Empfehlung zur Umsetzung einer Kommunikationsschnittstelle zwischen einem elektrischen Bremskraftverstärker und einem ESC-Steuergerät

Transkript

1 VDA Empfehlung zur Umsetzung einer Kommunikationsschnittstelle zwischen einem elektrischen Bremskraftverstärker und einem ESC-Steuergerät 360 Mit der vorliegenden unverbindlichen VDA-Empfehlung werden folgende Zielsetzungen verbunden: Definition und Erläuterung einer Kommunikationsschnittstelle zwischen einem elektrischen Bremskraftverstärker und einem ESC-Steuergerät, um die Kooperation unterschiedlicher Zulieferer (OES) für den elektrischen Bremskraftverstärker (ebooster) und das ESC zu vereinfachen. Der Anwendungsbereich der vorliegenden Empfehlung ist wie folgt definiert: Gemäß Anwendungsbereich der ECE-R13H: Fahrzeugkategorien M1 (Fahrzeuge zur Personenbeförderung) und N1 (Fahrzeuge zur Güterbeförderung) mit einer zulässigen Gesamtmasse bis zu 3,5 Tonnen. Version 1.0 vom Dezember 2016 Projektgruppe VDA Schnittstelle ebooster ESC Herausgeber: Verband der Automobilindustrie Copyright Behrenstrasse 35 Nachdruck und jede sonstige Form Berlin der Vervielfältigung ist nur mit Telefon 030/ Angabe der Quelle gestattet. Telefax 030/ Internet:

2 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 2 Haftungsausschluss Die VDA-Empfehlungen sind frei verfügbar und haben lediglich empfehlenden Charakter. VDA-Empfehlungen bieten unternehmensübergreifende Orientierung, berücksichtigen jedoch keine fallspezifischen Rahmenbedingungen. Sie bedürfen der weiterführenden Auslegung und Interpretation prozessbeteiligter Geschäftspartner. VDA-Empfehlungen berücksichtigen den zum Zeitpunkt der jeweiligen Ausgabe herrschenden Standardisierungsgrad und Stand der Technik. Durch das Anwenden der VDA-Empfehlungen entzieht sich niemand der Verantwortung für sein eigenes Handeln. Jeder handelt insoweit auf eigene Gefahr. Eine Haftung des VDA und derjenigen, die an den VDA-Empfehlungen beteiligt sind, ist ausgeschlossen. Nutzer werden gebeten, auf Mängel und ausstehende Abstimmungsinhalte hinzuweisen, und sich über den VDA am fortlaufenden Standardisierungsprozess zu beteiligen. Die Verwender der Empfehlung werden gebeten, den VDA auf eventuelle Schutzrechtsprobleme hinzuweisen. Der VDA ist auf Schutzrechte aufmerksam gemacht worden, die Implementierungen der Empfehlung betreffen können. Von den Schutzrechtsinhabern verlangt der VDA eine Erklärung, dass sie bereit sind, Verwendern eine Lizenz für relevante Schutzrechte nach FRAND-Bedingungen zu gewähren, sofern der an dieser Lizenz interessierte Verwender seinerseits bereit ist, gegebenenfalls seine von dieser Empfehlung berührten Schutzrechte ebenfalls zu FRAND-Bedingungen zu lizenzieren. Die Schutzrechtsinhaber, die dem VDA eine solche Erklärung abgegeben haben, können beim VDA erfragt werden. Copyright: VDA

3 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 3 Inhaltsverzeichnis Haftungsausschluss... 2 Inhaltsverzeichnis Einleitung Bremssystemdefinition (Festlegung der Systemgrenzen) Inhalt des Dokuments Systembeschreibung Beschreibung der Systemkomponenten Konzepte im Systemverbund ebooster + ESC Degradationskonzept HMI-Konzept Konzept zur Bremslichtansteuerung Konzept Fahrerbremswunscherkennung Konzept externer Bremswunsch über ebooster OBD Konzept Wakeup/ Postrun Konzept Wakeup Postrun Unter- / Überspannungskonzept Gesonderte Betrachtung für die Bremskraftverstärkung Motorstart Motorstart bei Start/Stopp-Funktionalität Elektrische Schnittstelle Diagnosekonzept Bauteilschutz im ebooster Funktionsaufteilung zwischen ebooster + ESC Abgeleitete Anforderungen an die Teilsysteme Anforderungen an ESC Anforderungen an ebooster Anforderungen an HMI Anforderungen an den Generator Hinweise zur Systemspezifikation Copyright: VDA

4 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite Gesamtbremssystemauslegung Lastspezifikationen Auswirkungen auf ESC Standardfunktionen ebooster Lastwechsel Lastherleitung Regeneratives Bremssystem Grundlegende Funktionsarchitektur Definition einer Funktionalen Architektur Schnittstellendefinition Basisschnittstelle: Darstellung der Grundfunktionalität Übersicht Schnittstellenbeschreibung Signal ebesccompatibilityindex Signal HbcRequest Signal ebdiagactive Signal BrakePedalApplied Signal BrakePedalApplied_Q Signal prunout Signal prunout_q Signal soutputroddriver Signal soutputroddriver_q Signal VehicleSpeed Signal VehicleSpeed_Q Signal pmc Signal pmc1_q Signal AbsActive Signal pestmax Rekuperationsschnittstelle Übersicht Schnittstellenbeschreibung Signal pforceblendingpotential Signal pforceblendingpotential_q Signal soutputrodact Signal soutputrodact_q Signal pmcvirtual Signal pmcvirtual_q Copyright: VDA

5 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite Signal pforceblendingmc Signal pforceblendingmc_q Signal ForceBlendingActive Schnittstelle für Externen Bremswunsch Übersicht Schnittstellenbeschreibung Signal ExtReqPrio Signal ExtReqStatus Signal qtargetexternal Signal qtargetexternal_q Schnittstelle zur Ansteuerung der Warnlampen (HMI) Übersicht Schnittstellenbeschreibung eb_ HMI_WarningOn ESC_HMI_WarningOn Schnittstelle zur Ansteuerung des Bremslichts (BLA) Übersicht Schnittstellenbeschreibung eb_bla ESC_BLA Schnittstelle zur Ansteuerung des Generators Übersicht Schnittstellenbeschreibung RecuBrakeTorqueRequest RecuBrakeTorqueRequest_Q RecuBrakeTorqueCap RecuBrakeTorqueCap_Q RecuBrakeTorqueAct RecuBrakeTorqueAct_Q RecuBrakeTorqueDrag RecuBrakeTorqueDrag_Q Handhabung von Signal-Qualifiers Funktionale Sicherheit Definition des Umfangs eines Bremsregelsystems Motivation der Trennung des Bremsregelsystems in zwei Items Item Definition und Schnittstellen zu anderen Items Gefährdungen und Risiken des Bremsregelsystems Copyright: VDA

6 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite Zu geringes Bremsmoment während der Fahrt (max. ASIL D) Ungewolltes oder zu hohes Bremsmoment während der Fahrt (max. ASIL D) Zu geringes Bremsmoment im Stillstand bei Fahreranwesenheit (QM) Zu hohes Bremsmoment im Stillstand (QM) Keine Ansteuerung des Bremslichts (max. ASIL B) Funktionales Sicherheitskonzept Sicherheitsziel G1.1: Vermeide ein zu geringes Bremsmoment bei Fahrerbremswunsch Abgeleitete Sicherheitsanforderungen für Sicherheitsziel G Sicherheitsziel G1.2: Vermeide ein zu geringes Bremsmoment bei Externem Bremswunsch Abgeleitete Sicherheitsanforderungen für Sicherheitsziel G Sicherheitsziel G1.3: Vermeide ein zu geringes (symmetrisches) Bremsmoment in Regelsituation ESC, ABS, oder TCS (Regelaufgabe kann nicht mehr wahrgenommen werden) Abgeleitete Sicherheitsanforderungen für Sicherheitsziel G Sicherheitsziel G2.1 Vermeide ein ungewolltes (symmetrisches oder asymmetrisches) Bremsmoment ohne Fahrerbremswunsch, das zur Instabilität des Fahrzeugs führt Abgeleitete Sicherheitsanforderungen für Sicherheitsziel G Sicherheitsziel G2.2 Vermeide ein ungewolltes symmetrisches Bremsmoment ohne Fahrerbremswunsch unter Beibehaltung der Stabilität des Fahrzeugs (rein longitudinal) Sicherheitsziel G2.3: Vermeide ein zu hohes (symmetrisches) Bremsmoment in Regelsituation ESC, ABS, oder TCS (Regelaufgabe kann nicht mehr wahrgenommen werden) Abgeleitete Sicherheitsanforderungen für Sicherheitsziel G Sicherheitsziel G2.4: Vermeide ein zu hohes symmetrisches Bremsmoment bei Fahrerbremswunsch unter Beibehaltung der Stabilität des Fahrzeugs ( Überbremsen ) Abgeleitete Sicherheitsanforderungen für Sicherheitsziel G Sicherheitsziel G2.5: Vermeide ein zu hohes symmetrisches Bremsmoment bei Externem Bremswunsch unter Beibehaltung der Stabilität des Fahrzeugs ( Überbremsen ) Abgeleitete Sicherheitsanforderungen für Sicherheitsziel G Copyright: VDA

7 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite Sicherheitsziel G3.1:Vermeide ein zu geringes Bremsmoment im Stillstand bei Fahreranwesenheit (mit Möglichkeit Bremsdruck zu erhöhen) Sicherheitsziel G3.2:Vermeide ein zu geringes Bremsmoment im Stillstand bei Fahreranwesenheit (ohne Möglichkeit Bremsdruck zu erhöhen) -Fahrzeug rollt weg Sicherheitsziel G4.1:Vermeide ein zu hohes Bremsmoment im Stillstand, durch Fahrer nicht über Gaspedal zu kontrollieren (Bremsmoment > mögliches Antriebsmoment) Sicherheitsziel G5.1:Vermeide eine fehlende Ansteuerung des Bremslichts bei Externem Bremswunsch oder Fahrerbremsung Copyright: VDA Abgeleitete Sicherheitsanforderungen für Sicherheitsziel G ASIL Einstufung relevanter Signale und Teilfunktionen Vorschlag zur Absicherung der Kommunikation auf dem Netzwerk Sicherheitsnachweise FTA Verantwortlichkeiten und Schnittstellenabstimmung FMEA - Verantwortlichkeiten und Schnittstellenabstimmung Aufbau der FMEA Struktur Umgang mit Informationen an der Schnittstelle zwischen den FMEAs Metrikberechnungen gemäß ISO Hardware-Architekturmetriken gemäß ISO Band Bewertung von Sicherheitszielverletzungen durch zufällige Hardwarefehler gemäß ISO Band Testkonzept Indikator-Test Test Strategie für die Verifikation und Validierung Verifikation Validierung Teststufen Allgemeine Erläuterungen und Festlegungen zur Teststrategie Voraussetzungen für die Komponenten und Systemtests Testaktivitäten Testaktivitäten des ebooster OES Testaktivitäten des ESC OES Testaktivitäten des OEM Freigabeempfehlung des Gesamtlieferumfangs

8 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite Test Stellgenauigkeit ebooster Definition der Testsequenz und Testumgebung Bewertung Stellerverhalten Normative Referenzen Glossar Anhang Copyright: VDA

9 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 9 1 Einleitung 1.1 Bremssystemdefinition (Festlegung der Systemgrenzen) Das Bremssystem besteht aus / Begriffsdefinitionen: einem elektrischen Bremskraftverstärker (ebooster) bestehend aus Steuergerät, Aktuator und Übertragungseinrichtung, welcher sowohl die Fähigkeit besitzt, die vom Fahrer aufgebrachten Bremskraft zu verstärken, als auch autonome Druckaufbauten ohne Fahrerbetätigung auszuführen. einem ESC-System (ESC) bestehend aus Steuergerät und Hydraulikeinheit inkl. Druckversorgung, Ventilen und Speicher, welches neben den bekannten Regelfunktionen optional die Möglichkeit bietet, ein Blenden der Bremsmomente zwischen Generator und hydraulischer Bremse auszuführen. Das Gesamtbremssystem ist als Hilfskraftbremssystem definiert. Ziele dieser Schnittstellenbeschreibung: Harmonisierung der Schnittstelle zwischen ESC und ebooster, um die Austauschbarkeit der beiden Systeme von ggfs. unterschiedlichen Lieferanten zu ermöglichen. Reduktion des Systemintegrationsaufwands seitens OEM Für eine OES-unabhängige Kombination von ebooster und ESC ist eine eindeutige Definition der Lieferanteile der jeweiligen Zulieferer, der entsprechenden Verantwortlichkeiten und der Schnittstelle zwischen den beiden Systemen erforderlich. 1.2 Inhalt des Dokuments Die VDA-Empfehlung 360 beschreibt und definiert die Aufteilung der Funktionen und die dafür notwendige Schnittstelle zur Darstellung eines ESC-Standard bzw. eines blendingfähigen ESC-Systems zwischen einem ebooster von verschiedenen Herstellern. Darüber hinaus beschreibt es auch Konzeptansätze, die das Zusammenspiel eines ebooster mit einem ESC-System und die daraus abgeleiteten Schnittstellen beschreibt. Die VDA-Empfehlung beschreibt: In Kapitel 2: Die Beschreibung des Systems inklusive der Funktionsaufteilung zwischen ebooster und ESC und die notwendigen Konzeptbeschreibungen, um die Schnittstellen zu erläutern

10 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 10 In Kapitel 3: Die Definition der Funktionsausprägungen und der Funktionalen Architektur und die daraus abgeleiteten Schnittstellendefinitionen In Kapitel 4: Die Berücksichtigung der funktionale Sicherheit In Kapitel 5: Die Struktur einer Fehlermöglichkeits- und Einflussanalyse (FMEA) und die Vorgehensweise im Rahmen eines Projektes mit zwei beteiligten OES In Kapitel 6: Das Testkonzept In Kapitel 7, 8 & 9: Normative Referenzen, Glossar und Anhänge Der Inhalt dieser Empfehlung ist so gewählt, dass die Randbedingungen eine Kombination von ebooster und ESC von verschiedenen Zulieferern zulassen, jedoch eine produktspezifische Weiterentwicklung seitens OES nicht eingeschränkt wird.

11 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 11 2 Systembeschreibung 2.1 Beschreibung der Systemkomponenten Das in dieser VDA-Empfehlung zu Grunde gelegte Bremssystem beschreibt eine Aufteilung auf zwei Geräte von zwei unterschiedlichen Lieferanten. Hierbei gibt es einen elektrischen Bremskraftverstärker (ebooster), welcher die Bremskraftverstärkung, die Möglichkeit zum aktiven Druckaufbau und eine Pedalkraftkompensation bei verblendfähigen Bremssystemen beinhaltet. Der zweite Systemanteil ist das ESC-System mit den bekannten Regelfunktionen und der Möglichkeit einer Verblendung bei rekuperativen Bremsungen. Um die Schnittstellen zwischen dem ebooster und dem ESC-System vollständig beschreiben zu können werden darüber hinaus noch weitere Systemkomponenten beschrieben. Hierzu gehören der Generator, die Warnlampen (HMI) und die Ansteuerung der Bremslichter (BLA-Coordinator). Bild 1 - Übersicht der Funktionsarchitektur (Abkürzungen siehe Bild 15) ESC-System Ein Standard ESC-System umfasst das Antiblockiersystem, die Antriebsschlupfregelung und Giermomentregelung sowie diverse Mehrwertfunktionen. ESC beeinflusst Schleuderbewegungen und dient als Fahrstabilitätshilfe.

12 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 12 In konventionellen Bremssystemen ohne Rekuperationsvermögen sind Radbremsen direkt mit der Betätigungseinheit hydraulisch gekoppelt. Durch die Betätigung des Bremspedals wird ein Bremsflüssigkeitsvolumen in die Radbremse verschoben und dadurch ein hydraulischer Druck aufgebaut. Bei neuen Fahrzeugkonzepten mit regenerativer Bremsfähigkeit kann der elektrische Antriebsstrang zur Verzögerung verwendet werden. Hieraus ergibt sich eine weitere Anforderung an das ESC-System, eine koordinierte Zusammenarbeit zwischen den hydraulischen Bremsen und dem regenerativen Verzögerungsanteil über den Generator zu gewährleisten. Dafür muss das ESC einerseits das vom Fahrer geforderte Gesamtbremsmoment ermitteln, andererseits sollen auch die Bremsanforderungen von automatischen Bremsfunktionen (externe Verzögerungsanforderung) erfasst werden. Unter Berücksichtigung der Fahrzeugstabilität und des Rekuperationspotentials verteilt die Rekuperationssteuerung die resultierende Gesamtanforderung an die Bremsaktuatoren und den Generator. ebooster-system Der ebooster hat primär die Aufgabe, die Fußkraft des Fahrers bei der Pedalbetätigung zu verstärken. Der ebooster ist über die Eingangsstange direkt mit dem Fahrer über das Bremspedal gekoppelt. Durch Auswertung einer geeigneten Sensorik ermittelt der ebooster den Fahrerbremswunsch für die Pedalkraftverstärkung (siehe Bild 12). Die notwendige Unterstützungskraft wird in Abhängigkeit vom ermittelten Fahrerbremswunsch und einer hinterlegten Verstärkerkennlinie berechnet. Anders als das vakuumbasierte System ist der ebooster in der Lage, neben dem mechanischen Verstärkungsfaktor die Verstärkerkennlinie über Software unter Berücksichtigung von Systemgrenzen zu adaptieren. Aufgrund der aktiven Regelung der Ausgangsstange im ebooster, welche mit dem Hauptzylinder mechanisch gekoppelt ist, ist der ebooster in der Lage, hydraulischen Druck aktiv aufzubauen. Dies eröffnet neue Möglichkeit für die Aktuierung von externen Bremsfunktionen. In Fahrzeugen mit elektrifiziertem Antriebsstrang (z.b. HEV oder BEV) ist es möglich, regeneratorische Verzögerungsanteile über eine elektrische Maschine darzustellen. Dieser neue Freiheitsgrad führt jedoch dazu, dass der reale Vordruck im Bremssystem nicht mehr mit dem Zieldruck übereinstimmt, der bei einer rein hydraulischen Bremsung zur selben Verzögerung führt. Der ebooster ist in der Lage, die Differenz zwischen dem realen und virtuellen Vordruck zu kompensieren. Diese Funktionalität wird als Pedalkraftkompensation bezeichnet. Während ABS Eingriffe wird die Elastizität zwischen ESC und ebooster extrem reduziert und es können aufgrund der Steifigkeiten des eboosters sehr hohe Drücke bzw. Druckgradienten in den hydraulischen Kreisen auftreten. Um die mechanischen Bauteile im ebooster und im ESC zu schützen, muss eine entsprechende Logik zur Druckbegrenzung vorgesehen werden.

13 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 13 Generator Der Generator beschreibt eine Energierückgewinnungseinrichtung, die durch die Rekuperationssteuerung bedarfsgerecht angesteuert wird, um regeneratives Verzögern zu realisieren. Damit das Generatormoment möglichst effizient genutzt werden kann, wird vom Generator an das ESC ein Generatorpotential zur Verfügung gestellt. Dieses Generatorpotential für den regenerativen Verzögerungsanteil hängt von vielen Faktoren ab, dazu gehören u.a. die Fahrzeuggeschwindigkeit, Batterieladezustand bzw. Bordnetzspannung. Diese Zustände des elektrischen Antriebsstrangs müssen vom Generator berücksichtigt werden und im Generatorpotential wiedergespiegelt werden. Die Rekuperationssteuerung benötigt diese Information zur bedarfsgerechten und energieeffizienten Aufteilung der angeforderten Gesamtverzögerung. HMI Das HMI (Human Machine Interface) bezeichnet in diesem Kontext die Kontrolllogik zur Ansteuerung der Kontrollleuchten zur Fahrerwarnung. BLA-Coordinator Der BLA-Coordinator (Brake Light Activation) beinhaltet die Kontrolllogik zur Ansteuerung der Bremsleuchten. Das Bremslicht muss sowohl bei Fahrerbremsung als auch bei Aktivierung von Bremsfunktionen ohne Fahrereinwirkung angesteuert werden.

14 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite Konzepte im Systemverbund ebooster + ESC Degradationskonzept Wenn die Pedalkraftverstärkung vom ebooster nicht verfügbar oder nicht ausreichend ist (erreichbare Verzögerung kleiner als 6,43m/s² bei 500N), kann das ESC System über aktiven Druckaufbau die Fahrerbremsung unterstützen. Dies wird im ESC durch die Funktion HBC 1 (Hydraulic Booster Failure Compensation) realisiert. Als Ersatz für das bisher zur Verfügung stehende Vakuumsensorsignal muss nun der ebooster eine entsprechende Information an das ESC senden, damit die HBC-Funktion im ESC aktiviert werden kann, was mit dem Signal HbcRequest realisiert wird. Im Falle eines Fehlers im ebooster, der dazu führt, dass die Verzögerung von 6,43m/s² bei 500N nicht erreicht werden kann, wird die Verstärkung seitens ebooster abgeschaltet. So ist sichergestellt, dass durch die Aktivierung der Funktion HBC die Bremskraftverstärkung ausschließlich durch das ESC bereitgestellt und somit eine Doppelverstärkung vermieden wird. Wenn die Kommunikation zwischen ebooster und ESC unterbrochen ist, wird die Funktion HBC mit reduzierter Performance aktiviert, weil davon ausgegangen werden muss, dass der ebooster noch verstärken und nur die Kommunikation ausgefallen sein könnte. Diese spezielle Funktionsstufe von HBC wird als HBCreduced bezeichnet. Falls die gesetzlich geforderte Mindestverzögerung von 6,43m/s² bei 500N Pedalkraft mit HBCreduced nicht erreicht wird, um z.b. eine übermäßige Doppelverstärkung zu verhindern, muss ROT bewarnt werden. Zusätzlicher Hinweis: Die Funktion HBC ist eine sicherheitsrelevante Funktion, die im Falle eines ebooster-ausfalls über das Signal HbcRequest aktiviert wird. Diese Funktion ist nicht zu verwechseln mit der Komfortfunktion HBB (Hydraulic Brake Boost), bei der der Fahrer bei Erreichen des Aussteuerpunkts des ebooster vom ESC unterstützt wird. Für die Aktivierung der HBB-Funktion wird ein separates Signal prunout definiert. Im Gegensatz zu einem Vakuumbooster gibt es im Systemverbund ebooster und ESC keine Überlappung der beiden Funktionsgrenzen, d.h. entweder es wird ein Fehler im ebooster festgestellt, was zur Aktivierung HBC führt (via Signal HbcRequest) oder es wird bei Erreichen des Aussteuerpunkts die HBB Funktion im ESC aktiviert (via Signal prunout). 1 Das Funktionskürzel wird bei Bosch und TRW verwendet. Bei Continental Automotive Systems wird diese Funktion als OHB (Optimised Hydraulic Brake) bezeichnet. Failed Booster Support ist im Fachkreis auch eine übliche Bezeichnung für diese Funktion.

15 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite HMI-Konzept Abgeleitet vom obigen Degradationskonzept legt das HMI-Konzept fest, wie das ESC und der ebooster die Bremsenwarnlampen (rote und gelbe) am Dashboard ansteuern. An dieser Stelle wird darauf hingewiesen, dass das HMI im Systemverbund mit hoher Wahrscheinlichkeit projektspezifisch umgesetzt wird. Trotzdem wird im Folgenden ein möglicher Lösungsvorschlag beschrieben. Abweichungen werden projektspezifisch zwischen OEM und den beiden OES anhand den im Projekt gültigen Lastenheften abgestimmt. Bild 2 Prinzipielles HMI-Konzept Das HMI-Konzept sieht vor, dass der ebooster nur maximal die gelbe, während das ESC beide Bremsenwarnlampen ansteuern kann. Sobald im Systemverbund (ebooster + ESC) keine Redundanz für die Bremskraftverstärkung mehr gewährleistet werden kann, muss die gelbe Warnlampe von demjenigen Subsystem angesteuert werden, welches nicht mehr selbstständig die gesetzlich vorgeschriebene Verzögerung von 6,43m/s² bei 500N Pedalkraft erreichen kann. Die rote Bremsenwarnlampe muss durch das ESC angesteuert werden, sobald keine oder nur eine reduzierte Bremskraftverstärkung unterhalb 6,43m/s² bei 500N Pedalkraft im Systemverbund ebooster + ESC bereitgestellt werden kann. Folgende Beispiele sollen die Ansteuerung der Bremsenwarnlampen verdeutlichen:

16 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite Mögliche Bremskraftverstärkung über ebooster kleiner als 6,43m/s² Bild 3 HMI-Konzept für Verstärkungsfehler von ebooster Bremskraftverstärkung über ebooster ist nicht oder nur unterhalb 6,43m/s² bei 500N Pedalkraft verfügbar (Bsp. ebooster interner Fehler). ebooster fordert aktiv vom ESC die Bremskraftunterstützung durch HBC, welche auch im ESC verfügbar ist. ebooster steuert die gelbe Bremsenwarnlampe an. 2. Mögliche Bremskraftverstärkung über ESC kleiner als 6,43m/s² Bild 4 HMI-Konzept für fehlende HBC-Unterstützung von ESC

17 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 17 Bremskraftverstärkung über ESC ist nicht oder nur unterhalb 6,43m/s² bei 500N Pedalkraft verfügbar (Bsp. ESC interner Fehler). ebooster Bremskraftunterstützung ist größer als 6,43m/s² bei 500N Pedalkraft verfügbar, daher keine Lampenansteuerung über ebooster. ESC steuert die gelbe Bremsenwarnlampe an. 3. Kommunikationsfehler Hierbei wird zwischen drei Fehlerfällen unterschieden: I. Nur die Kommunikation zwischen ESC und ebooster fällt aus: Bild 5 HMI-Konzept für Kommunikationsausfall zwischen ebooster und ESC Fehler tritt in der Kommunikation zwischen dem ebooster und ESC auf. Unabhängig, davon, ob der ebooster noch verstärkt oder nicht, muss im ESC die HBC Funktion aktiviert werden (in Form von HBCreduced, siehe Kapitel 2.2.1). ESC steuert die gelbe Bremsenwarnlampe an. Es ist sicherzustellen, dass die Betriebsbremswirkung von 6,43 m/s² eingehalten wird. Entweder ist dies durch eine entsprechende Auslegung der Hilfsbremswirkung oder durch eine entsprechende Verstärkung durch HBCreduced zu realisieren.

18 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 18 II. Kommunikation zwischen ESC und Dashboard fällt aus: Bild 6 HMI-Konzept Kommunikationsausfall zwischen ESC und Dashboard Kommunikation zwischen ESC und Dashboard bricht ab. Das Dashboard muss die rote Bremsenwarnlampe autark ansteuern. III. Das komplette Kommunikationsnetzwerk fällt aus: Bild 7 HMI-Konzept für kompletten Netzwerkausfall Kommunikation zwischen ebooster und ESC bricht ab. Gleichzeitig treten Kommunikationsfehler zwischen ebooster bzw. ESC und Dashboard auf.

19 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 19 Das Dashboard muss die rote Bremsenwarnlampe autark ansteuern. 4. Gleichzeitiger Ausfall der Unterstützung von ebooster und ESC Bild 8 HMI-Konzept für gleichzeitigen Ausfall der Unterstützung von ebooster und ESC Bremskraftverstärkung über ebooster ist nicht oder nur unterhalb 6,43m/s² bei 500N Pedalkraft verfügbar (Bsp. ebooster interner Fehler). ebooster fordert aktiv vom ESC die Bremskraftunterstützung durch HBC, welche jedoch nicht verfügbar ist. ESC wertet die Zustände von ebooster und ESC aus und steuert die rote Bremsenwarnlampe an.

