摘 要

摘　要：本文論述了家用燃氣燃燒器和燃氣器具控制功能的安全等級的特點及如何通過功能安全的失效分析對安全等級進行分類。關鍵詞：燃氣具　功能安全　失效分析　控制功能Functi

摘　要：本文論述了家用燃氣燃燒器和燃氣器具控制功能的安全等級的特點及如何通過功能安全的失效分析對安全等級進行分類。

關鍵詞：燃氣具　功能安全　失效分析　控制功能

Functionality Safety Analysis for Gas Burners and Gas Burning Appliances

Abstract：This articles describes the methods of functionality safety classification and classes of control functions is given for automatic electrical controls of gas burners and gas burning appliances．

Keywords：gas appliances  functionality safety  failure analysis  control functions

1　概述

從國內外燃氣具發(fā)展的歷程看，燃氣具控制裝置的發(fā)展經(jīng)歷了全機械、機械電氣、到電氣／電子／可編程系統(tǒng)(E／E／PES)控制裝置的發(fā)展，而功能安全的研究最初是從機械領域開始的，機械的控制裝置結構簡單，受環(huán)境的影響小，失效模式也相對簡單，長期的實踐應用也證明是安全的，如水氣聯(lián)動閥、溫度調節(jié)閥等。電氣／電子／可編程系統(tǒng)(E／E／PES)的應用擴展了安全方面的功能，實現(xiàn)了許多機械控制無法實現(xiàn)的功能，使得器具顯得更為安全，但容易發(fā)生的潛在的各種失效模式，如溫度濕度電磁干擾等環(huán)境影響產(chǎn)生的失效，威脅到功能的可靠性，從而產(chǎn)生安全問題。國外在這方面的應用及規(guī)范實施走在前面。

目前，國內中高端燃氣具產(chǎn)品控制均采用電氣／電子／可編程系統(tǒng)(E／E／PES)，如點火、燃氣關斷、火焰檢測、恒溫控制、安全時間控制等功能都是通過電子控制系統(tǒng)來實現(xiàn)，這種先進智能化技術應用增加了對燃氣具系統(tǒng)安全要求的復雜程度。由于行業(yè)內對電子控制系統(tǒng)在安全可靠性設計方面的認識不足，主要表現(xiàn)在對家用燃氣具的功能安全的特點及分類不明確，導致了控制系統(tǒng)設計沒有采取必要的安全措施，存在許多安全隱患。隨著住房和城鄉(xiāng)建設部的標準《家用燃氣燃燒器具電子控制器》CJ／T421—2013的實施，對家用燃氣具的功能安全的特點分析研究表現(xiàn)得更為緊迫和必要。

2　燃氣具功能安全的定義與分類

簡單地說，功能安全是指依賴控制系統(tǒng)執(zhí)行正確的功能。

GB／T 20438標準的定義是功能安全的含義更為廣義，引入“安全相關系統(tǒng)”的概念，不僅僅是技術上的安全措施，還包括功能安全的管理等，是整體安全的概念。具體可參考參考文獻^[2]，本文只針對燃氣具具體的控制功能安全做分析。

燃氣具功能安全主要包括電氣安全及控制功能安全，電氣安全是燃氣具基本的功能安全，本文不做論述。

按照《家用燃氣燃燒器具電子控制器》CJ／T421—2013 4．1節(jié)的規(guī)定。依據(jù)失效產(chǎn)生的結果的嚴重性，控制功能的安全性分為：A類、B類、C類。

2．1　A類：控制功能與安全性無關

如：室內溫控器，其功能具有開／關機，設置運行溫度等功能，如果該控制器的功能失效可能導致沒有開關機指令，或不能設置溫度，但受控系統(tǒng)安全不會因此降低。

但如果這個室內溫控器可以執(zhí)行鎖定功能的解除，是否與安全性有關需要依受控系統(tǒng)設計來判定。(具體可參見3．5節(jié))

2．2　B類：控制功能的設計能防止可預見的不安全的運行

如：燃燒系統(tǒng)中的對風壓開關的檢測，如果檢測電路失效并不直接導致CO或火焰外溢產(chǎn)牛，但會存在這種風險。在設計時要能判定檢測電路失效或通過另外的回路判斷，起到預防作用。

2．3　C類：控制功能的設計能防止特定的危險狀況，諸如火災、爆炸之類的特別風險

如：燃燒控制及燃氣切斷功能，如果控制功能失效，將導致燃氣泄漏而產(chǎn)生火災及爆炸，通常在設計中通過增加冗余設計及錯誤檢測來降低這種風險的概率。

3　燃氣具功能安全分類的解析

燃氣具主要的控制功能包括燃氣切斷功能、燃燒控制功能、溫度控制功能、燃燒產(chǎn)物排放功能、系統(tǒng)重置功能等。通常這些功能的實現(xiàn)都離不開電氣／電子／可編程系統(tǒng)(E／E／PES)，這與傳統(tǒng)的對功能安全的要求是不一樣的。由于控制器功能的失效可能導致燃氣泄漏而產(chǎn)生火災及爆炸，有毒煙氣及過熱等危險，功能設計就必須能防止這種危險的發(fā)生，在失效分析的基礎上來進行控制電路功能及故障保護的設計，從而保證功能安全而不僅僅是實現(xiàn)功能。要達到這種目的，必須先正確分析理解這些功能在安全上的特征及要求。

