WO2005061296A1 - Verfahren und fahrfunktionssystem zum überführen von sicherheitsrelevanten fahrfunktionen eines fahrzeugs in den sicheren zustand - Google Patents

Verfahren und fahrfunktionssystem zum überführen von sicherheitsrelevanten fahrfunktionen eines fahrzeugs in den sicheren zustand Download PDF

Info

Publication number
WO2005061296A1
WO2005061296A1 PCT/EP2004/014398 EP2004014398W WO2005061296A1 WO 2005061296 A1 WO2005061296 A1 WO 2005061296A1 EP 2004014398 W EP2004014398 W EP 2004014398W WO 2005061296 A1 WO2005061296 A1 WO 2005061296A1
Authority
WO
WIPO (PCT)
Prior art keywords
control unit
control device
downstream
safety
steering
Prior art date
Application number
PCT/EP2004/014398
Other languages
English (en)
French (fr)
Inventor
Wilfried Huber
Alfred Lotter
Volker Maass
Martin Moser
Reinhold Schneckenburger
Original Assignee
Daimlerchrysler Ag
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from DE102004058996A external-priority patent/DE102004058996A1/de
Application filed by Daimlerchrysler Ag filed Critical Daimlerchrysler Ag
Publication of WO2005061296A1 publication Critical patent/WO2005061296A1/de

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T8/00Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force
    • B60T8/17Using electrical or electronic regulation means to control braking
    • B60T8/1755Brake regulation specially adapted to control the stability of the vehicle, e.g. taking into account yaw rate or transverse acceleration in a curve
    • B60T8/17555Brake regulation specially adapted to control the stability of the vehicle, e.g. taking into account yaw rate or transverse acceleration in a curve specially adapted for enhancing driver or passenger comfort, e.g. soft intervention or pre-actuation strategies
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T8/00Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force
    • B60T8/32Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration
    • B60T8/88Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration with failure responsive means, i.e. means for detecting and indicating faulty operation of the speed responsive control means
    • B60T8/885Arrangements for adjusting wheel-braking force to meet varying vehicular or ground-surface conditions, e.g. limiting or varying distribution of braking force responsive to a speed condition, e.g. acceleration or deceleration with failure responsive means, i.e. means for detecting and indicating faulty operation of the speed responsive control means using electrical circuitry
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B62LAND VEHICLES FOR TRAVELLING OTHERWISE THAN ON RAILS
    • B62DMOTOR VEHICLES; TRAILERS
    • B62D5/00Power-assisted or power-driven steering
    • B62D5/001Mechanical components or aspects of steer-by-wire systems, not otherwise provided for in this maingroup
    • B62D5/003Backup systems, e.g. for manual steering
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B62LAND VEHICLES FOR TRAVELLING OTHERWISE THAN ON RAILS
    • B62DMOTOR VEHICLES; TRAILERS
    • B62D6/00Arrangements for automatically controlling steering depending on driving conditions sensed and responded to, e.g. control circuits
    • B62D6/002Arrangements for automatically controlling steering depending on driving conditions sensed and responded to, e.g. control circuits computing target steering angles for front or rear wheels
    • B62D6/003Arrangements for automatically controlling steering depending on driving conditions sensed and responded to, e.g. control circuits computing target steering angles for front or rear wheels in order to control vehicle yaw movement, i.e. around a vertical axis
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B62LAND VEHICLES FOR TRAVELLING OTHERWISE THAN ON RAILS
    • B62DMOTOR VEHICLES; TRAILERS
    • B62D6/00Arrangements for automatically controlling steering depending on driving conditions sensed and responded to, e.g. control circuits
    • B62D6/008Control of feed-back to the steering input member, e.g. simulating road feel in steer-by-wire applications
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T2230/00Monitoring, detecting special vehicle behaviour; Counteracting thereof
    • B60T2230/03Overturn, rollover
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T2260/00Interaction of vehicle brake system with other systems
    • B60T2260/02Active Steering, Steer-by-Wire
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T2260/00Interaction of vehicle brake system with other systems
    • B60T2260/02Active Steering, Steer-by-Wire
    • B60T2260/024Yawing moment compensation during mu-split braking
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T2260/00Interaction of vehicle brake system with other systems
    • B60T2260/08Coordination of integrated systems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T2270/00Further aspects of brake control systems not otherwise provided for
    • B60T2270/40Failsafe aspects of brake control systems
    • B60T2270/402Back-up
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T2270/00Further aspects of brake control systems not otherwise provided for
    • B60T2270/40Failsafe aspects of brake control systems
    • B60T2270/404Brake-by-wire or X-by-wire failsafe
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T2270/00Further aspects of brake control systems not otherwise provided for
    • B60T2270/82Brake-by-Wire, EHB

