Новые возможности для повышения безопасности бытовой техники
Чад Соломон (Chad Solomon), Microchip Technology
Введение
Электрические бытовые приборы облегчают нашу повседневную жизнь. Если они работают исправно, к ним нет нареканий. Однако в случае отказа некоторые приборы могут стать небезопасными и вызвать серьезные проблемы, в т.ч. возгорание. Чтобы обеспечить безопасность устройств, Международная электротехническая комиссия (МЭК) создала стандарт функциональной безопасности IEC 60730 класса B, касающийся как механической конструкции, так и электрической схемы, который был утвержден организацией Underwriters Laboratories. Была разработана и сертифицирована новая интегральная схема (ИС) сенсорного экрана со встроенными функциями безопасности, обеспечивающая более безопасную эксплуатацию кухонных плит, стиральных машин и другой бытовой техники.
Как избежать серьезных проблем при эксплуатации бытовой техники
Национальная ассоциация предотвращения пожаров (NFPA), являющаяся международной некоммерческой организацией, в своем отчете заявила, что кухонные плиты в 62% случаях стали причиной зарегистрированных пожаров, возникших при приготовлении пищи дома.
Согласно этому отчету, плиты или варочные панели стали основной причиной (46%) смертей, вызванных использованием кухонного оборудования с 2013 по 2017 гг. Пожарное управление США (USFA), входящее в Федеральное агентство по чрезвычайным ситуациям (FEMA) Министерства внутренней безопасности США, приводит более свежие данные, которые подтверждают, что с 2018 г. (только в США) кухонная техника по-прежнему была основной причиной возникновения пожаров в жилых домах (см. рис. 1).
Рис. 1. Кухонные плиты и панели стали основной причиной пожаров в жилых домах (29,5%), нанесших вред здоровью людей в США в 2018 г.
С момента появления в 1999 г. Национальной системы отчетности о пожарах (NFIRS) управления USFA количество зарегистрированных случаев пожара в домашних условиях неуклонно росло, несмотря на значительные технические успехи, достигнутые во многих других областях. Очевидно, что решение вопросов безопасности кухонных плит и варочных панелей должно стать целью производителей бытовой техники, чтобы покончить с этой печальной статистикой (см. врезку).
Врезка
Правила обеспечения функциональной безопасности в приборах (врезка)
Признавая необходимость использования встраиваемых средств безопасности в бытовых приборах, МЭК разработала стандарт IEC 60730-1, который применяется к автоматическим электрическим управляющим устройствам бытового или аналогичного назначения. Поскольку этот документ был выпущен в 1986 г., он периодически обновлялся и корректировался. Самые последние изменения были внесены в апреле 2020 г. Организация UL также утвердила этот стандарт.
Функциональная безопасность обеспечивает отсутствие неприемлемого уровня риска, связанного с опасностями, которые вызваны некорректным функциональным поведением электронных или электрических систем. В IEC/UL 60730 определены три класса безопасности: класс A для тех изделий, которые не обеспечивают безопасную эксплуатацию, а класс C – для изделий, которые предотвращают определенные виды опасности.
К классу B относятся основные бытовые приборы, например кухонные плиты или печи, стиральные и посудомоечные машины, сушилки, холодильники и морозильники. Приборы класса B оснащены программным обеспечением и функцией управления, которые предотвращают несчастные случаи при возникновении неисправностей в приборе. Речь идет о термовыключателях, автоматических дверных замках и других средствах, которые останавливают работу кухонных и стиральных машин при возникновении небезопасных условий эксплуатации. И в США, и в Европе сертификация класса B теперь обязательна для всех кухонных приборов с функцией самоочистки, а также для стирального оборудования со средствами управления, обеспечивающими автоматическую блокировку дверей.
Существующий метод обеспечения безопасности
Чтобы решить проблемы безопасности бытовой техники, применялись микроконтроллеры (МК), которые служили интерфейсом для механических или емкостных кнопок, ползунков и колесиков. Эти МК были оснащены библиотекой ПО для контроля безопасности и исправности емкостных сенсорных кнопок. В настоящее время для соответствия этим требованиям в устройствах используются емкостные сенсорные экраны с отдельной емкостной сенсорной кнопкой, управляемой отдельным МК, который оснащен библиотекой безопасности.
Некоторые кнопки, являющиеся частью пользовательского интерфейса, особенно важны для обеспечения безопасной работы оборудования и предотвращения источников опасности, к которым относятся пожары в доме. Например, кухонные приборы, поставляемые в Америку или Европу, при осуществлении функции самоочистки разогреваются до опасно высокой температуры 500°C, что может привести к возгоранию их содержимого. С учетом данного обстоятельства стандарт IEC/UL 60730 Class B требует, чтобы оборудование с этой функцией начинало работать после двух касаний пользователя и отключалось в одно касание. Предполагается, что второе касание для включения режима самоочистки побудит пользователя повторно убедиться в безопасном запуске оборудования. Почувствовав запах дыма, пользователь одним касанием кнопки отменит режим самоочистки. Безопасная работа кнопки выключения имеет решающее значение для безопасности пользователя. Кнопка должна надежно и точно функционировать при всех условиях эксплуатации. Опасных возгораний можно избежать, если максимально быстро, т.е. в одно касание завершить самоочистку устройства.
