Verfahren zum Überwachen mindestens einer Komponente eines Kraftfahrzeugs

Die Erfindung betrifft ein Verfahren zum Überwachen mindestens einer Komponente in einem Bordnetz eines Kraftfahrzeugs und eine Anordnung zum Durchführen des Verfahrens.

Stand der Technik

Unter einem Bordnetz ist im automotiven Einsatz die Gesamtheit aller elektrischen Komponenten in einem Kraftfahrzeug zu verstehen. Somit sind davon sowohl elektrische Verbraucher als auch Versorgungsquellen, wie bspw. Batterien, umfasst. Man unterscheidet dabei zwischen dem Energiebordnetz und dem Kommunikationsbordnetz, wobei hierin vor allen Dingen auf das Energiebordnetz eingegangen wird, das dafür zuständig ist, die Komponenten des Kraftfahrzeugs mit Energie zu versorgen. Zur Steuerung des Bordnetzes ist üblicherweise ein Mikrocontroller vorgesehen, der neben Steuerungsfunktionen auch Überwachungsfunktionen ausführt.

In einem Kraftfahrzeug ist darauf zu achten, dass elektrische Energie so verfügbar ist, dass das Kraftfahrzeug jederzeit gestartet werden kann und während des Betriebs eine ausreichende Stromversorgung gegeben ist. Aber auch im abgestellten Zustand sollen elektrische Verbraucher noch für einen angemessenen Zeitraum betreibbar sein, ohne dass ein nachfolgender Start beeinträchtigt wird.

Aufgrund der zunehmenden Elektrifizierung von Aggregaten sowie der Einführung von neuen Fahrzeugfunktionen, wie bspw. einem automatischen, hochautomatischen oder autonomen Fahren, steigt die Anforderung an die Zuverlässigkeit der elektrischen Energieversorgung im Kraftfahrzeug. Dabei ist insbesondere zu beachten, dass die Anzahl an leistungselektrischen Systemen stetig anwächst. Wenn eines dieser Systeme ausfällt, kann es dazu kommen, dass die Bordnetzspannung außerhalb des normalen Betriebsbereichs gerät, was zu einer Beeinträchtigung des Komforts und der Sicherheit der Fahrzeuginsassen führen kann.

Ein Energiebordnetz, das hierin auch als Fahrzeugbordnetz bezeichnet wird, hat somit die Aufgabe, die elektrischen Verbraucher im Kraftfahrzeug mit Energie zu versorgen. Fällt die Energieversorgung aufgrund eines Fehlers, bspw. bedingt durch Alterung, im Bordnetz bzw. in einer Bordnetzkomponente in heutigen Fahrzeugen aus, so entfallen wichtige Funktionen, wie bspw. die Servolenkung. Da die Lenkfähigkeit des Fahrzeugs nicht beeinträchtigt, sondern nur schwergängig wird, ist der Ausfall des Bordnetzes in heutigen in Serie befindlichen Fahrzeugen allgemein akzeptiert, da der Fahrer als Rückfallebene zur Verfügung steht.

Aufgrund der zunehmenden Elektrifizierung von Aggregaten sowie der Einführung von neuen Fahrfunktionen resultieren höhere Anforderungen an die Sicherheit und Zuverlässigkeit der elektrischen Energieversorgung im Kraftfahrzeug.

Beispielhafte neue Fahrfunktionen sind das automatisierte sowie das autonome Fahren. Beim automatisierten und autonomen Fahrbetrieb im Kraftfahrzeug steht der Fahrer nicht mehr als sensorische, regelungstechnische, mechanische und energetische Rückfallebene zur Verfügung. Das Fahrzeug muss seine Umwelt selbstständig erkennen, Trajektorien planen, auswählen und durch Ansteuerung der Aktoren umsetzen. Es wird in diesem Zusammenhang auf Figur 1 verwiesen. Durch den Wegfall des Fahrers hat das Fahrzeug, d. h. der Hersteller, die Verantwortung für das Fahrzeugverhalten.

Beim heutigen manuellen Fahren hat der Fahrer hingegen die Aufgabe, seine Umgebung zu erkennen, mögliche Trajektorien zu identifizieren, sich für eine Trajektorie zu entscheiden und diese anschließend durch Ansteuerung der Aktoren umzusetzen. Das Fahrzeug ist beim manuellen Fahren in diesen Prozess nicht involviert. Unter einem hochautomatischen Fahren, das auch als hochautomatisiertes Fahren bezeichnet wird, ist ein Zwischenschritt zwischen einem assistierten Fahren, bei dem der Fahrer durch Assistenzsysteme unterstützt wird, und einem autonomen Fahren, bei dem das Fahrzeug selbsttätig und ohne Einwirkung des Fahrers fährt, zu verstehen. Beim hochautomatischen Fahren verfügt das Fahrzeug über eine eigene Intelligenz, die vorausplant und die Fahraufgabe zumindest in den meisten Fahrsituationen übernehmen könnte.

Bei zukünftigen automatisierten Fahrfunktionen entfällt somit der Fahrer als Rückfallebene, was zur Folge hat, dass das Fahrzeug seine Umwelt selbstständig erkennen, Trajektorien planen, auswählen und durch Ansteuerung der Aktoren umsetzen muss.

Um den Ausfall der beteiligten Komponenten zu verhindern, ist aus Sicht der Produktsicherheit und somit der Zuverlässigkeit und Sicherheit die möglichst vollständige Erkennung der Fehler bzw. Alterung der genannten Komponenten/Einheiten von außerordentlicher Bedeutung.

Um den Ausfall von Komponenten prognostizieren zu können, wurden zuverlässigkeitstechnische Ansätze zur Überwachung von Fahrzeugkomponenten erarbeitet. Dazu werden die Bordnetz- Komponenten während des Betriebs überwacht und deren Schädigung ermittelt.

Die Druckschrift DE 10 2013 203 661 AI beschreibt ein Verfahren zum Betreiben eines Kraftfahrzeugs mit einem elektrischen Bordnetz, das wenigstens einen Halbleiterschalter aufweist, der mit Belastungsereignissen belastet wird. Es werden eine Istbelastung des Halbleiterschalters auf Grundlage einer Feststellung zurückliegender Belastungsereignisse und ein Nennbelastungsanteil ermittelt, wobei die Istbelastung und der Nennbelastungsanteil miteinander verglichen werden.

Bekannte Methoden errechnen aus der gesehenen Belastung die aktuelle Ausfallwahrscheinlichkeit der Komponente. Bei bekannten Verfahren ist jedoch vorgesehen, dass nicht jede Komponente ihre Belastung misst. Es gibt darüber hinaus Ansätze zur Diagnose bestimmter Komponentenfehler, z. B. im Radar. Hierbei erfolgt eine Frühindikation des Gesundheitszustands von Radarsensoren zwecks Vermeidung von Fehlerspeichereinträgen. Dies führt zu einer Erhöhung der Sensorverfügbarkeit durch intelligente Überwachungen.

