Prüfbericht - Handicare AS

TÜV SÜD AUTOMOTIVE GMBH Telefon: +49 89 5791-1393 

Ridlerstr. 57 Telefax: +49 89 5791-4438 

D-80339 München 

Prüfberichtsnummer: 

377-0023-07-TAES-A 

Hersteller: 

Paravan GmbH, 72539 Pfrontstetten-Aichelau, Deutschland 

Typ: Space Drive Seite 1/19 

Prüfbericht 

Besondere Anforderungen an Sicherheitsaspekte von komplexen elektronischen Steuerungs- und 

Bremssystemen in Fahrzeugen 

ECE Regelung Nr. 79 Anhang 6 

ECE Regelung Nr. 13 Anhang 18 

0 Allgemeine Angaben 

0.1 Fabrikmarke: Paravan GmbH 

0.2 Typ: Space Drive 

0.3 Merkmale der Identifizierung: CPU-Modul (Steuerung): 9.00 200.867 

Interface (Steuerung): 9.00 200.866 

Check-Terminal (Bedienteil): 9.00 200.865 

PARAVAN-CPU: CP 02.xx * 

PARAVAN-Interface: PI 02.xx * 

Check-Control: CC 02.xx * 

* Versionierungen .xx betreffen ausschließlich 

Änderungen, die nicht in das Sicherheitskonzept des 

Systems eingreifen 

Anmerkung: Die Angaben hinsichtlich des Hardware- 

/Software- Standes beziehen sich ausschließlich auf 

das Sicherheitskonzept des Systems. Änderungen, 

die das Sicherheitskonzept direkt oder indirekt 

betreffen müssen der Prüfstelle umgehend mitgeteilt 

werden, da ansonsten die Aussagen dieses 

Prüfberichtes ihre Gültigkeit verlieren. 

0.4 Name und Anschrift des Herstellers: Paravan GmbH 

Paravan Str. 5 - 10 

D-72539 Pfrontstetten-Aichelau 

Name und Anschrift der Zulieferer: 

Rafi GmbH & Co. KG 

Ravensburger Straße 128-134 

D-88276 Berg 

Akkreditiert unter DAR Registrierungsnummer KBA-P-00001-95 durch die Akkreditierungsstelle Kraftfahrt-Bundesamt, 

Bundesrepublik Deutschland





377-0023-07-TAES-A 

Hersteller: 



1 Allgemeine Beschreibung: Space Drive ist ein Steuerungssystem in 

Modulbauweise, welches die Primärsysteme Gas, 

Bremse oder Lenkung digital per Mehrkanaltechnik 

steuert. Dabei hat der Fahrer die Möglichkeit, über 

entsprechende Sensorik Vorgaben für die 

Primärfunktionen zu stellen, welche dann durch 

Steuerungseinheiten (Drive Module) und die 

Aktuatorik (Gas/ Brake Motor, Steering Motor) 

umgesetzt werden. 

Space Drive benutzt einen Motor, um die Gas- 

Bremsfunktionen auszuführen und einen weiteren 

Motor, um die Lenkbewegungen des Fahrzeuges 

durchzuführen. Jeder dieser Motoren wird von einem 

Drive Modul gesteuert. Somit werden bei 

Implementierung einer elektronischen Lenkung und 

einer elektronischen Gas- Bremsfunktion zwei Drive 

Module verbaut. Als Sensorik für diese Funktionen 

besteht die Möglichkeit, je nach Behinderungsgrad 

des Fahrers, unterschiedliche Input Devices 

einzusetzen (z. B. Minilenkrad, Joystick oder "Lever"). 

Im Information Center, welches als Touchpad mit 

einem LC-Display (LC - liquid crystal) aufgebaut ist, 

erhält der Fahrer permanent Auskunft über den 

Zustand des Systems. 

Über das Vehicle Interface Module wird eine 

Anbindung zum jeweiligen Fahrzeug hergestellt, wobei 

Zustandsinformationen vom Fahrzeug für 

Komfortfunktionen des Space Drive-Systems 

ausgewertet werden, sowie eine Deaktivierung des 

gesamten Systems ausschließlich während der Boot 

up Routine möglich ist. Ein Datenaustausch zwischen 

den Drive Modulen, Information Center und Vehicle 

Interface Modul findet über eine interne CAN- 

Schnittstelle statt, die Spannungsversorgung erfolgt 

über einen „Power Bus“. Die Informationen, die über 

die interne CAN-Schnittstelle ausgetauscht werden, 

dienen zur Übertragung von 

Systemzustandsinformationen zum Information 

Center, zu Diagnose und Kalibrierung, sowie zu 

Komfortfunktion. 







377-0023-07-TAES-A 

Hersteller: 



1.1 Steuerungsfunktionen: Beschleunigen (elektromechanische Betätigung 

des originalen Fahrpedals mittels Bowdenzug) 

Bremsen (elektromechanische Betätigung des 

originalen Bremspedals) 

Lenken (elektromechanische Betätigung der 

Lenkung durch direkten Eingriff auf die Lenksäule) 

1.2 Schnittstellen: Diskrete Schnittstelle zwischen System Activation 

Switch (integriert im Fahrzeug) und dem Vehicle 

Interface Modul: 

Möglichkeit zur Deaktivierung der 

Systemfunktionen für eine Nutzung der Lenkung 

bzw. Gas/ Bremse über die 

Originalbedienschnittstellen im Fahrzeug 

Unidirektionale, analoge Schnittstelle zwischen Drive 

Modul (Gas/ Brake) und Gas/ Brake Motor: 

das Dual Potentiometer des Motors liefert zwei 

Signale, die Auskunft über die Position der 

Ausgangswelle (output shaft) der Motor-Getriebe 

Kombination geben 

RS 422 Schnittstelle zwischen Drive Module (Gas/ 

Brake) und Gas/ Brake Motor: 

der Resolver (Lagegeber) des Motors liefert ein 

Signal, welches Auskunft über die Position der 

Motorwelle selbst gibt 

diskrete Schnittstelle zwischen Vehicle Interface und 

Gas/ Brake Motor: 

direkte Ansteuerung des Geschwindigkeitsfreigabe 

Mechanismus zur Deaktivierung der Gasbetätigung 

in Notsituationen 

Leistungsschnittstelle zwischen Drive Modul (Gas/ 

Brake) und Gas/ Brake Motor: 

redundante Ausführung zur Ansteuerung von zwei 

separaten Wicklungen im Motor 

Unidirektionale, analoge Schnittstelle zwischen Drive 

Modul (Steering) und Steering Motor: 







