Stand der Technik

Die Erfindung betrifft eine Steuereinrichtung für Fahrzeuge gemäß dem Oberbegriff des Patentanspruchs 1.

Zunehmend werden Steuereinrichtungen für Fahrzeuge besonders aus Gründen der Betriebssicherheit und der Verfügbarkeit mit wenigstens zwei Rechenelementen ausgestattet. Dies gilt insbesondere für den bevorzugten Anwendungsbereich der nachfolgend beschriebenen Erfin¬ dung in Verbindung mit einer elektronischen Motorleistungssteuerung für Kraftfahrzeuge. Beispiele für derartige Steuereinrichtungen sind der DE-A 37 00 986 (US-A 4 881 227) oder der DE-A 35 39 407 zu ent¬ nehmen.

Die DE-A 37 00 968 (TJS-A 4 881 227) beschreibt ein Rechnersystem mit zwei Prozessoren in einem Kraftfahrzeug, bei welchem die beiden Pro¬ zessoren völlig unabhängig voneinander arbeiten, sich gegenseitig anhand verschiedener Überwachungskriterien, beispielsweise anhand eines vorgeschriebenen Datenaustauschprotokolls überwachen und im Fehlerfall sich gegenseitig neu starten können. Vorschläge im Hin¬ blick auf ein Sicherheitskonzept bei der Anwendung eines derartigen Rechensystems auf eine elektronische Motorleistungssteuerung werden nicht beschrieben.

Die DE-A 35 39 407 beschreibt ebenfalls ein Rechnersystem mit zwei Prozessoren für ein Kraftfahrzeug, wobei vorgeschlagen ist, daß im Normalbetrieb eine Arbeitsaufteilung unter den Rechnern zur Verbes¬ serung der Sicherheit und der Arbeitsgeschwindigkeit vorgenommen wird. Diese Arbeitsteilung sieht dabei vor, daß in einem ersten Pro¬ zessor die Bestimmung des Sollwertes für eine Regelung vorgenommen wird, während im anderen, zweiten Prozessor die Berechnung der Stellgröße in Abhängigkeit von der Differenz zwischen Sollwert und Istwert erfolgt. Dadurch wird durch Verteilung der Rechnerbelastung die Rechnergeschwindigkeit sowie die Geschwindigkeit der Regelung erhöht. Als Sicherheitkonzept ist ferner vorgesehen, daß alle Über¬ wachungsaufgaben, welche der Betriebssicherheit sowie der Verfügbar¬ keit des Systems dienen, von beiden Prozessoren in redundanter Weise parallel zueinander durchgeführt werden. Beide Rechenelemente besit¬ zen daher bezüglich der Uberwachungsmaßnahmen einen auf hohem Niveau stehenden Funktionsumfang mit entsprechend hohem Aufwand.

Daher ist es die Aufgabe der Erfindung, ein Sicherheitkonzept für eine Steuereinrichtung für Fahrzeuge mit wenigstens zwei Rechenele¬ menten, die wenigstens zur Durchführung derselben Steuerfunktion dienen, anzugeben, so daß der Funktionsumfang der einzelnen Rechen¬ elemente reduziert werden kann, ohne daß die Betriebsicherheit und Verfügbarkeit des Gesamtsystems beeinträchtigt werden.

Dies wird durch die kennzeichnenden Merkmale des Patentanspruchs 1 erreicht. Dabei werden die zur Sicherstellung der Betriebssicherheit und Verfügbarkeit erforderlichen Überwachungsmaßnahmen zumindest teilweise auf die Rechenelemente aufgeteilt und vom jeweiligen Rechenelement ausschließlich und unabhängig durchgeführt.

