DE102012209144A1 - Verfahren zur Überführung eines elektrischen Antriebsystems in einen sicheren Zustand und Anordnung zur Durchführung des Verfahrens - Google Patents

Verfahren zur Überführung eines elektrischen Antriebsystems in einen sicheren Zustand und Anordnung zur Durchführung des Verfahrens Download PDF

Info

Publication number
DE102012209144A1
DE102012209144A1 DE201210209144 DE102012209144A DE102012209144A1 DE 102012209144 A1 DE102012209144 A1 DE 102012209144A1 DE 201210209144 DE201210209144 DE 201210209144 DE 102012209144 A DE102012209144 A DE 102012209144A DE 102012209144 A1 DE102012209144 A1 DE 102012209144A1
Authority
DE
Germany
Prior art keywords
path
switching
arrangement
power supply
level
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE201210209144
Other languages
English (en)
Inventor
Chengxuan Fu
Wilfried FEUCHTER
Rene Bischof
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Robert Bosch GmbH
Original Assignee
Robert Bosch GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Robert Bosch GmbH filed Critical Robert Bosch GmbH
Priority to DE201210209144 priority Critical patent/DE102012209144A1/de
Publication of DE102012209144A1 publication Critical patent/DE102012209144A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01RMEASURING ELECTRIC VARIABLES; MEASURING MAGNETIC VARIABLES
    • G01R31/00Arrangements for testing electric properties; Arrangements for locating electric faults; Arrangements for electrical testing characterised by what is being tested not provided for elsewhere

Landscapes

  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Electric Propulsion And Braking For Vehicles (AREA)

Abstract

Es werden ein Verfahren und eine Anordnung (600) zum Abschalten einer Energieversorgung (624) vorgestellt. Das Verfahren dient insbesondere zur Überführung eines elektrischen Antriebsystems in einen sicheren Zustand, mit einer Anordnung (600) zum Abschalten einer Energieversorgung (624), die mindestens ein Steuergerät (608) umfasst, wobei über einen Abschaltpfad (640) ein Zugriff der Anordnung auf die Energieversorgung (624) besteht, um diese abschalten zu können, wobei der Abschaltpfad (640) derart ausgebildet ist, dass dieser in regelmäßigen zeitlichen Abständen getestet werden kann

