Hallo Forum, ich weiß, "Hausaufgaben" gehören eigentlich nicht in ein Forum, aber ich hatte die Hoffnung, dass mir vielleicht jemand einen Anstoß geben kann. Also, wir entwickeln im E-Technik Unterricht nach und nach eine Steuerung für ein Flugzeug. Das ist natürlich quatsch und nur ein hinphantasierter Anwendungsfall, aber so soll man scheinbar einen besseren Bezug dazu bekommen. Naja, jedenfalls gibt es einen Schaltungsteil (Die Fahrwerkssteuerung), bei der an einem Schieberegister 8 N-Channel Mosfets (IRLZ44N) hängen, die jeweils einen 24V Stromkreis schließen sollen. Hier sollen wir uns nun Gedanken machen, wie man der Schaltung zusätzliche Sicherheit beibringen kann. Einen Punkt, den ich mir bereits aufgeschrieben habe: Festlegung, welche Kombinationen überhaupt erlaubt sind und diese dann (ggf. durch Software) püfen. Gefragt waren aber eigentlich "Sicherheiten", die hardware-seitig zwischen den Ausgängen der Schieberegister und dem Gate der Mosfets implementiert werden können. Tja - und jetzt weiß ich nicht, was hier gemeint sein könnte. Vermutlich geht es darum, "versehentliches" Schalten zu verhindern oder die Auswirkungen von defekten Bauteilen in den Griff zu bekommen. Aber da ist doch sowieso irgendwann ein Single-Point-of-Failure... Man könnte natürlich zwei Schieberegister mit den gleichen Daten versorgen, deren Ausgänge dann ver-UND-en und dann erst den Ausgang des UND-Gliedes zum Gate führen, aber was bringt sowas? Dann wäre halt das UND das kritische Bauteil. Und der Mosfet natürlich auch noch. Daher bin ich vermutlich auf der falschen Fährte. Hat jemand eine Idee, was hier gesucht sein könnte? Freue mich über jeden Gedanken :D Lg, Marcel
marschl schrieb: > aber was bringt sowas? Eine höhere Ausfallquote, da mehr Bauteile. Hier gilt es zu überlegen, ob das System Schwachpunkte hat, die man entschärfen will. Ein Beispiel wäre: Mal angenommen es gibt da einen Motor mit zwei getrennten Anschlüssen für Links- und Rechtslauf (manche Rolladen-Motoren habe das so), dann müsste man sicherstellen, dass niemals beide Richtungen gleichzeitig angesteuert werden. Das kann man mit Logikgattern sicher stellen oder ganz banal mit Relais-Kontakten, wenn ohnehin Relais eingebaut sind:
1 | Relais 1 Relais 2 |
2 | |
3 | 24V o--+-----o o----------------------o Motor links |
4 | | _____ |
5 | +-----o o---------o o--------o Motor rechts |
6 | _____ |
7 | o o |
Hallo Marcel, Wenn eine Hardware durch Software gesteuert wird, geht die größte Gefahr von der Software aus. Sei es durch Programmierfehler, Fehlfunktion oder geziehlten Angriff. Daher baut man für Sicherheitskritische Sachen wie z.B. ein Flugzeugfahrwerk oder einen Fahrstuhl in die Hardware Sicherheitsmechanismen ein um unerlaubte Zustände zu verhindern und die Hardware ggf. in einen sicheren Zustand zu bringen.. Stichwort: gegenseitige Verrieglung Sascha
Hallo ihr, vielen Dank für die Antwort. Das hat mich auf die richtige Spur gebracht. Die beiden Beispiele sind auch super!!! Damit komme ich weiter. 1000 Dank!
