WO2024115063A1 - Verfahren und fahrzeugsteuersystem zum bergen eines zumindest teilweise automatisierten fahrzeugs - Google Patents

Verfahren und fahrzeugsteuersystem zum bergen eines zumindest teilweise automatisierten fahrzeugs Download PDF

Info

Publication number
WO2024115063A1
WO2024115063A1 PCT/EP2023/081132 EP2023081132W WO2024115063A1 WO 2024115063 A1 WO2024115063 A1 WO 2024115063A1 EP 2023081132 W EP2023081132 W EP 2023081132W WO 2024115063 A1 WO2024115063 A1 WO 2024115063A1
Authority
WO
WIPO (PCT)
Prior art keywords
vehicle
subunit
unit
control system
emergency
Prior art date
Application number
PCT/EP2023/081132
Other languages
English (en)
French (fr)
Inventor
Julian van Thiel
Daniel Hanslik
Original Assignee
Zf Cv Systems Global Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zf Cv Systems Global Gmbh filed Critical Zf Cv Systems Global Gmbh
Publication of WO2024115063A1 publication Critical patent/WO2024115063A1/de

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W10/00Conjoint control of vehicle sub-units of different type or different function
    • B60W10/04Conjoint control of vehicle sub-units of different type or different function including control of propulsion units
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W10/00Conjoint control of vehicle sub-units of different type or different function
    • B60W10/10Conjoint control of vehicle sub-units of different type or different function including control of change-speed gearings
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W10/00Conjoint control of vehicle sub-units of different type or different function
    • B60W10/18Conjoint control of vehicle sub-units of different type or different function including control of braking systems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W10/00Conjoint control of vehicle sub-units of different type or different function
    • B60W10/18Conjoint control of vehicle sub-units of different type or different function including control of braking systems
    • B60W10/182Conjoint control of vehicle sub-units of different type or different function including control of braking systems including control of parking brakes
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W10/00Conjoint control of vehicle sub-units of different type or different function
    • B60W10/20Conjoint control of vehicle sub-units of different type or different function including control of steering systems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W60/00Drive control systems specially adapted for autonomous road vehicles
    • B60W60/001Planning or execution of driving tasks
    • B60W60/0015Planning or execution of driving tasks specially adapted for safety
    • B60W60/0018Planning or execution of driving tasks specially adapted for safety by employing degraded modes, e.g. reducing speed, in response to suboptimal conditions
    • B60W60/00186Planning or execution of driving tasks specially adapted for safety by employing degraded modes, e.g. reducing speed, in response to suboptimal conditions related to the vehicle
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W2300/00Indexing codes relating to the type of vehicle
    • B60W2300/17Construction vehicles, e.g. graders, excavators

