摘 要

摘　要：本文論述了家用燃?xì)馊紵骱腿細(xì)馄骶呖刂乒δ艿陌踩燃壍奶攸c(diǎn)及如何通過功能安全的失效分析對安全等級進(jìn)行分類。關(guān)鍵詞：燃?xì)饩摺」δ馨踩∈Х治觥】刂乒δ蹻uncti

摘　要：本文論述了家用燃?xì)馊紵骱腿細(xì)馄骶呖刂乒δ艿陌踩燃壍奶攸c(diǎn)及如何通過功能安全的失效分析對安全等級進(jìn)行分類。

關(guān)鍵詞：燃?xì)饩?/span>　功能安全　失效分析　控制功能

Functionality Safety Analysis for Gas Burners and Gas Burning Appliances

Abstract：This articles describes the methods of functionality safety classification and classes of control functions is given for automatic electrical controls of gas burners and gas burning appliances．

Keywords：gas appliances  functionality safety  failure analysis  control functions

1　概述

從國內(nèi)外燃?xì)饩甙l(fā)展的歷程看，燃?xì)饩呖刂蒲b置的發(fā)展經(jīng)歷了全機(jī)械、機(jī)械電氣、到電氣／電子／可編程系統(tǒng)(E／E／PES)控制裝置的發(fā)展，而功能安全的研究最初是從機(jī)械領(lǐng)域開始的，機(jī)械的控制裝置結(jié)構(gòu)簡單，受環(huán)境的影響小，失效模式也相對簡單，長期的實(shí)踐應(yīng)用也證明是安全的，如水氣聯(lián)動(dòng)閥、溫度調(diào)節(jié)閥等。電氣／電子／可編程系統(tǒng)(E／E／PES)的應(yīng)用擴(kuò)展了安全方面的功能，實(shí)現(xiàn)了許多機(jī)械控制無法實(shí)現(xiàn)的功能，使得器具顯得更為安全，但容易發(fā)生的潛在的各種失效模式，如溫度濕度電磁干擾等環(huán)境影響產(chǎn)生的失效，威脅到功能的可靠性，從而產(chǎn)生安全問題。國外在這方面的應(yīng)用及規(guī)范實(shí)施走在前面。

目前，國內(nèi)中高端燃?xì)饩弋a(chǎn)品控制均采用電氣／電子／可編程系統(tǒng)(E／E／PES)，如點(diǎn)火、燃?xì)怅P(guān)斷、火焰檢測、恒溫控制、安全時(shí)間控制等功能都是通過電子控制系統(tǒng)來實(shí)現(xiàn)，這種先進(jìn)智能化技術(shù)應(yīng)用增加了對燃?xì)饩呦到y(tǒng)安全要求的復(fù)雜程度。由于行業(yè)內(nèi)對電子控制系統(tǒng)在安全可靠性設(shè)計(jì)方面的認(rèn)識不足，主要表現(xiàn)在對家用燃?xì)饩叩墓δ馨踩奶攸c(diǎn)及分類不明確，導(dǎo)致了控制系統(tǒng)設(shè)計(jì)沒有采取必要的安全措施，存在許多安全隱患。隨著住房和城鄉(xiāng)建設(shè)部的標(biāo)準(zhǔn)《家用燃?xì)馊紵骶唠娮涌刂破鳌?/span>CJ／T421—2013的實(shí)施，對家用燃?xì)饩叩墓δ馨踩奶攸c(diǎn)分析研究表現(xiàn)得更為緊迫和必要。

2　燃?xì)饩吖δ馨踩亩x與分類

簡單地說，功能安全是指依賴控制系統(tǒng)執(zhí)行正確的功能。

GB／T 20438標(biāo)準(zhǔn)的定義是功能安全的含義更為廣義，引入“安全相關(guān)系統(tǒng)”的概念，不僅僅是技術(shù)上的安全措施，還包括功能安全的管理等，是整體安全的概念。具體可參考參考文獻(xiàn)^[2]，本文只針對燃?xì)饩呔唧w的控制功能安全做分析。