Definitions

  • the invention relates to a method for converting safety-relevant driving functions of a vehicle into the safe state.
  • at least one setpoint is determined in a first control unit on the basis of sensor signals, and in a downstream control unit one or more actuating variables for actuators are determined from the at least one setpoint.
  • Intrinsically safe is considered synonymous with "fail-safe”.
  • a fail-safe property is the ability of a technical system to remain in a safe state when certain failures occur or to switch directly to another safe state.
  • Fail-stop An occurring error is recognized. If there is an error, the system is switched off. Fail-stop is an intrinsically safe case. Fail-silent: The property of a component or a system, which (which) is in communication with others, does not send any further information when an error is detected within the component or within the system. Fail-silent is an alternative to fail-stop and thus another sub-case of intrinsically safe.
  • Fault tolerant Ability of a system to perform its specified function even with a limited number of faulty subsystems.
  • the braking and steering system has a computing unit which is designed to be fault-tolerant.
  • the computing unit has either at least three identical arithmetic units or at least two arithmetic units that are fail-silent.
  • the arithmetic unit determines target values which are transmitted to a control unit in which manipulated variables for actuators are determined from the target values.
  • the object of the present invention is to provide a method by means of which safety-relevant driving functions can be transferred to the safe state in the event of an error.
  • the first control unit in particular is a control unit for an electronic stability program (ESP), which can intervene, for example, in the engine, the brakes, the steering and the suspension of the vehicle, in order to thereby set the yaw rate of the vehicle according to an associated setpoint.
  • ESP electronic stability program
  • EHL electro-hydraulic steering
  • ABS electro-hydraulic steering
  • a vehicle that is equipped with Active Body Control (ABC) generally has an active shock absorber for each wheel, by means of which the respective wheel is supported on a vehicle frame.
  • active struts are designed such that they can be adjusted at least with regard to spring preload and / or spring travel, a control system connected to the spring struts being provided which, depending on vehicle parameters, adjusts at least the spring preload and / or the spring travel of the spring struts.
  • active chassis which is also referred to as an ABC chassis, that is to say as an active body control chassis.
  • a driver-independent braking process can be carried out via a control unit for the electro-hydraulic brake (EMS).
  • the first control device can be connected to one or more of the control devices mentioned.
  • One or more can be used for each of the control units Setpoints are determined by the first control unit and transmitted to the respective control units.
  • Each of the downstream control units can in turn be connected to one or more actuators, to which one or more manipulated variables are fed.
  • the control units are connected to a data bus, for example a CAN bus, they can communicate with one another.
  • a current assignment rule is transferred in a defined time to a safety assignment rule and the manipulated variables are determined on the basis of the security assignment rule and the last received setpoints and / or additional information become.
  • the following can occur as errors in the first control unit, for example: the supply voltage fails; one of the processors fails; a circuit breakage occurs; an error occurs on a component of the peripheral electronics; an error occurs on an output / input unit. Several such errors can also occur at the same time. If such an error is detected, the driving function is taken over by the downstream control unit, in which a safety assignment rule is stored, which ensures that the overall system remains in a safe state.
  • While the setpoints specified by the first control unit are translated into a manipulated variable in accordance with a current assignment rule in the event of error-free operation, an assignment takes place in accordance with a security assignment rule in the event of an error.
  • the first control device is designed to be intrinsically safe, no further setpoints are transmitted to the downstream control devices.
  • the last received target values or additional information supplied to the downstream control unit a control variable can be determined.
  • the downstream control device is the control device of the electrohydraulic brake, information about a stop-and-go mode, an object detection or an activation of a cruise control must be supplied to it, for example.
  • the first control unit generally specifies values for normal forces and a roll moment distribution. In the event of a fault, for example, a currently set sporting roll moment distribution is reduced to a roll moment distribution that corresponds to comfort driving behavior.
  • the current assignment rule is transferred from the first control device to the downstream control device or that an assignment rule stored in the downstream control device is selected.
  • a driver can use this measure to specify whether the steering should be set to sporty or to comfort. The same applies to the roll moment distribution.
  • the downstream control unit recognizes whether new values are made available to it or not based on the first control unit. If no further values can be counted, an error has occurred and the first control unit has changed to the intrinsically safe state. In such a case, the function of the first control device must be transferred to the safe state. Provision can be made for a time-defined cross-fading process for a steering wheel torque to be carried out in the event of an error relating to the control of electrohydraulic steering.
  • the steering wheel torque is generated by a corresponding actuator on the steering wheel. This gives the driver the feeling of receiving a force feedback resulting from the steering movement of the wheels.
  • This cross-fading process takes place in a predetermined manner over a certain period of time, so that the driver does not suddenly see a change. If this were the case, the driver could be startled, which would lead to an unsafe condition.
  • a mechanical connection between the steering wheel and the steerable wheels is established both in the first and in the downstream control unit, in particular a mechanical clutch in the steering system is closed.
  • the downstream control unit is the control unit for the electro-hydraulic steering.
  • the first control unit specifies a setpoint for the wheel angle to be set, which is converted into a wheel angle by the control unit of the electro-hydraulic steering.
  • the steering system contains a clutch with which a mechanical connection between the steering wheel and the wheels to be steered can be established. This mechanical clutch is open as long as no error occurs, ie the driver has no direct mechanical access to the wheels to be steered.
  • the mechanical clutch in the steering system is closed by a defined time process. This gives the driver direct access to the steerable wheels.
  • the system is in a secure Status.
  • the transition from electrohydraulic steering with the clutch open to the steering by means of direct access, that is to say with the clutch closed, should be as little as possible noticeable to the driver in the steering wheel. For this reason, as mentioned above, the steering wheel torque is faded.
  • a driving function system with a first control unit which determines at least one setpoint on the basis of sensor signals and transmits it to at least one downstream control unit which determines one or more control variables from the at least one setpoint and forwards them to actuators, wherein the first control device is designed to be intrinsically safe and the downstream control device is designed to be fault-tolerant.
  • the system is brought into a safe state by the downstream control device or devices, which can be networked with one another. It is fundamentally conceivable to design the first control device and the control device (s) downstream in each case to be fault-tolerant. However, this solution is very expensive. A significantly more cost-effective solution is obtained if only the control device (s) downstream are fault-tolerant and the first control device is designed to be intrinsically safe.
  • the first control device has two or more computers, in particular processors, which are redundant to one another.
  • This measure allows the first control device to be designed to be intrinsically safe in a particularly simple manner. This means that when an error is detected in the first control unit, the control unit is either switched off or no further setpoints are transmitted to the downstream control unit. Switching off or not transferring the setpoints to the downstream control advises, however, does not lead to a shutdown of the overall system or to a shutdown of the driving function implemented by the first control unit. Rather, in the event that no further setpoints are received by the downstream control device, the overall system is brought into a safe state.
  • the downstream control device has three or more computers, in particular processors, which are redundant to one another.
  • the same algorithms are carried out in all computers. In correct operation, the determined manipulated variables match. If an error occurs in one of the computers, the results determined in this computer differ from the results determined in the other computers. It can thus be recognized whether and in which computer an error has occurred. The corresponding computer is no longer taken into account until a check or repair has been carried out. A short-term deviation of the results does not necessarily have to be counted as an error, provided that the results subsequently agree again over a longer period of time.
  • a safety assignment rule is stored in the downstream control device, according to which manipulated variables are determined in the event of an error in the first control device. This measure allows the driving function system to be brought into a safe state in the event of a fault in the first control unit.
  • driver can select a current assignment rule in error-free operation via the first control device.
  • This measure can Driving behavior of the vehicle can be adapted particularly well to the needs of the driver.
  • the current assignment rule is preferably transferred to the safety assignment rule in a defined time.
  • Such a transition must not take place abruptly, for example in order not to trigger abrupt steering or braking maneuvers.
  • the time-defined transition enables the driver to take over control of the vehicle again completely after the transition has ended.
  • the assignment rules are characteristic curves and, in the event of an error, the time is changed from a current characteristic curve to a safety characteristic curve.
  • a current characteristic curve For example, the relationship between the steering wheel angle specified by the driver and the wheel steering angles to be set on the steerable wheels is seen as the characteristic curve.
  • the characteristic curve corresponds to a transmission ratio of these two angles.
  • the characteristic curve which was implemented with the EHL actuator in error-free operating state, is transferred to the safety characteristic curve, which is stored in the EHL control unit, using a defined time sequence. As soon as the stored characteristic curve is reached, the system has assumed the safe state. This measure is particularly important when braking is performed on a surface with a changing coefficient of friction. Braking on such a surface leads to a change due to the changing coefficient of friction. the yaw moment that acts on the vehicle. This yaw moment is normally corrected by the first control unit, in particular an ESP system, using the electro-hydraulic steering.
  • a steering angle is set on the steerable wheels independently of the driver. If the control systems were only switched off in the event of a fault, without a defined state being assumed, the vehicle would continue to travel according to the set wheel steering angle and possibly leave the road. To prevent this, the entire system, in particular the EHL system together with the ESP system, must be brought into a safe state.
  • the target values output by the first control device can be counted.
  • the message counter stops as soon as the first control unit no longer delivers new values. In this case, the first control unit has changed to the intrinsically safe state.
  • the signals from the message counter can be transmitted to the downstream control units via a CAN bus. Several message counters can also be provided for different target values.
  • a steering system which has a mechanical clutch which is closed in the event of a fault in both the first and the downstream control unit. This measure allows the driver direct access to the steerable wheels. This enables the driver to take control of the steering of the vehicle.
  • FIG. 1 shows a schematic illustration of a driving function system
  • Fig. 2 is a diagram showing the transition to a safe state.
  • the 1 shows a driving function system 1 which has a first intrinsically safe control unit 2 which is connected to downstream control units 4, 5, 6 via a data bus 3.
  • the downstream control units 4, 5, 6 are designed as fault-tolerant control units.
  • the first control device 2 has two computers 7, 8 which are designed as processors and which carry out the same algorithm.
  • the first control unit 2 is supplied with sensor signals, from which the computers 7, 8 calculate target values which are transmitted to the downstream control units 4, 5, 6.
  • the sensor signals supplied include, for example, the measured steering angle of the steering wheel, the position of the accelerator pedal, the position of the brake pedal, the wheel speeds, the vehicle speed, the lateral acceleration, the yaw angle speed etc.
  • a message counter 11 is connected to the data bus 3, which is designed as a CAN bus determines whether setpoints are sent from the first control unit 2 to the data bus 3. If this is no longer the case, a corresponding signal is sent to the downstream control units 4, 5, 6. It can be provided that the message counter, differentiated according to different target values, counts the target values, or that several message counters are available for the different target values. Correspondingly, a signal can only be given to an affected downstream control device 4, 5, 6 if the setpoint value relevant for this control device is no longer output.
  • the arrangement of the message counter 11 shown in FIG. 1 outside the control unit 2 is not intended to have any restrictive effect.
  • the message counter 11 can also be integrated in the control unit 2; it is also conceivable that each of the downstream control units 4, 5, 6 contains its own message counter.
  • the downstream control unit 4 is designed in the exemplary embodiment as a control unit for an electrohydraulic steering.
  • a manipulated variable for the actuators 15, 16 is determined in each of the computers 12-14 in accordance with a characteristic curve specified by the driver via the first control device 2.
  • Actuators 15, 16 can be provided for each steerable wheel or for a steerable axle.
  • the first control unit 2, which is designed as an ESP control unit, provides the downstream control unit 4 with a setpoint for the wheel angle to be set, which is converted in the downstream control unit 4 into a manipulated variable, which the actuators 15, 16 each convert into a wheel angle becomes. As soon as an error occurs on the first control unit 2, no more target values for the wheel angle are transmitted to the downstream control unit 4.
  • the characteristic curve which is in the fault-free operating state with the downstream control unit 4 and the actuators 15, 16 was implemented in a safety assignment rule, in particular a safety characteristic curve, which is stored in the downstream control unit 4.
  • a safety characteristic curve which is stored in the downstream control unit 4.
  • system 1 has assumed the safe state. If an error occurs both in the first control unit 2 and in the downstream control unit 4, a mechanical coupling (not shown) of the steering system is closed, so that a mechanical connection is created between the steering wheel and the steerable wheels.
  • the mechanical coupling can be connected to the data bus 3 in order to receive the command to close, for example from the downstream control unit 4.
  • the downstream control unit 5 is designed as a fault-tolerant control unit for an ABC system.
  • the first control unit which is designed as an ESP control unit, specifies 2 setpoints for normal forces and a rolling moment distribution.
  • a set sporting roll moment distribution is traced back to a roll moment distribution that represents comfort driving behavior. This measure brings the system 1 into a safe state.
  • the actuators 17, 18 are each connected to an axle of the vehicle in the exemplary embodiment. However, it is also possible to provide an actuator for each wheel of the vehicle.
  • the downstream control unit 6 is designed as a control unit of an EMS. Values for target brake pressures are specified by the first control device 2. If the first control unit 2 fails, stabilization control is no longer carried out. guided. In order to be able to assume a safe state, further information is provided to the downstream control unit 6. With this information, for example about a stop-and-go mode, object detection or activation of a cruise control, a decision can be made about a further application of brake pressure.
  • the actuators 19 - 22 are each assigned to a braked wheel.
  • FIG. 2 shows a diagram which is intended to illustrate how it can be brought into a safe state.
  • a characteristic curve 30 is shown as an allocation pre-drift, by means of which, for example, a sporty setting for the determination of the wheel angle is identified.
  • This characteristic curve 30 was set, for example, by the driver via the first control device 2, wherein the characteristic curve 30 can be stored in a downstream control device. If an error occurs in the first control unit, a time-defined transition 31 is carried out along the time axis 32 from the characteristic line 30 to a characteristic line 33 which represents a safety assignment rule and is stored in the downstream control unit.
  • this is, for example, a characteristic curve that corresponds to a comfort level.
  • the characteristic curves 30, 33 describe the relationship between the steering wheel angle specified by the driver and the wheel steering angles to be set on the steerable wheels. It therefore corresponds to a gear ratio of these two angles.
  • the representation of the two characteristic curves 30, 33 chosen in FIG. 2 should not have any restrictive meaning, any other courses are also conceivable.
  • a method and a driving function system for transferring safety-relevant driving functions of a driving Stuff in the safe state in which at least one setpoint is determined in a first control unit 2 on the basis of sensor signals and in a downstream control unit 4, 5, 6 one or more actuating variables for actuators are determined from the at least one setpoint, leads when an error occurs in the first intrinsically safe control unit 2, the downstream fault-tolerant control unit 4, 5, 6 transfers the driving function controlled by the first control unit into a safe state. This measure enables the driver to safely take control of his vehicle in the event of malfunctions.