377-0023-07-TAES-A 

Hersteller: 



das Dual Potentiometer des Motors liefert zwei 

Signale, die Auskunft über die Position der 

Ausgangswelle (output shaft) der Motor-Getriebe 

Kombination geben 

RS 422 Schnittstelle zwischen Drive Modul (Steering) 

und Steering Motor: 

der Resolver des Motors liefert ein Signal, welches 

Auskunft über die Position der Motorwelle selbst 

gibt 

diskrete Leitung zwischen Steering Motor Engage 

Switch und Vehicle Interface Modul: 

Positionssensor liefert ein Signal ob der 

LenkungsMotor Ein- bzw. Ausgekoppelt ist 

Leistungsschnittstelle zwischen Drive Module 

(Steering) und Steering Motor: 

redundante Ausführung zur Ansteuerung von zwei 

separaten Wicklungen im Motor 

Unidirektionale, analoge Schnittstelle vom Input 

Device zum Drive Modul (Gas/ Brake): 

der Fahrhebel (Lever)/ Joystick liefert 3 Signale (3 

Potentiometer) zur Überwachung der Position 

Unidirektionale, analoge Schnittstelle vom Input 

Device zum Drive Module (Steering): 

das Lenkrad (Wheel)/ Joystick liefert 3 Signale (3 

Potentiometer) zur Überwachung der Position 







377-0023-07-TAES-A 

Hersteller: 



1.3 Komponenten: 

Information Center (Touchpad mit einem LCD 

(liquid crystal display)) 

Vehicle Interface Module 

Sicherheitsrelevante Systemkomponenten: 

Drive Module 

Input Device (Lenkrad, Fahrhebel, Joystick, etc.) 

Steering DC-Scheibenläufermotoren 

Gas/ Brake DC-Scheibenläufermotoren 

Backup Power Supply 

2 Sicherheitskonzept: Die Drive Module sind jeweils mit 4 homogenen 

Mikroprozessoren bestückt. Die Prozessoren sind 

dabei in 2 Paare aufgeteilt. Jeweils ein Basic 

Controller und ein Safety Controller bilden ein 

sogenanntes Paar. Beide Paare arbeiten parallel im 

Master/ Slave Prinzip, wobei das Master Paar die 

Ansteuerung des Motors übernimmt und das Slave 

Paar als aktiver Backup ohne Durchgriff auf den Motor 

dient. Die jeweilige Zuordnung von Master und Slave 

wird bei jedem Start des Systems automatisch 

gewechselt (Generierung über Primary Signal 

Leitung). Innerhalb der Paare übernimmt der Basic 

Controller die Ansteuerung des Motors, und der Safety 

Controller überwacht die Funktion des Basic 

Controllers durch Auswertung der Soll- und Istwerte 

der Sensorik/ Aktuatorik. Im Fehlerfall kann er über 

einen unabhängigen Pfad (Error&Reset Signal) die 

Ansteuerung für den Motor über eine Abitration Logik 

auf das Slave Paar umschalten. Der Basic Controller 

besitzt ebenfalls einen Error&Reset Pfad zur 

Umschaltung der Ansteuerung auf das Slave Paar im 

erkannten Fehlerfall. Es findet kein direkter 

Datenaustausch zwischen den Prozessoren statt, 

sowohl innerhalb der Paare als auch zwischen den 

Paaren. Eine Umschaltung vom Master Paar auf das 

Slave Paar kann jeweils nur vom Master Paar 

ausgeführt werden, die Error&Reset Leitungen vom 

Slave Paar werden erst von der Abitration Logic 

akzeptiert, wenn das Slave Paar aktive regelt, also als 

Master agiert. 

Eine Abitration Logic (programmierbares UND-Gatter), 

welche mit einem Switch over (4 Relais) gekoppelt ist, 







377-0023-07-TAES-A 

Hersteller: 



wertet sowohl das Signal zur Umschaltung der 

Ansteuerung zwischen Master und Slave (Primary 

Signal Leitung) nach jedem Systemstart sowie die 

Reset&Error Leitungen aus. Während einer Boot up 

Routine im Hochlauf wird die Arbitration Logic auf 

Umschaltung der Ansteuerung getestet. 

Die Sensierung der Sollwerte (Fahrervorgaben) erfolgt 

mittels der Input Devices (Lever, Joystick, Wheel), 

welche dreifach redundant (3 Potentiometer) 

aufgebaut sind und 3 unabhängige Signale zum Drive 

Modul liefern. Die Spannungsversorgung erfolgt 

separate für jedes Potentiometer durch das Drive 

Modul. Im Drive Modul werden je 2 Signale von einem 

Paar über interne A/D Wandler verarbeitet. Dabei 

wertet der Basic Controller ein Signal als Sollvorgabe 

für die Ansteuerung aus und der Safety Controller 2 

Signale (siehe Abb. 3), womit er gleichzeitig zur 

Überwachung der Regelung eine Überwachung der 

Sollwertsensorik (Input Device) ausführt. Bei Fehlern 

zwischen den Signalen erfolgt eine Umschaltung der 

Ansteuerung zwischen Master und Slave, wobei die 

Basic Controller auf unabhängige Sollwertsignale 

zugreifen (siehe Abb. 3). Fehler, im von den Safety 

Controllern der Paare gemeinsam ausgewerteten 

Signal, werden durch zweifacher Umschaltung logisch 

erkannt. 

Die Ermittlung der Istwerte (Position eines Motors) 

erfolgt durch ein Dual-Potentiometer und einen 

Resolver (Lagegeber). Das Dual Potentiometer des 

Motors liefert zwei unabhängige Signale, die Auskunft 

über die Position der Ausgangswelle (output shaft) der 

Motor-Getriebe Kombination geben. Der Resolver des 

Motors liefert ein Signal, welches Auskunft über die 

Position der Motorwelle selbst gibt. Dual 

Potentiometer und Resolver werden separat durch die 

Drive Module mit Spannung versorgt. Die Auswertung 

der Signale erfolgt konzeptionell gleich zur 

Auswertung der Sollwertsignale. Die Basic Controller 

erhalten je eines der Signale vom Dual Potentiometer 

über ihren A/D Wandler als Istwert für die Regelung. 

Die Safety Controller werten das weitere Signal vom 

Dual Potentiometer über ihren A/D Wandler aus, 

sowie das Signal vom Resolver über eine RS-422 

Schnittstelle. Das Fehlerhandling erfolgt gleich zum 

Fehlerhandling bei erkannten Sensorfehlern. 

