DE102017110423B4

DE102017110423B4 - Process for the reliable activation of production test modes in safety-relevant electronic circuits for a pedestrian impact protection system

Info

Publication number: DE102017110423B4
Application number: DE102017110423.2A
Authority: DE
Inventors: Andre Sudhaus; Jens-Arne Schürstedt; Tan Subijanto; Fikret Abaza
Original assignee: Elmos Semiconductor SE
Current assignee: Elmos Semiconductor SE
Priority date: 2017-05-12
Filing date: 2017-05-12
Publication date: 2019-12-12
Anticipated expiration: 2037-05-13
Also published as: DE102017110423A1

Abstract

Verfahren zur Aktivierung eines Produktionstestmodus für eine integrierte sicherheitsrelevante elektronische Schaltung (IC) zur Steuerung eines Fahrgastrückhaltesystems mit einer Zündpille (SQ) oder für mindestens eine integrierte sicherheitsrelevante elektronische Schaltung (IC) von mehreren integrierten sicherheitsrelevanten Schaltungen zur Steuerung eines Fußgängeraufprallschutzsystems mit einer Zündpille (SQ),- wobei die integrierte Schaltung (IC) eine erste Steuerleitung umfasst, die dazu vorgesehen ist, einen ersten Steueranschluss (G1) eines ersten Transistors (T1) anzusteuern und- wobei die erste Steuerleitung aktiv oder inaktiv sein kann und- wobei die integrierte Schaltung (IC) eine zweite Steuerleitung umfasst, die dazu vorgesehen ist, einen zweiten Steueranschluss (G2) eines zweiten Transistors (T2) anzusteuern und- wobei die zweite Steuerleitung aktiv oder inaktiv sein kann und- wobei die integrierte Schaltung (IC) eine dritte Steuerleitung umfasst, die dazu vorgesehen ist, einen dritten Steueranschluss (G3) eines dritten Transistors (T3) anzusteuern und- wobei die dritte Steuerleitung aktiv oder inaktiv sein kann und- wobei die integrierte Schaltung dazu vorgesehen ist, dass der erste Transistor (T1) und der zweite Transistor (T2) und der dritte Transistor (T3) in Serie mit der Zündpille (SQ) geschaltet sind und- wobei die Zündung der Zündpille (SQ) im Normalbetrieb zumindest zur Voraussetzung hat, dass die erste Steuerleitung aktiv ist und die zweite Steuerleitung aktiv ist und die dritte Steuerleitung aktiv ist umfassend die Schritte- Erfüllen einer ersten Vorbedingung zur Aktivierung des Produktionstestmodus;- Deaktivieren der ersten Steuerleitung des ersten Steueranschlusses (G1) des ersten Transistors (T1) und Verriegelung einer Aktivierung der ersten Steuerleitung zumindest bis zum Ende der Aktivierung des Produktionstestmodus;- Deaktivieren der zweiten Steuerleitung des zweiten Steueranschlusses (G2) des zweiten Transistors (T2) und Verriegelung einer Aktivierung der zweiten Steuerleitung zumindest bis zum Ende der Aktivierung des Produktionstestmodus;- Deaktivieren der dritten Steuerleitung des dritten Steueranschlusses (G3) des dritten Transistors (T3) und Verriegelung einer Aktivierung der ersten Steuerleitung zumindest bis zum Ende der Aktivierung des Produktionstestmodus;- Erfüllen einer zweiten Vorbedingung zur Aktivierung des Produktionstestmodus;- Aktivieren des Produktionstestmodus, wenn alle drei Steuerleitungen deaktiviert wurden und wenn die erste Vorbedingung erfüllt ist und die zweite Vorbedingung erfüllt ist.Method for activating a production test mode for an integrated safety-related electronic circuit (IC) for controlling a passenger restraint system with a squib (SQ) or for at least one integrated safety-related electronic circuit (IC) for several integrated safety-related circuits for controlling a pedestrian impact protection system with a squib (SQ) , - the integrated circuit (IC) comprises a first control line which is provided to control a first control terminal (G1) of a first transistor (T1) and - the first control line can be active or inactive and - the integrated circuit ( IC) comprises a second control line, which is intended to control a second control connection (G2) of a second transistor (T2) and - wherein the second control line can be active or inactive and - wherein the integrated circuit (IC) comprises a third control line, the provided hen is to drive a third control terminal (G3) of a third transistor (T3) and - wherein the third control line can be active or inactive and - wherein the integrated circuit is provided so that the first transistor (T1) and the second transistor (T2 ) and the third transistor (T3) are connected in series with the squib (SQ) and - the firing of the squib (SQ) in normal operation has at least the prerequisite that the first control line is active and the second control line is active and the third Control line is active comprising the steps - fulfilling a first precondition for activating the production test mode; deactivating the first control line of the first control connection (G1) of the first transistor (T1) and locking an activation of the first control line at least until the end of the activation of the production test mode; Deactivating the second control line of the second control connection (G2) of the second transistor (T2) and V locking an activation of the second control line at least until the end of the activation of the production test mode; - deactivating the third control line of the third control connection (G3) of the third transistor (T3) and locking an activation of the first control line at least until the end of the activation of the production test mode; - fulfilling a second precondition for activating the production test mode; - activating the production test mode when all three control lines have been deactivated and when the first precondition is fulfilled and the second precondition is fulfilled.

Description

Oberbegriffpreamble

Es wird ein Verfahren zur Aktivierung eines Produktionstestmodus für eine sicherheitsrelevante elektronische Schaltung und im Speziellen ein Verfahren zur Aktivierung eines Produktionstestmodus für eine integrierte sicherheitsrelevante elektronische Schaltung (IC) zur Steuerung eines Fahrzeuginsassenrückhaltesystems mit einer Zündpille (SQ) vorgeschlagen.A method for activating a production test mode for a safety-relevant electronic circuit and in particular a method for activating a production test mode for an integrated safety-relevant electronic circuit ( IC ) to control a vehicle occupant restraint system with a squib ( SQ ) suggested.

Allgemeine EinleitungGeneral introduction

Elektronische Systeme und insbesondere integrierte Schaltungen werden in verschiedensten sicherheitsrelevanten Systemen eingesetzt. Relevante beispielhafte Standards, die solche Systeme je nach Anwendung erfüllen müssen, sind beispielsweise (ohne hier den Anspruch auf Vollständigkeit zu erheben):

• IEC 61511: Funktionale Sicherheit - für Sicherheitstechnische Systeme für die Prozessindustrie
• IEC 61513: Kernkraftwerke - für Leittechnik für Systeme mit sicherheitstechnischer Bedeutung - Allgemeine Systemanforderungen
• EN 50128: Bahnanwendungen - für Telekommunikationstechnik, Signaltechnik und Datenverarbeitungssysteme - für sicherheitsrelevante elektronische Systeme für die Signaltechnik
• IEC 62061: Sicherheit von Maschinen - für die funktionale Sicherheit sicherheitsbezogener elektrischer, elektronischer und programmierbarer elektronischer Steuerungssysteme
• ISO 26262: Road Vehicles - Funktionale Sicherheit für Automobile

Electronic systems and especially integrated circuits are used in a wide variety of safety-related systems. Relevant exemplary standards that such systems have to meet depending on the application are, for example (without claiming to be complete):

• IEC 61511: Functional safety - for safety systems for the process industry
• IEC 61513: Nuclear power plants - for control technology for systems with safety-related significance - general system requirements
• EN 50128: Railway applications - for telecommunications technology, signal technology and data processing systems - for safety-relevant electronic systems for signal technology
• IEC 62061: Safety of machines - for the functional safety of safety-related electrical, electronic and programmable electronic control systems
• ISO 26262: Road Vehicles - Functional safety for automobiles

Vor der Auslieferung solcher sicherheitsrelevanten elektronischen Systeme und während der Produktion müssen diese Systeme vollständig auf Funktionstüchtigkeit aller Komponenten geprüft werden. Deren Anzahl kann bei integrierten Schaltungen zweistellige Zehnerpotenzen erreichen.Prior to the delivery of such safety-related electronic systems and during production, these systems must be fully tested for proper functioning of all components. Their number can reach in integrated circuits two-digit powers of ten.

Daher werden spezielle Produktionstestmodi (Testzustände der elektronischen Systeme) vorgesehen, um für jede der Komponenten des zu testenden elektronischen Systems diese Komponente schnell und kosteneffizient in alle möglichen relevanten Zustände bringen zu können und die Reaktion dieser Komponente so beobachten zu können, dass eine Gut/Schlecht-Aussage bezüglich jedes zu prüfenden Parameters dieser Komponente möglich ist.Therefore, special production test modes (test states of the electronic systems) are provided in order to be able to quickly and cost-effectively bring this component into all relevant states for each of the components of the electronic system under test and to observe the response of that component to a good / bad Statement with respect to each parameter to be tested this component is possible.

