自主驾驶(有时也被称为自动驾驶或自动化驾驶或导航驾驶)被理解为很大程度地自主操作的车辆、移动式机器人和无驾驶员的运输系统的前进。存在自动驾驶概念的多个不同分级。在此若有时还仅监控自动驾驶过程的驾驶员位于车辆内,则自动驾驶负责确定的分级。在欧洲多个不同的交通部门(在德国则是联邦机构参与交通)共同合作并且制定以下自动级别。
·级别0:“仅驾驶员”,驾驶员自行驾驶、转向、加油、制动等。
·级别1:对于车辆条件的确定的辅助系统(其中还有距离调节系统-自动巡航控制(Automatic Cruise Control,ACC))。
·级别2:部分自动化。其中还有自动泊车、车道保持功能、一般的纵向导引、加速、制动等由辅助系统完成(其中还有交通堵塞助理)。
·级别3:高自动化。驾驶员不必持续监控系统。车辆自动地实施诸如触发信号灯、变道和车道保持的功能。驾驶员可以投入其他事物,然而要求驾驶员在必要时在系统的预警时间之内采取控制。该自动方式在公路上在技术上能够实现。立法者致力于准许级别3车辆。为此已经完成了法律框架条件。
·级别4:全自动。持续地通过系统对车辆进行控制。如果系统不再胜任驾驶任务,则可以要求驾驶员采取控制。
·级别5:无需驾驶员。在目的地确定且系统开启之外就不需要人为干预。
3级以上的自动化驾驶功能减轻了驾驶员对车辆控制的责任。进行参与的制动和稳定化系统会因为个别错误发生故障,因此需要合适的倒退平面,以使车辆总是能够保持在行驶动态安全的状态中,直至驾驶员能够重新干预为止。用于该类车辆的制动系统始终冗余地设计,所述制动系统提供3级以上的自动化驾驶。制动系统则能够由两个部件、也即初级制动系统和次级制动系统组成,由此一个部件可以发生故障,而不会危及驾驶稳定性。
背景技术:
为安全起见,驾驶功能在60km/h以上的速度范围内除了保证减速的可用性之外还需要保证例如在防抱死系统ABS中的防滑控制功能的可用性。该防滑控制功能需要传感器数据作为控制值。为此还包括车轮转速的检测,例如目前在用于驾驶动态调节的控制设备(电子稳定控制Electronic Stability Control,ESC)中所实施的检测。如果ESC电子器件(初级制动系统)发生故障,则驾驶功能和防滑控制功能在次级制动系统中不能再提供针对车轮的运动信息,从而不能再实现倒退平面的调节。
基于标准车轮转速传感器的电子接口不容易实现的是,将传感器连接在两个控制设备上,以便能够将必要的信息传递至两个控制设备。传感器将其信号通过传递协议进行传送,该传递协议用于定义的电流电平。为此使用VDA协议。在两个控制设备并联时电流分流并且在两个控制设备中都无法实现电平的识别。当单独的车轮转速传感器连接在数据总线、例如CAN-总线(控制器区域网络)上时则是不同的,通过所述数据总线就能够将数据传递到多个相连的控制设备上。
列举以下已知的技术方案:
a)使用4个辅助的车轮转速传感器,从而总共使用8个车轮转速传感器。也就是说每个车轮和控制设备都使用一个车轮转速传感器。
b)使用4个冗余的车轮转速传感器。在此,用于车轮转速传感器的部件包含2个传感器元件,所述传感器元件具有独立的输出,分别用于每个连接的控制设备。根据制动过程是由哪个设备控制的,分析合适的传感器元件。两个传感器元件始终同时处于运行中。
由文献DE 102015110965A1已知一种设备,所述设备设计用于自动控制的车辆的可靠制动。该设备被冗余地安装。该设备包含也被称为初级模块的第一制动控制模块和也被称为次级模块的第二制动控制模块。在第一实施例中,在第一制动控制模块上连接所有的车轮转速传感器。第一制动控制模块通过数据连接将车轮转速传感器的车轮转速数据提供给第二制动控制模块。在第二实施例中,在第一制动控制模块上连接有多个车轮转速传感器,并且仅少数车轮转速传感器连接在第二制动控制模块上。