燃?xì)饩吖δ馨踩饕姎獍踩翱刂乒δ馨踩?，電氣安全是燃?xì)饩呋镜墓δ馨踩疚牟蛔稣撌觥?/span>

按照《家用燃?xì)馊紵骶唠娮涌刂破鳌?/span>CJ／T421—2013 4．1節(jié)的規(guī)定。依據(jù)失效產(chǎn)生的結(jié)果的嚴(yán)重性，控制功能的安全性分為：A類、B類、C類。

2．1　A類：控制功能與安全性無關(guān)

如：室內(nèi)溫控器，其功能具有開／關(guān)機(jī)，設(shè)置運(yùn)行溫度等功能，如果該控制器的功能失效可能導(dǎo)致沒有開關(guān)機(jī)指令，或不能設(shè)置溫度，但受控系統(tǒng)安全不會因此降低。

但如果這個(gè)室內(nèi)溫控器可以執(zhí)行鎖定功能的解除，是否與安全性有關(guān)需要依受控系統(tǒng)設(shè)計(jì)來判定。(具體可參見3．5節(jié))

2．2　B類：控制功能的設(shè)計(jì)能防止可預(yù)見的不安全的運(yùn)行

如：燃燒系統(tǒng)中的對風(fēng)壓開關(guān)的檢測，如果檢測電路失效并不直接導(dǎo)致CO或火焰外溢產(chǎn)牛，但會存在這種風(fēng)險(xiǎn)。在設(shè)計(jì)時(shí)要能判定檢測電路失效或通過另外的回路判斷，起到預(yù)防作用。

2．3　C類：控制功能的設(shè)計(jì)能防止特定的危險(xiǎn)狀況，諸如火災(zāi)、爆炸之類的特別風(fēng)險(xiǎn)

如：燃燒控制及燃?xì)馇袛喙δ埽绻刂乒δ苁?，將?dǎo)致燃?xì)庑孤┒a(chǎn)生火災(zāi)及爆炸，通常在設(shè)計(jì)中通過增加冗余設(shè)計(jì)及錯(cuò)誤檢測來降低這種風(fēng)險(xiǎn)的概率。

3　燃?xì)饩吖δ馨踩诸惖慕馕?/span>

燃?xì)饩咧饕目刂乒δ馨ㄈ細(xì)馇袛喙δ堋⑷紵刂乒δ?、溫度控制功能、燃燒產(chǎn)物排放功能、系統(tǒng)重置功能等。通常這些功能的實(shí)現(xiàn)都離不開電氣／電子／可編程系統(tǒng)(E／E／PES)，這與傳統(tǒng)的對功能安全的要求是不一樣的。由于控制器功能的失效可能導(dǎo)致燃?xì)庑孤┒a(chǎn)生火災(zāi)及爆炸，有毒煙氣及過熱等危險(xiǎn)，功能設(shè)計(jì)就必須能防止這種危險(xiǎn)的發(fā)生，在失效分析的基礎(chǔ)上來進(jìn)行控制電路功能及故障保護(hù)的設(shè)計(jì)，從而保證功能安全而不僅僅是實(shí)現(xiàn)功能。要達(dá)到這種目的，必須先正確分析理解這些功能在安全上的特征及要求。

3．1　燃?xì)馇袛喙δ?/span>

燃?xì)馇袛喙δ艿氖苯訉?dǎo)致燃?xì)庑孤a(chǎn)生著火及爆炸的風(fēng)險(xiǎn)，燃?xì)馇袛喙δ芤?/span>C級安全。

燃?xì)馇袛喙δ鼙仨毷褂脙蓚€(gè)截止閥來保證燃?xì)馇袛啵ǔｉy的連接組合如下：

(1)兩個(gè)自動(dòng)截止閥連接

由于自動(dòng)截止閥通過已驗(yàn)證的機(jī)械結(jié)構(gòu)及壽命保證可靠性，不存在電子器件，沒有額外補(bǔ)充要求。

(2)一個(gè)自動(dòng)截止閥和一個(gè)儲能關(guān)閉截止閥連接

儲能關(guān)閉截止閥在結(jié)構(gòu)上的功能保證需要補(bǔ)充一些驗(yàn)證措施，具體可參見參考文獻(xiàn)^[3]，如果是基于電子元件時(shí)(電容、電池)，在電源斷電后為確保關(guān)閉閥門，電路部分的性能應(yīng)符合標(biāo)準(zhǔn)CJ／T 421 D4．4的內(nèi)部故障保護(hù)試驗(yàn)要求。