Description

  • Die Erfindung betrifft ein Verfahren zur Überführung eines elektrischen Antriebsystems in einen sicheren Zustand durch Abschaltung der Energieversorgung und eine Anordnung zur Durchführung des Verfahrens.
  • Stand der Technik
  • In Kraftfahrzeugen werden Steuergeräte zur Steuerung und Regelung der Komponenten eingesetzt. So ist u.a. ein Motorsteuergerät zur Steuerung und Regelung des Motors vorgesehen. Für den sicheren Betrieb des Kraftfahrzeugs ist es unerlässlich, die korrekte Funktionsweise des überwachten Steuergeräts kontinuierlich zu überprüfen und ggf. eine Energieversorgung abzuschalten.
  • Bei Fahrzeugen mit einem sogenannten elektronischen Motorfüllungssteuerungssystem (EGAS) muss bspw. das 3-Ebenen-Konzept im Motorsteuergerät implementiert werden. Das 3-Ebenen-Konzept beruht auf der gegenseitigen Überwachung von Funktionsrechner und separatem Überwachungsmodul, dem sogenannten Watchdog. Der Funktionsrechner und das Überwachungsmodul kommunizieren über eine Frage/Antwort-Kommunikation und besitzen getrennte Abschaltpfade, über die die Leistungsendstufen bei Fehlerfällen abgeschaltet werden können und somit die Sicherheit des Fahrzeugs gewährleisten werden kann.
  • Die erste Ebene bzw. Ebene 1 bezeichnet die eigentliche Funktionssoftware, die zum Motorbetrieb notwendig ist. Diese wird auf dem Funktionsrechner ausgeführt. In der zweiten Ebene bzw. Ebene 2, die ebenfalls auf dem Funktionsrechner ausgeführt wird, wird anhand eines vereinfachten Motormodells ein zulässiges Moment mit einem Motor-Istmoment verglichen. Diese Ebene wird in einem durch die dritte Ebene bzw. Ebene 3 abgesicherten Hardwarebereich durchgeführt. Bestandteil der dritten Ebene ist der Befehlstest, die Programmablaufkontrolle, der A/D-Wandler-Test sowie zyklische und vollständige Speichertests.
  • Bei aktuellen elektronischen Motorfüllungssteuerungssystemen befindet sich die gesamte Funktions- und Überwachungssoftware in einem Steuergerät. Aus der Druckschrift DE 44 38 714 A1 sind ein Verfahren und eine Vorrichtung zur Steuerung der Antriebsleistung eines Kraftfahrzeugs bekannt. Hierbei wird nur ein Rechenelement zur Durchführung von Steuerungs- und Überwachungsfunktionen eingesetzt. In diesem Rechenelement sind wenigstens zwei voneinander unabhängige Ebenen festgelegt, wobei die erste Ebene die Steuerungsfunktionen und die zweite Ebene Überwachungsfunktionen ausführt. Zu beachten ist, dass das 3-Ebenen Konzept im Vergleich zu dem 2-Rechner Konzept, welches oft in ABS/ESP-Systemen verwendet wird, kostengünstiger ist.
  • Aus der Druckschrift DE 103 31 872 A1 ist ein Verfahren zur Überwachung eines Systems mit vernetzten Steuergeräten bekannt, wobei die Steuergeräte jeweils wenigstens ein Rechenelement aufweisen und jeweils überwachungsrelevante Steuerungsvorgänge sowie Überwachungsvorgänge durchführen. Die Steuergeräte kommunizieren miteinander über ein Bussystem. Die Funktionen und Module der zweiten Ebene sind auf alle in dem Netzverbund angeschlossenen Steuergeräte frei verteilbar. Weiterhin ist in der Druckschrift beschrieben, dass die Kommunikationskomponente des steuergeräteübergreifenden Softwarerahmens Fehlerreaktionenanforderungen und Funktionsgrößen anderer Steuergeräte über das Bussystem einliest, den Modulen und Komponenten des steuergeräteübergreifenden Softwarerahmens zur Verfügung stellt und über das Bussystem an andere Steuergeräte wieder abgibt.
  • Die verteilte Überwachung auf mehreren Steuergeräten hat den Vorteil, dass die Ausfallwahrscheinlichkeit der Überwachungsfunktionalitäten durch zusätzliche Redundanz reduziert werden kann. Damit kann die verteilte Überwachung ein höheres Sicherheitsniveau bzw. eine höhere Automotive Safety Integrity Level (ASIL Level) als das 3-Ebenen Konzept erreichen.
  • Bei Elektrofahrzeugen oder Hybrid-Fahrzeugen werden für das Elektroantriebsystem höhere ASIL Level als bei Verbrennungsmotoren gefordert, weil Elektromotoren in beide Richtungen ab Drehzahl Null ein maximales Drehmoment abgeben können. Ein Fehler in der Elektromotorsteuerung könnte bspw. ein ungewolltes maximales negatives Moment bewirken, was wiederum zu einer Blockade der Hinterachse und somit zum Schleudern des fahrenden Fahrzeugs führen könnte.
  • Um höhere ASIL Level zu erreichen, wird das verteilte Überwachungskonzept eingesetzt. Dabei werden die Software-Module der zweiten Ebene auf zwei oder mehreren Steuergeräten dupliziert, so dass die Module der ersten Ebene in einem Steuergerät von den Modulen der zweiten Ebene aus beiden oder mehreren Steuergeräten überwacht werden. Die verteilten Module der zweiten Ebene kommunizieren mit der eigentlichen ersten Ebene und der zweiten Ebene über Kommunikationsnetzwerke, wie z.B. CAN, FlexRay oder Ethernet.
  • Ein mögliches Abschaltkonzept bei der verteilten Überwachung ist die Abschaltung der Energieversorgung. Beide Steuergeräte können über eine Kommunikationsschnittstelle, bspw. CAN-Bus, FlexRay, Ethernet, SPI, Abschaltanforderungen an ein Energiemanagementsystem senden. Dies schaltet dann die Energieversorgung für das gesamte System ab.
