WO2020052951A1 - Vorrichtung zur entkopplung und zum schutz vor ausgleichsströmen in einem redundanten system für autonomes fahren - Google Patents

Vorrichtung zur entkopplung und zum schutz vor ausgleichsströmen in einem redundanten system für autonomes fahren Download PDF

Info

Publication number
WO2020052951A1
WO2020052951A1 PCT/EP2019/072718 EP2019072718W WO2020052951A1 WO 2020052951 A1 WO2020052951 A1 WO 2020052951A1 EP 2019072718 W EP2019072718 W EP 2019072718W WO 2020052951 A1 WO2020052951 A1 WO 2020052951A1
Authority
WO
WIPO (PCT)
Prior art keywords
control unit
electronic control
current
devices
electrical actuator
Prior art date
Application number
PCT/EP2019/072718
Other languages
English (en)
French (fr)
Inventor
Felix Hoos
Thorsten Beyse
Dieter Winz
Frank Scholl
Kai-Sven Becker
Günter HERRMANN
Christian Kaufmann
Alexander Rammert
Michael BELLING
Original Assignee
Knorr-Bremse Systeme für Nutzfahrzeuge GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Knorr-Bremse Systeme für Nutzfahrzeuge GmbH filed Critical Knorr-Bremse Systeme für Nutzfahrzeuge GmbH
Priority to US17/274,384 priority Critical patent/US11872997B2/en
Priority to CN202410029868.8A priority patent/CN117644768A/zh
Priority to CN201980058998.1A priority patent/CN112672907B/zh
Publication of WO2020052951A1 publication Critical patent/WO2020052951A1/de

Links

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/0205Diagnosing or detecting failures; Failure detection models
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60LPROPULSION OF ELECTRICALLY-PROPELLED VEHICLES; SUPPLYING ELECTRIC POWER FOR AUXILIARY EQUIPMENT OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRODYNAMIC BRAKE SYSTEMS FOR VEHICLES IN GENERAL; MAGNETIC SUSPENSION OR LEVITATION FOR VEHICLES; MONITORING OPERATING VARIABLES OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRIC SAFETY DEVICES FOR ELECTRICALLY-PROPELLED VEHICLES
    • B60L3/00Electric devices on electrically-propelled vehicles for safety purposes; Monitoring operating variables, e.g. speed, deceleration or energy consumption
    • B60L3/0092Electric devices on electrically-propelled vehicles for safety purposes; Monitoring operating variables, e.g. speed, deceleration or energy consumption with use of redundant elements for safety purposes
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60LPROPULSION OF ELECTRICALLY-PROPELLED VEHICLES; SUPPLYING ELECTRIC POWER FOR AUXILIARY EQUIPMENT OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRODYNAMIC BRAKE SYSTEMS FOR VEHICLES IN GENERAL; MAGNETIC SUSPENSION OR LEVITATION FOR VEHICLES; MONITORING OPERATING VARIABLES OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRIC SAFETY DEVICES FOR ELECTRICALLY-PROPELLED VEHICLES
    • B60L3/00Electric devices on electrically-propelled vehicles for safety purposes; Monitoring operating variables, e.g. speed, deceleration or energy consumption
    • B60L3/0023Detecting, eliminating, remedying or compensating for drive train abnormalities, e.g. failures within the drive train
    • B60L3/0076Detecting, eliminating, remedying or compensating for drive train abnormalities, e.g. failures within the drive train relating to braking
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/023Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for transmission of signals between vehicle parts or subsystems
    • B60R16/0231Circuits relating to the driving or the functioning of the vehicle
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R16/00Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for
    • B60R16/02Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements
    • B60R16/03Electric or fluid circuits specially adapted for vehicles and not otherwise provided for; Arrangement of elements of electric or fluid circuits specially adapted for vehicles and not otherwise provided for electric constitutive elements for supply of electrical power to vehicle subsystems or for
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T17/00Component parts, details, or accessories of power brake systems not covered by groups B60T8/00, B60T13/00 or B60T15/00, or presenting other characteristic features
    • B60T17/18Safety devices; Monitoring
    • B60T17/22Devices for monitoring or checking brake systems; Signal devices
    • B60T17/221Procedure or apparatus for checking or keeping in a correct functioning condition of brake systems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60WCONJOINT CONTROL OF VEHICLE SUB-UNITS OF DIFFERENT TYPE OR DIFFERENT FUNCTION; CONTROL SYSTEMS SPECIALLY ADAPTED FOR HYBRID VEHICLES; ROAD VEHICLE DRIVE CONTROL SYSTEMS FOR PURPOSES NOT RELATED TO THE CONTROL OF A PARTICULAR SUB-UNIT
    • B60W50/00Details of control systems for road vehicle drive control not related to the control of a particular sub-unit, e.g. process diagnostic or vehicle driver interfaces
    • B60W50/02Ensuring safety in case of control system failures, e.g. by diagnosing, circumventing or fixing failures
    • B60W50/023Avoiding failures by using redundant parts
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02JCIRCUIT ARRANGEMENTS OR SYSTEMS FOR SUPPLYING OR DISTRIBUTING ELECTRIC POWER; SYSTEMS FOR STORING ELECTRIC ENERGY
    • H02J1/00Circuit arrangements for dc mains or dc distribution networks
    • H02J1/10Parallel operation of dc sources
    • H02J1/108Parallel operation of dc sources using diodes blocking reverse current flow
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02JCIRCUIT ARRANGEMENTS OR SYSTEMS FOR SUPPLYING OR DISTRIBUTING ELECTRIC POWER; SYSTEMS FOR STORING ELECTRIC ENERGY
    • H02J7/00Circuit arrangements for charging or depolarising batteries or for supplying loads from batteries
    • H02J7/0029Circuit arrangements for charging or depolarising batteries or for supplying loads from batteries with safety or protection devices or circuits
    • H02J7/0031Circuit arrangements for charging or depolarising batteries or for supplying loads from batteries with safety or protection devices or circuits using battery or load disconnect circuits
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02JCIRCUIT ARRANGEMENTS OR SYSTEMS FOR SUPPLYING OR DISTRIBUTING ELECTRIC POWER; SYSTEMS FOR STORING ELECTRIC ENERGY
    • H02J7/00Circuit arrangements for charging or depolarising batteries or for supplying loads from batteries
    • H02J7/0029Circuit arrangements for charging or depolarising batteries or for supplying loads from batteries with safety or protection devices or circuits
    • H02J7/0034Circuit arrangements for charging or depolarising batteries or for supplying loads from batteries with safety or protection devices or circuits using reverse polarity correcting or protecting circuits
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02JCIRCUIT ARRANGEMENTS OR SYSTEMS FOR SUPPLYING OR DISTRIBUTING ELECTRIC POWER; SYSTEMS FOR STORING ELECTRIC ENERGY
    • H02J7/00Circuit arrangements for charging or depolarising batteries or for supplying loads from batteries
    • H02J7/14Circuit arrangements for charging or depolarising batteries or for supplying loads from batteries for charging batteries from dynamo-electric generators driven at varying speed, e.g. on vehicle
    • H02J7/1423Circuit arrangements for charging or depolarising batteries or for supplying loads from batteries for charging batteries from dynamo-electric generators driven at varying speed, e.g. on vehicle with multiple batteries
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02JCIRCUIT ARRANGEMENTS OR SYSTEMS FOR SUPPLYING OR DISTRIBUTING ELECTRIC POWER; SYSTEMS FOR STORING ELECTRIC ENERGY
    • H02J9/00Circuit arrangements for emergency or stand-by power supply, e.g. for emergency lighting
    • H02J9/04Circuit arrangements for emergency or stand-by power supply, e.g. for emergency lighting in which the distribution system is disconnected from the normal source and connected to a standby source
    • H02J9/06Circuit arrangements for emergency or stand-by power supply, e.g. for emergency lighting in which the distribution system is disconnected from the normal source and connected to a standby source with automatic change-over, e.g. UPS systems
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60LPROPULSION OF ELECTRICALLY-PROPELLED VEHICLES; SUPPLYING ELECTRIC POWER FOR AUXILIARY EQUIPMENT OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRODYNAMIC BRAKE SYSTEMS FOR VEHICLES IN GENERAL; MAGNETIC SUSPENSION OR LEVITATION FOR VEHICLES; MONITORING OPERATING VARIABLES OF ELECTRICALLY-PROPELLED VEHICLES; ELECTRIC SAFETY DEVICES FOR ELECTRICALLY-PROPELLED VEHICLES
    • B60L2260/00Operating Modes
    • B60L2260/20Drive modes; Transition between modes
    • B60L2260/32Auto pilot mode
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T2270/00Further aspects of brake control systems not otherwise provided for
    • B60T2270/40Failsafe aspects of brake control systems
    • B60T2270/402Back-up
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T2270/00Further aspects of brake control systems not otherwise provided for
    • B60T2270/40Failsafe aspects of brake control systems
    • B60T2270/413Plausibility monitoring, cross check, redundancy
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T2270/00Further aspects of brake control systems not otherwise provided for
    • B60T2270/40Failsafe aspects of brake control systems
    • B60T2270/414Power supply failure
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60TVEHICLE BRAKE CONTROL SYSTEMS OR PARTS THEREOF; BRAKE CONTROL SYSTEMS OR PARTS THEREOF, IN GENERAL; ARRANGEMENT OF BRAKING ELEMENTS ON VEHICLES IN GENERAL; PORTABLE DEVICES FOR PREVENTING UNWANTED MOVEMENT OF VEHICLES; VEHICLE MODIFICATIONS TO FACILITATE COOLING OF BRAKES
    • B60T2270/00Further aspects of brake control systems not otherwise provided for
    • B60T2270/40Failsafe aspects of brake control systems
    • B60T2270/415Short-circuit, open circuit failure
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02JCIRCUIT ARRANGEMENTS OR SYSTEMS FOR SUPPLYING OR DISTRIBUTING ELECTRIC POWER; SYSTEMS FOR STORING ELECTRIC ENERGY
    • H02J2310/00The network for supplying or distributing electric power characterised by its spatial reach or by the load
    • H02J2310/40The network being an on-board power network, i.e. within a vehicle
    • HELECTRICITY
    • H02GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
    • H02MAPPARATUS FOR CONVERSION BETWEEN AC AND AC, BETWEEN AC AND DC, OR BETWEEN DC AND DC, AND FOR USE WITH MAINS OR SIMILAR POWER SUPPLY SYSTEMS; CONVERSION OF DC OR AC INPUT POWER INTO SURGE OUTPUT POWER; CONTROL OR REGULATION THEREOF
    • H02M3/00Conversion of dc power input into dc power output
    • H02M3/02Conversion of dc power input into dc power output without intermediate conversion into ac
    • H02M3/04Conversion of dc power input into dc power output without intermediate conversion into ac by static converters
    • H02M3/06Conversion of dc power input into dc power output without intermediate conversion into ac by static converters using resistors or capacitors, e.g. potential divider
    • H02M3/07Conversion of dc power input into dc power output without intermediate conversion into ac by static converters using resistors or capacitors, e.g. potential divider using capacitors charged and discharged alternately by semiconductor devices with control electrode, e.g. charge pumps

