DE19716197A1

DE19716197A1 - Mikroprozessorsystem für sicherheitskritische Regelungen

Info

Publication number: DE19716197A1
Application number: DE19716197A
Authority: DE
Inventors: Bernhard Giers
Original assignee: ITT Manufacturing Enterprises LLC
Current assignee: Continental Teves AG and Co OHG
Priority date: 1997-04-18
Filing date: 1997-04-18
Publication date: 1998-10-22
Also published as: EP0976012B1; US6823251B1; DE59804897D1; EP0976012A1; WO1998048326A1; JP2001521661A

Description

Die Erfindung bezieht sich auf ein Mikroprozessorsystem der im Oberbegriff des Hauptanspruchs beschriebenen Art. Es han delt sich also um ein System für sicherheitskritische Rege lungen, mit redundanter Datenverarbeitung, mit mehreren Zen traleinheiten, welche über separate Bus-Systeme mit Fest wertspeichern und Schreib-Lesespeichern, die auch Speicher plätze für Prüfdaten enthalten, mit Eingabe- und Ausgabeein heiten und mit Vergleichern, die die Ausgangsdaten oder Aus gangssignale der Zentraleinheiten auf Übereinstimmung über prüfen, verbunden sind. Diese Zentraleinheiten arbeiten das gleiche Programm ab, wobei die Zentraleinheiten über die Bus-Systeme miteinander kommunizieren und wobei die Bus-Sy steme untereinander durch Bypässe verbunden sind, die den Zentraleinheiten ein gemeinsames Lesen und Abarbeiten der anstehenden Daten, einschließlich der Prüfdaten und Befehle, ermöglichen.

Zu den sicherheitskritischen Regelungen dieser Art zählen u. a. die in die Bremsenfunktion eines Kraftfahrzeugs ein greifenden Regelungssysteme, die in großer Anzahl und großer Vielfalt auf dem Markt sind. Beispiele hierfür sind die An tiblockiersysteme (ABS), Antriebsschlupfregelungssysteme (ASR), Fahrstabilitätsregelungen (FDR, ASMS), Fahrwerksrege lungssysteme etc. Ein Ausfall eines solchen Regelungssystems führt zur Gefährdung der Fahrstabilität des Fahrzeugs. Daher wird die Funktionsfähigkeit der Systeme ständig überwacht, um beim Auftreten eines Fehlers die Regelung abschalten oder in einen für die Sicherheit weniger gefährlichen Zustand umschalten zu können.

Noch kritischer sind Bremssysteme bzw. Kraftfahrzeug-Rege lungssysteme, bei denen bei Ausfall der Elektronik keine Umschaltung auf ein mechanisches oder hydraulisches System möglich ist. Hierzu zählen Bremssystemkonzepte, wie "brake by-wire", die voraussichtlich in der Zukunft noch an Bedeu tung gewinnen werden; die Bremsenfunktion ist bei solchen Systemen auf eine intakte Elektronik angewiesen.

Ein Beispiel für eine Schaltungsanordnung oder ein Micro prozessorsystem zur Steuerung und Überwachung einer blockiergeschützten Fahrzeugbremsanlage ist aus der DE 32 34 637 C2 bekannt. Nach dieser Schrift werden die Eingangsdaten zwei identisch programmierten Microcomputern parallel zu geführt und dort synchron verarbeitet. Die Ausgangssignale und Zwischensignale der beiden Microcomputern werden mit Hilfe von redundanten Vergleichern auf Übereinstimmung ge prüft. Wenn die Signale voneinander abweichen, wird über eine ebenfalls redundant ausgelegte Schaltung eine Abschal tung der Regelung herbeigeführt. Bei dieser bekannten Schal tung dient einer der beiden Microcomputer zur Erzeugung der Bremsdrucksteuersignale, der andere zur Bildung der Prüf signale. Bei diesem symmetrisch aufgebauten Microprozessor system sind also zwei vollständige Microcomputer, einschließlich der zugehörigen Festwert- und Schreib-Le se-Speicher, erforderlich.

