EP4132824A2 - System unit, having a first actuator system and a second actuator system - Google Patents

System unit, having a first actuator system and a second actuator system

Info

Publication number
EP4132824A2
EP4132824A2 EP21713622.5A EP21713622A EP4132824A2 EP 4132824 A2 EP4132824 A2 EP 4132824A2 EP 21713622 A EP21713622 A EP 21713622A EP 4132824 A2 EP4132824 A2 EP 4132824A2
Authority
EP
European Patent Office
Prior art keywords
operating mode
actuator system
actuator
unit
emergency
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
EP21713622.5A
Other languages
German (de)
French (fr)
Inventor
Samuel Bubeck
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Publication of EP4132824A2 publication Critical patent/EP4132824A2/en
Pending legal-status Critical Current

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T17/00Component parts, details, or accessories of power brake systems not covered by groups B60T8/00, B60T13/00 or B60T15/00, or presenting other characteristic features
    • B60T17/18Safety devices; Monitoring
    • B60T17/22Devices for monitoring or checking brake systems; Signal devices
    • B60T17/221Procedure or apparatus for checking or keeping in a correct functioning condition of brake systems
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C5/00Registering or indicating the working of vehicles
    • G07C5/08Registering or indicating performance data other than driving, working, idle, or waiting time, with or without registering driving, working, idle or waiting time
    • G07C5/0816Indicating performance data, e.g. occurrence of a malfunction
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T2270/00Further aspects of brake control systems not otherwise provided for
    • B60T2270/40Failsafe aspects of brake control systems
    • B60T2270/402Back-up
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T2270/00Further aspects of brake control systems not otherwise provided for
    • B60T2270/40Failsafe aspects of brake control systems
    • B60T2270/404Brake-by-wire or X-by-wire failsafe
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T2270/00Further aspects of brake control systems not otherwise provided for
    • B60T2270/40Failsafe aspects of brake control systems
    • B60T2270/413Plausibility monitoring, cross check, redundancy
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • B60W2050/0292Fail-safe or redundant systems, e.g. limp-home or backup systems

Definitions

  • the invention relates to a system unit for an at least partially automated mobile platform with at least one first actuator system and one second actuator system
  • driver assistance systems are increasingly being used in different stages of development. They intervene semi-automatically or automatically in the drive, control (e.g. steering) or signaling devices of the vehicle or use suitable human-machine interfaces to warn the driver shortly before or support them during critical situations.
  • an increasingly expanded range of functions such as support of a driver through power assistance when a brake pedal is actuated by an electromechanical brake booster (eBKV) during brake actuation, or assisting or partially assisting functions by a system unit active modulation of the hydraulic brake pressure (e.g. ESP, eBKV,
  • Future control systems for highly automated and / or partially automated driving and / or autonomous and / or partially autonomous driving require the provision of certain, possibly functional redundancies, so that in the event of an error, a “fail-operational” system, e.g. B. in a brake control system, can be guaranteed to potentially at least To enable a driver to temporarily not monitor the traffic situation, or to allow a temporary lack of responsibility or complete absence of a driver.
  • a “fail-operational” system e.g. B. in a brake control system
  • a vehicle braking system can be designed in such a way that when a first fault occurs in the system, all braking functions can be taken over by a sub-unit of the braking system.
  • all braking functions can be taken over by a sub-unit of the braking system.
  • the responsibility for driving the vehicle can be returned to a driver or a journey must be ended prematurely, since no further functional fall-back level is provided and a second fault in such a braking system could lead to this that the vehicle is no longer able to decelerate.
  • a brake system can have primary and secondary stabilization actuators and the primary actuators provide the (main) stabilization functions in the fault-free state.
  • the secondary actuator system can take over certain functionalities of the primary actuator system in its error-free state. Such a functionality of the secondary actuator system can be limited to the necessary functions of a fallback level or it can encompass the complete range of functions of the primary stabilization actuator system.
  • a braking system in an autonomously driving vehicle i. H. for a use case: autonomous driving SAE Level 4 have a primary and secondary braking unit.
  • the primary brake unit can implement the full range of functions without a secondary brake unit, and the secondary brake unit can have part of the range of functions of the primary unit and, if necessary, take over this part of the functions.
  • Such a functionality provided by a primary actuator system can, for example, be a wheel-specific active and passive pressure modulation, e.g. by means of an electronic stabilization program (ESP)
  • ESP electronic stabilization program
  • Return hydraulic system, and a secondary actuator system can, for example, a functionality of a single-channel active and / or passive Include pressure modulation, which can be implemented, for example, by a fail-boost unit and / or an electromechanical brake booster.
  • a system unit a use of the system unit, a method, a device and a computer program product and a computer-readable storage medium for controlling the system unit according to the features of the independent claims are specified, which at least in part has the stated effects.
  • Advantageous configurations are the subject matter of the dependent claims and the description below.
  • a system unit for an at least partially automated mobile platform with at least one first actuator system and one second actuator system each of which has at least one auxiliary operating mode and one emergency operating mode.
  • the first actuator system and the second actuator system are each set up and coupled to switch to an inactive operating mode if a critical error is identified in the respective actuator system.
  • the first actuator system and the second actuator system are set up and coupled to switch to an auxiliary operating mode when one of the actuator systems switches to the inactive operating mode in order to execute at least parts of a functionality of the respective actuator system that is in the inactive operating mode.
  • the first actuator system and the second actuator system are set up and coupled to switch to an emergency operating mode if a critical error is identified in the respective actuator system in the auxiliary operating mode.
  • This system unit thus provides a further safety level in the form of the emergency operating mode, which is only active when a second critical error in the system unit, i.e. a first error in the respective actuator system that remains active in the auxiliary operating mode, occurs.
  • the actuator system that remains active can, for example, meet all the requirements for the system unit in the auxiliary operating mode of the actuator system until the critical error occurs in the auxiliary operating mode.
  • the actuator system that is still active is intended to provide functionality for minimizing risk for the mobile platform or vehicle occupants of the mobile platform. This functionality can have greatly reduced requirements compared to a normal operating mode.
  • a further safety level can be provided for a system unit in the form of a brake system, which is only active when a second fault affects the remaining brake unit.
  • the respective active actuator system in the auxiliary operating mode in the form of a brake unit of the brake system that remains active can meet all the requirements for a fall-back level of known brake systems up to the second fault.
  • a maneuver to minimize the risk for the vehicle occupants can be carried out with the remaining active actuator system of the brake system, such as the remaining active brake unit, with reduced functionality. For such a maneuver, only greatly reduced requirements for stability and dynamics of the mobile platform equipped with such a braking system apply.
  • the most robust possible operating mode for such a system unit such as a brake system, can be provided, which brings the mobile platform, such as a vehicle, into a safe state in the error case described with a minimum of sensors, communication and actuators can.
  • Such a system unit is implemented in the form of a redundant brake system, it can be used to provide a brake system for highly autonomous driving.
  • this system unit the risk of a (total) failure can be minimized without having to use a third actuator system by implementing a further safety level in both actuators of the system unit in the form described.
  • This further safety level is switched to active in the respective actuator system, which in the first fallback level, for example, provides a braking functionality if an error is also identified or recognized on precisely this actuator system.
  • the system unit described thus provides a further safety level that is largely independent of errors in the respective actuator systems and / or of sensors and / or communication between control units of the actuator systems in order to be able to continue to carry out (emergency) braking.
  • the respective actuator system has a control mechanism that can only control a minimal functionality directly.
  • this can affect both the hydraulic valves, if they have to be switched to a certain position for pressure build-up in the actuator system, and the motor control.
  • a redundant braking system can be provided for highly autonomous journeys.
  • the system unit is not automatically switched off, but instead, for example, carries out (emergency) braking.
  • the primary brake unit when a first critical error occurs, can implement the full range of functions without the secondary brake unit, or the secondary brake unit can take over part of the range of functions of the primary unit.
  • a further safety level is therefore provided, which is only active when a second fault in the system unit affects the remaining braking unit.
  • the remaining brake unit can, for example, meet all the requirements for the fallback level of known brake systems until a second fault occurs in the brake system.
  • This additional fall-back level can provide additional security in a situation in which only one of the two brake units is functional.
  • the respective actuator system can be set up to additionally execute at least parts of a functionality of the respective other actuator system. According to one aspect, it is proposed that the first actuator system and the second actuator system are each set up and coupled to receive a target value and to check in the emergency operating mode whether the target value is currently being received.
  • Such a target value can be specified for the respective actuator system in order to set the target value in a control loop or in accordance with a characteristic curve. Since, in the event of a fault, communication with sensors providing setpoint values can be disturbed, an emergency operating mode can be used to check whether such communication in the form of receiving setpoint values is intact. The further behavior of the respective actuator system in the emergency operating mode can then be made dependent on the setpoint.
