智能电饭锅软件功能安全评估案例分析

胡 姣 刘玉玲 李岳洪 吴 根 尤文浓 何文亮

（威凯检测技术有限公司 广州 510663）

引言

目前，软件功能安全评估已成为众多智能家电合格评定过程中不可或缺的一部分,例如，洗衣机的门锁保护[1]、电磁炉的炉面过热保护[2]等功能。智能电饭锅作为人们生活中厨房烹饪器具之一，利用微处理器（MCU）和智能控温技术，实现精准的温度控制，以达到最佳的食物烹饪效果。然而，制造商在关注产品的软硬件设计时，往往为了追求产品的智能化可能会疏忽了标准GB 4706.1/IEC60335-1标准第19章非正常工作下的19.11.3条款对保护性电子电路以及22.46条款对软件保护的相关要求，从而导致产品质量风险。本文针对上述问题，从GB 4706.1/IEC60335-1标准及产品特殊标准第19章非正常工作的试验和附录R要求对可编程电子电路控制故障/错误措施等软件的相关要求进行分析，旨在为此提供有益的见解和参考。

1 过热保护性电子电路原理分析

图1为智能电饭锅器具的电路框图，使用发热管加热。为了防止过热导致的火灾危险，电饭锅的发热管一端串联了热熔断体，并通过继电器来控制加热。当电流通过继电器的线圈时，继电器吸合，使发热管工作，从而形成了硬件保护电路。发热管的另一端是由NTC温度传感器、微处理器（MCU）以及继电器组成的“NTC—MCU—继电器”保护性电子电路，异常工作情况下，一旦温度传感器检测到锅内温度超过设定的阈值，微处理器（MCU）便会触发保护机制。MCU通过控制三极管Q1、Q2的通断，控制继电器以切断电热元件（如发热管）的电源，停止加热。

图1 智能电饭锅的电路框图

依据GB 4706.1/IEC 60335-1第 19.5条款要求“控制器不短路，而电热元件的一端要与其外鞘相连”。将电热元件与继电器连接的一端与外鞘相连接，即失效掉“NTC—MCU—继电器”电路，当电热元件温度过热时，热熔断体开路，切断电热元件的电源，从而实现硬件过热保护，符合标准要求。

19.5条款试验第二次要求“改变器具电源极性，电热元件另一端要与电热元件的外鞘相连，重复此试验”。当发热元件与接地外鞘相连接，即热熔断体失效时，此时产品的过热是依靠电子电路保护“NTC—MCU—继电器”。当温度过高时，NTC感应温度并反馈MCU，MCU将信号传递给继电器控制电路，以切断电热元件（如发热管）的电源，停止加热从而实现过热保护，符合标准要求。

根据GB 4706.1/IEC 60335-1中第19.11.3条款要求，如果器具装有使其符合第19章要求的保护电子电路，则需对保护电子电路依次施加19.11.2中的a）～g）的单一故障试验再重复19章测试。

19.11.2 条款单一故障，某电饭锅发热管驱动电路图如图2所示。三极管Q1、Q3分别连接芯片的两个驱动控制端，三极管Q2的基极B与Q1的集电极C串联，二者由同一驱动电平控制。GB 4706.1/IEC 60335-1 的19.11.2 d）条款中要求非集成电路电子元件的任何两个接线处的短路。即对继电器驱动电路中的三极管Q1 的集电极C和发射集E进行短路时，Q1持续导通，Q2导通。此时MCU给Q3触发信号，则12 V电压经过Q2与Q3后继电器导通，NTC检测到过热时，Q3切断继电器电路，形成“NTC—MCU—Q3—继电器”组成的保护电路。当施加三极管Q3的CE短接时，通过“NTC—MCU—Q1—Q2—继电器”的形成保护性电子电路的回路。

图2 某电饭锅电热管驱动电路图

在上述19.11.2单一故障上重复19.5章实验，即三极管 Q3 短接与19.5热熔断体失效，此时产品的过热是仍然是依靠电子电路保护，即温度传感器检测到温度异常，MCU控制三极管的Q1+Q2驱动信号使继电器断开，停止加热，形成温度检测电路即“NTC—MCU—Q1—Q2—继电器”保护性电子电路，依据GB 4706.1/IEC 60335-1 22.46要求通过附录R评估软件符合性。

2 可编程电子电路软件实现案例分析

2.1 智能电饭锅NTC保护机制原理

电饭锅等家电产品通常使用负温度系数热敏电阻（NTC）作为温度传感器。而温度是烹饪过程中的一个重要参数。NTC通过将反馈信号传递给芯片A/D转换器，然后MCU根据A/D寄存器转换的结果来进行温度测量，从而实现温度控制和过热保护。图3列示了热敏电阻在不同温度下的阻值和相应的AD值。从表中可以观察到，NTC是一种温度敏感的电阻元件，其电阻值随温度的变化而变化。因此它可以快速而准确地感应到锅内温度的变化。同时NTC的电阻值随温度的升高而下降，这种非线性特性使得电饭煲可以更精确地控制温度，实现控制加热功率，以维持所需的烹饪温度。从而确保了食物在整个烹饪过程中被烹饪得均匀和完美。

图3 热敏电阻不同温度下的阻值对应的AD值

另一方面NTC还用于监测锅底温度过热，从而触发过热保护机制。一旦NTC检测到温度超过设定的阈值，电饭煲可以立即停止加热，以防过热导致的火灾或器具不安全的危险。

2.2 过热保护和NTC失效故障处理措施

如果NTC损坏或失效，将会造成智能电饭煲的温度控制失效以及过热导致的火灾危险。通常智能电饭锅温度检测非正常保护功能软件部分设计包含两部分：一是锅底过热保护；二是锅底NTC出现短路、开路和阻值固定不变时的故障处理措施。

