Login| Sign Up| Help| Contact|

Patent Searching and Data


Title:
DEVICE FOR PREVENTING OVERVOLTAGE-INDUCED DAMAGE CAUSED BY FAULT PROPAGATION IN SAFETY-RELEVANT SYSTEMS
Document Type and Number:
WIPO Patent Application WO/2021/073980
Kind Code:
A1
Abstract:
A device for driving a safety-relevant electronic system, in particular of a vehicle, comprises a power supply unit (10) having at least one voltage regulator (11, 12), wherein the power supply unit (10), during operation, is supplied with a battery voltage (Vbatt) at a first supply potential input connection (14) and provides a first supply voltage (Vss), smaller than the battery voltage (Vbatt), at a first supply potential output connection (15). The first supply voltage (Vss) is supplied, at a second supply potential input connection (21), to a microcontroller (20) for generating a first drive signal (Ctrl) that is provided at a first control output (22) of the microcontroller (20) in order to be processed by a control unit (40). The first supply voltage (Vss) is supplied, at a third supply potential input connection (31), to a monitoring unit (30) for generating a second drive signal (dabl) that is provided at a second control output (32) of the monitoring unit (30) in order to be processed by the control unit (40). The third supply potential input connection (31), the second control output (32) and the second data port (35) of the monitoring unit (30) are designed to be voltage-proof with respect to the battery voltage (Vbatt).

Inventors:
WUNDERLICH ANDREAS (DE)
FISCH ALFONS (DE)
Application Number:
PCT/EP2020/078124
Publication Date:
April 22, 2021
Filing Date:
October 07, 2020
Export Citation:
Click for automatic bibliography generation   Help
Assignee:
VITESCO TECH GMBH (DE)
International Classes:
H02H9/04; H02J1/08; H02J9/06
Foreign References:
CN109709963A2019-05-03
DE102014115800A12015-05-07
DE102014213206A12016-01-14
Attorney, Agent or Firm:
WALDMANN, Alexander (DE)
Download PDF:
Claims:
Patentansprüche

1 . Vorrichtung zur Ansteuerung eines sicherheitsrelevanten elektronischen Systems, insbesondere eines Fahrzeugs, umfassend: eine Stromversorgungseinheit (10) mit zumindest einem Spannungsregler (11 , 12), wobei der Stromversorgungseinheit (10) im Betrieb an einem ersten Versorgungspotentialeingangsanschluss (14) eine Batteriespannung (Vbatt) zugeführt wird und die an einem ersten Versorgungspotentialausgangsanschluss (15) eine erste Versorgungsspannung (Vss) bereitstellt, die kleiner als die Batteriespannung (Vbatt) ist; einen Mikrocontroller (20) zur Erzeugung eines ersten Ansteuersignals (Ctrl), das an einem ersten Steuerausgang (22) des Mikrocontrollers (20) zur Verarbeitung durch eine sicherheitsrelevante Steuereinheit (40) bereitgestellt wird, wobei dem Mikrocontroller (20) an einem zweiten

Versorgungspotentialeingangsanschluss (21 ) die erste Versorgungsspannung (Vss) zugeführt wird und wobei der Mikrocontroller (20) einen ersten Datenport (23) umfasst; eine Überwachungseinheit (30) zur Erzeugung eines zweiten Ansteuersignals (dabl), das an einem zweiten Steuerausgang (32) der Überwachungseinheit (30) zur Verarbeitung durch die sicherheitsrelevante Steuereinheit (40) bereitgestellt wird, wobei der Überwachungseinheit (30) an einem dritten Versorgungspotentialeingangsanschluss (31 ) die erste Versorgungsspannung (Vss) zugeführt wird und wobei die Überwachungseinheit (30) einen zweiten Datenport (35) umfasst; eine Kommunikationsverbindung (20C) zwischen dem ersten Datenport (23) des Mikrocontrollers (20) und dem zweiten Datenport (35) der Überwachungseinheit (30); wobei der dritte Versorgungspotentialeingangsanschluss (31 ), der zweite Steuerausgang (32) und der zweite Datenport (35) der Überwachungseinheit (30) bezüglich der Batteriespannung (Vbatt) spannungsfest ausgebildet sind.

2. Vorrichtung nach Anspruch 1 , bei der die Überwachungseinheit (30) eine steuerbare Schalteinheit (34) zur Erzeugung des zweiten Ansteuersignals (dabl) umfasst, wobei die steuerbare Schalteinheit (34) mit einer an einem vierten Versorgungspotentialeingangsanschluss (36) anliegenden zweiten Versorgungsspannung (Vin) versorgt wird, die kleiner als ein erster vorgegebener Spannungswert (Vsw1 ) ist, der der maximal zulässigen Spannung des Mikrocontrollers (20), bei der keine Schädigung eintritt, entspricht. 3. Vorrichtung nach Anspruch 2, bei der die zweite Versorgungsspannung (Vin) größer als ein zweiter vorgegebener Spannungswert (Vsw2) ist, der größer als die erste Versorgungsspannung (Vss) ist.

