Guten Mittag alle miteinand, ich beschäftige mich gerade damit, Schaltungen so gestalten, dass die Auswirkungen im Fehlerfall möglichst definiert sind bzw. ein defektes Bauteil keine falschen Schaltzustände an den Ausgängen herbeiführt. Dann soll lieber einfach garnichts passieren... In Sachen Redundanz kann man das Spiel ja ewig weit treiben, aber gegen Ende der Signalkette werden die Möglichkeiten natürlich immer dünner. Konkret geht es mir darum, Mosfets abzusichern, die diese ja die Schnittstelle mit der Umwelt bilden und daher eher gefährdet sind, als der Logikteil der Platine. Wenn die Mosfets kaputt sind, werden sie in der Regel leitend. Das möchte ich gern verhindern. Die einfachste Möglichkeit, hier etwas Sicherheit zu bekommen, wären zwei Mosfets in Reihe. Kennt jemand noch andere Möglichkeiten? Freue mich über Anregungen :D
Fabi schrieb: > Die einfachste Möglichkeit, hier etwas Sicherheit zu bekommen, wären > zwei Mosfets in Reihe. Einfach .... Na dann schalte mal den oberen, floatenden Fet unabhängig davon ob der untere die Grätsche gemacht hat oder nicht. Mehr Bauteile = mehr Fehlerquellen, streng nach MTBF Berechnung .... Natürlich Funktionsüberwachung beider Mosfets + Signalisierung nach aussen, sonst kann einer von beiden still und leise sterben ohne das es bis zum großen Knall auffällt. Dieses Spiel kannst du bis zum Erbrechen treiben, solange bis Du ein monströses Bauteilgrab hast das so voll gestopft mit Redundanz und Überwachung ist, das es permanent in irgendwelchen angenommenen Fehlerzuständen verharrt und darüber hinaus groß, ineffizient und teuer ist. Sauberes Design, große Sicherheiten in der Dimensionierung und wenn Leib und Leben davon abhängt redundante Systeme aufbauen. Redundanz auf Bauteilebende ist der falsche Weg. Fabi schrieb: > Wenn die Mosfets kaputt sind, werden sie in der Regel leitend. Oder sie schlagen zum Gate durch und braten die Treiber oder ein bonddraht reisst ab und sie werden hochohmig oder es geht eines der anderen 2753 Bauteile kaputt (immer drei Fälle betrachten: hochohmig, leitend, werteveränderung) und Deine ganze schöne Theorie ist zum Teufel und trotz dieses brachialaufwandes hast Du keine Redundanz.
Fabi schrieb: > Kennt jemand noch andere Möglichkeiten? Sicherung zwischen Spannungsquelle und Schaltung. Bei erkannter Fehlfunktion, mit einem (fetten) Thyristor die Spannungsquelle kurzschließen. Tut mir dann auch leid, um die Sicherung ..... Aber ein bisschen Verlust ist immer.
Weshalb sollte der Mosfet durchschlagen, resp kaputt gehen ? -zB Ueberspannung der Speisung -zB Fehlbedienung -zB Stecker vertauschen -zB Last geht auf Kurzschluss Was kann man dagegen(!) tun ? Wie kann so ein Fehler vermieden werden ? -zB Speisung so designen, dass keine Ueberspannung kommt -zB Bedienung so gestalten, dass keine Fehlbedienung mehr auftritt -zB polarisierte Stecker verwenden -zB Design enthaelt kurzschlusssicherheit. Es bringt nichts zuerst gegen etwas sicher zu sein, das am Wenigsten wahrscheinlich eintritt. Vielleicht am Schluss dann, nachdem alles andere beruecksichtigt wurde.
