EP4132824A2 - Systemeinheit mit einem ersten aktorsystem und einem zweiten aktorsystem - Google Patents

Systemeinheit mit einem ersten aktorsystem und einem zweiten aktorsystem

Info

Publication number
EP4132824A2
EP4132824A2 EP21713622.5A EP21713622A EP4132824A2 EP 4132824 A2 EP4132824 A2 EP 4132824A2 EP 21713622 A EP21713622 A EP 21713622A EP 4132824 A2 EP4132824 A2 EP 4132824A2
Authority
EP
European Patent Office
Prior art keywords
operating mode
actuator system
actuator
unit
emergency
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
EP21713622.5A
Other languages
English (en)
French (fr)
Inventor
Samuel Bubeck
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Publication of EP4132824A2 publication Critical patent/EP4132824A2/de
Pending legal-status Critical Current

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T17/00Component parts, details, or accessories of power brake systems not covered by groups B60T8/00, B60T13/00 or B60T15/00, or presenting other characteristic features
    • B60T17/18Safety devices; Monitoring
    • B60T17/22Devices for monitoring or checking brake systems; Signal devices
    • B60T17/221Procedure or apparatus for checking or keeping in a correct functioning condition of brake systems
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/08Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
    • G07C5/0816Indicating performance data, e.g. occurrence of a malfunction
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T2270/00Further aspects of brake control systems not otherwise provided for
    • B60T2270/40Failsafe aspects of brake control systems
    • B60T2270/402Back-up
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T2270/00Further aspects of brake control systems not otherwise provided for
    • B60T2270/40Failsafe aspects of brake control systems
    • B60T2270/404Brake-by-wire or X-by-wire failsafe
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T2270/00Further aspects of brake control systems not otherwise provided for
    • B60T2270/40Failsafe aspects of brake control systems
    • B60T2270/413Plausibility monitoring, cross check, redundancy
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • B60W2050/0292Fail-safe or redundant systems, e.g. limp-home or backup systems