Es sind weiterhin Verfahren zur prädiktiven Diagnose von Fahrzeugbatterien auf Basis der vergangen Belastung und auf Grundlage von relevanten Systemfunktionen bekannt.

Als Komponenten in dem Kraftfahrzeug werden hierin insbesondere Sensoren, Aktoren und Verarbeitungseinheiten verstanden.

Sensoren sind Messfühler bzw. Messaufnehmer, die bestimmte physikalische oder chemische Eigenschaften ihrer Umgebung qualitativ oder quantitativ als Messgröße erfassen können. Diese Größen werden erfasst und typischerweise in ein weiter verarbeitbares elektrisches Signal gewandelt. Auf diese Weise generierte elektrische Signale werden in Kraftfahrzeugen üblicherweise in Steuergeräten, die Verarbeitungseinheiten darstellen, als Eingangsgrößen eingegeben, um unter Berücksichtigung dieser Größen Abläufe und Komponenten im Kraftfahrzeug steuern und/oder regeln zu können. Die Steuergeräte wiederum steuern hierzu Aktoren im Kraftfahrzeug an.

Fallen die Sensoren, insbesondere zur Umfelderkennung, bzw. die Datenverar- beitungseinheit(en) für die Sensordatenfusion, die Trajektorienplanung und/oder die Trajektorienauswahl bzw. die Aktoren zur Trajektorienumsetzung bzw. Kommunikation zwischen den beteiligten Komponenten aufgrund eines Fehlers bzw. von Alterung aus, kann das Fahrzeug bestenfalls in einer Art Notfallmodus betrieben werden. Im Worst-case kann das Fahrzeug nicht mehr kontrolliert werden.

Um den Ausfall der Sensoren bzw. der Datenverarbeitungseinheit(en) bzw. der Trajektorienplanung/-auswahl zu verhindern, ist aus Sicht der Produktsicherheit die möglichst vollständige Erkennung der Fehler bzw. Alterung der genannten Komponenten/Einheiten von außerordentlicher Bedeutung. Um den Ausfall von Komponenten prognostizieren zu können, wurden zuverlässigkeitstechnische Ansätze zur Überwachung von Fahrzeugkomponenten erarbeitet. Dazu werden z. B. Bordnetz- Komponenten während des Betriebs überwacht und deren Schädigung ermittelt.

Die Druckschrift DE 10 2013 203 661 AI beschreibt ein Verfahren zum Betreiben eines elektrifizierten Kraftfahrzeugs, das über ein Bordnetz verfügt. Bei dem Verfahren wird die tatsächliche Belastung auf einen Halbleiterschalter im Bordnetz erfasst. Auf diese Weise soll ein drohender Ausfall erkannt werden

Aus der Druckschrift DE 10 2015 224 736 AI ist ein Verfahren zum Prüfen der Funktionsfähigkeit einer Sensoreinrichtung bekannt, bei dem das Frequenzverhalten eines Ausgangssignals der Sensoreinrichtung überwacht wird.

Die Druckschrift DE 10 2015 220 823 AI beschreibt ein Verfahren zum Erkennen einer Fehlfunktion eines Sensors eines Kraftfahrzeugs, bei dem eine Fehlererkennungsfunktion verwendet wird, die in Abhängigkeit eines Fahrzeugzustands- signals verändert wird, um die Fehlfunktion mit einer von dem Fahrzeugzustand abhängigen Sensibilität zu erkennen.

Offenbarung der Erfindung

Vor diesem Hintergrund werden ein Verfahren gemäß Anspruch 1 und eine Anordnung nach Anspruch 11 vorgestellt. Es werden weiterhin ein Computerprogramm gemäß Anspruch 12 und ein maschinenlesbares Speichermedium mit den Merkmalen des Anspruchs 13 vorgestellt. Ausführungsformen ergeben sich aus den abhängigen Ansprüchen und aus der Beschreibung.

Das vorgestellte Verfahren bietet die Möglichkeit, an zentraler Stelle im Bordnetz bzw. Energiebordnetz den Ist-Zustand und/oder den zukünftigen Zustand von durch das Energiebordnetz versorgte Komponenten und/oder für die Energieversorgung relevante Bordnetzkomponenten zu bestimmen und damit Maßnahmen einzuleiten, bevor es zu einem Ausfall kommt. Die Ermittlung der beschriebenen Kenngrößen kann auch an anderer Stelle, wie z. B. in einer Cloud oder einem Steuergerät, durchgeführt werden.

Auf Basis der durch das Energiebordnetz versorgte Komponenten und/oder für die Energieversorgung relevante Bordnetzkomponenten können Ist- und/oder zukünftige Gesundheitszustände von Funktionen ermittelt werden und Maßnahmen eingeleitet werden, bevor eine Beeinträchtigung einer Funktion droht.

Der Zeitpunkt bis zum Erreichen eines zukünftigen Zustands wird bspw. durch die Restlebensdauer (Remaining Useful Life, RUL) definiert.

Beispielhafte Maßnahmen sind:

1. auf Fahrzeugebene:

Die Ergebnisse der Analysen werden beispielsweise an ein Steuergerät, das zur Steuerung der Fahrzeugfunktionen eingesetzt wird, übergeben, um folgende Maßnahmen zu ermöglichen:

- Wechsel des Betriebsmodus auf Fahrzeugebene, z. B. Einschränkung von Fahrfunktionen, wie bspw. Reduktion Fahrzeuggeschwindigkeit,

- Sperren bzw. Degradieren von Fahrfunktionen, z. B. Sperren

automatisierte Fahrfunktion; Degradieren automatisierter Fahrfunktion, bspw. Degradierung der maximalen Fahrzeuggeschwindigkeit; Degradierung der maximalen Lenkwinkel,

- Freigabe von Fahrfunktionen sofern das System i.O. ist, z. B. fehlerfreies System; Zustand unterhalb gewissen Grenzwertes,

- Übergang in den sicheren Zustand, z. B. wird das Fahrzeug auf dem Standstreifen abgestellt, - Auswahl eines noch möglichen Safe-Stopp Szenarios, z. B. Manöver zum Abstellen am Fahrbahnrand zu kritisch, Fahrzeug kann nur noch in der Spur ausrollen und so zum Stillstand gebracht werden,

- Aussagen zur Funktionsverfügbarkeit. 2. auf Systemebene:

Die Ergebnisse der Analysen werden beispielsweise an ein Steuergerät, das zur Steuerung der Energieversorgung / der angeschlossenen Komponenten eingesetzt wird, übergeben, um folgende Maßnahmen zu ermöglichen:

- Präventiver Tausch der fehlerhaften bzw. gealterten Komponente(n),

- PHM-Maßnahmen (Predictive Health Management), wie z. B. präventiver Wechsel der Betriebsstrategie bzw. Betriebsmodus auf Bordnetzebene, um Alterung der Komponenten zu regeln,

- Ermittlung des Gesundheitszustandes einer Funktion,

- durch Informationen über die an einer Funktion beteiligten Komponenten und die Informationen über deren Ist-Zustände lassen sich Aussagen über den Ist- Gesundheitszustand einer Funktion ableiten, z. B. Ist-Zustand der Funktion„Umfelderkennung" auf Basis der Belastung, welche die zugehörige Sensorik bisher gesehen hat,

- durch Informationen über die an einer Funktion beteiligten Komponenten und die Informationen über deren zukünftige Zustände lassen sich Aussagen über den zukünftigen Gesundheitszustand einer Funktion ableiten, wie bspw. zukünftiger Zustand der Funktion„Umfelderkennung" durch Extrapolation der Belastung, welche die zugehörige Sensorik bisher gesehen hat

Maßnahmen auf Funktionsebene sind: Die Ergebnisse der Analysen werden beispielsweise an ein Steuergerät, das zur Steuerung der jeweiligen Funktion eingesetzt wird, übergeben, um folgende Maßnahmen zu ermöglichen: Auf Basis der Daten der Komponenten auf den Zustand (SOF) von Funktionenen schließen.

