DE102018110937A1

DE102018110937A1 - Method for the reliable simplified activation of production test modes in safety-relevant electronic circuits for pedestrian impact protection systems

Info

Publication number: DE102018110937A1
Application number: DE102018110937.7A
Authority: DE
Inventors: André Sudhaus; Jens-Arne Schürstedt; Tan Subijanto; Fikret Abaza
Original assignee: Elmos Semiconductor SE
Current assignee: Elmos Semiconductor SE
Priority date: 2017-05-12
Filing date: 2018-05-07
Publication date: 2018-11-15
Anticipated expiration: 2038-05-08
Also published as: DE102018110937B4

Abstract

Es wird ein Verfahren zur Aktivierung eines Produktionstestmodus für eine sicherheitsrelevante elektronische Schaltung vorgeschlagen. Bei einer solchen sicherheitsrelevanten Schaltung kann es sich beispielsweise um ein Airbag-Zündsystem oder um ein Zündsystem für eine Fußgängeraufprallschutzvorrichtung handeln. Nach dem Erfüllen einer ersten Vorbedingung zur Aktivierung des Produktionstestmodus erfolgt das Überführen der sicherheitsrelevanten elektronischen Schaltung in einen sicheren Zustand, der nicht durch den Produktionstest verlassen werden kann. Mit dem Erfüllen einer zweiten Vorbedingung zur Aktivierung des Produktionstestmodus erfolgt das Aktivieren des Produktionstestmodus, nur dann, wenn die erste und zweite Vorbedingung zur Aktivierung des Produktionstestmodus erfüllt sind und wenn die Überführung der mindestens einen sicherheitsrelevanten elektronischen Schaltung in den sicheren Zustand durchgeführt wurde. Für den Test der Aktivierbarkeit unsicherer Zustände von Signalen wird mindestens eine Teilvorrichtung in einen sicheren Zustand gebracht, der dazu führt, das ein unsicherer Zustand des zu testenden Signals nicht zu einem unsicheren Zustand des Gesamtsystems führen kann. Vorzugsweise wird mehr als ein Teilsystem in einen solchen Zustand gebracht. Ganz besonders bevorzugt werden alle Teilsysteme bis auf das zu testende Teilsystem in einen solchen sicheren Zustand gebracht.A method for activating a production test mode for a safety-related electronic circuit is proposed. Such a safety-relevant circuit may be, for example, an airbag ignition system or an ignition system for a pedestrian impact protection device. After fulfilling a first precondition for activating the production test mode, the transfer of the safety-related electronic circuit into a safe state, which can not be left by the production test, takes place. With the fulfillment of a second precondition for activating the production test mode, the production test mode is activated only if the first and second prerequisites for activating the production test mode are fulfilled and if the transfer of the at least one safety-related electronic circuit to the safe state has been carried out. For the test of the activability of unsafe states of signals, at least one subdevice is brought to a safe state, which means that an unsafe state of the signal to be tested can not lead to an unsafe state of the overall system. Preferably, more than one subsystem is brought into such a state. Most preferably, all subsystems are brought into such a safe state except for the subsystem to be tested.

Description

Oberbegriffpreamble

Es wird ein Verfahren zur Aktivierung eines Produktionstestmodus für eine sicherheitsrelevante elektronische Schaltung und im Speziellen ein Verfahren zur Aktivierung eines Produktionstestmodus für eine integrierte sicherheitsrelevante elektronische Schaltung (IC) zur Steuerung eines Fahrzeuginsassenrückhaltesystems mit einer Zündpille (SQ) vorgeschlagen.A method of activating a production test mode for a safety-related electronic circuit, and more particularly a method of activating a production test mode for an integrated safety-related electronic circuit ( IC ) for controlling a vehicle occupant restraint system with a squib ( SQ ) proposed.

Allgemeine EinleitungGeneral introduction

Elektronische Systeme und insbesondere integrierte Schaltungen werden in verschiedensten sicherheitsrelevanten Systemen eingesetzt. Relevante beispielhafte Standards, die solche Systeme je nach Anwendung erfüllen müssen, sind beispielsweise (ohne hier den Anspruch auf Vollständigkeit zu erheben):

• IEC 61511: Funktionale Sicherheit - für Sicherheitstechnische Systeme für die Prozessindustrie
• IEC 61513: Kernkraftwerke - für Leittechnik für Systeme mit sicherheitstechnischer Bedeutung - Allgemeine Systemanforderungen
• EN 50128: Bahnanwendungen - für Telekommunikationstechnik, Signaltechnik und Datenverarbeitungssysteme - für sicherheitsrelevante elektronische Systeme für die Signaltechnik
• IEC 62061: Sicherheit von Maschinen - für die funktionale Sicherheit sicherheitsbezogener elektrischer, elektronischer und programmierbarer elektronischer Steuerungssysteme
• ISO 26262: Road Vehicles - Funktionale Sicherheit für Automobile

Electronic systems and in particular integrated circuits are used in a wide variety of safety-relevant systems. Relevant exemplary standards that such systems have to meet, depending on the application, are, for example (without claiming to be complete here):

• IEC 61511: Functional safety - for safety-related systems for the process industry
• IEC 61513: Nuclear power plants - for control systems for safety-related systems - General system requirements
• EN 50128: Railway applications - for telecommunications, signaling and data processing systems - for safety-related electronic signaling systems
• IEC 62061: Safety of machinery - for the functional safety of safety-related electrical, electronic and programmable electronic control systems
• ISO 26262: Road Vehicles - Functional safety for automobiles

Vor der Auslieferung solcher sicherheitsrelevanten elektronischen Systeme und während der Produktion müssen diese Systeme vollständig auf Funktionstüchtigkeit aller Komponenten geprüft werden. Deren Anzahl kann bei integrierten Schaltungen zweistellige Zehnerpotenzen erreichen.Prior to the delivery of such safety-related electronic systems and during production, these systems must be fully tested for proper functioning of all components. Their number can reach in integrated circuits two-digit powers of ten.

Daher werden spezielle Produktionstestmodi (Testzustände der elektronischen Systeme) vorgesehen, um für jede der Komponenten des zu testenden elektronischen Systems diese Komponente schnell und kosteneffizient in alle möglichen relevanten Zustände bringen zu können und die Reaktion dieser Komponente so beobachten zu können, dass eine Gut/Schlecht-Aussage bezüglich jedes zu prüfenden Parameters dieser Komponente möglich ist.Therefore, special production test modes (test states of the electronic systems) are provided in order to be able to quickly and cost-effectively bring this component into all possible relevant states for each of the components of the electronic system to be tested and to observe the response of that component such that a good / bad Statement with respect to each parameter to be tested this component is possible.

In der Regel sind daher diese elektronischen Systeme in diesen Produktionstestmodi nicht spezifikationskonform betreibbar und damit nicht sicher. Durch verschiedenste Einflüsse ist es nun möglich, dass Signale zur Aktivierung der Produktionstestmodi im normalen Betrieb unabsichtlich aktiviert werden. Dies kann im einfachsten Fall beispielsweise durch natürliche Radioaktivität oder einen Ausfall einer Subkomponente des elektronischen Systems geschehen. Ein solches Ereignis darf daher nicht zu einem Sicherheitsrisiko werden.As a rule, therefore, these electronic systems in these production test modes are not compliant with specification and therefore not safe. Through various influences, it is now possible that signals for activating the production test modes are inadvertently activated during normal operation. In the simplest case, this can be done for example by natural radioactivity or a failure of a subcomponent of the electronic system. Therefore, such an event should not become a security risk.

Eine Produktionstest-Implementierung in sicherheitsrelevanten Produkten birgt somit bei unbeabsichtigter Aktivierung eines Produktionstestmodus im sicherheitsrelevanten Normalbetrieb immer das Potential für kritische, sicherheitsrelevante Fehler.A production test implementation in safety-relevant products thus always harbors the potential for critical, safety-relevant errors in the case of unintentional activation of a production test mode in safety-relevant normal operation.

Stand der TechnikState of the art

Im Folgenden wird als elektronisches System ein integrierter Schaltkreis beschrieben. Die vorgeschlagene Methodik lässt sich aber auch auf jedes andere elektronische System anwenden.In the following, an electronic circuit will be described as an integrated circuit. However, the proposed methodology can be applied to any other electronic system.

Es gibt unzählige Methoden, integrierte Schaltungen in einen Produktionstestmodus (Testzustand) zu bringen. Im einfachsten Fall wird ein Anschluss auf einen bestimmten Pegel gezogen, der normalerweise nicht auf diesem Pegel betrieben wird. Auch ist die Aktivierung über bestimmte Speicherstellen von Registern eines Prozessors bekannt, sofern der integrierte Schaltkreis über einen Prozessor verfügt. Besonders geeignet, da standardisiert, ist der Test über eine IEEE- 1149 kompatible JTAG-Testschnittstelle und die Test-Register des zugehörigen JTAG-Test-Controllers.There are countless methods of putting integrated circuits into a production test mode (test state). In the simplest case, a port is pulled to a certain level, which is not normally operated at that level. Also, activation via certain memory locations of registers of a processor is known, as long as the integrated circuit has a processor. Particularly well-suited, as standardized, is the test via an IEEE-1149 compatible JTAG test interface and the test registers of the associated JTAG test controller.

Aus dem Stand der Technik ist die Mehrfachverriegelung von Test-Modi bekannt. Dieser Stand der Technik ist insbesondere in Form von integrierten Schaltungen bekannt, die auf dem Markt frei verfügbar sind. Produktionstestmodi müssen immer erst aktiviert werden. Um die notwendige Sicherheit zu erreichen, reicht eine Mehrfachverriegelung aber manchmal eben nicht aus. Werden die Ausfallraten aufgrund der Schaltkreiskonstruktion berechnet, so ist es in gewissen Fällen, insbesondere bei integrierten Schaltungen zur Steuerung von Fahrzeuginsassenrückhaltesystemen (Airbags) oder zur Steuerung von Fußgängeraufprallschutzsystemen, notwendig die Wahrscheinlichkeit eines fehlerhaften Aktivierens sicherheitsrelevanter Funktionen, wie beispielsweise das Zünden eines Airbags oder eines Fußgängeraufprallschutzsystems während der Fahrt, noch weiter abzusenken, um den Anforderungen der oben beispielhaft genannten Normen gerecht werden zu können. Eine solches fehlerhaftes Aktivieren sicherheitsrelevanter Funktionen kann beispielsweise auch durch das versehentliche Aktivieren eines Produktionstestmodus im bestimmungsgemäßen Normalbetrieb geschehen.From the prior art, the multiple locking of test modes is known. This prior art is particularly known in the form of integrated circuits which are freely available on the market. Production test modes always have to be activated first. In order to achieve the necessary security, however, multiple locking is sometimes not enough. When the failure rates due to the circuit design are calculated, in certain cases, particularly in integrated circuits for controlling vehicle occupant restraint systems (airbags) or for controlling pedestrian impact protection systems, the likelihood of erroneously activating safety-related functions, such as the firing of an airbag or a pedestrian impact protection system, is necessary while driving, to lower even further in order to meet the requirements of the standards exemplified above. Such erroneous activation of safety-related functions can also be done, for example, by the accidental activation of a production test mode in normal operation.