Definitions

  • the invention is based on a device according to the preamble of claim 1.
  • driver assistance systems control the vehicle instead of the driver and also monitor the surroundings of the vehicle.
  • Driver assistance systems are classified according to SAE in six levels (0 to 5).
  • SAE for vehicles that perform autonomous driving functions at least temporarily without a driver who is ready to intervene at any time (with assistance functions from level or level 3, which relates to highly automated driving, an underlying system takes over the longitudinal and lateral guidance in a specific application - In the event of an emergency, recognizes system limits and prompts a driver with sufficient time reserve to take over.
  • redundancy of a voltage supply is ensured via several, for example two, independent voltage sources, which generally share a common ground, or several, for example two, independent electrical control circuits for brake control with common are used in vehicles Mass (vehicle mass) arranged.
  • this relates in particular to electronics of the brake system (i.e. the control devices) and controls for electro-pneumatic actuators, e.g. Solenoid valves or pressure control valves. While in a known system the electronics are designed redundantly by two separate control units, it is sufficient in many electro-pneumatic valves to connect one valve together to two redundant brake system control units and to control such valves depending on the situation from one or the other control unit.
  • electro-pneumatic actuators e.g. Solenoid valves or pressure control valves.
  • FIG. 1 shows schematically and in detail a structure of a system with two brake control devices, of which a first is a main brake control device and a second is a backup brake control device, which together access coils of solenoid valves.
  • the coils are controlled via semiconductor drivers or semiconductor switches, all of which are supplied via a common supply and ground path.
  • Line fuses are indicated schematically.
  • compensating currents can disadvantageously occur between the two voltage supplies.
  • Such compensating currents are caused by Differences in voltage between the voltage supplies or a ground offset (GND1 and GND2 are generally the same, but under certain circumstances ground offset, ie a voltage difference between the ground inputs, can occur).
  • the current flow then takes place via switched MOSFETs in one control unit and the inverse diode or body diode of the MOSFET in the other control unit.
  • Fig. 2 illustrates an example of the occurrence of equalizing currents in such a system with shared solenoid valves without further protective measures.
  • a desired current flow is indicated schematically with a solid line, and possible compensation currents are indicated with broken lines.
  • a pressure control valve consists, for example, electrically of two solenoid valves, which have a common connection and each have their own connection.
  • a triggering electronic control unit has a switch with which the common connections of all solenoid valves can be switched, and in each case a dedicated switch for each of the solenoid valves in order to be able to energize them individually.
  • the switches can be designed as electronic output stages, which are controlled by a logic unit of the electronic control unit. A distinction is made between output stages that connect the supply lines of the solenoid valves with a plus potential (+) (highside) and output stages that connect the return lines of the solenoid valves with a minus potential (-) or ground potential (Lowside).
  • the power amplifier which is one of the two paths for several
  • Switching solenoid valves together can be a highside or a lowside power amplifier (common ground). To simplify matters, a negative or lowside connection is assumed below. A switch-off option on both sides is required in order to protect the supply or ground even in the event of a short circuit in one of the supply lines, or by means of a short-circuited an output stage short-circuited between, for example, drain and source due to overtemperature (having a short-circuit fault) and thus destroyed, to preclude unwanted energization of a solenoid valve.
  • a pressure control valve is actuated by two or more electronic control units, however, if one of the electronic control units gives test impulses to a magnet, the permanent monitoring in another electronic control unit would respond and erroneously recognize an error.
  • two electrical circuits have a common ground (-), a ground offset between two controlling electronic control units can lead to the destruction of one or both of the electronic control units.
  • a defective electronic control unit can be unintentionally supplied “backwards” if, for example, it has been disconnected from its supply voltage due to an error, or, if the defective electronic control unit is short-circuited to its supply, one of an intact one electronic control unit to the solenoid valve flowing current can be short-circuited as the Parasitic diode of the high-end power stage of the defective electronic control unit passes the current from the intact electronic control unit when this second electronic control unit switches on the solenoid valve.
  • This could lead to unwanted and potentially dangerous activities of the first, defective electronic control unit and / or prevent the solenoid valve of the pressure control valve in question from switching, or destroy the second electronic control unit due to the excessive current flow and thereby eliminate the necessary redundancy.
  • the present invention is based on the object of preventing redundant control currents between voltage supplies via the control devices in a compressed air brake system with solenoid valves that share redundant control devices even without galvanic isolation and in compliance with safety requirements.
  • the invention is intended to ensure in a compressed air brake system that a fault in one control circuit does not affect another control circuit.
  • the invention is based on the general idea of a device for decoupling and for protection against compensating currents when electrical base actuators on two independently powered control units in redundant systems for autonomous driving.
  • the invention includes circuit modules (A and B) which can be supplemented to conventional control devices and which, in combination with control devices, provide protection against compensating currents and feedback when used together.
  • the device for decoupling and protection against compensating currents contains two modules (semiconductor circuit modules) and / or diodes or elements or components which are functionally equivalent thereto and which are configured as current blocking devices to be switched into the plus and the ground path and which make it possible to prevent equalization currents and other undesirable currents between power supplies via control units, even without electrical isolation and in compliance with safety requirements.
  • the modules are preferably designed as switching devices or switches that are inserted directly into the supply path or the ground path.
  • the modules are operated via several control lines. When all control lines are activated, the modules act as closed switches. Otherwise, the modules remain like open switches, the internal circuit arrangement of the modules providing the protective functions mentioned above.
  • the modules can also be implemented in various configurations, each of which can be configured for corresponding security requirements.
  • the modules can be configured to meet simple to increased security requirements, such as a predetermined tolerance to individual short circuits of internal MOSFETs or short circuits in downstream high-side or low-side solenoid valve drivers.
  • the modules preferably also provide a tap for Circuit parts ready that are not shared and only need protection against reverse polarity of the control unit supply voltage.
  • the device according to the invention for decoupling and / or protection against compensating currents for use when at least one electrical actuator is shared by a plurality of independently voltage-supplied control device devices in redundant systems for autonomous driving provides that the at least one electrical actuator each has a common connection, via which the at least one electrical actuator can be coupled and switched to a common connection of other electrical actuators, and has at least one dedicated connection via which the at least one electrical actuator can be energized individually; the plurality of control device devices has at least one first control device device that has a first electronic control unit and a first number of switching devices that corresponds to the common connection and the number of dedicated connections of all electrical actuators, and at least one second control device device that has a second electronic control unit and one that is common Connection and the number of dedicated connections of all electrical actuators corresponding second number of switching devices, and the at least one first and second control device means are arranged to switch a switching current via the switching devices in the at least one electrical actuator or not.
  • At least one current flow blocking device is configured to prevent current flow to the electronic
  • control units in a redundantly designed system such as a brake system, for autonomous driving, which in turn partially prevents one or all of electronic control units from being damaged or destroyed due to the unwanted flow of current, or that a defective electronic control unit is unwanted again " backwards ”is supplied, for example, if it is disconnected from its supply voltage due to a fault, or the current is short-circuited from an intact electronic control unit to a solenoid valve if a defective electronic control unit short-circuits its supply to ground or short-circuits its ground to that Supply voltage.
  • the redundancy required for the autonomous system can also be maintained in the event of a fault or in the case of unsuitable voltage and / or mass ratios.
  • the first and second control device devices preferably comprise a main brake control device with the first electronic control unit and a backup brake control device with the second electronic control unit, and the at least one electrical actuator comprises a solenoid valve or a pressure control module containing solenoid valves, the first and second control device devices being arranged for this purpose are to access coils of the solenoid valves and the pressure control modules together, the coils being configured to be controlled via the switching devices and the switching devices including semiconductor switches configured to be supplied via a common supply and ground path.
  • the switching devices are configured as electronic output stages, which are arranged to be controlled by a logic unit of the first or second electronic control unit, an output stage in each case being an output stage, which leads the leads of an electrical actuator with a plus -Potential connects, or is a power amplifier that connects the return lines of the electrical actuator with a negative potential or ground potential.
  • the current flow blocking device is designed as a first balancing current protection module and a second balancing current protection module, each of which is configured as a switching semiconductor circuit module and is configured to be connected in a positive path and a ground path and to compensate currents between voltage supplies via the control device devices prevent.
  • the first compensating current protection module has an input, three separate control inputs for controlling internal control switches in a MOSFET gate control of switching MOSFETs provided in the module, a fully protected output, an output providing reverse polarity protection, a ground connection and one Charge pump, wherein the gate drive lines are designed decoupled from each other to protect against failures due to individual short-circuit faults of the MOSFETs.
  • the second compensation current protection module has one input, three separate inputs for controlling internal control switches in a MOSFET gate control of switching MOSFETs provided in the module, a fully protected output, an output providing reverse polarity protection and a ground connection, the gate drive lines are decoupled from one another to protect against failures due to individual short-circuit faults in the MOSFETs.
  • the orientation of the MOSFETs is determined internally by the orientation of the MOSFETs in downstream high-side and low-side drivers of drivers for the at least one electrical actuator and an interconnection of the MOSFETs of the first and the second balancing current protection module is such that two body diodes of two respective MOSFETs are connected in opposite directions and provide direct protection against reverse currents, and a third MOSFET of the first and the second balancing current protection module is oriented in this way that it provides redundant reverse current protection.
  • the current flow blocking device can further preferably be designed as a diode arranged on a connection of each of the switching devices.
  • the diode can preferably be arranged inside the first and second control devices or outside the first and second control devices. In this case, it can alternatively be preferred that a plurality of diodes are arranged in a diode circuit arrangement which works equivalent to a respective individual diode and forms a T-piece.
  • a diode is arranged as the current blocking device in each case in a common current path section between the switching devices and in each case the electronic control units.
  • the supply potential side in a common current path section between the switching devices and the first and the second electronic control unit reverse polarized and actively switched output stage is arranged as the current blocking device, and on the ground potential side in a common current path section between the switching devices and the first and the second electronic control unit a diode is arranged as the current blocking device.
  • the supply potential is arranged on the side in a common current path section between the switching devices and the first and the second electronic control unit, a reverse-polarized and actively switched output stage as the current blocking device, and on the ground potential side in a common current path section the switching devices and the first and the second electronic control unit, a reverse-polarity and actively switched output stage is arranged as the current blocking device.
  • the first and the second electronic control unit are configured to block both the switching devices of both a positive and a ground line if no electrical actuator is to be energized; in error-free operation in accordance with predetermined criteria, only one of the first and second electronic control units defines the control of the at least one electrical actuator; an electronic control unit of the first and the second electronic control units which is in a passive state is configured not to carry out active energization of an electrical actuator for test purposes; and the electronic control unit which is in the passive state is configured to switch to an active state in the event of a fault in an active control unit of the first and the second electronic control units, which prevents the active control unit from continuing to operate, and as a new active electronic control unit to take over control of the electric actuator instead of the faulty electronic control unit; the one being in the passive state electronic control unit is configured to voltage level and / or
  • the invention relates not only to the device described above for decoupling and protection against equalizing currents in a redundant system for autonomous driving, but also to a method for controlling and / or operating such a device.
  • a brake system in which the device can be installed and the method can be carried out can be actuated electrically, hydraulically, pneumatically, electro-hydraulically or electro-pneumatically.
  • the braking system can be a braking system of a passenger car or a commercial vehicle (towing vehicle and / or trailer), and can be of any type and in particular can be actuated electrically, hydraulically, pneumatically, electro-hydraulically or electro-pneumatically.
  • the invention extends to all types of vehicles, in particular also to passenger vehicles, commercial vehicles or heavy commercial vehicles.
  • the control device device can be formed by a separate control device or also by an already existing electronic control device, in particular by a vehicle control device, a brake control device of the brake device or by the control device of an electro-pneumatic brake control module.
  • FIG. 1 For purposes of clarity, identical or at least identical components in the drawing are not repeatedly referred to with the same reference numbers, but instead can be used as an example of a unique and unique reference number. representative of such identical or at least identical components.
  • FIG. 1 shows a schematic structure of a part of a redundantly designed compressed air brake system with two control units, more precisely a main control unit and a backup control unit, and a plurality of solenoid valves shared by both control units;
  • FIG. 2 shows examples of equalizing currents between the voltage supplies shown in FIG. 1 (solid line: desired current flow, broken lines; possible equalizing currents);
  • Fig. 3 shows the part of a redundant air brake system shown in Fig. 1, in which, according to one embodiment, a first balance current protection module A in a plus supply path and a second balance current protection module B in the ground supply paths to protect against balance currents between the independent voltage supply - are arranged;
  • FIG. 4 shows details of the exemplary first balancing current protection module A according to FIG. 3 for protection against balancing currents in the plus supply path; 5 shows details of the exemplary second balancing current protection module B according to FIG. 3 for protection against ground balancing currents;
  • FIG. 6 shows details of a modification of the exemplary first compensation current protection module A according to FIG. 3 in an expanded configuration stage for protecting the plus supply path with increased security measures
  • 7 shows details of a modification of the exemplary second balancing current protection module B according to FIG. 3 in an expanded configuration stage with additional safety measures
  • FIG. 9 shows a simplified and excerpted illustration of a redundantly designed compressed air brake system with an arrangement of a current blocking device according to a second exemplary embodiment
  • FIG. 10 shows an alternative arrangement of the current blocking device according to FIG. 9;
  • FIG. 11 shows another alternative arrangement of the current blocking device according to FIG. 9;
  • FIG. 12 shows another alternative arrangement of the current blocking device according to FIG. 9.
  • FIG. 13 shows another alternative arrangement of the current blocking device according to FIG. 9.
  • Fig. 1 is a schematic structure of part of a redundant air brake system for, for example, a vehicle with a plurality of control devices, here at least two control devices and more precisely a main control device (first control device) 1 and a backup control device (second control device) 2, and a plurality , for example a first, a second and a third, shown by the two control units 1, 2 shared solenoid valves 5.
  • first control device main control device
  • second control device 2 backup control device
  • a plurality for example a first, a second and a third, shown by the two control units 1, 2 shared solenoid valves 5.
  • Each pin of the solenoid valves 5 is connected to both the main control unit 1 and the backup control unit 2.
  • the main control unit 1 is supplied with a predetermined potential against a vehicle ground by a first voltage supply 4, and the backup control unit 2 is supplied with the predetermined potential against the vehicle ground by a second voltage supply 3.
  • the main and backup control devices 1, 2 are arranged and configured to switch switch devices 6, for example suitable MOSFETs or other suitable power switches or output stages, as switches in the supply path and in the ground path, if necessary.
  • the first control device 1 i.e. the main control unit, a first electronic control unit or ECU (not shown in FIG.
  • the two electronic control units in the two control devices 1, 2 are each on the power supplies 3, 4 are connected and can communicate with one another and with other vehicle systems via a data bus (not shown).
  • the control devices 1, 2 each form control device devices.
  • an air brake system shown in FIG. 1 can be part of a brake system or a brake system of any vehicle, such as a commercial vehicle as a towing vehicle and / or a trailer thereof, and the air brake system itself of known type and in particular electrically, hydraulically, pneumatically, electro-hydraulically or electro-pneumatically.
  • the number, the configuration and the arrangement of the control devices 1, 2, the solenoid valves 5 and the switch 6 are not limited to the number, configuration and arrangement used as an example herein, as long as a corresponding number, configuration and Arrangement the effects and advantages according to the invention can be achieved. Details of the air brake system known per se are conveniently omitted in the following description, provided that they do not contribute to a better or easier understanding of the invention.
  • Fig. 2 shows examples of equalizing currents that can occur between the ge shown in Fig. 1 power supplies 3 and 4.
  • a correspondingly predetermined current
  • the control devices 1, 2 closes at least one of the switches 6 in the supply path and in the ground path and a correspondingly predetermined current (a) flows, in situations in which, in each case in the forward direction of the body diode, a voltage difference between the first voltage supply 4 and the second voltage supply 3 (case (b)) or there is a ground offset between the ground pins of the two control devices 1, 2 (case (c)), in the other control device compensation currents (b), (c) via the Body diodes of the MOSFETs forming the switches 6 flow.
  • FIG. 3 shows the part of the redundant pressure reliever system shown in FIG. 1 and shows the overall structure of such a system.
  • the following FIGS. 4 to 8, based on FIG. 3, show the circuit details of the two modules A, B for the plus supply path (A) and the ground path (B) in various expansion stages.
  • a first balance current protection module A is in a positive supply path and a second balance current protection module B is in the ground supply paths for protection arranged before equalizing currents between the independent power supplies 3, 4.
  • the compensating current protection modules A, B are preferably integrated in the control units 1, 2 in this exemplary embodiment. It therefore goes without saying that a configured number of balancing current protection modules corresponds to a configured number of control units.
  • FIG. 4 shows details of an exemplary first balancing current protection module A according to FIG. 3 for protection against balancing currents in the plus supply path, and as such shows a basic variant of both modules A and B.
  • the first compensating current protection module A shown in FIG. 4 more precisely has an input ON, three separate control inputs for controlling internal control switches (designated as STRG_1, STRG_2 and STRG_3) in a MOSFET gate control in this exemplary embodiment, a fully protected output AUSJp , an output AUS_rp which only offers reverse polarity protection, a ground connection GND and a charge pump 7.
  • the gate drive lines are preferably decoupled from one another for protection against failures due to individual short-circuit faults in the MOSFETs. A suitable decoupling is indicated in FIG.
  • a diode 9 in each of the individual gate drive lines and the MOSFETs which are separately controlled by the three inputs STRG_1, STRG_2 and STRG_3. It is noted that the diode 9 can optionally be arranged. If, for example, bipolar transistors or MOSFET are used for STRG_1, STRG_2 and STRG_3, they are not required.
  • FIG. 5 shows details of an exemplary second balancing current protection module B according to FIG. 3 for protection against ground balancing currents.
  • the second balancing current protection module B shown in FIG. 5 has an input ON, three separate inputs for controlling internal control switches (designated as STRG_1, STRG_2 and STRG_3) in a MOSFET gate control in this exemplary embodiment, a fully protected output GND_fp, an output GND_rp that only offers reverse polarity protection and a ground connection GND.
  • the gate drive lines are preferably decoupled from one another for protection against failures due to individual short-circuit faults in the MOSFETs. A suitable decoupling is indicated in FIG.
  • the diode 9 can optionally be arranged.
  • the first and second compensating current protection modules A and B when they are in a state of an open switch, provide reverse polarity protection and protection against compensating currents that are tolerant of individual MOSFET short-circuit faults.
  • the circuit arrangement of the first and second balance current protection modules A and B according to FIG. 4 is based in each case on three power MOSFETs.
  • An important design criterion here is the orientation of the power MOSFETs, the internal module orientation being determined by the orientation of the power MOSFETs in downstream high-side and low-side drivers of drivers for the solenoid valves.
  • One design goal is preferably to connect the power MOSFETs of the first and second balancing current protection modules A and B in such a way that two body diodes of the power MOSFETs are connected in opposite directions and offer direct protection against reverse currents.
  • the third power OS F ET of the first and second balancing current protection modules A and B is oriented so that it can be used in conjunction with the high-side or low-side driver for the solenoid valve control provides redundant reverse current protection.
  • the internal control of the power MOSFETs in the first and second balance current protection modules A and B is shown in FIG. 4 schematically by switch modules and via the charge pump 7 (first balance current protection module A) or a voltage converter (DC / DC in the second compensation current protection module B) indicated.
  • the switching voltage for the power MOSFETs can be achieved, for example, by switching the gate source voltage using a bipolar transistor circuit.
  • a sufficiently high gate-source voltage for the power MOSFETs can be generated in the first compensating current protection module A, for example via one or, depending on the safety requirements, a plurality of charge pumps.
  • Parts of the charge pump e.g.
  • the generation of the high-frequency control signal can also be shifted to the outside and made available, for example, by a microcontroller.
  • a microcontroller In the second balancing current protection module B in the ground path, lower voltages are sufficient, which can either be directly coupled in, or converted again (to a lower voltage) by an internal voltage converter (DC / DC).
  • DC / DC internal voltage converter
  • each gate thereof is decoupled from the gate voltage supply by a switch in the gate drive line and, if appropriate, by an optional additional diode 9.
  • the three control inputs STRG_1 to STRG_3 provide the option of individually controlling the power MOSFETs using a microcontroller. If lower security requirements are sufficient, several or all of the control inputs STRG_1 to STRG_3 can be connected and switched together.
  • test and diagnostic circuits are not shown. In a practical embodiment, however, they are preferably both for the first and second balancing current protection modules A and B and for the high-side and low-side drivers at the outputs of the solenoid valves 5 in favor of sufficient diagnostic coverage of the switches 6, the compensation current protection and reverse polarity protection provided and arranged.
  • FIG. 6 shows details of a modification of the exemplary first balancing current protection module A according to FIG. 3 or FIG. 4 in a modification as an expanded version with increased security measures, in which an additional redundant charge pump 8 is used to protect the plus supply path is arranged and configured to provide protection against failures due to a single fault in the internal charge pump 7.
  • FIG. 7 shows details of a modification of the exemplary second DC protection module B according to FIG. 3 in an expanded configuration stage with exemplary additional safety measures in the case of several available control unit supply and / or ground pins.
  • a redundant ground input can be configured to provide protection against, for example, a line drop.
  • the configuration stages of the first and second balancing current protection modules A and B shown as a modification in FIGS. 6 and 7 provide further protection against various fault situations.
  • an additional can be arranged by arranging several separate charge pumps 7, 8 Protection against possible individual errors in the internal charge pump 7 can be achieved.
  • the first and second balancing current protection modules A or B can be controlled with redundant inputs. This provides protection against an interruption on a pin or against the triggering of a fuse in one of the control unit supply paths.
  • 7 shows an example of a circuit arrangement for the second compensation current protection Mod u I B with two control unit ground pins. In the circuit arrangement in FIG. 7, it should be noted that the voltage offset between the two control unit ground pins is below the forward voltage of the body diode of the power MOSFET. If higher voltage offsets are expected, additional measures, e.g. additional MOSFETs can be achieved.
  • FIG. 8 shows details of a further modification of the exemplary second balancing current protection module B according to FIG. 3 in a simplified configuration stage.
  • This expansion stage needs only two MOSFETs, provides protection against reverse polarity and decouples the output from ground as long as not all of the module's internal switches are closed.
  • MOSFETs can be replaced inexpensively and simply by diodes.
  • the second exemplary embodiment can thus form an embodiment which optimizes and simplifies the first exemplary embodiment.
  • at least one diode can be external to the control device, i.e. be arranged outside a control device or a control device, for example one integrated in a cable set or in an actuator such as a pressure control valve (PCV).
  • PCV pressure control valve
  • diodes or components or elements which are functionally equivalent thereto are arranged in electronic control units, in a cable harness (for example in plugs or sockets of pressure control valves or electronic control units) and / or in for example a special T-piece.
  • a cable harness for example in plugs or sockets of pressure control valves or electronic control units
  • a special T-piece for example a special T-piece.
  • an electro-pneumatic actuator for example a pressure control valve 15, consists electrically of two solenoid valves 5, which have one connection each and their own connection.
  • a first driving electronic control unit or ECU 11 and a second driving electronic control unit or ECU 12 have each have a switching device 16 for switching the common connections of all solenoid valves 5 and a switching device 17 for each solenoid valve 5 for their individual energization.
  • the switching devices 16, 17 can be configured, for example, as electronic output stages, which are controlled by a logic unit (not shown) in the first electronic control unit 11 and the second electronic control unit 12.
  • An output stage that switches one of the two paths for several solenoid valves 5 together can be a highside output stage or a low-side output stage (common ground). In the following description, a negative connection (lowside) is expediently assumed.
  • a switch-off option on both sides is necessary in order to prevent an undesired energization of a solenoid valve 5 even in the event of a short circuit of one of the supply lines to the supply voltage or ground, or due to a short-circuited output stage.
  • permanent electrical values e.g. voltages at the connections, excessive currents
  • a diode 18 and a diode 19 are arranged on the respective connection of the switching devices 16 (ie the output stages) in the direction of the solenoid valves 5 or their respective connection for voltage supply or ground.
  • the diodes 18, 19 are arranged inside the first and second control devices 1, 2, indicated by a broken line.
  • the diodes 18, 19, the circuit arrangement 20 operating equivalent to a single diode and / or by means of an additional, reverse-polarized and actively switched output stage 21 are configured to prevent an error via the connecting line to the pressure control valve 15 Current flows into the electronic control units 11, 12 in an undesired or wanted direction and causes damage by connections to the other electronic parts of the electronic control units 11, 12.
  • both the switching devices 6 and output stages of the plus and the ground line are always blocked when no solenoid valve 5 is to be energized.
  • only one of the electronic control units 11, 12 defines the actuation of the pressure control valves 15. This distribution of tasks can be maintained during error-free operation or cyclically or according to other predetermined criteria, for example according to criteria that are configured for the thermal loading of the output stages to harmonize, switch.
  • an electronic control unit which is in a passive state does not actively energize a solenoid valve 5 for test purposes as long as it is in the passive state. This prevents the output of test pulses on a magnet and advantageously prevents the values of permanent monitoring from being triggered in another electronic control unit and the resulting, unfounded error detection.
  • the electronic control unit which is in a passive state can optionally also change the voltage levels and / or in its passive state Monitor the current levels on their lines to the pressure control valves 15 and, if necessary, check them with information that is transmitted to them by the active electronic control unit via a digital interface, for example a CAN bus, with regard to the current activation of the solenoid valves.
  • a digital interface for example a CAN bus
  • a currently active first electronic control unit for example the first electronic control unit 11
  • a previously passive, second electronic control unit for example the second electronic control unit 12
  • this second electronic control unit 12 which changes from the passive state to the active state, can, for example, itself recognize by failure of communication with or with the first electronic control unit 11 that the previously active first electronic control unit 11 has failed.
  • the previously active first electronic control unit 11 or another electronic control unit that has recognized the error in the previously active first electronic control unit 11 can notify the second electronic control unit 12 of the detected error.
  • the second electronic control unit 12 which has now become active, can then recognize on the basis of the voltage levels on its lines whether there is a short circuit or one of the dedicated (individual) output stages in the no longer active first electronic control unit 11 is short-circuited. In In these cases, continued operation of the pressure control valves 15 is no longer possible, since switching on the common switching device 17 would immediately and unintentionally activate a solenoid valve 5. The active electronic control unit therefore ends the operation of the pressure control valves 15 in these cases.
  • the active electronic control unit can switch on in common the common switching device 17 and one or more of the dedicated switching devices 16 in order to detect an error based on an excessive current flow.
  • a short circuit to ground or a short-circuited common switching device 16 or output stage of a faulty electronic control unit can be detected in that when the corresponding dedicated switching device or output stage is switched on in a pulsed manner, no voltage on the return line before the common switching device or output stage when the common switching device or output stage is switched off Power stage is present.
  • the operation of the pressure control valves 15 can possibly be carried out by the active electronic ronic control unit, which has taken over the operation of the pressure control valves 15 instead of the defective electronic control unit, be continued at least for a limited time. It is noted that a corresponding error message can occur for each detected error if this has not already been initiated by the defective electronic control unit or another monitoring system provided and configured for this purpose.
  • the invention relates to a device for decoupling and / or protection against equalizing currents for use when at least one electrical actuator 5, 15 is shared by a plurality of independently voltage-supplied control device devices 1, 2 in redundant systems for autonomous driving.
  • the electrical actuator 5, 15 each has a common connection, via which the electrical actuator can be coupled and switched to a common connection of other electrical actuators 5, 15, and at least one dedicated connection, via which the at least one electrical actuator 5, 15 can be energized individually is on.
  • the invention provides at least one current flow blocking device A, B, 18, 19, 20, 21, which is configured to prevent undesired current flow to an inactive electronic control unit 11, 12 of the first and second control device devices 1, 2.
  • First control device device (first control device, main control device)
  • Second control device device (second control device, backup control device)

