Eine Schaltung, die vor allen Gefahren gefeit ist, gibt es nicht. Aber die Wahrscheinlichkeit eines Systemausfalls und folglich eines möglichen Schadens für die Maschine und/oder den Benutzer lässt sich erheblich verringern.
Gängige Schutzarten bestehen aus Ferriten zur EMI-Reduzierung, ESD-Dioden, Transientenunterdrückung, Verriegelung für Hochleistungslasten und natürlich Sicherungen, um den Strom bei einem Fehlerzustand zu begrenzen. Die Bedeutung dieser Schutzmaßnahmen kann durch die Sicherheitsanforderungen erheblich steigen, während gleichzeitig weitere Sicherheitsvorkehrungen erforderlich sein können. Dieser Artikel befasst sich mit verschiedenen gängigen Schutz- und Sicherheitspraktiken für elektronisches Design und ihren Anforderungen. Ein angemessener Schutz kann nicht nur dazu beitragen, die allgemeine Zuverlässigkeit und Sicherheit eines Produkts zu verbessern, sondern ist je nach Anwendung möglicherweise sogar Voraussetzung für Zertifizierung und Produktvertrieb.
Auf der Suche nach der richtigen Balance
Am Anfang steht eine ganz grundlegende Frage: Wie lässt sich die richtige Balance zwischen Schutzschaltungen und Wirtschaftlichkeit finden? Woher weiß der Entwickler bei einem Produkt, das keine bestimmte Art von Sicherheit erfordert, wann er Schutzschichten hinzufügen soll? Die Antwort kann kompliziert sein, sollte aber in der Regel vom Entwicklungsteams anhand der Benutzer-/Designanforderungen bestimmt werden.
Kosten und Nutzen machen die Integration von Schutzvorrichtungen in einen Schaltkreis oft zum Balanceakt. Hier kann im Allgemeinen die Einschätzung des relativen Risikos weiterhelfen. Sicherungen können kostspielig sein. In der Regel bilden sie jedoch die erste Verteidigungslinie bei Überspannungen, die von Umgebungsvariablen oder lastabhängigen Komponenten herrühren. Der Vorteil ist, dass alle Elemente hinter der Sicherung geschützt sind. Das kann natürlich sehr wichtig sein. Aber was ist mit anderen, kleineren Alternativen, z. B. Ferriten? Kleine Ferrite werden üblicherweise bei empfindlichen Signalen eingebaut, die die Platine verlassen, um EMI und hochfrequentes Rauschen zu mindern. Auch an Eingängen von Reglern oder Verarbeitungskomponenten sind sie zu finden, um die Spannungsschiene zu bereinigen. Die Sicherheit, die sie bieten, kann die zusätzlichen Kosten bei entsprechend hohem Risiko durchaus wettmachen. Risiko ist hier die Kombination aus der Schwere einer Störung und der voraussichtlichen Wahrscheinlichkeit ihres Auftretens.
Wann wird Sicherheit zum Thema?
Sicherheit setzt eine eigene Dynamik in Gang. Die Kosten sind in der Regel nicht mehr so wichtig, während Zuverlässigkeit und Redundanz die Hauptrolle spielen (und für Zertifizierung und Produkttests wahrscheinlich erforderlich sind). Für Produkte, die bei bestimmten Störungen zu Personenschäden führen können (ob direkt oder indirekt), muss eine Risikobewertung vorgenommen werden, um möglichst viele denkbare Szenarien zu berücksichtigen.
