Confiabilidad del firmware para la detección de sobrecalentamiento

Navega tus respuestas
2

Estoy hablando de un equipo industrial que está generando gas. Está bajo la prueba de certificación ( marcado CE ) IEC 61010 en un laboratorio de terceros.

En el dispositivo hay un mecanismo de detección de sobrecalentamiento, cuyo objetivo es detener el dispositivo. Así es como funciona:

  • Sensor de temperatura (LM335)
  • Un uC está leyendo la temperatura cada segundo
  • Después de leerlo, compara su valor con un umbral codificado, y si la temperatura supera el umbral, activa las alarmas y inicia el procedimiento de detención.
  • En un par de segundos, se pone en modo de espera.

El laboratorio que realiza las pruebas de certificación nos dice que, dado que la detección de sobrecalentamiento se realiza mediante software, no es confiable. Y como no es confiable, no cumple con el marcado CE.

También agregan que "los laboratorios de pruebas consideran que un software es todo menos un componente confiable. Lista no exhaustiva: bucles infinitos, corrupción de datos, perturbación de EMC ..."

Suena completamente extrapolado para mí.

¿Es correcto el labe de prueba? ¿Se considera que el software / firmware no es confiable? Si no, ¿cómo demostraré que el laboratorio que diseñamos nuestro componente de firmware es confiable?

    
pregunta RawBean

1 respuesta

3

Sí, son 100% correctos.

Software / firmware crítico para la seguridad y diseño del sistema requiere consideraciones especiales. Puede que valga la pena evitar el problema utilizando un límite de sobretemperatura mecánico aprobado como una seguridad, y el límite del software se convierte en un tipo de juguete. Si funciona, evita que el fusible térmico o cualquier otra cosa falle. fuerte> nadie muere . Probablemente esa sería mi recomendación si estuviera diseñando un sistema así. Un sensor analógico como el LM335 podría alimentarse en paralelo a un comparador así como a su material digital, lo que sería mucho más fácil de certificar, pero como dije, podría ser más fácil simplemente insertar un corte térmico aprobado en el circuito de potencia y listo.

Eslógicocertificarsoftwareenproductosdegranvolumen,comocontroladoresdepuertasdegaraje,sistemasdecontroldeencendidoypurgadequemadoresdegas,etc.,dondenopuedeevitarlosproblemasdeseguridad,oensistemasdealtoprecioybajovolumen,comocomocontrolesindustrialesodetransporte,peroenunsistemadebajovolumenyrelativamentebarato,probablementetengasentidominimizarloscostosdeNRE.

UL1998esunestándarconelqueestoyfamiliarizado,puedeencontrareste Página de UL útil: tiene punteros a algunos de los estándares IEC, de los cuales uno u otro es probablemente aplicable en su situación particular.

Un montón de cosas pueden ir mal con la ejecución del firmware, y hay maneras de reducir la posibilidad de que la memoria no utilizada programada en caso de desastre dé saltos al arranque en frío, verificando todo tipo de cosas antes a ciegas patear un temporizador de vigilancia (WDT) (la mayoría de la gente sabe usar un WDT, pero generalmente no se utiliza para el mejor efecto), actualizar ubicaciones internas y puertos externos regularmente en lugar de asumir que siempre permanecerán imperturbables. Eso es sólo algunas cosas ... hay más.

    
respondido por el Spehro Pefhany

Lea otras preguntas en las etiquetas

Una forma segura de conectar los circuitos integrados CMOS Implementación de BZFAD usando VHDL