Titel

Steuereinrichtung für ein Fahrzeug

Die Erfindung betrifft eine Steuereinrichtung für ein Fahrzeug. Die Erfindung be trifft ferner ein Steuersystem für ein Fahrzeug. Die Erfindung betrifft ferner ein Verfahren zum Betreiben eines Steuersystems für ein Fahrzeug. Die Erfindung betrifft ferner ein Computerprogrammprodukt.

Stand der Technik

Bekannte automatisierte Fahrfunktionen erfordern, insbesondere für den Fall, dass der Fahrer die Fahrzeugführung übernehmen soll, eine gewisse Überbrü- ckungs- und Übergabezeit an den Fahrer, um den Fahrer wieder in die Lage zu versetzen, die Fahrsituation zu erfassen und richtige Fahrzeugführungsfunktio nen wieder selbst zu übernehmen. Mögliche vom Fahrer zu übernehmende Fahr zeugführungsfunktionen nach einer Übergabezeit von einer automatisierten Fahr funktion können z.B. Verzögern und Lenken des Fahrzeugs sein. In weiteren möglichen Fällen muss der Fahrer die Längs- und Querbewegungsfunktionen der automatisierten Fahrfunktionen korrigieren, um beispielsweise einen Überholvor gang zu beenden oder das Fahrzeug aus einer Straßenkreuzung, Baustelle, Tunnel, Bahngleisen, usw. zu führen.

DE 102016215564 A1 offenbart ein Verfahren zum Betreiben eines elektri schen Netzes eines Kraftfahrzeugs, bei dem ein Wert eines Parameters betref fend eine aktuelle Situation einer Stromversorgung von elektrischen Komponen ten des elektrischen Netzes ermittelt wird und nur diejenigen elektrischen Kom ponenten des Netzes, die nicht für einen vordefinierten Notbetrieb des Kraftfahr zeugs notwendig sind, in Abhängigkeit von dem ermittelten Wert abgeschaltet werden. DE 102015008005 A1 offenbart ein Verfahren zum Betreiben eines Kraftfahr zeugs, wobei ein erstes elektrisches Bordnetz eine erste Batterie und einen Ge nerator aufweist, ein zweites elektrisches Bordnetz eine zweite Batterie aufweist und die Bordnetze über einen DC/DC-Wandler gekoppelt sind und elektrische Leistung aus der ersten Batterie und aus dem Generator mittels einer Span nungswandlung des DC/DC-Wandlers in das zweite Bordnetz übertragen wird. Das erste Bordnetz soll auch bei Ausfall der ersten Batterie und/oder bei einem Defekt des DC/DC-Wandlers das zweite Bordnetz versorgen können. Vorge schlagen wird hierzu, dass eine Detektionseinrichtung den Ausfall der ersten Bat terie und/oder des DC/DC-Wandlers detektiert und bei detektiertem Ausfall eine Umstelleinrichtung die Bordnetze miteinander kurzschließt und einen Reglersoll wert des Generators auf eine Spannung des zweiten Bordnetz einstellt.

Insbesondere beim automatisierten Fahren ist es wesentlich, die sicherheitsrele vanten Funktionen auch fehlertolerant auszulegen, sodass elektronische Funkti onen auch im Fehlerfall verfügbar sind. Hier hat die Redundanz eine doppelte Funktion, nämlich die Fehlerentdeckung und die Erhöhung der Verfügbarkeit der Funktion. Insbesondere bei Längs- und Querbewegungsfunktionen, wie z.B. die Umsetzung mittels Brems- und Lenksystemen ist dies während der Fahrt ein be sonderes Risiko, weil (bei einem Ausfall relevanter Funktionen und Komponen ten) das Fahrzeug plötzlich nicht mehr brems-, lenkbar, usw. wird. Die Kommuni kation sowie die Spannungsversorgung sollte weitgehend unterbrechungsfrei umschaltbar sein, sodass die Fahrzeugfunktionen nicht in ihrer Performance schlagartig reduziert sind oder zu Schwingungen im Bremsen, Lenkung und An triebsfunktionen führen.

Offenbarung der Erfindung

Es ist eine Aufgabe der vorliegenden Erfindung, ein verbessertes Steuersystem für ein Fahrzeug bereitzustellen.

