DE102020208854A1 - Halbleiterchip und Sicherheitsschaltungsanordnung mit einem solchen Halbleiterchip - Google Patents

Halbleiterchip und Sicherheitsschaltungsanordnung mit einem solchen Halbleiterchip Download PDF

Info

Publication number
DE102020208854A1
DE102020208854A1 DE102020208854.3A DE102020208854A DE102020208854A1 DE 102020208854 A1 DE102020208854 A1 DE 102020208854A1 DE 102020208854 A DE102020208854 A DE 102020208854A DE 102020208854 A1 DE102020208854 A1 DE 102020208854A1
Authority
DE
Germany
Prior art keywords
semiconductor chip
monitoring
functions
safety
group
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102020208854.3A
Other languages
English (en)
Inventor
Andreas Wunderlich
Alfons Fisch
Thierry BAVOIS
Franz Laberer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Vitesco Technologies GmbH
Original Assignee
Vitesco Technologies GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Vitesco Technologies GmbH filed Critical Vitesco Technologies GmbH
Priority to DE102020208854.3A priority Critical patent/DE102020208854A1/de
Priority to CN202180049456.5A priority patent/CN115803979A/zh
Priority to PCT/EP2021/066859 priority patent/WO2022012876A1/de
Priority to US18/005,697 priority patent/US20230305913A1/en
Publication of DE102020208854A1 publication Critical patent/DE102020208854A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H03ELECTRONIC CIRCUITRY
    • H03KPULSE TECHNIQUE
    • H03K17/00Electronic switching or gating, i.e. not by contact-making and –breaking
    • H03K17/18Modifications for indicating state of switch
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3013Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is an embedded system, i.e. a combination of hardware and software dedicated to perform a certain function in mobile devices, printers, automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3058Monitoring arrangements for monitoring environmental properties or parameters of the computing system or of the computing system component, e.g. monitoring of power, currents, temperature, humidity, position, vibrations
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24125Watchdog, check at timed intervals

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Automation & Control Theory (AREA)
  • Mathematical Physics (AREA)
  • Semiconductor Integrated Circuits (AREA)

Abstract

Die Erfindung betrifft einen Halbleiterchip (1) mit darauf schaltungstechnisch realisierten Funktionen, der einen ersten Bereich (2) aufweist, in dem eine erste Gruppe von sicherheitsrelevanten Grundfunktionen (3) schaltungstechnisch realisiert ist und der einen zweiten Bereich (4) aufweist, der von dem ersten Bereich (2) durch technologische Sicherheitsmaßnahmen getrennt ist, in dem eine die Grundfunktionen überwachende erste Gruppe von Überwachungsfunktionen (5) schaltungstechnisch realisiert ist. Er weist außerdem einen dritten, auf dem Halbleiterchip (1) ausgebildeten Bereich (6) auf, der von den anderen Bereichen (2, 3) durch technologische Sicherheitsmaßnahmen getrennt ist, in dem eine die Grundfunktionen überwachende zweite Gruppe von Überwachungsfunktionen (7) schaltungstechnisch realisiert ist.

