摘　要：本文论述了燃气燃烧器和燃气器具C类电子控制器的电路设计要求及方法。

关键词：C类安全　故障模式　监控　MCU评估

Circuits Design of Class C Automatic Electrical Controls for Gas Burners and Gas Burning Appliances

Abstract：This articles describes safety requirements and inethods of circuit design about class C aulomatic electrical controls for gas burners and gas burning appliances．

Keywords：class C safety  failure mode  monitor  MCU  assessment

1　概述

随着国内燃气行业发展，各种先进的电子传感器及自动化部件在燃气具产品上广泛使用，智能化程度越来越高，燃气器具产品的功能已不仅依靠传统可靠的机电部件来实现，还依赖电子及可编程电子控制系统来保障。但行业内对控制系统在安全可靠性设计方面的认识不足，导致设计的产品存在潜在的事故风险。根据相关事故案例分析，许多事故涉及电子控制器失效，如：燃气炉具的燃气阀驱动电路回路故障，熄火后燃气阀不能关闭，导致燃气泄漏。又如，燃气热水器无缘无故的启动或不能正确及时关闭导致火灾等。要避免或杜绝此类事故的发生，在电路设计上必须基于电子器件的失效模式，在失效分析的基础上进行控制电路功能及故障保护的设计，从而保证功能安全而不仅仅足实现功能。

按照新发布的CJ／T421—2013《家用燃气燃烧器具电子控制器》标准的要求，燃气具用电子控制器功能按照故障产生的结果的严重性可分为：A类控制器、B类控制器及C类控制器。其中A类控制器功能与安全性无关，B类控制器功能预期能防止不安全的运行，C类控制器功能能防止特定的危险状况，诸如火灾、爆炸之类的特别风险。

燃气具电子控制器的主要功能包括燃气切断、燃烧控制、温度控制或系统重置等，其控制器功能的失效可能导致燃气泄漏而产牛火灾及爆炸，有毒烟气及过热等危险。其中只要具有燃气切断或燃烧控制功能的控制器必须符合C类安全设计，即控制功能设计必须能防止未燃烧的燃气泄漏产牛的危害及过热引起的着火危险。

2　C类控制器的电路要求

C类控制器要求具有两级的安全保护，即设计如果单个故障使其初级安全保护电路失效，应提供第二级安全保护电路来确保安全。这两级安全保护电路的故障响应时间应符合安全要求。如果其中涉及到软件，软件应符合GB l4536.1—2008《家用和类似用途电自动控制器第1部分：通用要求》(IEC 60730-1)的C类软件要求(参见参考文献1)。

按照CJ／T421—2013《家用燃气燃烧器具电子控制器》的要求，C级安全控制器系统的硬件结构至少符合下列结构之一：

(1)带有周期自检和监测的单通道结构；

(2)带有比较的双通道结构(通道相同的或不同的)；

双通道结构的比较通过下列方式实现：a)通过使用比较器；b)通过相互比较。

以下以燃气阀的切断控制功能举例，可接受的电路设计如下。

(1)带有周期自检和监控的单通道结构，如图1。

图1中，U控制通道可以是MCU及其输入输出电路组成，具有完整的控制功能。这里所说的初级安全保护是指MCU周期性的自检，包括RAM、ROM、指令译码与执行寻址与数据路径、程序计数器(Program Counter)、输入输出等内部故障的测试；第二级安全保护是失效监控电路，是独立于以上通道的，可以根据输入的状态来判定控制通道U的输出是否正常，当控制通道U的控制功能失效后，监控电路可以保证燃气阀的切断功能受控，监控电路的输出控制应是独立的执行机构(如继电器)。监控电路可以是MCU构成控制电路，也可以是一般电子器件构成的回路。

(2)不具有周期自检含有2个监控回路的单通道结构，如图2。

图2中，U控制通道只具有输入输出的控制功能，不具有内部故障的检测功能，当输入检测电路故障或CPU内部单元电路(如寄存器失效)故障，仍可能产生输出而处于危险的状态。因而基本安全保护用于检测U控制通道的失效；但基本安全保护电路也可能失效(或存在内部故障)，因而需要第二级安全保护电路，当然基本安全保护电路可以设计为带周期的自检，这种情况等同于图1的设计。以上两级安全保护电路都是相对独立的。

(3)带有比较的双通道结构，如图3。

图3中，U1、U2控制通道具有独立输入输出的控制功能，这两个通道可以是完全相同的电路设计及软件设计，也可以是不相同的。两个通道之间具有相互比较的功能，包括对输入数据的处理结果进行比较，对输出的结果进行比较监控。这里的比较包括与所有安全相关的数据，例如时钟可能影响故障反应时间，因而要监控比较时钟周期的变化不能超过允许的范围。