Definitions

  • the invention relates to a system unit for an at least partially automated mobile platform with at least one first actuator system and one second actuator system
  • driver assistance systems are increasingly being used in different stages of development. They intervene semi-automatically or automatically in the drive, control (e.g. steering) or signaling devices of the vehicle or use suitable human-machine interfaces to warn the driver shortly before or support them during critical situations.
  • an increasingly expanded range of functions such as support of a driver through power assistance when a brake pedal is actuated by an electromechanical brake booster (eBKV) during brake actuation, or assisting or partially assisting functions by a system unit active modulation of the hydraulic brake pressure (e.g. ESP, eBKV,
  • Future control systems for highly automated and / or partially automated driving and / or autonomous and / or partially autonomous driving require the provision of certain, possibly functional redundancies, so that in the event of an error, a “fail-operational” system, e.g. B. in a brake control system, can be guaranteed to potentially at least To enable a driver to temporarily not monitor the traffic situation, or to allow a temporary lack of responsibility or complete absence of a driver.
  • a “fail-operational” system e.g. B. in a brake control system
  • a vehicle braking system can be designed in such a way that when a first fault occurs in the system, all braking functions can be taken over by a sub-unit of the braking system.
  • all braking functions can be taken over by a sub-unit of the braking system.
  • the responsibility for driving the vehicle can be returned to a driver or a journey must be ended prematurely, since no further functional fall-back level is provided and a second fault in such a braking system could lead to this that the vehicle is no longer able to decelerate.
  • a brake system can have primary and secondary stabilization actuators and the primary actuators provide the (main) stabilization functions in the fault-free state.
  • the secondary actuator system can take over certain functionalities of the primary actuator system in its error-free state. Such a functionality of the secondary actuator system can be limited to the necessary functions of a fallback level or it can encompass the complete range of functions of the primary stabilization actuator system.
  • a braking system in an autonomously driving vehicle i. H. for a use case: autonomous driving SAE Level 4 have a primary and secondary braking unit.
  • the primary brake unit can implement the full range of functions without a secondary brake unit, and the secondary brake unit can have part of the range of functions of the primary unit and, if necessary, take over this part of the functions.
  • Such a functionality provided by a primary actuator system can, for example, be a wheel-specific active and passive pressure modulation, e.g. by means of an electronic stabilization program (ESP)
  • ESP electronic stabilization program
  • Return hydraulic system, and a secondary actuator system can, for example, a functionality of a single-channel active and / or passive Include pressure modulation, which can be implemented, for example, by a fail-boost unit and / or an electromechanical brake booster.
  • a system unit a use of the system unit, a method, a device and a computer program product and a computer-readable storage medium for controlling the system unit according to the features of the independent claims are specified, which at least in part has the stated effects.
  • Advantageous configurations are the subject matter of the dependent claims and the description below.
  • a system unit for an at least partially automated mobile platform with at least one first actuator system and one second actuator system each of which has at least one auxiliary operating mode and one emergency operating mode.
  • the first actuator system and the second actuator system are each set up and coupled to switch to an inactive operating mode if a critical error is identified in the respective actuator system.
  • the first actuator system and the second actuator system are set up and coupled to switch to an auxiliary operating mode when one of the actuator systems switches to the inactive operating mode in order to execute at least parts of a functionality of the respective actuator system that is in the inactive operating mode.
  • the first actuator system and the second actuator system are set up and coupled to switch to an emergency operating mode if a critical error is identified in the respective actuator system in the auxiliary operating mode.
  • This system unit thus provides a further safety level in the form of the emergency operating mode, which is only active when a second critical error in the system unit, i.e. a first error in the respective actuator system that remains active in the auxiliary operating mode, occurs.
  • the actuator system that remains active can, for example, meet all the requirements for the system unit in the auxiliary operating mode of the actuator system until the critical error occurs in the auxiliary operating mode.
  • the actuator system that is still active is intended to provide functionality for minimizing risk for the mobile platform or vehicle occupants of the mobile platform. This functionality can have greatly reduced requirements compared to a normal operating mode.
  • a further safety level can be provided for a system unit in the form of a brake system, which is only active when a second fault affects the remaining brake unit.
  • the respective active actuator system in the auxiliary operating mode in the form of a brake unit of the brake system that remains active can meet all the requirements for a fall-back level of known brake systems up to the second fault.
  • a maneuver to minimize the risk for the vehicle occupants can be carried out with the remaining active actuator system of the brake system, such as the remaining active brake unit, with reduced functionality. For such a maneuver, only greatly reduced requirements for stability and dynamics of the mobile platform equipped with such a braking system apply.
  • the most robust possible operating mode for such a system unit such as a brake system, can be provided, which brings the mobile platform, such as a vehicle, into a safe state in the error case described with a minimum of sensors, communication and actuators can.
  • Such a system unit is implemented in the form of a redundant brake system, it can be used to provide a brake system for highly autonomous driving.
  • this system unit the risk of a (total) failure can be minimized without having to use a third actuator system by implementing a further safety level in both actuators of the system unit in the form described.
  • This further safety level is switched to active in the respective actuator system, which in the first fallback level, for example, provides a braking functionality if an error is also identified or recognized on precisely this actuator system.
  • the system unit described thus provides a further safety level that is largely independent of errors in the respective actuator systems and / or of sensors and / or communication between control units of the actuator systems in order to be able to continue to carry out (emergency) braking.
  • the respective actuator system has a control mechanism that can only control a minimal functionality directly.
  • this can affect both the hydraulic valves, if they have to be switched to a certain position for pressure build-up in the actuator system, and the motor control.
  • a redundant braking system can be provided for highly autonomous journeys.
  • the system unit is not automatically switched off, but instead, for example, carries out (emergency) braking.
  • the primary brake unit when a first critical error occurs, can implement the full range of functions without the secondary brake unit, or the secondary brake unit can take over part of the range of functions of the primary unit.
  • a further safety level is therefore provided, which is only active when a second fault in the system unit affects the remaining braking unit.
  • the remaining brake unit can, for example, meet all the requirements for the fallback level of known brake systems until a second fault occurs in the brake system.
  • This additional fall-back level can provide additional security in a situation in which only one of the two brake units is functional.
  • the respective actuator system can be set up to additionally execute at least parts of a functionality of the respective other actuator system. According to one aspect, it is proposed that the first actuator system and the second actuator system are each set up and coupled to receive a target value and to check in the emergency operating mode whether the target value is currently being received.
  • Such a target value can be specified for the respective actuator system in order to set the target value in a control loop or in accordance with a characteristic curve. Since, in the event of a fault, communication with sensors providing setpoint values can be disturbed, an emergency operating mode can be used to check whether such communication in the form of receiving setpoint values is intact. The further behavior of the respective actuator system in the emergency operating mode can then be made dependent on the setpoint.
  • the first actuator system and the second actuator system are each set up and coupled to perform a first action in the emergency operating mode with the current setpoint received and / or to perform a second action without the current setpoint received, the first action being dependent on a value of the received current setpoint is executed.
  • Such a setpoint value can for example be transmitted via a bus system from a setpoint value generating system and / or a sensor to the respective actuator system.
  • the system unit does not have to be set up to check this transmission or communication, for example in the emergency operating mode, in order to be able to decide whether such a setpoint, for example in the form of a braking force of a virtual driver of an at least partially automated mobile platform, can be implemented.
  • a first action can, for example, relate to an action that is implemented in accordance with the value of the setpoint, and the second action can relate, for example, to an action that is permanently specified.
  • the first action can correspond to braking with a predefined braking force or a correspondingly predefined braking profile
  • the second action can be a predefined emergency braking.
  • the first action can be implemented by means of a control loop and / or a control system by means of a characteristic curve.
  • the actuation of the actuator system in the emergency Operating mode can be controlled based on characteristics and / or controlled with a complete control system.
  • Such a check of the functionality of the communication with a system providing setpoints can be rated positively if current setpoints are transferred to the respective actuator system at the respective point in time.
  • the mobile platform such as a partially automated vehicle, for example with braking, can be brought into a safe state.
  • the critical error be identified by the respective actuator system itself and / or the respective other of the actuator systems and / or a higher-level system.
  • the first actuator system is an electronic brake booster (eBKV) system and the second actuator system is an electronic stabilization program (ESP) system of a mobile platform; or the first actuator system is a first steering system of a mobile platform and the second actuator system is a second steering system of a mobile platform; or the first actuator system is an integrated power brake system (IPB) and the second actuator system is a redundant brake unit (RBU) of a mobile platform.
  • eBKV electronic brake booster
  • ESP electronic stabilization program
  • IPB integrated power brake system
  • RBU redundant brake unit
  • the second steering system can be designed as a redundant system to the first steering system.
  • the integrated Power Brake System (IPB) with the redundant brake unit (RBU) is a redundant brake system combination that is an alternative to an electronic brake booster (eBKV) system and an electronic stabilization program (ESP) system for the automated system Driving is.
  • eBKV electronic brake booster
  • ESP electronic stabilization program
  • the integrated Power Brake System takes on the tasks of eBKV and ESP with an actuator system, in other words a one-box brake system.
  • the redundant braking unit takes over the functions of the Brake pressure build-up and stabilization only in the event of a fault in the integrated Power Brake System (IPB) and is otherwise completely passive.
  • the safety of the brake system resulting therefrom can be provided through the construction of a brake system in accordance with the system unit.
  • a method for controlling a system unit for an at least partially automated mobile platform with a first actuator system and a second actuator system is proposed, the first actuator system and the second actuator system each having an auxiliary operating mode and an emergency operating mode, and the method the following steps having.
  • the respective actuator system changes to an inactive operating mode if a critical error is identified in the respective actuator system.
  • the respective actuator system changes to an auxiliary operating mode when one of the actuator systems changes to the inactive operating mode in order to carry out at least parts of the functionality of the respective actuator system that is in the inactive operating mode.
  • the respective actuator system which is in the auxiliary operating mode, switches to an emergency operating mode if a critical error is identified in this actuator system.
  • the actuator system checks in the emergency operating mode whether a setpoint value for the first actuator system and / or the second actuator system is currently being received.
  • Such a target value can be specified for the respective actuator system in order to set the target value in a control loop or in accordance with a characteristic curve. Since, in the event of a fault, communication with sensors providing setpoint values can be disturbed, an emergency operating mode can be used to check whether such communication in the form of receiving setpoint values is intact. The further behavior of the respective actuator system in the emergency operating mode can then be made dependent on the setpoint.
  • the actuator system in the emergency operating mode with the received current setpoint carries out a first action with a value of the currently received setpoint and / or carries out a second action without received current setpoint.
  • the actuator system in the emergency operating mode executes the first action with the value of the current setpoint received.
  • the method for controlling a system unit for the first action can be designed as robustly and as less complex as possible.
  • a method which, based on the identified critical error and / or inactive operating mode and / or auxiliary operating mode and / or emergency operating mode of the method for controlling a system unit, provides a control signal for controlling an at least partially automated vehicle; and / or based on the identified critical fault and / or inactive operating mode and / or auxiliary operating mode and / or emergency operating mode, a warning signal for warning a vehicle occupant is provided.
  • the term “based on” is broad in relation to the feature that a control signal is provided based on the identified critical fault and / or inactive operating mode and / or auxiliary operating mode and / or emergency operating mode of the method for controlling a system unit to understand.
  • the identified critical error and / or the inactive operating mode and / or the auxiliary operating mode and / or the emergency operating mode of the method for controlling a system unit is used for any determination or calculation of a control signal, but not excludes that other input variables are also used for this determination of the control signal.
  • a higher-level unit or control such as a virtual and / or a real Driver to be informed of this restriction.
  • further functionalities can be called up from a higher-level unit, such as support for the brakes by means of secondary actuator systems, such as an engine control, a parking brake or steering interventions to avoid collisions.
  • a device which is set up to carry out one of the methods described above. With such a device, the corresponding method can easily be integrated into different systems.
  • a computer program which comprises instructions which, when the computer program is executed by a computer, cause the computer to carry out the method described above.
  • Such a computer program enables the described method to be used in different systems.
  • a machine-readable storage medium is proposed on which the computer program described above is stored.
  • the computer program described above is transportable by means of such a machine-readable storage medium.
  • a mobile platform can be understood to mean an at least partially automated system which is mobile and / or a driver assistance system of a vehicle.
  • An example can be at least one be a partially automated vehicle or a vehicle with a driver assistance system. That is, in this context, an at least partially automated system includes a mobile platform with regard to an at least partially automated functionality, but a mobile platform also includes vehicles and other mobile machines including driver assistance systems.
  • Further examples of mobile platforms can be driver assistance systems with several sensors, mobile multi-sensor robots such as robotic vacuum cleaners or lawn mowers, a multi-sensor monitoring system, a production machine, a personal assistant or an access control system. Each of these systems can be a fully or partially automated system.
  • FIGS. 1 to 2 Exemplary embodiments of the invention are shown in FIGS. 1 to 2 and are explained in more detail below. It shows:
  • FIG. 1 shows a sketched brake system with an electromechanical brake booster and an electronic stabilization program system
  • FIG. 2 shows a flow diagram for a method for controlling a system unit for an at least partially automated mobile platform with a first actuator system and a second actuator system.
  • FIG. 1 outlines a redundant embodiment of a brake system 100 with at least one first actuator system 120 in the form of an electromechanical brake booster 120 with the possibility of single-channel active and possibly passive pressure modulation, such as a fail-boost unit or an electromechanical brake booster, and a second actuator system 140 in Form of an electronic stabilization program system 140 for wheel individual active and passive pressure modulation, for example by means of ESP return hydraulics, which are hydraulically coupled via a connection 145.
  • the electronic stabilization program system 140 is coupled to a brake system 160 of the tires of the vehicle via a further hydraulic connection 165.
  • the first actuator system 120 and the second actuator system 140 can also be coupled in terms of signals and / or electrically.
  • FIG. 2 outlines a flowchart of a method 200 for controlling a system unit 100 for an at least partially automated mobile platform with a first actuator system 120 and a second actuator system 140, the first actuator system 120 and the second actuator system 140 each having an auxiliary operating mode and an emergency Have operating mode.
  • a critical error is identified in a first or second actuator system 120 and the respective actuator system 120, 140 affected by the error changes to an inactive operating mode.
  • step S2 the respective actuator system not affected by the error changes to an auxiliary operating mode in order to execute at least parts of the functionality of the respective actuator system affected by the error, which is in the inactive operating mode.
  • step S3 it is determined whether a critical error is identified in the respective actuator system which is in the auxiliary operating mode.
  • step S4 the respective actuator system, which is in the auxiliary operating mode, switches to an emergency operating mode S4a if a critical error is identified in this actuator system.
  • valves can be switched to the pressure build-up position for this purpose S4b.
  • step S5 the respective actuator system checks in the emergency operating mode whether a setpoint value for the first actuator system 120 and / or the second actuator system 140 is currently being received or whether bus communication with setpoint value systems or sensors is possible.
  • step S5 if a current setpoint value is received, the actuator system will also initiate a first action S6 in the emergency operating mode Carry out a value of the currently received setpoint, such as braking with the values of the setpoint, for example via a characteristic-based control of the actuator system motor.
  • a second action S7 such as an emergency stop of a vehicle, is carried out in the absence of a received current setpoint value in order to initiate a

