DE10002306A1

DE10002306A1 - Method for ensuring secure and reliable operation of an electronic controller for use with automatic multi-speed or continuous variable transmission gear-boxes for goods vehicles

Info

Publication number: DE10002306A1
Application number: DE2000102306
Authority: DE
Inventors: Uwe Ruehringer; Wolfgang Schmid; Manfred Bek
Original assignee: ZF Friedrichshafen AG
Current assignee: ZF Friedrichshafen AG
Priority date: 2000-01-20
Filing date: 2000-01-20
Publication date: 2001-07-26

Abstract

The method in which the program memory (3) of a central controller unit (1) is periodically backed up, at pre-determined time intervals, to a remote backup memory (5). In addition it is possible to replace missing data from either memory chip with the correct data from the other memory chip. An Independent claim is made for a device for ensuring the secure operation of an electronic motor or gear controller.

Description

Bei elektronischen Motor- und insbesondere Getriebesteue rungen für Kraftfahrzeuge, so z. B. elektronischen Getrie besteuerungen für Mehrgang-Stufenautomatikgetriebe für Lastkraftfahrzeuge oder stufenlose Getriebe, ist vorgese hen, direkt in der Steuerung einen Mikrocontroller, d. h. eine zentrale Recheneinheit einzusetzen, wobei diese Re cheneinheit sowohl den eigentlichen Rechenteil als auch den Programmspeicher in einem Chipbaustein vereint. Bei diesem Baustein hat sich das Problem herausgestellt, dass der Rechnerteil zwar ohne Probleme funktioniert, der Programm speicher aber eine für eine zuverlässige Funktion nicht ausreichende Wahrscheinlichkeit besitzt, das die dort ge speicherten Programmdaten über einen längeren Zeitraum si cher unverändert bleiben. Dies liegt im wesentlichen an den harten Umgebungsbedingungen im Bereich der Getriebesteue rung, insbesondere an der hohen Umgebungstemperatur, die wohl von dem Rechenteil, nicht jedoch in ausreichendem Maße von dem Programmspeicher vertragen wird.With electronic engine and especially transmission control stations for motor vehicles, such. B. electronic transmission controls for multi-speed automatic transmission for Trucks or continuously variable transmissions are provided hen, a microcontroller directly in the controller, d. H. to use a central processing unit, this Re Chen unit both the actual arithmetic part and the Program memory combined in a chip module. With this The problem has emerged that the Computer part works without problems, the program but do not save one for a reliable function has sufficient probability that the ge saved program data over a longer period of time remain unchanged. This is mainly due to the harsh environmental conditions in the area of the transmission control tion, especially at the high ambient temperature probably from the arithmetic part, but not to a sufficient extent is tolerated by the program memory.

Um dieses Problem zu umgehen, ist vorgeschlagen worden, einen entfernt von dem Rechenteil gelegenen Programmspei cher zu verwenden, der an einem Ort plaziert ist, wo die Umgebungsbedingungen nicht zu einem langsamen Verschwinden der Programmdaten führen. Dieser separate Speicherbaustein muß mit dem Rechnerteil des Mikrocontrollers kommunizieren. Die für die Kommunikation benötigte Zeit beeinträchtigt jedoch die Geschwindigkeit des Rechnerteiles sehr starkt und kann unter Umständen dazu führen, dass ein Programm nicht mehr vollständig abgearbeitet werden kann.To work around this problem, it has been suggested a program file located away from the arithmetic part used in a location where the Environmental conditions do not slowly disappear of the program data. This separate memory chip must communicate with the computer part of the microcontroller. The time required for communication is impaired however, the speed of the computer part is very strong and may lead to a program can no longer be fully processed.

Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren und eine Vorrichtung anzugeben, bei dem der Rechnerteil und der Programmspeicher im Bereich der Motor- bzw. Getriebesteue rung gelegen sind, jedoch gleichwohl bei einem partiellen oder totalen Verlust der Daten des Programmspeichers eine sichere Funktion der Getriebe- bzw. Motorsteuerung gewähr leistet ist.The invention has for its object a method and specify a device in which the computer part and Program memory in the area of engine or transmission control are located, but nevertheless with a partial or total loss of program memory data ensure safe function of the transmission or engine control is accomplished.

