Основы электробезопасности при проектировании электронных устройств

Привет, Хабр!

После волны, поднятой моим предыдущим постом, довольно заметное число людей спрашивали меня (в фейсбуке, в личке и т.п.), на что, собственно, обращать внимание, чтобы вместо умной розетки на ардуино не получить очередной тазик-эвтаназик.

vjs9z3pwsytwvbhvvu6crhmxcxs.jpeg

Тема это большая и сложная, но я постараюсь выделить основные моменты — не в последнюю очередь на основании ошибок, которые я видел во всевозможных реальных устройствах и проектах, в том числе публиковавшихся на Хабре. Я не буду долго и нудно перечислять ГОСТы, но перечислю совсем базовые вещи, которые необходимо понимать и соблюдать, чтобы не убить хотя бы себя (если вы планируете не убивать также и окружающих, то после завершения этой статьи не поленитесь пролистать и релевантные ГОСТы).

Итак, вы собрались делать устройство, которое как минимум одним своим концом включается в розетку.

Определите степень потенциальной опасности

Не все устройства одинаково опасны — более того, устройства с одним и тем назначением могут быть более или менее опасны в зависимости от модели их использования. К факторам, определяющим опасность, могут относиться:

  1. Лёгкость контакта человека с токопроводящими частями — например, возможен ли этот контакт в бытовых условиях или для его достижения надо предпринимать специальные действия (например, влезть в электрощиток)
  2. Квалификация людей, для которых устройство предназначено — это могут быть дети, взрослые непрофессионалы или взрослые професионалы. Понимания опасности поражения током можно ожидать только от последних, от вторых — максимум отсутствия целенаправленных действий по поломке устройства.
  3. Наличие постоянного электрического контакта с телом человека или возможность появления такого контакта, от которого человек не сможет избавиться — к первому относятся, например, все медицинские приборы с нательными электродами, ко второму — например, установки в сильно ограниченном пространстве, в котором человек, случайно схватившийся за электрод под напряжением, не сможет самостоятельно освободиться.
  4. Наличие вблизи других заземлённых устройств или, наоборот, устройств под напряжением — скажем, у электрощитка заземлён корпус, так что, держась одной рукой за его дверцу, а другой случайно взявшись за провод под напряжением, отправиться к праотцам особенно легко. С другой стороны, непрофессионалы не должны вообще лазить внутрь щитка, а остальных заземление его корпуса защищает от появления на нём опасного напряжения, например, при обрыве внутри щитка фазного провода и случайном касании этим проводом корпуса щитка изнутри.
  5. Факторы, значительно снижающие напряжение пробоя — в первую очередь это высокая влажность, особенно с конденсацией, во вторую — пониженное давление воздуха (для устройств, которые применяются на высотах более 2000–3000 м, начинают быстро расти требования к величинам защитных воздушных зазоров между токопроводящими частями).

Обратите внимание, что в совершенно обычных бытовых условиях можно получить комбинацию сразу нескольких факторов — например, известные случаи убийства людей заряжающимися смартфонами в ванной. Во-первых, очень высокая влажность с конденсацией — попадая внутрь зарядного устройства, влажный воздух сильно снижает электрическую прочность изоляции между первичными и вторичными цепями, в результате чего пробой 230 В на USB-разъём зарядки становится более чем вероятным (а в китайских поделиях так и вовсе практически гарантированным). Во-вторых, металлические ванны и трубы водоснабжения должны быть заземлены, чтобы гарантировать отсутствие на них — и особенно между ними — опасных для жизни потенциалов. В-третьих, человек, сидящий в ванне, имеет не просто очень хороший электрический контакт с ней, а контакт, от которого он ещё и не может быстро избавиться.

Вычтем любое из этих обстоятельств — и процесс зарядки любимого айфона становится снова вполне безопасным.

