摘　要：本文論述了燃?xì)馊紵骱腿細(xì)馄骶?span lang="EN-US">C類電子控制器的電路設(shè)計(jì)要求及方法。

關(guān)鍵詞：C類安全　故障模式　監(jiān)控　MCU評(píng)估

Circuits Design of Class C Automatic Electrical Controls for Gas Burners and Gas Burning Appliances

Abstract：This articles describes safety requirements and inethods of circuit design about class C aulomatic electrical controls for gas burners and gas burning appliances．

Keywords：class C safety  failure mode  monitor  MCU  assessment

1　概述

隨著國內(nèi)燃?xì)庑袠I(yè)發(fā)展，各種先進(jìn)的電子傳感器及自動(dòng)化部件在燃?xì)饩弋a(chǎn)品上廣泛使用，智能化程度越來越高，燃?xì)馄骶弋a(chǎn)品的功能已不僅依靠傳統(tǒng)可靠的機(jī)電部件來實(shí)現(xiàn)，還依賴電子及可編程電子控制系統(tǒng)來保障。但行業(yè)內(nèi)對(duì)控制系統(tǒng)在安全可靠性設(shè)計(jì)方面的認(rèn)識(shí)不足，導(dǎo)致設(shè)計(jì)的產(chǎn)品存在潛在的事故風(fēng)險(xiǎn)。根據(jù)相關(guān)事故案例分析，許多事故涉及電子控制器失效，如：燃?xì)鉅t具的燃?xì)忾y驅(qū)動(dòng)電路回路故障，熄火后燃?xì)忾y不能關(guān)閉，導(dǎo)致燃?xì)庑孤Ｓ秩?，燃?xì)鉄崴鳠o緣無故的啟動(dòng)或不能正確及時(shí)關(guān)閉導(dǎo)致火災(zāi)等。要避免或杜絕此類事故的發(fā)生，在電路設(shè)計(jì)上必須基于電子器件的失效模式，在失效分析的基礎(chǔ)上進(jìn)行控制電路功能及故障保護(hù)的設(shè)計(jì)，從而保證功能安全而不僅僅足實(shí)現(xiàn)功能。

按照新發(fā)布的CJ／T421—2013《家用燃?xì)馊紵骶唠娮涌刂破鳌窐?biāo)準(zhǔn)的要求，燃?xì)饩哂秒娮涌刂破鞴δ馨凑展收袭a(chǎn)生的結(jié)果的嚴(yán)重性可分為：A類控制器、B類控制器及C類控制器。其中A類控制器功能與安全性無關(guān)，B類控制器功能預(yù)期能防止不安全的運(yùn)行，C類控制器功能能防止特定的危險(xiǎn)狀況，諸如火災(zāi)、爆炸之類的特別風(fēng)險(xiǎn)。

燃?xì)饩唠娮涌刂破鞯闹饕δ馨ㄈ細(xì)馇袛?、燃燒控制、溫度控制或系統(tǒng)重置等，其控制器功能的失效可能導(dǎo)致燃?xì)庑孤┒a(chǎn)?；馂?zāi)及爆炸，有毒煙氣及過熱等危險(xiǎn)。其中只要具有燃?xì)馇袛嗷蛉紵刂乒δ艿目刂破鞅仨毞?span lang="EN-US">C類安全設(shè)計(jì)，即控制功能設(shè)計(jì)必須能防止未燃燒的燃?xì)庑孤┊a(chǎn)牛的危害及過熱引起的著火危險(xiǎn)。

2　C類控制器的電路要求

C類控制器要求具有兩級(jí)的安全保護(hù)，即設(shè)計(jì)如果單個(gè)故障使其初級(jí)安全保護(hù)電路失效，應(yīng)提供第二級(jí)安全保護(hù)電路來確保安全。這兩級(jí)安全保護(hù)電路的故障響應(yīng)時(shí)間應(yīng)符合安全要求。如果其中涉及到軟件，軟件應(yīng)符合GB l4536.1—2008《家用和類似用途電自動(dòng)控制器第1部分：通用要求》(IEC 60730-1)的C類軟件要求(參見參考文獻(xiàn)1)。

按照CJ／T421—2013《家用燃?xì)馊紵骶唠娮涌刂破鳌返囊螅?span lang="EN-US">C級(jí)安全控制器系統(tǒng)的硬件結(jié)構(gòu)至少符合下列結(jié)構(gòu)之一：