4. Vorrichtung nach einem der vorhergehenden Ansprüche, bei der die Stromversorgungseinheit (10) als Spannungsregler (11 , 12) einen ersten Spannungsregler (11 ) zur Erzeugung der zweiten Versorgungsspannung (Vin) und einen zweiten Spannungsregler (12) zur Erzeugung der ersten Versorgungsspannung (Vss) umfasst.

5. Vorrichtung nach Anspruch 4, bei der dem zweiten Spannungsregler (12) die von dem ersten Spannungsregler (11 ) erzeugte zweite Versorgungsspannung (Vin) als Eingangsspannung zugeführt wird.

6. Vorrichtung nach einem der vorhergehenden Ansprüche, bei der alle Ein- und Ausgänge der Überwachungseinheit (30) bezüglich der Batteriespannung (Vbatt) spannungsfest ausgebildet sind.

7. Vorrichtung nach einem der vorhergehenden Ansprüche, bei der die Überwachungseinheit (30) ein Überwachungsmodul (33) umfasst, das dazu ausgebildet ist, über den zweiten Datenport (35) Daten von dem Mikrocontroller (20) zu empfangen und zu verarbeiten und bei der Feststellung einer bestimmungsgemäßen Funktion des Mikrocontrollers (20) die steuerbare Schalteinheit zu veranlassen, das zweite Ansteuersignal (dabl) zu erzeugen.

Description:
VORRICHTUNG ZUR VERHINDERUNG VON ÜBERSPANNUNGSSCHADEN DURCH FEHLERFORTPFLANZUNG VON SICHERHEITSRELEVANTEN

SYSTEMEN

Die Erfindung betrifft eine Vorrichtung zur Ansteuerung eines sicherheitsrelevanten elektronischen Systems. Insbesondere betrifft die Erfindung eine Vorrichtung zur Ansteuerung eines sicherheitsrelevanten elektronischen Systems in einem Fahrzeug.

Sicherheitsrelevante elektronische Systeme besitzen für die Ansteuerung einer Last und/oder zur Absicherung einer Kommunikation, redundant ausgebildete Komponenten. Die Vorrichtung ist hierzu derart ausgebildet, dass die Komponenten eine physikalische Unabhängigkeit von Takt und Versorgungsspannung sowie entkoppelte Signalverbindungen und dergleichen aufweisen, um beim Auftreten eines Fehlers Wechselwirkungen vorzubeugen.

Ein sicherheitsrelevantes elektronisches System zeichnet sich dadurch aus, dass es Fehler über die redundant ausgelegten Komponenten unabhängig voneinander detektieren und eine Fehlerreaktion unabhängig voneinander einleiten kann, z.B. über dedizierte Pfade zur Abschaltung der sicherheitsrelevanten Last. Ein anderes Merkmal eines sicherheitsrelevanten elektronischen Systems ist, dass Fehler, die die redundant ausgelegten Komponenten gleichzeitig betreffen (sog. Common Cause Fehler) durch geeignete Designmaßnahmen der Vorrichtung vermieden werden.

Ein bislang noch nicht zufriedenstellend gelöstes Problem besteht darin, dass eine kritische Spannung aufgrund einer Fehlerfortpflanzung zu einer Schädigung an Komponenten der Vorrichtung führen kann, an denen die kritische Spannung nicht unmittelbar anliegt. Eine Ansteuerung des sicherheitsrelevanten elektronischen Systems ist damit nicht mehr sicher gewährleistet.

Es ist Aufgabe der Erfindung, eine Vorrichtung zur Ansteuerung eines sicherheitsrelevanten elektronischen Systems anzugeben, die baulich und/oder funktionell verbessert ist und eine Fehlerfortpflanzung, insbesondere aufgrund einer kritischen Überspannung, zuverlässig verhindert.

Diese Aufgabe wird gelöst durch eine Vorrichtung gemäß den Merkmalen des Anspruchs 1 . Es wird eine Vorrichtung zur Ansteuerung eines sicherheitsrelevanten elektronischen Systems vorgeschlagen. Das sicherheitsrelevante elektronische System kann jedes technische System sein, bei dem eine besondere Absicherung einer zur steuernden Komponente erforderlich ist, wie z.B. im industriellen Umfeld. Bei dem sicherheitsrelevanten elektronischen System handelt es sich insbesondere um ein technisches System eines Fahrzeugs, z.B. zur Bereitstellung einer teil-, hoch- oder vollautonomen Fahrfunktion.