Landscapes

  • Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Mechanical Engineering (AREA)
  • Automation & Control Theory (AREA)
  • Transportation (AREA)
  • Human Computer Interaction (AREA)
  • Business, Economics & Management (AREA)
  • Emergency Management (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Sustainable Development (AREA)
  • Sustainable Energy (AREA)
  • Valves And Accessory Devices For Braking Systems (AREA)
  • Regulating Braking Force (AREA)

Abstract

Die Erfindung betrifft eine Vorrichtung zur Entkopplung und/oder zum Schutz vor Ausgleichsströmen zur Verwendung bei gemeinsamer Nutzung zumindest eines elektrischen Aktuators (5; 15) durch eine Mehrzahl von unabhängig spannungsversorgten Steuergeräteinrichtungen (1, 2) in redundanten Systemen für autonomes Fahren. Der elektrische Aktuator (5; 15) weist jeweils einen gemeinsamen Anschluss, über den der elektrische Aktuator mit einem gemeinsamen Anschluss anderer elektrischer Aktuatoren (5; 15) koppelbar und schaltbar ist, und zumindest einen dedizierten Anschluss, über den der zumindest eine elektrische Aktuator (5; 15) einzeln bestrombar ist, auf. Eine dem gemeinsamen Anschluss und der Anzahl der dedizierten Anschlüsse aller elektrischen Aktuatoren (5; 15) entsprechende Anzahl von Schalteinrichtungen (6; 16, 17) ist dazu angeordnet, schaltend einen Strom in den zumindest einen elektrischen Aktuator (5; 15) einzusteuern oder nicht einzusteuern. Die Erfindung sieht zumindest eine Stromflusssperreinrichtung (A, B; 18, 19; 20; 21) vor, die dazu konfiguriert ist, einen unerwünschten Stromfluss zu einer nicht aktiven elektronischen Steuereinheit (11, 12) der ersten und zweiten Steuergeräteinrichtungen (1, 2) zu unterbinden.

