DE102018110932B4 - Verfahren zur betriebssicheren Aktivierung von Produktionstestmodi in sicherheitsrelevanten elektronischen Schaltungen für ein Fahrzeuginsassenrückhaltesystem - Google Patents

Verfahren zur betriebssicheren Aktivierung von Produktionstestmodi in sicherheitsrelevanten elektronischen Schaltungen für ein Fahrzeuginsassenrückhaltesystem Download PDF

Info

Publication number
DE102018110932B4
DE102018110932B4 DE102018110932.6A DE102018110932A DE102018110932B4 DE 102018110932 B4 DE102018110932 B4 DE 102018110932B4 DE 102018110932 A DE102018110932 A DE 102018110932A DE 102018110932 B4 DE102018110932 B4 DE 102018110932B4
Authority
DE
Germany
Prior art keywords
control line
test mode
production test
transistor
control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE102018110932.6A
Other languages
English (en)
Other versions
DE102018110932A1 (de
Inventor
André Sudhaus
Jens-Arne Schürstedt
Tan Subijanto
Fikret Abaza
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Elmos Semiconductor SE
Original Assignee
Elmos Semiconductor SE
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Elmos Semiconductor SE filed Critical Elmos Semiconductor SE
Publication of DE102018110932A1 publication Critical patent/DE102018110932A1/de
Application granted granted Critical
Publication of DE102018110932B4 publication Critical patent/DE102018110932B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R21/00Arrangements or fittings on vehicles for protecting or preventing injuries to occupants or pedestrians in case of accidents or other traffic risks
    • B60R21/01Electrical circuits for triggering passive safety arrangements, e.g. airbags, safety belt tighteners, in case of vehicle accidents or impending vehicle accidents
    • B60R21/017Electrical circuits for triggering passive safety arrangements, e.g. airbags, safety belt tighteners, in case of vehicle accidents or impending vehicle accidents including arrangements for providing electric power to safety arrangements or their actuating means, e.g. to pyrotechnic fuses or electro-mechanic valves
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01RMEASURING ELECTRIC VARIABLES; MEASURING MAGNETIC VARIABLES
    • G01R31/00Arrangements for testing electric properties; Arrangements for locating electric faults; Arrangements for electrical testing characterised by what is being tested not provided for elsewhere
    • G01R31/28Testing of electronic circuits, e.g. by signal tracer
    • G01R31/282Testing of electronic circuits specially adapted for particular applications not provided for elsewhere
    • G01R31/2827Testing of electronic protection circuits

Landscapes

  • Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mechanical Engineering (AREA)
  • Air Bags (AREA)

Abstract

Verfahren zur Aktivierung eines Produktionstestmodus für eine integrierte sicherheitsrelevante elektronische Schaltung (IC) zur Steuerung eines Fahrzeuginsassenrückhaltesystems mit einer Zündpille (SQ) oder für mindestens eine integrierte sicherheitsrelevante elektronische Schaltung (IC) von mehreren integrierten sicherheitsrelevanten Schaltungen zur Steuerung eines Fahrzeuginsassenrückhaltesystems mit einer Zündpille (SQ),- wobei die integrierte Schaltung (IC) eine erste Steuerleitung umfasst, die dazu vorgesehen ist, einen ersten Steueranschluss (G1) eines ersten Transistors (T1) anzusteuern und- wobei die erste Steuerleitung aktiv oder inaktiv sein kann und- wobei die integrierte Schaltung (IC) eine zweite Steuerleitung umfasst, die dazu vorgesehen ist, einen zweiten Steueranschluss (G2) eines zweiten Transistors (T2) anzusteuern und- wobei die zweite Steuerleitung aktiv oder inaktiv sein kann und- wobei die integrierte Schaltung (IC) eine dritte Steuerleitung umfasst, die dazu vorgesehen ist, einen dritten Steueranschluss (G3) eines dritten Transistors (T3) anzusteuern und- wobei die dritte Steuerleitung aktiv oder inaktiv sein kann und- wobei die integrierte Schaltung dazu vorgesehen ist, dass der erste Transistor (T1) und der zweite Transistor (T2) und der dritte Transistor (T3) in Serie mit der Zündpille (SQ) geschaltet sind und- wobei die Zündung der Zündpille (SQ) im Normalbetrieb zumindest zur Voraussetzung hat, dass die erste Steuerleitung aktiv ist und die zweite Steuerleitung aktiv ist und die dritte Steuerleitung aktiv ist umfassend die Schritte- Erfüllen einer ersten Vorbedingung zur Aktivierung des Produktionstestmodus durch Übermitteln einer ersten Botschaft über eine erste Schnittstelle (IF1);- Deaktivieren der ersten Steuerleitung des ersten Steueranschlusses (G1) des ersten Transistors (T1) und Verriegelung einer Aktivierung der ersten Steuerleitung zumindest bis zum Ende der Aktivierung des Produktionstestmodus;- Deaktivieren der zweiten Steuerleitung des zweiten Steueranschlusses (G2) des zweiten Transistors (T2) und Verriegelung einer Aktivierung der zweiten Steuerleitung zumindest bis zum Ende der Aktivierung des Produktionstestmodus;- Deaktivieren der dritten Steuerleitung des dritten Steueranschlusses (G3) des dritten Transistors (T3) und Verriegelung einer Aktivierung der dritten Steuerleitung zumindest bis zum Ende der Aktivierung des Produktionstestmodus;- Erfüllen einer zweiten Vorbedingung zur Aktivierung des Produktionstestmodus durch Übermitteln einer zweiten Botschaft über eine zweite Schnittstelle (IF2), die von der ersten Schnittstelle (IF1) verschieden ist;- Aktivieren des Produktionstestmodus, wenn alle drei Steuerleitungen deaktiviert wurden und wenn die erste Vorbedingung erfüllt ist und die zweite Vorbedingung erfüllt ist.