Als relevante Patentliteratur kann hier beispielsweise die US 2014 / 0 039 764 A1 benannt werden, die eine Vorinspektionsmethode zur Inspektion eines Air-Bag-Controllers vor der Verschiffung offenlegt. Des Weiteren ist die deutsche Patentanmeldung DE 10 2005 030 770 A1 von besonderer Bedeutung, die ein Verfahren zum Steuern einer Sicherheitseinrichtung im Fahrzeug angibt. Außerdem soll hier die DE 198 28 432 A1 angegeben werden, die die Verwendung eines Sicherheitsschalters in Airbags an sich als eine besonders frühe Offenlegung dieses Schutzmechanismus beschreibt. Ebenso sei an dieser Stelle die DE 103 50 853 A1 als relevanter Stand der Technik benannt. Die DE 103 50 853 A1 offenbart die Entriegelung eines Aktors in Abhängigkeit von verschiedenen Steuer und Freigabesignalen. As relevant patent literature can here, for example, the US 2014/0 039 764 A1 designating a pre-inspection method to inspect an air bag controller prior to shipment. Furthermore, the German patent application DE 10 2005 030 770 A1 Of particular importance, which indicates a method for controlling a safety device in the vehicle. In addition, here is the DE 198 28 432 A1 which describes the use of a safety switch in airbags per se as a particularly early disclosure of this protective mechanism. Likewise at this point is the DE 103 50 853 A1 named as relevant state of the art. The DE 103 50 853 A1 discloses unlocking an actuator in response to various control and enable signals.

Allen diesen Schriften ist gemeinsam, dass sie beschreiben, wie beispielsweise durch gegenseitige Verriegelung und/oder Sicherheitsschalter sichergestellt wird, dass es nicht zu einem versehentlichen Auslösen eines Air-Bags kommt. In der Qualitätstechnik ist jedoch eine solche Verhinderung als Eindämmungsmaßnahme für ein bereits entstandenes Problem vor dessen Ausprägung zum Fehler bekannt. Die Vorliegende Offenlegung soll jedoch nicht, wie die zuvor genannten Offenlegungen, einen sicheren Test ermöglichen, sondern verhindern, dass überhaupt ein Testzustand versehentlich eingenommen werden kann. Es geht also in der folgenden Beschreibung ausdrücklich nicht um das sichere Testen einer sicherheitsrelevanten integrierten Schaltung, sondern um die sichere Einnahme eines sicheren Testzustands in dem dann ein solche Test erfolgen kann. Dieses Problem äußert sich bei Berechnungen im Rahmen der funktionalen Sicherheit so, dass der Aufwand zur Absenkung der Eintrittswahrscheinlichkeit eines fehlerhaften Aktivierens sicherheitsrelevanter Funktionen durch eine versehentliche Aktivierung von Produktionstestmodi durch diese Vorgehensweise signifikant abgesenkt wird.All these writings have in common that they describe how, for example, by mutual locking and / or safety switch is ensured that there is no accidental triggering of an air bag. In quality engineering, however, such prevention is known as a containment measure for a problem that has already arisen before its manifestation as an error. However, the present disclosure is not intended, as the disclosures referred to above, to allow a safe test but to prevent inadvertent ingestion of a test condition. In the following description, therefore, it is expressly not about the safe testing of a safety-relevant integrated circuit, but about the safe assumption of a safe test state in which such a test can take place. This problem manifests itself in calculations in the context of functional safety so that the effort to reduce the probability of an erroneous activation of safety-relevant functions by an inadvertent activation of production test modes is significantly reduced by this approach.

Aufgabe der ErfindungObject of the invention

Der Erfindung liegt daher die Aufgabe zugrunde, eine Lösung zu schaffen die die Wahrscheinlichkeit eines fehlerhaften Aktivierens sicherheitsrelevanter Funktionen durch eine versehentliche Aktivierung von Produktionstestmodi weiter absenkt.The invention is therefore based on the object to provide a solution that further reduces the likelihood of erroneously activating safety-related functions by accidental activation of production test modes.

Diese Aufgabe wird durch ein Verfahren nach Anspruch 1 gelöst.This object is achieved by a method according to claim 1.

Lösung der erfindungsgemäßen AufgabeSolution of the problem of the invention

Der Ansatzpunkt für die beabsichtigte Wahrscheinlichkeitsabsenkung ist, die Erkennung und die Signalisierung eines potentiellen, mutmaßlich unbeabsichtigten Zugriffes auf Produktionstestfunktionen zu erhöhen und gleichzeitig die Wahrscheinlichkeit für das Erlangungen eines vordefinierten sicheren Zustandes für diesen Fall zu erhöhen.The starting point for the intended likelihood reduction is to increase the detection and signaling of potential, presumed inadvertent access to production test functions while increasing the likelihood of obtaining a predefined safe state in this case.

Die Grundidee des vorgeschlagenen Verfahrens besteht somit darin, sowohl mindestens zwei Eintrittsbedingungen für den Produktionstest vorzugeben, aber auch die Konstruktion des Systems so zu gestalten, dass bereits bei Erfüllung der ersten Eintrittsbedingungen für den Produktionstest ein sicherer Funktionszustand zwingend eingenommen wird.The basic idea of the proposed method is therefore to specify at least two entry conditions for the production test, but also to design the construction of the system such that a reliable functional state is already mandatory when the first entry conditions for the production test are met.

Dieses Verfahren wird am Beispiel eines schematisch vereinfachten Airbag-Zündsystems, wie sie aus dem Stand der Technik bekannt ist, unter Zuhilfenahme von 1 erläutert. Solche Zündschaltungen werden auch in Fußgängeraufprallschutzsystemen eingesetzt.This method is based on the example of a schematically simplified airbag ignition system, as known from the prior art, with the aid of 1 explained. Such ignition circuits are also used in pedestrian impact protection systems.

Das beispielhafte Airbag-Zündsystem AS wird aus dem Betriebsstromnetz des Fahrzeugs mit der Versorgungsspannung VCC im Normalbetrieb versorgt. Dabei wird eine Energiereserve in Form eines Kondensators CE geladen und betriebsbereit gehalten. Diese dient im Falle der Störung der Versorgungsspannung VCC durch die Folgen eines Unfalls des Fahrzeugs zur Aufrechterhaltung der Energieversorgung des Airbag-Zündsystems AS. Eine Verpolschutzdiode D1 verhindert die Rückspeisung der in der Energiereserve CE gespeicherten Energie in das Stromnetz des Fahrzeugs. Das Airbag-Zündsystem AS besteht aus einer Serienschaltung zumindest dreier Transistoren (T1, T2, T3) und der Zündpille SQ des Airbags, sowie der Steuerung ST und dem Kondensator CE der Energiereserve und der Verpolschutzdiode D1. Die Zündpille SQ weist in der Regel einen ersten Anschluss und einen zweiten Anschluss auf. Der erste der drei Transistoren (T1, T2, T3) ist ein Sicherheitsschalttransistor T1, der bevorzugt nur einmal und vorzugsweise außerhalb der integrierten Schaltung vorgesehen wird. Der zweite Transistor T2 ist der sogenannte High-Side-Schalter, da er, wenn der Sicherheitsschalttransistor T1 durchgeschaltet ist, direkt mit der typischerweise positiven Versorgungsspannung VCC über die Verpolschutzdiode D1 verbunden ist. Der dritte Transistor T3 ist der sogenannte Low-Side-Schalter, da er direkt mit der typischerweise negativen Versorgungsspannung, dem Bezugspotenzial GND, verbunden ist. Zwischen dem High-Side-Schalter, also dem zweiten Transistor T2, und dem Low-Side-Schalter, also dem dritten Transistor T3, ist die Zündpille SQ angeordnet, die beim Zünden das Gas für die explosionsartige Entfaltung des Airbags liefert. Hierfür muss die Zündpille SQ von einem elektrischen Strom durchflossen werden. Es ist also notwendig alle drei Transistoren T1, T2, T3 gleichzeitig einzuschalten d.h. zu aktivieren, um die Zündlippe SQ zu zünden und den Airbag zu entfalten.The exemplary airbag ignition system AS becomes from the operating power network of the vehicle with the supply voltage VCC supplied in normal operation. This is an energy reserve in the form of a capacitor CE loaded and kept ready. This is used in case of failure of the supply voltage VCC by the consequences of an accident of the vehicle for maintaining the power supply of the airbag ignition system AS , A polarity reversal protection diode D1 prevents the feeding back of the energy reserve CE stored energy in the power grid of the vehicle. The airbag ignition system AS consists of a series connection of at least three transistors ( T1 . T2 . T3 ) and the squib SQ of the airbag, as well as the controller ST and the capacitor CE the energy reserve and the polarity reversal protection diode D1 , The squib SQ typically has a first port and a second port. The first of the three transistors ( T1 . T2 . T3 ) is a safety switching transistor T1 which is preferably provided only once and preferably outside the integrated circuit. The second transistor T2 is the so-called high-side switch, because he, when the safety switching transistor T1 is connected directly to the typically positive supply voltage VCC via the polarity reversal protection diode D1 connected is. The third transistor T3 is the so-called low-side switch, since it is directly connected to the typically negative supply voltage, the reference potential GND , connected is. Between the high-side switch, that is the second transistor T2 , and the low-side switch, so the third transistor T3 , is the squib SQ arranged, which supplies the gas for the explosive deployment of the airbag when ignited. For this, the squib must SQ be traversed by an electric current. So it is necessary all three transistors T1 . T2 . T3 to turn on at the same time ie to activate the primer SQ to ignite and unfold the airbag.

Bei einem Fußgängeraufprallschutzsystem würde beispielsweise statt der Entfaltung des Airbags die Motorraumklappe in eine nach oben leicht angewinkelte Position durch die Sprengladung gebracht, um die auf einen Kopf wirkenden Aufprallkräfte bei einem Zusammenstoß mit einem Fußgänger durch eine Verlängerung der Wegstrecke zu verkleinern. For example, in a pedestrian impact protection system, instead of deploying the airbag, the engine compartment door would be brought upwardly slightly angled through the explosive charge to reduce head impact forces upon collision with a pedestrian by extending the travel distance.

