Zusätzlich zur Betriebssicherheit müssen auch die Algorithmen, die diese Sicherheitssysteme steuern, korrekt abgearbeitet werden. Korrumpierte Prozesse könnten ansonsten zu Betriebszuständen mit beeinträchtigter Sicherheit führen. Darüber hinaus ist es von Vorteil, die Kommunikation zwischen Prozessoren mit einer Mailbox zu trennen, um so die Funktionen der einzelnen Prozessorkerne voneinander zu separieren. Statt der direkten Kommunikation mit Sendeanforderung und Empfangsbestätigung erlaubt ein Mailbox-System das unabhängige Lesen und Schreiben von Daten durch jeden Prozessorkern zu jeder Zeit.
Für Code-Sicherheit verfügt der Cortex-M4-Prozessorkern über einen eigenen 1‑MB-Flash-Speicher und über bis zu 160 KB SRAM. Der Cortex-M0-Prozessorkern hat sein eigenes 32‑KB-SRAM. Der gesamte SRAM-, Flash- und der Mailbox-Speicher sind mit einem Hamming-Fehlercode (SECDED ECC – Single Error Correction, Double Error Detection Error-Correcting Code) mit Zero Wait-State geschützt. Das Schreiben von 8‑bit- und 16‑bit-Daten erzwingt ECC Updates per Read-Modify-Write, die im Hintergrund automatisch ablaufen, ohne die Prozessorkerne merklich zu blockieren. Das Refresh-Signal ermöglicht es, periodisch Einzel-Bit-Fehler zu korrigieren. Detektierte Multi-Bit-Fehler können optional Interrupts und/oder Fehlermeldungen auslösen. Zusätzlich kommt zur Fehlererkennung ein Hardware-Block für die CRC-Berechnung (Cyclic Redundancy Check) der Datenblöcke zum Einsatz. Dieser basiert auf einer CRC32-Engine, die den CRC-Wert von 32-bit-Worten berechnet. Insbesondere kann die CRC-Einheit zum Validieren der Inhalte des Flash-Speichers und zum Validieren von konstanten Datenblöcken aus Text oder Code im SRAM verwendet werden.
Überwachung des Netzanschlusses
Eine Überwachung des Netzanschlusses besteht im Prinzip aus zwei Funktionen: Frequenz- und Spannungsmessung. Für die Frequenzüberwachung sind zeitbasierte Messungen mit engen Toleranzen erforderlich. Sollen RC-Oszillatoren als Zeitbasis dienen, dann sind solche Messungen mit vertretbarem Aufwand praktisch nicht realisierbar. Deshalb nutzt der Mixed-Signal-Mikrocontroller wahlweise einen Oszillator oder einen Quarz als Haupt-Systemtakt (SYSCLK) und einen zusätzlichen Oszillator oder Quarz am Cortex-M0-Prozessorkern zur Überwachung der Drift der Haupt-Taktquelle über die Mailbox. Fehler des Haupt-Systemtakts werden dagegen direkt von der internen OCU (Oscillator Comparator Unit) gehandhabt. Die OCU nutzt einen externen LFO (Low Frequency Oscillator) zum Aufspüren verschiedener Situationen, wie zum Beispiel Taktsignalausfall und Über-/Unterschreitung der Taktfrequenzgrenzen. Sie kann mehrere Ereignisse erzeugen, um den Hauptprozessorkern über solche Fehler zu informieren. Ein CLKNG-Signal (Clock Not Good) kann konfiguriert werden, um den Mixed-Signal-Mikrocontroller-Chip in den Ausgangszustand zu versetzen, wenn ein Fehler erkannt wird. Gleichzeitig kann das CLKNG-Signal auch veranlassen, dass die allgemeinen Ein-/Ausgänge in einen sicheren Zustand wechseln.
Die Netzspannungsüberwachung muss sicherstellen, dass sich die Spannungen der Phasen innerhalb des geforderten Toleranzbandes befinden. Außerdem wird sie für den Selbsttest der Funktion der beiden Trennrelais verwendet. Um eine Einzelfehler-sichere Spannungsüberwachung zu ermöglichen, besteht die analoge Eingangsstufe des Mixed-Signal-Mikrocontrollers aus zwei separaten Blöcken mit Analog-Digital-Umsetzern (ADC, Analog Digital Converter). Jeder dieser Blöcke enthält einen ADC, eine Spannungsreferenz und mehrere Versorgungsspannungspfade. Ein ADC-Block wird durch den Cortex-M4, der andere durch den Cortex-M0 gesteuert. Dies ermöglicht komplett redundante Spannungsmessungen und eine Plausibilitätsprüfung über das Mailbox-System. Hinzu kommt, dass der Mixed-Signal-Mikrocontroller einen internen DAC (Digital Analog Converter) dazu verwenden kann, alle Teile der analogen Signalverarbeitung intern individuell mit Prüfsignalen zu zu verifizieren, bevor der PV-Wechselrichter ans Netz geschaltet wird.
Zertifizierte PV-Wechselrichter-Plattform
Zusätzlich zum Mixed-Signal-Mikrocontroller gibt es eine Reihe anderer entscheidender Komponenten, die bezüglich Kommunikation, Steuerung und der sicheren Weiterleitung von Daten in einem PV-Wechselrichter zusammenarbeiten müssen. Die Schaltung des Evaluierungs-Boards (Bild 3) basiert auf einem redundanten Signalpfad-Konzept inklusive redundanter Referenzen, ADCs und Taktquellen sowie internen Überwachungsstufen für Oszillatorfrequenz und Spannung und eine Inter-Prozessor-Kommunikation (Mailbox-System). Es erlaubt, die zusätzliche, bisher extern realisierte Überwachungsschaltung komplett aus dem Überwachungssystem zu eliminieren. Ein grafikfähiges LCD liefert dem Entwickler alle relevanten Status-Informationen auf einen Blick. Mit einem einfachen Knopfdruck wird ein Kalibrierungszyklus des gesamten Steuer-, Regel- und Überwachungsssystems angestoßen. Analog Devices liefert das 4105-Evaluierungs-Board kombiniert mit dem ADSP-CM419F Ez-Kit (Bild 4) mit einem entsprechend dokumentierten Software-Paket aus. Für das 4105-Evaluierungs-Board hat der TÜV Süd im März 2016 die Konformität mit der VDE-Anschlussregel VDE-AR-N-4105 [1] bestätigt.
[1] VDE-Anwendungsregel VDE-AR-N 4105:2011-08 Erzeugungsanlagen am Niederspannungsnetz, Technische Mindestanforderungen für Anschluss und Parallelbetrieb von Erzeugungsanlagen am Niederspannungsnetz.
[2] Datenblatt: Mixed-Signal Dual-Core Control Processor with ARM Cortex-M4/M0 and 16-bit ADCs. Analog Devices, 2016.
Dipl.-Ing. Hans Brüggemann |
---|
studierte Nachrichtentechnik an der Universität Kassel. Er hat weitreichende Erfahrungen als Entwickler im Bereich Photovoltaik-Energiewandler und hält ein Patent für eine Methode zum Erkennen von Lichtbogenüberschlägen in PV-Anlagen. Derzeit ist er bei Analog Devices als Solar PV Systems Engineer für die Kundenbetreuung verantwortlich und treibt die Weiterentwicklung von Mikroprozessoren und isolierenden Signalwegkomponenten voran. |
Der Autor