Description

  • Die Erfindung betrifft einen Halbleiterchip mit darauf schaltungstechnisch realisierten Funktionen, der einen ersten Bereich aufweist, in dem eine erste Gruppe von sicherheitsrelevanten Grundfunktionen schaltungstechnisch realisiert ist und der einen zweiten Bereich aufweist, der von dem ersten Bereich durch technologische Sicherheitsmaßnahmen getrennt ist, in dem eine die Grundfunktionen überwachende erste Gruppe von Überwachungsfunktionen schaltungstechnisch realisiert ist. Die Erfindung betrifft außerdem eine Sicherheitsschaltungsanordnung mit einem solchen Halbleiterchip und zumindest einem mit diesem verbundenen Sicherheitsschalter, der mit einem Schalter oder einem Aktor verbunden ist.
  • Ein solcher Halbleiterchip und eine solche Sicherheitsschaltungsanordnung sind aus der DE 10 2014 209 090 A1 bekannt.
  • Der dortige Lehre beinhaltet, einen integrierten Schaltkreis auf einem Schaltkreisträger oder Chipträger als Sicherheitszentrum zu verwenden, bei dem eine Abschalteinheit von der Steuereinheit isoliert auf dem Schaltkreisträger ausgebildet ist bzw. eine in sich abgeschlossene Abschalteinheit in Form einer Sicherheitsinsel auf dem Schaltkreisträger separat vorgesehen ist. Über die Steuereinheit wird im Normalbetrieb die Versorgung der Spannung für einzelne Komponenten der Schaltungsanordnung, wie z. B. Mikrocontroller, sichergestellt. Die Abschalteinheit ist mit der Steuereinheit auf dem Schaltkreisträger elektronisch nicht verbunden und weist einen eigenen Anschluss zur Verbindung zur Stromversorgungsvorrichtung auf, z. B. eine Batterie. Idealerweise ist der Anschluss zur Stromversorgungsvorrichtung mit einem Verpolschutz versehen. Die Abschalteinheit kann ihre Funktion somit auch bei einem Ausfall der Steuereinheit uneingeschränkt ausführen und bietet einen zur Steuereinheit redundanten Abschaltpfad, der gerade in den vorgenannten Fehlerfällen weiterhin betreibbar bleibt. Insbesondere für Servolenkungsvorrichtungen bietet die erhöhte Ausfallsicherheit der Abschalteinheit den Vorteil, unvorhergesehene Motoreingriffe in die Lenkung abfangen zu können.
  • Die bekannte Abschalteinheit stellt ein kontrolliertes Abschalten des Motors bzw. eine kontrollierte Trennung des Motors von der Versorgungsspannung sicher. Auf diese Weise kann zum einen eine Beschädigung der elektronischen Bauteile verhindert werden, die mit dem Motor verbunden sind. Zum anderen ist es möglich, sicherzustellen, dass keine ungewollten Motordrehmomente nach ordnungsgemäßer Abschaltung der Spannungsversorgung generiert werden. Mittels der Isolierung und dem eigenen Anschluss zu der Stromversorgungsvorrichtung wird erreicht, dass die Abschalteinheit auch bei einem Fehler in der Stromversorgungsvorrichtung, z. B. einer Batterie, oder in der Verbindung zur Stromversorgungsvorrichtung nicht beeinträchtigt wird. Alternativ oder zusätzlich dazu kann die Abschalteinheit auch mit einer eigenen Stromversorgungsvorrichtung versehen sein. Die Abschaltfunktionen werden gemäß der DE 10 2014 209 090 A1 in die Abschalteinheit vereint und gemeinsam mit der Steuereinheit auf einen einzigen Schaltkreisträger oder Chip reduziert.
  • Allgemein kann gesagt werden, dass mit der stetig wachsenden Komplexität elektronischer Komponenten in Fahrzeugen auch die Möglichkeit von Fehlfunktionen steigt. Ist eine sicherheitsrelevante Komponente von einer solchen Fehlfunktion betroffen, können im schlimmsten Fall Menschen zu Schaden kommen. Würde z.B. ein ESP-Steuergerät in einem Kraftfahrzeug bei zügiger Fahrt unerwartet eine Vollbremsung auslösen, könnte dies zu einem Auffahrunfall führen. Um das Risiko von Gefahr bringenden Fehlfunktionen von sicherheitsrelevanten Elektronik-Systemen zu minimieren, sollten diese unter Berücksichtigung einschlägiger Normen entwickelt werden. Eine solche ist die ISO 26262.
  • Der Start einer Entwicklung nach ISO 26262 lässt sich in folgenden Schritten beschreiben (siehe Wikipedia):
    1. 1. Der Fahrzeughersteller, der sein Produkt in den Markt bringt - d.h. an Endverbraucher verkauft - untersucht Umstände und Situationen, in denen das Fahrzeug Menschen verletzen oder töten könnte.
    2. 2. Definition von Sicherheitszielen („safety goals“), die das ungewollte Verhalten beschreiben, z. B. „Ungewolltes Anfahren des Fahrzeugs vermeiden.“
    3. 3. Risiko bestimmen und bewerten, z.B.
      1. 1. ungefährlich (beispielsweise Klimasteuergerät),
      2. 2. geringe Gefahren [QM], die ohne besondere Maßnahmen der Norm auskommt, oder die
