《《cjt 421-2013家用燃气燃烧器具电子控制器》应用解读.doc》由会员分享,可在线阅读,更多相关《《cjt 421-2013家用燃气燃烧器具电子控制器》应用解读.doc(8页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、 CJ/T 421-2013 家用燃气燃烧器具电子控制器应用解读 曾英华,陈杰明 (广东百威电子有限公司) 摘要: 本文围绕我国城镇建设行业标准 CJ/T 421-2013 的关键术语、电路结构要求、故障防护要求等展开解释性论述,并通过具体例子来阐明 CJ/T 421-2013 的核心思想及阅读方法。 关键词:CJ/T 421-2013 1 引言 CJ/T 421-2013 家用燃气燃烧器具电子控制器的发布对我国家用燃气热水器、家用燃气灶具电子控制器的发展具有深远意义,该行业标准 CJ/T 421-2013 自 2013年 6 月 1 日起实施以来至今已有一年时间。一年来,业内人士努力按新标准
2、设计燃气热水器、燃气灶具的电子控制器,但是,据我们的调查了解业界对这份标准的应用始终不得要领。究其原因,是因为 CJ/T 421 在很大程度上借鉴了欧洲标准 EN 298:2003 ,并且引用了 GB14536.1-2008 ( IEC60730-1:2004( Ed4.1) ,IDT)标准。 EN 13611 是 EN 298 的上级标准,同时它又是 EN 60730-1 的下级标准,加上 IEC 60730-1 的软件技术部分实质上源自 IEC 61508-3 和 IEC 61508-7( EN xxx 作为区域性标准经常被升格为 IEC xxx 国际性标准),因此, CJ/T 421 的
3、背后隐藏着庞大的标准体系。然而, CJ/T 421 偏偏选择了一种非常精简的表述方式,这自然造成了 CJ/T 421 的晦涩难懂。有鉴于此,本文尝试从欧标的原文出发,通过对 CJ/T 421 的补充解释来帮助读者更好地理解 CJ/T 421、用好 CJ/T421,以促进我国家用燃气燃烧器具电子控制器行业的发展。 2 关于城建标准CJ/T 421 的关键术语 为了读懂 CJ/T 421,我们不得不跨越几重障碍,其中需要 跨越的第一大障碍就是对标准中术语及其定义的理解。 以 CJ/T 421 第 3.2.3 节 “带有周期自检和检测的单通道 ”为例,由于该结构是其中一种被 CJ/T 421 第 5
4、.3.3 节 “C类控制器的电路结构 ”所认可的安全结构,而且该结构是满足CJ/T 421 要求的最常用的一种电路结构,所以,我们必须先搞清楚该术语到底是怎么回事,才能够读懂接下来的章节。 什么是通道?简单来说,就是通过电子电路实现的信号通道,这个信道是带有功能的设计(电路),可对输入信号执行特定的响应。为了便于理解,下文将用 “信道 ”代替 “通道 ”来展开论述。 那什么是单信道呢?单是相对双而言的,所谓单信道,比较直观的理解就是用一个 MCU 控制一到两个三极管,相对地用两个相互独立的 MCU 去控制两个三极管就是双信道结构。当然,标准并不排斥三信道结构,但实际上出于成本和 PCB 设计方
5、面的考虑,选用三信道结构的设计少之又少,所以,标准只提及单信道和双信道这两种电路结构。 什么是周期自检?其实质就是一种提前预防的安全机制,类似每年上医院做全身体检,只是对 MCU来说,这种全身检查来得更为频繁。关于这点下文还会论述,具体可参考 IEC 60730-1 Edition 4.0 的 Table H.1。简单来说,MCU 通过三极管(或继电器)控制燃气阀的开启与关闭,如果因为 MCU 出错而错误地打开阀体,将可能导致中毒、爆炸之类的伤亡事故。而标准就是通过制定安全相关的要求,避免燃烧器具由于元件故障或电子控制器的程序问题而出现危及生命的安全事故。所以 MCU 必须进行周期自检,譬如检
6、查 ROM 里面的程序有 没有突变、时钟频率有没有变异、火焰信号的输入端口有没有正常工作等等。 监测又是怎么回事?在标准中该中文解释非常绕口,其实分开理解就可以了。就是在带周期自检单信道的基础上,加入一个独立的用于监控 MCU 有没 有正常运行的设计电路。至于监控内容,主要是与安全相关的时序和软件运行,一旦监测到异常,相关的设计电路会做出应有的响应,例如关阀。 回过头来看,一个术语、短短几个词组却涉及大量的信息,所以,要真正读懂 CJ/T 421,必须下苦功才行。 3 关于 C 级设计的结构要求 为了读懂 CJ/T 421,横在我们面前的第二大障碍就是对设计结构的理解。 实际上 CJ/T 42
7、1 的第 5.3.3节是引用自 IEC 60730-1 Edition 4.0 的 H.11.12.1.2,而 IEC 60730-1 的原意是针对 C 级软件的控制功能的,考 虑到现在的燃气燃烧器具电子控制器一般带有 MCU,而 MCU 要工作必须烧写程序,所以 IEC 60730-1 的表述并无不妥。其实,在 H.11.12.1.2 的前前后后,还有许多解释性和补充性的条文,例如, IEC 60730-1 的第 H.11.12.2.2 节还提及采用 C 级软件的双信道结构的控制器,为了查出仅通过比较器或相互比较功能而无法发现的故障和错误,还应增加额外的故障、错误检测手段。例如周期性的功能测
