Stand der Technik

Die Erfindung betrifft ein Verfahren und eine Vorrichtung zur Steuerung einer Antriebseinheit eines Fahrzeugs.

Ein derartiges Verfahren und eine derartige Vorrichtung wird in der nicht vorveröffentlichten deutschen Patentanmeldung P 44 38 714.8 vom 29.10.1994 beschrieben. Dort ist eine Steuereinheit vorgesehen, welche einen Mikrocomputer aufweist, der sowohl die Steuerung der Leistung der

Antriebseinheit (im Falle einer Brennkraftmaschine über Luftzufuhr, Kraftstoffzumessung und/oder Zündwinkel) als auch die Überwachung der korrekten Funktion dieser Steuerungsprogramme durchführt . Die Programmstruktur dieses Mikrocomputers besteht dabei im wesentlichen aus drei voneinander getrennten Ebenen (vgl . auch nachfolgende Beschreibung zur Figur 1) . In einer ersten Ebene werden die Steuerungsfunktionen berechnet. In einer zweiten Ebene wird das korrekte Arbeiten der Steuerfunktionen der ersten Ebene anhand von ausgewählten Ein- und Ausgangssignalen geprüft. In einer dritten Ebene ist eine Überprüfung der in der zweiten Ebene durchgeführten Überwachung im Rahmen einer

Ablaufkontrolle realisiert, die im Zusammenspiel mit einem Überwachungsmodul (Watch-Dog oder Sicherheitsrechner) die korrekte Abarbeitung der Überwachungsschritte überprüft. Dazu stellt das Überwachungsmodul eine aus vorbestimmten Fragen ausgewählte Frage, die durch Bildung einer aus

Teilantworten der Programme der zweiten Ebene beantwortet und dem Überwachungsmodul zur Fehlererkennung zurückgeschickt wird. Im bevorzugten Ausführungsbeispiel überwacht die zweite Ebene die Lufteinstellung der Brennkraftmaschine und schaltet im Fehlerfall diese

Lufteinstellung ab bzw. leitet einen Notlauf ein. Das Überwachungsmodul greift in diesem Ausführungsbeispiel sowohl auf die Endstufe für den die Luftzufuhr steuernden Steller als auch auf die Endstufen für Kraftstoffzumessung und Zündung ein. Maßnahmen zur Überprüfung der im Rahmen der Funktionsüberwachung in der zweiten Ebene durchgeführten Berechnungen neben der Kontrolle des Programmablaufes werden bei der bekannten Lösung nicht beschrieben.

Es ist Aufgabe der Erfindung, Maßnahmen zur Überprüfung der im Rahmen der Funktionsüberwachung anzugeben.

Dies wird durch die Merkmale der unabhängigen Patentansprüche erreicht.

Vorteile der Erfindung

Die erfindungsgemäße Lösung erlaubt die Erkennung von Fehlern des Mikrocomputers, die sich gleichartig sowohl auf die Berechnung der Steuerungsfunktionen als auch auf die Berechnung der Überwachungsfunktionen auswirken. Daher werden in vorteilhafter Weise auch schlafende Fehler erkannt, beispielsweise eine quantitative nicht richtig rechnende Überwachungsfunktion.

Dabei ist besonders vorteilhaft, daß im Rahmen der erfindungsgemäßen Lösung nicht Operationen verwendet werden, die getrennt von den zu überwachenden Programmen vorliegen, sondern der zu überwachende Programmcode. Damit erlaubt die erfindungsgemäße Lösung eine nahezu hundertprozentige

Überprüfung der Funktionsüberwachung einer Steuerung für eine Antriebseinheit.

Besonders vorteilhaft ist, daß bei geeigneter Wahl der Testdatensätze in allen relevanten Wertebereichen repräsentative Tests durchgeführt werden können. Somit wird eine bitgenaue Überprüfung einer Überwachungsfunktion einer Leistungssteuerung einer Antriebseinheit geschaffen.

Weitere Vorteile ergeben sich aus der nachfolgenden Beschreibung von Ausführungsbeispielen bzw. aus den abhängigen Patentansprüchen.

Zeichnung

Die Erfindung wird nachstehend anhand der in der Zeichnung dargestellten Ausfuhrungsformen näher erläutert. Dabei zeigt Figur 1 ein Strukturbild einer Steuereinrichtung für eine Antriebseinheit, während in den Figuren 2 und 3 anhand von Flußdiagrammen ein erstes Ausführungsbeispiel der erfindungsgemäßen Lösung dargestellt ist. Figur 4 zeigt Signalverläufe für dieses Ausführungsbeispiel. In den Figuren 5, 6 und 7 ist ein zweites Ausführungsbeispiel der erfindungsgemäßen Lösung als Blockschaltbild bzw. als Flußdiagramme dargestellt.