Description

Vorrichtung zur Entkopplung und zum Schutz vor Ausgleichsströmen in einem redundanten System für autonomes Fahren Beschreibung
Stand der Technik
Die Erfindung geht aus von einer Vorrichtung gemäß dem Oberbegriff von An- spruch 1.
Bei hoch automatisiert oder autonom fahrenden Fahrzeugen, wie beispielsweise hoch automatisiert oder autonom fahrenden Nutzfahrzeugen, steuern anstelle des Fahrers Fahrerassistenzsysteme das Fahrzeug und überwachen auch das Umfeld des Fahrzeugs. Fahrerassistenzsysteme werden SAE-gemäß in sechs Stufen (0 bis 5) klassifiziert. Insbesondere bei Fahrzeugen, die autonome Fahrfunktionen ohne einen zu jedem Zeitpunkt eingriffsbereiten Fahrer zumindest zeitweise ausführen (bei Assistenzfunktionen ab Level bzw. Stufe 3, die sich auf hoch automatisiertes Fahren bezieht, übernimmt ein zugrunde liegendes System die Längs- und die Querführung in einem spezifischen Anwen- dungsfall, erkennt Systemgrenzen und fordert einen Fahrer mit ausreichender Zeitreserve zur Übernahme auf. Der Fahrer muss das Fahrzeug oder System nicht mehr dauerhaft überwachen, aber potenziell in der Lage sein, die Kontrolle zu übernehmen), müssen Bremssysteme auch im Falle eines Fehlers in ei- nem elektrischen Steuerkreis noch in der Lage sein, Aktuatoren wie beispiels- weise Drucksteuerventile (PCVs, Pressure Control Valves) anzusteuern, um elektrisch gesteuerte Funktionen, wie z.B. ABS, ESP, Lenkbremse und derglei- chen, auch im Fehlerfall noch ausführen zu können. Im Fehlerfall, etwa bei einem Ausfall einer Komponente, kann jedoch der Fall eintreten, dass der Fahrer nicht mehr oder zumindest nicht mehr ausreichend schnell eingreifen und die Kontrolle über das Fahrzeug übernehmen kann. Aus diesem Grund muss die Funktion unverzügiich von einem Backup-Steuergerät übernommen werden. Daher werden sicherheitskritische elektronische Systeme redundant ausgelegt.
Aus Sicherheitsgründen werden daher kritische elektronische Systeme redun- dant ausgelegt. Beispielsweise wird eine Redundanz einer Spannungsversor- gung über mehrere, beispielsweise zwei, unabhängige Spannungsquellen sichergestellt, die sich in der Regel eine gemeinsame Masse teilen, oder es wer- den in Fahrzeugen mehrere, beispielsweise zwei, unabhängige elektrische An- steuerkreise für die Bremssteuerung mit gemeinsamer Masse (Fahrzeugmasse) angeordnet.
In einem Druckluftbremssystem betrifft dies insbesondere eine Elektronik des Bremssystems (d.h. die Steuergeräte) sowie Ansteuerungen elektro- pneumatischer Aktuatoren, z.B. Magnetventile oder Drucksteuerventile. Während in einem bekannten System die Elektronik durch zwei separate Steuergeräte redundant ausgelegt ist, ist es bei vielen elektro-pneumatischen Ventilen ausreichend, ein Ventil gemeinsam an zwei redundante Bremssystem- Steuergeräte anzuschließen und die Ansteuerung solcher Ventile situationsabhängig von dem einen oder dem anderen Steuergerät durchzuführen.
Fig.1 zeigt schematisch und ausschnittsweise einen Aufbau eines Systems mit zwei Bremssteuergeräten, von welchen ein erstes ein Haupt-Bremssteuergerät ist und ein zweites ein Backup-Bremssteuergerät ist, die gemeinsam auf Spulen von Magnetventilen zugreifen. Die Spulen werden über Halbleitertreiber bzw. Halbleiterschalter angesteuert, die alle über einen gemeinsamen Versorgungsund Massepfad versorgt werden. Schematisch sind Leitungssicherungen angedeutet.
Aufgrund der Verbindung über die Kontakte der gemeinsam genutzten Magnetventile können nachteilig Ausgleichsströme zwischen den beiden Spannungsversorgungen auftreten. Ursache solcher Ausgleichsströme sind Span- nungsunterschiede zwischen den Spannungsversorgungen oder ein Masseversatz (in der Regel sind die GND1 und GND2 gleich, unter Umständen können jedoch Masseversätze, d.h. eine Spannungsdifferenz zwischen den Masseeingängen, auftreten). Der Stromfluss erfolgt dann über geschaltete MOSFETs in einem Steuergerät und die Inversdiode bzw. Body-Diode des MOSFETs in dem anderen Steuergerät.
Fig. 2 veranschaulicht beispielhaft das Auftreten von Ausgleichsströmen in einem solchen System mit gemeinsam genutzten Magnetventilen ohne weitere Schutzmaßnahmen. In Fig. 2 ist beispielsweise mit einer durchgezogenen Linie schematisch ein gewollter Stromfluss angedeutet, und sind mit durchbrochenen Linien mögliche Ausgleichsströme angedeutet.
Außerdem muss bei Vorhandensein mehrerer unabhängiger Ansteuerkreise für die Bremssteuerung sichergestellt werden, dass sich ein Fehlerfall in einem der Ansteuerkreise nicht nachteilig auf einen anderen Ansteuerkreis auswirkt Ins- besondere darf nicht ein einzelner Fehler zu einem gleichzeitigen Ausfall aller, beispielsweise beider, Ansteuerkreise führen. In einer bekannten Anordnung besteht ein Drucksteuerventil beispielsweise elektrisch aus zwei Magnetventilen, die einen gemeinsamen Anschluss und je einen eigenen Anschluss aufweisen. Eine ansteuernde elektronische Steuereinheit weist einen Schalter auf, mit welchem die gemeinsamen Anschlüsse aller Magnetventile schaltbar sind, und jeweils einen dedizierten Schalter für je- des der Magnetventile, um diese einzeln bestromen zu können.
Die Schalter können als elektronische Endstufen ausgeführt sein, die von einer Logikeinheit der elektronischen Steuereinheit gesteuert werden. Hierbei wird zwischen Endstufen, die die Zuleitungen der Magnetventile mit einem Plus- Potenzial (+) verbinden (Highside), und Endstufen, die die Rückleitungen der Magnetventile mit einem Minus-Potenzial (-) oder Massepotenzial verbinden (Lowside), unterschieden. Die Endstufe, die einen der beiden Pfade für mehrere
Magnetventile gemeinsam schaltet, kann eine Highside- oder eine Lowside- Endstufe (Common Ground) sein. Vereinfachend wird im Folgenden ein negativer bzw. Lowside-Anschluss angenommen. Eine beidseitige Abschaltmöglichkeit ist erforderlich, um auch bei einem Kurzschluss in einer der Zuleitungen gegen die Versorgung oder die Masse, oder durch eine kurzgeschlossene ("durchlegierte"), d.h. eine zwischen beispielsweise Drain und Source aufgrund von Übertemperatur kurzgeschlossene (einen Kurzschlussfehler aufweisende) und damit zerstörte, Endstufe, ein ungewolltes Bestromen eines Magnetventils auszuschließen.
Um andere Fehler, insbesondere Kurzschlüsse zwischen einer Zu- und einer Rückleitung, zwischen einer Rückleitung und der Versorgung und zwischen der Rückleitung und der Masse, sowie Kabelbruch rechtzeitig zu erkennen, werden in der Regel permanent elektrische Werte (Spannungen an den Anschlüssen, übergroße Ströme) überwacht sowie von Zeit zu Zeit Testimpulse auf die Magnete gegeben und die elektrische Reaktion darauf ausgewertet.
Wird ein Drucksteuerventil von zwei oder mehreren elektronischen Steuereinheiten angesteuert, würde jedoch dann, wenn eine der elektronischen Steuereinheiten Testimpulse auf einen Magneten gibt, die permanente Überwachung in einer anderen elektronischen Steuereinheit ansprechen und fälschlicherweise auf einen Fehler erkennen. Außerdem kann dann, wenn zwei elektrische Kreise eine gemeinsame Masse (-) aufweisen, ein Masseversatz zwischen zwei steu- ernden elektronischen Steuereinheiten zu der Zerstörung einer oder beider der elektronischen Steuereinheiten führen. Ferner kann eine defekte elektronische Steuereinheit ungewollt„rückwärts“ versorgt werden, wenn sie z.B. aufgrund ei nes Fehlers von ihrer Versorgungsspannung getrennt worden ist, bzw. kann dann, wenn bei der defekten elektronische Steuereinheit ein Kurzschluss ihrer Versorgung nach Masse vorliegt, ein von einer intakten elektronischen Steuereinheit zu dem Magnetventil fließender Strom kurzgeschlossen werden, da die parasitäre Diode der Highside-Endstufe der defekten elektronischen Steuereinheit den Strom von der intakten elektronischen Steuereinheit durchlässt, wenn diese zweite elektronische Steuereinheit das Magnetventil einschaltet. Dies könnte zu ungewollten und potenziell gefahrvollen Aktivitäten der ersten, defek- ten elektronischen Steuereinheit führen und/oder verhindern, dass das Magnetventil des betreffenden Drucksteuerventils schaltet, oder aufgrund des zu hohen Stromflusses auch die zweite elektronische Steuereinheit zerstören und dadurch die erforderliche Redundanz aufheben. Falls eine Endstufe für die individuelle Bestrom ung eines Magnetventils in einer elektronischen Steuereinheit kurzgeschlossen ist, genügt es nicht, dass nur diese elektronische Steuereinheit die entsprechende gegenpolige, gemeinsame Endstufe abschaltet, denn der Strom würde in diesem Fall über die gegenpoli- ge, gemeinsame Endstufe der anderen elektronischen Steuereinheit fließen und das Magnetventil ungewollt aktivieren.
Ausgehend von der vorgenannten Problematik liegt der vorliegenden Erfindung die Aufgabe zugrunde, in einem Druckluftbremssystem mit Magnetventile ge- meinsam nutzenden, redundanten Steuergeräten auch ohne galvanische Tren- nung und unter Einhaltung von Sicherheitsanforderungen Ausgleichsströme zwischen Spannungsversorgungen über die Steuergeräte zu verhindern. Darüber hinaus soll die Erfindung in einem Druckluftbremssystem sicherstellen, dass sich ein Fehlerfall in einem Ansteuerkreis nicht auf einen anderen Ansteuerkreis auswirkt.
Diese Aufgabe wird erfindungsgemäß durch die Merkmale von Anspruch 1 gelöst.
Offenbarung der Erfindung
Der Erfindung liegt der allgemeine Gedanke einer Vorrichtung zur Entkopplung und zum Schutz vor Ausgleichsströmen bei gemeinsamer Nutzung von elektri- sehen Aktuatoren durch zwei unabhängig spannungsversorgte Steuergeräte in redundanten Systemen für autonomes Fahren zugrunde. In einem modularen Ansatz beinhaltet die Erfindung Schaltungsmodule (A und B), die zu konventio- nellen Steuergeräten ergänzt werden können und die in Kombination mit Steuergeräten einen Schutz gegen Ausgleichsströme und Rückkopplungen bei ge- meinsamer Nutzung bereitstellen.
Die Vorrichtung zur Entkopplung und zum Schutz vor Ausgleichsströmen beinhaltet zwei Module (Halbieiterschaltungsmodule) und/oder Dioden bzw. funktionell dazu äquivalente Elemente oder Komponenten, die als Stromsperreinrichtungen dazu konfiguriert sind, in den Plus- und den Massepfad geschaltet zu werden, und die es ermöglichen, auch ohne galvanische Trennung und unter Einhaltung von Sicherheitsanforderungen Ausgleichsströme und anderweitig unerwünschte Ströme zwischen Spannungsversorgungen über Steuergeräte zu verhindern.
Die Module sind vorzugsweise als Schalteinrichtungen bzw. Schalter ausgelegt, die in den Versorgungspfad bzw. den Massepfad direkt eingefügt werden. Die Module werden über mehrere Steuerleitungen betätigt. Wenn alle Steuerieitun- gen aktiviert sind, wirken die Module als geschlossene Schalter. Andernfalls erhalten sich die Module wie geöffnete Schalter, wobei die interne Schaltungsanordnung der Module die vorstehend erwähnten Schutzfunktionen bereitstellt.
Die Module sind darüber hinaus in verschiedenen Ausbaustufen realisierbar, die jeweils für entsprechende Sicherheitsanforderungen konfigurierbar sind. Beispielsweise können die Module dazu konfiguriert sein, einfacheren bis erhöhte Sicherheitsanforderungen, wie beispielsweise eine vorbestimmte Toleranz gegenüber einzelnen Kurzschlüssen interner MOSFETs oder Kurzschlüssen in nachgelagerten High-Side oder Low-Side Magnetventiltreibern, zu erfüllen. Darüber hinaus stellen die Module vorzugsweise auch einen Abgriff für Schaltungsteile bereit, die nicht gemeinsam genutzt werden und lediglich Schutz gegen ein Verpolen der Steuergeräteversorgungsspannung benötigen.
Die erfindungsgemäße Vorrichtung zur Entkopplung und/oder zum Schutz vor Ausgleichsströmen zur Verwendung bei gemeinsamer Nutzung zumindest eines elektrischen Aktuators durch eine Mehrzahl von unabhängig spannungs- versorgten Steuergeräteinrichtungen in redundanten Systemen für autonomes Fahren sieht vor, dass der zumindest eine elektrische Aktuator jeweils einen gemeinsamen Anschluss, über den der zumindest eine elektrische Aktuator mit einem gemeinsamen Anschluss anderer elektrischer Aktuatoren koppelbar und schaltbar ist, und zumindest einen dedizierten Anschluss, über den der zumin- dest eine elektrische Aktuator einzeln bestrombar ist, aufweist; die Mehrzahl von Steuergeräteinrichtungen zumindest eine erste Steuergeräteinrichtung, die eine erste elektronische Steuereinheit und eine dem gemeinsamen Anschluss und der Anzahl der dedizierten Anschlüsse aller elektrischen Aktuatoren entsprechende erste Anzahl von Schalteinrichtungen aufweist, und zumindest eine zweite Steuergeräteinrichtung, die eine zweite elektronische Steuereinheit und eine dem gemeinsamen Anschluss und der Anzahl der dedizierten Anschlüsse aller elektrischen Aktuatoren entsprechende zweite Anzahl von Schalteinrich tungen aufweist, und die zumindest eine erste und zweite Steuergeräteinrichtung dazu angeordnet sind, über die Schalteinrichtungen schaltend einen Strom in den zumindest einen elektrischen Aktuator einzusteuern oder nicht einzusteuern. Zumindest eine Stromflusssperreinrichtung ist dazu konfiguriert, dann, wenn eine der ersten und zweiten Steuergeräteinrichtungen schaltend einen Strom in den zumindest einen elektrischen Aktuator einsteuert, einen aus dieser Einsteuerung resultierenden Stromfluss zu der elektronischen Steuereinheit einer anderen der ersten und zweiten Steuergeräteinrichtungen zu unterbinden.
Durch die wie vorstehend erfindungsgemäßen Merkmale wird insbesondere vorteilhaft verhindert, dass ein Spannungsversatz oder ein Masseversatz zu ei- nem unerwünschten Stromfluss zwischen Steuergeräten und/oder eiektroni- sehen Steuereinheiten in einem redundant ausgelegten System, wie beispielsweise einer Bremsanlage, für autonomes Fahren führt, wodurch wiederum vor teilhaft verhindert wird, dass eine oder alle von elektronischen Steuereinheiten aufgrund des ungewollten Stromflusses beschädigt oder zerstört wird, oder dass eine defekte elektronische Steuereinheit wieder ungewollt„rückwärts“ versorgt wird, wenn sie beispielsweise aufgrund eines Fehlers von ihrer Versorgungsspannung getrennt wird, oder dass der Strom von einer intakten elektronischen Steuereinheit zu einem Magnetventil kurzgeschlossen wird, wenn eine defekte elektronische Steuereinheit einen Kurzschluss ihrer Versorgung nach Masse oder einen Kurzschluss ihrer Masse zu der Versorgungsspannung hat. Insgesamt vorteilhaft kann mit den erfindungsgemäßen Merkmalen die für das autonome System geforderte Redundanz auch in einem Fehlerfall oder bei un- geeigneten Spannungs- und/oder Masseverhältnissen aufrechterhalten werden.
Durch die in den Unteransprüchen aufgeführten Maßnahmen sind vorteilhafte Weiterbildungen und Verbesserungen der in den unabhängigen Ansprüchen angegebenen Erfindung möglich.
Bevorzugt umfassen die ersten und zweiten Steuergeräteinrichtungen ein Haupt-Bremssteuergerät mit der ersten elektronischen Steuereinheit und ein Backup-Bremssteuergerät mit der zweiten elektronischen Steuereinheit, und umfasst der zumindest eine elektrische Aktuator ein Magnetventil oder ein Magnetventile beinhaltendes Drucksteuermodul, wobei die ersten und zweiten Steuergeräteinrichtungen dazu angeordnet sind, gemeinsam auf Spulen der Magnetventile und der Drucksteuermodule zuzugreifen, wobei die Spulen dazu konfiguriert sind, über die Schalteinrichtungen angesteuert zu werden, und wobei die Schalteinrichtungen Halbleiterschalter beinhalten, die dazu konfiguriert sind, über einen gemeinsamen Versorgungs- und Massepfad versorgt zu werden. Bevorzugt wird auch, dass die Schalteinrichtungen als elektronische Endstufen konfiguriert sind, die dazu angeordnet sind, von einer Logikeinheit der ersten oder zweiten elektronischen Steuereinheit gesteuert zu werden, wobei eine Endstufe jeweils eine Endstufe ist, die die Zuleitungen eines elektrischen Aktua- tors mit einem Plus-Potenzial verbindet, oder eine Endstufe ist, die die Rückleitungen des elektrischen Aktuators mit einem Minus-Potenzial oder Massepotenzial verbindet.
Besonders bevorzugt wird, dass die Stromflusssperreinrichtung als ein erstes Ausgleichsstromschutz-Modul und ein zweites Ausgleichsstromschutz-Modul ausgebildet ist, die jeweils als ein schaltendes Halbleiterschaltungsmodul und dazu konfiguriert sind, in einen Pluspfad und einen Massepfad geschaltet zu sein und Ausgleichsströme zwischen Spannungsversorgungen über die Steuergeräteinrichtungen zu verhindern.
Auch besonders bevorzugt wird, dass das erste Ausgleichsstromschutz-Modul einen Eingang, drei separate Steuereingänge zur Ansteuerung interner Steuerschalter in einer MOSFET-Gate-Ansteuerung von in dem Modul bereitgestellten schaltenden MOSFETs, einen voll geschützten Ausgang, einen Verpolungsschutz bereitstellenden Ausgang, einen Masseanschluss sowie eine Ladungspumpe aufweist, wobei zum Schutz vor Ausfällen durch einzelne Kurzschluss- fehler der MOSFETs die Gate-Ansteuerleitungen voneinander entkoppelt ausgebildet sind.
Auch besonders bevorzugt wird, dass das zweite Ausgleichsstromschutz-Modul einen Eingang, drei separate Eingänge zur Ansteuerung interner Steuerschalter in einer MOSFET-Gate-Ansteuerung von in dem Modul bereitgestellten schaltenden MOSFETs, einen voll geschützten Ausgang, einen Verpolungsschutz bereitstellenden Ausgang und einen Masseanschluss aufweist, wobei zum Schutz vor Ausfällen durch einzelne Kurzschlussfehler der MOSFETs die Gate- Ansteuerleitungen voneinander entkoppelt sind. Vorteilhaft ist dabei vorgesehen, dass in dem ersten und dem zweiten Aus- gleichsstromschutz-Modui die Orientierung der MOSFETs modulintern durch die Orientierung der MOSFETs in nachgelagerten High-Side- und Low-Side- Treibern von Treibern für den zumindest einen elektrischen Aktuator bestimmt wird und eine Verschaltung der MOSFETs des ersten und des zweiten Ausgleichsstromschutz-Moduls derart ist, dass zwei Body-Dioden zweier jeweiliger MOSFETs gegenläufig geschaltet sind und direkten Schutz vor Rückströmen bereitstellen, und ein dritter MOSFET des ersten und des zweiten Ausgleichs- stromschutz-Moduls derart orientiert ist, dass er einen redundanten Rückstromschutz bereitstellt.
Weiter bevorzugt kann die Stromflusssperreinrichtung als eine an einem An- schluss jeder der Schalteinrichtungen angeordnete Diode ausgebildet sein.
In diesem Fall kann bevorzugt die Diode innerhalb der ersten und zweiten Steuergeräte oder außerhalb der ersten und zweiten Steuergeräte angeordnet sein. In diesem Fall kann alternativ bevorzugt sein, dass mehrere Dioden in einer äquivalent zu einer jeweils einzelnen Diode arbeitenden, ein T-Stück ausbildenden Dioden-Schaltungsanordnung angeordnet sind.
