WO2022012876A1 - Halbleiterchip und sicherheitsschaltungsanordnung mit einem solchen halbleiterchip - Google Patents

Halbleiterchip und sicherheitsschaltungsanordnung mit einem solchen halbleiterchip Download PDF

Info

Publication number
WO2022012876A1
WO2022012876A1 PCT/EP2021/066859 EP2021066859W WO2022012876A1 WO 2022012876 A1 WO2022012876 A1 WO 2022012876A1 EP 2021066859 W EP2021066859 W EP 2021066859W WO 2022012876 A1 WO2022012876 A1 WO 2022012876A1
Authority
WO
WIPO (PCT)
Prior art keywords
semiconductor chip
functions
safety
monitoring
switch
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
PCT/EP2021/066859
Other languages
English (en)
French (fr)
Inventor
Andreas Wunderlich
Alfons Fisch
Thierry BAVOIS
Franz Laberer
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Vitesco Technologies GmbH
Original Assignee
Vitesco Technologies GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Vitesco Technologies GmbH filed Critical Vitesco Technologies GmbH
Priority to CN202180049456.5A priority Critical patent/CN115803979A/zh
Priority to US18/005,697 priority patent/US12141022B2/en
Publication of WO2022012876A1 publication Critical patent/WO2022012876A1/de
Anticipated expiration legal-status Critical
Ceased legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H03ELECTRONIC CIRCUITRY
    • H03KPULSE TECHNIQUE
    • H03K17/00Electronic switching or gating, i.e. not by contact-making and –breaking
    • H03K17/18Modifications for indicating state of switch
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Program-control systems
    • G05B19/02Program-control systems electric
    • G05B19/04Program control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Program control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • G05B19/0428Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0736Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in functional embedded systems, i.e. in a data processing system designed as a combination of hardware and software dedicated to performing a certain function
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3013Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is an embedded system, i.e. a combination of hardware and software dedicated to perform a certain function in mobile devices, printers, automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3058Monitoring arrangements for monitoring environmental properties or parameters of the computing system or of the computing system component, e.g. monitoring of power, currents, temperature, humidity, position, vibrations
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24125Watchdog, check at timed intervals