Die Ansteuerung der Motoren durch einen Basic 







377-0023-07-TAES-A 

Hersteller: 



Controller erfolgt über eine pulsweitenmoduliert 

angesteuerte H-Brücke. Durch redundant aufgebaute 

Windungen im jeweiligen Motor, welche separat 

angesteuert werden, wird sicher gestellt, dass es beim 

Ausfall eines Windungssystems bzw. Ausfall einer 

Versorgungsleitung zu keiner Einschränkung der 

Grundfunktionen des Space Drive-Systems kommt. 

Beide Windungen werden parallel angesteuert. 

Die Drive Module werden über zwei entkoppelte 

Batterien versorgt. 







377-0023-07-TAES-A 

Hersteller: 



2.1 Aufbau: Siehe Anhang 2 

2.2 Funktionsüberwachung, Diagnose, 

Tests auf Systemebene: 

Abkürzungen: 

Z 

I 

Zyklisch 

Initialisierung 

Drive Modul 

- redundante, entkoppelte Spannungsversorgung 

der Systemkomponenten 

(Fahrzeugbatterie/ Backup-Batterie) 

- unabhängige Spannungsversorgung der 

Mikroprozessoren (geregelte Spannung) 

- Überwachung der Regelfunktion vom Basic 

Controller durch den Safety Controller (Z) 

- redundante Auslegung des 

Mikrokontrollerpaares mit Umschaltlogik 

(Arbitration Logic) 

- unabhängige Umschaltpfade von allen 

Mikrokontrollern (aktiv jeweils nur vom 

Master Paar) 

- automatische Umschaltung zwischen Master 

und Slave bei jedem Systemstart zum 

Funktionstest des Systems 

- Identifizierung aller Prozessoren mit 

Statusanzeige im Display (I) 

- Identifizierung der Input Devices mit 

Aktivierung des akustischen Alarms (I) 

- Funktionstest (Boot up Diagnose) der 

Mikrokontroller, des Input Device und des 

Motors durch Sollwertvorgabe durch Fahrer 

mit Ansteuerung des Motors und 

Erwartungshaltung der Steuerung, 

Aktivierung des akustischen Alarms während 

des Tests (I) 

- Kommunikation der Controller mit dem 

Information Center über CAN mit 

Erwartungshaltung des Fahrers 

Input Device 

- redundante Istwertsensoren (3 

Potentiometer) mit unabhängiger 

Auswertung und Spannungsversorgung 

- Plausibilitätsüberwachung der Sensorwerte 

zueinander vom Safety Controller (Z) 

- Plausibilitätsüberwachung der 







377-0023-07-TAES-A 

Hersteller: 



angeschlossenen Sensorart während der 

Initalisierung (Vergleich von identifizierten 

Sensor mit Signalauswertung bei 

Initialisierungstest) 

Arbitration Logic: 

- Funktionstest der Abitration Logic während 

der Boot up Diagnose mit Erwartungshaltung 

und Zustandsanzeige für den Fahrer (I) 

Diskrete Schnittstelle zwischen Vehicle Interface 

Module und Gas/ Brake Motor: 

- Deaktivierung der Gasbetätigung wird als 

sicherer Zustand angesehen 

Diskrete Schnittstelle zwischen System Activation 

Switch (integriert im Fahrzeug) und dem Vehicle 

Interface Module: 

- Akzeptanz der Anforderung nur während der 

Initialisierung der Steuerung, optische und 

akustische Anzeige für den Fahrer, 

Übernahme der Anforderung erst nach 

Ablauf eines Zeitfensters von 60 Sec 

Diskrete Leitung zwischen Steering Motor Engage 

Switch und Vehicle Interface: 

- dient alleinig zur Fahrerinformation, bei 

Betätigung während der Fahrt wird ein 

optische und akustische Anzeige erzeugt, 

kein Einfluss auf die Regelfunktion 

Spannungsversorgung: 

- Unterspannungsüberwachung beider 

Fahrzeugspannungen (Fahrzeug-Batterie/ 

Backup-Batterie) durch die Controller (Z) 







377-0023-07-TAES-A 

Hersteller: 



2.3 Selbsttestmaßnahmen unterhalb 

der Systemebene: 

Scheibenläufermotor: 

- Überwachung auf Kurzschluss, Unterbrechung. 

(I/Z) 

- Hardwareseitige Strombegrenzung gegen 

Überlast. (I/Z) 

- Softwareseitige Strombegrenzung (Z) (Im 

Überlastbetrieb wird der Motorstrom 

rampenförmig erniedrigt, sodass eine 

dauerhafte Überlastung ausgeschlossen 

werden kann) 

- 

Dual-Potentiometer (Incremental Encoder): 

- Überwachung der Potentiometer und des 

Incemental Encoders auf unplausible Werte, 

Überwachung der Potentiometer auf 

Kurzschluss und Unterbrechung (I/Z) 

Fehler 

Ausfall eines oder 

beider 

Potentiometer 

Ausfall 

Enconders 

Ausfall 

Komponenten 

des 

aller 

Fehlerbehandlung 

Weiterfahrt 

Encoder 

über 

Weiterfahrt über 

einen 

Potentiometer-wert 

Motorposition wird 

über ein Modell 

berechnet. Eine 

Weiterfahrt über 

diese Modellbildung 

wird ermöglicht 







377-0023-07-TAES-A 

Hersteller: 



2.4 Bewertung des Sicherheitskonzeptes: Durch die System- und Rechnerstruktur ist 

hinreichend sichergestellt, dass Fehler des Space 

Drive-Systems beherrscht werden. Das 

Sicherheitskonzept wurde durch Auswahl dieser 

aufgezeigten Systemstruktur, in Kombination mit der 

funktionalen Überprüfung aller Komponenten im 

Systemstart durch den Fahrer, hinsichtlich einer 

Einfehlersicherheit durch den Hersteller ausgelegt. 

Das Sicherheitskonzept ist hinsichtlich der o.g. 

gesetzlichen Anforderungen unter Berücksichtigung 

des oben aufgeführten Hinweises als ausreichend 

anzusehen. 

Eine Konformität mit den Prüfgrundlagen ECE 

Regelung Nr. 79 Anhang 6 und ECE Regelung Nr. 13 

Anhang 18 kann bestätigt werden. 

2.5 Erklärung des Herstellers: Der Hersteller Paravan hat bestätigt, dass die 

gewählte Strategie zum Erreichen der Ziele des 

„Systems“ unter fehlerfreien Bedingungen den 

sicheren Betrieb von Teilen der durch diese Regelung 

vorgeschriebenen Einrichtungen nicht stört (siehe 

Anlage 1). 