Landscapes

  • Engineering & Computer Science (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Automation & Control Theory (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Human Computer Interaction (AREA)
  • Regulating Braking Force (AREA)
  • Valves And Accessory Devices For Braking Systems (AREA)
  • Safety Devices In Control Systems (AREA)
  • Hardware Redundancy (AREA)
  • Control Of Driving Devices And Active Controlling Of Vehicle (AREA)

Abstract

Systemeinheit für eine zumindest teilautomatisierte mobile Plattform mit zumindest einem ersten Aktorsystem und einem zweiten Aktorsystem, die jeweils zumindest einen Hilfs-Betriebsmodus und einen Not-Betriebsmodus aufweisen; und das erste Aktorsystem und das zweite Aktorsystem jeweils eingerichtet und gekoppelt sind: in einen inaktiven Betriebsmodus zu wechseln, wenn ein kritischer Fehler in dem jeweiligen Aktorsystem identifiziert wird; und in einen Hilfs-Betriebsmodus zu wechseln, wenn eines der Aktorsysteme in den inaktiven Betriebsmodus wechselt, um zusätzlich zumindest Teile einer Funktionalität des jeweiligen Aktorsystems auszuführen, das im inaktiven Betriebsmodus ist; und in einen Not-Betriebsmodus zu schalten, wenn in dem jeweiligen Aktorsystem im Hilfs-Betriebsmodus ein kritischer Fehler identifiziert wird.

