1、CJ/T 421-2013家用燃氣燃燒器具電子控制器應用解讀曾英華，陳杰明（廣東百威電子有限公司）摘要：本文圍繞我國城鎮(zhèn)建設行業(yè)標準CJ/T 421-2013的關鍵術語、電路結構要求、故障防護要求等展開解釋性論述，并通過具體例子來闡明CJ/T 421-2013的核心思想及閱讀方法。關鍵詞：CJ/T 421-20131引言CJ/T 421-2013家用燃氣燃燒器具電子控制器的發(fā)布對我國家用燃氣熱水器、家用燃氣灶具電子控制器的發(fā)展具有深遠意義，該行業(yè)標準CJ/T 421-2013自2013年6月1日起實施以來至今已有一年時間。一年來，業(yè)內人士努力按新標準設計燃氣熱水器、燃氣灶具的電子控制器，但是，

2、據(jù)我們的調查了解業(yè)界對這份標準的應用始終不得要領。究其原因，是因為CJ/T 421在很大程度上借鑒了歐洲標準EN 298:2003，并且引用了GB14536.1-2008（IEC60730-1:2004（Ed4.1）,IDT）標準。EN 13611是EN 298的上級標準，同時它又是EN 60730-1的下級標準，加上IEC 60730-1的軟件技術部分實質上源自IEC 61508-3和IEC 61508-7（EN xxx作為區(qū)域性標準經(jīng)常被升格為IEC xxx國際性標準），因此，CJ/T 421的背后隱藏著龐大的標準體系。然而，CJ/T 421偏偏選擇了一種非常精簡的表述方式，這自然造成了C

3、J/T 421的晦澀難懂。有鑒于此，本文嘗試從歐標的原文出發(fā)，通過對CJ/T 421的補充解釋來幫助讀者更好地理解CJ/T 421、用好CJ/T421，以促進我國家用燃氣燃燒器具電子控制器行業(yè)的發(fā)展。2關于城建標準CJ/T 421的關鍵術語為了讀懂CJ/T 421，我們不得不跨越幾重障礙，其中需要跨越的第一大障礙就是對標準中術語及其定義的理解。以CJ/T 421第節(jié)“帶有周期自檢和檢測的單通道”為例，由于該結構是其中一種被CJ/T 421第5.3.3節(jié)“C類控制器的電路結構”所認可的安全結構，而且該結構是滿足CJ/T 421要求的最常用的一種電路結構，所以，我們必須先搞清楚該術語到底是怎么回事

4、，才能夠讀懂接下來的章節(jié)。什么是通道？簡單來說，就是通過電子電路實現(xiàn)的信號通道，這個信道是帶有功能的設計（電路），可對輸入信號執(zhí)行特定的響應。為了便于理解，下文將用“信道”代替“通道”來展開論述。那什么是單信道呢？單是相對雙而言的，所謂單信道，比較直觀的理解就是用一個MCU控制一到兩個三極管，相對地用兩個相互獨立的MCU去控制兩個三極管就是雙信道結構。當然，標準并不排斥三信道結構，但實際上出于成本和PCB設計方面的考慮，選用三信道結構的設計少之又少，所以，標準只提及單信道和雙信道這兩種電路結構。什么是周期自檢？其實質就是一種提前預防的安全機制，類似每年上醫(yī)院做全身體檢，只是對MCU來說，這種全

5、身檢查來得更為頻繁。關于這點下文還會論述，具體可參考IEC 60730-1 Edition 4.0的Table H.1。簡單來說，MCU通過三極管（或繼電器）控制燃氣閥的開啟與關閉，如果因為MCU出錯而錯誤地打開閥體，將可能導致中毒、爆炸之類的傷亡事故。而標準就是通過制定安全相關的要求，避免燃燒器具由于元件故障或電子控制器的程序問題而出現(xiàn)危及生命的安全事故。所以MCU必須進行周期自檢，譬如檢查ROM里面的程序有沒有突變、時鐘頻率有沒有變異、火焰信號的輸入端口有沒有正常工作等等。監(jiān)測又是怎么回事？在標準中該中文解釋非常繞口，其實分開理解就可以了。就是在帶周期自檢單信道的基礎上，加入一個獨立的用于

6、監(jiān)控MCU有沒有正常運行的設計電路。至于監(jiān)控內容，主要是與安全相關的時序和軟件運行，一旦監(jiān)測到異常，相關的設計電路會做出應有的響應，例如關閥?；剡^頭來看，一個術語、短短幾個詞組卻涉及大量的信息，所以，要真正讀懂CJ/T 421，必須下苦功才行。3關于C級設計的結構要求為了讀懂CJ/T 421，橫在我們面前的第二大障礙就是對設計結構的理解。實際上CJ/T 421的第節(jié)是引用自IEC 60730-1 Edition 4.0的H.11.12.1.2，而IEC 60730-1的原意是針對C級軟件的控制功能的，考慮到現(xiàn)在的燃氣燃燒器具電子控制器一般帶有MCU，而MCU要工作必須燒寫程序，所以IEC 60