Definitions

  • the invention relates to a semiconductor chip with functions implemented on it in terms of circuitry, which has a first area in which a first group of safety-relevant basic functions is implemented in terms of circuitry and which has a second area, which is separated from the first area by technological security measures, in which a Basic functions monitoring first group of monitoring functions is realized circuitry.
  • the invention also relates to a safety circuit arrangement with such a semiconductor chip and at least one safety switch connected to it, which is connected to a switch or an actuator.
  • Such a semiconductor chip and such a security circuit arrangement are known from DE 102014209090 A1.
  • the teaching there includes using an integrated circuit on a circuit carrier or chip carrier as a safety center, in which a disconnection unit is formed isolated from the control unit on the circuit substrate or a self-contained disconnection unit in the form of a safety island is provided separately on the circuit substrate.
  • the control unit supplies the voltage for individual components of the circuit arrangement, e.g. B. microcontroller ensured.
  • the switch-off unit is not electronically connected to the control unit on the circuit board and has its own connection for connection to the power supply device, e.g. B. a battery. Ideally, the connection to the power supply device is provided with reverse polarity protection.
  • the shutdown unit can therefore perform its function without restrictions even in the event of a failure of the control unit and offers a shutdown path that is redundant to the control unit and that remains operable precisely in the aforementioned error cases.
  • the increased reliability of the disconnection unit offers the advantage of being able to intercept unforeseen motor interventions in the steering.
  • the known switch-off unit ensures that the motor is switched off in a controlled manner or that the motor is disconnected from the supply voltage in a controlled manner. In this way, on the one hand, damage to the electronic components that are connected to the motor can be prevented. On the other hand, it is possible to ensure that no unwanted motor torques are generated after the power supply has been properly switched off.
  • the shutdown unit By means of the isolation and its own connection to the power supply device, it is achieved that the shutdown unit also operates in the event of a fault in the power supply device, e.g. B. a battery, or in the connection to the power supply device is not affected.
  • the switch-off unit can also be provided with its own power supply device. According to DE 10 2014 209 090 A1, the switch-off functions are combined in the switch-off unit and, together with the control unit, reduced to a single circuit carrier or chip.
  • safety goals that describe the unwanted behavior, e.g. B. "Avoid starting the vehicle accidentally.”
  • an implementation of monitoring functions in a secure area of a semiconductor chip can also be unsafe if harmful influences from the outside have an effect beyond possible separation and isolation measures.
  • the object is achieved by a semiconductor chip with functions implemented on it in terms of circuitry, which has a first area in which a first group of safety-relevant basic functions is implemented in terms of circuitry and which has a second area, which is separated from the first area by technological security measures, in which a first group of monitoring functions monitoring the basic functions is realized in terms of circuitry, which has a third area formed on the semiconductor chip, which is separated from the other areas by technological security measures, in which a second group of monitoring functions monitoring the basic functions is realized in terms of circuitry.
  • the first group of safety-relevant basic functions has a number of voltage regulators for outputting supply voltages.
  • the supply voltages which are usually generated and regulated from battery voltage, are used to supply other external circuits such as microprocessors or microcontrollers, sensors, communication modules, etc. If faults mean that the supply voltages are not generated correctly, this can affect the correct functioning of the circuits supplied affect and are transferred from these to other functions.
  • a microprocessor that is not working properly because the supply voltage is too low could generate incorrect control signals for actuators, which can lead to problematic malfunctions.
  • Such a malfunction must therefore be detected in good time and, for example, safety switches must be activated by the monitoring functions, which can prevent false signals from being forwarded.
  • this safety monitoring can fail. This is to be prevented by the measure according to the invention.
  • the first and the second group of monitoring functions can each have a fail-safe pre-driver and/or a fail-safe machine and/or a watchdog circuit and/or a voltage monitoring circuit.
  • a fail-safe pre-driver and/or a fail-safe machine and/or a watchdog circuit and/or a voltage monitoring circuit.
  • other sensible monitoring circuits or monitoring functions are also possible.
  • the security measures on a semiconductor chip according to the invention can include a separation of the energy supply or the layout and/or electrical insulation and/or voltage robustness and/or decoupling of a redundant switch-off path. It can also be measures as already described in DE 10 2014 209 090 A1.
  • the invention also relates to a safety circuit arrangement with a semiconductor chip according to one of Claims 1 to 4 and at least one safety switch connected thereto, which is connected to a switch or an actuator, the safety circuit arrangement being set up to switch the switch or the actuator by means of the at least one safety switch to activate or deactivate, with the safety switch being connected to both groups of monitoring functions.
  • the safety switch is used to take or stop an action and can be induced to perform its function by either set of monitoring functions.
  • FIG. 1 shows a semiconductor chip 1 which has a first area 2 in which a first group 3 of safety-relevant basic functions is realized in terms of circuitry.
  • these basic functions are in particular linear regulators LD01 to LD06, which are used to generate different supply voltages in the range from approximately 3 volts to 5 volts, in particular from a vehicle battery voltage (main battery).
  • these supply voltages can be used to supply a microprocessor 11 or sensors 12 .
  • the safety-relevant basic functions can include additional functions such as a sensor interface or an SPI interface.
  • a microprocessor 11 in particular requires a stable supply voltage in order to be able to work properly.
  • the function of a microprocessor 11 is usually monitored via a watchdog function, which in the exemplary embodiment shown is also implemented on the semiconductor chip 1 in a second area 4 in a first group 5 of monitoring functions.
  • a watchdog function which in the exemplary embodiment shown is also implemented on the semiconductor chip 1 in a second area 4 in a first group 5 of monitoring functions.
  • safety switches 9 are provided, which can either prevent the forwarding of these control signals or deactivate the receiving modules, such as a communication module 10 .
  • the second area 4 is also formed on the semiconductor chip 1, but protected by safety measures such as a separation of the energy supply or the layout and/or electrical insulation and/or voltage robustness and/or decoupling of a redundant switch-off path. In this way, it should be avoided in principle that faults occurring in the circuits of the first area 2 do not easily have an impact in the second area 4.
  • a third area 6 is provided on the semiconductor chip 1, which is also separated from the other two areas 3, 4 by appropriate security measures and in which a second group of monitoring functions 7 is realized in terms of circuitry.
  • the monitoring functions of the second group of monitoring functions 7 can perform the same function or task as the monitoring functions of the first group of monitoring functions 5, the redundant design is only intended to significantly reduce the probability that an error will occur in the first area 2 within the first group of safety-related Basic Functions 3 affects the monitoring functions.
  • the circuits of the second group of monitoring functions 7 are also connected to the corresponding safety switches 9, so that if one of the two groups of monitoring functions 5, 7 fails, there is a high probability that at least the other one will remain functional and can actuate the safety switch 9, for example To prevent communication devices 10 from forwarding erroneous control signals from an impaired microprocessor 11 .

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Automation & Control Theory (AREA)
  • Mathematical Physics (AREA)
  • Semiconductor Integrated Circuits (AREA)

Abstract

Die Erfindung betrifft einen Halbleiterchip (1) mit darauf schaltungstechnisch realisierten Funktionen, der einen ersten Bereich (2) aufweist, in dem eine erste Gruppe von sicherheitsrelevanten Grundfunktionen (3) schaltungstechnisch realisiert ist und der einen zweiten Bereich (4) aufweist, der von dem ersten Bereich (2) durch technologische Sicherheitsmaßnahmen getrennt ist, in dem eine die Grundfunktionen überwachende erste Gruppe von Überwachungsfunktionen (5) schaltungstechnisch realisiert ist. Er weist außerdem einen dritten, auf dem Halbleiterchip (1) ausgebildeten Bereich (6) auf, der von den anderen Bereichen (2, 3) durch technologische Sicherheitsmaßnahmen getrennt ist, in dem eine die Grundfunktionen überwachende zweite Gruppe von Überwachungsfunktionen (7) schaltungstechnisch realisiert ist.

