DE102023201823A1 - Vorrichtung und Verfahren zur Energieversorgung eines sicherheitsrelevanten Verbrauchers in einem Kraftfahrzeug - Google Patents

Vorrichtung und Verfahren zur Energieversorgung eines sicherheitsrelevanten Verbrauchers in einem Kraftfahrzeug Download PDF

Info

Publication number
DE102023201823A1
DE102023201823A1 DE102023201823.3A DE102023201823A DE102023201823A1 DE 102023201823 A1 DE102023201823 A1 DE 102023201823A1 DE 102023201823 A DE102023201823 A DE 102023201823A DE 102023201823 A1 DE102023201823 A1 DE 102023201823A1
Authority
DE
Germany
Prior art keywords
microcontroller
switch unit
computing core
safety
monitoring
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102023201823.3A
Other languages
English (en)
Inventor
Sebastian Kloeppel
Martin Antoni
Uwe Zimmermann
Tobias Olaf Theis
Habib Momo Kamdem Kouam
Markus Wörz
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE102023201823.3A priority Critical patent/DE102023201823A1/de
Priority to PCT/EP2023/084857 priority patent/WO2024179706A1/de
Publication of DE102023201823A1 publication Critical patent/DE102023201823A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/03Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for supply of electrical power to vehicle subsystems or for
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01RMEASURING ELECTRIC VARIABLES; MEASURING MAGNETIC VARIABLES
    • G01R31/00Arrangements for testing electric properties; Arrangements for locating electric faults; Arrangements for electrical testing characterised by what is being tested not provided for elsewhere
    • G01R31/005Testing of electric installations on transport means
    • G01R31/006Testing of electric installations on transport means on road vehicles, e.g. automobiles or trucks
    • G01R31/007Testing of electric installations on transport means on road vehicles, e.g. automobiles or trucks using microprocessors or computers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Chemical & Material Sciences (AREA)
  • Combustion & Propulsion (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mechanical Engineering (AREA)
  • Emergency Protection Circuit Devices (AREA)
  • Control Of Electric Motors In General (AREA)

Abstract

Die Erfindung betrifft eine Vorrichtung und ein Verfahren zur Energieversorgung eines sicherheitsrelevanten Verbrauchers (16) in einem Kraftfahrzeug, umfassend zumindest eine Schaltereinheit (15, 19), über die zumindest ein sicherheitsrelevanter Verbraucher (16) mit Energie eines Teilbordnetzes (10, 11) versorgt werden kann, weiter umfassend zumindest einen Mikrocontroller (21), der der Ansteuerung der Schaltereinheit (15,19) dient, umfassend zumindest ein Erfassungsmittel (30), insbesondere einen AD-Wandler (30), zur Erfassung zumindest einer elektrischen Kenngröße (I1, I2; U), mit der die Schaltereinheit (15,19) beaufschlagt ist, wobei die erfasste Kenngröße (I1, I2, U) dem Mikrocontroller (21) bereitgestellt ist, wobei der Mikrocontroller (21) zumindest einen Rechenkern (38) umfasst, auf dem zumindest ein Anwendungsprogramm (34, 36, 42, 44) ablaufen kann zur Ansteuerung der Schaltereinheit (15, 19), wobei der Mikrocontroller (21) zumindest ein Modul (32) mit zumindest einem weiteren Rechenkern (33) aufweist, das zur Überwachung der Kenngröße (I1, I2, U) beiträgt.