20 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite ebooster in Diagnose Bild 9 HMI-Konzept für ebooster-diagnose ebooster befindet sich in Diagnose, währenddessen ist keine Bremskraftverstärkung über ebooster möglich. Der ebooster muss dem ESC über ein geeignetes Signal mitteilen, dass es sich in Diagnose befindet. 1. Es wird empfohlen, dass ESC sich in diesem Fall auch in Diagnose umschaltet. (Siehe 2.2.9) 2. Bei abweichender Umsetzung muss gewährleistet werden, dass alle aktiven hydraulischen Bremsfunktionen im ESC unterdrückt werden, damit ein gegebenenfalls durchgeführter Diagnosetest im ebooster nicht durch das ESC beeinflusst wird. In beiden Fällen ist Bremskraftunterstützung über ESC ebenfalls NICHT verfügbar. ESC erkennt den kritischen Zustand im Systemverbund und steuert die rote Bremswarnlampe an. Die Anforderung an die rote Lampe besitzt höhere Priorität und muss entsprechend vom Dashboard berücksichtigt werden.

21 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite Konzept zur Bremslichtansteuerung Für die Bremslichtansteuerung wird grundsätzlich zwischen Voll- und degradiertem System unterschieden: Bremslichtansteuerung im Vollsystem (ebooster nicht degradiert) Im Vollsystem wird das Bremslicht bei Fahrerbremsung über den ebooster angesteuert. Das ESC steuert das Bremslicht nur bei aktiven Stabilitätseingriffen bzw. Zusatzbremsfunktionen an, welche nicht durch den Fahrer initiiert sind. Bild 10 Prinzipielles Konzept zur Bremslichtansteuerung Bremslichtansteuerung bei degradiertem ebooster Wenn der ebooster degradiert ist, wird der Systemverbund in die Rückfallebene geschaltet. Da die Ansteuerung des Bremslichtes über den ebooster bei Fahrerbremsung gegebenenfalls nicht mehr möglich ist, wird das Bremslicht ausschließlich über das ESC angesteuert. Bei Fahrerbremsung bildet das ESC das Ansteuerungssignal anhand des Vordrucksignals. Die Bremslichtansteuerung bei aktiven Stabilitätseingriffen bzw. Zusatzbremsfunktionen wird weiterhin über das ESC ausgeführt.

22 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 22 Bild 11 Konzept zur Bremslichtansteuerung in Rückfallebene

23 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite Konzept Fahrerbremswunscherkennung Der ebooster hat die Aufgabe die Fahrerbremskraft zu verstärken. Hierzu wird als Eingangsgröße der Fahrerbremswunsch benötigt. Je nach ebooster-design kann dies z.b. durch eine geeignete Wegsensorik an der Eingangsstange realisiert sein. In konventionellen ESC-Systemen wird üblicherweise der gemessene Vordruck als Fahrerbremswunsch interpretiert. Bei ESC-Systemen, die in der Lage sind Volumen zu verblenden, um z.b. rekuperatives Bremsen darzustellen, entspricht der gemessene Vordruck jedoch nicht mehr dem Fahrerbremswunsch. Daher wird als zusätzliche Eingangsgröße ein Wegsignal benötigt, um daraus ein Verzögerungswunsch zu berechnen. Im Systemverbund ebooster und ESC wird dieses vom ESC-System benötigte Wegsignal vom ebooster zur Verfügung gestellt. Ein weiterer Wegsensor außerhalb des Systemverbunds ebooster und ESC ist nicht notwendig. Während einer rekuperativen Bremsung, in der Volumen im ESC verblendet wird, ist es notwendig dem ebooster einen virtuellen Bremsdruck aus dem ESC zu senden, um den Arbeitspunkt für die Bremskraftverstärkung zu kennen. Mit diesem beschriebenem Konzept ist es ausreichend die Volumenaufnahme des Bremsanlage (pv-kennlinie) nur im ESC-System zu hinterlegen. In Bild 12 wird das Konzept zur Fahrerbremswunscherkennung schematisch und beispielhaft dargestellt. Bild 12 Konzept zur Fahrerbremswunscherkennung

24 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 24 Erläuterung zu Bild 12: Während einer Bremsung misst der ebooster den Eingangsstangenweg über einen integrierten Sensor. Auf dieser Basis berechnet das ebooster-seitige Funktionsmodul DBR-F den Ausgangsstangenweg, der dem hydraulisch wirksamen Fahrerbremswunsch für die Fahrzeugverzögerung entspricht. Der Ausgangsstangenweg wird zur weiteren Verwendung an das ESC gesendet. Ähnlich wie in einem konventionellen Bremssystem mit Vakuumverstärker wird der hydraulische Bremsdruck weiterhin im ESC gemessen und aufbereitet. Der Hauptbremszylinderdruck dient neben dem Ausgangsstangenweg des eboosters als Eingangsgröße für das ESC-seitige Funktionsmodul DBR-T. Dies ermittelt anhand der im ESC hinterlegten pv-kennlinie die Zielgröße der vom Fahrer erwünschten Fahrzeugverzögerung. Der im Bild schematisch dargestellte virtuelle Bremsdruck entspricht dem Hauptbremszylinderdruck, der bei gleicher Pedalbetätigung in einem vergleichbaren konventionellen Bremssystem auftreten würde. Dieser virtuelle Bremsdruck wird wiederum im ebooster für die Bremskraftverstärkung und im Falle von regenerativen Bremssystemen auch für die Pedalkraftkompensation berücksichtigt Konzept externer Bremswunsch über ebooster Aufgrund der hohen Dynamik für Druckaufbau und des leisen Betriebs wird der ebooster zur Ausführung von externen Bremsanforderungen (engl. External Brake Request, EBR) verwendet. Dieser Ansatz betrifft den gesamten Systemverbund, dabei muss die Zusammenarbeit von ebooster und ESC koordiniert werden. Die Funktionskette EBR ist in der Lage, die angeforderte Kraft/ Verzögerung in Längsrichtung zu regeln und mittels ebooster zu stellen (Beispiel Abstandsregelfunktionen wie ACC). Die Nutzung dieser EBR-Funktion im Systemverbund ebooster + ESC ist optional. Es können natürlich die Längsdynamikfunktionen bzw. Haltefunktionen weiterhin über das ESC realisiert werden. Ausgehend von funktionalen und sicherheitstechnischen Überlegungen wird empfohlen, die EBR-Funktion nur zu nutzen, wenn sich sowohl der ebooster als auch das ESC im Vollsystem befinden. Die nachfolgende Ausführung beschreibt beispielhaft nur einen möglichen Lösungsansatz. Die EBR Funktion ist sowohl für den Einsatz in konventionellen als auch in verblendfähigen Fahrzeugen konzipiert. Folglich unterscheidet der EBR Regler zwischen zwei Betriebsmodi:

25 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 25 Druckregelung für eine konventionelle Verzögerung In diesem Betriebsmodus fordert das ESC einen Zielvolumenstrom des eboosters an, um einen entsprechenden Zieldruck im Hauptbremszylinder inkl. Einer geforderten Dynamik zu erreichen. Positionsregelung für eine regenerative Verzögerung In diesem Betriebsmodus fordert das ESC einen Zielvolumenstrom vom ebooster an, um eine entsprechende Pedalposition inkl. einer geforderten Dynamik zu erreichen. Ziel dieser Positionsregelung ist es, während einer rekuperativen Bremsung dieselbe Strategie über die EBR Funktion bzw. im Falle einer Bremspedalbetätigung durch den Fahrer darzustellen. Der ebooster nimmt die Anforderung des ESC entgegen und stellt anhand des aktuellen Unterstützungspotentials einen entsprechenden Volumenstrom zur Verfügung. Ist das Unterstützungspotential im ebooster erschöpft (Bsp. Aussteuerpunkt erreicht) oder muss aufgrund von Sicherheitsmechanismen im ebooster (Bsp. Einklemmschutz) der angeforderte Volumenstrom gestoppt werden, so wird dies dem ESC über die Information des aktuellen Aussteuerdrucks mitgeteilt. In diesem Fall übernimmt das ESC mit der Rückförderpumpe den restlichen Druckaufbau. Welche Funktionen über den externen Bremswunsch gestellt werden können, müssen immer projektspezifisch zwischen OEM und den Zulieferern von ebooster und ESC abgestimmt werden, da die Freigabe und Absicherung abhängig vom jeweiligen ebooster-design durchgeführt werden müssen. Werden Funktionen über den ebooster aktuiert, kann dies zu einer Lastreduktion im ESC führen. Als Beispiel ist hierbei die ACC-Funktion zu nennen in Verbindung mit einem konventionellen ESC-System. Evtl. Lastauswirkungen auf ebooster-seite sind projektspezifisch vom ebooster- Zulieferer zu bewerten und frei zu geben OBD Konzept Im Systemverbund werden sowohl ebooster als auch ESC als Primary 2 Steuergeräte definiert. Mit dieser Festlegung sind beide Produkte aus Sicht von OBD getrennt und projektspezifisch freizugeben. OBD hat somit keinen Einfluss auf die Schnittstelle zwischen ebooster und ESC, und wird nicht in dieser VDA-Empfehlung spezifiziert. Nach Betrachtung der Schnittstelle aus Sicht von OBD ergibt sich die Überwachung der Kommunikation auf der Schnittstelle als notwendig, d.h. Überwachung auf Timeout und Datenintegrität etc. 2 Primary Steuergeräte erfassen lokale Daten in ihrem Fehlerspeicher und kommunizieren mit dem OBD Scan-Tool.

26 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 26 Die Umsetzung der Schnittstelle im Fahrzeug ersetzt nicht die Systemanalyse des Bremssystems auf OBD-Auswirkungen. Diese muss im Kontext des Gesamtbremssystems unabhängig von der Schnittstellenbeschreibung durchgeführt werden Wakeup/ Postrun Konzept Die Verfügbarkeit der wesentlichen Bremsfunktionen im Systemverbund muss durch ein geeignetes Wakeup/ Postrun Konzept sichergestellt werden Wakeup Beide Systeme (ebooster und ESC) müssen spätestens mit Zündung ein (KL15 ein) aufstarten und die Kommunikationsschnittstelle nach einer kurzen Initialisierungszeit mit plausiblen Werten bedienen. Als Richtwert für die Initialisierungszeit auf der Kommunikationsschnittstelle sind 300 ms anzunehmen. Abhängig von der konkreten Steuergerätekonfiguration kann dieser Wert leicht variieren. Der ebooster muss nach Zündung ein die Bremskraftverstärkung zur Verfügung stellen. Dies ist erfüllt, wenn die für die ServiceBrakePerformance benötigte Verstärkung bereitgestellt werden kann, unabhängig davon, ob das Bremspedal betätigt oder unbetätigt ist. Im fehlerfreien Fall ist eine HBC-Aktivierung bis zur Verfügbarkeit der Bremskraftverstärkung zu verhindern. Wird also der ebooster mit bereits betätigtem Bremspedal aktiviert, so bleibt die Bremse während der Initialisierungszeit (s.o.) unverstärkt. Konkret bedeutet dies: - Der ebooster darf während einer fehlerfreien Initialisierungsphase keinen HbcRequest senden - Im ESC darf während einer fehlerfreien Initialisierungsphase kein Timeout der betreffenden ebooster-netzwerkbotschaft erkannt werden - Die Schnittstelle für prunout muss seitens ebooster nach der Initialisierung der Netzwerkschnittstelle mit gültigen Werten bedient werden. Der Runoutwert muß dabei mindestens dem Stillstandsrunout entsprechen Aus Komfortgründen ist die Option vorzusehen, dass der ebooster bereits vor Zündung ein durch eine unabhängige Wakeup-Quelle aktiviert wird und Bremskraftverstärkung seitens ebooster bereitgestellt wird. Diese Option ist nur sinnvoll, wenn bei einem möglicherweise nachfolgenden Motorstart nicht von einem Reset des eboosters (bzw. ein kurzzeitiger Ausfall der Bremskraftverstärkung) auszugehen ist. Während des Systemhochlaufs muss die Kommunikation zwischen den Systemen in den unten genannten Use Cases derart aufgebaut werden, dass keine Fehlereinträge erfolgen. ebooster und ESC werden parallel mit Zündung ein aktiviert ebooster wird vor Zündung ein aktiviert, ESC wird erst mit Zündung ein aktiviert ebooster und ESC werden vor Zündung ein aktiviert

27 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 27 Der Zustand ESC wird vor ebooster aktiviert ist im Rahmen des Wakeup nicht vorgesehen. Die Verfügbarkeit der EBR Funktion muss spätestens ab Zündung ein sichergestellt sein Postrun Zur Erfüllung gesetzlicher Vorgaben und um ein dem konventionellen Bremssystem vergleichbares Verhalten bereitzustellen müssen die Systeme auch nach Zündung aus noch aktiv bleiben können. Folgende Anforderungen sind dabei zu erfüllen Bereitstellen der Bremskraftverstärkung mindestens auf dem Niveau der Betriebsbremswirkung für mindestens 60 s nach Zündung aus (Erfüllung der gesetzlichen Vorgaben der ECE-R13H). Aus Komfortgründen ist die Option vorzusehen, dass der ebooster für den Use Case Zündung aus mit betätigtem Pedal die Bremskraftverstärkung über die minimal geforderten 60 s hinaus aufrechterhält. Im Falle von Zündung aus während Fahrt muss als Option ein Aufrechterhalten der Verstärkung des eboosters möglich sein. Als Geschwindigkeitsschwelle für den Stillstand sind hier 0.1 m/s anzusetzen. Evtl. noch aktive Haltefunktionen über EBR müssen mit Zündung aus koordiniert beendet werden (bspw. Übergabe an Parkbremse). Dazu muss die Kommunikation auf der Netzwerkschnittstelle nach Zündung aus noch solange möglich sein, bis der Vorgang abgeschlossen ist. Zur Reduzierung des elektrischen Energiebedarfs bei Zündung aus muss ein koordiniertes Beenden der Netzwerkkommunikation möglich sein (Reduktion der aktiven ECUs), sobald kein Informationsaustausch zwischen ebooster und ESC mehr erforderlich ist. Hierzu müssen ebooster und ESC jeweils ermitteln, ob noch Kommunikationsbedarf mit dem anderen System erforderlich ist und in diesem Fall die Kommunikationsschnittstelle weiter aktiv halten. Das Partnersteuergerät muss in diesem Fall ebenfalls noch aktiv bleiben und die geforderten Signale/Funktionen bereitstellen. Beispiele für den Use Case Postrun: Bei Zündung aus (KL 15 aus) befindet sich das Fahrzeug im Stillstand bei gelöstem Pedal, keine Funktionen aktiv. Es besteht kein Kommunikationsbedarf zwischen ebooster und ESC, die Netzwerkschnittstelle kann freigegeben werden. Nachlaufzeit im ebooster minimal 60 s, im ESC Standard Nachlaufzeit. Die wird als der typische Anwendungsfall angenommen. Zündung aus während Fahrt: In diesem Fall wird die Nachlaufzeit im ebooster typischerweise noch nicht gestartet. Seitens ebooster muß die Netzwerkschnittstelle noch aktiv gehalten werden um die Geschwindigkeitsinformation aus dem ESC empfangen zu können. Im ESC muß die Geschwindigkeitsinformation noch berechnet werden.

28 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 28 Zündung aus im Stillstand aber mit aktiver verteilter Funktion (z.b. AVH über EBR). In diesem Fall muss das Netzwerk seitens ESC mindestens so lange aktiv gehalten werden, bis die Funktion koordiniert beendet wurde (z.b. AVH- Übergabe an Parkbremse). Zündung aus im Stillstand mit betätigtem Pedal: Pedal wird nicht gelöst vor Ablauf der 60 s Frist: In diesem Fall wird seitens ebooster für minimal 60 s die Verstärkung aufrecht erhalten, unter Nutzung der o.g. Option auch darüber hinaus. Spätestens nach Lösen des Bremspedals wird der ebooster abgeschaltet Unter- / Überspannungskonzept Das Unter-/Überspannungskonzept ist dezentral angelegt, d.h. es gibt hinsichtlich der Versorgungsspannung keine expliziten Abhängigkeiten der Einzelkomponenten voneinander. Die jeweiligen Konzepte werden unabhängig definiert, jeweils bezogen auf die mögliche und geforderte Performance der betroffenen Funktionen: 1. Funktionen im ESC Standard ESC-Regler (ABS, TCS, VDC) Bremskraftunterstützung für ebooster-fehler (HBC) Zusatzbremsfunktionen (HDC, AVH) Rekuperationsrelevante Funktionen Koordination externer Bremsanforderung 2. Funktionen im ebooster Bremskraftverstärkung Pedalkraftkompensation Ausführung externer Bremsanforderung Generell gilt die Vorgehensweise, dass die Funktionen in beiden Einheiten getrennt abhängig von der jeweiligen Versorgungsspannung degradieren, wenn die definierten Funktionsanforderungen aufgrund der Spannungslage nicht mehr erfüllt werden können. Ob die Degradierung als Abschaltung oder als Reduzierung der Performance erfolgt, ist abhängig von der Funktion. Insbesondere bei der Verstärkungsfunktion im ebooster ist eine Reduzierung der Performance einer harten Degradierung vorzuziehen. Bei verteilten Funktionalitäten (Rekuperation bzw. EBR) ist eine Abhängigkeit der beiden Komponenten voneinander gegeben. Die Degradierung im Partnersteuergerät erfolgt nicht aufgrund der Spannungslage sondern anhand der Statusinformationen (Qualifier) auf dem Bus.

29 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite Gesonderte Betrachtung für die Bremskraftverstärkung Die Bremskraftverstärkung kann von beiden Teilsystemen (ebooster wie ESC) bereitgestellt werden. Es wird jedoch die Annahme zugrunde gelegt, dass der Betriebsbereich des eboosters sowohl bei Über- als auch bei Unterspannung größer ist als der Betriebsbereich der HBC-Funktion im ESC. Für den Fall, dass die Spannung im gesamten elektrischen Bordnetz auf dem gleichen Niveau liegt, hat dies zur Folge, dass das ESC bereits eine Funktionsdegradierung erfährt, während der ebooster noch zumindest eine reduzierte Bremskraftverstärkung liefert. Die Basisfunktion Bremskraftverstärkung ist dabei höher zu bewerten als die Stabilitäts- und Zusatzfunktionen (Regler, Mehrwertfunktionen) aus dem ESC. Die Degradierung von höheren Funktionen (Rekuperation, Externe Bremswunsch, Mehrwertfunktionen) darf nicht später erfolgen als die Degradierung der Bremskraftverstärkung Motorstart Erfolgt bei aktivierter Bremskraftverstärkung ein Motorstart des Verbrennungsmotors, so ist eine Abschaltung der Bremskraftverstärkung zu vermeiden, eine vorübergehende Reduzierung der Verstärkung ist möglich. Für Extremfälle, in denen beim Motorstart ein Abschalten der Bremskraftverstärkung (oder ein Reset der ebooster-ecu) nicht zu vermeiden ist, muss die Bremskraftverstärkung mit möglichst geringer Verzugszeit wieder aktiviert werden, sobald die Spannung wieder ausreichend hoch ist. Für die Dauer der Nichtverfügbarkeit der Bremskraftverstärkung ist eine Rotbewarnung im Kombiinstrument vorzusehen, vorausgesetzt das Kombiinstrument lässt sich wieder ansteuern und der Lampencheck wurde bereits durchgeführt Motorstart bei Start/Stopp-Funktionalität Das Unter-/Überspannungskonzept muss in der Lage sein, die typischen Anforderungen an Start/Stopp zu erfüllen. Als Start/Stopp-Situation werden im Systemverbund ebooster + ESP nur Motorstopps im Stillstand oder stillstandsnahen Bereich (v < 5 km/h) betrachtet. Keine Fehlereinträge Keine Fahrerwarnung Aufrechterhalten der Funktion Berganfahrhilfe. Es ist fahrzeugspezifisch zu verifizieren, ob die für den vollen Funktionsumfang erforderlichen Haltedrücke dargestellt werden können. Aufrechterhalten der Bremskraftverstärkung mit minimal Betriebsbremswirkung.

30 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 30 Abgeleitete Anforderungen ans Bordnetz zur Erfüllung der Start/Stopp-Anforderungen: Während eines Motorstarts muss das Bordnetz die Stromaufnahme des eboosters erlauben/unterstützen. Während eines Motorstarts muss das Bordnetz die Stromaufnahme des eboosters und des ESC unterstützen für die typischen Anwendungsfälle: - Motorstart mit Pedalbetätigung durch den Fahrer - Motorstart mit aktiver Haltefunktion durch HHC, ggf. über EBR Elektrische Schnittstelle Die Spannungsbereiche für Vollfunktion im Systemverbund entsprechen den üblichen Werten für ESC Systeme und sind mit Verweis auf die projektspezifischen Lastenheften abzudecken. Sämtliche Spannungswerte beziehen sich auf die Spannung am jeweiligen ECU-Eingang (gemessen an den Stecker-Pin der jeweiligen ECU). Wird der Spannungsbereich der Vollfunktion verlassen, kann es zu einer Degradierung kommen. Die folgende Abbildung zeigt schematisch die Degradierungsstrategie hinsichtlich der Basisfunktion Bremskraftverstärkung. Bild 13: Schematische Darstellung der Systemverfügbarkeit abhängig von der Spannungslage und resultierende Bremskraftverstärkung auf Fahrzeugebene

31 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite Diagnosekonzept Das Diagnosekonzept für den Systemverbund ebooster & ESC hat primär das Ziel, Fehlereinträge und unvorhergesehene Effekte in beiden Teilsystemen zu vermeiden. Dabei sollen keine unnötigen Fehlereinträge entstehen, nachdem ein Teilsystem in die Diagnose 3 ging. An dieser Stelle wird darauf hingewiesen, dass das Diagnosekonzept im Systemverbund mit hoher Wahrscheinlichkeit projektspezifisch umgesetzt wird. Trotzdem wird im Folgenden ein möglicher Lösungsvorschlag beschrieben, welches Verhalten im Systemverbund erwartet wird, wenn die Diagnose im ebooster (Fall 1) bzw. im ESC (Fall 2) aktiviert wird. Abweichungen werden projektspezifisch zwischen OEM und den beiden OES anhand den im Projekt gültigen Lastenheften abgestimmt. Fall 1: ebooster aktiviert Diagnose: ebooster Verhalten: o Während der Diagnose des ebooster darf keine HBC-Anforderung an das ESC geschickt werden, um die Hardwareansteuerung im ebooster (z.b. Testroutine über "InputOutputControlByIdentifier" nach ISO ) nicht zu beeinflussen. Das entsprechende Signal HbcRequest (siehe Kap ) darf nicht aktiviert werden. o Für den Fall einer Hardwareansteuerung im ebooster während Diagnose soll das Signal prunout (siehe Kap. 0) angepasst werden (z.b. Erhöhung des physikalischen Werts von prunout durch einen spezifizierten Offset), um eine ungewollte HBB-Triggerung zu vermeiden. o Im Falle von ebooster-diagnose kann eine externe Bremsanforderung nicht mehr über den ebooster ausgeführt werden. Das Signal ExtReqStatus (siehe Kap ) muss die Nichtverfügbarkeit der EBR an das ESC übermitteln. ESC Verhalten: o Während der Diagnose kann der ebooster eine Hardwareansteuerung durchführen. Um diesen nicht zu beeinflussen, soll eine Triggerung aktiver Funktionen im ESC (z.b. HBB) vermieden werden. Daher wird empfohlen, das ESC auch in Diagnose-Modus zu schalten, sobald der Systemverbund den Diagnosezustand vom ebooster erkennt. o Es dürfen keine Fehlereintrage aufgrund der Nichtverfügbarkeit von ebooster Funktionen generiert werden. 3 Unter Diagnose ist in dieser VDA Empfehlung stets non-default Diagnostic Sessions nach ISO zu verstehen, z.b. das "extended Diagnostic Session", bei der typischerweise Hardwareansteuerungen vorgenommen werden. Hierbei ist nicht die Diagnose im Vollsystem gemeint, um zum Beispiel Analysen von Funktionen durchzuführen.

32 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 32 Es ist zu beachten, dass während der ebooster Diagnose keine Bremskraftverstärkung im Systemverbund verfügbar ist. Gemäß der gesetzlichen Anforderung muss die rote Lampe am HMI angesteuert werden, um den Operator über diesen Systemzustand zu informieren. Anhand der Ausführung in Kap muss ESC in diesem Fall die rote Lampe einschalten. Fall 2: ESC aktiviert Diagnose: ebooster Verhalten: o Die Bremskraftverstärkung von ebooster wird während der ESC Diagnose beibehalten. ESC verhalten: o Es muss sichergestellt werden, dass alle von ESC an ebooster geschickten Signale weiterhin richtig berechnet werden können. o Die zugehörigen Qualifier von den Signalen müssen den Zustand 1 (Normal) aufweisen Bauteilschutz im ebooster Abhängig vom realisierten mechanischen Design kann der ebooster im Vergleich zu einem konventionellen Vakuumbooster ggfs. ein steiferes System darstellen. In diesem Fall können höheren Druckspitzen während einer aktiven ABS-Regelung entstehen können. Die Druckspitzen könnten zu einem Schaden in der Getriebeeinheit oder im Elektromotor vom ebooster führen. ESC-seitig könnten die Ventile dadurch beschädigt werden. Im ebooster ist aus diesem Grund beispielhaft eine Logik für den Bauteilschutz zu realisieren. Mit der Funktion PRL (Pressure Reduction Logic) wird aktiv im ebooster die Bremskraftverstärkung angepasst, dass die auftretenden Druckspitzen verringert werden. Die Funktion PRL wird aktiviert, wenn Der ebooster eine aktive ABS-Regelung erkennt, und Eine projektspezifisch definierte Druckschwelle (siehe pmax_prl in Bild 14) erreicht ist. Der hydraulische Druck im Hauptbremszylinder soll zwischen zwei eingestellten Schwellen pendeln.

33 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 33 Bild 14 Druckverläufe im Hauptbremszylinder während einer aktiven ABS-Regelung Da die potentiellen Druckspitzen sowie die geeigneten Druckschwellen für die Funktion PRL je nach Systemkonfiguration sehr stark variieren, können sie im Rahmen dieser Empfehlung nicht generisch spezifiziert werden. Folgende Einflussgrößen können Auswirkungen auf die auftretenden Druckspitzen haben: Durchmesser Hauptbremszylinder Elastizitäten von: o Bremsleitungen o Basisbremse o ESC-System Übertragungszeiten Bussystem Applikation ABS-Regler Blockierdruckniveau Im Rahmen dieser Empfehlung wird vorgeschlagen die Funktion Bauteilschutz (PRL) projektspezifisch zwischen OEM und den Zulieferern abzustimmen.

