DE102018121396A1 - Funktionelles Redundanzmanagementsystem für Fahrzeuge und Verfahren zum funktionellen Redundanzmanagement - Google Patents

Funktionelles Redundanzmanagementsystem für Fahrzeuge und Verfahren zum funktionellen Redundanzmanagement Download PDF

Info

Publication number
DE102018121396A1
DE102018121396A1 DE102018121396.4A DE102018121396A DE102018121396A1 DE 102018121396 A1 DE102018121396 A1 DE 102018121396A1 DE 102018121396 A DE102018121396 A DE 102018121396A DE 102018121396 A1 DE102018121396 A1 DE 102018121396A1
Authority
DE
Germany
Prior art keywords
main component
function
component
vehicle
redundancy management
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102018121396.4A
Other languages
English (en)
Inventor
Jürgen Römer
Alexander Seiffer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Schaeffler Technologies AG and Co KG
Original Assignee
Schaeffler Technologies AG and Co KG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Schaeffler Technologies AG and Co KG filed Critical Schaeffler Technologies AG and Co KG
Priority to DE102018121396.4A priority Critical patent/DE102018121396A1/de
Publication of DE102018121396A1 publication Critical patent/DE102018121396A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/023Avoiding failures by using redundant parts
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B62LAND VEHICLES FOR TRAVELLING OTHERWISE THAN ON RAILS
    • B62DMOTOR VEHICLES; TRAILERS
    • B62D5/00Power-assisted or power-driven steering
    • B62D5/04Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear
    • B62D5/0457Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear characterised by control features of the drive means as such
    • B62D5/0481Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear characterised by control features of the drive means as such monitoring the steering system, e.g. failures
    • B62D5/0484Power-assisted or power-driven steering electrical, e.g. using an electric servo-motor connected to, or forming part of, the steering gear characterised by control features of the drive means as such monitoring the steering system, e.g. failures for reaction to failures, e.g. limp home
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • B60W2050/0292Fail-safe or redundant systems, e.g. limp-home or backup systems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/029Adapting to failures or work around with other constraints, e.g. circumvention by avoiding use of failed parts
    • B60W2050/0297Control Giving priority to different actuators or systems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B62LAND VEHICLES FOR TRAVELLING OTHERWISE THAN ON RAILS
    • B62DMOTOR VEHICLES; TRAILERS
    • B62D9/00Steering deflectable wheels not otherwise provided for
    • B62D9/002Steering deflectable wheels not otherwise provided for combined with means for differentially distributing power on the deflectable wheels during cornering

Landscapes

  • Engineering & Computer Science (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Automation & Control Theory (AREA)
  • Chemical & Material Sciences (AREA)
  • Combustion & Propulsion (AREA)
  • Human Computer Interaction (AREA)
  • Steering Control In Accordance With Driving Conditions (AREA)

Abstract

Die vorliegende Erfindung betrifft ein funktionelles Redundanzmanagementsystem für ein Fahrzeug (01) umfassend mindestens eine Hauptkomponente, welche eine vorbestimmte Funktion hinsichtlich eines vorgegebenen Merkmals am effektivsten erfüllt; mindestens eine Nebenkomponente zur zumindest teilweisen Erfüllung der vorbestimmten Funktion; sowie eine Steuereinheit zur kontinuierlichen Überwachung der Funktionsfähigkeit der Hauptkomponente. Die Steuereinheit ist derart ausgebildet, dass sie anhand kontinuierlich erfasster Zustandsgrößen der Hauptkomponente einen anstehenden Fehlerzustand der Hauptkomponente vor Eintreten des Fehlers erfasst und bei Erfassen eines anstehenden Fehlerzustandes die Funktion der Hauptkomponente zumindest teilweise an die Nebenkomponente übergibt. Die Erfindung betrifft weiterhin ein Verfahren zum funktionellen Redundanzmanagement für ein Fahrzeug (01).