Die Aktivierung des ersten Transistors T1 erfolgt dabei durch das Aktivieren des ersten Steueranschlusses G1 des ersten Transistors T1.The activation of the first transistor T1 takes place by activating the first control terminal G1 of the first transistor T1 ,

Die Aktivierung des zweiten Transistors T2 erfolgt dabei durch das Aktivieren des zweiten Steueranschlusses G2 des zweiten Transistors T2.Activation of the second transistor T2 takes place by activating the second control terminal G2 of the second transistor T2 ,

Die Aktivierung des dritten Transistors T3 erfolgt dabei durch das Aktivieren des dritten Steueranschlusses G3 des dritten Transistors T3.Activation of the third transistor T3 takes place by activating the third control terminal G3 of the third transistor T3 ,

Typischerweise befindet sich der erste Transistor T1 außerhalb der integrierten Schaltung IC, während der zweite Transistor T2 und der dritte Transistor T3 bevorzugt Teil der integrierten Schaltung IC sind. Die Zündpille SQ ist natürlich kein Teil der integrierten Schaltung IC. Aufgrund der erforderlichen Speicherkapazität befindet sich der Kondensator CE der Energiereserve typischerweise auch außerhalb der integrierten Schaltung IC. Eine Steuerung ST innerhalb der integrierten Schaltung IC liefert nun die Steuersignale für den ersten Steueranschluss G1 des ersten Transistors T1 und für den zweiten Steueranschluss G2 des zweiten Transistors T2 und für den dritten Steueranschluss G3 des dritten Transistors T3.Typically, the first transistor is located T1 outside the integrated circuit IC while the second transistor T2 and the third transistor T3 preferably part of the integrated circuit IC are. The squib SQ Of course, this is not part of the integrated circuit IC , Due to the required storage capacity is the capacitor CE the energy reserve also typically outside of the integrated circuit IC , A controller ST within the integrated circuit IC now supplies the control signals for the first control connection G1 of the first transistor T1 and for the second control terminal G2 of the second transistor T2 and for the third control terminal G3 of the third transistor T3 ,

Es wird nun vorgeschlagen, dass durch die Aktivierung eines Produktionstestmodus, hier beispielsweise durch die an die Steuerung ST angeschlossene Testmode-Aktivierungsleitung TM, einer der folgenden vier Fälle eintritt:

Fall A
- • Die Aktivierung des ersten Steueranschlusses G1 des ersten Transistors T1 wird unterbunden und
- • die Aktivierung des zweiten Steueranschlusses G2 des zweiten Transistors T2 wird unterbunden und
- • die Aktivierung des dritten Steueranschlusses G3 des dritten Transistors T3 wird unterbunden.
Fall B
- • Die Aktivierung des ersten Steueranschlusses G1 des ersten Transistors T1 wird NICHT unterbunden und
- • die Aktivierung des zweiten Steueranschlusses G2 des zweiten Transistors T2 wird unterbunden und
- • die Aktivierung des dritten Steueranschlusses G3 des dritten Transistors T3 wird unterbunden.
Fall C
- • Die Aktivierung des ersten Steueranschlusses G1 des ersten Transistors T1 wird unterbunden und
- • die Aktivierung des zweiten Steueranschlusses G2 des zweiten Transistors T2 wird NICHT unterbunden und
- • die Aktivierung des dritten Steueranschlusses G3 des dritten Transistors T3 wird unterbunden.
Fall D
- • Die Aktivierung des ersten Steueranschlusses G1 des ersten Transistors T1 wird unterbunden und
- • die Aktivierung des zweiten Steueranschlusses G2 des zweiten Transistors T2 wird unterbunden und
- • die Aktivierung des dritten Steueranschlusses G3 des dritten Transistors T3 wird NICHT unterbunden.

It is now proposed that by activating a production test mode, here for example by the to the controller ST connected test mode activation line TM , one of the following four cases occurs:

Case A
- • The activation of the first control connection G1 of the first transistor T1 is stopped and
- • the activation of the second control connection G2 of the second transistor T2 is stopped and
- • the activation of the third control connection G3 of the third transistor T3 is prevented.
Case B
- • The activation of the first control connection G1 of the first transistor T1 is NOT prohibited and
- • the activation of the second control connection G2 of the second transistor T2 is stopped and
- • the activation of the third control connection G3 of the third transistor T3 is prevented.
Case C
- • The activation of the first control connection G1 of the first transistor T1 is stopped and
- • the activation of the second control connection G2 of the second transistor T2 is NOT prohibited and
- • the activation of the third control connection G3 of the third transistor T3 is prevented.
Case D
- • The activation of the first control connection G1 of the first transistor T1 is stopped and
- • the activation of the second control connection G2 of the second transistor T2 is stopped and
- • the activation of the third control connection G3 of the third transistor T3 is NOT prohibited.

Hierbei ist der Begriff „aktiv“ für eine Steuerleitung für einen Steueranschluss (G1, G2, G3) eines der Transistoren (T1, T2, T3) so zu verstehen, dass im Normalbetrieb die Zündpille SQ zündet, sobald alle drei Steuerleitungen der drei Steueranschlüsse (G1, G2, G3) der Transistoren (T1, T2, T3) „aktiv“ sind.Here, the term "active" for a control line for a control connection ( G1 . G2 . G3 ) one of the transistors ( T1 . T2 . T3 ) to understand that in normal operation the squib SQ ignites as soon as all three control lines of the three control terminals ( G1 . G2 . G3 ) of the transistors ( T1 . T2 . T3 ) Are "active".

Fall A sollte für alle Test-Modi gewählt werden, bei denen keine der drei Steuerleitungen der drei Steueranschlüsse (G1, G2, G3) der Transistoren (T1, T2, T3) geprüft werden soll.Case A should be chosen for all test modes in which none of the three control lines of the three control connections ( G1 . G2 . G3 ) of the transistors ( T1 . T2 . T3 ) should be tested.

Die Fälle B, C und D ermöglichen die Überprüfung der drei Steuerleitungen der drei Steueranschlüsse (G1, G2, G3) der Transistoren (T1, T2, T3) im Produktionstest in einem speziellen Produktionstestmodus ohne hierbei die Wahrscheinlichkeit der Auslösung der Zündpille SQ im Normalbetrieb über ein tolerables Maß hinaus zu erhöhen.Cases B, C and D allow the checking of the three control lines of the three control terminals ( G1 . G2 . G3 ) of the transistors ( T1 . T2 . T3 ) in the production test in a special production test mode without the likelihood of triggering the squib SQ to increase beyond a tolerable level in normal operation.

Damit ist es ein wesentliches Merkmal eines Airbag-Zündsystems AS gemäß dieses Vorschlags, wenn für die Prüfung eines ersten Anschlusses α des integrierten Schaltkreises IC, der für den Anschluss des ersten Pols der Zündpille SQ vorgesehen ist, ein erster Produktionstestmodus vorgesehen ist und für die Prüfung eines zweiten Anschlusses β des integrierten Schaltkreises IC, der für den Anschluss des zweiten Pols der Zündpille SQ ein zweiter Test-Modus vorgesehen ist und dass im ersten Test-Modus der zweite Anschluss β gegenüber dem Bezugspotenzial GND hochohmig ist und dass im zweiten Test-Modus der erste Anschluss α für die Zündpille SQ gegenüber dem Anschluss ε für den Sicherheitsschalttransistor T1 hochohmig ist.This makes it an essential feature of an airbag ignition system AS according to this proposal, if for the examination of a first connection α of the integrated circuit IC , for the connection of the first pole of the squib SQ is provided, a first production test mode is provided and for the test of a second connection β of the integrated circuit IC , for the connection of the second pole of the squib SQ a second test mode is provided and that in the first test mode the second port β opposite the reference potential GND is high impedance and that in the second test mode the first port α for the squib SQ opposite the connection ε for the safety switching transistor T1 is high impedance.

Hierbei bedeutet hochohmig für den zweiten Transistor T2, dass der Widerstand zwischen dem ersten Anschluss α für die Zündpille SQ gegenüber dem Anschluss ε für den Schalttransistor T1 um einen Faktor von mindestens 50 kleiner ist, als der Widerstand, den der zweite Transistor T2 zeigt, wenn der zweite Steueranschluss G2 des zweiten Transistors T2 aktiv ist.This means high impedance for the second transistor T2 that the resistance between the first port α for the squib SQ opposite the connection ε for the switching transistor T1 by a factor of at least 50 is smaller than the resistance of the second transistor T2 shows when the second control terminal G2 of the second transistor T2 is active.

Hierbei bedeutet hochohmig für den dritten Transistor T3, dass der Widerstand zwischen dem zweiten Anschluss β für die Zündpille SQ und dem Bezugspotenzial GND um einen Faktor von mindestens 50 kleiner ist, als der Widerstand, den der dritte Transistor T3 zeigt, wenn der dritte Steueranschluss G3 des dritten Transistors T3 aktiv ist.This means high impedance for the third transistor T3 that the resistance between the second port β for the squib SQ and the reference potential GND by a factor of at least 50 smaller than the resistance of the third transistor T3 shows when the third control terminal G3 of the third transistor T3 is active.

Es reicht jedoch erfahrungsgemäß nicht aus, die Steuerleitungen (G1, G2, G3) inaktiv zu schalten. Vielmehr speichern diese Leitungen elektrische Ladungen. Daher kann bei einem transienten Einschalten trotzdem noch ein fehlerhafter, gefährlicher Zustand eingenommen werden. Bei der Ausarbeitung dieses Vorschlags wurde daher erkannt, dass die Steuerleitungen der Steueranschlüsse (G1, G2, G3) der Transistoren (T1, T2, T3) für einen sicheren Zustand der sicherheitsrelevanten elektronischen Schaltung entladen werden müssen.However, experience has shown that it is not enough to G1 . G2 . G3 ) inactive. Rather, these lines store electrical charges. Therefore, even a faulty, dangerous state can still be taken in a transient switching. In the preparation of this proposal, it was therefore recognized that the control lines of the control terminals ( G1 . G2 . G3 ) of the transistors ( T1 . T2 . T3 ) must be discharged for a safe state of the safety-related electronic circuit.

Daher ist es zu empfehlen, den Produktionstestmodus erst dann zu aktivieren, wenn die Steueranschlüsse (G1, G2, G3) der Transistoren (T1, T2, T3) tatsächlich durch Entladen inaktiviert sind. Hierzu kann ein Überwachungsschaltkreis vorgesehen sein, der den tatsächlichen Zustand der Steuerleitungen der Steueranschlüsse (G1, G2, G3) der Transistoren (T1, T2, T3) ermittelt.Therefore it is recommended to activate the production test mode only when the control connections ( G1 . G2 . G3 ) of the transistors ( T1 . T2 . T3 ) are actually disabled by unloading. For this purpose, a monitoring circuit may be provided which determines the actual state of the control lines of the control connections ( G1 . G2 . G3 ) of the transistors ( T1 . T2 . T3 ).

Es ist somit ein Merkmal dieses Vorschlags, dass nicht nur durch Erfüllen einer von mindestens zwei Bedingungen für die Aktivierung des Produktionstestmodus für ein elektronisches System bereits das System in einen sicheren Zustand, hier durch Deaktivieren aller drei bzw. von mindestens zwei Steuerleitungen der Steueranschlüsse (G1, G2, G3) der Transistoren (T1, T2, T3), gebracht wird sondern, dass die Einnahme dieses sicheren Zustands gemessen und verifiziert wird und erst bei Vorliegen des vorbestimmten sicheren Zustands aktiviert wird. Im vorliegenden Fall ist dieser vorbestimmte sichere Zustand durch die Entladung aller drei bzw. von mindestens zwei Steuerleitungen der Steueranschlüsse (G1, G2, G3) der Transistoren (T1, T2, T3) gekennzeichnet.It is thus a feature of this proposal that not only by fulfilling one of at least two conditions for the activation of the production test mode for an electronic system, the system already in a safe state, here by deactivating all three or at least two control lines of the control terminals ( G1 . G2 . G3 ) of the transistors ( T1 . T2 . T3 ), but that the assumption of this safe state is measured and verified and is activated only when the predetermined safe state is present. In the present case, this predetermined safe state by the discharge of all three or at least two control lines of the control terminals ( G1 . G2 . G3 ) of the transistors ( T1 . T2 . T3 ).

