WO2022171404A1 - Verfahren und vorrichtung zum vorbereiten einer betankung - Google Patents

Verfahren und vorrichtung zum vorbereiten einer betankung Download PDF

Info

Publication number
WO2022171404A1
WO2022171404A1 PCT/EP2022/051091 EP2022051091W WO2022171404A1 WO 2022171404 A1 WO2022171404 A1 WO 2022171404A1 EP 2022051091 W EP2022051091 W EP 2022051091W WO 2022171404 A1 WO2022171404 A1 WO 2022171404A1
Authority
WO
WIPO (PCT)
Prior art keywords
refueling
participants
radio
following features
data units
Prior art date
Application number
PCT/EP2022/051091
Other languages
English (en)
French (fr)
Inventor
Stephan Ludwig
Original Assignee
Robert Bosch Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch Gmbh filed Critical Robert Bosch Gmbh
Publication of WO2022171404A1 publication Critical patent/WO2022171404A1/de

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • H04W12/106Packet or message integrity
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60KARRANGEMENT OR MOUNTING OF PROPULSION UNITS OR OF TRANSMISSIONS IN VEHICLES; ARRANGEMENT OR MOUNTING OF PLURAL DIVERSE PRIME-MOVERS IN VEHICLES; AUXILIARY DRIVES FOR VEHICLES; INSTRUMENTATION OR DASHBOARDS FOR VEHICLES; ARRANGEMENTS IN CONNECTION WITH COOLING, AIR INTAKE, GAS EXHAUST OR FUEL SUPPLY OF PROPULSION UNITS IN VEHICLES
    • B60K15/00Arrangement in connection with fuel supply of combustion engines or other fuel consuming energy converters, e.g. fuel cells; Mounting or construction of fuel tanks
    • B60K15/03Fuel tanks
    • B60K2015/0319Fuel tanks with electronic systems, e.g. for controlling fuelling or venting
    • B60K2015/03197Systems for exchanging data
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60KARRANGEMENT OR MOUNTING OF PROPULSION UNITS OR OF TRANSMISSIONS IN VEHICLES; ARRANGEMENT OR MOUNTING OF PLURAL DIVERSE PRIME-MOVERS IN VEHICLES; AUXILIARY DRIVES FOR VEHICLES; INSTRUMENTATION OR DASHBOARDS FOR VEHICLES; ARRANGEMENTS IN CONNECTION WITH COOLING, AIR INTAKE, GAS EXHAUST OR FUEL SUPPLY OF PROPULSION UNITS IN VEHICLES
    • B60K15/00Arrangement in connection with fuel supply of combustion engines or other fuel consuming energy converters, e.g. fuel cells; Mounting or construction of fuel tanks
    • B60K15/03Fuel tanks
    • B60K2015/0319Fuel tanks with electronic systems, e.g. for controlling fuelling or venting
    • B60K2015/03197Systems for exchanging data
    • B60K2015/03203Systems for exchanging data during refuelling
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60KARRANGEMENT OR MOUNTING OF PROPULSION UNITS OR OF TRANSMISSIONS IN VEHICLES; ARRANGEMENT OR MOUNTING OF PLURAL DIVERSE PRIME-MOVERS IN VEHICLES; AUXILIARY DRIVES FOR VEHICLES; INSTRUMENTATION OR DASHBOARDS FOR VEHICLES; ARRANGEMENTS IN CONNECTION WITH COOLING, AIR INTAKE, GAS EXHAUST OR FUEL SUPPLY OF PROPULSION UNITS IN VEHICLES
    • B60K15/00Arrangement in connection with fuel supply of combustion engines or other fuel consuming energy converters, e.g. fuel cells; Mounting or construction of fuel tanks
    • B60K15/03Fuel tanks
    • B60K2015/03309Tanks specially adapted for particular fuels
    • B60K2015/03315Tanks specially adapted for particular fuels for hydrogen
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Definitions