Landscapes

  • Engineering & Computer Science (AREA)
  • Transportation (AREA)
  • Mechanical Engineering (AREA)
  • Chemical & Material Sciences (AREA)
  • Combustion & Propulsion (AREA)
  • Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Steering Control In Accordance With Driving Conditions (AREA)

Abstract

Bei einem Verfahren und einem Fahrfunktionssystem zum Über­führen von sicherheitsrelevanten Fahrfunktionen eines Fahrzeugs in den sicheren Zustand, bei dem in einem ersten Steu­ergerät (2) aufgrund von Sensorsignalen mindestens ein Soll­wert ermittelt wird und in einem nachgeordneten Steuergerät (4, 5, 6) aus dem mindestens einen Sollwert eine oder mehrere Stellgröβen fur Stellglieder ermittelt werden, leitet beim Auftreten eines Fehlers im ersten eigensicheren Steuergerät (2) das nachgeordnete fehlertolerante Steuergerät (4, 5, 6) die von dem ersten Steuergerät gesteuerte Fahrfunktion in ei­nen sicheren Zustand über. Durch diese Maβnahme wird es dem Fahrer ermöglicht, bei Störungen sicher die Kontrolle über sein Fahrzeug zu übernehmen.

Description

Verfahren und Fahrfunktionssystem zum Überführen von sicherheitsrelevanten Fahrfunktionen eines Fahrzeugs in den sicheren Zustand
Die Erfindung betrifft ein Verfahren zum Überführen von Sicherheitsrelevanten Fahrfunktionen eines Fahrzeugs in den sicheren Zustand. Bei diesem Verfahren wird in einem ersten Steuergerät auf Grund von Sensorsignalen mindestens ein Sollwert ermittelt und in einem nachgeordneten Steuergerät werden aus dem mindestens einen Sollwert eine oder mehrere Stellgrößen für Stellglieder ermittelt.
Zum besseren Verständnis der nachfolgend verwendeten Begriffe werden zuerst einige Begriffsdefinitionen, wie sie nachfolgend zugrunde gelegt werden, aufgeführt:
Eigensicher wird als gleichbedeutend mit "fail-safe" betrachtet. Eine Fail-safe-Eigenschaft ist die Fähigkeit eines technischen Systems, beim Auftreten bestimmter Ausfälle im sicheren Zustand zu bleiben oder unmittelbar in einen anderen sicheren Zustand überzugehen.
Fail-stop: Ein auftretender Fehler wird erkannt. Beim Vorliegen eines Fehlers wird das System abgeschaltet. Fail-stop ist ein Unterfall von eigensicher. Fail-silent: Die Eigenschaft einer Komponente bzw. eines Systems, welche (welches) mit anderen in Kommunikation steht, beim Erkennen eines Fehlers innerhalb der Komponente bzw. innerhalb des Systems keine weiteren Informationen auszusenden. Fail-silent ist eine Alternative zu fail-stop und damit ein weiterer Unterfall von eigensicher.
Fehler: Nichterfüllung mindestens einer Anforderung an ein erforderliches Merkmal einer Betrachtungseinheit.
Fehlertolerant: Fähigkeit eines Systems auch mit einer begrenzten Zahl fehlerhafter Subsysteme seine spezifizierte Funktion zu erfüllen.
Redundanz: Vorhandensein von mehr als für die Ausführung der vorgesehenen Aufgaben an sich notwendigen Mitteln.
Um die Sicherheit von Fahrzeugen zu verbessern, ist es bekannt, in Fahrzeugen Systeme vorzusehen, die beispielsweise dazu beitragen, dass ein Fahrzeug nicht ins Schleudern gerät oder sich nicht überschlägt. Dazu ist es beispielsweise notwendig, fahrerunabhängige Bremseingriffe vorzunehmen. Alternativ oder ergänzend können hierfür auch Lenkeingriffe durchgeführt werden. Derartige Systeme sind sicherheitsrelevant. Es ist bekannt, sicherheitsrelevante Systeme in den sicheren Zustand zu überführen, wenn ein Fehler, also insbesondere ein Systemausfall oder Teilausfall auftritt. Dabei ist es bekannt, das Ausschalten des Systems als sicheren Zustand zu wählen. Bei Systemen, die fahrerunabhängige Bremseingriffe durchführen, ist das Ausschalten als sicherer Zustand noch möglich, dagegen nicht mehr bei Systemen, die fahrerunabhängige Lenkeingriffe, insbesondere mit Lenkwinkeländerungen o- berhalb eines Lenkwinkeländerungsschwellenwertes durchführen, da der Fahrer nicht schlagartig die abgeschalteten Systeme ersetzen kann. Bei fahrerunabhängigen Lenkwinkeländerungen unterhalb des Lenkwinkeländerungsschwellenwertes ist auch das Ausschalten als sicherer Zustand möglich.
Aus der DE 43 34 260 C2 ist es bekannt, ein Antiblockiersys- tem und ein Servolenksystem dadurch eigensicher zu gestalten, dass die Steuereinheit des einen Systems die Funktion des jeweils anderen Systems überwacht und beim Auftreten eines Fehlers in einem der Systeme dasselbe System abschaltet, sobald dies gefahrlos möglich ist.
Aus der DE 195 26 250 AI ist ein Brems- und Lenksystem bekannt. Das Brems- und Lenksystem weist eine Recheneinheit auf, die fehlertolerant ausgebildet ist. Dazu weist die Recheneinheit entweder mindestens drei identische Rechenwerke oder mindestens zwei Rechenwerke auf, die fail-silent sind. Durch die Recheneinheit werden Sollwerte bestimmt, die an ein Steuergerät übermittelt werden, in dem aus den Sollwerten Stellgrößen für Stellglieder ermittelt werden.
Aufgabe der vorliegenden Erfindung ist es, ein Verfahren bereitzustellen, mit dem eine Überführung von sicherheitsrelevanten Fahrfunktionen in den sicheren Zustand bei einem Fehler ermöglicht wird.
Gelöst wird diese Aufgabe durch ein Verfahren der eingangs genannten Art, bei dem beim Auftreten eines Fehlers im ersten Steuergerät das nachgeordnete Steuergerät die von dem ersten Steuergerät gesteuerte Fahrfunktion in einen sicheren Zustand überleitet. Dies bedeutet, dass bei einem Fehler im ersten Steuergerät das erste Steuergerät nicht nur ausgeschaltet wird, sondern dass die Fahrfunktion (eingeschränkt) nach wie vor zur Verfügung steht, wobei die Fahrfunktion durch das nachgeordnete Steuergerät in einen sicheren Zustand überge- leitet wird. Als erstes Steuergerät kommt insbesondere ein Steuergerät für ein elektronisches Stabilitätsprogramm (ESP) in Frage, das beispielsweise Eingriffe in den Motor, die Bremsen, die Lenkung und die Federung des Fahrzeugs vornehmen kann, um dadurch die Gierrate des Fahrzeuges entsprechend einem zugehörigen Sollwert einzustellen. Würde eine von einem solchen Steuergerät realisierte Fahrfunktion bei einem Fehler schlichtweg abgeschaltet werden, so würde dies zu gefährlichen Situationen führen. Die Eingriffe in die Lenkung können mittels eines Steuergeräts für die elektrohydraulische Lenkung (EHL) erfolgen. Bei einer elektrohydraulische Lenkung besteht kein mechanischer Durchgriff mehr vom Lenkrad zu den Rädern, zumindest solange die Steuergeräte fehlerfrei arbeiten. Dadurch sind fahrerunabhängige Lenkeingriffe durch Betätigung entsprechender Stellglieder möglich. Eingriffe in die Federung erfolgen mittels eines Steuergeräts für eine Active Body Control (ABC) , mit dem die Federungseigenschaften eines Fahrzeugs beeinflusst werden können. Ein Fahrzeug, welches mit einer Active Body Control (ABC) ausgestattet ist, weist in der Regel für jedes Rad ein aktives Federbein auf, über welches das jeweilige Rad an einem Fahrzeugrahmen abgestützt ist. Dabei sind diese aktiven Federbeine so ausgebildet, dass sie zumindest hinsichtlich Federvorspannung und/oder Federweg einstellbar sind, wobei ein mit den Federbeinen verbundenes Regelungssystem vorgesehen ist, das in Abhängigkeit von Fahrzeugparametern zumindest die Federvorspannung und/oder den Federweg der Federbeine einstellt. Durch diese Maßnahmen wird für das Fahrzeug ein aktives Fahrwerk bereitgestellt, das auch als ABC-Fahrwerk, also als Activ-Body-Control-Fahrwerk bezeichnet wird. Über ein Steuergerät für die elektrohydraulische Bremse (EHB) können fahrerunabhängige Bremsvorgänge durchgeführt werden. Insbesondere kann das erste Steuergerät mit einem oder mehreren der genannten Steuergeräte verbunden sein. Für jedes der Steuergeräte können einer oder mehrere Sollwerte vom ersten Steuergerät ermittelt werden und an die jeweiligen Steuergeräte übermittelt werden. Jedes der nachgeordneten Steuergeräte kann wiederum mit einem oder mehreren Stellgliedern verbunden sein, denen jeweils eine oder mehrere Stellgrößen zugeführt werden. Insbesondere, wenn die Steuergeräte mit einem Datenbus, z.B. einem CAN-Bus, verbunden sind, können sie miteinander kommunizieren.
