Zu den sicherheitskritischen Regelungen dieser Art zählen u. a. die in die Bremsenfunktion eines Kraftfahrzeugs ein- greifenden Regelungssysteme, die in großer Anzahl und großer Vielfalt auf dem Markt sind. Beispiele hierfür sind die An- tiblockiersysteme (ABS), Antriebsschlupfregelungssysteme (ASR), Fahrstabilitätsregelungen (FDR, ASMS), Fahrwerksrege- lungssysteme etc. Ein Ausfall eines solchen Regelungssystems führt zur Gefährdung der Fahrstabilität des Fahrzeugs. Daher wird die Funktionsfähigkeit der Systeme ständig überwacht, um beim Auftreten eines Fehlers die Regelung abschalten oder in einen für die Sicherheit weniger gefährlichen Zustand um- schalten zu können.

Noch kritischer sind Bremssysteme bzw. Kraftfahrzeug-Re- gelungssysteme, bei denen bei Ausfall der Elektronik keine Umschaltung auf ein mechanisches oder hydraulisches System möglich ist. Hierzu zählen Bremssystemkonzepte, wie"Brake- by-wire", die voraussichtlich in der Zukunft noch an Bedeu- tung gewinnen werden ; die Bremsenfunktion ist bei solchen Systemen auf eine intakte Elektronik angewiesen.

Ein Beispiel für eine Schaltungsanordnung oder ein Micro- prozessorsystem zur Steuerung und Überwachung einer blockiergeschützten Fahrzeugbremsanlage ist aus der DE 32 34 637 C2 bekannt. Es werden die Eingangsdaten zwei identisch programmierten Microcomputern parallel zugeführt und syn- chron verarbeitet. Die Ausgangssignale und Zwischensignale der beiden Microcomputern werden mit Hilfe von redundanten Vergleichern auf Übereinstimmung geprüft. Wenn die Signale voneinander abweichen, wird über eine ebenfalls redundant ausgelegte Schaltung die Regelung abgeschaltet.

Nach einem anderen, aus der DE 41 37 124 Al bekannten Sy- stem, werden die Eingangsdaten ebenfalls zwei Microcomputern parallel zugeführt, von denen jedoch nur einer die vollstän- dige, aufwendige Signalverarbeitung ausführt. Der zweite Mi crocomputer dient vornehmlich zur Überwachung, weshalb die Eingangssignale mit Hilfe vereinfachter Regelalgorithmen und vereinfachter Regelpilosophie weiterverarbeitet werden kön- nen. Die vereinfachte Datenverarbeitung reicht zur Erzeugung von Signalen aus, die durch Vergleich mit den in dem aufwen- digeren Microcomputer verarbeiteten Signalen Rückschlüsse auf den ordnungsgemäßen Betrieb des Systems zulassen. Durch die Verwendung eines Prüf-Microcomputers geringerer Leistungsfähigkeit läßt sich der Herstellungsaufwand im Ver gleich zu einem System mit zwei vollständigen, aufwendigen Microcomputern gleicher Leistung reduzieren.

Aus der DE 43 41 082 Al ist bereits ein Mikroprozessorsystem bekannt, das insbesondere für das Regelsystem einer blo- ckiergeschützten Bremsanlage vorgesehen ist. Dieses bekannte System, das auf einem einzigen Chip untergebracht werden kann, enthält zwei Zentraleinheiten, in denen die Eingangs- daten parallel verarbeitet werden. Die Festwert-und die Schreib-Lese-Speicher, die an die beiden Zentraleinheiten angeschlossen sind, enthalten zusätzliche Speicherplätze für Prüfinformationen und umfassen jeweils einen Generator zur Erzeugung von Prüfinformationen. Die Ausgangssignale eines der beiden Zentraleinheiten werden zur Erzeugung der Steuer- signale weiterverarbeitet, während die andere als passive Zentraleinheit lediglich zur Überwachung der aktiven Zen- traleinheit dient.

Schließlich ist aus der DE 195 29 434 A1 ein Mikroprozessor- system bekannt, bei dem auf einem oder auf mehreren Chips zwei synchron betriebene Zentraleinheiten angeordnet sind, die die gleichen Eingangsinformationen erhalten und das gleiche Programm abarbeiten. Die beiden Zentraleinheiten sind über separate Bus-Systeme an die Festwert-und an die Schreib-Lese-Speicher sowie an Eingabe-und Ausgabeeinheiten angeschlossen. Die Bus-Systeme sind untereinander durch By- pässe verbunden, die den beiden Zentraleinheiten ein gemein- sames Lesen und Abarbeiten der zur Verfügung stehenden Da- ten, einschließlich der Prüfdaten oder Redundanzdaten, und der Befehle ermöglichen. Dieses bekannte, auf redundante Datenverarbeitung beruhende System ermöglicht eine Einspa- rung von Speicherplätzen, was wiederum zu einer Reduzierung des Herstellungsaufwandes führt.

