Design gemäß Norm IEC 61508

Funktionale Sicherheit für Stromversorgungen

Stromversorgungen in E/E/PE SRS

Die IEC 61508-4 definiert E/E/PE-Systeme als Systeme, die zur Steuerung, zum Schutz oder zur Überwachung auf der Grundlage eines oder mehrerer E/E/PE-Bausteine verwendet werden. Dies umfasst alle Elemente des Systems, wie Stromversorgungen, Sensoren und andere Eingabekomponenten, Datenautobahnen und weitere Kommunikationswege sowie Aktoren und andere Ausgabegeräte. Ein SRS hingegen ist ein System, das die erforderlichen Sicherheitsfunktionen implementiert, um einen sicheren Zustand der zu überwachenden Ausrüstung (Equipment under Control, EUC) zu erreichen oder aufrechtzuerhalten. Darüber hinaus soll es – allein oder in Kombination mit anderen E/E/PE-SRS und weiteren Risikominderungsmaßnahmen – die notwendige Sicherheitsintegrität für die erforderlichen Sicherheitsfunktionen erreichen. Dies ist in Abbildung 1 dargestellt, in der Stromversorgungen neben der für die spezifizierte Sicherheitsfunktion erforderlichen Hardware und Software exemplarisch als unterstützende Dienste für ein E/E/PE SRS dienen.

Common-Cause Failure

Die grundlegende Norm für funktionale Sicherheit definiert einen Ausfall aufgrund einer gemeinsamen Ursache (Common-Cause Failure, CCF) als einen Ausfall, der das Ergebnis eines oder mehrerer Ereignisse ist, die zu gleichzeitigen Ausfällen von zwei oder mehr getrennten Kanälen in einem Mehrkanalsystem führen und einen Systemausfall zur Folge haben. Ein Beispiel hierfür ist ein Ausfall der Stromversorgung, der in mehreren gefährlichen Ausfällen des SRS resultieren kann. Dies zeigt Abbildung 2: Hier führt ein Ausfall der 24-V-Versorgung – unter der Annahme, dass der 24-V-Eingang mit seinen Ausgängen 12 V_CC und 5 V_CC kurzgeschlossen ist – zu einem gefährlichen Ausfall der nachfolgenden Schaltungen.

Es ist essenziell, CCFs bei der Einhaltung der funktionalen Sicherheit zu berücksichtigen, da sie die Einhaltung der drei wichtigsten Anforderungen der IEC 61508 beeinflussen: systematische Sicherheitsintegrität, Hardware-Sicherheitsintegrität und architektonische Einschränkungen. Die in dieser Norm genannten Anforderungen in Bezug auf CCF und Stromversorgungen unter bestimmten Umständen sind hier aufgeführt:

IEC 61508-1 Abschnitt 7.6.2.7 berücksichtigt die Möglichkeit von CCF bei der Zuweisung der allgemeinen Sicherheitsanforderungen. Dieser Abschnitt verlangt außerdem, dass das EUC-Steuerungssystem, E/E/PE SRS und andere Risikominderungsmaßnahmen keine gemeinsamen Stromversorgungen nutzen dürfen, wenn sie für die Zuweisung als unabhängig behandelt werden. Ihr Ausfall könnte zu einem gefährlichen Ausfallmodus aller Systeme führen.
In ähnlicher Weise wird unter der Synthese von Elementen zur Erreichung der erforderlichen systematischen Fähigkeit (Systematic Capability, SC) in IEC 61508-2 Abschnitt 7.4.3.4 Anmerkung 1 als möglicher Ansatz zur Erreichung einer ausreichenden Unabhängigkeit die Sicherstellung genannt, dass kein gemeinsamer Ausfall der Stromversorgung zu einem gefährlichen Ausfallmodus aller Systeme führt.
Für integrierte Schaltungen mit On-Chip-Redundanz nennt IEC 61508-2 Anhang E auch mehrere normative Anforderungen, darunter die Trennung von Ein- und Ausgängen, wie z.B. der Stromversorgung, und den Einsatz von Maßnahmen zur Vermeidung gefährlicher Ausfälle durch Stromversorgungsfehler.

Diese Klauseln verbieten zwar die gemeinsame Nutzung von Stromversorgungen, deren Ausfall zu einem gefährlichen Ausfallmodus aller Systeme führen könnte, aber die Umsetzung dieser Praxis bei der Konstruktion eines Systems führt zu einem erhöhten Platzbedarf mit größeren Leiterplatten und höheren Kosten. Eine Möglichkeit, dennoch gemeinsame Stromversorgungen zu verwenden, besteht in einer ausreichenden Überwachung der Stromversorgung. Auf diese Weise lassen sich gefährliche Ausfälle, die durch die Stromversorgung eines E/E/PE SRS verursacht werden, gemäß den Sicherheitsanforderungen auf ein zulässiges Maß reduzieren oder gar vollständig beseitigen.

