Sicherheitsrelevante Systeme erfordern Maßnahmen, die auch bei Funktionsfehlern und beim Ausfall einzelner Systemkompo- nenten eine definierte Funktionsweise sicherstellen. Handelt es sich um ein"Add-On"-System, bei dem im Fehlerfall ein Rückgriff auf ein Basissystem, z. B. ein Rückfall auf ein hyd- raulisches Basissystem, möglich ist, wie dies bei bekannten und gebräuchlichen ABS-, TCS-, ESP-Systemen der Fall ist, wird beim Auftreten eines Fehlers durch Ausschalten der E- lektronik die gesamte Regelung abgeschaltet. Schon ein rela- tiv unbedeutender Fehler führt daher bei einer solchen Ausle- gung des Gesamtsystems zu einem Totalausfall des Add-On- Systems oder der gesamten Regelung.

Eine derartige Systemauslegung ist aus Sicherheitsgründen bei Nicht-Add-On-Systemen, zu denen diverse"By-Wire"-Systeme (Brake-by-Wire, Steering-by-Wire) zählen, nicht akzeptabel, da eine hydraulische Rückfallebene nicht immer zur Verfügung steht. Eine Abschaltung der Elektronik würde das gesamte Sys- tem oder wesentliche Teile außer Betrieb setzen. Hier gilt es, die Funktion des Systems in Form eines geeigneten Not- laufs auch nach dem Auftreten von Fehlern noch aufrechtzuer- halten.

Die Auslegung eines solchen Systems muss den Ergebnissen der Fehlerquellenanalyse Rechnung tragen. Für jede einzelne Kom- ponente können neben dem normalen Arbeitsmodus auch Notlauf- modi definiert werden. Es wird eine Entscheidungsmatrix er- stellt, in der den zu erwartenden Fehlern und Fehlerkombina- tionen bestimmte Betriebsmodi oder Notlaufmodi zugeordnet werden.

Eine Erfassung und Berücksichtigung aller möglichen Fehler und Fehlerkombinationen ist wegen der Vielzahl der Fehler- quellen nicht realisierbar. Bei den bekannten Systemen der hier in Rede stehenden Art wird daher die Fehlerquellenanaly- se und die Zuordnung bestimmter Notlaufmodi i. w. nur für den Erstfehlerfall durchgeführt. Die Berücksichtigung von Zweit- fehlern oder Fehlerkombinationen bleibt auf relativ wenige Einzelfälle beschränkt.

Ebenso wenig, wie die Analyse der unzähligen Fehlerkombinati- onen durchgeführt werden kann, kann auch die Fehlerbehandlung (Generierung der System-Notlaufebenen) weder in der Software noch in der Hardware für jede Fehlerkombination einzeln umge- setzt werden. Bisher beschränkt man sich deshalb auf die Be- handlung der Fehlerbilder, die als"am wahrscheinlichsten" angesehen werden und legt das Gesamtsystem in allen anderen Fällen still. Diese Auslegung kann z. B. bei einem Brake-by- wire System zu dem vollständigen Verlust der Bremswirkung, bei einem Steering-by-Wire-System zu dem Verlust der Lenkbar- keit führen.

Der Erfindung liegt daher die Aufgabe zugrunde, ein Verfahren zu entwickeln, das es ermöglicht, die Funktion oder Notfunk- tion eines komplexen sicherheitskritischen Systems beim Auf- treten eines beliebigen Fehlers, einer beliebigen Anzahl von Fehlern oder Fehlerkombinationen aufrecht zu erhalten.

Es hat sich herausgestellt, dass diese Aufgabe durch das im Anspruch 1 beschriebene Verfahren gelöst werden kann, dessen Besonderheit darin besteht, dass das Gesamtsystem nach den Erkenntnissen einer Fehlerquellenanalyse in voneinander unab- hängige Systemkomponenten unterteilt wird, dass für die einzelnen Systemkomponenten Betriebsmodi defi- niert werden, dass beim Auftreten von Fehlern im Gesamtsystem die Fehler- quellen analysiert und diejenigen Betriebsmodi ermittelt wer- den, die von den aufgetretenen Fehlern betroffen sind und diejenigen, die für das System weiterhin zur Verfügung ste- hen, und dass auf Basis der Fehlerquellenanalyse und nach den Vorgaben eines Auswahlsystems aus den von den Fehlern nicht betroffe- nen, d. h. noch verfügbaren Betriebsmodi der einzelnen System- komponenten diejenigen ausgewählt werden, die in Anbetracht der aufgetretenen Fehler ein optimales oder ein vorgegebenes Verhalten des Gesamtsystems oder zumindest die Aufrechterhal- tung der Funktion des Gesamtsystems gewährleisten.

