WO2017137222A1 - Rechner- und funktionsarchitektur zur erhöhung der ausfallsicherheit einer hilfskraftlenkung - Google Patents

Rechner- und funktionsarchitektur zur erhöhung der ausfallsicherheit einer hilfskraftlenkung Download PDF

Info

Publication number
WO2017137222A1
WO2017137222A1 PCT/EP2017/050969 EP2017050969W WO2017137222A1 WO 2017137222 A1 WO2017137222 A1 WO 2017137222A1 EP 2017050969 W EP2017050969 W EP 2017050969W WO 2017137222 A1 WO2017137222 A1 WO 2017137222A1
Authority
WO
WIPO (PCT)
Prior art keywords
main
modules
control
safety
group
Prior art date
Application number
PCT/EP2017/050969
Other languages
English (en)
French (fr)
Inventor
Valerie Bernon-Enjalbert
Jerome Dietsch
Frank GALTIE
Original Assignee
Hella Kgaa Hueck & Co.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hella Kgaa Hueck & Co. filed Critical Hella Kgaa Hueck & Co.
Priority to CN201780010765.5A priority Critical patent/CN108698630B/zh
Publication of WO2017137222A1 publication Critical patent/WO2017137222A1/de
Priority to US16/100,859 priority patent/US10800449B2/en

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B62LAND VEHICLES FOR TRAVELLING OTHERWISE THAN ON RAILS
    • B62DMOTOR VEHICLES; TRAILERS
    • B62D5/00Power-assisted or power-driven steering
    • B62D5/04Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear
    • B62D5/0457Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear characterised by control features of the drive means as such
    • B62D5/0481Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear characterised by control features of the drive means as such monitoring the steering system, e.g. failures
    • B62D5/0484Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear characterised by control features of the drive means as such monitoring the steering system, e.g. failures for reaction to failures, e.g. limp home
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B62LAND VEHICLES FOR TRAVELLING OTHERWISE THAN ON RAILS
    • B62DMOTOR VEHICLES; TRAILERS
    • B62D5/00Power-assisted or power-driven steering
    • B62D5/04Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear
    • B62D5/0457Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear characterised by control features of the drive means as such
    • B62D5/0481Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear characterised by control features of the drive means as such monitoring the steering system, e.g. failures
    • B62D5/0493Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear characterised by control features of the drive means as such monitoring the steering system, e.g. failures detecting processor errors, e.g. plausibility of steering direction