Definitions

  • the invention relates to a method for recovering an at least partially automated vehicle and a corresponding vehicle control system.
  • the automated vehicle can be a partially automated vehicle or a fully automated vehicle.
  • the method according to the invention and the vehicle control system according to the invention are particularly advantageous for vehicles with an automation level according to SAE (Society of Automotive Engineers) Level 2 to 5, in particular 4 or 5.
  • SAE Society of Automotive Engineers
  • Level 2 to 5
  • 4 or 5 the level of automation of an automated vehicle, the greater its field of application, in particular in areas inaccessible to humans, such as open-cast or underground mining. This makes it all the more important to be able to recover such a vehicle without exposing people to danger during a recovery operation.
  • no driver i.e. if the vehicle is fully automated, it is necessary that the fully automated vehicle can be recovered efficiently.
  • DE 10 2017 211 797 A1 discloses that an autonomous vehicle, especially in the event of a public emergency, communicates with at least one other autonomous vehicle and the autonomous vehicle or an external Server unit calculates a route to a safe location, and the autonomous vehicle then drives to the safe location.
  • DE 10 2018203 773 B3 discloses a parking lock system of an automatic transmission in a motor vehicle, wherein the parking lock system comprises a parking lock for blocking or releasing an output of the transmission and a spring accumulator for engaging the parking lock, a pressure-controlled release device for disengaging the parking lock, an operating device for setting, and an information system for displaying the operating states "park" and "neutral" of the transmission.
  • the parking lock system also comprises an emergency release device for the parking lock that can be triggered when the vehicle's combustion engine is switched off and that, when a defined event occurs, actuates an electric motor that can be operatively connected to the combustion engine and to a pump of the transmission for pressure-controlled disengagement of the parking lock.
  • DE 10 2018 219 809 A1 relates to a method for avoiding locally caused impending dangers, in which an alternative route is calculated for a vehicle in order to avoid the impending danger.
  • the vehicle receives a message about the impending danger.
  • the vehicle then carries out a hazard potential assessment with regard to the reported impending danger and, if the hazard potential assessment indicates a serious hazard potential, the vehicle automatically starts ferry operations, following the alternative route in order to avoid the impending danger.
  • US 2018/158255 A1 discloses an information display having a display screen on a vehicle, the display screen configured to display visual information based on a vehicle mode in which the vehicle is operating.
  • the display screen may display instructions for connecting to a communication interface of the vehicle, the vehicle operating in a vehicle mode based on the occurrence of one or more events associated with the vehicle.
  • US 2020/247420 A1 discloses a system for controlling a vehicle based on driver interventions, wherein a method for controlling a vehicle may include determining a driver state estimate of a driver of the vehicle using driver data from one or more driver sensors, determining one or more environmental anomalies using environmental data from one or more environmental sensors within an environment of the vehicle, and determining an anomaly category for at least one of the one or more environmental anomalies. The method further includes selecting a failure mode based on the driver state estimate and one or more anomaly categories, and selecting at least one fail-safe action based on the failure mode and determining operation of the vehicle according to the failure mode.
  • EP 3 644295 A1 discloses an operating terminal for presenting presentation information.
  • First information including operational information is exchanged via a first communication path and second information is exchanged via a second communication path, the second information comprising the presentation information relating to parking control. If a first evaluation value of the first communication path is less than a first threshold value, at least part of the first information is exchanged via one or more communication paths other than the first communication path. If a second evaluation value of the second communication path is less than a second threshold value, at least part of the second information is exchanged via one or more communication paths other than the second communication path and an information amount of the first information and/or the second information is reduced.
  • a vehicle is parked according to a control instruction for moving along a parking route, the control instruction being based on the operational information input to the external operating terminal.
  • the aim of this invention is to define a concept for an emergency recovery operation in order to be able to efficiently recover, for example, a stranded automated vehicle in an area that is difficult or impossible for human operators or towing services to access.
  • the main causes of such a breakdown are actuator errors or other internal error states that partially or completely prevent a normal or degraded execution of an internally or externally planned route.
  • the focus here is primarily on open-pit and underground mining applications, where vehicles are used in areas that are inaccessible to human workers due to external hazards. A broken-down vehicle would lead to a permanent or long-term loss of the vehicle or require a complex and costly recovery from the air. In addition, the vehicle could hinder or block the automated operation of other vehicles.
  • the invention can also facilitate the recovery of an automated vehicle in highway automation on motorways.
  • the invention is based on the object of providing a method for recovering a, in particular broken-down, at least partially automated vehicle. equipment, especially from an area inaccessible to humans.
  • the vehicle to be recovered comprises a vehicle control system with at least a first subunit and a second subunit
  • the method comprises the following steps: a) detecting a malfunction of at least part of the first subunit of the vehicle control system, b) checking whether the first subunit is in an emergency operating state and, in the event that the first subunit is not in an emergency operating state, placing the first subunit or the vehicle control system in an emergency operating state, c) emergency controlling the vehicle based on the emergency operating state with the aid of the vehicle control system, d) receiving an enable signal from the vehicle control system, and e) controlling the first subunit and/or the second subunit of the vehicle control system based on the enable signal.
  • the vehicle may be a partially automated vehicle or a fully automated vehicle.
  • the vehicle is a fully automated vehicle.
  • the vehicle control system is adapted to control the vehicle at least partially, preferably fully, automatically.
  • the vehicle control system of the at least partially automated vehicle comprises subunits.
  • the vehicle control system comprises more than the first subunit and the second subunit.
  • the vehicle control system can comprise a brake control unit, a transmission control unit, a steering control unit, an engine control unit, a monitoring unit and/or an interface unit.
  • the vehicle control system comprises at least one brake control unit with a service brake and a parking brake.
  • the service brake is essentially adapted to brake a vehicle that is in motion.
  • the Service brake on all wheels of a vehicle.
  • the parking brake is essentially designed to prevent a vehicle that is not moving from moving.
  • a parking brake permanently blocks the wheels of a vehicle that are operatively connected to the parking brake.
  • the first subunit is a subunit of the vehicle control system.
  • the first subunit is a brake control unit, a transmission control unit, a steering control unit, an engine control unit, a monitoring unit and/or an interface unit.
  • the second subunit is also a subunit of the vehicle control system.
  • the second subunit is a brake control unit, a transmission control unit, a steering control unit, an engine control unit, a monitoring unit and/or an interface unit.
  • the first subunit can correspond to the second subunit.
  • a malfunction of at least part of a subunit of the vehicle control system i.e. the first subunit, is detected.
  • the malfunction can preferably be detected by a monitoring unit of the vehicle control system.
  • the method according to the invention relates to detecting a malfunction of at least a part of a subunit of the vehicle control system, which is necessary for driving the vehicle, in particular safe and/or automated driving of the vehicle.
  • the malfunction may relate to a subunit of the vehicle control system of the vehicle, wherein in particular the malfunction may also comprise only a part of one of the subunits of the vehicle control system, preferably a part of a brake control unit, a transmission control unit, a steering control unit, an engine control unit, a monitoring unit and/or an interface unit.
  • the malfunction in the event of a malfunction, it is possible to control, ie drive, the vehicle in a restricted state compared to a normal state of the vehicle control system.
  • control of the vehicle may be prevented by the malfunction.
  • the method according to the invention checks whether the subunit in which the malfunction is detected, i.e. the first subunit, is in an emergency operating state.
  • the first subunit or the vehicle control system is put into an emergency operating state.
  • An emergency operating state is a state in which the vehicle can only be controlled to a limited extent, with the restriction being based on the malfunction.
  • the emergency operating state can also be referred to as minimal risk maneuver mode or “MRM mode”.
  • a restriction can be functional and/or temporal.
  • the emergency operating state can affect either just the part of the first subunit, the first subunit or the vehicle control system. If the entire vehicle control system is in the emergency operating state, the first subunit, in particular also the part of the first subunit, is also in the emergency operating state.
  • the vehicle is emergency-controlled based on the emergency operating state using the vehicle control system.
  • the emergency control preferably carries out a “minimal risk maneuver.”
  • the vehicle is controlled in such a way that the safety of the vehicle and/or other road users is not endangered.
  • Other road users also include other autonomously driven vehicles.
  • the vehicle is preferably only emergency-controlled until it is possible to park the vehicle safely, ie until the vehicle can be parked safely.
  • “Safe” means that after a risk The aim is to ensure maximum safety for the vehicle and/or other road users.
  • Safe here means that the vehicle is parked in a location that, compared to other locations, offers maximum safety for the vehicle and/or other road users. Safe parking is defined in particular by the fact that neither the vehicle to be recovered nor other vehicles or road users are endangered in any way.
  • a release signal is received by the vehicle control system, wherein the release signal is sent to the vehicle to be recovered from a transmitting unit, for example a vehicle control station that is adapted to monitor the function of automated vehicles, or a near-field remote control or in another way.
  • the release signal is preferably received by an interface unit of the vehicle control system.
  • the release signal puts the vehicle into a recovery state in which certain functions are released in order to be able to recover the vehicle.
  • the release signal is sent from a transmitting unit to the vehicle, for example.
  • a communication connection between the transmitting unit and the vehicle is preferably protected against external attacks and malfunctions.
  • the release signal comprises a signal for controlling a subunit or several subunits of the vehicle control system.
  • the release signal comprises a signal for controlling one or several subunits that prevent the vehicle from continuing to drive actively or passively.
  • the release signal comprises a signal for controlling a brake unit, particularly preferably a parking brake, for releasing the brake unit and/or parking brake.
  • the release signal can also be a signal for controlling a drive train and/or of a transmission, for disconnecting the drive train and/or the transmission.
  • Steps 1 to 4 can be understood as preconditions that bring the vehicle into a safe state (MRM mode).
  • the first subunit and/or the second subunit are controlled based on the release signal.
  • the release signal can comprise a release signal of an actuator of one of the subunits of the vehicle control system, for example an actuator of a parking brake that has been applied after the vehicle has been parked.
  • the method according to the invention allows a specific recovery operation or rescue mode of a stranded automated vehicle, wherein the recovery mode is requested from outside, i.e. outside the vehicle. This enables the automated vehicle to be recovered, particularly in areas inaccessible to humans.
  • the recovery of a stranded vehicle is carried out when the MRM mode has already been executed, the vehicle is stationary, in particular secured, and an automation interface is closed.
  • the malfunction that is detected in the first step of the method is a malfunction that prevents the vehicle from continuing to drive safely. This has the advantage that the above method for recovering the vehicle is only carried out when safe driving of the automated vehicle can no longer be guaranteed.
  • the fifth step of the method according to the invention can be understood as putting the vehicle into a recovery state or “rescue mode” based on the release signal.
  • the emergency control in the emergency operating state, i.e. the MRM mode, of the vehicle and/or the rescue mode comprises stopping the vehicle, particularly preferably an emergency stop of the vehicle. Accordingly, after detecting a malfunction and after switching to an emergency operating state, the vehicle is initially stopped, for example as part of a "minimal risk maneuver", whereby the stopping takes into account both the safety of the vehicle and the safety of other road users, whereby the vehicle can then be recovered after receiving a release signal by controlling the first subunit or the second subunit ("rescue mode").
  • the emergency stop preferably comprises engaging or leaving engaged a parking brake and/or deactivating an automation interface so that autonomous operation of the vehicle can be prevented. That is, the emergency stop can comprise engaging a parking brake and/or deactivating at least part of the vehicle control system, wherein the part of the vehicle control system is designed to control the vehicle at least partially automatically.
  • control of the first subunit or the second subunit of the vehicle control system based on the enable signal can include a stop, in particular an emergency stop, i.e. during the "rescue mode", as already stated above.
  • a stop or emergency stop during the "rescue mode” is particularly preferred independent of an emergency operating state, in particular an emergency stop during the emergency operating state ("MRM mode").
  • controlling the first subunit or the second subunit can include releasing or releasing a parking brake.
  • This enables (in "rescue mode") in particular to tow the automated vehicle, for example by another vehicle, preferably a (fully) automated vehicle.
  • the vehicle can be controlled by the vehicle control system (in “rescue mode”), wherein the vehicle is then preferably controlled from outside based on control signals included in the release signal.
  • the method according to the invention thus preferably comprises the step of controlling the vehicle based on the control signals after controlling the first subunit and/or the second subunit.
  • the method comprises the step of receiving control signals, wherein the vehicle is controlled, in particular remotely controlled, based on the control data after controlling the first subunit or the second subunit.
  • Remote control can be carried out depending on the malfunction and/or depending on the release signal from outside the vehicle, i.e. from a transmitting unit which corresponds, for example, to a vehicle control center.
  • the method comprises the further step of monitoring the malfunction and/or monitoring the towing or steering of the vehicle. Further preferably, the step of monitoring is carried out by a transmitting unit outside the vehicle.
  • the vehicle is controlled during control after controlling the first sub-unit or the second sub-unit in an operating mode that is restricted compared to a normal operating mode of the vehicle, which can also be referred to as "rescue mode", is part of such a mode, or includes such a mode.
  • the restricted operating mode is preferably a dynamically restricted operating mode, i.e. it can be adapted to a respective situation.
  • a dynamically restricted operating mode enables further intervention in the control of the vehicle, in particular from outside the vehicle, during control of the vehicle.
  • the malfunction causes at least part of the first sub-unit to be non-functional, so that the vehicle is not fully functional. , which reduces the safety of the vehicle and/or other road users.
  • a restricted operating mode of the vehicle in which, for example, riskier driving maneuvers are not possible, the safety of the vehicle and/or other road users is further increased.
  • a communication connection which is preferably wireless, between the vehicle and a transmitting unit, for example a vehicle control station, from which the release signal is sent, is monitored and the rescue mode of the vehicle, i.e. the vehicle control system, is terminated in the event that a connection between the vehicle and the transmitting unit breaks down.
  • the vehicle can be brought into a safe state, preferably stopped, based on the error. For example, it is then provided that the vehicle receives an emergency stop signal, for example from the transmitting unit, and stops based on the emergency stop signal.
  • An emergency stop signal can also be provided manually via a switch by an operator on the vehicle or remotely via a remote control.
  • An emergency stop signal can also be provided automatically in the “rescue mode” of the vehicle. be automatically controlled by the vehicle if a serious error occurs.
  • control of the vehicle in “rescue mode”
  • the control of the vehicle can be terminated by a dedicated emergency stop signal from the transmitting unit.
  • controlling the first subunit or the second subunit includes controlling at least one actuator of the first subunit or the second subunit.
  • controlling a single, some or all actuators of the first subunit and/or a single, some or all actuators of the second subunit it is possible to specifically recover the vehicle, for example either by subsequently towing the vehicle or by remotely controlling the vehicle.
  • minimizing refers to mathematical minimization, which means that the number of changes from one state of the actuator to a (different) state of the actuator in which the vehicle can be recovered is reduced to a minimum. Since the control of the actuators is based on the release signal and the release signal is preferably sent from outside the vehicle, minimizing the number of actuators controlled enables the data load of the release signal to be minimized. Furthermore, controlling as few actuators as possible also reduces the susceptibility to errors in the recovery process.
  • the release signal is received via V2X communication, whereby V2X communication enables data exchange between the vehicle to be recovered and any transmitting unit in the vicinity of the vehicle to be recovered.
  • the transmitting unit can also be a vehicle, so that it V2X communication is then V2V communication, whereby V2V communication enables data exchange between the vehicle to be recovered and one or more other vehicles in the vicinity of the vehicle.
  • the V2X or V2V communication is preferably radio communication, particularly preferably 5G.
  • the method according to the invention comprises, after detecting the malfunction of at least part of the first subunit, providing and/or sending error data, wherein the error data is indicative of the malfunction.
  • the error data is indicative of the malfunction.
  • the release signal that is sent by the transmitting unit is preferably based on the error data that is previously received by the transmitting unit.
  • a release signal can be selected for sending to the vehicle control system, depending on which error occurs in the vehicle control system.
  • This release signal which is dependent on the malfunction, can be received by the vehicle to be rescued and then the first subunit and/or the second subunit of the vehicle control system (in "rescue mode") can be controlled accordingly.
  • This enables, in particular, a systematization/categorization of errors and the release signals and/or control signals to be sent in response.
  • a specific action i.e. a specific control of one or more actuators (in "rescue mode"), can be carried out based on a specific error.
  • controlling the first sub-unit and/or the second sub-unit enables the vehicle to be towed.
  • those settings of the vehicle which prevent towing, in particular locking the brake unit, for example locking the parking brake, or locking the transmission unit are changed in such a way that a brake, for example a parking brake, is released or a transmission is put into neutral.
  • the method according to the invention can comprise the step of towing the vehicle by controlling the first sub-unit or the second sub-unit.
  • the activation of the first subunit and/or the second subunit includes activation of a parking brake, whereby the parking brake is placed in a released state by activation based on the release signal.
  • the actuation of the parking brake includes actuation of an anti-compound port, an emergency release port, a select-high valve and/or a spindle drive. Additionally or alternatively, the actuation includes actuation of solenoid valves.
  • the actuation of the parking brake preferably includes actuation of a monostable valve and a bistable valve.
  • controlling the first subunit and/or the second subunit can include controlling a drive train and/or a transmission.
  • the drive train and/or the transmission is placed in a disconnected state by controlling based on the release signal.
  • a vehicle control system is described with a brake control unit, a transmission control unit, a steering control unit, an engine control unit, a monitoring unit and an interface unit, wherein the interface unit is adapted to carry out the method according to one of the above embodiments, and wherein the first subunit and the second subunit each correspond to one of the brake control unit, the transmission control unit, the steering control unit, the engine control unit, the monitoring unit and the interface unit.
  • the interface unit comprises an additional power supply unit to a power supply unit of the vehicle control system.
  • the interface unit comprises a recovery operating unit, wherein the recovery operating unit is adapted to control the first subunit and/or the second subunit of the vehicle control system based on the enable signal.
  • the recovery operating unit also preferably comprises an additional energy supply unit to a power supply unit of the vehicle control system. In the event that an additional energy supply unit to a power supply unit of the vehicle control system is provided for both the interface unit and the recovery operating unit, the energy supply unit of the interface unit and the energy supply unit of the recovery operating unit can be identical.
  • the second subunit comprises an additional emergency actuator unit or an additional actuator which is provided in addition to actuators of the vehicle which are provided for normal operation of the vehicle and is electrically independent of the actuators of the vehicle which are provided for normal operation of the vehicle.
  • the additional emergency actuator unit or the additional actuator is preferably not used for normal operation of the vehicle.
  • the second subunit comprises a parking brake, wherein the parking brake is placed in a released state by actuation based on the release signal.
  • the parking brake comprises a brake pressure supply unit in addition to a brake pressure supply unit of a brake control unit. This ensures that the parking brake is released to recover the automated vehicle even if the brake pressure supply unit of the brake control unit malfunctions.
  • the parking brake comprises emergency release units, wherein the emergency release units are provided in addition to a release unit of the parking brake.
  • the emergency release units are not used for releasing the parking brake during normal operation of the vehicle.
  • the emergency release units can comprise solenoid valves, wherein releasing the parking brake, for example in MRM mode or in rescue mode, corresponds to releasing the solenoid valves.
  • the parking brake comprises solenoid valves, whereby releasing the parking brake corresponds to releasing the solenoid valves.
  • a solenoid valve can comprise a monostable valve or a bistable valve. This enables the parking brake to be controlled particularly easily to release the parking brake.
  • Fig. 1 is a schematic diagram illustrating a first embodiment of the vehicle control system according to the invention
  • Fig. 2 is a schematic diagram illustrating a second embodiment of the vehicle control system according to the invention.
  • Fig. 3 is a schematic diagram illustrating a braking system with a recovery unit according to the present invention
  • Fig. 4 is a schematic diagram illustrating a second braking system with a recovery unit according to the present invention
  • Fig. 5 shows a monostable valve for use in a vehicle with the vehicle control system according to the invention
  • Fig. 6 shows a bistable valve for use in a vehicle with the vehicle control system according to the invention
  • Fig. 7 shows a solenoid valve for use in a vehicle with the vehicle control system according to the invention, and in
  • Fig. 8 is a schematic flow diagram of a first embodiment of the method according to the invention for recovering an at least partially automated vehicle.
  • Fig. 1 shows a schematic representation to illustrate a first embodiment of the vehicle control system 100 according to the invention.
  • the vehicle control system 100 can be installed in a vehicle 300, 400.
  • the vehicle control system 100 has a brake control unit 110, a transmission control unit 130, a steering control unit 140, an engine control unit 150, a monitoring unit 160 and an interface unit 120.
  • the brake control unit 110 is adapted to control braking of the vehicle 300, 400 at least partially, preferably completely, automatically.
  • the transmission control unit 130 is adapted to control a transmission of the vehicle 300, 400 at least partially, preferably completely, automatically.
  • the steering control unit 140 is adapted to control steering of the vehicle 300, 400 at least partially, preferably completely, automatically.
  • the engine control unit 150 is adapted to control an engine of the vehicle 300, 400 at least partially, preferably completely, in an automated manner.
  • the monitoring unit 160 is adapted to monitor a state of at least a part of a subunit, a subunit or the vehicle control system 100.
  • the interface unit 120 is adapted to send signals 122 and to receive signals, in particular an enable signal 121 or a control signal 123.
  • the interface unit 120 is adapted to carry out the method according to the invention for recovering an at least partially automated vehicle 300, 400 with the vehicle control system 100, that is, the vehicle control system 100 is adapted to detect a malfunction of at least part of a first subunit 111 of the vehicle control system 100, to check whether the first subunit 111 is in an emergency operating state and, if the first subunit 111 is not in an emergency operating state, to put the first subunit 111 or the vehicle control system 100 into an emergency operating state, to emergency control the vehicle 300, 400 based on the emergency operating state using the vehicle control system 100 (“MRM mode”), to receive an enable signal 121 from the vehicle control system 100, and to control the first subunit 111 or the second subunit 112 of the vehicle control system 100 based on the enable signal 121. (“Rescue Mode”).
  • the monitoring unit 160 of the vehicle control system 100 is adapted to detect a malfunction of at least a part of a first sub-unit 111. Furthermore, the monitoring unit 160 is adapted to check whether the first sub-unit 111 is in an emergency operating state and, in the event that the first sub-unit 111 is not in an emergency operating state, to put the first sub-unit 111 or the vehicle control system 100 into an emergency operating state, for example the MRM mode.
  • the brake control unit 110, the transmission control unit 130, the steering control unit 140 and the engine control unit 150 are adapted to provide emergency control of the vehicle 300, 400 based on the emergency operating state (“MRM mode”).
  • the interface unit 120 of the vehicle control system 100 is adapted to receive a release signal 121.
  • the release signal 121 can be sent from a transmitting unit 170, for example a vehicle control center, outside the vehicle 300, 400.
  • the vehicle control system 100 is adapted to control one of the subunits, for example the subunits 111, 112, of the vehicle control system 100 based on the release signal 121 (“rescue mode”).
  • the first subunit 111 is the brake control unit 110 and the second subunit 112 is the transmission control unit 130.
  • the first subunit 111 comprises the transmission control unit 130, the steering control unit 140, the engine control unit 150 and/or the monitoring unit 160 in addition to or as an alternative to the brake control unit 110.
  • the second subunit 112 is the transmission control unit 130, wherein the second subunit 112 can also comprise the brake control unit 110, the steering control unit 140, the engine control unit 150 and/or the monitoring unit 160 in addition to or as an alternative to the transmission control unit 130.
  • the first subunit 111 can correspond to the second subunit 112.
  • the interface unit 120 may be adapted to monitor a connection between the vehicle 300, 400 and the transmitting unit 170 from which the enable signal 121 is sent, the connection being a wireless communication connection.
  • the vehicle control system 100 may be adapted to terminate control of the vehicle 300, 400 if a connection between the vehicle 300, 400 and the transmitting unit 170 breaks down.
  • the interface unit 120 can be adapted to receive the enable signal 121 via a V2X communication, in particular a radio communication.
  • the vehicle control system 100 is adapted to enable towing of the vehicle 300, 400 after controlling the first subunit 111 or the second subunit 112.
  • the brake control system 110 comprises a parking brake 380, 480, as shown for example in Figures 3 and 4 in connection with the brake systems 310 and 410, wherein when the first subunit 111 or the second subunit 112 is controlled, the parking brake 380, 480 is set to a released state by controlling based on the release signal 121.
  • an anti-compound port, an emergency release port, a select-high valve and/or a spindle drive is preferably controlled.
  • a monostable valve or a bistable valve can be controlled, as shown for example in Figures 5 and 6.
  • the vehicle control system 100 can be adapted to control a drive train and/or a transmission, which is provided in the transmission control unit 130 and the engine control unit 150.
  • the drive train and/or the transmission is placed in a disconnected state based on the enable signal 121.
  • Fig. 2 shows a schematic representation to illustrate a second embodiment of the vehicle control system 200 according to the invention.
  • the vehicle control system 200 can be installed in the vehicle 300 or 400, for example.
  • Fig. 2 shows an interface unit 220.
  • the interface unit 220 is adapted to receive release signals 221 and control signals 223.
  • the interface unit 220 is adapted to send emergency rescue requests 222, i.e. after detecting the malfunction, an emergency rescue request 222 is sent to a transmitting unit 270, whereupon the transmitting unit 270 sends release signals 221 and/or control signals 223 and the interface unit 220 receives the release signals 221 and/or the control signals 223.
  • the interface unit 220 shown in Figure 2 is connected via emergency paths to further subunits, which preferably have actuators.
  • the interface unit 220 is connected to a monitoring unit 230, an emergency automatic control unit 240, an emergency emergency release parking brake 250, an emergency drive and engine control unit 260, an emergency steering unit 270 and an emergency braking unit 280.
  • the monitoring unit 230, the emergency automatic control unit 240, the emergency emergency release parking brake 250, the emergency drive and engine control unit 260, the emergency steering unit 270 and the emergency braking unit 280 are also interconnected.
  • the vehicle control system 200 is adapted to detect a malfunction of at least a part of one of the monitoring unit 230, the emergency automatic control unit 240, the emergency emergency release parking brake 250, the emergency drive and engine control unit 260, the emergency steering unit 270 and/or the emergency braking unit 280 of the vehicle control system 200 and to check whether the unit with the malfunction is in an emergency operating state.
  • the unit with the malfunction or the entire vehicle control system 200 is adapted to be placed in an emergency operating state.
  • the vehicle control system 200 is adapted to emergency control the vehicle 300, 400 based on the emergency operating state.
  • the vehicle control system 200 is adapted to receive an enable signal 221 through the interface unit 220 and to control one or more of the monitoring unit 230, the emergency unit for automatic control 240, the emergency emergency release parking brake 250, the emergency drive and engine control unit 260, the emergency steering unit 270 and the emergency braking unit 280, in particular one or more actuators assigned to a respective subunit, based on the enable signal 221.
  • the emergency emergency release parking brake 250 particularly preferably at least one of the actuators of the emergency emergency release parking brake 250, is controlled.
  • the vehicle control system also comprises an interface unit which is adapted to receive an enable signal and to control at least the second subunit of the vehicle control unit based on the enable signal ("rescue mode").
  • the interface unit is further adapted to control the automated vehicle based on the enable signal.
  • the interface unit is further adapted to control the automated vehicle based on the enable signal in an operating mode which is restricted compared to a normal operating mode of the vehicle, in particular a dynamically restricted operating mode.
  • the second subunit comprises a vehicle actuator, wherein the interface unit is adapted to control at least the vehicle actuator of the second subunit.
  • the interface unit is preferably adapted to minimize a number of vehicle actuators that are controlled.
  • the interface unit provides a V2X communication, in particular a radio communication, and the release signal is communicated via the V2X, in particular the radio communication.
  • the interface unit comprises a recovery operating unit, wherein the recovery operating unit is adapted to receive the release signal and to control at least the second subunit based on the release signal.
  • the recovery operating unit comprises an additional energy supply unit to a power supply unit of the vehicle control system.
  • the vehicle control system comprises a condition monitoring unit adapted to monitor a condition of at least the first sub-unit, to detect a malfunction of at least a part of the first sub-unit, and to provide error data, wherein the error data is indicative of the malfunction.
  • the interface unit can be adapted to send the error data to an external transmission unit.
  • the enable signal is based on the error data.
  • the interface unit can comprise a connection monitoring unit, wherein the connection monitoring unit is adapted to monitor a connection between the interface unit and a transmitting unit of the enable signal, wherein the interface unit is further adapted to terminate control of the second subunit in the event that a connection between the interface unit and the transmitting unit breaks down.
  • control based on the release signal enables the vehicle to be towed.
  • the second subunit comprises a parking brake, wherein the parking brake is set to a released state by control based on the release signal.
  • the parking brake is released by an emergency release unit, wherein the emergency release unit comprises an emergency release port, a select-high valve and/or a spindle drive.
  • the parking brake comprises a brake pressure supply unit in addition to a brake pressure supply unit of a brake system.
  • the emergency release unit comprises a monostable valve or a bistable valve.
  • the second subunit comprises, in addition to or as an alternative to a parking brake, a drive train and/or a transmission, wherein the drive train and/or the transmission are Control is placed in a disconnected state based on the enable signal.
  • the invention also relates to an electropneumatic braking system for a partially automated vehicle with a parking brake unit comprising an emergency release unit, wherein the parking brake unit is adapted to be placed into an emergency operating state depending on a malfunction of at least part of a vehicle control unit of a vehicle, wherein the braking system comprises an interface unit adapted to receive a release signal and to control the emergency release unit based on the release signal ("rescue mode").
  • Fig. 3 shows a schematic diagram to illustrate a braking system 310 with an interface unit 320, which can be understood as a recovery unit, according to the present invention, wherein the braking system 310 is installed in a vehicle 300 with a central control unit 389.
  • the braking system 310 is an electro-pneumatic braking system.
  • the blocks shown in Fig. 3 and Fig. 4, which are not separately marked with a reference number, relate to standard components of the braking system 310 such as overload protection valve, park release safety valve, axle modulator, wheel speed sensor, brake actuator, etc.
  • the braking system 310 has a service braking system 311 and a parking braking system 312.
  • the parking braking system 312 has a parking braking system 380 in the form of a valve unit with at least one spring-loaded connection for providing a parking braking pressure to actuators 382, which correspond to spring-loaded brake cylinders.
  • the vehicle 300 has four spring-loaded brake cylinders, each of which is assigned to a rear wheel 394.
  • the service braking system 311 also has two service braking cylinders 383, each of which is assigned to a front wheel 384.
  • the spring brake cylinders are designed as combination brake cylinders 385, i.e. they each have a service brake chamber 386, which can be actuated by a locking pressure from the operating supply unit 399.
  • the central control unit 389 which is designed as a service brake control unit for controlling the service brake system 311, is connected to an axle modulator 388, which forms a rear brake circuit as part of the service brake system 311.
  • the parking brake 380 comprises a parking brake control unit for controlling the parking brake system 312.
  • the parking brake 380 also has a parking brake valve unit which is designed to control the parking brake pressure.
  • the parking brake valve unit has at least one spring brake connection which is pneumatically connected to the actuators 382, i.e. the spring brake cylinders.
  • the parking brake 380 also has a parking control unit which is connected to the parking brake valve unit in a signal-carrying manner to provide an electronic parking brake signal for control purposes.
  • the spring brake cylinders are ventilated and a wheel brake (not shown here) is released. However, if the spring brake cylinders are ventilated, i.e. when the parking brake pressure drops below a minimum value, the spring brake cylinders are applied and the wheels, here the rear wheels 394, are braked by the wheel brakes (not shown here).
  • the parking brake 380 is electrically connected to a power supply 395 for the purpose of supplying it with electrical energy.
  • the central control unit 389 is also electrically connected to the power supply 395 for the purpose of supplying it with electrical energy.
  • the braking system 310 has an emergency release unit 381, i.e. an emergency release valve unit.
  • the emergency release unit 381 is designed to provide an emergency release pressure to the parking brake 380, preferably the parking brake valve unit.
  • the emergency release unit 381 is pneumatically connected to an additional brake pressure connection for providing the emergency release pressure via a main connection 396, at which the emergency release pressure is controlled.
  • the emergency release unit 381 is pneumatically connected to the brake supply unit 399 via a supply connection 398.
  • the parking brake valve unit and the first control unit are, as shown here, structurally integrated as a parking brake 380, in this case a parking brake module.
  • the braking system 310 also includes the interface unit 320.
  • the interface unit 320 is supplied with electrical energy by a power supply 371.
  • the interface unit 320 can also be supplied with electrical energy by the power supply 395.
  • the interface unit 320 is connected to the emergency release unit 381 in a signal-carrying manner.
  • the interface unit 320 which can also be understood as a control unit or over-the-air unit, is connected to an active controller 372, for example via a bus connection, and enables the vehicle to be controlled, at least after the actuators have been activated.
  • the interface unit 320 is also connected in a signal-carrying manner to a monitoring unit 330, which preferably includes a virtual driver.
  • Fig. 4 shows a schematic representation to illustrate a second braking system 410 in a vehicle 400 with a recovery unit 481 according to the present invention.
  • the braking system 410 shown in Fig. 4 corresponds essentially to the braking system shown in Fig.
  • the braking system 410 comprises an interface unit 420, a central control unit 489, an axle modulator 488, a parking brake 480, an emergency release unit 481 and actuators 482.
  • the braking system has brake supply units 483, 484 and 485.
  • the electropneumatic braking system 410 comprises an additional brake pressure supply unit 486 for supplying the recovery unit 481.
  • the emergency release unit 481 is designed to provide an emergency release pressure to a shuttle valve 487, i.e. a select-high valve.
  • the shuttle valve 487 is preloaded to the left in the figure shown.
  • the spring brake cylinders can be ventilated and thus released directly via the shuttle valve 487 using the emergency release unit 481.
  • the interface unit 420 is connected to the emergency release unit 481 in a signal-carrying manner.
  • Fig. 5 shows a monostable valve 500 for use in a vehicle with the vehicle control system according to the invention.
  • the valve 500 can be installed as an emergency release unit in a brake control system, as shown for example in Fig. 3 or Fig. 4.
  • the monostable valve 500 has a 3/2-way valve 510 in the form of a 3/2-way solenoid valve.
  • the 3/2-way valve 510 has a first emergency release valve connection 511, which is pneumatically connected to a main connection 396 for providing the emergency release pressure.
  • the 3/2-way valve 510 has a second emergency release valve connection 512, which is for receiving a supply pressure or a pressure provided by an additional brake pressure supply unit is pneumatically connected to a supply port 398.
  • the 3/2-way valve 510 has a third emergency release vent port 513 which vents into an environment.
  • the first emergency release valve connection 511 is pneumatically connected to the second emergency release valve connection 512 in order to provide a brake pressure provided at the supply connection 398 as an emergency release pressure at the main connection 396.
  • the first emergency release valve connection 511 is pneumatically connected to the emergency release vent connection 513, in particular in order to vent the main connection 396 and connections pneumatically connected to it.
  • an electronic emergency release signal can be provided at an electronic control connection 516 of the 3/2-way valve 510 in order to switch the 3/2-way valve 510 to the first emergency release valve position.
  • the 3/2-way valve 510 In the non-controlled state, that is, when no electronic emergency release signal is present at the control connection 516, the 3/2-way valve 510 is in the second emergency release valve position.
  • Fig. 6 shows a bistable valve 600 for use in a vehicle with the vehicle control system according to the invention.
  • the valve 600 can be installed as an emergency release unit in a brake control system, as shown for example in Fig. 3 or Fig. 4.
  • the bistable valve 600 has an emergency release pressure sensor 640 which is pneumatically connected to the main connection 396.
  • an emergency release pressure sensor 640 can also be used in the embodiment of Fig. 5.
  • the emergency release pressure sensor 640 is designed to se valve connection 611 and to provide a corresponding electronic emergency release pressure signal depending on the determined emergency release pressure.
  • the emergency release pressure sensor 640 is connected to a further control unit 630 in order to provide the electronic emergency release pressure signal to the further control unit 630.
  • the valve 600 also has an emergency release pilot arrangement 650 and an emergency release main valve arrangement 660.
  • the emergency release main valve arrangement has a main valve 610, which is designed here as a 3/2-way valve, for example.
  • the emergency release pilot arrangement 650 comprises a pilot valve 670, which is arranged in an emergency release pilot path 651 and is designed here as a 2/2-way valve in the form of a 2/2-way solenoid valve.
  • the pilot valve 670 can be controlled via an electronic emergency release signal.
  • the pneumatically switchable main valve 610 has a main valve control connection 662, which is pneumatically connected to the emergency release pilot path 651 for receiving an emergency release pilot pressure.
  • the pilot valve 670 is arranged in the emergency release pilot path 651 between the supply port 398 and the main valve control port 662.
  • the supply port 398 is pneumatically separated from the main valve control port 662.
  • the pilot valve 670 is designed to switch to the first valve position depending on the electronic emergency release signal.
  • the valve 600 additionally has a supply port 667 at which a supply pressure pV is provided.
  • the emergency release main valve arrangement 660 has a main path 668 which pneumatically connects the supply port 667. ically connects to the main port 396 and in which the main valve 610 is arranged.
  • the first main valve port 612 is pneumatically connected to the main port 396 to provide the emergency release pressure.
  • the second main valve port 612 is pneumatically connected to the supply port 667 to receive the supply pressure pV.
  • the main valve 610 includes a third main valve vent port 669 which vents to the environment.
  • the first main valve connection 611 is pneumatically connected to the second main valve connection 612, and preferably the main valve vent connection 669 is blocked.
  • the supply pressure pV is thus provided as an emergency release pressure pN at the main connection 396.
  • the first main valve connection 611 is pneumatically connected to the main valve vent connection 669, and preferably the second main valve connection 612 is blocked.
  • the supply connection 667 is consequently pneumatically separated from the main connection 396.
  • the main valve 610 can be controlled pneumatically via the pilot valve 650 in such a way that when an emergency release pilot pressure pSN is controlled at the main valve control connection 662 by the pilot valve 650 in its first valve position, the main valve 610 switches to the first main valve switching position.
  • the valve 600 further comprises a pneumatic self-holding path 672 which pneumatically connects the first main valve connection 611 to the main valve control connection 662.
  • the emergency release pressure pN controlled by the main valve 610 at the first main valve connection 611 can advantageously be provided as an emergency release pilot pressure pSN at the main valve control connection 662, advantageously independently of the supply pressure provided at the supply connection 398.
  • a pneumatic self-holding path 672 it is advantageous It is possible, with a one-time, particularly short-term, provision of the supply pressure pV at the main valve control connection 662, to then permanently control the emergency release pressure pN at the main connection 396, even if the supply pressure pV is no longer provided.
  • the valve 600 also comprises a further pilot valve 680 in the form of a 3/2-way valve, in particular a 3/2-way solenoid valve.
  • the further pilot valve 680 and the pilot valve 670 are arranged pneumatically in series in the emergency release pilot path 651.
  • the further pilot valve 680 is in the form of a 3/2-way solenoid valve and can be controlled via a first electronic emergency release signal.
  • the further pilot valve 680 also has a vent connection 674, which is pneumatically connected to the first pilot valve connection 665 in the first valve position.
  • the further pilot valve 680 has a first valve position in which the further pilot valve 680 is pneumatically opened, i.e. pneumatically connects the main valve control connection 662 to the pilot valve 670.
  • the further pilot valve 680 has a second valve position in which the further pilot valve 680 pneumatically separates the main valve control connection 662 from the pilot valve 670.
  • an emergency release pilot pressure pSN present at the main valve control connection 662 can advantageously be controllably vented in order to stop the emergency release pressure pN being controlled at the main connection 396.
  • the further pilot valve 680 is advantageously switched to the first valve position and the pilot valve 670 to the second valve position so that the main valve control connection 662 is vented via the vent connection 674.
  • Valves 600 supplied by a supply pressure pV advantageously enable a permanent control of an emergency release pressure pN, in particular even if the supply pressure pV is not or no longer present at the supply connection 667.
  • Fig. 7 shows a system 700 with a solenoid valve 710 for use in a vehicle 300, 400 with the vehicle control system 100, 200 according to the invention.
  • the solenoid valve 710 is connected in a signal-carrying manner to an interface unit 720, which can correspond, for example, to one of the interface units 120, 220, 320 or 420.
  • the solenoid valve 710 is also pneumatically connected to an actuator 730, which can correspond, for example, to a spring brake cylinder 382 or 482.
  • the solenoid valve 710 By controlling the solenoid valve 710, the spring brake cylinder 382 or 482 is ventilated, thereby releasing a parking brake.
  • Fig. 8 shows a schematic flow diagram of a first embodiment of the method 800 according to the invention for recovering an at least partially automated vehicle 300, 400.
  • a malfunction of at least a part of the first subunit of the vehicle control system 100, 200 is detected.
  • step 820 it is checked whether the first subunit is in an emergency operating state. If the first subunit is in an emergency operating state, step 820 is followed by step 830 as the next step. If the first subunit is not in an emergency operating state, the first subunit or the vehicle control system 100, 200 is placed in an emergency operating state in a step 821.
  • a next step 830 the vehicle 300, 400 is emergency-controlled based on the emergency operating state using the vehicle control system 100, 200 (MRM mode).
  • MRM mode the vehicle control system 100, 200
  • a release signal is received by the vehicle control system 100, 200 and in a final step 850 the first subunit and/or the second subunit of the vehicle control system 100, 200 is controlled based on the release signal, ie in a recovery mode or rescue mode.
  • the core of the invention is a specific recovery operation of a broken-down automated vehicle, which is requested from outside via a radio interface (V2X, 5G, etc.).
  • the radio interface must be secured accordingly against misuse and malfunctions (cyber security encryption and functional safety mechanism).
  • the safety concept provides that according to the invention at least the failed/faulty function or the safe recovery is manually monitored from outside and an emergency stop is carried out in the event of a fault.
  • the recovery operation is terminated immediately if the radio connection is interrupted or a dedicated emergency stop signal is received.
  • the emergency stop signal for the recovery operation can be an additional emergency stop signal and thus independent of the emergency stop signal of the primary automation. This means that vehicle recovery can be guaranteed even if the emergency stop of the primary automation is defective.
  • the control in the vehicle can preferably be carried out directly via a radio unit or via a recovery unit connected to it.
  • At least one actuator on the vehicle is put into a recovery operating state, thus enabling the vehicle to be rescued.
  • several actuators or actuator systems can also be switched to a corresponding recovery operating state.
  • a recovery operation in which the automated vehicle is brought into an operating state that enables the vehicle to be towed automatically by another recovery vehicle.
  • the parking brake must be released and, if necessary, the drive train and/or transmission train must be disconnected.
  • other recovery operating states in other actuator subsystems are conceivable.
  • the radio link and control of the recovery mode can be carried out via a separate power supply and thus also be fault-tolerant against failure of the power supply in the vehicle.
  • Examples of a corresponding emergency control of the parking brake are shown in Fig. 3 and 4.
  • the parking brake is released via an emergency control unit.
  • the emergency control unit can either control a dedicated pneumatic port of the parking brake (for example anti-compound port or emergency release port) or alternatively act directly on the spring accumulators via select-high valves.
  • the emergency control unit can preferably be supplied from the pneumatic supply circuit of the parking brake or an independent supply circuit.
  • a monostable or bistable implementation of the emergency control unit (as shown in Fig. 5 and 6).
  • a monostable design is preferably selected (at least in scenario 2), as this can ensure that emergency braking can be repeated in the event of a fault.
  • one or more valves can be used to control the emergency release pressure.
  • Another technical implementation for an emergency Releasing the parking brake is also shown in Fig. 7.
  • the spring of the spring accumulator is relaxed, for example by a spindle drive, and the parking brake is released for towing.
  • recovery operating states of the other actuator systems would be, for example, a recovery operation in the automatic control system, which enables a remote-controlled control of the actuators, possibly with dynamic restrictions (for example in the event of a defect in an individual actuator system, a triggered safety mechanism or an implausible system state).
  • a transmission can be switched to neutral, the drive train in the transmission can be disconnected, the output train can be disconnected and/or the power transmission can be disconnected at another point, for example in the differential, etc.
  • the steering unit may comprise a torque-free steering system, a steering system locked in a specific position and/or an electronic recovery operation of the steering.
  • the braking unit may include a triggered safety mechanism.
  • the radio unit or the recovery unit connected thereto preferably contains a monitoring unit which detects the remaining availability of the vehicle and transmits it externally via the radio interface, for example to a vehicle control center.
  • a monitoring unit which detects the remaining availability of the vehicle and transmits it externally via the radio interface, for example to a vehicle control center.
  • Combination brake cylinder Service brake chamber 488 Axle modulator , 489 Central control unit
  • Main valve first main valve connection second main valve connection further control unit emergency release pressure sensor emergency release pilot control arrangement emergency release pilot control path

