DE102007046731A1 - System zur Ansteuerung eines Aktuators in einem Kraftfahrzeug - Google Patents

System zur Ansteuerung eines Aktuators in einem Kraftfahrzeug Download PDF

Info

Publication number
DE102007046731A1
DE102007046731A1 DE200710046731 DE102007046731A DE102007046731A1 DE 102007046731 A1 DE102007046731 A1 DE 102007046731A1 DE 200710046731 DE200710046731 DE 200710046731 DE 102007046731 A DE102007046731 A DE 102007046731A DE 102007046731 A1 DE102007046731 A1 DE 102007046731A1
Authority
DE
Germany
Prior art keywords
hdc
acc
actuator
control
functions
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE200710046731
Other languages
English (en)
Other versions
DE102007046731B4 (de
Inventor
Walter Kagerer
Sonja De Castro Bonfim
Verena Reiser
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Bayerische Motoren Werke AG
Original Assignee
Bayerische Motoren Werke AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Bayerische Motoren Werke AG filed Critical Bayerische Motoren Werke AG
Priority to DE200710046731 priority Critical patent/DE102007046731B4/de
Publication of DE102007046731A1 publication Critical patent/DE102007046731A1/de
Application granted granted Critical
Publication of DE102007046731B4 publication Critical patent/DE102007046731B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/04Monitoring the functioning of the control system
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models

Landscapes

  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Human Computer Interaction (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Regulating Braking Force (AREA)

Abstract

Die Erfindung bezieht sich auf ein System zur Ansteuerung eines Aktuators in einem Kraftfahrzeug, das prinzipiell auf mehreren Steuergeräten ablaufen kann. Das System umfasst zumindest zwei Ansteuerfunktionen, die jeweils eine Stellgröße für einen Aktuator erzeugen, die durch eine der Ansteuerfunktion und der Stellgröße zugeordnete Sicherheitsfunktion überprüft werden. Die Erfindung zeichnet sich dadurch aus, dass bei zumindest zwei Ansteuerfunktionen, die jeweils eine Stellgröße für den gleichen Aktuator erzeugen können, eine Koordinatorinstanz vorgesehen ist, die (ablauftechnisch) zwischen den Sicherheitsfunktionen auf der einen Seite und dem Aktuator auf der anderen Seite angeordnet ist. Diese Koordinatorinstanz koordiniert die Aufgabe der von den Sicherheitsfunktionen erzeugten Freigaben an den Aktuator, derart, dass nur eine oder unter bestimmten Umständen keine Stellgröße an den Aktuator freigegeben wird.