Мониторинг одного аналогового периферийного устройства довольно таки прост и легко выполняется с помощью МК. Периферийное устройство контролирует несколько объединенных вместе кнопок. Одно периферийное устройство может сканировать группу кнопок. Хотя микроконтроллер и оснащен этой функцией, производитель оборудования несет ответственность за разработку и сертификацию средства безопасности.
Новый метод обеспечения безопасности бытовых приборов
После появления и модернизации современных интерфейсов с сенсорным экраном разработчики получили возможность реализовать имеющиеся принципы функциональной безопасности на современном уровне. Это идеальный способ использовать сертифицированные приборы класса B.
Поскольку использование контроллеров семейства maXTouch ATMXT336UD-MAUHA1 с уникальными функциями безопасности устраняет необходимость в отдельной кнопке, отключение прибора теперь можно выполнять «программно» с помощью сенсорного экрана. Возможность отказаться от физической кнопки, сократив при этом стоимость решения и сохранив требуемую функциональность, – достаточно привлекательная перспектива для производителей устройств. Упрощенный интерфейс должен стать привлекательнее и для пользователей. Единый подход прост и интуитивно понятен. Кроме того, пользователь может выбрать надпись на кнопке на родном языке (см. рис. 2).
Рис. 2. Поместив кнопку аварийной остановки на сенсорный экран, производитель оборудования предоставляет пользователю возможность выбрать название этой функции на удобном для него языке
Детектор дыма стал пионером в области домашней безопасности несколько десятилетий назад. В отличие от дымового извещателя, сенсорный экран с функциональной безопасностью класса B может не только уведомлять об опасности, но и принимать меры. Он выполняет эти функции до того, как обнаружит дым или соответствующие изменения в окружающей среде, не требуя вмешательства человека.
Приведем пример того, как сенсорный экран класса B решает проблему безопасности без участия человека. Если тяжелая кастрюля случайно упадет на горячую плиту с индукционными конфорками, во многих случаях толстое стекло их защитит, но хрупкий датчик касания из оксида индия и олова (ITO) может повредиться. Эта поломка может привести к потере сенсорных функций в определенной области экрана, или, что хуже, к выходу всего датчика из строя.
Контроллер класса B автоматически отслеживает состояние сенсорного датчика в режиме реального времени. В фоновом режиме, когда датчик не сканирует касания, контроллер проверяет сенсор на возможность отказов разных типов. При обнаружении сбоя, вызванного, например, трещиной на сенсорном экране, контроллер уведомляет центральный процессор (ЦП) хоста о необходимости отключить конфорку. Такая реакция происходит без вмешательства человека, обеспечивая безотказную работу.
Хотя функционал такого рода был доступен и прежде, для получения ответа хосту приходилось запускать или опрашивать ИС сенсорного экрана. Теперь же контроллер самостоятельно выполняет эту функцию и отправляет сообщения хосту при возникновении проблемы. Специальное сообщение шины I2C или контакт системы ввода/вывода общего назначения (GPIO) на микросхеме, работающий в связке с выводом прерывания на центральном процессоре приложения, автоматически выдает предупреждение для инициализации выключения. Встроенные самосрабатывающие функции безопасности предотвращают некоторые условия эксплуатации, из-за которых может начаться возгорание на кухне (см. рис. 3).
Рис. 3. В типовом бытовом оборудовании контроллер сенсорного экрана класса B легко взаимодействует с центральным процессором
Чтобы пройти сертификацию класса B, выполняется несколько тестов ИС сенсорного экрана на функциональную безопасность. Один из них – тест памяти. Микросхема сенсорного экрана оснащена оперативной и флэш-памятью небольшого объема, которого достаточно для выполнения требуемых функций приложения. Встроенная закрытая система не выполняет коды клиента. Чтобы обеспечить соответствие требованиям сертификации класса B, имеются правила, которые определяют частоту запусков тестов памяти. Например, серия тест-кодов в виде бегущих единиц и нулей выполняется в фоновом режиме в качестве типового теста для проверки отказов оперативной памяти в ИС (см. рис. 4).
Рис. 4. Тест с бегущими единицами и нулями позволяет последовательно проверить каждый бит 8-бит памяти
Процесс начинается с тестирования свободной оперативной памяти. Поскольку большая часть малого объема памяти заполнена данными, часть кода прикладной программы последовательно перемещается от одного тестируемого участка к другому. Эта «перетасовка» продолжается до тех пор, пока не завершится проверка всей оперативной памяти.
Само по себе управление этим тестом – достаточно сложный процесс, при котором ИС класса B реагирует также на события множественного касания в режиме реального времени. 60 раз в секунду ИС оповещает хост о касаниях, тестируя ОЗУ и датчик в фоновом режиме. Схожее тестирование выполнятся в отношении ячеек энергонезависимой флэш-памяти для хранения программного кода.