      3. 3. Einstufung von [ASIL] A bis ASIL D, für die die Norm anzuwenden ist.
    4. 4. Komponenten (der Zulieferer) identifizieren, die dazu beitragen könnten, z. B. „Motor beschleunigt ungewollt“ oder „Automatisches Getriebe verlässt von selbst P oder N“
    5. 5. Den Lieferanten von Komponenten die geforderte Funktion als Sicherheitsanforderung („safety requirement“), den ASIL und einige weitere Informationen mitteilen, um sie in die sicherheitsgerichtete Entwicklung einzubinden.
  • In diesem Zusammenhang kann auch eine Implementierung von Überwachungsfunktionen in einem gesicherten Bereich eines Halbleiterchips unsicher sein, wenn schädliche Einflüsse von außen sich über mögliche Trenn- und Isolationsmaßnahmen hinweg auswirken.
  • Es ist daher die Aufgabe der Erfindung, hier Abhilfe zu schaffen.
  • Die Aufgabe wird gelöst durch einen Halbleiterchip mit darauf schaltungstechnisch realisierten Funktionen, der einen ersten Bereich aufweist, in dem eine erste Gruppe von sicherheitsrelevanten Grundfunktionen schaltungstechnisch realisiert ist und der einen zweiten Bereich aufweist, der von dem ersten Bereich durch technologische Sicherheitsmaßnahmen getrennt ist, in dem eine die Grundfunktionen überwachende erste Gruppe von Überwachungsfunktionen schaltungstechnisch realisiert ist, der einen dritten, auf dem Halbleiterchip ausgebildeten Bereich aufweist, der von den anderen Bereichen durch technologische Sicherheitsmaßnahmen getrennt ist, in dem eine die Grundfunktionen überwachende zweite Gruppe von Überwachungsfunktionen schaltungstechnisch realisiert ist.
  • Hierdurch kann eine deutlich höhere Sicherheit erreicht werden, da eine nur sehr geringe Wahrscheinlichkeit besteht, dass sich ein sicherheitstechnisch problematischer Fehler auf beide Gruppen von Überwachungsfunktionen, die in verschiedenen, durch technologische Sicherheitsmaßnahmen getrennten Bereichen des Halbleiterchips ausgebildet sind, auswirkt. Somit kann in allen denkbaren Situationen die Sicherheit im Rahmen der ISO 26262, ASIL D Vorgaben gewährleistet werden.
  • In einer Ausbildung der Erfindung weist die erste Gruppe von sicherheitsrelevanten Grundfunktionen eine Anzahl von Spannungsreglern zur Ausgabe von Versorgungsspannungen auf.
  • Die zumeist aus einer Batteriespannung erzeugten und geregelten Versorgungsspannungen dienen zur Versorgung von weiteren externen Schaltkreisen wie beispielsweise Mikroprozessoren oder Mikrocontrollern, Sensoren, Kommunikationsbausteinen etc. Sollten Fehlereinflüsse dazu führen, dass die Versorgungsspannungen nicht korrekt erzeugt werden, kann sich dies auf die korrekte Funktion dieser versorgten Schaltkreise auswirken und von diesen auf weitere Funktionen übertragen werden. So könnte ein aufgrund einer zu geringen Versorgungsspannung fehlerhaft arbeitender Mikroprozessor falsche Steuersignale für Aktoren erzeugen, die zu problematischen Fehlfunktionen führen können. Eine solche Fehlfunktion muss daher rechtzeitig erkannt werden und durch die Überwachungsfunktionen beispielsweise Sicherheitsschalter aktiviert werden, die eine Weiterleitung falscher Signale unterbinden können. Wenn sich der Fehler aber auch auf die Sicherheitsfunktionen auswirkt, kann diese Sicherheitsüberwachung fehlschlagen. Dies soll durch die erfindungsgemäße Maßnahme verhindert werden.
  • Die erste und die zweite Gruppe von Überwachungsfunktionen können in Ausgestaltungen eines erfindungsgemäßen Halbleiterchips jeweils einen Ausfallsicherheits-Vortreiber und/oder einen Ausfallsicherheitsautomaten und/oder eine Watchdogschaltung und/oder eine Spannungsüberwachungsschaltung aufweisen. Es sind jedoch auch andere sinnvolle Überwachungsschaltungen oder Überwachungsfunktionen möglich.
  • Die Sicherheitsmaßnahmen auf einem erfindungsgemäßen Halbleiterchip können eine Separation der energetischen Versorgung oder des Layouts und/oder eine elektrische Isolation und/oder eine Spannungsrobustheit und/oder eine Entkopplung eines redundanten Abschaltpfades umfassen. Es können auch Maßnahmen sein, wie sie bereits in der DE 10 2014 209 090 A1 beschrieben sind.
  • Die Erfindung betrifft auch eine Sicherheitsschaltungsanordnung mit einem Halbleiterchip gemäß einem der Ansprüche 1 bis 4 und zumindest einem mit diesem verbundenen Sicherheitsschalter, der mit einem Schalter oder einem Aktor verbunden ist, wobei die Sicherheitsschaltungsanordnung eingerichtet ist, den Schalter oder den Aktor mittels des zumindest einen Sicherheitsschalters zu aktivieren oder zu deaktivieren, wobei der Sicherheitsschalter mit beiden Gruppen von Überwachungsfunktionen verbunden ist.