34 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite Funktionsaufteilung zwischen ebooster + ESC Anhand der obigen Ausführungen und der Beschreibung der Konzepte im Systemverbund werden folgende Funktionsmodule für ebooster und ESC definiert und entsprechend aufgeteilt. (siehe Bild 15) Bild 15 Übersicht der Funktionen in ebooster und ESC Die Aufgaben der einzelnen Funktionen werden in folgender Tabelle zusammengefasst. Funktion ebooster ESC Aufgabe DBR-F BFB PFC-E EBR-E PRL BLA-F X X X X X X Fahrerbremswunscherkennung für die Berechnung der Bremskraftverstärkung, die Erkennung erfolgt im ebooster rein wegbasiert. Bremskraftverstärkung mit entsprechender Adaption der Verstärkerkennlinie. Ausführen der Pedalkraftkompensation über den ebooster. Ausführen des externen Bremswunsches über den ebooster. Realisierung Bauteilschutz für den ebooster bei ABS. Bremslichtansteuerung bei Fahrerbremsung im Vollsystem.

35 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 35 Funktion ebooster ESC Aufgabe HMI-eB SSH-eB X X Aktivierung gelbe Warnlampe bei Degradierung ebooster. System State Handling im ebooster, um Degradierung im ebooster zu koordinieren. DBR-T BTC X X Fahrerbremswunscherkennung für die Berechnung des Bremsmoments. Realisierung Weg- zu Verzögerungskennlinie. Bremskoordinator für regeneratives, hydraulisches Bremsen inkl. Ansteuerung Pedalkraftkompensation und Volumenblenden. HBC X Bremskraftunterstützung bei ebooster-fehler. HBB 4 EBR-C BLA-B HMI-E X X X X Kraftunterstützung durch ESC bei Erreichen des Aussteuerpunkts im ebooster. Closed-Loop-Regelung des externen Bremswunsches. Bremslichtansteuerung bei Fahrerbremsung im Backup. Aktivierung Warnlampen bei Degradierung ebooster und nicht Verfügbarkeit HBC. LDM X Längsdynamik Management Funktionen. SSH-E Basis Controller X X System State Handling im ESC, um Degradierung im ESC zu koordinieren. Standard ESC-Regler, z.b. ABC, TCS und VDC. Tabelle 1 Aufgaben der Funktionen in ebooster und ESC 4 Das Funktionskürzel wird bei Bosch und TRW verwendet. Bei Continental Automotive Systems wird diese Funktion als OHB (Optimised Hydraulic Brake) bezeichnet. Over-Boost Support ist im Fachkreis auch eine übliche Bezeichnung für diese Funktion.

36 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite Abgeleitete Anforderungen an die Teilsysteme Anhand der obigen Ausführung können folgende Anforderungen an die Teilsysteme abgeleitet werden Anforderungen an ESC #Sys_R1.1 #Sys_R1.2 #Sys_R1.3 #Sys_R1.4 #Sys_R1.5 #Sys_R1.6 #Sys_R1.7 Im Systemverbund ebooster/ ESC müssen alle Basisregelfunktionen (ABS, VDC etc.) nach wie vor im ESC realisiert werden. Das ESC System muss über zumindest einen Drucksensor verfügen, der den Druck im Hauptzylinder (Primärkreis/Druckkreis) misst. Im Falle von rein hydraulischer Bremsung, muss das ESC den Fahrerbremswunsch für die Verzögerung anhand des gemessenen Drucks am Hauptbremszylinder ermitteln. Im Falle von regenerativen Systemvarianten muss das ESC mit der Zusatzinformation des Ausgangsstangenwegsignals vom ebooster und des gemessenen Drucks am Hauptbremszylinder die Fahrerbremswunscherkennung für die Bremsung ermitteln. Hierbei muss ein virtueller Bremsdruck errechnet werden. Evtl. Adaptionen der Weg- zu Verzögerungskennlinie obliegen dem ESC- System und müssen bei der Berechnung der Fahrerbremswunsches und der Ausgabe des virtuellen Drucks berücksichtigt werden. (Bsp. Adaption Volumenaufnahme bei Querbeschleunigung) Im Falle von regenerativen Systemvarianten muss das ESC System eine koordinierte Zusammenarbeit der hydraulischen und regenerativen Bremsaktuatoren sicherstellen. Dazu muss das ESC in der Lage sein, hydraulischen Druck in den Rädern durch aktives Volumenverblenden innerhalb der Systemgrenze zu regeln. Das ESC System muss in folgenden Fällen eine Mindestverzögerung von 6,43 m/s 2 bei einer Pedalkraft bis zu 500 N über die HBC-Funktion sicherstellen: Degradation ebooster #Sys_R1.8 Das ESC System muss in folgenden Fällen eine Verzögerung von 6,43 m/s 2 bei einer Pedalkraft bis zu 500 N über die HBC-Funktion sicherstellen. Falls diese Mindestverzögerung nicht erreicht wird, um z.b. eine übermäßige Doppelverstärkung zu verhindern, muss ROT bewarnt werden: Kommunikationsfehler zwischen ebooster und ESC. Hier ist zudem die Anforderung an das ESC über die Realisierung der HBC- Funktion eine Doppelverstärkung zu verhindern, da davon auszugehen ist, dass der ebooster noch weiterhin verstärkt.

37 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 37 #Sys_R1.9 #Sys_R1.10 #Sys_R1.11 #Sys_R1.12 #Sys_R1.13 #Sys_R1.14 #Sys_R1.15 #Sys_R1.16 #Sys_R1.17 Das ESC muss in bestimmten Bereichen bei Erreichen des Aussteuerpunktes des ebooster mit der HBB-Funktion (Hydraulic Brake Boost) den Fahrer unterstützen. Das ESC muss den Fahrerbremswunsch und die externen Bremswünsche von definierten Zusatzfunktionen koordinieren und die resultierende Bremsmoment als Anforderung zwischen ebooster und ESC verteilen. Im Falle von (automatischer) Aktivierung von Zusatzbremsfunktionen ohne Fahrereingriff muss das ESC das Bremslicht ansteuern. Wenn der ebooster degradiert ist muss das ESC die Aufgabe zur Bremslichtansteuerung übernehmen. Um das Fahrzeug aus Sicht der funktionalen Sicherheit abzusichern, muss das maximal zulässige Rekuperationspotential (z.b. 0,3g) definiert werden. Das ESC muss sicherstellen, dass keine höhere Verzögerung vom Generator angefordert wird. Das ESC muss die gelbe Bremsenwarnlampe ansteuern, wenn die HBC- Funktion (Booster Failure Compensation) nicht verfügbar ist Das ESC muss die gelbe Bremsenwarnlampe ansteuern, wenn die Kommunikation zum ebooster ausfällt oder fehlerhaft ist. Das ESC muss die rote Bremsenwarnlampe ansteuern, wenn die HBC- Funktion (Booster Failure Compensation) nicht verfügbar ist und der ebooster keine Bremskraftverstärkung mehr bereitstellen kann. Das ESC muss die rote Bremsenwarnlampe ansteuern, wenn die HBC- Funktion (Booster Failure Compensation) nicht verfügbar ist und die Kommunikation zwischen ESC und ebooster ausfällt. Tabelle 2 Abgeleitete Anforderungen an ESC Bezüglich der ESC Anforderungen sind die entsprechenden Anforderung zu erfüllen, die in dem jeweiligen gültigen Entwicklungslastenheft gefordert und final zwischen OEM und OES abgestimmt werden. Wenn die Anforderungen aus dem gültigen Lastenheft höher sind, sind diese Anforderungen wirksam Anforderungen an ebooster #Sys_R2.1 #Sys_R2.2 #Sys_R2.3 Der ebooster muss die Bremskraftverstärkung für den Fahrer realisieren. Der ebooster muss eine entsprechende Verstärkerkennlinie realisieren Im Falle von regenerativen Systemvarianten muss der ebooster die Pedalkraft während rekuperative Bremsung kompensieren bis zu einer rein rekuperativen Fahrzeugverzögerung von 0,3g.

38 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 38 #Sys_R2.4 #Sys_R2.5 #Sys_R2.6 #Sys_R2.7 #Sys_R2.8 #Sys_R2.9 Der ebooster muss den vom ESC zugewiesenen externen Bremswunsch einstellen. Der ebooster muss ein geeignetes Konzept zum Bauteilschutz während einer ABS-Regelung bereitstellen. Im Falle einer Fahrerbremsung muss der ebooster das Bremslicht ansteuern. Ist die Bremslichtansteuerung im ebooster nicht möglich, muss dies dem ESC mitgeteilt werden. Der ebooster muss Unterstützung vom ESC anfordern, sobald er nicht mehr eine entsprechende Bremskraftverstärkung für 6,43m/s² bei 500N Pedalkraft sicherstellen kann. Der ebooster muss die gelbe Bremsenwarnlampe ansteuern, sobald er nicht mehr eine entsprechende Bremskraftverstärkung für 6,43m/s² bei 500N Pedalkraft sicherstellen kann. Tabelle 3 Abgeleitete Anforderungen an ebooster Bezüglich der Anforderungen an den ebooster sind die entsprechenden Anforderungen zu erfüllen, die in dem jeweiligen gültigen Entwicklungslastenheft gefordert und final zwischen OEM und OES abgestimmt werden. Wenn die Anforderungen aus dem gültigen Lastenheft höher sind, sind diese Anforderungen wirksam Anforderungen an HMI #Sys_R3.1 #Sys_R3.2 Das HMI (Dashboard) muss die Warnlampenansteuerung vom ebooster und ESC entsprechend dem festgelegten Konzept berücksichtigen. Hierzu muss das HMI die entsprechend spezifizierten Signale einlesen und verarbeiten. Tabelle 4 Abgeleitete Anforderungen an HMI Bezüglich der Anforderungen an das HMI sind die entsprechenden Anforderungen zu erfüllen, die in dem jeweiligen gültigen Entwicklungslastenheft gefordert und final zwischen OEM und OES abgestimmt werden. Wenn die Anforderungen aus dem gültigen Lastenheft höher sind, sind diese Anforderungen wirksam.

39 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite Anforderungen an den Generator Zwischen dem ESC und Generator müssen geeignete Schnittstellen vorgesehen werden. #Sys_R4.1 #Sys_R4.2 #Sys_R4.3 Der Generator muss das verfügbare Rekuperationsbremsmoment an das ESC schicken. *) Projektspezifisch kann auch entschieden werden, die Rekuperationssteuerung im ESC nur anhand des aktuell realisierten Rekuperationsbremsmoments umzusetzen. In diesem Fall muss diese Anforderung nicht erfüllt werden. Der Generator muss das aktuell realisierte Rekuperationsbremsmoment ans ESC schicken. Der Generator muss das vom ESC angeforderte Bremsmoment rechtzeitig zur Verfügung stellen, die maximal zulässige Abweichung des Moments und des maximal zulässigen Zeitverzugs müssen in der Entwicklung vom ESC- System spezifiziert werden. Tabelle 5 Abgeleitete Anforderungen an Generator Bezüglich der Anforderungen an den Generator sind die entsprechenden Anforderungen zu erfüllen, die in dem jeweiligen gültigen Entwicklungslastenheft gefordert und final zwischen OEM und OES abgestimmt werden. Wenn die Anforderungen aus dem gültigen Lastenheft höher sind, sind diese Anforderungen wirksam. 2.5 Hinweise zur Systemspezifikation Gesamtbremssystemauslegung Das Vorgehen zur Auslegung des Gesamtbremssystems ist mit dem Einsatz eines eboosters im Vergleich mit einem herkömmlichen vakuumbasierten Bremskraftverstärker identisch. Der ebooster muss projektspezifisch für das jeweilige Fahrzeug ausgelegt werden. Es muss mit der Gesamtbremssystemauslegung sichergestellt werden, dass beim mechanischen Durchgriff eine Mindestverzögerung von 2,44 m/s² bei 500 N Pedalkraft erreicht werden (entsprechend den in ECE-R13H spezifizierten Testbedingungen). Diese Forderung gilt auch in Kombination mit ESC- Regelsystemen, die in der Lage sind Volumen zu verblenden. Die relevanten Fehlerfälle und Ableitung der notwendigen Maßnahmen müssen abhängig von der Strategie zur Volumenverblendung projektspezifisch zwischen OEM und den Zulieferern abgestimmt werden. Pauschale Festlegungen wie z.b. die Dimensionierung des Hauptbremszylinders, die Festlegung der Aussteuerpunkts des eboosters oder der Basisbremse (Reibwert, Volumenaufnahmen etc.) sind nicht zulässig. Die Gesamtbremssystemauslegung ist

40 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 40 demnach immer projektspezifisch zwischen OEM und den verantwortlichen Zulieferern abzustimmen Lastspezifikationen Auswirkungen auf ESC Standardfunktionen Die bisherig definierten Lastspezifikationen von ESC-Funktionen basieren auf der Kombination eines ESC-Systems mit einem herkömmlichen vakuumbasierten Bremskraftverstärker. Durch den Einsatz eines eboosters sind dieselben Lastspezifikationen heranzuziehen. Falls eine Adaption aufgrund erhöhter Lastprofile bzw. zyklen mit dem Einsatz eines eboosters notwendig ist, ist dies projektspezifisch zwischen OEM und den Zulieferern abzustimmen ebooster Lastwechsel Die ebooster Lastwechsel müssen aus den projektspezifischen Lastenheften abgeleitet werden unter Berücksichtigung der designrelevanten Schädigungsmechanismen. Eine allgemeingütige Herleitung von ebooster- Lastwechseln ist im Rahmen dieser Empfehlung nicht möglich Lastherleitung Regeneratives Bremssystem Durch den Einsatz des eboosters ergibt sich durch Nutzung der Pedalkraftkompensation (PFC) die Möglichkeit zur rekuperativen Bremsung ohne Einbuße an Pedalgefühl. Die Aufgabe des Volumenverblendens während einer rekuperativen Bremsung liegt im ESC (siehe Kapitel 2.4). Die Volumenverblendstrategie variiert je nach Zulieferer und ist auch kein Bestandteil dieser Empfehlung. Jedoch muss diese in der Lastherleitung sowohl für die ESC- Hydraulik als auch im ebooster mit berücksichtigt und gegebenenfalls angepasst werden, wenn die Funktion Pedalkraftkompensation im ebooster genutzt wird.

41 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 41 3 Grundlegende Funktionsarchitektur 3.1 Definition einer Funktionalen Architektur Gemäß Kapitel 2 verteilt die Funktionale Architektur in Bild 16 die Gesamtaufgabe eines Bremssystems auf zwei definierte OES-Anteile ebooster und ESC. Auf dieser Basis werden die Kommunikationsschnittstellen zwischen beiden Systemen dargestellt.

42 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 42 Bild 16 Funktionale Architektur des Systemverbunds ebooster & ESC

43 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 43 Basiert auf der oben dargestellten Architektur soll die Funktionsweise des Systemverbunds erklärt werden. Usecase-Definition Teilbremsung in einem regenerativen Bremssystem Bild 17 Signalfluss im Systemverbund ebooster + ESC während Teilbremsung Die Bewegung des Bremspedals wird durch die integrierte Sensorik im ebooster erfasst. Im Vollsystem wertet das Softwaremodul BLA-F das Stangenwegsignal aus und veranlasst die Bremslichtaktivierung. Parallel berechnet DBR-F den Weg der Ausgangsstange vom ebooster (soutputroddriver) und ein separates Signal, das angibt, ob der Fahrer das Pedal betätigt (BrakePedalApplied). Beide Signale werden an die ESC-seitige Bremswunscherkennung DBR-T geschickt. Das Ausgangsstangenwegsignal (soutputroddriver) benötigt das ESC, um den Fahrerbremswunsch zu ermitteln. Bei der Berechnung gehen die Volumenaufnahme des Fahrzeugs (PV-Kennlinie) und bzw. ggfs. vorhandene projektspezifische Lernalgorithmen ein.

44 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 44 Als relevantes Wegsignal für den Fahrerbremswunsch wird der Zielwert der Ausgangsstange definiert, da die Ausgangsstange das hydraulisch wirksame Volumen verschiebt, welches zur Fahrzeugverzögerung führt. Aufgrund der Möglichkeit im ebooster eine Verstärkerkennlinien durch einen bestimmten Differenzweg zwischen Ein- und Ausgangsstange zu beeinflussen, ist gegenüber einem vakuumbasierten Bremskraftverstärker die Ausgangsstange maßgebend für den Fahrerbremswunsch im ESC. Die resultierende Zielbremsanforderung vom Fahrer wird an das Softwaremodul BTC weitergegeben. Im Falle von eboosterausfall oder bei Kommunikationsfehler zwischen ebooster und ESC wird das Bremslicht von ESC über das Ausgangssignal von DBR- T angefordert. BTC koordiniert die Aufteilung der Bremsanforderung auf das Basisbremssystem und den regenerativen Bremsaktuator. Dabei werden neben dem Fahrerbremswunsch auch die externen Bremsanforderungen berücksichtigt. Um die Bremsmomente situations- und bedarfsgerecht zu koordinieren, werden folgende Informationen benötigt: das Potential des regenerativen Verzögerungsanteils (Generator) das Potential von ebooster zur Pedalkraftkompensation die Stabilitätszustände des Fahrzeugs Das BTC ermittelt das Zielbremsmoment für den regenerativen Verzögerungsanteil an den Generator. Für die Restbremsanforderung verteilt BTC die Aufgabe zum Druckaufbau auf ESC. Der ebooster erhält parallel die Anforderung eine Pedalkraftkompensation durchzuführen. Es wird ESC-seitig ein Signal an das Softwaremodul HAC geschickt, das die hydraulischen Aktuatoren in der Hydraulikeinheit ansteuert. An den ebooster schickt BTC eine Anforderung an das ebooster-seitige Softwaremodul PFC-E, das die Pedalkraftkompensation umsetzt. Um ein konsistentes Pedalgefühl zu realisieren muss die Korrelation zwischen der Bremswirkung und Pedalkraft berücksichtigt werden. In Anlehnung an konventionelle Bremssysteme, bei der die Pedalkraft eindeutig über den Hauptzylinderdruck bestimmt wird, berechnet DBR-T anhand der hinterlegten Weg-Druck-Kennlinie einen virtuellen Systemdruck. Dieses Signal wird an das ebooster-seitige Softwaremodul PFC-E und BFB geschickt. Anhand der Information über die Pedalbewegung und die Anforderung an Pedalkraftkompensation von ESC ermittelt BFB die Pedalkraftanforderung, die durch ebooster umgesetzt wird. Diese Anforderung wird begrenzt durch Sicherheitsmechanismen in SSH-eB und die Druckminderungslogik in PRL. Nach den beiden Softwaremodulen ergibt sich die finale Zielgröße für die Pedalkraftverstärkung, die der ebooster stellt.

45 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite Schnittstellendefinition Die SW Schnittstellendefinition beschreibt im Detail die Schnittstelle zwischen einem ebooster- und einem ESC-System. Zur Übersicht sind in den weiteren Unterkapiteln die einzelnen Schnittstellen gemäß dem Funktionsumfang des Gesamtsystems in sechs Gruppen zusammengefasst: 1. Basisschnittstelle: Schnittstelle zur Darstellung der Grundfunktionalität 2. Rekuperationsschnittstelle: Schnittstelle zur Darstellung der Pedalkraftkompensation für die Rekuperation. 3. Schnittstelle Externer Bremswunsch: Schnittstelle zur Darstellung eines externen Bremswunsches über den ebooster. 4. HMI-Schnittstelle 5. Schnittstelle Bremslichtansteuerung 6. Generatorschnittstelle Für die Spezifikation der Signale sind folgende Datentypen relevant: Datentyp Beschreibung enum log cont Aufzählungsdatentyp (eng. enumerated type): Variablen mit einer endlichen Wertemenge Logischer Datentyp: Variablen, die nur zwei Zustände einnehmen können Kontinuierlicher Datentyp: Variablen, die unter Berücksichtigung der Auflösung jeden beliebigen Zahlenwert innerhalb des definierten Wertbereichs einnehmen können Tabelle 6 Übersicht Abkürzungen der Datentypen Die vorstehend beschriebenen Signalspezifikationen sind mit dem jeweiligen projektspezifischen Lastenheften zwischen OEM und OES abzugleichen. Wenn die Anforderungen aus dem gültigen Lastenheft höher sind, sind diese Anforderungen wirksam. Zudem ist zu beachten, dass die funktionalen Anforderungen an die jeweiligen Signale bzw. die Signalspezifikationen als Mindestanforderungen des Empfänger- Steuergerätes zu interpretieren sind. Diese formulierten Mindestanforderungen berücksichtigen den Systemverbund ebooster und ESC. Werden z.b. höhere Genauigkeitsanforderungen an ein bestimmtes Signal von einem 3. Steuergerät benötigt, so ist dies projektspezifisch abzustimmen.

46 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite Basisschnittstelle: Darstellung der Grundfunktionalität Die Basisschnittstelle beschreibt den Umfang der SW-Signale, die zwischen einem aktiven Bremskraftverstärker (ebooster) und einem ESC-System (ESC) für die Darstellung der Grundfunktionalität benötigt werden. Folgende Grundfunktionalitäten werden damit sichergestellt: Aktivierung der Failboost-Funktion im ESC bei z.b. Ausfall des eboosters Unterstützung durch das ESC sobald der ebooster seinen Aussteuerpunkt erreicht. Realisierung des Bauteilschutzes im ebooster Fahrerbremswunscherkennung Die Basisschnittstelle mit ihren Signalen zur Realisierung der Grundfunktionalität ist in Bild 18 dargestellt. Die Basisschnittstelle enthält eine bidirektionale Kommunikation zwischen dem ebooster und dem ESC. Bild 18 Basisschnittstelle zur Darstellung der Basisfunktionalität zwischen ebooster und ESC

47 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite Übersicht Schnittstellenbeschreibung ID Schnittstelle Aufgabe und Schnittstelleninhalt 1 ebesccompatibilityindex 5 ebooster ESC: 2 HbcRequest ebooster ESC: 3 ebdiagactive ebooster ESC: 4 BrakePedalApplied ebooster ESC: 5 prunout ebooster ESC: Übermittlung einer statischen Nummer vom ebooster- ans ESC-Steuergerät, um die Kompatibilität der ebooster Software im ESC zu prüfen. Die Nummer vom ebooster muss mit der im ESC übereinstimmen, sonst muss das ESC degradiert werden. In diesem Fall soll die Warnlampe entsprechend eingeschaltet werden. Übermittlung der Anforderung an die HBC Funktion bei fehlender Verstärkung im ebooster. FALSE (Es liegt KEINE Anforderung an HBC vor.) TRUE (Anforderung an HBC liegt vor.) Übermittlung der Information, ob sich der ebooster gerade im Diagnosemodus befindet. FALSE (ebooster ist NICHT im Diagnosemodus.) TRUE (ebooster ist im Diagnosemodus.) Übermittlung der Information, ob das Pedal vom Fahrer betätigt ist. Das Signal wird im ESC benötigt, um einen Fahrerbremswunsch zu erkennen. FALSE (Bremspedal ist NICHT betätigt.) TRUE (Bremspedal ist betätigt.) 5 ebesccompatibilityindex wird nicht zur Darstellung von Bremsfunktionen verwendet. Das Signal dient lediglich zur Prüfung von Komptabilität beider Steuergeräten. Falls die Kompatibilitätsprüfung anders realisiert wird, wird das Signal nicht für den Systemverbund benötigt.

48 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 48 6 soutputroddriver ebooster ESC: 7 VehicleSpeed ESC ebooster: 8 pmc1 ESC ebooster: 9 AbsActive ESC ebooster: Übermittlung des Aussteuerpunkts des eboosters, der z.b. je nach verfügbarer Bordnetzenergie oder Temperatur abgesenkt wird. Das Signal wird im ESC eingelesen, um den Fahrer mit der HBB-Funktion (Hydraulic Brake Boost) oberhalb des Aussteuerpunkts zu unterstützen. Übermittlung des Sollwerts des Ausgangsstangenwegsignals. Das Signal wird im ESC als Zusatzinformation für die Fahrerbremswunscherfassung benötigt: während der Rekuperation mit Volumenverblenden entspricht der gemessene Vordruck im Hauptbremszylinder nicht dem Fahrerbremswunsch hydraulische Bremsassistenzfunktionen (z.b. HBB, HBC etc.) benötigen das Signal als zusätzliche Aktivierungs- bzw. Abbruchbedingung aufgrund der höheren Steifigkeit eines eboosters gegenüber einem Vakuumbooster (abhängig von dem ESC-System des Zulieferers) Übermittlung der aktuellen Geschwindigkeit des Fahrzeugs. Im ebooster wird dieses Signal eingelesen, um den Stillstand zu erkennen bzw. Übergänge in den Stillstand zu berechnen. Dies wird wiederum für die Funktionen Pressure Reduction Logic (PRL Bauteilschutz) bzw. für den externen Bremswunsch (EBR) benötigt. Das Signal entspricht dem aktuellen Vordrucksensorwert aus dem ESC und wird im ebooster für die Realisierung der Funktion Pressure Reduction Logic (PRL Bauteilschutz) benötigt.

49 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 49 Dieses Signal sendet an den ebooster die Information, ob gerade im ESC das ABS aktiv ist. FALSE (ABS ist nicht aktiv) TRUE (ABS ist aktiv) 10 pestmax ESC ebooster: Übermittlung des maximalen Raddrucks des geschätzten druckhöchsten Rades. Das Signal wird im ebooster eingelesen, um im ABS-Fall die Gegenkraft anzupassen und damit das Pedalgefühl zu verbessern. Tabelle 7 : Übersicht Basisschnittstelle zwischen ebooster und ESC Signal ebesccompatibilityindex Signalspezifikation Richtung Signalname ebooster ESC ebesccompatibilityindex Einheit - Typ cont Größe (Bits) 4 Zykluszeit [ms] 20 Phys. Min. 0 Phys. Max. 16 Auflösung / Bit Anforderungen an das Signal #R1.1 Das Signal ebesccompatibilityindex muss eine statische Nummer sein, die sich nur in folgenden Fällen ändert: Einführung neuer Schnittstellensignale; Änderungen in bereits existierenden Schnittstellensignalen; Funktionale Änderungen in der Software eines Steuergerätes, die für den Systemverbund relevant sind.

50 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 50 #R1.2 Das ESC muss degradiert werden, wenn der Wert des Signals ebesccompatibilityindex nicht mit dem ESC-internen Indexwert übereinstimmt. In diesem Fall soll die Warnlampe entsprechend eingeschaltet werden Signal HbcRequest Signalspezifikation Richtung Signalname ebooster ESC HbcRequest Einheit - Typ log Größe (Bits) 1 Zykluszeit [ms] 20 Phys. Min. 0 Phys. Max. 1 Auflösung / Bit Anforderungen an das Signal #R2.1 #R2.2 Das ESC muss HBC auf Basis des Signals HbcRequest aktivieren, unabhängig davon welcher Wert auf dem Signal prunout steht. Das Signal HbcRequest kann folgende Zustände einnehmen: FALSE: HBC wird NICHT angefordert TRUE: HBC wird angefordert #R2.3 #R2.4 Das Signal HbcRequest muss auf TRUE gesetzt werden, wenn der ebooster aufgrund Fehler degradiert ist und keine Verstärkung zur Verfügung stellen kann. Das Signal HbcRequest muss auf FALSE gesetzt werden, wenn sich der ebooster in Diagnose befindet.

