Salida de relé de MCU con nivel de seguridad mejorado

Quiero hacer una salida de relés con nivel de seguridad mejorado (redundancia y EDM).

Para eso, planeo usar dos relés guiados por fuerza impulsados ​​cada uno por MOSFET de canal N. Sin embargo, me pregunto si puedo usar solo una salida de MCU para controlar estos dos MOSFET o si debo usar una salida de MCU por MOSFET.

¿Puedo suponer que la salida del transistor MCU nunca se acortará cuando se use para controlar MOSFET? ¿O debería usar dos salidas MCU (una por MOSFET).

Aquí están mis esquemas:

  • Relay1 es la salida de MCU
  • Relay_1_EDM está conectado a la entrada de MCU y se usa para el monitoreo de dispositivos externos
  • START_STOP_COM y START_STOP son la salida de relé con nivel de seguridad mejorado

EDITAR :

Este dispositivo está diseñado para ser utilizado en una grúa.

Actualmente, esta grúa trabaja con botonera sin ningún tipo de seguridad (excepto finales de carrera). Posee un contactor de línea de potencia accionado por un botón de arranque con automantenimiento y un botón de paro. Cada motor tiene su contactor. Hay algún paro de emergencia, monitoreo externo en el contactor o dispositivo de seguridad.

El esquema de la grúa se puede ver a continuación:ingrese la descripción de la imagen aquí

Mi trabajo es reemplazar la botonera por un radio control remoto.

Para tener una comunicación segura entre el control remoto de RF y la estación, la MCU de la estación enviará un latido con nonce (byte de incremento automático) y la MCU remota debe responder a este latido con el valor de nonce correcto dentro de un retraso de tiempo de espera. En caso de problema, la estación MCU detendrá la grúa actuando sobre el contactor de la línea de alimentación (en el esquema anterior, START_STOPse conectará al terminal 3 y START_STOP_COMal terminal 1 que está conectado a Pla bobina del contactor de la línea de alimentación).

Es por eso que necesito esta salida con un nivel de seguridad mejorado.

Por ahora, creo que la salida de relés de guía forzada redundantes con EDM y, como propone Dan, accionados con dos bombas de carga (una para cada relé) y dos salidas de MCU sería una buena solución. También incluiría el monitoreo del contactor de la línea eléctrica de la grúa en el EDM.

Creo que valdría la pena ampliar su publicación para explicar para qué se utilizará el dispositivo y qué categoría de seguridad está tratando de lograr. Tal vez también un esquema ampliado, que muestre la configuración completa, al menos en forma de bloque.
Edité mi publicación para dar alguna explicación sobre la aplicación.
Me encanta la avispa en el dibujo. ¡Creo que eso es lo primero!
¿Qué es EDM en este contexto?
Soporte EDM para monitoreo de dispositivos externos. Supervisará los circuitos de seguridad y le informará al usuario si un relé tiene algún problema, como un contacto soldado.

Respuestas (4)

Nunca asumiría tal cosa en una aplicación crítica para la seguridad y, de hecho, probablemente también me tomaría más en serio la detección de mi relé atascado (usted desea poder detectar si algún relé no está en la posición esperada, no solo que AMBOS han fallado).

Además, estaría muy nervioso por una situación en la que un micro pin en un estado estable podría causar una condición peligrosa, mucho mejor usar una bomba de carga para impulsar la puerta mosfet de modo que para activar un relé, el procesador debe mantener un pin (o mejor, dos) alternar a unos pocos kHz (y hacer la alternancia desde dentro del bucle principal), esto significa que un programa fallido probablemente hará que los relés se desconecten.

Un pensamiento más, recuerde que probar un programa no trivial para "Si A y B y no C, entonces D dentro de 100 ms" es sencillo, lo que es mucho más difícil es probar que D SOLO ocurre si A y B y no C ... El espacio estatal para eso es MUCHO más grande.

Espero que su proceso de desarrollo de software (y el proceso de requisitos) sea lo suficientemente sólido para este tipo de trabajo crítico para la seguridad.

Editando para agregar un ejemplo de bomba de carga...

esquemático

simular este circuito : esquema creado con CircuitLab

En realidad, probablemente usaría un diodo dual en un SOT23 o similar y los valores límite necesitarán ajustarse al gusto, pero da la idea básica.

La resistencia descarga C2 haciendo que el relé se apague poco después de que desaparezca la pulsación en el pin micro.