由文献DE 102015209565A1已知一种系统,所述系统同样设计用于自动控制的车辆的可靠制动。其中同样也存在初级制动系统和次级制动系统。初级制动系统配有第一控制设备(例如ESP/ABS设备)。而且该控制设备也冗余地安装。该控制设备由构造为ASIC的第一控制装置和第二控制装置组成。通过两个控制装置能够为车轮转速传感器提供电压。车轮转速数据由第二控制装置检测,并且能够通过车辆总线(例如CAN总线)传递至外置的控制设备,所述外置的控制设备对次级制动系统采取控制。即使第一控制设备的第一控制装置和微控制器故障,车轮转速数据仍能够传递给外置的控制设备。
由文献EP1219489A2已知一种用于控制和/或监控具有至少两个控制设备的控制设备组合的系统。第一控制设备具有多个功能,也即实施其本身固有的控制功能、监控其本身固有的控制功能和监控第二控制设备。如果第一控制设备确认了第二控制设备的故障功能,则该第一控制设备关断第二控制设备。
已知的技术方案存在若干弊端。针对4个额外的车轮转速传感器或4个冗余的车轮转速传感器,必须在车载网络中较之之前双倍数量地预留线路。用于标准传感器的成本上升,因为需要双倍的数量。冗余的传感器具有少件数的弊端,并且可预期对此的成本还更高。
根据上述公开文献的技术方案具有相同的目标,然而其描述了仅在两个控制设备中的一个上使用的电路。这带来了多种弊端:
在包含该电路的控制设备中需要双倍数量的用于车轮转速传感器的插接触头(例如16个,而非8个插接触头)。
当初级的控制设备中的供给电压故障而切换到次级的控制设备时,必须考虑在切换逻辑中的电压损耗,因为必须强制地使用自传导的MOSFET(金属氧化物半导体场效应晶体管)。
技术实现要素:
在本发明的范畴内认识到,现有的技术方案不能高效利用车轮转速传感器,并因此用于额外的车轮转速传感器的成本过高。
根据本发明建议了一种特殊的硬件架构。该硬件架构包含标准化的硬件接口,用于将4个标准车轮转速传感器连接在两个控制设备上。根据本发明针对该硬件架构同样建议了一种用于运行模式的行为模式,所述行为模式能够确保,即使在两个控制设备的其中一个上出现个别错误,所有传感器的数据也能直接被其他控制设备接收。在此,数据通过车辆总线传递至其他控制设备,并且还提供给其他接收器。这样可以在两个控制设备中设置倒退平面,所述倒退平面能够始终有助于车轮转速信息的存在。此外还建议了一种测试模式,所示测试模式用于,检查系统的全部功能性。由此确保系统满足驾驶功能的冗余要求。
标准化硬件接口提供的优点在于,硬件能够在所有控制设备中相同地实施。
原则上在控制设备中使用常规的包含传感器接口的电路。然而在IC与传感器之间还在控制设备中安插了传感器隔离电路,所述传感器隔离电路能够中断传感器与故障控制设备之间的连接,从而电流不会流经该接口。由此能够使车轮转速传感器并行连接在两个控制设备上,因为通过传感器隔离电路能够确保两个控制设备的其中一个断开接口并因此传感器电流不分流。
每个控制设备都必须控制隔离电路并且能够通过车辆总线对相应的状态进行通信。控制设备的故障一定至少导致,电路断开该控制设备到传感器的连接。这可以例如借助既有的监控电路(看门狗电路)实现。看门狗功能在当前的制动系统中无论如何都存在,并且一旦识别到促动器或电子器件不能再被控制并且由此面临车辆的不稳定时,就关停该控制设备。如果该控制设备尚未完全故障,则还可以通过车辆总线对接口的状态进行通信。
为此有利的是,传感器隔离电路包含UND电路(与门电路),所述UND电路引起至少一个传感器在相应的初级或次级的控制设备上的接入的情况是,由监控设备得到表明相应的控制设备无故障地工作的信号并且由相应的控制设备的微控制器表明控制设备分别处于一种状态,在所述状态下在相应的次级或初级控制设备上设置至少一个传感器的信号的处理装置和/或传导装置。