Die bevorzugte Anwendung der beschriebenen Steuereinrichtung liegt auf dem Gebiet der MotorSteuerung für Kraftfahrzeuge. Eine derartige Motorsteuerung umfaßt bei Otto-Motoren neben Zündungssteuerung und Benzineinspritzung bei modernen Steuereinrichtungen auch eine elek¬ tronische Motorleistungssteuerung, das heißt eine elektronische Steuerung der Stellung der Drosselklappe, die im wesentlichen vom Fahrerwunsch (Stellung eines vom Fahrer betätigbaren Bedienelements) abhängig ist. Ähnliche Steuereinrichtungen sind in Verbindung mit Dieselmotoren bekannt, wobei dort im Rahmen der Steuerung bzw. Rege¬ lung der Kraftstoffzufuhr eine in Abhängigkeit der Betätigung des Bedienelements stehende Beeinflussung des Leistungsstellelements der Einspritzpumpe vorgesehen ist. Da derartige Systeme leistungser- höhend wirken, sind bezüglich der Uberwachungsmaßnahmen für die steuernden elektronischen Einrichtungen die hohe Anforderungen zu stellen.

In der Vergangenheit wurden daher verschiedene Strategien ent¬ wickelt, die zur Überwachung dieser elektronischen Einrichtungen dienen, und beispielsweise aus der DE-A 35 10 173 (US-A 4 603 675), aus der DE-A 40 04 086, der DE-A 28 39 467 (US-A 4 305 359) sowie der nicht vorveröffentlichten deutschen Patentanmeldung P 41 335 716 bekannt sind.

Aus der DE-OS 35 10 173 (US-A 4 603 675) ist bekannt, die Differenz zwischen Soll- und Istwert für die Stellung einer Drosselklappe dahingehend zu überwachen, ob nach einer vorgegebenen Zeit sich Soll- und Istwert in einem vorgegebenen Toleranzbereich zueinander befinden. Ferner ist vorgesehen, beispielsweise mit dem vom Fahrer betätigbaren Bedienelement zwei Stellungsgeber zu verbinden, wobei ein Fehler im Bereich der Stellungsgeber festgestellt wird, wenn die Signaldifferenz zwischen den beiden Stellungsgebern einen vorgege¬ benen Maximalwert überschreitet.

Aus der DE-A 28 39 467 (US-A 4 305 359) ist bekannt, anhand eines Vergleichs der Stellung des vom Fahrer betätigbaren Bedienelements und der Stellung des Leistungsstellelements eine Fehlfunktion der Steuereinrichtung abzuleiten, indem ein Fehlerzustand dann angenom¬ men wird, wenn sich die Stellung des Bedienelements und die Stellung des Leistungsstellelements sich nicht im Rahmen der vorgegebenen Toleranzen entsprechen.

Schließlich wird in der nicht vorveröf entlichten deutschen Patent¬ anmeldung P 41 33 571 vorgeschlagen, in Verbindung mit dem vom Fah¬ rer betätigbaren Bedienelement und/oder dem Leistungsstellelement drei Stellungsgeber vorzusehen, so daß zur Auswertung bezüglich von Fehlfunktionen im Bereich dieser Stellungsgeber drei Stellungsin¬ formationen zur Verfügung stehen. Dabei wird durch eine sogenannte Zwei-aus-Drei-Auswahl möglich, den fehlerhaften Stellungsgeber zu isolieren und die Funktion der Steuereinrichtung auf der Basis der zwei als funktionsf hig erkannten Stellungsgeber ohne Einschränkung der Verfügbarkeit in vollem Umfang aufrechtzuhalten.

Vorteile der Erfindung

Die erfindungsgemäße Vorgehensweise erlaubt die Realisierung einer Steuereinrichtung mit mehreren Rechenelementen, bei der der Funk¬ tionsumfang der einzelnen Rechenelemente reduziert ist, ohne daß die Betriebssicherheit und Verfügbarkeit der Steuereinrichtung beein¬ trächtigt wird.

Besondere Bedeutung kommt der erfindungsgemäßen Vorgehensweise dadurch zu, daß durch die Aufteilung der Überwachungsmaßnahmen ein flexibles, programmierbares Sicherheitskonzept dargestellt werden kann. Jedes Rechenelement kann bezüglich der ihm zugeordnten Uber¬ wachungsmaßnahmen und bezüglich der Reaktion auf deren Ergebnisse unabhängig vom oder von den anderen Rechenelementen eingerichtet werden.

Insbesondere ist es vorteilhaft, aufwendigere Überwachungsmaßnahmen (für eine feinere Überwachung) einem ersten Rechenelement zuzuord¬ nen, während Überwachungsmaßnahmen einfacherer Art (für eine gröbere Überwachung) von einem zweiten Rechenelement unabhängig vom ersten durchführt werden.