  • the present invention relates to a method for preparing a refueling.
  • the present invention also relates to a corresponding device, a corresponding computer program and a corresponding storage medium.
  • US2013139897A1 provides a system and method for safely filling hydrogen using real-time hydrogen tank expansion data.
  • the system includes an expansion measurement unit, an on-vehicle control unit, a service station-side control unit, and a wireless communication unit.
  • the expansion measuring unit is arranged on a hydrogen tank of the vehicle and measures the degree of expansion of the hydrogen tank and generates an output signal accordingly.
  • the on-board control unit converts the output signal into a wireless output signal.
  • the forecourt control unit stops hydrogen refilling by a hydrogen filling device when the wireless output signal indicates an unsafe level of tank expansion.
  • the wireless communication unit is provided to carry out wireless data communication between the vehicle-side control unit and the gas station-side control unit.
  • US2020276909A1, US10800281B2 and US2020346554A1 describe further communication systems and methods for hydrogen refueling and charging of electric vehicles.
  • US2018213376A1 discloses a method for configuring so-called V2X communication.
  • DE102007041621A1 relates to a method for stabilizing data exchange via a radio data link between fieldbus devices, data being transmitted from at least a first fieldbus device to a first radio data modem via a first cable connection, to at least one second radio data modem via the radio data connection and then to at least a second data radio connection via a second cable connection Fieldbus device are supplied. It is provided that in the event of an interruption in the data exchange, the radio data link is kept open via a software or hardware function.
  • the publication also relates to a corresponding device. The method and device reduce the duration of the interruption of the data connection due to brief interruptions in the data exchange, such as radio interference, and thus increase the availability of connected systems and machines.
  • the invention provides a method for preparing a refueling, a corresponding device, a corresponding computer program and a corresponding machine-readable storage medium according to the independent claims.
  • the inventive approach is based on the finding that the accelerated refueling z. B. of hydrogen gas should take into account the thermodynamics of the refueling process and thus regulate the process closed. For reasons of (functional and general) safety, the maximum temperature and maximum pressure specified for the tank container must not be exceeded at any time.
  • a conventional unidirectional infrared connection from the vehicle to the fuel pump is damaged by scratches on the transmitter or receiver optics and by the formation of ice around the fuel nozzle or nozzle is severely affected and is therefore affected by failures in practice, which thwarts accelerated refueling.
  • such a unidirectional connection does not provide for a return channel from the fuel pump to the vehicle, so that the supported fueling processes cannot be called up and therefore no agreement can be reached on a process that is optimal for the present combination of vehicle and fuel pump.
  • the proposed method also takes into account the fact that metallic contacts, which are essential for wired communication, should be avoided when refueling with hydrogen, especially in the vicinity of the tank coupling, because any sparks here could ignite the hydrogen gas explosively.
  • Wireless (radio-based) communication is therefore preferable to wired communication to protect the filling station from explosions.
  • radio due to the unimpeded propagation of the radio waves, the use of radio involves special challenges that are overcome according to the invention.
  • a triggering event is required to activate the overall process.
  • the radio connection must transmit data reliably enough to guarantee the functional and general safety of the refueling.
  • third parties who are within radio range of the vehicle or fuel pump should not be able to interfere with or manipulate the process, for example through jamming or overload attacks (denial of service, DoS).
  • DoS denial of service
  • the radio connection must be information and functionally secure before refueling. This is made more difficult by the fact that many packets (typically 10%) are lost during wireless data transmission. After the loss of several packets, it is often necessary to reestablish a connection, which typically takes longer than that required functional safety. This re-establishment of a connection is dependent on the wireless technology used and cannot be influenced at the application level for reasons of compatibility. Therefore, the system should go into a safe state if a new connection establishment is necessary. This in turn leads to a termination - which is unacceptable from the user's point of view - or a significant slowdown in the refueling process, although the functional safety would not necessarily be impaired by the loss of a few packages.
  • the object of the invention is to prevent the connection from being set up again in the event of packet losses by maintaining the latter within the scope of the functional safety requirements and thus preventing a refueling abort.
  • this object is achieved in that several, preferably different packets are sent over the radio link per control cycle or the receiver reproduces the last correctly received packet within a functionally reliable tolerance time in the event of packet losses.
  • An advantage of the proposed approach lies in its independence from the radio technology, tank station infrastructure and hardware used.
  • it can be used to refuel any (gaseous or liquid) fuel and to charge electric vehicles without the refueling or charging process being unnecessarily interrupted or slowed down by a renewed connection setup.
