摘 要

摘　要：本文論述了家用燃氣燃燒器和燃氣器具控制功能的安全等級的特點及如何通過功能安全的失效分析對安全等級進行分類。關(guān)鍵詞：燃氣具　功能安全　失效分析　控制功能Functi

摘　要：本文論述了家用燃氣燃燒器和燃氣器具控制功能的安全等級的特點及如何通過功能安全的失效分析對安全等級進行分類。

關(guān)鍵詞：燃氣具　功能安全　失效分析　控制功能

Functionality Safety Analysis for Gas Burners and Gas Burning Appliances

Abstract：This articles describes the methods of functionality safety classification and classes of control functions is given for automatic electrical controls of gas burners and gas burning appliances．

Keywords：gas appliances  functionality safety  failure analysis  control functions

1　概述

從國內(nèi)外燃氣具發(fā)展的歷程看，燃氣具控制裝置的發(fā)展經(jīng)歷了全機械、機械電氣、到電氣／電子／可編程系統(tǒng)(E／E／PES)控制裝置的發(fā)展，而功能安全的研究最初是從機械領(lǐng)域開始的，機械的控制裝置結(jié)構(gòu)簡單，受環(huán)境的影響小，失效模式也相對簡單，長期的實踐應(yīng)用也證明是安全的，如水氣聯(lián)動閥、溫度調(diào)節(jié)閥等。電氣／電子／可編程系統(tǒng)(E／E／PES)的應(yīng)用擴展了安全方面的功能，實現(xiàn)了許多機械控制無法實現(xiàn)的功能，使得器具顯得更為安全，但容易發(fā)生的潛在的各種失效模式，如溫度濕度電磁干擾等環(huán)境影響產(chǎn)生的失效，威脅到功能的可靠性，從而產(chǎn)生安全問題。國外在這方面的應(yīng)用及規(guī)范實施走在前面。

目前，國內(nèi)中高端燃氣具產(chǎn)品控制均采用電氣／電子／可編程系統(tǒng)(E／E／PES)，如點火、燃氣關(guān)斷、火焰檢測、恒溫控制、安全時間控制等功能都是通過電子控制系統(tǒng)來實現(xiàn)，這種先進智能化技術(shù)應(yīng)用增加了對燃氣具系統(tǒng)安全要求的復(fù)雜程度。由于行業(yè)內(nèi)對電子控制系統(tǒng)在安全可靠性設(shè)計方面的認識不足，主要表現(xiàn)在對家用燃氣具的功能安全的特點及分類不明確，導(dǎo)致了控制系統(tǒng)設(shè)計沒有采取必要的安全措施，存在許多安全隱患。隨著住房和城鄉(xiāng)建設(shè)部的標準《家用燃氣燃燒器具電子控制器》CJ／T421—2013的實施，對家用燃氣具的功能安全的特點分析研究表現(xiàn)得更為緊迫和必要。

2　燃氣具功能安全的定義與分類

簡單地說，功能安全是指依賴控制系統(tǒng)執(zhí)行正確的功能。

GB／T 20438標準的定義是功能安全的含義更為廣義，引入“安全相關(guān)系統(tǒng)”的概念，不僅僅是技術(shù)上的安全措施，還包括功能安全的管理等，是整體安全的概念。具體可參考參考文獻^[2]，本文只針對燃氣具具體的控制功能安全做分析。

燃氣具功能安全主要包括電氣安全及控制功能安全，電氣安全是燃氣具基本的功能安全，本文不做論述。

按照《家用燃氣燃燒器具電子控制器》CJ／T421—2013 4．1節(jié)的規(guī)定。依據(jù)失效產(chǎn)生的結(jié)果的嚴重性，控制功能的安全性分為：A類、B類、C類。

2．1　A類：控制功能與安全性無關(guān)

如：室內(nèi)溫控器，其功能具有開／關(guān)機，設(shè)置運行溫度等功能，如果該控制器的功能失效可能導(dǎo)致沒有開關(guān)機指令，或不能設(shè)置溫度，但受控系統(tǒng)安全不會因此降低。

但如果這個室內(nèi)溫控器可以執(zhí)行鎖定功能的解除，是否與安全性有關(guān)需要依受控系統(tǒng)設(shè)計來判定。(具體可參見3．5節(jié))