Die analysierten Daten können bspw. zur Optimierung von Komponenten, z. B. in Form von Auslegungszyklen und/oder Verbesserung von Komponenten- und/oder System- und/oder Funktionsmodellen zu optimieren. Beispielhafte Verbesserungen von Komponentenmodellen können z.B. durch verbesserte Belastbarkeitsmodelle oder verbesserte Parametrierung physikalischer Modell erreicht werden. Das vorgestellte Verfahren bestimmt den Ist-Zustand und prädiziert den Ausfall von an einem elektronischen Lastverteiler angeschlossene Komponenten auf Basis ihrer vergangenen Nutzung und ihrer Einsatzbedingungen und der relevanten Systemfunktionen um rechtzeitig Gegenmaßnahmen zu ergreifen wodurch die Funktionsverfügbarkeit und die Sicherheit erhöht wird.

Das vorgestellte Verfahren hat, zumindest in einigen der Ausgetaltungen, eine Reihe von Vorteilen:

- Erhöhung der Funktionsverfügbarkeit, z. B. Start Stopp und/oder automatisierte Fahrfunktionen,

- Wartungsunterstützung, daraud folgt eine Maximierung der Wartungsintervalle ohne zusätzliche Ausfälle zu erzeugen, d. h. eine Maximierung der Fahrzeugverfügbarkeit für Flottenbetreiber,

- Kosten red uktion durch das Vermeiden von Liegenbleibern, bspw. durch Bergungskosten usw.,

- Sicherheitserhöhung durch das rechtzeitige Sperren von nicht verfügbaren Funktionen, - Sicherheitserhöhung durch das Vermeiden von Liegenbeleibern in unübersichtlichen Situationen,

- Plausibilisierung von gemessenen Strömen, Spannungen und Temperaturen durch Abgleich der Messungen,

- Berechnung der Belastung und des RU L von angeschlossenen Komponenten, die diese Funktion nicht haben, - Plausibilisierung des Ist-Zustands durch Modellabgleich,

- Zuverlässigkeitserhöhung durch adaptierte Fahrstrategien: Fahrsituationen, die im Betrieb zu einem starken Alterungsverhalten von Komponenten führen, werden falls aus Systemsicht notwendig/möglich vermieden.

Das beschriebene Verfahren kann gemäß einem ergänzenden oder alternativen Aspekt somit zum Überwachen einer Komponente in einem Bordnetz eines Kraftfahrzeugs eingesetzt werden, bei dem unter Berücksichtigung der vergangenen Nutzung der Komponente und/oder unter Berücksichtigung von Randbedingun- gen, wie bspw. dem Wegfallen von relevanten Systembedingungen, der Istzustand der Komponente bestimmt wird.

Das vorgestellte Verfahren dient hierbei zum Überwachen mindestens einer Komponente eines Kraftfahrzeugs und dabei in Ausgestaltung zur prädiktiven Di- agnose in einem bspw. zentralen Diagnosemodul eines Kraftfahrzeugs. Auf diese

Weise kann der Ausfall der Komponente, bspw. einer Fahrzeugbatterie, insbesondere unter Berücksichtigung von Randbedingungen, der vergangenen Nutzung der Batterie und der Komponenten und dem Wegfallen von Systemfunktionen vorhergesagt werden.

Die Bestimmung des Istzustands einer zustandsbeschreibenden Komponentengröße kann über ein Belastungs-Belastbarkeitsmodell, ein physikalisches Modell oder ein auf Maschinenlernen basiertes Modell erfolgen. Die Bestimmung des zukünftigen Verlaufs von zustandsbeschreibenden Komponentengrößen kann über ein Belastungs-Belastbarkeitsmodell, ein physikalisches Modell oder ein auf Maschinenlernen basiertes Modell erfolgen.

Weiterhin kann die Ausfallvorhersage über den Vergleich der vorhergesagten bzw. prädizierten zustandsbeschreibenden Komponentengröße mit vorher bestimmten Grenzwerten erfolgen.

Die Berechnung der Ausfallvorhersage kann in Form einer mittleren zu erwartenden Restlebensdauer durchgeführt werden. Als Maßnahme der bestimmten Restlebensdauer können die Wartungsintervalle variabel gesteuert werden, was auch als Predictive Maintenance bezeichnet wird, und/oder die zukünftige Belastung der Komponenten geregelt werden, was als Predictive Health Management bezeichnet wird, um die Restlebensdauern der Komponenten zu erhöhen.

Das vorgestellte Verfahren bietet somit die Möglichkeit, die Restlebensdauer (Remaining Useful Life, RUL) von relevanten Bordnetzkomponenten zu bestimmen und damit präventiv diese zu tauschen bzw. Systemmaßnahmen zu treffen, bevor es zu einem Ausfall des Systems kommt.

Das vorgestellte Verfahren prädiziert gemäß dem vorgestellten Aspekt den Ausfall von an einem elektronischen Lastverteiler angeschlossene Bordnetzkomponenten auf Basis ihrer vergangenen Nutzung und der relevanten Systemfunktionen, um rechtzeitig Gegenmaßnahmen zu ergreifen, wodurch die Funktionsverfügbarkeit und die Sicherheit erhöht wird.

Der vorstehend beschriebene Aspekt des vorgestellten Verfahrens hat, zumindest in einigen der Ausführungen, eine Reihe von Vorteilen:

- Erhöhung der Funktionsverfügbarkeit, z. B. Start Stopp und/oder automatisierte Fahrfunktionen,

- Wartungsunterstützung, daraus folgt eine Maximierung der Wartungsintervalle ohne zusätzliche Ausfälle zu erzeugen und damit eine Maximierung der Fahrzeugverfügbarkeit für Flottenbetreiber, - Kostenreduktion durch das Vermeiden von Liegenbleibern, bspw. durch Bergungskosten usw.,

- Sicherheitserhöhung durch das Vermeiden von Liegenbeleibern in unübersichtlichen Situationen,

- Plausibilisierung von gemessenen Strömen, Spannungen und Temperaturen durch Abgleich der Messungen,

- Berechnung der Belastung und des Remaining Useful Life von angeschlossenen Komponenten, die diese Funktion nicht haben,

- Plausibilisierung des Istzustands durch Modellabgleich.

