DE102023201504A1

DE102023201504A1 - Device for supplying energy to a safety-relevant consumer in a motor vehicle

Info

Publication number: DE102023201504A1
Application number: DE102023201504.8A
Authority: DE
Inventors: Michael MUERKEN; Nils Draese
Original assignee: Robert Bosch GmbH
Current assignee: Robert Bosch GmbH
Priority date: 2023-02-21
Filing date: 2023-02-21
Publication date: 2024-08-22
Also published as: WO2024175235A1

Abstract

Die Erfindung betrifft eine Vorrichtung zur Energieversorgung eines sicherheitsrelevanten Verbrauchers in einem Kraftfahrzeug, wobei zumindest ein Schalter (61, 62, 63) in einem Versorgungspfad (64) zur Versorgung des sicherheitsrelevanten Verbrauchers (16) vorgesehen ist, umfassend zumindest eine erste Überwachungseinrichtung (140) zur Überwachung zumindest des Versorgungspfads (64) für den sicherheitsrelevanten Verbraucher (66), umfassend eine weitere, von der ersten Überwachungseinrichtung (140) unabhängige weitere Überwachungseinrichtung (142) zur Überwachung zumindest des Versorgungspfads (64) und/oder eines weiteren Versorgungspfads (64) für den sicherheitsrelevanten Verbraucher (66), wobei die Überwachungseinrichtungen (140, 142) unabhängig voneinander zumindest jeweils eine elektrische Kenngröße des Versorgungspfads (64) und/oder des weiteren Versorgungspfads (64) auf einen Fehlerfall überwachen und jeweils mit einem Grenzwert (84, 130) vergleichen, wobei eine Plausibilisierung vorgesehen ist, um ein Abschaltsignal (114,116) für den Schalter (61, 62, 63) zu erzeugen, wenn beide Ausgangssignale (92, 108) der Überwachungseinrichtungen (140, 142) auf ein Erreichen des jeweiligen Grenzwerts (84,130) und damit auf einen Fehlerfall schließen lassen, wobei die Überwachungseinrichtungen (140,142) jeweils zumindest einen Messverstärker (78,124) zur Erfassung der jeweiligen Kenngröße, jeweils zumindest einen Komparator (82,128), dem eine Ausgangsgröße des jeweiligen Messverstärkers (78, 124) zugeführt ist, und jeweils ein Speicherelement (88,134), dem jeweils eine Ausgangsgröße des Komparators (82,128) zugeführt ist, umfassen.The invention relates to a device for supplying energy to a safety-relevant consumer in a motor vehicle, wherein at least one switch (61, 62, 63) is provided in a supply path (64) for supplying the safety-relevant consumer (16), comprising at least one first monitoring device (140) for monitoring at least the supply path (64) for the safety-relevant consumer (66), comprising a further monitoring device (142) independent of the first monitoring device (140) for monitoring at least the supply path (64) and/or a further supply path (64) for the safety-relevant consumer (66), wherein the monitoring devices (140, 142) independently monitor at least one electrical characteristic of the supply path (64) and/or the further supply path (64) for a fault and compare each with a limit value (84, 130), wherein a plausibility check is provided in order to generate a shutdown signal (114,116) for the switch (61, 62, 63) when both output signals (92, 108) of the monitoring devices (140, 142) indicate that the respective limit value (84,130) has been reached and thus that an error has occurred, wherein the monitoring devices (140,142) each comprise at least one measuring amplifier (78,124) for detecting the respective characteristic variable, at least one comparator (82,128) to which an output variable of the respective measuring amplifier (78, 124) is fed, and a storage element (88,134) to which an output variable of the comparator (82,128) is fed.

Description

Die Erfindung betrifft eine Vorrichtung zur Energieversorgung eines sicherheitsrelevanten Verbrauchers in einem Kraftfahrzeug nach der Gattung des unabhängigen Anspruchs.The invention relates to a device for supplying energy to a safety-relevant consumer in a motor vehicle according to the preamble of the independent claim.

Stand der TechnikState of the art

Aus der DE 102019205800 A1 sind ein Versorgungsnetzausgang und ein Verfahren zum Betreiben eines Versorgungsnetzes bekannt. Der Versorgungsnetzausgang ist für einen Nennstrom ausgelegt und umfasst n Schalter, die zum Führen des Nennstroms ausreichend sind, wobei ein zusätzlicher Schalter vorgesehen ist, sodass insgesamt n+1 Schalter vorgesehen sind, die parallel zueinander angeordnet sind, wobei jedem Schalter ein Treiber zugeordnet ist, wobei gilt: n >= 2.From the EN 102019205800 A1 A supply network output and a method for operating a supply network are known. The supply network output is designed for a nominal current and comprises n switches that are sufficient to carry the nominal current, with an additional switch being provided, so that a total of n+1 switches are provided that are arranged in parallel with each other, with each switch being assigned a driver, where: n >= 2.

Aus der DE 102020107695 A1 ist ein Verfahren zum Konfigurieren eines Bordnetzes eines Kraftfahrzeugs bekannt, wobei in dem Bordnetz mindestens ein Verbraucher vorgesehen ist, wobei im Rahmen der Konfiguration des Bordnetzes wenigstens einem von dem mindestens einen Verbraucher ein elektrisches Modul zugeordnet wird, das wiederum aus einer Modulgruppe ausgewählt wird, wobei bei der Auswahl des elektrischen Moduls ein erstes Verbraucherkriterium, das sich auf eine Versorgungsanforderung des wenigstens einen Verbrauchers bezieht, und ein zweites Verbraucherkriterium, das sich auf einen Rückwirkungsgrad des wenigstens einen Verbrauchers bezieht, berücksichtigt werden.From the DE 102020107695 A1 A method for configuring an on-board network of a motor vehicle is known, wherein at least one consumer is provided in the on-board network, wherein, as part of the configuration of the on-board network, at least one of the at least one consumers is assigned an electrical module, which in turn is selected from a module group, wherein, when selecting the electrical module, a first consumer criterion relating to a supply requirement of the at least one consumer and a second consumer criterion relating to a degree of reaction of the at least one consumer are taken into account.

Der Erfindung liegt die Aufgabe zugrunde, eine Vorrichtung anzugeben, die die Zuverlässigkeit einer Energieversorgung bei einfachem Aufbau weiter erhöht. Die Aufgabe wird gelöst durch die Merkmale des unabhängigen Anspruchs.The invention is based on the object of specifying a device which further increases the reliability of a power supply with a simple structure. The object is achieved by the features of the independent claim.

Offenbarung der ErfindungDisclosure of the invention

Dadurch, dass die Überwachungseinrichtungen jeweils zumindest einen Messverstärker zur Erfassung der jeweiligen Kenngröße, jeweils zumindest einen Komparator, dem eine Ausgangsgröße des jeweiligen Messverstärker zugeführt ist, und jeweils ein Speicherelement, dem jeweils eine Ausgangsgröße des Komparators zugeführt ist, umfassen, kann auf einfache Art und Weise eine redundante Betriebsführung erreicht werden. Sicherheitsrelevante Verbraucher werden nur dann abgeschaltet, wenn es übergeordnete Sicherheitsziele erfordern beispielsweise aus Gründen des Komponentenschutzes oder Leitungsschutzes. Dadurch wird bei Einhaltung des Sicherheitsziels eine sichere Versorgung gegenüber Einfachfehlern realisiert. Ein Einfachfehler in einem Schalter führt nicht zum sofortigen Abschalten des Versorgungspfads bzw. des Verbrauchers. Dies führt zu niedrigen Gesamtkosten bei gleicher Zuverlässigkeit bzw. Sicherheitsstufe.Because the monitoring devices each comprise at least one measuring amplifier for recording the respective characteristic value, at least one comparator to which an output value of the respective measuring amplifier is fed, and a storage element to which an output value of the comparator is fed, redundant operation can be achieved in a simple manner. Safety-relevant consumers are only switched off if higher-level safety objectives require it, for example for reasons of component protection or line protection. This means that a safe supply is achieved against single faults while maintaining the safety objective. A single fault in a switch does not lead to the immediate shutdown of the supply path or the consumer. This leads to low overall costs with the same reliability and safety level.

In einer zweckmäßigen Weiterbildung sind zumindest zwei oder drei parallel verschaltete Schalter zur Versorgung und Absicherung des sicherheitsrelevanten Verbrauchers vorgesehen. Damit lässt sich durch eine mögliche redundante Versorgung die Versorgungssicherheit des sicherheitsrelevanten Verbrauchers weiter erhöhen.In a practical further development, at least two or three switches connected in parallel are provided for supplying and protecting the safety-relevant consumer. This allows the supply reliability of the safety-relevant consumer to be further increased through a possible redundant supply.

In einer zweckmäßigen Weiterbildung ist zumindest ein Messmittel, insbesondere ein Messwiderstand oder ein induktives Messmittel, vorzugsweise zwei oder drei parallel zueinander verschaltet Messmittel wie Messwiderstände, in Reihe zu dem Schalter und/oder in Reihe von zumindest zwei oder drei parallelverschalteten Schaltern vorgesehen. Damit lässt sich ein redundantes Messkonzept realisieren. Das Vorsehen zumindest zweier, ggf. auch dreier Schalter stellt weiterhin auch bei einem ungewollten Abschalten zumindest eines Schalters die Versorgungssicherheit insbesondere eines sicherheitsrelevanten Verbrauchers sicher. In an expedient development, at least one measuring device, in particular a measuring resistor or an inductive measuring device, preferably two or three measuring devices such as measuring resistors connected in parallel, is provided in series with the switch and/or in series with at least two or three switches connected in parallel. This makes it possible to implement a redundant measuring concept. The provision of at least two, possibly even three switches also ensures the security of supply, in particular of a safety-relevant consumer, even if at least one switch is accidentally switched off.

Statt eines Messwiderstand lassen sich auch andere Strommessverfahren wie beispielsweise induktive Messverfahren verwenden.Instead of a measuring resistor, other current measuring methods such as inductive measuring methods can also be used.

In einer zweckmäßigen Weiterbildung wird die Potentialdifferenz am Messwiderstand und/oder am Schalter dem Messverstärker, insbesondere über zumindest einen Widerstand, zugeführt. Damit lässt sich insbesondere die Einfachfehlersicherheit erreichen.In an expedient further development, the potential difference at the measuring resistor and/or at the switch is fed to the measuring amplifier, in particular via at least one resistor. This makes it possible to achieve single-fault safety in particular.

In einer zweckmäßigen Weiterbildung ist vorgesehen, dass die Potenzialdifferenzen an zumindest zwei Messwiderständen jeweils den Meßverstärker zugeführt sind und/oder dass die Potenzialdifferenzen an zumindest eine Messwiderstand und an zumindest einem Schalter jeweils dem Messverstärker zugeführt sind und/oder dass die Potenzialdifferenzen an zumindest zwei Schaltern jeweils die Meßverstärker zugeführt sind. Damit lässt sich eine redundante Überwachung für unterschiedliche Schaltungsauslegungen durchführen. Die Sicherheit kann weiter erhöht werden.In an expedient further development, it is provided that the potential differences at at least two measuring resistors are each fed to the measuring amplifier and/or that the potential differences at at least one measuring resistor and at least one switch are each fed to the measuring amplifier and/or that the potential differences at at least two switches are each fed to the measuring amplifier. This allows redundant monitoring to be carried out for different circuit designs. Safety can be further increased.

In einer zweckmäßigen Weiterbildung wird dem Komparator ein Grenzwert zugeführt. Besonders bevorzugt handelt es sich um einen konstanten bzw. statischen und/oder um einen dynamisch einstellbaren Grenzwert. Der konstante Grenzwert kann entweder diskret (also beispielsweise mittels Spannungsteiler) oder von einem anderen Mikrocontroller vorgegeben werden. Der konstante Grenzwert stellt eine Rückfallebene im Fehlerfall des dynamischen Grenzwerts (beispielsweise Auswahl des Mikrocontrollers) dar. Der dynamische Grenzwert wird von einem Mikrocontroller vorgegeben, der bevorzugt nicht abgesichert sein kann. Mit dem dynamischen Grenzwert lässt sich eine einfache Anpassung an die jeweilige Betriebssituation vornehmen.In a practical further development, a limit value is fed to the comparator. This is particularly preferably a constant or static and/or a dynamically adjustable limit value. The constant limit value can be set either discretely (for example by means of a voltage divider) or by another microcontroller. The constant limit value represents a fallback level in the event of a fault in the dynamic dynamic limit value (for example, selection of the microcontroller). The dynamic limit value is set by a microcontroller, which preferably cannot be secured. The dynamic limit value can be used to easily adapt to the respective operating situation.

In einer zweckmäßigen Weiterbildung sind zumindest zwei zueinander unabhängige Versorgungen vorgesehen, wobei der eine Komparator und/oder der Messverstärker der einen Versorgung, der weitere Komparator und/oder der weitere Messverstärker von der weiteren Versorgung versorgt wird. Damit führen Fehler in der Spannungsversorgung nicht zum kompletten Ausfall der gesamten Überwachungseinrichtungen, wodurch keine Abschaltung getriggert wird und weiterhin eine betriebsbedingte Trennung möglich ist.In an expedient further development, at least two independent supplies are provided, with one comparator and/or the measuring amplifier being supplied by one supply, and the other comparator and/or the other measuring amplifier being supplied by the other supply. This means that errors in the power supply do not lead to the complete failure of the entire monitoring equipment, which means that no shutdown is triggered and operational separation is still possible.

In einer zweckmäßigen Weiterbildung werden die Ausgangssignale der Speicherelemente einer logischen Verknüpfung, insbesondere ein Und-Gatter, zur Plausibilisierung bzw. Verifikation zugeführt. Damit kann eine besonders einfache Realisierung der Plausibilisierung bzw. Verifikation durchgeführt werden.In an expedient further development, the output signals of the memory elements are fed to a logical connection, in particular an AND gate, for plausibility check or verification. This allows a particularly simple implementation of the plausibility check or verification.

In einer zweckmäßigen Weiterbildung sind zumindest zwei voneinander unabhängige Steuereinrichtungen bzw. Logikeinheiten zur Erzeugung eines Steuersignals für den oder die Treiber vorgesehen. Damit wird die Ausfallsicherheit gegenüber Einfachfehlern weiter erhöht.In an expedient further development, at least two independent control devices or logic units are provided for generating a control signal for the driver(s). This further increases the reliability against single errors.