Dabei ist vorteilhaft, daß das zweite Rechenelement einen sehr ge¬ ringen Funktionsumfang aufweist und daher mit geringem Aufwand be¬ reitzustellen ist.

In diesem Zusammenhang ist es vorteilhaft, dem ersten Rechenelement eine Überwachungsfunktion anhand des Soll- und Istwerts des Regel¬ kreises zuzuordnen, dem anderen Rechenelement eine gröbere Überwa¬ chung anhand von Fahrpedalstellung und Stellelementestellung zu übertragen. Dadurch wird das Regelsystem, insbesondere die Lage des Stellelements, durch zwei Überwachungsfunktionen, die in zwei Rechenelementen unabhängig voneinander durchgeführt werden, auf redundanten Pfaden überwacht.

Ein weiterer Vorteil der erfindungsgemäßen Vorgehensweise ist, daß zwischen den beiden Rechenelementen keine starre Kopplung erforder¬ lich ist, so daß beide Rechenelemente weitere Funktionen (z.B. Kraftstoffeinspritzung, Zündung) übernehmen können.

Vorteilhaft ist ferner, im zweiten Rechenelement bei einem elektro¬ nischen Motorleistungssteuerungssystem Überwachungsmaßnahmen bezüg¬ lich extern eingreifender Funktionen, wie Fahrgeschwindigkeitsreg¬ ler, MSR-Eingriff, etc. durchzuführen.

Eine weitere Verbesserung der Betriebsicherheit wird durch Überwa¬ chung der beiden Rechenelemente durch zyklischen Datenaustausch er¬ reicht.

Durch die Unabhängigkeit der beiden Rechenelemente ist die Verwen¬ dung von redundanten (dreifachen) Sensoren von Vorteil, deren Meßsignale jewils ganz oder teilweise in den Rechenelemente zur Funktionsüberprüfung ausgewertet werden.

Weitere Vorteile ergeben sich aus der nachfolgenden Beschreibung von Ausführungsformen und aus den abhängigen Ansprüchen.

Zeichnung

Die Erfindung wird nachstehend anhand der in der Zeichnung darge¬ stellten Ausführungsformen näher erläutert. Dabei zeigt Figur 1 ein Ubersichtsblockschaltbild einer Steuereinrichtung für eine elektro¬ nische Motorleistungssteuerung. In Figur 2 und 3 sind beispielshaft anhand eines bevorzugten Ausführungsbeispiels die in den beiden Rechenelementen jeweils ablaufenden Überwachungsmaßnahmen skizziert.

Beschreibung von Ausführungsformen

In Figur 1 ist eine Steuereinrichtung 10 für eine Antriebseinheit eines Fahrzeugs dargestellt, welche wenigstens die beiden Rechen¬ elemente 12 und 14 umfaßt. Ferner ist ein vom Fahrer betätigbares Bedienelement 16 gezeigt, welches über eine mechanische Verbindung 18 mit drei Stellungsgebern 20, 22 und 24 verbunden ist. In Figur 1 sind diese Stellungsgeber gemäß einem vorteilhaften Ausführungsbei¬ spiel als Potentiometer dargestellt. Dabei wirkt das Bedienelement 16 über die Verbindung 18 auf die beweglichen Schleiferabgriffe 26, 28 und 30 der Stellungsgeber 20, 22 und 24, wobei diese Schleifer¬ abgriffe gemäß der Bewegung des Bedienelements 16 über die Wider- standsbahnen 32, 34 bzw. 36 gleiten. Die Widerstandsbahnen 32, 34 und 36 sind dabei jeweils mit einem positiven Pol 38 und einem nega¬ tiven Pol 40 einer Versorgungsspannung verknüpft. Die mit den Schleiferabgriffen verbundenen Leitungen 42 (Stellungsgeber 20), 44

