Noções básicas de segurança elétrica no design de dispositivos eletrônicos

Olá Habr!

Após a onda levantada pelo meu post anterior , um número bastante notável de pessoas me perguntou (no Facebook, no PM etc.) em que prestar atenção, para que, em vez de um soquete inteligente em um arduino, você não receba outra eutanásia em tigela .


O tópico é grande e complicado, mas tentarei destacar os pontos principais - principalmente com base nos erros que vi em todos os tipos de dispositivos e projetos reais, incluindo os publicados em Habré. Não listarei os GOSTs por um tempo longo e tedioso, mas listarei as coisas muito básicas que você precisa entender e observar para não se matar pelo menos (se você planeja não matar aqueles ao seu redor também, depois de concluir este artigo, não tenha preguiça de percorrer os GOSTs relevantes).

Então, você fará um dispositivo que pelo menos uma de suas extremidades se conecte à tomada.

Determine o grau de perigo potencial.

Nem todos os dispositivos são igualmente perigosos - além disso, os dispositivos com a mesma finalidade podem ser mais ou menos perigosos, dependendo do modelo de uso. Fatores perigosos podem incluir:

1. Facilidade de contato humano com peças condutoras - por exemplo, esse contato é possível em um ambiente doméstico ou devem ser tomadas ações especiais para alcançá-lo (por exemplo, entrar em um painel elétrico)
2. Qualificação das pessoas a quem o dispositivo se destina - pode ser crianças, adultos não profissionais ou adultos. A compreensão do perigo de choque elétrico pode ser esperada apenas a partir deste último, a partir deste último - a falta máxima de ação direcionada para quebrar o dispositivo.
3. A presença de contato elétrico constante com o corpo humano ou a possibilidade de um contato que a pessoa não possa se livrar - o primeiro inclui, por exemplo, todos os dispositivos médicos com eletrodos vestíveis, o segundo - por exemplo, instalações em um espaço muito limitado no qual uma pessoa agarra acidentalmente para um eletrodo sob tensão, ele não poderá se libertar.
4. A presença perto de outros dispositivos aterrados ou, pelo contrário, dispositivos energizados - por exemplo, o gabinete é aterrado no painel elétrico, de modo que segurar a porta com uma mão e segurar acidentalmente o fio elétrico facilita a localização dos antepassados. Por outro lado, os não profissionais não devem subir dentro da blindagem, e o aterramento de sua carcaça protege os outros da aparência de voltagem perigosa, por exemplo, se o fio da fase quebrar dentro da blindagem e a blindagem tocar acidentalmente a carcaça da blindagem por dentro.
5. Fatores que reduzem significativamente a tensão de ruptura - em primeiro lugar, alta umidade, especialmente com condensação e, em segundo lugar - baixa pressão do ar (para dispositivos usados ​​em altitudes superiores a 2000-3000 m, os requisitos para intervalos de proteção de ar entre as partes condutoras começam a crescer rapidamente )

Observe que em condições de vida completamente comuns, você pode obter uma combinação de vários fatores ao mesmo tempo - por exemplo, casos conhecidos de morte de pessoas carregando smartphones no banheiro. Em primeiro lugar, umidade muito alta com condensação - ao entrar no carregador, o ar úmido reduz bastante a força elétrica do isolamento entre os circuitos primário e secundário, como resultado de uma quebra de 230 V no conector de carregamento USB se torna mais do que provável (e em artigos chineses completamente garantido). Em segundo lugar, as banheiras de metal e os canos de abastecimento de água devem ser aterrados para garantir que não exista um potencial de risco de vida neles - e especialmente entre eles. Em terceiro lugar, uma pessoa sentada em um banho não apenas possui um contato elétrico muito bom, mas também um contato do qual ainda não consegue se livrar rapidamente.

Subtraia qualquer uma dessas circunstâncias - e o processo de carregar seu iPhone favorito é novamente completamente seguro.

Em geral, se o seu dispositivo pertencer, pelo menos por algum motivo, à zona de risco - é melhor não fazê-lo, porque entender como fabricar adequadamente o dispositivo para essas condições não é trivial e requer experiência adequada.

Do que e do que estamos nos isolando?

Essa pergunta parece trivial, mas a maioria dos ofícios se encaixa nela.

