易壯成 魏 云

（萊茵技術(shù)（上海）有限公司 上海 200072）

引言

在家用電器及其它電子電氣產(chǎn)品中，可編程電子電路除了用于滿足消費者使用需求外，也越來越廣泛地被運用到功能安全中。家庭和商用機器人產(chǎn)品是行業(yè)未來的發(fā)展趨勢，其要面對復(fù)雜多變的使用場景，必定有更多的功能安全要求。對于實驗室來說，除了需要具備復(fù)雜電子電路的分析能力，對于功能安全要求的深入理解顯得尤為重要。

1 保護(hù)電子電路的測試流程

1.1 保護(hù)電子電路（PEC）的定義

IEC 60335-1 給出了保護(hù)電子電路（后面簡稱PEC）的定義：防止非正常運行狀態(tài)下出現(xiàn)危險的電子電路；并加了備注：電路中的部分也可以起到功能作用[1]。關(guān)于這個定義可得出幾個結(jié)論：

①起保護(hù)作用的電路中至少包括一個電子元件；

②在正常運行情況下，該電路也可能動作；

③PEC 動作通常表現(xiàn)為電流截止（負(fù)載電路斷開）；

④預(yù)防的危險包括熱危險，也包括觸電危險和機械危險。

PEC實質(zhì)上是針對19章非正常試驗的功能安全概念。除非特殊注明，一般不適用于涉及到其他功能安全的章節(jié)。 本文重點關(guān)注可編程保護(hù)電子電路。

1.2 GB 4706.1 與IEC 60335-1 的19.11.3 要求對比

GB 4706.1 的19.11.3 規(guī)定，如果器具在19 章試驗時PEC 動作，則需要在PEC 中模擬19.11.2 a)- f)的單一故障條件，重復(fù)進(jìn)行相關(guān)非正常試驗[2]。這意味著，有關(guān)PEC 的測試應(yīng)放在非正常試驗的最后來進(jìn)行。

IEC 60335-1 的19.11.3 增加了兩個細(xì)節(jié)規(guī)定。①故障插入時間的規(guī)定： 在器具開機前后任一時間點都需要模擬19.11.2 a)- g)的單一故障。若電路設(shè)計只有開機自檢，則無法診斷出開機一段時間后的故障。②對器具工作狀態(tài)的要求，即：如果在PEC 模擬故障后，器具無法正常工作，后續(xù)相關(guān)的非正常試驗不需要再重復(fù)[1]。此時用戶能夠識別出產(chǎn)品已出現(xiàn)故障，故障累積條件不再成立。

1.3 可編程保護(hù)電子電路的測試流程

如果器具在進(jìn)行某個19 章非正常試驗時發(fā)現(xiàn)是由PEC 提供保護(hù)，還需要在PEC 動作后進(jìn)行19.11.4.1-19.11.4.7（以下簡稱19.11.4）的強電磁干擾試驗。由于19.11.3 連同19.2, 19.6 以及有人照管產(chǎn)品19.7 試驗時動作的PEC 不用進(jìn)行強電磁干擾試驗，且19.11.3 的測試經(jīng)常導(dǎo)致樣品（線路板）的損壞，因此PEC 先應(yīng)考核19.11.4，再考核19.11.3[1]。

按照19.11.3 的要求，如果PEC 插入單一故障后器具無法正常工作，對應(yīng)的非正常的試驗就中止，這里的正常工作是指：

1）連續(xù)運行產(chǎn)品能夠工作到穩(wěn)定狀態(tài)；

2）其它產(chǎn)品能夠工作滿一個周期。

然而試驗中止并不意味著PEC 不需要進(jìn)一步的評估。此時存在針對PEC 的故障診斷電路，監(jiān)測到插入的PEC故障后讓器具無法正常工作。而19.11.3 要求的故障插入可以認(rèn)為是19.11.2 試驗的一部分，這時故障診斷電路就轉(zhuǎn)化為了19.11.2 非正常試驗時的PEC。該PEC 不能遺漏對應(yīng)的19.11.3 和19.11.4 試驗，在進(jìn)行測試時應(yīng)加以注意。

當(dāng)器具插入19.11.3 要求的故障后，器具在無法正常工作后中止重復(fù)的非正常試驗，這一點僅對一個特定的故障條件成立。一個PEC 可能同時存在多個故障條件，19.11.3 需要對PEC 所有的故障條件進(jìn)行模擬。診斷電路不一定能監(jiān)測出所有故障，需要分別加以考慮以確保測試的充分性。

