Die Erfindung betrifft ein redundantes Datenbussystem mit zwei Datenbussen, zwischen denen mindestens zwei fehlersiche¬ re Steuergeräte angekoppelt sind, wobei beide Datenbusse mit dem gleichen Datenbusprotokoll, bspw. ein synchrones CAN oder Flexray-Protokoll, bei im Wesentlichen der gleichen Übertra¬ gungsfrequenz arbeiten. Sicherheitsrelevante Steuernachrich¬ ten werden über beide Datenbusse parallel übertragen und in den Steuergeräten verarbeitet, wobei jedes der Steuergeräte eine eigene Steuerungsaufgabe erfüllt, die über eine zugeord¬ nete Steuerungssoftware abgearbeitet wird.

Es sind redundante Datenbussysteme bekannt, die üblicherweise bei sicherheitskritischen Anwendungen im Kraftfahrzeug oder in Verkehrsflugzeugen eingesetzt werden. Ein derartiges Da¬ tenbussystem ist in der Zeitschrift „Technische Rundschau" Nr. 18, 2001, auf den Seiten 42 bis 45 offenbart. Der Flex- Ray-Datenbus wurde zur elektrischen Ansteuerung der Lenkung, Bremse oder der Sicherheitssysteme entwickelt. Wegen der Si¬ cherheitsaspekte müssen die wichtigsten Systeme doppelt aus¬ geführt sein und an beiden Kanälen, d. h. an beiden separaten FlexRay-Datenbussträngen, angeschlossen sein. Weniger sicher¬ heitskritische Sensoren oder Aktuatoren können an einem Steu¬ ergerät angeschlossen sein, welches nur mit einem Datenbus- sträng verbunden ist. Das FlexRay-Datenbussystem weist zwei separate Datenbusleitungen auf, die Nachrichten im selben Da¬ tenprotokoll übertragen. Sicherheitskritische Steuergeräte hängen an beiden Datenbussen und können deswegen beide Nach- richtenströme auswerten und ggf. vergleichen. Unterscheiden sich die Nachrichten für ein Steuergerät, die jeweils von den unterschiedlichen Datenbussen eingehen, so kann ein Fehler erkannt werden. Nähere Informationen zu derartigen Fehlerer¬ kennungsverfahren sind jedoch nicht dargestellt.

Die US 5,694,542 zeigt ebenfalls ein redundantes Datenbussys¬ tem, wobei dort jedes Steuergerät gleichzeitig an beiden Da¬ tenbussträngen des Datenbussystems angeschlossen ist. Um si¬ cherzustellen, dass die angeschlossenen Steuergeräte funkti¬ onsfähig sind, wird in der Nachricht jedes Steuergeräts ein Membership-Feld vorgesehen, in dem im Fehlerfall die Informa¬ tion für die anderen Steuergeräte gespeichert wird, dass das Steuergerät ausgefallen ist.

Die Aufgabe der vorliegenden Erfindung besteht darin, die Entscheidungsstruktur im Datenbussystem derart weiterzubil¬ den, dass das Datenbussystem trotz eines fehlerhaften Steuer¬ geräts funktionsfähig bleibt .

Diese Aufgabe wird durch die Merkmale des unabhängigen An¬ spruchs 1 gelöst. Danach sind in jedem Steuergerät zwei von¬ einander unabhängig arbeitende Mikrorechner vorgesehen, die sowohl die Steuerungssoftware der ersten als auch der zweiten Steuerungsaufgabe aufweisen, so dass bei einem Ausfall eines Steuergerätes die Steuerungsaufgabe durch das andere Steuer¬ gerät mit übernommen werden kann. Eine Datenschnittstelle ist innerhalb des Steuergeräts zwischen den beiden Mikrorechnern angeordnet und über diese sind die aus den sicherheitsrele¬ vanten Steuernachrichten berechneten Ergebnisdaten austausch¬ bar und miteinander vergleichbar. Es ist ein Entscheidungs- mittel vorgesehen, das aufgrund des Vergleichs der Ergebnis¬ daten entscheidet, welcher Mikrorechner bzw. welches Steuer¬ gerät eine Steuerungsaufgabe durchführt. Erfindungsgemäß ist ein Datenbussystem mit Steuergeräten, beispielsweise zur Ansteuerung des Motors, des Getriebes und der Lenkung vorgesehen. Die Steuerdaten werden über das Da¬ tenbussystem in Form von elektronischen Nachrichten übertra¬ gen und ein Aktuator, beispielsweise ein Elektromotor, be¬ wirkt dann die eigentliche Lenkung der Räder. Es sind Steuer¬ geräte am Datenbussystem vorgesehen, die lediglich mit einem Datenbus verbunden sind, und solche, die als Dual-Rechner be¬ zeichnet werden und mit beiden Datenbussen des Datenbussys¬ tems in Verbindung stehen. Ein Datenbus ist in diesem Sinne ein einfacher LIN-, CAN-, oder FlexRay-Datenbus. Dabei kann jeder Datenbus jeweils zwei Datenbusleitungen aufweisen, wie dies beispielsweise beim CAN üblich ist. Bevorzugt wird ein zeitsynchrones Kommunikationsprotokoll auf den beiden Daten¬ bussen des DatenbusSystems eingesetzt. Für die einzelnen Nachrichten sind dann Zeitschlitze vorgesehen, wobei jeder Zeitschlitz einem Steuergerät oder einem Aktuator bzw. Sensor zugeordnet ist. Auf diese Weise ist gewährleistet, dass bei zyklisch wiederkehrenden Sendezeiten für jedes Steuergerät und bei Ausbleiben der vorgesehenen Nachricht festgestellt werden kann, dass das Steuergerät ausgefallen ist. Es können in dem zeitsynchronen Datenbusprotokoll noch ein oder mehrere Zeitschlitze vorgesehen sein, in dem auch ereignisgesteuerte Nachrichten gesendet werden können, d. h. hier werden zyk¬ lisch nicht wiederkehrende Nachrichten übertragen.

