-
Die Erfindung betrifft ein Verfahren zur Nutzungsfreigabe eines Wasserstofftanksystems mit mehreren Druckgasbehältern, welche jeweils einen Temperatursensor aufweisen, nach der im Oberbegriff von Anspruch 1 näher definierten Art.
-
Wasserstofftanksysteme umfassen typischerweise mehrere Druckgasbehälter, in denen der Wasserstoff gespeichert ist. Jeder dieser Druckgasbehälter umfasst ein Tankventil zur Entnahme von Wasserstoff und ein meist in dem Druckgasbehälter und/oder in dem Tankventil bzw. in dessen Bereich angeordneten Temperatursensor. Kommt es, insbesondere bei niedrigen Umgebungstemperaturen, zu der Entnahme einer größeren Wasserstoffmenge aus dem jeweiligen Druckgasbehälter, können die Temperaturen unter Grenztemperaturen fallen, welche eine irreversible Schädigung der Druckgasbehälter bzw. ihrer Tankventile, und hier insbesondere der Dichtungen, verursachen könnten. Es ist deshalb wichtig, eine Überwachung der entsprechenden Druckgasbehälter über die Temperaturwerte zu realisieren, um diese im Notfall abzuschalten bzw. zu sperren, bevor die Dichtungen irreversibel zu Schaden kommen.
-
Um die Zuverlässigkeit der erfassten Temperaturwerte festzustellen und damit letztlich die Funktion der Sensoren zu überwachen, gibt es nun verschiedene Möglichkeiten. So beschreibt z.B. die
DE 10 2014 207 623 A1 ein Verfahren zum Managen von Temperaturanomalien in einem Wasserstofftank. Über Temperaturdifferenzen und ähnliches wird die Funktionalität von einzelnen Sensoren ermittelt oder zumindest Plausibilisiert. Derjenige oder diejenigen Druckgasbehälter gemäß der Diagnoseergebnisse defekten Sensor, weil dieser einen anormalen Temperaturwert liefert, wird vom weiteren Betrieb ausgeschlossen bzw. gesperrt. Dies ist in der Sache sehr komplex und aufwändig und birgt alleine schon daher die potenzielle Gefahr eines Fehlers. Das beschriebene Verfahren eignet sicher daher nicht für eine sicherheitsrelevante Überwachung des Wasserstofftanks, z.B. in einem mit dem Wasserstoff angetriebenen Fahrzeug.
-
Die
KR 2010 002 7749 A beschreibt ferner ein zusätzliches Temperaturmodel zur Plausibilisierung der Sensorwerte. Dies hat jedoch das Problem, dass die Genauigkeit und die Zuverlässigkeit von der Modellierung abhängen und damit ebenfalls für Sicherheitsfunktionen eher wenig geeignet sind.
-
Ferner sind aus dem allgemeinen Stand der Technik sehr einfache, zuverlässige und auch sicherheitsrelevante Anforderungen erfüllende Abfragen an sich bekannt. Diese haben jedoch das Problem, dass Sie einen potenziell fehlerhaften Sensor in dem Wasserstofftank zwar erkennen, den Fehler jedoch keinem der Sensoren bzw. Druckgasbehälter gezielt zuordnen können. Im Zweifel wird also der gesamte Tank gesperrt. Dies ist zwar sicher, wirkt sich jedoch auf die Verfügbarkeit nachteilig aus.
-
Der weitere Stand der Technik beispielsweise in Form der
JP 2016-176432 A beschreibt die Verwendung von mehreren Temperatursensoren an jedem der Druckgasbehälter, um so die Werte der Sensoren untereinander zu vergleichen und zu plausibilisieren. Dies ist jedoch außerordentlich aufwändig im Aufbau der Hardware.
-
Die Aufgabe der hier vorliegenden Erfindung besteht nun darin, ein verbessertes Verfahren zur Nutzungsfreigabe eines Wasserstofftanksystems mit mehreren Druckgasbehältern anzugeben, welches die oben genannten Nachteile vermeidet und einerseits sehr sicher ist und andererseits eine hohe Verfügbarkeit der Wasserstofftanksystems ermöglicht.
-
Erfindungsgemäß wird diese Aufgabe durch ein Verfahren mit den Merkmalen im Anspruch 1, und hier insbesondere im kennzeichnenden Teil von Anspruch 1, gelöst. Vorteilhafte Ausgestaltungen und Weiterbildungen ergeben sich aus den hiervon abhängigen Unteransprüchen.
