Salida de relé de MCU con nivel de seguridad mejorado

Navega tus respuestas
1

Quiero hacer una salida de relés con un nivel de seguridad mejorado (redundancia y EDM).

Para eso, planeo usar dos relés guiados por fuerza controlados por MOSFET de canal N. Sin embargo, me pregunto si puedo usar solo una salida de MCU para controlar estos dos MOSFET o si debo usar una salida de MCU por MOSFET.

¿Puedo suponer que la salida del transistor MCU nunca se cortará cuando se utiliza para controlar MOSFET? O debería usar dos salidas MCU (una por MOSFET).

Aquí están mis esquemas:

  • Relay1eslasalidadeMCU
  • Relay_1_EDMestáconectadoalaentradadeMCUyseusaparalasupervisióndedispositivosexternos
  • START_STOP_COMySTART_STOPsonlasalidadereléconniveldeseguridadmejorado

EDITAR:

Estedispositivoestádiseñadoparaserutilizadoenunagrúa.

Actualmente,estagrúafuncionaconunacajadebotonessinningúntipodeseguridad(exceptolosinterruptoresdelímite).TieneuncontactordelíneadealimentaciónaccionadoporunbotóndeinicioconmantenimientopropioyunbotóndeparadaCadamotortienesucontactor.HaycualquierE-stop,monitoreoexternoenelcontactorodispositivodeseguridad.

Elesquemadegrúapuedeverseacontinuación:

Mi trabajo es reemplazar la caja de botones por un control remoto de radio.

Para tener una comunicación segura entre el control remoto de RF y la estación, la estación MCU enviará un latido con nonce (byte de autoincremento) y la MCU remota responderá a este latido con el valor correcto de nonce dentro de un tiempo de espera. En caso de problema, la estación MCU detendrá la grúa actuando sobre el contactor de la línea eléctrica (en el esquema anterior, START_STOP se conectará al terminal 3 y START_STOP_COM al terminal 1 que está conectado a P línea eléctrica bobina del contactor).

Por eso necesito esta salida con un nivel de seguridad mejorado.

Por ahora, creo que la salida redundante de relés guiados por fuerza con EDM y, según lo propuesto por Dan, accionada con dos bombas de carga (una para cada relé) y dos salidas de MCU sería una buena solución. También incluiría el monitoreo del contactor de la línea eléctrica de la grúa en el EDM.

    
pregunta Loïc GRENON

4 respuestas

5

Nunca asumiría algo así en una aplicación crítica para la seguridad, y de hecho, probablemente también sería más serio mi detección de relé atascado (desea poder detectar si algún relé no está en la posición esperada) , no solo que AMAS han fallado).

Además, estaría muy nervioso por una situación en la que un micro pin en un estado estable podría causar una condición peligrosa, mucho mejor usar una bomba de carga para accionar la compuerta Mosfet de modo que para activar un relé, el procesador debe mantener una pin (o mejor, dos) que alternan a unos pocos kHz (y que se alternan dentro del bucle principal), esto significa que un programa fallido probablemente hará que los relés se desactiven.

Otro pensamiento, recuerde que probar un programa no trivial para "Si A y B y no C luego D dentro de 100 ms" es sencillo, lo que es mucho más difícil es demostrar que D SOLAMENTE ocurre si A y B y no C ... El espacio de estado para eso es MUCHO más grande.

Espero que su proceso de desarrollo de software (y el proceso de requisitos) sea lo suficientemente sólido para este tipo de trabajo crítico para la seguridad.

Edición para agregar un ejemplo de bomba de carga ...

simular este circuito : esquema creado usando CircuitLab

En realidad, probablemente usaría un diodo dual en un SOT23 o similar, y los valores de la tapa necesitarán ajustarse al gusto, pero da la idea básica.

La resistencia descarga C2 haciendo que el relé se apague poco después de que desaparezca el pulso en el micro pin.

    
respondido por el Dan Mills
1

Debes buscar MCU de seguridad, como la MCU Hercules R-ARM de TI o algún otro fabricante si quieres tener una salida de seguridad.

Pero quizás la solución más viable es usar un relé de seguridad certificado que pueda comprar.

    
respondido por el Marko Buršič
0

¿Por qué parar allí?

Micro es un dispositivo único que puede fallar. Entonces, ¿qué hay de duplicar el micro ... y luego tal vez las fuentes de alimentación, el generador de energía de respaldo ... y así sucesivamente. ¿Qué tan lejos quieres y puedes permitirte ir?

La duplicación no es realmente un gran enfoque de seguridad. Es mejor tener otro monitor y algún otro método de apagado.

Además, tener el Micro, o incluso otro circuito independiente, tiene la capacidad de monitorear las salidas y que las cosas cambien como se espera es prudente. Es mejor detectar una falla y, si es necesario, cortar un fusible en lugar de confiar en duplicar.

    
respondido por el Trevor_G
0

Estoy de acuerdo con todos los puntos hechos por Dan Mills.

  1. Ambos transistores pueden fallar abiertos o cortos. Con el impulso correcto probablemente ambos fallarán de la misma manera.
  2. Ambos transistores se alimentan desde la misma salida. Este es un defecto de diseño crítico.
  3. CORRECCIÓN (de la publicación original). Los contactos 21/22 se muestran correctamente en serie. Normalmente estos se utilizan para garantizar que ambos abandonan.
  4. Para la indicación de falla, se puede usar un par paralelo de contactos normalmente cerrados.

Ver mi respuesta a Símbolo o marca en el relé de seguridad para una Explicación profunda de un relé de seguridad de doble canal y asegúrese de que comprende los principios de funcionamiento.

    
respondido por el Transistor

Lea otras preguntas en las etiquetas

Cómo cargar eficientemente un capacitor desde la fuente de CA Chip de interfaz I2C 5 - 3.3V