3．1　燃氣切斷功能

燃氣切斷功能的失效會直接導致燃氣泄漏，產(chǎn)生著火及爆炸的風險，燃氣切斷功能要求C級安全。

燃氣切斷功能必須使用兩個截止閥來保證燃氣切斷，通常閥的連接組合如下：

(1)兩個自動截止閥連接

由于自動截止閥通過已驗證的機械結構及壽命保證可靠性，不存在電子器件，沒有額外補充要求。

(2)一個自動截止閥和一個儲能關閉截止閥連接

儲能關閉截止閥在結構上的功能保證需要補充一些驗證措施，具體可參見參考文獻^[3]，如果是基于電子元件時(電容、電池)，在電源斷電后為確保關閉閥門，電路部分的性能應符合標準CJ／T 421 D4．4的內部故障保護試驗要求。

(3)一個自動截止閥和一個無儲能關閉截止閥連接

無儲能關閉截止閥與儲能關閉截止閥功能安全的要求相同。但這種組合不能用在連續(xù)運行的器具上，也就是說24小時中必須執(zhí)行關閉重啟，并進行故障測試。

(4)兩個儲能關閉截止閥連接

(5)一個有儲能關閉截止閥和一個無儲能關閉截止閥連接

(6)兩個無儲能關閉截止閥連接

這種組合方式在電源斷電后不能關閉閥門(如步進電機驅動的閥門)，這是不可接受的。

閥的組合符合功能安全要求，但并不意味切斷功能符合安全要求，閥的驅動電路的失效會直接導致切斷功能失效。燃氣泄漏后狀況較為復雜，所有的安全措施都是保證不產(chǎn)生泄漏，而不是產(chǎn)生燃氣泄漏后再進行保護。由于儲能關閉截止閥與無儲能關閉截止閥在國內較少使用，本文只分析自動截止閥的切斷功能。

第一，兩個閥門的控制均符合B類安全要求，但組合是不能達到C安全要求的，如圖1。從閥門組合的容錯上分析，當其中一個閥門失控(如有雜物或卡死)，另一個閥能保持正常即可符合安全要求。例如，自動閥2失控，自動閥1必須保證安全。B類安全的要求是電子控制1在第一個故障的條件下保證安全狀態(tài)，但該故障可能不被檢測到，當?shù)诙€故障仍出現(xiàn)在電子控制1時，電子控制1可能導致自動閥1不受控，這樣兩個閥都不受控，所以不符合C類安全要求。

 

第二，兩個閥門同時由符合C類安全的電子控制器控制，整體可以達到C安全要求，如圖2。當自動閥1失效，如果電子控制器符合C類安全，自動閥2在任意兩個故障的條件下均可以保證處于安全狀態(tài)，所以整體符合C類安全要求。按照這種分析，自動閥1、2是可以同時驅動的(并聯(lián))。所以閥的冗余與閥驅動的冗余是安全設計兩個方面，都必須要做到。

 

3．2　燃燒控制功能

燃燒控制功能主要包括點火控制、火焰監(jiān)控、安全時間、故障反應時間、前后清掃時間、鎖定時間等時序與邏輯的控制。

火焰監(jiān)控通常與燃氣切斷功能關聯(lián)，所以燃燒控制功能屬于C類安全。如果燃燒控制不包括火焰監(jiān)控功能，僅是一些時序與邏輯的控制，其功能安全可根據(jù)失效后果歸為B類，具體可參見表1。

 

單獨的火焰監(jiān)控(獨立于時序與邏輯控制之外)裝置應是C類安全。因為最直接的風險是熄火后，不能有效地反饋火焰信號，導致燃氣關閉延遲或不能關閉。

采用電子系統(tǒng)的火焰監(jiān)控通常與其他燃燒控制，燃氣切斷等功能構成一個集成的控制系統(tǒng)，該系統(tǒng)必須符合C類安全無疑，這很容易理解。

3．3　溫度控制功能(TCF)

燃氣具溫度控制功能主要實現(xiàn)溫度恒定，預防過熱，防止燃氣燃燒過熱導致的著火風險。這類風險如：燃氣熱水器水溫過高產(chǎn)生傷人事故、缺水干燒產(chǎn)生的著火事故。

溫度控制功能(TCF)應是C類安全，與燃燒控制功能比較，在功能安全方面的實質是相同的。TCF滿足C類安全可以通過完全電子控制器來實現(xiàn)，也可以允許較低安全類的電子控制器與結構的安全措施結合達到TCF整體符合C類安全。

TCF符合C類安全設計的例子如圖3、圖4、圖5。

 

 