Description

  • Die Erfindung bezieht sich auf ein System zur Ansteuerung eines Aktuators in einem Kraftfahrzeug nach dem Oberbegriff des Anspruchs 1.
  • Heutige Fahrzeuge sind mit vielen Zusatzsystemen ausgestattet, die den Fahrer bei bestimmten Fahrsituationen unterstützten. Diese sog. Fahrerunterstützungssysteme umfassen in der Regel eine Ansteuerfunktion, die zumindest eine Stellgröße ermittelt, welche über eine Schrittstelle an einen entsprechenden Aktuator ausgegeben werden soll, so dass der Aktuator diese Stellgröße umsetzt. Eine dieser Ansteuerfunktion zugeordnete Sicherheitsfunktion prüft nach Bilden der Stellgröße den Wert bzw. die Ausgabe auf Zulässigkeit und Plausibilität. Erkennt die Sicherheitsfunktion einen Fehler in der erzeugten Stellgröße, wird eine Ausgabe an den Aktuator unterbunden.
  • Aufgrund der immer größer werdenden Anzahl von Zusatzfunktionen in einem Kraftfahrzeug kann ein Fahrzeug bspw. auch mit mehreren verschiedenen Ansteuerfunktionen ausgestattet sein, die aber jeweils eine Stellgröße für den gleichen Aktuator ermitteln. Diese Ansteuerfunktionen können völlig unabhängig voneinander eine Stellgröße ermitteln, die anschließend von der zu dieser Ansteuerfunktion gehörigen Sicherheitsfunktion überprüft wird. Ist der Wert der Stellgröße in Ordnung, wird die Stellgröße an den Aktuator weitergegeben. Unter gewissen Umständen kann es vorkommen, dass mehrere Ansteuerfunktionen eine gültige Stellgröße ermitteln, und diese zur Ansteuerung des Aktuators ausgeben. Haben diese Stellgrößen unterschiedliche Werte, ist nicht klar, welche Stellgröße als Ansteuersignal verwendet werden soll. Um dieses Problem zu umgehen, wird eine Koordinatorfunktion eingeführt, die zwischen den Einzelstellgrößen priorisiert oder Übergänge schafft. Damit ist aber an der Schnittstelle „Koordinator – Aktuator" nicht mehr klar, welche Ansteuerfunktion derzeit den Aktuator anfordert und damit auch nicht, welche Sicherheitsfunktion den Sollwert überprüfen muß.
  • Aufgabe der Erfindung ist es, ein System bzw. eine Systemarchitektur anzugeben, so dass die Schnittstelle lückenfrei von der der Ansteuerfunktion zugeordneten Sicherheitsfunktion, mindestens aber von einer übergreifenden Sicherheitsfunktion überwacht wird.
  • Diese Aufgabe wird durch ein System nach Anspruch 1 gelöst. Vorteilhafte Weiterbildungen ergeben sich aus den abhängigen Ansprüchen.
  • Es wird von einem System zur Ansteuerung eines Aktuators in einem Kraftfahrzeug ausgegangen, das prinzipiell auf mehreren Steuergeräten ablaufen kann. Das System umfasst zumindest zwei Ansteuerfunktionen, die jeweils eine Stellgröße für einen Aktuator erzeugen, die durch eine der Ansteuerfunktion und der Stellgröße zugeordnete Sicherheitsfunktion überprüft werden. Die Erfindung zeichnet sich dadurch aus, dass bei zumindest zwei Ansteuerfunktionen, die jeweils eine Stellgröße für den gleichen Aktuator erzeugen können, eine Koordinatorinstanz vorgesehen ist, die (ablauftechnisch) zwischen den Sicherheitsfunktionen auf der einen Seite und dem Aktuator auf der anderen Seite angeordnet ist. Die Koordinatorinstanz erhält somit Eingangssignale von den Ansteuerfunktionen und/oder den dazugehö rigen Sicherheitsfunktionen, und gibt als Ausgangssignal ein Signal aus, das die Freigabe des Aktuatorsollwertes erlaubt. Diese Koordinatorinstanz koordiniert die Ausgabe der von den Sicherheitsfunktionen erzeugten Freigaben an den Aktuator derart, dass nur eine, oder unter bestimmten Umständen keine Stellgröße an den Aktuator freigegeben wird. Es wird eine Koordinatorinstanz installiert, die zwischen den Sicherheitsfunktionen der Ansteuerfunktionen lückenfrei hin- und herschaltet. Somit wird dem Aktuator maximal eine Freigabe zur Stellgröße übermittelt.
  • Vorteilhafterweise überwacht die Koordinationsinstanz die aktuelle Zuständigkeit der Ansteuerfunktionen und koordiniert in Abhängigkeit von der aktuell zuständigen Ansteuerfunktion die Ausgaben der von der zuständigen Sicherheitsfunktion erzeugten Freigabe an den Aktuator. Sind mehrere Ansteuerfunktionen zuständig, koordiniert die Koordinationsinstanz die Ausgabe einer der von den zuständigen Sicherheitsfunktionen erzeugten Freigaben an den Aktuator.
