摘　要：本文論述了燃氣燃燒器和燃氣器具C類電子控制器的電路設計要求及方法。

關鍵詞：C類安全　故障模式　監控　MCU評估

Circuits Design of Class C Automatic Electrical Controls for Gas Burners and Gas Burning Appliances

Abstract：This articles describes safety requirements and inethods of circuit design about class C aulomatic electrical controls for gas burners and gas burning appliances．

Keywords：class C safety  failure mode  monitor  MCU  assessment

1　概述

隨著國內燃氣行業發展，各種先進的電子傳感器及自動化部件在燃氣具產品上廣泛使用，智能化程度越來越高，燃氣器具產品的功能已不僅依靠傳統可靠的機電部件來實現，還依賴電子及可編程電子控制系統來保障。但行業內對控制系統在安全可靠性設計方面的認識不足，導致設計的產品存在潛在的事故風險。根據相關事故案例分析，許多事故涉及電子控制器失效，如：燃氣爐具的燃氣閥驅動電路回路故障，熄火后燃氣閥不能關閉，導致燃氣泄漏。又如，燃氣熱水器無緣無故的啟動或不能正確及時關閉導致火災等。要避免或杜絕此類事故的發生，在電路設計上必須基于電子器件的失效模式，在失效分析的基礎上進行控制電路功能及故障保護的設計，從而保證功能安全而不僅僅足實現功能。

按照新發布的CJ／T421—2013《家用燃氣燃燒器具電子控制器》標準的要求，燃氣具用電子控制器功能按照故障產生的結果的嚴重性可分為：A類控制器、B類控制器及C類控制器。其中A類控制器功能與安全性無關，B類控制器功能預期能防止不安全的運行，C類控制器功能能防止特定的危險狀況，諸如火災、爆炸之類的特別風險。

燃氣具電子控制器的主要功能包括燃氣切斷、燃燒控制、溫度控制或系統重置等，其控制器功能的失效可能導致燃氣泄漏而產牛火災及爆炸，有毒煙氣及過熱等危險。其中只要具有燃氣切斷或燃燒控制功能的控制器必須符合C類安全設計，即控制功能設計必須能防止未燃燒的燃氣泄漏產牛的危害及過熱引起的著火危險。

2　C類控制器的電路要求

C類控制器要求具有兩級的安全保護，即設計如果單個故障使其初級安全保護電路失效，應提供第二級安全保護電路來確保安全。這兩級安全保護電路的故障響應時間應符合安全要求。如果其中涉及到軟件，軟件應符合GB l4536.1—2008《家用和類似用途電自動控制器第1部分：通用要求》(IEC 60730-1)的C類軟件要求(參見參考文獻1)。

按照CJ／T421—2013《家用燃氣燃燒器具電子控制器》的要求，C級安全控制器系統的硬件結構至少符合下列結構之一：

(1)帶有周期自檢和監測的單通道結構；

(2)帶有比較的雙通道結構(通道相同的或不同的)；

雙通道結構的比較通過下列方式實現：a)通過使用比較器；b)通過相互比較。

以下以燃氣閥的切斷控制功能舉例，可接受的電路設計如下。

(1)帶有周期自檢和監控的單通道結構，如圖1。

圖1中，U控制通道可以是MCU及其輸入輸出電路組成，具有完整的控制功能。這里所說的初級安全保護是指MCU周期性的自檢，包括RAM、ROM、指令譯碼與執行尋址與數據路徑、程序計數器(Program Counter)、輸入輸出等內部故障的測試；第二級安全保護是失效監控電路，是獨立于以上通道的，可以根據輸入的狀態來判定控制通道U的輸出是否正常，當控制通道U的控制功能失效后，監控電路可以保證燃氣閥的切斷功能受控，監控電路的輸出控制應是獨立的執行機構(如繼電器)。監控電路可以是MCU構成控制電路，也可以是一般電子器件構成的回路。

(2)不具有周期自檢含有2個監控回路的單通道結構，如圖2。

圖2中，U控制通道只具有輸入輸出的控制功能，不具有內部故障的檢測功能，當輸入檢測電路故障或CPU內部單元電路(如寄存器失效)故障，仍可能產生輸出而處于危險的狀態。因而基本安全保護用于檢測U控制通道的失效；但基本安全保護電路也可能失效(或存在內部故障)，因而需要第二級安全保護電路，當然基本安全保護電路可以設計為帶周期的自檢，這種情況等同于圖1的設計。以上兩級安全保護電路都是相對獨立的。

(3)帶有比較的雙通道結構，如圖3。

圖3中，U1、U2控制通道具有獨立輸入輸出的控制功能，這兩個通道可以是完全相同的電路設計及軟件設計，也可以是不相同的。兩個通道之間具有相互比較的功能，包括對輸入數據的處理結果進行比較，對輸出的結果進行比較監控。這里的比較包括與所有安全相關的數據，例如時鐘可能影響故障反應時間，因而要監控比較時鐘周期的變化不能超過允許的范圍。