In der Regel sind daher diese elektronischen Systeme in diesen Produktionstestmodi nicht spezifikationskonform betreibbar und damit nicht sicher. Durch verschiedenste Einflüsse ist es nun möglich, dass Signale zur Aktivierung der Produktionstestmodi im normalen Betrieb unabsichtlich aktiviert werden. Dies kann im einfachsten Fall beispielsweise durch natürliche Radioaktivität oder einen Ausfall einer Subkomponente des elektronischen Systems geschehen. Ein solches Ereignis darf daher nicht zu einem Sicherheitsrisiko werden.As a rule, therefore, these electronic systems in these production test modes are not compliant with specification and therefore not safe. Through various influences, it is now possible that signals for activating the production test modes are inadvertently activated during normal operation. In the simplest case, this can be done for example by natural radioactivity or a failure of a subcomponent of the electronic system. Therefore, such an event should not become a security risk.

Eine Produktionstest-Implementierung in sicherheitsrelevanten Produkten birgt somit bei unbeabsichtigter Aktivierung eines Produktionstestmodus im sicherheitsrelevanten Normalbetrieb immer das Potential für kritische, sicherheitsrelevante Fehler.A production test implementation in safety-relevant products thus always harbors the potential for critical, safety-relevant errors in the case of unintentional activation of a production test mode in safety-relevant normal operation.

Aus dem Stand der Technik sind in diesem Zusammenhang insbesondere die DE 10 2007 044 345 A1 , DE 10 2005 030 770 A1 und die DE 10 2004 036 291 A1 bekannt.In this context, the prior art particularly includes DE 10 2007 044 345 A1 . DE 10 2005 030 770 A1 and the DE 10 2004 036 291 A1 known.

Stand der TechnikState of the art

Im Folgenden wird als elektronisches System ein integrierter Schaltkreis beschrieben. Die vorgeschlagene Methodik lässt sich aber auch auf jedes andere elektronische System anwenden.An integrated circuit is described below as an electronic system. The proposed methodology can also be applied to any other electronic system.

Es gibt unzählige Methoden, integrierte Schaltungen in einen Produktionstestmodus (Testzustand) zu bringen. Im einfachsten Fall wird ein Anschluss auf einen bestimmten Pegel gezogen, der normalerweise nicht auf diesem Pegel betrieben wird. Auch ist die Aktivierung über bestimmte Speicherstellen von Registern eines Prozessors bekannt, sofern der integrierte Schaltkreis über einen Prozessor verfügt. Besonders geeignet, da standardisiert, ist der Test über eine IEEE- 1149 kompatible JTAG-Testschnittstelle und die Test-Register des zugehörigen JTAG-Test-Controllers.There are countless methods of putting integrated circuits into a production test mode (test state). In the simplest case, a port is pulled to a certain level, which is not normally operated at that level. Also, activation via certain memory locations of registers of a processor is known, as long as the integrated circuit has a processor. Particularly well-suited, as standardized, is the test via an IEEE-1149 compatible JTAG test interface and the test registers of the associated JTAG test controller.

Aus dem Stand der Technik ist die Mehrfachverriegelung von Test-Modi bekannt. Dieser Stand der Technik ist insbesondere in Form von integrierten Schaltungen bekannt, die auf dem Markt frei verfügbar sind. Produktionstestmodi müssen immer erst aktiviert werden. Um die notwendige Sicherheit zu erreichen, reicht eine Mehrfachverriegelung aber manchmal eben nicht aus. Werden die Ausfallraten aufgrund der Schaltkreiskonstruktion berechnet, so ist es in gewissen Fällen, insbesondere bei integrierten Schaltungen zur Steuerung von Fahrzeuginsassenrückhaltesystemen (Airbags) oder zur Steuerung von Fußgängeraufprallschutzsystemen, notwendig die Wahrscheinlichkeit eines fehlerhaften Aktivierens sicherheitsrelevanter Funktionen, wie beispielsweise das Zünden eines Airbags oder eines Fußgängeraufprallschutzsystems während der Fahrt, noch weiter abzusenken, um den Anforderungen der oben beispielhaft genannten Normen gerecht werden zu können. Eine solches fehlerhaftes Aktivierens sicherheitsrelevanter Funktionen kann beispielsweise auch durch das versehentliche Aktivieren eines Produktionstestmodus im bestimmungsgemäßen Normalbetrieb geschehen.From the prior art, the multiple locking of test modes is known. This prior art is particularly known in the form of integrated circuits which are freely available on the market. Production test modes always have to be activated first. In order to achieve the necessary security, however, multiple locking is sometimes not enough. When the failure rates due to the circuit design are calculated, in certain cases, particularly in integrated circuits for controlling vehicle occupant restraint systems (airbags) or for controlling pedestrian impact protection systems, the likelihood of erroneously activating safety-related functions, such as the firing of an airbag or a pedestrian impact protection system, is necessary while driving, to lower even further in order to meet the requirements of the standards exemplified above. Such a faulty activation of safety-relevant functions can also be done, for example, by the accidental activation of a production test mode in normal normal operation.

Aufgabe der ErfindungObject of the invention

Der Erfindung liegt daher die Aufgabe zugrunde, eine Lösung zu schaffen die die Wahrscheinlichkeit eines fehlerhaften Aktivierens sicherheitsrelevanter Funktionen durch eine versehentliche Aktivierung von Produktionstestmodi weiter absenkt.The invention is therefore based on the object to provide a solution that further reduces the likelihood of erroneously activating safety-related functions by accidental activation of production test modes.

Diese Aufgabe wird durch ein Verfahren nach Anspruch 1 gelöst.This object is achieved by a method according to claim 1.

Lösung der erfindungsgemäßen AufgabeSolution of the problem of the invention

Der Ansatzpunkt für die beabsichtigte Wahrscheinlichkeitsabsenkung ist, die Erkennung und die Signalisierung eines potentiellen, mutmaßlich unbeabsichtigten Zugriffes auf Produktionstestfunktionen zu erhöhen und gleichzeitig die Wahrscheinlichkeit für das Erlangungen eines vordefinierten sicheren Zustandes für diesen Fall zu erhöhen.The starting point for the intended reduction in probability is to increase the detection and signaling of a potential, presumably unintentional access to production test functions and at the same time to increase the probability of achieving a predefined safe state in this case.

Die Grundidee des vorgeschlagenen Verfahrens besteht somit darin, sowohl mindestens zwei Eintrittsbedingungen für den Produktionstest vorzugeben, aber auch die Konstruktion des Systems so zu gestalten, dass bereits bei Erfüllung der ersten Eintrittsbedingungen für den Produktionstest ein sicherer Funktionszustand zwingend eingenommen wird.The basic idea of the proposed method is therefore to specify at least two entry conditions for the production test, but also to design the system in such a way that a safe functional state is already assumed when the first entry conditions for the production test are met.

Dieses Verfahren wird am Beispiel eines schematisch vereinfachten Airbag-Zündsystems, wie sie aus dem Stand der Technik bekannt ist, unter Zuhilfenahme von 1 erläutert. Solche Zündschaltungen werden auch in Fußgängeraufprallschutzsystemen eingesetzt.This method is based on the example of a schematically simplified airbag ignition system, as known from the prior art, with the aid of 1 explained. Such ignition circuits are also used in pedestrian impact protection systems.

Das beispielhafte Airbag-Zündsystem AS wird aus dem Betriebsstromnetz des Fahrzeugs mit der Versorgungsspannung VCC im Normalbetrieb versorgt. Dabei wird eine Energiereserve in Form eines Kondensators CE geladen und betriebsbereit gehalten. Diese dient im Falle der Störung der Versorgungsspannung VCC durch die Folgen eines Unfalls des Fahrzeugs zur Aufrechterhaltung der Energieversorgung des Airbag-Zündsystems AS. Eine Verpolschutzdiode D1 verhindert die Rückspeisung der in der Energiereserve CE gespeicherten Energie in das Stromnetz des Fahrzeugs. Das Airbag-Zündsystem AS besteht aus einer Serienschaltung zumindest dreier Transistoren (T1, T2, T3) und der Zündpille SQ des Airbags, sowie der Steuerung ST und dem Kondensator CE der Energiereserve und der Verpolschutzdiode D1. Die Zündpille SQ weist in der Regel einen ersten Anschluss und einen zweiten Anschluss auf. Der erste der drei Transistoren (T1, T2, T3) ist ein Sicherheitsschalttransistor T1, der bevorzugt nur einmal und vorzugsweise außerhalb der integrierten Schaltung vorgesehen wird. Der zweite Transistor T2 ist der sogenannte High-Side-Schalter, da er, wenn der Sicherheitsschalttransistor T1 durchgeschaltet ist, direkt mit der typischerweise positiven Versorgungsspannung VCC über die Verpolschutzdiode D1 verbunden ist. Der dritte Transistor T3 ist der sogenannte Low-Side-Schalter, da er direkt mit der typischerweise negativen Versorgungsspannung, dem Bezugspotenzial GND, verbunden ist. Zwischen dem High-Side-Schalter, also dem zweiten Transistor T2, und dem Low-Side-Schalter, also dem dritten Transistor T3, ist die Zündpille SQ angeordnet, die beim Zünden das Gas für die explosionsartige Entfaltung des Airbags liefert. Hierfür muss die Zündpille SQ von einem elektrischen Strom durchflossen werden. Es ist also notwendig alle drei Transistoren T1, T2, T3 gleichzeitig einzuschalten d.h. zu aktivieren, um die Zündlippe SQ zu zünden und den Airbag zu entfalten.The exemplary airbag ignition system AS is generated from the vehicle's operating power system with the supply voltage VCC supplied in normal operation. This creates an energy reserve in the form of a capacitor CE charged and kept ready for use. This serves in the event of a fault in the supply voltage VCC by the consequences of an accident of the vehicle in order to maintain the energy supply of the airbag ignition system AS , A reverse polarity protection diode D1 prevents the energy in the energy reserve from being fed back CE stored energy in the vehicle's power grid. The airbag ignition system AS consists of a series connection of at least three transistors ( T1 . T2 . T3 ) and the squib SQ of the airbag, as well as the control ST and the capacitor CE the energy reserve and the reverse polarity protection diode D1 , The squib SQ usually has a first connection and a second connection. The first of the three transistors ( T1 . T2 . T3 ) is a safety switching transistor T1 , which is preferably provided only once and preferably outside the integrated circuit. The second transistor T2 is the so-called high-side switch, since it is when the safety switching transistor T1 is switched through, directly with the typically positive supply voltage VCC via the reverse polarity protection diode D1 connected is. The third transistor T3 is the so-called low-side switch, since it is directly connected to the typically negative supply voltage, the reference potential GND , connected is. Between the high-side switch, i.e. the second transistor T2 , and the low-side switch, i.e. the third transistor T3 , is the squib SQ arranged, which provides the gas for the explosive deployment of the airbag when ignited. This requires the squib SQ be traversed by an electric current. So all three transistors are necessary T1 . T2 . T3 to turn on simultaneously to activate the ignition lip SQ to ignite and deploy the airbag.