В целом, если ваше устройство относится хотя бы по каким-то признакам к зоне риска — лучше всего его не делать, ибо понимание, как правильно сделать устройство для таких условий, в целом достаточно нетривиально и требует соответствующего опыта.

Что и от чего мы изолируем?

Этот вопрос кажется тривиальным, но большинство поделок заваливаются именно на нём.

Тривиальный ответ: мы изолируем цепи которых может коснуться пользователь (т.н. вторичные цепи), от цепей, которые включены в розетку (т.н. первичные цепи).

Чуть менее тривиален ответ на вопрос, от какого напряжения мы изолируемся. С одной стороны, в розетке у нас 230 В среднеквадратичного напряжения, итого 324 В амплитудного — ну, допустим, даже если в результате того же отгорания нуля мы получим 380 В среднеквадратичного, это будет «всего лишь» 536 В амплитудного.

Тем не менее, сделать изоляцию, выдерживающую 600–800 В, совершенно недостаточно.

Проблема заключается в том, что в сети редко, но метко могут случаться всплески существенно большей величины — более того, они могут быть синфазными (например, при близком ударе молнии), т.е. наведёнными одновременно в нулевом и фазном проводах. В этом случае напряжение «в розетке» существенно не изменится относительно нормальных 230 В, а вот напряжение между розеткой и какой-либо другой «землей» может кратковременно превысить эти 230 В в разы.

На кратковременность такого импульса полагаться не стоит — если он пробьёт изоляцию вашего устройства, по пути пробоя может потечь ток и при более низком напряжении. Варианты тут от просто физического разрушения изоляции до зажигания разряда — как в люминисцентной лампе, в которой тлеющий разряд запускается 800-вольтовым импульсом со стартёра, а дальше горит уже от обычных 230 В переменного тока неограниченное время.

По этой причине изоляцию между первичными и вторичными цепями бытовых устройств рассчитывают на напряжение 2,5 кВ.

Лирическое отступление: очень подробно про это можно почитать, например, в ГОСТ IEC 60950–1–2014 или ГОСТ IEC 60065–2013, на которые ссылается основополагающий документ — Технический регламент Таможенного союза (ТР ТС) 004/2011 «О безопасности низковольтного оборудования». В частности, оба документа указывают для сетей электропитания с действующим напряжением до 300 В возможное напряжение переходных процессов до 2500 В. По аналогичным документам живёт, в принципе, весь мир — под названиями ГОСТ, IEC или UL 60950.

xuuzsgkb43geqlxgmknj7_s0plq.png

Табличка из IEC 60950. В общем случае при расчётах, касающихся безопасности пользователя, стандарт рекомендует относить все питающие сети к категории II.

Важный момент: наличие изоляции не означает, что между первичной и вторичной цепями устройства не может протекать ток. В некоторых случаях избежать такого тока невозможно или неразумно — например, в импульсных источниках питания для снижения помех между первичкой и вторичкой стоит конденсатор небольшой ёмкости. В таком случае устройство должно быть спроектировано так, чтобы ток утечки между первичкой и вторичкой ни при каких обстоятельствах не превышал безопасный предел (3,5 мА для бытового стационарного оборудования, 0,25–0,75 мА для носимого оборудования; для медицинского оборудования свои нормы, они жёстче в 10–100 раз в зависимости от типа оборудования, тут можно посмотреть презентацию про различия в требованиях).

Итак, наши минимальные требования — изоляция прочностью 2,5 кВ между первичными и вторичными цепями с током утечки при нормальных условиях не более 3,5 мА.

Как мы это изолируем?