Stromausfälle und Diagnose

Da Stromausfälle erkannt werden müssen, legt die grundlegende Norm für funktionale Sicherheit Anforderungen und Empfehlungen fest, um sowohl systematische als auch zufällige Hardwareausfälle zu berücksichtigen.

In Bezug auf die Anforderungen an die Kontrolle systematischer Fehler schreibt IEC 61508-2 Abschnitt 7.4.7.1 vor, dass E/E/PE SRS so ausgelegt sein müssen, dass sie gegenüber Umwelteinflüssen, einschließlich elektromagnetischer Störungen, tolerant sind. Diese Klausel wird in IEC 61508-2, Tabelle A.16 zitiert, in der einige Maßnahmen gegen Defekte in Stromversorgungen – Spannungsausfall, Spannungsschwankungen, Überspannung (Overvoltage, OV), Niederspannung und andere Phänomene – als obligatorisch unabhängig vom SIL-Level beschrieben werden. Dies kann man Abbildung 1 entnehmen.

Technik/Maßnahme	SIL 1	SIL 2	SIL 3	SIL 4
Maßnahmen gegen Spannungsausfälle,	M	M	M	M
Spannungsschwankungen, OV, Niederspannung und andere Phänomene wie Schwankungen in der Wechselstromfrequenz, die zu gefährlichen Ausfällen führen können.	niedrig	mittel	mittel	hoch

Tabelle 1: Anforderungen an die Überwachung der Stromversorgung gemäß IEC 61508-2, Tabelle A.16

IEC 61508-2, Tabelle A.1 zeigt unter der diskreten Hardwarekomponente die Fehler und Ausfälle, die bei der Quantifizierung der Auswirkungen zufälliger Hardwareausfälle für eine Stromversorgung angenommen werden können. Dies ist in Abbildung 2 gezeigt. IEC 61508-2, Tabelle A.9 veranschaulicht die empfohlenen Diagnosemaßnahmen für eine Stromversorgung zusammen mit der jeweils maximal beanspruchbaren Diagnosedeckung. Tabelle 3 stellt dies mit weiteren Details aus IEC 61508-7, Abschnitt A.8 dar.

Sowohl Tabelle 2 als auch Tabelle 3 sind bei der Sicherheitsanalyse hilfreich, da die Ausfallmodi pro Komponente und die Diagnosedeckung der eingesetzten Diagnosetechniken in die Berechnung der Lambda-Werte und damit der SIL-Metrik einfließen: Wahrscheinlichkeit eines gefährlichen Ausfalls und Anteil sicherer Ausfälle (Safe Failure Fraction, SFF).

Komponente	Niedrig (60%)	Mittel (90%)	Hoch (99%)
Stromversorgung	Haftfehler	DC-Fehlermodell Drift und Schwingung	DC-Fehlermodell Drift und Schwingung

Tabelle 2: Gemäß IEC 61508-2, Tabelle A.1 zu erwartende Fehler und Ausfälle der Stromversorgung

Diagnose-maßnahme	Ziel	Beschreibung	Maximale Diagnostic Coverage erreichbar
OV-Schutz mit Sicherheits-abschaltung	Zum Schutz des SRS vor OV.	OV wird frühzeitig erkannt, sodass alle Ausgänge durch die Abschaltroutine in einen sicheren Zustand versetzt werden können oder auf ein zweites Netzteil umgeschaltet wird.	Niedrig (60%)
Spannungs-überwachung (sekundär)	Zur Überwachung der Sekundärspannungen und um das Gerät in einen sicheren Zustand zu überführen, wenn die Spannung nicht im vorgegebenen Bereich liegt.	Die Sekundärspannung wird überwacht und eine Abschaltung initiiert oder es erfolgt eine Umschaltung auf ein zweites Netzteil, wenn sie nicht im vorgegebenen Bereich liegt.	Hoch (99%)
Ausschalten mit Sicherheits-abschaltung	Zum Abschalten der Stromversorgung mit Speicherung aller sicherheitskritischen Informationen.	OV oder Unterspannung (Undervoltage, UV) werden frühzeitig erkannt, sodass der interne Zustand bei Bedarf in einem nichtflüchtigen Speicher gesichert werden kann und alle Ausgänge durch die Abschaltroutine in einen sicheren Zustand versetzt werden. Alternativ wird auf ein zweites Netzteil umgeschaltet.	Hoch (99%)

Tabelle 3: Stromversorgung – empfohlene Diagnosemaßnahmen

Abbildung 3a zeigt ein Beispiel für eine Spannungsüberwachung. In diesem Beispiel wird die Stromversorgung der SPS, typischerweise in Form eines nachgeschalteten Reglers, durch den MAX16126 überwacht. Jede vom Supervisor erkannte Spannungsabweichung, sei es OV oder UV, führt zur Trennung der SPS, bestehend aus Mikrocontroller und anderen Logikbausteinen, von der Stromversorgung sowie zur Aktivierung des FLAG-Pins des MAX16126. Dadurch kann die SPS in einen sicheren Zustand versetzt werden. In ähnlicher Weise kann diese Schaltung auch als OV-Schutz mit Sicherheitsabschaltung verwendet werden, wenn keine UV-Erkennung vorhanden ist.