  • Ein solcher beschriebener Abschaltpfad muss mindestens ein Mal pro Fahrzyklus getestet werden, um seine ordnungsgemäße Arbeitsweise im Fehlerfall sicherzustellen. Ein möglicher Fehler im Abschaltpfad (Abschaltung Energieversorgung) ist ein schlafender Fehler, der in Kombination mit einem anderen Fehler zu einer Gefährdung führen kann. Ein schlafender Fehler muss detektiert werden können.
  • Aus der Druckschrift DE 101 52 273 B4 sind ein Verfahren und eine Vorrichtung zur Überwachung eines redundanten Abschaltpfads für ein Kraftfahrzeug bekannt. Bei diesen ist vorgesehen, während einer Initialisierungsphase eines Steuergeräts durch eine Simulation einer Abschaltung die Funktionsfähigkeit des redundanten Abschaltpfads zu überprüfen. Dabei werden eine Pufferspannung und eine Spannungshöhe einer Piezoendstufe ausgewertet. Der Test des Abschaltpfads kann mehrere Testblöcke umfassen.
  • Die Druckschrift DE 10 2006 018 053 A1 beschreibt ein Ansteuersystem für eine permanenterregte elektrische Maschine. Zur Abschaltung der Ansteuerung der elektrischen Maschine wird bei diesem ein Dreiphasenkurzschluss der Leistungsendstufen durchgeführt. Auf diese Weise wird erreicht, das Bremsmoment einer abgeschalteten und noch drehenden elektrischen Maschine zu reduzieren.
  • Nachteilig bei bekannten Abschaltkonzepten ist, dass diese ein hohes ASIL Level in dem Energiemanagementsystem voraussetzen. Die Abschaltfunktionalität muss "eigensicher" sein. Häufig werden in einem Fahrzeug Komponenten von unterschiedlichen Zulieferern eingesetzt, so dass z.B. der Lieferant für das Antriebssystem nicht das Energiemanagementsystem liefert. Somit ist der Lieferant des Antriebssystems nicht allein für die Sicherheit seines Systems verantwortlich, sondern er ist auch abhängig von anderen Zulieferern.
  • Weiterhin ist zu beachten, dass das Hauptschütz, bspw. ein Unterbrecher-Relais, in dem Batteriesystem in der Regel nicht unter Last geöffnet werden sollte, da dies zu einer Beschädigung oder gar Zerstörung des Hauptschützes führen kann. Daher führt eine Abschaltung, um bspw. diese zu testen, zu einem erhöhten Wartungsaufwand und zusätzlichen Kosten. Außerdem wird durch diese Eigenschaft das Testen der Abschaltung während der Entwicklung erschwert.
  • Offenbarung der Erfindung
  • Vor diesem Hintergrund werden ein Verfahren nach Anspruch 1 und eine Anordnung mit den Merkmalen des Anspruchs 6 vorgestellt. Ausgestaltungen ergeben sich aus den abhängigen Ansprüchen und der Beschreibung.
  • Mit dem vorgestellten Verfahren wird erstmalig ein Abschaltpfadtest für die Abschaltung der Energieversorgung im Automotive-Bereich genutzt. Dabei erfolgt eine indirekte Abschaltung der leistungs- und momentenbestimmenden Endstufen aufgrund der abgeschalteten Energieversorgung. Auf diese Weise ist es möglich, die Fehlerreaktionszeit konstant und damit berechenbar und reproduzierbar zu halten. Bei dem Verfahren wird eine Energieversorgung abgeschaltet, um ein elektrisches Antriebssystem in einen sicheren Zustand zu überführen. Mittels Frage-Antwort-Kommunikation kann zudem sichergestellt werden, dass der Kommunikationsweg, bspw. eine Kommunikationsschnittstelle, zur Energieversorgung sowie die sendende und die empfangende Kommunikationseinheit noch funktionsfähig sind.
  • Der Test des Abschaltpfads findet bspw. im sogenannten "Steuergeräte-Nachlauf" statt. Nachlauf bezeichnet die Phase, nachdem der Fahrer das Fahrzeug ausgeschaltet hat („Klemme 15“), aber das Steuergerät noch einige Dinge erledigt, wie bspw. die Ansteuerung der Lüfter, die Speicherung von Daten in EEPROM, bevor es sich komplett ausschaltet. Der Test findet bei dieser Ausführung nicht in der Steuergerätinitialisierung statt, da davon auszugehen ist, dass die Hauptschütze zur Energieversorgung zunächst geöffnet sind. Außerdem würde der Test die Initialisierungsdauer des Steuergeräts zu stark verlängern, so dass die Verfügbarkeit des Systems verschlechtert wird, der Fahrer also bspw. erst einige Sekunden warten muss, um das Fahrzeug zu starten und loszufahren.
  • Wenn alle Bedingungen für den Start des Abschaltpfadtests erfüllt sind, bspw. dass kein Strom mehr über die (Batterie-)Hauptschütze fließt, was notwendig ist, da das Hauptschütz ansonsten irreversibel beschädigt wird, wird eine Abschaltung durch das Software-Testmodul, bspw. aus einem Steuergerät, angetriggert.
  • Das Software-Testmodul hat nun mehrere Möglichkeiten die Abschaltung zu überprüfen.
  • Eine einfache Methode besteht darin, die Rückmeldung aus dem Batterie Management Steuergerät (BMS) zu überprüfen. Falls das BMS zurückmeldet, dass die Hauptschütze erfolgreich aufgrund des Abschaltbefehls geöffnet worden sind, wird der Test erfolgreich beendet.
  • Eine aufwendigere aber sicherere Methode kann durchgeführt werden, indem zusätzlich der Abfall der Hochvolt-Spannungsversorgung in dem eigenen Steuergerät überprüft wird. Dabei wird nach dem Senden des Abschaltbefehls eine geeignet definierte Zeit abgewartet. Anschließend wird leistungsstufenseitig die noch zur Verfügung stehende Spannung gemessen. Ist die Spannung kleiner als eine bestimmte Schwelle, unter der die Endstufen des Steuergeräts nicht mehr aktiviert werden können und somit das Fahrzeug nicht mehr bewegt werden kann, dann wird der Test erfolgreich abgeschlossen.