Die Aufgabe wird gemäß einem ersten Aspekt gelöst mit einem Steuergerät für ein Fahrzeug, aufweisend:

Schnittstellen zum Anschließen an zwei unabhängig redundante Kom munikationsnetze, wobei durch einen Ausfall eines ersten Kommunikati- onsnetzes Nachrichten zu der und von der Steuereinrichtung über ein zweites Kommunikationsnetz, und umgekehrt, übermittelbar sind; und Schnittstellen zum elektrischen Versorgen der Steuereinrichtung über zwei unabhängig redundante Niedervoltnetze, wobei bei einem Fehler in einem ersten Niedervoltnetz eine elektrische Versorgung der Steuerein richtung über ein zweites Niedervoltnetz, und umgekehrt, durchführbar ist.

Dadurch wird eine Steuereinrichtung geschaffen, die im Fehlerfall eines der Net ze immer noch mit elektrischer Energie versorgbar ist und Nachrichten übermit teln kann. Mit einer derart unabhängig redundanten Steuereinrichtung ist eine Überführung des Fahrzeugs bei einem Fehlerfall in einen sicheren Zustand un terstützt.

Gemäß einem zweiten Aspekt wird die Aufgabe gelöst mit einem Steuersystem für ein Fahrzeug, aufweisend: zwei unabhängig redundante Hochvoltnetze zum Bereitstellen von elektrischer Energie; zwei unabhängig redundante Niedervoltnetze zum Bereitstellen von elektrischer Steuerspannung; und zwei unabhängig redundante Kommunikationsnetze zum Übermitteln von Nachrichten zwischen an die Kommunikationsnetze angeschlossenen Steuereinrichtungen; und eine Degradationseinrichtung zum Diagnostizieren von Fehlern in den Netzen und zum selektiven Degradieren der an die Netze angeschlosse nen Steuereinrichtungen, wobei das Steuersystem eine hinreichende Funktionalität für einen Fährbetrieb des Fahrzeugs bietet.

Die Aufgabe wird gemäß einem dritten Aspekt gelöst mit einem Verfahren zum Betreiben eines Fahrzeugs, aufweisend die Schritte:

Diagnostizieren von jeweils unabhängig redundant ausgebildeten und funktional miteinander verbundenen elektrischen Hochvolt-, Niedervolt- und elektrischen Kommunikationsnetzen eines Steuersystems des Fahr zeugs; Übermitteln des Diagnoseergebnisses an unabhängig redundante Batte riemanagementeinrichtungen des Steuersystems, wobei ein Fehler in ei ner ersten Batteriemanagementeinrichtung eine Funktionalität einer zwei ten Batteriemanagementeinrichtung, und umgekehrt, nicht beeinträchtigt; und

Selektives Degradieren von an die elektrischen Hochvolt-, elektrischen Steuerspannungs- und elektrischen Kommunikationsnetze angeschlos senen Steuereinrichtungen in Abhängigkeit vom Diagnoseergebnis der art, dass an die elektrischen Energieversorgungs-, elektrischen Steuer spannungs- und elektrischen Kommunikationsnetze angeschlossene Steuereinrichtungen noch hinreichend funktional für einen sicheren Fährbetrieb des Fahrzeugs sind.

Im Ergebnis wird mit dem vorgeschlagenen Verfahren ein unabhängiges vollre dundantes Energie-, Versorgungsspannungs- und Kommunikationskonzept für ein Fahrzeug bereitgestellt, welches einen Fehlerfall partiell evakuieren und für einen sicheren Fährbetrieb des Fahrzeugs so viel Funktionalität wie erforderlich bereitstellen kann. Im Ergebnis wird mit dem vorgeschlagenen Verfahren eine sogenannte „weiche Degradation“ von Funktionalitäten bereitgestellt, sodass es keine abrupten Funktionseinflüsse bzw. Funktionseinbußen gibt. Das vorge schlagene Verfahren ist für alle Fahrzeugtypen geeignet, ist insbesondere jedoch für rein batterieelektrische Fahrzeugen nützlich, weil diese Fahrzeuge kein an ei nen Verbrennungsmotor gekoppeltes elektrisches Energieerzeugungssystem aufweisen und damit bei einem vollständigen Ausfall eines Hochvoltnetzes be sonders beeinträchtigt sind.

Vorteilhaft wird mit dem vorgeschlagenen Verfahren eine Mindestfunktionalität für sicherheitsrelevante Systeme des Fahrzeugs (hinreichende Funktionalität) auf rechterhalten. Im Ergebnis können dadurch elektrische Versorgungsspannungen für die Steuergeräte und für die Aktuatoren sowie elektrische Energie zum An treiben, Lenken oder Abbremsen des Fahrzeugs permanent bereitgestellt wer den.

