Niedervolt-Versorgungsanordnung für ein automatisiert oder teilautomatisiert fahrendes Fahrzeug und Verfahren zum Betreiben eines teilautomatisiert oder automatisiert fahrenden Fahrzeugs

Die Erfindung betrifft eine Niedervolt-Versorgungsanordnung für ein automatisiert oder teilautomatisiert fahrendes Fahrzeug und ein Verfahren zum Betreiben eines teilautomatisiert oder automatisiert fahrenden Fahrzeugs.

Das automatisierte Fahren ohne menschliche Rückfallebene stellt die automobile Elektrik vor große Herausforderungen. Der Energiebedarf der Umfeldsensoren wie Lidare, Radare oder Kameras zusammen mit Steuerrechnern zur Datenverarbeitung sowie zur Bahnplanung ist erheblich. Die Umfeldsensorik sowie Steuerrechner zur Datenverarbeitung werden derzeit durch eine Niedervolt-Batterie (in der Regel in 12 V-Technik) versorgt. Diese Niedervolt-Batterie wird von einem Spannungswandler gespeist, welcher an einer Hochvoltverkabelung einer Traktionsbatterie des (Elektro-) Fahrzeugs angebunden ist.

Die Steuerrechner für das automatisierte Fahren sind mit einer hohen Leistungsaufnahme im Niedervolt-Netz des Fahrzeugs Hochstromverbraucher mit einem hochdynamischen Lastprofil. Ändert sich beispielsweise ein Umfeld des Fahrzeugs sehr dynamisch (das Fahrzeug biegt z.B. in eine Straße mit sehr vielen Fußgängern auf der Fahrbahn ein, was sehr viele zu erkennende und bei der Bahnplanung zu verarbeitende Objekte mit sich bringt), so müssen sehr schnell deutlich mehr Daten ausgewertet werden. In diesem Fall erhöht sich auf Grund einer benötigten Rechenleistung die Stromaufnahme der Steuerrechner erheblich. Diese sprunghaft ansteigende Stromaufnahme bringt eine Unterspannung in der Niedervoltversorgung mit sich, sodass diese Unterspannung von der Niedervolt-Batterie und dem speisenden Spannungswandler dynamisch kompensiert werden muss. Verändert sich das Umfeld des Fahrzeugs, kann es aber sein, dass zusätzlich zu einer hohen Rechenleistung auch unmittelbar dynamische Lenk- und/oder Bremsmanöver ausgeführt werden müssen, was ebenfalls eine Unterspannung mit sich bringt. Diese dynamische Überlagerung muss von der Niedervolt-Versorgung in allen möglichen Betriebsfällen sicher beherrscht werden. Die Niedervolt-Versorgung zum Betrieb der sicherheitsrelevanten Komponenten - Umfeldsensorik mit Datenverarbeitung, Lenkung und Bremse - sollte ferner so sicher sein, dass kein Einfachfehler das System derart beschädigen kann, dass ein automatisches sicheres Stillsetzen des Fahrzeugs (z.B. durch Abbremsen) durch das System nicht mehr möglich ist. Fehler im System müssen durch Diagnosefunktionen unmittelbar erkannt und zum automatischen Stillsetzen des Fahrzeugs führen.

Aus der US 2020/0001806 A1 ist ein Versorgungssystem bekannt. Das System umfasst einen ersten DC/DC-Wandler, der angeordnet ist, um elektrische Leistung nur an eine erste Batterie und an erste Lasten in einem ersten spezifizierten Satz auszugeben. Der erste spezifizierte Satz umfasst Lasten, die bereitgestellt werden, um Lenken und Bremsen zu steuern und auszuführen. Das System umfasst ferner einen zweiten DC/DC-Wandler, der angeordnet ist, um elektrische Leistung an Lasten auszugeben, die von den ersten Lasten isoliert sind, die vorgesehen sind, um Lenken und Bremsen zu steuern und auszuführen.

Aus der US 2020/0014240 A1 ist ein Fahrzeug-Energieverwaltungssystem bekannt. Dieses beinhaltet eine Backup-Batterie und eine Isolationsschaltung. Die Isolationsschaltung weist einen Schalter parallel zu einer Diode auf. Die Isolationsschaltung ist elektrisch mit der Backup- Batterie verbunden. Die Isolationsschaltung trennt die Pufferbatterie elektrisch von einer nicht kritischen Last, wenn der Schalter geöffnet ist.

Die DE 102019214 720 A1 betrifft eine Steuereinrichtung für ein Fahrzeug. Die Erfindung betrifft ferner ein Steuersystem für ein Fahrzeug, ein Verfahren zum Betreiben eines Steuersystems für ein Fahrzeug sowie ein Computerprogrammprodukt.

Die DE 102020 202 466 A1 betrifft ein redundantes Bordnetzsystem. Außerdem betrifft die Erfindung ein Kraftfahrzeug mit einem solchen redundanten Bordnetzsystem.

Aus der DE 102021 114689 A1 ist eine Stromsteuervorrichtung und ein Stromsteuerverfahren bzw. eine Vorrichtung und ein Verfahren zur Stromsteuerung (z.B. zur Leistungssteuerung oder zur Energiesteuerung) für ein autonomes Fahrzeug bekannt.

In der US 2019/ 0 013 664 A1 wird eine fahrzeugseitige Stromquellenschaltvorrichtung mit einem Trennschalter beschrieben, der zwischen einem ersten System und einem zweiten System angeordnet ist. Der Trennschalter wird über zwei verschiedene Steuerkreise angesteuert. Der Erfindung liegt die Aufgabe zu Grunde, eine Niedervolt-Versorgungsanordnung für ein automatisiert oder teilautomatisiert fahrendes Fahrzeug und ein Verfahren zum Betreiben eines teilautomatisiert oder automatisiert fahrenden Fahrzeugs zu verbessern.

Die Aufgabe wird erfindungsgemäß durch eine Niedervolt-Versorgungsanordnung mit den Merkmalen des Patentanspruchs 1 und ein Verfahren mit den Merkmalen des Patentanspruchs 10 gelöst. Vorteilhafte Ausgestaltungen der Erfindung ergeben sich aus den Unteransprüchen.