Nach einem anderen bekannten System, nach dem die in der DE 41 37 124 A1 beschriebene Schaltung aufgebaut ist, werden die Eingangsdaten ebenfalls zwei Microcomputern parallel zugeführt, von denen jedoch nur einer die vollständige, auf wendige Signalverarbeitung ausführt. Der zweite Microcompu ter dient vornehmlich zur Überwachung, weshalb die Eingangs signale nach Aufbereitung, Bildung von zeitlichen Ableitun gen etc. mit Hilfe vereinfachter Regelalgorithmen und ver einfachter Regelphilosophie weiterverarbeitet werden können. Die vereinfachte Datenverarbeitung reicht zur Erzeugung von Signalen aus, die durch Vergleich mit den in dem aufwendige ren Microcomputer verarbeiteten Signalen Rückschlüsse auf den ordnungsgemäßen Betrieb des Systems zulassen. Durch die Verwendung eines Prüf-Microcomputers geringerer Leistungs fähigkeit läßt sich der Herstellungsaufwand im Vergleich zu einem System mit zwei vollständigen, aufwendigen Microcom putern gleicher Leistung reduzieren.

Aus der DE 43 41 082 A1 ist bereits ein Mikroprozessorsystem bekannt, das insbesondere für das Regelsystem einer blockiergeschützten Bremsanlage vorgesehen ist. Dieses be kannte System, das auf einem einzigen Chip untergebracht werden kann, enthält zwei Zentraleinheiten, in denen die Eingangsdaten parallel verarbeitet werden. Die Festwert- und die Schreib-Lese-Speicher, die an die beiden Zentraleinhei ten angeschlossen sind, enthalten zusätzliche Speicherplätze für Prüfinformationen und umfassen jeweils einen Generator zur Erzeugung von Prüfinformationen. Die Ausgangssignale eines der beiden Zentraleinheiten werden zur Erzeugung -der Steuersignale weiterverarbeitet, während die andere als pas sive Zentraleinheit lediglich zur Überwachung der aktiven Zentraleinheit dient.

Bei den vorgenannten, bekannten Systemen wird also grund sätzlich die erforderliche Sicherheit durch Redundanz der Datenverarbeitung erreicht. Im ersten Fall (DE 32 34 637 C2) basiert das System auf die Verwendung von zwei Prozessoren mit identischer Software, was in Fachkreisen als symmetri sche Redundanz bezeichnet wird. Im zweiten Fall (DE 41 37 124 A1) werden zwei Prozessoren mit unterschiedlicher Soft ware verwendet (sog. asymmetrische Redundanz). Grundsätzlich ist es auch möglich, einen einzigen Prozessor zu verwerten, der auf Basis unterschiedlicher Algorithmen die Eingangs daten verarbeitet, wobei dann zusätzliche Überprüfungsalgo rithmen zum Feststellen eines fehlerfreien Arbeitens Anwen dung finden.

Schließlich ist aus der DE 195 29 434 A1 (P7959) bereits ein System der eingangs genannten Art bekannt, das man als Sy stem mit Kernredundanz interpretieren könnte. Bei diesem bekannten Mikroprozessorsystem sind zwei synchron betriebene Zentraleinheiten auf einem oder auf mehreren Chips vorgese hen, die die gleichen Eingangsinformationen erhalten und das gleiche Programm abarbeiten. Die beiden Zentraleinheiten sind dabei über separate Bus-Systeme an die Festwert- und an die Schreib-Lese-Speicher sowie an Eingabe- und Ausgabeein heiten angeschlossen. Die Bus-Systeme sind untereinander durch Treiberstufen bzw. Bypässe verbunden sind, die den beiden Zentraleinheiten ein gemeinsames Lesen und Abarbeiten der zur Verfügung stehenden Daten, einschließlich der Prüf daten und Befehle ermöglichen. Das System ermöglicht eine Einsparung von Speicherplatz. Nur eine der beiden Zentral einheiten ist (direkt) mit einem vollwertigen Festwert- und einem Schreib-Lese-Speicher verbunden, während die Speicher kapazität des zweiten Prozessors auf Speicherplätze für Prüfdaten (Paritätsüberwachung) in Verbindung mit einem Prüfdatengenerator beschränkt ist. Zugriff zu allen Daten besteht über die Bypässe. Dadurch sind beide Zentraleinhei ten in der Lage, jeweils das vollständige Programm abzuar beiten.