Alle vorgenannten Systeme beruhen grundsätzlich auf dem Ver- gleich redundant verarbeiteter Daten und der Erzeugung eines Fehlersignals, wenn Abweichungen zwischen den Datenverarbei- tungsergebnissen oder-zwischenergebnissen auftreten. Bei Fehlererkennung, d. h. bei Auftreten eines Fehlers oder Aus- fall eines Systems, wird dann die Regelung abgeschaltet. In keinem Fall ist eine Notlauffunktion, nämlich eine Fortset- zung der Regelung nach dem Auftreten des Fehlers, möglich, weil bei der beschriebenen Art der Fehlererkennung nicht festgestellt werden kann, welches System noch intakt ist.

Eine Notlauffunktion auf Basis solcher bekannten Schaltungen wäre grundsätzlich nur durch Verdoppelung der redundanten Systeme in Verbindung mit einem Identifizieren und Abschal- ten der Fehlerquelle denkbar.

Der vorliegenden Erfindung liegt nun die Aufgabe zugrunde, eine Schaltungsanordnung zu entwickeln, die im Vergleich zu den beschriebenen bekannten Verfahren höchstens geringen Mehraufwand erfordert und die dennoch beim Auftreten eines Fehlers einen Übergang in eine Notlauffunktion zuläßt.

Es hat sich herausgestellt, daß diese Aufgabe durch die im Anspruch 1 beschriebene Schaltungsanordnung gelöst werden kann. Nach den kennzeichnenden Merkmalen der Erfindung ist die Schaltungsanordnung zwei-oder mehrkreisig aufgebaut, wobei jeder Kreis ein komplettes Mikroprozessorsystem ent- hält, welches die Eingangsdaten oder Eingangsinformationen verarbeitet und bei Auftreten eines Fehlers ein Fehlererken- nungssignal liefert ; bei Fehlererkennung erfolgt dann ein Übergang in eine Notlauffunktion.

Nach einem besonders vorteilhaften Ausführungsbeispiel der Erfindung werden in jedem Mikroprozessorsystem die Eingangs- daten dieses Systems redundant verarbeitet und die Da- tenverarbeitungsergebnisse oder Zwischenergebnisse vergli- chen, und es wird beim Auftreten von Abweichungen zwischen den Ergebnissen das Fehlererkennungssignal erzeugt.

Die erfindungsgemäße Schaltungsanordnung läßt sich sehr ein- fach auf Basis bekannter Schaltungen, z. B. der zuvor geschilderten bekannten Systeme oder Schaltungen, die ein Fehlererkennungssignal liefern, realisieren. Wichtig ist, daß nicht nur das Auftreten eines Fehlers signalisiert wird, sondern daß auch erkennbar ist, welches System oder welcher Kreis fehlerbehaftet bzw. weiterhin intakt ist.

Nach einem weiteren Ausführungsbeispiel der Erfindung werden jedem Kreis oder Mikroprozessorsystem nur die für den be- treffenden Kreis benötigten Eingangsdaten zugeführt. Bei Ausfall des Kreises und Übergang in die Notlauffunktion fällt dann der Kreis, in dem der Fehler auftrat, aus. Die Aktuatoren des betreffenden Kreises werden nicht mehr ange- steuert. Handelt es sich beispielsweise um eine Kraftfahrzeug-Bremsanlage mit diagonaler Bremsaufteilung, genügt es, in der Notlauffunktion die Bremsen eines Kreises zu betätigen. Es entsteht die gleiche Situation wie beim Ausfall eines hydraulischen Bremskreises einer bekannten, zweikreisigen Bremsanlage mit diagonaler Aufteilung.

Eine alternative Ausführungsart der Erfindung besteht darin, daß jedem Kreis oder jedem Mikroprozessorsystem alle Ein- gangsdaten direkt oder über Kommunikationseinheiten, die die einzelnen Mikroprozessorsystemen verbinden, zugeführt werden und daß bei Ausfall eines Kreises durch Anschalten der Ak- tuatorbetätigung an einen der intakten Kreise die Aktuator- ansteuerung in der Notlauffunktion ohne Einschränkungen fortgesetzt wird.