Vielen Dank schonmal für eure Anregungen und Ideen. Ich werde mir mal meine Gedanken zu euren Anmerkungen machen. Der konkrete Anwendungsfall, der mich überhaupt erst auf dieses Thema gebracht hat, ist ein automatisches Fütterungssystem. Die Tiere haben ein RFID Tag am Ohr und bekommen Ihre tägliche Ration Futter automatisch. Die Klappen, aus denen das Futter fällt, haben einen magnetischen Riegel mit einem Federmechanismus. Liegt Spannung an, so öffnet sich die Klappe und das Futter fällt heraus. Trennt man die Spannung, so zieht die Feder die Klappe wieder zurück. Es hängen also keine Menschenleben davon ab ;) Aber dennoch: Das System wird im Außenbereich verwendet. Luftfeuchte, Hitze, Kälte, Staub... Die Platinen sind beschichtet, was schonmal langlebiger ist, als die erste Version, die wir gebaut haben. Die Mosfets schalten 24V und ca. 2A pro Magnetschieber, wobei das System theoretisch um beliebig viele Futterstellen erweiterbar ist. Die Stromversorgung muss dann ggf. der Anzahl der Futterstellen angepasst werden. Bisher gab es auch noch keine Probleme, aber ich würde gern das Risiko minimieren, dass sich irgendwann mal eine Klappe öffnet, weil ein Mosfet kaputt ist. Das wäre schlecht für die Tiere und schlecht für unseren Futterplan ;) Dann kennt ihr schonmal den Hintergrund des Vorhabens. Mein bisheriger Gedanke war, zwei Mosfets in Reihe zu schalten und dann jeweils den Schaltzustand zu überwachen. Der uC weiß ja, wann der Mosfet schalten sollte. Wird an einem der beiden FETs Durchgang detektiert, ohne dass der uC diesen freigegeben hat, würde eine Fehlermeldung zum Steuerrechner geschickt und man könnte sich gelegentlich um die Reparatur kümmern... Aber viel wichtiger ist eben, dass nicht gleich das ganze Futter ausgekippt wird ;)
Fabi schrieb: > Aber viel wichtiger ist eben, dass nicht gleich das ganze Futter > ausgekippt wird ;) Das kannst du auch mechanisch verhindern, indem eine Auslösung nur eine dosierte Menge freigibt. Z.B. mit zwei gegenläufigen Klappen, wenn unten zu ist füllt sich der Zwischenraum und wenn Futter ausgegeben wird ist der Weg zum Silo geschlossen. Das macht es für die Steuerung auch einfacher, wenn man weiß dass eine Auslösung x Gramm Futter entspricht.
Fabi schrieb: > Wenn die Mosfets kaputt sind, werden sie in der Regel leitend. Das > möchte ich gern verhindern. > Die einfachste Möglichkeit, hier etwas Sicherheit zu bekommen, wären > zwei Mosfets in Reihe. > Kennt jemand noch andere Möglichkeiten? Wähle geeignete Bauteile. Die Automobilindustrie hat hier ein starkes Interesse an Bauteilen die allerhand Unfug aushalten. Inkl Kurzschlüsse nach Masse, Versorgung, Überspannung. Infineon baut Diverses. ON semi auch. Z.b. bts6133 um auch Mal konkret zu werden.
Ich denke, es ist bei deinem Fall wahrscheinlicher, dass sich der Steuerrechner aufhängt oder die Klappe mechanisch klemmt als das dir ein Mosfet durchlegiert. Aber die Smart Switch die Karl erwähnt hat, könntest du dir wirklich mal ansehen. Ich habe mal versucht, einen absichtlich kaputt zu machen (zwischen + und - einer Bleibatterie, dürften kurzfristig 100A geflossen sein ) aber es nicht geschafft.
Hey Ho, lieben Dank für eure Ideen. Da ist schon einiges dabei. Ich tüftle gerade an dem Vorschlag von VKA. Das ganze mechanisch zweistufig zu gestalten ist eine gute Idee. Es wird der Sensor für die Futtermenge wegminimiert und die beiden Stufen für die Futterausgabe geben schonmal mehr Sicherheit. Die Smart Switches schaue ich mir auch mal an. Wünsche einen schönen Abend
Viele Fehler sind mechanischer Natur (klemmen, Resonanz, Rost usw., od. oft auch Netzteile oder Hitze durch Verschmutzung. Daher wäre eine Kontrolle durch Rückmeldung ob Klappe auf oder zu ist, nützlicher als 2 MOSFETs hintereinander, die den gleichen Tod sterben.
Mechanische Bauteile sind üblicherweise nicht digital, so daß zwischen "geht" und "geht nicht" ein "geht so lala" ist, was man detektieren kann. Etwa, wenn die Anlage versifft und die Klappen schwerer gehen, dann sollten sie länger brauchen, um ihre Position zu wechseln. Da kann man Grenzwerte definieren, ab denen die Anlage warnt, daß sie mal nen Techniker braucht, aber bis dahin funktioniert sie noch. Sinn der Sache ist, daß man möglichst wenig ungeplante Ausfälle hat.