Alle vorgenannten Systeme beruhen grundsätzlich auf dem Ver gleich redundant verarbeiteter Daten und der Erzeugung eines Fehlersignals, wenn Abweichungen auftreten. Beim Auftreten eines Fehlers oder Ausfall eines Systems kann dann die Rege lung abgeschaltet werden. In keinem Fall ist eine Notlauf funktion, nämlich einer Fortsetzung der Regelung nach dem Auftreten des Fehlers, möglich. Eine solche Notlauffunktion wäre grundsätzlich nur durch Verdoppelung der redundanten Systeme in Verbindung mit einem Identifizieren und Abschal ten der Fehlerquelle denkbar.

Der vorliegenden Erfindung liegt nun die Aufgabe zugrunde, ein Mikroprozessorsystem der eingangs genannten Art mit höchstens geringem Mehraufwand derart auszugestalten, daß beim Auftreten eines Fehlers ohne Beeinträchtigung der Si cherheit eine Notlauffunktion möglich wird.

Es hat sich herausgestellt, daß diese Aufgabe durch das im Anspruch 1 beschriebene Mikroprozessorsystem gelöst werden kann. Die Besonderheit dieses Systems besteht darin, daß mindestens drei Zentraleinheiten mit den zugehörigen Bus systemen vorhanden sind, die durch redundante Peripherie-Ein heiten zu mindestens zwei vollständigen Regelungssignal kreisen erweitert und derart zusammengeschaltet sind, daß bei Ausfall einer Zentraleinheit oder einer zugehörigen Kom ponente durch Majoritätsentscheid die fehlerhafte Zentral einheit identifiziert wird und eine Notlauffunktion gewähr leistet ist, wobei eine Ausgabe oder Erzeugung von Steuer signalen in Abhängigkeit von der fehlerhaften Zentraleinheit verhindert wird. Während der Notlauffunktion wird vorzugs weise eine redundante Datenverarbeitung und Vergleich der Datenverarbeitungsergebnisse auf Übereinstimmung aufrecht erhalten und eine Nicht-Übereinstimmung der Datenverarbei tungsergebnisse signalisiert.

Die Erfindung geht also gewissermaßen von dem vorgenannten, aus der DE 195 29 434 A1 bekannten System aus, das im Prin zip aus einem vollständigen und einem unvollständigen Datenverarbeitungssystem besteht, und erweitert dieses Sy stem durch ein zusätzliches, vollständiges Datenverarbei tungssystem mit den zugehörigen Peripherie-Einheiten. Auf diese Weise entstehen zwei vollständige Regelungssignalkrei se oder Regelungssignalverarbeitungssysteme, die zu einem notlauffähigen Gesamtsystem zusammengeschaltet sind, das auch bei Ausfall eines Prozessors bzw. einer Zentraleinheit eine Aufrechterhaltung der Regelung mit redundanter Daten verarbeitung und damit mit der geforderten hohen Sicherheit gewährleistet. Durch die erfindungsgemäße Zusammenschaltung der einzelnen Systeme oder Komponenten wird also auch bei Ausfall eines Prozessors die Redundanz der Datenverarbeitung aufrechterhalten.

