[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

DE102018110934B4 - Process for operationally safe, simplified activation of production test modes in safety-relevant electronic circuits for a vehicle occupant restraint system - Google Patents

Process for operationally safe, simplified activation of production test modes in safety-relevant electronic circuits for a vehicle occupant restraint system Download PDF

Info

Publication number
DE102018110934B4
DE102018110934B4 DE102018110934.2A DE102018110934A DE102018110934B4 DE 102018110934 B4 DE102018110934 B4 DE 102018110934B4 DE 102018110934 A DE102018110934 A DE 102018110934A DE 102018110934 B4 DE102018110934 B4 DE 102018110934B4
Authority
DE
Germany
Prior art keywords
control line
test mode
production test
transistor
activation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE102018110934.2A
Other languages
German (de)
Other versions
DE102018110934A1 (en
Inventor
André Sudhaus
Jens-Arne Schürstedt
Tan Subijanto
Fikret Abaza
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Elmos Semiconductor SE
Original Assignee
Elmos Semiconductor SE
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Elmos Semiconductor SE filed Critical Elmos Semiconductor SE
Publication of DE102018110934A1 publication Critical patent/DE102018110934A1/en
Application granted granted Critical
Publication of DE102018110934B4 publication Critical patent/DE102018110934B4/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G01MEASURING; TESTING
    • G01RMEASURING ELECTRIC VARIABLES; MEASURING MAGNETIC VARIABLES
    • G01R31/00Arrangements for testing electric properties; Arrangements for locating electric faults; Arrangements for electrical testing characterised by what is being tested not provided for elsewhere
    • G01R31/005Testing of electric installations on transport means
    • G01R31/006Testing of electric installations on transport means on road vehicles, e.g. automobiles or trucks
    • G01R31/007Testing of electric installations on transport means on road vehicles, e.g. automobiles or trucks using microprocessors or computers
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R21/00Arrangements or fittings on vehicles for protecting or preventing injuries to occupants or pedestrians in case of accidents or other traffic risks
    • B60R21/01Electrical circuits for triggering passive safety arrangements, e.g. airbags, safety belt tighteners, in case of vehicle accidents or impending vehicle accidents
    • B60R21/017Electrical circuits for triggering passive safety arrangements, e.g. airbags, safety belt tighteners, in case of vehicle accidents or impending vehicle accidents including arrangements for providing electric power to safety arrangements or their actuating means, e.g. to pyrotechnic fuses or electro-mechanic valves
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01RMEASURING ELECTRIC VARIABLES; MEASURING MAGNETIC VARIABLES
    • G01R31/00Arrangements for testing electric properties; Arrangements for locating electric faults; Arrangements for electrical testing characterised by what is being tested not provided for elsewhere
    • G01R31/327Testing of circuit interrupters, switches or circuit-breakers
    • G01R31/3277Testing of circuit interrupters, switches or circuit-breakers of low voltage devices, e.g. domestic or industrial devices, such as motor protections, relays, rotation switches

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mechanical Engineering (AREA)
  • Computer Hardware Design (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Chemical & Material Sciences (AREA)
  • Combustion & Propulsion (AREA)
  • Air Bags (AREA)

Abstract

Verfahren zur Aktivierung eines Produktionstestmodus für eine integrierte sicherheitsrelevante elektronische Schaltung (IC) zur Steuerung eines Fahrzeuginsassenrückhaltesystems mit einer Zündpille (SQ) oder für mindestens eine integrierte sicherheitsrelevante elektronische Schaltung (IC) von mehreren integrierten sicherheitsrelevanten Schaltungen zur Steuerung eines Fahrzeuginsassenrückhaltesystems mit einer Zündpille (SQ),- wobei die integrierte Schaltung (IC) eine erste Steuerleitung umfasst, die dazu vorgesehen ist, einen ersten Steueranschluss (G1) eines ersten Transistors (T1) anzusteuern und- wobei die erste Steuerleitung aktiv oder inaktiv sein kann und- wobei die integrierte Schaltung (IC) eine zweite Steuerleitung umfasst, die dazu vorgesehen ist, einen zweiten Steueranschluss (G2) eines zweiten Transistors (T2) anzusteuern und- wobei die zweite Steuerleitung aktiv oder inaktiv sein kann und- wobei die integrierte Schaltung (IC) eine dritte Steuerleitung umfasst, die dazu vorgesehen ist, einen dritten Steueranschluss (G3) eines dritten Transistors (T3) anzusteuern und- wobei die dritte Steuerleitung aktiv oder inaktiv sein kann und- wobei die integrierte Schaltung dazu vorgesehen ist, dass der erste Transistor (T1) und der zweite Transistor (T2) und der dritte Transistor (T3) in Serie mit der Zündpille (SQ) geschaltet sind und- wobei die Zündung der Zündpille (SQ) im Normalbetrieb zumindest zur Voraussetzung hat, dass die erste Steuerleitung aktiv ist und die zweite Steuerleitung aktiv ist und die dritte Steuerleitung aktiv ist- wobei eine Prüfung der ersten Steuerleitung im Produktionstestmodus der integrierten sicherheitsrelevanten elektronischen Schaltung (IC) möglich sein soll umfassend die Schritte- Erfüllen einer ersten Vorbedingung zur Aktivierung des Produktionstestmodus durch Übermitteln einer ersten Botschaft über eine erste Schnittstelle (IF1);- Ermitteln, dass der Produktionstestmodus aufgrund der ersten Vorbedingung zur Aktivierung des Produktionstestmodus es erfordert, dass die erste Steuerleitung NICHT zwangsweise bis zum Ende der Aktivierung des Produktionstestmodus deaktiviert wird;- Deaktivieren der zweiten Steuerleitung des zweiten Steueranschlusses (G2) des zweiten Transistors (T2) und Verriegelung einer Aktivierung der zweiten Steuerleitung zumindest bis zum Ende der Aktivierung des Produktionstestmodus oder Deaktivieren der dritten Steuerleitung des dritten Steueranschlusses (G3) des dritten Transistors (T3) und Verriegelung einer Aktivierung der dritten Steuerleitung zumindest bis zum Ende der Aktivierung des Produktionstestmodus;- Überprüfen ob die deaktivierten Steuerleitungen deaktiviert sind;- Erfüllen einer zweiten Vorbedingung zur Aktivierung des Produktionstestmodus durch Übermitteln einer zweiten Botschaft über eine zweite Schnittstelle (IF2), die von der ersten Schnittstelle (IF1) verschieden ist;- Aktivieren des Produktionstestmodus, wenn von der zweiten oder dritten Steuerleitung zumindest eine Steuerleitung deaktiviert wurde und wenn zumindest diese Steuerleitung deaktiviert ist und wenn die erste Vorbedingung erfüllt ist und die zweite Vorbedingung erfüllt ist und wenn aufgrund der ersten Vorbedingung zur Aktivierung des Produktionstestmodus ermittelt wird, dass der Produktionstestmodus es erfordert, dass die erste Steuerleitung nicht zwangsweise bis zum Ende der Aktivierung des Produktionstestmodus deaktiviert wird.Method for activating a production test mode for an integrated safety-related electronic circuit (IC) for controlling a vehicle occupant restraint system with a squib (SQ) or for at least one integrated safety-related electronic circuit (IC) from a plurality of integrated safety-related circuits for controlling a vehicle occupant restraint system with a squib (SQ) ,- wherein the integrated circuit (IC) comprises a first control line which is intended to drive a first control terminal (G1) of a first transistor (T1) and- wherein the first control line can be active or inactive and- wherein the integrated circuit ( IC) comprises a second control line which is intended to drive a second control connection (G2) of a second transistor (T2) and- wherein the second control line can be active or inactive and- wherein the integrated circuit (IC) comprises a third control line, the intended to drive a third control connection (G3) of a third transistor (T3) and- wherein the third control line can be active or inactive and- wherein the integrated circuit is provided for the first transistor (T1) and the second transistor (T2 ) and the third transistor (T3) are connected in series with the squib (SQ) and- wherein the ignition of the squib (SQ) in normal operation at least has the prerequisite that the first control line is active and the second control line is active and the third Control line is active- whereby a test of the first control line in the production test mode of the integrated safety-relevant electronic circuit (IC) should be possible, comprising the steps of- fulfilling a first precondition for activating the production test mode by transmitting a first message via a first interface (IF1);- determining that the production test mode due to the first precondition to activate the producti onstestmodus it requires that the first control line is NOT forcibly deactivated until the end of the activation of the production test mode;- deactivating the second control line of the second control terminal (G2) of the second transistor (T2) and locking an activation of the second control line at least until the end of the activation of the production test mode or deactivating the third control line of the third control terminal (G3) of the third transistor (T3) and locking an activation of the third control line at least until the end of the activation of the production test mode;- checking whether the deactivated control lines are deactivated;- fulfilling a second precondition for Activation of the production test mode by transmitting a second message via a second interface (IF2) which is different from the first interface (IF1);- Activation of the production test mode if at least one control line from the second or third control line device has been deactivated and if at least this control line is deactivated and if the first precondition is met and the second precondition is met and if it is determined based on the first precondition for activating the production test mode that the production test mode requires that the first control line is not forced to end of activation of production test mode.

Description

Feld der Erfindungfield of invention

Es wird ein Verfahren zur Aktivierung eines Produktionstestmodus für eine sicherheitsrelevante elektronische Schaltung und im Speziellen ein Verfahren zur Aktivierung eines Produktionstestmodus für eine integrierte sicherheitsrelevante elektronische Schaltung (IC) zur Steuerung eines Fahrzeuginsassenrückhaltesystems mit einer Zündpille (SQ) vorgeschlagen.A method for activating a production test mode for a safety-related electronic circuit and in particular a method for activating a production test mode for an integrated safety-related electronic circuit (IC) for controlling a vehicle occupant restraint system with a squib (SQ) is proposed.

Allgemeine EinleitungGeneral introduction

Elektronische Systeme und insbesondere integrierte Schaltungen werden in verschiedensten sicherheitsrelevanten Systemen eingesetzt. Relevante beispielhafte Standards, die solche Systeme je nach Anwendung erfüllen müssen, sind beispielsweise (ohne hier den Anspruch auf Vollständigkeit zu erheben):

  • • IEC 61511: Funktionale Sicherheit - für Sicherheitstechnische Systeme für die Prozessindustrie
  • • IEC 61513: Kernkraftwerke - für Leittechnik für Systeme mit sicherheitstechnischer Bedeutung - Allgemeine Systemanforderungen
  • • EN 50128: Bahnanwendungen - für Telekommunikationstechnik, Signaltechnik und Datenverarbeitungssysteme - für sicherheitsrelevante elektronische Systeme für die Signaltechnik
  • • IEC 62061: Sicherheit von Maschinen - für die funktionale Sicherheit sicherheitsbezogener elektrischer, elektronischer und programmierbarer elektronischer Steuerungssysteme
  • • ISO 26262: Road Vehicles - Funktionale Sicherheit für Automobile
Electronic systems and in particular integrated circuits are used in a wide variety of safety-related systems. Examples of relevant exemplary standards that such systems must meet depending on the application are (without claiming to be complete):
  • • IEC 61511: Functional safety - for safety-related systems for the process industry
  • • IEC 61513: Nuclear power plants - for control technology for systems with safety-related significance - general system requirements
  • • EN 50128: Railway applications - for telecommunications technology, signaling technology and data processing systems - for safety-related electronic systems for signaling technology
  • • IEC 62061: Safety of machinery - for the functional safety of safety-related electrical, electronic and programmable electronic control systems
  • • ISO 26262: Road Vehicles - Functional safety for automobiles

Vor der Auslieferung solcher sicherheitsrelevanten elektronischen Systeme und während der Produktion müssen diese Systeme vollständig auf Funktionstüchtigkeit aller Komponenten geprüft werden. Deren Anzahl kann bei integrierten Schaltungen zweistellige Zehnerpotenzen erreichen.Before the delivery of such safety-relevant electronic systems and during production, these systems must be fully tested for the functionality of all components. Their number can reach two-digit powers of ten in integrated circuits.

Daher werden spezielle Produktionstestmodi (Testzustände der elektronischen Systeme) vorgesehen, um für jede der Komponenten des zu testenden elektronischen Systems diese Komponente schnell und kosteneffizient in alle möglichen relevanten Zustände bringen zu können und die Reaktion dieser Komponente so beobachten zu können, dass eine Gut/Schlecht-Aussage bezüglich jedes zu prüfenden Parameters dieser Komponente möglich ist.Therefore, special production test modes (test states of the electronic systems) are provided in order to be able to quickly and cost-effectively bring this component into all possible relevant states for each of the components of the electronic system to be tested and to be able to observe the reaction of this component in such a way that a good/bad - Statement regarding each parameter of this component to be checked is possible.

In der Regel sind daher diese elektronischen Systeme in diesen Produktionstestmodi nicht spezifikationskonform betreibbar und damit nicht sicher. Durch verschiedenste Einflüsse ist es nun möglich, dass Signale zur Aktivierung der Produktionstestmodi im normalen Betrieb unabsichtlich aktiviert werden. Dies kann im einfachsten Fall beispielsweise durch natürliche Radioaktivität oder einen Ausfall einer Subkomponente des elektronischen Systems geschehen. Ein solches Ereignis darf daher nicht zu einem Sicherheitsrisiko werden.As a rule, therefore, these electronic systems cannot be operated in accordance with the specification in these production test modes and are therefore not safe. Due to a wide variety of influences, it is now possible for signals for activating the production test modes to be unintentionally activated during normal operation. In the simplest case, this can be caused by natural radioactivity or a failure of a sub-component of the electronic system. Such an event must therefore not become a security risk.

Eine Produktionstest-Implementierung in sicherheitsrelevanten Produkten birgt somit bei unbeabsichtigter Aktivierung eines Produktionstestmodus im sicherheitsrelevanten Normalbetrieb immer das Potential für kritische, sicherheitsrelevante Fehler.A production test implementation in safety-relevant products thus always harbors the potential for critical, safety-relevant errors in the event of unintentional activation of a production test mode in safety-relevant normal operation.

Stand der TechnikState of the art

Im Folgenden wird als elektronisches System ein integrierter Schaltkreis beschrieben. Die vorgeschlagene Methodik lässt sich aber auch auf jedes andere elektronische System anwenden.An integrated circuit is described below as an electronic system. However, the proposed methodology can also be applied to any other electronic system.