Weitere zweckmäßige Weiterbildungen ergeben sich aus weiteren abhängigen Ansprüchen und aus der Beschreibung.Further useful developments arise from further dependent claims and from the description.

Kurze Beschreibung der ZeichnungShort description of the drawing

Es zeigen

die 1 beispielhaft ein Ausführungsbeispiel des Leistungsverteilers, der zwei Teilbordnetze miteinander verbindet,
2 ein Blockschaltbild einer fehlersicheren Energieversorgung eines Ausgangs für einen insbesondere sicherheitsrelevanten Verbraucher,
3 ein erstes Ausführungsbeispiel für eine redundante einfachfehlersichere Strommessung und eine Latentfehlererkennung des Schalters,
4 ein zweites Ausführungsbeispiel für eine einfachfehlersichere Strommessung,
5 ein drittes Ausführungsbeispiel für eine einfachfehlersichere Strommessung,
6 ein der Variante nach 2 ähnliches Ausführungsbeispiel einer einfachfehlersicheren Strommessung,
7 ein detailierteres Ausführungsbeispiel einer einfachfehlersicheren Strommessung sowie
8 eine schematische Darstellung der redundanten Betriebsführung.

Show it

the 1 an example of an embodiment of the power distributor that connects two sub-board networks,
2 a block diagram of a fail-safe power supply of an output for a particularly safety-relevant consumer,
3 a first embodiment of a redundant single-fault-safe current measurement and a latent error detection of the switch,
4 a second embodiment for a single-fault-safe current measurement,
5 a third embodiment for a single-fault-safe current measurement,
6 a variant according to 2 similar embodiment of a single-fault-safe current measurement,
7 a more detailed example of a single-fault-safe current measurement and
8 a schematic representation of the redundant operational management.

Ausführungsform der ErfindungEmbodiment of the invention

Die Erfindung ist anhand eines Ausführungsbeispiels schematisch dargestellt und wird nachfolgend unter Bezugnahme auf die Zeichnung ausführlich beschrieben.The invention is illustrated schematically using an embodiment and is described in detail below with reference to the drawing.

Die 1 zeigt eine mögliche Topologie eines Energieversorgungssystems, bestehend aus einem Bordnetz 13, welches einen Energiespeicher 12, insbesondere eine Batterie 12 mit zugehörigem Sensor 14, vorzugsweise ein Batteriesensor, sowie mehrere insbesondere sicherheitsrelevante Verbraucher 16, die durch einen elektrischen Leistungsverteiler 18 versorgt und abgesichert werden, umfasst. Bei den Verbrauchern 16 handelt es sich um Spezialverbraucher mit hohen Anforderungen bzw. einem hohen Schutzbedarf, allgemein als sicherheitsrelevante Verbraucher 16 bezeichnet. Hierbei handelt es sich beispielsweise um eine elektrische Lenkung und/oder ein Bremssystem als solche Komponenten, die unbedingt versorgt werden müssen, um im Fehlerfall das Lenken und/oder Bremsen des Fahrzeugs sicherzustellen. Gesondert werden Kenngrößen des jeweiligen Verbrauchers 16 erfasst und bei Abweichung von tolerablen Werten der jeweilige Schalter 15 geöffnet. Das Bordnetz 13 besteht aus einem sicherheitsrelevanten Teilbordnetz 11 und einem nicht sicherheitsrelevanten Teilbordnetz 10. Das sicherheitsrelevante Teilbordnetz 11 kann von dem nicht sicherheitsrelevanten Teilbordnetz 10 durch den Leistungsverteiler 18 getrennt werden, insbesondere im Fehlerfall bzw. kritischen Zustand des nicht sicherheitsrelevanten Teilbordnetzes 10. Das sicherheitsrelevante Teilbordnetz 11 ist beispielsweise ein nach ASIL, insbesondere ASIL C, qualifiziertes (beispielsweise nach DIN ISO26262) Teilbordnetz 11, welches zumindest einen der sicherheitsrelevanten Verbraucher 16 umfasst und gegebenenfalls mit einem eigenen Energiespeicher 12 zur Spannungsstützung ausgestattet sein kann. Das nicht sicherheitsrelevante Teilbordnetz 10 umfasst zumindest einen nicht sicherheitsrelevanten Verbraucher 17, beispielsweise kann es sich um sog. QM-Verbraucher bzw. Verbraucher, dessen Sicherheitsintegrität mit QM eingestuft ist, handeln. Hierbei ist jedoch nicht ausgeschlossen, dass auch zumindest ein weiterer sicherheitsrelevanter Verbraucher im nicht sicherheitsrelevanten Teilbordnetz 10, beispielsweise bei einer redundanten Ausführung der sicherheitsrelevanten Verbraucher, angeordnet sein kann. Bei dem nicht sicherheitsrelevanten Teilbordnetz 10 handelt es sich um ein nicht ASIL qualifiziertes Bordnetz.The 1 shows a possible topology of an energy supply system, consisting of an on-board network 13, which includes an energy storage device 12, in particular a battery 12 with associated sensor 14, preferably a battery sensor, and several, in particular, safety-relevant consumers 16, which are supplied and protected by an electrical power distributor 18. The consumers 16 are special consumers with high requirements or a high need for protection, generally referred to as safety-relevant consumers 16. These are, for example, an electric steering and/or a braking system as components that absolutely have to be supplied in order to ensure that the vehicle can be steered and/or braked in the event of a fault. Characteristics of the respective consumer 16 are recorded separately and the respective switch 15 is opened if there is a deviation from tolerable values. The on-board network 13 consists of a safety-relevant sub-network 11 and a non-safety-relevant sub-network 10. The safety-relevant sub-network 11 can be separated from the non-safety-relevant sub-network 10 by the power distributor 18, in particular in the event of a fault or a critical state of the non-safety-relevant sub-network 10. The safety-relevant sub-network 11 is, for example, a sub-network 11 qualified according to ASIL, in particular ASIL C (for example according to DIN ISO26262), which includes at least one of the safety-relevant consumers 16 and can optionally be equipped with its own energy storage device 12 for voltage support. The non-safety-relevant sub-network 10 includes at least one non-safety-relevant consumer 17, for example it can be a so-called QM consumer or consumer whose safety integrity is classified as QM. However, it is not excluded that at least one other safety-relevant consumer in the non-safety-relevant sub-network 10, for example in the case of a redundant design of the safety-relevant consumers. The non-safety-relevant sub-network 10 is a non-ASIL qualified on-board network.

An einem Anschluss (Klemme KL30_1) des Leistungsverteilers 18 ist der Energiespeicher 12 angeschlossen. Der Sensor 14 ist in der Lage, eine elektrische Kenngröße wie beispielsweise eine Spannung Ub am Energiespeicher 12 und/oder einen Strom Ib durch den Energiespeicher 12 und/oder eine Temperatur Tb des Energiespeichers 12 zu erfassen. Der Sensor 14 kann aus den ermittelten elektrischen Kenngrößen Ub, Ib, Tb beispielsweise den Ladezustand SOC des Energiespeichers 12 oder weitere Kenngrößen des Energiespeichers 12 ermitteln. An dem weiteren Anschluss (KL 30_1) des Leistungsverteilers 18, an dem auch der Energiespeicher 12 angeschlossen ist, kann optional auch ein weiterer Versorgungszweig für zumindest einen weiteren Verbraucher 25 vorgesehen sein. Der Verbraucher 25 wird beispielhaft über eine Schmelzsicherung 23 abgesichert. Es können noch weitere Verbraucher 25 vorgesehen sein, die ebenfalls über Schmelzsicherungen 23 abgesichert werden können. Bei diesen Verbrauchern 25 handelt es sich um solche, die auch bei Auftrennen bzw. Öffnen des Schaltmittels 19 im Leistungsverteiler 18 noch von dem Energiespeicher 12 mit Energie versorgt werden sollen, vorzugsweise solche sicherheitskritische Verbraucher 25, die kritisch sind hinsichtlich Störungen im Bezug auf die Versorgungssicherheit oder als QM eingestufte Verbraucher, welche bestimmte Anforderungen nach einem Unfall erfüllen müssen. Somit ist an dem Anschluss KL 30 _1 ein (optionaler) sicherheitsrelevanter bzw. sicherheitskritischer Bordnetzpfad bzw. Teilbordnetz 11 angeschlossen.The energy storage device 12 is connected to a connection (terminal KL30_1) of the power distributor 18. The sensor 14 is able to detect an electrical parameter such as a voltage Ub at the energy storage device 12 and/or a current Ib through the energy storage device 12 and/or a temperature Tb of the energy storage device 12. The sensor 14 can determine, for example, the state of charge SOC of the energy storage device 12 or other parameters of the energy storage device 12 from the determined electrical parameters Ub, Ib, Tb. At the other connection (KL 30_1) of the power distributor 18, to which the energy storage device 12 is also connected, a further supply branch for at least one further consumer 25 can optionally be provided. The consumer 25 is protected, for example, by a fuse 23. Other consumers 25 can also be provided, which can also be protected by fuses 23. These consumers 25 are those that should still be supplied with energy from the energy storage device 12 even when the switching device 19 in the power distributor 18 is disconnected or opened, preferably those safety-critical consumers 25 that are critical with regard to disruptions in relation to the security of supply or consumers classified as QM that must meet certain requirements after an accident. An (optional) safety-relevant or safety-critical on-board network path or sub-on-board network 11 is therefore connected to the connection KL 30 _1.

Der Leistungsverteiler 18 kann in der Lage sein, entsprechende Kenngrößen wie Spannung Uv, Strom Iv der Verbraucher 16 zu ermitteln. Der Leistungsverteiler 18 kann entsprechende Kenngrößen des Energiespeichers 12 wie Spannung Ub und/oder Strom Ib und/oder Temperatur Tb ermitteln. Hierzu könnte der Leistungsverteiler 18 die entsprechende Sensorik enthalten bzw. empfängt die Daten von dem Sensor 14. Ebenfalls besitzt der Leistungsverteiler 18 entsprechende Auswertemittel 21 wie beispielsweise einen Mikrocontroller 21, erfasste Größen zu speichern bzw. auszuwerten. Das Auswertemittel 21 dient zur Ermittlung kritischer Zustände insbesondere des sicherheitsrelevanten Teilbordnetzes 11 wie beispielsweise Erkennung eines Überstroms und/oder einer Unter-oder Überspannung am Teilbordnetz 11 für den sicherheitsrelevanten Verbraucher 16, 25. Hierzu werden entsprechende Kenngrößen erfasst und mit geeigneten Schwellwerten verglichen. Als Auswertemittel 21 kommt beispielsweise ein Mikrocontroller zum Einsatz. Der Mikrocontroller bzw. das Auswertemittel 21 ist darüber hinaus in der Lage, entsprechende Schaltereinheiten 15 wie nachfolgend näher beschrieben anzusteuern. Eine Schalteinheit 15 versorgt über einen Ausgang 66 den daran angeschlossenen sicherheitsrelevanten Verbraucher 16 mit über eine Verteilstelle, zum Beispiel Stromschiene 60 bzw. Backbone, bereitgestellte Energie bzw. der Versorgungsspannung U1. Beispielhaft sind drei Schalteinheiten 15 vorgesehen, die jeweils die entsprechenden sicherheitsrelevanten Verbraucher 16 über die Ausgänge 66 mit Energie versorgen.The power distributor 18 can be able to determine corresponding parameters such as voltage Uv, current Iv of the consumers 16. The power distributor 18 can determine corresponding parameters of the energy storage device 12 such as voltage Ub and/or current Ib and/or temperature Tb. For this purpose, the power distributor 18 could contain the corresponding sensors or receive the data from the sensor 14. The power distributor 18 also has corresponding evaluation means 21 such as a microcontroller 21 to store or evaluate recorded variables. The evaluation means 21 is used to determine critical states, in particular of the safety-relevant sub-vehicle network 11, such as detecting an overcurrent and/or an undervoltage or overvoltage on the sub-vehicle network 11 for the safety-relevant consumer 16, 25. For this purpose, corresponding parameters are recorded and compared with suitable threshold values. A microcontroller, for example, is used as the evaluation means 21. The microcontroller or the evaluation means 21 is also able to control corresponding switch units 15 as described in more detail below. A switching unit 15 supplies the safety-relevant consumer 16 connected to it with energy provided via a distribution point, for example busbar 60 or backbone, or with the supply voltage U1 via an output 66. For example, three switching units 15 are provided, each of which supplies the corresponding safety-relevant consumers 16 with energy via the outputs 66.

Optional kann in dem Leistungsverteiler 18 ein Trennschalter 19 zwischen Klemme KL30_0 und Klemme KL30_1 angeordnet sein. Über den optionalen Trennschalter 19 kann eine entsprechende Trenn- bzw. Koppelfunktion insbesondere der beiden Bordnetzzweige (Teilbordnetz 10 für nicht sicherheitsrelevante Verbraucher 17 an Anschluss KL 30_0; weiteres Teilbordnetz 11 für sicherheitsrelevante Verbraucher 16, 25) realisiert werden. Dies dient insbesondere als Sicherungsfunktion, um die Auswirkungen von kritischen Zuständen wie Über- oder Unterspannungen und/oder Überströmen und/oder thermische Überlastung zu unterbinden. Im Fehlerfall können die beiden Teilbordnetze 10, 11 durch den Leistungsverteiler 18 voneinander getrennt werden durch Öffnen des Trennschalters 19. Der Trennschalter 19 könnte parallelverschaltete Schaltmittel für eine fehlersichere Versorgung umfassen. Die nachfolgend näher beschriebene redundante Überwachung bzw. Ansteuerung könnte auch für den Trennschalter 19 zum Einsatz kommen.Optionally, a disconnector 19 can be arranged in the power distributor 18 between terminal KL30_0 and terminal KL30_1. The optional disconnector 19 can be used to implement a corresponding disconnection or coupling function, in particular of the two on-board network branches (partial on-board network 10 for non-safety-relevant consumers 17 at connection KL 30_0; further partial on-board network 11 for safety-relevant consumers 16, 25). This serves in particular as a safety function to prevent the effects of critical conditions such as overvoltage or undervoltage and/or overcurrent and/or thermal overload. In the event of a fault, the two partial on-board networks 10, 11 can be separated from one another by the power distributor 18 by opening the disconnector 19. The disconnector 19 could include parallel-connected switching means for a fail-safe supply. The redundant monitoring or control described in more detail below could also be used for the disconnector 19.