A resposta trivial: isolamos os circuitos nos quais o usuário pode tocar (os chamados circuitos secundários), dos circuitos conectados (os chamados circuitos primários).

Um pouco menos trivial é a resposta para a pergunta de que voltagem estamos isolando. Por um lado, temos uma tensão de 230 V rms na tomada, totalizando 324 V rms - bem, digamos, mesmo se obtivermos 380 V rms como resultado da mesma queima de zero, serão "apenas" 536 V rms.

No entanto, fabricar isolamentos resistentes a 600-800 V não é suficiente .

O problema é que, na rede, é raro, mas com precisão, explosões de tamanho significativamente maior podem acontecer - além disso, elas podem estar em fase (por exemplo, com um curto raio), ou seja, induzida simultaneamente nos fios neutro e de fase. Nesse caso, a tensão "no soquete" não muda significativamente em relação aos 230 V normais, mas a tensão entre o soquete e qualquer outro "terra" pode exceder brevemente esses 230 V às vezes.

Você não deve confiar na falta desse pulso - se ele romper o isolamento do seu dispositivo, uma corrente também poderá fluir ao longo do caminho de interrupção em uma tensão mais baixa. As opções aqui são desde a destruição física do isolamento até a ignição da descarga - como em uma lâmpada fluorescente, na qual uma descarga de brilho é acionada por um pulso de 800 volts do iniciador e, em seguida, queima da corrente normal de 230 V CA por tempo ilimitado.

Por esse motivo, o isolamento entre os circuitos primário e secundário dos dispositivos domésticos é calculado com uma tensão de 2,5 kV .

Digressão lírica: você pode ler sobre isso em detalhes, por exemplo, no GOST IEC 60950-1-2014 ou GOST IEC 60065-2013 , que são referenciados no documento fundamental - Regulamento Técnico da União Aduaneira (TR CU) 004/2011 "Sobre a segurança de equipamentos de baixa tensão" . Em particular, ambos os documentos indicam que, para redes de fontes de alimentação com tensão de operação de até 300 V, uma possível tensão transitória de até 2500 V. De acordo com documentos semelhantes, em princípio, o mundo inteiro vive sob os nomes GOST, IEC ou UL 60950.



Etiqueta da IEC 60950. Em geral, ao calcular a segurança do usuário, a norma recomenda que todas as redes sejam atribuídas à categoria II.

Um ponto importante: a presença de isolamento não significa que nenhuma corrente possa fluir entre os circuitos primário e secundário do dispositivo. Em alguns casos, é impossível ou irracional evitar essa corrente - por exemplo, na troca de fontes de alimentação, um pequeno capacitor é instalado entre o primário e o secundário para reduzir a interferência. Nesse caso, o dispositivo deve ser projetado de modo que a corrente de fuga entre o primário e o secundário não exceda, em nenhuma circunstância, o limite de segurança (3,5 mA para equipamentos fixos domésticos, 0,25-0,75 mA para equipamentos portáteis; para equipamentos médicos normas, são 10 a 100 vezes mais difíceis, dependendo do tipo de equipamento; aqui você pode ver a apresentação sobre as diferenças de requisitos).

Portanto, nossos requisitos mínimos são de isolamento com uma força de 2,5 kV entre os circuitos primário e secundário, com uma corrente de fuga em condições normais não superiores a 3,5 mA.

Como podemos isolar isso?

1. Todos os componentes que conectam os circuitos primário e secundário devem ser classificados para uma tensão de isolamento de pelo menos 2,5 kV. Em uma fonte de alimentação comutada, geralmente é um transformador, um acoplador óptico de feedback e um capacitor de supressão de ruído.
2. Não deve haver nenhuma conexão direta dos circuitos primário e secundário.
3. Os capacitores de supressão de ruído que conectam os circuitos primário e secundário devem ser oficialmente certificados para uma classe de pelo menos Y2 ( capacitores Y2 com classificação de segurança ) - esses e somente esses capacitores podem ser usados ​​em circuitos nos quais uma falha no capacitor é perigosa. Os capacitores da classe Y2 são marcados na tensão CA efetiva para a qual foram projetados ("250VAC"), enquanto garantem resistência a pulsos únicos com tensão de até 5 kV. Nenhum outro capacitor, incluindo os rotulados de 3 kV e acima, mas que não possuam uma classe de segurança, não deve ser usado nesses circuitos. Um exemplo típico são os capacitores da série Murata DE2 . Para isolamento reforçado (veja abaixo), capacitores da classe Y1, como Murata DE1 , devem ser usados.
4. Ao projetar uma placa de circuito impresso, os espaços entre os condutores, as peças e o corpo do dispositivo devem ser projetados para tensão de ruptura de pelo menos 2,5 kV.

