摘　要：本文論述了燃氣燃燒器和燃氣器具C類電子控制器的電路設計要求及方法。

關鍵詞：C類安全　故障模式　監(jiān)控　MCU評估

Circuits Design of Class C Automatic Electrical Controls for Gas Burners and Gas Burning Appliances

Abstract：This articles describes safety requirements and inethods of circuit design about class C aulomatic electrical controls for gas burners and gas burning appliances．

Keywords：class C safety  failure mode  monitor  MCU  assessment

1　概述

隨著國內燃氣行業(yè)發(fā)展，各種先進的電子傳感器及自動化部件在燃氣具產品上廣泛使用，智能化程度越來越高，燃氣器具產品的功能已不僅依靠傳統(tǒng)可靠的機電部件來實現(xiàn)，還依賴電子及可編程電子控制系統(tǒng)來保障。但行業(yè)內對控制系統(tǒng)在安全可靠性設計方面的認識不足，導致設計的產品存在潛在的事故風險。根據相關事故案例分析，許多事故涉及電子控制器失效，如：燃氣爐具的燃氣閥驅動電路回路故障，熄火后燃氣閥不能關閉，導致燃氣泄漏。又如，燃氣熱水器無緣無故的啟動或不能正確及時關閉導致火災等。要避免或杜絕此類事故的發(fā)生，在電路設計上必須基于電子器件的失效模式，在失效分析的基礎上進行控制電路功能及故障保護的設計，從而保證功能安全而不僅僅足實現(xiàn)功能。

按照新發(fā)布的CJ／T421—2013《家用燃氣燃燒器具電子控制器》標準的要求，燃氣具用電子控制器功能按照故障產生的結果的嚴重性可分為：A類控制器、B類控制器及C類控制器。其中A類控制器功能與安全性無關，B類控制器功能預期能防止不安全的運行，C類控制器功能能防止特定的危險狀況，諸如火災、爆炸之類的特別風險。

燃氣具電子控制器的主要功能包括燃氣切斷、燃燒控制、溫度控制或系統(tǒng)重置等，其控制器功能的失效可能導致燃氣泄漏而產?；馂募氨?，有毒煙氣及過熱等危險。其中只要具有燃氣切斷或燃燒控制功能的控制器必須符合C類安全設計，即控制功能設計必須能防止未燃燒的燃氣泄漏產牛的危害及過熱引起的著火危險。

2　C類控制器的電路要求

C類控制器要求具有兩級的安全保護，即設計如果單個故障使其初級安全保護電路失效，應提供第二級安全保護電路來確保安全。這兩級安全保護電路的故障響應時間應符合安全要求。如果其中涉及到軟件，軟件應符合GB l4536.1—2008《家用和類似用途電自動控制器第1部分：通用要求》(IEC 60730-1)的C類軟件要求(參見參考文獻1)。

按照CJ／T421—2013《家用燃氣燃燒器具電子控制器》的要求，C級安全控制器系統(tǒng)的硬件結構至少符合下列結構之一：

(1)帶有周期自檢和監(jiān)測的單通道結構；

(2)帶有比較的雙通道結構(通道相同的或不同的)；

雙通道結構的比較通過下列方式實現(xiàn)：a)通過使用比較器；b)通過相互比較。

以下以燃氣閥的切斷控制功能舉例，可接受的電路設計如下。

(1)帶有周期自檢和監(jiān)控的單通道結構，如圖1。

圖1中，U控制通道可以是MCU及其輸入輸出電路組成，具有完整的控制功能。這里所說的初級安全保護是指MCU周期性的自檢，包括RAM、ROM、指令譯碼與執(zhí)行尋址與數據路徑、程序計數器(Program Counter)、輸入輸出等內部故障的測試；第二級安全保護是失效監(jiān)控電路，是獨立于以上通道的，可以根據輸入的狀態(tài)來判定控制通道U的輸出是否正常，當控制通道U的控制功能失效后，監(jiān)控電路可以保證燃氣閥的切斷功能受控，監(jiān)控電路的輸出控制應是獨立的執(zhí)行機構(如繼電器)。監(jiān)控電路可以是MCU構成控制電路，也可以是一般電子器件構成的回路。

(2)不具有周期自檢含有2個監(jiān)控回路的單通道結構，如圖2。

圖2中，U控制通道只具有輸入輸出的控制功能，不具有內部故障的檢測功能，當輸入檢測電路故障或CPU內部單元電路(如寄存器失效)故障，仍可能產生輸出而處于危險的狀態(tài)。因而基本安全保護用于檢測U控制通道的失效；但基本安全保護電路也可能失效(或存在內部故障)，因而需要第二級安全保護電路，當然基本安全保護電路可以設計為帶周期的自檢，這種情況等同于圖1的設計。以上兩級安全保護電路都是相對獨立的。

(3)帶有比較的雙通道結構，如圖3。

圖3中，U1、U2控制通道具有獨立輸入輸出的控制功能，這兩個通道可以是完全相同的電路設計及軟件設計，也可以是不相同的。兩個通道之間具有相互比較的功能，包括對輸入數據的處理結果進行比較，對輸出的結果進行比較監(jiān)控。這里的比較包括與所有安全相關的數據，例如時鐘可能影響故障反應時間，因而要監(jiān)控比較時鐘周期的變化不能超過允許的范圍。