Description

  • Die Erfindung betrifft eine Vorrichtung und Verfahren zur Energieversorgung eines sicherheitsrelevanten Verbrauchers in einem Kraftfahrzeug nach der Gattung der unabhängigen Ansprüche.
  • Stand der Technik
  • Aus der DE 102018201546 A1 ist eine Vorrichtung zur Absicherung zumindest eines Verbrauchers bekannt. Ein Controller löst einen Auslöseprozess ein, wodurch die elektronische Sicherung in Form eines Schaltmittels auslöst und den Laststrom zum korrespondierenden Verbraucher abschaltet, wenn das vorgegebene Abschaltekriterium erfüllt ist. Der Controller ist dazu eingerichtet, dass er Lastströme mehrerer elektronischer Sicherungen bzw. Schaltmittel zu den verschiedenen Verbrauchern erfassen und auswerten kann.
  • Der Erfindung liegt die Aufgabe zugrunde, eine Vorrichtung und ein Verfahren anzugeben, die die Zuverlässigkeit der Überwachung einer Energieversorgung insbesondere für einen sicherheitsrelevanten Verbraucher bei einfachem Aufbau weiter erhöhen. Die Aufgabe wird gelöst durch die Merkmale der unabhängigen Ansprüche.
  • Offenbarung der Erfindung
  • Dadurch, dass das Modul mit dem zumindest einen weiteren Rechenkern zur Überwachung der Schaltereinheit beiträgt, kann der Hauptrechenkern, der der Ansteuerung der Schaltereinheit im regulären Betrieb dient, insbesondere für zeitkritische Anwendungen entlastet werden. Zum anderen kann insbesondere eine schnelle Abschaltung der Schaltereinheit bei Gefährdung wie Überstrom etc. mittels Software erreicht werden, ohne dass auf aufwendige und platzintensive Hardwareschaltungen zur Überwachung zurückzugreifen wäre. Dadurch kann die Anzahl der Hardwarekomponenten verringert werden. Die Verwendung des Moduls bzw. weiteren Rechnerkerns eignet sich insbesondere für solche Mikrocontroller, bei denen solche Architekturen ohnehin beispielsweise aufgrund von sicherheitsrelevanten Anwendungen vorzusehen sind. Diese Komponenten können für eine schnelle softwarebasierte Überwachung der relevanten Schalterkenngrößen und Einleitung schneller Gegenmaßnahmen eingesetzt werden.
  • In einer zweckmäßigen Weiterbildung ist vorgesehen, dass das Modul zumindest ein Triggersignal generiert, das eine Erfassung der Kenngröße durch das Erfassungsmittel initiiert. Damit kann eine schnelle Erfassung der zu überwachenden Kenngrößen sichergestellt werden, ohne dass der Hauptrechenkern im Mikrocontroller dadurch belastet wird. Besonders zweckmäßig ist das Modul dazu eingerichtet, das Triggersignal mit einer Zykluszeit innerhalb einer Größenordnung zwischen 5 µs und 100 µs zu erzeugen. Damit lassen sich besonders schnelle Abschaltungszeiten der Schalteinheit realisieren, was die Sicherheit vor Beeinträchtigungen der Schaltereinheit kritischen Betriebszustände weiter erhöht.
  • In einer zweckmäßigen Weiterbildung erfolgt ein Vergleich der in Verbindung mit dem Triggersignal erfassten Kenngröße mit einem Grenzwert durch den weiteren Rechenkern und/oder durch das Erfassungsmittel, insbesondere durch eine Hardware in einem AD-Wandler. Je nach Anwendungsfall stehen geeignete Optionen zum Vergleich der Kenngröße zur Verfügung. Je nach Erfassungsmittel ist bereits ohnehin eine entsprechende Funktionalität vorgesehen, die somit entsprechend einfach genutzt werden kann.
  • In einer zweckmäßigen Weiterbildung erfolgt eine Überwachung der Kenngröße der Schaltereinheit sowohl unter Verwendung eines Mikrocontrollers wie mittels einer Hardwareschaltung. Dadurch lassen sich besonders hohe Sicherheitsanforderungen hinsichtlich der Überwachung erfüllen.
  • Weitere zweckmäßige Weiterbildungen ergeben sich aus weiteren abhängigen Ansprüchen und aus der Beschreibung.
  • Kurze Beschreibung der Zeichnung
  • Es zeigen
    • die 1 beispielhaft ein Ausführungsbeispiel des Leistungsverteilers, der zwei Teilbordnetze miteinander verbindet,
    • 2 ein Blockschaltbild einer Überwachung einer Energieversorgung für einen sicherheitsrelevanten Verbraucher,
    • 3 ein Blockschaltbild einer kombinierten Überwachung der Schaltereinheit mittels Hardware und dem Mikrocontroller,
    • 4 ein Blockschaltbild einer alternativen kombinierten Überwachung der Schalteinheit für einen sicherheitsrelevanten Verbraucher.
  • Ausführungsform der Erfindung
  • Die Erfindung ist anhand eines Ausführungsbeispiels schematisch dargestellt und wird nachfolgend unter Bezugnahme auf die Zeichnung ausführlich beschrieben.
  • Die 1 zeigt eine mögliche Topologie eines Energieversorgungssystems, bestehend aus einem Bordnetz 13, welches einen Energiespeicher 12, insbesondere eine Batterie 12 mit zugehörigem Sensor 14, vorzugsweise ein Batteriesensor, sowie mehrere insbesondere sicherheitsrelevante Verbraucher 16, die durch einen elektrischen Leistungsverteiler 18 versorgt und abgesichert werden, umfasst. Bei den Verbrauchern 16 handelt es sich um Spezialverbraucher mit hohen Anforderungen bzw. einem hohen Schutzbedarf, allgemein als sicherheitsrelevante Verbraucher 16 bezeichnet. Hierbei handelt es sich beispielsweise um eine elektrische Lenkung und/oder ein Bremssystem als solche Komponenten, die unbedingt versorgt werden müssen, um im Fehlerfall das Lenken und/oder Bremsen des Fahrzeugs sicherzustellen. Gesondert werden Kenngrößen des jeweiligen Verbrauchers 16 erfasst und bei Abweichung von tolerablen Werten die jeweilige Schaltereinheit 15 geöffnet. Das Bordnetz 13 besteht aus einem sicherheitsrelevanten Teilbordnetz 11 und einem nicht sicherheitsrelevanten Teilbordnetz 10. Das sicherheitsrelevante Teilbordnetz 11 kann von dem nicht sicherheitsrelevanten Teilbordnetz 10 durch den Leistungsverteiler 18 getrennt werden, insbesondere im Fehlerfall bzw. kritischen Zustand des nicht sicherheitsrelevanten Teilbordnetzes 10. Das sicherheitsrelevante Teilbordnetz 11 ist beispielsweise ein nach ASIL, insbesondere ASIL C, qualifiziertes (beispielsweise nach DIN ISO26262) Teilbordnetz 11, welches zumindest einen der sicherheitsrelevanten Verbraucher 16 umfasst und gegebenenfalls mit einem eigenen Energiespeicher 12 zur Spannungsstützung ausgestattet sein kann. Das nicht sicherheitsrelevante Teilbordnetz 10 umfasst zumindest einen nicht sicherheitsrelevanten Verbraucher 17, beispielsweise kann es sich um sog. QM-Verbraucher bzw. Verbraucher, dessen Sicherheitsintegrität mit QM eingestuft ist, handeln. Hierbei ist jedoch nicht ausgeschlossen, dass auch zumindest ein weiterer sicherheitsrelevanter Verbraucher im nicht sicherheitsrelevanten Teilbordnetz 10, beispielsweise bei einer redundanten Ausführung der sicherheitsrelevanten Verbraucher, angeordnet sein kann. Bei dem nicht sicherheitsrelevanten Teilbordnetz 10 handelt es sich um ein nicht ASIL qualifiziertes Bordnetz.
