Hulp gevraagd bij het ontwerpen van de veiligste relais schakeling

Dag iedereen,

Ik ben bezig met een project waarbij ik 4 relais moet kunnen schakelen met een microcontroller die zijn input krijgt van een CAN bus.

Veiligheid is van groot belang, de relais schakelen namelijk een 400V batterij in een voertuig. De relais mogen nooit openen behalve indien gewenst voor onderhoud en natuurlijk bij kortsluiting etc...

Daarom denk ik eraan om twee microcontrollers van een verschillend type te gebruiken die elk een parallelle MOSFET aansturen in serie met de spoel die 1 relais bekrachtigd. (De spoel werkt op 24V) Zo kan het NO relais nog steeds bekrachtigd worden bij faling van één van de microcontrollers.

Mijn vraag luidt nu: hoe kan ik mijn circuit zo veilig mogelijk maken?
De twee microcontrollers kunnen nog altijd vernietigd worden bij een spanningspiek waardoor de relais openen.
Zijn flipflops een mogelijkheid waardoor de toestand behouden blijft ook al geeft de microcontroller geen output meer?

Elk relais moet afzonderlijk geopend en gesloten kunnen worden.

Alle hulp is welkom.

Vriendelijke groet,
RCURCU

GJ_

Moderator

Even een waarschuwing: ik weet niet hoe het in de automotive is maar in de machinebouw is zelfbouw van veiligheidstoepassingen wettelijk verboden, tenzij je het laat keuren door een NB natuurlijk. Dat is nooit lonend.
Ik neem aan dat je sowieso alles moet laten keuren.

--edit--
ik zie nu dat ik je met regels niet hoef lastig te vallen. Niet echt een hobbybob :-)

Ik zou eerst beginnen met een FMEA; wat kan er mis gaan, en wat zijn de mogelijke gevolgen? Wat als een relais onterecht opent, onterecht sluit, gaat klapperen, etc.

Wat ga je doen als die CAN bus wegvalt? Wat als je tegenstrijdige informatie ontvangt? Waar gaat die 24V vandaan komen, en wat gebeurt er als die voeding wegvalt? Wat gebeurd er als de relais onterecht ingeschakeld worden terwijl er iemand bezig is met het onderhoud?

Relais beveiligen niet tegen kortsluiting, daar heb je zekeringen voor. Als ze verder alleen open moeten bij onderhoud zou ik helemaal geen relais gebruiken, maar handmatig bediende schakelaars.

Een manager is iemand die denkt dat negen vrouwen in één maand een kind kunnen maken

Ik denk dat een fatsoenlijke beveiliging tegen spanningspieken en overspanning zinvoller is.
Bij 2 controllers introduceer je weer extra storingsmogelijkheden: o.a. de communicatie tussen de 2 processoren...

Arco - "Simplicity is a prerequisite for reliability" - hard en software ontwikkeling: www.arcovox.com
GJ_

Moderator

Als het echt veilig moet is het gebruik van twee processoren, verschillende types en fabrikanten, tamelijk gebruikelijk.

Frederick E. Terman

Honourable Member

Met twee transistoren parallel weet je nóg niet of je relais wel opent. De andere tor kan wel sluiting hebben, of zijn aansturing blijft hangen. Ik zou er niet op durven vertrouwen.

In het midden van de batterij een gewone, fatsoenlijke accuschakelaar (is normaal handelsspul).
De twee helften van de batterij zijn dan ieder maximaal 200 V t.o.v. iets anders, dat scheelt ook alweer.

Keramisch, kalibratie, parasitair: woordenlijst.org

verder bestuderen met een bistabiel relais ? en timer ?

Bij redundancy blijft het altijd de vraag: hoever wil je gaan?
Meestal staat men niet stil bij de extra kosten van een 100% redundant systeem.
Alleen een paar delen redundant uitvoeren maakt het iets veiliger, maar zeker niet 100%. De relais kunnen ook kapot gaan (grotere kans als de processor)

Was ook zo voor bijv. redundant internet of telefoonverbindingen.
Als je die goed aanlegt, moet het signaal worden aangevoerd via aparte kabels, die ook nog op verschillende plaatsen het pand binnenkomen.
En da's niet goedkoop...