Das Datenbussystem ist redundant ausgelegt . Dazu sind zwei Datenbusse vom selben Typ vorgesehen, auf denen das gleiche Kommunikationsprotokoll abläuft. Die Nachrichten werden bei gleicher Frequenz und mit übereinstimmenden Zeitschlitz- Sequenzen versehen. Lediglich in dem Zeitschlitz für ereig¬ nisgesteuerte Nachrichten und in den Zeitschlitzen für Steu¬ ergeräte, die nur an einem der Datenbusse angekoppelt sind, unterscheiden sich beispielsweise die Nachrichtenprotokolle. Sensoren, Aktuatoren und Steuergeräte mit sicherheitsrelevan¬ ten Aufgaben sind als Duplex, d. h. mit an sich gleichen Hardwaremodulen doppelt ausgelegt. Die Sicherheitskomponenten mit doppelter Auslegung haben den Vorteil, dass die über die beiden Datenbusse eingehenden übereinstimmenden Nachrichten in jeder der Duplex-Hardwaremodule separat berechnet werden und die Ergebnisse verglichen werden. Bei Übereinstimmung kann von einer ordnungsgemäßen Funktion des DatenbusSystems ausgegangen werden. Unterscheiden sich die beiden berechneten Ergebnisse, so führt das Datenbussystem entsprechend einer vorgegebenen Fehlerroutine Berechnungen durch. Im Fehlerfall übernimmt dann ein anderes doppelt ausgelegtes Duplex- Steuergerät die Aufgabe oder bei weniger sicherheitskriti¬ schen Fehlern kann auch nur einer der beiden Mikrorechner des Duplex-Steuergeräts die Aufgabe übernehmen, soweit eine Plau- sibilitätsprüfung vorher durchgeführt wurde.

Die doppelt ausgelegten Steuergeräte sind direkt oder über den Datenbus mit Aktuatoren verbunden, die gesteuert werden müssen. Dazu können die Steuergeräte verschiedene Funktions- level einnehmen. Dazu gehören Funktionen für die Eingabeebene (Command-Level) mit Interaktionen über ein Human Machine In¬ terface, beispielsweise über ein an den Datenbus angeschlos¬ senen Laptop zur Eingabe von neuen Steuerbefehlen. In einem anderen FunktionsIevel arbeiten die Steuergeräte als Embeded System, ohne separaten Kommunikationszugang über ein Human Machine Interface, wobei lediglich Steuerinformationen über den Datenbus an die Steuergeräte übermittelt werden. Die dop¬ pelt ausgelegten Steuergeräte sind über das Datenbussystem mit den jeweiligen sicherheitsrelevanten Antriebsaggregaten, wie Motor-, Getriebe- oder Lenksystemen verbunden. Die Software-Architektur der doppelt ausgelegten Steuergeräte trennt Regelungsfunktionen von Kommunikationsfunktionen durch klar definierte Schnittstellen. Im Command-Level werden Be¬ dienfunktionen für die Eingabeeinheit bereitgestellt. Dazu gehören Kommandos wie Fahrer überwachen, Fahrer informieren, Fahrer warnen und der aktive Eingriff in einzelne Systemfunk¬ tionen. Assistenzsysteme übernehmen die Datenaufnahme zur Er¬ stellung einer Umgebungsrepräsentation für die Steuergeräte. Dazu besitzen die Assistenzsysteme zunächst einfache oder auch doppelt ausgelegte Sensoren, die fehlersicherer sind. Aus der Umgebungsrepräsentation, d. h. Fahrdaten, Straßenda¬ ten und Eingabedaten durch den Fahrer, berechnen die doppelt ausgelegten Steuergeräte die Reaktion des Antriebsstrangs in¬ nerhalb dessen momentan zur Verfügung stehenden Leistungsbe¬ reichs.