Die Vorrichtung umfasst eine Stromversorgungseinheit mit zumindest einem Spannungsregler. Der Stromversorgungseinheit wird im Betrieb an einem ersten Versorgungspotentialeingangsanschluss eine Batteriespannung zugeführt. Die Stromversorgungseinheit stellt an einem ersten

Versorgungspotentialausgangsanschluss eine erste Versorgungsspannung bereit, die kleiner als die Batteriespannung ist.

Die Vorrichtung umfasst weiter einen Mikrocontroller zur Erzeugung eines ersten Ansteuersignals. Das Ansteuersignal wird an einem ersten Steuerausgang des Mikrocontrollers zur Verarbeitung durch eine sicherheitsrelevante Steuereinheit bereitgestellt. Dem Mikrocontroller wird an einem zweiten Versorgungspotentialeingangsanschluss die erste Versorgungsspannung zugeführt. Der Mikrocontroller umfasst weiter einen ersten Datenport.

Als weitere Komponente umfasst die Vorrichtung eine Überwachungseinheit zur Erzeugung eines zweiten Ansteuersignals, das an einem zweiten Steuerausgang der Überwachungseinheit zur Verarbeitung durch die sicherheitsrelevante Steuereinheit bereitgestellt wird. Der Überwachungseinheit wird an einem dritten Versorgungspotentialanschluss die erste Versorgungsspannung zugeführt. Weiter umfasst die Überwachungseinheit einen zweiten Datenport.

Die Überwachungseinheit stellt eine zu dem Mikrocontroller unabhängige Komponente dar, welche die Funktion des Mikrocontrollers überwacht. Das erste und das zweite Ansteuersignal müssen, sofern beide Komponenten bestimmungsgemäß arbeiten, in vorbestimmter Weise übereinstimmen. Sofern das erste und das zweite Ansteuersignal die Übereinstimmung in vorbestimmter Weise nicht aufweisen, wird dies durch die sicherheitsrelevante Steuereinheit detektiert, die dann z.B. eine Abschaltung des sicherheitsrelevanten elektronischen Systems vornimmt. Eine Übereinstimmung in vorbestimmter Weise, die ein bestimmungsgemäßes Arbeiten der Komponenten anzeigt, liegt z.B. dann vor, wenn das erste und das zweite Ansteuersignal identisch sind. Eine Abschaltung des sicherheitsrelevanten elektronischen Systems durch die sicherheitsrelevante Steuereinheit erfolgt dann, wenn das erste und das zweite Ansteuersignal unterschiedliche Werte aufweisen. Eine Übereinstimmung in vorbestimmter Weise liegt alternativ z.B. auch dann vor, wenn, um Diversität zu erlangen, das erste und das zweite Ansteuersignal zueinander invers sind. Eine Abschaltung des sicherheitsrelevanten elektronischen Systems durch die sicherheitsrelevante Steuereinheit erfolgt dann, wenn das erste und das zweite Ansteuersignal gleiche Werte aufweisen.

Weiter umfasst die Vorrichtung eine Kommunikationsverbindung zwischen dem ersten Datenport des Mikrocontrollers und dem zweiten Datenport der Überwachungseinheit.

Erfindungsgemäß sind der zweite Versorgungspotentialanschluss, der zweite Steuerausgang und der zweite Datenport der Überwachungseinheit bezüglich der Batteriespannung spannungsfest ausgebildet.

Unter einer spannungsfesten Ausbildung ist in der vorliegenden Beschreibung zu verstehen, dass die genannten Ein- und Ausgänge, z.B. aufgrund geeigneter Fertigungsprozesse, eine Spannungsfestigkeit aufweisen, welche über der maximal in der Vorrichtung auftretenden Spannung liegt. Die höchste auftretende Spannung der Vorrichtung ist die Batteriespannung. Die spannungsfesten Ein- und Ausgänge der Überwachungseinheit liegen dann beispielsweise 20%, 30% oder 50% über der Nenn-Batteriespannung. Beträgt die Batteriespannung beispielsweise 12V, so sind die Ein- und Ausgänge der Überwachungseinheit auf eine Spannungsfestigkeit von z.B. 18V (d.h. 50% über der Nenn-Batteriespannung von 12V) aufgelegt. Die spannungsfeste Auslegung der Ein- und Ausgänge der Überwachungseinheit kann beispielsweise dadurch bewirkt werden, dass der Fertigungsprozess der Überwachungseinheit entsprechend angepasst wird, indem z.B. andere Flalbleitermaterialien, größere Dimensionierungen, größere Isolationsschichten usw. verwendet werden. Grundsätzlich kann jede geeignete Maßnahme, welche zur bestimmungsgemäßen Spannungsfestigkeit beiträgt, gewählt werden. Da diese Maßnahmen aus dem Stand der Technik grundsätzlich bekannt sind, erfolgt keine diesbezügliche weitere detaillierte Beschreibung. Gemäß einer zweckmäßigen Ausgestaltung umfasst die Überwachungseinheit eine steuerbare Schalteinheit zur Erzeugung des Ansteuersignals. Die steuerbare Schalteinheit wird mit einer an einem vierten Versorgungspotentialeingangsanschluss anliegenden zweiten Versorgungsspannung versorgt, die kleiner als ein erster vorgegebener Spannungswert ist, der der maximal zulässigen Spannung des Mikrocontrollers, bei der keine Schädigung eintritt, entspricht. Durch diese Ausgestaltung kann ein interner Fehler in der Überwachungseinheit aufgrund einer fehlerhaften Spannung an dem vierten Versorgungspotentialeingangsanschluss vermieden werden. Die zweite Versorgungsspannung wird dabei derart gewählt, dass die Funktion der steuerbaren Schalteinheit gewährleistet ist, die Flöhe der Spannung aber unkritisch bezüglich interner Fehler der Überwachungseinheit ist.