Das Bordnetz 13 weist ein gegenüber einem optional vorgesehenen Hochvolt-Bordnetz 20 niedrigeres Spannungsniveau U1 auf, beispielsweise kann es sich um ein 14 V-Bordnetz handeln. Zwischen dem Bordnetz 13 und dem Hochvolt-Bordnetz 20 ist ein Gleichspannungswandler 22 angeordnet. Das Hochvolt-Bordnetz 20 umfasst beispielhaft einen Energiespeicher 24, beispielsweise eine Hochvolt-Batterie, eventuell mit integriertem Batteriemanagementsystem, exemplarisch gezeigt eine Last 26, beispielsweise ein Komfortverbraucher wie eine mit erhöhtem Spannungsniveau versorgte Klimaanlage bzw. Kältemittelverdichter etc. sowie eine Elektromaschine 28. Als Hochvolt wird in diesem Zusammenhang ein Spannungsniveau U2 verstanden, welches höher ist als das Spannungsniveau U1 des Basisbordnetzes 13. So könnte es sich beispielsweise um ein 48-Volt-Bordnetz handeln. Alternativ könnte es sich gerade bei Fahrzeugen mit Elektroantrieb um noch höhere Spannungsniveaus, zum Beispiel 400 V oder 800 V, handeln. Alternativ könnte das Hochvolt-Bordnetz 20 ganz entfallen.The on-board network 13 has a lower voltage level U1 than an optionally provided high-voltage on-board network 20; for example, it can be a 14 V on-board network. A DC-DC converter 22 is arranged between the on-board network 13 and the high-voltage on-board network 20. The high-voltage on-board network 20 includes, for example, an energy storage device 24, for example a high-voltage battery, possibly with an integrated battery management system, shown as an example a load 26, for example a comfort consumer such as an air conditioning system or refrigerant compressor etc. supplied with an increased voltage level, and an electric machine 28. In this context, high voltage is understood to mean a voltage level U2 that is higher than the voltage level U1 of the basic on-board network 13. For example, it could be a 48-volt on-board network. Alternatively, especially in vehicles with electric drives, it could be even higher voltage levels, for example 400 V or 800 V. Alternatively, the high-voltage electrical system 20 could be omitted entirely.

Beispielhaft ist in der Ausführung als möglicher Energiespeicher 12, 24 eine Batterie bzw. Akkumulator beschrieben. Alternativ können jedoch andere für diese Aufgabenstellung geeignete Energiespeicher beispielsweise auf induktiver oder kapazitiver Basis, Brennstoffzellen, Kondensatoren oder Ähnliches gleichermaßen Verwendung finden.By way of example, a battery or accumulator is described in the embodiment as a possible energy storage device 12, 24. Alternatively, however, other energy storage devices suitable for this task, for example on an inductive or capacitive basis, fuel cells, capacitors or similar, can be used in the same way.

Das Ausführungsbeispiel gemäß 2 offenbart beispielhaft eine Schaltereinheit 15 (bzw. ggf. einen Trennschalter 19) mit zumindest einem, ggf. zwei, bevorzugt drei parallel zueinander verschalteten Schalter(n) 61, 62, 63, über die der Anschluss 66 für einen sicherheitsrelevanten Verbraucher 16 mit über eine Energieversorgung 60 bereitgestellte Energie, insbesondere Versorgungsspannung U1, versorgt und abgesichert werden kann. Jeder der parallelverschalteten Schalter 61, 62, 63 ist jeweils Bestandteil eines Versorgungspfads 64. Zwischen der Energieversorgung 60, insbesondere ein Backbone (Verteilstelle mit Versorgungsleitung bzw. Stromschiene in einem Bordnetz eines Kraftfahrzeugs), und den parallelverschalteten Schaltern 61, 62, 63 sind zumindest ein und je nach Leistungsanforderung zwei parallel zueinander verschaltete Messwiderstände 70, 72 vorgesehen. Alternativ könnten auch andere Messmittel beispielsweise induktiv etc. verwendet werden.The embodiment according to 2 discloses, by way of example, a switch unit 15 (or possibly a disconnector 19) with at least one, possibly two, preferably three switches 61, 62, 63 connected in parallel, via which the connection 66 for a safety-relevant consumer 16 can be supplied and secured with energy provided by an energy supply 60, in particular supply voltage U1. Each of the switches 61, 62, 63 connected in parallel is in each case part of a supply path 64. Between the energy supply 60, in particular a backbone (distribution point with supply line or busbar in an on-board network of a motor vehicle), and the switches 61, 62, 63 connected in parallel, at least one and, depending on the power requirement, two measuring resistors 70, 72 connected in parallel are provided. Alternatively, other measuring means, for example inductive, etc., could also be used.

An dem ersten Messwiderstand 70 werden die jeweiligen Potenziale vor und nach dem Messwiderstand 70 über Längswiderstände 74, 76 jeweils einem Messverstärker 78 (Strommessung über einen Stromverstärker bzw. CSA (Current Sense Amplifier)) zugeführt. Die Längswiderstände 74, 76 sind nicht zwingend erforderlich, verhindern aber Reflexionen (Signalstörungen). Es handelt sich hierbei um eine sogenannte Serienterminierung. Der Messverstärker 78 wird über einen Versorgungseingang 80 mit einer Versorgungsspannung 89, vorzugsweise mit einer ersten Versorgungsspannung V1 (Logikversorgung oder Logikspannung: beispielsweise Spannungen von 5 V oder 3,3 V etc.), mit Energie versorgt.At the first measuring resistor 70, the respective potentials before and after the measuring resistor 70 are fed via series resistors 74, 76 to a measuring amplifier 78 (current measurement via a current amplifier or CSA (Current Sense Amplifier)). The series resistors 74, 76 are not absolutely necessary, but they prevent reflections (signal interference). This is a so-called series termination. The measuring amplifier 78 is supplied with energy via a supply input 80 with a supply voltage 89, preferably with a first supply voltage V1 (logic supply or logic voltage: for example voltages of 5 V or 3.3 V, etc.).

Durch das Vorsehen zumindest zweier parallel verschalteter Messmittel bzw. Messwiderstände 70, 72 wird die Leistungsfähigkeit des Kanals gewährleistet. Weiterhin besteht eine Einfachfehlersicherheit bei offenem Ausfall eines Messwiderstands 70, 72. Der offene Ausfall eines Messwiderstands 70, 72 führt nicht zum Auslösen der Überstromabschaltung durch Anhebung der maximalen Abschaltschwelle. Bei zwei Messwiderständen 70, 72 könnte hierzu die Abschaltschwelle um 100 %, bei drei Messwiderständen 70, 72, 73 um 50 % und bei vier Messwiderständen 70, 72, 73 um 33,3 % angehoben werden. So könnte beispielsweise die Abschaltschwelle mit drei Messwiderständen 70, 72, 73 bei einem Spitzenstrom von 160 A auf 240 A erhöht werden. Für ein ganzheitliches Systemdesign ist es notwendig, einen offenen Ausfall eines Messwiderstands 70, 72, 73 diagnostizieren zu können. Aufgrund der typischen Funktionsausführungszeiten aktueller Mikrocontroller und Betriebssysteme werden Funktionen gewöhnlich in 5 ms bzw. 10 ms-Zyklen ausgeführt. Die Schalter 61, 62, 63 bzw. Schaltereinheit 15 bekommen hierdurch die zusätzliche Anforderung, für ca. 10-20 ms einen bspw. um 50 % größeren Strom ohne Einschränkungen zu tragen. Bei Feststellung des offenen Ausfalls eines Messwiderstands 70, 72 wird das übergeordnete Fahrzeugsystem mittels Fehlermeldung informiert bzw. gewarnt, um weitere Maßnahmen wie beispielsweise die Degradierung des betreffenden Verbrauchers durchführen zu können.The performance of the channel is ensured by providing at least two measuring devices or measuring resistors 70, 72 connected in parallel. There is also single-fault safety in the event of an open failure of a measuring resistor 70, 72. The open failure of a measuring resistor 70, 72 does not trigger the overcurrent shutdown by raising the maximum shutdown threshold. With two measuring resistors 70, 72, the shutdown threshold could be raised by 100%, with three measuring resistors 70, 72, 73 by 50%, and with four measuring resistors 70, 72, 73 by 33.3%. For example, the shutdown threshold could be increased to 240 A with three measuring resistors 70, 72, 73 at a peak current of 160 A. For a holistic system design, it is necessary to be able to diagnose an open failure of a measuring resistor 70, 72, 73. Due to the typical function execution times of current microcontrollers and operating systems, functions are usually executed in 5 ms or 10 ms cycles. The switches 61, 62, 63 or switch unit 15 are therefore subject to the additional requirement of carrying a current that is, for example, 50% higher without restrictions for around 10-20 ms. If an open failure of a measuring resistor 70, 72 is detected, the higher-level vehicle system is informed or warned by means of an error message in order to be able to carry out further measures such as degrading the consumer in question.

Das Ausgangssignal des Messverstärkers 78 gelangt an einen Komparator 82, beispielsweise wie exemplarisch in 2 gezeigt an dessen Plus-Eingang. Dieses Ausgangssignal des Messverstärkers 78 wird mit einem Grenzwert 84, dem negativen Eingang des Komparators 82 zugeführt, verglichen. Allgemein vergleicht der Komparator 82 die beiden Eingangssignale miteinander. Entweder bei positiver oder negativer Differenz der beiden Signale (Spannungen) wechselt der Ausgang des Komparators 82 seine Polarität. Der Komparator 82 dient der Überstromerkennung eines Überstroms durch den Messwiderstand 70 bzw. die Messwiderstände 70, 72.The output signal of the measuring amplifier 78 is fed to a comparator 82, for example as shown in 2 shown at its plus input. This output signal of the measuring amplifier 78 is compared with a limit value 84, which is fed to the negative input of the comparator 82. In general, the comparator 82 compares the two input signals with each other. If the difference between the two signals (voltages) is either positive or negative, the output of the comparator 82 changes its polarity. The comparator 82 is used to detect an overcurrent through the measuring resistor 70 or the measuring resistors 70, 72.

Für die Generierung des Grenzwerts 84, 130 können entsprechende Schaltungen eingesetzt werden. Zur Erfüllung der funktionalen Sicherheit muss die Veränderung des Grenzwerts 84, welcher bei gleichbleibender Messgröße zum Polaritätswechsel am Ausgang des Komparators 82 führt, mit hinreichenden Maßnahmen verhindert werden. Hierzu könnte der Grenzwert 84, 130 beispielsweise aus zwei Referenzquellen gebildet werden. So könnte einer der Grenzwerte 84,130 durch einen Mikrocontroller 21 vorgegeben werden, beispielsweise mittels PWM-Signal und Tiefpassfilter oder mittels eines Digital-Analog-Ausgangs (DAC). Der weitere Grenzwert 130 sollte durch eine unabhängige Referenzquelle umgesetzt werden. Hierzu kann eine diskrete Schaltung genutzt werden, beispielsweise mittels Spannungsteiler, Zener-Diode oder mittels integrierter Schaltungen (beispielsweise Bandabstandsreferenz). Die Referenzquellen müssen aus unterschiedlichen und voneinander unabhängigen Spannungsquellen (bzw. Versorgungen 89, 131) versorgt werden. Hierbei ist auch vorstellbar, jede Referenzquelle aus beiden Versorgungsspannungen 89, 131 zu versorgen. Beide Versorgungsspannungen 89, 131 müssen zueinander rückwirkungsfrei und beispielsweise über Dioden und/oder Widerstand (Strombegrenzung) bzw. allgemein über ein Element zur Sicherstellung der Rückwirkungsfreiheit 141 (vgl. 7) eingekoppelt werden. Beide Referenzsignale zur Generierung des Grenzwerts 84, 130 müssen so überlagert werden, dass eine Mindestschwelle bzw. Mindestgrenzwert 84, 130 nach dem Ausfall einer Referenzquelle verbleibt. Auch möglich ist beispielsweise die dynamische Änderung des Grenzwerts 84, 130 mit der Verwendung eines Mikrocontrollers 21. Damit kann auf Vorgaben des Fahrzeugsystems reagiert werden und/oder komponentenspezifische Veränderungen (beispielsweise durch Temperaturdrift) kompensiert werden. Dadurch führen Einfachfehler wie beispielsweise der Ausfall des vom Mikrocontroller 21 bereitgestellten Grenzwerts 84 oder beispielsweise der Ausfall des zweiten beispielsweise von einer diskreten Schaltung bereitgestellten Grenzwerts 130 nicht zu einem Abschalten der Leistungsstufe bzw. Schalter 61, 62, 63.Appropriate circuits can be used to generate the limit value 84, 130. To ensure functional safety, adequate measures must be taken to prevent changes in the limit value 84, which would lead to a change in polarity at the output of the comparator 82 if the measured variable remained the same. For this purpose, the limit value 84, 130 could, for example, be formed from two reference sources. One of the limit values 84, 130 could be specified by a microcontroller 21, for example by means of a PWM signal and low-pass filter or by means of a digital-analog output (DAC). The other limit value 130 should be implemented by an independent reference source. A discrete circuit can be used for this, for example by means of a voltage divider, Zener diode or by means of integrated circuits (for example a band gap reference). The reference sources must be supplied from different and independent voltage sources (or supplies 89, 131). It is also conceivable to supply each reference source from both supply voltages 89, 131. Both supply voltages 89, 131 must be non-interacting with each other and, for example, via diodes and/or resistors (current limiting) or generally via an element to ensure non-interacting 141 (cf. 7 ) are coupled in. Both reference signals for generating the limit value 84, 130 must be superimposed in such a way that a minimum threshold or minimum limit value 84, 130 remains after the failure of a reference source. It is also possible, for example, to dynamically change the limit value 84, 130 using a microcontroller 21. This makes it possible to react to vehicle system specifications and/or compensate for component-specific changes (for example due to temperature drift). As a result, simple errors such as the failure of the limit value 84 provided by the microcontroller 21 or the failure of the second limit value 130 provided, for example, by a discrete circuit, do not lead to the power stage or switches 61, 62, 63 being switched off.