  • the process can be carried out faster and therefore more cost-effectively, the utilization of the filling station can be increased and the waiting time of the driver can be reduced.
  • the use of a method according to the invention also has the cost advantage that no additional hardware components are required. Instead, it can be implemented using transmitters and receivers that are known per se, which are available on the market in large variety and are usually already provided in gas stations and—particularly semi-automated—vehicles are and can be reused within the scope of a method according to the invention without significant additional design effort.
  • Figure 1 the preparation and initialization phase of a refueling.
  • FIG. 2 shows the signal flow of the components involved in the method.
  • a refueling scenario at a gas station where a fuel cell vehicle is to be refueled with gaseous hydrogen, for example, is considered as an example.
  • the method is applicable to all types of fuels (gaseous, liquid, cryogenic, etc.) and to charging electric vehicles.
  • a conventional, partially automated or autonomous refueling vehicle drives to the vehicle to be refueled and refuels it.
  • the method can be combined with any other IT security or functional safety method.
  • FIG. 1 shows the preparation (10) according to the invention for operating such a radio connection.
  • the method according to the invention for radio communication can be used during and after the establishment of a functionally secure connection (18).
  • the data transmission represents part of a regulation in which sensor data is read out periodically with a predetermined cycle time and transmitted to the fuel pump, which controls actuators on the basis of the data received according to a regulation algorithm.
  • a typical cycle time for hydrogen refueling based on a thermodynamic model and corresponding protocol is 100 ms, with the control behavior being so sluggish that packet losses without loss of functional safety (FuSi) typically last up to 1 s (hereinafter: "FuSi tolerance time ”) can be tolerated before the refueling rate has to be severely throttled or the tank system has to be brought into a safe state.
  • FuSi tolerance time packet losses without loss of functional safety
  • a - sometimes time-consuming - connection setup is initiated after a significantly shorter period of time if a certain number or a certain proportion of the packets do not reach the recipient.
  • Exactly when a new connection is initiated and how long this takes depends, among other things, on the radio technology and the occupancy of the radio channel with regard to transmitters and interference signals of the same type. These circumstances cannot be sufficiently influenced either by the end user or by the application software.
  • the delay caused by a renewed connection establishment causes the system to switch to a safe state, because the FuSi tolerance time is usually significantly exceeded before the connection is fully restored.
  • a source periodically sends data to a functional safety module (32) with each measurement or control cycle.
  • a functional safety module 32
  • the latter implements a black channel protocol.
  • Its protocol data units (hereinafter: "data packets" for short) are transmitted by radio communication modules (31) and decoded by the receiver (typically a fuel pump).
  • Its radio communication module (31) can detect packet losses (e.g.
  • incoming packets are decoded according to the black channel protocol and any further faulty packets are discarded or packet losses are detected.
  • the functional safety module (32) of the transmitter sends a number of packets within one cycle. These can, for example, be transmitted with a time delay, on different frequency channels, via different antennas or in different payload data streams, which are bundled using a code division multiple (CDM) method. Any combination of this duplication is contemplated.
  • the term "replication" is to be interpreted in a broad sense of the word, which includes, for example, a possible forward error correction coding beyond the duplication of the packet to be sent.
  • a space-time-frequency block coding (STFBC) or preferably a rateless erasure code (packet erasure code) can be considered, with coding and decoding taking place in accordance with a sliding window protocol (sliding window protoco!).
  • the receiver's radio communication module (31) decodes and its functional security module (32) combines the data into a packet according to the selected method or filters them in such a way that it only outputs one valid packet per cycle.
  • the functional safety module (32) duplicates the
  • Receiver the last correctly received packet periodically in each cycle until a new packet is received correctly or the FuSi tolerance time is exceeded.
  • the procedure in the functional safety module (32) can be as follows:
  • Step 0) A functional safety module (32) timeout counter is initialized.
  • Step 1) A packet is received and checked for integrity.
  • Step 2) If the check is successful, the timeout counter is reset and the packet is stored in memory, whereby the previous memory contents can be overwritten.
  • Step 3) The packet received is used to prepare (10-FIG. 1) for refueling. In the case of longer reception pauses, the last correctly received value from the memory is periodically used instead by means of a timer (33).
  • Step 4) If the timeout counter exceeds the FuSi tolerance time, that will
  • Step 5) The timeout counter is incremented and the procedure continues with step 1).
  • the timeout counter may be reset to the FuSi tolerance time in step 2) and decremented in step 5) without departing from the scope of the invention. If outgoing packets are given a consecutive number by the sender, this can also be counted in a further variant and the time elapsed between the receipt of two packets can be derived from this. In this case, the system is set to the safe state if the time span calculated in this way exceeds the tolerance time.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Loading And Unloading Of Fuel Tanks Or Ships (AREA)