Description

  • Feld der Erfindung
  • Es wird ein Verfahren zur Aktivierung eines Produktionstestmodus für eine sicherheitsrelevante elektronische Schaltung und im Speziellen ein Verfahren zur Aktivierung eines Produktionstestmodus für eine integrierte sicherheitsrelevante elektronische Schaltung (IC) zur Steuerung eines Fahrzeuginsassenrückhaltesystems mit einer Zündpille (SQ) vorgeschlagen.
  • Allgemeine Einleitung
  • Elektronische Systeme und insbesondere integrierte Schaltungen werden in verschiedensten sicherheitsrelevanten Systemen eingesetzt. Relevante beispielhafte Standards, die solche Systeme je nach Anwendung erfüllen müssen, sind beispielsweise (ohne hier den Anspruch auf Vollständigkeit zu erheben):
    • • IEC 61511: Funktionale Sicherheit - für Sicherheitstechnische Systeme für die Prozessindustrie
    • • IEC 61513: Kernkraftwerke - für Leittechnik für Systeme mit sicherheitstechnischer Bedeutung - Allgemeine Systemanforderungen
    • • EN 50128: Bahnanwendungen - für Telekommunikationstechnik, Signaltechnik und Datenverarbeitungssysteme - für sicherheitsrelevante elektronische Systeme für die Signaltechnik
    • • IEC 62061: Sicherheit von Maschinen - für die funktionale Sicherheit sicherheitsbezogener elektrischer, elektronischer und programmierbarer elektronischer Steuerungssysteme
    • • ISO 26262: Road Vehicles - Funktionale Sicherheit für Automobile
  • Vor der Auslieferung solcher sicherheitsrelevanten elektronischen Systeme und während der Produktion müssen diese Systeme vollständig auf Funktionstüchtigkeit aller Komponenten geprüft werden. Deren Anzahl kann bei integrierten Schaltungen zweistellige Zehnerpotenzen erreichen.
  • Daher werden spezielle Produktionstestmodi (Testzustände der elektronischen Systeme) vorgesehen, um für jede der Komponenten des zu testenden elektronischen Systems diese Komponente schnell und kosteneffizient in alle möglichen relevanten Zustände bringen zu können und die Reaktion dieser Komponente so beobachten zu können, dass eine Gut/Schlecht-Aussage bezüglich jedes zu prüfenden Parameters dieser Komponente möglich ist.
  • In der Regel sind daher diese elektronischen Systeme in diesen Produktionstestmodi nicht spezifikationskonform betreibbar und damit nicht sicher. Durch verschiedenste Einflüsse ist es nun möglich, dass Signale zur Aktivierung der Produktionstestmodi im normalen Betrieb unabsichtlich aktiviert werden. Dies kann im einfachsten Fall beispielsweise durch natürliche Radioaktivität oder einen Ausfall einer Subkomponente des elektronischen Systems geschehen. Ein solches Ereignis darf daher nicht zu einem Sicherheitsrisiko werden.
  • Eine Produktionstest-Implementierung in sicherheitsrelevanten Produkten birgt somit bei unbeabsichtigter Aktivierung eines Produktionstestmodus im sicherheitsrelevanten Normalbetrieb immer das Potential für kritische, sicherheitsrelevante Fehler.
  • Stand der Technik
  • Im Folgenden wird als elektronisches System ein integrierter Schaltkreis beschrieben. Die vorgeschlagene Methodik lässt sich aber auch auf jedes andere elektronische System anwenden.
  • Es gibt unzählige Methoden, integrierte Schaltungen in einen Produktionstestmodus (Testzustand) zu bringen. Im einfachsten Fall wird ein Anschluss auf einen bestimmten Pegel gezogen, der normalerweise nicht auf diesem Pegel betrieben wird. Auch ist die Aktivierung über bestimmte Speicherstellen von Registern eines Prozessors bekannt, sofern der integrierte Schaltkreis über einen Prozessor verfügt. Besonders geeignet, da standardisiert, ist der Test über eine IEEE- 1149 kompatible JTAG-Testschnittstelle und die Test-Register des zugehörigen JTAG-Test-Controllers.
  • Aus dem Stand der Technik ist die Mehrfachverriegelung von Test-Modi bekannt. Dieser Stand der Technik ist insbesondere in Form von integrierten Schaltungen bekannt, die auf dem Markt frei verfügbar sind. Produktionstestmodi müssen immer erst aktiviert werden. Um die notwendige Sicherheit zu erreichen, reicht eine Mehrfachverriegelung aber manchmal eben nicht aus. Werden die Ausfallraten aufgrund der Schaltkreiskonstruktion berechnet, so ist es in gewissen Fällen, insbesondere bei integrierten Schaltungen zur Steuerung von Fahrzeuginsassenrückhaltesystemen (Airbags) oder zur Steuerung von Fußgängeraufprallschutzsystemen, notwendig die Wahrscheinlichkeit eines fehlerhaften Aktivierens sicherheitsrelevanter Funktionen, wie beispielsweise das Zünden eines Airbags oder eines Fußgängeraufprallschutzsystems während der Fahrt, noch weiter abzusenken, um den Anforderungen der oben beispielhaft genannten Normen gerecht werden zu können. Eine solches fehlerhaftes Aktivieren sicherheitsrelevanter Funktionen kann beispielsweise auch durch das versehentliche Aktivieren eines Produktionstestmodus im bestimmungsgemäßen Normalbetrieb geschehen.
  • Als relevante Patentliteratur kann hier beispielsweise die US 2014 / 0 039 764 A1 benannt werden, die eine Vorinspektionsmethode zur Inspektion eines Air-Bag-Controllers vor der Verschiffung offenlegt. Des Weiteren ist die deutsche Patentanmeldung DE 10 2005 030 770 A1 von besonderer Bedeutung, die ein Verfahren zum Steuern einer Sicherheitseinrichtung im Fahrzeug angibt. Außerdem soll hier die DE 198 28 432 A1 angegeben werden, die die Verwendung eines Sicherheitsschalters in Airbags an sich als eine besonders frühe Offenlegung dieses Schutzmechanismus beschreibt. Ebenso sei an dieser Stelle die DE 103 50 853 A1 als relevanter Stand der Technik benannt. Die DE 103 50 853 A1 offenbart die Entriegelung eines Aktors in Abhängigkeit von verschiedenen Steuer und Freigabesignalen.
  • Allen diesen Schriften ist gemeinsam, dass sie beschreiben, wie beispielsweise durch gegenseitige Verriegelung und/oder Sicherheitsschalter sichergestellt wird, dass es nicht zu einem versehentlichen Auslösen eines Air-Bags kommt. In der Qualitätstechnik ist jedoch eine solche Verhinderung als Eindämmungsmaßnahme für ein bereits entstandenes Problem vor dessen Ausprägung zum Fehler bekannt. Die Vorliegende Offenlegung soll jedoch nicht, wie die zuvor genannten Offenlegungen, einen sicheren Test ermöglichen, sondern verhindern, dass überhaupt ein Testzustand versehentlich eingenommen werden kann. Es geht also in der folgenden Beschreibung ausdrücklich nicht um das sichere Testen einer sicherheitsrelevanten integrierten Schaltung, sondern um die sichere Einnahme eines sicheren Testzustands in dem dann ein solche Test erfolgen kann. Dieses Problem äußert sich bei Berechnungen im Rahmen der funktionalen Sicherheit so, dass der Aufwand zur Absenkung der Eintrittswahrscheinlichkeit eines fehlerhaften Aktivierens sicherheitsrelevanter Funktionen durch eine versehentliche Aktivierung von Produktionstestmodi durch diese Vorgehensweise signifikant abgesenkt wird.
  • Aufgabe der Erfindung
  • Der Erfindung liegt daher die Aufgabe zugrunde, eine Lösung zu schaffen die die Wahrscheinlichkeit eines fehlerhaften Aktivierens sicherheitsrelevanter Funktionen durch eine versehentliche Aktivierung von Produktionstestmodi weiter absenkt.
  • Diese Aufgabe wird durch ein Verfahren nach Anspruch 1 oder nach einem der Ansprüche 4 - 6 gelöst. Die Unteransprüche beziehen sich auf besondere Ausführungsarten der Erfindung.
  • Lösung der erfindungsgemäßen Aufgabe
  • Die beanspruchte Erfindung betrifft ein Verfahren zur Aktivierung eines Produktionstestmodus für eine integrierte sicherheitsrelevante elektronische Schaltung IC zur Steuerung eines Fahrzeuginsassenrückhaltesystems mit einer Zündpille SQ oder für mindestens eine integrierte sicherheitsrelevante elektronische Schaltung IC von mehreren integrierten sicherheitsrelevanten Schaltungen zur Steuerung eines Fahrzeuginsassenrückhaltesystems mit einer Zündpille SQ. Die integrierte Schaltung IC umfasst eine erste Steuerleitung, die dazu vorgesehen ist, einen ersten Steueranschluss G1 eines ersten Transistors T1 anzusteuern und eine zweite Steuerleitung, die dazu vorgesehen ist, einen zweiten Steueranschluss G2 eines zweiten Transistors T2 anzusteuern, und eine dritte Steuerleitung, die dazu vorgesehen ist, einen dritten Steueranschluss G3 eines dritten Transistors T3 anzusteuern. Die erste Steuerleitung und die zweite Steuerleitung und die dritte Steuerleitung können aktiv oder inaktiv sein. Der erste Transistor T1 und der zweite Transistor T2 und der dritte Transistor T3 sind erfindungsgemäß in Serie mit der Zündpille SQ geschaltet. Erfindungsgemäß hat die Zündung der Zündpille SQ im Normalbetrieb zumindest zur Voraussetzung, dass die erste Steuerleitung aktiv ist und die zweite Steuerleitung aktiv ist und die dritte Steuerleitung aktiv ist. Das erfindungsgemäße Verfahren umfasst das Erfüllen einer ersten Vorbedingung zur Aktivierung des Produktionstestmodus durch Übermitteln einer ersten Botschaft über eine erste Schnittstelle IF1. Das erfindungsgemäße Verfahren umfasst das Deaktivieren der ersten Steuerleitung des ersten Steueranschlusses G1 des ersten Transistors T1 und die Verriegelung einer Aktivierung der ersten Steuerleitung zumindest bis zum Ende der Aktivierung des Produktionstestmodus. Das erfindungsgemäße Verfahren umfasst das Deaktivieren der zweiten Steuerleitung des zweiten Steueranschlusses G2 des zweiten Transistors T2 und die Verriegelung einer Aktivierung der zweiten Steuerleitung zumindest bis zum Ende der Aktivierung des Produktionstestmodus. Das erfindungsgemäße Verfahren umfasst das Deaktivieren der dritten Steuerleitung des dritten Steueranschlusses G3 des dritten Transistors T3 und die Verriegelung einer Aktivierung der dritten Steuerleitung zumindest bis zum Ende der Aktivierung des Produktionstestmodus. Das erfindungsgemäße Verfahren umfasst das Erfüllen einer zweiten Vorbedingung zur Aktivierung des Produktionstestmodus durch Übermitteln einer zweiten Botschaft über eine zweite Schnittstelle IF2, die von der ersten Schnittstelle IF1 verschieden ist. Das erfindungsgemäße Verfahren umfasst das Aktivieren des Produktionstestmodus, wenn alle drei Steuerleitungen deaktiviert wurden und wenn die erste Vorbedingung erfüllt ist und die zweite Vorbedingung erfüllt ist. Der folgende Text beschreibt Varianten und Ausgestaltungen dieser Erfindung und deren technisches Umfeld.