  • the first actuator system and the second actuator system are each set up and coupled to perform a first action in the emergency operating mode with the current setpoint received and / or to perform a second action without the current setpoint received, the first action being dependent on a value of the received current setpoint is executed.
  • Such a setpoint value can for example be transmitted via a bus system from a setpoint value generating system and / or a sensor to the respective actuator system.
  • the system unit does not have to be set up to check this transmission or communication, for example in the emergency operating mode, in order to be able to decide whether such a setpoint, for example in the form of a braking force of a virtual driver of an at least partially automated mobile platform, can be implemented.
  • a first action can, for example, relate to an action that is implemented in accordance with the value of the setpoint, and the second action can relate, for example, to an action that is permanently specified.
  • the first action can correspond to braking with a predefined braking force or a correspondingly predefined braking profile
  • the second action can be a predefined emergency braking.
  • the first action can be implemented by means of a control loop and / or a control system by means of a characteristic curve.
  • the actuation of the actuator system in the emergency Operating mode can be controlled based on characteristics and / or controlled with a complete control system.
  • Such a check of the functionality of the communication with a system providing setpoints can be rated positively if current setpoints are transferred to the respective actuator system at the respective point in time.
  • the mobile platform such as a partially automated vehicle, for example with braking, can be brought into a safe state.
  • the critical error be identified by the respective actuator system itself and / or the respective other of the actuator systems and / or a higher-level system.
  • the first actuator system is an electronic brake booster (eBKV) system and the second actuator system is an electronic stabilization program (ESP) system of a mobile platform; or the first actuator system is a first steering system of a mobile platform and the second actuator system is a second steering system of a mobile platform; or the first actuator system is an integrated power brake system (IPB) and the second actuator system is a redundant brake unit (RBU) of a mobile platform.
  • eBKV electronic brake booster
  • ESP electronic stabilization program
  • IPB integrated power brake system
  • RBU redundant brake unit
  • the second steering system can be designed as a redundant system to the first steering system.
  • the integrated Power Brake System (IPB) with the redundant brake unit (RBU) is a redundant brake system combination that is an alternative to an electronic brake booster (eBKV) system and an electronic stabilization program (ESP) system for the automated system Driving is.
  • eBKV electronic brake booster
  • ESP electronic stabilization program
  • the integrated Power Brake System takes on the tasks of eBKV and ESP with an actuator system, in other words a one-box brake system.
  • the redundant braking unit takes over the functions of the Brake pressure build-up and stabilization only in the event of a fault in the integrated Power Brake System (IPB) and is otherwise completely passive.
  • the safety of the brake system resulting therefrom can be provided through the construction of a brake system in accordance with the system unit.
  • a method for controlling a system unit for an at least partially automated mobile platform with a first actuator system and a second actuator system is proposed, the first actuator system and the second actuator system each having an auxiliary operating mode and an emergency operating mode, and the method the following steps having.
  • the respective actuator system changes to an inactive operating mode if a critical error is identified in the respective actuator system.
  • the respective actuator system changes to an auxiliary operating mode when one of the actuator systems changes to the inactive operating mode in order to carry out at least parts of the functionality of the respective actuator system that is in the inactive operating mode.
  • the respective actuator system which is in the auxiliary operating mode, switches to an emergency operating mode if a critical error is identified in this actuator system.
  • the actuator system checks in the emergency operating mode whether a setpoint value for the first actuator system and / or the second actuator system is currently being received.
  • Such a target value can be specified for the respective actuator system in order to set the target value in a control loop or in accordance with a characteristic curve. Since, in the event of a fault, communication with sensors providing setpoint values can be disturbed, an emergency operating mode can be used to check whether such communication in the form of receiving setpoint values is intact. The further behavior of the respective actuator system in the emergency operating mode can then be made dependent on the setpoint.
  • the actuator system in the emergency operating mode with the received current setpoint carries out a first action with a value of the currently received setpoint and / or carries out a second action without received current setpoint.
  • the actuator system in the emergency operating mode executes the first action with the value of the current setpoint received.
  • the method for controlling a system unit for the first action can be designed as robustly and as less complex as possible.
  • a method which, based on the identified critical error and / or inactive operating mode and / or auxiliary operating mode and / or emergency operating mode of the method for controlling a system unit, provides a control signal for controlling an at least partially automated vehicle; and / or based on the identified critical fault and / or inactive operating mode and / or auxiliary operating mode and / or emergency operating mode, a warning signal for warning a vehicle occupant is provided.
  • the term “based on” is broad in relation to the feature that a control signal is provided based on the identified critical fault and / or inactive operating mode and / or auxiliary operating mode and / or emergency operating mode of the method for controlling a system unit to understand.
  • the identified critical error and / or the inactive operating mode and / or the auxiliary operating mode and / or the emergency operating mode of the method for controlling a system unit is used for any determination or calculation of a control signal, but not excludes that other input variables are also used for this determination of the control signal.
  • a higher-level unit or control such as a virtual and / or a real Driver to be informed of this restriction.
  • further functionalities can be called up from a higher-level unit, such as support for the brakes by means of secondary actuator systems, such as an engine control, a parking brake or steering interventions to avoid collisions.
  • a device which is set up to carry out one of the methods described above. With such a device, the corresponding method can easily be integrated into different systems.
  • a computer program which comprises instructions which, when the computer program is executed by a computer, cause the computer to carry out the method described above.
  • Such a computer program enables the described method to be used in different systems.
  • a machine-readable storage medium is proposed on which the computer program described above is stored.
  • the computer program described above is transportable by means of such a machine-readable storage medium.
  • a mobile platform can be understood to mean an at least partially automated system which is mobile and / or a driver assistance system of a vehicle.
  • An example can be at least one be a partially automated vehicle or a vehicle with a driver assistance system. That is, in this context, an at least partially automated system includes a mobile platform with regard to an at least partially automated functionality, but a mobile platform also includes vehicles and other mobile machines including driver assistance systems.
  • Further examples of mobile platforms can be driver assistance systems with several sensors, mobile multi-sensor robots such as robotic vacuum cleaners or lawn mowers, a multi-sensor monitoring system, a production machine, a personal assistant or an access control system. Each of these systems can be a fully or partially automated system.
  • FIGS. 1 to 2 Exemplary embodiments of the invention are shown in FIGS. 1 to 2 and are explained in more detail below. It shows:
  • FIG. 1 shows a sketched brake system with an electromechanical brake booster and an electronic stabilization program system
  • FIG. 2 shows a flow diagram for a method for controlling a system unit for an at least partially automated mobile platform with a first actuator system and a second actuator system.
  • FIG. 1 outlines a redundant embodiment of a brake system 100 with at least one first actuator system 120 in the form of an electromechanical brake booster 120 with the possibility of single-channel active and possibly passive pressure modulation, such as a fail-boost unit or an electromechanical brake booster, and a second actuator system 140 in Form of an electronic stabilization program system 140 for wheel individual active and passive pressure modulation, for example by means of ESP return hydraulics, which are hydraulically coupled via a connection 145.
  • the electronic stabilization program system 140 is coupled to a brake system 160 of the tires of the vehicle via a further hydraulic connection 165.
  • the first actuator system 120 and the second actuator system 140 can also be coupled in terms of signals and / or electrically.
  • FIG. 2 outlines a flowchart of a method 200 for controlling a system unit 100 for an at least partially automated mobile platform with a first actuator system 120 and a second actuator system 140, the first actuator system 120 and the second actuator system 140 each having an auxiliary operating mode and an emergency Have operating mode.
  • a critical error is identified in a first or second actuator system 120 and the respective actuator system 120, 140 affected by the error changes to an inactive operating mode.
  • step S2 the respective actuator system not affected by the error changes to an auxiliary operating mode in order to execute at least parts of the functionality of the respective actuator system affected by the error, which is in the inactive operating mode.
  • step S3 it is determined whether a critical error is identified in the respective actuator system which is in the auxiliary operating mode.
  • step S4 the respective actuator system, which is in the auxiliary operating mode, switches to an emergency operating mode S4a if a critical error is identified in this actuator system.
  • valves can be switched to the pressure build-up position for this purpose S4b.
  • step S5 the respective actuator system checks in the emergency operating mode whether a setpoint value for the first actuator system 120 and / or the second actuator system 140 is currently being received or whether bus communication with setpoint value systems or sensors is possible.
  • step S5 if a current setpoint value is received, the actuator system will also initiate a first action S6 in the emergency operating mode Carry out a value of the currently received setpoint, such as braking with the values of the setpoint, for example via a characteristic-based control of the actuator system motor.
  • a second action S7 such as an emergency stop of a vehicle, is carried out in the absence of a received current setpoint value in order to initiate a