Insbesondere wird eine Niedervolt-Versorgungsanordnung für ein automatisiert oder teilautomatisiert fahrendes Fahrzeug geschaffen, umfassend ein erstes Teilnetz und ein zweites Teilnetz mit jeweils mindestens einer Versorgungseinheit, wobei die mindestens eine Versorgungseinheit einen DC/DC-Wandler (Gleichspannungswandler) und ein Energiespeicher umfasst, wobei der DC/DC-Wandler auf einer Seite mit einer Hochvoltversorgung verbunden werden kann oder verbunden ist und auf einer anderen Seite mit dem Energiespeicher und einem Versorgungsbus zum Versorgen von Niedervoltverbrauchern verbunden ist, eine erste Steuereinrichtung, eingerichtet zum Überwachen des ersten Teilnetzes, eine zweite Steuereinrichtung, eingerichtet zum Überwachen des zweiten Teilnetzes, wobei die Versorgungseinheiten galvanisch voneinander getrennt sind, wobei die DC/DC-Wandler und die Energiespeicher eines Teilnetzes sich von denen des anderen Teilnetzes unterscheiden, und wobei sicherheitskritische Niedervoltverbraucher redundant auf die Teilnetze aufgeteilt sind.

Ferner wird insbesondere ein Verfahren zum Betreiben eines teilautomatisiert oder automatisiert fahrenden Fahrzeugs zur Verfügung gestellt, wobei sicherheitskritische Niedervoltverbraucher mittels einer Niedervolt-Versorgungsanordnung gemäß einer der beschriebenen Ausführungsformen versorgt werden, wobei die Teilnetze überwacht werden, und wobei das Fahrzeug durch Ausführen eines Sicherheitsmanövers in einen sicheren Zustand gebracht wird, wenn ein Fehler in den Teilnetzen erkannt wird.

Die Niedervolt-Versorgungsanordnung und das Verfahren ermöglichen es, eine sichere Versorgung von sicherheitskritischen Niedervoltverbrauchern bereitzustellen. Durch das Aufteilen der Niedervoltverbraucher auf mehrere Teilnetze mit jeweils mindestens einer Versorgungseinheit kann ein Leistungsfluss auf mehrere DC/DC-Wandler verteilt werden. Dies ermöglicht es insbesondere, in Bezug auf eine Nennleistung kleiner dimensionierte und daher kostengünstigere DC/DC-Wandler zu verwenden (beispielsweise im Bereich von 2 bis 3 kW, insbesondere 2,4 kW im ersten Teilnetz und 2,8 kW im zweiten Teilnetz). Die Versorgungseinheiten, insbesondere die Versorgungsbusse der Versorgungseinheiten, sind galvanisch voneinander getrennt. Die galvanische Trennung erfolgt beispielsweise über einen Transformatorkern in den DC/DC- Wandlern. Die Versorgungseinheiten stellen insbesondere voneinander getrennte Versorgungsinseln dar. Ferner sind sicherheitskritische Niedervoltverbraucher, beispielsweise ein Lenksystem und/oder ein Bremssystem und/oder Steuerrechner für das automatisierte Fahren, redundant auf die zwei Teilnetze verteilt und werden über diese versorgt. Ein Einfachfehler führt daher nicht zu einem Ausfall der automatisierten Fahrfunktion des Fahrzeugs, sodass das Fahrzeug nach Auftreten eines Einfachfehlers noch in einen sicheren Zustand (insbesondere in einen Stillstand) überführt werden kann. Ferner werden die Teilnetze jeweils durch eine Steuereinrichtung überwacht, sodass Einfachfehler erkannt werden können und das Fahrzeug nach Erkennen eines Einfachfehlers in einen sicheren Zustand überführt werden kann. Hierzu überwachen die Steuereinrichtungen insbesondere zumindest einen Zustand der DC/DC-Wandler und der Energiespeicher in den Versorgungseinheiten. Insbesondere wird eine Spannung auf dem jeweiligen Versorgungsbus der Versorgungseinheiten überwacht. Ferner können auch die Niedervoltverbraucher überwacht werden und/oder selbst Überwachungsfunktionen ausüben. Die DC/DC-Wandler und die Energiespeicher eines Teilnetzes unterscheiden sich von denen des anderen Teilnetzes. Hierdurch können gleichartige Fehler, das heißt, Fehler mit gleicher Ursache („common cause“), die zu einem Ausfall beider (und ggf. weiterer) Teilnetze führen würden, verhindert werden. Beispielsweise können DC/DC-Wandler und Energiespeicher unterschiedlicher Bauart und/oder von unterschiedlichen Herstellern in den Teilnetzen verwendet werden. Im ersten Teilnetz können beispielsweise Blei-Akkumulatoren (z.B. Blei- Akkumulatoren mit Absorbent Glass Mat-[AGM]-Technologie) und im zweiten Teilnetz Lithiumionen-Akkumulatoren verwendet werden.

Insgesamt kann eine Versorgung von sicherheitskritischen Niedervoltverbrauchern mittels der Niedervolt-Versorgungsanordnung und des Verfahrens verbessert werden.

Die Steuereinrichtungen überwachen insbesondere einen Zustand der DC/DC-Wandler und der Energiespeicher. Ferner können auch Zustände der Niedervoltverbraucher überwacht werden. Hierzu können insbesondere entsprechende Kommunikationsnachrichten, die beispielsweise Statusabfragen und/oder Statusmeldungen umfassen, mittels eines Kommunikationsbusses ausgetauscht werden, beispielsweise mittels eines CAN- und/oder LIN-Busses. Die Niedervolt- Versorgungsanordnung umfasst hierzu entsprechende Kommunikationsverbindungen, insbesondere Kommunikationsbusse (z.B. CAN- und/oder LIN-Busse). Ein Fehler kann beispielsweise einen oder mehrere der folgenden Zustände umfassen: einen Ausfall eines Hauptsteuerrechners und/oder eines Zweitsteuerrechners, Ausfall oder Fehler einer der DC/DC-Wandler, Ausfall oder Fehler eines der Niedervoltverbraucher, insbesondere des Lenksystems und/oder des Bremssystems, Vorliegen einer Unterspannung, Vorliegen einer Überspannung, Vorliegen eines Kurzschlusses usw.