Description

Beschreibung
Halbleiterchip und Sicherheitsschaltungsanordnung mit einem solchen Halbleiterchip
Die Erfindung betrifft einen Halbleiterchip mit darauf schaltungstechnisch realisierten Funktionen, der einen ersten Bereich aufweist, in dem eine erste Gruppe von sicherheitsrelevanten Grundfunktionen schaltungstechnisch realisiert ist und der einen zweiten Bereich aufweist, der von dem ersten Bereich durch technologische Sicherheitsmaßnahmen getrennt ist, in dem eine die Grundfunktionen überwachende erste Gruppe von Überwachungsfunktionen schaltungstechnisch realisiert ist. Die Erfindung betrifft außerdem eine Sicherheitsschaltungsanordnung mit einem solchen Halbleiterchip und zumindest einem mit diesem verbundenen Sicherheitsschalter, der mit einem Schalter oder einem Aktor verbunden ist.
Ein solcher Halbleiterchip und eine solche Sicherheitsschaltungsanordnung sind aus der DE 102014209090 A1 bekannt.
Der dortige Lehre beinhaltet, einen integrierten Schaltkreis auf einem Schaltkreisträger oder Chipträger als Sicherheitszentrum zu verwenden, bei dem eine Abschalteinheit von der Steuereinheit isoliert auf dem Schaltkreisträger ausgebildet ist bzw. eine in sich abgeschlossene Abschalteinheit in Form einer Sicherheitsinsel auf dem Schaltkreisträger separat vorgesehen ist. Über die Steuereinheit wird im Normalbetrieb die Versorgung der Spannung für einzelne Komponenten der Schaltungsanordnung, wie z. B. Mikrocontroller, sichergestellt. Die Abschalteinheit ist mit der Steuereinheit auf dem Schaltkreisträger elektronisch nicht verbunden und weist einen eigenen Anschluss zur Verbindung zur Stromversorgungsvorrichtung auf, z. B. eine Batterie. Idealerweise ist der Anschluss zur Stromversorgungsvorrichtung mit einem Verpolschutz versehen. Die Abschalteinheit kann ihre Funktion somit auch bei einem Ausfall der Steuereinheit uneingeschränkt ausführen und bietet einen zur Steuereinheit redundanten Abschaltpfad, der gerade in den vorgenannten Fehlerfällen weiterhin betreibbar bleibt. Insbesondere für Servolenkungsvorrichtungen bietet die erhöhte Ausfallsicherheit der Abschalteinheit den Vorteil, unvorhergesehene Motoreingriffe in die Lenkung abfangen zu können. Die bekannte Abschalteinheit stellt ein kontrolliertes Abschalten des Motors bzw. eine kontrollierte Trennung des Motors von der Versorgungsspannung sicher. Auf diese Weise kann zum einen eine Beschädigung der elektronischen Bauteile verhindert werden, die mit dem Motor verbunden sind. Zum anderen ist es möglich, sicherzustellen, dass keine ungewollten Motordrehmomente nach ordnungsgemäßer Abschaltung der Spannungsversorgung generiert werden. Mittels der Isolierung und dem eigenen Anschluss zu der Stromversorgungsvorrichtung wird erreicht, dass die Abschalteinheit auch bei einem Fehler in der Stromversorgungsvorrichtung, z. B. einer Batterie, oder in der Verbindung zur Stromversorgungsvorrichtung nicht beeinträchtigt wird. Alternativ oder zusätzlich dazu kann die Abschalteinheit auch mit einer eigenen Stromversorgungsvorrichtung versehen sein. Die Abschaltfunktionen werden gemäß der DE 10 2014 209 090 A1 in die Abschalteinheit vereint und gemeinsam mit der Steuereinheit auf einen einzigen Schaltkreisträger oder Chip reduziert.
Allgemein kann gesagt werden, dass mit der stetig wachsenden Komplexität elektronischer Komponenten in Fahrzeugen auch die Möglichkeit von Fehlfunktionen steigt. Ist eine sicherheitsrelevante Komponente von einer solchen Fehlfunktion betroffen, können im schlimmsten Fall Menschen zu Schaden kommen. Würde z.B. ein ESP-Steuergerät in einem Kraftfahrzeug bei zügiger Fahrt unerwartet eine Vollbremsung auslösen, könnte dies zu einem Auffahrunfall führen. Um das Risiko von Gefahr bringenden Fehlfunktionen von sicherheitsrelevanten Elektronik-Systemen zu minimieren, sollten diese unter Berücksichtigung einschlägiger Normen entwickelt werden. Eine solche ist die ISO 26262.
Der Start einer Entwicklung nach ISO 26262 lässt sich in folgenden Schritten beschreiben (siehe Wikipedia):
1 . Der Fahrzeughersteller, der sein Produkt in den Markt bringt - d.h. an Endverbraucher verkauft - untersucht Umstände und Situationen, in denen das Fahrzeug Menschen verletzen oder töten könnte.
2. Definition von Sicherheitszielen ("safety goals"), die das ungewollte Verhalten beschreiben, z. B. „Ungewolltes Anfahren des Fahrzeugs vermeiden.“
3. Risiko bestimmen und bewerten, z.B.
