Halbleiterchip und Sicherheitsschaltungsanordnung mit einem solchen Halbleiterchip

Die Erfindung betrifft einen Halbleiterchip mit darauf schaltungstechnisch realisierten Funktionen, der einen ersten Bereich aufweist, in dem eine erste Gruppe von sicherheitsrelevanten Grundfunktionen schaltungstechnisch realisiert ist und der einen zweiten Bereich aufweist, der von dem ersten Bereich durch technologische Sicherheitsmaßnahmen getrennt ist, in dem eine die Grundfunktionen überwachende erste Gruppe von Überwachungsfunktionen schaltungstechnisch realisiert ist. Die Erfindung betrifft außerdem eine Sicherheitsschaltungsanordnung mit einem solchen Halbleiterchip und zumindest einem mit diesem verbundenen Sicherheitsschalter, der mit einem Schalter oder einem Aktor verbunden ist.

Ein solcher Halbleiterchip und eine solche Sicherheitsschaltungsanordnung sind aus der DE 102014209090 A1 bekannt.

Der dortige Lehre beinhaltet, einen integrierten Schaltkreis auf einem Schaltkreisträger oder Chipträger als Sicherheitszentrum zu verwenden, bei dem eine Abschalteinheit von der Steuereinheit isoliert auf dem Schaltkreisträger ausgebildet ist bzw. eine in sich abgeschlossene Abschalteinheit in Form einer Sicherheitsinsel auf dem Schaltkreisträger separat vorgesehen ist. Über die Steuereinheit wird im Normalbetrieb die Versorgung der Spannung für einzelne Komponenten der Schaltungsanordnung, wie z. B. Mikrocontroller, sichergestellt. Die Abschalteinheit ist mit der Steuereinheit auf dem Schaltkreisträger elektronisch nicht verbunden und weist einen eigenen Anschluss zur Verbindung zur Stromversorgungsvorrichtung auf, z. B. eine Batterie. Idealerweise ist der Anschluss zur Stromversorgungsvorrichtung mit einem Verpolschutz versehen. Die Abschalteinheit kann ihre Funktion somit auch bei einem Ausfall der Steuereinheit uneingeschränkt ausführen und bietet einen zur Steuereinheit redundanten Abschaltpfad, der gerade in den vorgenannten Fehlerfällen weiterhin betreibbar bleibt. Insbesondere für Servolenkungsvorrichtungen bietet die erhöhte Ausfallsicherheit der Abschalteinheit den Vorteil, unvorhergesehene Motoreingriffe in die Lenkung abfangen zu können. Die bekannte Abschalteinheit stellt ein kontrolliertes Abschalten des Motors bzw. eine kontrollierte Trennung des Motors von der Versorgungsspannung sicher. Auf diese Weise kann zum einen eine Beschädigung der elektronischen Bauteile verhindert werden, die mit dem Motor verbunden sind. Zum anderen ist es möglich, sicherzustellen, dass keine ungewollten Motordrehmomente nach ordnungsgemäßer Abschaltung der Spannungsversorgung generiert werden. Mittels der Isolierung und dem eigenen Anschluss zu der Stromversorgungsvorrichtung wird erreicht, dass die Abschalteinheit auch bei einem Fehler in der Stromversorgungsvorrichtung, z. B. einer Batterie, oder in der Verbindung zur Stromversorgungsvorrichtung nicht beeinträchtigt wird. Alternativ oder zusätzlich dazu kann die Abschalteinheit auch mit einer eigenen Stromversorgungsvorrichtung versehen sein. Die Abschaltfunktionen werden gemäß der DE 10 2014 209 090 A1 in die Abschalteinheit vereint und gemeinsam mit der Steuereinheit auf einen einzigen Schaltkreisträger oder Chip reduziert.