  • Der Ansatzpunkt für die beabsichtigte Wahrscheinlichkeitsabsenkung ist, die Erkennung und die Signalisierung eines potentiellen, mutmaßlich unbeabsichtigten Zugriffes auf Produktionstestfunktionen zu erhöhen und gleichzeitig die Wahrscheinlichkeit für das Erlangungen eines vordefinierten sicheren Zustandes für diesen Fall zu erhöhen.
  • Die Grundidee des vorgeschlagenen Verfahrens besteht somit darin, sowohl mindestens zwei Eintrittsbedingungen für den Produktionstest vorzugeben, aber auch die Konstruktion des Systems so zu gestalten, dass bereits bei Erfüllung der ersten Eintrittsbedingungen für den Produktionstest ein sicherer Funktionszustand zwingend eingenommen wird.
  • Dieses Verfahren wird am Beispiel eines schematisch vereinfachten Airbag-Zündsystems, wie sie aus dem Stand der Technik bekannt ist, unter Zuhilfenahme von 1 erläutert. Solche Zündschaltungen werden auch in Fußgängeraufprallschutzsystemen eingesetzt.
  • Das beispielhafte Airbag-Zündsystem AS wird aus dem Betriebsstromnetz des Fahrzeugs mit der Versorgungsspannung VCC im Normalbetrieb versorgt. Dabei wird eine Energiereserve in Form eines Kondensators CE geladen und betriebsbereit gehalten. Diese dient im Falle der Störung der Versorgungsspannung VCC durch die Folgen eines Unfalls des Fahrzeugs zur Aufrechterhaltung der Energieversorgung des Airbag-Zündsystems AS. Eine Verpolschutzdiode D1 verhindert die Rückspeisung der in der Energiereserve CE gespeicherten Energie in das Stromnetz des Fahrzeugs. Das Airbag-Zündsystem AS besteht aus einer Serienschaltung zumindest dreier Transistoren (T1, T2, T3) und der Zündpille SQ des Airbags, sowie der Steuerung ST und dem Kondensator CE der Energiereserve und der Verpolschutzdiode D1. Die Zündpille SQ weist in der Regel einen ersten Anschluss und einen zweiten Anschluss auf. Der erste der drei Transistoren (T1, T2, T3) ist ein Sicherheitsschalttransistor T1, der bevorzugt nur einmal und vorzugsweise außerhalb der integrierten Schaltung vorgesehen wird. Der zweite Transistor T2 ist der sogenannte High-Side-Schalter, da er, wenn der Sicherheitsschalttransistor T1 durchgeschaltet ist, direkt mit der typischerweise positiven Versorgungsspannung VCC über die Verpolschutzdiode D1 verbunden ist. Der dritte Transistor T3 ist der sogenannte Low-Side-Schalter, da er direkt mit der typischerweise negativen Versorgungsspannung, dem Bezugspotenzial GND, verbunden ist. Zwischen dem High-Side-Schalter, also dem zweiten Transistor T2, und dem Low-Side-Schalter, also dem dritten Transistor T3, ist die Zündpille SQ angeordnet, die beim Zünden das Gas für die explosionsartige Entfaltung des Airbags liefert. Hierfür muss die Zündpille SQ von einem elektrischen Strom durchflossen werden. Es ist also notwendig alle drei Transistoren T1, T2, T3 gleichzeitig einzuschalten d.h. zu aktivieren, um die Zündlippe SQ zu zünden und den Airbag zu entfalten.
  • Bei einem Fußgängeraufprallschutzsystem würde beispielsweise statt der Entfaltung des Airbags die Motorraumklappe in eine nach oben leicht angewinkelte Position durch die Sprengladung gebracht, um die auf einen Kopf wirkenden Aufprallkräfte bei einem Zusammenstoß mit einem Fußgänger durch eine Verlängerung der Wegstrecke zu verkleinern.
  • Die Aktivierung des ersten Transistors T1 erfolgt dabei durch das Aktivieren des ersten Steueranschlusses G1 des ersten Transistors T1.
  • Die Aktivierung des zweiten Transistors T2 erfolgt dabei durch das Aktivieren des zweiten Steueranschlusses G2 des zweiten Transistors T2.
  • Die Aktivierung des dritten Transistors T3 erfolgt dabei durch das Aktivieren des dritten Steueranschlusses G3 des dritten Transistors T3.
  • Typischerweise befindet sich der erste Transistor T1 außerhalb der integrierten Schaltung IC, während der zweite Transistor T2 und der dritte Transistor T3 bevorzugt Teil der integrierten Schaltung IC sind. Die Zündpille SQ ist natürlich kein Teil der integrierten Schaltung IC. Aufgrund der erforderlichen Speicherkapazität befindet sich der Kondensator CE der Energiereserve typischerweise auch außerhalb der integrierten Schaltung IC. Eine Steuerung ST innerhalb der integrierten Schaltung IC liefert nun die Steuersignale für den ersten Steueranschluss G1 des ersten Transistors T1 und für den zweiten Steueranschluss G2 des zweiten Transistors T2 und für den dritten Steueranschluss G3 des dritten Transistors T3.
  • Es wird nun vorgeschlagen, dass durch die Aktivierung eines Produktionstestmodus, hier beispielsweise durch die an die Steuerung ST angeschlossene Testmode-Aktivierungsleitung TM, einer der folgenden vier Fälle eintritt:
    • Fall A
      • • Die Aktivierung des ersten Steueranschlusses G1 des ersten Transistors T1 wird unterbunden und
      • • die Aktivierung des zweiten Steueranschlusses G2 des zweiten Transistors T2 wird unterbunden und
      • • die Aktivierung des dritten Steueranschlusses G3 des dritten Transistors T3 wird unterbunden.
    • Fall B
      • • Die Aktivierung des ersten Steueranschlusses G1 des ersten Transistors T1 wird NICHT unterbunden und
      • • die Aktivierung des zweiten Steueranschlusses G2 des zweiten Transistors T2 wird unterbunden und
      • • die Aktivierung des dritten Steueranschlusses G3 des dritten Transistors T3 wird unterbunden.
    • Fall C
      • • Die Aktivierung des ersten Steueranschlusses G1 des ersten Transistors T1 wird unterbunden und
      • • die Aktivierung des zweiten Steueranschlusses G2 des zweiten Transistors T2 wird NICHT unterbunden und
      • • die Aktivierung des dritten Steueranschlusses G3 des dritten Transistors T3 wird unterbunden.
    • Fall D
      • • Die Aktivierung des ersten Steueranschlusses G1 des ersten Transistors T1 wird unterbunden und
      • • die Aktivierung des zweiten Steueranschlusses G2 des zweiten Transistors T2 wird unterbunden und
      • • die Aktivierung des dritten Steueranschlusses G3 des dritten Transistors T3 wird NICHT unterbunden.
  • Hierbei ist der Begriff „aktiv“ für eine Steuerleitung für einen Steueranschluss (G1, G2, G3) eines der Transistoren (T1, T2, T3) so zu verstehen, dass im Normalbetrieb die Zündpille SQ zündet, sobald alle drei Steuerleitungen der drei Steueranschlüsse (G1, G2, G3) der Transistoren (T1, T2, T3) „aktiv“ sind.
  • Fall A sollte für alle Test-Modi gewählt werden, bei denen keine der drei Steuerleitungen der drei Steueranschlüsse (G1, G2, G3) der Transistoren (T1, T2, T3) geprüft werden soll.
  • Die Fälle B, C und D ermöglichen die Überprüfung der drei Steuerleitungen der drei Steueranschlüsse (G1, G2, G3) der Transistoren (T1, T2, T3) im Produktionstest in einem speziellen Produktionstestmodus ohne hierbei die Wahrscheinlichkeit der Auslösung der Zündpille SQ im Normalbetrieb über ein tolerables Maß hinaus zu erhöhen.
  • Damit ist es ein wesentliches Merkmal eines Airbag-Zündsystems AS gemäß dieses Vorschlags, wenn für die Prüfung eines ersten Anschlusses α des integrierten Schaltkreises IC, der für den Anschluss des ersten Pols der Zündpille SQ vorgesehen ist, ein erster Produktionstestmodus vorgesehen ist und für die Prüfung eines zweiten Anschlusses β des integrierten Schaltkreises IC, der für den Anschluss des zweiten Pols der Zündpille SQ ein zweiter Test-Modus vorgesehen ist und dass im ersten Test-Modus der zweite Anschluss β gegenüber dem Bezugspotenzial GND hochohmig ist und dass im zweiten Test-Modus der erste Anschluss α für die Zündpille SQ gegenüber dem Anschluss ε für den Sicherheitsschalttransistor T1 hochohmig ist.
  • Hierbei bedeutet hochohmig für den zweiten Transistor T2, dass der Widerstand zwischen dem ersten Anschluss α für die Zündpille SQ gegenüber dem Anschluss ε für den Schalttransistor T1 um einen Faktor von mindestens 50 kleiner ist, als der Widerstand, den der zweite Transistor T2 zeigt, wenn der zweite Steueranschluss G2 des zweiten Transistors T2 aktiv ist.
  • Hierbei bedeutet hochohmig für den dritten Transistor T3, dass der Widerstand zwischen dem zweiten Anschluss β für die Zündpille SQ und dem Bezugspotenzial GND um einen Faktor von mindestens 50 kleiner ist, als der Widerstand, den der dritte Transistor T3 zeigt, wenn der dritte Steueranschluss G3 des dritten Transistors T3 aktiv ist.
  • Es reicht jedoch erfahrungsgemäß nicht aus, die Steuerleitungen (G1, G2, G3) inaktiv zu schalten. Vielmehr speichern diese Leitungen elektrische Ladungen. Daher kann bei einem transienten Einschalten trotzdem noch ein fehlerhafter, gefährlicher Zustand eingenommen werden. Bei der Ausarbeitung dieses Vorschlags wurde daher erkannt, dass die Steuerleitungen der Steueranschlüsse (G1, G2, G3) der Transistoren (T1, T2, T3) für einen sicheren Zustand der sicherheitsrelevanten elektronischen Schaltung entladen werden müssen.
  • Daher ist es zu empfehlen, den Produktionstestmodus erst dann zu aktivieren, wenn die Steueranschlüsse (G1, G2, G3) der Transistoren (T1, T2, T3) tatsächlich durch Entladen inaktiviert sind. Hierzu kann ein Überwachungsschaltkreis vorgesehen sein, der den tatsächlichen Zustand der Steuerleitungen der Steueranschlüsse (G1, G2, G3) der Transistoren (T1, T2, T3) ermittelt.