插入19.11.2 的單一故障時，實際操作中有時不可能也不必覆蓋所有的測試點，這就要求從業(yè)人員具備較強的電路分析能力。綜合考慮故障插入測試的充分性和必要性，找出最有代表性的故障點（能覆蓋其他的故障條件），某些故障無法模擬時可插入其他等效的故障。

一個靠可編程電子電路提供保護(hù)的家電產(chǎn)品，其PEC 的詳細(xì)測試流程總結(jié)如圖1。

圖1 保護(hù)電子電路測試流程

1.4 軟件評估的條件

只有當(dāng)可編程PEC 在19 章的某一個非正常試驗下作為最后的必要保護(hù)措施時，才須對PEC 進(jìn)行軟件評估[3]。例如19.11.3 試驗時，在PEC 中插入19.11.2 的故障條件時失效的軟件，其實并不需要做軟件評估，除非這個軟件會作為其它故障插入后重復(fù)試驗的最后保護(hù)措施的一部分[4]。

同時，只有當(dāng)最終的符合性依賴可編程電子電路的某個正確輸出，可編程PEC 才需要進(jìn)行軟件評估。驅(qū)動信號連到控制芯片并不一定代表對軟件的依賴。以圖2為例，加熱L 的信號受芯片控制，驅(qū)動繼電器RY 作為執(zhí)行單元。PTC2， PTC3 是熱敏元件，只要其中一個斷開，即可直接切斷繼電器的線圈電流，確保RY 斷開。這個保護(hù)機理與加熱L 的信號無關(guān)，不依賴芯片的正確輸出。推而廣之，如果模擬19.11.2 條件f） ，將控制芯片所有連接到執(zhí)行單元的輸出都置于故障的條件下，19 章的測試也能通過，證明非正常試驗的符合性完全不依賴可編程電子電路，則不需要進(jìn)行軟件評估[5]。

圖2 不依賴芯片輸出的保護(hù)電路

注意，圖2 中加熱L 的信號不能被正常工作時動作的溫度傳感器控制，讓RY 反復(fù)動作。因為這種情況下19.14 章試驗要求短路RY[1]，相當(dāng)于所有的傳感器同時失效，無法滿足非正常試驗的要求。

2 B 級控制功能與保護(hù)電子電路的三種指定架構(gòu)

2.1 IEC 60730-1 B 級控制功能的相關(guān)要求[6]與保護(hù)電子電路的聯(lián)系

IEC 60730-1 的附錄 H 對電子控制器定義了三種控制功能：其中A 級控制功能與產(chǎn)品的使用性有關(guān)而與安全無關(guān)；B 級控制功能的失效不會直接導(dǎo)致危險，但如果與其他的故障結(jié)合，則會導(dǎo)致危險；對于PEC 來說，其他故障相當(dāng)于19 章規(guī)定的各種非正常工作條件。而C級控制功能的失效，會直接導(dǎo)致危險的產(chǎn)生 。

B 級控制功能要求插入單一故障后，進(jìn)入如下模式之一：

1）控制器失效且與安全相關(guān)的輸出斷電；或進(jìn)入確保安全的模式；

2）控制器在故障反應(yīng)時間內(nèi)觸發(fā)動作，但可重置。重置后故障觸發(fā)功能保持不變；

3）控制器繼續(xù)工作，故障在隨后的運行序列中被診斷出，導(dǎo)致1）或2）的狀態(tài)；

4）控制器持續(xù)工作，所有的安全功能不受損。

IEC 60335-1 中 19.11.3 的要求在PEC 內(nèi)插入19.11.2中的某一個故障下重復(fù)考察19 章，實際上就是要求PEC符合B 級控制功能的要求。在單一故障插入后，器具如果進(jìn)入上述的第1）2）3）種狀態(tài)，視為相關(guān)電路具備某種故障診斷措施，由于器具不具備持續(xù)的工作能力，因此不需要考慮故障疊加（不需要重復(fù)19 章測試）。只有進(jìn)入第4）種狀態(tài)時，需要考慮與其他故障的結(jié)合，重復(fù)測試才是必須的。

由于某些方面的要求（比如元器件的單一故障的規(guī)定，電磁干擾測試等）存在差異，IEC 60335-1 的標(biāo)準(zhǔn)不再采用B 級和C 級控制功能的定義。IEC 60335-1 附錄R 中的軟件評估最低要求是需要符合表R.1，這其實對應(yīng)IEC 60730-1 中的B 級控制功能，符合B 級控制功能的三種指定架構(gòu)也被IEC 60335-1 引用； C 級指定架構(gòu)則被認(rèn)為自動符合B 級控制功能的要求。

