Blog
Fail-Safe Brandschutzvorhang-Steuerungsbox: Fallstudie zum Aufbau
- Klient Europäische Baustoffgruppe
- Projekt: 24VDC / 14A ausfallsichere Stromsteuereinheit
- Standard EN 12101-10
Das Problem mit der Schwerkraft
In der Brandschutztechnik sorgt man sich üblicherweise um das Feuer. Wir sorgen uns um die Schwerkraft.
Der Kunde kam zu uns, weil seine vorherige 350-W-Steuerung sich selbst zerstörte. Sie hatten eine einfache Anforderung: “Fail-Safe Schwerkraftauslösung.” Wenn der Strom abgeschaltet wird – sei es durch einen Brandmelder oder einen Stromausfall – löst sich die magnetische Bremse des Motors, und der Feuerschutzvorhang senkt sich ab.
Das Problem beim alten Design war die Physik. Der vorherige Hersteller interpretierte “Schwerkraftaktivierung” wörtlich. Sie schalteten einfach die Stromversorgung ab.
Im Jahr 2018 untersuchten wir die Trümmer eines Geräts, das von einem Testgelände in Manchester zurückgebracht worden war. Der Vorhang, ein schwerer Stahlverbundwerkstoff, war aus einer Höhe von 4 Metern im freien Fall heruntergefallen. Ohne elektronische Bremsung schlug er mit einer Geschwindigkeit von etwa 8,8 m/s auf dem Boden auf.
Der Aufprall verursachte nicht nur einen lauten Knall, sondern riss auch die M6-Schrauben ab, mit denen die Endschalter befestigt waren, und verursachte einen Riss im Getriebegehäuse des Rohrmotors. Der Vorhang wurde zwar technisch gesehen ausgelöst, doch das System war ein Totalschaden. Man kann von einem Gebäudeverwalter nicht erwarten, dass er bei jedem Fehlalarm einen $500-Motor austauscht.
Steuerung des Falls (Gegen-EMK-Logik)
Wir mussten dieses Problem beheben, ohne teure mechanische Fliehkraftbremsen einzubauen, was eine Neukonstruktion des Motorgehäuses des Kunden erfordert hätte. Die Lösung musste auf der Leiterplatte (PCBA) liegen.
Wir haben den Motor gegen sich selbst eingesetzt.
Wenn sich ein Gleichstrommotor ohne Stromversorgung dreht, wirkt er als Generator. Indem wir während des Absenkvorgangs einen geschlossenen Stromkreis über die Motorwicklungen herstellen, erzeugen wir eine “Gegen-EMK” (Back-EMF). Diese Kraft wirkt der Drehbewegung entgegen.
Design-Zielkonflikt
Wir haben zwei Möglichkeiten in Betracht gezogen, dies zu tun:
- 1. PWM-Bremsen: Verwenden Sie das MCU, um die MOSFETs zu pulsen, um die Geschwindigkeit zu steuern.
- Vorteile Einstellbare Geschwindigkeit.
- Nachteile Benötigt die Funktion des Mikrocontrollers. Stirbt die Batterie vollständig, versagt die Bremse und der Vorhang stürzt ab.
- 2. Passive Widerstandsbremsung: Verwenden Sie ein Relais (Schließer) zum Umschalten eines Leistungswiderstands über die Wicklungen bei Stromausfall.
- Vorteile Funktioniert auch, wenn die Leiterplatte durchgebrannt ist. Reine Physik.
- Nachteile Feststehende Geschwindigkeit basierend auf dem Widerstandswert.
Wir haben uns für Option 2 entschieden. Zuverlässigkeit überzeugt.
Entwurf des Widerstands: Wir benötigten eine Sinkgeschwindigkeit zwischen 0,15 m/s und 0,3 m/s. Jetzt, wenn der Strom ausfällt, fällt das Relais ab, der Widerstand schaltet sich ein und der Vorhang sinkt sanft herab. Keine zerbrochenen Getriebe.
