EP1525118A1 - Vorrichtung und verfahren zur redundanten spannungsversorgung sicherheitsrelevanter systeme - Google Patents

Vorrichtung und verfahren zur redundanten spannungsversorgung sicherheitsrelevanter systeme

Info

Publication number
EP1525118A1
EP1525118A1 EP03784023A EP03784023A EP1525118A1 EP 1525118 A1 EP1525118 A1 EP 1525118A1 EP 03784023 A EP03784023 A EP 03784023A EP 03784023 A EP03784023 A EP 03784023A EP 1525118 A1 EP1525118 A1 EP 1525118A1
Authority
EP
European Patent Office
Prior art keywords
control device
control
safety
relay unit
voltage
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP03784023A
Other languages
English (en)
French (fr)
Inventor
Gerald Faulhaber
Peter Hanf
Andreas Pohlmann
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mercedes Benz Group AG
Original Assignee
DaimlerChrysler AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by DaimlerChrysler AG filed Critical DaimlerChrysler AG
Publication of EP1525118A1 publication Critical patent/EP1525118A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02JCIRCUIT ARRANGEMENTS OR SYSTEMS FOR SUPPLYING OR DISTRIBUTING ELECTRIC POWER; SYSTEMS FOR STORING ELECTRIC ENERGY
    • H02J9/00Circuit arrangements for emergency or stand-by power supply, e.g. for emergency lighting
    • H02J9/04Circuit arrangements for emergency or stand-by power supply, e.g. for emergency lighting in which the distribution system is disconnected from the normal source and connected to a standby source
    • H02J9/06Circuit arrangements for emergency or stand-by power supply, e.g. for emergency lighting in which the distribution system is disconnected from the normal source and connected to a standby source with automatic change-over, e.g. UPS systems
    • H02J9/061Circuit arrangements for emergency or stand-by power supply, e.g. for emergency lighting in which the distribution system is disconnected from the normal source and connected to a standby source with automatic change-over, e.g. UPS systems for DC powered loads

