易壯成 魏 云

（萊茵技術(shù)（上海）有限公司 上海 200072）

引言

在家用電器及其它電子電氣產(chǎn)品中，可編程電子電路除了用于滿足消費者使用需求外，也越來越廣泛地被運用到功能安全中。家庭和商用機器人產(chǎn)品是行業(yè)未來的發(fā)展趨勢，其要面對復雜多變的使用場景，必定有更多的功能安全要求。對于實驗室來說，除了需要具備復雜電子電路的分析能力，對于功能安全要求的深入理解顯得尤為重要。

1 保護電子電路的測試流程

1.1 保護電子電路（PEC）的定義

IEC 60335-1 給出了保護電子電路（后面簡稱PEC）的定義：防止非正常運行狀態(tài)下出現(xiàn)危險的電子電路；并加了備注：電路中的部分也可以起到功能作用[1]。關(guān)于這個定義可得出幾個結(jié)論：

①起保護作用的電路中至少包括一個電子元件；

②在正常運行情況下，該電路也可能動作；

③PEC 動作通常表現(xiàn)為電流截止（負載電路斷開）；

④預防的危險包括熱危險，也包括觸電危險和機械危險。

PEC實質(zhì)上是針對19章非正常試驗的功能安全概念。除非特殊注明，一般不適用于涉及到其他功能安全的章節(jié)。 本文重點關(guān)注可編程保護電子電路。

1.2 GB 4706.1 與IEC 60335-1 的19.11.3 要求對比

GB 4706.1 的19.11.3 規(guī)定，如果器具在19 章試驗時PEC 動作，則需要在PEC 中模擬19.11.2 a)- f)的單一故障條件，重復進行相關(guān)非正常試驗[2]。這意味著，有關(guān)PEC 的測試應放在非正常試驗的最后來進行。

IEC 60335-1 的19.11.3 增加了兩個細節(jié)規(guī)定。①故障插入時間的規(guī)定： 在器具開機前后任一時間點都需要模擬19.11.2 a)- g)的單一故障。若電路設計只有開機自檢，則無法診斷出開機一段時間后的故障。②對器具工作狀態(tài)的要求，即：如果在PEC 模擬故障后，器具無法正常工作，后續(xù)相關(guān)的非正常試驗不需要再重復[1]。此時用戶能夠識別出產(chǎn)品已出現(xiàn)故障，故障累積條件不再成立。

1.3 可編程保護電子電路的測試流程

如果器具在進行某個19 章非正常試驗時發(fā)現(xiàn)是由PEC 提供保護，還需要在PEC 動作后進行19.11.4.1-19.11.4.7（以下簡稱19.11.4）的強電磁干擾試驗。由于19.11.3 連同19.2, 19.6 以及有人照管產(chǎn)品19.7 試驗時動作的PEC 不用進行強電磁干擾試驗，且19.11.3 的測試經(jīng)常導致樣品（線路板）的損壞，因此PEC 先應考核19.11.4，再考核19.11.3[1]。

按照19.11.3 的要求，如果PEC 插入單一故障后器具無法正常工作，對應的非正常的試驗就中止，這里的正常工作是指：

1）連續(xù)運行產(chǎn)品能夠工作到穩(wěn)定狀態(tài)；

2）其它產(chǎn)品能夠工作滿一個周期。

然而試驗中止并不意味著PEC 不需要進一步的評估。此時存在針對PEC 的故障診斷電路，監(jiān)測到插入的PEC故障后讓器具無法正常工作。而19.11.3 要求的故障插入可以認為是19.11.2 試驗的一部分，這時故障診斷電路就轉(zhuǎn)化為了19.11.2 非正常試驗時的PEC。該PEC 不能遺漏對應的19.11.3 和19.11.4 試驗，在進行測試時應加以注意。

當器具插入19.11.3 要求的故障后，器具在無法正常工作后中止重復的非正常試驗，這一點僅對一個特定的故障條件成立。一個PEC 可能同時存在多個故障條件，19.11.3 需要對PEC 所有的故障條件進行模擬。診斷電路不一定能監(jiān)測出所有故障，需要分別加以考慮以確保測試的充分性。

