Hallo,

wie sicher sind µC - vor allem die AVR's von Atmel ...
Hin und wieder stehe ich vor der Frage z.B. Relais etc. untereinander zu verriegeln damit sie im extremfall nicht beide angesteuert werden können.
Ist das Notwendig ?

Wie sicher sind µC das diese z.B. nicht alle Ausgänge auf H Signal schalten ?

hat es jemand schonmal erlebt das ein µC bei ordentlichen Parametern einfach stirbt ? nach welcher Zeit ?

in einer SPS wie sie auf Schiffen und in Industrieanlagen eingesetzt wird sind doch auch nur µC oder ?


mfG Tobias

Also bei Doppelmayr Seilbahnanlagen wird generell nochmal der Relaisfriedhof hinter der S7/300 verriegelt wenn dies z.B. in Wendepolschaltungen Anwendung findet. Dies geht auf TÜV-Vorschriften zurück, welche bei sicherheitsrelevanten Anlagenteilen grundsätzlich zusätzlich, zur Softwarelösung, eine Hardwarelösung fordert. Dasselbe trifft für Aufzugsanlagen zu !

Wendepolschaltungen und Sicherheitsrelais sind, auch wenn sie über die SPS laufen, immer noch hardwaretechnisch verriegelt. Es gibt allerdings die Simatic S7-400 in der "safety integrated"-Version, bei der es nicht mehr notwendig sein soll. Aber selbst da habe ich eine Verriegelung zwischen den Ausgängen und den Schützspulen schon gesehen...
Immer die Sicherheit bedenken. Wenn jemand verletzt werden könnte oder es gefährliche Schäden geben könnte, dann auf jeden Fall hardwaretechnisch verriegeln!

Gruß Gerd G.

Hab dazu ne lustige Story:

In nem HV-Netzteil habe ich extra einen 555 eingesetzt, damit beim Einschalten nichts passiert, solange bis der MC ordentlich resettet ist.

Und ausgerechnet diese Scheiß CMOS-555 sind gestorben und haben die Hochspannung freigegeben obwohl der Interlockkreis unterbrochen war.

Warum die sterben, konnte ich nicht rauskriegen, sämtliche anderen CMOS-ICs (CD4047, CD4050) und der MC laufen wie dumm.

Jetzt sitzen da die alten bipolar LM555 drin, die halten.

Beim nächsten Redesign fliegen die aber raus, ein 555 kommt mir nicht mehr in eine neue Schaltung.


Peter

Hi,


bei einem reset oder einschalten sind alle Pins auf Ausgang geschaltet, also beim AT89Cx055 bedeutet das HIGH. bei den PICs bedeutet das "floating", also abhängig von der beschaltung.
Damit Relais nicht alle einschalten benutzt man die normalerweise LOW-Aktiv, bei hochohmigen Eingängen benutzt man pullups. Dann schalten die Relais bei einem Reset oder beim einschalten nicht durch.

Aber wenn der µC alleine aus irgend einem blöden Grund plötzlich keine Spannungsversorgung mehr bekommt und keine Pullups dran sind, dann wird das als LOW interpretiert, die Relais schalten dann doch alle gleichzeitig.
Im Zweifelsfall sollte man IMMER eine Hardwareverriegelung benutzen, gerade bei sicherheitsrelevanten Schaltungen.

Sinkt die Betriebsspannung langsam, so kommt der Punkt, an dem der µC ausrastet und wild Befehle verarbeitet und Speicherzellen, auch Portpins beschreiben kann. Das nennt man "Brown-out" und wird durch eine Brown-out detection verhindert, einige µC haben die eingebaut und lösen einen dauerreset aus, bis die Spannung wiederhergestellt ist.
Auch bei normalen abschalten kann die Spannung nicht sofort auf 0 sinken, der µC wird immer ein todeszappeln verantsalten.
Bei PIC µCs gibt es eine Reihe Typen, die ein eingebauten EEPROM haben. Im todeszappeln könnte der µC dort Speicherzellen wild beschreiben. Daher wird der Schreibvorgang extrem verkompliziert. Da gibt es zwei Register, die in der richtigen Reihenfolge mit den richtigen Werten beschrieben werden müssen, um das EEPROM zu beschreiben. Die Wahrscheinlichkeit, dass ein schreibvorgang durch Zufälliges Registerbeschreiben ausgelöst wird ist extrem gering. Trotzdem werden bei Sicherheitsrelevanten Schaltungen die Werte im EEPROM zwei mal abgelegt und beim einschalten verglichen. Das sorgt für eine weitere verkleinerung der chance, dass da ein Wert unbemerkt verändert wurde. Bei ganz wichtigen Schaltungen wird sogar mindestens drei mal der Wert abgelegt, dadurch kann sogar ermittelt wrden welche Zellen umgeschrieben wurden und korrigiert werden.