Die vorgestellte Anordnung ist zur Durchführung eines Verfahrens der hierin beschriebenen Art eingerichtet. Diese Anordnung kann in Software und /oder Hardware implementiert sein. Zudem kann die Anordnung oder Teile dieser in einem Steuergerät eines Kraftfahrzeugs abgelegt sein oder auch als Steuergerät ausgebildet sein.

Das vorgestellte Verfahren ermöglicht folglich die Überwachung mindestens einer Komponente, bspw. eines Sensors, in Ausgestaltung einer Anzahl von Komponenten, bspw. einer Anzahl von Sensoren, in einem Kraftfahrzeug, wobei die Belastung der mindestens einen Komponente ermittelt und auf dieser Grundlage deren Zustand, insbesondere deren aktueller und/oder zukünftiger Zustand, bestimmt wird.

Es wurde erkannt, dass es bislang keine Zusammenführung von vorliegenden Informationen auf Komponentenebene gab, um diese auf übergeordneter Ebene weiterzuverarbeiten. Hier setzt das vorgestellte Verfahren in Ausgestaltung an.

Dabei werden Ausfälle aufgrund von Fehlern bzw. Alterung der Umgebungserkennung, der Datenverarbeitung, der Trajektorienplanung, der Trajektorienaus- wahl und der Ansteuerung der Aktorik betrachtet. Hierfür wurde ein Konzept ent- wickelt, das Fehler der beschriebenen Einheiten erkennen und deren Alterungseffekte prognostizieren kann. Fallen die Elemente Umgebungserkennung bzw. Datenverarbeitung, Trajektorienplanung/-auswahl der Wirkkette aus, kennt das Fahrzeug seine Umgebung nicht mehr bzw. kann den optimalen Weg nicht erkennen, berechnen und/oder folgen. Demzufolge sind an die beschriebenen Funktionen aus Sicht der Produktsicherheit hohe Anforderungen gestellt, da deren Ausfall zu kritischen Fahrzeugzuständen führen kann. Als Resultat sollte die Fahrzeugfunktion des automatisierten bzw. autonomen Fahrens dem Nutzer nur dann zur Verfügung stehen, wenn diese Fahrzeugfunktionen jetzt und in naher Zukunft zur Verfügung stehen.

Es wird berücksichtigt, dass Sensoren und Halbleiter durch verschiedene Effekte altern und somit ausfallen können. So führen passive und aktive Temperaturwechsel zu unterschiedlichen Ausdehnungskoeffizienten von Lot, Halbleiterbauelementen und Klebeverbindungen. Dadurch bilden sich zunehmend Risse. Dies trifft insbesondere auf Bauelemente mit großer Rechnerleistung, wie z. B. Mikro- controller, FPGB, Mikroprozessor usw., zu, die sich bedingt durch eine hohe Verlustleistung stark erwärmen. Zudem führen hohe Temperaturen zu einer Alterung bzw. einem Austrocknen von Elektrotrolytkondensatoren und zu einer Veränderung im Klebstoff. Dies bewirkt ein Verspröden und daher eine mangelnde Fixierung, die einen schlechten Wärmeübergang verursacht. Dadurch steigt die Erwärmung weiter an.

Temperaturspitzen führen zu Veränderungen im Halbleiter selbst, angefangen von sogenannten "Bitkippern" bis hin zu Rissen innerhalb der Struktur oder an pn-Übergängen.

Außerdem können Sensoren mit mechanischen Elementen, z. B. bewegliche Spiegel, Lidar, Fokussiereinrichtungen, Kamera, durch übermäßigen Verschleiß an diesen mechanischen Teilen ausfallen. Auch in einer Kamera und bei einem Radar kommt es über die Lebensdauer zu Funktionsdegradierungen durch Linseneintrübung oder Alterung.

Mit der vorgestellten Anordnung und dem beschriebenen Verfahren ist es nunmehr möglich, zumindest in einigen der Ausführungen, die Belastung und die Be- lastbarkeit der Komponenten, die zur Erfüllung der Fahrzeugfunktionen Umgebungserkennung, Datenverarbeitung, Trajektorienplanung, Trajektorienauswahl und Ansteuerung der Aktoren, nötig sind, zu ermitteln und daraus auf deren aktuellen und zukünftigen Zustand zu schließen. Außerdem besteht die Möglichkeit, den aktuellen und den zukünftigen Zustand, z. B. den Zustand der Funktion "Umgebungserkennung", der zur Funktionserfüllung nötigen Komponenten funktionsabhängig als System zu analysieren. Der betrachteten Fahrzeugfunktion kann eine Zuverlässigkeit zugewiesen und für die nahe Zukunft prognostiziert werden, ggf. unter Berücksichtigung der Ausfallrate des Fahrzeugbordnetzes.

Hierzu kann ein übergeordnetes Steuergerät verwendet werden, das als Module ein Diagnosemodul und ein Prognosemodul umfassen kann. Mit dem Diagnosemodul kann für jede Komponente als eine mögliche Zustandsanalyse eine Diagnose eines Ist-Zustands durchgeführt werden. Außerdem kann auch für übergeordnete Systeme, üblicherweise unter umfassender Berücksichtigung sämtlicher Komponenten des Systems, als eine mögliche Zustandsanalyse eine Diagnose eines Ist-Zustands und somit des aktuellen Zustands durchgeführt werden. Mit dem Prognosemodul kann für jede Komponente als eine mögliche Zustandsanalyse eine Prognose eines zukünftigen Zustands durchgeführt werden. Außerdem kann auch für ein übergeordnetes System, üblicherweise unter umfassender Berücksichtigung sämtlicher Komponenten des Systems, als eine mögliche Zustandsanalyse eine Prognose eines zukünftigen Zustands durchgeführt werden.

Es kann dabei vorgesehen sein, dass mindestens eine belastungsrelevante Kenngröße über einen Zeitraum überwacht wird, um so eine Belastung der Komponente zu ermitteln. Diese Belastung ermöglicht, insbesondere eine daraus ermittelte Referenzgröße, bspw. in einem Weibull-Diagramm, die Ermittlung einer Ausfallwahrscheinlichkeit. Alternativ oder ergänzend kann eine noch zu ertragende Belastung bis zu einem definierten Ausfallgrenzwert ermittelt werden. Außerdem kann eine Restlebensdauer der Komponente oder eines Systems, eines Teilsystems oder eines übergeordneten Systems, ermittelt werden.