Obviamente, a parte mais interessante começa com o design das placas de circuito impresso. O fato é que "eles são classificados para uma tensão não inferior a" - essa é uma frase sobre nada; sob condições reais de operação, vários fatores podem desempenhar um papel, como a duração da exposição à tensão, o estado da superfície da placa, a umidade do ar, a presença ou ausência de condensação de umidade ... Para lidar com eles, a IEC 60950 apresenta vários métodos para classificar esses fatores e a resistência do isolamento não é indicada em volts e em milímetros da folga mínima necessária - levando em consideração a probabilidade de colapso dessa lacuna e as consequências para as quais ela levará. Como resultado, a proteção contra o mesmo surto acidental de 2,5 kV em uma rede de fornecimento de Categoria II será completamente diferente, dependendo se a falha dessa proteção pode matá-lo ou não.

Primeiro, a IEC 60950 introduz quatro classes de isolamento, dependendo de sua finalidade e, consequentemente, da confiabilidade necessária (mais precisamente, a probabilidade de falha multiplicada pelas consequências dessa falha):

1. Funcional - necessário para o funcionamento do próprio dispositivo, mas não fornece proteção ao usuário.
2. Básico - fornece um nível inicial de proteção ao usuário, mas não é confiável o suficiente para dispensar uma segunda barreira de proteção.
3. Suplementar é a segunda barreira protetora. Tem a mesma força que o básico.
4. Reforçado - isolamento de maior resistência, que pode ser usado sem uma segunda barreira de proteção. Tem o dobro da força que o básico.

Além disso, muito foi escrito sobre várias opções para a implementação de isolamento (os padrões IEC são pagos, mas entendemos que há tudo no Yandex ?) E nos concentramos nos requisitos para placas de circuito impresso em dispositivos domésticos.

Para avaliar as capacidades dielétricas de vários materiais, a IEC 60950 as divide em grupos de acordo com o parâmetro CTI (Comparative Tracking Index) - quanto maior o CTI, melhores as propriedades isolantes do material:

• Grupo IIIb - 100 <CTI <175
• Grupo IIIa - 175 <CTI <400
• Grupo II - 400 <CTI <600
• Grupo I - CTI> 600

A fibra de vidro convencional FR4 possui CTI = 175, ou seja, pertence ao grupo III, aos limites entre os subgrupos IIIa e IIIb.

Além disso, as propriedades dielétricas de um material, uma descarga na qual pode ocorrer em sua superfície (o caso de uma placa de circuito impresso), dependem do nível de contaminação dessa superfície; portanto, a IEC 60950 introduz várias classes generalizadas de poluição (nas definições padrão e mais formalizadas, abaixo as anexarei às condições operacionais). ):

• Nível I - poluição que não prejudica a força elétrica do isolamento. Aplica-se apenas a equipamentos em salas limpas ou em recintos fechados que impedem a entrada de poluentes domésticos.
• Nível 2 - escritório ou ambiente doméstico, os possíveis poluentes geralmente não conduzem corrente, mas em casos raros, quando condensados, podem se tornar condutores.
• Nível 3 - ambiente industrial, empresas agrícolas, especialmente instalações sem aquecimento. Os poluentes podem conduzir corrente, tanto no caso de condensação quanto sem ela.
• Nível 4 - use sem proteção do ambiente externo, exposição regular à água ou neve.

Observo que o nível de proteção desejado pode ser implementado usando gabinetes externos adequados - por exemplo, um dispositivo com nível 2 pode ser operado ao ar livre ao usar um gabinete selado.

Finalmente, a IEC 60950 utiliza dois métodos para medir a distância, formando um espaço isolante - folga e fluência.

• Folga - a menor distância entre os condutores.
• Rastejamento - a distância entre os condutores na superfície da placa de circuito impresso.

No nosso caso, para uma tensão nominal de 230 V ± 10% no soquete, é necessário focar nos requisitos de isolamento em redes de tensão de até 300 V rms, amplitude de 420 V e amplitude de até 420 V durante transientes.