Weiter alternativ kann in diesem Fall bevorzugt sein, dass in jeweils einem ge- meinsamen Strompfadabschnitt zwischen den Schalteinrichtungen und jeweils den elektronischen Steuereinheiten eine Diode als die Stromsperreinrichtung angeordnet ist.
Weiter alternativ kann in diesem Fall bevorzugt sein, dass versorgungspotenzi- alseitig in einem gemeinsamen Strompfadabschnitt zwischen den Schalteinrichtungen und der ersten und der zweiten elektronischen Steuereinheit eine um- gekehrt gepolte und aktiv geschaltete Endstufe als die Stromsperreinrichtung angeordnet ist, und massepotenzialseitig in einem gemeinsamen Strompfadabschnitt zwischen den Schalteinrichtungen und der ersten und der zweiten elektronischen Steuereinheit eine Diode als die Stromsperreinrichtung angeordnet ist.
Weiter alternativ kann in diesem Fall bevorzugt sein, dass versorgungspotenzi alseitig in einem gemeinsamen Strompfadabschnitt zwischen den Schalteinrich tungen und der ersten und der zweiten elektronischen Steuereinheit eine um- gekehrt gepolte und aktiv geschaltete Endstufe als die Stromsperreinrichtung angeordnet ist, und massepotenzialseitig in einem gemeinsamen Strompfadabschnitt zwischen den Schalteinrichtungen und der ersten und der zweiten elektronischen Steuereinheit eine umgekehrt gepolte und aktiv geschaltete Endstufe als die Stromsperreinrichtung angeordnet ist.
Noch bevorzugt und vorteilhaft kann darüber hinaus in der Vorrichtung sein, dass die erste und die zweite elektronische Steuereinheit dazu konfiguriert ist, sowohl die Schalteinrichtungen sowohl einer Plus- als auch einer Masseleitung zu sperren, wenn kein elektrischer Aktuator zu bestromen ist; in einem fehlerfreien Betrieb in Übereinstimmung mit vorbestimmten Kriterien definiert nur eine der ersten und zweiten elektronischen Steuereinheiten die Ansteuerung des zumindest einen elektrischen Aktuators übernimmt; eine sich in einem passiven Zustand befinden- de elektronische Steuereinheit der ersten und der zweiten elektronischen Steuereinheiten dazu konfiguriert ist, eine aktive Bestromungen eines elektrischen Aktuators zu Testzwecken nicht durchzuführen; und die sich in dem passiven Zustand befindende elektronische Steuereinheit dazu konfiguriert ist, in einem Fehlerfall einer aktiven Steuereinheit der ersten und der zweiten elektronischen Steuereinhei- ten, der einen Weiterbetrieb der aktiven Steuereinheit verhindert, in einen aktiven Zustand zu wechseln und als neue aktive elektronische Steuereinheit anstelle der fehlerfälligen elektronischen Steuereinheit fortan die Ansteuerung des elektrischen Aktuators zu übernehmen; wobei die sich in dem passiven Zustand befindende elektronische Steuereinheit dazu konfiguriert ist, Spannungspegel und/oder
Strompegel an ihren Leitungen zu dem zumindest einen elektrischen Aktuator zu überwachen, diese Überwachung mit von der aktiven elektronischen Steuereinheit an sie übertragener Information bezüglich einer momentanen Ansteuerung des zumindest einen elektrischen Aktuators zu plausibilisieren, und ein sicheres Sper- ren der Stromsperreinrichtung zu überwachen.
Die Erfindung betrifft nicht nur die oben beschriebene Vorrichtung zur Entkopp lung und zum Schutz vor Ausgleichsströmen in einem redundanten System für autonomes Fahren, sondern auch ein Verfahren zur Steuerung und/oder zum Betrieb einer solchen Vorrichtung. Wie bereits oben erwähnt, kann dabei eine Bremsanlage, in welcher die Vorrichtung verbaubar und das Verfahren durch- führbar ist, elektrisch, hydraulisch, pneumatisch, elektro-hydraulisch oder elekt- ro-pneumatisch betätigt sein. Die Bremsanlage kann eine Bremsanlage eines Personenkraftwagens oder eines Nutzfahrzeugs (Zugfahrzeug und/oder Anhänger) sein, und kann von beliebiger Art sein und insbesondere elektrisch, hyd- raulisch, pneumatisch, elektro-hydraulisch oder elektro-pneumatisch betätigt sein. Die Erfindung erstreckt sich insoweit auf alle Arten von Fahrzeugen, insbesondere auch auf Personenfahrzeuge, Nutzfahrzeuge oder schwere Nutzfahrzeuge.
Die Steuergeräteinrichtung kann durch ein separates Steuergerät oder auch durch ein bereits vorhandenes elektronisches Steuergerät gebildet sein, insbesondere durch ein Fahrzeugsteuergerät, ein Bremssteuergerät der Bremseinrichtung oder durch das Steuergerät eines elektro-pneumatischen Bremssteuermoduls.
Vorteilhafte Weiterbildungen der Erfindung ergeben sich aus den Patentansprü chen, der Beschreibung und den Zeichnungen. Die in der Beschreibungseinlei tung genannten Vorteile von Merkmalen und von Kombinationen mehrerer Merkmale sind lediglich beispielhaft und können alternativ oder kumulativ zur Wirkung kommen, ohne dass die Vorteile zwingend von erfindungsgemäßen Ausführungsformen erzielt werden müssen.
Weitere Merkmale sind den Zeichnungen - insbesondere dargestellten Geomet- rien und Verhältnisse mehrerer Bauteile zueinander sowie deren relativer Anordnung und Wirkverbindung - zu entnehmen. Die Kombination von Merkmalen unterschiedlicher Ausführungsformen der Erfindung oder von Merkmalen unterschiedlicher Patentansprüche ist ebenfalls abweichend von den gewählten Rückbeziehungen der Patentansprüche möglich und wird hiermit angeregt. Dies betrifft auch solche Merkmale, die in separaten Zeichnungen dargestellt sind oder bei deren Beschreibung genannt werden. Diese Merkmale können auch mit Merkmalen unterschiedlicher Patentansprüche kombiniert werden. Ebenso können in den Patentansprüchen aufgeführte Merkmale für weitere Ausführungsformen der Erfindung entfallen.
Identische bzw. gleich wirkende Bauteile und Baugruppen sind in unterschiedlichen Ausführungsformen jeweils mit denselben Bezugszahlen bezeichnet.
Zeichnung
Nachstehend sind Ausführungsbeispiele der Erfindung in der Zeichnung dargestellt und in der nachfolgenden Beschreibung näher erläutert. Es wird angemerkt, dass die Zeichnung schematisch und ausschnittsweise Teile eines an sich bekannten Druckluftbremssystems (einer Druckluftbremsanlage) für Fahrzeuge, wie es in beispielsweise Nutzfahrzeugen zum Einsatz kommt, darstellt. Auf Komponertten des Druckluftbremssystems bzw. der Druckluft-Bremsanlage wird daher zweckmäßig nur insoweit Bezug genommen, als deren Beschreibung und Erläuterung zum besseren Verständnis der Erfindung beiträgt. Außerdem sind aus Übersichtlichkeitsgründen identische bzw. zumindest gleichartige Komponenten in der Zeichnung nicht wiederholt mit denselben Bezugszahlen bezeichnet, sondern kann exemplarisch eine Bezugszahl einmalig und stell- vertretend für solche identische bzw. zumindest gleichartige Komponenten an- gegeben sein.
In der Zeichnung zeigen;
Fig. 1 einen schematischen Aufbau eines Teils eines redundant ausgelegten Druckluftbremssystems mit zwei Steuergeräten, genauer einem Hauptsteuerge- rät und einem Backup-Steuergerät, sowie einer Mehrzahl von von beiden Steuergeräten gemeinsam genutzten Magnetventilen;
Fig. 2 Beispiele für Ausgleichsströme zwischen in Fig. 1 gezeigten Spannungsversorgungen (durchgezogene Linie: Gewollter Stromfluss, durchbrochene Linien; Mögliche Ausgleichsströme); Fig. 3 den in Fig. 1 gezeigten Teil eines redundant ausgelegten Druckluftbremssystems, bei dem gemäß einem Ausführungsbeispiel ferner ein erstes Ausgleichsstromschutz-Modul A in einem Plus-Versorgungspfad und ein zweites Ausgleichsstromschutz-Modul B in den Masseversorgungspfaden zum Schutz vor Ausgleichsströmen zwischen den unabhängigen Spannungsversor- gungen angeordnet sind;
Fig. 4 Einzelheiten des beispielhaften ersten Ausgleichsstromschutz-Moduls A nach Fig. 3 zur Schutz vor Ausgleichsströmen im Plus-Versorgungspfad; Fig. 5 Einzelheiten des beispielhaften zweiten Ausgleichsstromschutz-Moduls B nach Fig. 3 zum Schutz vor Masseausgleichsströmen;
Fig. 6 Einzelheiten einer Modifikation des beispielhaften ersten Ausgleichs stromschutz-Moduls A nach Fig. 3 in einer erweiterten Ausbaustufe zum Schutz des Plus-Versorgungspfades mit erhöhten Sicherheitsmaßnahmen; Fig. 7 Einzelheiten einer Modifikation des beispielhaften zweiten Ausgleichs- stromschutz-Moduls B nach Fig. 3 in einer erweiterten Ausbaustufe mit exemp- larisch zusätzlichen Sicherheitsmaßnahmen;
Fig. 8 Einzelheiten einer weiteren Modifikation des beispielhaften zweiten Ausgleichsstromschutz-Moduls B in einer vereinfachten Ausbaustufe
Fig. 9 eine vereinfachte und auszugsweise Darstellung eines redundant ausgelegten Druckluftbremssystems mit Anordnung einer Stromsperreinrichtung ge- mäß einem zweiten Ausführungsbeispiel;
Fig. 10 eine alternative Anordnung der Stromsperreinrichtung nach Fig. 9;
Fig. 11 eine nochmals alternative Anordnung der Stromsperreinrichtung nach Fig. 9;
Fig. 12 eine nochmals alternative Anordnung der Stromsperreinrichtung nach Fig. 9; und
Fig. 13 eine nochmals alternative Anordnung der Stromsperreinrichtung nach Fig. 9.
Beschreibung der Ausführungsbeispiele Erstes Ausführungsbeispiel
In Fig. 1 ist ein schematischer Aufbau eines Teils eines redundanten Druckluftbremssystems für beispielsweise ein Fahrzeug mit mehreren Steuergerätein richtungen, hier zumindest zwei Steuergeräten und genauer einem Hauptsteu ergerät (erstes Steuergerät) 1 und einem Backup-Steuergerät (zweites Steuergerät) 2, sowie einer Mehrzahl, beispielsweise einem ersten, einem zweiten und einem driten, von von beiden Steuergeräten 1 , 2 gemeinsam genutzten Magnetventilen 5 dargestellt.
Jeder Pin der Magnetventile 5 ist sowohl an dem Hauptsteuergerät 1 als auch an dem Backup-Steuergerät 2 angeschlossen. Das Hauptsteuergerät 1 wird von einer ersten Spannungsversorgung 4 mit einem vorbestimmten Potenzial gegen eine Fahrzeugmasse versorgt, und das Backup-Steuergerät 2 wird von einer zweiten Spannungsversorgung 3 mit dem vorbestimmten Potenzial gegen die Fahrzeugmasse versorgt. Die Haupt- und Backup-Steuergeräte 1, 2 sind dazu angeordnet und konfiguriert, bedarfsweise jeweils im Versorgungspfad und im Massepfad liegende Schalteinrichtungen 6, beispielsweise geeignete MOSFETs oder anderweitig geeignete Leistungsschalter oder Endstufen, als Schalter zu schalten. In dem in Fig. 1 gezeigten beispielhaften Bremsschema kann das erste Steuergerät 1 , d.h. das Hauptsteuergerät, eine erste elektronische Steuereinheit bzw. ECU (in Fig. 1 nicht dargestellt) beinhalten, die zu einem„Standard-" EBS- System bzw. elektronischen Bremssystem gehören kann, und kann das zweite Steuergerät 2, d.h. das Backup-Steuergerät, eine zweite elektronische Steuer- einheit bzw. ECU (in Fig. 1 nicht dargestellt) beinhalten, die ein Backup- Bremsensteuergerät mit einer Möglichkeit zu redundantem Bremsen als Backup-System steuert. Die beiden elektronischen Steuereinheiten in den beiden Steuergeräten 1 , 2 sind an jeweils die Spannungsversorgungen 3, 4 ange- schlossen und können über einen (nicht dargestellten) Datenbus miteinander und mit anderen Fahrzeugsystemen kommunizieren. Die Steuergeräte 1, 2 bilden insgesamt jeweils Steuergeräteinrichtungen aus.
Es versteht sich, dass der in Fig. 1 gezeigte Teil eines Druckluftbremssystems ein Teil eines Bremssystems oder einer Bremsanlage eines beliebigen Fahrzeugs, wie beispielsweise eines Nutzfahrzeugs als Zugfahrzeug und/oder eines Anhängers desselben, sein kann, und das Druckluftbremssystem von an sich bekannter Art und insbesondere elektrisch, hydraulisch, pneumatisch, elektro- hyd rau lisch oder elektro-pneumatisch betätigt sein kann. Es versteht sich ferner, dass die Anzahl, die Konfiguration und die Anordnung der Steuergeräte 1 , 2, der Magnetventile 5 und der Schalter 6 nicht auf die in hierin beispielhaft verwendete Anzahl, Konfiguration und Anordnung beschränkt ist, solange in einer entsprechenden Anzahl, Konfiguration und Anordnung die erfindungsge- mäßen Wirkungen und Vorteile erzielt werden können. Einzelheiten des an sich bekannten Druckluftbremssystems sind in der folgenden Beschreibung zweck- mäßig vereinfachend weggelassen, soweit sie nicht zu einem besseren oder leichteren Verständnis der Erfindung beitragen.
Fig. 2 zeigt Beispiele von Ausgleichsströmen, die zwischen den in Fig. 1 ge zeigten Spannungsversorgungen 3 und 4 auftreten können. Sobald eines der Steuergeräte 1 , 2 zumindest einen der Schalter 6 im Versorgungs- und im Mas- sepfad schließt und ein entsprechend vorbestimmter Strom (a) fließt, können in Situationen, in denen, jeweils in Durchlassrichtung der Body-Diode, eine Spannungsdifferenz zwischen der ersten Spannungsversorgung 4 und der zweiten Spannungsversorgung 3 (Fall (b)) oder ein Masseversatz zwischen den Masse- pins der beiden Steuergeräte 1 , 2 (Fall (c)) besteht, in dem anderen Steuergerät Ausgleichsströme (b), (c) über die Body-Dioden der die Schalter 6 bildenden MOSFETs fließen.
Fig. 3 zeigt den in Fig. 1 dargestellten Teil des redundanten Druckluhbrernssys- tems, und zeigt den Gesamtaufbau eines solchen Systems. Die nachfolgenden Fig. 4 bis 8 zeigen auf Fig. 3 aufbauend die Schaltungsdetails der beiden Modu- le A, B für den Plus-Versorgungspfad (A) und den Massepfad (B) in verschiedenen Ausbaustufen.
Wie in Fig. 3 dargestellt, sind gemäß einem Ausführungsbeispiel ein erstes Ausgleichsstromschutz-Modul A in einem Plusversorgungspfad und ein zweites Ausgleichsstromschutz-Modul B in den Masseversorgungspfaden zum Schutz vor Ausgleichsströmen zwischen den unabhängigen Spannungsversorgungen 3, 4 angeordnet. Gemäß Fig. 3 sind in diesem Ausführungsbeispiel die Aus- gleichsstromschutz-Module A, B vorzugsweise in den Steuergeräten 1 , 2 inte- griert ausgebildet. Es versteht sich somit, dass eine jeweils konfigurierte Anzahl der Ausgleichsstromschutz-Module einer konfigurierten Anzahl von Steuergerä- ten entspricht.
Fig. 4 zeigt Einzelheiten eines beispielhaften ersten Ausgleichsstromschutz- Moduls A nach Fig. 3 zur Schutz vor Ausgleichsströmen im Plus- Versorgungspfad, und zeigt als solches eine Grundvariante beider Module A und B.
Das in Fig. 4 gezeigte erste Ausgleichsstromschutz-Modul A weist genauer einen Eingang EIN, drei separate Steuereingänge zur Ansteuerung interner Steuerschalter (bezeichnet als STRG_1 , STRG_2 und STRG_3) in einer in diesem Ausführungsbeispiel beispielsweise MOSFET-Gate-Ansteuerung, einen voll geschützten Ausgang AUSJp, einen lediglich Verpolungsschutz bietenden Ausgang AUS_rp, einen Masseanschluss GND sowie eine Ladungspumpe 7 auf. Bevorzugt sind zum Schutz vor Ausfällen durch einzelne Kurzschlussfehler der MOSFETs die Gate-Ansteuerleitungen voneinander entkoppelt. Eine geeignete Entkopplung ist in Fig. 4 durch jeweils eine Diode 9 in den einzelnen Gate- Ansteuerleitungen und die durch die drei Eingänge STRG_1 , STRG_2 und STRG_3 separat angesteuerten MOSFETs angedeutet. Es wird angemerkt, dass die Diode 9 optional angeordnet sein kann. Bei beispielsweise Verwen- düng von Bipolartransistoren oder MOSFET für STRG_1 , STRG_2 und STRG_3 sind sie nicht erforderlich.
Fig. 5: zeigt Einzelheiten eines beispielhaften zweiten Ausgleichsstromschutz- Moduls B nach Fig. 3 zum Schutz vor Masseausgleichsströmen. Das in Fig. 5 gezeigte zweite Ausgleichsstromschutz-Modul B weist einen Eingang EIN, drei separate Eingänge zur Ansteuerung interner Steuerschalter (bezeichnet als STRG_1 , STRG_2 und STRG_3) in einer in diesem Ausführungsbeispiel beispielsweise MOSFET-Gate-Ansteuerung, einen voll geschützten Ausgang GND_fp, einen lediglich Verpolungsschutz bietenden Ausgang GND_rp und einen Masseanschluss GND auf. Bevorzugt sind zum Schutz vor Ausfällen durch einzelne Kurzschlussfehler der MOSFETs die Gate- Ansteuerleitungen voneinander entkoppelt. Eine geeignete Entkopplung ist in Fig. 5 durch jeweils eine Diode 9 in den einzelnen Gate-Ansteuerleitungen und die durch die drei Eingänge STRG_1 , STRG_2 und STRG_3 separat angesteuerten MOSFETs angedeutet. Es wird angemerkt, dass die Diode 9 optional angeordnet sein kann. Bei beispielsweise Verwendung von Bipolartransistoren oder MOSFET für STRG_1 , STRG_2 und STRG_3 sind sie nicht erforderlich. In dieser Grundvariante stellen die ersten und zweiten Ausgleichsstromschutz- Module A und B dann, wenn sie sich in einem Zustand eines geöffneten Schalters befinden, einen Verpolungsschutz und einen Schutz vor Ausgleichsströmen bereit, der tolerant gegen einzelne MOSFET-Kurzschlussfehler ist. Die Schaltungsanordnung der ersten und zweiten Ausgleichsstromschutz- Module A und B nach Fig. 4 basiert jeweils auf drei Leistungs-MOSFETs. Ein wichtiges Auslegungskriterium ist hierbei die Orientierung der Leistungs- MOSFETs, wobei die modulinterne Orientierung durch die Orientierung der Leistungs-MOSFETs in nachgelagerten High-Side und Low-Side-Treibern von Treibern für die Magnetventile bestimmt wird. Ein Auslegungsziel besteht vorzugsweise darin, die Leistungs-MOSFET s der ersten und zweiten Ausgleichs- stromschutz-Module A und B so zu verschalten, dass zwei Body-Dioden der Leistungs-MOSFETs gegenläufig geschaltet sind und direkten Schutz vor Rückströmen bieten. Der dritte Leistungs- OS F ET der ersten und zweiten Ausgleichsstromschutz-Mod ule A und B ist so orientiert, dass er in Verbindung mit dem High-Side- bzw. Low-Side-Treiber für den Magnetventilansteueraus- gang einen redundanten Rückstromschutz bereitstellt. Dadurch wird sichergestellt, dass der Schutz vor Ausgleichsströmen nicht durch einen einzelnen Kurzschluss eines Leistungs-MOSFETs verlorengeht. Neben der Wahl der Ori- entierung der MOSFETs sind abhängig von gewünschten Schaltungseigen- schäften, die durch beispielsweise Test- und/oder Überwachungsschaltungen bestimmt sein können, auch verschiedene Kombinationen der Reihenfolge der Leistungs-MOSFETs möglich.
Die interne Ansteuerung der Leistungs-MOSFETs in den ersten und zweiten Ausgleichsstromschutz-Modulen A und B ist in Fig. 4 schematisch durch Schal- termodule sowie über die Ladungspumpe 7 (erstes Ausgleichsstromschutz- Modul A) bzw. einen Spannungswandler (DC/DC in dem zweiten Ausgleichs- stromschutz-Modul B) angedeutet. Technisch kann die Schaltspannung für die Leistungs-MOSFETs beispielsweise durch Schalten der Gate-So urce- Spannung durch eine Bipolartransistorschaltung erreicht werden. Eine für die Leistungs-MOSFETs ausreichend hohe Gate-Source-Spannung kann in dem ersten Ausgleichsstromschutz-Modul A beispielsweise über eine oder, je nach Sicherheitsanforderungen, mehrere Ladungspumpen erzeugt werden. Jedoch besteht keine Beschränkung hierauf und sind andere Implementierungen eben- falls denkbar. Teile der Ladungspumpe, z.B. die Erzeugung des hochfrequenten Ansteuersignals, können auch nach außen verlagert und beispielsweise durch einen Mikrocontroller zur Verfügung gestellt werden. In dem zweiten Aus- gleichsstromschutz-Modul B im Massepfad genügen niedrigere Spannungen, die entweder direkt eingekoppelt werden können, oder durch einen internen Spannungswandler (DC/DC) nochmals (auf eine niedrigere Spannung) umge- setzt werden. Hier sind ebenfalls auch andere Implementierungen denkbar.