Definitions

  • the invention relates to a computer and functional architecture for the operation of an electric power steering system for increasing the reliability and availability.
  • An electric power steering (EPS) is used to exert an assisting force on the mechanical control system.
  • EPS Electric power steering
  • a control unit (English: Electronic Control Unit (ECU)), which sends corresponding control signals, so that mechanical actuators, z.
  • ECU Electronic Control Unit
  • a servomotor on the control column or a rack with driven gears are moved. It is desired to ensure a certain reliability or availability in order to meet certain quality criteria, such.
  • AS IL Automotive Safety Integrity Level
  • a failure is also referred to as a sudden loss of system functionality (Sudden Loss of System Functionality).
  • Sudden Loss of System Functionality Such a loss of system functionality can also go beyond the mere loss of power assist, namely, when power steering is one of the desired ones
  • Availability is indicated by an inverse measure called failure in time (FIT). This is a failure rate related to the time interval one billion hours, ie the number of failures per 10 9 hours.
  • FIT failure in time
  • Category 1 is the state of the art for today's ECUs for EPS that meet the requirements of the ASIL-D standard. These have a FIT level for the sudden loss of assistance in the range of 1 600 to 500 FIT, depending on software measures that may implement a restricted operating mode. However, it is not possible to target lower FIT levels such as: B. 100 to come. A design of such an attempt may be based on the fact that a main safety control and a secondary safety control in z. B. a 32-bit lockstep mode. Other concepts such. EGAS are also possible.
  • the second category systems refer to partial or complete redundancy of the electronic system. So in case of redundancy the
  • Examples of the first category can be found in the documents EP 2755881 A1, US 71 65646 B2, all of which do not reach the goal of a FIT level of 100.
  • the aim is a solution that is cost-effective and in existing
  • a computer and functional architecture for operating an electric power steering system with a first group of modules with a high probability of failure and a second group of modules with a low probability of failure is proposed.
  • the modules of the first group have a higher Failure probability on as the modules of the second group.
  • the first group of modules is here redundantly held and thereby divided into main modules and in the redundant execution of so-called sub-modules.
  • the main modules are on a main control path and the sub-modules respectively on one
  • Control signal, d. H. a main control signal and a sub control signal.
  • a multiplexer is used to decide which of these two control signals is forwarded to modules from the second group. This second group of modules is only simple and not redundant.
  • a control path is used to generate control signals.
  • the generated control signals depend on the state of the processing and on the input quantities in the
  • the generated control signals can u. a. interact with data paths, other control paths or actuators.
  • the control unit calculates for an electric power steering system due to
  • Input signals or input variables of sensors or peripheral modules such.
  • Arithmetic unit the state of the steering system and a desired
  • This information which may be present as a data signal, is passed via circuit breakers to a controller motor, which lies outside the control unit.
  • This actuator motor causes the application of a force on the steering.
  • part of the entire control path passing through the control path is provided redundantly.
  • modules on the main control path determine certain state variables in the same way as modules on the sub-control path.
  • One of the two control paths is routed internally via a multiplexer in the control unit, while the control signal of the other path is discarded.
  • the forwarded control signal is further processed in the modules of the second group, so that at the end an output control signal arises, which emerges from the control unit, in particular one, which controls the external actuator.
  • One way of deciding which of the two control signals the multiplexer forwards is the condition of an error signal that indicates whether or not the main control path provides an error-free signal. If this is not done, the multiplexer could forward the signal of the secondary control path.
  • the proposed partial hardware redundancy within the controller splits it into a redundant and non-redundant part corresponding to the first and second groups of modules.
  • the subdivision into a first and a second group of modules, the second group having a low probability of failure, is also based on the consideration of measures already taken to increase or decrease the number of modules
  • a software strategy that is implemented in the control unit can lead to the modules of the second group having a low default probability in the first place.
  • the software may include functions that detect errors in these modules and take action to compensate or circumvent them. A possible circumvention would be z. B. the
  • EPS eg. B. Steering column EPS and rack (rack) EPS (Passenger / Motor Compartment).
  • the two redundant control paths may perform the same calculations in parallel at each time, so that both control signals are present at all times. This is called “hot redundancy” and can be used for a quick switching or for a possible error correction.
  • the sub-control path may be calculated only partially or not at all and only in the event of an error on the
  • Main control path completely record and apply the calculation.
  • the time between the recognition of the error and the recording of the function by the auxiliary control path suffices for a continuous functionality of the power steering system.
  • this variant could possibly resources, for. B. power consumption for the
  • the first group of modules comprises at least one of the modules current monitoring or arithmetic unit.
  • the second group of modules comprises at least one of the modules driver, output stage or phase cut / phase control.
  • a control unit can have the following modules along its control path: An integrated circuit that handles the energy management (power supply). Management integrated circuit (PMIC)), which is in interaction with a computing unit (English, [core of] microcontroller (MCU)), which performs the essential calculations, receives the sensor and peripheral signals, monitoring tasks fulfilled and finally the signals determines how the motor should be controlled or the output signal from the control unit should look like. That from the
  • Computing unit outgoing control signal is passed through the multiplexer already described to a driver stage (English Gate Driver Unit GDU), which in turn a power amplifier stage (engl. Power Stage PS) controls, which with the output of the control signal via a phase control (engl. Phase-cut-off PCO) is connected.
  • This output is usually connected to the actuator motor.
  • the phase-cut control may include phase-on and phase-out control.
  • the output stage can be designed as a so-called B6 bridge, while the driver unit can be designed as a gate driver unit.
  • the modules most likely to contribute to errors leading to a sudden loss of assistance may include the energy management system, or power monitoring, and the computing unit. If only these modules are implemented redundantly, a partial hardware redundancy is generated, in which case the current monitoring and the arithmetic unit are present twice, optionally even more frequently. As an additional module is still a multiplexer needed, which is the appropriate
  • Control signal selects and switches.
  • this multiplexer is an additional component or module, the susceptibility to errors (FIT) is hardly increased, since this is a relatively simple component with a low susceptibility to errors.
  • One such measure which does not always have to be limited to software implementation, is, for example, the use of a microcontroller with at least two arithmetic units that execute the same program in lockstep mode and perform the same calculations. This is traditionally done in one Microcontroller with two computer cores whose calculation results can be compared, for example, to detect errors.
  • the proposed structure would have two microcontrollers with a total of four computer cores, with one microcontroller representing one main module and the other a secondary module.
  • the calculation of the software in lockstep mode on each microcontroller does not necessarily serve the redundancy according to the invention, namely the provision of a main and secondary control path. Rather, these calculations can detect other causes of failure elsewhere
  • the two control paths can be operated independently as far as possible to the
  • Another advantage is that the redundant design of the modules of the first group is designed such that a low-voltage signal, ie. H. z. As a signal in the range of 3 to 6 volts, is switched by the multiplexer, which allows, in contrast to signals with higher voltage faster switching times and lower energy losses.
  • a main module sets a main error signal in the event of a fault in a main module and a slave module sets a secondary error signal in the event of a fault in a slave module.
  • Such an error signal may be a signal which assumes the logical values zero or one, ie a digital signal, wherein the logic may also be inverse, ie that it does not indicate an error but the functional or error-free state.
  • the said type of error signaling is advantageously designed so that each path or the modules of the respective path monitor themselves and independently report an error via this signal.
  • the only communication between the main fault path and the sub error path and vice versa consists of the transmission of main error signals from main modules to submodules and / or the transmission of secondary error signals from
  • Communication between the main fault path and the sub fault path means in this case that at least one module of the respective fault path communicates with at least one module of the other path, for. B. exchanges data that are evaluated by modules of the other control path.
  • communication concerns the exchange of digital signals indicating a condition such as B. said error signals.
  • another communication is another
  • the advantage of restricting communication in this way is to avoid systematic multiple errors that could occur with further interaction between the two signal paths.
  • the two control paths will be operated independently as much as possible in order to avoid influencing a control path through errors due to data exchange.
  • the only information a module of a path receives about modules of the other path is a signal that is on the other path another module of the other path failed. That is, one
  • Error signal results according to the earlier description solely due to the calculations of the modules of a path and no interaction of modules or signals of both paths.
  • a main module sets a secondary error signal in the case of an error of a secondary module and a secondary module sets a main error signal in the event of a fault of a main module.
  • a path can detect errors in the respective other path (or its modules) and set the corresponding error signal of the respective other path. This allows each path to monitor the other path. This can be done additionally or alternatively to the monitoring of one's own path.
  • a monitoring component / module (Watchdog) can be used in the
  • a watchdog may be present in the main control path, monitoring the modules of the auxiliary control path and possibly an error path of the
  • the first group of modules consists of or comprises a current monitor and a
  • Computing unit in particular a main current monitoring, a
  • Main process unit and parallel to a redundant bypass current monitoring and redundant slave unit The main current monitor sets a second major error signal when it detects a fault of the main current monitor or mainframe.
  • the main calculator places a first
  • Main error signal when it detects a fault of the main unit.
  • Secondary current monitoring sets a second sidelobe signal when it detects an error the secondary flow monitoring or the secondary unit detects.
  • the minor calculator sets a first minor error signal when it detects a fault of the minor calculator.
  • a main current monitoring z.
  • a Power Management Integrated Circuit generates an error signal for module faults
  • Main control path especially if it detects a defect of the main current monitoring or the main processing unit itself, this error signal is called second main error signal.
  • a main processing unit in particular a main microcontroller, generates an error signal for faults in a module on the module
  • Main control path in particular for a defect of the main processing unit itself, said error signal is called first main error signal.
  • a power management integrated circuit generates an error signal for faults in modules on the sub-control path
  • a minor computing unit particularly a slave microcontroller, generates an error signal for errors in a module on the computer
  • said error signal is called first secondary error signal.
  • a so-called error of the respective arithmetic unit may refer to a defect of the arithmetic unit or to an error condition which the arithmetic unit determines. This may include: internal or external errors
  • Arithmetic unit or the microcontroller plausibility check error of the PWM signal, detected errors of the periphery of the arithmetic unit such as ADC, motor timer,
  • the multiplexer forwards the control signal of the sub-control path when the main error signal is set, and otherwise the control signal of the main control path.
  • the multiplexer can forward the control signal of the secondary control path when the second main error signal is set.
  • the multiplexer may also be set
  • Subsequent error signal or a combination of the error signals in each case forward one of the two paths or switch through.
  • the main processing unit sets the first main error signal, whereupon the main current monitor sets the second
  • Main error signal sets, which causes this due to a Serial Peripheral Interface (SPI) command from the main processing unit.
  • SPI Serial Peripheral Interface
  • the main current monitor sets the second main error signal because the main current monitor watchdog is no longer serviced by the main processing unit.
  • Control signals or other data of both paths at most additional, but not necessary.
  • error states of normal operating conditions such.
  • setting the first main error signal may mean that an error has been detected in the main processing unit that results in a loss of assistance.
  • the slave unit waits for the second main error signal to gain control of the driver and final stage as soon as the multiplexer switches to the slave control path.
  • setting the first main error signal may mean that an error has been detected in the main processing unit that results in a loss of assistance.
  • the slave unit waits for the second main error signal to gain control of the driver and final stage as soon as the multiplexer switches to the slave control path.
  • Major error signal also mean that the controller is turned off because z. B. the ignition signal (eg terminal 15) is off. In this case, the
  • Such an emergency operating state may be a safety mode, a system shutdown or a continuation of the operation with limited functionality.
  • the mentioned error signals are the second main or the second secondary error signal.
  • control unit or a combined motor / control unit according to the proposed computer and functional architecture.
  • this has no redundant interfaces.
  • an inventive control unit can easily
  • external interfaces can also be provided redundantly, but if necessary, they only have to be connected in a simple manner, in order to thereby also obtain the mentioned advantage.
  • a power steering also called power steering, which with a proposed controller or a combined
  • Engine control unit is equipped.
  • Such a control unit can be used for the motor control of the power steering, z.
  • a column EPS or rack EPS For example, a column EPS or rack EPS.
  • a subsequent phase-cut control (PCO phase-cut-off / control supply) can be designed to be redundant and in each case be activated by the error signals.
  • a main phase cut control may e.g. B. be active when neither a first nor a second main error signal is present.
  • a slave phase cut control may be active when neither a first nor a second minor error signal is present.
  • a limited operating mode limited or degraded mode
  • an attempt is made to at least partially maintain the assistance. Either will attempts to maintain assistance as well as possible, such as estimating or interpolating missing information, or deliberately restricting functionality to provide the driver with feedback on the problem or impending failure.
  • Availability is more possible. This can be z. B. occur in a double fault when a module in the main control path and a module in the secondary control path fail. In any case, an uncontrolled continuation of assistance should be avoided, the z. B. can bring the vehicle in a critical condition by blocking or oversteering the steering.
  • the proposed system can also be combined with other error handling methods or other redundant systems.
  • software security measures may allow for limited operating modes or use two capacitors in series for the ceramic capacitors to prevent random hardware failures occurring in the B6 bridge or
  • Sensor data acquisition units or the driver can be installed.
  • Figure 1 A control device for controlling a power steering system
  • Figure 2 A state diagram based on the state of the error signals
  • FIG. 1 shows a control unit (ECU) in which the signal flow in the
  • Solid solid line indicates modules and the path of the main control path (the upper path).
  • Modules and signals of the main control path have the prefix "MAIN" or as a suffix
  • Dashed line are modules and the path of the slave control path
  • Modules and signals of the auxiliary control path carry the prefix "AUX”, or optionally also "SUB” or as a suffix "_S”.
  • IGN ignition
  • speed or torque torque
  • motor position motor position
  • CAN bus connection
  • Further internal state variables and signal flows are, for example, those of the respective arithmetic unit (MCU), or microcontroller, for the current monitoring unit (PMIC), the current measurement (shunt current), which leads from the driver (GDU) to the respective processing unit (MCU), or information about the power amplifier (PS), which is passed to the driver (GDU).
  • PMIC current monitoring unit
  • Shunt current current measurement
  • GDU driver
  • PS power amplifier
  • the error signals described below are marked with simple, ie thin, solid lines and attached arrows.
  • the main current monitor supplies a second main error signal (2 nd _Safety_M), which is set when a fault is detected in the main current monitoring (MAIN PMIC) or the main processing unit (MAIN MCU).
  • the main processing unit provides a first main error signal (1 st _Safety_M) indicating an error detected by or in the main processing unit.
  • Auxiliary control unit (AUX MCU) provides a first sideline signal (1 st _Safety_S) representing an error detected by or in the Auxiliary MCU.
  • the main processing unit receives knowledge of the first one
  • MAIN MCU Main arithmetic unit
  • auxiliary processing unit (AUX MCU) receives knowledge of the second main error signal (2 nd _Safety_M).
  • the second main error signal (2 nd _Safety_M).
  • (2 nd _Safety_M) is provided by the main current monitor (MAIN PMIC).
  • the second sub error signal (2 nd _Safety_S) is derived from the
  • Both the main and auxiliary control paths or their modules receive all the data coming from the various sensors, from the vehicle interface, the engine, the driver, the torque, the engine position sensor, the CAN bus interface and the current feedback or shunt Current. These data are used to perform calculations that provide the necessary assistance, ie. H. in particular the control signals for the driver (GDU) and finally the engine control.
  • the main and sub-control paths are both operative and capable
  • the respective arithmetic unit generates in each case a PWM signal (MAIN PWM ENA and AUX PWM ENA), which are supplied to the multiplexer (DMux). This switches one of the two control signals through and forwards it to the driver (GDU).
  • the multiplexer (DMux) is switched as a function of the second main control signal (2 nd _Safety_M). If there is no error, then the control signal of the main fault path is forwarded, in the case of an error, however, the control signal of the Crow Kunststoffmaschinepfades is forwarded by the multiplexer (DMux).
  • the signal of the driver reaches the power amplifier (PS) and finally the phase control (PCO).
  • PS power amplifier
  • PCO phase control
  • the latter can also be designed redundantly, wherein a main phase control is turned off in the presence of a first or second main error signal while independently one
  • phase control represents a safety switch if both paths, main and secondary control path, provide erroneous signals.
  • FIG. 2 shows a state diagram representing the various states of the control unit (ECU) as a function of the error signals. Starting from a start state (start-up), it is checked whether neither a second main error signal nor a second secondary error signal is set. In this diagram, the logic is inverse, i. h., the logical value zero would indicate an error. So seen here is an error signal from the error signal, but this makes no difference to the further consideration.
  • Main control signal (MAIN control signal) remained.
  • SAFE mode Safe mode is activated. This can result in the complete shutdown of the assistance. Special versions too
  • Automotive industry at voltages up to about 6 volts. This has energetic advantages and allows a quick change between the control paths and thus a smooth transition of the engine control.

Landscapes

  • Engineering & Computer Science (AREA)
  • Chemical & Material Sciences (AREA)
  • Combustion & Propulsion (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Power Steering Mechanism (AREA)
  • Safety Devices In Control Systems (AREA)
  • Steering Control In Accordance With Driving Conditions (AREA)

Abstract

Die Erfindung betrifft eine Rechner- und Funktionsarchitektur für den Betrieb einer elektrischen Hilfskraftlenkung, ein Steuergerät und eine Hilfskraftlenkung mit einer ersten Gruppe von Modulen mit einer hohen Ausfallwahrscheinlichkeit und einer zweiten Gruppe von Modulen mit einer niedrigen Ausfallwahrscheinlichkeit. Dabei weisen die Module der ersten Gruppe eine höhere Ausfallwahrscheinlichkeit auf als die Module der zweiten Gruppe. Die erste Gruppe von Modulen ist hierbei redundant vorgehalten und dadurch unterteilt in Hauptmodule und in die redundante Ausführung sogenannter Nebenmodule. Die Hauptmodule sind auf einem Hauptsteuerpfad und die Nebenmodule respektive auf einem Nebensteuerpfad angeordnet. Jeder dieser Steuerpfade erzeugt am Ende ein Steuersignal, d. h. ein Hauptsteuersignal und ein Nebensteuersignal. Über einen Multiplexer wird entschieden, welches dieser beiden Steuersignale an Module aus der zweiten Gruppe weitergeleitet wird. Diese zweite Gruppe von Modulen ist nur in einfacher Ausführung und nicht redundant vorhanden.