Arco - "Simplicity is a prerequisite for reliability" - hard en software ontwikkeling: www.arcovox.com
Lambiek

Special Member

Ik zou helemaal geen microcontroller gebruiken maar gewoon een schakelaar, dat is het meest betrouwbare. Tenzij er nog meer moet gebeuren als alleen de contacten openen bij onderhoud.

Gaat het hier om racen met elektrische auto's, of om bijv. sprinten met elektrische auto's of anders? Ik neem aan dat dit niet bij een standaard elektrische auto hoeft te gebeuren, of gaat het niet over een auto?

Als je haar maar goed zit, GROETEN LAMBIEK.
GJ_

Moderator

Op 11 oktober 2017 12:20:22 schreef Lambiek:
Gaat het hier om racen met elektrische auto's, of om bijv. sprinten met elektrische auto's of anders? Ik neem aan dat dit niet bij een standaard elektrische auto hoeft te gebeuren, of gaat het niet over een auto?

Het is denk ik wel wat serieuzer dan dat maar daar moet TS wat opener over zijn om bijpassende serieuzere antwoorden te kunnen geven

Bedankt voor de snelle reacties iedereen!

Ik had al een FMEA opgesteld, maar zal deze nog eens herbestuderen. Bedankt om me er aan te herinneren :)

Ik heb wel degelijk relais nodig. Handmatige schakelaars zullen natuurlijk ook geïntegreerd worden voor onderhoud, maar als iets fout gaat moet een automatische opening (battery cut off) mogelijk zijn.

Waarom denk je dat een relais sneller zou falen dan de microcontroller?

Vriendelijke groet

Op basis van een Risk Assessment (niet zozeer FMEA) bepaal je het vereiste SIL of PL nivo en "category" van de beveiliging.
Dan pak je de EN/ISO 13849 standaard erbij en ontwerp je het vereiste weiligheidscircuit.
Dat kan varieren van een simpel relaisje, tot een redundant zichzelf controlerend systeem met foutgeheugen.

[Bericht gewijzigd door FastFolkert op 11 oktober 2017 13:44:59 (22%)]

Es wäre gut Bücher kaufen, wenn man die Zeit, sie zu lesen, mitkaufen könnte. (Arthur Schopenhauer) - The whole problem with the world is that fools and fanatics are always so certain of themselves, and wiser people so full of doubts. (Bertrand Russell)
GJ_

Moderator

In "de veiligheid" worden relais als bewezen veilig gezien. Dat betekend dat je al snel aan een B10d waarde bereikt van 20.000.000 schakelingen.
Dat betekend dat je ook moet uitrekenen hoe vaak dat relais gaat schakelen i.v.m. vervanging. En dat je de gebruiker moet instrueren dat de relais uitsluitend bedoeld zijn voor de veiligheid, dus niet voor normaal schakelwerk.
Fouten moet je ook op tijd herkennen en ook daar scoren relais met gedwongen contacten erg goed met een DC waarde van 99% als er niks is opgegeven.
Fabrikanten kunnen ook hogere waarden opgeven.

Dit enkel om aan te geven hoe veilig relais worden gezien.

Op 11 oktober 2017 13:43:06 schreef FastFolkert:...bepaal je het vereiste SIL of PL nivo en "category" van de beveiliging

TS is niet bezig met machinebouw maar met voertuigen. De SIL of Pl is hier dus niet van toepassing en dus onbruikbaar.
Overigens is de categorie op zich niet een eindvereiste maar een hulpmiddel bij het bepalen van de haalbare Pl of SIL niveau's. Het is slechts de architectuur van de circuits die wel iets invloed heeft op de haalbare niveaus. De 13849 is alleen de Pl, voor SIL bestaan meerdere normen, afhankelijk van de toepassing.

Lambiek

Special Member

Op 11 oktober 2017 12:38:09 schreef GJ_:
Het is denk ik wel wat serieuzer dan dat maar daar moet TS wat opener over zijn om bijpassende serieuzere antwoorden te kunnen geven

Ja ik zie dat je al eerder reageerde met:

Op 11 oktober 2017 11:42:19 schreef GJ_:
--edit--
ik zie nu dat ik je met regels niet hoef lastig te vallen. Niet echt een hobbybob :-)

Blijkbaar weet jij meer dan wij. :) Want ik zie het niet, of moet verkeerd kijken.

Als je haar maar goed zit, GROETEN LAMBIEK.
Shiptronic

Golden Member

Nee ik zie het ook niet, Top Secret :( ?