Регистры ЦП в контроллере проходят тест на корректную работу. При этом осуществляется чтение и сохранение текущего значения регистра ЦП. Данные отправляются на хранение в другой регистр, который не тестируется. Регистр ЦП переключается для подтверждения того, что новая настройка осталась. После этого восстанавливаются исходные значения. Такая проверка позволяет установить, что установка и сброс регистров ЦП происходят корректно при использовании соответствующих значений.
В микросхеме имеются деревья синхронизации. Тестирование подтверждает, что они корректно разделены и работают исправно. Это не исчерпывающий список тестов, но он дает представление о типах тестов, выполняемых микросхемой.
К еще одной особенности функций безопасности новой ИС относится масштабное обновление шины I2C, которая служит связующим звеном между центральным процессором системы и сенсорным контроллером. Для осуществления связи I2C сенсорного контроллера применяются два механизма, которые обеспечивают целостность любых данных, отправляемых на устройство и с него. Первый механизм использует порядковый номер. Кроме того, впервые шину оснастили функцией проверки циклическим избыточным кодом (CRC) для выявления поврежденных данных (битовой ошибки). Поскольку прибор может представлять собой электрически зашумленную среду, эта функция гарантирует, что координаты, которые принимает хост, заслуживают доверия и не повредятся при транспортировке. Кроме того, поскольку у сообщений I2C появился порядковый номер, теперь каждый раз, когда координаты отправляются хосту, он может определить пропуск пакетов данных и предпринять соответствующие действия. Подключенный к интернету запрограммированный хост имеет возможность уведомлять пользователя, отправляя ему сообщения о проблеме на мобильный телефон или умные часы.
Как уже отмечалось, с помощью стандартных тестов безопасности класса B сенсорный контроллер получил дополнительные функции, позволяющие периодически выполнять самодиагностику и диагностику датчиков для постоянного контроля целостности сенсорной подсистемы. Эти интеллектуальные диагностические функции поддерживают настраиваемый периодический сигнал, который можно отправить на хост с помощью выходного триггера GPIO.
И, наконец, поскольку функциональная безопасность микросхемы сенсорного экрана уже подтверждена, квалификационное испытание на системном уровне значительно упрощается, т.к. отпадает необходимость в разработке и использовании дополнительного ПО на центральном процессоре для управления безопасностью сенсорного экрана. Это обстоятельство является весьма ощутимым стимулом для производителей бытовой техники с целью изучения и реализации новой возможности.
Безопасность помещений для стирки
Контроллер сенсорного экрана класса B позволяет решить и другие задачи по обеспечению безопасности за пределами кухни. Например, в докладе NFPA сообщается, что ежегодно в США случается примерно 15970 пожаров в домах с сушилками для белья или стиральными машинами. Какими бы ни были причины возникновения этих пожаров, меры безопасности призваны значительно сократить их общее количество.
Существуют требования к стиральным машинам класса B, которые эксплуатируются в соответствующих помещениях. Оборудование для стирки с высокоскоростными двигателями, особенно машины с фронтальной загрузкой имеют механизм блокировки, предотвращающий случайное открытие дверцы во время работы машины. Средством автоматической блокировки является электромеханическое устройство, которое при включении оборудования инициирует функцию безопасности. Если средство блокировки управляется с помощью сенсорного экрана, из приложения можно исключить отдельную кнопку, микроконтроллер и датчик.
Поскольку ручное отключение блокировки дверцы позволяет добавлять или удалять предметы в стиральную или сушильную машины после их запуска, эти операции тоже должны отвечать требованиям безопасности, которые являются обязательными для оборудования с сертификацией класса B. В новых приложениях вся информация отображается на сенсорном экране стиральной машины и сушилки для контроля их нагрева. Кроме того, из стиральных машин с фронтальной загрузкой необходимо слить воду перед открытием дверцы. Чтобы эта функция была безопасной, она тоже нуждается в контроле.
Несмотря на то, что сертификация класса B требуется лишь отдельным изделиям в определенных регионах мира, у производителя появляется возможность позиционировать функциональную безопасность техники с сенсорными экранами как конкурентное преимущество. Опыт подтверждает высокую эффективность такого подхода.
На пути к более безопасной технике
На практическое воплощение идеи создать контроллер сенсорного экрана класса B, инициированной ведущими поставщиками бытовой техники, потребовалось несколько человеко-лет. На протяжении всего этого времени компания поддерживала обратную связь с клиентами для уточнения возможностей и требований к изделиям класса B. Несмотря на то, что эту функцию производители наверняка захотят предложить, а клиенты использовать в дорогостоящей бытовой технике, некоторые поставщики оборудования уже задумываются об интеграции функций безопасности класса B в технику начального уровня.
Сокращение затрат на изготовление бытовой техники, которая к тому же отвечает требованиям стандарта класса B, может подтолкнуть производителей заняться выпуском более безопасных изделий. Контроллеры сенсорного экрана класса B обеспечат безопасную эксплуатацию духовок, кухонных плит, стиральных, сушильных и посудомоечных машин, а также холодильников, комбинированных микроволновых/конвекционных печей и даже вытяжных шкафов.
MCA851
