家用和类似用途电器可编程电子电路功能安全要求解读

易壮成 魏 云

（莱茵技术（上海）有限公司 上海 200072）

引言

在家用电器及其它电子电气产品中，可编程电子电路除了用于满足消费者使用需求外，也越来越广泛地被运用到功能安全中。家庭和商用机器人产品是行业未来的发展趋势，其要面对复杂多变的使用场景，必定有更多的功能安全要求。对于实验室来说，除了需要具备复杂电子电路的分析能力，对于功能安全要求的深入理解显得尤为重要。

1 保护电子电路的测试流程

1.1 保护电子电路（PEC）的定义

IEC 60335-1 给出了保护电子电路（后面简称PEC）的定义：防止非正常运行状态下出现危险的电子电路；并加了备注：电路中的部分也可以起到功能作用[1]。关于这个定义可得出几个结论：

①起保护作用的电路中至少包括一个电子元件；

②在正常运行情况下，该电路也可能动作；

③PEC 动作通常表现为电流截止（负载电路断开）；

④预防的危险包括热危险，也包括触电危险和机械危险。

PEC实质上是针对19章非正常试验的功能安全概念。除非特殊注明，一般不适用于涉及到其他功能安全的章节。 本文重点关注可编程保护电子电路。

1.2 GB 4706.1 与IEC 60335-1 的19.11.3 要求对比

GB 4706.1 的19.11.3 规定，如果器具在19 章试验时PEC 动作，则需要在PEC 中模拟19.11.2 a)- f)的单一故障条件，重复进行相关非正常试验[2]。这意味着，有关PEC 的测试应放在非正常试验的最后来进行。

IEC 60335-1 的19.11.3 增加了两个细节规定。①故障插入时间的规定： 在器具开机前后任一时间点都需要模拟19.11.2 a)- g)的单一故障。若电路设计只有开机自检，则无法诊断出开机一段时间后的故障。②对器具工作状态的要求，即：如果在PEC 模拟故障后，器具无法正常工作，后续相关的非正常试验不需要再重复[1]。此时用户能够识别出产品已出现故障，故障累积条件不再成立。

1.3 可编程保护电子电路的测试流程

如果器具在进行某个19 章非正常试验时发现是由PEC 提供保护，还需要在PEC 动作后进行19.11.4.1-19.11.4.7（以下简称19.11.4）的强电磁干扰试验。由于19.11.3 连同19.2, 19.6 以及有人照管产品19.7 试验时动作的PEC 不用进行强电磁干扰试验，且19.11.3 的测试经常导致样品（线路板）的损坏，因此PEC 先应考核19.11.4，再考核19.11.3[1]。

按照19.11.3 的要求，如果PEC 插入单一故障后器具无法正常工作，对应的非正常的试验就中止，这里的正常工作是指：

1）连续运行产品能够工作到稳定状态；

2）其它产品能够工作满一个周期。

然而试验中止并不意味着PEC 不需要进一步的评估。此时存在针对PEC 的故障诊断电路，监测到插入的PEC故障后让器具无法正常工作。而19.11.3 要求的故障插入可以认为是19.11.2 试验的一部分，这时故障诊断电路就转化为了19.11.2 非正常试验时的PEC。该PEC 不能遗漏对应的19.11.3 和19.11.4 试验，在进行测试时应加以注意。

当器具插入19.11.3 要求的故障后，器具在无法正常工作后中止重复的非正常试验，这一点仅对一个特定的故障条件成立。一个PEC 可能同时存在多个故障条件，19.11.3 需要对PEC 所有的故障条件进行模拟。诊断电路不一定能监测出所有故障，需要分别加以考虑以确保测试的充分性。

插入19.11.2 的单一故障时，实际操作中有时不可能也不必覆盖所有的测试点，这就要求从业人员具备较强的电路分析能力。综合考虑故障插入测试的充分性和必要性，找出最有代表性的故障点（能覆盖其他的故障条件），某些故障无法模拟时可插入其他等效的故障。

一个靠可编程电子电路提供保护的家电产品，其PEC 的详细测试流程总结如图1。

图1 保护电子电路测试流程

1.4 软件评估的条件

只有当可编程PEC 在19 章的某一个非正常试验下作为最后的必要保护措施时，才须对PEC 进行软件评估[3]。例如19.11.3 试验时，在PEC 中插入19.11.2 的故障条件时失效的软件，其实并不需要做软件评估，除非这个软件会作为其它故障插入后重复试验的最后保护措施的一部分[4]。