Bei einem Fußgängeraufprallschutzsystem würde beispielsweise statt der Entfaltung des Airbags die Motorraumklappe in eine nach oben leicht angewinkelte Position durch die Sprengladung gebracht, um die auf einen Kopf wirkenden Aufprallkräfte bei einem Zusammenstoß mit einem Fußgänger durch eine Verlängerung der Wegstrecke zu verkleinern.For example, in a pedestrian impact protection system, instead of deploying the airbag, the engine compartment door would be brought upwardly slightly angled through the explosive charge to reduce head impact forces upon collision with a pedestrian by extending the travel distance.

Die Aktivierung des ersten Transistors T1 erfolgt dabei durch das Aktivieren des ersten Steueranschlusses G1 des ersten Transistors T1.The activation of the first transistor T1 takes place by activating the first control connection G1 of the first transistor T1 ,

Die Aktivierung des zweiten Transistors T2 erfolgt dabei durch das Aktivieren des zweiten Steueranschlusses G2 des zweiten Transistors T2.Activation of the second transistor T2 takes place by activating the second control connection G2 of the second transistor T2 ,

Die Aktivierung des dritten Transistors T3 erfolgt dabei durch das Aktivieren des dritten Steueranschlusses G3 des dritten Transistors T3.Activation of the third transistor T3 takes place by activating the third control terminal G3 of the third transistor T3 ,

Typischerweise befindet sich der erste Transistor T1 außerhalb der integrierten Schaltung IC, während der zweite Transistor T2 und der dritte Transistor T3 bevorzugt Teil der integrierten Schaltung IC sind. Die Zündpille SQ ist natürlich kein Teil der integrierten Schaltung IC. Aufgrund der erforderlichen Speicherkapazität befindet sich der Kondensator CE der Energiereserve typischerweise auch außerhalb der integrierten Schaltung IC. Eine Steuerung ST innerhalb der integrierten Schaltung IC liefert nun die Steuersignale für den ersten Steueranschluss G1 des ersten Transistors T1 und für den zweiten Steueranschluss G2 des zweiten Transistors T2 und für den dritten Steueranschluss G3 des dritten Transistors T3.Typically, the first transistor is located T1 outside the integrated circuit IC while the second transistor T2 and the third transistor T3 preferably part of the integrated circuit IC are. The squib SQ Of course, this is not part of the integrated circuit IC , Due to the required storage capacity is the capacitor CE the energy reserve also typically outside of the integrated circuit IC , A controller ST within the integrated circuit IC now supplies the control signals for the first control connection G1 of the first transistor T1 and for the second control terminal G2 of the second transistor T2 and for the third control terminal G3 of the third transistor T3 ,

Es wird nun vorgeschlagen, dass durch die Aktivierung eines Produktionstestmodus, hier beispielsweise durch die an die Steuerung ST angeschlossene Testmode-Aktivierungsleitung TM, einer der folgenden vier Fälle eintritt:

Fall A
- • Die Aktivierung des ersten Steueranschlusses G1 des ersten Transistors T1 wird unterbunden und
- • die Aktivierung des zweiten Steueranschlusses G2 des zweiten Transistors T2 wird unterbunden und
- • die Aktivierung des dritten Steueranschlusses G3 des dritten Transistors T3 wird unterbunden.
Fall B
- • Die Aktivierung des ersten Steueranschlusses G1 des ersten Transistors T1 wird NICHT unterbunden und
- • die Aktivierung des zweiten Steueranschlusses G2 des zweiten Transistors T2 wird unterbunden und
- • die Aktivierung des dritten Steueranschlusses G3 des dritten Transistors T3 wird unterbunden.
Fall C
- • Die Aktivierung des ersten Steueranschlusses G1 des ersten Transistors T1 wird unterbunden und
- • die Aktivierung des zweiten Steueranschlusses G2 des zweiten Transistors T2 wird NICHT unterbunden und
- • die Aktivierung des dritten Steueranschlusses G3 des dritten Transistors T3 wird unterbunden.
Fall D
- • Die Aktivierung des ersten Steueranschlusses G1 des ersten Transistors T1 wird unterbunden und
- • die Aktivierung des zweiten Steueranschlusses G2 des zweiten Transistors T2 wird unterbunden und
- • die Aktivierung des dritten Steueranschlusses G3 des dritten Transistors T3 wird NICHT unterbunden.

It is now proposed that by activating a production test mode, for example by activating the control system ST connected test mode activation line TM , one of the following four cases occurs:

Case A
- • The activation of the first control connection G1 of the first transistor T1 is prevented and
- • the activation of the second control connection G2 of the second transistor T2 is prevented and
- • the activation of the third control connection G3 of the third transistor T3 is prevented.
Case B
- • The activation of the first control connection G1 of the first transistor T1 is NOT prevented and
- • the activation of the second control connection G2 of the second transistor T2 is prevented and
- • the activation of the third control connection G3 of the third transistor T3 is prevented.
Case C
- • The activation of the first control connection G1 of the first transistor T1 is prevented and
- • the activation of the second control connection G2 of the second transistor T2 is NOT prevented and
- • the activation of the third control connection G3 of the third transistor T3 is prevented.
Case D
- • The activation of the first control connection G1 of the first transistor T1 is prevented and
- • the activation of the second control connection G2 of the second transistor T2 is prevented and
- • the activation of the third control connection G3 of the third transistor T3 is NOT prevented.

Hierbei ist der Begriff „aktiv“ für eine Steuerleitung für einen Steueranschluss (G1, G2, G3) eines der Transistoren (T1, T2, T3) so zu verstehen, dass im Normalbetrieb die Zündpille SQ zündet, sobald alle drei Steuerleitungen der drei Steueranschlüsse (G1, G2, G3) der Transistoren (T1, T2, T3) „aktiv“ sind. Here, the term "active" for a control line for a control connection ( G1 . G2 . G3 ) one of the transistors ( T1 . T2 . T3 ) to understand that in normal operation the squib SQ ignites as soon as all three control lines of the three control terminals ( G1 . G2 . G3 ) of the transistors ( T1 . T2 . T3 ) Are "active".

Fall A sollte für alle Test-Modi gewählt werden, bei denen keine der drei Steuerleitungen der drei Steueranschlüsse (G1, G2, G3) der Transistoren (T1, T2, T3) geprüft werden soll.Case A should be selected for all test modes in which none of the three control lines of the three control connections ( G1 . G2 . G3 ) of the transistors ( T1 . T2 . T3 ) should be checked.

Die Fälle B, C und D ermöglichen die Überprüfung der drei Steuerleitungen der drei Steueranschlüsse (G1, G2, G3) der Transistoren (T1, T2, T3) im Produktionstest in einem speziellen Produktionstestmodus ohne hierbei die Wahrscheinlichkeit der Auslösung der Zündpille SQ im Normalbetrieb über ein tolerables Maß hinaus zu erhöhen.Cases B, C and D enable the three control lines of the three control connections to be checked ( G1 . G2 . G3 ) of the transistors ( T1 . T2 . T3 ) in the production test in a special production test mode without the probability of triggering the squib SQ to increase beyond a tolerable level in normal operation.

