Verbesserung der Sicherheit von Haushaltsgeräten mit IEC-Normen

In diesem Artikel wird der IEC 60730 Klasse B-Standard für funktionale Sicherheit untersucht, um sowohl das mechanische als auch das elektrische Design von Geräten zu berücksichtigen. Erfahren Sie, was der Standard beinhaltet und welche Controller diese Standards erfüllen.

Zahlreiche Geräte vereinfachen die täglichen oder periodischen Aktivitäten im Haushalt und helfen dem Nutzer, diese konsequent und stressarm auszuführen. Wenn sie richtig funktionieren, sind sie großartig. Wenn jedoch ein Fehler auftritt, können einige Geräte ziemlich unsicher werden und größere Probleme einschließlich Bränden verursachen.

Um sicherzustellen, dass Sicherheit in Geräte integriert ist, hat die International Electrotechnical Commission (IEC) die IEC 60730 Klasse B-Norm für funktionale Sicherheit erstellt, die sowohl die mechanische als auch die elektrische Konstruktion berücksichtigt, die auch von Underwriters Laboratories genehmigt wurde. Um eine sicherere Benutzererfahrung für Herde und Kochfelder sowie Wäschereigeräte und mehr zu bieten, wurde ein neuer integrierter Touchscreen-Schaltkreis (IC) mit integrierter funktionaler Sicherheit entwickelt, der gemäß dieser Norm zertifiziert ist.

Verhindern schwerwiegender Geräteprobleme

Die National Fire Prevention Association (NFPA), eine internationale gemeinnützige Organisation, gibt in ihrem NFPA-Forschungsbericht an, dass Herde oder Kochfelder an 62 % der gemeldeten Brände in der häuslichen Küche beteiligt waren. Tatsächlich stellt der Bericht ausdrücklich fest:„Unbeaufsichtigtes Kochen war die Hauptursache für Kochbrände und Todesfälle.“

Laut NFPA Research sind Herde oder Kochfelder die Hauptursache (46%) der Todesfälle durch Kochgeräte von 2013 bis 2017. Eine weitere Quelle, die US Fire Administration (USFA), die zum Bundesnotfall des US-Heimatschutzministeriums gehört Management Agency (FEMA), meldet neuere Daten aus dem Jahr 2018 (nur für die USA), nennt aber immer noch das Kochen als Hauptursache für Wohnbrände, siehe Abbildung 1.

Abbildung 1. Kochen war 2018 in den USA die Hauptursache für Brände in Wohngebäuden mit Verletzten. Quelle:U.S. Fire Administration.

Seit der Einführung des National Fire Incident Reporting System (NFIRS) der USFA im Jahr 1999 ist die Zahl der gemeldeten Brände in der Hausmannskost trotz erheblicher technischer Fortschritte in zahlreichen anderen Bereichen stetig gestiegen. Selbstverständlich sollte es ein Ziel der Gerätehersteller sein, die Sicherheitsaspekte von Herden und Kochfeldern zu berücksichtigen, um diese Zahlen zu reduzieren.

Sicherheitsbestimmungen zur funktionalen Sicherheit von Geräten

In Anerkennung der Notwendigkeit eingebauter Sicherheit in Geräten hat die Internationale Elektrotechnische Kommission (IEC) IEC 60730-1 entwickelt, die für automatische elektrische Steuerungen „zur Verwendung in, an oder in Verbindung mit Geräten für den Haushalt und ähnliche Zwecke“ gilt. Obwohl das Dokument 1986 ursprünglich veröffentlicht wurde, wurde es regelmäßig aktualisiert und geändert, zuletzt im April 2020. Underwriters Laboratories (UL) hat den Standard ebenfalls mit seinem Gütesiegel versehen.

Der Grundgedanke der funktionalen Sicherheit ist, dass letztendlich alle elektronischen und mechanischen Systeme versagen werden. Da Fehler nicht geplant werden können, ist es am nächsten, sicherzustellen, dass etwas ausfallsicher fehlschlägt. In IEC/UL 60730 werden drei Sicherheitsklassen identifiziert, mit Klasse A für Produkte, auf die man sich nicht aus Sicherheitsaspekten verlassen kann, und Klasse C für solche, die besondere Gefahren vermeiden sollen.