Es kann ferner vorgesehen sein, dass die Kommunikationsverbindungen zwischen den Steuereinrichtungen und den sicherheitskritischen Niedervoltverbrauchern ebenfalls unterschiedlich ausgeführt sind (z.B. unterschiedliche Technologie, Hersteller, Topologie etc.). Hierdurch können auch hier gleichartige Fehler („common cause“) verhindert werden. Hierdurch kann eine Sicherheit im Fehlerfall weiter gesteigert werden. Ferner können die Kommunikationsverbindungen auch redundant ausgeführt sein.

Der Begriff Niedervolt soll in dieser Offenbarung insbesondere Spannungen bis 60 V bezeichnen, beispielsweise ~12 V oder ~48 V. Der Begriff Hochvolt soll in dieser Offenbarung insbesondere Bereiche oberhalb, insbesondere weit oberhalb, von 60 V bezeichnen, beispielsweise Bereiche von mehreren Hundert Volt, insbesondere -400 V oder -800 V.

Die Steuereinrichtungen können als eine Kombination von Hardware und Software ausgebildet sein, beispielsweise als Programmcode, der auf einem Mikrocontroller oder Mikroprozessor ausgeführt wird. Es kann jedoch auch vorgesehen sein, dass Teile einzeln oder zusammengefasst als anwendungsspezifische integrierte Schaltung (ASIC) und/oder feldprogrammierbares Gatterfeld (FPGA) ausgebildet sind.

Die DC/DC-Wandler, die Energiespeicher und die sicherheitskritischen Niedervoltverbraucher können insbesondere selbst Diagnosefunktionen ausführen und einen Zustand über eine Kommunikationsverbindung verschicken. Hierzu weisen die DC/DC-Wandler, die Energiespeicher und/oder die sicherheitskritischen Niedervoltverbraucher insbesondere entsprechend eingerichtete Steuerungen und, sofern für das Erfassen eines Zustands notwendig, entsprechend eingerichtete Sensoren auf.

Ein Energiespeicher ist insbesondere ein elektrischer Energiespeicher. Der Energiespeicher ist insbesondere eine Batterie. Der Energiespeicher kann jedoch auch ein anderer elektrischer Energiespeicher sein, beispielsweise ein Kondensator, insbesondere ein Superkondensator (Supercap). In einer Ausführungsform ist vorgesehen, dass die Niedervolt-Versorgungsanordnung mindestens einen Halbleiterschalter aufweist, über den nicht-sicherheitskritische Niedervoltverbraucher mit dem Versorgungsbus einer der Versorgungseinheiten verbunden sind, und welche über diesen gesteuert von dem Versorgungsbus abgetrennt werden können. Hierdurch kann eine Leistungsaufnahme von nicht-sicherheitskritischen Niedervoltverbrauchern im Fehlerfall unterbunden werden, sodass nur noch die sicherheitskritischen Niedervoltverbraucher über den Versorgungsbus versorgt werden. Der mindestens eine Halbleiterschalter ist insbesondere mit der jeweiligen Steuereinrichtung verbunden und wird von dieser angesteuert. Es können auch mehrere Halbleiterschalter, beispielsweise für jede der Versorgungseinheiten, vorgesehen sein.

In einer Ausführungsform ist vorgesehen, dass das zweite Teilnetz mindestens zwei Versorgungseinheiten aufweist, wobei der Versorgungsbus einer der mindestens zwei Versorgungseinheiten des zweiten Teilnetzes mit einem Hauptsteuerrechner und einer ersten Umfeldsensorik zum automatisierten Fahren verbunden ist und diese versorgt, wobei der Hauptsteuerrechner dazu eingerichtet ist, bei Bedarf ein Sicherheitsmanöver durchzuführen, wobei der Versorgungsbus der mindestens einen Versorgungseinheit des ersten Teilnetzes mit einem Zweitsteuerrechner und einer zweiten Umfeldsensorik verbunden ist und diese versorgt, wobei der Zweitsteuerrechner dazu eingerichtet ist, bei Bedarf ein Sicherheitsmanöver durchzuführen. Insbesondere ist vorgesehen, dass der Hauptsteuerrechner und die erste Umfeldsensorik die einzigen Niedervoltverbraucher an dem Versorgungsbus sind.

Insbesondere sind andere sicherheitskritische Niedervoltverbraucher, insbesondere das Lenksystem und das Bremssystem, mit einem Versorgungsbus der anderen der mindestens zwei Versorgungseinheiten des zweiten Teilnetzes verbunden. Hierdurch kann eine Versorgung des Hauptsteuerrechners abgesichert werden, da diese nicht von anderen Niedrigvoltverbrauchern beeinträchtigt wird. Eine Unterspannung durch Ansteigen der Rechenleistung und ein simultanes Ansteigen einer Leistungsaufnahme durch andere sicherheitskritische Niedervoltverbraucher, insbesondere eines Lenksystems und eines Bremssystems, innerhalb einer einzigen Versorgungseinheit kann hierdurch verhindert werden.

In einer Ausführungsform ist vorgesehen, dass die erste Steuereinrichtung und/oder die zweite Steuereinrichtung dazu eingerichtet sind, bei Erkennen eines Fehlerzustands in den Teilnetzen das Fahrzeug durch direktes Ansteuern zumindest eines Teils der sicherheitskritischen Niedervoltverbraucher in einen sicheren Zustand zu überführen. Hierdurch kann das Fahrzeug insbesondere auch bei Ausfall beider Steuerrechner in einen sicheren Zustand überführt werden. Insbesondere steuern die erste Steuereinrichtung oder die zweite Steuereinrichtung dann ein Lenksystem und/oder ein Bremssystem an. Insbesondere kann nach Feststellen eines Fehlers, beispielsweise des Ausfalls beider Steuerrechner, eine (Voll-)Bremsung des Fahrzeugs erfolgen, wozu die jeweilige Steuereinrichtung das Bremssystem entsprechend ansteuert.