  • An einem Anschluss (Klemme KL30_1) des Leistungsverteilers 18 ist der Energiespeicher 12 angeschlossen. Der Sensor 14 ist in der Lage, eine elektrische Kenngröße wie beispielsweise eine Spannung Ub am Energiespeicher 12 und/oder einen Strom Ib durch den Energiespeicher 12 und/oder eine Temperatur Tb des Energiespeichers 12 zu erfassen. Der Sensor 14 kann aus den ermittelten elektrischen Kenngrößen Ub, Ib, Tb beispielsweise den Ladezustand SOC des Energiespeichers 12 oder weitere Kenngrößen des Energiespeichers 12 ermitteln. An dem weiteren Anschluss (KL 30_1) des Leistungsverteilers 18, an dem auch der Energiespeicher 12 angeschlossen ist, kann optional auch ein weiterer Versorgungszweig für zumindest einen weiteren Verbraucher 25 vorgesehen sein. Der Verbraucher 25 wird beispielhaft über eine Schmelzsicherung 23 abgesichert. Es können noch weitere Verbraucher 25 vorgesehen sein, die ebenfalls über Schmelzsicherungen 23 abgesichert werden können. Bei diesen Verbrauchern 25 handelt es sich um solche, die auch bei Auftrennen bzw. Öffnen des Schaltmittels 19 im Leistungsverteiler 18 noch von dem Energiespeicher 12 mit Energie versorgt werden sollen, vorzugsweise solche sicherheitskritische Verbraucher 25, die kritisch sind hinsichtlich Störungen im Bezug auf die Versorgungssicherheit oder als QM eingestufte Verbraucher, welche bestimmte Anforderungen nach einem Unfall erfüllen müssen. Somit ist an dem Anschluss KL 30 _1 ein (optionaler) sicherheitsrelevanter bzw. sicherheitskritischer Bordnetzpfad bzw. Teilbordnetz 11 angeschlossen.
  • Der Leistungsverteiler 18 kann in der Lage sein, entsprechende Kenngrößen wie Spannung Uv, Strom Iv der Verbraucher 16 zu ermitteln. Der Leistungsverteiler 18 kann entsprechende Kenngrößen des Energiespeichers 12 wie Spannung Ub und/oder Strom Ib und/oder Temperatur Tb ermitteln. Hierzu könnte der Leistungsverteiler 18 die entsprechende Sensorik enthalten bzw. empfängt die Daten von dem Sensor 14. Ebenfalls besitzt der Leistungsverteiler 18 entsprechende Auswertemittel wie beispielsweise einen Mikrocontroller 21, erfasste Größen zu speichern bzw. auszuwerten. Das Auswertemittel dient zur Ermittlung kritischer Zustände insbesondere des sicherheitsrelevanten Teilbordnetzes 11 wie beispielsweise Erkennung eines Überstroms und/oder einer Unter-oder Überspannung am Teilbordnetz 11 für den sicherheitsrelevanten Verbraucher 16, 25. Hierzu werden entsprechende Kenngrößen erfasst und mit geeigneten Schwellwerten verglichen. Der Mikrocontroller 21 bzw. das Auswertemittel ist darüber hinaus in der Lage, entsprechende Schaltereinheiten 15, 19 wie nachfolgend näher beschrieben anzusteuern. Eine Schalteinheit 15 versorgt über einen Ausgang 66 den daran angeschlossenen sicherheitsrelevanten Verbraucher 16 mit über eine Verteilstelle, zum Beispiel Stromschiene 60 bzw. Backbone, bereitgestellter Energie bzw. der Versorgungsspannung U1. Beispielhaft sind drei Schalteinheiten 15 vorgesehen, die jeweils die entsprechenden sicherheitsrelevanten Verbraucher 16 über die Ausgänge 66 mit Energie versorgen.
  • Je nach Anwendungsfall kann in dem Leistungsverteiler 18 ein Trennschalter als Schaltereinheit 19 zwischen Klemme 30_0 und Klemme 30_1 angeordnet sein. Über den ggf. optionalen Trennschalter bzw. Schaltereinheit 19 kann eine entsprechende Trenn- bzw. Koppelfunktion insbesondere der beiden Bordnetzzweige (Teilbordnetz 10 für nicht sicherheitsrelevante Verbraucher 17 an Anschluss KL 30_0; weiteres Teilbordnetz 11 für sicherheitsrelevante Verbraucher 16, 25) realisiert werden. Dies dient insbesondere als Sicherungsfunktion, um die Auswirkungen von kritischen Zuständen wie Über- oder Unterspannungen und/oder Überströmen und/oder thermische Überlastung zu unterbinden. Im Fehlerfall können die beiden Teilbordnetze 10, 11 durch den Leistungsverteiler 18 voneinander getrennt werden durch Öffnen der Schaltereinheit 19. Aus Redundanzgründen weist der Trennschalter 19 vorzugsweise zumindest zwei parallele Zweige mit jeweils zumindest einem Schalter 61, 62 auf wie nachfolgend in Verbindung mit 2 näher beschrieben.
  • Das Bordnetz 13 weist ein gegenüber einem optional vorgesehenen Hochvolt-Bordnetz 20 niedrigeres Spannungsniveau U1 auf, beispielsweise kann es sich um ein 14 V-Bordnetz handeln. Zwischen dem Bordnetz 13 und dem Hochvolt-Bordnetz 20 ist ein Gleichspannungswandler 22 angeordnet. Das Hochvolt-Bordnetz 20 umfasst beispielhaft einen Energiespeicher 24, beispielsweise eine Hochvolt-Batterie, eventuell mit integriertem Batteriemanagementsystem, exemplarisch gezeigt eine Last 26, beispielsweise ein Komfortverbraucher wie eine mit erhöhtem Spannungsniveau versorgte Klimaanlage bzw. Kältemittelverdichter etc. sowie eine Elektromaschine 28. Als Hochvolt wird in diesem Zusammenhang ein Spannungsniveau U2 verstanden, welches höher ist als das Spannungsniveau U1 des Basisbordnetzes 13. So könnte es sich beispielsweise um ein 48-Volt-Bordnetz handeln. Alternativ könnte es sich gerade bei Fahrzeugen mit Elektroantrieb um noch höhere Spannungsniveaus, zum Beispiel 400 V oder 800 V, handeln. Alternativ könnte das Hochvolt-Bordnetz 20 ganz entfallen.
  • Beispielhaft ist in der Ausführung als möglicher Energiespeicher 12, 24 eine Batterie bzw. Akkumulator beschrieben. Alternativ können jedoch andere für diese Aufgabenstellung geeignete Energiespeicher beispielsweise auf induktiver oder kapazitiver Basis, Brennstoffzellen, Kondensatoren oder Ähnliches gleichermaßen Verwendung finden.
  • Das Ausführungsbeispiel gemäß 2 offenbart beispielhaft eine Schaltereinheit 15, 19 mit zumindest zwei parallel zueinander verschalteten Schaltern 61, 62. Alternativ könnte jedoch auch nur ein einziger Zweig zur Versorgung des sicherheitsrelevanten Verbrauchers 16 über den Ausgang 66 vorgesehen sein, in dem dann nur ein Schalter 61 vorgesehen ist. Aus Sicherheitsgründen kann dieser Schalter 61 in dem einzigen Zweig redundant durch zwei parallel verschaltete Schaltmittel, wie beispielsweise FETs, ausgeführt sein. Diese parallelverschalteten Schaltmittel, die den Schalter 61 bilden können, können mit einer redundanten GATE-Ansteuerung 67 angesteuert werden. Über die Schaltereinheit 15, 19 könnte der Anschluss 66 für einen sicherheitsrelevanten Verbraucher 16 mit über eine Energieversorgung 60 bereitgestellter Energie, insbesondere Versorgungsspannung U1, versorgt und abgesichert werden. Zwischen der Energieversorgung 60, insbesondere ein Backbone (Verteilstelle mit Versorgungsleitung bzw. Stromschiene in einem Bordnetz eines Kraftfahrzeugs), und den parallelverschalteten Schaltern 61, 62 ist/sind zumindest ein bzw. je nach Leistungsanforderung zwei parallel zueinander verschaltete Messwiderstände 70, 72 vorgesehen. Die in 2 gezeigte Schaltereinheit 19 könnte auch als Trennschalter 19 wie in 1 optional angedeutet verwendet werden, der zwischen Klemme 30_0 und Klemme 30_1 angeordnet ist und beispielsweise im Fehlerfall die beiden Teilbordnetze 10, 11 voneinander trennt, so dass insbesondere die sicherheitsrelevanten Verbraucher 66 nicht von einem Fehler in ihrer Versorgung beeinträchtigt werden. Alternativ könnte der weitere Zweig, umfassend den weiteren Schalter 62 sowie den weiteren Messwiderstand 72 entfallen. Gleichwohl ist der erste Schalter 61 vorzugsweise aus zwei parallel verschalteten aus Gründen der Ausfallsicherheit aufgebaut.
  • Wie in 2 gezeigt umfasst der Mikrocontroller 21 zumindest zwei Rechenkerne 33, 38. Der Kern 38 ist der Hauptkern 38, auf dem einige Anwendungsprogramme 34, 36, 40, 42, 44 ausgeführt werden, die beispielsweise die Steuerung und/oder Überwachung des Schalters 61, 62 betreffen. Diese Anwendungsprogramme 34, 36, 40, 42, 44 sind in der Regel nicht von herausragender zeitlicher Kritikalität.
