增強自動烹飪機器人燃氣系統安全設計

趙 興

增強自動烹飪機器人燃氣系統安全設計

趙 興

（深圳市繁興科技股份有限公司，廣東 深圳 518000）

自動烹飪機器人是近幾年在機電、軟件、烹飪等相關技術基礎上開發出來的自動化設備，通過參照EN298：2012等相關歐洲標準要求，從系統結構和軟硬件入手，對其核心的火力控制系統進行安全設計改進，有效的提升了烹飪機器人的安全水平。

自動烹飪機器人；EN298：2012；火力控制；燃燒安全控制

廚師行業是一個工作環境比較惡劣的行業，工作強度大、技能要求較高，中餐烹飪長期以來嚴重依賴人工產業現代化水平很低，隨著人口結構的變化，行業需求和人力之間的矛盾越來越突出，因此急需提升行業的自動化水平。自動烹飪機器人正是在這種背景下產生并在近幾年迅速發展。

自動烹飪機器人結合了計算機技術、機電控制技術、傳感器技術以及中餐烹飪技術，是新興技術和傳統工藝結合的典范，一經面世并受到的市場的熱烈歡迎，市場推廣很快，在國內多個城市的學校、餐館甚至軍隊都有應用，在國外華人較多的地方，如新加坡、澳洲等地也有強烈需求，可以預見其市場前景十分廣闊。

在自動烹飪機器人設計中，燃氣火力控制系統是其中的重點和核心之一，且涉及到燃氣，有泄漏中毒和爆炸等危險，其設計特別要注重安全性和可靠性，但作為一個新興產品，目前相關的行業標準和規范尚不健全，只能參考其相近的標準進行系統安全改進設計。

1　安全設計總體要求

1.1自動烹飪機器人簡介

筆者要研究的自動烹飪機器人如圖1所示，該機器人可以適用天然氣和液化石油氣，具有自動加熱與火力精確控制、自動攪拌、自動精確注油及注水、勾芡等功能，一次能烹飪30余公斤，目前已經國內外批量市場應用，市場反饋很熱烈。

圖1　自動烹飪機器人

1.2燃氣控制系統

自動烹飪機器人的燃氣控制系統是整個設備的核心，它重點要實行點火、火力調節、火焰檢測、關火等功能，在改進前的系統功能模塊圖如圖2所示：

圖2　改進前燃氣控制系統簡圖

在本燃氣控制系統中，所有功能模塊均受主控MCU模塊控制，它是燃氣控制系統的核心，采用了強制鼓風、燃燒前燃氣、空氣預混方式，可大大提高燃燒效率，采用了一個通道閥進行燃氣通道的控制，該閥能隨著風壓自動調整燃氣流量。因為要實行多檔位的火力調節，自動烹飪機器人燃氣控制系統比傳統的熱水器燃氣控制系統更加復雜，軟硬件設計的復雜度也更高。

1.3安全設計要求

安全的涵義是指即使人在無意識的情況下也不要造成人身、財產的傷害。對于有燃氣燃燒的系統，因可能存在燃氣爆炸、一氧化碳中毒、周邊溫度過高導致人員燙傷等人身傷害，在設計上對安全的考慮要十分慎重。在圖2所示系統實現了燃燒控制系統的基本功能，它是可用的但不夠安全。系統的不安全因素主要來自以下幾個方面：

①主控MCU是要運行程序的IC，硬件可能異常，軟件也可能受到干擾而異常，從而可能導致燃氣系統控制異常，出現燃氣泄露等危險；

②鼓風系統沒有反饋，當鼓風風機異常停轉或者轉速過快時，可能導致燃燒氧氣不足或者氧氣過量而離焰，造成燃燒工況不好，燃燒不充分還可能導致一氧化碳超標；

③燃氣通斷閥沒有反饋，如果線路或閥體本身故障導致不受控，也可能有燃氣泄露風險；

④大功率持續燃燒可能導致人可接觸的外殼溫度過高，人不小心碰到燙傷。

基于以上，必須重新審視系統的安全設計。歐洲在燃氣及相關控制系統這塊有較多的指令要求，如EN298：2012《Automatic burner control systems for burners and appliances burning gaseous or liquid fuels》，EN 60730-1：2011《Automatic electrical controls for household and similar use Part 1： General requirements》，EN 60730-2-5：2015《Particular requirements for automatic electrical burner control systems》，他們是歐洲對燃氣燃燒控制相關產品的強制性市場準入標準。如果烹飪機器人的燃燒系統能滿足以上標準的要求，將能大大提升系統的安全水平。