  1. Все компоненты, соединяющие первичные и вторичные цепи, должны быть рассчитаны на напряжение изоляции не менее 2,5 кВ. В импульсном источнике питания это, как правило, трансформатор, оптрон обратной связи и помехоподавляющий конденсатор.
  2. Никаких прямых соединений первичных и вторичных цепей быть не должно.
  3. Помехоподавляющие конденсаторы, соединяющие первичную и вторичную цепи, должны быть официально сертифицированы по классу не ниже Y2 (safety rated Y2 capacitors) — такие и только такие конденсаторы можно применять в цепях, где выход конденсатора из строя несёт опасность. Конденсаторы класса Y2 маркируются в действующем напряжении сети переменного тока, на которое они рассчитаны (»250VAC»), при этом для них гарантируется устойчивость к одиночным импульсам напряжением до 5 кВ. Никакие другие конденсаторы, включая маркированные на 3 кВ и выше, но не имеющие класса безопасности, в подобных цепях использоваться не должны. Типовой пример — конденсаторы Murata серии DE. Для reinforced insulation (см. ниже) должны применяться конденсаторы класса Y1.
  4. При проектировании печатной платы зазоры между проводниками, деталями и корпусом устройства должны быть рассчитаны на пробивное напряжение не ниже 2,5 кВ.

С проектированием печатных плат начинается, разумеется, самое интересное.

Во-первых, вышеупомянутый IEC 60950 вводит четыре класса изоляции в зависимости от её назначения и, соответственно, требуемой надёжности (точнее, вероятности отказа помножить на последствия этого отказа):

  1. Functional — необходимая для функционирования самого устройства, но не обеспечивающая защиты пользователя.
  2. Basic — обеспечивающая начальный уровень защиты пользователя, но недостаточно надёжная, чтобы обойтись без второго защитного барьера.
  3. Supplementary — второй защитный барьер. Имеет такую же прочность, как и Basic.
  4. Reinforced — изоляция повышенной прочности, которую можно применять без второго защитного барьера. Имеет вдвое большую прочность, чем Basic.

Далее про различные варианты реализации изоляции написано достаточно много (МЭКовские стандарты платные, но мы же понимаем, что в яндексе найдётся всё?), остановимся на требованиях к печатным платам в бытовых устройствах.

Для оценки диэлектрических способностей различных материалов IEC 60950 делит их на группы по параметру CTI (Comparative Tracking Index) — чем выше CTI, тем лучше изолирующие свойства материала:

  • Группа IIIb — 100 < CTI < 175
  • Группа IIIa — 175 < CTI < 400
  • Группа II — 400 < CTI < 600
  • Группа I — CTI > 600

Обычный стеклотекстолит FR4 имеет CTI = 175, то есть, относится к группе III, к границам между подгруппами IIIa и IIIb.

Кроме того, диэлектрические свойства материала, разряд в котором может произойти по его поверхности (случай печатной платы), зависят от уровня загрязнения этой поверхности, поэтому IEC 60950 вводит несколько обобщённых классов загрязнения (в стандарте более формализованные определения, ниже я привязываю их к условиям эксплуатации):

  • Уровень I — загрязнения, не ухудшающие электрическую прочность изоляции. Относится только к оборудованию в чистых комнатах или в герметичных корпусах, не допускающих попадание внутрь даже бытовых загрязнителей.
  • Уровень 2 — офисная или бытовая обстановка, возможные загрязнители обычно не проводят ток, но в единичных случаях при конденсации влаги могут стать проводящими.
  • Уровень 3 — промышленная обстановка, агрохозяйства, особеннно неотапливаемые помещения. Загрязнители могут проводить ток, как в случае образования конденсата, так и без него.
  • Уровень 4 — использование без защиты от внешней среды, регулярное воздействие воды или снега.

Отмечу, что нужный уровень защиты может быть реализован использованием адекватных внешних корпусов — например, устройство с уровнем 2 может эсплуатироваться на улице при использовании герметичного корпуса.

Наконец, в IEC 60950 используются два способа измерения расстояния, образующего изолирующий промежуток — clearance и creepage.

m_kbdy-rskpxs2rrrgmb1a3lc1o.png

  • Clearance — кратчайшее расстояние между проводниками.
  • Creepage — расстояние между проводниками по поверхности печатной платы.

