit V1, vorzugsweise nachdem der unkritische K erster Fehler F1 erfasst wurde,
    • - Betreiben des Fahrzeuges F in einem begrenzten Betriebsmodus V1, T1, S1, insbesondere mit einer begrenzten Geschwindigkeit V1, bspw. 130 km/h, vorzugsweise für eine begrenzte Zeit T1, bspw. 40 min, und/oder eine begrenzte Strecke S1, bspw. 25 km,
    • - Ausgeben einer zweiten Warnung W2 an einen Benutzer des Fahrzeuges F mit einer Aufforderung zum Handeln, insbesondere zum Anhalten des Fahrzeuges F, vorzugsweise kurz vor dem Erreichen eines Zeitlimits (gemeint ist die begrenzte Zeit T1) und/oder eines Streckenlimits (gemeint ist die eine begrenzte Strecke S1),
    • - Anzeigen einer verbleibenden Fahrstrecke und einer verbleibenden Fahrzeit an einen Benutzer des Fahrzeuges F,
    • - Setzen eines Timers t1 zum Umsetzen der Aufforderung durch den Benutzer des Fahrzeuges F gemäß der zweiten Warnung W2, und/oder
    • - automatisches Verzögern (insbesondere moderates Verzögern, vorzugsweise über ein generatorisches Verzögern des Fahrzeuges F, mit einer Beschleunigung a von ung. 1 bis 2 m/s2) und/oder Abbremsen des Fahrzeuges F, insbesondere bis in den Stillstand, wenn nach Ablauf der begrenzten Zeit T1 und/oder der begrenzten Strecke S1 der erfasste erste Fehler F1 nicht behoben wurde.
  • Wie es die 5 weiterhin andeutet, kann das Verfahren ferner aufweisen, insbesondere in der vorgegebener Reihenfolge:
    • - Überwachen des erfassten unkritischen U ersten Fehlers F1 auf Umwandeln in einen kritischen K ersten Fehler F1,
    • - Erfassen einer Umwandlung des erfassten unkritischen U ersten Fehlers F1 in einen kritischen K ersten Fehler F1,
    • - Ausgeben einer zweiten Warnung W2 an einen Benutzer des Fahrzeuges F mit einer Aufforderung zum Handeln, insbesondere zum Anhalten des Fahrzeuges F,
    • - Anzeigen einer verbleibenden Fahrstrecke und einer verbleibenden Fahrzeit an einen Benutzer des Fahrzeuges F,
    • - Setzen eines Timers t1 (ung. 1 min) zum Umsetzen der Aufforderung durch den Benutzer des Fahrzeuges F gemäß der zweiten Warnung W2,
    • - automatisches Verzögern (insbesondere moderates Verzögern, vorzugsweise über ein generatorisches Verzögern des Fahrzeuges F, mit einer Beschleunigung a von ung. 1 bis 2 m/s2) und/oder Abbremsen des Fahrzeuges F, insbesondere bis in den Stillstand, wenn nach Ablauf des Timers t1 die Aufforderung gemäß der zweiten Warnung W2 durch den Benutzer des Fahrzeuges F nicht umgesetzt wurde.
  • Wie viel Zeit t oder Strecke dem Fahrer noch zur Verfügung steht, bis das Fahrzeug F automatisch bzw. zwangsweise verzögert, insbesondere bis in den Stillstand, kann dem Fahrer mithilfe einer Fahrer-Fahrzeug-Schnittstelle HMI, bspw. eines Kombiinstruments, angezeigt werden. Die Anzeige kann z. B. textuell über Zahlenwerte und/oder graphisch über ein Balken- oder Kreisdiagramme erfolgen. Ein Beispiel für ein Balkendiagramm mit Zahlenwerten zeigt die 6.
  • Die 7 zeigt schematisch ein mögliches Betreiben des Fahrzeuges F nach einem Auftreten von einem unkritischen U ersten Fehler F1 und einem kritischen K zweiten Fehler F2 mithilfe einer Funktion einer Geschwindigkeit V des Fahrzeuges F in Abhängigkeit von der Zeit t. Dabei kann mindestens eine von den folgenden Aktionen beim Betreiben des Fahrzeuges F durchgeführt werden, insbesondere in der vorgegebenen Reihenfolge:
    • - Ausgeben einer zweiten Warnung W2 an einen Benutzer des Fahrzeuges F mit einer Aufforderung zum Handeln, insbesondere zum Anhalten des Fahrzeuges F,
    • - Anzeigen einer verbleibenden Fahrstrecke und einer verbleibenden Fahrzeit an einen Benutzer des Fahrzeuges F,