Definitions

  • the invention relates to a device and a method for the redundant voltage supply of safety-relevant systems, in particular in motor vehicles.
  • WO 99/42331 discloses a voltage supply circuit for safety-relevant systems, such as electric brakes, in motor vehicles, in which the system is assigned its own additional batteries, which are connected to a vehicle electrical system battery by means of a charging circuit and switchover unit and by means of monitoring and distributing the electrical energy / or the generator can be connected.
  • the safety-relevant systems are supplied from the additional battery assigned to them, in the event of a defect in the additional battery or in the event of an excessively discharged additional battery, the system is switched over and the safety-relevant systems are supplied directly from the on-board electrical system battery. Due to this changeover at no more 'sufficient E- nergie the auxiliary battery to the vehicle power supply battery is dispensed with a monitoring circuit for the auxiliary battery.
  • a redundant power supply for safety-relevant consumers is known from DE 100 53 584 AI.
  • This device has a first voltage supply and a second voltage supply arranged in the on-board electrical system, the first and second voltage supplies being connected via a decoupling element.
  • the decoupling element for example a diode, a switch with current direction detection or field effect transistors with internal short-circuit current detection, ensures a directed current flow from the first to the second voltage supply.
  • the first voltage supply, a second decoupling element and the second voltage supply are connected to the safety-relevant consumer via a third decoupling element and ensure a directed current flow. If the voltage of the first voltage supply falls below that of the second voltage supply, the decoupling element becomes permeable, so that the second voltage supply takes over the voltage supply of the safety-relevant consumer.
  • DE 198 55 245 AI specifies a redundant voltage supply for electrical consumers in a vehicle electrical system, which is used in particular in the case of electrically actuated brakes.
  • the electrical consumer is simultaneously connected to two separate voltage branches via isolating modules, each of which is connected to its own voltage storage via charging isolating modules. If an error occurs in a supply branch that endangers the voltage supply for the consumer this supply branch is opened by means of suitable switchover means and the voltage supply is only taken over by the functional voltage branch
  • Separating modules and charging-separating modules can be integrated in a battery connector.
  • monitoring is now carried out to determine whether different voltages are present in safety-relevant systems and also monitoring whether a voltage is switched on by a first control device and / or a second control device has been implemented as the first fallback level, and in the event of a failure of the first and second control devices, the voltage is switched on by a third control device.
  • the device according to the invention for the redundant voltage supply of safety-related systems represents an extremely cost-effective solution, since the individual control devices for controlling exclusive relays for one voltage supply each are already designed in conventional devices, in addition only the connection and the information exchange via communication channels, such as the CAN -Bus implemented and control of all relays must be made possible by each of the control devices.
  • Fig. 1 is a simplified block diagram of the device according to the invention for the redundant power supply of safety-related systems and
  • FIGS. 2a and 2b a flowchart which illustrates the functional sequence of the method according to the invention for the redundant voltage supply of safety-relevant systems.
  • the simplified structure of the device according to the invention for redundant voltage supply will now be discussed in more detail below with reference to FIG. 1.
  • 11 denotes a CAN bus, as an example of communication channels, via which communication signals are transmitted.
  • the device according to the invention for redundant voltage supply has a first control device 1, which monitors the presence of a voltage on one or more safety-relevant system (s) 5 via a line Spl and, in the absence of a voltage present there, via one control signal Stl one or more in a relay unit Can control 4 contained relays, so that a voltage is then applied to the safety-relevant system (s) 5.
  • the first control device 1 outputs a request message Anfl to the CAN bus 11 when one or more relays in the relay unit 4 are to be controlled in order to restore a voltage supply to the safety-relevant system (s) 5.
  • EHB electro-hydraulic brake
  • EHL electro-hydraulic steering
  • the device according to the invention comprises a second control device 2, which monitors the presence of a voltage on the one or more safety-relevant system (s) 5 via a line Sp2 and can also control the relays in the relay unit 4 in the absence of a voltage present there.
  • the request message Anfl receives from the first control device "1 via the CAN bus 11, it checks whether a switching of the relay unit 4 that is, a restoration of the power supply of the one or more safety-related systems 5, through the first Control device 1 has been triggered and has taken place.
  • the relay (s) in the relay unit 4 are activated in order to restore a voltage supply, by the second control device.
  • the second control device 2 is designed such that it sends a request message Anf2 to the CAN in a case in which it cannot effect switching of the relay (s) in the relay unit 4 despite the lack of voltage on the safety-relevant system (s) 5 - Bus 11 sets.
  • a third control device 3 is also formed, which monitors the presence of a voltage on the one or more safety-relevant system (s) 5 via a line Sp3 and also the relays in the absence of a voltage present there can control in the relay unit 4.
  • the control device 3 receives both a request message Anfl from the first control device 1 and a request message Anf2 from the second control device 2 via the CAN bus and detects the absence of a voltage on the safety-relevant system (s) 5 the control device 3 switches on the relay unit 4 in such a way that the relay (s) is switched over, so that a voltage supply of the safety-relevant system (s) 5 is restored.
  • step SI the control device 1 monitors via a line Spl whether one or more safety-relevant systems 5 a voltage can be detected. If this is the case, the process is ended and the process returns to the beginning (monitoring).
  • step SI If it is determined in step SI that there is no voltage on one or more safety-relevant systems 5, the first control device 1 controls the relay unit 4 in step S2 by means of a control signal Stl, so that a voltage is again applied to the safety-relevant system (s) (e) is created. Otherwise, the process ends after step SI.
  • step S3 a request message Anfl, which states that the switchover of the relay for the voltage supply is necessary, is output on the CAN bus 11.
  • This request message Anfl is received in step S4 by the second control device 2.
  • the second control device 2 checks in step S5 whether the control / switching of the relay unit 4 by the first control device 1 was successful. If so, the process ends. Otherwise, the process proceeds to step S6, in which a line Sp2 is used to determine whether a voltage is present at one or more safety-relevant systems 5. In the positive case, the process ends; in the negative case, a step is made to step S7, in which it is checked whether the second control unit 2 can control / switch the relay unit 4. If the activation / switching is judged to be possible in step S7, the activation / switching of the relay unit 4 by the second activation device 2 then takes place in step S8 via the control signal St2, and the sequence then ends.
  • the second activation device device 2 in a step S9 a request message Anf2 on the CAN bus 11.
  • This request message Anf2 of the second control device 2 is received in step S10 together with the request message Anfl of the first control device 1 by the third control device 3.
  • the relay unit 4 is then activated / switched by a third control device 3 in step S11 using a control signal St3. The sequence then ends.
  • the device according to the invention described above and the method for redundant voltage supply of safety-relevant systems can be implemented inexpensively, since the individual control devices for controlling exclusive relays for one voltage supply each are already designed in conventional devices, in addition only the connection and the information exchange via the CAN bus, as an example for communication channels, such as also control lines, LIN, etc., and a control of all relays must be made possible by each of the control devices.
  • the advantage of the device according to the invention and of the method for the redundant voltage supply of safety-relevant systems lies in the double redundancy for switching the relays. Ensuring special power supplies leads to a higher availability of safety-critical systems.

Landscapes

  • Business, Economics & Management (AREA)
  • Emergency Management (AREA)
  • Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Valves And Accessory Devices For Braking Systems (AREA)
  • Safety Devices In Control Systems (AREA)
  • Small-Scale Networks (AREA)

Abstract

Die vorliegende Erfindung offenbart eine Vorrichtung und ein Verfahren zur redundanten Spannungsversorgung sicherheitsrelevanter Systeme, insbesondere in Kraftfahrzeugen. Es wird sowohl ein Ausfall einer Spannungsversorgung an sicherheitsrelevanten Systemen erkannt und daraufhin eine Umschaltung auf eine andere Spannungsversorgung veranlasst, als auch sichergestellt, dass auch bei einem Ausfall von einer oder zwei Ansteuereinrichtungen zur Spannungsumschaltung eine Rückfallebene vorhanden ist, durch die dann die Spannungsumschaltung übernommen wird. Auf diese Weise wird sowohl bei einem Ausfall einer Spannungsversorgung sicherheitsrelevanter Systems als auch bei einem Ausfall von Ansteuereinrichtungen sichergestellt, dass dennoch eine Spannungsumschaltung erfolgt und auf diese Weise die Verfügbarkeit sicherheitsrelevanter Systeme erheblich verbessert wird.