Für den Fall AIn case A

Im Fall A wird keine der Steuerleitungen der Steueranschlüsse (G1, G2, G3) der Transistoren (T1, T2, T3) geprüft. Die Aktivierung des betreffenden Produktionstestmodus wird beispielsweise durch das Aktivieren der Testmode-Aktivierungsleitung TM eingeleitet. Für die Aktivierung dieses Produktionstestmodus in einem Airbag-Zündsystem AS, sollten daher alle drei Steuerleitungen der Steueranschlüsse (G1, G2, G3) der Transistoren (T1, T2, T3) deaktiviert werden. Die Einnahme dieses sicheren Zustands wird in diesem Fall A dann so gemessen und verifiziert, dass erst bei Vorliegen des vorbestimmten sicheren Zustands, in Form der Entladung aller drei Steuerleitungen der Steueranschlüsse (G1, G2, G3) der Transistoren (T1, T2, T3) der Produktionstestmodus aktiviert wird.In case A, none of the control lines of the control terminals ( G1 . G2 . G3 ) of the transistors ( T1 . T2 . T3 ) checked. The activation of the relevant production test mode, for example, by activating the test mode activation line TM initiated. For activating this production test mode in an airbag ignition system AS Therefore, all three control lines of the control terminals ( G1 . G2 . G3 ) of the transistors ( T1 . T2 . T3 ) are disabled. The assumption of this safe state is in this case A then measured and verified that only in the presence of the predetermined safe state, in the form of the discharge of all three control lines of the control terminals ( G1 . G2 . G3 ) of the transistors ( T1 . T2 . T3 ) the production test mode is activated.

Für den Fall BIn case B

Im Fall B wird die erste Steuerleitung des ersten Steueranschlusses G1 des ersten Transistors T1 durch den Produktionstest in diesem Produktionstestmodus geprüft. Die Aktivierung dieses betreffenden Produktionstestmodus wird beispielsweise durch das Aktivieren der Testmode-Aktivierungsleitung TM eingeleitet. Für die Aktivierung des Produktionstestmodus in einem Airbag-Zündsystem AS, sollten daher in diesem Fall B die zweite Steuerleitung des zweiten Steueranschlusses G2 des zweiten Transistors T2 deaktiviert werden und die dritte Steuerleitung des dritten Steueranschlusses G3 des dritten Transistors T3 deaktiviert werden. Die Einnahme dieses sicheren Zustands wird in diesem Fall B dann so gemessen und verifiziert, dass erst bei Vorliegen des vorbestimmten sicheren Zustands, in Form der Entladung der zweiten Steuerleitung des zweiten Steueranschlusses G2 des zweiten Transistors T2 und der dritten Steuerleitung des dritten Steueranschlusses G3 des dritten Transistors T3 der Produktionstestmodus aktiviert wird.In case B, the first control line of the first control terminal G1 of the first transistor T1 tested by the production test in this production test mode. The activation of this respective production test mode is, for example, by activating the test mode activation line TM initiated. For activation of the production test mode in an airbag ignition system AS Therefore, in this case, B should be the second control line of the second control terminal G2 of the second transistor T2 be deactivated and the third control line of the third control terminal G3 of the third transistor T3 be deactivated. The assumption of this safe state is then measured and verified in this case B so that only in the presence of the predetermined safe state, in the form of the discharge of the second control line of the second control terminal G2 of the second transistor T2 and the third control line of the third control terminal G3 of the third transistor T3 the production test mode is activated.

Für den Fall CIn case C

Im Fall C wird die zweite Steuerleitung des zweiten Steueranschlusses G2 des zweiten Transistors T2 durch den Produktionstest in diesem Produktionstestmodus geprüft. Die Aktivierung dieses betreffenden Produktionstestmodus wird beispielsweise durch das Aktivieren der Testmode-Aktivierungsleitung TM eingeleitet. Für die Aktivierung des Produktionstestmodus in einem Airbag-Zündsystem AS, sollten daher in diesem Fall C die erste Steuerleitung des ersten Steueranschlusses G1 des ersten Transistors T1 deaktiviert werden und die dritte Steuerleitung des dritten Steueranschlusses G3 des dritten Transistors T3 deaktiviert werden. Die Einnahme dieses sicheren Zustands wird in diesem Fall C dann so gemessen und verifiziert, dass erst bei Vorliegen des vorbestimmten sicheren Zustands, in Form der Entladung der ersten Steuerleitung des ersten Steueranschlusses G1 des ersten Transistors T1 und der dritten Steuerleitung des dritten Steueranschlusses G3 des dritten Transistors T3, der Produktionstestmodus aktiviert wird.In the case C becomes the second control line of the second control terminal G2 of the second transistor T2 tested by the production test in this production test mode. The activation of this respective production test mode is, for example, by activating the test mode activation line TM initiated. For activation of the production test mode in an airbag ignition system AS Therefore, in this case, C should be the first control line of the first control terminal G1 of the first transistor T1 be deactivated and the third control line of the third control terminal G3 of the third transistor T3 be deactivated. The assumption of this safe state is then measured and verified in this case C so that only in the presence of the predetermined safe state, in the form of the discharge of the first control line of the first control terminal G1 of the first transistor T1 and the third control line of the third control terminal G3 of the third transistor T3 Activated production test mode.

Für den Fall DFor the case D

Im Fall D wird die dritte Steuerleitung des dritten Steueranschlusses G3 des dritten Transistors T3 durch den Produktionstest in diesem Produktionstestmodus geprüft. Die Aktivierung des betreffenden Produktionstestmodus wird beispielsweise durch das Aktivieren der Testmode-Aktivierungsleitung TM eingeleitet. Für die Aktivierung dieses Produktionstestmodus in einem Airbag-Zündsystem AS, sollten daher in diesem Fall D die erste Steuerleitung des ersten Steueranschlusses G1 des ersten Transistors T1 deaktiviert werden und die zweite Steuerleitung des zweiten Steueranschlusses G2 des zweiten Transistors T2 deaktiviert werden. Die Einnahme dieses sicheren Zustands wird in diesem Fall D dann so gemessen und verifiziert, dass erst bei Vorliegen des vorbestimmten sicheren Zustands, in Form der Entladung der ersten Steuerleitung des ersten Steueranschlusses G1 des ersten Transistors T1 und der zweiten Steuerleitung des zweiten Steueranschlusses G2 des zweiten Transistors T2 der Produktionstestmodus aktiviert wird.In case D, the third control line of the third control terminal G3 of the third transistor T3 tested by the production test in this production test mode. The activation of the relevant production test mode, for example, by activating the test mode activation line TM initiated. For activating this production test mode in an airbag ignition system AS Therefore, in this case D should be the first control line of the first control terminal G1 of the first transistor T1 be deactivated and the second control line of the second control terminal G2 of the second transistor T2 be deactivated. The assumption of this safe state is then measured and verified in this case D so that only in the presence of the predetermined safe state, in the form of the discharge of the first control line of the first control terminal G1 of the first transistor T1 and the second control line of the second control terminal G2 of the second transistor T2 the production test mode is activated.

Sofern bereits eine Bedingung zur Einnahme des Produktionstestmodus aktiviert wird, kann die sicherheitsrelevante elektronische Schaltung eine Fehlermeldung generieren oder bereit halten, die zur Anzeige gebracht werden kann.If a condition for taking the production test mode is already activated, the safety-relevant electronic circuit can generate or keep ready an error message that can be displayed.

In dieser Schrift wird als das folgende Verfahren zur Aktivierung eines Produktionstestmodus für eine sicherheitsrelevante elektronische Schaltung oder für mindestens eine sicherheitsrelevante elektronische Schaltung (IC) von mehreren sicherheitsrelevanten Schaltungen vorgeschlagen: In this document, the following method is used for activating a production test mode for a safety-related electronic circuit or for at least one safety-relevant electronic circuit ( IC ) proposed by several safety-related circuits:

In einem ersten Schritt wird eine erste Vorbedingung zur Aktivierung des Produktionstestmodus erfüllt. Dies erfolgt durch Übermittlung einer ersten Anforderung über eine erste Schnittstelle an die Vorrichtung. Beispielsweise kann dies mittels einer Programmierung eines ersten Testregisters der zu testenden sicherheitsrelevanten elektronischen Schaltung in einer JTAG-Testschnittstelle dieser zu testenden sicherheitsrelevanten elektronischen Schaltung erfolgen.In a first step, a first precondition for activating the production test mode is fulfilled. This is done by transmitting a first request to the device via a first interface. For example, this can be done by means of programming a first test register of the safety-relevant electronic circuit to be tested in a JTAG test interface of this safety-relevant electronic circuit to be tested.

Die zu testende sicherheitsrelevante elektronische Schaltung sollte durch diesen Schritt automatisch in einen sicheren Zustand überführt werden, der nicht durch den Produktionstest verlassen werden kann. Dies ist der zweite Schritt. Dies darf aber zum Aktivieren des Produktionstestmodus der sicherheitsrelevanten elektronischen Schaltung nicht ausreichen.The safety-relevant electronic circuit to be tested should automatically be brought into a safe state by this step, which can not be left by the production test. This is the second step. However, this may not be sufficient for activating the production test mode of the safety-relevant electronic circuit.

Erst das Erfüllen einer zweiten Vorbedingung zur Aktivierung des Produktionstestmodus als dritten Schritt ermöglicht den finalen Aktivierungsschritt. Bei diesem dritten Schritt wird die zweite Vorbedingung zur Aktivierung des Produktionstestmodus erfüllt. Dies erfolgt wieder durch Übermittlung einer zweiten Anforderung über die erste Schnittstelle an die Vorrichtung. Beispielsweise kann dies mittels einer Programmierung eines zweiten Testregisters der zu testenden sicherheitsrelevanten elektronischen Schaltung in der besagten JTAG-Testschnittstelle dieser zu testenden sicherheitsrelevanten elektronischen Schaltung erfolgen. Dabei muss das zweite Testregister vom ersten Testregister verschieden sein. Bevorzugt ist jedoch eine vollständige Trennung der Aktivierungspfade. Im Falle der vollständigen Trennung wird bei diesem dritten Schritt ebenfalls die zweite Vorbedingung zur Aktivierung des Produktionstestmodus aber mit besserer Absicherung erfüllt. Dies erfolgt wieder durch Übermittlung einer zweiten Anforderung nun aber über eine zweite Schnittstelle an die Vorrichtung, die von der ersten Schnittstelle verschieden ist.Only the fulfillment of a second precondition for activating the production test mode as a third step enables the final activation step. In this third step, the second precondition for activating the production test mode is fulfilled. This is done again by transmitting a second request to the device via the first interface. For example, this can be done by means of programming a second test register of the safety-relevant electronic circuit to be tested in said JTAG test interface of this safety-relevant electronic circuit to be tested. The second test register must be different from the first test register. However, a complete separation of the activation paths is preferred. In the case of complete separation, in this third step, the second precondition for activating the production test mode but also with better protection is fulfilled. This is done again by transmitting a second request but now via a second interface to the device, which is different from the first interface.