    • - Setzen eines Timers t1 (ung. 1 min) zum Umsetzen der Aufforderung durch den Benutzer des Fahrzeuges F gemäß der zweiten Warnung W2,
    • - automatisches Verzögern (insbesondere moderates Verzögern, vorzugsweise über ein generatorisches Verzögern des Fahrzeuges F, mit einer Beschleunigung a von ung. 1 bis 2 m/s2) und/oder Abbremsen des Fahrzeuges F, insbesondere bis in den Stillstand, wenn nach Ablauf des Timers t1 die Aufforderung gemäß der zweiten Warnung W2 durch den Benutzer des Fahrzeuges F nicht umgesetzt wurde.
  • Die 7 zeigt schematisch ein mögliches Betreiben des Fahrzeuges F nach einem Auftreten von einem unkritischen U ersten Fehler F1 und einem unkritischen U zweiten Fehler F2 mithilfe einer Funktion einer Geschwindigkeit V des Fahrzeuges F in Abhängigkeit von der Zeit t. Dabei kann mindestens eine von den folgenden Aktionen beim Betreiben des Fahrzeuges F durchgeführt werden, insbesondere in der vorgegebener Reihenfolge:
    • - erneutes Ausgeben einer ersten Warnung W1 an einen Benutzer des Fahrzeuges F mit einer Empfehlung zum Handeln, insbesondere zum Aufsuchen einer Werkstatt,
    • - Betreiben des Fahrzeuges F in einem begrenzten Betriebsmodus V1, T1, S1, insbesondere mit einer begrenzten Geschwindigkeit V1, bspw. 130 km/h, vorzugsweise für eine begrenzte Zeit T1, bspw. 40 min, und/oder eine begrenzte Strecke S1, bspw. 25 km, bevorzugt gemessen seit dem Erfassen des unkritischen U ersten Fehlers F1, und/oder
    • - automatisches Verzögern (insbesondere moderates Verzögern, vorzugsweise über ein generatorisches Verzögern des Fahrzeuges F, mit einer Beschleunigung a von ung. 1 bis 2 m/s2) und/oder Abbremsen des Fahrzeuges F, insbesondere bis in den Stillstand, wenn nach Ablauf der begrenzten Zeit T1 und/oder der begrenzten Strecke S1 der erfasste erste Fehler F1 und der zweite Fehler F2 nicht behoben wurden.
  • Die voranstehende Beschreibung der Figuren beschreibt die vorliegende Erfindung ausschließlich im Rahmen von Beispielen. Selbstverständlich können einzelne Merkmale der Ausführungsformen, sofern es technisch sinnvoll ist, frei miteinander kombiniert werden, ohne den Rahmen der Erfindung zu verlassen.
  • Bezugszeichenliste
    • F
    Fahrzeug
    F1
    erster Fehler, Erstfehler
    F2
    zweiter Fehler, Zweitfehler
    U
    unkritisch
    K
    kritisch
    100
    Bremssystemaufbau
    B
    Bremsfunktion
    B1
    erstes Bremssystem
    BE1
    erste Erfassungsvorrichtung
    BU1
    erste Umsetzungsvorrichtung
    B2
    zweites Bremssystem
    BE2
    zweite Erfassungsvorrichtung
    BU2
    zweite Umsetzungsvorrichtung
    B3
    drittes Bremssystem
    BE3
    dritte Erfassungsvorrichtung
    BU3
    dritte Umsetzungsvorrichtung, generatorisches Verzögern
    200
    Lenksystemaufbau
    L
    Lenkfunktion
    L1
    erstes Lenksystem
    LE1
    erste Erfassungsvorrichtung
    LU1
    erste Umsetzungsvorrichtung
    L2
    zweites Lenksystem
    LE2
    zweite Erfassungsvorrichtung
    LU2
    zweite Umsetzungsvorrichtung
    L3
    drittes Lenksystem
    LE3
    dritte Erfassungsvorrichtung
    LU3
    dritte Umsetzungsvorrichtung, radselektives Abbremsen
    E
    elektrische Energie
    E1
    erste Energieversorgung
    E2
    zweite Energieversorgung
    E3
    dritte Energieversorgung
    HMI
    Fahrer-Fahrzeug-Schnittstelle
    BP
    Betriebsparameter
    UP
    Umgebungsparameter
    SOC, T
    Betriebsparameter
    SOC
    Ladezustand
    T
    Temperatur
    V
    Geschwindigkeit
    a
    Beschleunigung
    t
    Zeit
    t1
    Timer
    V1, T1, S1
    begrenzter Betriebsmodus
    S1
    begrenzte Strecke
    T1
    begrenzte Zeit
    V1
    begrenzte Geschwindigkeit
    W1
    erste Warnung
    W2
    zweite Warnung