3　C类控制器的电路设计的评估

实际上，C类控制器的电路要求是基于电子器件的失效模式及影响提出的，具有C类安全的控制器设计应保证在第1和第2个独立内部故障情况下，控制器应保持在规定的安全状态或进行处理到规定的安全状态，第3个独立故障不予考虑。这是评估或验证设计是否符合C类安全要求的要点。故障导入的验证流程如图4所示。

其中电子元器件的失效模式可以参见CJ／T421—2013表I.1电气／电子元件故障模式。由一个故障直接引起其他另一个故障，被当作是一个独立的故障。例如某个电阻短路，引起三极管过流短路，这两个元件的故障被认为是一个独立的故障。

故障可以发生在操作和程序运行的任何阶段。不仅用于运行或待机状态，锁定或安全关闭期间的故障试验也应进行。例如，燃气热水器控制器处于安全关闭或锁定状态有2个原因：其一系统可能是检测到一个内部故障；其二由外部故障(如火焰故障)引发锁定或安全关闭。第一种情况仍要做第2个故障试验．第二种情况认为是一个正常的程序操作，需要执行第1、2故障导入验证，以检验2个故障同时存在时，控制系统处于安全的控制状态。

4　C类控制器的电路设计应用举例

以使用两个自动截止阀实现燃气切断功能的电路设计为例，按照带有周期自检和监测的单通道结构形式设计，其控制功能如图5。

其中主要电路：燃气切断阀电子控制主电路1由MCU及外围电路构成；驱动电路2、3由继电器及驱动继电器的晶体管电路组成，也可是由直接驱动切断阀的晶体管电路组成；监控电路4用于监控继电器或晶体管电路的输出前后的结果。启动电路5及重置电路6是系统安全的组成部分，更多是依靠软件来实现。

按照欧洲标准EN298—2012《Automatic burner control systems for burners and appliances burning gaseous or liquid fuels》的要求，用于燃气阀驱动的继电器要求的电气寿命要达到100万次电气寿命，满足这种条件的继电器被认为是可靠的，只需考虑1个继电器失效后自动截止阀是受控安全状态。但阀体主同路必须增加电流保险，以确保不产生过电流，如图6是可接受的燃气阀电路构成。

但对驱动继电器的电子电路则要满足在第一、第二故障的条件下，系统处于安全状态。以下图7、图8为不可接受的驱动电路，图7中T1 T2同时短路时，继电器不受控。图8中虽然避免了任意两个三极管失效的问题，但当T2短路及MCU同时失效时，继电器仍然不受控(MCU失效模式仅考虑同时输出1或0)。

图9、图10的电路是可接受的设计，其中图9的电路设计可以避免任意两个元件失效引起的继电器不受控的问题；图10的电路设计采用了独立的监控电路没计，同样可以解决任：卷两个元件失效引起的继电器不受控的问题；监控电路设计应独立于被监控的电路，可以监控继电器的驱动电路，也可以监控继电器的输出。

对于不使用继电器控制而直接采用电子电路驱动的燃气切断阀，其驱动设计同以上继电器的驱动设计一样，相当于采用燃气切断阀代替继电器。

本节的设计应用仅仅是针对燃气具上燃气阀切断控制这一功能的安全设计，如果切断功能控制涉及到安全时间，还必须对时间控制功能进行监控，例如采用独立的看门狗定时电路。

5　结束浯

本文重点针对燃气燃烧器和燃气器具用电子控制器的硬件电路设计及评估做了一定的分析与探讨，与安全相关的控制在更多的情况下不是单一功能的安全控制，足与多种安全因素相关联的，是一种系统控制，电路设计应综合考虑这些安全因素，这样才能保证控制器的设计真正符合C类安全要求。

参考文献

1中国国家标准化管理委员会．GB l4536.1—2008家用和类似用途电自动控制器第1部分：通用要求[S]．中国标准出版社，2008

2 ICS 91.140 P 45 CJ／T 421—2013家用燃气燃烧气具电子控制器嘲．中国标准出版社，2013

3中国国家标准化管理委员会．GB／T20483.7—2006电气／电子／可编程电子相关系统的功能安全第7部分技术和措施概述[S]．中国标准出版社，2007

4 ICS 23.060.40 BS EN l3611—2007 Safety and control devices for gas burners and gas burning appliances-General requirements[S]

5 ICS 91.140.40 BS EN 14459—2007 Control funotions in electronic systems for gas burners and gas burning appliances—Methods tbr classification and assessment[S]

本文作者：陈必华

作者单位：广东万和新电气股份有限公司