2.6 Hard- und Softwareentwicklung: 

Hardwareentwicklung: 

Die Entwicklungs- und Prozessabläufe bei der Fa. Rafi 

sind geregelt nach DIN EN ISO 9001:2000 (Zertifikat- 

Registrier-Nr.: 001064 QM ST) Dabei erfolgt der 

Ablauf der Änderungen nach definierten 

Konstruktionsrichtlinien. 

Dieser Ablauf beinhaltet die Aufnahme von 

Kundenanforderungen, Erstellung von 

kundenspezifischen Spezifikationen, Erstellung von 

Zeichnungen (HW/ SW-Design, Durchführung von 

Berechnungen, Simulationen), Erstellung von 

Testspezifikationen, Durchführung von HW- 

Validierungstests, sowie zu den einzelnen Phasen 

entsprechende Freigabeprozeduren und Reviews. Für 

die Hardware Entwicklung werden die Software Tools 

Integra, Pro Engineer und Auto CAD eingesetzt. 

Verwendete Bauteile werden von der Bauteilstelle 

freigegeben und müssen nachweislich diesen 

Anforderungen genügen. 

. 







377-0023-07-TAES-A 

Hersteller: 



Softwareentwicklung: 

Die Entwicklung für das Space Drive System fand 

gemäß fand gemäß den in DIN EN ISO 9001:2000 

(Zertifikat-Registrier-Nr.: QA 05 102 03076) 

beschriebenen Entwicklungs- und Prozessabläufen 

der Fa. Paravan statt. Für die Software Entwicklung 

wurde das Software Tool „Case“ eingesetzt. Als 

Programmiersprache kam „C“ zu Einsatz. 

2.7 Bewertung der Systementwicklung: Die Systementwicklung und die Systemtests 

hinsichtlich Hardware sind strukturiert durchgeführt 

und nachvollziehbar dokumentiert worden. Die 

Architektur der Software wurde erläutert und die 

Konzeptionsmethoden und -werkzeuge entsprechen 

den Anforderungen der Richtlinie. 

2.8 Funktion bei Fehlern im System: Bei Auftreten eines Fehlers wird der Fahrer visuell 

über das Information Center und akustisch über die 2 

Sirenen im Fahrmodul informiert. In Abhängigkeit der 

Fehlerschwere erfolgt eine Umschaltung auf das 

Backup System. 

Sicherer Zustand Wechsel zum anderen 

Mikrokontrollerpaar Ausgabe des Fehlercodes und 

akustisches Signal, welches den Fahrer auf ein 

sofortiges Aufsuchen einer Werkstatt hinweist (siehe 

[U1]) 







377-0023-07-TAES-A 

Hersteller: 



2.9 Analyse des Verhaltens des Systems 

bei Fehlern: 

2.10 Beständigkeit gegen Umwelteinflüsse: 

Die System-FMEA ist nach den einzelnen System- 

Komponenten strukturiert und ermittelt 

Fehlererkennungs- und Fehlerbeherrschungsmaßnahmen. 

Folgende Erprobungen wurden zur Validierung der 

Komponenten des Systems durch die Firma Paravan 

durchgeführt: 

100.000 Testkilometer von ausgewählten Fahrern 

mit 29 Autos absolviert 

Dauerläufe auf dem Hydropuls-Teststand 

Anhand einzelner repräsentativer Fehlerversuche 

wurden die Systemreaktionen durch den Technischen 

Dienst am Fahrzeug verifiziert. 

Elektromagnetische Verträglichkeit: Es ein Nachweis für eine Überprüfung der 

elektromagnetische Verträglichkeit für die Steuerung 

nach Automotive Standards Richtlinie 2004/104/EG in 

der Fassung 2006/28/EG vor (siehe [U3]). 

Klima-/Temperatur und 

mechanische Prüfungen: 

Es liegt ein Nachweis für Klima-/Temperatur und 

mechanische Prüfungen der Steuerung vor (siehe 

[U7]). 

2.11 Prüfbarkeit des Systems: Die Inspektionsvorschriften des Herstellers sind 

einzuhalten. Anstehende Inspektionen werden dem 

Fahrer über das Informations Center angezeigt. 

2.12 Allgemeine Angaben: 

Ort der Prüfung: 

München/ Pfrontstetten-Aichelau 

Zeitraum der Prüfung: Jan. – August. 2007 

2.13 Bemerkungen: Eine Verifizierung der Leistung des Fahrzeugsystems 

nach Annex 6 ist nicht Begutachtungsbestandteil, 

sondern Gegenstand der Gesamtuntersuchung des 

Systems nach ECE R79 und wird im Zuge der 

Homologation der Fahrzeuge durchgeführt. 

3 Dokumentation: siehe Dokumentationsliste 







377-0023-07-TAES-A 

Hersteller: 



4 Anlagen: 

Anlage 1 

Anlage 2 

Herstellerklärung (1 Seite) 

Systemübersicht (1 Seite) 







377-0023-07-TAES-A 

Hersteller: 



5 Schlussbescheinigung 

Das unter Nr. 0.2 angegebene System mit den unter Nr. 0.3 angegebenen Merkmalen der 

Identifizierung –- e n t s p r e c h e n -- der o.a. Prüfspezifikation. 

Dieser Prüfbericht darf nur vom Auftraggeber und nur in vollem Wortlaut vervielfältigt und 

weitergegeben werden. Eine auszugsweise Vervielfältigung und Veröffentlichung des Prüfberichtes 

ist nur nach schriftlicher Genehmigung des Prüflaboratoriums zulässig. 

München, den 15.08.2007 

J. Luther Martin Schmidt 

Elektronische Systeme 

Elektronische Systeme 

Projektleiter 

Review 







377-0023-07-TAES-A 

Hersteller: 



Lfd. 

Nr. 

Herstellerdokumentation 

Dokumentation 

[U1] - „SpaceDrive-Bedienelemente.pdf“,39 Seiten 

- Pflichtenheft „Paravan Basis Software 

Paravan CPU“, Rev. 1.11, der Firma Rücker, 

56 Seiten 

- Pflichtenheft „Check Control - Menüs“, Rev. 

0.2, , der Firma Rücker, 8 Seiten 

- „SpaceDrive-Bedienelemente.pdf“,39 Seiten 


Paravan CPU“, Rev. 1.11, der Firma Rücker, 

56 Seiten 


Paravan CPU“, Rev. 1.17, der Firma Paravan, 

58 Seiten 

- Pflichtenheft „Check Control - Menüs“, Rev. 