  • Ist genau eine Ansteuerfunktion aktuell zuständig, koordiniert die Koordinationsinstanz vorteilhafterweise derart die Ausgabe, dass sie in Abhängigkeit von der aktuell zuständigen Ansteuerfunktion die von dieser Ansteuerfunktion erzeugte Stellgröße an den Aktuator ausgibt, oder die Ausgabe der von dieser Ansteuerfunktion erzeugten Stellgröße zur Ausgabe an den Aktuator freigibt, wenn die Sicherheitsfunktion der zuständigen Ansteuerfunktion eine Freigabe der erzeugten Stellgröße zulässt. Ist also nur eine Ansteuerfunktion zuständig, wird die Verantwortung an die dieser Ansteuerfunktion zugeordnete Sicherheitsfunktion übertragen. Ist der Koordinatorinstanz bekannt, dass genau eine Ansteuerungsfunktion aktiv ist und welche es ist, hängt es lediglich vom Ergebnis der Sicherheitsfunktion ab, ob die von dieser Ansteuerfunktion ermittelte Stellgröße zur Ansteuerung des Aktuators freigegeben wird. Die Koordinatorinstanz schaltet dementsprechend bei positiver Über prüfung der erzeugten Stellgröße diese direkt durch an den Aktuator oder gibt die Ausgabe der Stellgröße an den Aktuator frei.
  • Sind zumindest zwei Ansteuerfunktionen gleichzeitig zuständig, die beide eine Stellgröße für den gleichen Aktuator erzeugen können, dann koordiniert die Koordinatorinstanz vorteilhafterweise derart die Ausgabe der erzeugten Stellgrößen, dass sie in Abhängigkeit von den aktuell zuständigen Ansteuerfunktion eine von den zuständigen Ansteuerfunktionen erzeugte Stellgröße an den Aktuator ausgibt oder die Ausgabe einer der von diesen Ansteuerfunktionen erzeugten Stellgrößen zur Ausgabe an den Aktuator freigibt, wenn die Sicherheitsfunktion derjenigen Ansteuerfunktion, deren erzeugte Stellgröße an den Aktuator ausgegeben werden soll, eine Freigabe dieser erzeugten Stellgröße zulässt. Anders ausgedrückt koordiniert die die Koordinationsinstanz bei zumindest zwei zuständigen Ansteuerfunktionen die Anforderungen an die Sicherheitsfunktionen. Die Koordination erfolgt je nach hinterlegter Funktionslogik, d. h. es wird eine der Freigaben in Abhängigkeit von vorgegebenen Bedingungen ausgewählt (z. B. und, oder, etc).
  • In einer vorteilhaften Ausgestaltung der Erfindung kann die Koordinatorinstanz auch derart die Ausgabe einer Stellgröße an den Aktuator koordinieren, dass sie bei Vorliegen vorgegebener Bedingungen keine der von einer Ansteuerfunktion erzeugten Stellgröße an den Aktuator ausgibt bzw. die Ausgabe keiner Stellgröße freigibt. Dies kann bspw. der Fall sein, wenn die Koordinatorinstanz erkennt, dass keine der erzeugten Stellgrößen für die Ansteuerung des Aktuators geeignet ist. Ist beispielsweise aktuell keine der aktiven Ansteuerfunktionen, d. h. derjenigen Ansteuerfunktionen, die eine (zulässige) Stellgröße erzeugen, zuständig, übernimmt der Koordinator in einer vorteilhaften Ausgestaltung der Erfindung die Überwachung selbst, indem er die Ausgabe der erzeugten Stellgröße an den Aktuator unterbindet. Eine vorgegebene Bedingung könnte folglich vorliegen, wenn keine Ansteuerfunktion zuständig ist und/oder wenn keine der zuständigen Ansteuerfunk tionen eine Stellgröße erzeugt und/oder wenn keine Sicherheitsfunktion der zuständigen Ansteuerfunktionen eine Freigabe der erzeugten Stellgröße zulässt, insbesondere dann, wenn die Sicherheitsfunktion derjenigen Ansteuerfunktion, deren erzeugte Stellgröße an den Aktuator übergeben werden soll, keine Freigabe dieser Stellgröße zulässt.
  • Vorteilhafterweise überwacht die Koordinatorinstanz die Zuständigkeit und ggf. auch die Aktivität der Ansteuerfunktionen durch Abbilden der verschieden Zustände innerhalb eines Zustandsdiagramms. Für jede Zuständigkeitsmöglichkeit (jede Ansteuerfunktion für sich, eine vorgegebene Kombination aus zwei oder mehreren Ansteuerfunktionen, und ein Zustand, indem keine Ansteuerfunktion zuständig ist) wird ein Zustand hinterlegt. Die einzelnen Zustände sind durch verschiedene Verbindungslinien bzw. Zustandsübergangsmöglichkeiten verbunden, wobei die Verbindungen der einzelnen Zustände in Abhängigkeit davon vorgegeben werden, ob ein Wechsel vom einen Aktivitätszustand in einen anderen möglicht ist. Ist dies nicht der Fall, ist zwischen den beiden Aktivitätszuständen keine Verbindung in diese Richtung abgebildet.
  • In der Regel sind die Sicherheitsfunktionen derart aufgebaut, dass sie neben der ansteuerfunktionsspezifischen Überwachung noch andere Sub-Funktionen zur Prüfung der ermittelten Stellgröße durchführen, die für einige oder alle Sicherheitsfunktionen (unabhängig von der Ansteuerfunktion) identisch sind. Um das gesamte Bordnetz schlanker gestalten zu können, übernimmt die Koordinatorinstanz vorteilhafterweise zumindest eine dieser übergreifenden Sub-Funktionen. Bei diesen Sub-Funktionen kann es sich bspw. um sog. Freigabeüberwachungsfunktionen (Bewertung ob die Freigabe der Sollgröße durch die zuständige Sicherheitsfunktion erlaubt ist), Abschaltmatrizen (Bewertung, welche Reaktion folgen soll), Abschaltreaktionsfunktionen (Unterbinden der Ansteuerung des Aktuators) oder um Fehlerdokumentationsfunktionen (Speicherung von Fehlern mit Umweltbedingungen) handeln.