Landscapes

  • Engineering & Computer Science (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Chemical & Material Sciences (AREA)
  • Combustion & Propulsion (AREA)
  • Automation & Control Theory (AREA)
  • Human Computer Interaction (AREA)
  • Regulating Braking Force (AREA)

Abstract

Die Erfindung betrifft ein Verfahren (800) und ein entsprechendes Fahrzeugsteuersystem (100, 200) zum Bergen eines zumindest teilweise automatisierten Fahrzeugs (300, 400) mit einem Fahrzeugsteuersystem (100), wobei das Fahrzeugsteuersystem wenigstens eine erste Untereinheit und eine zweite Untereinheit umfasst, mit den Schritten: a) Detektieren (810) einer Fehlfunktion zumindest eines Teils der ersten Untereinheit, b) Überprüfen (820), ob die erste Untereinheit in einem Notbetriebszustand ist und im Fall, dass die erste Untereinheit nicht in einem Notbetriebszustand ist, Versetzen der ersten Untereinheit oder des Fahrzeugsteuersystems in einen Notbetriebszustand, c) Notsteuern (830) des Fahrzeugs basierend auf dem Notbetriebszustand mit Hilfe des Fahrzeugsteuersystems, d) Empfangen (840) eines Freigabesignals (121) durch das Fahrzeugsteuersystem, und e) Ansteuern (850) der ersten Untereinheit oder der zweiten Untereinheit basierend auf dem Freigabesignal.