Damit ist es ein wesentliches Merkmal eines Airbag-Zündsystems AS gemäß dieses Vorschlags, wenn für die Prüfung eines ersten Anschlusses α des integrierten Schaltkreises IC, der für den Anschluss des ersten Pols der Zündpille SQ vorgesehen ist, ein erster Produktionstestmodus vorgesehen ist und für die Prüfung eines zweiten Anschlusses β des integrierten Schaltkreises IC, der für den Anschluss des zweiten Pols der Zündpille SQ ein zweiter Test-Modus vorgesehen ist und dass im ersten Test-Modus der zweite Anschluss β gegenüber dem Bezugspotenzial GND hochohmig ist und dass im zweiten Test-Modus der erste Anschluss α für die Zündpille SQ gegenüber dem Anschluss ε für den Sicherheitsschalttransistor T1 hochohmig ist.It is an essential feature of an airbag ignition system AS according to this proposal if for testing a first connection α of the integrated circuit IC which is for the connection of the first pole of the squib SQ is provided, a first production test mode is provided and for testing a second connection β of the integrated circuit IC which is for the connection of the second pole of the squib SQ a second test mode is provided and that in the first test mode the second connection β compared to the reference potential GND is high impedance and that in the second test mode the first connection α for the squib SQ opposite the connection ε for the safety switching transistor T1 is high impedance.

Hierbei bedeutet hochohmig für den zweiten Transistor T2, dass der Widerstand zwischen dem ersten Anschluss α für die Zündpille SQ gegenüber dem Anschluss ε für den Schalttransistor T1 um einen Faktor von mindestens 50 kleiner ist, als der Widerstand, den der zweite Transistor T2 zeigt, wenn der zweite Steueranschluss G2 des zweiten Transistors T2 aktiv ist.This means high impedance for the second transistor T2 that the resistance between the first port α for the squib SQ opposite the connection ε for the switching transistor T1 by a factor of at least 50 is smaller than the resistance of the second transistor T2 shows when the second control terminal G2 of the second transistor T2 is active.

Hierbei bedeutet hochohmig für den dritten Transistor T3, dass der Widerstand zwischen dem zweiten Anschluss β für die Zündpille SQ und dem Bezugspotenzial GND um einen Faktor von mindestens 50 kleiner ist, als der Widerstand, den der dritte Transistor T3 zeigt, wenn der dritte Steueranschluss G3 des dritten Transistors T3 aktiv ist.Here, high impedance means for the third transistor T3 that the resistance between the second connector β for the squib SQ and the reference potential GND by a factor of at least 50 is less than the resistance that the third transistor T3 shows when the third control connection G3 of the third transistor T3 is active.

Es reicht jedoch erfahrungsgemäß nicht aus, die Steuerleitungen (G1, G2, G3) inaktiv zu schalten. Vielmehr speichern diese Leitungen elektrische Ladungen. Daher kann bei einem transienten Einschalten trotzdem noch ein fehlerhafter, gefährlicher Zustand eingenommen werden. Bei der Ausarbeitung dieses Vorschlags wurde daher erkannt, dass die Steuerleitungen der Steueranschlüsse (G1, G2, G3) der Transistoren (T1, T2, T3) für einen sicheren Zustand der sicherheitsrelevanten elektronischen Schaltung entladen werden müssen.Experience has shown, however, that it is not sufficient to G1 . G2 . G3 ) to be deactivated. Rather, these lines store electrical charges. Therefore, a faulty, dangerous state can still be assumed when switching on transiently. When drafting this proposal, it was therefore recognized that the control lines of the Control connections ( G1 . G2 . G3 ) of the transistors ( T1 . T2 . T3 ) must be discharged for a safe state of the safety-relevant electronic circuit.

Daher ist es zu empfehlen, den Produktionstestmodus erst dann zu aktivieren, wenn die Steueranschlüsse (G1, G2, G3) der Transistoren (T1, T2, T3) tatsächlich durch Entladen inaktiviert sind. Hierzu kann ein Überwachungsschaltkreis vorgesehen sein, der den tatsächlichen Zustand der Steuerleitungen der Steueranschlüsse (G1, G2, G3) der Transistoren (T1, T2, T3) ermittelt.It is therefore recommended to only activate the production test mode when the control connections ( G1 . G2 . G3 ) of the transistors ( T1 . T2 . T3 ) are actually deactivated by unloading. For this purpose, a monitoring circuit can be provided which detects the actual state of the control lines of the control connections ( G1 . G2 . G3 ) of the transistors ( T1 . T2 . T3 ) determined.

Es ist somit ein Merkmal dieses Vorschlags, dass nicht nur durch Erfüllen einer von mindestens zwei Bedingungen für die Aktivierung des Produktionstestmodus für ein elektronisches System bereits das System in einen sicheren Zustand, hier durch Deaktivieren aller drei bzw. von mindestens zwei Steuerleitungen der Steueranschlüsse (G1, G2, G3) der Transistoren (T1, T2, T3), gebracht wird sondern, dass die Einnahme dieses sicheren Zustands gemessen und verifiziert wird und erst bei Vorliegen des vorbestimmten sicheren Zustands aktiviert wird. Im vorliegenden Fall ist dieser vorbestimmte sichere Zustand durch die Entladung aller drei bzw. von mindestens zwei Steuerleitungen der Steueranschlüsse (G1, G2, G3) der Transistoren (T1, T2, T3) gekennzeichnet.It is thus a feature of this proposal that not only by fulfilling one of at least two conditions for the activation of the production test mode for an electronic system, the system already in a safe state, here by deactivating all three or at least two control lines of the control terminals ( G1 . G2 . G3 ) of the transistors ( T1 . T2 . T3 ), but that the assumption of this safe state is measured and verified and is activated only when the predetermined safe state is present. In the present case, this predetermined safe state by the discharge of all three or at least two control lines of the control terminals ( G1 . G2 . G3 ) of the transistors ( T1 . T2 . T3 ).

Für den Fall AFor case A

Im Fall A wird keine der Steuerleitungen der Steueranschlüsse (G1, G2, G3) der Transistoren (T1, T2, T3) geprüft. Die Aktivierung des betreffenden Produktionstestmodus wird beispielsweise durch das Aktivieren der Testmode-Aktivierungsleitung TM eingeleitet. Für die Aktivierung dieses Produktionstestmodus in einem Airbag-Zündsystem AS, sollten daher alle drei Steuerleitungen der Steueranschlüsse (G1, G2, G3) der Transistoren (T1, T2, T3) deaktiviert werden. Die Einnahme dieses sicheren Zustands wird in diesem Fall A dann so gemessen und verifiziert, dass erst bei Vorliegen des vorbestimmten sicheren Zustands, in Form der Entladung aller drei Steuerleitungen der Steueranschlüsse (G1, G2, G3) der Transistoren (T1, T2, T3) der Produktionstestmodus aktiviert wird.In case A, none of the control lines of the control connections ( G1 . G2 . G3 ) of the transistors ( T1 . T2 . T3 ) checked. The activation of the relevant production test mode is activated, for example, by activating the test mode activation line TM initiated. To activate this production test mode in an airbag ignition system AS , all three control lines of the control connections ( G1 . G2 . G3 ) of the transistors ( T1 . T2 . T3 ) can be deactivated. The assumption of this safe state is then measured and verified in this case A such that only when the predetermined safe state is present, in the form of the discharge of all three control lines of the control connections ( G1 . G2 . G3 ) of the transistors ( T1 . T2 . T3 ) the production test mode is activated.

Für den Fall BIn case B

Im Fall B wird die erste Steuerleitung des ersten Steueranschlusses G1 des ersten Transistors T1 durch den Produktionstest in diesem Produktionstestmodus geprüft. Die Aktivierung dieses betreffenden Produktionstestmodus wird beispielsweise durch das Aktivieren der Testmode-Aktivierungsleitung TM eingeleitet. Für die Aktivierung des Produktionstestmodus in einem Airbag-Zündsystem AS, sollten daher in diesem Fall B die zweite Steuerleitung des zweiten Steueranschlusses G2 des zweiten Transistors T2 deaktiviert werden und die dritte Steuerleitung des dritten Steueranschlusses G3 des dritten Transistors T3 deaktiviert werden. Die Einnahme dieses sicheren Zustands wird in diesem Fall B dann so gemessen und verifiziert, dass erst bei Vorliegen des vorbestimmten sicheren Zustands, in Form der Entladung der zweiten Steuerleitung des zweiten Steueranschlusses G2 des zweiten Transistors T2 und der dritten Steuerleitung des dritten Steueranschlusses G3 des dritten Transistors T3 der Produktionstestmodus aktiviert wird.In case B, the first control line of the first control terminal G1 of the first transistor T1 tested by the production test in this production test mode. The activation of this respective production test mode is, for example, by activating the test mode activation line TM initiated. For activation of the production test mode in an airbag ignition system AS Therefore, in this case, B should be the second control line of the second control terminal G2 of the second transistor T2 be deactivated and the third control line of the third control terminal G3 of the third transistor T3 be deactivated. The assumption of this safe state is then measured and verified in this case B so that only in the presence of the predetermined safe state, in the form of the discharge of the second control line of the second control terminal G2 of the second transistor T2 and the third control line of the third control terminal G3 of the third transistor T3 the production test mode is activated.