Diese Aufgabe ist für ein Verfahren gemäß der Erfindung durch die Merkmale des Patentanspruches 1 gelöst, für eine Vorrichtung durch die Merkmale des unabhängigen Patentan spruches.This object is for a method according to the invention solved by the features of claim 1, for a Device by the features of the independent patent saying.

Demgemäß wird die an sich vorteilhafte Verwendung eines direkt in der Steuerung gelegenen Mikrocontrollers mit ei nem Rechnerteil und einem Programmspeicher verwendet, so dass die beim Abarbeiten eines Programmes benötigten Zeiten sehr kurz gehalten werden. Gleichzeitig wird jedoch ein entfernt von dem Mikrocontroller bzw. der zentralen Rechen einheit gelegener Backup-Speicherchip vorgesehen, der an einem Ort gelegen ist, an dem die Umgebungsbedingungen in der Regel nicht zu einem Verlust der Daten führen. Auf die sem Backup-Speicherchip sind nun die gleichen Programmdaten wie auf dem Programmspeicher abgelegt. Diese Programmdaten werden z. B. bei der Inbetriebnahme der Steuerung auf beide Speicher übertragen. Accordingly, the advantageous use of a Microcontroller with egg located directly in the control used a computer part and a program memory, so that the times needed to run a program be kept very short. At the same time, however removed from the microcontroller or the central processor unit located backup memory chip provided to the a place where the environmental conditions in usually does not lead to loss of data. On the his backup memory chip is now the same program data as stored in the program memory. This program data z. B. when starting up the controller on both Transfer memory.

Bei normalen Betrieb der Steuerung wird das Programm aus dem internen Programmspeicher verwendet. Hierdurch kann das Programm ohne Einbußen bei der Geschwindigkeit des Rechner teiles abgearbeitet werden.During normal operation of the control, the program is switched off the internal program memory. This can Program without sacrificing the speed of the computer some are processed.

Für eine Datensicherung sind nun verschiedene Fälle denk bar:Various cases are now possible for data backup bar:

Sobald eine gewisse Zeit, z. B. ein erstes Zeitintervall im Rahmen von einem Jahr oder 500 Betriebsstunden erreicht ist, wird überprüft, ob die Steuerung und auch das Kraft fahrzeug in einem sicheren Zustand ist, dass z. B. die Zün dung ausgestellt ist, das Kraftfahrzeug steht, etc. Während dieses sicheren Zustandes wird nun der interne Programm speicher mit den in dem Backup-Speicherchip abgelegten Pro grammdaten überschrieben. Damit ist der interne Programm speicher wieder mit frischen Programmdaten versehen und die Zeitspanne des kritischen Datenerhaltes beginnt von Neuem.As soon as a certain time, e.g. B. a first time interval in Reached a year or 500 hours of operation is checked whether the control and also the power vehicle in a safe condition is that e.g. B. the guilds is on display, the vehicle is stationary, etc. While the internal program becomes this safe state save with the pro stored in the backup memory chip gram data overwritten. That is the internal program store fresh program data again and the The period of critical data retention begins again.

Eine weitere Möglichkeit besteht darin, dass in bestimmten zweiten Zeitintervallen, die kürzer als das oben genannte Zeitintervall sind, überprüft wird, ob die Programmdaten des internen Programmspeichers und des externen Backup- Speichers fehlerfrei oder fehlerbehaftet sind. Dies kann z. B. durch eine sogenannte Checksummen-Überwachung erfolgen, mit der sicher festgestellt werden kann, ob beide Speicher den identischen Dateninhalt haben und welcher von beiden Speichern einen Datenverlust erlitten hat. Ein solcher Da tenverlust kann durch diese Überprüfung erkannt werden. Dann ist es möglich, die fehlerhaften Daten eines Speichers mit den fehlerfreien Daten des jeweils anderen Speichers zu überschreiben. Mit diesem Verfahren ist somit eine Überprü fung des Programmspeichers und auch des Backup-Speichers möglich. Another possibility is that in certain second time intervals that are shorter than the above Time interval, it is checked whether the program data the internal program memory and the external backup Memory are error-free or faulty. This can e.g. B. done by a so-called checksum monitoring, with which it can be determined with certainty whether both memories have the same data content and which of the two Saving has suffered a data loss. Such a da Loss of loss can be detected by this check. Then it is possible to store the incorrect data with the error-free data of the other memory overwrite. With this procedure is therefore a check program memory and also backup memory possible.