  • Falls der Test fehlerhaft beendet ist, wird keine sofortige Reaktion ausgelöst, da das Fahrzeug bereits ausgeschaltet ist. Das Testmodul speichert stattdessen den Fehler im nicht flüchtigen Speicher des Steuergeräts bzw. der Steuergeräte ab. Zu Beginn des nächsten Fahrzyklus wird dann dieser Fehler ausgewertet und ggf. ein Fehlerzähler inkrementiert. Ist der Fehlerzähler größer als eine applizierbare Schwelle, wird ein irreversibler Fehler gesetzt, der den (Gesamt-)Systemstart verhindert, so dass die Moment stellenden Endstufen abgeschaltet sind und das Fahrzeug nicht mehr bewegt werden kann. Erst nach einem erneuten Test der Abschaltung, welcher erfolgreich abgeschlossen werden muss, kann dieser Zustand wieder verlassen werden.
  • Um die eigentliche Kommunikationsschnittstelle zu überprüfen, erfolgt eine zyklische Frage-Antwort-Kommunikation. Sollte nach einer erfolgten Frage die erwartete Antwort nicht korrekt, d.h. bspw. nicht in einem erwarteten Zeitfenster oder mit falschem Antwortbeitrag, zurückübermittelt werden, so soll ebenfalls das Abschalten der Hochvolt-Spannungsversorgung erfolgen. Zur Bildung der Frage bzw. zur Kontrolle der korrekten Antwort kann das aus dem 3-Ebenen-Konzept bekannte Überwachungsmodul des Energiemanagement-Systems, erweitert um den zusätzlichen Kommunikationsschnittstellentest-Teil, genutzt werden.
  • Weitere Vorteile und Ausgestaltungen der Erfindung ergeben sich aus der Beschreibung und den beiliegenden Zeichnungen.
  • Es versteht sich, dass die voranstehend genannten und die nachstehend noch zu erläuternden Merkmale nicht nur in der jeweils angegebenen Kombination, sondern auch in anderen Kombinationen oder in Alleinstellung verwendbar sind, ohne den Rahmen der vorliegenden Erfindung zu verlassen.
  • Kurze Beschreibung der Zeichnungen
  • 1 zeigt eine Anordnung zur Realisierung eines Überwachungskonzepts gemäß dem Stand der Technik;
  • 2 zeigt die Anordnung aus 1 erweitert um ein Abschaltkonzept;
  • 3 zeigt eine erste Ausführungsform der vorgestellten Anordnung zur Durchführung des beschriebenen Verfahrens;
  • 4 zeigt eine zweite Ausführungsform der Anordnung;
  • 5 zeigt eine dritte Ausführungsform der Anordnung.
  • 6 zeigt eine vierte Ausführungsform der Anordnung.
  • 7 zeigt eine dritte Ausführungsform der Anordnung.
  • 8 zeigt eine sechste Ausführungsform der Anordnung.
  • Ausführungsformen der Erfindung
  • Die Erfindung ist anhand von Ausführungsformen in den Zeichnungen schematisch dargestellt und wird nachfolgend unter Bezugnahme auf die Zeichnungen ausführlich beschrieben.
  • 1 zeigt eine Ausführung einer Anordnung 10 zur Umsetzung eines Überwachungskonzepts nach dem Stand der Technik. Die Anordnung 10 realisiert ein verteiltes Überwachungskonzept mit einem ersten Steuergerät (ECU-A) 12 und einem zweiten Steuergerät (ECU-B) 14. In einer ersten Ebene 20 des ersten Steuergeräts 12 ist ein Ebene-1-Modul 22 des ersten Steuergeräts 12, in einer zweiten Ebene 24 sowohl ein Ebene-2-Modul 26 des ersten Steuergeräts 12 als auch ein Ebene-2-Modul 28 des zweiten Steuergeräts 14 und in einer dritten Ebene 30 ein Ebene-3-Modul 32 des ersten Steuergeräts 12 vorgesehen.
  • In einer ersten Ebene 40 des zweiten Steuergeräts 14 ist ein Ebene-1-Modul 42 des zweiten Steuergeräts 14, in einer zweiten Ebene 44 sowohl ein Ebene-2-Modul 46 des ersten Steuergeräts 12 als auch ein Ebene-2-Modul 48 des zweiten Steuergeräts 14 und in einer dritten Ebene 50 ein Ebene-3-Modul 52 des zweiten Steuergeräts 14 vorgesehen.
  • Somit werden Ebene-1-Module von den Ebene-2-Modulen aus den beiden Steuergeräten 12, 14 überwacht. Die verteilten Ebene-2-Module kommunizieren mit den eigentlichen Ebene-1- und Ebene-2-Modulen über ein Kommunikationsnetzwerksystem 56.
  • 2 zeigt die Anordnung 10 aus 1 zusammen mit einer Abschaltmöglichkeit. Hierbei können beide Steuergeräte 12, 14 über das Kommunikationsnetzwerk 56 eine Abschaltanforderung an ein Energieverwaltungssystem 60 senden, das dann, in diesem Fall über einen Schalter 62, die Energieversorgung 64 für das gesamte System abschaltet.
  • In 3 ist eine erste Ausführungsform einer Anordnung zur Durchführung des beschriebenen Verfahrens, insgesamt mit der Bezugsziffer 100 bezeichnet, wiedergegeben. Die Darstellung zeigt ein erstes Steuergerät (ECU-A) 102 und ein zweites Steuergerät (ECU-B) 104. Das erste Steuergerät 102 weist einen Mikrocontroller 106, einen Watchdog-Baustein 108, Endstufen 110 und eine Energieversorgung 112 auf. Das zweite Stergerät 104 umfasst einen Mikrocontroller 114 und einen Watchdog-Baustein 116.
  • In den beteiligten Steuergeräten 102 und 104 wird das 3-Ebenen Konzept oder ein vergleichbares Überwachungskonzept implementiert. In 3 steuert das erste Steuergerät 102 die leistungsbestimmenden Endstufen 110, bspw. die IGBTs, für einen Pulswechselrichter, der wiederum einen Elektromotor antreibt. Das erste Steuergerät 102 und das zweite Steuergerät 104 kommunizieren über ein Bussystem 118, beispielsweise einen CAN-Bus. Die Endstufen 110 in dem ersten Steuergerät 102 werden von dem Mikrocontroller 106 angesteuert, der wiederum von dem externen Watchdog-Baustein 108 überwacht wird.