插入19.11.2 的單一故障時，實際操作中有時不可能也不必覆蓋所有的測試點，這就要求從業(yè)人員具備較強的電路分析能力。綜合考慮故障插入測試的充分性和必要性，找出最有代表性的故障點（能覆蓋其他的故障條件），某些故障無法模擬時可插入其他等效的故障。

一個靠可編程電子電路提供保護的家電產(chǎn)品，其PEC 的詳細測試流程總結(jié)如圖1。

圖1 保護電子電路測試流程

1.4 軟件評估的條件

只有當可編程PEC 在19 章的某一個非正常試驗下作為最后的必要保護措施時，才須對PEC 進行軟件評估[3]。例如19.11.3 試驗時，在PEC 中插入19.11.2 的故障條件時失效的軟件，其實并不需要做軟件評估，除非這個軟件會作為其它故障插入后重復試驗的最后保護措施的一部分[4]。

同時，只有當最終的符合性依賴可編程電子電路的某個正確輸出，可編程PEC 才需要進行軟件評估。驅(qū)動信號連到控制芯片并不一定代表對軟件的依賴。以圖2為例，加熱L 的信號受芯片控制，驅(qū)動繼電器RY 作為執(zhí)行單元。PTC2， PTC3 是熱敏元件，只要其中一個斷開，即可直接切斷繼電器的線圈電流，確保RY 斷開。這個保護機理與加熱L 的信號無關(guān)，不依賴芯片的正確輸出。推而廣之，如果模擬19.11.2 條件f） ，將控制芯片所有連接到執(zhí)行單元的輸出都置于故障的條件下，19 章的測試也能通過，證明非正常試驗的符合性完全不依賴可編程電子電路，則不需要進行軟件評估[5]。

圖2 不依賴芯片輸出的保護電路

注意，圖2 中加熱L 的信號不能被正常工作時動作的溫度傳感器控制，讓RY 反復動作。因為這種情況下19.14 章試驗要求短路RY[1]，相當于所有的傳感器同時失效，無法滿足非正常試驗的要求。

2 B 級控制功能與保護電子電路的三種指定架構(gòu)

2.1 IEC 60730-1 B 級控制功能的相關(guān)要求[6]與保護電子電路的聯(lián)系

IEC 60730-1 的附錄 H 對電子控制器定義了三種控制功能：其中A 級控制功能與產(chǎn)品的使用性有關(guān)而與安全無關(guān)；B 級控制功能的失效不會直接導致危險，但如果與其他的故障結(jié)合，則會導致危險；對于PEC 來說，其他故障相當于19 章規(guī)定的各種非正常工作條件。而C級控制功能的失效，會直接導致危險的產(chǎn)生 。

B 級控制功能要求插入單一故障后，進入如下模式之一：

1）控制器失效且與安全相關(guān)的輸出斷電；或進入確保安全的模式；

2）控制器在故障反應時間內(nèi)觸發(fā)動作，但可重置。重置后故障觸發(fā)功能保持不變；

3）控制器繼續(xù)工作，故障在隨后的運行序列中被診斷出，導致1）或2）的狀態(tài)；

4）控制器持續(xù)工作，所有的安全功能不受損。

IEC 60335-1 中 19.11.3 的要求在PEC 內(nèi)插入19.11.2中的某一個故障下重復考察19 章，實際上就是要求PEC符合B 級控制功能的要求。在單一故障插入后，器具如果進入上述的第1）2）3）種狀態(tài)，視為相關(guān)電路具備某種故障診斷措施，由于器具不具備持續(xù)的工作能力，因此不需要考慮故障疊加（不需要重復19 章測試）。只有進入第4）種狀態(tài)時，需要考慮與其他故障的結(jié)合，重復測試才是必須的。

由于某些方面的要求（比如元器件的單一故障的規(guī)定，電磁干擾測試等）存在差異，IEC 60335-1 的標準不再采用B 級和C 級控制功能的定義。IEC 60335-1 附錄R 中的軟件評估最低要求是需要符合表R.1，這其實對應IEC 60730-1 中的B 級控制功能，符合B 級控制功能的三種指定架構(gòu)也被IEC 60335-1 引用； C 級指定架構(gòu)則被認為自動符合B 級控制功能的要求。