7、730-1的表述并無不妥。其實，在H.11.12.1.2的前前后后，還有許多解釋性和補充性的條文，例如，IEC 60730-1的第H.11.12.2.2節(jié)還提及采用C級軟件的雙信道結構的控制器，為了查出僅通過比較器或相互比較功能而無法發(fā)現(xiàn)的故障和錯誤，還應增加額外的故障、錯誤檢測手段。例如周期性的功能測試、周期自檢和獨立監(jiān)控。所以，我們無法拋開軟件而單獨討論硬件的C級設計。另外，CJ/T 421的第6.4節(jié)實際上來自EN 13611:2007+A2:2011的第6.6節(jié)，也就是說CJ/T 421的第6.4節(jié)的a對應EN 13611的第節(jié)，CJ/T 421的第6.4節(jié)的b對應EN 13611的第

8、6.6.3節(jié)，CJ/T 421的第6.4節(jié)的c對應EN 13611的第6.6.4節(jié)。EN 13611既然有第6.6.2節(jié)，自然也有第6.6.1節(jié)，請注意這一節(jié)不可缺少，因為它解釋了防止故障和容忍故障的概念。例如：原文有以下表述“The result shall be a system configuration which is either inherently fail safe or in which components with direct safety-critical functions (e. g. gas valve drivers, microprocessors wit

9、h their associated circuits, etc.) are guarded by safeguards (in accordance to EN 60730-1:2000, Annex H, Software class B or C). These safeguards shall be built into hardware (e. g. watch-dog, supply voltage supervision) and can be supplemented by software (e. g. ROM-test, RAM-test, etc.).”，這就引入了一個重

10、要的概念，safeguard（本文翻譯為安全防護裝置），正因為有了安全防護裝置，CJ/T 421的第6.4節(jié)才有實現(xiàn)的可能。圖1 CJ/T 421實現(xiàn)方案安全防護裝置一般分首層和第二層，針對MCU的故障必須有獨立的看門狗電路（注意不要跟看門狗芯片相混淆）來進行監(jiān)控，這個看門狗電路就是首層安全防護裝置，它既可以是獨立的MCU，也可以是純硬件的設計電路。然后，這個安全防護裝置負責控制一到兩路三極管，具體可參考上圖1，當MCU出現(xiàn)故障，就由看門狗電路執(zhí)行關閥動作。但是，看門狗電路也有出錯的可能性，于是MCU作為第二層安全防護裝置在上電的時候以及每次開閥加熱之前都會檢測由看門狗電路負責控制的三極管是否

11、正常，如果有異常，MCU會自發(fā)進入鎖定狀態(tài)。通過這兩重安全防護裝置，CJ/T 421的第6.4節(jié)的c所提及的“C類控制器在第一和第二獨立故障條件下具有自我保護功能”在邏輯上就可以萬無一失了。當然，要全面實現(xiàn)C級設計的結構，還有很多軟硬件方面的細節(jié)，例如圖1方案1的MCU控制Q2和Q3，該控制信號不能夠一樣，而方案2的看門狗電路，不能在單一故障下同時導通Q4和Q5；再譬如MCU程序要周期性地執(zhí)行CRC以檢查ROM，還要用專門的算法來檢查RAM（補充：由于IEC 61508成文于上世紀，隨著數(shù)學理論方面的進展，很多MCU廠商都準備了執(zhí)行速度更快的算法，所以，沒必要采用標準上提供的算法），諸如此類，

12、出于篇幅考慮，這里不作一一介紹。所以，而要想真正讀懂把大量前前后后的條文都精簡掉的CJ/T 421，我們必須結合歐標的原文來理解。4關于內部故障的試驗方法第三大障礙或問題：CJ/T 421相對歐標的修改讓人感到比較茫然。我們通過CJ/T 421標準與相應歐標原文的比較，發(fā)現(xiàn)CJ/T 421的第7.5節(jié)與歐標原文有差異。例如：EN 298:2012的第.2節(jié)所提及的第一故障來源于附錄E，該附錄引用了EN 13611:2007+A2:2011的附錄E，然后電子元件故障模式中的Integrated circuit（集成電路）又引用了EN 13611-2-5:2002的H11.12，最終H11.12提