  • Zwischen dem Mikrocontroller 114 des zweiten Steuergeräts 104 und den Endstufen 110 des ersten Steuergeräts 102 ist eine direkte Hardware-Abschaltleitung 120 bereitgestellt. Durch ein digitales Signal oder ein PWM-Signal kann somit das zweite Steuergerät 104 die Endstufen 110 des ersten Steuergeräts 102 aktivieren. Ein High-Pegel-Signal bedeutet bspw. "aktiv" und ein Low-Pegel-Signal "deaktiv". Alternativ bedeutet PWM-Signal vorhanden "aktiv" und PWM-Signal nicht vorhanden "deaktiv".
  • 4 zeigt eine zweite Ausführungsform der Anordnung, die mit der Bezugsziffer 200 bezeichnet ist. Die Darstellung zeigt ein erstes Steuergerät (ECU-A) 202 und ein zweites Steuergerät (ECU-B) 204. Das erste Steuergerät 202 weist einen Mikrocontroller 206, einen Watchdog-Baustein 208, Endstufen 210 und eine Energieversorgung 212 auf. Das zweite Steuergerät 204 umfasst einen Mikrocontroller 214 und einen Watchdog-Baustein 216. Ein CAN-Bus ist mit 218 und eine erste Abschaltleitung ist mit 220 bezeichnet.
  • In 4 wird somit eine weitere Variante dargestellt. Der Watchdog-Baustein 216 des zweiten Steuergeräts 204 schaltet über eine zweite Abschaltleitung 230 die Endstufen 210 des ersten Steuergeräts 202 ab. Somit hat diese Variante den Vorteil, dass der Watchdog-Baustein 216 in dem zweiten Steuergerät 204 auch die Endstufen 210 des ersten Steuergeräts 202 abschalten kann, wenn dieser einen Fehler in dem Mikrocontroller 214 des zweiten Steuergeräts 204 entdeckt hat.
  • 5 zeigt eine dritte Ausführungsform der Anordnung 300. Die Darstellung zeigt ein erstes Steuergerät (ECU-A) 302 und ein zweites Steuergerät (ECU-B) 304. Das erste Steuergerät 302 weist einen Mikrocontroller 306, einen Watchdog-Baustein 308, Endstufen 310 und eine Energieversorgung 312 auf. Das zweite Stergerät 304 umfasst einen Mikrocontroller 314 und einen Watchdog-Baustein 316. Ein CAN-Bus ist mit 318 und eine erste Abschaltleitung ist mit 320 bezeichnet. Weiterhin ist in dem zweiten Steuergerät 304 ein Verknüpfungsglied 340 dargestellt.
  • In 5 ist somit noch eine weitere Variante dargestellt, bei der die Abschaltsignale in dem zweiten Steuergerät 304 aus dem Mikrocontroller 314 und dem Watchdog-Baustein 316 zunächst miteinander verknüpft und die finale Abschaltleitung 320 mit den Endstufen 310 in dem ersten Steuergerät 302 verbunden werden. Diese Ausführung hat den Vorteil, dass nur eine Abschaltleitung 320 zwischen den beiden Steuergeräten 302 und 304 bereitgestellt werden muss, was wiederum kostengünstiger und robust ist.
  • 6 zeigt eine vierte Ausführungsform der Anordnung 400. Die Darstellung zeigt ein erstes Steuergerät (ECU-A) 402 und ein zweites Steuergerät (ECU-B) 404. Das erste Steuergerät 402 weist einen Mikrocontroller 406, einen Watchdog-Baustein 408, Endstufen 410 und eine Energieversorgung 412 auf. Das zweite Stergerät 404 umfasst einen Mikrocontroller 414 und einen Watchdog-Baustein 416. Ein CAN-Bus ist mit 418 bezeichnet. Weiterhin ist in dem zweiten Steuergerät 404 ein Verknüpfungsglied 440 dargestellt.
  • Bei der in 6 wiedergegeben Ausführungsform werden nicht die Endstufen 410 in dem ersten Steuergerät 402 direkt abgeschaltet, sondern werden über eine weitere Abschaltleitung 450 die Spannungsversorgung 412 der Endstufen 410 abgeschaltet.
  • Eine Kombination dieser Variante mit der Variante aus 5 wird in 7, insgesamt mit der Bezugsziffer 500 bezeichnet, wiedergegeben. Die Darstellung zeigt ein erstes Steuergerät (ECU-A) 502 und ein zweites Steuergerät (ECU-B) 504. Das erste Steuergerät 502 weist einen Mikrocontroller 506, einen Watchdog-Baustein 508, Endstufen 510 und eine Energieversorgung 512 auf. Das zweite Stergerät 504 umfasst einen Mikrocontroller 514 und einen Watchdog-Baustein 516. Ein CAN-Bus ist mit 418 bezeichnet. Weiterhin ist in dem zweiten Steuergerät 504 ein Verknüpfungsglied 540 dargestellt. Eine erste Abschaltleitung ist mit 520 und eine zweite Abschaltleitung ist mit 550 bezeichnet.
  • 8 zeigt eine sechste Ausführungsform mit einer Anordnung 600 mit einem Leistungselektronikteil 602 und einem Energiesystem 604. Die Anordnung 600 steuert ein elektrisches Antriebssystem 608 an. In dem Leistungselektronikteil 602 ist ein Steuergerät 608 mit einer ersten Ebene 610, einer zweiten Ebene 612 und einer dritten Ebene 614, welches mit einem Watchdog-Baustein 616 gekoppelt ist, vorgesehen. In diesem Steuergerät 608 ist sicherheitsrelevante Software abgelegt. Ein herkömmlicher Abschaltpfad 618 besteht zwischen dem Steuergerät 608 und einem Leistungsteil 620, in dem IGBTs vorgesehen sind.
  • In dem Energiesystem 604 sind ein Energiemanagementsystem 622, eine Energieversorgung 624, ein erster Vorladeschütz 626, ein zweiter Vorladeschütz 628 und ein Hochvoltschütz 630 vorgesehen. Die Kommunikation zwischen dem Energiemangementsystem 622 und dem Steuergerät 608 erfolgt über eine Kommunikationsschnittstelle 634. Gestrichelt eingezeichnet ist ein Abschaltpfad 640. Über diesen Abschaltpfad 640 ist die Energieversorgung 624 abzuschalten.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • DE 4438714 A1 [0005]
    • DE 10331872 A1 [0006]
    • DE 10152273 B4 [0012]
    • DE 102006018053 A1 [0013]