Description

Beschreibung
Titel
Systemeinheit mit einem ersten Aktorsystem und einem zweiten Aktorsystem
Die Erfindung betrifft eine Systemeinheit für eine zumindest teilautomatisierte mobile Plattform mit zumindest einem ersten Aktorsystem und einem zweiten Aktorsystem
Stand der Technik
Fahrerassistenzsysteme finden in heutigen Kraftfahrzeugen zunehmend in unterschiedlichen Ausprägungsstufen Verbreitung. Sie greifen teilautomatisiert oder automatisiert in Antrieb, Steuerung (z.B. Lenkung) oder Signalisierungs einrichtungen des Fahrzeugs ein oder warnen durch geeignete Mensch- Maschine-Schnittsteilen den Fahrer kurz vor oder unterstützen während kritischer Situationen.
Dazu weisen exemplarisch aktuelle Fahrzeugbremssysteme neben stabilisierenden Funktionen, z. B. in der Form des klassischen ESP/ABS, einen zunehmend erweiterten Funktionsumfang auf: wie Support eines Fahrers durch Kraftunterstützung bei Betätigung eines Bremspedals durch einen elektromechanischen Bremskraftverstärker (eBKV) bei einer Bremsaktuation, oder assistierende bzw. teilassistierende Funktionen durch eine System- Einheit zur aktiven Modulierung des hydraulischen Bremsdrucks (z.B.: ESP, eBKV,
Boost- Einheit, etc.), ohne aktive Beteiligung des Fahrers.
Offenbarung der Erfindung
Zukünftige Regelsysteme für hochautomatisiertes und/oder teilautomatisiertes Fahren und/oder autonomes und/oder teilautonomes Fahren erfordern den Vorhalt bestimmter ggf. funktionaler Redundanzen, so dass im Fehlerfall zumindest zeitlich beschränkt ein „fail-operational“ System, z. B. bei einem Bremsregelsystem, gewährleistet werden kann, um potentiell zumindest zeitweise fehlende Überwachung der Verkehrssituation durch einen Fahrer, respektive temporär fehlende Verantwortungshoheit oder gänzliche Abwesenheit eines Fahrers zu ermöglichen.
Beispielsweise kann ein Fahrzeugbremssystem so ausgelegt sein, dass bei Auftreten eines ersten Fehlers im System alle Bremsfunktionen von einer Untereinheit des Bremssystems übernommen werden können. Zusätzlich kann für bekannte automatisierte Fahrfunktionen, beispielsweise in einem SAE Level 3 und kleiner, die Verantwortung zur Fahrzeugführung an einen Fahrer zurückgegeben oder eine Fahrt muss vorzeitig beendet werden, da keine weitere funktionale Rückfallebene vorgesehen ist und ein zweiter Fehler in einem solchen Bremssystem dazu führen könnte, dass die Verzögerungsfähigkeit des Fahrzeugs nicht mehr gegeben ist.
Dies ist insbesondere von Bedeutung, wenn ein solches System in einem Fahrmodus eingesetzt wird, in dem kein Fahrer vorhanden ist oder ein Fahrer in einem solchen Fahrmodus keinen Eingriff vornehmen kann.
Exemplarisch kann ein Bremssystem eine primäre und sekundäre Stabilisierungsaktuatorik aufweisen und die primäre Aktuatorik im fehlerfreien Zustand die (Haupt-) Stabilisierungsfunktionen bereitstellen.
Typischerweise kann die sekundäre Aktuatorik dabei in ihrem fehlerfreien Zustand gewisse Funktionalitäten der primären Aktuatorik übernehmen. Eine solche Funktionalität der sekundären Aktuatorik kann dabei auf notwendige Funktionen einer Rückfallebene beschränkt sein oder den kompletten Funktionsumfang der primären Stabilisierungsaktuatorik umfassen.
Beispielsweise kann ein Bremssystem in einem autonom fahrenden Fahrzeug, d. h. für einen use-case: autonomes Fahren SAE Level 4 eine primäre und sekundäre Bremseinheit aufweisen. Im Fall eines Fehlers des Bremssystems kann die primäre Bremseinheit ohne eine sekundäre Bremseinheit den vollen Funktionsumfang umsetzen und die sekundäre Bremseinheit kann einen Teil des Funktionsumfangs der primären Einheit aufweisen und gegebenenfalls diesen Teil der Funktionen übernehmen.
Eine solche, von einer primären Aktuatorik bereitgestellte, Funktionalität kann beispielsweise eine Rad-individuelle aktive und passive Druck-Modulation, z.B. mittels einer elektronisches Stabilisierungsprogramm- (ESP-)
Rückförderhydraulik, umfassen und eine sekundäre Aktuatorik kann beispielsweise eine Funktionalität einer einkanaligen aktiven und/oder passiven Druck-Modulation umfassen, die z.B. durch eine Fail-Boost-Einheit und/oder einen elektromechanischen Bremskraftverstärker realisiert sein kann.
Da eine sichere Übernahme des Fahrers in einem SAE Level 4 Fahrzeug in einem Fehlerfall, in dem dann nur eines der zwei Bremseinheiten funktionsfähig ist, nicht möglich ist, soll ein solches System möglichst sicher ausgelegt werden.
Ein solches System durch eine optimale Reaktion auf einen weiteren Fehler auszulegen ist durch die Kombinationsmöglichkeiten entsprechender Fehler sehr komplex, fehleranfällig und aufgrund der sehr geringen Wahrscheinlichkeit dieser Situation nicht wirtschaftlich, da für die optimale Reaktion alle aktiven Regler des Systems für die entsprechende Fehlersituation ausgelegt werden müssen. D. h. insbesondere fehlende oder fehlerhafte Signalen müssen abfangen werden können und alle benötigten Signale von Sensoren und Aktoren müssen weiterhin auf Plausibilität überwacht werden. Da jedoch durch die bereits erkannten Fehler ein Teil der Fehlererkennungsmechanismen nicht mehr funktionsfähig ist, ist dies nur mit hohem Software Entwicklungsaufwand unter Inkaufnahme einer geringeren Wahrscheinlichkeit für eine Entdeckung von Fehlern möglich.
Entsprechend einem Aspekt der Erfindung wird eine Systemeinheit, eine Verwendung der Systemeinheit, ein Verfahren, eine Vorrichtung sowie ein Computerprogrammprodukt und ein computerlesbares Speichermedium zur Steuerung der Systemeinheit gemäß den Merkmalen der unabhängigen Ansprüche angegeben, welches zumindest zum Teil die genannten Wirkungen aufweist. Vorteilhafte Ausgestaltungen sind Gegenstand der abhängigen Ansprüche sowie der nachfolgenden Beschreibung.
Gemäß einem Aspekt wird eine Systemeinheit für eine zumindest teilautomatisierte mobile Plattform mit zumindest einem ersten Aktorsystem und einem zweiten Aktorsystem vorgeschlagen, die jeweils zumindest einen Hilfs-Betriebsmodus und einen Not- Betriebsmodus aufweisen. Dabei sind das erste Aktorsystem und das zweite Aktorsystem jeweils eingerichtet und gekoppelt in einen inaktiven Betriebsmodus zu wechseln, wenn ein kritischer Fehler in dem jeweiligen Aktorsystem identifiziert wird. Weiterhin sind das erste Aktorsystem und das zweite Aktorsystem eingerichtet und gekoppelt in einen Hilfs-Betriebsmodus zu wechseln, wenn eines der Aktorsysteme in den inaktiven Betriebsmodus wechselt, um zumindest Teile einer Funktionalität des jeweiligen Aktorsystems auszuführen, das im inaktiven Betriebsmodus ist. Darüber hinaus ist das erste Aktorsystem und das zweite Aktorsystem eingerichtet und gekoppelt in einen Not-Betriebsmodus zu schalten, wenn in dem jeweilige Aktorsystem im Hilfs-Betriebsmodus ein kritischer Fehler identifiziert wird.
Somit wird mit dieser Systemeinheit eine weitere Sicherheitsebene in Form des Not-Betriebsmodus bereitgestellt, die erst dann aktiv ist, wenn ein zweiter kritischer Fehler der Systemeinheit, also ein erster Fehler des jeweiligen aktiv verbleibenden Aktorsystems in dem Hilfs-Betriebsmodus, auftritt. Das aktiv verbleibende Aktorsystem kann beispielsweise bis zum Auftreten des kritischen Fehlers im Hilfs-Betriebsmodus alle Anforderungen an die Systemeinheit im Hilfs-Betriebsmodus des Aktorsystems erfüllen. Nach dem zweiten Fehler der Systemeinheit soll das noch aktive Aktorsystem eine Funktionalität zur Risiko- Minimierung für die mobile Plattform bzw. Fahrzeuginsassen der mobilen Plattform bereitstellen. Dabei kann diese Funktionalität stark reduzierte Anforderung gegenüber einem Normal-Betriebsmodus aufweisen.
Beispielsweise kann für eine Systemeinheit in Form eines Bremssystems eine weitere Sicherheitsebene bereitgestellt werden, die erst dann aktiv ist, wenn ein zweiter Fehler die noch verbleibende Bremseinheit beeinträchtigt. Das jeweilige aktive Aktorsystem im Hilfs-Betriebsmodus in Form einer aktiv verbleibenden Bremseinheit des Bremssystems kann bis zum zweiten Fehler alle Anforderungen an eine Rückfallebene bekannter Bremssysteme erfüllen. Nach dem zweiten Fehler des Bremssystems kann mit dem noch verbliebenen aktiven Aktorsystem des Bremssystems, wie beispielsweise der verbleibenden aktiven Bremseinheit, mit einer reduzierten Funktionalität ein Manöver zur Risiko- Minimierung für die Fahrzeuginsassen durchgeführt werden. Für ein solches Manöver gelten nur noch stark reduzierte Anforderungen an Stabilität und Dynamik der mit einem solchen Bremssystem ausgestatteten mobilen Plattform.
Somit kann mit einer solchen Systemeinheit ein möglichst robuster Betriebsmodus für eine solche Systemeinheit, wie beispielsweise eines Bremssystems, bereitgestellt werden, das mit einem Minimum an Sensorik, Kommunikation und Aktorik die mobile Plattform, wie beispielsweise ein Fahrzeug, im beschriebenen Fehlerfall in einen sicheren Zustand bringen kann.
Wenn eine solche Systemeinheit in Form eines redundanten Bremssystems realisiert wird, kann damit ein Bremssystem für das hochautonome Fahren bereitgestellt werden. Somit kann also mit dieser Systemeinheit ein Risiko eines (Total-) Ausfalls minimiert werden, ohne dass ein drittes Aktorsystem eingesetzt werden muss, indem in der beschriebenen Form eine weitere Sicherheitsebene in beide Aktuatoren der Systemeinheit implementiert wird. Diese weitere Sicherheitsebene wird in dem jeweiligen Aktorsystem aktiv geschaltet, das in der ersten Rückfallebene beispielsweise eine Bremsfunktionalität bereitstellt, wenn auf genau diesem Aktorsystem auch ein Fehler identifiziert bzw. erkannt wird.