Die Aufgabe gelöst mit einem vierten Aspekt mit einem Computerprogramm. Vorteilhafte Weiterbildungen des Verfahrens und des Steuersystems sind Ge genstand von abhängigen Ansprüchen.

Eine vorteilhafte Weiterbildung des Steuersystems sieht vor, dass die Degrada tionseinrichtung ein Diagnosemodul zum Durchführen der Diagnose und eine Batteriemanagementeinrichtung zum selektiven Degradieren der Steuereinrich tungen umfasst. Auf diese Weise wird gewissermaßen eine zentrale Intelligenz für das Steuersystem realisiert, welches eine Diagnose durchführt und die spre chenden Degradationen initiiert und durchführt.

Eine weitere vorteilhafte Weiterbildung des Steuersystems sieht vor, dass mittels des Diagnosemoduls eine präventive und/oder tatsächliche Diagnose von an die Netze angeschlossenen Leitungen und ein selektives Abschalten von an die Net ze angeschlossenen Steuereinrichtungen initiierbar und durchführbar ist. Unter einer „tatsächlichen Diagnose“ versteht man in diesem Zusammenhang eine Di agnose aufgrund von ermittelten Messwerten und Nachrichten-Informationen. Je nach gewählter Sicherheitsstrategie kann dadurch hochdynamisch und -flexibel eine Degradation von Einrichtungen und Netzen vorgenommen werden.

Eine weitere vorteilhafte Weiterbildung des Steuersystems sieht vor, dass in ei nem Fehlerfall eines Hochvoltnetzes ein DC/DC-Wandler abschaltbar und ein Akkumulator zur elektrischen Versorgung eines der Niedervoltnetze zuschaltbar ist. Besonders hilfreich ist dies, falls nur DC/DC-Wandler für ein Erzeugen der 12V-Steuerspannung zum elektrischen Versorgen von elektronischen Steuerge räten vorgesehen ist.

Eine weitere vorteilhafte Weiterbildung des Steuersystems sieht vor, dass das Diagnosemodul und die Batteriemanagementeinrichtungen gegenseitig über wachbar ausgebildet sind. Dadurch wird eine Überwachung „über Kreuz“ reali siert, was eine Sicherheitsstufe des Steuersystems vorteilhaft erhöht.

Eine weitere vorteilhafte Weiterbildung des Steuersystems sieht vor, dass mittels der Batteriemanagementeinrichtung ein Zustand der Netze ermittelbar ist, wobei entsprechende Daten über Kommunikationsschnittstellen übermittelbar sind. Vor- teilhaft ist dadurch eine Art „zentrale Intelligenz“ des Steuersystems realisiert, welches einen schnellen Informationsaustausch unterstützt.

Eine weitere vorteilhafte Weiterbildung des Verfahrens sieht vor, dass ein selek tives Abschalten von elektrischen Verbrauchern verzögert oder mit vorgegebe nen Degradationssteuersignalen durchgeführt wird. Dadurch wird ein zeitlich ver zögertes Degradieren zum Durchführen einer „weichen Degradation“ realisiert.

Eine weitere vorteilhafte Weiterbildung des Verfahrens sieht vor, dass wenigs tens eine der Steuereinrichtungen: Bremssteuergerät, Lenkungssteuergerät, Steuergerät für Fahrerassistenzsysteme, Steuergerät für Motormanagement für einen Fährbetrieb des Fahrzeugs betriebsbereit gehalten wird. Dafür werden we nigstens zwei, noch besser mehrere, am besten alle Steuergeräte zu einem Sys tem verschaltet, mit denen grundlegende Funktionen des Fahrzeugs erhalten werden. Beispielsweise führt ein Ausfall einer elektrischen Steuerspannung eines Niedervoltnetzes nicht zu einem Ausfall von daran angeschlossenen elektroni schen Steuergeräten.

Eine weitere vorteilhafte Weiterbildung des Verfahrens sieht vor, dass ein auf grund einer Diagnose durchgeführtes selektives Abschalten von an die Netze angeschlossenen elektrischen Verbrauchern zu weichen Umschaltungen führt, bei denen das Fahrzeug keine abrupten Bewegungen ausführt. Vorteilhaft kön nen dadurch ein Fahrkomfort und ein Sicherheitsniveau auch im Störungsfall des Fahrzeugs hoch gehalten werden.