Um die Leistungs-MOSFETs auch bei Kurzschlüssen gegeneinander zu entkoppeln, wird jedes Gate derselben durch einen Schalter der Gate- Ansteuerleitung und gegebenenfalls durch eine optionale zusätzliche Diode 9 von der Gate-Spannungsversorgung entkoppelt. Zusätzlich bieten die drei se- paraten Steuereingänge STRG_1 bis STRG_3 die Möglichkeit, die Leistungs- MOSFETs durch einen Mikrocontroller individuell anzusteuern. Sind geringere Sicherheitsanforderungen ausreichend, können mehrere oder alle der Steuereingänge STRG_1 bis STRG_3 verbunden und gemeinsam geschaltet werden.
Aus Gründen besserer Übersicht sind zusätzliche Test- und Diagnoseschaltungen nicht dargestellt. In einer praktischen Ausführung sind sie jedoch vorzugs- weise sowohl für die ersten und zweiten Ausgleichsstromschutz-Module A und B als auch für die High-Side- und Low-Side-Treiber an den Ausgängen der Magnetventile 5 zugunsten einer ausreichenden Diagnoseabdeckung der Schalter 6, des Ausgleichsstromschutzes und des Verpolungsschutzes bereitgestellt und angeordnet.
Fig. 6 zeigt Einzelheiten einer Modifikation des beispielhaften ersten Aus- gleichsstromschutz-Moduls A nach Fig. 3 oder Fig. 4 in einer Modifikation als erweiterter Ausbaustufe mit erhöhten Sicherheitsmaßnahmen, bei der eine zu- sätzliche redundante Ladungspumpe 8 zum Schutz des Plus- Versorgungspfades dazu angeordnet und konfiguriert ist, Schutz vor Ausfällen aufgrund eines Einzelfehlers in der internen Ladungspumpe 7 bereitzustellen.
Fig. 7 zeigt Einzelheiten einer Modifikation des beispielhaften zweiten Aus gleichsstromschutz-Moduls B nach Fig. 3 in einer erweiterten Ausbaustufe mit exemplarisch zusätzlichen Sicherheitsmaßnahmen bei mehreren verfügbaren Steuergeräte-Versorgungs- und/oder Massepins. Gemäß dieser Modifikation kann dann, wenn ein Spannungsversatz zwischen einem Masseeingang GND_1 und einem Masseeingang GND_2 unterhalb der Diodenvorwärtsspan- nung der Diode 9 liegt, ein redundanter Masseeingang dazu konfiguriert sein, Schutz gegen beispielsweise einen Abfall einer Leitung bereitzustellen. Die in Fig, 6 und 7 als Modifikation gezeigten Ausbaustufen der ersten und zweiten Ausgleichsstromschuiz-Module A und B stellen einen nochmals weiter gehenden Schutz gegen verschiedene Fehlerfälle bereit So kann gemäß Fig. 6 durch die Anordnung mehrerer separater Ladungspum- pen 7, 8 ein zusätzlicher Schutz gegen mögliche Einzelfehler in der internen Ladungspumpe 7 erreicht werden.
Außerdem können dann, wenn mehrere Versorgungs- oder Massepins an den ersten und zweiten Steuergeräten 1 , 2 zur Verfügung stehen, die ersten und zweiten Ausgleichsstromschutz-Module A oder B mit redundanten Eingängen angesteuert werden. Hierdurch wird Schutz gegen eine Unterbrechung an einem Pin oder vor einem Auslösen einer Sicherung in einem der Steuergeräte- versorgungspfade bereitgestellt. Fig. 7 zeigt ein Beispiel für eine Schaltungsan- Ordnung für das zweite Ausg leichsstromsch utz-Mod u I B mit zwei Steuergeräte- massepins. Bei der Schaltungsanordnung in Fig. 7 ist zu beachten, dass der Spannungsversatz zwischen den beiden Steuergerätemassepins unterhalb der Vorwärtsspannung der Body-Diode des Leistungs-MOSFET s liegt. Werden höhere Spannungsversätze erwartet, kann das durch zusätzliche Maßnahmen, z.B. zusätzliche MOSFETs erzielt werden.
Fig. 8 zeigt Einzelheiten einer weiteren Modifikation des beispielhaften zweiten Ausgleichstromschutz-Moduls B nach Fig. 3 in einer vereinfachten Ausbaustufe. Diese Ausbaustufe kommt mit nur zwei MOSFETs aus, stellt Schutz vor Verpo- lung bereit und entkoppelt den Ausgang gegenüber Masse, solange nicht alle modulinternen Schalter geschlossen sind.
Wie vorstehend beschrieben wurde, muss bei einem Druckluftbremssystem der hierin zugrundeliegenden Art sichergestellt sein, dass ein Fehler in einem der Ansteuerkreise sich nach Möglichkeit nicht negativ auf einen anderen Ansteuerkreis auswirkt. Die vorstehend beschriebenen Ausgleichsstromschutzmodule A, B decken insoweit Fehler ab, die durch unerwünschte Ausgleichsströme induziert werden.
Zweites Ausführungsbeispiel
In einem zweiten Ausführungsbeispiel sind MOSFETs kostengünstig und einfach durch Dioden ersetzbar. Das zweite Ausführungsbeispiel kann somit eine das erste Ausführungsbeispiel optimierende und vereinfachende Ausführungsform bilden. Durch Ersetzen von MOSFETs durch Dioden entfällt zumindest ein Messen von Spannungs- und Stromsignalen zur Überwachung sowie ein An- steuern jeweils betroffener MOSFETs mit daraus resultierend geringerem Aufwand bei Hardware und Software. Darüber hinaus und weiter kostengünstig und vereinfachend kann zumindest eine Diode steuergeräte-extern, d.h. außerhalb eines Steuergeräts bzw. einer Steuereinrichtung, beispielsweise eine in ei nen Kabelsatz oder in einen Aktuator wie etwa ein Drucksteuerventil (PCV) in- tegriert, angeordnet sein.
Gemäß dem zweiten Ausführungsbeispiel sind Dioden oder dazu funktionell äquivalente Komponenten oder Elemente in elektronischen Steuereinheiten, in einem Kabelbaum (beispielsweise in Steckern oder Steckerbuchsen von Drucksteuerventilen oder elektronischer Steuereinheiten) und/oder in beispielsweise einem speziellen T-Stück angeordnet. Während fehlerfreien Betriebs übernimmt definiert nur eine der elektronischen Steuereinheiten die Ansteuerung der Drucksteuerventile. In allen elektronischen Steuereinheiten werden sowohl die Plus- als auch die Masseleitung gesperrt, solange nicht ein Magnetventil zu bestromen ist.
Wie in Fig. 9 gezeigt ist, besteht gemäß dem zweiten Ausführungsbeispiel ein elektro-pneumatischer Aktuator, z.B. ein Drucksteuerventil 15 elektrisch aus zwei Magnetventilen 5, die einen gemeinsam und je einen eigenen Anschluss aufweisen. Eine erste ansteuernde elektronische Steuereinheit bzw. ECU 11 und eine zweite ansteuernde elektronische Steuereinheit bzw. ECU 12 weisen jeweils eine Schalteinrichtung 16 zum Schalten der gemeinsamen Anschlüsse aller Magnetventile 5 und jeweils eine Schalteinrichtung 17 für jedes Magnetventil 5 für deren einzelne Bestromung auf. Die Schalteinrichtungen 16, 17 können beispielsweise als elektronische Endstufen konfiguriert sein, die von einer (nicht gezeigten) Logikeinheit in der ersten elektronischen Steuereinheit 11 und der zweiten elektronischen Steuereinheit 12 gesteuert werden.
Es wird hierbei zwischen Endstufen, die die Zuleitungen der Magnetventile 5 mit Plus (+) verbinden (Highside) und Endstufen, die die Rückleitungen der Mag- netventile 5 mit Minus (-) oder Masse verbinden (Lowside), unterschieden. Eine Endstufe, die einen der beiden Pfade für mehrere Magnetventile 5 gemeinsam schaltet, kann eine Highside-Endstufe oder eine Lowside-Endstufe (Common Ground) sein. In der nachfolgenden Beschreibung wird zweckmäßigerweise von einem negativen Anschluss (Lowside) ausgegangen.
Eine beidseitige Abschaltmöglichkeit ist notwendig, um auch bei einem Kurzschluss einer der Zuleitungen gegen die Versorgungsspannung oder die Mas- se, oder aufgrund einer kurzgeschlossenen Endstufe, ein unerwünschtes Bestromen eines Magnetventils 5 zu unterbinden. Um darüber hinaus auch anderweitige Fehlerfälle, wie insbesondere Kurzschlüsse zwischen Zu- und Rück leitung, Kurzschlüsse zwischen Rückleitung und Versorgungsspannung und zwischen Rückleitung und Masse, sowie einen etwaigen Kabelbruch rechtzeitig zu erkennen, werden permanent elektrische Werte (beispielsweise Spannungen an den Anschlüssen, übergroße Ströme) überwacht sowie von Zeit zu Zeit Testimpulse auf die Magnete gegeben und die elektrische Reaktion darauf ausgewertet.
Wie in Fig. 9 gezeigt ist, sind gemäß dem zweiten Ausführungsbeispiel an dem jeweiligen Anschluss der Schalteinrichtungen 16 (d.h. der Endstufen) in Richtung der Magnetventile 5 oder deren jeweiligem Anschluss zur Spannungsversorgung bzw. Masse jeweils eine Diode 18 und eine Diode 19 angeordnet. In dem zweiten Ausführungsbeispiel gemäß Fig. 9 sind die Dioden 18» 19 innerhalb der ersten und zweiten Steuergeräte 1 , 2 angeordnet, angedeutet durch eine durchbrochene Linie.
Es wird angemerkt, dass diese Dioden 18, 19 in entsprechenden Modifikationen des zweiten Ausführungsbeispiels außerhalb der ersten und zweiten Steuerge- räte 1 , 2 (Fig. 10), durch eine äquivalent zu einer jeweils einzelnen bzw. separat angeordneten Diode arbeitende Dioden-Schaltungsanordnung 20 (Fig. 11), durch in jeweils einem gemeinsamen St ro mpf ad absch n itt zwischen den Schalteinrichtungen 16, 17 und jeweils den elektronischen Steuereinheiten 11 , 12 (Fig. 12) und/oder durch eine zusätzliche, umgekehrt gepolte und aktiv geschal tete Endstufe 21 in Verbindung mit einer Diode 19 (Fig. 13) ersetzt sein können.
In der letztgenannten Modifikation ist darüber hinaus denkbar, auch die Diode 19 durch eine entsprechend zusätzliche aktiv geschaltete Endstufe zu ersetzen.
Die Dioden 18, 19, die äquivalent zu einer einzelnen Diode arbeitende Schaltungsanordnung 20 und/oder durch eine zusätzliche, umgekehrt gepolte und aktiv geschaltete Endstufe 21 sind dazu konfiguriert, zu verhindern, dass in einem Feh- lerfall über die Verbindungsleitung zu dem Drucksteuerventil 15 ein Strom in einer nicht erwünschten bzw. gewollten Richtung in die elektronische Steuereinheiten 11 , 12 fließt und durch Verbindungen zu den anderen elektronischen Teilen der elektronischen Steuereinheiten 11 ,12 Schaden verursacht. Hierdurch wird vorteilhaft verhindert, dass dann, wenn beide elektrischen Kreise eine gemeinsame Masse (-) haben, ein Masseversatz zwischen den beiden steuernden elektronischen Steuereinheiten 11 , 12 zur Zerstörung einer oder beider der elektronischen Steuereinheiten 11 , 12 führen kann, und dass eine defekte elektro- nische Steuereinheit 11 , 12 wieder ungewollt„rückwärts" versorgt wird, wenn sie beispielsweise aufgrund eines Fehlers von ihrer Versorgungsspannung getrennt wird, oder dass der Strom von einer intakten elektronischen Steuereinheit zum Magnetventil 5 kurzgeschlossen wird, wenn eine defekte elektronische Steuerein- heit einen Kurzschluss ihrer Versorgung nach Masse hat, da die parasitäre Diode der Highside-Endstufe der defekten elektronischen Steuereinheit den Strom von der intakten ECU durchlassen würde, wenn diese intakte elektronische Steuerein- heit das Magnetventil 5 einschaltet. Denn in einem derartigen Fehlerfall könnte es zu ungewollten und möglicherweise gefährlichen Aktivitäten der defekten elektronischen Steuereinheit kommen und könnte das Magnetventil des betreffenden Drucksteuerventils 15 daran gehindert sein, zu schalten, oder könnte die intakte elektronische Steuereinheit aufgrund des zu hohen Stromflusses ebenfalls zerstört werden. In einem solchen Falle wäre die erforderliche Redundanz nicht mehr gegeben.
Gemäß dem zweiten Ausführungsbeispiel werden in beiden elektronischen Steuereinheiten 11 , 12 sowohl die Schalteinrichtungen 6 bzw. Endstufen der Plus- als auch der Masseleitung immer dann gesperrt, wenn kein Magnetventil 5 zu bestromen ist. In einem fehlerfreien Betrieb übernimmt definiert nur eine der elektronischen Steuereinheiten 11 , 12 die Ansteuerung der Drucksteuerventile 15. Diese Aufgabenverteilung kann während fehlerfreien Betriebs aufrechterhalten werden oder zyklisch oder nach anderweitig vorbestimmten Kriterien, beispielsweise nach Kriterien, die dazu konfiguriert sind, die thermische Belastung der Endstufen zu harmonisieren, wechseln.
Außerdem führt eine sich in einem passiven Zustand befindend« elek ironische Steuereinheit keine aktiven Bestrom ungen eines Magnetventils 5 zu Testzwecken durch, solange sie im passive Zustand ist. Hierdurch wird die Ausgabe von Testimpulsen auf einen Magneten unterbunden und vorteilhaft ein Auslösen der Werte einer permanenten Überwachung in einer anderen elektronischen Steuereinheit und eine dadurch verursachte, unbegründete Fehlererkennung verhindert. Die sich in einem passiven Zustand befindende elektronische Steuereinheit kann jedoch optional auch in ihrem passiven Zustand die Spannungspegel und/oder Strompegel an ihren Leitungen zu den Drucksteuerventilen 15 überwachen und gegebenenfalls mit Informationen, die von der aktiven elektronischen Steuereinheit über eine digitale Schnittstelle, z.B. einen CAN-Bus, bezüglich der momentanen Ansteuerung der Magnetventile an sie übertragen werden, plausibilisieren. Insbesondere kann auf diese Weise ein sicheres Sperren der Dioden 18, 19 überwacht werden, beispielsweise dann, wenn die Dioden 18, 19 in Verbindungen in- nerhalb der elektronischen Steuereinheit wie in Fig. 9 und Fig. 12 gezeigt angeordnet sind.
Falls eine momentan aktive erste elektronische Steuereinheit, beispielsweise die erste elektronische Steuereinheit 11 , aus irgendeinem Grund (z.B. nach Verlust der Versorgungsspannung, wegen eines elektrischen Fehlers innerhalb der Elektronik, z.B. aufgrund einer kurzgeschlossenen Endstufe, eines Kabelbruchs in einer Leitung zu einem Drucksteuerventil 15) nicht mehr in der Lage ist, die Drucksteuerventile 15 anzusteuern, wird eine bisher passive, zweite elektronische Steuereinheit, beispielsweise die zweite elektronische Steuereinheit 12, nun zur aktiven elektronischen Steuereinheit und übernimmt fortan die Ansteuerung der Drucksteuerventile 15, soweit dies noch möglich ist. Zu diesem Zweck kann diese zweite elektronische Steuereinheit 12, die aus dem passiven Zustand in den aktiven Zustand wechselt, beispielsweise durch Ausfall einer Kommunikation mit bzw. zu der ersten elektronischen Steuereinheit 11 entweder selbst erkennen, dass die zuvor aktive erste elektronische Steuereinheit 11 ausgefallen ist. Alternativ kann die zuvor aktive erste elektronische Steuereinheit 11 oder eine andere elektronische Steuereinheit, die den Fehler in der zuvor aktiven ersten elektronischen Steuereinheit 11 erkannt hat, die zweite elektronische Steuereinheit 12 über den erkannten Fehler benachrichtigen.
Die zweite, nun aktiv gewordene elektronische Steuereinheit 12 kann auf der Grundlage der Spannungspegel auf ihren Leitungen sodann erkennen, ob ein Kurzschluss vorliegt oder eine der dedizierten (individuellen) Endstufen in der nicht mehr aktiven ersten elektronischen Steuereinheit 11 kurzgeschlossen ist. In diesen Fällen ist ein Weiterbetrieb der Drucksteuerventile 15 nicht mehr möglich, denn ein Einschalten der gemeinsamen Schalteinrichtung 17 würde sofort und ungewollt ein Magnetventil 5 aktivieren. Die aktive elektronische Steuereinheit beendet daher in diesen Fällen den Betrieb der Drucksteuerventile 15.
Liegt keiner der vorgenannten Fehlerzustände, d.h. liegt kein Kurzschluss und keine Durchlegierung einer Endstufe vor, kann die aktive elektronische Steuereinheit pulsartig die gemeinsame Schalteinrichtung 17 und eine oder mehrere der dedizierten Schalteinrichtungen 16 einschalten, um auf einen Fehler anhand eines zu hohen Stromflusses zu erkennen. Ein Kurzschluss gegen Masse oder eine kurzgeschlossene gemeinsame Schalteinrichtung 16 bzw. Endstufe einer fehlerhaften elektronischen Steuereinheit kann dadurch erkannt werden, dass bei pulsartigem Einschalten der entsprechenden dedizierten Schalteinrichtung bzw. Endstufe bei ausgeschalteter gemeinsamer Schalteinrichtung bzw. Endstufe keine Spannung an der Rückleitung vor der gemeinsamen Schalteinrichtung bzw. Endstufe anliegt.
Wurde einer der vorgenannten Fehler erkannt, ist ein Weiterbetrieb des Drucksteuerventils 15 oder der Drucksteuerventile 15 nicht möglich. Denn im Falle einer kurzgeschlossenen Endstufe für die dedizierte Leitung eines Magnetventils 5 in einer elektronischen Steuereinheit wäre es nicht zweckmäßig, wenn nur diese elektronische Steuereinheit die entsprechende gegenpolige gemeinsame Endstufe abschaltet, da der Strom dann über die gegenpolige gemeinsame Endstufe der anderen elektronischen Steuereinheit fließen würde und das Magnetventil ungewollt aktiviert würde. In den vorgenannten Fehlerfällen beendet daher die nun aktive elektronische Steuereinheit den Betrieb des Drucksteuerventils bzw. der Drucksteuerventile.
In den anderen Fehlerfällen eines Kurzschlusses gegen Masse oder einer kurzgeschlossenen gemeinsamen Endstufe einer defekten elektronischen Steuereinheit kann der Betrieb der Drucksteuerventile 15 gegebenenfalls von der aktiven elekt- ronischen Steuereinheit, die anstelle der defekten elektronischen Steuereinheit den Betrieb der Drucksteuerventile 15 übernommen hat, zumindest für eine begrenzte Zeit fortgesetzt werden. Es wird angemerkt, dass bei jedem erkannten Fehler eine entsprechende Fehlermeldung erfolgen kann, falls dies noch nicht bereits seitens der defekten elektronischen Steuereinheit oder einem zu diesem Zweck bereitgestellten und konfigurierten anderen Überwachungssystem veranlasst wurde. Wie vorstehend beschrieben wurde, betrifft die Erfindung eine Vorrichtung zur Entkopplung und/oder zum Schutz vor Ausgleichsströmen zur Verwendung bei gemeinsamer Nutzung zumindest eines elektrischen Aktuators 5, 15 durch eine Mehrzahl von unabhängig spannungsversorgten Steuergeräteinrichtungen 1 , 2 in redundanten Systemen für autonomes Fahren. Der elektrische Aktuator 5, 15 weist jeweils einen gemeinsamen Anschluss, über den der elektrische Aktuator mit einem gemeinsamen Anschluss anderer elektrischer Aktuatoren 5, 15 koppelbar und schaltbar ist, und zumindest einen dedizierten Anschluss, über den der zumindest eine elektrische Aktuator 5, 15 einzeln bestrombar ist, auf. Eine dem gemeinsamen Anschluss und der Anzahl der dedizierten Anschlüsse aller elektrischen Aktuatoren 5, 15 entsprechende Anzahl von Schalteinrichtungen 6,
16, 17 ist dazu angeordnet, schaltend einen Strom in den zumindest einen elektrischen Aktuator 5, 15 einzusteuern oder nicht einzusteuern. Die Erfindung sieht zumindest eine Stromflusssperreinrichtung A, B, 18, 19, 20, 21 vor, die dazu konfiguriert ist, einen unerwünschten Stromfluss zu einer nicht aktiven elektronischen Steuereinheit 11 , 12 der ersten und zweiten Steuergeräteinrichtungen 1 , 2 zu unterbinden. Bezugszeichenliste
1 Erste Steuergeräteinrichtung (erstes Steuergerät, Hauptsteuergerät)
2 Zweite Steuergeräteinrichtung (zweites Steuergerät, Backup-Steuergerät)
3 Erste Spannungsversorgung
4 Zweite Spannungsversorgung
5 Magnetventil
6 Schalteinrichtung (Schalter, Endstufe)
7 Ladungspumpe
8 Ladungspumpe
9 Diode
11 Erste elektronische Steuereinheit
12 Zweite elektronische Steuereinheit
15 Drucksteuerventil
16 Schalteinrichtung (Schalter, Endstufe)
17 Schalteinrichtung (Schalter, Endstufe)
18 Diode
19 Diode
20 Dioden-Schaltungsanordnung (T-Stück)
21 Endstufe
A Erstes Ausgleichsstromschutz-Modul
B Zweites Ausgleichsstromschutz-Modul
pC Microcomputer

