DE4111918C1

DE4111918C1 - Electronic controller for vehicle IC engine - uses interrupt routine in microprocessor to monitor faults in equipment and initiate emergency processes

Info

Publication number: DE4111918C1
Application number: DE19914111918
Authority: DE
Inventors: Berthold Radermacher; Hans-Georg Gommers
Original assignee: Pierburg GmbH
Current assignee: Pierburg GmbH
Priority date: 1991-04-12
Filing date: 1991-04-12
Publication date: 1992-10-01
Anticipated expiration: 2011-04-13

Abstract

The device is for the regulators of electronic control equipment which has a monitoring unit (24) connected with the output of a microprocessor (20) for providing regular control signals according to the control program. Watch dog logic (29) and, if needed, an emergency path (32) can be activated for driving the device when the control signals (28) fail. A signal from the microprocessor starts an interrupt routine (22) which involves reading from a first memory (23), in succession different patterns M1 and M2 in a redundant code, and then calculating two values Y1 and Y2 which are stored in another memory (25). These values then give a value Z which is sent to the monitoring unit for storage and is also compared in unit (26), activating the watch dog logic if the values of Y1 and Y2 warrant it. ADVANTAGE - There is provision for emergency operation if units or software fails.

Description

Die Erfindung betrifft eine Einrichtung zur Steue rung von Stellgliedern nach dem Oberbegriff des Pa tentanspruchs 1.The invention relates to a device for tax tion of actuators according to the generic term of Pa claim 1.

Eine derartige Einrichtung ist beispielsweise Ge genstand der DE-OS 36 28 536 und weist bereits eine Überwachungsschaltung auf, welche bei Ausfall der digitalen Steuereinrichtung eine Umgehung der digi talen Steuereinrichtung schaltet, wobei die Über wachungsschaltung mit einem Ausgang des Mikropro zessors verbunden ist, an welchem bei Ablauf des im Mikrocomputer gespeicherten Programms regelmäßig Signale abgegeben werden, deren Ausbleiben ein Steuersignal für z. B. eine Notlauffunktion be wirkt.Such a device is, for example, Ge subject of DE-OS 36 28 536 and already has one Monitoring circuit which, if the digital control device bypassing the digi tal control device switches, the over guard circuit with an output of the Mikropro is connected to which at the end of the im Microcomputer saved program regularly Signals are issued, the absence of a Control signal for z. B. be an emergency function works.

Bei dem vorgesehenen Einsatz dieser Einrichtung bei einer Fahrzeugbrennkraftmaschine wird gefordert, daß die Steuerung/Regelung auch nach Ausfall eines oder mehrerer Bauteile zumindestens im einge schränkten Umfang funktioniert. Hinsichtlich des Ausfalls oder einer unzulässigen Verschlechterung der Hardware selbst sind die hier aufgezeigten re gelmäßig abgegebenen Signale als wirksames Mittel anzusehen, ein Notlaufprogramm zu starten.With the intended use of this facility a vehicle internal combustion engine is required that the control / regulation even after the failure of a or more components at least in the limited scope works. Regarding the Failure or an inadmissible deterioration the hardware itself are the right ones shown here regularly given signals as an effective means to watch an emergency run program.

Die geringe Versorgungsspannung digitaler Steuer einrichtungen bzw. derer Schaltglieder bewirkt einen geringen Störabstand des Signalpegels, wobei auch die Signalströme gering gehalten werden, um Verlustwärme in Grenzen zu halten.The low supply voltage of digital control devices or whose switching elements causes a low signal-to-noise ratio, where the signal currents are also kept low Keep heat loss within limits.

Diese geringe Versorgungsspannung bzw. geringen Signalströme begünstigen eine störende Einflußnahme von außen und dem Inneren der Steuereinrichtung durch Versorgungsspannungsschwankungen, Störspan nungen und elektromagnetische Störstrahlungen. This low supply voltage or low Signal currents favor disturbing influence from the outside and the inside of the control device due to supply voltage fluctuations, interference voltage and electromagnetic interference.