Beschreibung von Ausführungsbeispielen

In Figur 1 ist eine Steuereinheit 10 zur Steuerung einer Antriebseinheit eines Fahrzeugs, vorzugsweise einer Brennkraftmaschine, dargestellt. Die Steuereinheit 10 umfaßt unter anderem eine Eingangsschaltung 12, der Eingangsleitungen 14 und 16 von Meßeinrichtungen 18 und 20 zugeführt sind. In der Eingangsschaltung 12 werden die Eingangssignale der Steuereinheit aufbereitet und einem Mikrocomputer 22 zugeführt. Im bevorzugten Ausführungsbeispiel einer Leistungssteuerung handelt es sich bei den Meßeinrichtungen 18 und 20 um zwei Meßeinrichtungen zur

Erfassung des Betätigungsgrades eines vom Fahrer betätigbaren Bedienelements, beispielsweise eines Fahrpedals. Die beiden Meßeinrichtungen können dabei redundant aufgebaut sein oder in einem anderen Ausführungsbeispiel als kontinuierliche Meßeinrichtung (zum Beispiel Potentiometer) und diskontinuierliche Meßeinrichtung (zum Beispiel Schalter) ausgeführt sein. Deren über die Leitungen 14 und 16 zugeführten Meßsignale werden in der Eingangsschaltung 12 getrennt voneinander aufbereitet und vorzugsweise auf getrennten Wegen 24 und 26, beispielsweise über zwei Eingangsports oder zwei A/D-

Kanäle, dem Mikrocomputer 22 zugeführt. Neben diesen Meßsignalen werden der Steuereinheit bzw. dem Mikrocomputer weitere Meßgrößen der Antriebseinheit und/oder des Fahrzeugs zugeführt, z.B. Motordrehzahl, Stellung eines Leistungsstellelements, etc., was aus Übersichtlichkeitsgründen in Figur 1 nicht dargestellt ist. Der Mikrocomputer 22 ist bezüglich seiner Programmstruktur im wesentlichen in drei Ebenen aufgeteilt. In einer ersten Ebene 28 sind die Programme 30 zur Durchführung der Steuerung für die Antriebseinheit zusammengefaßt. Im bevorzugten Ausführungsbeispiel handelt es sich dabei um Programme, die auf der Basis des Betätigungsgrades des Bedienelements (zugeführt über Verbindungen 44 und 46) und weiterer Betriebsgrößen das

Drehmoment der Antriebseinheit einstellen, in bevorzugten Ausführungsbeispiel einer Brennkraftmaschine die Luftzufuhr über eine elektrisch betätigbare Drosselklappe, die Kraftstoffzumessung und den Zündzeitpunkt berechnen. Entsprechend weist der Mikrocomputer 22 Ausgangsleitungen 32 und 34 auf, die auf Endstufen 36 und 38 führen, die wiederum über entsprechende Ausgangsleitungen 40 und 42 Zündzeitpunkt, Kraftstoffzumessung und Luftzufuhr einstellen. In einer zweiten Ebene 48 sind die Programme 50 zusammengefaßt, die zur Funktionsüberwachung der Steuerfunktionen 30 dienen. Dabei werden in einem bevorzugten Ausführungsbeispiel ein vom Fahrerwunsch abgeleitetes zulässiges Moment der Antriebseinheit mit dem eingestellten Moment verglichen und bei Überschreiten ein Fehlerzustand erkennt. Im bevorzugten Ausführungsbeispiel der Steuerung einer Brennkraftmaschine können auch

Plausibilitätsüberprüfungen bezüglich des Betätigungsgrades des Bedienelements und der Einstellung der Drosselklappe oder entsprechender Werte für die Motorlast durchgeführt werden. Der Ebene 2, dort den Programmen 50 für die Funktionsüberwachung, werden demnach zum einen die Eingangssignale bezüglich des

Betätigungsgrades des Bedienelements zugeführt (Verbindungen 52 und 54) , zum anderen Berechnungsergebnisse der Programme 30 für die Steuerfunktionen (Verbindungen 56 und 58) . In einem anderen Ausführungsbeispiel werden zusätzlich oder alternativ zu den Berechnungsergebnisse Meßgrößen für die Motorlast, die

Drosselklappenstellung und/oder des Drehmoments zugeführt. Über die Ausgangsleitung 60 des Mikrocomputers 22 nimmt die Funktionsüberwachung 50 im bevorzugten Ausführungsbeispiel Einfluß auf die Endstufe 38 zur Steuerung der Drosselklappe. Neben der ersten und zweiten Ebene weist die Programmstruktur des Mikrocomputers 22 eine dritte Ebene 62 auf, in denen die Programme 64 zur Ablaufkontrolle der Funktionsüberwachung 50

zusammengefaßt sind. Die Programme 64 kommunizieren dabei über Verbindungsleitungen 66 und 68 mit einem Überwachungsmodul 70 eines vom Mikrocomputer getrennten Watch-Dogs bzw. Sicherheitsrechners 72. Über die Verbindungsleitung 66 wählt das Überwachungsmodul 70 in den Programmen 64 zur