0.2, der Firma Rücker, 8 Seiten 

Anforderung 

(nach Punkt 3 [ausgenommen Punkt 

3.4.4] im Annex 18 der ECE R13) 

Funktionsbeschreibung des Systems 

(Pkt. 3.2) 

[U2] - siehe [U1] Aufstellung aller sicherheitsrelevanten 

Eingangs- und Ausgangsvariablen + 

deren Sender/Empfänger + 

gegebenenfalls sicherheitsrelevante 

Begrenzungen, Zeitverhalten 

(Pkt. 3.2.1/3.2.2/3.3.4) 

[U3] - Prüfberichte der Firma Rafi, „04_335_T 

Paravan Funktion bei Temp Breibandrauschen 

u Schocken.pdf“, 10 Seiten und „04_351_U 

Paravan Kraft-Weg-Diagramm nach 

Temperaturlagerung.pdf“, 10 Seiten 

- EMV-Prüfbericht Nr. 107.0307 der Firma S- 

TEAM Elektronik GmbH, 27 Seiten 

Beschreibung der Grenzen des 

funktionalen Betriebs (Arbeitsbereich, 

Umweltbedingungen, physikalische 

Grenzen - sofern sicherheitsrelevant) 

(Pkt. 3.2.3) 

[U4] - siehe [U1] Darstellung aller Systemkomponenten 

in einem Blockschaltbild, Darstellung 

der Schnittstellen und Funktionen 

(Pkt. 3.3.1/3.3.2) 

[U5] - siehe [U1] Darstellung der funktionalen 

elektrischen, und mechan. 

Schnittstellen innerhalb des Systems 

(Pkt. 3.3.3) 







377-0023-07-TAES-A 

Hersteller: 



Lfd. 

Nr. 

Herstellerdokumentation 

Anforderung 

(nach Punkt 3 [ausgenommen Punkt 

3.4.4] im Annex 18 der ECE R13) 

[U6] - siehe Anlage 1 Erklärung hinsichtlich der 

Sicherstellung der Vermeidung von 

negativen Auswirkungen im 

störungsfreien Betrieb auf die 

Systeme, auf die sich die Richtlinie 

bezieht (Pkt. 3.4.1) 

[U7] - siehe [U1] 

- Design FMEA 3rd Edition, Rev. 1.1 (2007), 

Datei: FMEA SPACE DRIVE.pdf 

Darstellung des 

Fehlerbeherrschungskonzeptes sowie 

Beschreibung der Systemreaktionen 

im Fehlerfall mit Darstellung der 

Mensch-Maschine-Schnittstelle (Pkt. 

3.4.3) 

[U8] - siehe [U1] Darstellung der Prüfbarkeit des 

Betriebsstatus des Systems für eine 

regelmäßige technische Inspektion 

(Pkt. 3.1) 

Die oben aufgeführten Unterlagen wurden gemäß dem Annex 18 der Prüfstelle zur Verfügung 

gestellt und sind dort verwahrt. 







377-0023-07-TAES-A 

Hersteller: 



Anlage 1: 







377-0023-07-TAES-A 

Hersteller: 



Anlage 2: 



TÜV SÜD AUTOMOTIVE GMBH Phone: +49 (0)89 5791 – 1393 

Ridlerstr. 57 Facsimile: +49 (0)89 5791 – 4438 

80339 München / Munich 

Germany 

Audit report no.: 

377‐0023‐07‐TAES‐A 

Manufacturer: Paravan GmbH, 72539 Pfrontstetten‐Aichelau, Germany 

Model: Space Drive Page 1 of 19 

Audit Report 

Special requirements of the safety aspects of complex electronic control or braking systems 

for use in vehicles. 

ECE Regulation No. 79 Appendix #6 

ECE Regulation No. 13 Appendix #18 

0. General 

0.1 Manufacturer’s brand: Paravan GmbH 

0.2 Model: Space Drive 

0.3 Identification 

characteristics: 

CPU module (control system): 9.00 200.867 

Interface (control system): 9.00 200.866 

Check terminal (control panel): 9.00 200.865 

PARAVAN CPU: 

CP 02.xx* 

PARAVAN interface: 

PI 02.xx* 

Check control: 

CC 02.xx* 

* Versions .xx exclusively relate to changes that do not 

interfere with the safety concept of the system. 

Please note: The information provided in relation to the 

status of hardware or software exclusively relate to the 

safety concept of the system. Any changes that would 

have either direct or indirect impact on the safety concept 

must be reported to the inspecting authority without delay 

as the information provided herein will lose validity 

failing such notification. 

0.4 Name and address of the 

manufacturer: 

Name and address of the 

external suppliers: 

Paravan GmbH 

Paravan Str. 5 – 10 

72539 Pfrontstetten-Aichelau 

Germany 

Rafi GmbH & Co.KG 

Ravensburger Straße 128-134 

88276 Berg 

Germany 

Accredited under DAR registration no. KBA‐P‐00001‐95 by the Akkreditierungsstelle Kraftfahrt‐Bundesamt / accreditation 

agency of the (German) Federal Motor Transport Authority 

Federal Republic of Germany.




Germany 


377‐0023‐07‐TAES‐A 



1. General description Space Drive is a control system of modular design and 

designed to digitally control the primary systems of 

acceleration, braking and steering by means of multi-channel 

technology. Here, the driver will be able to make inputs for 

the primary functions via respective sensors, which will then 

be implemented by control units (Drive Module) and 

actuators (accelerator/ brake motor, steering motor). 

Space Drive uses a motor to accomplish the gas/ brake 

functions, and another motor to accomplish the steering 

motions of the vehicle. Each of these motors is controlled by 

a drive module. Thus, two drive modules will be installed to 

implement the electronic steering and electronic gas/ brake 

functions. Different input devices (such as a mini steering 

wheel, a joystick or lever) may be used as sensors for these 

functions, depending on the degree of disability of the driver. 

The Information Center, which is designed as a touchpad 

with a liquid crystal (LC) display, continuously provides the 

driver with information regarding the condition and status of 

these systems. 

A connection to the respective vehicle is provided via the 

Vehicle Interface Module where status information from the 

vehicle will be evaluated for the comfort functions of the 

Space Drive system and the whole system can be deactivated 

exclusively during the boot-up routine. Data interchange 

occurs between the drive modules, the information center and 

the vehicle interface module via an internal CAN interface; 

power supply is via a Power Bus. The data exchanged via the 

internal CAN interface are used to transmit system status 

information to the information center for purposes of 

diagnosis or calibration, or to accomplish comfort functions. 







Germany 


377‐0023‐07‐TAES‐A 



1.1 Control functions: • Accelerating (electromechanical actuation of the 

original gas pedal by means of a Bowden wire). 

• Braking (electromechanical actuation of the original 

brake pedal). 