Description

  • Die vorliegende Erfindung betrifft ein funktionelles Redundanzmanagementsystem für Fahrzeuge sowie ein Verfahren zum funktionellen Redundanzmanagement.
  • Der sichere Betrieb hochautomatisierter Fahrzeuge setzt die Fähigkeit des Gesamtsystems voraus, im Fehlerfall weiterhin funktional zu agieren und die Betriebssicherheit zumindest in eingeschränktem Maß durch entsprechende Selbstwahrnehmung und Selbstanpassung des Systems zu gewährleisten. Aus diesem Grund haben in den letzten Jahren die Bemühungen zugenommen, Systeme zu entwickeln, die sich „Fail-operational“ verhalten. Fail-operational bedeutet dabei, dass die entsprechende Anlage im Fehlerfall weiterarbeitet, ohne dass sie einen Fehlerzustand einnimmt, welcher den kompletten Ausfall der jeweiligen Funktion bedeuten würde. Der Ansatz der hierbei verfolgt wird, ist bisher größtenteils pragmatischer Natur, d.h. es wird eine Hardwareredundanz verwendet mit entweder gleicher Hardware oder unterschiedlicher Hardware, die mehrfach verbaut wird, um bei Ausfall eines primären Systems, die Aufgaben mit einem sekundären System weiterhin zu erfüllen. Langfristig gesehen ist dieser ineffiziente Ansatz sowohl aus Kostensicht als auch aus energetischer Sicht nicht wünschenswert. Die Bemühungen effizientere Lösungen für ein Fail-operational-Verhalten zu entwickeln, rücken daher immer mehr in den Fokus, befinden sich aber noch am Anfang.
  • Die US 3 675 422 A zeigt eine Servobremse mit Antiblockiersteuerung. Es wird insbesondere ein integriertes System beschrieben, bei welchem eine Hilfskraftquelle, wie beispielsweise die Servolenkungspumpe, für Bremszwecke verwendet werden kann, wenn die Hauptbremskraftquelle aufgrund einer Fehlfunktion nicht in der Lage ist, die erforderliche Bremsleistung aufzubringen.
  • Aus der DE 10 2015 214 521 A1 ist ein Aktuatorsystem für selbstfahrende Fahrzeuge bekannt, welches einen an einem ersten Bordnetz des Fahrzeugs betriebenen ersten Lenkaktuator, eine an dem ersten Bordnetz betriebene erste Lenkaktuatorsteuerung zum Steuern des ersten Lenkaktuators und einen an einem zu dem ersten Bordnetz redundant ausgelegten zweiten Bordnetz des Fahrzeugs betriebenen zweiten Lenkaktuator umfasst. Das Aktuatorsystem beinhaltet weiterhin eine an dem zweiten Bordnetz des Fahrzeugs betriebene Bremsaktuatorvorrichtung mit einem Bremsaktuator und einer Bremsaktuatorsteuerung zum Steuern des Bremsaktuators. Die Bremsaktuatorvorrichtung weist eine an dem zweiten Bordnetz des Fahrzeugs betriebene zweite Lenkaktuatorsteuerung zum Steuern des zweiten Lenkaktuators auf.
  • Die WO 2013/ 018 548 A1 befasst sich mit einem Steer-by-wire System mit Haupt- und Nebenmotor, zwischen denen im Fehlerfall umgeschaltet werden kann. Hierbei wird der nicht aktive Motor mechanisch aus dem System entkoppelt. Das System nutzt zwei Regelungseinrichtungen, die getrennt einen Aktuator und den Nebenmotor sowie den Hauptmotor ansteuern, um im Fehlerfall eine sichere Funktionsweise zu gewährleisten.
  • Die US 2017 0 120 753 A1 beschreibt ein System mit mehreren Redundanzebenen für ein Fahrzeug mit Torque Steering (Panzerlenkung), bei dem nicht mehr funktionstüchtige Antriebssysteme deaktiviert werden können. In diesem Fall übernimmt eine andere Antriebseinheit die Funktion (Antreiben + Torque Steering) des ausgefallenen Antriebs. Somit kann das Fahrzeug weiter betrieben werden.
  • In der DE 10 2016 211 342 A1 wird eine Lenkvorrichtung zum Einstellen eines Radeinschlagwinkels eines Hinterrades eines Kraftfahrzeugs mittels einer Blockiereinrichtung, welche von einem zweiten Fahrzeugsystem gebildet wird, beschrieben. Das Fahrzeug umfasst das Hinterrad, mindestens ein Radführungsglied, einen um eine Drehachse schwenkbaren Radträger und einen Fahrzeugaufbau. Das Radführungsglied ist mit dem schwenkbaren Radträger und einer Antriebseinheit verbunden. Das zweite Fahrzeugsystem ist mit der Lenkvorrichtung zumindest mittelbar über einen Signalaustausch verbunden. Die Blockiereinrichtung nutzt für die Blockierfunktion dynamische Stellkräfte außerhalb der Antriebseinheit auf dem Radträger aus.
  • Die DE 10 2013 202 253 A1 zeigt eine Schaltung zur Steuerung eines Beschleunigungs-, Brems- und Lenksystems eines Fahrzeugs mit mindestens zwei separaten Motoren zur Betätigung des Beschleunigungs- und Bremssystems und mit mindestens zwei separaten Motoren zur Betätigung des Lenksystems sowie mit einer elektronischen Kontrolleinheit zur Ansteuerung der Motoren. Die Kontrolleinheit hat drei identische CPU- Einheiten und einen programmierbaren Logikbaustein. Jede der CPU-Einheiten erzeugt, in Abhängigkeit von Eingangssteuersignalen und Sensorsignalen der Motoren, Ansteuersignale für die Motoren und leitet diese an den Logikbaustein weiter. Dieser leitet abhängig von seiner Programmierung die Ansteuersignale an die Motoren weiter. Die beschriebene Lösung ermöglicht eine Reduzierung der benötigten CPU-Einheiten von vier auf drei CPU-Einheiten.