2．2　B類：控制功能的設(shè)計能防止可預(yù)見的不安全的運行

如：燃燒系統(tǒng)中的對風(fēng)壓開關(guān)的檢測，如果檢測電路失效并不直接導(dǎo)致CO或火焰外溢產(chǎn)牛，但會存在這種風(fēng)險。在設(shè)計時要能判定檢測電路失效或通過另外的回路判斷，起到預(yù)防作用。

2．3　C類：控制功能的設(shè)計能防止特定的危險狀況，諸如火災(zāi)、爆炸之類的特別風(fēng)險

如：燃燒控制及燃氣切斷功能，如果控制功能失效，將導(dǎo)致燃氣泄漏而產(chǎn)生火災(zāi)及爆炸，通常在設(shè)計中通過增加冗余設(shè)計及錯誤檢測來降低這種風(fēng)險的概率。

3　燃氣具功能安全分類的解析

燃氣具主要的控制功能包括燃氣切斷功能、燃燒控制功能、溫度控制功能、燃燒產(chǎn)物排放功能、系統(tǒng)重置功能等。通常這些功能的實現(xiàn)都離不開電氣／電子／可編程系統(tǒng)(E／E／PES)，這與傳統(tǒng)的對功能安全的要求是不一樣的。由于控制器功能的失效可能導(dǎo)致燃氣泄漏而產(chǎn)生火災(zāi)及爆炸，有毒煙氣及過熱等危險，功能設(shè)計就必須能防止這種危險的發(fā)生，在失效分析的基礎(chǔ)上來進行控制電路功能及故障保護的設(shè)計，從而保證功能安全而不僅僅是實現(xiàn)功能。要達到這種目的，必須先正確分析理解這些功能在安全上的特征及要求。

3．1　燃氣切斷功能

燃氣切斷功能的失效會直接導(dǎo)致燃氣泄漏，產(chǎn)生著火及爆炸的風(fēng)險，燃氣切斷功能要求C級安全。

燃氣切斷功能必須使用兩個截止閥來保證燃氣切斷，通常閥的連接組合如下：

(1)兩個自動截止閥連接

由于自動截止閥通過已驗證的機械結(jié)構(gòu)及壽命保證可靠性，不存在電子器件，沒有額外補充要求。

(2)一個自動截止閥和一個儲能關(guān)閉截止閥連接

儲能關(guān)閉截止閥在結(jié)構(gòu)上的功能保證需要補充一些驗證措施，具體可參見參考文獻^[3]，如果是基于電子元件時(電容、電池)，在電源斷電后為確保關(guān)閉閥門，電路部分的性能應(yīng)符合標準CJ／T 421 D4．4的內(nèi)部故障保護試驗要求。

(3)一個自動截止閥和一個無儲能關(guān)閉截止閥連接

無儲能關(guān)閉截止閥與儲能關(guān)閉截止閥功能安全的要求相同。但這種組合不能用在連續(xù)運行的器具上，也就是說24小時中必須執(zhí)行關(guān)閉重啟，并進行故障測試。

(4)兩個儲能關(guān)閉截止閥連接

(5)一個有儲能關(guān)閉截止閥和一個無儲能關(guān)閉截止閥連接

(6)兩個無儲能關(guān)閉截止閥連接

這種組合方式在電源斷電后不能關(guān)閉閥門(如步進電機驅(qū)動的閥門)，這是不可接受的。

閥的組合符合功能安全要求，但并不意味切斷功能符合安全要求，閥的驅(qū)動電路的失效會直接導(dǎo)致切斷功能失效。燃氣泄漏后狀況較為復(fù)雜，所有的安全措施都是保證不產(chǎn)生泄漏，而不是產(chǎn)生燃氣泄漏后再進行保護。由于儲能關(guān)閉截止閥與無儲能關(guān)閉截止閥在國內(nèi)較少使用，本文只分析自動截止閥的切斷功能。