Landscapes

  • Engineering & Computer Science (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Automation & Control Theory (AREA)
  • Human Computer Interaction (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Regulating Braking Force (AREA)
  • Valves And Accessory Devices For Braking Systems (AREA)
  • Safety Devices In Control Systems (AREA)
  • Hardware Redundancy (AREA)
  • Control Of Driving Devices And Active Controlling Of Vehicle (AREA)

Abstract

The invention relates to a system unit for an at least semi-automated mobile platform, comprising at least a first actuator system and a second actuator system, each of which has at least an auxiliary operating mode and an emergency operating mode, the first actuator system and the second actuator system each being designed and coupled to switch to an inactive operating mode if a critical error is identified in the actuator system in question and to switch to an auxiliary operating mode if one of the actuator systems switches to the inactive operating mode, in order to additionally carry out at least parts of a functionality of the actuator system that is in the inactive operating mode, and to switch to an emergency operating mode if a critical error is identified in the actuator system in question in the auxiliary operating mode.

Description

Beschreibung description
Titel title
Systemeinheit mit einem ersten Aktorsystem und einem zweiten Aktorsystem System unit with a first actuator system and a second actuator system
Die Erfindung betrifft eine Systemeinheit für eine zumindest teilautomatisierte mobile Plattform mit zumindest einem ersten Aktorsystem und einem zweiten Aktorsystem The invention relates to a system unit for an at least partially automated mobile platform with at least one first actuator system and one second actuator system
Stand der Technik State of the art
Fahrerassistenzsysteme finden in heutigen Kraftfahrzeugen zunehmend in unterschiedlichen Ausprägungsstufen Verbreitung. Sie greifen teilautomatisiert oder automatisiert in Antrieb, Steuerung (z.B. Lenkung) oder Signalisierungs einrichtungen des Fahrzeugs ein oder warnen durch geeignete Mensch- Maschine-Schnittsteilen den Fahrer kurz vor oder unterstützen während kritischer Situationen. In today's motor vehicles, driver assistance systems are increasingly being used in different stages of development. They intervene semi-automatically or automatically in the drive, control (e.g. steering) or signaling devices of the vehicle or use suitable human-machine interfaces to warn the driver shortly before or support them during critical situations.
Dazu weisen exemplarisch aktuelle Fahrzeugbremssysteme neben stabilisierenden Funktionen, z. B. in der Form des klassischen ESP/ABS, einen zunehmend erweiterten Funktionsumfang auf: wie Support eines Fahrers durch Kraftunterstützung bei Betätigung eines Bremspedals durch einen elektromechanischen Bremskraftverstärker (eBKV) bei einer Bremsaktuation, oder assistierende bzw. teilassistierende Funktionen durch eine System- Einheit zur aktiven Modulierung des hydraulischen Bremsdrucks (z.B.: ESP, eBKV,In addition to stabilizing functions, e.g. B. in the form of the classic ESP / ABS, an increasingly expanded range of functions: such as support of a driver through power assistance when a brake pedal is actuated by an electromechanical brake booster (eBKV) during brake actuation, or assisting or partially assisting functions by a system unit active modulation of the hydraulic brake pressure (e.g. ESP, eBKV,
Boost- Einheit, etc.), ohne aktive Beteiligung des Fahrers. Boost unit, etc.) without the active participation of the driver.
Offenbarung der Erfindung Disclosure of the invention
Zukünftige Regelsysteme für hochautomatisiertes und/oder teilautomatisiertes Fahren und/oder autonomes und/oder teilautonomes Fahren erfordern den Vorhalt bestimmter ggf. funktionaler Redundanzen, so dass im Fehlerfall zumindest zeitlich beschränkt ein „fail-operational“ System, z. B. bei einem Bremsregelsystem, gewährleistet werden kann, um potentiell zumindest zeitweise fehlende Überwachung der Verkehrssituation durch einen Fahrer, respektive temporär fehlende Verantwortungshoheit oder gänzliche Abwesenheit eines Fahrers zu ermöglichen. Future control systems for highly automated and / or partially automated driving and / or autonomous and / or partially autonomous driving require the provision of certain, possibly functional redundancies, so that in the event of an error, a “fail-operational” system, e.g. B. in a brake control system, can be guaranteed to potentially at least To enable a driver to temporarily not monitor the traffic situation, or to allow a temporary lack of responsibility or complete absence of a driver.
Beispielsweise kann ein Fahrzeugbremssystem so ausgelegt sein, dass bei Auftreten eines ersten Fehlers im System alle Bremsfunktionen von einer Untereinheit des Bremssystems übernommen werden können. Zusätzlich kann für bekannte automatisierte Fahrfunktionen, beispielsweise in einem SAE Level 3 und kleiner, die Verantwortung zur Fahrzeugführung an einen Fahrer zurückgegeben oder eine Fahrt muss vorzeitig beendet werden, da keine weitere funktionale Rückfallebene vorgesehen ist und ein zweiter Fehler in einem solchen Bremssystem dazu führen könnte, dass die Verzögerungsfähigkeit des Fahrzeugs nicht mehr gegeben ist. For example, a vehicle braking system can be designed in such a way that when a first fault occurs in the system, all braking functions can be taken over by a sub-unit of the braking system. In addition, for known automated driving functions, for example in an SAE level 3 and lower, the responsibility for driving the vehicle can be returned to a driver or a journey must be ended prematurely, since no further functional fall-back level is provided and a second fault in such a braking system could lead to this that the vehicle is no longer able to decelerate.
Dies ist insbesondere von Bedeutung, wenn ein solches System in einem Fahrmodus eingesetzt wird, in dem kein Fahrer vorhanden ist oder ein Fahrer in einem solchen Fahrmodus keinen Eingriff vornehmen kann. This is particularly important when such a system is used in a driving mode in which there is no driver or a driver cannot intervene in such a driving mode.
Exemplarisch kann ein Bremssystem eine primäre und sekundäre Stabilisierungsaktuatorik aufweisen und die primäre Aktuatorik im fehlerfreien Zustand die (Haupt-) Stabilisierungsfunktionen bereitstellen. As an example, a brake system can have primary and secondary stabilization actuators and the primary actuators provide the (main) stabilization functions in the fault-free state.
Typischerweise kann die sekundäre Aktuatorik dabei in ihrem fehlerfreien Zustand gewisse Funktionalitäten der primären Aktuatorik übernehmen. Eine solche Funktionalität der sekundären Aktuatorik kann dabei auf notwendige Funktionen einer Rückfallebene beschränkt sein oder den kompletten Funktionsumfang der primären Stabilisierungsaktuatorik umfassen. Typically, the secondary actuator system can take over certain functionalities of the primary actuator system in its error-free state. Such a functionality of the secondary actuator system can be limited to the necessary functions of a fallback level or it can encompass the complete range of functions of the primary stabilization actuator system.
Beispielsweise kann ein Bremssystem in einem autonom fahrenden Fahrzeug, d. h. für einen use-case: autonomes Fahren SAE Level 4 eine primäre und sekundäre Bremseinheit aufweisen. Im Fall eines Fehlers des Bremssystems kann die primäre Bremseinheit ohne eine sekundäre Bremseinheit den vollen Funktionsumfang umsetzen und die sekundäre Bremseinheit kann einen Teil des Funktionsumfangs der primären Einheit aufweisen und gegebenenfalls diesen Teil der Funktionen übernehmen. For example, a braking system in an autonomously driving vehicle, i. H. for a use case: autonomous driving SAE Level 4 have a primary and secondary braking unit. In the event of a fault in the brake system, the primary brake unit can implement the full range of functions without a secondary brake unit, and the secondary brake unit can have part of the range of functions of the primary unit and, if necessary, take over this part of the functions.
Eine solche, von einer primären Aktuatorik bereitgestellte, Funktionalität kann beispielsweise eine Rad-individuelle aktive und passive Druck-Modulation, z.B. mittels einer elektronisches Stabilisierungsprogramm- (ESP-)Such a functionality provided by a primary actuator system can, for example, be a wheel-specific active and passive pressure modulation, e.g. by means of an electronic stabilization program (ESP)
Rückförderhydraulik, umfassen und eine sekundäre Aktuatorik kann beispielsweise eine Funktionalität einer einkanaligen aktiven und/oder passiven Druck-Modulation umfassen, die z.B. durch eine Fail-Boost-Einheit und/oder einen elektromechanischen Bremskraftverstärker realisiert sein kann. Return hydraulic system, and a secondary actuator system can, for example, a functionality of a single-channel active and / or passive Include pressure modulation, which can be implemented, for example, by a fail-boost unit and / or an electromechanical brake booster.
Da eine sichere Übernahme des Fahrers in einem SAE Level 4 Fahrzeug in einem Fehlerfall, in dem dann nur eines der zwei Bremseinheiten funktionsfähig ist, nicht möglich ist, soll ein solches System möglichst sicher ausgelegt werden. Since it is not possible to safely take over the driver in an SAE level 4 vehicle in the event of a fault in which only one of the two brake units is then functional, such a system should be designed to be as safe as possible.
Ein solches System durch eine optimale Reaktion auf einen weiteren Fehler auszulegen ist durch die Kombinationsmöglichkeiten entsprechender Fehler sehr komplex, fehleranfällig und aufgrund der sehr geringen Wahrscheinlichkeit dieser Situation nicht wirtschaftlich, da für die optimale Reaktion alle aktiven Regler des Systems für die entsprechende Fehlersituation ausgelegt werden müssen. D. h. insbesondere fehlende oder fehlerhafte Signalen müssen abfangen werden können und alle benötigten Signale von Sensoren und Aktoren müssen weiterhin auf Plausibilität überwacht werden. Da jedoch durch die bereits erkannten Fehler ein Teil der Fehlererkennungsmechanismen nicht mehr funktionsfähig ist, ist dies nur mit hohem Software Entwicklungsaufwand unter Inkaufnahme einer geringeren Wahrscheinlichkeit für eine Entdeckung von Fehlern möglich. Designing such a system through an optimal reaction to a further error is very complex, error-prone and, due to the very low probability of this situation, not economical due to the possible combinations of corresponding errors, since all active controllers of the system must be designed for the corresponding error situation for the optimal reaction . I. E. In particular, missing or incorrect signals must be able to be intercepted and all required signals from sensors and actuators must continue to be monitored for plausibility. However, since some of the error detection mechanisms are no longer functional due to the errors that have already been recognized, this is only possible with a high level of software development effort while accepting a lower probability of detecting errors.