Bei dieser Erfüllung einer zweiten Vorbedingung kann es sich beispielsweise um eine spezielle Kombination von Spannungspegeln an verschiedenen Anschlüssen (die Anschlüsse stellen hier eine Schnittstelle dar) oder einen Software-Befehl über eine andere Schnittstelle etc. handeln.This fulfillment of a second precondition can be, for example, a specific combination of voltage levels at different terminals (the terminals represent an interface here) or a software command via another interface etc.

Als Schnittstellen (IF1, IF2) kommen die elektrischen Anschlüsse der zu testenden sicherheitsrelevanten elektronischen Schaltung (IC) in Frage, wobei die Signalisierungen beispielsweise über besondere Spannungs- und/oder Strompegel oder zeitliche Abfolgen und Kombinationen derselben erfolgen, und/oder Datenschnittstellen, wie z.B. SPI-Bus-Schnittstellen, oder Sensor-Schnittstellen, wie beispielsweise PSI5- oder DSI3-Schnittstellen oder entsprechende andere Schnittstellen in Betracht. Wichtig ist dabei nur, dass die erste Vorbedingung und die zweite Vorbedingung nicht über ungleiche Schnittstellen erfüllt werden müssen, wodurch eine erhöhte Sicherheit gegen versehentliche Einnahme eines unsicheren Zustands erreicht wird.As interfaces ( IF1 . IF2 ) the electrical connections of the safety-relevant electronic circuit to be tested ( IC ), wherein the signaling takes place, for example, on particular voltage and / or current levels or time sequences and combinations thereof, and / or data interfaces, such as SPI bus interfaces, or sensor interfaces, such as PSI5 or DSI3 interfaces or corresponding other interfaces. The important thing is that the first precondition and the second precondition do not have to be met via unequal interfaces, whereby an increased security against accidental assumption of an insecure state is achieved.

Als finaler Schritt folgt das Aktivieren des Produktionstestmodus, wenn die erste und zweite Vorbedingung zur Aktivierung des Produktionstestmodus erfüllt sind und wenn die Überführung der sicherheitsrelevanten elektronischen Schaltung in den sicheren Zustand als Schritt durchgeführt wurde.The final step is to activate the production test mode when the first and second prerequisites for activating the production test mode are met and when the transfer of the production test mode is completed safety-related electronic circuit in the safe state was performed as a step.

In einer empfohlenen Variante des Verfahrens wird vorgeschlagen, das Erfüllen der ersten Vorbedingung an den Nutzer zu signalisieren. Hierdurch wird dieser Nutzer auf den kritischen Zustand des Systems aufmerksam und kann reagieren. Die Verfahrensvariante umfasst daher den Schritt der Signalisierung eines fehlerhaften Zustands oder den Versuch der Signalisierung eines fehlerhaften Zustands. Hierbei kann es sich auch um die Bereitstellung einer Information über diesen fehlerhaften Zustand handeln. Das kann beispielsweise in einem Register eines Prozessors geschehen oder durch Ändern des logischen Zustands eines Anschlusses der sicherheitsrelevanten elektronischen Schaltung.In a recommended variant of the method, it is proposed to signal the fulfillment of the first precondition to the user. As a result, this user is aware of the critical state of the system and can respond. The method variant therefore comprises the step of signaling a faulty state or attempting to signal a faulty state. This can also be the provision of information about this faulty state. This can for example be done in a register of a processor or by changing the logic state of a terminal of the safety-related electronic circuit.

In einer weiteren empfohlenen Variante des Verfahrens wird wieder vorgeschlagen, die Einnahme des sicheren Zustands durch spezielle Messung explizit zu überprüfen. Daher umfasst diese Variante den zusätzlichen Schritt der Überprüfung der sicherheitsrelevanten elektronischen Schaltung darauf, ob der sichere Zustand erfolgreich eingenommen ist. Dabei kann die sicherheitsrelevante elektronische Schaltung auch von Außen beeinflusst sein. Steuert die sicherheitsrelevante elektronische Schaltung den Steueranschluss eines Transistors an, so kann der Transistor, wenn beispielsweise sein Steueranschluss elektrisch geladen ist, den entsprechenden Anschluss der sicherheitsrelevanten elektronischen Schaltung in einen unsicheren Zustand bringen. Dies kann durch einen solchen Schritt erkannt und damit letztlich verhindert werden. Der finale Schritt der Aktivierung des Produktionstestmodus wird daher so modifiziert, dass das Aktivieren des Produktionstestmodus nur dann erfolgt, wenn die erste und zweite Vorbedingung zur Aktivierung des Produktionstestmodus erfüllt sind und wenn die Überführung der sicherheitsrelevanten elektronischen Schaltung in den sicheren Zustand durchgeführt wurde und wenn nun zusätzlich die Überprüfung ergibt, dass die sicherheitsrelevante elektronische Schaltung auch tatsächlich in diesem sicheren Zustand ist.In a further recommended variant of the method, it is again proposed to explicitly check the assumption of the safe state by special measurement. Therefore, this variant includes the additional step of checking the safety-related electronic circuit on whether the safe state is successfully taken. In this case, the safety-relevant electronic circuit can also be influenced from outside. If the safety-relevant electronic circuit controls the control terminal of a transistor, the transistor, for example, if its control terminal is electrically charged, can bring the corresponding terminal of the safety-relevant electronic circuit into an unsafe state. This can be detected by such a step and thus ultimately prevented. The final step of activating the production test mode is therefore modified such that the activation of the production test mode occurs only when the first and second prerequisites for activating the production test mode are met and when the safety-related electronic circuit has been transitioned to the safe state and if now In addition, the check reveals that the safety-relevant electronic circuit is actually in this safe state.

Natürlich müssen auch sicherheitsrelevante Teilvorrichtungen der sicherheitsrelevanten elektronischen Schaltung daraufhin geprüft werden können, dass sie einen spezifikationsgemäß geforderten unsicheren Zustand einnehmen können. Bei den Steuerleitungen der besagten Airbag-Transistoren bedeutet dies, dass es möglich sein muss, diese darauf zu prüfen, dass sie aktiviert werden können. Es wird daher hier eine Variante des Verfahrens für diese Fälle vorgeschlagen.Of course, safety-relevant sub-devices of the safety-relevant electronic circuit must also be able to be tested so that they can assume an unsafe condition as required by the specification. In the case of the control lines of said airbag transistors, this means that it must be possible to check that they can be activated. It is therefore proposed here a variant of the method for these cases.

Es handelt sich dabei um ein Verfahren zur Aktivierung eines Produktionstestmodus für eine sicherheitsrelevante elektronische Schaltung oder für mindestens eine sicherheitsrelevante elektronische Schaltung von mehreren sicherheitsrelevanten Schaltungen, die eine Sicherheitsvorrichtung ist, und bei dem geprüft werden soll, ob eine erste Teilvorrichtung bestimmungsgemäß in einen unsicheren Zustand gebracht werden kann. Damit dies möglich ist, muss die sicherheitsrelevante elektronische Schaltung so konstruiert sein, dass die Sicherheitsfunktion dieser ersten Teilvorrichtung durch mindestens eine zweite Teilvorrichtung nochmals abgesichert ist und vorzugsweise durch eine dritte Teilvorrichtung nochmals abgesichert ist. Im Falle der besagten Airbag Schaltung der 1 kann beispielsweise die Steuerleitung für den ersten Transistor T1 als erste Teilvorrichtung daraufhin geprüft werden, ob sie aktiviert werden kann. Da für ein Zünden der Zündpille alle drei Transistoren (T1, T2, T3) durchgeschaltet werden müssen, sichern der zweite Transistor T2 und der dritte Transistor T3 die Zündpille SQ für diesen Fall immer noch doppelt dadurch ab, dass sie während der Prüfung inaktiv, also hochohmig sind.This is a method for activating a production test mode for a safety-relevant electronic circuit or for at least one safety-relevant electronic circuit of a plurality of safety-relevant circuits, which is a safety device, and in which it is to be checked whether a first sub-device has been brought into an unsafe state as intended can be. In order for this to be possible, the safety-relevant electronic circuit must be constructed such that the safety function of this first sub-device is again secured by at least one second sub-device and is again secured by a third sub-device. In the case of said airbag circuit the 1 For example, the control line for the first transistor T1 be checked as the first sub-device to see if it can be activated. Since for firing the squib all three transistors ( T1 . T2 . T3 ) must be switched through, secure the second transistor T2 and the third transistor T3 the squib SQ in this case, still twice, that they are inactive during the test, so high impedance.

Der erste Schritt ist wieder das Erfüllen einer ersten Vorbedingung zur Aktivierung des Produktionstestmodus. Die erste Teilvorrichtung wird nun im Gegensatz zum vorbeschriebenen Fall jedoch nicht in den sicheren Zustand zwangsweise überführt, da dies ja für den Produktionstest in diesem Produktionstestmodus explizit möglich sein muss und geprüft werden soll.The first step is again to fulfill a first prerequisite for activating the production test mode. However, in contrast to the case described above, the first sub-device is not forcibly transferred to the secure state since this must be explicitly possible and tested for the production test in this production test mode.

Daher folgt als zweiter Schritt das Überführen der zweiten Teilvorrichtung in einen sicheren Zustand, der nicht durch den Produktionstest bis zum Ende des Produktionstests verlassen werden kann.Therefore, as a second step, the transfer of the second subdevice to a safe state, which can not be exited by the production test until the end of the production test, follows.

Als dritter Schritt folgt das Überführen der dritten Teilvorrichtung in einen sicheren Zustand, der nicht durch den Produktionstest bis zum Ende des Produktionstests verlassen werden kann.The third step is to transfer the third subdevice to a safe state that can not be exited by the production test until the end of the production test.

Als vierter Schritt erfolgt wieder das Erfüllen einer zweiten Vorbedingung zur Aktivierung des Produktionstestmodus.As a fourth step, the fulfillment of a second precondition for activating the production test mode takes place again.

Der zweite, dritte und vierte Schritt können in beliebiger zeitlicher Reihenfolge nach dem ersten Schritt durchgeführt werden.The second, third and fourth steps can be performed in any time order after the first step.

Als fünfter Schritt erfolgt die Überprüfung darauf, ob der sichere Zustand durch die zweite Teilvorrichtung eingenommen wurde. Als sechster Schritt erfolgt die Überprüfung darauf, ob der sichere Zustand durch die dritte Teilvorrichtung eingenommen wurde. Der fünfte Schritt folgt zeitlich nach dem zweiten Schritt. Der sechste Schritt folgt zeitlich nach dem dritten Schritt.The fifth step is to check whether the safe state has been taken by the second part device. As a sixth step, the check is made as to whether the safe state was taken by the third sub-device. The fifth step follows after the second step. The sixth step follows after the third step.