-
Das erfindungsgemäße Verfahren ermittelt ähnlich wie im Stand der Technik die Funktionalität des jeweiligen Temperatursensors mit seiner Zuordnung zu dem jeweiligen Druckgasbehälter, wofür verschiedene an sich bekannte Verfahren genutzt werden können, welche für die hier vorliegende Erfindung von nicht weiterer Bedeutung sind und daher nicht weiter erläutert werden. Diese komplexe Berechnung ergibt dann, welche Druckgasbehälter einen sicher funktionierenden Temperatursensor haben und ermöglicht so den Betrieb aller sicher betreibbaren Druckgasbehälter. Die dafür benötigten komplexen Plausibilitätsverfahren und Ausschlusskriterien der Sensorwerte werden erfindungsgemäß nun in einer ersten Recheneinheit oder auf einer ersten Softwareebene in einer Applikationssoftware durchgeführt. Wie eingangs bereits erwähnt haben diese Vorgänge das Problem, dass sie nicht sicherheitskompatibel sind, da sie aufgrund ihrer Komplexität für sicherheitsrelevante Funktionalitäten nicht zuverlässig eingesetzt werden können. Das erfindungsgemäße Verfahren sieht es daher vor, dass diejenigen Druckgasbehälter mit funktionierenden Temperatursensoren nun an eine zweite Recheneinheit oder zweite Softwareebene weitergemeldet werden. Diese Softwareebene, welche gemäß einer sehr vorteilhaften Weiterbildung des erfindungsgemäßen Verfahrens der Sicherheitssteuerung des Wasserstoffstanks zuzurechnen ist, arbeitet nun nur mit diesem freigegebenen Druckgasbehältern mit korrekt funktionierendem Temperatursensor und sperrt die anderen. Die verbleibenden Druckgasbehälter mit den korrekt funktionierenden Temperatursensoren werden dann über diese zweite Recheneinheit bzw. Softwareebene mit einem sehr einfachen Algorithmus überwacht, um festzustellen, ob alle angeforderten Druckgasbehälter einen fehlerfreien Temperatursensor besitzen. Die im Sicherheitsbereich laufende Software ist dabei entsprechend einfach, effizient und aufgrund ihrer sehr niedrigen Komplexität für eine effiziente Entwicklung von Sicherheitsfunktionen geeignet. Die Abläufe in diesem sogenannten Safety Kernel überwachen dann jedoch nur alle verbleibenden Druckgasbehälter zusammen. Kommt es hier zu einer Fehlfunktion, dann ist auf dieser Softwareebene, aufgrund der fehlenden Komplexität nicht festzustellen, welcher der verbleibenden Temperatursensoren den Fehler verursacht. Daher wird in diesem Fall das gesamte Wasserstofftanksystem gesperrt, wenn es zu einer Abweichung kommt.
-
Das erfindungsgemäße Verfahren kombiniert also das komplexe aber nicht sichere Plausibilitätsverfahren in einer ersten Ebene mit dem sicheren aber hinsichtlich der Komplexität sehr einfachen Verfahren in einer zweiten Ebene. Dadurch wird eine hohe Sicherheit gewährleistet und gleichzeitig kann aufgrund des vorgeschalteten Verfahrens in der ersten Ebene eine höhere Verfügbarkeit des Wasserstofftanksystems als Ganzes erzielt werden, als dies beim Stand der Technik der Fall ist.
-
Gemäß einer sehr vorteilhaften Weiterbildung des erfindungsgemäßen Verfahrens ist es dabei vorgesehen, dass die zweite Recheneinheit oder Softwareebene die Sensorwerte der durch die erste Recheneinheit oder Softwareebene freigegebenen Druckgasbehälter überwacht, indem sie prüft, ob alle Werte innerhalb eines maximal erlaubten Toleranzbereichs liegen. Dies ist außerordentlich einfach und effizient und aufgrund der niedrigen Komplexität der benötigten Software auch problemlos im Sicherheitsbereich der Funktionalitäten realisierbar. Wenn die Funktionssicherheit für alle angeforderten Druckgasbehälter vorhanden ist, erfolgt dann eine Freigabe des gesamten Wasserstofftanksystems mit den über die erste Recheneinheit oder Softwareebene freigegebenen Druckgasbehältern. Ist dies nicht der Fall, tritt also bei der Überprüfung durch die zweite Recheneinheit oder Softwareebene ein Fehlerfall auf, dann wird aus Sicherheitsgründen das gesamte Wasserstofftanksystem gesperrt.