Eine weitere vorteilhafte Weiterbildung des Steuersystems sieht vor, dass eines der Hochvoltnetze über einen Koppelschalter mit dem anderen Hochvoltnetz ver bunden werden kann. Vorteilhaft kann dies für ein gegenseitiges Laden der Hochvoltbatterien, Reihenschaltung der Hochvoltbatterien, Energieausgleich der Hochvoltbatterien, usw. genutzt werden.

Die Erfindung wird im Folgenden mit weiteren Merkmalen und Vorteilen anhand von Figuren detailliert beschrieben. Die Figuren sind vor allem dazu gedacht, die erfindungswesentlichen Prinzipien zu verdeutlichen. Offenbarte Verfahrensmerkmale ergeben sich analog aus entsprechenden offen barten Vorrichtungsmerkmalen und umgekehrt. Dies bedeutet insbesondere, dass sich Merkmale, technische Vorteile und Ausführungen betreffend das Steu ersystem in analoger Weise aus entsprechenden Ausführungen, Merkmalen und Vorteilen betreffend das Verfahren zum Betreiben eines Steuersystems für ein Fahrzeug ergeben und umgekehrt.

In den Figuren zeigt:

Fig. 1 ein Blockschaltbild einer Ausführungsform eines vorgeschlage nen Steuersystems für ein Fahrzeug;

Fig. 2 ein prinzipielles Blockschaltbild einer vorgeschlagenen Steuer einrichtung; und

Fig. 3 eine prinzipielle Darstellung eines vorgeschlagenen Verfahrens zum Betreiben eines Steuersystems für ein Fahrzeug.

Beschreibung von Ausführungsformen

Im Folgenden wird der Begriff „automatisiertes Fahrzeug“ synonym in den Be deutungen vollautomatisiertes Fahrzeug, teilautomatisiertes Fahrzeug, vollauto nomes Fahrzeug und teilautonomes Fahrzeug verwendet (synonym: SAE Level 2/3, 4/5).

Die meisten Fehler, die eine sichere Fahrzeugführung eines automatisierten Fahrzeugs gefährden, basieren unter anderem auf Kaskaden, in denen z.B. ein Fehler in einer Hochvoltbatterie zu Abschaltungen führt, die über einen DC/DC- Wandler eine 12V-Batterie betreffen kann. Wenn die 12 V-Spannungsversorgung oder eine Kommunikation zu einer Steuerungselektronik eines Elektromotors (In verter) unterbrochen ist, kann die Steuerungselektronik Batterieschütze öffnen und Energie des Hochvoltnetzes über Wicklungen des Elektromotors abbauen. Durch diverse vorgegebene Hochvolt-Regularien müssen folgende Abschalt kaskaden implementiert werden, die zu einer Hochvolt-Abschaltung führen: - Ausfall Klemme 15, Sicherungsfall, Hochvolt-Enable-Leitung, Drahtbruch - Ausfall Kommunikation zum Inverter, Batteriemanagementsysteme, Steuergerät für Aufnahme eines Fahrerwunsches (VCU), usw.

- HV-lnterlock (Sicherungsfunktion zum Schutz vor Hochvolt-Beeinflussung)

- Inverter-Fehler, Hochvoltbatteriefehler, Fehler anderer Verbraucher (z.B. Küh ler/Lüfter, usw.).

- kritische EMV-Einflüsse

- Fehlerhafte Zustände (wie z.B. fehlerhafte Crash-Detection)

Im Wesentlichen können alle genannten Fehler, bevor sie zum aktiven Abschal ten führen, zu massiven Pulsationen im Hochvolt- und Niedervoltnetz des Fahr zeugs führen, die allgemein durch die Trägheit der Abschaltelemente (z.B. Siche rung, Schwellen in der Software, usw.) toleriert werden. Die Pulsationen belasten die 12V-Batterie in unerwünschter weise und können deren Lebensdauer massiv reduzieren. Viele der 12V-Verbraucher, wie zum Beispiel Kühlerlüftermotor, EPS- Motor, ESP-Motor bzw. Aktuator, usw. haben auch das Potential, in bestimmten Situationen elektrische Energie in das Bordnetz zu speisen, was die Pulsationen im Bordnetz nochmals verstärken kann. Weiterhin kann das Fahrzeug durch Schwingungen im Antriebsantriebsstrang destabilisieren und/oder der Fahrer durch das Verhalten der Pedale oder des Lenkrads massiv irritiert werden.