Description

Verfahren und Fahrzeugsteuersystem zum Bergen eines zumindest teilweise automatisierten Fahrzeugs
Die Erfindung betrifft ein Verfahren zum Bergen eines zumindest teilweise automatisierten Fahrzeugs und ein entsprechendes Fahrzeugsteuersystem.
Das automatisierte Fahrzeug kann ein teilautomatisiertes Fahrzeug oder ein vollautomatisiertes Fahrzeug sein. Vor allem für Fahrzeuge mit einem Automatisierungsgrad nach SAE (Society of Automotive Engineers) Level 2 bis 5, insbesondere 4 oder 5, ist das erfindungsgemäße Verfahren und das erfindungsgemäße Fahrzeugsteuersystem vorteilhaft. Je höher der Automatisierungsgrad eines automatisierten Fahrzeugs ist, desto größer ist ihr Anwendungsgebiet, insbesondere in für Menschen unzugänglichen Gebieten, wie zum Beispiel im Tagebau oder Untertagebau. Umso wichtiger wird hierbei eine Möglichkeit zur Bergung eines solchen Fahrzeugs, ohne dass Menschen während eines Bergevorgangs einer Gefahr ausgesetzt werden. Insbesondere wenn kein Fahrer vorgesehen ist, es sich also um ein vollautomatisiertes Fahrzeug handelt, ist es notwendig, dass das vollautomatisierte Fahrzeug effizient geborgen werden kann.
Aus DE 10 2017 118 537 A1 ist bekannt, eine Anzeige eines Störungszustands in einem Fahrzeug zu empfangen und die Anzeige des Störungszustands drahtlos zu einem entfernten Server zu übertragen. Ferner ist vorgesehen, eine überarbeitete Route zu einem Ziel, zumindest teilweise auf Grundlage des Störungszustands, zu empfangen, und das Fahrzeug entlang der überarbeiteten Route zu betreiben.
In DE 10 2017 211 797 A1 wird offenbart, dass ein autonomes Fahrzeug, insbesondere bei einem öffentlichen Notfall, mit mindestens einem weiteren autonomen Fahrzeug kommuniziert und das autonome Fahrzeug oder eine externe Servereinheit eine Route zu einem sicheren Ort berechnet, wobei das autonome Fahrzeug dann den sicheren Ort anfährt.
In DE 10 2018203 773 B3 ist ein Parksperrensystem eines automatischen Getriebes in einem Kraftfahrzeug offenbart, wobei das Parksperrensystem eine Parksperre zum Blockieren oder Freigeben eines Abtriebs des Getriebes umfasst sowie einen Federspeicher zum Einlegen der Parksperre, eine druckgesteuerte Löseeinrichtung zum Auslegen der Parksperre, eine Bedieneinrichtung zur Vorgabe, und ein Informationssystem zur Anzeige der Betriebszustände „Parken“ und „Neutral“ des Getriebes. Weiter umfasst das Parksperrensystem eine bei abgestelltem Verbrennungsmotor des Fahrzeugs auslösbare Notentriegelungseinrichtung der Parksperre, die bei Vorliegen eines definierten Ereignisses einen mit dem Verbrennungsmotor und mit einer Pumpe des Getriebes wirkverbindbaren Elektromotor zum druckgesteuerten Auslegen der Parksperre betätigt.
DE 10 2018 219 809 A1 betrifft ein Verfahren zum Ausweichen vor lokal bedingten drohenden Gefahren, bei dem eine Ausweichroute für ein Fahrzeug berechnet wird, um der drohenden Gefahr zu entgehen. Von dem Fahrzeug wird dabei eine Meldung über die drohende Gefahr empfangen. Das Fahrzeug führt daraufhin eine Gefahrenpotentialabschätzung bezüglich der gemeldeten drohenden Gefahr durch, und, wenn die Gefahrenpotentialabschätzung ein ernstes Gefahrenpotential aufweist, nimmt das Fahrzeug selbsttätig den Fährbetrieb auf, bei der es der Ausweichroute folgt, um der drohenden Gefahr zu entgehen.
US 2018/158255 A1 offenbart eine Informationsanzeige mit einem Anzeigebildschirm an einem Fahrzeug, wobei der Anzeigebildschirm dazu konfiguriert ist, visuelle Informationen basierend auf einem Fahrzeugmodus anzuzeigen, in dem das Fahrzeug betrieben wird. Der Anzeigebildschirm kann Anweisungen zum Verbinden mit einer Kommunikationsschnittstelle des Fahrzeugs anzeigen, wobei das Fahrzeug in einem Fahrzeugmodus basierend auf dem Auftreten eines oder mehrerer dem Fahrzeug zugeordneter Ereignisse arbeitet. In US 2020/247420 A1 wird ein System zum Steuern eines Fahrzeugs basierend auf Fahrereingriffen offenbart, wobei ein Verfahren zum Steuern eines Fahrzeugs umfassen kann: ein Bestimmen einer Fahrerzustandsschätzung eines Fahrers des Fahrzeugs unter Verwendung von Fahrerdaten von einem oder mehreren Fahrersensoren, ein Bestimmen einer oder mehrerer Umgebungsanomalien unter Verwendung von Umgebungsdaten von einem oder mehreren Umgebungssensoren, innerhalb einer Umgebung des Fahrzeugs, und ein Bestimmen einer Anomaliekategorie für mindestens eine der einen oder mehreren Umgebungsanomalien. Das Verfahren umfasst ferner basierend auf der Fahrerzustandsschätzung und einer oder mehreren Anomaliekategorien ein Auswählen eines Fehlermodus und basierend auf dem Fehlermodus ein Auswählen mindestens einer ausfallsicheren Aktion und Bestimmen eines Betriebs des Fahrzeugs gemäß dem Fehlermodus.
Aus EP 3 644295 A1 ist ein Bedienterminal zur Präsentation von Präsentationsinformationen bekannt. Dabei werden erste Informationen einschließlich Betriebsinformationen über einen ersten Kommunikationspfad ausgetauscht und zweite Informationen über einen zweiten Kommunikationspfad ausgetauscht, wobei die zweiten Informationen die Präsentationsinformationen bezüglich einer Parksteuerung umfassen. Wenn ein erster Bewertungswert des ersten Kommunikationspfads kleiner als ein erster Schwellenwert ist, wird zumindest ein Teil der ersten Informationen über einen oder mehrere andere Kommunikationspfade als den ersten Kommunikationspfad ausgetauscht. Wenn ein zweiter Bewertungswert des zweiten Kommunikationspfads kleiner als ein zweiter Schwellenwert ist, wird zumindest ein Teil der zweiten Informationen über einen oder mehrere andere Kommunikationspfade als den zweiten Kommunikationspfad ausgetauscht und eine Informationsmenge der ersten Informationen und/oder der zweiten Informationen wird reduziert. Ein Fahrzeug wird gemäß einer Steueranweisung zum Bewegen entlang einer Parkroute geparkt, wobei die Steueranweisung auf den Betriebsinformationen basiert, die in das externe Betriebsterminal eingegeben werden. Keine der genannten Offenbarungen sieht die Kernidee eines Betriebsmodus für ein zumindest teilweise automatisiertes Fahrzeug mit einem automatisierten System vor, bei dem in schwerwiegenden Fehlerfällen des automatisierten Systems nach Detektion des Fehlers und nach Ausführung einer ausfallsicheren Reaktion das Fahrzeug in einen Bergemodus gebracht wird, um dann das Fahrzeug, zum Beispiel aus einem nicht zugänglichen Bereich, sicher zu bergen.
Es besteht somit ein Bedarf daran, dass ein automatisiertes Fahrzeug im Fall eines Liegenbleibens in einem nicht zugänglichen Bereich sicher geborgen werden kann.
Ziel dieser Erfindung ist es, ein Konzept für einen Notbergebetrieb zu definieren, um zum Beispiel ein liegengebliebenes automatisiertes Fahrzeug in einem für menschliche Betreiber bzw. Abschleppdienste nur schwer oder nicht zugänglichen Bereich effizient bergen zu können. Ursachen für ein solches Liegenbleiben sind vor allem Aktuatorfehler oder andere interne Fehlerzustände, die eine normale oder auch degradierte Ausführung einer intern oder extern geplanten Route teilweise oder vollständig verhindern.
Der Fokus liegt hier vor allem auf Tagebau- und Untertagebau- Minenanwendungen, wo Fahrzeuge zum Beispiel in Bereichen eingesetzt werden, die für menschliche Arbeiter aufgrund von äußeren Gefährdungen nicht zugänglich sind. Ein liegengebliebenes Fahrzeug würde hier zu einem dauerhaften oder längerfristigen Verlust des Fahrzeugs führen oder eine aufwendige und kostenintensive Bergung aus der Luft erfordern. Zusätzlich könnte das Fahrzeug den automatisierten Betrieb von anderen Fahrzeugen behindern oder blockieren. Die Erfindung kann aber auch eine Bergung eines automatisierten Fahrzeugs bei Highway-Automatisierungen auf Autobahnen erleichtern.
Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren zum Bergen eines, insbesondere liegengebliebenen, zumindest teilweise automatisierten Fahr- zeugs, insbesondere aus einem für Menschen unzugänglichen Bereich, bereitzustellen.
Die Erfindung löst die Aufgabe mit einem Verfahren der eingangs genannten Art mit den Merkmalen des Anspruchs 1 , wobei das zu bergende Fahrzeug ein Fahrzeugsteuersystem mit wenigstens einer ersten Untereinheit und einer zweiten Untereinheit umfasst, wobei das Verfahren die folgenden Schritte umfasst: a) Detektieren einer Fehlfunktion zumindest eines Teils der ersten Untereinheit des Fahrzeugsteuersystems, b) Überprüfen, ob die erste Untereinheit in einem Notbetriebszustand ist und im Fall, dass die erste Untereinheit nicht in einem Notbetriebszustand ist, Versetzen der ersten Untereinheit oder des Fahrzeugsteuersystems in einen Notbetriebszustand, c) Notsteuern des Fahrzeugs basierend auf dem Notbetriebszustand mit Hilfe des Fahrzeugsteuersystems, d) Empfangen eines Freigabesignals durch das Fahrzeugsteuersystem, und e) Ansteuern der ersten Untereinheit und/oder der zweiten Untereinheit des Fahrzeugsteuersystems basierend auf dem Freigabesignal.
Das Fahrzeug kann ein teilautomatisiertes Fahrzeug sein oder ein vollautomatisiertes Fahrzeug sein. Bevorzugt ist das Fahrzeug ein vollautomatisiertes Fahrzeug.
Das Fahrzeugsteuersystem ist angepasst, das Fahrzeug zumindest teilweise, vorzugsweise voll, automatisiert zu steuern.
Das Fahrzeugsteuersystem des zumindest teilweise automatisierten Fahrzeugs umfasst Untereinheiten. Bevorzugt umfasst das Fahrzeugsteuersystem mehr als die erste Untereinheit und die zweite Untereinheit. Beispielsweise kann das Fahrzeugsteuersystem eine Bremssteuereinheit, eine Getriebesteuereinheit, eine Lenksteuereinheit, eine Motorsteuereinheit, eine Überwachungseinheit und/oder eine Schnittstelleneinheit umfassen. Bevorzugt umfasst das Fahrzeugsteuersystem zumindest eine Bremssteuereinheit mit einer Betriebsbremse und eine Feststellbremse. Die Betriebsbremse ist im Wesentlichen angepasst, ein Fahrzeug, das sich in Bewegung befindet, zu bremsen. Bevorzugt wirkt die Betriebsbremse auf alle Räder eines Fahrzeugs. Die Feststellbremse ist im Wesentlichen angepasst, ein Fahrzeug, das sich nicht bewegt, vor einer Bewegung zu bewahren. Bevorzugt blockiert eine Feststellbremse im festgestellten Zustand mit der Feststellbremse wirkverbundene Räder eines Fahrzeugs dauerhaft.
Die erste Untereinheit ist eine Untereinheit des Fahrzeugsteuersystems. Bevorzugt ist die erste Untereinheit eine Bremssteuereinheit, eine Getriebesteuereinheit, eine Lenksteuereinheit, eine Motorsteuereinheit, eine Überwachungsein- heit und/oder eine Schnittstelleneinheit. Auch die zweite Untereinheit ist eine Untereinheit des Fahrzeugsteuersystems. Bevorzugt ist die zweite Untereinheit eine Bremssteuereinheit, eine Getriebesteuereinheit, eine Lenksteuereinheit, eine Motorsteuereinheit, eine Überwachungseinheit und/oder eine Schnittstelleneinheit. Beispielsweise kann die erste Untereinheit der zweiten Untereinheit entsprechen.
In einem ersten Schritt des erfindungsgemäßen Verfahrens wird eine Fehlfunktion zumindest eines Teils einer Untereinheit des Fahrzeugsteuersystems, d.h. der ersten Untereinheit, detektiert. Bevorzugt kann die Fehlfunktion durch eine Überwachungseinheit des Fahrzeugsteuersystems detektiert werden.
Bevorzugt bezieht sich das erfindungsgemäße Verfahren auf ein Detektieren einer Fehlfunktion zumindest eines Teils einer Untereinheit des Fahrzeugsteuersystems, der für ein Fahren des Fahrzeugs, insbesondere ein sicheres und/oder automatisiertes Fahren des Fahrzeugs, notwendig ist.
Die Fehlfunktion kann eine Untereinheit des Fahrzeugsteuersystems des Fahrzeugs betreffen, wobei insbesondere die Fehlfunktion auch lediglich einen Teil einer der Untereinheiten des Fahrzeugsteuersystems umfassen kann, bevorzugt einen Teil einer Bremssteuereinheit, einer Getriebesteuereinheit, einer Lenksteuereinheit, einer Motorsteuereinheit, einer Überwachungseinheit und/oder einer Schnittstelleneinheit. Bevorzugt ist im Fall einer Fehlfunktion ein Steuern, d.h. Fahren, des Fahrzeugs in einem im Vergleich zu einem Normalzustand des Fahrzeugsteuersystems eingeschränkten Zustand möglich. Alternativ kann im Fall einer Fehlfunktion ein Steuern des Fahrzeugs in einem Normalzustand des Fahrzeugsteuersystems über einen begrenzten Zeitraum möglich sein, wobei der begrenzte Zeitraum durch die Fehlfunktion begrenzt ist. Weiter alternativ kann im Fall einer Fehlfunktion ein Steuern des Fahrzeugs durch die Fehlfunktion verhindert sein.
In einem zweiten Schritt wird nach dem erfindungsgemäßen Verfahren überprüft, ob die Untereinheit, bei der die Fehlfunktion detektiert wird, d.h. die erste Untereinheit, in einem Notbetriebszustand ist. Insbesondere im Fall, in dem eine Fehlfunktion ein erstes Mal detektiert wird, wird die erste Untereinheit oder das Fahrzeugsteuersystem in einen Notbetriebszustand versetzt. Ein Notbetriebszustand ist ein Zustand, in dem das Steuern des Fahrzeugs nur eingeschränkt möglich ist, wobei die Einschränkung auf der Fehlfunktion basiert. Der Notbetriebszustand kann auch als Minimal Risk Manoeuvre Mode oder „MRM- Mode“ bezeichnet werden. Eine Einschränkung kann dabei funktionell und/oder zeitlich erfolgen. Der Notbetriebszustand kann entweder nur den Teil der ersten Untereinheit, die erste Untereinheit oder das Fahrzeugsteuersystem betreffen. Wenn das gesamte Fahrzeugsteuersystem im Notbetriebszustand ist, ist damit auch die erste Untereinheit, insbesondere auch der Teil der ersten Untereinheit, im Notbetriebszustand.
In einem dritten Schritt des erfindungsgemäßen Verfahrens wird das Fahrzeug basierend auf dem Notbetriebszustand mit Hilfe des Fahrzeugsteuersystems notgesteuert. Durch die Notsteuerung wird bevorzugt ein „Minimal Risk Manoeuvre“ durchgeführt. Beispielsweise wird das Fahrzeug derart gesteuert, dass die Sicherheit des Fahrzeugs und/oder anderer Verkehrsteilnehmer nicht gefährdet ist. Andere Verkehrsteilnehmer schließt auch weitere autonom gefahrene Fahrzeuge mit ein. Bevorzugt wird das Fahrzeug lediglich so lange notgesteuert, bis ein sicheres Abstellen des Fahrzeugs möglich ist, d.h. bis das Fahrzeug sicher abgestellt werden kann. „Sicher“ bedeutet, dass nach einer Risiko- abwägung die maximale Sicherheit des Fahrzeugs und/oder weiterer Verkehrsteilnehmer angestrebt wird. „Sicher“ bedeutet also hier, dass das Fahrzeug an einem Ort abgestellt wird, der im Vergleich zu anderen Orten eine maximale Sicherheit für das Fahrzeug und/oder weitere Verkehrsteilnehmer bereitstellt. Ein sicheres Abstellen ist insbesondere dadurch definiert, dass weder das zu bergende Fahrzeug noch andere Fahrzeuge bzw. Verkehrsteilnehmer in irgendeiner Weise gefährdet sind.
In einem vierten Schritt des erfindungsgemäßen Verfahrens wird ein Freigabesignal durch das Fahrzeugsteuersystem empfangen, wobei das Freigabesignal von einer Sendeeinheit, beispielsweise einem Fahrzeugleitstand, der angepasst ist, die Funktion von automatisierten Fahrzeugen zu überwachen, oder einer Nahfeldfernbedienung oder auf andere Weise an das zu bergende Fahrzeug versendet wird. Bevorzugt wird das Freigabesignal von einer Schnittstelleneinheit des Fahrzeugsteuersystems empfangen. Durch das Freigabesignal wird das Fahrzeug in einem nächsten Schritt in einen Bergezustand versetzt, in dem bestimmte Funktionen freigegeben werden, um das Fahrzeug bergen zu können.
Das Freigabesignal wird beispielsweise von einer Sendeeinheit an das Fahrzeug versendet. Eine Kommunikationsverbindung zwischen Sendeeinheit und Fahrzeug ist dabei bevorzugt gegen Außenangriffe und Fehlfunktionen abgesichert.
Das Freigabesignal umfasst ein Signal zur Ansteuerung einer Untereinheit oder mehrerer Untereinheiten des Fahrzeugsteuersystems. Bevorzugt umfasst das Freigabesignal ein Signal zur Ansteuerung einer oder mehrerer Untereinheiten, die ein aktives oder passives Weiterfahren des Fahrzeugs verhindern. Beispielsweise umfasst das Freigabesignal ein Signal zur Ansteuerung einer Bremseinheit, besonders bevorzugt einer Feststellbremse, zum Lösen der Bremseinheit und/oder Feststellbremse. Zusätzlich oder alternativ kann das Freigabesignal auch ein Signal zur Ansteuerung eines Antriebsstrangs und/oder eines Getriebes umfassen, zum Trennen des Antriebsstrangs und/oder des Getriebes.
Die Schritte 1 bis 4 können als Vorbedingungen verstanden werden, die das Fahrzeug in einen sicheren Zustand (MRM-Mode) überführen.
In einem fünften Schritt des erfindungsgemäßen Verfahrens wird die erste Untereinheit und/oder die zweite Untereinheit basierend auf dem Freigabesignal angesteuert. Beispielsweise kann das Freigabesignal ein Freigabesignal eines Aktuators einer der Untereinheiten des Fahrzeugsteuersystems umfassen, beispielsweise einen Aktuator einer Feststellbremse, die nach Abstellen des Fahrzeugs festgestellt worden ist.
Das erfindungsgemäße Verfahren erlaubt einen spezifischen Bergebetrieb oder Bergemodus („Rescue-Mode“) eines liegengebliebenen automatisierten Fahrzeugs, wobei der Bergemodus von außen, das heißt, außerhalb des Fahrzeugs, angefordert wird. Somit wird ein Bergen des automatisierten Fahrzeugs, insbesondere in für Menschen unzugänglichen Bereichen, ermöglicht.
Bevorzugt wird das Bergen eines liegengebliebenen Fahrzeugs ausgeführt, wenn der MRM-Mode bereits ausgeführt ist, das Fahrzeug steht, insbesondere gesichert ist, und eine Automatisierungsschnittstelle geschlossen ist.
In einer bevorzugten Ausführungsform ist die Fehlfunktion, die im ersten Schritt des Verfahrens detektiert wird, eine Fehlfunktion, die ein sicheres Weiterfahren des Fahrzeugs verhindert. Dies hat den Vorteil, dass das obige Verfahren zur Bergung des Fahrzeugs lediglich durchgeführt wird, wenn ein sicheres Fahren des automatisierten Fahrzeugs nicht mehr gewährleistet werden kann.
Der fünfte Schritt des erfindungsgemäßen Verfahrens kann als ein Versetzen des Fahrzeugs in einen Bergezustand oder „Rescue-Mode“ basierend auf dem Freigabesignal verstanden werden. In einer weiteren bevorzugten Ausführungsform umfasst das Notsteuern in dem Notbetriebszustand, d.h. dem MRM Mode, des Fahrzeugs und/oder dem Res- cue-Mode einen Stopp des Fahrzeugs, besonders bevorzugt einen Notstopp des Fahrzeugs. Dementsprechend wird nach Detektion einer Fehlfunktion und nach Versetzen in einen Notbetriebszustand das Fahrzeug beispielsweise im Rahmen eines „Minimal Risk Manoeuvre“ zunächst gestoppt, wobei das Stoppen sowohl die Sicherheit des Fahrzeugs als auch die Sicherheit weiterer Verkehrsteilnehmer berücksichtigt, wobei dann das Fahrzeug nach Empfangen eines Freigabesignals durch Ansteuern der ersten Untereinheit oder der zweigen Untereinheit („Rescue-Mode“) geborgen werden kann. Dies führt zu einer erhöhten Sicherheit des Fahrzeugs und/oder weiterer Verkehrsteilnehmer während des Bergens des Fahrzeugs. Der Notstopp umfasst vorzugsweise das Einlegen oder eingelegt Lassen einer Feststellbremse und/oder ein Deaktivieren einer Automatisierungsschnittstelle, so dass ein autonomer Betrieb des Fahrzeugs unterbunden werden kann. D.h. der Notstopp kann ein Einlegen einer Feststellbremse und/oder ein Deaktivieren zumindest eines Teils des Fahrzeugsteuersystems umfassen, wobei der Teil des Fahrzeugsteuersystems dazu ausgestaltet ist, das Fahrzeug zumindest teilweise automatisiert zu steuern.
Zusätzlich oder alternativ kann das Ansteuern der ersten Untereinheit oder der zweiten Untereinheit des Fahrzeugsteuersystems basierend auf dem Freigabesignal einen Stopp, insbesondere einen Notstopp, umfassen, d.h. während des „Rescue-Modes“, wie oben bereits angegeben. Besonders bevorzugt ist ein Stopp oder Notstopp während des „Rescue-Modes“ unabhängig von einem Notbetriebszustand, insbesondere einem Notstopp während des Notbetriebszustandes („MRM-Mode“).