Wie de vraag stelt, zal met het antwoord moeten leren leven.
GJ_

Moderator

Hahahaha, ik zie idd meer, maar het is niet aan mij om te bepalen wat TS wel en niet met jullie wil delen.

GJ is moderator, weet dus altijd iets meer maar kan dat natuurlijk niet vrijgeven, dat is aan TS.

edit: GJ was me al voor, ik zocht nog naar hetschakelingetje van hieronder.

Voor een veilig relais zou ik bij veiligheidsrelaiss kijken, bv Pilz.
Voor een vermogensrelais werd die (toen ik er nog in zat) min een factor 3 overbemeten en mocht dan als failsafe aangewend worden.
Als het risico nog wat groter was, bv onomkeerbaar letsel, dan moest dat redundant en bewaakt zijn, daar was een mooi schakelingetje voor waarin ze elkaar bewaakten maar heb ik zo niet bij de hand, iemand anders misschien?

Een voorbeeldje hoe Pilz het doet, maar dat is niet het schakelingetje dat ik bedoel.

Ik gok dat de TS zich heeft geregistreerd met een email adres van een bekend bedrijf.

Echter, ik ken mensen die heel goed weten waar ze mee bezig zijn zonder een grote bedrijfsnaam, maar ik ken ook een heleboel uitzonderlijke incompetente prutsers die bij Siemens, Bosch, of andere dergelijke bedrijven werken. Zo'n bedrijfsnaam zegt niet altijd iets.

Gezien de vraagstelling zou ik een stageopdracht of zo verwachten, of in ieder geval iemand die relatief nieuw is in het vakgebied.

Meerdere verschillende microcontrollers kunnen nuttig zijn, maar pas als je alle andere mogelijke oorzaken van fouten hebt uitgesloten. De kans dat je systeem iets gevaarlijks doet dat veroorzaakt wordt door een ontwerpfout van een microcontroller fabrikant is in de meeste gevallen veel kleinere dan de kans op een bug in je eigen software, of een ontwerpfout in je hardware. Als je verschillende microcontrollers gaat gebruiken, moet je daar ook verschillende software voor schrijven, waarbij je dus absoluut geen code deelt (want dan deel je ook bugs), de software op een verschillende manier hebt opgezet, die idealiter door verschillende programmeurs of zelfs bij verschillende bedrijven is ontwikkeld.

Ik heb ooit een workshop safety controllers bij Beckhoff gevolgd, die maken safety componenten die je aan een gewone, gedeelde CAN bus mag knopen. Daarbij is het uiteraard zo dat het wegvallen van de communicatie betekend dat het veiligheidssysteem in werking treed, en daarbij is dus de aanname gedaan dat het onterecht in werking treden van het systeem, waarmee dus een machine wordt gestopt, op zichzelf niet gevaarlijk is. Dat is voor voertuigen niet perse waar; ik heb ooit bij een bedrijf gewerkt waar een elektrische stadsbus niet meer uit zijn veiligheid wilde komen terwijl hij op een spoorwegovergang stond; dat maakt het leven spannend!

Bij die safety controllers werden de relais zowel high-side als low-side geschakeld, en die transistors werden continue bewaakt, door de om de beurt zeer kortstondig uit te schakelen, de spanning aan die kant van de spoel te meten, en weer terug in te schakelen. Dat gebeurde zo snel (sub-milliseconde) dat het relais in die tijd niet in beweging komt. Uiteraard waren de relais ook redundant uitgevoerd, en als één relais defect was, werkt de vrijgave van het systeem ook niet meer.

Bedenk, naast de voor de hand liggende failure modes (inschakelen terwijl iemand aan het systeem werkt, spontaan uitschakelen tijdens bedrijf, niet uitschakelen na een botsing, etc.) ook wat er gebeurd bij het in- en uitschakelen onder belasting. Waarschijnlijk zul je bijvoorbeeld een pre-charge constructie moeten voorzien voor de condensators in je motordrive; wat gebeurd er met je veiligheidsrelais als die pre-charge constructie niet gewerkt heeft? Wat gebeurd er als je het accupakket los gooit terwijl de motordrive een grote stroom trekt? Wat gebeurt er als je hem los gooit terwijl je maximaal regeneratief aan het remmen bent?

Een manager is iemand die denkt dat negen vrouwen in één maand een kind kunnen maken