(3)一個(gè)自動(dòng)截止閥和一個(gè)無儲能關(guān)閉截止閥連接

無儲能關(guān)閉截止閥與儲能關(guān)閉截止閥功能安全的要求相同。但這種組合不能用在連續(xù)運(yùn)行的器具上，也就是說24小時(shí)中必須執(zhí)行關(guān)閉重啟，并進(jìn)行故障測試。

(4)兩個(gè)儲能關(guān)閉截止閥連接

(5)一個(gè)有儲能關(guān)閉截止閥和一個(gè)無儲能關(guān)閉截止閥連接

(6)兩個(gè)無儲能關(guān)閉截止閥連接

這種組合方式在電源斷電后不能關(guān)閉閥門(如步進(jìn)電機(jī)驅(qū)動(dòng)的閥門)，這是不可接受的。

閥的組合符合功能安全要求，但并不意味切斷功能符合安全要求，閥的驅(qū)動(dòng)電路的失效會直接導(dǎo)致切斷功能失效。燃?xì)庑孤┖鬆顩r較為復(fù)雜，所有的安全措施都是保證不產(chǎn)生泄漏，而不是產(chǎn)生燃?xì)庑孤┖笤龠M(jìn)行保護(hù)。由于儲能關(guān)閉截止閥與無儲能關(guān)閉截止閥在國內(nèi)較少使用，本文只分析自動(dòng)截止閥的切斷功能。

第一，兩個(gè)閥門的控制均符合B類安全要求，但組合是不能達(dá)到C安全要求的，如圖1。從閥門組合的容錯(cuò)上分析，當(dāng)其中一個(gè)閥門失控(如有雜物或卡死)，另一個(gè)閥能保持正常即可符合安全要求。例如，自動(dòng)閥2失控，自動(dòng)閥1必須保證安全。B類安全的要求是電子控制1在第一個(gè)故障的條件下保證安全狀態(tài)，但該故障可能不被檢測到，當(dāng)?shù)诙€(gè)故障仍出現(xiàn)在電子控制1時(shí)，電子控制1可能導(dǎo)致自動(dòng)閥1不受控，這樣兩個(gè)閥都不受控，所以不符合C類安全要求。

 

第二，兩個(gè)閥門同時(shí)由符合C類安全的電子控制器控制，整體可以達(dá)到C安全要求，如圖2。當(dāng)自動(dòng)閥1失效，如果電子控制器符合C類安全，自動(dòng)閥2在任意兩個(gè)故障的條件下均可以保證處于安全狀態(tài)，所以整體符合C類安全要求。按照這種分析，自動(dòng)閥1、2是可以同時(shí)驅(qū)動(dòng)的(并聯(lián))。所以閥的冗余與閥驅(qū)動(dòng)的冗余是安全設(shè)計(jì)兩個(gè)方面，都必須要做到。

 

3．2　燃燒控制功能

燃燒控制功能主要包括點(diǎn)火控制、火焰監(jiān)控、安全時(shí)間、故障反應(yīng)時(shí)間、前后清掃時(shí)間、鎖定時(shí)間等時(shí)序與邏輯的控制。

火焰監(jiān)控通常與燃?xì)馇袛喙δ荜P(guān)聯(lián)，所以燃燒控制功能屬于C類安全。如果燃燒控制不包括火焰監(jiān)控功能，僅是一些時(shí)序與邏輯的控制，其功能安全可根據(jù)失效后果歸為B類，具體可參見表1。

 