Bei einer bevorzugten Verfahrensvariante kann vorgesehen sein, dass beim Auftreten eines Fehlers im ersten Steuergerät im nachgeordneten Steuergerät von einer aktuellen Zuordnungs- vorschrift in eine Sicherheitszuordnungsvorschrift zeitlich definiert übergeleitet wird und die Stellgrößen auf Grund der Sicherheitszuordnungsvorschrift und den zuletzt empfangenen Sollwerten und/oder zusätzlichen Informationen ermittelt werden. Als Fehler im ersten Steuergerät können beispielsweise auftreten: die VersorgungsSpannung fällt aus; einer der Prozessoren fällt aus; ein Platinenbruch tritt auf; an einem Bauteil der Peripherie-Elektronik tritt ein Fehler auf; an einer Ausgabe-/Eingabeeinheit tritt ein Fehler auf. Es können auch mehrere solcher Fehler gleichzeitig auftreten. Wenn ein solcher Fehler detektiert wird, wird die Fahrfunktion vom nachgeordneten Steuergerät übernommen, in dem eine Sicherheitszuordnungsvorschrift abgelegt ist, die bewirkt, dass das Gesamtsystem in einem sicheren Zustand bleibt . Während bei fehlerfreiem Betrieb die vom ersten Steuergerät vorgegebenen Sollwerte gemäß einer aktuellen ZuOrdnungsvorschrift in eine Stellgröße übersetzt werden, erfolgt im Fehlerfall eine Zuordnung gemäß einer Sicherheitszuordnungsvorschrift . Im Fehlerfall werden, insbesondere wenn das erste Steuergerät eigensicher ausgelegt ist, keine weiteren Sollwerte an die nachgeordneten Steuergeräte übermittelt. In einem solchen Fall muss aus den zuletzt empfangenen Sollwerten oder aus zusätzlichen, dem nachgeordneten Steuergerät zugeführten Infor- mationen eine Stellgröße ermittelt werden. Insbesondere wenn es sich bei dem nachgeordneten Steuergerät um das Steuergerät der elektrohydraulischen Bremse handelt, müssen diesem beispielsweise Informationen über einen Stop-and-Go-Modus, eine Obj ekter ennung oder eine Aktivierung eines Tempomats zugeführt werden. Diese Informationen sind erforderlich, um über die weitere Bremsdruckbeaufschlagung entscheiden zu können. Einem ABC-System werden vom ersten Steuergerät in der Regel Werte für Normalkräfte und eine Wankmomentverteilung vorgegeben. Im Fehlerfall wird beispielsweise eine aktuell eingestellte sportliche Wankmomentverteilung auf eine Wankmomentverteilung zurückgeführt, die einem Komfortfahrverhalten entspricht .
Bei einer bevorzugten Verfahrensvariante kann vorgesehen sein, dass die aktuelle ZuOrdnungsvorschrift vom ersten Steuergerät an das nachgeordnete Steuergerät übergeben wird oder eine im nachgeordneten Steuergerät abgelegte Zuordnungsvor- schrift ausgewählt wird. Beispielsweise kann ein Fahrer durch diese Maßnahme vorgeben, ob die Lenkung auf sportlich oder auf Komfort eingestellt werden soll. Gleiches gilt für die Wankmomentverteilung.
Besonders vorteilhaft ist es, wenn die von dem ersten Steuergerät an das nachgeordnete Steuergerät übergebenen Sollwerte gezählt werden. Durch diese Maßnahme erkennt das nachgeordnete Steuergerät, ob ihm ausgehend vom ersten Steuergerät neue Werte zur Verfügung gestellt werden oder nicht . Können keine weiteren Werte mehr gezählt werden, so ist ein Fehler aufgetreten und das erste Steuergerät ist in den eigensicheren Zustand übergegangen. In einem solchen Fall muss die Funktion des ersten Steuergeräts in den sicheren Zustand überführt werden. Es kann vorgesehen sein, dass bei einem die Steuerung einer elektrohydraulischen Lenkung betreffenden Fehler ein zeitlich definierter Überblendvorgang für ein Lenkradmoment durchgeführt wird. Das Lenkradmoment wird durch einen entsprechenden Steller am Lenkrad erzeugt. Dadurch wird dem Fahrer das Gefühl gegeben, eine von der Lenkbewegung der Räder herrührende Kraftrückkopplung zu erhalten. Dieser Überblendvorgang erfolgt auf eine vorgegebene Art und Weise über einen gewissen Zeitraum, so dass sich für den Fahrer nicht ruckartig eine Änderung einstellt. Wäre dies der Fall, so könnte der Fahrer erschrecken, was erst recht zu einem unsicheren Zustand führen würde .
Bei einer besonders bevorzugten Verfahrensvariante kann vorgesehen sein, dass bei einem Fehler sowohl im ersten als auch im nachgeordneten Steuergerät eine mechanische Verbindung zwischen dem Lenkrad und den lenkbaren Rädern hergestellt wird, insbesondere eine mechanische Kupplung im Lenksystem geschlossen wird. Dies ist insbesondere dann von Bedeutung, wenn das nachgeordnete Steuergerät das Steuergerät der elektrohydraulischen Lenkung ist. Das erste Steuergerät gibt einen Sollwert für den einzustellenden Radwinkel vor, der von dem Steuergerät der elektrohydraulischen Lenkung in einen Radwinkel umgesetzt wird. Das Lenksystem enthält eine Kupplung, mit der eine mechanische Verbindung zwischen dem Lenkrad und den zu lenkenden Rädern herstellbar ist. Diese mechanische Kupplung ist, solange kein Fehler auftritt, offen, d.h. der Fahrer hat keinen direkten mechanischen Durchgriff auf die zu lenkenden Räder. Tritt ein Fehler sowohl im ersten Steuergerät als auch im Steuergerät der elektrohydraulischen Lenkung auf, so wird die in der Lenkung vorhandene mechanische Kupplung durch einen definierten zeitlichen Vorgang geschlossen. Somit erhält der Fahrer einen direkten Durchgriff auf die lenkbaren Räder. Das System befindet sich in einem sicheren Zustand. Der Übergang von der elektrohydraulischen Lenkung mit geöffneter Kupplung auf die Lenkung mittels direktem Durchgriff, d.h. mit geschlossener Kupplung, sollte sich für den Fahrer im Lenkrad möglichst wenig bemerkbar machen. Aus diesem Grund wird, wie oben erwähnt, ein Überblendvorgang des Lenkradmoments durchgeführt.
Die Aufgabe wird außerdem gelöst durch ein Fahrfunktionssys- tem, mit einem ersten Steuergerät, welches auf Grund von Sensorsignalen mindestens einen Sollwert ermittelt und an mindestens ein nachgeordnetes Steuergerät übermittelt, das aus dem mindestens einen Sollwert eine oder mehrere Stellgrößen ermittelt und an Stellglieder weiterleitet, wobei das erste Steuergerät eigensicher ausgebildet ist und das nachgeordnete Steuergerät fehlertolerant ausgebildet ist. Bei einem Fehler wird das System durch das oder die nachgeordneten Steuergeräte, die miteinander vernetzt sein können, in einen sicheren Zustand überführt. Es ist grundsätzlich denkbar, das erste Steuergerät und das oder die nachgeordneten Steuergeräte jeweils fehlertolerant auszubilden. Diese Lösung ist jedoch sehr teuer. Eine deutlich kostengünstigere Lösung wird erhalten, wenn nur das oder die nachgeordneten Steuergeräte fehlertolerant ausgebildet sind und das erste Steuergerät eigensicher ausgebildet ist.