  • Es ist somit ein Merkmal dieses Vorschlags, dass nicht nur durch Erfüllen einer von mindestens zwei Bedingungen für die Aktivierung des Produktionstestmodus für ein elektronisches System bereits das System in einen sicheren Zustand, hier durch Deaktivieren aller drei bzw. von mindestens zwei Steuerleitungen der Steueranschlüsse (G1, G2, G3) der Transistoren (T1, T2, T3), gebracht wird sondern, dass die Einnahme dieses sicheren Zustands gemessen und verifiziert wird und erst bei Vorliegen des vorbestimmten sicheren Zustands aktiviert wird. Im vorliegenden Fall ist dieser vorbestimmte sichere Zustand durch die Entladung aller drei bzw. von mindestens zwei Steuerleitungen der Steueranschlüsse (G1, G2, G3) der Transistoren (T1, T2, T3) gekennzeichnet.
  • Für den Fall A
  • Im Fall A wird keine der Steuerleitungen der Steueranschlüsse (G1, G2, G3) der Transistoren (T1, T2, T3) geprüft. Die Aktivierung des betreffenden Produktionstestmodus wird beispielsweise durch das Aktivieren der Testmode-Aktivierungsleitung TM eingeleitet. Für die Aktivierung dieses Produktionstestmodus in einem Airbag-Zündsystem AS, sollten daher alle drei Steuerleitungen der Steueranschlüsse (G1, G2, G3) der Transistoren (T1, T2, T3) deaktiviert werden. Die Einnahme dieses sicheren Zustands wird in diesem Fall A dann so gemessen und verifiziert, dass erst bei Vorliegen des vorbestimmten sicheren Zustands, in Form der Entladung aller drei Steuerleitungen der Steueranschlüsse (G1, G2, G3) der Transistoren (T1, T2, T3) der Produktionstestmodus aktiviert wird.
  • Für den Fall B
  • Im Fall B wird die erste Steuerleitung des ersten Steueranschlusses G1 des ersten Transistors T1 durch den Produktionstest in diesem Produktionstestmodus geprüft. Die Aktivierung dieses betreffenden Produktionstestmodus wird beispielsweise durch das Aktivieren der Testmode-Aktivierungsleitung TM eingeleitet. Für die Aktivierung des Produktionstestmodus in einem Airbag-Zündsystem AS, sollten daher in diesem Fall B die zweite Steuerleitung des zweiten Steueranschlusses G2 des zweiten Transistors T2 deaktiviert werden und die dritte Steuerleitung des dritten Steueranschlusses G3 des dritten Transistors T3 deaktiviert werden. Die Einnahme dieses sicheren Zustands wird in diesem Fall B dann so gemessen und verifiziert, dass erst bei Vorliegen des vorbestimmten sicheren Zustands, in Form der Entladung der zweiten Steuerleitung des zweiten Steueranschlusses G2 des zweiten Transistors T2 und der dritten Steuerleitung des dritten Steueranschlusses G3 des dritten Transistors T3 der Produktionstestmodus aktiviert wird.
  • Für den Fall C
  • Im Fall C wird die zweite Steuerleitung des zweiten Steueranschlusses G2 des zweiten Transistors T2 durch den Produktionstest in diesem Produktionstestmodus geprüft. Die Aktivierung dieses betreffenden Produktionstestmodus wird beispielsweise durch das Aktivieren der Testmode-Aktivierungsleitung TM eingeleitet. Für die Aktivierung des Produktionstestmodus in einem Airbag-Zündsystem AS, sollten daher in diesem Fall C die erste Steuerleitung des ersten Steueranschlusses G1 des ersten Transistors T1 deaktiviert werden und die dritte Steuerleitung des dritten Steueranschlusses G3 des dritten Transistors T3 deaktiviert werden. Die Einnahme dieses sicheren Zustands wird in diesem Fall C dann so gemessen und verifiziert, dass erst bei Vorliegen des vorbestimmten sicheren Zustands, in Form der Entladung der ersten Steuerleitung des ersten Steueranschlusses G1 des ersten Transistors T1 und der dritten Steuerleitung des dritten Steueranschlusses G3 des dritten Transistors T3, der Produktionstestmodus aktiviert wird.
  • Für den Fall D
  • Im Fall D wird die dritte Steuerleitung des dritten Steueranschlusses G3 des dritten Transistors T3 durch den Produktionstest in diesem Produktionstestmodus geprüft. Die Aktivierung des betreffenden Produktionstestmodus wird beispielsweise durch das Aktivieren der Testmode-Aktivierungsleitung TM eingeleitet. Für die Aktivierung dieses Produktionstestmodus in einem Airbag-Zündsystem AS, sollten daher in diesem Fall D die erste Steuerleitung des ersten Steueranschlusses G1 des ersten Transistors T1 deaktiviert werden und die zweite Steuerleitung des zweiten Steueranschlusses G2 des zweiten Transistors T2 deaktiviert werden. Die Einnahme dieses sicheren Zustands wird in diesem Fall D dann so gemessen und verifiziert, dass erst bei Vorliegen des vorbestimmten sicheren Zustands, in Form der Entladung der ersten Steuerleitung des ersten Steueranschlusses G1 des ersten Transistors T1 und der zweiten Steuerleitung des zweiten Steueranschlusses G2 des zweiten Transistors T2 der Produktionstestmodus aktiviert wird.
  • Sofern bereits eine Bedingung zur Einnahme des Produktionstestmodus aktiviert wird, kann die sicherheitsrelevante elektronische Schaltung eine Fehlermeldung generieren oder bereit halten, die zur Anzeige gebracht werden kann.
  • In dieser Schrift wird als das folgende Verfahren zur Aktivierung eines Produktionstestmodus für eine sicherheitsrelevante elektronische Schaltung oder für mindestens eine sicherheitsrelevante elektronische Schaltung (IC) von mehreren sicherheitsrelevanten Schaltungen vorgeschlagen: In einem ersten Schritt wird eine erste Vorbedingung zur Aktivierung des Produktionstestmodus erfüllt. Dies erfolgt durch Übermittlung einer ersten Anforderung über eine erste Schnittstelle an die Vorrichtung. Beispielsweise kann dies mittels einer Programmierung eines ersten Testregisters der zu testenden sicherheitsrelevanten elektronischen Schaltung in einer JTAG-Testschnittstelle dieser zu testenden sicherheitsrelevanten elektronischen Schaltung erfolgen.
  • Die zu testende sicherheitsrelevante elektronische Schaltung sollte durch diesen Schritt automatisch in einen sicheren Zustand überführt werden, der nicht durch den Produktionstest verlassen werden kann. Dies ist der zweite Schritt. Dies darf aber zum Aktivieren des Produktionstestmodus der sicherheitsrelevanten elektronischen Schaltung nicht ausreichen.
  • Erst das Erfüllen einer zweiten Vorbedingung zur Aktivierung des Produktionstestmodus als dritten Schritt ermöglicht den finalen Aktivierungsschritt. Bei diesem dritten Schritt wird die zweite Vorbedingung zur Aktivierung des Produktionstestmodus erfüllt. Dies erfolgt wieder durch Übermittlung einer zweiten Anforderung über die erste Schnittstelle an die Vorrichtung. Beispielsweise kann dies mittels einer Programmierung eines zweiten Testregisters der zu testenden sicherheitsrelevanten elektronischen Schaltung in der besagten JTAG-Testschnittstelle dieser zu testenden sicherheitsrelevanten elektronischen Schaltung erfolgen. Dabei muss das zweite Testregister vom ersten Testregister verschieden sein. Bevorzugt ist jedoch eine vollständige Trennung der Aktivierungspfade. Im Falle der vollständigen Trennung wird bei diesem dritten Schritt ebenfalls die zweite Vorbedingung zur Aktivierung des Produktionstestmodus aber mit besserer Absicherung erfüllt. Dies erfolgt wieder durch Übermittlung einer zweiten Anforderung nun aber über eine zweite Schnittstelle an die Vorrichtung, die von der ersten Schnittstelle verschieden ist.
  • Bei dieser Erfüllung einer zweiten Vorbedingung kann es sich beispielsweise um eine spezielle Kombination von Spannungspegeln an verschiedenen Anschlüssen (die Anschlüsse stellen hier eine Schnittstelle dar) oder einen Software-Befehl über eine andere Schnittstelle etc. handeln.
  • Als Schnittstellen (IF1, IF2) kommen die elektrischen Anschlüsse der zu testenden sicherheitsrelevanten elektronischen Schaltung (IC) in Frage, wobei die Signalisierungen beispielsweise über besondere Spannungs- und/oder Strompegel oder zeitliche Abfolgen und Kombinationen derselben erfolgen, und/oder Datenschnittstellen, wie z.B. SPI-Bus-Schnittstellen, oder Sensor-Schnittstellen, wie beispielsweise PSI5- oder DSI3-Schnittstellen oder entsprechende andere Schnittstellen in Betracht. Wichtig ist dabei nur, dass die erste Vorbedingung und die zweite Vorbedingung nicht über ungleiche Schnittstellen erfüllt werden müssen, wodurch eine erhöhte Sicherheit gegen versehentliche Einnahme eines unsicheren Zustands erreicht wird.
  • Als finaler Schritt folgt das Aktivieren des Produktionstestmodus, wenn die erste und zweite Vorbedingung zur Aktivierung des Produktionstestmodus erfüllt sind und wenn die Überführung der sicherheitsrelevanten elektronischen Schaltung in den sicheren Zustand als Schritt durchgeführt wurde.
  • In einer empfohlenen Variante des Verfahrens wird vorgeschlagen, das Erfüllen der ersten Vorbedingung an den Nutzer zu signalisieren. Hierdurch wird dieser Nutzer auf den kritischen Zustand des Systems aufmerksam und kann reagieren. Die Verfahrensvariante umfasst daher den Schritt der Signalisierung eines fehlerhaften Zustands oder den Versuch der Signalisierung eines fehlerhaften Zustands. Hierbei kann es sich auch um die Bereitstellung einer Information über diesen fehlerhaften Zustand handeln. Das kann beispielsweise in einem Register eines Prozessors geschehen oder durch Ändern des logischen Zustands eines Anschlusses der sicherheitsrelevanten elektronischen Schaltung.