  • Die Ansteuerfunktionen sowie deren Sicherheitsfunktion(en) können auf unterschiedliche Steuergeräte aufgeteilt werden, so dass die Funktionen durch unterschiedliche Steuergeräte ausgeführt werden. Es kann sich aber auch zumindest eine der Ansteuerfunktionen sowie deren Sicherheitsfunktion(en) ein Steuergerät mit der Koordinatorinstanz teilen, so dass die entsprechenden Funktionen von einem Steuergerät durchgeführt werden.
  • Diese Steuerungseinheit bzw. dieser Systemsaufbau kann für verschiedene Ansteuerfunktionen verwendet werden. So zeigt das nachfolgende Ausführungsbeispiel eine Steuerungseinheit mit einer erfindungsgemäßen Koordinatorinstanz, welche die Ausgabe einer von einer abstandsgeregelten Geschwindigkeitsregelfunktion oder einer Geschwindigkeitsregelfunktion bei Bergabfahrt erzeugten Stellgröße an den Aktuator koordiniert. Dabei zeigt die
  • 1 einen stark vereinfachten Aufbau einer Koordinatorinstanz zum Koordinieren der Ausgabe der von Ansteuerfunktionen erzeugten Stellgrößen, und
  • 2 einen zur 1 detaillierter Darstellung der Koordinatorinstanz.
  • Die 1 zeigt im Gesamten ein System zur Ansteuerung eines hier nicht dargestellten Aktuators in einem Kraftfahrzeug. Das Gesamtsystem umfasst eine als abstandsgeregelte Geschwindigkeitsfunktion F_ACC ausgestaltete erste Ansteuerfunktion und eine als Geschwindigkeitsregelfunktion bei Bergabfahrt F_HDC ausgestaltete zweite Ansteuerfunktion. Es können auch noch andere Ansteuerfunktionen vorhanden sein, die eine Stellgröße für den gleichen Aktuator erzeugen. Jeder dieser Ansteuerfunktionen F_ACC und F_HDC bzw. jeder Schnittstelle, an die die Ansteuerfunktion F_ACC oder F_HDC eine Ausgabe in Form einer Stellgröße macht, ist eine Sicherheitsfunktion S_ACC bzw. S_HDC zugeordnet, welche die erzeugte und an der Schnittstelle auszugebende Stellgröße auf Zulässigkeit und Plausibilität ü berwacht. Der Einfachheit halber wird in diesem Beispiel davon ausgegangen, dass jede der Ansteuerfunktionen F_ACC und F_HDC nur eine Stellgröße für einen Aktuator – bspw. den Antrieb – erzeugt.
  • Die zwei Ansteuerfunktionen F_ACC und F_HDC bzw. deren Sicherheitsfunktionen S_ACC und S_HDC stehen durch verschiedene Signale mit einer Koordinatorinstanz K in Verbindung, welche die Ausgabe der von den Ansteuerfunktionen F_ACC und F_HDC erzeugten – und den jeweiligen Sicherheitsfunktionen S_ACC und S_HDC überprüften – Stellgrößen an den Aktuator koordiniert.
  • In der Koordinatorinstanz K ist ein Zustandsdiagramm ZD abgebildet welches die verschiedenen möglichen Aktivitätszustände und Aktivitätszustandskombinationen abbildet. Es kann entweder nur die erste Ansteuerfunktion F_ACC aktiv und zuständig sein (ACC), oder nur die zweite Ansteuerfunktion F_HDC (HDC), oder während eines Übergangs von der ersten Ansteuerfunktion F_ACC auf die zweite Ansteuerfunktion F_HDC beide Ansteuerfunktionen (ACC->HDC). Unter bestimmten Umständen kann auch ein Zustand AUS erreicht werden, bei dem keine (aktive) Ansteuerfunktion zuständig ist. Die von den einzelnen Zuständen ACC, ACC->HDC, HDC und AUS abgehenden Pfeile zeigen an, in welchen Zustand ausgehend vom aktuellen Zustand gewechselt werden kann.
  • Zusätzlich zu dem Zustandsdiagramm ZD umfasst die Koordinatorinstanz K mehrere übergreifende Sub-Funktionen SF1, SF2, SF3 und SF4, welche nach dem Stand der Technik normalerweise innerhalb jeder Sicherheitsfunktion S_ACC und S_HDC hinterlegt sind. Um das gesamte Bordnetz schlanker gestalten zu können, übernimmt die Koordinatorinstanz K diese übergreifenden Sub-Funktionen SF1, SF2, SF3 und SF4. Bei diesen Sub-Funktionen SF1, SF2, SF3 und SF4 kann es sich bspw. um sog. Freigabeüberwa chungsfunktionen, Abschaltreaktionsfunktionen, Fehlerdokumentationsfunktionen oder um eine Abschaltmatrix handeln.