  • Die vorbekannten Systeme zur effizienten Erhöhung der Ausfallsicherheit bzw. Zuverlässigkeit von Fahrzeugen basieren weitestgehend auf einer Redundanz zwischen Komponenten innerhalb eines sicherheitsrelevanten Systems, zum Beispiel. Lenkfunktion oder Bremsfunktion, mit Fokus auf reduziertem Aufwand. Die Funktion einer ausgefallenen Komponente wird hierbei durch eine gleichwertige Komponente des Systems übernommen. Ebenso wird die Möglichkeit einer Reaktion auf Komponentenausfälle durch Nutzung einer Fahrdynamikregelung zur Gewährleistung eines sicheren Weiterfahrens oder sicheren Anhaltens betrachtet. In der Regel reagieren die aus dem Stand der Technik bekannten Systeme erst auf einen entstandenen Fehler bzw. Ausfall. Auf diese Weise kann jedoch kein kontinuierlich unbeeinträchtigter Betrieb des Systems gewährleistet werden.
  • Die Aufgabe der vorliegenden Erfindung besteht somit darin, ein verbessertes System zur Funktionsredundanz für ein Fahrzeug zur Verfügung zu stellen, welches eine Reduzierung des Hardwareaufwands von Redundanzen bei gleichzeitiger kontinuierlicher Erfüllung der funktionalen Sicherheit ermöglicht. Eine ausgefallene Komponente oder ein ausgefallenes Teilsystem soll das Fahrzeug in seiner Funktion nicht wesentlich behindern. Mit Hilfe des erfindungsgemäßen Systems soll das Fahrzeug auch im Fehlerfall weiterhin funktional agieren und die Betriebssicherheit gewährleisten. Maßnahmen sollen eingeleitet werden bevor ein Ausfall bzw. eine Einschränkung auftritt.
  • Zur Lösung dieser Aufgabe dient ein funktionelles Redundanzmanagementsystem für ein Fahrzeug gemäß dem beigefügten Anspruch 1 sowie ein Verfahren zum funktionellen Redundanzmanagement gemäß dem beigefügten nebengeordneten Anspruch 5.
  • Das erfindungsgemäße funktionelle Redundanzmanagementsystem umfasst mindestens eine Hauptkomponente, welche eine vorbestimmte technische Funktion hinsichtlich eines vorgegebenen technischen Merkmals am effektivsten erfüllt. Die Hauptkomponente kann die Funktion beispielsweise aus energetischer Sicht oder komfortmäßig am besten erfüllen. Das funktionelle Redundanzmanagementsystem beinhaltet weiterhin mindestens eine Nebenkomponente zur zumindest teilweisen Erfüllung der vorbestimmten technischen Funktion. Die Nebenkomponente kann so ausgebildet sein, dass sie die Funktion der Hauptkomponente vollständig übernehmen kann. Im Vergleich mit der Hauptkomponente wird die Nebenkomponente die Funktion jedoch in der Regel nicht so effektiv und/oder komfortabel wie die Hauptkomponente erfüllen. Ein weiterer Bestandteil des funktionellen Redundanzmanagementsystems ist eine Steuereinheit, welche zur kontinuierlichen Überwachung der Funktionsfähigkeit der Hauptkomponente ausgebildet ist. Die Steuereinheit ist dabei derart ausgeführt, dass sie anhand kontinuierlich erfasster Zustandsgrößen bzw. Parameter der Hauptkomponente einen anstehenden bzw. drohenden Fehlerzustand der Hauptkomponente schon vor Eintreten des Fehlers erfasst und bei Erfassen eines anstehenden Fehlerzustandes die Funktion der Hauptkomponente zumindest teilweise an die Nebenkomponente übergibt. Die Nebenkomponente übernimmt sodann ganz oder teilweise die technische Funktion der Hauptkomponente. Mögliche Komponentenzustände sind im Allgemeinen bekannt und deren Entwicklung ist anhand der erfassten Zustandsgrößen prognostizierbar.
  • Ein wesentlicher Vorteil der erfindungsgemäßen Lösung besteht darin, dass durch die kontinuierliche Erfassung der Zustandsgrößen der Hauptkomponente anstehende teilweise oder gänzliche Ausfälle der Hauptkomponente vor Erreichen eines kritischen Komponentenzustands rechtzeitig erkannt werden können. Überwachte Zustandsgrößen können zum Beispiel die Temperatur, Ströme oder Vibrationen, verbrauchte Leistung oder dergleichen sein. Ein Anstieg der Temperatur bzw. der Ströme und ein Auftreten von Vibrationen könnten beispielsweise auf einen Defekt der Hauptkomponente hindeuten. Mit Kenntnis des zukünftigen, kritischen Systemzustandes ist es möglich, frühzeitig Maßnahmen zur Sicherstellung der Funktionserfüllung einzuleiten. Dies bietet die Möglichkeit, vor teilweisem oder gänzlichem Ausfall der Hauptkomponente, die Funktion der gefährdeten Hauptkomponente durch eine Nebenkomponente zumindest teilweise zu übernehmen. Die gefährdete Hauptkomponente kann hierdurch geschont bzw. regeneriert werden, sodass diese zu einem späteren Zeitpunkt wieder zur Verfügung stehen kann und die Reduktion der Lebensdauer der Hauptkomponente gering gehalten werden kann. Hierdurch kann das Gesamtsystem Fahrzeug nachhaltig betrieben werden. Das Fahrzeug bleibt für die gesamte Fahrdauer funktionstüchtig.
  • Erfindungsgemäß werden funktionelle Redundanzen genutzt, wodurch auf Komponentenredundanz verzichtet werden kann. Es besteht somit nicht mehr die Notwendigkeit, eine Redundanz gleichartiger Komponenten aus gleichen oder unterschiedlichen Teilsystemen vorzusehen. Durch die Möglichkeit der gezielten Schonung oder Regeneration von Hauptkomponenten vor Erreichen eines kritischen Zustandes kann das Gesamtsystem Fahrzeug mit geringeren Leistungsreserven (Sicherheitsfaktoren) einzelner Komponenten ausgelegt werden, ohne die Sicherheit des Gesamtsystems negativ zu beeinflussen. Hieraus ergibt sich zusätzlich zur Einsparung durch Verzicht auf Hardwareredundanz eine Einsparung von Gewicht, Bauraum und Kosten. Weiterhin muss bei einem teilweisen Ausfall der Hauptkomponente bzw. eingeschränktem Betrieb, d. h. beispielweise bei reduzierter Leistung, Bewegung, Druckabfall, die Hauptkomponente nicht vollständig deaktiviert werden. Durch Unterstützung der Hauptkomponente durch die mindestens eine Nebenkomponente können die Anforderungen an die teildefekte Hauptkomponente reduziert und somit ein Weiternutzen ermöglicht werden.