  • Der Sicherheitsschalter dient dazu, eine Maßnahme zu ergreifen oder zu unterbinden und kann durch beide Gruppen von Überwachungsfunktionen veranlasst werden, seine Funktion zu erfüllen.
  • Die Erfindung wird nachfolgend anhand eines Ausführungsbeispiels mit Hilfe einer Figur näher erläutert.
  • Die 1 zeigt einen Halbleiterchip 1, der einen ersten Bereich 2 aufweist, in dem eine erste Gruppe 3 von sicherheitsrelevanten Grundfunktionen schaltungstechnisch realisiert ist. Diese Grundfunktionen sind im dargestellten Ausführungsbeispiel insbesondere Linearregler LDO1 bis LDO6, die der Erzeugung unterschiedlicher Versorgungsspannungen im Bereich von etwa 3 Volt bis 5 Volt, insbesondere aus einer Fahrzeugbatteriespannung (main battery), dienen. Diese Versorgungsspannungen können im dargestellten Beispiel der 1 der Versorgung eines Mikroprozessors 11 oder von Sensoren 12 dienen. Die sicherheitsrelevanten Grundfunktionen können weitere Funktionen umfassen wie beispielsweise ein Sensorinterface oder eine SPI Schnittstelle.
  • Insbesondere ein Mikroprozessor 11 benötigt eine stabile Versorgungsspannung, um ordnungsgemäß arbeiten zu können. Zwar wird die Funktion eines Mikroprozessors 11 üblicherweise über eine Watchdogfunktion überwacht, die im dargestellten Ausführungsbeispiel ebenfalls auf dem Halbleiterchip 1 in einen zweiten Bereich 4 in einer ersten Gruppe 5 von Überwachungsfunktionen realisiert ist. Allerdings kann es trotzdem vorkommen, dass die fehlerhafte Funktion des Mikroprozessors zwar erkannt ist, die Ausgabe der fehlerhaften Steuersignale jedoch nicht mehr verhindert werden kann. Zu diesem Zweck sind Sicherheitsschalter 9 vorgesehen, die entweder die Weiterleitung dieser Steuersignale unterbinden können oder die Empfangsbausteine wie beispielsweise ein Kommunikationsbaustein 10 deaktivieren können.
  • Der zweite Bereich 4 ist ebenfalls auf dem Halbleiterchip 1 ausgebildet, jedoch durch Sicherheitsmaßnahmen wie beispielsweise eine Separation der energetischen Versorgung oder des Layouts und/oder eine elektrische Isolation und/oder eine Spannungsrobustheit und/oder eine Entkopplung eines redundanten Abschaltpfades abgesichert. Auf diese Weise soll grundsätzlich verhindert werden, dass Fehler, die in den Schaltkreisen des ersten Bereichs 2 auftreten, nicht ohne Weiteres Auswirkungen im zweiten Bereich 4 haben.
  • Allerdings kann es trotzdem vorkommen, dass ein Fehler, der sich auf einen Linearregler LDO1 bis LDO6 auswirkt, ebenfalls auf den zweiten Bereich 4 durchschlägt und die dortigen Überwachungsfunktionen der ersten Gruppe von Überwachungsfunktionen 5 oder zumindest Teile davon beeinträchtigt, sodass der Sicherheitsschalter 9 nicht mehr rechtzeitig betätigt werden kann.
  • Daher ist in erfindungsgemäßer Weise auf dem Halbleiterchip 1 ein dritter Bereich 6 vorgesehen, der ebenfalls durch passende Sicherheitsmaßnahmen von den beiden anderen Bereichen 3, 4 getrennt ist und in dem eine zweite Gruppe von Überwachungsfunktionen 7 schaltungstechnisch realisiert ist. Die Überwachungsfunktionen der zweiten Gruppe von Überwachungsfunktionen 7 können die gleiche Funktion bzw. Aufgabe erfüllen wie die Überwachungsfunktionen der ersten Gruppe von Überwachungsfunktionen 5, die redundante Ausführung soll lediglich die Wahrscheinlichkeit deutlich verringern, dass sich ein Fehler im ersten Bereich 2 innerhalb der ersten Gruppe von sicherheitsrelevanten Grundfunktionen 3 auf die Überwachungsfunktionen auswirkt.
  • Zu diesem Zweck sind auch die Schaltkreise der zweiten Gruppe von Überwachungsfunktionen 7 mit den entsprechenden Sicherheitsschaltern 9 verbunden, sodass bei einem Ausfall einer der beiden Gruppen von Überwachungsfunktionen 5, 7 mit hoher Wahrscheinlichkeit zumindest die andere funktionsfähig bleibt und die Sicherheitsschalter 9 betätigen kann, um beispielsweise Kommunikationseinrichtungen 10 am Weiterleiten fehlerhafter Steuersignale eines beeinträchtigten Mikroprozessors 11 zu unterbinden.
  • Durch die erfindungsgemäße Integration zweier Gruppen von Überwachungsfunktionen auf nur einem Halbleiterchip 1 wird bei nur geringem Platzbedarf eine hohe Sicherheit erreicht und damit auch die Anforderungen von bis ASIL D der ISO 262 erreicht.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • DE 102014209090 A1 [0002, 0004, 0014]