Der Gesamtaufwand an Speicherplätzen, der wesentlich den Preis des Mikroprozessorsystems bestimmt, wird im Vergleich zu einer Verarbeitung in einem nicht redundanten System le diglich um wenig mehr als 100% erhöht, wobei die Aufteilung und Zuordnung der Speicherplätze zu den einzelnen Prozesso ren in weiten Grenzen variabel ist; es muß lediglich sicher gestellt sein, daß jeder einzelne Prozessor bzw. jede ein zelne Prozessoreinheit das volle Programm abarbeiten kann und außerdem zu den Prüfdaten bzw. Redundanzdaten Zugriff hat. Im Vergleich zu einem nicht redundanten System wird eine verdoppelte Speicherkapazität, zuzüglich einiger Spei cherplätze für die Redundanzdaten, benötigt.

Die erfindungsgemäße Ausgestaltung des Mikroprozessorsystems ermöglicht die Unterbringung aller oder der wesentlichen Komponenten, insbesondere sämtlicher Zentraleinheiten, Spei cher, der Vergleicher und der Bypässe sowie ggf. auch der Eingabe- und Ausgabeeinheiten, auf einem einzigen Chip.

Nach einem Ausführungsbeispiel der Erfindung sind drei Zen traleinheiten mit je einem Bus-System vorgesehen sind, wobei für die Festwert- und für die Schreib-Lese-Speicher jeweils mindestens die doppelte Anzahl von Speicherplätzen im Vergleich zu den für ein nicht redundantes System benötigten Speicherplätzen zur Verfügung steht. Über die Bypässe sind alle Zentraleinheiten mit den Speicherplätzen in Schreib- und in Leserichtung und mit allen Eingabe- und Ausgabeein heiten untereinander verbunden.

Die drei Zentraleinheiten bilden zusammen mit den Speichern, mit den Eingabe- und Ausgabeeinheiten und mit den Peripherie-Einheiten, einschließlich der Spannungsversorgung etc., insgesamt zwei vollständige und ein unvollständiges Datenverarbeitungssystem; die für einen vollständigen Pro grammablauf benötigten Speicherplätze sind allerdings auf jeweils zwei Datenverarbeitungssysteme aufgeteilt. Diese Datenverarbeitungssysteme umfassen vorteilhafterweise je weils mindestens eine Zentraleinheit und ein Bus-System so wie Festwert- und Schreib-Lese-Speicher und/oder Redundanz informationsspeicher, wobei die Speicherplätze derart auf die einzelnen Datenverarbeitungssysteme verteilt sind, daß beim Auftreten eines Fehlers und Übergang zur Notlauffunk tion die intakten Systeme ausreichend Speicherplätze für die komplette Datenverarbeitung und für Redundanzinformationen enthalten und das komplette Programm abarbeiten.

Ein weiteres Ausführungsbeispiel nach der Erfindung besteht darin, daß zumindest die Zentraleinheiten mit den Bus-Syste men, die Speicher, die Bypass-Einheiten, die Eingabe- und Ausgabeeinheiten und einige oder alle Vergleicher auf einem gemeinsamen Chip angeordnet sind.

In den Unteransprüchen sind noch weitere vorteilhafte Aus führungsbeispiele beschrieben.

Aus der beigefügten Abbildung, welche in schematisch verein fachter Darstellung die wesentlichen Komponenten eines Mi kroprozessorsystems nach der Erfindung wiedergibt, und aus der nachfolgenden Beschreibung gehen weitere Einzelheiten der Erfindung hervor. Diese Abbildung dient zur Erläuterung des prinzipiellen Aufbaus und der Wirkungsweise eines Ausführungsbeispiels der Erfindung.

Die Abbildung bezieht sich auf ein Ein-Chip-Mikrocomputer system, das drei synchron betriebene Prozessoren oder Zen traleinheiten 1, 2, 3, die auch als Rechner- oder, wegen ihrer Funktion, als Prozessorkerne bezeichnet werden. Jedem Pro zessor ist ein Bus-System 4, 5, 6 zugeordnet. Die Zentralein heiten 1, 2, 3 sind an eine synchrone Taktversorgung cl (common clock), die redundant ausgelegt ist, angeschlossen.