  • Das funktionelle Redundanzmanagementsystem umfasst vorzugsweise eine Anzeigeeinheit zum Anzeigen eines anstehenden Fehlerzustandes der Hauptkomponente. Die Anzeigeeinheit kann einen Fehlerzustand beispielsweise akustisch oder visuell signalisieren. Auf diese Weise erhalten der Fahrer und/oder eine entfernte Servicestelle eine Information über eine anstehende Funktionseinschränkung der Hauptkomponente und können ggf. frühzeitig entsprechende Maßnahmen einleiten. Der anstehende Fehlerzustand der Hauptkomponente wird vorzugsweise nur angezeigt, wenn die Funktionseinschränkung der Hauptkomponente kritisch ist bzw. dauerhaft bestehen bleibt.
  • Gemäß einer bevorzugten Ausführungsform umfasst das funktionelle Redundanzmanagementsystem mehrere Nebenkomponenten. Zumindest eine der Nebenkomponenten ist vorzugsweise dazu ausgebildet, die Funktion der Hauptkomponente vollständig zu übernehmen. Die Steuereinheit ist in diesem Fall bevorzugt derart ausgelegt, dass sie anhand vorgegebener Optimierungskriterien eine oder mehrere der Nebenkomponenten zur Erfüllung der Funktion der Hauptkomponente auswählt. Das Aufrechterhalten der Funktion bzw. der Ersatz einer ausgefallenen oder im Betrieb eingeschränkten Hauptkomponente wird hierbei vorzugsweise durch gezielte Nutzung von Wechselwirkungen zwischen den einzelnen Nebenkomponenten ermöglicht, um eine systemübergreifende Redundanz zu erzielen. Hierbei kann die Funktion der Hauptkomponente durch ein anderes Funktionsprinzip bzw. andere Wirkweise von andersartigen Nebenkomponenten erfüllt werden. Die Funktionsübernahme bzw. Funktionserfüllung kann hierbei in den nachfolgend beschriebenen unterschiedlichen Ausprägungen erfolgen. Im Folgenden wird zwar lediglich eine Nebenkomponente erwähnt. Die Funktion der Hauptkomponente kann jedoch ebenso durch mehrere Nebenkomponenten übernommen werden.
  • Grundsätzlich lassen sich vier Zustände unterscheiden, die bei (teilweisem) Ausfall der Hauptkomponente auftreten können:
    1. a) Uneingeschränkte Übernahme der Funktion der Hauptkomponente durch die Nebenkomponente: Die Hauptkomponente kann somit vollständig deaktiviert werden. Der Nutzer bemerkt den Wechsel nicht. Das System reagiert wie im Normalfall. Beispielsweise kann das Fahrzeug trotz Ausfall einer im Lenkungssystem befindlichen Hauptkomponente die gleiche Trajektorie fahren, da die Nebenkomponente alle Funktionen uneingeschränkt übernimmt.
    2. b) Unterstützende Übernahme der Funktion der Hauptkomponente durch die Nebenkomponente: Die Hauptkomponente kann somit mit reduzierter Leistung dauerhaft weiterbtrieben werden. Der Nutzer bemerkt den Wechsel nicht. Das System reagiert wie im Normalfall. Das Fahrzeug kann auch in diesem Zustand beispielsweise die gleiche Trajektorie fahren.
    3. c) Eingeschränkte Übernahme der Funktion der Hauptkomponente durch die Nebenkomponente: Die Hauptkomponente muss im Betrieb eingeschränkt oder vollständig deaktiviert werden. Der wegfallende Funktionsumfang der Hauptkomponente kann nur teilweise durch die Nebenkomponente kompensiert werden. Der Nutzer bemerkt die dadurch entstehende Beeinträchtigung. Das System kann aber mit anderem Verhalten weiter genutzt werden. Beispielsweise kann das Fahrzeug mit geringerer Geschwindigkeit oder mit kleineren Lenkwinkeln fahren.
    4. d) Notmodus - stark eingeschränkte Übernahme der Funktion der Hauptkomponente durch die Nebenkomponente: Die Hauptkomponente muss im Betrieb stark eingeschränkt oder vollständig deaktiviert werden. Der wegfallende Funktionsumfang der Hauptkomponente kann nur rudimentär durch die Nebenkomponente kompensiert werden. Eine weitere Nutzung wird nicht mehr empfohlen, das System bleibt aber stark eingeschränkt nutzbar. So kann beispielsweise ein Fahrzeug in einen sicheren Zustand überführt werden. Zum Beispiel kann das Fahrzeug aus einer Gefahrenzone heraus an einen Fahrbahnrand gefahren werden.
  • Der Grad der Unterstützung bzw. Kompensation der Funktion der Hauptkomponente kann dabei kontinuierlich und situationsabhängig angepasst werden, wodurch der Übergang zwischen den Zuständen fließend erfolgt und kein vom Nutzer bemerkbarer diskreter Wechsel auftritt. Hierzu werden im Vorfeld zunächst die Wechselwirkungen zwischen den einzelnen Funktionen und einzelnen Haupt- und Nebenkomponenten des Systems identifiziert. Es werden sowohl redundante Funktionen innerhalb einer Komponente, aber auch das Zusammenwirken mehrerer Komponenten im Gesamtsystem analysiert. Wenn alle Wechselwirkungen bekannt sind, werden diese nach einem situationsabhängigen Optimierungskriterium bewertet und das Redundanzmanagement wählt die Funktionsweise/Komponentenkombination aus, die vom gewünschten, d. h. voll funktionsfähigen Betriebsziel, die geringste Abweichung erzielt.
  • Das funktionelle Redundanzmanagementsystem umfasst vorzugsweise mehrere Hauptkomponenten und mehrere Nebenkomponenten, wobei die Funktion einer Hauptkomponente bevorzugt durch mehrere Nebenkomponenten erfüllt werden kann.