Claims (5)

  1. Halbleiterchip (1) mit darauf schaltungstechnisch realisierten Funktionen, der einen ersten Bereich (2) aufweist, in dem eine erste Gruppe von sicherheitsrelevanten Grundfunktionen (3) schaltungstechnisch realisiert ist und der einen zweiten Bereich (4) aufweist, der von dem ersten Bereich (2) durch technologische Sicherheitsmaßnahmen getrennt ist, in dem eine die Grundfunktionen überwachende erste Gruppe von Überwachungsfunktionen (5) schaltungstechnisch realisiert ist, gekennzeichnet durch, einen dritten, auf dem Halbleiterchip (1) ausgebildeten Bereich (6), der von den anderen Bereichen (2, 3) durch technologische Sicherheitsmaßnahmen getrennt ist, in dem eine die Grundfunktionen überwachende zweite Gruppe von Überwachungsfunktionen (7) schaltungstechnisch realisiert ist.
  2. Halbleiterchip nach Anspruch 1, dadurch gekennzeichnet, dass die erste Gruppe von sicherheitsrelevanten Grundfunktionen (3) eine Anzahl von Spannungsreglern (LD01 ... LDO6) zur Ausgabe von Versorgungsspannungen aufweist.
  3. Halbleiterchip nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die erste und die zweite Gruppe von Überwachungsfunktionen (3, 5) jeweils einen Ausfallsicherheits-Vortreiber (FailSafe PreDriver) und/oder einen Ausfallsicherheitsautomaten (Fail Safe Machine) und/oder eine Watchdogschaltung (Watchdog & Voltage monitoring) und/oder eine Spannungsüberwachungsschaltung aufweisen.
  4. Halbleiterchip (1) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Sicherheitsmaßnahmen eine Separation der energetischen Versorgung oder des Layouts und/oder eine elektrische Isolation und/oder eine Spannungsrobustheit und/oder eine Entkopplung eines redundanten Abschaltpfades umfassen.
  5. Sicherheitsschaltungsanordnung mit einem Halbleiterchip (1) gemäß einem der Ansprüche 1 bis 4 und zumindest einem mit diesem verbundenen Sicherheitsschalter (9), der mit einem Schalter (10) oder einem Aktor verbunden ist, wobei die Sicherheitsschaltungsanordnung eingerichtet ist, den Schalter (10) oder den Aktor mittels des zumindest einen Sicherheitsschalters (9) zu aktivieren oder zu deaktivieren, wobei der Sicherheitsschalter (9) mit beiden Gruppen von Überwachungsfunktionen (5, 7) verbunden ist.
DE102020208854.3A 2020-07-15 2020-07-15 Halbleiterchip und Sicherheitsschaltungsanordnung mit einem solchen Halbleiterchip Pending DE102020208854A1 (de)

Priority Applications (4)

