Suchen

Funktionale Sicherheit von getakteten Stromversorgungen

Autor / Redakteur: Giovanni Rodio * / Gerd Kucera

In der Regel fristet die Stromversorgung ein Schattendasein und wird bezüglich ihres immensen Einflusses auf die funktionale Sicherheit stark unterschätzt.

Firmen zum Thema

Bild 1: Überspannungsschutz mit Suppressor-Diode.
Bild 1: Überspannungsschutz mit Suppressor-Diode.
(Bild: Fortec)

Zunehmend treten Anforderungen aus der funktionalen Sicherheit (FuSi) beim Design und Einsatz der PSU (Power Supply Unit) in den Vordergrund. Ein zentraler Punkt aus der Gefährdungs- und Risikoanalyse ist die Sicherstellung einer stabilen Versorgungsspannung und der effiziente Schutz gegen Überspannungen am Ausgang der PSU.

Diese Forderungen bezüglich Überspannungsschutzes haben ihre Wurzel in der Vermeidung sogenannter „Common Cause Failures“ wie sie z.B. in der ISO EN13849-1 definiert sind. Die Versorgung eines sicherheitskritischen Systems mit Überspannung kann zu vielen, nicht vorhersagbaren Defekten und Funktionsverlusten in dem betrachteten System führen und damit dessen Eigenschaften bezüglich funktionaler Sicherheit drastisch degradieren.

Getaktete Stromversorgungen, wie auch einige rein analoge Spannungsversorgungen, sind in der Lage, bei Auftreten eines einzigen Fehlers eine deutliche Überspannung an Ihrem Ausgang zu erzeugen. Für die Integrität der funktionalen Sicherheit nachgeschalteter Systeme ist es daher unabdingbar notwendig, dass in der Stromversorgung selbst oder ihren Anschlüssen Maßnahmen zur Vermeidung von Überspannungen und zur Aufrechterhaltung ihrer eigenen funktionalen Sicherheit ergriffen werden. Nachfolgend sollen einige dieser Maßnahmen vorgestellt werden.

Getaktete Stromversorgungen (Power Supply Unit, PSU) sind die Arbeitspferde der Elektronik-Applikationen geworden. Neben einem hohen Wirkungsgrad konzentrieren sich die unterschiedlichsten Anforderungen im Design der Stromversorgung. Dazu gehören (unter vielen anderen):

  • weiter Eingangsspannungsbereich,
  • großer Einsatztemperaturbereich,
  • hohe Lebensdauer und Zuverlässigkeit,
  • stabile Ausgangsspannung bei beliebiger Ausgangslast,
  • hohe Dynamik,
  • Einhaltung der normativen Anforderungen an die EMV und die elektrische Sicherheit.

Die schaltungstechnische Notwendigkeit der Unterdrückung von Überspannungen an den Ausgangsklemmen stellte sich bereits früh in der Entwicklung von Stromversorgungen. Dabei dürfen aber Forderungen der elektrischen Sicherheit nicht mit Forderungen der funktionalen Sicherheit verwechselt werden. Die elektrische Sicherheit befasst sich mehr mit Begriffen wie Brandvermeidung und der Isolation gefährlicher Spannungen (Vermeidung des elektrischen Schlags).

Das Durchlegieren der Regelstrecke eines 3V3-Reglers, der aus einer 5-V-Versorgung gespeist wird, bedeutet in der Regel weder eine Gefahr eines Brands noch die Gefahr eines elektrischen Schlags. Jedoch kann eine Logik-Schaltung, die mit Aufgaben der funktionalen Sicherheit des Systems beauftragt ist, hier bereits Fehlfunktionen beliebiger Art zeigen. Um solche Überspannungen zu beherrschen wurden in der Vergangenheit (und auch heute noch) z.B. eng tolerierte Suppressor-Dioden am Ausgang der Stromversorgung eingesetzt.

Bild 1 zeigt den grundsätzlichen Aufbau eines solchen Schutzes. Als wesentliche Ergänzung benötigt diese Art des Schutzes immer eine leistungsbegrenzte Quelle oder aber ein temperaturempfindliches Sicherungselement. Dieses Element wird durch die PTC-Sicherung PTC1 realisiert. Bereits bei PSUs mit einer Ausgangsleistung von wenigen Watt stellen sich im Fehlerfall sehr hohe Temperaturen an ZD1 ein. Aus diesem Grund ist ZD1 thermisch mit der PTC-Sicherung PTC1 gekoppelt, weswegen sich im Fehlerfall auch die Sicherung mit aufheizt und damit Strom und Erwärmung effektiv begrenzt. Ohne diese thermische Kopplung kann es leicht bis zum Brand der Baugruppe kommen!