Sicherheit und Verfügbarkeit führen meist zu gegensätzlichen Anforderungen. Stumpf alles doppelt auslegen bringt es auch nicht. Bei doppelt so viel Teilen, hast Du auch die doppelte Wahrscheinlichkeit, dass eines ausfällt. Bei zweien weißt Du auch nicht, welchem Du noch trauen kannst. Wenn Du diese Entscheidung einer Schaltung überlässt, steht und fällt alles mit diesem Schaltungsteil. Also beginnt man mit der kniffligen Frage : Was ist der sichere Zustand ? Wenn sich das beantworten lässt, kann man die Schaltung darauf auslegen. Also mal angenommen, ein normal begabter Pilot steht drüber, wenn das Fahrwerk im Flug ausfährt, aber wenn es vor dem Landen nicht ausfährt, ist gleich die Flughafenfeuerwehr gefragt, dann ist klar : Ausgefahren ist der sichere Zustand. Darauf kann man alle Schaltungen so auslegen, dass im Zweifelsfall das Fahrwerk ausgefahren wird. Wenn Du redundante Schaltungsteile hast, musst Du sie unabhängig voneinander testen können. Also vor dem Start, wird geprüft ob Motor 1 und Motor 2 alleine das Fahrwerk ausfahren könnten. Dann wird gehofft, dass auf der anderen Seite des Atlantiks nicht mittlerweile beide das zeitliche gesegnet haben. Wobei der Test aus verständlichen Gründen nicht daraus bestehen kann, das Fahrwerk vor dem Terminal einzuklappen und wieder auszufahren. Aber gammelt einer von 2 Motoren weg, darf das nicht monatelang bis zur nächsten routinemässigen Wartung unentdeckt bleiben, sonst ist der Vorteil der Redundanz dahin. In Deinem Fall bedeutet das, zumindest 8 Mal die Möglichkeit die Spannung hinter den Mosfets zu messen oder besser noch den Laststrom der Mosfets. Du kannst natürlich auch zusätzlich das Schieberegister verbreitern und Prüfbits einfügen, die Du per Gattergrab überwachst. Und da wären wir wieder beim sicheren Zustand : Was tun, wenn ein Fehler erkannt wird : Mosfet ausschalten, Mosfet einschalten oder letzten Zustand beibehalten ? Das können je nachdem, was das Schalten des jeweiligen Mosfets bewirkt unterschiedliche Antworten sein. Eventuell kann die beste Antwort auch noch von weiteren Signalen abhängen.
Oft sieht man eine Überwachung des RCK mit einem Monoflop (74HC123). Fällt SCK aus, kann die CPU abgestürzt sein. Dann schaltet der Monoflop den /OE des SRG (74HC595) ab und alle MOSFETs schalten über einen Pulldown am Gate aus.
Achso einen Trost gibt es : die Fehlertoleranzzeit. Wenn man ein mehr oder weniger mechanisches System steuert, wirkt sich ein Fehler nicht sofort aus. Diese Zeit hat man, um den Fehler zu erkennen und nachzubessern. Im Falle des Fahrwerks wäre es z.B. so, dass Dein Mosfet einen Motor einschaltet, der eine Hydraulikpumpe antreibt, die Öl in einen Zylinder pumpt, welcher das Fahrwerk durch irgendwelche Klappen nach unten drückt. Dieser Motor kann dann mehrere zig Millisekunden laufen, bevor sich am Fahrwerk nennenswert was bewegt. So lange hast Du Zeit, eine fehlerhafte Ansteuerung des Motors zurück zu nehmen, ohne dass Deine Firma deswegen in der Zeitung steht.
fop schrieb: > Also mal angenommen, ein normal begabter Pilot steht drüber, wenn das > Fahrwerk im Flug ausfährt, aber wenn es vor dem Landen nicht ausfährt, > ist gleich die Flughafenfeuerwehr gefragt, dann ist klar : Ausgefahren > ist der sichere Zustand. Ich möchte dein Beispiel nicht zerlegen, es hat die grundsätzliche Betrachtungsweise richtig aufgezeigt. Jedoch als Hinweis: bei Reisegeschwindigkeit dürfte das Ausfahren eines Fahrwerks nicht zum sicheren Zustand gehören.
Ich denke es geht eher um simplere Sachen wie Inrush Strom begrenzen (also R vor das Gate) und eventuell noch einen Pulldown R auf GND
Vielleicht zählt auch ein Schieberegister mit einem zusätzlichem getakteten Register für die Ausgänge schon als Sicherheit.
> und alle MOSFETs schalten über einen > Pulldown am Gate aus. So die Hoffnung(wenn sie noch kein flüssiges Silizium geworden sind)? Ein MOSFET kennt 3 Zustände bis zum Tod: 1.Er schwitzt sehr 2.Er wird flüssig und leitet 3.Er macht den Deckel auf wenn er Lust hat und der Strom reicht!
Man könnte ja den Schaltzustand der Mosfets auch wieder einlesen (sinnvollerweise nach den Mosfets ;) ) und mit dem Sollwert vergleichen. Evtl. noch die Stromaufnahme dazu, dann weiss man, ob Treiber und Motor in Ordnung sind.
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.