Mit dem übergeordneten Steuergerät kann unter Berücksichtigung mindestens einer Diagnose und/oder Prognose für mindestens eine Komponente und/oder ein übergeordnetes System in der Regel automatisch entschieden werden, ob als Maßnahme eine Fahrfunktion, bspw. eine automatisierte Fahrfunktion, freigegeben werden darf oder unterbunden bzw. gesperrt werden muss. Hierzu ist das übergeordnete Steuergerät, die die Komponenten des Systems zusammenfassend und übergreifend überwacht, vorgesehen, mit der ein gesamter Zustand des Systems, der von mindestens einer physikalischen Betriebsgröße, insbesondere der belastungsrelevanten Kenngröße, abhängig ist, durch das System beurteilt wird, da einzelne Komponenten des Systems dies mangels Information über das gesamte System im Allgemeinen nicht beurteilen können. In der Regel wird die Fahrfunktion durch mindestens eine Komponente des Systems unterstützt. Die mindestens eine belastungsrelevante Kenngröße wird insbesondere gemessen und wird in Ausgestaltung zur Berechnung der Belastung der mindestens einen Komponente genutzt.

Bei Durchführung des Verfahrens können einzelne Komponenten des Systems aktuelle Werte mindestens einer in der Regel physikalischen Betriebsgröße, bspw. Strom, Spannung oder Temperatur, an das übergeordnete Steuergerät senden. Anhand von Werten mindestens einer Betriebsgröße wird durch Zusammenführung einer Diagnose einzelner Komponenten sowie des gesamten Systems der aktuelle Zustand des Systems überwacht, wobei die Diagnose des Systems auf Systemebene einer Plausibilisierung der Diagnose der einzelnen Komponenten auf Komponentenebene dient. Außerdem können mit dem übergeordneten Steuergerät eine Analyse einer Zuverlässigkeit des gesamten Systems sowie einzelner Komponenten des Systems durchgeführt werden. Hierbei werden kritische Zustände, abhängig von Ausfallursachen und/oder abhängig eines Betriebsmodus, der bspw. zur Durchführung eines jeweiligen Fahrbetriebs des Kraftfahrzeugs eingestellt wird, vorhergesagt. Dabei werden Werte der mindestens einen Betriebsgröße in Echtzeit erfasst und überwacht, womit eine Belastung der mindestens einen Komponente auf Basis einer Zustands- und Zuverlässigkeitsüberwachung ermittelt wird. Außerdem werden Werte einer Zu- standsanalyse einzelner Komponenten, die bspw. auch Ausfallwahrscheinlichkeiten umfassen, an die Überwachungseinheit übermittelt und für eine Zu- standsanalyse des gesamten Systems verwendet. Dieses gesamte System kann wiederum ein Teilsystem eines übergeordneten Systems sein. Es ist weiterhin möglich, den Zustand der Komponenten zu überwachen und das Ergebnis an die Systemsteuerung bzw. das System Control des Fahrzeugs zu übermitteln, damit ggf. sicherheitsrelevante Fahrfunktionen, wie bspw. ein automatisiertes Fahren, verboten werden. Dazu werden funktionsabhängig Zuverlässigkeitsdaten ermittelt und an die Systemsteuerung übergeben. Des Weiteren werden freigegebene bzw. gesperrte Manöver usw. an die Systemsteuerung übergeben.

Die Ermittlung des Komponenten-Zustands besteht einerseits aus der Systemdiagnose auf Basis der physikalischen Eingangsgrößen, d. h. der Analyse des Ist- Zustands, und der Prognose des künftigen Zustands der Sen- sors/VerarbeitungseinheiVSignalübertragungseinheit, basierend auf den Belastungen, die die Komponente im Feld bisher erfahren haben.

Das vorgestellte Verfahren sieht in Ausgestaltung vor, den Zustand der Komponenten mit zentralen Datenbanken abzugleichen, um dann daraus ggf. Entscheidungen zu treffen, um den Betrieb der Sensoren bzw. Einheiten zu optimieren. Des Weiteren können Felddaten erfasst werden, die zur Auslegung zukünftiger Komponenten herangezogen werden können.

Bisher war eine Systemsteuerung, die eine gesamtheitliche Zustandsüberwa- chung aller relevanten Komponenten im Fahrzeug durchführt, wie dies vorstehend ausgeführt ist, nicht vorhanden. Aus Sicht der Produktsicherheit ist ein solches System für sicherheitskritische neue Anwendungen mit veränderten Grundannahmen, wie z. B. automatisiertes Fahren unbedingt notwendig.

Der vorstehend beschriebene Aspekt des vorgestellten Verfahrens hat, zumindest in einigen der Ausführungen, eine Reihe von Vorteilen:

- So bietet dieses eine Unterstützung für die Freigabe und Freigabeentscheidung für automatisierte Fahrfunktionen: Alterungseffekte in Sensoren/Verarbeitungseinheiten/Datenübertragungseinheiten mit hoher Importanz führen zum Entzug der Freigabe, bzw. zum Verlassen der Fahrfunktionen, wie z. B. automatisiertes Fahren, um sicherheitskritische Zustände zu vermeiden. - Weiterhin bietet dieses eine Erhöhung der Zuverlässigkeit durch adaptierte Fahrstrategien: Fahrsituationen, die im Betrieb zu einem starken Alterungsverhalten von Komponenten führen, werden, falls diese aus Systemsicht notwendig sind, vermieden.

- Die Verfügbarkeit wird erhöht: Präventive Wartungsmaßnahmen können rechtzeitig vor einem unkontrollierten Ausfall der Sensoren/Verarbeitungseinheiten/Datenübertragungseinheiten, z. B. in regulären Wartungsintervallen, durchgeführt werden.

- Weiterhin kann ein Sicherheitsgewinn bei der Übergabe vom automatisierten Fahrbetrieb in den manuellen Fahrbetrieb erzielt werden: Durch frühzeitiges Warnen des Systems vor einem drohenden kritischen Zustand der Sensoren/Verarbeitungseinheiten/Datenübertragungseinheiten kann die Fahrzeugüber- gäbe in einer für den Fahrer leichter beherrschbaren Situation durchgeführt werden.

- Es kann der zwingenden Notwendigkeit, das Fahrzeug auch bei Ausfall von Komponenten ohne Eingriff eines Fahrers bei vollautomatisiertem Fahren in den Sicheren Zustand zu bringen, entsprochen werden. Dies bedeutet einen Zeitgewinn bei der Einleitung der Rückfallstrategie durch frühzeitige Warnung, bzw. keine Freigabe der Fahrfunktionen bei sich anbahnendem kritischen Zuständen der Sensoren/Verarbeitungseinheiten/Datenübertragungseinheiten aufgrund von Verschleiß in Sensoren/Verarbeitungseinheiten/Datenübertragungseinheiten mit hoher Importanz im Gesamtsystem.

- Weiterhin bietet dieses eine Erhöhung der Zuverlässigkeit und der Sicherheit auch von nicht-automatisierten Fahrzeugen durch frühzeitiges Erkennen von anstehenden Ausfällen, wodurch auch "Liegenbleiber" auf Fahrspuren z. B. auf Au- tobahnen vermieden werden können.

