魏明然 冯长卿 裴广福 曹朔
(1.中国家用电器研究院,北京 100176;2.中家院(北京)检测认证有限公司,北京 100176;3.国家智能家居质量监督检验中心,北京 100176)
据全国制锁行业信息中心的统计数据显示,2015 年全国智能门锁产销量为200 万套,2016 年超过300 万套,2017 年约为800 万套。根据这三年的数据可以得出,中国智能锁行业每年的复合增长率在70%左右。在2018 年,中国智能门锁零售市场整体需求突破超过1300 万套,而在2020 年民用智能门锁总产销量约1600 万套。
在2018 年5 月国际门业博览会上,“小黑盒”事件引起了广泛关注,暴露出智能门锁存在“电磁干扰开锁漏洞”,只需要一个小黑盒,在智能门锁附近扫描,最快3 秒钟就能将门锁打开。
市场监管总局连续多年将智能门锁作为监测项目,各地消协也进行多次比较试验,并且在2020 年,首次将智能门锁纳入抽查项目中。由此可见智能门锁的安全性备受关注。
作为智能家居的入口产品,智能门锁的安全可靠性直接关系到用户的人身、财产安全,对智能门锁设计进行可靠性分析至关重要。
智能门锁是在传统锁具的基础上增加了电子控制器,以便实现多种解锁方式、远程控制等智能功能,并且将传统的单一功能的锁具变为智能家居的重要组成部分。但是在使用更加便捷的同时对智能门锁的可靠性也是一种考验。
众所周知,计算一个系统的可靠性并不是将系统中各组成部分可靠性简单的相加,智能门锁集合了锁芯、锁体、电子控制器以及多种解锁模块为一体,任何一部分可靠性不足都会导致整个系统可靠性偏低。
现阶段大部分门锁企业对智能门锁检测使用的是GB 21556-2008《锁具安全通用技术条件》、GA 701《指纹防盗锁通用技术条件》、GA 374-2019《电子防盗锁》和JGT 394-2012《建筑智能门锁通用技术要求》等标准,这些标准主要针对门锁的电源特性、欠压指示、信息保存、环境试验及机械结构进行测试,并未对电子控制器部分提出明确的要求。
无论智能门锁有多少解锁功能,多么强大的APP 软件和与其他智能家电联动的便捷,首先,智能门锁的主体是门锁,是家庭安防的重要部分,是保证人身生命安全和财产安全的重要角色。
作为门锁,智能门锁的智能功能失效不应影响到门锁本身的功能。换句话说,无论在什么情况下智能门锁都不应有异常解锁或者无法解锁的情况发生。一旦有不可控的异常动作发生,那么使用者的生命安全或财产安全可能会受到伤害或者损失。
电自动控制器本身是不可靠的,软件缺陷、电源干扰、静电释放、元件随机故障等都可能会造成电自动控制器失效,从而导致门锁异常动作的发生[1]。虽然电自动控制器存在失效的风险,但并不意味着电自动控制器在存在故障的情况下,门锁依然可以正常使用所有的智能功能,如果想达到这样的程度,那么智能门锁的电子电路甚至电机部分都需要有大量的冗余结构,这样是不现实的。
根据智能门锁的标准要求,智能门锁要保留应急开锁功能,一般门锁企业使用钥匙解锁作为应急开锁功能。所以在电子控制器失效的情况下,门锁不应有误动作,此时可以通过企业保留的应急解锁方式开锁或上锁。
一般对电子控制器进行失效分析之前,要先找到电子控制器上与安全相关的电路(PEC),即保护性电子电路。因为非安全相关的电路失效或者故障后,可能造成的是功能不完整,不会影响到系统安全。但是安全相关电路失效或者故障后,将会对系统安全造成影响。
与安全相关电路分为输入、处理、输出三部分。输入部分一般由传感器或者检测电路组成,由MCU 担任处理部分,执行器件构成输出部分。
对于保护性电子电路如何做失效分析,在GB/T 14536.1-2008《家用和类似用途电自动控制器 第1 部分:通用要求》的附录H 中,列出不同元器件的失效模型:电阻开路、三极管两个极性之间短路、每个端子对集成电路电源端短路和每个端子对集成电路地的短路等[2]。
以门锁常见的电路设计方案举例:
(1)使用无使能端的集成电路作为电机驱动
如图1 所示,可以分析出这种结构没有反馈信号,即PEC中没有输入部分。对电机驱动芯片的输入端做故障,即将IN1或IN2 与驱动芯片的VCC 短路,此时驱动芯片工作,并给电机驱动信号,电机带动离合或者锁舌动作,门锁有异常解锁或无法解锁的情况发生。
图1 门锁电路设计方案1
这种情况是存在危险的,故障是随机发生的,当故障发生时,很有可能使用者并不在门锁旁边,那么门锁异常解锁将会给不法分子带来可乘之机。