Application Number Priority Date Filing Date Title
DE102020208854.3A DE102020208854A1 (de) 2020-07-15 2020-07-15 Halbleiterchip und Sicherheitsschaltungsanordnung mit einem solchen Halbleiterchip
CN202180049456.5A CN115803979A (zh) 2020-07-15 2021-06-21 半导体芯片和具有这种半导体芯片的安全电路装置
PCT/EP2021/066859 WO2022012876A1 (de) 2020-07-15 2021-06-21 Halbleiterchip und sicherheitsschaltungsanordnung mit einem solchen halbleiterchip
US18/005,697 US20230305913A1 (en) 2020-07-15 2021-06-21 Semiconductor chip and security circuit assembly comprising such a semiconductor chip

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102020208854.3A DE102020208854A1 (de) 2020-07-15 2020-07-15 Halbleiterchip und Sicherheitsschaltungsanordnung mit einem solchen Halbleiterchip

Publications (1)

Publication Number Publication Date
DE102020208854A1 true DE102020208854A1 (de) 2022-01-20

Family

ID=76730525

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102020208854.3A Pending DE102020208854A1 (de) 2020-07-15 2020-07-15 Halbleiterchip und Sicherheitsschaltungsanordnung mit einem solchen Halbleiterchip

Country Status (4)

Country Link
US (1) US20230305913A1 (de)
CN (1) CN115803979A (de)
DE (1) DE102020208854A1 (de)
WO (1) WO2022012876A1 (de)

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5372410A (en) 1994-02-02 1994-12-13 National Semiconductor Corporation Anti-lock braking system
US6208242B1 (en) 1997-10-24 2001-03-27 Continental Teves Ag & Co., Ohg Circuit configuration to monitor a regulated output voltage in a motor vehicle
US6438462B1 (en) 1996-03-26 2002-08-20 Daimlerchrysler Ag Semiconductor circuit for an electronic unit
US20080258253A1 (en) 2003-10-08 2008-10-23 Wolfgang Fey Integrated Microprocessor System for Safety-Critical Regulations
US20080312790A1 (en) 2005-03-10 2008-12-18 Continental Teves Ag & Co. Ohg Electronic Motor Vehicle Control Unit
DE102014209090A1 (de) 2014-05-14 2015-11-19 Continental Automotive Gmbh Integrierter Schaltkreis mit isolierter Abschalteinheit
US20160077909A1 (en) 2012-02-01 2016-03-17 Renesas Electronics Corporation Watchdog circuit, power ic and watchdog monitor system
US20190079835A1 (en) 2017-09-13 2019-03-14 Hyundai Motor Company Apparatus and method for enhancing reliability of watchdog circuit for controlling central processing device for vehicle

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9638744B2 (en) * 2012-07-02 2017-05-02 Nxp Usa, Inc. Integrated circuit device, safety circuit, safety-critical system and method of manufacturing an integrated circuit device
EP2685378B1 (de) * 2012-07-11 2016-06-29 Rohm Co., Ltd. Elektrische Bauteileinheit eines Kraftfahrzeugs
US10585772B2 (en) * 2013-06-04 2020-03-10 Trw Automotive U.S. Llc Power supply diagnostic strategy
KR101453985B1 (ko) * 2014-03-12 2014-10-28 콘티넨탈 오토모티브 시스템 주식회사 차량용 전자제어회로
US11520297B2 (en) * 2019-03-29 2022-12-06 Intel Corporation Enhancing diagnostic capabilities of computing systems by combining variable patrolling API and comparison mechanism of variables

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5372410A (en) 1994-02-02 1994-12-13 National Semiconductor Corporation Anti-lock braking system
US6438462B1 (en) 1996-03-26 2002-08-20 Daimlerchrysler Ag Semiconductor circuit for an electronic unit
US6208242B1 (en) 1997-10-24 2001-03-27 Continental Teves Ag & Co., Ohg Circuit configuration to monitor a regulated output voltage in a motor vehicle
US20080258253A1 (en) 2003-10-08 2008-10-23 Wolfgang Fey Integrated Microprocessor System for Safety-Critical Regulations
US20080312790A1 (en) 2005-03-10 2008-12-18 Continental Teves Ag & Co. Ohg Electronic Motor Vehicle Control Unit
US20160077909A1 (en) 2012-02-01 2016-03-17 Renesas Electronics Corporation Watchdog circuit, power ic and watchdog monitor system
DE102014209090A1 (de) 2014-05-14 2015-11-19 Continental Automotive Gmbh Integrierter Schaltkreis mit isolierter Abschalteinheit
US20190079835A1 (en) 2017-09-13 2019-03-14 Hyundai Motor Company Apparatus and method for enhancing reliability of watchdog circuit for controlling central processing device for vehicle