  • Der weitere Rechenkern 33 eines Moduls 32 übernimmt insbesondere zeitkritische Funktionen und dient der Entlastung des Rechenkerns 38 bzw. trägt zu einem reibungloseren Betrieb des Rechenkerns 38 bei. Bei dem Modul 32 kann es sich um ein sog. Generic Timer Modul GTM handeln. So stellt das Modul 32, insbesondere GTM, hierbei ein (vorzugsweise besonders schnelles) Triggersignal 31 zur Triggerung einer schnellen Messung für die nachfolgende AD-Wandlung eines AD-Wandlers 30 zur Verfügung. Der weitere Rechenkern 33 übernimmt den Schwellenvergleich. Alternativ könnte der weitere Rechenkern 33 weitere Triggersignale 31 je nach Anforderung auch für einen weiteren oder mehrere weitere AD-Wandler 30 generieren bzw. zur Verfügung stellen.
  • Neben zumindest einem AD-Wandler 30 weist der Mikrocontroller 21 als weitere Peripherie einen Portregister 41 zur Beaufschlagung zumindest eines Ausgangs bzw. Pins 43 mit einem Abschaltsignal 46 für den Schalter 61, 62 auf. Optional könnte der Mikrocontroller 21 als weitere Peripherie einen direkten Speicherzugriff (DMA) 51 umfassen. Der direkte Speicherzugriff DMA 51 könnte unmittelbar auf das Portregister bzw. den Port 41 einwirken zur Generierung eines eventuellen Abschaltsignals 46.
  • An dem ersten Messwiderstand 70 werden die jeweiligen Potenziale unmittelbar vor und nach dem Messwiderstand 70 über einen Differenzverstärker 78 an einen AD-Wandler 30 (Analog-Digital-Wandler) des Mikrocontrollers 21 geführt. Der AD-Wandler 30 wandelt das analoge Maß für den über den Messwiderstand 70 fließenden Strom I1 in einen digitalen Wert. Der gewandelte Wert I1 gelangt an einem Software-Block „Stromsensor“ 34 als mögliches Anwendungsprogramm.
  • An dem zweiten Messwiderstand 72 werden die jeweiligen Potenziale vor und nach dem zweiten Messwiderstand 72 über einen weiteren Differenzverstärker 78 an einen weiteren AD-Wandler 30 des Mikrocontrollers 21 geführt. Der AD-Wandler 30 wandelt das analoge Maß für den über den zweiten Messwiderstand 72 fließenden Strom I2 in einen digitalen Wert, der anschließend in dem Block „Stromsensor“ 34 im Mikrocontroller 21 weiterverarbeitet wird.
  • Es wird ein Maß für die Versorgungsspannung U, U' beispielsweise an der Klemme KL 30_1 vorzugsweise redundant, an unterschiedlichen Stellen abgegriffen. Neben dem Abgriff der Spannung U an der Klemme KL 30_1 könnte beispielsweise die Spannung U' bei einem der Schalter 61, 62 bzw. einem zugehörigen elektronischen Bauteil der in der Regel als Halbleiterschalter (FET, IGBT etc.) ausgebildeten Schaltern 61, 62 abgegriffen werden. Im Ausführungsbeispiel werden die abgegriffenen Spannungen U, U' als Analogsignale jeweils einem AD-Wandler 30 des Mikrocontrollers 21 zugeführt.
  • Die digitalisierten und gegebenenfalls gefilterten Werte der Spannungen U, U' gelangen an das Modul 32 und/oder an einen Software-Block „Spannungsensor“ 36 als mögliches weiteres Anwendungsprogramm des Rechenkerns 38 im Mikrocontroller 21. Das Modul 32 liefert Ausgangssignale an den Stromsensor 34 und/oder an den Spannungsensor 36.
  • In dem weiteren Rechenkern 33 des Moduls 32 wird eine Überwachung Ü1 bestimmter Kenngrößen wie Strom I1, I2 und/oder Spannung U, U' für die jeweilige zu überwachende Schaltereinheit 15, 19 unter Entlastung des Rechenkerns 38 durchgeführt bzw. getriggert. Diese Überwachung Ü1 zeichnet sich durch eine hohe Schnelligkeit aus. So kann die jeweilige Schaltereinheit 15, 19 bei einem durch die Überwachung Ü1 detektierten Über- oder Unterstrom innerhalb von 20 µs abgeschaltet werden. Eine stromrichtungsabhängige Unterspannungstrennung im Rahmen der Überwachung der Versorgungsspannung U, U' kann im Bereich von 20 µs bis < 1ms erfolgen.
  • Der weitere Rechenkern 33 verarbeitet im Rahmen der Überwachung Ü1 die zu überwachende(n) Kenngröße(n), insbesondere Strom I1, I2 und Spannung U, U' mit einer sehr geringen Zykluszeit T1 (beispielsweise je nach Taktung des Rechenkerns (beispielsweise bei 50/100 MHz im Mikrosekundenbereich). Zur Überwachung des Stroms I wird mit jedem Triggersignal 31 für den Analog-Digital-Wandler 30 (beispielsweise im Bereich zwischen 5-100 µs, vorzugsweise z.B. 10 µs) der aktuelle Stromwert I1 vom Analog-Digital-Wandler 30 bereitgestellt. Die Messung des Stroms I1 wird durch den von dem Modul 32 bereitgestellten Trigger 31 initiiert. Über die Bereitstellung des Triggers 31 trägt das Modul 32 zur Überwachung der Schaltereinheit 15,19 und zur Entlastung des Rechenkerns 38 bei.
  • Der erfasste aktuelle Stromwert I1, I2 wird mit einem Grenzwert Ig verglichen. Der Vergleich mit dem Grenzwert erfolgt in einem Ausführungsbeispiel direkt in dem weiteren Rechenkern 33 wie beschrieben. Erkennt der weitere Rechenkern 33 auf eine Überschreitung des zulässigen Grenzwerts Ig, generiert der weitere Rechenkern 33 bzw. das Modul 32 ein entsprechendes Ausgangssignal für das Portregister 41, welches daraufhin ein Abschaltsignal 46 für den zugehörigen Pin 43 generiert. Das Abschaltsignal 46 bewirkt ein Abschalten der zu schützenden Schalter 61, 62.
  • In einem alternativen Ausführungsbeispiel läuft die Erkennung eines Überschreitens einer Kenngröße I, U, insbesondere Überstromerkennung, nicht mehr unmittelbar über den weiteren Rechenkern 33 bzw. das Modul 32, sondern vielmehr über den jeweiligen AD-Wandler 30. Jedoch stellt weiterhin der weitere Rechenkern 33 dem oder den AD-Wandlern 30 das schnelle Triggersignal 31 (beispielsweise im Bereich zwischen 5-100 µs, vorzugsweise z.B. 10 µs) zur Verfügung. Damit trägt der weitere Rechenkern 33 zur schnellen Überwachung Ü1 der Schalteinheit 15,19 bei. Das schnelle Triggersignal 31 bewirkt zu dem jeweiligen Triggerzeitpunkt die Messung bzw. Abtastung der gewünschten, schnell zu verarbeitenden Eingangsgrößen (beispielsweise I1). Die gewünschte schnell zu überwachende Eingangsgröße wie beispielsweise der erfasste aktuelle Stromwert I1, I2 kann alternativ oder ergänzend durch den AD-Wandler 30 selbst mit dem Grenzwert Ig verglichen werden. Zu diesem Zweck umfasst der AD-Wandler 30 beispielsweise entsprechende Hardwarekomponenten, die den Vergleich der Eingangsgröße (beispielsweise I1, oder aber ggf. auch weitere Kenngrößen) mit einem Grenzwert (beispielsweise I1g, oder aber ggf. auch weitere Grenzwerte Ig, Ug) durchführen. Erreicht der aktuelle Stromwert I1, I2 den Grenzwert Ig, wird auf einen Fehlerfall geschlossen. In diesem Fall läuft nun die Generierung des Abschaltsignals 46, indem das zugehörige Signal bei Erreichen des Grenzwerts Ig wie von dem Erfassungsmittel 30, beispielsweise der AD-Wandler 30, an den optional vorzusehende DMA (Direct Memory Access, Direktspeicherzugriff) 51 (DMA) gelangt. Der DMA 51 wirkt unmittelbar auf das Portregister 41 ein zur Generierung des Abschaltsignals 46, mit dem nun der zugehörige Ausgang bzw. Pin 43 angesteuert wird. Dieser Weg über den direkten Speicherzugriff 51 kann je nach Anwendungsfall für den gewünschten AD-Wandler 30 implementiert werden (beispielsweise für die AD-Wandler 30, die die zugehörigen Stromwerte I1, I2 erfassen). Optional könnte dies auch zum Zwecke der Unterspannungserkennung bei der zugehörigen Auswertung der Spannungen U, U' erfolgen.