Bei einer bevorzugten Ausführungsform ist vorgesehen, dass das erste Steuergerät zwei oder mehr zueinander redundante Rechner, insbesondere Prozessoren, aufweist. Durch diese Maßnahme kann das erste Steuergerät besonders einfach eigensicher ausgebildet werden. Dies bedeutet, dass bei Erkennen eines Fehlers im ersten Steuergerät das Steuergerät entweder abgeschaltet wird oder keine weiteren Sollwerte an das nachgeordnete Steuergerät übertragen werden. Das Abschalten oder Nichtübertragen der Sollwerte an das nachgeordnete Steuerge- rät führt jedoch nicht zu einer Abschaltung des Gesamtsystems bzw. zu einer Abschaltung der durch das erste Steuergerät realisierten Fahrfunktion. Vielmehr wird in dem Fall, dass keine weiteren Sollwerte vom nachgeordneten Steuergerät empfangen werden, das Gesamtsystem in einen sicheren Zustand überführt .
Bei einer besonders bevorzugten Ausführungsform ist vorgesehen, dass das nachgeordnete Steuergerät drei oder mehr zueinander redundante Rechner, insbesondere Prozessoren, aufweist. In allen Rechnern werden die gleichen Algorithmen durchgeführt. Im fehlerfreien Betrieb stimmen die ermittelten Stellgrößen überein. Beim Auftreten eines Fehlers in einem der Rechner weichen die in diesem Rechner ermittelten Ergebnisse von den in den anderen Rechnern ermittelten Ergebnissen ab. Somit kann erkannt werden, ob und in welchem Rechner ein Fehler aufgetreten ist. Der entsprechende Rechner wird nachfolgend solange nicht mehr berücksichtigt, bis eine Überprüfung oder eine Reparatur ausgeführt wurde. Ein kurzzeitiges Abweichen der Ergebnisse muss dabei nicht unbedingt als Fehler gewertet werden, sofern die Ergebnisse anschließend wieder über einen längeren Zeitraum hinweg übereinstimmen.
Besonders bevorzugt ist es, wenn in dem nachgeordneten Steuergerät eine Sicherheitszuordnungsvorschrift abgelegt ist, gemäß der bei einem Fehler im ersten Steuergerät Stellgrößen ermittelt werden. Durch diese Maßnahme kann bei einem Fehler im ersten Steuergerät das Fahrfunktionssystem in einen sicheren Zustand überführt werden.
Besonders vorteilhaft ist es, wenn im fehlerfreien Betrieb vom Fahrer über das erste Steuergerät eine aktuelle Zuord- nungsvorschrift auswählbar ist. Durch diese Maßnahme kann das Fahrverhalten des Fahrzeugs besonders gut auf die Bedürfnisse des Fahrers angepasst werden.
Vorzugsweise wird bei einem Fehler im ersten Steuergerät im nachgeordneten Steuergerät von der aktuellen Zuordnungsvor- schrift zeitlich definiert in die Sicherheitszuordnungsvorschrift übergeleitet . Eine derartige Überleitung darf nicht abrupt erfolgen, um beispielsweise keine abrupten Lenk- oder Bremsmanöver auszulösen. Durch die zeitlich definierte Überleitung wird dem Fahrer die Möglichkeit gegeben, nach Beendigung der Überleitung die Kontrolle über das Fahrzeug wieder vollständig zu übernehmen.
Besonders bevorzugt ist es, wenn die ZuOrdnungsvorschriften Kennlinien sind und im Fehlerfall von einer aktuellen Kennlinie auf eine Sicherheitskennlinie zeitlich definiert übergeführt wird. Als Kenlinie wird dabei beispielsweise der Zusammenhang zwischen dem vom Fahrer vorgegebenen Lenkradwinkel und den an den lenkbaren Rädern einzustellenden Radlenkwinkeln gesehen. Die Kennlinie entspricht dabei einem Übersetzungsverhältnis dieser beiden Winkel .
Dies bedeutet, dass, sobald ein Fehler im ersten Steuergerät auftritt, keine Sollwerte mehr für den Radwinkel an das EHL- Steuergerät übertragen werden. Mit einem definierten zeitlichen Vorgang wird die Kennlinie, die im fehlerfreien Betriebszustand mit dem EHL-Steller realisiert wurde, in die Sicherheitskennlinie übergeleitet, die im EHL-Steuergerät abgelegt ist. Sobald die abgelegte Kennlinie erreicht ist, hat das System den sicheren Zustand eingenommen. Diese Maßnahme ist insbesondere bei einer auf einem Untergrund mit wechselndem Reibbeiwert durchgeführten Bremsung von Bedeutung. Eine Bremsung auf einem derartigen Untergrund führt auf Grund der sich ändernden Reibbeiwertverhältnisse zu einem sich ändern- den Giermoment, welches auf das Fahrzeug wirkt. Dieses Giermoment wird im Normalfall durch das erste Steuergerät, insbesondere ein ESP-System, mithilfe der elektrohydraulischen Lenkung ausgeregelt . Zu diesem Zweck wird an den lenkbaren Rädern fahrerunabhängig ein Lenkwinkel eingestellt. Würden die Regelungssysteme im Fehlerfall lediglich abgeschaltet werden, ohne dass dabei ein definierter Zustand eingenommen wird, dann würde das Fahrzeug entsprechend dem eingestellten Radlenkwinkel weiterfahren und gegebenenfalls die Fahrbahn verlassen. Um dies zu verhindern, muss das Gesamtsystem, insbesondere das EHL-System zusammen mit dem ESP-System, in einen sicheren Zustand gebracht werden.
Wenn ein Botschaftszähler vorgesehen ist, können die von dem ersten Steuergerät ausgegebenen Sollwerte gezählt werden. Der Botschaftszähler bleibt stehen, sobald das erste Steuergerät keine neuen Werte mehr liefert. In diesem Fall ist das erste Steuergerät in den eigensicheren Zustand übergegangen. Die Signale des Botschaftszählers können über einen CAN-Bus an die nachgeordneten Steuergeräte übermittelt werden. Es können auch mehrere Botschaftszähler für unterschiedliche Sollwerte vorgesehen sein.
Besonders vorteilhaft ist es, wenn ein Lenksystem vorgesehen ist, das eine mechanische Kupplung aufweist, die bei einem Fehler sowohl im ersten als auch im nachgeordneten Steuergerät geschlossen wird. Durch diese Maßnahme wird dem Fahrer ein direkter Durchgriff auf die lenkbaren Räder ermöglicht. Dadurch kann der Fahrer die Lenkkontrolle über das Fahrzeug übernehmen.
Weitere Merkmale und Vorteile der Erfindung ergeben sich aus der nachfolgenden Beschreibung eines Ausfuhrungsbeispiels der Erfindung, anhand der Figuren der Zeichnung, die erfindungs- wesentliche Einzelheiten zeigen, und aus den Ansprüchen. Die einzelnen Merkmale können je einzeln für sich oder zu mehreren in beliebiger Kombination bei einer Variante der Erfindung verwirklicht sein.
Ein Ausführungsbeispiel der Erfindung wird anhand einer Zeichnung näher erläutert. Dabei zeigen:
Fig. 1 eine schematische Darstellung eines Fahrfunktions- systems ;
Fig. 2 ein Diagramm zur Darstellung des Übergangs in einen sicheren Zustand.