  • In einer weiteren empfohlenen Variante des Verfahrens wird wieder vorgeschlagen, die Einnahme des sicheren Zustands durch spezielle Messung explizit zu überprüfen. Daher umfasst diese Variante den zusätzlichen Schritt der Überprüfung der sicherheitsrelevanten elektronischen Schaltung darauf, ob der sichere Zustand erfolgreich eingenommen ist. Dabei kann die sicherheitsrelevante elektronische Schaltung auch von Außen beeinflusst sein. Steuert die sicherheitsrelevante elektronische Schaltung den Steueranschluss eines Transistors an, so kann der Transistor, wenn beispielsweise sein Steueranschluss elektrisch geladen ist, den entsprechenden Anschluss der sicherheitsrelevanten elektronischen Schaltung in einen unsicheren Zustand bringen. Dies kann durch einen solchen Schritt erkannt und damit letztlich verhindert werden. Der finale Schritt der Aktivierung des Produktionstestmodus wird daher so modifiziert, dass das Aktivieren des Produktionstestmodus nur dann erfolgt, wenn die erste und zweite Vorbedingung zur Aktivierung des Produktionstestmodus erfüllt sind und wenn die Überführung der sicherheitsrelevanten elektronischen Schaltung in den sicheren Zustand durchgeführt wurde und wenn nun zusätzlich die Überprüfung ergibt, dass die sicherheitsrelevante elektronische Schaltung auch tatsächlich in diesem sicheren Zustand ist.
  • Natürlich müssen auch sicherheitsrelevante Teilvorrichtungen der sicherheitsrelevanten elektronischen Schaltung daraufhin geprüft werden können, dass sie einen spezifikationsgemäß geforderten unsicheren Zustand einnehmen können. Bei den Steuerleitungen der besagten Airbag-Transistoren bedeutet dies, dass es möglich sein muss, diese darauf zu prüfen, dass sie aktiviert werden können. Es wird daher hier eine Variante des Verfahrens für diese Fälle vorgeschlagen.
  • Es handelt sich dabei um ein Verfahren zur Aktivierung eines Produktionstestmodus für eine sicherheitsrelevante elektronische Schaltung oder für mindestens eine sicherheitsrelevante elektronische Schaltung von mehreren sicherheitsrelevanten Schaltungen, die eine Sicherheitsvorrichtung ist, und bei dem geprüft werden soll, ob eine erste Teilvorrichtung bestimmungsgemäß in einen unsicheren Zustand gebracht werden kann. Damit dies möglich ist, muss die sicherheitsrelevante elektronische Schaltung so konstruiert sein, dass die Sicherheitsfunktion dieser ersten Teilvorrichtung durch mindestens eine zweite Teilvorrichtung nochmals abgesichert ist und vorzugsweise durch eine dritte Teilvorrichtung nochmals abgesichert ist. Im Falle der besagten Airbag Schaltung der 1 kann beispielsweise die Steuerleitung für den ersten Transistor T1 als erste Teilvorrichtung daraufhin geprüft werden, ob sie aktiviert werden kann. Da für ein Zünden der Zündpille alle drei Transistoren (T1, T2, T3) durchgeschaltet werden müssen, sichern der zweite Transistor T2 und der dritte Transistor T3 die Zündpille SQ für diesen Fall immer noch doppelt dadurch ab, dass sie während der Prüfung inaktiv, also hochohmig sind.
  • Der erste Schritt ist wieder das Erfüllen einer ersten Vorbedingung zur Aktivierung des Produktionstestmodus. Die erste Teilvorrichtung wird nun im Gegensatz zum vorbeschriebenen Fall jedoch nicht in den sicheren Zustand zwangsweise überführt, da dies ja für den Produktionstest in diesem Produktionstestmodus explizit möglich sein muss und geprüft werden soll.
  • Daher folgt als zweiter Schritt das Überführen der zweiten Teilvorrichtung in einen sicheren Zustand, der nicht durch den Produktionstest bis zum Ende des Produktionstests verlassen werden kann.
  • Als dritter Schritt folgt das Überführen der dritten Teilvorrichtung in einen sicheren Zustand, der nicht durch den Produktionstest bis zum Ende des Produktionstests verlassen werden kann.
  • Als vierter Schritt erfolgt wieder das Erfüllen einer zweiten Vorbedingung zur Aktivierung des Produktionstestmodus.
  • Der zweite, dritte und vierte Schritt können in beliebiger zeitlicher Reihenfolge nach dem ersten Schritt durchgeführt werden.
  • Als fünfter Schritt erfolgt die Überprüfung darauf, ob der sichere Zustand durch die zweite Teilvorrichtung eingenommen wurde. Als sechster Schritt erfolgt die Überprüfung darauf, ob der sichere Zustand durch die dritte Teilvorrichtung eingenommen wurde. Der fünfte Schritt folgt zeitlich nach dem zweiten Schritt. Der sechste Schritt folgt zeitlich nach dem dritten Schritt.
  • Der finale Schritt der Aktivierung des Produktionstestmodus erfolgt nach allen anderen Schritten nun jedoch nur, wenn die erste und zweite Vorbedingung zur Aktivierung des Produktionstestmodus erfüllt sind und wenn die Überführungen der ersten, zweiten und dritten Teilvorrichtungen in ihre jeweiligen sicheren Zustände als Schritt ausgeführt wurden und die ersten, zweiten und dritten Teilvorrichtungen sich tatsächlich in ihren jeweiligen sicheren Zuständen befinden.
  • Dieses Verfahren sieht im Falle einer Airbag-Steuerung nun so aus:
    • Es handelt sich bei dem vorgeschlagenen Verfahren dann um ein Verfahren zur Aktivierung eines Produktionstestmodus für eine integrierte sicherheitsrelevante elektronische Schaltung IC zur Steuerung eines Fahrzeuginsassenrückhaltesystems mit einer Zündpille SQ oder für mindestens eine integrierte sicherheitsrelevante elektronische Schaltung IC von mehreren integrierten sicherheitsrelevanten Schaltungen zur Steuerung eines Fahrzeuginsassenrückhaltesystems mit einer Zündpille SQ.
  • Die integrierte Schaltung IC umfasst dabei eine erste Steuerleitung, die dazu vorgesehen ist, einen ersten Steueranschluss G1 eines ersten Transistors T1 anzusteuern. Die erste Steuerleitung kann aktiv oder inaktiv sein. Die integrierte Schaltung IC umfasst dabei eine zweite Steuerleitung, die dazu vorgesehen ist, einen zweiten Steueranschluss G2 eines zweiten Transistors T2 anzusteuern. Die zweite Steuerleitung kann aktiv oder inaktiv sein. Die integrierte Schaltung IC umfasst eine dritte Steuerleitung, die dazu vorgesehen ist, einen dritten Steueranschluss G3 eines ersten Transistors T3 anzusteuern. Die dritte Steuerleitung kann aktiv oder inaktiv sein. Die integrierte Schaltung ist typischerweise dazu vorgesehen, dass der erste Transistor T1 und der zweite Transistor T2 und der dritte Transistor T3 in Serie mit der Zündpille SQ geschaltet sind. Die Zündung der Zündpille SQ hat im Normalbetrieb zumindest zur Voraussetzung, dass die erste Steuerleitung aktiv ist und die zweite Steuerleitung aktiv ist und die dritte Steuerleitung aktiv ist.
  • Der erste Schritt des vorgeschlagenen Verfahrens besteht wieder in der Erfüllung einer ersten Vorbedingung zur Aktivierung des Produktionstestmodus.
  • In einem zweiten Schritt erfolgen die Deaktivierung der ersten Steuerleitung des ersten Steueranschlusses G1 des ersten Transistors T1 und die Verriegelung einer Aktivierung der ersten Steuerleitung zumindest bis zum Ende der Aktivierung des Produktionstestmodus.
  • In einem dritten Schritt erfolgen die Deaktivierung der zweiten Steuerleitung des zweiten Steueranschlusses G2 des zweiten Transistors T2 und die Verriegelung einer Aktivierung der zweiten Steuerleitung zumindest bis zum Ende der Aktivierung des Produktionstestmodus.
  • In einem vierten Schritt erfolgen die Deaktivierung der dritten Steuerleitung des dritten Steueranschlusses G3 des dritten Transistors T3 und die Verriegelung einer Aktivierung der dritten Steuerleitung zumindest bis zum Ende der Aktivierung des Produktionstestmodus.
  • Der erste Schritt geht in der Regel dem zweiten, dritten und vierten Schritt voraus. Der zweite, dritte und vierte Schritt sind voneinander unabhängig und werden vorzugsweise parallel ausgeführt. Andere Reihenfolgen des zweiten, dritten und vierten Schritts sind möglich.
  • Typischerweise folgt zeitlich nach dem Ausführen der vorangehenden vier Schritte das Erfüllen einer zweiten Vorbedingung zur Aktivierung des Produktionstestmodus als fünfter Schritt.
  • Als letzter Schritt zeitlich nach allen vorausgehenden fünf Schritten erfolgt das Aktivieren des Produktionstestmodus, aber nur dann, wenn alle Schritte zu Deaktivierung aller drei Steuerleitungen durchgeführt wurden und wenn die erste Vorbedingung und die zweite Vorbedingung erfüllt sind.
  • In einer Variante des Verfahrens erfolgt nach dem Schritt der Erfüllung einer ersten Vorbedingung zur Aktivierung des Produktionstestmodus der zusätzliche Schritt des Bereitstellens einer Information über einen fehlerhaften Zustand durch die integrierte Schaltung IC.
  • In einer weiteren Variante des Verfahrens erfolgt nach jedem Schritt der Deaktivierung einer der Steuerleitungen der Steueranschlüsse (G1, G2, G3) der Transistoren (T1, T2, T3) für die betroffene Steuerleitung jeweils die Überprüfung, ob die betreffende Steuerleitung auch wirklich deaktiviert ist. Dies kann beispielsweise durch Auswertung des Potenzials der betreffenden Steuerleitung erfolgen. In dem obigen Beispiel sind drei Steuerleitungen für die drei Transistoren vorgesehen. Es sollten also vorzugsweise drei Überprüfungen auf Deaktivierung vorgesehen werden: Für jede Steuerleitung eine.
  • Diese Überprüfungen erfolgen vorzugsweise immer nach den Deaktivierungen der jeweiligen Steuerleitung aber untereinander in beliebiger Reihenfolge.
  • Währenddessen oder danach, aber nach dem Erfüllen der ersten Vorbedingung erfolgt das Erfüllen einer zweiten Vorbedingung zur Aktivierung des Produktionstestmodus.
  • Der letzte Schritt der Aktivierung des Produktionstestmodus erfolgt nach allen Schritten nur dann, wenn alle drei Steuerleitungen deaktiviert wurden und wenn alle drei Steuerleitungen auch tatsächlich deaktiviert sind und wenn die erste Vorbedingung und die zweite Vorbedingung erfüllt sind.