Also Published As

Publication number Publication date
CN115803979A (zh) 2023-03-14
US20230305913A1 (en) 2023-09-28
WO2022012876A1 (de) 2022-01-20

Similar Documents

Publication Publication Date Title
EP1673667B1 (de) Integriertes mikroprozessorsystem für sicherheitskritische regelungen
EP2146881B1 (de) Elektromechanisches bremssystem mit einer ausfallsicheren energieversorgung und verfahren zur ausfallsicheren energieversorgung in einem elektromechanischen bremssystem für fahrzeuge
DE102017209721A1 (de) Vorrichtung für die Steuerung eines sicherheitsrelevanten Vorganges, Verfahren zum Testen der Funktionsfähigkeit der Vorrichtung, sowie Kraftfahrzeug mit der Vorrichtung
DE102018121960A1 (de) Vorrichtung zur Entkopplung und zum Schutz vor Ausgleichsströmen in einem redundanten System für autonomes Fahren
WO2015082113A1 (de) Bordnetz zur fehlertoleranten und redundanten versorgung
WO2014206885A1 (de) Sicherheitsschaltvorrichtung zur detektion von fehlerhaften eingängen
EP3385934A1 (de) Vorrichtung für die steuerung eines sicherheitsrelevanten vorganges, verfahren zum testen der funktionsfähigkeit der vorrichtung, sowie kraftfahrzeug mit der vorrichtung
EP3452336B1 (de) Mehrspannungs-steuervorrichtung für ein kraftfahrzeug, kraftfahrzeug und betriebsverfahren für die steuervorrichtung
WO2020052950A1 (de) Schutzvorrichtung zur entkopplung elektrischer steuerkreise in einem redundanten system für autonomes fahren
WO2021197555A1 (de) Bremssystem mit wenigstens zwei energiequellen
WO2017153318A1 (de) Verfahren und vorrichtung zum versorgen einer einrichtung mit elektrischer energie
DE102020208854A1 (de) Halbleiterchip und Sicherheitsschaltungsanordnung mit einem solchen Halbleiterchip
DE102017202295A1 (de) Schaltungsanordnung zum Durchführen eines Vergleichs
DE102019216342B3 (de) Auswertevorrichtung zur fehlertoleranten Auswertung von Sensorsignalen für ein Motorsteuergerät einer Kraftfahrzeuglenkung und Kraftfahrzeuglenkung
DE102015215847B3 (de) Vorrichtung und Verfahren zur Erhöhung der funktionalen Sicherheit in einem Fahrzeug.
DE10103951B4 (de) Energieversorgungseinrichtung für bordnetzgestützte, sicherheitsrelevante Systemkomponenten von Fahrzeugen
DE102012214774A1 (de) Elektronische Schaltungsanordnung in einem Kraftfahrzeugsteuergerät
DE102011075182A1 (de) Mikrocontroller mit fehlersicherer Ansteuerung externer Aktuatoren
DE102016200091A1 (de) Verfahren zum Koppeln eines Verbrauchers
DE102022207670A1 (de) Vorrichtung zum Steuern einer Fahrzeugkomponente und Fahrzeugkomponente
EP4173909A1 (de) Ventilvorrichtung für ein system für ein fahrzeug und system für ein fahrzeug
EP1597713A1 (de) Vorrichtung zur drahtlosen bertragung von signalen und/oder energie
DE112021002746T5 (de) Bordeigener elektronik-controller und verfahren zur steuerung von bordeigenen einrichtungen
DE102019219752A1 (de) Steuerungssystem und Verfahren zum Betreiben eines Steuerungssystems
EP4173874A1 (de) Ventilvorrichtung für ein system, insbesondere für ein fahrzeug und system, insbesondere bremssystem für ein fahrzeug

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R081 Change of applicant/patentee

Owner name: VITESCO TECHNOLOGIES GMBH, DE

Free format text: FORMER OWNER: VITESCO TECHNOLOGIES GMBH, 30165 HANNOVER, DE

R016 Response to examination communication