Beispielsweise kann das Ansteuern der ersten Untereinheit oder der zweiten Untereinheit ein Freigeben bzw. Lösen einer Feststellbremse umfassen. Dies ermöglicht (im „Rescue-Mode“) insbesondere ein Abschleppen von dem automatisierten Fahrzeug, zum Beispiel durch ein weiteres Fahrzeug, bevorzugt ein (voll-)automatisiertes Fahrzeug. Zusätzlich oder alternativ zum Abschleppen kann nach Ansteuern der ersten Untereinheit oder der zweiten Untereinheit das Fahrzeug durch das Fahrzeugsteuersystem (im „Rescue-Mode“) gesteuert werden, wobei das Fahrzeug dann bevorzugt basierend auf Steuersignalen, die in dem Freigabesignal umfasst sind, von außerhalb gesteuert wird. Das erfindungsgemäße Verfahren umfasst somit vorzugsweise nach Ansteuern der ersten Untereinheit und/oder der zweiten Untereinheit den Schritt eines Steuerns des Fahrzeugs basierend auf den Steuersignalen. In anderen Worten umfasst das Verfahren den Schritt eines Empfangens von Steuersignalen, wobei das Fahrzeug nach Ansteuern der ersten Untereinheit oder der zweiten Untereinheit basierend auf den Steuerdaten gesteuert, insbesondere ferngesteuert, wird. Eine Fernsteuerung kann abhängig von der Fehlfunktion und/oder abhängig von dem Freigabesignal von außerhalb des Fahrzeugs, d.h. von einer Sendeeinheit, die zum Beispiel einem Fahrzeugleitstand entspricht, vorgenommen werden.
In einer weiteren bevorzugten Ausführungsform weist das Verfahren den weiteren Schritt eines Überwachens der Fehlfunktion und/oder eines Überwachens des Abschleppens oder Steuern des Fahrzeugs auf. Weiter bevorzugt wird der Schritt des Überwachens von einer Sendeeinheit außerhalb des Fahrzeugs ausgeführt.
Weiter bevorzugt wird das Fahrzeug während der Steuerung nach Ansteuern der ersten Untereinheit oder der zweiten Untereinheit in einem gegenüber einem normalen Betriebsmodus des Fahrzeugs eingeschränkten Betriebsmodus, der auch als „Rescue-Mode“ bezeichnet werden kann, Teil eines solchen ist, oder diesen umfasst, gesteuert. Dabei ist der eingeschränkte Betriebsmodus bevorzugt ein dynamisch eingeschränkter Betriebsmodus, d.h. er ist einer jeweiligen Situation anpassbar. Ein dynamisch eingeschränkter Betriebsmodus ermöglicht ein weiteres Eingreifen in die Steuerung des Fahrzeugs, insbesondere von außerhalb des Fahrzeugs, während der Steuerung des Fahrzeugs.
Es ist denkbar, dass durch die Fehlfunktion zumindest ein Teil der ersten Untereinheit nicht funktionsfähig ist, so dass das Fahrzeug nicht voll funktionstüch- tig ist, wodurch eine Sicherheit des Fahrzeugs und/oder weiterer Verkehrsteilnehmer herabgesetzt ist. Durch Verwenden eines eingeschränkten Betriebsmodus des Fahrzeugs, in dem zum Beispiel risikoreichere Fahrmanöver nicht möglich sind, wird die Sicherheit des Fahrzeugs und/oder weiterer Verkehrsteilnehmer weiter erhöht.
Während das Fahrzeug, d.h. das Fahrzeugsteuersystem oder zumindest die erste Untereinheit, in einem Bergemodus („Rescue Mode“) ist, ist es bevorzugt, dass eine Kommunikationsverbindung, die bevorzugt drahtlos ist, zwischen dem Fahrzeug und einer Sendeeinheit, zum Beispiel einem Fahrzeugleitstand, von der das Freigabesignal versendet wird, überwacht wird, und der Bergemodus des Fahrzeugs, d.h. des Fahrzeugsteuersystems, beendet wird, im Fall, dass eine Verbindung zwischen dem Fahrzeug und der Sendeeinheit abbricht. Ein Beenden des Bergemodus in dem Fall, in dem das Fahrzeug basierend auf Steuersignalen, die von dem Freigabesignal umfasst sind, von der Sendeeinheit nach Ansteuern der ersten Untereinheit oder zweiten Untereinheit gesteuert wird, hat bevorzugt zur Folge, dass das Fahrzeug abgestellt wird, wobei hierbei ein sicheres Abstellen bevorzugt wird. Dadurch kann gewährleistet werden, dass im Fall, dass das Fahrzeug keine Steuerung mehr von außen erhält, das Fahrzeug abgestellt, bevorzugt sicher abgestellt, wird. Dadurch kann die Sicherheit des Fahrzeugs während des Bergens weiter erhöht werden.
In einer Ausführungsform, in der bereits das Abschleppen oder Steuern des Fahrzeugs, d.h. das Steuern nach Ansteuern der ersten Untereinheit und/oder zweiten Untereinheit vorzugsweise in einem „Rescue-Mode“, überwacht wird, kann, wenn während des Überwachens ein Fehler während des Abschleppens oder Steuerns detektiert wird, das Fahrzeug basierend auf dem Fehler in einen sicheren Zustand gebracht werden, vorzugsweise gestoppt, werden. Beispielsweise ist dann vorgesehen, dass das Fahrzeug ein Notaussignal, zum Beispiel von der Sendeeinheit, empfängt und basierend auf dem Notaussignal stoppt. Ein Notaussignal kann auch manuell über einen Schalter von einer Bedienperson an dem Fahrzeug oder entfernt über eine Fernbedienung bereitstellt werden. Ein Notaussignal kann auch im „Rescue-Mode“ des Fahrzeugs automa- tisch durch das Fahrzeug ausgesteuert werden, falls ein schwerwiegender Fehler auftritt.
Alternativ kann das Steuern des Fahrzeugs (im „Rescue-Mode“), zum Beispiel basierend auf Steuersignalen, von der Sendeeinheit durch ein dediziertes Notaussignal von der Sendeeinheit beendet werden.
In einer bevorzugten Ausführungsform umfasst das Ansteuern der ersten Untereinheit oder der zweiten Untereinheit (im „Rescue-Mode“) ein Ansteuern zumindest eines Aktuators der ersten Untereinheit oder der zweiten Untereinheit. Zum Beispiel kann durch Ansteuern eines einzelnen, einiger oder aller Aktuatoren der ersten Untereinheit und/oder eines einzelnen, einiger oder aller Aktuatoren der zweiten Untereinheit gezielt ein Bergen des Fahrzeugs, beispielsweise entweder durch darauffolgendes Abschleppen des Fahrzeugs oder ferngesteuertes Steuern des Fahrzeugs, ermöglicht werden.
Bei Ansteuerung der Aktuatoren ist besonders bevorzugt, eine Anzahl von angesteuerten Aktuatoren zu minimieren. Insbesondere bezieht sich „Minimieren“ auf ein mathematisches Minimieren, das heißt, dass eine Anzahl von Änderungen von einem Zustand des Aktuators in einen (anderen) Zustand des Aktuators, in dem das Fahrzeug geborgen werden kann, auf ein Minimum gesenkt ist. Da das Ansteuern der Aktuatoren auf dem Freigabesignal basiert und das Freigabesignal bevorzugt von außerhalb des Fahrzeugs gesendet wird, ermöglicht ein Minimieren der Anzahl von angesteuerten Aktuatoren ein Minimieren der Datenlast des Freigabesignals. Weiterhin wird auch durch ein Ansteuern von so wenig wie möglich Aktuatoren eine Fehleranfälligkeit des Bergevorgangs herabgesetzt.
In einer bevorzugten Ausführungsform wird das Freigabesignal über eine V2X- Kommunikation empfangen, wobei eine V2X-Kommunikation einen Datenaustausch zwischen dem zu bergenden Fahrzeug und irgendeiner Sendeeinheit in der Umgebung des zu bergenden Fahrzeugs ermöglicht. Beispielsweise kann es sich bei der Sendeeinheit auch um ein Fahrzeug handeln, so dass es sich bei der V2X-Kommunikation dann um eine V2V-Kommunikation handelt, wobei eine V2V-Kommunikation einen Datenaustausch zwischen dem zu bergenden Fahrzeug und einem oder mehreren weiteren Fahrzeugen in der Umgebung des Fahrzeugs ermöglicht. Bevorzugt handelt es sich bei der V2X- oder V2V- Kommunikation um eine Funkkommunikation, besonders bevorzugt 5G.
In einer weiteren bevorzugten Ausführungsform umfasst das erfindungsgemäße Verfahren nach Detektieren der Fehlfunktion zumindest eines Teils der ersten Untereinheit ein Bereitstellen und/oder Versenden von Fehlerdaten, wobei die Fehlerdaten indikativ für die Fehlfunktion sind. Dies ermöglicht eine Analyse der Fehlfunktion des automatisierten Fahrzeugs von außerhalb des automatisierten Fahrzeugs. Weiter ermöglicht ein Bereitstellen und/oder Versenden der Fehlerdaten ein Versetzen der ersten Untereinheit oder des Fahrzeugsteuersystems in einen Notbetriebszustand, zum Beispiel dem MRM-Mode, von außerhalb, zum Beispiel einem Fahrzeugleitstand.
In der obigen Variante basiert das Freigabesignal, das von der Sendeeinheit versendet wird, bevorzugt auf den Fehlerdaten, die vorher von der Sendeinheit empfangen werden. Das heißt, abhängig von der Fehlfunktion kann ein Freigabesignal zum Versenden an das Fahrzeugsteuersystem gewählt werden, je nachdem, welcher Fehler im Fahrzeugsteuersystem auftritt. Dieses von der Fehlfunktion abhängige Freigabesignal kann von dem zu bergenden Fahrzeug empfangen werden und dann entsprechend die erste Untereinheit und/oder die zweite Untereinheit des Fahrzeugsteuersystems (im „Rescue-Mode“) angesteuert werden. Dies ermöglicht insbesondere ein Systematisie- ren/Kategorisieren von Fehlem und daraufhin zu versendenden Freigabesignalen und/oder Steuersignalen. Dadurch kann basierend auf einen konkreten Fehler eine konkrete Aktion, d.h. ein konkretes Ansteuern eines oder mehrerer Aktuatoren (im „Rescue-Mode“), ausgeführt werden.
In einer besonders bevorzugten Ausführungsform ermöglicht das Ansteuern der ersten Untereinheit und/oder der zweiten Untereinheit (im „Rescue-Mode“) ein Abschleppen des Fahrzeugs. Nach Notsteuern des Fahrzeugs können somit diejenigen Einstellungen des Fahrzeugs, die ein Abschleppen verhindern, insbesondere ein Feststellen der Bremseinheit, zum Beispiel ein Feststellen der Feststellbremse, oder ein Feststellen der Getriebeeinheit, derart geändert werden, dass eine Bremse, zum Beispiel eine Feststellbremse, gelöst wird oder ein Getriebe in Leerlauf gestellt wird. Anders ausgedrückt kann das erfindungsgemäße Verfahren den Schritt aufweisen, das Fahrzeug durch Ansteuern der ersten Untereinheit oder der zweiten Untereinheit abzuschleppen.
Generell ist bevorzugt, dass das Ansteuern der ersten Untereinheit und/oder der zweiten Untereinheit (im „Rescue-Mode“) ein Ansteuern einer Feststellbremse umfasst, hierbei wird die Feststellbremse durch Ansteuern basierend auf dem Freigabesignal in einen gelösten Zustand versetzt.
Besonders bevorzugt umfasst das Ansteuern der Feststellbremse ein Ansteu- ern eines Anti-Compound-Ports, eines Notlöseports, eines Select-High-Ventils und/oder eines Spindelantriebs. Zusätzlich oder alternativ umfasst das Ansteu- ern ein Ansteuern von Magnetventilen. Dabei umfasst das Ansteuern der Feststellbremse bevorzugt ein Ansteuern eines monostabilen Ventils und eines bistabilen Ventils.
Zusätzlich oder alternativ zum Ansteuern einer Feststellbremse kann das Ansteuern der ersten Untereinheit und/oder der zweiten Untereinheit ein Ansteu- ern eines Antriebsstrangs und/oder eines Getriebes umfassen. In diesem Fall wird der Antriebsstrang und/oder das Getriebe durch Ansteuern basierend auf dem Freigabesignal in einen getrennten Zustand versetzt.
Nach einem weiteren Aspekt der Erfindung wird ein Fahrzeugsteuersystem mit einer Bremssteuereinheit, einer Getriebesteuereinheit, einer Lenksteuereinheit, einer Motorsteuereinheit, einer Überwachungseinheit und einer Schnittstelleneinheit beschrieben, wobei die Schnittstelleneinheit angepasst ist, das Verfahren nach einer der obigen Ausführungsformen auszuführen, und wobei die erste Untereinheit und die zweite Untereinheit jeweils einer der Bremssteuereinheit, der Getriebesteuereinheit, der Lenksteuereinheit, der Motorsteuereinheit, der Überwachungseinheit und der Schnittstelleneinheit entsprechen.
In einer bevorzugten Ausführungsform umfasst die Schnittstelleneinheit eine zu einer Energieversorgungseinheit des Fahrzeugsteuersystems zusätzliche Energieversorgungseinheit. Dies hat den Vorteil, dass im Fall, dass die Fehlfunktion die Energieversorgungseinheit des Fahrzeugsteuersystems betrifft, der Bergevorgang des Fahrzeugs (im „Rescue-Mode“) weiterhin gewährleistet werden kann.
In einer weiteren bevorzugten Ausführungsform umfasst die Schnittstelleneinheit eine Bergebetriebseinheit, wobei die Bergebetriebseinheit angepasst ist, die erste Untereinheit und/oder die zweite Untereinheit des Fahrzeugsteuersystems basierend auf dem Freigabesignal anzusteuern. Auch die Bergebetriebseinheit umfasst bevorzugt eine zu einer Energieversorgungseinheit des Fahrzeugsteuersystems zusätzliche Energieversorgungseinheit. Im Fall, dass sowohl für die Schnittstelleneinheit als auch die Bergebetriebseinheit eine zu einer Energieversorgungseinheit des Fahrzeugsteuersystems zusätzliche Energieversorgungseinheit vorgesehen ist, können die Energieversorgungseinheit der Schnittstelleneinheit und die Energieversorgungseinheit der Bergebetriebseinheit identisch sein.
In einer bevorzugten Ausführungsform umfasst die zweite Untereinheit eine zusätzliche Aktuator-Noteinheit oder einen zusätzlichen Aktuator, die oder der zusätzlich zu Aktuatoren des Fahrzeugs vorgesehen ist, die für einen Normalbetrieb des Fahrzeugs vorgesehen sind, und elektrisch unabhängig von den Aktuatoren des Fahrzeugs, die für den Normalbetrieb des Fahrzeugs vorgesehen sind, ist. Die zusätzliche Aktuator-Noteinheit oder der zusätzliche Aktuator wird bevorzugt nicht für den Normalbetrieb des Fahrzeugs verwendet.
Besonders bevorzugt umfasst die zweite Untereinheit eine Feststellbremse, wobei die Feststellbremse durch Ansteuern basierend auf dem Freigabesignal in einen gelösten Zustand versetzt wird. Hierbei ist besonders bevorzugt, dass die Feststellbremse eine zu einer Bremsdruckversorgungseinheit einer Bremssteuereinheit zusätzliche Bremsdruckversorgungseinheit umfasst. Hierdurch kann auch bei einer Fehlfunktion der Bremsdruckversorgungseinheit der Bremssteuereinheit das Lösen der Feststellbremse zum Bergen des automatisierten Fahrzeugs gewährleistet werden.
Besonders bevorzugt umfasst die Feststellbremse Notlöseeinheiten, wobei die Notlöseeinheiten zusätzlich zu einer Löseeinheit der Feststellbremse vorgesehen sind. Bevorzugt werden die Notlöseeinheiten nicht für ein Lösen der Feststellbremse im Normalbetrieb des Fahrzeugs verwendet. Beispielsweise können die Notlöseeinheiten Magnetventile umfassen, wobei ein Lösen der Feststellbremse, zum Beispiel im MRM-Mode oder im Rescue-Mode, einem Lösen der Magnetventile entspricht.
Besonders bevorzugt umfasst die Feststellbremse Magnetventile, wobei ein Lösen der Feststellbremse einem Lösen der Magnetventile entspricht. Dabei kann ein Magnetventil ein monostabiles Ventil oder ein bistabiles Ventil umfassen. Dies ermöglicht ein besonders einfaches Ansteuern der Feststellbremse zum Lösen der Feststellbremse.
Ausführungsformen der Erfindung werden nun nachfolgend anhand der Zeichnungen beschrieben. Diese sollen die Ausführungsformen nicht notwendigerweise maßstäblich darstellen, vielmehr sind die Zeichnungen, wenn dies zur Erläuterung dienlich ist, in schematisierter und/oder leicht verzerrter Form ausgeführt. Im Hinblick auf Ergänzungen der aus den Zeichnungen unmittelbar erkennbaren Lehren wird auf den einschlägigen Stand der Technik verwiesen. Dabei ist zu berücksichtigen, dass vielfältige Modifikationen und Änderungen betreffend die Form und das Detail einer Ausführungsform vorgenommen werden können, ohne von der allgemeinen Idee der Erfindung abzuweichen. Die in der Beschreibung, in den Zeichnungen sowie in den Ansprüchen offenbarten Merkmale der Erfindung können sowohl einzeln als auch in beliebiger Kombination für die Weiterbildung der Erfindung wesentlich sein. Zudem fallen in den Rahmen der Erfindung alle Kombinationen aus zumindest zwei der in der Beschreibung, den Zeichnungen und/oder den Ansprüchen offenbarten Merkmale. Die allgemeine Idee der Erfindung ist nicht beschränkt auf die exakte Form oder das Detail der im Folgenden gezeigten und beschriebenen bevorzugten Ausführungsformen oder beschränkt auf einen Gegenstand, der eingeschränkt wäre im Vergleich zu dem in den Ansprüchen beanspruchten Gegenstand. Bei angegebenen Bemessungsbereichen sollen auch innerhalb der genannten Grenzen liegende Werte als Grenzwerte offenbart und beliebig einsetzbar und beanspruchbar sein. Der Einfachheit halber sind nachfolgend für identische oder ähnliche Teile oder Teile mit identischer oder ähnlicher Funktion gleiche Bezugszeichen verwendet.
Weitere Vorteile, Merkmale und Einzelheiten der Erfindung ergeben sich aus der nachfolgenden Beschreibung der bevorzugten Ausführungsformen sowie anhand der Zeichnungen; diese zeigen in:
Fig. 1 eine schematische Darstellung zur Illustration eines ersten Ausführungsbeispiels des erfindungsgemäßen Fahrzeugsteuersystems,
Fig. 2 eine schematische Darstellung zur Illustration eines zweiten Ausführungsbeispiels des erfindungsgemäßen Fahrzeugsteuersystems,
Fig. 3 eine schematische Darstellung zur Illustration eines Bremssystems mit einer Bergebetriebseinheit entsprechend der vorliegenden Erfindung,
Fig. 4 eine schematische Darstellung zur Illustration eines zweiten Bremssystems mit einer Bergebetriebseinheit nach der vorliegenden Erfindung,
Fig. 5 ein monostabiles Ventil zur Anwendung in einem Fahrzeug mit dem erfindungsgemäßen Fahrzeugsteuersystem, Fig. 6 ein bistabiles Ventil zur Anwendung in einem Fahrzeug mit dem erfindungsgemäßen Fahrzeugsteuersystem,
Fig. 7 ein Magnetventil zur Anwendung in einem Fahrzeug mit dem erfindungsgemäßen Fahrzeugsteuersystem, und in
Fig. 8 ein schematisches Ablaufdiagramm eines ersten Ausführungsbeispiels des erfindungsgemäßen Verfahrens zum Bergen eines zumindest teilweise automatisierten Fahrzeugs.
In den beiliegenden Zeichnungen sowie den Erläuterungen zu diesen Zeichnungen sind einander entsprechende bzw. in Beziehung stehende Elemente - soweit zweckdienlich - mit jeweils entsprechenden oder ähnlichen Bezugszeichen gekennzeichnet, auch wenn sie in unterschiedlichen Ausführungsbeispielen zu finden sind.
Fig. 1 zeigt eine schematische Darstellung zur Illustration eines ersten Ausführungsbeispiels des erfindungsgemäßen Fahrzeugsteuersystems 100. Das Fahrzeugsteuersystem 100 kann in einem Fahrzeug 300, 400 eingebaut sein. Das Fahrzeugsteuersystem 100 weist eine Bremssteuereinheit 110, eine Getriebesteuereinheit 130, eine Lenksteuereinheit 140, eine Motorsteuereinheit 150, eine Überwachungseinheit 160 und eine Schnittstelleneinheit 120 auf. Die Bremssteuereinheit 110 ist angepasst, ein Bremsen des Fahrzeugs 300, 400 zumindest teilweise, vorzugsweise vollständig, automatisiert zu steuern. Die Getriebesteuereinheit 130 ist angepasst, ein Getriebe des Fahrzeugs 300, 400 zumindest teilweise, bevorzugt vollständig, automatisiert zu steuern. Die Lenksteuereinheit 140 ist angepasst, eine Lenkung des Fahrzeugs 300, 400 zumindest teilweise, vorzugsweise vollständig, automatisiert zu steuern. Die Motorsteuereinheit 150 ist angepasst, einen Motor des Fahrzeugs 300, 400 zumindest teilweise, bevorzugt vollständig, automatisiert zu steuern. Die Überwachungseinheit 160 ist angepasst, einen Zustand zumindest eines Teils einer Untereinheit, einer Untereinheit oder des Fahrzeugsteuersystems 100 zu über- wachen. Die Schnittstelleneinheit 120 ist angepasst, Signale 122 zu senden und Signale, insbesondere ein Freigabesignal 121 oder ein Steuersignal 123, zu empfangen.
In dem Beispiel, das in Fig. 1 gezeigt ist, ist die Bremssteuereinheit 110 die erste Untereinheit 111 und die Getriebesteuereinheit 130 die zweite Untereinheit 112. Alternativ kann auch jede andere der Untereinheiten des Fahrzeugsteuersystems 100 der ersten Untereinheit 111 entsprechen und jede andere der Untereinheiten des Fahrzeugsteuersystems 100 der zweiten Untereinheit 112 entsprechen.