Dependendo do tipo de isolamento (não consideramos o isolamento funcional, pois estamos falando de segurança do usuário), a distância mínima exigida na placa de circuito impresso será:

• Básico: 3,0 mm se o dispositivo tiver isolamento adicional
• Reforçado: 6,0 mm se o dispositivo não possuir isolamento adicional

No entanto, se retornarmos ao capacitor Y mencionado acima, podemos observar facilmente que a distância máxima entre suas pernas na folha de dados é de 7,5 mm.



Como você pode ver, levando em consideração as pastilhas de contato, será problemático obter a distância entre os condutores de 6,0 mm, se não começarmos a separar as pernas manualmente.

Felizmente, existe uma saída simples - como você pode ver na figura acima, a fluência pode ser aumentada fazendo um corte no texto. O ar tem uma força dielétrica mais alta que o FR4 - para ele, a tensão de ruptura se aproxima de 3 kV / mm e, por razões de segurança, geralmente é assumido que seja 1-1,5 kV / mm. A IEC 60950 exige um espaço de ar para circuitos de até 300 V, uma largura de 2,0 mm para isolamento básico e 4,0 mm para reforço (se a produção tiver um programa de controle de qualidade que atenda aos requisitos da norma, a largura poderá ser reduzida para 1,5 mm e 3,0 mm, mas agora este não é o nosso caso).

Ou seja, podemos fornecer o isolamento necessário com 4 mm de ar ou 6 mm de placa de circuito impresso.

Devido à complexidade do problema, o padrão não considera uma combinação de ar e uma placa de circuito impresso, mas na prática é uma combinação usada na maioria dos casos - é feito um corte entre os circuitos primário e secundário:



Nesse caso, fazendo um recorte de 2 mm de largura e um pouco mais do que a largura dos campos de terra, obtivemos uma fluência mínima de 6,48 mm, que atende ao requisito de isolamento reforçado, e através do corte, se contado “na testa” - 3,7 mm de PCB e 2,0 mm de ar, cada um dos valores corresponde ao requisito de uma camada de isolamento básico, para que no total também possam ser considerados suficientes.

Agora você pode viver com isso.

Observo que o design correto da placa não isenta de problemas com a localização dos componentes: entre quaisquer partes condutoras do primário e do secundário, deve haver pelo menos 2 mm de ar e, no caso de um gabinete não aterrado, o padrão exige 10 mm de ar entre o isolamento reforçado e o primário.

PS Para ser justo, acrescento que, para isolamento reforçado, são capacitores da classe Y1, que geralmente têm uma distância entre as pernas de 10 mm. No entanto, isso não elimina a necessidade de slots na placa de circuito impresso onde não é possível manter um espaço de pelo menos 6 mm por várias razões - devido à instalação apertada, outros componentes com folga insuficiente entre os terminais, etc. Além disso, mesmo que você use capacitores Y2 e garanta apenas isolamento básico, o estabelecimento de todos os outros componentes, incluindo o design da placa de circuito impresso, definitivamente não será supérfluo com uma margem de segurança.

Além disso, os slots na placa de circuito impresso têm mais alguns lados positivos - por exemplo, a sujeira não se acumula na superfície devido à ausência dessa superfície e, com a higroscopicidade, eles são bons. No entanto, a presença de slots em si não diz nada sobre a segurança do design, bem como sua ausência - sobre sua insegurança.

Erros clássicos

Um erro fatal óbvio é, obviamente, uma completa desconsideração dos requisitos de segurança e manutenção de brechas entre os circuitos primário e secundário na escala de 0,5-1 mm, de acordo com o princípio "quando você ligou pela primeira vez ninguém morto - isso significa que tudo está em ordem". Aqui, por exemplo, é um típico documentário amador alemão, no qual belos slots de isolamento funcional são fresados ​​entre condutores de rede, mas, ao mesmo tempo, uma folga milimétrica entre a entrada de 230 V e o terra secundário, no qual o conector USB é livremente acessível ao usuário, inclui esse design em 230 V é simplesmente uma ameaça à vida.

Além de erros fatais garantidos, erros potencialmente fatais ocorrem regularmente.