In digitalen Schaltnetzen bewirkt ein kurzzeitiger, durch äußeren oder inneren Einfluß entstehender Signalpegel durch die Abhängigkeit der Folgezu stände von den vorherigen Zuständen u. U. Fehlfunk tionen. So kann z. B. auch das Steuersignal der gattungsgemäßen Einrichtung durch diese inneren oder äußeren Einflüsse zu einer Fehlfunktion füh ren.In digital switching networks, a brief, caused by external or internal influence Signal level due to the dependence of the sequence states of the previous states u. U. radio interference ions. So z. B. also the control signal generic device through this inner or external influences lead to a malfunction ren.

Aus der DE 36 44 248 C2 ist bereits ein Verfahren zur Überwachung eines Programmlaufs und zum Beenden eines aufgrund äußerer Einflüsse ausgelösten fehlerhaften Programmlaufs bekannt, bei dem der Programmlauf regelmäßig unterbrochen und ein Test programm abgearbeitet wird. Das Testprogramm veran laßt einen Vergleich der momentanen Werte bestimm ter, während des Programmlaufes unverändert belasse ner interner Register, mit den zugehörigen, im Pro grammspeicher hinterlegten und während des Ini tialisierungsprogramms in die internen Register ko dierten Werte. Stimmen die jeweiligen Wertepaare überein, wird der Programmlauf fortgesetzt und bei Ungleichheit der Wertepaare, die als Indiz für eine erfolgte Störung des Mikroprozessors gewertet wird, setzt sich der Mikroprozessor in einen Grundzustand zurück, dem die Abarbeitung des Initialisierungs programmes folgt.A method is already known from DE 36 44 248 C2 to monitor a program run and to exit one triggered due to external influences faulty program run known in which the Program run interrupted regularly and a test program is processed. Arrange the test program let a comparison of the current values determine ter, leave unchanged during the program run ner internal register, with the corresponding, in the pro stored in the gram memory and during the Ini program in the internal registers dated values. Are the respective pairs of values correct? match, the program run is continued and at Inequality of the pairs of values that are an indication of a the microprocessor malfunction is evaluated, the microprocessor is in a basic state back, which the processing of the initialization programs follows.

Diesen Verfahrensschritten liegt die Erfahrung zu grunde, daß eine durch äußere Einwirkungen entstan dene Störung eines Mikroprozessors sehr leicht an undefiniert veränderten Werten interner Register zu erkennen ist, die entweder unmittelbar durch äußere Einflüsse oder von einem durch äußere Einflüsse außer Kontrolle geratenen Mikroprozessor verändert wurden. Experience lies with these procedural steps reasons that one arises from external influences microprocessor failure very easily undefined changed values of internal registers is to be recognized, either directly by external Influences or from one by external influences out of control microprocessor changed were.

Nun spielt aber bei der Signalverarbeitung nicht nur die Hardware eine Rolle, sondern auch die Soft ware, also die Programmierung im Steuergerät. Auch die Software kann Fehler zeigen. Zwischen Hardware- und Softwarefehlern besteht grundsätzlich kein Unterschied, jedoch unterliegt Software keinem Ver schleiß, vielmehr sind Fehler latent von vornherein in der Software enthalten. Sie treten aber nur bei bestimmten Kombinationen von Eingangsgrößen und in ternen Zuständen in Erscheinung. Es ist praktisch nicht möglich, die Software für alle denkbaren Kom binationen von Eingangsgrößen und internen Zustän den zu testen.Now, however, does not play a role in signal processing only the hardware matters, but also the soft the programming in the control unit. Also the software can show errors. Between hardware and There are basically no software errors Difference, but software is not subject to any ver wear and tear, rather errors are latent from the start included in the software. But they only join certain combinations of input variables and in in appearance. It is practical not possible, the software for all possible com combinations of input variables and internal states to test that.