对于这样的结构要提高电子控制器的可靠性,可以通过简单的修改电路设计(如图2 所示),使用MCU 控制器电机驱动芯片的VCC,使驱动芯片在待机的情况下不工作,若电子控制器存在故障,由于驱动芯片不工作,则门锁不会立即发生异常解锁。只有在正确验证指纹、密码或IC 卡后,驱动芯片才可以得电。
图2 改善后的设计方案
若有条件,可以通过软件配合检测IN1 和IN2 的状态,判断电子控制器是否处于故障条件下,因为此时使用者在门锁旁边,可以通过报警提示音提示使用者,门锁相对来说处于可控状态。
(2)使用有使能端的集成电路作为电机驱动
相对于图1 的结构,如图3 结构的优势是通过使能端控制电机驱动芯片使能,可以控制驱动芯片何时工作,从而避免故障发生时门锁立即误动作的情况。但是结合现阶段门锁的具体情况,门锁企业的方案中也没有对电机或驱动芯片信号的检查,这就导致了PEC 电路中还是缺少输入部分。
图3 使用有使能端的设计方案
经过分析可以发现,当电机驱动芯片的输入脚IN1 或IN2与VCC 短路时,门锁不会立即发生误动作,但是当使用者正确验证指纹、密码或者IC 卡后,MCU 给驱动芯片使能信号。此时由于有故障存在,那么门锁可能无法解锁或者解锁之后无法上锁,因为PEC 电路缺少输入部分,导致门锁发生故障后,无法报警提示使用者。若室内端使用的是按键控制开锁或者上锁的方式,那么有可能在室内无法开门,虽然风险程度上低于图1 的结构,但是还是存在一定的风险。
对于这样的结构要提高电子控制器的可靠性,可以使用软件配合,使用MCU 管脚作为PEC 的输入部分,即在正确验证开锁信号之后,先检查IN1 和IN2 的信号,若检查信号异常可以提醒使用者门锁异常,若检查信号正常,则可以给使能端信号令门锁正常工作。
(3)带有感应舌的全自动门锁
对于全自动门锁如图4 所示,一般都是有一个感应舌的结构,感应舌是一个开关元件,一端接到高电平,一端接MCU的管脚,通过按压感应舌检测门是否正确关闭,当门关闭后,通过MCU 控制电机驱动芯片使电机转动推出主锁舌上锁。对于这样的门锁最少有两条PEC 电路:
图4 带有感应舌的全自动门锁
PEC1:电机驱动芯片检测+MCU+驱动电机;
PEC2:感应舌+MCU+驱动电机。
对于PEC2 来说,可以在感应舌或者MCU 接收感应舌信号的管脚处做故障,因为感应舌一般都是一个开关器件,检测门是否关闭的信号是高电平或者低电平,那么根据故障模型,可以将MCU 对应的管脚与MCU 的VCC 或者GND 短路,此时门锁不会出现异常开锁的情况,但是可能发生无法解锁或者解锁之后无法上锁的情况。
若计划提高这种结构的可靠性,则可以采用图5 的设计方案,将感应舌之前接高电平的一端接到MCU 上,此时感应舌两端都接到MCU 上,MCU 通过管脚输出一个方波或者其它类型的波形,按压感应舌后,另一个管脚检测到的是相同的波形。这时如果将MCU 管脚与VCC 短路,软件可以检测出信号异常;如果将MCU 管脚与GND 短路,则需要软件计算门锁开启时间,当发现门锁开启后长时间不上锁,需要提醒使用者注意安全。
图5 改善后的设计方案1
但是这种改善方式会导致需要长时间开门的情况下,门锁会报警,从而使用体验变差。在硬件允许的情况下,可以采用图6 的设计方案,由MCU 的两个关键检测感应舌的状态,需要注意的是,若采用MCU 相邻管脚检测感应舌状态,尽可能的使用不同的电平表示感应舌状态,这样可以发现更多的故障。
图6 改善后的设计方案2
若室内端使用的是按键控制开锁或者上锁的方式,分析过程与图4 结构类似,因此不再赘述。
(4)对于有多个传感器的全自动门锁
有些全自动门锁锁体内部有多个传感器如图7 所示,可以检测主锁舌的状态,对于这种门锁PEC 有很多:
图7 带有多个传感器的门锁
PEC1:电机驱动芯片检测+MCU+驱动电机;
PEC2:感应舌+MCU+驱动电机;
PEC3:检测锁舌伸出的开关+MCU+驱动电机;
PEC4:检测锁舌收回的开关+MCU+驱动电机。
对于检测解锁和上锁有冗余电路,实现检测门锁状态是比较容易的。
经过上述多种结构的电路可以分析出智能门锁不仅仅是在传统锁具上增加一个电子开锁的功能,更多的是要考虑如何安全有效的将这些智能功能增加到门锁上,还必须要保证在电子控制器失效的情况下不能影响门锁的基本功能。
仅仅从电子控制器方面进行分析,发现智能门锁还有很大的提升空间,那么从整体考虑,智能门锁作为一个机电一体化的产品,一个跨界在安防、家电、消费电子多领域的智能产品,还有很多与安全相关的地方值得我们去推敲。在此也呼吁门锁行业尽早完善标准,引领行业健康发展,使消费者可以买到更安全可靠的产品。