控制设备的软件在此必须设计为,总是在确保其他控制设备的接口被关闭时,该该控制设备才激活接口。这通过内部的状态自动装置实现,所述状态自动装置通过车辆总线接收相应其他状态自动装置的状态。初级制动系统的软件必须按标准激活接口,并且仅在出现确定的错误时才被关闭。当初级制动系统中的错误导致其接口关闭时,次级制动系统的软件必须按标准关闭接口,然后立刻激活接口。
根据本发明还建议了一种测试模式,该测试模式允许检查接口的切换的性能。由此确保,在自动化的驾驶功能能够被驾驶员激活之前,存在制动系统的必要的冗余。该测试系统如下工作:
初级控制设备借助配属于该初级控制设备的传感器隔离电路,断开与至少一个传感器的连接。通过通信总线向次级控制设备告知进入了测试模式,其中,次级控制设备随后借助配属于该次级控制设备的传感器隔离电路将至少一个传感器接入次级控制设备,并且传感器数据通过通信总线发送至初级控制设备。初级控制设备检查传感器数据的正确接收,并且在得到正面的检查结果时通过通信总线向初级控制设备告知测试模式结束。
有利的是,次级控制设备在关于测试模式结束的信息输入后通过配置于次级控制设备的传感器隔离电路切断至少一个传感器,然后,初级控制设备本身由于缺少传递的传感器数据而通过配属于初级控制设备的传感器隔离电路采取至少一个传感器在初级控制设备上的接入,并且像之前一样在开始测试模式之前推进传感器数据向次级控制设备的输送。
有利的是,在要求开始汽车的高自动化驾驶的运行模式之后实施对设备功能性的测试。然后,在车辆变换到高自动化的驾驶模式之前实施测试。
此外对于测试模式有利的是,当初级控制设备在测试过程中识别到传感器数据不能正确地被次级控制设备接收的情况下,通过配属于初级控制设备的传感器隔离电路采取至少一个传感器在初级控制设备上的接入,并且像之前一样在开始测试模式之前推进传感器数据向次级控制设备的输送。在此有利的是,初级控制设备向次级控制设备告知传感器数据的错误接收,紧接着,次级控制设备通过所配属的传感器隔离电路切断至少一个传感器。
据此有利的是,当次级控制设备在测试过程中识别到传感器数据不能正确地被初级控制设备接收的情况下,通过配属于次级控制设备的传感器隔离电路采取至少一个传感器在次级控制设备上的接收,并且推进传感器数据向初级控制设备的输送,其中,次级控制设备向初级控制设备告知传感器数据的错误接收,然后,初级控制设备通过所配属的传感器隔离电路切断至少一个传感器。
本发明能够应用于所有具有(按照VDA)3级以上自动化驾驶功能的车辆,所述驾驶功能在更高的速度范围内运行。在速度较低(大约60km/h以下)时不必为了能够使车辆稳定地减速而需要车轮转速传感器数据。
附图说明
本发明的优选实施例在附图中示出并且在以下描述中详细阐述。
在附图中:
图1示出具有四个车轮转速传感器的汽车;
图2示出用于高自动化驾驶的制动系统的硬件架构,其具有初级控制设备和次级控制设备;和
图3示出用于带有测试模式的制动系统的状态流程图。
具体实施方式
此描述阐释了根据本发明的公开内容的原理。由此应该理解的是,本领域技术人员能够设计多种不同布置方式,尽管在此未对所述布置方式详细描述,但是所述布置旨在反映根据本发明的公开内容的原理并且同样应该在其范围内受到保护。
图1示出汽车。所示的是轿车(Pkw)。然而作为车辆同样也可以考虑其他任意的车辆。例如其他车辆为:公交车、商务车、尤其是卡车(Lkw)、农用机械、建筑机械、摩托车、轨道车辆等。车辆被附图标记10标注。车辆作为轿车(Pkw)配备有4个车轮。当前的制动系统通常还配备有驱动防滑系统ASR。为此需要检测所有4个车轮的车轮转速,同样也适用于防抱死功能ABS。因此同样在附图中示出,在每个齿轮上都安置了车轮转速传感器120。车轮转速传感器120与制动控制系统100相连。该制动控制系统100由两个相互独立工作的控制设备组成。例如存在用于初级制动系统的ESC控制设备,所述ESC控制设备控制初级制动系统。其实施也被称为电子稳定控制(ESC)的电子驾驶稳定化功能。该ESC控制设备具有使车辆10自高速受控地制动的功能。为此在现代的ESC控制设备中还存在防抱死系统ABS的功能性。然而与初级制动系统无关地还具有次级制动系统,从而能够使车辆受控地制动。为此例如研发了智能的制动助力器,所述制动助力器也被称为电子制动助力器(eBKV)。其控制设备则构成次级制动系统的控制设备。