Da solche Fehler in allen Verbrauchern und in den dazwischengeschalteten Lei tungen auftreten können, wird eine selektive Abschaltung von Elementen bzw. Einrichtungen eines Steuersystems für ein Fahrzeug vorgeschlagen. Dabei wird eine Störungsursache erkannt bzw. präventiv diagnostiziert und als Konsequenz eine selektive Abschaltung von Elementen bzw. Einrichtungen des Steuersys tems derart durchgeführt, dass eine grundlegende Fahrfunktion des Fahrzeugs immer noch bereitgestellt ist.

Erreicht wird dies dadurch, dass eine von einem Diagnosemodul diagnostizierte Störungsinformation einem Batteriemanagementsystem übermittelt wird, welches in Kombination mit dem Diagnosemodul die betroffenen elektrischen Kreise ab schaltet und eine Energieversorgung der Niedervoltnetze auf verfügbare DC/DC- Energiequellen oder andere elektrische Energiequellen umschaltet. Erreicht wird dies dadurch, dass das Diagnosemodul als eine selektive Ab- bzw. Umschaltein richtung fungiert.

Fig. 1 zeigt eine elektrisch-elektronische Architektur (E/E-Architektur) eines vor geschlagenen Steuersystems 100 für ein Fahrzeug, das eine vorgeschlagene Funktionalität bereitstellen kann. Erkennbar sind zwei unabhängig redundante Hochvoltbatterien 1a, 1b (mit z.B. 400V Gleichspannung), die jeweils ein Hoch voltnetz HN1, HN2 speisen und über jeweils über eine zugeordnete Batteriema nagementeinrichtung 2a, 2b an das Hochvoltnetz HN1, HN2 angeschaltet bzw. abgetrennt werden. Ferner kann mittels der Batteriemanagementeinrichtungen 2a, 2b ein Schalter S zum definierten Schalten (z.B. Laden, Ausgleichen von La dungsenergie, in Serie schalten, usw.) der Hochvoltbatterien 1a, 1b angesteuert werden. Über jeweils eine Leistungselektronik 11a, 11b wird jeweils ein Elektro motor M1, M2 der Hochvoltnetze HN1, HN2 angesteuert.

Ferner erkennt man im Steuersystem 100 ein erstes Niedervoltnetz NV1 und ein zweites Niedervoltnetz NV2, die jeweils von einem DC/DC-Wandler 3a, 3b mit elektrischer 12V-Energie (elektrische Steuerspannung) gespeist sind. Vorteilhaft kann einem der Niedervoltnetze NV1 im Fehlerfall ein 12V-Akkumulator4 zuge schaltet werden, was zum Beispiel dann besonders sinnvoll ist, wenn aufgrund eines Ausfalls der Hochvoltbatterien 1a, 1b in weiterer Folge auch die DC/DC- Wandler 3a, 3b keine 12V-Versorgungsspannung mehr für die Niedervoltnetze NN1, NN2 bereitstellen. Ferner kann an das Niedervoltnetz NN2 statt des DC/DC-Wandlers 3b auch eine Ladeeinrichtung 12 zugeschaltet werden. Mittels der Ladeeinrichtung 12 kann der 12-Akkumulator4 geladen werden.

Vorgesehen sind im Steuersystem 100 ferner ein erstes Kommunikationsnetz KN1 und ein zweites Kommunikationsnetz KN2, die beispielsweise als ein CAN- Bus, Ethernet, usw. ausgebildet sein können. An die Kommunikationsnetze KN1, KN2 sind zentrale Kommunikationsschnittstellen 9a, 9b (Gateways) und ein Bremssteuergerät 8 (z.B. integrated power brake, IPB) zur lokalen Regelung ei nes drahtgesteuerten Bremsens bzw. Verzögerns des Fahrzeugs angeschlos sen. Über die genannten Kommunikationsnetze KN1, KN1 werden Nachrichten zur Ansteuerung von elektronischen Steuergeräten des Steuersystems 100 übermittelt. Dabei können als elektronische Steuergeräte ein Lenkungssteuerge- rät 5, ein Steuergerät zur Aufnahme eines Fahrwunsches 6, ein Steuergerät zum automatisierten Fahren 7 und ein Bremssteuergerät 8 vorgesehen sein. Denkbar sind ferner noch weitere, nicht in Fig. 1 dargestellte elektronische Steuergeräte. Eine sogenannte „Degradierbarkeit“ von Netzen und Verbrauchern des Steuer system 100 wird insbesondere durch ein Diagnosemodul 10 gesteuert, welches in Kooperation mit den Batteriemanagementsystemen 2a, 2b eine präventive Di agnose (z.B. Ermittlung von Widerstandsänderungen aufgrund von Leitungs bruch, Alterungseffekte, Vibrationen, Temperatureffekte, kurzfristige kritische elektrische Spannungsbedürfnisse, usw.) aller Leitungen aller Netze, HN1, HN2, NN1, NN2, KN1, KN2 vornimmt und dadurch ein selektives Schalten der an das Steuersystem 100 angeschlossenen Verbraucher und Erzeuger bzw. Steuerein richtungen derart bewirkt, dass grundlegende Fahrfunktionen (z.B. Lenken, Bremsen, Steuern, Navigieren, usw.) des Fahrzeugs auch nach Vorliegen des Defekts immer noch bereitgestellt sind.