Auch hat es sich als zweckmäßig erwiesen, die erfindungs- gemäße Schaltungsanordnung für eine Kombination von mehreren Kraftfahrzeug-Regelungssystemen, wie Brake-by-wire, ABS, ASR, ASMS etc., auszulegen, wobei die Notlauffunktion entwe- der die Aufrechterhaltung des Betriebs aller Regelungssyste- me oder nur die Aufrechterhaltung des Betriebs ausgewählter Regelungsfunktionen, z. B. besonders sicherheitskritischer Funktionen, erfaßt. Dabei ist es vorteilhaft, wenn im Feh- lerfall diese speziellen Funktionen durch die intakten Krei- se übernommen werden.

Einige weitere Ausführungsbeispiele sind in den Un- teransprüchen beschrieben.

Aus der beigefügten Abbildung, die in schematisch ver- einfachter Darstellung die wichtigsten Komponenten einer Schaltungsanordnung nach der Erfindung wiedergibt, und aus der folgenden Erläuterung gehen weitere Einzelheiten der Erfindung sowie der prinzipielle Aufbau und die Wirkungs- weise einer Schaltungsanordnung nach der Erfindung hervor.

Die dargestellte Schaltungsanordnung ist beispielsweise zur Steuerung und Regelung einer blockiergeschützten Kraftfahrzeug-Bremsanlage und insbesondere einer rein elektrischen, nach dem Brake-by-Wire-Konzept aufgebauten Bremsanlage geeignet. Eine Abschaltung der Elektronik und "Rückfall"in eine (hydraulische oder mechanische) Grundfunk- tion ist bei solchen Bremsanlagen, die rein elektrisch funk- tionieren, prinzipbedingt nicht möglich. Beim Auftreten ei- nes Fehlers ist folglich eine Notlauffunktion, die eine weitere Bremsbetätigung zuläßt, unbedingt notwendig.

Die wiedergegebene Schaltungsanordnung besteht im Prinzip aus zwei vollständigen, voneinander unabhängigen Kreisen I, II mit den Mikroprozessorsystemen 1,2, zu denen jeweils auch eine Eingangsdaten oder Eingangsinformationen aufnehmende und erfassende Schaltung 3,4 sowie eine die Ausgangssignale der Mikroprozessorsysteme 1,2 auswertende Aktuatorbetätigung 5,6 gehören. Ein weiterer, nicht verzichtbarer Bestandteil der erfindungsgemäßen Schal tungsanordnung ist die individuelle Energieversorgung 7,8, die hier als Zuführungsleitung zu den einzelnen Komponenten der beiden dargestellten Kreise I, II oder Mikroprozessorsystemen 1,2 durch gestrichelte Doppellinie symbolisiert ist.

Die zusammen einen Kreis I, II bildenden Komponenten der er- findungsgemäßen Schaltungsanordnung sind in der Abbildung durch einen strich-punktierten Rahmen zusammengefaßt. Jeder Kreis I, II enthält ein komplettes Mikroprozessorsystem, einschließlich der Peripherie. Zum Kreis I gehören folglich die Komponenten 1,3, ein Umschalter 9 und die Energieversor- gung 7, zum Kreis II die Komponenten 2,4, ein Umschalter 10 und die Energieversorgung 8. Bei einer Bremsanlage werden zweckmäßigerweise die beiden Kreise I, II jeweils zur Steue- rung der Bremsen einer Fahrzeugdiagonalen zugeordnet.

Bei einer Kraftfahrzeug-Bremsanlage liefern die Radsensoren die wichtigsten Eingangsgrößen des Regelungssystems. Folg- lich dienen die Eingangsschaltungen 3,4 zur Erfassung der Radsensordaten. Als Aktuatoren kommen Ventile oder, bei ei- nem Brake-by-wire-Konzept, Elektromotoren, die die einzelnen Radbremsen betätigen, in Frage. Zur Versorgung mit elektrischer Energie können die Quellen 7,8 sogar aus ge- trennten Fahrzeug-Batterien UB1, UB2 oder aus getrennten Batteriezellen versorgt werden.

Die Signalwege oder Datenwege von den Mikroprozessorsystemen 1 und 2 zu den zugehörigen Aktuatorbetätigungen 5,6 führen nach der Darstellung jeweils über einen der Umschalter 9,10.