Es gibt unzählige Methoden, integrierte Schaltungen in einen Produktionstestmodus (Testzustand) zu bringen. Im einfachsten Fall wird ein Anschluss auf einen bestimmten Pegel gezogen, der normalerweise nicht auf diesem Pegel betrieben wird. Auch ist die Aktivierung über bestimmte Speicherstellen von Registern eines Prozessors bekannt, sofern der integrierte Schaltkreis über einen Prozessor verfügt. Besonders geeignet, da standardisiert, ist der Test über eine IEEE- 1149 kompatible JTAG-Testschnittstelle und die Test-Register des zugehörigen JTAG-Test-Controllers.There are countless methods of bringing integrated circuits into a production test mode (test state). In the simplest case, a connection is pulled to a specific level that is not normally operated at this level. Activation via specific memory locations of registers in a processor is also known, provided the integrated circuit has a processor. Testing via an IEEE-1149-compatible JTAG test interface and the test register of the associated JTAG test controller is particularly suitable because it is standardized.

Aus dem Stand der Technik ist die Mehrfachverriegelung von Test-Modi bekannt. Dieser Stand der Technik ist insbesondere in Form von integrierten Schaltungen bekannt, die auf dem Markt frei verfügbar sind. Produktionstestmodi müssen immer erst aktiviert werden. Um die notwendige Sicherheit zu erreichen, reicht eine Mehrfachverriegelung aber manchmal eben nicht aus. Werden die Ausfallraten aufgrund der Schaltkreiskonstruktion berechnet, so ist es in gewissen Fällen, insbesondere bei integrierten Schaltungen zur Steuerung von Fahrzeuginsassenrückhaltesystemen (Airbags) oder zur Steuerung von Fußgängeraufprallschutzsystemen, notwendig die Wahrscheinlichkeit eines fehlerhaften Aktivierens sicherheitsrelevanter Funktionen, wie beispielsweise das Zünden eines Airbags oder eines Fußgängeraufprallschutzsystems während der Fahrt, noch weiter abzusenken, um den Anforderungen der oben beispielhaft genannten Normen gerecht werden zu können. Eine solches fehlerhaftes Aktivieren sicherheitsrelevanter Funktionen kann beispielsweise auch durch das versehentliche Aktivieren eines Produktionstestmodus im bestimmungsgemäßen Normalbetrieb geschehen.Multiple locking of test modes is known from the prior art. This prior art is known in particular in the form of integrated circuits which are freely available on the market. Production test modes must always be activated first. In order to achieve the necessary security, multiple locking is sometimes not enough. When calculating failure rates based on circuit design, in certain cases, particularly integrated circuits used to control vehicle occupant restraint systems (airbags) or to control pedestrian impact protection systems, it is necessary to account for the probability of erroneous activation of safety-related functions, such as the deployment of an airbag or pedestrian impact protection system while driving, to be lowered even further in order to be able to meet the requirements of the standards mentioned above as examples. Such an erroneous activation of security-related functions can also be caused, for example, by the accidental activation of a product tion test mode in the intended normal operation.

Als relevante Patentliteratur kann hier beispielsweise die US 2014 / 0 039 764 A1 benannt werden, die eine Vorinspektionsmethode zur Inspektion eines Air-Bag-Controllers vor der Verschiffung offenlegt. Des Weiteren ist die deutsche Patentanmeldung DE 10 2005 030 770 A1 von besonderer Bedeutung, die ein Verfahren zum Steuern einer Sicherheitseinrichtung im Fahrzeug angibt. Außerdem soll hier die DE 198 28 432 A1 angegeben werden, die die Verwendung eines Sicherheitsschalters in Airbags an sich als eine besonders frühe Offenlegung dieses Schutzmechanismus beschreibt. Ebenso sei an dieser Stelle die DE 103 50 853 A1 als relevanter Stand der Technik benannt. Die DE 103 50 853 A1 offenbart die Entriegelung eines Aktors in Abhängigkeit von verschiedenen Steuer und Freigabesignalen.As a relevant patent literature here, for example, the U.S. 2014/0 039 764 A1 which discloses a pre-inspection method for inspecting an air bag controller prior to shipment. Furthermore, the German patent application DE 10 2005 030 770 A1 of particular importance, which specifies a method for controlling a safety device in the vehicle. In addition, the DE 198 28 432 A1 be given, which describes the use of a safety switch in airbags per se as a particularly early disclosure of this protective mechanism. Likewise at this point DE 103 50 853 A1 named as relevant prior art. The DE 103 50 853 A1 discloses the unlocking of an actuator depending on various control and release signals.

Allen diesen Schriften ist gemeinsam, dass sie beschreiben, wie beispielsweise durch gegenseitige Verriegelung und/oder Sicherheitsschalter sichergestellt wird, dass es nicht zu einem versehentlichen Auslösen eines Air-Bags kommt. In der Qualitätstechnik ist jedoch eine solche Verhinderung als Eindämmungsmaßnahme für ein bereits entstandenes Problem vor dessen Ausprägung zum Fehler bekannt. Die Vorliegende Offenlegung soll jedoch nicht, wie die zuvor genannten Offenlegungen, einen sicheren Test ermöglichen, sondern verhindern, dass überhaupt ein Testzustand versehentlich eingenommen werden kann. Es geht also in der folgenden Beschreibung ausdrücklich nicht um das sichere Testen einer sicherheitsrelevanten integrierten Schaltung, sondern um die sichere Einnahme eines sicheren Testzustands in dem dann ein solche Test erfolgen kann. Dieses Problem äußert sich bei Berechnungen im Rahmen der funktionalen Sicherheit so, dass der Aufwand zur Absenkung der Eintrittswahrscheinlichkeit eines fehlerhaften Aktivierens sicherheitsrelevanter Funktionen durch eine versehentliche Aktivierung von Produktionstestmodi durch diese Vorgehensweise signifikant abgesenkt wird.What all of these documents have in common is that they describe how, for example, mutual locking and/or safety switches ensure that an air bag does not inadvertently trigger. In quality engineering, however, such prevention is known as a containment measure for a problem that has already arisen before it develops into an error. However, the present disclosure is not intended to enable a reliable test, like the aforementioned disclosures, but rather to prevent a test state from being accidentally assumed at all. The following description is therefore expressly not concerned with the safe testing of a safety-relevant integrated circuit, but with the safe assumption of a safe test state in which such a test can then take place. In calculations within the framework of functional safety, this problem manifests itself in such a way that the effort required to reduce the probability of occurrence of an incorrect activation of safety-relevant functions due to an accidental activation of production test modes is significantly reduced by this procedure.

Aufgabe der Erfindungobject of the invention

Der Erfindung liegt daher die Aufgabe zugrunde, eine Lösung zu schaffen die die Wahrscheinlichkeit eines fehlerhaften Aktivierens sicherheitsrelevanter Funktionen durch eine versehentliche Aktivierung von Produktionstestmodi weiter absenkt.The invention is therefore based on the object of creating a solution that further reduces the probability of erroneous activation of safety-related functions due to accidental activation of production test modes.

Diese Aufgabe wird durch ein Verfahren nach Anspruch 1, nach Anspruch 2 oder nach Anspruch 3 gelöst.This object is achieved by a method according to claim 1, according to claim 2 or according to claim 3.

Lösung der erfindungsgemäßen AufgabeSolution of the problem of the invention

Die beanspruchte Erfindung betrifft ein Verfahren zur Aktivierung eines Produktionstestmodus für eine integrierte sicherheitsrelevante elektronische Schaltung IC zur Steuerung eines Fahrzeuginsassenrückhaltesystems mit einer Zündpille SQ oder für mindestens eine integrierte sicherheitsrelevante elektronische Schaltung IC von mehreren integrierten sicherheitsrelevanten Schaltungen zur Steuerung eines Fahrzeuginsassenrückhaltesystems mit einer Zündpille SQ. Die integrierte Schaltung IC umfasst erfindungsgemäß eine erste Steuerleitung, die dazu vorgesehen ist, einen ersten Steueranschluss G1 eines ersten Transistors T1 anzusteuern, und eine zweite Steuerleitung umfasst, die dazu vorgesehen ist, einen zweiten Steueranschluss G2 eines zweiten Transistors T2 anzusteuern, und eine dritte Steuerleitung, die dazu vorgesehen ist, einen dritten Steueranschluss G3 eines dritten Transistors T3 anzusteuern. Die erste Steuerleitung und die zweite Steuerleitung und die dritte Steuerleitung können dabei jeweils aktiv oder inaktiv sein. Der erste Transistor T1 und der zweite Transistor T2 und der dritte Transistor T3 sind in Serie mit der Zündpille SQ geschaltet. Erfindungsgemäß hat die Zündung der Zündpille SQ im Normalbetrieb zumindest zur Voraussetzung, dass die erste Steuerleitung aktiv ist und die zweite Steuerleitung aktiv ist und die dritte Steuerleitung aktiv ist, wobei eine Prüfung der ersten Steuerleitung im Produktionstestmodus der integrierten sicherheitsrelevanten elektronischen Schaltung IC möglich sein soll. Das erfindungsgemäße Verfahren umfasst das Erfüllen einer ersten Vorbedingung zur Aktivierung des Produktionstestmodus durch Übermitteln einer ersten Botschaft über eine erste Schnittstelle IF1. Das erfindungsgemäße Verfahren umfasst das Ermitteln, dass der Produktionstestmodus aufgrund der ersten Vorbedingung zur Aktivierung des Produktionstestmodus es erfordert, dass die erste Steuerleitung NICHT zwangsweise bis zum Ende der Aktivierung des Produktionstestmodus deaktiviert wird, und das Deaktivieren der zweiten Steuerleitung des zweiten Steueranschlusses G2 des zweiten Transistors T2 und die Verriegelung einer Aktivierung der zweiten Steuerleitung zumindest bis zum Ende der Aktivierung des Produktionstestmodus oder das Deaktivieren der dritten Steuerleitung des dritten Steueranschlusses G3 des dritten Transistors T3 und die Verriegelung einer Aktivierung der dritten Steuerleitung zumindest bis zum Ende der Aktivierung des Produktionstestmodus. Das erfindungsgemäße Verfahren umfasst des Weiteren das Überprüfen ob die deaktivierten Steuerleitungen deaktiviert sind. Das erfindungsgemäße Verfahren umfasst das Erfüllen einer zweiten Vorbedingung zur Aktivierung des Produktionstestmodus durch Übermitteln einer zweiten Botschaft über eine zweite Schnittstelle IF2, die von der ersten Schnittstelle IF1 verschieden ist und das Aktivieren des Produktionstestmodus, wenn von der zweiten oder dritten Steuerleitung zumindest eine Steuerleitung deaktiviert wurde und wenn zumindest diese Steuerleitung deaktiviert ist und wenn die erste Vorbedingung erfüllt ist und die zweite Vorbedingung erfüllt ist und wenn aufgrund der ersten Vorbedingung zur Aktivierung des Produktionstestmodus ermittelt wird, dass der Produktionstestmodus es erfordert, dass die erste Steuerleitung nicht zwangsweise bis zum Ende der Aktivierung des Produktionstestmodus deaktiviert wird.The claimed invention relates to a method for activating a production test mode for an integrated safety-related electronic circuit IC for controlling a vehicle occupant restraint system with a squib SQ or for at least one integrated safety-related electronic circuit IC from a plurality of integrated safety-related circuits for controlling a vehicle occupant restraint system with a squib SQ. According to the invention, the integrated circuit IC comprises a first control line, which is intended to drive a first control terminal G1 of a first transistor T1, and a second control line, which is intended to drive a second control terminal G2 of a second transistor T2, and a third control line , which is intended to drive a third control terminal G3 of a third transistor T3. The first control line and the second control line and the third control line can each be active or inactive. The first transistor T1 and the second transistor T2 and the third transistor T3 are connected in series with the squib SQ. According to the invention, the ignition of the squib SQ in normal operation has at least the prerequisite that the first control line is active and the second control line is active and the third control line is active, it being possible to test the first control line in the production test mode of the integrated safety-relevant electronic circuit IC. The method according to the invention includes the fulfillment of a first precondition for activating the production test mode by transmitting a first message via a first interface IF1. The inventive method includes determining that the production test mode requires that the first control line is NOT forcibly deactivated until the end of the activation of the production test mode due to the first precondition for activating the production test mode, and deactivating the second control line of the second control terminal G2 of the second transistor T2 and the locking of an activation of the second control line at least until the end of the activation of the production test mode or the deactivation of the third control line of the third control connection G3 of the third transistor T3 and the locking of an activation of the third control line at least until the end of the activation of the production test mode. The method according to the invention also includes checking whether the deactivated control lines are deactivated. The method according to the invention includes fulfilling a second precondition for activating the production test mode by transmitting a second message via a second interface IF2, which is different from the first interface IF1, and activating the production test mode if at least one control line was deactivated by the second or third control line and if at least this control line is deactivated and if the first precondition is met and the second precondition is met and if it is determined on the basis of the first precondition for activating the production test mode that the production test mode it requires that the first control line is not forcibly deactivated until the end of activation of the production test mode.

Der Ansatzpunkt für die beabsichtigte Wahrscheinlichkeitsabsenkung ist, die Erkennung und die Signalisierung eines potentiellen, mutmaßlich unbeabsichtigten Zugriffes auf Produktionstestfunktionen zu erhöhen und gleichzeitig die Wahrscheinlichkeit für das Erlangungen eines vordefinierten sicheren Zustandes für diesen Fall zu erhöhen.The starting point for the intended probability reduction is to increase the detection and signaling of a potential, presumably unintentional access to production test functions and at the same time to increase the probability of achieving a predefined safe state for this case.

Die Grundidee des vorgeschlagenen Verfahrens besteht somit darin, sowohl mindestens zwei Eintrittsbedingungen für den Produktionstest vorzugeben, aber auch die Konstruktion des Systems so zu gestalten, dass bereits bei Erfüllung der ersten Eintrittsbedingungen für den Produktionstest ein sicherer Funktionszustand zwingend eingenommen wird.The basic idea of the proposed method is to specify at least two entry conditions for the production test, but also to design the system in such a way that a safe functional state is assumed as soon as the first entry conditions for the production test are met.

Dieses Verfahren wird am Beispiel eines schematisch vereinfachten Airbag-Zündsystems, wie sie aus dem Stand der Technik bekannt ist, unter Zuhilfenahme von 1 erläutert. Solche Zündschaltungen werden auch in Fußgängeraufprallschutzsystemen eingesetzt.This method is the example of a schematically simplified airbag ignition system, as is known from the prior art, with the help of 1 explained. Such ignition circuits are also used in pedestrian impact protection systems.