Bei einer vorteilhaften Weiterbildung der Erfindung ist ein bzgl . der Steuerungsaufgabe wirkendes Master-Steuergerät vor¬ gesehen, welches bei einem fehlerfreien Ablauf der Steue¬ rungsaufgabe ausführt und wobei das Entscheidungsmittel die Steuerungsaufgabe im Fehlerfall auf das andere Steuergerät überträgt. Das Datenbussystem weist bzgl. einer Steuerungs¬ aufgabe zwei voneinander unabhängige Steuergeräte mit jeweils zwei voneinander unabhängig arbeitenden Mikrorechnern auf. Die Arbeitsspeicher der vier Mikrorechner weisen zu einer ersten und einer zweiten sicherheitsrelevanten Steuerungsauf¬ gabe jeweils die notwendige Software auf. Bei einem Ausfall eines Steuergeräts kann dann die Steuerungsaufgabe durch das andere Steuergerät mit übernommen werden. Innerhalb jedes Steuergeräts sind zwei Mikrorechner vorhanden, mit einer zwi¬ schen die beiden Mikrorechner geschalteten Datenschnittstel¬ le, über die die aus den sicherheitsrelevanten Steuernach¬ richten berechneten Ergebnisdaten austauschbar und miteinan¬ der vergleichbar sind. Ein Entscheidungsmittel entscheidet dann aufgrund des Vergleichs der Ergebnisdaten, welcher Mik¬ rorechner bzw. welches Steuergerät eine Steuerungsaufgabe durchführt .

Das Datenbussystem ist auf diese Weise mehrfach redundant . Bezogen auf eine Steuerungsaufgäbe sind immer ein Master- Steuergerät und ein untergeordnetes Steuergerät mit der not¬ wendigen Steuerungssoftware versehen. Bei ordnungsgemäßem Be¬ trieb des Datenbussystems übernimmt der Master die Steue¬ rungsaufgabe beispielsweise für den Motor. Die Nachrichten und Daten der Motorsensoren werden über beide Datenbusse je¬ weils in den dafür vorgesehenen Zeitschlitzen zum Master- Steuergerät übertragen. Die Steuerdaten werden innerhalb des Master-Steuergeräts jeweils unabhängig auf den beiden Mikro¬ rechnern berechnet. Bei gleichlautenden Ergebnisdaten wird dann ein ordnungsgemäßer Betrieb des Motorsteuergeräts fest¬ gestellt und einer der Mikrorechner oder auch beide Mikro¬ rechner berechnen neue Steuersignale und diese werden über die beiden Datenbusse zurück an die Aktuatoren im Motor, bei¬ spielsweise die Zündung, Einspritzmittel usw. , zurück über¬ tragen. Unterscheiden sich jedoch die beiden berechneten Er¬ gebnisdaten im Master-Steuergerät, so beauftragt das Ent¬ scheidungsmittel entweder über den Datenbus oder eine separa¬ te Datenleitung das untergeordnete Steuergerät mit der Be¬ rechnung der Steuerungsaufgaben für den Motor. Das unterge¬ ordnete Steuergerät hat dazu die Motorsteuerdaten auf dem Da¬ tenbus auch zuvor schon empfangen und gespeichert, so dass nun die Berechnung der Steuerungsdaten ohne Zeitverzug anlau¬ fen kann. Auf diese Weise ist gewährleistet, dass bei sicher¬ heitskritischen Anwendungen im Verkehrsmittel die Steuerung und Kommunikation auf dem Datenbussystem auch bei auftreten¬ den Fehlern ohne Zeitverzug weitergeführt werden kann. Da¬ durch entsteht ein fehlersicheres Datenbussystem bezogen auf die dafür vorgesehenen Steuerungsaufgaben, beispielsweise des Motors, des Getriebes oder der elektrischen Lenksysteme.