Die Schnittstelleneinheit 120 ist angepasst, das erfindungsgemäße Verfahren zum Bergen eines zumindest teilweise automatisierten Fahrzeugs 300, 400 mit dem Fahrzeugsteuersystem 100 auszuführen, das heißt, das Fahrzeugsteuersystem 100 ist angepasst, eine Fehlfunktion zumindest eines Teils einer ersten Untereinheit 111 des Fahrzeugsteuersystems 100 zu detektieren, zu überprüfen, ob die erste Untereinheit 111 in einem Notbetriebszustand ist und Fall, dass die erste Untereinheit 111 nicht in einem Notbetriebszustand ist, die erste Untereinheit 111 oder das Fahrzeugsteuersystem 100 in einen Notbetriebszustand zu versetzen, das Fahrzeug 300, 400 basierend auf dem Notbetriebszustand mit Hilfe des Fahrzeugsteuersystems 100 notzusteuern („MRM-Mode“), ein Freigabesignal 121 durch das Fahrzeugsteuersystem 100 zu empfangen, und die erste Untereinheit 111 oder die zweite Untereinheit 112 des Fahrzeugsteuersystems 100 basierend auf dem Freigabesignal 121 anzusteuern („Res- cue-Mode“).
In diesem Ausführungsbeispiel ist die Überwachungseinheit 160 des Fahrzeugsteuersystems 100 angepasst, eine Fehlfunktion zumindest eines Teils einer ersten Untereinheit 111 zu detektieren. Weiter ist die Überwachungseinheit 160 angepasst, zu überprüfen, ob die erste Untereinheit 111 in einem Notbetriebszustand ist und im Fall, dass die erste Untereinheit 111 nicht in einem Notbetriebszustand ist, die erste Untereinheit 111 oder das Fahrzeugsteuersystem 100 in einen Notbetriebszustand zu versetzen, zum Beispiel dem MRM-Mode. Zudem sind die Bremssteuereinheit 110, die Getriebesteuereinheit 130, die Lenksteuereinheit 140 und die Motorsteuereinheit 150 dazu angepasst sind, das Fahrzeug 300, 400 basierend auf dem Notbetriebszustand notzusteuern („MRM-Mode“). Weiter ist die Schnittstelleneinheit 120 des Fahrzeugsteuersystems 100 angepasst, ein Freigabesignal 121 zu empfangen. Das Freigabesignal 121 kann hierbei von einer Sendeeinheit 170, beispielsweise einem Fahrzeugleitstand, außerhalb des Fahrzeugs 300, 400 versendet werden. Das Fahrzeugsteuersystem 100 ist angepasst, eine der Untereinheiten, zum Beispiel die Untereinheiten 111 , 112, des Fahrzeugsteuersystems 100 basierend auf dem Freigabesignal 121 anzusteuern („Rescue-Mode“).
In dem Fahrzeugsteuersystem 100 ist die erste Untereinheit 111 die Bremssteuereinheit 110 und die zweite Untereinheit 112 die Getriebesteuereinheit 130. Es ist jedoch auch denkbar, dass die erste Untereinheit 111 zusätzlich oder alternativ zu der Bremssteuereinheit 110 die Getriebesteuereinheit 130, die Lenksteuereinheit 140, die Motorsteuereinheit 150 und/oder die Überwa- chungseinheit 160 umfasst. Ferner ist in dem Fahrzeugsteuersystem 100 die zweite Untereinheit 112 die Getriebesteuereinheit 130, wobei die zweite Untereinheit 112 zusätzlich oder alternativ zu der Getriebesteuereinheit 130 auch die Bremssteuereinheit 110, die Lenksteuereinheit 140, die Motorsteuereinheit 150 und/oder die Überwachungseinheit 160 umfassen kann. In einem weiteren erfindungsgemäßen Beispiel kann die erste Untereinheit 111 der zweiten Untereinheit 112 entsprechen.
Es ist bevorzugt, dass die Fehlfunktion zumindest eines Teils der ersten Untereinheit 111 dazu führt, dass ein sicheres Weiterfahren des Fahrzeugs 300, 400 verhindert wird. Weiter ist bevorzugt, dass das Fahrzeugsteuersystem 100, insbesondere die Bremssteuereinheit 110, die Getriebesteuereinheit 130, die Lenksteuereinheit 140, und/oder die Motorsteuereinheit 150, angepasst ist, das Fahrzeug 300, 400 basierend auf dem Notbetriebszustand zu stoppen. Zusätzlich oder alternativ ist bevorzugt, dass das Fahrzeug 300, 400 durch das Fahrzeugsteuersystem 100 nach Ansteuern der ersten Untereinheit 111 oder der zweiten Untereinheit 112 in einem gegenüber einem normalen Betriebsmodus des Fahrzeug 300, 400 eingeschränkten Betriebsmodus, insbesondere dynamisch eingeschränkten Betriebsmodus, gesteuert wird.
In einem Beispiel kann die Schnittstelleneinheit 120 angepasst sein, eine Verbindung zwischen dem Fahrzeug 300, 400 und der Sendeeinheit 170, von der das Freigabesignal 121 versendet wird, zu überwachen, wobei es sich bei der Verbindung um eine drahtlose Kommunikationsverbindung handelt. Beispielsweise kann das Fahrzeugsteuersystem 100 angepasst sein, ein Steuern des Fahrzeugs 300, 400 zu beenden, wenn eine Verbindung zwischen dem Fahrzeug 300, 400 und der Sendeeinheit 170 abbricht.
Die Schnittstelleneinheit 120 kann angepasst sein, das Freigabesignal 121 über eine V2X-Kommunikation, insbesondere eine Funkkommunikation, zu empfangen.
Weiter kann die Schnittstelleneinheit 120 angepasst sein, nach Detektieren der Fehlfunktion zumindest eines Teils der ersten Untereinheit 111 durch die Über- wachungseinheit 160 Fehlerdaten 122, die indikativ für die Fehlfunktion sind, bereitzustellen und/oder zu versenden, insbesondere an die Sendeeinheit 170 zu versenden. Bevorzugt basiert das Freigabesignal 121 auf den Fehlerdaten 122, d.h. das Freigabesignal 121 wird basierend auf den Fehlerdaten 122 erzeugt und an die Schnittstelleneinheit 120 versendet.
Bevorzugt ist das Fahrzeugsteuersystem 100 angepasst, nach Ansteuern der ersten Untereinheit 111 oder der zweiten Untereinheit 112 ein Abschleppen des Fahrzeugs 300, 400 zu ermöglichen. Besonders bevorzugt umfasst das Bremssteuersystem 110 eine Feststellbremse 380, 480, wie sie zum Beispiel in den Figuren 3 und 4 im Zusammenhang mit den Bremssystemen 310 und 410 gezeigt ist, wobei bei Ansteuern der ersten Untereinheit 111 oder der zweiten Untereinheit 112 die Feststellbremse 380, 480 angesteuert wird, wobei die Feststellbremse 380, 480 durch Ansteuern basierend auf dem Freigabesignal 121 in einen gelösten Zustand versetzt wird. In einem Beispiel, in dem das Fahrzeugsteuersystem 100 angepasst ist, die Feststellbremse 380, 480 anzusteuern und in einen gelösten Zustand zu versetzen, nachdem eine Fehlfunktion detektiert worden ist, wird bevorzugt ein Anti-Compound-Port, ein Notlöseport, ein Select-High-Ventil und/oder ein Spindelantrieb angesteuert. Zusätzlich oder alternativ kann bei Ansteuern der Feststellbremse 380, 480 ein monostabiles Ventil oder ein bistabiles Ventil angesteuert werden, wie es zum Beispiel in den Figuren 5 und 6 gezeigt ist.
Zusätzlich oder alternativ zum Ansteuern der Feststellbremse 380, 480 kann das Fahrzeugsteuersystem 100 angepasst sein, einen Antriebsstrang und/oder ein Getriebe anzusteuern, das jeweils in der Getriebesteuereinheit 130 und der Motorsteuereinheit 150 vorgesehen ist. Bei Ansteuerung wird jeweils der Antriebsstrang und/oder das Getriebe basierend auf dem Freigabesignal 121 in einen getrennten Zustand versetzt.
Fig. 2 zeigt eine schematische Darstellung zur Illustration eines zweiten Ausführungsbeispiels des erfindungsgemäßen Fahrzeugsteuersystems 200. Das Fahrzeugsteuersystem 200 kann zum Beispiel in das Fahrzeug 300 oder 400 eingebaut sein. Insbesondere zeigt Fig. 2 eine Schnittstelleneinheit 220. Die Schnittstelleneinheit 220 ist angepasst, Freigabesignale 221 , und Steuerungssignale 223 zu empfangen. Zusätzlich ist die Schnittstelleneinheit 220 angepasst, Notrettungsanfragen 222 zu versenden, d.h. nach Detektieren der Fehlfunktion wird eine Notrettungsanfrage 222 an eine Sendeeinheit 270 versendet, woraufhin die Sendeeinheit 270 Freigabesignale 221 und/oder Steuersignale 223 versendet und die Schnittstelleneinheit 220 die Freigabesignale 221 und/oder die Steuersignale 223 empfängt.
Die Schnittstelleneinheit 220, die in Figur 2 gezeigt ist, ist über Notfallpfade mit weiteren Untereinheiten, die bevorzugt Aktuatoren aufweisen, verbunden. In diesem Beispiel ist die Schnittstelleneinheit 220 mit einer Überwachungseinheit 230, einer Notfalleinheit zur automatischen Steuerung 240, einer Notfallnotlösefeststellbremse 250, einer Notfallantriebs- und motorsteuereinheit 260, einer Notfalllenkungseinheit 270 und einem Notfallbremseinheit 280 verbunden. Zu- sätzlich sind in dieser Ausführungsform auch die Überwachungseinheit 230, die Notfalleinheit zur automatischen Steuerung 240, die Notfallnotlösefeststellbremse 250, die Notfallantriebs- und motorsteuereinheit 260, die Notfalllenkungseinheit 270 und die Notfallbremseinheit 280 untereinander verbunden. Das Fahrzeugsteuersystem 200 ist angepasst, eine Fehlfunktion zumindest eines Teils einer der Überwachungseinheit 230, der Notfalleinheit zur automatischen Steuerung 240, der Notfallnotlösefeststellbremse 250, der Notfallantriebs- und motorsteuereinheit 260, der Notfalllenkungseinheit 270 und/oder der Notfallbremseinheit 280 des Fahrzeugsteuersystems 200 zu detektieren, und zu überprüfen, ob die Einheit mit der Fehlfunktion in einem Notbetriebszustand ist. Für den Fall, dass die Einheit mit der Fehlfunktion nicht in einem Notbetriebszustand ist, ist die Einheit mit der Fehlfunktion oder das gesamte Fahrzeugsteuersystem 200 angepasst, in einen Notbetriebszustand versetzt zu werden. Insbesondere ist das Fahrzeugsteuersystem 200 angepasst, das Fahrzeug 300, 400 basierend auf dem Notbetriebszustand notzusteuern. Des Weiteren ist das Fahrzeugsteuersystem 200 angepasst, ein Freigabesignal 221 durch die Schnittstelleneinheit 220 zu empfangen, und eine oder mehrere der Überwachungseinheit 230, der Notfalleinheit zur automatischen Steuerung 240, der Notfallnotlösefeststellbremse 250, der Notfallantriebs- und motorsteuereinheit 260, der Notfalllenkungseinheit 270 und der Notfallbremseinheit 280, insbesondere einen oder mehrere einer jeweiligen Untereinheit zugeordnete Aktuatoren basierend auf dem Freigabesignal 221 anzusteuern. Bevorzugt wird die Notfallnotlösefeststellbremse 250, besonders bevorzugt mindestens einer der Aktuatoren der Notfallnotlösefeststellbremse 250, angesteuert.
Es folgen weitere Überlegungen zu Ausführungsbeispielen des erfindungsgemäßen Fahrzeugsteuersystems.
Beispielsweise umfasst ein erfindungsgemäßes Fahrzeugsteuersystem zum Steuern und Bergen eines zumindest teilweise automatisierten Fahrzeugs eine erste Untereinheit und eine zweite Untereinheit, wobei das Fahrzeugsteuersystem angepasst ist, mit zumindest der ersten Untereinheit das Fahrzeug zumindest teilweise automatisiert zu steuern, und weiter angepasst ist, bei einer Fehl- funktion zumindest eines Teils einer der Untereinheiten das Fahrzeugsteuersystem oder wenigstens eine der ersten und zweiten Untereinheiten in einen Notbetriebszustand zu versetzen und das Fahrzeug basierend auf dem Notbetriebszustand notzusteuern („MRM-Mode“). Ferner umfasst das Fahrzeugsteuersystem eine Schnittstelleneinheit, die angepasst ist, ein Freigabesignal zu empfangen, und basierend auf dem Freigabesignal zumindest die zweite Untereinheit der Fahrzeugsteuereinheit anzusteuern („Rescue-Mode“). Bevorzugt ist die Schnittstelleneinheit ferner angepasst ist, das automatisierte Fahrzeug basierend auf dem Freigabesignal zu steuern. Besonders bevorzugt ist die Schnittstelleneinheit ferner angepasst, das automatisierte Fahrzeug basierend auf dem Freigabesignal in einem gegenüber einem normalen Betriebsmodus des Fahrzeugs eingeschränkten Betriebsmodus, insbesondere dynamisch eingeschränkten Betriebsmodus, zu steuern.
Beispielsweise umfasst die zweite Untereinheit einen Fahrzeugaktuator, wobei die Schnittstelleneinheit angepasst ist, zumindest den Fahrzeugaktuator der zweiten Untereinheit anzusteuern. In einem Fall, dass die zweite Untereinheit mehrere Fahrzeugaktuatoren umfasst, ist die Schnittstelleneinheit vorzugsweise angepasst, eine Anzahl an Fahrzeugaktuatoren, die angesteuert wird, zu minimieren.
Bevorzugt stellt die Schnittstelleneinheit eine V2X Kommunikation, insbesondere eine Funkkommunikation, bereit und das Freigabesignal wird über die V2X, insbesondere die Funkkommunikation, kommuniziert.
In einer bevorzugten Ausführungsform umfasst die Schnittstelleneinheit eine Bergebetriebseinheit, wobei die Bergebetriebseinheit angepasst ist, das Freigabesignal zu empfangen, und basierend auf dem Freigabesignal zumindest die zweite Untereinheit anzusteuern. Beispielsweise umfasst die Bergebetriebseinheit eine zu einer Energieversorgungseinheit des Fahrzeugsteuersystems zusätzliche Energieversorgungseinheit. In einer weiteren bevorzugten Ausführungsform umfasst das Fahrzeugsteuersystem eine Zustandsüberwachungseinheit, die angepasst ist, einen Zustand zumindest der ersten Untereinheit zu überwachen, eine Fehlfunktion zumindest eines Teils der ersten Untereinheit zu detektieren, und Fehlerdaten bereitzustellen, wobei die Fehlerdaten indikativ für die Fehlfunktion sind. Weiter kann die Schnittstelleneinheit angepasst sein, die Fehlerdaten an eine externe Sendeeinheit zu versenden. Beispielweise basiert das Freigabesignal auf den Fehlerdaten.
Weiter kann die Schnittstelleneinheit eine Verbindungsüberwachungseinheit umfassen, wobei die Verbindungsüberwachungseinheit angepasst ist, eine Verbindung zwischen der Schnittstelleneinheit und einer Sendeeinheit des Freigabesignals zu überwachen, wobei die Schnittstelleneinheit ferner angepasst ist, im Fall, dass eine Verbindung zwischen der Schnittstelleneinheit und der Sendeeinheit abbricht, eine Ansteuerung der zweiten Untereinheit zu beenden.
Bevorzugt ermöglicht die Ansteuerung basierend auf dem Freigabesignal ein Abschleppen des Fahrzeugs.
In einer bevorzugten Ausführungsform umfasst die zweite Untereinheit eine Feststellbremse, wobei die Feststellbremse durch Ansteuerung basierend auf dem Freigabesignal in einen gelösten Zustand versetzt ist. Beispielsweise wird die Feststellbremse durch eine Notlöseeinheit gelöst, wobei die Notlöseeinheit einen Notlöseport, ein Select-High-Ventil und/oder einen Spindelantrieb umfasst. Besonders bevorzugt umfasst die Feststellbremse eine zu einer Bremsdruckversorgungseinheit eines Bremssystems zusätzliche Bremsdruckversorgungseinheit. Zusätzlich oder alternativ umfasst die Notlöseeinheit ein monostabiles Ventil oder ein bistabiles Ventil.
In einer weiteren bevorzugten Ausführungsform umfasst die zweite Untereinheit zusätzlich oder alternativ zu einer Feststellbremse einen Antriebsstrang und/oder ein Getriebe, wobei der Antriebsstrang und/oder das Getriebe durch Ansteuerung basierend auf dem Freigabesignal in einen getrennten Zustand versetzt wird.
Die Erfindung bezieht sich auch auf ein elektropneumatisches Bremssystem für ein teilweise automatisiertes Fahrzeug mit einer Feststellbremseinheit, die eine Notlöseeinheit umfasst, wobei die Feststellbremseinheit angepasst ist, abhängig von einer Fehlfunktion zumindest eines Teils einer Fahrzeugsteuereinheit eines Fahrzeugs, in einen Notbetriebszustand versetzt zu werden, wobei das Bremssystem eine Schnittstelleneinheit umfasst, die angepasst ist, ein Freigabesignal zu empfangen, und basierend auf dem Freigabesignal die Notlöseeinheit anzusteuern („Rescue-Mode“).
Fig. 3 zeigt eine schematische Darstellung zur Illustration eines Bremssystems 310 mit einer Schnittstelleneinheit 320, die als eine Bergebetriebseinheit verstanden werden kann, entsprechend der vorliegenden Erfindung, wobei das Bremssystem 310 in ein Fahrzeug 300 mit einer zentralen Steuereinheit 389 eingebaut ist. Bei dem Bremssystem 310 handelt es sich um ein elektropneumatisches Bremssystem. Die in Fig. 3 und Fig. 4 gezeigten Blöcke, die nicht gesondert mit einer Bezugsziffer markiert sind, betreffen Standardkomponenten des Bremssystems 310 wie Überlast-Schutzventil, Park-Löse-Sicherheitsventil, Achsmodulator, Raddrehzahlsensor, Bremsaktuator, etc.
Das Bremssystem 310 weist ein Betriebsbremssystem 311 und ein Feststellbremssystem 312 auf. Das Feststellbremssystem 312 weist eine Feststellbremse 380 in Form einer Ventileinheit mit mindestens einem Federspeicheranschluss zum Bereitstellen eines Feststellbremsdrucks an Aktuatoren 382 auf, die Federspeicherbremszylindern entsprechen. Vorliegend weist das Fahrzeug 300 vier Federspeicherbremszylinder auf, die jeweils einem Hinterrad 394 zugeordnet sind. Weiter weist das Betriebsbremssystem 311 zwei Betriebsbremszylinder 383 auf, die jeweils einem Vorderrad 384 zugeordnet sind.
Die Federspeicherbremszylinder sind vorliegend als Kombinationsbremszylinder 385 ausgebildet, das heißt sie weisen jeweils eine Betriebsbremskammer 386 auf, welche durch einen Feststelldruck aus der Betriebsversorgungseinheit 399 aktuierbar ist.
Die zentrale Steuereinheit 389, die als Betriebsbremssteuereinheit zum Steuern des Betriebsbremssystems 311 ausgebildet ist, ist mit einem Achsmodulator 388 verbunden, der als Teil des Betriebsbremssystems 311 einen hinteren Bremskreis bildet.
Die Feststellbremse 380 umfasst eine Feststellbremssteuereinheit zum Steuern des Feststellbremssystems 312. Die Feststellbremse 380 weist zudem eine Feststellbremsventileinheit auf, die ausgebildet ist zum Aussteuern des Fest- stellbremsdrucks. Zum Bereitstellen des Feststellbremsdrucks an die Aktuatoren 382, d.h. die Federspeicherbremszylinder, weist die Feststellbremsventileinheit mindestens einen Federspeicheranschluss auf, der pneumatisch mit den Aktuatoren 382, d.h. den Federspeicherbremszylindern, verbunden ist. Die Feststellbremse 380 weist zudem eine Feststellsteuereinheit auf, die zum Bereitstellen eines elektronischen Feststellbremssignals zwecks Ansteuerung signalführend mit der Feststellbremsventileinheit verbunden ist.
Indem der Feststellbremsdruck in Abhängigkeit des elektronischen Feststellbremssignals am Federspeicheranschluss ausgesteuert wird, werden die Federspeicherbremszylinder belüftet, und eine hier nicht näher dargestellte Radbremse gelöst. Werden die Federspeicherbremszylinder hingegen entlüftet, das heißt, wenn der Feststellbremsdruck unter einen Mindestwert absinkt, spannen die Federspeicherbremszylinder zu und die Räder, hier die Hinterräder 394, werden durch die nicht näher dargestellten Radbremsen gebremst.
Ein solches Entlüften der Federspeicherbremszylinder kann insbesondere bei einer Ausfallbremsung bzw. Notbremsung erfolgen. Ein solcher Fall tritt beispielsweise ein, wenn eine Fehlfunktion vorliegt. In einem solchen Fall lässt sich das Fahrzeug 300 nicht mehr ohne weiteres bewegen, da die Federspeicherbremszylinder zugespannt sind und eine Belüftung durch die Feststellbremsventileinheit aufgrund der Fehlfunktion nicht möglich ist. Vorliegend ist die Feststellbremse 380 zwecks Versorgung mit elektrischer Energie mit einer Energieversorgung 395 elektrisch verbunden. Vorliegend ist die zentrale Steuereinheit 389 zwecks Versorgung mit elektrischer Energie ebenfalls mit der Energieversorgung 395 elektrisch verbunden.
Das Bremssystem 310 weist eine Notlöseeinheit 381 , d.h. eine Notlöseventileinheit, auf. Die Notlöseeinheit 381 ist ausgebildet, einen Notlösedruck an die Feststellbremse 380, bevorzugt die Feststellbremsventileinheit, bereitzustellen.
Die Notlöseeinheit 381 ist über einen Hauptanschluss 396, an dem der Notlösedruck ausgesteuert wird, mit einem Zusatzbremsdruckanschluss zum Bereitstellen des Notlösedrucks pneumatisch verbunden. Die Notlöseeinheit 381 ist über einen Versorgungsanschluss 398 mit der Bremsversorgungseinheit 399 pneumatisch verbunden.
Die Feststellbremsventileinheit und die erste Steuereinheit sind, wie hier gezeigt, baulich integriert als eine Feststellbremse 380, in diesem Fall ein Feststellbremsmodul.
Das Bremssystem 310 umfasst zudem die Schnittstelleneinheit 320. Die Schnittstelleneinheit 320 wird in der vorliegenden Ausführungsform durch eine Energieversorgung 371 mit elektrischer Energie versorgt. Alternativ kann die Schnittstelleneinheit 320 auch durch die Energieversorgung 395 mit elektrischer Energie versorgt werden. Die Schnittstelleneinheit 320 ist mit der Notlöseeinheit 381 signalführend verbunden.
