Hög säkerhet i watchdog eller liknande

[Erik_Lind]

Håller på med ett system där det i vissa lägen kommer finnas högspänning(50kVolt).

Det som styr denna högspänning på/av är en mikrokontroller med intern watchdog aktiverad för att ge viss säkerhet om programmet skulle krasha och på så vis inte stänga av högspänningen vid önskat tillfälle.

Vid ett tillfälle blev systemet utsatt för rejäla störningar, det kom korta spänningspikar på uppåt 600volt som gick rakt in på 5v matningen till systemet vilket då totalt slog ut både mikrokontroller och den interna watchdogen.
Vilket gjorde att programmet inte kunde gå in och stänga av högspänningen.

Det sitter även diverse nyckelbrytare / nödstopp som bryter strömmen till hela systemet vilket då alltid kommer att slå av högspänningen. Men om man nu vill ha lite ytterligare säkerhet i själva mikrokontroller lösningen vad finns det för knep att ta till då?

Det känns som att man alltid får en mer eller mindre svag länk så länge man har halvledare med i spelet.
Även mekaniska relän kan ju låsa sig.

Hur gör man i t.ex medicinska system med röntgen strålning som inte får råka ligga på eller i flygplans konstruktioner?

Mvh/Erik

[Micke_s]

Har flera parallella system som alla måste säga okej innan du gör något.

[RDX*]

Kanske tänka på en extern/analog/elektomekanisk watchdog. Jag vet inte hur den skulle se ut men jag hade nog velat ha något extra seriellt säkerhetssystem utöver µC's watchdog.

[Micke_s]

En PIC10F kopplat till ett halvledar relå som stryper återkopplingen till matningsdelen på 50kV. för pic:en och halvledarreläet (t.ex. 37-433-09) så använder du t.ex. en http://www.analog.com/en/prod/0,2877,ADUM5241,00.html så har du isolering mellan själva huvudsystemet och PIC10F. Och sedan ska huvudprocessorn ge pulser enligt ett visst intervall(eller mönster), finns inte dessa så slår PIC10F av halvledarreläet som i sin tur dödar 50kV.

Edit: Denna skulle också kunna dra i reset på huvudprocessorn.
Faller 5 volt spänningen bort helt så dör också 50kV:en