Abstract

Verfahren zur Vorbereitung einer Betankung, gekennzeichnet durch folgende Merkmale: mittels der Funkkommunikationsmodule (31) wird eine funktionssichere Funkverbindung zwischen den Teilnehmern aufgebaut und während die Teilnehmer über die Funkverbindung gemäß einem vereinbarten Kommunikationsprotokoll die Vorbereitung treffen, erzeugen die Funktionssicherheitsmodule (32) Protokolldateneinheiten des Kommunikationsprotokolls solchermaßen, dass ein Abbruch der Funkverbindung unterbleibt.

Description

Beschreibung
Titel
Verfahren und Vorrichtung zum Vorbereiten einer Betankung
Die vorliegende Erfindung betrifft ein Verfahren zur Vorbereitung einer Betankung. Die vorliegende Erfindung betrifft darüber hinaus eine entsprechende Vorrichtung, ein entsprechendes Computerprogramm sowie ein entsprechendes Speichermedium.
Stand der Technik
US2013139897A1 stellt ein System und ein Verfahren zum sicheren Befüllen von Wasserstoff unter Verwendung von Echtzeit-Wasserstofftank-Ausdehnungsdaten bereit. Das System umfasst eine Ausdehnungs-Messeinheit, eine fahrzeugseitige Steuereinheit, eine tankstellenseitige Steuereinheit und eine drahtlose Kommunikationseinheit. Die Ausdehnungs-Messeinheit ist auf einem Wasserstofftank des Fahrzeugs angeordnet und misst den Grad der Ausdehnung des Wasserstofftanks und erzeugt ein entsprechendes Ausgangssignal. Die fahrzeugseitige Steuereinheit wandelt das Ausgangssignal in ein drahtloses Ausgangssignal um. Die tankstellenseitige Steuereinheit stoppt das Wasserstoffnachfüllen durch eine Wasserstoff- Füllvorrichtung, wenn das drahtlose Ausgangssignal einen unsicheren Grad der Tankausdehnung anzeigt. Die drahtlose Kommunikationseinheit ist vorgesehen, um eine drahtlose Datenkommunikation zwischen der fahrzeugseitigen Steuereinheit und der tankstellenseitigen Steuereinheit durchzuführen.
US2020276909A1, US10800281B2 und US2020346554A1 beschreiben weitere Kommunikationssysteme und Verfahren zur Wasserstoffbetankung und Aufladung von Elektrofahrzeugen. US2018213376A1 offenbart ein Verfahren zur Konfiguration sogenannter V2X-Kommunikation.
DE102007041621A1 betrifft ein Verfahren zur Stabilisierung des Datenaustauschs über eine Datenfunkverbindung zwischen Feldbusgeräten, wobei Daten von zumindest einem ersten Feldbusgerät über eine erste Kabelverbindung auf ein erstes Datenfunkmodem übertragen werden, über die Datenfunkverbindung auf zumindest ein zweites Datenfunkmodem übertragen und anschließend über eine zweite Kabelverbindung zumindest einem zweiten Feldbusgerät zugeführt werden. Dabei ist vorgesehen, dass im Falle einer Unterbrechung des Datenaustauschs die Datenfunkverbindung über eine Soft oder Hardwarefunktion offengehalten wird. Die Veröffentlichung betrifft weiterhin eine entsprechende Vorrichtung. Verfahren und Vorrichtung verringern die Unterbrechungsdauer der Datenverbindung auf Grund von kurzseitiger Unterbrechung des Datenaustauschs wie beispielhafte Funkstörungen und erhöhen so die Verfügbarkeit von angeschlossenen Anlagen und Maschinen.
Offenbarung der Erfindung
Die Erfindung stellt ein Verfahren zur Vorbereitung einer Betankung, eine entsprechende Vorrichtung, ein entsprechendes Computerprogramm sowie ein entsprechendes maschinenlesbares Speichermedium gemäß den unabhängigen Ansprüchen bereit.
Der erfindungsgemäße Ansatz fußt auf der Erkenntnis, dass das beschleunigte Tanken z. B. von Wasserstoffgas die Thermodynamik des Betankungsvorgangs berücksichtigen und damit den Vorgang geschlossen regeln sollte. Dabei dürfen aus Gründen der (funktionalen und allgemeinen) Sicherheit die für den Tankbehälter festgelegten Werte für Maximaltemperatur und Maximaldruck zu keiner Zeit überschritten werden.
Bekannte Verfahren zur Übertragung von Daten vom Fahrzeug zur Tanksäule weisen in dieser Hinsicht verschiedene Nachteile auf. So wird eine herkömmliche unidirektionale Infrarotverbindung des Fahrzeuges zur Tanksäule durch Kratzer auf der Sende- oder Empfangs-Optik sowie durch Eisbildung um den Tankrüssel oder -stutzen stark beeinträchtigt und ist deshalb in der Praxis von Ausfällen betroffen, was ein beschleunigtes Betanken vereitelt. Eine solche unidirektionale Verbindung sieht zudem keinen Rückkanal von der Tanksäule zum Fahrzeug vor, sodass kein Abruf der unterstützten Tankverfahren und somit keine Einigung auf ein für die vorliegende Kombination von Fahrzeug und Tanksäule optimales Verfahren stattfinden kann.
Die vorgeschlagene Methode trägt ferner dem Umstand Rechnung, dass metallische Kontakte, wie sie für eine drahtgebundene Kommunikation unerlässlich sind, im Rahmen einer Wasserstoffbetankung insbesondere in der Nähe der Tankkupplung zu vermeiden sind, weil hier ein etwaiger Funkenschlag das Wasserstoffgas explosiv entzünden könnte. Zum Schutz der Tankstelle vor Explosionen ist die drahtlose (funkbasierte) Kommunikation somit der drahtgebundenen vorzuziehen.
Die Anwendung von Funk birgt aufgrund der ungehinderten Ausbreitung der Funkwellen jedoch besondere Herausforderungen, die erfindungsgemäß bewältigt werden. So bedarf es eines auslösenden Ereignisses zur Aktivierung des Gesamtvorgangs. Ferner muss die Funkverbindung so zuverlässig Daten übertragen, dass die funktionale und allgemeine Sicherheit der Betankung garantiert werden kann. Insbesondere sollten Dritte, die sich in Funkreichweite von Fahrzeug oder Tanksäule befinden, den Ablauf weder - etwa durch Störsendung ( jamming ) oder Überlastungsangriffe (denial of Service, DoS) - beeinträchtigen noch manipulieren können. Schließlich ist zu bedenken, dass sämtliche Fahrzeuge und Tanksäulen innerhalb der Funkreichweite, die in der Regel eine gesamte Tankstelle erfasst, gegenseitige Funksignale empfangen.