  • Um die Ausgabe der erzeugten Stellgrößen an den Aktuator koordinieren zu können, werden zwischen der Koordinatorinstanz K und den Ansteuerfunktionen F_ACC und F_HDC folgende Signale ausgetauscht: Die Koordinatorinstanz K sendet an jede Ansteuereinheit F_ACC und F_HDC ein Aktivierungsfreigabe-Signal ak1 und ak2. Durch dieses Signal ak1 bzw. ak2 wird den Ansteuerfunktionen F_ACC und F_HDC bzw. deren Sicherheitsfunktionen S_ACC und S_HDC mitgeteilt, ob sich aus dem aktuell vorliegenden Zustand prinzipiell eine Freigabe zur Aktivierung einer Ansteuerfunktion oder zur Ausgabe einer Stellgröße an einen bestimmten Aktuator erhalten. Die Ansteuerfunktionen F_ACC und F_HDC bzw. deren Sicherheitsfunktionen S_ACC und S_HDC senden ein Aktivierungszustands-Signal a1 bzw. a2, wenn sie gerade aktiv sind, d. h. eine Stellgröße für den entsprechenden Aktuator erzeugen, ein Freigabesignal fr1 bzw. fr2, wenn die Sicherheitsfunktion S_ACC bzw. S_HDC eine Freigabe der erzeugten Stellgröße zulässt, und einen Fehlerstatus f1 bzw. f2, wenn die Sicherheitsfunktion S_ACC oder S_HDC einen Fehler bei der erzeugten Stellgröße erkennt und die Freigabe deshalb nicht zulässt.
  • In der 2 ist eine detaillierte Darstellung der Koordinatorinstanz K zum Aufzeigen der Signalauswertung und Signalerzeugung der einzelnen Signale dargestellt. Wie bereits unter 1 erwähnt, erhält die Koordinatorinstanz K von den jeweiligen Ansteuerfunktionen F_ACC und F_HDC bzw. deren Sicherheitsfunktionen S_ACC und S_HDC ein Aktivierungszustands-Signal a1 und a2, wenn die Ansteuerfunktionen aktiv sind und somit eine Stellgröße für den entsprechenden Aktuator erzeugen. Anhand dieser Signale a1 und a2 und dem abgebildeten Zustandsdiagramm ZD ermittelt die Koordinatorinstanz K innerhalb einer Einheit AkF_ACC zur Bildung einer Aktivierungsfreigabe, ob prinzipiell eine Freigabe der Aktivierung der entsprechenden An steuerfunktion F_ACC bzw. F_HDC erlaubt ist. Ist eine Freigabe der Aktivierung der ersten Ansteuerfunktion F_ACC erlaubt, sendet die Koordinatorinstanz K, insbesondere die Einheit AkF_ACC eine Aktivierungsfreigabe-Signal ak1 an die entsprechende Sicherheitsfunktion S_ACC. Analog zur Einheit AkF_ACC ist eine Einheit AkF_HDC zur Bildung einer Aktivierungsfreigabe für die zweite Ansteuerfunktion F_HDC vorgesehen, welche ermittelt, ob für eine Freigabe der Aktivierung für diese zweite Ansteuerfunktion F_HDC erlaubt ist. Ist eine Freigabe der Aktivierung der zweiten Ansteuerfunktion F_HDC erlaubt, sendet die Koordinatorinstanz K, insbesondere die Einheit AkF_HDC eine Aktivierungsfreigabe-Signal ak2 an die entsprechende Sicherheitsfunktion S_HDC.
  • Weiter umfasst die Koordinatorinstanz K eine Einheit A_Antrieb und A_Bremse zur Bildung einer Ausgangsfreigabe für den Antrieb und die Bremse. Diese Einheiten A_Antrieb und A_Bremse erhalten als Eingangssignale die entsprechenden Freigabesignale fr1a, fr2a, fr1b und fr2b von der ersten und zweiten Ansteuerfunktion F_ACC und F_HDC bzw. deren Sicherheitsfunktion S_ACC und S_HDC. Erzeugt die erste Ansteuerfunktion F_ACC eine Stellgröße für den Antrieb und ist die Stellgröße nach Überprüfung durch die Sicherheitsfunktion S_ACC freigegeben, wird an die Einheit A_Antrieb ein Freigabesignal fr1a gesendet. Erzeugt die zweite Ansteuerfunktion F_HDC eine Stellgröße für den Antrieb und ist die Stellgröße nach Überprüfung durch die Sicherheitsfunktion S_HDC freigegeben, wird an die Einheit A_Antrieb ein Freigabesignal fr2a gesendet. Analog dazu wird an die Einheit A_Bremse ein Freigabesignal fr1b bzw. fr2b gesendet, wenn die von der ersten bzw. zweiten Ansteuerfunktion F_ACC bzw. F_HDC erzeugte Stellgröße für die Bremse durch die entsprechende Sicherheitsfunktion S_ACC bzw. S_HCD freigegeben wurde. Die Einheiten A_Antrieb und A_Bremse senden an eine Freigabe-Überwachungseinheit Fr_Überw ein entsprechendes Signal, wenn einer Ansteuerung der entsprechenden Aktuatoren durch die Koordinatorinstanz K zugestimmt wird. Tritt bei der Ansteue rung ein Fehler auf, sendet die Freigabe-Überwachungseinheit Fr_Überw ein Fehlersignal f3 an eine Überwachungsmatrix Überw, welche in Abhängigkeit vom ermittelten Fehler eine Dokumentation des Fehlers in einer Fehlerdokumentation Dok_Fehler, oder eine Abschaltreaktion Abs_Rea einleitet. Wird ein Fehler bereits bei der Ermittlung der Stellgröße durch die Sicherheitsfunktion S_ACC bzw. S_HDC erkannt, senden dies Sicherheitsfunktion S_ACC bzw. S_HDC ebenfalls ein Fehlersignal f1 bzw. f2 an die Fehler-Überwachungsmatrix Überw. Auf diese Fehler reagiert die Überwachungsmatrix analog zu oben.
  • Durch die erfindungsgemäße Koordinatorinstanz können durch gemeinsame Nutzung von Schnittstellen Synergieeffekte genutzt werden. Außerdem vermindern sich der Absicherungsaufwand und der Applikationsaufwand. Die Fehleranfälligkeit des oben beschriebenen Systems sinkt ebenfalls gegenüber dem Stand der Technik.