In der Fig. 1 ist ein Fahrfunktionssystem 1 dargestellt, das ein erstes eigensicheres Steuergerät 2 aufweist, das über einen Datenbus 3 mit nachgeordneten Steuergeräten 4 , 5 , 6 verbunden ist. Die nachgeordneten Steuergeräte 4, 5, 6 sind als fehlertolerante Steuergeräte ausgebildet. Das erste Steuergerät 2 weist zwei als Prozessoren ausgebildete Rechner 7, 8 auf, die denselben Algorithmus durchführen. Dem ersten Steuergerät 2 sind, wie durch die Leitungen 9, 10 angedeutet ist, Sensorsignale zugeführt, aus denen die Rechner 7, 8 Sollwerte berechnen, die an die nachgeordneten Steuergeräte 4, 5, 6 ü- bermittelt werden. Die zugeführten Sensorsignale umfassen beispielsweise den gemessenen Lenkwinkel des Lenkrades, die Stellung des Gaspedals, die Stellung des Bremspedals, die Raddrehzahlen, die Fahrzeuggeschwindigkeit, die Querbeschleunigung, die Gierwinkelgeschwindigkeit etc.. Werden durch die Rechner 7, 8 unterschiedliche Werte ermittelt, so sendet das erste Steuergerät 2 keine weiteren Sollwerte an die nachgeordneten Steuergeräte 4, 5, 6. An den als CAN-Bus ausgebildeten Datenbus 3 ist ein Botschaftszähler 11 angeschlossen, der feststellt, ob Sollwerte vom ersten Steuergerät 2 auf den Datenbus 3 gegeben werden. Ist dies nicht mehr der Fall, so wird ein entsprechendes Signal an die nachgeordneten Steuergeräte 4, 5, 6 gegeben. Dabei kann vorgesehen sein, dass der Botschaftszähler differenziert nach unterschiedlichen Sollwerten die Sollwerte zählt, oder dass mehrere Botschaftszähler für die unterschiedlichen Sollwerte vorhanden sind. Entsprechend kann ein Signal nur an ein betroffenes nachgeordnetes Steuergerät 4, 5, 6 gegeben werden, wenn der für dieses Steuergerät relevante Sollwert nicht mehr ausgegeben wird. Die in der Figur 1 dargestellte Anordnung des Botschaftszählers 11 außerhalb des Steuergeräts 2 soll keine einschränkende Wirkung haben. Der Botschaftszähler 11 kann auch in das Steuergerät 2 integriert sein, es ist auch denkbar, dass jedes der nachgeordneten Steuergeräte 4,5,6 einen eigenen Botschaftszähler enthält.
Das nachgeordnete Steuergerät 4 ist im Ausführungsbeispiel als Steuergerät für eine elektrohydraulische Lenkung ausgebildet . In den Rechnern 12 - 14 wird gemäß einer vom Fahrer über das erste Steuergerät 2 vorgegebenen Kennlinie jeweils eine Stellgröße für die Stellglieder 15, 16 ermittelt. Stellglieder 15, 16 können für jedes lenkbare Rad oder für eine lenkbare Achse vorgesehen sein. Durch das erste Steuergerät 2, welches als ESP-Steuergerät ausgebildet ist, wird dem nachgeordneten Steuergerät 4 ein Sollwert für den einzustellenden Radwinkel vorgegeben, der im nachgeordneten Steuergerät 4 in eine Stellgröße umgewandelt wird, die von den Stellgliedern 15, 16 jeweils in einen Radwinkel umgesetzt wird. Sobald ein Fehler am ersten Steuergerät 2 auftritt, werden keine Sollwerte mehr für den Radwinkel an das nachgeordnete Steuergerät 4 übertragen. Mit einem definierten zeitlichen Vorgang wird die Kennlinie, die im fehlerfreien Betriebszustand mit dem nachgeordneten Steuergerät 4 und den Stellglie- dem 15, 16 realisiert wurde, in eine SicherheitsZuordnungs- vorschrift, insbesondere eine Sicherheitskennlinie, übergeleitet, die im nachgeordneten Steuergerät 4 abgelegt ist. Sobald die abgelegte Kennlinie erreicht ist, hat das System 1 den sicheren Zustand eingenommen. Tritt ein Fehler sowohl im ersten Steuergerät 2 als auch im nachgeordneten Steuergerät 4 auf, so wird eine nicht dargestellte mechanische Kupplung des Lenksystems geschlossen, so dass eine mechanische Verbindung zwischen dem Lenkrad und den lenkbaren Rädern entsteht. Die mechanische Kupplung kann an den Datenbus 3 angeschlossen sein, um den Befehl zum Schließen, beispielsweise vom nachgeordneten Steuergerät 4 zu erhalten.
Das nachgeordnete Steuergerät 5 ist als ein fehlertolerantes Steuergerät für ein ABC-System ausgebildet. Im Normalbetriebsfall werden vom als ESP-Steuergerät ausgebildeten ersten Steuergerät 2 Sollwerte für Normalkräfte und eine Wankmomentverteilung vorgegeben. Insbesondere ist es möglich, eine Wankmomentverteilung für eine Komfortfahrstufe, bei der das Fahrzeug leicht untersteuernd ausgelegt ist, zu wählen oder eine sportliche Wankmomentverteilung zu wählen. Im Fehlerfall des ersten Steuergeräts 2 wird beispielsweise eine eingestellte sportliche Wankmomentverteilung auf eine ein Komfort- fahrverhalten repräsentierende Wankmomentverteilung zurückgeführt. Durch diese Maßnahme wird das System 1 in einen sicheren Zustand überführt. Die Stellglieder 17, 18 sind im Ausführungsbeispiel jeweils mit einer Achse des Fahrzeugs verbunden. Es ist jedoch auch möglich, ein Stellglied für jedes Rad des Fahrzeugs vorzusehen.
Das nachgeordnete Steuergerät 6 ist als Steuergerät eines EHB-Systems ausgebildet. Vom ersten Steuergerät 2 werden Werte für Sollbremsdrücke vorgegeben. Fällt das erste Steuergerät 2 aus, so wird keine Stabilisierungsregelung mehr durch- geführt. Um einen sicheren Zustand einnehmen zu können, werden dem nachgeordneten Steuergerät 6 weitere Informationen bereitgestellt. Mit diesen Informationen, beispielsweise über einen Stop-and-Go-Modus, eine Obj ekterkennung oder eine Aktivierung eines Tempomats, kann über eine weitere Bremsdruckbeaufschlagung entschieden werden. Die Stellglieder 19 - 22 sind jeweils einem bremsbaren Rad zugeordnet.
In der Fig. 2 ist ein Diagramm aufgezeigt, mit dem verdeutlicht werden soll, wie in einen sicheren Zustand überführt werden kann. Auf der linken Seite des Diagramms ist als Zu- ordnungsvorsehrift eine Kennlinie 30 dargestellt, durch die beispielsweise eine sportliche Einstellung für die Bestimmung des Radwinkels gekennzeichnet wird. Diese Kennlinie 30 wurde beispielsweise über das erste Steuergerät 2 durch den Fahrer eingestellt, wobei die Kennlinie 30 in einem nachgeordneten Steuergerät abgelegt sein kann. Wenn ein Fehler im ersten Steuergerät auftritt, wird von der Kennlinie 30 ein zeitlich definierter Übergang 31 entlang der Zeitachse 32 bis zu einer eine Sicherheitszuordnungsvorschrift repräsentierenden Kennlinie 33 durchgeführt, die in dem nachgeordneten Steuergerät abgelegt ist. Im Falle des Steuergeräts für die elektrohydraulische Lenkung ist dies beispielsweise eine Kennlinie, die einer Komfortstufe entspricht. Die Kennlinien 30, 33 beschreiben dabei den Zusammenhang zwischen dem vom Fahrer vorgegebenen Lenkradwinkel und den an den lenkbaren Rädern einzustellenden Radlenkwinkeln. Sie entspricht daher einem Übersetzungsverhältnis dieser beiden Winkel. An dieser Stelle sein angemerkt, dass die in Figur 2 gewählte Darstellung der beiden Kennlinien 30, 33 keine einschränkende Bedeutung haben soll, es sind auch beliebige andere Verläufe denkbar.
Bei einem Verfahren und einem Fahrfunktionssystem zum Überführen von sicherheitsrelevanten Fahrfunktionen eines Fahr- zeugs in den sicheren Zustand, bei dem in einem ersten Steuergerät 2 aufgrund von Sensorsignalen mindestens ein Sollwert ermittelt wird und in einem nachgeordneten Steuergerät 4, 5, 6 aus dem mindestens einen Sollwert eine oder mehrere Stellgrößen für Stellglieder ermittelt werden, leitet beim Auftreten eines Fehlers im ersten eigensicheren Steuergerät 2 das nachgeordnete fehlertolerante Steuergerät 4, 5, 6 die von dem ersten Steuergerät gesteuerte Fahrfunktion in einen sicheren Zustand über. Durch diese Maßnahme wird es dem Fahrer ermöglicht bei Störungen sicher die Kontrolle über sein Fahrzeug zu übernehmen.