Die “0,0V”-Falle und der Selbstmordtest
Die Schnittstelle zwischen der Brandmeldezentrale (FACP) und unserer Box ist eine einfache Zweidraht-Klemme. In der Spezifikation ist “spannungsfreier Kontakt” (Trockenkontakt) angegeben. Das bedeutet, dass die Brandmeldeanlage lediglich einen Schalter schließt. Es darf keine Spannung angelegt werden.
Die Realität auf Baustellen
Elektriker sind erschöpft. Sie arbeiten in dunklen Kellern. Wenn sie einen Klemmenblock sehen, schließen sie instinktiv ein 24-V-Aktivsignal daran an. Manchmal sogar 110 V.
In der vorherigen Version ging dieses Signal direkt an den MCU-GPIO-Pin.
Ergebnis: Das MCU ist explodiert.
Rücklaufquote: Etwa 121 TP3T aller Geräte wurden mit durchgebrannten Prozessoren zurückgeschickt. Der Kunde gab den Installateuren die Schuld; die Installateure wiederum machten die “billige Elektronik” dafür verantwortlich.”
Die Behebung
Wir haben das Vertrauen in die Installateure verloren. Wir gingen davon aus, dass sie versuchen würden, das Brett zu zerstören.
Wir haben die Eingabestufe neu gestaltet mit einem Omron G2RL-1-E Relaisschaltung mit einem Optokoppler (PC817X).
- Falls sie einen potentialfreien Kontakt senden? Die interne Logik funktioniert wie vorgesehen.
- Wenn 24V eingespeist werden? Der Optokoppler begrenzt den Strom. Die Schaltung übersteht dies.
- Was passiert, wenn 110 V angelegt werden? Der Eingangswiderstand brennt durch (als Schutzwiderstand), doch die teure MCU und der Rest der Platine bleiben unversehrt. Der Austausch eines $0,05-Widerstands ist besser als der Austausch eines $150-Mainboards.
Die Verifizierung: “Der Selbstmordtest”
Wir haben die FCT (Functional Circuit Test) Matrix aktualisiert. Wir haben eine spezielle Vorrichtung gebaut, die absichtlich 24 VDC für 5 Sekunden in den Trockenkontaktport einspeist.
- Falls die Platine raucht: Fehlschlag.
- Wenn der Schutz auslöst, aber zurückgesetzt wird: Passieren.
Batterieauslegung Mathematik
Die Norm EN 12101-10 fordert, dass das System für eine bestimmte Dauer (in der Regel 72 Stunden) zur Verfügung steht, wobei für dieses System der Klasse 1 aufgrund der Generatorunterstützung 4 Stunden + 1 Zyklus erforderlich waren.
Viele Ingenieure schauen nur auf die Ampere, multiplizieren sie mit den Stunden und wählen die nächstgrößere Batteriegröße. So kommt es im Winter zu Ausfällen.
Hier ist die tatsächliche Berechnung, die wir für den DFM-Bericht verwendet haben.
Parameter
- I-Standby (Ruhestrom): 80mA (Dies deckt den STM32-Mikrocontroller im Sleep-Modus, die BMS-Überwachung und eine Status-LED ab)
- T-Hold (Standby-Zeit): 4 Stunden
- I-Alarm (Motor-Anlaufstrom): 12A (Anlaufspitze) / 4A (Betrieb) (Wir verwenden den ungünstigsten Wert von 12A aus Sicherheitsgründen)
- T-Zyklus (aktive Zeit): 0,25 Stunden (15 Minuten) (Beinhaltet mehrere Wiederholungsversuche, falls der Vorhang klemmt)
Der Berechnungsentwurf
C-erforderlich=(I-bereitschaft×T-haltezeit)+(I-alarm×T-zyklus)
C-erforderlich=(0,08A×4h)+(12A×0,25h)
C-erforderlich=0,32Ah+3,0Ah=3,32Ah
Eine 4Ah-Batterie scheint ausreichend zu sein, nicht wahr? Nein.