51 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite Signal ebdiagactive Signalspezifikation Richtung Signalname ebooster ESC ebdiagactive Einheit - Typ log Größe (Bits) 1 Zykluszeit [ms] 20 Phys. Min. 0 Phys. Max. 1 Auflösung / Bit Anforderungen an das Signal #R3.1 Das Signal ebdiagactive kann folgende Zustände einnehmen: FALSE: ebooster ist NICHT in Diagnose 6 TRUE: ebooster ist in Diagnose #R3.2 Das Signal ebdiagactive muss auf TRUE gesetzt werden, wenn sich der ebooster in Diagnose befindet. Ein Zurücksetzen des Signals nach ebooster-diagnose darf nur erfolgen, wenn ebooster wieder im normalen Betrieb ist und keine HBC Funktion anfordert. 6 Unter Diagnose ist in dieser VDA Empfehlung stets non-default Diagnostic Sessions nach ISO zu verstehen, z.b. das "extended Diagnostic Session", bei der typischerweise Hardwareansteuerungen vorgenommen werden. Hierbei ist nicht die Diagnose im Vollsystem gemeint, um zum Beispiel Analysen von Funktionen durchzuführen.

52 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite Signal BrakePedalApplied Signalspezifikation Richtung Signalname ebooster ESC BrakePedalApplied Einheit - Typ log Größe (Bits) 1 Zykluszeit [ms] 20 Phys. Min. 0 Phys. Max. 1 Auflösung / Bit Anforderungen an das Signal #R4.1 #R4.2 Der ebooster muss über das Signal BrakePedalApplied anzeigen, ob das Bremspedal vom Fahrer betätigt wird. Das Signal BrakePedalApplied kann folgende Zustände einnehmen: FALSE: Das Bremspedal wird NICHT betätigt TRUE: Das Bremspedal wird vom Fahrer betätigt #R4.3 #R4.4 #R4.5 #R4.6 #R4.7 Das Signal BrakePedalApplied muss im gleichen Nachrichtenframe wie das Signal soutputrodact übertragen werden. Falls dies nicht möglich ist, muss sichergestellt werden, dass der Zeitverzug zwischen beiden Signalen maximal 20ms beträgt. Die gesamte Kommunikationskette zwischen der ebooster- und der ESC-ECU muss sicherstellen, dass das vom ebooster gesendete Signal BrakePedalApplied innerhalb von 60ms (nachdem der Fahrer das Pedal betätigte) im ESC ankommt. Das Signal BrakePedalApplied muss auf TRUE gesetzt werden, sobald der Fahrer das Bremspedal betätigt. Das Signal BrakePedalApplied muss innerhalb von 200ms auf FALSE gesetzt werden, nachdem der Fahrer das Bremspedal gelöst hat. Das Signal BrakePedalApplied muss mit einer Hysterese versehen werden, um ein Hin- und Herschalten (Toggeln) des Signals zu verhindern.

53 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite Signal BrakePedalApplied_Q Signalspezifikation Richtung Signalname ebooster ESC BrakePedalApplied_Q Einheit - Typ enum Größe (Bits) 2 Zykluszeit [ms] 20 Phys. Min. 0 Phys. Max. 4 Auflösung / Bit Anforderungen an das Signal #R4_Q.1 Das Signal BrakePedalApplied_Q kann folgende Zustände einnehmen: 0: NotInitialized (Nicht initialisiert): Dieser Zustand wird eingenommen, wenn das zugehörige Signal aufgrund fehlender Initialisierung nicht gebildet werden kann. 1: Normal (Normaler Betrieb): Dieser Zustand wird eingenommen, wenn das zugehörige Signal gebildet werden kann, und der Signalwert innerhalb der spezifizierten Toleranzen liegt. 2: Faulty (Fehler): Dieser Zustand wird eingenommen, wenn das zugehörige Signal nicht mehr oder noch gebildet werden kann, aber der Signalwert außerhalb der spezifizierten Toleranzen liegt Signal prunout Signalspezifikation Richtung Signalname Einheit Typ ebooster ESC prunout bar cont Größe (Bits) 8 Zykluszeit [ms] 20 Phys. Min. 0

54 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 54 Phys. Max. 250 Auflösung / Bit Anforderungen an das Signal #R5.1 #R5.2 #R5.3 #R5.4 #R5.5 #R5.6 Das Signal prunout muss dem Druck entsprechen, der während einer Fahrerbremsung bei Erreichen der maximalen Verstärkung durch den ebooster vorliegt. Die Berechnung des Signals prunout muss Änderungen in der Bordnetzenergie, den Verstärkungsfaktor und den Hauptbremszylinderdurchmesser berücksichtigen. Das Signal prunout muss den Wert 0 annehmen, wenn HBCRequest == TRUE ist Das Signal prunout darf keinen Wert anzeigen, der größer ist als der tatsächlich erreichbare Runout-Druck des eboosters. Nur relevant für den Fall Fahrerbremsung: Das Signal prunout darf nicht auf kurzzeitige Signalstörungen (t <= 150ms) reagieren, die durch eine schnelle Fahrerpedalbetätigung hervorgerufen werden. Wichtig: Diese Anforderung ist nicht gültig für die Ausführung eines externen Bremswunsches. Im Falle eines externen Bremswunsches muss das Signal prunout sofort reagieren, um Verzugszeit bei der Übergabe an das ESP durch die Signalbildung zu verhindern. Während eines Diagnosetests im ebooster muss das Signal prunout so angepasst sein, dass der ebooster keine hydraulische Unterstützung in Form von HBB im ESC anfordert Signal prunout_q Signalspezifikation Richtung Signalname ebooster ESC prunout_q Einheit - Typ enum Größe (Bits) 2 Zykluszeit [ms] 20 Phys. Min. 0 Phys. Max. 4 Auflösung / Bit 1

55 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite Anforderungen an das Signal #R5_Q.1 #R5_Q.2 Das Signal prunout_q kann folgende Zustände einnehmen: 0: NotInitialized (Nicht initialisiert): Dieser Zustand wird eingenommen, wenn das zugehörige Signal aufgrund fehlender Initialisierung nicht gebildet werden kann. 1: Normal (Normaler Betrieb): Dieser Zustand wird eingenommen, wenn das zugehörige Signal gebildet werden kann, und der Signalwert innerhalb der spezifizierten Toleranzen liegt. 2: Faulty (Fehler): Dieser Zustand wird eingenommen, wenn das zugehörige Signal nicht mehr oder noch gebildet werden kann, aber der Signalwert außerhalb der spezifizierten Toleranzen liegt Wenn das Signal prunout während der ebooster-diagnose innerhalb der spezifizierten Toleranzen gebildet wird, muss das Signal prunout_q gültig (1: Normal) sein Signal soutputroddriver Signalspezifikation Richtung Signalname Einheit Typ ebooster ESC soutputroddriver mm cont Größe (Bits) 12 Zykluszeit [ms] 10 Phys. Min. -5 Phys. Max. 47 Auflösung / Bit 0, Anforderungen an das Signal #R6.1 #R6.2 #R6.3 #R6.4 Das Signal soutputroddriver muss dem Zielwert des Ausgangsstangenwegs definiert werden. Info: Das Signal entspricht nicht dem tatsächlich verschobenem Volumen, Verweis auf Signal soutputrodact Das Signal soutputroddriver muss dem Fahrerbremswunsch entsprechen, unabhängig davon ob hydraulisch oder regenerativ gebremst wird. Effekte, die sich durch Regelung der aktuellen Ausgangsstange im ebooster ergeben, dürfen nicht in dem Signal soutputroddriver abgebildet werden, da sie nicht dem Fahrerbremswunsch entsprechen. Die Regelung der aktuellen Ausgangsstange im ebooster für die Stellerfunktion Pedalkraftkompensation (PFC) darf nicht im Signal soutputroddriver abgebildet werden.

56 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 56 #R6.5 #R6.6 #R6.7 #R6.8 Das Signal muss die dynamischen Anpassungen in der ebooster-regelung für die Verstärkerkennlinie beinhalten. Das Signal soutputroddriver muss auch während der Ausführung eines externen Bremswunsches über den ebooster berechnet und gesendet werden. Das Signal soutputroddriver muss auch im Falle eines Bremskreisausfalls verfügbar und gültig sein. Bei gleicher Fahrerbetätigung muss die Abweichung des Signals soutputroddriver zwischen zwei aufeinander folgenden Bremsvorgängen kleiner als 0,15 mm betragen Signal soutputroddriver_q Signalspezifikation Richtung Signalname ebooster ESC soutputroddriver_q Einheit - Typ enum Größe (Bits) 2 Zykluszeit [ms] 10 Phys. Min. 0 Phys. Max. 4 Auflösung / Bit Anforderungen an das Signal #R6_Q.1 Das Signal soutputroddriver_q kann folgende Zustände einnehmen: 0: NotInitialized (Nicht initialisiert): Dieser Zustand wird eingenommen, wenn das zugehörige Signal aufgrund fehlender Initialisierung nicht gebildet werden kann. 1: Normal (Normaler Betrieb): Dieser Zustand wird eingenommen, wenn das zugehörige Signal gebildet werden kann, und der Signalwert innerhalb der spezifizierten Toleranzen liegt. 2: Faulty (Fehler): Dieser Zustand wird eingenommen, wenn das zugehörige Signal nicht mehr oder noch gebildet werden kann, aber der Signalwert außerhalb der spezifizierten Toleranzen liegt

57 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite Signal VehicleSpeed Signalspezifikation Richtung Signalname Einheit Typ ESC ebooster VehicleSpeed m/s cont Größe (Bits) 8 Zykluszeit [ms] 20 Phys. Min. 0 Phys. Max. 100 Auflösung / Bit 0, Anforderungen an das Signal #R7.1 #R7.2 #R7.3 Das Signal VehicleSpeed muss der Fahrzeuggeschwindigkeit entsprechen. Auf dem einachsigen Rollenprüfstand muss das Signal VehicleSpeed der Geschwindigkeit der angetriebenen Achse entsprechen. Stillstand darf daher nicht falsch angezeigt werden. Als Rollenprüfstände sind sowohl Prüfstände für Emissions-/ Verbrauchsmessungen als auch Bremsenprüfstände zu verstehen. (Hilfreiche Information: Als Konsequenz muss im ESC ein eigenes Geschwindigkeitssignal für den ebooster gebildet werden.) - Mögliche Umsetzung Signalbildung: VehicleSpeed = Maximalwert aus den beiden Mittelwerten aus Vorder- und Hinterachse - Mögliche Umsetzung Fehlertoleranz: Ein fehlerhafter Radgeschwindigkeitssensor pro Achse ist zu tolerieren. Die Geschwindigkeit leitet sich dann aus der verbleibenden Geschwindigkeitsinformation der entsprechenden Achse ab. Zwei Fehler pro Achse führt zu einem ungültigen VehicleSpeed Signal. Das Signal VehicleSpeed muss auch während der ESC-Diagnose gültig sein.

58 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite Signal VehicleSpeed_Q Signalspezifikation Richtung Signalname ESC ebooster VehicleSpeed_Q Einheit - Typ enum Größe (Bits) 2 Zykluszeit [ms] 20 Phys. Min. 0 Phys. Max. 8 Auflösung / Bit Anforderungen an das Signal #R7_Q.1 Das Signal VehicleSpeed_Q kann folgende Zustände einnehmen: 0: NotInitialized (Nicht initialisiert): Dieser Zustand wird eingenommen, wenn das zugehörige Signal aufgrund fehlender Initialisierung nicht gebildet werden kann. 1: Normal (Normaler Betrieb): Dieser Zustand wird eingenommen, wenn das zugehörige Signal gebildet werden kann und der Signalwert innerhalb der spezifizierten Toleranzen liegt. 2: Faulty (Fehler): Dieser Zustand wird eingenommen, wenn das zugehörige Signal nicht mehr oder noch gebildet werden kann, aber der Signalwert außerhalb der spezifizierten Toleranzen liegt Signal pmc Signalspezifikation Richtung Signalname Einheit Typ ESC ebooster pmc1 bar cont Größe (Bits) 10 Zykluszeit [ms] 10 Phys. Min. -30

59 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 59 Phys. Max. 276,6 Auflösung / Bit 0, Anforderungen das Signal #R8.1 Das Signal pmc1 muss dem aktuell gemessenen Druck im Druckkreis des Hauptbremszylinders entsprechen. #R8.2 #R8.3 Das Signal pmc1 muss dem gemessenen Rohwert entsprechen und darf somit nicht Offset kompensiert oder gefiltert sein. Aufgrund der Offset-Kompensation fürs pmc1-signal in ebooster darf ein gültiges pmc1 Signal (pmc1_q = 1: Normal ) eine maximale Abweichung von +/-15bar gegenüber dem tatsächlichen Wert aufweisen Signal pmc1_q Signalspezifikation Richtung Signalname ESC ebooster pmc1_q Einheit - Typ enum Größe (Bits) 1 Zykluszeit [ms] 10 Phys. Min. 0 Phys. Max. 2 Auflösung / Bit Anforderungen das Signal #R8_Q.1 0: NotInitialized (Nicht initialisiert): Dieser Zustand wird eingenommen, wenn das zugehörige Signal aufgrund fehlender Initialisierung nicht gebildet werden kann. 1: Normal (Normaler Betrieb): Dieser Zustand wird eingenommen, wenn das zugehörige Signal gebildet werden kann, und der Signalwert innerhalb der spezifizierten Toleranzen liegt. 2: Faulty (Fehler): Dieser Zustand wird eingenommen, wenn das zugehörige Signal nicht mehr oder noch gebildet werden kann, aber der Signalwert außerhalb der spezifizierten Toleranzen liegt

60 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 60 #R8_Q.2 #R8_Q.3 #R8_Q.4 Die Dauer für die Zustandsänderung von NotInitialized auf Normal oder Faulty muss kürzer als 200ms sein, um eine ausreichend schnelle Reaktion in der Funktion Bauteilschutz im ebooster zu gewährleisten. *Die genannte Dauer ist hierbei auf der ESC-Seite spezifiziert und die im ESC benötigte Überwachungszeit ist inbegriffen. Sollte der Wert nicht eingehalten werden können, ist eine projektspezifische Abstimmung zwischen OES ESP und OES ebooster notwendig. Die Dauer für die Zustandsänderung von Normal auf Faulty muss kürzer als 100ms* sein, um eine ausreichend schnelle Reaktion in der Funktion Bauteilschutz im ebooster zu gewährleisten. *Die genannte Dauer ist hierbei auf der ESC-Seite spezifiziert und die im ESC benötigte Überwachungszeit ist inbegriffen. Sollte der Wert nicht eingehalten werden können, ist eine projektspezifische Abstimmung zwischen OES ESP und OES ebooster notwendig. Wenn die Abweichung durch Offset- oder Verstärkungsfehler bei der Signalaufbereitung im Betrag größer als 15 bar wird, muss das Signal pmc1_q innerhalb von 100ms von Normal auf Faulty umschalten Signal AbsActive Signalspezifikation Richtung Signalname ESC ebooster AbsActive Einheit - Typ log Größe (Bits) 1 Zykluszeit [ms] 10 Phys. Min. 0 Phys. Max. 1 Auflösung / Bit Anforderungen an das Signal #R9.1 #R9.2 Das Signal AbsActive muss die Information beinhalten, ob aktuell im ESC ABS aktiv ist. Das Signal AbsActive kann folgende Zustände einnehmen: FALSE: ABS ist NICHT in aktiver Regelung TRUE: ABS ist in aktiver Regelung #R9.3 Das Signal AbsActive muss auf TRUE gesetzt werden, sobald mindestens ein Rad im ABS ist.

61 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite Signal pestmax Signalspezifikation Richtung Signalname Einheit Typ ESC ebooster pestmax Bar Cont Größe (Bits) 8 Zykluszeit [ms] 20 Phys. Min. 0 Phys. Max. 250 Auflösung / Bit Anforderungen an das Signal #R10.1 #R10.2 #R10.3 #R10.4 Das Signal pestmax muss dem Druck des druckhöchsten Rades im ESC entsprechen. Das Signal pestmax wird im ebooster nur verwendet, wenn ABS aktiv ist. D.h. das Signal muss der Spezifikation entsprechen, sobald das Signal AbsActive gesetzt ist. Das Signal pestmax muss der Spezifikation entsprechen, sobald der Vordruck höher ist als 100 bar. Während einer aktiven ABS-Regelung darf die Abweichung zwischen dem realen Druck des druckhöchsten Rades und pestmax maximal 50% betragen. Eine höhere Abweichung als die 50% ist maximal für 300ms zulässig.

62 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite Rekuperationsschnittstelle Die Rekuperationsschnittstelle beschreibt den Umfang der SW-Signale, die zwischen einem aktiven Bremskraftverstärker (ebooster) und einem ESC-System (ESC) für die Darstellung der Pedalkraftkompensation während Rekuperation benötigt werden. Die Rekuperationsschnittstelle ist nur dann notwendig, wenn mindestens eine der folgenden Funktionalitäten im Gesamtsystemverbund zu realisieren ist: Pedalkraftkompensation während Rekuperation Berechnung des vom Fahrer verschobenen Volumens Falls diese Funktionalitäten nicht benötigt oder gefordert sind, kann auf diese Schnittstelle verzichtet werden. Die bidirektionale Kommunikation zwischen dem ebooster und dem ESC für die Rekuperationsschnittstelle in Bild 19 dargestellt. Bild 19 Übersicht der Rekuperationsschnittstelle

63 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite Übersicht Schnittstellenbeschreibung ID Schnittstelle Aufgabe und Schnittstelleninhalt 11 pforceblendingpotential ebooster ESC: 12 soutputrodact ebooster ESC: 13 pmcvirtual ESC ebooster: 14 pforceblendingmc ESC ebooster: 15 ForceBlendingActive ESC ebooster: Übermittlung des Potentials des eboosters für die Pedalkraftkompensation. Das ESC koordiniert anhand dieser Information die Anforderung an die Pedalkraftkompensation. Übermittlung der Wegposition der Ausgangsstange des ebooster. Die Größe ist relevant für die Berechnung des tatsächlich verschobenen Volumens im Hauptbremszylinder. Übermittlung des virtuellen Vordrucks. Da während Rekuperation der Systemdruck durch Volumenverblenden nicht mit dem Fahrerbremswunsch korreliert, wird ein Ersatzsignal im ESC für den ebooster gebildet. Dieses ist die Basis der Pedalkraftkompensation und der Bremskraftverstärkung während Rekuperation im ebooster. Übermittlung des Zieldrucks, der vom ESC während Volumenverblenden eingeregelt werden soll. Im ebooster wird durch Berechnung der Differenz zwischen pmcvirtual und pforceblendingmc die Zielgröße für Pedalkraftkompensation abgeleitet. Übermittlung des aktuellen Ansteuerwunsches für die Funktion Pedalkraftkompensation. 0: PFC_inactive (Pedalkraftkompensation wird nicht angefordert) 1: PFC_hold (aktueller Wert der Pedalkraftkompensation wird gehalten)

64 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 64 2: PFC_active (Pedalkraftkompensation wird angefordert) Tabelle 8 : Übersicht Rekuperationsschnittstelle zwischen ebooster und ESC Signal pforceblendingpotential Signalspezifikation Richtung Signalname Einheit Typ ebooster ESC pforceblendingpotential Bar Cont Größe (Bits) 8 Zykluszeit [ms] 20 Phys. Min. 0 Phys. Max. 125 Auflösung / Bit 0, Anforderungen an das Signal #R11.1 Um Anforderungen an die Verstärkerkennlinie zu erfüllen und ggfs. das regenerative Bremsmoment bzw. der Volumenverblendung zu limitieren, muss das Signal pforceblendingpotential im ESC bekannt sein. #R11.2 Das Signal pforceblendingpotential muss dem Potential des eboosters zur Pedalkraftkompensation entsprechen, die abhängig von der Differenz zwischen dem virtuellen und tatsächlichen Druck im Hauptbremszylinder ist. #R11.3 Das Signal pforceblendingpotential muss als Druck definiert werden. #R11.4 Die Berechnung des Signals pforceblendingpotential muss sich auf das Hauptbremszylinderniveau beziehen. #R11.5 Das Signals pforceblendingpotential muss auf 0 bar gesetzt werden, wenn der ebooster in Diagnose ist Signal pforceblendingpotential_q Signalspezifikation Richtung Signalname ebooster ESC pforceblendingpotential_q

65 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 65 Einheit - Typ enum Größe (Bits) 2 Zykluszeit [ms] 20 Phys. Min. 0 Phys. Max. 4 Auflösung / Bit Anforderungen das Signal #R11_Q.1 Das Signal pforceblendingpotential_q kann folgende Zustände einnehmen: 0: NotInitialized (Nicht initialisiert): Dieser Zustand wird eingenommen, wenn das zugehörige Signal aufgrund fehlender Initialisierung nicht gebildet werden kann. 1: Normal (Normaler Betrieb): Dieser Zustand wird eingenommen, wenn das zugehörige Signal gebildet werden kann, und der Signalwert innerhalb der spezifizierten Toleranzen liegt. 2: Faulty (Fehler): Dieser Zustand wird eingenommen, wenn das zugehörige Signal nicht mehr oder noch gebildet werden kann, aber der Signalwert außerhalb der spezifizierten Toleranzen liegt #R11_Q.2 Das Signals pforceblendingpotential_q muss gültig (1: Normal) sein, wenn der ebooster in Diagnose ist und das kalkulierte Signal pforceblendingpotential innerhalb der spezifizierten Toleranzen liegt Signal soutputrodact Signalspezifikation Richtung Signalname Einheit Typ ebooster ESC soutputrodact mm Cont Größe (Bits) 12 Zykluszeit [ms] 10 Phys. Min. -5 Phys. Max. 47

66 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 66 Auflösung [mm]/ Bit 0, Anforderungen an das Signal #R12.1 #R12.2 #R12.3 #R12.4 Das Signal soutputrodact muss der tatsächlichen Position der Ausgangsstange entsprechen, um damit das verschobene hydraulische Volumen zu repräsentieren. Im Falle von regenerativen Bremssystemen mit Volumenverblendung muss das Signal soutputrodact das entsprechende Volumen während Pedalkraftkompensation widerspiegeln. Im Bereich von 0 mm bis 42 mm darf das Signal soutputrodact maximal um ± 0.3mm vom tatsächlichen physikalischen Wert abweichen. Das Signal soutputrodact muss auch im Falle eines Bremskreisausfalls verfügbar und gültig sein Signal soutputrodact_q Signalspezifikation Richtung Signalname ebooster ESC soutputrodact_q Einheit - Typ enum Größe (Bits) 2 Zykluszeit [ms] 10 Phys. Min. 0 Phys. Max. 4 Auflösung / Bit Anforderungen an das Signal #R12_Q.1 Das Signal soutputrodact_q kann folgende Zustände einnehmen: 0: NotInitialized (Nicht initialisiert): Dieser Zustand wird eingenommen, wenn das zugehörige Signal aufgrund fehlender Initialisierung nicht gebildet werden kann. 1: Normal (Normaler Betrieb): Dieser Zustand wird eingenommen, wenn das zugehörige Signal gebildet werden kann, und der Signalwert innerhalb der spezifizierten Toleranzen liegt. 2: Faulty (Fehler): Dieser Zustand wird eingenommen, wenn das zugehörige Signal nicht mehr oder noch gebildet werden kann, aber der Signalwert außerhalb der spezifizierten Toleranzen liegt

67 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite Signal pmcvirtual Signalspezifikation Richtung Signalname Einheit Typ ESC ebooster pmcvirtual Bar Cont Größe (Bits) 10 Zykluszeit [ms] 10 Phys. Min. 0 Phys. Max. 250 Auflösung / Bit 0, Anforderungen an das Signal #R13.1 #R13.2 Das Signal pmcvirtual muss die Information über den Zieldruck im Bremssystem beinhalten. Das Signal pmcvirtual muss rein wegbasiert auf Basis einer Referenz p/v-kennlinie berechnet werden. Anmerkungen: Während eines Volumen-Verblendevorgangs (Bsp. Raddruck = 0) muss ein gültiger Wert als wegbasierter Zieldruck ausgegeben werden, auch wenn nur der Generator zu Zielverzögerung beiträgt Während einer EBR-Aktivierung ohne Pedalbetätigung muss ein gültiger Wert als wegbasierter Zieldruck ausgegeben werden, der der Pedalposition entspricht #R13.3 Das Signal pmcvirtual darf keine Sprünge bei Zustandsübergängen (z.b. EBR -> Fahrerbremsung) zeigen und darf keine dynamischen Druckeffekte aufweisen Signal pmcvirtual_q Signalspezifikation Richtung Signalname ESC ebooster pmcvirtual_q Einheit - Typ enum Größe (Bits) 2

68 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 68 Zykluszeit [ms] 10 Phys. Min. 0 Phys. Max. 4 Auflösung / Bit Anforderungen an das Signal #R13_Q.1 Das Signal pmcvirtual_q kann folgende Zustände einnehmen: 0: NotInitialized (Nicht initialisiert): Dieser Zustand wird eingenommen, wenn das zugehörige Signal aufgrund fehlender Initialisierung nicht gebildet werden kann. 1: Normal (Normaler Betrieb): Dieser Zustand wird eingenommen, wenn das zugehörige Signal gebildet werden kann, und der Signalwert innerhalb der spezifizierten Toleranzen liegt. 2: Faulty (Fehler): Dieser Zustand wird eingenommen, wenn das zugehörige Signal nicht mehr oder noch gebildet werden kann, aber der Signalwert außerhalb der spezifizierten Toleranzen liegt Signal pforceblendingmc Signalspezifikation Richtung Signalname Einheit Typ ESC ebooster pforceblendingmc Bar Cont Größe (Bits) 10 Zykluszeit [ms] 10 Phys. Min. 0 Phys. Max. 250 Auflösung / Bit 0,25

69 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite Anforderungen an das Signal #R14.1 Das Signal pforceblendingmc muss dem Zieldruck im Hauptzylinder während der Volumenverblendung in ESC entsprechen. Der Zieldruck wird auch an den hydraulischen Aktuator in ESC gesendet, um den Druck entsprechend zu regeln Signal pforceblendingmc_q Signalspezifikation Richtung Signalname ESC ebooster pforceblendingmc_q Einheit - Typ enum Größe (Bits) 2 Zykluszeit [ms] 10 Phys. Min. 0 Phys. Max. 4 Auflösung / Bit 1

70 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite Anforderungen an das Signal #R14_Q.1 Das Signal pforceblendingmc_q kann folgende Zustände einnehmen: 0: NotInitialized (Nicht initialisiert): Dieser Zustand wird eingenommen, wenn das zugehörige Signal aufgrund fehlender Initialisierung nicht gebildet werden kann. 1: Normal (Normaler Betrieb): Dieser Zustand wird eingenommen, wenn das zugehörige Signal gebildet werden kann, und der Signalwert innerhalb der spezifizierten Toleranzen liegt. 2: Faulty (Fehler): Dieser Zustand wird eingenommen, wenn das zugehörige Signal nicht mehr oder noch gebildet werden kann, aber der Signalwert außerhalb der spezifizierten Toleranzen liegt Signal ForceBlendingActive Signalspezifikation Richtung Signalname ESC ebooster ForceBlendingActive Einheit - Typ enum Größe (Bits) 2 Zykluszeit [ms] 10 Phys. Min. 0 Phys. Max. 2 Auflösung / Bit Anforderungen an das Signal #R15.1 Das Signal ForceBlendingActive muss Information beinhalten, ob die Pedalkraftkompensation in ebooster ausgeführt werden soll. #R15.2 Das Signal ForceBlendingActive kann folgende Zustände einnehmen: 0: PFC_inactive (Pedalkraftkompensation wird nicht angefordert.) 1: PFC_hold (Pedalkraftkompensation wird auf der letzten Vorgabe eingefroren. Hinweis: Dieser Signalzustand ist optional und muss nicht zwingend verwendet werden) 2: PFC_active (Pedalkraftkompensation wird angefordert.)