Claims (13)

  1. Verfahren zum Betreiben eines Fahrzeuges (F) beim Bereitstellen mindestens einer Steuerfunktion (B, L), insbesondere einer Bremsfunktion (B) und/oder einer Lenkfunktion (L), während einer Fahrt des Fahrzeuges (F), wobei die Steuerfunktion (B, L) eine primäre Ebene (B1, L1), eine sekundäre Ebene (B2, L2) zum Bereitstellen mindestens einer ersten Rückfallebene für die Steuerfunktion (B, L) und/oder eine dritte Ebene (B3, L3) zum Bereitstellen einer zweiten Rückfallebene für die Steuerfunktion (B, L) aufweist, das Verfahren aufweisend: - Überwachen der Steuerfunktion (B, L) auf Auftreten eines ersten Fehlers (F1), - Erfassen des ersten Fehlers (F1), - Bewerten des ersten Fehlers (F1) unter der Annahme, dass auf den ersten Fehler (F1) ein zweiter Fehler (F2) folgen wird, im Hinblick auf eine mögliche Weiterfahrt des Fahrzeuges (F), - Betreiben des Fahrzeuges (F) in Abhängigkeit von der Bewertung.
  2. Verfahren nach Anspruch 1, wobei der erste Fehler (F1) als kritisch (K) bewertet wird, wenn nach einem darauffolgenden zweiten Fehler (F2) die Weiterfahrt des Fahrzeuges (F) nicht mehr möglich ist, insbesondere wenn das Fahrzeug (F) nicht mehr gesteuert, insbesondere nicht mehr gebremst und/oder gelenkt, werden kann, oder wobei der erste Fehler (F1) als unkritisch (U) bewertet wird, wenn nach einem darauffolgenden zweiten Fehler (F2) die Weiterfahrt des Fahrzeuges (F) weiterhin möglich ist, insbesondere mithilfe mindestens einer Ebene (B1, L1; B2, L2; B3, L3) zum Bereitstellen der Steuerfunktion (B, L).
  3. Verfahren nach einem der vorhergehenden Ansprüche, wobei das Verfahren ferner aufweist: - Überwachen der Steuerfunktion (B, L) auf Auftreten eines zweiten Fehlers (F2), - Erfassen des zweiten Fehlers (F2), - Bewerten des zweiten Fehlers (F2) im Hinblick auf eine mögliche Weiterfahrt des Fahrzeuges (F), - Betreiben des Fahrzeuges (F) in Abhängigkeit von der Bewertung.
  4. Verfahren nach dem vorhergehenden Anspruch, wobei der zweite Fehler (F2) als kritisch (K) bewertet wird, wenn nach einem darauffolgenden Drittfehler die Weiterfahrt des Fahrzeuges (F) nicht mehr möglich ist, insbesondere wenn das Fahrzeug (F) nicht mehr gesteuert, insbesondere nicht mehr gebremst und/oder gelenkt werden kann, oder wobei der zweite Fehler (F2) als unkritisch (U) bewertet wird, wenn nach einem darauffolgenden Drittfehler die Weiterfahrt des Fahrzeuges (F) weiterhin möglich ist, insbesondere mithilfe mindestens einer Ebene (B1, L1; B2, L2; B3, L3) zum Bereitstellen der Steuerfunktion (B, L).
  5. Verfahren nach einem der vorhergehenden Ansprüche, wobei beim Bewerten des ersten Fehlers (F1) und/oder des zweiten Fehlers (F2) mindestens einer der folgenden Parameter berücksichtigt wird: - mindestens ein Betriebsparameter (BP) des Fahrzeuges (F), umfassend insbesondere Geschwindigkeit, Beladungszustand, usw., - mindestens ein Betriebsparameter (SOC, T) einer Batterie, insbesondere einer Hochvolt-Batterie, vorzugsweise einer Traktionsbatterie, des Fahrzeuges (F), umfassend insbesondere Ladezustand (SOC), Temperatur (T), usw., und/oder - mindestens ein Umgebungsparameter (UP), umfassend insbesondere Straßenzustand, Reibwert, Temperatur, Luftfeuchte, usw.