Das beispielhafte Airbag-Zündsystem AS wird aus dem Betriebsstromnetz des Fahrzeugs mit der Versorgungsspannung VCC im Normalbetrieb versorgt. Dabei wird eine Energiereserve in Form eines Kondensators CE geladen und betriebsbereit gehalten. Diese dient im Falle der Störung der Versorgungsspannung VCC durch die Folgen eines Unfalls des Fahrzeugs zur Aufrechterhaltung der Energieversorgung des Airbag-Zündsystems AS. Eine Verpolschutzdiode D1 verhindert die Rückspeisung der in der Energiereserve CE gespeicherten Energie in das Stromnetz des Fahrzeugs. Das Airbag-Zündsystem AS besteht aus einer Serienschaltung zumindest dreier Transistoren (T1, T2, T3) und der Zündpille SQ des Airbags, sowie der Steuerung ST und dem Kondensator CE der Energiereserve und der Verpolschutzdiode D1. Die Zündpille SQ weist in der Regel einen ersten Anschluss und einen zweiten Anschluss auf. Der erste der drei Transistoren (T1, T2, T3) ist ein Sicherheitsschalttransistor T1, der bevorzugt nur einmal und vorzugsweise außerhalb der integrierten Schaltung vorgesehen wird. Der zweite Transistor T2 ist der sogenannte High-Side-Schalter, da er, wenn der Sicherheitsschalttransistor T1 durchgeschaltet ist, direkt mit der typischerweise positiven Versorgungsspannung VCC über die Verpolschutzdiode D1 verbunden ist. Der dritte Transistor T3 ist der sogenannte Low-Side-Schalter, da er direkt mit der typischerweise negativen Versorgungsspannung, dem Bezugspotenzial GND, verbunden ist. Zwischen dem High-Side-Schalter, also dem zweiten Transistor T2, und dem Low-Side-Schalter, also dem dritten Transistor T3, ist die Zündpille SQ angeordnet, die beim Zünden das Gas für die explosionsartige Entfaltung des Airbags liefert. Hierfür muss die Zündpille SQ von einem elektrischen Strom durchflossen werden. Es ist also notwendig alle drei Transistoren T1, T2, T3 gleichzeitig einzuschalten d.h. zu aktivieren, um die Zündlippe SQ zu zünden und den Airbag zu entfalten.The exemplary airbag ignition system AS is supplied with the supply voltage VCC from the operating power supply system of the vehicle in normal operation. In this case, an energy reserve in the form of a capacitor CE is charged and kept ready for operation. This serves to maintain the energy supply of the airbag ignition system AS in the event of a disruption in the supply voltage VCC due to the consequences of an accident in the vehicle. A polarity reversal protection diode D1 prevents the energy stored in the energy reserve CE from being fed back into the vehicle's power supply system. The airbag ignition system AS consists of a series connection of at least three transistors (T1, T2, T3) and the squib SQ of the airbag, as well as the controller ST and the capacitor CE of the energy reserve and the reverse polarity protection diode D1. The squib SQ usually has a first connection and a second connection. The first of the three transistors (T1, T2, T3) is a safety switching transistor T1, which is preferably provided only once and preferably outside the integrated circuit. The second transistor T2 is the so-called high-side switch, since it is connected directly to the typically positive supply voltage VCC via the reverse polarity protection diode D1 when the safety switching transistor T1 is switched on. The third transistor T3 is the so-called low-side switch, since it is connected directly to the typically negative supply voltage, the reference potential GND. The squib SQ is arranged between the high-side switch, ie the second transistor T2, and the low-side switch, ie the third transistor T3, and supplies the gas for explosive deployment of the airbag when ignited. To do this, an electric current must flow through the SQ squib. It is therefore necessary to turn on all three transistors T1, T2, T3 simultaneously, i.e. to activate them, in order to fire the squib SQ and deploy the airbag.

Bei einem Fußgängeraufprallschutzsystem würde beispielsweise statt der Entfaltung des Airbags die Motorraumklappe in eine nach oben leicht angewinkelte Position durch die Sprengladung gebracht, um die auf einen Kopf wirkenden Aufprallkräfte bei einem Zusammenstoß mit einem Fußgänger durch eine Verlängerung der Wegstrecke zu verkleinern.For example, in a pedestrian impact protection system, instead of deploying the airbag, the bonnet would be tipped up slightly by the explosive charge to reduce the impact forces on a head in a pedestrian collision by increasing the travel distance.

Die Aktivierung des ersten Transistors T1 erfolgt dabei durch das Aktivieren des ersten Steueranschlusses G1 des ersten Transistors T1.The first transistor T1 is activated by activating the first control connection G1 of the first transistor T1.

Die Aktivierung des zweiten Transistors T2 erfolgt dabei durch das Aktivieren des zweiten Steueranschlusses G2 des zweiten Transistors T2.The second transistor T2 is activated by activating the second control connection G2 of the second transistor T2.

Die Aktivierung des dritten Transistors T3 erfolgt dabei durch das Aktivieren des dritten Steueranschlusses G3 des dritten Transistors T3.The third transistor T3 is activated by activating the third control connection G3 of the third transistor T3.

Typischerweise befindet sich der erste Transistor T1 außerhalb der integrierten Schaltung IC, während der zweite Transistor T2 und der dritte Transistor T3 bevorzugt Teil der integrierten Schaltung IC sind. Die Zündpille SQ ist natürlich kein Teil der integrierten Schaltung IC. Aufgrund der erforderlichen Speicherkapazität befindet sich der Kondensator CE der Energiereserve typischerweise auch außerhalb der integrierten Schaltung IC. Eine Steuerung ST innerhalb der integrierten Schaltung IC liefert nun die Steuersignale für den ersten Steueranschluss G1 des ersten Transistors T1 und für den zweiten Steueranschluss G2 des zweiten Transistors T2 und für den dritten Steueranschluss G3 des dritten Transistors T3.Typically, the first transistor T1 is outside the integrated circuit IC, while the second transistor T2 and the third transistor T3 are preferably part of the integrated circuit IC. Of course, the squib SQ is not part of the integrated circuit IC. Because of the required storage capacity, the capacitor CE of the energy reserve is typically also located outside of the integrated circuit IC. A controller ST within the integrated circuit IC now supplies the control signals for the first control connection G1 of the first transistor T1 and for the second control connection G2 of the second transistor T2 and for the third control connection G3 of the third transistor T3.

Es wird nun vorgeschlagen, dass durch die Aktivierung eines Produktionstestmodus, hier beispielsweise durch die an die Steuerung ST angeschlossene Testmode-Aktivierungsleitung TM, einer der folgenden vier Fälle eintritt:

  • Fall A
    • • Die Aktivierung des ersten Steueranschlusses G1 des ersten Transistors T1 wird unterbunden und
    • • die Aktivierung des zweiten Steueranschlusses G2 des zweiten Transistors T2 wird unterbunden und
    • • die Aktivierung des dritten Steueranschlusses G3 des dritten Transistors T3 wird unterbunden.
  • Fall B
    • • Die Aktivierung des ersten Steueranschlusses G1 des ersten Transistors T1 wird NICHT unterbunden und
    • • die Aktivierung des zweiten Steueranschlusses G2 des zweiten Transistors T2 wird unterbunden und
    • • die Aktivierung des dritten Steueranschlusses G3 des dritten Transistors T3 wird unterbunden.
  • Fall C
    • • Die Aktivierung des ersten Steueranschlusses G1 des ersten Transistors T1 wird unterbunden und
    • • die Aktivierung des zweiten Steueranschlusses G2 des zweiten Transistors T2 wird NICHT unterbunden und
    • • die Aktivierung des dritten Steueranschlusses G3 des dritten Transistors T3 wird unterbunden.
  • Fall D
    • • Die Aktivierung des ersten Steueranschlusses G1 des ersten Transistors T1 wird unterbunden und
    • • die Aktivierung des zweiten Steueranschlusses G2 des zweiten Transistors T2 wird unterbunden und
    • • die Aktivierung des dritten Steueranschlusses G3 des dritten Transistors T3 wird NICHT unterbunden.
It is now proposed that by activating a production test mode, here for example by the test mode activation line TM connected to the controller ST, one of the following four cases occurs:
  • Case A
    • • The activation of the first control terminal G1 of the first transistor T1 is prevented and
    • • the activation of the second control terminal G2 of the second transistor T2 is prevented and
    • • the activation of the third control connection G3 of the third transistor T3 is prevented.
  • case B
    • • The activation of the first control connection G1 of the first transistor T1 is NOT prevented and
    • • the activation of the second control terminal G2 of the second transistor T2 is prevented and
    • • the activation of the third control connection G3 of the third transistor T3 is prevented.
  • Case C
    • • The activation of the first control terminal G1 of the first transistor T1 is prevented and
    • • the activation of the second control terminal G2 of the second transistor T2 is NOT prevented and
    • • the activation of the third control connection G3 of the third transistor T3 is prevented.
  • case D
    • • The activation of the first control terminal G1 of the first transistor T1 is prevented and
    • • the activation of the second control terminal G2 of the second transistor T2 is prevented and
    • • the activation of the third control connection G3 of the third transistor T3 is NOT prevented.

Hierbei ist der Begriff „aktiv“ für eine Steuerleitung für einen Steueranschluss (G1, G2, G3) eines der Transistoren (T1, T2, T3) so zu verstehen, dass im Normalbetrieb die Zündpille SQ zündet, sobald alle drei Steuerleitungen der drei Steueranschlüsse (G1, G2, G3) der Transistoren (T1, T2, T3) „aktiv“ sind.The term "active" for a control line for a control connection (G1, G2, G3) of one of the transistors (T1, T2, T3) is to be understood in such a way that in normal operation the squib SQ fires as soon as all three control lines of the three control connections ( G1, G2, G3) of the transistors (T1, T2, T3) are "active".

Fall A sollte für alle Test-Modi gewählt werden, bei denen keine der drei Steuerleitungen der drei Steueranschlüsse (G1, G2, G3) der Transistoren (T1, T2, T3) geprüft werden soll.Case A should be selected for all test modes in which none of the three control lines of the three control connections (G1, G2, G3) of the transistors (T1, T2, T3) are to be tested.

Die Fälle B, C und D ermöglichen die Überprüfung der drei Steuerleitungen der drei Steueranschlüsse (G1, G2, G3) der Transistoren (T1, T2, T3) im Produktionstest in einem speziellen Produktionstestmodus ohne hierbei die Wahrscheinlichkeit der Auslösung der Zündpille SQ im Normalbetrieb über ein tolerables Maß hinaus zu erhöhen.Cases B, C and D allow the three control lines of the three control connections (G1, G2, G3) of the transistors (T1, T2, T3) to be checked in the production test in a special production test mode without the probability of triggering of the squib SQ in normal operation increase to a tolerable level.

Damit ist es ein wesentliches Merkmal eines Airbag-Zündsystems AS gemäß dieses Vorschlags, wenn für die Prüfung eines ersten Anschlusses α des integrierten Schaltkreises IC, der für den Anschluss des ersten Pols der Zündpille SQ vorgesehen ist, ein erster Produktionstestmodus vorgesehen ist und für die Prüfung eines zweiten Anschlusses β des integrierten Schaltkreises IC, der für den Anschluss des zweiten Pols der Zündpille SQ ein zweiter Test-Modus vorgesehen ist und dass im ersten Test-Modus der zweite Anschluss β gegenüber dem Bezugspotenzial GND hochohmig ist und dass im zweiten Test-Modus der erste Anschluss α für die Zündpille SQ gegenüber dem Anschluss ε für den Sicherheitsschalttransistor T1 hochohmig ist.It is therefore an essential feature of an airbag ignition system AS according to this proposal if a first production test mode is provided for testing a first connection α of the integrated circuit IC, which is provided for connecting the first pole of the squib SQ, and for the test a second connection β of the integrated circuit IC, which is provided for connecting the second pole of the squib SQ, a second test mode and that in the first test mode the second connection β has a high impedance relative to the reference potential GND and that in the second test mode the first connection α for the squib SQ has a high resistance compared to the connection ε for the safety switching transistor T1.

Hierbei bedeutet hochohmig für den zweiten Transistor T2, dass der Widerstand zwischen dem ersten Anschluss α für die Zündpille SQ gegenüber dem Anschluss ε für den Schalttransistor T1 um einen Faktor von mindestens 50 kleiner ist, als der Widerstand, den der zweite Transistor T2 zeigt, wenn der zweite Steueranschluss G2 des zweiten Transistors T2 aktiv ist.In this case, high-impedance means for the second transistor T2 that the resistance between the first connection α for the squib SQ relative to the connection ε for the switching transistor T1 is smaller by a factor of at least 50 than the resistance that the second transistor T2 exhibits when the second control connection G2 of the second transistor T2 is active.

Hierbei bedeutet hochohmig für den dritten Transistor T3, dass der Widerstand zwischen dem zweiten Anschluss β für die Zündpille SQ und dem Bezugspotenzial GND um einen Faktor von mindestens 50 kleiner ist, als der Widerstand, den der dritte Transistor T3 zeigt, wenn der dritte Steueranschluss G3 des dritten Transistors T3 aktiv ist.In this case, high resistance means for the third transistor T3 that the resistance between the second connection β for the squib SQ and the reference potential GND is lower by a factor of at least 50 than the resistance that the third transistor T3 shows when the third control connection G3 of the third transistor T3 is active.

Es reicht jedoch erfahrungsgemäß nicht aus, die Steuerleitungen (G1, G2, G3) inaktiv zu schalten. Vielmehr speichern diese Leitungen elektrische Ladungen. Daher kann bei einem transienten Einschalten trotzdem noch ein fehlerhafter, gefährlicher Zustand eingenommen werden. Bei der Ausarbeitung dieses Vorschlags wurde daher erkannt, dass die Steuerleitungen der Steueranschlüsse (G1, G2, G3) der Transistoren (T1, T2, T3) für einen sicheren Zustand der sicherheitsrelevanten elektronischen Schaltung entladen werden müssen.However, experience has shown that it is not sufficient to switch the control lines (G1, G2, G3) to inactive. Rather, these lines store electrical charges. Therefore, a faulty, dangerous state can still be assumed in the event of a transient switch-on. When this proposal was being worked out, it was therefore recognized that the control lines of the control connections (G1, G2, G3) of the transistors (T1, T2, T3) must be discharged for a safe state of the safety-relevant electronic circuit.

Daher ist es zu empfehlen, den Produktionstestmodus erst dann zu aktivieren, wenn die Steueranschlüsse (G1, G2, G3) der Transistoren (T1, T2, T3) tatsächlich durch Entladen inaktiviert sind. Hierzu kann ein Überwachungsschaltkreis vorgesehen sein, der den tatsächlichen Zustand der Steuerleitungen der Steueranschlüsse (G1, G2, G3) der Transistoren (T1, T2, T3) ermittelt.It is therefore recommended to only activate the production test mode when the control connections (G1, G2, G3) of the transistors (T1, T2, T3) are actually deactivated by discharging. For this purpose, a monitoring circuit can be provided which monitors the actual status of the control lines of the control terminals (G1, G2, G3) of the transistors (T1, T2, T3) are determined.