Entsprechend einem Aspekt der Erfindung wird eine Systemeinheit, eine Verwendung der Systemeinheit, ein Verfahren, eine Vorrichtung sowie ein Computerprogrammprodukt und ein computerlesbares Speichermedium zur Steuerung der Systemeinheit gemäß den Merkmalen der unabhängigen Ansprüche angegeben, welches zumindest zum Teil die genannten Wirkungen aufweist. Vorteilhafte Ausgestaltungen sind Gegenstand der abhängigen Ansprüche sowie der nachfolgenden Beschreibung. According to one aspect of the invention, a system unit, a use of the system unit, a method, a device and a computer program product and a computer-readable storage medium for controlling the system unit according to the features of the independent claims are specified, which at least in part has the stated effects. Advantageous configurations are the subject matter of the dependent claims and the description below.
Gemäß einem Aspekt wird eine Systemeinheit für eine zumindest teilautomatisierte mobile Plattform mit zumindest einem ersten Aktorsystem und einem zweiten Aktorsystem vorgeschlagen, die jeweils zumindest einen Hilfs-Betriebsmodus und einen Not- Betriebsmodus aufweisen. Dabei sind das erste Aktorsystem und das zweite Aktorsystem jeweils eingerichtet und gekoppelt in einen inaktiven Betriebsmodus zu wechseln, wenn ein kritischer Fehler in dem jeweiligen Aktorsystem identifiziert wird. Weiterhin sind das erste Aktorsystem und das zweite Aktorsystem eingerichtet und gekoppelt in einen Hilfs-Betriebsmodus zu wechseln, wenn eines der Aktorsysteme in den inaktiven Betriebsmodus wechselt, um zumindest Teile einer Funktionalität des jeweiligen Aktorsystems auszuführen, das im inaktiven Betriebsmodus ist. Darüber hinaus ist das erste Aktorsystem und das zweite Aktorsystem eingerichtet und gekoppelt in einen Not-Betriebsmodus zu schalten, wenn in dem jeweilige Aktorsystem im Hilfs-Betriebsmodus ein kritischer Fehler identifiziert wird. According to one aspect, a system unit for an at least partially automated mobile platform with at least one first actuator system and one second actuator system is proposed, each of which has at least one auxiliary operating mode and one emergency operating mode. The first actuator system and the second actuator system are each set up and coupled to switch to an inactive operating mode if a critical error is identified in the respective actuator system. Furthermore, the first actuator system and the second actuator system are set up and coupled to switch to an auxiliary operating mode when one of the actuator systems switches to the inactive operating mode in order to execute at least parts of a functionality of the respective actuator system that is in the inactive operating mode. In addition, the first actuator system and the second actuator system are set up and coupled to switch to an emergency operating mode if a critical error is identified in the respective actuator system in the auxiliary operating mode.
Somit wird mit dieser Systemeinheit eine weitere Sicherheitsebene in Form des Not-Betriebsmodus bereitgestellt, die erst dann aktiv ist, wenn ein zweiter kritischer Fehler der Systemeinheit, also ein erster Fehler des jeweiligen aktiv verbleibenden Aktorsystems in dem Hilfs-Betriebsmodus, auftritt. Das aktiv verbleibende Aktorsystem kann beispielsweise bis zum Auftreten des kritischen Fehlers im Hilfs-Betriebsmodus alle Anforderungen an die Systemeinheit im Hilfs-Betriebsmodus des Aktorsystems erfüllen. Nach dem zweiten Fehler der Systemeinheit soll das noch aktive Aktorsystem eine Funktionalität zur Risiko- Minimierung für die mobile Plattform bzw. Fahrzeuginsassen der mobilen Plattform bereitstellen. Dabei kann diese Funktionalität stark reduzierte Anforderung gegenüber einem Normal-Betriebsmodus aufweisen. This system unit thus provides a further safety level in the form of the emergency operating mode, which is only active when a second critical error in the system unit, i.e. a first error in the respective actuator system that remains active in the auxiliary operating mode, occurs. The actuator system that remains active can, for example, meet all the requirements for the system unit in the auxiliary operating mode of the actuator system until the critical error occurs in the auxiliary operating mode. After the second fault in the system unit, the actuator system that is still active is intended to provide functionality for minimizing risk for the mobile platform or vehicle occupants of the mobile platform. This functionality can have greatly reduced requirements compared to a normal operating mode.
Beispielsweise kann für eine Systemeinheit in Form eines Bremssystems eine weitere Sicherheitsebene bereitgestellt werden, die erst dann aktiv ist, wenn ein zweiter Fehler die noch verbleibende Bremseinheit beeinträchtigt. Das jeweilige aktive Aktorsystem im Hilfs-Betriebsmodus in Form einer aktiv verbleibenden Bremseinheit des Bremssystems kann bis zum zweiten Fehler alle Anforderungen an eine Rückfallebene bekannter Bremssysteme erfüllen. Nach dem zweiten Fehler des Bremssystems kann mit dem noch verbliebenen aktiven Aktorsystem des Bremssystems, wie beispielsweise der verbleibenden aktiven Bremseinheit, mit einer reduzierten Funktionalität ein Manöver zur Risiko- Minimierung für die Fahrzeuginsassen durchgeführt werden. Für ein solches Manöver gelten nur noch stark reduzierte Anforderungen an Stabilität und Dynamik der mit einem solchen Bremssystem ausgestatteten mobilen Plattform. For example, a further safety level can be provided for a system unit in the form of a brake system, which is only active when a second fault affects the remaining brake unit. The respective active actuator system in the auxiliary operating mode in the form of a brake unit of the brake system that remains active can meet all the requirements for a fall-back level of known brake systems up to the second fault. After the second fault in the brake system, a maneuver to minimize the risk for the vehicle occupants can be carried out with the remaining active actuator system of the brake system, such as the remaining active brake unit, with reduced functionality. For such a maneuver, only greatly reduced requirements for stability and dynamics of the mobile platform equipped with such a braking system apply.
Somit kann mit einer solchen Systemeinheit ein möglichst robuster Betriebsmodus für eine solche Systemeinheit, wie beispielsweise eines Bremssystems, bereitgestellt werden, das mit einem Minimum an Sensorik, Kommunikation und Aktorik die mobile Plattform, wie beispielsweise ein Fahrzeug, im beschriebenen Fehlerfall in einen sicheren Zustand bringen kann. Thus, with such a system unit, the most robust possible operating mode for such a system unit, such as a brake system, can be provided, which brings the mobile platform, such as a vehicle, into a safe state in the error case described with a minimum of sensors, communication and actuators can.
Wenn eine solche Systemeinheit in Form eines redundanten Bremssystems realisiert wird, kann damit ein Bremssystem für das hochautonome Fahren bereitgestellt werden. Somit kann also mit dieser Systemeinheit ein Risiko eines (Total-) Ausfalls minimiert werden, ohne dass ein drittes Aktorsystem eingesetzt werden muss, indem in der beschriebenen Form eine weitere Sicherheitsebene in beide Aktuatoren der Systemeinheit implementiert wird. Diese weitere Sicherheitsebene wird in dem jeweiligen Aktorsystem aktiv geschaltet, das in der ersten Rückfallebene beispielsweise eine Bremsfunktionalität bereitstellt, wenn auf genau diesem Aktorsystem auch ein Fehler identifiziert bzw. erkannt wird. If such a system unit is implemented in the form of a redundant brake system, it can be used to provide a brake system for highly autonomous driving. Thus, with this system unit, the risk of a (total) failure can be minimized without having to use a third actuator system by implementing a further safety level in both actuators of the system unit in the form described. This further safety level is switched to active in the respective actuator system, which in the first fallback level, for example, provides a braking functionality if an error is also identified or recognized on precisely this actuator system.
Somit stellt die beschriebene Systemeinheit eine weitere Sicherheitsebene bereit, die weitgehend unabhängig von Fehlern der jeweiligen Aktorsysteme und/oder von Sensorik und/oder einer Kommunikation zwischen Steuergeräten der Aktorsysteme ist, um weiterhin eine (Not-) Bremsung durchführen zu können. The system unit described thus provides a further safety level that is largely independent of errors in the respective actuator systems and / or of sensors and / or communication between control units of the actuator systems in order to be able to continue to carry out (emergency) braking.
Dazu weist das jeweilige Aktorsystem einen Steuerungsmechanismus auf, der ausschließlich eine minimale Funktionalität direkt ansteuern kann. Bei Bremssystemen kann dies sowohl die hydraulischen Ventile betreffen, falls diese für Druckaufbau im Aktorsystem in eine bestimmte Stellung geschalten werden müssen, als auch die Motoransteuerung. Mit einer solchen Systemeinheit kann ein redundantes Bremssystem für hochautonome Fahrten bereitgestellt werden. For this purpose, the respective actuator system has a control mechanism that can only control a minimal functionality directly. In the case of brake systems, this can affect both the hydraulic valves, if they have to be switched to a certain position for pressure build-up in the actuator system, and the motor control. With such a system unit, a redundant braking system can be provided for highly autonomous journeys.
Vorteilhafterweise wird also auch nach Auftreten bzw. dem Identifizieren von zwei kritischen Fehlern in einer solchen Systemeinheit, wie beispielsweise eines Bremssystems, bestehend aus einer primären und sekundären Bremseinheit, die Systemeinheit nicht selbständig abgeschaltet, sondern beispielsweise noch eine (Not-) Bremsung durchführt. Advantageously, even after the occurrence or identification of two critical errors in such a system unit, such as a brake system consisting of a primary and secondary brake unit, the system unit is not automatically switched off, but instead, for example, carries out (emergency) braking.