(1)帶有周期自檢和監(jiān)測的單通道結(jié)構(gòu)；

(2)帶有比較的雙通道結(jié)構(gòu)(通道相同的或不同的)；

雙通道結(jié)構(gòu)的比較通過下列方式實(shí)現(xiàn)：a)通過使用比較器；b)通過相互比較。

以下以燃?xì)忾y的切斷控制功能舉例，可接受的電路設(shè)計(jì)如下。

(1)帶有周期自檢和監(jiān)控的單通道結(jié)構(gòu)，如圖1。

圖1中，U控制通道可以是MCU及其輸入輸出電路組成，具有完整的控制功能。這里所說的初級(jí)安全保護(hù)是指MCU周期性的自檢，包括RAM、ROM、指令譯碼與執(zhí)行尋址與數(shù)據(jù)路徑、程序計(jì)數(shù)器(Program Counter)、輸入輸出等內(nèi)部故障的測試；第二級(jí)安全保護(hù)是失效監(jiān)控電路，是獨(dú)立于以上通道的，可以根據(jù)輸入的狀態(tài)來判定控制通道U的輸出是否正常，當(dāng)控制通道U的控制功能失效后，監(jiān)控電路可以保證燃?xì)忾y的切斷功能受控，監(jiān)控電路的輸出控制應(yīng)是獨(dú)立的執(zhí)行機(jī)構(gòu)(如繼電器)。監(jiān)控電路可以是MCU構(gòu)成控制電路，也可以是一般電子器件構(gòu)成的回路。

(2)不具有周期自檢含有2個(gè)監(jiān)控回路的單通道結(jié)構(gòu)，如圖2。

圖2中，U控制通道只具有輸入輸出的控制功能，不具有內(nèi)部故障的檢測功能，當(dāng)輸入檢測電路故障或CPU內(nèi)部單元電路(如寄存器失效)故障，仍可能產(chǎn)生輸出而處于危險(xiǎn)的狀態(tài)。因而基本安全保護(hù)用于檢測U控制通道的失效；但基本安全保護(hù)電路也可能失效(或存在內(nèi)部故障)，因而需要第二級(jí)安全保護(hù)電路，當(dāng)然基本安全保護(hù)電路可以設(shè)計(jì)為帶周期的自檢，這種情況等同于圖1的設(shè)計(jì)。以上兩級(jí)安全保護(hù)電路都是相對(duì)獨(dú)立的。

(3)帶有比較的雙通道結(jié)構(gòu)，如圖3。

圖3中，U1、U2控制通道具有獨(dú)立輸入輸出的控制功能，這兩個(gè)通道可以是完全相同的電路設(shè)計(jì)及軟件設(shè)計(jì)，也可以是不相同的。兩個(gè)通道之間具有相互比較的功能，包括對(duì)輸入數(shù)據(jù)的處理結(jié)果進(jìn)行比較，對(duì)輸出的結(jié)果進(jìn)行比較監(jiān)控。這里的比較包括與所有安全相關(guān)的數(shù)據(jù)，例如時(shí)鐘可能影響故障反應(yīng)時(shí)間，因而要監(jiān)控比較時(shí)鐘周期的變化不能超過允許的范圍。

3　C類控制器的電路設(shè)計(jì)的評(píng)估

實(shí)際上，C類控制器的電路要求是基于電子器件的失效模式及影響提出的，具有C類安全的控制器設(shè)計(jì)應(yīng)保證在第1和第2個(gè)獨(dú)立內(nèi)部故障情況下，控制器應(yīng)保持在規(guī)定的安全狀態(tài)或進(jìn)行處理到規(guī)定的安全狀態(tài)，第3個(gè)獨(dú)立故障不予考慮。這是評(píng)估或驗(yàn)證設(shè)計(jì)是否符合C類安全要求的要點(diǎn)。故障導(dǎo)入的驗(yàn)證流程如圖4所示。

其中電子元器件的失效模式可以參見CJ／T421—2013表I.1電氣／電子元件故障模式。由一個(gè)故障直接引起其他另一個(gè)故障，被當(dāng)作是一個(gè)獨(dú)立的故障。例如某個(gè)電阻短路，引起三極管過流短路，這兩個(gè)元件的故障被認(rèn)為是一個(gè)獨(dú)立的故障。

故障可以發(fā)生在操作和程序運(yùn)行的任何階段。不僅用于運(yùn)行或待機(jī)狀態(tài)，鎖定或安全關(guān)閉期間的故障試驗(yàn)也應(yīng)進(jìn)行。例如，燃?xì)鉄崴骺刂破魈幱诎踩P(guān)閉或鎖定狀態(tài)有2個(gè)原因：其一系統(tǒng)可能是檢測到一個(gè)內(nèi)部故障；其二由外部故障(如火焰故障)引發(fā)鎖定或安全關(guān)閉。第一種情況仍要做第2個(gè)故障試驗(yàn)．第二種情況認(rèn)為是一個(gè)正常的程序操作，需要執(zhí)行第1、2故障導(dǎo)入驗(yàn)證，以檢驗(yàn)2個(gè)故障同時(shí)存在時(shí)，控制系統(tǒng)處于安全的控制狀態(tài)。

4　C類控制器的電路設(shè)計(jì)應(yīng)用舉例

以使用兩個(gè)自動(dòng)截止閥實(shí)現(xiàn)燃?xì)馇袛喙δ艿碾娐吩O(shè)計(jì)為例，按照帶有周期自檢和監(jiān)測的單通道結(jié)構(gòu)形式設(shè)計(jì)，其控制功能如圖5。

