Designtrends bei Aktoren für Functional-Safety-Systeme

| Redakteur: Benjamin Kirchbeck

Analoge Bauelemente, die für Functional-Safety-Anwendungen entwickelt wurden, erlauben die Realisierung elektrischer Aktorsysteme für elektrifizierte, „by-wire“-gesteuerte Fail-Operational-Fahrzeugarchitekturen. Doch welchen Einfluss haben die CASE-Trends auf diese Systeme?

Firmen zum Thema

Die Elektrifizierung des Antriebsstrangs und die Einführung von Lithium-Ionen-Akkus verstärkt die Notwendigkeit, beim Design elektrisch betätigter Systeme wie etwa Lenkung und Bremse die Safety-Normen im Blick zu behalten.
Die Elektrifizierung des Antriebsstrangs und die Einführung von Lithium-Ionen-Akkus verstärkt die Notwendigkeit, beim Design elektrisch betätigter Systeme wie etwa Lenkung und Bremse die Safety-Normen im Blick zu behalten.
(Bild: Clipdealer)

Die unter dem Kürzel CASE (Connected, Autonomous, Shared, Electric) zusammengefassten vier Trends sind auf dem Automobilsektor die aufregendste Entwicklung, seitdem vor mehr als hundert Jahren das erste T-Modell vom Fließband rollte. Umweltfreundlichere, sicherere und effizientere Autos werden für sauberere Luft in unseren Städten sorgen und gleichzeitig unsere Abhängigkeit von den nicht erneuerbaren Energiequellen verringern. In der Antriebsstrang- und Chassis-Architektur treffen diese Trends auf interessante Weise aufeinander. Funktionen, die traditionell vom Fahrer betätigt wurden, werden durch automatische Lösungen ersetzt, die die nötige Intelligenz für einen sichereren und effizienteren Betrieb mitbringen.

Willkommen im By-Wire-Zeitalter – diesmal aber mit Vertrauen

Techniken wie Steer-by-Wire, Brake-by-Wire und Shift-by-Wire sowie elektrifizierte Antriebsstränge bringen für die Designer dieser Systeme ein ganzes Bündel neuer Herausforderungen mit sich. Der Umstieg auf elektrische Fahrzeugfunktionen führt zur Verwendung von weniger mechanischen Bauteilen, was wiederum eine Gewichtsreduzierung bewirkt, gängige mechanische Ausfallarten beseitigt und die Integration intelligenter Features erlaubt.

Ein Steer-by-Wire-System etwa, welches das Ansprechverhalten der Lenkung auf intelligente Weise an die Fahrbahn- und Wetterbedingungen anpasst, kommt der Fahrzeugdynamik zugute und senkt den Kraftstoffverbrauch. Ein weiteres Beispiel sind die Automatikgetriebe und die Shift-by-Wire-Technik: Hier steuert ein elektrischer Aktor, abgestimmt auf die effizientesten Betriebspunkte des Motors, die Gangwechsel. Nicht zuletzt bieten derartige Systeme einen Sicherheitsvorteil, da ein Wegrollen inaktiver oder geparkter Fahrzeuge verhindert wird. Die für By-Wire-Systeme benötigten Hard- und Softwarekomponenten sind bereits seit einigen Jahren verfügbar. Was jedoch fehlte war das benötigte Vertrauen der Konsumenten.

Vom Fail-Safe- zum Fail-Operational-System

Wenn Aktoren von mechanischer auf elektrische Energie umgestellt werden, müssen sich auch die Safety-Architekturen weiterentwickeln. Bei den meisten elektrischen Aktoren in heutigen Safety-Systemen werden allerdings aus Redundanzgründen die ursprünglichen mechanischen Komponenten beibehalten.

Nehmen wir als Beispiel ein elektrisches Bremssystem. Die mechanische Verbindung zwischen Bremspedal und Bremszylinder fungiert hier als Rückfallebene für den Fall, dass das elektrische System ausfällt – auch wenn man dann mit ziemlicher Gewalt auf das Bremspedal treten muss. Elektrische Bremssysteme werden eigensicher (fail-safe) konzipiert, sodass sie im Fehlerfall in einen Zustand wechseln, in dem die Funktionalität der Rückfallebene (in diesem Fall also der Tritt auf das Bremspedal) nicht behindert wird.

