Ik gok dat de TS zich heeft geregistreerd met een email adres van een bekend bedrijf.
Echter, ik ken mensen die heel goed weten waar ze mee bezig zijn zonder een grote bedrijfsnaam, maar ik ken ook een heleboel uitzonderlijke incompetente prutsers die bij Siemens, Bosch, of andere dergelijke bedrijven werken. Zo'n bedrijfsnaam zegt niet altijd iets.
Gezien de vraagstelling zou ik een stageopdracht of zo verwachten, of in ieder geval iemand die relatief nieuw is in het vakgebied.
Meerdere verschillende microcontrollers kunnen nuttig zijn, maar pas als je alle andere mogelijke oorzaken van fouten hebt uitgesloten. De kans dat je systeem iets gevaarlijks doet dat veroorzaakt wordt door een ontwerpfout van een microcontroller fabrikant is in de meeste gevallen veel kleinere dan de kans op een bug in je eigen software, of een ontwerpfout in je hardware. Als je verschillende microcontrollers gaat gebruiken, moet je daar ook verschillende software voor schrijven, waarbij je dus absoluut geen code deelt (want dan deel je ook bugs), de software op een verschillende manier hebt opgezet, die idealiter door verschillende programmeurs of zelfs bij verschillende bedrijven is ontwikkeld.
Ik heb ooit een workshop safety controllers bij Beckhoff gevolgd, die maken safety componenten die je aan een gewone, gedeelde CAN bus mag knopen. Daarbij is het uiteraard zo dat het wegvallen van de communicatie betekend dat het veiligheidssysteem in werking treed, en daarbij is dus de aanname gedaan dat het onterecht in werking treden van het systeem, waarmee dus een machine wordt gestopt, op zichzelf niet gevaarlijk is. Dat is voor voertuigen niet perse waar; ik heb ooit bij een bedrijf gewerkt waar een elektrische stadsbus niet meer uit zijn veiligheid wilde komen terwijl hij op een spoorwegovergang stond; dat maakt het leven spannend!
Bij die safety controllers werden de relais zowel high-side als low-side geschakeld, en die transistors werden continue bewaakt, door de om de beurt zeer kortstondig uit te schakelen, de spanning aan die kant van de spoel te meten, en weer terug in te schakelen. Dat gebeurde zo snel (sub-milliseconde) dat het relais in die tijd niet in beweging komt. Uiteraard waren de relais ook redundant uitgevoerd, en als één relais defect was, werkt de vrijgave van het systeem ook niet meer.
Bedenk, naast de voor de hand liggende failure modes (inschakelen terwijl iemand aan het systeem werkt, spontaan uitschakelen tijdens bedrijf, niet uitschakelen na een botsing, etc.) ook wat er gebeurd bij het in- en uitschakelen onder belasting. Waarschijnlijk zul je bijvoorbeeld een pre-charge constructie moeten voorzien voor de condensators in je motordrive; wat gebeurd er met je veiligheidsrelais als die pre-charge constructie niet gewerkt heeft? Wat gebeurd er als je het accupakket los gooit terwijl de motordrive een grote stroom trekt? Wat gebeurt er als je hem los gooit terwijl je maximaal regeneratief aan het remmen bent?