mikrocontroller.net

Forum: Mikrocontroller und Digitale Elektronik "sichere/Failsafe" Schaltungen


Announcement: there is an English version of this forum on EmbDev.net. Posts you create there will be displayed on Mikrocontroller.net and EmbDev.net.
Autor: Fabi (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Guten Mittag alle miteinand,

ich beschäftige mich gerade damit, Schaltungen so gestalten, dass die 
Auswirkungen im Fehlerfall möglichst definiert sind bzw. ein defektes 
Bauteil keine falschen Schaltzustände an den Ausgängen herbeiführt. Dann 
soll lieber einfach garnichts passieren...

In Sachen Redundanz kann man das Spiel ja ewig weit treiben, aber gegen 
Ende der Signalkette werden die Möglichkeiten natürlich immer dünner.


Konkret geht es mir darum, Mosfets abzusichern, die diese ja die 
Schnittstelle mit der Umwelt bilden und daher eher gefährdet sind, als 
der Logikteil der Platine.

Wenn die Mosfets kaputt sind, werden sie in der Regel leitend.
Das möchte ich gern verhindern.
Die einfachste Möglichkeit, hier etwas Sicherheit zu bekommen, wären 
zwei Mosfets in Reihe.

Kennt jemand noch andere Möglichkeiten?

Freue mich über Anregungen :D

Autor: Wolfgang (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Fabi schrieb:
> Kennt jemand noch andere Möglichkeiten?

Klar - kommt immer auf die Signale an.

Autor: oooo (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Welches SIL-Level möchtest Du erreichen?

Autor: Knölke (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Fabi schrieb:
> Die einfachste Möglichkeit, hier etwas Sicherheit zu bekommen, wären
> zwei Mosfets in Reihe.

Einfach ....
Na dann schalte mal den oberen, floatenden Fet unabhängig davon ob der 
untere die Grätsche gemacht hat oder nicht.
Mehr Bauteile = mehr Fehlerquellen, streng nach MTBF Berechnung ....
Natürlich Funktionsüberwachung beider Mosfets + Signalisierung nach 
aussen, sonst kann einer von beiden still und leise sterben ohne das es 
bis zum großen Knall auffällt.
Dieses Spiel kannst du bis zum Erbrechen treiben, solange bis Du ein 
monströses Bauteilgrab hast das so voll gestopft mit Redundanz und 
Überwachung ist, das es permanent in irgendwelchen angenommenen 
Fehlerzuständen verharrt und darüber hinaus groß, ineffizient und teuer 
ist.

Sauberes Design, große Sicherheiten in der Dimensionierung und wenn Leib 
und Leben davon abhängt redundante Systeme aufbauen.
Redundanz auf Bauteilebende ist der falsche Weg.

Fabi schrieb:
> Wenn die Mosfets kaputt sind, werden sie in der Regel leitend.
Oder sie schlagen zum Gate durch und braten die Treiber oder ein 
bonddraht reisst ab und sie werden hochohmig oder es geht eines der 
anderen 2753 Bauteile kaputt (immer drei Fälle betrachten: hochohmig, 
leitend, werteveränderung) und Deine ganze schöne Theorie ist zum Teufel 
und trotz dieses brachialaufwandes hast Du keine Redundanz.

Autor: Arduino Fanboy D. (ufuf)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Fabi schrieb:
> Kennt jemand noch andere Möglichkeiten?

Sicherung zwischen Spannungsquelle und Schaltung.

Bei erkannter Fehlfunktion, mit einem (fetten) Thyristor die 
Spannungsquelle kurzschließen.

Tut mir dann auch leid, um die Sicherung .....
Aber ein bisschen Verlust ist immer.

Autor: Joggel E. (jetztnicht)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Weshalb sollte der Mosfet durchschlagen, resp kaputt gehen ?
-zB Ueberspannung der Speisung
-zB Fehlbedienung
-zB Stecker vertauschen
-zB Last geht auf Kurzschluss

Was kann man dagegen(!) tun ?
Wie kann so ein Fehler vermieden werden ?