Hiervon ausgehend liegt der Erfindung die Aufgabe zugrunde, eine Einrichtung der im Oberbegriff des Patentanspruchs 1 genannten Art derart auszubilden, daß bei Ausfall von Bauteilen und zusätzlich bei Fehlern der Software eine Notlauffunktion erreicht wird, wobei jedoch latent von vornherein in der Software enthaltene Fehler, die vereinzelt auftre ten, ohne Auswirkungen bleiben sollen, d. h. den Notlaufpfad nicht aktivieren sollen.Proceeding from this, the object of the invention based on an establishment of the To develop the type mentioned in claim 1, that in the event of component failure and additionally Software errors reached an emergency function is, however latent from the outset in the Software contained errors that occur occasionally without effects, d. H. the Should not activate the emergency running path.

Diese Aufgabe ist mit den im Kennzeichen des Pa tentanspruchs 1 angegebenen Merkmalen gelöst. Vor teilhafte Weiterbildungen des Gegenstandes nach An spruch 1 sind mit den Unteransprüchen angegeben.This task is with the in the characteristics of the Pa Features specified 1 solved. Before partial further developments of the subject according to An Say 1 are specified with the subclaims.

Eine Ausführung der Erfindung ist in der Zeichnung schematisch dargestellt und nachfolgend mit Angabe erreichbarer Vorteile beschrieben.An embodiment of the invention is in the drawing shown schematically and below with information achievable advantages described.

Die Zeichnung zeigt:The drawing shows:

Fig. 1 den schematischen Aufbau der Einrichtung; Figure 1 shows the schematic structure of the device.

Fig. 2 eine erste Prinzipdarstellung eines Steuergeräte teils. Fig. 2 shows a first schematic diagram of a control unit.

Fig. 1 zeigt schematisch eine erfindungsgemäße Einrichtung zur Steuerung von Stellgliedern, hier z. B. einer Drosselklappe in der Luftansaugleitung einer Brennkraftmaschine. Diese besteht aus einem mit einem Gaspedal 1 verbundenen Stellungsgeber, hier ein Potentiometer 2, welches die Gaspedalstel lung bzw. -verstellung als Widerstandswert anzeigt, der über eine elektrische Leitung 3 einem elektro nischen Steuergerät 4 zugeführt wird. In diesem Steuergerät 4 wird der Widerstandswert unter Aus wertung weiterer Motorparametersignale der Brenn kraftmaschine, die über Leitungen 5 dem Steuergerät 4 zugeführt werden, zu einem Ansteuersignal verar beitet, das über eine Leitung 6 einem Elektromotor 7 zugeführt wird. Dieser Elektromotor 7 wirkt di rekt oder über ein Getriebe auf die Drosselklappe 8 ein, die schwenkbar in der Luftansaugleitung 9 an geordnet ist, und verstellt diese nach Maßgabe des Ansteuersignals bzw. der Gaspedalbetätigung und der Motorparametersignale sowie des im Steuergerät ent haltenen Programms. Die aktuelle Stellung der Dros selklappe 8 wird über ein weiteres Potentiometer 10 als Stellungsgeber erfaßt und ebenfalls als Wider standswert über eine Leitung 11 dem Steuergerät 4 zugeführt. Fig. 1 shows schematically an inventive device for controlling actuators, here z. B. a throttle valve in the air intake line of an internal combustion engine. This consists of a position sensor connected to an accelerator pedal 1 , here a potentiometer 2 , which indicates the accelerator pedal position or adjustment as a resistance value, which is supplied to an electronic control unit 4 via an electrical line 3 . In this control unit 4 , the resistance value is processed by evaluating further engine parameter signals of the internal combustion engine, which are supplied to the control unit 4 via lines 5 , to form a control signal which is supplied to an electric motor 7 via a line 6 . This electric motor 7 acts di rectly or via a gear on the throttle valve 8 , which is pivotally arranged in the air intake line 9 , and adjusts it in accordance with the control signal or the accelerator pedal actuation and the engine parameter signals and the program contained in the control unit. The current position of the throttle valve 8 is detected by a further potentiometer 10 as a position transmitter and also supplied to the control unit 4 as a resistance value via a line 11 .