Für den Fall CIn case C

Im Fall C wird die zweite Steuerleitung des zweiten Steueranschlusses G2 des zweiten Transistors T2 durch den Produktionstest in diesem Produktionstestmodus geprüft. Die Aktivierung dieses betreffenden Produktionstestmodus wird beispielsweise durch das Aktivieren der Testmode-Aktivierungsleitung TM eingeleitet. Für die Aktivierung des Produktionstestmodus in einem Airbag-Zündsystem AS, sollten daher in diesem Fall C die erste Steuerleitung des ersten Steueranschlusses G1 des ersten Transistors T1 deaktiviert werden und die dritte Steuerleitung des dritten Steueranschlusses G3 des dritten Transistors T3 deaktiviert werden. Die Einnahme dieses sicheren Zustands wird in diesem Fall C dann so gemessen und verifiziert, dass erst bei Vorliegen des vorbestimmten sicheren Zustands, in Form der Entladung der ersten Steuerleitung des ersten Steueranschlusses G1 des ersten Transistors T1 und der dritten Steuerleitung des dritten Steueranschlusses G3 des dritten Transistors T3, der Produktionstestmodus aktiviert wird.In case C, the second control line of the second control terminal G2 of the second transistor T2 tested by the production test in this production test mode. The activation of this respective production test mode is, for example, by activating the test mode activation line TM initiated. For activation of the production test mode in an airbag ignition system AS Therefore, in this case, C should be the first control line of the first control terminal G1 of the first transistor T1 be deactivated and the third control line of the third control terminal G3 of the third transistor T3 be deactivated. The assumption of this safe state is then measured and verified in this case C so that only in the presence of the predetermined safe state, in the form of the discharge of the first control line of the first control terminal G1 of the first transistor T1 and the third control line of the third control terminal G3 of the third transistor T3 Activated production test mode.

Für den Fall DFor the case D

Im Fall D wird die dritte Steuerleitung des dritten Steueranschlusses G3 des dritten Transistors T3 durch den Produktionstest in diesem Produktionstestmodus geprüft. Die Aktivierung des betreffenden Produktionstestmodus wird beispielsweise durch das Aktivieren der Testmode-Aktivierungsleitung TM eingeleitet. Für die Aktivierung dieses Produktionstestmodus in einem Airbag-Zündsystem AS, sollten daher in diesem Fall D die erste Steuerleitung des ersten Steueranschlusses G1 des ersten Transistors T1 deaktiviert werden und die zweite Steuerleitung des zweiten Steueranschlusses G2 des zweiten Transistors T2 deaktiviert werden. Die Einnahme dieses sicheren Zustands wird in diesem Fall D dann so gemessen und verifiziert, dass erst bei Vorliegen des vorbestimmten sicheren Zustands, in Form der Entladung der ersten Steuerleitung des ersten Steueranschlusses G1 des ersten Transistors T1 und der zweiten Steuerleitung des zweiten Steueranschlusses G2 des zweiten Transistors T2 der Produktionstestmodus aktiviert wird.In case D, the third control line becomes the third control connection G3 of the third transistor T3 checked by the production test in this production test mode. The activation of the relevant production test mode is activated, for example, by activating the test mode activation line TM initiated. To activate this production test mode in an airbag ignition system AS , D should therefore be the first control line of the first control connection in this case G1 of the first transistor T1 be deactivated and the second control line of the second control connection G2 of the second transistor T2 be deactivated. The assumption of this safe state is then measured and verified in this case D in such a way that only when the predetermined safe state is present, in the form of the discharge of the first control line of the first control connection G1 of the first transistor T1 and the second control line of the second control connection G2 of the second transistor T2 the production test mode is activated.

Sofern bereits eine Bedingung zur Einnahme des Produktionstestmodus aktiviert wird, kann die sicherheitsrelevante elektronische Schaltung eine Fehlermeldung generieren oder bereit halten, die zur Anzeige gebracht werden kann.If a condition for taking the production test mode is already activated, the safety-relevant electronic circuit can generate or keep ready an error message that can be displayed.

In dieser Schrift wird als das folgende Verfahren zur Aktivierung eines Produktionstestmodus für eine sicherheitsrelevante elektronische Schaltung oder für mindestens eine sicherheitsrelevante elektronische Schaltung (IC) von mehreren sicherheitsrelevanten Schaltungen vorgeschlagen: This document describes the following method for activating a production test mode for a safety-relevant electronic circuit or for at least one safety-relevant electronic circuit ( IC ) proposed by several safety-relevant circuits:

In einem ersten Schritt wird z.B. durch Programmierung eines Testregisters in einer JTAG-Testschnittstelle eine erste Vorbedingung zur Aktivierung des Produktionstestmodus erfüllt.In a first step, e.g. by programming a test register in a JTAG test interface, a first precondition for activating the production test mode is met.

Die zu testende sicherheitsrelevante elektronische Schaltung sollte durch diesen Schritt automatisch in einen sicheren Zustand überführt werden, der nicht durch den Produktionstest verlassen werden kann. Dies ist der zweite Schritt. Dies darf aber zum Aktivieren des Produktionstestmodus der sicherheitsrelevanten elektronischen Schaltung nicht ausreichen.This step should automatically bring the safety-relevant electronic circuit to be tested into a safe state that cannot be left by the production test. This is the second step. However, this must not be sufficient to activate the production test mode of the safety-relevant electronic circuit.

Erst das Erfüllen einer zweiten Vorbedingung zur Aktivierung des Produktionstestmodus als dritten Schritt ermöglicht den finalen Aktivierungsschritt. Bei dieser Erfüllung einer zweiten Vorbedingung kann es sich beispielsweise um eine spezielle Kombination von Spannungspegeln an verschiedenen Anschlüssen oder einen Software-Befehl über eine andere Schnittstelle oder das Beschreiben eines anderen Testregisters etc. handeln.Only when a second precondition for activating the production test mode is fulfilled as a third step does the final activation step become possible. This fulfillment of a second precondition can be, for example, a special combination of voltage levels at different connections or a software command via another interface or the writing of a different test register etc.

Als finaler Schritt folgt das Aktivieren des Produktionstestmodus, wenn die erste und zweite Vorbedingung zur Aktivierung des Produktionstestmodus erfüllt sind und wenn die Überführung der sicherheitsrelevanten elektronischen Schaltung in den sicheren Zustand als Schritt durchgeführt wurde.The final step is to activate the production test mode when the first and second preconditions for activating the production test mode are met and when the safety-relevant electronic circuit has been converted to the safe state as a step.

In einer empfohlenen Variante des Verfahrens wird vorgeschlagen, das Erfüllen der ersten Vorbedingung an den Nutzer zu signalisieren. Hierdurch wird dieser Nutzer auf den kritischen Zustand des Systems aufmerksam und kann reagieren. Die Verfahrensvariante umfasst daher den Schritt der Signalisierung eines fehlerhaften Zustands oder den Versuch der Signalisierung eines fehlerhaften Zustands. Hierbei kann es sich auch um die Bereitstellung einer Information über diesen fehlerhaften Zustand handeln. Das kann beispielsweise in einem Register eines Prozessors geschehen oder durch Ändern des logischen Zustands eines Anschlusses der sicherheitsrelevanten elektronischen Schaltung.In a recommended variant of the method, it is proposed to signal the fulfillment of the first precondition to the user. As a result, this user is aware of the critical state of the system and can respond. The method variant therefore comprises the step of signaling a faulty state or attempting to signal a faulty state. This can also be the provision of information about this faulty state. This can for example be done in a register of a processor or by changing the logic state of a terminal of the safety-related electronic circuit.

In einer weiteren empfohlenen Variante des Verfahrens wird wieder vorgeschlagen, die Einnahme des sicheren Zustands durch spezielle Messung explizit zu überprüfen. Daher umfasst diese Variante den zusätzlichen Schritt der Überprüfung der sicherheitsrelevanten elektronischen Schaltung darauf, ob der sichere Zustand erfolgreich eingenommen ist. Dabei kann die sicherheitsrelevante elektronische Schaltung auch von Außen beeinflusst sein. Steuert die sicherheitsrelevante elektronische Schaltung den Steueranschluss eines Transistors an, so kann der Transistor, wenn beispielsweise sein Steueranschluss elektrisch geladen ist, den entsprechenden Anschluss der sicherheitsrelevanten elektronischen Schaltung in einen unsicheren Zustand bringen. Dies kann durch einen solchen Schritt erkannt und damit letztlich verhindert werden. Der finale Schritt der Aktivierung des Produktionstestmodus wird daher so modifiziert, dass das Aktivieren des Produktionstestmodus nur dann erfolgt, wenn die erste und zweite Vorbedingung zur Aktivierung des Produktionstestmodus erfüllt sind und wenn die Überführung der sicherheitsrelevanten elektronischen Schaltung in den sicheren Zustand durchgeführt wurde und wenn nun zusätzlich die Überprüfung ergibt, dass die sicherheitsrelevante elektronische Schaltung auch tatsächlich in diesem sicheren Zustand ist.In another recommended variant of the method, it is again proposed to explicitly check whether the safe state has been reached by means of a special measurement. This variant therefore includes the additional step of checking the safety-relevant electronic circuit to determine whether the safe state has been successfully assumed. The safety-relevant electronic circuit can also be influenced from the outside. If the safety-relevant electronic circuit controls the control connection of a transistor, the transistor, if, for example, its control connection is electrically charged, can bring the corresponding connection of the safety-relevant electronic circuit into an unsafe state. Such a step can identify this and ultimately prevent it. The final step of activating the production test mode is therefore modified in such a way that the production test mode is only activated if the first and second preconditions for activating the production test mode are met and if the safety-relevant electronic circuit has been transferred to the safe state and if now in addition, the check reveals that the safety-relevant electronic circuit is actually in this safe state.

