Überspannungsschutz

Bild 1: Überspannungsschutz mit Suppressordiode ZD1. (Bild: Autronic)

Die Forderungen bezüglich des Überspannungsschutzes haben ihre Wurzel in der Vermeidung sogenannter „Common Cause Failures“, wie sie zum Beispiel in der ISO EN13849-1 definiert sind. Die Versorgung eines sicherheitskritischen Systems mit Überspannung kann zu vielen, nicht vorhersagbaren Defekten und Funktionsverlusten in dem betrachteten System führen und damit dessen Eigenschaften bezüglich funktionaler Sicherheit drastisch degradieren. Getaktete Stromversorgungen, wie auch einige rein analoge Spannungsversorgungen sind in der Lage, bei Auftreten eines einzigen Fehlers eine deutliche Überspannung an Ihrem Ausgang zu erzeugen. Für die Integrität der funktionalen Sicherheit nachgeschalteter Systeme ist es daher unabdingbar notwendig, dass in der Stromversorgung selbst oder ihren Anschlüssen Maßnahmen zur Vermeidung von Überspannungen und zur Aufrechterhaltung ihrer eigenen funktionalen Sicherheit ergriffen werden. Nachfolgend sollen einige dieser Maßnahmen vorgestellt werden.

Ideal-Wunschvorstellungen

Getaktete Stromversorgungen (Power Supply Unit, PSU) sind die Arbeitspferde der modernen, hocheffizienten Elektronik-Applikationen geworden. Neben einem hohen Wirkungsgrad konzentrieren sich die unterschiedlichsten Anforderungen im Design der Stromversorgung. Dazu gehören (unter vielen anderen):

  • Weiter Eingangsspannungsbereich
  • Großer Einsatztemperaturbereich
  • Lange Lebensdauer und hohe Zuverlässigkeit
  • Stabile Ausgangsspannung bei beliebigen Ausgangslasten
  • Hohe Dynamik
  • Einhaltung der normativen Anforderungen an die EMV und die elektrische Sicherheit

Historischer Rückblick

Eckdaten

Seitens des Marktes werden immer mehr funktional sichere Systeme verlangt. Zentrales Element bei diesen Systemen ist immer auch die Verwendung einer Stromversorgung, die den Ansprüchen des funktional sicheren Systems gerecht wird. In der Regel fristet diese Stromversorgung jedoch ein Schattendasein oder aber wird bezüglich ihres teilweise immensen Einflusses auf die funktionale Sicherheit stark unterschätzt.

Die schaltungstechnische Notwendigkeit der Unterdrückung von Überspannungen an den Ausgangsklemmen stellte sich bereits früh in der Entwicklung von Stromversorgungen. Dabei dürfen jedoch Forderungen der elektrischen Sicherheit nicht mit Forderungen der funktionalen Sicherheit verwechselt werden. Die elektrische Sicherheit befasst sich mehr mit Begriffen wie Brandvermeidung und der Isolation gefährlicher Spannungen (Vermeidung des elektrischen Schlags). Das Durchlegieren der Regelstrecke eines 3V3-Reglers, der aus einer 5-V-Versorgung gespeist wird, bedeutet in der Regel weder eine Gefahr eines Brands noch die Gefahr eines elektrischen Schlags. Jedoch kann eine Logik-Schaltung, die mit Aufgaben der funktionalen Sicherheit des Systems beauftragt ist, hier bereits Fehlfunktionen beliebiger Art zeigen. Um solche Überspannungen zu beherrschen, wurden in der Vergangenheit (und auch heute noch) zum Beispiel eng tolerierte Suppressordioden am Ausgang der Stromversorgung eingesetzt.

Überspannungsschutz

Bild 1: Überspannungsschutz mit Suppressordiode ZD1. Autronic

Bild 1 zeigt den grundsätzlichen Aufbau eines solchen Schutzes. Als wesentliche Ergänzung benötigt diese Art des Schutzes immer eine leistungsbegrenzte Quelle oder ein temperaturempfindliches Sicherungselement. Dieses Element wird durch die PTC-Sicherung PTC1 realisiert. Bereits bei PSUs mit einer Ausgangsleistung von wenigen Watt stellen sich im Fehlerfall sehr hohe Temperaturen an ZD1 ein. Aus diesem Grund ist ZD1 thermisch mit der PTC-Sicherung PTC1 gekoppelt, weswegen sich im Fehlerfall auch die Sicherung mit aufheizt und damit Strom und Erwärmung effektiv begrenzt. Ohne diese thermische Kopplung kann es leicht bis zum Brand der Baugruppe kommen.