Die Zentraleinheit 1 bzw. der Prozessorkern 1 ist durch ei nen Festwertspeicher 7 (ROM 1), durch einen Schreib-Lese-Spei cher 8 (RAM 1), durch eine Eingabe- und Ausgabeeinheit 9 zu einem vollständigen Datenverarbeitungssystem oder Mikro computer MC1 ergänzt. Die notwendigen Peripheriekomponenten (Peripherie 1) sind durch einen externen Block 10 symboli siert. Zu den Peripheriekomponenten zählen die Spannungs versorgung, die Zuführung der Eingangssignale (z. B. der Sen sorsignale bei einem KFZ-Regelungssystem) und die Aktuator- oder Ventilansteuerung etc. mit Hilfe der Ausgangsdaten oder -signale der Datenverarbeitungssysteme.

Ein zweites, unvollständiges Datenverarbeitungssystem oder Mikrocomputer MC2, in dem die Zentraleinheit 2 untergebracht ist, enthält im wiedergegebenen Ausführungsbeispiel ledig lich Speicherplätze für Prüfdaten bzw. für die Redundanz funktion. Symbolisch dargestellt sind im Inneren des Mikro computers MC2 Festwertspeicherplätze 12 für eine Paritäts überwachung (Paritäts-ROM) und Speicherplätze 13 für die Redundanzdaten im Schreib-Lese-Bereich (Paritäts-ROM). Die zugehörigen Prüfdaten- oder Redundanzgeneratoren sind der besseren Übersichtlichkeit wegen nicht dargestellt.

Über das Bus-System 5 (BUS 2) und über einen Bypass 14 sind BUS 1 (Bus-System 4) und BUS 2 (Bus-System 5) miteinander verbunden. Der Bypass 14 ermöglicht der Zentraleinheit 1 ein Lesen der in den Speicherplätzen 12, 13 gespeicherten Pari tätsdaten und gestattet einen Datenfluß von den Speichern 7, 8 und dem Prozessorkern 1 des Mikrocomputers MC1 zu dem Mikrocomputer MC2, insbesondere zu der Zentraleinheit 2. Auf diese Weise ist ein redundantes Abarbeiten des vollständigen Datenverarbeitungs-Programms durch beide Zentraleinheiten 1, 2 gewährleistet. Noch weitere Einzelheiten zu dem Aufbau und der Funktionsweise solcher Mikroprozessorsysteme sind der vorgenannten DE 195 29 434 A1 zu entnehmen.

Die Datenverarbeitungs-Ergebnisse beider Systeme MC1, MC2 bzw. Prozessoren 1, 2 werden, wie ebenfalls in der vorgenann ten Schrift erläutert ist, mit Hilfe eines Vergleichers 15 auf Übereinstimmung überwacht; es ist ein unmittelbarer Ver gleich der Ausgangssignale beider Prozessoren mit Hilfe ei nes Hardware-Vergleichers 15 vorgesehen.