8、试、周期自检和独立监控。所以,我们无法抛开软件而单独讨论硬件的 C 级设计。 另外, CJ/T 421 的第 6.4 节实际上来 自 EN 13611:2007+A2:2011 的第 6.6 节,也就是说 CJ/T 421 的第 6.4 节的 a 对应 EN 13611 的第 6.6.2 节, CJ/T 421 的第 6.4 节的 b 对应 EN 13611 的第 6.6.3 节, CJ/T 421 的第 6.4 节的 c 对应EN 13611 的第 6.6.4 节。 EN 13611 既然有第 6.6.2 节,自然也有第 6.6.1 节,请注意这一节不可缺少,因为它解释了防止故障和容忍故障的
9、概念。例如:原文有以下表述 “The result shall be a system configuration which is either inherently fail safe or in which components with direct safety-critical functions (e. g. gas valve drivers, microprocessors with their associated circuits, etc.) are guarded by safeguards (in accordance to EN 60730-1:2000, Ann
10、ex H, Software class B or C). These safeguards shall be built into hardware (e. g. watch-dog, supply voltage supervision) and can be supplemented by software (e. g. ROM-test, RAM-test, etc.).”,这就引入了一个重要的概念, safeguard(本文翻译为安全防护装置),正因为有了安全防护装置, CJ/T 421 的第 6.4 节才有实现的可能。 图 1 CJ/T 421 实现方案 安全防护装置一般分首层和第
11、二层,针对 MCU 的故障必须有独立的看门狗电路(注意不要跟看门狗芯片相混淆)来进行监控,这个看门狗电路就是首层安全防护装置,它既可以是独立的MCU,也可以是纯硬件的设计电路。然后,这个安全防护装置负责控制一到两路三极管,具体可参考上图 1,当 MCU 出现故障,就由看门狗电路执行关阀动作。但是,看门狗电路也有出错的可能性,于是 MCU 作为第二层安全防护装置在上电的时候以及每次开阀加热之前都会检测由看门狗电路负责控制的三极管是否正常,如果有异常, MCU 会自 发进入锁定状态。通过这两重安全防护装置, CJ/T 421 的第 6.4 节的 c 所提及的 “C类控制器在第一和第二独立故障条件下
12、具有自我保护功能 ”在逻辑上就可以万无一失了。 当然,要全面实现 C 级设计的结构,还有很多软硬件方面的细节,例如图 1 方案 1 的 MCU 控制 Q2 和 Q3,该控制信号不能够一样,而方案 2 的看门狗电路,不能在单一故障下同时导通 Q4 和 Q5;再譬如 MCU 程序要周期性地执行CRC 以检查 ROM,还要用专门的算法来检查 RAM(补充:由于IEC 61508 成文于上世纪,随着数学理论方面的进展,很多 MCU厂商都准备了执行 速度更快的算法,所以,没必要采用标准上提供的算法),诸如此类,出于篇幅考虑,这里不作一一介绍。 所以,而要想真正读懂把大量前前后后的条文都精简掉的 CJ/T
13、 421,我们必须结合欧标的原文来理解。 4 关于内部故障的试验方法 第三大障碍或问题: CJ/T 421 相对欧标的修改让人 感到比较茫然 。 我们通过 CJ/T 421 标准与相应欧标原文的比较,发现 CJ/T 421 的第 7.5 节与欧标原文有差异。例如:EN 298:2012 的第 6.6.4.2 节所提及的第一故障来源于附录 E,该附录引用了 EN 13611:2007+A2:2011 的附录 E,然后电子元件故障模式中的 Integrated circuit(集成电路)又引用了 EN 13611-2-5:2002 的 H11.12,最终 H11.12 提出了 C 级软件的要求。但
14、 CJ/T 421 的第 7.5.2.1 节直接要求 “按附录 I 和 GB 14536.1-2008 中表H.11.12.7 的要求导入故障进行试验 ”,那我们是否可以理解为MCU 程序可以按 B 级来检验呢?再例如 CJ/T 421 的第 7.5.1.1 的b 提及 “控制器在故障反应时间内执行安全关闭或进入锁定状态 ”,那么故障反应时间是多 久?如果按照 EN 298,则这个时间是明确的,即 3 秒,也就是软件必须在 3 秒内把 MCU 自身的故障、错误查找出来。如果不规定的话,那 30 秒也是可以的。这样就给低端 MCU 一个继续发光发热的机会。不过一般建议选用 16位或 32 位的