In der Ruhestellung des Umschalters ist die Verbindung von dem Mikroprozessorsystem 1,2 zu der zugehörigen Aktuatorbe- tätigung 5,6 geschlossen. Beim Auftreten eines Fehlererken- nungssignals FAIL, das der fehlerbehaftete Kreis bzw. das Mikroprozessorsystem I oder II, in dem der Fehler auftritt, ausgibt, wird der Umschalter 9 oder 10 in seine zweite Schaltposition umgelegt, in der die Ansteuerung der Aktuato- ren des defekten Kreises I oder II von dem intakten Kreis II oder I übernommen wird. Werden dem intakten Mikroprozessor- system alle Eingangsdaten zugeführt, kann auch nach der Um- legung des Umschalters 9 oder 10 und damit nach dem Übergang in die Notlauffunktion die Bremsenbetätigung uneingeschränkt fortgesetzt werden.

Die Anschlüsse S1 bis S4 der Signalerfassung 3,4 symbolisie- ren die Eingänge zur Aufnahme der Radsensordaten. Ein Ein- gang Pd dient bei einem Brake-by-wire-Konzept zur Entgegen- nahme der Bremspedal-Betätigungsdaten.

Ein eindeutiges Fehlererkennungssignal läßt sich bekanntlich bei Verwendung eines Mikroprozessorsystems mit redundanter Signalverarbeitung durch Vergleich der Datenverarbeitungs- ergebnisse oder-zwischenergebnisse erzeugen. Beim Vorliegen eines Fehlers ist die Übereinstimmung nicht mehr gegeben.

Dieses Signal wird erfindungsgemäß zum Umschalten in die Notlauffunktion ausgewertet.

Die zu den Kreisen I, II gehörenden Mikroprozessorsysteme 1,2 sind durch eine Kommunikation-Einrichtung 11 miteinander verbunden. Über diesen Weg besteht ein Datenaustausch, der sicherstellt, daß alle Eingangsdaten und auch Zwischenergeb- nisse der Datenverarbeitung in beiden Mikroprozessorsystemen 1,2 verarbeitet und ausgewertet werden können. Über diese Kommunikations-Einrichtung 11 können außerdem in bekannter Weise vielfältige Überwachungsmaßnahmen realisiert werden.

Ein wesentlicher Vorteil der erfindungsgemäßen Schaltungs- anordnung besteht darin, daß diese aus zwei gleichartigen Kreisen I, II mit redundanter Datenverarbeitung besteht. Je- der Kreis I oder II kann für ein Regelungssystem eingesetzt werden, bei dem im Fehlerfall bei Abschaltung der Elektronik oder der Aktuatorbetätigung eine mechanische oder hydrau- lische Notlauffunktion gegeben ist. Bei dem beschriebenen Ausführungsbeispiel der Erfindung, das ein elektrisch zwei- kreisiges System I, II darstellt, wird beim Auftreten eines Fehlers entweder ein Kreis I oder II abgeschaltet oder die Aktuatorbetätigung dieses Kreises von dem intakten Kreis übernommen. Beide Maßnahmen führen zu einer Notlauffunktion ; die erste Maßnahme zu einer Notlauffunktion unter Inkauf- nahme eine Bremswegverlängerung etc., während die zweite Maßnahme die Bremsenfunktion uneingeschränkt aufrechterhält und lediglich die Funktionssicherheit beim (relativ unwahr- scheinlichen) Auftreten noch weiterer Fehler beeinträchtigt und damit das Sicherheitsniveau reduziert.

Es ist grundsätzlich auch möglich, die Übernahme der Ak- tuatorbetätigung als Folge einer Fehlererkennung auf beson- ders kritische Regelungsfunktionen zu beschränken. Dies ist insbesondere dann zweckmäßig, wenn die beschriebene Schaltungsanordnung eine Kombination mehrerer, sicherheitskritischer und weniger sicherheitskritischer Re- gelungssysteme oder Regelungsfunktionen umfaßt. Während des Notlaufs sollte dann zumindest eine konventionelle oder Standardbremsfunktion gewährleistet sein.

Das Betätigen der Umschalter 9,10, die durch Hardware-aber auch durch Software realisiert werden können, setzt die Feh- lererkennung und Identifikation der Fehlerquelle oder des Fehlerortes voraus. Grundsätzlich ist es möglich, das Um- schalten von einer Majoritätsentscheidung abhängig zu ma- chen, wenn die Datenverarbeitung auf mehr als zwei (redun- danten) Wegen erfolgt. Im beschriebenen Beispiel werden in jedem der beiden Mikroprozessorsystemen 1,2 die Daten redun- dant verarbeitet, so daß jedes System allein zur Fehlerer- kennung und-signalisierung in der Lage ist. Es genügt zu wissen, in welchem Kreis oder Mikroprozessorsystem der Feh- ler auftritt.