Die sicherheitskritischen doppelt ausgelegten Steuergeräte beinhalten ein zentrales Datenmanagement, durch welches die Systemeigenschaften des gesamten Fahrzeugs zu jedem Zeitpunkt bekannt sind. Hierbei wird das System durch ein spezielles Redundanz-Management unterstützt, welches im Entscheidungs- tnittel abgelegt ist . Dadurch können die Steuergeräte durch die zentrale Datenverwaltung einfach konfiguriert und gewar¬ tet werden. Sicherheitsabfragen zum Datenbussystem werden in¬ nerhalb eines der doppelt ausgelegten Steuergeräte durchge¬ führt und aufgrund dieser Informationen können Plausibili- tätsberechnungen durchgeführt werden. Dadurch ist zu jedem Zeitpunkt bekannt, bei welchem der Steuergeräte ein Fehler aufgetreten ist und welches der Steuergeräte auf eines der untergeordneten Steuergeräte zur Fehlerbehebung umgeschaltet hat.

Die doppelt ausgelegten Steuergeräte können über ein geeigne¬ tes Wake-Up-Signal die angeschlossenen Subsysteme kontrol¬ liert aktivieren und deaktivieren. Das System kann permanent mit einigen oder allen Subsystemen des Masters, d. h. den Sensoren, Aktuatoren und untergeordneten Steuergeräten, agie¬ ren und deren Systemzustand erkennen. Hierdurch können Fehler im Datenbussystem erkannt und entsprechend überwunden werden. Das Wake-Up-Signal wird über das Entscheidungsmittel an die zugeordneten Sensoren, Aktuatoren oder untergeordneten Steu¬ ergeräte übertragen, um im Fehlerfall von einem defekten Sub¬ system auf ein anderes Subsystem umschalten zu können. Bevorzugt ist pro Steuerungsaufgabe und pro Mikrorechner ei¬ nes Master-Steuergeräts ein Sensor jeweils an einem der Da¬ tenbusse angekoppelt. Durch die doppelte Auslegung können ge¬ rade sicherheitskritische Sensoren besser auf deren Funktion überprüft werden. Im Fehlerfall kann dann auf einen Sensor umgeschaltet werden, der innerhalb des vorgesehenen Plausibi- litätsbereichs Daten liefert. Ist die Entscheidung, welcher Sensor ordnungsgemäß funktioniert nicht möglich, so wird ge¬ gebenenfalls auf ein untergeordnetes Steuergerät mit einem weiteren Sensor umgeschaltet. Dadurch lassen sich dann neue und unabhängige Berechnungen innerhalb kurzer Zeit durchfüh¬ ren, um bei sicherheitskritischen Anwendungen keinen System¬ ausfall zu erzeugen.

Bei einer Weiterbildung der Erfindung kann das redundante Da¬ tenbussystem zwei spezielle, voneinander unabhängige Daten¬ busse vorsehen. Jeder Datenbus weist dabei wieder zwei eigene Busleitungen auf, wobei auf diesen ein zeitgetriggertes Da¬ tenbusprotokoll abläuft. Auf diese Weise kommen dann Daten¬ busse zum Einsatz, wie diese auch heute schon im Verkehrsmit¬ tel verbaut sind. Beispielsweise ist der Zweileiter-CAN- Datenbus oder ein Zweileiter-FlexRay-Datenbus im Verkehrs¬ mittel so verlegt, dass ein erster Datenbus an der linken Seite des Verkehrsmittels und ein zweiter Datenbus mit den beiden Datenleitungen an der rechten Seite des Verkehrsmit¬ tels eingebaut ist. Andererseits kann auch ein Datenbus im Bereich des Fahrzeughimmels und der andere Datenbus im Be¬ reich der Bodengruppen verlegt sein und auf diese Weise als redundantes Datenbussystem dienen.

Bevorzugt weist jeder Mikrorechner die Steuerungssoftware al¬ ler sicherheitsrelevanten Steueraufgaben auf, so dass auf je¬ dem Steuergerät die Gesamtinformation aller sicherheits¬ relevanten Steuerungsaufgaben vorgesehen ist . Dadurch kann jedes Steuergerät im Fehlerfall auch als Vertreter für das jeweilige Master-Steuergerät bei jeder beliebigen Steuerungs¬ aufgabe auftreten. Bei der Konfiguration des Verkehrsmittels wird dann bestimmt, welche sicherheitsrelevanten Funktionen durch ein bestimmtes Steuergerät vertreten werden darf. Auf diese Weise sind in den sicherheitsrelevanten Steuergeräten bzgl . der Anwendungssoftware gleiche Softwaresysteme aufge¬ spielt.

Die Software auf den doppelt ausgelegten Steuergeräten ist zumindest für den Antriebsstrang als fehlertolerante Software programmiert und übernimmt die Steuerung bzw. Koordination der Funktionen der Motor- und Getriebeaggregate. Die Steuer¬ geräte sind in der Lage, Daten der verschiedenen Sensoren zu erfassen und zu einem einheitlichen Datensatz zu integrieren. Für diesen Datensatz ist das Format von vornherein vorgege¬ ben. Auf diese Weise werden die Daten im Datenbussystem ge¬ sammelt und zu jedem Zeitpunkt aktuell gehalten. Aufgrund dieses Datensatzes können dann die Steuergeräte erkennen, ob Fehler im System aufgetreten sind oder ob die Steuergeräte, Sensoren und Aktuatoren bei den sicherheitskritischen Aufga¬ ben ordnungsgemäß arbeiten.

