Häufig werden Spannungsversorgungen in sicherheitskritischen Anwendungen (Functional Safety) stiefmütterlich behandelt. Dabei spielt die Spannungsversorgung besonders im Bereich von embedded Systems eine fundamentale Rolle. Je nach Architektur und Technologie ist die technische Lösung im Hardware Design für eine ausreichende Sicherheitsintegrität stets individuell zu bewerten. In diesem Artikel sollen die wesentlichen Grundlagen für diesen Aspekt im Hardware Design nach IEC 61508 für ein SIL 2 betrachtet werden.
Spannungsversorgung & Funktionale Sicherheit (Safety)
Die Überwachung von Versorgungsspannungen ist ein essenzieller Baustein in sicherheitsgerichteten E/E/PE-Systemen nach IEC 61508. Nur durch eine kontinuierliche Überprüfung kritischer Spannungsversorgungen (z.B. Logik, ADC-REF, Sensoren) kann sichergestellt werden, dass Sicherheitsfunktionen zuverlässig funktionieren beziehungsweise unerwartete Fehlzustände frühzeitig erkannt werden.
Je nach Branche und Standard/Norm sind unterschiedliche technische Sicherheitskonzepte erforderlich. Alle verweisen im Endeffekt auf die Grundnorm und die Fachgrundnormen der jeweiligen Disziplinen (z.B. EMV oder elektrische Sicherheit).
Maschinenbau (ISO 13849)
In dieser Norm werden „grundlegende Sicherheitsprinzipien“ und Maßnahmen gegen „systematischen Ausfall“ gefordert. Hier ist insbesondere die Auslegung und das Design der Spannungsversorgung relevant. Die Baugruppen der Spannungsversorgung werden einem Funktionskanal einer Sicherheitsfunktion zugeordnet. Ziel ist es, Maßnahmen zur Beherrschung von Risiken durch Spannungsausfall, Schwankungen, Über- oder Unterspannung im Hardwaredesign richtig umzusetzen. Die ISO 13849 verweist auf die IEC 60204-1 und IEC 61508-7, A.8.
Automobil (ISO 26262)
In dieser recht „jungen“ Norm finden sich die Grundlagen der IEC 61508 in etwas moderneren Gewandt. Sie kennt das konservative Betamodell der IEC 61508 (2. Ed) nicht. Statt dessen, wird auf Analyse (DFA) und natürlich die Probabilistik bzw. Metriken gesetzt. Für höhere ASIL wird die Latent-Fehlermetrik (LFM) jede Spannungsversorgung mehr in den Fokus ziehen.
generische Grundnorm (IEC 61508)
In der Grundnorm ist die Spannungsversorgung Teil der Hardwaresicherheitsintegrität nach IEC 61508-2. Unabhängig vom gewählten Entwicklungspfad (1h oder 2h) ist es erforderlich, die Spannungsversorgung robust zu designen im Hinblick auf den gefahrbringenden Ausfall und die elektromagnetische Verträglichkeit (EMV).
el. Leistungsantriebssysteme (IEC 61800-5-2)
In der Fachgrundnorm für elektrische Leistungsantriebssysteme findet sich im Anhang A ein Beispiel-Blockdiagramm mit einem „Voltage Monitorig“ für ein zweikanaliges System, welches eine Safe-Torque-Off-Funktion (STO) umsetzt.
Anforderungen an die Spannungsversorgung (Safety Integrity Level 2)
Für ein Sicherheitsintegritätslevel von 2 ist für eine einkanalige Spannungsversorgung (HFT=0), welche mit komplexen Elementen vom Typ B gesteuert und überwacht wird, eine SFF von mindestens 90% erforderlich. Siehe dazu IEC 61508-2 Tabelle 3.
SFF: Anteil sicherer Ausfälle (Safe Failure Fraction)
Für Details zur Berechnung des Anteils sicherer Ausfälle (SFF) wird hier auf vertiefende Inhalte verwiesen. Im Hinblick auf die Spannungsversorgung ist ein hoher Diagnosegrad (DC) durch den „Voltage Monitor“ anzustreben. In IEC 61508-2 in Tabelle A.1 zur Hardwaresicherheitsintegrität wird für ein DC ab 90% für die Energieversorgung folgendes Fehlermodell spezifiziert:
- Unterspannung (Stuck at low)
- indirekt auch fehlendes Potenzial (Floating)
- Überspannung (Stuck at high)
- Spannungsschwankung (Drift)
- Spannungsschwingungen (Oszillation)
Nach Tabelle A.9 kann für eine sekundärseitige Spannungsüberwachung mit Sicherheitsabschaltung oder Umschaltung ein Diagnosedeckungsgrad (DC) von 99% erreicht werden. Details dazu siehe auch IEC 61508-7 A.8.2.