同时，只有当最终的符合性依赖可编程电子电路的某个正确输出，可编程PEC 才需要进行软件评估。驱动信号连到控制芯片并不一定代表对软件的依赖。以图2为例，加热L 的信号受芯片控制，驱动继电器RY 作为执行单元。PTC2， PTC3 是热敏元件，只要其中一个断开，即可直接切断继电器的线圈电流，确保RY 断开。这个保护机理与加热L 的信号无关，不依赖芯片的正确输出。推而广之，如果模拟19.11.2 条件f） ，将控制芯片所有连接到执行单元的输出都置于故障的条件下，19 章的测试也能通过，证明非正常试验的符合性完全不依赖可编程电子电路，则不需要进行软件评估[5]。

图2 不依赖芯片输出的保护电路

注意，图2 中加热L 的信号不能被正常工作时动作的温度传感器控制，让RY 反复动作。因为这种情况下19.14 章试验要求短路RY[1]，相当于所有的传感器同时失效，无法满足非正常试验的要求。

2 B 级控制功能与保护电子电路的三种指定架构

2.1 IEC 60730-1 B 级控制功能的相关要求[6]与保护电子电路的联系

IEC 60730-1 的附录 H 对电子控制器定义了三种控制功能：其中A 级控制功能与产品的使用性有关而与安全无关；B 级控制功能的失效不会直接导致危险，但如果与其他的故障结合，则会导致危险；对于PEC 来说，其他故障相当于19 章规定的各种非正常工作条件。而C级控制功能的失效，会直接导致危险的产生 。

B 级控制功能要求插入单一故障后，进入如下模式之一：

1）控制器失效且与安全相关的输出断电；或进入确保安全的模式；

2）控制器在故障反应时间内触发动作，但可重置。重置后故障触发功能保持不变；

3）控制器继续工作，故障在随后的运行序列中被诊断出，导致1）或2）的状态；

4）控制器持续工作，所有的安全功能不受损。

IEC 60335-1 中 19.11.3 的要求在PEC 内插入19.11.2中的某一个故障下重复考察19 章，实际上就是要求PEC符合B 级控制功能的要求。在单一故障插入后，器具如果进入上述的第1）2）3）种状态，视为相关电路具备某种故障诊断措施，由于器具不具备持续的工作能力，因此不需要考虑故障叠加（不需要重复19 章测试）。只有进入第4）种状态时，需要考虑与其他故障的结合，重复测试才是必须的。

由于某些方面的要求（比如元器件的单一故障的规定，电磁干扰测试等）存在差异，IEC 60335-1 的标准不再采用B 级和C 级控制功能的定义。IEC 60335-1 附录R 中的软件评估最低要求是需要符合表R.1，这其实对应IEC 60730-1 中的B 级控制功能，符合B 级控制功能的三种指定架构也被IEC 60335-1 引用； C 级指定架构则被认为自动符合B 级控制功能的要求。

2.2 没有比较监测的双通道架构

如图3 所示的电路中，NTC1， NTC2， NTC3 分别是三个传感元件，其温度设置由低到高；对应的T1，T2，T3 是三个电子执行元件， T1 是正常工作时动作，T2，T3 是非正常工作时动作。R 是工作负载。正常工作时，NTC1/T1 的组合相当于温控器（A 级控制功能）。19.11.2 试验中T2 短路时，T1 动作，此时NTC1/T1 转变成PEC。按照19.11.3 的要求，继续短路T1，此时T3 动作。相应地，T3 短路时，最终保护措施是T2。因此T2+T3+芯片+NTC2+NTC3 所在的保护电子电路的软件，需要软件评估。NTC1+T1 虽然在测试过程中一度转变成了PEC，但都没有作为最终保护措施，因此相关输入/输出不需要做软件评估。

图3 双通道架构示意图[4]

这种架构，相当于B 级控制功能在插入单一故障后，器具进入模式4）。

如果制造商为了降低返修率，对温控电路进行冗余设计，T2 与T1 都在正常工作时动作，则在短路T3 的情况下，NTC1+T1 也会成为提供最终保护的PEC，从而相关输入输出需要软件评估[4]。

2.3 带有功能检查的单通道架构

如图4 所示的电路图，只有PT100 一个传感器在非正常测试时动作，如何满足19.11.3 的要求呢？

图4 带有功能检查的单通道电路示意图[3]