Die Verarbeitung der dem Steuergerät 4 zugeführten Signale sowie die Ausgabe des Ansteuersignals und ggf. weiterer Signale erfolgt in üblicher Weise in einem Mikrocomputer mit den erforderlichen Baugrup pen Mikroprozessor, Speicher, Analog/Digitalwandler etc., die notwendig sind, um mit der Einrichtung die Funktionen Leerlauffüllungssteuerung/-rege lung, Laststeuerung, Verstellgeschwindigkeitssteue rung, Lastschlagdämpfung, Schubabschaltung bzw. -anhebung für Katalysatorschutz usw. ausführen zu können. The processing of the signals supplied to the control unit 4 and the output of the control signal and possibly further signals is carried out in a conventional manner in a microcomputer with the necessary modules, microprocessor, memory, analog / digital converter etc., which are necessary in order to function with the device Idle charge control / regulation, load control, adjustment speed control, load impact damping, overrun cutoff or increase for catalyst protection, etc.

Fig. 2 zeigt schematisch einen Teil des Steuerge rätes 4 mit einem Mikroprozessor 20, der durch ein regelmäßig auftretendes programmiertes oder intern gebildetes Signal 21 ein Signal 22 für eine Inter ruptroutine ausgibt, mit der aus einem ersten Spei cher (23) ausgelesene Muster M1 und M2, die aus ei nem redundanten Code aufgebaut sind, einer Überwa chungsschaltung 24 bereitgestellt und dort in einem zweiten Speicher 25 abgelegt und zu Werten Y1 und Y2 gemäß der Gleichung Y = F (M1, M2) berechnet werden, wobei die Werte Y1 und Y2 ebenfalls gespei chert werden. Der Wert Y1 wird direkt einem Ver gleicher 26 zugeführt und der Wert Y2 dem Mikro prozessor 20. Der Wert Y2 wird im Mikroprozessor 20 zu einem Wert Z gemäß der Gleichung Z = f (Y2) be rechnet und der Überwachungsschaltung 24 zugeführt, in dieser in einem dritten Speicher 27 gespeichert, von dort ebenfalls dem Vergleicher 26 zugeführt und im Zuge einer Überwachungsroutine mit dem Wert Y1 verglichen, wobei der Vergleicher 26 bei Feststel lung Z = Y1 ein Steuersignal 28 an eine Watch doglogik 29 ausgibt oder bei Feststellung Z ≠ Y1 kein Signal an die Watchdoglogik ausgibt, wobei der Notlaufpfad 32 erst nach einer definierten Anzahl von Resetimpulsen insgesamt oder innerhalb einer definierten Zeitspanne aktiviert wird. Mit dieser Maßnahme wird erreicht, daß nicht jeder einzelne Resetimpuls 30 bereits eine Aktivierung des Not laufpfades 32 bewirkt. Wird kein Steuersignal 28 an die Watchdoglogik 29 ausgegeben, löst diese einen Resetimpuls 30 aus, der über einen Schalter 31 einen Notlaufpfad 32 aktiviert, über den die Grund funktion des Systems aufrechterhalten bleibt. Fig. 2 shows schematically a part of the Steuerge device 4 with a microprocessor 20 , which outputs a signal 22 for an inter rupt routine by means of a regularly occurring programmed or internally formed signal 21 , with the pattern M 1 read out from a first memory ( 23 ) and M 2 , which are constructed from a redundant code, are provided to a monitoring circuit 24 and stored there in a second memory 25 and are calculated to values Y 1 and Y 2 according to the equation Y = F (M 1 , M 2 ), the values Y 1 and Y 2 are also stored. The value Y 1 is fed directly to a comparator 26 and the value Y 2 to the microprocessor 20th The value Y 2 is calculated in the microprocessor 20 to a value Z according to the equation Z = f (Y 2 ) and fed to the monitoring circuit 24 , stored in this in a third memory 27 , from there also fed to the comparator 26 and in the course of a Monitoring routine compared with the value Y 1 , wherein the comparator 26 outputs a control signal 28 to a watchdog logic 29 when Z = Y 1 is determined or does not output a signal to the watchdog logic when Z ≠ Y 1 is determined, the emergency operation path 32 only after a defined one Number of reset pulses is activated in total or within a defined period of time. This measure ensures that not every single reset pulse 30 already causes an activation of the emergency path 32 . If no control signal 28 is output to the watchdog logic 29 , this triggers a reset pulse 30 which activates an emergency running path 32 via a switch 31 , via which the basic function of the system is maintained.