Somit stellt die beschriebene Systemeinheit eine weitere Sicherheitsebene bereit, die weitgehend unabhängig von Fehlern der jeweiligen Aktorsysteme und/oder von Sensorik und/oder einer Kommunikation zwischen Steuergeräten der Aktorsysteme ist, um weiterhin eine (Not-) Bremsung durchführen zu können.
Dazu weist das jeweilige Aktorsystem einen Steuerungsmechanismus auf, der ausschließlich eine minimale Funktionalität direkt ansteuern kann. Bei Bremssystemen kann dies sowohl die hydraulischen Ventile betreffen, falls diese für Druckaufbau im Aktorsystem in eine bestimmte Stellung geschalten werden müssen, als auch die Motoransteuerung. Mit einer solchen Systemeinheit kann ein redundantes Bremssystem für hochautonome Fahrten bereitgestellt werden.
Vorteilhafterweise wird also auch nach Auftreten bzw. dem Identifizieren von zwei kritischen Fehlern in einer solchen Systemeinheit, wie beispielsweise eines Bremssystems, bestehend aus einer primären und sekundären Bremseinheit, die Systemeinheit nicht selbständig abgeschaltet, sondern beispielsweise noch eine (Not-) Bremsung durchführt.
Mit anderen Worten kann somit beim Auftreten eines ersten kritischen Fehlers die primäre Bremseinheit ohne die sekundäre Bremseinheit den vollen Funktionsumfang umsetzen oder die sekundäre Bremseinheit kann einen Teil des Funktionsumfangs der primären Einheit übernehmen. Es wird also eine weitere Sicherheitsebene bereitgestellt, die erst dann aktiv ist, wenn ein zweiter Fehler der Systemeinheit die noch verbleibende Bremseinheit beeinträchtigt. Die verbleibende Bremseinheit kann beispielsweise bis zum Auftreten eines zweiten Fehlers in dem Bremssystem alle Anforderungen an die Rückfallebene bekannter Bremssysteme erfüllen. Durch diese zusätzliche Rückfallebene kann in einer Situation, in der nur eine der zwei Bremseinheiten funktionsfähig ist, eine zusätzliche Sicherheit bereitgestellt werden. Dabei kann das jeweilige Aktorsystem eingerichtet sein, zumindest Teile einer Funktionalität des jeweils anderen Aktorsystems zusätzlich auszuführen. Gemäß einem Aspekt wird vorgeschlagen, dass das erste Aktorsystem und das zweite Aktorsystem jeweils eingerichtet und gekoppelt sind einen Sollwert zu empfangen und im Not-Betriebsmodus zu prüfen, ob der Sollwert aktuell empfangen wird.
Ein solcher Sollwert kann dem jeweiligen Aktorsystem vorgegeben werden, um den Sollwert in einem Regelkreis oder entsprechend einer Kennlinie einzustellen. Da in einem Fehlerfall die Kommunikation mit sollwertgebenden Sensoren gestört sein kann, kann in einem Not-Betriebsmodus überprüft werden, ob eine solche Kommunikation in Form des Empfangens von Sollwerten intakt ist. Das weitere Verhalten des jeweiligen Aktorsystems im Not-Betriebsmodus kann dann von dem Sollwert abhängig gemacht werden.
Gemäß einem Aspekt wird vorgeschlagen, dass das erste Aktorsystem und das zweite Aktorsystem jeweils eingerichtet und gekoppelt sind im Not-Betriebsmodus mit dem empfangenen aktuellen Sollwert eine erste Aktion auszuführen und/oder ohne empfangenen aktuellen Sollwert eine zweite Aktion auszuführen, wobei die erste Aktion abhängig von einem Wert des empfangenen aktuellen Sollwertes ausgeführt wird.
Ein solcher Sollwert kann beispielsweise über ein Bussystem von einem sollwertgebenden System und/oder einem Sensor an das jeweilige Aktorsystem übertragen werden. Die Systemeinheit kein eingerichtet sein, beispielsweise im Not- Betriebsmodus diese Übertragung bzw. Kommunikation zu überprüfen, um entscheiden zu können, ob ein solcher Sollwert, beispielsweise in Form einer Bremskraft eines virtuellen Fahrers einer zumindest teilautomatisierten mobilen Plattform, umgesetzt werden kann. Eine erste Aktion kann beispielsweise eine Aktion betreffen, die entsprechend dem Wert des Sollwerts umgesetzt wird und die zweite Aktion kann beispielsweise eine Aktion betreffen, die fest vorgegeben ist. Für ein Bremssystem kann die erste Aktion eine Bremsung mit einer vorgegebenen Bremskraft bzw. einem entsprechend vorgegebenen Bremsverlauf entsprechen und die zweite Aktion kann eine vorgegebene Notfall-Bremsung sein. Dabei kann die erste Aktion mittels eines Regelkreises und/oder einer Steuerung mittels einer Kennlinie umgesetzt werden.
Um die Abhängigkeit der Systemeinheit von internen und externen Signalen, die in diesem Not-Betriebsmodus gegebenenfalls nicht mehr überwacht werden, möglichst gering zu halten, kann die Ansteuerung des Aktorsystems im Not- Betriebsmodus kennlinienbasiert angesteuert werden und/oder mit einer vollständigen Regelung gesteuert werden.
Eine solche Prüfung der Funktionalität der Kommunikation mit einem sollwertgebenden System kann positiv gewertet werden, wenn zum jeweiligen Zeitpunkt aktuelle Sollwerte an das jeweilige Aktorsystem übergeben werden.
Beispielsweise kann bei der zweiten Aktion die mobile Plattform, wie beispielsweise ein teilautomatisiertes Fahrzeug, beispielsweise mit einer Bremsung, in einen sicheren Zustand gebracht werden.
Gemäß einem Aspekt wird vorgeschlagen, dass der kritische Fehler von dem jeweiligen Aktorsystem selbst und/oder dem jeweils anderen der Aktorsysteme und/oder einem übergeordneten System identifiziert wird.
Wenn das Vorliegen eines kritischen Fehlers des jeweiligen Aktorsystems von einem übergeordneten System identifiziert wird, können noch weitere Größen und Abhängigkeiten mit anderen Systemen berücksichtigt werden. Wenn das jeweilige Aktorsystem den kritischen Fehler selbst identifiziert, kann eine größere Unabhängigkeit und entsprechende geringere Anfälligkeit gegenüber insbesondere externen Fehlern erreicht werden.
Gemäß einem Aspekt wird vorgeschlagen, dass das erste Aktorsystem ein elektronisches Bremskraftverstärker (eBKV)-System und das zweite Aktorsystem ein elektronisches Stabilisierungsprogramm (ESP)-System einer mobilen Plattform ist; oder das erste Aktorsystem ein erstes Lenkungs-System einer mobilen Plattform und das zweite Aktorsystem ein zweites Lenkungs-System einer mobilen Plattform ist; oder das erste Aktorsystem ein integriertes Power Brake - System (IPB) und das zweite Aktorsystem eine redundante Bremseinheit (RBU) einer mobilen Plattform ist.
Dabei kann das zweite Lenkung-System als redundante System zum ersten Lenkungs- System ausgelegt sein.
Dabei ist das integrierte Power Brake - System (IPB) mit der redundanten Bremseinheit (RBU) eine redundante Bremssystem-Kombination, das eine Alternative für System aus einem elektronisches Bremskraftverstärker (eBKV)-System und einem elektronischen Stabilisierungsprogramm (ESP)-System für das automatisierte Fahren ist.
Dabei übernimmt das das integrierte Power Brake - System (IPB) die Aufgaben von eBKV und ESP mit einem Aktorsystem, also mit anderen Worten ein Ein-Box- Bremssystem. Die redundanten Bremseinheit (RBU) übernimmt die Funktionen des Bremsdruckaufbaus und Stabilisierung ausschließlich im Fehlerfall des integrierten Power Brake - System (IPB) und ist sonst komplett passiv.
Durch den Aufbau eines Bremssystems entsprechend der Systemeinheit kann die daraus resultierende Sicherheit des Bremssystems bereitgestellt werden.
Es wird eine Verwendung der oben beschriebenen Systemeinheit für die Steuerung einer zumindest teilautomatisierten mobilen Plattform vorgeschlagen.
Mit der oben beschriebenen zusätzlichen Sicherheit der beschriebenen Systemeinheit resultiert die entsprechende Sicherheit für zumindest teilautomatisierte mobile Plattformen.
Es wird ein Verfahren zur Steuerung einer Systemeinheit für eine zumindest teilautomatisierte mobile Plattform mit einem ersten Aktorsystem und einem zweiten Aktorsystem vorgeschlagen, wobei das erste Aktorsystem und das zweite Aktorsystem jeweils einen Hilfs-Betriebsmodus und einen Not-Betriebsmodus aufweisen, und das Verfahren die folgenden Schritte aufweist. In einem ersten Schritt wechselt das jeweilige Aktorsystem in einen inaktiven Betriebsmodus, wenn ein kritischer Fehler in dem jeweiligen Aktorsystem identifiziert wird. In einem weiteren Schritt wechselt das jeweilige Aktorsystem in einen Hilfs-Betriebsmodus, wenn eines der Aktorsysteme in den inaktiven Betriebsmodus wechselt, um zumindest Teile der Funktionalität des jeweiligen Aktorsystems auszuführen, das im inaktiven Betriebsmodus ist.
In einem weiteren Schritt schaltet das jeweilige Aktorsystem, das im Hilfs- Betriebsmodus ist, in einen Not-Betriebsmodus, wenn in diesem Aktorsystem ein kritischer Fehler identifiziert wird.
In dieser gesamten Beschreibung der Erfindung ist die Abfolge von Verfahrensschritten so dargestellt, dass das Verfahren leicht nachvollziehbar ist.
Der Fachmann wird aber erkennen, dass viele der Verfahrensschritte auch in einer anderen Reihenfolge durchlaufen werden können und zu dem gleichen oder einem entsprechenden Ergebnis führen. In diesem Sinne kann die Reihenfolge der Verfahrensschritte entsprechend geändert werden. Einige Merkmale sind mit Zählwörtern versehen, um die Lesbarkeit zu verbessern oder die Zuordnung eindeutiger zu machen, dies impliziert aber nicht ein Vorhandensein bestimmter Merkmale. Die oben beschriebenen Vorteile der Systemeinheit resultieren entsprechend für das hier beschriebene Verfahren zur Steuerung einer Systemeinheit auch für die weiteren Aspekte des Verfahrens.