Auch bei sorgfältister Programmierung kann es vorkommen, dass der Stack überläuft oder eben durch Spannungsschwankungen der µC aus dem trit kommt. Ist der Programmcounter fehlerhaft gesetzt, so können Daten von konstanten als Befehle ausgeführt werden und so können die unmöglichsten Befehlskombinationen erzeugt werden. Dagegen gibt es den Watchdog, aber bis der greift vergeht Zeit.


Also wenn es wirklich kritisch ist, was da gesteuert wird, solltest Du da immer eine externe Verriegelung einbauen.

Gruß
Elmar

jo - das habe ich mir schon so gedacht
Jedoch sehe ich hin und wieder mal Industrieanlagen bei den z.B. Trenner und Lastschalter usw. nicht Hardware - seitig verriegelt sind ...
Ja die neuen AVR's haben auch so eine Brown-out Erkennung und natürlich einen Watchdog

die Frage war auch nur mal ein kleines Gedankenspiel für künftige Projekte !

vielen Dank den Schreibern !

Gruß Tobias

Hi,


kommt immer drauf an, wofür das gebraucht wird. Wenn das höchstens eine Maschine schrotten kann oder eine Sicherung auspustet ohne Menschen zu gefärden, dann ist das ja noch vertretbar. Aber bei Aufzügen oder gefährlichen Industrieprozessen hört der Spaß auf.

Gruß
Elmar

in machen Ländern ist es schlimmer wenn eine Sicherung kaputt geht - z.B. Iran

Hi,

in letzter Zeit beschleicht mich ein komisches Gefühl, wenn ich in einem alten Hochhaus im ERDGESCHOSS einen Fahrstuhl betrete.
Das die Absturzsicherung sicher ist, daran habe ich keinen Zweifel. Nur hat mir jetzt ein Monteur erzählt, dass es eher wahrscheinlich ist, dass ein Aufzug "aufstürzt" statt abstürzt. Das Gegengewicht ist nämlcih schwerer als die Kabine und eine Person. Und wenn die Bremse nach einer aufwärtsfahrt versagt...
Erst seit kurzem arbeiten die Sicherheitsbremsen (Fliehkraftgesteuert?) in beide Richtungen.

Ist da was dran, dass ein Aufzug ungebremst nach oben rasen könnte wenn es dumm läuft?

Gruß
Elmar

Hihi...
erst stürzt man "auf", knallt ordentlich mit dem Kopf gegen die Decke (Scheitelhöhe nun 80cm),

dann durch den "Aufsturz", reisst die Kabine ab (ich ignorier getz ma´ die Absturzsicherung), stürzt ´gen Keller, Person nimmt Pfannkuchenartige Form am Kabinenboden an (auch von der Konsistenz / Scheitelhöhe jetzt 10cm),

durch den Abriss fällt jetzt auch das Gegengewicht Richtung Gravitationsvektor, knallt mit Schmackes auf die "Pfannkuchige" Person (Scheitelhöhe strebt jetzt gegen Null)

Monteur bestürzt...

.... Nur hat mir jetzt ein Monteur erzählt, dass es eher wahrscheinlich ist, dass ein Aufzug "aufstürzt" statt abstürzt. Das Gegengewicht ist nämlcih schwerer als die Kabine und eine Person. Und wenn die Bremse nach einer aufwärtsfahrt versagt...

Das kann auch nach Abwärtsfahrt geschehen, jedoch sind die Bremsen seit den 50ern mit zwei unabhängigwirkenden Bremsen versehen (welche jede allein den Aufzug bis zum Stillstand abbremsen können müssen). Älter Aufzüge hatten jedoch bis 2004 Bestandsschutz auf dem Stand der Technik zum Zeitpunkt der Erstabnahme. Seit 2004 ist die Betriebssicherheitsverordnung (EU-Rechtskonform in Kraft. Seither haftet der Betreiber strafrechtlich. D.H. er kann sich der fahrlässigen/vorsätzlichen (bei Mangelkenntnis) Körperverletzung/Tötung schuldig machen, mit allen dafür durch das Strafrecht angedrohten Sanktionen.