Bei der erfindungsgemäßen Einrichtung kann die Grundfunktion darin bestehen, daß der Elektromotor 7 nahezu zeitgleich mit dem Gaspedal 1 bzw. dem Potentiometer 2 verstellt wird, d. h. der Drossel klappenpotentiometerwert entspricht damit immer dem vorgegebenen Gaspedalpotentiometerwert.In the device according to the invention, the basic function can consist in that the electric motor 7 is adjusted almost simultaneously with the accelerator pedal 1 or the potentiometer 2 , ie the throttle valve potentiometer value always corresponds to the predefined accelerator pedal potentiometer value.

Es ist vorteilhaft, wenn der vom Mikroprozessor 20 gelesene Wert Y2 neu mit einem im Mikroprozessor 20 gespeicherten Wert Y2 alt verglichen wird und bei Feststellung Y2 neu ≠ Y2 alt die Berechnung des Wertes Z erfolgt und bei Feststellung Y2 neu = Y2 alt ein gegenüber einem aus Y2 berechneten Wert Z falscher Wert Z′ an die Überwachungsschaltung 24 ausgegeben und in dieser anstelle eines neu berech neten Wertes Z verarbeitet wird. Mit dieser Maß nahme wird erreicht, daß bei fehlendem aktuellen Wert Y2 mit Z′ ein gegenüber dem Wert Y1 alt un gleicher Wert vorliegt, so daß kein Steuersignal 28 an die Watchdoglogik 29 ausgegeben wird und diese den Resetimpuls 30 ausgibt. Es ist vorgesehen, daß die Berechnung von Z oder Y2 und der Vergleich Z = Y2 innerhalb einer definierten Zeitspanne erfolgt, während der die Watchdoglogik 29 keinen Resetimpuls 30 auslöst.It is advantageous if the read by the microprocessor 20 value Y is new compared alt 2 with a program stored in microprocessor 20 value Y 2 and re upon detection of Y 2 ≠ Y 2 old, the calculation of the value of Z and re upon detection of Y 2 = Y 2 old a wrong value Z 'compared to a value Z calculated from Y 2 is output to the monitoring circuit 24 and processed in this instead of a newly calculated value Z. With this measure it is achieved that in the absence of the current value Y 2 with Z 'there is an unequal value compared to the value Y 1 old, so that no control signal 28 is output to the watchdog logic 29 and this outputs the reset pulse 30 . It is provided that the calculation of Z or Y 2 and the comparison Z = Y 2 take place within a defined period of time during which the watchdog logic 29 does not trigger a reset pulse 30 .

Die Werte M1 und M2 können z. B. aus einem Ring speicher mit unterschiedlichen Speicherinhalten der Reihe nach entnommen werden, wobei vom letzten Speicherinhalt wieder zum ersten gegriffen wird, und sind aus einem redundanten Code aufgebaut, so daß Übertragungsfehler, z. B. auch durch Fremdfel der verursachte, im Mikroprozessor 20 korrigiert werden können.The values M 1 and M 2 can e.g. B. from a ring memory with different memory contents can be taken in sequence, with the last memory content being used again for the first, and are constructed from a redundant code so that transmission errors, e.g. B. caused by Fremdfel, can be corrected in the microprocessor 20 .