Die Erfindung beruht im Prinzip auf der Erkenntnis, dass die Ergebnisse der Erstfehleranalyse und die daraus resultierende Auslegung eines komplexen sicherheitsrelevanten Systems bis- her ungenutzte Informationen enthalten, die ausgewertet wer- den können, um auch beim gleichzeitigen Auftreten von mehre- ren Fehlern oder Fehlerkombinationen die Funktion oder Not- funktion des Systems aufrecht erhalten zu können-soweit es die Fehler zulassen. Dadurch wird es möglich, die Verfügbar- keit und die Sicherheit eines sicherheitskritischen Systems entscheidend zu erhöhen.

Nach einem vorteilhaften Ausführungsbeispiel des erfindungs- gemäßen Verfahrens wird für die Betriebsmodi der einzelnen Systemkomponenten eine Rangfolge vorgegeben, die von einem Normalmodus oder Arbeitsmodus, der bei fehlerfreiem System vorgegeben wird, bis zu mehreren Notlaufmodi, die je nach Art der aufgetretenen Fehler noch zulässig sind, und einem Aus- fallmodus (Ausfall der Systemkomponente) reicht.

Beim Auftreten von Fehlern im Gesamtsystem werden nach einem Ausführungsbeispiel des erfindungsgemäßen Verfahrens in einem ersten Berechnungsschritt unter der Annahme, dass alle Be- triebsmodi verfügbar sind, sämtliche Fehlerquellen analysiert und sämtliche von den aufgetretenen Fehlern betroffenen Be- triebsmodi gesperrt ; in einem nächsten Berechnungsschritt werden dann auf Basis der Betriebsmodi, die von den aufgetre- tenen Fehlern nicht betroffenen sind, nach den Vorgaben des Auswahlsystems die Betriebsmodi der einzelnen Systemkomponen- ten, welche die Funktion des Gesamtsystems aufrechterhalten, bestimmt und vorgegeben.

Nach einem weiteren Ausführungsbeispiel der Erfindung wird das Auswahlsystem in Form einer Entscheidungsmatrix oder ei- nes Regelwerks ausgebildet, in der bzw. in dem festgelegt wird, welche Betriebsmodi für die einzelnen Systemkomponenten in Abhängigkeit von der Art und/oder der Verteilung Betriebs- modi, die nach Auswertung der Fehlerquellenanalyse noch zu- lässig sind, vorgegeben werden.

Das erfindungsgemäße Verfahren lässt sich mit großem Vorteil zur Erhöhung der Betriebssicherheit eines komplexen Brems- kraftregelungssystems, wie eines Brake-by-Wire-Systems (EHB, EMB), bei dem jedem Fahrzeugrad ein Radbremskraftregler zuge- ordnet ist, verwenden. Dieses spezielle Beispiel dient in folgenden zur näheren Erläuterung der Erfindung. In diesem Fall werden die Radbremskraftregler der einzelnen Räder als voneinander unabhängige Systemkomponenten ausgelegt, denen Betriebsmodi in vorgegebener Rangfolge zugeordnet werden, wo- bei als Auswahlsystem zur Festlegung der Betriebsmodi der einzelnen Radbremskraftregler in Abhängigkeit von dem Ergeb- nis der Fehlerquellenanalyse ein Regelwerk verwendet wird, das auf der Bildung und Auswahl von Radpaaren aus jeweils ei- nem rechten und einem linken Fahrzeugrad beruht.

Den Systemkomponenten werden mindestens zwei, in der Regel vier, fünf oder noch mehr Betriebsmodi in einer vorgegebenen Rangfolge zugeordnet.

Die Rangfolge der Betriebsmodi der einzelnen Radbremskraft- regler, d. h. die Priorität, nach der die Betriebsmodi ausge- wählt werden, wird im Hinblick auf das Erzielen einer hohen oder maximalen Regelgüte festgelegt, wobei grundsätzlich dem Betriebsmodus, der eine höhere Regelgüte erwarten lässt, ein höherer Rang, d. h. eine höhere Priorität bei der Auswahl der Betriebsmodi, die zum Einsatz kommen, eingeräumt wird.

Als Kriterium für eine hohe Regelgüte wird z. B. eine hohe Verzögerung des Fahrzeugs bei gleichzeitig hoher Dynamik und/oder Kontrollierbarkeit des Bremseneingriffs angesehen.