Der Datensatz ist derart aufgebaut, dass eine Datenfusion bei den Daten der unterschiedlichen Sensoren erfolgen kann. Dazu kann eine Datenfusion bei den Assistenzsystemen, beispiels¬ weise den Kamera-Sensoren, den Radar- und GPS-Sensoren erfol¬ gen, oder es werden die Daten der unterschiedlichen Eingabe¬ schnittstellen im Datensatz abgespeichert, d. h. Daten vom Gaspedal, der Bremse und Lenkungseingaben werden erfasst. Das Datenmanagement der Steuergeräte übernimmt Koordinationsfunk¬ tionen der Einzelkomponenten untereinander. Beispielsweise Bremsen, Lenken und Motorfunktionen werden aufeinander abge¬ stimmt und in Bezug auf Fehler überprüft . Aufgrund des Daten¬ satzes lässt sich auch ein Energiemanagement durch die ganz¬ heitliche und zeitnahe Datenverfügbarkeit erstellen. Auf die¬ se Weise sind im Gesamtfahrzeug die Energieressourcen bekannt und es können beispielsweise beim Hybridantrieb auf einfache Weise die Systeme des Elektromotors und die eines herkömmli¬ chen Ottomotors umgestellt werden. Der Datensatz kann als Nachricht über das Datenbussystem an alle dafür vorgesehenen sicherheitskritischen Steuergeräte übertragen werden, so dass jedes der Steuergeräte eine aktuelle Momentanansicht der un¬ terschiedlichen Steueraufgaben hat.

Es gibt nun verschiedene Möglichkeiten, die Lehre der vorlie¬ genden Erfindung in vorteilhafter Weise auszugestalten und weiterzubilden. Dazu ist einerseits auf die untergeordneten Ansprüche und andererseits auf die nachfolgende Erläuterung einer Ausführungsform zu verweisen. In der Zeichnung ist eine Ausführungsform des erfindungsgemäßen Datenbussystems darge¬ stellt.

Fig.l zeigt eine schematische Ansicht der Systemarchitektur des Datenbussystems gemäß der vorliegenden Erfindung.

Das Datenbussystem ist redundant ausgelegt, indem ein erster Datenbus Bl und ein zweiter Datenbus B2 vorgesehen sind. Die beiden Datenbusse Bl und B2 sind beispielsweise FlexRay- Datenbusse, die bei derselben oder ähnlicher Übertragungsfre- quenz arbeiten und dasselbe Nachrichtenprotokoll aufweisen, wobei die den sicherheitsrelevanten Komponenten zugeordneten Zeitschlitze entsprechend der Busarchitektur variieren kön¬ nen. Jeder Datenbus Bl bzw. B2 weist für sich wieder zwei Da¬ tenbusleitungen 1, 2 beim Datenbus Bl und die Datenbusleitun¬ gen 3, 4 beim Datenbus B2 auf. An die beiden Datenbusse Bl und B2 sind unterschiedliche Komponenten, wie Sensoren, Aktu- atoren oder Steuergeräte angeschlossen. Je nachdem, ob die Funktion im Fahrzeug, beispielsweise einem Automobil oder ei¬ nem Nutzfahrzeug, sicherheitskritisch ist, sind die Komponen¬ ten entweder nur an einem Datenbus Bl, B2 oder zwischen bei- den Datenbussen angeordnet, so dass Nachrichten von beiden Datenbussen Bl, B2 empfangen und verglichen werden können.