Die Prgrammierung bzw. Neuprogrammierung kann auch aufge splittet werden. Es kann entweder das gesamte Programm neu programmiert werden, inklusive dem Boot-Programm. Jedoch kann es bei bestimmten Steuerungen wegen der Fehlermöglich keiten während der Programmierung vorteilhaft sein, nur das Betriebsprogramm, nicht jedoch das Boot-Programm neu zu programmieren. Sollte nun ein Fehler im Boot-Programm fest gestellt werden, ist eine Programmierung über ein externes Tool, z. B. einen Werkstatt-Tester vorzuziehen. Sollte ein Fehler nur im Betriebsprogramm vorliegen, kann nach dem oben beschriebenen Verfahren der Programmspeicher z. B. aus dem externen Backup-Speicherchip neu programmiert werden.The programming or reprogramming can also be done to be split. It can either rebuild the entire program be programmed, including the boot program. However it may be possible with certain controls because of the error advantages during programming, just that Operating program, but not the boot program again program. Now a bug in the boot program should be fixed is a programming via an external Tool, e.g. B. prefer a workshop tester. Should be Errors can only be found in the operating program above described method of program memory z. B. from the external backup memory chip can be reprogrammed.

Mit der aufgezeigten Lösung ist es möglich, die Vorteile der unmittelbaren Nachbarschaft eines Rechnerteiles und eines Programmspeichers hinsichtlich der Geschwindigkeit der Programmabarbeitung auszunutzen, wobei die beiden Ele mente vorzugsweise auf einem gemeinsamen Chip eingerichtet sind. Gleichzeitig werden aber auch die Vorteile eines ex tern gelegenen Programmspeichers genutzt, der jedoch nicht ständig im Einsatz ist, sondern, wie oben beschrieben, nur in bestimmten Situationen eingesetzt wird, wobei bei diesem Einsatz, der in der Regel bei einem sicheren Zustand des Kraftfahrzeuges stattfindet, die Rechengeschwindigkeit der zentralen Recheneinheit nicht beeinflusst wird. Wenn das komplette Programm neu programmiert werden muss können ver längerte Programmierzeiten auftreten. Diese verlängerten Programmierzeiten sind jedoch bei dem Verfahren gemäß der Erfindung in der Regel kein Problem.With the solution shown it is possible to take advantage the immediate vicinity of a computer part and a program memory in terms of speed to exploit the program execution, whereby the two Ele elements preferably set up on a common chip are. At the same time, the advantages of an ex internal program memory used, but not is constantly in use, but, as described above, only is used in certain situations, with this Use, which is usually in a safe state of the Motor vehicle takes place, the computing speed of the central processing unit is not affected. If that complete program can be reprogrammed ver longer programming times occur. These extended Programming times are however in the method according to the Invention is usually not a problem.

Es kann natürlich in einigen Fällen vorkommen, dass bei Feststellen von Fehlern in dem Programmspeicher es nicht möglich ist, das Kraftfahrzeug in einen sicheren Zustand zu versetzen und dann die Programmdaten aus dem Backup- Speicherchip auf den Programmspeicher zu überschreiben. Ebenso könnte eine solche Überschreibung erst zu einem spä teren Zeitpunkt möglich sein. Hierzu wird gemäß der Erfin dung vorgesehen, in dem externen Backup-Speicherchip und gegebenenfalls auch auf dem Programmspeicher ein Ersatzpro gramm zu speichern, das in einem solchen Fall aktiviert wird und welches nur bestimmte Teile des Betriebsprogrammes umfaßt. Somit können die Laufzeitprobleme umgangen werden und der Lenker des Kraftfahrzeuges hat nur eine minimal eingeschränkte Funktionalität. Nach dieser Überschreibung ist wieder das gesamte Programm verfügbar.In some cases it can of course happen that at It does not detect errors in the program memory it is possible to keep the motor vehicle in a safe state move and then the program data from the backup Overwrite memory chip on the program memory. Similarly, such an overwrite could only be made at a late later point in time. According to the Erfin provided in the external backup memory chip and if necessary also a spare pro on the program memory save gram that activates in such a case and which is only certain parts of the operating program includes. The runtime problems can thus be avoided and the handlebar of the motor vehicle has only a minimal limited functionality. After this overwriting the entire program is available again.

