Die Komponente wird von einem der Komponente zugeordneten ersten Ansteuermodul mit mindestens einem ersten Mikrorechnersystem angesteuert. Die Ansteuerung der Komponente umfasst die nachfolgenden Schritte : a) Ermitteln mindestens eines Ansteuersignals für die Komponente durch das erste Mikrorechnersystem in Abhängigkeit von mindestens einem Eingangssignal ; b) Ermitteln mindestens eines logischen Ansteuersignals, wobei das mindestens eine logische Ansteuersignal zumindest teilweise von einer von dem ersten Mikrorechnersystem unabhängigen Überwachungseinheit in Abhängigkeit von dem mindestens einen Eingangssignal ermittelt wird ;

c) Vergleichen des mindestens einen Ansteuersignais mit dem mindestens einen logischen Ansteuersignal ; d) Ermitteln mindestens eines Freigabesignals in Abhängigkeit von dem Ergebnis des Vergleichs ; und e) Weiterleiten des mindestens einen Ansteuersignals oder mindestens eines davon abhängigen Signals an die Komponente, falls das mindestens eine Freigabesignal einen vorgebbaren Wert aufweist.

Die Erfindung betrifft außerdem ein Computerprogramm, das auf einem Mikrorechnersystem eines Ansteuermoduls ablauffähig ist. Das Ansteuermodul ist zur Ansteuerung einer Komponente eines verteilten sicherheitsrelevanten Systems, insbesondere einer Komponente eines X-by-Wire- Systems in einem Kraftfahrzeug, vorgesehen.

Ein Verfahren der eingangs genannten Art ist bspw. aus der DE 198 26 131 AI bekannt. In dieser Druckschrift ist das verteilte sicherheitsrelevante System als ein elektrisches Bremssystem eines Kraftfahrzeugs beschrieben. Die Komponenten sind als die Bremsen des Kraftfahrzeugs bzw. genauer gesagt als Aktoren zur Ansteuerung der Bremsen ausgebildet. Ein solches System ist in hohem Maße sicherheitsrelevant, da eine fehlerhafte Ansteuerung der Komponenten, insbesondere ein fehlerhaftes Betätigen der Bremsen, zu einem nicht vorhersehbaren Sicherheitsrisiko führen kann. Aus diesem Grund muss eine fehlerhafte Ansteuerung der Komponenten mit Sicherheit ausgeschlossen werden.

Wesentliche Merkmale des bekannten Bremssystems sind ein Pedalmodul zur zentralen Fahrerwunscherfassung, vier

Radmodule zur radindividuellen Regelung der Bremsaktuatoren und ein Verarbeitungsmodul zur Berechnung übergeordnezer Bremsfunktionen. Die Kommunikation der einzelnen Module untereinander kann durch ein oder mehrere Kommunikationssysteme erfolgen. In Figur 2 der vorliegenden Patentanmeldung ist die interne Struktur eines mit verschiedenen logischen Ebenen beispielhaft dargestellt. Die logische Ebene Ll umfasst dabei mindestens die Berechnung der Steuer-und Regelfunktionen für die Radbremsen, während die logischen Ebenen L2 bis L4 verschiedene Funktionen zur Rechnerüberwachung und Funktionsüberprüfung von L1 beinhalten.

'Die Ansteuerung der Bremsen, bzw. der Elektromotoren zur Betätigung der Bremsbacken, umfasst für jedes Radmodul gleichermaßen die nachfolgenden Schritte : a) Ermitteln mindestens eines Ansteuersignals (f l) für die Bremse durch ein erstes Mikrorechnersystem (R 1A) in Abhängigkeit von mindestens einem Eingangssignal (a_R2, a_R3, a_R4; a_V, ref ; sR2, sR3, sR4 ; ts_V, ref ; v_F ; n_1 ; Fli ; s_lH). Die Eingangssignale werden dem Mikrorechnersystem (R 1A) über ein Kommunikationssystem (K_1), bspw. ein Bussystem, zur Verfügung gestellt. b) Ermitteln mindestens eines logischen Ansteuersiqnals (elH). Das logische Ansteuersignal (e 1H) wird zumindest teilweise von einer von dem ersten Mikrorechnersystem (R1A) unabhängigen Überwachungseinheit (R1B) in Abhängigkeit von dem mindestens einen Eingangssignal ermittelt. c) Vergleichen des mindestens einen Ansteuersignals (f_1)