In einer Ausführungsform ist vorgesehen, dass die erste Steuereinrichtung und die zweite Steuereinrichtung dazu eingerichtet sind, sich gegenseitig zu überwachen und bei Erkennen eines Fehlers mindestens ein Sicherheitsmanöver zu veranlassen. Da zwei Steuereinrichtungen vorgesehen sind, können diese ihre jeweilige Funktion gegenseitig überwachen. Insbesondere kann ein solches Überwachen das Austauschen von Statusmeldungen über einen Kommunikationsbus, insbesondere einen CAN-Bus, umfassen. Ist eine Steuereinrichtung nicht mehr erreichbar bzw. übermittelt keine Statusmeldungen mehr, so kann die andere Steuereinrichtung eine Überführung des Fahrzeugs in einen sicheren Zustand veranlassen oder gemäß der voranstehend beschriebenen Ausführungsform selbst durchführen.

In einer Ausführungsform ist vorgesehen, dass die Steuereinrichtungen dazu eingerichtet sind, einen Ladezustand der Energiespeicher der Versorgungseinheiten zu überwachen, sodass eine vorgegebene Mindestversorgungsdauer zumindest der sicherheitskritischen Niedervoltverbraucher in den Versorgungseinheiten sichergestellt ist. Hierdurch kann sichergestellt werden, dass ein Überführen des Fahrzeugs in einen sicheren Zustand zu jeder Zeit erfolgen kann. Die Mindestversorgungsdauer ist insbesondere derart festgelegt, dass auch bei großer Leistungsaufnahme, beispielsweise im Kurzschlussfall, eine Spannung auf dem Versorgungsbus für die Mindestversorgungsdauer bereitgestellt werden kann. Die Mindestversorgungsdauer kann beispielsweise einige Sekunden, insbesondere 20 Sekunden oder mehr, betragen. Der Ladezustand wird mit an sich bekannten Verfahren bestimmt. Es wird dann fortlaufend überprüft, ob ein ausgehend von der vorgegebenen Mindestversorgungsdauer festgelegter Mindestladezustand vorliegt oder nicht. Ist dies nicht der Fall, so veranlasst die jeweilige Steuereinrichtung ein Nachladen des betroffenen Energiespeichers bis zum festgelegten Mindestladezustand.

In einer Ausführungsform ist vorgesehen, dass die Niedervolt-Versorgungsanordnung einen Wartungs-Trennstecker aufweist, wobei für jede Versorgungseinheit eine Spannung der Energiespeicher über den Wartungs-Trennstecker zu einem Erfassungskontakt des jeweiligen DC/DC-Wandlers geführt ist, und wobei die DC/DC-Wandler dazu eingerichtet sind, außer Betrieb zu gehen, wenn am Erfassungskontakt erfasst wird, dass der Wartungs-Trennstecker gezogen ist. Hierdurch kann verhindert werden, dass die DC/DC-Wandler einen Leistungsfluss aus den Energiespeichern in Richtung der Hochvoltversorgung, d.h., in ein Hochvoltnetz verursachen. Hierdurch kann eine Sicherheit bei Wartungsarbeiten erhöht werden.

In einer Ausführungsform ist vorgesehen, dass die Versorgungseinheiten der Teilnetze jeweils eine Sicherheitsanforderungsstufe gemäß Automotive Safety Integrity Level (ASIL) B erfüllen (insbesondere gemäß ISO 26262 in der am Anmeldetag gültigen Fassung). Insgesamt erreicht die Niedervolt-Versorgungsanordnung dann eine Sicherheitsanforderungsstufe gemäß ASIL D.

Ferner wird auch ein Fahrzeug geschaffen, umfassend eine Niedervolt-Versorgungsanordnung nach einer der beschriebenen Ausführungsformen. Das Fahrzeug ist insbesondere ein Kraftfahrzeug, insbesondere ein Elektro- oder Hybridfahrzeug. Das Fahrzeug kann grundsätzlich jedoch auch ein anderes (elektrifiziertes) Land-, Schienen-, Wasser-, Luft- oder Raumfahrzeug sein, beispielsweise eine Drohne oder ein Lufttaxi.

Nachfolgend wird die Erfindung anhand bevorzugter Ausführungsbeispiele unter Bezugnahme auf die Figur näher erläutert. Hierbei zeigt:

Fig. 1 eine schematische Darstellung von Ausführungsformen der Niedervolt- Versorgungsanordnung für ein automatisiert oder teilautomatisiert fahrendes Fahrzeug.

Die Fig. 1 zeigt eine schematische Darstellung von Ausführungsformen der Niedervolt- Versorgungsanordnung 1 für ein automatisiert oder teilautomatisiert fahrendes Fahrzeug 50. Das Fahrzeug 50 weist eine Hochvoltversorgung 51 auf, insbesondere eine Hochvoltbatterie 52. Die Hochvoltbatterie 52 weist eine Batteriesteuerung 52-1 für ein Batteriemanagement auf. Das Fahrzeug 50 ist insbesondere ein Elektro- oder Hybridfahrzeug. Das Fahrzeug 50 weist ferner einen Applikations-Server 53 und eine Antriebssteuerung 54 auf, welche einen Antriebsstrang des Fahrzeugs 50 steuert.

Die Niedervolt-Versorgungsanordnung 1 umfasst ein erstes Teilnetz 2 und ein zweites Teilnetz 3. Das erste Teilnetz 2 weist eine Versorgungseinheit 20 auf. Das zweite Teilnetz 3 weist zwei Versorgungseinheiten 30, 40 auf.

Die Versorgungseinheiten 20, 30, 40 umfassen jeweils einen DC/DC-Wandler 20-1 , 30-1 , 40-1 und einen Energiespeicher 20-2, 30-2, 40-2. Die DC/DC- Wandler 20-1, 30-1, 40-1 sind auf einer Seite mit der Hochvoltversorgung 51, insbesondere mit der Hochvoltbatterie 52 des Fahrzeugs 50, verbunden. Auf einer anderen Seite sind die DC/DC-Wandler 20-1, 30-1, 40-1 mit dem Energiespeicher 20-2, 30-2, 40-2 und einem Versorgungsbus 20-3, 30-3, 40-3 zum Versorgen von Niedervoltverbrauchern 21-x, 31-x, 41-x verbunden.