2.2 沒有比較監(jiān)測的雙通道架構(gòu)

如圖3 所示的電路中，NTC1， NTC2， NTC3 分別是三個傳感元件，其溫度設(shè)置由低到高；對應(yīng)的T1，T2，T3 是三個電子執(zhí)行元件， T1 是正常工作時動作，T2，T3 是非正常工作時動作。R 是工作負(fù)載。正常工作時，NTC1/T1 的組合相當(dāng)于溫控器（A 級控制功能）。19.11.2 試驗中T2 短路時，T1 動作，此時NTC1/T1 轉(zhuǎn)變成PEC。按照19.11.3 的要求，繼續(xù)短路T1，此時T3 動作。相應(yīng)地，T3 短路時，最終保護(hù)措施是T2。因此T2+T3+芯片+NTC2+NTC3 所在的保護(hù)電子電路的軟件，需要軟件評估。NTC1+T1 雖然在測試過程中一度轉(zhuǎn)變成了PEC，但都沒有作為最終保護(hù)措施，因此相關(guān)輸入/輸出不需要做軟件評估。

圖3 雙通道架構(gòu)示意圖[4]

這種架構(gòu)，相當(dāng)于B 級控制功能在插入單一故障后，器具進(jìn)入模式4）。

如果制造商為了降低返修率，對溫控電路進(jìn)行冗余設(shè)計，T2 與T1 都在正常工作時動作，則在短路T3 的情況下，NTC1+T1 也會成為提供最終保護(hù)的PEC，從而相關(guān)輸入輸出需要軟件評估[4]。

2.3 帶有功能檢查的單通道架構(gòu)

如圖4 所示的電路圖，只有PT100 一個傳感器在非正常測試時動作，如何滿足19.11.3 的要求呢？

圖4 帶有功能檢查的單通道電路示意圖[3]

以19.4 的測試為例，由于T1 作為溫控器已經(jīng)需要短路，此時如果繼續(xù)失效PT100， 如果缺少功能檢查的設(shè)計，則T2, T3 均不會斷開從而讓電路失去安全功能。因此，針對PT100 的信號輸入，芯片一定要有內(nèi)置的診斷軟件，能夠診斷到PT100 的各種故障情況（開路，短路，或保持恒定值）從而斷開T2/T3，器具不能繼續(xù)工作。相當(dāng)于器具進(jìn)入模式1）或模式2），從而19 章測試不需要重復(fù)進(jìn)行。

但是在執(zhí)行（輸出）單元，考慮到T2，T3 是PEC中的元件，若短路其中一個，器具進(jìn)入模式4）。還需要另外一個來提供保護(hù)。若沒有T3，則同時短路T1/T2時，無論芯片輸出什么信號，負(fù)載常通，19.11.3 不可能符合。

2.4 帶有周期自檢的單通道架構(gòu)

在如圖5 所示的電路中，軟件除了對PT100 的信號進(jìn)行功能檢查外，還有一個進(jìn)行周期診斷的電路T Monitoring（比如電流監(jiān)測），軟件按照不同的時序截斷T1 和T2，與PT100 讀取的溫度信號做比較，可以判斷出PT100 的溫度信號與設(shè)定的時間/溫度參數(shù)是否一致。從而可以診斷出T1 或T2 的短路故障，作為最終的保護(hù)措施。

圖5 帶有周期自檢的單通道電路示意圖[3]

在非正常試驗的測試過程中，軟件參與了PT100 的信號讀取，溫度-時間的監(jiān)測，周期自檢電路的輸入輸出讀取，以及T1/T2 的驅(qū)動等。由于對芯片的輸入和輸出都進(jìn)行了診斷，在PEC 插入單一故障條件下，器具工作一個自檢周期后就會停止工作。因此19 章的測試不再需要重復(fù)進(jìn)行。

這種架構(gòu)下，PEC 的單一故障將讓器具進(jìn)入模式3），一段時間后進(jìn)入模式1）或2）。

3 自動控制器控制功能在家電功能安全上的運用

3.1 自動控制器的界定狀態(tài)下的故障插入[6]

IEC 60730-1 還定義了三種界定狀態(tài)（defined state）:

控制器默認(rèn)輸出端處于安全的狀態(tài)。當(dāng)轉(zhuǎn)換到界定狀態(tài)的因數(shù)缺失時，應(yīng)用程序?qū)凑辗弦蟮姆绞竭\行。