Der Komparator 82 wird über einen Versorgungseingang 86 mit einer Versorgungsspannung 89, 131, bevorzugt mit der ersten Versorgungsspannung V1, versorgt. Ein Ausgangssignal 87 des Komparators 82 wird einem Speicherelement 88, beispielsweise ein Flipflop, zugeführt. Das Speicherelement 88 könnte auch als Software realisiert sein. Liegt die gemessene Differenz am Messwiderstand 70 und 72 oberhalb bzw. je nach genutztem Verfahren unterhalb des entsprechenden Grenzwerts 84, so generiert der Komparator 82 ein entsprechendes Ausgangssignal 87 (beispielsweise Überstrom erkannt; Schalteinheit 15 zum Schutz öffnen „Aus“) bzw. Wechsel des logischen Zustands des Ausgangssignals 87. Das Ausgangssignal 87 führt bei erkanntem Überstrom zum Polaritätswechsel am Ausgang 92 (dies kann beispielsweise einen Überstrom am Messwiderstand 70 erkannt bedeuten; in Folge dessen soll die Schalteinheit 15 zum Schutz öffnen). Ein Rücksetzen des Ausgangs 92 des Speicherelements 88 könnte beispielsweise über den Mikrocontroller 21 erfolgen.The comparator 82 is supplied with a supply voltage 89, 131, preferably with the first supply voltage V1, via a supply input 86. An output signal 87 of the comparator 82 is fed to a storage element 88, for example a flip-flop. The storage element 88 could also be implemented as software. If the measured difference at the measuring resistor 70 and 72 is above or, depending on the method used, below the corresponding limit value 84, the comparator 82 generates a corresponding output signal 87 (for example, overcurrent detected; switching unit 15 opens "off" for protection) or a change in the logical state of the output signal 87. If an overcurrent is detected, the output signal 87 leads to a change in polarity at the output 92 (this can mean, for example, an overcurrent detected at the measuring resistor 70; as a result, the switching unit 15 should open for protection). A reset of the output 92 of the memory element 88 could, for example, be done via the microcontroller 21.

Das Speicherelement 88 weist einen Versorgungseingang 90 auf, über den das Speicherelement 88 mit einer Versorgungsspannung 89, bevorzugt mit einer redundanten Versorgungsspannung, versorgt wird. Das Ausgangssignal 92 des Speicherelements 88 wird einem Treiber 94 zugeführt. Das Ausgangssignal 92 des Speicherelements 88 ist das Aus-Signal, welches über ein jeweiliges Ausgangssignal 114, 116 des Treibers 94 ein Abschalten (Öffnen) der jeweiligen Schalter 61, 62, 63 im Falle eines Überstroms bewirkt. Als Bestandteil des Treibers 94 können Plausibilisierungsmittel vorgesehen sein, über die ermittelt wird, ob ein Abschalten der Schalteinheit 15 mit zugehörigen Schaltern 61, 62, 63 auch tatsächlich durchgeführt werden soll. In den nachfolgenden Ausführungsbeispielen kann diese Plausibilisierung durch eine entsprechende logische Und-Verknüpfung (in nachfolgenden Ausführungsbeispielen mit 180 bzw. 230 bezeichnete Und-Verknüpfungen) mit weiteren Signalen, im Ausführungsbeispiel gemäß 2 beispielsweise mit einem Ausgangssignal 108 eines weiteren Speicherelements 134 wie nachfolgend beschrieben, erfolgen. Diese Plausibilisierungs-Logik ist beim Ausführungsbeispiel gemäß 2 in dem Treiber 94 integriert. Zumindest die Speichereinrichtung 88, zumindest der Komparator 82 sowie zumindest der Messverstärker 78 sind Bestandteile einer als Block angedeuteten Überwachungseinrichtung 140.The memory element 88 has a supply input 90, via which the memory element 88 is supplied with a supply voltage 89, preferably with a redundant supply voltage. The output signal 92 of the memory element 88 is fed to a driver 94. The output signal 92 of the memory element 88 is the off signal, which causes the respective switches 61, 62, 63 to be switched off (opened) in the event of an overcurrent via a respective output signal 114, 116 of the driver 94. Plausibility checks can be provided as part of the driver 94, via which it is determined whether the switching unit 15 with associated switches 61, 62, 63 should actually be switched off. In the following embodiments, this plausibility check can be carried out by a corresponding logical AND operation (in the following embodiments, AND operations designated 180 or 230) with further signals, in the embodiment according to 2 for example, with an output signal 108 of a further memory element 134 as described below. This plausibility logic is in the embodiment according to 2 integrated in the driver 94. At least the memory device 88, at least the comparator 82 and at least the measuring amplifier 78 are components of a monitoring device 140 indicated as a block.

Dem Treiber 94 werden über einen Eingang 96 eine Treiberspannung und/oder über einen weiteren Eingang 98 eine weitere, von derjenigen über den Eingang 96 zugeführten Treiberspannung unabhängige, Treiberspannung zugeführt. Beide Versorgungsspannungen, auch als Hilfsspannungen 137, 139 bezeichnet, müssen zueinander rückwirkungsfrei angebunden werden.A driver voltage is supplied to the driver 94 via an input 96 and/or a further driver voltage, independent of the driver voltage supplied via the input 96, is supplied via a further input 98. Both supply voltages, also referred to as auxiliary voltages 137, 139, must be connected to one another without any feedback.

Außerdem generiert der Treiber 94 weitere Ausgangssignale 110, 112, welche ein Einschalten (Ein) der jeweiligen Schalter 61, 62, 63 bewirken. Hierbei bewirkt das Ausgangssignal 110 eine Aktivierung des ersten Schalters 61, das Ausgangssignal 112 die Aktivierung des zweiten Schalters 62 etc. Außerdem generiert der Treiber 94 entsprechende Ausgangssignale zum Abschalten der jeweiligen Schalter 61, 62, 63. Hierbei dient das Ausgangssignal 114 dem Ausschalten des ersten Schalters 61, das Ausgangssignal 116 dem Ausschalten des zweiten Schalters 62 etc. Dies erfolgt über die jeweiligen Treiber 67, 68, 69 für die jeweiligen Schalter 61, 62, 63.In addition, the driver 94 generates further output signals 110, 112, which cause the respective switches 61, 62, 63 to be switched on. The output signal 110 activates the first switch 61, the output signal 112 activates the second switch 62, etc. In addition, the driver 94 generates corresponding output signals for switching off the respective switches 61, 62, 63. The output signal 114 is used to switch off the first switch 61, the output signal 116 is used to switch off the second switch 62, etc. This is done via the respective drivers 67, 68, 69 for the respective switches 61, 62, 63.

Gegebenenfalls kann über den bzw. die Treiber 67, 68, 69 auch eine Temperaturabschaltung im Falle einer Übertemperatur vorgenommen werden. Dazu kann optional eine entsprechende Temperaturerfassung 118 der Schalteinheit 15 vorgesehen sein.If necessary, a temperature shutdown can also be carried out in the event of an overtemperature via the driver(s) 67, 68, 69. For this purpose, a corresponding temperature detection 118 of the switching unit 15 can optionally be provided.

Über ein Element 100 (zur Erzeugung eines redundanten Eingangssignals „Ein“), beispielsweise ein weiterer Mikrocontroller, ein Registerspeicher oder Ähnliches, wird ein redundantes Eingangssignal 102 für den Treiber 94 erzeugt und dem Treiber 94 zur Verfügung gestellt. Bei dem Eingangssignal 102 kann es sich um ein Einschaltsignal (Ein) für die Schalteinheit 15 handeln. Dem Element 100 kann über einen Eingang 104 ein Ausgangssignal des Mikrocontrollers 21 zugeführt werden. Außerdem ist ein weiteres Eingangssignal 106 für den Treiber 94 vorgesehen, welches von dem Mikrocontroller 21 bereitgestellt werden kann, nämlich ein Einschaltsignal (Ein) für die Schalteinheit 15. Die beiden Einschaltsignale 102,106 werden miteinander verodert. Liegt also zumindest ein Einschaltwunsch über eines der Signale 102,106 vor, generiert die Treiberstufe 94 entsprechende Einschaltsignale 110,112 für die Schalter 61, 62, 63.A redundant input signal 102 is generated for the driver 94 and made available to the driver 94 via an element 100 (for generating a redundant input signal "On"), for example another microcontroller, a register memory or the like. The input signal 102 can be a switch-on signal (On) for the switching unit 15. An output signal from the microcontroller 21 can be fed to the element 100 via an input 104. In addition, a further input signal 106 is provided for the driver 94, which can be provided by the microcontroller 21, namely a switch-on signal (On) for the switching unit 15. The two switch-on signals 102, 106 are ORed with one another. If there is at least one switch-on request via one of the signals 102, 106, the driver stage 94 generates corresponding switch-on signals 110, 112 for the switches 61, 62, 63.

Der zwischen der Energieversorgung 60 und dem Ausgang 66 fließende Strom wird redundant erfasst. Im Ausführungsbeispiel erfolgt eine redundante Erfassung (neben der Erfassung über den Messwiderstand 70) durch eine Erfassung des zwischen den Verzweigungspunkten der Schalter 61, 62, 63 fließenden Stroms, also des über die Schalteinheit 15 fließenden Stroms. Die Potenziale vor und nach der Parallelschaltung der Schalter 61, 62, 63 werden über die Widerstände 120, 122 jeweils an einen weiteren Messverstärker 124 geführt. Der Messverstärker 124 weist wiederum einen Versorgungseingang 126 auf, über den der weitere Messverstärker 124 mit einer Versorgungsspannung 131, vorzugsweise einer weiteren Versorgungsspannung V2, mit Energie versorgt wird.The current flowing between the power supply 60 and the output 66 is detected redundantly. In the exemplary embodiment, redundant detection (in addition to detection via the measuring resistor 70) is carried out by detecting the current flowing between the branching points of the switches 61, 62, 63, i.e. the current flowing via the switching unit 15. The potentials before and after the parallel connection of the switches 61, 62, 63 are each fed to a further measuring amplifier 124 via the resistors 120, 122. The measuring amplifier 124 in turn has a supply input 126, via which the further measuring amplifier 124 is supplied with energy using a supply voltage 131, preferably a further supply voltage V2.

Das Ausgangssignal des weiteren Messverstärkers 124 wird einem (weiteren) Komparator 128 zugeführt. Der Komparator 128 vergleicht das zugeführte Ausgangssignal mit einem Grenzwert 130, der dem Komparator 128 an dessen Eingang zur Verfügung gestellt wird. Der Komparator 128 dient der Überstromerkennung des über die Schalteinheit 15 fließenden Stroms, wenn dieser den Grenzwert 130 übersteigt. Der Grenzwert 130 zur Erhöhung der Einfachfehlersicherheit kann wiederum aus zwei Abschaltschwellen gebildet sein. So könnte eine der Abschaltschwellen durch den Controller 21 vorgegeben werden. Die weitere Abschaltschwelle könnte durch eine weitere Hardwareschaltung vorgegeben werden, gegebenenfalls versorgt durch eine weitere Versorgungsspannung V2. Für die Generierung des Grenzwerts 84, 130 können entsprechende Schaltungen eingesetzt werden. Zur Erfüllung der funktionalen Sicherheit muss die Veränderung des Grenzwerts 84, welcher bei gleichbleibender Messgröße zum Polaritätswechsel am Ausgang des Komparators 82 führt, mit hinreichenden Maßnahmen verhindert werden. Hierzu könnte der Grenzwert 84, 130 beispielsweise aus zwei Referenzquellen gebildet werden. So könnte einer der Grenzwerte 84,130 durch einen Mikrocontroller 21 vorgegeben werden, beispielsweise mittels PWM-Signal und Tiefpassfilter oder mittels eines Digital-Analog-Ausgangs (DAC). Der weitere Grenzwert 130 sollte durch eine unabhängige Referenzquelle umgesetzt werden. Hierzu kann eine diskrete Schaltung genutzt werden, beispielsweise mittels Spannungsteiler, Zener-Diode oder mittels integrierter Schaltungen (beispielsweise Bandabstandsreferenz). Beide Vorgabemöglichkeiten werden beispielsweise über das Element 141 (wie beispielhaft in 7 gezeigt) zur Sicherstellung der Rückwirkungsfreiheit, beispielsweise über Dioden und Widerstände, an einen Spannungsteiler, eingekoppelt, der das entsprechende Spannungssignal für die Überstromschwelle dem Eingang des Komparators 128 zur Verfügung stellt. Dadurch führen Einfachfehler eines Ausfalls des vom Microcontroller 21 bereitgestellten Grenzwerts 84, 130 bzw. der Ausfall des von der weiteren Hardware bereitgestellten Grenzwerts 84, 130 nicht zu einem Abschalten der Leistungsstufe bzw. Schalter 61, 62, 63.The output signal of the further measuring amplifier 124 is fed to a (further) comparator 128. The comparator 128 compares the supplied output signal with a limit value 130 that is made available to the comparator 128 at its input. The comparator 128 is used to detect overcurrent of the current flowing through the switching unit 15 if this exceeds the limit value 130. The limit value 130 to increase the single fault safety can in turn be formed from two shutdown thresholds. For example, one of the shutdown thresholds could be specified by the controller 21. The further shutdown threshold could be specified by another hardware circuit, possibly supplied by another supply voltage V2. Appropriate circuits can be used to generate the limit value 84, 130. To fulfill functional safety, the change in the limit value 84, which leads to a change in polarity at the output of the comparator 82 when the measured variable remains the same, must be prevented with sufficient measures. For this purpose, the limit value 84, 130 could be formed from two reference sources, for example. One of the limit values 84, 130 could be specified by a microcontroller 21, for example by means of a PWM signal and low-pass filter or by means of a digital-analog output (DAC). The other limit value 130 should be implemented by an independent reference source. A discrete circuit can be used for this, for example by means of a voltage divider, Zener diode or by means of integrated circuits (for example band gap reference). Both specification options are, for example, via the element 141 (as shown in the example in 7 shown) to ensure freedom from feedback, for example via diodes and resistors, to a voltage divider, which provides the corresponding voltage signal for the overcurrent threshold to the input of the comparator 128. As a result, single errors such as a failure of the limit value 84, 130 provided by the microcontroller 21 or the failure of the limit value 84, 130 provided by the other hardware do not lead to a shutdown of the power stage or switches 61, 62, 63.