  • Zur Erkennung einer Unterspannung Ug wird die Spannung U mit einem Grenzwert Ug verglichen. Bei der Überwachung der Unterspannung Ug kann für einige Zykluszeiten gewartet werden, ob die Unterspannung Ug für eine bestimmte Zeitspanne Tu anhält. Damit können kurzzeitige, nicht relevante Spannungsschwankungen ausgeblendet werden. Dies könnte beispielsweise über entsprechende Zähler in dem weiteren Rechenkern 33 realisiert werden. Wurde beispielsweise fünf mal bzw. für 5 Zyklen eine Unterspannung Ug detektiert, wird auf einen Fehlerfall geschlossen. Diese Ermittlung bzw. Detektion einer Unterspannung Ug wie beschrieben erfolgt auch für das alternative Ausführungsbeispiel in dem weiteren Rechenkern 33.
  • In dem Modul 32 mit dem weiteren Rechenkern 33 stehen entsprechende Ausgänge zur Verfügung, über die Schaltsignale 46 für die jeweils überwachte Schaltereinheit 15, 19 bzw. für deren zugehörige Treiber (vgl. 4, Bezugszeichen 67, 68) erzeugt werden. Wesentlich ist ein schnelles Einlesen der durch den jeweiligen AD-Wandler 30 digitaliserten Kenngrößen I1, I2, U. Die Ausgänge mit zugehörigen Ausgangssignalen 46 können durch den weiteren Rechenkern 33 mit Reaktionszeiten im Bereich <1 µs direkt geschaltet werden.
  • Parallel läuft auf dem Rechenkern 38, dem Hauptrechenkern, eine weitere Überwachung Ü2 als weiteres Anwendungsprogramm insbesondere zur Plausibilisierung der ersten Überwachung Ü1 ab. Diese Überwachung Ü2 zeichnet sich durch eine im Vergleich zur ersten Überwachung Ü1 geringere Schnelligkeit aus. So kann die jeweilige Schaltereinheit 15, 19 bei einem detektierten Fehlerfall Über- oder Unterstrom innerhalb beispielsweise der Größenordnung 1ms abgeschaltet werden. Der Rechenkern 38 verarbeitet im Rahmen der Überwachung Ü2 die zu überwachenden Kenngrößen, insbesondere Strom I1, I2 und Spannung U mit einer im Vergleich zur ersten Zykluszeit T1 größeren Zykluszeit T2, beispielsweise im ms-Bereich. Diese Überwachung Ü2 überprüft insbesondere die Funktionsfähigkeit des weiteren Rechenkerns 33 bzw. des Moduls 32. Bei signifikanten Abweichungen der Ausgangsgrößen der beiden Überwachungen Ü1, Ü2 wird auf ein fehlerhaft arbeitendes Modul 32 bzw. fehlerhaft arbeitenden weiteren Rechenkern 33 geschlossen. Entsprechende Gegenmaßnahmen können sich anschließen. Damit kann insbesondere erreicht werden, dass der Rechenkern 33 einfach, insbesondere ohne zusätzliche Sicherheitsfeatures, aufgebaut sein kann.
  • Bestandteile der weiteren Überwachung Ü2 sind die beispielhaft gezeigten weiteren Anwendungsprogramme bzw. Blöcke Stromsensor 34, Spannungssensor 36, Überwachung 40, Leistungssteller 42 sowie Sicherheitshandling 44 realisiert.
  • Auf dem Rechenkern 38 kann somit eine Plausibilisierung der beiden Überwachungen Ü1, Ü2 erfolgen. Hierzu werden die Eingangsgrößen I1, I2, U für den weiteren Rechenkern 33 bzw. die erste Überwachung Ü1 mit den Eingangsgrößen I1, I2, U für den Rechenkern 38 bzw. die weitere Überwachung Ü2 miteinander verglichen. Bei signifikanten Abweichungen wird auf einen Plausibilitätsfehler erkannt. Bei einem Fehlerfall können entsprechende Gegenmaßnahmen (Fehlereintrag, Warnhinweise, Deaktivierung bestimmter Funktionen oder Ähnliches) eingeleitet werden.
  • In der weiteren Überwachung Ü2 ist ein Block 40 vorgesehen, der der Überwachung insbesondere der ordnungsgemäßen Funktionsfähigkeit des weiteren Rechenkerns 33 dient, insbesondere ob bestimmte Sicherheitsstandards für besonders sicherheitskritische Funktionen eingehalten werden. Ein Ausgangssignal der Überwachung 40 ist dem weiteren Modul 32 zugeführt.
  • Außerdem ist in der weiteren Überwachung Ü2 ein Block 42 vorgesehen, der der Überwachung der Ansteuerung des Leistungsstellers für die Schalter 61, 62 dient. Dem Block 42 ist das Abschaltsignal 46 wie von dem weiteren Rechenkern 33 und/oder von dem direkten Speicherzugriff 51 im Zusammenwirken mit dem jeweiligen AD-Wandler 30 bereitgestellt. Der Block 42 gibt wiederum ein Signal ab an das Sicherheitshandling 44.
  • Außerdem ist in der weiteren Überwachung Ü2 ein Block 44 vorgesehen, der dem Sicherheitshandling 44 dient. Dem Sicherheitshandling 44 sind ein Ausgangssignal 35 (Über-/Unterstrom ja/nein) des Stromsensors 34 und ein Ausgangssignal 37 (Unterspannung ja/nein) des Spannungssensors 36 zugeführt. Über das Sicherheitshandling 44 können geeignete Gegenmaßnahmen (Warnhinweise, Fehlereinträge, Aktivierung oder Deaktivierung bestimmter Funktionen etc.) eingeleitet werden.
  • Durch die in 2 gezeigte Anordnung ist eine schnelle Ansteuerung der Schalter 61, 62 bei einem detektierten Überstrom und/oder Übertemperaratur und/oder Unterspannung auch über Software-basierte Auswertungen, die im Mikrocontroller 21 ablaufen, möglich. Damit lassen sich Überstromtrennungen in der Größenordnung von 20 µs und/oder Unterspannungstrennungen in der Größenordnung von 100 µs erreichen.
  • Um diese schnelle Ansteuerung zu erreichen, können bestimmte Maßnahmen einzeln oder in Kombination durchgeführt werden.
  • Durch Auswertung von mindestens zwei Spannungen U und zumindest zwei Stromsignalen I1, I2 durch mindestens zwei AD-Wandler 30 kann eine redundante Auswertung erfolgen, die gewissen Sicherheitsstandards, beispielsweise ASIL C, genügt.
  • Die Reaktion auf eine Änderung der Eingangssignale (Ströme I1, I2, Spannung U1) mit schneller Reaktionszeit kann entweder Interrupt-basiert, mittels dem weiteren Rechenkern 33 bzw. Modul 32 oder durch direkten Speicherzugriff 51 DMA erfolgen. Insbesondere die Unterbrechung bzw. sofortige Ansteuerung der Schalter 61, 62 bei detektiertem Fehlerfall über den weiteren Rechenkern 33 oder den Direktspeicherzugriff 51 sind bevorzugte Möglichkeiten, da Interrupts (in den Anwendungsprogrammen des Hauptrechenkerns 38) ansonsten verzögert oder kurzfristig deaktiviert werden könnten. Dies könnte eventuell zu unerwünschtem Systemverhalten führen. Allen Möglichkeiten gemeinsam ist jedoch das Bereitstellen des schnellen Triggersignals 31 durch das Modul 32 für die gewünschten AD-Wandler 30 zur schnellen Abtastung der schnell zu verarbeitenden Kenngrößen, insbesondere Strom.
  • Es kann eine Anpassung des Signal-Mappings des AD-Wandlers 30 erfolgen, sodass die höhere Belastung (aufgrund höherer Abtastraten) der AD-Wandler 30 des Mikrocontrollers 21 bewältigt werden kann.
  • Sofern eine Signalauswertung nicht in den kurzen Abtastzeiten erfolgen kann, sind Signale zu puffern, um sie für andere Softwarefunktionalitäten nutzbar zu machen, die der Schalterüberwachung (Überstrom, Unterspannung) dienen. Danach können sie langsamer verarbeitet und eventuell Plausibilisierung werden.
  • Um die Sicherheit zu gewährleisten, sollte die Signalverarbeitung im Mikrocontroller 21 möglichst redundant erfolgen, beispielsweise durch den Einsatz unabhängiger AD-Wandler 30, um die Möglichkeit abhängiger Ausfälle zu reduzieren.
  • Im allgemeinen kann die Redundanz wie oben beschrieben mit zwei redundanten softwarebasierten Lösungen durch den Mikrocontroller 21 erfolgen. Bei Ausfall des Mikrocontrollers 21 kann nur eine sichere Trennung (Öffnen der Schalter 61,62), jedoch keine sichere Versorgung gemäß einem hohen Sicherheitsstandard (beispielsweise ASIL C) realisiert werden.