Claims

Patentansprüche
Verfahren zum Überführen von sicherheitsrelevanten Fahrfunktionen eines Fahrzeugs in den sicheren Zustand, wobei bei dem Verfahren in einem ersten Steuergerät (2) aufgrund von Sensorsignalen mindestens ein Sollwert ermittelt wird und in einem nachgeordneten Steuergerät (4, 5, 6) aus dem mindestens einen Sollwert eine oder mehrere Stellgrößen für Stellglieder ermittelt werden, dadurch gekennzeichnet, dass beim Auftreten eines Fehlers im ersten Steuergerät (2) das nachgeordnete Steuergerät (4, 5, 6) die von dem ersten Steuergerät gesteuerte Fahrfunktion in einen sicheren Zustand überleitet .
Verfahren nach Anspruch 1 , dadurch gekennzeichnet, dass beim Auftreten eines Fehlers im ersten Steuergerät (2) im nachgeordneten Steuergerät (4, 5, 6) von einer aktuellen ZuOrdnungsvorschrift in eine Sicherheitszuordnungsvorschrift zeitlich definiert übergeleitet wird und die Stellgrößen aufgrund der Sicherheitszuordnungsvor- schrift und den zuletzt empfangenen Sollwerten und/oder zusätzlichen Informationen ermittelt werden.
3. Verfahren nach Anspruch 2 , dadurch gekennzeichnet, dass die aktuelle ZuOrdnungsvorschrift vom ersten Steuergerät (2) an das nachgeordnete Steuergerät (4, 5, 6) ü- bergeben wird oder eine im nachgeordneten Steuergerät (4, 5, 6) abgelegte ZuOrdnungsvorschrift ausgewählt wird.
4. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die von dem ersten Steuergerät (2) an das nachgeordnete Steuergerät (4, 5, 6) übergebenen Sollwerte gezählt werden.
5. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass bei einem die Steuerung einer elektrohydraulischen Lenkung betreffenden Fehler ein zeitlich definierter Ü- berblendvorgang für ein Lenkradmoment durchgeführt wird.
6. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass bei einem Fehler sowohl im ersten als auch im nachgeordneten Steuergerät (2; 4, 5, 6) eine mechanische Verbindung zwischen dem Lenkrad und den lenkbaren Rädern hergestellt wird, insbesondere eine mechanische Kupplung im Lenksystem geschlossen wird.
7. Fahrfunktionssystem (1), insbesondere zur Durchführung des Verfahrens nach einem der vorhergehenden Ansprüche, mit einem ersten Steuergerät (2) , welches aufgrund von Sensorsignalen mindestens einen Sollwert ermittelt und an mindestens ein nachgeordnetes Steuergerät (4, 5, 6) übermittelt, das aus dem mindestens einen Sollwert eine oder mehrere Stellgrößen ermittelt und an Stellglieder (15 - 22) weiter leitet, dadurch gekennzeichnet, dass das erste Steuergerät (2) eigensicher ausgebildet ist und das nachgeordnete Steuergerät (4, 5, 6) fehlertolerant ausgebildet ist.
8. System nach Anspruch 7 , dadurch gekennzeichnet, dass das erste Steuergerät (2) zwei oder mehr zueinander redundante Rechner (7, 8) , insbesondere Prozessoren, aufweist .
9. System nach Anspruch 7 oder 8, dadurch gekennzeichnet, dass das nachgeordnete Steuergerät (4, 5, 6) drei oder mehr zueinander redundante Rechner (13, 14, 15), insbesondere Prozessoren, aufweist.
10. System nach einem der vorhergehenden Ansprüche 7 bis 9, dadurch gekennzeichnet, dass in dem nachgeordneten Steuergerät (4, 5, 6) eine Sicherheitszuordnungsvorschrift abgelegt ist, gemäß der bei einem Fehler im ersten Steuergerät (2) Stellgrößen ermittelt werden.
11. System nach einem der vorhergehenden Ansprüche 7 bis 10, dadurch gekennzeichnet, dass im fehlerfreien Betrieb vom Fahrer über das erste Steuergerät (2) eine aktuelle ZuOrdnungsvorschrift auswählbar ist.
12. System nach einem der vorhergehenden Ansprüche 10 oder 11, dadurch gekennzeichnet, dass bei einem Fehler im ersten Steuergerät (2) im nachgeordneten Steuergerät (4, 5, 6) von der aktuellen Zuord- nungsvorsehrift zeitlich definiert in die Sicherheitszuordnungsvorschrift übergeleitet wird.
13. System nach einem der vorhergehenden Ansprüche 10 bis 12, dadurch gekennzeichnet, dass das die ZuOrdnungsvorschriften Kennlinien (30, 33) sind und im Fehlerfall von einer aktuellen Kennlinie (30) auf eine Sicherheitskennlinie (33) zeitlich definiert ü- berführt wird.
14. System nach einem der vorhergehenden Ansprüche 7 bis 13, dadurch gekennzeichnet, dass ein Botschaftszähler (11) vorgesehen ist, mit dem die von dem ersten Steuergerät (2) ausgegebenen Sollwerte gezählt werden.
15. System nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das erste Steuergerät (2) als Elektronisches Stabi- litäts Programm (ESP) Steuergerät und das nachgeordnete Steuergerät (4, 5, 6) als Steuergerät einer elektrohydraulischen Lenkung oder einer elektrohydraulischen Bremse (EHB) oder einer Active Body Control (ABC) ausgebildet ist .
16. System nach einem der vorhergehenden Ansprüche 7 bis 15, dadurch gekennzeichnet, dass ein Lenksystem vorgesehen ist, das eine mechanische Kupplung aufweist, die bei einem Fehler sowohl im ersten als auch im nachgeordneten Steuergerät (2; 4, 5, 6) geschlossen wird.
PCT/EP2004/014398 2003-12-20 2004-12-17 Verfahren und fahrfunktionssystem zum überführen von sicherheitsrelevanten fahrfunktionen eines fahrzeugs in den sicheren zustand WO2005061296A1 (de)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
DE10360132.5 2003-12-20
DE10360132 2003-12-20
DE102004058996.8 2004-12-08
DE102004058996A DE102004058996A1 (de) 2003-12-20 2004-12-08 Verfahren und Fahrfunktionssystem zum Überführen von sicherheitsrelevanten Fahrfunktionen eines Fahrzeugs in den sicheren Zustand