-
Wie bereits erwähnt kann gemäß einer sehr vorteilhaften Weiterbildung des erfindungsgemäßen Verfahrens die zweite Recheneinheit der Sicherheitssteuerung des Wasserstoffstanks zugeordnet sein. Eine sehr vorteilhafte Weiterbildung des erfindungsgemäßen Verfahrens sieht es im Gegenzug vor, dass die erste Recheneinheit bzw. Softwareebene in einem nicht sicherheitsrelevanten Bereich erfolgt. Beispielsweise beim Einsatz des Verfahrens zur Freigabe von Druckgasbehältern in einem Wasserstofftanksystem, welches Wasserstoff zum Antrieb eines Fahrzeugs bereitstellt, kann dies innerhalb des Fahrzeugsteuergeräts sein. Dort steht die entsprechende Rechenleistung zur Verfügung, ohne dass in die Steuerung unmittelbar sicherheitsrelevanter Funktionen eingegriffen wird.
-
Die Übermittlung der verfügbaren Druckgasbehälter von der ersten Recheneinheit bzw. Softwareebene an die zweite Recheneinheit oder Softwareebene kann dabei vorzugsweise über ein Bit-Pattern erfolgen. So kann beispielsweise für Druckgasbehälter mit funktionierender Temperatursensorik eine 1 und für solche mit nicht funktionierender Temperatursensorik eine 0 übertragen werden. Über die zweite Recheneinheit bzw. Softwareebene werden dann nur die mit 1 markierten Druckgasbehälter überhaupt freigeschaltet und im Weiteren entsprechen überwacht. Ist die dort erfolgende Diagnose positiv, liegt also kein Fehlerfall vor, wird so Wasserstoff aus allen zuvor mit 1 markierten Druckgasbehältern entnommen, liegt ein Fehlerfall vor, wird der gesamte Tank aus Sicherheitsgründen abgeschaltet bzw. gesperrt.
-
Wie bereits oben angedeutet kann das erfindungsgemäße Verfahren insbesondere zur Nutzungsfreigabe von Druckgasbehältern in einem Wasserstofftanksystem verwendet werden, welches Wasserstoff zum Antrieb eines Fahrzeugs bereitstellt. Der Wasserstoff kann dann insbesondere direkt oder mittelbar über ein Brennstoffzellensystem in Antriebsleistung umgesetzt werden. Direkt bezieht sich dabei auf ein Brennstoffzellensystem, welches elektrische Leistung direkt für den Antrieb liefert, gegebenenfalls zusammen mit einer Hybridbatterie. Mittelbar wäre ein System, bei welchem die elektrische Antriebsleistung immer aus der Batterie stammt und das Brennstoffzellensystem diese entsprechend nachlädt, also im Wesentlichen ein serieller Hybrid, welcher auch als Range-Extender bezeichnet wird.
-
Weitere vorteilhafte Ausgestaltungen des erfindungsgemäßen Verfahrens ergeben sich auch aus dem Ausführungsbeispiel, welches nachfolgend unter Bezugnahme auf die Figuren näher beschrieben ist.
-
Dabei zeigen:
- 1 eine Ansicht eines beispielhaften Wasserstofftanksystems; und
- 2 ein schematischer Aufbau der Sicherheitssytemarchitektur im Tanksteuergerät in der Ausführung gemäß der Erfindung.
-
In der Darstellung der 1 ist schematisch ein Wasserstofftanksystem 1 dargestellt, wie er beispielsweise in einem nicht dargestellten Fahrzeug zum Einsatz kommen kann. Der Wasserstoff ist in mehreren Druckgasbehältern 2, 3, 4 innerhalb des Wasserstofftanksystems 1 gespeichert. Jeder der Druckgasbehälter 2, 3, 4 verfügt über einen Temperatursensor 5, 6, 7 sowie über ein Tankventil 8, 9, 10. Diese stehen steuerungstechnisch mit einem Tanksteuergerät 11 in Verbindung. Außerdem sind die Tankventile 8, 9, 10 der einzelnen Druckgasbehälter 2, 3, 4 mit einer Hochdruckleitung 12 verbunden, über welche der unter Druck stehende Wasserstoff in die Systeme, in denen er später verwendet wird, gelangt. Diese Systeme können insbesondere ein Brennstoffzellensystem sein, welches die Antriebsleistung für ein Fahrzeug direkt oder mittelbar über eine Batterie zur Verfügung stellt.