Mit zunehmender Weiterentwicklung der autonomen Fahrzeugarchitekturen schwindet die Abhängigkeit von mechanischer Redundanz, weil der Mensch aus dem Regelkreis herausgenommen wird, was zum Entstehen einer ganzen neuen Art von so genannten „Fail-Operational“-Systemen führt. Ein Beispiel für ein solches System ist das Bremssystem eines autonomen Fahrzeugs, in dem der Mensch als Fahrer eine gewisse Zeitspanne nicht verfügbar ist, wenn das System für die elektrische Bremsbetätigung ausfällt. In diesem Fall muss das System (wohlgemerkt: nicht die integrierten Schaltungen) weiter funktionieren und das Fahrzeug abbremsen. Beim Design eines solchen Systems kommen die folgenden Sicherheitsaspekte ins Spiel:

  • Die Ausfalltoleranz und der Automotive Safety Integrity Level (ASIL) des Systems
  • Die hinnehmbare funktionale Beeinträchtigung des Systems nach dem Auftreten des ersten Fehlers
  • Notfunktion, Warnung des Fahrers und Dauer des Notbetriebs
  • Erforderlicher ASIL beim Wechsel in den bzw. aus dem sicheren Zustand

Um die Sicherheitsziele und die sicheren Betriebszustände für Fail-Operational-Systeme zu analysieren, lässt sich die zweite Ausgabe der ISO-Norm ISO26262-3:2018, Abschnitt 7 heranziehen. Darin heißt es, dass die Verletzung eines Sicherheitsziels verhindert werden kann, indem in einen oder mehrere „sichere Betriebszustände“ gewechselt wird oder diese beibehalten werden. Ein sicherer Betriebszustand kann als „beibehaltene Funktionalität beim Auftreten eines Fehlers über eine bestimmte Zeitspanne“ interpretiert werden, was gut zu den Überlegungen passt, die weiter oben bereits für Fail-Operational-Systeme angesprochen wurden. Dieser, im nachfolgenden Bild als „sicherer Betriebszustand mit eingeschränkter Funktionalität“ bezeichnete Zustand erfordert Überlegung und eine Analyse der Fahrerwarnung sowie der Risikoexpositionszeit. Darüber hinaus kann ISO 26262-5:2018, 9.2 angewandt werden, wenn es um den Notbetrieb und dessen Dauer nach dem Wechsel von einem sicheren Betriebszustand in den nächsten geht.

Betriebszustände eines betriebssicheren Systems: Die hellrot unterlegten Kästen zeigen die aktive Funktion, während die inaktiven Funktionen grau unterlegt sind.
Betriebszustände eines betriebssicheren Systems: Die hellrot unterlegten Kästen zeigen die aktive Funktion, während die inaktiven Funktionen grau unterlegt sind.
(Bild: TI)

Mit verschiedenen Techniken sind die Systemdesigner darangegangen, die zwischengeschalteten sicheren Betriebszustände, die Risikoexpositionszeiten und das Notbetriebs-Intervall zu verbessern. Mehrere dieser Techniken beruhen auf elektromechanischen Redundanzkonzepten wie etwa Motoren mit doppelten Wicklungen. Diese neuen, auch als „Dual-Stator“- oder „Dual-Inverter“-Motoren bezeichneten Motoren besitzen zwei separat angesteuerte Statorwicklungen und einen Rotor. Diese Konstruktion bürgt dafür, dass beim Ausfall eines Stators ein redundanter Stator – und damit der Rotor – funktionsfähig bleibt. Die Sicherheitsanforderung in diesem Fall lautet natürlich, dass der ausgefallene Pfad eigensicher ausgelegt sein muss und somit die Bewegung des intakten Statorpfads nicht behindern darf. Im Kontext des obig aufgeführten Bildes würde dieser Betrieb mit einem Stator als „sicherer Betriebszustand mit eingeschränkter Funktionalität“ eingeordnet werden.

Weitere Möglichkeiten, das Restrisiko der Verletzung eines Sicherheitsziels auf das 1-FIT-Niveau (Failure in Time) zu senken, wären beispielsweise die Verwendung zweier separater Stromversorgungen (Batterien), die Vorhaltung separater Kommunikationskanäle oder sogar die Integration von Systemen mit unabhängigen 12-V/48-V- oder 12-V/600-V-Bordnetzen.

Elektrifizierung des Antriebsstrangs und zusätzliche Überlegungen zur funktionalen Sicherheit

Die Elektrifizierung des Antriebsstrangs und die Einführung von Lithium-Ionen-Akkus verstärkt die Notwendigkeit, beim Design elektrisch betätigter Systeme wie etwa Lenkung und Bremse die Safety-Normen im Blick zu behalten. Während die Sicherheitsziele bei elektrifizierten Antriebssträngen ähnlich jenen sind, die bereits für Aktoren angesprochen wurden (Bewegung nur auf Anweisung, keine Bewegung ohne Anweisung, keine Behinderung von Bewegungen), besteht bei Lithium-Ionen-Akkus die Sicherheitsvorgabe darin, einen Betrieb außerhalb des sicheren Spannungs- und Temperaturbereichs zu unterbinden.