El Monitoreo de Dispositivos Externos me avisará cuando un relé falle, no ambos. En funcionamiento normal, RELAY_1_EDMdebe ser el estado inverso de RELAY_1. Esta condición no se puede cumplir si un relé está atascado en su posición. Bien ?
Como lo ha dibujado, EDM solo señala si AMBOS relés están atascados, necesita los contactos 21,22 conectados en paralelo entre los dos relés, no en serie, si desea detectar un solo relé atascado. De hecho, monitorearía los dos relés por separado, de esa manera puedo detectar atascados en cualquier estado, pero lo que sea que funcione.
@LoïcGRENON en realidad RELAY_1_EDM solo te dice si ese lado del relé funciona. La señal de eso puede estar bien, pero la señal START_STOP podría estar atascada o apagada.
@Trevor El OP ha especificado relés con contactos guiados por fuerza, que por diseño no pueden tener un contacto establecido NC activo mientras que los demás NO siguen activos o viceversa, ese es el punto central de las cosas. Caro y, en realidad, generalmente menos robusto que el tipo normal, pero los contactos de monitoreo no cambiarán si los contactos de alimentación están soldados.
Por cierto, me gusta su solución para usar una señal PWM para desconectar los relés en caso de un programa fallido. ¿Hay algún componente que tome una señal PWM como entrada y active una salida cuando la frecuencia de la señal está en un cierto rango?
No PWM como tal... Usted quiere algo alternado por su bucle de programa principal, no por un PWM de hardware o una interrupción que puede continuar ejecutándose con el bucle principal fallado. Use una bomba de carga (dos tapas, un diodo dual, una resistencia o dos) para producir voltaje de compuerta mosfet solo si el pin micros está alternando, tiene la ventaja de que es una red pasiva y puede verificarse en el inicio del sistema.
Por cierto, un buen truco con las entradas de control es llevarlas a un pin de entrada analógica, luego, con dos resistencias, puede notar la diferencia entre el interruptor abierto, el interruptor cerrado y el cableado en corto a tierra, un truco que les gusta a los automotrices.
Gracias, descubrí la bomba de carga hoy y puedo simular un circuito en funcionamiento. Sin embargo, menciona "una resistencia o dos", ¿cuál es su propósito? ¿Puedes editar tu publicación con algún circuito?
Gracias por tus explicaciones. La bomba de carga es exactamente lo que hago (excepto los valores límite). FIY, edité mi publicación para dar una explicación sobre la aplicación.

Debe buscar una MCU de seguridad, como la MCU Hercules R-ARM de TI o algún otro fabricante si desea tener una salida de seguridad.

Pero tal vez la solución más viable sea usar un relé de seguridad certificado que pueda comprar.

Usar un relé de seguridad no es una solución para mí porque este tipo de dispositivo generalmente necesita dos entradas (canales) para funcionar: ¿cómo controlar estas entradas? Desde la salida de MCU, volvemos al mismo problema.
@LoïcGRENON Generalmente, el MCU/PLC no es un dispositivo de seguridad y no se puede confiar en él. Por lo tanto, todos los interruptores de seguridad, E-Stop, ... están conectados directamente al relé de seguridad, que emite una señal de monitoreo. Sin embargo, puede colocar un relé de dos contactos en la cadena de seguridad con contactos NC, luego emitir un comando desde el PLC para romper la cadena, pero esto es más bien una mejora para detener la máquina incluso si todos los interruptores de seguridad están en la posición segura, algo como el bloqueo de teclas de la zona de seguridad.
@LoïcGRENON De todos modos, ¿cuáles son las condiciones que hacen que la máquina necesite una parada de emergencia? Esas condiciones (interruptores) deben estar aprobadas en materia de seguridad.
Edité mi publicación para dar alguna explicación sobre la aplicación.
@LoïcGRENON 1. Compre un controlador de grúa, 2. use un relé de seguridad, cable de botón de parada de emergencia, botón de descanso, interruptor de límite de seguridad, contactor de potencia y control remoto con salida de relé de parada de emergencia. 3. En lugar de un relé de seguridad, use un PLC de seguridad (la solución costosa) como S7-1200FC, igual que 2.
Lo siento, pero este tipo de respuesta no es útil para mí. ¿Cuál es el problema con la solución descrita anteriormente?
@LoïcGRENON Porque no está certificado. Si actualiza la máquina antigua, debe utilizar los estándares actuales. Si la grúa antigua no tenía un dispositivo de seguridad, esto no significa que pueda actualizarla con elementos de seguridad de bricolaje/no certificados.

¿Por qué detenerse allí?