Nach einem besonders vorteilhaften Ausführungsbeispiel des erfindungsgemäßen Verfahrens wird eine Rangfolge der Radpaa- re, die bei einem Bremsvorgang zum Einsatz kommen, festge- legt, wobei dem Radpaar, das beim Bremsen vergleichsweise ge- ringe Giermomente und/oder eine hohe Stabilität des Fahrzeugs erwarten lässt, ein höherer Rang, d. h. eine höhere Priorität bei der Auswahl des Radpaares, das zum Einsatz kommt, einge- räumt wird. Dabei wird dem Radpaar"Vorderachse"grundsätz- lich ein höherer Rang als den beiden diagonalen Radpaaren, die im Rang gleich sind, eingeräumt, weil bekanntlich aus fahrzeugdynamischen Gründen der Beitrag der Vorderachse zum Abbremsvorgang vergleichsweise hoch ist.

Bei der Auswahl der Betriebsmodi und der Radpaare, die zum Einsatz kommen, wird nach einem weiteren Ausführungsbeispiel des erfindungsgemäßen Verfahrens in einem ersten Schritt das ranghöchste Radpaar ermittelt, bei dem für die beiden zugehö- rigen Radbremskraftregler ein bestimmter, vorgegebener Be- triebsmodus, vorzugsweise der Betriebsmodus mit der höchsten Priorität, zur Verfügung steht.

In einem zweiten Schritt wird dann ein Betriebsmodus ermit- telt, der den beiden Radbremskraftreglern des zweiten Radpaa- res noch zur Verfügung steht, wobei wiederum im ersten Durch- lauf des Auswahlprozesses der Betriebsmodus mit dem höchsten Rang bevorzugt wird.

Ein wichtiges Ausführungsbeispiel der Erfindung besteht nun darin, dass die in dem ersten und in dem zweiten Schritt aus- gewählten Betriebsmodi den einzelnen Radbremskraftregler nur dann zugeordnet werden, wenn bestimmte, vorgegebene Zusatzbe- dingungen, erfüllt sind, die z. B. die Zulässigkeit der Kombi- nation bestimmter Betriebsmodi, die Verfügbarkeit von Rege- lungsfunktionen etc. beschreiben.

Bei Nichterfüllung der Zusatzbedingungen wird zweckmäßiger Weise die Auswahl der Betriebsmodi und/oder der Radpaare, die zum Einsatz kommen, auf Basis von Betriebsmodi und/oder Rad- paaren geringeren Ranges wiederholt, bis eine Kombination von Betriebsmodi ermittelt wird, für die die Zusatzbedingungen erfüllt sind.

Erfindungsgemäß wird schließlich nach wiederholter Auswahl und Zuordnung von Betriebsmodi und/oder Radpaaren sowie Kom- bination der zur Verfügung stehenden Betriebsmodi bei andau- ernder Nichterfüllung der Zusatzbedingungen eine Notfallbe- rechnung und Festlegung der Betriebsmodi nach vorgegeben Re- geln durchgeführt.

Weitere Vorteile und Anwendungsmöglichkeiten der Erfindung gehen aus der folgenden Beschreibung von Einzelheiten an Hand der beigefügten Abbildungen hervor.

Es zeigen : Fig. 1 schematisch ein Beispiel für die einzelnen Schritte des erfindungsgemäßen Verfahrens, die zur Auswahl von bestimmten Betriebsmodi beim Auftreten eines Fehlers oder einer Fehlerkombination führen, Fig. 2 in gleicher Darstellungsweise wie Fig. 1 die Reaktion auf das Auftreten eines anderen Fehlers oder anderen Fehlerkombination, Fig. 3 in gleicher Darstellungsweise wie Fig. 1 und 2 die Reaktion auf das gleichzeitige Auftreten der Fehler nach Fig. 1 und 2, Fig. 4 in schematisch vereinfachter Darstellung den hydrau- lischen Schaltplan und die wesentlichen Komponenten eines geregelten elektrohydraulischen Bremsensystems (EHB) als Anwendungsbeispiel für die Erfindung, Fig. 5 in Gestalt eines Nassi-Shneiderman-Ablaufdiagramms ein Beispiel für die Arbeitsweise eines Auswahlsys- tems zur Bestimmung der Betriebsmodi der einzelnen Systemkomponenten für das Bremsensystem nach Fig. 4, Fig. 6 in gleicher Darstellungsweise wie Fig. 1-3 ein Bei- spiel für die Verknüpfung und Auswertung der Brems- kraftregler-Betriebsmodi des Bremsensystems nach Fig.