Am Datenbus Bl ist ein elektronisches Steuergerät 5 als Man- Machine-Interface angeschlossen, das die Bedien- und Anzeige¬ elemente im Fahrzeug steuert. Nachrichten für die Bedienein¬ heiten und für die Anzeige, beispielsweise ein Kombiinstru¬ ment können über Bl gesendet oder empfangen werden. Dazu weist das Steuergerät 5 einen Transceiver auf, der die Daten¬ busnachrichten senden und empfangen kann. Am Datenbus B2 hängt ein weiteres Steuergerät 6, das eine andere Bedien- /Anzeigeeinheit steuert und welches die Nachrichtenübertra¬ gung über den Datenbus B2 durchführt. Die Datenbusse Bl und B2 können derart aufgebaut sein, dass ein separater Zeit- schlitz für das Steuergerät 5 und für das Steuergerät 6 vor¬ gesehen sind und dass die Datenbusprotokolle auf beiden Da¬ tenbussen Bl, B2 identisch sind, wobei eine Nachricht des Steuergeräts 5 dann in dem dafür vorgesehenen Zeitschlitz des Datenbusses Bl übertragen wird, während in diesem Zeitschlitz des Datenbusses B2 keine Übertragung stattfindet, da das Steuergerät 5 dort nicht angeschlossen ist. Im Gegensatz dazu wird dann eine Nachricht vom Steuergerät 6 in dem dafür vor¬ gesehenen Zeitschlitz auf den Datenbus B2 übertragen, während der Zeitschlitz auf dem Datenbus Bl frei bleibt. Andererseits können die Datenbusprotokolle aber auch genau auf die Bus- teilnehmer angepasst sein, so dass sich die Reihenfolge der Zeitschlitze und die zugehörenden Komponenten auf beiden Da¬ tenbussystemen Bl bzw. B2 unterscheiden.

Sensoren 7 und 8 zur Bestimmung der Gierrate des Fahrzeugs sind jeweils mit einem der Datenbusse Bl bzw. B2 verbunden und legen die gemessenen Sensorwerte auf den jeweiligen Da¬ tenbus Bl bzw. B2. Die ESP-Sensoren 9 und 10 erfassen be¬ stimmte Messgrößen am Fahrzeug und werden jeweils über den angekoppelten Datenbus Bl bzw. B2 eingelesen, so dass die Sensorwerte den Steuergeräten zu Zwecken der Weiterverarbei¬ tung zur Verfügung stehen. Auf diese Weise sind die Sensor¬ werte am Datenbus leicht diagnostizierbar und auslesbar. Ein Kamerasystem 11 ist am Datenbus Bl angeschlossen und lie¬ fert Aufnahmen oder auch schon zugeordnete Objekttypen bzw. Objektlisten von der Fahrzeugumgebung. Die Bilder oder Daten werden für die Datenfusion benötigt und beispielsweise mit Daten der Radar-Sensoren 13 oder Lidar-Sensoren 14 vergli¬ chen, geprüft oder zusammen verarbeitet. Die Assistenzsysteme der Kameras 11, 12 sind mit verschiedenen Softwarefunktionen gekoppelt, um eine Fußgängererkennung oder eine Fahrzeuger¬ kennung zur Vermeidung eines Unfalls durchzuführen. Da diese Sensoren 13, 14 und Komponenten 11, 12 als Assistenzsysteme den Fahrer unterstützen, werden diese nicht als sicherheits¬ kritische Anwendungen betrachtet . Infolgedessen reicht es aus, eine Datenübertragung über einen einzelnen Datenbus Bl bzw. B2 durchzuführen. Bei einem Ausfall der Sensorik 13, 14 wird im Fahrzeug eine Warnlampe angehen, um den Ausfall der Komponente anzuzeigen. Ein Ausfall des Gesamtfahrzeugs oder des gesamten DatenbusSystems ist dadurch nicht gegeben, so dass hier keine redundante Auslegung oder große Fehlertole¬ ranz erforderlich ist. Eine Fehlererkennung kann natürlich in der jeweiligen Komponente selbst mittels Software umgesetzt sein.

Zur Lokalisierung des Fahrzeugs sind GPS-Komponenten 15 und 16 an den jeweiligen Datenbussen Bl bzw. B2 angeschlossen, die mittels der vorhandenen Software ein Geometriemodell der aktuellen Umgebung des Fahrzeugs nachbilden und die genaue Position des Fahrzeugs anzeigen können. Die Ergebnisdaten der GPS-Komponenten 15 und 16 werden als Nachrichten auf dem Da¬ tenbus Bl, B2 abgelegt und können daher durch Steuergeräte bei deren jeweiligen Funktionen verwendet werden. Brems-Komponenten 17, 18, 20 sind jeweils an einem Datenbus Bl, B2 vorgesehen, um den Bremszylinder anzusteuern oder Bremswerte zu erfassen. Die Komponenten 17, 18, 20 sind als Simplex-Komponenten jeweils an einem Rad angeordnet und steu¬ ern Motoren oder Pneumatik- bzw. Hydraulik-Komponenten des Bremssystems an. Über diese Komponenten 17, 18, 20 kann das Bremsverhalten des Fahrzeugs nach bestimmten Vorgaben beein- flusst werden. Fällt eine Bremseinheit 17, 18, 20 aus, wird dies über Sensoren und den jeweiligen Datenbus Bl bzw. B2 er¬ kannt und es kann durch ein Steuergerät dann die jeweils an¬ dere Bremseinheit, beispielsweise Bremskomponente 20 statt der ursprünglichen Bremskomponente 17, eingesetzt werden. Das Aktivieren und Deaktivieren derartiger Brems-Komponenten 17, 18, 20 wird dann durch ein zugeordnetes Bremssteuergerät er¬ folgen.