Gemäß einem Aspekt wird vorgeschlagen, dass in dem Verfahren zur Steuerung einer Systemeinheit das Aktorsystem im Not-Betriebsmodus prüft, ob ein Sollwert für das erste Aktorsystem und/oder das zweite Aktorsystem aktuell empfangen wird.
Ein solcher Sollwert kann dem jeweiligen Aktorsystem vorgegeben werden, um den Sollwert in einem Regelkreis oder entsprechend einer Kennlinie einzustellen. Da in einem Fehlerfall die Kommunikation mit sollwertgebenden Sensoren gestört sein kann, kann in einem Not-Betriebsmodus überprüft werden, ob eine solche Kommunikation in Form des Empfangens von Sollwerten intakt ist. Das weitere Verhalten des jeweiligen Aktorsystems im Not-Betriebsmodus kann dann von dem Sollwert abhängig gemacht werden.
Gemäß einem Aspekt wird vorgeschlagen, dass in dem Verfahren zur Steuerung einer Systemeinheit das Aktorsystem im Not-Betriebsmodus mit dem empfangenen aktuellen Sollwert eine erste Aktion mit einem Wert des aktuell empfangenen Sollwertes ausführt und/oder ohne empfangenen aktuellen Sollwert eine zweite Aktion ausführt.
Gemäß einem Aspekt wird vorgeschlagen, dass in dem Verfahren zur Steuerung einer Systemeinheit mittels vordefinierten Kennlinien des Aktorsystems im Not- Betriebsmodus, wie beispielsweise für einen Motorstrom, und/oder für vordefinierte Ventilstellungen, entsprechend einem Ventilschaltmuster, des Aktorsystems im Not- Betriebsmodus das Aktorsystem im Not- Betriebsmodus mit dem Wert des empfangenen aktuellen Sollwertes die erste Aktion ausführt.
Damit kann erreicht werden, dass das Verfahren zur Steuerung einer Systemeinheit für die erste Aktion möglichst robust und wenig komplex ausgelegt werden kann.
Es wird ein Verfahren vorgeschlagen, das basierend auf dem identifizierten kritischen Fehler und/oder inaktiven Betriebsmodus und/oder Hilfs-Betriebsmodus und/oder Not- Betriebsmodus des Verfahrens zur Steuerung einer Systemeinheit ein Steuersignal zur Ansteuerung eines zumindest teilautomatisierten Fahrzeugs bereitgestellt wird; und/oder basierend auf dem identifizierten kritischen Fehler und/oder inaktiven Betriebsmodus und/oder Hilfs-Betriebsmodus und/oder Not- Betriebsmodus ein Warnsignal zur Warnung eines Fahrzeuginsassen bereitgestellt wird. Der Begriff „basierend auf“ ist in Bezug auf das Merkmal, dass ein Steuersignal basierend auf dem identifizierten kritischen Fehler und/oder inaktiven Betriebsmodus und/oder Hilfs-Betriebsmodus und/oder Not-Betriebsmodus des Verfahrens zur Steuerung einer Systemeinheit bereitgestellt wird, breit zu verstehen. Es ist so zu verstehen, dass der identifizierte kritische Fehler und/oder der inaktive Betriebsmodus und/oder der Hilfs-Betriebsmodus und/oder der Not-Betriebsmodus des Verfahrens zur Steuerung einer Systemeinheit für jedwede Bestimmung oder Berechnung eines Steuersignals herangezogen wird, wobei das nicht ausschließt, dass auch noch andere Eingangsgrößen für diese Bestimmung des Steuersignals herangezogen werden.
Da in einem entsprechend eingeschränkten Betriebsmodus, wie dem Hilfs- Betriebsmodus oder dem Not-Betriebsmodus, die entsprechende Funktionalität, wie beispielsweise eine ausreichende Verzögerung, nicht immer gewährleistet werden kann, kann eine übergeordnete Einheit bzw. Steuerung, wie ein virtueller und/oder ein realer Fahrer, über diese Einschränkung informiert werden. Damit können von einer übergeordneten Einheit weitere Funktionalitäten abgerufen werden, wie zum Beispiel eine Unterstützung der Bremsen mittels sekundärer Aktorsysteme, wie beispielsweise einer Motorsteuerung, einer Parkbremse oder von Lenkeingriffen zur Kollisionsvermeidung.
Es wird eine Vorrichtung vorgeschlagen, die eingerichtet ist, eines der oben beschriebenen Verfahren durchzuführen. Mit einer solchen Vorrichtung kann das entsprechende Verfahren leicht in unterschiedliche Systeme integriert werden.
Es wird ein Computerprogramm vorgeschlagen, das Befehle umfasst, die bei der Ausführung des Computerprogramms durch einen Computer diesen veranlassen, das oben beschriebene Verfahren auszuführen. Ein solches Computerprogramm ermöglicht den Einsatz des beschriebenen Verfahrens in unterschiedlichen Systemen.
Es wird ein maschinenlesbares Speichermedium vorgeschlagen, auf dem das oben beschriebene Computerprogramm gespeichert ist. Mittels eines solchen maschinenlesbaren Speichermediums ist das oben beschriebene Computerprogramm transportabel.
Unter einer mobilen Plattform kann ein zumindest teilweise automatisiertes System verstanden werden, welches mobil ist, und/oder ein Fahrerassistenzsystem eines Fahrzeugs. Ein Beispiel kann ein zumindest teilweise automatisiertes Fahrzeug bzw. ein Fahrzeug mit einem Fahrerassistenzsystem sein. Das heißt, in diesem Zusammenhang beinhaltet ein zumindest teilweise automatisiertes System eine mobile Plattform in Bezug auf eine zumindest teilweise automatisierte Funktionalität, aber eine mobile Plattform beinhaltet auch Fahrzeuge und andere mobile Maschinen einschließlich Fahrerassistenzsysteme. Weitere Beispiele für mobile Plattformen können Fahrerassistenzsysteme mit mehreren Sensoren, mobile Multisensor- Roboter wie z.B. Roboterstaubsauger oder Rasenmäher, ein Multisensor- Überwachungssystem, eine Fertigungsmaschine, ein persönlicher Assistent oder ein Zugangskontrollsystem sein. Jedes dieser Systeme kann ein vollständig oder teilweise automatisiertes System sein.
Ergänzend ist darauf hinzuweisen, dass „umfassend“ keine anderen Elemente ausschließt und „eine“ oder „ein“ keine Vielzahl ausschließt. Ferner sei darauf hingewiesen, dass Merkmale, die mit Verweis auf eines der obigen Ausführungsbeispiele beschrieben worden sind, auch in Kombination mit anderen Merkmalen anderer oben beschriebener Ausführungsbeispiele verwendet werden können. Bezugszeichen in den Ansprüchen sind nicht als Einschränkung anzusehen.
Ausführungsbeispiele
Ausführungsbeispiele der Erfindung sind in den Figuren 1 bis 2 dargestellt und werden im Folgenden näher erläutert. Es zeigt:
Figur 1 ein skizziertes Bremssystem mit einem elektromechanischen Bremskraftverstärker und einem elektronisches Stabilisierungsprogramm-System; und
Figur 2 ein Flussdiagramm für ein Verfahren zur Steuerung einer Systemeinheit für eine zumindest teilautomatisierte mobile Plattform mit einem ersten Aktorsystem und einem zweiten Aktorsystem.
Die Figur 1 skizziert eine redundante Ausführung eines Bremssystems 100 mit zumindest einem ersten Aktorsystem 120 in Form eines elektromechanischen Bremskraftverstärkers 120 mit der Möglichkeit zur einkanaligen aktiven und ggf. passiven Druck-Modulation, wie z.B. einer Fail-Boost-Einheit oder einem elektromechanischen Bremskraftverstärker, und einem zweiten Aktorsystem 140 in Form eines elektronischen Stabilisierungsprogramm-Systems 140 zur Rad individuellen aktiven und passiven Druck Modulation, z.B. mittels ESP- Rückförderhydraulik, die über eine Verbindung 145 hydraulisch gekoppelt sind. Dabei ist das elektronische Stabilisierungsprogramm-System 140 über eine weitere hydraulische Verbindung 165 mit einem Bremssystem 160 der Reifen des Fahrzeugs gekoppelt. Dabei können das erste Aktorsystem 120 und das zweite Aktorsystem 140 auch signalmäßig und/oder elektrisch gekoppelt sein.
Die Figur 2 skizziert ein Flussdiagramm eines Verfahrens 200 zur Steuerung einer Systemeinheit 100 für eine zumindest teilautomatisierte mobile Plattform mit einem ersten Aktorsystem 120 und einem zweiten Aktorsystem 140, wobei das erste Aktorsystem 120 und das zweite Aktorsystem 140 jeweils einen Hilfs- Betriebsmodus und einen Not-Betriebsmodus aufweisen.
In einem ersten Schritt S1 wird in einem ersten oder zweiten Aktorsystem 120 ein kritischer Fehler identifiziert und das jeweilige vom Fehler betroffene Aktorsystem 120, 140 wechselt in einen inaktiven Betriebsmodus.
In einem weiteren Schritt S2 wechselt das jeweilige nicht von dem Fehler betroffene Aktorsystem in einen Hilfs-Betriebsmodus, um zumindest Teile der Funktionalität des jeweiligen vom Fehler betroffenen Aktorsystems auszuführen, das im inaktiven Betriebsmodus ist.
In einem weiteren Schritt S3 wird bestimmt, ob ein kritischer Fehler im jeweiligen Aktorsystem, das im Hilfs-Betriebsmodus ist, identifiziert wird.
In einem weiteren Schritt S4 schaltet das jeweilige Aktorsystem, das im Hilfs- Betriebsmodus ist, in einen Not-Betriebsmodus S4a, wenn in diesem Aktorsystem ein kritischer Fehler identifiziert wird. Bei einem Bremssystem können dazu Ventile in Druckaufbau-Stellung geschaltet werden S4b.
In einem weiteren Schritt S5 prüft das jeweilige Aktorsystem im Not- Betriebsmodus, ob ein Sollwert für das erste Aktorsystem 120 und/oder das zweite Aktorsystem 140 aktuell empfangen wird bzw. ob eine Bus-Kommunikation mit sollwertgebenden Systemen oder Sensoren möglich ist.
Abhängig vom dem Ergebnis in Schritt S5 wird bei Vorliegen eines empfangenen aktuellen Sollwertes das Aktorsystem im Not- Betriebsmodus eine erste Aktion S6 mit einem Wert des aktuell empfangenen Sollwertes, wie beispielsweise eine Bremsung mit dem Werte des Sollwertes, beispielsweise über eine kennlinienbasierte Ansteuerung des Aktorsystem- Motors ausführen.
Alternativ wird ohne Vorliegen eines empfangenen aktuellen Sollwertes eine zweite Aktion S7, wie beispielsweise ein Not-Stop eines Fahrzeuges, ausgeführt, um ein
Unfallrisiko zu minimieren (Blindes Anhalten).