Allgemein kann gesagt werden, dass mit der stetig wachsenden Komplexität elektronischer Komponenten in Fahrzeugen auch die Möglichkeit von Fehlfunktionen steigt. Ist eine sicherheitsrelevante Komponente von einer solchen Fehlfunktion betroffen, können im schlimmsten Fall Menschen zu Schaden kommen. Würde z.B. ein ESP-Steuergerät in einem Kraftfahrzeug bei zügiger Fahrt unerwartet eine Vollbremsung auslösen, könnte dies zu einem Auffahrunfall führen. Um das Risiko von Gefahr bringenden Fehlfunktionen von sicherheitsrelevanten Elektronik-Systemen zu minimieren, sollten diese unter Berücksichtigung einschlägiger Normen entwickelt werden. Eine solche ist die ISO 26262.

Der Start einer Entwicklung nach ISO 26262 lässt sich in folgenden Schritten beschreiben (siehe Wikipedia):

1 . Der Fahrzeughersteller, der sein Produkt in den Markt bringt - d.h. an Endverbraucher verkauft - untersucht Umstände und Situationen, in denen das Fahrzeug Menschen verletzen oder töten könnte.

2. Definition von Sicherheitszielen ("safety goals"), die das ungewollte Verhalten beschreiben, z. B. „Ungewolltes Anfahren des Fahrzeugs vermeiden.“

3. Risiko bestimmen und bewerten, z.B.

1 . ungefährlich (beispielsweise Klimasteuergerät), 2. geringe Gefahren [QM], die ohne besondere Maßnahmen der Norm auskommt, oder die

3. Einstufung von [ASIL] A bis ASIL D, für die die Norm anzuwenden ist.

4. Komponenten (der Zulieferer) identifizieren, die dazu beitragen könnten, z. B. „Motor beschleunigt ungewollt oder „Automatisches Getriebe verlässt von selbst P oder N“

5. Den Lieferanten von Komponenten die geforderte Funktion als Sicherheitsanforderung ("safety requirement"), den ASIL und einige weitere Informationen mitteilen, um sie in die sicherheitsgerichtete Entwicklung einzubinden.

In diesem Zusammenhang kann auch eine Implementierung von Überwachungsfunktionen in einem gesicherten Bereich eines Halbleiterchips unsicher sein, wenn schädliche Einflüsse von außen sich über mögliche Trenn- und Isolationsmaßnahmen hinweg auswirken.

Es ist daher die Aufgabe der Erfindung, hier Abhilfe zu schaffen.

Die Aufgabe wird gelöst durch einen Halbleiterchip mit darauf schaltungstechnisch realisierten Funktionen, der einen ersten Bereich aufweist, in dem eine erste Gruppe von sicherheitsrelevanten Grundfunktionen schaltungstechnisch realisiert ist und der einen zweiten Bereich aufweist, der von dem ersten Bereich durch technologische Sicherheitsmaßnahmen getrennt ist, in dem eine die Grundfunktionen überwachende erste Gruppe von Überwachungsfunktionen schaltungstechnisch realisiert ist, der einen dritten, auf dem Halbleiterchip ausgebildeten Bereich aufweist, der von den anderen Bereichen durch technologische Sicherheitsmaßnahmen getrennt ist, in dem eine die Grundfunktionen überwachende zweite Gruppe von Überwachungsfunktionen schaltungstechnisch realisiert ist.

Hierdurch kann eine deutlich höhere Sicherheit erreicht werden, da eine nur sehr geringe Wahrscheinlichkeit besteht, dass sich ein sicherheitstechnisch problematischer Fehler auf beide Gruppen von Überwachungsfunktionen, die in verschiedenen, durch technologische Sicherheitsmaßnahmen getrennten Bereichen des Halbleiterchips ausgebildet sind, auswirkt. Somit kann in allen denkbaren Situationen die Sicherheit im Rahmen der ISO 26262, ASIL D Vorgaben gewährleistet werden. In einer Ausbildung der Erfindung weist die erste Gruppe von sicherheitsrelevanten Grundfunktionen eine Anzahl von Spannungsreglern zur Ausgabe von Versorgungsspannungen auf.