4, Fig. 7 eine Variante der Darstellung und der Situation des Ausführungsbeispiels nach Fig. 6 und Fig. 8 als weitere Variante des Beispiels nach Fig. 6 eine Situation, bei der die Fehler nach Fig. 6 und 7 gleichzeitig auftreten.

Im Folgenden wird als Ausführungsbeispiel des erfindungsgemä- ßen Verfahrens ein auf den Ergebnissen einer Erstfehleranaly- se basierendes Verfahren beschrieben, das für komplexe si- cherheitskritische Systeme unterschiedlicher Art geeignet ist und das grundsätzlich die Möglichkeit bietet, die (Not- ) Funktion des Systems bei theoretisch beliebig hoher Anzahl von Fehlern oder Fehlerkombinationen aufrecht zu erhalten.

Dieses in jeder Techniksparte anwendbare Verfahren erhöht er- heblich die Systemverfügbarkeit und gewährleistet letzt- endlich eine hohe Systemsicherheit im Gegensatz zu den be- kannten und heute gängigen Verfahren, die sich auf die Aus- wertung und die"angemessene"Reaktion auf die als wahr- scheinlich angesehenen Fehler und Fehlerbilder beschränken.

Bei allen anderen Fehlern oder Fehlerkombinationen werden das System teilweise oder vollständig abgeschaltet und damit die Funktionen häufig in zu hohem Maße eingeschränkt ; auch ein relativ unbedeutender, jedoch nicht als"wahrscheinlich"ein- gestufter, d. h. nicht vorausgesehener Fehler führt zu totalem oder weitgehendem Ausschalten von Funktionen.

Die während des Systemdesigns durchgeführte Erstfehleranalyse liefert folgende Ergebnisse : - Die Unterteilung des Systems in voneinander unabhängige Systemkomponenten ; - die Definition der Betriebsmodi für jede einzelne Sys- temkomponente (neben"verfügbar/nicht verfügbar"können diverse Notlaufmodi definiert werden) ; - Es wird ein Auswahlsystem, z. B. in Form einer Entschei- dungsmatrix, gebildet, mit dem festgestellt wird, welche Betriebsmodi in Abhängigkeit von dem erkannten"Einzel- fehler"für alle Systemkomponenten zulässig sind.

Das erfindungsgemäße Verfahren nutzt diese Information wei- terhin und wertet diese zusätzlich, aber dynamisch aus, indem - in jedem Berechnungsschritt zunächst davon ausgegangen wird, dass für jede Systemkomponente alle für diese Kom- ponente infrage kommenden Betriebsmodi verfügbar sind (Annahme : System ist fehlerfrei) - in jedem Berechnungsschritt sämtliche Fehlerquellen ana- lysiert werden ; beim Auftreten eines Fehlers werden den betroffenen Systemkomponenten alle korrelierten Be- triebsmodi aberkannt. Somit wird eine systemweite Kompo- nentendegradation erreicht, die im Prinzip auf einer Fehlersuperposition beruht, wobei die Anzahl an aufge- tretenen Fehlern oder Fehlerkombinationen keine Rolle spielt.

- Aus den nach der Fehlerquellenanalyse für die Systemkom- ponenten noch verfügbaren Betriebsmodi werden schließ- lich nach Vorgaben eines Modus-Auswahlsystems diejenigen Betriebsmodi ausgewählt und zum Einsatz gebracht, die unter den gegebenen Bedingungen das optimale Verhalten des Gesamtsystems garantieren.

Das Ausführungsbeispiel nach Fig. 1 veranschaulicht die prin- zipielle Funktionsweise des erfindungsgemäßen Verfahrens. Das sicherheitskritische System ist in dem dargestellten Beispiel in die Systemkomponenten"Komponente 1","Komponente 2", "Komponente n"unterteilt. Die bei fehlerfreiem System ver- fügbaren Betriebsmodi (oder"Mode") der Systemkomponente 1 (Bezugszeichen 1) sind in Fig. 1 mit"Mode 1-5", die Be- triebsmodi der Systemkomponente 2 (2) mit"Mode 1-3"und die Betriebsmodi der Systemkomponente n (3) mit"Mode 1-4" bezeichnet.

Es ist im Beispiel nach Fig. 1 ein Fehler aufgetreten, der nach einer Fehlerquellenanalyse, die in Fig. 1 durch eine Ak- tion oder Ereignisanalyse 4 symbolisiert ist, dazu führt, dass der Betriebsmodus 1 (kurz : "Mode"oder Modus 1) der Sys- temkomponente 2 und die Modi 1 und 2 der Systemkomponente n nicht mehr zur Verfügung stehen ; in der mittleren Spalte der Fig. 1 sind diejenigen Modi der Systemkomponenten"Komponente 1","Komponente 2", "Komponente n"markiert, die als Ergebnis der Fehler-und Ereignisanalyse in dem Schritt 4 von den auf- getretenen Fehlern betroffen sind.