  • Gemäß einer vorteilhaften Ausführungsform ist die Hauptkomponente als Lenkkraftunterstützung für eine ein erstes und ein zweites Rad aufweisende Achse des Fahrzeugs ausgebildet. Die Nebenkomponenten umfassen in diesem Fall einen ersten Motor zum Antreiben des ersten Rades und einen zweiten Motor zum Antreiben des zweiten Rades. Die Lenkkraftunterstützung unterstützt über einen Aktor im Lenksystem den Fahrer beim Lenken des Fahrzeugs. Fällt diese Hauptkomponente teilweise oder komplett aus, kann über die Antriebsmomente an der gelenkten Achse ein den Fahrer unterstützendes Lenkmoment im Reifen erzeugt werden. Die Lenkkraftunterstützungsfunktionalität wird auf diese Weise in den Antriebsstrang integriert bzw. übergeben und ermöglicht so die Substitution der konventionellen Lenkkraftunterstützung. Der Grundgedanke ist hierbei, durch unterschiedliche Drehmomente am ersten und zweiten Rad das zum Durchfahren einer Kurve benötigte Fahrer-Handmoment im Sinne einer Lenkkraftunterstützung zu beeinflussen. In einem mit einer Lenkkraftunterstützung ausgestatteten Fahrzeug kann somit die Funktion „Fahrer beim Lenken unterstützen“ auch durch gezieltes Ansteuern von Komponenten eines anderen Teilsystems (Motoren) beeinflusst werden, sodass dieser Effekt zur Abbildung einer Funktionsredundanz genutzt werden kann. Auf diese Weise kann die ursprüngliche Funktion der Hauptkomponente „Fahrer beim Lenken unterstützen“ aufrechterhalten werden. Die Funktion der Hauptkomponente wird somit durch gezielte Nutzung der Wechselwirkung zwischen Längs- und Querführungssystem erzeugt.
  • Das beschriebene Realisierungsbeispiel der Lenkkraftunterstützung ist lediglich ein Ausführungsbeispiel der Erfindung und trägt keinen einschränkenden Charakter. Andere Funktionalitäten, die durch andere Haupt- und Nebenkomponenten realisierbar sind, sind ebenso erfasst.
  • Das erfindungsgemäße Verfahren zum funktionellen Redundanzmanagement für ein Fahrzeug umfasst folgende Schritte: Kontinuierliche Überwachung der Funktionsfähigkeit mindestens einer Hauptkomponente, welche eine vorbestimmte Funktion hinsichtlich eines vorgegebenen Merkmals am effektivsten erfüllt. Die Funktionsfähigkeit der Hauptkomponente wird hierbei anhand kontinuierlich erfasster Zustandsgrößen der Hauptkomponente geprüft. Bei Erfassen eines anstehenden Fehlerzustandes der Hauptkomponente erfolgt eine zumindest teilweise Übergabe der Funktion der Hauptkomponente an mindestens eine Nebenkomponente. Das erfindungsgemäße Verfahren nutzt vorzugsweise das beschriebene funktionelle Redundanzmanagementsystem.
  • Der Fehlerzustand der Hauptkomponente wird vorzugsweise durch eine generierte Fehlermeldung signalisiert. Der anstehende Fehlerzustand der Hauptkomponente wird vorzugsweise nur signalisiert, wenn die Funktionseinschränkung der Hauptkomponente kritisch ist bzw. dauerhaft bestehen bleibt.
  • Gemäß einer bevorzugten Ausführungsform wird bei Erfassen eines regenerierten Zustandes der Hauptkomponente die Funktion von der mindestens einen Nebenkomponente zurück an die Hauptkomponente übergeben.
  • Die Nebenkomponente übernimmt die Funktion der Hauptkomponente vorzugsweise auf mindestens eine der nachfolgend beschriebenen Arten: Uneingeschränkte Übernahme der Funktion der Hauptkomponente durch die Nebenkomponente, wobei die Hauptkomponente vollständig deaktivierbar ist und die Funktion uneingeschränkt zur Verfügung steht. Unterstützende Übernahme der Funktion der Hauptkomponente durch die Nebenkomponente, wobei die Hauptkomponente die Funktion teilweise miterfüllt und die Funktion uneingeschränkt zur Verfügung steht. Eingeschränkte Übernahme der Funktion der Hauptkomponente durch die Nebenkomponente, wobei die Hauptkomponente zumindest teilweise deaktiviert werden muss und die Funktion nur eingeschränkt zur Verfügung steht. Stark eingeschränkte Übernahme der Funktion der Hauptkomponente durch die Nebenkomponente, wobei die Hauptkomponente zumindest teilweise deaktiviert werden muss und die Funktion für einen Notbetrieb stark eingeschränkt zur Verfügung steht.
  • Gemäß einer bevorzugten Ausführung werden weiterhin Zustandsgrößen des Fahrzeuges und der Fahrzeugumgebung erfasst. Die erfassten Zustandsgrößen des Fahrzeugs und der Fahrzeugumgebung finden bei der Überwachung der Funktionsfähigkeit der Hauptkomponente Berücksichtigung.
  • Im Fall einer eingeschränkten Übernahme der Funktion der Hauptkomponente durch die Nebenkomponente erfolgt vorzugsweise eine Rückmeldung an eine Trajektorienplanung und/oder eine Routenplanung. Auf diese Weise besteht die Möglichkeit, eine Anpassung der Trajektorie vornehmen zu können bzw. die Route so zu wählen, dass die neu gewählte Strecke im eingeschränkten Zustand befahrbar ist. Ein eingeschränktes Antriebsmoment reduziert beispielsweise die maximal fahrbare Steigung bzw. Geschwindigkeit. Ein eingeschränkter Lenkwinkel limitiert zum Beispiel den Wendekreis. Diese Aspekte können bei der Auswahl der am besten geeigneten Route automatisch berücksichtigt werden.