Die zumeist aus einer Batteriespannung erzeugten und geregelten Versorgungsspannungen dienen zur Versorgung von weiteren externen Schaltkreisen wie beispielsweise Mikroprozessoren oder Mikrocontrollern, Sensoren, Kommunikationsbausteinen etc. Sollten Fehlereinflüsse dazu führen, dass die Versorgungsspannungen nicht korrekt erzeugt werden, kann sich dies auf die korrekte Funktion dieser versorgten Schaltkreise auswirken und von diesen auf weitere Funktionen übertragen werden. So könnte ein aufgrund einer zu geringen Versorgungsspannung fehlerhaft arbeitender Mikroprozessor falsche Steuersignale für Aktoren erzeugen, die zu problematischen Fehlfunktionen führen können. Eine solche Fehlfunktion muss daher rechtzeitig erkannt werden und durch die Überwachungsfunktionen beispielsweise Sicherheitsschalter aktiviert werden, die eine Weiterleitung falscher Signale unterbinden können. Wenn sich der Fehler aber auch auf die Sicherheitsfunktionen auswirkt, kann diese Sicherheitsüberwachung fehlschlagen. Dies soll durch die erfindungsgemäße Maßnahme verhindert werden.

Die erste und die zweite Gruppe von Überwachungsfunktionen können in Ausgestaltungen eines erfindungsgemäßen Halbleiterchips jeweils einen Ausfallsicherheits-Vortreiber und/oder einen Ausfallsicherheitsautomaten und/oder eine Watchdogschaltung und/oder eine Spannungsüberwachungsschaltung aufweisen. Es sind jedoch auch andere sinnvolle Überwachungsschaltungen oder Überwachungsfunktionen möglich.

Die Sicherheitsmaßnahmen auf einem erfindungsgemäßen Halbleiterchip können eine Separation der energetischen Versorgung oder des Layouts und/oder eine elektrische Isolation und/oder eine Spannungsrobustheit und/oder eine Entkopplung eines redundanten Abschaltpfades umfassen. Es können auch Maßnahmen sein, wie sie bereits in der DE 10 2014 209 090 A1 beschrieben sind.

Die Erfindung betrifft auch eine Sicherheitsschaltungsanordnung mit einem Halbleiterchip gemäß einem der Ansprüche 1 bis 4 und zumindest einem mit diesem verbundenen Sicherheitsschalter, der mit einem Schalter oder einem Aktor verbunden ist, wobei die Sicherheitsschaltungsanordnung eingerichtet ist, den Schalter oder den Aktor mittels des zumindest einen Sicherheitsschalters zu aktivieren oder zu deaktivieren, wobei der Sicherheitsschalter mit beiden Gruppen von Überwachungsfunktionen verbunden ist.

Der Sicherheitsschalter dient dazu, eine Maßnahme zu ergreifen oder zu unterbinden und kann durch beide Gruppen von Überwachungsfunktionen veranlasst werden, seine Funktion zu erfüllen.

Die Erfindung wird nachfolgend anhand eines Ausführungsbeispiels mit Hilfe einer Figur näher erläutert.

Die Fig. 1 zeigt einen Halbleiterchip 1 , der einen ersten Bereich 2 aufweist, in dem eine erste Gruppe 3 von sicherheitsrelevanten Grundfunktionen schaltungstechnisch realisiert ist. Diese Grundfunktionen sind im dargestellten Ausführungsbeispiel insbesondere Linearregler LD01 bis LD06, die der Erzeugung unterschiedlicher Versorgungsspannungen im Bereich von etwa 3 Volt bis 5 Volt, insbesondere aus einer Fahrzeugbatteriespannung (main battery), dienen. Diese Versorgungsspannungen können im dargestellten Beispiel der Fig. 1 der Versorgung eines Mikroprozessors 11 oder von Sensoren 12 dienen. Die sicherheitsrelevanten Grundfunktionen können weitere Funktionen umfassen wie beispielsweise ein Sensorinterface oder eine SPI Schnittstelle.