Insbesondere kann die zweite Versorgungsspannung größer als ein zweiter vorgegebener Spannungswert sein, der größer als die erste Versorgungsspannung ist. Mit anderen Worten ist die zweite Versorgungsspannung an dem vierten Versorgungspotentialeingangsanschluss kleiner als die maximal zulässige Spannung des Mikrocontrollers, bei der keine Schädigung eintritt, und insbesondere größer als die erste Versorgungsspannung.

Eine weitere zweckmäßige Ausgestaltung sieht vor, dass die Stromversorgungseinheit als Spannungsregler einen ersten Spannungsregler zur Erzeugung der zweiten Versorgungsspannung und einen zweiten Spannungsregler zur Erzeugung der ersten Versorgungsspannung umfasst. Der erste und der zweite Spannungsregler können als Kaskade verschaltet sein, wobei dem zweiten Spannungsregler die von dem ersten Spannungsregler erzeugte zweite Versorgungsspannung als Eingangsspannung zugeführt wird. Der erste Spannungsregler kann beispielsweise durch eine Vorregelung, der zweite Spannungsregler als Linear- oder SMPS-Regler ausgebildet sein.

Eine weitere zweckmäßige Ausgestaltung sieht vor, dass sämtliche Ein- und Ausgänge der Überwachungseinheit bezüglich der Batteriespannung spannungsfest ausgebildet sind. Insbesondere ist neben dem zweiten Versorgungspotentialeingangsanschluss, dem dritten Steuerausgang und dem zweiten Datenport auch der vierte Versorgungspotentialeingangsanschluss spannungsfest ausgebildet. Eine weitere zweckmäßige Ausgestaltung sieht vor, dass die Überwachungseinheit ein Überwachungsmodul umfasst, das dazu ausgebildet ist, über den zweiten Datenport Daten von dem Mikrocontroller zu empfangen und zu verarbeiten und bei der Feststellung einer bestimmungsgemäßen Funktion des Mikrocontrollers die steuerbare Schalteinheit zu veranlassen, das zweite Steuersignal zu erzeugen. Durch diese designtechnische Maßnahme können Fehler unabhängig voneinander über die dedizierten Abschaltpfade und Ausgabe des ersten und zweiten Ansteuersignals eingeleitet werden.

Die Erfindung weist eine Reihe von Vorteilen auf. Dadurch, dass die Überwachungseinheit und der Mikrocontroller aus einer gemeinsamen Stromversorgungseinheit versorgt werden können, kann ein eigener Spannungsregler für das Überwachungsmodul eingespart werden. Die Sicherheit wird dadurch aufrechterhalten, dass sämtliche Ein- und Ausgänge der Überwachungseinheit spannungsfest ausgebildet sind. Die Einsparung eines eigenen Spannungsreglers für die Überwachungseinheit ermöglicht darüber hinaus auch die Einsparung redundanter Schutzbeschaltungen, z.B. gegen Überspannungen, Verpolung und dergleichen.

Ein weiterer Vorteil besteht darin, dass keine direkte Abhängigkeit der Abschaltpfade von der Batteriespannung besteht, da die Überwachungseinheit mit einer von der Batteriespannung unterschiedlichen ersten Versorgungsspannung versorgt wird. Die das zweite Ansteuersignal erzeugende steuerbare Schalteinheit wird darüber hinaus bevorzugt mit einer zweiten Versorgungsspannung versorgt, wodurch ein durch die Batteriespannung hervorgerufener Fehler der Vorrichtung nicht in die Überwachungseinheit eingeprägt werden kann. Das Sicherheitskonzept ermöglicht dadurch den Ausschluss sog. Einzelfehler.