71 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite Schnittstelle für Externen Bremswunsch Die Schnittstelle für Externen Bremswunsch beschreibt den Umfang der Signale, die zwischen einem aktiven Bremskraftverstärker (ebooster) und einem ESC-System (ESC) für die Umsetzung eines externen Bremswunsches über den ebooster benötigt werden. Die Schnittstelle für Externen Bremswunsch ist nur notwendig, wenn ein externer Bremswunsch über den ebooster gestellt wird. Falls das ESC alle aktiven Druckaufbauten stellt ist diese Schnittstelle nicht notwendig. Die bidirektionale Kommunikation zwischen dem ebooster und dem ESC für Externen Bremswunsch mit den dazu gehörigen Signalen ist in Bild 20 dargestellt. Bild 20 Schnittstellen zur Darstellung EBR über ebooster

72 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite Übersicht Schnittstellenbeschreibung ID Schnittstelle Aufgabe und Schnittstellen Inhalt 16 ExtReqPrio ebooster ESC: 17 ExtReqStatus ebooster ESC: 18 qtargetexternal ESC ebooster: 19 qtargetexternal_q ESC ebooster: Übermittlung der Information, ob der Fahrer oder der externe Bremswunsch das aktuelle Bremsmoment dominiert FALSE (Externer Bremswunsch ist nicht aktiv oder Fahrer dominiert das Bremsmoment) TRUE (Externer Bremswunsch ist aktiv und dominiert das Bremsmoment) Übermittlung der aktuellen Verfügbarkeit des externen Bremswunsches als Stellerfunktion 0: EBR_NotInitilized (Die Stellerfunktion Externer Bremswunsch im ebooster befindet sich in der Initialisierungsphase und kann noch nicht genutzt werden) 1: EBR_NotAvailable (Die Stellerfunktion Externer Bremswunsch im ebooster ist nicht verfügbar) 2: EBR_Available (Die Stellerfunktion Externer Bremswunsch im ebooster ist verfügbar und kann genutzt werden) Übermittlung des Zielwertes zur Ausführung des externen Bremswunsches im ebooster Übermittlung des aktuellen Ansteuerwunsches zur Ausführung des externen Bremswunsches im ebooster 0: qtarget_off (keine Anforderung an Externen Bremswunsch Stellerfunktion im ebooster) 1: qtarget_ebr (aktive Volumenflussanforderung an Externen Bremswunsch Stellerfunktion im ebooster) Tabelle 9 : Übersicht Schnittstelle zur Darstellung EBR über ebooster

73 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite Signal ExtReqPrio Signalspezifikation Richtung Signalname ebooster ESC ExtReqPrio Einheit - Typ Log Größe (Bits) 1 Zykluszeit [ms] 10 Phys. Min. 0 Phys. Max. 1 Auflösung / Bit Anforderungen an das Signal #R16.1 #R16.2 Das Signal ExtReqPrio muss darüber informieren, ob der Fahrer oder der externe Bremswunsch das aktuelle Bremsmoment dominiert Das Signal ExtReqPrio kann folgende Zustände einnehmen: FALSE: Externer Bremswunsch ist nicht aktiv oder Fahrer dominiert das Bremsmoment TRUE: Externer Bremswunsch ist aktiv und dominiert das Bremsmoment #R16.3 #R16.4 Das Signal ExtReqPrio muss auf TRUE gesetzt werden, sobald der Externe Bremswunsch über den ebooster den Fahrerbremswunsch überstimmt und somit das Bremsmoment auf Fahrzeugebene bestimmt. Das Signal ExtReqPrio muss mit einer Hysterese umgesetzt werden, sodass ein Toggeln zwischen TRUE und FALSE verhindert wird. Die Setz- und Rücksetzbedingungen werden projektspezifisch vereinbart Signal ExtReqStatus Signalspezifikation Richtung Signalname ebooster ESC ExtReqStatus Einheit - Typ enum

74 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 74 Größe (Bits) 2 Zykluszeit [ms] 10 Phys. Min. 0 Phys. Max. 4 Auflösung / Bit Anforderungen an das Signal #R17.1 #R17.2 Das Signal ExtReqStatus muss Information über den Zustand der EBR-Funktionalität beinhalten. Das Signal ExtReqStatus muss folgende Zustände repräsentieren: 0: EBR_NotInitialized, EBR-Funktionalität im ebooster ist in Initialisierung 1: EBR_NotAvailable, EBR-Funktionalität im ebooster ist nicht verfügbar. 2: EBR_Available, EBR-Funktionalität in ebooster ist verfügbar und kann durch ESC ausgelöst werden. #R17.3 Das Signal ExtReqStatus muss auf 1 (EBR_NotAvailable) gesetzt werden, wenn der ebooster in Diagnose ist Signal qtargetexternal Signalspezifikation Richtung Signalname Einheit Typ ESC ebooster qtargetexternal ml/s cont Größe (Bits) 16 Zykluszeit [ms] 10 Phys. Min Phys. Max. 252 Auflösung / Bit 0, Anforderungen an das Signal #R18.1 Das Signal qtargetexternal muss den Zielvolumenfluss im Hauptbremszylinder wiederspiegeln, der vom ebooster bei einer EBR-Aktivierung angefordert wird.

75 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite Signal qtargetexternal_q Signalspezifikation Richtung Signalname ESC ebooster qtargetexternal_q Einheit - Typ enum Größe (Bits) 2 Zykluszeit [ms] 10 Phys. Min. 0 Phys. Max. 4 Auflösung / Bit Anforderungen an das Signal #R19.1 Das Signal qtargetexternal_q muss folgende Zustände repräsentieren: 0: qtarget_off, wenn keine externe Bremsanforderung vorliegt. 1: qtarget_ebr, im Falle von einer externen Bremsanforderung

76 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite Schnittstelle zur Ansteuerung der Warnlampen (HMI) Die Schnittstelle für die Ansteuerung der Warnlampen (HMI) beschreibt den Umfang der Signale, die von einem ebooster bzw. einem ESC-System (ESC) an das HMI übermittelt werden. Die Schnittstelle für die Ansteuerung der Warnlampe (HMI) mit ihren Signalen ist in Bild 21 dargestellt. Bild 21 Schnittstellen zur Ansteuerung der Warnlampen Übersicht Schnittstellenbeschreibung ID Schnittstelle Aufgabe und Schnittstellen Inhalt 20 eb_hmi_warningon ebooster HMI: Übermittlung der Information, ob der ebooster degradiert ist und somit nicht mehr die 6,43 m/s² bei 500 N Pedalkraft erreicht (Gelbe Warnlampe) FALSE (Das Signal eb_warning_on muss die Information beinhalten, ob der ebooster eine Bremskraftverstärkung

77 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite ESC_ HMI_WarningOn ESC HMI: entsprechend 6,43 m/s² bei 500N bereit stellen kann) TRUE (ebooster ist degradiert und kann die 6,43 m/s² bei 500N Pedalkraft nicht mehr sicher stellen) Übermittlung der Information, ob der ebooster degradiert ist und zusätzlich die HBC-Funktion im ESC nicht mehr zur Verfügung steht. Hiermit wird signalisiert, dass die erforderlichen 6,43 m/s² im Systemverbund ebooster + ESC nicht mehr mit 500 N Pedalkraft erreicht werden können (Rote Warnlampe) FALSE (ebooster ist verfügbar oder HBC Funktion ist verfügbar im ESC) TRUE (Verstärkung vom ebooster fällt aus und die HBC Funktion im ESC ist nicht mehr verfügbar) Tabelle 10 : Übersicht HMI-Schnittstelle zwischen ebooster bzw. ESC und HMI eb_ HMI_WarningOn Signalspezifikation Richtung Signalname ebooster HMI eb_ HMI_WarningOn Einheit - Typ Log Größe (Bits) 1 Zykluszeit [ms] 20 Phys. Min. 0 Phys. Max. 1 Auflösung / Bit Anforderungen an das Signal #R20.1 Das Signal eb_hmi_warningon muss die Information beinhalten, ob der ebooster eine Bremskraftverstärkung entsprechend 6,43 m/s² bei 500 N bereit stellen kann

78 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 78 #R20.2 Das Signal eb_hmi_warningon kann folgende Zustände einnehmen: FALSE: ebooster ist nicht degradiert und kann die 6,43m/s² bei 500N Pedalkraft sicher stellen TRUE: ebooster ist degradiert und kann die 6,43 m/s² bei 500 N Pedalkraft NICHT mehr sicher stellen ESC_HMI_WarningOn Signalspezifikation Richtung Signalname ESC HMI ESC_HMI_WarningOn Einheit - Typ Log Größe (Bits) 1 Zykluszeit [ms] 20 Phys. Min. 0 Phys. Max. 1 Auflösung / Bit Anforderungen an das Signal #R21.1 #R21.2 Das Signal ESC_HMI_WarningOn muss die Information beinhalten, ob im Systemverbund mit ebooster und ESC eine Verzögerung von 6,43 m/s² bei 500 N Pedalkraft erreicht werden kann. Das Signal ESC_HMI_WarningOn kann folgende Zustände einnehmen: FALSE: HBC Funktion ist uneingeschränkt verfügbar im ESC TRUE: Verstärkung vom ebooster fällt aus und die HBx Funktionen im ESC sind nicht mehr verfügbar.

79 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite Schnittstelle zur Ansteuerung des Bremslichts (BLA) Die Schnittstelle für die Ansteuerung des Bremslichts (BLA) beschreibt den Umfang der Signale, die von einem ebooster bzw. einem ESC-System (ESC) an das BLA übermittelt werden. Die Schnittstelle für die Ansteuerung des Bremslichts (BLA) mit ihren Signalen ist in Bild 22 dargestellt. Bild 22 Schnittstellen zur Ansteuerung der Bremslichter Übersicht Schnittstellenbeschreibung ID Schnittstelle Aufgabe und Schnittstellen Inhalt 22 eb_bla ebooster BLA: Übermittlung der Information, ob das Bremslicht aufgrund Fahrerbremsung angesteuert werden muss FALSE (Bremslicht wird nicht angesteuert) TRUE (Bremslicht wird angesteuert)

80 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite ESC_BLA ESC BLA: Übermittlung der Information, ob bei degradiertem ebooster und bei Fahrerbremsung oder bei aktivierten Zusatzfunktionen das Bremslicht angesteuert werden muss FALSE (Bremslicht wird nicht angesteuert) TRUE (Bremslicht wird angesteuert) Tabelle 11 : Übersicht Schnittstelle zwischen ebooster bzw. ESC und BLA zur Ansteuerung der Bremslichter eb_bla Signalspezifikation Richtung Signalname ebooster BLA eb_bla Einheit - Typ Log Größe (Bits) 1 Zykluszeit [ms] 20 Phys. Min. 0 Phys. Max. 1 Auflösung / Bit Anforderungen an das Signal #R22.1 #R22.2 #R22.3 Das Signal eb_bla muss die Information beinhalten, ob das Bremslicht aufgrund einer Fahrerbremsung angesteuert werden muss Das Signal eb_bla kann folgende Zustände einnehmen: FALSE: Bremslicht wird nicht angesteuert TRUE: Bremslicht wird angesteuert Das Signal eb_bla muss mit einer Hysterese umgesetzt werden, um ein Toggeln des Signals zu verhindern. Die Setz- und Rücksetzbedingungen werden projektspezifisch vereinbart.

81 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite ESC_BLA Signalspezifikation Richtung Signalname ESC BLA ESC_BLA Einheit - Typ Log Größe (Bits) 1 Zykluszeit [ms] 20 Phys. Min. 0 Phys. Max. 1 Auflösung / Bit Anforderungen an das Signal #R23.1 #R23.2 #R23.3 #R23.4 #R23.5 #R23.6 Das Signal ESC_BLA muss die Information beinhalten, ob das Bremslicht aufgrund Fahrerbremsung oder ESC Zusatzfunktionen angesteuert werden muss. Das Signal ESC_BLA muss gesetzt werden, wenn die projektspezifischen Setzbedingungen der ESC Zusatzfunktionen (Bsp. Längsdynamikfunktionen) erfüllt sind. Das Signal ESC_BLA darf bei einer Fahrerbremsung nur auf TRUE gesetzt werden, wenn der ebooster degradiert ist oder die Kommunikation zum ebooster unterbrochen ist. Das Signal ESC_BLA muss bei einer Fahrerbremsung aus dem Drucksensorsignal im ESC gebildet werden Das Signal ESC_BLA kann folgende Zustände einnehmen: FALSE: Bremslicht wird nicht angesteuert TRUE: Bremslicht wird angesteuert (im Falle von degradiertem ebooster oder Kommunikationsausfall oder aktivierten Zusatzfunktionen) Das Signal ESC_BLA muss mit einer Hysterese umgesetzt werden, um ein Toggeln des Signals zu verhindern. Die Setz- und Rücksetzbedingungen werden projektspezifisch vereinbart.

82 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite Schnittstelle zur Ansteuerung des Generators Die Rekuperationsschnittstelle beschreibt den Umfang der SW-Signale, die zwischen einem ESC-System (ESC) und einem elektromotorisch getriebenen Antriebsstrang (Generator) für die Darstellung der Bremsmomentenbilanzierung (Brake Blending) während Rekuperation benötigt werden. Die Rekuperationsschnittstelle ist nur dann notwendig, wenn eine dieser zusätzlichen Funktionalitäten im Gesamtsystemverbund zu realisieren sind: 1. Erzeugen eines generatorischen Bremsmoments zum Verzögern des Fahrzeuges an den Antriebsachsen und Rückspeisung der entstehenden elektrischen Energie in die Fahrzeugbatterie 2. Bilanzierung zwischen dem generatorisch erzeugten Bremsmoment und dem mit der Reibungsbremse erzeugten Bremsmomentes. Falls diese Funktionalität nicht benötigt oder gefordert ist, kann auf die Rekuperationsschnittstelle verzichtet werden. Die Rekuperationsschnittstelle mit ihren Signalen ist in Bild 23 dargestellt. Die Rekuperationsschnittstelle enthält eine bidirektionale Kommunikation zwischen dem ESC und dem Generator. Im Folgenden wird bei der Rekuperationsschnittstelle zwischen zwei Ansätzen unterschieden. Es muss projektspezifisch zwischen OEM und OES entschieden werden nach welchem Ansatz die Rekuperationsschnittstelle ausgeführt wird. Ansatz 1: Die Rekuperationsschnittstelle wird ohne Berücksichtigung des Schleppmoments realisiert. D.h. sowohl das verfügbare Rekuperationsmoment als auch das aktuell realisierte Moment beinhaltet nicht die Schlepprekuperation Ansatz 2: Die Rekuperationsschnittstelle wird mit Berücksichtigung des Schleppmoments realisiert. D.h. sowohl das verfügbare Rekuperationsmoment als auch das aktuell realisierte Moment beinhaltet die Schlepprekuperation, sodass ein weiteres Signal benötigt wird. Wichtiger Hinweis: Das ESC übernimmt aber hierbei nicht die Aufgabe die Schlepprekuperation durch einen aktiven Druckaufbau zu kompensieren. In dem beschriebenen Ansatz 2 muss der Fahrer den Anteil der Schlepprekuperation ausgleichen.

83 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 83 Bild 23 Schnittstellen zur Ansteuerung des Generators Übersicht Schnittstellenbeschreibung ID Schnittstelle Aufgabe und Schnittstellen Inhalt 24 RecuBrakeTorqueRequest ESC Generator 25 RecuBrakeTorqueCap Generator ESC 26 RecuBrakeTorqueAct Generator ESC Das Signal gibt die Anforderung des Bremssystems an das Rekuperationsmoment an. Das Signal gibt das verfügbare Moment der E- Maschine an, welches der Antriebsstrang zur Verfügung stellen kann, um ein äquivalentes Bremsmoment zu erzeugen. Ansatz 1: Das Signal beinhaltet nicht den Schleppmomentanteil Ansatz 2: Das Signal beinhaltet den Schleppmomentanteil Das Signal gibt das anliegende Moment der E- Maschine an. Ansatz 1: Das Signal beinhaltet nicht den Schleppmomentanteil:

84 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite RecuBrakeTorqueActDrag 7 Generator ESC Das Signal RecuBrakeTorqueDrag wird nicht benötigt Ansatz 2: Das Signal beinhaltet den Schleppmomentanteil: zusätzliches Signal RecuBrakeTorqueDrag wird benötigt, um den Schleppmomentanteil aus dem aktuell realisierten Gesamtbremsmoment zu bereinigen. Das Signal gibt das anliegende Schleppmoment der E-Maschine an. Tabelle 12 : Übersicht Schnittstelle zwischen ESC und Generator RecuBrakeTorqueRequest Signalspezifikation Richtung Signalname Einheit Typ ESC Generator RecuBrakeTorqueRequest Nm Cont Größe (Bits) 15 Zykluszeit [ms] 20 Phys. Min. 0 Phys. Max Auflösung / Bit 1Nm Anforderungen an das Signal #R24.1 #R24.2 Das Bremsmoment muss positiv interpretiert werden. Das Signal RecuBrakeTorqueRequest soll das für die Rekuperative Bremsung angeforderte Moment für den elektrischen Antriebsstrangs angeben. 7 Das Signal wird nur benötigt, wenn die Rekuperationsschnittstelle nach Ansatz 2 umgesetzt wird.

85 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 85 #R24.3 Das Signal RecuBrakeTorqueRequest soll das angegebene Moment auf die Radebene beziehen. #R24.4 Das Signal RecuBrakeTorqueRequest soll keine Schleppmomentenkompensation beinhalten RecuBrakeTorqueRequest_Q Signalspezifikation Richtung Signalname ESC Generator RecuBrakeTorqueRequest_Q Einheit - Typ enum Größe (Bits) 2 Zykluszeit [ms] 20 Phys. Min. 0 Phys. Max. 3 Auflösung / Bit Anforderungen an das Signal #R24_Q.1 Das Signal RecuBrakeTorqueRequest_Q kann folgende Zustände einnehmen: 0: NotInitialized (Nicht initialisiert): Dieser Zustand wird eingenommen, wenn das zugehörige Signal aufgrund fehlender Initialisierung nicht gebildet werden kann. 1: Normal (Normaler Betrieb): Dieser Zustand wird eingenommen, wenn das zugehörige Signal gebildet werden kann, und der Signalwert innerhalb der spezifizierten Toleranzen liegt. 2: Faulty (Fehler): Dieser Zustand wird eingenommen, wenn das zugehörige Signal nicht mehr oder noch gebildet werden kann, aber der Signalwert außerhalb der spezifizierten Toleranzen liegt RecuBrakeTorqueCap Signalspezifikation 8 Projektspezifisch kann auch entschieden werden, die Rekuperationssteuerung in ESC nur anhand der aktuell realisierte Rekuperationsbremsmoment umzusetzen. In diesem Fall ist das Signal nicht notwendig.

86 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 86 Richtung Signalname Einheit Typ Generator ESC RecuBrakeTorqueCap Nm Cont Größe (Bits) 15 Zykluszeit [ms] 20 Phys. Min. 0 Phys. Max Auflösung / Bit 1Nm Anforderungen an das Signal #R25.1 #R25.2 #R25.3 #R25.4 #R25.5 Bremsmoment muss positiv interpretiert werden. Das Signal RecuBrakeTorqueCap soll das für die rekuperative Bremsung verfügbare Moment des elektrischen Antriebsstrangs angeben. Das Signal RecuBrakeTorqueCap soll das angegebene Moment auf die Radebene beziehen. Ansatz 1: Das anstelle des Verbrennungsmotors gelieferte Schleppmoment ist nicht in diesem Signal enthalten. Ansatz 2: Das anstelle des Verbrennungsmotors gelieferte Schleppmoment ist in diesem Signal enthalten. Das Signal RecuBrakeTorqueCap soll einen Gangwechsel von D nach N das nicht verfügbare Rekuperationspotential nachbilden.

87 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite RecuBrakeTorqueCap_Q Signalspezifikation Richtung Signalname Generator ESC RecuBrakeTorqueCap_Q Einheit - Typ enum Größe (Bits) 2 Zykluszeit [ms] 20 Phys. Min. 0 Phys. Max. 3 Auflösung / Bit Anforderungen an das Signal #R25_Q.1 Das Signal RecuBrakeTorqueCap_Q kann folgende Zustände einnehmen: 0: NotInitialized (Nicht initialisiert): Dieser Zustand wird eingenommen, wenn das zugehörige Signal aufgrund fehlender Initialisierung nicht gebildet werden kann. 1: Normal (Normaler Betrieb): Dieser Zustand wird eingenommen, wenn das zugehörige Signal gebildet werden kann, und der Signalwert innerhalb der spezifizierten Toleranzen liegt. 2: Faulty (Fehler): Dieser Zustand wird eingenommen, wenn das zugehörige Signal nicht mehr oder noch gebildet werden kann, aber der Signalwert außerhalb der spezifizierten Toleranzen liegt RecuBrakeTorqueAct Signalspezifikation Richtung Signalname Einheit Typ Generator ESC RecuBrakeTorqueAct Nm Cont 9 Projektspezifisch kann auch entschieden werden, die Rekuperationssteuerung in ESC nur anhand der aktuell realisierte Rekuperationsbremsmoment umzusetzen. In diesem Fall ist das Signal nicht notwendig.

88 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 88 Größe (Bits) 15 Zykluszeit [ms] 20 Phys. Min Phys. Max Auflösung / Bit 5Nm Anforderungen an das Signal #R26.1 #R26.2 #R26.3 #R26.4 Das Bremsmoment muss positiv interpretiert werden. Das Signal RecuBrakeTorqueAct soll das für die rekuperative Bremsung aktuell anliegende Moment des elektrischen Antriebsstrangs angeben. Das Signal RecuBrakeTorqueAct soll das angegebene Moment auf die Radebene beziehen. Ansatz 1: Das Signal RecuBrakeTorqueAct soll keinen Schleppmomentenanteil beinhalten. Ansatz 2: Das Signal RecuBrakeTorqueAct muss den Schleppmomentenanteil beinhalten RecuBrakeTorqueAct_Q Signalspezifikation Richtung Signalname Generator ESC RecuBrakeTorqueAct_Q Einheit - Typ enum Größe (Bits) 2 Zykluszeit [ms] 20 Phys. Min. 0 Phys. Max. 3 Auflösung / Bit Anforderungen an das Signal #R26_Q.1 Das Signal RecuBrakeTorqueAct_Q kann folgende Zustände einnehmen: 0: NotInitialized (Nicht initialisiert): Dieser Zustand wird eingenommen, wenn das zugehörige Signal aufgrund fehlender Initialisierung nicht gebildet werden kann.

89 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 89 1: Normal (Normaler Betrieb): Dieser Zustand wird eingenommen, wenn das zugehörige Signal gebildet werden kann, und der Signalwert innerhalb der spezifizierten Toleranzen liegt. 2: Faulty (Fehler): Dieser Zustand wird eingenommen, wenn das zugehörige Signal nicht mehr oder noch gebildet werden kann, aber der Signalwert außerhalb der spezifizierten Toleranzen liegt RecuBrakeTorqueDrag Signalspezifikation Richtung Signalname Einheit Typ Generator ESC RecuBrakeTorqueDrag Nm Cont Größe (Bits) 15 Zykluszeit [ms] 20 Phys. Min Phys. Max Auflösung / Bit 5 Nm Anforderungen an das Signal #R27.1 #R27.2 #R27.3 Das Bremsmoment muss positiv interpretiert werden. Das Signal RecuBrakeTorqueDrag soll das anliegende Schleppmoment der E-Maschine an.angeben. Das Signal RecuBrakeTorqueDrag soll das angegebene Moment auf die Radebene beziehen RecuBrakeTorqueDrag_Q Signalspezifikation Richtung Signalname Generator ESC RecuBrakeTorqueDrag_Q Einheit - Typ enum

90 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 90 Größe (Bits) 2 Zykluszeit [ms] 20 Phys. Min. 0 Phys. Max. 3 Auflösung / Bit Anforderungen an das Signal #R27_Q.1 Das Signal RecuBrakeTorqueDrag_Q kann folgende Zustände einnehmen: 0: NotInitialized (Nicht initialisiert): Dieser Zustand wird eingenommen, wenn das zugehörige Signal aufgrund fehlender Initialisierung nicht gebildet werden kann. 1: Normal (Normaler Betrieb): Dieser Zustand wird eingenommen, wenn das zugehörige Signal gebildet werden kann, und der Signalwert innerhalb der spezifizierten Toleranzen liegt. 2: Faulty (Fehler): Dieser Zustand wird eingenommen, wenn das zugehörige Signal nicht mehr oder noch gebildet werden kann, aber der Signalwert außerhalb der spezifizierten Toleranzen liegt.

91 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite Handhabung von Signal-Qualifiers In der vorliegenden VDA-Empfehlung sind für ausgewählte Schnittstellensignale mit dem Datentyp cont zusätzliche Qualifier-Signale definiert, die den Zustand bzw. die Gültigkeit der zugehörigen Nutzsignale angibt. Jedes Qualifier kann folgende Zustände einnehmen: 0: NotInitialized (Nicht initialisiert): Dieser Zustand wird eingenommen, wenn das zugehörige Signal aufgrund fehlender Initialisierung nicht gebildet werden kann. 1: Normal (Normaler Betrieb): Dieser Zustand wird eingenommen, wenn das zugehörige Signal gebildet werden kann, und der Signalwert innerhalb der spezifizierten Toleranzen liegt. 2: Faulty (Fehler): Dieser Zustand wird eingenommen, wenn das zugehörige Signal zwar gebildet werden kann, aber der Signalwert außerhalb der spezifizierten Toleranzen liegt. Die Umsetzung der Signal-Qualifiers kann auch projektspezifisch festgelegt werden, z.b. durch Umsetzung der Qualifier im Wertbereich der Nutzsignale oder durch Definition weiterer Zustände. Die vorliegende Spezifikation ist nur als Empfehlung zu interpretieren. Allerdings hat der OEM als Systemintegrator dafür zu sorgen, bei abweichender Umsetzung der Signal-Qualifiers gemeinsam mit beiden OES (von ebooster und ESC) abzustimmen. Für die Zustandsübergänge der Qualifiers wird folgendes empfohlen: Die Signal-Qualifier müssen nach einer definierten Zeit von 0: NotInitialized auf 2: Faulty gesetzt werden, damit das Empfängersystem über ungültige Signale informiert wird. Die Toleranzzeit für die Umschaltung kann projektspezifisch abgestimmt werden. Der Systemverbund reagiert auf ungültige Signale durch entsprechende Degradation. Dabei gilt im Allgemeinen, dass das Empfängersystem entscheidet darüber, welche Funktionalitäten noch dargestellt werden können. Die endgültige Definition und Umsetzung der Systemdegradation für jede einzelnes Signal- Qualifier ist nach den funktionalen Anforderungen des Empfängersystems (OES von ebooster oder ESC) und den Kundenanforderungen (OEM) projektspezifisch abzustimmen.