第一，兩個閥門的控制均符合B類安全要求，但組合是不能達到C安全要求的，如圖1。從閥門組合的容錯上分析，當(dāng)其中一個閥門失控(如有雜物或卡死)，另一個閥能保持正常即可符合安全要求。例如，自動閥2失控，自動閥1必須保證安全。B類安全的要求是電子控制1在第一個故障的條件下保證安全狀態(tài)，但該故障可能不被檢測到，當(dāng)?shù)诙€故障仍出現(xiàn)在電子控制1時，電子控制1可能導(dǎo)致自動閥1不受控，這樣兩個閥都不受控，所以不符合C類安全要求。

 

第二，兩個閥門同時由符合C類安全的電子控制器控制，整體可以達到C安全要求，如圖2。當(dāng)自動閥1失效，如果電子控制器符合C類安全，自動閥2在任意兩個故障的條件下均可以保證處于安全狀態(tài)，所以整體符合C類安全要求。按照這種分析，自動閥1、2是可以同時驅(qū)動的(并聯(lián))。所以閥的冗余與閥驅(qū)動的冗余是安全設(shè)計兩個方面，都必須要做到。

 

3．2　燃燒控制功能

燃燒控制功能主要包括點火控制、火焰監(jiān)控、安全時間、故障反應(yīng)時間、前后清掃時間、鎖定時間等時序與邏輯的控制。

火焰監(jiān)控通常與燃氣切斷功能關(guān)聯(lián)，所以燃燒控制功能屬于C類安全。如果燃燒控制不包括火焰監(jiān)控功能，僅是一些時序與邏輯的控制，其功能安全可根據(jù)失效后果歸為B類，具體可參見表1。

 

單獨的火焰監(jiān)控(獨立于時序與邏輯控制之外)裝置應(yīng)是C類安全。因為最直接的風(fēng)險是熄火后，不能有效地反饋火焰信號，導(dǎo)致燃氣關(guān)閉延遲或不能關(guān)閉。

采用電子系統(tǒng)的火焰監(jiān)控通常與其他燃燒控制，燃氣切斷等功能構(gòu)成一個集成的控制系統(tǒng)，該系統(tǒng)必須符合C類安全無疑，這很容易理解。

3．3　溫度控制功能(TCF)

燃氣具溫度控制功能主要實現(xiàn)溫度恒定，預(yù)防過熱，防止燃氣燃燒過熱導(dǎo)致的著火風(fēng)險。這類風(fēng)險如：燃氣熱水器水溫過高產(chǎn)生傷人事故、缺水干燒產(chǎn)生的著火事故。

溫度控制功能(TCF)應(yīng)是C類安全，與燃燒控制功能比較，在功能安全方面的實質(zhì)是相同的。TCF滿足C類安全可以通過完全電子控制器來實現(xiàn)，也可以允許較低安全類的電子控制器與結(jié)構(gòu)的安全措施結(jié)合達到TCF整體符合C類安全。

TCF符合C類安全設(shè)計的例子如圖3、圖4、圖5。

 

 

如圖3，這是一個傳統(tǒng)的解決方法，使崩了機械控溫的組合，即由溫度控制(溫度調(diào)節(jié)器)和防止溫度過熱風(fēng)險(溫度限定器)構(gòu)成，具體要求可參見器具標準(例女HEN297、EN483)的內(nèi)容要求。機械溫控結(jié)構(gòu)是由多年實踐而產(chǎn)生的并依賴冗余技術(shù)作為原理，被認為是安全的，不需要控制器另外采取特別的措施。此處A類溫度控制電子電路與低溫溫控器可以相當(dāng)于一個機械的溫度凋節(jié)器。

如圖4，溫度傳感器(如NTC)與電子控制電路構(gòu)成溫度調(diào)節(jié)器的功能，由于采用了電子控制，應(yīng)基于失效模式做功能安全評價。在出現(xiàn)第一個任意故障(溫度傳感器或其檢測電路失效)時，應(yīng)能被檢測到，所以電子控制電路被要求為B類。極限溫控器屬于一個“高限制”保護性器件，是獨立于電子控制部分的，當(dāng)出現(xiàn)第二個任意故障時(B類電子控制器功能失效)，可以直接斷開燃燒執(zhí)行裝置，從而使整體功能符合C類功能安全。