Erst seit kurzem arbeiten die Sicherheitsbremsen (Fliehkraftgesteuert?) in beide Richtungen.


Diese Forderung geht auch auf EU-Recht zurück und ist in der EN 2000 (Europanorm seit 2004 in rechtskräftiges Bundesgesetz) geregelt.

Es handelt sich bei den Geschwindigkeitbegrenzern um ein mechanisches Seil -Keilscheibe System welches ,mittels Nocken-Rolle, geschwindigkeitsproprtionale Impulse auf einen Hebel mit Rückholfeder bringt. Wird der Impuls zu groß (geeichte Einstellung) greift eine Hakenverriegelung, welche den Geschwindigkeitsbegrenzer mechanisch blockiert. Dadurch wird das mit der Kabine laufende Begrenzerseil in dieser Position gehalten (reibekraftbegrenzt). Dieses löst an der (weiterlaufenden) Kabine eine Fangvorrichtung (früher Ziehkeil, heute Exzenterklemmvorrichtung) aus, welche sich in der Schiene verbeißt. Und die Kabine abrupt oder geschmeidig (z.B. Bettenaufzüge in Krankenhäusern) stoppt.


Ist da was dran, dass ein Aufzug ungebremst nach oben rasen könnte wenn es dumm läuft?


Ja, wenn keine Zweirichtungsfangvorrichtung vorhanden ist schon. Es gab auch schon derartige Unfälle. Deshalb ist, aus obengenannten Gründen, jeder Betreiber gehalten zu moderniesieren, will er sich nicht der Fahrlässigkeit schuldig machen.

PS: Die Betriebssicherheitsverordnung enthält eigens einen Abschnitt über Aufzüge , aber auch für den Betrieb aller nur denkbaren technichen Anlagen wie z.B. Heizkessel. Der Haftungsgrundsatz ist für alle Anlagentypen gemeinsam gültig! Wer eine techn. Anlage betreibt Haftet für deren Sicherheit.:cool:

...Monteur bestürzt...

LOL. Das hat mich doch gerade an etwas erinnert:
(Bitte um viel Sorry für die "bescheidene" vorlage)

http://abaqus.darktech.org/progforum/dachdecker.jpg

Ein Song der irischen Gruppe "the Dubliners" von 1969;



E SICK NOTE:
Dear Sir I write this note to tell you of my plight
And at the time of writing I am not a pretty sight
My body is all black and blue, and my face a deathly gray
And I write this note to say why I am not at work today

While working on the fourteenth floor, some bricks I had to clear
Now throw them down from such a height was not a good idea
The foreman wasn't very pleased, he is an awkward sod
He said I had to cart them down the ladder in me hod.

Now clearing all those bricks by hand, it was so very slow
So I hoisted up a barrel and secured the rope below
But in my haste to do the job, I was too blind to see
A barrel full of building bricks is heavier than me.

So when I then untied the rope, the barrel dropped like lead
And clinging tightly to the rope I started up instead
I shot up like a rocket till to my dismay I found
Half way up I met the bloody barrel coming down.

The barrel broke my shoulder as to the ground it sped
And when I reached the top I banged the pulley with me head
Still clinging tightly to the rope from this almighty blow
While the barrel spilled out half the bricks fourteen floors below

Now when those building bricks fell from the barrel to the floor
I then outweighed the barrel so I started down once more
Still clinging tightly to the rope my body racked with pain
When halfway down I met the bloody barrel once again

Now the force of this collision halfway down the office block
Caused multiple abrasions and a nasty case of shock
Still clinging tightly to the rope I sped towards the ground
And I landed on the broken bricks that were all ascattered round

Now as I lay there groaning I thought I'd passed the worst
But the barrel hit the pulley wheel and then the bottom burst
A shower of bricks rained down on me, I had'nt got a hope
As I lay there bleeding on the ground I let go the bloody rope.

The barrel then being heavier, it started down once more
And landed right on top of me where I lay upon the floor
It broke three ribs and my left arm, and I can only say
I hope you'll understand why I am not at work today.


Kommt doch ziemlich nahe ran, nicht war?;)

Aber wer den Dackdecker noch nicht kennt, hier mal das Video (.asf):
http://autsch.rtl.de/apotheke/_funny/flaschenzug.asf

Gruß Gerd G.

Wahrscheinlich ist der µC hier doch dier sicherere Alternative, wenn man im eine handvoll Relaises nebst Lichtgitter spendiert.