Der Komparator 128 umfasst einen Versorgungseingang 132, über den der Komparator 128 mit der Versorgungsspannung 131, insbesondere mit der weiteren Versorgungsspannung V2, versorgt wird. Erreicht das Ausgangssignal am Messverstärker 124 den Grenzwert 130, so generiert der Komparator 128 ein entsprechendes Ausgangssignal 133, welches einem weiteren Speicherelement 134, insbesondere ein Flipflop, zugeführt ist und zu einem Setzen des entsprechenden Ausgangs 108 (Ausschalten der Schalteinheit 15 „Aus“) führt. Das weitere Speicherelement 134 wird über einen Versorgungseingang 136 mit einer Versorgungsspannung 131, insbesondere mit der weiteren Versorgungsspannung V2, mit Energie versorgt. Das Ausgangssignal 108 des weiteren Speicherelements 134 wird wiederum dem Treiber 94 zugeführt. Erreicht der gesamte über die Schalter 61, 62, 63 fließende Strom einen bestimmten Grenzwert 130, wird ein entsprechendes Aus-Signal 108 generiert und dem Treiber 94 zugeführt. Liegen beide Abschaltsignale 92, 108 vor, werden über den Treiber 94 die Ansteuersignale für die Schalter 61, 62, 63 deaktiviert. Zur weiteren Diagnose und Plausibilisierung der Fehlerursache können die Abschaltsignale 92, 108 und bestimmte Diagnosemechanismen genutzt werden. Zumindest die weitere Speichereinrichtung 134, zumindest der weitere Komparator 128 sowie zumindest der weitere Messverstärker 124 sind Bestandteile einer als Block angedeuteten weiteren Überwachungseinrichtung 142.The comparator 128 comprises a supply input 132, via which the comparator 128 is supplied with the supply voltage 131, in particular with the further supply voltage V2. If the output signal at the measuring amplifier 124 reaches the limit value 130, the comparator 128 generates a corresponding output signal 133, which is fed to a further storage element 134, in particular a flip-flop, and leads to a setting of the corresponding output 108 (switching off the switching unit 15 "off"). The further storage element 134 is supplied with energy via a supply input 136 with a supply voltage 131, in particular with the further supply voltage V2. The output signal 108 of the further storage element 134 is in turn fed to the driver 94. If the total current flowing through the switches 61, 62, 63 reaches a certain limit value 130, a corresponding off signal 108 is generated and fed to the driver 94. If both shutdown signals 92, 108 are present, the control signals for the switches 61, 62, 63 are deactivated via the driver 94. The shutdown signals 92, 108 and certain diagnostic mechanisms can be used for further diagnosis and plausibility checks of the cause of the error. At least the further storage device 134, at least the further comparator 128 and at least the further measuring amplifier 124 are components of a further monitoring device 142 indicated as a block.

Die Plausibilisierung des Ausschaltwunsches 108 erfolgt über das Ausgangssignal 92 des Speicherelements 88 und umgekehrt. Signalisieren beide Ausgangssignale 92, 108 der Speicherelemente 88, 134 einen Ausschaltwunsch, wird die Schaltereinheit 15 abgeschaltet. Bei der Verwendung von Feldeffekttransistoren bzw. Mosfets als Schaltelement 61, 62, 63 kann die Plausibilisierung oder gegebenenfalls eine weitere Plausibilisierung eines über den Messwiderstand 70 detektierten Fehlers anhand des Widerstands zwischen Drain und Source Rds am Mosfet über die beschriebene Messung und softwareseitige Auswertung erfolgen. Eventuell könnte auf die Messung über dem Schalter (RDSon- Messung) komplett verzichtet werden. Hierbei könnte, um gewisse Sicherheitsanforderungen zu erfüllen, zweimal über die Messwiderstände 70, 72 gemessen werden wie beispielsweise in 4 gezeigt. Die Schalterdiagnose könnte dann über einen erweiterten Gate-Treiber erfolgen, welcher die Schalter 61, 62, 63 einzeln ein- und abschalten kann. Dadurch kann bei jedem Abschalten getestet werden, ob der einzelne Schalter 61, 62, 63 sperrfähig ist.The plausibility of the switch-off request 108 is checked via the output signal 92 of the storage element 88 and vice versa. If both output signals 92, 108 of the storage elements 88, 134 signal a switch-off request, the switch unit 15 is switched off. When using field effect transistors or MOSFETs as switching elements 61, 62, 63, the plausibility or, if necessary, further plausibility of an error detected via the measuring resistor 70 can be carried out using the resistance between drain and source Rds on the MOSFET via the described measurement and software evaluation. It may be possible to dispense with the measurement via the switch (RDSon measurement) completely. In order to meet certain safety requirements, measurements could be taken twice via the measuring resistors 70, 72, as for example in 4 shown. The switch diagnosis could then be carried out via an extended gate driver, which can switch the switches 61, 62, 63 on and off individually. This makes it possible to test whether the individual switch 61, 62, 63 can be blocked each time it is switched off.

Bei dem Ausführungsbeispiel gemäß 2 ist ein Redundanzkonzept der Schalter 61, 62, 63 ausgeführt, welches sich durch das Vorsehen eines weiteren Schalters 63, zusätzlich zu den parallelverschalteten Schaltern 61, 62, auszeichnet. Die Schaltelemente 61, 62 bilden aus leistungselektronischer Perspektive die notwendige Stromtragfähigkeit ab. Aufgrund des optimierten Schaltverfahrens und einfachfehlersicheren Aufbaus ist keine vollständige Redundanz aller benötigten Elemente erforderlich. Ein kritischer Einfachfehler ist der offene Ausfall eines der Schaltelemente 61, 62 oder 63. Mit den hier vorgeschlagenen Schaltungen, der Sicherstellung der Rückwirkungsfreiheit und Entkopplung der jeweiligen Einfachfehler führt der kritischste Einfachfehler maximal zum Verlust eines Schalters 61, 62, 63. Bei den Schaltern 61, 62, 63 handelt es sich um Leistungshalbleiter wie beispielsweise Feldeffekttransistoren (Mosfet), IGBTs oder Ähnlichen.In the embodiment according to 2 a redundancy concept of the switches 61, 62, 63 is implemented, which is characterized by the provision of a further switch 63 in addition to the switches 61, 62 connected in parallel. The switching elements 61, 62 represent the necessary current carrying capacity from a power electronics perspective. Due to the optimized switching process and single-fault-safe design, complete redundancy of all required elements is not necessary. A critical single fault is the open failure of one of the switching elements 61, 62 or 63. With the circuits proposed here, the assurance of freedom from feedback and decoupling of the respective single faults, the most critical single fault leads to the loss of a switch 61, 62, 63 at most. The switches 61, 62, 63 are power semiconductors such as field effect transistors (MOSFETs), IGBTs or similar.

Die Betriebsführung ist redundant. Durch eine Veroderung (logische Oder-Verknüpfung) des Einschaltwunsches („Ein“ gemäß der Signale 102, 106) und die Verundung (logische Und-Verknüpfung) des Abschaltwunsches („Aus“ gemäß der Ausgangssignale 92, 108) der Schaltereinheit 15 wird zudem sichergestellt, dass der Verbraucher 16 bzw. Ausgang 66 für den Verbraucher nur dann abgeschaltet wird, wenn es übergeordnete Sicherheitsziele erfordern (beispielsweise Komponentenschutz, Leitungsschutz, etc.). Dadurch wird die Einhaltung des Sicherheitszieles „sicheres Versorgen“ mit entsprechender Integrität realisiert. Das beschriebene Konzept führt zu niedrigen Gesamtkosten bei gleicher Zuverlässigkeit bzw. gleichem Sicherheitslevel.The operation is redundant. By ORing (logical OR operation) the switch-on request (“On” according to signals 102, 106) and ANDing (logical AND operation) the switch-off request (“Off” according to output signals 92, 108) of the switch unit 15, it is also ensured that the consumer 16 or output 66 for the consumer is only switched off if higher-level safety objectives require it (for example, component protection, line protection, etc.). This ensures compliance with the safety objective of “safe supply” with the appropriate integrity. The concept described leads to low overall costs with the same reliability or the same safety level.

Ein Element 141 zur Sicherstellung der Rückwirkungsfreiheit und Entkopplung (vgl. beispielsweise 7) kann jeweils zwei Zweige von in Reihe geschalteten Widerständen und Dioden aufweisen, wobei die beiden Zweige ausgangsseitig miteinander verbunden sind. Die Dioden sind so verschaltet, dass sie nur einen Stromfluss von der Eingangsseite, nämlich von den beiden zu verknüpfende Eingangssignalen, zur Ausgangsseite zulassen. Dadurch wird die Rückwirkungssicherheit sichergestellt. Die Widerstände sind zur Strombegrenzung vorgesehen und werden je nach Anforderung hierfür geeignet dimensioniert.An element 141 to ensure freedom from feedback and decoupling (see for example 7 ) can have two branches of series-connected resistors and diodes, with the two branches connected to each other on the output side. The diodes are connected in such a way that they only allow current to flow from the input side, namely from the two input signals to be linked, to the output side. This ensures that there is no interference. The resistors are intended to limit the current and are dimensioned accordingly depending on the requirements.

Zusätzlich sieht das Konzept eine technische Umsetzung einer einfachfehlersicheren Strommessung mit latenter Fehlererkennung vor, wodurch ein Einfachfehler in der Strommessung nicht zur Verletzung des Sicherheitsziels „sicheres Versorgen“ führt. Zusätzlich kann ein latenter Fehler der Schalter 61, 62, 63 in der Leistungsstufe erkannt werden. In den nachfolgenden 3-6 werden mögliche Varianten der Strommessung aufgezeigt, um bei Einfachfehlern sicher vor einer (unberechtigten) Schnellabschaltung zu sein.In addition, the concept provides for a technical implementation of a single-fault-safe current measurement with latent error detection, whereby a single error in the current measurement does not lead to a violation of the safety objective of "safe supply". In addition, a latent error of the switches 61, 62, 63 in the power stage can be detected. In the following 3-6 Possible variants of current measurement are shown in order to be safe from (unjustified) rapid shutdown in the event of simple errors.

Das Ausführungsbeispiel gemäß 3 zeichnet sich durch drei parallelverschaltete Messwiderstände 70, 72, 73 aus, die jeweils zwischen der Energieversorgung 60 bzw. dem Anschluss für eine Energieversorgungsleitung und dem Verzweigungspunkt der mehreren parallelverschalteten Schaltmittel 61, 62, 63 angeordnet sind. Das Potenzial vor und nach den Messwiderständen 70, 72, 73 wird jeweils über die Widerstände 74, 76 an den Messverstärker 78 (Strommessverstärker CSA) und über die Widerstände 174,176 an den weiteren Messverstärker 178 (Strommessverstärker CSA) geführt. Das Ausgangssignal 79 des Messverstärkers 78 und das Aussignal 179 des Messverstärkers 178 gelangen an das Logikbauelement 180, nämlich eine Und-Verknüpfung. Das Logikbauelement 180 generiert aus den beiden Eingangssignalen 79,179 ein Ausgangssignal 182 (Aus-Befehl), wenn beide Ausgangssignale 79,179 auf einen Ausschaltwunsch (jeweils Aus-Befehl) schließen lassen. Auf diese Art und Weise erfolgt eine Plausibilisierung, sodass ein unberechtigtes Abschalten der Schalteinheit 15 unterbunden werden kann. Zusätzlich kann durch Auswerten der Abschaltsignale 79, 179, beispielsweise mittels Messung durch den Mikrocontroller 21, bei unterschiedlichen Signalzuständen auf einen Fehlerfall der Hardware geschlossen werden. Allerdings ist eine weitere Information zum Beispiel durch eine weitere Strommessung wie in 3 dargestellt, erforderlich, um auf die genaue Fehlerursache schließen zu können. Die Auswertung der Fehlerursache muss mittels Ausschlussverfahren und dazu entwickelter Software erfolgen. Dadurch wird die Zuverlässigkeit des Gesamtsystems deutlich erhöht und auf Fahrzeugebene können geeignete Maßnahmen eingeliefert leitet werden, beispielsweise Fahrerwarnung, Reduzierung der Leistung der betroffenen Verbraucher etc.The embodiment according to 3 is characterized by three parallel-connected measuring resistors 70, 72, 73, which are each arranged between the power supply 60 or the connection for a power supply line and the branching point of the several parallel-connected switching means 61, 62, 63. The potential before and after the measuring resistors 70, 72, 73 is respectively led via the resistors 74, 76 to the measuring amplifier 78 (current measuring amplifier CSA) and via the resistors 174, 176 to the further measuring amplifier 178 (current measuring amplifier CSA). The output signal 79 of the measuring amplifier 78 and the output signal 179 of the measuring amplifier 178 reach the logic component 180, namely an AND connection. The logic component 180 generates an output signal 182 (off command) from the two input signals 79,179 if both output signals 79,179 indicate a switch-off request (off command in each case). In this way, a plausibility check is carried out so that unauthorized switching off of the switching unit 15 can be prevented. In addition, by evaluating the switch-off signals 79, 179, for example by means of measurement by the microcontroller 21, it can be concluded that there is a hardware error in the case of different signal states. However, further information is available, for example by means of another current measurement as in 3 shown, required in order to be able to determine the exact cause of the error. The evaluation of the cause of the error must be carried out using the process of elimination and software developed for this purpose. This significantly increases the reliability of the overall system and suitable measures can be introduced at vehicle level, for example driver warning, reducing the power of the affected consumers, etc.