In einem anschließenden Auswahlverfahren, symbolisiert durch die"Modusauswahl"5, werden nun nach bestimmten Vorgaben, d. h. nach den in dem Modus-Auswahlsystem 5 definierten Re- geln, auf Basis der in Anbetracht der aufgetretenen Fehler oder Fehlerkombinationen noch verfügbaren Betriebsmodi dieje- nigen Betriebsmodi der einzelnen Betriebskomponenten 1-3 ("Komponente 1","Komponente 2", "Komponente n") bestimmt o- der ausgewählt, die im Gesamtsystem weiterhin aufrecht erhal- ten werden sollen.

Das Modus-Auswahlsystem 5 kann z. B. durch eine Entscheidungs- matrix verkörpert werden.

Im Beispiel nach Fig. 1 wird ein optimales Verhalten des Ge- samtsystems unter Berücksichtigung der erkannten Fehler oder Fehlerkombinationen durch Aufrechterhaltung des Betriebsmodus 1 der Systemkomponente 1 (1), durch Aufrechterhaltung des Be- triebsmodus 2 der Systemkomponente 2 (2) und durch Aufrecht- erhaltung des Betriebsmodus 3 der Systemkomponente n (3) er- reicht.

Das in dem hier beschriebenen Ausführungsbeispiel verwendete Betriebsmodus-Auswahlverfahren 5 arbeitet nach einem soge- nannten"Best Of Component"-Prinzip ; es wird grundsätzlich derjenige Betriebsmodus einer Systemkomponente ausgewählt o- der aktiviert, welcher die anstehende Aufgabe am besten er- füllen kann. In der Praxis kommen jedoch noch andere system- spezifische Auswahlverfahren zum Einsatz, z. B. ein Auswahl- verfahren nach dem Prinzip"Best For System", bei dem grund- sätzlich die für die Gesamtfunktion des Systems oder für die Betriebssicherheit des Systems günstigste Reaktion auf die erkannten Fehler ausgewählt wird.

In einem zweiten Ausführungsbeispiel, auf das sich Fig. 2 be- zieht, ist ein anderer Fehler aufgetreten, der die Betriebs- modi 1-3 der Systemkomponente 1 (1') und den Betriebsmodus 1 der Systemkomponente 2 (2') gefährdet oder ausschließt. Als Ergebnis des Modusauswahlverfahrens im Schritt 5'werden nur noch der Betriebsmodus 4 der Systemkomponente 1 (1'), der Be- triebsmodus 2 der Systemkomponente 2 (2') und der Betriebsmo- dus 1 der Systemkomponente n (3') zugelassen.

Im Beispiel nach Fig. 3 sind die beiden Fehler aus den Bei- spielen nach den Figuren 1 und 2 gleichzeitig aufgetreten.

Die betroffenen Systemkomponentenmodi stellen eine Superposi- tion (logisch"ODER") der beeinträchtigten Modi aus den Bei- spielen nach den Figuren 1 und 2 dar und fließen gemeinsam in die Systemdegradation ein. Als Ergebnis des Modusauswahlver- fahrens in 5"werden nur der Modus 4 der Systemkomponente 1 (1"), der Modus 2 der Systemkomponente 2 (2") und der Modus 3 der Systemkomponenten n (3") zugelassen.

Wie aus den vorgegangenen Erläuterungen zu erkennen ist, be- steht ein wesentlicher Vorteil des erfindungsgemäßen Verfah- rens darin, dass es den Umgang mit einer beliebigen Zahl von Systemfehlern und Fehlerkombinationen ermöglicht. Dadurch kann die Funktion und die Sicherheit eines komplexen sicher- heitskritischen Systems auch in solchen Fällen aufrecht er- halten werden, die bisher nicht berücksichtigt werden konn- ten.

Selbst beim gleichzeitigen Auftreten mehrerer Systemfehler werden die Systemfunktionen aufrechterhalten, wobei lediglich eine den Fehlern entsprechende, an die jeweiligen Fehler an- gepasste Einschränkung des Sicherheitsniveaus oder der Funk- tionen in Kauf genommen werden muss.