Es ist somit ein Merkmal dieses Vorschlags, dass nicht nur durch Erfüllen einer von mindestens zwei Bedingungen für die Aktivierung des Produktionstestmodus für ein elektronisches System bereits das System in einen sicheren Zustand, hier durch Deaktivieren aller drei bzw. von mindestens zwei Steuerleitungen der Steueranschlüsse (G1, G2, G3) der Transistoren (T1, T2, T3), gebracht wird sondern, dass die Einnahme dieses sicheren Zustands gemessen und verifiziert wird und erst bei Vorliegen des vorbestimmten sicheren Zustands aktiviert wird. Im vorliegenden Fall ist dieser vorbestimmte sichere Zustand durch die Entladung aller drei bzw. von mindestens zwei Steuerleitungen der Steueranschlüsse (G1, G2, G3) der Transistoren (T1, T2, T3) gekennzeichnet.It is therefore a feature of this proposal that not only by fulfilling one of at least two conditions for activating the production test mode for an electronic system, the system is already in a safe state, here by deactivating all three or at least two control lines of the control connections (G1 , G2, G3) of the transistors (T1, T2, T3), but that the taking of this safe state is measured and verified and is only activated when the predetermined safe state is present. In the present case, this predetermined safe state is characterized by the discharge of all three or at least two control lines of the control connections (G1, G2, G3) of the transistors (T1, T2, T3).

Für den Fall AFor case A

Im Fall A wird keine der Steuerleitungen der Steueranschlüsse (G1, G2, G3) der Transistoren (T1, T2, T3) geprüft. Die Aktivierung des betreffenden Produktionstestmodus wird beispielsweise durch das Aktivieren der Testmode-Aktivierungsleitung TM eingeleitet. Für die Aktivierung dieses Produktionstestmodus in einem Airbag-Zündsystem AS, sollten daher alle drei Steuerleitungen der Steueranschlüsse (G1, G2, G3) der Transistoren (T1, T2, T3) deaktiviert werden. Die Einnahme dieses sicheren Zustands wird in diesem Fall A dann so gemessen und verifiziert, dass erst bei Vorliegen des vorbestimmten sicheren Zustands, in Form der Entladung aller drei Steuerleitungen der Steueranschlüsse (G1, G2, G3) der Transistoren (T1, T2, T3) der Produktionstestmodus aktiviert wird.In case A, none of the control lines of the control connections (G1, G2, G3) of the transistors (T1, T2, T3) are checked. The activation of the relevant production test mode is initiated, for example, by activating the test mode activation line TM. To activate this production test mode in an airbag ignition system AS, all three control lines of the control connections (G1, G2, G3) of the transistors (T1, T2, T3) should therefore be deactivated. In this case A, the assumption of this safe state is then measured and verified in such a way that only when the predetermined safe state is present, in the form of the discharge of all three control lines of the control terminals (G1, G2, G3) of the transistors (T1, T2, T3) the production test mode is activated.

Für den Fall BFor case B

Im Fall B wird die erste Steuerleitung des ersten Steueranschlusses G1 des ersten Transistors T1 durch den Produktionstest in diesem Produktionstestmodus geprüft. Die Aktivierung dieses betreffenden Produktionstestmodus wird beispielsweise durch das Aktivieren der Testmode-Aktivierungsleitung TM eingeleitet. Für die Aktivierung des Produktionstestmodus in einem Airbag-Zündsystem AS, sollten daher in diesem Fall B die zweite Steuerleitung des zweiten Steueranschlusses G2 des zweiten Transistors T2 deaktiviert werden und die dritte Steuerleitung des dritten Steueranschlusses G3 des dritten Transistors T3 deaktiviert werden. Die Einnahme dieses sicheren Zustands wird in diesem Fall B dann so gemessen und verifiziert, dass erst bei Vorliegen des vorbestimmten sicheren Zustands, in Form der Entladung der zweiten Steuerleitung des zweiten Steueranschlusses G2 des zweiten Transistors T2 und der dritten Steuerleitung des dritten Steueranschlusses G3 des dritten Transistors T3 der Produktionstestmodus aktiviert wird.In case B, the first control line of the first control connection G1 of the first transistor T1 is tested by the production test in this production test mode. The activation of this relevant production test mode is initiated, for example, by activating the test mode activation line TM. To activate the production test mode in an airbag ignition system AS, in this case B the second control line of the second control connection G2 of the second transistor T2 should be deactivated and the third control line of the third control connection G3 of the third transistor T3 should be deactivated. In this case B, the assumption of this safe state is then measured and verified in such a way that only when the predetermined safe state is present, in the form of the discharge of the second control line of the second control connection G2 of the second transistor T2 and the third control line of the third control connection G3 of the third Transistor T3 the production test mode is activated.

Für den Fall CFor the case C

Im Fall C wird die zweite Steuerleitung des zweiten Steueranschlusses G2 des zweiten Transistors T2 durch den Produktionstest in diesem Produktionstestmodus geprüft. Die Aktivierung dieses betreffenden Produktionstestmodus wird beispielsweise durch das Aktivieren der Testmode-Aktivierungsleitung TM eingeleitet. Für die Aktivierung des Produktionstestmodus in einem Airbag-Zündsystem AS, sollten daher in diesem Fall C die erste Steuerleitung des ersten Steueranschlusses G1 des ersten Transistors T1 deaktiviert werden und die dritte Steuerleitung des dritten Steueranschlusses G3 des dritten Transistors T3 deaktiviert werden. Die Einnahme dieses sicheren Zustands wird in diesem Fall C dann so gemessen und verifiziert, dass erst bei Vorliegen des vorbestimmten sicheren Zustands, in Form der Entladung der ersten Steuerleitung des ersten Steueranschlusses G1 des ersten Transistors T1 und der dritten Steuerleitung des dritten Steueranschlusses G3 des dritten Transistors T3, der Produktionstestmodus aktiviert wird.In case C, the second control line of the second control connection G2 of the second transistor T2 is tested by the production test in this production test mode. The activation of this relevant production test mode is initiated, for example, by activating the test mode activation line TM. To activate the production test mode in an airbag ignition system AS, in this case C the first control line of the first control connection G1 of the first transistor T1 should be deactivated and the third control line of the third control connection G3 of the third transistor T3 should be deactivated. In this case C, the assumption of this safe state is then measured and verified in such a way that only when the predetermined safe state is present, in the form of the discharge of the first control line of the first control connection G1 of the first transistor T1 and the third control line of the third control connection G3 of the third Transistor T3, the production test mode is activated.

Für den Fall DFor the case D

Im Fall D wird die dritte Steuerleitung des dritten Steueranschlusses G3 des dritten Transistors T3 durch den Produktionstest in diesem Produktionstestmodus geprüft. Die Aktivierung des betreffenden Produktionstestmodus wird beispielsweise durch das Aktivieren der Testmode-Aktivierungsleitung TM eingeleitet. Für die Aktivierung dieses Produktionstestmodus in einem Airbag-Zündsystem AS, sollten daher in diesem Fall D die erste Steuerleitung des ersten Steueranschlusses G1 des ersten Transistors T1 deaktiviert werden und die zweite Steuerleitung des zweiten Steueranschlusses G2 des zweiten Transistors T2 deaktiviert werden. Die Einnahme dieses sicheren Zustands wird in diesem Fall D dann so gemessen und verifiziert, dass erst bei Vorliegen des vorbestimmten sicheren Zustands, in Form der Entladung der ersten Steuerleitung des ersten Steueranschlusses G1 des ersten Transistors T1 und der zweiten Steuerleitung des zweiten Steueranschlusses G2 des zweiten Transistors T2 der Produktionstestmodus aktiviert wird.In case D, the third control line of the third control connection G3 of the third transistor T3 is tested by the production test in this production test mode. The activation of the relevant production test mode is initiated, for example, by activating the test mode activation line TM. To activate this production test mode in an airbag ignition system AS, the first control line of the first control connection G1 of the first transistor T1 should therefore be deactivated in this case D and the second control line of the second control connection G2 of the second transistor T2 should be deactivated. In this case D, the assumption of this safe state is then measured and verified in such a way that only when the predetermined safe state is present, in the form of the discharge of the first control line of the first control connection G1 of the first transistor T1 and the second control line of the second control connection G2 of the second Transistor T2 the production test mode is activated.

Sofern bereits eine Bedingung zur Einnahme des Produktionstestmodus aktiviert wird, kann die sicherheitsrelevante elektronische Schaltung eine Fehlermeldung generieren oder bereit halten, die zur Anzeige gebracht werden kann.If a condition for entering the production test mode has already been activated, the safety-relevant electronic circuit can generate an error message or keep it ready, which can be displayed.

In dieser Schrift wird als das folgende Verfahren zur Aktivierung eines Produktionstestmodus für eine sicherheitsrelevante elektronische Schaltung oder für mindestens eine sicherheitsrelevante elektronische Schaltung (IC) von mehreren sicherheitsrelevanten Schaltungen vorgeschlagen:

  • In einem ersten Schritt wird eine erste Vorbedingung zur Aktivierung des Produktionstestmodus erfüllt. Dies erfolgt durch Übermittlung einer ersten Anforderung über eine erste Schnittstelle an die Vorrichtung. Beispielsweise kann dies mittels einer Programmierung eines ersten Testregisters der zu testenden sicherheitsrelevanten elektronischen Schaltung in einer JTAG-Testschnittstelle dieser zu testenden sicherheitsrelevanten elektronischen Schaltung erfolgen.
In this document, the following method is used for activating a production test mode for a safety-related electronic circuit or proposed for at least one safety-related electronic circuit (IC) from several safety-related circuits:
  • In a first step, a first precondition for activating the production test mode is met. This is done by transmitting a first request to the device via a first interface. For example, this can be done by programming a first test register of the safety-relevant electronic circuit to be tested in a JTAG test interface of this safety-relevant electronic circuit to be tested.

Die zu testende sicherheitsrelevante elektronische Schaltung sollte durch diesen Schritt automatisch in einen sicheren Zustand überführt werden, der nicht durch den Produktionstest verlassen werden kann. Dies ist der zweite Schritt. Dies darf aber zum Aktivieren des Produktionstestmodus der sicherheitsrelevanten elektronischen Schaltung nicht ausreichen.With this step, the safety-relevant electronic circuit to be tested should be automatically transferred to a safe state that cannot be left by the production test. This is the second step. However, this must not be sufficient to activate the production test mode of the safety-relevant electronic circuit.

Erst das Erfüllen einer zweiten Vorbedingung zur Aktivierung des Produktionstestmodus als dritten Schritt ermöglicht den finalen Aktivierungsschritt. Bei diesem dritten Schritt wird die zweite Vorbedingung zur Aktivierung des Produktionstestmodus erfüllt. Dies erfolgt wieder durch Übermittlung einer zweiten Anforderung über die erste Schnittstelle an die Vorrichtung. Beispielsweise kann dies mittels einer Programmierung eines zweiten Testregisters der zu testenden sicherheitsrelevanten elektronischen Schaltung in der besagten JTAG-Testschnittstelle dieser zu testenden sicherheitsrelevanten elektronischen Schaltung erfolgen. Dabei muss das zweite Testregister vom ersten Testregister verschieden sein. Bevorzugt ist jedoch eine vollständige Trennung der Aktivierungspfade. Im Falle der vollständigen Trennung wird bei diesem dritten Schritt ebenfalls die zweite Vorbedingung zur Aktivierung des Produktionstestmodus aber mit besserer Absicherung erfüllt. Dies erfolgt wieder durch Übermittlung einer zweiten Anforderung nun aber über eine zweite Schnittstelle an die Vorrichtung, die von der ersten Schnittstelle verschieden ist.Only the fulfillment of a second precondition to activate the production test mode as a third step enables the final activation step. In this third step, the second precondition for activating the production test mode is fulfilled. This is done again by transmitting a second request to the device via the first interface. For example, this can be done by programming a second test register of the safety-relevant electronic circuit to be tested in said JTAG test interface of this safety-relevant electronic circuit to be tested. The second test register must be different from the first test register. However, a complete separation of the activation paths is preferred. In the case of complete separation, the second precondition for activating the production test mode is also fulfilled in this third step, but with better security. This is done again by transmitting a second request, but now via a second interface to the device, which is different from the first interface.

Bei dieser Erfüllung einer zweiten Vorbedingung kann es sich beispielsweise um eine spezielle Kombination von Spannungspegeln an verschiedenen Anschlüssen (die Anschlüsse stellen hier eine Schnittstelle dar) oder einen Software-Befehl über eine andere Schnittstelle etc. handeln.This fulfillment of a second precondition can, for example, be a special combination of voltage levels at different terminals (the terminals represent an interface here) or a software command via another interface etc.

Als Schnittstellen (IF1, IF2) kommen die elektrischen Anschlüsse der zu testenden sicherheitsrelevanten elektronischen Schaltung (IC) in Frage, wobei die Signalisierungen beispielsweise über besondere Spannungs- und/oder Strompegel oder zeitliche Abfolgen und Kombinationen derselben erfolgen, und/oder Datenschnittstellen, wie z.B. SPI-Bus-Schnittstellen, oder Sensor-Schnittstellen, wie beispielsweise PSI5- oder DSI3-Schnittstellen oder entsprechende andere Schnittstellen in Betracht. Wichtig ist dabei nur, dass die erste Vorbedingung und die zweite Vorbedingung nicht über ungleiche Schnittstellen erfüllt werden müssen, wodurch eine erhöhte Sicherheit gegen versehentliche Einnahme eines unsicheren Zustands erreicht wird.The electrical connections of the safety-relevant electronic circuit (IC) to be tested can be considered as interfaces (IF1, IF2), with the signaling taking place, for example, via special voltage and/or current levels or temporal sequences and combinations thereof, and/or data interfaces, such as e.g. SPI bus interfaces, or sensor interfaces, such as PSI5 or DSI3 interfaces or other appropriate interfaces into consideration. The only important thing here is that the first precondition and the second precondition do not have to be fulfilled via unequal interfaces, as a result of which increased security against inadvertently adopting an unsafe state is achieved.

Als finaler Schritt folgt das Aktivieren des Produktionstestmodus, wenn die erste und zweite Vorbedingung zur Aktivierung des Produktionstestmodus erfüllt sind und wenn die Überführung der sicherheitsrelevanten elektronischen Schaltung in den sicheren Zustand als Schritt durchgeführt wurde.The final step is to activate the production test mode if the first and second preconditions for activating the production test mode are met and if the transfer of the safety-relevant electronic circuit to the safe state has been carried out as a step.