Die Erfindung wird nachfolgend näher anhand eines Ausführungsbeispiels in der Zeichnung erläutert. Es zeigen:

Fig. 1 eine schematische Darstellung einer herkömmlichen Vorrichtung zur Ansteuerung eines sicherheitsrelevanten elektronischen Systems; und

Fig. 2 eine schematische Darstellung der zur Ansteuerung eines sicherheitsrelevanten elektronischen Systems erforderlichen Komponenten gemäß der Erfindung. Fig. 1 zeigt eine schematische Darstellung einer bekannten Vorrichtung zur Ansteuerung eines sicherheitsrelevanten elektronischen Systems, anhand der die der vorliegenden Erfindung zugrundeliegende Problematik erläutert wird. Das sicherheitsrelevante elektronische System kann beispielsweise ein System eines Fahrzeugs, z.B. für eine teil-, hoch- oder vollautonome Fahrfunktion für eine Quer- und/oder Längsbewegung des Fahrzeugs sein. Das technische System kann auch in anderen technischen Domänen liegen.

Die Vorrichtung umfasst eine Stromversorgungseinheit 10, einen Mikrocontroller 20, eine Überwachungseinheit 30, eine Sicherheitssteuereinheit 40 und eine Logiksteuereinheit 50 als wesentliche Komponenten.

Die Stromversorgungseinheit 10 umfasst in diesem Beispiel einen ersten Spannungsregler 11 und einen zweiten Spannungsregler 12. Der erste Spannungsregler 11 stellt eine Vorregelung dar. Der zweite Spannungsregler 12 ist z.B. ein Linear- oder SMPS (Switched Mode Power Supply)-Regler. Alternativ könnte die Stromversorgungseinheit 10 auch nur einen Spannungsregler umfassen. Darüber hinaus kann die Stromversorgungseinheit 10 eine oder mehrere weitere Funktionsfunktionskomponenten 13 umfassen. Die genannten Komponenten sind auf einem Chip integriert.

Über einen ersten Versorgungspotentialeingangsanschluss 14 wird die Stromversorgungseinheit 10 mit einer Batteriespannung Vbatt versorgt. Dabei wird die Batteriespannung Vbatt dem ersten Versorgungspotentialeingangsanschluss 14 nicht unmittelbar, sondern über eine Schutzbeschaltung 10S zugeführt. Die Schutzbeschaltung 10S kann z.B. eine oder mehrere Dioden, Kondensatoren, eine ESD (Electrostatic Discharge)-Komponente und dergleichen umfassen. Der oder die Komponenten der Schutzbeschaltung 10S sind außerhalb der Stromversorgungseinheit 10 vorgesehen, da deren Komponenten nicht oder nur zu wirtschaftlich unverhältnismäßig hohen Kosten in integrierter Form vorgesehen werden können.

An einem Ein-/Ausgabeport 17 können der Stromversorgungseinheit 10 externe Ein- und Ausgabedaten (Steuerdaten, Kommunikationsdaten) zugeführt werden. Die Ein- und Ausgabedaten werden vorzugsweise ebenfalls über die Schutzbeschaltung 10S an den Ein-/Ausgabeport 17 geleitet, und z.B. von der oder den Funktionskomponenten 13 verarbeitet. Die Ein- und Ausgabedaten können auch über eine eigene Schutzbeschaltung geleitet werden. Für eine interne Datenkommunikation der Stromversorgungseinheit 10 ist ein weiterer Ein-/Ausgabeport 18 vorgesehen.

Die Funktionskomponente 13 kann, wie dies im Ausführungsbeispiel der Fig. 1 gezeigt ist, an einem nicht näher dargestellten Anschluss die Batteriespannung zugeführt werden.

Mittels des ersten und zweiten Spannungsreglers 11 , 12 wird die der Stromversorgungseinheit 10 zugeführte Batteriespannung Vbatt auf eine erste Versorgungsspannung Vss reduziert, wobei die erste Versorgungsspannung Vss kleiner als die Batteriespannung Vbatt (Vss < Vbatt) ist. Die Versorgungsspannung Vss wird an einem ersten Versorgungspotentialausgangsanschluss 15 der Stromversorgungseinheit 10 bereitgestellt.

Der Mikrocontroller 20 dient zur Erzeugung eines ersten Ansteuersignals Ctrl, das an einem ersten Steuerausgang 22 zur Verarbeitung durch die sicherheitsrelevante Steuereinheit 40 bereitgestellt wird. Das erste Ansteuersignal Ctrl dient beispielsweise zum Abschalten einer von der Sicherheitssteuereinheit 40 gesteuerten, sicherheitsrelevanten Last 40L.

Zum Betrieb des Mikrocontrollers 20 empfängt dieser an einem zweiten Versorgungspotentialeingangsanschluss 21 die von der Stromversorgungseinheit 10 am ersten Versorgungspotentialeingangsanschluss bereitgestellte erste Versorgungsspannung Vss.