Ein Beispiel für ein komplexes sicherheitskritisches System, bei dem die Erfindung ihren Nutzen beweist, ist das in Fig. 4 wiedergegebene Kraftfahrzeugregelungssystem. Es handelt sich hier um ein Brake-by-Wire-System, speziell um ein geregeltes elektrohydraulisches Bremsensystem (EHB). Dargestellt ist ein Tandem-Hauptzylinder 6, der vor allem zur Realisierung einer hydraulischen Rückfallebene bei Ausfall des eigentlichen Bra- ke-by-Wire-Systems benötigt wird. Der Tandem-Hauptzylinder dient auch zur Simulation eines Pedalweges im"By-Wire- Modus". Die schematisch dargestellten, elektrisch betätigba- ren Hydraulikventile 7 in Verbindung mit einer mehrkreisigen Hydraulikpumpe 8 und einem Hydraulikspeicher 9 werden in be- kannter Weise zur Erzeugung und Regelung des Bremsdrucks in den einzelnen Radbremsen an den Vorder-und Hinterrädern VL, VR, HL, HR und damit zur Steuerung und Regelung der Brems- kraft eingesetzt.

Das Ganze wird durch ein aufwändiges elektronisches Rege- lungs-und Steuerungssystem, das in einer Elektronik (ECU) 10 untergebracht ist und Eingangsinformationen von diversen Sen- soren bezieht, zu einem komplexen sicherheitskritischen Ge- samtsystem vervollständigt. Zur Messung und Überwachung der Kolbenbewegungen im Hauptzylinder sind zwei Wegsensoren W1, W2 an der Kolbenstange angeordnet. Mit einem Drucksensor P1 wird der Hauptzylinderdruck und mit weiteren Drucksensoren P2-P5 der Druck in den einzelnen Radbremsen ermittelt. Den Hydraulikdruck, den die Pumpen 8 und der Hydraulikspeicher 9 zur Verfügung stellen, misst ein Drucksensor P6. Zur Ermitt- lung des Füllstandes des Speichers 9 ist ein weiterer Wegsen- sor W3 vorhanden. Der Flüssigkeitspegel in einem Druckaus- gleichsbehälter, der zu dem Hauptzylinder 6 gehört, wird e- benfalls mit Hilfe eines Sensors, der Bestandteil einer Bremsflüssigkeits-Überwachungs-Einrichtung BWE ist, kontol- liert. Schließlich sind in Fig. 4 noch Radsensoren 11-14 dar- gestellt, die vor allem zur Erfassung des Drehverhaltens der einzelnen Räder bei geregelten Bremsvorgängen benötigt wer- den. Weitere für die Regelung hilfreiche Informationen können über einen CAN-Bus zugeführt und weitergeleitet werden.

Um das erfindungsgemäße Verfahren anwenden zu können, wird ein solches Gesamtsystem, wie das Bremsensystem nach Fig. 4, in Einzelkomponenten, d. h. in Systemkomponenten zerlegt, für die Betriebsmodi definiert werden können. Im vorliegenden Fall werden speziell die den vier Fahrzeugrädern zugeordneten Radbremskraftregler als voneinander unabhängige Systemkompo- nenten bewertet, denen Betriebsmodi in bestimmter Rangfolge zugeordnet werden. Die Rangfolge der Betriebsmodi reicht von einem Arbeits-oder"Normalmodus", der bei fehlerfreien Sys- tem optimal ist, über mehrere Notlaufmodi, die je nach Art des aufgetretenen Fehlers noch zulässig sind, bis zu einem "Ausfallmodus".

Bei dem Bremsensystem nach Fig. 4 werden die Betriebsmodi, die für die einzelnen Radbremskraftregler infrage kommen, nach vorgegebener Reihenfolge oder Rangfolge im Hinblick auf das Erreichen hoher oder maximaler Regelgüte (z. B. im Hin- blick auf das Erreichen einer maximalen bzw. einer möglichst hohen Verzögerung, einer möglichst hohen Dynamik und/oder Kontrollierbarkeit) priorisiert ; dabei wird - in jedem Berechnungsschritt zunächst davon ausgegangen, dass für jeden der vier Radbremskraftregler alle Betriebsmodi verfügbar sind (Annahme : das System ist fehlerfrei) ; - in jedem Berechnungsschritt werden sämtliche Fehlerquel- len analysiert ; beim Auftreten eines Fehlers werden basierend auf einer Entscheidungsmatrix"Einzelfehler-> 4 Radbrems- kraft-Betriebsmodi"den betroffenen Radbremskraftreglern alle korrelierten Betriebsmodi aberkannt. Dadurch wird eine sys- temweite Radbremskraftreglerdegradation erreicht, die auf ei- ner Fehlersuperposition basiert, wobei die Anzahl der aufge- tretenen Fehler keine Rolle mehr spielt ; - aus den nach der Fehlerquellenanalyse noch verfügbaren Radbremskraftregler-Betriebsmodi werden grundsätzlich dieje- nigen Räder und/oder Radpaare ausgewählt und zum Einsatz ge- bracht, die bestimmten Kriterien genügen, mit dem allgemeinen Ziel, o eine möglichst hohe Verzögerung des Fahrzeugs, o eine möglichst hohe Dynamik und Kontrollierbarkeit des Bremseneingriffs, o ein möglichst giermomentenfreies Bremsen und o eine möglichst hohe Stabilität des Fahrzeugs zu erreichen.