Sicherheitskritische Niedervoltverbraucher 21-x, 31-x, 41-x sind redundant auf die Teilnetze 2, 3 aufgeteilt. Die sicherheitskritischen Niedervoltverbraucher 21-x, 31-x, 41-x umfassen Lenksysteme 21-1 , 41-1 und Bremssysteme 21-2, 41-2. Ein Hauptsteuerrechner 31-3 (und eine von diesem verwendete erste Umfeldsensorik 31-4) ist als einziger sicherheitskritischer Niedervoltverbraucher 31-x mit dem Versorgungsbus 30-3 der Versorgungseinheit 30 verbunden. Ein Zweitsteuerrechner 21-3 (und eine von diesem verwendete, zweite Umfeldsensorik 21-4) ist mit dem Versorgungsbus 20-3 der Versorgungseinheit 20 verbunden.

Der Hauptsteuerrechner 31-3 ist dazu eingerichtet, bei Bedarf ein Sicherheitsmanöver durchzuführen. Der Zweitsteuerrechner 31-3 ist ebenfalls dazu eingerichtet, bei Bedarf ein Sicherheitsmanöver durchzuführen.

Die Versorgungseinheiten 20, 30, 40 sind galvanisch voneinander getrennt. Dies erfolgt insbesondere über einen jeweiligen Transformatorkern der DC/DC-Wandler 20-1 , 30-1 , 40-1. Vorhandene Kommunikationsleitungen sind insbesondere hochohmig, können zusätzlich aber auch Optokoppler und/oder Lichtleiter umfassen, die einen Ladungsfluss unterbinden.

Es insbesondere vorgesehen, dass die Versorgungseinheiten 20, 30, 40 der Teilnetze 2, 3 jeweils eine Sicherheitsanforderungsstufe gemäß ASIL B erfüllen.

Ferner umfasst die Niedervolt-Versorgungsanordnung 1 eine erste Steuereinrichtung 4, die dazu eingerichtet ist, das erste Teilnetz 2 zu überwachen. Die erste Steuereinrichtung 4 ist hierzu über mindestens eine Kommunikationsverbindung 4-1 , 4-2, insbesondere über Kommunikationsbusse (z.B. CAN-Bus und/oder LIN-Bus), mit dem DC/DC-Wandler 20-1 und dem Energiespeicher 20-2 sowie den Niedervoltverbrauchern 21-1, 21-2, 21-3, 21-4 verbunden.

Weiter umfasst die Niedervolt-Versorgungsanordnung 1 eine zweite Steuereinrichtung 5, die dazu eingerichtet ist, das zweite Teilnetz 3 zu überwachen. Die zweite Steuereinrichtung 5 ist hierzu über mindestens eine Kommunikationsverbindung 5-1 , 5-2, 5-3, 5-4, insbesondere über Kommunikationsbusse (z.B. CAN-Bus und/oder LIN-Bus), mit den DC/DC-Wandlern 30-1 , 40-1 und den Energiespeichern 30-2, 40-2 sowie den Niedervoltverbrauchern 31-3, 34-4, 41-1, 21-2 verbunden. Die erste Steuereinrichtung 4 und die zweite Steuereinrichtung 5 sind über Kommunikationsverbindungen 4-3, 4-4, 5-5 (z.B. CAN- oder LIN-Bus) miteinander und mit dem Applikations-Server 53 verbunden.

Der DC/DC-Wandler 20-1 und der Energiespeicher 20-2 des ersten Teilnetzes 2 unterscheiden sich von den DC/DC-Wandlern 30-1, 40-1 bzw. Energiespeichern 30-2, 40-2 des zweiten Teilnetzes 3. So ist der DC/DC-Wandler 20-1 beispielsweise ein OCDC/DC-Wandler, der zusätzlich zu einem DC/DC-Wandler mit einer Leistung von 2,4 kW noch eine Ladeelektronik zum Laden der Hochvoltbatterie 52 bereitstellt. Die DC/DC-Wandler 30-1, 40-1 sind beispielsweise für eine Leistung von 2,8 kW ausgelegt. Insbesondere können sich auch die Hersteller und/oder Bauteile bzw. Komponenten sowie eine Verschaltung der DC/DC- Wandler 20-1 , 30-1 , 40-1 voneinander unterscheiden. Durch die Unterschiede soll insbesondere das Auftreten von gleichartigen Fehlern unterbunden werden. Der Energiespeicher 20-2 ist insbesondere ein Bleiakkumulator (z.B. ein Blei-AGM-Akkumulator), die Energiespeicher 30-2, 40-2 sind insbesondere Lithiumionen-Batterien. Die Energiespeicher 20-2, 30-2, 40-2 können grundsätzlich jedoch (zumindest teilweise) auch andere elektrische Energiespeicher sein, beispielsweise Kondensatoren, insbesondere Superkondensatoren (Supercaps).

Es kann vorgesehen sein, dass die Niedervolt-Versorgungsanordnung 1 Halbleiterschalter 20-4, 40-4 aufweist, über den nicht-sicherheitskritische Niedervoltverbraucher 22, 42 mit dem Versorgungsbus 20-3, 40-3 der Versorgungseinheiten 20, 40 verbunden sind und welche über diesen gesteuert von dem Versorgungsbus 20-3, 40-3 abgetrennt werden können.