其中主要電路：燃?xì)馇袛嚅y電子控制主電路1由MCU及外圍電路構(gòu)成；驅(qū)動(dòng)電路2、3由繼電器及驅(qū)動(dòng)繼電器的晶體管電路組成，也可是由直接驅(qū)動(dòng)切斷閥的晶體管電路組成；監(jiān)控電路4用于監(jiān)控繼電器或晶體管電路的輸出前后的結(jié)果。啟動(dòng)電路5及重置電路6是系統(tǒng)安全的組成部分，更多是依靠軟件來實(shí)現(xiàn)。

按照歐洲標(biāo)準(zhǔn)EN298—2012《Automatic burner control systems for burners and appliances burning gaseous or liquid fuels》的要求，用于燃?xì)忾y驅(qū)動(dòng)的繼電器要求的電氣壽命要達(dá)到100萬次電氣壽命，滿足這種條件的繼電器被認(rèn)為是可靠的，只需考慮1個(gè)繼電器失效后自動(dòng)截止閥是受控安全狀態(tài)。但閥體主同路必須增加電流保險(xiǎn)，以確保不產(chǎn)生過電流，如圖6是可接受的燃?xì)忾y電路構(gòu)成。

但對(duì)驅(qū)動(dòng)繼電器的電子電路則要滿足在第一、第二故障的條件下，系統(tǒng)處于安全狀態(tài)。以下圖7、圖8為不可接受的驅(qū)動(dòng)電路，圖7中T1 T2同時(shí)短路時(shí)，繼電器不受控。圖8中雖然避免了任意兩個(gè)三極管失效的問題，但當(dāng)T2短路及MCU同時(shí)失效時(shí)，繼電器仍然不受控(MCU失效模式僅考慮同時(shí)輸出1或0)。

圖9、圖10的電路是可接受的設(shè)計(jì)，其中圖9的電路設(shè)計(jì)可以避免任意兩個(gè)元件失效引起的繼電器不受控的問題；圖10的電路設(shè)計(jì)采用了獨(dú)立的監(jiān)控電路沒計(jì)，同樣可以解決任：卷兩個(gè)元件失效引起的繼電器不受控的問題；監(jiān)控電路設(shè)計(jì)應(yīng)獨(dú)立于被監(jiān)控的電路，可以監(jiān)控繼電器的驅(qū)動(dòng)電路，也可以監(jiān)控繼電器的輸出。

對(duì)于不使用繼電器控制而直接采用電子電路驅(qū)動(dòng)的燃?xì)馇袛嚅y，其驅(qū)動(dòng)設(shè)計(jì)同以上繼電器的驅(qū)動(dòng)設(shè)計(jì)一樣，相當(dāng)于采用燃?xì)馇袛嚅y代替繼電器。

本節(jié)的設(shè)計(jì)應(yīng)用僅僅是針對(duì)燃?xì)饩呱先細(xì)忾y切斷控制這一功能的安全設(shè)計(jì)，如果切斷功能控制涉及到安全時(shí)間，還必須對(duì)時(shí)間控制功能進(jìn)行監(jiān)控，例如采用獨(dú)立的看門狗定時(shí)電路。

5　結(jié)束浯

本文重點(diǎn)針對(duì)燃?xì)馊紵骱腿細(xì)馄骶哂秒娮涌刂破鞯挠布娐吩O(shè)計(jì)及評(píng)估做了一定的分析與探討，與安全相關(guān)的控制在更多的情況下不是單一功能的安全控制，足與多種安全因素相關(guān)聯(lián)的，是一種系統(tǒng)控制，電路設(shè)計(jì)應(yīng)綜合考慮這些安全因素，這樣才能保證控制器的設(shè)計(jì)真正符合C類安全要求。

參考文獻(xiàn)

1中國國家標(biāo)準(zhǔn)化管理委員會(huì)．GB l4536.1—2008家用和類似用途電自動(dòng)控制器第1部分：通用要求[S]．中國標(biāo)準(zhǔn)出版社，2008

2 ICS 91.140 P 45 CJ／T 421—2013家用燃?xì)馊紵龤饩唠娮涌刂破鞒埃袊鴺?biāo)準(zhǔn)出版社，2013

3中國國家標(biāo)準(zhǔn)化管理委員會(huì)．GB／T20483.7—2006電氣／電子／可編程電子相關(guān)系統(tǒng)的功能安全第7部分技術(shù)和措施概述[S]．中國標(biāo)準(zhǔn)出版社，2007

4 ICS 23.060.40 BS EN l3611—2007 Safety and control devices for gas burners and gas burning appliances-General requirements[S]

5 ICS 91.140.40 BS EN 14459—2007 Control funotions in electronic systems for gas burners and gas burning appliances—Methods tbr classification and assessment[S]

本文作者：陳必華

作者單位：廣東萬和新電氣股份有限公司