1 . ungefährlich (beispielsweise Klimasteuergerät), 2. geringe Gefahren [QM], die ohne besondere Maßnahmen der Norm auskommt, oder die
3. Einstufung von [ASIL] A bis ASIL D, für die die Norm anzuwenden ist.
4. Komponenten (der Zulieferer) identifizieren, die dazu beitragen könnten, z. B. „Motor beschleunigt ungewollt oder „Automatisches Getriebe verlässt von selbst P oder N“
5. Den Lieferanten von Komponenten die geforderte Funktion als Sicherheitsanforderung ("safety requirement"), den ASIL und einige weitere Informationen mitteilen, um sie in die sicherheitsgerichtete Entwicklung einzubinden.
In diesem Zusammenhang kann auch eine Implementierung von Überwachungsfunktionen in einem gesicherten Bereich eines Halbleiterchips unsicher sein, wenn schädliche Einflüsse von außen sich über mögliche Trenn- und Isolationsmaßnahmen hinweg auswirken.
Es ist daher die Aufgabe der Erfindung, hier Abhilfe zu schaffen.
Die Aufgabe wird gelöst durch einen Halbleiterchip mit darauf schaltungstechnisch realisierten Funktionen, der einen ersten Bereich aufweist, in dem eine erste Gruppe von sicherheitsrelevanten Grundfunktionen schaltungstechnisch realisiert ist und der einen zweiten Bereich aufweist, der von dem ersten Bereich durch technologische Sicherheitsmaßnahmen getrennt ist, in dem eine die Grundfunktionen überwachende erste Gruppe von Überwachungsfunktionen schaltungstechnisch realisiert ist, der einen dritten, auf dem Halbleiterchip ausgebildeten Bereich aufweist, der von den anderen Bereichen durch technologische Sicherheitsmaßnahmen getrennt ist, in dem eine die Grundfunktionen überwachende zweite Gruppe von Überwachungsfunktionen schaltungstechnisch realisiert ist.
Hierdurch kann eine deutlich höhere Sicherheit erreicht werden, da eine nur sehr geringe Wahrscheinlichkeit besteht, dass sich ein sicherheitstechnisch problematischer Fehler auf beide Gruppen von Überwachungsfunktionen, die in verschiedenen, durch technologische Sicherheitsmaßnahmen getrennten Bereichen des Halbleiterchips ausgebildet sind, auswirkt. Somit kann in allen denkbaren Situationen die Sicherheit im Rahmen der ISO 26262, ASIL D Vorgaben gewährleistet werden. In einer Ausbildung der Erfindung weist die erste Gruppe von sicherheitsrelevanten Grundfunktionen eine Anzahl von Spannungsreglern zur Ausgabe von Versorgungsspannungen auf.
Die zumeist aus einer Batteriespannung erzeugten und geregelten Versorgungsspannungen dienen zur Versorgung von weiteren externen Schaltkreisen wie beispielsweise Mikroprozessoren oder Mikrocontrollern, Sensoren, Kommunikationsbausteinen etc. Sollten Fehlereinflüsse dazu führen, dass die Versorgungsspannungen nicht korrekt erzeugt werden, kann sich dies auf die korrekte Funktion dieser versorgten Schaltkreise auswirken und von diesen auf weitere Funktionen übertragen werden. So könnte ein aufgrund einer zu geringen Versorgungsspannung fehlerhaft arbeitender Mikroprozessor falsche Steuersignale für Aktoren erzeugen, die zu problematischen Fehlfunktionen führen können. Eine solche Fehlfunktion muss daher rechtzeitig erkannt werden und durch die Überwachungsfunktionen beispielsweise Sicherheitsschalter aktiviert werden, die eine Weiterleitung falscher Signale unterbinden können. Wenn sich der Fehler aber auch auf die Sicherheitsfunktionen auswirkt, kann diese Sicherheitsüberwachung fehlschlagen. Dies soll durch die erfindungsgemäße Maßnahme verhindert werden.
Die erste und die zweite Gruppe von Überwachungsfunktionen können in Ausgestaltungen eines erfindungsgemäßen Halbleiterchips jeweils einen Ausfallsicherheits-Vortreiber und/oder einen Ausfallsicherheitsautomaten und/oder eine Watchdogschaltung und/oder eine Spannungsüberwachungsschaltung aufweisen. Es sind jedoch auch andere sinnvolle Überwachungsschaltungen oder Überwachungsfunktionen möglich.
Die Sicherheitsmaßnahmen auf einem erfindungsgemäßen Halbleiterchip können eine Separation der energetischen Versorgung oder des Layouts und/oder eine elektrische Isolation und/oder eine Spannungsrobustheit und/oder eine Entkopplung eines redundanten Abschaltpfades umfassen. Es können auch Maßnahmen sein, wie sie bereits in der DE 10 2014 209 090 A1 beschrieben sind.
Die Erfindung betrifft auch eine Sicherheitsschaltungsanordnung mit einem Halbleiterchip gemäß einem der Ansprüche 1 bis 4 und zumindest einem mit diesem verbundenen Sicherheitsschalter, der mit einem Schalter oder einem Aktor verbunden ist, wobei die Sicherheitsschaltungsanordnung eingerichtet ist, den Schalter oder den Aktor mittels des zumindest einen Sicherheitsschalters zu aktivieren oder zu deaktivieren, wobei der Sicherheitsschalter mit beiden Gruppen von Überwachungsfunktionen verbunden ist.