Schließlich sind noch Steuergeräte zur Ansteuerung von Kompo¬ nenten im Anhänger in Form der Komponenten 19, 21 und 22 vor¬ handen. Diese Komponenten 19, 21, 22 steuern das Bremssystem bzw. die Luftfederung oder ähnliche Einheiten im Anhänger. Fällt eine dieser Sendeeinheiten aus, wird dies über die Sen¬ soren und den jeweiligen Datenbus Bl bzw. B2 erkannt und es übernimmt eine andere Sendeeinheit die Funktion, nach dem das zugeordnete Steuergerät und dessen Entscheidungsmittel 33 den Ausfall erkannt haben. Das Entscheidungsmittel kann Bestand¬ teil eines Steuergerätes sein oder als separate Schaltung o- der Software vorgesehen sein.

Neben diesen jeweils nur einem Datenbus Bl bzw. B2 zugeordne¬ ten Komponenten wie Sensoren, Aktuatoren oder auch einfachere Steuergeräte, welche nicht fehlersicher sein müssen, sind er¬ findungsgemäß doppelt ausgelegte Komponenten bzw. doppelt ausgelegte Steuergeräte so geschaltet, dass sie jeweils einen Transceiver zum Datenbus Bl und einen weiteren Transceiver zum Datenbus B2 aufweisen, so dass sie mit beiden Datenbussen Bl bzw. B2 kommunizieren können.

Die Elektromotoren 23 und 24 sind mit einer intelligenten Steuerfunktion versehen und doppelt ausgeführt. Der Elektro¬ motor 23 ist beispielsweise mit einer Handbedienfunktion, beispielsweise einem Sidestick zur Steuerung des Fahrzeugs versehen, während der Elektromotor 24 mit der Pedalbox ver¬ bunden ist, um die Fußbetätigung des Fahrers zu steuern, zu beeinflussen oder zu erfassen. Fällt eine der Motoreinheiten 23, 24 aus, wird dies erkannt und die Funktion wird direkt durch einen zweiten Elektromotor übernommen. Im Beispiel ist der Sidestick 25 mit den beiden Elektromotoren 23 und 24 ge¬ koppelt, wobei die Masterfunktion durch den Elektromotor 23 übernommen wird, d. h. ohne Fehler und standardmäßig wird der Sidestick durch den Elektromotor 23 angesteuert. Im Fehler¬ fall, wenn die über die Datenbusse Bl bzw. B2 in den Steuer¬ einheiten der Elektromotoren 23 und 24 verarbeiteten Werte nicht übereinstimmen, wird ein Entscheidungsmittel 33 die Aufgabe des Elektromotors 23 auf den Elektromotor 24 verla¬ gern, so dass dieser mit dem Sidestick 25 zusammenwirken kann. Aufgrund dieser Funktion besteht eine hohe Fehlersi¬ cherheit für den Sidestick 25, bei dessen Ausfall das Fahr¬ zeug gegebenenfalls einen Unfall erzeugen würde. Innerhalb von Millisekunden kann nach Erkennung eines Fehlers umge¬ schaltet werden, so dass die Masterfunktion durch den Elekt¬ romotor 24 übernommen wird. Gleichzeitig wird der Fehler dem Fahrer signalisiert, so dass er den Fehler beheben kann.