Die im Rahmen einer einzelnen Betankung interagierenden Teilnehmer, also Fahrzeug und Tanksäule, müssen einander deshalb selbstständig finden und identifizieren.
Zusammenfassend muss die Funkverbindung folglich vor der Betankung informations- und funktionssicher sein. Dies wird dadurch erschwert, dass bei einer Funkdatenübertragung viele Pakete (typischerweise 10 %) verloren gehen. Nach dem Verlust mehrerer Pakete ist oftmals ein Verbindungsneuaufbau notwendig, welcher typischerweise eine längere Zeit benötigt, als die erforderliche funktionale Sicherheit zulässt. Dieser erneute Verbindungsaufbau ist durch die verwendete Funktechnologie bedingt und aus Kompatibilitätsgründen auf Anwendungsebene nicht beeinflussbar. Deshalb sollte das System in einen sicheren Zustand übergehen, wenn ein neuer Verbindungsaufbau notwendig ist. Dies wiederum führt zu einem - aus Anwendersicht inakzeptablen - Abbruch oder einer deutlichen Verlangsamung des Betankungsvorgangs, obgleich die funktionale Sicherheit durch den Verlust einiger Pakete nicht zwingend beeinträchtigt wäre.
Die Aufgabe der Erfindung besteht vor diesem Hintergrund darin, im Falle von Paketverlusten einen erneuten Aufbau der Verbindung zu verhindern, indem letztere im Rahmen der funktionalen Sicherheitsanforderungen aufrechterhalten und damit ein Betankungsabbruch verhindert wird.
Diese Aufgabe wird erfindungsgemäß dadurch gelöst, dass pro Regelzyklus mehrere, vorzugsweise unterschiedliche Pakete über die Funkverbindung gesendet werden oder der Empfänger im Falle von Paketverlusten innerhalb einer funktional sicheren Toleranzzeit das letzte korrekte empfangene Paket reproduziert.
Ein Vorzug des vorgeschlagenen Ansatzes liegt hierbei in seiner Unabhängigkeit von der verwendeten Funktechnologie, Tanksteilen-Infrastruktur und Hardware. Es kann insbesondere für die Betankung beliebiger (gasförmiger oder flüssiger) Kraftstoffe sowie das Laden von Elektrofahrzeugen verwendet werden, ohne dass der Betankungs- bzw. Ladevorgang durch einen erneuten Verbindungsaufbau unnötigerweise abgebrochen oder verlangsamt wird. Auf diese Weise lässt sich der Vorgang schneller und somit kostengünstiger durchführen, die Auslastung der Tankstelle erhöhen sowie die Wartezeit der Fahrer verkürzen.
Die Verwendung eines erfindungsgemäßen Verfahrens birgt ferner den Kostenvorteil, dass keine zusätzlichen Hardware- Komponenten benötigt werden. Es kann vielmehr mit an sich bekannten Sendern und Empfängern umgesetzt werden, welche in großer Vielfalt am Markt verfügbar und in Tankstellen sowie - insbesondere teilautomatisierten - Fahrzeugen in der Regel bereits vorgesehen sind und im Rahmen eines erfindungsgemäßen Verfahrens ohne nennenswerten konstruktiven Mehraufwand wiederverwendet werden können.
Durch die in den abhängigen Ansprüchen aufgeführten Maßnahmen sind vorteilhafte Weiterbildungen und Verbesserungen des im unabhängigen Anspruch angegebenen Grundgedankens möglich.
Kurze Beschreibung der Zeichnungen
Ausführungsbeispiele der Erfindung sind in den Zeichnungen dargestellt und in der nachfolgenden Beschreibung näher erläutert. Es zeigt:
Figur 1 die Vorbereitung und Initialisierungsphase einer Betankung.
Figur 2 den Signalfluss der am Verfahren beteiligten Komponenten.
Ausführungsformen der Erfindung
Exemplarisch wird ein Betankungsszenario an einer Tankstelle betrachtet, an der beispielsweise ein Brennstoffzellenfahrzeug mit gasförmigem Wasserstoff betankt werden soll. Das Verfahren ist jedoch auf alle Arten von Kraftstoffen (gasförmig, flüssig, kryogen etc.) sowie auf das Laden von Elektrofahrzeugen anwendbar. Außerdem ist es unerheblich, ob die Betankung manuell oder automatisch erfolgt bzw. abgerechnet wird oder ein konventionelles, (teil- )automatisiertes oder autonomes Fahrzeug betrifft. In Betracht kommt ferner, dass ein herkömmliches, teilautomatisiertes oder autonomes Betankungsfahrzeug zum zu betankenden Fahrzeug fährt und dieses betankt. Schließlich kann das Verfahren mit beliebigen anderen Verfahren der IT- Sicherheit oder der funktionalen Sicherheit kombiniert werden.
Erfindungsgemäß werden vor, während oder nach dem Betankungsvorgang über eine Funktechnologie Daten übertragen, beispielsweise die Werte für Druck und Temperatur im Tankbehälter. Denkbar ist, dass zumindest ein Teil dieser Datenübertragung erhöhte Anforderungen an IT-Sicherheit und funktionale Sicherheit erfüllen muss. Figur 1 zeigt die erfindungsgemäße Vorbereitung (10) zum Betrieb einer solchen Funkverbindung. Während und nach dem Aufbau einer funktional sicheren Verbindung (18) kann das erfindungsgemäße Verfahren für die Funkkommunikation eingesetzt werden.
Die Datenübertragung stellt dabei einen Teil einer Regelung dar, bei der periodisch mit einer vorgegebenen Zykluszeit Sensordaten ausgelesen und an die Tanksäule übertragen werden, welche auf der Grundlage der empfangenen Daten nach einem Regelalgorithmus Aktoren ansteuert.
Eine typische Zykluszeit für die Wasserstoffbetankung anhand eines thermodynamischen Modells und entsprechenden Protokolls beträgt 100 ms, wobei das Regelverhalten so träge ist, dass Paketverluste ohne Einbuße der funktionalen Sicherheit (FuSi) typischerweise über eine Dauer von bis zu 1 s (nachfolgend: „FuSi-Toleranzzeit“) geduldet werden können, bevor die Betankungsrate stark gedrosselt bzw. das Tanksystem in einen sicheren Zustand versetzt werden muss.