  • Bei hohen Sicherheitsstandards in Bezug auf eine sichere Versorgung könnte eine Lösung darin bestehen, sowohl die softwarebasierte Überwachung Ü1 wie auch redundant hierzu eine hardwarebasierte Lösung (beispielsweise durch entsprechende Hardware-Bauteile, Komparator etc.) zu verwenden. Hierbei müsste bei der softwarebasierten Lösung lediglich jeweils ein AD- Wandler 30 eingesetzt werden, der die entsprechenden Größen I1, I2, U besonders schnell (getriggert durch den Trigger 31) erfasst und digital dem Mikrocontroller 21 zur Verfügung stellt. Im Vergleich zu einer redundanten hardwarebasierten Überwachung würde sich hierbei jedoch der Bauraum, den Hardware-Bauteile benötigen, reduzieren. Eine solche redundante Software- und Hardware-basierte Lösung ist beispielhaft in den Figurn 3 und 4 gezeigt.
  • Bei dem Ausführungsbeispiel gemäß 3 wird beispielhaft für den Zweig mit dem weiteren Schalter 62 eine redundante Überwachung des Stroms I2 beschrieben. Zum einen erfolgt die Überwachung des Stroms I2 über eine Hardwareschaltung bzw. Hardwareüberwachung 80. Hierzu werden die Potenziale am weiteren Messwiderstand 72 über entsprechende Längswiderstände 74, 76 an einen Messverstärker 78 geführt. Das Ausgangssignal des Messverstärkers 78 gelangt an einen Komparator 82, beispielsweise wie exemplarisch in 3 gezeigt an dessen Plus-Eingang. Dieses Ausgangssignal des Messverstärkers 78 wird mit einem Grenzwert 84, dem negativen Eingang des Komparators 82 zugeführt, verglichen. Allgemein vergleicht der Komparator 82 die beiden Eingangssignale miteinander. Entweder bei positiver oder negativer Differenz der beiden Signale (Spannungen) wechselt der Ausgang des Komparators 82 seine Polarität. Der Komparator 82 dient der (betragsmäßigen) Überstromerkennung eines Überstroms Ig durch den Messwiderstand 72. Ein Ausgangssignal 87 des Komparators 82 wird einem Speicherelement 88, beispielsweise ein Flipflop, zugeführt. Das Speicherelement 88 könnte auch als Software realisiert sein. Liegt die gemessene Differenz am Messwiderstand 72 oberhalb bzw. je nach genutztem Verfahren unterhalb des entsprechenden Grenzwerts 84 bzw. Ig, so generiert der Komparator 82 ein entsprechendes Ausgangssignal 87 (beispielsweise Überstrom erkannt; Schalteinheit 15, 19 zum Schutz öffnen „Aus“) bzw. Wechsel des logischen Zustands des Ausgangssignals 87. Das Ausgangssignal 87 führt bei erkanntem Überstrom zum Polaritätswechsel am Ausgang 92 (dies kann beispielsweise einen Überstrom am Messwiderstand 72 erkannt bedeuten; in Folge dessen soll die Schalteinheit 15, 19 zum Schutz öffnen). Ein Rücksetzen des Ausgangs 92 des Speicherelements 88 könnte beispielsweise über den Mikrocontroller 21 erfolgen.
  • Redundant hierzu erfolgt die in Verbindung mit 2 beschriebene Überwachung Ü1 des Stroms I2 über die im Mikrocontroller 21 hinterlegte Software. Sollte ein Überstrom Ig durch den Mikrocontroller 21 (insbesondere durch den weiteren Rechenkern 33 bzw. den AD-Wandler) erkannt werden, wird ein entsprechendes Ausgangssignal 35, welches ein Ausschaltsignal für den bzw. die Schalter 61, 62 bedingt, an ein Und-Gatter 50 weitergeleitet. Wurde also in dem einen Zweig, in dem der Widerstand 72 und der weitere Schalter 62 angeordnet sind, ein Überstrom Ig detektiert, softwarebasiert unter Verwendung des Mikrocontrollers 21 bzw. der Überwachung Ü1 UND hardwarebasiert (Hardwareschaltung 80 in Verbindung mit beispielsweise Messverstärker 78, Komparator 82, Speicherelement 88), wird ein entsprechendes Abschaltsignal 112 generiert. Liegen also beiden Abschaltbedingungen vor, erfolgt ein entsprechendes Abschalten des Schaltmittels 62. Damit wird dann Abschalten bei Einfachfehlern unterbunden.
  • Das Ausführungsbeispiel gemäß 4 offenbart beispielhaft eine Schaltereinheit 15 mit zwei parallel zueinander verschalteten Schaltern 61, 62, über die der Anschluss 66 für einen sicherheitsrelevanten Verbraucher 16 versorgt und abgesichert werden kann. Zwischen der Energieversorgung 60 und den parallelverschalteten Schaltern 61, 62 ist/sind zumindest ein und je nach Leistungsanforderung zwei parallel zueinander verschaltete Messwiderstände 70, 72 vorgesehen.
  • An dem ersten Messwiderstand 70 werden die jeweiligen Potenziale vor und nach dem Messwiderstand 70 jeweils einem Messverstärker 78 (Strommessung über einen Stromverstärker bzw. CSA (Current Sense Amplifier)) zugeführt. Das Ausgangssignal des Messverstärkers 78 wird einem Komparator 82 (bzw. einer weiteren nicht eigens gezeigten Logik, die ein Speicherelement 88 wie in Verbindung mit 3 beschrieben umfassen kann) zugeführt, der den eingehenden Wert mit einem Grenzwert Ig vergleicht.
  • Der zwischen der Energieversorgung 60 und dem Ausgang 66 fließende Strom I wird redundant erfasst. Im Ausführungsbeispiel erfolgt eine redundante Erfassung (neben der Erfassung über den Messwiderstand 70 - durch eine Erfassung des zwischen den Verzweigungspunkten der Schalter 61, 62 fließenden Stroms, also des über die Schalteinheit 15 fließenden Stroms). Die Potenziale vor und nach der Parallelschaltung der Schalter 61, 62 werden an einen weiteren Messverstärker 78 geführt. Das Ausgangssignal des weiteren Messverstärkers 78 wird dem Komparator 82 zugeführt. Der Komparator 82 vergleicht das zugeführte Ausgangssignal mit einem Grenzwert 84, der dem Komparator 82 an dessen Eingang zur Verfügung gestellt wird. Wenn der Komparator 82 übereinstimmende Abschaltwünsche (bei Vorliegen zumindest einer Überstromerkennung, detektiert über den Messwiderstand 70,72 und über den Spannungsabfall über die Schalter 61, 62) ermittelt, gibt der Komparator 82 bzw. die entsprechende Logikeinheit ein Abschaltsignal an einen Treiber 67 für den ersten Schalter 61.
  • Redundant erfolgt die (Strom)überwachung Ü1 durch den Mikrocontroller 21 wie bereits beschrieben. Hierzu wird zum einen ein Spannungsabfall an dem Messwiderstand 70, 72 (oder an den Messwiderständen 70, 72) einem weiteren Verstärker 78 zugeführt, dessen Ausgangssignal über einen nicht eigens gezeigten AD-Wandler 30 an den Mikrocontroller 21 zur weiteren schnellen Verarbeitung durch die schnelle Überwachung Ü1 gelangt. Außerdem wird als Maß für den über die Schalter 61, 62 fließenden Strom die Potentialdifferenz an den Schaltern 61, 62, die dem Messverstärker 78 zugeführt wird, abgegriffen und dem Mikrocontroller 21 über einen AD-Wandler 30 zur Verfügung gestellt zur schnellen Überwachung Ü1 wie beschrieben. Sollten beide der überwachten Signale auf einen Fehlerfall hindeuten, generiert der Mikrocontroller 21 wiederum ein entsprechendes Abschaltsignal 46.
  • Der Leistungsverteiler 18 mit zugehöriger Überwachung Ü1, Ü2 ist beispielsweise in einem 12 V-Bordnetz 13 in einem Kraftfahrzeug direkt an der Schnittstelle zwischen dem nicht sicherheitsrelevanten Teilbordnetz 10 und dem sicherheitsrelevanten Teilbordnetz 11, insbesondere ASIL-qualifizierten Teilbordnetz 11 angeordnet. Die Verwendung ist jedoch darauf nicht eingeschränkt.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • DE 102018201546 A1 [0002]