Ein wesentliches Merkmal des Mikroprozessorsystems nach der Erfindung und des in der Abbildung dargestellten Ausführungsbeispiels besteht nun darin, daß das eben beschriebene, aus der DE 195 29 434 A1 bekannte System durch ein weiteres, vollständiges Datenverarbeitungssystem, näm lich durch einen Mikrocomputer MC3, der ebenfalls mit dem unvollständigen Mikrocomputer MC2 und auch mit dem Mikrocom puter MC1 zusammenwirkt, erweitert ist. Ein Teil der Funk tionen des zusätzlichen Mikrocomputersystems (MC3), insbe sondere das Speichern der Festwert- und der Schreib-Lese-Da ten, kann allerdings auf das zweite Mikrocomputersystem MC2 und auch auf das erste System MC1 übertragen werden, weil das Gesamtsystem für die Gewährleistung der Redundanz funktion insgesamt nur die doppelte Speicherkapazität, zu züglich einiger Speicherplätze für die Redundanzinformation, im Vergleich zu einem nicht redundanten, das gleiche Pro gramm abarbeitenden System benötigt. Die Speicherkapazität muß dabei auf die drei Datenverarbeitungssysteme MC1, MC2, MC3 derart verteilt werden, daß bei Ausfall eines Systems die verbleibenden Systeme einen ausreichenden Speicherplatz, nämlich mindestens 100% zuzüglich der Redundanzdaten, bie ten. Im dargestellten Ausführungsbeispiel sind die beiden Mikrocomputersysteme MC1 und MC3 jeweils mit einer Speicher kapazität von 100% im Vergleich zu den für ein nicht redun dantes System benötigten Speicherplätzen ausgerüstet, wäh rend sich im Mikrocomputersystem MC2 lediglich die wenigen Plätze für die Redundanzdaten befinden.

Das dritte Mikrocomputersystem MC3 ist mit dem (unvollstän digen) Mikrocomputer MC2 ebenfalls durch einen Bypass bzw. eine Bypass-Einheit 16 verbunden. Dieser Bypass hat die gleiche Funktion wie der bereits eingehend beschriebene By pass 14 und ermöglicht daher auch den Zentraleinheiten 2 und 3 die redundante Verarbeitung aller Eingangsdaten.

Das Mikroprozessorsystem MC3 enthält einen Festwertspeicher 17 (ROM 2), einen Schreib-Lese-Speicher 18 (RAM 2), eine Eingabe- und Ausgabeeinheit 19 und Peripherie-Komponenten 20 (Peripherie 2). MC1 und MC3 sind im dargestellten Ausfüh rungsbeispiel vollständige Mikrocomputer, für die aller dings, wie zuvor erläutert, eine reduzierte Speicherkapazi tät genügt.

Über die Bypässe 14, 16 ist ein Datenfluß in beiden Richtun gen vom BUS 1 (Bus-System 4) zum BUS 3 (Bus-System 6) gege ben. Zur weiteren Erhöhung der Ausfallsicherheit könnte es eventuell sinnvoll sein, über einen zusätzlichen Bypass, der nicht dargestellt ist, eine direkte Verbindung zwischen die sen beiden Bus-Systemen 4, 6 (BUS 1 und BUS 3) herzustellen.

Der Mikrocomputer MC3 besitzt hier den gleichen Aufbau und die gleichen Komponenten wie der Mikrocomputer MC1. Folglich sind bei dem erfindungsgemäßen Mikroprozessorsystem auch die Eingabe- und Ausgabeeinheiten 9, 19 und die Peripherie-Kompo nenten 20, 21, zu denen die Spannungsversorgung, der Sensor signaleingang und die Aktuatoransteuerung zählen, zweimal vorhanden.

Die Ausgangssignale oder Datenverarbeitungsergebnisse des dritten Mikrocomputers MC3 werden mit Hilfe eines Verglei chers 22 auf Übereinstimmung mit den Ergebnissen oder Aus gangssignalen des Mikrocomputers MC2 bzw. der Zentraleinheit 2 sowie in gleicher Weise mit Hilfe des Vergleichers 23 auf Übereinstimmung mit den Ergebnissen des MC1 bzw. der Zen traleinheit 1 überprüft. Dadurch ist nicht nur eine Fehler erkennung, sondern auch eine Identifizierung des Systems, in dem der Fehler liegt, möglich. In einer Identifizierungs-Stufe 24, die vorzugsweise redundant ausgeführt und der die Ausgangssignale der Vergleicher 15, 22, 23 zugeleitet wer den, wird durch eine Majoritätsentscheidung die Fehlerquelle erkannt und daraufhin das System auf eine Notlauffunktion umgeschaltet. Dies bedeutet, daß die Ausgabe von Steuersi gnalen in Abhängigkeit von den fehlerhaften Datenverarbei tungsergebnissen verhindert und statt dessen auf das intakte System umgeschaltet wird. Eine Verwertung der Datenverarbei tungsergebnisse während der Notlauffunktion ist deshalb auch bei sicherheitskritischen Regelungssystemen zulässig, weil auch bei Auftreten eines Fehlers weiterhin eine redundante Datenverarbeitung gewährleistet ist.