Mit anderen Worten kann somit beim Auftreten eines ersten kritischen Fehlers die primäre Bremseinheit ohne die sekundäre Bremseinheit den vollen Funktionsumfang umsetzen oder die sekundäre Bremseinheit kann einen Teil des Funktionsumfangs der primären Einheit übernehmen. Es wird also eine weitere Sicherheitsebene bereitgestellt, die erst dann aktiv ist, wenn ein zweiter Fehler der Systemeinheit die noch verbleibende Bremseinheit beeinträchtigt. Die verbleibende Bremseinheit kann beispielsweise bis zum Auftreten eines zweiten Fehlers in dem Bremssystem alle Anforderungen an die Rückfallebene bekannter Bremssysteme erfüllen. Durch diese zusätzliche Rückfallebene kann in einer Situation, in der nur eine der zwei Bremseinheiten funktionsfähig ist, eine zusätzliche Sicherheit bereitgestellt werden. Dabei kann das jeweilige Aktorsystem eingerichtet sein, zumindest Teile einer Funktionalität des jeweils anderen Aktorsystems zusätzlich auszuführen. Gemäß einem Aspekt wird vorgeschlagen, dass das erste Aktorsystem und das zweite Aktorsystem jeweils eingerichtet und gekoppelt sind einen Sollwert zu empfangen und im Not-Betriebsmodus zu prüfen, ob der Sollwert aktuell empfangen wird. In other words, when a first critical error occurs, the primary brake unit can implement the full range of functions without the secondary brake unit, or the secondary brake unit can take over part of the range of functions of the primary unit. A further safety level is therefore provided, which is only active when a second fault in the system unit affects the remaining braking unit. The remaining brake unit can, for example, meet all the requirements for the fallback level of known brake systems until a second fault occurs in the brake system. This additional fall-back level can provide additional security in a situation in which only one of the two brake units is functional. The respective actuator system can be set up to additionally execute at least parts of a functionality of the respective other actuator system. According to one aspect, it is proposed that the first actuator system and the second actuator system are each set up and coupled to receive a target value and to check in the emergency operating mode whether the target value is currently being received.
Ein solcher Sollwert kann dem jeweiligen Aktorsystem vorgegeben werden, um den Sollwert in einem Regelkreis oder entsprechend einer Kennlinie einzustellen. Da in einem Fehlerfall die Kommunikation mit sollwertgebenden Sensoren gestört sein kann, kann in einem Not-Betriebsmodus überprüft werden, ob eine solche Kommunikation in Form des Empfangens von Sollwerten intakt ist. Das weitere Verhalten des jeweiligen Aktorsystems im Not-Betriebsmodus kann dann von dem Sollwert abhängig gemacht werden. Such a target value can be specified for the respective actuator system in order to set the target value in a control loop or in accordance with a characteristic curve. Since, in the event of a fault, communication with sensors providing setpoint values can be disturbed, an emergency operating mode can be used to check whether such communication in the form of receiving setpoint values is intact. The further behavior of the respective actuator system in the emergency operating mode can then be made dependent on the setpoint.
Gemäß einem Aspekt wird vorgeschlagen, dass das erste Aktorsystem und das zweite Aktorsystem jeweils eingerichtet und gekoppelt sind im Not-Betriebsmodus mit dem empfangenen aktuellen Sollwert eine erste Aktion auszuführen und/oder ohne empfangenen aktuellen Sollwert eine zweite Aktion auszuführen, wobei die erste Aktion abhängig von einem Wert des empfangenen aktuellen Sollwertes ausgeführt wird. According to one aspect, it is proposed that the first actuator system and the second actuator system are each set up and coupled to perform a first action in the emergency operating mode with the current setpoint received and / or to perform a second action without the current setpoint received, the first action being dependent on a value of the received current setpoint is executed.
Ein solcher Sollwert kann beispielsweise über ein Bussystem von einem sollwertgebenden System und/oder einem Sensor an das jeweilige Aktorsystem übertragen werden. Die Systemeinheit kein eingerichtet sein, beispielsweise im Not- Betriebsmodus diese Übertragung bzw. Kommunikation zu überprüfen, um entscheiden zu können, ob ein solcher Sollwert, beispielsweise in Form einer Bremskraft eines virtuellen Fahrers einer zumindest teilautomatisierten mobilen Plattform, umgesetzt werden kann. Eine erste Aktion kann beispielsweise eine Aktion betreffen, die entsprechend dem Wert des Sollwerts umgesetzt wird und die zweite Aktion kann beispielsweise eine Aktion betreffen, die fest vorgegeben ist. Für ein Bremssystem kann die erste Aktion eine Bremsung mit einer vorgegebenen Bremskraft bzw. einem entsprechend vorgegebenen Bremsverlauf entsprechen und die zweite Aktion kann eine vorgegebene Notfall-Bremsung sein. Dabei kann die erste Aktion mittels eines Regelkreises und/oder einer Steuerung mittels einer Kennlinie umgesetzt werden. Such a setpoint value can for example be transmitted via a bus system from a setpoint value generating system and / or a sensor to the respective actuator system. The system unit does not have to be set up to check this transmission or communication, for example in the emergency operating mode, in order to be able to decide whether such a setpoint, for example in the form of a braking force of a virtual driver of an at least partially automated mobile platform, can be implemented. A first action can, for example, relate to an action that is implemented in accordance with the value of the setpoint, and the second action can relate, for example, to an action that is permanently specified. For a braking system, the first action can correspond to braking with a predefined braking force or a correspondingly predefined braking profile, and the second action can be a predefined emergency braking. The first action can be implemented by means of a control loop and / or a control system by means of a characteristic curve.
Um die Abhängigkeit der Systemeinheit von internen und externen Signalen, die in diesem Not-Betriebsmodus gegebenenfalls nicht mehr überwacht werden, möglichst gering zu halten, kann die Ansteuerung des Aktorsystems im Not- Betriebsmodus kennlinienbasiert angesteuert werden und/oder mit einer vollständigen Regelung gesteuert werden. In order to keep the dependency of the system unit on internal and external signals, which may no longer be monitored in this emergency operating mode, as low as possible, the actuation of the actuator system in the emergency Operating mode can be controlled based on characteristics and / or controlled with a complete control system.
Eine solche Prüfung der Funktionalität der Kommunikation mit einem sollwertgebenden System kann positiv gewertet werden, wenn zum jeweiligen Zeitpunkt aktuelle Sollwerte an das jeweilige Aktorsystem übergeben werden. Such a check of the functionality of the communication with a system providing setpoints can be rated positively if current setpoints are transferred to the respective actuator system at the respective point in time.
Beispielsweise kann bei der zweiten Aktion die mobile Plattform, wie beispielsweise ein teilautomatisiertes Fahrzeug, beispielsweise mit einer Bremsung, in einen sicheren Zustand gebracht werden. For example, in the second action, the mobile platform, such as a partially automated vehicle, for example with braking, can be brought into a safe state.
Gemäß einem Aspekt wird vorgeschlagen, dass der kritische Fehler von dem jeweiligen Aktorsystem selbst und/oder dem jeweils anderen der Aktorsysteme und/oder einem übergeordneten System identifiziert wird. According to one aspect, it is proposed that the critical error be identified by the respective actuator system itself and / or the respective other of the actuator systems and / or a higher-level system.
Wenn das Vorliegen eines kritischen Fehlers des jeweiligen Aktorsystems von einem übergeordneten System identifiziert wird, können noch weitere Größen und Abhängigkeiten mit anderen Systemen berücksichtigt werden. Wenn das jeweilige Aktorsystem den kritischen Fehler selbst identifiziert, kann eine größere Unabhängigkeit und entsprechende geringere Anfälligkeit gegenüber insbesondere externen Fehlern erreicht werden. If the presence of a critical error in the respective actuator system is identified by a higher-level system, other variables and dependencies with other systems can also be taken into account. If the respective actuator system identifies the critical error itself, greater independence and correspondingly lower susceptibility to, in particular, external errors can be achieved.
Gemäß einem Aspekt wird vorgeschlagen, dass das erste Aktorsystem ein elektronisches Bremskraftverstärker (eBKV)-System und das zweite Aktorsystem ein elektronisches Stabilisierungsprogramm (ESP)-System einer mobilen Plattform ist; oder das erste Aktorsystem ein erstes Lenkungs-System einer mobilen Plattform und das zweite Aktorsystem ein zweites Lenkungs-System einer mobilen Plattform ist; oder das erste Aktorsystem ein integriertes Power Brake - System (IPB) und das zweite Aktorsystem eine redundante Bremseinheit (RBU) einer mobilen Plattform ist. According to one aspect, it is proposed that the first actuator system is an electronic brake booster (eBKV) system and the second actuator system is an electronic stabilization program (ESP) system of a mobile platform; or the first actuator system is a first steering system of a mobile platform and the second actuator system is a second steering system of a mobile platform; or the first actuator system is an integrated power brake system (IPB) and the second actuator system is a redundant brake unit (RBU) of a mobile platform.
Dabei kann das zweite Lenkung-System als redundante System zum ersten Lenkungs- System ausgelegt sein. The second steering system can be designed as a redundant system to the first steering system.
Dabei ist das integrierte Power Brake - System (IPB) mit der redundanten Bremseinheit (RBU) eine redundante Bremssystem-Kombination, das eine Alternative für System aus einem elektronisches Bremskraftverstärker (eBKV)-System und einem elektronischen Stabilisierungsprogramm (ESP)-System für das automatisierte Fahren ist. The integrated Power Brake System (IPB) with the redundant brake unit (RBU) is a redundant brake system combination that is an alternative to an electronic brake booster (eBKV) system and an electronic stabilization program (ESP) system for the automated system Driving is.
Dabei übernimmt das das integrierte Power Brake - System (IPB) die Aufgaben von eBKV und ESP mit einem Aktorsystem, also mit anderen Worten ein Ein-Box- Bremssystem. Die redundanten Bremseinheit (RBU) übernimmt die Funktionen des Bremsdruckaufbaus und Stabilisierung ausschließlich im Fehlerfall des integrierten Power Brake - System (IPB) und ist sonst komplett passiv. The integrated Power Brake System (IPB) takes on the tasks of eBKV and ESP with an actuator system, in other words a one-box brake system. The redundant braking unit (RBU) takes over the functions of the Brake pressure build-up and stabilization only in the event of a fault in the integrated Power Brake System (IPB) and is otherwise completely passive.
Durch den Aufbau eines Bremssystems entsprechend der Systemeinheit kann die daraus resultierende Sicherheit des Bremssystems bereitgestellt werden. The safety of the brake system resulting therefrom can be provided through the construction of a brake system in accordance with the system unit.