Für Stromversorgungen höherer Leistung ist diese Art des Überspannungsschutzes aber nicht mehr zielführend. Hierfür wurde die „Crow-Bar“-Schaltung entwickelt, der „Schraubenschlüssel über den Polen der Batterie“. Bild 2 zeigt das Grundprinzip dieses brachialen Überspannungsschutzes.

Kern des Schutzes ist hier der Thyristor THY1 der bei Überspannung durch die Diode ZD1 gezündet wird und den Ausgang der Stromversorgung dadurch kurzschließt.

Durch den daraufhin fließenden Kurzschlussstrom wird die Schmelzsicherung Si1 ausgelöst und die nachfolgende Schaltung somit vor der Überspannung geschützt. Dieser Schutz ist nicht rückstellend, das heißt eine Reparatur oder ein Austausch der Sicherung ist nach Ansprechen der Schutzschaltung nötig. Durch diese Zwangsreparatur werden in der Regel auch Fehler in der PSU erkannt und repariert, was bei vielen anderen Schutzschaltungen nicht der Fall ist. So kann der Einsatz der Schaltung aus Bild 1 dazu führen, dass das angeschlossene System weiterhin funktioniert, bis aufgrund der hohen Verlustleistung die Suppressordiode ausfällt und das System letztendlich doch der Überspannung ausgesetzt wird.

Dagegen hat die Crow-Bar-Schutzschaltung das Problem, dass sie gerne bei Auftreten von externen Überspannungsspitzen (Surge/Burst) falsch triggert, das System lahmlegt und damit die Verfügbarkeit drastisch reduziert. Wird zudem DR1 (Luftdrossel, nicht sättigbar) weggelassen, kann der Thyristor beim Ansprechen durch sehr hohes di/dt geschädigt werden und löst nach Austausch der Sicherung immer wieder unspezifisch und zufällig aus.

Analoge Implementierung

Überspannungsschutz

Bild 2: Crow-Bar-Überspannungsschutz. Autronic

Den Schaltungen aus den Bildern 1 und 2 ist gemeinsam, dass sie mit der eigentlichen Struktur der PSU nichts zu tun haben und praktisch autark von dieser agieren können. Diese Unabhängigkeit wird jedoch mit hohen Verlustleistungen im Fehlerfall oder einer geringeren Verfügbarkeit aufgrund von Fehlauslösungen erkauft. Geschickter ist daher die Implementierung eines funktionalen Überspannungsschutzes in die Struktur der PSU selbst.

Zweiter Abschaltpfad

Bild 3: Implementierung des zweiten Abschaltpfades. Autronic

Grundsätzlich wird der funktionale Überspannungsschutz als ein zweiter, unabhängig wirkender Abschaltpfad realisiert. Dabei wird die eigentliche Spannungsreglerschleife als der erste Abschaltpfad betrachtet. Bild 3 zeigt die beispielhafte Implementierung des zweiten Abschaltpfades in einen Sperrwandler. Über den ersten Pfad (Spannungsregler GU und OK1) wird die eigentliche analoge Spannungsregelung realisiert. Der Regler GU steuert in Abhängigkeit des Vergleichs der momentanen Ausgangsspannung über OK1 den Pulsweiten-Modulator (PWM) mehr oder weniger auf und regelt so den Leistungsfluss von der Primärseite auf die Sekundärseite.

Parallel zum Spannungsregler vergleicht ein Schmitt-Trigger-Komparator die Ausgangsspannung mit einer von der Referenz (Usoll) des Spannungsreglers unabhängigen Größe (UOVC). Überschreitet die Ausgangsspannung die Größe UOVC, so wird über OK2 die dynamische Strombegrenzung des Spannungsreglers auf der Primärseite so weit heruntergefahren, dass die sekundären Spannungspegel für die angeschlossene Last wieder ungefährliche Werte annehmen. Je nach Ausgestaltung der Hysterese des Überspannungskomparators kann ein Pendeln (Toggeln) der Ausgangsspannung zwischen zwei Schaltpegeln (kleine Hysterese) oder aber das Verweilen der Ausgangsspannung auf einem sehr niedrigen Pegel (große Hysterese, Funktion des Komparators als Latch) realisiert werden. In Bild 3 ist zudem zu erkennen, dass alle Anschlüsse der Optokoppler über Widerstände geführt werden. Dies ist notwendig, um im Fehlerfall die Integrität der Isolationsbarriere zu gewährleisten. Durch eine im Fehlerfall mögliche, exzessive Verlustleistung im Optokoppler kann dessen Isolationsfestigkeit so weit reduziert werden, dass die Gefahr eines elektrischen Schlages besteht. Mittels der Widerstände wird die Verlustleistung so auf ungefährliche Werte reduziert.

