Hallo! Ich suche für eine sicherheitsrelevante Anwendung (SIL2 Zulassung) eine Schaltung, bei der der Watchdog nicht nur den Controller resetet, sondern auch gleich mehrere Ausgangsrelais mit abschaltet. Hat jemand schonmal Erfahrungen damit gesammelt? Im vorraus vielen Dank für die Mühe und das tolle Forum. Michael
Dann brauchst Du einen ganz normalen Watchdog an dessen Ausgang Du die Relaises anschließt. Wo ist das Problem? An den internen Watchdog eines AVR Mikrocontrollers kannst Du jedenfalls nichts anschließen, da sein Ausgang nicht herausgeführt ist.
Stefan schrieb: > Dann brauchst Du einen ganz normalen Watchdog Sicherheitsrelevane Watchdogs haben üblicherweise ein Zeitfenster innerhalb der die Antwort der CPU erfolgen muß (windowed watchdog). In kritischen Systemen wird die Antwort an den Watchdog über kryptografische Verfahren über alle sicherheitsrelevanten Softwareabschnitte berechnet. (challenge response Prinzip). http://de.wikipedia.org/wiki/Watchdog Man braucht u.U. auch spezielle Endstufen die selbst dann abschalten wenn der defekte Spannungsregler für die CPU die volle Eingangsspannung von z.B. 24 V auf die Prozessorversorgung (oder den Watchdog) gibt. Gruß Anja
Hallo, eine ziemlich einfache Möglichkeit ist die dynamische Ansteuerung der Relais: sie werden nicht per Gleichspannung eingeschaltet, sondern mit einer Impulsfolge, die der Prozessor erzeugt. Diese wird gleichgerichtet und als Steuerspannung verwendet, bleibt der Prozessor stehen oder fällt in eine Schleife, fällt das Relais ab in den sicheren Zustand. Die Sicherheit ist ziemlich hoch, da jedes Relais sozusagen seinen eigenen Watchdog hat. Man muss das natürlich mit der Zulassungsbehörde abklären. Gruss Reinhard
Hallo Reinhard, das hört sich interessant an. Werd mich da mal schlau machen. Danke für den Tip. Gruß Michael
> sondern mit einer Impulsfolge, die der Prozessor erzeugt
Die Erzeugung der Impulse wird an wichtigen Stellen in der Software
angeordnet, z.B. am ende von sicherheitsrelevanten Funktionen. Damit
stellt man sicher, daß diese Funktion regelmäßig bis zum Ende ausgeführt
wird.
Michael_ schrieb: > Werd mich da mal schlau machen. Klarifizierung: der wesentliche Trick ist die Auskopplung über einen Kondensator, so dass kein Signal mehr übertragen wird, wenn der Ausgang konstant Lo oder Hi ist (das ist noch echtes Low Tech). Ansonsten wie Bernd schreibt, z.B. setzt man den Ausgang im Hauptprogramm auf Hi und im Time Interrupt auf Lo, dann ist schon mal gewährleistet, dass beides ausgeführt wird. Alles kann man nicht überwachen, aber das kann ein Watchdog ja ebensowenig. Gruss Reinhard
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.