mit dem mindestens einen logischen Ansteuersignal (e-lH) in einer Leistungselektronik (LE-1K). d) Ermitteln mindestens eines Freigabesignals (innerhalb der Leistungselektroniken LE) in Abhängigkeit von dem Ergebnis des Vergleichs des Ansteuersignals (f l) und des logischen Ansteuersignals (elH) ; und e) Weiterleiten des mindestens einen Ansteuersignals (f l) oder eines von dem Ansteuersignal (f l) abhängigen Signals (ilK) an die Bremse, bzw. an einen Aktuator Akt 1 für die Bremsbacken, falls das mindestens eine Freigabesignal einen vorgebbaren Wert aufweist.

Die Überwachungseinheit (R_1B) dient insbesondere zur Erkennung systematischer (sog. common mode) Fehler. Ein Beispiel für solche Fehler sind Fehler in der Spannungsversorgung. Bei dem bekannten Bremssystem ist die Überwachungseinheit (R_1B) als ein selbständiges Mikrorechnersystem ausgebildet. Alternativ kann die Überwachungseinheit (R_1B) jedoch auch als ein Hardwarebaustein ohne eigenen Prozessor ausgebildet sein, der jedoch konkrete logische Funktionen oder, falls er ein Register aufweist, sogar Schaltfunktionen ausführen kann.

Ein Beispiel für einen solchen Hardwarebaustein ist bspw. ein ASIC (Applied Specific Integrated Circuit), ein FPGA (Field-Programmable Gate Array) oder eine Überwachungsschaltung (sog. Watch-Dog).

Nachteilig beim Stand der Technik ist es, dass die logische Ebene L4 stets in einem gesonderten Bauteil realisiert ist, das-bspw. in Radmodulen eines elektrischen Bremssystems- innerhalb des verteilten sicherheitsrelevanten Systems

zudem mehrfach vorgesehen sein muss.

Der vorliegenden Erfindung liegt die Aufgabe zugrunde, den Aufbau eines verteilten sicherheitsrelevanten Systems zu vereinfachen und gleichzeitig die erzielbare Sicherheit bei der Freigabe der Komponenten zumindest Zur Lösung dieser Aufgabe schlägt die Erfindung ausgehend von dem Verfahren der eingangs genannten Art vor, dass das sicherheitsrelevante System neben dem ersten Mikrorechnersystem mindestens ein weiteres Mikrorechnersystem aufweist, das zum Zwecke einer Datenübertragung mit dem ersten Mikrorechnersystem in Verbindung steht, wobei mindestens einer der Schritte b) bis d) in mindestens einem der weiteren Mikrorechnersysteme ausgeführt wird.

Vorteile der Erfindung Erfindungsgemäß wird also vorgeschlagen, auf eine gesonderte Überwachungseinheit zu verzichten und die Aufgaben der Überwachungseinheit statt dessen von solchen Einheiten des verteilten sicherheitsrelevanten Systems ausführen zu lassen, die sowieso in dem System vorgesehen sind. Diese Einheiten müssen über eine eigene Intelligenz verfügen, um zumindest in beschränktem Umfang eigene Berechnungen anstellen zu können. Solche System-Einheiten, welche erfindungsgemäß die Aufgaben der Überwachungseinheit übernehmen können, sind insbesondere die Mikroprozessoren einer oder mehrerer weiterer Mikrorechnersysteme.

Auf dem Mikroprozessor des ersten Mikrorechnersystems wird ein Programmcode abgearbeitet, um das Ansteuersignal für die Komponente in Abhängigkeit von den Eingangssignalen zu

ermitteln. Der Programmcode wird außerdem auf mindestens einem der weiteren Mikrorechnersysteme abgearbeitet, um das logische Ansteuersignal für die Komponente in Abhängigkeit von den gleichen Eingangssignalen zu ermitteln. Die Abarbeitung des Programmcodes auf den weiteren Mikrorechnersystemen kann bspw. auf dem Mikroprozessor oder anderen geeigneten Einheiten (z. B.

Kommunikationscontroller) erfolgen, die über eine ausreichende Intelligenz zur Abarbeitung des Programmcodes verfügen. Die Eingangssignale werden den weiteren Mikrorechnersystemen bspw. über einen Datenbus zur Verfügung gestellt, über den die Mikrorechnersysteme zum Zwecke der Datenübertragung miteinander in Verbindung stehen.