  • Soll nun die erste Steuerleitung im Rahmen des Produktionstests der sicherheitsrelevanten integrierten Schaltung IC geprüft werden können, so entfällt die Deaktivierung der ersten Steuerleitung und damit auch deren Überprüfung. Der letzte Schritt der Aktivierung des Produktionstestmodus folgt in diesem Fall, wenn schon die zweite und dritte Steuerleitung deaktiviert wurden und wenn nur die zweite und dritte Steuerleitung deaktiviert sind und wenn die erste Vorbedingung erfüllt ist und die zweite Vorbedingung erfüllt ist. Hinzu kommt aber als Ausführungsbedingung für die Aktivierung, dass der gewählte Produktionstestmodus diese mögliche Aktivierung der ersten Steuerleitung erfordert. Wenn aufgrund der ersten Vorbedingung zur Aktivierung des Produktionstestmodus ermittelt werden kann, dass der Produktionstestmodus es erfordert, dass die erste Steuerleitung nicht zwangsweise bis zum Ende der Aktivierung des Produktionstestmodus deaktiviert wird, so kann die Aktivierung erfolgen. Insofern umfasst dieses modifizierte Verfahren auch die Ermittlung dieser Notwendigkeit für diesen Produktionstestmodus. Dieser Schritt wird bevorzugt mit der Erfüllung der ersten Vorbedingung oder unmittelbar danach ausgeführt.
  • Soll nun die zweite Steuerleitung im Rahmen des Produktionstests der sicherheitsrelevanten integrierten Schaltung IC geprüft werden können, so entfällt die Deaktivierung der zweiten Steuerleitung und damit auch deren Überprüfung. Die übrigen Schritte werden gegenüber dem Basisverfahren in analoger Weise modifiziert.
  • Soll nun die dritte Steuerleitung im Rahmen des Produktionstests der sicherheitsrelevanten integrierten Schaltung IC geprüft werden können, so entfällt die Deaktivierung der dritten Steuerleitung und damit auch deren Überprüfung. Die übrigen Schritte werden gegenüber dem Basisverfahren in analoger Weise modifiziert.
  • Die Figur 2 zeigt eine Ausführung der Testmode Aktivierungsleitung (TM). Die Vorrichtungsteile der
  • 2 sind bevorzugt Teil der Steuerung (ST). In dem Beispiel der 2 wird über einen ersten Datenbus (DB1), der analog, digital, seriell oder sonst wie zu Signalisierungen geeignet sein muss, an eine erste Schnittstelle (IF1) des integrierten Schaltkreises (IC) für die Einnahme eines gewünschten Testzustands des integrierten Schaltkreises (IC) eine erste Botschaft zur Erfüllung der ersten Vorbedingung zur Aktivierung des Produktionstestmodus signalisiert. Des Weiteren wird über einen zweiten Datenbus (DB2), der ebenfalls analog, digital, seriell oder sonst wie zu Signalisierungen geeignet sein muss, an eine zweite Schnittstelle (IF2) integrierten Schaltkreises (IC) für die Einnahme eines gewünschten Testzustands des integrierten Schaltkreises (IC) eine zweite Botschaft zur Erfüllung der zweiten Vorbedingung zur Aktivierung des Produktionstestmodus signalisiert. Empfängt die erste Schnittstelle (IF1) die besagte erste Botschaft zur Erfüllung der ersten Vorbedingung zur Aktivierung des Produktionstestmodus über den ersten Datenbus (DB1) so aktiviert sie ein erstes Testanforderungssignal (TRQ1). Empfängt in dem Beispiel der 2 die zweite Schnittstelle (IF2) die besagte zweite Botschaft zur Erfüllung der zweiten Vorbedingung zur Aktivierung des Produktionstestmodus über den zweiten Datenbus (DB2) so aktiviert sie ein zweites Testanforderungssignal (TRQ2). Nach dem Rücksetzen des integrierten Schaltkreises (IC) durch Einschalten oder aus anderen Gründen und im Normalbetrieb sind bevorzugt das erste Testanforderungssignal (TRQ1) und das zweite Testanforderungssignal (TRQ2) nicht aktiv. Sind sowohl das erste Testanforderungssignal (TRQ1) und gleichzeitig das zweite Testanforderungssignal (TRQ2) aktiv, so erfolgt die angeforderte Aktivierung des Produktionstestmodus über ein Testmodussignal (tstm). Ist nur eines der beiden Testanforderungssignal (TRQ1, TRQ2) aktiv und das andere Testanforderungssignal (TRQ1, TRQ2) nicht aktiv, so wird für die integrierte Schaltung (IC) die Einnahme eines sicheren Zustands in diesem Beispiel über ein Blockiersignal (blk) erzwungen. Natürlich ist es denkbar, mehr als zwei Vorbedingungen zu verwenden. Sind beide Testanforderungssignale (TRQ1, TRQ2) aktiv, so kann das Blockiersignal (blk) nicht aktiv gesetzt werden, um den Test sicherheitsrelevanter nicht sicherer, spezifikationskonformer Zustände zu erlauben. Sind beide Testanforderungssignale (TRQ1, TRQ2) nicht aktiv, so kann das Blockiersignal (blk) ebenfalls nicht aktiv gesetzt werden, um den Test sicherheitsrelevanter nicht sicherer, spezifikationskonformer Zustände zu erlauben.
  • Vorteil der Erfindung
  • Der Vorteil liegt in der sicheren Verriegelung einer sicherheitsrelevanten Funktion (z.B. Sperrung eines Airbag-Zündkreises) für den Fall einer potentiell unbeabsichtigt auftretenden ersten Eintrittsbedingung für einen Produktionstestmodus. Ein einfaches Beispiel für einen solchen Fehlerfall wäre z.B. ein fehlerhafter Softwarezugriff auf ein Prozessorregister, das eigentlich zur Initiierung des Produktionstestmodus vorgesehen ist, während des normalen Betriebs.
  • Im Produktionstest werden üblicherweise alle Funktionen einer integrierten Schaltung IC verändert bzw. gesteuert. Dies birgt das Potential, Sicherheitsziele unkontrolliert zu verletzen. Auch bei mehrfacher Verriegelung können hier latente Fehler vorliegen, die durch unmittelbare Blockierung kritischer Zustände sowie eine Anzeigemöglichkeit vermieden werden.
  • Figurenliste
    • 1 zeigt das Ausführungsbeispiel einer einstufigen Airbag-Zündstufe.
    • 2 zeigt eine Ausführung der Testmode Aktivierungsleitung (TM).
  • Bezugszeichenliste
    • α
    erster Anschluss der Zündpille SQ;
    β
    zweiter Anschluss der Zündpille SQ;
    ε
    Anschluss der integrierten Schaltung für den ersten Transistor T1;
    AS
    Airbag-Zündsystem (Es kann sich auch um ein anderes Zündsystem, beispielsweise für ein Fußgängeraufprallschutzsystem handeln);
    blk
    Blockiersignal. Das Blockiersignal (blk) zwingt die bevorzugt die integrierte Schaltung (IC) zur Einnahme eines sicheren Zustands. Beispielsweise wird bevorzugt der erste Transistor, der Sicherheitsschalttransistor (T1) gesperrt wenn das Blockiersignal aktiv ist. Andere Maßnahmen wie die Sperrung der anderen Transistoren (T2, T3) sind für den Fall eines aktiven Blockiersignals denkbar. Sind beide Testanforderungssignale (TRQ1, TRQ2) aktiv, so kann das Blockiersignal nicht aktiv gesetzt werden, um den Test sicherheitsrelevanter nicht sicherer, spezifikationskonformer Zustände zu erlauben. Sind beide Testanforderungssignale (TRQ1, TRQ2) nicht aktiv, so kann das Blockiersignal (blk) ebenfalls nicht aktiv gesetzt werden, um den Test sicherheitsrelevanter nicht sicherer, spezifikationskonformer Zustände zu erlauben.
    CE
    Kondensator der Energiereserve;
    D1
    Verpolschutzdiode;
    DB1
    erster Datenbus. Es kann sich beispielsweise auch um ein Signal mit einem festen Pegel handeln, der im Falle eines Produktionstest auf einen vorbestimmten Spannungs- oder Strompegel gelegt wird;
    DB2
    zweiter Datenbus. Es kann sich beispielsweise auch um ein Signal mit einem festen Pegel handeln, der im Falle eines Produktionstest auf einen vorbestimmten Spannungs- oder Strompegel gelegt wird;
    IF1
    erste Schnittstelle. Es kann sich um eine serielle oder parallele Schnittstelle oder um einen sonstigen Anschluss des integrierten Schaltkreises (IC) handeln.
    IF2
    zweite Schnittstelle. Es kann sich um eine serielle oder parallele Schnittstelle oder um einen sonstigen Anschluss des integrierten Schaltkreises (IC) handeln.
    G1
    erster Steueranschluss des ersten Transistors T1;
    G2
    zweiter Steueranschluss des zweiten Transistors T2;
    G3
    dritter Steueranschluss des dritten Transistors T3;
    GND
    Bezugspotenzial;
    IC
    integrierte Schaltung;
    ST
    Steuerung;
    SQ
    Zündpille, die den Airbag entfaltet, wenn sie mit einem vorbestimmten elektrischen Strom durchströmt wird;
    T1
    erster Transistor (Sicherheitsschalttransistor);
    T2
    zweiter Transistor (High-Side-Schalter);
    T3
    dritter Transistor (Low-Side-Schalter);
    TM
    Testmode-Aktivierungsleitung. Diese sollte nur aktiv werden können, wenn zwei Vorbedingungen zur Aktivierung eines Produktionstestmodus vorliegen. Besonders vorteilhaft ist es, wenn diese Testmode-Aktivierungsleitung aus bevorzugt zwei Leitungen besteht, die in unterschiedlicher Weise über die sicherheitsrelevante integrierte Schaltung IC geführt werden und die beide aktiv werden müssen. Durch diese Redundanz kann die Sicherheit weiter erhöht werden;
    TRQ1
    erstes Testanforderungssignal. Empfängt beispielsweise die erste Schnittstelle (IF1) eine erste Botschaft zur Erfüllung der ersten Vorbedingung zur Aktivierung des Produktionstestmodus über den ersten Datenbus (DB1) so aktiviert sie bevorzugt das erste Testanforderungssignal. Nach dem Rücksetzen des integrierten Schaltkreises (IC) durch Einschalten oder aus anderen Gründen und im Normalbetrieb ist bevorzugt das erste Testanforderungssignal nicht aktiv.
    TRQ2
    zweites Testanforderungssignal. Empfängt beispielsweise die zweite Schnittstelle (IF2) eine zweite Botschaft zur Erfüllung der zweiten Vorbedingung zur Aktivierung des Produktionstestmodus über den zweiten Datenbus (DB2) so aktiviert sie bevorzugt das zweite Testanforderungssignal. Nach dem Rücksetzen des integrierten Schaltkreises (IC) durch Einschalten oder aus anderen Gründen und im Normalbetrieb ist bevorzugt das zweite Testanforderungssignal nicht aktiv.
    tstm
    Testmodussignal. Das Testmodussignal ist bevorzugt im normalen Betrieb nicht aktiv. Sind owohl das erste Testanforderungssignal (TRQ1) und gleichzeitig das zweite Testanforderungssignal (TRQ2) aktiv, so erfolgt die angeforderte Aktivierung des Produktionstestmodus über die Aktivierung des Testmodussignals.
    VCC
    Versorgungsspannung.