-zB Speisung so designen, dass keine Ueberspannung kommt
-zB Bedienung so gestalten, dass keine Fehlbedienung mehr auftritt
-zB polarisierte Stecker verwenden
-zB Design enthaelt kurzschlusssicherheit.

Es bringt nichts zuerst gegen etwas sicher zu sein, das am Wenigsten 
wahrscheinlich eintritt. Vielleicht am Schluss dann, nachdem alles 
andere beruecksichtigt wurde.

Autor: Fabi (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Vielen Dank schonmal für eure Anregungen und Ideen.

Ich werde mir mal meine Gedanken zu euren Anmerkungen machen.

Der konkrete Anwendungsfall, der mich überhaupt erst auf dieses Thema 
gebracht hat, ist ein automatisches Fütterungssystem.

Die Tiere haben ein RFID Tag am Ohr und bekommen Ihre tägliche Ration 
Futter automatisch. Die Klappen, aus denen das Futter fällt, haben einen 
magnetischen Riegel mit einem Federmechanismus.
Liegt Spannung an, so öffnet sich die Klappe und das Futter fällt 
heraus.
Trennt man die Spannung, so zieht die Feder die Klappe wieder zurück.

Es hängen also keine Menschenleben davon ab ;)

Aber dennoch: Das System wird im Außenbereich verwendet. Luftfeuchte, 
Hitze, Kälte, Staub...
Die Platinen sind beschichtet, was schonmal langlebiger ist, als die 
erste Version, die wir gebaut haben.

Die Mosfets schalten 24V und ca. 2A pro Magnetschieber, wobei das System 
theoretisch um beliebig viele Futterstellen erweiterbar ist. Die 
Stromversorgung muss dann ggf. der Anzahl der Futterstellen angepasst 
werden.

Bisher gab es auch noch keine Probleme, aber ich würde gern das Risiko 
minimieren, dass sich irgendwann mal eine Klappe öffnet, weil ein Mosfet 
kaputt ist. Das wäre schlecht für die Tiere und schlecht für unseren 
Futterplan ;)

Dann kennt ihr schonmal den Hintergrund des Vorhabens.

Mein bisheriger Gedanke war, zwei Mosfets in Reihe zu schalten und dann 
jeweils den Schaltzustand zu überwachen.
Der uC weiß ja, wann der Mosfet schalten sollte. Wird an einem der 
beiden FETs Durchgang detektiert, ohne dass der uC diesen freigegeben 
hat, würde eine Fehlermeldung zum Steuerrechner geschickt und man könnte 
sich gelegentlich um die Reparatur kümmern...
Aber viel wichtiger ist eben, dass nicht gleich das ganze Futter 
ausgekippt wird ;)

Autor: Vka (Gast)
Datum:

Bewertung
2 lesenswert
nicht lesenswert
Fabi schrieb:
> Aber viel wichtiger ist eben, dass nicht gleich das ganze Futter
> ausgekippt wird ;)

Das kannst du auch mechanisch verhindern, indem eine Auslösung nur eine 
dosierte Menge freigibt.
Z.B. mit zwei gegenläufigen Klappen, wenn unten zu ist füllt sich der 
Zwischenraum und wenn Futter ausgegeben wird ist der Weg zum Silo 
geschlossen.
Das macht es für die Steuerung auch einfacher, wenn man weiß dass eine 
Auslösung x Gramm Futter entspricht.

Autor: Karl (Gast)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Fabi schrieb:
> Wenn die Mosfets kaputt sind, werden sie in der Regel leitend. Das
> möchte ich gern verhindern.
> Die einfachste Möglichkeit, hier etwas Sicherheit zu bekommen, wären
> zwei Mosfets in Reihe.
> Kennt jemand noch andere Möglichkeiten?