Jedoch wird bei herkömmlichen Systemen bereits nach einer deutlich kürzeren Zeitspanne ein - mitunter zeitaufwändiger - Verbindungsaufbau eingeleitet, wenn eine bestimmte Anzahl oder ein gewisser Anteil der Pakete den Empfänger nicht erreicht. Wann genau ein erneuter Verbindungsaufbau initiiert wird und wie lange dies dauert, hängt u. a. von der Funktechnologie und Belegung des Funkkanals im Hinblick auf gleichartige Sender und Störsignale ab. Diese Umstände können weder vom Endanwender noch durch die Anwendungssoftware hinreichend beeinflusst werden. Die Verzögerung durch einen erneuten Verbindungsaufbau bewirkt, dass das System in einen sicheren Zustand übergeht, weil bis zur vollständigen Wiederherstellung der Verbindung in der Regel auch die FuSi-Toleranzzeit deutlich überschritten ist. Durch den Einsatz eines erfindungsgemäßen Kommunikationssystems lässt sich dies verhindern, indem die Datenverbindung - innerhalb der durch die FuSi- Toleranzzeit vorgegebenen Grenzen - aufrechterhalten wird, bis ein neues Paket empfangen und die Regelung fortgesetzt werden kann. Die relevanten Komponenten eines solchen Kommunikationssystems (30) sind dem Signalflussdiagramm der Figur 2 zu entnehmen. Von einer Quelle (Sensoren) werden mit jedem Mess- oder Regelzyklus periodisch Daten an ein Funktionssicherheitsmodul (32) gesendet. Zweckmäßigerweise implementiert letzteres ein Black-Channel-Protokoll. Dessen Protokolldateneinheiten (im Folgenden kurz: „Datenpakete“) werden durch Funkkommunikationsmodule (31) übertragen und seitens des Empfängers (typischerweise einer Tanksäule) dekodiert. Dessen Funkkommunikationsmodul (31) kann Paketverluste (z. B. anhand fehlerhafter Prüfsummen oder Lücken in der Paketsequenz) detektieren und dem in der Verarbeitungsreihenfolge nachfolgenden Funktionssicherheitsmodul (32) melden. In letzterem Modul (32) werden gemäß dem Black-Channel-Protokoll eingehende Pakete dekodiert und womöglich weitere fehlerhafte Pakete verworfen oder Paketverluste detektiert.
Verstöße im Protokollablauf, welche Anforderungen an die funktionale Sicherheit verletzen, führen dazu, dass das Funktionssicherheitsmodul (32) den Übergang in einen sicheren Zustand einleitet. Dies erfolgt insbesondere, wenn innerhalb der FuSi-Toleranzzeit kein erneutes, gültiges Paket empfangen wurde und deshalb von einer schwerwiegenden Störung der Funkübertragung auszugehen ist. Dieser Übergang erfolgt bei einem konventionellen System dieser Gattung auch, wenn die Ausbreitungsbedingungen zwar den Empfang des nächsten Pakets erlauben würden, das Funkkommunikationsmodul (31) des Senders oder Empfängers aufgrund einer Häufung von Übertragungsverlusten aber bereits einen zeitaufwändigen Verbindungsneuaufbau initiiert hat.
Um den beschriebenen Verbindungsabbruch und dadurch bedingten Übergang in den sicheren Zustand zu vermeiden, wird erfindungsgemäß mindestens eine der nachfolgenden Maßnahmen ergriffen: a) Innerhalb eines Zyklus sendet das Funktionssicherheitsmodul (32) des Senders mehrere Pakete. Diese können beispielsweise zeitversetzt, auf unterschiedlichen Frequenzkanälen, über verschiedene Antennen oder in unterschiedlichen Nutzdatenströmen übertragen werden, die nach einem Codemultiplexverfahren ( code division multiple, CDM) gebündelt werden. Beliebige Kombinationen dieser Vervielfältigung kommen in Betracht. Der Begriff „Vervielfältigung“ ist hierbei in einem weiten Wortsinn auszulegen, der über die Duplikation des zu sendenden Paketes hinaus beispielsweise eine mögliche Vorwärtsfehlerkorrekturkodierung einschließt. In Betracht kommen etwa ein Raum-Zeit-Frequenz-Blockcode {space-time-frequency block coding, STFBC) oder vorzugsweise ratenloser Auslöschungscode {packet erasure code), wobei Kodierung und Dekodierung gemäß einem Schiebefensterprotokoll ( sliding window protoco!) erfolgen. Das Funkkommunikationsmodul (31) des Empfängers dekodiert und dessen Funktionssicherheitsmodul (32) kombiniert die Daten gemäß der gewählten Methode zu einem Paket oder filtert diese derart, dass es nur ein gültiges Paket pro Zyklus ausgibt. b) Bei Paketverlusten dupliziert das Funktionssicherheitsmodul (32) des
Empfängers das letzte korrekt empfangene Paket periodisch in jedem Zyklus, bis ein neues Paket korrekt empfangen wird oder die FuSi-Toleranzzeit überschritten ist.
Durch beide Maßnahmen werden die Auswirkungen von Paketverlusten abgemildert und insbesondere ein erneuter Verbindungsaufbau verhindert, sodass das System nicht unnötigerweise in einen sicheren Zustand versetzt werden muss.
Seitens des Empfängers kann sich das Verfahren im Funktionssicherheitsmodul (32) wie folgt gestalten:
Schritt 0) Ein Timeout-Zähler des Funktionssicherheitsmodules (32) wird initialisiert.
Schritt 1) Ein Paket wird empfangen und auf seine Integrität überprüft.
Schritt 2) Bei erfolgreicher Prüfung wird der Timeout-Zähler zurückgesetzt und das Paket in einem Speicher abgelegt, wobei der bisherige Speicherinhalt überschrieben werden kann. Schritt 3) Das empfangene Paket wird zur Vorbereitung (10 - Figur 1) der Betankung herangezogen. Bei längeren Empfangspausen wird stattdessen mittels eines Zeitgebers (33) periodisch der letzte korrekt empfangene Wert aus dem Speicher verwendet. Schritt 4) Wenn der Timeout-Zähler die FuSi-Toleranzzeit überschreitet, wird das
System (30) selbsttätig in einen sicheren Zustand versetzt oder die Weitergabe von Paketen durch das Funktionssicherheitsmodul (32) ausgesetzt, bis nachgeordnete Module diesen Zustandsübergang einleiten. Schritt 5) Der Timeout-Zähler wird inkrementiert und das Verfahren mit Schritt 1) fortgesetzt.
Es versteht sich, dass in einer alternativen Ausführungsform der Timeout-Zähler in Schritt 2) auf die FuSi-Toleranzzeit zurückgesetzt und in Schritt 5) dekrementiert werden mag, ohne den Rahmen der Erfindung zu verlassen. Werden ausgehende Pakete vom Sender mit einer fortlaufenden Nummer versehen, können in einer weiteren Variante auch diese gezählt und die zwischen dem Empfang zweier Pakete verstrichene Zeitspanne daraus abgeleitet werden. In diesem Fall wird das System in den sicheren Zustand versetzt, wenn die solchermaßen errechnete Zeitspanne die Toleranzzeit überschreitet.