Der Mikrocontroller 20 verfügt darüber hinaus über einen Ein-/Ausgabeport 24, der mit dem Ein-/Ausgabeport 18 der Stromversorgungseinheit 10 zum Austausch von Daten verbunden ist. Die Daten können beispielsweise von der oder den Funktionskomponenten 13 empfangen und/oder verarbeitet und/oder ausgesendet werden. Zudem ist ein Ein-/Ausgabeport 23 zum Austausch von Daten mit der Überwachungseinheit 30 vorgesehen.

Über einen Ein-/Ausgabeport 25 ist der Mikrocontroller 20 darüber hinaus mit einem Ein-/Ausgabeport 51 der Logiksteuereinheit 50 verbunden. Die Logiksteuereinheit 50 ist dazu ausgebildet, eine nicht sicherheitsrelevante Last 50L anzusteuern. Zu diesem Zweck ist die Logiksteuereinheit 50 an einem Ansteuersignalausgang 52 über eine Schutzbeschaltung 50S1 mit der Last 50L verbunden. Über einen Ansteuersignalausgang 53 oder einen Ein-/Ausgabeport kann die Logiksteuereinheit 50 mit weiteren Komponenten zum Austausch von Daten verbunden sein.

Die Logiksteuereinheit 50 und die mit ihr verbundenen Komponenten stellen Bestandteile einer nicht genauer beschriebenen Steuerfunktion, z.B. für einen Aktuator oder eine Kommunikationsschnittstelle dar. Da die genaue Funktion, sowohl des sicherheitsrelevanten Systems als auch der mit der Logiksteuereinheit 50 verbundenen Komponenten, für das Verständnis der vorliegenden Erfindung nicht von Belang sind, wird diese nicht weiter im Detail erläutert.

Die Überwachungseinheit 30 umfasst ein Überwachungsmodul 33 sowie eine steuerbare Schalteinheit 34. Die Überwachungseinheit 30 umfasst einen dritten Versorgungspotentialeingangsanschluss 31 , einen zweiten Steuerausgang 32, einen zweiten Datenport 35 sowie einen vierten Versorgungspotentialeingangsanschluss 36.

Über den dritten Versorgungspotentialeingangsanschluss 31 wird die Überwachungseinheit 30 über eine Schutzbeschaltung 30S mit der Batteriespannung Vbatt versorgt. Die Schutzbeschaltung 30S umfasst analog zu der Schutzbeschaltung 10S Dioden, Kondensatoren und ESD-Komponenten und bezweckt insbesondere einen Schutz gegenüber Überspannungen.

An dem zweiten Steuerausgang 32 wird ein durch die Überwachungseinheit 30, genauer die steuerbare Schalteinheit 34, erzeugtes zweites Ansteuersignal dabl zur Verarbeitung durch die sicherheitsrelevante Steuereinheit 40 bereitgestellt. Zur Erzeugung des zweiten Ansteuersignals dabl ist die steuerbare Schalteinheit 34 an dem vierten Versorgungspotentialeingangsanschluss 36 mit der Batteriespannung Vbatt verbunden. Die Batteriespannung Vbatt kann intern auch dem Überwachungsmodul 33 zugeführt werden.

Während die steuerbare Schalteinheit 34 lediglich dazu ausgebildet ist, das zweite Ansteuersignal dabl zu erzeugen, erfolgt die Veranlassung zur Erzeugung des zweiten Ansteuersignals dabl durch das Überwachungsmodul 33. Das Überwachungsmodul 33 ist dazu ausgebildet, über den zweiten Datenport 35 Daten von dem Mikrocontroller 20 zu empfangen und zu verarbeiten und bei Feststellung einer bestimmungsgemäßen Funktion des Mikrocontrollers die steuerbare Schalteinheit zu veranlassen, das zweite Ansteuersignal so zu erzeugen, dass dieses dem ersten Ansteuersignal entspricht. Mit anderen Worten überwacht das Überwachungsmodul 33 die bestimmungsgemäße Funktion des Mikrocontrollers. Ist die bestimmungsgemäße Funktion des Mikrocontrollers 30 gegeben, so wird z.B. ein dem ersten Ansteuersignal Ctrl entsprechendes zweites Ansteuersignal dabl durch die Überwachungseinheit 30 erzeugt. Wird eine Abweichung von der bestimmungsgemäßen Funktion festgestellt, so weicht das zweite Ansteuersignal dabl inhaltlich von dem ersten Ansteuersignal Ctrl ab, wodurch die sicherheitsrelevante Steuereinheit 40 dazu veranlasst wird, die Last 40L zu deaktivieren.