Der finale Schritt der Aktivierung des Produktionstestmodus erfolgt nach allen anderen Schritten nun jedoch nur, wenn die erste und zweite Vorbedingung zur Aktivierung des Produktionstestmodus erfüllt sind und wenn die Überführungen der ersten, zweiten und dritten Teilvorrichtungen in ihre jeweiligen sicheren Zustände als Schritt ausgeführt wurden und die ersten, zweiten und dritten Teilvorrichtungen sich tatsächlich in ihren jeweiligen sicheren Zuständen befinden.The final step of activating the production test mode is after all other steps however, only if the first and second prerequisites for activating the production test mode are met and if the transfers of the first, second and third subdevices to their respective safe states have been performed as a step and the first, second and third subdevices are indeed in their respective safe ones States are located.

Dieses Verfahren sieht im Falle einer Airbag-Steuerung nun so aus:This procedure now looks like this in the case of an airbag control:

Es handelt sich bei dem vorgeschlagenen Verfahren dann um ein Verfahren zur Aktivierung eines Produktionstestmodus für eine integrierte sicherheitsrelevante elektronische Schaltung IC zur Steuerung eines Fahrzeuginsassenrückhaltesystems mit einer Zündpille SQ oder für mindestens eine integrierte sicherheitsrelevante elektronische Schaltung IC von mehreren integrierten sicherheitsrelevanten Schaltungen zur Steuerung eines Fahrzeuginsassenrückhaltesystems mit einer Zündpille SQ.The proposed method is then a method for activating a production test mode for an integrated safety-related electronic circuit IC for controlling a vehicle occupant restraint system with a squib SQ or for at least one integrated safety-related electronic circuit IC of a plurality of integrated safety-related circuits for controlling a vehicle occupant restraint system with a squib SQ ,

Die integrierte Schaltung IC umfasst dabei eine erste Steuerleitung, die dazu vorgesehen ist, einen ersten Steueranschluss G1 eines ersten Transistors T1 anzusteuern. Die erste Steuerleitung kann aktiv oder inaktiv sein. Die integrierte Schaltung IC umfasst dabei eine zweite Steuerleitung, die dazu vorgesehen ist, einen zweiten Steueranschluss G2 eines zweiten Transistors T2 anzusteuern. Die zweite Steuerleitung kann aktiv oder inaktiv sein. Die integrierte Schaltung IC umfasst eine dritte Steuerleitung, die dazu vorgesehen ist, einen dritten Steueranschluss G3 eines ersten Transistors T3 anzusteuern. Die dritte Steuerleitung kann aktiv oder inaktiv sein. Die integrierte Schaltung ist typischerweise dazu vorgesehen, dass der erste Transistor T1 und der zweite Transistor T2 und der dritte Transistor T3 in Serie mit der Zündpille SQ geschaltet sind. Die Zündung der Zündpille SQ hat im Normalbetrieb zumindest zur Voraussetzung, dass die erste Steuerleitung aktiv ist und die zweite Steuerleitung aktiv ist und die dritte Steuerleitung aktiv ist.The integrated circuit IC comprises a first control line, which is provided to a first control terminal G1 a first transistor T1 head for. The first control line can be active or inactive. The integrated circuit IC comprises a second control line, which is provided to a second control terminal G2 a second transistor T2 head for. The second control line can be active or inactive. The integrated circuit IC comprises a third control line, which is provided to a third control terminal G3 a first transistor T3 head for. The third control line can be active or inactive. The integrated circuit is typically provided for the first transistor T1 and the second transistor T2 and the third transistor T3 in series with the squib SQ are switched. The ignition of the squib SQ has in normal operation, at least the condition that the first control line is active and the second control line is active and the third control line is active.

Der erste Schritt des vorgeschlagenen Verfahrens besteht wieder in der Erfüllung einer ersten Vorbedingung zur Aktivierung des Produktionstestmodus.The first step of the proposed method is again to fulfill a first prerequisite for activating the production test mode.

In einem zweiten Schritt erfolgen die Deaktivierung der ersten Steuerleitung des ersten Steueranschlusses G1 des ersten Transistors T1 und die Verriegelung einer Aktivierung der ersten Steuerleitung zumindest bis zum Ende der Aktivierung des Produktionstestmodus.In a second step, the deactivation of the first control line of the first control terminal G1 of the first transistor T1 and locking activation of the first control line at least until the end of activation of the production test mode.

In einem dritten Schritt erfolgen die Deaktivierung der zweiten Steuerleitung des zweiten Steueranschlusses G2 des zweiten Transistors T2 und die Verriegelung einer Aktivierung der zweiten Steuerleitung zumindest bis zum Ende der Aktivierung des Produktionstestmodus.In a third step, the deactivation of the second control line of the second control terminal G2 of the second transistor T2 and locking an activation of the second control line at least until the end of activation of the production test mode.

In einem vierten Schritt erfolgen die Deaktivierung der dritten Steuerleitung des dritten Steueranschlusses G3 des dritten Transistors T3 und die Verriegelung einer Aktivierung der dritten Steuerleitung zumindest bis zum Ende der Aktivierung des Produktionstestmodus.In a fourth step, the deactivation of the third control line of the third control terminal G3 of the third transistor T3 and locking an activation of the third control line at least until the end of activation of the production test mode.

Der erste Schritt geht in der Regel dem zweiten, dritten und vierten Schritt voraus. Der zweite, dritte und vierte Schritt sind voneinander unabhängig und werden vorzugsweise parallel ausgeführt. Andere Reihenfolgen des zweiten, dritten und vierten Schritts sind möglich.The first step usually precedes the second, third and fourth steps. The second, third and fourth steps are independent of each other and are preferably carried out in parallel. Other orders of the second, third and fourth steps are possible.

Typischerweise folgt zeitlich nach dem Ausführen der vorangehenden vier Schritte das Erfüllen einer zweiten Vorbedingung zur Aktivierung des Produktionstestmodus als fünfter Schritt.Typically, following the execution of the previous four steps, the fulfillment of a second prerequisite for activating the production test mode will follow in a fifth step.

Als letzter Schritt zeitlich nach allen vorausgehenden fünf Schritten erfolgt das Aktivieren des Produktionstestmodus, aber nur dann, wenn alle Schritte zu Deaktivierung aller drei Steuerleitungen durchgeführt wurden und wenn die erste Vorbedingung und die zweite Vorbedingung erfüllt sind.Activation of the production test mode takes place as the last step after all the preceding five steps, but only if all steps for deactivating all three control lines have been carried out and if the first precondition and the second precondition are fulfilled.

In einer Variante des Verfahrens erfolgt nach dem Schritt der Erfüllung einer ersten Vorbedingung zur Aktivierung des Produktionstestmodus der zusätzliche Schritt des Bereitstellens einer Information über einen fehlerhaften Zustand durch die integrierte Schaltung IC.In a variant of the method, after the step of fulfilling a first precondition for activating the production test mode, the additional step of providing information about a faulty state by the integrated circuit takes place IC ,

In einer weiteren Variante des Verfahrens erfolgt nach jedem Schritt der Deaktivierung einer der Steuerleitungen der Steueranschlüsse (G1, G2, G3) der Transistoren (T1, T2, T3) für die betroffene Steuerleitung jeweils die Überprüfung, ob die betreffende Steuerleitung auch wirklich deaktiviert ist. Dies kann beispielsweise durch Auswertung des Potenzials der betreffenden Steuerleitung erfolgen. In dem obigen Beispiel sind drei Steuerleitungen für die drei Transistoren vorgesehen. Es sollten also vorzugsweise drei Überprüfungen auf Deaktivierung vorgesehen werden: Für jede Steuerleitung eine.In a further variant of the method, after each step of the deactivation of one of the control lines of the control terminals ( G1 . G2 . G3 ) of the transistors ( T1 . T2 . T3 ) for the affected control line in each case the check whether the relevant control line is really disabled. This can be done, for example, by evaluating the potential of the relevant control line. In the above example, three control lines are provided for the three transistors. Thus, preferably three checks for deactivation should be provided: One for each control line.

Diese Überprüfungen erfolgen vorzugsweise immer nach den Deaktivierungen der jeweiligen Steuerleitung aber untereinander in beliebiger Reihenfolge.These checks are preferably always after the deactivations of the respective control line but with each other in any order.

Währenddessen oder danach, aber nach dem Erfüllen der ersten Vorbedingung erfolgt das Erfüllen einer zweiten Vorbedingung zur Aktivierung des Produktionstestmodus.During or after this, but after the fulfillment of the first precondition, a second precondition for activating the production test mode is fulfilled.

Der letzte Schritt der Aktivierung des Produktionstestmodus erfolgt nach allen Schritten nur dann, wenn alle drei Steuerleitungen deaktiviert wurden und wenn alle drei Steuerleitungen auch tatsächlich deaktiviert sind und wenn die erste Vorbedingung und die zweite Vorbedingung erfüllt sind. The last step of activating the production test mode occurs after all steps only if all three control lines have been deactivated and if all three control lines are actually deactivated and if the first precondition and the second precondition are fulfilled.

Soll nun die erste Steuerleitung im Rahmen des Produktionstests der sicherheitsrelevanten integrierten Schaltung IC geprüft werden können, so entfällt die Deaktivierung der ersten Steuerleitung und damit auch deren Überprüfung. Der letzte Schritt der Aktivierung des Produktionstestmodus folgt in diesem Fall, wenn schon die zweite und dritte Steuerleitung deaktiviert wurden und wenn nur die zweite und dritte Steuerleitung deaktiviert sind und wenn die erste Vorbedingung erfüllt ist und die zweite Vorbedingung erfüllt ist. Hinzu kommt aber als Ausführungsbedingung für die Aktivierung, dass der gewählte Produktionstestmodus diese mögliche Aktivierung der ersten Steuerleitung erfordert. Wenn aufgrund der ersten Vorbedingung zur Aktivierung des Produktionstestmodus ermittelt werden kann, dass der Produktionstestmodus es erfordert, dass die erste Steuerleitung nicht zwangsweise bis zum Ende der Aktivierung des Produktionstestmodus deaktiviert wird, so kann die Aktivierung erfolgen. Insofern umfasst dieses modifizierte Verfahren auch die Ermittlung dieser Notwendigkeit für diesen Produktionstestmodus. Dieser Schritt wird bevorzugt mit der Erfüllung der ersten Vorbedingung oder unmittelbar danach ausgeführt.Should now the first control line in the context of the production test of the safety-related integrated circuit IC can be checked so eliminates the deactivation of the first control line and thus their review. The last step of activating the production test mode in this case follows when the second and third control lines have already been deactivated and when only the second and third control lines are deactivated and when the first precondition is satisfied and the second precondition is met. In addition, as an execution condition for the activation, the selected production test mode requires this possible activation of the first control line. If, on the basis of the first prerequisite for activating the production test mode, it can be determined that the production test mode requires that the first control line not be deactivated until the end of the activation of the production test mode, the activation can take place. As such, this modified method also includes determining this need for this production test mode. This step is preferably carried out with the fulfillment of the first precondition or immediately thereafter.