Description

Vorrichtung und Verfahren zur redundanten Spannungsversorgung sicherheitsrelevanter Systeme
Die Erfindung betrifft eine Vorrichtung und ein Verfahren zur redundanten Spannungsversorgung sicherheitsrelevanter Systeme, insbesondere in Kraftfahrzeugen.
Zur Sicherstellung der Versorgung sicherheitsrelevanter Systeme, insbesondere in Kraftfahrzeugen, sind bisher verschiedene Systeme mit redundanter Spannungsversorgung vorgeschlagene worden.
Die WO 99/42331 offenbart eine Spannungsversorgungsschaltung für sicherheitsrelevante Systeme, wie beispielsweise elektrische Bremsen, in Kraftfahrzeugen, bei der den Systemen eigene Zusatzbatterien zugeordnet sind, die mit Hilfe einer Ladeschaltung und Umschalteinheit sowie über Mittel zur Überwachung und Verteilung der elektrischen Energie mit einer Bordnetzbatterie und/oder dem Generator verbindbar sind. Im üblichen Betrieb werden die sicherheitsrelevanten Systeme aus der ihnen zugeordneten Zusatzbatterie versorgt, bei einem Defekt der Zusatzbatterie oder bei einer zu stark entladenen Zusatzbatterie erfolgt eine Umschaltung und die sicherheitsrelevanten Systeme werden direkt aus der Bordnetzbatterie versorgt. Aufgrund dieser Umschaltung bei nicht mehr' ausreichender E- nergie der Zusatzbatterie auf die Bordnetzbatterie wird auf eine ÜberwachungsSchaltung für die Zusatzbatterie verzichtet. Weiterhin ist aus der DE 100 53 584 AI eine redundante Spannungsversorgung für sicherheitsrelevante Verbraucher bekannt . Diese Einrichtung weist eine im Bordnetz angeordnete erste Spannungsversorgung und eine zweite Spannungsversorgung auf, wobei die erste und zweite Spannungsversorgung über ein Entkopplungselement verbunden sind. Das Entkopplungselement, beispielsweise eine Diode, einen Schalter mit Stromrichtungs- erkennung oder Feldeffekttransistoren mit einer internen Kurzschlussstromerkennung, gewährleistet einen gerichteten Stromfluss von der ersten zur zweiten Spannungsversorgung. Zudem sind die erste Spannungsversorgung ein zweites Entkopplungselement und die zweite Spannungsversorgung über ein drittes Entkopplungseiernent mit dem sicherheitsrelevanten Verbraucher verbunden und stellen einen gerichteten Stromfluss sicher. Wenn die Spannung der ersten Spannungsversorgung unter die der zweiten Spannungsversorgung fällt, wird das Entkopplungselement durchlässig, so dass die zweite SpannungsVersorgung die Spannungsversorgung des sicherheitsrelevanten Verbrauchers übernimmt .
Schließlich ist aus der- DE 198 55 245 AI eine redundante Spannungsversorgung für elektrische Verbraucher in einem Fahrzeugbordnetz angeben, die insbesondere bei elektrisch betätigbaren Bremsen zum Einsatz kommt. Zur Sicherstellung der Spannungsversorgung wird der elektrische Verbraucher über Trennmodule gleichzeitig" an zwei getrennte Spannungszweige angeschlossen, die über Lade-Trennmodule jeweils mit einem eigenen Spannungsspeicher- in Verbindung stehen. Falls in einem Versorgungszweig ein Fehler auftritt, der die Spannungsversorgung für den Verbraucher gefährdet, wird dieser Versorgungszweig mittels geeigneter Umschaltmittel geöffnet und die Spannungsversorgμng nur noch vom funktionsfähigen Spannungs- zweig übernommen. Trennmodule und Lade-Trennmodule können in einem Batteriestecker integriert sein.
Somit bietet der vorstehend angeführte Stand der Technik verschiedene Lösungen zur Verbesserung der Ausfallsicherheit bei sicherheitsrelevanten Systemen, nämlich im Fall eines Ausfalls der Spannungsversorgung, durch den beispielsweise bei einer elektrohydraulischen Bremse (EHB) , einer elektrohydraulischen Lenkung (EHL) , usw. ohne Rückfallebene keine Bremsbzw. Lenkwirkung mehr vorhanden wäre, indem eine Umschaltung auf eine Ersatzenergieversorgung erfolgt.
Jedoch ist in diesen herkömmlichen Ausführungsformen keine Sicherheitsfunktion ausgebildet, durch die auch ein Ausfall der Ansteuerlogik kompensiert werden könnte, der ebenfalls zu einem vollständigen Ausfall von sicherheitsrelevanten Systemen, wie beispielsweise der elektrohydraulischen Bremse (EHB) , der elektrohydraulischen Lenkung (EHL) , usw. führen kann, da dann eine Umschaltung im Fall eines Spannungsausfall nicht mehr erfolgen kann. Herkömmlich werden nämlich bestimmte Spannungen im Fahrzeug über angesteuerte Relais dem Bordnetz zur Verfügung gesteht und exklusiv angesteuert.
Daher ist es Aufgabe der vorliegenden Erfindung, eine Vorrichtung zur redundanten Spannungsversorgung sicherheitsrelevanter Systeme auszubilden, mit der auf einfache Weise und kostengünstig sowohl ein Ausfall der Spannungsversorgung als auch ein Ausfall der Ansteuerlogik zur Umschaltung im Fall eines Ausfalls der Spannungsversorgung kompensiert werden kann.
Diese Aufgabe wird durch eine Vorrichtung zur redundanten Spannungsversorgung sicherheitsrelevanter Systeme mit den Merkmalen von Anspruch 1 sowie ein. Verfahren zur redundanten Spannungsversorgung sicherheitsrelevanter Systeme- mit den Merkmalen von Anspruch 3 gelöst .