Claims

Patentansprüche
1. Vorrichtung zur Entkopplung und/oder zum Schutz vor Ausgleichsströmen zur Verwendung bei gemeinsamer Nutzung zumindest eines elektrischen Aktu- ators (5; 15) durch eine Mehrzahl von unabhängig spannungsversorgten Steuergeräteinrichtungen (1 , 2) in redundanten Systemen für autonomes Fahren, wobei
der zumindest eine elektrische Aktuator (5; 15) jeweils einen gemeinsamen Anschluss, über den der zumindest eine elektrische Aktuator mit einem gemeinsamen Anschluss anderer elektrischer Aktuatoren (5; 15) koppelbar und schaltbar ist, und zumindest einen dedizierten Anschluss, über den der zumindest eine elektrische Aktuator (5; 15) einzeln bestrombar ist, aufweist;
die Mehrzahl von Steuergeräteinrichtungen (1 , 2) zumindest eine erste Steuergeräteinrichtung (1), die eine erste elektronische Steuereinheit (11) und eine dem gemeinsamen Anschluss und der Anzahl der dedizierten Anschlüsse aller elektrischen Aktuatoren (5; 15) entsprechende erste Anzahl von Schalteinrichtungen (6; 16, 17) aufweist, und zumindest eine zweite Steuergeräteinrichtung (2), die eine zweite elektronische Steuereinheit (12) und eine dem gemeinsamen Anschluss und der Anzahl der dedizierten Anschlüsse aller elektrischen Aktuatoren (5; 15) entsprechende zweite Anzahl von Schalteinrichtungen (6; 16, 17) aufweist, und
die zumindest eine erste und zweite Steuergeräteinrichtung (1 , 2) dazu angeordnet sind, über die Schalteinrichtungen (6; 16, 17) schaltend einen Strom in den zumindest einen elektrischen Aktuator (5; 15) einzusteuern oder nicht einzusteuern,
gekennzeichnet durch
zumindest eine Stromflusssperreinrichtung (A, B; 18, 19; 20; 21), die dazu konfiguriert ist, dann, wenn eine der ersten und zweiten Steuergeräteinrichtun gen (1 , 2) schaltend einen Strom in den zumindest einen elektrischen Aktuator (5; 15) einsteuert, einen aus dieser Einsteuerung resultierenden Stromfluss zu der elektronischen Steuereinheit (11 , 12) einer anderen der ersten und zweiten Steuergeräteinrichtungen (1 , 2) zu unterbinden.
2. Vorrichtung nach Anspruch 1 , dadurch gekennzeichnet, dass die ersten und zweiten Steuergeräteinrichtungen (1 , 2) ein Haupt-Bremssteuergerät (1) mit der ersten elektronischen Steuereinheit (11) und ein Backup-Bremssteuergerät (2) mit der zweiten elektronischen Steuereinheit (12) umfassen, und der zumindest eine elektrische Aktuator (5; 15) ein Magnetventil (5) oder ein Magnetventile beinhaltendes Drucksteuermodul (15) umfasst, wobei die ersten und zweiten Steuergeräteinrichtungen (1 , 2) dazu angeordnet sind, gemeinsam auf Spulen der Magnetventile (5) und der Drucksteuermodule (15) zuzugreifen, wobei die Spulen dazu konfiguriert sind, über die Schalteinrichtungen (6; 16, 17) ange- steuert zu werden, und wobei die Schalteinrichtungen (6; 16, 17) Halbleiterschalter beinhalten, die dazu konfiguriert sind, über einen gemeinsamen Versorg ungs- und Massepfad versorgt zu werden.
3. Vorrichtung nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die Schalteinrichtungen (6; 16, 17) als elektronische Endstufen konfiguriert sind, die dazu angeordnet sind, von einer Logikeinheit der ersten oder zweiten elektronischen Steuereinheit (11 , 12) gesteuert zu werden, wobei eine Endstufe jeweils eine Endstufe ist, die die Zuleitungen eines elektrischen Aktuators mit einem Plus-Potenzial verbindet, oder eine Endstufe ist, die die Rückleitungen des elektrischen Aktuators mit einem Minus-Potenzial oder Massepotenzial verbindet.
4. Vorrichtung nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass die Stromflusssperreinrichtung (A, B) als ein erstes Ausgleichsstromschutz-Modul (A) und ein zweites Ausgleichsstromschutz-Modul (B) ausgebildet ist, die jeweils als ein schaltendes Halbleiterschaltungsmodul und dazu konfiguriert sind, in einen Pluspfad und einen Massepfad geschaltet zu sein und Ausgleichsströme zwischen Spannungsversorgungen über die Steuergeräteinrichtungen (1, 2) zu verhindern.
5. Vorrichtung nach Anspruch 4, dadurch gekennzeichnet, dass das erste
Ausgleichsstromschutz-Modul (A) einen Eingang (EIN), drei separate Steuereingänge zur Ansteuerung interner Steuerschalter (STRG_1 , STRG_2, STRG 3) in einer MOSFET-Gate-Ansteuerung von in dem Modul bereitgestellten schaltenden MOSFETs, einen voll geschützten Ausgang (AUS_fp), einen Verpolungsschutz bereitstellenden Ausgang (AUS_rp), einen Masseanschluss (GND) sowie eine Ladungspumpe (7) aufweist, wobei zum Schutz vor Ausfällen durch einzelne Kurzschlussfehler der MOSFETs die Gate-Ansteuerleitungen voneinander entkoppelt ausgebildet sind.
6. Vorrichtung nach Anspruch 4, dadurch gekennzeichnet, dass das zweite Ausgleichsstromschutz-Modul (B) einen Eingang (EIN), drei separate Eingänge zur Ansteuerung interner Steuerschalter (STRG_1 , STRG_2, STRG_3) in einer MOSFET-Gate-Ansteuerung von in dem Modul bereitgestellten schaltenden MOSFETs, einen voll geschützten Ausgang (GNDJp), einen Verpolungsschutz bereitstellenden Ausgang (GND_rp) und einen Masseanschluss (GND) aufweist, wobei zum Schutz vor Ausfällen durch einzelne Kurzschlussfehler der MOSFETs die Gate-Ansteuerleitungen voneinander entkoppelt sind.
7. Vorrichtung nach einem der Ansprüche 5 oder 6, dadurch gekennzeichnet, dass in dem ersten und dem zweiten Ausgleichsstromschutz-Modul (A, B) die Orientierung der MOSFETs modulintern durch die Orientierung der MOSFETs in nachgelagerten High-Side- und Low-Side-T reibern von T reibern für den zu- mindest einen elektrischen Aktuator bestimmt wird und eine Verschaltung der MOSFETs des ersten und des zweiten Ausgleichsstromschutz-Moduls (A, B) derart ist, dass zwei Body-Dioden zweier jeweiliger MOSFETs gegenläufig geschaltet sind und direkten Schutz vor Rückströmen bereitstellen, und ein dritter MOSFET des ersten und des zweiten Ausgleichsstromschutz-Moduls (A, B) derart orientiert ist, dass er einen redundanten Rückstromschutz bereitstellt.
8. Vorrichtung nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass die Stromflusssperreinrichtung (18, 19) als eine an einem An- schluss jeder der Schalteinrichtungen (16, 17) angeordnete Diode (18; 19) aus- gebildet ist.
9. Vorrichtung nach Anspruch 8, dadurch gekennzeichnet, dass die Diode (18, 19) innerhalb der ersten und zweiten Steuergeräte (1 , 2) oder außerhalb der ersten und zweiten Steuergeräte (1 , 2) angeordnet ist.
10. Vorrichtung nach Anspruch 8, dadurch gekennzeichnet, dass mehrere Dioden (18, 19) in einer äquivalent zu einer jeweils einzelnen Diode (18, 19) arbeitenden, ein T-Stück ausbildenden Dioden-Schaltungsanordnung (20) angeordnet sind.
11. Vorrichtung nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass in jeweils einem gemeinsamen Strompfadabschnitt zwischen den Sehalt- einrichtungen (16, 17) und jeweils den elektronischen Steuereinheiten (11 , 12) eine Diode (18, 19) als die Stromsperreinrichtung (18, 19) angeordnet ist. 12. Vorrichtung nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass versorgungspotenzialseitig in einem gemeinsamen Strompfadabschnitt zwischen den Schalteinrichtungen (16, 17) und der ersten und der zweiten elektronischen Steuereinheit (11 , 12) eine umgekehrt gepolte und aktiv geschal tete Endstufe (21) als die Stromsperreinrichtung (21) angeordnet ist, und mas- sepotenzialseitig in einem gemeinsamen Strompfadabschnitt zwischen den Schalteinrichtungen (16, 17) und der ersten und der zweiten elektronischen Steuereinheit (11 ,
12) eine Diode (19) als die Stromsperreinrichtung (19) angeordnet ist.
13. Vorrichtung nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass versorgungspotenzialseitig in einem gemeinsamen Strompfadabschnitt zwischen den Schalteinrichtungen (16, 17) und der ersten und der zweiten elektronischen Steuereinheit (11 , 12) eine umgekehrt gepolte und aktiv geschaltete Endstufe (21) als die Stromsperreinrichtung (21) angeordnet ist, und mas- sepotenzialseitig in einem gemeinsamen Strompfadabschnitt zwischen den Schalteinrichtungen (16, 17) und der ersten und der zweiten elektronischen Steuereinheit (11 , 12) eine umgekehrt gepolte und aktiv geschaltete Endstufe (21) als die Stromsperreinrichtung (21) angeordnet ist.
14. Vorrichtung nach einem der vorangehenden Ansprüche, dadurch gekennzeichnet, dass
die erste und die zweite elektronische Steuereinheit (11 , 12) dazu konfiguriert ist, sowohl die Schalteinrichtungen (6; 16, 17) sowohl einer Plus- als auch einer Masseleitung zu sperren, wenn kein elektrischer Aktuator (5; 15) zu bestromen ist; in einem fehlerfreien Betrieb in Übereinstimmung mit vorbestimmten Kriterien definiert nur eine der ersten und zweiten elektronischen Steuereinheiten (11 , 12) die Ansteuerung des zumindest einen elektrischen Aktuators (5; 15) übernimmt; eine sich in einem passiven Zustand befindende elektronische Steuereinheit der ersten und der zweiten elektronischen Steuereinheiten (11 , 12) dazu konfigu riert ist, eine aktive Bestromungen eines elektrischen Aktuators (5; 15) zu Testzwecken nicht durchzuführen; und
die sich in dem passiven Zustand befindende elektronische Steuereinheit dazu konfiguriert ist, in einem Fehlerfall einer aktiven Steuereinheit der ersten und der zweiten elektronischen Steuereinheiten (11 , 12), der einen Weiterbetrieb der akti ven Steuereinheit verhindert, in einen aktiven Zustand zu wechseln und als neue aktive elektronische Steuereinheit anstelle der fehlerfälligen elektronischen Steu- i ereinheit fortan die Ansteuerung des elektrischen Aktuators (5; 15) zu übernehmen; wobei
die sich in dem passiven Zustand befindende elektronische Steuereinheit dazu konfiguriert ist, Spannungspegel an ihren Leitungen zu dem zumindest einen elektrischen Aktuator (5; 15) zu überwachen, diese Überwachung mit von der akti ven elektronischen Steuereinheit an sie übertragener Information bezüglich einer momentanen Ansteuerung des zumindest einen elektrischen Aktuators zu plausi- bilisieren, und ein sicheres Sperren der Stromsperreinrichtung zu überwachen.
PCT/EP2019/072718 2018-09-10 2019-08-26 Vorrichtung zur entkopplung und zum schutz vor ausgleichsströmen in einem redundanten system für autonomes fahren WO2020052951A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
US17/274,384 US11872997B2 (en) 2018-09-10 2019-08-26 Device for decoupling and protection from compensation currents in a redundant system for autonomous driving
CN202410029868.8A CN117644768A (zh) 2018-09-10 2019-08-26 在用于自动驾驶的冗余***中用于解耦和防止补偿电流的设备
CN201980058998.1A CN112672907B (zh) 2018-09-10 2019-08-26 在用于自动驾驶的冗余***中用于解耦和防止补偿电流的设备