Bild 2: Crow-Bar-Überspannungsschutz.
Bild 2: Crow-Bar-Überspannungsschutz.
(Bild: Fortec)

Für Stromversorgungen höherer Leistung ist diese Art des Überspannungsschutzes aber nicht mehr zielführend. Hierfür wurde die sogenannte Crow-Bar-Schaltung entwickelt, auch bezeichnet als „Schraubenschlüssel über den Polen der Batterie“. Bild 2 zeigt das Grundprinzip dieses brachialen Überspannungsschutzes. Kern des Schutzes ist hier der Thyristor THY1 der bei Überspannung durch die Diode ZD1 gezündet wird und den Ausgang der Stromversorgung dadurch kurzschließt.

Durch den daraufhin fließenden Kurzschlussstrom wird die Schmelzsicherung Si1 ausgelöst und die nachfolgende Schaltung somit vor der Überspannung geschützt. Dieser Schutz ist nicht rückstellend, d.h. eine Reparatur/Austausch der Sicherung ist nach Ansprechen der Schutzschaltung nötig. Durch diese Zwangsreparatur werden in der Regel auch Fehler in der PSU erkannt und repariert, was bei vielen anderen Schutzschaltungen nicht der Fall ist. So kann der Einsatz der Schaltung aus Bild 1 dazu führen, dass das angeschlossene System weiterhin funktioniert, bis aufgrund der hohen Verlustleistung die Suppressor-Diode ausfällt und das System letztendlich doch der Überspannung ausgesetzt wird.

Dagegen hat die Crow-Bar-Schutzschaltung das Problem, dass sie gerne bei Auftreten von externen Überspannungsspitzen (Surge/Burst) falsch triggert, das System lahmlegt und damit die Verfügbarkeit drastisch reduziert. Wird zudem DR1 (Luftdrossel, nicht sättigbar) weggelassen, kann der Thyristor beim Ansprechen durch sehr hohes di/dt geschädigt werden und löst nach Austausch der Sicherung immer wieder unspezifisch und zufällig aus.

Analoge Implementierung der Stomversorgung

Den Schaltungen aus Bild 1 und Bild 2 ist gemeinsam, dass sie mit der eigentlichen Struktur der PSU nichts zu tun haben und praktisch autark von dieser agieren können. Diese Unabhängigkeit wird jedoch mit hohen Verlustleistungen im Fehlerfall oder einer geringeren Verfügbarkeit aufgrund von Fehlauslösungen erkauft. Geschickter ist daher die Implementierung eines Funktionalen Überspannungsschutzes in die Struktur der PSU selbst.

Bild 3: Implementierung des zweiten Abschlusspfades.
Bild 3: Implementierung des zweiten Abschlusspfades.
(Bild: Fortec)

Grundsätzlich wird der Funktionale Überspannungsschutz als ein zweiter, unabhängig wirkender Abschaltpfad realisiert. Dabei wird die eigentliche Spannungsreglerschleife als der erste Abschaltpfad betrachtet. Bild 3 zeigt die beispielhafte Implementierung des zweiten Abschaltpfades in einen Sperrwandler. Über den ersten Pfad (Spannungsregler GU und OK1) wird die eigentliche analoge Spannungsregelung realisiert. Der Regler GU steuert in Abhängigkeit des Vergleichs der momentanen Ausgangsspannung über OK1 den Pulsweiten-Modulator (PWM) mehr oder weniger auf und regelt so den Leistungsfluss von der Primärseite auf die Sekundärseite.

Parallel zum Spannungsregler vergleicht ein Schmitt-Trigger Komparator die Ausgangsspannung mit einer von der Referenz (Usoll) des Spannungsreglers unabhängigen Größe (UOVC). Überschreitet die Ausgangsspannung die Größe UOVC, so wird über OK2 die dynamische Strombegrenzung des Spannungsreglers auf der Primärseite so weit heruntergefahren, dass die sekundären Spannungspegel für die angeschlossene Last wieder ungefährliche Werte annehmen.

Je nach Ausgestaltung der Hysterese des Überspannungskomparators kann ein Pendeln (Toggeln) der Ausgangsspannung zwischen zwei Schaltpegeln (kleine Hysterese) oder aber das Verweilen der Ausgangsspannung auf einem sehr niedrigen Pegel (große Hysterese, Funktion des Komparators als Latch) realisiert werden.