两个控制设备不必如图1所示地安装在同一位置上,还可以安装在汽车10的不同位置上。所述两个控制设备至少通过车辆总线相互连接。作为用于使车辆中的控制设备相互连接的车辆总线的示例,控制器区域网络也被称为CAN。该总线系统是标准化的并且更多的细节请参照ISO11898的相应规范。由于针对多种控制设备类型可以使用不同的CAN总线变型方案,在此提及CAN驱动总线,其用于使驱动系的控制设备、例如电机控制设备、自动控制设备、传动控制设备、ESC控制设备的相互连接。通常为此目的而使用符合ISO11898-2规范的CAN总线的高速方案。
图2当前示出根据本发明的制动控制系统100的硬件架构。本发明包含标准化的硬件接口,用于将4个标准车轮转速传感器连接在两个控制设备上,以及包含行为模块,所述行为模块确保即使在两个控制设备的其中给一个上出现个别错误之后也能直接接收所有传感器的数据,并且数据能够通过数据总线提供给其他控制设备和其他接收器。这样可以在两个控制设备中设置倒退平面,所述倒退平面能够始终有助于车轮转速信息的存在。
利用附图标记110标注初级制动系统的控制设备。如上所述涉及ESP/ABS控制设备。利用附图标记130标注次级制动系统的控制设备。涉及电子制动助力器的控制设备。4个车轮转速传感器被附图标记120标注。车轮转速传感器120的信号线路被附图标记122标注。两个控制设备110和130通过车辆数据总线(简称为车辆总线)140相互连接,数据能够通过所述车辆数据总线交换。在车辆总线140上能够连接其他控制设备,例如电机控制设备和传动控制设备(在附图中未示出)。在图2中同样示出控制设备的架构。通常,控制设备110和130分别包含专用集成电路(ASIC)112和132,所述专用集成电路负责车轮转速传感器120的电流/电压供应并且用于车轮转速传感器120的信号的检测和处理。控制设备110和130还分别配备微控制器114和134。每个微控制器114和134承担控制设备的各自的控制功能。此外,在每个控制设备中还分别设置了监控电路118和138。这种监控电路作为概念“看门狗”电路被已知。由此监控控制设备中的正确的程序流程。专用集成电路112和132与微控制器114和134之间存在连接装置111和131,以便能够传递例如被测得的传感器数据。
如上所述,车轮转速传感器120与两个控制设备110、130相连。原则上在控制设备中使用常规的涉及传感器接口的电路。然而在相应的ASIC112、132与车轮转速传感器120之间还在控制设备110、130中安插了传感器隔离电路113、133,所述传感器隔离电路能够中断车轮转速传感器120与相应的控制设备110、130之间的连接,从而电流不能流经该接口。由此能够使车轮转速传感器120并行连接在两个控制设备110、130上,因为能够确保两个控制设备110、130的其中一个断开连接并且由此不使传感器电流分流。
每个控制设备110、130都必须能够控制传感器隔离电路113、133并且能够通过车辆总线140对相应的状态进行通信。控制设备的故障一定至少导致,传感器隔离电路断开该控制设备110、130至车轮转速传感器120的连接。这通过上述看门狗电路实现。看门狗电路主要由计数器构成,所述计数器在程序流程中的定义的位置上复位。如果该复位由于错误而没有发生,例如由于程序进入无限循环,则出现计数器溢出并且看门狗电路使控制器瘫痪。并且一旦识别到促动器或电子器件不能再被控制并且由此面临车辆的不稳定时,看门狗功能就在当前的制动系统中关停该控制设备。如果该控制设备未完全故障,则还可以通过车辆总线140对接口的状态进行通信。在使用看门狗电路时的备选的工作方式在于,在出现错误时控制设备复位,以便测试是否能够由此克服错误。
