Modul-Sicherheitskonzept: Unterschied zwischen den Versionen

Aus PyroNeo Wiki
Zur Navigation springenZur Suche springen
K
K
 
(4 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
Das Sicherheitskonzept des Zündmoduls soll die ungewollte Auslösung von Zündungen verhindern. Dazu ist das Modul intern mit mehreren Sicherheitsfunktionen ausgerüstet, die es erlauben, Fehler in der Ansteuerung der Zündkreise zu erkennen und das Modul ggf. auch komplett abzuschalten.
+
Das Sicherheitskonzept des Zündmoduls soll die ungewollte Auslösung von Zündungen verhindern. Dazu ist das Modul intern mit mehreren Sicherheitsfunktionen ausgerüstet, die es erlauben, Fehler in der Ansteuerung der Zündkreise zu erkennen und das Modul ggf. auch komplett abzuschalten. Diese Beschreibung bezieht sich auf das allererste Phase I-Zündmodul, bei den aktuellen Zündmodulen sind die Sicherheitsfunktionen ähnlich umgesetzt bzw. noch etwas umfangreicher.
  
 
== Technische Details ==
 
== Technische Details ==
Zeile 9: Zeile 9:
 
Der Effekt der einzelnen Fehlerquellen:
 
Der Effekt der einzelnen Fehlerquellen:
 
* wenn das Modul irrtümlich scharf geschaltet ist (der orange umrandete ProFET leitet), dann steigt die Spannung auf der Hauptleitung (rot) auf die Batteriespannung an
 
* wenn das Modul irrtümlich scharf geschaltet ist (der orange umrandete ProFET leitet), dann steigt die Spannung auf der Hauptleitung (rot) auf die Batteriespannung an
* wenn einer der AusgangsFETs leitet, wird die Hauptleitung (rot) mit 10k (oder dem Zündkreiswiderstand, falls schon einer angeschlossen ist) gegen Masse gezogen
+
* wenn einer der AusgangsFETs leitet, wird die Hauptleitung (rot) mit 10k (hellblau) oder dem Zündkreiswiderstand, falls schon einer angeschlossen ist, gegen Masse gezogen
* wenn die Messschaltung defekt ist liegen mehr als 5 Volt an der Hauptleitung an
+
* wenn die Messschaltung defekt ist liegen mehr als 5 Volt an der Hauptleitung an bzw. es liegen 5V an der Hauptleitung an, wenn kein Messvorgang durchgeführt werden soll
  
 
Insgesamt müssen also folgende "Symptome" erkannt werden:
 
Insgesamt müssen also folgende "Symptome" erkannt werden:
Zeile 21: Zeile 21:
 
Die Spannung der Hauptleitung kann sowieso gemessen werden, um festzustellen ob eine ausreichende Zündspannung anliegt (dunkelblauer Kasten). Die gleiche Messschaltung kann also auch verwendet werden, um festzustellen ob die Spannung unnatürlich hoch ist. Dazu wird die Spannung über R112 und R136 auf Mikrocontroller-Verträgliche 1,63 Volt bei einer Spannung auf der Hauptleitung von 30 Volt herunter geteilt und an den Mikrocontroller geführt. Dieser kann aus dem gemessenen Signal die Spannung der Hauptleitung zurückrechnen.
 
Die Spannung der Hauptleitung kann sowieso gemessen werden, um festzustellen ob eine ausreichende Zündspannung anliegt (dunkelblauer Kasten). Die gleiche Messschaltung kann also auch verwendet werden, um festzustellen ob die Spannung unnatürlich hoch ist. Dazu wird die Spannung über R112 und R136 auf Mikrocontroller-Verträgliche 1,63 Volt bei einer Spannung auf der Hauptleitung von 30 Volt herunter geteilt und an den Mikrocontroller geführt. Dieser kann aus dem gemessenen Signal die Spannung der Hauptleitung zurückrechnen.
  
=== Messung des Masseschlusses ===
+
=== Messung des hochohmigen Masseschlusses ===
Der bei einem Defekt eines AusgangsFETs auftretende Masseschluss ist, wenn ein Zündkreis angeschlossen ist, sehr einfach zu messen: Wenn die normale Messschaltung (pink) aktiviert wird ohne das ein AusgangsFET geschaltet ist, sollte sich über den in die Begrenzung fahrenden Verstärker (hellgrün) ein 5 Volt-Pegel am Mikrocontroller-Eingang feststellen lassen. Sollte die Spannung darunter liegen, leitet einer der AusgangsFETs ungewollt und das Modul muss sofort abgeschaltet werden.
+
Der bei einem Defekt eines AusgangsFETs auftretende Masseschluss ist, wenn ein Zündkreis angeschlossen ist, sehr einfach zu messen: Wenn die normale Messschaltung (pink) aktiviert wird ohne das ein AusgangsFET geschaltet ist, sollte sich über den in die Begrenzung fahrenden Verstärker (hellgrün) ein 5-Volt-Pegel am Mikrocontroller-Eingang feststellen lassen. Sollte die Spannung darunter liegen, leitet einer der AusgangsFETs ungewollt und das Modul muss sofort abgeschaltet werden.
 