3　C類控制器的電路設計的評估

實際上，C類控制器的電路要求是基于電子器件的失效模式及影響提出的，具有C類安全的控制器設計應保證在第1和第2個獨立內部故障情況下，控制器應保持在規(guī)定的安全狀態(tài)或進行處理到規(guī)定的安全狀態(tài)，第3個獨立故障不予考慮。這是評估或驗證設計是否符合C類安全要求的要點。故障導入的驗證流程如圖4所示。

其中電子元器件的失效模式可以參見CJ／T421—2013表I.1電氣／電子元件故障模式。由一個故障直接引起其他另一個故障，被當作是一個獨立的故障。例如某個電阻短路，引起三極管過流短路，這兩個元件的故障被認為是一個獨立的故障。

故障可以發(fā)生在操作和程序運行的任何階段。不僅用于運行或待機狀態(tài)，鎖定或安全關閉期間的故障試驗也應進行。例如，燃氣熱水器控制器處于安全關閉或鎖定狀態(tài)有2個原因：其一系統(tǒng)可能是檢測到一個內部故障；其二由外部故障(如火焰故障)引發(fā)鎖定或安全關閉。第一種情況仍要做第2個故障試驗．第二種情況認為是一個正常的程序操作，需要執(zhí)行第1、2故障導入驗證，以檢驗2個故障同時存在時，控制系統(tǒng)處于安全的控制狀態(tài)。

4　C類控制器的電路設計應用舉例

以使用兩個自動截止閥實現(xiàn)燃氣切斷功能的電路設計為例，按照帶有周期自檢和監(jiān)測的單通道結構形式設計，其控制功能如圖5。

其中主要電路：燃氣切斷閥電子控制主電路1由MCU及外圍電路構成；驅動電路2、3由繼電器及驅動繼電器的晶體管電路組成，也可是由直接驅動切斷閥的晶體管電路組成；監(jiān)控電路4用于監(jiān)控繼電器或晶體管電路的輸出前后的結果。啟動電路5及重置電路6是系統(tǒng)安全的組成部分，更多是依靠軟件來實現(xiàn)。

按照歐洲標準EN298—2012《Automatic burner control systems for burners and appliances burning gaseous or liquid fuels》的要求，用于燃氣閥驅動的繼電器要求的電氣壽命要達到100萬次電氣壽命，滿足這種條件的繼電器被認為是可靠的，只需考慮1個繼電器失效后自動截止閥是受控安全狀態(tài)。但閥體主同路必須增加電流保險，以確保不產生過電流，如圖6是可接受的燃氣閥電路構成。

但對驅動繼電器的電子電路則要滿足在第一、第二故障的條件下，系統(tǒng)處于安全狀態(tài)。以下圖7、圖8為不可接受的驅動電路，圖7中T1 T2同時短路時，繼電器不受控。圖8中雖然避免了任意兩個三極管失效的問題，但當T2短路及MCU同時失效時，繼電器仍然不受控(MCU失效模式僅考慮同時輸出1或0)。

圖9、圖10的電路是可接受的設計，其中圖9的電路設計可以避免任意兩個元件失效引起的繼電器不受控的問題；圖10的電路設計采用了獨立的監(jiān)控電路沒計，同樣可以解決任：卷兩個元件失效引起的繼電器不受控的問題；監(jiān)控電路設計應獨立于被監(jiān)控的電路，可以監(jiān)控繼電器的驅動電路，也可以監(jiān)控繼電器的輸出。

對于不使用繼電器控制而直接采用電子電路驅動的燃氣切斷閥，其驅動設計同以上繼電器的驅動設計一樣，相當于采用燃氣切斷閥代替繼電器。

本節(jié)的設計應用僅僅是針對燃氣具上燃氣閥切斷控制這一功能的安全設計，如果切斷功能控制涉及到安全時間，還必須對時間控制功能進行監(jiān)控，例如采用獨立的看門狗定時電路。

5　結束浯

本文重點針對燃氣燃燒器和燃氣器具用電子控制器的硬件電路設計及評估做了一定的分析與探討，與安全相關的控制在更多的情況下不是單一功能的安全控制，足與多種安全因素相關聯(lián)的，是一種系統(tǒng)控制，電路設計應綜合考慮這些安全因素，這樣才能保證控制器的設計真正符合C類安全要求。

參考文獻

1中國國家標準化管理委員會．GB l4536.1—2008家用和類似用途電自動控制器第1部分：通用要求[S]．中國標準出版社，2008

2 ICS 91.140 P 45 CJ／T 421—2013家用燃氣燃燒氣具電子控制器嘲．中國標準出版社，2013

3中國國家標準化管理委員會．GB／T20483.7—2006電氣／電子／可編程電子相關系統(tǒng)的功能安全第7部分技術和措施概述[S]．中國標準出版社，2007

4 ICS 23.060.40 BS EN l3611—2007 Safety and control devices for gas burners and gas burning appliances-General requirements[S]

5 ICS 91.140.40 BS EN 14459—2007 Control funotions in electronic systems for gas burners and gas burning appliances—Methods tbr classification and assessment[S]

本文作者：陳必華

作者單位：廣東萬和新電氣股份有限公司