Für die Freigabe der automatisierten Fahrfunktionen ist es notwendig, eine Um- welterkennungs- und Datenverarbeitungsebene zu haben, da die einzelnen Er- kennungs-/Verarbeitungseinheiten mangels Information über das Gesamtsystem den Zustand der Umwelterkennung- und Datenverarbeitung im Allgemeinen nicht beurteilen können. Daher ist die Einführung einer Zustandsverwaltung für Sensoren und Datenverarbeitungseinheiten (Sensor and Data Processing Unit Conditi- on Management; SDPUCM) notwendig, welche den Zustand der Umwelterkennung und Datenverarbeitung auf Systemebene überwacht. Im Detail bedeutet dies:

- Umwelterkennungs- und Datenverarbeitungseinheiten übermitteln zentrale Betriebsgrößen an die SDPUCM, z. B. Spannungen und Ströme,

- anhand dieser Größen wird durch Zusammenführung der Komponenten- und Systemdiagnose der aktuelle Zustand des Systems überwacht, hierbei dient die Systemdiagnose der Plausibilisierung der Komponentendiagnose,

- mittels System- und Komponentenzuverlässigkeitsanalyse kritische Systemzustände der Systemebene der Umwelterkennungs- und Datenverarbeitungseinheiten struktur-, ausfallursachen- und betriebsmodusabhängig vorherzusagen und damit eine auf der Echtzeiterfassung der Belastung in der Komponente und auf Systemebene basierenden Zustands- und Zuverlässigkeitsüberwachung zu realisieren.

Die Vorteile dieser prädizierenden Funktion werden hierin aufgezeigt.

Das vorgestellte Verfahren beschreibt die aus Sicht der Produktsicherheit, hinsichtlich integrativer Betrachtung der funktionalen Sicherheit, Zuverlässigkeit, notwendigen Schritte zur Überwachung des Umwelterkennungs- und Datenverarbeitungssystems und deren Realisierung mittels der SDPUCM.

So übertragen die einzelnen Komponenten des Umwelterkennungs- und Datenverarbeitungssystems, d. h. insbesondere Sensoren und Datenverarbeitungseinheiten, wichtige Kenngrößen die SDPUCM. Diese werden benötigt, um einerseits eine physikalische Plausibilisierung der Komponentendiagnosen und andererseits eine prognostizierende Zuverlässigkeitsvorhersage durchführen zu können. Zu diesen zu übermittelnden Kenngrößen gehören bspw. der Betriebsmodus und die Betriebsdauer der Komponente, die Temperatur der Komponente sowie der Diagnosestatus der Komponente. Weiterhin übermittelt die SDPUCM der Systemsteuerung bzw. dem System Con- trol den Zustand bzw. Status des Umwelterkennungs- und Datenverarbeitungssystems, womit dann bspw. die automatisierten Fahrfunktionen freigegeben wer- den. Das Gesamtkonzept ist in Figur 2 dargestellt. Die SDPUCM wird dabei in zwei Teilsysteme unterteilt (siehe Figur 2). Es ist Aufgabe des vorgestellten Verfahrens das Zusammenspiel zwischen Komponenten-, Umwelterkennungs- und Datenverarbeitungssystems- und Fahrzeugebene wie beschreiben darzustellen, sodass die Ziele auf Systemebene erreicht werden.

Sensoren und Verarbeitungseinheiten melden ihren Zustand an die Systemdiagnose. Die Systemdiagnose hat die Aufgabe, die Bedeutung von Ausfällen der Sensoren und Verarbeitungseinheiten für das System zu bewerten und dementsprechend Maßnahmen, wie z. B. das Verlassen oder nicht Freigeben der auto- matisierten Fahrfunktion oder die Fahrerbewarnung, zu ergreifen.

Die Komponenten können im Rahmen eines Prognoseverfahrens ihre Belastungsdaten, wie bspw. Kenngrößen der Komponenten, welche die Belastung der Komponenten wiederspiegeln, an eine Prognosezustandsüberwachung (Prog- nostic Health Monitoring: PHM) übermitteln. Mittels Komponenten-

Belastungsdaten und Komponenten- Belastbarkeitsmodellen werden die Komponenten-Ausfallraten ermittelt. Die Belastbarkeitsmodelle sind dabei im PHM integriert. Über eine Schnittstelle ist es möglich Belastbarkeitsmodelle von Komponenten anderer Hersteller zu implementieren. Für jeden Fahrmodus wird die Wahrscheinlichkeit berechnet, dass das Umwelterkennungs- und Datenverarbeitungssystem aufgrund von Verschleißeffekten eingeschränkt bzw. nicht verfügbar sein könnte. Dabei können in jedem Fahrmodus mehrere Ausfallursachen den Ausfall verursachen und müssen dementsprechend zuverlässigkeitstechnisch abgebildet werden.

Folglich ist die Berechnung der Wahrscheinlichkeiten von der Struktur des Umwelterkennungs- und Datenverarbeitungssystems, von den betrachteten Fahrmodi und den Ausfallursachen abhängig. Um diese Wahrscheinlichkeit zu berechnen, wird für jeden Betriebsmodus, z. B. automatisiertes Fahren, automati- siertes Fahren mit Segeln, automatisiertes Fahren mit Rekuperation, normales Fahren, usw., kombiniert mit jeder möglichen Ausfallursache eine Methode zur Quantifizierung der Zuverlässigkeit, wie z. B. ein Zuverlässigkeitsblockdiagramm bzw. ein Fehlerbaum bzw. eine Markov, hinterlegt werden, was mit den aktuell berechneten Komponentenausfallraten bedatet und berechnet wird. Die Methode zur Modellierung der Systemzuverlässigkeit bildet die Kritikalität eines Komponentenfehlers oder Komponentenalterung für das Gesamtsystem ab. Bei der Modellierung des Zuverlässigkeitsblockdiagramms oder einer alternativen Methode ist darauf zu achten, dass sich deren Aufbau nicht am elektrischen Schaltbild orientiert, sondern an der Kombinatorik der Fehler oder Alterung, die zum Ausfall des Umwelterkennungs- und Datenverarbeitungssystems aufgrund der jeweiligen Ausfallursache führen. Des Weiteren wird eine Prognose der Systemzuverlässigkeit auf Basis der Prognosen der Komponenten ermöglicht.

Die so erhaltenen bedingten Wahrscheinlichkeiten, bspw. durch Systemdiagnose des Ist-Zustands des Umwelterkennungs- und Datenverarbeitungssystems, ermöglichen es, dass sicherheitskritische Fahrfunktion nur dann freigeschalten werden, wenn der Ist-Zustand des Umwelterkennungs- und Datenverarbeitungssystems in Ordnung ist. Eine bedingte Wahrscheinlichkeit bzw. eine Wahrscheinlichkeit eines sicherheitskritischen Zustands des Umwelterkennungs- und Datenverarbeitungssystems unter der Annahme eines funktionsfähigen Ist-Zustands wird dabei mit vorgegebenen Grenzwerten verglichen. Die SDPUCM meldet der Systemsteuerung des Fahrzeugs anschließend zurück, welche Betriebsmodi während des automatisierten Fahrens betreten werden dürfen und welche nicht, bis hin zur vollständigen Verhinderung der Fahrfunktion„automatisiertes Fahren".