• Steering (electromechanical actuation of the steering 

system through direct intervention on the steering 

column). 

1.2 Interfaces: Discrete interface between the System Activation Switch 

(integrated in the vehicle) and the Vehicle Interface Module: 

• Option to deactivate the system functions for use of 

the steering system or gas / brake pedal via the 

original operator interfaces in the vehicle. 

Unidirectional analog interface between the Drive Module 

(gas / brake) and the gas / brake motor: 

• The Dual Potentiometer of the motor supplies two 

signals that signal the position of the output shaft of 

the motor / gearbox. 

RS 422 interface between the Drive Module (gas / brake) and 

the gas / brake motor: 

• The Resolver (position detector) of the motor 

supplies a signal that signals the position of the 

output shaft proper. 

Discrete interface between the Vehicle Interface and the Gas 

/ Brake Motor: 

• Direct selection of the speed enable mechanism to 

deactivate the gas pedal actuation in emergency 

situations. 

Power interface between the Drive Module (gas / brake) and 

the gas / brake motor: 

• Redundant design to select two separate windings in 

the motor. 

Unidirectional analog interface between the Drive Module 

(steering) and the Steering Motor: 







Germany 


377‐0023‐07‐TAES‐A 



• The Dual Potentiometer of the motor supplies two 

signals that signal the position of the output shaft 

of the engine / gearbox. 

RS 422 interface between the Drive Module (steering) and 

the Steering Motor: 

• The Resolver of the motor supplies a signal that 

signals the position of the output shaft proper. 

Discrete line between the Steering Motor Engage Switch 

and the Vehicle Interface Module: 

• The motion tracker supplies a signal to signal 

whether the steering motor is engaged or 

disengaged. 

Power interface between the Drive Module (steering) and 

the Steering Motor: 

• Redundant design to select two separate windings 

in the motor. 

Unidirectional analog interface from the Input Device to 

the Drive Module (gas / brake): 

• The lever / joystick supplies three signals (three 

potentiometers) for position monitoring. 

Unidirectional analog interface from the Input Device to 

the Drive Module (steering): 

• The steering wheel / joystick supplies three signals 

(three potentiometers) for position monitoring, 







Germany 


377‐0023‐07‐TAES‐A 



1.3 Components: • Information Center (touchpad including liquid 

crystal display (LCD). 

• Vehicle Interface Module. 

Safety-relevant system components: 

• Drive Module 

• Input Device (steering wheel, lever, joystick or 

similar) 

• Steering DC disk armature motors 

• Gas / brake DC disk armature motors 

• Backup power supply 

2. Safety concept: The Drive Modules are provided with four (4) 

homogeneous microprocessors each. The processors are 

grouped in two pairs. One (1) Basic Controller and one (1) 

Safety Controller each are called a pair. Each pair works in 

parallel in what is called the master / slave arrangement, 

with the master pair selecting the motor, and the slave pair 

being an active backup without access to the motor. The 

respective allocation of the master and slave is 

automatically changed each time the system is started 

(generation via the primary signal). Within the pair, the 

Basic Controller selects the motor, and the Safety 

Controller monitors the function of the Basic Controller 

through evaluation of the setpoints and the actual values of 

the sensors or actuators. In the case of an error, it can 

switch over the motor selection to the slave pair via an 

independent path (error & reset signal) and arbitration 

logic. The Basic Controller has also an error & reset path 

to switch over the activation onto the slave pair in the 

event of a detected error. There is no direct data 

interchange between the processors, both within the pair 

and between the pairs. Switch-over from the master pair to 

the slave pair can only occur from the master pair. The 

error & reset lines from the slave pair will only be 

accepted by the arbitration logic once the slave pair is in 

active control, viz. acts as the master. 

An arbitration logic (programmable AND gate), which is 

coupled to a switch-over (four relays), waits for the signal 

for switch-over of activation between the master and slave 

(primary signal line) after each system start and the reset 

& error line. While a boot-up routine runs up, the 

arbitration logic is tested for activation switch-over. 







Germany 


377‐0023‐07‐TAES‐A 



The setpoints (driver input) are sensed via the input 

devices (viz. lever, joystick, wheel), which are designed 

for triple redundancy (three potentiometers) and supply 

three independent signals to the Drive Module. Power 

supply is from the Drive Module, separately for each 

potentiometer. Within the Drive Module, two (2) signals 

from each pair are processed via internal A-D converters. 

Here, the Basic Controller evaluates one signal as a 

setpoint input for activation, and the Safety Controller 

evaluates two (2) signals (cf. Figure 3) such that it 

monitors the control system and the setpoint sensors (input 

device) at the same time. In the case of errors between the 

signals, activation will be switched over between the 

master and slave, with the Basic Controllers accessing 

independent setpoint signals (cf. Figure 3). Errors in the 

signal jointly evaluated by the Safety Controllers are 

logically detected through double switch-over. 

The actual values (position of a motor) are determined by 

a dual potentiometer and a resolver (motion tracker). The 

dual potentiometer of the motor supplies two independent 

signals that signal the position of the output shaft of the 

motor and gearbox. The resolver of the motor supplies a 

signal that signals the position of the motor shaft proper. 

The dual potentiometer and resolver are powered 

separately by the Drive Module. Evaluation of these 

signals is conceptually similar to that of the setpoint 

signals. Each of the Basic Controllers receives one of the 

signals from the dual potentiometer as an actual value for 

control via the respective A-D converter. The Safety 

Controllers evaluate the other signal from the dual 

potentiometer from the resolver via an RS-422 interface. 

Error handling is simultaneous to the error handling for 

detected sensor errors. 







Germany 


377‐0023‐07‐TAES‐A 



Activation of the motors by a Basic Controller is via an H- 

bridge activated in pulse width modulation (PWM). 

Redundant windings in the respective motor, which are 

activated separately, will guarantee that the basic functions 

of the Space Drive system will not be affected or impaired 

in instances where one winding system or supply line fails. 

Both windings are activated at the same time. 

The Drive Modules are supplied via two uncoupled 

batteries. 







Germany 


377‐0023‐07‐TAES‐A 



2.1 Design layout See Appendix #2. 

2.2 Function monitoring, tests 

on system level 

Diagnosis, abbreviations: 

C => cyclical 

l => initialization 

Drive Module: 

- redundant uncoupled power supply of the system 

components (automotive battery / backup battery), 

- autonomous power supply for the microprocessors 

(controlled voltage), 

- monitoring of the control function from the Basic 

Controller by the Safety Controller (C), 

- redundant design of the microprocessor pair including 

reversing logic (arbitration logic), 

- independent reversing paths from all microcontrollers 

(active from the master pair only), 

- automatic reversing between the master and slave upon 

each system start for system function testing, 

- identification of all processors including status indication 

(I), 

- identification of the input devices including activation of 

the audible alarm (I), 

- function testing (boot-up diagnosis) of the 

microcontrollers of the input device and the motor through 

setpoint input by the driver including activation of the 

motor and expectation of he control, activation of the 

audible alarm during the test (I), 

- communication of the controllers with the Information 

Center via CAN including expectation of the driver. 