Natürlich müssen auch sicherheitsrelevante Teilvorrichtungen der sicherheitsrelevanten elektronischen Schaltung daraufhin geprüft werden können, dass sie einen spezifikationsgemäß geforderten unsicheren Zustand einnehmen können. Bei den Steuerleitungen der besagten Airbag-Transistoren bedeutet dies, dass es möglich sein muss, diese darauf zu prüfen, dass sie aktiviert werden können. Es wird daher hier eine Variante des Verfahrens für diese Fälle vorgeschlagen.Of course, safety-relevant sub-devices of the safety-relevant electronic circuit must also be able to be tested so that they can assume an unsafe condition as required by the specification. In the case of the control lines of said airbag transistors, this means that it must be possible to check that they can be activated. It is therefore proposed here a variant of the method for these cases.

Es handelt sich dabei um ein Verfahren zur Aktivierung eines Produktionstestmodus für eine sicherheitsrelevante elektronische Schaltung oder für mindestens eine sicherheitsrelevante elektronische Schaltung von mehreren sicherheitsrelevanten Schaltungen, die eine Sicherheitsvorrichtung ist, und bei dem geprüft werden soll, ob eine erste Teilvorrichtung bestimmungsgemäß in einen unsicheren Zustand gebracht werden kann. Damit dies möglich ist, muss die sicherheitsrelevante elektronische Schaltung so konstruiert sein, dass die Sicherheitsfunktion dieser ersten Teilvorrichtung durch mindestens eine zweite Teilvorrichtung nochmals abgesichert ist und vorzugsweise durch eine dritte Teilvorrichtung nochmals abgesichert ist. Im Falle der besagten Airbag Schaltung der 1 kann beispielsweise die Steuerleitung für den ersten Transistor T1 als erste Teilvorrichtung daraufhin geprüft werden, ob sie aktiviert werden kann. Da für ein Zünden der Zündpille alle drei Transistoren (T1, T2, T3) durchgeschaltet werden müssen, sichern der zweite Transistor T2 und der dritte Transistor T3 die Zündpille SQ für diesen Fall immer noch doppelt dadurch ab, dass sie während der Prüfung inaktiv, also hochohmig sind.It is a method for activating a production test mode for a safety-relevant electronic circuit or for at least one safety-relevant electronic circuit of several safety-relevant circuits, which is a safety device, and in which it is to be checked whether a first sub-device has been brought into an unsafe state as intended can be. In order for this to be possible, the safety-relevant electronic circuit must be designed in such a way that the safety function of this first sub-device is secured again by at least one second sub-device and is preferably secured again by a third sub-device. In the case of said airbag circuit the 1 can, for example, the control line for the first transistor T1 be checked as the first sub-device whether it can be activated. Since all three transistors ( T1 . T2 . T3 ) must be switched through, secure the second transistor T2 and the third transistor T3 the squib SQ in this case still double because they are inactive during the test, i.e. they are high-impedance.

Der erste Schritt ist wieder das Erfüllen einer ersten Vorbedingung zur Aktivierung des Produktionstestmodus. Die erste Teilvorrichtung wird nun im Gegensatz zum vorbeschriebenen Fall jedoch nicht in den sicheren Zustand zwangsweise überführt, da dies ja für den Produktionstest in diesem Produktionstestmodus explizit möglich sein muss und geprüft werden soll.The first step is again to fulfill a first prerequisite for activating the production test mode. The first sub-device is now in Contrary to the case described above, however, it is not transferred into the safe state forcibly, since this must be explicitly possible and tested for the production test in this production test mode.

Daher folgt als zweiter Schritt das Überführen der zweiten Teilvorrichtung in einen sicheren Zustand, der nicht durch den Produktionstest bis zum Ende des Produktionstests verlassen werden kann.Therefore, the second step is to bring the second sub-device into a safe state, which cannot be left by the production test until the end of the production test.

Als dritter Schritt folgt das Überführen der dritten Teilvorrichtung in einen sicheren Zustand, der nicht durch den Produktionstest bis zum Ende des Produktionstests verlassen werden kann.The third step is to transfer the third subdevice to a safe state that can not be exited by the production test until the end of the production test.

Als vierter Schritt erfolgt wieder das Erfüllen einer zweiten Vorbedingung zur Aktivierung des Produktionstestmodus.The fourth step is again to meet a second precondition for activating the production test mode.

Der zweite, dritte und vierte Schritt können in beliebiger zeitlicher Reihenfolge nach dem ersten Schritt durchgeführt werden.The second, third and fourth steps can be carried out in any order after the first step.

Als fünfter Schritt erfolgt die Überprüfung darauf, ob der sichere Zustand durch die zweite Teilvorrichtung eingenommen wurde. Als sechster Schritt erfolgt die Überprüfung darauf, ob der sichere Zustand durch die dritte Teilvorrichtung eingenommen wurde. Der fünfte Schritt folgt zeitlich nach dem zweiten Schritt. Der sechste Schritt folgt zeitlich nach dem dritten Schritt.The fifth step is to check whether the safe state has been taken by the second part device. As a sixth step, the check is made as to whether the safe state was taken by the third sub-device. The fifth step follows after the second step. The sixth step follows after the third step.

Der finale Schritt der Aktivierung des Produktionstestmodus erfolgt nach allen anderen Schritten nun jedoch nur, wenn die erste und zweite Vorbedingung zur Aktivierung des Produktionstestmodus erfüllt sind und wenn die Überführungen der ersten, zweiten und dritten Teilvorrichtungen in ihre jeweiligen sicheren Zustände als Schritt ausgeführt wurden und die ersten, zweiten und dritten Teilvorrichtungen sich tatsächlich in ihren jeweiligen sicheren Zuständen befinden.However, the final step of activating the production test mode after all other steps now only occurs when the first and second prerequisites for activating the production test mode are met and when the transitions of the first, second and third subdevices to their respective safe states have been performed as a step and The first, second and third subdevices are actually in their respective safe states.

Dieses Verfahren sieht im Falle einer Airbag-Steuerung nun so aus:This procedure now looks like this in the case of an airbag control:

Es handelt sich bei dem vorgeschlagenen Verfahren dann um ein Verfahren zur Aktivierung eines Produktionstestmodus für eine integrierte sicherheitsrelevante elektronische Schaltung IC zur Steuerung eines Fahrzeuginsassenrückhaltesystems mit einer Zündpille SQ oder für mindestens eine integrierte sicherheitsrelevante elektronische Schaltung IC von mehreren integrierten sicherheitsrelevanten Schaltungen zur Steuerung eines Fahrzeuginsassenrückhaltesystems mit einer Zündpille SQ.The proposed method is then a method for activating a production test mode for an integrated safety-related electronic circuit IC for controlling a vehicle occupant restraint system with a squib SQ or for at least one integrated safety-related electronic circuit IC of a plurality of integrated safety-related circuits for controlling a vehicle occupant restraint system with a squib SQ ,

Die integrierte Schaltung IC umfasst dabei eine erste Steuerleitung, die dazu vorgesehen ist, einen ersten Steueranschluss G1 eines ersten Transistors T1 anzusteuern. Die erste Steuerleitung kann aktiv oder inaktiv sein. Die integrierte Schaltung IC umfasst dabei eine zweite Steuerleitung, die dazu vorgesehen ist, einen zweiten Steueranschluss G2 eines zweiten Transistors T2 anzusteuern. Die zweite Steuerleitung kann aktiv oder inaktiv sein. Die integrierte Schaltung IC umfasst eine dritte Steuerleitung, die dazu vorgesehen ist, einen dritten Steueranschluss G3 eines ersten Transistors T3 anzusteuern. Die dritte Steuerleitung kann aktiv oder inaktiv sein. Die integrierte Schaltung ist typischerweise dazu vorgesehen, dass der erste Transistor T1 und der zweite Transistor T2 und der dritte Transistor T3 in Serie mit der Zündpille SQ geschaltet sind. Die Zündung der Zündpille SQ hat im Normalbetrieb zumindest zur Voraussetzung, dass die erste Steuerleitung aktiv ist und die zweite Steuerleitung aktiv ist und die dritte Steuerleitung aktiv ist.The integrated circuit IC includes a first control line, which is provided for this purpose, a first control connection G1 of a first transistor T1 driving. The first control line can be active or inactive. The integrated circuit IC includes a second control line, which is provided for this purpose, a second control connection G2 of a second transistor T2 driving. The second control line can be active or inactive. The integrated circuit IC comprises a third control line, which is provided for a third control connection G3 of a first transistor T3 driving. The third control line can be active or inactive. The integrated circuit is typically provided for the first transistor T1 and the second transistor T2 and the third transistor T3 in series with the squib SQ are switched. The ignition of the squib SQ has at least the prerequisite in normal operation that the first control line is active and the second control line is active and the third control line is active.

Der erste Schritt des vorgeschlagenen Verfahrens besteht wieder in der Erfüllung einer ersten Vorbedingung zur Aktivierung des Produktionstestmodus.The first step of the proposed method is again to fulfill a first prerequisite for activating the production test mode.