Die Schnittstelleneinheit 320, die auch als Steuereinheit oder Over-the-Air- Einheit verstanden werden kann, ist mit einer aktiven Steuerung 372, zum Beispiel über eine Busverbindung, verbunden und ermöglicht, mindestens nach Ansteuerung der Aktuatoren, ein Steuern des Fahrzeugs. Weiter ist die Schnittstelleneinheit 320 mit einer Überwachungseinheit 330, die bevorzugt einen virtuellen Fahrer umfasst, signalführend verbunden. Fig. 4 zeigt eine schematische Darstellung zur Illustration eines zweiten Bremssystems 410 in einem Fahrzeug 400 mit einer Bergebetriebseinheit 481 nach der vorliegenden Erfindung. Das in Fig. 4 gezeigte Bremssystem 410 entspricht im Wesentlichen dem Bremssystem, das in Fig. 3 gezeigt ist, insbesondere umfasst das Bremssystem 410 eine Schnittstelleneinheit 420, eine zentrale Steuereinheit 489, einen Achsmodulator 488, eine Feststellbremse 480, eine Notlöseeinheit 481 und Aktuatoren 482. Zudem weist das Bremssystem Bremsversorgungseinheiten 483, 484 und 485 auf.
Anders als das elektropneumatische Bremssystem 310 umfasst das elektropneumatische Bremssystem 410 eine zusätzliche Bremsdruckversorgungseinheit 486 zur Versorgung der Bergebetriebseinheit 481 .
Zudem ist die Notlöseeinheit 481 ausgebildet, einen Notlösedruck an ein Wechselventil 487, d.h. ein Select-High-Ventil, bereitzustellen. Das Wechselventil 487 ist, in der gezeigten Figur nach links, vorgespannt. Über das Wechselventil 487 können die Federspeicherbremszylinder direkt mittels der Notlöseeinheit 481 belüftet und damit gelöst werden.
Die Schnittstelleneinheit 420 ist mit der Notlöseeinheit 481 signalführend verbunden.
Fig. 5 zeigt ein monostabiles Ventil 500 zur Anwendung in einem Fahrzeug mit dem erfindungsgemäßen Fahrzeugsteuersystem. Das Ventil 500 kann als Notlöseeinheit in einem Bremssteuersystem, wie es beispielsweise in Fig. 3 oder Fig. 4 gezeigt ist, eingebaut sein.
Vorliegend weist das monostabile Ventil 500 ein 3/2-Wegeventil 510 in Form eines 3/2-Wege-Magnetventils auf. Das 3/2-Wegeventil 510 weist einen ersten Notlöse-Ventilanschluss 511 auf, der mit einem Hauptanschluss 396 zum Bereitstellen des Notlösedrucks pneumatisch verbunden ist. Das 3/2-Wegeventil 510 weist einen zweiten Notlöse-Ventilanschluss 512 auf, der zum Empfangen eines Versorgungsdrucks oder einem durch eine zusätzliche Bremsdruckversorgungseinheit bereitgestellten Druck pneumatisch mit einem Versorgungsanschluss 398 verbunden ist. Das 3/2-Wegeventil 510 weist einen dritten Notlöse- Entlüftungsanschluss 513 auf, der in eine Umgebung entlüftet.
In einer ersten Notlöse-Ventilstellung des 3/2-Wegeventils 510 ist der erste Not- löse-Ventilanschluss 511 pneumatisch mit dem zweiten Notlöse- Ventilanschluss 512 verbunden, um einen am Versorgungsanschluss 398 bereitgestellten Bremsdruck als Notlösedruck am Hauptanschluss 396 bereitzustellen. In einer zweiten Notlöse-Ventilstellung ist der erste Notlöse- Ventilanschluss 511 pneumatisch mit dem Notlöse-Entlüftungsanschluss 513 verbunden, insbesondere um den Hauptanschluss 396, und mit diesem pneumatisch verbundene Anschlüsse, zu entlüften.
Mittels einer Ventilsteuereinheit 530, die einem hier nicht dargestellten Betriebsbremssystem, zum Beispiel dem Betriebsbremssystem 311 , zugeordnet sein kann, kann ein elektronisches Notlösesignal an einem elektronischen Steueranschluss 516 des 3/2-Wegeventils 510 bereitgestellt werden, um das 3/2-Wegeventil 510 in die erste Notlöse-Ventilstellung zu schalten. Im nicht angesteuerten Zustand, das heißt, wenn kein elektronisches Notlösesignal am Steueranschluss 516 anliegt, befindet sich das 3/2-Wegeventil 510 in der zweiten Notlöse-Ventilstellung.
Fig. 6 zeigt ein bistabiles Ventil 600 zur Anwendung in einem Fahrzeug mit dem erfindungsgemäßen Fahrzeugsteuersystem. Das Ventil 600 kann als Notlöseeinheit in einem Bremssteuersystem, wie es beispielsweise in Fig. 3 oder Fig. 4 gezeigt ist, eingebaut sein.
Das bistabile Ventil 600 weist im Vergleich zu dem in Fig. 5 gezeigten Ventil 500 einen Notlöse-Drucksensor 640 auf, der pneumatisch mit dem Hauptanschluss 396 verbunden ist. Es soll aber verstanden werden, dass ein Notlöse- Drucksensor 640 auch bei der Ausführungsform der Fig. 5 eingesetzt werden kann. Der Notlöse-Drucksensor 640 ist ausgebildet, den an einem ersten Notlö- se-Ventilanschluss 611 ausgesteuerten Notlösedruck zu ermitteln, und in Abhängigkeit des ermittelten Notlösedrucks ein entsprechendes elektronisches Notlösedrucksignal bereitzustellen. Vorliegend ist der Notlöse-Drucksensor 640 mit einer weiteren Steuereinheit 630 signalführend verbunden, um das elektronische Notlösedrucksignal an die weitere Steuereinheit 630 bereitzustellen.
Ferner weist das Ventil 600 eine Notlöse-Vorsteueranordnung 650 und eine Notlöse-Hauptventilanordnung 660 auf. Die Notlöse-Hauptventilanordnung weist ein Hauptventil 610 auf, das hier beispielshaft als 3/2-Wegeventil ausgebildet ist. Die Notlöse-Vorsteueranordnung 650 umfasst ein Vorsteuerventil 670, das in einem Notlöse-Vorsteuerpfad 651 angeordnet ist und vorliegend als 2/2- Wegeventil in Form eines 2/2-Wege-Magnetventils ausgebildet ist. Das Vorsteuerventil 670 ist über ein elektronisches Notlöse-Signal steuerbar. Das pneumatisch schaltbare Hauptventil 610 weist einen Hauptventil- Steueranschluss 662 auf, der pneumatisch mit dem Notlöse-Vorsteuerpfad 651 zum Empfangen eines Notlöse-Vorsteuerdrucks verbunden ist. Das Vorsteuerventil 670 ist im Notlöse-Vorsteuerpfad 651 zwischen dem Versorgungsanschluss 398 und dem Hauptventil-Steueranschluss 662 angeordnet.
In einer ersten Ventilstellung des Vorsteuerventils 670 ist ein mit dem Versorgungsanschluss 398, über ein weiteres Vorsteuerventil 680, das später beschrieben wird, verbundener zweiter Vorsteuerventil-Anschluss 664 pneumatisch mit einem, mit dem Hauptventil-Steueranschluss 662 verbundenen, ersten Vorsteuerventil-Anschluss 665 verbunden, um den Versorgungsdruck als Not- löse-Vorsteuerdruck am Hauptventil-Steueranschluss 662 bereitzustellen. In einer zweiten Ventilstellung des Vorsteuerventils 670 ist der Versorgungsanschluss 398 pneumatisch von dem Hauptventil-Steueranschluss 662 getrennt. Das Vorsteuerventil 670 ist ausgebildet, in Abhängigkeit des elektronischen Notlöse-Signals in die erste Ventilstellung zu schalten.
Die Ventil 600 weist zusätzlich einen Versorgungsanschluss 667 auf, an dem ein Vorratsdruck pV bereitgestellt wird. Die Notlöse-Hauptventilanordnung 660 weist einen Hauptpfad 668 auf, der den Versorgungsanschluss 667 pneuma- tisch mit dem Hauptanschluss 396 verbindet und in dem das Hauptventil 610 angeordnet ist. Der erste Hauptventilanschluss 612 ist zum Bereitstellen des Notlösedrucks pneumatisch mit dem Hauptanschluss 396 verbunden. Der zweite Hauptventilanschluss 612 ist zum Empfangen des Vorratsdrucks pV pneumatisch mit dem Versorgungsanschluss 667 verbunden. Das Hauptventil 610 umfasst einen dritten Hauptventil-Entlüftungsanschluss 669, der in die Umgebung entlüftet.
In einer ersten Hauptventil-Ventilstellung des Hauptventils 610 ist der erste Hauptventilanschluss 611 pneumatisch mit dem zweiten Hauptventilanschluss 612 verbunden, und bevorzugt der Hauptventil-Entlüftungsanschluss 669 gesperrt. In der ersten Hauptventil-Ventilstellung wird somit der Vorratsdruck pV als Notlösedruck pN am Hauptanschluss 396 bereitgestellt. In einer zweiten Hauptventil-Ventilstellung des Hauptventils 610 wird der erste Hauptventilanschluss 611 pneumatisch mit dem Hauptventil-Entlüftungsanschluss 669 verbunden und bevorzugt der zweite Hauptventilanschluss 612 gesperrt. In der zweiten Hauptventil-Ventilstellung ist folglich der Versorgungsanschluss 667 pneumatisch von dem Hauptanschluss 396 getrennt.
Das Hauptventil 610 ist derart pneumatisch über das Vorsteuerventil 650 steuerbar, dass, wenn durch das Vorsteuerventil 650 in seiner ersten Ventilstellung ein Notlöse-Vorsteuerdruck pSN am Hauptventil-Steueranschluss 662 ausgesteuert wird, das Hauptventil 610 in die erste Hauptventil-Schaltstellung schaltet.
Das Ventil 600 weist weiterhin einen pneumatischen Selbsthaltepfad 672 auf, der den ersten Hauptventilanschluss 611 pneumatisch mit dem Hauptventil- Steueranschluss 662 verbindet. Mittels des pneumatischen Selbsthaltepfads 672 kann vorteilhaft der vom Hauptventil 610 am ersten Hauptventilanschluss 611 ausgesteuerte Notlösedruck pN als Notlöse-Vorsteuerdruck pSN am Hauptventil-Steueranschluss 662 bereitgestellt werden, und zwar vorteilhaft unabhängig von dem am Versorgungsanschluss 398 bereitgestellten Versorgungsdruck. Mit einem pneumatischen Selbsthaltepfad 672 ist es vorteilhaft möglich, bei einem einmaligen, insbesondere kurzzeitigen, Bereitstellen des Vorratsdrucks pV am Hauptventil-Steueranschluss 662, anschließend dauerhaft den Notlösedruck pN am Hauptanschluss 396 auszusteuern, auch wenn der Vorratsdruck pV nicht mehr bereitgestellt wird.
Weiter umfasst das Ventil 600 ein weiteres Vorsteuerventil 680 in Form eines 3/2-Wegeventils, insbesondere ein 3/2-Wegemagnetventil. Das weitere Vorsteuerventil 680 und das Vorsteuerventil 670 sind pneumatisch in Reihe im Not- löse-Vorsteuerpfad 651 angeordnet. Das weitere Vorsteuerventil 680 ist vorliegend in Form eines 3/2-Wege-Magnetventils ausgebildet und über ein erstes elektronisches Notlöse-Signal steuerbar. Das weitere Vorsteuerventil 680 weist im Unterschied zu dem Vorsteuerventil 670 zusätzlich einen Entlüftungsanschluss 674 auf, der in der ersten Ventilstellung pneumatisch mit dem ersten Vorsteuerventilanschluss 665 verbunden ist.
Das weitere Vorsteuerventil 680 weist eine erste Ventilstellung auf, in der das weitere Vorsteuerventil 680 pneumatisch geöffnet ist, das heißt den Hauptventil-Steueranschluss 662 mit dem Vorsteuerventil 670 pneumatisch verbindet. Das weitere Vorsteuerventil 680 weist eine zweite Ventilstellung auf, in der das weitere Vorsteuerventil 680 den Hauptventil-Steueranschluss 662 von dem Vorsteuerventil 670 pneumatisch trennt.
Mittels der hier gezeigten Notlöse-Vorsteueranordnung 650 mit einem als 2/2- Wegeventil ausgebildeten Vorsteuerventil 670 und einem weitere Vorsteuerventil 680 kann vorteilhaft ein am Hauptventil-Steueranschluss 662 anliegender Notlöse-Vorsteuerdruck pSN steuerbar entlüftet werden, um ein Aussteuern des Notlösedrucks pN am Hauptanschluss 396 zu beenden. Hierzu wird vorteilhaft das weitere Vorsteuerventil 680 in die erste Ventilstellung und das Vorsteuerventil 670 in die zweite Ventilstellung geschaltet, damit der Hauptventil- Steueranschluss 662 über den Entlüftungsanschluss 674 entlüftet wird.
Mittels eines Vorratsdrucks pV versorgte Ventile 600 ermöglichen vorteilhaft eine dauerhafte Aussteuerung eines Notlösedruck pN, und zwar insbesondere auch dann, wenn der Vorratsdrucks pV nicht oder nicht mehr am Versorgungsanschluss 667 anliegt.
Fig. 7 zeigt ein System 700 mit einem Magnetventil 710 zur Anwendung in einem Fahrzeug 300, 400 mit dem erfindungsgemäßen Fahrzeugsteuersystem 100, 200.
Das Magnetventil 710 ist signalführend mit einer Schnittstelleneinheit 720, die beispielsweise einer der Schnittstelleneinheiten 120, 220, 320 oder 420 entsprechen kann, verbunden. Weiter ist das Magnetventil 710 mit einem Aktuator 730, der zum Beispiel einem Federspeicherbremszylinder 382 oder 482 entsprechen kann, pneumatisch verbunden. Durch Ansteuerung des Magnetventils 710 werden die Federspeicherbremszylinder 382 oder 482 belüftet, und dadurch eine Feststellbremse gelöst.
Fig. 8 zeigt ein schematisches Ablaufdiagramm eines ersten Ausführungsbeispiels des erfindungsgemäßen Verfahrens 800 zum Bergen eines zumindest teilweise automatisierten Fahrzeugs 300, 400.
In einem ersten Schritt 810 wird eine Fehlfunktion zumindest eines Teils der ersten Untereinheit des Fahrzeugsteuersystems 100, 200 detektiert.
In einem zweiten Schritt 820 wird überprüft, ob die erste Untereinheit in einem Notbetriebszustand ist. Ist die erste Untereinheit in einem Notbetriebszustand, so folgt auf den Schritt 820 als nächster Schritt der Schritt 830. Ist die erste Untereinheit nicht in einem Notbetriebszustand, so wird in einem Schritt 821 die erste Untereinheit oder das Fahrzeugsteuersystem 100, 200 in einen Notbetriebszustand versetzt.
In einem nächsten Schritt 830 wird das Fahrzeug 300, 400 basierend auf dem Notbetriebszustand mit Hilfe des Fahrzeugsteuersystems 100, 200 notgesteuert (MRM-Mode). In einem nächsten Schritt 840 wird ein Freigabesignal durch das Fahrzeugsteuersystem 100, 200 empfangen und in einem letzten Schritt 850 die erste Untereinheit und/oder die zweite Untereinheit des Fahrzeugsteuersystems 100, 200 basierend auf dem Freigabesignal angesteuert, d.h. in einem Bergemodus oder Rescue-Mode.
Es folgen einige weitere Überlegungen zu der Erfindung.
Kem der Erfindung ist ein spezifischer Bergebetrieb eines liegengebliebenen automatisierten Fahrzeugs, der von außen über eine Funkschnittstelle (V2X, 5G etc.) angefordert wird. Die Funkschnittstelle ist dabei entsprechend gegen Missuse und Fehlfunktionen (cyber security encryption und functional safety mechanism) zu sichern. Das Sicherheitskonzept sieht vor, dass erfindungsgemäß mindestens die ausgefallene/fehlerbehaftete Funktion bzw. die sichere Bergung von außen manuell überwacht und im Fehlerfall ein Notstopp ausgeführt wird. Erfindungsgemäß wird der Bergebetrieb sofort beendet, wenn die Funkverbindung unterbrochen ist oder ein dediziertes Not-Aus-Signal empfangen wird. Bevorzugt kann das Not-Aus-Signal für den Bergebetrieb jedoch ein zusätzliches Not-Aus-Signal und damit unabhängig von dem Not-Aus-Signal der Primärautomatisierung sein. Damit kann auch bei defektem Not-Aus der Primärautomatisierung eine Fahrzeugbergung gewährleistet werden.
Die Ansteuerung im Fahrzeug kann bevorzugt direkt über eine Funkeinheit oder über eine daran angeschlossene Bergebetriebseinheit erfolgen.
Erfindungsgemäß wird im oben beschriebenen Bergebetrieb mindestens ein Aktuator am Fahrzeug in einen Bergebetriebszustand gebracht und so die Fahrzeugrettung ermöglicht. Je nach Automatisierungsanwendung, Fehlerfall und Rettungsstrategie können jedoch auch mehrere Aktuatoren bzw. Aktuatorsysteme in einen entsprechenden Bergebetriebszustand geschaltet werden.
Zu unterscheiden sind grundsätzlich zwei Szenarien: In einem ersten Szenario liegt ein Bergebetrieb vor, in dem das automatisierte Fahrzeug in einen Betriebszustand gebracht wird, der ein automatisiertes Abschleppen des Fahrzeugs durch ein weiteres Bergefahrzeug ermöglicht. Hier ist mindestens die Feststellbremse zu lösen und gegebenenfalls der Antriebsstrang und/oder Getriebestrang zu trennen. Zusätzlich sind weitere Bergebetriebszustände in anderen Aktuatorsubsystemen denkbar.
In einem zweiten Szenario liegt ein Bergebetrieb vor, in dem das automatisierte Fahrzeug in einen Betriebszustand gebracht wird, in dem es in einem Notmodus über eine Fernsteuerung von außen mit der verbleibenden Restverfügbarkeit und gegebenenfalls zusätzlichen dynamischen Limitierungen in einen sicheren Bereich manövriert werden kann.
Bevorzugt kann die Funkstrecke und Ansteuerung des Bergebetriebszustands über eine separate Energieversorgung erfolgen und damit ebenfalls fehlertolerant gegen Ausfall der Spannungsversorgung im Fahrzeug sein. Beispiele einer entsprechenden Notansteuerung der Feststellbremse sind zum Beispiel in den Fig. 3 und 4 gezeigt. Die Feststellbremse wird dabei über eine Notsteuereinheit gelöst. Die Notsteuereinheit kann dabei entweder einen dedizierten pneumatischen Port der Feststellbremse (zum Beispiel Anti-Compound-Port oder Notlöseport) ansteuern oder alternativ über Select-High-Ventile direkt auf die Federspeicher wirken.
Je nach gewünschter Robustheit/Ausfallsicherheit kann die Notsteuereinheit bevorzugt aus dem pneumatischen Versorgungskreis der Feststellbremse oder einem unabhängigen Versorgungskreis versorgt werden. Außerdem kann in eine monostabile oder bistabile Umsetzung der Notsteuereinheit unterschieden werden (wie in den Fig. 5 und 6 gezeigt). Bevorzugt wird (mindestens bei Szenario 2) eine monostabile Ausführung gewählt, da damit eine erneute Notbremsung im Fehlerfall sichergestellt werden kann.
Je nach Ausprägung können ein oder mehrere Ventile für das Ansteuern des Notlösedrucks genutzt werden. Eine weitere technische Umsetzung für ein Not- lösen der Feststellbremse ist auch in Fig. 7 gezeigt. Dabei wird die Feder des Federspeichers beispielsweise durch einen Spindeltrieb entspannt und die Feststellbremse für einen Abschleppvorgang gelöst.
Weitere Beispiele für Bergebetriebszustände der weiteren Aktuatorsysteme wären zum Beispiel beim automatischen Steuerungssystem ein Bergebetrieb, der eine gegebenenfalls dynamisch beschränkte ferngesteuerte Ansteuerung der Aktuatoren ermöglicht (beispielsweise bei Defekt eines einzelnen Aktuatorsystems, einem ausgelösten Safety-Mechanism us oder einem unplausiblen Systemzustand). Zusätzlich oder alternativ kann in einem Bergebetrieb der Motorsteuereinheit ein Getriebe in den Leerlauf geschaltet werden, der Antriebsstrang im Getriebe getrennt werden, der Abtriebsstrang getrennt werden und/oder die Kraftübertragung an einer anderen Stelle, beispielsweise im Differential etc., getrennt werden.
Zusätzlich oder alternativ kann in einem Bergebetrieb die Lenkungseinheit ein momentenfreies Lenksystem, ein in einer bestimmten Stellung verriegeltes Lenksystem und/oder einen elektronischen Bergebetrieb der Lenkung umfassen.
Zusätzlich oder alternativ kann in einem Bergebetrieb die Bremseinheit einen ausgelösten Safety-Mechanismus umfassen.
Weiterhin bevorzugt enthält die Funkeinheit oder die daran angeschlossene Bergebetriebseinheit eine Überwachungseinheit, die die Restverfügbarkeit des Fahrzeugs erfasst und über die Funkschnittstelle nach außen beispielsweise an einen Fahrzeugleitstand funkt. Bezuqszeichen (Teil der Beschreibung)
100, 200 Fahrzeugsteuersystem 110 Bremssteuereinheit 111 erste Untereinheit 112 zweite Untereinheit
120, 220, 320, 420 Schnittstelleneinheit
121 , 221 Freigabesignal
122, 222 Fehlerdaten
123, 223 Steuersignal 130 Getriebesteuereinheit 140 Lenksteuereinheit 150 Motorsteuereinheit 160, 230, 330 Überwachungseinheit 170, 290 Sendeeinheit 240 Notfalleinheit zur automatischen Steuerung 250 Notfallnotlösefeststellbremse 260 Notfallantriebs- und Motorsteuereinheit 270 Notfalllenkungseinheit 280 Notfallbremseinheit 300, 400 Fahrzeug 310, 410 Bremssystem 311 Betriebsbremssystem 312 Feststellbremssystem 320 Schnittstelleneinheit 330 Überwachungseinheit 371 , 395 Energieversorgung 372 aktive Steuerung 373, 399 Bremsversorgungseinheit
380, 480 Feststellbremse
381 , 481 Notlöseeinheit
382, 482 Aktuator Betriebsbremszylinder
Vorderrad
Kombinationsbremszylinder Betriebsbremskammer , 488 Achsmodulator , 489 zentrale Steuereinheit
Hinterrad
Hauptanschluss
Versorgungsanschluss , 484, 485 Bremsversorgungseinheit zusätzliche Bremsdruckversorgungseinheit Wechselventil , 600 Ventil , 610 3/2-Wegeventil erster Notlöse-Ventilanschluss zweiter Notlöse-Ventilanschluss dritter Notlöse-Entlüftungsanschluss elektronischer Steueranschluss Ventilsteuereinheit
Hauptventil erster Hauptventilanschluss zweiter Hautventilanschluss weitere Steuereinheit Notlöse-Drucksensor Notlöse-Vorsteueranordnung Notlöse-Vorsteuerpfad
Notlöse-Hauptventilanordnung Hauptventil-Steueranschluss zweiter Vorsteuerventil-Anschluss erster Vorsteuerventil-Anschluss Versorgungsanschluss Hauptpfad
Hauptventil-Entlüftungsanschluss 670 Vorsteuerventil
672 Selbsthaltepfad
674 Entlüftungsanschluss
680 weiteres Vorsteuerventil
700 Magnetventilsystem
710 Magnetventil
720 Schnittstelleneinheit
730 Aktuator
800 Verfahren
810 Schritt des Detektierens
820 Schritt des Überprüfens
821 Schritt des Versetzens
830 Schritt des Notsteuerns
840 Schritt des Empfangens
850 Schritt des Ansteuerns pN Notlösedruck pSN Notlöse-Vorsteuerdruck PV Vorratsdruck