Wir müssen die “Faktoren der realen Welt” anwenden:
- Altern (Kage): Blei-Säure-Batterien verlieren an Kapazität. Wir gehen davon aus, dass der Zustand nach 2 Jahren 80% beträgt.
- Temperatur (ktemp): Diese Kästen befinden sich in unbeheizten Treppenhäusern. Bei 10°C sinkt die Kapazität. Wir verwenden 0,8.
- Entladetiefe (kdod): Eine VRLA-Batterie darf nicht bis auf 0% entladen werden. Wir begrenzen die Entladung auf 80%, um eine Regeneration zu ermöglichen.
Überarbeitete Formel:
Auswahl
Wir haben uns für zwei 12V 7Ah VRLA-Batterien standardisiert (Reihenschaltung für 24V).
Warum VRLA und nicht Lithium?
Lithium ist attraktiv. Es ist auch leicht. Aber Lithium hört bei 0°C auf zu laden. VRLA ist schwer, billig und funktioniert bei Frost. Für eine Brandschutzbox, die 5 Jahre lang in einer Betonwand sitzt, ist VRLA immer noch der König.
(Hinweis: Wir müssen die Marke verifizieren. Wir bevorzugen Yuasa, aber Probleme in der Lieferkette könnten uns zu generischen Alternativen zwingen. Der Innenwiderstand der Alternativen muss getestet werden.)
Montage: Umgang mit der Hitze
Der Controller treibt eine 350W Last an. Der Spitzenstrom beträgt 14A.
In einer offenen Laborbank sind 14A überschaubar. Innerhalb einer spritzwassergeschützten Metallbox ist es ein Ofen.
Die Hauptwärmequelle ist die MOSFET-Brücke. Wir verwenden TO-247-Gehäuse.
Fett vs. Polster
Der vorherige Lieferant verwendete Silikon-Wärmeleitpads.
- Pad-Wärmeleitfähigkeit: ~1,5 W/mK.
- Dicke: 0,5 mm.
- Ergebnis: Während des 14A Burn-in-Tests erreichte die Gehäusetemperatur des MOSFETs 105 °C. Das ist zu nah am Grenzwert.
Wir haben auf Dow Corning TC-5026 Wärmeleitpaste umgestellt.
- Schmierstoffleitfähigkeit ~2,9 W/(m·K).
- Dicke: Siebdruck auf 0,08 mm.
- Ergebnis: Die Gehäusetemperatur fiel auf 82°C.
Das Drehmomentproblem
Fett ist schmierig. Es erfordert auch präzisen Druck. Wenn Sie den MOSFET zu fest anschrauben, quetschen Sie das gesamte Fett heraus und Metall berührt Metall (gut für die Wärme, schlecht, wenn die Oberfläche nicht perfekt eben ist). Wenn er zu locker ist, entstehen Luftspalte.
Wir stellten außerdem fest, dass ein zu festes Anziehen “Belastungen” verursachte.”
(Fehleraufzeichnung: Im 3. Quartal 2023 fielen 3 Einheiten nach 2 Monaten aus. Ursache: Mikrorisse im MOSFET-Epoxid, verursacht durch übermäßiges Drehmoment.).
Prozessaktualisierung:
Wir haben elektrische Schraubendreher (Kilews) mit einer Voreinstellung von 0,6 N·m implementiert.
Jeder Schraubvorgang wird im MES protokolliert. Wenn der Fahrer erkennt, dass die Schraube zu früh (verkeilt) oder zu spät (überdreht) sitzt, stoppt das Band.
Kalibrierung der Niederspannungsabschaltung (LVD)
Die Batterieschutzlogik ist entscheidend. Wenn wir zulassen, dass die Batterie auf 10V entladen wird, schaltet sich die Elektronik chaotisch ab. Wir brauchen einen kontrollierten Ausfall.
