3-Ebenen-Sicherheitskonzept für Automotive-taugliche Rapid-Control-Prototyping-Plattform Sicherheit hoch drei

Funktionale Sicherheit und Rapid Controll Prototyping vereint auf eine eigene Prototyping-Plattform.
Funktionale Sicherheit und Rapid Controll Prototyping vereint auf eine eigene Prototyping-Plattform.

Funktionale Sicherheit und Rapid Control Prototyping zu vereinen stellt Entwickler mitunter vor hohe Herausforderungen, wenn ihre Ergebnisse im Straßenbetrieb getestet oder für die Serie zum Einsatz kommen sollen. Ingenieure von Schaeffler Engineering entwickelten deshalb ein integriertes Sicherheitskonzept für die eigene Prototyping-Plattform.

Eine der eindrucksvollsten und aussagekräftigsten Möglichkeiten, um neue Ideen für den Antrieb von morgen erlebbar zu machen und ihre Innovationskraft zu unterstreichen, ist die Integration neu entwickelter Fahrzeugkomponenten in ein straßentaugliches Fahrzeug. Ein Beispiel hierfür ist das Demonstratorfahrzeug „System 48 V“ (s. Bild ) des Schaeffler-Konzerns [1], das auf einem Serien-Audi TT quattro 2.0 TFSI basiert. 

Die serienmäßige Hinterachse des Fahrzeugs wurde durch eine von Schaeffler entwickelte Torque-Vectoring-Achse ersetzt, in die ein 12-kW-48-V-Motor integriert ist. Neben der Möglichkeit, das vom Verbrennungsmotor erzeugte und mit der Kardanwelle übertragene Drehmoment frei auf die Räder der Hinterachse zu verteilen (Torque Vectoring, TV), lässt sich das Fahrzeug über den in der Achse integrierten Elektromotor auch rein elektrisch antreiben. Für diesen Betrieb stehen im Getriebe der Achse zwei Gänge zur Verfügung: ein Gang für den Rangier- sowie Stopp-and-Go-Betrieb und ein zweiter zum Boosten oder aktiven Segeln, z.B. auf der Landstraße.

Die im Fahrzeug integrierte 1,9-kWh-48-V-Lithium-Ionen-Batterie kann neben der Rekuperation und dem Anschluss an ein 230-V-Netz auch mit Hilfe eines 48-V-Riemen-Starter-Generators (RSG) geladen werden. Die Übergänge zwischen den Start-Stopp-Phasen des Verbrennungsmotors ließen sich nach dem Ersatz des serienmäßigen Anlassers durch den RSG komfortabler gestalten. Diese Fahrzeugarchitektur ermöglichte es, den Wirkungsgrad des Verbrennungsmotors durch eine Lastpunktverschiebung bei niedriger Lastanforderung zu verbessern. Die zusätzlich erzeugte Leistung wird vom RSG abgenommen, in elektrische Energie umgewandelt und in der 48-V-Batterie des Fahrzeugs gespeichert, um anschließend beispielsweise dem Elektroantrieb der TV-Achse zur Verfügung gestellt zu werden. Um eine wie oben beschriebene Integration von mechatronischen Komponenten in ein bestehendes Fahrzeug zu ermöglichen, muss eine Interaktion mit der vorhandenen Fahrzeugarchitektur hergestellt werden. Für die Architektur der Steuergeräte bedeutet das, dass ein fein abgestimmter und sich untereinander überwachender Verbund aufgetrennt und erweitert wird. So wird es unter Umständen notwendig, Komponenten, die aus dem Fahrzeug entfallen sind, zu simulieren oder die Ein- und Ausgangssignale von Komponenten zu manipulieren, um die Funktionsfähigkeit der Fahrzeugarchitektur aufrecht zu erhalten. Zugleich müssen die dem Fahrzeug hinzugefügten Komponenten mit den Signalen der bestehenden Steuergeräte verknüpft werden können. Soll die bestehende Steuergerätearchitektur nicht aufwändig angepasst werden oder gibt es keine Möglichkeit zum Zugriff auf die Steuergeräte, ist der Einsatz eines Rapid-Control-Prototyping-Systems (RCP-System) unumgänglich.