Claims (10)

  1. System zur Ansteuerung eines Aktuator in einem Kraftfahrzeug, wobei eine mittels einer Ansteuerfunktion erzeugte Stellgröße für einen Aktuator durch eine Sicherheitsfunktion überprüft wird und der Aktuator in Abhängigkeit von der erzeugten Stellgröße angesteuert wird, dadurch gekennzeichnet, dass bei zumindest zwei Ansteuerfunktionen (F_ACC, F_HDC) und zumindest zwei Sicherheitsfunktionen (S_ACC, S_HDC), die jeweils eine Stellgröße und eine Freigabe für den gleichen Aktuator erzeugen, eine Koordinatorinstanz (K) vorgesehen ist, die zwischen den Ansteuerfunktionen (F_ACC, F_HDC) und den Sicherheitsfunktionen (S_ACC, S_HDC) auf der einen Seite und dem Aktuator auf der anderen Seite angeordnet ist und die Ausgabe und/oder Freigabe (fr1a, fr1b, fr2a, fr2b) der von den Ansteuerfunktionen (F_ACC, F_HDC) erzeugten Stellgrößen an den Aktuator koordiniert.
  2. System nach Anspruch 1, dadurch gekennzeichnet, dass die Koordinationsinstanz (K) die aktuelle Zuständigkeit der Ansteuerfunktionen (F_ACC, F_HDC) überwacht und in Abhängigkeit von der aktuell zuständigen Ansteuerfunktion (ACC, HDC, ACC->HDC, AUS) oder den aktuell zuständigen Ansteuerfunktionen die Ausgabe und/oder Freigabe (fr1a, fr1b, fr2a, fr2b) der von der zuständigen Ansteuerfunktion (F_ACC, F_HDC) erzeugten Stellgröße, oder den zuständigen Ansteuerfunktionen (F_ACC, F_HDC) erzeugten Stellgrößen koordiniert.
  3. System nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass die Koordinatorinstanz (K) derart die Ausgabe und/oder Freigabe (fr1a, fr1b, fr2a, fr2b) der erzeugten Stellgrößen koordiniert, dass die Koordinatorinstanz (K) bei genau einer zuständigen Ansteuerfunktion (F_ACC, F_HDC) in Abhängigkeit von der aktuell zuständigen Ansteuerfunktion (ACC, HDC) die von dieser Ansteuerfunktion erzeugte Stellgröße an den Aktuator ausgibt oder die Ausgabe der von dieser Ansteuerfunktion (F_ACC, F_HDC) erzeugten Stellgröße zur Ausgabe an den Aktuator freigibt, wenn die Sicherheitsfunktion (S_ACC, S_HDC) der zuständigen Ansteuerfunktion (F_ACC, F_HDC) eine Freigabe (fr1a, fr1b, fr2a, fr2b) der erzeugten Stellgröße zulässt.
  4. System nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass die Koordinatorinstanz (K) derart die Ausgabe und/oder Freigabe (fr1a, fr1b, fr2a, fr2b) der erzeugten Stellgrößen koordiniert, dass die Koordinatorinstanz (K) bei zumindest zwei zuständigen Ansteuerfunktionen (F_ACC, F_HDC) in Abhängigkeit von den aktuell zuständigen Ansteuerfunktionen (ACC->HDC) eine von den zuständigen Ansteuerfunktionen (F_ACC, F_HDC) erzeugte Stellgröße an den Aktuator ausgibt oder die Ausgabe einer der von diesen Ansteuerfunktionen (F_ACC, F_HDC) erzeugten Stellgrößen zur Ausgabe an den Aktuator freigibt, wenn die Sicherheitsfunktion (S_ACC, S_HDC) derjenigen Ansteuerfunktion (F_ACC, F_HDC), deren erzeugte Stellgröße an den Aktuator ausgegeben werden soll, eine Freigabe dieser erzeugten Stellgröße zulässt.
  5. System nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass die Koordinatorinstanz (K) bei Vorliegen vorgegebener Bedingungen (AUS) keine von einer Ansteuerfunktion (F_ACC, F_HDC) erzeugte Stellgröße an den Aktuator ausgibt oder keine erzeugten Stellgröße zur Ausgabe an den Aktuator freigibt.
  6. System nach Anspruch 5, dadurch gekennzeichnet, dass eine vorgegebene Bedingung vorliegt, wenn keine Ansteuerfunktion zuständig ist (AUS) und/oder wenn keine der zuständigen Ansteuerfunktionen eine Stellgröße erzeugt und/oder wenn die Sicherheitsfunktion der zuständigen Ansteuerfunktionen eine Freigabe der erzeugten Stellgröße nicht zulässt.
  7. System nach einem der Ansprüche 2 bis 6, dadurch gekennzeichnet, dass die Koordinatorinstanz (K) die Zuständigkeit der Ansteuerfunktionen durch Abbilden eines Zustandsdiagramms (ZD) überwacht.
  8. System nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass die Koordinatorinstanz (K) zusätzlich zumindest eine übergreifende Sub-Funktion (SF1, SF2, SF3, SF4, Dok_Fehler, Abs_Rea, Überw), welche für zumindest zwei Sicherheitsfunktionen (S_ACC, S_HDC) der Ansteuerfunktionen (F_ACC, F_HDC) identisch ist, ausführt.
  9. System nach einem der vorangegangenen Ansprüche, dadurch gekennzeichnet, dass die Ansteuerfunktionen (F_ACC, F_HDC) und/oder die dazugehörigen Sicherheitsfunktionen (S_ACC, S_HDC) durch ein Steuergerät, oder durch verschiedene Steuergeräte ausgeführt werden.
  10. System nach einem der vorangegangen Ansprüche, dadurch gekennzeichnet, dass es sich bei einer der Ansteuerfunktionen (F_ACC, F_HDC) um eine abstandsgeregelte Geschwindigkeitsfunktion (F_ACC) oder um eine Geschwindigkeitsregelfunktion bei Bergabfahrt (F_HDC) handelt.
DE200710046731 2007-09-28 2007-09-28 Verfahren zur Ansteuerung eines Aktuators in einem Kraftfahrzeug Active DE102007046731B4 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE200710046731 DE102007046731B4 (de) 2007-09-28 2007-09-28 Verfahren zur Ansteuerung eines Aktuators in einem Kraftfahrzeug