Claims (15)

  1. Vorrichtung zur Energieversorgung eines sicherheitsrelevanten Verbrauchers (16) in einem Kraftfahrzeug, umfassend zumindest eine Schaltereinheit (15, 19), über die zumindest ein sicherheitsrelevanter Verbraucher (16) mit Energie eines Teilbordnetzes (10, 11) versorgt werden kann, weiter umfassend zumindest einen Mikrocontroller (21), der der Ansteuerung der Schaltereinheit (15,19) dient, umfassend zumindest ein Erfassungsmittel (30), insbesondere einen AD-Wandler (30), zur Erfassung zumindest einer elektrischen Kenngröße (I1, I2; U), mit der die Schaltereinheit (15,19) beaufschlagt ist, wobei die erfasste Kenngröße (I1, I2, U) dem Mikrocontroller (21) bereitgestellt ist, wobei der Mikrocontroller (21) zumindest einen Rechenkern (38) umfasst, auf dem zumindest ein Anwendungsprogramm (34, 36, 42, 44) ablaufen kann zur Ansteuerung der Schaltereinheit (15, 19), dadurch gekennzeichnet, dass der Mikrocontroller (21) zumindest ein Modul (32) mit zumindest einem weiteren Rechenkern (33) aufweist, das zur Überwachung der Kenngröße (11, I2, U) beiträgt.
  2. Vorrichtung nach Anspruch 1, dadurch gekennzeichnet, dass das Modul (32) zumindest ein Triggersignal (31) generiert, das eine Erfassung der Kenngröße (I1, I2, U) durch das Erfassungsmittel (30) initiiert.
  3. Vorrichtung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Modul (32) dazu eingerichtet ist, das Triggersignal (31) mit einer Zykluszeit innerhalb einer Größenordnung zwischen 5 µs und 100 µs zu erzeugen.
  4. Vorrichtung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass ein Vergleich der in Verbindung mit dem Triggersignal (31) erfassten Kenngröße (I1, I2, U) mit einem Grenzwert (Ig, Ug) durch den weiteren Rechenkern (33) und/oder durch das Erfassungsmittel (30), insbesondere durch eine Hardware in dem AD-Wandler (30), erfolgt.
  5. Vorrichtung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass bei einem Erreichen des Grenzwerts (Ig, Ug) durch die erfasste Kenngröße (I1, I2, U) ein Abschaltsignal (46) für die Schaltereinheit (15,19) erzeugt wird.
  6. Vorrichtung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der Mikrocontroller (21) zumindest einen Direktspeicherzugriff (51) umfasst, auf den das Erfassungsmittel (30) Zugriff besitzt.
  7. Vorrichtung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der Mikrocontroller (21) ein Portregister (41) umfasst, welches für zumindest einen Ausgang bzw. Pin (43) ein Abschaltsignal (46) für die Schaltereinheit (15,19) in Abhängigkeit von einem Ausgangssignal der weiteren Rechenkerns (33) und/oder des Erfassungsmittels (30) und/oder eines Direktspeicherzugriffs (51) erzeugen kann.
  8. Vorrichtung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass in dem Rechenkern (38) eine Überwachung (Ü2) der Kenngröße (I1, I2, U), insbesondere mit einer größeren Zykluszeit (T2) als die Zykluszeit (T1) des Trägersignals (31), erfolgt und/oder dass in dem Rechenkern (38) eine Plausibilisierung der Überwachung (Ü1), wie sie durch den weiteren Rechenkern (33) und/oder das Erfassungsmittel (30) erfolgt, vornehmbar ist.
  9. Vorrichtung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der Mikrocontroller (21) zumindest eine Spannungen (U), insbesondere zwei Spannungen (U, U') und/oder zumindest einen durch die Schaltereinheit (15,19) fließenden Strom (I1), insbesondere zwei Ströme (I1, I2) auswertet und/oder dass der Mikrocontroller (21) zumindest zwei Analog-Digitalwandler (30) umfasst für eine Erfassung zumindest zweier Kenngrößen (I1, I2; U, U').
  10. Vorrichtung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Kenngröße (I1, I2; U) redundant durch den Mikrocontroller (21) und durch eine Hardwareschaltung (80), insbesondere umfassend einen Komparator (82,128) und/oder einen Messverstärker (78,124) und/oder zumindest ein Speicherelement (88,134), überwacht ist.
  11. Vorrichtung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Schaltereinheit (15,19) zumindest zwei zueinander parallelverschaltete Schalter (61,62) umfasst, und/oder dass die Schaltereinheit (15,19) zumindest einen Leistunghalbleiter wie ein Feldeffekttransistor bzw. MOSFET, IGBT oder ähnliches umfasst, und/oder dass die Schaltereinheit (15,19) über zumindest zwei Teilbordnetze (10,11), die jeweils eine eigene Energiequelle (28,24; 12) aufweisen, versorgt werden kann.
  12. Verfahren zur Energieversorgung eines sicherheitsrelevanten Verbrauchers (16) in einem Kraftfahrzeug, wobei über zumindest eine Schaltereinheit (15, 19) zumindest ein sicherheitsrelevanter Verbraucher (16) mit Energie versorgt werden kann, wobei ein Mikrocontroller (21) die Schaltereinheit (15,19) ansteuert, wobei zumindest eine elektrische Kenngröße (I1, I2, U), mit der die Schaltereinheit (15,19) beaufschlagt ist, durch ein Erfassungsmittel (30) erfasst wird, wobei die erfasste Kenngröße (I1, I2, U) dem Mikrocontroller (21) bereitgestellt ist, wobei der Mikrocontroller (21) zumindest einen Rechenkern (38) umfasst, auf dem zumindest ein Anwendungsprogramm (34, 36, 42, 44) ablaufen kann zur Ansteuerung der Schaltereinheit (15, 19), dadurch gekennzeichnet, dass der Mikrocontroller (21) zuminest ein Modul (32) mit zumindest einem weiteren Rechenkern (33) aufweist, das zur Überwachung der Kenngröße (I1, I2, U) beiträgt.
  13. Verfahren nach einem der vorhergehenden Verfahrensansprüche, dadurch gekennzeichnet, dass das Modul (32) ein Triggersignal (31), insbesondere mit einer Zykluszeit (T1) im Bereich zwischen 5 µs und 100 µs, erzeugt, womit die Erfassung der Kenngröße (I1, I2, U) initiiert wird.
  14. Verfahren nach einem der vorhergehenden Verfahrensansprüche, dadurch gekennzeichnet, dass die erfasste Kenngröße (I1, I2, U) durch das Modul (32) und/oder durch den weiteren Rechenkern (33) und/oder durch das Erfassungsmittel (30) mit zumindest einem Grenzwert (Ig, Ug) verglichen wird und bei Erreichen des Grenzwerts (Ig, Ug) ein Abschaltsignal (46) durch den weiteren Rechenkernen (33) und/oder durch einen Direktspeicherzugriff (51), insbesondere unter Verwendung eines Portregisters (41) zur Ansteuerung eines Ausgangs (43) bzw. Pins, erzeugt wird, um ein Abschalten der Schaltereinheit (15,19) zu bewirken.
  15. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass in dem Rechenkern (38) zur Plausibilisierung der durch das Modul (32) und/oder durch den weiteren Rechenkern (33) und/oder durch das Erfassungsmittel (30) durchgeführten Überwachung (Ü1) parallel hierzu eine weitere Überwachung (Ü2) durchgeführt wird und bei Abweichung zumindest eine Aktion wie beispielsweise eine Gegenmaßnahme, ein Warnhinweis oder Ähnliches eingeleitet wird.
DE102023201823.3A 2023-02-28 2023-02-28 Vorrichtung und Verfahren zur Energieversorgung eines sicherheitsrelevanten Verbrauchers in einem Kraftfahrzeug Pending DE102023201823A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102023201823.3A DE102023201823A1 (de) 2023-02-28 2023-02-28 Vorrichtung und Verfahren zur Energieversorgung eines sicherheitsrelevanten Verbrauchers in einem Kraftfahrzeug
PCT/EP2023/084857 WO2024179706A1 (de) 2023-02-28 2023-12-08 Vorrichtung und verfahren zur energieversorgung eines sicherheitsrelevanten verbrauchers in einem kraftfahrzeug