Nur mal so Interessehalber: Was passiert denn wenn die zusätzliche Failsafe Schaltung kaputt geht? Kann man die mit einer Failsafe Schaltung absichern? ;-)
Norbert schrieb: > Was passiert denn wenn die zusätzliche Failsafe Schaltung kaputt geht? > Kann man die mit einer Failsafe Schaltung absichern? ;-) Wenn Du einen höheren SIL-Level erreichen möchtest, musst Du dieses Problem lösen. Unter den Stichworten Einfachfehlersicherheit, bzw. Zweifachfehlersicherheit, könnte einiges dazu zu finden sein.
oooo schrieb: > Norbert schrieb: >> Was passiert denn wenn die zusätzliche Failsafe Schaltung kaputt geht? >> Kann man die mit einer Failsafe Schaltung absichern? ;-) > > Wenn Du einen höheren SIL-Level erreichen möchtest, musst Du dieses > Problem lösen. > Unter den Stichworten Einfachfehlersicherheit, bzw. > Zweifachfehlersicherheit, könnte einiges dazu zu finden sein. Das Grinsesymbol sollte darauf hindeuten das man, um Rekursion zu erklären, erst einmal Rekursion erklären muss.
Kannst Du nicht unten an der Klappe einen Endschalter oder Taster anbringen als zusätzliches Status Flag? Wenn Klappe geöffnet länger als n Minunten dann sende SMS an ... Wenn Auslösesignal anliegt aber Taster schaltet nicht durch sende SMS an ... Den Taster könntest Du mit einem separaten Controller realisieren, so dass die zweite Steuerung nur das Auslösesignal und den Endschalter überwacht. Quasi eine gegenseitige Überwachung.
Philipp G. schrieb: > Den Taster könntest Du mit einem separaten Controller realisieren, so > dass die zweite Steuerung nur das Auslösesignal und den Endschalter > überwacht. Quasi eine gegenseitige Überwachung. Das ist zwar eine Gute Idee, geht aber an der Idee von Failsafe vorbei. Es geht nicht darum, einen Fehlerfall festzustellen, sondern in einem Fehlerfall einen "sicheren" Zustand anzunehmen.
Das ist schon richtig so, Fehler erkannt, dann schalte ab. Z.B. Durch ein Ventil was dann zu macht.
Stell dir einen Magneten vor der ein Gewicht halten muß im Betrieb. Abgeschaltet, dann fällt das Gewicht herunter....
Das ist schon richtig so, Fehler erkannt, dann schalte ab. Z.B. Durch ein Ventil was dann zu macht. Oder eine Totmannschaltung
Fabi schrieb: > Die Mosfets schalten 24V und ca. 2A pro Magnetschieber, wobei das System > theoretisch um beliebig viele Futterstellen erweiterbar ist. Die > Stromversorgung muss dann ggf. der Anzahl der Futterstellen angepasst > werden. > > Bisher gab es auch noch keine Probleme, aber ich würde gern das Risiko > minimieren, dass sich irgendwann mal eine Klappe öffnet, weil ein Mosfet > kaputt ist. Das wäre schlecht für die Tiere und schlecht für unseren > Futterplan ;) Nimm Infineon BTT6100-2EKA . Dual 24V Highside, mit Überwachung strom, Logik, rücklesbare Stromentnahme, Fehlfunktionsrückmeldung, etc. Bis 50V Überspannungsfest. Ehrlich, wenn Du einmal sowas ausprobiert hast, willst du das nicht mehr aus diskreten Bauteilen aufbauen. Gibt es auch als single und quad Schalterversion.
Ich bevorzuge ja mechanische Eigensicherheit. Beispielsweise würde ich die Dosierung mit einer Förderschnecke umsetzen. Wenn diese von einem Brushless-DC angetrieben wird, geht ohne Drehfeld am Motor garnix. BLDC inkl. Steuerelektronik und Planetenradgetriebe gibts mittlerweile als Set zu kaufen ;-) --> Akkuschrauber ausschlachten. Hängende Software (mit Watchdog auch beherrschbar) ist dann das größte Problem. Ausserdem ist eine solche Anordnung sehr Wartungsarm. Ich denke im Regelbetrieb muss der Automat öfter mal gereinigt werden, dann kann man auch gleich sichtprüfen und abschmieren. Der Umgekehrte Fall (kein Futter) ist schwerer zu verhindern, wohl aber zu detektieren und zu signalisieren. Dann muss eben manuell gefüttert werden.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.