Bei der erfindungsgemäßen Vorrichtung und dem erfindungsgemäßen Verfahren erfolgt somit nun sowohl eine Überwachung, ob verschiedene Spannungen an sicherheitsrelevanten Systemen vorhanden sind, als auch eine Überwachung, ob ein Einschalten einer Spannung durch eine erste Ansteuereinrichtung und/oder eine zweite Ansteuereinrichtung als erste Rückfallebene erfolgt ist, und im Falle eines Ausfalls der ersten und zweiten Ansteuereinrichtung das Einschalten der Spannung durch eine dritte Ansteuereinrichtung.
Auf diese Weise wird die Verfügbarkeit der Spannungsversorgung bei Zündung „ein" erhöht und durch die Ausbildung von zwei Rückfallebenen, durch die ebenfalls das Umschalten erfolgen kann, eine erhebliche Erhöhung der Ausfallsicherheit.
Darüber hinaus stellt die erfindungsgemäße Vorrichtung zur redundanten Spannungsversorgung sicherheitsrelevanter Systeme eine äußerst kostengünstige Lösung dar, da die einzelnen Ansteuereinrichtungen zur Ansteuerung exklusiver Relais für jeweils eine Spannungsversorgung bereits in herkömmlichen Vorrichtungen ausgebildet sind, zusätzlich lediglich die Verbindung und der Informationsaustausch über Kommunikationskanäle, wie beispielsweise den CAN-Bus realisiert und eine Ansteuerung aller Relais durch jede der Ansteuereinrichtungen ermöglicht werden muss .
Diese und weitere Aufgaben, Merkmale und Vorteile der Erfindung werden nachfolgend unter Bezugnahme auf die Zeichnung genauer erläutert.
Dabei zeigen:
Fig. 1 ein vereinfachtes Blockschaltbild der erfindungsgemäßen Vorrichtung zur redundanten Spannungsversorgung sicherheitsrelevanter Systeme und
Fig. 2 mit Fig. 2a und 2b ein Ablaufdiagramm, das den Funktionsablauf des erfindungsgemäßen Verfahrens zur redundanten Spannungsversorgung sicherheitsrelevanter Systeme veranschaulicht. Im folgenden wird nun zunächst unter Bezugnahme auf Fig. 1 genauer auf den vereinfachten Aufbau der erfindungsgemäßen Vorrichtung zur redundanten Spannungsversorgung eingegangen.
In Fig. 1 ist mit 11 ein CAN-Bus, als ein Beispiel für Kommunikationskanäle, bezeichnet, über den Kommunikationssignale übertragen werden. Die erfindungsgemäße Vorrichtung zur redundanten Spannungsversorgung weist eine erste Ansteuereinrichtung 1 auf, die über eine Leitung Spl das Vorhandensein einer Spannung an einem oder mehreren sicherheitsrelevanten System (en) 5 überwacht und beim Fehlen einer dort anliegenden Spannung über ein Steuersignal Stl ein oder mehrere in einer Relaiseinheit 4 enthaltene Relais ansteuern kann, so dass anschließend wieder eine Spannung an dem/den sicherheitsrelevanten System (en) 5 anliegt. Zusätzlich gibt die erste Ansteuereinrichtung 1 eine Anforderungsbotschaft Anfl an den CAN-Bus 11 aus, wenn eine Ansteuerung eines oder mehrere Relais in der Relaiseinheit 4 erfolgen soll, um eine Spannungsversorgung des/der sicherheitsrelevanten Systeme 5 wiederherzustellen. Über diese Relais der Relaiseinheit 4 wird eine Spannungsversorgung für sicherheitsrelevante elektrische Systeme 5, wie beispielsweise eine elektrohydraulische Bremse (EHB) , eine elektrohydraulische Lenkung (EHL) , usw. , ein- und ausgeschaltet.
Weiterhin umfasst die erfindungsgemäße Vorrichtung eine zweite Ansteuereinrichtung 2 , die über eine Leitung Sp2 das Vorhandensein einer Spannung an dem einen oder mehreren sicherheitsrelevanten System (en) 5 überwacht und beim Fehlen einer dort anliegenden Spannung ebenfalls die Relais in der Relaiseinheit 4 ansteuern kann. Wenn die zweite Ansteuereinrichtung 2 die Anforderungsbotschaft Anfl von der ersten Ansteuereinrichtung "1 über den CAN-Bus 11 empfängt, überprüft sie, ob ein Schalten der Relaiseinheit 4, d.h. eine Wiederherstellung der Spannungsversorgung des einen oder mehrerer Sicherheits- relevanter Systeme 5, durch die erste .Ansteuereinrichtung 1 ausgelöst wurde und erfolgt ist. Falls kein Schalten der Relaiseinheit 4 erfolgt ist und zusätzlich über die Leitung Sp2 ermittelt wird, dass an dem/den sicherheitsrelevanten System(en) 5 keine Spannung anliegt, erfolgt eine Ansteuerung des/der Relais in der Relaiseinheit 4, um eine Spannungsversorgung wieder herzustellen, durch die zweite Ansteuereinrichtung. Außerdem ist die zweite Ansteuereinrichtung 2 derart ausgebildet, dass sie in einem Fall, in dem sie trotz fehlender Spannung an dem/den sicherheitsrelevanten System (en) 5 kein Schalten des/der Relais in der Relaiseinheit 4 bewirken kann, eine Anforderungsbotschaft Anf2 auf den CAN- Bus 11 legt.