Des weiteren kann auch der interne Programmspeicher in meh rere Bereiche unterteilt werden, ebenso wie natürlich der Backup-Speicherchip, die jeweils für sich autark arbeiten und auf Datenkonsistenz überprüft werden können. Sollten in einem Bereich fehlerhafte Daten vorliegen bzw. Daten verlo ren gegangen sein, kann der Fehler sicher lokalisiert wer den. Anschließend könnte dann ein Ersatzprogramm aktiviert werden, das den betroffenen fehlerhaften Datenbereich nicht benutzt.Furthermore, the internal program memory can be meh other areas, as well as of course the Backup memory chip, each working independently and can be checked for data consistency. Should in an area contains incorrect data or lost data the fault can be located safely the. A replacement program could then be activated the affected data area is not affected used.

Weitere Ausgestaltungen der Erfindung gehen aus den Un teransprüchen hervor.Further refinements of the invention are based on the Un claims.

Die Erfindung ist einem Ausführungsbeispiel anhand einer schematischen Figur dargestellt, die ein Blockschaltdia gramm für eine Motor- bzw. Getriebesteuerung eines Kraft fahrzeuges gemäß der Erfindung zeigt. In diesem Diagramm sind lediglich die wesentlichen Rechner- und Speicherteile sowie Prüfschaltungen und Überschreibungsschaltungen darge stellt, nicht jedoch die sonstigen Teile einer Motor- bzw. Getriebesteuerung, wie Aktuatoren, Stromversorgung, etc. Es wird lediglich angenommen, dass die Getriebesteuerung di rekt von einer Konstantspannungsquelle, z. B. der Kraft fahrzeugbatterie versorgt wird. Außerdem wird im folgenden der Einfachheit halber lediglich von einer Getriebesteue rung gesprochen.The invention is an embodiment based on a shown schematic figure, which is a block switching slide Gram for a motor or transmission control of a force shows vehicle according to the invention. In this diagram are just the essential computer and memory parts as well as test circuits and overwrite circuits Darge provides, but not the other parts of an engine or Transmission control, such as actuators, power supply, etc. It it is only assumed that the transmission control di rect from a constant voltage source, e.g. B. the force vehicle battery is supplied. In addition, the following for the sake of simplicity only from a transmission control spoken.

In einer Getriebesteuerung ist eine zentrale Recheneinheit 1 vorgesehen, die aus einem Rechnerteil 2 und einem mit diesem zusammenarbeitenden Programmspeicher 3 besteht. In dem Programmspeicher sind die für die Funktion der Getrie besteuerung notwendigen Programmdaten abgelegt, wobei diese Programmdaten entsprechend ihrer Funktion für die Getriebe steuerung in einzelne Blöcke aufgeteilt werden können, die dann in einzelnen Bereichen des Programmspeichers 3 abge legt werden, die hier schematisch mit a, b, c und d be zeichnet sind. Rechnerteil 2 und Programmspeicher 3 sind hierbei auf einem gemeinsamen Chip 4 eingerichtet.A central processing unit 1 is provided in a transmission control and consists of a computer part 2 and a program memory 3 which cooperates with it. The program data necessary for the function of the transmission control are stored in the program memory, whereby this program data can be divided into individual blocks according to their function for the transmission control, which are then stored in individual areas of the program memory 3 , which are schematically represented here with a, b, c and d are designated. Computer part 2 and program memory 3 are set up on a common chip 4 .