Es wird eine Verwendung der oben beschriebenen Systemeinheit für die Steuerung einer zumindest teilautomatisierten mobilen Plattform vorgeschlagen. Use of the system unit described above for controlling an at least partially automated mobile platform is proposed.
Mit der oben beschriebenen zusätzlichen Sicherheit der beschriebenen Systemeinheit resultiert die entsprechende Sicherheit für zumindest teilautomatisierte mobile Plattformen. With the above-described additional security of the system unit described, the corresponding security results for at least partially automated mobile platforms.
Es wird ein Verfahren zur Steuerung einer Systemeinheit für eine zumindest teilautomatisierte mobile Plattform mit einem ersten Aktorsystem und einem zweiten Aktorsystem vorgeschlagen, wobei das erste Aktorsystem und das zweite Aktorsystem jeweils einen Hilfs-Betriebsmodus und einen Not-Betriebsmodus aufweisen, und das Verfahren die folgenden Schritte aufweist. In einem ersten Schritt wechselt das jeweilige Aktorsystem in einen inaktiven Betriebsmodus, wenn ein kritischer Fehler in dem jeweiligen Aktorsystem identifiziert wird. In einem weiteren Schritt wechselt das jeweilige Aktorsystem in einen Hilfs-Betriebsmodus, wenn eines der Aktorsysteme in den inaktiven Betriebsmodus wechselt, um zumindest Teile der Funktionalität des jeweiligen Aktorsystems auszuführen, das im inaktiven Betriebsmodus ist. A method for controlling a system unit for an at least partially automated mobile platform with a first actuator system and a second actuator system is proposed, the first actuator system and the second actuator system each having an auxiliary operating mode and an emergency operating mode, and the method the following steps having. In a first step, the respective actuator system changes to an inactive operating mode if a critical error is identified in the respective actuator system. In a further step, the respective actuator system changes to an auxiliary operating mode when one of the actuator systems changes to the inactive operating mode in order to carry out at least parts of the functionality of the respective actuator system that is in the inactive operating mode.
In einem weiteren Schritt schaltet das jeweilige Aktorsystem, das im Hilfs- Betriebsmodus ist, in einen Not-Betriebsmodus, wenn in diesem Aktorsystem ein kritischer Fehler identifiziert wird. In a further step, the respective actuator system, which is in the auxiliary operating mode, switches to an emergency operating mode if a critical error is identified in this actuator system.
In dieser gesamten Beschreibung der Erfindung ist die Abfolge von Verfahrensschritten so dargestellt, dass das Verfahren leicht nachvollziehbar ist.In this entire description of the invention, the sequence of method steps is presented in such a way that the method is easy to understand.
Der Fachmann wird aber erkennen, dass viele der Verfahrensschritte auch in einer anderen Reihenfolge durchlaufen werden können und zu dem gleichen oder einem entsprechenden Ergebnis führen. In diesem Sinne kann die Reihenfolge der Verfahrensschritte entsprechend geändert werden. Einige Merkmale sind mit Zählwörtern versehen, um die Lesbarkeit zu verbessern oder die Zuordnung eindeutiger zu machen, dies impliziert aber nicht ein Vorhandensein bestimmter Merkmale. Die oben beschriebenen Vorteile der Systemeinheit resultieren entsprechend für das hier beschriebene Verfahren zur Steuerung einer Systemeinheit auch für die weiteren Aspekte des Verfahrens. However, the person skilled in the art will recognize that many of the method steps can also be carried out in a different order and lead to the same or a corresponding result. In this sense, the sequence of the process steps can be changed accordingly. Some features are provided with counting words to improve readability or to make the assignment clearer, but this does not imply the presence of certain features. The advantages of the system unit described above result correspondingly for the method described here for controlling a system unit also for the further aspects of the method.
Gemäß einem Aspekt wird vorgeschlagen, dass in dem Verfahren zur Steuerung einer Systemeinheit das Aktorsystem im Not-Betriebsmodus prüft, ob ein Sollwert für das erste Aktorsystem und/oder das zweite Aktorsystem aktuell empfangen wird. According to one aspect, it is proposed that, in the method for controlling a system unit, the actuator system checks in the emergency operating mode whether a setpoint value for the first actuator system and / or the second actuator system is currently being received.
Ein solcher Sollwert kann dem jeweiligen Aktorsystem vorgegeben werden, um den Sollwert in einem Regelkreis oder entsprechend einer Kennlinie einzustellen. Da in einem Fehlerfall die Kommunikation mit sollwertgebenden Sensoren gestört sein kann, kann in einem Not-Betriebsmodus überprüft werden, ob eine solche Kommunikation in Form des Empfangens von Sollwerten intakt ist. Das weitere Verhalten des jeweiligen Aktorsystems im Not-Betriebsmodus kann dann von dem Sollwert abhängig gemacht werden. Such a target value can be specified for the respective actuator system in order to set the target value in a control loop or in accordance with a characteristic curve. Since, in the event of a fault, communication with sensors providing setpoint values can be disturbed, an emergency operating mode can be used to check whether such communication in the form of receiving setpoint values is intact. The further behavior of the respective actuator system in the emergency operating mode can then be made dependent on the setpoint.
Gemäß einem Aspekt wird vorgeschlagen, dass in dem Verfahren zur Steuerung einer Systemeinheit das Aktorsystem im Not-Betriebsmodus mit dem empfangenen aktuellen Sollwert eine erste Aktion mit einem Wert des aktuell empfangenen Sollwertes ausführt und/oder ohne empfangenen aktuellen Sollwert eine zweite Aktion ausführt. According to one aspect, it is proposed that, in the method for controlling a system unit, the actuator system in the emergency operating mode with the received current setpoint carries out a first action with a value of the currently received setpoint and / or carries out a second action without received current setpoint.
Gemäß einem Aspekt wird vorgeschlagen, dass in dem Verfahren zur Steuerung einer Systemeinheit mittels vordefinierten Kennlinien des Aktorsystems im Not- Betriebsmodus, wie beispielsweise für einen Motorstrom, und/oder für vordefinierte Ventilstellungen, entsprechend einem Ventilschaltmuster, des Aktorsystems im Not- Betriebsmodus das Aktorsystem im Not- Betriebsmodus mit dem Wert des empfangenen aktuellen Sollwertes die erste Aktion ausführt. According to one aspect it is proposed that in the method for controlling a system unit by means of predefined characteristics of the actuator system in the emergency operating mode, such as for a motor current, and / or for predefined valve positions, according to a valve switching pattern, the actuator system in the emergency operating mode Emergency operating mode executes the first action with the value of the current setpoint received.
Damit kann erreicht werden, dass das Verfahren zur Steuerung einer Systemeinheit für die erste Aktion möglichst robust und wenig komplex ausgelegt werden kann. It can thus be achieved that the method for controlling a system unit for the first action can be designed as robustly and as less complex as possible.
Es wird ein Verfahren vorgeschlagen, das basierend auf dem identifizierten kritischen Fehler und/oder inaktiven Betriebsmodus und/oder Hilfs-Betriebsmodus und/oder Not- Betriebsmodus des Verfahrens zur Steuerung einer Systemeinheit ein Steuersignal zur Ansteuerung eines zumindest teilautomatisierten Fahrzeugs bereitgestellt wird; und/oder basierend auf dem identifizierten kritischen Fehler und/oder inaktiven Betriebsmodus und/oder Hilfs-Betriebsmodus und/oder Not- Betriebsmodus ein Warnsignal zur Warnung eines Fahrzeuginsassen bereitgestellt wird. Der Begriff „basierend auf“ ist in Bezug auf das Merkmal, dass ein Steuersignal basierend auf dem identifizierten kritischen Fehler und/oder inaktiven Betriebsmodus und/oder Hilfs-Betriebsmodus und/oder Not-Betriebsmodus des Verfahrens zur Steuerung einer Systemeinheit bereitgestellt wird, breit zu verstehen. Es ist so zu verstehen, dass der identifizierte kritische Fehler und/oder der inaktive Betriebsmodus und/oder der Hilfs-Betriebsmodus und/oder der Not-Betriebsmodus des Verfahrens zur Steuerung einer Systemeinheit für jedwede Bestimmung oder Berechnung eines Steuersignals herangezogen wird, wobei das nicht ausschließt, dass auch noch andere Eingangsgrößen für diese Bestimmung des Steuersignals herangezogen werden. A method is proposed which, based on the identified critical error and / or inactive operating mode and / or auxiliary operating mode and / or emergency operating mode of the method for controlling a system unit, provides a control signal for controlling an at least partially automated vehicle; and / or based on the identified critical fault and / or inactive operating mode and / or auxiliary operating mode and / or emergency operating mode, a warning signal for warning a vehicle occupant is provided. The term “based on” is broad in relation to the feature that a control signal is provided based on the identified critical fault and / or inactive operating mode and / or auxiliary operating mode and / or emergency operating mode of the method for controlling a system unit to understand. It is to be understood that the identified critical error and / or the inactive operating mode and / or the auxiliary operating mode and / or the emergency operating mode of the method for controlling a system unit is used for any determination or calculation of a control signal, but not excludes that other input variables are also used for this determination of the control signal.
Da in einem entsprechend eingeschränkten Betriebsmodus, wie dem Hilfs- Betriebsmodus oder dem Not-Betriebsmodus, die entsprechende Funktionalität, wie beispielsweise eine ausreichende Verzögerung, nicht immer gewährleistet werden kann, kann eine übergeordnete Einheit bzw. Steuerung, wie ein virtueller und/oder ein realer Fahrer, über diese Einschränkung informiert werden. Damit können von einer übergeordneten Einheit weitere Funktionalitäten abgerufen werden, wie zum Beispiel eine Unterstützung der Bremsen mittels sekundärer Aktorsysteme, wie beispielsweise einer Motorsteuerung, einer Parkbremse oder von Lenkeingriffen zur Kollisionsvermeidung. Since in a correspondingly restricted operating mode, such as the auxiliary operating mode or the emergency operating mode, the corresponding functionality, such as a sufficient delay, cannot always be guaranteed, a higher-level unit or control, such as a virtual and / or a real Driver to be informed of this restriction. This means that further functionalities can be called up from a higher-level unit, such as support for the brakes by means of secondary actuator systems, such as an engine control, a parking brake or steering interventions to avoid collisions.