Im Gesundheitswesen ist dies beispielsweise für medizinische Geräte erforderlich und gestaltet sich etwas aufwendiger, da in eine Tabelle (siehe Abbildung 1) sämtliche infrage kommenden Gefahren mit einer Beschreibung von Ereignis/Situation, möglichem Schaden und einer Bewertung von Wahrscheinlichkeit/Schweregrad eingetragen werden müssen. Jede der genannten Gefahren wird dann von einer zuständigen Person (oder Gruppe) bewertet und durch zusätzliche, speziell auf die betreffende Gefahr (die als inakzeptabel erachtet wird) abgestimmte Designanforderungen „kontrolliert“. Anschließend folgt eine erneute Bewertung und schließlich die Annahme. Der Dialog mag für andere Anwendungen (z. B. Luft- und Raumfahrt) geringfügig abweichen, das Kernprinzip ist jedoch in vielen Branchen gleich. Die Bewertung jedes Risikos mit Schweregrad und Wahrscheinlichkeit und die anschließende Kontrolle mit einem Maßnahmenplan sind entscheidend, um in einem elektronischen (oder anderen) Design Bereiche zu ermitteln, in denen Sicherheit und Schutz erforderlich sind.
Abbildung 1: Matrix zur Nachverfolgbarkeit von Gefahren für das Risikomanagement eines medizinischen Geräts
Aber wie werden diese Wahrscheinlichkeiten und Schweregrade quantifiziert und bewertet? In der Regel geschieht dies mithilfe einer sehr detaillierten Tabelle, in der die Unterschiede zwischen den einzelnen Werten anwendungsspezifisch erklärt werden. Abbildung 2 zeigt einige Beispiele für die Definition von Häufigkeit und Schweregrad, die bei der Bewertung von Gefahren oder Ereignissen als Leitlinie herangezogen werden können. Einstufungsbereiche/-werte variieren je nach Anwendung und benötigter Auflösung.
Abbildung 2: Definitionstabellen zur Einstufung des Schweregrads (oben) und der Wahrscheinlichkeit (unten).
Und schließlich gibt es eine Tabelle, in der beide Aspekte kombiniert und farbcodiert werden können (siehe Abbildung 3), um sichtbar zu machen, ob eine potenzielle Gefahr mit Designspezifikationen und -änderungen angegangen werden muss. Für gewöhnlich erfordern „Medium“ (gelb) und „High“ (rot) irgendeine Form von Maßnahme. Und schon ist eine Sicherheitsschaltungsanforderung geboren.
Abbildung 3: Risikomatrix-Berechnungstabelle
Die bisherige Beschreibung gilt für alle Branchen mit Produkten oder Systemen, die kritische Betriebsfunktionen aufweisen; sie trifft aber möglicherweise nicht auf jede Anwendung zu. In vielen Fällen reicht es aus, je nach Einsatz und Schadenspotenzial nach bestem Ermessen zu handeln.
Für die meisten elektrischen Produkte ist eine Art von Konformitätszertifikat erforderlich, bevor die Technologie produziert, vertrieben und verkauft werden kann. Und der zugehörige Zertifizierungsprozess beschränkt sich nicht nur auf die Konformität in elektrischer Hinsicht, sondern umfasst auch die Sicherheitskonformität. Es ist eine Grauzone und nicht immer klar, was erforderlich ist, damit ein Produkt die Sicherheitsanforderungen erfüllt. Die Aufsichtsbehörden bieten im Allgemeinen während des gesamten Prozesses Unterstützung an und es empfiehlt sich, sie in der Entwurfsphase einzubeziehen.
Beispiele aus der Praxis
Im nachstehenden Beispiel wird eine Anwendung beschrieben, bei der Laserlicht für Bildgebungszwecke genutzt wird. Laserlicht kann für das menschliche Auge sehr schädlich sein. Sogar Streulicht (das von einer anderen Oberfläche reflektiert wird) kann ausreichen, um Schäden bis hin zur Blindheit zu verursachen. Zwar kann eine spezielle Schutzbrille hilfreich sein, aber in der Regel ist ein zusätzlicher elektronischer Schutz vor Missbrauch und unbeabsichtigtem Streulicht an der Maschine erforderlich. Verriegelbare Türen und abnehmbare Tafeln mit Schaltkreisen, die direkt mit der Laserleistung verbunden sind (oder eine Verriegelung/ein Relais für die Leistung), sind im Allgemeinen die beste Wahl, aber selbst diese Maßnahmen erfordern Redundanz. Der offizielle Begriff lautet „ausfallsicher“. Wenn der Sicherheitsschaltkreis ausfallen sollte (d. h. einer der internen Schalter), muss er in einen sicheren Zustand wechseln, um Schäden für Benutzer oder Ausrüstung auszuschließen. Dies kann zu einem redundanten Backup-Schaltkreis führen.