Das von dem ersten Mikrorechnersystem ermittelte Ansteuersignal wird mit den logischen Ansteuersignalen verglichen, um festzustellen, ob das Ansteuersignal fehlerhaft ist oder nicht. Wenn alle Mikrorechnersysteme übereinstimmende Ansteuersignale bzw. logische Ansteuersignale ermitteln, kann davon ausgegangen werden, dass das Ansteuersignal fehlerfrei ist. Es versteht sich, dass mit zunehmender Anzahl an weiteren Mikrorechnersystemen, die jeweils logische Ansteuersignale ermitteln, die Überprüfung der Funktionsfähigkeit des ersten Mikrorechnersystems zuverlässiger wird. Wenn sich mehrere Mikrorechnersysteme gegenseitig überwachen, ist u. U. sogar eine Identifikation bzw. Lokalisierung eines defekten Mikrorechnersystems möglich.

Gemäß einer vorteilhaften Weiterbildung der vorliegenden Erfindung wird vorgeschlagen, dass das sicherheitsrelevante System neben dem ersten Ansteuermodul mindestens ein weiteres Ansteuermodul aufweist, wobei das mindestens eine

weitere Mikrorechnersystem Teil des mindestens einen weiteren Ansteuermoduls ist. Gemäß dieser Weiterbildung umfasst das verteilte sicherheitsrelevante System also mehrere gleichartige Ansteuermodule, in denen das erste Mikrorechnersystem und die weiteren Mikrorechnersysteme angeordnet sind. Der Vorteil dieser Weiterbildung besteht darin, dass die Ansteuermodule in der Regel ähnliche Aufgaben haben (z. B. Aktivieren und Lösen einer Radbremse in Abhängigkeit von best. Eingangssignalen) und der Programmcode zur Berechnung der Ansteuersignale in den Mikrorechnersystemen zum großen Teil übereinstimmt. Wen also die weiteren Mikrorechnersysteme der weiteren Ansteuermodule die Aufgaben der Überwachungseinheit übernehmen, muss in ihnen nicht ein gesonderter Programmcode vorgehalten und bei Bedarf ausgeführt werden, um die logischen Ansteuersignale zu ermitteln. Es kann vielmehr der in den weiteren Mikrorechnersystemen sowieso vorhandene Programmcode-allerdings mit den Eingangssignalen des ersten Mikrorechnersystems- ausgeführt werden. Ein Beispiel für ein verteiltes System, auf dem das Verfahren gemäß dieser Weiterbildung realisiert werden kann, ist ein elektrisches Bremssystem, das für alle Räder eines Kraftfahrzeugs nahezu identische Radmodule aufweist. Bei dieser Weiterbildung wird also die in verteilten Systemen häufig enthaltene Redundanz dazu ausgenutzt, den Aufwand zur sicheren Ansteuerung der Komponenten zu reduzieren.

Gemäß einer vorteilhaften Ausführungsform der vorliegenden Erfindung wird vorgeschlagen, dass der Schritt b) und der Schritt c) in mindestens einem der weiteren Mikrorechnersysteme ausgeführt wird. Gemäß dieser Ausführungsform wird also der Vergleich zwischen dem Ansteuersignal und den logischen Ansteuersignalen in dem

mindestens einen weiteren Mikrorechnersystem ausgeführt.

Dazu muss das von dem ersten Mikrorechnersystem ermittelte Ansteuersignal an das mindestens eine weitere Mikrorechnersystem übermittelt werden, bspw. über einen Datenbus, der die beiden miteinander verbindet.

Vorteilhafterweise ist das erste Mikrorechnersystem über einen ersten Kommunikationscontroller an ein physikalisches Bussystem angeschlossen, wobei der Schritt b) in mindestens einem der weiteren Mikrorechnersysteme und der Schritt c) in dem ersten Kommunikationscontroller ausgeführt wird.

Gemäß dieser Ausführungsform wird also der Vergleich zwischen dem Ansteuersignal und den logischen Ansteuersignalen in dem ersten Kommunikationscontroller ausgeführt, über den das erste Mikrorechnersystem an das Bussystem angeschlossen ist. Kommunikationscontroller von neueren Bussystemen, wie bspw. TTCAN (Time Triggered Controller Area Network), TTP/C (Time Triggered Protocol Class C nach SAE) oder FlexRay, dienen nicht einfach als "dumme"Schnittstelle zwischen dem Mikrorechnersystem und dem Datenbus, sondern führen eine eigene, z. T. recht komplexe Verarbeitung der zu übertragenden Daten durch.