13、出了C級軟件的要求。但CJ/T 421的第7.5.2.1節(jié)直接要求“按附錄I和GB 14536.1-2008中表H.11.12.7的要求導入故障進行試驗”，那我們是否可以理解為MCU程序可以按B級來檢驗呢？再例如CJ/T 421的第7.5.1.1的b提及“控制器在故障反應時間內執(zhí)行安全關閉或進入鎖定狀態(tài)”，那么故障反應時間是多久？如果按照EN 298，則這個時間是明確的，即3秒，也就是軟件必須在3秒內把MCU自身的故障、錯誤查找出來。如果不規(guī)定的話，那30秒也是可以的。這樣就給低端MCU一個繼續(xù)發(fā)光發(fā)熱的機會。不過一般建議選用16位或32位的MCU，不然還真不好滿足CJ/T 421的要求?？偟?/p>

14、來說，感覺CJ/T 421相比EN 298大大降低了對電子控制器的要求。由于CJ/T 421行文精簡，無法做到前后對接，所以閱讀起來份外困難。另外，CJ/T 421的第.2“第二故障試驗”忽略了永久運行（系統(tǒng)）和非永久運行（系統(tǒng)）的區(qū)別。實際上EN 298:2012在第6.6.4.3節(jié)對上述兩種設計做了明確的區(qū)分，考慮到類似兩用爐等產品也可以通過某些技術手段設計成非永久運行，所以CJ/T 421的做法也無可厚非。不過EN 13611明確了第二故障引入前必須先執(zhí)行一次啟動過程（通過自檢發(fā)現(xiàn)問題），這點可以認為是對第6.6.4.2節(jié)的c（對應CJ/T 421的第7.5.1.1節(jié)的c）的補充，因此非

15、常重要。但CJ/T 421的表述存在問題：一個是“通常第二故障是與第一故障有關的任何其他獨立故障”，EN 13611并沒有這樣的表述；另一個是“試驗時，在第一故障已導入，且控制器已經(jīng)啟動運行的情況下導入第二故障”，注意“啟動運行”跟“啟動過程”是兩碼事，因為“啟動運行”按照通常的理解，會把自檢后進入故障鎖定狀態(tài)的情形忽略掉，使標準無法前后銜接。這類問題雖然對標準的總體影響不大，但在表述時必須明確，避免設計應用時進入誤區(qū)。5關于CJ/T 421的關鍵附錄讀者也許會發(fā)現(xiàn)CJ/T 421甚少提及軟件要求，所以附錄F可以說是碩果僅存。說真的，此附錄很容易被忽略掉，它非常精簡地提及了GB/T 20438

16、.2-2006和GB/T 20438.7-2006，其實GB/T 20438來源于IEC 61508，同樣的，我們的國標比國際性標準更難以理解，里面充斥著繞口的術語，如果要真正實現(xiàn)CJ/T 421，我們還得下更大的苦功去研讀IEC 61508。令人苦惱的是，因為GB/T 20438-2是一份通用性的標準，它里面針對“診斷覆蓋率或安全失效分數(shù)”分別給出了低（60%）、中（90%）、高（99%）三種要求，而CJ/T 421只是簡單地說“按什么什么的規(guī)定或什么什么的相應規(guī)定”，所以，你根本就不知道控制硬件和控制系統(tǒng)該按低中高哪個要求去做，倒是IEC 60730-1的Table H.1（對應GB 14

17、536.1-2008中表H.）在這方面明確得多，例如B級軟件只考慮stuck at（可理解為卡住了或開路了，比如某一位為零，寫1，讀回來，仍然是零）類型的故障，C級軟件還要考慮DC fault（可理解為短路了，比如某個字節(jié)所有位均為0，第一位寫1，結果第4位也變?yōu)?）類型的故障。但就如前文所提及的話題：CJ/T 421并沒有對軟件等級提出明確的要求，這是最讓人費解的。6 結語我們花費了大量的時間去參閱多份歐洲標準，試圖把最真實的CJ/T 421還原出來呈現(xiàn)給大家。文章中也給出了實現(xiàn)CJ/T 421的一些框架結構，同時對CJ/T 421的表述方面的問題提出了建議，希望讀者能夠從中得到啟發(fā)。參考文

18、獻：1 CJ/T 421-2013家用燃氣燃燒器具電子控制器。2 GB/T 20438.2-2006 電氣/電子/可編程電子安全相關系統(tǒng)的功能安全 第2部分：電氣/電子/可編程電子安全相關系統(tǒng)的要求。3 EN 298:2012 Automatic burner control systems for burners and appliances burning gaseous or liquid fuels.4 EN 13611:2007+A2:2011 Safety and control devices for gas burners and gas burning appliances - General requ