基于EN298：2003安全標準的自動燃氣控制器設計

引言

由于能源的稀缺，如何使燃料資源利用更高效、更合理，已成為備受關注的民生大事。同時，燃氣安全隱患問題也亟待解決。隨著技術的進步，相關研究人員逐漸將控制理論應用于燃燒過程控制領域中。目前，西方發達國家燃燒控制技術發展比較成熟，但產品成本較高;我國燃燒控制技術相對落后，生產燃燒器以及燃燒控制設備沒有明確的質量安全標準，故歐盟燃燒控制安全標準的引入具有重大意義。

1 設計規范

本設計符合EN298：2003安全標準規范。該標準規定了鼓風或非鼓風燃氣燃燒器和燃氣用具的自動燃燒控制系統、程序控制裝置和與之相連接的火焰檢測裝置結構、功能、測試方法和標志要求。

2 關鍵技術

2.1 光電耦合器隔離高低壓技術

光電耦合器是一種把發光源、受光器及信號處理電路封裝在同一密閉殼體內的器件，其內部結構如圖1所示。工作時輸入的電信號驅動發光二極管，使其發出一定波長的光，被光探測器接收，產生光電流，經進一步放大后，將電信號直接輸出，即實了“電→光→電”的轉換及輸出。把光作為信號傳輸媒介，輸入端和輸出端在電氣特性上絕緣，這樣就實現了“電隔離”。

2.2 基于STC單片機ID的芯片加密技術

如果解密后的結果和EEPROM中的編碼相匹配，則進入正常循環;否則，使程序跑飛的同時清空所有EEPROM。此外，考慮到若加密驗證程序只放在主程序的開始執行，則有被專業破解人員直接跳過加密驗證程序的可能，故系統設計時采用周期性加密驗證方式，提高系統保密性。

2.3 基于雙MCU的FailSafe技術

FailSafe技術要求在緊急狀況下可以立即切斷所有的危險輸出以防發生事故，即實現“故障導向安全”，也可稱作“失效安全”。燃氣控制器使用的特殊性決定了該系統對安全性要求比較高，本設計在采用冗余技術的前提下實現了FailSafe。冗余技術又稱為儲備技術，其核心理念是利用系統并聯模型來提高系統可靠性，一般分為工作冗余和后備冗余。本設計中采用前者，即多單元平均負擔工作，工作能力有一定冗余。

系統工作過程中，電磁閥對火焰的控制是影響安全的重要因素。當電磁閥打開時即有燃氣釋放，若沒有火焰存在是十分危險的，故需確保在沒有火焰時電磁閥處于關閉狀態。

如表1所列，設計使用兩個MCU對電磁閥和火焰的狀態進行檢測和控制。在認為兩個MCU同時出現故障的可能性非常低的前提下，當有一個MCU或相關器件出現故障時，會在另一個MCU的控制下關閉電磁閥，并切斷所有的危險輸出，如燃氣釋放。假設每個MCU及相關部件出現故障的幾率是1%，雙MCU控制時出現故障的幾率僅為0.01%，即通過雙MCU控制實現了FailSafe。

3 系統設計

功能設計要求略——編者注。

3.1 系統工作流程

燃氣控制器的系統運行流程如圖2所示，虛線框內的各模塊是控制器中實際包含的模塊，而左側矩形框內表示該控制器所要檢測和控制的外圍設備及相關電路。

圖中編號與燃燒控制系統工作流程相對應：

①系統運行過程中，外圍輸入信號通過接口電路被控制系統的輸入模塊接收;

②經過輸入模塊處理后的信號被中央處理模塊所接收;

③中央處理模塊中的兩個MCU對輸入信號進行分析和處理;

④通過故障處理模塊對系統運行故障進行檢測和處理，并將處理結果反饋給中央處理模塊;

⑤中央處理模塊將分析和處理后的信號傳輸給輸出控制模塊;

⑥輸出控制模塊將低壓控制信號通過繼電器來控制高壓信號，最后通過接口電路對外圍設備運行進行自動化控制。

在以上各模塊工作的過程中，均由電源管理模塊提供適當電壓。

3.2 硬件設計

3.2.1 系統硬件電路

燃氣控制器硬件框圖如圖3所示，主要包括主控制器STC12C5204、輔助控制器STC12C5201、MCU同步電路、電源電路、輸入電路、輸出控制電路等幾個部分。圖3中出現的英文縮寫含義略——編者注。

3. 2. 2 系統輸入電路

(1)火焰檢測電路

圖4為燃氣控制器火焰檢測電路圖，主要利用火焰的導電性和整流效應而設計。火焰檢測對系統來說非常重要，故探測點Fire同時連接到了MCU1和MCU2的I/O口上。

圖4中FE為火焰探測器，電阻R46、R22和電容C4構成低通濾波器。電阻R47和R14組成L型衰減器，使J10與N之間得到10.67 V交流電壓。電容C3起到交流耦合作用，使FE端得到純凈的交流信號。在FE點火時，1 mm內約產生兩萬伏高壓脈沖，故電路中采用大功率電阻R46與R22，可以盡量拉開火焰探頭與檢測電路中比較器及光耦的距離，以保護電路。