Для нашего случая для номинального напряжение в розетке 230 В ± 10% необходимо ориентироваться на требования к изоляции в сетях до 300 В среднеквадратичного напряжения, до 420 В амплитудного и до 2500 В выброса при переходных процессах.

В зависимости от типа изоляции (функциональную не рассматриваем, т.к. говорим о безопасности пользователя) минимально необходимая дистанция по печатной плате составит:

  • Basic: 3,0 мм, если у устройства есть дополнительная изоляция
  • Reinforced: 6,0 мм, если у устройства нет дополнительной изоляции

Однако, если мы вернёмся к упомянутому выше Y-конденсатору, то без труда заметим, что максимальное расстояние между его ножками по даташиту — 7,5 мм.

fyga-fzj05v8e82fo_6zozs1m6u.png

Как нетрудно заметить, с учётом контактных площадок нам будет проблематично получить расстояние между проводниками 6,0 мм, если мы не начнём ножки растаскивать вручную.

К счастью, есть простой выход — как видно по картинке выше, creepage можно увеличить, сделав в текстолите вырез. Воздух имеет более высокую электрическую прочность, чем FR4 — для него пробивное напряжение приближается к 3 кВ/мм, а в целях обеспечения безопасности обычно принимается равным 1–1,5 кВ/мм. IEC 60950 требует для воздушного зазора для цепей до 300 В ширины 2,0 мм для базовой изоляции и 4,0 мм для усиленной (в случае, если производство имеет соответсвующую требованиям стандарта программу контроля качества, ширина может быть уменьшена до 1,5 мм и 3,0 мм, но сейчас это не наш случай).

То есть, мы можем обеспечить нужную изоляцию с помощью 4 мм воздуха или 6 мм печатной платы.

В силу сложности вопроса, стандарт не рассматривает комбинацию из воздуха и печатной платы, однако на практике именно такая комбинация в большинстве случаев и применяется — в плате между первичными и вторичными цепями делается вырез:

4r6uwk2ixalazcfsu9ie6fkq9bm.png

В данном случае, сделав вырез шириной 2 мм и длиной чуть больше ширины земляных полей, мы получили минимальный creepage равным 6,48 мм, что удовлетворяет требованию к reinforced insulation, а поперёк выреза, если считать «в лоб» — 3,7 мм текстолита и 2,0 мм воздуха, каждое из значений соответствует требованию одного слоя basic insulation, так что в сумме их также можно считать достаточными.

Вот с этим уже можно жить.

Отмечу, что правильное проектирование платы не освобождает от проблем с расположением компонентов: между любыми токопроводящими частями первички и вторички должны быть минимум те же 2 мм воздуха, а в случае незаземлённого корпуса между ним и первичкой для reinforced insulation стандарт требует 10 мм воздуха.

Классические ошибки

Очевидная фатальная ошибка — это, само собой, полное игнорирование требований безопасности и выдерживание зазоров между первичными и вторичными цепями масштаба 0,5–1 мм, по принципу «при первом включении никого не убило — значит, всё в порядке». Вот, например, типичное любительское немецкое документальное кино, в котором выфрезерованы красивые прорези функциональной изоляции между проводниками сетевого питания, но при этом миллиметровый зазор между входом 230 В и землёй вторички, на которой сидит свободно доступный пользователю разъём USB — включать эту конструкцию в 230 В попросту опасно для жизни.

Помимо гарантированно фатальных, регулярно случаются ошибки потенциально фатальные.

Во-первых, неопытные разработчики интуитивно воспринимают как высокое напряжение между двумя проводами сети 230 В, но не между первичкой и вторичкой — и закладывают прорези именно между ними. Это бывает не лишено смысла, если дорожки сети идут на плате близко друг к другу, и это будет относиться к обеспечению функциональной изоляции, но не имеет прямого отношения к безопасности — в конце концов, в штатной схемотехнике между этими проводами у вас должен быть варистор на напряжение срабатывания порядка 430 В, так что сильно больше там не будет. Более того, если к вам прилетит высоковольтный синфазный импульс, то как раз между проводами сети ничего особенно интересного не случится.