Wähle geeignete Bauteile. Die Automobilindustrie hat hier ein starkes 
Interesse an Bauteilen die allerhand Unfug aushalten. Inkl Kurzschlüsse 
nach Masse, Versorgung, Überspannung. Infineon baut Diverses. ON semi 
auch.
Z.b. bts6133 um auch Mal konkret zu werden.

Autor: Roland P. (pram)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Ich denke, es ist bei deinem Fall wahrscheinlicher, dass sich der 
Steuerrechner aufhängt oder die Klappe mechanisch klemmt als das dir ein 
Mosfet durchlegiert.

Aber die Smart Switch die Karl erwähnt hat, könntest du dir wirklich mal 
ansehen. Ich habe mal versucht, einen absichtlich kaputt zu machen 
(zwischen + und - einer Bleibatterie, dürften kurzfristig 100A geflossen 
sein ) aber es nicht geschafft.

Autor: Fabi (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Hey Ho,

lieben Dank für eure Ideen.
Da ist schon einiges dabei.

Ich tüftle gerade an dem Vorschlag von VKA. Das ganze mechanisch 
zweistufig zu gestalten ist eine gute Idee. Es wird der Sensor für die 
Futtermenge wegminimiert und die beiden Stufen für die Futterausgabe 
geben schonmal mehr Sicherheit.

Die Smart Switches schaue ich mir auch mal an.

Wünsche einen schönen Abend

Autor: oszi40 (Gast)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Viele Fehler sind mechanischer Natur (klemmen, Resonanz, Rost usw., od. 
oft auch Netzteile oder Hitze durch Verschmutzung. Daher wäre eine 
Kontrolle durch Rückmeldung ob Klappe auf oder zu ist, nützlicher als 2 
MOSFETs hintereinander, die den gleichen Tod sterben.

Autor: Nop (Gast)
Datum:

Bewertung
2 lesenswert
nicht lesenswert
Mechanische Bauteile sind üblicherweise nicht digital, so daß zwischen 
"geht" und "geht nicht" ein "geht so lala" ist, was man detektieren 
kann.

Etwa, wenn die Anlage versifft und die Klappen schwerer gehen, dann 
sollten sie länger brauchen, um ihre Position zu wechseln. Da kann man 
Grenzwerte definieren, ab denen die Anlage warnt, daß sie mal nen 
Techniker braucht, aber bis dahin funktioniert sie noch. Sinn der Sache 
ist, daß man möglichst wenig ungeplante Ausfälle hat.

Autor: Norbert (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Nur mal so Interessehalber:
Was passiert denn wenn die zusätzliche Failsafe Schaltung kaputt geht?
Kann man die mit einer Failsafe Schaltung absichern? ;-)

Autor: oooo (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Norbert schrieb:
> Was passiert denn wenn die zusätzliche Failsafe Schaltung kaputt geht?
> Kann man die mit einer Failsafe Schaltung absichern? ;-)

Wenn Du einen höheren SIL-Level erreichen möchtest, musst Du dieses 
Problem lösen.
Unter den Stichworten Einfachfehlersicherheit, bzw. 
Zweifachfehlersicherheit, könnte einiges dazu zu finden sein.

Autor: Norbert (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
oooo schrieb:
> Norbert schrieb:
>> Was passiert denn wenn die zusätzliche Failsafe Schaltung kaputt geht?
>> Kann man die mit einer Failsafe Schaltung absichern? ;-)
>
> Wenn Du einen höheren SIL-Level erreichen möchtest, musst Du dieses
> Problem lösen.
> Unter den Stichworten Einfachfehlersicherheit, bzw.
> Zweifachfehlersicherheit, könnte einiges dazu zu finden sein.

Das Grinsesymbol sollte darauf hindeuten das man, um Rekursion zu 
erklären, erst einmal Rekursion erklären muss.

Autor: Philipp G. (geiserp01)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Kannst Du nicht unten an der Klappe einen Endschalter oder Taster 
anbringen als zusätzliches Status Flag?

Wenn Klappe geöffnet länger als n Minunten dann sende SMS an ...