Mit dem vorgeschlagenen Steuersystem 100 für ein Fahrzeug sind dadurch fol gende, im Folgenden nur exemplarisch genannte vorteilhafte Funktionen mög lich:

Die elektrische Steuerspannung der 12V-Niedervoltnetze NN1, NN2 ist der Kom munikationsebene mit den Kommunikationsnetzen KN1, KN2 und den verfügba ren Redundanzen zugeordnet. Dies bedeutet, dass durch die Existenz der bei den unabhängig redundanten Niedervoltnetze NN1, NN2 und der beiden unab hängig redundanten Kommunikationsnetze KN1, KN2 die elektronischen Steuer geräte jeweils am selben Strang (Niedervolt- und Kommunikationsnetz) hängen, weil andernfalls die Verfügbarkeit bei einem Ausfall der 12V-Versorgung und der Kommunikation reduziert ist. Mit dem vorgeschlagenen Verfahren kann z.B. zwar ein elektronisches Steuergerät vollständig ausfallen, wobei aber die restlichen verfügbaren Steuergeräte die Nominalfunktion (meist mit reduzierter Perfor mance) des ausgefallenen Steuergeräts aufrechterhalten oder eine degradierte Funktion der ausgefallenen Funktion bereitstellen können. Aufgrund der unab hängigen Redundanz ist es auf diese Weise vorteilhaft möglich, dass ein Fehler in einem der Netze NN1, NN2, KN1, KN2, HN1, HN2 eine Funktionalität jeweils eines anderen, dem jeweiligen Netz NNI, NN2, KN1, KN2, HN1, HN2 zugeord neten Netzes NN1, NN2, KN1, KN2, HN1, HN2 nicht beeinträchtigen kann. Wesentliche Systeme des Fahrzeugs zur Sicherstellung der Fahrt bis zu einem sicheren Stillstand oder Zustand (Fail-state oder Fail-operational-Zustand), wie Bremse und Lenkung sind jeweils an die beiden Kommunikationsnetze KN1, KN2 und an die beiden 12V-Niedervoltnetze NN1, NN2 angeschlossen, die jeweils galvanisch oder „hinreichend sicher“ voneinander getrennt sind.

Alle Hochvolt-Verbraucher sind vorzugsweise an die beiden Hochvoltnetze HN1, HN2 angeschlossen, damit Hochvolt-Abschaltungen sich nur auf einen Strang (mit Hochvolt-, Niedervolt- und Kommunikationsnetz) auswirken und ein Hoch- volt-Verbraucher somit auch bei einer vollständigen Abschaltung eines Hochvolt- Netzes noch funktional ist. Der jeweilige Strang sollte vorzugsweise einmal dem ersten und einmal dem zweiten Niedervolt- und Kommunikationsnetz zugeordnet sein, damit Fehler im Hochvoltnetz sowie Hochvolt-betriebliche Abschaltungen nicht zu Fehlern in anderen Netzen führen können.

Das Diagnosemodul 10 ist insbesondere für präventive Diagnosen der Leitungen sämtlicher Netze mit Erfassung und/oder Simulation von elektrischen Leitungs widerständen und von elektrischen Strömen vorgesehen und kann den an die Netze angeschlossenen Verbrauchern entsprechende Informationen zur Verfü gung stellen, damit definierte Verbraucher vor Auftreten eines Fehlers aus dem zugeordneten Netz präventiv abgeschaltet bzw. evakuiert werden können.