單獨(dú)的火焰監(jiān)控(獨(dú)立于時(shí)序與邏輯控制之外)裝置應(yīng)是C類安全。因為最直接的風(fēng)險(xiǎn)是熄火后，不能有效地反饋火焰信號，導(dǎo)致燃?xì)怅P(guān)閉延遲或不能關(guān)閉。

采用電子系統(tǒng)的火焰監(jiān)控通常與其他燃燒控制，燃?xì)馇袛嗟裙δ軜?gòu)成一個(gè)集成的控制系統(tǒng)，該系統(tǒng)必須符合C類安全無疑，這很容易理解。

3．3　溫度控制功能(TCF)

燃?xì)饩邷囟瓤刂乒δ苤饕獙?shí)現(xiàn)溫度恒定，預(yù)防過熱，防止燃?xì)馊紵^熱導(dǎo)致的著火風(fēng)險(xiǎn)。這類風(fēng)險(xiǎn)如：燃?xì)鉄崴魉疁剡^高產(chǎn)生傷人事故、缺水干燒產(chǎn)生的著火事故。

溫度控制功能(TCF)應(yīng)是C類安全，與燃燒控制功能比較，在功能安全方面的實(shí)質(zhì)是相同的。TCF滿足C類安全可以通過完全電子控制器來實(shí)現(xiàn)，也可以允許較低安全類的電子控制器與結(jié)構(gòu)的安全措施結(jié)合達(dá)到TCF整體符合C類安全。

TCF符合C類安全設(shè)計(jì)的例子如圖3、圖4、圖5。

 

 

如圖3，這是一個(gè)傳統(tǒng)的解決方法，使崩了機(jī)械控溫的組合，即由溫度控制(溫度調(diào)節(jié)器)和防止溫度過熱風(fēng)險(xiǎn)(溫度限定器)構(gòu)成，具體要求可參見器具標(biāo)準(zhǔn)(例女HEN297、EN483)的內(nèi)容要求。機(jī)械溫控結(jié)構(gòu)是由多年實(shí)踐而產(chǎn)生的并依賴冗余技術(shù)作為原理，被認(rèn)為是安全的，不需要控制器另外采取特別的措施。此處A類溫度控制電子電路與低溫溫控器可以相當(dāng)于一個(gè)機(jī)械的溫度凋節(jié)器。

如圖4，溫度傳感器(如NTC)與電子控制電路構(gòu)成溫度調(diào)節(jié)器的功能，由于采用了電子控制，應(yīng)基于失效模式做功能安全評價(jià)。在出現(xiàn)第一個(gè)任意故障(溫度傳感器或其檢測電路失效)時(shí)，應(yīng)能被檢測到，所以電子控制電路被要求為B類。極限溫控器屬于一個(gè)“高限制”保護(hù)性器件，是獨(dú)立于電子控制部分的，當(dāng)出現(xiàn)第二個(gè)任意故障時(shí)(B類電子控制器功能失效)，可以直接斷開燃燒執(zhí)行裝置，從而使整體功能符合C類功能安全。

如圖5，這種設(shè)計(jì)沒有一個(gè)最后的獨(dú)立保護(hù)裝置，安全依賴于系統(tǒng)安全完整性(參考文獻(xiàn)^[2])的要求保證。其中一個(gè)溫度傳感器設(shè)在燃燒器(或熱交換器)，另一個(gè)在輸出熱水端。當(dāng)其中一路溫度傳感器或其檢測電路失效，另一路可以被監(jiān)測并保護(hù)。由于采用全電子控制器來實(shí)現(xiàn)溫度控制功能，該電子控制器必須按照C類電子控制器的要求來設(shè)計(jì)，軟件也必須符合C類軟件要求，這樣使整體符合C類安全要求。

3．4　燃燒產(chǎn)物排放控制功能

燃燒產(chǎn)物排放控制功能通常理解為防止缺氧或是不完全燃燒功能，用于預(yù)防在使用環(huán)境中毒及窒息的風(fēng)險(xiǎn)，該功能由一個(gè)傳感器和一個(gè)控制器組成。在安裝燃具的地方，當(dāng)燃燒產(chǎn)物溢出進(jìn)入到環(huán)境時(shí)，傳感元件檢測到燃燒產(chǎn)物溢出超過不可接受的某個(gè)物理值，燃燒產(chǎn)物排放控制功能應(yīng)起保護(hù)作用。