Des weiteren ist ein externer, entfernt gelegener Backup- Speicherchip 5 vorgesehen, der einen Speicherbereich 6 auf weist, in dem bei der Inbetriebnahme der Getriebesteuerung die gleichen Programmdaten wie im Programmspeicher 3 abge legt werden. Auch dieser Speicherbereich 6 kann aufgeteilt werden und z. B. einen Hilfsspeicherbereich 7 enthalten, in dem Hilfsprogrammdaten abgelegt werden, z. B. lediglich Daten für das Betriebsprogramm.Furthermore, an external, remote backup memory chip 5 is provided which has a memory area 6 in which the same program data as in the program memory 3 is stored when the transmission control is started up. This memory area 6 can also be divided and z. B. contain an auxiliary memory area 7 , in which utility program data are stored, for. B. only data for the operating program.

Des weiteren ist eine Prüfschaltung 8 vorgesehen, mit der durch bekannte Verfahren ermittelt werden kann, ob die Pro grammdaten des Programmspeichers 3 und/oder die auf dem Backup-Chip 5 abgelegten Programmdaten korrekt oder fehler haft sind. Hierzu ist die Prüfschaltung 8 über Busleitungen 9 mit den beiden Chips 4 und 5 verbunden. Furthermore, a test circuit 8 is provided with which known methods can be used to determine whether the program data of the program memory 3 and / or the program data stored on the backup chip 5 are correct or incorrect. For this purpose, the test circuit 8 is connected to the two chips 4 and 5 via bus lines 9 .

Mit der Prüfschaltung 8 kommuniziert noch eine Überschreib schaltung 10, mit deren Hilfe über Busleitungen 11 Daten zwischen dem Programmspeicher 3 und dem Backup-Chip 5 über tragen werden können.With the test circuit 8 still communicates an overwrite circuit 10 , by means of which 11 data between the program memory 3 and the backup chip 5 can be transmitted via bus lines.

Des weiteren ist noch eine Zeitschaltung 12 vorgesehen, die die Funktion der Überprüfschaltung 8 und der Überschreib schaltung 10 steuert und ggf. kontrolliert. Diese Zeit schaltung kann z. B. auch Teil der Rechnereinheit 2 sein. Wie oben erläutert, werden in relativ großen ersten Zeitin tervallen die sicheren Programmdaten des Backup-Chips zum Programmspeicher 3 übertragen, wodurch dort die vorliegen den Programmdaten neu überschrieben werden.Furthermore, a timer circuit 12 is provided which controls the function of the checking circuit 8 and the overwrite circuit 10 and, if necessary, controls it. This time circuit can, for. B. also be part of the computer unit 2 . As explained above, the secure program data of the backup chip are transferred to the program memory 3 in relatively large first time intervals, as a result of which the existing program data are rewritten there.

In relativ kurzen zweiten bzw. dritten Zeitintervallen, werden mit Hilfe der Prüfschaltung 8 die Daten des Pro grammspeichers 3 bzw. diejenigen des Backup-Chips 5 über prüft. Vorzugsweise erfolgt dieses zur gleichen Zeit, so dass zweite und dritte Zeitintervalle gleich sind. Je nach dem, wo jetzt ein Fehler entdeckt wird, kann der gesamte fehlerhafte Speicher durch den fehlerfreien Inhalt des an deren Speichers überschrieben werden oder es werden ledig lich einzelne Bereiche, in denen fehlerhafte Daten ermit telt worden sind, durch fehlerfreie Daten bzw. durch ein Hilfsprogramm ersetzt. In relatively short second or third time intervals, the data of the program memory 3 or those of the backup chip 5 are checked via the test circuit 8 . This is preferably done at the same time, so that second and third time intervals are the same. Depending on where an error is now discovered, the entire defective memory can be overwritten by the error-free content of the other memory, or only individual areas in which incorrect data have been determined are replaced by error-free data or by a Utility program replaced.