  6. Verfahren nach einem der vorhergehenden Ansprüche, wobei nach einem Auftreten von einem kritischen (K) ersten Fehler (F1) mindestens eine von den folgenden Aktionen beim Betreiben des Fahrzeuges (F) durchgeführt wird: - Ausgeben einer zweiten Warnung (W2) an einen Benutzer des Fahrzeuges (F) mit einer Aufforderung zum Handeln, insbesondere zum Anhalten des Fahrzeuges (F), - Anzeigen einer verbleibenden Fahrstrecke und einer verbleibenden Fahrzeit an einen Benutzer des Fahrzeuges (F), - Setzen eines Timers (t1) zum Umsetzen der Aufforderung durch den Benutzer des Fahrzeuges (F) gemäß der zweiten Warnung (W2), - automatisches Verzögern und/oder Abbremsen des Fahrzeuges (F), insbesondere bis in den Stillstand, wenn nach Ablauf des Timers (t1) die Aufforderung gemäß der zweiten Warnung (W2) durch den Benutzer des Fahrzeuges (F) nicht umgesetzt wurde.
  7. Verfahren nach einem der vorhergehenden Ansprüche, wobei nach einem Auftreten von einem unkritischen (U) ersten Fehler (F1) mindestens eine von den folgenden Aktionen beim Betreiben des Fahrzeuges (F) durchgeführt wird: - Ausgeben einer ersten Warnung (W1) an einen Benutzer des Fahrzeuges (F) mit einer Empfehlung zum Handeln, insbesondere zum Aufsuchen einer Werkstatt, - automatisches Verzögern und/oder Abbremsen des Fahrzeuges (F), insbesondere auf eine begrenzte Geschwindigkeit (V1), vorzugsweise nachdem der unkritische (K) erster Fehler (F1) erfasst wurde, - Betreiben des Fahrzeuges (F) in einem begrenzten Betriebsmodus (V1, T1, S1), insbesondere mit einer begrenzten Geschwindigkeit (V1), bspw. 130 km/h, vorzugsweise für eine begrenzte Zeit (T1), bspw. 40 min, und/oder eine begrenzte Strecke (S1), bspw. 25 km, - Ausgeben einer zweiten Warnung (W2) an einen Benutzer des Fahrzeuges (F) mit einer Aufforderung zum Handeln, insbesondere zum Anhalten des Fahrzeuges (F), - Anzeigen einer verbleibenden Fahrstrecke und einer verbleibenden Fahrzeit an einen Benutzer des Fahrzeuges (F), - Setzen eines Timers (t1) zum Umsetzen der Aufforderung durch den Benutzer des Fahrzeuges (F) gemäß der zweiten Warnung (W2), und/oder - automatisches Verzögern und/oder Abbremsen des Fahrzeuges (F), insbesondere bis in den Stillstand, wenn nach Ablauf der begrenzten Zeit (T1) und/oder der begrenzten Strecke (S1) der erfasste erste Fehler (F1) nicht behoben wurde.
  8. Verfahren nach dem vorhergehenden Anspruch, wobei das Verfahren ferner aufweist: - Überwachen des erfassten unkritischen (U) ersten Fehlers (F1) auf Umwandeln in einen kritischen (K) ersten Fehler (F1), - Erfassen einer Umwandlung des erfassten unkritischen (U) ersten Fehlers (F1) in einen kritischen (K) ersten Fehler (F1), - Ausgeben einer zweiten Warnung (W2) an einen Benutzer des Fahrzeuges (F) mit einer Aufforderung zum Handeln, insbesondere zum Anhalten des Fahrzeuges (F), - Anzeigen einer verbleibenden Fahrstrecke und einer verbleibenden Fahrzeit an einen Benutzer des Fahrzeuges (F), - Setzen eines Timers (t1) zum Umsetzen der Aufforderung durch den Benutzer des Fahrzeuges (F) gemäß der zweiten Warnung (W2), - automatisches Verzögern und/oder Abbremsen des Fahrzeuges (F), insbesondere bis in den Stillstand, wenn nach Ablauf des Timers (t1) die Aufforderung gemäß der zweiten Warnung (W2) durch den Benutzer des Fahrzeuges (F) nicht umgesetzt wurde.