92 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 92 Die angehängte Tabelle gibt nur ein Beispiel für die möglichen Degradationen. Direction Signal Name Possible ESC Degradation Possible ebooster Degradation eb -> ESC BrakePedalApplied_Q eb -> ESC soutputroddriver_q eb -> ESC prunout_q eb -> ESC soutputrodact_q eb -> ESC pforceblendingpotential_q No recuperation; no EBR No recuperation; no EBR No HBB; no EBR No recuperation; no EBR No recuperation; no EBR ESC -> eb VehicleSpeed_Q ESC -> eb pmc1_q ESC -> eb pmcvirtual_q ESC -> eb qtargetexternal_q No EBR No EBR No PFC No EBR ESC -> Gen RecuBrakeTorqueRequest_Q Gen -> ESC RecuBrakeTorqueCap_Q Gen -> ESC RecuBrakeTorqueAct_Q No recuperation No recuperation No recuperation Tabelle 13 Mögliche Degradationen im Systemverbund bei ungültigen Signalen

93 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 93 4 Funktionale Sicherheit Diese VDA-Empfehlung beschreibt eine mögliche Aufteilung der Teilfunktionen eines Bremsregelsystems bestehend aus ebooster und ESC. Im Hinblick auf das Fahrzeug-Gesamtsystem muss die Funktionale Sicherheit gewährleistet sein. Die Betrachtung der Funktionalen Sicherheit erfolgt gemäß den Anforderungen der Norm ISO und bezieht sich im Kontext dieses Kapitels allein auf die E/E-Bestandteile (elektrisch und/oder elektronisch) des Bremsregelsystems. Dieses Kapitel behandelt zunächst die Definition des Betrachtungsumfangs des Bremsregelsystems, sowie einen Vorschlag zur Definition der Items gemäß ISO Es werden die für das Bremsregelsystem relevanten Gefährdungen und Risiken bestimmt und daraus die Sicherheitsanforderungen an die beteiligten Items abgeleitet. Es handelt sich dabei um keine technische Vorgabe, sondern um eine Empfehlung eines möglichen Sicherheitskonzepts. Dabei werden Sicherheitsziele postuliert (angenommen) um ein sinnvolles und verständliches Sicherheitskonzept abzuleiten. Die Sicherheitsziele stammen weder aus einer Gefährdungs- und Risikoanalyse noch stellen sie einen zu erreichenden Stand der Technik dar. Die angenommenen Sicherheitsziele sind dabei möglichst realitätsnah formuliert und sind in ähnlicher Form in bereits laufenden Projekten zwischen OEM und OES anwendbar. Insbesondere kann es weitere Sicherheitsziele geben, oder in dieser Empfehlung herangezogene Sicherheitsziele besitzen aus OEM-Sicht andere Risikobewertungen oder Attribute (z.b. FTTI, kritische Fehleramplitude). Hintergrund dieses Vorgehens ist, basierend auf den angenommenen Gefährdungen und Risiken des Bremsregelsystems, ein Funktionales Sicherheitskonzept vorzuschlagen, welches selbst bei geänderten Risikoparametern übernommen werden kann (mit entsprechender Anpassung des ASIL, FTTI etc.). 4.1 Definition des Umfangs eines Bremsregelsystems Motivation der Trennung des Bremsregelsystems in zwei Items Vorschlag in dieser VDA-Empfehlung ist, den ebooster und das ESC als getrennte items zu definieren. Die Vorteile dieser Definition sind hierbei: es handelt sich um zwei getrennte Produkte (ggf. von unterschiedlichen Lieferanten)

94 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 94 die Sicherheitsnachweise und Sicherheitsanalysen (FMEA, FTA etc.) können weitestgehend getrennt erfolgen, ohne dass u.u. sensible Informationen ausgetauscht werden müssen zur Darstellung der Sicherheitsnachweise müssen die Prozesse und Vorgehensweisen nicht abgestimmt werden damit entfällt auch für den OEM ein großer Teil des Abstimmungsaufwands zwischen den beiden Tier1 Trotz des Vorschlages, getrennte items zu definieren, wird in dieser VDA-Empfehlung ein Funktionales Sicherheitskonzept auf Ebene des Systemverbunds Bremsregelsystem erarbeitet, welches die Sicherheitsziele für die beteiligten Items definiert. Ausgangssignale (Sendesignale) mit Sicherheitsrelevanz sind hierbei Sicherheitsanforderungen für das item, welches das Signal sendet. Dies wiederum motiviert, ggf. vorhandene Ausfallraten etc. von Eingangssignalen (Empfangssignalen) nicht in entsprechende quantitative Analysen (FTA etc.) aufzunehmen, da der Nachweis der Funktionalen Sicherheit bereits beim Sender des Signals erfolgt. Die konkrete Ausgestaltung des items wird bewusst offen gelassen wegen der Varianz an Sensorik und herstellerspezifischen Strategien der Item Definition z.b. bzgl. der Themen: notwendige externe Sensorik, ggf. deren Signalübertragung notwendige externe Aktorik (z.b. Bremslicht-Ansteuerung), ggf. deren Übertragung notwendige externe Sicherheitsmechanismen (z.b. Warnlampen / HMI) Darüber hinaus soll den Zulieferern die Möglichkeit gegeben werden, evtl. bereits bestehende item Definitionen und Nachweise der Funktionalen Sicherheit der Einzelsysteme ESC bzw. ebooster unverändert übernehmen zu können. Die Kommunikationsstrecke zwischen den beteiligten items ebooster und ESC (CAN / Flexray etc.) ist in Verantwortung des OEM. Es wird daher empfohlen, die Kommunikationsstrecke als eigenes Item in Verantwortung des OEM zu definieren. Im Rahmen des Funktionalen Sicherheitskonzepts auf Ebene des Systemverbunds werden entsprechende Sicherheitsanforderungen an die Übertragungsstrecke gestellt, ebenso wie an die beteiligten Aktoren und weitere Systemelemente. Ein Vorschlag für notwendige Sicherheitsmaßnahmen auf der Kommunikationsstrecke ist in Kap. 4.5 gegeben. Zusammenfassung: basierend auf definierten Gefährdungen und Risiken wird ein Sicherheitskonzept für die Funktionen im Systemverbund entworfen.

95 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 95 die daraus abgeleiteten Sicherheitsanforderungen sind Sicherheitsziele für die einzelnen items ebooster bzw. ESC die beiden items können damit getrennt den Nachweis der funktionalen Sicherheit führen Item Definition und Schnittstellen zu anderen Items Folgendes Bild gibt einen Überblick über die vorgeschlagen Definition der einzelnen Items. Die Funktionen der Items ist Kapitel 2.1 zu entnehmen. Diese Definition sowie die Schnittstellenbeschreibung werden unverändert für die Item Definition übernommen. Zusätzlich wird ein Architekturelement Vehicle Infrastructure vorgeschlagen, welches die Anforderungen an den OEM zusammenfasst. Dieses Architekturelement zur Fahrzeug-Infrastruktur kann damit u.a. die Funktionalen Sicherheitsanforderungen bzgl. Spannungsversorgung und Kommunikationsbus (CAN / FlexRay) aufnehmen. ebooster BLA-F Brake Light Activation Driver Full System PRL Pressure ReductionLogic BFB Brake Force Boost SSH System State Handling Vehicle Infrastructure Interface BLA ebooster DBR-F Driver Brake Request Br ake Force PFC-E Pedal Force Compensation- Execution EBR-E External Brake Request - Execution HMI-eB HMI - ebooster Interface HMI ebooster BLA - Coordinator HMI Interface Basic functionality Interface Recuperation Interface External Brake Request Interface BLA ESC ESC DBR-T Driver Brake Request Br ake Torque BTC Brake Torque Coordinator EBR-C External Brake Request Controller HMI-E HMI - ESC Interface HMI ESC Generator BLA-B Brake Light Activation Driver Backup HBC Hydraulic Booster Failure Compensation LDM Longitudinal Dynamic Management Basic Controller ABS, TCS, VDC Interface Generator HBB Hydraulic Brake Boost SSH System State Handling Bild 24 Bremsregelsystem mit den beteiligten Items ebooster und ESC sowie die Interfaces zu den Architekturelementen in Verantwortung des OEM. Gegenüber der Funktionsarchitektur in Bild 1 wird lediglich ein zusätzliches Architekturelement Vehicle Infrastructure eingeführt um Sicherheitsanforderungen z.b. an die Spannungsversorgung oder Netzwerkkommunikation zu allokieren. HMI und BLA sind stark projektabhängig, ggf. werden Interfaces (z.b. vom ebooster zum HMI) nicht verwendet. Das zu betrachtende System beinhaltet somit folgende Items ebooster ESC

96 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 96 und die vom OEM zu verantworteten Architekturelemente BLA Coordinator HMI Generator Vehicle Infrastructure Es bleibt dem OEM überlassen, diese Architekturelemente als eigene Items zu behandeln oder diese als Teilelemente von größeren Items zusammenzufassen. Im Weiteren werden BLA Coordinator, HMI, Generator, und Vehicle Infrastructure daher als Architekturelemente bezeichnet. Besonders die Schnittstellen zum HMI und zum BLA Coordinator sind bekannt als stark projektabhängig. Um diese Schnittstellenempfehlung lösungsunabhängig zu halten, werden mögliche Schnittstellen vorgehalten, auch wenn sie im jeweiligen Projekt nicht genutzt werden. 4.2 Gefährdungen und Risiken des Bremsregelsystems Es wurde keine explizite Gefährdungs- und Risikoanalyse gemäß den Anforderungen der Norm ISO 26262:2011 (vgl. ISO :2011, Kapitel Hazard Analysis and Risk Assessment ) durchgeführt. Sicherheitsziele und Sicherheitskriterien wurden angenommen und stellen typische Anforderungen und Kriterien in Projekten zwischen OEM und OES dar. Die dargelegten Sicherheitsziele stellen lediglich die Basis für das Funktionale Sicherheitskonzept dar und definieren ausdrücklich keinen Stand der Technik. Die Sicherheitsziele werden in dieser Empfehlung weder bestimmt noch explizit vorgegeben. Ebenfalls werden allgemeingültige Formulierungen wie z.b. adäquate Fahrerbewarnung verwendet um den notwendigen Spielraum für projekt- und regionsspezifische Definitionen zu eröffnen. Ebenso werden keine sicherheitsrelevanten Fehleramplituden definiert. Fehlertolerante Zeitintervalle (FTTI) werden auf Sicherheitszielebene allgemeingültig mit X ms (für zu geringes Bremsmoment), Y ms (für ungewolltes bzw. zu hohes Bremsmoment), und Z ms (Gefährdungen, die zu einer Instabilität des Fahrzeugs führen) angenommen. Die Erfüllung der folgend genannten Anforderungen stellt weder ein notwendiges noch hinreichendes Kriterium zur Erfüllung der Anforderungen der ISO26262 im jeweiligen Projekt dar. Die Erfüllung der ISO26262 ist ausnahmslos im jeweiligen konkreten Projekt zu leisten, basierend auf den im Projekt definierten Gefährdungen und Risiken und den daraus abgeleiteten Funktionalen Sicherheitsanforderungen.

97 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite Zu geringes Bremsmoment während der Fahrt (max. ASIL D) Gefährdung G1.1 Zu geringes Bremsmoment bei Fahrerbremswunsch Annahme: Min. ax < 2,44 m/s² ASIL D Min. ax >= 6,43 m/s² QM Risiko max. ASIL D FTTI Annahme: X ms Hinweis: Diese Gefährdung gilt explizit auch für Produkte / Systeme, die Hydraulikvolumen verblenden. G1.2 Zu geringes Bremsmoment bei Externem Bremswunsch (EBR = External Brake Request) max. ASIL A* * Kontrollierbarkeit ist im Einzelfall für jede Funktion zu prüfen und kann zu einer abweichenden Einstufung führen. Automatisierte Fahrfunktionen sind nicht Inhalt der Betrachtung und müssen gesondert bewertet werden. FTTI Keine Annahme getroffen G1.3 Zu geringes (symmetrisches) Bremsmoment in Regelsituation ESC, ABS, oder TCS (Regelaufgabe kann nicht mehr wahrgenommen werden) Beispiel: ABS Bremsung, über Reduktion des Aussteuerpunkts wird max. Bremsmoment reduziert. max. ASIL B FTTI Keine Annahme getroffen

98 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite Ungewolltes oder zu hohes Bremsmoment während der Fahrt (max. ASIL D) Gefährdung G2.1 Ungewolltes (symmetrisches oder asymmetrisches) Bremsmoment ohne Fahrerbremswunsch, das zur Instabilität des Fahrzeugs führt Risiko max. ASIL D FTTI Annahme: Z ms Weitere Annahme: eine ungewollte regenerative Bremsung mit max. 3m/s 2 ist mit einer QM -Bewertung angenommen. G2.2 Ungewolltes symmetrisches Bremsmoment ohne Fahrerbremswunsch unter Beibehaltung der Stabilität des Fahrzeugs (rein longitudinal) max. ASIL C FTTI Annahme: Y ms G2.3 Zu hohes (symmetrisches) Bremsmoment in Regelsituation ESC, ABS, oder TCS. Beispiel: zu hohes regeneratorisches Bremsmoment in ABS Regelsituation (Rad kann blockieren trotz aktivem ABS) max. ASIL B FTTI Annahme: Y ms G2.4 Zu hohes symmetrisches Bremsmoment bei Fahrerbremswunsch unter Beibehaltung der Stabilität des Fahrzeugs ( Überbremsen ). max. ASIL A FTTI Annahme: Y ms Weitere Annahme: eine zu hohe regenerative Bremsung mit max. 3m/s 2 ist mit einer QM -Bewertung angenommen. G2.5 Zu hohes symmetrisches Bremsmoment bei Externem Bremswunsch unter Beibehaltung der Stabilität des Fahrzeugs ( Überbremsen ). max. ASIL C* FTTI Annahme: Y ms * Kontrollierbarkeit ist im Einzelfall zu prüfen und kann ggf. zu niedrigeren Einstufungen führen. Die o.g. Einstufungen stellen die Basis für das Funktionale Sicherheitskonzept dar. Zusatz max da abhängig vom Inhalt des Externen Bremswunsches.

99 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite Zu geringes Bremsmoment im Stillstand bei Fahreranwesenheit (QM) Gefährdung G3.1 Zu geringes Bremsmoment im Stillstand bei Fahreranwesenheit (mit Möglichkeit Bremsdruck zu erhöhen) Risiko max. QM Situation wird als allgemein kontrollierbar angenommen. G3.2 Zu geringes Bremsmoment im Stillstand bei Fahreranwesenheit (ohne Möglichkeit hydraulischen Bremsdruck zu erhöhen Aktivierung der Feststellbremse möglich) max. QM Situation wird als allgemein kontrollierbar angenommen. Vermeiden des Rückrollens durch externe Maßnahme (Feststellbremse) möglich Zu hohes Bremsmoment im Stillstand (QM) Gefährdung G4.1 Zu hohes Bremsmoment im Stillstand QM Einstufung gemäß VDA (Kreuztausch Parkbremse). Risiko max. QM Keine Ansteuerung des Bremslichts (max. ASIL B) Gefährdung G5.1 Keine Ansteuerung des Bremslichts bei Externem Bremswunsch oder Fahrerbremsung** Risiko max. ASIL B* * Abhängig von E Parameter der entsprechenden Funktion ** nur anwendbar, wenn System ebooster + ESC die Funktion der Bremslichtansteuerung bei Fahrerbremsung übernimmt

100 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite Funktionales Sicherheitskonzept Im Rahmen des Funktionalen Sicherheitskonzepts werden im Folgenden die aus den angenommenen Gefährdungen und Risiken stammenden Anforderungen für das Bremsregelsystem definiert und auf die beteiligten Items allokiert. Diese Analyse erfolgt Schritt für Schritt für jedes einzelne Sicherheitsziel. Verwendete Dekompositionsansätze gemäß ISO26262:2011-9, Kapitel 5 werden erläutert und die entsprechenden redundanten Sicherheitsanforderungen definiert. Die entsprechende Dekomposition kann dabei auch über Item-Grenzen hinweg erfolgen. Dieses Funktionale Sicherheitskonzept besitzt keinen Allgemeingültigkeitsanspruch, stellt jedoch eine mögliche Aufteilung der Anforderungen zwischen den beteiligten Items und Architekturelementen dar. Es wird bewusst darauf verzichtet, die Funktionalen Sicherheitsanforderungen an die Items außerhalb des Bremsregelsystems mit einem ASIL-Attribut zu versehen. Grund hierfür ist die i.a. komplexe OEM-spezifische Fahrzeugarchitektur, die es nicht erlaubt, generell einem HMI oder BLA-Coordinator den entsprechenden ASIL zuzuweisen. Die Verwechslungs- und Fehlinterpretationsgefahr, z.b. direkte Verbindung eines ASIL auf HMI mit einer ASIL-Anforderung für ein Kombi-Instrument, soll hiermit vermieden werden. Dennoch sind die funktionalen Sicherheitsanforderungen an die Fahrzeugumgebung definiert, welche entsprechend der Fahrzeugarchitektur und dem Funktionalen Sicherheitskonzept im konkreten Projekt verfeinert werden müssen Sicherheitsziel G1.1: Vermeide ein zu geringes Bremsmoment bei Fahrerbremswunsch Textuelle Beschreibung des funktionalen Sicherheitskonzepts für Sicherheitsziel G1.1 Die ASIL D Anforderung wird direkt auf die Items ebooster und ESC allokiert. Dabei ist die ASIL D Anforderung für das ESC eine bereits bekannte Anforderung aus dem ESC Sicherheitskonzept. An das Item ebooster wird die ASIL D Anforderung, einen mechanischen Durchgriff zu gewährleisten, allokiert. Mit diesem mechanischen Durchgriff muss eine Mindestverzögerung von 2,44 m/s² erreicht werden. Die gleiche Anforderung wird auf das Basisbremssystem (OEM Verantwortung) allokiert, da die o.g. Anforderung nur in Kombination des Basisbremssystems mit dem betrachteten Systemverbund ebooster + ESC erfüllt werden kann. Da es sich hierbei um eine Anforderung an mechanische / hydraulische Komponenten handelt, ist keine Verfeinerung des Sicherheitskonzepts gemäß ISO26262 notwendig. Die ASIL D - Anforderung behält ihre Bedeutung bzgl. der Notwendigkeit der Validierung auf Systemebene.

101 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 101 Die verbleibende ASIL C Anforderung wird zwischen ebooster und ESC dekomponiert. Diese Dekomposition findet zwischen der Verstärkung im ebooster und der Wirksamkeit des Sicherheitsmechanismus HBC (Hydraulic Booster Failure Compensation) statt. Dieser Mechanismus wiederum bedingt die Erkennung der Nicht- Verstärkung im ebooster. Vorgeschlagen wird (wie in ISO26262 angedeutet) eine Dekomposition mit dem höheren ASIL auf dem Sicherheitsmechanismus: ASIL C wird dekomponiert nach ASIL A(C) für die Verstärkung des ebooster UND ASIL B(C) für Erkennung der Nicht-Verstärkung im ebooster, deren Kommunikation und die entsprechende Reaktion im ESC (Auslösung des HBC). Diese Dekomposition ist nur gültig bei hinreichender Unabhängigkeit zwischen Verstärkung und Erkennung der Nicht-Verstärkung. Diese Unabhängigkeit ist mit dem Nicht-dekomponierten ASIL C nachzuweisen Abgeleitete Sicherheitsanforderungen für Sicherheitsziel G1.1 Hinweis zu den Toleranzzeiten für die dekomponierten Anforderungen #R1.1.2 ff.: Da es sich um latente Fehler handelt, könnten hier theoretisch auch längere Fehlertoleranzzeiten (z.b. die mittlere Dauer eines Zündungszyklus) spezifiziert werden. Es wird hier jedoch aus Gründen der Erklärbarkeit des Funktionalen Sicherheitskonzepts die Fehlertoleranzzeit der ursprünglichen nicht dekomponierten Sicherheitsanforderung übernommen. Item ebooster Anf. ID ASIL Anforderung #R1.1.1 D Der ebooster muss einen mechanischen Durchgriff gewährleisten um folgende Verzögerungsanforderung zu erfüllen: Min. ax >= 2.44 m/s². FTTI X ms #R1.1.2 A(C) Der ebooster muss die Verstärkung des Fahrerbremswunsches gewährleisten. FTTI X ms #R1.1.3 B(C) Der ebooster muss den Ausfall der Verstärkung des Fahrerbremswunsches sicher erkennen. FTTI X ms #R1.1.4 B(C) Der ebooster muss den Ausfall der Verstärkung des Fahrerbremswunsches sicher an das ESC kommunizieren

102 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 102 FTTI X ms Fehleramplitude Signal HbcRequest fehlerhaft auf FALSE Sicherer Zustand Keine Kommunikation auf dem Netzwerk mit adäquater Fahrerbewarnung #R1.1.5 C Der ebooster muss gemeinsame Fehlerursachen (common causes) vermeiden, die gleichzeitig zu einem Ausfall der Verstärkung des Fahrerbremswunsches UND der Nichterkennung dieses Ausfalls führen FTTI X ms Hinweis: Sollte Anforderung #R1.1.5 wegen unzureichender Unabhängigkeit nicht umgesetzt werden können, so kann die genannte Dekomposition in die Anforderungen #R1.1.2 und #R1.1.3 nicht durchgeführt werden. Eine mögliche Alternative ist die Erkennung der Nichtverstärkung und deren Kommunikation (Anforderungen #R1.1.3 und #R1.1.4) mit ASIL C zu belegen. Item ESC Anf. ID ASIL Anforderung #R1.1.6 B(C) Das ESC muss bei Empfang des Signals HbcRequest auf TRUE die Verstärkung des Fahrerbremswunsches gemäß Kennlinie des HBC übernehmen. FTTI Fehleramplitude X ms HBC verstärkt nicht oder zu wenig #R1.1.7 B(C) Das ESC muss bei Verlust der Kommunikation mit dem ebooster (mindestens bei Verlust des Signals HbcRequest) die Verstärkung des Fahrerbremswunsches gemäß Kennlinie des reduzierten HBC übernehmen. FTTI Fehleramplitude X ms HBC verstärkt nicht oder zu wenig Hinweis: ggf. muss diese Sicherheitsanforderung gegen die Sicherheitsanforderung #R2.4.4 priorisiert werden. Dies könnte mit Hinweis auf den höheren ASIL des ursprünglichen Sicherheitsziels (ASIL D in G1.1 gegenüber ASIL A in G2.4) zu einem Wegfall des HBC reduced führen (mit entsprechender adäquater Fahrerbwarnung) und damit zu einem Wegfall der Anforderung #R2.4.4.

103 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 103 Architekturelement BLA Coordinator Keine Anforderung Architekturelement HMI Anf. ID #R1.1.8 Anforderung Das HMI muss die Fahrerwarnung gemäß Warn- und Anzeigekonzept gemäß des spezifizierten Funktionalen Sicherheitskonzepts umsetzen. Architekturelement Generator Anf. ID #R1.1.9 Anforderung Der Generator muss das angeforderte Bremsmoment innerhalb der funktionalen Grenzen umsetzen. Annahme1: max. regeneratives Bremsmoment 3 m/s 2 Annahme2: generatorisches Unterbremsen kann vom Fahrer durch Erhöhung des Fahrerbremswunsches kompensiert werden. Architekturelement Vehicle Infrastructure Anf. ID #R #R Anforderung Die Spannungsversorgung der items ebooster und ESC muss entsprechend der funktionalen Anforderung zur Verfügung gestellt werden. FTTI Fehleramplitude Sicherer Zustand X ms U < kleinste Versorgungsspannung bei der noch eines der items (ebooster, ESC, HMI) die Sicherheitsanforderungen noch erfüllen kann. Adäquate Fahrerbewarnung Die items ebooster und ESC müssen Signale (insbesondere Statussignale) auf dem Netzwerk austauschen können. FTTI Fehleramplitude Sicherer Zustand X ms Keine Kommunikation Adäquate Fahrerbewarnung Sicherheitsziel G1.2: Vermeide ein zu geringes Bremsmoment bei Externem Bremswunsch Textuelle Beschreibung des funktionalen Sicherheitskonzepts für Sicherheitsziel G1.2

104 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 104 Basierend auf der in diesem Dokument vorgeschlagenen Partitionierung der Funktion des Externen Bremswunsches (EBR = External Brake Request) werden an ebooster und ESC gleichermaßen Anforderungen mit ASIL A allokiert Abgeleitete Sicherheitsanforderungen für Sicherheitsziel G1.2 Item ebooster Anf. ID ASIL Anforderung #R1.2.1 A Der ebooster muss einen vom ESC geforderten Volumenstrom umsetzen. FTTI Nicht definiert Fehleramplitude Externer Bremswunsch (Notbremsfunktion) wird nicht oder unzureichend ausgeführt Sicherer Zustand Adäquate Fahrerbewarnung, dass EBR Funktionen nicht verfügbar sind Item ESC Anf. ID ASIL Anforderung #R1.2.2 A Das ESC muss bei Empfang eines Externen Bremswunsches dem ebooster einen Ziel-Volumenstrom mittels der Interfacegröße qtargetexternal zur Verfügung stellen. FTTI Nicht definiert Fehleramplitude Externer Bremswunsch (Notbremsfunktion) wird nicht als Zielvolumenstrom qtargetexternal dem ebooster zur Verfügung gestellt Sicherer Zustand Adäquate Fahrerbewarnung, dass EBR Funktionen nicht verfügbar sind #R1.2.3 A Das ESC muss bei Empfang eines Externen Bremswunsches diesen korrekt zwischen dem ebooster (über die Interfacegröße qtargetexternal) und dem Generator verteilen. FTTI Nicht definiert Fehleramplitude Externer Bremswunsch (Notbremsfunktion) wird insgesamt zu gering angefordert (über qtargetexternal und/oder Generatoranforderung). Sicherer Zustand Adäquate Fahrerbewarnung, dass EBR Funktionen nicht verfügbar sind Architekturelement BLA Coordinator Keine Anforderung Architekturelement HMI Anf. ID Anforderung

105 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 105 #R1.2.4 Das HMI muss eine Meldung des ESC oder des eboosters auf dem Netzwerk, dass EBR Funktionen nicht mehr umgesetzt werden können, geeignet dem Fahrer kommunizieren. FTTI Fehleramplitude Sicherer Zustand Nicht definiert Keine oder falsche Fahrerinformation rechtzeitige Benachrichtigung des Fahrers, dass EBR Funktionen nicht verfügbar sind Architekturelement Generator Anf. ID #R1.2.5 Anforderung Der Generator muss das durch das ESC angeforderte Bremsmoment innerhalb der funktionalen Grenzen umsetzen. Annahme1: max. regeneratives Bremsmoment 3 m/s 2 Architekturelement Vehicle Infrastructure Anf. ID #R1.2.6 #R1.2.7 Anforderung Die Spannungsversorgung der items ebooster und ESC muss gemäß der funktionalen Anforderungen sichergestellt werden. FTTI Fehleramplitude Sicherer Zustand Nicht definiert U < kleinste Versorgungsspannung bei der noch eines der items (ebooster, ESC, HMI) die Sicherheitsanforderungen noch erfüllen kann rechtzeitige Benachrichtigung des Fahrers, dass EBR Funktionen nicht verfügbar sind Ein externer Bremswunsch einer Notbremsfunktion muss sicher auf dem Netzwerk kommuniziert und übertragen werden FTTI Fehleramplitude Sicherer Zustand Nicht definiert U < kleinste Versorgungsspannung bei der noch eines der items (ebooster, ESC, HMI) die Sicherheitsanforderungen noch erfüllen kann rechtzeitige Benachrichtigung des Fahrers, dass EBR Funktionen nicht verfügbar sind Sicherheitsziel G1.3: Vermeide ein zu geringes (symmetrisches) Bremsmoment in Regelsituation ESC, ABS, oder TCS (Regelaufgabe kann nicht mehr wahrgenommen werden). Textuelle Beschreibung des funktionalen Sicherheitskonzepts für Sicherheitsziel G1.3