Ergänzend zu diesen beiden ersten und zweiten Ansteuereinrichtungen 1 und 2 ist außerdem eine dritte Ansteuereinrichtung 3 ausgebildet, die über eine Leitung Sp3 das Vorhandensein einer Spannung an dem einen oder mehreren sicherheitsrelevanten System(en) 5 überwacht und beim Fehlen einer dort anliegenden Spannung ebenfalls die Relais in der Relaiseinheit 4 ansteuern kann. Im Fall, dass die Ansteuereinrichtung 3 sowohl eine Anforderungsbotschaft Anfl von der ersten Ansteuereinrichtung 1 als auch eine Anforderungsbotschaft Anf2 von der zweiten Ansteuereinrichtung 2 über den CAN-Bus empfängt und das Fehlen einer Spannung an dem/der sicherheitsrelevanten System(en) 5 erfasst, steuert die Ansteuereinrichtung 3 die Relaiseinheit 4 derart an, das ein Umschalten des/der Relais erfolgt, so dass eine Spannungsversorgung des/der sicherheitsrelevanten Systeme 5 wieder hergestellt wird.
Nachfolgend wird nun unter Bezugnahme auf Fig. 2 mit den Fig. 2a und 2b auf das erfindungsgemäße Verfahren zur redundanten Spannungsversorgung sicherheitskritischer Systeme näher eingegangen.
Zu Beginn wird in Schritt SI durch die Ansteuereinrichtung 1 über eine Leitung Spl überwacht, ob an einem oder mehreren sicherheitsrelevanten Systemen 5 eine Spannung erfassbar ist. Sollte dies der Fall sein, ist der Ablauf beendet und es wird wieder zum Beginn (Überwachung) zurückgekehrt.
Wenn in Schritt SI festgestellt wird, dass an einem oder mehreren sicherheitsrelevanten Systemen 5 keine Spannung anliegt, steuert die erste Ansteuereinrichtung 1 in Schritt S2 die Relaiseinheit 4 durch ein Steuersignal Stl an, so dass wieder eine Spannung an das/die sicherheitsrelevante (n) System(e) angelegt wird. Ansonsten endet der Ablauf nach Schritt SI.
Anschließend wird in Schritt S3 eine Anforderungsbotschaft Anfl, die aussagt, dass die Umschaltung des Relais zur Spannungsversorgung erforderlich ist, auf den CAN-Bus 11 ausgegeben. Diese Anforderungsbotschaft Anfl wird in Schritt S4 durch die zweite Ansteuereinrichtung 2 empfangen. Daraufhin überprüft die zweite Ansteuereinrichtung 2 in Schritt S5, ob das Ansteuern/Umschalten der Relaiseinheit 4 durch die erste Ansteuereinrichtung 1 erfolgreich war. Falls dies der Fall ist, endet der Ablauf. Ansonsten schreitet der Ablauf zu einem Schritt S6 fort, in dem über eine Leitung Sp2 festgestellt wird, ob eine Spannung an einem oder mehreren sicherheitsrelevanten Systemen 5 anliegt. Im positiven Fall endet der Ablauf, in negativen Fall wird zu einem Schritt S7 fortgeschritten, in dem überprüft wird, ob ein Ansteuern/Schalten der Relaiseinheit 4 durch die zweite Ansteuereinheit 2 möglich ist. Wenn das Ansteuern/Schalten in Schritt S7 als möglich beurteilt wird, erfolgt anschließend in Schritt S8 über das Steuersignal St2 das Ansteuern/Schalten der Relaiseinheit 4 durch die zweite Ansteuereinrichtung 2 und dann endet der Ablauf.
Wenn ein Ansteuern/Schalten der Relaiseinheit 4 durch die zweite Ansteuereinrichtung 2 aus irgendwelchen Gründen, beispielsweise eine Unterbrechung der Leitung für das Steuersignal St2 nicht möglich ist, gibt die zweite Ansteuereinrich- tung 2 in einem Schritt S9 eine Anforderungsbotschaft Anf2 auf den CAN-Bus 11 aus. Diese Anforderungsbotschaft Anf2 der zweiten Ansteuereinricritung 2 wird in Schritt S10 zusammen mit der Anforderungsbotschaft Anfl der ersten Ansteuereinrichtung 1 durch die dritte Ansteuereinrichtung 3 empfangen. Daraufhin erfolgt in Schritt Sll durch ein Steuersignal St3 ein Ansteuern/Schalten der Relaiseinheit 4 durch dritte Ansteuereinrichtung 3. Danach endet der Ablauf .
Die vorstehend beschriebene erfindungsgemäße Vorrichtung und das Verfahren zur redundanten Spannungsversorgung sicherheitsrelevanter Systeme ist kostengünstig zu realisieren, da die einzelnen Ansteuereinrichtungen zur Ansteuerung exklusiver Relais für jeweils eine Spannungsversorgung bereits in herkömmlichen Vorrichtungen ausgebildet sind, zusätzlich lediglich die Verbindung und der Informationsaustausch über den CAN-Bus, als ein Beispiel für Kommunikationskanäle, wie beispielsweise auch Steue:trleitungen, LIN, usw., realisiert und eine Ansteuerung aller Relais durch jede der Ansteuereinrichtungen ermöglicht werden muss.
Auf diese Weise kann einfach, ohne großen zusätzlichen Schal- tungs- oder Bauteilaufwand und kostengünstig eine zuverlässige Vorrichtung und ein Verfahren zur redundanten Spannungs- Versorgung sicherheitsrelevanter Systeme verwirklicht werden.
Der Vorteil der erfindungsgemäßen Vorrichtung und des Verfahrens zur redundanten Spannungsversorgung sicherheitsrelevanter Systeme liegt dabei in der zweifachen Redundanz zum Schalten der Relais. Eine Sicherstellung spezieller Spannungsversorgungen führt .zu einer höheren Verfügbarkeit von sicherheitskritischen Systemen.
Selbstverständlich versteht sich für den Fachmann, dass anstelle der im bevorzugten Ausführungsbeispiel verwendeten drei Ansteuereinrichtungen auch mehr Ansteuereinrichtungen o- der jeweils 3 Ansteuereinrichtungen aus einer Vielzahl von im Fahrzeug vorhandenen Ansteuereinrichtungen für Relais verwendet werden können.