Es kann vorgesehen sein, dass die erste Steuereinrichtung 4 und/oder die zweite Steuereinrichtung 5 dazu eingerichtet sind, bei Erkennen eines Fehlerzustands in den Teilnetzen das Fahrzeug 50 durch direktes Ansteuern zumindest eines Teils der sicherheitskritischen Niedervoltverbraucher 21 -x, 31-x, 41-x in einen sicheren Zustand zu überführen. Insbesondere erkennen die Steuereinrichtungen 4, 5 fehlerhafte Zustände der DC/DC-Wandler 20-1 , 30-1 , 40-1, der Energiespeicher 20-2, 30-2, 40-2 und der sicherheitskritischen Niedervoltverbraucher 21 -x, 31-x, 41-x und überwachen diese. Die Steuereinrichtungen 4, 5 werden insbesondere dann aktiv, wenn das Überführen in einen sicheren Zustand nicht mehr von den Steuerrechnern 21-3, 31-3 durchgeführt werden kann, beispielsweise, wenn diese ausgefallen sind. Die Steuereinrichtungen 4, 5 steuern dann insbesondere direkt zumindest die Bremssysteme 21-2, 41-2 an, um eine (Voll-)Bremsung des Fahrzeuges 50 zu bewirken. Es kann vorgesehen sein, dass die erste Steuereinrichtung 4 und die zweite Steuereinrichtung 5 dazu eingerichtet sind, sich gegenseitig zu überwachen und bei Erkennen eines Fehlers mindestens ein Sicherheitsmanöver zu veranlassen. Die Steuereinrichtungen 4, 5 sind hierzu insbesondere über die Kommunikationsverbindung 5-5, insbesondere über einen Kommunikationsbus (z.B. CAN-Bus), miteinander verbunden. Beispielsweise können in regelmäßigen Abständen Statusmeldungen ausgetauscht werden. Werden keine Statusmeldungen mehr empfangen und/oder erfolgt keine Rückmeldung mehr von einer Steuereinrichtung 4, 5, so kann die jeweils andere Steuereinrichtung 4, 5 mindestens ein Sicherheitsmanöver veranlassen, um das Fahrzeug 50 in einen sicheren Zustand zu überführen. Beispielsweise kann die jeweilige Steuereinrichtung 4, 5 hierzu das mindestens eine Sicherheitsmanöver über die Steuerrechner 21-3, 31-3 veranlassen oder das mindestens eine Sicherheitsmanöver direkt durch Ansteuern der Bremssysteme 21-2, 41-2 und/oder der Lenksysteme 21-1 , 41-1 durchführen.

Es kann vorgesehen sein, dass die Steuereinrichtungen 4, 5 dazu eingerichtet sind, einen Ladezustand der Energiespeicher 20-2, 30-2, 40-2 der Versorgungseinheiten 20, 30, 40 zu überwachen, sodass eine vorgegebene Mindestversorgungsdauer zumindest der sicherheitskritischen Niedervoltverbraucher 21-x, 31-x, 41-x in den Versorgungseinheiten 20, 30, 40 sichergestellt ist. Das Bestimmen des Ladezustands erfolgt insbesondere in an sich bekannter Weise durch Aufintegrieren/Bilanzieren eines an den Energiespeichern 20-2, 30-2, 40-2 erfassten Ladungs- bzw. Leistungsflusses. Unterschreitet ein derart bestimmter Ladezustand eines Energiespeichers 20-2, 30-2, 40-2 einen in Abhängigkeit von der vorgegebenen Mindestversorgungsdauer vorgegebenen Mindestladezustand, so veranlassen die Steuereinrichtungen 4, 5 das Nachladen der betroffenen Energiespeicher 20-2, 30-2, 40-2. Der Mindestladezustand wird beispielsweise mit Hilfe von empirisch gewonnenen Daten für die vorgegebene Mindestversorgungsdauer und/oder mit Hilfe von Simulationen bestimmt.

Es kann vorgesehen sein, dass die Niedervolt-Versorgungsanordnung 1 einen Wartungs- Trennstecker 6 aufweist, wobei für jede Versorgungseinheit 20, 30, 40 eine Spannung der Energiespeicher 20-2, 30-2, 40-2 über den Wartungs-Trennstecker 6 zu einem Erfassungskontakt des jeweiligen DC/DC-Wandlers 20-1, 30-1, 40-1 geführt ist, und wobei die DC/DC-Wandler 20-1 , 30-1, 40-1 dazu eingerichtet sind, außer Betrieb zu gehen, wenn am Erfassungskontakt erfasst wird, dass der Wartungs-Trennstecker 6 gezogen ist. In der schematisch gezeigten Ausführungsform ist der Trennstecker 6 dreipolig ausgeführt. An dem jeweiligen Erfassungskontakt der DC/DC-Wandler 20-1, 30-1, 40-1 erfolgt insbesondere eine Spannungsmessung. Ergibt eine solche Spannungsmessung eine Spannung von 0 V (d.h. der Wartungs-Stecker 6 ist gezogen), so geht der jeweilige DC/DC-Wandler 20-1, 30-1, 40-1 außer Betrieb.

Nachfolgend werden beispielhaft einige Szenarien beschrieben, in denen Fehler in den Versorgungseinheiten 20, 30, 40 auftreten. Die Szenarien dienen zur Verdeutlichung von Ausführungsformen des Verfahrens zum Betreiben eines teilautomatisiert oder automatisiert fahrenden Fahrzeugs 50.

Beispielszenario 1:

In dem Beispielszenario tritt eine Unterspannung auf dem Versorgungsbus 20-3 auf, weil der DC/DC-Wandler 20-1 ausgefallen ist und/oder ein Kurzschluss aufgetreten ist.

In der Folge wird dieser Zustand bzw. ein Fehler an mehreren Stellen erkannt:

- Erkennung an dem Energiespeicher 20-2 und Weiterleitung über die Kommunikationsverbindungen 4-2, 4-4 an die erste Steuereinrichtung 4 und den Applikations-Server 53, Weiterleitung an die zweite Steuereinrichtung 5 über die Kommunikationsverbindung 5-5;

- Erkennung durch den DC/DC-Wandler 20-1 und Meldung über die Kommunikationsverbindung 4-1 an die erste Steuereinrichtung 4;

- Erkennung durch das Lenksystem 21-1 und das Bremssystem 21-2 und Meldung über die Kommunikationsverbindung 4-1 an die erste Steuereinrichtung 4;

- Erkennung durch den Zweitsteuerrechner 21-3 und Meldung an die erste Steuereinrichtung 4 über eine Kommunikationsverbindung (nicht gezeigt);

- Erkennung eines Bus-Timeouts der sicherheitskritischen Niedervoltverbraucher 21-x der Versorgungseinheit 20 durch die Steuereinrichtungen 4, 5, wenn die Spannung zusammengebrochen ist und die Niedervoltverbraucher 21-x nicht mehr aktiv sind;

- Weiterleitung eines Zustands der ersten Steuereinrichtung 4 an die zweite Steuereinrichtung 5 und andersherum.