In Bild 3 ist zudem zu erkennen, dass alle Anschlüsse der Optokoppler über Widerstände geführt werden. Dies ist notwendig, um im Fehlerfall die Integrität der Isolationsbarriere zu gewährleisten. Durch eine im Fehlerfall mögliche, exzessive Verlustleistung im Optokoppler kann dessen Isolationsfestigkeit so weit reduziert werden, dass die Gefahr eines elektrischen Schlages besteht. Mittels der Widerstände wird die Verlustleistung so auf ungefährliche Werte reduziert.

Bild 3 stellt nur eine der möglichen Implementierungen eines zweiten, unabhängigen Abschaltpfades dar. So kann z.B. der sichere Abschaltpfad auch durch Wegnehmen der Versorgung des PWM-Controllers erfolgen und die PSU toggelt zwischen einem Power-On Anlauf und der Überspannungsabschaltung (Hiccup-Betrieb).

Wesentlich für die sichere, analoge Abschaltfunktion ist ein tiefes Verständnis und Wissen des verantwortlichen Hardware-Entwicklers über die internen Funktionen und Eigenheiten des verwendeten PWM-Controllers. Auf diese Weise können die nachweisbar zuverlässigsten Varianten eines Funktionalen Überspannungsschutzes implementiert werden.

Digitale Implementierung der Stromversorgung

Bild 4: Digitale PSU mit funktionaler Sicherheit.
Bild 4: Digitale PSU mit funktionaler Sicherheit.
(Bild: Fortec)

Bild 4 zeigt die Realisierung einer digitalen Stromversorgung. Alle wesentlichen Regel-, Schutz- und Überwachungsfunktionen werden mittels Software und/oder digitaler Hardware realisiert. Digitale Regelkonzepte haben den Vorteil, dass Komfortfunktionen wie Derating, unterschiedliche Regelstrategien und Kommunikation in die PSU mit implementiert werden können. Jedoch gestaltet sich dadurch auch sehr oft der Nachweis der funktionalen Sicherheit deutlich schwieriger, da verschiedene Systeme miteinander im Eingriff stehen.

Deutlich vereinfacht werden der Entwurf und der Nachweis der funktionalen Sicherheit durch den Einsatz einer zertifizierten, digitalen Plattform, die bereits wesentliche Aspekte der funktionalen Sicherheit für digitale Systeme aufweist:

  • automatische Ermittlung der Checksumme über Registerbänke,
  • Überwachung der ADC-Funktionalität (z.B. die Integrität der internen Referenz),
  • Überwachung der Taktgeneratoren,
  • stabiles Reset- und Power-On-Verhalten.

Erweitert werden können diese On-Board-Systeme durch Plausibilitäts-Routinen in der Software. Diese überprüfen auf der Basis der aktuellen Stellgröße und der rückgemeldeten Ist-Größen die Subsysteme der PSU auf Plausibilität und können so Fehler in Optokopplern, Shunts, Transistoren etc. aufdecken und die PSU in den sicheren Zustand fahren. Während bei den SW-Routinen bezüglich Nachweises der Sicherheit relativ hohe Aufwände zu Buche schlagen können, kann durch die bereits zertifizierten, integrierten Überwachungs- und Diagnosesysteme mit relativ wenig Aufwand der Nachweis einer sicheren Stromversorgung erbracht werden. Das führt in der Regel dazu, dass bei der FuSi-Zertifizierung die meisten sicherheitsbezogenen SW-Routinen als Add-On betrachtet werden.

Redundanz ist kein Schutz vor Überspannung!

Bild 5: Redundante Stromversorgung.
Bild 5: Redundante Stromversorgung.
(Bild: Fortec)

Bild 5 zeigt den typischen Aufbau einer redundanten Stromversorgung. Über die Entkoppel-Dioden D1 und D2 werden die beiden PSUs parallelgeschaltet. Fällt einer der PSUs mit Defekt oder Kurzschluss aus, so wird durch die Entkoppel-Dioden verhindert, dass das verbleibende Netzteil die defekte Einheit mitversorgt.

Ganz anders verhält es sich, wenn eine der PSUs nicht mit Kurzschluss, sondern mit Überspannung an den Lastanschlüssen defekt geht! Durch die Dioden D1, D2 wird immer die höchste der beiden Ausgangsspannungen der PSUs an die Last weitergegeben und damit sicher die Überspannung. Abhilfe kann in diesem Fall nur die Verwendung von funktional sicheren PSUs oder der Einsatz einer der Schaltungen aus Bild 1 oder Bild 2 schaffen.

* Giovanni Rodio ist Produktmanager der Fortec Power Gruppe.

Artikelfiles und Artikellinks

(ID:46953194)