Hierbei ist problematisch, dass der Defekt erst zu dem Zeitpunkt erkannt werden kann, wenn bereits ein Zünder am betroffenen Ausgang angeschlossen ist. Besser wäre eine Erkennung, die den Anwender auch ohne einen angeschlossenen Zünder vor dem Fehler warnt.
 
Hierbei ist problematisch, dass der Defekt erst zu dem Zeitpunkt erkannt werden kann, wenn bereits ein Zünder am betroffenen Ausgang angeschlossen ist. Besser wäre eine Erkennung, die den Anwender auch ohne einen angeschlossenen Zünder vor dem Fehler warnt.
  
Zeile 29: Zeile 29:
 
Dieser Spannungseinbruch kann wiederum über den Messverstärker zur Zündkreismessung (hellgrün) erkannt werden, so das ein durchgeschalteter Ausgang auch dann erkannt werden kann, wenn kein Zünder angeschlossen ist.
 
Dieser Spannungseinbruch kann wiederum über den Messverstärker zur Zündkreismessung (hellgrün) erkannt werden, so das ein durchgeschalteter Ausgang auch dann erkannt werden kann, wenn kein Zünder angeschlossen ist.
  
Andersrum kann diese Methode natürlich auch benutzt werden, um die Funktionsfähigkeit des Ausgangs sicher zu stellen. Diese Methode wird allerdings nur in der Modultest-Firmware benutzt. Aus Sicherheitsgründen werden die Kanal-FETs in der normalen Modulfirmware nur zum Testen und zum Zünden eines Ausganges geschaltet.
+
Andersrum kann diese Methode natürlich auch benutzt werden, um die Funktionsfähigkeit des Ausgangs sicher zu stellen. Diese Methode wird allerdings nur in der [[Zündmodul:Dateien|Modultest-Firmware]] benutzt. Aus Sicherheitsgründen werden die Kanal-FETs in der normalen Modulfirmware nur zum Testen und zum Zünden eines Ausganges geschaltet.
 +
 
 +
== Zusammenfassung ==
 +
Insgesamt kann durch die hier angewandten Prinzipien jeder allein auftretende, sicherheitsrelevante Hardwarefehler erkannt werden. Dadurch ist für den Benutzer ein optimales Schutzlevel erreicht.
 +
 
 +
Trotzdem empfiehlt es sich, bei sicherheitsrelevanten Arbeiten (z.B. dem Anschließen der Anzünder an die Zündanlage) grundsätzlich immer von der Möglichkeit eines Fehlers auszugehen, um Personenschäden möglichst ausschließen zu können.
  
  
 
[[Kategorie:Sicherheit]]
 
[[Kategorie:Sicherheit]]
 
[[Kategorie:Modul]]
 
[[Kategorie:Modul]]

Aktuelle Version vom 20. April 2015, 21:07 Uhr

Das Sicherheitskonzept des Zündmoduls soll die ungewollte Auslösung von Zündungen verhindern. Dazu ist das Modul intern mit mehreren Sicherheitsfunktionen ausgerüstet, die es erlauben, Fehler in der Ansteuerung der Zündkreise zu erkennen und das Modul ggf. auch komplett abzuschalten. Diese Beschreibung bezieht sich auf das allererste Phase I-Zündmodul, bei den aktuellen Zündmodulen sind die Sicherheitsfunktionen ähnlich umgesetzt bzw. noch etwas umfangreicher.

Technische Details

Sicherheitsbarrieren im Modul (Achtung: Die Bezeichnungen der Bauteile können im aktuellen Schaltplan abweichen!)

Die Zündspannung wird im Modul von zwei verschiedenen Funktionsgruppen zurückgehalten: Der Scharfschaltung (im Schaltplan orange umrandet) und den Ausgans-FETs (links neben der hellblauen Markierung). Nur wenn diese beiden Sicherheitsbarrieren versagen, ist die ungewollte Auslösung eines Zündkreises mit der üblichen Zündspannung möglich.

Es gibt jedoch noch eine weitere Schaltung, die Strom auf die Hauptleitung (rot) einspeisen kann: die Messschaltung. Von dieser geht jedoch keine Gefahr aus. Sie arbeitet mit 5 Volt (was durchaus ausreichend für einen Zündkreis wäre), ist jedoch durch die beiden Widerstände R83 und R84 auf 10 mA begrenzt. Falls einer dieser Widerstände versagen sollte (=Durchbrennen), würde das den Strom auf 5 mA begrenzen, statt mehr Strom fließen zu lassen. So lange an dieser Stelle die verwendete Spannung also nicht höher ist als 5 Volt, kann maximal ein Strom von 10 mA fließen. Die korrekte Spannung muss jedoch überwacht werden.