Description

Rechner- und Funktionsarchitektur zur Erhöhung der Ausfallsicherheit einer
Hilfskraftlenkung
Die Erfindung betrifft eine Rechner- und Funktionsarchitektur für den Betrieb einer elektrischen Hilfskraftlenkung zur Erhöhung der Ausfallsicherheit und Verfügbarkeit.
Eine elektrische Hilfskraftlenkung (englisch: Electric Power Steering (EPS)) dient dazu, eine assistierende Kraft auf das mechanische Steuerungssystem auszuüben. Dabei existiert für gewöhnlich ein Steuergerät (englisch: Electronic Control Unit (ECU)), das entsprechende Steuersignale sendet, sodass mechanische Aktuatoren, z. B. ein Stellmotor an der Steuersäule oder eine Zahnstange mit angetriebenen Zahnrädern, bewegt werden. Dabei ist gewünscht, eine bestimmte Ausfallsicherheit bzw. Verfügbarkeit zu gewährleisten, um bestimmte Qualitätskriterien, wie z. B. einen im Automobilbereich üblichen Automotive Safety Integrity Level (AS IL) zu
gewährleisten, der beispielsweise für autonomes Fahren vorgeschrieben ist.
Umgekehrt wird ein Ausfall auch als plötzlicher Verlust der Systemfunktionalität (englisch: Sudden Loss of System Functionality) bezeichnet. Ein solcher Verlust der Systemfunktionalität kann auch über den reinen Verlust der Hilfskraftunterstützung hinausgehen, nämlich wenn die Hilfskraftlenkung eine der gewünschten
Lenkbewegung entgegengesetzte Kraft aufbringt, die zum Übersteuern oder zum Blockieren der Lenkung führen kann.
Die Verfügbarkeit wird über eine inverse Maßgröße angegeben, die Ausfälle pro Zeit (englisch: failure in time (FIT)) genannt wird. Dies ist eine Ausfallrate bezogen auf das Zeitintervall eine Milliarde Stunden, d. h., die Anzahl der Ausfälle je 109 Stunden. Die Verfügbarkeit gemäß dem Standard ISO 26262 für sicherheitsrelevante Systeme bezeichnet die Fähigkeit eines Geräts, eine Funktion unter gegebenen Bedingungen während einer bestimmten Zeit oder einer bestimmten Zeitdauer auszuführen, vorausgesetzt, dass die benötigten externen Ressourcen verfügbar sind.
Der Stand der Technik, der versucht, die Ausfallsicherheit zu erhöhen, kann in zwei verschiedene Kategorien eingeteilt werden: 1 . Redundanz des Monitorings innerhalb des
Steuergeräts
2. Redundanz eines Teils des Systems
außerhalb des Steuergeräts
Die Kategorie 1 ist Stand der Technik für heutige Steuergeräte für EPS, die den Ansprüchen des Standards ASIL-D genügen. Diese haben einen FIT-Level für den plötzlichen Verlust der Assistenz im Bereich von 1 .600 bis 500 FIT, abhängig von Softwaremaßnahmen, die ggf. einen eingeschränkten Betriebsmodus implementieren. Allerdings ist es nicht möglich, auf niedrigere FIT-Level wie z. B. 100 zu kommen. Ein Design eines solchen Versuches kann darauf beruhen, dass eine Hauptsicherheits- Steuerung und eine Nebensicherheits-Steuerung in z. B. einem 32 Bit Lockstep- Modus betrieben werden. Andere Konzepte wie z. B. EGAS sind ebenso möglich.
Die Systeme der zweiten Kategorie beziehen sich auf teilweise oder vollständige Redundanz des elektronischen Systems. So wird im Falle der Redundanz der
Stromversorgung des Steuergeräts nur ein Fehler in der Stromversorgung durch das Steuergerät abgedeckt, aber der FIT-Level für den plötzlichen Verlust der Assistenz bleibt weiterhin im Bereich von 1 .600 bis 5.000 FIT, abhängig von den
Softwaremaßnahmen und der möglichen Implementierung eines eingeschränkten Betriebsmodus. Im Falle einer vollen Redundanz des Steuergeräts sinkt der FIT-Level für den plötzlichen Verlust der Assistenz unter 100 FIT, allerdings verursacht diese Lösung eine sehr hohe Komplexität, hohe Kosten und damit einen anderen Aufbau des Systems im Fahrzeug.
Beispiele der ersten Kategorie finden sich in den Druckschriften EP 2755881 A1 , US 71 65646 B2, welche alle nicht das Ziel eines FIT-Levels von 100 erreichen.
Folgende Schriften des Standes der Technik gehören zur zweiten Kategorie:
DE 19832506 A1 lehrt eine elektrische Stromversorgung für ein Hilfskraftlenksystem mit einer Hauptstromversorgung und einer separaten Backup-Batterie. Die US 8593084 B2 zeigt eine zweite, hilfsweise Stromversorgung für eine Hilfskraftlenkung. Diese Lösungen erreichen nicht den FIT-Level von 100, da sind die Erfindungen auf redundante Stromversorgung fokussieren, während das Steuergerät selbst weiterhin einen FIT-Level von 1 .600 bis 500 aufweist.
Die Druckschrift US 6693405 B2 lehrt ein elektrisches Hilfskraftlenksystem, welches ebenfalls der Kategorie 2 zuzuordnen ist. Dieser Lösung gelingt es, einen FIT-Level unter 100 zu erreichen, da die Steuergerätefunktionen alle doppelt vorgesehen sind. Diese Lösung hat jedoch die folgenden Nachteile:
- Verwendung eines elektrischen Motors mit 6 Phasen, das bedeutet zusätzlichen Aufwand für die Integration des Motors im Steuergerät,
- benötigt redundante Stromversorgung, was eine Änderung der elektrischen
Architektur des Fahrzeugs bedingt wie z. B. an den Verbindern zur Batterie oder den Kabelbäumen,
- keine Möglichkeit zur Massenproduktion, in absehbarer Zeit nicht einmal mit geringen Stückzahlen,
- hohe Kosten.
Der vorliegenden Erfindung lag die Aufgabe zugrunde, eine Architektur (Rechner- und Funktionsarchitektur) für ein Steuergerät zu definieren, die die Wahrscheinlichkeit eines Auftretens eines plötzlichen Verlusts der Assistenz der Hilfskraftlenkung bedingt durch Fehler im Steuergerät selbst von 500 FIT bis unter 100 FIT reduziert. Dabei soll eine Lösung angestrebt werden, die kostengünstig ist und sich in bestehende
Systeme leicht integrieren lässt.
Erfindungsgemäß wird die voranstehende Aufgabe mit den Merkmalen der
unabhängigen Ansprüche gelöst. Weitere vorteilhafte Ausführungen sind in den Unteransprüchen beschrieben.
Vorgeschlagen wird eine Rechner- und Funktionsarchitektur für den Betrieb einer elektrischen Hilfskraftlenkung mit einer ersten Gruppe von Modulen mit einer hohen Ausfallwahrscheinlichkeit und einer zweiten Gruppe von Modulen mit einer niedrigen Ausfallwahrscheinlichkeit. Dabei weisen die Module der ersten Gruppe eine höhere Ausfallwahrscheinlichkeit auf als die Module der zweiten Gruppe. Die erste Gruppe von Modulen ist hierbei redundant vorgehalten und dadurch unterteilt in Hauptmodule und in die redundante Ausführung sogenannter Nebenmodule. Die Hauptmodule sind auf einem Hauptsteuerpfad und die Nebenmodule respektive auf einem
Nebensteuerpfad angeordnet. Jeder dieser Steuerpfade erzeugt am Ende ein
Steuersignal, d. h. ein Hauptsteuersignal und ein Nebensteuersignal. Über einen Multiplexer wird entschieden, welches dieser beiden Steuersignale an Module aus der zweiten Gruppe weitergeleitet wird. Diese zweite Gruppe von Modulen ist nur in einfacher Ausführung und nicht redundant vorhanden.
Ein Steuerpfad dient zur Erzeugung von Steuersignalen. Die erzeugten Steuersignale hängen vom Zustand der Bearbeitung und von den Eingangsgrößen in dem
Steuerpfad, z. B. Sensorsignalen, ab. Die erzeugten Steuersignale können u. a. auf Datenpfade, andere Steuerpfade oder Aktoren einwirken. Im vorliegenden Fall berechnet das Steuergerät für eine elektrische Hilfskraftlenkung aufgrund von
Eingangssignalen, bzw. Eingangsgrößen, von Sensoren oder Peripheriemodulen wie z. B. einem Drehmomentsensor oder Batteriespannung oder Datensignalen des CAN Interfaces. Aus diesen Größen bestimmt das Steuergerät, insbesondere die
Recheneinheit den Zustand des Lenksystems und eine gewünschte
Lenkkraftunterstützung. Diese, ggf. als Datensignal vorliegenden Informationen werden über Leistungsschalter an einen Steller-Motor weitergegeben, der außerhalb des Steuergeräts liegt. Dieser Steller-Motor bewirkt die Beaufschlagung einer Kraft auf die Lenkung.
Gemäß der Erfindung ist ein Teil des gesamten, das Steuergerät durchlaufenden Steuerpfads redundant vorgesehen. Ausgehend von gemeinsamen Eingangssignalen bestimmen Module auf dem Hauptsteuerpfad in gleicher Weise wie Module auf dem Nebensteuerpfad gewisse Zustandsgrößen. Einer der beiden Steuerpfade wird über einen Multiplexer im Steuergerät intern weitergeleitet, während das Steuersignal des anderen Pfades verworfen wird. Das weitergeleitete Steuersignal wird in den Modulen der zweiten Gruppe weiterverarbeitet, sodass am Ende ein Ausgangssteuersignal entsteht, das aus dem Steuergerät heraustritt, insbesondere eins, das den externen Aktuator ansteuert. Eine Möglichkeit zu entscheiden, welches der beiden Steuersignale der Multiplexer weiterleitet, ist die Bedingung eines Fehlersignals, das angibt, ob der Hauptsteuerpfad ein fehlerfreies Signal liefert oder nicht. Tut er dies nicht, könnte der Multiplexer das Signal des Nebensteuerpfades weiterleiten.
Durch die vorgeschlagene teilweise Hardware-Redundanz innerhalb des Steuergeräts teilt sich dieses in einen redundanten und nicht redundanten Teil entsprechend der ersten und zweiten Gruppe der Module auf.
Die Unterteilung in eine erste und eine zweite Gruppe von Modulen, wobei die zweite Gruppe eine niedrige Ausfallwahrscheinlichkeit hat, beruht auch auf der Betrachtung bereits durchgeführter Maßnahmen zur Erhöhung oder Verringerung der
Ausfallwahrscheinlichkeit. So kann eine Softwarestrategie, die im Steuergerät implementiert ist, dazu führen, dass die Module der zweiten Gruppe überhaupt erst eine niedrige Ausfallwahrscheinlichkeit bekommen. Die Software kann Funktionen beinhalten, die Fehler in diesen Modulen bemerkt und Maßnahmen ergreift, diese zu kompensieren oder zu umgehen. Eine mögliche Umgehung wäre z. B. die
Bereitstellung eines eingeschränkten Betriebsmodus.
Durch die vorliegende Erfindung können sich folgende Vorteile ergeben:
- Eine schnittstellenneutrale Lösung (all-inside Solution), die keine Änderungen an der Peripherie oder Schnittstellen des Steuergeräts im Vergleich zu einem herkömmlichen Steuergerät notwendig machen. Flexibler Übergang zwischen einer Lösung des Standes der Technik, die ggf. weiterhin produziert wird, und der vorgeschlagenen Lösung.
- Integration im gleichen Fahrzeug möglich, da keine zusätzlichen Verbinder, keine zusätzliche Stromversorgung oder Kabelbäume notwendig sind.
- Behebung einer fehlerhaften Steuerfunktion und Vermeidung eines plötzlichen Verlusts der Assistenz. - Ein schnelles Umschalten vom Hauptsteuerpfad auf den Nebensteuerpfad mit einem weichen Übergang bewirkt eine Reduzierung der Gefahr für den Fahrer, wegen eines Assistenzverlusts und ein komfortables Fahrgefühl.
- Geringe Kosten, da keine zwei Motoren oder zwei Steuergeräte notwendig sind. Zum Beispiel ist so ein sechsphasiger BLDC-Motor oder zusätzliche Redundanz nicht zwingend notwendig, um den gewünschten FIT- Level zu erreichen.
- Geeignet für verschiedene Arten von EPS-Systemen, z. B. Lenksäulen-EPS und Zahnstangen- (Rack-) EPS (Passenger/Motor Compartment).
In einer speziellen Ausführungsform können die beiden redundanten Steuerpfade parallel zu jedem Zeitpunkt die gleichen Berechnungen durchführen, sodass beide Steuersignale jederzeit vorliegen. Dies wird„heiße Redundanz" genannt und kann einem schnellen Umschalten bzw. auch einer möglichen Fehlerkorrektur dienen.
In einer alternativen Ausführungsform kann der Nebensteuerpfad nur teilweise berechnet werden oder gar nicht und erst im Fall eines Fehlers auf dem
Hauptsteuerpfad die Berechnung vollständig aufnehmen und übernehmen. Je nachdem, wie schnell der Nebensteuerpfad seine Aufgabe aufnehmen kann, genügt die Zeit zwischen der Erkennung des Fehlers und Aufnahme der Funktion durch den Nebensteuerpfad für eine durchgehende Funktionalität des Hilfskraftlenksystems. Bei dieser Variante könnten evtl. Ressourcen, z. B. Stromverbrauch für den
Nebensteuerpfad, eingespart werden.
In einer besonderen Ausführungsform der Rechner- und Funktionsarchitektur umfasst die erste Gruppe von Modulen wenigstens eins der Module Stromüberwachung oder Recheneinheit. Die zweite Gruppe von Modulen umfasst wenigstens eins der Module Treiber, Endstufe oder Phasenschnitt/Phasensteuerung.
Ein Steuergerät kann entlang seines Steuerpfades folgende Module aufweisen: Einen integrierten Schaltkreis, der das Energiemanagement übernimmt (engl. Power- Management integrated circuit (PMIC)), welcher in Interaktion mit einer Recheneinheit (engl, [core of] Microcontroller (MCU)) steht, welche die wesentlichen Berechnungen durchführt, die Sensor- und Peripheriesignale entgegen nimmt, Monitoring-Aufgaben erfüllt und schlussendlich die Signale bestimmt, wie der Motor angesteuert werden soll bzw. das Ausgangssignal aus dem Steuergerät aussehen soll. Das aus der
Recheneinheit hinausgehende Steuersignal wird über den bereits beschriebenen Multiplexer an eine Treiberstufe (engl. Gate-Driver-Unit GDU) geleitet, welche wiederum eine Endstufe (engl. Power-Stage PS) ansteuert, welche mit dem Ausgang des Steuersignals über eine Phasenschnittsteuerung (engl. Phase-Cut-Off PCO) verbunden ist. Dieser Ausgang ist in der Regel mit dem Steller-Motor verbunden. Die Phasenschnittsteuerung kann eine Phasenan- bzw. eine Phasenabschnittsteuerung umfassen. Die Endstufe kann als sogenannte B6-Bridge ausgeführt sein, während die Treibereinheit als Gate-Driver-Unit ausgeführt sein kann.
Die Module, die am ehesten zu Fehlern beitragen, die zu einem plötzlichen Verlust der Assistenz führen, können das Energiemanagementsystem, bzw. Stromüberwachung, und die Recheneinheit umfassen. Werden nur diese Module redundant ausgeführt, wird eine teilweise Hardwareredundanz erzeugt, wobei eben die Stromüberwachung und die Recheneinheit doppelt, optional sogar noch häufiger vorhanden sind. Als zusätzliches Modul ist noch ein Multiplexer vonnöten, der das entsprechende
Steuersignal auswählt und durchschaltet. Obwohl dieser Multiplexer ein zusätzliches Bauteil bzw. Modul darstellt, wird die Fehleranfälligkeit (FIT) kaum erhöht, da dieser ein relativ einfaches Bauteil mit einer niedrigen Fehleranfälligkeit ist.
Diese Betrachtung kann voraussetzen, dass Softwaremaßnahmen getroffen werden, um die nicht redundanten Module, d. h. z. B. die Module der zweiten Gruppe, derart zu beeinflussen, dass ein möglicher Fehler in diesen Modulen keinen vollständigen Verlust der Assistenz zur Folge hat.
Eine solche Maßnahme, die nicht immer auf Softwareumsetzung beschränkt sein muss, ist beispielsweise die Verwendung eines Microcontrollers mit wenigstens zwei Recheneinheiten, die im Lockstep-Betrieb das gleiche Programm ausführen und die gleichen Berechnungen vornehmen. Dies geschieht klassischerweise in einem Microcontroller mit zwei Rechnerkernen, deren Rechenergebnisse beispielsweise miteinander verglichen werden können, um Fehler zu entdecken.
In einem solchen Fall hätte der vorgeschlagene Aufbau zwei Microcontroller mit in Summe vier Rechnerkernen, wobei ein Microcontroller ein Hauptmodul und der andere ein Nebenmodul darstellt. Das Berechnen der Software im Lockstep-Mode auf jedem Microcontroller dient nicht unbedingt der Redundanz gemäß der Erfindung, nämlich das Vorsehen eines Haupt- und Nebensteuerpfades. Diese Berechnungen können vielmehr weitere Fehlerursachen an anderen Stellen zu detektieren
versuchen, z. B. Plausibilisierung von Rechenergebnissen oder Sensorwerten.
Genauso ist natürlich auch die Verwendung eines Microcontrollers, der nicht im Lockstep-Mode betrieben wird, denkbar. In diesem Fall gäbe es eine Recheneinheit auf einem Haupt-Microcontroller und eine zweite Recheneinheit auf einem Neben- Microcontroller. Recheneinheit und Microcontroller wären hier quasi identisch.
Ein weiterer Grund für die Verwendung des Lockstep-Modus ist, den Standard (ASIL- D) für jeden der Pfade zu erreichen, um damit weitestgehend möglich eine
blockierende oder übersteuernde Lenkung auszuschließen. Die beiden Steuerpfade können hierbei so weit wie möglich unabhängig betrieben werden, um die
Beeinflussung eines Steuerpfads durch Fehler auf dem anderen Steuerpfad zu vermeiden.
Ein weiterer Vorteil ist, dass die redundante Auslegung der Module der ersten Gruppe derart gestaltet ist, dass ein Niedervoltsignal, d. h. z. B. ein Signal im Bereich von 3 bis 6 Volt, durch den Multiplexer geschaltet wird, was im Gegensatz zu Signalen mit höherer Spannung schnellere Schaltzeiten und niedrigere Energieverluste ermöglicht.
In einer besonderen Ausführungsform der Rechner- und Funktionsarchitektur setzt ein Hauptmodul ein Hauptfehlersignal bei einem Fehler in einem Hauptmodul und ein Nebenmodul ein Nebenfehlersignal bei einem Fehler in einem Nebenmodul. Ein solches Fehlersignal kann ein Signal sein, das die logischen Werte Null oder Eins annimmt, d. h. ein digitales Signal, wobei die Logik auch invers sein kann, d. h., dass sie keinen Fehler, sondern den funktionsfähigen, bzw. fehlerfreien Zustand anzeigt.
Die genannte Art der Fehlersignalsetzung ist vorteilhafterweise so ausgelegt, dass jeder Pfad bzw. die Module des jeweiligen Pfades sich selbst überwachen und selbstständig einen Fehler über dieses Signal melden.
In einer besonderen Ausführungsform der Rechner- und Funktionsarchitektur besteht die einzige Kommunikation zwischen dem Hauptfehlerpfad und dem Nebenfehlerpfad und umgekehrt aus der Übertragung von Hauptfehlersignalen von Hauptmodulen zu Nebenmodulen und/oder der Übertragung von Nebenfehlersignalen von
Nebenmodulen zu Hauptmodulen.
Kommunikation zwischen dem Hauptfehlerpfad und dem Nebenfehlerpfad bedeutet vorliegend, dass wenigstens ein Modul des jeweiligen Fehlerpfades mit jeweils wenigstens einem Modul des anderen Pfades kommuniziert, z. B. Daten austauscht, die von Modulen des anderen Steuerpfades ausgewertet werden. Eine solche
Kommunikation betrifft insbesondere den Austausch digitaler Signale, die einen Zustand angeben wie z. B. besagte Fehlersignale.
In dieser Ausführungsform ist eine weitere Kommunikation bzw. weiterer
Informationsaustausch über diese Fehlersignale, z. B. über den Fehlerstatus hinaus, sind hier nicht vorgesehen.
Der Vorteil, die Kommunikation in dieser Weise zu beschränken, dient dazu, systematische Mehrfachfehler zu vermeiden, die bei einer weitergehenden Interaktion zwischen den beiden Signalpfaden auftreten könnten. Die beiden Steuerpfade werden hierbei so weit wie möglich unabhängig betreiben, um die Beeinflussung eines Steuerpfads durch Fehler durch Datenaustausch zu vermeiden.
Mit anderen Worten: Die einzige Information, die ein Modul eines Pfades über Module des anderen Pfades erhält, ist ein Signal, dass auf dem anderen Pfad bzw. in einem anderen Modul des anderen Pfades ein Fehler aufgetreten ist. Das heißt, ein
Fehlersignal resultiert gemäß der früheren Beschreibung ausschließlich aufgrund der Berechnungen der Module eines Pfades und keiner Interaktion von Modulen oder Signalen beider Pfade.
In einer besonderen Ausführungsform der Rechner- und Funktionsarchitektur setzt ein Hauptmodul ein Nebenfehlersignal bei einem Fehler eines Nebenmoduls und ein Nebenmodul ein Hauptfehlersignal bei einem Fehler eines Hauptmoduls.
Dies ist eine alternative oder zusätzliche Ausführungsform zu bereits Beschriebenem, hier kann auch ein Pfad Fehler im jeweils anderen Pfad (bzw. dessen Modulen) detektieren und das entsprechende Fehlersignal des jeweils anderen Pfades setzen. Dadurch kann jeder Pfad den jeweils anderen Pfad überwachen. Dies kann zusätzlich oder alternativ zur Überwachung des eigenen Pfades geschehen.
Zum Beispiel kann eine Überwachungskomponente/-modul (Watchdog) im
Nebensteuerpfad vorgesehen sein, der Module des Hauptsteuerpfades überwacht. Zusätzlich oder alternativ kann im Hauptsteuerpfad ein Watchdog vorhanden sein, der Module des Nebensteuerpfades überwacht und ggf. einen Fehlerpfad des