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE200710046731 DE102007046731B4 (de) 2007-09-28 2007-09-28 Verfahren zur Ansteuerung eines Aktuators in einem Kraftfahrzeug

Publications (2)

Publication Number Publication Date
DE102007046731A1 true DE102007046731A1 (de) 2009-04-02
DE102007046731B4 DE102007046731B4 (de) 2011-06-09

Family

ID=40384376

Family Applications (1)

Application Number Title Priority Date Filing Date
DE200710046731 Active DE102007046731B4 (de) 2007-09-28 2007-09-28 Verfahren zur Ansteuerung eines Aktuators in einem Kraftfahrzeug

Country Status (1)

Country Link
DE (1) DE102007046731B4 (de)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016087117A1 (de) * 2014-12-02 2016-06-09 Robert Bosch Gmbh Fahrerassistenzsteuergerät, kraftfahrzeug, verfahren zum betreiben eines fahrerassistenzsteuergeräts eines kraftfahrzeugs
DE102019134872A1 (de) * 2019-12-18 2021-06-24 HELLA GmbH & Co. KGaA Verbesserung der Betriebsparameter eines Rechensystems im Fahrzeug

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102015203250A1 (de) 2015-02-24 2016-08-25 Zf Friedrichshafen Ag Sicherheitsvorrichtung und Verfahren zum Überführen eines Aktorsystems in einen sicheren Zustand, Aktorsystem und Verfahren zum Betreiben eines Aktorsystems

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10340369A1 (de) * 2003-09-02 2005-03-24 Zf Lenksysteme Gmbh Verfahren zur Steuerung mindestens einer Stelleinrichtung
US7162346B2 (en) * 2003-06-19 2007-01-09 Ford Global Technologies, Llc Vehicle control method and apparatus
DE102006029514B3 (de) * 2006-06-27 2007-05-31 Atmel Germany Gmbh Schaltungsanordnung und Verfahren zum Steuern mindestens eines Aktors in einem Kraftfahrzeug