Abbildung 4 zeigt ein Verriegelungsdiagramm mit einem Signal (mit ausreichender Leistung für eine Spule in einem Relais), das mehrere Türen/Abdeckungen der Maschine passiert, sowie eine Tastensperre, die einen manuellen Schritt zum Ein- und Ausschalten der Laserleistung hinzufügt (optional). Der Schaltkreis erfordert Redundanz. Daher sind zwei Reed-Magnetschalter für jeden Zugangspunkt und zwei Schalter für jede andere Komponente erforderlich. Fällt einer der internen Schalter in einer Komponente im „geschlossenen Zustand“ aus, so gilt die Situation immer noch als sicher, da der andere interne Schalter (der in Reihe mit dem ersten Schalter verdrahtet ist) höchstwahrscheinlich offen ist, wodurch die Stromversorgung zum Lasermodul immer noch unterbrochen wird.
Abbildung 4: Beispiel eines Schaltplans mit Sicherheitsschaltkreis für Laserlicht
Ein weiteres Beispiel ist ein erwärmtes medizinisches Gerät, das zum Einsatz auf der menschlichen Haut bestimmt ist. Bei dieser Anwendung besteht die Gefahr, dass die Heizung infolge thermischer Instabilität oder falscher Kalibrierung überhitzt und die Haut Verbrennungen erleidet. Auch wenn die Folgen nicht lebensbedrohlich sind, erscheinen einige Ausfallsicherheits-/Redundanzfunktionen durchaus angebracht.
InAbbildung 5 ist ein entsprechendes Beispiel dargestellt. Selbst in diesem sehr einfachen Steuerkreis gibt es mehrere potenzielle Ausfallpunkte. Das System enthält nicht nur einen sekundären Thermistor zur Temperaturerfassung (falls ein Thermistor beschädigt wird), sondern es werden auch mehrere Kontrollpunkte benötigt, für den Fall, dass entweder ein MOSFET im geschlossenen Zustand ausfällt oder der interne A/D-W eines Prozessors beschädigt oder falsch kalibriert ist. In dieser Konfiguration gibt es einen kleinen, sehr einfachen sekundärer Prozessor zur Temperaturüberwachung und Steuerung der Heizungsleistung, der unabhängig vom Hauptprozessor ist.
Abbildung 5: Beispiel eines Schaltbilds mit Redundanz für ein Heizelement
Abbildung 6 zeigt verschiedene Schutzschaltungen, die ein Gerät sicherer und zuverlässiger machen können. „A“ ist ein Lüftersteuerkreis, der angibt, wenn ein Fehler vorliegt, zusammen mit einer abgesicherten Stromschiene und zusätzlichem Ferrit zur EMI-Unterdrückung. „B“ umfasst eine abgesicherte Stromschiene für einen Servomotor zusammen mit einem Stromüberwachungsgerät, damit der Prozessor Bewegung/Leistung überprüfen kann. „C“ ist ein Beispiel für einen USB-Anschluss, der zum Laden verwendet wird, mit zusätzlichem Schutz für seine VBUS-Schiene (ESD und Sicherung). „D“ ist ein einfacher Verpolungsschutz für einen 3,7-V-Batterieanschluss.
Abbildung 6: Verschiedene Schutzschaltungen
Fazit
Schutz- und Sicherheitsschaltungen sollten immer in Betracht gezogen werden, können je nach Anwendung aber auch eine Notwendigkeit sein. In graviererenden Fällen ist die Beschreibung denkbarer potenzieller Gefahren und ihre Einstufung schon die halbe Miete. Die andere Hälfte ist ein Maßnahmenplan mit detaillierten Anforderungen, zusammen mit einigen bewährten Designfähigkeiten und „Best Practices“. Für alle Fälle und Anwendungen sollten jedoch immer die schädlichen Folgen einer Schaltkreisstörung bedacht werden.