Nebensteuerpfades setzt.
Durch diese Maßnahme ist ggf. eine bessere Erkennung von Fehlern möglich, die das Ergreifen von Maßnahmen zulässt, die insgesamt die Fehleranfälligkeit senken.
In einer besonderen Ausführungsform der Rechner- und Funktionsarchitektur besteht oder umfasst die erste Gruppe von Modulen eine Stromüberwachung und eine
Recheneinheit, im Speziellen eine Hauptstromüberwachung, eine
Hauptprozesseinheit und parallel dazu eine redundante Nebenstromüberwachung und redundante Nebenrecheneinheit. Die Hauptstromüberwachung setzt ein zweites Hauptfehlersignal, wenn sie einen Fehler der Hauptstromüberwachung oder der Hauptrecheneinheit erkennt. Die Hauptrecheneinheit setzt ein erstes
Hauptfehlersignal, wenn sie einen Fehler der Hauptrecheneinheit erkennt. Die
Nebenstromüberwachung setzt ein zweites Nebenfehlersignal, wenn sie einen Fehler der Nebenstromüberwachung oder der Nebenrecheneinheit erkennt. Die Nebenrecheneinheit setzt ein erstes Nebenfehlersignal, wenn sie einen Fehler der Nebenrecheneinheit erkennt.
Mit anderen Worten: Eine Hauptstromüberwachung, z. B. ein Power-Management Integrated Circuit, generiert ein Fehlersignal für Fehler in Modulen auf dem
Hauptsteuerpfad, insbesondere wenn sie einen Defekt der Hauptstromüberwachung oder der Hauptrecheneinheit selbst erkennt, wobei dieses Fehlersignal zweites Hauptfehlersignal genannt wird. Eine Hauptrecheneinheit, insbesondere ein Haupt- Microcontroller, generiert ein Fehlersignal für Fehler in einem Modul auf dem
Hauptsteuerpfad, insbesondere für einen Defekt der Hauptrecheneinheit selbst, wobei dieses Fehlersignal erstes Hauptfehlersignal genannt wird.
Eine Nebenstromüberwachung, z. B. ein Power-Management Integrated Circuit, generiert ein Fehlersignal für Fehler in Modulen auf dem Nebensteuerpfad,
insbesondere wenn sie einen Defekt der Nebenstromüberwachung oder der
Nebenrecheneinheit selbst erkennt, wobei dieses Fehlersignal zweites
Nebenfehlersignal genannt wird. Eine Nebenrecheneinheit, insbesondere ein Neben- Microcontroller, generiert ein Fehlersignal für Fehler in einem Modul auf dem
Nebensteuerpfad, insbesondere für einen Defekt in der Nebenrecheneinheit selbst, wobei dieses Fehlersignal erstes Nebenfehlersignal genannt wird.
Ein sogenannter Fehler der jeweiligen Recheneinheit kann sich vorliegend auf einen Defekt der Recheneinheit selbst beziehen oder auf einen Fehlerzustand, den die Recheneinheit feststellt. Dies kann umfassen: interne oder externe Fehler der
Recheneinheit bzw. des Microcontrollers, Plausibilitätscheckfehler des PWM-Signals, festgestellte Fehler der Peripherie der Recheneinheit wie ADC, Motor-Timer,
Zündungs- und Drehzahlsignale oder anderer Module/Sensoren, insbesondere solcher, die zum plötzlichen Verlust der Assistenz führen können. Fehlende oder falsche Daten von Peripheriemodulen oder Sensoren können dazu führen, dass Systemzustände nicht mehr so genau bestimmt werden können, um eine sichere Hilfskraftlenkung zu gewährleisten. In einer besonderen Ausführungsform der Rechner- und Funktionsarchitektur leitet der Multiplexer bei gesetztem Hauptfehlersignal das Steuersignal des Nebensteuerpfades weiter und ansonsten das Steuersignal des Hauptsteuerpfades.
Insbesondere kann der Multiplexer bei gesetztem zweitem Hauptfehlersignal das Steuersignal des Nebensteuerpfades weiterleiten.
In alternativen Ausführungsformen kann der Multiplexer auch bei gesetztem
Nebenfehlersignal oder einer Kombination der Fehlersignale jeweils einen der beiden Pfade weiterleiten bzw. durchschalten.
In einem Beispiel geschieht das folgendermaßen: Die Hauptrecheneinheit setzt das erste Hauptfehlersignal, woraufhin die Hauptstromüberwachung das zweite
Hauptfehlersignal setzt, was diese aufgrund eines SPI-Befehls (Serial Peripheral Interface) von der Hauptrecheneinheit veranlasst. In einem anderen Beispiel setzt die Hauptstromüberwachung das zweite Hauptfehlersignal, weil der Watchdog der Hauptstromüberwachung von der Hauptrecheneinheit nicht mehr bedient wird.
Eine derartige Gestaltung erlaubt, dass ausschließlich ein Austausch der
Fehlersignale zwischen den beiden Pfaden stattfindet und ein Vergleichen der
Steuersignale oder sonstiger Daten beider Pfade höchstens zusätzlich, nicht jedoch notwendig ist. Durch den alleinigen Austausch des ersten und zweiten Haupt- bzw. Nebenfehlersignals ist es möglich, Fehlerzustände von normalen Betriebszuständen wie z. B. einer Power-off-Sequence zu unterscheiden.
Als Beispiel: Ein Setzen des ersten Hauptfehlersignals kann bedeuten, dass ein Fehler in der Hauptrecheneinheit entdeckt wurde, die einen Verlust der Assistenz zur Folge hat. Die Nebenrecheneinheit wartet auf das zweite Hauptfehlersignal, um die Kontrolle über die Treiber- und Endstufe zu bekommen, sobald der Multiplexer auf den Nebensteuerpfad umschaltet. Andererseits kann das Setzen des ersten
Hauptfehlersignals auch bedeuten, dass das Steuergerät ausgeschaltet wird, da z. B. das Zündungssignal (z. B. Klemme 15) aus ist. In diesem Fall kann die
Nebenrecheneinheit prüfen, wie der Zustand des Zündungssignals ist, um ggf. die Ausschaltsequenz zu starten, anstatt die weitere Berechnung des Steuersignals zu übernehmen.
In einer besonderen Ausführungsform der Rechner- und Funktionsarchitektur wird bei gesetztem Hauptfehlersignal und gleichzeitig gesetztem Nebenfehlersignal ein
Notbetriebszustand aktiviert.
Ein solcher Notbetriebszustand kann ein Safety Mode sein, ein Ausschalten des Systems oder eine Fortsetzung des Betriebes mit eingeschränkter Funktionalität.
Insbesondere handelt es sich bei den genannten Fehlersignalen um das zweite Haupt- bzw. das zweite Nebenfehlersignal.
Durch diese Redundanz können Fehler noch genauer unterschieden werden, sodass auch mehrere verschiedene Notbetriebszustände möglich sind und so das System insgesamt weniger anfällig für einen plötzlichen Totalausfall machen.
Vorgeschlagen wird weiterhin ein Steuergerät oder eine kombinierte Motor-/Steuer- geräteeinheit gemäß der vorgeschlagenen Rechner- und Funktionsarchitektur.
In einer besonderen Ausführungsform des Steuergeräts oder der kombinierten Motor- /Steuergeräteeinheit weist dies keine redundanten Schnittstellen auf.
Mit anderen Worten: Externe Schnittstellen des Steuergeräts sind nicht redundant vorhanden.
Durch diese Maßnahme kann ein erfindungsgemäßes Steuergerät leicht ein
herkömmliches Steuergerät ersetzen, ohne dass größere bauliche Änderungen an der Peripherie, insbesondere an den externen Schnittstellen durchgeführt werden müssen. In einer alternativen Ausführungsform können externe Schnittstellen auch redundant vorgesehen sein, die aber ggf. nur einfach angeschlossen werden müssen, um dadurch auch den genannten Vorteil zu erhalten.
Vorgeschlagen wird weiterhin eine Hilfskraftlenkung, auch Servolenkung genannt, welche mit einem vorgeschlagenen Steuergerät oder einer kombinierten
Motorsteuergeräteeinheit ausgestattet ist.
Ein solches Steuergerät kann für die Motoransteuerung der Hilfskraftlenkung dienen, z. B. der eines Column-EPS oder Rack-EPS.
In einer weiteren Ausgestaltung kann eine nachfolgende Phasenschnittsteuerung (engl. PCO Phase-Cut-Off / Control Supply) redundant ausgelegt sein und jeweils von den Fehlersignalen aktiviert werden. Eine Hauptphasenschnittsteuerung kann z. B. aktiv sein, wenn weder ein erstes noch ein zweites Hauptfehlersignal anliegt. Ebenso kann eine Nebenphasenschnittsteuerung aktiv sein, wenn weder ein erstes noch ein zweites Nebenfehlersignal anliegt.
Es können verschiedene Fehlerarten vorliegen. Hierzu gehören Fehler der Sensoren bzw. der externen Peripherie, weiterhin Fehler im Steuergerät selbst wie z. B. Defekte mancher Module sowie Fehler in der Ansteuerung bzw. im Motor selbst. Im Fehlerfall kann auf verschiedene Weisen eine Reaktion erfolgen :
1 . Fortführung der vollen Assistenz durch Übernahme der Funktion durch ein redundantes System, das entweder wie beschrieben redundant vorgehalten sein kann oder/und durch geeignete Softwaremaßnahmen fehlende Informationen anderweitig beschafft. Dies kann z. B. dann der Fall sein, wenn der Hauptmicrocontroller im Steuergerät ausfällt und der Nebenmicrocontroller dessen Funktion übernimmt. Dies geht erfindungsgemäß mit einem Wechsel der Steuerung vom Hauptsteuerpfad zum Nebensteuerpfad einher.
2. In einem eingeschränkten Betriebsmodus (limited oder degraded mode) wird versucht, die Assistenz wenigstens teilweise aufrechtzuerhalten. Entweder wird versucht, die Assistenz so gut wie möglich aufrechtzuerhalten und beispielsweise fehlende Informationen zu schätzen oder zu interpolieren, oder die Funktionalität wird bewusst eingeschränkt, um dem Fahrer ein Feedback über das Problem bzw. einen bevorstehenden Ausfall zu geben.
3. Abschaltung der Assistenz (Shut-off/Safety Mode), wenn keine kontrollierte
Verfügbarkeit mehr möglich ist. Dies kann z. B. bei einem Doppelfehler vorkommen, wenn ein Modul im Hauptsteuerpfad und ein Modul im Nebensteuerpfad ausfallen. Auf jeden Fall soll ein unkontrolliertes Fortführen der Assistenz vermieden werden, die z. B. durch Blockieren oder Übersteuern der Lenkung das Fahrzeug in einen kritischen Zustand bringen kann.
Das vorgeschlagene System kann auch mit anderen Fehlerbehandlungsmethoden bzw. anderen redundanten Systemen kombiniert werden. So können Software- Sicherheitsmaßnahmen eingeschränkte Betriebsmodi ermöglichen oder zwei in Serie geschalteten Kondensatoren für die keramischen Kondensatoren zur Vermeidung von zufälligen Hardwarefehlern verwendet werden, die in der B6-Brücke oder
Sensordaten-Erfassungseinheiten oder dem Treiber verbaut sein können.