Das Ausgangssignal 182 kann wiederum dem Treiber 94 zugeführt werden. Durch die Und-Verknüpfung der beiden Signale 79, 179 führt ein Einfachfehler in der Strommessung nicht zum fehlerhaften Abschalten der Schalter 61, 62, 63. Häufig auftretende Fehler sind insbesondere Maximalausschläge der Messwerte. Hierbei kann es zum Beispiel zu nachfolgendem Fehlerbild kommen. Wird beispielsweise von einem Messverstärker 78 der minimal bzw. der maximal mögliche Wert ausgegeben und vom anderen Messverstärker 178 ein dazu deutlich abweichender Wert ausgegeben, kann nicht eindeutig geklärt werden, welcher Pfad fehlerhaft ist. Die Abschaltung wird bei unterschiedlichen Zuständen der Signale 79, 179 nicht auslösen und verhindert damit bei den Fehlerbildern (Maximalwertausschlag (stuck to high), und Minimalwertausschlag (stuck to low) das Öffnen der Schalter 61, 62, 63 bzw. des Kanals, wodurch die Integrität des Sicherheitsziels sichergestellt wird.The output signal 182 can in turn be fed to the driver 94. By ANDing the two signals 79, 179, a single error in the current measurement does not lead to the faulty switching off of the switches 61, 62, 63. Frequently occurring errors are, in particular, maximum deflections of the measured values. This can, for example, lead to the following error pattern. For example, if a measuring amplifier 78 outputs the minimum or maximum possible value and the other measuring amplifier 178 outputs a value that differs significantly from this, it cannot be clearly determined which path is faulty. The switch-off will not be triggered if the signals 79, 179 are in different states and thus prevents the opening of the switches 61, 62, 63 in the event of the error patterns (maximum value deflection (stuck to high) and minimum value deflection (stuck to low). or the channel, thereby ensuring the integrity of the security objective.

Wie bereits im Ausführungsbeispiel gemäß 2 beschrieben wird auch eine Messung des zwischen den Verzweigungspunkten der parallelverschalteten Schalter 61, 62, 63 fließenden Stroms vorgenommen. Die Potenziale an den Verzweigungspunkten der Schalter 61, 62, 63 werden jeweils über Widerstände 120, 122 an den Messverstärker 124 geführt, der ein Ausgangssignal 125 generiert. Diese Strommessung und Generierung des Ausgangssignals 125 dient der Diagnose und damit auch der Latentfehlererkennung der Schaltelemente 61, 62, 63, so dass ein sicheres Trennen wie auch ein sicheres Versorgen sichergestellt werden kann. Das Ausführungsbeispiel gemäß 3 zeichnet sich somit durch eine vorteilhafte Erkennung von Einfachfehlern und Latentfehlern aus. Hierbei werden wie bereits optional in Verbindung mit Ausführungsbeispiel nach 2 beschriebene drei Strommessverstärker 78, 124, 178 benötigt. Durch die Bereitstellung einer dritten Messgröße 125 kann eine Diagnosefunktion die Fehlerursache ermitteln und dezidierte Maßnahmen einleiten. Wiederum sind zumindest die Überwachungseinrichtung 140 und die weitere Überwachungseinrichtung 142, die jeweils die nicht eigens dargestellte Speichereinrichtung 90, 134, jeweils zumindest den nicht eigens dargestellten Komparator 82, 128 sowie jeweils zumindest den Messverstärker 78, 124, 178 umfassen, zur redundanten Überwachung der entsprechenden Messgrößen enthalten.As already shown in the example according to 2 A measurement of the current flowing between the branching points of the parallel-connected switches 61, 62, 63 is also described. The potentials at the branching points of the switches 61, 62, 63 are each fed via resistors 120, 122 to the measuring amplifier 124, which generates an output signal 125. This current measurement and generation of the output signal 125 serves for diagnosis and thus also for latent error detection of the switching elements 61, 62, 63, so that safe separation and safe supply can be ensured. The embodiment according to 3 is thus characterized by an advantageous detection of simple errors and latent errors. As already optionally in connection with the embodiment according to 2 described three current measuring amplifiers 78, 124, 178 are required. By providing a third measured variable 125, a diagnostic function can determine the cause of the error and initiate specific measures. Again, at least the monitoring device 140 and the further monitoring device 142, each of which includes the memory device 90, 134 (not shown separately), at least the comparator 82, 128 (not shown separately) and at least the measuring amplifier 78, 124, 178, are included for redundant monitoring of the corresponding measured variables.

Das Ausführungsbeispiel gemäß 4 unterscheidet sich von demjenigen nach 3 lediglich darin, dass die Stromerfassung an den Schaltern 61, 62, 63 nicht mehr vorgesehen ist, während eine redundante Stromerfassung über zwei (der drei) parallel verschaltete Messwiderstände 70, 72 unter Verwendung zweier Messverstärker 78, 178 vorgenommen wird. Durch die Und-Verknüpfung im Logikbauteil 180 führt ein Einfachfehler in der Strommessung weiterhin nicht zum Öffnen des Kanals, wodurch die Integrität des Sicherheitsziels weiterhin sichergestellt wird. Ein Öffnen der Schalteinheit 15 erfolgt nur dann, wenn sowohl ein Überstrom an den Messwiderständen 70, 72 vorliegt und mittels der Messverstärker 78, 178 detektiert wird. Wiederum sind drei parallelverschaltete Messwiderstände 70, 72, 73 vorgesehen. Wird davon ausgegangen, dass die Leistungsfähigkeit auch mit weniger Messwiderständen realisiert werden kann, dann ist es möglich, die Anzahl der Messwiderstände auf einen Messwiderstand zu reduzieren. Allerdings ist hier die Abhängigkeit der ASIL-Integrität zu prüfen, ob aus Redundanzgründen gegebenenfalls ein weiterer Messwiderstand eingesetzt werden muss. Bei der in 4 dargestellten Variante fehlt die Messung über den Schaltern 61, 62, 63. Daher ist zur eindeutigen Diagnostizierbarkeit der Trennfähigkeit der Leistungsschalter 61, 62, 63 notwendig, insbesondere einen Treiber mit Einzelansteuerung zu integrieren. Wiederum sind zumindest die Überwachungseinrichtung 140 und die weitere Überwachungseinrichtung 142, die jeweils die nicht eigens dargestellte Speichereinrichtung 80, 134, jeweils zumindest den nicht eigens dargestellten Komparator 82, 128 sowie jeweils zumindest den Messverstärker 78, 178 umfassen, zur redundanten Überwachung der entsprechenden Messgrößen enthalten.The embodiment according to 4 differs from that according to 3 merely in that current detection at switches 61, 62, 63 is no longer provided, while redundant current detection is carried out via two (of the three) measuring resistors 70, 72 connected in parallel using two measuring amplifiers 78, 178. Due to the AND connection in logic component 180, a single error in the current measurement still does not lead to the channel being opened, which means that the integrity of the safety objective is still ensured. The switching unit 15 is only opened if there is an overcurrent at the measuring resistors 70, 72 and it is detected by means of the measuring amplifiers 78, 178. Again, three measuring resistors 70, 72, 73 connected in parallel are provided. If it is assumed that the performance can also be achieved with fewer measuring resistors, then it is possible to reduce the number of measuring resistors to one measuring resistor. However, the dependency of the ASIL integrity must be checked here to see whether an additional measuring resistor may need to be used for redundancy reasons. 4 In the variant shown, the measurement via the switches 61, 62, 63 is missing. Therefore, in order to be able to clearly diagnose the isolating capability of the power switches 61, 62, 63, it is necessary to integrate a driver with individual control. Again, at least the monitoring device 140 and the further monitoring device 142, which each comprise the memory device 80, 134 (not shown separately), at least the comparator 82, 128 (not shown separately) and at least the measuring amplifier 78, 178, are included for redundant monitoring of the corresponding measured variables.

Bei dem Ausführungsbeispiel gemäß 5 wird der über die Schalter 61, 62, 63 fließende Strom redundant erfasst. Die Potenziale an den Verzweigungspunkten werden jeweils über Widerstände 220, 222 an einen weiteren Messverstärker 224 geführt, der ein Ausgangssignal 225 generiert. Wie bereits auch in 4 erläutert ist darüber hinaus vorgesehen, die Potenziale an den Verzweigungspunkten der Schalter 61, 62, 63 über Widerstände 120, 122 an den Messverstärker 124 zu führen, der daraus das Ausgangssignal 125 erzeugt. Die Ausgangssignale 125, 225 der jeweiligen Messverstärker 124, 224 gelangen wiederum an ein Logikbauteil 230, nämlich eine Und-Verknüpfung, aus denen ein Ausgangssignal 231, insbesondere ein Aus-Signal, generiert wird. Nur wenn beide Ausgangssignale 125, 225 aktiv sind, wird ein entsprechendes Ausgangssignal 231, welches zum Abschalten der Schalteinheit 15 führt, erzeugt. Dieses Ausgangssignal 231 wird beispielsweise an den Treiber 94 weitergeleitet. Wiederum führt ein Einfachfehler in der Strommessung (beispielsweise Stuck to high, Drift) nicht zum Öffnen des Kanals bzw. sämtlicher Versorgungspfade 64, da die beiden Ausgangssignale 125, 225 wieder Und-verknüpft sind. Dadurch wird die Integrität des Sicherheitsziels sichergestellt. Wie in 5 angedeutet werden für den Messverstärker 224 die Potenziale nah an dem Schalter 61 abgegriffen, während die Potenziale für den Messverstärker 124 nah an dem Schalter 63 abgegriffen werden. Wiederum sind zumindest die Überwachungseinrichtung 140 und die weitere Überwachungseinrichtung 142, die jeweils die nicht eigens dargestellte Speichereinrichtung 80, 134, jeweils zumindest den nicht eigens dargestellten Komparator 82, 128 sowie jeweils zumindest den Messverstärker 124, 224 umfassen, zur redundanten Überwachung der entsprechenden Messgrößen enthalten.In the embodiment according to 5 the current flowing through the switches 61, 62, 63 is redundantly recorded. The potentials at the branching points are each fed via resistors 220, 222 to a further measuring amplifier 224, which generates an output signal 225. As already mentioned in 4 As explained, it is also provided that the potentials at the branching points of the switches 61, 62, 63 are fed via resistors 120, 122 to the measuring amplifier 124, which generates the output signal 125 from this. The output signals 125, 225 of the respective measuring amplifiers 124, 224 in turn reach a logic component 230, namely an AND connection, from which an output signal 231, in particular an off signal, is generated. Only when both output signals 125, 225 are active is a corresponding output signal 231 generated, which leads to the switching unit 15 being switched off. This output signal 231 is forwarded, for example, to the driver 94. Again, a single error in the current measurement (for example, stuck to high, drift) does not lead to the opening of the channel or all supply paths 64, since the two output signals 125, 225 are again AND-linked. This ensures the integrity of the safety target. As in 5 As indicated, the potentials for the measuring amplifier 224 are tapped close to the switch 61, while the potentials for the measuring amplifier 124 are tapped close to the switch 63. Again, at least the monitoring device 140 and the further monitoring device 142, which each comprise the memory device 80, 134 (not shown separately), at least the comparator 82, 128 (not shown separately) and at least the measuring amplifier 124, 224, are included for redundant monitoring of the corresponding measured variables.

Bei dem Ausführungsbeispiel gemäß 6 wird die Strommessung mittels eines Messverstärkers 178 über den Messwiderstand 72 und dem Messverstärker 124 über den Schaltern 61, 62, 63 realisiert. Die Potenziale vor und nach dem Messwiderstand 72 werden jeweils über die Widerstände 174, 176 an den Messverstärker 178 geführt, dessen Ausgangssignal 179 an den Logikbaustein 180 (Und-Gatter) gelangt. Ebenso werden die Potenziale vor und nach den Verzweigungspunkten der Schalter 61, 62, 63 über die jeweiligen Widerstände 120, 122 an den Messverstärker 124 geführt, dessen Ausgangssignal 125 ebenfalls an den Logikbaustein 180 gelangt. Die beiden Ausgangssignale 125, 179 werden logisch Und-verknüpft und daraus das Ausgangssignal 181 („Aus“) generiert. Das Ausgangssignal 181 kann ebenfalls dem Treiber 94 zur Verfügung gestellt werden. Ein Einfachfehler in der Strommessung führt durch die Und-Verknüpfung der Ausgangssignale 125, 179 nicht zum Öffnen des Kanals bzw. der Versorgungspfade 64 der Schaltereinheit 15, wodurch die Integrität des Sicherheitsziels sichergestellt wird. Außerdem kann durch die Messung insbesondere des Widerstands zwischen Drain und Source (RDS(on)) bei einem Feldeffekttransistor bzw. Mosfet die Niederohmigkeit des Schalters 61, 62, 63 überwacht werden. Diese Niederohmigkeit zwischen Eingang und Ausgang des Kanals stellt sicher, dass das Sicherheitsziel sicheres Versorgen nicht verletzt wird. Das Ausführungsbeispiel zeichnet sich durch eine geringe Anzahl an für die Überwachung notwendiger Bauteile aus, wobei dennoch sowohl Einfachfehler wie auch Latentfehler sicher erkannt werden. Wiederum sind zumindest die Überwachungseinrichtung 140 und die weitere Überwachungseinrichtung 142, die jeweils die nicht eigens dargestellte Speichereinrichtung 80, 134, jeweils zumindest den nicht eigens dargestellten Komparator 82, 128 sowie jeweils zumindest den Messverstärker 124, 178 umfassen, zur redundanten Überwachung der entsprechenden Messgrößen enthalten.In the embodiment according to 6 The current measurement is carried out by means of a measuring amplifier 178 via the measuring resistor 72 and the measuring amplifier 124 via the switches 61, 62, 63. The potentials before and after the measuring resistor 72 are each fed via the resistors 174, 176 to the measuring amplifier 178, whose output signal 179 is fed to the logic module 180 (AND gate). The potentials before and after the branching points of the switches 61, 62, 63 via the respective resistors 120, 122 to the measuring amplifier 124, whose output signal 125 also reaches the logic module 180. The two output signals 125, 179 are logically AND-linked and the output signal 181 ("Off") is generated from this. The output signal 181 can also be made available to the driver 94. Due to the AND-linking of the output signals 125, 179, a single error in the current measurement does not lead to the opening of the channel or the supply paths 64 of the switch unit 15, thereby ensuring the integrity of the safety objective. In addition, the low impedance of the switch 61, 62, 63 can be monitored by measuring in particular the resistance between drain and source (RDS(on)) in a field effect transistor or MOSFET. This low resistance between the input and output of the channel ensures that the safety objective of safe supply is not violated. The exemplary embodiment is characterized by a small number of components required for monitoring, whereby both simple errors and latent errors are nevertheless reliably detected. Again, at least the monitoring device 140 and the further monitoring device 142, which each comprise the memory device 80, 134 (not shown separately), at least the comparator 82, 128 (not shown separately) and at least the measuring amplifier 124, 178, are included for redundant monitoring of the corresponding measured variables.