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102023201823.3A DE102023201823A1 (de) 2023-02-28 2023-02-28 Vorrichtung und Verfahren zur Energieversorgung eines sicherheitsrelevanten Verbrauchers in einem Kraftfahrzeug

Publications (1)

Publication Number Publication Date
DE102023201823A1 true DE102023201823A1 (de) 2024-08-29

Family

ID=89168269

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102023201823.3A Pending DE102023201823A1 (de) 2023-02-28 2023-02-28 Vorrichtung und Verfahren zur Energieversorgung eines sicherheitsrelevanten Verbrauchers in einem Kraftfahrzeug

Country Status (2)

Country Link
DE (1) DE102023201823A1 (de)
WO (1) WO2024179706A1 (de)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102018201546A1 (de) 2018-02-01 2019-08-01 Robert Bosch Gmbh Vorrichtung zur Absicherung zumindest eines Verbrauchers

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102017200460A1 (de) * 2017-01-12 2018-07-12 Robert Bosch Gmbh Recheneinheit und Betriebsverfahren hierfür
FR3083397B1 (fr) * 2018-06-28 2020-08-21 Valeo Equip Electr Moteur Systeme de commande d'un interrupteur et bras de commutation
DE102020208399A1 (de) * 2020-07-03 2022-01-05 Robert Bosch Gesellschaft mit beschränkter Haftung Vorrichtung zur Absicherung insbesondere sicherheitsrelevanter Verbraucher in einem Kraftfahrzeug

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102018201546A1 (de) 2018-02-01 2019-08-01 Robert Bosch Gmbh Vorrichtung zur Absicherung zumindest eines Verbrauchers

Also Published As

Publication number Publication date
WO2024179706A1 (de) 2024-09-06

Similar Documents

Publication Publication Date Title
EP3669432B1 (de) Abschaltvorrichtung für ein elektrisches versorgungsnetz
EP2435279B1 (de) Bordnetz für ein fahrzeug sowie steuervorrichtung für ein bordnetz
DE102015107718B4 (de) Vorrichtung und Verfahren zum Absichern einer Bordnetz-Komponente eines Fahrzeug-Bordnetzes
DE102020208401A1 (de) Verfahren zur Absicherung insbesondere sicherheitsrelevanter Verbraucher in einem Kraftfahrzeug
DE102020208399A1 (de) Vorrichtung zur Absicherung insbesondere sicherheitsrelevanter Verbraucher in einem Kraftfahrzeug
EP3698419B1 (de) Hochspannungs-batteriesystem und verfahren zum betreiben eines hochspannung- batteriesystems
DE102018212351A1 (de) Verfahren zur Diagnose eines Schaltmittels in einem Kraftfahrzeug
DE102021204455A1 (de) Überstromschutzschaltung, Managementsystem und Bordnetz für ein Kraftfahrzeug
DE102016121447B4 (de) Vorrichtung und Verfahren zum Absichern einer Bordnetzkomponente eines Fahrzeug-Bordnetzes
DE102019215790B4 (de) Steuergeräteschaltung für ein Kraftfahrzeug sowie Kraftfahrzeug und Betriebsverfahren für die Steuergeräteschaltung
DE10110046A1 (de) Vorrichtung zum Ansteuern elektrischer Verbraucher in einem Kraftfahrzeug
DE102017201488A1 (de) Detektieren eines Kurzschlusses in einem elektrischen Energieverteilungsnetz
DE102023201823A1 (de) Vorrichtung und Verfahren zur Energieversorgung eines sicherheitsrelevanten Verbrauchers in einem Kraftfahrzeug
EP3561529A1 (de) Verfahren zur erkennung einer fehlfunktion, insbesondere eines kurzschlussstroms, in einer traktionsbatterieanordnung
DE102021208116A1 (de) Verfahren und Vorrichtung zum Erfassen eines Ereignisses in einem Bordnetz insbesondere eines Kraftfahrzeugs
EP4161793A1 (de) Verfahren zum erfassen eines isolationsfehlers in einem fahrzeugbordnetz
DE102021004146A1 (de) Verfahren zum Betreiben eines Hochvoltsystems und Hochvoltsystem
DE102020202049A1 (de) Verfahren zum Überwachen der Energieversorgung eines Kraftfahrzeugs
DE102023201504A1 (de) Vorrichtung zur Energieversorgung eines sicherheitsrelevanten Verbrauchers in einem Kraftfahrzeug
DE102019201938A1 (de) Verfahren zum Überwachen der Energieversorgung eines Kraftfahrzeugs
DE102023201502A1 (de) Vorrichtung zur Energieversorgung zumindest eines sicherheitsrelevanten Verbrauchers in einem Kraftfahrzeug
DE102013003586A1 (de) Elektrisches Energieversorgungssystem für ein Kraftfahrzeug
DE102021200169A1 (de) Verfahren zum Überwachen der Energieversorgung eines Kraftfahrzeugs
DE102022114330A1 (de) Diagnostizieren von Messungen an einem Stromversorgungspfad eines Fahrzeugs
DE102021201277A1 (de) Verfahren zum Überwachen der Energieversorgung eines Kraftfahrzeugs