Ablaufkontrolle vorbestimmte Sequenzen aus. Diese bestehen im wesentlichen darin, daß die Ablaufkontrolle 64 in der Funktionsüberwachung 50 die Durchführung einer Rechenoperation (Antwort) auf der Basis von Teilantworten, die nach ausgewählten Programmschritten gebildet werden, auslöst (über Verbindung 74) , deren Ergebnis von der Ablaufkontrolle 64 wieder zugeführt wird (über Verbindung 76) . Das Ergebnis bzw. eine aus diesem abgeleitete Größe leitet die Ablaufkontrolle 64 über die Verbindung 68 zum Überwachungsmodul 70 weiter, welches die Antwort mit seiner über die Leitung 66 abgegebenen Frage vergleicht. Im Fehlerfall nimmt das Überwachungsmodul 70 über die Ausgangsleitung 68 Einfluß auf die Endstufen 36 und 38.

Im bevorzugten Ausführungsbeispiel wird aus dem Betätigungsgrad des Bedienelements ein Sollwert für das Drehmoment der

Antriebseinheit abgeleitet. Das tatsächliche Drehmoment wird diesem Sollwert durch Einstellen der Luftzufuhr, der Kraftstoffzumessung und des Zündwinkels angenähert.

Erfindungsgemäß ist zur erweiterten Überwachung der Funktion des Mikrocomputer, zumindest im kritischen Fall des losgelassenen Bedienelements (Leerlauf) , in einem ersten Ausführungsbeispiel folgendes vorgesehen: Das Überwachungsmodul 70 setzt zyklisch (z.B. alle 200 msec) zumindest in vorbestimmten Betriebszuständen, wenn z.B. das Bedienelement losgelassen ist, stationär gehalten wird, der Betätigungsgrad sich in einem vorgegebenen Wertebereich befindet und/oder nach Ablauf einer

vorbestimmten Betriebsdauer oder Anzahl von Betriebszyklen eine Reizinformation über die serielle Schnittstelle oder ein Port¬ pin an den Mikrocomputer 22. Dieser reagiert auf dieseε Reizsignal, indem er zumindest für Teile der Überwachungsfunktion (vorzugsweise für die Istmomentenberechnung oder für die Berechnung des zulässigen Moments) nicht die in den Speicherzellen abgelegten, der Überwachungsfunktion zugrunde liegenden Größen (z.B. tatsächlichen momentenbestimmenden Größen wie Lastsignal und eingestellter Zündwinkel oder Betätigungsgrad) zugrundeliegt, sondern Testsignale, die im entsprechenden Betriebszustand die Überwachungsfunktion verletzen (z.B. ein hohes Istmoment zur Folge haben oder ein niedriges zulässiges Moment) . Wenn die Programme der Ebene 2 richtig funktionieren, muß in diesem Fall ein Fehler erkannt werden. Der in der Ebene 2 vorhandene Fehlerzähler wird demnach hochlaufen. Bei einem gewissen Stand des Fehlerzählers erwartet das Überwachungsmodul eine spezielle Reaktion des Mikrocomputers 22, beispielsweise die Übermittlung eines Fehler- oder Reset- Signals. Empfängt das Überwachungsmodul 70 ein derartiges Signal, so wird das Reizsignal zurückgenommen und eine funktionstüchtige zweite Ebene erkannt. Wird das entsprechende Signal innerhalb einer vorgegebenen Zeitspanne (Hochlaufzeit des Zählers) nicht erkannt, so ist entweder eines der Programme der Ebene 2 fehlerbehaftet oder eine Funktion aktiv, in der der Fahrer das Pedal nicht betätigt (z.B.

Fahrgeschwindigkeitsregler, Schleppmomentenregler) und die das Motormoment über den Fahrerwunsch hinaus erhöhen (zumindest dann, wenn durch die Testsignale das Istmoment beeinflußt wird) . Um dies zu prüfen, hält das Überwachungsmodul 70 das Reizsignal aufrecht. Der Mikrocomputer 22 rechnet nun im Rahmen seiner

Funktionsüberwachung die Momentenüberwachung auf der Basis des Fahrerwunsches Leerlauf und nicht wie für den erhöhenden

Eingriff vorgesehen mit anderen zulässigen Momenten. In diesem Fall muß der Fehlerzähler auf jeden Fall hochlaufen, so daß das entsprechende Reaktionssignal des Mikrocomputers 22 ausgelöst wird. Wird ein solches Signal vom Überwachungsmodul 70 nicht empfangen, so wird auf einen Fehler im Bereich der

Funktionsüberwachung erkannt und die entsprechenden Abschalt- bzw. Notlaufmaßnahmen über die Ausgangsleitung 78 eingeleitet.

Ein erstes Ausführungsbeispiel der erfindungsgemäßen Lösung ist in den Figuren 2 und 3 anhand von Flußdiagrammen dargestellt. Diese skizzieren die Realisierung der Lösung als Programme im Überwachungsmodul und der Funktionsüberwachung.