Ausführungsbeispiele der Erfindung werden nachfolgend anhand der Zeichnungen näher erläutert.
Es zeigen:
Figur 1 : Ein Steuergerät zur Ansteuerung einer Hilfskraftlenkung
Figur 2: Ein Zustandsdiagramm basierend auf dem Zustand der Fehlersignale
In Figur 1 ist ein Steuergerät (ECU) dargestellt, bei dem der Signalfluss im
Wesentlichen von links nach rechts stattfindet. Mit durchgezogener dicker Linie sind Module und der Pfad des Hauptsteuerpfades gekennzeichnet (der obere Pfad).
Module und Signale des Hauptsteuerpfades tragen das Präfix„MAIN" oder als Suffix
„_M".
Mit gestrichelter Linie sind Module und der Pfad des Nebensteuerpfades
gekennzeichnet (der untere Pfad). Diese sind zusammen mit den ebenfalls gestrichelt gezeichneten Multiplexern (DMUX) zusätzlich im Steuergerät (ECU) eingebaut, um die teilweise Redundanz zu ermöglichen. Module und Signale des Nebensteuerpfades tragen das Präfix„AUX", bzw. optional auch„SUB" oder als Suffix„_S".
Im weiteren Verlauf ab dem Multiplexer (DMUX) sind der weitere gemeinsame
Steuerpfad und deren Module (der zweiten Gruppe) mit gepunkteter Linie bzw.
Umrandung gekennzeichnet. Schlussendlich werden Anschlüsse für den Anschluss eines Motors bereitgestellt, hier bezeichnet mit den drei Phasen U/V/W.
Weiterhin sind andere Eingangsgrößen bzw. solche Eingangsgrößen verarbeitenden Module dargestellt wie die Zündung (IGN), der Drehzahl bzw. Drehmoment (Torque), die Motorposition (Motor Position) oder eine Bus-Verbindung (CAN). Diese sind mit gestrichpunkteter Linie dargestellt.
Weitere interne Zustandsgrößen und Signalflüsse sind beispielsweise die von der jeweiligen Recheneinheit (MCU), bzw. Microcontroller, zur Stromüberwachungseinheit (PMIC) führen, die Strommessung (Shunt current), die vom Treiber (GDU) zur jeweiligen Recheneinheit (MCU) führt, oder Information über die Endstufe (PS), die an den Treiber (GDU) gereicht wird. Entsprechend der beschriebenen Zugehörigkeit sind auch diese Signale mit durchgezogener, gestrichelter oder gepunkteter Linie gezeichnet.
Es ist ein Hauptsteuerpfad gezeigt (durchgezogene dicke Linie), der ausgehend von der externen Stromversorgung KL30/31 (Klemme 30 - Dauerstrom) zu einer
Hauptstromüberwachung (MAIN PMIC) führt, welche die korrekte
Spannungsversorgung der nachfolgenden Hauptrecheneinheit (MAIN MCU) und die Diagnose dieser sicherstellt. Die gleiche Anordnung gilt für den Nebensteuerpfad (gestrichelte dicke Linie) mit der Nebenstromüberwachung (AUX PMIC) und der Nebenrecheneinheit (AUX MCU).
Die im Folgenden beschriebenen Fehlersignale sind mit einfachen, d. h. dünnen, durchgezogenen Linien und angehängten Pfeilen gekennzeichnet. Dabei liefert die Hauptstromüberwachung ein zweites Hauptfehlersignal (2nd_Safety_M), welches gesetzt wird, wenn ein Fehler in der Hauptstromüberwachung (MAIN PMIC) oder der Hauptrecheneinheit (MAIN MCU) entdeckt wird. Die Hauptrecheneinheit hingegen liefert ein erstes Hauptfehlersignal (1 st_Safety_M), welches einen Fehler anzeigt, der von oder in der Hauptrecheneinheit entdeckt wurde.
Für die Fehler der Module auf dem Nebensteuerpfad gilt Gleiches. Die
Nebenstromüberwachung (AUX PMIC) liefert ein zweites Nebenfehlersignal
(2nd_Safety_S), das einen Fehler anzeigt, der in der Nebenstromüberwachung (AUX PMIC) oder der Nebenrecheneinheit (AUX MCU) erkannt wurde. Die
Nebenrecheneinheit (AUX MCU) liefert ein erstes Nebenfehlersignal (1 st_Safety_S), das einen Fehler darstellt, der von oder in der Nebenrecheneinheit (AUX MCU) erkannt wurde.
Die Hauptrecheneinheit (MAIN MCU) erhält Kenntnis von dem ersten
Nebenfehlersignal (1 st_Safety_S), welches von der Nebenrecheneinheit (AUX MCU) ausgesendet wird. Umgekehrt erhält die Nebenrecheneinheit (AUX MCU) Kenntnis von dem ersten Hauptfehlersignal (1 _Safety_M), welches von der
Hauptrecheneinheit (MAIN MCU) ausgesendet wird. Weiterhin erhält die
Hauptrecheneinheit (Main MCU) Kenntnis über das zweite Nebenfehlersignal
(2nd_Safety_S). Genauso erhält die Nebenrecheneinheit (AUX MCU) Kenntnis über das zweite Hauptfehlersignal (2nd_Safety_M). Das zweite Hauptfehlersignal
(2nd_Safety_M) wird von der Hauptstromüberwachung (MAIN PMIC) bereitgestellt. Gleichermaßen wird das zweite Nebenfehlersignal (2nd_Safety_S) von der
Nebenstromüberwachung (AUX PMIC) bereitgestellt.
Beide, die Haupt- und Nebensteuerpfade bzw. deren Module, erhalten alle Daten, die von den verschiedenen Sensoren kommen, von der Fahrzeugschnittstelle, dem Motor, dem Treiber, dem Drehmoment, dem Motorpositionssensor, dem CAN-Bus Interface und dem Stromfeedback bzw. Shunt Current. Mit diesen Daten werden Berechnungen durchgeführt, die die notwendige Assistenz bereitstellen, d. h. insbesondere die Steuersignale für den Treiber (GDU) und schlussendlich die Motorsteuerung. In einer Ausgestaltung sind Haupt- und Nebensteuerpfad beide operativ und fähig, die
Kontrolle bzw. die Steuerung des Motors zu jeder Zeit zu übernehmen.
Die jeweilige Recheneinheit (MCU) generiert jeweils ein PWM-Signal (MAIN PWM ENA und AUX PWM ENA), welche dem Multiplexer (DMux) zugeführt werden. Dieser schaltet eines der beiden Steuersignale durch und leitet dieses an den Treiber (GDU) weiter. In der gezeigten Figur wird der Multiplexer (DMux) abhängig von dem zweiten Hauptsteuersignal (2nd_Safety_M) geschaltet. Liegt kein Fehler vor, so wird das Steuersignal des Hauptfehlerpfades weitergeleitet, im Fehlerfall hingegen wird das Steuersignal des Nebensteuerpfades vom Multiplexer (DMux) weitergeleitet.
Die anschließende Treiberstufe (GDU), die eins dieser beiden Steuersignale
empfängt, kann ebenso bei Anliegen des zweiten Hauptfehlersignals und des zweiten Nebenfehlersignals, insbesondere in einer Und-Kombination beider Fehlersignale, abgeschaltet werden.
Das Signal des Treibers (GDU) gelangt zur Endstufe (PS) und daraufhin abschließend zur Phasensteuerung (PCO). Letztere kann ebenso redundant ausgelegt sein, wobei eine Hauptphasensteuerung beim Vorliegen eines ersten oder zweiten Hauptfehlersignals abgeschaltet wird, während unabhängig davon eine
Nebenphasensteuerung im Falle des Vorliegens eines ersten oder zweiten
Nebenfehlersignals abgeschaltet wird. Dadurch stellt die Phasensteuerung (PCO) einen Sicherheitsschalter dar, falls beide Pfade, Haupt- und Nebensteuerpfad, fehlerbehaftete Signale liefern. Durch diese Art der Abschaltung wird die Trennung der Assistenz vom Motor, d. h. eine Kraftbeaufschlagung unterbrochen. Der Motor kann dann keine Kraft auf die Lenkung mehr aufbringen, sodass diese weiterhin manuell betätigt werden kann, aber eben auch keine falsche Krafteinwirkung erfährt.
In Figur 2 ist ein Zustandsdiagramm dargestellt, das die verschiedenen Zustände des Steuergeräts (ECU) in Abhängigkeit von den Fehlersignalen darstellt. Ausgehend von einem Startzustand (Start-up) wird geprüft, ob weder ein zweites Hauptfehlersignal noch ein zweites Nebenfehlersignal gesetzt ist. In diesem Diagramm ist die Logik invers, d. h., der logische Wert Null würde einen Fehler anzeigen. So gesehen wird hier aus dem Fehlersignal ein Enable-Signal, was aber für die weitere Betrachtung keinen Unterschied macht.
Liegt ein Fehler vor, so wird keine Assistenz bereitgestellt und das System in einen ausgeschalteten Zustand (OFF Mode) gesetzt. Ist das System jedoch fehlerfrei und damit betriebsbereit, so wird es in den Betriebszustand (RUN Mode) auf Basis des Hauptsteuersignals (MAIN Control Signals) gesetzt.
Sollte im laufenden Betrieb (RUN Mode) ein Fehler auftauchen, so wird wie folgt verfahren:
Bei Vorliegen eines zweiten Nebenfehlersignals ohne das Vorliegen eines zweiten Hauptfehlersignals wird im Betriebsmodus (RUN Mode) auf Basis des
Hauptsteuersignals (MAIN Control Signals) verblieben.
Bei Vorliegen eines Fehlers des zweiten Hauptfehlersignals und keines Fehlers im zweiten Nebenfehlersignal wird der Betriebszustand (RUN Mode) dahingehend umgeschaltet, dass weiterhin statt des Hauptsteuersignals (MAIN Control Signals) das Nebensteuersignal (AUX Control Signals) durchgeschaltet wird und die Signale des Nebensteuerpfades nunmehr die Ansteuerung des Motors bewirken.
Solange weder das zweite Hauptfehlersignal noch das zweite Nebenfehlersignal gesetzt sind bzw. diese Fehlerzustände zurückgenommen werden sollten, wird in dem Betriebszustand (RUN Mode) auf Basis des Hauptsteuersignals (MAIN Control Signals) verweilt bzw. dorthin zurückgeschaltet.
Wird ein Fehler durch das zweite Hauptfehlersignal und gleichzeitig durch das zweite Nebenfehlersignal angezeigt, so enden der Betriebszustand und ein
Sicherheitszustand (SAFE Mode), Safe-Mode wird aktiviert. Dieser kann die komplette Abschaltung der Assistenz zur Folge haben. Spezielle Ausführungen zu
eingeschränkten Betriebsmodi sind hier nicht weiter aufgeführt.
Diese Übergänge werden im Niederspannungsbereich geschaltet, d. h. in der
Automobilindustrie bei Spannungen bis ca. 6 Volt. Dies hat energetische Vorteile und erlaubt einen schnellen Wechsel zwischen den Steuerpfaden und damit einen weichen Übergang der Motorsteuerung.
Bezugszeichenliste
ECU Steuergerät
MAIN Haupt-
AUX Neben-/Hilfs-
PMIC Stromsteuerung
MCU Recheneinheit
DMux Multiplexer
GDU Treiber
PS Endstufe
PCO Phasenschnittsteuerung
KL30/31 Klemme 30 - Stromversorgung
IGN Zündung
Torque Drehmoment
Motor Position Motor Position
CAN CAN-Bus
U/V/W Phasen für Motoransteuerung
PWM ENA PWM Steuersignal
Shunt Current Strommessung
1 st_Safety_M Erstes Hauptfehlersignal
2nd_Safety_M Zweites Hauptfehlersignal
1 st_Safety_S Erstes Nebenfehlersignal
2nd_Safety_S Zweites Nebenfehlersignal
Startup Start-Sequenz
OFF Mode Aus-Zustand
RUN Mode Betriebszustand
MAIN Control Signals Hauptsteuerung
AUX Control Signals Nebensteuerung
SAFE Mode Notbetriebszustand

