LinkedIn Logo YouTube Logo
Auslegung digitaler Ausgangsstufen

Das Design als Schlüssel für sichere I/O-Systeme

Die funktionale Sicherheit stellt innerhalb der industriellen Automatisierungstechnik eine anspruchsvolle technische Disziplin dar, die intensive Beachtung seitens der internationalen Zertifizierungsbehörden findet (hauptsächlich in der Norm IEC61508). Während des Designprozesses von industriellen Steuerungssystemen sind dementsprechend technische Herausforderungen sowie anwendungsspezifische Szenarien zu beachten. Wie eine sichere I/O-Systemarchitektur und ihre elektrische Umsetzung aussehen kann, skizziert STMicroelectronics anhand eines kompakten Testboards.
 Ansicht des zweikanaligen digitalen I/O-Moduls Steval-FSM01M1
Ansicht des zweikanaligen digitalen I/O-Moduls Steval-FSM01M1Bild: STMicroelectronics

Zu den Grundpfeilern sicherer Systeme gehören Redundanz und Diagnose. Unter Redundanz versteht man grob gesagt das Vorhandensein von Komponenten, die als Rückfallebene dienen können, während es bei der Diagnose um die Überwachung der Integrität eines Systems während des laufenden Betriebs geht. Als sicherer Zustand wird im Kontext der funktionalen Sicherheit meist der passive Zustand verstanden (stromlos, abgeschaltet, logisch Null etc.). Die Fähigkeit zum Erreichen dieses Zustands mit dem Ziel, im Fehlerfall einen sicheren, definierten Betrieb zu gewährleisten, ist das Grundprinzip der funktionalen Sicherheit.

So fällt in dem Blockschaltbild eines sicheren digitalen I/O-Moduls gleich die durch die doppelt implementierten Ein- und Ausgangskanäle des Moduls erzielte Redundanz ins Auge. Jedes Paar Ausgangskanäle für PNP-Schaltfunktionen ist hier allerdings zusätzlich als kaskadierte Kombination eines High-Side-Ausgangstreibers vom Typ IPS160HF in Serie mit einem aktiv gesteuerten P-Kanal-Mosfet des Typs STL42P6LLF6 realisiert. Um zusätzlich jegliche kanalübergreifenden Effekte im Fall einer Fehlfunktion auszuschließen, werden die Ansteuersignale für die beiden separaten Ausgangskanäle außerdem im Prinzip über zwei separate galvanische Isolatoren geleitet.

Überspannungs- und Verpolungsschutz

Bei dem Design solch eines sicheren I/O-Moduls ist einiges zu beachten. So dient eine Parallelschaltung aus einem bidirektionalen Transil-Baustein und einem Kondensator zum Blockieren und Filtern der Stromversorgung. Die zum Transil-Baustein führenden Leiterbahnen müssen dabei möglichst kurz sein, um die parasitäre Induktivität zu minimieren. Diese könnte nämlich sonst im Fall elektromagnetischer Störbeeinflussungen zum Entstehen von Spannungsspitzen führen und die Schaltung mit Spannungen konfrontieren, die den Nennwert des Klemmbausteins übersteigen.

Der Transil-Baustein ist so dimensioniert, dass er bei den regulären Betriebsbedingungen der Anwendung nicht anspricht. Gleichzeitig ist seine Grenzspannung zum Absorbieren elektromagnetischer Störgrößen aber so niedrig wie möglich angesetzt. Auf dem Referenz-Board werden diese Anforderungen durch die Verwendung des Transil-Bausteins SMC30J36CA erfüllt, der für eine maximale Impulsleistung von 40kW ausgelegt ist (8/20µs-Impuls gemäß IEC61000-4-5).

An den Überspannungsschutz-Teil schließt sich ein Schutz vor einer verpolten Versorgungsspannung an. Diese kann in der Praxis durch einfaches Vertauschen von Leitungen vorkommen, jedoch sind negative Überspannungs-Impulse auch Bestandteil der vorgeschriebenen Tests der elektromagnetischen Verträglichkeit. Die Schaltung zum Blockieren von Rückströmen basiert auf einem in Sperrrichtung vorgespannten P-Kanal-Transistor mit 60V Nennspannung (STL42P6LLF6).

 Strombegrenzung im Kurzschlussfall
Strombegrenzung im KurzschlussfallBild: STMicroelectronics

Entmagnetisierung induktiver Lasten

Bei der Abschaltung der angeschlossenen Aktoren – oftmals induktive Verbraucher, wie Magnetventile oder Relais – muss die im magnetischen Feld enthaltene Energie von der Leistungsschaltung des digitalen Ausgangs absorbiert werden. Zu diesem Zweck ist der IPS160HF mit einer Schnellentmagnetisierungs-Schaltung ausgestattet, die während der Abschaltphase eine definierte Ausgangsspannung bezogen auf VCC aufrechterhält.

Wenn die Entmagnetisierungs-Energie bei Verbrauchern mit hohem Blindwiderstand angepasst werden muss, ist es gelegentlich zweckmäßig, die Entmagnetisierungs-Schaltung in Form eines externen Transil-Bausteins zwischen Ausgang und Masse zu realisieren. Die Verbindung zur Masse erfolgt, weil Transils von ihrer Konstruktion her so ausgelegt sind, dass sie im Fall eines permanenten Durchbruchs einen Kurzschluss herstellen. Hierdurch wird das Prinzip beibehalten, das System im Fall einer Fehlfunktion in einen passiven Zustand zu versetzen. Der ausgangsseitige Transil-Baustein sollte deshalb so dimensioniert werden, dass er die integrierte Entmagnetisierungs-Schaltung über sämtliche Betriebsbedingungen hinweg vollständig ersetzen kann.