  • Bei einer vorteilhaften Ausführungsform ist die überwachte Funktion die Lenkkraftunterstützung für eine ein erstes und ein zweites Rad aufweisende Achse des Fahrzeugs. Bei Erfassen eines anstehenden Fehlerzustandes der Lenkkraftunterstützung wird die Funktion der Lenkkraftunterstützung zumindest teilweise durch Ansteuern eines ersten Motors mit einem ersten Drehmoment zum Antreiben des ersten Rades und eines zweiten Motors mit einem zweiten Drehmoment zum Antreiben des zweiten Rades realisiert.
  • Eine bevorzugte Ausführungsform der Erfindung sowie deren Vorteile und Einzelheiten werden nachfolgend anhand der beigefügten Figuren näher erläutert. Es zeigen:
    • 1 eine schematische Darstellung der Funktionsweise eines erfindungsgemäßen funktionellen Redundanzmanagementsystems;
    • 2 eine schematische Darstellung der Funktionsweise eines Redundanzmanagementsystems nach dem Stand der Technik;
    • 3 eine schematische Darstellung der Einbindung des erfindungsgemäßen Redundanzmanagementsystems in eine übergeordnete Fahrzeugsteuerung.
  • Zunächst soll anhand von 2 die Funktionsweise eines Redundanzmanagementsystems nach dem Stand der Technik beschrieben werden. Ein Fahrzeug 01 fährt auf einer Straße 02. Zu einem Zeitpunkt t1 kommt es zum Ausfall einer Hauptkomponente, beispielsweise im Lenksystem. Das Fahrzeug 01 verbleibt nach Ausfall der Hauptkomponente noch bis zu einem Zeitpunkt t2 auf dem Soll-Kurs 03. Ab dem Zeitpunkt t2 weicht der Ist-Kurs 04 des Fahrzeugs 01 von dem Soll-Kurs 03 ab. Eine Steuereinheit erkennt zum Zeitpunkt t2 den Fehlerzustand der Hauptkomponente. Zum Zeitpunkt t3 wird die Funktion der Hauptkomponente an ein alternatives Teilsystem übergeben. Es dauert jedoch noch bis zum Zeitpunkt t4 bis das Fahrzeug 01 zurück auf dem Soll-Kurs 03 ist. Das vorbekannte Redundanzmanagementsystem reagiert „reaktiv“, d. h. erst auf einen entstandenen, detektierten Fehler bzw. Ausfall. Somit kann kein kontinuierlicher unbeeinträchtigter Fahrbetrieb gewährleistet werden.
  • 1 zeigt eine schematische Darstellung der Funktionsweise eines erfindungsgemäßen funktionellen Redundanzmanagementsystems. Das Fahrzeug 01 fährt wiederum auf der Straße 02. Zu dem Zeitpunkt t1 erkennt die Steuereinheit einen anstehenden Fehlerzustand der Hauptkomponente. Die Steuereinheit übergibt zu dem Zeitpunkt t2 die Funktion der Hauptkomponente teilweise oder komplett an eine Nebenkomponente. Zu dem Zeitpunkt t3 erkennt die Steuereinheit den regenerierten Zustand der Hauptkomponente. Die Funktion wird zu dem Zeitpunkt t4 durch die Steuereinheit von der Nebenkomponente zurück an die Hauptkomponente übergeben. Das Fahrzeug 01 befindet sich den ganzen Zeitraum über auf dem Soll-Kurs 03, d. h. bei dem erfindungsgemäßen funktionellen Redundanzmanagementsystem kommt es im Gegensatz zu dem vorbekannten Redundanzmanagementsystem zu keinem Zeitpunkt zu einer Abweichung zwischen dem Ist-Kurs 04 und dem Soll-Kurs 03 des Fahrzeuges 01. Das erfindungsgemäße Redundanzmanagementsystem reagiert „proaktiv“, d. h. bevor ein Fehler bzw. Ausfall auftritt. Hierdurch bleibt das Fahrzeug während der gesamten Fahrdauer kontinuierlich funktionstüchtig.
  • 3 zeigt eine schematische Darstellung der beispielhaften Einbindung des erfindungsgemäßen Redundanzmanagementsystems in eine übergeordnete Fahrzeugsteuerung. Ein automatisiertes Fahrzeug ist mit dem beschriebenen Funktionsredundanzmanagementsystem ausgestattet. Mittels Fahrzeugsensoren erfolgt eine Erfassung von Zustandsgrößen des Fahrzeugs. Umweltsensoren ermitteln Zustandsgrößen der Fahrzeugumgebung. Die erfassten Zustandsgrößen des Fahrzeugs und der Fahrzeugumgebung werden an eine Fahrzeug-/ Fahrdynamikregelung übermittelt, welche Steuergrößen für Aktoren des Fahrzeugs erzeugt. Der Zustand der Aktoren wird an ein Zuverlässigkeitsmanagement übersandt, welches dafür sorgt, dass im Falle eines Defekts der Hauptkomponente die Funktion der Hauptkomponente möglichst ohne große Einschränkung weiter realisiert werden kann. Hierbei wird durch das Zuverlässigkeitsmanagement aus möglichen Varianten zur Funktionserfüllung diejenige ausgewählt, die die Funktion unter den aktuellen Gegebenheiten (Systemzustand) hinsichtlich den gegebenen Vorgaben am besten erfüllt. Das Zuverlässigkeitsmanagement ist in 3 als separate Einheit dargestellt, prinzipiell ist jedoch ebenso denkbar, dass das Zuverlässigkeitsmanagement als Teil der Fahrdynamikregelung ausgebildet ist. Der Zustand des Fahrzeugs bzw. der Aktoren wird weiterhin mittels eines Ist-Soll-Vergleichs der Fahrzeugbewegung abgeschätzt. Die Funktion der defekten Hauptkomponente wird auf redundante Systeme verteilt. Aufgrund des Zustandes der Aktoren kann es hierbei zu Einschränkungen kommen. In diesem Fall werden von dem Zuverlässigkeitsmanagement eine Rückmeldung über aktuelle Einschränkungen in der umsetzbaren Trajektorie an die Trajektorienplanung und eine Rückmeldung über aktuelle Einschränkungen in der Routenplanung an die Routenplanung übermittelt. Die Fahrzeug- und Fahrdynamikregelung erhält Rückmeldungen über die geänderte Trajektorie und Route.
  • Bezugszeichenliste
    • 01
    Fahrzeug
    02
    Straße
    03
    Soll-Kurs
    04
    Ist-Kurs
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • US 3675422 A [0003]
    • DE 102015214521 A1 [0004]
    • US 20170120753 A1 [0006]
    • DE 102016211342 A1 [0007]
    • DE 102013202253 A1 [0008]

