Zu den Grundpfeilern sicherer Systeme gehören Redundanz und Diagnose. Unter Redundanz versteht man grob gesagt das Vorhandensein von Komponenten, die als Rückfallebene dienen können, während es bei der Diagnose um die Überwachung der Integrität eines Systems während des laufenden Betriebs geht. Als sicherer Zustand wird im Kontext der funktionalen Sicherheit meist der passive Zustand verstanden (stromlos, abgeschaltet, logisch Null etc.). Die Fähigkeit zum Erreichen dieses Zustands mit dem Ziel, im Fehlerfall einen sicheren, definierten Betrieb zu gewährleisten, ist das Grundprinzip der funktionalen Sicherheit.
So fällt in dem Blockschaltbild eines sicheren digitalen I/O-Moduls gleich die durch die doppelt implementierten Ein- und Ausgangskanäle des Moduls erzielte Redundanz ins Auge. Jedes Paar Ausgangskanäle für PNP-Schaltfunktionen ist hier allerdings zusätzlich als kaskadierte Kombination eines High-Side-Ausgangstreibers vom Typ IPS160HF in Serie mit einem aktiv gesteuerten P-Kanal-Mosfet des Typs STL42P6LLF6 realisiert. Um zusätzlich jegliche kanalübergreifenden Effekte im Fall einer Fehlfunktion auszuschließen, werden die Ansteuersignale für die beiden separaten Ausgangskanäle außerdem im Prinzip über zwei separate galvanische Isolatoren geleitet.
Überspannungs- und Verpolungsschutz
Bei dem Design solch eines sicheren I/O-Moduls ist einiges zu beachten. So dient eine Parallelschaltung aus einem bidirektionalen Transil-Baustein und einem Kondensator zum Blockieren und Filtern der Stromversorgung. Die zum Transil-Baustein führenden Leiterbahnen müssen dabei möglichst kurz sein, um die parasitäre Induktivität zu minimieren. Diese könnte nämlich sonst im Fall elektromagnetischer Störbeeinflussungen zum Entstehen von Spannungsspitzen führen und die Schaltung mit Spannungen konfrontieren, die den Nennwert des Klemmbausteins übersteigen.
Der Transil-Baustein ist so dimensioniert, dass er bei den regulären Betriebsbedingungen der Anwendung nicht anspricht. Gleichzeitig ist seine Grenzspannung zum Absorbieren elektromagnetischer Störgrößen aber so niedrig wie möglich angesetzt. Auf dem Referenz-Board werden diese Anforderungen durch die Verwendung des Transil-Bausteins SMC30J36CA erfüllt, der für eine maximale Impulsleistung von 40kW ausgelegt ist (8/20µs-Impuls gemäß IEC61000-4-5).
An den Überspannungsschutz-Teil schließt sich ein Schutz vor einer verpolten Versorgungsspannung an. Diese kann in der Praxis durch einfaches Vertauschen von Leitungen vorkommen, jedoch sind negative Überspannungs-Impulse auch Bestandteil der vorgeschriebenen Tests der elektromagnetischen Verträglichkeit. Die Schaltung zum Blockieren von Rückströmen basiert auf einem in Sperrrichtung vorgespannten P-Kanal-Transistor mit 60V Nennspannung (STL42P6LLF6).
Entmagnetisierung induktiver Lasten
Bei der Abschaltung der angeschlossenen Aktoren – oftmals induktive Verbraucher, wie Magnetventile oder Relais – muss die im magnetischen Feld enthaltene Energie von der Leistungsschaltung des digitalen Ausgangs absorbiert werden. Zu diesem Zweck ist der IPS160HF mit einer Schnellentmagnetisierungs-Schaltung ausgestattet, die während der Abschaltphase eine definierte Ausgangsspannung bezogen auf VCC aufrechterhält.
Wenn die Entmagnetisierungs-Energie bei Verbrauchern mit hohem Blindwiderstand angepasst werden muss, ist es gelegentlich zweckmäßig, die Entmagnetisierungs-Schaltung in Form eines externen Transil-Bausteins zwischen Ausgang und Masse zu realisieren. Die Verbindung zur Masse erfolgt, weil Transils von ihrer Konstruktion her so ausgelegt sind, dass sie im Fall eines permanenten Durchbruchs einen Kurzschluss herstellen. Hierdurch wird das Prinzip beibehalten, das System im Fall einer Fehlfunktion in einen passiven Zustand zu versetzen. Der ausgangsseitige Transil-Baustein sollte deshalb so dimensioniert werden, dass er die integrierte Entmagnetisierungs-Schaltung über sämtliche Betriebsbedingungen hinweg vollständig ersetzen kann.
In diesem Zusammenhang ist zu beachten, dass die Klemmspannung von Transil-Bausteinen einen positiven Temperaturkoeffizienten hat, weshalb bei der Auswahl dieses Bauelements ein entsprechender Spielraum einkalkuliert werden muss. Auf dem Referenz-Board erfüllt der Transil-Baustein SM6T33CA die soeben skizzierten Bedingungen.
Diagnose
Ein unerlässlicher Bestandteil sicherer I/Os ist die Überwachung der ordnungsgemäßen Funktion des Systems. Auf dem Referenz-Board sind gleich mehrere Funktionen vorhanden, die diesem Zweck dienen. Zunächst einmal besitzt der integrierte High-Side-Treiber IPS160HF einen eigenen Diagnose-Pin. Dieser kann je nach Voreinstellung entweder dem Mikrocontroller das Ansprechen der Strombegrenzung oder das überhitzungsbedingte Abschalten des Chips nach einer Überlastung signalisieren. Zusätzlich gibt es Schaltungen, die die Spannungen auf der Versorgungsleitung und auf jedem Ausgangskanal erfassen. Mit Diagnoseschaltungen lassen sich die Integrität des Systems sowie die Betriebsbedingungen in Echtzeit überwachen.