Zu den degradierbaren Verbrauchern zählt beispielsweise ein Steuergerät 7 für Fahrerassistenzsysteme, welches vorzugsweise an ein anderes Niedervoltnetz NN1, NN2 als ein Steuergerät 6 für ein Motor- und Thermomanagement ange schlossen ist. Vorteilhaft ist dadurch unterstützt, dass ein Ausfall bzw. Abschalten des Steuergeräts 7 für Fahrerassistenzsysteme wenigstens teilweise vom Steu ergerät 6 für ein Motor- und Thermomanagement kompensiert werden kann und umgekehrt.

Man erkennt somit, dass Steuergeräte, Energiesysteme, Antriebe und Netze im vorgeschlagenen Steuersystem 100 derart angeordnet und funktional miteinan der verbunden sind, dass in einem Fehlerfall des Fahrzeugs (z.B. aufgrund eines Unfalls) niemals sämtliche Steuergeräte, Energiesysteme, Antriebe und Netze gleichzeitig beschädigt werden bzw. ausfallen können. Die Leitungsdiagnose durch das Diagnosemodul 10 sollte somit nicht nur die Di agnose der Hochvoltnetze HV1, HV2 realisieren, sondern zusätzlich auch noch eine Diagnose der Niedervoltnetze NV1, NV2 und dies zu einer möglichen De gradation konsolidieren. Mit dem Diagnosemodul 10 kann vorausschauend ein Um- und Abschalten sämtlicher an die Netze angeschlossenen Einrichtungen vorgenommen werden (engl predictive maintenance).

Die Diagnoseinformationen betreffend das Niedervolt- und Hochvoltnetz werden möglichst in Echtzeit den Batteriemanagementeinrichtungen 2a, 2b zur Verfü gung gestellt, damit diese Diagnoseinformationen zusammen mit Batteriezustän den der Hochvoltbatterien 1a, 1b erfasst werden. Auf diese Weise können die Batteriemanagementeinrichtungen 2a, 2b die entsprechenden Hochvoltnetze HN1, HN2 selektiv mittels Schütze und/oder Leistungsschalter 12a, 12b zur Ver meidung von Fehlerpropagation trennen oder abschalten. Die Batteriemanage menteinrichtungen 2a, 2b sind Steuergeräte, die über verschiedene festverdrah tete Signale und auch über Bussysteme (z.B. CAN-Bus, usw.) mit anderen Steu ergeräten verbunden sind. Fehler in den Hochvoltnetzen, in den Verbindungen, in der Kommunikation, im Kühlwasser, usw. führen oftmals zu Anforderungen, dass die Batteriemanagementeinrichtung 2a, 2b dadurch Schütze öffnet und da mit Stromkreise auftrennt.

Zusätzlich kann ein sogenannter „Degradationsmanager“ (nicht dargestellt) zum Steuern der vorgeschlagenen selektiven Degradation vorgesehen sein.

Kritische Verbraucher in den Niedervoltnetzen NN1, NN2 können durch das vor geschlagene Monitoringsystem identifiziert und selektiv abgeschaltet werden, so lange dadurch keine Verfügbarkeit einer wesentlichen Fahrzeugführungsfunktion gefährdet ist. Da alle Fahrzeugführungsfunktionen bereits heute redundante 12V- Versorgungen aufweisen, können mittels der Batteriemanagementeinrichtungen 2a, 2b kritische Kreise abgeschaltet werden, wie es für einen Notbetrieb des au tomatisierten Fahrzeugs erforderlich ist.

Ferner können die Batteriemanagementeinrichtungen 2a, 2b so auch kritische Kreise wegschalten, wie es für einen Notbetrieb des Steuersystems 100 notwen dig ist. Mittels der Batteriemanagementeinrichtungen kann die 12V-Versorgung über die DC/DC-Wandler 3a, 3b aufrechterhalten werden, solange die Hochvolt- Batterien 1a, 1b in der Lage sind, die elektrische Energieversorgung auf niedri gem Niveau aufrechtzuerhalten.

Ferner können die Batteriemanagementeinrichtungen 2a, 2b, je nach Ursache der Fehler, auch die selektive Abschaltung der Hochvoltnetze HN1 , HN2 und der Niedervoltnetze NN1 , NN2 initiieren.

Mit dem vorgeschlagenen Steuersystem 100 kann ein Degradieren der Netze und der an die Netze angeschlossenen Einrichtungen derart durchgeführt wer den, dass ein mit dem Steuersystem 100 ausgerüstetes Fahrzeug in einen siche ren Zustand überführbar ist.