Claims

Patentansprüche
Vorrichtung zur redundanten Spannungsversorgung sicherheitsrelevanter Systeme, insbesondere in Kraftfahrzeugen, mit : mindestens einer ersten Ansteuereinrichtung (1) , einer zweiten Ansteuereinrichtung (2) und einer dritten Ansteuereinrichtung (3) , die jeweils zur Ansteuerung von Relais in einer Relaiseinheit (4) zur Umschaltung von Spannungs- Versorgungen sicherheitsrelevanter Systeme (5) ausgebil- det sind, d a d u r c h g e k e n n z e i c h n e t , dass die Ansteuereinrichtungen (1, 2, 3) mit einem Kommunikationskanal (11) in Verbindung stehen, die erste und zweite Ansteuereinrichtung (1, 2) jeweils eine Einrichtung zur Überwachung einer an den sicher- heitsrelevanten Systemen (5) anliegenden Spannung aufweisen, die erste Ansteuereinrichtung (1) im Fall, dass die Einrichtung zur Überwachung einer an den sicherheitsrelevanten Systemen (5) anliegenden Spannung erkennt, dass keine Spannung anliegt, einen Schaltvorgang der Relaiseinheit (4) ansteuern und eine Anforderungsbotschaft (Anfl) auf den Kommunikationskanal (11) ausgeben kann; die zweite Ansteuereinrichtung (2) eine Einrichtung zur Überprüfung, ob ein Ansteuerung und Schalten der Relaiseinheit (4) durch die erste Ansteuereinrichtung erfolgt ist, aufweist, und im Fall, dass die Einrichtung zur Ü- berprüfung festgestellt hat, dass keine Ansteuerung oder ein Schalten durch erste Ansteuereinrichtung erfolgt ist, und die Einrichtung zur Überwachung einer an den Sicherheitsrelevanten Systemen (5) anliegenden Spannung erkennt, dass keine Spannung anliegt, einen Schaltvorgang der Relaiseinheit (4) ansteuern kann und, falls eine Ansteuerung eines SchaltVorgangs der Relaiseinheit (4) nicht möglich ist, eine weitere Anforderungsbotschaft (Anf2) auf den Kommunikationskanal (11) ausgeben kann, und die dritte Ansteuereinrichtung (3) die Anforderungsbotschaften (Anfl, Anf2) von der ersten und zweiten Ansteuereinrichtung (1,
2) vom Kommunikationskanal (11) empfangen und bei Empfang beider Anforderungsbotschaften (Anfl, Anf2) einen Schaltvorgang der Relaiseinheit (4) ansteuern kann.
Vorrichtung nach Anspruch 1, d a d u r c h g e k e n n z e i c h n e t , dass anstelle der Relaiseinheit (4) mit Relais auch eine andere Einheit zur Umschaltung von Spannungen verwendet werden kann.
3. Vorrichtung nach Anspruch 1 oder 2 , d a d u r c h g e k e n n z e i c h n e t , dass der Kommunikationskanal (11) ein CAN-Bus ist.
Verfahren zur redundanten Spannungsversorgung sicherheitsrelevanter Systeme, insbesondere in Kraftfahrzeugen, g e k e n n z e i c h n e t d u r c h die Schritte:
(SI) Überwachen, ob an einem oder mehreren sicherheitsrelevanten Systemen (5) eine Spannung erfassbar ist, über eine erste Leitung (Spl) durch eine erste Ansteuereinrichtung (1) ; Rückkehr zum. Beginn, wenn dies der Fall ist;
(52) wenn in Schritt SI festgestellt wird, dass an einer oder mehreren sicherheitsrelevanten Systemen (5) keine Spannung anliegt, Ansteuern einer Relaiseinheit (4) durch ein erstes Steuersignal (Stl) durch die erste Ansteuereinrichtung (1) , so dass wieder eine Spannung an das/die sicherheitsrelevante (n) System (e) (5) angelegt wird;
(53) Ausgeben einer ersten Anforderungsbotschaft (Anfl) , die aussagt, dass die Umschaltung zumindest eines Relais der Relaiseinheit (4) zur Spannungsversorgung erforderlich ist, auf einen Kommunikationskanal (11) durch die erste Ansteuereinrichtung (1) ;
(54) Empfangen der ersten Anforderungsbotschaft (Anfl) durch die zweite Ansteuereinrichtung (2) ;
(s5) Überprüfen, ob die AnSteuerung/Umschaltung der Relaiseinheit (4) durch die erste Ansteuereinrichtung (1) erfolgreich war, durch die zweite Ansteuereinrichtung (2) ; falls dies der Fall ist, Rückkehr zum Beginn;
(56) Festgestellen, ob eine Spannung an einer oder mehreren sicherheitsrelevanten Systemen (5) anliegt, über ein zweite Leitung (Sp2) durch die zweite Ansteuereinrichtung (2) ; im positiven Fall Rückkehr zum Beginn;
(57) im negativen Fall Überprüfen, ob eine Ansteue- rung/ein Schalten der Relaiseinheit (4) durch die zweite Ansteuereinheit (2) möglich ist;
(58) wenn die AnSteuerung/das Schalten in Schritt S7 als möglich beurteilt wird, über ein zweites Steuersignal
(St2) Ansteuern/Schalten der Relaiseinheit (4) durch die zweite Ansteuereinrichtung (2) , dann Rückkehr zum Beginn;
(59) wenn ein Ansteuern/Schalten der Relaiseinheit (4) durch die zweite Ansteuereinrichtung (2) aus irgendwelchen Gründen, wie beispielsweise eine Unterbrechung der Leitung für das zweite Steuersignal, nicht möglich ist, Ausgeben einer zweiten Anforderungsbotschaft (Anf2) auf den Kommunikationskanal (11) durch die zweite Ansteuer- einrichtung (2) ;
(510) Empfangen der zweiten Anforderungsbotschaft (Anf2) der zweiten Ansteuereinrichtung (2) zusammen mit der ersten Anforderungsbotschaft (Anfl) der ersten Ansteuereinrichtung (1) durch die dritte Ansteuereinrichtung (3) ;
(511) Ansteuern/Schalten der Relaiseinheit (4) durch die dritte Ansteuereinrichtung (3) durch ein drittes Steuersignal (St3) ; anschließend Rückkehr zum Beginn.
EP03784023A 2002-08-03 2003-07-17 Vorrichtung und verfahren zur redundanten spannungsversorgung sicherheitsrelevanter systeme Withdrawn EP1525118A1 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE10235527 2002-08-03
DE10235527A DE10235527C1 (de) 2002-08-03 2002-08-03 Vorrichtung und Verfahren zur redundanten Spannungsversorgung sicherheitsrelevanter Systeme
PCT/EP2003/007757 WO2004014701A1 (de) 2002-08-03 2003-07-17 Vorrichtung und verfahren zur redundanten spannungsversorgung sicherheitsrelevanter systeme