In einer empfohlenen Variante des Verfahrens wird vorgeschlagen, das Erfüllen der ersten Vorbedingung an den Nutzer zu signalisieren. Hierdurch wird dieser Nutzer auf den kritischen Zustand des Systems aufmerksam und kann reagieren. Die Verfahrensvariante umfasst daher den Schritt der Signalisierung eines fehlerhaften Zustands oder den Versuch der Signalisierung eines fehlerhaften Zustands. Hierbei kann es sich auch um die Bereitstellung einer Information über diesen fehlerhaften Zustand handeln. Das kann beispielsweise in einem Register eines Prozessors geschehen oder durch Ändern des logischen Zustands eines Anschlusses der sicherheitsrelevanten elektronischen Schaltung.In a recommended variant of the method, it is proposed to signal the fulfillment of the first precondition to the user. As a result, this user is made aware of the critical state of the system and can react. The variant of the method therefore includes the step of signaling a faulty state or attempting to signal a faulty state. This can also involve the provision of information about this faulty state. This can happen, for example, in a register of a processor or by changing the logical state of a connection of the safety-relevant electronic circuit.

In einer weiteren empfohlenen Variante des Verfahrens wird wieder vorgeschlagen, die Einnahme des sicheren Zustands durch spezielle Messung explizit zu überprüfen. Daher umfasst diese Variante den zusätzlichen Schritt der Überprüfung der sicherheitsrelevanten elektronischen Schaltung darauf, ob der sichere Zustand erfolgreich eingenommen ist. Dabei kann die sicherheitsrelevante elektronische Schaltung auch von Außen beeinflusst sein. Steuert die sicherheitsrelevante elektronische Schaltung den Steueranschluss eines Transistors an, so kann der Transistor, wenn beispielsweise sein Steueranschluss elektrisch geladen ist, den entsprechenden Anschluss der sicherheitsrelevanten elektronischen Schaltung in einen unsicheren Zustand bringen. Dies kann durch einen solchen Schritt erkannt und damit letztlich verhindert werden. Der finale Schritt der Aktivierung des Produktionstestmodus wird daher so modifiziert, dass das Aktivieren des Produktionstestmodus nur dann erfolgt, wenn die erste und zweite Vorbedingung zur Aktivierung des Produktionstestmodus erfüllt sind und wenn die Überführung der sicherheitsrelevanten elektronischen Schaltung in den sicheren Zustand durchgeführt wurde und wenn nun zusätzlich die Überprüfung ergibt, dass die sicherheitsrelevante elektronische Schaltung auch tatsächlich in diesem sicheren Zustand ist.In a further recommended variant of the method, it is again proposed to explicitly check whether the safe state has been reached by means of a special measurement. This variant therefore includes the additional step of checking the safety-relevant electronic circuit to determine whether the safe state has been successfully assumed. The safety-relevant electronic circuit can also be influenced from the outside. If the safety-relevant electronic circuit controls the control connection of a transistor, the transistor can bring the corresponding connection of the safety-relevant electronic circuit into an unsafe state, for example if its control connection is electrically charged. This can be recognized by such a step and thus ultimately prevented. The final step of activating the production test mode is therefore modified in such a way that the production test mode is only activated if the first and second preconditions for activating the production test mode are met and if the transfer of the safety-relevant electronic circuit to the safe state has been carried out and if now In addition, the review reveals that the security electronic circuit is actually in this safe state.

Natürlich müssen auch sicherheitsrelevante Teilvorrichtungen der sicherheitsrelevanten elektronischen Schaltung daraufhin geprüft werden können, dass sie einen spezifikationsgemäß geforderten unsicheren Zustand einnehmen können. Bei den Steuerleitungen der besagten Airbag-Transistoren bedeutet dies, dass es möglich sein muss, diese darauf zu prüfen, dass sie aktiviert werden können. Es wird daher hier eine Variante des Verfahrens für diese Fälle vorgeschlagen.Of course, it must also be possible to test safety-relevant sub-devices of the safety-relevant electronic circuit to ensure that they can assume an unsafe state required by the specification. In the case of the control lines for the said airbag transistors, this means that it must be possible to check that they can be activated. A variant of the method for these cases is therefore proposed here.

Es handelt sich dabei um ein Verfahren zur Aktivierung eines Produktionstestmodus für eine sicherheitsrelevante elektronische Schaltung oder für mindestens eine sicherheitsrelevante elektronische Schaltung von mehreren sicherheitsrelevanten Schaltungen, die eine Sicherheitsvorrichtung ist, und bei dem geprüft werden soll, ob eine erste Teilvorrichtung bestimmungsgemäß in einen unsicheren Zustand gebracht werden kann. Damit dies möglich ist, muss die sicherheitsrelevante elektronische Schaltung so konstruiert sein, dass die Sicherheitsfunktion dieser ersten Teilvorrichtung durch mindestens eine zweite Teilvorrichtung nochmals abgesichert ist und vorzugsweise durch eine dritte Teilvorrichtung nochmals abgesichert ist. Im Falle der besagten Airbag Schaltung der 1 kann beispielsweise die Steuerleitung für den ersten Transistor T1 als erste Teilvorrichtung daraufhin geprüft werden, ob sie aktiviert werden kann. Da für ein Zünden der Zündpille alle drei Transistoren (T1, T2, T3) durchgeschaltet werden müssen, sichern der zweite Transistor T2 und der dritte Transistor T3 die Zündpille SQ für diesen Fall immer noch doppelt dadurch ab, dass sie während der Prüfung inaktiv, also hochohmig sind.This is a method for activating a production test mode for a safety-related electronic circuit or for at least one safety-related electronic circuit of several safety-related circuits, which is a safety device, and in which it is to be checked whether a first sub-device is brought into an unsafe state as intended can be. In order for this to be possible, the safety-relevant electronic circuit must be designed in such a way that the safety function of this first sub-device is secured again by at least one second sub-device and is preferably secured again by a third sub-device. In the case of said airbag circuit of the 1 For example, the control line for the first transistor T1 can be checked as the first sub-device to determine whether it can be activated. Since all three transistors (T1, T2, T3) must be switched through to fire the squib, the second transistor T2 and the third transistor T3 still protect the squib SQ twice in this case by being inactive during the test, i.e are high impedance.

Der erste Schritt ist wieder das Erfüllen einer ersten Vorbedingung zur Aktivierung des Produktionstestmodus. Die erste Teilvorrichtung wird nun im Gegensatz zum vorbeschriebenen Fall jedoch nicht in den sicheren Zustand zwangsweise überführt, da dies ja für den Produktionstest in diesem Produktionstestmodus explizit möglich sein muss und geprüft werden soll.The first step is again the fulfillment of a first precondition for activating the production test mode. In contrast to the case described above, however, the first partial device is not forcibly transferred to the safe state, since this must be explicitly possible for the production test in this production test mode and should be checked.

Daher folgt als zweiter Schritt das Überführen der zweiten Teilvorrichtung in einen sicheren Zustand, der nicht durch den Produktionstest bis zum Ende des Produktionstests verlassen werden kann.Therefore, as a second step, the second sub-device is transferred to a safe state, which cannot be left by the production test until the end of the production test.

Als dritter Schritt folgt das Überführen der dritten Teilvorrichtung in einen sicheren Zustand, der nicht durch den Produktionstest bis zum Ende des Produktionstests verlassen werden kann.As a third step, the third partial device is transferred to a safe state, which cannot be left by the production test until the end of the production test.

Als vierter Schritt erfolgt wieder das Erfüllen einer zweiten Vorbedingung zur Aktivierung des Produktionstestmodus.As a fourth step, a second precondition for activating the production test mode is fulfilled again.

Der zweite, dritte und vierte Schritt können in beliebiger zeitlicher Reihenfolge nach dem ersten Schritt durchgeführt werden.The second, third, and fourth step can be performed in any chronological order after the first step.

Als fünfter Schritt erfolgt die Überprüfung darauf, ob der sichere Zustand durch die zweite Teilvorrichtung eingenommen wurde. Als sechster Schritt erfolgt die Überprüfung darauf, ob der sichere Zustand durch die dritte Teilvorrichtung eingenommen wurde. Der fünfte Schritt folgt zeitlich nach dem zweiten Schritt. Der sechste Schritt folgt zeitlich nach dem dritten Schritt.The fifth step is to check whether the safe state has been assumed by the second sub-device. The sixth step is to check whether the safe state has been assumed by the third sub-device. The fifth step follows the second step in time. The sixth step follows the third step in time.

Der finale Schritt der Aktivierung des Produktionstestmodus erfolgt nach allen anderen Schritten nun jedoch nur, wenn die erste und zweite Vorbedingung zur Aktivierung des Produktionstestmodus erfüllt sind und wenn die Überführungen der ersten, zweiten und dritten Teilvorrichtungen in ihre jeweiligen sicheren Zustände als Schritt ausgeführt wurden und die ersten, zweiten und dritten Teilvorrichtungen sich tatsächlich in ihren jeweiligen sicheren Zuständen befinden.The final step of activating the production test mode takes place after all other steps, however, only if the first and second preconditions for activating the production test mode are met and if the transitions of the first, second and third sub-devices to their respective safe states have been carried out as a step and the first, second and third sub-devices are actually in their respective safe states.

Dieses Verfahren sieht im Falle einer Airbag-Steuerung nun so aus:

  • Es handelt sich bei dem vorgeschlagenen Verfahren dann um ein Verfahren zur Aktivierung eines Produktionstestmodus für eine integrierte sicherheitsrelevante elektronische Schaltung IC zur Steuerung eines Fahrzeuginsassenrückhaltesystems mit einer Zündpille SQ oder für mindestens eine integrierte sicherheitsrelevante elektronische Schaltung IC von mehreren integrierten sicherheitsrelevanten Schaltungen zur Steuerung eines Fahrzeuginsassenrückhaltesystems mit einer Zündpille SQ.
In the case of an airbag control, this procedure now looks like this:
  • The proposed method is then a method for activating a production test mode for an integrated safety-relevant electronic circuit IC for controlling a vehicle occupant restraint system with a squib SQ or for at least one integrated safety-relevant electronic circuit IC from a plurality of integrated safety-relevant circuits for controlling a vehicle occupant restraint system with a Squib SQ.

Die integrierte Schaltung IC umfasst dabei eine erste Steuerleitung, die dazu vorgesehen ist, einen ersten Steueranschluss G1 eines ersten Transistors T1 anzusteuern. Die erste Steuerleitung kann aktiv oder inaktiv sein. Die integrierte Schaltung IC umfasst dabei eine zweite Steuerleitung, die dazu vorgesehen ist, einen zweiten Steueranschluss G2 eines zweiten Transistors T2 anzusteuern. Die zweite Steuerleitung kann aktiv oder inaktiv sein. Die integrierte Schaltung IC umfasst eine dritte Steuerleitung, die dazu vorgesehen ist, einen dritten Steueranschluss G3 eines ersten Transistors T3 anzusteuern. Die dritte Steuerleitung kann aktiv oder inaktiv sein. Die integrierte Schaltung ist typischerweise dazu vorgesehen, dass der erste Transistor T1 und der zweite Transistor T2 und der dritte Transistor T3 in Serie mit der Zündpille SQ geschaltet sind. Die Zündung der Zündpille SQ hat im Normalbetrieb zumindest zur Voraussetzung, dass die erste Steuerleitung aktiv ist und die zweite Steuerleitung aktiv ist und die dritte Steuerleitung aktiv ist.In this case, the integrated circuit IC comprises a first control line, which is provided for driving a first control connection G1 of a first transistor T1. The first control line can be active or inactive. In this case, the integrated circuit IC comprises a second control line, which is provided for driving a second control connection G2 of a second transistor T2. The second control line can be active or inactive. The integrated circuit IC includes a third control line which is intended to drive a third control connection G3 of a first transistor T3. The third control line can be active or inactive. The integrated circuit is typically provided so that the first transistor T1 and the second transistor T2 and the third transistor T3 are connected in series with the squib SQ. The ignition of the squib SQ has in the Nor malbetrieb at least on condition that the first control line is active and the second control line is active and the third control line is active.

Der erste Schritt des vorgeschlagenen Verfahrens besteht wieder in der Erfüllung einer ersten Vorbedingung zur Aktivierung des Produktionstestmodus.The first step of the proposed method consists again in the fulfillment of a first precondition for activating the production test mode.

In einem zweiten Schritt erfolgen die Deaktivierung der ersten Steuerleitung des ersten Steueranschlusses G1 des ersten Transistors T1 und die Verriegelung einer Aktivierung der ersten Steuerleitung zumindest bis zum Ende der Aktivierung des Produktionstestmodus.In a second step, the first control line of the first control connection G1 of the first transistor T1 is deactivated and activation of the first control line is locked at least until the end of the activation of the production test mode.

In einem dritten Schritt erfolgen die Deaktivierung der zweiten Steuerleitung des zweiten Steueranschlusses G2 des zweiten Transistors T2 und die Verriegelung einer Aktivierung der zweiten Steuerleitung zumindest bis zum Ende der Aktivierung des Produktionstestmodus.In a third step, the second control line of the second control connection G2 of the second transistor T2 is deactivated and activation of the second control line is locked at least until the end of the activation of the production test mode.

In einem vierten Schritt erfolgen die Deaktivierung der dritten Steuerleitung des dritten Steueranschlusses G3 des dritten Transistors T3 und die Verriegelung einer Aktivierung der dritten Steuerleitung zumindest bis zum Ende der Aktivierung des Produktionstestmodus.In a fourth step, the third control line of the third control connection G3 of the third transistor T3 is deactivated and activation of the third control line is locked at least until the end of the activation of the production test mode.

Der erste Schritt geht in der Regel dem zweiten, dritten und vierten Schritt voraus. Der zweite, dritte und vierte Schritt sind voneinander unabhängig und werden vorzugsweise parallel ausgeführt. Andere Reihenfolgen des zweiten, dritten und vierten Schritts sind möglich.The first step usually precedes the second, third, and fourth steps. The second, third and fourth steps are independent of each other and are preferably carried out in parallel. Other orders of the second, third and fourth steps are possible.

Typischerweise folgt zeitlich nach dem Ausführen der vorangehenden vier Schritte das Erfüllen einer zweiten Vorbedingung zur Aktivierung des Produktionstestmodus als fünfter Schritt.Typically, after the execution of the previous four steps, a second precondition for activation of the production test mode is fulfilled as a fifth step.