Claims

Patentansprüche
1 . Rechner- und Funktionsarchitektur für den Betrieb einer elektrischen
Hilfskraftlenkung
wobei eine erste Gruppe von Modulen mit einer hohen
Ausfallwahrscheinlichkeit und eine zweite Gruppe von Modulen mit einer niedrigen Ausfallwahrscheinlichkeit vorhanden sind,
wobei die erste Gruppe von Modulen eine höhere Ausfallwahrscheinlichkeit aufweist, als die zweite Gruppe von Modulen,
wobei die erste Gruppe von Modulen redundant vorgehalten ist und dadurch Hauptmodule und die in redundanter Ausführung vorhandenen
Nebenmodule vorliegen, die jeweils auf einem Hauptsteuerpfad und einem Nebensteuerpfad angeordnet sind und jeweils ein Steuersignal, d. h. ein Hauptsteuersignal und ein Nebensteuersignal, erzeugen,
dadurch gekennzeichnet, dass
die zweite Gruppe von Modulen nur in einfacher Ausführung vorhanden ist und dass ein Multiplexer vorgesehen ist, der eins der beiden Steuersignale an Module aus der zweiten Gruppe von Modulen weiterleitet.
2. Rechner- und Funktionsarchitektur nach Anspruch 1 , dadurch
gekennzeichnet, dass
die erste Gruppe von Modulen wenigstens eins von folgenden Modulen umfasst:
- Stromüberwachung (PMIC);
- Recheneinheit (MCU);
und die zweite Gruppe von Modulen wenigstens eins von folgenden Modulen umfasst:
- Treiber (GDU); - Endstufe (PS);
- Phasenschnitt (PCO).
3. Rechner- und Funktionsarchitektur nach Anspruch 1 oder 2, dadurch
gekennzeichnet, dass
ein Hauptmodul ein Hauptfehlersignal (1 st_Safety_M, 2nd_Safety_M) bei einem Fehler eines Hauptmoduls setzt und
ein Nebenmodul ein Nebenfehlersignal (1 st_Safety_S, 2nd_Safety_S) bei einem Fehler eines Nebenmoduls setzt.
4. Rechner- und Funktionsarchitektur nach Anspruch 3, dadurch
gekennzeichnet, dass
die einzige Kommunikation zwischen dem Hauptsteuerpfad und dem Nebensteuerpfad und umgekehrt aus folgendem besteht:
Übertragung von Hauptfehlersignalen (1 st_Safety_M, 2nd_Safety_M) von Hauptmodulen zu Nebenmodulen;
Übertragung von Nebenfehlersignalen (1 st_Safety_S, 2nd_Safety_S) von Nebenmodulen zu Hauptmodulen.
5. Rechner- und Funktionsarchitektur nach einem der vorigen Ansprüche, dadurch gekennzeichnet, dass
ein Hauptmodul ein Nebenfehlersignal (1 st_Safety_S, 2nd_Safety_S) bei einem Fehler eines Nebenmoduls setzt und
ein Nebenmodul ein Hauptfehlersignal (1 st_Safety_M, 2nd_Safety_M) bei einem Fehler eines Hauptmoduls setzt.
6. Rechner- und Funktionsarchitektur nach einem der Ansprüche 2 bis 5, dadurch gekennzeichnet, dass
die erste Gruppe von Modulen aus einer Stromüberwachung (PMIC) und einer Recheneinheit (MCU) besteht oder diese umfasst, im Speziellen einer Hauptstromüberwachung (MAIN PMIC), einer Hauptrecheneinheit (MAIN MCU) und parallel dazu einer redundanten Nebenstromüberwachung (AUX PMIC) und redundanter Nebenrecheneinheit (AUX MCU), wobei die Hauptstromüberwachung ein zweites Hauptfehlersignal
(2nd_Safety_M) setzt, wenn sie einen Fehler der Hauptstromüberwachung oder der Hauptrecheneinheit erkennt,
wobei die Hauptrecheneinheit ein erstes Hauptfehlersignal (1 st_Safety_M) setzt, wenn sie einen Fehler der Hauptrecheneinheit erkennt,
wobei die Nebenstromüberwachung ein zweites Nebenfehlersignal
(2nd_Safety_S) setzt, wenn sie einen Fehler der Nebenstromüberwachung oder der Nebenrecheneinheit erkennt,
wobei die Nebenrecheneinheit ein erstes Nebenfehlersignal (1 st_Safety_S) setzt, wenn sie einen Fehler der Nebenrecheneinheit erkennt.
7. Rechner- und Funktionsarchitektur nach einem der Ansprüche 3 bis 6, dadurch gekennzeichnet, dass
der Multiplexer bei gesetztem Hauptfehlersignal das Steuersignal des Nebensteuerpfades weiterleitet und
ansonsten das Steuersignal des Hauptsteuerpfades weiterleitet.
8. Rechner- und Funktionsarchitektur nach einem der vorigen Ansprüche, dadurch gekennzeichnet, dass
bei gesetztem Hauptfehlersignal und gleichzeitig gesetztem
Nebenfehlersignal ein Notbetriebszustand aktiviert wird.
9. Steuergerät oder kombinierte Motor-/Steuergeräteeinheit, dadurch
gekennzeichnet, dass es eine Rechner- und Funktionsarchitektur gemäß Anspruch 1 aufweist.
10. Steuergerät oder kombinierte Motor-/Steuergeräteeinheit nach Anspruch 9, dadurch gekennzeichnet, dass
externe Schnittstellen nicht redundant vorhanden sind. Hilfskraftlenkung, dadurch gekennzeichnet, dass
diese mit einem Steuergerät oder einer kombinierten Motor- /Steuergeräteeinheit gemäß Anspruch 9 ausgestattet ist.
PCT/EP2017/050969 2016-02-10 2017-01-18 Rechner- und funktionsarchitektur zur erhöhung der ausfallsicherheit einer hilfskraftlenkung WO2017137222A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN201780010765.5A CN108698630B (zh) 2016-02-10 2017-01-18 用于提高助力转向装置的失效安全性的计算和功能架构系统
US16/100,859 US10800449B2 (en) 2016-02-10 2018-08-10 Computer architecture and functional architecture for increasing the fail-safety of auxiliary power steering