Das in Figur 2 dargestellte Flußdiagramm stellt ein Programm des Überwachungsmoduls 70 dar. Dieses wird bei Vorliegen einer der oben genannten Betriebssituationen in vorgegebenen Zeitintervallen (z.B. alle 200 msec) durchlaufen. Im ersten Schritt 100 wird das Reizsignal an den Mikrocomputer 22 (FR = Funktionsrechner) ausgegeben. Das Reizsignal wird dabei beispielsweise durch eine Pegeländerung, durch ein Signal mit vorgegebenem Tastverhältnis oder vorgegebener Spannungshöhe auf einer Eingangsleitung des Mikrocomputers 22 realisiert. Im darauffolgenden Schritt 102 wird überprüft, ob nach Ablauf einer vorbestimmten Zeitspanne, während der Fehlerzähler sicher seinen Maximalwert erreicht hat, das entsprechende Reaktionssignal vom Mikrocomputer 22 erkannt wurde. Ist dies der Fall, so wird gemäß Schritt 104 der Test als abgeschlossen betrachtet und der Programmteil beendet. Er wird bei Vorliegen der nächsten vorgegebenen Betriebssituation wieder eingeleitet.

In einem anderen vorteilhaften Ausführungsbeispiel wird anstelle des Reaktionssignals des Mikrocomputers 22 der aktuelle

Fehlerzählerstand an das Überwachungsmodul 70 übertragen. Dieses erkannt dann anhand des zeitlichen Verlaufs des Fehlerzählers bzw. am Überschreiten des Grenzwerts die korrekte Funktion bzw. ein fehlerbehaftetes Arbeiten des Mikrocomputers 22.

Erkennt das Überwachungsmodul nicht das aufgrund des Reizsignals zu erwartende Arbeiten des Mikrocomputers im Schritt 102, so wird gemäß Schritt 106 die Ausgabe des Reizsignals beibehalten. Daraufhin wird gemäß Schritt 108 erneut überprüft, ob die Reaktion vom Mikrocomputer 22 bzw. das erwartete Verhalten des

Fehlerzählers des Mikrocomputers 22 vorliegt. Ist dies der Fall, so wird gemäß Schritt 110 der Test als abgeschlossen betrachtet und das Programm beendet, während im gegenteiligen Fall gemäß Schritt 112 von einem Fehler im Bereich der Funktionsüberwachung des Mikrocomputers 22 ausgegangen wird und entsprechende Fehlerreaktionen vom Überwachungsmodul eingeleitet. Diese bestehen im wesentlichen in einer Abschaltung der Endstufen für die Kraftstoffzumessung, den Zündwinkel und die Luftzufuhr oder in einem Notlauf, der eine eingeschränkte insbesondere leistungsbegrenzte Steuerung der Antriebseinheit zur Folge hat. Nach Schritt 112 wird das Programm beendet.

In Figur 3 ist das entsprechende Programm der Ebene 2, der Funktionsüberwachung des Mikrocomputers 22 dargestellt. Dieses wird in vorgegebenen Zeitintervallen (z.B. einige Millisekunden) eingeleitet. Nach Start des Programmteils werden im ersten Schritt 200 der Betätigungsgrad des Bedienelements ß sowie die Motordrehzahl N _mot eingelesen und gemäß Schritt 202 auf der Basis eines vorgegebenen Kennfeldes, einer vorgegebenen Tabelle oder vorgegebener Berechnungsschritte aus Betätigungsgrad ß und Motordrehzahl N _mot ein zulässige Motormoment MIZUL bestimmt. Dieses zulässige Moment ist dabei derart bemessen, daß es im

fehlerfreien Betrieb des Mikrocomputers unter Berücksichtigung aller Toleranzen von tatsächlichen Moment der Antriebseinheit nicht überschritten wird. Daraufhin wird im Schritt 204 überprüft, ob vom Überwachungsmodul ein Reizsignal vorliegt, ist dies nicht der Fall, wird mit den Schritten 206 und 208 die

Funktionsüberwachung eingeleitet. Dazu wird das Lastsignal TL (z.B. aus Luftmasse und Motordrehzahl gebildet) und der eingestellte Zündwinkel ZW eingelesen (Schritt 206) und auf der Basis dieser beiden Größen sowie der Motordrehzahl nach Maßgabe eines vorbestimmten Kennfeldes, einer vorbeεtimmten Tabelle oder vorbestimmter Berechnungsschritte das von der Brennkraftmaschine abgegebene Moment MI _Ist bestimmt. Im darauffolgenden Abfrageschritt 210 wird überprüft, ob gerade ein gegenüber dem vom Fahrer vorgegebenen Sollmoment momentenerhöhender Eingriff beispielsweise durch einen Fahrgeschwindigkeitsregler (FGR) oder einen Motorschleppmomentenregler (MSR) aktiv ist. Ist dies der Fall, wird gemäß Schritt 212 das zulässige Moment MIZUL auf einen für diese Betriebszustände vorbestimmten Maximalwert Mi _max , der z.B. drehzahl- oder geschwindigkeitsabhängig ist, gesetzt. Nach Schritt 212 wird wie im Falle einer „NEIN"-Antwort im