-
Die Tankventile 8, 9, 10 sind nun gegen eine Unterkühlung anfällig, insbesondere im Bereich ihrer Dichtungen. Über eine Sicherheitsfunktion muss deshalb ein rechtzeitiges Schließen der Tankventile 8, 9, 10 vorgenommen werden, wenn die Temperatur, welche über den jeweiligen Temperatursensor 5, 6, 7 des jeweiligen Druckgasbehälters 2, 3, 4 gemessen wird, sich einem vorgegebenen Temperaturgrenzwert von beispielsweise -30° C nähert.
-
Bei dieser Überwachung ist es wichtig, dass die von den einzelnen Temperatursensoren 5, 6, 7 übermittelten Werte entsprechend zuverlässig sind. Die Temperatursensoren 5, 6, 7 werden deshalb in dem Tanksteuergerät 11 entsprechend überwacht, um sicherzustellen, dass die von den Temperatursensoren 5, 6, 7 gelieferten Temperaturwerte plausibel, und nicht aufgrund einer Fehlfunktion des jeweiligen Temperatursensors 5, 6, 7 verfälscht sind. Die sichere Funktionalität des jeweiligen Temperatursensors 5, 6, 7 ist also neben dem Erreichen der Grenztemperatur ein ganz ausschlaggebender Wert für die sichere Funktion des Wasserstofftanksystems 1.
-
Die Plausibilisierung der Daten der einzelnen Temperatursensoren 5, 6, 7, insbesondere wenn diese einem bestimmten Druckgasbehälter 2, 3, 4 zugeordnet werden sollen, ist nun entsprechend aufwändig. Die Komplexität dieser Diagnose erlaubt es nicht, sie im Rahmen einer sicherheitsrelevanten Funktionalität durchzuführen, da allein die Komplexität des Verfahrens die ausreichend sichere und zuverlässige Funktion für sicherheitsrelevante Überprüfungen extrem aufwändig macht. Andererseits kann eine einfache Diagnose der Funktionssicherheit auch im sicherheitsrelevanten Bereich des Steuergeräts 11 als Softwarearchitektur mit möglichst niedriger Komplexität durchgeführt werden. Damit lässt sich aber nur feststellen, ob einer oder mehrere der Temperatursensoren 5, 6, 7 ein Problem haben, es lässt sich nicht feststellen, welcher es ist.
-
Das Verfahren macht sich nun diese beiden unterschiedlichen Komplexitätsstufen der Diagnose und Überwachung zunutze, indem er die Funktionalitäten auf zwei Recheneinheiten oder Softwareebenen aufteilt. In der Darstellung der 2 ist das Tanksteuergerät 11, welches auch als TCU (Tank Control Unit) bezeichnet wird, nochmals dargestellt. Dabei sind zwei Softwareebenen 100 und 200 innerhalb der TCU 11 entsprechend angedeutet. Die Softwareebene 100, oder auch eine eigene erste Recheneinheit, umfasst eine Applikationssoftware ASW, welche durch komplexe Plausibilitätsverfahren und Ausschlusskriterien, auf welche hier gar nicht weiter eingegangen werden muss, die Werte der einzelnen Temperatursensoren 5, 6, 7 untereinander abgleicht.