Der Sicherheitsschalter dient dazu, eine Maßnahme zu ergreifen oder zu unterbinden und kann durch beide Gruppen von Überwachungsfunktionen veranlasst werden, seine Funktion zu erfüllen.
Die Erfindung wird nachfolgend anhand eines Ausführungsbeispiels mit Hilfe einer Figur näher erläutert.
Die Fig. 1 zeigt einen Halbleiterchip 1 , der einen ersten Bereich 2 aufweist, in dem eine erste Gruppe 3 von sicherheitsrelevanten Grundfunktionen schaltungstechnisch realisiert ist. Diese Grundfunktionen sind im dargestellten Ausführungsbeispiel insbesondere Linearregler LD01 bis LD06, die der Erzeugung unterschiedlicher Versorgungsspannungen im Bereich von etwa 3 Volt bis 5 Volt, insbesondere aus einer Fahrzeugbatteriespannung (main battery), dienen. Diese Versorgungsspannungen können im dargestellten Beispiel der Fig. 1 der Versorgung eines Mikroprozessors 11 oder von Sensoren 12 dienen. Die sicherheitsrelevanten Grundfunktionen können weitere Funktionen umfassen wie beispielsweise ein Sensorinterface oder eine SPI Schnittstelle.
Insbesondere ein Mikroprozessor 11 benötigt eine stabile Versorgungsspannung, um ordnungsgemäß arbeiten zu können. Zwar wird die Funktion eines Mikroprozessors 11 üblicherweise über eine Watchdogfunktion überwacht, die im dargestellten Ausführungsbeispiel ebenfalls auf dem Halbleiterchip 1 in einen zweiten Bereich 4 in einer ersten Gruppe 5 von Überwachungsfunktionen realisiert ist. Allerdings kann es trotzdem Vorkommen, dass die fehlerhafte Funktion des Mikroprozessors zwar erkannt ist, die Ausgabe der fehlerhaften Steuersignale jedoch nicht mehr verhindert werden kann. Zu diesem Zweck sind Sicherheitsschalter 9 vorgesehen, die entweder die Weiterleitung dieser Steuersignale unterbinden können oder die Empfangsbausteine wie beispielsweise ein Kommunikationsbaustein 10 deaktivieren können.
Der zweite Bereich 4 ist ebenfalls auf dem Halbleiterchip 1 ausgebildet, jedoch durch Sicherheitsmaßnahmen wie beispielsweise eine Separation der energetischen Versorgung oder des Layouts und/oder eine elektrische Isolation und/oder eine Spannungsrobustheit und/oder eine Entkopplung eines redundanten Abschaltpfades abgesichert. Auf diese Weise soll grundsätzlich verhindert werden, dass Fehler, die in den Schaltkreisen des ersten Bereichs 2 auftreten, nicht ohne Weiteres Auswirkungen im zweiten Bereich 4 haben.
Allerdings kann es trotzdem Vorkommen, dass ein Fehler, der sich auf einen Linearregler LD01 bis LD06 auswirkt, ebenfalls auf den zweiten Bereich 4 durchschlägt und die dortigen Überwachungsfunktionen der ersten Gruppe von Überwachungsfunktionen 5 oder zumindest Teile davon beeinträchtigt, sodass der Sicherheitsschalter 9 nicht mehr rechtzeitig betätigt werden kann.
Daher ist in erfindungsgemäßer Weise auf dem Halbleiterchip 1 ein dritter Bereich 6 vorgesehen, der ebenfalls durch passende Sicherheitsmaßnahmen von den beiden anderen Bereichen 3, 4 getrennt ist und in dem eine zweite Gruppe von Überwachungsfunktionen 7 schaltungstechnisch realisiert ist. Die Überwachungsfunktionen der zweiten Gruppe von Überwachungsfunktionen 7 können die gleiche Funktion bzw. Aufgabe erfüllen wie die Überwachungsfunktionen der ersten Gruppe von Überwachungsfunktionen 5, die redundante Ausführung soll lediglich die Wahrscheinlichkeit deutlich verringern, dass sich ein Fehler im ersten Bereich 2 innerhalb der ersten Gruppe von sicherheitsrelevanten Grundfunktionen 3 auf die Überwachungsfunktionen auswirkt.
Zu diesem Zweck sind auch die Schaltkreise der zweiten Gruppe von Überwachungsfunktionen 7 mit den entsprechenden Sicherheitsschaltern 9 verbunden, sodass bei einem Ausfall einer der beiden Gruppen von Überwachungsfunktionen 5, 7 mit hoher Wahrscheinlichkeit zumindest die andere funktionsfähig bleibt und die Sicherheitsschalter 9 betätigen kann, um beispielsweise Kommunikationseinrichtungen 10 am Weiterleiten fehlerhafter Steuersignale eines beeinträchtigten Mikroprozessors 11 zu unterbinden.
Durch die erfindungsgemäße Integration zweier Gruppen von Überwachungsfunktionen auf nur einem Halbleiterchip 1 wird bei nur geringem Platzbedarf eine hohe Sicherheit erreicht und damit auch die Anforderungen von bis ASIL D der ISO 262 erreicht.