In diesem Zusammenhang ist zu beachten, dass die Klemmspannung von Transil-Bausteinen einen positiven Temperaturkoeffizienten hat, weshalb bei der Auswahl dieses Bauelements ein entsprechender Spielraum einkalkuliert werden muss. Auf dem Referenz-Board erfüllt der Transil-Baustein SM6T33CA die soeben skizzierten Bedingungen.

 Blockschaltbild eines sicheren digitalen I/O-Moduls
Blockschaltbild eines sicheren digitalen I/O-ModulsBild: STMicroelectronics

Diagnose

Ein unerlässlicher Bestandteil sicherer I/Os ist die Überwachung der ordnungsgemäßen Funktion des Systems. Auf dem Referenz-Board sind gleich mehrere Funktionen vorhanden, die diesem Zweck dienen. Zunächst einmal besitzt der integrierte High-Side-Treiber IPS160HF einen eigenen Diagnose-Pin. Dieser kann je nach Voreinstellung entweder dem Mikrocontroller das Ansprechen der Strombegrenzung oder das überhitzungsbedingte Abschalten des Chips nach einer Überlastung signalisieren. Zusätzlich gibt es Schaltungen, die die Spannungen auf der Versorgungsleitung und auf jedem Ausgangskanal erfassen. Mit Diagnoseschaltungen lassen sich die Integrität des Systems sowie die Betriebsbedingungen in Echtzeit überwachen.

Seiten: 1 2Auf einer Seite lesen

STMicroelectronics Application GmbH

Das könnte Sie auch Interessieren

Weitere Beiträge

OT-native Cybersicherheit

Die effektive Plattformen für Visibility und Cybersicherheit in OT-Netzwerken Dragos von dem gleichnamigen Unternehmen, gibt es in einer neuen Version, welche Anwendern einen noch tieferen und umfassenderen Einblick in alle Assets ihrer OT-Umgebungen gewährt.

mehr lesen
Bild: Dragos Global Headquarters
Bild: Dragos Global Headquarters
Neue Malware-Variante

Neue Malware-Variante

FrostyGoop, eine neue Malware-Variante, die auf industrielle Kontrollsysteme (ICS) spezialisiert ist, birgt Gefahren für kritische Infrastrukturen weltweit. FrostyGoop wurde im April 2024 von den OT- Cybersicherheitsexperten Dragos identifiziert und ist die erste ICS-spezifische Malware, die die Modbus-TCP-Kommunikation nutzt, um operative Technologien (OT) direkt anzugreifen und zu manipulieren.

mehr lesen
Bild: TXOne Networks
Bild: TXOne Networks
Security-Retrofit

Security-Retrofit

In vielen industriellen Maschinen laufen noch Industrie-PCs mit veralteter Technik. Da die Bedrohung für Produktionsumgebungen durch Cyberangriffe stark steigt, sollten die Unternehmen handeln. Die Hager Group hat die Cyberresilienz ihrer IPCs mit Technologie von TXOne gestärkt, um Sicherheitsbedingungen aufrechtzuerhalten und gleichzeitig die Einhaltung gesetzlicher Vorschriften zu gewährleisten.

mehr lesen
Bild: Tenable Network Security GmbH
Bild: Tenable Network Security GmbH
Angriffe vorhersehen und Cyberrisiken reduzieren

Angriffe vorhersehen und Cyberrisiken reduzieren

In den zunehmend vernetzten IT-, OT- und IoT-Umgebungen von heute gehen Cyberangriffe häufig von IT-Systemen aus und greifen dann mit potenziell verheerenden Folgen auf OT-Systeme über. Damit stehen Sicherheitsexperten immer öfter vor der Herausforderung, neben IT- auch OT- und IoT-Umgebungen schützen zu müssen. Ganzheitliche Exposure-Management-Plattformen wie Tenable One bieten umfassende Sichtbarkeit und handlungsorientierte Risikoanalysen, um die Sicherheitslage von Unternehmen nachhaltig zu stärken.

mehr lesen
Bild: Euchner GmbH + Co. KG
Bild: Euchner GmbH + Co. KG
Elektromechanische Zuhaltungen von Euchner

Elektromechanische Zuhaltungen von Euchner

Unter der Überschrift „Bewährtes bleibt sicher“ berichtete Euchner in der Titelstory des SPS-MAGAZINs vor zehn Jahren (Ausgabe 9/2014) über elektromechanische Zuhaltungen sowie die normativen Anforderungen bei ihrem Einsatz. Damals wie heute verhindern diese Sicherheitsbauteile den Zugang zur Gefährdung und schützen auch die Bearbeitung in der Maschine gegen eine Unterbrechung. Noch heute ist die klassische Zuhaltung eine gern genutzte Sicherheitsmaßnahme für Maschinen und Anlagen – auch wenn sich elektronische Ausführungen auf dem Vormarsch befinden.

mehr lesen