Dazu ist vorgesehen, dass den Steuereinrichtungen übermittelte Nachrichten auf Konsistenz und Plausibilität betreffend Funktionalität von Fahrfunktionen des Fahrzeugs geprüft werden.

Fig. 2 zeigt ein prinzipielles Blockschaltbild eines Steuergeräts bzw. einer Steu ereinrichtung, in diesem Fall ein Lenkungssteuergerät 5 des Fahrzeugs. Man er kennt zwei Eingänge 5a, 5b zum Anschließen an die beiden Kommunikations netze KN1, KN2 und zwei Eingänge 5c, 5d zum Anschließen an die Nieder voltnetze NN1, NN2 zum Bereitstellen 12V-Spannungsversorgung. Die Schnitt stellen 5a, 5b bzw. 5c, 5d sind jeweils unabhängig redundant ausgeführt, was bedeutet, dass ein Ausfall eines angeschlossenen Netzes KN1, KN2, NN1 , NN2 eine Funktionsweise des Steuergerätes nicht nachteilig beeinträchtigen kann. Ei ne galvanische Trennung der Eingänge 5a, 5c von den Eingängen 5b, 5d, die ei ne funktionale Unabhängigkeit der genannten Eingänge unterstützt, ist in Fig. 2 graphisch durch Trennlinien angedeutet. Dadurch ist sichergestellt, dass sowohl die übermittelten Nachrichten über die Kommunikationsnetze KN1 , KN2 als auch die elektrische Versorgung über die Niedervoltnetze NN1 , NN2 zu jeder Zeit, d.h. auch im Fehlerfall des Fahrzeugs gewährleistet sind.

Fig. 3 zeigt einen prinzipiellen Ablauf einer Ausführungsform des vorgeschlage nen Verfahrens. In einem Schritt 200 erfolgt ein Diagnostizieren von jeweils unabhängig redun dant ausgebildeten und funktional miteinander verbundenen elektrischen Hoch volt-, Niedervolt- und elektrischen Kommunikationsnetzen HN1, HN2, NN1, NN2, KN1, KN2 eines Steuersystems 100 des Fahrzeugs.

In einem Schritt 210 erfolgt ein Übermitteln des Diagnoseergebnisses an unab hängig redundante Batteriemanagementeinrichtungen 2a, 2b des Steuersystems 100, wobei ein Fehler in einer ersten Batteriemanagementeinrichtung eine Funk tionalität einer zweiten Batteriemanagementeinrichtung, und umgekehrt, nicht beeinträchtigt.

In einem Schritt 220 erfolgt ein selektives Degradieren von Einrichtungen der elektrischen Hochvolt-, elektrischen Steuerspannungs- und elektrischen Kommu nikationsnetze HN1, HN2, NN1, NN2, KN1, KN2 in Abhängigkeit vom Diagno seergebnis derart, dass an die elektrischen Energieversorgungs-, elektrischen Steuerspannungs- und elektrischen Kommunikationsnetze HN1, HN2, NN1,

NN2, KN1, KN2 angeschlossene Einrichtungen noch hinreichend funktional sind.

Vorteilhaft kann das vorgeschlagene Verfahren in Form eines Softwarepro gramms mit geeigneten Programmcodemitteln realisiert werden, die auf dem Di agnosemodul 10 und den Batteriemanagementeinrichtungen 2a, 2b abläuft. Eine einfache Adaptierbarkeit des Verfahrens ist auf diese Weise möglich.

Im Ergebnis kann dadurch ein System aus miteinander verschalteten Steuerge räten realisiert werden, das für eine definierte Funktionalität wenigstens ein Steuergerät, das zugeordnete Informationen bzw. Daten über ein Kommunikati onsnetz bereitstellt und ein zugeordnetes Steuergerät, das die Informationen über das Kommunikationsnetz empfängt und in Aktuation für das Fahrzeug um setzt.

Ein typisches Anwendungsszenario der Erfindung könnte ein automatisiertes Fahrzeug mit Funktionen höher als SAE-Level 2 sein, bei dem während des Fährbetriebs der Fahrer für einen definierten Zeitraum durch ein maschinelles System ersetzt wird. Der Fachmann wird die Merkmale der Erfindung in geeigneter Weise abändern und/oder miteinander kombinieren, ohne vom Kern der Erfindung abzuweichen.