Claims

Patentansprüche
1. Halbleiterchip (1) mit darauf schaltungstechnisch realisierten Funktionen, der einen ersten Bereich (2) aufweist, in dem eine erste Gruppe von sicherheitsrelevanten Grundfunktionen (3) schaltungstechnisch realisiert ist und der einen zweiten Bereich (4) aufweist, der von dem ersten Bereich (2) durch technologische Sicherheitsmaßnahmen getrennt ist, in dem eine die Grundfunktionen überwachende erste Gruppe von Überwachungsfunktionen (5) schaltungstechnisch realisiert ist, gekennzeichnet durch, einen dritten, auf dem Halbleiterchip (1) ausgebildeten Bereich (6), der von den anderen Bereichen (2, 3) durch technologische Sicherheitsmaßnahmen getrennt ist, in dem eine die Grundfunktionen überwachende zweite Gruppe von Überwachungsfunktionen (7) schaltungstechnisch realisiert ist.
2. Halbleiterchip nach Anspruch 1 , dadurch gekennzeichnet, dass die erste Gruppe von sicherheitsrelevanten Grundfunktionen (3) eine Anzahl von Spannungsreglern (LD01 ... LD06) zur Ausgabe von Versorgungsspannungen aufweist.
3. Halbleiterchip nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die erste und die zweite Gruppe von Überwachungsfunktionen (3, 5) jeweils einen Ausfallsicherheits-Vortreiber (FailSafe PreDriver) und/oder einen Ausfallsicherheitsautomaten (Fail Safe Machine) und/oder eine Watchdogschaltung (Watchdog & Voltage monitoring) und/oder eine Spannungsüberwachungsschaltung aufweisen.
4. Halbleiterchip (1) nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Sicherheitsmaßnahmen eine Separation der energetischen Versorgung oder des Layouts und/oder eine elektrische Isolation und/oder eine Spannungsrobustheit und/oder eine Entkopplung eines redundanten Abschaltpfades umfassen.
5. Sicherheitsschaltungsanordnung mit einem Halbleiterchip (1 ) gemäß einem der Ansprüche 1 bis 4 und zumindest einem mit diesem verbundenen Sicherheitsschalter (9), der mit einem Schalter (10) oder einem Aktor verbunden ist, wobei die Sicherheitsschaltungsanordnung eingerichtet ist, den Schalter (10) oder den Aktor mittels des zumindest einen Sicherheitsschalters (9) zu aktivieren oder zu deaktivieren, wobei der Sicherheitsschalter (9) mit beiden Gruppen von Überwachungsfunktionen (5, 7) verbunden ist.
PCT/EP2021/066859 2020-07-15 2021-06-21 Halbleiterchip und sicherheitsschaltungsanordnung mit einem solchen halbleiterchip Ceased WO2022012876A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202180049456.5A CN115803979A (zh) 2020-07-15 2021-06-21 半导体芯片和具有这种半导体芯片的安全电路装置
US18/005,697 US12141022B2 (en) 2020-07-15 2021-06-21 Semiconductor chip and security circuit assembly containing redundant safety circuitry for monitoring base functions

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102020208854.3A DE102020208854A1 (de) 2020-07-15 2020-07-15 Halbleiterchip und Sicherheitsschaltungsanordnung mit einem solchen Halbleiterchip
DE102020208854.3 2020-07-15

Publications (1)

Publication Number Publication Date
WO2022012876A1 true WO2022012876A1 (de) 2022-01-20

Family

ID=76730525

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2021/066859 Ceased WO2022012876A1 (de) 2020-07-15 2021-06-21 Halbleiterchip und sicherheitsschaltungsanordnung mit einem solchen halbleiterchip