Die Datenkommunikation zwischen dem Überwachungsmodul 33 und dem Mikrocontroller 20 erfolgt über eine Kommunikationsverbindung 20C. Abhängig von dem gewählten Kommunikationsprotokoll kann die Kommunikationsverbindung 20C ein oder mehrere Datenleitungen umfassen.

Die Überwachungseinheit ist z. B. als ASIC (Application Specific Integrated Chip) ausgebildet.

Die sicherheitsrelevante Steuereinheit 40 empfängt an einem ersten Eingang 41 das erste Ansteuersignal Ctrl und an einem zweiten Eingang 42 das zweite Ansteuersignal dabl. Die Sicherheitssteuereinheit 40 ist dazu ausgebildet, das erste und das zweite Steuersignal 41 , 42 logisch miteinander zu verknüpfen. Hierzu kann beispielsweise eine UND-Verknüpfung gewählt werden. Stimmen in diesem Ausführungsbeispiel das erste und das zweite Ansteuersignal Ctrl, dabl nicht überein, so wird an einem Ansteuersignalausgang 43 ein Signal zum Abschalten der sicherheitsrelevanten Last 40L ausgegeben.

Aus Sicherheitsgründen ist die sicherheitsrelevante Last 40L über eine Schutzbeschaltung 40S mit dem Ansteuersignalausgang 43 verbunden. Die Schutzbeschaltung 40S ist analog den Schutzbeschaltungen 10S, 30S ausgebildet. Die sicherheitsrelevante Last 40L kann z.B. ein zweites Steuergerät sein, welches über die Sicherheitssteuereinheit Daten über BUS-Schnittstellen (z.B. CAN, Ethernet, Flexray) empfängt.

Diverse Komponenten der Vorrichtung zur Ansteuerung des sicherheitsrelevanten elektronischen Systems sind damit mit der Batteriespannung verbunden. Bei Bauteilfehlern, z.B. hervorgerufen durch Alterungseffekte, kann die Batteriespannung sich zwischen den verschiedenen Komponenten ausbreiten und dort ggf. Bauteile beschädigen. Mögliche Ausbreitungspfade kritischer Spannungen sind, ausgehend von den eingespeisten Batteriespannungen Vbatt, durch die mit durchbrochenen Linien oder durchgezogenen Linien gezeigten Pfeile visualisiert. Eine durchgezogene Pfeillinie zeigt dabei einen sich direkt auswirkenden Fehler an, während die mit durchbrochener Linie dargestellten Pfeile eine Fehlerfortpflanzung zwischen den Komponenten repräsentieren.

Für das Sicherheitskonzept von entscheidender Bedeutung sind der Mikrocontroller 20 und die Überwachungseinheit 30. Da diese über die Kommunikationsverbindung 20C, die an die Ein-/Ausgabeports 23 und 35 angeschlossen ist, eine direkte Verbindung zueinander aufweisen, kann sich auch über diese Kommunikationsverbindung 20C eine Überspannung ausbreiten und dort Komponenten beschädigen.

Fig. 2 zeigt einen Ausschnitt der in Fig. 1 beschriebenen Vorrichtung, bei der eine schädigende Ausbreitung bzw. Fehlerfortpflanzung verhindert werden kann. In Fig. 2 sind gleiche Elemente mit gleichen Bezugszeichen versehen.

Im Unterschied zu der aus dem Stand der Technik gemäß Fig. 1 bekannten Anordnung erfolgt die Spannungsversorgung der Überwachungseinheit 30 nicht mittels der Batteriespannung Vbatt, sondern durch die erste Versorgungsspannung Vss, die am ersten Versorgungspotentialausgangsanschluss 15 der Stromversorgungseinheit 10 auch zur Versorgung des Mikrocontrollers 20 bereitgestellt wird. Die erste Versorgungsspannung Vss ist dabei eine durch den ersten und den zweiten Spannungsregler 11 , 12 heruntergeregelte Spannung gegenüber der Batteriespannung. Beträgt die Batteriespannung beispielsweise 12V, so kann die erste Versorgungsspannung Vss z.B. 5V betragen.

Um eine Fehlerfortpflanzung, ausgehend von der Stromversorgungseinheit 10 zu verhindern, sind als erste Maßnahme die Ein- und Ausgänge der Überwachungseinheit 30 spannungsfest ausgebildet. Relevante Ein- und Ausgänge sind der dritte Versorgungspotentialeingangsanschluss 31 , an dem die erste Versorgungsspannung Vss anliegt, der zweite Steuerausgang 32, über den das zweite Ansteuersignal dabl zur Verarbeitung durch die sicherheitsrelevante Steuereinheit 40 ausgegeben wird, der zweite Datenport 35, über den eine Kommunikation mit dem Mikrocontroller 20 erfolgt, sowie der vierte Versorgungspotentialeingangsanschluss 36, über den die steuerbare Schalteinheit 34 versorgt wird.