Abbildung 3b zeigt hingegen ein Beispiel für eine Abschaltung mit Sicherheitsabschaltung und Diagnosefunktion. In diesem Beispiel verbindet der Hot-Swap Controller des LTC3351 die Stromversorgung mit der SPS, während sein synchroner Schaltregler im Abwärtsmodus arbeitet und Superkondensatoren auflädt. Wenn die Stromversorgung die OV- oder UV-Schwellenspannungen überschreitet, trennt der LTC3551 die SPS von der Stromversorgung, und der Synchronschalter läuft als Aufwärtswandler in umgekehrter Richtung, um Strom aus dem Superkondensator an die SPS zu liefern. Dadurch hat die SPS genügend Zeit, den internen Zustand in einem nichtflüchtigen Speicher zu sichern, sodass alle Ausgänge durch die Abschaltroutine in einen sicheren Zustand versetzt werden.

Stromversorgung

Neben CCF, Stromausfällen und empfohlenen Diagnosemaßnahmen betont die IEC 61508 auch die Bedeutung der Stromversorgung im E/E/PE SRS. Dies geht aus dem sechsten Teil der Norm, Anhang B.3, hervor, in dem die Verwendung des Zuverlässigkeitsblockdiagramms zur Bewertung der Wahrscheinlichkeit von Hardwareausfällen unter der Annahme einer konstanten Ausfallrate erörtert wird. Sie beinhaltet neben dem Umfang der Sensor-, Logik- und Endelement-Subsysteme auch die Stromversorgung – dies verdeutlichen die folgenden Beispiele.

Führt ein Ausfall der Stromversorgung bei einem E/E/PE SRS mit Auslösung bei Spannungsverlust dazu, dass das System in einen sicheren Zustand überführt wird, so wirkt sich dieser Ausfall nicht auf den durchschnittlichen Ausfallwahrscheinlichkeitswert (PFDavg) des Systems aus.
Wenn das System nach dem Prinzip „Auslösung bei Energiezufuhr“ arbeitet oder die Stromversorgung Fehlerzustände aufweist, die zu einem unsicheren Betrieb des E/E/PE SRS führen können, sollte die Stromversorgung in die Bewertung einbezogen werden.

Solche Annahmen machen die Stromversorgung in einem E/E/PE SRS kritisch, da sie darüber entscheiden kann, ob die Stromversorgung die Berechnung der Wahrscheinlichkeit eines gefährlichen Ausfalls beeinflussen kann – eine der wichtigsten Anforderungen der IEC 61508.

Referenzen

Foord, Tony and Colin Howard. „Energise or De-Energise to Trip?“ Measurement and Control, Bd. 41, Nr. 9, November 2008.

IEC 61508 All Parts, Functional Safety of Electrical/Electronic/Programmable Electronic Safety-Related Systems. International Electrotechnical Commission, 2010.

Meany, Tom. „Functional Safety for Power.“ Analog Devices, Inc., März 2019.

Über die Autoren

Bryan Angelo Borres ist TÜV-zertifizierter Functional Safety Engineer und arbeitet derzeit an mehreren Projekten zur Entwicklung industrieller Produkte für funktionale Sicherheit. Als leitender Ingenieur für Stromversorgungsanwendungen unterstützt er Systemintegratorinnen und -integratoren bei der Gestaltung funktional sicherer Stromversorgungsarchitekturen, die den industriellen Normen für funktionale Sicherheit wie IEC 61508 entsprechen. Vor kurzem wurde er Mitglied des philippinischen Nationalkomitees für IEC TC65/SC65A und des IEEE Functional Safety Standards Committee. Bryan hat ein Postgraduate-Diplom in Leistungselektronik und verfügt über rund sieben Jahre Erfahrung in der Konzipierung effizienter und robuster leistungselektronischer Systeme.

Noel Tenorio ist Product Applications Manager für marktübergreifende Hochleistungs-Überwachungsprodukte für die Leistungselektronik bei Analog Devices Philippines. Er kam im August 2016 zu ADI. Davor arbeitete er sechs Jahre lang als Design Engineer in einem Forschungs- und Entwicklungsunternehmen für Schaltnetzteile. Er hat einen Bachelor-Abschluss in Elektronik und Nachrichtentechnik von der Batangas State University sowie einen Postgraduate-Abschluss in Elektrotechnik/Leistungselektronik und einen Master of Science in Elektrotechnik von der Mapua University. Bevor er sich mit Überwachungsprodukten befasste, hatte er auch eine wichtige Position in der Anwendungsunterstützung für thermoelektrische Kühlreglerprodukte inne.