Country Status (4)

Country Link
US (1) US12141022B2 (de)
CN (1) CN115803979A (de)
DE (1) DE102020208854A1 (de)
WO (1) WO2022012876A1 (de)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102020208854A1 (de) * 2020-07-15 2022-01-20 Vitesco Technologies GmbH Halbleiterchip und Sicherheitsschaltungsanordnung mit einem solchen Halbleiterchip

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2685378A1 (de) * 2012-07-11 2014-01-15 Rohm Co., Ltd. Integrierte Stromversorgungs-Überwachungsschaltung für eine elektrische Bauteileinheit eines Kraftfahrzeugs
WO2015135803A1 (en) * 2014-03-12 2015-09-17 Continental Automotive Gmbh Electronic control circuit for vehicle
US20150331040A1 (en) * 2012-07-02 2015-11-19 Freescale Semiconductor, Inc. Integrated circuit device, safety circuit, safety-critical system and method of manufacturing an integrated circuit device
DE102014209090A1 (de) 2014-05-14 2015-11-19 Continental Automotive Gmbh Integrierter Schaltkreis mit isolierter Abschalteinheit
US20190235448A1 (en) * 2019-03-29 2019-08-01 Intel Corporation Enhancing diagnostic capabilities of computing systems by combining variable patrolling api and comparison mechanism of variables
US10585772B2 (en) * 2013-06-04 2020-03-10 Trw Automotive U.S. Llc Power supply diagnostic strategy

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3215177A1 (de) * 1982-04-23 1983-10-27 Hartmann & Braun Ag, 6000 Frankfurt Ueberwachungssystem fuer eine oder mehrere, gleichartig aufgebaute prozessstationen
US5372410A (en) 1994-02-02 1994-12-13 National Semiconductor Corporation Anti-lock braking system
DE19611942C2 (de) 1996-03-26 2003-02-20 Daimler Chrysler Ag Halbleiterschaltkreis für ein elektronisches Steuergerät
US6208242B1 (en) 1997-10-24 2001-03-27 Continental Teves Ag & Co., Ohg Circuit configuration to monitor a regulated output voltage in a motor vehicle
GB2360856B (en) * 2000-03-30 2004-06-23 Llanelli Radiators Ltd Intelligent control unit
DE112004001836D2 (de) 2003-10-08 2006-08-24 Continental Teves Ag & Co Ohg Integriertes Mikroprozessorsystem für sicherheitskritische Regelungen
DE102006008958A1 (de) 2005-03-10 2006-09-28 Continental Teves Ag & Co. Ohg Elektronisches Kraftfahrzeugbremsensteuergerät
DE102007025827A1 (de) * 2007-04-26 2008-10-30 Continental Teves Ag & Co. Ohg Integrierte Schaltungsanordnung für sicherheitskritische Regelungssysteme
CN201163348Y (zh) * 2007-12-21 2008-12-10 上海可鲁系统软件有限公司 一种用于冗余系统的应用控制装置
DE102010002346A1 (de) * 2009-10-12 2011-04-14 Endress + Hauser Gmbh + Co. Kg Feldgerät zur Bestimmung oder Überwachung einer physikalischen oder chemischen Prozessgröße
DE102011053580A1 (de) * 2011-09-14 2013-03-14 Zf Lenksysteme Gmbh Verfahren zum betrieb einer elektrischen hilfskraftlenkung
JP5951429B2 (ja) 2012-02-01 2016-07-13 ルネサスエレクトロニクス株式会社 ウォッチドッグ回路、電源ic、及びウォッチドッグ監視システム
DE112014002675T5 (de) * 2013-06-04 2016-02-18 Trw Automotive U.S. Llc Optimierte Spannungsversorgungsarchitektur
CN104034960A (zh) * 2014-05-15 2014-09-10 苏州市万松电气有限公司 具备多重冗余的列车车载电能监控系统
JP7227002B2 (ja) * 2015-10-09 2023-02-21 フィッシャー-ローズマウント システムズ,インコーポレイテッド プロセス制御システムの安全イベントの視覚化を経時的に提供するためのシステム及び方法
KR102355424B1 (ko) 2017-09-13 2022-01-26 현대자동차주식회사 차량용 중앙 처리 장치를 제어하는 워치독 회로의 신뢰성을 향상시키는 장치 및 방법
DE102020208854A1 (de) * 2020-07-15 2022-01-20 Vitesco Technologies GmbH Halbleiterchip und Sicherheitsschaltungsanordnung mit einem solchen Halbleiterchip
US12012125B2 (en) * 2021-07-30 2024-06-18 Nvidia Corporation Communicating faults to an isolated safety region of a system on a chip
CN114932805B (zh) * 2022-04-29 2025-06-03 华为数字能源技术有限公司 一种驱动装置和电动汽车
DE102022131083A1 (de) * 2022-11-24 2024-05-29 Infineon Technologies Ag Fahrzeug, Fehlerüberwachungsvorrichtung für ein Fahrzeug und Halbleitervorrichtung zur Detektion einer Überspannung und/oder eines Überstroms