Publications (1)

Publication Number Publication Date
EP1525118A1 true EP1525118A1 (de) 2005-04-27

Family

ID=27816224

Family Applications (1)

Application Number Title Priority Date Filing Date
EP03784023A Withdrawn EP1525118A1 (de) 2002-08-03 2003-07-17 Vorrichtung und verfahren zur redundanten spannungsversorgung sicherheitsrelevanter systeme

Country Status (5)

Country Link
US (1) US20060006738A1 (de)
EP (1) EP1525118A1 (de)
JP (1) JP2005534568A (de)
DE (1) DE10235527C1 (de)
WO (1) WO2004014701A1 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102006035803A1 (de) * 2006-08-01 2008-02-07 Marquardt Gmbh Kraftfahrzeug, insbesondere Schließsystem für ein Kraftfahrzeug

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3555290A (en) * 1969-05-29 1971-01-12 Walter Ellermeyer Second-highest redundant voltage selector
DE4322249A1 (de) * 1992-10-23 1994-04-28 Marquardt Gmbh Bus-Schalter
DE19529434B4 (de) * 1995-08-10 2009-09-17 Continental Teves Ag & Co. Ohg Microprozessorsystem für sicherheitskritische Regelungen
US5654859A (en) * 1995-11-14 1997-08-05 The Boeing Company Fault tolerant power distribution system
US6243629B1 (en) * 1996-04-19 2001-06-05 Honda Giken Kogyo Kabushiki Kaisha Electronic control unit for automotive vehicles
JP2000507019A (ja) * 1996-12-13 2000-06-06 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ 直列式に動作する2台のプログラムドロジックコントローラを有する冗長データ処理システム
DE19717686A1 (de) * 1997-04-28 1998-10-29 Itt Mfg Enterprises Inc Schaltungsanordnung für ein Kraftfahrzeug-Regelungssystem
DE19855245B4 (de) * 1997-12-02 2010-08-12 Robert Bosch Gmbh Redundante Spannungsversorgung für elektrische Verbraucher
DE19906305A1 (de) * 1998-02-18 1999-11-04 Bosch Gmbh Robert Vorrichtung zur elektrischen Energieversorgung
DE19813921A1 (de) * 1998-03-28 1999-09-30 Telefunken Microelectron Verfahren zum Betreiben eines über eine Busleitung vernetzten Rückhaltesystems bei einer fehlerhaften Stromversorgung
DE10122954B4 (de) * 2000-09-07 2016-09-08 Continental Teves Ag & Co. Ohg Verfahren und Schaltungsanordnung zur Strom- und Spannungsversorgung von mindestens einem elektrischen Verbraucher in einem Kraftfahrzeug und deren Verwendung in einem elektrischen Bremssystem
US6501196B1 (en) * 2000-09-12 2002-12-31 Storage Technology Corporation Fault tolerant AC transfer switch
GB2367962B (en) * 2000-10-14 2004-07-21 Trw Ltd Multiple channel solenoid current monitor
DE10053584A1 (de) * 2000-10-25 2002-05-02 Volkswagen Ag Redundante Spannungsversorgung für sicherheitsrelevante Verbraucher
US6600238B1 (en) * 2000-11-20 2003-07-29 International Business Machines Corporation Redundancy and component failure detection within a switching power system
US6527348B2 (en) * 2001-05-22 2003-03-04 Caterpillar Inc Braking system for a construction machine
CN1253333C (zh) * 2001-03-15 2006-04-26 罗伯特-博希股份公司 分布式的安全紧急***和对其部件进行控制的方法
EP1370914A1 (de) * 2001-03-15 2003-12-17 Robert Bosch Gmbh Verfahren zum betreiben eines verteilten sicherheitsrelevanten systems
TW561676B (en) * 2001-04-06 2003-11-11 Delta Electronics Inc Power supply device having an AC redundant function