Ein Problem bei regenerativen Ladesystemen ist die Tatsache, dass ein stromerzeugendes System wie etwa ein Motor/Generator die Batterien überladen könnte. Diese Möglichkeit verlangt nach neuen und innovativen Sicherheits-Features und -Praktiken, um eine Verletzung des Sicherheitsziels auszuschließen.

Funktionale Sicherheit in Hochtemperatur-Anwendungen

Der Aktor und seine Treiberelektronik werden oftmals direkt am Getriebeblock angebracht und deshalb Umgebungstemperaturen von bis zu 150 °C ausgesetzt. Wenn die Elektronik auch bei derart hohen Temperaturen funktionsfähig sein soll, bedarf es spezieller integrierter Schaltungen (ICs), die Halbleiter-Sperrschichttemperaturen bis 175 °C verkraften. Angesichts der exponentiellen Temperaturabhängigkeit müssen Designer die Missionsprofile dieser Hochtemperatur-Anwendungen sorgfältig berücksichtigen, wenn es um die Bestimmung der FIT-Raten geht. Um diesen Anforderungen zu genügen, bietet TI Bauelemente mit dem Kennbuchstaben „E“ im Anschluss an die Typenbezeichnung an, die die Functional-Safety-Anforderungen gemäß AEC-Q100, Grade 0 erfüllen und für Umgebungstemperaturen bis zu 150 °C sowie Sperrschichttemperaturen bis 175 °C ausgelegt sind.

Menschliche Faktoren

Die Arbeitsgruppe ISO TC22/SC32/WG8 führte das SOTIF-Konzept (Safety Of The Intended Function; dt.: Sicherheit der vorgesehenen Funktion) für die künftige Veröffentlichung in ISO/Publicly Available Specification (PAS) 21448 ein. Zweck des SOTIF-Konzepts ist die Schaffung eines Gerüsts zum Identifizieren, Verifizieren und Validieren unvertretbarer Risiken für Fahrassistenzsysteme (Advanced Driver Assistance Systems, ADAS) und autonome Fahrzeuge, auch wenn keine Fehlfunktionen (Fehler) in der Hard- und Software vorliegen.

Bislang ging es bei den Ausführungen um Fail-Safe- und Fail-Operational-Systeme, wobei also stets „fails“ (Fehler) im Mittelpunkt standen. Autonome Systeme aber erfordern weitere Überlegungen für Situationen, in denen keine Fehler vorliegen. Autonome By-Wire-Systeme simulieren eine haptische Rückmeldung, um das mechanische Feedback, an das sich die Autofahrer gewöhnt haben, zu ersetzen. In Steer-by-Wire-Systemen wird dazu ein Motor verwendet, der dem Fahrer über das Lenkrad eine spürbare Rückmeldung gibt. In Brake-by-Wire-Systemen wird häufig ein ähnlicher haptischer Aktor implementiert. Diese Haptik-Mechanismen beruhen auf einer Kombination aus Sensoren und komplexen Algorithmen, die den Aktor zur Erzeugung des haptischen Feedbacks ansteuern.

Während die Norm ISO 26262:3:2018 für die Analyse von Situationen geeignet ist, in denen der Feedback-Aktor ausfällt, bleiben jene Fälle unberücksichtigt, in denen der Feedback-Aktor zwar funktioniert, der Algorithmus aber unerwartete Sensorinformationen erhält, die er nicht korrekt interpretieren kann. In diesem Fall können falsche haptische Rückmeldungen an den Fahrer weitergeleitet werden und ihn zu unbekannten, unsicheren Fahrmanövern veranlassen. SOTIF versucht, einen Rahmen für derartige Szenarien zu schaffen.

Die Herausforderungen der sich weiterentwickelnden Functional-Safety-Systeme

Im Zuge der Weiterentwicklung der Safety-Systeme von Fail-Safe- zu Fail-Operational-Systemen und der rapiden Fortschritte bei den elektrifizierten Antriebssträngen und Getrieben, müssen die Entwickler innovative Methoden zur Vermeidung und Detektierung von Fehlern implementieren, während gleichzeitig Strategien für potenzielle Übergänge von und nach den sicheren Betriebszuständen ausgearbeitet werden.

Das von TI-Portfolio an Power-Management-Bauelementen und analogen Signalketten-Produkten ermöglicht die Zusammenstellung einer kompletten Systemlösung, mit der sich diese Herausforderungen bewältigen lassen. Safety-Power-Management-ICs im Verbund mit Motortreibern bieten eine Lösung für mehrere Systemintegrations-Herausforderungen in Fail-Operational-, By-Wire- und Hochtemperatur-Sicherheitssystemen.

* Basierend auf Unterlagen von Texas Instruments

(ID:46648248)