Primeiro, desenvolvedores inexperientes percebem intuitivamente como uma alta tensão entre os dois fios da rede de 230 V, mas não entre o primário e o secundário - e estabelecem os slots entre eles. Isso não tem sentido se as faixas de rede se aproximam da placa, e isso está relacionado ao fornecimento de isolamento funcional , mas não diretamente relacionado à segurança - no final, no circuito padrão entre esses fios, você deve ter um varistor a tensão operacional é de cerca de 430 V, portanto não haverá muito mais lá. Além disso, se um pulso de modo comum de alta tensão chegar até você, nada de particularmente interessante acontecerá entre os fios da rede.

Mas entre o primário e o secundário - ainda como isso vai acontecer.

Em segundo lugar, o espaço no tabuleiro por desenvolvedores inexperientes é percebido como algo decorativo ou como uma bala de prata e uma cura para todas as doenças de uma só vez.Por exemplo, o próprio Bitronics Lab publicou fotos de seu desacoplamento USB, que prometem distribuir gratuitamente a todos os compradores de um kit perigoso, e se gabou de que ele foi fabricado com uma margem de 5 kV:



Para facilitar o cálculo, esboçarei rapidamente no DipTrace, para o benefício do nome dos componentes são conhecidas e as dimensões das fendas podem ser facilmente calculadas a partir da figura - a largura é de 2 mm, o comprimento não excede a largura dos componentes. Não sabemos como a placa é inundada com terra, mas assumiremos que os polígonos não se estendem além dos limites das pernas dos componentes.



Total: ADuM4160 - folga de 5,4 mm para PCB + 2 mm de ar, fluência 2,73 * 2 + 2 = 7,46 mm; AM2D - folga de 4,12 mm para PCB + 2 mm de ar, fluência de 6,75 mm. Os valores são aproximados, pois a forma dos locais pode variar, mas ± 0,1 mm aqui claramente não nos importamos.

É fácil perceber que os parâmetros reais excedem apenas ligeiramente os requisitos da IEC 60950 para uma rede de 300 V com emissões de até 2500 V para o caso de isolamento reforçado - e, como no caso do Bitronix Lab, estamos falando basicamente de equipamentos médicos com contato direto com o corpo humano, É recomendável projetá-lo para o nível mais alto possível de proteção.

A resistência real garantida do isolamento de toda a estrutura não será superior a 3 kV. Declarações de cerca de 5 kV com esta placa são inapropriadas - não foram projetadas para esse nível de proteção. Nesse caso, era possível, mesmo sem aumentar as dimensões da placa de circuito impresso, aproximar o isolador e o DC / DC um do outro e criar um único slot embaixo deles, estendendo-se pelo menos um milímetro da parte superior e inferior dos componentes.

Observo que em altas tensões - de 5 kV ou mais - a forma dos condutores também começa a desempenhar um papel: a força do campo e, consequentemente, a probabilidade de quebra é maior nas partes pontiagudas.

Como verificar um dispositivo existente?

Embora os testes de laboratório de acordo com os métodos GOST sejam impossíveis para a maioria dos amadores, para empresas pequenas eles são desagradáveis ​​em custo e duração, existem dispositivos à venda que permitem avaliar aproximadamente a segurança dos dispositivos - esses são medidores de resistência de isolamento de alta tensão .

De fato, esses são medidores de gigaohmômetro (com um limite superior de 10 a 20 GΩ), quando medidos, eles fornecem alta tensão às sondas - 1000 V para modelos de baixo custo e 2500 V para os mais caros.

Se você estiver desenvolvendo dispositivos plug-in ou estiver interessado na segurança dos produtos chineses, recomendo comprar pelo menos algo como o UT-502A (também está disponível no Chip-dip, mas caro).

Se o seu dispositivo aguentou 10 segundos sob a tensão de 2500 V fornecida por ele, tudo não será completamente inútil. Tais testes não são motivos para considerar que o dispositivo está em conformidade com os padrões - como é fácil ver, em geral, mesmo uma camada de isolamento funcional já é necessária para suportar tais tensões, embora a probabilidade de quebra seja considerada muito alta para ser usada para proteger o usuário.

Testar o equipamento com um pulso de voltagem de 5 kV seria mais indicativo, mas, infelizmente, esses dispositivos já valem outro dinheiro.

Por outro lado, se mesmo a 2,5 kV, seu dispositivo mostrou algo diferente do limite superior do gigaohmímetro, agora você sabe o que fazer com ele .