Claims

Ansprüche
1. Verfahren zur Vorbereitung (10) einer Betankung mit zumindest zwei Teilnehmern, welche jeweils ein Funkkommunikationsmodul (31) und ein Funktionssicherheitsmodul (32) aufweisen, gekennzeichnet durch folgende Merkmale:
- mittels der Funkkommunikationsmodule (31) wird eine funktionssichere Funkverbindung zwischen den Teilnehmern aufgebaut (18) und
- während die Teilnehmer über die Funkverbindung gemäß einem vereinbarten Kommunikationsprotokoll die Vorbereitung (10) treffen, erzeugen die Funktionssicherheitsmodule (32) Protokolldateneinheiten des Kommunikationsprotokolls solchermaßen, dass ein Abbruch der Funkverbindung unterbleibt.
2. Verfahren nach Anspruch 1, gekennzeichnet durch folgende Merkmale:
- die Teilnehmer bilden über die Funkverbindung einen digitalen Regelkreis und
- die innerhalb eines Zyklus des Regelkreises zu versendenden Protokolldateneinheiten werden vor dem Versenden vervielfältigt.
3. Verfahren nach Anspruch 2, gekennzeichnet durch mindestens eines der folgenden Merkmale:
- das Vervielfältigen erfolgt durch Duplizieren der Protokolldateneinheiten,
- das Vervielfältigen erfolgt durch eine Raum-Zeit- Frequenz- Blockkodierung der Protokolldateneinheiten oder
- das Vervielfältigen erfolgt durch eine Vorwärtsfehlerkorrekturkodierung.
4. Verfahren nach Anspruch 2 oder 3, gekennzeichnet durch folgende Merkmale:
- die empfangenen Protokolldateneinheiten werden nach dem Empfangen jeweils gespeichert und
- bei einem Übertragungsverlust wird anhand eines Zeitgebers (33) die zuletzt gespeicherte Protokolldateneinheit im Zyklus des Regelkreises dupliziert, bis weitere Protokolldateneinheiten eingehen.
5. Verfahren nach einem der Ansprüche 1 bis 4, gekennzeichnet durch folgende Merkmale:
- bevor die Funkverbindung aufgebaut (18) wird, werden die Teilnehmer auf ein die Vorbereitung (10) auslösendes Ereignis (11, 12) hin, insbesondere wenn eine Zapfpistole entnommen (11) oder eine Tankklappe geöffnet (12) wird, vorzugsweise nach Aktivieren einer Wegfahrsperre (13) einer Leckage- Prüfung (14) unterzogen und
- bestehen die Teilnehmer die Prüfung (14), so wird im Protokollablauf fortgefahren, vorzugsweise indem ein Tankventil für die Betankung freigegeben wird (15).
6. Verfahren nach einem der Ansprüche 1 bis 5, gekennzeichnet durch folgende Merkmale:
- nach einer Kopplung (16) der Teilnehmer bauen diese die Funkverbindung zunächst informationssicher auf (17) und
- die Teilnehmer handeln, vorzugsweise mittels einer Datenbank, über die Funkverbindung einen zu erbringenden Betankungsdienst (19), ein zu befolgendes Betankungsprotokoll (20) und zu berücksichtigende Betankungsparameter (21) aus.
7. Verfahren nach Anspruch 6, gekennzeichnet durch folgende Merkmale:
- gemäß den Betankungsparametern wird ein Plan (22) für die Betankung gefasst und
- mittels der Funkverbindung informieren die Teilnehmer einander über den Plan (22).
8. Computerprogramm, welches eingerichtet ist, das Verfahren nach einem der Ansprüche 1 bis 7 auszuführen.
9. Maschinenlesbares Speichermedium, auf dem das Computerprogramm nach Anspruch 8 gespeichert ist.
10. Vorrichtung (30), die eingerichtet ist, das Verfahren nach einem der Ansprüche 1 bis 7 auszuführen.
PCT/EP2022/051091 2021-02-09 2022-01-19 Verfahren und vorrichtung zum vorbereiten einer betankung WO2022171404A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102021201209.4 2021-02-09
DE102021201209.4A DE102021201209A1 (de) 2021-02-09 2021-02-09 Verfahren und Vorrichtung zum Vorbereiten einer Betankung

Publications (1)

Publication Number Publication Date
WO2022171404A1 true WO2022171404A1 (de) 2022-08-18

Family

ID=80050653

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2022/051091 WO2022171404A1 (de) 2021-02-09 2022-01-19 Verfahren und vorrichtung zum vorbereiten einer betankung

Country Status (2)

Country Link
DE (1) DE102021201209A1 (de)
WO (1) WO2022171404A1 (de)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102007041621A1 (de) 2007-09-03 2009-03-05 Schildknecht, Thomas, Dipl.-Ing. Verfahren und Vorrichtung zur Stabilisierung einer Datenfunkverbindung
DE102010041326A1 (de) * 2010-09-24 2012-03-29 Siemens Aktiengesellschaft Betankungssystem
US20130139897A1 (en) 2011-12-01 2013-06-06 Kia Motors Corporation Real-time system for monitoring hydrogen tank expansion and a method for using same
US9088447B1 (en) * 2014-03-21 2015-07-21 Mitsubishi Electric Research Laboratories, Inc. Non-coherent transmission and equalization in doubly-selective MIMO channels
US20180213376A1 (en) 2015-07-13 2018-07-26 Intel Corporation Techniques to configure vehicle to anything communications
WO2020007521A1 (de) * 2018-07-04 2020-01-09 Audi Ag Verfahren zum steuern eines auftankvorganges zum befüllen einer kraftstofftankeinrichtung eines kraftfahrzeugs mit einem gasförmigen kraftstoff, auftankvorgangplanungseinrichtung, auftankvorrichtung, und kraftfahrzeug
US20200276909A1 (en) 2019-02-18 2020-09-03 Nikola Corporation Communications systems and methods for hydrogen fueling and electric charging