Input Device: 

- redundant actual value sensors (three (3) potentiometers) 

including autonomous evaluation and power supply, 







Germany 


377‐0023‐07‐TAES‐A 



- plausibility monitoring of the sensor values mutually and 

from the Safety Controller (C), 

- plausibility monitoring of the connected sensor type 

during initialization (comparison of the identified sensor 

with the signal evaluation upon initialization testing). 

Arbitration Logic: 

- function testing of the arbitration logic during the bootup 

diagnosis including expectation and status indication 

for the driver (I) 

Discrete interface between the Vehicle Interface 

Module and the gas / brake motor: 

- Deactivation of the gas pedal actuation is considered as a 

safe status. 

Discrete interface between the System Activation 

Switch (integrated in the vehicle) and the Vehicle 

Interface Module: 

- Request is accepted during the initialization of the 

control only; visible and audible display to the driver; 

request is transferred after the expiration of a time slot of 

sixty (60) seconds only. 

Discrete line between the Steering Motor Engage 

Switch and the Vehicle Interface: 

- This is designed to provide information to the driver. If 

actuated while cruising, this will generate a visible and 

audible indication; no impact on the control function. 

Power supply: 

- Undervoltage monitoring of both vehicle voltages 

(automotive battery / backup battery) by the controllers 

(C). 







Germany 


377‐0023‐07‐TAES‐A 



2.3 Self-testing activities 

below system level: 

Disk armature motor: 

- Monitoring for short circuit, discontinuity (I/C). 

- Current limitation against overload on the hardware end 

(I/C). 

- Current limitation (C) (in overload operation, the motor 

current is reduced in ramps such that permanent 

overloading can be excluded). 

Dual potentiometer (incremental encoder): 

- Monitoring of the potentiometers and of the incremental 

encoder for implausible values, monitoring of the 

potentiometer for short circuit or discontinuity (I/C). 

Error 

Failure of one potentiometer 

or of both potentiometers. 

Failure of the encoder. 

Failure of all components. 

Error treatment 

Continuation via the 

encoder. 

Continuation via a 

potentiometer value. 

The motor position is 

computed via a model. 

Continuation via this 

modeling is enabled. 







Germany 


377‐0023‐07‐TAES‐A 



2.4 Evaluation of the safety 

concept: 

Owing to the system and computer structure, it is 

positively guaranteed that errors of the Space Drive 

system will be controlled. The safety concept has been 

designed by the manufacturer through the selection of the 

system structure as outlined, in combination with the 

functional test of all components upon the system being 

started by the driver, and with a view to single-error 

safety. 

The safety concept should be considered as adequate in 

relation to the above legal requirements while taking into 

consideration the above note. 

Compliance with the inspection bases according to ECE 

Regulation No. 79, Appendix #6, and ECE Regulation No. 

13, Appendix #18, is hereby confirmed. 

2.5 Manufacturer’s 

declaration: 

The manufacturer by the name of Paravan has confirmed 

that the strategy selected to achieve the objectives of the 

“system” under error-free conditions will not disturb the 

safe and reliable operation of components of the devices 

prescribed by said regulations (cf. Appendix #1). 

2.6 Hardware and software 

development: 

Hardware development: 

The development and process sequences pursued at co. 

Rafi are controlled according to DIN EN ISO 9001:2000 

(certificate registration no. 001064 QM ST). Here, the 

sequence of changes follows defined design principles. 

This sequence includes the collection of customer 

requirements, the drafting of customized specifications, 

the generation of drawings (HW/ SW design, 

implementation of calculations, simulations), the 

preparation of test specifications, the implementation of 

HW validation tests as well as release procedures and 

reviews for each stage. The software tools of Integra, Pro 

Engineer and Auto CAD are used for hardware 

development. The components used are released by the 

competent department and must demonstrably satisfy 

these requirements. 







Germany 


377‐0023‐07‐TAES‐A 



Software development: 

2.7 Evaluation of the system 

development: 

2.8. Function in the event of 

system errors: 

The development of the Space Drive system was pursued 

according to the design processes and sequences of co. 

Paravan as described in DIN EN ISO 9001:2000 

(certificate registration no. QA 05 102 03076). The Case 

tool was used to develop the software. The programming 

language used was C. 

System development and system testing in relation to the 

hardware were done in a structured and comprehensible 

way, and duly documented. The software architecture was 

explained, and the conception methods or tools satisfy the 

requirements of the Directive. 

In the case of an error, the driver will be visually advised 

via the Information Center, and audibly via the two (2) 

nos. sirens in the Drive Module. Depending on the severity 

of the error, switch-over to the Backup Module will occur. 

Safe condition switch over to the other pair of 

microcontrollers output the error code and audible 

signal to signal the driver to go to a garage without delay 

(cf. [U1]). 







Germany 


377‐0023‐07‐TAES‐A 



2.9 Analysis of the system’s 

behavior in the case of an 

error: 

The failure mode and effects analysis (FMEA) is 

structured by system components and determines error 

detection and error control activities. 

The following trials or tests have been conducted by co. 

Paravan to validate the system components: 

• one hundred thousand (100,000) kilometer trial 

trip conducted by selected drivers in twenty-nine 

(29) cars, and 

• endurance run on the Hydro Pulse test rig. 

Based on various representative error tests, the system 

reaction on the car was verified by the technical service. 

2.10 Resistance to 

environmental impact: 

Electromagnetic 

compatibility (EMC): 

Environmental / 

temperature and 

mechanical tests: 

Evidence is available that the control system was tested for 

electromagnetic compatibility according to the 

Automotive Standards Directive 2004/104/EC as amended 

in 2006/28/EC (EMC Directive) (cf. [U3]). 

Evidence is available that the control system has been 

subjected to environmental / temperature and mechanical 

tests (cf. [U7]). 

2.11 Verifiability of the 

system: 

The instructions for inspection issued by the manufacturer 

must be complied with. Upcoming inspections will be 

signaled to the driver via the Information Center. 