Das Ausführungsbeispiel gemäß 7 basiert auf dem Überwachungskonzept nach 4. Die Überwachungseinrichtung 140 umfasst den Messverstärker 78, den Komparator 82 sowie das Speicherelement 88. Der Grenzwert wird durch einen Spannungsteiler 232, redundant versorgt durch Versorgungen 89, 131, rückwirkungsfrei miteinander gekoppelt über das Element 141, gebildet und dem einen Eingang des Komparators 82 zugeführt. Die weitere Überwachungseinrichtung 142 umfasst den Messverstärker 178, den weiteren Komparator 128 sowie das Speicherelement 134. Der Grenzwert des weiteren Komparators 128 wird redundant versorgt durch die Versorgung 89, 131 über einen Spannungsteiler 232 gebildet. Auch entsprechende Ausgangssignale der Messverstärker 82, 178 werden abgegriffen und zur weiteren Auswertung dem Mikrocontroller 21 zugeführt.The embodiment according to 7 is based on the monitoring concept according to 4 The monitoring device 140 comprises the measuring amplifier 78, the comparator 82 and the storage element 88. The limit value is formed by a voltage divider 232, redundantly supplied by supplies 89, 131, non-reactively coupled to one another via the element 141, and fed to one input of the comparator 82. The further monitoring device 142 comprises the measuring amplifier 178, the further comparator 128 and the storage element 134. The limit value of the further comparator 128 is redundantly supplied by the supply 89, 131 via a voltage divider 232. Corresponding output signals of the measuring amplifiers 82, 178 are also tapped and fed to the microcontroller 21 for further evaluation.

In dem Blockdiagramm gemäß 8 ist das zugrunde liegende Konzept zur Erfüllung der Anforderungen sicheres Versorgen und sicheres Trennen mit entsprechender Integrität zusammengefasst. Die redundante Betriebsführung zeichnet sich durch zumindest zwei unabhängige und zueinander rückwirkungsfreie sowie entkoppelte Ansteuerungspfade der Schaltelemente 61, 62, 63 aus. Hierzu sind alle notwendigen Versorgungsspannungen 89, 131 bzw. Hilfsspannungen 137,139, wenn diese durch den Ausfall das Verletzen eines Sicherheitsziels verursachen können, redundant auszuführen. Zusätzlich sind alle in 8 aufgeführten Komponenten mit einer oder beiden der redundanten Quellen zu versorgen. In dem hier beispielhaft dargestellten Konzept wird jede Quelle über ein Element 141 zur Sicherstellung der Rückwirkungsfreiheit und Entkopplung angebunden. Dadurch wird sowohl eine Rückwirkung unterbunden sowie weitere Quereffekte unterdrückt. Der Mikrocontroller 21 als Hauptprozessor wird beispielsweise aus den Quellen der Versorgung 89 und ein weiterer Hilfsrechner 100 den Quellen der weiteren Versorgung 131 mit den erforderlichen Betriebs- und Referenzspannungen versorgt.In the block diagram according to 8 The underlying concept for meeting the requirements of safe supply and safe separation with the appropriate integrity is summarized. The redundant operation is characterized by at least two independent and mutually non-reactive and decoupled control paths of the switching elements 61, 62, 63. For this purpose, all necessary supply voltages 89, 131 or auxiliary voltages 137,139, if these could cause a safety objective to be violated due to failure, must be implemented redundantly. In addition, all in 8 listed components with one or both of the redundant sources. In the concept shown here as an example, each source is connected via an element 141 to ensure freedom from feedback and decoupling. This prevents feedback and suppresses further cross effects. The microcontroller 21 as the main processor is supplied with the required operating and reference voltages, for example, from the sources of the supply 89 and another auxiliary computer 100 from the sources of the additional supply 131.

Das Ausführungsbeispiel gemäß 8 zeichnet sich durch eine hoch integrierte Treiberschaltung aus. Dadurch kann die für die Ansteuerung benötigte Anzahl an Bauelementen auf ein Mindestmaß reduziert werden. Zusätzlich ermöglicht die Einführung einer Pulstreiberstufe 146 und einer Erhaltungstreiberstufe 144 die rückwirkungsfreie Nutzung der Hilfsspannungsversorgungen. Ein Einfachfehler, beispielsweise der Kurzschluss des Gates (Treiber 67, 68, 69) eines Leistungshalbleiters (Schalter 61, 62, 63) gegen Source, führt weiterhin maximal zum Verlust eines der Schalter 61, 62, 63, wobei die verbliebenen Schalter 61, 62 weiterhin zur Verfügung stehen. Ein Einfachfehler des Ausschaltsignals 92, 108 führt nicht zum Abschalten der Schalteinheit 15. Ein Einfachfehler bei Ausfall des Mikrocontrollers 21 führt nicht zum Abschalten des Kanals, da das Einschaltsignal 102 über eine Zwischenspeicherung im Hilfsrechner bzw. Register 100 erfolgt.The embodiment according to 8 is characterized by a highly integrated driver circuit. This means that the number of components required for control can be reduced to a minimum. In addition, the introduction of a pulse driver stage 146 and a maintenance driver stage 144 enables the non-reactive use of the auxiliary voltage supplies. A single error, for example a short circuit of the gate (driver 67, 68, 69) of a power semiconductor (switch 61, 62, 63) to source, still leads at most to the loss of one of the switches 61, 62, 63, whereby the remaining switches 61, 62 are still available. A single error of the switch-off signal 92, 108 does not lead to the switching unit 15 being switched off. A single error in the event of a failure of the microcontroller 21 does not lead to the channel being switched off, since the switch-on signal 102 is buffered in the auxiliary computer or register 100.

Dadurch wird erreicht, dass auch beim Ausfall einer Versorgungseinheit, insbesondere beim Ausfall einer Hauptquelle die Versorgungspfade 64 aktiv bleiben. Hierzu müssen alle Schaltungselemente aus der ersten Versorgung 89 und aus der weiteren Versorgung 131 versorgt werden. Dadurch wird weiterhin erreicht, dass der am Anschlusses 66 angebundene, insbesondere sicherheitsrelevante Verbraucher 16, zuverlässig mit der geforderten Integrität an die Hauptverteilung bzw. Energieversorgung 60 angebunden ist.This ensures that the supply paths 64 remain active even if a supply unit fails, in particular if a main source fails. For this purpose, all circuit elements must be supplied from the first supply 89 and from the further supply 131. This also ensures that the consumer 16 connected to the connection 66, in particular the safety-relevant consumer, is reliably connected to the main distribution or energy supply 60 with the required integrity.

Für beide Versorgungen 89, 131 in 7 wird empfohlen, auf heterogene (inhomogene) Redundanzkonzepte zurückzugreifen. Dies könnte zum Beispiel die Verwendung von zwei unterschiedlichen Wandlungseinheiten (Linear, DC/DC etc.) erfordern. Mittels Anbindung der jeweiligen Schaltungseinheiten (z.B. Generierung Einschaltsignal, Treiber, Register, Mikrokontroller, Hilfsspannungen, Logikspannungen usw.) über das Element 141 zur Sicherstellung der Rückwirkungsfreiheit und Entkopplung wird verhindert, dass Fehler in einer der Versorgungen 89, 131 oder in einem der angeschlossenen Komponenten bzw. Bauelementen auf eine der gemeinsamen Versorgungen 89, 131 negative Rückwirkungen hat.For both supplies 89, 131 in 7 it is recommended to use heterogeneous (inhomogeneous) redundancy concepts. This could, for example, require the use of two different conversion units (linear, DC/DC, etc.). By connecting the respective circuit units (e.g. generation of switch-on signal, drivers, registers, microcontrollers, auxiliary voltages, logic voltages, etc.) via element 141 to Ensuring freedom from feedback and decoupling prevents errors in one of the supplies 89, 131 or in one of the connected components or elements from having negative effects on one of the common supplies 89, 131.

Die beiden Versorgungen 89, 131 können unterschiedlich leistungsstark aufgebaut sein, da die daran angebundenen weiteren Versorgungsspannungen so angebunden werden, dass der Versorgungspfad 64 gegebenenfalls einen Notbetrieb aufrechterhalten kann, nicht aber die Inbetriebnahme bzw. das schnelle Einschalten gewährleistet (beispielsweise aufgrund einer hochohmigen und einer niederohmigen Anbindung an eine der beiden Versorgungen 89, 131). Somit kann im Fall eines Einfachfehlers immer auf eine der beiden Quellen zurückgegriffen werden.The two supplies 89, 131 can be designed with different power levels, since the additional supply voltages connected to them are connected in such a way that the supply path 64 can maintain emergency operation if necessary, but does not guarantee commissioning or rapid switching on (for example due to a high-impedance and a low-impedance connection to one of the two supplies 89, 131). In the event of a single error, one of the two sources can therefore always be used.

Zusätzlich ist außerdem möglich, eine der beiden Versorgungen 89, 131 auf eine geringe Ruhestromaufnahme zu optimieren. Dies kann vor allem für einen schnelleren Wechsel der Betriebszustände Sleep bzw. Standby in den Normalbetrieb bzw. steady state vorteilhaft sein. Zur Einhaltung einer geringen Ruhestromaufnahme, beispielsweise 100 µA, müssen Leistungsschalter geöffnet werden. Wird auch im Ruhemodus eine Versorgung 89, 131 benötigt, wird diese über eine weitere, deutlich leistungsschwächere, ruhestromoptimierte und kosteneffiziente Quelle realisiert. Dadurch können deutlich geringere Aufwach- bzw. wake-up Zeiten erreicht werden. Unabhängig von der Weckursache (Zündungssignal KI15, CAN aktiv, Verbraucherstrom übersteigt Weckschwelle etc.) kann der Ausgangskanal 15 den Verbraucher 16 innerhalb <1ms in die volle Leistungsfähigkeit versetzen. Bei Anwendung des beschriebenen Fast-Wake-Up-Verfahrens werden die Versorgungen 89, 131 für eine geringe Ruhestromaufnahme entweder abgeschaltet oder entlastet. Dadurch werden die restriktiven Ruhestromanforderungen und ein schnelles Aufwachen, damit insbesondere die schnelle Sicherstellung der Betriebsbereitschaft, erreicht. Sollten Ausgangskanäle mit Sicherheitsintegrität schnell zugeschaltet werden (Fast-Wake-Up), müssen bis zur Bereitstellung der notwendigen Sicherheitsintegrität des angeschlossenen Verbrauchers ggf. Diagnosefunktionen ausgeführt werden. Daher ist die volle Leistungsfähigkeit sehr schnell (<1ms) sichergestellt und die volle Sicherheitsintegrität nach dem Hochfahren des Mikrocontrollers 21 sowie der Ausführung von entprechend für die Schalteinheit 15 und das Gesamtsystem vorgesehenen Diganosefunktionen. Hierbei kann die Dauer beispielsweise bei <250 ms liegen. Sind alle Diagnoseergebnisse innerhalb der vorgegebenen Bereiche, kann dem Gesamtsystem die volle Sicherheitsintegrität zugesagt werden und damit beispielsweise der sofortige Fahrtantritt ermöglicht werden.It is also possible to optimize one of the two supplies 89, 131 for a low quiescent current consumption. This can be particularly advantageous for a faster change from the sleep or standby operating states to normal operation or steady state. To maintain a low quiescent current consumption, for example 100 µA, circuit breakers must be opened. If a supply 89, 131 is also required in sleep mode, this is implemented via another, significantly lower-performance, quiescent current-optimized and cost-efficient source. This enables significantly shorter wake-up times to be achieved. Regardless of the wake-up cause (ignition signal KI15, CAN active, consumer current exceeds wake-up threshold, etc.), output channel 15 can bring consumer 16 to full performance within <1ms. When using the fast wake-up procedure described, supplies 89, 131 are either switched off or relieved for a low quiescent current consumption. This ensures that the restrictive quiescent current requirements and a fast wake-up are met, and in particular that operational readiness is ensured quickly. If output channels with safety integrity are switched on quickly (fast wake-up), diagnostic functions may have to be carried out until the necessary safety integrity of the connected consumer is provided. Full performance is therefore ensured very quickly (<1ms) and full safety integrity after the microcontroller 21 has booted up and the diagnostic functions provided for the switching unit 15 and the overall system have been carried out. The duration can be <250 ms, for example. If all diagnostic results are within the specified ranges, full safety integrity can be assured for the overall system, making it possible to start driving immediately, for example.

Zwei unabhängige Logik- bzw. Steuereinheiten (beispielsweise Hauptrechner 99 wie ein Mikrocontroller 21 und ein Hilfsrechner 100 wie beispielsweise ein Registerspeicher) stellen die Statusinformationen und die Kontrollinformationen der Ausgangskanäle bzw. Versorgungspfade 64 redundant zur Verfügung. Vorzugsweise wird ein hochperformanter Hauptrechner 99 verbaut, welcher durch eine umfangreiche Architektur und damit umfassende Überwachungskonzepte gegenüber Fehlverhalten abgesichert wird. Der Hilfsrechner 100, im einfachsten Fall lediglich ein unabhängiges Status- und Kontrollregister, kann den aktuellen Betriebszustand und Steuersignale unabhängig vom Hauptrechner 99 oder seiner Versorgung im Fehlerfall aufrechterhalten. Die entsprechenden Ausgangssignale (Ausgangssignal 102 des Hilfsrechners 100, Ausgangssignal 106 des Mikrocontrollers 21) gelangen beide an den Treiber 94 für die Schalteinheit 15.Two independent logic or control units (for example, main computer 99 such as a microcontroller 21 and an auxiliary computer 100 such as a register memory) provide the status information and the control information of the output channels or supply paths 64 redundantly. Preferably, a high-performance main computer 99 is installed, which is protected against malfunctions by an extensive architecture and thus comprehensive monitoring concepts. The auxiliary computer 100, in the simplest case just an independent status and control register, can maintain the current operating state and control signals independently of the main computer 99 or its supply in the event of a fault. The corresponding output signals (output signal 102 of the auxiliary computer 100, output signal 106 of the microcontroller 21) both reach the driver 94 for the switching unit 15.