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150331040A1 (en) * 2012-07-02 2015-11-19 Freescale Semiconductor, Inc. Integrated circuit device, safety circuit, safety-critical system and method of manufacturing an integrated circuit device
EP2685378A1 (de) * 2012-07-11 2014-01-15 Rohm Co., Ltd. Integrierte Stromversorgungs-Überwachungsschaltung für eine elektrische Bauteileinheit eines Kraftfahrzeugs
US10585772B2 (en) * 2013-06-04 2020-03-10 Trw Automotive U.S. Llc Power supply diagnostic strategy
WO2015135803A1 (en) * 2014-03-12 2015-09-17 Continental Automotive Gmbh Electronic control circuit for vehicle
DE102014209090A1 (de) 2014-05-14 2015-11-19 Continental Automotive Gmbh Integrierter Schaltkreis mit isolierter Abschalteinheit
US20190235448A1 (en) * 2019-03-29 2019-08-01 Intel Corporation Enhancing diagnostic capabilities of computing systems by combining variable patrolling api and comparison mechanism of variables

Also Published As

Publication number Publication date
DE102020208854A1 (de) 2022-01-20
CN115803979A (zh) 2023-03-14
US20230305913A1 (en) 2023-09-28
US12141022B2 (en) 2024-11-12

Similar Documents

Publication Publication Date Title
EP1673667B1 (de) Integriertes mikroprozessorsystem für sicherheitskritische regelungen
EP4126614B1 (de) Bremssystem mit wenigstens zwei energiequellen
DE102018121960B4 (de) Vorrichtung zur Entkopplung und zum Schutz vor Ausgleichsströmen in einem redundanten System für autonomes Fahren
EP3014365B1 (de) Sicherheitsschaltvorrichtung zur detektion von fehlerhaften eingängen
DE102017209721A1 (de) Vorrichtung für die Steuerung eines sicherheitsrelevanten Vorganges, Verfahren zum Testen der Funktionsfähigkeit der Vorrichtung, sowie Kraftfahrzeug mit der Vorrichtung
DE102018121957B4 (de) Schutzvorrichtung zur Entkopplung elektrischer Steuerkreise in einem redundanten System für autonomes Fahren
EP1031420A1 (de) Vorrichtung zur Überwachung von sicherheitsrelevanten Vorgängen an Maschinen
EP3385934A1 (de) Vorrichtung für die steuerung eines sicherheitsrelevanten vorganges, verfahren zum testen der funktionsfähigkeit der vorrichtung, sowie kraftfahrzeug mit der vorrichtung
WO2012139558A1 (de) Schaltungsanordnung mit fail-silent-funktion
WO2018001665A1 (de) Mehrspannungs-steuervorrichtung für ein kraftfahrzeug, kraftfahrzeug und betriebsverfahren für die steuervorrichtung
WO2022012876A1 (de) Halbleiterchip und sicherheitsschaltungsanordnung mit einem solchen halbleiterchip
EP2433184B1 (de) Steuerungssystem zum steuern eines prozesses
DE112021002746T5 (de) Bordeigener elektronik-controller und verfahren zur steuerung von bordeigenen einrichtungen
DE102021102169A1 (de) Modulare Sicherheitssteuerung
DE102011075182A1 (de) Mikrocontroller mit fehlersicherer Ansteuerung externer Aktuatoren
WO2005047080A1 (de) Momentensteller für ein lenksystem in einem kraftfahrzeug
EP4048574B1 (de) Auswertevorrichtung zur fehlertoleranten auswertung von sensorsignalen für ein motorsteuergerät einer kraftfahrzeuglenkung und kraftfahrzeuglenkung
DE102015215847B3 (de) Vorrichtung und Verfahren zur Erhöhung der funktionalen Sicherheit in einem Fahrzeug.
EP4173909A1 (de) Ventilvorrichtung für ein system für ein fahrzeug und system für ein fahrzeug
EP4173874A1 (de) Ventilvorrichtung für ein system, insbesondere für ein fahrzeug und system, insbesondere bremssystem für ein fahrzeug
DE10103951B4 (de) Energieversorgungseinrichtung für bordnetzgestützte, sicherheitsrelevante Systemkomponenten von Fahrzeugen
EP1597713A1 (de) Vorrichtung zur drahtlosen bertragung von signalen und/oder energie
EP1213199B1 (de) Spannungsversorgung für Logik-und Leistungselektronik eines Radstellers
DE102023211288A1 (de) Verfahren zum Betreiben einer Aktuatoranordnung, Aktuatoranordnung, Kraftfahrzeug
DE102022207670A1 (de) Vorrichtung zum Steuern einer Fahrzeugkomponente und Fahrzeugkomponente

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 21736549

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 21736549

Country of ref document: EP

Kind code of ref document: A1