控制设备110、130的软件设计为,总是在确保其他控制设备130、110的传感器接口关闭时,该控制设备110、130才激活传感器接口。这通过内部的状态自动装置实现,所述状态自动装置通过车辆总线140接收相应其他状态自动装置的状态。初级制动系统的控制设备110的软件按标准激活其传感器接口,并且仅在出现确定的错误时才关闭传感器接口。当初级制动系统中的错误导致初级制动系统的传感器接口关闭时,次级制动系统的控制设备130的软件按标准关闭其传感器接口并且立刻激活该传感器接口。
鉴于安全要求对于系统环境来说必须遵守以下要点:
·冗余的能量供给
每个控制设备110、130通过独立的电压源供应能量。
·冗余的通信
每个控制设备110、130可以通过两个相互独立的通信路径分别与另一个控制设备130、110和车辆中确定的其他控制设备通信。
·容错驾驶功能
车轮转速传感器120的故障不导致驾驶功能的故障。通过3个车轮转速传感器120也能实现对车辆的可靠控制。
此外根据本发明还建议了一种测试模式,该测试模式允许检查控制设备110、130的用于传感器接口的切换的性能。由此确保,在自动化的驾驶功能被驾驶员激活之前,存在制动系统的必要的冗余。
图3示出用于带有测试模式的制动系统的状态流程图。在通过步骤205车辆启动之后,软件首先转变为“正常运行\HAF”的状态210。其中不发生高自动化的驾驶HAF。初级制动系统PBS的控制设备110通过传感器隔离电路116中的电路单元113建立与车轮转速传感器120的连接。传感器信号从初级制动系统通过CAN总线140发送。次级制动系统SBS的控制设备130通过传感器隔离电路136中的电路单元133断开车轮转速传感器120与次级制动系统的控制设备130之间的连接。次级制动系统的控制设备130通过CAN总线140接收传感器信号。
该系统一直保持状态210,直到驾驶员通过相应的用户接口要求高自动化的驾驶功能为止。为此通过主功能向初级制动系统的控制设备110发出HAF要求。之后系统变换为状态220“初始(测试)”,在该状态下进行测试模式的初始化。该测试系统如下工作:初级制动系统的控制设备110关闭其传感器接口,并且通过车辆总线140将测试模式的进入告知次级制动系统的控制设备130。初级制动系统的控制设备110在测试模式的状态下不将车轮转速传感器120的数据发送至SBS的控制设备130。次级制动系统的控制设备130接收关于进入测试模式的信号,并且通过传感器隔离电路136的电路单元133建立与转速传感器120的连接。此外,车轮转速传感器120的被分析的数据通过车辆总线140发送至初级控制设备的控制设备110。控制设备110通过CAN总线140接收车轮转速传感器120的数据。通过车辆总线140向初级控制设备的控制设备110反馈测试模式的进入。初级制动系统的控制设备110检查接收到的数据,并且在得到正面的结果时向SBS的控制设备130传递测试模式结束的信号。该设计在备选的实施方式中可以为,在驾驶员发出HAF要求之前就已经完成了向状态220初始(测试)的转换,以便缩短相对于驾驶员的反应时间。而且可反复、周期性的检查也是可行的。然而本发明还可以用于VDA级别5以上的“全自动驾驶”,所述全自动驾驶无需驾驶员参与。