  9. Verfahren nach einem der vorhergehenden Ansprüche, wobei nach einem Auftreten von einem unkritischen (U) ersten Fehler (F1) und einem kritischen (K) zweiten Fehler (F2) mindestens eine von den folgenden Aktionen beim Betreiben des Fahrzeuges (F) durchgeführt wird: - Ausgeben einer zweiten Warnung (W2) an einen Benutzer des Fahrzeuges (F) mit einer Aufforderung zum Handeln, insbesondere zum Anhalten des Fahrzeuges (F), - Anzeigen einer verbleibenden Fahrstrecke und einer verbleibenden Fahrzeit an einen Benutzer des Fahrzeuges (F), - Setzen eines Timers (t1) zum Umsetzen der Aufforderung durch den Benutzer des Fahrzeuges (F) gemäß der zweiten Warnung (W2), - automatisches Verzögern und/oder Abbremsen des Fahrzeuges (F), insbesondere bis in den Stillstand, wenn nach Ablauf des Timers (t1) die Aufforderung gemäß der zweiten Warnung (W2) durch den Benutzer des Fahrzeuges (F) nicht umgesetzt wurde.
  10. Verfahren nach einem der vorhergehenden Ansprüche, wobei nach einem Auftreten von einem unkritischen (U) ersten Fehler (F1) und einem unkritischen (U) zweiten Fehler (F2) mindestens eine von den folgenden Aktionen beim Betreiben des Fahrzeuges (F) durchgeführt wird: - erneutes Ausgeben einer ersten Warnung (W1) an einen Benutzer des Fahrzeuges (F) mit einer Empfehlung zum Handeln, insbesondere zum Aufsuchen einer Werkstatt, - Betreiben des Fahrzeuges (F) in einem begrenzten Betriebsmodus (V1, T1, S1), insbesondere mit einer begrenzten Geschwindigkeit (V1), bspw. 130 km/h, vorzugsweise für eine begrenzte Zeit (T1), bspw. 40 min, und/oder eine begrenzte Strecke (S1), bspw. 25 km, bevorzugt gemessen seit dem Erfassen des unkritischen (U) ersten Fehlers (F1), und/oder - automatisches Verzögern und/oder Abbremsen des Fahrzeuges (F), insbesondere bis in den Stillstand, wenn nach Ablauf der begrenzten Zeit (T1) und/oder der begrenzten Strecke (S1) der erfasste erste Fehler (F1) und der zweite Fehler (F2) nicht behoben wurden.
  11. Computerprogrammprodukt, umfassend Befehle, die bei der Ausführung des Computerprogrammprodukts durch einen Computer diesen veranlassen, ein Verfahren nach einem der vorhergehenden Ansprüche durchzuführen.
  12. Steuereinheit, aufweisend eine Recheneinheit und eine Speichereinheit, in welcher ein Code hinterlegt ist, welcher bei zumindest teilweiser Ausführung durch die Recheneinheit ein Verfahren nach einem der vorhergehenden Ansprüche durchführt.
  13. Fahrzeug (F), aufweisend eine Steuereinheit nach dem vorhergehenden Anspruch.
DE102022103798.3A 2022-02-17 2022-02-17 Verfahren zum Betreiben eines Fahrzeuges Active DE102022103798B4 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102022103798.3A DE102022103798B4 (de) 2022-02-17 2022-02-17 Verfahren zum Betreiben eines Fahrzeuges