Claims (10)

  1. Verfahren zur Überführung eines elektrischen Antriebsystems (608) in einen sicheren Zustand, mit einer Anordnung (100, 200, 300, 400, 500, 600) zum Abschalten einer Energieversorgung (112, 212, 312, 412, 512, 624), die mindestens ein Steuergerät (102, 104, 202, 204, 302, 304, 402, 404, 502, 608) umfasst, wobei über einen Abschaltpfad (120, 220, 230, 320, 450, 520, 550, 640) ein Zugriff der Anordnung auf die Energieversorgung (112, 212, 312, 412, 512, 624) besteht, um diese abschalten zu können, wobei der Abschaltpfad (120, 220, 230, 320, 450, 520, 550, 640) derart ausgebildet ist, dass dieser in regelmäßigen zeitlichen Abständen getestet werden kann.
  2. Verfahren nach Anspruch 1, bei dem zusätzlich ein Energiemanagementsystem (622) zur Steuerung der Energieversorgung (112, 212, 312, 412, 512, 624) verwendet wird.
  3. Verfahren nach Anspruch 1 oder 2, bei dem der Abschaltpfad (120, 220, 230, 320, 450, 520, 550, 640) in jedem Fahrzyklus mindestens einmal durchzuführen ist.
  4. Verfahren nach einem der Ansprüche 1 bis 3, bei dem in der Anordnung (100, 200, 300, 400, 500, 600) zur Überwachung ein 3-Ebenen Konzept verwendet wird.
  5. Verfahren nach einem der Ansprüche 1 bis 4, bei dem in der Anordnung mehrere Steuergeräte (102, 104, 202, 204, 302, 304, 402, 404, 502, 608) verwendet werden.
  6. Anordnung zum Abschalten einer Energieversorgung (112, 212, 312, 412, 512, 624) eines elektrischen Antriebsystems (608), insbesondere zur Durchführung eines Verfahrens nach einem der Ansprüche 1 bis 5, mit mindestens einem Steuergerät (102, 104, 202, 204, 302, 304, 402, 404, 502, 608), das über einen Abschaltpfad (120, 220, 230, 320, 450, 520, 550, 640) einen Zugriff auf eine Energieversorgung hat.
  7. Anordnung nach Anspruch 6, bei dem das mindestens eine Steuergerät (102, 104, 202, 204, 302, 304, 402, 404, 502, 608) dazu ausgebildet ist, eine Überwachung im Rahmen eines 3-Ebenen Konzepts durchzuführen.
  8. Anordnung nach Anspruch 6 oder 7, bei der zusätzlich ein Energiemanagementsystem (622) vorgesehen ist.
  9. Anordnung nach Anspruch 8, bei der eine Kommunikation zwischen Steuergerät und Energiemanagementsystem (622) über eine Kommunikationsschnittstelle (634) erfolgt.
  10. Anordnung nach Anspruch 9, bei der die Funktionsfähigkeit der Kommunikationsschnittstelle (634) zyklisch mittels Frage-Antwort-Kommunikationsverfahren zu überprüfen ist.
DE201210209144 2012-05-31 2012-05-31 Verfahren zur Überführung eines elektrischen Antriebsystems in einen sicheren Zustand und Anordnung zur Durchführung des Verfahrens Pending DE102012209144A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE201210209144 DE102012209144A1 (de) 2012-05-31 2012-05-31 Verfahren zur Überführung eines elektrischen Antriebsystems in einen sicheren Zustand und Anordnung zur Durchführung des Verfahrens