如圖3，這是一個傳統(tǒng)的解決方法，使崩了機械控溫的組合，即由溫度控制(溫度調節(jié)器)和防止溫度過熱風險(溫度限定器)構成，具體要求可參見器具標準(例女HEN297、EN483)的內容要求。機械溫控結構是由多年實踐而產(chǎn)生的并依賴冗余技術作為原理，被認為是安全的，不需要控制器另外采取特別的措施。此處A類溫度控制電子電路與低溫溫控器可以相當于一個機械的溫度凋節(jié)器。

如圖4，溫度傳感器(如NTC)與電子控制電路構成溫度調節(jié)器的功能，由于采用了電子控制，應基于失效模式做功能安全評價。在出現(xiàn)第一個任意故障(溫度傳感器或其檢測電路失效)時，應能被檢測到，所以電子控制電路被要求為B類。極限溫控器屬于一個“高限制”保護性器件，是獨立于電子控制部分的，當出現(xiàn)第二個任意故障時(B類電子控制器功能失效)，可以直接斷開燃燒執(zhí)行裝置，從而使整體功能符合C類功能安全。

如圖5，這種設計沒有一個最后的獨立保護裝置，安全依賴于系統(tǒng)安全完整性(參考文獻^[2])的要求保證。其中一個溫度傳感器設在燃燒器(或熱交換器)，另一個在輸出熱水端。當其中一路溫度傳感器或其檢測電路失效，另一路可以被監(jiān)測并保護。由于采用全電子控制器來實現(xiàn)溫度控制功能，該電子控制器必須按照C類電子控制器的要求來設計，軟件也必須符合C類軟件要求，這樣使整體符合C類安全要求。

3．4　燃燒產(chǎn)物排放控制功能

燃燒產(chǎn)物排放控制功能通常理解為防止缺氧或是不完全燃燒功能，用于預防在使用環(huán)境中毒及窒息的風險，該功能由一個傳感器和一個控制器組成。在安裝燃具的地方，當燃燒產(chǎn)物溢出進入到環(huán)境時，傳感元件檢測到燃燒產(chǎn)物溢出超過不可接受的某個物理值，燃燒產(chǎn)物排放控制功能應起保護作用。

燃燒產(chǎn)物排放控制功能可以分屬于A類、B類或C類安全，這與燃燒結構及燃燒控制等安全相關系統(tǒng)有關。實例如圖6、7、8，從中可以看到分類的區(qū)別，總的原則是根據(jù)該功能失效產(chǎn)生的后果來評估。

 

 

3．5　系統(tǒng)重置功能

重置功能是指燃氣器具在安全鎖定狀態(tài)下重啟，要求不能由自動裝置產(chǎn)生重啟，必須通過手動動作來實現(xiàn)。

燃氣具重置功能屬于B類安全。重啟故障導致的結果可能是：

——在鎖定狀態(tài)下自動重啟。

——在鎖定狀態(tài)下可以頻繁重啟。

——重啟元件失效，導致不能進入故障鎖定狀態(tài)。

以上結果，不會直接導致器具產(chǎn)生危險的狀況，但存在導致危險狀況的風險，如表2。

 

所以重置功能的設計應能預防非正常重啟導致的風險。重置功能的實現(xiàn)相對簡單，可以通過一個開關，器具上的控制面板或遙控器來實現(xiàn)，在電路上除了要滿足單個故障的條件下重置功能不失控外，還需要補充一些措施，這些措施要求是整體安全的一部分，如：

——利用可移動裝置進行重置時，要求至少由兩個手動動作激活重置裝置；

——在重置前、后和過程期間的狀態(tài)和相關信息應是可見的；

——在15min時間內的重置動作最多5次，進一步的重置應被拒絕。

4　結束語

本文分析了燃氣具功能安全的特點、失效的后果及影響，對于本行業(yè)的專業(yè)人員在控制系統(tǒng)的安全設計上具有一定的參考意義；只有充分理解了這些功能在安全上的要求，才能首先在具體的設計過程采取有效的措施確保器具的安全。隨著燃氣具的發(fā)展，一些新功能被增加與組合進來，只要按照以上的分析及評估方法，應能準確地做到對新的功能安全的分類。同時也能更好地去理解國內外的相關標準要求，提升燃氣行業(yè)的安全設計水準。

 

參考文獻

1 ICS 91．140 P45 CJ／T 421—2013．家用燃氣燃燒氣具電子控制器[S]．中國標準出版社，2013

2 ICS 25．040 GB／T20483．1—2006．電氣／電子，可編程電子相關系統(tǒng)的功能安全第1部分一般要求[S]．中國標準出版社，2007

3 ICS 23．060．40 BS EN 1361 1—2007．Safety and control devices for gas burners and gas burning appliances-General requirements[S]

4 ICS 91．140．40 BS EN 14459—2007．Control funetions in electronic systems for gas burners and gas burning appliances-Methods for classification and assessment[S]

 

 

 

本文作者：陳必華

作者單位：廣東萬和新電氣股份有限公司