In einem zweiten Schritt erfolgen die Deaktivierung der ersten Steuerleitung des ersten Steueranschlusses G1 des ersten Transistors T1 und die Verriegelung einer Aktivierung der ersten Steuerleitung zumindest bis zum Ende der Aktivierung des Produktionstestmodus.In a second step, the deactivation of the first control line of the first control terminal G1 of the first transistor T1 and locking activation of the first control line at least until the end of activation of the production test mode.

In einem dritten Schritt erfolgen die Deaktivierung der zweiten Steuerleitung des zweiten Steueranschlusses G2 des zweiten Transistors T2 und die Verriegelung einer Aktivierung der zweiten Steuerleitung zumindest bis zum Ende der Aktivierung des Produktionstestmodus.In a third step, the deactivation of the second control line of the second control terminal G2 of the second transistor T2 and locking an activation of the second control line at least until the end of activation of the production test mode.

In einem vierten Schritt erfolgen die Deaktivierung der dritten Steuerleitung des dritten Steueranschlusses G3 des dritten Transistors T3 und die Verriegelung einer Aktivierung der dritten Steuerleitung zumindest bis zum Ende der Aktivierung des Produktionstestmodus.In a fourth step, the deactivation of the third control line of the third control terminal G3 of the third transistor T3 and locking an activation of the third control line at least until the end of activation of the production test mode.

Der erste Schritt geht in der Regel dem zweiten, dritten und vierten Schritt voraus. Der zweite, dritte und vierte Schritt sind voneinander unabhängig und werden vorzugsweise parallel ausgeführt. Andere Reihenfolgen des zweiten, dritten und vierten Schritts sind möglich.The first step usually precedes the second, third and fourth step. The second, third and fourth steps are independent of one another and are preferably carried out in parallel. Other orders of the second, third and fourth steps are possible.

Typischerweise folgt zeitlich nach dem Ausführen der vorangehenden vier Schritte das Erfüllen einer zweiten Vorbedingung zur Aktivierung des Produktionstestmodus als fünfter Schritt.Typically, following the execution of the previous four steps, the fulfillment of a second prerequisite for activating the production test mode will follow in a fifth step.

Als letzter Schritt zeitlich nach allen vorausgehenden fünf Schritten erfolgt das Aktivieren des Produktionstestmodus, aber nur dann, wenn alle Schritte zu Deaktivierung aller drei Steuerleitungen durchgeführt wurden und wenn die erste Vorbedingung und die zweite Vorbedingung erfüllt sind.The last step in time after all the previous five steps is to activate the Production test mode, but only if all steps for deactivating all three control lines have been performed and if the first precondition and the second precondition are met.

In einer Variante des Verfahrens erfolgt nach dem Schritt der Erfüllung einer ersten Vorbedingung zur Aktivierung des Produktionstestmodus der zusätzliche Schritt des Bereitstellens einer Information über einen fehlerhaften Zustand durch die integrierte Schaltung IC.In a variant of the method, after the step of fulfilling a first precondition for activating the production test mode, the additional step of providing information about a faulty state is carried out by the integrated circuit IC ,

In einer weiteren Variante des Verfahrens erfolgt nach jedem Schritt der Deaktivierung einer der Steuerleitungen der Steueranschlüsse (G1, G2, G3) der Transistoren (T1, T2, T3) für die betroffene Steuerleitung jeweils die Überprüfung, ob die betreffende Steuerleitung auch wirklich deaktiviert ist. Dies kann beispielsweise durch Auswertung des Potenzials der betreffenden Steuerleitung erfolgen. In dem obigen Beispiel sind drei Steuerleitungen für die drei Transistoren vorgesehen. Es sollten also vorzugsweise drei Überprüfungen auf Deaktivierung vorgesehen werden: Für jede Steuerleitung eine.In a further variant of the method, one of the control lines of the control connections ( G1 . G2 . G3 ) of the transistors ( T1 . T2 . T3 ) for the control line concerned, check whether the control line in question is really deactivated. This can be done, for example, by evaluating the potential of the control line in question. In the example above, three control lines are provided for the three transistors. Three checks for deactivation should therefore preferably be provided: one for each control line.

Diese Überprüfungen erfolgen vorzugsweise immer nach den Deaktivierungen der jeweiligen Steuerleitung aber untereinander in beliebiger Reihenfolge.These checks are preferably carried out after the deactivation of the respective control line, but among themselves in any order.

Währenddessen oder danach, aber nach dem Erfüllen der ersten Vorbedingung erfolgt das Erfüllen einer zweiten Vorbedingung zur Aktivierung des Produktionstestmodus.During or after this, but after the fulfillment of the first precondition, a second precondition for activating the production test mode is fulfilled.

Der letzte Schritt der Aktivierung des Produktionstestmodus erfolgt nach allen Schritten nur dann, wenn alle drei Steuerleitungen deaktiviert wurden und wenn alle drei Steuerleitungen auch tatsächlich deaktiviert sind und wenn die erste Vorbedingung und die zweite Vorbedingung erfüllt sind.The last step of activating the production test mode takes place after all the steps only if all three control lines have been deactivated and if all three control lines are actually deactivated and if the first precondition and the second precondition are met.

Soll nun die erste Steuerleitung im Rahmen des Produktionstests der sicherheitsrelevanten integrierten Schaltung IC geprüft werden können, so entfällt die Deaktivierung der ersten Steuerleitung und damit auch deren Überprüfung. Der letzte Schritt der Aktivierung des Produktionstestmodus folgt in diesem Fall, wenn schon die zweite und dritte Steuerleitung deaktiviert wurden und wenn nur die zweite und dritte Steuerleitung deaktiviert sind und wenn die erste Vorbedingung erfüllt ist und die zweite Vorbedingung erfüllt ist. Hinzu kommt aber als Ausführungsbedingung für die Aktivierung, dass der gewählte Produktionstestmodus diese mögliche Aktivierung der ersten Steuerleitung erfordert. Wenn aufgrund der ersten Vorbedingung zur Aktivierung des Produktionstestmodus ermittelt werden kann, dass der Produktionstestmodus es erfordert, dass die erste Steuerleitung nicht zwangsweise bis zum Ende der Aktivierung des Produktionstestmodus deaktiviert wird, so kann die Aktivierung erfolgen. Insofern umfasst dieses modifizierte Verfahren auch die Ermittlung dieser Notwendigkeit für diesen Produktionstestmodus. Dieser Schritt wird bevorzugt mit der Erfüllung der ersten Vorbedingung oder unmittelbar danach ausgeführt.Should now the first control line in the context of the production test of the safety-related integrated circuit IC can be checked so eliminates the deactivation of the first control line and thus their review. The last step of activating the production test mode in this case follows when the second and third control lines have already been deactivated and when only the second and third control lines are deactivated and when the first precondition is satisfied and the second precondition is met. In addition, as an execution condition for the activation, the selected production test mode requires this possible activation of the first control line. If, on the basis of the first prerequisite for activating the production test mode, it can be determined that the production test mode requires that the first control line not be deactivated until the end of the activation of the production test mode, the activation can take place. As such, this modified method also includes determining this need for this production test mode. This step is preferably carried out with the fulfillment of the first precondition or immediately thereafter.

Soll nun die zweite Steuerleitung im Rahmen des Produktionstests der sicherheitsrelevanten integrierten Schaltung IC geprüft werden können, so entfällt die Deaktivierung der zweiten Steuerleitung und damit auch deren Überprüfung. Die übrigen Schritte werden gegenüber dem Basisverfahren in analoger Weise modifiziert.Now the second control line should be part of the production test of the safety-related integrated circuit IC can be checked, the deactivation of the second control line and thus its checking is not necessary. The remaining steps are modified in an analogous manner to the basic process.

Soll nun die dritte Steuerleitung im Rahmen des Produktionstests der sicherheitsrelevanten integrierten Schaltung IC geprüft werden können, so entfällt die Deaktivierung der dritten Steuerleitung und damit auch deren Überprüfung. Die übrigen Schritte werden gegenüber dem Basisverfahren in analoger Weise modifiziert.Should now the third control line in the context of the production test of the safety-related integrated circuit IC can be checked so eliminates the deactivation of the third control line and thus their review. The remaining steps are modified analogously to the basic method.

Vorteil der ErfindungAdvantage of the invention

Der Vorteil liegt in der sicheren Verriegelung einer sicherheitsrelevanten Funktion (z.B. Sperrung eines Airbag-Zündkreises) für den Fall einer potentiell unbeabsichtigt auftretenden ersten Eintrittsbedingung für einen Produktionstestmodus. Ein einfaches Beispiel für einen solchen Fehlerfall wäre z.B. ein fehlerhafter Softwarezugriff auf ein Prozessorregister, das eigentlich zur Initiierung des Produktionstestmodus vorgesehen ist, während des normalen Betriebs.The advantage is the secure locking of a safety-related function (e.g., blockage of an airbag ignition circuit) in the event of a potentially inadvertently occurring first entry condition for a production test mode. A simple example of such an error would be e.g. erroneous software access to a processor register intended to initiate the production test mode during normal operation.