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE201210209144 DE102012209144A1 (de) 2012-05-31 2012-05-31 Verfahren zur Überführung eines elektrischen Antriebsystems in einen sicheren Zustand und Anordnung zur Durchführung des Verfahrens

Publications (1)

Publication Number Publication Date
DE102012209144A1 true DE102012209144A1 (de) 2013-12-05

Family

ID=49579402

Family Applications (1)

Application Number Title Priority Date Filing Date
DE201210209144 Pending DE102012209144A1 (de) 2012-05-31 2012-05-31 Verfahren zur Überführung eines elektrischen Antriebsystems in einen sicheren Zustand und Anordnung zur Durchführung des Verfahrens

Country Status (1)

Country Link
DE (1) DE102012209144A1 (de)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019223995A1 (de) 2018-05-22 2019-11-28 Volkswagen Aktiengesellschaft Elektrische bordnetzvorrichtung zum versorgen von zumindest zwei elektrischen verbrauchern in einem kraftfahrzeug sowie kraftfahrzeug, umschaltvorrichtung und verfahren zum betreiben einer bordnetzvorrichtung
CN111133389A (zh) * 2017-09-18 2020-05-08 罗伯特·博世工具公司 确保电动机器的安全关键功能的方法
US11493896B2 (en) 2018-04-25 2022-11-08 Robert Bosch Gmbh Turn-off device for components in safety-critical systems
CN116461482A (zh) * 2023-04-19 2023-07-21 联合汽车电子有限公司 电子驻车功能的监控系统、监控方法和可读存储介质
EP4203235A4 (de) * 2021-02-09 2024-05-22 LG Energy Solution, Ltd. Stromversorgungsverwaltungsvorrichtung und betriebsverfahren dafür

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4438714A1 (de) 1994-10-29 1996-05-02 Bosch Gmbh Robert Verfahren und Vorrichtung zur Steuerung der Antriebseinheit eines Fahrzeugs
DE10331872A1 (de) 2003-07-14 2005-02-10 Robert Bosch Gmbh Verfahren zur Überwachung eines technischen Systems
DE10152273B4 (de) 2001-10-20 2007-03-08 Robert Bosch Gmbh Verfahren und Vorrichtung zur Überwachung eines redundanten Abschaltpfades
DE102006018053A1 (de) 2006-04-19 2007-10-31 Daimlerchrysler Ag Ansteuersystem für eine elektrische Maschine

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4438714A1 (de) 1994-10-29 1996-05-02 Bosch Gmbh Robert Verfahren und Vorrichtung zur Steuerung der Antriebseinheit eines Fahrzeugs
DE10152273B4 (de) 2001-10-20 2007-03-08 Robert Bosch Gmbh Verfahren und Vorrichtung zur Überwachung eines redundanten Abschaltpfades
DE10331872A1 (de) 2003-07-14 2005-02-10 Robert Bosch Gmbh Verfahren zur Überwachung eines technischen Systems
DE102006018053A1 (de) 2006-04-19 2007-10-31 Daimlerchrysler Ag Ansteuersystem für eine elektrische Maschine

