Produktsicherheit und Risikominderung für PD-basierte Systeme (USB Power Delivery)

Einführung in die Stromversorgung über USB (USB Power Delivery)

Aus vielen guten Gründen nimmt die Akzeptanz von USB Power Delivery (PD) in der gesamten Elektronikindustrie weiter zu. Den vielleicht größten Reiz von USB PD bietet die Verwendung des USB-C-Anschlusses, der die Hochgeschwindigkeits-Datenübertragung (über USB 3.0-3.2) und die Energieversorgung (über USB PD) mit einer einzigen Verbindung ermöglicht. Dies ist sowohl aus technischer als auch aus industrieller Sicht attraktiv.

USB PD ermöglicht, wie vom USB Implementers Forum (USB-IF) vorgesehen, ein hohes Maß an Kompatibilität zwischen generischen USB PD-Quellen und Endgeräten. Das heißt, eine USB-PD-Quelle kann eine Vielzahl von Geräten mit Strom versorgen, die möglicherweise von einem anderen Hersteller stammen.

Die Qualität von USB-PD-Quellen ist jedoch von Hersteller zu Hersteller sehr unterschiedlich, insbesondere im Hinblick auf die Anwendersicherheit. Eine USB-PD-Quelle, die vollständig mit dem USB-PD-Protokoll kompatibel ist, ist nicht automatisch sicher oder für jede Anwendung geeignet. Es sollten Vorsichtsmaßnahmen getroffen werden, um einen unbeabsichtigten Anschluss nicht geeigneter Netzteile zu verhindern.

Problembeschreibung

Um die Robustheit des Systems und Anwendersicherheit zu gewährleisten, müssen betriebskritische Systeme häufig eine Vielzahl von Industrie- und/oder Regierungsstandards einhalten. Die Verwendung eines ungeeigneten Netzteils innerhalb eines betriebskritischen Systems kann sich nachteilig auf die Leistung eines Systems auswirken und dazu führen, dass das System nicht mehr den Industrie- oder Regierungsstandards entspricht.

Herkömmlicherweise lässt sich eine unbeabsichtigte Verbindung durch mechanisch einschränkende Maßnahmen wie eindeutige Steckertypen, Pinbelegungen, Kodierwiderstände und/oder verschließbare Umspritzungen vermeiden. GlobTek könnte diese Lösungen für diesen Zweck zwar bereitstellen, das ließe sich jedoch nicht mit den USB-Standards vereinbaren.

Dieses Problem ist ein Hauptanliegen für Entwickler medizinischer Systeme, die das Risiko berücksichtigen müssen, das mit der Stromversorgung ihres Medizinprodukts über eine nicht für die Medizintechnik zugelassene Stromquelle verbunden ist.

Die USB-PD-Produkte von GlobTek sind vollständig für medizinische und ITE-Anwendungen zugelassen, die Angebote anderer Hersteller jedoch möglicherweise nicht. Medizinprodukte müssen Netzteile verwenden, die nach IEC60601 ausgelegt und zertifiziert sind. Ebenso müssen Netzteile für ITE nach IEC60950/62368 zertifiziert sein. Ein nicht zertifiziertes Netzteil kann Patienten und/oder Bediener Risiken aussetzen, die mit einer niedrigen dielektrischen Spannungsfestigkeit und/oder einem hohen Ableitstrom einhergehen.

In diesem Dokument wird auf zwei Methoden eingegangen, die für die PD-Produkte von GlobTek standardmäßig angewendet werden und das Risiko verringern, das mit dem unbeabsichtigten Anschluss einer unzulässigen USB-PD-Stromquelle an ein Hostsystem einhergeht. Bitte wenden Sie sich an GlobTek, um eine für Ihre Bedürfnisse spezifische Lösung zu erhalten.

Methode 1 (vom Standard abweichende Spannungen)

Eine USB-PD-Quelle kann in der Regel abhängig von den Anforderungen des Host-Systems Ausgangsspannungen in einem bestimmten Bereich liefern. Die USB PD 3.0-Spezifikation definiert vier „normative“ Spannungen: 5 V, 9 V, 15 V und 20 V. Die meisten Systeme, die USB PD verwenden, sind für den Betrieb mit einer oder mehreren dieser Spannungen ausgelegt, um maximale Flexibilität hinsichtlich der Stromquelle zu gewährleisten.

Ein USB-PD-System kann jedoch auch für vom Standard abweichende Spannungen ausgelegt werden, d. h. für Spannungen, die nicht Teil der oben definierten „normativen“ Spannungen sind. Bei GlobTeks PD-Stromquellen werden standardmäßig immer 5 V am USB-Anschluss angelegt. Um höhere Spannungen/Leistungen zu „verhandeln“, muss das Host-System ein neues Leistungsdatenobjekt (PDO) von der Quelle anfordern. Abbildung 1 zeigt eine vereinfachte USB-PD-Verhandlungssequenz für ein klassisches USB-PD-System.


Fig.1

Abbildung 1: Verhandlung zur Stromversorgung bei einem klassischen USB-PD-System


 

Sowohl die Stromquelle als auch die Stromsenke erfordern USB PD-kompatibler Controller, um diese Interaktion zu erleichtern. Der PD-Controller der Senke speichert eine Liste akzeptabler PDOs (Power Data Objects) im nichtflüchtigen Speicher. Empfängt die Senke die Informationen zu den Funktionen der Quelle, vergleicht der PD-Controller der Senke seine Liste mit der von der Quelle bereitgestellten PDO-Liste. In der Regel wählt der PD-Controller der Senke die höchste übereinstimmende Leistung zwischen den beiden Listen aus, wie in Abbildung 2 dargestellt.