过热保护中，软件程序通过设定一个超温范围值，即当温度 AD值超出预设范围时（如锅底温度超过168 ℃），即认为锅底温度异常。

NTC失效故障处理，智能电饭锅中一般选用的NTC阻值其常温25 ℃下为50 kΩ和100 kΩ两种类型。依据CTL0725A 决议要求选用一个中间电阻值的固定电阻代替NTC，即使用常温（25 ℃）下R/2 NTC的阻值模拟固定阻值失效。为了符合标准要求如图4案列代码选取温度（15～50）℃下NTC的AD值范围作为固定阻值不变的监测点。正常加热过程中，若锅底温度 AD值在这个范围内长时间保持不变且持续超过2 min，即认为锅底热敏电阻（NTC）失效，这意味着NTC无法根据温度变化正常调整其阻值，因此电饭煲会软件程序进入故障保护状态，切断加热元件的电源，停止加热。

图4 锅底NTC失效代码检测

2.3 A/D转换模块保护措施

除了软件程序负责保护智能电饭锅过热和NTC失效故障外，另一方面也要关注的是可编程电子电路MCU自身的故障，防止MCU本身的故障导致家电整机非正常功能保护的缺失。A/D转换的温度准确性在这类产品中至关重要，A/D 转换器的转换结果的准确度直接影响NTC采样的准确性。一般情况下A/D转换器的似真性检查是通过芯片自身“自校准”方式进行考察，即将已知的电压信号输入到A/D转换器中，将A/D转换的结果与已知的电压值进行比较用以校准和故障检测。

图5所示为A/D转换器准确性的“自校准”方式流程图。如图所示，首先确定用于A/D转换校准的预设值，即已知的电压值，可利用 MCU本身内部电压源作为参考值，也可利用RC电路模拟一个外部参考电压源。以其作为输入到A/D转换器的准确电压信号，用于A/D转换的理论输入值。

图5 A/D转换器校验流程图

其次，确定连接A/D输入芯片引脚与配置A/D转换器。连接A/D转换器的输入引脚，以将内部参考电压作为输入信号。在MCU的软件中配置A/D转换器，以启动单次或连续的A/D转换并设置适当的采样速率、分辨率和参考电压。

在此之后进行A/D转换并计算差异，启动A/D转换，使其将内部参考电压转换为数字值。确保在转换期间没有任何干扰或变化，以保持输入信号的稳定性，从A/D转换器中读取转换的结果。将A/D转换结果与文档中提供的内部参考电压的预期值进行比较，计算两者之间的差异或误差。通过计算百分比误差：误差百分比 = [（实际值 - 预期值）/ 预期值]×100 % 得到A/D转换器的输出与预期值之间的差异百分比。

最后分析结果，根据计算的误差百分比，评估A/D转换器的性能。如果误差在合理范围内，则A/D转换器可正常工作。如果误差很大，则A/D转换器存在问题。

图6为A/D转换代码举例。该示例代码采用芯片内部参考电压为1.25 V，将芯片一个引脚连接到1/4VDD（已知VDD 5 V电压），通过AD转换器直接检测1/4VDD电压AD值，并求10次平均值后得到1/4 VDD电压AD值，设定容差范围为正负5 %，则电压值在1.187 5 V到1.315 V的范围内，换算成AD值范围在60～67。如果1/4 VDD电压AD值超出了定义的边界范围，则说明A/D转换的结果不在预期的范围内，设置错误标志。

图6 A/D转换代码

内部参考电压检查方法仅适用于具备内部参考电压的MCU型号。对于其他型号，可能需要考虑使用其他方法，如校准、多次采样和平均值等。同时，内部参考电压本身也可能受到温度、电压等因素的影响，因此在检测过程中需要考虑这些因素。最终的故障检测方法应根据应用需求和MCU的特性进行选择和定制。

为此在设计电饭锅等使用A/D转换器测量温度的产品时，需要综合考虑传感器特性、MCU的A/D转换精度和校准等因素，以确保用户获得准确和稳定的温度测量结果。

除A/D转换部分外，还应考核产品安全相关的采集、存储、运算处理、输出等过程中的数据，如CPU、寄存器、存储器、I/O等有关的数据，即针对MCU器件本身也需要进行控制以防止出错，对应故障措施要满足IEC 60335-1：2020的R.1所述的故障/错误条件的措施。

3 总结

随着智能家电的不断发展，对智能家电产品的软件质量和安全性进行评估将成为提高家电质量的重要方向。本文以智能电饭锅为例，探讨了其在非正常工作情况下过热保护电子电路原理，并依据GB 4706.1/IEC 60335-1第19.11.2条款规定的单一故障条件进行试验分析。具体来说硬件层面，通过模拟传感器NTC短路、开路和固定阻值失效等故障似真性验证；软件层面，通过增加合适的A/D自校验容错程序等措施，提高MCU输入输出接口的准确性，以此确保温度采样数据A/D转换的准确性。

软件评估的对象包括整个与安全相关的控制系统，涵盖了软件、硬件和接口。此外，还应分析MCU其他软件部分控制故障/错误方法包括对芯片自身正常工作和及时动作的监测，如时钟振荡是否正常、寄存器读写是否出现滞后故障、PC指针是否正常运行以及软件的逻辑流程等方面进行标准符合性分析。从而最终保证产品安全可靠。