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111133389A (zh) * 2017-09-18 2020-05-08 罗伯特·博世工具公司 确保电动机器的安全关键功能的方法
US11493896B2 (en) 2018-04-25 2022-11-08 Robert Bosch Gmbh Turn-off device for components in safety-critical systems
WO2019223995A1 (de) 2018-05-22 2019-11-28 Volkswagen Aktiengesellschaft Elektrische bordnetzvorrichtung zum versorgen von zumindest zwei elektrischen verbrauchern in einem kraftfahrzeug sowie kraftfahrzeug, umschaltvorrichtung und verfahren zum betreiben einer bordnetzvorrichtung
US11345240B2 (en) 2018-05-22 2022-05-31 Volkswagen Aktiengesellschaft Electrical on-board network device for supply of at least two electrical loads in a motor vehicle, and motor vehicle, switching device, and method for operating an on-board network device
EP4203235A4 (de) * 2021-02-09 2024-05-22 LG Energy Solution, Ltd. Stromversorgungsverwaltungsvorrichtung und betriebsverfahren dafür
CN116461482A (zh) * 2023-04-19 2023-07-21 联合汽车电子有限公司 电子驻车功能的监控系统、监控方法和可读存储介质

Similar Documents

Publication Publication Date Title
EP3952053A1 (de) Verfahren zum betreiben eines batteriesystems
DE102018201119A1 (de) Verfahren zum Überwachen der Energieversorgung eines Kraftfahrzeugs mit automatisierter Fahrfunktion
DE112017004002B4 (de) Abnormalitätsdiagnosevorrichtung
DE102018103196A1 (de) Steuerung einer redundanten leistungsarchitektur für ein fahrzeug
DE102008022776A1 (de) Vereinfachte automatische Entladefunktion für Fahrzeuge
DE102013225020A1 (de) Bordnetz zur fehlertoleranten und redundanten Versorgung
DE102011055258A1 (de) Steuervorrichtung für ein Kraftfahrzeug
DE102011008795A1 (de) Verfahren und Vorrichtung zum Überwachen einer elektrischen Masseisolierung in einem Antriebsstrangsystem
DE102008000904A1 (de) Verfahren und Vorrichtung zur Steuerung einer elektrischen Maschine eines Hybridantriebs bei erhöhter Verfügbarkeit
EP2720900B1 (de) Verfahren zur sicheren deaktivierung eines hochspannungsnetzes eines kraftfahrzeugs
WO2019053284A1 (de) Fahrzeug mit elektrischer antriebseinrichtung, insbesondere für autonomes fahren, sowie verfahren zum ansteuern von antriebs- und lenkeinrichtungen in einem derartigen fahrzeug
DE102012209144A1 (de) Verfahren zur Überführung eines elektrischen Antriebsystems in einen sicheren Zustand und Anordnung zur Durchführung des Verfahrens
DE102015200121A1 (de) Verfahren zum Überwachen eines Bordnetzes
DE102016221250A1 (de) Verfahren zum Betreiben eines Bordnetzes
DE102008009652A1 (de) Überwachungseinrichtung und Überwachungsverfahren für einen Sensor, sowie Sensor
DE102018207542A1 (de) Verfahren und Vorrichtung für die Steuerung eines sicherheitsrelevanten Vorganges, sowie Fahrzeug
DE102011118172A1 (de) Notlaufbetrieb eines Elektromotors
DE102009055044A1 (de) Verfahren und Vorrichtung zur Unterbindung einer ungewollten Beschleunigung eines Fahrzeuges
DE102012104322A1 (de) Verfahren und Vorrichtung zum Überprüfen von wenigstens zwei Recheneinheiten
DE102016203974A1 (de) Verfahren und Vorrichtung zum Versorgen einer Einrichtung mit elektrischer Energie
DE102010017863A1 (de) Verfahren zur Fehlererkennung in einem Hybridantriebsstrang
DE102022205944A1 (de) Verfahren zum Betreiben einer Robotervorrichtung
DE102015213831A1 (de) Verfahren zum Außer-Betrieb-Setzen einer elektrisch angesteuerten Komponente eines Fahrzeugs in einem Fehlerfall einer die Komponente ansteuernden Recheneinheit
DE102013208700A1 (de) Kraftfahrzeug mit zumindest zwei Vortriebsaktoren und erhöhter Ausfallsicherheit, Betriebsverfahren und Mittel zu dessen Implementierung
DE102016005960A1 (de) Energiespeichersystem eines Kraftfahrzeugs und Betriebsverfahren hierfür

Legal Events

Date Code Title Description
R012 Request for examination validly filed