Schritt 210 nach Schritt 214 ein Vergleich zwischen Istmoment MI _Ist und zulässigem Moment MIZUL durchgeführt. Ist das berechnete Istmoment größer als das berechnete zulässige Moment, wird gemäß Schritt 216 der Fehlerzähler F inkrementiert, im gegenteiligen Fall gemäß Schritt 218 dekrementiert. Im darauffolgenden Abfrageschritt 220 wird überprüft, ob der Fehlerzähler seinen Maximalwert erreicht hat. Ist dies der Fall, wird gemäß Schritt 222 ein entsprechendes Signal an das Überwachungsmodul 70 (Sicherheitsrechner SR) abgegeben und das Programm wie im Falle einer „NEIN"-Antwort im Schritt 220 beendet.

Ergab Schritt 204, daß ein Reizsignal vorliegt, wird ein in diesem Teil des Programms mitlaufender Zähler i gemäß Schritt 224 inkrementiert. Daraufhin werden im Schritt 226 ausgewählte Testsignale für die Motorlast TLT und den Zündwinkel ZWT vorgegeben und gemäß Schritt 228 entsprechend Schritt 208 ein Istmoment bestimmt. Im darauffolgenden Abfrageschritt 230 wird der Zähler i mit einem Maximalwert i _max verglichen. Ist dieser Maximalwert nicht erreicht, wird mit Schritt 210 fortgefahren, im anderen Fall direkt in Schritt 214 gesprungen. Der Zähler i stellt dabei sicher, daß bei weiterhin vorhandenem Reizsignal und aktivem Fahrgeschwindigkeitsregler oder aktivem Schleppmomentenregler die gewünschte Testsituation erzeugt wird. Der Maximalwert i _max ist dabei mit Blick auf die Zeitspanne bemessen, die der Fehlerzähler zum Erreichen seines Maximalwerts benötigt (z.B. 2-3 Programmdurchläufe) . Überschreitet das Istmoment das zulässige Moment und läuft der Fehlerzähler ordnungsgemäß hoch, so wird gemäß Schritt 222 bei korrekt funktionierender Überwachungsfunktion das Reaktionssignal an das Überwachungsmodul abgegeben.

In einem anderen vorteilhaften Ausführungsbeispiel wird zumindest bei einer Testsituation der Fehlerzählerstand übermittelt.

In Figur 4 ist die erfindungsgemäße Lösung anhand von

Zeitdiagrammen dargestellt. Dabei zeigt Figur 4a den Zeitverlauf des Reizsignals, Figur 4b den des Ist- und des zulässigen Moments, Figur 4c den des Fehlerzählers, Figur 4d den Eingriff eines Fahrgeschwindigkeits- oder Schleppmomentenreglers und Figur 4e den Zeitverlauf des Rückmeldesignals des Mikrocomputers 22 an das Überwachungsmodul 70.

Zu einem ersten Zeitpunkt TO empfängt der Mikrocomputer 22 das vom Überwachungsmodul ausgesetzte Reizsignal (vgl. Figur 4a) . Das daraufhin nach Testdaten ermittelte Istmoment (Figur 4b, durchgezogene Linie) überschreitet unmittelbar danach das auf der Basis des Betätigungsgrades berechnete zulässige Moment (Figur 4b, strichlierte Linie) . Entsprechend läuft der Fehlerzähler hoch, bis zum Zeitpunkt Tl der Maximalfehlerstand F _max erreicht ist (vgl. Figur 4c) . Dies führt zur Ausgabe eines entsprechenden Fehlersignals gemäß Figur 4e an das Überwachungsmodul, zum Rücksetzen des Reizsignals und zur

Beendigung der Testsituation (vgl. Figur 4a, 4b) . In diesem Beispiel arbeitete die Überwachung korrekt. Nach dem Zeitpunkt Tl wird der Fehlerzähler wieder dekrementiert.

Zu einem weiteren Zeitpunkt T2 wird ein

Fahrgeschwindigkeitsregler aktiviert (Figur 4d) . In dieser Betriebssituation wird das zulässige Moment erhöht (vgl. Figur 4b) . Zum Zeitpunkt T3 setzt das Überwachungsmodul ein Reizsignal an den Mikrocomputer 22 ab. Dies führt entsprechend Figur 4b zur Berechnung des Istmoments nach Testdaten. In diesem Fall überschreitet das Istmoment nach Testdaten das zulässige Moment nicht. Dies bedeutet, daß zum Zeitpunkt T4 das Reizsignal beibehalten wird und das zulässige Moment so bestimmt wird, als wäre der Fahrgeschwindigkeitsregler nicht im Eingriff. Dadurch überschreitet bei funktionierender Überwachung das Istmoment wie in der vorhergehenden Situation das zulässige Moment (vgl. Figur 4b) , so daß ab dem Zeitpunkt T4 bis zum Zeitpunkt T5 der Fehlerzähler inkrementiert wird. Das Erreichen des maximalen Fehlerzählerstandes führt zum Zeitpunkt T5 zur Ausgabe des Fehlersignals an das Überwachungsmodul, so daß auch hier die korrekte Funktionsweise der Überwachung nachgewiesen ist. Ab dem

Zeitpunkt T5 wird der Fehlerzähler gemäß Figur 4c wieder dekrementiert.