以19.4 的测试为例，由于T1 作为温控器已经需要短路，此时如果继续失效PT100， 如果缺少功能检查的设计，则T2, T3 均不会断开从而让电路失去安全功能。因此，针对PT100 的信号输入，芯片一定要有内置的诊断软件，能够诊断到PT100 的各种故障情况（开路，短路，或保持恒定值）从而断开T2/T3，器具不能继续工作。相当于器具进入模式1）或模式2），从而19 章测试不需要重复进行。

但是在执行（输出）单元，考虑到T2，T3 是PEC中的元件，若短路其中一个，器具进入模式4）。还需要另外一个来提供保护。若没有T3，则同时短路T1/T2时，无论芯片输出什么信号，负载常通，19.11.3 不可能符合。

2.4 带有周期自检的单通道架构

在如图5 所示的电路中，软件除了对PT100 的信号进行功能检查外，还有一个进行周期诊断的电路T Monitoring（比如电流监测），软件按照不同的时序截断T1 和T2，与PT100 读取的温度信号做比较，可以判断出PT100 的温度信号与设定的时间/温度参数是否一致。从而可以诊断出T1 或T2 的短路故障，作为最终的保护措施。

图5 带有周期自检的单通道电路示意图[3]

在非正常试验的测试过程中，软件参与了PT100 的信号读取，温度-时间的监测，周期自检电路的输入输出读取，以及T1/T2 的驱动等。由于对芯片的输入和输出都进行了诊断，在PEC 插入单一故障条件下，器具工作一个自检周期后就会停止工作。因此19 章的测试不再需要重复进行。

这种架构下，PEC 的单一故障将让器具进入模式3），一段时间后进入模式1）或2）。

3 自动控制器控制功能在家电功能安全上的运用

3.1 自动控制器的界定状态下的故障插入[6]

IEC 60730-1 还定义了三种界定状态（defined state）:

控制器默认输出端处于安全的状态。当转换到界定状态的因数缺失时，应用程序将按照符合要求的方式运行。

控制器在规定的时间内触发保护动作，导致断电，或阻止危险的情况发生；

控制器保持工作，且不丧失安全功能；

该定义与功能安全息息相关。对于B 级控制功能，在界定状态下插入单一故障后，应该进入如下模式之一：

1）控制器维持在界定状态，安全相关的输出被截止；

2）安全相关的输出截止，控制器失效;

3）在安全相关输出通电时间不超过故障反应时间前，控制器再次运行后，将进入模式1）或2）。当界定状态（或断电）的条件不再存在，控制器应在安全功能未受损的条件下恢复运行。

对于C 级控制功能，在界定状态下插入单一故障后，也需要进入以上三种模式。但在3）模式下，恢复运行后需继续插入第二重故障，控制器仍将进入以上三种模式之一。

3.2 一般家用电器的功能安全要求

在众多家用电器中，功能安全的理念得到了广泛的运用，如扫地机器人，固定式炊具，洗衣机，厨房机械，激光美容仪等。这些产品的功能会导致某种特定的安全隐患，因此存在功能安全的问题。由于相关控制功能的丧失不会直接导致危险，一般还需要结合偶然的环境因数和人为误操作因数，因此B 级控制功能的要求是足够的。

以家用扫地机器人为例，当运行到台阶边缘时，器具需要停止运动；或者转向运行离开台阶边缘后继续正常工作。并要求在该状态下插入19.11.2 的单一故障，或者在强电磁干扰条件下重复该测试，器具仍能符合要求；若依赖可编程电子电路，则要软件评估[7]。这说明扫地机器人在感应到台阶后，应进入3.1 中规定的某种界定状态；且在插入单一故障后，其需要进入到3.1 中的1），2），3）三种模式之一。

3.3 家用车库门驱动器的功能安全要求

门驱动器由于特殊的使用环境，功能安全的考核尤为重要。IEC 60335-2-95 2017[8]19.13 章规定，19.11.2 的测试条件下，如果器具仍能工作，则需要考核防止机械危险的功能安全要求。但该版本没有明确是否需要考虑故障累积。如果不考核19.11.3， 其实是要求所有预防机械伤害的线路达到B 级控制的要求即可。如果相关控制系统不能诊断出故障，则未诊断出的故障累积会导致危险。

最新版的IEC 60335-2-95: 2019[9]进一步明确，不仅要考虑19.11.2 的单一故障，而且需要结合19.11.3。其附录R 要求在一个操作周期内诊断出故障，但并未要求软件符合表R.2。这时候的PEC 应理解为与机械危险相关的电路，如果PEC 插入单一故障器具仍能运行，则需要插入双重故障后再来考核机械危险。即考核了未诊断出的故障累积对功能安全的影响，这和3.1 中C 级控制功能要求是一致的。也就是说，高风险产品部分参考了C 级控制功能的要求。因为一旦安全功能受损，则会直接带来安全风险（比如挤压），这符合车库门的使用场景。