2.12 General specifications: 

Place of inspection: 

Munich/ Pfrontstetten-Aichelau / Germany 

Date of inspection: January through August, 2007 

2.13 Comments: Verification of the performance of the vehicle system 

according to Appendix #6 is not included in the scope of 

this expertise, but is included in the scope of the overall 

system inspection according to ECE R79 and will be 

conducted in the course of the type approval of the 

vehicles. 







Germany 


377‐0023‐07‐TAES‐A 



3. Documentation: Refer to the list of documents. 

4. Appendices: 

Appendix #1 

Appendix #2 

Manufacturer’s declaration (1 page) 

System overview (1 page) 







Germany 


377‐0023‐07‐TAES‐A 



5. Final certification 

The system specified at No. 0.2 and the characteristics of identification mentioned at No. 0.3 

a r e i n c o m p l i a n c e with the test specifications. 

This test report may be copied and divulged by the contracting party and in its full wording 

only. Reproduction or publication in extracts of this test report will be allowed subject to the 

written approval by the testing laboratory only. 

Munich/Germany, this August 15, 2007 

(signed) 

(signed) 

J. Luther Martin Schmidt 

Electrical Systems 

Electronic Systems 

Project Manager 

Review 







Germany 


377‐0023‐07‐TAES‐A 



Documentation 

Ser. no. Document issued by manufacturer Requirement 

(according to Item #3 [except for Item 

3.4.4] in Appendix 18 of ECE R13) 

[U1] 

- “Space Drive-Bedienelemente.pdf” 

(Space Drive controls), 39 pages; 

- functional specification document 

“Paravan Basis Software Paravan CPU”, 

Rev. 1.11, by co. Rücker, 56 pages; 


“Check Control Menus”, Rev. 0.2, by co. 

Rücker, 8 pages; 

- “SpaceDrive-Bedienelemente.pdf” 

(Space Drive controls), 39 pages; 



Rev. 1.11, by co. Rücker, 56 pages; 



Rev. 1.17, by co. Paravan, 58 pages; 


“Check Control Menus”, Rev. 0.2, by co. 

Rücker, 8 pages. 

Functional description of the system (Item 

3.2). 

[U2] - Cf. [U1]. Schedule of all safety-relevant input or 

output variables & associated transmitters 

and receivers & safety-relevant limitations, 

time response, if applicable (Items 3.2.1 / 

3.2.2 / 3.3.4). 

[U3] 

- Test reports by co. Rafi “04_335_T 

Paravan Funktion bei Temp 

Breitbandrauschen u Schocken.pdf 

(Paravan function in case of temperature 

broadband noise and shocks), 10 pages, 

and “04_351_U Paravan Kraft-Weg- 

Diagramm nach 

Temperaturverlagerung.pdf” (Paravan 

Description of the limits of the functional 

operation (operating range, environmental 

conditions, physical limits, as and if safetyrelevant( 

(Item 3.2.3). 







Germany 


377‐0023‐07‐TAES‐A 



force-displacement graph after 

temperature shift), 10 pages; 

- EMC Test report No. 107.0307 by co. S- 

TEAM Elektronik GmbH, 27 pages. 

[U4] - Cf. [U1]. Representation of all system components in 

a block diagram, representation of the 

interfaces and functions (Items 3.3.1 / 

3.3.2). 

[U5] - Cf. [U1]. Representation of the functional electrical 

and mechanical interfaces within the system 

(Item 3.3.3). 

[U6] - Cf. Appendix 1. Explanation how it will be guaranteed that 

negative impacts on the systems to which 

the Directive relates will be avoided in 

failure-free operation (Item 3.4.1). 

[U7] 

- Cf. [U1]. 

- Design FMEA 3 rd Edition, Rev. 1.1 

(2007), 

File: FMEA SPACE DRIVE.pdf 

Representation of the error control concept 

and description of the system responses in 

the case of an error, including a 

representation of the man-machine interface 

(Item 3.4.3). 

[U8] - Cf. [U1]. Representation of the testability and 

verifiability of the operating status of the 

system for the purpose of regular technical 

inspection (Item 3.1). 

The documents mentioned above have been submitted to the inspection authority according to 

Appendix 18, and are retained by the latter. 







Germany 


377‐0023‐07‐TAES‐A 



Appendix 1: 

SPACE DRIVE ® 

PARAVAN 

electronic digital controls 

Vehicles adapted to the requirements of the disabled. 

DEUTSCHER HANDWERKSPREIS 2005 – ENTREPRENEUR DES JAHRES FINALIST 2005 

2005 craft award – entrepreneur of the year – 2005 finalist 

PARAVAN GmbH – Managing Director: Roland Arnold – Paravan-Straße 5 – 10, 72539 Pfrontstetten-Aichelau, Germany 

Phone: +49 (0)7388 – 99 95 66 Facsimile: +49 (0)7388 – 99 95 79 E-mail: info@paravan.de www.paravan.com 

Manufacturer’s Declaration 

In relation to the Space Drive system according to ECE R13 Appendix 18 / ECE R13-H 

Appendix 8 and ECE R79 Appendix 6. 

The manufacturer by the name of Paravan hereby certifies that the strategy selected by it to 

implement the objectives of the Space Drive system in failure-free operation will not have any 

negative impact on the safe and reliable operation of said systems which are the object of this 

Regulation. 

(stamp) 

Stamp: PARAVAN GmbH Signature: 

Kfz-Sonderumbauten 

p. p. (signed) 

Paravan-Straße 5 – 10 

Ralf Giesler 

72539 Pfronstetten-Aichelau Manager, engineering 

Phone: +49 (0)7388 – 99 95 66 

and development 

Facsimile: +49 (0)7388 – 99 95 79 







Germany 


377‐0023‐07‐TAES‐A 



Appendix 2: 

PARAVAN functional specification document Page 10 of 56 

2. Product environment 

2.1 System configuration_/F02M/ 

vehicle signal 

CAN bus 

power 

check control PARAVAN PARAVAN PARAVAN 

interface CPU CPU 

input signal 

input signal 

motor signal 

MS encoder signal encoder signal battery control 

2WL 

motor signal 

steering motor 

gas / brake motor 

Figure 1: 

schematic system configuration. 

System components: 

* PARAVAN CPUs: central processing unit 

* Check control: display, operator and diagnosis unit 

* PARAVAN interface: interface for data interchange between the SPACE DRIVE 

system and the vehicle 

* Input devices: sensor unit to input a steering angle, acceleration or deceleration 

(here, MS and 2WL) 

* Battery control: backup battery 

* Steering motor: actuators to implement the steering angle input 

* Gas / brake motor: actuators to implement the gas or braking input 

Rücker GmbH Elektronische Systeme Rev. 1.1

Prüfbericht - Handicare AS

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?