Als letzter Schritt zeitlich nach allen vorausgehenden fünf Schritten erfolgt das Aktivieren des Produktionstestmodus, aber nur dann, wenn alle Schritte zu Deaktivierung aller drei Steuerleitungen durchgeführt wurden und wenn die erste Vorbedingung und die zweite Vorbedingung erfüllt sind.The production test mode is activated as the last step in time after all previous five steps, but only if all steps for deactivating all three control lines have been carried out and if the first precondition and the second precondition are fulfilled.

In einer Variante des Verfahrens erfolgt nach dem Schritt der Erfüllung einer ersten Vorbedingung zur Aktivierung des Produktionstestmodus der zusätzliche Schritt des Bereitstellens einer Information über einen fehlerhaften Zustand durch die integrierte Schaltung IC.In one variant of the method, after the step of fulfilling a first precondition for activating the production test mode, the additional step of providing information about a faulty state by the integrated circuit IC takes place.

In einer weiteren Variante des Verfahrens erfolgt nach jedem Schritt der Deaktivierung einer der Steuerleitungen der Steueranschlüsse (G1, G2, G3) der Transistoren (T1, T2, T3) für die betroffene Steuerleitung jeweils die Überprüfung, ob die betreffende Steuerleitung auch wirklich deaktiviert ist. Dies kann beispielsweise durch Auswertung des Potenzials der betreffenden Steuerleitung erfolgen. In dem obigen Beispiel sind drei Steuerleitungen für die drei Transistoren vorgesehen. Es sollten also vorzugsweise drei Überprüfungen auf Deaktivierung vorgesehen werden: Für jede Steuerleitung eine.In a further variant of the method, after each step of deactivating one of the control lines of the control terminals (G1, G2, G3) of the transistors (T1, T2, T3) for the control line concerned, a check is carried out to determine whether the control line concerned is actually deactivated. This can be done, for example, by evaluating the potential of the relevant control line. In the example above, three control lines are provided for the three transistors. There should therefore preferably be three checks for deactivation: one for each control line.

Diese Überprüfungen erfolgen vorzugsweise immer nach den Deaktivierungen der jeweiligen Steuerleitung aber untereinander in beliebiger Reihenfolge.These checks are preferably always carried out after the respective control line has been deactivated, but in any order among themselves.

Währenddessen oder danach, aber nach dem Erfüllen der ersten Vorbedingung erfolgt das Erfüllen einer zweiten Vorbedingung zur Aktivierung des Produktionstestmodus.During this time or after, but after the first precondition has been met, a second precondition for activation of the production test mode is met.

Der letzte Schritt der Aktivierung des Produktionstestmodus erfolgt nach allen Schritten nur dann, wenn alle drei Steuerleitungen deaktiviert wurden und wenn alle drei Steuerleitungen auch tatsächlich deaktiviert sind und wenn die erste Vorbedingung und die zweite Vorbedingung erfüllt sind.The last step of activating the production test mode takes place after all steps only if all three control lines have been deactivated and if all three control lines are actually deactivated and if the first precondition and the second precondition are met.

Soll nun die erste Steuerleitung im Rahmen des Produktionstests der sicherheitsrelevanten integrierten Schaltung IC geprüft werden können, so entfällt die Deaktivierung der ersten Steuerleitung und damit auch deren Überprüfung. Der letzte Schritt der Aktivierung des Produktionstestmodus folgt in diesem Fall, wenn schon die zweite und dritte Steuerleitung deaktiviert wurden und wenn nur die zweite und dritte Steuerleitung deaktiviert sind und wenn die erste Vorbedingung erfüllt ist und die zweite Vorbedingung erfüllt ist. Hinzu kommt aber als Ausführungsbedingung für die Aktivierung, dass der gewählte Produktionstestmodus diese mögliche Aktivierung der ersten Steuerleitung erfordert. Wenn aufgrund der ersten Vorbedingung zur Aktivierung des Produktionstestmodus ermittelt werden kann, dass der Produktionstestmodus es erfordert, dass die erste Steuerleitung nicht zwangsweise bis zum Ende der Aktivierung des Produktionstestmodus deaktiviert wird, so kann die Aktivierung erfolgen. Insofern umfasst dieses modifizierte Verfahren auch die Ermittlung dieser Notwendigkeit für diesen Produktionstestmodus. Dieser Schritt wird bevorzugt mit der Erfüllung der ersten Vorbedingung oder unmittelbar danach ausgeführt.If the first control line is now to be able to be checked as part of the production test of the safety-relevant integrated circuit IC, then the deactivation of the first control line and thus also its checking are omitted. The final step of activating the production test mode follows in this case when the second and third control lines have already been deactivated and when only the second and third control lines are deactivated and when the first precondition is met and the second precondition is met. However, an additional execution condition for the activation is that the selected production test mode requires this possible activation of the first control line. If it can be determined based on the first precondition for activating the production test mode that the production test mode requires that the first control line is not forcibly deactivated until the end of the activation of the production test mode, the activation can take place. In this respect, this modified procedure also includes the determination of this need for this production test mode. This step is preferably performed when the first precondition is met or immediately thereafter.

Soll nun die zweite Steuerleitung im Rahmen des Produktionstests der sicherheitsrelevanten integrierten Schaltung IC geprüft werden können, so entfällt die Deaktivierung der zweiten Steuerleitung und damit auch deren Überprüfung. Die übrigen Schritte werden gegenüber dem Basisverfahren in analoger Weise modifiziert.If the second control line is now to be able to be checked as part of the production test of the safety-relevant integrated circuit IC, then the deactivation of the second control line and thus also its checking are omitted. The remaining steps are modified in an analogous manner compared to the basic procedure.

Soll nun die dritte Steuerleitung im Rahmen des Produktionstests der sicherheitsrelevanten integrierten Schaltung IC geprüft werden können, so entfällt die Deaktivierung der dritten Steuerleitung und damit auch deren Überprüfung. Die übrigen Schritte werden gegenüber dem Basisverfahren in analoger Weise modifiziert.If the third control line is now to be able to be tested as part of the production test of the safety-relevant integrated circuit IC, then the third control line does not have to be deactivated and thus also checked. The remaining steps are modified in an analogous manner compared to the basic procedure.

Die 2 zeigt eine Ausführung der Testmode Aktivierungsleitung (TM). Die Vorrichtungsteile der 2 sind bevorzugt Teil der Steuerung (ST). In dem Beispiel der 2 wird über einen ersten Datenbus (DB1), der analog, digital, seriell oder sonst wie zu Signalisierungen geeignet sein muss, an eine erste Schnittstelle (IF1) des integrierten Schaltkreises (IC) für die Einnahme eines gewünschten Testzustands des integrierten Schaltkreises (IC) eine erste Botschaft zur Erfüllung der ersten Vorbedingung zur Aktivierung des Produktionstestmodus signalisiert. Des Weiteren wird über einen zweiten Datenbus (DB2), der ebenfalls analog, digital, seriell oder sonst wie zu Signalisierungen geeignet sein muss, an eine zweite Schnittstelle (IF2) integrierten Schaltkreises (IC) für die Einnahme eines gewünschten Testzustands des integrierten Schaltkreises (IC) eine zweite Botschaft zur Erfüllung der zweiten Vorbedingung zur Aktivierung des Produktionstestmodus signalisiert. Empfängt die erste Schnittstelle (IF1) die besagte erste Botschaft zur Erfüllung der ersten Vorbedingung zur Aktivierung des Produktionstestmodus über den ersten Datenbus (DB1) so aktiviert sie ein erstes Testanforderungssignal (TRQ1). Empfängt in dem Beispiel der 2 die zweite Schnittstelle (IF2) die besagte zweite Botschaft zur Erfüllung der zweiten Vorbedingung zur Aktivierung des Produktionstestmodus über den zweiten Datenbus (DB2) so aktiviert sie ein zweites Testanforderungssignal (TRQ2). Nach dem Rücksetzen des integrierten Schaltkreises (IC) durch Einschalten oder aus anderen Gründen und im Normalbetrieb sind bevorzugt das erste Testanforderungssignal (TRQ1) und das zweite Testanforderungssignal (TRQ2) nicht aktiv. Sind sowohl das erste Testanforderungssignal (TRQ1) und gleichzeitig das zweite Testanforderungssignal (TRQ2) aktiv, so erfolgt die angeforderte Aktivierung des Produktionstestmodus über ein Testmodussignal (tstm). Ist nur eines der beiden Testanforderungssignal (TRQ1, TRQ2) aktiv und das andere Testanforderungssignal (TRQ1, TRQ2) nicht aktiv, so wird für die integrierte Schaltung (IC) die Einnahme eines sicheren Zustands in diesem Beispiel über ein Blockiersignal (blk) erzwungen.The 2 shows an implementation of the test mode activation line (TM). The device parts 2 are preferably part of the controller (ST). In the example of 2 is via a first data bus (DB1), which must be analog, digital, serial or otherwise suitable for signaling, to a first interface (IF1) of the integrated circuit (IC) for assuming a desired test state of the integrated circuit (IC). signaled the first message to fulfill the first precondition for activating the production test mode. Furthermore, via a second data bus (DB2), which must also be analog, digital, serial or otherwise suitable for signaling, to a second interface (IF2) of the integrated circuit (IC) for assuming a desired test state of the integrated circuit (IC ) signals a second message to fulfill the second precondition for activation of the production test mode. If the first interface (IF1) receives said first message for fulfilling the first precondition for activating the production test mode via the first data bus (DB1), it activates a first test request signal (TRQ1). Receives in the example 2 the second interface (IF2) sends said second message to fulfill the second precondition for activating the production test mode via the second data bus (DB2) so it activates a second test request signal (TRQ2). After the integrated circuit (IC) has been reset by switching it on or for other reasons and in normal operation, the first test request signal (TRQ1) and the second test request signal (TRQ2) are preferably not active. If both the first test request signal (TRQ1) and the second test request signal (TRQ2) are active at the same time, the requested activation of the production test mode takes place via a test mode signal (tstm). If only one of the two test request signals (TRQ1, TRQ2) is active and the other test request signal (TRQ1, TRQ2) is not active, the integrated circuit (IC) is forced to assume a safe state in this example via a blocking signal (blk).

Natürlich ist es denkbar, mehr als zwei Vorbedingungen zu verwenden. Sind beide Testanforderungssignale (TRQ1, TRQ2) aktiv, so kann das Blockiersignal (blk) nicht aktiv gesetzt werden, um den Test sicherheitsrelevanter nicht sicherer, spezifikationskonformer Zustände zu erlauben. Sind beide Testanforderungssignale (TRQ1, TRQ2) nicht aktiv, so kann das Blockiersignal (blk) ebenfalls nicht aktiv gesetzt werden, um den Test sicherheitsrelevanter nicht sicherer, spezifikationskonformer Zustände zu erlauben.Of course it is conceivable to use more than two preconditions. If both test request signals (TRQ1, TRQ2) are active, the blocking signal (blk) cannot be set to be active in order to allow testing of safety-related, non-safe, specification-compliant states. If both test request signals (TRQ1, TRQ2) are not active, the blocking signal (blk) cannot be set to be active either, in order to allow testing of safety-relevant, non-safe, specification-compliant states.

Vorteil der Erfindungadvantage of the invention

Der Vorteil liegt in der sicheren Verriegelung einer sicherheitsrelevanten Funktion (z.B. Sperrung eines Airbag-Zündkreises) für den Fall einer potentiell unbeabsichtigt auftretenden ersten Eintrittsbedingung für einen Produktionstestmodus. Ein einfaches Beispiel für einen solchen Fehlerfall wäre z.B. ein fehlerhafter Softwarezugriff auf ein Prozessorregister, das eigentlich zur Initiierung des Produktionstestmodus vorgesehen ist, während des normalen Betriebs.The advantage lies in the secure locking of a safety-relevant function (e.g. blocking an airbag ignition circuit) in the event of a potentially unintentionally occurring first entry condition for a production test mode. A simple example of such an error would be erroneous software access to a processor register during normal operation that is actually intended for initiating the production test mode.

Im Produktionstest werden üblicherweise alle Funktionen einer integrierten Schaltung IC verändert bzw. gesteuert. Dies birgt das Potential, Sicherheitsziele unkontrolliert zu verletzen. Auch bei mehrfacher Verriegelung können hier latente Fehler vorliegen, die durch unmittelbare Blockierung kritischer Zustände sowie eine Anzeigemöglichkeit vermieden werden.All functions of an integrated circuit IC are usually changed or controlled in the production test. This has the potential to violate security goals in an uncontrolled manner. Latent errors can also be present with multiple interlocks, which can be avoided by directly blocking critical states and by providing a display option.

Figurenlistecharacter list

  • 1 zeigt das Ausführungsbeispiel einer einstufigen Airbag-Zündstufe. 1 shows the exemplary embodiment of a single-stage airbag ignition stage.
  • 2 zeigt eine Ausführung der Testmode Aktivierungsleitung (TM). 2 shows an implementation of the test mode activation line (TM).