Ein zweites Ausführungsbeispiel der erfindungsgemäßen Lösung wird anhand der Figuren 5 bis 7 dargestellt. Auch dieses Ausführungsbeispiel dient zur Überprüfung, ob die Überwachungsaufgaben eines Mikrocomputers ordnungsgemäß und zuverlässig durchgeführt werden und wird insbesondere bei Steuersystemen eingesetzt, in der die Steuerungsfunktionen und die Überwachungsfunktionen auf demselben Mikrocomputer implementiert sind. Durch die Übertragung des Fehlerzählers bzw. eines daraus abgeleiteten Signals gemäß dem ersten Ausführungsbeispiel wird zwar eine direkte Überprüfung der Überwachungsfunktion gewährleistet, eine bitgenaue Überprüfung der Überwachungsfunktion findet jedoch nicht statt. Vielmehr wird eine Art Schwellwertüberwachung durchgeführt. Zur bitgenauen Überprüfung der Berechnungen im Rahmen der Überwachung der Ebene 2 wird daher gemäß dem zweiten Ausführungsbeispiel die Überwachungsfunktion der Ebene 2 zumindest in vorbestimmten Betriebssituationen abwechselnd mit realen Daten und mit Testdaten gerechnet. Vorzugsweise wird bei der Berechnung mit Testdaten das Originalprogramm der Ebene 2 mit veränderten Daten verwendet. In einem anderen vorteilhaften Ausführungsbeispiel wird eine Kopie des Programms verwendet.

Bei der Berechnung der Überwachung mit realen Daten wird aus den tatsächlichen Werten von Pedalstellung und Motordrehzahl ein zulässiges Motormoment ermittelt, aus den Werten für Füllung, Drehzahl und Zündwinkel ein Istmoment. Durch Differenzbildung wird eine Plausibilitätsverletzung geprüft. Im Falle einer Verletzung, vorzugsweise im Falle eines im Vergleich zum zulässigen Motormoment zu großen Istmoments, läuft ein

Fehlerzähler los. Auf diese Berechnung folgend gibt das Überwachungsmodul ein Testsignal aus, worauf diese Berechnung nicht mit realen, sondern mit Testdaten (für Motordrehzahl, Pedalstellung, Füllung und Zündwinkel) erfolgt. Diese Testdaten sind entweder im Überwachungsmodul abgelegt und werden über eine Schnittstelle dem Mikrocomputer 22 übermittelt oder sind im Mikrocomputer 22 als verschiedene Testdatensätze gespeichert, die das Überwachungsmodul über einen übermittelten Index auswählt. Zu einem festen Testdatensatz gibt es nur eine einzige richtige Lösung für die Differenz zwischen zulässigem Moment und Istmoment. Diese zu jedem Testdatensatz gehörende richtige Lösung ist dem Überwachungsmodul bekannt. Der Mikrocomputer 22 übermittelt diese Differenz dem Überwachungsmodul, das die Korrektheit des Ergebnisses prüft. Dabei werden die Testdatensätze so gewählt, daß sowohl plausible Ergebnisse als auch unplausible Ergebnisse ermittelt werden. Daher kann auch geprüft werden, ob die Überwachungsebene noch in der Lage ist, plausible Zustände von unplausiblen zu unterscheiden.

Dieses zweite Ausführungsbeispiel ist in Figur 5 anhand eines Blockschaltbilds dargestellt, welches symbolisch die Programmstruktur in der Ebene 2 des Mikrocomputers 22 darstellt. Der Überwachungsfunktion werden über die Verbindungen 300 die Motordrehzahl N _mot , 302 die Pedalstellung ß, 304 die Füllung TL und 306 der eingestellte Zündwinkel ZW zugeführt. Diese Signale werden jeweils über Schaltelemente 308, 310, 312 und 314 weitergeführt. Die Motordrehzahl wird dabei auf ein erstes Kennfeld 316 zur Bestimmung des zulässigen Motormoments, auf ein zweites Kennfeld 318 zur Bestimmung des optimalen Motormoments und auf ein Kennfeld 320 zur Bestimmung des optimalen

Zündwinkels geführt. Die Pedalstellung ß wird über ein Filter 322 zum ersten Kennfeld 316, die Füllung auf das zweite