Das erfindungsgemäße System läßt sich mit vergleichsweise geringem Herstellungsaufwand realisieren. Im Prinzip genügt - im Vergleich zu dem bekannten System, das keinen Notlauf zuläßt - das Hinzufügen eines Prozessorkerns und die Erhö hung der Speicherkapazität auf das 1,5-fache. Eine klassi sche Lösung mit Notlauffunktion würde mindestens den dreifa chen Speicheraufwand erfordern; dies ist ein entscheidender Vorteil, weil die Kosten des Gesamtsystems maßgeblich von der Größe der Arbeitsspeicher (Festwert- und Schreib-Lese-Spei cher) bestimmt werden.

Der Aufwand für die Vergleicher 15, 22, 23, die eine Identi tätsüberwachung durchführen, ist minimal. Der Austausch von Signalen zwischen den einzelnen Mikrocomputern über die By pässe erfordert keinen nennenswerten Aufwand. Programmtech nisch wird eine Software für ein scheinbares Einprozessor system realisiert; es werden keine Softwarestrukturen benö tigt, die einen Austausch von Signalen zwischen den Mikro computern realisieren oder Signale auf Gleichheit oder Ähn lichkeit überprüfen.

Grundsätzlich ist es auch möglich, beim Auftreten eines in ternen Rechnerfehlers die Übernahme der Eingangsinformation und der Signalausgabe durch den fehlerfreien Kreis durch zuführen bzw. dem fehlerfreien Kreis zu übertragen. Dies führt zu weiteren Vereinfachungen und Systemfunktionen.

Claims

1. Mikroprozessorsystem für sicherheitskritische Regelungen, mit redundanter Datenverarbeitung, mit mehreren Zentraleinheiten (CPU's), die über separate Bus-Systeme mit Festwertspeichern und Schreib-Lese speichern, die auch Speicherplätze für Prüfdaten enthalten, mit Eingabe- und Ausgabeeinheiten und mit Vergleichern, die die Ausgangsdaten oder Ausgangssignale der Zentraleinheiten auf Übereinstimmung überprüfen, verbunden sind und die das gleiche Programm abarbeiten, wobei die Zentraleinheiten über die Bus-Systeme miteinander kommunizieren und wobei die Bus-Systeme untereinander durch Bypässe verbunden sind, die den Zentraleinheiten ein gemeinsames Lesen und Abarbeiten der anstehenden Daten, einschließlich der Prüfdaten und Befehle, ermöglichen, dadurch gekennzeichnet, daß mindestens drei Zentraleinheiten (1, 2, 3) vorhanden sind, die durch redundante Periphere-Einheiten (10, 20) zu mindestens zwei vollständigen Regelungssignalkreisen erweitert und derart zusammengeschaltet sind, daß bei Ausfall einer Zentraleinheit (1, 2, 3) und/oder zugehöriger Komponenten durch Majoritätsentscheidung in einer Identifizierungsstufe (24) die fehlerhafte Zentraleinheit identifizierbar und eine Notlauffunktion aufrechterhalten wird, wobei eine Ausgabe von Ausgangssignalen oder Steuersignalen unter Einschluß bzw. in Abhängigkeit von dem fehlerhaften Systems bzw. der fehlerhaften Zentraleinheit verhindert wird.

2. Mikroprozessorsystem nach Anspruch 1, dadurch gekennzeichnet, daß in der Notlauffunktion eine redundante Datenverarbeitung sowie Vergleich der Datenverarbeitungsergebnisse auf Übereinstimmung aufrechterhalten und eine Nicht-Übereinstimmung bzw. das Auftreten von Abweichungen zwischen den Datenverarbeitungsergebnissen oder Zwischenergebnissen signalisiert wird.