Insbesondere ein Mikroprozessor 11 benötigt eine stabile Versorgungsspannung, um ordnungsgemäß arbeiten zu können. Zwar wird die Funktion eines Mikroprozessors 11 üblicherweise über eine Watchdogfunktion überwacht, die im dargestellten Ausführungsbeispiel ebenfalls auf dem Halbleiterchip 1 in einen zweiten Bereich 4 in einer ersten Gruppe 5 von Überwachungsfunktionen realisiert ist. Allerdings kann es trotzdem Vorkommen, dass die fehlerhafte Funktion des Mikroprozessors zwar erkannt ist, die Ausgabe der fehlerhaften Steuersignale jedoch nicht mehr verhindert werden kann. Zu diesem Zweck sind Sicherheitsschalter 9 vorgesehen, die entweder die Weiterleitung dieser Steuersignale unterbinden können oder die Empfangsbausteine wie beispielsweise ein Kommunikationsbaustein 10 deaktivieren können.

Der zweite Bereich 4 ist ebenfalls auf dem Halbleiterchip 1 ausgebildet, jedoch durch Sicherheitsmaßnahmen wie beispielsweise eine Separation der energetischen Versorgung oder des Layouts und/oder eine elektrische Isolation und/oder eine Spannungsrobustheit und/oder eine Entkopplung eines redundanten Abschaltpfades abgesichert. Auf diese Weise soll grundsätzlich verhindert werden, dass Fehler, die in den Schaltkreisen des ersten Bereichs 2 auftreten, nicht ohne Weiteres Auswirkungen im zweiten Bereich 4 haben.

Allerdings kann es trotzdem Vorkommen, dass ein Fehler, der sich auf einen Linearregler LD01 bis LD06 auswirkt, ebenfalls auf den zweiten Bereich 4 durchschlägt und die dortigen Überwachungsfunktionen der ersten Gruppe von Überwachungsfunktionen 5 oder zumindest Teile davon beeinträchtigt, sodass der Sicherheitsschalter 9 nicht mehr rechtzeitig betätigt werden kann.

Daher ist in erfindungsgemäßer Weise auf dem Halbleiterchip 1 ein dritter Bereich 6 vorgesehen, der ebenfalls durch passende Sicherheitsmaßnahmen von den beiden anderen Bereichen 3, 4 getrennt ist und in dem eine zweite Gruppe von Überwachungsfunktionen 7 schaltungstechnisch realisiert ist. Die Überwachungsfunktionen der zweiten Gruppe von Überwachungsfunktionen 7 können die gleiche Funktion bzw. Aufgabe erfüllen wie die Überwachungsfunktionen der ersten Gruppe von Überwachungsfunktionen 5, die redundante Ausführung soll lediglich die Wahrscheinlichkeit deutlich verringern, dass sich ein Fehler im ersten Bereich 2 innerhalb der ersten Gruppe von sicherheitsrelevanten Grundfunktionen 3 auf die Überwachungsfunktionen auswirkt.

Zu diesem Zweck sind auch die Schaltkreise der zweiten Gruppe von Überwachungsfunktionen 7 mit den entsprechenden Sicherheitsschaltern 9 verbunden, sodass bei einem Ausfall einer der beiden Gruppen von Überwachungsfunktionen 5, 7 mit hoher Wahrscheinlichkeit zumindest die andere funktionsfähig bleibt und die Sicherheitsschalter 9 betätigen kann, um beispielsweise Kommunikationseinrichtungen 10 am Weiterleiten fehlerhafter Steuersignale eines beeinträchtigten Mikroprozessors 11 zu unterbinden.

Durch die erfindungsgemäße Integration zweier Gruppen von Überwachungsfunktionen auf nur einem Halbleiterchip 1 wird bei nur geringem Platzbedarf eine hohe Sicherheit erreicht und damit auch die Anforderungen von bis ASIL D der ISO 262 erreicht.