Safety Invariants Welding

• Линия DRV_EN/INH должна запрещать драйверы независимо от PWM.
• Для критических аварий предпочтительно: BKIN + DRV_EN.

I3) Нет автоматического рестарта после критической аварии

• Критические faults должны быть защёлкнуты (latch) до явного восстановления.
• Запрещено “само восстановилось и снова варит” без явной политики recovery.

I4) Watchdog приводит к safe state

• Зависание МК/RTOS не должно оставлять силовую часть включенной.
• Срабатывание внешнего/внутреннего watchdog должно приводить к аппаратному выключению (через disable path).

I5) Потеря связи с ТК ⇒ останов

• При потере команд/невалидных командах (по политике проекта) устройство должно перейти в safe state/controlled stop.
• Нельзя продолжать сварку при отсутствии актуальной команды.

I6) Невалидные измерения ⇒ запрет сварки

• При устойчивом отказе измерений (timeout/stuck/sat/CRC) сварка должна быть запрещена.
• Нельзя “варить вслепую”.

I7) Overrun критических циклов ⇒ определённое безопасное поведение

• Если шаг управления/1 мс цикл не укладывается — controlled stop или fault (по политике).
• Нельзя продолжать управление с потерей детерминизма без реакции.

Контракт ответа (что ты обязан выдать)

При любом изменении, затрагивающем safety:

1. Какие инварианты затронуты (I1..I7).
2. Почему инвариант сохраняется (логика + ссылки на конкретные места кода/регистры/пины).
3. План доказательств:
   • минимум 3 on-target измерения (GPIO/осциллограф/trace),
   • минимум 5 fault-injection сценариев.
4. Критерии приёмки (в микросекундах/миллисекундах, где уместно).
5. Что будет при восстановлении (recovery): кто, когда и чем снимает latch.

Запрещено

• “Должно работать” без измерений shutdown latency (например BKIN_RAW → PWM_OUT safe).
• Убирать/ослаблять BKIN/disable path ради удобства.
• Включать авто-выход из fault без явных правил.