Die Arbeitsweise der Auswahlverfahrens, das auf der Auswahl bestimmter Betriebsmodi für die einzelnen Systemkomponenten beruht und in den Figuren 1-3,6-8 durch das mit"Modusaus- wahl"bezeichnete Regelwerk 5,5', 5", 21, 21', 21"symboli- siert ist, wird durch das in Fig. 5 dargestellte Flussdia- gramm und durch die folgende Beschreibung eines Ausführungs- beispiels der Erfindung, das sich speziell auf ein Kraftfahr- zeugregelungssystem-siehe Fig. 4-bezieht, näher erläu- tert.

Der in Fig. 5 mit Hilfe eines"Nassi-Shneiderman-Diagramms" dargestellte Ablauf des Modus-Auswahlverfahrens, das durch das Regelwerk 5, 5', 5", 21, 21', 21" (Figuren 1-3,6-8) aus- geführt wird, umfasst im Beispiel nach Fig. 4 im wesentlichen die folgenden Schritte : 1. Für die Betriebsmodi der einzelnen Radbremskraftregler (16-19, 16'-19', 16"-19", siehe Figg. 6-8) wird eine feste Rang- folge oder Prioritätsrang im Hinblick auf eine hohe oder ma- ximale Regelgüte, d. h. im Hinblick auf das Erreichen einer maximalen oder einer möglichst hohen Verzögerung des Fahr- zeugs und/oder einer möglichst hohen Dynamik und Kontrollier- barkeit des Bremseneingriffs, festgelegt ("Mode 1"bedeutet höchste Priorität, "Mode 2"geringere, ...,"Mode n"nied- rigste Priorität.

2. Es wird eine Rangfolge der Radpaare, die immer aus einem rechten und einem linken Rad bestehen, festgelegt, mit dem Ziel einer Bevorzugung ("Priorisierung") des Radpaares, das ein Abbremsen des Fahrzeugs mit möglichst geringen Giermomen- ten und/oder mit möglichst hoher Stabilität erwarten lässt ; das Radpaar"Vorderachse"genießt höchste Priorität, die dia- gonalen Radpaare sind im Rang gleich, d. h. sie werden mit gleicher Priorität ausgewählt.

3. Es wird das erste Radpaar mit der höchsten Priorität be- stimmt, bei dem für die beiden zugehörigen Radbremskraftreg- ler noch ein bestimmter Betriebsmodus A (im ersten Durchlauf ist dies der Betriebsmodus mit der höchsten Priorität) zur Verfügung steht.

4. Anschließend wird nach einem bestimmten Betriebsmodus B (im ersten Durchlauf ist dies der Betriebsmodus mit der höchsten Priorität) gesucht, der dann den beiden Radbrems- kraftreglern des zweiten Radpaares noch zur Verfügung steht, wobei auch das Radpaar"Hinterachse"herangezogen wird. Es werden die ermittelten Betriebsmodi A und B für alle Rad- bremskraftreglern übernommen, allerdings nur, wenn bestimmte Zusatzbedingungen (z. B. "nur bestimmte Kombinationen von Be- triebsmodi sind gewünscht"oder andere Filterfunktionen, oder <BR> "Regelungsfunktion (ABS, ESP etc. ) noch verfügbar","ABS-<BR> Funktion noch verfügbar, falls notwendig", etc. ) erfüllt sind. Mit dieser Übernahme endet die Berechnung.

5. Konnte in den vorangegangenen Schritten keine dem Regel- werk und den Zusatzbedingungen entsprechende Kombination von Betriebsmodi A und B aller Radbremskraftregler bestimmt wer- den, so wird Schritt 4 mit den Betriebsmodi B der niedrigeren Priorität (gemäß der vorgegebenen Rangfolge) für die Rad- bremskraftregler des zweiten Radpaares erneut ausgeführt.