Es werden dann als Reaktion auf eine oder mehrere dieser Ereignisse die folgenden Aktionen durchgeführt: - (optional) Abtrennen aller nicht-sicherheitskritischen Niedervoltverbraucher 22 durch Ansteuern des Halbleiterschalters 20-4;

- Einleiten eines Sicherheitsmanövers (insbesondere eines Bremsvorgangs) über die Versorgungseinheiten 30, 40 mit Hilfe des Hauptsteuerrechners 31-3 und der Umfeldsensorik 31-4 sowie des Lenksystems 41-1 und des Bremssystems 41-2.

Das Fahrzeug wird über das ausgeführte Sicherheitsmanöver in einen sicheren Zustand überführt.

Beispielszenario 2:

In dem Beispielszenario tritt eine Unterspannung auf dem Versorgungsbus 30-3 auf, weil der DC/DC-Wandler 30-1 ausgefallen ist und/oder ein Kurzschluss und/oder ein Fehler in dem Energiespeicher 30-2 aufgetreten ist.

In der Folge wird dieser Zustand bzw. ein Fehler an mehreren Stellen erkannt:

- Erkennung an dem Energiespeicher 30-2 und Weiterleitung über die Kommunikationsverbindung 5-3 an die zweite Steuereinrichtung 5;

- Erkennung durch den DC/DC-Wandler 30-1 und Meldung über die Kommunikationsverbindung 5-1 an die zweite Steuereinrichtung 5;

- Erkennung durch den Hauptsteuerrechner 31-3 und die Umfeldsensorik 31-4 und Meldung über die Kommunikationsverbindung 5-1 ;

- Erkennung eines Bus-Timeouts der sicherheitskritischen Niedervoltverbraucher 31-x der Versorgungseinheit 30 durch die Steuereinrichtungen 4, 5, wenn die Spannung zusammengebrochen ist und die Niedervoltverbraucher 21 -x, insbesondere der Hauptsteuerrechner 31-3 und die Umfeldsensorik 31-4, nicht mehr aktiv sind;

- Weiterleitung eines Zustands der ersten Steuereinrichtung 4 an die zweite Steuereinrichtung 5 und andersherum.

Es werden dann als Reaktion auf eine oder mehrere dieser Ereignisse die folgenden Aktionen durchgeführt:

- (optional) Abtrennen aller nicht-sicherheitskritischen Niedervoltverbraucher durch Ansteuern des Halbleiterschalters (in Fig. 1 nicht gezeigt, grundsätzlich kann aber auch die Versorgungseinheit 30 nicht-sicherheitskritische Niedervoltverbraucher versorgen); - Einleiten eines Sicherheitsmanövers (insbesondere eines Bremsvorgangs) mittels der Steuereinrichtungen 4, 5 über die Versorgungseinheiten 20, 40 mit Hilfe des Zweitsteuerrechners 21-3 und der Umfeldsensorik 21-4 sowie der Lenksysteme 21-1, 41-1 und der Bremssysteme 21-2, 41-2 über die Kommunikationsverbindungen 4-1, 5-2.

Das Fahrzeug wird über das ausgeführte Sicherheitsmanöver in einen sicheren Zustand überführt.

Beispielszenario 3:

In dem Beispielszenario tritt eine Unterspannung auf dem Versorgungsbus 40-3 auf, weil der DC/DC-Wandler 40-1 ausgefallen ist und/oder ein Kurzschluss und/oder ein Fehler in dem Energiespeicher 40-2 aufgetreten ist.

In der Folge wird dieser Zustand bzw. ein Fehler an mehreren Stellen erkannt:

- Erkennung an dem Energiespeicher 40-2 und Weiterleitung über die Kommunikationsverbindung 5-4 an die zweite Steuereinrichtung 5 und von dort über die Kommunikationsverbindung 5-5 an die erste Steuereinrichtung 4;

- Erkennung durch den DC/DC-Wandler 40-1 und Meldung über die Kommunikationsverbindung 5-2 an die zweite Steuereinrichtung 5;

- Erkennung durch das Lenksystem 41-1 und das Bremssystem 41-2 und Meldung über die Kommunikationsverbindung 5-2 an die zweite Steuereinrichtung 5;

- Weiterleitung eines Zustands der ersten Steuereinrichtung 4 an die zweite Steuereinrichtung 5 und andersherum.

Es werden dann als Reaktion auf eine oder mehrere dieser Ereignisse die folgenden Aktionen durchgeführt:

- (optional) Abtrennen aller nicht-sicherheitskritischen Niedervoltverbraucher 42 durch Ansteuern des Halbleiterschalters 40-4;

- Einleiten eines Sicherheitsmanövers (insbesondere eines Bremsvorgangs) mittels der Steuereinrichtungen 4, 5 über die Versorgungseinheiten 20, 30 mit Hilfe des Hauptsteuerrechners 31-3 und der Umfeldsensorik 31-4 und des Zweitsteuerrechners 21-3 und der Umfeldsensorik 21-4 sowie des Lenksystems 21-1 und des Bremssystems 21-2 über die Kommunikationsverbindungen 4-1 , 5-1. Das Fahrzeug wird über das ausgeführte Sicherheitsmanöver in einen sicheren Zustand überführt.

Beispielszenario 4:

In dem Beispielszenario tritt eine Unterspannung auf den Versorgungsbussen 20-3 und 30-3 auf, weil die DC/DC-Wandler 20-1 , 30-1 ausgefallen sind und/oder ein Kurzschluss und/oder ein Fehler in den Energiespeichern 20-2, 30-2 aufgetreten sind.

In der Folge wird dieser Zustand bzw. ein Fehler an mehreren Stellen erkannt:

- Erkennung durch den Zweitsteuerrechner 21-3 und die Umfeldsensorik 21-4 und Meldung über die Kommunikationsverbindung 4-1 ;

- Erkennung an dem Energiespeicher 30-2 und Weiterleitung über die Kommunikationsverbindung 5-3 an die zweite Steuereinrichtung 5;

- Zustandsmeldungen der Niedrigvoltverbraucher 21-x, 31-x an den Versorgungsbussen 20- 3, 30-3 über die Kommunikationsverbindungen 4-1, 5-1 an die Steuereinrichtungen 4, 5 und Weiterleitung an die jeweils andere Steuereinrichtung 4, 5 über die Kommunikationsverbindung 5-5.