15、MCU,不然还真不好满足 CJ/T 421 的要求。总的来说,感觉 CJ/T 421 相比 EN 298 大大降低了对电子控制器的要求。由于 CJ/T 421 行文精简,无法做到前后对接,所以阅读起来份外困难。 另外, CJ/T 421 的第 7.5.2.2“第二故障试验 ”忽略了永久运行(系统)和非永久运行(系统 )的区别。实际上 EN 298:2012 在第 6.6.4.3 节对上述两种设计做了明确的区分,考虑到类似两用炉等产品也可以通过某些技术手段设计成非永久运行,所以 CJ/T 421 的做法也无可厚非。不过 EN 13611 明确了第二故障引入前必须先执行一次启动过程(通过自检发现问
16、题),这点可以认为是对第 6.6.4.2 节的 c(对应 CJ/T 421 的第 7.5.1.1节的 c)的补充,因此非常重要。但 CJ/T 421 的表述存在问题:一个是 “通常第二故障是与第一故障有关的任何其他独立故障 ”,EN 13611 并没有这样的表述;另一个 是 “试验时,在第一故障已导入,且控制器已经启动运行的情况下导入第二故障 ”,注意“启动运行 ”跟 “启动过程 ”是两码事,因为 “启动运行 ”按照通常的理解,会把自检后进入故障锁定状态的情形忽略掉,使标准无法前后衔接。这类问题虽然对标准的总体影响不大,但在表述时必须明确, 避免设计应用时进入误区。 5 关于 CJ/T 421
17、 的关键附录 读者也许会发现 CJ/T 421 甚少提及软件要求,所以附录 F 可以说是硕果仅存。说真的,此附录很容易被忽略掉,它非常精简地提及了 GB/T 20438.2-2006 和 GB/T 20438.7-2006,其实 GB/T 20438 来源于IEC 61508,同样的,我们的国标比国际性标准更难以理解,里面充斥着绕口的术语,如果要真正实现 CJ/T 421,我们还得下更大的苦功去研读 IEC 61508。令人苦恼的是,因为 GB/T 20438-2 是一份通用性的标准,它里面针对 “诊断覆盖率或安全失效分数 ”分别给出了低( 60%)、中( 90%)、高( 99%)三种要求,而
18、 CJ/T 421 只是简单地说 “按什么什么的规定或什么什么的相应规定 ”,所以,你根本就不知道控制硬件和控制系统该按低中高哪个要求去做,倒是 IEC 60730-1 的 Table H.1(对应 GB 14536.1-2008 中表 H.11.12.7)在这方面明确得多,例如 B 级软件只考虑 stuck at(可理解为卡住了或开路了,比如某一位为零,写 1,读回来,仍然是零)类型的故障, C 级软件还要考虑 DC fault(可理解为短路了,比如某个字节所有位均为 0,第一位写 1,结果第 4 位也变为 1)类型的故障。但就如前文所提及的话题: CJ/T 421 并没有对软件等级提出明确
19、的要求,这是最让人费解的。 6 结语 我们花费了大量的时间去参阅多份欧洲标准,试图把最真实的 CJ/T 421 还原出来呈现给大家。文章中也给出了实现 CJ/T 421 的一些框架结构,同时对 CJ/T 421 的表述方面的问题提出了建议,希望读者能够从中得到启发。 参考文献: 1 CJ/T 421-2013 家用燃气燃烧器具电子控制器。 2 GB/T 20438.2-2006 电气 /电子 /可编程电子安全相关系统的功能安全 第 2 部分:电气 /电子 /可编程电子安全相关系统的要求。 3 EN 298:2012 Automatic burner control systems for bu
20、rners and appliances burning gaseous or liquid fuels. 4 EN 13611:2007+A2:2011 Safety and control devices for gas burners and gas burning appliances - General requirements. 5 IEC 60730-1 Edition 4.0 Automatic electrical controls for household and similar use Part 1: General requirements. 6 EN 60730-2-5:2002 Automatic electrical controls for household and similar use Part 2: Particular requirements for automatic electrical burner control systems.