(Stellungsgeber 22) und 46 (Stellungsgeber 24) sind sowohl mit dem ersten Rechenelement 12 als auch mit dem zweiten Rechenelement 14 verbunden. Ferner sind Meßeinrichtungen 48 bis 50 für Betriebsgrößen der Antriebseinheit und/oder des Fahrzeugs vorgesehen, welche über Leitungen 52 bis 54 mit dem ersten Rechenelement 12 verbunden sind. Ferner sind weitere Meßeinrichtungen 56 bis 58 zur Erfassung von Betriebsgrößen der Antriebseinheit und/oder des Fahrzeugs vorge¬ sehen, die über die Leitungen 60 bis 62 mit dem zweiten Rechenele¬ ment 14 verknüpft sind. Zwischen den beiden Rechenelementen 12 und 14 ist ein Leitungssystem 64 zum seriellen Datenaustausch zwischen den beiden Rechenelementen vorgesehen.

Ferner umfaßt die in Figur 1 dargestellte Steuereinrichtung 10 eine Endstufenanordnung 66, welche über eine Ansteuerleitung 68 mit dem zweiten Rechenelement 14 verbunden ist. Die Endstufenanordnung 66 weist Aktivierungs- bzw. Deaktivierungseingänge 70 und 72 auf, wobei der Eingang 70 über die Leitung 74 mit dem ersten, der Eingang 72 über die Leitung 76 mit dem zweiten Rechenelement 14 verknüpft ist. Die Ausgangsleitung 78 der Endstufe ist Ausgangsleitung der Steuer¬ einrichtung 10. Sie ist auf ein Leistungsstellelement 80 einer nicht dargestellten Antriebseinheit, insbesondere einer Brennkraftma¬ schine, geführt. Dabei handelt es sich in einem bevorzugten Ausfüh¬ rungsbeispiel um eine mittels eines Schrittmotors angetriebenen Drosselklappe.

Das Leistungsstellelement 80 ist über eine mechanische Verbindung 82 mit zwei Stellungsgebern 84 und 86 verbunden, welche in einem bevor¬ zugten Ausführungsbeispiel Potentiometeranordnungen gemäß den Stel¬ lungsgebern 20, 22 und 24 darstellen. Daher umfassen die Stellungs¬ geber 84 und 86 in vergleichbarer Weise Schleiferabgrif e 88, 90, Widerstandsbahnen 92, 94, die an den positiven und negativen Polen der Versorgungsleitung angeschlossen sind. Mit den Schleiferab¬ griffen 88 bzw. 90 sind Signalleitungen 93 bzw. 95 verbunden, welche sowohl auf das erste, als auch auf das zweite Rechenelement geführt sind.

Weitere Funktion, wie z.B. die Kraftstoffzumessung, können, wie durch die Leitung 99 angedeutet, durch das Rechenelement 12 durch¬ geführt werden.

Am Beispiel eines bevorzugten Ausführungsbeispiels wird nachfolgend die Funktion der in Figur 1 beschriebenen Steuereinrichtung darge¬ stellt.

Die drei von den Stellungsgebern 20, 22 und 24 erfaßten Stellungs¬ werte für das Bedienelement 16 werden den beiden Rechenelementen 12 und 14 zugeführt. In beiden Rechenelementen wird dann eine Plausibi- litätsüberprüfung der drei Signalwerte zueinander durchgeführt und für den Fall, daß ein fehlerhafter Signalwert erkannt wurde, dieser von der weiteren Auswertung ausgeschlossen. Sind alle drei Signal¬ werte zueinander unplausibel, so schaltet das erkennende Rechen¬ element über die Leitung 74 die Endstufe 66 ab und übermittelt an das jeweils andere Rechenelement über die Leitung 64 eine entspre¬ chende Information.

Im Rechenelement 12 werden ferner unter anderem die folgenden Ma߬ nahmen durchgeführt.

Aus den zugeführten, zueinander plausiblen Stellungssignalwerten bildet das Rechenelement 12, gegebenenfalls unter Berücksichtigung von weiteren, von den Meßeinrichtungen 48 bis 50 erfaßten Betriebs¬ größen, einen Stellungssollwert für das Leistungsstellelement 80.