106 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 106 Dieses Sicherheitsziel ist ein Spezialfall des Sicherheitsziels G1.1. Die dort vorgeschlagenen Konzepte können direkt übernommen werden zur Verhinderung des Unterbremsens. Übrig bleiben die Anforderungen bzgl. der Störung der Regelaufgaben der ESC, ABS und TCS Funktion Abgeleitete Sicherheitsanforderungen für Sicherheitsziel G1.3 Item ebooster Anf. ID ASIL Anforderung #R1.3.1 B Der ebooster darf in der ESC/ABS/TCS Regelsituation die Verstärkung nicht mehr zurücknehmen (z.b. über Variation des Aussteuerpunkts) als zur Erfüllung der Regelaufgabe notwendig ist. Hinweis zur Erfüllung der Regelaufgabe ESC/ABS: ursprüngliches ABS-Niveau kann vom Bremsregelsystem immer noch erreicht werden, bzw. definierte ESC-Akzeptanztests müssen trotz Variation des Aussteuerpunkts erfüllt werden. TCS hier nicht relevant, da i.a. in Bremssituation nicht aktiv. FTTI Fehleramplitude Sicherer Zustand Nicht definiert Zu hohe Absenkung des Aussteuerpunkts, die zu einem Bremsdruckniveau < ursprüngliches ABS- Niveau führt. Keine Absenkung des Aussteuerpunkts. Item ESC Keine Anforderung aus dem Systemverbund für die Regelaufgabe selbst (ist nicht im Fokus dieser Betrachtung) Anf. ID ASIL Anforderung #R1.3.2 B Das ESC muss im Falle einer Variation des Aussteuerpunkts durch den ebooster in der ESC/ABS/TCS Regelsituation die HBB-Verstärkung so anpassen, dass die Erfüllung der jeweiligen Regelaufgabe noch gesichert ist. Hinweis zur Erfüllung der Regelaufgabe ESC/ABS: ursprüngliches ABS-Niveau kann vom Bremsregelsystem immer noch erreicht werden, bzw. definierte ESC-Akzeptanztests müssen trotz Variation des Aussteuerpunkts erfüllt werden. TCS hier nicht relevant, da i.a. in Bremssituation nicht aktiv. FTTI Fehleramplitude Nicht definiert Zu geringe Anhebung der HBB-Verstärkung, die zu einem Bremsdruckniveau < ursprüngliches ABS- Niveau führt. Sicherer Zustand Keine Absenkung des Aussteuerpunkts des eboosters

107 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 107 #R1.3.3 B Das ESC muss im Fall einer regenerativen Bremsung das regenerative Moment so anpassen, dass die Erfüllung der jeweiligen Regelaufgabe noch gesichert ist. Hinweis zu Erfüllung der Regelaufgabe ESC/ABS: ABS kann vom Bremsregelsystem immer noch geregelt werden (d.h. blockierte Räder können ggf. wieder anlaufen): Bei zu hoher regenerativer Bremsanforderung ist dies evtl. nicht mehr der Fall. TCS hier nicht relevant, da i.a. in Bremssituation nicht aktiv. Architekturelement BLA Coordinator Keine Anforderung Architekturelement HMI Keine Anforderung Architekturelement Generator Anf. ID Anforderung #R1.3.4 Der Generator muss das angeforderte Bremsmoment innerhalb der funktionalen Grenzen umsetzen. Annahme1: max. regeneratives Bremsmoment 3 m/s 2 Architekturelement Vehicle Infrastructure Keine Anforderung

108 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite Sicherheitsziel G2.1 Vermeide ein ungewolltes (symmetrisches oder asymmetrisches) Bremsmoment ohne Fahrerbremswunsch, das zur Instabilität des Fahrzeugs führt. Textuelle Beschreibung des funktionalen Sicherheitskonzepts für Sicherheitsziel G2.1 Es wird angenommen, dass ein ebooster nur gleichzeitig in beiden Bremskreisen, den Fahrerbremswunsch verstärken kann. Es ist daher eine Anforderung an die ebooster- Architektur eine solche Asymmetrie zu vermeiden. Ungewolltes symmetrisches Bremsmoment, das zur Instabilität des Fahrzeugs führt, kann nur bei einer ungewollten Bremsung durch den ebooster und einem Versagen einer entsprechenden Maßnahme im ESC (ABS/EBD Funktion) auftreten. Es wird daher folgende Dekomposition der ASIL D Anforderung vorgeschlagen: ASIL B(D) für den ebooster und das ESC zur Vermeidung der ungewollten Bremsung ohne Fahrerbremswunsch ASIL B(D) für das ESC die Stabilität zu gewährleisten. Unabhängig von dieser Dekomposition muss für regeneratorisches Bremsmoment das ESC außerdem die Aufgabe übernehmen, das regeneratorische Moment soweit abzusenken, so dass die Regelaufgabe der ABS/EBD Funktion noch gegeben ist Abgeleitete Sicherheitsanforderungen für Sicherheitsziel G2.1 Item ebooster Anf. ID ASIL Anforderung #R2.1.1 B(D) Der ebooster darf ohne Fahrerbremswunsch oder ohne Externen Bremswunsch keinen Druckaufbau verursachen. FTTI Z ms (Übernahme aus Sicherheitsziel G 2.1) Sicherer Zustand Keine Verstärkungsfunktion des eboosters und Senden von HBCRequest an ESC + Fahrerwarnung gemäß Warn- und Anzeigekonzept Item ESC Keine Anforderung aus dem Verbundsystem für die Regelaufgabe selbst (ist nicht im Fokus dieser Betrachtung) Anf. ID ASIL Anforderung #R2.1.2 B(D) Das ESC muss im Falle einer ungewollten Bremsung die Stabilität des Fahrzeugs gewährleisten.

109 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 109 Hinweis: Dies beinhaltet i.a. die Darstellung einer ABS/EBD Funktion und die Reduktion des regeneratorischen Bremsmomentes wenn notwendig FTTI Z ms (Übernahme aus Sicherheitsziel G 2.1) Sicherer Zustand HBC Funktion nicht verfügbar + Fahrerwarnung gemäß Warn- und Anzeigekonzept #R2.1.3 B(D) Das ESC darf ohne Fahrerbremswunsch und ohne Externen Bremswunsch keinen Druckaufbau verursachen. FTTI Z ms (Übernahme aus Sicherheitsziel G 2.1) Sicherer Zustand HBC Funktion nicht verfügbar + Fahrerwarnung gemäß Warn- und Anzeigekonzept #R2.1.4 D Das ESC darf ohne Fahrerbremswunsch und ohne Externen Bremswunsch kein regeneratorisches Bremsmoment anfordern. FTTI Z ms (Übernahme aus Sicherheitsziel G 2.1) Sicherer Zustand Kein Senden eines regeneratorischen Moments + Fahrerwarnung gemäß Warn- und Anzeigekonzept Architekturelement BLA Coordinator Keine Anforderung Architekturelement HMI Keine Anforderung Architekturelement Generator Anf. ID Anforderung #R2.1.4 Der Generator darf ohne Ansteuerbefehl durch das ESC keinen ungewollten Bremsmomentenaufbau verursachen. Die Kontrollierbarkeit ist im Einzelfall zu prüfen. FTTI Fehleramplitude Sicherer Zustand Nicht definiert Stabilität des Fahrzeugs nicht gewährleistet Keine Ansteuerung des Generators, bzw. Generator ohne Funktion Architekturelement Vehicle Infrastructure Keine Anforderung

110 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite Sicherheitsziel G2.2 Vermeide ein ungewolltes symmetrisches Bremsmoment ohne Fahrerbremswunsch unter Beibehaltung der Stabilität des Fahrzeugs (rein longitudinal) Textuelle Beschreibung des funktionalen Sicherheitskonzepts für Sicherheitsziel G2.2 Ungewollte symmetrische Bremsmomente können sowohl vom ebooster, als auch vom ESC unabhängig voneinander verursacht werden. Die Sicherheitsanforderungen werden daher direkt auf die beteiligten Items allokiert. Eine Dekomposition ist hier nicht möglich. Item ebooster Anf. ID ASIL Anforderung #R2.2.1 C Der ebooster darf ohne Fahrerbremswunsch und ohne Externen Bremswunsch keinen Druckaufbau verursachen. FTTI Y ms (Übernahme aus Sicherheitsziel G 2.2) Sicherer Zustand Keine Verstärkungsfunktion des eboosters und Senden von HBCRequest an ESC + adäquate Fahrerbewarnung gemäß Warn- und Anzeigekonzept Item ESC Anf. ID ASIL Anforderung #R2.2.2 C Das ESC darf ohne Fahrerbremswunsch oder ohne Externen Bremswunsch keinen Druckaufbau verursachen. FTTI Y ms (Übernahme aus Sicherheitsziel G 2.2) Sicherer Zustand HBC Funktion nicht verfügbar + adäquate Fahrerbewarnung Fahrerwarnung gemäß Warn- und Anzeigekonzept #R2.2.3 QM Das ESC darf ohne Fahrerbremswunsch und ohne Externen Bremswunsch kein regeneratorisches Moment anfordern. FTTI Nicht definiert Sicherer Zustand Kein Senden eines regeneratorischen Moments + adäquater Fahrerbewarnung gemäß Warn- und Anzeigekonzept Architekturelement BLA Coordinator Keine Anforderung

111 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 111 Architekturelement HMI Keine Anforderung Architekturelement Generator Anf. ID Anforderung #R2.2.4 Der Generator darf ohne Fahrerbremswunsch oder ohne Externen Bremswunsch keinen eigenständigen Bremsmomentenaufbau verursachen. Hinweis: hier wird ein max. regeneratorisches Moment äquivalent zu 3 m/s 2 angenommen. Dies führt noch nicht zur Verletzung des Sicherheitsziels G2.2 Architekturelement Vehicle Infrastructure Keine Anforderung Sicherheitsziel G2.3: Vermeide ein zu hohes (symmetrisches) Bremsmoment in Regelsituation ESC, ABS, oder TCS (Regelaufgabe kann nicht mehr wahrgenommen werden). Textuelle Beschreibung des funktionalen Sicherheitskonzepts für Sicherheitsziel G2.3 Dieses Sicherheitsziel ist ein Spezialfall des Sicherheitsziels G2.4. Die dort vorgeschlagenen Konzepte können direkt übernommen werden zur Verhinderung des Überbremsens. Übrig bleiben die Anforderungen bzgl. der Störung der Regelaufgaben der ESC, ABS und TCS Funktion Abgeleitete Sicherheitsanforderungen für Sicherheitsziel G2.3 Item ebooster Anf. ID ASIL Anforderung #R2.3.1 B Der ebooster darf in der ESC/ABS/TCS Regelsituation die Verstärkung nicht höher einstellen, als der Fahrerbremswunsch (bzw. der Externe Bremswunsch) Hinweis zur Erfüllung der Regelaufgabe ESC/ABS: Definierte ABS und ESC-Akzeptanztests müssen trotz Variation der Verstärkung erfüllt werden. TCS hier nicht relevant, da i.a. in Bremssituation nicht aktiv. FTTI Fehleramplitude Sicherer Zustand Nicht definiert Regelaufgabe kann nicht mehr erfüllt werden Keine Änderung der Verstärkung oder sicherer Zustand gemäß Sicherheitskonzept für G2.1

112 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 112 Item ESC Keine Anforderung aus dem Verbundsystem für die Regelaufgabe selbst (ist nicht im Fokus dieser Betrachtung) Anf. ID ASIL Anforderung #R2.3.2 B Das ESC muss im Falle einer Änderung der Verstärkung durch den ebooster in der ESC/ABS/TCS Regelsituation die HBB-Verstärkung so anpassen, dass die Erfüllung der jeweiligen Regelaufgabe noch gesichert ist. FTTI Fehleramplitude Sicherer Zustand Nicht definiert Regelaufgabe kann nicht mehr erfüllt werden Keine Änderung der HBB-Verstärkung oder sicherer Zustand gemäß Sicherheitskonzept für G2.1 #R2.3.3 B Das ESC muss im Fall einer regenerativen Bremsung das regenerative Moment so anpassen, dass die Erfüllung der jeweiligen Regelaufgabe noch gesichert ist. FTTI Fehleramplitude Sicherer Zustand Nicht definiert Regelaufgabe kann nicht mehr erfüllt werden Keine regenerative Bremsung Architekturelement BLA Coordinator Keine Anforderung Architekturelement HMI Keine Anforderung Architekturelement Generator Anf. ID Anforderung #R2.3.4 Der Generator muss eine Reduktion des angeforderten Bremsmoments innerhalb der funktionalen Grenzen umsetzen. Annahme: max. regeneratives Bremsmoment 3 m/s 2 FTTI Fehleramplitude Sicherer Zustand Nicht definiert Regelaufgabe kann nicht mehr erfüllt werden Keine regenerative Bremsung Architekturelement Vehicle Infrastructure Keine Anforderung

113 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite Sicherheitsziel G2.4: Vermeide ein zu hohes symmetrisches Bremsmoment bei Fahrerbremswunsch unter Beibehaltung der Stabilität des Fahrzeugs ( Überbremsen ). Textuelle Beschreibung des Funktionalen Sicherheitskonzepts für Sicherheitsziel G2.4 Die Anforderung beinhaltet den Fall der Doppelverstärkung ( Double Boost ), d.h. die gleichzeitige Verstärkung des Fahrerbremswunsches in ebooster und ESC. Die korrekte (in diesem Sicherheitsziel die nicht zu hohe) Umsetzung der Verstärkung mit dem maximalen ASIL A wird direkt auf den ebooster und das ESC allokiert. Zur Vermeidung einer Doppelverstärkung in ebooster und ESC muss der ebooster dem ESC den korrekten Status mitteilen, damit das ESC nicht zusätzlich zum ebooster verstärkt. Im Falle eines Kommunikationsausfalls zwischen ebooster und ESC muss angenommen werden, dass der ebooster nach wie vor gemäß Spezifikation verstärkt. Die Verstärkung im ESC durch die HBC-Funktion muss damit ggf. geeignet reduziert werden um eine Überbremsung zu vermeiden Abgeleitete Sicherheitsanforderungen für Sicherheitsziel G2.4 Item ebooster Anf. ID ASIL Anforderung #R2.4.1 A Der ebooster darf den Fahrerbremswunsch nicht zu hoch verstärken FTTI Sicherer Zustand Y ms Umsetzung des Fahrerbremswunsches oder Nicht- Verstärkung des Fahrerbremswunsches mit Fahrerinformation gemäß Warn- und Anzeigekonzept. #R2.4.2 A Der ebooster darf ESC nicht unberechtigt melden, dass eine Unterstützung notwendig ist (ebooster verstärkt dennoch) FTTI Sicherer Zustand Y ms Umsetzung des Fahrerbremswunsches oder Nicht- Verstärkung des Fahrerbremswunsches mit adäquater Fahrerbewarnung gemäß Warn- und Anzeigekonzept. Item ESC

114 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 114 Anf. ID ASIL Anforderung #R2.4.3 A Das ESC darf bei Empfang des Signals HbcRequest auf FALSE keine Verstärkung des Fahrerbremswunsches ausführen FTTI Fehleramplitude Sicherer Zustand Y ms ESC verstärkt fälschlicherweise (Doppelverstärkung) / Überbremsung Nicht-Verstärkung des Fahrerbremswunsches mit adäquater Fahrerbewarnung gemäß Warn- und Anzeigekonzept. #R2.4.4 A Bei Ausfall der Kommunikation zwischen ebooster und ESC muss das ESC einen reduzierten HBC ausführen um mögliche Doppelverstärkung zu vermeiden. FTTI Fehleramplitude Sicherer Zustand Y ms ESC verstärkt fälschlicherweise nicht im HBC Reduced (Doppelverstärkung) Nicht-Verstärkung des Fahrerbremswunsches mit adäquater Fahrerbewarnung gemäß Warn- und Anzeigekonzept. Hinweis: ggf. muss diese Sicherheitsanforderung gegenüber der Sicherheitsanforderung #R1.1.7 aufgegeben werden. Dies könnte mit Hinweis auf den höheren ASIL des ursprünglichen Sicherheitsziels (ASIL D in G1.1 gegenüber ASIL A in G2.4) zu einem Wegfall des HBC reduced führen (mit adäquater Fahrerbewarnung) und damit zu einem Wegfall dieser Anforderung. #R2.4.5 A Das ESC darf bei Empfang des Signals HbcRequest auf TRUE oder bei Kommunikationsausfall keine zu hohe Verstärkung des Fahrerbremswunsches ausführen FTTI Y ms Fehleramplitude ESC verstärkt fälschlicherweise zu viel (Doppelverstärkung) / Überbremsung Sicherer Zustand Nicht-Verstärkung des Fahrerbremswunsches mit adäquater Fahrerbewarnung gemäß Warn- und Anzeigekonzept. Architekturelement BLA Coordinator Keine Anforderung Architekturelement HMI Keine Anforderung Architekturelement Generator Anf. ID #R2.4.6 Anforderung Der Generator darf kein höheres Moment absetzen als angefordert

115 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 115 Annahme1: max. regeneratives Bremsmoment 3 m/s 2 Annahme2: generatorisches Überbremsen kann vom Fahrer durch Reduzierung des Fahrerbremswunsches kompensiert werden Architekturelement Vehicle Infrastructure Keine Anforderung Sicherheitsziel G2.5: Vermeide ein zu hohes symmetrisches Bremsmoment bei Externem Bremswunsch unter Beibehaltung der Stabilität des Fahrzeugs ( Überbremsen ). Textuelle Beschreibung des Funktionalen Sicherheitskonzepts für Sicherheitsziel G2.5 Die ASIL C Anforderung beschreibt die Überbremsung ohne die Möglichkeit der Kontrollierbarkeit durch den Fahrer. Zur Vermeidung einer Doppelverstärkung in ebooster und ESC muss der ebooster dem ESC den korrekten Status mitteilen, damit das ESC nicht zusätzlich zum ebooster verstärkt. Im Falle eines Kommunikationsausfalls zwischen ebooster und ESC muss angenommen werden, dass der ebooster nach wie vor gemäß Spezifikation verstärkt. Die Verstärkung im ESC muss damit reduziert werden um eine Überbremsung zu vermeiden. Es wird im Weiteren angenommen, dass die Umsetzung (Aktuierung) des Externen Bremswunsches nur durch den ebooster erfolgen kann. Damit darf bei Externem Bremswunsch ein HbcRequest nicht zu einer Aktivierung des HBC im ESC führen Abgeleitete Sicherheitsanforderungen für Sicherheitsziel G2.5 Item ebooster Anf. ID ASIL Anforderung #R2.5.1 C Der ebooster darf einen externen Bremswunsch nicht zu hoch ausführen bei korrektem Signal qtargetexternal FTTI Fehleramplitude Sicherer Zustand Y ms Zu hohe Fahrzeugverzögerung / Überbremsung Nicht-Ausführung des externen Bremswunsches mit rechtzeitiger Fahrerinformation, dass externe Bremswünsche nicht ausgeführt werden können.

116 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 116 Item ESC Anf. ID ASIL Anforderung #R2.5.2 C Das ESC darf bei Empfang eines externen Bremswunsches (ohne Fahrerbremswunsch) keinen HBC ausführen, auch wenn das Signals HbcRequest auf TRUE steht FTTI Y ms Fehleramplitude HBC verstärkt fälschlicherweise. Zu hohe Fahrzeugverzögerung / Überbremsung Sicherer Zustand Nicht-Ausführung des externen Bremswunsches mit rechtzeitiger Fahrerinformation, dass externe Bremswünsche nicht ausgeführt werden können. #R2.5.3 C Das ESC darf bei Empfang eines externen Bremswunsches (ohne Fahrerbremswunsch) keinen zu hohen Volumenfluss qtargetexternal beim ebooster anfordern. FTTI Fehleramplitude Sicherer Zustand Y ms Zu hohe Fahrzeugverzögerung / Überbremsung Nicht-Ausführung des externen Bremswunsches mit rechtzeitiger Fahrerinformation, dass externe Bremswünsche nicht ausgeführt werden können. Architekturelement BLA Coordinator Keine Anforderung Architekturelement HMI Keine Anforderung Architekturelement Generator Anf. ID #R2.5.4 Anforderung Der Generator darf kein höheres Moment absetzen als angefordert Annahme1: max. regeneratives Bremsmoment 3 m/s 2 Annahme2: generatorisches Überbremsen kann vom Fahrer durch Reduzierung des Fahrerbremswunsches kompensiert werden Architekturelement Vehicle Infrastructure Anf. ID #R2.5.5 Anforderung Es dürfen keine ungewollten Externe Bremswünsche an das Bremssystem übermittelt werden.

117 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 117 FTTI Fehleramplitude Y ms Zu hohe Fahrzeugverzögerung / Überbremsung Sicherer Zustand Nicht-Ausführung des externen Bremswunsches mit rechtzeitiger Fahrerinformation, dass externe Bremswünsche nicht ausgeführt werden können Sicherheitsziel G3.1:Vermeide ein zu geringes Bremsmoment im Stillstand bei Fahreranwesenheit (mit Möglichkeit Bremsdruck zu erhöhen) Die Situation wird als kontrollierbar angenommen, daher ist kein Funktionales Sicherheitskonzept notwendig Sicherheitsziel G3.2:Vermeide ein zu geringes Bremsmoment im Stillstand bei Fahreranwesenheit (ohne Möglichkeit Bremsdruck zu erhöhen) -Fahrzeug rollt weg Textuelle Beschreibung des Funktionalen Sicherheitskonzepts für Sicherheitsziel G3.2 Das Sicherheitsziel ist ein Spezialfall des Sicherheitsziels G1.1 und ist komplett darüber abgedeckt. Kein spezielles Funktionales Sicherheitskonzept für den Fall des Fahrzeugstillstands notwendig. Bremsmomente können hierbei als äquivalente Haltemomente angesehen werden Sicherheitsziel G4.1:Vermeide ein zu hohes Bremsmoment im Stillstand, durch Fahrer nicht über Gaspedal zu kontrollieren (Bremsmoment > mögliches Antriebsmoment) Textuelle Beschreibung des Funktionalen Sicherheitskonzepts für Sicherheitsziel G4.1 Das Sicherheitsziel ist ein Spezialfall der Sicherheitsziele G2.2, 2.4 und 2.5 und ist komplett darüber abgedeckt. Kein spezielles Funktionales Sicherheitskonzept für den Fall des Fahrzeugstillstands notwendig. Bremsmomente können hierbei als äquivalente Haltemomente angesehen werden.

118 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite Sicherheitsziel G5.1:Vermeide eine fehlende Ansteuerung des Bremslichts bei Externem Bremswunsch oder Fahrerbremsung Textuelle Beschreibung des Funktionalen Sicherheitskonzepts für Sicherheitsziel G5.1 Die Ansteuerung des Bremslichts bei Externem Bremswunsch ist Aufgabe des ESC, daher werden Sicherheitsanforderungen auf das ESC, die Fahrzeug-Infrastruktur und die Bremslichtansteuerung allokiert. Die Ansteuerung des Bremslichts bei Fahrerbremswunsch ist Aufgabe des eboosters, daher werden Sicherheitsanforderungen auf den ebooster, die Fahrzeug-Infrastruktur und die Bremslichtansteuerung allokiert Abgeleitete Sicherheitsanforderungen für Sicherheitsziel G5.1 Item ebooster Anf. ID ASIL Anforderung #R5.1.1 B Der ebooster muss bei einem Fahrerbremswunsch eine notwendige Bremslichtansteuerung auf dem Netzwerk kommunizieren FTTI Nicht definiert Fehleramplitude Keine Kommunikation einer notwendigen Bremslichtansteuerung Sicherer Zustand Nicht definiert Item ESC Anf. ID ASIL Anforderung #R5.1.2 B Das ESC muss bei Empfang eines externen Bremswunsches eine notwendige Bremslichtansteuerung auf dem Netzwerk kommunizieren FTTI Nicht definiert Fehleramplitude Keine Kommunikation einer notwendigen Bremslichtansteuerung Sicherer Zustand Nicht definiert Architekturelement BLA Coordinator Anf. ID Anforderung #R5.1.3 Der BLA Coordinator muss bei Empfang einer notwendigen Bremslichtansteuerung auf dem Netzwerk diese umsetzen FTTI Nicht definiert

119 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 119 Fehleramplitude Keine Umsetzung einer notwendigen Bremslichtansteuerung Sicherer Zustand Nicht definiert Architekturelement HMI Keine Anforderung Architekturelement Generator Keine Anforderung Architekturelement Vehicle Infrastructure Anf. ID #R5.1.4 Anforderung Die Vehicle Infrastructure muss die Kommunikation einer notwendigen Bremslichtansteuerung auf dem Netzwerk gewährleisten. FTTI Fehleramplitude Sicherer Zustand Nicht definiert Bremslichtansteuerung wird nicht auf dem Netzwerk kommuniziert bzw. unterdrückt Nicht definiert

120 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite ASIL Einstufung relevanter Signale und Teilfunktionen Die gemäß dieser Schnittstellenspezifikation relevanten Signale und Teilfunktionen haben unterschiedlichen Einfluss auf die im vorigen Kapitel aufgeführten Gefährdungen. In Bild 24 ist die jeweils abgeleitete maximale ASIL Einstufung dargestellt, die sich aus der Verbundfunktion und den definierten Anwendungsfällen ergibt. Bei den ASIL Allokationen wird ein maximales regeneratives Bremsmoment von 3 m/s 2 vorausgesetzt. Eine Zusammenfassung der (maximalen) Risikobewertung von Basis-, Reku- und EBR-Schnittstelle ist in Tabelle 14 gezeigt. Eine detaillierte Darstellung mit Gefährdungen, Fehleramplitude und Fehlertoleranzzeiten der genannten Schnittstellen ist in Tabelle 15 zu finden. Alle Qualifier der Signale sind mit der korrespondierenden ASIL Einstufung des zugehörigen Signals bewertet und werden der Übersichtlichkeit halber nicht mitgeführt. Betrachtungsumfang ist die Verbundfunktion der individuellen Items ebooster und ESC sowie die unmittelbar angrenzenden Funktionsblöcke. Zum ESC Funktionsumfang gehörige Teilfunktionen, an denen der ebooster nicht beteiligt ist (z.b. Darstellung von ESC Zusatzfunktionen wie Hydraulischer Bremsassistent, Active Vehicle Hold etc.), wurden daher nicht bewertet. Sicherheitsanforderungen an die Schnittstellensignale zwischen ebooster und ESC sind in ANNEX A1 (Schnittstellendetails, Funktionale Sicht) angegeben. Es wurden die betroffenen Gefährdungen mit den höchsten Risikoeinstufungen betrachtet. Daher wurden für einige Signalwerte von diskreten Schnittstellensignalen (z.b. Enums) ebenfalls keine expliziten Anforderungen definiert. Für Signale mit der Einstufung QM wurden keine Sicherheitsanforderungen spezifiziert. Sicherheitsanforderungen an die Funktionsblöcke sind nicht explizit angegeben. Sie leiten sich von den Anforderungen an die von ihnen generierten Ausgangssignale ab. Die hier angegebenen Analysen stellen eine Empfehlung dar. Die Vollständigkeit und Korrektheit muss über die projektspezifischen Sicherheitsanalysen gewährleistet werden.