Micro es un solo dispositivo que puede fallar... Entonces, ¿qué tal duplicar el micro... y luego tal vez las fuentes de alimentación, el generador de energía de respaldo... y así sucesivamente? ¿Hasta dónde quiere y puede permitirse el lujo de ir ....

Duplicar no es realmente un gran enfoque de seguridad. Es mejor tener otro monitor y algún otro método de apagado.

Además, es prudente tener el Micro, o incluso otro circuito independiente que tenga la capacidad de monitorear las salidas y que las cosas estén cambiando como se esperaba. Es mejor detectar una falla y, si es necesario, colocar un fusible con una barra de palanca que confiar en la duplicación.

Normalmente hay un estado que se considera seguro, el arte no es cero fallos, sino asegurar en la medida de lo posible que los fallos lleguen al estado seguro. La energía es fácil, usted hace que el estado seguro sea el que los relés y los contratistas tienen por defecto en ausencia de energía. Los micros son una lata de gusanos más grande, pero existen mejores prácticas estándar al menos para cosas SIL 3, SIL 4 está en controladores redundantes y lógica de votación, lo cual es un dolor en el culo. La seguridad en el diseño es en gran medida un problema de los sistemas y, si bien los micros de alta resolución y la protección de SEU son parte de eso, es solo una parte.
@DanMills bien dicho, ese era mi punto.

Estoy de acuerdo con todos los puntos de Dan Mills.

  1. Ambos transistores pueden fallar abiertos o en corto. Con el impulso adecuado, probablemente ambos fracasen de la misma manera.
  2. Ambos transistores se alimentan de la misma salida. Este es un defecto de diseño crítico.
  3. CORRECCIÓN (de la publicación original). Los contactos 21/22 se muestran correctamente en serie. Normalmente, estos se utilizan para garantizar que ambos abandonen.
  4. Para la indicación de fallas, se podría usar un par paralelo de contactos normalmente cerrados.

Consulte mi respuesta a Símbolo o marcado en el relé de seguridad para obtener una explicación detallada de un relé de seguridad de dos canales y asegúrese de comprender los principios de funcionamiento.

No estoy de acuerdo con el punto 3. Con los contactos en serie, puedo saber que un relé está atascado cuando la RELAY_1_EDMentrada no está en el estado inverso de la RELAY_1salida (dentro del tiempo de conmutación del relé, por supuesto). Paralelamente se enmascarará este fallo. El punto 2 es exactamente el punto de mi respuesta;)
Sin verlo, si el relé uno suelda en el estado encendido, ¿cómo puede detectar esto? El relé 2 sigue conmutando normalmente y está en serie con la señal EDM. Con los contactos 21/22 en paralelo entre los dos relés, la permanencia de cualquiera de los relés hará que el EDM esté activo cuando apague el variador, lo cual es una condición de falla y debería bloquear una inhibición en el sistema. Por supuesto, no puede detectar un relé atascado en el estado apagado de esta manera, pero ese suele ser el estado seguro a menos que esté enfriando el reactor o algo así.
@DanMills: si el relé uno suelda en el estado ENCENDIDO, cuando RELAY_1esté en el estado APAGADO, RELAY_1_EDMno estaría en el estado ENCENDIDO (5 V), por lo que RELAY_1_EDMestá en el mismo estado RELAY_1, por lo que puedo detectar esta falla. (Sin embargo, sería bueno conectar los pines 24 del relé a GND, para garantizar el estado APAGADO). También puedo detectar un relé atascado en el estado APAGADO. ¡Con contactos en paralelo, el fallo quedaría enmascarado! Creo que entendí mal lo que realmente quieres decir. ¿Estás de acuerdo en que me dices que conecte el pin 22 de cada relé a 5V y el pin 21 de cada uno a RELAY_1_EDM?
Probablemente habría conectado 21 en ambos relés a 5V, luego monitoreado 22,24 en ambos relés (4 entradas en total), pero me gusta el cinturón, los tirantes y la cuerda, de esa manera no se te caen los pantalones... Mirando de nuevo a tu circuito Puedo ver la lógica, ¡vergonzosamente leí mal el cableado!
Lo siento, todo. Estoy corto de sueño. He hecho una corrección con respecto a los contactos normalmente cerrados. Nuevamente, perdón por la confusión.
No te preocupes, pero como ambos dijeron lo mismo, comencé a dudar ^^
Salida de relé de MCU con nivel de seguridad mejorado
RespuestasAquíPolítica de privacidad1y, 0v