無火焰存在時，FE端直流分量為零，在上拉電阻R17作用下，LM393同相輸入端INA+電壓為+0.7 V，比較器輸出為邏輯1，光耦不導通，Fire為低電平;有火焰存在時，燃氣燃燒器產生離子體，當電源提供的交流電信號接觸到火焰探針時，可在火焰上形成通路，相當于J10與零線之間接入一個二極管，具有單向導通特性，整流后波形如圖5所示，此時直流分量為負值。比較器同相輸入端INA+為DC-0.7V，比較器的輸出為邏輯0，光耦導通，Fire為高電平。

(2)低壓檢測電路

如圖6所示，為燃氣控制器低壓檢測電路圖。由于電壓不足時會影響系統的正常運行，因此，需要對系統電壓進行實時監測。

低壓檢測通過比較器和低壓檢測電路共同完成。圖6中LOWVOLT是低壓檢測點，與主控MCU的I/O口相連接，高電平表示檢測電壓偏低，低電平表示電壓正常。網絡點5V1比零線電壓高5 V，經分壓，反相輸入端INB一的電壓為1.875 V，同相輸入端INB+的電壓為30 kΩ/(30 kΩ+3 MΩ)×待測電壓臨界值為181.8 V，若同相輸入端的電壓低于反相輸入端，即供電電壓低于預設值，則光耦導通，LOWVOLT檢測到上升沿。

3.2.3 系統輸出控制電路

系統輸出控制電路邏輯如圖7所示，故障報警燈和風機連在干路上，其他電路包括兩個燃氣控制閥門、點火裝置以及執行器均需接受風機的總控制，即只有在風機打開的前提下，系統才允許進行輸氣、點火等動作。

3.3 軟件設計

3.3.1 系統軟件架構

圖8為燃氣控制器軟件架構圖，顯示了軟件的主要組成部分及其嵌套關系。

3.3.2 主控MOU芯片加密及加密驗證軟件設計

主控MCU加密基礎是STC12C5201AD系列芯片的每一個單片機在出廠時都具有全球唯一的序列號(ID號)，可以在單片機上電后通過相關指令從內部RAM單元F1H～F7H中存儲的連續7個單元值來獲取該單片機的ID號，利用其唯一性對MCU進行加密。此時，再燒錄流程控制程序則只能匹配當前芯片。加密軟件流程、密碼驗證軟件流程如圖9、圖10所示。

3.3. 3 系統流程控制軟件設計

結合系統功能要求及被測參數的相關性，確定各任務如下：

TASK#1：開機檢測(鎖存錯誤檢測，火焰檢測，低壓檢測)，重復檢測7次。

TASK#2：CPI檢測，重復檢測20次。

TASK #3：開機前LP檢測，重復檢測20次。

TASK #4：打開風機，兩個周期后進行風機電平檢測。

TASK #5：打開SA，進行火焰檢測和RWtest檢測，重復檢測40次。

TASK #6：關閉SA，進行火焰檢測和RWtest檢測，重復檢測60次。

TASK #7：打開BV2，4個周期后進行火焰檢測。

TASK #8：關閉IG點火器，進行RWtest檢測，LP檢測，重復檢測14次。

TASK #9：打開BV2，進行火焰檢測，RWtest檢測，LP檢測，重復檢測24小時。

根據任務的執行順序，畫出如圖11所示系統主程序流程圖，以及圖12所示sEOS系統任務調度流程圖。系統運行時，首先進行密碼驗證，驗證通過后進行系統初始化，包括I/O口輸入輸出模式初始化、系統輸出控制模塊初始化、定時器初始化及任務切換時任務狀態值初始化。由于STC芯片內置R/C振蕩器隨著溫度變化，其提供的頻率會有一定溫漂，加上制造工藝方面的誤差，導致內部R/C振蕩器不夠敏感，因此燃氣控制器初始化完成后，需要根據工頻交流電頻率(50 Hz)來獲取校正后的芯片頻率，以此來保證系統運行控制的精度。產生中斷間隔(一個“Clock Tick”)為20 ms，根據系統功能對時間精度的需求，sEOS任務調度和切換周期定為0.5 s，即每隔0.5 s系統查詢一下任務狀態當前值，根據該值決定任務的調度。

結語

本設計中參照EN298：2003標準，對燃氣控制器進行了系統設計，能夠有效減少國內燃燒控制設備因缺乏明確的質量安全標準而存在的安全隱患;同時，由于國內勞動力資源和電子元器件成本相對低廉，使該設計兼具了國外產品的高質量和國內產品的低成本這兩項優點，希望能在一定程度上推動國內燃燒控制行業的發展，關鍵技術問題的解決方案也可以給業界同行一個很好的借鑒。