А вот между первичкой и вторичкой — ещё как случится.

Во-вторых, прорезь в плате неопытными разработчиками воспринимается как то ли нечто декоративное, то ли как серебряная пуля и лекарство от всех болезней сразу. Например, тот самый Битроникс Лаб выложил картинки своей USB-развязки, которую они обещают бесплатно выдать всем покупателям опасного набора, и похвастался, что она сделана с запасом — на напряжение 5 кВ:

rgyljgowi0cmlns_wrqoyxeawy4.jpeg

Для простоты расчётов я быстро набросаю её в DipTrace, благо наименования компонентов известны, а размеры щелей нетрудно вычислить из картинки — ширина 2 мм, длина не выходит за пределы ширины компонентов. Мы не знаем, как плата залита землёй, но будем предполагать, что полигоны не выходят за границы ножек компонентов.

u_pcj86nkfy7lgmarumuwyaor10.png

Итого: ADuM4160 — clearance 5,4 мм по текстолиту + 2 мм воздуха, creepage 2,73×2 + 2 = 7,46 мм; AM2D — clearance 4,12 мм по текстолиту + 2 мм воздуха, creepage 6,75 мм. Значения приблизительные, так как форма площадок может отличаться, но ±0,1 мм нас тут явно не волнуют.

Нетрудно заметить, что реальные параметры лишь едва-едва превосходят требования IEC 60950 для сети 300 В с выбросами до 2500 В для случая reinforced insulation —, а так как в случае Битроникс Лаб мы говорим по сути о медицинском оборудовании с прямым контактом с телом человека, крайне желательно проектировать его под максимально возможный уровень защиты.

Реальная гарантированная прочность изоляции всей конструкции будет не выше 3 кВ. Заявления о 5 кВ с этой платой неуместны ни под каким соусом — она не рассчитана на такой уровень защиты. В данном случае можно было, даже не увеличивая габариты печатной платы, придвинуть изолятор и DC/DC ближе друг к другу и сделать под ними единую прорезь, сверху и снизу выходящую за пределы корпусов компонентов хотя бы на миллиметр.

Замечу, что при высоких напряжениях — от 5 кВ и выше — начинает играть роль также форма проводников: напряжённость поля и, соответственно, вероятность пробоя выше на заострённых частях.

Как проверить имеющееся устройство?

Хотя лабораторные испытания по ГОСТовским методикам для большинства любителей неподъёмны, для маленьких компаний неприятны своей стоимостью и длительностью, в продаже есть приборы, которые позволяют грубо оценить безопасность устройств — это высоковольтные измерители сопротивления изоляции.

По сути, это гигаомметры (с верхним пределом 10–20 ГОм), при измерении подающие на щупы высокое напряжение — 1000 В для дешёвых моделей и 2500 В для тех, что подороже.

Если вы занимаетесь разработкой втыкаемых в розетку устройств или интересуетесь безопасностью китайских изделий — очень рекомендую приобрести, как минимум, что-нибудь вроде UT-502A (в Чип-и-дипе он тоже есть, но дорого).

Если ваше устройство выдержало 10 секунд под подаваемым им напряжением 2500 В — значит, всё не полностью безнадёжно. Такие испытания не является основанием считать устройство соответствующим стандартам — как нетрудно заметить, в общем случае даже слой функциональной изоляции уже обязан выдерживать подобные напряжения, хотя при этом вероятность его пробоя считается слишком высокой, чтобы использовать его для защиты пользователя.

Более показательным было бы тестирование оборудования импульсом с напряжением 5 кВ, но, увы, такие приборы стоят уже других денег.

С другой стороны, если даже на 2,5 кВ ваше устройство показало что-то, отличное от верхнего предела гигаомметра, вы теперь знаете, что с ним надо сделать.

© Habrahabr.ru