Im Produktionstest werden üblicherweise alle Funktionen einer integrierten Schaltung IC verändert bzw. gesteuert. Dies birgt das Potential, Sicherheitsziele unkontrolliert zu verletzen. Auch bei mehrfacher Verriegelung können hier latente Fehler vorliegen, die durch unmittelbare Blockierung kritischer Zustände sowie eine Anzeigemöglichkeit vermieden werden.All functions of an integrated circuit are usually tested in the production test IC changed or controlled. This has the potential to violate security goals in an uncontrolled manner. Even with multiple interlocks, there can be latent errors here, which can be avoided by immediate blocking of critical states and a display option.

Figurenlistelist of figures

1 shows the embodiment of a one-stage airbag ignition stage.

BezugszeichenlisteLIST OF REFERENCE NUMBERS

αα: erster Anschluss der Zündpille SQ;first connection of the squib SQ ;
ββ: zweiter Anschluss der Zündpille SQ;second connection of the squib SQ ;
εε: Anschluss der integrierten Schaltung für den ersten Transistor T1;Connection of the integrated circuit for the first transistor T1 ;
ASAS: Airbag-Zündsystem (Es kann sich auch um ein anderes Zündsystem, beispielsweise für ein Fußgängeraufprallschutzsystem handeln);Airbag ignition system (it can also be another ignition system, for example for a pedestrian impact protection system);
CECE: Kondensator der Energiereserve;Condenser of energy reserve;
D1D1: Verpolschutzdiode;reverse polarity protection;
G1G1: erster Steueranschluss des ersten Transistors T1;first control terminal of the first transistor T1 ;
G2G2: zweiter Steueranschluss des zweiten Transistors T2;second control connection of the second transistor T2 ;
G3G3: dritter Steueranschluss des dritten Transistors T3;third control terminal of the third transistor T3 ;
GNDGND: Bezugspotenzial;Reference potential;
ICIC: integrierte Schaltung;integrated circuit;
STST: Steuerung;Control;
SQSQ: Zündpille, die den Airbag entfaltet, wenn sie mit einem vorbestimmten elektrischen Strom durchströmt wird;Squib that deploys the airbag when a predetermined electrical current is passed through it;
T1T1: erster Transistor (Sicherheitsschalttransistor);first transistor (safety switching transistor);
T2T2: zweiter Transistor (High-Side-Schalter);second transistor (high-side switch);
T3T3: dritter Transistor (Low-Side-Schalter);third transistor (low-side switch);
TMTM: Testmode-Aktivierungsleitung. Diese sollte nur aktiv werden können, wenn zwei Vorbedingungen zur Aktivierung eines Produktionstestmodus vorliegen. Besonders vorteilhaft ist es, wenn diese Testmode-Aktivierungsleitung aus bevorzugt zwei Leitungen besteht, die in und unterschiedlicher Weise über die sicherheitsrelevante integrierte Schaltung IC geführt werden die beide aktiv werden müssen. Durch diese Redundanz kann die Sicherheit weiter erhöht werden;Test mode enable line. This should only become active if there are two prerequisites for activating a production test mode. It is particularly advantageous if this test mode activation line consists of preferably two lines, which in different ways and via the safety-related integrated circuit IC which both have to become active. This redundancy can further increase security;
VCCVCC: Versorgungsspannung.Supply voltage.

Claims

Method for activating a production test mode for an integrated safety-related electronic circuit (IC) for controlling a passenger restraint system with a squib (SQ) or for at least one integrated safety-related electronic circuit (IC) for several integrated safety-related circuits for controlling a pedestrian impact protection system with a squib (SQ) . - The integrated circuit (IC) comprises a first control line, which is intended to control a first control connection (G1) of a first transistor (T1) and - The first control line can be active or inactive and - The integrated circuit (IC) comprises a second control line, which is provided to control a second control connection (G2) of a second transistor (T2) and - The second control line can be active or inactive and - The integrated circuit (IC) comprises a third control line, which is provided to control a third control terminal (G3) of a third transistor (T3) and - The third control line can be active or inactive and - The integrated circuit is provided so that the first transistor (T1) and the second transistor (T2) and the third transistor (T3) are connected in series with the squib (SQ) and - The ignition of the squib (SQ) in normal operation has at least the prerequisite that the first control line is active and the second control line is active and the third control line is active comprising the steps - fulfill a first precondition for activating the production test mode; - Deactivating the first control line of the first control connection (G1) of the first transistor (T1) and locking an activation of the first control line at least until the end of the activation of the production test mode; - Deactivating the second control line of the second control connection (G2) of the second transistor (T2) and locking an activation of the second control line at least until the end of the activation of the production test mode; - Deactivating the third control line of the third control connection (G3) of the third transistor (T3) and locking an activation of the first control line at least until the end of the activation of the production test mode; - fulfilling a second precondition for activating the production test mode; - Activate the production test mode when all three control lines have been deactivated and when the first precondition is met and the second precondition is met.

Method according to Claim 1 - comprising the steps - providing information about a faulty state by the integrated circuit (IC);

Method according to Claim 1 - comprising the steps - checking whether the first control line is deactivated; - Check if the second control line is deactivated; - Check if the third control line is deactivated; - contrary to Claim 1 : Enable the production test mode if all three control lines have been disabled and if all three Control lines are disabled and when the first precondition is met and the second precondition is met.

Method according to Claim 1 in which a check of the first control line in the production test mode of the integrated safety-related electronic circuit (IC) should be possible, comprising the steps of - determining that the production test mode due to the first prerequisite for activation of the production test mode requires that the first control line NOT necessarily until the end the activation of the production test mode is deactivated, and then deviating from the Claim 1 no deactivation of the first control line of the first control terminal (G1) of the first transistor (T1) and no locking of an activation of the first control line, as in Claim 1 described, done; - Check if the second control line is deactivated; - Check if the third control line is deactivated; - Deviating from Claim 1 : Activating the production test mode when the second and third control lines have been deactivated and when the second and third control lines are disabled and the first precondition is met and the second precondition is met and if it is determined by the first prerequisite for activating the production test mode that the Production test mode requires that the first control line not necessarily be deactivated until the end of activation of the production test mode.

Procedure according to Claim 1 , - a test of the second control line in the production test mode of the integrated safety-relevant electronic circuit (IC) should be possible comprising the steps - determining that the production test mode requires that the second control line does NOT necessarily end until the end due to the first precondition for activating the production test mode the activation of the production test mode is deactivated, which then differs from Claim 1 no deactivation of the second control line of the second control connection (G2) of the second transistor (T2) and no locking of an activation of the second control line, as in Claim 1 described, done; - Check whether the first control line is deactivated; - Check whether the third control line is deactivated; - Notwithstanding Claim 1 : Activate the production test mode when the first and third control lines have been deactivated and when the first and third control lines have been deactivated and when the first precondition has been met and the second precondition has been met and if it is determined based on the first precondition for activating the production test mode that the Production test mode it requires that the second control line is not forcibly deactivated until the end of the activation of the production test mode.

Method according to Claim 1 in which a check of the third control line in the production test mode of the integrated safety-related electronic circuit (IC) should be possible, comprising the steps of - determining that the production test mode due to the first prerequisite for activation of the production test mode requires that the third control line NOT necessarily until the end the activation of the production test mode is deactivated, in which case deviating from Claim 1 no deactivation of the third control line of the third control terminal (G3) of the third transistor (T3) and no locking of an activation of the first control line, as in Claim 1 described, done; - Check if the first control line is deactivated; - Check if the second control line is deactivated; Fulfillment of a second precondition for activating the production test mode; - Deviating from Claim 1 : Activating the production test mode when the first and second control lines have been deactivated and when the first and second control lines are deactivated and the first precondition is met and the second precondition is satisfied and it is determined from the first condition for activating the production test mode that the Production test mode requires that the third control line not necessarily be deactivated until the end of activation of the production test mode.

Procedure according to the Claims 4 and 5 - A test of the first control line in a first production test mode of the integrated safety-relevant electronic circuit (IC) should be possible and - whereby a test of the second control line in a second production test mode of the integrated safety-relevant electronic circuit (IC) should be possible comprising the steps - activation of the first production test mode by the method according to Claim 4 ; - Activation of the second production test mode by the method after Claim 5 ; - The first production test mode is different from the second production test mode and - The first production test mode cannot be activated when the second production test mode is active and - The second production test mode cannot be activated when the first production test mode is active.

Method according to the Claims 4 and 6 - In which a test of the first control line in a first production test mode of the integrated safety-related electronic circuit (IC) should be possible and - a test of the third control line in a second production test mode of the integrated safety-related electronic circuit (IC) should be possible comprising the steps - Activate of the first production test mode by the method Claim 4 ; Activating the second production test mode by the method of Claim 6 ; wherein the first production test mode is different from the second production test mode and wherein the first production test mode can not be activated when the second production test mode is active and wherein the second production test mode can not be activated when the first production test mode is active.

Method according to the Claims 5 and 6 - In which a test of the second control line in a first production test mode of the integrated safety-related electronic circuit (IC) should be possible and - a test of the third control line in a second production test mode of the integrated safety-related electronic circuit (IC) should be possible comprising the steps - Activate of the first production test mode by the method Claim 5 ; Activating the second production test mode by the method of Claim 6 ; wherein the first production test mode is different from the second production test mode and wherein the first production test mode can not be activated when the second production test mode is active and wherein the second production test mode can not be activated when the first production test mode is active.