Es wird eine Vorrichtung vorgeschlagen, die eingerichtet ist, eines der oben beschriebenen Verfahren durchzuführen. Mit einer solchen Vorrichtung kann das entsprechende Verfahren leicht in unterschiedliche Systeme integriert werden. A device is proposed which is set up to carry out one of the methods described above. With such a device, the corresponding method can easily be integrated into different systems.
Es wird ein Computerprogramm vorgeschlagen, das Befehle umfasst, die bei der Ausführung des Computerprogramms durch einen Computer diesen veranlassen, das oben beschriebene Verfahren auszuführen. Ein solches Computerprogramm ermöglicht den Einsatz des beschriebenen Verfahrens in unterschiedlichen Systemen. A computer program is proposed which comprises instructions which, when the computer program is executed by a computer, cause the computer to carry out the method described above. Such a computer program enables the described method to be used in different systems.
Es wird ein maschinenlesbares Speichermedium vorgeschlagen, auf dem das oben beschriebene Computerprogramm gespeichert ist. Mittels eines solchen maschinenlesbaren Speichermediums ist das oben beschriebene Computerprogramm transportabel. A machine-readable storage medium is proposed on which the computer program described above is stored. The computer program described above is transportable by means of such a machine-readable storage medium.
Unter einer mobilen Plattform kann ein zumindest teilweise automatisiertes System verstanden werden, welches mobil ist, und/oder ein Fahrerassistenzsystem eines Fahrzeugs. Ein Beispiel kann ein zumindest teilweise automatisiertes Fahrzeug bzw. ein Fahrzeug mit einem Fahrerassistenzsystem sein. Das heißt, in diesem Zusammenhang beinhaltet ein zumindest teilweise automatisiertes System eine mobile Plattform in Bezug auf eine zumindest teilweise automatisierte Funktionalität, aber eine mobile Plattform beinhaltet auch Fahrzeuge und andere mobile Maschinen einschließlich Fahrerassistenzsysteme. Weitere Beispiele für mobile Plattformen können Fahrerassistenzsysteme mit mehreren Sensoren, mobile Multisensor- Roboter wie z.B. Roboterstaubsauger oder Rasenmäher, ein Multisensor- Überwachungssystem, eine Fertigungsmaschine, ein persönlicher Assistent oder ein Zugangskontrollsystem sein. Jedes dieser Systeme kann ein vollständig oder teilweise automatisiertes System sein. A mobile platform can be understood to mean an at least partially automated system which is mobile and / or a driver assistance system of a vehicle. An example can be at least one be a partially automated vehicle or a vehicle with a driver assistance system. That is, in this context, an at least partially automated system includes a mobile platform with regard to an at least partially automated functionality, but a mobile platform also includes vehicles and other mobile machines including driver assistance systems. Further examples of mobile platforms can be driver assistance systems with several sensors, mobile multi-sensor robots such as robotic vacuum cleaners or lawn mowers, a multi-sensor monitoring system, a production machine, a personal assistant or an access control system. Each of these systems can be a fully or partially automated system.
Ergänzend ist darauf hinzuweisen, dass „umfassend“ keine anderen Elemente ausschließt und „eine“ oder „ein“ keine Vielzahl ausschließt. Ferner sei darauf hingewiesen, dass Merkmale, die mit Verweis auf eines der obigen Ausführungsbeispiele beschrieben worden sind, auch in Kombination mit anderen Merkmalen anderer oben beschriebener Ausführungsbeispiele verwendet werden können. Bezugszeichen in den Ansprüchen sind nicht als Einschränkung anzusehen. In addition, it should be noted that “comprehensive” does not exclude any other elements and “one” or “one” does not exclude a large number. It should also be pointed out that features that have been described with reference to one of the above exemplary embodiments can also be used in combination with other features of other exemplary embodiments described above. Reference signs in the claims are not to be regarded as a restriction.
Ausführungsbeispiele Embodiments
Ausführungsbeispiele der Erfindung sind in den Figuren 1 bis 2 dargestellt und werden im Folgenden näher erläutert. Es zeigt: Exemplary embodiments of the invention are shown in FIGS. 1 to 2 and are explained in more detail below. It shows:
Figur 1 ein skizziertes Bremssystem mit einem elektromechanischen Bremskraftverstärker und einem elektronisches Stabilisierungsprogramm-System; und FIG. 1 shows a sketched brake system with an electromechanical brake booster and an electronic stabilization program system; and
Figur 2 ein Flussdiagramm für ein Verfahren zur Steuerung einer Systemeinheit für eine zumindest teilautomatisierte mobile Plattform mit einem ersten Aktorsystem und einem zweiten Aktorsystem. FIG. 2 shows a flow diagram for a method for controlling a system unit for an at least partially automated mobile platform with a first actuator system and a second actuator system.
Die Figur 1 skizziert eine redundante Ausführung eines Bremssystems 100 mit zumindest einem ersten Aktorsystem 120 in Form eines elektromechanischen Bremskraftverstärkers 120 mit der Möglichkeit zur einkanaligen aktiven und ggf. passiven Druck-Modulation, wie z.B. einer Fail-Boost-Einheit oder einem elektromechanischen Bremskraftverstärker, und einem zweiten Aktorsystem 140 in Form eines elektronischen Stabilisierungsprogramm-Systems 140 zur Rad individuellen aktiven und passiven Druck Modulation, z.B. mittels ESP- Rückförderhydraulik, die über eine Verbindung 145 hydraulisch gekoppelt sind. Dabei ist das elektronische Stabilisierungsprogramm-System 140 über eine weitere hydraulische Verbindung 165 mit einem Bremssystem 160 der Reifen des Fahrzeugs gekoppelt. Dabei können das erste Aktorsystem 120 und das zweite Aktorsystem 140 auch signalmäßig und/oder elektrisch gekoppelt sein. FIG. 1 outlines a redundant embodiment of a brake system 100 with at least one first actuator system 120 in the form of an electromechanical brake booster 120 with the possibility of single-channel active and possibly passive pressure modulation, such as a fail-boost unit or an electromechanical brake booster, and a second actuator system 140 in Form of an electronic stabilization program system 140 for wheel individual active and passive pressure modulation, for example by means of ESP return hydraulics, which are hydraulically coupled via a connection 145. The electronic stabilization program system 140 is coupled to a brake system 160 of the tires of the vehicle via a further hydraulic connection 165. The first actuator system 120 and the second actuator system 140 can also be coupled in terms of signals and / or electrically.
Die Figur 2 skizziert ein Flussdiagramm eines Verfahrens 200 zur Steuerung einer Systemeinheit 100 für eine zumindest teilautomatisierte mobile Plattform mit einem ersten Aktorsystem 120 und einem zweiten Aktorsystem 140, wobei das erste Aktorsystem 120 und das zweite Aktorsystem 140 jeweils einen Hilfs- Betriebsmodus und einen Not-Betriebsmodus aufweisen. FIG. 2 outlines a flowchart of a method 200 for controlling a system unit 100 for an at least partially automated mobile platform with a first actuator system 120 and a second actuator system 140, the first actuator system 120 and the second actuator system 140 each having an auxiliary operating mode and an emergency Have operating mode.
In einem ersten Schritt S1 wird in einem ersten oder zweiten Aktorsystem 120 ein kritischer Fehler identifiziert und das jeweilige vom Fehler betroffene Aktorsystem 120, 140 wechselt in einen inaktiven Betriebsmodus. In a first step S1, a critical error is identified in a first or second actuator system 120 and the respective actuator system 120, 140 affected by the error changes to an inactive operating mode.
In einem weiteren Schritt S2 wechselt das jeweilige nicht von dem Fehler betroffene Aktorsystem in einen Hilfs-Betriebsmodus, um zumindest Teile der Funktionalität des jeweiligen vom Fehler betroffenen Aktorsystems auszuführen, das im inaktiven Betriebsmodus ist. In a further step S2, the respective actuator system not affected by the error changes to an auxiliary operating mode in order to execute at least parts of the functionality of the respective actuator system affected by the error, which is in the inactive operating mode.
In einem weiteren Schritt S3 wird bestimmt, ob ein kritischer Fehler im jeweiligen Aktorsystem, das im Hilfs-Betriebsmodus ist, identifiziert wird. In a further step S3 it is determined whether a critical error is identified in the respective actuator system which is in the auxiliary operating mode.
In einem weiteren Schritt S4 schaltet das jeweilige Aktorsystem, das im Hilfs- Betriebsmodus ist, in einen Not-Betriebsmodus S4a, wenn in diesem Aktorsystem ein kritischer Fehler identifiziert wird. Bei einem Bremssystem können dazu Ventile in Druckaufbau-Stellung geschaltet werden S4b. In a further step S4, the respective actuator system, which is in the auxiliary operating mode, switches to an emergency operating mode S4a if a critical error is identified in this actuator system. In the case of a brake system, valves can be switched to the pressure build-up position for this purpose S4b.
In einem weiteren Schritt S5 prüft das jeweilige Aktorsystem im Not- Betriebsmodus, ob ein Sollwert für das erste Aktorsystem 120 und/oder das zweite Aktorsystem 140 aktuell empfangen wird bzw. ob eine Bus-Kommunikation mit sollwertgebenden Systemen oder Sensoren möglich ist. In a further step S5, the respective actuator system checks in the emergency operating mode whether a setpoint value for the first actuator system 120 and / or the second actuator system 140 is currently being received or whether bus communication with setpoint value systems or sensors is possible.
Abhängig vom dem Ergebnis in Schritt S5 wird bei Vorliegen eines empfangenen aktuellen Sollwertes das Aktorsystem im Not- Betriebsmodus eine erste Aktion S6 mit einem Wert des aktuell empfangenen Sollwertes, wie beispielsweise eine Bremsung mit dem Werte des Sollwertes, beispielsweise über eine kennlinienbasierte Ansteuerung des Aktorsystem- Motors ausführen. Depending on the result in step S5, if a current setpoint value is received, the actuator system will also initiate a first action S6 in the emergency operating mode Carry out a value of the currently received setpoint, such as braking with the values of the setpoint, for example via a characteristic-based control of the actuator system motor.
Alternativ wird ohne Vorliegen eines empfangenen aktuellen Sollwertes eine zweite Aktion S7, wie beispielsweise ein Not-Stop eines Fahrzeuges, ausgeführt, um einAlternatively, a second action S7, such as an emergency stop of a vehicle, is carried out in the absence of a received current setpoint value in order to initiate a
Unfallrisiko zu minimieren (Blindes Anhalten). To minimize the risk of accidents (blind stopping).