Kennfeld 318 und das dritte Kennfeld 320 geführt. Der im Kennfeld 320 bestimmte optimale Zündwinkel (höchster Wirkungsgrad der Brennkraftmaschine) wird auf eine Additionsstufe 322 geführt, in der die Differenz zwischen dem optimalen Zündwinkel und dem tatsächlich eingestellten gebildet wird. Diese Differenz wird über eine Kennlinie 324 zu einer Multiplikationsstelle 326 geführt. Die Kennlinie 324 setzt die Abweichung des Zündwinkels in eine Abweichung des Moments vom optimalen Moment (höchster Wirkungsgrad) um. In der Multiplikationsstelle 326 wird das optimale Motormoment nach Maßgabe der Momentenkorrektur durch die Zündwinkelabweichung korrigiert. Ergebnis ist ein Maß für das Istmoment. Dieses wird einer Additionsstelle 328 zugeführt, der ferner vom Kennfeld 316 das zulässige Moment zugeführt wird. Durch Subtraktion des zulässigen Moments vom Istmoment wird die Momentendifferenz gebildet, die über die Verbindungsleitung 330 zum Überwachungsmodul geführt wird. Ferner wird die

Momentendifferenz auf einen Schwellwertschalter 332 geführt, der im Falle eines Überschreitens des zulässigen Moments durch das Istmoment den Fehlerzähler 334 inkrementiert. Im bevorzugten Ausführungsbeispiel wird der Fehlerzählerstand zumindest bei Erreichen seines Maximalwertes über die Verbindung 336 zum Überwachungsmodul übermittelt. Vom Überwachungsmodul wird eine Verbindung 338 zugeführt, welche die Schaltelemente 308 bis 314 von der Normalstellung in die strichliert dargestellte

Teststellung überführt. In dieser Stellung sind die Verbindungen für Motordrehzahl, Pedalstellung, Füllung und Zündwinkel mit Tabellen oder Speicher 340, 342, 344 und 346 verbunden, die verschiedene Testdatensätze enthalten. Diese werden in Abhängigkeit des über die Verbindung 348 vom Überwachungsmodul zugeführte Auswahlsignal ausgewählt.

Beispiele für die Realisierung der erfindungsgemäßen Lösung im Rahmen des zweiten Ausführungsbeispiels als Rechnerprogramme sind anhand der Flußdiagramme nach den Figuren 6 und 7 dargestellt. Dabei beschreibt Figur 6 ein im Überwachungsmodul ablaufendes Programm, während Figur 7 ein im Mikrocomputer 22 ablaufendes Programm beschreibt.

Das in Figur 6 dargestellte Programm des Überwachungsmoduls wird in vorgegebenen Zeitintervallen aufgerufen, wobei in einem vorteilhaften Ausführungsbeispiel der Programmteil nur in wenigstens einer der obengenannten, bestimmten Betriebssituationen aufgerufen wird. Im ersten Schritt 400 des dargestellten Programmteils wird das Testsignal gebildet und an den Mikrocomputer 22 ausgegeben und ein Testdatensatz bzw. ein einen Testdatensatz festlegender Index übertragen. Die Testdaten werden im bevorzugten Ausführungsbeispiel anhand des aktuellen Betriebszustandes (beschrieben durch Fahrpedalstellung und Motordrehzahl oder Füllung) , ausgelesen und abwechselnd als plausible und unplausible Kombination ausgewählt. Im Rahmen der Realisierung der erfindungsgemäßen Lösung werden bezüglich der Einleitung des Test, der Auswahl und Vorgabe der Testdaten auch andere Strategien eingesetzt (z.B. nur plausible Daten, nur unplausible Daten) . Im darauffolgenden Schritt 102 wird dann die vom Mikrocomputer 22 errechnete Momentendifferenz MI _D i _ff sowie ggf- der Fehlerzählerstand eingelesen und im Schritt 404 anhand gespeicherter Differenzenwerte überprüft, ob das errechnete Ergebnis korrekt ist. Ist das Ergebnis korrekt, wird das Programm mit anderen Testdaten erneut gestartet. Stimmt das Ergebnis nicht überein, wird gemäß Schritt 406 ein Fehlerzustand erkannt und der Programmteil beendet. Je nach gewählter

Strategie kann bei bereits einmalig erkanntem oder erst bei mehrmalig erkanntem Fehler die entsprechenden Reaktionen

(Abschalten der Endstufen) durchgeführt werden. In anderen vorteilhaften Ausführungsbeispielen läuft im Überwachungsmodul ein Fehlerzähler, wobei bei Erreichen dessen Maximalwertes Fehlermaßnahmen ergriffen werden. Bei Übertragen des Fehlerzählerstand überprüft das Überwachungsmodul den zeitlichen Verlauf des Zählerstandes und/oder das Erreichen des Maximalwerts.