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102022103798.3A DE102022103798B4 (de) 2022-02-17 2022-02-17 Verfahren zum Betreiben eines Fahrzeuges

Publications (2)

Publication Number Publication Date
DE102022103798A1 true DE102022103798A1 (de) 2023-08-17
DE102022103798B4 DE102022103798B4 (de) 2024-01-18

Family

ID=87430910

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102022103798.3A Active DE102022103798B4 (de) 2022-02-17 2022-02-17 Verfahren zum Betreiben eines Fahrzeuges

Country Status (1)

Country Link
DE (1) DE102022103798B4 (de)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1999039955A1 (de) 1998-02-07 1999-08-12 Continental Teves Ag & Co. Ohg Verfahren zur behandlung von fehlern in einem elektronischen bremssystem und zugehörige vorrichtung
DE102014211896A1 (de) 2014-06-20 2015-12-24 Robert Bosch Gmbh Verfahren zur Überwachung einer Fahrzeugsteuerung
DE102015215079A1 (de) 2015-08-06 2017-02-09 Zf Friedrichshafen Ag Übernahmewarnung bei autonom gesteuertem Kraftfahrzeug
DE102020204529A1 (de) 2020-04-08 2021-10-14 Robert Bosch Gesellschaft mit beschränkter Haftung Systemeinheit mit einem ersten Aktorsystem und einem zweiten Aktorsystem

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1999039955A1 (de) 1998-02-07 1999-08-12 Continental Teves Ag & Co. Ohg Verfahren zur behandlung von fehlern in einem elektronischen bremssystem und zugehörige vorrichtung
DE102014211896A1 (de) 2014-06-20 2015-12-24 Robert Bosch Gmbh Verfahren zur Überwachung einer Fahrzeugsteuerung
DE102015215079A1 (de) 2015-08-06 2017-02-09 Zf Friedrichshafen Ag Übernahmewarnung bei autonom gesteuertem Kraftfahrzeug
DE102020204529A1 (de) 2020-04-08 2021-10-14 Robert Bosch Gesellschaft mit beschränkter Haftung Systemeinheit mit einem ersten Aktorsystem und einem zweiten Aktorsystem

Also Published As

Publication number Publication date
DE102022103798B4 (de) 2024-01-18

Similar Documents

Publication Publication Date Title
EP3562719B1 (de) Kraftfahrzeug-steuergerät für eine elektrische parkbremse
EP3584140B1 (de) Verfahren und vorrichtung für die steuerung eines sicherheitsrelevanten vorganges, sowie fahrzeug
EP2038150B1 (de) Feststellbremsanlage für kraftfahrzeuge
EP0780276B1 (de) Bremsanlage für ein Kraftfahrzeug
EP1541437B2 (de) Elektronisches Bremssystem für ein Fahrzeug
EP1032517B1 (de) Elektromechanisches bremssystem
EP2160310A1 (de) Kombinierte bremsanlage, insbesondere für kraftfahrzeuge
WO1999026822A1 (de) Elektromechanisches bremssystem
WO2005082694A1 (de) Redundantes bremssteuerungssystem für ein fahrzeug
WO2014180551A1 (de) Verfahren zum betrieb eines bremssystems beim vollautomatischen fahren und kraftfahrzeug
DE19853036A1 (de) Elektromechanisches Bremssystem
DE102020107548A1 (de) Kraftfahrzeug und Verfahren zum Betreiben eines Kraftfahrzeugs
DE102018130815A1 (de) Fahrassistenzsystem für ein Fahrzeug mit einem Sicherheitspfad für eine autonome Fahrt sowie Verfahren
DE102004009466A1 (de) Bremssteuerungssystem für ein Fahrzeug
DE102022103798B4 (de) Verfahren zum Betreiben eines Fahrzeuges
DE102022102339B4 (de) System und verfahren zum präventiven bereitstellen eines bremssystems
EP3511226A1 (de) Elektrisches antriebssystem und verfahren zum betreiben eines elektrischen antriebssystems
DE102021133270A1 (de) Differenzialbremsen zum erhöhen einer lateralen ausweichmanöverfähigkeit
DE102022103806A1 (de) Bremssystemaufbau und Fahrzeug mit einem Bremssystemaufbau
WO2023156582A1 (de) Lenksystemaufbau und fahrzeug mit einem lenksystemaufbau
DE102022103802A1 (de) Verfahren zum Betreiben eines Fahrzeuges
DE102004058996A1 (de) Verfahren und Fahrfunktionssystem zum Überführen von sicherheitsrelevanten Fahrfunktionen eines Fahrzeugs in den sicheren Zustand
DE102019122903A1 (de) Feedback-Aktuator
DE102021209799A1 (de) Steuerungssystem für eine elektromechanische Aktivierung einer Bremswirkung bei einem Fahrzeug, Fahrzeug, Verfahren sowie Computerprogrammprodukt
WO2023208376A1 (de) Elektromechanisches bremssystem und fahrzeug, insbesondere nutzfahrzeug

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R016 Response to examination communication
R018 Grant decision by examination section/examining division