Claims (6)

  1. Verfahren zur Aktivierung eines Produktionstestmodus für eine integrierte sicherheitsrelevante elektronische Schaltung (IC) zur Steuerung eines Fahrzeuginsassenrückhaltesystems mit einer Zündpille (SQ) oder für mindestens eine integrierte sicherheitsrelevante elektronische Schaltung (IC) von mehreren integrierten sicherheitsrelevanten Schaltungen zur Steuerung eines Fahrzeuginsassenrückhaltesystems mit einer Zündpille (SQ), - wobei die integrierte Schaltung (IC) eine erste Steuerleitung umfasst, die dazu vorgesehen ist, einen ersten Steueranschluss (G1) eines ersten Transistors (T1) anzusteuern und - wobei die erste Steuerleitung aktiv oder inaktiv sein kann und - wobei die integrierte Schaltung (IC) eine zweite Steuerleitung umfasst, die dazu vorgesehen ist, einen zweiten Steueranschluss (G2) eines zweiten Transistors (T2) anzusteuern und - wobei die zweite Steuerleitung aktiv oder inaktiv sein kann und - wobei die integrierte Schaltung (IC) eine dritte Steuerleitung umfasst, die dazu vorgesehen ist, einen dritten Steueranschluss (G3) eines dritten Transistors (T3) anzusteuern und - wobei die dritte Steuerleitung aktiv oder inaktiv sein kann und - wobei die integrierte Schaltung dazu vorgesehen ist, dass der erste Transistor (T1) und der zweite Transistor (T2) und der dritte Transistor (T3) in Serie mit der Zündpille (SQ) geschaltet sind und - wobei die Zündung der Zündpille (SQ) im Normalbetrieb zumindest zur Voraussetzung hat, dass die erste Steuerleitung aktiv ist und die zweite Steuerleitung aktiv ist und die dritte Steuerleitung aktiv ist umfassend die Schritte - Erfüllen einer ersten Vorbedingung zur Aktivierung des Produktionstestmodus durch Übermitteln einer ersten Botschaft über eine erste Schnittstelle (IF1); - Deaktivieren der ersten Steuerleitung des ersten Steueranschlusses (G1) des ersten Transistors (T1) und Verriegelung einer Aktivierung der ersten Steuerleitung zumindest bis zum Ende der Aktivierung des Produktionstestmodus; - Deaktivieren der zweiten Steuerleitung des zweiten Steueranschlusses (G2) des zweiten Transistors (T2) und Verriegelung einer Aktivierung der zweiten Steuerleitung zumindest bis zum Ende der Aktivierung des Produktionstestmodus; - Deaktivieren der dritten Steuerleitung des dritten Steueranschlusses (G3) des dritten Transistors (T3) und Verriegelung einer Aktivierung der dritten Steuerleitung zumindest bis zum Ende der Aktivierung des Produktionstestmodus; - Erfüllen einer zweiten Vorbedingung zur Aktivierung des Produktionstestmodus durch Übermitteln einer zweiten Botschaft über eine zweite Schnittstelle (IF2), die von der ersten Schnittstelle (IF1) verschieden ist; - Aktivieren des Produktionstestmodus, wenn alle drei Steuerleitungen deaktiviert wurden und wenn die erste Vorbedingung erfüllt ist und die zweite Vorbedingung erfüllt ist.
  2. Verfahren nach Anspruch 1, - umfassend die Schritte - Bereitstellen einer Information über einen fehlerhaften Zustand durch die integrierte Schaltung (IC).
  3. Verfahren nach Anspruch 1, umfassend die Schritte - Überprüfen ob die erste Steuerleitung deaktiviert ist; - Überprüfen ob die zweite Steuerleitung deaktiviert ist; - Überprüfen ob die dritte Steuerleitung deaktiviert ist; - In Abänderung des Aktivierens des Produktionstestmodus gemäß des Anspruchs 1 nun ein Aktivieren des Produktionstestmodus, wenn alle drei Steuerleitungen deaktiviert wurden und wenn alle drei Steuerleitungen deaktiviert sind und wenn die erste Vorbedingung erfüllt ist und die zweite Vorbedingung erfüllt ist.
  4. Verfahren zur Aktivierung eines Produktionstestmodus für eine integrierte sicherheitsrelevante elektronische Schaltung (IC) zur Steuerung eines Fahrzeuginsassenrückhaltesystems mit einer Zündpille (SQ) oder für mindestens eine integrierte sicherheitsrelevante elektronische Schaltung (IC) von mehreren integrierten sicherheitsrelevanten Schaltungen zur Steuerung eines Fahrzeuginsassenrückhaltesystems mit einer Zündpille (SQ), - wobei die integrierte Schaltung (IC) eine erste Steuerleitung umfasst, die dazu vorgesehen ist, einen ersten Steueranschluss (G1) eines ersten Transistors (T1) anzusteuern und - wobei die erste Steuerleitung aktiv oder inaktiv sein kann und - wobei die integrierte Schaltung (IC) eine zweite Steuerleitung umfasst, die dazu vorgesehen ist, einen zweiten Steueranschluss (G2) eines zweiten Transistors (T2) anzusteuern und - wobei die zweite Steuerleitung aktiv oder inaktiv sein kann und - wobei die integrierte Schaltung (IC) eine dritte Steuerleitung umfasst, die dazu vorgesehen ist, einen dritten Steueranschluss (G3) eines dritten Transistors (T3) anzusteuern und - wobei die dritte Steuerleitung aktiv oder inaktiv sein kann und - wobei die integrierte Schaltung dazu vorgesehen ist, dass der erste Transistor (T1) und der zweite Transistor (T2) und der dritte Transistor (T3) in Serie mit der Zündpille (SQ) geschaltet sind und - wobei die Zündung der Zündpille (SQ) im Normalbetrieb zumindest zur Voraussetzung hat, dass die erste Steuerleitung aktiv ist und die zweite Steuerleitung aktiv ist und die dritte Steuerleitung aktiv ist - wobei eine Prüfung der ersten Steuerleitung im Produktionstestmodus der integrierten sicherheitsrelevanten elektronischen Schaltung (IC) möglich sein soll umfassend die Schritte - Erfüllen einer ersten Vorbedingung zur Aktivierung des Produktionstestmodus durch Übermitteln einer ersten Botschaft über eine erste Schnittstelle (IF1); - Ermitteln, dass der Produktionstestmodus aufgrund der ersten Vorbedingung zur Aktivierung des Produktionstestmodus es erfordert, dass die erste Steuerleitung NICHT zwangsweise bis zum Ende der Aktivierung des Produktionstestmodus deaktiviert wird; - Deaktivieren der zweiten Steuerleitung des zweiten Steueranschlusses (G2) des zweiten Transistors (T2) und Verriegelung einer Aktivierung der zweiten Steuerleitung zumindest bis zum Ende der Aktivierung des Produktionstestmodus; - Überprüfen ob die zweite Steuerleitung deaktiviert ist; - Deaktivieren der dritten Steuerleitung des dritten Steueranschlusses (G3) des dritten Transistors (T3) und Verriegelung einer Aktivierung der dritten Steuerleitung zumindest bis zum Ende der Aktivierung des Produktionstestmodus; - Überprüfen ob die dritte Steuerleitung deaktiviert ist; - Erfüllen einer zweiten Vorbedingung zur Aktivierung des Produktionstestmodus durch Übermitteln einer zweiten Botschaft über eine zweite Schnittstelle (IF2), die von der ersten Schnittstelle (IF1) verschieden ist; - Aktivieren des Produktionstestmodus, wenn die zweite und dritte Steuerleitung deaktiviert wurden und wenn die zweite und dritte Steuerleitung deaktiviert sind und wenn die erste Vorbedingung erfüllt ist und die zweite Vorbedingung erfüllt ist und wenn aufgrund der ersten Vorbedingung zur Aktivierung des Produktionstestmodus ermittelt wird, dass der Produktionstestmodus es erfordert, dass die erste Steuerleitung nicht zwangsweise bis zum Ende der Aktivierung des Produktionstestmodus deaktiviert wird.
  5. Verfahren zur Aktivierung eines Produktionstestmodus für eine integrierte sicherheitsrelevante elektronische Schaltung (IC) zur Steuerung eines Fahrzeuginsassenrückhaltesystems mit einer Zündpille (SQ) oder für mindestens eine integrierte sicherheitsrelevante elektronische Schaltung (IC) von mehreren integrierten sicherheitsrelevanten Schaltungen zur Steuerung eines Fahrzeuginsassenrückhaltesystems mit einer Zündpille (SQ), - wobei die integrierte Schaltung (IC) eine erste Steuerleitung umfasst, die dazu vorgesehen ist, einen ersten Steueranschluss (G1) eines ersten Transistors (T1) anzusteuern und - wobei die erste Steuerleitung aktiv oder inaktiv sein kann und - wobei die integrierte Schaltung (IC) eine zweite Steuerleitung umfasst, die dazu vorgesehen ist, einen zweiten Steueranschluss (G2) eines zweiten Transistors (T2) anzusteuern und - wobei die zweite Steuerleitung aktiv oder inaktiv sein kann und - wobei die integrierte Schaltung (IC) eine dritte Steuerleitung umfasst, die dazu vorgesehen ist, einen dritten Steueranschluss (G3) eines dritten Transistors (T3) anzusteuern und - wobei die dritte Steuerleitung aktiv oder inaktiv sein kann und - wobei die integrierte Schaltung dazu vorgesehen ist, dass der erste Transistor (T1) und der zweite Transistor (T2) und der dritte Transistor (T3) in Serie mit der Zündpille (SQ) geschaltet sind und - wobei die Zündung der Zündpille (SQ) im Normalbetrieb zumindest zur Voraussetzung hat, dass die erste Steuerleitung aktiv ist und die zweite Steuerleitung aktiv ist und die dritte Steuerleitung aktiv ist - wobei eine Prüfung der zweiten Steuerleitung im Produktionstestmodus der integrierten sicherheitsrelevanten elektronischen Schaltung (IC) möglich sein soll umfassend die Schritte - Erfüllen einer ersten Vorbedingung zur Aktivierung des Produktionstestmodus durch Übermitteln einer ersten Botschaft über eine erste Schnittstelle (IF1); - Ermitteln, dass der Produktionstestmodus aufgrund der ersten Vorbedingung zur Aktivierung des Produktionstestmodus es erfordert, dass die zweite Steuerleitung NICHT zwangsweise bis zum Ende der Aktivierung des Produktionstestmodus deaktiviert wird; - Deaktivieren der ersten Steuerleitung des ersten Steueranschlusses (G1) des ersten Transistors (T1) und Verriegelung einer Aktivierung der ersten Steuerleitung zumindest bis zum Ende der Aktivierung des Produktionstestmodus; - Überprüfen ob die erste Steuerleitung deaktiviert ist; - Deaktivieren der dritten Steuerleitung des dritten Steueranschlusses (G3) des dritten Transistors (T3) und Verriegelung einer Aktivierung der dritten Steuerleitung zumindest bis zum Ende der Aktivierung des Produktionstestmodus; - Überprüfen ob die dritte Steuerleitung deaktiviert ist; - Erfüllen einer zweiten Vorbedingung zur Aktivierung des Produktionstestmodus durch Übermitteln einer zweiten Botschaft über eine zweite Schnittstelle (IF2), die von der ersten Schnittstelle (IF1) verschieden ist; - Aktivieren des Produktionstestmodus, wenn die erste und dritte Steuerleitung deaktiviert wurden und wenn die erste und dritte Steuerleitung deaktiviert sind und wenn die erste Vorbedingung erfüllt ist und die zweite Vorbedingung erfüllt ist und wenn aufgrund der ersten Vorbedingung zur Aktivierung des Produktionstestmodus ermittelt wird, dass der Produktionstestmodus es erfordert, dass die zweite Steuerleitung nicht zwangsweise bis zum Ende der Aktivierung des Produktionstestmodus deaktiviert wird.
  6. Verfahren zur Aktivierung eines Produktionstestmodus für eine integrierte sicherheitsrelevante elektronische Schaltung (IC) zur Steuerung eines Fahrzeuginsassenrückhaltesystems mit einer Zündpille (SQ) oder für mindestens eine integrierte sicherheitsrelevante elektronische Schaltung (IC) von mehreren integrierten sicherheitsrelevanten Schaltungen zur Steuerung eines Fahrzeuginsassenrückhaltesystems mit einer Zündpille (SQ), - wobei die integrierte Schaltung (IC) eine erste Steuerleitung umfasst, die dazu vorgesehen ist, einen ersten Steueranschluss (G1) eines ersten Transistors (T1) anzusteuern und - wobei die erste Steuerleitung aktiv oder inaktiv sein kann und - wobei die integrierte Schaltung (IC) eine zweite Steuerleitung umfasst, die dazu vorgesehen ist, einen zweiten Steueranschluss (G2) eines zweiten Transistors (T2) anzusteuern und - wobei die zweite Steuerleitung aktiv oder inaktiv sein kann und - wobei die integrierte Schaltung (IC) eine dritte Steuerleitung umfasst, die dazu vorgesehen ist, einen dritten Steueranschluss (G3) eines dritten Transistors (T3) anzusteuern und - wobei die dritte Steuerleitung aktiv oder inaktiv sein kann und - wobei die integrierte Schaltung dazu vorgesehen ist, dass der erste Transistor (T1) und der zweite Transistor (T2) und der dritte Transistor (T3) in Serie mit der Zündpille (SQ) geschaltet sind und - wobei die Zündung der Zündpille (SQ) im Normalbetrieb zumindest zur Voraussetzung hat, dass die erste Steuerleitung aktiv ist und die zweite Steuerleitung aktiv ist und die dritte Steuerleitung aktiv ist - wobei eine Prüfung der dritten Steuerleitung im Produktionstestmodus der integrierten sicherheitsrelevanten elektronischen Schaltung (IC) möglich sein soll umfassend die Schritte - Erfüllen einer ersten Vorbedingung zur Aktivierung des Produktionstestmodus durch Übermitteln einer ersten Botschaft über eine erste Schnittstelle (IF1); - Ermitteln, dass der Produktionstestmodus aufgrund der ersten Vorbedingung zur Aktivierung des Produktionstestmodus es erfordert, dass die dritte Steuerleitung NICHT zwangsweise bis zum Ende der Aktivierung des Produktionstestmodus deaktiviert wird; - Deaktivieren der ersten Steuerleitung des ersten Steueranschlusses (G1) des ersten Transistors (T1) und Verriegelung einer Aktivierung der ersten Steuerleitung zumindest bis zum Ende der Aktivierung des Produktionstestmodus; - Überprüfen ob die erste Steuerleitung deaktiviert ist; - Deaktivieren der zweiten Steuerleitung des zweiten Steueranschlusses (G2) des zweiten Transistors (T2) und Verriegelung einer Aktivierung der zweiten Steuerleitung zumindest bis zum Ende der Aktivierung des Produktionstestmodus; - Überprüfen ob die zweite Steuerleitung deaktiviert ist; - Erfüllen einer zweiten Vorbedingung zur Aktivierung des Produktionstestmodus durch Übermitteln einer zweiten Botschaft über eine zweite Schnittstelle (IF2), die von der ersten Schnittstelle (IF1) verschieden ist; - Aktivieren des Produktionstestmodus, wenn die erste und zweite Steuerleitung deaktiviert wurden und wenn die erste und zweite Steuerleitung deaktiviert sind und wenn die erste Vorbedingung erfüllt ist und die zweite Vorbedingung erfüllt ist und wenn aufgrund der ersten Vorbedingung zur Aktivierung des Produktionstestmodus ermittelt wird, dass der Produktionstestmodus es erfordert, dass die dritte Steuerleitung nicht zwangsweise bis zum Ende der Aktivierung des Produktionstestmodus deaktiviert wird.
DE102018110932.6A 2017-05-12 2018-05-07 Verfahren zur betriebssicheren Aktivierung von Produktionstestmodi in sicherheitsrelevanten elektronischen Schaltungen für ein Fahrzeuginsassenrückhaltesystem Active DE102018110932B4 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102017110421.6 2017-05-12
DE102017110421 2017-05-12