Claims

Ansprüche
1. Systemeinheit (100) für eine zumindest teilautomatisierte mobile Plattform mit zumindest einem ersten Aktorsystem (120) und einem zweiten Aktorsystem (140), die jeweils zumindest einen Hilfs-Betriebsmodus und einen Not-Betriebsmodus aufweisen; und das erste Aktorsystem (120) und das zweite Aktorsystem (140) jeweils eingerichtet und gekoppelt sind: in einen inaktiven Betriebsmodus zu wechseln, wenn ein kritischer Fehler in dem jeweiligen Aktorsystem (120, 140) identifiziert wird; und in einen Hilfs-Betriebsmodus zu wechseln, wenn eines der Aktorsysteme (120, 140) in den inaktiven Betriebsmodus wechselt, um zumindest Teile einer Funktionalität des jeweiligen Aktorsystems (120, 140) auszuführen, das im inaktiven Betriebsmodus ist; und in einen Not- Betriebsmodus zu schalten, wenn in dem jeweiligen Aktorsystem (120, 140) im Hilfs-Betriebsmodus ein kritischer Fehler identifiziert wird.
2. Systemeinheit (100) gemäß Anspruch 1, wobei das erste Aktorsystem (120) und das zweite Aktorsystem (140) jeweils eingerichtet und gekoppelt sind: einen Sollwert zu empfangen; und im Not-Betriebsmodus zu prüfen, ob der Sollwert aktuell empfangen wird.
3. Systemeinheit (100) gemäß Anspruch 2, wobei das erste Aktorsystem (120) und das zweite Aktorsystem (140) jeweils eingerichtet und gekoppelt sind: im Not- Betriebsmodus mit dem empfangenen aktuellen Sollwert eine erste Aktion auszuführen und/oder ohne empfangenen aktuellen Sollwert eine zweite Aktion auszuführen, wobei die erste Aktion abhängig von einem Wert des empfangenen aktuellen Sollwertes ausgeführt wird.
4. Systemeinheit (100) gemäß einem der vorhergehenden Ansprüche, wobei der kritische Fehler von dem jeweiligen Aktorsystem (120, 140) selbst und/oder dem jeweils anderen der Aktorsysteme (120, 140) und/oder einem übergeordneten System identifiziert wird.
5. Systemeinheit (100) gemäß einem der vorhergehenden Ansprüche, wobei das erste Aktorsystem (120) ein elektronisches Bremskraftverstärker (eBKV)-System und das zweite Aktorsystem (140) ein elektronisches Stabilisierungsprogramm (ESP)- System einer mobilen Plattform ist; oder das erste Aktorsystem (120) ein erstes Lenkungs-System einer mobilen Plattform und das zweite Aktorsystem (140) ein zweites Lenkungs-System einer mobilen Plattform ist; oder das erste Aktorsystem (120) ein integriertes Power Brake - System und das zweite Aktorsystem (140) eine redundante Bremseinheit einer mobilen Plattform ist.
6. Verwendung der Systemeinheit (100) gemäß Anspruch 1 bis 5, für die Steuerung einer zumindest teilautomatisierten mobilen Plattform
7. Verfahren (200) zur Steuerung einer Systemeinheit (100) für eine zumindest teilautomatisierte mobile Plattform mit einem ersten Aktorsystem (120) und einem zweiten Aktorsystem (140), die jeweils einen Hilfs-Betriebsmodus und einen Not- Betriebsmodus aufweisen mit den Schritten:
Wechseln des jeweiligen Aktorsystems in einen inaktiven Betriebsmodus, wenn ein kritischer Fehler in dem jeweiligen Aktorsystem identifiziert (Sl) wird;
Wechsel des jeweiligen Aktorsystems (120, 140) in einen Hilfs-Betriebsmodus (S2), wenn eines der Aktorsysteme (120, 140) in den inaktiven Betriebsmodus wechselt, um zumindest Teile der Funktionalität des jeweiligen Aktorsystems (120,
140) auszuführen, das im inaktiven Betriebsmodus ist;
Schalten des jeweiligen Aktorsystems, das im Hilfs-Betriebsmodus ist, in einen Not-Betriebsmodus (S4), wenn in diesem Aktorsystem ein kritischer Fehler identifiziert wird (S3).
8. Verfahren (200) gemäß Anspruch 7, wobei das Aktorsystem (120, 140) im Not-Betriebsmodus prüft (S5), ob ein Sollwert für das erste Aktorsystem (120) und/oder das zweite Aktorsystem (140) aktuell empfangen wird.
9. Verfahren (200) gemäß Anspruch 8, wobei das Aktorsystem im Not- Betriebsmodus (120, 140) mit dem empfangenen aktuellen Sollwert eine erste Aktion (S6) mit einem Wert des aktuell empfangenen Sollwertes ausführt und/oder ohne empfangenen aktuellen Sollwert eine zweite Aktion (S7) ausführt.
10. Verfahren (200) gemäß Anspruch 8 oder 9, wobei mittels vordefinierten Kennlinien des Aktorsystems im Not-Betriebsmodus (120, 140) und/oder vordefinierten Ventilstellungen des Aktorsystems im Not- Betriebsmodus (120, 140) das Aktorsystem im Not-Betriebsmodus (120, 140) mit dem Wert des empfangenen aktuellen Sollwertes die erste Aktion ausführt (S6).
11. Verfahren nach einem der vorhergehenden Ansprüche, wobei basierend auf dem identifizierten kritischen Fehler und/oder dem inaktiven Betriebsmodus und/oder dem Hilfs-Betriebsmodus und/oder dem Not-Betriebsmodus ein Steuersignal zur Ansteuerung eines zumindest teilautomatisierten Fahrzeugs bereitgestellt wird; und/oder basierend auf dem identifizierten kritischen Fehler und/oder inaktiven Betriebsmodus und/oder Hilfs-Betriebsmodus und/oder Not- Betriebsmodus ein Warnsignal zur Warnung eines Fahrzeuginsassen bereitgestellt wird.
12. Vorrichtung, die eingerichtet ist, ein Verfahren nach einem der Ansprüche 7 bis 11 durchzuführen.
13. Computerprogramm, umfassend Befehle, die bei der Ausführung des
Computerprogramms durch einen Computer diesen veranlassen, das Verfahren nach einem der Ansprüche 7 bis 11 auszuführen.
14. Maschinenlesbares Speichermedium, auf dem das Computerprogramm nach Anspruch 13 gespeichert ist.
EP21713622.5A 2020-04-08 2021-03-17 Systemeinheit mit einem ersten aktorsystem und einem zweiten aktorsystem Pending EP4132824A2 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102020204529.1A DE102020204529A1 (de) 2020-04-08 2020-04-08 Systemeinheit mit einem ersten Aktorsystem und einem zweiten Aktorsystem
PCT/EP2021/056844 WO2021204506A2 (de) 2020-04-08 2021-03-17 Systemeinheit mit einem ersten aktorsystem und einem zweiten aktorsystem