121 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 121 Tabelle 14 Maximale Risikobewertungen der Schnittstellensignale (Übersicht): Schnittstelle Richtung des Signals Signalname max. ASIL ebespcompatibilityindex QM HbcRequest B eb -> ESC ebdiagactive QM BrakePedalApplied B Basis prunout B soutputroddriver C VehicleSpeed C ESC -> eb pmc1 B AbsActive B pestmax QM eb -> ESC pforceblendingpotential QM soutputrodact C Reku pmcvirtual QM ESC -> eb pforceblendingmc QM ForceBlendingActive QM EBR eb -> ESC ExtReqPrio C ExtReqStatus A ESC -> eb qtargetexternal C qtargetexternal_q C Beachte: Die ASIL Einstufung der Signalqualifier korrespondiert mit den zugehörigen Signalen und wird aus Platzgründen nicht mitgeführt.

122 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 122 Tabelle 15 Detaillierte Risikobewertungen der Schnittstellensignale inklusive Fehleramplitude und angenommenen Fehlertoleranzzeiten Schnittstelle Basis Richtung des Signals eb -> ESC ESC -> eb Signalname Anforderungsbeschreibung (Haupt-)Gefährdung ASIL ebespcompatibilityindex HbcRequest ebdiagactive BrakePedalApplied prunout soutputroddriver VehicleSpeed pmc1 AbsActive pestmax statische Nummer von eb- an ESC-Steuergerät, um Kompatibilität sicherzustellen Anforderung an die HBC-Funktion bei fehlender Verstärkung im ebooster Information, ob sich der ebooster gerade im Diagnosemodus befindet Übermittlung der Information, ob das Pedal vom Fahrer betätigt ist. Zur Fahrerbremswunscherkennung und LDM-Funktionen Signal wird im ESC eingelesen, um mit der Funktion HBB den Fahrer oberhalb des Aussteuerpunkts zu unterstützen. Sollwert des Augangsstangensignals. Zusatzinformation für Fahrerbremswunscherfassung: bei Reku. mit Volumenverblenden p_vor = = Fahrerbremswunsch zusätzliche Aktivierungs- bzw. Abbruchbedingun bei HBB, HBC,... aufgrund höherer ebooster-steifigkeit zur Stillstanderkennung im ebooster bzw. um Übergänge in den Stillstand zu berechnen. Dies wird wiederum für PRL (Bauteilschutz) bzw. für EBR benötigt Signal entspricht dem aktuellen ESC-Vordrucksensorwert und wird für PRL (Bauteilschutz) und EBR benötigt Signaliert aktives ABS im ESC. Info über Systemsteifigkeit, um Pedalgefühl zu verbessern und für PRL max. Raddruck des geschätzten druckhöchsten Rades. Signal wird im ebooster eingelesen, um im ABS-Fall die Gegenkraft zu limitieren (PRL) und damit das Pedalgefühl zu verbessern. kritische Fehleramplitude Fehlertoleranzzeit n.a. QM - nicht spezifiziert G2.4 Zu hohes symmetrisches Bremsmoment aufgrund "Double Boost" G1.1 zu geringes Bremsmoment aufgrund der Nicht-Aktivierung von HBB/HBC A B(C) - QM G3.1 zu geringes Bremsmoment im Stillstand (z.b. HHC Funktion) G2.4 Zu hohes symmetrisches Bremsmoment aufgrund "Double Boost" G1.1 zu geringes Bremsmoment aufgrund der Nicht-Aktivierung von HBB/HBC G1.2 zu geringes Bremsmoment (für spezielle regenerative Bremssysteme) G1.1 zu geringes Bremsmoment aufgrund Komponentenschutz G1.1 zu geringes Bremsmoment (potentielles Signal für Komponentenschutz) G1.1 zu geringes Bremsmoment (potentielles Signal für Komponentenschutz) B QM Fehlerhaftes Signal: "TRUE" statt "FALSE" Fehlerhaftes Signal: "FALSE" statt "TRUE" Sicherheitsmaßnahme im ESC wird vorausgesetzt Fehlerhaftes Signal: "TRUE" statt "FALSE" Fehlerhaftes Signal: "FALSE" statt "TRUE" Y ms X ms A zu niedriger Wert Y ms B(C) zu hoher Wert X ms C C B (due to E2) B (due to E2) B (due to E2) zu niedriger Wert Fehlerhafte Stillstandserkennung zu niedriger Wert Fehlerhaftes Signal: "TRUE" statt "FALSE" Fehlerhaftes Signal: "FALSE" statt "TRUE" Abhängig von Sicherheitsmaßnahmen im ESC nicht spezifiziert nicht spezifiziert X ms Xms X ms X ms X ms - QM - nicht spezifiziert

123 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 123 Schnittstelle Reku EBR Richtung des Signals eb -> ESC ESC -> eb eb -> ESC ESC -> eb Signalname Anforderungsbeschreibung (Haupt-)Gefährdung ASIL kritische Fehleramplitude Fehlertoleranzzeit pforceblendingpotential soutputrodact pmcvirtual pforceblendingmc ForceBlendingActive ExtReqPrio ExtReqStatus qtargetexternal Übermittlung des aktuellen Potentials des eboosters für die Pedalkraftkompensation. Das ESC kann anhand dieser Information die Anforderung an die Pedalkraftkompensation koordinieren. Übermittlung der aktuellen Wegposition der Ausgangsstange des ebooster. Die Größe ist relevant, um die Berechnung des tatsächlich verschobenen Volumens im Hauptbremszylinder zu realisieren. Übermittlung des virtuellen Vordrucks auf Fahrerbremswunschbasis, da während Rekuperation der Systemdruck durch Volumenverblenden nicht mit dem Fahrerbremswunsch korreliert, muss ein Ersatzsignal im ESC gebildet und dem ebooster gesendet werden. Darstellung der Funktion Pedalkraftkompensation und Bremskraftverstärkung während Rekuperation im ebooster. Übermittlung des Zieldrucks, der gleichzeitig im ESC während Volumenverblenden als Zielgröße an die Hydraulik angefordert wird. Im ebooster wird durch Berechnung der Differenz zwischen pmcvirtual und pforceblendingmc die notwendige Pedalkraftkompensation abgeleitet. Übermittlung des aktuellen Ansteuerwunsches (Aktivierungsbit) für die Funktion Pedalkraftkompensation. Übermittlung der Information, ob der Fahrer oder der EBR das aktuelle Bremsmoment dominiert FALSE (EBR ist nicht aktiv oder Fahrer dominiert das Bremsmoment) TRUE (EBR ist aktiv und dominiert das Bremsmoment) Status der EBR Funktion als Erweiterung des HbcRequests Übermittlung des Zielwertes zur Ausführung des externen Bremswunsches im ebooster Aktivierungsbit und Control-Mode für externen Bremswunsch über eb - QM - - G2.5 Zu hohes symmetrisches Bremsmoment bei EBR G1.2 zu geringes Bremsmoment (für spezielle regenerative Bremssysteme) C zu hoher Wert Y ms C zu niedriger Wert X ms - QM QM - nicht spezifiziert - QM - nicht spezifiziert G2.2 ungewolltes symmetrisches Bremsmoment G1.2 Zu geringes Bremsmoment bei EBR (Notbremsassistent) G2.5 Zu hohes symmetrisches Bremsmoment bei EBR G1.2 Zu geringes Bremsmoment bei EBR (Notbremsassistent) G2.5 Zu hohes symmetrisches Bremsmoment bei EBR qtargetexternal_q G1.2 Zu geringes Bremsmoment bei EBR (Notbremsassistent) Beachte: Die ASIL Einstufung der Signalqualifier korrespondiert mit den zugehörigen Signalen und wird aus Platzgründen nicht mitgeführt. C Fehlerhaftes Signal: 1 statt 0 Y ms A "Available" statt "not available" nicht spezifiziert C zu hoher / ungewollter Wert >3m/s 2 Y ms A zu niedriger Wert nicht spezifiziert C 2 (qtarget_ebrmaxperformance) statt 1 (qtarget_ebr) Y ms A 0 (qtargetoff) statt 1 oder 2 nicht spezifiziert

124 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite Vorschlag zur Absicherung der Kommunikation auf dem Netzwerk Für die Absicherung der Kommunikation auf dem Netzwerk trägt die Verantwortung der OEM. Folgende Sicherheitsmaßnahmen werden empfohlen: Standardabsicherung (unabhängig vom ASIL) o Überprüfung des DLC (Data Length Code) o Überwachung des Übertragungsprotokolls (CAN bzw. FlexRay) - Vorschlag für max. ASIL A und ASIL B Signale o Applikationszähler (Alive Counter) >= 1 bit o Applikations Checksumme Länge >= 1bit o Art der Checksumme: keine spezielle Empfehlung - Vorschlag für max. ASIL C und ASIL D Signale o Applikationszähler (Alive Counter) >= 4 bit o Applikations Checksumme Länge >= 8bit o Art der Checksumme: CRC-8 oder vergleichbar

125 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 125 ebooster B BLA-F DriverDemand Brake Light Activation Driver Full System Brake Pedal eb_bla C DriverDemand C DBR-F EBR_active Driver Brake Request Brake Force DriverDemand DriverDemand DBR_offset PFC_offset QM PFC-E Pedal Force Compensation - Execution C BFB Brake Force Boost C pmcvirtual C SSH-eB BrakeDemand_BFB System State Handling - eb EBR-E External Brake Request - Execution VehicleSpeed BrakeDemand_Arb HMI_iB PRL B Pressure Reduction Logic C HMI-Y HMI eb - Yellow Lamp BrakeDemand_Fin A E-Motor Electric Motor eb_hmi_warningon Brake Light BLA Brake Light Activation soutputrodact C BrakePedalApplied B C soutputroddriver pmcvirtual QM pforceblending Potential QM QM pforceblendingmc QM ForceBlending Active C C C ExtReqPrio A ExtReqStatus qtargetexternal qtargetexternal_q C VehicleSpeed HbcRequest B ebdiagactive QM ebesc CompatibilityIndex QM prunout B pmc1 B AbsActive B pestmax QM ESC Electronic Stability Control HMI HMI Human Machine Interface PBCOutOutofSpec ESC_BLA SSC Sensor Signal Chains C BLA-B pmc1 Brake Light Activation Driver Backup QM DBR-T Driver Brake Request Brake Torque C BrakeLight_On_Driver/ Pressure_BLA D LDM BrakePedalApplied Longitudinal Dynamic Management C Basic Contollers ABS TCS VDC soutputroddriver Target_Driver Target_LDM HBB Hydraulic Brake Boost B ptarget_fr ptarget_fl ptarget_rr ptarget_rl Stability_Info C soutputroddriver RecuBrakeTorqueRequest BTC Brake Torque Coordinator RecuBrakeTorqueCap soutputroddriver RecuBrakeTorqueAct Target_EBR C prunout ptarget EBR-C External Brake Request - Controller ptarget_wheel (4x) SSH-e System State Handling - ESC D HAC Hydraulic Actuator Control C HBC_activation HMI_ESC C Pump_actuation Ventil_actuation HBC Hydraulic Booster Failure Compensation B HMI-R HMI ESC - Red Lamp HU Hydraulic Unit C EPB-C SSM EPB HW Driver Controll B ESC_HMI_WarningOn EPB Actuation_req PBC HPS EPB Actuation Control Actuator_ctrl ASIL Rating ASIL Rating for System Modules QM A B C D ASIL Rating for Signals QM A B C D ax/ Fx/ Mx External decel. Request Regenerative Brake Actuator Generator Legend of signals Basic signals Recuperation signals EBR signals Interface between ESC&eBooster and external moduls Internal signals of ESC/eBooster, only for concept explanation Bild 25- Übersicht der Funktionsarchitektur des Systemverbunds ebooster/ ESC mit relevanten ASIL Einstufungen (Maximum über alle Gefährdungen). Ein maximales regeneratives Bremsmoment von 3 m/s 2 wird angenommen.

126 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite Sicherheitsnachweise 5.1 FTA Verantwortlichkeiten und Schnittstellenabstimmung Gemäß der oben genannten Definition der beiden (getrennten) Items ist eine explizite Schnittstelle zwischen den beiden Tier1 nicht notwendig. Die FTA ist gemäß des in den Häusern der Tier1 definierten Vorgehens bzgl. FTA und Tailoring der ISO Anforderungen zu erstellen (FTA rein qualitativ, oder quantitativ, für alle Sicherheitsziele >= ASIL C oder erweitert etc.). Dabei sind als Top Gates der FTA die allokierten Sicherheitsziele anzusetzen, die auch die Sicherheitsanforderungen an die Ausgangssignale umfassen. Eine gemeinsame FTA für das Verbundsystem oder Austausch von Fehlerraten ist damit nicht vorgesehen. Um zu belastbaren Aussagen zu kommen, müssten ohnehin Datenbasen, Fehlermodi, Berechnungsmethoden etc. abgestimmt werden. Diese Abstimmungen sind bei jeder Paarung der Tier1 ggf. neu zu veranlassen. 5.2 FMEA - Verantwortlichkeiten und Schnittstellenabstimmung Für die Erstellung der System-FMEA jeder Partei aus dem ebooster /ESC - Kreuztausch gelten folgende Randbedingungen: Der OES des eboosters und der OES des ESC erstellen eine eigene System- FMEA gemäß den funktionalen Verantwortlichkeiten und berichten den von ihr verantworteten Anteil am Bremsregelsystem direkt an den OEM. Es wird empfohlen die S-FMEAs (ebooster und ESC) entsprechend VDA- Empfehlung zu erstellen. Der Entwicklungsumfang jedes OES enthält nur Überwachungen (im Sinne von Diagnosen und Entdeckungsmaßnahmen im Kundenbetrieb) für den eigenen HW-Lieferanteil und den eigenen Funktionsanteil am Bremsregelsystem. Die Bewertungskataloge für die FMEA Kennwerte B (Bedeutung der Fehlerfolge), A (Auftretenswahrscheinlichkeit der Fehlerursache) und E (Entdeckungswahrscheinlichkeit der Fehlerursache, des Fehlers bzw. der Fehlerfolge) sind zu Beginn der FMEA-Arbeiten zwischen OEM und Kreuztauschparteien abzustimmen. B-Werte aus der Fahrzeug-FMEA werden vom OEM an die Kreuztauschparteien zu jedem Top-Fehler der System-FMEA ebooster und System-FMEA ESC übergeben bzw. mit dem OES abgestimmt. Nur dem OEM wird das Recht eingeräumt, in die einzelnen S-FMEAs Einsicht zu nehmen, jedoch nicht dem Kreuztauschpartner.

127 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite Aufbau der FMEA Struktur Der Aufbau der FMEA-Struktur ist jedem OES überlassen. Es wird empfohlen, die allgemeinen Grundsätze zur FMEA-Erstellung nach VDA Band 4, Ringbuchkapitel 3 einzuhalten. Ggf. sind besondere Anforderungen des OEM zu berücksichtigen. Die Schnittstelle zwischen System-FMEA ebooster und System-FMEA ESC muss dabei so gewählt sein, dass eine Abstimmung der Schnittstelleninhalte möglich ist. Grundsätzlich lässt sich die Schnittstelle zwischen System-FMEA ebooster und System-FMEA ESC aus einer Kombination aus physikalischen und signalbasierten Schnittstellen ableiten (siehe Bild 26) Signal Interface ebooster in (from ESC / Generator) ebooster BLA-F Brake Light Activation Driver Full System Fault propagation PRL Pressure ReductionLogic BFB Brake Force Boost SSH System State Handling Interface Actuator (HMI / Generator) Fault free Signal Interface ebooster in DBR-F Driver Brake Request Br ake Force PFC-E Pedal Force Compensation- Execution EBR-E External Brake Request - Execution HMI-eB HMI - ebooster Signal Interface ebooster out (to ESC / Generator) Signal Interface ESC in (from ebooster / Generator) Fault free Signal Interface ESC in ESC DBR-T Driver Brake Request Br ake Torque BLA-B Brake Light Activation Driver Backup HBB Hydraulic Brake Boost BTC EBR-C External Brake Brake Torque Request Coordinator Fault propagation Controller HBC Hydraulic Booster Failure Compensation SSH System State Handling LDM Longitudinal Dynamic Management HMI-E HMI - ESC Basic Controller ABS, TCS, VDC Interface Actuator (HMI / Generator) Signal Interface ESC out (to ebooster / Generator) Bild 26 Übertragungsverhalten (Fehlerpropagation) bei Fehler in den Eingangssignalen und interne Fehleranalyse in den beteiligten Items Die abstrakte Betrachtung in Bild 26 zeigt die Basis-Eingangssignale (Fehlerursachen) auf der linken Seite und die Fehlerfolgen auf Fahrzeug / Aktuatorebene bzw. Signalebene auf der rechten Seit (Fehlerfolgen). Struktur der FMEA Schnittstelle bzgl. des Signalaustausches (Darstellung ist schematisch und enthält nur einen Auszug der Signale, wie sie in Kapitel 3 beschrieben sind). Wesentlich bei dieser Betrachtung ist die Unterscheidung zwischen der Fehlerpropagation bei Fehler in den Eingangssignalen und der internen Fehlerpropagation bei fehlerfreien Eingangssignalen. Beide Analysen sind innerhalb der getrennten FMEAs durchzuführen. In beiden Fällen sollten die Fehlerfolgen die Aktuator- und die Signal(ausgangs-)schnittstelle beinhalten.

128 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite Umgang mit Informationen an der Schnittstelle zwischen den FMEAs In der Schnittstelle zwischen den beiden System-FMEA sind Informationen aus zwei verschiedenen Richtungen zur Verfügung zu stellen. Von der System-FMEA, die Schnittstellensignale empfängt, sind folgende Informationen zu übergeben: B-Bewertungen A max_soll Beispiel einer Fehlerursache auf Empfänger-Seite: soutputroddriver auf Null eingefroren B = 10 (Fehlerfolge auf Empfängerseite) Amax_soll = 1 Hinweis 1: Die hier eingetragenen Werte haben lediglich exemplarischen Charakter und erheben keinen Anspruch auf Richtigkeit. Hinweis 2: Aufgrund der unterschiedlichen FMEA-Auswerteverfahren kann Amax_soll abweichende Bedeutungen annehmen: Bei Verwendung der Risikoprioritätszahl RPZ berücksichtigt Amax_soll die im Projekt gesetzte RPZ-Grenze sowie die Entdeckungsmaßnahmen auf Empfänger-Seite. Bei Verwendung der Risikomatrix berücksichtigt Amax_soll die Vorgaben bzgl. der Kombination BxAmax_soll. Von der System-FMEA, die Schnittstellensignale sendet, sind folgende Informationen zu übergeben: Beschreibung der TOP-Fehlerfolgen Bestätigung der geforderten Amax_soll-Werte, jeweils aktualisiert zu den geforderten OEM Freigaben Erweiterung des obigen Beispiels auf Sender-Seite: TOP-Fehlerfolge soutputroddriver auf Null eingefroren Amax_soll = 1 bestätigt!

129 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 129 Der Austausch der Information soll über ein Schnittstellenblatt, z.b. in Form einer Exceltabelle erfolgen. ebooster Requirementtosignal ESCOutoccurence (A_max_soll) Information on severity offailureeffect (B ratingin FMEA ebooster) Approval offulfillmentofescoutoccurencea_max_soll Top Failure effect on sender side (incl. B rating) in FMEA ESC) ESC FMEA Requirementtosignal eboosteroutoccurence (A_max_soll) Information on severity offailureeffect (B ratingin FMEA ESC) FMEA Approval offulfillmentofeboosteroutoccurencea_max_soll Top Failure effect on sender side (incl. B rating) in FMEA ebooster) Severity on vehiclelevelfor affected actuators Actuators (Severity on vehicle level) Severity on vehiclelevelfor affected actuators BLA - Coordinator HMI Generator Brakes (actuation / foundation) Bild 27 Graphische Darstellung des Informationsaustauch zwischen den System FMEAs ebooster und ESC An der Schnittstelle zwischen den beiden System-FMEAs werden die Amax_soll-Werte zur Auftretenswahrscheinlichkeit der jeweils anderen Seite bestätigt. Eine Offenlegung der tatsächlich erreichten Werte erfolgt nicht. Ist zwischen den beiden beteiligten OES keine Einigung zu erzielen, die zu einer hinreichend kleinen RPZ bzw. zu einer akzeptablen BxA-Kombination führt, dann ist der OEM in der Pflicht, an einer Lösung mitzuarbeiten. Hinweis: Der Amax_soll-Wert ist in der System-FMEA des Signalempfängers ein Prognosewert für die Auftretenswahrscheinlichkeit der beschriebenen Fehlerursache im Kundenbetrieb. Bei Verwendung der Risikoprioritätszahl soll dieser Wert aus der System-FMEA des Signalsenders separat durch Berücksichtigung von AxE berechnet werden. Der A- Wert aus der System-FMEA des Signalsenders entspricht in der Regel nur bei E=10 dem A-Wert für das Schnittstellenblatt. Beispiel: Bei der Bedeutung einer Fehlerfolge von B=10 und fehlender Entdeckungsmaßnahme beim Signalempfänger (E =10) gilt ein Amax_soll = 1 als bestätigt (und somit RPZEmpfänger = 100), wenn z.b. die reale Auftretenswahrscheinlichkeit der zugehörigen Fehlerursachen beim Signalsender A 2 und die zugehörigen Entdeckungswahrscheinlichkeiten beim Signalsender E 6 sind.

130 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite 130 Bei der Verwendung der Risikomatrix aus den FMEA-Kennwerten B und A ist zu Beginn des Projektes zwischen OEM und Signalsender abzustimmen, ob für A nur der Wert der Auftretenswahrscheinlichkeit ohne bzw. mit Berücksichtigung der Entdeckungsmöglichkeit durch den Signalsender verwendet werden soll. 5.3 Metrikberechnungen gemäß ISO Alle quantitativen Analysen (Hardwaremetriken / Sicherheitszielverletzung durch zufällige Hardware-Fehler) werden auf den einzelnen Items durchgeführt. Ein Zusammenführen / Budgetierung der Metriken ist nicht sinnvoll, da mit diesen Analysen die jeweilige Hardware-Architektur bewertet wird Hardware-Architekturmetriken gemäß ISO Band 8 Die Hardware-Architekturmetriken gemäß ISO Kapitel 8 ( Evaluation of Hardware Architectural Metrics ) werden auf Itemebene pro Sicherheitsziel berechnet. Jeder Lieferant berechnet auf seinem Item bzgl. der auf sein Item allokierten Sicherheitsziele die Hardware-Architekturmetriken. Dabei ist jedem Lieferant freigestellt, durch welche Methode und für welche Sicherheitsziele er diese Analyse durchführt gemäß des Lieferanten-spezifischen Tailoring der ISO Anforderungen. Die in ISO definierten Zielwerte sind einzuhalten Bewertung von Sicherheitszielverletzungen durch zufällige Hardwarefehler gemäß ISO Band 9 ISO Kapitel 9 ( Evaluation of safety goal violations due to random hardware failures ) beschreibt zwei alternative Methoden des Nachweis, dass zufällige Hardwarefehler hinreichend sicher beherrscht werden. In diesem Schnittstellendokument soll daher bewusst keine Vorgabe gemacht werden, welche der beiden Methoden anzuwenden ist. Damit wird auch die PMHF Methode nicht vorgeschrieben. In jedem Fall wird der Teil des Sicherheitsnachweis gemäß ISO Band 9 auf den auf das Item allokierten Sicherheitszielen durchgeführt, eine Budgetierung ist nicht vorgesehen, da diese die PMHF Methode zwingend voraussetzt.

131 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite Testkonzept Dieses Kapitel beschreibt eine Möglichkeit bei der Integration des eboosters und des ESCs in das Fahrzeug, Software und Hardware lieferantenunabhängig zu testen, so dass auch weiterhin potentielle Fehler im Systemverbund rechtzeitig vor der Abgabe der Teilsysteme an den OEM entdeckt und abgestellt werden. 6.1 Indikator-Test Nach dem aktuellen Stand der Technik wird die Mehrzahl der ESCs für Bremssysteme mit einem konventionellen Vakuumbremskraftverstärker entwickelt und auch validiert. Durch den Einsatz eines eboosters können sich Änderungen im Zusammenspiel und der Lastverteilung der beiden System-Komponenten ebooster und ESC ergeben. Eine generische Aussage über die Substitution eines Vakuumbremskraftverstärkers durch einen ebooster ist im Rahmen dieses Dokumentes nicht möglich. Aus diesem Grund soll ein Indikatortest die geforderten, durch Zusammenspiel von ebooster und ESC realisierten Funktionen, abprüfen und als Bewertungsgrundlage dienen. Gleichzeitig werden auch Abhängigkeiten, die sich aus der hydraulischen Schnittstelle zu den Radbremsen ergeben (Elastizität der Gesamtbremsanlage) mit berücksichtigt. Es wird empfohlen hier teilaktive Funktionen zu berücksichtigen, bei denen es zu einer Überlagerung von ebooster und ESC kommt: Fahrer betätigt das Pedal, Im ESC werden Ventile und/oder Druckversorgung angesteuert, z.b. ABS, HBB, HBA Darüber hinaus müssen zusätzlich Funktionen betrachtet werden, deren Betriebsbereich sich durch Eigenschaften des eboosters gegenüber denen des Vakuumboosters geändert haben. Es sollte geprüft werden, ob es durch eine Verschiebung der Betriebsbereiche zu Überlagerungen mit anderen bereits bestehenden Funktionen kommt. Anhand des Indikatortests sollen zum einen die funktionalen Auswirkungen bewertet werden. Muss eine bestehende Implementierung einer Funktion angepasst werden, und wenn ja wie müssen die Parameter dieser Funktion gewählt werden (Anpassen der Schwellwerte, Aktivierungsdauer, Abbruchbedingungen etc.). Zum anderen sollen die Auswirkungen auf die Haltbarkeit bewertet werden. Anhand der durchgeführten Indikatortests soll überprüft werden, ob sich Änderungen ergeben die außerhalb des abgeprüften Belastungskollektivs des jeweiligen Designs liegen. Dabei wird davon ausgegangen, dass die von OES zu OES unterschiedlichen Designs auch individuelle Schädigungsmechanismen aufweisen. Anhand der Bewertung des Indikatortests können zusätzliche Maßnahmen erforderlich werden, die im Laufe des Projekts zu berücksichtigen sind.

132 VDA-Empfehlung 360 Version 1.0 Dezember 2016 Seite Test Strategie für die Verifikation und Validierung Da der Systemverbund durch zwei OES-Anteile gebildet wird kann eine Freigabe nur durch die beiden OES (ebooster & ESC) erfolgen. Dieses Kapitel beschreibt die jeweiligen Freigabeumfänge der beiden OES. Im Rahmen der Empfehlung ebooster/ ESC Schnittstelle ist jeder OES nur für die Freigabe seiner Lieferumfänge verantwortlich. Dennoch ist sichergestellt, dass vor einer abschließenden Freigabe das Gesamtsystem mit den endgültigen Software- und Hardwareständen auf Funktionalität und Robustheit getestet wird. Zur systematischen Verifikation und Validierung ist im Rahmen des Testkonzepts eine Aufteilung der Teststufen auf die beiden OES erforderlich. Bild 28 stellt das für die Entwicklung und Freigabe zugrundeliegende Entwicklungsmodell dar (V-Modell). Dieses ist die Basis für die Entwicklung und Freigabe der definierten Lieferumfänge ebooster und ESC und wird von beiden OES für die jeweils eigenen Lieferumfänge durchlaufen. Bild 28 Validierung und Verifikation gemäß V-Modell