Publications (1)

Publication Number Publication Date
WO2005061296A1 true WO2005061296A1 (de) 2005-07-07

Family

ID=34712322

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2004/014398 WO2005061296A1 (de) 2003-12-20 2004-12-17 Verfahren und fahrfunktionssystem zum überführen von sicherheitsrelevanten fahrfunktionen eines fahrzeugs in den sicheren zustand

Country Status (1)

Country Link
WO (1) WO2005061296A1 (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012031829A1 (de) * 2010-09-06 2012-03-15 Robert Bosch Gmbh Verfahren und vorrichtung zur einstellung eines notlaufbetriebes bei einem fehlerbehafteten system zur erkennung von vorentflammungen in einem verbrennungsmotor

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19733379A1 (de) * 1997-08-01 1999-02-18 Bosch Gmbh Robert Verfahren und Vorrichtung zur Steuerung einer Bremsanlage
DE19832167A1 (de) * 1997-11-22 1999-05-27 Itt Mfg Enterprises Inc Elektromechanisches Bremssystem
EP0999117A2 (de) * 1995-07-18 2000-05-10 DaimlerChrysler AG Fahrzeug mit Brems- und Lenksystem
US6134491A (en) * 1997-09-13 2000-10-17 Honda Giken Kogyo Kabushiki Kaisha Steering control system for vehicle
DE10025492A1 (de) * 2000-05-23 2001-12-13 Daimler Chrysler Ag Verfahren und Vorrichtung zur Rückmeldung des Fahrzustands eines Fahrzeugs an den Fahrer
DE10101827A1 (de) * 2001-01-17 2002-07-18 Daimler Chrysler Ag Lenkanordnung für Kraftfahrzeuge
DE10113917A1 (de) * 2001-03-21 2002-09-26 Bosch Gmbh Robert Verfahren und Vorrichtung zur Überwachung von Steuereinheiten

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0999117A2 (de) * 1995-07-18 2000-05-10 DaimlerChrysler AG Fahrzeug mit Brems- und Lenksystem
DE19733379A1 (de) * 1997-08-01 1999-02-18 Bosch Gmbh Robert Verfahren und Vorrichtung zur Steuerung einer Bremsanlage
US6134491A (en) * 1997-09-13 2000-10-17 Honda Giken Kogyo Kabushiki Kaisha Steering control system for vehicle
DE19832167A1 (de) * 1997-11-22 1999-05-27 Itt Mfg Enterprises Inc Elektromechanisches Bremssystem
DE10025492A1 (de) * 2000-05-23 2001-12-13 Daimler Chrysler Ag Verfahren und Vorrichtung zur Rückmeldung des Fahrzustands eines Fahrzeugs an den Fahrer
DE10101827A1 (de) * 2001-01-17 2002-07-18 Daimler Chrysler Ag Lenkanordnung für Kraftfahrzeuge
DE10113917A1 (de) * 2001-03-21 2002-09-26 Bosch Gmbh Robert Verfahren und Vorrichtung zur Überwachung von Steuereinheiten

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012031829A1 (de) * 2010-09-06 2012-03-15 Robert Bosch Gmbh Verfahren und vorrichtung zur einstellung eines notlaufbetriebes bei einem fehlerbehafteten system zur erkennung von vorentflammungen in einem verbrennungsmotor

Similar Documents

Publication Publication Date Title
EP3600995B1 (de) Elektronisch steuerbares bremssystem sowie verfahren zum steuern des elektronisch steuerbaren bremssystems
EP3600994B1 (de) Elektronisch steuerbares bremssystem sowie verfahren zum steuern des elektronisch steuerbaren bremssystems mit rein elektrischem bremswertgeber
EP3507151B1 (de) Elektronisch steuerbares pneumatisches bremssystem in einem nutzfahrzeug sowie verfahren zum elektronischen steuern eines pneumatischen bremssystems in einem nutzfahrzeug
DE60315766T2 (de) Verfahren und System zum Bereitstellen einer Notlenkungsregelung von Fahrzeugen durch Bremsen
EP2942249B1 (de) Druckmittelbetriebenes bremssystem für ein kraftfahrzeug sowie kraftfahrzeug damit
DE60221949T2 (de) Elektrische Lenkung für ein Fahrzeug mit dreifacher Redundanz
EP2032416B1 (de) Hinterachslenkung für einen fahrzeugkran
EP1718510A1 (de) Verfahren und vorrichtung zum überwachen von signalverarbeitungseinheiten für sensoren
EP2099670B1 (de) System und verfahren zum einstellen eines radeinschlagswinkels eines rades eines kraftfahrzeugs
EP1349759A1 (de) Vorrichtung zur überwachung von in einem fahrzeug angeordneten sensormitteln
EP3697655B1 (de) Brems-redundanzkonzept für hochautomatisiertes fahren
DE10248343A1 (de) Verfahren zur Ansteuerung eines Betätigungskraftsimulators einer Fahrzeuglenkung
WO2014180551A1 (de) Verfahren zum betrieb eines bremssystems beim vollautomatischen fahren und kraftfahrzeug
WO2021078673A1 (de) Bremssystem für ein kraftfahrzeug
WO2006077255A1 (de) Vorrichtung und verfahren zur fahrdynamikregelung bei einem fahrzeug
EP4071012A1 (de) Bremssystem für ein autonomes fahrzeug
EP1188640B1 (de) Vorrichtung und Verfahren zur elektronischen Steuerung eines einem Regelsystem zugeordneten Aktuators in Kraftfahrzeugen
DE102004058996A1 (de) Verfahren und Fahrfunktionssystem zum Überführen von sicherheitsrelevanten Fahrfunktionen eines Fahrzeugs in den sicheren Zustand
EP3470301B1 (de) Lenkungssteuersystem für ein lenksystem eines kraftfahrzeuges sowie verfahren zum betreiben eines lenkungssteuersystems
DE102022102339B4 (de) System und verfahren zum präventiven bereitstellen eines bremssystems
DE102017112183B4 (de) Steueranordnung zur Lenkung einer Hinterradachse eines Fahrzeugs
WO2005061296A1 (de) Verfahren und fahrfunktionssystem zum überführen von sicherheitsrelevanten fahrfunktionen eines fahrzeugs in den sicheren zustand
DE19946074A1 (de) Elektrohydraulische Lenkung eines Fahrzeuges
DE102022103798B4 (de) Verfahren zum Betreiben eines Fahrzeuges
EP4077075B1 (de) Systemarchitektur eines elektronischen bremssystems

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): AE AG AL AM AT AU AZ BA BB BG BR BW BY BZ CA CH CN CO CR CU CZ DE DK DM DZ EC EE EG ES FI GB GD GE GH GM HR HU ID IL IN IS JP KE KG KP KR KZ LC LK LR LS LT LU LV MA MD MG MK MN MW MX MZ NA NI NO NZ OM PG PH PL PT RO RU SC SD SE SG SK SL SY TJ TM TN TR TT TZ UA UG US UZ VC VN YU ZA ZM ZW

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): GM KE LS MW MZ NA SD SL SZ TZ UG ZM ZW AM AZ BY KG KZ MD RU TJ TM AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LT LU MC NL PL PT RO SE SI SK TR BF BJ CF CG CI CM GA GN GQ GW ML MR NE SN TD TG

121 Ep: the epo has been informed by wipo that ep was designated in this application
NENP Non-entry into the national phase

Ref country code: DE

WWW Wipo information: withdrawn in national office

Country of ref document: DE

122 Ep: pct application non-entry in european phase