Bild 3 stellt nur eine der möglichen Implementierungen eines zweiten, unabhängigen Abschaltpfades dar. So kann zum Beispiel der sichere Abschaltpfad auch durch Wegnehmen der Versorgung des PWM-Controllers erfolgen und die PSU toggelt zwischen einem Power-On-Anlauf und der Überspannungsabschaltung (Hiccup-Betrieb).

Wesentlich für die sichere, analoge Abschaltfunktion ist ein tiefes Verständnis und Wissen des verantwortlichen Hardware-Entwicklers über die internen Funktionen und Eigenheiten des verwendeten PWM-Controllers. Auf diese Weise können die nachweisbar zuverlässigsten Varianten eines funktionalen Überspannungsschutzes implementiert werden.

Digitale Implementierung

PSU mit Überspannungsschutz

Bild 4: Digitale PSU mit funktionaler Sicherheit. Autronic

Bild 4 zeigt die Realisierung einer digitalen Stromversorgung. Alle wesentlichen Regel-, Schutz- und Überwachungsfunktionen werden mittels Software und/oder digitaler Hardware realisiert. Digitale Regelkonzepte haben den Vorteil, dass Komfortfunktionen wir Derating, unterschiedliche Regelstrategien und Kommunikation in die PSU mit implementiert werden können. Jedoch gestaltet sich dadurch auch sehr oft der Nachweis der funktionalen Sicherheit deutlich schwieriger, da verschiedene Systeme miteinander im Eingriff stehen.

Deutlich vereinfacht werden Entwurf und Nachweis der funktionalen Sicherheit durch den Einsatz einer zertifizierten, digitalen Plattform, die bereits wesentliche Aspekte der funktionalen Sicherheit für digitale Systeme aufweist:

  • Automatische Ermittlung der Checksumme über Registerbänke
  • Überwachung der ADC-Funktionalität (zum Beispiel die Integrität der internen Referenz)
  • Überwachung der Taktgeneratoren
  • Stabiles Reset- und Power-On-Verhalten

Erweitert werden können diese On-Board-Systeme durch Plausibilitäts-Routinen in der Software. Diese überprüfen auf der Basis der aktuellen Stellgröße und der rückgemeldeten Ist-Größen die Subsysteme der PSU auf Plausibilität und können so Fehler in Optokopplern, Shunts, Transistoren etc. aufdecken und die PSU in den sicheren Zustand fahren. Während bei den SW-Routinen bezüglich des Nachweises der Sicherheit relativ hohe Aufwände zu Buche schlagen können, kann durch die bereits zertifizierten, integrierten Überwachungs- und Diagnosesysteme mit relativ wenig Aufwand der Nachweis einer sicheren Stromversorgung erbracht werden. Das führt in der Regel dazu, dass bei der FuSi-Zertifizierung die meisten sicherheitsbezogenen SW-Routinen als Add-On betrachtet werden.

Redundanz ist kein Schutz vor Überspannung

Redundanz

Bild 5: Redundante Stromversorgung. Autronic

Bild 5 zeigt den typischen Aufbau einer redundanten Stromversorgung. Über die Entkoppeldioden D1 und D2 werden die beiden PSUs parallelgeschaltet. Fällt einer der PSUs mit Defekt oder Kurzschluss aus, so wird durch die Entkoppeldioden verhindert, dass das verbleibende Netzteil die defekte Einheit mitversorgt.

Ganz anders verhält es sich, wenn eine der PSUs nicht mit Kurzschluss, sondern mit Überspannung an den Lastanschlüssen defekt geht. Durch die Dioden D1, D2 wird immer die höchste der beiden Ausgangsspannungen der PSUs an die Last weitergegeben und damit auch sicher die Überspannung. Abhilfe kann in diesem Fall nur die Verwendung von funktional sicheren PSUs oder der Einsatz einer der Schaltungen aus Bild 1 oder 2 schaffen.

(neu)

Giovanni Rodio

Bild gr new
Produktmanager der Fortec Power Gruppe

Thorsten Gatzka

Bild tg
Entwicklungsberater bei Autronic Steuer- und Regeltechnik

(neu)

Sie möchten gerne weiterlesen?

Unternehmen

AUTRONIC Steuer- und Regeltechnik GmbH

Siemensstraße 17
74343 Sachsenheim
Germany

Zum Firmenprofil