Die oben erwähnten weiteren Betriebsgrößen sind dabei insbesondere Getriebeparameter, Eingriffssignale einer Antriebsschlupfregelung (ASR) oder einer Motorschleppmomentregelung (MSR) sowie (für den Bereich der Leerlaufregelung) Fahrgeschwindigkeit, Motordrehzahl, Motortemperatur, etc. Ferner kann im Rechenelement 12 auch die Funk¬ tion einer Fahrgeschwindigkeitsregelung vorgesehen sein, so daß

über die Leitungen 52 bis 54 auch die Stellung eines Bedienhebels, ein Signal bezüglich der Bremsbetätigung sowie weitere zur Fahrge- schwindigkeitsregelung notwendige Signalwerte zugeführt werden.

Der Sollwert für die Stellung des Leistungsstellelements wird im Rechenelement 14 in eine vorgegebene Anzahl von Schritten zur Steu¬ erung eines Schrittmotors für das Stellelement 80 umgesetzt. Dabei läuft ein sogenannter Schrittzähler mit, dessen Zählerstand die An¬ zahl der auszuführenden Schritte repräsentiert und somit ein Maß für die Stellung des Schrittmotors bzw. des Stellelements 80 darstellt.

Über die Eingangsleitungen 93 und 95 werden den Rechenelementen 12 und 14 Signalwerte für die Stellung des Stellelements 80 zugeführt. Dabei werden in beiden Rechenelementen die Lageinformationen der beiden Stellungsgeber sowie des Schrittzählerstandes auf Plausibili- tät gegeneinander geprüft und ähnlich wie im Falle der Stellungs¬ signale für das Bedienelement 16 fehlerhafte Lageinformationen aus¬ geschlossen oder bei Plausibilität der beiden Signalwerte der Stel¬ lungsgeber 84 und 86 zueinander bei unplausiblem Schrittzähler auf Schrittverlust geschlossen und der Schrittzähler entsprechend ange¬ paßt. Aus den zugeführten Signalwerten für die Stellung des Stell¬ elements 80 wird ein Istwert der Drosselklappe berechnet, welcher verglichen mit dem berechneten Sollwert ein Maß für die Funktions- fähigkeit des Systems ergibt. Dabei wird untersucht, ob zwischen Soll- und Istwert der Stellung des Stellelements 80 eine bleibende Abweichung besteht. Ist dies der Fall, wird die Endstufenanordnung 66 vom Rechenelement 12 abgeschaltet und der Fehlerzustand über die serielle Schnittstelle 64 dem zweiten Rechenelement 14 mitgeteilt.

Ferner finden im Rechenelement 12 Überwachungsmaßnahmen bezüglich der Einzelsignale statt (Überwachung des Signalwertebereichs).

Insbesondere wird ein MSR-Eingriffssignäl, welches einer stellungs- vergrößernde Ansteuerung des Stellelements bedeutet, zum einen vom Rechenelement 12 an das Rechenelement 14 weitergeleitet, zum anderen auf einen plausiblen Signalbereich geprüft. Ist ein derartiges Signal nicht plausibel, d.h. befindet sich der Signalwert außerhalb eines vorgegebenen Signalwertebereichs, so wird es dem Rechenelement 14 entsprechend mitgeteilt und die MSR-Funktion ausgeschaltet.

Der berechnete Sollwert wird ferner über die Schnittstelle 64 an das Rechenelement 14 abgegeben, welches den Schrittmotor über eine Stromregelung gemäß den Vorgaben einstellt.

Im Rechenelement 14 werden ferner unter anderem die folgenden Ma߬ nahmen durchgeführt.

Diesem Rechenelement werden ebenfalls die Stellungssignale der Sen¬ soren bzw. Geber 20, 22, 24, 84 und 86 zugeführt. Die oben beschrie¬ benen Plausibilit tsüberprufungen bezüglich der Stellungssignale von Bedienelement 16 und Stellelement 80 werden daher im Rechenelement 14 mit Hilfe eines Schrittzählers ebenfalls vorgenommen. Darüber hinaus ist vorgesehen, daß im Rechenelement 14 eine zusätzliche, gröbere Überwachung stattfindet. Dabei wird der Stellungswert (be¬ rechneter Istwert oder Einzelsignalwerte der Geber 84 und/oder 86) des Stellelements 80 mit dem Stellungswert (Einzelsignalwerte der Geber 20, 22, 24 oder aus diesen berechneter Wert bzw. ein einzelner der Werte) des Bedienelements 16 in Beziehung gesetzt und auf einen vorgegebenen Toleranzbereich überprüft. Befindet sich der Stellungs¬ istwert oberhalb eines von der Stellung des Fahrpedals festgelegten Toleranzbereichs, so wird eine Fehlfunktion des Systems erkannt, die Endstufenanordnung über die Leitung 76 abgeschaltet und über die Leitung 64 dem Rechenelement 12 mitgeteilt. Diese Überwachungsma߬ nahmen ist zu der Überwachung des Regelkreises, die im Element 12