Weitere Optimierungsmaßnahmen anhand des Prozesses sind:

- Selbstlernende Systeme: z. B. Anpassung der Sensornutzung an das Beanspruchungsverhalten, mit dem Ziel die Komponenten optimal zu nutzen:

Bei der manuellen Fahrt werden bestimmte Sensoren deaktiviert. Folglich sind nur bestimmte Sensoren z. B. für Bremsassistenten oder Spurhalteassistenten aktiv. Im automatisierten Fahrbetrieb sind alle Sensoren aktiv. Es resultieren hinsichtlich der Einsatzdauer der Sensoren Abweichungen, die in der Zuverlässig- keitsbetrachtung berücksichtigt werden müssen bzw. was durch abwechselnde Nutzung verschiedener Sensorik berücksichtigt werden kann.

- Datenaustausch des SDPUCM mit einem Cloud-Speicher bietet folgende Vorteile:

Realistische Nutzungsprofile für zukünftige Entwicklungen / Auslegungen erhalten,

Verbesserung der Belastbarkeitsmodelle durch Auswertung der Felddaten und Update der Belastbarkeitsmodelle im SDPUCM, automatisierte Kommunikation mit der Werkstatt, wenn prognostizierte Komponentenlebensdauer kurz vor Ende ist, um Komponenten zu tauschen.

Fahrfunktionen werden nicht freigegeben, obwohl das Umwelterkennungs- und Datenverarbeitungssystem in Ordnung ist. Fehler oder Alterung im Umwelterkennungs- und Datenverarbeitungssystem werden erkannt und führen zum Übergang in den sicheren Zustand, einer Fahrerübergabe und/oder einem Sperren des Betriebsmodus, obwohl die Einzelkomponente einen Fehler oder eine Alterung nicht meldet.

Es können so eine Reihe von Vorteilen erzielt werden:

- Verbesserung der Komponentenentwicklung durch Felddatenerfassung,

- Verbesserung der Belastbarkeitsmodelle aufgrund großer Anzahl Komponenten im Feld, z. B. durch Deep-Learning,

- Verbesserung der Belastungsmodelle aufgrund bekannter, realer Komponentenbelastungen.

Grundsätzlich ist der Einsatz in jedem Fahrzeug, bei dem die Freigabe bestimmter Funktionen in Abhängigkeit der bisherigen Beanspruchung und des aktuellen Systemzustands erteilt werden soll, möglich. Weiterhin ist ein Einsatz in allen Fahrzeugen, in denen das die Sensoren und Verarbeitungseinheiten eine hohe Sicherheitsrelevanz besitzt, wie z. B. Fahrzeuge mit hoch- oder vollautomatisier- ten Fahrfunktionen, möglich.

Weitere Vorteile und Ausgestaltungen der Erfindung ergeben sich aus der Beschreibung und den beiliegenden Zeichnungen.

Es versteht sich, dass die voranstehend genannten und die nachstehend noch zu erläuternden Merkmale nicht nur in der jeweils angegebenen Kombination, sondern auch in anderen Kombinationen oder in Alleinstellung verwendbar sind, ohne den Rahmen der vorliegenden Erfindung zu verlassen.

Kurze Beschreibung der Zeichnungen

Figur 1 zeigt in einem Diagramm die Wirkkette der Fahrzeuglängs- und querfüh- rung beim automatisierten bzw. autonomen Fahren.

Figur 2 zeigt in einem Diagramm den Vorgang der Freigabe der Funktionen für ein autonomes Fahren und die Ermittlung und Übergabe des Zustands der Um- welterkennungs- und Datenverarbeitungsebene.

Figur 3 zeigt in einer schematischen Darstellung einen elektronischen Lastverteilungsverteiler mit einer zentalen prädiktiven Diagnostik.

Figur 4 zeigt in einem Graphen das Prinzip der Bestimmung einer Restlebens

Ausführungsformen der Erfindung

Die Erfindung ist anhand von Ausführungsformen in den Zeichnungen schematisch dargestellt und wird nachfolgend unter Bezugnahme auf die Zeichnungen ausführlich beschrieben.

Figur 1 zeigt die Wirkkette der Fahrzeuglängs- und Querführung beim automatisierten bzw. beim autonomen Fahren, die insgesamt mit der Bezugsziffer 10 bezeichnet ist. Die Darstellung zeigt eine Energieversorgung bzw. das Bordnetz 12, eine Umfelderkennung 14 mittels Sensoren, eine Datenverarbeitung 16 einschließlich Trajektorienplanung und Trajektorienauswahl sowie eine Trajektori- enumsetzung 18 mittels Aktoren. Zur Übertragung der Funktionen des Fahrers auf das Fahrzeug muss die Wirkkette 10 nach Figur 1 umgesetzt werden. Fällt ein Baustein der Wirkkette 10 aufgrund eines Fehlers bzw. Alterung aus, kann das Fahrzeug bestenfalls in einer Art Notfallmodus betrieben werden, im schlimmsten Fall kann das Fahrzeug nicht mehr kontrolliert werden.

Figur 2 zeigt in einem Diagramm einen Prozess der Freigabe für automatisiertes Fahren und zur Ermittlung und Übergabe des Status der Umwelterkennungs- und Datenverarbeitungsebene, was insgesamt mit der Bezugsziffer 50 bezeichnet ist. Die Darstellung zeigt eine Komponentenebene 52 mit Umwelterkennungs- und

Datenverarbeitungseinheiten, eine Umwelterkennungs- und Datenverarbeitungsebene 54 und eine Fahrzeugebene 56. In der Komponentenebene 52 sind ein erster Sensor 60, ein zweiter Sensor 62, eine erste Verarbeitungseinheit 64 und eine zweite Verarbeitungseinheit 66 vorgesehen. Diese ermitteln physikalische Zustandsgrößen 68, die in die Umwelterkennungs- und Datenverarbeitungsebene 54 weitergegeben werden. In dieser ist ein übergeordnetes Steuergerät 70, eine SDPUCM, vorgesehen, das eine systemische Diagnose 72 und ein Prognoseverfahren 74 zum Ermitteln einer Belastbarkeit 76 durchführt. Das übergeordnete Steuergerät 70 gibt Daten 80 an die Fahrzeugebene 56 weiter. Diese Daten 80 betreffen die Freigabe der automatisierten Fahrfunktionen, allgemein die Freigabe von Funktionen und den Status der Sensoren und Verarbeitungseinheiten in der Komponentenebene 52. In der Fahrzeugebene 56 ist eine Fahrzeugsteuerung 82 vorgesehen. Die Fahrzeugebene 82 kommuniziert mit einer Cloud 84 bzw. einer Werkstatt.