BezugszeichenlisteReference list

11

zentrale Recheneinheit
central processing unit

22

Rechnerteil
Computer part

33rd

Programmspeicher
a, b, c, d Bereiche von Program memory
a, b, c, d ranges of

33rd

44

gemeinsamer Chip für common chip for

22

und and

33rd

55

Backup-Chip
Backup chip

66

Speicherbereich in Storage area in

55

77

Hilfsspeicherbereich in Auxiliary storage area in

55

88th

Prüfschaltung
Test circuit

99

Busleitung
Bus line

1010th

Überschreibschaltung
Overwrite circuit

1111

Busleitung
Bus line

1212th

Zeitschaltung
Timer

Claims

1. Verfahren zum funktionssicheren Betreiben einer elek tronischen Motor-, insbesondere Getriebesteuerung für Kraftfahrzeuge, die einen Chip mit einer zentralen Re cheneinheit aufweist, die aus Rechnerteil und einem, die Programmdaten für den Rechnerteil enthaltenden Pro grammspeicher besteht, dadurch gekennzeichnet, dass die Programmdaten auf einem weiteren Backup-Speicherchip abgespeichert werden, der entfernt von der zentralen Recheneinheit gelegen ist, und dass in vorgegebenen er sten Zeitintervallen die Programmdaten des Programm speichers durch die Daten des Backup-Speicherchips überschrieben werden.1. A method for the reliable operation of an electronic engine, in particular transmission control for motor vehicles, which has a chip with a central computing unit which consists of a computer part and a program memory containing the program data for the computer part, characterized in that the program data a further backup memory chip is stored, which is located away from the central processing unit, and that the program data of the program memory are overwritten by the data of the backup memory chip in predetermined he most time intervals.

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass in bestimmten zweiten Zeitintervallen, die kürzer als die ersten Zeitintervalle sind, überprüft wird, ob die Daten des Programmspeichers korrekt sind, und dass bei Feststellen eines Fehlers die Programmdaten des Pro grammspeichers durch die Daten des Backup-Speicherchips überschrieben werden.2. The method according to claim 1, characterized in that at certain second time intervals that are shorter than the first time intervals are, it is checked whether the Program memory data is correct, and that at If an error is detected, the program data of the Pro gram memory by the data of the backup memory chip be overwritten.

3. Verfahren nach Anspruch 1 oder 3, dadurch gekennzeich net, dass in bestimmten Zeitintervallen, die bevorzugt gleich den zweiten Zeitintervallen sind, zusätzlich überprüft wird, ob die Daten des Backup-Speicherchips korrekt sind, und dass bei Feststellen eines Fehlers die Programmdaten des Backup-Speicherchips durch die korrekten Daten des Programmspeichers überschrieben werden.3. The method according to claim 1 or 3, characterized in net that at certain time intervals, which is preferred are equal to the second time intervals, in addition it is checked whether the data of the backup memory chip are correct, and that when an error is detected the program data of the backup memory chip by the correct data of the program memory overwritten become.

4. Verfahren nach einem der vorhergehenden Ansprüche, da durch gekennzeichnet, dass im Backup-Speicherchip Hilfsprogrammdaten abgelegt werden, die eine Getriebe steuerung während des Fahrens des Kraftfahrzeuges zu mindest sicher gewährleisten, und dass im Falle, dass die Daten des Programmspeichers und die des Backup- Speicherchips fehlerhaft sind, die Hilfsprogrammdaten in den Programmspeicher überschrieben werden.4. The method according to any one of the preceding claims characterized by that in the backup memory chip Auxiliary program data are stored that a gear control while driving the motor vehicle guarantee at least safely, and that in the event that the data of the program memory and that of the backup Memory chips are faulty, the utility data be overwritten in the program memory.

5. Vorrichtung zur Durchführung des Verfahrens nach An spruch 1, mir einer elektronischen Motor-, insbesondere Getriebesteuerung für ein Kraftfahrzeug, die einen Rechnerteil (2) und einen mit diesem kommunizierenden Programmspeicher (3) aufweist, die unmittelbar benach bart und vorzugsweise auf einem gemeinsamen Chip (4) eingerichtet sind, dadurch gekennzeichnet, dass ein Backup-Speicherchip (5) vorgesehen ist, der entfernt von der zentralen Recheneinheit (1) gelegen ist, auf dem die Programmdaten des Programmspeichers (3) abge speichert sind und der mit dem Rechnerteil (2) und dem Programmspeicher (3) kommuniziert, und dass eine Über schreibschaltung (10) zum Überschreiben der Programmda ten des Programmspeichers (3) in bestimmten ersten Zei tintervallen durch diejenigen des Backup-Speicherchips (5) vorgesehen ist.5. Apparatus for carrying out the method according to claim 1, me an electronic engine, in particular transmission control for a motor vehicle, which has a computer part ( 2 ) and a communicating with this program memory ( 3 ), the immediate neighbors and preferably on a common Chip ( 4 ) are set up, characterized in that a backup memory chip ( 5 ) is provided, which is located remotely from the central processing unit ( 1 ), on which the program data of the program memory ( 3 ) is stored and which is stored with the computer part (2) and communicated to the program memory (3), and that an over-write circuit (10) for rewriting the Programmda of the program memory (3) th in particular first Zei tintervallen by those of the backup memory chips is provided (5).