Es sind zwei unabhängige Überwachungseinrichtungen 140, 142 (wie exemplarisch für die 2 - 7 beschrieben) vorgesehen, welche den Zustand der Versorgungspfade 64 (zwischen 60 und 66) unabhängig voneinander auf Fehler wie beispielsweise Überlast überwachen, um im Fehlerfall ein Trennen der leitfähigen Verbindung zwischen Eingang 60 und Ausgang 66 anzufordern. Durch die Unabhängigkeit muss sichergestellt werden, dass es keine (bzw. nur vertretbar unwahrscheinliche) Fehlerfälle gibt, bei denen beide Überwachungseinrichtungen 140,142 fälschlicherweise gleichzeitig eine Trennung anfordern. Wie bereits beschrieben umfassen die Schutzeinrichtungen 140,142 entsprechende Messwiderstände 70, 72, 73 bzw. Spannungsabgriffe an den Schaltmitteln 61, 62, 63, jeweils entsprechende Messverstärker 78, 124, 178 und/oder jeweils entsprechende Komparatoren 82, 128 zur Auswertung der Messsignale der Messverstärker 78, 124, 178 und/oder jeweils entsprechende Speicherglieder 88, 134 zum Zwischenspeichern bestimmter Statusinformationen und/oder entsprechende Logikglieder 180 zur Plausibilisierung eines Ausschaltwunsches bzw. eines Einschaltwunsches. Die Überwachungseinrichtung 140 und die weitere Überwachungseinrichtung 142 umfassen wiederum jeweils die nicht eigens dargestellte Speichereinrichtung 80, 134, jeweils den nicht eigens dargestellten Komparator 82, 128 sowie jeweils zumindest den nicht dargestellten Messverstärker 78, 124, 178.There are two independent monitoring devices 140, 142 (as shown for the 2 - 7 described) are provided, which independently monitor the state of the supply paths 64 (between 60 and 66) for errors such as overload, in order to request a disconnection of the conductive connection between input 60 and output 66 in the event of an error. The independence must ensure that there are no (or only reasonably unlikely) error cases in which both monitoring devices 140,142 incorrectly request a disconnection at the same time. As already described, the protective devices 140, 142 comprise corresponding measuring resistors 70, 72, 73 or voltage taps on the switching means 61, 62, 63, corresponding measuring amplifiers 78, 124, 178 and/or corresponding comparators 82, 128 for evaluating the measurement signals of the measuring amplifiers 78, 124, 178 and/or corresponding storage elements 88, 134 for temporarily storing certain status information and/or corresponding logic elements 180 for checking the plausibility of a switch-off request or a switch-on request. The monitoring device 140 and the further monitoring device 142 in turn each comprise the storage device 80, 134 (not shown separately), the comparator 82, 128 (not shown separately) and at least the measuring amplifier 78, 124, 178 (not shown separately).

Weiterhin sind n voneinander entkoppelte Treiberstufen 67, 68, 69, usw. und Schalter 61, 62, 63, usw. vorgesehen. Die Schalter 61, 62, 63, usw. dienen dazu, durch Parallelschaltung von beispielsweise Mosfets oder IGBTs als Leistungsschalter in den jeweiligen Versorgungspfaden 64, die niederohmige Verbindung zwischen Hauptversorgung 60 und dem Ausgang 66 zur Versorgung des angebundenen Verbrauchers zur Verfügung zu stellen. Die Treiberstufen 67, 68, 69 sind intern so aufgebaut, dass jeweils eine der beiden unabhängigen Logikeinheiten 99, 100 in der Lage ist, den leitfähigen Status einzuleiten oder aufrechtzuerhalten. Die im Beispiel gezeigte Pulstreiberstufe 146 ist durch die Pulsfähigkeit in der Lage, die Schalter 61, 62, 63 schnell vom gesperrten in den leitfähigen Zustand zu überführen. Durch die Pulsfähigkeit besteht allerdings ein erhöhtes Risiko, dass sich ein Einfehler in einem der Schalter 61, 62 oder 63 über eine Verkopplung auf die anderen Treiberstufen 67, 68 oder 69 auswirkt. In letzter Konsequenz kann sich somit ein Einfachfehler eines Leistungsschalters 61, 62, 63 auf den gesamten Kanal 15 auswirken. Durch die Einführung einer unabhängigen Erhaltungstreiberstufe 144, beispielsweise aus zwei Versorgungseinheiten 89, 131 versorgt, können die Rückwirkungen durch eine hochohmigen Anbindung des fehlerhaften Pfads an die Versorgungsquelle vermieden werden.Furthermore, n decoupled driver stages 67, 68, 69, etc. and switches 61, 62, 63, etc. are provided. The switches 61, 62, 63, etc. serve to act as power switches in parallel by connecting, for example, Mosfets or IGBTs. the respective supply paths 64, to provide the low-resistance connection between the main supply 60 and the output 66 for supplying the connected consumer. The driver stages 67, 68, 69 are internally constructed in such a way that one of the two independent logic units 99, 100 is able to initiate or maintain the conductive status. The pulse driver stage 146 shown in the example is able to quickly transfer the switches 61, 62, 63 from the blocked to the conductive state due to its pulse capability. However, due to the pulse capability there is an increased risk that a single fault in one of the switches 61, 62 or 63 will affect the other driver stages 67, 68 or 69 via a coupling. Ultimately, a single fault in a power switch 61, 62, 63 can therefore affect the entire channel 15. By introducing an independent maintenance driver stage 144, for example supplied from two supply units 89, 131, the feedback effects caused by a high-impedance connection of the faulty path to the supply source can be avoided.

Durch die Konzepte der Sicherstellung der Rückwirkungsfreiheit und Entkopplung durch entsprechende Elemente 141 bzw. Blöcke 141 und der Puls- sowie Erhaltungstreiberstufe 146, 144 kann im Einfachfehlerfall eines Leistungsschalters 61, 62, 63 immer gewährleistet werden, dass die höchste Auswirkung den Ausfall eines Mosfets bzw. Schalters 61, 61, 63 bedingt. Alle anderen Leistungsschalter 61, 62, 63 und auch ggf. parallel geschaltete und aus den gleichen Quellen versorgte Ausgangskanäle bleiben aktiv.By ensuring the absence of feedback and decoupling through corresponding elements 141 or blocks 141 and the pulse and maintenance driver stage 146, 144, it can always be ensured in the event of a single fault of a circuit breaker 61, 62, 63 that the greatest effect is the failure of a MOSFET or switch 61, 61, 63. All other circuit breakers 61, 62, 63 and also any output channels connected in parallel and supplied from the same sources remain active.

Die Treiber 67, 68, 69 sind intern so aufgebaut, dass nur beide Überwachungseinrichtungen 140, 142 gemeinsam in der Lage sind, den leitfähigen Pfad zwischen Eingang 60 und Ausgang 66 zu unterbrechen. Die beiden Trennanforderungen der beiden Überwachungseinrichtungen 140, 142 werden erst so nah an den jeweiligen Schaltern 61, 62, 63, 63.n kombiniert, dass es keine Einfachfehler gibt, welche mehrere Schalter 61, 62, 63, 63.n gleichzeitig deaktivieren. Zusätzlich wird durch die schalternahe Verknüpfung ein Minimum an schalterindividuellen Komponenten erreicht. Die Anzahl der Schalter n ist so gewählt, dass der hochohmigere Ausfall eines der Teilpfade bzw. Versorgungspfade 64.1... n für eine ausreichend lange Fehlertoleranzzeit nicht das Sicherheitsziel einer zuverlässigen Versorgung der am Ausgang 66 angeschlossenen Lasten, insbesondere sicherheitsrelevante Verbraucher 16, gefährdet. Die Treiber 67, 68, 69 stellen durch ihren speziellen internen Aufbau sicher, dass auch Fehler in einem einzelnen Schalter 61 keine negativen Auswirkungen auf andere Schalter 62, 63, 63n haben, welche das Sicherheitsziel der Bereitstellung einer ausreichend niederohmigen Verbindung verletzt (bei der Umsetzung beispielsweise ein Kurzschluss zwischen Gate und Source, welcher innerhalb des Treibers 67, 68, 69 gekapselt werden muss, um ein Durchgreifen auf die anderen Schalter 62, 63, 63n zu verhindern).The drivers 67, 68, 69 are internally designed in such a way that only both monitoring devices 140, 142 together are able to interrupt the conductive path between input 60 and output 66. The two isolation requirements of the two monitoring devices 140, 142 are only combined so close to the respective switches 61, 62, 63, 63.n that there are no single errors that deactivate several switches 61, 62, 63, 63.n at the same time. In addition, the connection close to the switch ensures a minimum of switch-specific components. The number of switches n is selected such that the high-resistance failure of one of the partial paths or supply paths 64.1... n for a sufficiently long fault tolerance time does not endanger the safety goal of a reliable supply of the loads connected to the output 66, in particular safety-relevant consumers 16. The drivers 67, 68, 69 ensure through their special internal structure that even errors in a single switch 61 do not have any negative effects on other switches 62, 63, 63n, which violates the safety objective of providing a sufficiently low-resistance connection (in the implementation, for example, a short circuit between gate and source, which must be encapsulated within the driver 67, 68, 69 in order to prevent it from affecting the other switches 62, 63, 63n).

Weiterhin ist ein redundant gespeistes Massekonzept vorgesehen, angedeutet durch eine Masse 148 und eine weitere Masse 150. Dadurch wird sichergestellt, dass die interne Bezugsmasse des Steuergeräts eine ausreichend hohe Gesamtverfügbarkeit aufweist.Furthermore, a redundantly supplied ground concept is provided, indicated by a ground 148 and a further ground 150. This ensures that the internal reference ground of the control unit has a sufficiently high overall availability.

Der Leistungsverteiler 18 mit zugehöriger Überwachungsschaltungen 140, 142 ist beispielsweise in einem 12 V-Bordnetz 13 in einem Kraftfahrzeug direkt an der Schnittstelle zwischen dem nicht sicherheitsrelevanten Teilbordnetz 10 und dem sicherheitsrelevanten Teilbordnetz 11, insbesondere ASIL-qualifizierten Teilbordnetz 11, angeordnet. Die Verwendung ist jedoch darauf nicht eingeschränkt.The power distributor 18 with associated monitoring circuits 140, 142 is arranged, for example, in a 12 V electrical system 13 in a motor vehicle directly at the interface between the non-safety-relevant sub-electrical system 10 and the safety-relevant sub-electrical system 11, in particular the ASIL-qualified sub-electrical system 11. However, the use is not restricted to this.

ZITATE ENTHALTEN IN DER BESCHREIBUNGQUOTES INCLUDED IN THE DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of documents listed by the applicant was generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA accepts no liability for any errors or omissions.

Zitierte PatentliteraturCited patent literature

DE 102019205800 A1 [0002]
DE 102020107695 A1 [0003]

Claims

Device for supplying energy to a safety-relevant consumer in a motor vehicle, wherein at least one switch (61, 62, 63) is provided in a supply path (64) for supplying and protecting the safety-relevant consumer (16), comprising at least one first monitoring device (140) for monitoring at least the supply path (64) for the safety-relevant consumer (66), comprising a further monitoring device (142) independent of the first monitoring device (140) for monitoring at least the supply path (64) and/or a further supply path (64) for the safety-relevant consumer (66), wherein the monitoring devices (140, 142) independently of one another monitor at least one electrical characteristic of the supply path (64) and/or the further supply path (64) for a fault and compare each with a limit value (84, 130), wherein a plausibility check is provided in order to generate a shutdown signal (114, 116) for the switch (61, 62, 63) when both output signals (92, 108) of the monitoring devices (140, 142) indicate that the respective limit value (84,130) has been reached and thus that an error has occurred, characterized in that the monitoring devices (140,142) each comprise at least one measuring amplifier (78,124) for detecting the respective characteristic variable, at least one comparator (82,128) to which an output variable of the respective measuring amplifier (78, 124) is fed, and a storage element (88,134) to which an output variable of the comparator (82,128) is fed.

Device according to Claim 1 , characterized in that at least two or three switches (71, 72, 73) connected in parallel are provided for supplying and protecting the safety-relevant consumer (66).

Device according to one of the preceding claims, characterized in that at least one measuring means, in particular a measuring resistor (70, 72,73) or an inductive measuring means, preferably two or three measuring means connected in parallel to one another, in particular measuring resistors (70, 72,73), is provided in series with the switch (61) and/or in series with at least two or three switches (61, 62, 63) connected in parallel.

Device according to one of the preceding claims, characterized in that the potential difference at the measuring resistor (70, 72, 73) and/or at the switch (61, 62, 63) is fed to the measuring amplifier (78,124), in particular via at least one resistor (74, 76,120,122,174, 220, 222).

Device according to one of the preceding claims, characterized in that the potential differences at at least two measuring resistors (70, 72, 73) are each fed to the measuring amplifier (78,124) and/or that the potential differences at at least one measuring resistor (70, 72,73) and at at least one switch (61, 62, 63) are each fed to the measuring amplifier (78,124) and/or that the potential differences at at least two switches (61, 62, 63) are each fed to the measuring amplifier (78, 124).

Device according to one of the preceding claims, characterized in that a limit value (84,130) is supplied to the comparator (82,128).

Device according to one of the preceding claims, characterized in that the limit value (84,130) is designed as a constant or static and/or as a dynamically adjustable limit value (84,130).

Device according to one of the preceding claims, characterized in that at least two mutually independent supplies (89,131) are provided, wherein the one comparator (82) and/or the measuring amplifier (78) and/or a circuit for generating a limit value (84, 130) is supplied by the one supply (89), the further comparator (128) and/or the further measuring amplifier (124) and/or a circuit for generating a limit value (84, 130) is supplied by the further supply (131).

Device according to one of the preceding claims, characterized in that the output signals of the memory elements (88,134) are fed to a logical combination (180, 230), in particular an AND gate, for plausibility check.

Device according to one of the preceding claims, characterized in that a driver (67, 68, 69) is provided for each switch (61, 62, 63), in particular controlled by the driver (94), and/or wherein the driver (67, 68, 69) is supplied by at least two different supplies and/or the driver (67, 68, 69) receives a redundant control signal (102, 106; 92, 108), in particular a switch-on signal or a switch-off signal.

Device according to one of the preceding claims, characterized in that at least two independent control devices or logic units are provided for Generation of a control signal (106) for the driver(s) (67, 68, 69, 94, 144,146).

Device according to one of the preceding claims, characterized in that a controller (21) and at least one auxiliary computer (100), in particular a register, are provided as independent control devices.

Device according to one of the preceding claims, characterized in that at least one limit value (82,130) for the comparator (82, 128) is generated redundantly, in particular by a hardware circuit and by an output signal of the controller (21) or the auxiliary computer (100).