Publications (2)

Publication Number Publication Date
DE102018110932A1 DE102018110932A1 (de) 2018-11-15
DE102018110932B4 true DE102018110932B4 (de) 2023-02-02

Family

ID=63962715

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102018110932.6A Active DE102018110932B4 (de) 2017-05-12 2018-05-07 Verfahren zur betriebssicheren Aktivierung von Produktionstestmodi in sicherheitsrelevanten elektronischen Schaltungen für ein Fahrzeuginsassenrückhaltesystem

Country Status (1)

Country Link
DE (1) DE102018110932B4 (de)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19828432A1 (de) 1998-06-25 2000-01-13 Siemens Ag Vorrichtung zum Auslösen eines Insassenschutzmittels eines Kraftfahrzeugs sowie Verfahren zum Betreiben einer Insassenschutzmittelvorrichtung eines Kraftfahrzeugs
DE10350853A1 (de) 2003-10-31 2005-06-02 Conti Temic Microelectronic Gmbh Schaltungsanordnung zum Überwachen einer Kraftfahrzeug-Sicherheitseinrichtung
DE102005030770A1 (de) 2004-07-27 2006-03-23 Conti Temic Microelectronic Gmbh Schaltungsanordnung und Verfahren zum Steuern einer Sicherheitseinrichtung für ein Fahrzeug
US20140039764A1 (en) 2012-08-02 2014-02-06 Denso Corporation Controller pre-shipment inspection method

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19828432A1 (de) 1998-06-25 2000-01-13 Siemens Ag Vorrichtung zum Auslösen eines Insassenschutzmittels eines Kraftfahrzeugs sowie Verfahren zum Betreiben einer Insassenschutzmittelvorrichtung eines Kraftfahrzeugs
DE10350853A1 (de) 2003-10-31 2005-06-02 Conti Temic Microelectronic Gmbh Schaltungsanordnung zum Überwachen einer Kraftfahrzeug-Sicherheitseinrichtung
DE102005030770A1 (de) 2004-07-27 2006-03-23 Conti Temic Microelectronic Gmbh Schaltungsanordnung und Verfahren zum Steuern einer Sicherheitseinrichtung für ein Fahrzeug
US20140039764A1 (en) 2012-08-02 2014-02-06 Denso Corporation Controller pre-shipment inspection method

Also Published As

Publication number Publication date
DE102018110932A1 (de) 2018-11-15

Similar Documents

Publication Publication Date Title
EP1248714A2 (de) System zum steuern des betriebs von modulen mittels von einem steuergerät über einen datenbus erfolgender informationsübertragung sowie zündgerät und prüfschaltung
DE4424020A1 (de) Prüfverfahren für eine passive Sicherheitseinrichtung in Kraftfahrzeugen
DE102018107449B4 (de) ISO 26262 konformes Verfahren zur Prüfung einer Bewertungsvorrichtung für Sensordaten innerhalb eines sicherheitsrelevanten Gesamtsystems
DE102018107452B4 (de) ISO 26262 konformes Verfahren zur Prüfung einer Bewertungsvorrichtung für Sensordaten innerhalb eines sicherheitsrelevanten Gesamtsystems
EP1817208B1 (de) Integrierter schaltkreis
DE102016112764B4 (de) Schnittstellenmodul für ein bordnetz eines kraftfahrzeugs, stromverteiler sowie bordnetz für ein kraftfahrzeug
DE102018107448A1 (de) ISO 26262 konforme Vorrichtung zur Prüfung einer Bewertungsvorrichtung mit mehreren Bewertungsteilvorrichtungen für Sensordaten innerhalb eines sicherheitsrelevanten Gesamtsystems
EP2797776B1 (de) Verfahren und vorrichtung zur überwachung einer energiereserve und sicherungsvorrichtung für ein fahrzeug
DE102018107446A1 (de) ISO 26262 konforme Vorrichtung zur Prüfung einer Bewertungsvorrichtung mit einer Einspeisevorrichtung und mehreren Bewertungsteilvorrichtungen für Sensordaten innerhalb eines sicherheitsrelevanten Gesamtsystems
DE102018110932B4 (de) Verfahren zur betriebssicheren Aktivierung von Produktionstestmodi in sicherheitsrelevanten elektronischen Schaltungen für ein Fahrzeuginsassenrückhaltesystem
DE102018110937B4 (de) Verfahren zur betriebssicheren vereinfachten Aktivierung von Produktionstestmodi in sicherheitsrelevanten elektronischen Schaltungen für Fußgängeraufprallschutzsysteme
DE102018110934B4 (de) Verfahren zur betriebssicheren vereinfachten Aktivierung von Produktionstestmodi in sicherheitsrelevanten elektronischen Schaltungen für ein Fahrzeuginsassenrückhaltesystem
DE102018110926B4 (de) Verfahren zur betriebssicheren Aktivierung von Produktionstestmodi in sicherheitsrelevanten elektronischen Schaltungen für ein sicherheitsrelevantes System
DE102017110423B4 (de) Verfahren zur betriebssicheren Aktivierung von Produktionstestmodi in sicherheitsrelevanten elektronischen Schaltungen für ein Fußgängeraufprallschutzsystem
EP3914482B1 (de) Verfahren und vorrichtung zur regelung der elektrischen spannung für eine sicherheitsrelevante last
DE10252990B3 (de) Steuereinheit zur Auslösung eines Insassenschutzmittels in einem Kraftfahrzeug und Verfahren zur Überwachung der ordnungsgemäßen Funktion einer vorzugsweise solchen Steuereinheit
DE102013000116B4 (de) Verfahren zur Identifikation von pyrotechnischen Einheiten in einem Kraftfahrzeug
DE10029141A1 (de) Verfahren zur Fehlerüberwachung eines Speicherinhalts mittels Prüfsummen sowie Mikrocontroller mit einem prüfsummengesicherten Speicherbereich
EP1220768B1 (de) Zündeinrichtung für eine pyrotechnische insassenschutzeinrichtung
DE102020126014B4 (de) Verfahren zur Verhinderung der Nichtauslösung von Airbags durch Kurzschlüsse an Zuleitungen anderer Airbags
DE102019101733B4 (de) Vorrichtung zur Absicherung der Überwachung einer Airbag Zündstufe im Betrieb
DE102022000322B3 (de) Elektronisches Steuergerät für eine wärmeerzeugende elektrische Einrichtung eines Fahrzeugs
DE102019101739B4 (de) Vorrichtung mit Überprüfungsfähigkeit einer Airbag Zündstufe im Betrieb
DE102019101735B4 (de) Verfahren zur Überprüfung einer Airbag Zündstufe im Betrieb
DE102005055068A1 (de) Vorrichtung zur Ansteuerung eines Zündelements

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R081 Change of applicant/patentee

Owner name: ELMOS SEMICONDUCTOR SE, DE

Free format text: FORMER OWNER: ELMOS SEMICONDUCTOR AKTIENGESELLSCHAFT, 44227 DORTMUND, DE

R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final