3　C類控制器的電路設計的評估

實際上，C類控制器的電路要求是基于電子器件的失效模式及影響提出的，具有C類安全的控制器設計應保證在第1和第2個獨立內部故障情況下，控制器應保持在規定的安全狀態或進行處理到規定的安全狀態，第3個獨立故障不予考慮。這是評估或驗證設計是否符合C類安全要求的要點。故障導入的驗證流程如圖4所示。

其中電子元器件的失效模式可以參見CJ／T421—2013表I.1電氣／電子元件故障模式。由一個故障直接引起其他另一個故障，被當作是一個獨立的故障。例如某個電阻短路，引起三極管過流短路，這兩個元件的故障被認為是一個獨立的故障。

故障可以發生在操作和程序運行的任何階段。不僅用于運行或待機狀態，鎖定或安全關閉期間的故障試驗也應進行。例如，燃氣熱水器控制器處于安全關閉或鎖定狀態有2個原因：其一系統可能是檢測到一個內部故障；其二由外部故障(如火焰故障)引發鎖定或安全關閉。第一種情況仍要做第2個故障試驗．第二種情況認為是一個正常的程序操作，需要執行第1、2故障導入驗證，以檢驗2個故障同時存在時，控制系統處于安全的控制狀態。

4　C類控制器的電路設計應用舉例

以使用兩個自動截止閥實現燃氣切斷功能的電路設計為例，按照帶有周期自檢和監測的單通道結構形式設計，其控制功能如圖5。

其中主要電路：燃氣切斷閥電子控制主電路1由MCU及外圍電路構成；驅動電路2、3由繼電器及驅動繼電器的晶體管電路組成，也可是由直接驅動切斷閥的晶體管電路組成；監控電路4用于監控繼電器或晶體管電路的輸出前后的結果。啟動電路5及重置電路6是系統安全的組成部分，更多是依靠軟件來實現。

按照歐洲標準EN298—2012《Automatic burner control systems for burners and appliances burning gaseous or liquid fuels》的要求，用于燃氣閥驅動的繼電器要求的電氣壽命要達到100萬次電氣壽命，滿足這種條件的繼電器被認為是可靠的，只需考慮1個繼電器失效后自動截止閥是受控安全狀態。但閥體主同路必須增加電流保險，以確保不產生過電流，如圖6是可接受的燃氣閥電路構成。

但對驅動繼電器的電子電路則要滿足在第一、第二故障的條件下，系統處于安全狀態。以下圖7、圖8為不可接受的驅動電路，圖7中T1 T2同時短路時，繼電器不受控。圖8中雖然避免了任意兩個三極管失效的問題，但當T2短路及MCU同時失效時，繼電器仍然不受控(MCU失效模式僅考慮同時輸出1或0)。

圖9、圖10的電路是可接受的設計，其中圖9的電路設計可以避免任意兩個元件失效引起的繼電器不受控的問題；圖10的電路設計采用了獨立的監控電路沒計，同樣可以解決任：卷兩個元件失效引起的繼電器不受控的問題；監控電路設計應獨立于被監控的電路，可以監控繼電器的驅動電路，也可以監控繼電器的輸出。

對于不使用繼電器控制而直接采用電子電路驅動的燃氣切斷閥，其驅動設計同以上繼電器的驅動設計一樣，相當于采用燃氣切斷閥代替繼電器。

本節的設計應用僅僅是針對燃氣具上燃氣閥切斷控制這一功能的安全設計，如果切斷功能控制涉及到安全時間，還必須對時間控制功能進行監控，例如采用獨立的看門狗定時電路。

5　結束浯

本文重點針對燃氣燃燒器和燃氣器具用電子控制器的硬件電路設計及評估做了一定的分析與探討，與安全相關的控制在更多的情況下不是單一功能的安全控制，足與多種安全因素相關聯的，是一種系統控制，電路設計應綜合考慮這些安全因素，這樣才能保證控制器的設計真正符合C類安全要求。

參考文獻

1中國國家標準化管理委員會．GB l4536.1—2008家用和類似用途電自動控制器第1部分：通用要求[S]．中國標準出版社，2008

2 ICS 91.140 P 45 CJ／T 421—2013家用燃氣燃燒氣具電子控制器嘲．中國標準出版社，2013

3中國國家標準化管理委員會．GB／T20483.7—2006電氣／電子／可編程電子相關系統的功能安全第7部分技術和措施概述[S]．中國標準出版社，2007

4 ICS 23.060.40 BS EN l3611—2007 Safety and control devices for gas burners and gas burning appliances-General requirements[S]

5 ICS 91.140.40 BS EN 14459—2007 Control funotions in electronic systems for gas burners and gas burning appliances—Methods tbr classification and assessment[S]

本文作者：陳必華

作者單位：廣東萬和新電氣股份有限公司