Claims

Ansprüche Expectations
1. Systemeinheit (100) für eine zumindest teilautomatisierte mobile Plattform mit zumindest einem ersten Aktorsystem (120) und einem zweiten Aktorsystem (140), die jeweils zumindest einen Hilfs-Betriebsmodus und einen Not-Betriebsmodus aufweisen; und das erste Aktorsystem (120) und das zweite Aktorsystem (140) jeweils eingerichtet und gekoppelt sind: in einen inaktiven Betriebsmodus zu wechseln, wenn ein kritischer Fehler in dem jeweiligen Aktorsystem (120, 140) identifiziert wird; und in einen Hilfs-Betriebsmodus zu wechseln, wenn eines der Aktorsysteme (120, 140) in den inaktiven Betriebsmodus wechselt, um zumindest Teile einer Funktionalität des jeweiligen Aktorsystems (120, 140) auszuführen, das im inaktiven Betriebsmodus ist; und in einen Not- Betriebsmodus zu schalten, wenn in dem jeweiligen Aktorsystem (120, 140) im Hilfs-Betriebsmodus ein kritischer Fehler identifiziert wird. 1. System unit (100) for an at least partially automated mobile platform with at least one first actuator system (120) and one second actuator system (140), each of which has at least one auxiliary operating mode and one emergency operating mode; and the first actuator system (120) and the second actuator system (140) are each set up and coupled: to switch to an inactive operating mode if a critical error is identified in the respective actuator system (120, 140); and to change to an auxiliary operating mode when one of the actuator systems (120, 140) changes to the inactive operating mode in order to execute at least parts of a functionality of the respective actuator system (120, 140) that is in the inactive operating mode; and to switch to an emergency operating mode if a critical error is identified in the respective actuator system (120, 140) in the auxiliary operating mode.
2. Systemeinheit (100) gemäß Anspruch 1, wobei das erste Aktorsystem (120) und das zweite Aktorsystem (140) jeweils eingerichtet und gekoppelt sind: einen Sollwert zu empfangen; und im Not-Betriebsmodus zu prüfen, ob der Sollwert aktuell empfangen wird. 2. System unit (100) according to claim 1, wherein the first actuator system (120) and the second actuator system (140) are each set up and coupled: to receive a target value; and in the emergency operating mode to check whether the setpoint is currently being received.
3. Systemeinheit (100) gemäß Anspruch 2, wobei das erste Aktorsystem (120) und das zweite Aktorsystem (140) jeweils eingerichtet und gekoppelt sind: im Not- Betriebsmodus mit dem empfangenen aktuellen Sollwert eine erste Aktion auszuführen und/oder ohne empfangenen aktuellen Sollwert eine zweite Aktion auszuführen, wobei die erste Aktion abhängig von einem Wert des empfangenen aktuellen Sollwertes ausgeführt wird. 3. System unit (100) according to claim 2, wherein the first actuator system (120) and the second actuator system (140) are each set up and coupled: to perform a first action in emergency operating mode with the current setpoint received and / or without the current setpoint received carry out a second action, the first action being carried out as a function of a value of the current setpoint value received.
4. Systemeinheit (100) gemäß einem der vorhergehenden Ansprüche, wobei der kritische Fehler von dem jeweiligen Aktorsystem (120, 140) selbst und/oder dem jeweils anderen der Aktorsysteme (120, 140) und/oder einem übergeordneten System identifiziert wird. 4. System unit (100) according to one of the preceding claims, wherein the critical error is identified by the respective actuator system (120, 140) itself and / or the respective other of the actuator systems (120, 140) and / or a higher-level system.
5. Systemeinheit (100) gemäß einem der vorhergehenden Ansprüche, wobei das erste Aktorsystem (120) ein elektronisches Bremskraftverstärker (eBKV)-System und das zweite Aktorsystem (140) ein elektronisches Stabilisierungsprogramm (ESP)- System einer mobilen Plattform ist; oder das erste Aktorsystem (120) ein erstes Lenkungs-System einer mobilen Plattform und das zweite Aktorsystem (140) ein zweites Lenkungs-System einer mobilen Plattform ist; oder das erste Aktorsystem (120) ein integriertes Power Brake - System und das zweite Aktorsystem (140) eine redundante Bremseinheit einer mobilen Plattform ist. 5. System unit (100) according to one of the preceding claims, wherein the first actuator system (120) is an electronic brake booster (eBKV) system and the second actuator system (140) is an electronic stabilization program (ESP) system of a mobile platform; or the first actuator system (120) is a first steering system of a mobile platform and the second actuator system (140) is a second steering system of a mobile platform; or the first actuator system (120) is an integrated power brake system and the second actuator system (140) is a redundant brake unit of a mobile platform.
6. Verwendung der Systemeinheit (100) gemäß Anspruch 1 bis 5, für die Steuerung einer zumindest teilautomatisierten mobilen Plattform 6. Use of the system unit (100) according to claim 1 to 5, for controlling an at least partially automated mobile platform
7. Verfahren (200) zur Steuerung einer Systemeinheit (100) für eine zumindest teilautomatisierte mobile Plattform mit einem ersten Aktorsystem (120) und einem zweiten Aktorsystem (140), die jeweils einen Hilfs-Betriebsmodus und einen Not- Betriebsmodus aufweisen mit den Schritten: 7. Method (200) for controlling a system unit (100) for an at least partially automated mobile platform with a first actuator system (120) and a second actuator system (140), each of which has an auxiliary operating mode and an emergency operating mode with the steps:
Wechseln des jeweiligen Aktorsystems in einen inaktiven Betriebsmodus, wenn ein kritischer Fehler in dem jeweiligen Aktorsystem identifiziert (Sl) wird; Switching the respective actuator system into an inactive operating mode when a critical error is identified (S1) in the respective actuator system;
Wechsel des jeweiligen Aktorsystems (120, 140) in einen Hilfs-Betriebsmodus (S2), wenn eines der Aktorsysteme (120, 140) in den inaktiven Betriebsmodus wechselt, um zumindest Teile der Funktionalität des jeweiligen Aktorsystems (120,Change of the respective actuator system (120, 140) to an auxiliary operating mode (S2) when one of the actuator systems (120, 140) changes to the inactive operating mode in order to at least part of the functionality of the respective actuator system (120,
140) auszuführen, das im inaktiven Betriebsmodus ist; 140) which is in the inactive mode of operation;
Schalten des jeweiligen Aktorsystems, das im Hilfs-Betriebsmodus ist, in einen Not-Betriebsmodus (S4), wenn in diesem Aktorsystem ein kritischer Fehler identifiziert wird (S3). Switching the respective actuator system, which is in the auxiliary operating mode, into an emergency operating mode (S4) if a critical error is identified in this actuator system (S3).
8. Verfahren (200) gemäß Anspruch 7, wobei das Aktorsystem (120, 140) im Not-Betriebsmodus prüft (S5), ob ein Sollwert für das erste Aktorsystem (120) und/oder das zweite Aktorsystem (140) aktuell empfangen wird. 8. The method (200) according to claim 7, wherein the actuator system (120, 140) checks (S5) in the emergency operating mode whether a setpoint value for the first actuator system (120) and / or the second actuator system (140) is currently being received.
9. Verfahren (200) gemäß Anspruch 8, wobei das Aktorsystem im Not- Betriebsmodus (120, 140) mit dem empfangenen aktuellen Sollwert eine erste Aktion (S6) mit einem Wert des aktuell empfangenen Sollwertes ausführt und/oder ohne empfangenen aktuellen Sollwert eine zweite Aktion (S7) ausführt. 9. The method (200) according to claim 8, wherein the actuator system in the emergency operating mode (120, 140) with the received current setpoint value carries out a first action (S6) with a value of the currently received setpoint value and / or without received current setpoint value a second one Action (S7) executes.
10. Verfahren (200) gemäß Anspruch 8 oder 9, wobei mittels vordefinierten Kennlinien des Aktorsystems im Not-Betriebsmodus (120, 140) und/oder vordefinierten Ventilstellungen des Aktorsystems im Not- Betriebsmodus (120, 140) das Aktorsystem im Not-Betriebsmodus (120, 140) mit dem Wert des empfangenen aktuellen Sollwertes die erste Aktion ausführt (S6). 10. The method (200) according to claim 8 or 9, wherein by means of predefined characteristics of the actuator system in the emergency operating mode (120, 140) and / or predefined valve positions of the actuator system in the emergency operating mode (120, 140) the actuator system executes the first action (S6) in the emergency operating mode (120, 140) with the value of the current setpoint value received.
11. Verfahren nach einem der vorhergehenden Ansprüche, wobei basierend auf dem identifizierten kritischen Fehler und/oder dem inaktiven Betriebsmodus und/oder dem Hilfs-Betriebsmodus und/oder dem Not-Betriebsmodus ein Steuersignal zur Ansteuerung eines zumindest teilautomatisierten Fahrzeugs bereitgestellt wird; und/oder basierend auf dem identifizierten kritischen Fehler und/oder inaktiven Betriebsmodus und/oder Hilfs-Betriebsmodus und/oder Not- Betriebsmodus ein Warnsignal zur Warnung eines Fahrzeuginsassen bereitgestellt wird. 11. The method according to any one of the preceding claims, wherein based on the identified critical error and / or the inactive operating mode and / or the auxiliary operating mode and / or the emergency operating mode, a control signal for controlling an at least partially automated vehicle is provided; and / or based on the identified critical fault and / or inactive operating mode and / or auxiliary operating mode and / or emergency operating mode, a warning signal for warning a vehicle occupant is provided.
12. Vorrichtung, die eingerichtet ist, ein Verfahren nach einem der Ansprüche 7 bis 11 durchzuführen. 12. Device which is set up to carry out a method according to one of claims 7 to 11.
13. Computerprogramm, umfassend Befehle, die bei der Ausführung des13. Computer program, comprising instructions that are used in the execution of the
Computerprogramms durch einen Computer diesen veranlassen, das Verfahren nach einem der Ansprüche 7 bis 11 auszuführen. Computer program causing a computer to carry out the method according to one of Claims 7 to 11.
14. Maschinenlesbares Speichermedium, auf dem das Computerprogramm nach Anspruch 13 gespeichert ist. 14. Machine-readable storage medium on which the computer program according to claim 13 is stored.
EP21713622.5A 2020-04-08 2021-03-17 System unit, having a first actuator system and a second actuator system Pending EP4132824A2 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102020204529.1A DE102020204529A1 (en) 2020-04-08 2020-04-08 System unit with a first actuator system and a second actuator system
PCT/EP2021/056844 WO2021204506A2 (en) 2020-04-08 2021-03-17 System unit, having a first actuator system and a second actuator system

Publications (1)

Publication Number Publication Date
EP4132824A2 true EP4132824A2 (en) 2023-02-15

Family

ID=75143622

Family Applications (1)

Application Number Title Priority Date Filing Date
EP21713622.5A Pending EP4132824A2 (en) 2020-04-08 2021-03-17 System unit, having a first actuator system and a second actuator system

Country Status (6)

Country Link
US (1) US20230065689A1 (en)
EP (1) EP4132824A2 (en)
JP (1) JP7569864B2 (en)
CN (1) CN115335267A (en)
DE (1) DE102020204529A1 (en)
WO (1) WO2021204506A2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102022103798B4 (en) 2022-02-17 2024-01-18 Audi Aktiengesellschaft Method for operating a vehicle

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102007036259A1 (en) * 2007-08-02 2009-02-05 Robert Bosch Gmbh A braking system for a vehicle and a method for operating a braking system for a vehicle
DE102014221901A1 (en) * 2014-10-28 2016-04-28 Robert Bosch Gmbh Method for providing a sensor signal in the brake system in a vehicle
DE102017113563A1 (en) * 2017-06-20 2018-12-20 Ipgate Ag braking system
DE102017214455A1 (en) * 2017-08-18 2019-02-21 Robert Bosch Gmbh Method for operating a braking system with an automated parking brake
WO2019082647A1 (en) * 2017-10-24 2019-05-02 日立オートモティブシステムズ株式会社 Vehicle control device
EP3557356A1 (en) * 2018-04-16 2019-10-23 TTTech Auto AG Method and automation system for the safe automatic operation of a machine or of a vehicle
DE102018206563A1 (en) * 2018-04-27 2019-10-31 Robert Bosch Gmbh Electromechanical or electromagnetic wheel brake cylinder and brake system for a vehicle
CN110435569A (en) * 2019-08-26 2019-11-12 爱驰汽车有限公司 Automatic driving vehicle redundancy control system, method, equipment and storage medium

Also Published As

Publication number Publication date
JP2023519905A (en) 2023-05-15
US20230065689A1 (en) 2023-03-02
WO2021204506A2 (en) 2021-10-14
CN115335267A (en) 2022-11-11
WO2021204506A3 (en) 2021-12-16
JP7569864B2 (en) 2024-10-18
DE102020204529A1 (en) 2021-10-14

Similar Documents

Publication Publication Date Title
EP3707047B1 (en) System for the at least semi-autonomous operation of a motor vehicle with double redundancy
EP3584140B1 (en) Vehicle and method and apparatus for controlling a safety-relevant process
EP3044056B1 (en) Driver assistance system with increased reliability and availability
EP3691945B1 (en) Vehicle brake system and method of operating
EP2766235B1 (en) Vehicle and method for controlling a vehicle
DE102013007857B4 (en) Method for operating a braking system in fully automatic driving and motor vehicles
EP3385934B1 (en) Device for controlling a safety-relevant process, method for testing the functionality of the device, and motor vehicle using the device
DE102016221581A1 (en) Method for partially or fully autonomous guiding a motor vehicle by a control device and control device and motor vehicle
EP3747733B1 (en) Method for operating a steering system
DE102017109175A1 (en) Control device, driver assistance system, motor vehicle and method for controlling a driver assistance function
EP3300974A1 (en) Method and device for controlling a braking assembly for a vehicle, brake system and vehicle
DE102019211384A1 (en) Procedure for testing the performance of a supply line
EP4132824A2 (en) System unit, having a first actuator system and a second actuator system
EP1631482A1 (en) Device and method for braking a vehicle
DE102012219533A1 (en) Brake assembly for motor car, has transmission control unit to output command for securing parking brake device in association with recognized adjustment of shift lever on parking position, to brake control unit over communication bus
EP2890578A1 (en) Brake control device for a vehicle, and a method for operating at least one electric drive motor for a vehicle
EP4320021A1 (en) Method for operating an assistance system, and assistance system
DE102020211965A1 (en) Method for operating a motor vehicle
DE102017127531A1 (en) Method for stopping the engine of a vehicle
EP3835151B1 (en) Method for controlling a brake system of a vehicle
WO2023280451A1 (en) Method for fault detection in a driving-dynamics control
DE102022213783A1 (en) Procedure for checking the plausibility of a parameter
DE102023200196A1 (en) Method for operating an assistance system of an at least partially assisted motor vehicle, computer program product, computer-readable storage medium and assistance system
WO2024188875A1 (en) Method for operating a motor vehicle, controller, and motor vehicle
DE102021214998A1 (en) Procedure for situation-dependent deactivation of an electronic brake booster

Legal Events

Date Code Title Description
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: UNKNOWN

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE INTERNATIONAL PUBLICATION HAS BEEN MADE

PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE

17P Request for examination filed

Effective date: 20221108

AK Designated contracting states

Kind code of ref document: A2

Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR

DAV Request for validation of the european patent (deleted)
DAX Request for extension of the european patent (deleted)
STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: EXAMINATION IS IN PROGRESS

17Q First examination report despatched

Effective date: 20231129