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19949051A1 (de) * 1999-10-11 2001-04-12 Bosch Gmbh Robert Verfahren und Vorrichtung zur Steuerung von Vorgängen in einem Fahrzeug

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7162346B2 (en) * 2003-06-19 2007-01-09 Ford Global Technologies, Llc Vehicle control method and apparatus
DE10340369A1 (de) * 2003-09-02 2005-03-24 Zf Lenksysteme Gmbh Verfahren zur Steuerung mindestens einer Stelleinrichtung
DE102006029514B3 (de) * 2006-06-27 2007-05-31 Atmel Germany Gmbh Schaltungsanordnung und Verfahren zum Steuern mindestens eines Aktors in einem Kraftfahrzeug

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016087117A1 (de) * 2014-12-02 2016-06-09 Robert Bosch Gmbh Fahrerassistenzsteuergerät, kraftfahrzeug, verfahren zum betreiben eines fahrerassistenzsteuergeräts eines kraftfahrzeugs
DE102019134872A1 (de) * 2019-12-18 2021-06-24 HELLA GmbH & Co. KGaA Verbesserung der Betriebsparameter eines Rechensystems im Fahrzeug
DE102019134872B4 (de) 2019-12-18 2021-07-22 HELLA GmbH & Co. KGaA Verbesserung der Betriebsparameter eines Rechensystems im Fahrzeug

Also Published As

Publication number Publication date
DE102007046731B4 (de) 2011-06-09

Similar Documents

Publication Publication Date Title
EP2183136B1 (de) Bremssystem für ein fahrzeug und ein verfahren zum betreiben eines bremssystems für ein fahrzeug
EP2176106B1 (de) Bremssystem für ein fahrzeug und verfahren zum betreiben eines bremssystems für ein fahrzeug
DE102013007857B4 (de) Verfahren zum Betrieb eines Bremssystems beim vollautomatischen Fahren und Kraftfahrzeug
EP3697654B1 (de) Redundanzarchitektur für systeme der hochautomatisierung
WO2002055356A1 (de) Vorrichtung zur überwachung von in einem fahrzeug angeordneten sensormitteln
DE112020000597T5 (de) Bremssystem
DE102013020177A1 (de) Kraftfahrzeug
EP3661819B1 (de) Kontrollsystem für ein kraftfahrzeug, kraftfahrzeug, verfahren zur kontrolle eines kraftfahrzeugs, computerprogrammprodukt und computerlesbares medium
WO2006037415A1 (de) Längsdynamiksteuervorrichtung für kraftfahrzeuge
DE10236080A1 (de) Verfahren und Vorrichtung zur Steuerung von Betriebsabläufen, insbesondere in einem Fahrzeug
WO2019228757A1 (de) Steuereinrichtung und verfahren für die ansteuerung eines aktuators zur betätigung von bremsmitteln eines fahrzeuges, insbesondere eines schienenfahrzeugs
DE10142511B4 (de) Fehlerbehandlung von Softwaremodulen
DE102007046731B4 (de) Verfahren zur Ansteuerung eines Aktuators in einem Kraftfahrzeug
DE102006037124A1 (de) Ansteuersystem für eine Antriebseinheit eines Kraftfahrzeuges
EP3468849B1 (de) Verfahren zum überwachen einer abs-regelung in einem elektrisch steuerbaren bremssystem sowie elektronisch steuerbares bremssystem
DE102007046706A1 (de) Steuervorrichtung für Fahrzeuge
DE102004058996A1 (de) Verfahren und Fahrfunktionssystem zum Überführen von sicherheitsrelevanten Fahrfunktionen eines Fahrzeugs in den sicheren Zustand
DE102006059919A1 (de) Datenverarbeitungssystem für ein Kraftfahreug
WO2009115145A1 (de) Verfahren und vorrichtung zur beherrschung und kompensation von ausfällen einer bremsaktuatorik eines dezentralen elektrischen bremssystems
WO2020048714A1 (de) Verteilte reglerstruktur zur erzielung optimierter reglereigenschaften sowie erhöhter ventillebensdauer
EP4077075B1 (de) Systemarchitektur eines elektronischen bremssystems
EP2210787B1 (de) Elektro-pneumatisches Bremssystem mit achslastsignalloser Steuerung
DE102006032740A1 (de) Fehlermanagement in einem Fahrzeugsystem bei Vorliegen eines Sensorfehlers
WO2023174494A1 (de) Verfahren zur steuerung eines hydraulischen bremssystems und bremssystem
DE102020107751A1 (de) Verfahren zur Arbitrierung von Signalen von Steuergeräten in einem redundanten System für autonomes Fahren

Legal Events

Date Code Title Description
OM8 Search report available as to paragraph 43 lit. 1 sentence 1 patent law
8110 Request for examination paragraph 44
R020 Patent grant now final

Effective date: 20110910