Dazu verfügen sie über eine eigene Intelligenz, die zumindest einfache Operationen, wie bspw. Vergleiche, u. U. aber auch komplexere Berechnungen ausführen kann. Um den Vergleich in dem ersten Kommunikationscontroller realisieren zu können, muss das mindestens eine logische Ansteuersignal von dem mindestens einen weiteren Mikrorechnersystem an den Kommunikationscontroller übermittelt werden, bspw. über einen Datenbus, der die beiden miteinander verbindet.

Gemäß einer anderen bevorzugten Ausführungsform der vorliegenden Erfindung wird vorgeschlagen, dass der Schritt

d) in mindestens einem der weiteren Mikrorechnersysteme ausgeführt wird. Demnach wird also in den weiteren Mikrorechnersystemen mindestens ein Freigabesignal in Abhängigkeit von dem Ergebnis des Vergleichs von Ansteuersignal und logischem Ansteuersignal ermittelt. Dazu muss das in dem ersten Mikrorechnersystem ermittelte Ansteuersignal an die weiteren Mikrorechnersysteme übermittelt werden, bspw. über einen Datenbus. In den weiteren Mikrorechnersystemen wird es dann mit den dort jeweils ermittelten logischen Ansteuersignalen verglichen.

Das Freigabesignal wird wiederum, bspw. über einen Datenbus, an das erste Mikrorechnersystem übermittelt. Das mindestens eine Ansteuersignal oder mindestens ein davon abhängiges Signal wird dann an'die anzusteuernde Komponente weitergeleitet, falls die in den weiteren Mikrorechnersystemen ermittelten Freigabesignale vorgebbare Werte aufweisen. So kann bspw. ein einfacher Vergleich der Freigabesignale oder aber eine Mehrheitsentscheidung erfolgen.

Gemäß einer alternativen Ausführungsform der vorliegenden Erfindung wird vorgeschlagen, dass das erste Mikrorechnersystem über einen ersten Kommunikationscontroller an ein physikalisches ßussystem angeschlossen ist, wobei der Schritt d) in dem ersten Kommunikationscontroller ausgeführt wird. Das bedeutet, dass die in den weiteren Mikrorechnersystemen ermittelten logischen Ansteuersignale an den ersten Kommunikationscontroller übermittelt werden müssen, bspw. über einen Datenbus.

Von besonderer Bedeutung ist die Realisierung des erfindungsgemäßen Verfahrens in der Form eines Computerprogramms, das auf einem Mikrorechnersystem eines

Ansteuermoduls zur Ansteuerung einer Komponente eines verteilten sicherheitsrelevanten Systems abiauf fähig isr.

Dabei ist das Compu erprogramm auf einem Mikroprozessor des Mikrorechnersystems abiauf fähig und zur Ausführung des erfindungsgemäßen Verfahrens geeignet. In diesem Fall wird also die Erfindung durch ein Computerprogramm realisiert, so dass das Computerprogramm in gleicher Weise die Erfindung darstellt wie das Verfahren, zu dessen Ausführung das Computerprogramm geeignet ist.

Gemäß einer vorteilhaften Weiterbildung der vorliegenden Erfindung wird vorgeschlagen, dass das Computerprogramm auf einem Speicherelement, insbesondere auf einem Flash-Memory, abgespeichert ist. Zur Abarbeitung des Computerprogramms und zur Ausführung des erfindungsgemäßen Verfahrens wird das Computerprogramm befehlsweise oder als ganzes aus dem Speicherelement in den Prozessor übertragen.

Das Computerprogramm koordiniert insbesondere die Datenübertragung zwischen den verschiedenen Einheiten des verteilten Systems derart, dass das erfindungsgemäße Verfahren realisiert werden kann. Welche Daten an welche Einheiten übertragen werden müssen, ist insbesondere davon abhängig, in welchen Einheiten die Schritte b) bis d) ausgeführt werden. Das Computerprogramm sorgt aber auch in den verschiedenen System-Einheiten dafür, dass die Ansteuersignale und die logischen Ansteuersignale ermittelt und/oder miteinander verglichen werden.