Herausforderung funktionale ­Sicherheit

Spätestens, wenn ein Konzept- oder Demonstratorfahrzeug auf öffentlichen Straßen fahren soll, muss sichergestellt sein, dass es über ein Sicherheitskonzept verfügt. Dieses soll im Wesentlichen zwei Anforderungen erfüllen: Es muss Gefahrensituationen als solche erkennen und muss gegebenenfalls eine Reaktion einleiten, die einen möglichen Unfall verhindert oder dessen Schwere mindert.

Üblicherweise wird zu Beginn einer Entwicklung daher eine Gefahren- und Sicherheitsanalyse (Failure Mode and Effects Analysis, FMEA) zur Bewertung des Gesamtsystems durchgeführt. Bei einem Fahrzeug wie dem System-48-V-Demonstratorfahrzeug mit Torque-Vectoring-Differenzial, das es erlaubt, das Antriebsmoment frei auf die Räder zu verteilen, lässt sich erahnen, dass es sicherheitskritische Zustände einnehmen kann. Deutlich ist bei der Auswertung der Gefahren- und Sicherheitsanalyse zu erkennen, wie es bei Fehlfunktionen während des Betriebs zu gefährlichen Situationen kommen kann. Eine falsche Drehmomentzuweisung an die Räder kann beispielsweise zu einem Ausbrechen des Fahrzeugs führen oder eine fehlerhafte Ansteuerung der Bremspumpe den Ausfall der Bremskraftunterstützung verursachen.

Funktionale Sicherheit und RCP-Anwendung

Die Architektur des Gesamtsystems ist ausschlaggebend für das Sicherheitskonzept einer Anwendung. Die Flexibilität eines RCP-Systems ergibt sich oft aber dadurch, dass es aus vielen Subsystemen zusammengesetzt ist. Neben der Hauptrecheneinheit kann es beispielsweise noch Komponenten zur Signalkonditionierung, Ansteuerung von Aktuatoren oder der Kommunikation geben. All diese Subsysteme sind untereinander vernetzt, wodurch nicht nur sichergestellt werden muss, dass die einzelnen Subsysteme fehlerfrei arbeiten, sondern auch, dass die Kommunikationspfade zwischen den einzelnen Subsystemen nicht gestört sind. Wird dem Sicherheitskonzept jetzt noch ein Subsystem zur Überwachung hinzugefügt, wird die Komplexität und der Aufwand, zum Beispiel für Verkabelung, Software-Entwicklung oder Bauraum, erneut deutlich gesteigert.

Eine Alternative ist ein RCP-System mit integriertem Sicherheitskonzept, das sich wie die PROtroniC-Prototyping-Plattform von Schaeffler Engineering (Bild 1) grundsätzlich an der Architektur eines Seriensteuergerätes orientiert. Ein RCP-System muss aber anders als dieses universell und an verschiedene Anwendungen anpassbar sein. Dabei können die Anforderungen an das RCP-System abhängig von der abzubildenden Anwendung stark differieren. Für die Hardware und die Basis-Software eines RCP-Systems mit integriertem Sicherheitskonzept ist das eine große Herausforderung. Es müssen einerseits systemspezifische Sicherheits- und Diagnosemechanismen für vielfältige unterschiedliche Anwendungen abgedeckt werden, andererseits muss das Sicherheitskonzept genügend Freiraum für anwendungsspezifische Sicherheitsfunktionen bieten. Anders als bei Seriensteuergeräten ist daher der Nachweis einer konkreten Sicherheitsintegritätsstufe ASIL (Automotive Safe­ty Integrity Level) nur schwer zu führen.