BezugszeichenlisteReference List

αa
erster Anschluss der Zündpille SQ;first connection of the squib SQ;
ββ
zweiter Anschluss der Zündpille SQ;second connection of the squib SQ;
εe
Anschluss der integrierten Schaltung für den ersten Transistor T1;Connection of the integrated circuit for the first transistor T1;
ASAS
Airbag-Zündsystem (Es kann sich auch um ein anderes Zündsystem, beispielsweise für ein Fußgängeraufprallschutzsystem handeln);Airbag ignition system (It can also be another ignition system, for example for a pedestrian protection system);
blkblk
Blockiersignal. Das Blockiersignal (blk) zwingt die bevorzugt die integrierte Schaltung (IC) zur Einnahme eines sicheren Zustands. Beispielsweise wird bevorzugt der erste Transistor, der Sicherheitsschalttransistor (T1) gesperrt wenn das Blockiersignal aktiv ist. Andere Maßnahmen wie die Sperrung der anderen Transistoren (T2, T3) sind für den Fall eines aktiven Blockiersignals denkbar. Sind beide Testanforderungssignale (TRQ1, TRQ2) aktiv, so kann das Blockiersignal nicht aktiv gesetzt werden, um den Test sicherheitsrelevanter nicht sicherer, spezifikationskonformer Zustände zu erlauben. Sind beide Testanforderungssignale (TRQ1, TRQ2) nicht aktiv, so kann das Blockiersignal (blk) ebenfalls nicht aktiv gesetzt werden, um den Test sicherheitsrelevanter nicht sicherer, spezifikationskonformer Zustände zu erlauben.blocking signal. The blocking signal (blk) preferably forces the integrated circuit (IC) to assume a safe state. For example, the first transistor, the safety switching transistor (T1), is preferably blocked when the blocking signal is active. Other measures such as blocking the other transistors (T2, T3) are conceivable in the event of an active blocking signal. If both test request signals (TRQ1, TRQ2) are active, the blocking signal cannot be set to be active in order to allow the testing of safety-related, non-safe, specification-compliant states. If both test request signals (TRQ1, TRQ2) are not active, the blocking signal (blk) cannot be set to be active either, in order to allow testing of safety-relevant, non-safe, specification-compliant states.
CECE
Kondensator der Energiereserve;Power Reserve Capacitor;
D1D1
Verpolschutzdiode;reverse polarity protection diode;
DB1DB1
erster Datenbus. Es kann sich beispielsweise auch um ein Signal mit einem festen Pegel handeln, der im Falle eines Produktionstest auf einen vorbestimmten Spannungs- oder Strompegel gelegt wird;first data bus. It can also be a signal with a fixed level, for example, which is set to a predetermined voltage or current level in the case of a production test;
DB2DB2
zweiter Datenbus. Es kann sich beispielsweise auch um ein Signal mit einem festen Pegel handeln, der im Falle eines Produktionstest auf einen vorbestimmten Spannungs- oder Strompegel gelegt wird;second data bus. It can also be a signal with a fixed level, for example, which is set to a predetermined voltage or current level in the case of a production test;
IF1IF1
erste Schnittstelle. Es kann sich um eine serielle oder parallele Schnittstelle oder um einen sonstigen Anschluss des integrierten Schaltkreises (IC) handeln.first interface. It can be a serial or parallel interface or any other integrated circuit (IC) connector.
IF2IF2
zweite Schnittstelle. Es kann sich um eine serielle oder parallele Schnittstelle oder um einen sonstigen Anschluss des integrierten Schaltkreises (IC) handeln.second interface. It can be a serial or parallel interface or any other integrated circuit (IC) connector.
G1G1
erster Steueranschluss des ersten Transistors T1;first control connection of the first transistor T1;
G2G2
zweiter Steueranschluss des zweiten Transistors T2;second control connection of the second transistor T2;
G3G3
dritter Steueranschluss des dritten Transistors T3;third control connection of the third transistor T3;
GNDGND
Bezugspotenzial;reference potential;
ICIC
integrierte Schaltung;integrated circuit;
STST
Steuerung;Steering;
SQSQ
Zündpille, die den Airbag entfaltet, wenn sie mit einem vorbestimmten elektrischen Strom durchströmt wird;squib that deploys the air bag when passed with a predetermined electric current;
T1T1
erster Transistor (Sicherheitsschalttransistor);first transistor (safety switching transistor);
T2T2
zweiter Transistor (High-Side-Schalter);second transistor (high-side switch);
T3T3
dritter Transistor (Low-Side-Schalter);third transistor (low side switch);
TMTM
Testmode-Aktivierungsleitung. Diese sollte nur aktiv werden können, wenn zwei Vorbedingungen zur Aktivierung eines Produktionstestmodus vorliegen. Besonders vorteilhaft ist es, wenn diese Testmode-Aktivierungsleitung aus bevorzugt zwei Leitungen besteht, die in unterschiedlicher Weise über die sicherheitsrelevante integrierte Schaltung IC geführt werden und die beide aktiv werden müssen. Durch diese Redundanz kann die Sicherheit weiter erhöht werden;Test mode activation line. This should only be able to become active if there are two preconditions for activating a production test mode. It is particularly advantageous if this test mode activation line preferably consists of two lines which are routed in different ways over the safety-relevant integrated circuit IC and which both have to become active. This redundancy can further increase security;
TRQ1TRQ1
erstes Testanforderungssignal. Empfängt beispielsweise die erste Schnittstelle (IF1) eine erste Botschaft zur Erfüllung der ersten Vorbedingung zur Aktivierung des Produktionstestmodus über den ersten Datenbus (DB1) so aktiviert sie bevorzugt das erste Testanforderungssignal. Nach dem Rücksetzen des integrierten Schaltkreises (IC) durch Einschalten oder aus anderen Gründen und im Normalbetrieb ist bevorzugt das erste Testanforderungssignal nicht aktiv.first test request signal. For example, if the first interface (IF1) receives a first message for fulfilling the first precondition for activating the production test mode via the first data bus (DB1), it preferably activates the first test request signal. After the integrated circuit (IC) has been reset by switching it on or for other reasons and in normal operation, the first test request signal is preferably not active.
TRQ2TRQ2
zweites Testanforderungssignal. Empfängt beispielsweise die zweite Schnittstelle (IF2) eine zweite Botschaft zur Erfüllung der zweiten Vorbedingung zur Aktivierung des Produktionstestmodus über den zweiten Datenbus (DB2) so aktiviert sie bevorzugt das zweite Testanforderungssignal. Nach dem Rücksetzen des integrierten Schaltkreises (IC) durch Einschalten oder aus anderen Gründen und im Normalbetrieb ist bevorzugt das zweite Testanforderungssignal nicht aktiv.second test request signal. For example, if the second interface (IF2) receives a second message to fulfill the second precondition for activating the production test mode via the second data bus (DB2), it preferably activates the second test request signal. After the integrated circuit (IC) has been reset by switching it on or for other reasons and in normal operation, the second test request signal is preferably not active.
tstmtstm
Testmodussignal. Das Testmodussignal ist bevorzugt im normalen Betrieb nicht aktiv. Sind sowohl das erste Testanforderungssignal (TRQ1) und gleichzeitig das zweite Testanforderungssignal (TRQ2) aktiv, so erfolgt die angeforderte Aktivierung des Produktionstestmodus über die Aktivierung des Testmodussignals.test mode signal. The test mode signal is preferably not active in normal operation. If both the first test request signal (TRQ1) and the second test request signal (TRQ2) are active at the same time, the requested activation of the production test mode takes place via the activation of the test mode signal.
VCCVCC
Versorgungsspannung.supply voltage.

Claims (3)