Wenn Auslösesignal anliegt aber Taster schaltet nicht durch sende SMS an 
...

Den Taster könntest Du mit einem separaten Controller realisieren, so 
dass die zweite Steuerung nur das Auslösesignal und den Endschalter 
überwacht. Quasi eine gegenseitige Überwachung.

Autor: Holzbaum (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Philipp G. schrieb:
> Den Taster könntest Du mit einem separaten Controller realisieren, so
> dass die zweite Steuerung nur das Auslösesignal und den Endschalter
> überwacht. Quasi eine gegenseitige Überwachung.

Das ist zwar eine Gute Idee, geht aber an der Idee von Failsafe vorbei. 
Es geht nicht darum, einen Fehlerfall festzustellen, sondern in einem 
Fehlerfall einen "sicheren" Zustand anzunehmen.

Autor: Wieso? (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Das ist schon richtig so, Fehler erkannt, dann schalte ab.

Z.B. Durch ein Ventil was dann zu macht.

Autor: Wieso? (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Stell dir einen Magneten vor der ein Gewicht halten muß im Betrieb. 
Abgeschaltet, dann fällt das Gewicht herunter....

Autor: Wieso? (Gast)
Datum:

Bewertung
-1 lesenswert
nicht lesenswert
Das ist schon richtig so, Fehler erkannt, dann schalte ab.

Z.B. Durch ein Ventil was dann zu macht.

Oder eine Totmannschaltung

Autor: Andrew T. (marsufant)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Fabi schrieb:
> Die Mosfets schalten 24V und ca. 2A pro Magnetschieber, wobei das System
> theoretisch um beliebig viele Futterstellen erweiterbar ist. Die
> Stromversorgung muss dann ggf. der Anzahl der Futterstellen angepasst
> werden.
>
> Bisher gab es auch noch keine Probleme, aber ich würde gern das Risiko
> minimieren, dass sich irgendwann mal eine Klappe öffnet, weil ein Mosfet
> kaputt ist. Das wäre schlecht für die Tiere und schlecht für unseren
> Futterplan ;)

Nimm Infineon BTT6100-2EKA . Dual 24V Highside, mit Überwachung strom, 
Logik, rücklesbare Stromentnahme, Fehlfunktionsrückmeldung, etc. Bis 50V 
Überspannungsfest.

Ehrlich, wenn Du einmal sowas ausprobiert hast, willst du das nicht mehr 
aus diskreten Bauteilen aufbauen.

Gibt es auch als single und quad Schalterversion.

Autor: Wieso? (Gast)
Datum:

Bewertung
-1 lesenswert
nicht lesenswert
Dein Vorschlag kann kein Failsafe sein per Definition.

Autor: Minimalist (Gast)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Ich bevorzuge ja mechanische Eigensicherheit. Beispielsweise würde ich 
die Dosierung mit einer Förderschnecke umsetzen. Wenn diese von einem 
Brushless-DC angetrieben wird, geht ohne Drehfeld am Motor garnix. BLDC 
inkl. Steuerelektronik und Planetenradgetriebe  gibts mittlerweile als 
Set zu kaufen ;-) --> Akkuschrauber ausschlachten.
Hängende Software (mit Watchdog auch beherrschbar) ist dann das größte 
Problem.

Ausserdem ist eine solche Anordnung sehr Wartungsarm. Ich denke im 
Regelbetrieb muss der Automat öfter mal gereinigt werden, dann kann man 
auch gleich sichtprüfen und abschmieren.

Der Umgekehrte Fall (kein Futter) ist schwerer zu verhindern, wohl aber 
zu detektieren und zu signalisieren.
Dann muss eben manuell gefüttert werden.

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [avrasm]AVR-Assembler-Code[/avrasm]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.
Hinweis: der ursprüngliche Beitrag ist mehr als 6 Monate alt.
Bitte hier nur auf die ursprüngliche Frage antworten,
für neue Fragen einen neuen Beitrag erstellen.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.