6. Konnte auch nach vollständiger Überprüfung aller zur Verfügung stehenden Betriebsmodi der Radbremskraftregler für das zweite Radpaar keine dem Regelwerk und den Zusatzbedin- gungen entsprechende Kombination von Betriebsmodi A und B al- ler Radbremskraftregler gefunden werden, so werden die Schritte 4 und die folgenden mit einem ersten Radpaar gerin- gerer Priorität, für dessen Radbremskraftregler der betrach- tete Betriebsmodus A noch zur Verfügung steht, erneut ausge- führt. Es wird beispielsweise an Stelle der Vorderachse eine der Diagonalen ausgewählt.

7. Konnte wiederum nach Durchlauf aller bisherigen Schritte keine Kombination von Betriebsmodi A und B aller Radbrems- kraftregler gefunden werden, so werden die Schritte 3 und folgende mit einem Betriebsmodus A geringerer Priorität (ge- mäß der vorgegebenen Rangfolge) erneut ausgeführt.

8. Wurde auch nach vollständiger Überprüfung aller zur Ver- fügung stehenden Betriebsmodi der Radbremskraftregler aller ersten und zweiten Radpaare immer noch keine dem Regelwerk und den Zusatzbedingungen entsprechende Kombination von Be- triebsmodi A und B für alle Radbremskraftregler gefunden, so wird eine Notfallberechnung z. B. in der Art durchgeführt, dass allen Radbremskraftreglern ein fester Notlaufmodus zuge- wiesen wird oder dass ein Notlaufmodus mittels eines zweiten Regelwerks bestimmt wird.

In den Figuren 6 und 7 sind-vergleichbar mit der Darstel- lung in den Figuren 1-3 und mit den anhand dieser Figuren be- schriebenen Beispielen-Systemkomponenten 16-19,16'-19' dargestellt, deren Betriebsmodi in einem ersten Schritt, näm- lich durch eine Fehler-oder Ereignisanalyse 20,20'bestimmt werden. Bei den Systemkomponenten 16-19,16'-19'handelt es sich hier um die Radbremskraftregler"Rad FL", "Rad FR","Rad<BR> RL", "Rad RR" ; der Radbremskraftregler 16 gehört zu dem lin- ken, der Radbremskraftregler 17 zu dem rechten Vorderrad ; der Radbremskraftregler 18 gehört zu dem linken, der Radbrems- kraftregler 19 zu dem rechten Hinterradrad ; entsprechendes gilt für 16'-19'.

Im Beispiel nach Fig. 6 ist ein Fehler aufgetreten, der die Zulässigkeit des Betriebsmodus 1 des Bremskraftreglers 17 verhindert. In dieser Situation lässt ein Bremsen durch Betä- tigung der Radbremskraftregler 16,19, also der Diagonalen VL- HR, im Betriebsmodus 1 und der anderen Diagonalen VR-HL (Rad- bremskraftregler 17,18) im Betriebsmodus 2 ein optimales Ver- halten des Fahrzeugs erwarten.

In dem Beispiel nach Fig. 7 ist dagegen ein Fehler aufgetre- ten, der ausschließlich das Zulassen der Betriebsmodi 1 und 2 des Bremskraftreglers 19', der am rechten Hinterrad sitzt, verhindert. In diesem Fall ist es im Hinblick auf das Errei- chen einer hohen Regelgüte vorteilhaft, das Fahrzeug mit der Vorderachse, d. h. mit den Radbremskraftreglern 16'und7', im Betriebsmodus 1 und mit der Hinterachse, d. h. mit den Rad- bremskraftreglern 18'und 19', im Betriebsmodus 3 abzubrem- sen.

Beide Fehler aus Beispielen nach Fig. 6 und 7 sind im Bei- spiel nach Fig. 8 gleichzeitig aufgetreten. Die verhinderten Radbremskraftmodi stellen eine Superposition (logisch ODER) der verhinderten Modi aus den obigen Beispielen dar und flie- ßen gemeinsam in die Systemdegradation ein. Die Betriebsmodi 1 und 2 des Bremskraftreglers 19" (hinten-rechts) und der Be- triebsmodus 1 des Bremskraftreglers 17" (vorne-rechts) stehen nicht zur Verfügung. Das beste Fahrzeugverhalten bei einem Bremsvorgang wird erreicht, wenn das Fahrzeug mit der Vorder- achse (Radbremskraftregler 16", 17") im Betriebsmodus 2 und mit der Hinterachse (Radbremskraftregler 18", 19") im Be- triebsmodus 3 bremst.