Zeichnungen Weitere Merkmale, Anwendungsmöglichkeiten und Vorteile der Erfindung ergeben sich aus der nachfolgenden Beschreibung von Ausführungsbeispielen der Erfindung, die in der

Zeichnung dargestellt sind. Dabei bilden alle beschriebenen oder dargestellten Merkmale für sich oder in beliebiger Kombination den Gegenstand der Erfindung, unabhängig von ihrer Zusammenfassung in den Patentansprüchen oder deren Rückbeziehung sowie unabhängig von ihrer Formulierung bzw.

Darstellung in der Beschreibung bzw. in der Zeichnung. Es zeigen : Figur 1 ein verteiltes sicherheitsrelevantes System im Ausschnitt zur Realisierung eines erfindungsgemäßen Verfahrens gemäß einer ersten bevorzugten Ausführungsform ; Figur 2 ein aus dem Stand der Technik bekanntes Ansteuermodul eines verteilten sicherheitsrelevanten Systems ; Figur 3 ein verteiltes sicherheitsrelevantes System im Ausschnitt zur Realisierung eines erfindungsgemäßen Verfahrens gemäß einer zweiten bevorzugten Ausführungsform ; und Figur 4 ein verteiltes sicherheitsrelevantes System im Ausschnitt zur Realisierung eines erfindungsgemäßen Verfahrens gemäß einer dritten bevorzugten Ausführungsform.

Beschreibung der Ausführungsbeispiele Das erfindungsgemäße Verfahren wird nachfolgend anhand eines elektrischen Bremssystems näher erläutert. Die vorliegende Erfindung ist aber nicht auf elektrische Bremssysteme beschränkt, sondern vielmehr für beliebige verteilte sicherheitsrelevante Systeme einsetzbar. Die

vorliegende Erfindung erlaubt eine sichere Freigabe'von Komponenten des sicherheitsrelevanten Systems ohne den Einsatz zusätzlicher Überwachungseinheiten. Die Aufgaben der Uberwachungseinheiten. werden vielmehr von Einheiten des sicherheitsrelevanten Systems übernommen, die sowieso in dem System vorhanden sind.

Das Bremssystem umfasst für jedes zu bremsende Fahrzeugrad ein Radmodul R 1, R m. Jedes Radmodul Rl, Rm umfasst ein Mikrorechnersystem P_1, P_m und eine Freigabeschaltung FS-1, FS_m. Die Mikrorechnersysteme P_1, Pm umfassen jeweils einen Mikroprozessor Pro l, Prom und einen intelligenten Kommunikationscontroller S_1, S_m. Der Mikroprozessor'Pro l, Prom und der Kommunikationscontroller S l, Sm eines Mikrorechnersystems P l, P m können auf einem Halbleiterbaustein (sog. Chip) zusammengefasst sein ; sie sind jedoch stets als voneinander unabhängige, gesonderte Einheiten ausgebildet. Jedes Radmodul R l, R m ist über einen Kommunikationscontroller S_l, S m an einen physikalischen Datenbus K_1 angeschlossen. Über den Datenbus werden Daten bspw. nach dem TTCAN-, TTP/C-oder FlexRay-Protokoll übertragen. Die Radmodule R 1, R m steuern jeweils eine Aktorik Akyl, Akt_m an, die bspw. als Elektromotoren zur Betätigung oder zum Lösen der Radbremsen ausgebildet sind.

In Figur 1 ist die interne Struktur von zwei Radmodulen und der darin ablaufende Signalfluss eines erfindungsgemäßen Verfahrens gemäß einer ersten bevorzugten en Ausführungsform dargestellt. Das Verfahren dient zur Ansteuerung der Aktorik Akt 1 des elektrischen Bremssystems durch das Radmodul R 1 bzw. durch das Mikrorechnersystem P 1. Wichtig bei der Ansteuerung der Aktorik Akt_1 ist es, zu verhindern, dass die Aktorik Akt_1 von einem fehlerhaften