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102018121960.1 2018-09-10
DE102018121960.1A DE102018121960A1 (de) 2018-09-10 2018-09-10 Vorrichtung zur Entkopplung und zum Schutz vor Ausgleichsströmen in einem redundanten System für autonomes Fahren

Publications (1)

Publication Number Publication Date
WO2020052951A1 true WO2020052951A1 (de) 2020-03-19

Family

ID=67810590

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2019/072718 WO2020052951A1 (de) 2018-09-10 2019-08-26 Vorrichtung zur entkopplung und zum schutz vor ausgleichsströmen in einem redundanten system für autonomes fahren

Country Status (4)

Country Link
US (1) US11872997B2 (de)
CN (2) CN112672907B (de)
DE (1) DE102018121960A1 (de)
WO (1) WO2020052951A1 (de)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102504032B1 (ko) * 2018-09-19 2023-02-28 에이치엘만도 주식회사 브레이크 장치 및 그 제어 방법
US11767005B2 (en) * 2020-08-21 2023-09-26 GM Global Technology Operations LLC Test sequence for brake system
US20220371607A1 (en) * 2021-05-24 2022-11-24 Ghost Locomotion Inc. Failover system for autonomous vehicles
CN115426329A (zh) * 2021-05-31 2022-12-02 默升科技集团有限公司 具有功率共享的有源冗余y型线缆
DE102021114097A1 (de) * 2021-06-01 2022-12-01 Knorr-Bremse Systeme für Nutzfahrzeuge GmbH Messsystem zur Erfassung eines physikalischen Parameters und Verfahren zum Betreiben eines Messystems
DE102021207374A1 (de) * 2021-07-12 2023-01-12 Knorr-Bremse Systeme für Nutzfahrzeuge GmbH Energieversorgungsmanagementsystem für ein Fahrzeug, Verfahren für einen Betrieb des Energiemanagementsystems und Computerprogrammprodukt zur Durchführung des Verfahrens
DE102021127910A1 (de) * 2021-10-27 2023-04-27 Knorr-Bremse Systeme für Nutzfahrzeuge GmbH Ventilvorrichtung für ein System, insbesondere ein für ein Fahrzeug und System, insbesondere Bremssystem für ein Fahrzeug
DE102023200911B3 (de) 2023-02-03 2024-05-08 Continental Autonomous Mobility Germany GmbH Verfahren sowie Assistenzsystem zum Steuern eines Fahrzeuges

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1077525A2 (de) * 1999-08-16 2001-02-21 Hughes Electronics Corporation Phasensynchronisation von redundanten Motorwindungen
EP1175324A1 (de) * 2000-02-24 2002-01-30 Delphi Technologies, Inc. Elektronische systemarchitektur vom typ "brake-by-wire" mit mehrfachen stromquellen und schutzschaltung
EP1478072A2 (de) * 2003-05-16 2004-11-17 Hitachi, Ltd. Vorrichtung und Verfahren für redundante Energieversorgung in einem Fahrzeug
DE10348162B3 (de) * 2003-10-17 2005-01-27 Daimlerchrysler Ag Vorrichtung zur redundanten Energieversorgung sicherheitsrelevanter Verbraucher
DE102005004330A1 (de) * 2005-01-31 2006-08-10 Robert Bosch Gmbh Bordnetz für sicherheitsrelevante Verbraucher
DE102014208192A1 (de) * 2014-04-30 2015-11-05 Robert Bosch Gmbh Vorrichtung und zum Verbinden eines Basis-Bordnetzes mit einem insbesondere sicherheitsrelevanten Teilnetz
DE102015010323A1 (de) * 2014-12-23 2016-06-23 Daimler Ag Energiequellenanordnung mit zweipoliger Abschaltung für ein Kraftfahrzeug
DE102015200124A1 (de) * 2015-01-08 2016-07-14 Robert Bosch Gmbh Verfahren zum Versorgen mindestens eines Verbrauchers
DE102016200086A1 (de) * 2016-01-07 2017-07-13 Robert Bosch Gmbh Bordnetz
EP3197725A1 (de) * 2014-09-23 2017-08-02 Robert Bosch GmbH Bordnetz
EP3318458A1 (de) * 2015-07-02 2018-05-09 Mitsubishi Jidosha Kogyo Kabushiki Kaisha Elektromechanische bremsvorrichtung

Family Cites Families (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3624455C2 (de) * 1986-07-19 1994-11-10 Bayerische Motoren Werke Ag Stromversorgungseinrichtung für Kraftfahrzeuge
US6121693A (en) * 1998-08-20 2000-09-19 Cisco Technology, Inc. Distributed power system
DE19913131B4 (de) * 1999-03-23 2004-07-22 Siemens Ag Stromversorgungssystem mit zwei Batterien unterschiedlicher Spannung
US6121692A (en) * 1999-09-14 2000-09-19 Eaton Corporation Circuit and method for establishing two-way communication between the steering column and the steering wheel of a vehicle
DE19950008A1 (de) * 1999-10-18 2001-04-26 Xcellsis Gmbh Verfahren und Anordnung zum Steuern des Schaltzustands einer Schaltverbindung zwischen den elektrischen Ausgängen einer in einer mobilen Vorrichtung angeordneten Brennstoffzelle und einem in der mobilen Vorrichtung angeordneten isolierten elektrischen Netz
DE10150379A1 (de) * 2001-10-11 2003-04-17 Bosch Gmbh Robert Redundante Energieversorgung für sicherheitsrelevante Verbraucher in einem Bordnetz
DE102005044526A1 (de) * 2005-09-16 2007-03-29 Deutsches Zentrum für Luft- und Raumfahrt e.V. Redundantes elektromotorisches Antriebssystem
DE102005062907B3 (de) * 2005-12-29 2007-05-10 Knorr-Bremse Systeme für Nutzfahrzeuge GmbH Druckmittelbetätigtes Bremssystem mit redundanter Steuerung der Bremsaktuatoren
DE102008009043B3 (de) * 2008-02-14 2009-05-14 Knorr-Bremse Systeme für Nutzfahrzeuge GmbH Elektronisch geregeltes Bremssystem mit redundanter Steuerung der Bremsaktuatoren
DE102008014879A1 (de) * 2008-03-12 2009-09-17 Weldin, David Redundantes elektronisches Schaltungs- und Handhabungssystem mit Kraftrückkopplung zur Führung von Aktuatoren von Lenk-, Brems-, Beschleunigungs- und Handhabungssystemen von Fahrzeugen und Maschinen
EP2107673B1 (de) * 2008-03-31 2019-03-06 Eberspächer Controls Landau GmbH & Co. KG MOSFET als elektronischer AUS-Schalter
AT508505B1 (de) * 2009-06-18 2013-03-15 Rp Technik E K Sicherheitsbezogenes kommunikationsverfahren auf energieversorgungsleitungen und ein dazugehöriges netz
DE102009037641B4 (de) * 2009-08-14 2024-04-18 Continental Automotive Technologies GmbH Bremsensteuergerät zur Ansteuerung und/oder Regelung von Aktuatoren mit Verpolschutz
DE102010028626B4 (de) * 2010-05-05 2021-09-16 Bender Gmbh & Co. Kg Stromaufladevorrichtung für ein Elektrofahrzeug
US9440600B2 (en) * 2012-09-20 2016-09-13 GM Global Technology Operations LLC Fail operational power system with multiple energy storage devices
US9184582B2 (en) * 2012-09-20 2015-11-10 GM Global Technology Operations LLC Fail operational power system with single energy storage
CN203093954U (zh) * 2013-02-25 2013-07-31 上海通用汽车有限公司 一种四合一电控单元
DE102013209527A1 (de) * 2013-05-23 2014-11-27 Zf Friedrichshafen Ag Schutzschaltung für einen Aktuator, Aktuatorvorrichtung und Verfahren zum Betreiben eines elektrischen Aktuators
CN105556182B (zh) * 2013-09-19 2018-04-24 舍弗勒技术股份两合公司 保持机动车安全行驶状态的方法和控制执行器的控制装置
FR3011698B1 (fr) * 2013-10-09 2015-10-23 Valeo Embrayages Actionneur electrique pour systeme de transmission de vehicule
US9499139B2 (en) * 2013-12-05 2016-11-22 Magna Electronics Inc. Vehicle monitoring system
US9457684B2 (en) * 2014-03-26 2016-10-04 Ford Global Technologies, Llc Redundant electrical power for autonomous vehicles
CN104199531A (zh) * 2014-08-22 2014-12-10 山东超越数控电子有限公司 一种cpci冗余电源短路电流去耦方法
DE102014013756C5 (de) 2014-09-22 2018-04-26 Knorr-Bremse Systeme für Nutzfahrzeuge GmbH Elektrische Ausrüstung eines Fahrzeugs mit einer wenigstens teilweise elektrischen Brems- und Lenkeinrichtung mit hoher Verfügbarkeit
US10224742B2 (en) * 2015-01-18 2019-03-05 Powerpath Technologies Incorporated High efficiency uninterruptible power supply with near loss-less ultrafast electromechanical switching
DE102016002676A1 (de) * 2016-03-05 2017-09-07 Wabco Gmbh Verfahren und Steuerungseinrichtung zum Steuern eines insbesondere pneumatischen Bremssystems für Fahrzeuge
US10407003B2 (en) * 2017-02-16 2019-09-10 Ford Global Technologies, Llc Short-circuit protection for vehicle redundant power architecture

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1077525A2 (de) * 1999-08-16 2001-02-21 Hughes Electronics Corporation Phasensynchronisation von redundanten Motorwindungen
EP1175324A1 (de) * 2000-02-24 2002-01-30 Delphi Technologies, Inc. Elektronische systemarchitektur vom typ "brake-by-wire" mit mehrfachen stromquellen und schutzschaltung
EP1478072A2 (de) * 2003-05-16 2004-11-17 Hitachi, Ltd. Vorrichtung und Verfahren für redundante Energieversorgung in einem Fahrzeug
DE10348162B3 (de) * 2003-10-17 2005-01-27 Daimlerchrysler Ag Vorrichtung zur redundanten Energieversorgung sicherheitsrelevanter Verbraucher
DE102005004330A1 (de) * 2005-01-31 2006-08-10 Robert Bosch Gmbh Bordnetz für sicherheitsrelevante Verbraucher
DE102014208192A1 (de) * 2014-04-30 2015-11-05 Robert Bosch Gmbh Vorrichtung und zum Verbinden eines Basis-Bordnetzes mit einem insbesondere sicherheitsrelevanten Teilnetz
EP3197725A1 (de) * 2014-09-23 2017-08-02 Robert Bosch GmbH Bordnetz
DE102015010323A1 (de) * 2014-12-23 2016-06-23 Daimler Ag Energiequellenanordnung mit zweipoliger Abschaltung für ein Kraftfahrzeug
DE102015200124A1 (de) * 2015-01-08 2016-07-14 Robert Bosch Gmbh Verfahren zum Versorgen mindestens eines Verbrauchers
EP3318458A1 (de) * 2015-07-02 2018-05-09 Mitsubishi Jidosha Kogyo Kabushiki Kaisha Elektromechanische bremsvorrichtung
DE102016200086A1 (de) * 2016-01-07 2017-07-13 Robert Bosch Gmbh Bordnetz

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
CHRISTINE ROSS ET AL: "Turboelectric Distributed Propulsion Protection System Design Trades", SAE TECHNICAL PAPER SERIES, vol. 1, 16 September 2014 (2014-09-16), US, XP055425021, ISSN: 0148-7191, DOI: 10.4271/2014-01-2141 *

Also Published As

Publication number Publication date
CN117644768A (zh) 2024-03-05
CN112672907B (zh) 2023-12-22
CN112672907A (zh) 2021-04-16
DE102018121960A1 (de) 2020-03-12
US11872997B2 (en) 2024-01-16
US20220089168A1 (en) 2022-03-24

Similar Documents

Publication Publication Date Title
WO2020052951A1 (de) Vorrichtung zur entkopplung und zum schutz vor ausgleichsströmen in einem redundanten system für autonomes fahren
EP2146881B1 (de) Elektromechanisches bremssystem mit einer ausfallsicheren energieversorgung und verfahren zur ausfallsicheren energieversorgung in einem elektromechanischen bremssystem für fahrzeuge
WO2020052950A1 (de) Schutzvorrichtung zur entkopplung elektrischer steuerkreise in einem redundanten system für autonomes fahren
DE112008003120B4 (de) Elektronisches System zum Betreiben einer elektromechanischen Parkbremse
WO2015082113A1 (de) Bordnetz zur fehlertoleranten und redundanten versorgung
DE102015200124A1 (de) Verfahren zum Versorgen mindestens eines Verbrauchers
EP1673667A1 (de) Integriertes mikroprozessorsystem für sicherheitskritische regelungen
WO2018087260A1 (de) Leistungsverteiler und bordnetz mit zumindest einem leistungsverteiler
EP3741635B1 (de) Bremssteuersystem
EP3670277B1 (de) Bremssystem für ein kraftfahrzeug und kraftfahrzeug mit einem solchen bremssystem
DE102016222628A1 (de) Sensoranordnung mit einem Sensor zum redundanten Erfassen einer Messgröße und ein elektrohydraulisches Bremssystem mit einer solchen Sensoranordnung
DE102020211902A1 (de) Vorrichtung für ein automatisches Parkbremssystem
EP0811920B1 (de) Selbstüberprüfung einer Funktionsgruppe in einem Kraftfahrzeug
DE102015203250A1 (de) Sicherheitsvorrichtung und Verfahren zum Überführen eines Aktorsystems in einen sicheren Zustand, Aktorsystem und Verfahren zum Betreiben eines Aktorsystems
DE102015119611B4 (de) Verbesserung der Diagnostizierbarkeit von Fail-operational Systemen
EP4173909A1 (de) Ventilvorrichtung für ein system für ein fahrzeug und system für ein fahrzeug
EP4173874A1 (de) Ventilvorrichtung für ein system, insbesondere für ein fahrzeug und system, insbesondere bremssystem für ein fahrzeug
EP3655297B1 (de) Vorrichtung und verfahren zum betreiben eines bremssystems eines kraftfahrzeugs
DE10103951B4 (de) Energieversorgungseinrichtung für bordnetzgestützte, sicherheitsrelevante Systemkomponenten von Fahrzeugen
EP3190675A1 (de) Verfahren zum koppeln eines verbrauchers
WO2022012876A1 (de) Halbleiterchip und sicherheitsschaltungsanordnung mit einem solchen halbleiterchip
DE102022207670A1 (de) Vorrichtung zum Steuern einer Fahrzeugkomponente und Fahrzeugkomponente
WO2024002731A2 (de) Fahrzeugnetzwerk zur datenkommunikation zwischen komponenten eines fahrzeugs sowie system und fahrzeug damit und verfahren dafür
WO2024027924A1 (de) Elektromechanisches bremssystem mit pneumatischer ansteuerung des anhängers
DE102018220059A1 (de) Sensoranordnung für ein Fahrzeugsystem, Betriebsverfahren für eine solche Sensoranordnung und korrespondierendes Bremssystem für ein Fahrzeug

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 19762111

Country of ref document: EP

Kind code of ref document: A1

122 Ep: pct application non-entry in european phase

Ref document number: 19762111

Country of ref document: EP

Kind code of ref document: A1