Es werden dann als Reaktion auf eine oder mehrere dieser Ereignisse die folgenden Aktionen durchgeführt:

- (optional) Abtrennen aller nicht-sicherheitskritischen Niedervoltverbraucher 22 durch Ansteuern des Halbleiterschalters 20-4 (wenn vorhanden, erfolgt dies ebenfalls bei der Versorgungseinheit 30);

- Einleiten eines Sicherheitsmanövers (insbesondere eines Bremsvorgangs) mittels der zweiten Steuereinrichtung 5 durch direktes Ansteuern des Bremssystems 41-2 über die Kommunikationsverbindung 5-2.

Das Fahrzeug wird über das ausgeführte Sicherheitsmanöver in einen sicheren Zustand überführt.

Beispielszenario 5: In dem Beispielszenario tritt eine Unterspannung auf den Versorgungsbussen 20-3 und 40-3 auf, weil die DC/DC-Wandler 20-1 , 40-1 ausgefallen sind und/oder ein Kurzschluss und/oder ein Fehler in den Energiespeichern 20-2, 40-2 aufgetreten sind.

In der Folge wird dieser Zustand bzw. ein Fehler an mehreren Stellen erkannt:

- Erkennung durch den DC/DC-Wandler 20-1 und Meldung über die Kommunikationsverbindung 4-1 ;

- Erkennung durch den DC/DC-Wandler 40-1 und Meldung über die Kommunikationsverbindung 5-2;

- Erkennung durch das Bremssystem 21-1 und/oder das Lenksystem 21-2 und Meldung über die Kommunikationsverbindung 4-1;

- Zustandsmeldungen der Niedrigvoltverbraucher 21-x, 41-x an den Versorgungsbussen 20- 3, 40-3 über die Kommunikationsverbindungen 4-1, 5-2 an die Steuereinrichtungen 4, 5 und Weiterleitung an die jeweils andere Steuereinrichtung 4, 5 über die Kommunikationsverbindung 5-5.

Es werden dann als Reaktion auf eine oder mehrere dieser Ereignisse die folgenden Aktionen durchgeführt:

- (optional) Abtrennen aller nicht-sicherheitskritischen Niedervoltverbraucher 22, 42 durch Ansteuern der Halbleiterschalter 20-4, 40-4;

- Einleiten eines Sicherheitsmanövers (insbesondere eines Bremsvorgangs) mittels der ersten Steuereinrichtung 4 durch direktes Ansteuern des Bremssystems 21-2 über die Kommunikationsverbindung 4-1. Für eine Betriebsdauer von etwa 20 s wird zum Versorgen des Bremssystems 21-2 eine Restenergie in dem Energiespeicher 20-2 vorgehalten.

Beispielszenario 6:

In dem Beispielszenario tritt eine Unterspannung auf den Versorgungsbussen 30-3 und 40-3 auf, weil die DC/DC-Wandler 30-1 , 40-1 ausgefallen sind und/oder ein Kurzschluss und/oder ein Fehler in den Energiespeichern 30-2, 40-2 aufgetreten sind.

In der Folge wird dieser Zustand bzw. ein Fehler an mehreren Stellen erkannt: - Erkennung durch die DC/DC-Wandler 30-1 , 40-1 und/oder die Energiespeicher 30-2, 40-2 und Meldung über die Kommunikationsverbindungen 5-1, 5-2;

- Erkennung durch den Hauptsteuerrechner 31-3 und die Umfeldsensorik 31-4 und Meldung die Kommunikationsverbindung 5-1;

- Erkennung durch das Bremssystem 41-1 und/oder das Lenksystem 41-2 und Meldung über die Kommunikationsverbindung 5-2;

- Zustandsmeldungen der Niedrigvoltverbraucher 31-x, 41-x an den Versorgungsbussen 30- 3, 40-3 über die Kommunikationsverbindungen 5-1, 5-2 an die Steuereinrichtung 5 und Weiterleitung an die erste Steuereinrichtung 4 über die Kommunikationsverbindung 5-5.

Es werden dann als Reaktion auf eine oder mehrere dieser Ereignisse die folgenden Aktionen durchgeführt:

- (optional) Abtrennen aller nicht-sicherheitskritischen Niedervoltverbraucher 42 durch Ansteuern des Halbleiterschalters 40-4;

- Einleiten eines Sicherheitsmanövers (insbesondere eines Bremsvorgangs) mittels der ersten Steuereinrichtung 4 durch direktes Ansteuern des Bremssystems 21-2 über die Kommunikationsverbindung 4-1.

Bezugszeichenliste Niedervolt-Versorgungsanordnung erstes Teilnetz zweites Teilnetz erste Steuereinrichtung -x Kommunikationsverbindung zweite Steuereinrichtung -x Kommunikationsverbindung Wartungs-Trennstecker 0 Versorgungseinheit 0-1 DC/DC- Wandler 0-2 Energiespeicher 0-3 Versorgungsbus 0-4 Halbleiterschalter 1-x Niedervoltverbraucher (sicherheitskritisch) 1-1 Lenksystem 1-2 Bremssystem 1-3 Zweitsteuerrechner 1-4 zweite Umfeldsensorik 2 Niedervoltverbraucher (nicht-sicherheitskritisch)0 Versorgungseinheit 0-1 DC/DC- Wandler 0-2 Energiespeicher 0-3 Versorgungsbus 1-x Niedervoltverbraucher (sicherheitskritisch) 1-3 Hauptsteuerrechner 1-4 erste Umfeldsensorik 0 Versorgungseinheit 0-1 DC/DC- Wandler 0-2 Energiespeicher 0-3 Versorgungsbus 0-4 Halbleiterschalter 1-x Niedervoltverbraucher (sicherheitskritisch) -1 Lenksystem -2 Bremssystem Niedervoltverbraucher (nicht-sicherheitskritisch) Fahrzeug Hochvoltversorgung -1 Batteriesteuerung Hochvoltbatterie Applikations-Server