durchgeführt wird, redundant. Somit wird die Funktion des Regelkrei¬ ses durch zwei Uberwachungsmaßnahmen, die unabhängig voneinander in zwei Rechenelementen durchgeführt werden, überprüft. Dadurch wird Betriebsicherheit und Verfügbarkeit unter Verringerung des Funk¬ tionsumfang der Rechenelemente verbessert, da auf jeweils zwei redundante Überwachungsmaßnahmen in jedem Rechenelement verzichtet werden kann.

Ferner wird im Rechenelement 14 die Plausibilitätsüberprüfung des MSR-Eingriffes vorgenommen. Dabei wird der durch die MSR-Funktion eingestellte Drosselklappenwinkel anhand des Istwertes des Stell¬ elements und des Stellungswert des Bedienelements auf einen beim MSR-Eingriff vorgegebenen plausiblen Bereich überprüft. Befindet sich die Stellung des Stellelements oberhalb dieses plausiblen Be¬ reichs, so wird die Endstufenanordnung abgeschaltet und der Fehler¬ zustand dem Rechenelement 12 mitgeteilt.

Ferner können im Rechenelement 14 Maßnahmen ergriffen werden, welche die Ein- bzw. Ausschaltbedingungen des Fahrgeschwindigkeitsreglers festlegen (Ausschalten bei Bremsbetätigung, bei Unterschreiten einer minimalen Geschwindigkeitsgrenze, bei Betätigung des "Aus"-Schalters etc. ) .

Das Rechenelement 12 kann ferner in einem bevorzugten Ausführungs- beispiel darüber hinaus auch noch Aufgaben bezüglich der Kraftstoff¬ einspritzung, der Zündungseinstellung oder der Getriebesteuerung enthalten. In anderen vorteilhaften Ausführungsbeispielen kann auch vorgesehen sein, daß die Ansteuerung des Schrittmotors nicht vom Rechenelement 14, sondern vom Rechenelement 12 vorgenommen wird.

Ferner kann die beschriebene Aufteilung auch in Verbindung mit Die¬ selmotoren vorteilhaft sein.

Anstelle der Potentiometer als Stellungsgeber ist es in anderen Aus¬ führungsbeispielen vorteilhaft, berührungslose Stellungsgeber zu verwenden, wobei es auch vorteilhaft sein kann, eine Kombination von Potentiometern und berührungslosen Stellungsgebern vorzusehen. Fer¬ ner kann einer der drei Stellungsgeber auch als Schaltelement ausge¬ führt sein.

Gleiche Überlegungen gelten in Verbindung mit den Stellungsgebern für das Stellelement 80.

Figur 2 skizziert anhand eines Flußdiagramms die vom Rechenelement 12 durchgeführten Überwachungsmaßnahmen.

Dabei wird in einem ersten Schritt 100 der Zählerstand Z des Schrittzählers ermittelt, die Stellungswerte der drei Stellungsgeber 20, 22 und 24 (PWG1, 2, 3) sowie der Stellungsgeber 84 und 86 (DK1, 2) sowie gegebenenfalls weitere Betriebsgrößen eingelesen.

Danach wird in einem Schritt 102 gemäß den aus dem Stand der Technik bekannten Maßnahmen eine Plausibilitätsüberprüfung sowohl der drei Stellungssignalwerte des Bedienelements 16 zueinander als auch der zwei Stellungssignalwerte des Stellelements 80 und des Schritt¬ zählerstandes vorgenommen.