Verfahren zur Aktivierung eines Produktionstestmodus für eine integrierte sicherheitsrelevante elektronische Schaltung (IC) zur Steuerung eines Fahrzeuginsassenrückhaltesystems mit einer Zündpille (SQ) oder für mindestens eine integrierte sicherheitsrelevante elektronische Schaltung (IC) von mehreren integrierten sicherheitsrelevanten Schaltungen zur Steuerung eines Fahrzeuginsassenrückhaltesystems mit einer Zündpille (SQ), - wobei die integrierte Schaltung (IC) eine erste Steuerleitung umfasst, die dazu vorgesehen ist, einen ersten Steueranschluss (G1) eines ersten Transistors (T1) anzusteuern und - wobei die erste Steuerleitung aktiv oder inaktiv sein kann und - wobei die integrierte Schaltung (IC) eine zweite Steuerleitung umfasst, die dazu vorgesehen ist, einen zweiten Steueranschluss (G2) eines zweiten Transistors (T2) anzusteuern und - wobei die zweite Steuerleitung aktiv oder inaktiv sein kann und - wobei die integrierte Schaltung (IC) eine dritte Steuerleitung umfasst, die dazu vorgesehen ist, einen dritten Steueranschluss (G3) eines dritten Transistors (T3) anzusteuern und - wobei die dritte Steuerleitung aktiv oder inaktiv sein kann und - wobei die integrierte Schaltung dazu vorgesehen ist, dass der erste Transistor (T1) und der zweite Transistor (T2) und der dritte Transistor (T3) in Serie mit der Zündpille (SQ) geschaltet sind und - wobei die Zündung der Zündpille (SQ) im Normalbetrieb zumindest zur Voraussetzung hat, dass die erste Steuerleitung aktiv ist und die zweite Steuerleitung aktiv ist und die dritte Steuerleitung aktiv ist - wobei eine Prüfung der ersten Steuerleitung im Produktionstestmodus der integrierten sicherheitsrelevanten elektronischen Schaltung (IC) möglich sein soll umfassend die Schritte - Erfüllen einer ersten Vorbedingung zur Aktivierung des Produktionstestmodus durch Übermitteln einer ersten Botschaft über eine erste Schnittstelle (IF1); - Ermitteln, dass der Produktionstestmodus aufgrund der ersten Vorbedingung zur Aktivierung des Produktionstestmodus es erfordert, dass die erste Steuerleitung NICHT zwangsweise bis zum Ende der Aktivierung des Produktionstestmodus deaktiviert wird; - Deaktivieren der zweiten Steuerleitung des zweiten Steueranschlusses (G2) des zweiten Transistors (T2) und Verriegelung einer Aktivierung der zweiten Steuerleitung zumindest bis zum Ende der Aktivierung des Produktionstestmodus oder Deaktivieren der dritten Steuerleitung des dritten Steueranschlusses (G3) des dritten Transistors (T3) und Verriegelung einer Aktivierung der dritten Steuerleitung zumindest bis zum Ende der Aktivierung des Produktionstestmodus; - Überprüfen ob die deaktivierten Steuerleitungen deaktiviert sind; - Erfüllen einer zweiten Vorbedingung zur Aktivierung des Produktionstestmodus durch Übermitteln einer zweiten Botschaft über eine zweite Schnittstelle (IF2), die von der ersten Schnittstelle (IF1) verschieden ist; - Aktivieren des Produktionstestmodus, wenn von der zweiten oder dritten Steuerleitung zumindest eine Steuerleitung deaktiviert wurde und wenn zumindest diese Steuerleitung deaktiviert ist und wenn die erste Vorbedingung erfüllt ist und die zweite Vorbedingung erfüllt ist und wenn aufgrund der ersten Vorbedingung zur Aktivierung des Produktionstestmodus ermittelt wird, dass der Produktionstestmodus es erfordert, dass die erste Steuerleitung nicht zwangsweise bis zum Ende der Aktivierung des Produktionstestmodus deaktiviert wird.Method for activating a production test mode for an integrated safety-related electronic circuit (IC) for controlling a vehicle occupant restraint system with a squib (SQ) or for at least one integrated safety-related electronic circuit (IC) from a plurality of integrated safety-related circuits for controlling a vehicle occupant restraint system with a squib (SQ) , - wherein the integrated circuit (IC) comprises a first control line which is intended to drive a first control terminal (G1) of a first transistor (T1) and - wherein the first control line can be active or inactive and - wherein the integrated circuit (IC) comprises a second control line which is intended to drive a second control terminal (G2) of a second transistor (T2) and - wherein the second control line can be active or inactive and - wherein the integrated circuit (IC) comprises a third control line which is intended to drive a third control terminal (G3) of a third transistor (T3) and - wherein the third control line can be active or inactive and - Wherein the integrated circuit is provided for the purpose that the first transistor (T1) and the second transistor (T2) and the third transistor (T3) are connected in series with the squib (SQ) and - The ignition of the squib (SQ) in normal operation has at least the prerequisite that the first control line is active and the second control line is active and the third control line is active - It should be possible to check the first control line in the production test mode of the integrated safety-relevant electronic circuit (IC) comprising the steps - Fulfillment of a first precondition for activating the production test mode by transmitting a first message via a first interface (IF1); - determining that due to the first precondition for activating the production test mode, the production test mode requires that the first control line is NOT forcibly deactivated until the end of the activation of the production test mode; - deactivating the second control line of the second control terminal (G2) of the second transistor (T2) and locking an activation of the second control line at least until the end of the activation of the production test mode or deactivating the third control line of the third control terminal (G3) of the third transistor (T3) and locking activation of the third control line at least until the end of the activation of the production test mode; - check if the disabled control lines are disabled; - Fulfilling a second precondition for activating the production test mode by transmitting a second message via a second interface (IF2) which is different from the first interface (IF1); - Activation of the production test mode if at least one control line of the second or third control line has been deactivated and if at least this control line is deactivated and if the first precondition is met and the second precondition is met and if it is determined based on the first precondition that the production test mode is activated, that the production test mode requires that the first control line is not forcibly deactivated until the end of the activation of the production test mode. Verfahren zur Aktivierung eines Produktionstestmodus für eine integrierte sicherheitsrelevante elektronische Schaltung (IC) zur Steuerung eines Fahrzeuginsassenrückhaltesystems mit einer Zündpille (SQ) oder für mindestens eine integrierte sicherheitsrelevante elektronische Schaltung (IC) von mehreren integrierten sicherheitsrelevanten Schaltungen zur Steuerung eines Fahrzeuginsassenrückhaltesystems mit einer Zündpille (SQ), - wobei die integrierte Schaltung (IC) eine erste Steuerleitung umfasst, die dazu vorgesehen ist, einen ersten Steueranschluss (G1) eines ersten Transistors (T1) anzusteuern und - wobei die erste Steuerleitung aktiv oder inaktiv sein kann und - wobei die integrierte Schaltung (IC) eine zweite Steuerleitung umfasst, die dazu vorgesehen ist, einen zweiten Steueranschluss (G2) eines zweiten Transistors (T2) anzusteuern und - wobei die zweite Steuerleitung aktiv oder inaktiv sein kann und - wobei die integrierte Schaltung (IC) eine dritte Steuerleitung umfasst, die dazu vorgesehen ist, einen dritten Steueranschluss (G3) eines dritten Transistors (T3) anzusteuern und - wobei die dritte Steuerleitung aktiv oder inaktiv sein kann und - wobei die integrierte Schaltung dazu vorgesehen ist, dass der erste Transistor (T1) und der zweite Transistor (T2) und der dritte Transistor (T3) in Serie mit der Zündpille (SQ) geschaltet sind und - wobei die Zündung der Zündpille (SQ) im Normalbetrieb zumindest zur Voraussetzung hat, dass die erste Steuerleitung aktiv ist und die zweite Steuerleitung aktiv ist und die dritte Steuerleitung aktiv ist - wobei eine Prüfung der zweiten Steuerleitung im Produktionstestmodus der integrierten sicherheitsrelevanten elektronischen Schaltung (IC) möglich sein soll umfassend die Schritte - Erfüllen einer ersten Vorbedingung zur Aktivierung des Produktionstestmodus durch Übermitteln einer ersten Botschaft über eine erste Schnittstelle (IF1); - Ermitteln, dass der Produktionstestmodus aufgrund der ersten Vorbedingung zur Aktivierung des Produktionstestmodus es erfordert, dass die zweite Steuerleitung NICHT zwangsweise bis zum Ende der Aktivierung des Produktionstestmodus deaktiviert wird; - Deaktivieren der ersten Steuerleitung des ersten Steueranschlusses (G1) des ersten Transistors (T1) und Verriegelung einer Aktivierung der ersten Steuerleitung zumindest bis zum Ende der Aktivierung des Produktionstestmodus oderDeaktivieren der dritten Steuerleitung des dritten Steueranschlusses (G3) des dritten Transistors (T3) und Verriegelung einer Aktivierung der dritten Steuerleitung zumindest bis zum Ende der Aktivierung des Produktionstestmodus; - Überprüfen ob die deaktivierten Steuerleitungen deaktiviert sind; - Erfüllen einer zweiten Vorbedingung zur Aktivierung des Produktionstestmodus durch Übermitteln einer zweiten Botschaft über eine zweite Schnittstelle (IF2), die von der ersten Schnittstelle (IF1) verschieden ist; - Aktivieren des Produktionstestmodus, wenn von der ersten oder dritten Steuerleitung zumindest eine Steuerleitung deaktiviert wurde und wenn zumindest diese Steuerleitung deaktiviert ist und wenn die erste Vorbedingung erfüllt ist und die zweite Vorbedingung erfüllt ist und wenn aufgrund der ersten Vorbedingung zur Aktivierung des Produktionstestmodus ermittelt wird, dass der Produktionstestmodus es erfordert, dass die zweite Steuerleitung nicht zwangsweise bis zum Ende der Aktivierung des Produktionstestmodus deaktiviert wird.Method for activating a production test mode for an integrated safety-related electronic circuit (IC) for controlling a vehicle occupant restraint system with a squib (SQ) or for at least one integrated safety-related electronic circuit (IC) from a plurality of integrated safety-related circuits for controlling a vehicle occupant restraint system with a squib (SQ) , - wherein the integrated circuit (IC) comprises a first control line which is intended to drive a first control connection (G1) of a first transistor (T1) and - wherein the first control line can be active or inactive and - wherein the integrated circuit ( IC) comprises a second control line which is intended to drive a second control connection (G2) of a second transistor (T2) and - wherein the second control line can be active or inactive and - wherein the integrated circuit (IC) comprises a third control line, the to is provided to drive a third control terminal (G3) of a third transistor (T3) and - wherein the third control line can be active or inactive and - wherein the integrated circuit is provided for the purpose that the first transistor (T1) and the second Transistor (T2) and the third transistor (T3) are connected in series with the squib (SQ) and - the ignition of the squib (SQ) in normal operation at least has the prerequisite that the first control line is active and the second control line is active and the third control line is active - it should be possible to test the second control line in the production test mode of the integrated safety-relevant electronic circuit (IC), comprising the steps - fulfillment of a first precondition for activating the production test mode by transmitting a first message via a first interface (IF1) ; - determining that due to the first precondition for activating the production test mode, the production test mode requires that the second control line is NOT forcibly deactivated until the end of the activation of the production test mode; - deactivating the first control line of the first control terminal (G1) of the first transistor (T1) and locking an activation of the first control line at least until the end of the activation of the production test mode or deactivating the third control line of the third control terminal (G3) of the third transistor (T3) and locking an activation of the third control line at least until the end of the activation of the production test mode; - check if the disabled control lines are disabled; - Fulfilling a second precondition for activating the production test mode by transmitting a second message via a second interface (IF2) which is different from the first interface (IF1); - Activation of the production test mode if at least one control line of the first or third control line has been deactivated and if at least this control line is deactivated and if the first precondition is met and the second precondition is met and if it is determined based on the first precondition that the production test mode is activated, that the production test mode requires that the second control line is not forcibly deactivated until the end of the activation of the production test mode. Verfahren zur Aktivierung eines Produktionstestmodus für eine integrierte sicherheitsrelevante elektronische Schaltung (IC) zur Steuerung eines Fahrzeuginsassenrückhaltesystems mit einer Zündpille (SQ) oder für mindestens eine integrierte sicherheitsrelevante elektronische Schaltung (IC) von mehreren integrierten sicherheitsrelevanten Schaltungen zur Steuerung eines Fahrzeuginsassenrückhaltesystems mit einer Zündpille (SQ), - wobei die integrierte Schaltung (IC) eine erste Steuerleitung umfasst, die dazu vorgesehen ist, einen ersten Steueranschluss (G1) eines ersten Transistors (T1) anzusteuern und - wobei die erste Steuerleitung aktiv oder inaktiv sein kann und - wobei die integrierte Schaltung (IC) eine zweite Steuerleitung umfasst, die dazu vorgesehen ist, einen zweiten Steueranschluss (G2) eines zweiten Transistors (T2) anzusteuern und - wobei die zweite Steuerleitung aktiv oder inaktiv sein kann und - wobei die integrierte Schaltung (IC) eine dritte Steuerleitung umfasst, die dazu vorgesehen ist, einen dritten Steueranschluss (G3) eines dritten Transistors (T3) anzusteuern und - wobei die dritte Steuerleitung aktiv oder inaktiv sein kann und - wobei die integrierte Schaltung dazu vorgesehen ist, dass der erste Transistor (T1) und der zweite Transistor (T2) und der dritte Transistor (T3) in Serie mit der Zündpille (SQ) geschaltet sind und - wobei die Zündung der Zündpille (SQ) im Normalbetrieb zumindest zur Voraussetzung hat, dass die erste Steuerleitung aktiv ist und die zweite Steuerleitung aktiv ist und die dritte Steuerleitung aktiv ist - wobei eine Prüfung der dritten Steuerleitung im Produktionstestmodus der integrierten sicherheitsrelevanten elektronischen Schaltung (IC) möglich sein soll umfassend die Schritte - Erfüllen einer ersten Vorbedingung zur Aktivierung des Produktionstestmodus durch Übermitteln einer ersten Botschaft über eine erste Schnittstelle (IF1); - Ermitteln, dass der Produktionstestmodus aufgrund der ersten Vorbedingung zur Aktivierung des Produktionstestmodus es erfordert, dass die dritte Steuerleitung NICHT zwangsweise bis zum Ende der Aktivierung des Produktionstestmodus deaktiviert wird; - Deaktivieren der ersten Steuerleitung des ersten Steueranschlusses (G1) des ersten Transistors (T1) und Verriegelung einer Aktivierung der ersten Steuerleitung zumindest bis zum Ende der Aktivierung des Produktionstestmodus oder Deaktivieren der zweiten Steuerleitung des zweiten Steueranschlusses (G2) des zweiten Transistors (T2) und Verriegelung einer Aktivierung der zweiten Steuerleitung zumindest bis zum Ende der Aktivierung des Produktionstestmodus; - Überprüfen ob die deaktivierten Steuerleitungen deaktiviert sind; - Erfüllen einer zweiten Vorbedingung zur Aktivierung des Produktionstestmodus durch Übermitteln einer zweiten Botschaft über eine zweite Schnittstelle (IF2), die von der ersten Schnittstelle (IF1) verschieden ist; - Aktivieren des Produktionstestmodus, wenn von der zweiten oder dritten Steuerleitung zumindest eine Steuerleitung deaktiviert wurde und wenn zumindest diese Steuerleitung deaktiviert ist und wenn die erste Vorbedingung erfüllt ist und die zweite Vorbedingung erfüllt ist und wenn aufgrund der ersten Vorbedingung zur Aktivierung des Produktionstestmodus ermittelt wird, dass der Produktionstestmodus es erfordert, dass die dritte Steuerleitung nicht zwangsweise bis zum Ende der Aktivierung des Produktionstestmodus deaktiviert wird.Method for activating a production test mode for an integrated safety-related electronic circuit (IC) for controlling a vehicle occupant restraint system with a squib (SQ) or for at least one integrated safety-related electronic circuit (IC) from a plurality of integrated safety-related circuits for controlling a vehicle occupant restraint system with a squib (SQ) , - wherein the integrated circuit (IC) comprises a first control line which is intended to drive a first control connection (G1) of a first transistor (T1) and - wherein the first control line can be active or inactive and - wherein the integrated circuit ( IC) comprises a second control line which is intended to drive a second control connection (G2) of a second transistor (T2) and - wherein the second control line can be active or inactive and - wherein the integrated circuit (IC) comprises a third control line, the to is provided for driving a third control connection (G3) of a third transistor (T3) and - wherein the third control line can be active or inactive and - wherein the integrated circuit is provided for the purpose that the first transistor (T1) and the second transistor (T2 ) and the third transistor (T3) are connected in series with the squib (SQ) and - the ignition of the squib (SQ) in normal operation at least as a prerequisite that the first control line is active and the second control line is active and the third control line is active - it should be possible to test the third control line in the production test mode of the integrated, safety-relevant electronic circuit (IC), comprising the steps - fulfilling a first precondition for activating the production test mode by transmitting a first message via a first interface (IF1); - determining that due to the first precondition for activating the production test mode, the production test mode requires that the third control line is NOT forcibly deactivated until the end of the activation of the production test mode; - deactivating the first control line of the first control terminal (G1) of the first transistor (T1) and locking an activation of the first control line at least until the end of the activation of the production test mode or deactivating the second control line of the second control terminal (G2) of the second transistor (T2) and locking activation of the second control line at least until the end of the activation of the production test mode; - check if the disabled control lines are disabled; - Fulfilling a second precondition for activating the production test mode by transmitting a second message via a second interface (IF2) which is different from the first interface (IF1); - activation of the production test mode if at least one of the second or third control line has been deactivated and if at least this control line is deactivated and if the first precondition is met and the second precondition is met and if due the first precondition for activation of the production test mode is determined that the production test mode requires that the third control line is not forcibly deactivated until the end of the activation of the production test mode.
DE102018110934.2A 2017-05-12 2018-05-07 Process for operationally safe, simplified activation of production test modes in safety-relevant electronic circuits for a vehicle occupant restraint system Active DE102018110934B4 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102017110424 2017-05-12
DE102017110424.0 2017-05-12

Publications (2)

Publication Number Publication Date
DE102018110934A1 DE102018110934A1 (en) 2018-11-15
DE102018110934B4 true DE102018110934B4 (en) 2023-02-02

Family

ID=63962454

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102018110934.2A Active DE102018110934B4 (en) 2017-05-12 2018-05-07 Process for operationally safe, simplified activation of production test modes in safety-relevant electronic circuits for a vehicle occupant restraint system

Country Status (1)

Country Link
DE (1) DE102018110934B4 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19828432A1 (en) 1998-06-25 2000-01-13 Siemens Ag Device for triggering an occupant protection device of a motor vehicle and method for operating an occupant protection device of a motor vehicle
DE10350853A1 (en) 2003-10-31 2005-06-02 Conti Temic Microelectronic Gmbh Circuit arrangement for monitoring a motor vehicle safety device
DE102005030770A1 (en) 2004-07-27 2006-03-23 Conti Temic Microelectronic Gmbh Switching system for motor vehicle safety systems has control unit and in order to generate test control signal during test phase, test input signal for first and second control unit is generated
US20140039764A1 (en) 2012-08-02 2014-02-06 Denso Corporation Controller pre-shipment inspection method

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19828432A1 (en) 1998-06-25 2000-01-13 Siemens Ag Device for triggering an occupant protection device of a motor vehicle and method for operating an occupant protection device of a motor vehicle
DE10350853A1 (en) 2003-10-31 2005-06-02 Conti Temic Microelectronic Gmbh Circuit arrangement for monitoring a motor vehicle safety device
DE102005030770A1 (en) 2004-07-27 2006-03-23 Conti Temic Microelectronic Gmbh Switching system for motor vehicle safety systems has control unit and in order to generate test control signal during test phase, test input signal for first and second control unit is generated
US20140039764A1 (en) 2012-08-02 2014-02-06 Denso Corporation Controller pre-shipment inspection method

Also Published As

Publication number Publication date
DE102018110934A1 (en) 2018-11-15

Similar Documents

Publication Publication Date Title
EP1248714A2 (en) System for controlling the operation of modules using information transmitted from a control device via a data bus, a trigger device and a test circuit
DE4424020A1 (en) Test method for a passive safety device in motor vehicles
WO2014040814A2 (en) Device, vehicle, method and computer program for deactivating high-voltage components of a vehicle
DE102016112764B4 (en) INTERFACE MODULE FOR A VEHICLE ON-BOARD NETWORK, POWER DISTRIBUTOR AND ON-BOARD NETWORK FOR A MOTOR VEHICLE
DE102018107449B4 (en) ISO 26262 compliant procedure for testing an evaluation device for sensor data within a safety-relevant overall system
DE102018107452B4 (en) ISO 26262 compliant procedure for testing an evaluation device for sensor data within a safety-relevant overall system
EP2797776B1 (en) Method and device for monitoring an energy reserve, and safety device for a vehicle
DE102018107448A1 (en) ISO 26262 compliant device for testing an evaluation device with multiple evaluation sub-devices for sensor data within a safety-related overall system
DE102018107446A1 (en) ISO 26262 compliant device for testing an evaluation device with a feed device and a plurality of evaluation sub-devices for sensor data within a safety-related overall system
DE102018110934B4 (en) Process for operationally safe, simplified activation of production test modes in safety-relevant electronic circuits for a vehicle occupant restraint system
DE102018110937B4 (en) Process for operationally safe simplified activation of production test modes in safety-related electronic circuits for pedestrian impact protection systems
DE102018110932B4 (en) Method for the reliable activation of production test modes in safety-relevant electronic circuits for a vehicle occupant restraint system
DE102018110926B4 (en) Procedure for the reliable activation of production test modes in safety-related electronic circuits for a safety-related system
DE102018216196B3 (en) Motor vehicle control unit with redundant power supply and corresponding motor vehicle
DE102017110423B4 (en) Process for the reliable activation of production test modes in safety-relevant electronic circuits for a pedestrian impact protection system
EP3914482B1 (en) Method and device for controlling the electrical voltage for a safety-relevant load
DE102018221201A1 (en) Motor vehicle control unit with several supply connections for a redundant voltage supply as well as motor vehicle with the control unit and method for operating the control unit
EP1561165B1 (en) Control unit for activating a protection mechansim for passengers of a motor vehicle and method for monitoring the proper operation of such a control unit
EP1220768B1 (en) Ignition device for a pyrotechnic occupant protection device
DE10029141A1 (en) Fault monitoring of memory contents using check sums involves deriving desired new check sum from difference between old and new contents and old check sum before writing new contents
DE102022000322B3 (en) Electronic control unit for a heat-generating electrical device of a vehicle
DE102020126014B4 (en) Method of preventing airbags from not being deployed due to short circuits in the leads of other airbags
DE102013003586A1 (en) Electrical power supply system for motor car, has conductor path electrically connecting power supply unit with onboard network, and locking element comprising response time shorter than response time of fuse element
DE102018212777A1 (en) Method for monitoring an electrical system of a motor vehicle
DE102019101733B4 (en) Device for safeguarding the monitoring of an airbag ignition stage during operation

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R081 Change of applicant/patentee

Owner name: ELMOS SEMICONDUCTOR SE, DE

Free format text: FORMER OWNER: ELMOS SEMICONDUCTOR AKTIENGESELLSCHAFT, 44227 DORTMUND, DE

R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final