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102007041621A1 (de) 2007-09-03 2009-03-05 Schildknecht, Thomas, Dipl.-Ing. Verfahren und Vorrichtung zur Stabilisierung einer Datenfunkverbindung
DE102010041326A1 (de) * 2010-09-24 2012-03-29 Siemens Aktiengesellschaft Betankungssystem
US20130139897A1 (en) 2011-12-01 2013-06-06 Kia Motors Corporation Real-time system for monitoring hydrogen tank expansion and a method for using same
US9088447B1 (en) * 2014-03-21 2015-07-21 Mitsubishi Electric Research Laboratories, Inc. Non-coherent transmission and equalization in doubly-selective MIMO channels
US20180213376A1 (en) 2015-07-13 2018-07-26 Intel Corporation Techniques to configure vehicle to anything communications
WO2020007521A1 (de) * 2018-07-04 2020-01-09 Audi Ag Verfahren zum steuern eines auftankvorganges zum befüllen einer kraftstofftankeinrichtung eines kraftfahrzeugs mit einem gasförmigen kraftstoff, auftankvorgangplanungseinrichtung, auftankvorrichtung, und kraftfahrzeug
US20200276909A1 (en) 2019-02-18 2020-09-03 Nikola Corporation Communications systems and methods for hydrogen fueling and electric charging
US10800281B2 (en) 2019-02-18 2020-10-13 Nikola Corporation Communications systems and methods for hydrogen fueling and electric charging
US20200346554A1 (en) 2019-02-18 2020-11-05 Nikola Corporation Communication systems and methods for hydrogen fueling and electric charging

Also Published As

Publication number Publication date
DE102021201209A1 (de) 2022-08-11

Similar Documents

Publication Publication Date Title
DE2337703C2 (de) Verfahren zur Übertragung und Übertragungsfehler-Korrektur von aus Datenabschnitten bestehenden digitalen Informationen sowie Einrichtung zur Ausführung des Verfahrens
WO2019063258A1 (de) Konzept zum unidirektionalen übertragen von daten
WO2016037768A1 (de) Verfahren zur seriellen übertragung eines rahmens über ein bussystem von einem sender zu mindestens einem empfänger und teilnehmern eines bussystems
EP2100411A2 (de) Verfahren zum betreiben eines ethernetfähigen feldbusgerätes
DE3635106C2 (de)
WO2022171404A1 (de) Verfahren und vorrichtung zum vorbereiten einer betankung
EP3659317B1 (de) Verfahren zum bereitstellen eines sicheren telegramms
EP3130099A1 (de) Verfahren für ein redundantes übertragungssystem mit prp und energieeinsparung
DE2903646A1 (de) Verfahren und geraet zur inbetriebnahme einer anordnung zur uebertragung von daten zu einem entfernten ort
DE102021203535A1 (de) Verfahren zur drahtlosen Kommunikation zwischen mindestens einer Infrastrukturkomponente und mindestens einem Fahrzeug
WO2001086857A1 (de) Übertragung von kodierten datenpaketen, bei der der empfänger durch explizite signalisierung die kodierung der datenpakete entscheidet
DE102017213711B4 (de) Verfahren zum Übertragen von Daten
WO2023016746A1 (de) Verfahren und vorrichtung zum vorbereiten einer betankung
EP0944962B1 (de) Verfahren und schaltungsanordnung zur decodierung eines zyklisch codierten signals
DE202016103460U1 (de) Kommunikationsteilnehmer eines Feldbussystems und Feldbussystem
DE19940666C2 (de) Verfahren und Vorrichtung zur Dekodierung von über einen Übertragungskanal übertragenen kanalkodierten Daten
WO2022171409A1 (de) Verfahren und vorrichtung zum vorbereiten einer betankung
DE202010018237U1 (de) Wandler zum Senden und Empfangen von Daten und Datenübertragungsstrecke
WO2020249536A1 (de) Rechenanlage und verfahren zum betreiben einer rechenanlage
DE102021132182A1 (de) System und Verfahren zur Befüllungs-Steuerung eines Tankbehälters eines Fahrzeugs mit gasförmigem Wasserstoff aus einem Vorratsbehälter einer Versorgungsstation
EP1295429A1 (de) Verfahren zum gleichzeitigen übertragen mehrerer teildatenströme und vorrichtung zum korrigieren von übertragungsfehlern durch automatische wiederholunganforderung (arq)
DE102021201215A1 (de) Verfahren zur Kommunikation zwischen einer Lade- oder Betankungseinrichtung und einem Fahrzeug
DE102022200794A1 (de) Einfülleinrichtung zum Betanken eines Fahrzeuges an einer Zapfsäule sowie Zapfpistole und Einfüllstutzen mit einer solchen Einrichtung
DE102021208098A1 (de) Verfahren und Vorrichtung zum Betanken eines Fahrzeuges an einer Wasserstofftankstelle
EP0098259B1 (de) Schaltungsanordnung zur Kontrolle der quasisynchronen Übertragung von Daten

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 22700965

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 22700965

Country of ref document: EP

Kind code of ref document: A1