Im darauffolgenden Abfrageschritt 104 wird überprüft, ob die Plausi¬ bilitätsüberprüfung bezüglich der Bedienelementestellung und/oder der Stellelementestellung zu einem fehlerfreien Resultat geführt haben. Ist dies der Fall, so wird im darauffolgenden Schritt 106 die als Basis für eine Berechung eines Stellungssollwerts für das Stell¬ element dienenden Signalwerte der Stellung des Bedienelements bzw. die als Basis einer Berechnung des Istwerts dienenden Signalwerte der Stellelementestellung bestimmt. Im einem vorteilhaften Ausfüh¬ rungsbeispiel können diese Werte in diesem Schritt berechnet (z.B.

Mittelwertbildung, ein Signalwert bevorzugt, etc.) oder in einem separaten Programmschritt ermittelt werden.

Wurde im Schritt 104 erkannt, daß die Plausibilitatsüberprufungen gemäß Schritt 102 einen Fehlerzustand ergeben haben, so wird im Ab¬ frageschritt 107 überprüft, ob durch die Plausibilitatsabfrage gemäß Schritt 102 bezüglich Bedienelementstellung und/oder Stellelement¬ stellung zwei zueinander plausible Signalgrößen ausgewählt wurden. Bei unplausiblem Schrittzählerstand wird dieser auf die von den Stellungsgebern ermittelten Werte gesetzt.

Ist dies der Fall, wird gemäß Schritt 108 auf der Basis der zueinan¬ der plausiblen Signalwerte entsprechend Schritt 106 verfahren.

Sind alle im Schritt 102 verfügbaren Signale der Bedienelementestel¬ lung oder der Stellelementestellung zueinander unplausibel, so wird gemäß Schritt 112 die Endstufenanordnung abgeschaltet, eine Notlauf¬ einrichtung (Abschalten der Kraftstoffzufuhr oberhalb einer vorge¬ gebenen Drehzahl) aktiviert und eine entsprechende Mitteilung an das Rechenelement 14 geschickt.

Die beschriebenen Maßnahmen werden parallel sowohl bezüglich der Stellungssignale des Bedienelements als auch bezüglich der Stel¬ lungssignale des Stellelements durchgeführt.

Im auf die Schritte 106 bzw. 108 folgenden Schritt 111 wird der er¬ mittelte Sollwert mit den Istwert der Stellelementestellung zur Überwachung des Regelkreises verglichen. Weichen beide Werte vonein¬ ander außerhalb einer vorgegebenen Toleranz ab, so wird mit Schritt 112 fortgefahren. Stimmen die beide Werte im Rahmen der Toleranz überein, so wird in dem auf den Schritt 111 folgenden Schritt 114 wird die Plausibilität der MSR-Eingriffssignale (ein in Richtung "Öffnen" des Stellelement wirkender Sollwert) im Rahmen einer

Signalwertebereichsüberprüfung überprüft. Wurde im Schritt 114 ein Fehler erkannt, so wird dies gemäß Schritt 116 dem Rechenelement 14 mitgeteilt und die MSR-Funktion gesperrt. Danach ist, wie auch bei fehlerfreien MSR-EingriffSignalen der Programmteil beendet.

Das in Figur 2 dargestellte Flußdiagramm beschreibt lediglich die im Rechenelement 12 vorgenommenen Uberwachungsmaßnahmen. Selbstver¬ ständlich werden im Rechenelement 12 weitere Aufgaben durchgeführt, wie beispielsweise zusätzliche bekannte Überwachungmaßnahmen bezüg¬ lich anderer Signale und Maßnahmen wie Berechnung des Zündzeit- punkts, der Einspritzmenge oder eine Fahrgeschwindigkeitsregelung.

In vergleichbarer Weise zeigt Figur 3 ein Flußdiagramm der im Rechenelement 14 vorgenommenen Uberwachungsmaßnahmen, wobei auch hier darauf hingewiesen wird, daß im Rechenelement 14 auch weitere Aufgaben durchgeführt werden, die beispielsweise der Ansteuerung des Schrittmotors dienen.

Auch hier werden im ersten Schritt 200 die Signalwerte der Stel¬ lungsgeber des Bedienelements sowie des Stellelements eingelesen, der Schrittzählerstand ermittelt, über die Leitung 46 der vom Rechenelemεnt 12 berechnete Sollwert eingelesen sowie die weitere Betriebsgrößen die gegebenenfalls über die Eingangsleitungen 60 bis 62 zugeführt werden.