燃燒產(chǎn)物排放控制功能可以分屬于A類、B類或C類安全，這與燃燒結(jié)構(gòu)及燃燒控制等安全相關(guān)系統(tǒng)有關(guān)。實(shí)例如圖6、7、8，從中可以看到分類的區(qū)別，總的原則是根據(jù)該功能失效產(chǎn)生的后果來評估。

 

 

3．5　系統(tǒng)重置功能

重置功能是指燃?xì)馄骶咴诎踩i定狀態(tài)下重啟，要求不能由自動(dòng)裝置產(chǎn)生重啟，必須通過手動(dòng)動(dòng)作來實(shí)現(xiàn)。

燃?xì)饩咧刂霉δ軐儆?/span>B類安全。重啟故障導(dǎo)致的結(jié)果可能是：

——在鎖定狀態(tài)下自動(dòng)重啟。

——在鎖定狀態(tài)下可以頻繁重啟。

——重啟元件失效，導(dǎo)致不能進(jìn)入故障鎖定狀態(tài)。

以上結(jié)果，不會直接導(dǎo)致器具產(chǎn)生危險(xiǎn)的狀況，但存在導(dǎo)致危險(xiǎn)狀況的風(fēng)險(xiǎn)，如表2。

 

所以重置功能的設(shè)計(jì)應(yīng)能預(yù)防非正常重啟導(dǎo)致的風(fēng)險(xiǎn)。重置功能的實(shí)現(xiàn)相對簡單，可以通過一個(gè)開關(guān)，器具上的控制面板或遙控器來實(shí)現(xiàn)，在電路上除了要滿足單個(gè)故障的條件下重置功能不失控外，還需要補(bǔ)充一些措施，這些措施要求是整體安全的一部分，如：

——利用可移動(dòng)裝置進(jìn)行重置時(shí)，要求至少由兩個(gè)手動(dòng)動(dòng)作激活重置裝置；

——在重置前、后和過程期間的狀態(tài)和相關(guān)信息應(yīng)是可見的；

——在15min時(shí)間內(nèi)的重置動(dòng)作最多5次，進(jìn)一步的重置應(yīng)被拒絕。

4　結(jié)束語

本文分析了燃?xì)饩吖δ馨踩奶攸c(diǎn)、失效的后果及影響，對于本行業(yè)的專業(yè)人員在控制系統(tǒng)的安全設(shè)計(jì)上具有一定的參考意義；只有充分理解了這些功能在安全上的要求，才能首先在具體的設(shè)計(jì)過程采取有效的措施確保器具的安全。隨著燃?xì)饩叩陌l(fā)展，一些新功能被增加與組合進(jìn)來，只要按照以上的分析及評估方法，應(yīng)能準(zhǔn)確地做到對新的功能安全的分類。同時(shí)也能更好地去理解國內(nèi)外的相關(guān)標(biāo)準(zhǔn)要求，提升燃?xì)庑袠I(yè)的安全設(shè)計(jì)水準(zhǔn)。

 

參考文獻(xiàn)

1 ICS 91．140 P45 CJ／T 421—2013．家用燃?xì)馊紵龤饩唠娮涌刂破?/span>[S]．中國標(biāo)準(zhǔn)出版社，2013

2 ICS 25．040 GB／T20483．1—2006．電氣／電子，可編程電子相關(guān)系統(tǒng)的功能安全第1部分一般要求[S]．中國標(biāo)準(zhǔn)出版社，2007

3 ICS 23．060．40 BS EN 1361 1—2007．Safety and control devices for gas burners and gas burning appliances-General requirements[S]

4 ICS 91．140．40 BS EN 14459—2007．Control funetions in electronic systems for gas burners and gas burning appliances-Methods for classification and assessment[S]

 

 

 

本文作者：陳必華

作者單位：廣東萬和新電氣股份有限公司