Es kann vorgesehen sein, daß bei aktiviertem Not laufpfad 32 ein Notlaufsignal für den Motorbetrei ber bereitgestellt wird und daß dieser den Notlauf pfad 32 durch einen Schalter etc. ggf. deaktivieren kann.It may be provided that, when activated emergency running path 32, a Notlaufsignal for Motorbetrei is provided over and that this path may disable etc. if necessary by a switch to the emergency mode 32nd

Die erfindungsgemäße Einrichtung ermöglicht neben einer ordnungsgemäßen Funktion die Überwachung des Programmablaufs auf Unterbrechungsanforderungen und das Erkennen von Fehlern der Hardware und ermög licht die Aktivierung des Notlaufpfades 32, über den eine beschränkte Funktion der Einrichtung mög lich ist. Latente Fehler der Software, die verein zelt auftreten, bleiben durch die Codierung der Werte M1 und M2 und/oder die Maßnahme, daß der Not laufpfad 32 erst nach einer definierten Anzahl von Resetimpulsen 30 insgesamt oder innerhalb einer vorgegebenen Zeitspanne aktiviert wird, in bezug auf die Aktivierung des Notlaufpfades 32 ohne Ein fluß.In addition to a proper function, the device according to the invention enables the program flow to be monitored for interrupt requests and the detection of hardware errors and enables the activation of the emergency running path 32 , via which a restricted function of the device is possible. Latent errors in the software, which occur occasionally, remain in the coding of the values M 1 and M 2 and / or the measure that the emergency running path 32 is activated only after a defined number of reset pulses 30 or within a predetermined period of time relating to the activation of the emergency running path 32 without a flow.

Claims

1. Einrichtung zur Steuerung von Stellglie dern mit einem elektronischen Steuergerät, in dem eine Überwachungsschaltung (24) enthalten ist, die mit einem Mikroprozessorausgang verbunden ist und bei Ablauf des Steuerprogramms regelmäßig Steuer signale (28) abgibt, deren Ausbleiben eine Watch doglogik (29) und ggf. einen Notlaufpfad (32), über den die Einrichtung mit beschränkter Funktion be trieben werden kann, aktiviert, dadurch ge kennzeichnet,
daß ein vom Mikroprozessor (20) re gelmäßig erzeugtes Signal (21) eine Interruptrou tine (22) startet, mit der aus einem ersten Spei cher (23) fortlaufend unterschiedliche Muster M1 und M2, die aus einem redundanten Code aufgebaut sind, ausgelesen, der Überwachungsschaltung (24) bereitgestellt, in dieser gespeichert und zu Werten Y1 und Y2 berechnet werden, die ebenfalls in einem zweiten Speicher (25) gespeichert werden,
daß der Wert Y1 an einen Vergleicher (26) ausgege ben wird und der Wert Y2 vom Mikroprozessor (20) gelesen und in diesem zu einem Wert Z berechnet wird, der der Überwachungsschaltung (24) zugeführt wird, in dieser in einem dritten Speicher (27) ge speichert und dem Vergleicher (26) zugeführt wird, und
daß der Vergleicher (26) bei Feststellung Z = Y1 das Steuersignal (28) oder bei Feststellung Z ≠ Y1 kein Steuersignal (28) an die Watchdoglogik (29) ausgibt, und
daß der Notlaufpfad (32) erst nach einer definier ten Anzahl von Resetimpulsen der Watchdoglogik (29) insgesamt oder innerhalb einer definierten Zeit spanne aktiviert wird. 1. Device for controlling actuators with an electronic control unit, in which a monitoring circuit ( 24 ) is included, which is connected to a microprocessor output and regularly emits control signals ( 28 ) when the control program runs, the absence of which a watchdog logic ( 29 ) and, if necessary, activates an emergency running path ( 32 ) via which the device with limited function can be operated, characterized in that
that a regularly generated by the microprocessor ( 20 ) signal ( 21 ) starts an interrupt routine ( 22 ) with which from a first memory ( 23 ) continuously different patterns M 1 and M 2 , which are constructed from a redundant code, read out , provided to the monitoring circuit ( 24 ), stored therein and calculated to values Y 1 and Y 2 , which are also stored in a second memory ( 25 ),
that the value Y 1 is output to a comparator ( 26 ) and the value Y 2 is read by the microprocessor ( 20 ) and calculated in this to a value Z, which is fed to the monitoring circuit ( 24 ), in this in a third memory ( 27 ) ge stores and the comparator ( 26 ) is supplied, and
that the comparator ( 26 ) outputs the control signal ( 28 ) if Z = Y 1 or no control signal ( 28 ) to the watchdog logic ( 29 ) if Z ≠ Y 1 is determined, and
that the emergency running path ( 32 ) is activated only after a defined number of reset pulses of the watchdog logic ( 29 ) in total or within a defined period of time.