2.2 沒有比較監(jiān)測的雙通道架構(gòu)

如圖3 所示的電路中，NTC1， NTC2， NTC3 分別是三個傳感元件，其溫度設置由低到高；對應的T1，T2，T3 是三個電子執(zhí)行元件， T1 是正常工作時動作，T2，T3 是非正常工作時動作。R 是工作負載。正常工作時，NTC1/T1 的組合相當于溫控器（A 級控制功能）。19.11.2 試驗中T2 短路時，T1 動作，此時NTC1/T1 轉(zhuǎn)變成PEC。按照19.11.3 的要求，繼續(xù)短路T1，此時T3 動作。相應地，T3 短路時，最終保護措施是T2。因此T2+T3+芯片+NTC2+NTC3 所在的保護電子電路的軟件，需要軟件評估。NTC1+T1 雖然在測試過程中一度轉(zhuǎn)變成了PEC，但都沒有作為最終保護措施，因此相關(guān)輸入/輸出不需要做軟件評估。

圖3 雙通道架構(gòu)示意圖[4]

這種架構(gòu)，相當于B 級控制功能在插入單一故障后，器具進入模式4）。

如果制造商為了降低返修率，對溫控電路進行冗余設計，T2 與T1 都在正常工作時動作，則在短路T3 的情況下，NTC1+T1 也會成為提供最終保護的PEC，從而相關(guān)輸入輸出需要軟件評估[4]。

2.3 帶有功能檢查的單通道架構(gòu)

如圖4 所示的電路圖，只有PT100 一個傳感器在非正常測試時動作，如何滿足19.11.3 的要求呢？

圖4 帶有功能檢查的單通道電路示意圖[3]

以19.4 的測試為例，由于T1 作為溫控器已經(jīng)需要短路，此時如果繼續(xù)失效PT100， 如果缺少功能檢查的設計，則T2, T3 均不會斷開從而讓電路失去安全功能。因此，針對PT100 的信號輸入，芯片一定要有內(nèi)置的診斷軟件，能夠診斷到PT100 的各種故障情況（開路，短路，或保持恒定值）從而斷開T2/T3，器具不能繼續(xù)工作。相當于器具進入模式1）或模式2），從而19 章測試不需要重復進行。

但是在執(zhí)行（輸出）單元，考慮到T2，T3 是PEC中的元件，若短路其中一個，器具進入模式4）。還需要另外一個來提供保護。若沒有T3，則同時短路T1/T2時，無論芯片輸出什么信號，負載常通，19.11.3 不可能符合。

2.4 帶有周期自檢的單通道架構(gòu)

在如圖5 所示的電路中，軟件除了對PT100 的信號進行功能檢查外，還有一個進行周期診斷的電路T Monitoring（比如電流監(jiān)測），軟件按照不同的時序截斷T1 和T2，與PT100 讀取的溫度信號做比較，可以判斷出PT100 的溫度信號與設定的時間/溫度參數(shù)是否一致。從而可以診斷出T1 或T2 的短路故障，作為最終的保護措施。

圖5 帶有周期自檢的單通道電路示意圖[3]

在非正常試驗的測試過程中，軟件參與了PT100 的信號讀取，溫度-時間的監(jiān)測，周期自檢電路的輸入輸出讀取，以及T1/T2 的驅(qū)動等。由于對芯片的輸入和輸出都進行了診斷，在PEC 插入單一故障條件下，器具工作一個自檢周期后就會停止工作。因此19 章的測試不再需要重復進行。

這種架構(gòu)下，PEC 的單一故障將讓器具進入模式3），一段時間后進入模式1）或2）。

3 自動控制器控制功能在家電功能安全上的運用

3.1 自動控制器的界定狀態(tài)下的故障插入[6]

IEC 60730-1 還定義了三種界定狀態(tài)（defined state）:

控制器默認輸出端處于安全的狀態(tài)。當轉(zhuǎn)換到界定狀態(tài)的因數(shù)缺失時，應用程序?qū)凑辗弦蟮姆绞竭\行。

控制器在規(guī)定的時間內(nèi)觸發(fā)保護動作，導致斷電，或阻止危險的情況發(fā)生；

控制器保持工作，且不喪失安全功能；

該定義與功能安全息息相關(guān)。對于B 級控制功能，在界定狀態(tài)下插入單一故障后，應該進入如下模式之一：

1）控制器維持在界定狀態(tài)，安全相關(guān)的輸出被截止；

2）安全相關(guān)的輸出截止，控制器失效;

3）在安全相關(guān)輸出通電時間不超過故障反應時間前，控制器再次運行后，將進入模式1）或2）。當界定狀態(tài)（或斷電）的條件不再存在，控制器應在安全功能未受損的條件下恢復運行。

對于C 級控制功能，在界定狀態(tài)下插入單一故障后，也需要進入以上三種模式。但在3）模式下，恢復運行后需繼續(xù)插入第二重故障，控制器仍將進入以上三種模式之一。

3.2 一般家用電器的功能安全要求

在眾多家用電器中，功能安全的理念得到了廣泛的運用，如掃地機器人，固定式炊具，洗衣機，廚房機械，激光美容儀等。這些產(chǎn)品的功能會導致某種特定的安全隱患，因此存在功能安全的問題。由于相關(guān)控制功能的喪失不會直接導致危險，一般還需要結(jié)合偶然的環(huán)境因數(shù)和人為誤操作因數(shù)，因此B 級控制功能的要求是足夠的。

以家用掃地機器人為例，當運行到臺階邊緣時，器具需要停止運動；或者轉(zhuǎn)向運行離開臺階邊緣后繼續(xù)正常工作。并要求在該狀態(tài)下插入19.11.2 的單一故障，或者在強電磁干擾條件下重復該測試，器具仍能符合要求；若依賴可編程電子電路，則要軟件評估[7]。這說明掃地機器人在感應到臺階后，應進入3.1 中規(guī)定的某種界定狀態(tài)；且在插入單一故障后，其需要進入到3.1 中的1），2），3）三種模式之一。

3.3 家用車庫門驅(qū)動器的功能安全要求

門驅(qū)動器由于特殊的使用環(huán)境，功能安全的考核尤為重要。IEC 60335-2-95 2017[8]19.13 章規(guī)定，19.11.2 的測試條件下，如果器具仍能工作，則需要考核防止機械危險的功能安全要求。但該版本沒有明確是否需要考慮故障累積。如果不考核19.11.3， 其實是要求所有預防機械傷害的線路達到B 級控制的要求即可。如果相關(guān)控制系統(tǒng)不能診斷出故障，則未診斷出的故障累積會導致危險。

最新版的IEC 60335-2-95: 2019[9]進一步明確，不僅要考慮19.11.2 的單一故障，而且需要結(jié)合19.11.3。其附錄R 要求在一個操作周期內(nèi)診斷出故障，但并未要求軟件符合表R.2。這時候的PEC 應理解為與機械危險相關(guān)的電路，如果PEC 插入單一故障器具仍能運行，則需要插入雙重故障后再來考核機械危險。即考核了未診斷出的故障累積對功能安全的影響，這和3.1 中C 級控制功能要求是一致的。也就是說，高風險產(chǎn)品部分參考了C 級控制功能的要求。因為一旦安全功能受損，則會直接帶來安全風險（比如擠壓），這符合車庫門的使用場景。

4 機械功能安全要求在輕型自動駕駛系統(tǒng)上的運用

4.1 ISO 13849-1 功能安全基本概念簡介[10]

ISO 13849-1 的內(nèi)容是機械控制系統(tǒng)的功能安全設計通則，引入了更完整的功能安全的概念。這里只介紹影響性能等級（PL）的兩個最重要的概念：

平均危險失效時間(MTTFD), 表示元器件（或系統(tǒng)）預期的危險失效平均時間。這個概念與機械的預期使用周期長有關(guān)。

單通道的MTTFD 的計算公式為：

式中：

MTTFDi—對功能安全有影響的每一個元器件的平均危險失效時間。

標準規(guī)定了大多數(shù)常用元件的MTTFD。從(1)式可看出，控制系統(tǒng)越復雜，參與計算的元器件越多，通道的MTTFD越小。

診斷覆蓋率（DC），診斷有效性的度量。DC 存在于整個有關(guān)安全系統(tǒng)中或其部件中，包括傳感器，邏輯單元和（或）執(zhí)行元件。標準給出了不同診斷措施的DC估計。這個概念強調(diào)的是，盡量診斷出安全部件中的故障，讓機器在故障發(fā)生時處于安全狀態(tài)。