Claims

Patentansprüche
1. Verfahren (800) zum Bergen eines, insbesondere liegengebliebenen, zumindest teilweise automatisierten Fahrzeugs (300, 400) mit einem Fahrzeugsteuersystem (100, 200), wobei das Fahrzeugsteuersystem (100, 200) wenigstens eine erste Untereinheit (111 ) und eine zweite Untereinheit (112) umfasst, wobei das Verfahren (800) die folgenden Schritte umfasst:
Detektieren (810) einer Fehlfunktion zumindest eines Teils der ersten Untereinheit (111) des Fahrzeugsteuersystems (100, 200),
Überprüfen (820), ob die erste Untereinheit (111 ) in einem Notbetriebszustand ist und im Fall, dass die erste Untereinheit (111 ) nicht in einem Notbetriebszustand ist, Versetzen (821 ) der ersten Untereinheit (111) oder des Fahrzeugsteuersystems (100, 200) in einen Notbetriebszustand,
Notsteuern (830) des Fahrzeugs (300, 400) basierend auf dem Notbetriebszustand mit Hilfe des Fahrzeugsteuersystems (100, 200),
Empfangen (840) eines Freigabesignals (121 ) durch das Fahrzeugsteuersystem (100, 200), und
Ansteuern (850) der ersten Untereinheit (111 ) oder der zweiten Untereinheit (112) des Fahrzeugsteuersystems (100, 200) basierend auf dem Freigabesignal (121 ).
2. Verfahren (800) nach Anspruch 1 , wobei die Fehlfunktion ein sicheres Weiterfahren des Fahrzeugs (300, 400) verhindert.
3. Verfahren (800) nach einem der Ansprüche 1 oder 2, wobei das Notsteuern (830) des Fahrzeugs (300, 400) basierend auf dem Notbetriebszustand einen Stopp, insbesondere einen Notstopp, des Fahrzeugs (300, 400) umfasst.
4. Verfahren (800) nach Anspruch 3, wobei der Notstopp ein Einlegen einer Feststellbremse und/oder ein Deaktivieren zumindest eines Teils des Fahrzeugsteuersystems, der dazu ausgestaltet ist, das Fahrzeug zumindest teilweise automatisiert zu steuern, umfasst.
5. Verfahren (800) nach einem der vorherigen Ansprüche, wobei das Ansteuern (850) der ersten Untereinheit (111 ) oder der zweiten Untereinheit (112) des Fahrzeugsteuersystems (100, 200) basierend auf dem Freigabesignal (121 ) einen Stopp, insbesondere einen Notstopp, umfasst.
6. Verfahren (800) nach einem der vorherigen Ansprüche, wobei das Verfahren (800) den weiteren Schritt umfasst: nach Ansteuern (850) der ersten Untereinheit (111 ) oder der zweiten Untereinheit (121), Steuern des Fahrzeugs (300, 400) basierend auf dem Freigabesignal (121 ) in einem gegenüber einem normalen Betriebsmodus des Fahrzeugs (300, 400) eingeschränkten Betriebsmodus, insbesondere dynamisch eingeschränkten Betriebsmodus.
7. Verfahren (800) nach Anspruch 6, wobei das Verfahren (800) die weiteren Schritte umfasst:
Überwachen einer Kommunikationsverbindung zwischen dem Fahrzeug (300, 400) und einer Sendeeinheit, von der das Freigabesignal (121 ) versendet wird, und im Fall, dass eine Verbindung zwischen dem Fahrzeug (300, 400) und der Sendeeinheit abbricht, Beenden des Steuerns des Fahrzeugs (300, 400).
8. Verfahren (800) nach einem der vorherigen Ansprüche, wobei das Ansteuern (850) der ersten Untereinheit (111 ) oder der zweiten Untereinheit (112) ein Ansteuern zumindest eines Aktuators (382, 482) der jeweiligen ersten Untereinheit (111) oder zweiten Untereinheit (112) umfasst.
9. Verfahren (800) nach Anspruch 7, wobei eine Anzahl von angesteuerten Aktuatoren (382, 482) minimiert wird.
10. Verfahren (800) nach einem der vorherigen Ansprüche, wobei das Freigabesignal (121 ) über eine V2X Kommunikation, insbesondere eine Funkkommunikation, empfangen wird.
11 . Verfahren (800) nach einem der vorherigen Ansprüche, wobei das Verfahren (800) den weiteren Schritt umfasst: nach Detektieren (810) der Fehlfunktion zumindest eines Teils der ersten Untereinheit (111), Bereitstellen und/oder Versenden von Fehlerdaten (122), wobei die Fehlerdaten (122) indikativ für die Fehlfunktion sind.
12. Verfahren (800) nach Anspruch 11 , wobei das Freigabesignal (121 ) auf den Fehlerdaten (122) basiert.
13. Verfahren (800) nach einem der vorherigen Ansprüche, wobei das Verfahren (800) den weiteren Schritt umfasst: nach dem Ansteuern (850) der ersten Untereinheit (111 ) oder der zweiten Untereinheit (112), Abschleppen des Fahrzeugs (300, 400).
14. Verfahren (800) nach einem der vorherigen Ansprüche, wobei das Ansteuern (850) der ersten Untereinheit (111 ) oder der zweiten Untereinheit (112) ein Ansteuern einer Feststellbremse (380, 480) umfasst, wobei die Feststellbremse (380, 480) durch Ansteuern basierend auf dem Freigabesignal (121 ) in einen gelösten Zustand versetzt wird.
15. Verfahren (800) nach Anspruch 12, wobei das Ansteuern der Feststellbremse (380, 480) ein Ansteuern eines Anti-Compound-Ports, eines Notlöseports, eines Select-High-Ventils und/oder eines Spindelantriebs umfasst.
16. Verfahren (800) nach einem der Ansprüche 14 oder 15, wobei das Ansteuern der Feststellbremse (380, 480) ein Ansteuern eines monostabilen Ventils oder eines bistabilen Ventils umfasst.
17. Verfahren nach einem der vorherigen Ansprüche, wobei das Ansteuern der ersten Untereinheit (111 ) oder der zweiten Untereinheit (112) ein Ansteuern eines Antriebsstrangs und/oder eines Getriebes umfasst, wobei der Antriebsstrang und/oder das Getriebe durch Ansteuern basierend auf dem Freigabesignal (121 ) in einen getrennten Zustand versetzt wird.
18. Fahrzeugsteuersystem (100, 200) mit einer Bremssteuereinheit, einer Getriebesteuereinheit, einer Lenksteuereinheit, einer Motorsteuereinheit, einer Überwachungseinheit, und einer Schnittstelleneinheit (120, 220, 320), wobei die Schnittstelleneinheit (120, 220, 320) angepasst ist, das Verfahren (800) nach einem der Ansprüche 1 bis 17 auszuführen und wobei die erste Untereinheit (111 ) und die zweite Untereinheit (112) jeweils einer der Bremssteuereinheit, der Getriebesteuereinheit, der Lenksteuereinheit, der Motorsteuereinheit, und der Überwachungseinheit entspricht.
19. Fahrzeugsteuersystem (100, 200) nach Anspruch 18, wobei die Schnittstelleneinheit (120, 220, 320) eine zu einer Energieversorgungseinheit des Fahrzeugsteuersystems (100, 200) zusätzliche Energieversorgungseinheit (390) umfasst.
20. Fahrzeugsteuersystem (100, 200) nach einem der Ansprüche 18 oder 19, wobei die Schnittstelleneinheit (120, 220, 320) ferner eine Bergebetriebseinheit (481 ) umfasst, wobei die Bergebetriebseinheit (481 ) angepasst ist, die erste Untereinheit (111 ) oder die zweite Untereinheit (112) des Fahrzeugsteuersystems (100, 200) basierend auf dem Freigabesignal (121 ) anzusteuern.
21 . Fahrzeugsteuersystem (100, 200) nach einem der Ansprüche 18 bis 20, wobei die zweite Untereinheit (112) eine zusätzliche Aktuatornoteinheit oder einen zusätzlichen Aktuator umfasst, die oder der zusätzlich zu Aktuatoren des Fahrzeugs vorgesehen ist, die für einen Normalbetrieb des Fahrzeugs vorgesehen sind, und elektrisch unabhängig von den Aktuatoren des Fahrzeugs, die für den Normalbetrieb des Fahrzeugs vorgesehen sind, ist.
22. Fahrzeugsteuersystem (100, 200) nach einem der Ansprüche 18 bis 20, wobei die zweite Untereinheit (112) eine Feststellbremse (380, 480) umfasst, wobei die Feststellbremse (380, 480) durch Ansteuern basierend auf dem Freigabesignal (121 ) in einen gelösten Zustand versetzt wird.
23. Fahrzeugsteuersystem (100, 200) nach Anspruch 22, wobei die Feststellbremse (380, 480) eine zu einer Bremsdruckversorgungseinheit (483, 484, 485) einer Bremssteuereinheit zusätzliche Bremsdruckversorgungseinheit (486) umfasst.
24. Fahrzeugsteuersystem (100, 200) nach einem der Ansprüche 22 oder
23, wobei die Feststellbremse (380, 480) Notlöseeinheiten umfasst, die zusätzlich zu einer Löseeinheit der Feststellbremse vorgesehen sind.
25. Fahrzeugsteuersystem (100, 200) nach Anspruch 24, wobei die Notlöseeinheiten Magnetventile umfassen, wobei ein Lösen der Feststellbremse einem Lösen der Magnetventile entspricht.
PCT/EP2023/081132 2022-11-28 2023-11-08 Verfahren und fahrzeugsteuersystem zum bergen eines zumindest teilweise automatisierten fahrzeugs WO2024115063A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102022131307.7 2022-11-28
DE102022131307.7A DE102022131307A1 (de) 2022-11-28 2022-11-28 Verfahren und Fahrzeugsteuersystem zum Bergen eines zumindest teilweise automatisierten Fahrzeugs

Publications (1)

Publication Number Publication Date
WO2024115063A1 true WO2024115063A1 (de) 2024-06-06

Family

ID=88745780

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2023/081132 WO2024115063A1 (de) 2022-11-28 2023-11-08 Verfahren und fahrzeugsteuersystem zum bergen eines zumindest teilweise automatisierten fahrzeugs

Country Status (2)

Country Link
DE (1) DE102022131307A1 (de)
WO (1) WO2024115063A1 (de)

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102017118537A1 (de) 2016-08-15 2018-02-15 Ford Global Technologies, Llc Verwaltung von Störungszuständen autonomer Fahrzeuge
US20180158255A1 (en) 2016-07-29 2018-06-07 Faraday&Future Inc. Informational visual display for vehicles
DE102017211797A1 (de) 2017-07-11 2019-01-17 Robert Bosch Gmbh Notfallmanagement-System und Verfahren zum Steuern von mindestens einem autonomen Fahrzeug bei einem Notfall
DE102018203773B3 (de) 2018-03-13 2019-08-29 Zf Friedrichshafen Ag Parksperren-System
EP3644295A1 (de) 2017-06-23 2020-04-29 Nissan Motor Co., Ltd. Parksteuerungsverfahren und parksteuerungsvorrichtung
DE102018219809A1 (de) 2018-11-19 2020-05-20 Volkswagen Aktiengesellschaft Verfahren zum Ausweichen vor lokal bedingten drohenden Gefahren, Fahrzeug zur Durchführung des Verfahrens sowie Computerprogramm
US20200247420A1 (en) 2019-01-31 2020-08-06 Toyota Motor Engineering & Manufacturing North America, Inc. Systems and methods for controlling a vehicle based on driver engagement
DE102019131110A1 (de) * 2019-11-18 2021-05-20 Wabco Europe Bvba Bremssystem mit sicherer Notstoppfunktion und Verfahren hierzu
DE102021200288A1 (de) * 2020-08-10 2022-02-10 Hyundai Motor Company Antriebssteuerverfahren eines autonomen fahrzeugs mit integrierter steuervorrichtung

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180158255A1 (en) 2016-07-29 2018-06-07 Faraday&Future Inc. Informational visual display for vehicles
DE102017118537A1 (de) 2016-08-15 2018-02-15 Ford Global Technologies, Llc Verwaltung von Störungszuständen autonomer Fahrzeuge
EP3644295A1 (de) 2017-06-23 2020-04-29 Nissan Motor Co., Ltd. Parksteuerungsverfahren und parksteuerungsvorrichtung
DE102017211797A1 (de) 2017-07-11 2019-01-17 Robert Bosch Gmbh Notfallmanagement-System und Verfahren zum Steuern von mindestens einem autonomen Fahrzeug bei einem Notfall
DE102018203773B3 (de) 2018-03-13 2019-08-29 Zf Friedrichshafen Ag Parksperren-System
DE102018219809A1 (de) 2018-11-19 2020-05-20 Volkswagen Aktiengesellschaft Verfahren zum Ausweichen vor lokal bedingten drohenden Gefahren, Fahrzeug zur Durchführung des Verfahrens sowie Computerprogramm
US20200247420A1 (en) 2019-01-31 2020-08-06 Toyota Motor Engineering & Manufacturing North America, Inc. Systems and methods for controlling a vehicle based on driver engagement
DE102019131110A1 (de) * 2019-11-18 2021-05-20 Wabco Europe Bvba Bremssystem mit sicherer Notstoppfunktion und Verfahren hierzu
DE102021200288A1 (de) * 2020-08-10 2022-02-10 Hyundai Motor Company Antriebssteuerverfahren eines autonomen fahrzeugs mit integrierter steuervorrichtung

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
ANONYMOUS: "Mobile Industrial Robots A/S MiR250 User Guide", MIR, no. v.1.2, 1 July 2020 (2020-07-01), pages 1 - 211, XP093106212 *

Also Published As

Publication number Publication date
DE102022131307A1 (de) 2024-05-29

Similar Documents

Publication Publication Date Title
EP3507149B1 (de) Verfahren zum elektronischen steuern einer bremsanlage in einem automatisiert steuerbaren nutzfahrzeug-gespann sowie elektronisch steuerbare bremsanlage in einem automatisiert steuerbaren nutzfahrzeug-gespann
EP3755589B1 (de) Elektropneumatische ausrüstung eines fahrzeugs
EP4061677B1 (de) Ausfallsicherheitsventileinheit, elektronisch steuerbares pneumatisches bremssystem, verfahren zum betreiben eines bremssystems
WO2014033172A1 (de) Verfahren zum durchführen einer sicherheitsfunktion eines fahrzeugs und system zum durchführen des verfahrens
DE102016005317A1 (de) Verfahren zum automatisierten elektronischen Steuern eines Bremssystems sowie elektronisch steuerbares Bremssystem in einem Nutzfahrzeug
EP2137036B1 (de) Bremsanlage und verfahren zum steuern einer bremsanlage für ein nutzfahrzeug
EP2834103A1 (de) Verfahren zum betrieb eines kraftfahrzeugs während und/oder nach einer kollision
DE102007052439A1 (de) Fahrerassistenzsystem
DE102013020177A1 (de) Kraftfahrzeug
DE10144797A1 (de) Verfahren sowie Regel- und Steuerungssystem zur Einstellung autonomer Fahrfunktionen in einem Fahrzeug
DE102016223655A1 (de) Verfahren und Vorrichtung zum Betreiben einer elektromotorischen Feststellbremse eines Kraftfahrzeugs, Kraftfahrzeug
EP1953054B1 (de) Bremsanlage und Verfahren zum Steuern einer Bremsanlage für ein Nutzfahrzeug
EP3515776B1 (de) Luftaufbereitungseinheit für eine bremsanlage eines nutzfahrzeugs und verfahren zum betreiben einer luftaufbereitungseinheit
WO2017102266A1 (de) Verfahren zum betreiben eines kraftfahrzeugs, steuergerät für ein bremssystem und bremssystem für ein kraftfahrzeug
EP2133249B1 (de) Elektrische Feststellbremse mit Einfallsperre und Verfahren zum Betreiben einer elektrischen Feststellbremse mit Einfallsperre
EP0278228B1 (de) Elektro-pneumatische Bremsanlage für Zugfahrzeuge
EP3650292A1 (de) Verfahren zur funktionsüberprüfung eines druckmittelbetriebenen elektronischen bremssystems eines fahrzeugs
DE102014013173A1 (de) Verfahren zum zumindest teilautonomen Betrieb eines Fahrzeugs und Fahrerassistenzsystem
WO2024115063A1 (de) Verfahren und fahrzeugsteuersystem zum bergen eines zumindest teilweise automatisierten fahrzeugs
DE102012219533A1 (de) Bremsanlage für Kraftfahrzeuge
EP4247676A1 (de) Ausfallsicherheitsventileinheit, elektronisch steuerbares pneumatisches bremssystem, fahrzeug, verfahren
DE102019218799A1 (de) Verfahren zum Verringern der Auswirkungen eines plötzlichen Abfalls der Drehmomentübertragung in einem allradangetriebenen Fahrzeug und AWD-Steuerung zur Durchführung des Verfahrens
DE102015205946A1 (de) Verfahren zum Verhindern einer ungewollten Beschleunigung eines Kraftfahrzeugs
DE102010062476A1 (de) Verfahren und Vorrichtung zum Ansteuern eines Kfz-Antriebsstranges
WO2024074371A1 (de) Verfahren zum betreiben eines fahrzeugs mit x-by-wire-einrichtung unter verwendung eines flotten-watchdogs und fahrzeug

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 23802250

Country of ref document: EP

Kind code of ref document: A1