Claims (10)

  1. Funktionelles Redundanzmanagementsystem für ein Fahrzeug (01) umfassend • mindestens eine Hauptkomponente, welche eine vorbestimmte technische Funktion hinsichtlich eines vorgegebenen Merkmals durch Einflussnahme auf eine vorbestimmte Fahrzeugkomponente am effektivsten erfüllt; • mindestens eine Nebenkomponente zur zumindest teilweisen Erfüllung der vorbestimmten technischen Funktion; • eine Steuereinheit zur kontinuierlichen Überwachung der Funktionsfähigkeit der Hauptkomponente, wobei die Steuereinheit derart ausgebildet ist, dass sie anhand kontinuierlich erfasster Zustandsgrößen der Hauptkomponente einen anstehenden Fehlerzustand der Hauptkomponente vor Eintreten des Fehlers erfasst und bei Erfassen eines anstehenden Fehlerzustandes die Funktion der Hauptkomponente zumindest teilweise an die Nebenkomponente übergibt, sodass die Nebenkomponente allein oder gemeinsam mit der Hauptkomponente auf die vorbestimmte Fahrzeugkomponente Einfluss nimmt.
  2. Funktionelles Redundanzmanagementsystem nach Anspruch 1, dadurch gekennzeichnet, dass es mehrere Nebenkomponenten umfasst, wobei zumindest eine der Nebenkomponenten dazu ausgebildet ist, die Funktion der Hauptkomponente zur Einflussnahme auf die vorbestimmte Fahrzeugkomponente vollständig zu übernehmen.
  3. Funktionelles Redundanzmanagementsystem nach Anspruch 2, dadurch gekennzeichnet, dass die Steuereinheit dazu ausgelegt ist, anhand vorgegebener Optimierungskriterien eine oder mehrere der Nebenkomponenten zur Erfüllung der Funktion der Hauptkomponente auszuwählen.
  4. Funktionelles Redundanzmanagementsystem nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass die Hauptkomponente als Lenkkraftunterstützung für eine ein erstes und ein zweites Rad aufweisende Achse des Fahrzeugs (01) ausgebildet ist, und dass die Nebenkomponenten einen ersten Motor zum Antreiben des ersten Rades und einen zweiten Motor zum Antreiben des zweiten Rades umfasst.
  5. Verfahren zum funktionellen Redundanzmanagement für ein Fahrzeug (01) folgende Schritte umfassend: • kontinuierliche Überwachung der Funktionsfähigkeit mindestens einer Hauptkomponente, welche eine vorbestimmte technische Funktion hinsichtlich eines vorgegebenen Merkmals durch Einflussnahme auf eine vorbestimmte Fahrzeugkomponente am effektivsten erfüllt, wobei die Funktionsfähigkeit der Hauptkomponente anhand kontinuierlich erfasster Zustandsgrößen der Hauptkomponente geprüft wird; • bei Erfassen eines anstehenden Fehlerzustandes der Hauptkomponente zumindest teilweise Übergabe der Funktion der Hauptkomponente an mindestens eine Nebenkomponente, welche allein oder gemeinsam mit der Hauptkomponente auf die vorbestimmte Fahrzeugkomponente Einfluss nimmt.
  6. Verfahren nach Anspruch 5, dadurch gekennzeichnet, dass weiterhin Zustandsgrößen des Fahrzeuges und der Fahrzeugumgebung erfasst werden, wobei die erfassten Zustandsgrößen des Fahrzeugs und der Fahrzeugumgebung bei der Überwachung der Funktionsfähigkeit der Hauptkomponente Berücksichtigung finden.
  7. Verfahren nach Anspruch 5 oder 6, dadurch gekennzeichnet, dass bei Erfassen eines regenerierten Zustandes der Hauptkomponente die Funktion von der mindestens einen Nebenkomponente zurück an die Hauptkomponente übergeben wird.
  8. Verfahren nach einem der Ansprüche 5 bis 7, dadurch gekennzeichnet, dass die Übernahme der Funktion der Hauptkomponente durch die mindestens eine Nebenkomponente auf mindestens eine der folgenden Arten erfolgt: • uneingeschränkte Übernahme der Funktion der Hauptkomponente durch die Nebenkomponente, wobei die Hauptkomponente vollständig deaktivierbar ist und die Funktion uneingeschränkt zur Verfügung steht; • unterstützende Übernahme der Funktion der Hauptkomponente durch die Nebenkomponente, wobei die Hauptkomponente die Funktion teilweise miterfüllt und die Funktion uneingeschränkt zur Verfügung steht; • eingeschränkte Übernahme der Funktion der Hauptkomponente durch die Nebenkomponente, wobei die Hauptkomponente zumindest teilweise deaktiviert wird und die Funktion nur eingeschränkt zur Verfügung steht; • stark eingeschränkte Übernahme der Funktion der Hauptkomponente durch die Nebenkomponente, wobei die Hauptkomponente zumindest teilweise deaktiviert wird und die Funktion für einen Notbetrieb stark eingeschränkt zur Verfügung steht.
  9. Verfahren nach Anspruch 8, dadurch gekennzeichnet, dass bei eingeschränkter Übernahme der Funktion der Hauptkomponente durch die Nebenkomponente eine Rückmeldung an eine Trajektorienplanung und eine Routenplanung erfolgt.
  10. Verfahren nach einem der Ansprüche 6 bis 9, dadurch gekennzeichnet, dass die überwachte Funktion die Lenkkraftunterstützung für eine ein erstes und ein zweites Rad aufweisende Achse des Fahrzeugs (01) ist, und dass bei Erfassen eines anstehenden Fehlerzustandes der Lenkkraftunterstützung die Funktion der Lenkkraftunterstützung zumindest teilweise durch Ansteuern eines ersten Motors mit einem ersten Drehmoment zum Antreiben des ersten Rades und eines zweiten Motors mit einem zweiten Drehmoment zum Antreiben des zweiten Rades erfolgt.
DE102018121396.4A 2018-09-03 2018-09-03 Funktionelles Redundanzmanagementsystem für Fahrzeuge und Verfahren zum funktionellen Redundanzmanagement Pending DE102018121396A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102018121396.4A DE102018121396A1 (de) 2018-09-03 2018-09-03 Funktionelles Redundanzmanagementsystem für Fahrzeuge und Verfahren zum funktionellen Redundanzmanagement