Ansteuersignal des Mikrorechnersystems P 1 angesteuert wird. Das bedeutet, dass das Ansteuersignal nur dann an die Aktorik Akt l weitergeleitet werden sollte, wenn mit ausreichend hoher Wahrscheinlichkeit feststeht, dass es fehlerfrei ist. Die Ansteuerung der Aktorik Akt 1 umfasst deshalb im wesentlichen die nachfolgenden Schritte : a) Der Prozessor Pro 1 des Mikrorechnersystems Pi ermittelt durch Abarbeiten eines Programmcodes Cl in Abhängigkeit von mindestens einem Eingangssignal E 1 mindestens ein Ansteuersignal All für die Aktorik Akt_1. Die Eingangssignale E 1 enthalten Informationen über den Ist-Zustand des Bremssystems und des Kraftfahrzeugs und werden über den Datenbus K l an das erste Radmodul R 1 übermittelt. b) Die Prozessoren Prom (z. B. m = 2... 4) der weiteren Milcrorechnersysteme Pm ermitteln ebenfalls durch Abarbeiten des Programmcodes Cl in Abhängigkeit von den Eingangssignalen E_1 ein logisches Ansteuersignal Alm. Das setzt voraus, dass in den Prozessoren Prom außer einem Programmcode Cm zur Ermittlung der Ansteuersignale A m1 für die Aktoren Aktm zusätzlich noch der Programmcode Cl zur Verfügung stehen muss.

In dem vorliegenden Beispiel mit mehreren gleichartigen Radmodulen R_1, Rm bedeutet dies einen oder nur einen minimalen zusätzlichen Aufwand, da die auf den Prozessoren Pro l, Pro m ablaufenden Programmcodes C l, Cm im wesentlichen gleich sind. So kann also der in den Prozessoren Pro m sowieso zur Verfügung stehend Programmcode Cm mit den Eingangssignalen E l abgearbeitet werden, um die logischen Ansteuersignale A lm zu erhalten. Diese Vereinfachung gilt für alle verteilten Systeme mit

gleichartigen Ansteuermodulen. Die Eingangssignale E i können den Mikrorechnersystemen Pm über den Datenbus Kl übermittelt werden. Bei korrekter Funktion der Mikroprozessoren Pro-1, Pro m müssen die Ansteuersignale All und die logischen Ansteuersignale A lm identisch sein. c) Das Ansteuersignal All wird in den Mikroprozessoren Pro m mit den dort zuvor ermittelten logischen Ansteuersignalen A-lm verglichen. Dazu muss das Ansteuersignal All über den Datenbus K l an die Mikrorechnersysteme Pm übermittelt werden. Die Mikroprozessoren Prom erzeugen eine Statusinformation SF lm, die ihrerseits wieder über den Datenbus K 1 an das erste Mikrorechnersystem P 1 übermittelt wird. Die Statusinformationen bestehen bspw. aus einem oder mehreren bits. Es ist denkbar, die Statusinformation SF_1m zur Übertragung an das erste Mikrorechnersystem Pl in das Protokoll des Datenbusses einzubinden. d) Der Kommunikationscontroller S_1 des ersten Mi'krorechnersystems Pl wertet die eingehenden Statusinformationen SF lm aus und erzeugt im Falle eines entsprechenden Status (d. h. bei Signalisierung einer korrekten Funktionsweise des Mikroprozessors Pro-1) ein Freigabesignal Fl. Das Auswerten der Statusinformationen SF lm kann auf unterschiedliche Weise erfolgen. Es kann bspw. ein Vergleich, eine logische (vorzugsweise eine UND-) Verknüpfung oder eine Mehrheitsentscheidung der Statusinformationen SFlm sein. e) Schließlich wird das mindestens eine Ansteuersignal All oder mindestens ein davon abhängiges Signal an

die Aktorik Aktl weitergeleitet, falls das mindestens eine Freigabesignal F_1 einen vorgebbaren Wert aufweist. Um dies zu prüfen, wird in der Freigabeschaltung FS_1 eine UND-Verknüpfung des Ansteuersignals A_11 ausgeführt. Falls das Freigabesignal F_1 logisch"1"ist, wird das Ansteuersignal All an die Aktorik Akt_1 weitergeleitet. Falls das Freigabesignal F l jedoch logisch"0"ist, wird das Ansteuersignal All nicht an die Aktorik Aktl weitergeleitet.