Unter einer spannungsfesten Ausbildung der Ein- und Ausgänge wird dabei verstanden, dass diese, z.B. aufgrund fertigungstechnischer Maßnahmen, der Überwachungseinheit 30 derart beschaffen sind, dass diese durch eine Spannung, die im Bereich der Batteriespannung liegt, nicht zerstört werden können. Beispielsweise sind die genannten Ein- und Ausgänge bei einer Batteriespannung Vbatt von 12V auf eine Spannungsfestigkeit des 1 ,5-fachen, d.h. 18V, ausgelegt. Der Faktor f der Spannungsüberhöhung kann natürlich auch anders gewählt werden, wobei f>1 , bevorzugt f>1 ,2 ist.

Als weitere Maßnahme erfolgt die Versorgung der steuerbaren Schalteinheit 34 weder über die Batteriespannung noch über die erste Versorgungsspannung Vss, sondern über eine zweite Versorgungsspannung Vin, welche an einem zweiten Versorgungspotentialausgangsanschluss 16 der Stromversorgungseinheit 10 bereitgestellt wird. Die zweite Versorgungsspannung Vin (z.B. eine vorhandene Vorreglerspannung) wird dabei am Ausgang des ersten Spannungsreglers 11 und dann am Versorgungspotentialausgangsanschluss 16 der Stromversorgungseinheit 10 bereitgestellt, wobei diese Spannung auch dem zweiten Spannungsregler 12 als Eingangsspannung zugeführt wird. Die zweite Versorgungsspannung Vin ist derart gewählt, dass sie kleiner als ein erster vorgegebener Spannungswert Vsw1 ist, der der maximal zulässigen Spannung des Mikrocontrollers 20 entspricht, bei der keine Schädigung eintritt. Beträgt die Versorgungsspannung des Mikrocontrollers beispielsweise 5V, so kann die zweite Versorgungsspannung Vin auf z.B. 5,8V oder6V gelegt werden. In jedem Fall ist die zweite Versorgungsspannung kleiner als die Batteriespannung, jedoch größer als die erste Versorgungsspannung Vss.

Wie ohne Weiteres aus der Darstellung der Fig. 2 ersichtlich ist, ergibt sich eine Einsparung des Spannungsreglers bzw. der Schutzbeschaltung für die Überwachungseinheit 30. So müssen keine redundanten Schutzstrukturen, z.B. Doppelung von Dioden oder Kondensatoren vorgesehen werden. Ferner ergibt sich keine direkte Abhängigkeit des Abschaltpfads von der Batteriespannung Vbatt.

Im Ergebnis kann die Funktionssicherheit der Vorrichtung zur Ansteuerung des sicherheitsrelevanten elektronischen Systems erhöht werden. Bezugszeichenliste

10 Stromversorgungseinheit

10S Schutzbeschaltung

11 erster Spannungsregler (Vorregelung)

12 zweiter Spannungsregler (Linear- oder SMPS-Regler)

13 Funktionskomponente

14 erster Versorgungspotentialeingangsanschluss

15 erster Versorgungspotentialausgangsanschluss

16 zweiter Versorgungspotentialausgangsanschluss

17 Ein-/Ausgabeport

18 Ein-/Ausgabeport

20 Mikrocontroller

20C Kommunikationsverbindung

21 zweiter Versorgungspotentialeingangsanschluss des Mikrocontrollers

22 erster Steuerausgang des Mikrocontrollers

23 erster Datenport

24 Ein-/Ausgabeport

25 Ein-/Ausgabeport

30 Überwachungseinheit

30S Schutzbeschaltung

31 dritter Versorgungspotentialeingangsanschluss der Überwachungseinheit

32 zweiter Steuerausgang der Überwachungseinheit

33 Überwachungsmodul

34 steuerbare Schalteinheit

35 zweiter Datenport

36 vierter Versorgungspotentialeingangsanschluss der Überwachungseinheit

40 Sicherheitssteuereinheit

40S Schutzbeschaltung

40L Last (sicherheitsrelevant)

41 erster Eingang für erstes Ansteuersignal Ctrl

42 zweiter Eingang für zweites Ansteuersignal dabl

43 Ansteuersignalausgang

44 fünfter Versorgungspotentialeingangsanschluss der Sicherheitssteuereinheit

50 Logiksteuereinheit

5051 Schutzbeschaltung

5052 Schutzbeschaltung 50L Last (nicht sicherheitsrelevant)

51 Ein-/Ausgabeport

52 Ansteuersignalausgang

53 Ansteuersignalausgang oder Ein-/Ausgabeport

Vbatt Batteriespannung

Vss erste Versorgungsspannung

Vin zweite Versorgungsspannung

Ctrl erstes Ansteuersignal dabl zweites Ansteuersignal

Vsw1 erster vorgegebener Spannungswert