控制器在規(guī)定的時間內(nèi)觸發(fā)保護(hù)動作，導(dǎo)致斷電，或阻止危險的情況發(fā)生；

控制器保持工作，且不喪失安全功能；

該定義與功能安全息息相關(guān)。對于B 級控制功能，在界定狀態(tài)下插入單一故障后，應(yīng)該進(jìn)入如下模式之一：

1）控制器維持在界定狀態(tài)，安全相關(guān)的輸出被截止；

2）安全相關(guān)的輸出截止，控制器失效;

3）在安全相關(guān)輸出通電時間不超過故障反應(yīng)時間前，控制器再次運行后，將進(jìn)入模式1）或2）。當(dāng)界定狀態(tài)（或斷電）的條件不再存在，控制器應(yīng)在安全功能未受損的條件下恢復(fù)運行。

對于C 級控制功能，在界定狀態(tài)下插入單一故障后，也需要進(jìn)入以上三種模式。但在3）模式下，恢復(fù)運行后需繼續(xù)插入第二重故障，控制器仍將進(jìn)入以上三種模式之一。

3.2 一般家用電器的功能安全要求

在眾多家用電器中，功能安全的理念得到了廣泛的運用，如掃地機器人，固定式炊具，洗衣機，廚房機械，激光美容儀等。這些產(chǎn)品的功能會導(dǎo)致某種特定的安全隱患，因此存在功能安全的問題。由于相關(guān)控制功能的喪失不會直接導(dǎo)致危險，一般還需要結(jié)合偶然的環(huán)境因數(shù)和人為誤操作因數(shù)，因此B 級控制功能的要求是足夠的。

以家用掃地機器人為例，當(dāng)運行到臺階邊緣時，器具需要停止運動；或者轉(zhuǎn)向運行離開臺階邊緣后繼續(xù)正常工作。并要求在該狀態(tài)下插入19.11.2 的單一故障，或者在強電磁干擾條件下重復(fù)該測試，器具仍能符合要求；若依賴可編程電子電路，則要軟件評估[7]。這說明掃地機器人在感應(yīng)到臺階后，應(yīng)進(jìn)入3.1 中規(guī)定的某種界定狀態(tài)；且在插入單一故障后，其需要進(jìn)入到3.1 中的1），2），3）三種模式之一。

3.3 家用車庫門驅(qū)動器的功能安全要求

門驅(qū)動器由于特殊的使用環(huán)境，功能安全的考核尤為重要。IEC 60335-2-95 2017[8]19.13 章規(guī)定，19.11.2 的測試條件下，如果器具仍能工作，則需要考核防止機械危險的功能安全要求。但該版本沒有明確是否需要考慮故障累積。如果不考核19.11.3， 其實是要求所有預(yù)防機械傷害的線路達(dá)到B 級控制的要求即可。如果相關(guān)控制系統(tǒng)不能診斷出故障，則未診斷出的故障累積會導(dǎo)致危險。

最新版的IEC 60335-2-95: 2019[9]進(jìn)一步明確，不僅要考慮19.11.2 的單一故障，而且需要結(jié)合19.11.3。其附錄R 要求在一個操作周期內(nèi)診斷出故障，但并未要求軟件符合表R.2。這時候的PEC 應(yīng)理解為與機械危險相關(guān)的電路，如果PEC 插入單一故障器具仍能運行，則需要插入雙重故障后再來考核機械危險。即考核了未診斷出的故障累積對功能安全的影響，這和3.1 中C 級控制功能要求是一致的。也就是說，高風(fēng)險產(chǎn)品部分參考了C 級控制功能的要求。因為一旦安全功能受損，則會直接帶來安全風(fēng)險（比如擠壓），這符合車庫門的使用場景。

4 機械功能安全要求在輕型自動駕駛系統(tǒng)上的運用

4.1 ISO 13849-1 功能安全基本概念簡介[10]

ISO 13849-1 的內(nèi)容是機械控制系統(tǒng)的功能安全設(shè)計通則，引入了更完整的功能安全的概念。這里只介紹影響性能等級（PL）的兩個最重要的概念：

平均危險失效時間(MTTFD), 表示元器件（或系統(tǒng)）預(yù)期的危險失效平均時間。這個概念與機械的預(yù)期使用周期長有關(guān)。

單通道的MTTFD 的計算公式為：

式中：

MTTFDi—對功能安全有影響的每一個元器件的平均危險失效時間。

標(biāo)準(zhǔn)規(guī)定了大多數(shù)常用元件的MTTFD。從(1)式可看出，控制系統(tǒng)越復(fù)雜，參與計算的元器件越多，通道的MTTFD越小。