3. Mikroprozessorsystem nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß drei Zentraleinheiten (1, 2, 3) mit je einem Bus-System (4, 5, 6) vorgesehen sind und daß für die Festwertspeicher (7, 12, 17) und für die Schreib-Lese-Spei cher (8, 13, 18) jeweils mindestens die doppelte Kapazität, zuzüglich einiger Speicherplätze für die Redundanzdaten, im Vergleich zu der für ein nicht redundantes System benötigten Speicherkapazität zur Verfügung steht, wobei über die Bypässe (14, 16) eine Verbindung zwischen allen Zentraleinheiten (1, 2, 3) und den Speicherplätzen in Schreib- und Leserichtung und zu allen Eingabe- und Ausgabeeinheiten (9, 10) besteht.

4. Mikroprozessorsystem nach Anspruch 3, dadurch gekenn zeichnet, daß die drei Zentraleinheiten (1, 2, 3) zusammen mit den Speichern (7, 8, 12, 13, 17, 18), mit den Eingabe- und Ausgabeeinheiten (9, 10) und mit den Peripherie-Kom ponenten (10, 20) insgesamt zwei vollständige und ein unvollständiges Datenverarbeitungssystem bilden.

5. Mikroprozessorsystem nach Anspruch 4, dadurch gekenn zeichnet, daß die drei Datenverarbeitungssysteme jeweils mindestens eine Zentraleinheit (1, 2, 3) und ein Bus-Sy stem (4, 5, 6) sowie Festwert- und Schreib-Lese-Speicher (7, 17; 8, 18) und/oder Redundanzinformationsspeicher (12, 13) umfassen, wobei die Speicherplätze derart auf die einzelnen Datenverarbeitungssysteme verteilt sind, daß beim Auftreten eines Fehlers und Übergang zur Not lauffunktion die intakten Systeme ausreichend Speicher plätze für die komplette Datenverarbeitung und für die Redundanzinformationen enthalten und das komplette Pro gramm abarbeiten.

6. Mikroprozessorsystem nach einem oder mehreren der An sprüche 1 bis 5, dadurch gekennzeichnet, daß den Ver gleichern (15, 22, 23) jeweils die Datenverarbeitungser gebnisse bzw. Ausgangssignale von zwei Zentraleinheiten (1, 2, 3) zuführbar sind.

7. Mikroprozessorsystem nach einem oder mehreren der An sprüche 1 bis 6, dadurch gekennzeichnet, daß zumindest die Zentraleinheiten (1, 2, 3) mit den Bus-Systemen (4, 5, 6), die Speicher (7, 8, 12, 13, 17, 18), die Bypässe (14, 16), die Eingabe- und Ausgabeeinheiten (9, 19), Ver gleicher (15, 22, 23) und Identifizierungsstufen (24) auf einem gemeinsamen Chip angeordnet sind.

8. Mikroprozessorsystem nach einem oder mehreren der An sprüche 1 bis 7, dadurch gekennzeichnet, daß dieses für mehrere oder eine Kombination von Kraftfahrzeug-Rege lungssystemen, wie Brake-by-wire, ABS, ASR, ASMS etc., ausgelegt ist und daß die Notlauffunktion die Aufrecht erhaltung des Betriebs aller Regelungssysteme erfaßt.

9. Mikroprozessorsystem nach einem oder mehreren der An sprüche 1 bis 7, dadurch gekennzeichnet, daß dieses für mehrere oder eine Kombination von Kraftfahrzeug-Rege lungssystemen ausgelegt ist und daß die Notlauffunktion auf die Aufrechterhaltung des Betriebs ausgewählter Re gelungsfunktionen, zum Beispiel besonders sicherheits kritischer Funktionen, beschränkt ist.