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102016102259.4A DE102016102259A1 (de) 2016-02-10 2016-02-10 Rechner- und Funktionsarchitektur zur Erhöhung der Ausfallsicherheit einer Hilfskraftlenkung
DE102016102259.4 2016-02-10

Related Child Applications (1)

Application Number Title Priority Date Filing Date
US16/100,859 Continuation US10800449B2 (en) 2016-02-10 2018-08-10 Computer architecture and functional architecture for increasing the fail-safety of auxiliary power steering

Publications (1)

Publication Number Publication Date
WO2017137222A1 true WO2017137222A1 (de) 2017-08-17

Family

ID=57821991

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2017/050969 WO2017137222A1 (de) 2016-02-10 2017-01-18 Rechner- und funktionsarchitektur zur erhöhung der ausfallsicherheit einer hilfskraftlenkung

Country Status (4)

Country Link
US (1) US10800449B2 (de)
CN (1) CN108698630B (de)
DE (1) DE102016102259A1 (de)
WO (1) WO2017137222A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11271773B2 (en) * 2017-06-14 2022-03-08 Renesas Electronics America Inc. Arrangement and method for connecting various integrated circuits in an automotive control system

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210058566A (ko) 2019-11-14 2021-05-24 삼성전자주식회사 전자 시스템, 그것의 결함 검출 방법, 시스템 온 칩 및 버스 시스템
CN113067528B (zh) * 2019-12-31 2023-01-06 比亚迪股份有限公司 电机控制系统和具有其的车辆
JP7516070B2 (ja) * 2020-02-25 2024-07-16 ニデックエレシス株式会社 モータ制御装置
DE102020205904A1 (de) 2020-05-12 2021-11-18 Thyssenkrupp Ag Steer-by-Wire-Lenksystem für ein Kraftfahrzeug
US11459026B2 (en) 2020-05-21 2022-10-04 Robert Bosch Gmbh Backup control of electric power steering system when sensor failure occurs
US11689326B2 (en) * 2020-07-29 2023-06-27 Infineon Technologies Ag Diverse sensor measurement with analog output
CN113044063B (zh) * 2021-03-31 2022-09-06 重庆长安汽车股份有限公司 用于高级自动驾驶的功能冗余控制系统
DE102021206379A1 (de) 2021-06-22 2022-12-22 Continental Autonomous Mobility Germany GmbH Steuereinrichtung sowie Assistenzsystem für ein Fahrzeug
DE102022205270A1 (de) 2022-05-25 2023-11-30 Robert Bosch Gesellschaft mit beschränkter Haftung Steuervorrichtung und Verfahren zum Betreiben eines Elektromotors, insbesondere eines Lenksystems

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4882586A (en) * 1984-06-13 1989-11-21 Nartron Corporation Analog-to-digital converter
US4924960A (en) * 1988-10-12 1990-05-15 Robal, Inc. Highly reliable remote control system
DE19832506A1 (de) 1998-03-16 2000-01-27 Bolle Gerd Veränderung des elektrischen Energieversorgungssystems von mechanischen, mit Motoren angetriebenen Verkehrsmitteln zur Verhinderung und damit Verminderung von Verkehrsunfällen
US6693405B2 (en) 2000-10-30 2004-02-17 Sauer-Danfoss Holding A/S Electrical steering system
US20040243287A1 (en) * 2003-06-02 2004-12-02 Toyota Jidosha Kabushiki Kaisha. Automotive vehicle with redundant controller
US7165646B2 (en) 2004-09-10 2007-01-23 Itsubishi Denki Kabushiki Kaisha Steering control apparatus
EP2559985A1 (de) * 2011-06-21 2013-02-20 NSK Ltd. Verfahren zur abnormalitätsdiagnose für eine drehmomenterkennungsvorrichtung und elektrische servolenkung
US8593084B2 (en) 2008-02-29 2013-11-26 Jtekt Corporation Auxiliary power supply device and electric power steering device
EP2755881A1 (de) 2011-09-14 2014-07-23 ZF Lenksysteme GmbH Verfahren zum betrieb einer elektrischen hilfskraftlenkung

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0796388B2 (ja) * 1987-04-13 1995-10-18 株式会社日立製作所 電動式パワ−ステアリング装置
US5504679A (en) 1993-02-15 1996-04-02 Mitsubishi Denki Kabushiki Kaisha Control apparatus for motor-driven power steering system of motor vehicle
JP4029522B2 (ja) * 1999-07-02 2008-01-09 日本精工株式会社 電動パワーステアリング装置の制御装置
US6580990B2 (en) * 2000-08-30 2003-06-17 The Raymond Corporation Integrity check for electric steer system
CN101137529A (zh) * 2005-03-10 2008-03-05 大陆-特韦斯贸易合伙股份公司及两合公司 电子机动车辆制动控制装置
KR100964793B1 (ko) * 2007-05-03 2010-06-21 중앙대학교 산학협력단 센서의 고장 검출 및 분리 방법 그리고 이를 이용한 센서의고장 적응 방법
CN102145710B (zh) * 2010-02-08 2016-09-28 深圳兴龙客车节能有限公司 汽车安全提升系统
CN201901171U (zh) * 2010-09-28 2011-07-20 上海航天汽车机电股份有限公司 双微处理器共同控制继电器的电动助力转向控制系统
US9221492B2 (en) * 2011-09-14 2015-12-29 Robert Bosch Automotive Steering Gmbh Method for operating an electrical power steering mechanism
JP6015693B2 (ja) * 2014-03-07 2016-10-26 株式会社デンソー 制御装置、および、これを用いた電動パワーステアリング装置

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4882586A (en) * 1984-06-13 1989-11-21 Nartron Corporation Analog-to-digital converter
US4924960A (en) * 1988-10-12 1990-05-15 Robal, Inc. Highly reliable remote control system
DE19832506A1 (de) 1998-03-16 2000-01-27 Bolle Gerd Veränderung des elektrischen Energieversorgungssystems von mechanischen, mit Motoren angetriebenen Verkehrsmitteln zur Verhinderung und damit Verminderung von Verkehrsunfällen
US6693405B2 (en) 2000-10-30 2004-02-17 Sauer-Danfoss Holding A/S Electrical steering system
US20040243287A1 (en) * 2003-06-02 2004-12-02 Toyota Jidosha Kabushiki Kaisha. Automotive vehicle with redundant controller
US7165646B2 (en) 2004-09-10 2007-01-23 Itsubishi Denki Kabushiki Kaisha Steering control apparatus
US8593084B2 (en) 2008-02-29 2013-11-26 Jtekt Corporation Auxiliary power supply device and electric power steering device
EP2559985A1 (de) * 2011-06-21 2013-02-20 NSK Ltd. Verfahren zur abnormalitätsdiagnose für eine drehmomenterkennungsvorrichtung und elektrische servolenkung
EP2755881A1 (de) 2011-09-14 2014-07-23 ZF Lenksysteme GmbH Verfahren zum betrieb einer elektrischen hilfskraftlenkung

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11271773B2 (en) * 2017-06-14 2022-03-08 Renesas Electronics America Inc. Arrangement and method for connecting various integrated circuits in an automotive control system

Also Published As

Publication number Publication date
DE102016102259A1 (de) 2017-08-10
CN108698630B (zh) 2020-12-29
US10800449B2 (en) 2020-10-13
CN108698630A (zh) 2018-10-23
US20190039644A1 (en) 2019-02-07

Similar Documents

Publication Publication Date Title
WO2017137222A1 (de) Rechner- und funktionsarchitektur zur erhöhung der ausfallsicherheit einer hilfskraftlenkung
EP3584140B1 (de) Verfahren und vorrichtung für die steuerung eines sicherheitsrelevanten vorganges, sowie fahrzeug
EP1332083B1 (de) Verfahren zum steuern eines steer-by-wire-lenksystems
DE102018114828B3 (de) Kraftfahrzeuglenkung mit einem redundant ausgelegten Steuergerät
DE102018103082B4 (de) Verfahren zur Bereitstellung einer Lenkkraftunterstützung für ein elektromechanisches Lenksystem eines Kraftfahrzeuges mit einem redundant ausgelegten Steuergerät
DE19841710B4 (de) Elektrische Servolenkeinrichtung
DE112015001303T5 (de) Servolenkungsvorrichtung und Steuervorrichtung für eine Servolenkungsvorrichtung
EP2331383B1 (de) Vorrichtung und verfahren zur steuerung einer elektrischen lenkung
DE102018108597A1 (de) Elektromechanische Kraftfahrzeuglenkung mit einem redundant ausgelegten Steuergerät
EP3247613B1 (de) Lenksystem für ein automatisiertes fahren eines kraftfahrzeuges
DE19500188B4 (de) Schaltungsanordnung für eine Bremsanlage
DE112020005598T5 (de) Motorantriebssystem
DE102013100851A1 (de) Elektronische Steuervorrichtung und elektrisches Servolenksystem, das dieselbe verwendet
DE102016223452B4 (de) Signalsteuerungsvorrichtung
DE102011081093A1 (de) Startsystem, Verfahren und Computerprogrammprodukt zum Starten einer Brennkraftmaschine
WO2008017438A1 (de) Ansteuersystem für eine antriebseinheit eines kraftfahrzeuges
DE10312553B3 (de) Kraftfahrzeug
WO2005012063A1 (de) Verfahren zur steuerung einer schalteinrichtung
DE10340369B4 (de) Verfahren zur Steuerung mindestens einer mechanischen Stelleinrichtung
EP2449438B1 (de) Verfahren und system zur ansteuerung von mindestens einem aktuator
EP3733482B1 (de) Lenkanordnung, fahrzeug und verfahren
EP2013731B1 (de) Schaltungsanordnung und verfahren zum betrieb einer schaltungsanordnung
DE102004028827A1 (de) Verfahren zum Betrieb eines Lenksystems
DE10040246B4 (de) Verfahren und Vorrichtung zur Ansteuerung wenigstens eines Verbrauchers
DE102016112332B4 (de) Verfahren und vorrichtung zum überwachen eines reglerblocks zum ansteuern eines stellantriebs, insbesondere eines stellantriebs eines lenksystems

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 17700553

Country of ref document: EP

Kind code of ref document: A1

122 Ep: pct application non-entry in european phase

Ref document number: 17700553

Country of ref document: EP

Kind code of ref document: A1