Der Effekt der einzelnen Fehlerquellen:

  • wenn das Modul irrtümlich scharf geschaltet ist (der orange umrandete ProFET leitet), dann steigt die Spannung auf der Hauptleitung (rot) auf die Batteriespannung an
  • wenn einer der AusgangsFETs leitet, wird die Hauptleitung (rot) mit 10k (hellblau) oder dem Zündkreiswiderstand, falls schon einer angeschlossen ist, gegen Masse gezogen
  • wenn die Messschaltung defekt ist liegen mehr als 5 Volt an der Hauptleitung an bzw. es liegen 5V an der Hauptleitung an, wenn kein Messvorgang durchgeführt werden soll

Insgesamt müssen also folgende "Symptome" erkannt werden:

  • Höhere Spannung auf der Hauptleitung als im konkreten Betriebszustand erlaubt (0 Volt im Ruhezustand, 5 Volt beim Messen und Batteriespannung wenn scharf geschaltet)
  • Masseschluss über 10k oder weniger wenn keiner der AusgangsFETs geschaltet ist

Beides lässt sich über die vorhandenen Messschaltungen feststellen:

Messung der Spannung auf der Hauptleitung

Die Spannung der Hauptleitung kann sowieso gemessen werden, um festzustellen ob eine ausreichende Zündspannung anliegt (dunkelblauer Kasten). Die gleiche Messschaltung kann also auch verwendet werden, um festzustellen ob die Spannung unnatürlich hoch ist. Dazu wird die Spannung über R112 und R136 auf Mikrocontroller-Verträgliche 1,63 Volt bei einer Spannung auf der Hauptleitung von 30 Volt herunter geteilt und an den Mikrocontroller geführt. Dieser kann aus dem gemessenen Signal die Spannung der Hauptleitung zurückrechnen.

Messung des hochohmigen Masseschlusses

Der bei einem Defekt eines AusgangsFETs auftretende Masseschluss ist, wenn ein Zündkreis angeschlossen ist, sehr einfach zu messen: Wenn die normale Messschaltung (pink) aktiviert wird ohne das ein AusgangsFET geschaltet ist, sollte sich über den in die Begrenzung fahrenden Verstärker (hellgrün) ein 5-Volt-Pegel am Mikrocontroller-Eingang feststellen lassen. Sollte die Spannung darunter liegen, leitet einer der AusgangsFETs ungewollt und das Modul muss sofort abgeschaltet werden. Hierbei ist problematisch, dass der Defekt erst zu dem Zeitpunkt erkannt werden kann, wenn bereits ein Zünder am betroffenen Ausgang angeschlossen ist. Besser wäre eine Erkennung, die den Anwender auch ohne einen angeschlossenen Zünder vor dem Fehler warnt.

Aus diesem Grund wird ein kleiner Trick angewendet: Das Problem ist hier, dass über die Messschaltung ein zu hoher Strom eingespeist wird, um den Spannungsabfall an dem dem Ausgang parallel geschalteten 10k-Widerstand zu erkennen. Es existiert aber noch eine zweite, unkritische Verbindung über die der Modulbus gespeist werden kann: Der eigentlich zur Messung der Spannung auf der Hauptleitung benutzte Spannungsteiler aus R112 und R136 (dunkelblauer Kasten). Über diesen kann ein Strom vom Mikrocontroller selbst in die Hauptleitung gespeist werden. Der Eingangswiderstand ist hier jedoch mit 475 kOhm sehr hochohmig; der fließende Strom ist klein genug, dass auch eine hochohmigere Verbindung mit Masse (die den Ausgängen parallel geschalteten 10k-Widerstände) ausreicht, um die Spannung auf dem Hauptbus einbrechen zu lassen.

Dieser Spannungseinbruch kann wiederum über den Messverstärker zur Zündkreismessung (hellgrün) erkannt werden, so das ein durchgeschalteter Ausgang auch dann erkannt werden kann, wenn kein Zünder angeschlossen ist.

Andersrum kann diese Methode natürlich auch benutzt werden, um die Funktionsfähigkeit des Ausgangs sicher zu stellen. Diese Methode wird allerdings nur in der Modultest-Firmware benutzt. Aus Sicherheitsgründen werden die Kanal-FETs in der normalen Modulfirmware nur zum Testen und zum Zünden eines Ausganges geschaltet.

Zusammenfassung

Insgesamt kann durch die hier angewandten Prinzipien jeder allein auftretende, sicherheitsrelevante Hardwarefehler erkannt werden. Dadurch ist für den Benutzer ein optimales Schutzlevel erreicht.

Trotzdem empfiehlt es sich, bei sicherheitsrelevanten Arbeiten (z.B. dem Anschließen der Anzünder an die Zündanlage) grundsätzlich immer von der Möglichkeit eines Fehlers auszugehen, um Personenschäden möglichst ausschließen zu können.