6. Vorrichtung nach Anspruch 5, dadurch gekennzeichnet, dass eine Prüfschaltung (8) zum Überprüfen der Pro grammdaten des Programmspeichers (3) in bestimmten zweiten Zeitintervallen, die kleiner sind als die er sten Zeitintervalle, auf Fehlerhaftigkeit vorgesehen ist, und dass die Prüfschaltung (8) bei Feststellen eines Fehlers die Überschreibschaltung (10) zum Über schreiben der Programmdaten des Programmspeichers (3) durch diejenigen des Backup-Speicherchips (5) ansteu ert.6. The device according to claim 5, characterized in that a test circuit ( 8 ) for checking the program data of the program memory ( 3 ) in certain second time intervals, which are smaller than the first time intervals, is provided for errors, and that the test circuit ( 8) the overwrite circuit (10) for rewriting the program data of the program memory (3) by those of the backup memory chips (ert upon detection of a fault 5) ansteu.

7. Vorrichtung nach einem der Ansprüche 5 oder 6, dadurch gekennzeichnet, dass eine Prüfschaltung zum Überprüfen der Programmdaten des Backup-Speicherchips (5) in be stimmten dritten Zeitintervallen, die bevorzugt gleich den zweiten Zeitintervallen sind, auf Fehlerhaftigkeit vorgesehen ist, dass die Prüfschaltung (8) bei Fest stellen eines Fehlers die Überschreibschaltung 10) zum Überschreiben der Programmdaten des Backup- Speicherchips (5) durch die auf Fehlerfreiheit über prüften Programmdaten des Programmspeichers (3) ansteu ert.7. Device according to one of claims 5 or 6, characterized in that a test circuit for checking the program data of the backup memory chip ( 5 ) in certain third time intervals, which are preferably equal to the second time intervals, is provided for errors that the test circuit ( 8 ) if an error is detected, the overwrite circuit 10 ) for overwriting the program data of the backup memory chip ( 5 ) is controlled by the program data of the program memory ( 3 ) checked for error-free operation.

8. Vorrichtung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass auf dem Backup- Speicherchip (5) in einem Hilfsspeicherbereich (7) Hilfsprogrammdaten abgespeichert sind, die eine Getrie besteuerung während des Fahrens des Kraftfahrzeuges zu mindest sicher gewährleisten, und dass die Prüfschal tung (8) bei Feststellen eines Fehlers in Programmspei cher (3) und Backup-Speicherchip (Speicherbereich 6) die Überschreibschaltung (10) zum Überschreiben der Hilfsprogrammdaten auf den Programmspeicher (3) ansteu ert.8. Device according to one of the preceding claims, characterized in that on the backup memory chip ( 5 ) in an auxiliary memory area ( 7 ) auxiliary program data are stored, which ensure a transmission control while driving the motor vehicle at least safely, and that the test circuit ( 8 ) upon detection of an error in the program memory ( 3 ) and backup memory chip (memory area 6 ), the overwrite circuit ( 10 ) for overwriting the auxiliary program data in the program memory ( 3 ) is activated.

9. Vorrichtung nach einem der Ansprüche 5 bis 8, dadurch gekennzeichnet, dass der Programmspeicher (3) in mehre re Speicherbereiche (a, b, c, d) aufgeteilt ist, in de nen funktionsmäßig zusammenhängende Programmdaten abge legt sind.9. Device according to one of claims 5 to 8, characterized in that the program memory ( 3 ) is divided into a plurality of memory areas (a, b, c, d) in which functionally related program data are stored.