Soll nun die zweite Steuerleitung im Rahmen des Produktionstests der sicherheitsrelevanten integrierten Schaltung IC geprüft werden können, so entfällt die Deaktivierung der zweiten Steuerleitung und damit auch deren Überprüfung. Die übrigen Schritte werden gegenüber dem Basisverfahren in analoger Weise modifiziert.Should now the second control line within the production test of the safety-related integrated circuit IC can be checked so eliminates the deactivation of the second control line and thus their review. The remaining steps are modified analogously to the basic method.

Soll nun die dritte Steuerleitung im Rahmen des Produktionstests der sicherheitsrelevanten integrierten Schaltung IC geprüft werden können, so entfällt die Deaktivierung der dritten Steuerleitung und damit auch deren Überprüfung. Die übrigen Schritte werden gegenüber dem Basisverfahren in analoger Weise modifiziert.Should now the third control line in the context of the production test of the safety-related integrated circuit IC can be checked so eliminates the deactivation of the third control line and thus their review. The remaining steps are modified analogously to the basic method.

Die 2 zeigt eine Ausführung der Testmode Aktivierungsleitung (TM). Die Vorrichtungsteile der 2 sind bevorzugt Teil der Steuerung (ST). In dem Beispiel der 2 wird über einen ersten Datenbus (DB1), der analog, digital, seriell oder sonst wie zu Signalisierungen geeignet sein muss, an eine erste Schnittstelle (IF1) des integrierten Schaltkreises (IC) für die Einnahme eines gewünschten Testzustands des integrierten Schaltkreises (IC) eine erste Botschaft zur Erfüllung der ersten Vorbedingung zur Aktivierung des Produktionstestmodus signalisiert. Des Weiteren wird über einen zweiten Datenbus (DB2), der ebenfalls analog, digital, seriell oder sonst wie zu Signalisierungen geeignet sein muss, an eine zweite Schnittstelle (IF2) integrierten Schaltkreises (IC) für die Einnahme eines gewünschten Testzustands des integrierten Schaltkreises (IC) eine zweite Botschaft zur Erfüllung der zweiten Vorbedingung zur Aktivierung des Produktionstestmodus signalisiert. Empfängt die erste Schnittstelle (IF1) die besagte erste Botschaft zur Erfüllung der ersten Vorbedingung zur Aktivierung des Produktionstestmodus über den ersten Datenbus (DB1) so aktiviert sie ein erstes Testanforderungssignal (TRQ1). Empfängt in dem Beispiel der 2 die zweite Schnittstelle (IF2) die besagte zweite Botschaft zur Erfüllung der zweiten Vorbedingung zur Aktivierung des Produktionstestmodus über den zweiten Datenbus (DB2) so aktiviert sie ein zweites Testanforderungssignal (TRQ2). Nach dem Rücksetzen des integrierten Schaltkreises (IC) durch Einschalten oder aus anderen Gründen und im Normalbetrieb sind bevorzugt das erste Testanforderungssignal (TRQ1) und das zweite Testanforderungssignal (TRQ2) nicht aktiv. Sind sowohl das erste Testanforderungssignal (TRQ1) und gleichzeitig das zweite Testanforderungssignal (TRQ2) aktiv, so erfolgt die angeforderte Aktivierung des Produktionstestmodus über ein Testmodussignal (tstm). Ist nur eines der beiden Testanforderungssignal (TRQ1, TRQ2) aktiv und das andere Testanforderungssignal (TRQ1, TRQ2) nicht aktiv, so wird für die integrierte Schaltung (IC) die Einnahme eines sicheren Zustands in diesem Beispiel über ein Blockiersignal (blk) erzwungen. Natürlich ist es denkbar, mehr als zwei Vorbedingungen zu verwenden. Sind beide Testanforderungssignale (TRQ1, TRQ2) aktiv, so kann das Blockiersignal (blk) nicht aktiv gesetzt werden, um den Test sicherheitsrelevanter nicht sicherer, spezifikationskonformer Zustände zu erlauben. Sind beide Testanforderungssignale (TRQ1, TRQ2) nicht aktiv, so kann das Blockiersignal (blk) ebenfalls nicht aktiv gesetzt werden, um den Test sicherheitsrelevanter nicht sicherer, spezifikationskonformer Zustände zu erlauben.The 2 shows an embodiment of the test mode activation line ( TM ). The device parts of 2 are preferably part of the controller ( ST ). In the example of 2 is via a first data bus ( DB1 ), which must be analogue, digital, serial or otherwise suitable for signaling, to a first interface ( IF1 ) of the integrated circuit ( IC ) for assuming a desired test state of the integrated circuit ( IC ) signals a first message to fulfill the first condition for activating the production test mode. Furthermore, via a second data bus ( DB2 ), which must also be analog, digital, serial or otherwise suitable for signaling, to a second interface ( IF2 ) integrated circuit ( IC ) for assuming a desired test state of the integrated circuit ( IC ) signals a second message to fulfill the second prerequisite for activating the production test mode. Receives the first interface ( IF1 ) said first message to fulfill the first condition for activating the production test mode over the first data bus ( DB1 ) it activates a first test request signal ( TRQ1 ). Receives in the example of the 2 the second interface ( IF2 ) said second message to fulfill the second prerequisite for activating the production test mode via the second data bus ( DB2 ) it activates a second test request signal ( TRQ2 ). After resetting the integrated circuit ( IC ) by switching on or for other reasons and in normal operation, the first test request signal ( TRQ1 ) and the second test request signal ( TRQ2 ) not active. If both the first test request signal ( TRQ1 ) and at the same time the second test request signal ( TRQ2 ), the requested activation of the production test mode takes place via a test mode signal ( Tstm ). Is only one of the two test request signal ( TRQ1 . TRQ2 ) and the other test request signal ( TRQ1 . TRQ2 ) is not active, then for the integrated circuit ( IC ) taking a safe state in this example via a blocking signal ( blk ) enforced. Of course, it is conceivable to use more than two preconditions. Are both test request signals ( TRQ1 . TRQ2 ), the blocking signal ( blk ) are not set to allow the test of safety-relevant non-safe, specification-compliant states. Are both test request signals ( TRQ1 . TRQ2 ) is not active, the blocking signal ( blk ) also not be set active in order to allow the test of safety-relevant non-safe, specification-compliant states.

Vorteil der ErfindungAdvantage of the invention

Der Vorteil liegt in der sicheren Verriegelung einer sicherheitsrelevanten Funktion (z.B. Sperrung eines Airbag-Zündkreises) für den Fall einer potentiell unbeabsichtigt auftretenden ersten Eintrittsbedingung für einen Produktionstestmodus. Ein einfaches Beispiel für einen solchen Fehlerfall wäre z.B. ein fehlerhafter Softwarezugriff auf ein Prozessorregister, das eigentlich zur Initiierung des Produktionstestmodus vorgesehen ist, während des normalen Betriebs.The advantage is the secure locking of a safety-related function (e.g., blockage of an airbag ignition circuit) in the event of a potentially inadvertently occurring first entry condition for a production test mode. A simple example of such an error would be e.g. erroneous software access to a processor register intended to initiate the production test mode during normal operation.

Im Produktionstest werden üblicherweise alle Funktionen einer integrierten Schaltung IC verändert bzw. gesteuert. Dies birgt das Potential, Sicherheitsziele unkontrolliert zu verletzen. Auch bei mehrfacher Verriegelung können hier latente Fehler vorliegen, die durch unmittelbare Blockierung kritischer Zustände sowie eine Anzeigemöglichkeit vermieden werden.In the production test usually all functions of an integrated circuit IC changed or controlled. This holds the potential Uncontrolled violation of security goals. Even with multiple locking, there may be latent errors that are avoided by immediate blocking of critical states as well as a display capability.

Figurenlistelist of figures

1 shows the embodiment of a single-stage airbag ignition stage.
2 shows an embodiment of the test mode activation line ( TM ).