如圖5，這種設(shè)計沒有一個最后的獨立保護裝置，安全依賴于系統(tǒng)安全完整性(參考文獻^[2])的要求保證。其中一個溫度傳感器設(shè)在燃燒器(或熱交換器)，另一個在輸出熱水端。當(dāng)其中一路溫度傳感器或其檢測電路失效，另一路可以被監(jiān)測并保護。由于采用全電子控制器來實現(xiàn)溫度控制功能，該電子控制器必須按照C類電子控制器的要求來設(shè)計，軟件也必須符合C類軟件要求，這樣使整體符合C類安全要求。

3．4　燃燒產(chǎn)物排放控制功能

燃燒產(chǎn)物排放控制功能通常理解為防止缺氧或是不完全燃燒功能，用于預(yù)防在使用環(huán)境中毒及窒息的風(fēng)險，該功能由一個傳感器和一個控制器組成。在安裝燃具的地方，當(dāng)燃燒產(chǎn)物溢出進入到環(huán)境時，傳感元件檢測到燃燒產(chǎn)物溢出超過不可接受的某個物理值，燃燒產(chǎn)物排放控制功能應(yīng)起保護作用。

燃燒產(chǎn)物排放控制功能可以分屬于A類、B類或C類安全，這與燃燒結(jié)構(gòu)及燃燒控制等安全相關(guān)系統(tǒng)有關(guān)。實例如圖6、7、8，從中可以看到分類的區(qū)別，總的原則是根據(jù)該功能失效產(chǎn)生的后果來評估。

 

 

3．5　系統(tǒng)重置功能

重置功能是指燃氣器具在安全鎖定狀態(tài)下重啟，要求不能由自動裝置產(chǎn)生重啟，必須通過手動動作來實現(xiàn)。

燃氣具重置功能屬于B類安全。重啟故障導(dǎo)致的結(jié)果可能是：

——在鎖定狀態(tài)下自動重啟。

——在鎖定狀態(tài)下可以頻繁重啟。

——重啟元件失效，導(dǎo)致不能進入故障鎖定狀態(tài)。

以上結(jié)果，不會直接導(dǎo)致器具產(chǎn)生危險的狀況，但存在導(dǎo)致危險狀況的風(fēng)險，如表2。

 

所以重置功能的設(shè)計應(yīng)能預(yù)防非正常重啟導(dǎo)致的風(fēng)險。重置功能的實現(xiàn)相對簡單，可以通過一個開關(guān)，器具上的控制面板或遙控器來實現(xiàn)，在電路上除了要滿足單個故障的條件下重置功能不失控外，還需要補充一些措施，這些措施要求是整體安全的一部分，如：

——利用可移動裝置進行重置時，要求至少由兩個手動動作激活重置裝置；

——在重置前、后和過程期間的狀態(tài)和相關(guān)信息應(yīng)是可見的；

——在15min時間內(nèi)的重置動作最多5次，進一步的重置應(yīng)被拒絕。

4　結(jié)束語

本文分析了燃氣具功能安全的特點、失效的后果及影響，對于本行業(yè)的專業(yè)人員在控制系統(tǒng)的安全設(shè)計上具有一定的參考意義；只有充分理解了這些功能在安全上的要求，才能首先在具體的設(shè)計過程采取有效的措施確保器具的安全。隨著燃氣具的發(fā)展，一些新功能被增加與組合進來，只要按照以上的分析及評估方法，應(yīng)能準確地做到對新的功能安全的分類。同時也能更好地去理解國內(nèi)外的相關(guān)標準要求，提升燃氣行業(yè)的安全設(shè)計水準。

 

參考文獻

1 ICS 91．140 P45 CJ／T 421—2013．家用燃氣燃燒氣具電子控制器[S]．中國標準出版社，2013

2 ICS 25．040 GB／T20483．1—2006．電氣／電子，可編程電子相關(guān)系統(tǒng)的功能安全第1部分一般要求[S]．中國標準出版社，2007

3 ICS 23．060．40 BS EN 1361 1—2007．Safety and control devices for gas burners and gas burning appliances-General requirements[S]

4 ICS 91．140．40 BS EN 14459—2007．Control funetions in electronic systems for gas burners and gas burning appliances-Methods for classification and assessment[S]

 

 

 

本文作者：陳必華

作者單位：廣東萬和新電氣股份有限公司