Fig.2

Abbildung 2: Typische Logik des Controllers einer Senke zur Auswahl des PDOs mit der höchsten Leistung


 

Wenn der PD-Controller der Senke vom Standard abweichende PDOs enthält, wird er nur dann ordnungsgemäß mit diesen PDOs verhandeln, wenn die Quelle auch vom Standard abweichende PDOs enthält, die mit denen der Senke übereinstimmen. Liegt keine Übereinstimmung vor (d. h. eine nicht autorisierte Quelle ist angeschlossen), arbeitet die Quelle standardmäßig mit PDO1, 5V. Siehe Abbildung 3 unten.


Fig.3

Abbildung 3: Logik des Controllers einer Senke, wenn keine Übereinstimmung bei einer höheren Leistung gefunden wird (standardmäßig mit PDO1)


 

Um eine nicht zulässige Stromversorgung vollständig abzulehnen, können Systementwickler die VIN (VType-C) vom VBUS trennen, wenn standardmäßig das 5-V-PDO ausgewählt ist. Viele handelsübliche PD-Controller verfügen über diese Funktionalität. Darüber hinaus kann der Systemdesigner auch in Betracht ziehen, die Erdung des Systems von der Masse zu trennen, die vom Controller der USB-PD-Senke verwendet wird, um für eine weitere Isolierung von der Stromquelle zu sorgen.

Der GTM96605-GEN2 von GlobTek kommt für diese Verwendung mit einem 15,1-V-Leistungsprofil. Andere vom Standard abweichende Spannungen sind auf Anfrage erhältlich.

Vorteile:

  • Einfache Implementierung mit einem handelsüblichen Controller einer USB-PD-Senke

  • Verhindert, dass die überwiegende Mehrheit der USB-PD-Stromquellen für Endverbraucher funktioniert

Nachteile:

  • Es ist möglich, dass eine nicht zulässige Quelle ein übereinstimmendes PDO enthält, das vom Standard abweicht.

  • Werden Standard-PDOs durch vom Standard abweichende PDOs ersetzt, ist das Netzteil möglicherweise nicht vollständig mit normalen USB-PD-Geräten (Tablets, Smartphones usw.) kompatibel.

Methode 2 (Vendor Defined Messages)

Die Kommunikation zwischen zwei USB-PD-Geräten wird über die CC-Leitung erleichtert. Ein USB-PD-Controller muss zumindest die Basisfunktionen unterstützen, die das Aushandeln des Leistungsprofils ermöglichen. Die USB-PD-Spezifikation ermöglicht es Geräten jedoch auch, Nachrichten zu senden und zu empfangen, die außerhalb des Bereichs der „normalen“ USB-PD-Kommunikation liegen. Diese Nachrichten werden als Vendor Defined Messages (VDMs) bezeichnet.

Im Fall der „Authentifizierung“ einer Stromquelle können VDMs verwendet werden, um zusätzliche Produktinformationen von der Quelle anzufordern und zu überprüfen, ob diese echt sind oder nicht. Es gibt verschiedene Möglichkeiten, eine auf VDMs basierende Lösung zu implementieren. Eine Methode wird unten in Abbildung 4 vorgeschlagen.


Fig.4

Abbildung 4: Vorgeschlagene Methode zum Implementieren von Vendor Defined Messages (VDM) für die Authentifizierung einer Quelle


 

Die Implementierung einer auf VDMs basierenden Lösung erfordert eine Logik, die in handelsüblichen USB-PD-Controllern normalerweise nicht verfügbar ist. In diesem Fall kann die USB-PD-Schnittstelle auf einem Mikrocontroller implementiert werden. Einige Hersteller (STMicroelectronics, Cypress und andere) bieten neben einem geeigneten Firmware-Stack auch Mikrocontroller mit integrierter USB-PD-Funktionalität an, um die Entwicklung zu optimieren. Die Standard-Firmware kann wie oben gezeigt geändert werden, um eine benutzerdefinierte Logik zu implementieren.

Der GTM96605-GEN2 von GlobTek antwortet auf eine VDM Discover Identity-Anfrage mit 0x4754 im Feld der Produkt-ID. (Dieser Wert entspricht „GT“ im ASCII-Code.)

Hinweis: Beim VDM-Ansatz werden keine sicheren/verschlüsselten Schlüssel verwendet.

Vorteile:

  • Ermöglicht die Verwendung beliebiger Spannungen, einschließlich normativer Spannungen wie 5 V, 9 V, 15 V und 20 V und ermöglicht die gleichzeitige Kompatibilität mit herkömmlichen USB-PD-Geräten

  • Bietet in Verbindung mit vom Standard abweichenden Spannungen ein zusätzliches Maß an Risikominderung

  • Für Fälscher potenziell schwieriger zu umgehen, was den Umsatz mit Ersatzteilen erhöht

Nachteile:

  • Schwieriger zu implementieren, erfordert einen Mikrocontroller und eine individuelle Firmware

Abschließende Worte

Es ist wichtig zu beachten, dass die Implementierung der oben genannten Methoden kein sicheres medizinisches (oder anderes) System garantiert. Ein Systementwickler sollte sorgfältig darauf achten, das mit der Verwendung von USB PD für sein Produkt verbundene Risiko zu bewerten. Es ist schwierig, ein Produkt vollständig vor einer Stromquelle zu schützen, die auf katastrophale Weise misslungen ist. Systementwickler sollten auch berücksichtigen, wie die Stromversorgung über den USB-C-Anschluss an die internen Systemschaltungen angelegt und/oder von diesen getrennt wird. Das Herstellen/Unterbrechen von positiven und negativen Verbindungen (wie bei einem DPST-Schalter) kann zu einer besseren Isolation führen. Alle Möglichkeiten sollten im Risikomanagementplan des Produkts berücksichtigt werden.

 

Information anfordern