BezugszeichenlisteLIST OF REFERENCE NUMBERS

αα: erster Anschluss der Zündpille SQ;first connection of the squib SQ;
ββ: zweiter Anschluss der Zündpille SQ;second port of the squib SQ;
εε: Anschluss der integrierten Schaltung für den ersten Transistor T1;Connecting the integrated circuit for the first transistor T1;
ASAS: Airbag-Zündsystem (Es kann sich auch um ein anderes Zündsystem, beispielsweise für ein Fußgängeraufprallschutzsystem handeln);Airbag ignition system (it may also be another ignition system, for example a pedestrian impact protection system);
blkblk: Blockiersignal. Das Blockiersignal (blk) zwingt die bevorzugt die integrierte Schaltung (IC) zur Einnahme eines sicheren Zustands. Beispielsweise wird bevorzugt der erste Transistor, der Sicherheitsschalttransistor (T1) gesperrt wenn das Blockiersignal aktiv ist. Andere Maßnahmen wie die Sperrung der anderen Transistoren (T2, T3) sind für den Fall eines aktiven Blockiersignals denkbar. Sind beide Testanforderungssignale (TRQ1, TRQ2) aktiv, so kann das Blockiersignal nicht aktiv gesetzt werden, um den Test sicherheitsrelevanter nicht sicherer, spezifikationskonformer Zustände zu erlauben. Sind beide Testanforderungssignale (TRQ1, TRQ2) nicht aktiv, so kann das Blockiersignal (blk) ebenfalls nicht aktiv gesetzt werden, um den Test sicherheitsrelevanter nicht sicherer, spezifikationskonformer Zustände zu erlauben.Blocking signal. The blocking signal (blk) preferably forces the integrated circuit (IC) to take a safe state. For example, the first transistor, the safety switching transistor (T1) is preferably disabled when the blocking signal is active. Other measures such as the blocking of the other transistors (T2, T3) are conceivable in the case of an active blocking signal. If both test request signals (TRQ1, TRQ2) are active, then the blocking signal can not be set active in order to allow the test of safety-relevant non-safe, specification-compliant states. If both test request signals (TRQ1, TRQ2) are not active, the blocking signal (blk) can likewise not be set active in order to allow the test of safety-relevant non-safe, specification-compliant states.
CECE: Kondensator der Energiereserve;Capacitor of the energy reserve;
D1D1: Verpolschutzdiode;reverse polarity protection;
DB1DB1: erster Datenbus. Es kann sich beispielsweise auch um ein Signal mit einem festen Pegel handeln, der im Falle eines Produktionstest auf einen vorbestimmten Spannungs- oder Strompegel gelegt wird;first data bus. It may also be, for example, a signal with a fixed level, which is placed in the case of a production test at a predetermined voltage or current level;
DB2DB2: zweiter Datenbus. Es kann sich beispielsweise auch um ein Signal mit einem festen Pegel handeln, der im Falle eines Produktionstest auf einen vorbestimmten Spannungs- oder Strompegel gelegt wird;second data bus. It may also be, for example, a signal with a fixed level, which is placed in the case of a production test at a predetermined voltage or current level;
IF1IF1: erste Schnittstelle. Es kann sich um eine serielle oder parallele Schnittstelle oder um einen sonstigen Anschluss des integrierten Schaltkreises (IC) handeln.first interface. It can be a serial or parallel interface or any other connection of the integrated circuit (IC).
IF2IF2: zweite Schnittstelle. Es kann sich um eine serielle oder parallele Schnittstelle oder um einen sonstigen Anschluss des integrierten Schaltkreises (IC) handeln.second interface. It can be a serial or parallel interface or any other connection of the integrated circuit (IC).
G1G1: erster Steueranschluss des ersten Transistors T1;first control terminal of the first transistor T1;
G2G2: zweiter Steueranschluss des zweiten Transistors T2;second control terminal of the second transistor T2;
G3G3: dritter Steueranschluss des dritten Transistors T3;third control terminal of the third transistor T3;
GNDGND: Bezugspotenzial;Reference potential;
ICIC: integrierte Schaltung;integrated circuit;
STST: Steuerung;Control;
SQSQ: Zündpille, die den Airbag entfaltet, wenn sie mit einem vorbestimmten elektrischen Strom durchströmt wird;A squib that deployes the airbag when flowed through with a predetermined electrical current;
T1T1: erster Transistor (Sicherheitsschalttransistor);first transistor (safety switching transistor);
T2T2: zweiter Transistor (High-Side-Schalter);second transistor (high-side switch);
T3T3: dritter Transistor (Low-Side-Schalter);third transistor (low-side switch);
TMTM: Testmode-Aktivierungsleitung. Diese sollte nur aktiv werden können, wenn zweiTest mode enable line. This should only be active if two
: Vorbedingungen zur Aktivierung eines Produktionstestmodus vorliegen. Besonders vorteilhaft ist es, wenn diese Testmode-Aktivierungsleitung aus bevorzugt zwei Leitungen besteht, die in unterschiedlicher Weise über die sicherheitsrelevante integrierte Schaltung IC geführt werden und die beide aktiv werden müssen. Durch diese Redundanz kann die Sicherheit weiter erhöht werden;Prerequisites for activating a production test mode. It is particularly advantageous if this test mode activation line consists of preferably two lines which are routed in different ways via the safety-related integrated circuit IC and which must both become active. This redundancy can further increase security;
TRQ1TRQ1: erstes Testanforderungssignal. Empfängt beispielsweise die erste Schnittstelle (IF1) eine erste Botschaft zur Erfüllung der ersten Vorbedingung zur Aktivierung des Produktionstestmodus über den ersten Datenbus (DB1) so aktiviert sie bevorzugt das erste Testanforderungssignal. Nach dem Rücksetzen des integrierten Schaltkreises (IC) durch Einschalten oder aus anderen Gründen und im Normalbetrieb ist bevorzugt das erste Testanforderungssignal nicht aktiv.first test request signal. If, for example, the first interface (IF1) receives a first message to fulfill the first prerequisite for activating the production test mode via the first data bus (DB1), it preferably activates the first test request signal. After resetting the integrated circuit (IC) by turning it on or for other reasons and In normal operation, the first test request signal is preferably not active.
TRQ2TRQ2: zweites Testanforderungssignal. Empfängt beispielsweise die zweite Schnittstelle Einschalten (IF2) eine zweite Botschaft zur Erfüllung der zweiten Vorbedingung zur Aktivierung des Produktionstestmodus über den zweiten Datenbus (DB2) so aktiviert sie bevorzugt das zweite Testanforderungssignal. Nach dem Rücksetzen des integrierten Schaltkreises (IC) durch oder aus anderen Gründen und im Normalbetrieb ist bevorzugt das zweite Testanforderungssignal nicht aktiv.second test request signal. For example, if the second power up interface (IF2) receives a second message to fulfill the second prerequisite for activating the production test mode via the second data bus (DB2), it preferably activates the second test request signal. After resetting the integrated circuit (IC) by or for other reasons and in normal operation, the second test request signal is preferably not active.
tstmTstm: Testmodussignal. Das Testmodussignal ist bevorzugt im normalen Betrieb nicht aktiv. Sind sowohl das erste Testanforderungssignal (TRQ1) und gleichzeitig das zweite Testanforderungssignal (TRQ2) aktiv, so erfolgt die angeforderte Aktivierung des Produktionstestmodus über die Aktivierung des Testmodussignals.Test mode signal. The test mode signal is preferably not active during normal operation. If both the first test request signal (TRQ1) and the second test request signal (TRQ2) are active at the same time, the requested activation of the production test mode takes place via the activation of the test mode signal.
VCCVCC: Versorgungsspannung.Supply voltage.

ZITATE ENTHALTEN IN DER BESCHREIBUNG QUOTES INCLUDE IN THE DESCRIPTION

Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.This list of the documents listed by the applicant has been generated automatically and is included solely for the better information of the reader. The list is not part of the German patent or utility model application. The DPMA assumes no liability for any errors or omissions.

Zitierte PatentliteraturCited patent literature

US 2014/0039764 A1 [0010]
DE 102005030770 A1 [0010]
DE 19828432 A1 [0010]
DE 10350853 A1 [0010]

Claims

Method for activating a production test mode for an integrated safety-related electronic circuit (IC) for controlling a passenger restraint system with a squib (SQ) or for at least one integrated safety-related electronic circuit (IC) of several integrated safety-relevant circuits for controlling a pedestrian impact protection system with a squib (SQ) . - wherein the integrated circuit (IC) comprises a first control line, which is intended to control a first control terminal (G1) of a first transistor (T1) and - Wherein the first control line can be active or inactive and - Wherein the integrated circuit (IC) comprises a second control line, which is intended to control a second control terminal (G2) of a second transistor (T2) and - Wherein the second control line can be active or inactive and - Wherein the integrated circuit (IC) comprises a third control line, which is intended to control a third control terminal (G3) of a third transistor (T3) and - Where the third control line can be active or inactive and - wherein the integrated circuit is provided so that the first transistor (T1) and the second transistor (T2) and the third transistor (T3) are connected in series with the squib (SQ) and - Wherein the ignition of the squib (SQ) in normal operation has at least the condition that the first control line is active and the second control line is active and the third control line is active, comprising the steps Fulfilling a first precondition for activating the production test mode by transmitting a first message via a first interface (IF1); Deactivating the first control line of the first control terminal (G1) of the first transistor (T1) and locking activation of the first control line at least until the end of activation of the production test mode or deactivating the second control line of the second control terminal (G2) of the second transistor (T2) and Locking activation of the second control line at least until the end of activation of the production test mode or deactivating the third control line of the third control terminal (G3) of the third transistor (T3) and locking activation of the first control line at least until the end of activation of the production test mode; Fulfilling a second prerequisite for activating the production test mode by transmitting a second message via a second interface (IF2) different from the first interface (IF1); Activating the production test mode if at least one control line of the three control lines has been deactivated and if the first precondition is fulfilled and the second precondition is fulfilled.

Method according to Claim 1 comprising the step of - providing information about a faulty state by the integrated circuit (IC).

Method according to Claim 1 comprising the steps of - checking whether the previously deactivated control lines are deactivated; - Different from activating the production test mode after Claim 1 now activating the production test mode when a control line of the three control lines has been deactivated and when at least this control line of the three control lines is deactivated and when the first precondition is satisfied and the second precondition is fulfilled.

Method according to Claim 1 in which a test of the first control line in the production test mode of the integrated safety-related electronic circuit (IC) should be possible deviating from Claim 1 not comprising the steps - deactivating the first control line of the first control terminal (G1) of the first transistor (T1) and locking activation of the first control line at least until the end of activation of the production test mode or deactivating the second control line of the second control terminal (G2) of the second transistor ( T2) and locking an activation of the second control line at least until the end of the activation of the production test mode or deactivating the third control line of the third control terminal (G3) of the third transistor (T3) and locking activation of the first control line at least until the end of activation of the production test mode; comprising the steps of - determining that the production test mode requires that the first control line NOT be forcibly disabled until the end of activation of the production test mode due to the first prerequisite for activating the production test mode; Disabling the second control line of the second control terminal (G2) of the second transistor (T2) and locking activation of the second control line at least until the end of activation of the production test mode or deactivating the third control line of the third control terminal (G3) of the third transistor (T3) and Locking activation of the third control line at least until the end of activation of the production test mode; - Check if deactivated control lines are deactivated; Activating the production test mode if at least one control line has been deactivated by the second or third control line and if at least this control line is deactivated and if the first precondition is satisfied and the second precondition is fulfilled and if it is determined on the basis of the first precondition for activating the production test mode, the production test mode requires that the first control line not be forcibly disabled until the end of activation of the production test mode.

Method according to Claim 1 in which a test of the second control line in the production test mode of the integrated safety-relevant electronic circuit (IC) should be possible deviating from Claim 1 not comprising the steps - deactivating the first control line of the first control terminal (G1) of the first transistor (T1) and locking activation of the first control line at least until the end of activation of the production test mode or deactivating the second control line of the second control terminal (G2) of the second transistor ( T2) and locking an activation of the second control line at least until the end of the activation of the production test mode or deactivating the third control line of the third control terminal (G3) of the third transistor (T3) and locking activation of the first control line at least until the end of activation of the production test mode; comprising the steps of - determining that the production test mode requires that the second control line NOT be forcibly disabled until the end of activation of the production test mode due to the first prerequisite for activating the production test mode; Deactivating the first control line of the first control terminal (G1) of the first transistor (T1) and locking activation of the first control line at least until the end of activation of the production test mode or deactivating the third control line of the third control terminal (G3) of the third transistor (T3) and Locking activation of the third control line at least until the end of activation of the production test mode; - Check whether the deactivated control lines are deactivated; Activating the production test mode if at least one control line has been deactivated by the first or third control line and if at least this control line is deactivated and if the first precondition is fulfilled and the second precondition is satisfied and if it is determined on the basis of the first precondition for activating the production test mode, that the production test mode requires that the second control line not necessarily be deactivated until the end of activation of the production test mode.

Method according to Claim 1 in which a test of the third control line in the production test mode of the integrated safety-related electronic circuit (IC) should be possible deviating from Claim 1 not comprising the steps - deactivating the first control line of the first control terminal (G1) of the first transistor (T1) and locking activation of the first control line at least until the end of activation of the production test mode or deactivating the second control line of the second control terminal (G2) of the second transistor ( T2) and locking an activation of the second control line at least until the end of the activation of the production test mode or deactivating the third control line of the third control terminal (G3) of the third transistor (T3) and locking activation of the first control line at least until the end of activation of the production test mode; comprising the steps of - determining that the production test mode, based on the first prerequisite for activating the production test mode, requires that the third control line NOT be forcibly disabled until the end of activation of the production test mode; Deactivating the first control line of the first control terminal (G1) of the first transistor (T1) and locking activation of the first control line at least until the end of activation of the production test mode or deactivating the second control line of the second control terminal (G2) of the second transistor (T2) and Locking activation of the second control line at least until the end of activation of the production test mode; - Check whether the deactivated control lines are deactivated; Activating the production test mode if at least one control line has been deactivated by the second or third control line and if at least this control line is deactivated and if the first precondition is fulfilled and the second precondition is fulfilled and if it is determined on the basis of the first precondition for activating the production test mode, that the production test mode requires that the third control line not be forcibly disabled until the end of activation of the production test mode.