Figur 3 zeigt einen elektronischen Lastverteiler 210 mit zentraler prädiktiver Diagnoseeinheit als Ausführung der vorgestellten Anordnung zum Durchführen des beschriebenen Verfahrens. Die Darstellung zeigt weiterhin eine Komponente A 212, eine Komponente B 214 und eine Komponente C 216. Über eine erste Verbindung 220 zwischen dem elektronischen Lastverteiler 210 und der Komponente A 212 erfolgt ein Austausch von Daten bzw. Informationen zu den Größen Spannung U, Stromstärke I und Temperatur T. Diese Daten wer- den auch über eine zweite Verbindung 222 und eine dritte Verbindung 224 ausgetauscht.

Figur 3 stellt somit schematisch den elektronischen Lastverteiler 10 mit Ist- Zustands und/oder zukünftiger integrierter prädiktiver Diagnose- Einheit dar. Der elektronische Lastverteiler 210 kann für jede angeschlossene Komponente 212,

214, 216 den Strom, die Spannung und die Temperatur messen. Zusätzlich oder alternativ können externe Messstellen zur Ermittlung der Größen eingesetzt werden. Diese Größen dienen dann der prädiktiven Diagnose- Einheit der Berechnung des Ist-Zustands und des RUL der angeschlossenen Bordnetzkomponen- ten.

Die Berechnung des Ist-Zustands aus der aktuellen und vergangenen Belastung kann entweder über ein Maschinenlern-Modell (Machine Learning Model), z. B. ein neuronales Netz, einem Stress-Strength- Modell oder einem physikalischen Modell erfolgen. Die Berechnung des RUL aus der aktuellen und vergangenen

Belastung kann entweder über ein Machine Learning Modell, z. B. ein neuronales Netz, ein Stress-Strength Modell oder ein physikalisches Modell erfolgen. Dabei können für den Ist-Zustand Größen, wie der Gesundheitszustand (State of Health), ein Health-Index oder die Ausfallwahrscheinlichkeit ausgegeben werden.

Zusätzlich zu der Verwendung als Eingangsgröße für das prädiktive Diagnose- Modell kann durch einen Abgleich zwischen den in dem elektronischen Lastverteiler gemessenen Größen und den in den Komponenten gemessenen Größen eine Plausibilisierung der Messgrößen stattfinden. Dies kann über einen einfa- chen Abgleich, ein Modell, einen Beobachter oder basierend auf einem Maschinen lernen bzw. Machine Learning erfolgen. Ebenso kann ein Abgleich des ermittelten Ist-Zustands durch den Lastverteiler erfolgen.

Ein Diagnose-Modell bestimmt den aktuellen Gesundheitszustand. Dies kann in Form von zustandsbeschreibenden Kenngrößen, einem Healthindex, einer Aus- fallwahrscheinlichkeit usw. erfolgen. Ein prädiktives Diagnose-Modell prädiziert im Vergleich dazu den zukünftigen Verlauf dieses Gesundheitszustands, um den Ausfall vorherzusagen.

Figur 4 zeigt in einem Graphen 150, an dessen Abszisse 152 die Zeit t und an dessen Ordinate 154 eine zustandsbestimmende Größe aufgetragen ist, den Verlauf 156 einer zustandsbestimmenden Komponentengröße. Weiterhin eingetragen sind BoL 160 (BoL: beginn of liefetime: Beginn der Lebensdauer) und EoL 162 (EoL. end of lifetime: Ende der Lebensdauer).

Ein markierter Bereich 170 zeigt einen unterschiedlichen Gradienten in dem Verlauf 156 aufgrund einer variierenden Last und aufgrund von variierenden Umgebungsbedingungen. Ein Doppelpfeil 173 verdeutlicht die Restlebensdauer (RUL).

Figur 4 verdeutlicht das Prinzip der Bestimmung des Remaining Useful Life. Hierbei wird auf Basis der vergangenen Belastung eine Vorhersage der Restlebensdauer getroffen. Diese wird inklusive eines Vertrauensbereichs bzw. einer Wahrscheinlichkeitsverteilung an das System ausgegeben. Auf Basis dieser Information können dann Systementscheidungen, wie ein Prädiktiver Komponententausch oder andere Systemreaktionen (Lastverteilung, Komponentendegra- dierung usw.) getroffen werden.

In diesem Anwendungsbeispiel werden Stress-Strength Modelle, wie diese in der Druckschrift DE 10 2013 203 661 AI, in der ein Verfahren zum Betreiben eines Steuergeräts dargelegt ist, beschrieben sind, verwendet.

Die in dem elektronischen Lastverteiler gemessenen Größen, wie bspw. Strom, Spannung und Temperatur, werden über ein Belastungsmodell in die relevante Komponenten-Belastung umgerechnet. Dies kann entweder mittels eines Datenbasierten Modells, z. B. eines neuronalen Netzes, oder eines physikalischen Modells umgesetzt werden. Die so ermittelte Komponenten-Belastung, wie bspw. Temperaturhübe, wird mit einem Belastbarkeitsmodell, z. B. einer Anzahl ertragbarer Temperaturhübe, der Komponente gegenüber gestellt. Hieraus kann eine Aussage getroffen werden, wie viel der Lebensdauer der Komponente„aufgebraucht" ist. Durch eine Extrapolation der Belastung kann dann die Restlebensdauer (RUL) der Komponente bestimmt werden. Zusätzlich zu der mittleren zu erwartenden Lebensdauer wird ein Vertrauensbereich der zu erwartenden Lebensdauer ausgegeben, z. B. 5% und 95% Grenze der zu erwartenden Lebensdauer.

Durch Vergleich der RUL mit einem Grenzwert können Maßnahmen eingeleitet werden. Ebenso kann ein Abgleich der von dem Lastverteiler ermittelten RUL und dem von der Komponente selbst ermittelten RUL kommen.

Auf Basis ermittelter Ausfallwahrscheinlichkeiten der überwachten Komponenten in Kombination mit Zuverlässigkeitsmodellen von Systemen und/oder Funktionen können Aussagen zum aktuellen und/oder zukünftigen Zustand der Systeme und Funktionen getroffen werden. Durch den Vergleich mit dem Grenzwert lässt sich das RUL des Systems und/oder der Funktionen ermitteln.

Der Einsatz des beschriebenen Verfahrens, zumindest in einigen der Ausführungen, zeigt sich darin, dass Fahrfunktionen nicht freigegeben werden, obwohl das Umwelterkennungs- und Datenverarbeitungssystem in Ordnung ist. Fehler und/oder Alterung im Umwelterkennungs- und Datenverarbeitungssystem wird bzw. werden erkannt und führen zu einem Übergang in den Sicheren Zustand, einer Fahrerübergabe und/oder einem Sperren des Betriebsmodus, obwohl Einzelkomponente Fehler (oder Alterung) nicht meldet.

Es bleibt festzuhalten, dass das beschriebene Verfahren, zumindest in einigen der Ausführungen, etliche Vorteile mit sich bringt:

- Verbesserung der Komponentenentwicklung durch Felddatenerfassung,

- Verbesserung der Belastbarkeitsmodelle aufgrund großer Anzahl Komponenten im Feld, z.B. durch Deep-Iearning,

- Verbesserung der Belastungsmodelle aufgrund bekannter, realer Komponentenbelastungen.