Technisches Sicherheitskonzept für die Spannungsversorgung
Spätestens nach Behandlung der Fehlermodi in der FMEDA, wird im Hardwaredesignentwurf eine genaue Spezifikation der sicherheitsrelevanten Energieversorgung im technischen Sicherheitskonzept zu finden sein. In der Praxis wird eine Art Power Management Modul verwendet. Viele Hersteller haben Power Management ICs (PMIC, voltage supervisor) im Angebot. Oft wird auch ein passender IC im Safety Manual von zertifizierten Logikeinheiten (z.B. µC) empfohlen. Wichtig ist, dass die quantitativen Werte (Vgl. PFH; Lambda etc) durch den PMIC-Hersteller zur Verfügung stehen.
Beachten Sie, dass eine einkanalige Spannungsversorgung ein Fehler gemeinsamer Ursache (CCF) in einem mehrkanaligen System sein kann. Dies wird oft in der späteren Validierung als sogenannter systematischer Fehler im Hardwaredesign bezeichnet. In IEC 61508-2, Abschnitt 7.4.3.4 in der Anmerkung 1 findet sich der Hinweis, dass keine gemeinsamen Hilfssysteme wie die Stromversorgung die erforderliche Unabhängigkeit von Elementen gefährden sollten.
Komplexe Logik-Subsysteme (vgl. embedded systems) haben oft mehrere Spannungsversorgungen (1,8V; 3,3V; 5V; -5V etc…), welche unter Umständen jeweils durch einen „Voltage Monitor“ zu überwachen sind. Gerade im Bereich der Analogsignalverarbeitung sollte genauer hingeschaut werden.
Im Hardwaredesign finden sich in der Praxis weiterhin Dioden für den Verpolungsschutz und Schutz gegen Überspannung (TVS) sowie deren Absicherung (Fuse). Auch ein robuster Abschaltpfad (z.B. gut dimensionierter MOSFET) sollte vorhanden sein. Beachten Sie auch, dass die Spannungsversorgung des Überwachungsbausteins primär über einen eigenen Weitbereichseingang realisiert wird.
Für höhere Sicherheitsinteritätslevel wie ASIL D, SIL 3 oder PLe (Kategorie 4) darf die Überwachungsfunktion (Voltage Monitoring) nicht durch Fehleranhäufung ausfallen. Damit wirds dann auch komplex und ein zweites Energieversorgungssystem kann sinnvoll werden. Hier sei auch auf die Anwendungsempfehlung (RFU CNB/M/11.059/R/E Rev 03) zum Thema „Diagnose in IEC 61508“ verwiesen. In der kommenden 3. Edition der IEC 61508 wird sich dieser Aspekt klarer formuliert finden.
EMV: Störfestigkeit in der Funktionalen Sicherheit (Safety)
Die IEC 61508-2 fordert die Spezifikation von Anforderungen an die elektromagnetische Störfestigkeit und verweist auf die IEC 61000-x-x Serie. Leistungsgebundene Störungen können über das Netzteil gefährliche Auswirkungen haben. Daher ist hier Störfestigkeit ein Thema. Natürlich ist auch das Netzteil selbst ein möglicher Störer im System. Daher sollte ein robustes Design und die Auslegung auf erhöhte Störfestigkeit (z.B. Common Mode Choke) berücksichtigt werden. Hierzu ist auch die gewählte Technologie (Buck, Boost, Flyback etc ….) ein wichtiger Erfolgsfaktor.
Sicherer Zustand
Eine der Kernherausforderungen ist der sichere Zustand im Fehlerfall und das Aufstarten bzw. der Restart nach einem sporadischen Fehler. Es erfordert in der Praxis etwas „Intelligenz“ im Überwachungsbaustein und ein gutes Gesamtkonzept, um ein optimales Hardwaredesign zwischen Spannungsversorgung, Überwachungsbaustein (PMIC) und dem Logikbaustein (z.B. µC, DSP, FPGA). Wo Baugruppen in einem sicherheitskritischen Netzwerk eingebunden sind, ist auch der Kommunikationskanal über den Transceiver mit zu berücksichtigen in der Transition vom Fehlzustand in den sicheren Zustand. Ein dauerhaftes aufstarten, im Netzwerk zu synchronisieren, um dann einen Reset auszulösen, ist in bestimmten Anwendungen zu verhindern. Das technische Sicherheitskonzept nutzt dann je nach Architektur das „Fail Silent“ Prinzip für diesen Node.
Fazit
Ein komplexes System, welches eine Sicherheitsfunktion ausführt, sollte stets mit einer unabhängigen Spannungsüberwachung ausgestattet werden. Je nach Sicherheitsintegritätslevel sind mehr oder weniger komplexe Lösungen im technischen Sicherheitskonzept erforderlich. Als Lösung finden sich Power Management ICs (PMICs) der bekannten Hersteller. Beachten Sie für höhere SIL auch, dass, je nach SIcherheitskonzept auch ein BIST im PMIC erforderlich sein könnte.