Analog zum Flußdiagramm nach Figur 2 werden in den Schritten 202, 204, 207 und 212 die Signalwerte der Stellungsgeber des Bedienele¬ ments und des Stellelements auf Plausibilität untereinander über¬ prüft und im fehlerfreien Fall gemäß Schritt 206 Stellungswerte, welche Bedienelement- und Stellelementeposition repräsentieren, er¬ mittelt bzw. die zur Ermittlung dienenden Signalwerte bestimmt. Im Fehlerfall entsprechend Schritt 207 (107) und im Defektfall (Schritt 207 "Nein") wird entsprechend Schritt 208 bzw. 212 (Mitteilung an 12, Abschalten der Endstufe) gemäß Schritt 108 bzw. 112 reagiert.

Führte die Plausibilitätsüberprüfung im Schritt 202 dazu, daß wenig¬ stens zwei Signalwerte jeweils zueinander plausibel sind, eine Stellelementestellung sowie eine Bedienelementestellung gebildet werden konnten, wird im Schritt 214 abgefragt, ob der Fahrgeschwin¬ digkeitsregler aktiv ist. In diesem Fall werden mit Schritt 216 und 217 die Funktionsbedingungen für die Fahrgeschwindigkeitsregelung überprüft (Bremsbetätigung, Ein-/Aus-Schalter, Bedienelement arbei¬ tet korrekt) und gegebenenfalls die Fahrgeschwindigkeitsregelung außer Funktion gesetzt, indem dem Rechenelement 12 eine entsprechen¬ de Mitteilung zugeführt wird (Schritt 218). Danach wird der Pro- grammteil für aktive Fahrgeschwindigkeitsregelung beendet.

Befindet sich das System nicht im Fahrgeschwindigkeitsregelbetrieb, so wird gemäß Schritt 220 eine Überwachung der Stellung des Stell¬ elements 80 in Bezug auf die Stellung des Bedienelements 16 durchge¬ führt. Dabei wird überprüft, ob die beiden Stellungen zueinander im Rahmen einer Toleranz zueinander plausibel sind oder in einer beson¬ ders einfachen Form, ob die Stellelementestellung wesentlich größer als vom Bedienelement vorgegeben ist. Ist dies der Fall, so wird gemäß Schritt 212 die Endstufe abgeschaltet und eine Mitteilung an das Rechenelement 12 geschickt, welches gegebenenfalls die Kraft¬ stoffzufuhr abschaltet. Im fehlerfreien Fall wird im Schritt 222 eine Überprüfung der MSR-Funktion durchgeführt. Dabei wird die Stel¬ lung des Stellelements mit der vom MSR-Eingriffsignal geforderten Stellung verglichen und ein Fehler dann erkannt, wenn die Stellung des Stellelements 80 im wesentlichen größer ist als der vom MSR-Ein¬ griffsignal vorgegebene Stellungswert. Im Fehlerfall folgt Schritt 212, im fehlerfreien wird der Programmteil beendet.

Darüberhinaus wird im Rechenelement 14 die Ansteuerung des Schritt¬ motors abhängig vom im Rechenelement 12 ermittelten Sollwert durch¬ geführt.

In einem bevorzugten Ausführungsbeispiel führt das Rechenelement 12 weitere Funktionen durch, wie z.B. Ansteueraufgaben für Einspritz- ventile, Berechnungsaufgabe (Sensorsignalauswertung), Begrenzungs¬ aufgaben (Geschwindigkeitsbegrenzung) etc.

Neben der dargestellte Aufteilung der Überwachungsmaßnahmen kann in anderen vorteilhaften Ausführungsformen weitere Aufteilungen vorge¬ sehen sein. Wichtig dabei ist, daß die Aufteilung derart vorgenommen wird, daß eine im ersten Rechenelement durchgeführte Überwachung im zweiten auf einem redundanten Pfad wiederholt wird.

Beispielsweise kann die beschriebene Plausibilitätsüberprüfung der Stellungsgebersignale im zweiten Rechenelement auf eine einfachere Art (Vergleich nur zweier Werte) erfolgen.