-
Im Anschluss lässt sich daraus über einen sehr komplexen Algorithmus ein Ergebnis erreichen, welcher der Druckgasbehälter 2, 3, 4 einen funktionierenden Temperatursensor 5, 6, 7 besitzt und welcher nicht. Die Applikationssoftware ASW läuft dabei in einem nicht sicherheitsrelevanten Bereich, beispielsweise in einer entsprechenden Recheneinheit oder Softwareebene 100 der Steuerung. In der Darstellung der 2 ist innerhalb der Applikationssoftware ASW in der ersten Softwareebene 100 ein Ergebnis der komplexen Diagnoseabläufe dargestellt. Der Druckgasbehälter 2 mit seinem Temperatursensor 5, was hier durch die Bezeichnung 2_5 angedeutet ist, hat einen funktionierenden Temperatursensor 5, was hier wiederum durch die 1 angedeutet ist. Der zweite Druckgasbehälter 3 mit seinem Temperatursensor 6 hat ein Problem mit dem Temperatursensor 6, dieser funktioniert also nicht. Dies ist durch die 0 entsprechend angedeutet. Der Temperatursensor 7 des dritten Druckgasbehälters 4 soll dagegen wieder funktionieren, sodass das Diagnoseergebnis eine 1 ist. Dies Bit-Pattern mit den Werten 1-0-1 wird nun entsprechend in die zweite Softwareebene in den sicherheitsrelevanten Bereich übertragen.
-
Dort findet eine einfache Diagnose statt, welcher hier unter dem Begriff SMD (Split Monitor Diagnose) abgebildet ist. Die übermittelte Bit-Pattern zeigt an, dass aufgrund der Voranalyse durch die Applikationssoftware nun mit dem Druckgasbehältern 2 und 4 sowie ihren Temperatursensoren 5 und 7 entsprechend operiert werden kann. Lediglich diese beiden Druckgasbehälter 2 und 4 bzw. ihre Temperatursensoren 5 und 7 werden also in die Überwachung einbezogen und durch diese „bewertet“, der Temperatursensor 6 des Druckgasbehälters 3 wird dies nicht, er wird also „ignoriert“. Im Ergebnis ist es nun so, dass in diesem sicherheitsrelevanten Bereich, also in der Softwareebene 200, eine sehr einfache und wenig komplexe Abfrage erfolgt, die lediglich prüft, ob die Sensorwerte der bewerteten Druckgasbehälter 2, 4 innerhalb eines maximal erlaubten Toleranzbereiches sind. Ist dies der Fall, was hier durch die Abfrage SMD+/ja gekennzeichnet ist, führt dazu, dass die beiden bewerteten Druckgasbehälter 2 und 4 verwendet werden, der ausgeschlossenen Druckgasbehälter 3 nicht. Kommt die Abfrage SMD+ zu einem Fehler (nein), liegt also wenigstens einer der Sensorwerte außerhalb des maximal erlaubten Toleranzbereichs, dann kann aufgrund der einfachen und wenig komplexen Software nicht festgestellt werden, welcher der Temperatursensoren 5, 7 dies ist. Als Sicherheitsfunktion wird dann das gesamte Wasserstofftanksystem 1 entsprechend gesperrt, sodass also auch die beiden bisher bewerteten Druckgasbehälter 2, 4 auf nein gesetzt werden und dementsprechend keine Verwendung mehr finden.
-
Die Abläufe in der zweiten Softwareebene 200, dem sogenannten Safety Kernel, benötigen für die SMD dabei die Temperatursignale von mindestens zwei durch die Applikationssoftware ASW freigegebenen Druckgasbehältern 2, 4. Der Safety Kernel stellt dann eine Abschaltung des gesamten Wasserstofftanksystems 1, also aller Druckgasbehälter 2, 3, 4 sicher, wenn nicht mindestens zwei der Druckgasbehälter 2, 4 freigegeben sind. Er sperrt außerdem die Druckgasbehälter 3, welche über das Bit-Pattern als nicht verfügbar gekennzeichnet sind, sodass diese erst gar nicht in den Safety Kernel eingebunden werden.
-
Prinzipiell wäre es hier auch möglich, auf der Ebene des ASW bestimmte Druckgasbehäter 2, 3, 4 beispielsweise nach Kundenwunsch oder gemäß anderen externen Vorgaben freizugeben oder zu sperren, ohne dass dafür ein Eingriff in die sicherheitsrelevante zweiten Softwareebene 200 erfolgen muss.
-
Alles in allem lässt sich so eine hohe Sicherheit mit einer einfachen und wenig komplexen Software innerhalb des Safety Kernel realisieren. Durch das Vorschalten der Applikationssoftware in dem nicht sicheren Bereich 100 der TCU 11 lässt sich dennoch sicherstellen, dass immer die maximale Verfügbarkeit der einzelnen Druckgasbehälter 2, 3, 4 zur Abgabe von Wasserstoff besteht.
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
- DE 102014207623 A1 [0003]
- KR 20100027749 A [0004]
- JP 2016176432 A [0006]