2　硬件安全設計

2.1基本安全防護理念

按照IEC 60730-l 的定義，軟件按照控制功能分為A 類、B類、C 類三類［1］。其中A類控制器功能與安全性無關，B類控制器功能預期能防止不安全的運行，C類控制器功能能防止特定的危險狀況，諸如火災、爆炸之類的特別風險。很顯然自動烹飪機器人燃燒控制系統必須符合C類控制器的要求。C類安全控制器功能應設計為在第一和第二個故障條件下，仍處于或轉入定義中的安全狀態，第三個獨立的故障不予考慮。

2.2硬件改進

①燃氣閥安全設計：燃氣閥的控制在整個燃氣系統安全上十分關鍵，為實現雙重防護，根據EN298：2012標準要求，有以下三類結構可以滿足要求：帶有周期自檢和監測的單通道結構；帶有比較的雙通道結構，雙通道結構的比較通過下列方式實現可通過使用比較器或通過相互比較［2］；使用三塊相互獨立的MCU分別控制三路閥。

不管用哪種方案，一個MCU都比較難實現需求，因為烹飪機器人軟件系統遠比一般的燃燒系統復雜和龐大，他除開火控系統軟件外還有很大一部分其他功能的軟件，因此肯定要將程序分拆。從成本考慮，結構三使用三個MCU顯然不理想，上述第二種結構兩個通道均要MCU，根據標準要求均引入了軟件的檢查，也不是最佳，筆者最終選用結構一，使用雙MCU，它可以有效的將火控程序集中放置在一個MCU中，另一個MCU在輔助失效監控的同時還執行其他系統程序，可有效達到標準對軟硬件要求，且不用對非火控MCU進行軟件方面的詳細檢查；

②考慮到設備異常會導致干燒、導致鍋具等損壞，也有可能導致外殼溫度局部過高導致人員燙傷危險，因此在機器外殼合適部位安裝一個溫度開關，直接控制閥控的電源通斷，一旦溫度超標將直接關閉燃氣，保證在極端情況下系統安全可靠；

③另外因采用主動送風系統，對送風系統的也要進行檢測，對風速和風壓進行檢測反饋，可有效防止空氣不足等帶來一氧化碳超標等危險；

④MCU頻率也可能變化導致程序異常，異常也需要有監控措施，筆者通過火控MCU的某個端口定期發送PWM波形，監控MCU讀取波形頻率，如果在設計范圍內則認為正常。

2.3改進系統框圖

綜合以上分析，筆者可以得到以下改進后的系統框圖如圖3所示：

圖3　改進后燃氣控制系統簡圖

從改進的系統簡圖中，筆者還有幾點說明：

①燃氣閥的電源由兩個MCU，四道開關控制，其中燃氣閥控制2、3由不同電平狀態控制，防止端口異常、復位等異常導致非受控打開，詳細說，如果MCU復位狀體端口默認為“0”或“1”，如果兩個閥控采用同一個電平狀態，則可能導致閥在異常情況下打開的風險，另溫度檢測開關則起到異常超溫保護；

②反饋增加，對閥控狀體、風機轉速、時鐘檢測都增加對應的反饋功能，可以實現更完善的閉環控制，及時發現問題；

③雙重安全理念在雙CPU、多路閥通斷控制、溫度反饋控制均有體現。

以上給系統的安全提供了較好的硬件基礎，再結合下面的軟件算法，可以進一步提升自動烹飪機器人的系統安全性和可靠性。

3　軟件安全設計

EN298：2012第6.6.4.1明確要求“Software shall conform to software class C of EN 60730-1：2011”［3］，因此自動烹飪機器人軟件系統應符合CLASS C的要求.EN60730-1 Annex H 中的表H11.12.7 列舉了軟件出現故障/錯誤的組件和應采取的措施，涵蓋了單片機系統的全部功能元件，測試時主要是圍繞寄存器、時鐘系統、中斷系統、PC、RAM/ROM、I/O 展開［4］。