4 机械功能安全要求在轻型自动驾驶系统上的运用

4.1 ISO 13849-1 功能安全基本概念简介[10]

ISO 13849-1 的内容是机械控制系统的功能安全设计通则，引入了更完整的功能安全的概念。这里只介绍影响性能等级（PL）的两个最重要的概念：

平均危险失效时间(MTTFD), 表示元器件（或系统）预期的危险失效平均时间。这个概念与机械的预期使用周期长有关。

单通道的MTTFD 的计算公式为：

式中：

MTTFDi—对功能安全有影响的每一个元器件的平均危险失效时间。

标准规定了大多数常用元件的MTTFD。从(1)式可看出，控制系统越复杂，参与计算的元器件越多，通道的MTTFD越小。

诊断覆盖率（DC），诊断有效性的度量。DC 存在于整个有关安全系统中或其部件中，包括传感器，逻辑单元和（或）执行元件。标准给出了不同诊断措施的DC估计。这个概念强调的是，尽量诊断出安全部件中的故障，让机器在故障发生时处于安全状态。

在很多系统中，可能用到多种故障诊断措施，这些措施诊断不同的部件且有不同的DC。只有平均诊断覆盖率（DCavg）可用于评估执行安全功能的整个系统的性能等级，其计算方法为：

式中：

DCi—每个诊断措施的诊断覆盖率；

MTTFDi—对应的部件的平均危险失效时间。

如果存在无诊断措施的安全元件，其DC=0。其对应的MTTFd 依然会加入（2）式的分母参与计算，因此会降低整个系统的平均诊断覆盖率。

显然，MTTFD和DCavg越大，系统的安全性越高。MTTFD，DCavg，PL 各个指标等级的含义在ISO 13849-1中都有明确定义。

4.2 移动机器人产品的功能安全性能等级及设计架构

移动机器人的自驱动系统实际上是一个轻量的自动驾驶系统。IEC 63327[11]强制规定了自动商用地面处理机的各种安全功能所需要达到的性能等级（PLr），很多控制功能都要达到PLr=d。

PLr=d 需要2 类或3 类架构[10]，正好对应自动控制器的C 级控制功能的指定架构[6]。图6 所示的是2 类架构。

图6 带有周期自检和测试模块的单通道（2 类架构）[10]

对于PLr=d，如果采用2 类架构，则整个控制系统的MTTFD要高（≥30 年），DCavg要达到中（≥90 %）。且当故障被诊断出时，OTE 要产生一个安全状态，直到故障清除。IEC 63327 也同样规定：机器在启动前及运行过程中，应对控制系统中所有与安全有关的控制部件的运行状态进行监控（诊断）。任何诊断出的控制系统安全相关部分的故障将导致0 类停机或1 类停机，并使驱动轮处于锁定状态。1 类停机需要操作者介入才能重启机器；0 类停机则一般需要操作者经由访问控制才能重启机器[11]。这其实是要求机器进入3.1 中的模式2）。

在停止区外的避障功能测试中，允许2 类停机。即，当障碍物清除后，机器将自动恢复正常运行。障碍物接触2 类停机的机器时，机器不能运动，或在5 min 内远离障碍物；而当障碍物在停止区内移动时，由于预期机器会与障碍物接触，应启动0 类停机或1 类停机[11]。如果把整个自动驾驶系统当成一个控制功能，这其实是表明，机器在行驶中一直处于3.1 中的某种界定状态。由于风险始终存在，自动驾驶机器需要有多种界定状态以应对复杂多变的场景。

5 结语

当可编程电子电路作为家电非正常工作和功能安全的保护机制时，实质上是其控制系统启用了B 级控制功能。某些情况下，功能安全需要考虑故障累积以进一步降低产品的残余风险，采用诊断措施可以降低故障累积的可能性。至于具有自动驾驶功能的商用机器人产品，则直接引用了机械的功能安全评估标准，不少安全功能须采用C 级控制功能的指定架构，以匹配需要达到的性能等级。这些具体的技术方案都是针对不同的风险等级和使用场景而采取的恰当措施。虽然家电，自动控制器以及机械的有关标准中关于功能安全的定义和具体表述存在不少区别，但是安全逻辑有不少相通性，实际工作中可相互借鉴。