Wir haben den LVD-Schwellenwert auf 19,5 V gesetzt.
Warum 19,5 V?
- Nennspannung: 24V.
- Vollständig entladen (0%): ca. 21V (unter Last).
- Tiefentladungs-Schadenszone Unter 18 V.
Wir müssen die Stromzufuhr unterbrechen, bevor die Batterie zerstört wird, aber nachdem wir jeden nutzbaren Ampere daraus gewonnen haben.
Es gibt jedoch einen Haken. Wenn die Last (12A) anspringt, fällt die Spannung aufgrund des Innenwiderstands sofort ab. Wir möchten nicht, dass die LVD nur deshalb auslöst, weil der Motor gestartet ist.
Logik Angleichung
Wir haben einen “Debouncing”-Timer in die Firmware programmiert.
- Wenn die Spannung länger als 5 Sekunden unter 19,5 V liegt: Strom abstellen.
- Wenn die Spannung unter 18 V fällt (< 1 Sekunde Dauer, Motoranlaufstrom): Ignorieren.
Dies verhindert eine Fehlauslösung während des wöchentlichen Selbsttests.
Verifikationsmatrix
Wir führen keine Chargentests für dieses Produkt durch. Jede Einheit wird getestet.
| Testschritt | Parameter | Zweck / Warum wir es tun |
|---|---|---|
| Erdung | 25 A Wechselstrom, 60 s, < 0,1 Ω | Standard IEC 62368-1 Anforderung. Bei einer losen Schutzleiterverbindung wird das Metallgehäuse zu einer Stromschlaggefahr. |
| LVD-Reiseziel | Hochfahren der Gleichspannung auf 19,5V | Überprüfen Sie, ob die Komparatorlogik funktioniert. Toleranz ±0,2V. |
| Gegen-EMK-Last | Motor-Trennung simulieren | Prüfen Sie, ob der Entlastungswiderstand anspricht. Falls nicht, fällt der Vorhang zu schnell. |
| Volllast-Dauerlauf | 350W, 45°C Umgebung, 4h | Simulieren Sie einen Sommertag in einem Hauswirtschaftsraum. |
| Vibration | Zufällig, 10-500 Hz | Prüfen Sie, ob sich die schweren Transformator- oder Batteriehalterungen lockern. |
Abschließende Gedanken
Diese Box ist nicht intelligent. Sie verwendet keine KI. Sie stellt keine Verbindung zur Cloud her.
Es ist ein einfacher, schwerer, robuster Schalter, der Leistung, Schwerkraft und Wärme bewältigt.
Der Kunde war zunächst besorgt, dass unsere Lösung teurer sei als die bisherige Stückliste.
- Relais statt direkter GPIO.
- Marken-Wärmeleitpaste anstelle von billigen Pads.
- Überdimensionierte Batterien.
Nach 18 Monaten Produktion sank die Ausfallrate im Feld jedoch von 12% auf <0,1%.
Die Kosten für einen Garantieeinsatz vor Ort auf einer Baustelle belaufen sich auf etwa $500. Die Kosten für die zusätzlichen Komponenten betrugen $12.
Manchmal bedeutet gute Ingenieurskunst einfach, dass man Geld für die langweiligen Dinge ausgibt.
Häufig gestellte Fragen (FAQ)
Wir kümmern uns um den gesamten Produktlebenszyklus. Für dieses Brandschutzprojekt umfasste unser Leistungsumfang die PCB-Fertigung, die Beschaffung von Komponenten, die SMT/DIP-Montage, die Kabelbaumfertigung und die abschließende mechanische Integration in das Metallgehäuse.