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102018121396.4A DE102018121396A1 (de) 2018-09-03 2018-09-03 Funktionelles Redundanzmanagementsystem für Fahrzeuge und Verfahren zum funktionellen Redundanzmanagement

Publications (1)

Publication Number Publication Date
DE102018121396A1 true DE102018121396A1 (de) 2020-03-05

Family

ID=69527214

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102018121396.4A Pending DE102018121396A1 (de) 2018-09-03 2018-09-03 Funktionelles Redundanzmanagementsystem für Fahrzeuge und Verfahren zum funktionellen Redundanzmanagement

Country Status (1)

Country Link
DE (1) DE102018121396A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102020108987A1 (de) 2020-04-01 2021-10-07 Bayerische Motoren Werke Aktiengesellschaft Verfahren, System, Computerprogramm und Speichermedium zum fehlertoleranten Betreiben eines Fahrzeugs

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102020108987A1 (de) 2020-04-01 2021-10-07 Bayerische Motoren Werke Aktiengesellschaft Verfahren, System, Computerprogramm und Speichermedium zum fehlertoleranten Betreiben eines Fahrzeugs

Similar Documents

Publication Publication Date Title
EP3584140B1 (de) Verfahren und vorrichtung für die steuerung eines sicherheitsrelevanten vorganges, sowie fahrzeug
DE60221949T2 (de) Elektrische Lenkung für ein Fahrzeug mit dreifacher Redundanz
EP2719593B1 (de) Bremssystem und Verfahren zur Erzeugung einer Bremskraft
DE102019104392B4 (de) Kraftfahrzeug mit angetriebenen Rädern auf mehreren Achsen und Verfahren zu dessen Steuerung
DE102013007857B4 (de) Verfahren zum Betrieb eines Bremssystems beim vollautomatischen Fahren und Kraftfahrzeug
EP0418258B2 (de) Steuereinheit zur lenkung der hinterräder eines strassenfahrzeuges
WO2015090557A1 (de) Kraftfahrzeug
EP3661819B1 (de) Kontrollsystem für ein kraftfahrzeug, kraftfahrzeug, verfahren zur kontrolle eines kraftfahrzeugs, computerprogrammprodukt und computerlesbares medium
DE102013020177A1 (de) Kraftfahrzeug
EP2754574A1 (de) Verfahren für die Regelung eines Vertikalregelsystems eines Fahrzeugs
EP2331383B1 (de) Vorrichtung und verfahren zur steuerung einer elektrischen lenkung
DE102019104391A1 (de) Kraftfahrzeug und Verfahren zu dessen Steuerung
EP1989470B1 (de) Sicherheitskonzept für eine getriebestellvorrichtung
DE112017005108T5 (de) Lenksystem
DE102021000369A1 (de) Verfahren zur Steuerung eines automatisiert fahrenden Fahrzeuges
DE102021114374A1 (de) Verfahren und Vorrichtung zum Bremsen eines Fahrzeugs
DE102019130036A1 (de) Vorrichtung zur Steuerung eines automatisierten Fahrbetriebs eines Fahrzeugs
DE102021110472A1 (de) Bremssystem für ein Fahrzeug
DE102019206501B4 (de) Ausfallsichere Bremsvorrichtung für ein Kleinstfahrzeug
DE102008041463A1 (de) Steuersystem und Steuerverfahren zum Steuern einer Mehrzahl von Antriebsquellen eines Hybridantriebs
EP1362721A2 (de) Regelsystem für ein Kraftfahrzeug mit Wankstabilisierung
DE102018121396A1 (de) Funktionelles Redundanzmanagementsystem für Fahrzeuge und Verfahren zum funktionellen Redundanzmanagement
DE10135736C1 (de) Verfahren zum Ansteuern einer Kupplung einer Steer-by-Wire-Lenkanlage
EP3470301B1 (de) Lenkungssteuersystem für ein lenksystem eines kraftfahrzeuges sowie verfahren zum betreiben eines lenkungssteuersystems
EP2337727B1 (de) Servo-lenksystem und verfahren zum betreiben eines servo-lenksystems

Legal Events

Date Code Title Description
R012 Request for examination validly filed