Publications (1)

Publication Number Publication Date
EP4132824A2 true EP4132824A2 (de) 2023-02-15

Family

ID=75143622

Family Applications (1)

Application Number Title Priority Date Filing Date
EP21713622.5A Pending EP4132824A2 (de) 2020-04-08 2021-03-17 Systemeinheit mit einem ersten aktorsystem und einem zweiten aktorsystem

Country Status (6)

Country Link
US (1) US20230065689A1 (de)
EP (1) EP4132824A2 (de)
JP (1) JP2023519905A (de)
CN (1) CN115335267A (de)
DE (1) DE102020204529A1 (de)
WO (1) WO2021204506A2 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102022103798B4 (de) 2022-02-17 2024-01-18 Audi Aktiengesellschaft Verfahren zum Betreiben eines Fahrzeuges

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102007036259A1 (de) * 2007-08-02 2009-02-05 Robert Bosch Gmbh Bremssystem für ein Fahrzeug und ein Verfahren zum Betreiben eines Bremssystems für ein Fahrzeug
DE102014221901A1 (de) * 2014-10-28 2016-04-28 Robert Bosch Gmbh Verfahren zur Bereitstellung eines Sensorsignals im Bremssystem in einem Fahrzeug
DE102017113563A1 (de) * 2017-06-20 2018-12-20 Ipgate Ag Bremssystem
JP6807467B2 (ja) * 2017-10-24 2021-01-06 日立オートモティブシステムズ株式会社 車両制御装置
DE102018206563A1 (de) * 2018-04-27 2019-10-31 Robert Bosch Gmbh Elektromechanischer oder elektromagnetischer Radbremszylinder und Bremssystem für ein Fahrzeug

Also Published As

Publication number Publication date
WO2021204506A3 (de) 2021-12-16
US20230065689A1 (en) 2023-03-02
WO2021204506A2 (de) 2021-10-14
CN115335267A (zh) 2022-11-11
DE102020204529A1 (de) 2021-10-14
JP2023519905A (ja) 2023-05-15

Similar Documents

Publication Publication Date Title
EP3707047B1 (de) System zum wenigstens teilautonomen betrieb eines kraftfahrzeugs mit doppelter redundanz
EP3044056B1 (de) Fahrassistenzsystem mit gesteigerter ausfallsicherheit und verfügbarkeit
EP3584140B1 (de) Verfahren und vorrichtung für die steuerung eines sicherheitsrelevanten vorganges, sowie fahrzeug
EP2766235B1 (de) Fahrzeug und verfahren zum steuern eines fahrzeugs
EP3691945B1 (de) Bremssystem für ein kraftfahrzeug und verfahren zum betreiben eines bremssystems
DE102013007857B4 (de) Verfahren zum Betrieb eines Bremssystems beim vollautomatischen Fahren und Kraftfahrzeug
EP3385934B1 (de) Vorrichtung für die steuerung eines sicherheitsrelevanten vorganges, verfahren zum testen der funktionsfähigkeit der vorrichtung, sowie kraftfahrzeug mit der vorrichtung
DE102016221581A1 (de) Verfahren zum teil- oder vollautonomen Führen eines Kraftfahrzeugs durch eine Steuervorrichtung sowie Steuervorrichtung und Kraftfahrzeug
EP3747733B1 (de) Verfahren zum betreiben eines lenksystems
EP3300974A1 (de) Verfahren und vorrichtung zum steuern einer bremsanlage für ein fahrzeug, bremsanlage und fahrzeug
EP4132824A2 (de) Systemeinheit mit einem ersten aktorsystem und einem zweiten aktorsystem
WO2004108495A1 (de) Bremsvorrichtung und -verfahren für ein fahrzeug
EP2890578B1 (de) Bremssteuervorrichtung für ein fahrzeug und verfahren zum betreiben mindestens eines elektrischen antriebsmotors für ein fahrzeug
DE102012219533A1 (de) Bremsanlage für Kraftfahrzeuge
DE102019211384A1 (de) Verfahren zur Prüfung einer Leistungsfähigkeit einer Versorgungsleitung
WO2022214148A1 (de) Verfahren zum betrieb eines assistenzsystems sowie assistenzsystem
DE102017109175A1 (de) Steuereinrichtung, Fahrerassistenzsystem, Kraftfahrzeug und Verfahren zum Steuern einer Fahrerassistenzfunktion
DE102020211965A1 (de) Verfahren zum Betreiben eines Kraftfahrzeugs
EP3835151B1 (de) Verfahren zur steuerung eines bremssystems eines fahrzeugs
WO2023280451A1 (de) Verfahren zur fehlerdetektion in einer fahrdynamikregelung
DE102021214998A1 (de) Verfahren zur situationsabhängigen Deaktivierung eines elektronischen Bremskraftverstärkers
WO2024115169A1 (de) Verfahren zum betreiben eines kraftfahrzeugs, steuereinrichtung, kraftfahrzeug
DE102021129193A1 (de) Fahrzeugsteuersystem mit Schnittstelleneinheit
WO2024037833A1 (de) Verfahren und vorrichtung zum betreiben eines automatisierten kraftfahrzeugs
DE102020212287A1 (de) Verwendung von Signalintegritäten in Embedded Systemen

Legal Events

Date Code Title Description
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: UNKNOWN

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE INTERNATIONAL PUBLICATION HAS BEEN MADE

PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE

17P Request for examination filed

Effective date: 20221108

AK Designated contracting states

Kind code of ref document: A2

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

DAV Request for validation of the european patent (deleted)
DAX Request for extension of the european patent (deleted)
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: EXAMINATION IS IN PROGRESS

17Q First examination report despatched

Effective date: 20231129