在很多系統(tǒng)中，可能用到多種故障診斷措施，這些措施診斷不同的部件且有不同的DC。只有平均診斷覆蓋率（DCavg）可用于評估執(zhí)行安全功能的整個系統(tǒng)的性能等級，其計算方法為：

式中：

DCi—每個診斷措施的診斷覆蓋率；

MTTFDi—對應的部件的平均危險失效時間。

如果存在無診斷措施的安全元件，其DC=0。其對應的MTTFd 依然會加入（2）式的分母參與計算，因此會降低整個系統(tǒng)的平均診斷覆蓋率。

顯然，MTTFD和DCavg越大，系統(tǒng)的安全性越高。MTTFD，DCavg，PL 各個指標等級的含義在ISO 13849-1中都有明確定義。

4.2 移動機器人產(chǎn)品的功能安全性能等級及設計架構(gòu)

移動機器人的自驅(qū)動系統(tǒng)實際上是一個輕量的自動駕駛系統(tǒng)。IEC 63327[11]強制規(guī)定了自動商用地面處理機的各種安全功能所需要達到的性能等級（PLr），很多控制功能都要達到PLr=d。

PLr=d 需要2 類或3 類架構(gòu)[10]，正好對應自動控制器的C 級控制功能的指定架構(gòu)[6]。圖6 所示的是2 類架構(gòu)。

圖6 帶有周期自檢和測試模塊的單通道（2 類架構(gòu)）[10]

對于PLr=d，如果采用2 類架構(gòu)，則整個控制系統(tǒng)的MTTFD要高（≥30 年），DCavg要達到中（≥90 %）。且當故障被診斷出時，OTE 要產(chǎn)生一個安全狀態(tài)，直到故障清除。IEC 63327 也同樣規(guī)定：機器在啟動前及運行過程中，應對控制系統(tǒng)中所有與安全有關(guān)的控制部件的運行狀態(tài)進行監(jiān)控（診斷）。任何診斷出的控制系統(tǒng)安全相關(guān)部分的故障將導致0 類停機或1 類停機，并使驅(qū)動輪處于鎖定狀態(tài)。1 類停機需要操作者介入才能重啟機器；0 類停機則一般需要操作者經(jīng)由訪問控制才能重啟機器[11]。這其實是要求機器進入3.1 中的模式2）。

在停止區(qū)外的避障功能測試中，允許2 類停機。即，當障礙物清除后，機器將自動恢復正常運行。障礙物接觸2 類停機的機器時，機器不能運動，或在5 min 內(nèi)遠離障礙物；而當障礙物在停止區(qū)內(nèi)移動時，由于預期機器會與障礙物接觸，應啟動0 類停機或1 類停機[11]。如果把整個自動駕駛系統(tǒng)當成一個控制功能，這其實是表明，機器在行駛中一直處于3.1 中的某種界定狀態(tài)。由于風險始終存在，自動駕駛機器需要有多種界定狀態(tài)以應對復雜多變的場景。

5 結(jié)語

當可編程電子電路作為家電非正常工作和功能安全的保護機制時，實質(zhì)上是其控制系統(tǒng)啟用了B 級控制功能。某些情況下，功能安全需要考慮故障累積以進一步降低產(chǎn)品的殘余風險，采用診斷措施可以降低故障累積的可能性。至于具有自動駕駛功能的商用機器人產(chǎn)品，則直接引用了機械的功能安全評估標準，不少安全功能須采用C 級控制功能的指定架構(gòu)，以匹配需要達到的性能等級。這些具體的技術(shù)方案都是針對不同的風險等級和使用場景而采取的恰當措施。雖然家電，自動控制器以及機械的有關(guān)標準中關(guān)于功能安全的定義和具體表述存在不少區(qū)別，但是安全邏輯有不少相通性，實際工作中可相互借鑒。