診斷覆蓋率（DC），診斷有效性的度量。DC 存在于整個有關(guān)安全系統(tǒng)中或其部件中，包括傳感器，邏輯單元和（或）執(zhí)行元件。標(biāo)準(zhǔn)給出了不同診斷措施的DC估計。這個概念強調(diào)的是，盡量診斷出安全部件中的故障，讓機器在故障發(fā)生時處于安全狀態(tài)。

在很多系統(tǒng)中，可能用到多種故障診斷措施，這些措施診斷不同的部件且有不同的DC。只有平均診斷覆蓋率（DCavg）可用于評估執(zhí)行安全功能的整個系統(tǒng)的性能等級，其計算方法為：

式中：

DCi—每個診斷措施的診斷覆蓋率；

MTTFDi—對應(yīng)的部件的平均危險失效時間。

如果存在無診斷措施的安全元件，其DC=0。其對應(yīng)的MTTFd 依然會加入（2）式的分母參與計算，因此會降低整個系統(tǒng)的平均診斷覆蓋率。

顯然，MTTFD和DCavg越大，系統(tǒng)的安全性越高。MTTFD，DCavg，PL 各個指標(biāo)等級的含義在ISO 13849-1中都有明確定義。

4.2 移動機器人產(chǎn)品的功能安全性能等級及設(shè)計架構(gòu)

移動機器人的自驅(qū)動系統(tǒng)實際上是一個輕量的自動駕駛系統(tǒng)。IEC 63327[11]強制規(guī)定了自動商用地面處理機的各種安全功能所需要達(dá)到的性能等級（PLr），很多控制功能都要達(dá)到PLr=d。

PLr=d 需要2 類或3 類架構(gòu)[10]，正好對應(yīng)自動控制器的C 級控制功能的指定架構(gòu)[6]。圖6 所示的是2 類架構(gòu)。

圖6 帶有周期自檢和測試模塊的單通道（2 類架構(gòu)）[10]

對于PLr=d，如果采用2 類架構(gòu)，則整個控制系統(tǒng)的MTTFD要高（≥30 年），DCavg要達(dá)到中（≥90 %）。且當(dāng)故障被診斷出時，OTE 要產(chǎn)生一個安全狀態(tài)，直到故障清除。IEC 63327 也同樣規(guī)定：機器在啟動前及運行過程中，應(yīng)對控制系統(tǒng)中所有與安全有關(guān)的控制部件的運行狀態(tài)進(jìn)行監(jiān)控（診斷）。任何診斷出的控制系統(tǒng)安全相關(guān)部分的故障將導(dǎo)致0 類停機或1 類停機，并使驅(qū)動輪處于鎖定狀態(tài)。1 類停機需要操作者介入才能重啟機器；0 類停機則一般需要操作者經(jīng)由訪問控制才能重啟機器[11]。這其實是要求機器進(jìn)入3.1 中的模式2）。

在停止區(qū)外的避障功能測試中，允許2 類停機。即，當(dāng)障礙物清除后，機器將自動恢復(fù)正常運行。障礙物接觸2 類停機的機器時，機器不能運動，或在5 min 內(nèi)遠(yuǎn)離障礙物；而當(dāng)障礙物在停止區(qū)內(nèi)移動時，由于預(yù)期機器會與障礙物接觸，應(yīng)啟動0 類停機或1 類停機[11]。如果把整個自動駕駛系統(tǒng)當(dāng)成一個控制功能，這其實是表明，機器在行駛中一直處于3.1 中的某種界定狀態(tài)。由于風(fēng)險始終存在，自動駕駛機器需要有多種界定狀態(tài)以應(yīng)對復(fù)雜多變的場景。

5 結(jié)語

當(dāng)可編程電子電路作為家電非正常工作和功能安全的保護(hù)機制時，實質(zhì)上是其控制系統(tǒng)啟用了B 級控制功能。某些情況下，功能安全需要考慮故障累積以進(jìn)一步降低產(chǎn)品的殘余風(fēng)險，采用診斷措施可以降低故障累積的可能性。至于具有自動駕駛功能的商用機器人產(chǎn)品，則直接引用了機械的功能安全評估標(biāo)準(zhǔn)，不少安全功能須采用C 級控制功能的指定架構(gòu)，以匹配需要達(dá)到的性能等級。這些具體的技術(shù)方案都是針對不同的風(fēng)險等級和使用場景而采取的恰當(dāng)措施。雖然家電，自動控制器以及機械的有關(guān)標(biāo)準(zhǔn)中關(guān)于功能安全的定義和具體表述存在不少區(qū)別，但是安全邏輯有不少相通性，實際工作中可相互借鑒。