Auch die Steuergeräte 26 bis 29 sind gleichzeitig an beide Datenbusse Bl bzw. B2 angekoppelt. Die Steuergeräte 26 bis 29 können im Fahrzeug unterschiedliche Funktionen übernehmen, beispielsweise die Komponenten im Innenraum steuern, Motor- komponenten ansteuern, die Lenkung steuern oder auch andere sicherheitskritische Funktionen übernehmen. Jedes dieser Steuergeräte 26 bis 29 weist zwei Mikrorechner auf. Zwischen den beiden Mikrorechnern besteht eine Schnittstelle, an der die über den Datenbus Bl eingehenden Nachrichten bzw. die daraus berechneten Daten des ersten Mikrorechners μR vergli¬ chen werden mit denen aus den Nachrichten des Datenbusses B2 stammenden bzw. berechneten Ergebnisdaten des zweiten Mikro¬ rechners μR. Mit der Schnittstelle verbunden ist ein Ent¬ scheidungsmittel 33. Das Entscheidungsmittel 33 kann bei¬ spielsweise als Watchdog ausgeführt sein, welcher die ord¬ nungsgemäße Funktion der beiden Mikrorechner μR überprüft und deren Daten vergleicht. Das Entscheidungsmittel kann auch Be¬ standteil eines Steuergerätes sein oder als separate Schal¬ tung oder Software vorgesehen sein. Im Fehlerfall, d. h. wenn die berechneten Ergebnisdaten des einen Mikrorechners μR von denen des anderen Mikrorechners μR abweichen, erkennt das Entscheidungsmittel 33 einen Fehler und je nach Diagnose wird das Entscheidungsmittel 33 die Funktionen des Steuergeräts, beispielsweise des Steuergeräts 26, auf ein Ersatzsteuergerät 27 übergeben, so dass die Steuerungsaufgaben dann im Ersatz- Steuergerät 27 erfolgen können, während das Steuergerät 26 gestört ist. Das Entscheidungsmittel 33 kann aber einen Feh¬ ler auch erkennen, wenn eine Nachricht im Zeitschlitz aus¬ bleibt oder sich aufeinander folgende Nachrichten auf demsel¬ ben Datenbus unterscheiden. Je nach Fehlerroutine schaltet sich dann ein Steuergerät selbst ab oder übernimmt die Aufga¬ ben von einer anderen Komponente.

Es kann aber auch vorgesehen sein, dass lediglich die Ergeb¬ nisdaten eines der beiden Mikrorechner μR des Steuergeräts 26 nach einer Plausibilitätsprüfung weiter verwendet werden und das Vergleichen der Ergebnisdaten für eine vorgegebene Zeit unterbleibt, da das System nach Überprüfung des Wertebereichs davon ausgeht, dass ein Mikrorechner μR oder dessen Sensorik gestört ist. Zur Ansteuerung der Lenkung 30 sind wiederum zwei Elektromotoren 31 und 32 vorgesehen, die elektrisch, hydraulisch oder pneumatisch in das Lenkgestänge des Ver¬ kehrsmittels eingreifen können. Dadurch kann das Lenkverhal¬ ten des Fahrzeugs verändert werden. Fällt eine dieser Lenk¬ einheiten aus, wird dies über Sensoren erkannt und das Steu¬ ergerät 31 übergibt die Steuerungsfunktionen auf das Ersatz¬ steuergerät 32. Gegebenenfalls kann aber auch die Steuerfunk¬ tion auf eines der anderen Steuergeräte 26 bis 29 übergeben werden, die die gesamte relevante Steuerungssoftware von vornherein aufgespielt haben, so dass die Steuerungsfunktio¬ nen im Fehlerfall auch von den Steuergeräten 26 bis 29 ausge¬ führt werden können.

Durch die Anbindung der sicherheitsrelevanten Steuergeräte, Aktuatoren und Sensoren 23 bis 32 an beide Datenbusse Bl und B2 können die Nachrichten auf den beiden DatenbusSystemen und die daraus berechneten Ergebnisdaten im jeweiligen Steuerge¬ rät 23 bis 32 miteinander verglichen werden. Das erfindungs¬ gemäße Konzept sieht vor, dass im Wesentlichen die gleiche Hardware und im Wesentlichen die gleiche Software auf den Mikrorechnern μR im Steuergerät zweimal vorgesehen ist und auf diese Weise das Ergebnis aus den Nachrichten doppelt, d. h. redundant, berechnet wird. Im fehlerfreien Fall entste¬ hen dadurch gleiche Ergebnisdaten aufgrund einer Berechnung aus den Nachrichten des jeweiligen Datenbusses Bl bzw. B2. Falls sich die Ergebnisdaten unterscheiden, wird auf einfache Weise erkannt, dass im Datenbussystem ein Fehler vorliegt. Ein Entscheidungsmittel 33 wird dann entsprechend einer vor¬ gegebenen Fehlerbehandlungsroutine die Steuerungsaufgabe auf ein anderes Steuergerät oder einen anderen Mikrorechner μR verteilen. Bevorzugt sind innerhalb der Steuergeräte 23 bis 32 zwei Mikroprozessoren μR vorhanden, die jeweils die Be- rechnungsaufgabe durchführen. Auf diese Weise kann gewähr¬ leistet werden, dass die berechneten Daten im Idealfall den gleichen Wert einnehmen, soweit kein Fehler vorliegt. Auch können die Mikroprozessoren μR dann noch weitere Aufgaben ü- bernehmen, die nicht fehlerkritisch sind. Dadurch können ne¬ ben den fehlersicheren Aufgaben jedes Steuergeräts 23 bis 32 auch andere Funktionen durchgeführt werden, wobei nicht ein Vergleich auf beiden Mikrorechnern μR erforderlich wird.