Der in Figur 7 dargestellte Programmteil zeigt ein Programm, das im Mikrocomputer 22 in vorgegebenen Zeitintervallen gestartet wird. Nach Start des Programms werden im ersten Schritt 500 bei Vorliegen eines Testsignals die Testgrößen für die Pedalstellung, die Motordrehzahl, den Zündwinkel und die Füllung ausgewählt bzw. eingelesen. Liegt kein Testsignal vor, werden die gemessenen bzw. errechneten tatsächlichen Größen eingelesen. Im folgenden wird eine Situation geschildert, in der ein Testsignal vorliegt. Im Normalbetrieb läuft das Programm entsprechend ab, nur daß anstelle der Testdaten die tatsächlichen Betriebsgrößenwerte verwendet werden. Im Schritt 205 wird der Signalwert für die Pedalstellung einer vorgegebenen Filterung unterworfen. Daraufhin werden gemäß Schritt 504 auf der Basis der Testwerte für Pedalstellung und Motordrehzahl das zulässige Moment MIZUL und auf der Basis der Testgrößen für Füllung, Zündwinkel und Motordrehzahl das Istmoment MI _Ist bestimmt. Im darauffolgenden Schritt 506 wird das

Differenzmoment MI _D i _ff als Differenz des Istmoments und des zulässigen Moments gebildet und nach Schritt 508 an das

Überwachungsmodul ausgegeben. Im darauffolgenden Schritt 510 wird überprüft, ob das Differenzmoment größer 0 ist. Ist dies der Fall, wird der Fehlerzähler 512 um 1 erhöht, andernfalls dekrementiert (Schritt 514) . Daraufhin wird im Schritt 516 überprüft, ob der Fehlerzähler seinen Maximalwert erreicht hat,

wobei bei positiver Antwort gemäß Schritt 518 ein Fehler erkannt und gegebenenfalls ein entsprechendes Signal an das Überwachungsmodul ausgegeben wird. Hat der Fehlerzähler seinen Maximalwert noch nicht erreicht, wird das Programm beendet und zu vorgegebener Zeit erneut gestartet. Alternativ wird der aktuelle Fehlerzählerstand übertragen.

Besonders vorteilhaft ist eine Kombination des ersten und zweiten Ausführungsbeispiels. Dabei wird vom Mikrocomputer 22 dem Überwachungsmodul sowohl die Differenz zwischen den

Momentengrδßen als auch der Fehlerzähler übertragen. Auf der Basis dieser Größen überwacht das Überwachungsmodul sowohl die bitgenaue Berechnung der Momentendifferenz als auch die Funktionsweise der Fehlerermittlung, insbesondere die Unterscheidung zwischen plausiblen und unplausiblen Abweichungen des zulässigen vom berechneten Moment.

Die Steuerfunktion zur Momenteneinstellung läuft ungeachtet der Testphasen für die Funktionsüberwachung immer auf der Basis der tatsächlichen Werte ab, so daß durch den Test der Betrieb der Antriebseinheit nicht beeinträchtigt wird.

Die erfindungsgemäße Lösung wird in gleicher Weise unter Berücksichtigung der entsprechenden Betriebsgröße auch bei Dieselmotoren eingesetzt.

Die Überwachungsfunktion wird im geschilderten bevorzugten Ausführungsbeispiel auf der Basis des indizierten Moments, d.h. des von der Brennkraftmaschine in der durch Verbrennung erzeugten Drehmoments, beschrieben. In anderen

Ausführungsbeispielen wird der Überwachung und damit auch dem Test ein anderer Momentenwert (z.B. das abgegebene Moment), ein

Füllungs- oder Lastwert, ein Leistungswert oder Pedalstellung und Drosselklappenstellung zugrunde gelegt. Die erfindungsgemäße Lösung mit der Vorgabe von Testdatensätzen wird dann entsprechend durchgeführt.

Neben der Berechnung des zulässigen Moments auf der Basis der Fahrpedalstellung werden in den entsprechenden Betriebszuständen auch die Einstellung anderer Bedienelemente (z.B. eines Fahrgeschwindigkeitsreglers), Sollwerte externer Eingriffe, die einen Sollmomentenwert vorgeben (z.B. Fahrgeschwindigkeitsregler, Motorschleppmomentenregler, Antriebsschlupfregier, etc.) und/oder spezielle Betriebsgrößen (z.B. Fahrgeschwindigkeit, Schlupf, Drehzahl etc.) in diesen Betriebszuständen bei der Bestimmung des zulässigen Moments berücksichtigt und auf diese Weise die Überwachung und deren Überprüfung auch in diesen oder für diese Betriebszustände gewährleistet.

Wird die erfindungsgemäße Lösung bei Dieselmotoren eingesetzt, so ist anstelle von Füllung Kraftstoffmenge und anstelle von Zündung Spritzbeginn zu lesen.

Neben der Übermittlung der Differenz zwischen zulässigem und Istmoment und/oder des Fehlerzählerstandes werden in anderen Ausführungsbeispielen andere Zwischengrδßen, z.B. das zulässige Moment und das Istmoment, eine bewertete Differenz bei Überschreiten von Schwellwerten etc. übermittelt.