Durch das beschriebene erfindungsgemäße Verfahren kann die Funktionsfähigkeit des Prozessors Pro_l des Mikrorechnersystems P_1 überprüft und eine sichere Freigabe der Aktorik Akt_l erzielt werden. Zur Überprüfung des Prozessors Pro 1 werden hauptsächlich die Prozessoren Pro m der weiteren Mikrorechnersysteme Pm eingesetzt. In gleicher Weise kann das erfindungsgemäße Verfahren jedoch auch zur Überprüfung der Funktionsfähigkeit der Prozessoren Prom der weiteren Mikrorechnersysteme P 1 und zur sicheren Freigabe der Aktorik Aktm eingesetzt werden. Dann werden die übrigen Prozessoren Prom (ohne den zu überprüfenden Prozessor) und der Prozessor Pro l des ersten Mikrorechnersystems P_1 zur Überprüfung herangezogen. Jedes Mikrorechnersystem innerhalb des sicherheitsrelevanten verteilten Bremssystems hat also einerseits die Primäraufgabe, die Ansteuersignale A 11, A ml für die ihm zugeordnete Aktorik Akt 1, Akt m zu ermitteln, und andererseits die Sekundäraufgabe, die Funktion der übrigen Prozessoren bei der Erfüllung ihrer Primäraufgaben zu kontrollieren. Ohne den Einsatz zusätzlicher Überwachungseinheiten schafft die vorliegende Erfindung also die Möglichkeit einer sicheren und sogar redundant wirksamen Freigabe der Aktoren Akt 1, Akt m.

in Figur 3 ist die interne Struktur von zwei Radmodulen und der darin ablaufende Signalfluss eines erfindungsgemäßen Verfahrens gemäß einer zweiten bevorzugten Ausführungsform dargestellt. Dieses Verfahren unterscheidet sich von dem in Figur 1 dargestellten Verfahren insbesondere dadurch, dass der Schritt c) in dem Kommunikationscontroller S 1 des ersten Mikrorechnersystems P_1 ausgeführt wird.

Die in Schritt b) in den Prozessoren Pro m der weiteren Mikrorechnersysteme P m ermittelten logischen Ansteuersignale Alm werden über den Datenbus Kl an das erste Mikrorechnersystem Pl übermittelt. Dort werden die logischen Ansteuersignale A-lm dann in dem Kommunikationscontroller S_l des ersten Mikrorechnersystems P 1 mit dem mindestens einen Ansteuersignal All verglichen (Schritt c)). In Abhängigkeit von dem Ergebnis des Vergleichs werden in dem Kommunikationscontroller S l Statusinformationen SI Im ermittelt, aus denen dann das Freigabesignal F 1 ermittelt wird, oder aber wird gleich das Freigabesignal F 1 ermittelt (Schritt d)).

In Figur 4 ist die interne Struktur von zwei Radmodulen und der darin ablaufende Signalfluss eines erfindungsgemäßen Verfahrens gemäß einer dritten bevorzugten Ausführungsform dargestellt. Dieses Verfahren unterscheidet sich von den in Figur 1 und Figur 3 dargestellten Verfahren insbesondere dadurch, dass der Schritt d) in der Freigabeschaltung Fuzz des ersten Radmoduls Rl ausgeführt wird.

Als Schritt c) wird in den Mikroprozessoren Prom der weiteren Mikrorechnersysteme R m ein Vergleich zwischen dem Ansteuersignal All und den dort zuvor ermittelten logischen Ansteuersignalen A Im ausgeführt. Die

Mikroprozessoren Pro m erzeugen eine Statusinformation SF_1m, die über den Datenbus Kl an das erste Mikrorechnersysem P l und von diesem weiter an Freigabeschaltung FS_1 übermittelt wird. Diese wertet die von sämtlichen, weiteren Mikrorechnersystemen Pm eingehenden Statusinformationen SF_1m, SF_1x aus und leitet das mindestens eine Ansteuersignal All oder mindestens ein davon abhängiges Signal an die Aktorik Art l weiter, falls die Statusinformationen SF-lm, SF_lx einen entsprechenden Status aufweisen. Alternativ können in Abhängigkeit von dem Ergebnis des Vergleichs in der Freigabeschaltung FS_1 zunächst Statusinformationen SI lm ermittelt werden, aus denen dann das Freigabesignal F 1 ermittelt wird. Zum Auswerten der Statusinformationen SF_1m, SF_1x in der Freigabeschaltung FS_1 wird ein sog. Voting-Mechanismus eingesetzt Bei nur zwei Ansteuersignalen All, A12 ist der Voting-Mechanismus eine UND-Verknüpfung der beiden Signale All und SF lm. Bei mehreren Ansteuersignale All, Alm kann der Voting-Mechanismus eine Mehrheitsentscheidung sein.