Bei PCBCool positionieren wir uns als “schlüsselfertiger” Partner. Das bedeutet, Sie senden uns die Designdateien (Gerber/Stückliste/CAD), und wir liefern Ihnen eine voll getestete, einbaufertige Einheit. Diese Verantwortlichkeit aus einer Hand eliminiert das Schuldzuweisen, das entsteht, wenn Sie separate Lieferanten für Leiterplatten und Gehäuse in Anspruch nehmen.
Ja. Obwohl wir ein Hersteller und kein Zertifizierungslabor sind, führt unser Ingenieurteam eingehende DFM-Prüfungen (Design for Manufacturing) durch, um sicherzustellen, dass Ihr Design vor Produktionsbeginn den Compliance-Standards entspricht.
In diesem 350-W-Controllergehäuse stellten wir fest, dass das ursprüngliche thermische Design den Hitzetoleranztest nicht bestehen würde. Wir empfahlen den Wechsel von Wärmeleitpads zu einer spezifischen Wärmeleitpaste und passten das Komponentenlayout an. Außerdem stellen wir sicher, dass alle kritischen Komponenten (wie Relais und Steckverbinder) die erforderlichen UL/VDE-Kennzeichnungen für Ihre Abschlussprüfung tragen.
Hitze und Vibration sind die Hauptursachen für Ausfälle. Bei Hochleistungseinheiten verlassen wir uns bei kritischen Schritten nicht auf manuelle Montage.
- Thermisch Wir verwenden robotergestütztes Dosieren für thermische Schnittstellenmaterialien, um eine konsistente Wärmeübertragung von MOSFETs zu Kühlkörpern zu gewährleisten.
- Mechanik Wir setzen Drehmoment-gesteuerte elektrische Schrauber ein, die mit unserem MES (Manufacturing Execution System) verbunden sind. Wenn eine Schraube nicht exakt mit der vorgegebenen Spezifikation (z. B. 0,6 N·m) angezogen wird, stoppt das Produktionsband. Dies verhindert “lockere Schraube”-Ausfälle, die in Umgebungen mit starken Vibrationen häufig vorkommen.
Wir prüfen nicht nur, ob sich das Produkt “einschalten lässt”. Wir bauen maßgeschneiderte Prüfvorrichtungen, die die ungünstigsten Einsatzbedingungen simulieren. Bei lebensrettenden Geräten führen wir 100%-Prüfungen durch (keine Stichprobenprüfung). Unsere Tests umfassen Vollast-Einbrenntests (stundenlanger Betrieb bei maximaler Leistung), Sicherheitsprüfungen der Erdungsverbindung sowie Fehlersimulationen (wie unseren “Suicide-Test”, bei dem wir absichtlich Spannung in geschützte Anschlüsse einspeisen, um sicherzustellen, dass die Sicherheitsschaltungen funktionieren). Wir ordnen jedes Testergebnis der Seriennummer des Geräts zu.
Wir beziehen streng von autorisierten Distributoren (wie Arrow, Avnet oder direkt von Herstellern), um die Rückverfolgbarkeit zu gewährleisten und Fälschungen zu vermeiden. Bei Komponenten mit begrenzter Haltbarkeit, wie den VRLA-Batterien, die in Brandmeldern verwendet werden, verwalten wir Chargencodes streng. Wir überprüfen, ob die Batterien frisch sind und die spezifischen Anforderungen an den Innenwiderstand für die 4-Stunden-Standby-Berechnung erfüllen. Wir ersetzen niemals “gleichwertige” Marken für kritische Stromversorgungsteile ohne schriftliche Genehmigung der Ingenieure.
Andy ist ein erfahrener Profi aus der Leiterplattenindustrie mit jahrzehntelanger Erfahrung in der Leiterplattenfertigung, -montage und im Kundensupport. Bei PCBCool leitet er das Marketingteam und hilft dabei, praktische Projekterfahrungen in nützliche technische Inhalte für Ingenieure, Einkäufer und Produktentwickler umzuwandeln.