2. Einrichtung nach Anspruch 1, dadurch ge kennzeichnet, daß der vom Mikroprozessor (20) gele sene Wert Y2 neu mit dem im Mikroprozessor (20) ge speicherten Wert Y2 alt verglichen wird und bei Feststellung Y2 neu ≠ Y2 alt die Berechnung des Wertes Z erfolgt und bei Feststellung Y2 neu = Y2 alt ein gegenüber einem aus Y2 berechneten Wert Z falscher Wert Z′ an die Überwachungsschaltung (24) ausgegeben und in dieser anstelle eines neu berech neten Wertes Z verarbeitet wird.2. Device according to claim 1, characterized in that the value read by the microprocessor ( 20 ) Y 2 new is compared with the value stored in the microprocessor ( 20 ) ge value Y 2 old and when finding Y 2 new ≠ Y 2 old the Calculation of the value Z takes place and if Y 2 new = Y 2 old is determined, a value Z ′ which is wrong in relation to a value Z calculated from Y 2 is output to the monitoring circuit ( 24 ) and processed in this instead of a newly calculated value Z.

3. Einrichtung nach Anspruch 1 oder 2, da durch gekennzeichnet, daß die Werte M1 und M2 einem Ringspeicher (23) mit unterschiedlichen Speicherin halten der Reihe nach entnommen werden.3. Device according to claim 1 or 2, characterized in that the values M 1 and M 2 hold a ring buffer ( 23 ) with different Speicherin are taken in order.

4. Einrichtung nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, daß die Berech nung von Z und der Vergleich Z = Y1 innerhalb einer definierten Zeitspanne erfolgt, während der die Watchdoglogik (29) keinen Resetimpuls auslöst.4. Device according to one of the preceding claims, characterized in that the calculation of Z and the comparison Z = Y 1 takes place within a defined period of time during which the watchdog logic ( 29 ) does not trigger a reset pulse.

5. Einrichtung nach einem der vorstehenden Ansprüche, dadurch gekennzeichnet, daß als Stell glied eine Drosselklappe (8) einer Brennkraftma schine vorgesehen ist, bei der ein Gaspedal (1) auf einen Stellungsgeber (2) einwirkt, dessen Ausgangs signal neben anderen Motorparametersignalen im Steuergerät (4) zu einem Ansteuersignal für einen Elektromotor (7) umgewandelt wird, der auf die Drosselklappe (8) einwirkt, wobei bei aktiviertem Notlaufpfad (32) ein Notlaufsignal für den Motorbe treiber bereitgestellt wird.5. Device according to one of the preceding claims, characterized in that a throttle valve ( 8 ) of an internal combustion engine is provided as an actuator, in which an accelerator pedal ( 1 ) acts on a position transmitter ( 2 ), whose output signal in addition to other engine parameter signals in the control unit ( 4 ) is converted to a control signal for an electric motor ( 7 ), which acts on the throttle valve ( 8 ), an emergency signal for the motor operator being provided when the emergency running path ( 32 ) is activated.