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See references of WO2004014701A1 *

Also Published As

Publication number Publication date
JP2005534568A (ja) 2005-11-17
DE10235527C1 (de) 2003-10-09
WO2004014701A1 (de) 2004-02-19
US20060006738A1 (en) 2006-01-12

Similar Documents

Publication Publication Date Title
DE112008003120B4 (de) Elektronisches System zum Betreiben einer elektromechanischen Parkbremse
DE10320608A1 (de) Bremsanlage für Fahrzeuge, insbesondere Nutzfahrzeuge mit mindestens zwei separaten elektronischen Bremssteuerkreisen
WO2015082113A1 (de) Bordnetz zur fehlertoleranten und redundanten versorgung
DE102018216491B3 (de) Bordnetz für ein Kraftfahrzeug, Kraftfahrzeug und Verfahren zum Betreiben eines Bordnetzes
DE102013020177A1 (de) Kraftfahrzeug
WO2020229047A1 (de) Verfahren und vorrichtung zur energieversorgung eines elektrischen verbrauchers eines fahrzeugs
WO2016188664A1 (de) Vorrichtung und verfahren zum betreiben eines kraftfahrzeugs
EP1606145A1 (de) Vorrichtung für ein daten- und energiemanagement in einem fahrzeug
DE19937159B4 (de) Elektrisch gesteuertes Bremssystem
DE10033317B4 (de) Kraftfahrzeugbordnetz mit sicherheitsrelevanten Verbrauchern
DE102015012944B4 (de) Betrieb einer Kraftfahrzeugkomponente bei Ausfall eines puffernden Energiespeichers
EP3592611B1 (de) Nutzfahrzeug und verfahren zum betreiben eines nutzfahrzeuges
EP4114696A1 (de) Bremsanlage mit redundanter parkbremsenansteuerung
EP0830998B1 (de) Elektrische Bremsanlage und Verfahren zum Betreiben einer elektrischen Bremsanlage
WO2007020183A1 (de) Bordnetz eines hybridfahrzeugs mit sicherheitskritischen verbrauchern
EP3934941A1 (de) Energienetz für ein kraftfahrzeug und verfahren zum betreiben eines energienetzes für ein kraftfahrzeug
DE19922408B4 (de) Bus-System mit bei Störungen automatisch abschaltbaren Teilnetzen
DE102016224618A1 (de) Fahrzeug-Bordnetz mit hoher Verfügbarkeit
DE102012206969A1 (de) Verfahren und Bedienschalter zur Steuerung einer Funktion einer Funktionseinheit eines Fahrzeuges
DE102014221281A1 (de) Fahrzeug-Bordnetz mit hoher Verfügbarkeit
DE10317362A1 (de) Fahrzeugbordnetz und Verfahren zum Betreiben eines Fahrzeugbordnetzes
DE102018221201B4 (de) Kraftfahrzeug-Steuergerät mit mehreren Versorgungsanschlüssen für eine redundante Spannungsversorgung sowie Kraftfahrzeug mit dem Steuergerät und Verfahren zum Betreiben des Steuergeräts
EP1525118A1 (de) Vorrichtung und verfahren zur redundanten spannungsversorgung sicherheitsrelevanter systeme
DE102005042665A1 (de) Kfz-Bordnetz für wenigstens einen sicherheitsrelevanten Verbraucher
WO2019223995A1 (de) Elektrische bordnetzvorrichtung zum versorgen von zumindest zwei elektrischen verbrauchern in einem kraftfahrzeug sowie kraftfahrzeug, umschaltvorrichtung und verfahren zum betreiben einer bordnetzvorrichtung

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20050126

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IT LI LU MC NL PT RO SE SI SK TR

RBV Designated contracting states (corrected)

Designated state(s): DE FR GB IT

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION HAS BEEN WITHDRAWN

18W Application withdrawn

Effective date: 20060519