因此程序要進行定期自檢，檢查出問題要有對應的處理措施。同時還要對執行部件的狀態進行檢測，如火焰信號的輸入端口是否正常工作、燃氣閥的狀態、風機、風壓狀態等，確保出現問題能立馬發現并阻止事態的擴大。

有些檢測可以在程序主循環處理，有些要在初始化就處理。例如火焰檢測有可能出現“無火時信號反饋有火”的錯誤狀態，導致閥錯誤打開導致燃氣泄露問題，需要在程序的啟動時進行無火是檢測信號是否正常，如果異常則要停機報警不執行下一步動作。同樣為了兼顧安全，在系統初始化時，我們也對燃氣閥、風機等進行檢測。

基于以上分析，軟件總體的流程框圖如圖4所示。實際程序遠比這個更加復雜，這個框圖主要描述了從安全的角度的處理思路，在啟動及程序主體中發現異常立方停機報錯，避免問題的擴大。

圖4　程序總體流程圖

另從安全考慮，還有以下細節要實現：

①為了保障安全，程序主體執行時間是有要求的，按照EN298：2012，一個循環的時間不能超過3秒，也就是說程序必須在3秒內把MCU自身的故障、錯誤及其他模塊的故障檢測出來，時間太長可能出現危險。這也對硬件及算法提出了要求，一般速度太慢的8位處理器比較難實現這個要求，同時對軟件是算法也有一些常用的做法，例如ROM測試用分塊CRC校驗方法，RAM測試用讀寫0xAA和0x55的方法等，詳細介紹可查閱相關的文獻；

②標準對點火、點火失敗后重新點火、關火等各步驟時間有明確要求，這些也是系統安全的保證。下面筆者結合點火及在烹飪中途意外熄火后重新點火兩個動作給出其時序圖，實際程序執行的時序圖如圖5所示：

圖5　點火及中間熄火再點火控制時序

t1～t6為點火流程，其余為熄火后重點流程。可以看出，點火必須遵從開吹風機吹掃，開脈沖點火器，再開燃氣閥的順序，確保將爐膛可能的燃氣殘留吹掃干凈，確保先有點火脈沖再有燃氣，避免爆燃的可能；意外熄火后，如果再次點火，必須風機吹掃t7+t9時間，這個時間的確定要根據燃燒腔體體積大小而定，原則是確保爐膛內換氣一次；

③兩個MCU的通訊也很重要，他們通過CAN總線的方式進行通訊，CAN協議本身可保證通信數據的穩定和可靠，定期握手，一旦發現任意一方有異常，可以立馬關閉所控燃氣閥切斷氣源。

4　結論

以上從系統結構、硬件、軟件等幾方面入手，結合最新版本EN298：2012及其他相關標準的要求，綜合考慮自動烹飪機器人的特點，對以往只關注功能實現的火控系統進行了優化改進，確保在各種狀況下系統的安全性和可靠性，保證人身安全。后續經過大量的市場實地檢驗，實踐表明該改進方案的有效性。

［1］ BS EN 60730-1：201.Automatic electrical controls for household and similar use Part 1：General requirements［S］. England：BSI Standrds Publication，2011.

［2］ 陳必華.燃氣具C類電子控制器的電路設計［J］.燃氣技術，2014，（6）：6-10.

［3］ BS EN 298：2012.Automatic burner control systems for burners and appliances burning gaseous or liquid fuels［S］. England：BSI Standrds Publication，2012.

［4］ 張馳.電自動控制器軟件評估概述［J］.日用電器，2011，（10）：17-18.

Design to improve the gas system safety level of an automatic cooking robot

Automatic cooking robot is developed with the help of mechatronics， software and culinary art in recent years. According to EN298：2012 and other Europe standards， we redesign the fire control system from the aspects of the system structure， software and hardware， and therefore the safety level of cooking robot is improved greatly.

Automatic cooking robot； EN298：2012； fire control； burning safety control

TP242.3

A

1008-1151（2016）02-0087-03

2016-01-15

趙興（1978－），男，湖南湘潭人，深圳市繁興科技股份有限公司中級程序員，機械電子工程碩士研究生，研究方向為自動化控制和機器人。