次级制动系统的控制设备130接收信号,转变为状态240“正常运行(HAF)”,并且断开其中与车轮转速传感器120的连接。初级制动系统的控制设备110则不再通过车辆总线140获得传感器信号,紧接着在状态240“正常运行(HAF)”下建立与车轮转速传感器120的连接。此外,车轮转速传感器120的数据通过车辆总线140发送至初级控制设备的控制设备130。当车轮转速传感器120的数据被正确接收时,初级制动系统完成初始化,并且也转换成状态240“正常(HAF)”。在该状态下已经准备自动化的驾驶功能。次级制动系统的控制设备130从现在其通过车辆总线140接收传感器信号并且还初始化。HAF准备被反馈至车辆主功能,由车辆主功能提出开始HAF运行的要求。然后如驾驶员所期望的使自动化驾驶功能开始。当没有错误发生时,该状态保持至步骤245中的驾驶循环结束。
在状态220“初始(测试)”下,持续地检查被次级制动系统的控制设备130接收的数据。当该数据不能被正确接收时,实现向状态230“错误:PBS ok”的转换。该错误情况则通过向初级制动系统的可靠状态的转变而被截获。其中,初级制动系统的控制设备110与车轮转速传感器120相连,并且车轮转速传感器的数据通过车辆总线140发送至次级制动系统的控制设备130。次级制动系统的控制设备130测试车轮转速传感器的数据的输入。如果该数据不再能够被正确接收,则存在不可能修复的严重错误。测试在步骤235中以相应的结果结束。不能使自动化驾驶功能开始。
在状态240“正常(HAF)”下,持续地检查被初级制动系统的控制设备110接收的数据。当该数据不能被正确接收时,实现向状态250“错误:PBS ok”的转换。该错误情况则通过向次级制动系统的可靠状态的转变而被截获。其中,次级制动系统的控制设备130与车轮转速传感器120相连,并且车轮转速传感器的数据通过车辆总线140发送至初级制动系统的控制设备110。初级制动系统的控制设备110测试车轮转速传感器120的数据的输入。如果该数据不再能够被正确接收,则存在不可能被修复的严重错误。测试在步骤255中以相应的结果结束。不能使自动化驾驶功能开始。
所有在此提及的示例以及所限的表述都不应理解为受限于具体说明的示例。针对示例本领域技术人员应注意,在此所述的框图示出示例性电路装置的设计图。以类似方式应注意的是,所示流程图、状态转化图、伪代码和类似多种不同变型方案都用于描述过程,所述过程主要以计算机可读的方式存储并且由此能够通过计算机或处理器实施。
应该理解的是,建议的方法和所配属的设备能够以硬件、软件、固件、专用处理器或其组合的不同方式实施。专用处理器可以包括专用集成电路(ASIC)、精简指令集计算机(RISC)和/或现场可编程门阵列(FPGA)。优选地,所建议的方法和设备实施为硬件和软件的组合。软件优选作为应用程序安装在程序存储设备中。通常涉及基于计算机平台的机器,所述计算机平台具有硬件、例如一个或多个中央处理器单元(CPU)、随机存取存储器(RAM)和一个或多个输入/输入(I/O)接口。在计算机平台上通常还安装运行系统。在此所述的多种过程和功能可以是应用程序的一部分,或者是由运行系统实施的部分。
本发明的公开内容不局限于所述实施例。还存在多种不同调整和优化的余地,本领域技术人员基于其专业知识也将所述调整和优化视作属于公开内容。
附图标记清单
100 制动设备
110 初级控制设备
111 次级控制设备的数据总线
112 初级控制设备的专用集成电路
113 电路单元
114 微控制器
115 控制线路
116 初级控制设备的传感器隔离电路
118 监控电路
120 车轮转速传感器
122 传感器信号线路
130 次级控制设备
131 初级控制设备的数据总线
132 次级控制设备的专用集成电路
133 电路单元
134 微控制器
135 控制线路
136 次级控制设备的传感器隔离电路
138 监控电路
140 通信总线
200 状态图
210 无HAF准备的正常运行状态
220 测试模式状态
230 通过初级控制设备的安全运行状态
240 具有HAF准备的正常运行状态
250 通过次级控制设备的安全运行状态