Dazwischen umfasst die Klassifizierung nach IEC/UL 60730 Klasse B oder einfach Klasse B die wichtigsten Haushaltsgeräte wie Herde/Herde, Waschmaschinen, Trockner, Geschirrspüler, Kühl- und Gefrierschränke. Klasse B befasst sich mit Software und Steuerfunktionen, die Gefahren vorbeugen sollen, wenn ein Fehler im Gerät auftritt. Sie gilt für Überhitzungsabschaltungen, automatische Türverriegelungen und andere Funktionen, die den Betrieb von Koch- und Waschgeräten unterbrechen, wenn unsichere Bedingungen auftreten. Sowohl in den USA als auch in Europa ist die Zertifizierung der Klasse B jetzt für alle Kochgeräte mit Selbstreinigungsfunktion und für Wäschereigeräte für Bedienelemente in Verbindung mit automatischen Türverriegelungsmechanismen obligatorisch.

Bestehender Sicherheitsansatz für Geräte

Um die Sicherheitsbedenken bei Geräten sowohl in der Küche als auch in der Waschküche zu berücksichtigen, verließen sich historische Lösungen auf den Mikrocontroller (MCU), der mit mechanischen oder kapazitiven Tasten, Schiebern und Rädern verbunden war. Die MCU verfügte über eine Softwarebibliothek zur Überwachung der Sicherheit und Gesundheit der kapazitiven Touch-Tasten. Um diese Standards zu erfüllen, verwenden Geräte heute kapazitive Touchscreens mit einer separaten kapazitiven Touch-Taste, die von einer separaten MCU mit einer darauf befindlichen Sicherheitsbibliothek gesteuert wird.

Einige Tasten, die Teil der Benutzeroberfläche sind, sind besonders wichtig, um einen sicheren Betrieb des Geräts zu ermöglichen und Gefahren wie Hausbrände zu vermeiden. Zum Beispiel müssen Kochgeräte mit einer Selbstreinigungsfunktion, die nach Amerika oder Europa versendet werden, den Zwei-Touch-On- und One-Touch-Off-Betrieb des Selbstreinigungsmodus unterstützen. Es ist wichtig zu beachten, dass selbstreinigende Öfen gefährlich hohe Temperaturen von 900oF (500oC) erreichen. Im Ofen aufbewahrte Gegenstände können in diesem Modus Feuer fangen, daher schreibt IEC/UL 60730 Klasse B vor, dass Geräte mit dieser Funktion den Zwei-Touch-Ein- und One-Touch-Aus-Betrieb unterstützen müssen.

Der Grund für diese Anforderung besteht darin, dass eine zweite Berührung zum Einschalten des Selbstreinigungsmodus verwendet wird, um den Benutzer zu ermutigen, noch einmal zu überprüfen, ob der Selbstreinigungsmodus sicher gestartet werden kann. Mit einer einzigen Berührung, beispielsweise nachdem der Benutzer Rauch gerochen hat, wird dieser Modus mit der Stopp- oder Abbruchtaste beendet. Die sichere Betätigung der Stopptaste ist für die Sicherheit des Benutzers von entscheidender Bedeutung. Daher muss die Taste in allen Umgebungen zuverlässig und genau funktionieren. Gefährliche Brände können vermieden werden, indem der Selbstreinigungsmodus so schnell wie möglich ohne mehrmalige Berührungsinteraktionen beendet wird.

Die Überwachung des einzelnen analogen Peripheriegeräts ist ziemlich einfach und wird von der MCU leicht durchgeführt. Das Peripheriegerät überwacht einige Tasten, die zusammen gemultiplext sind. Ein Peripheriegerät kann eine Reihe von Tasten scannen. Während diese Funktionalität in den Mikrocontroller eingebaut ist, muss der Gerätehersteller die Sicherheitsfunktion noch entwickeln und qualifizieren und ist dafür verantwortlich.

Ein neuer Ansatz zur Gerätesicherheit

Auch wenn die funktionale Sicherheit schon seit vielen Jahren in Geräten implementiert ist, besteht nun die Möglichkeit, dieser Anforderung durch die Übertragung klassischer Sicherheitsprinzipien auf eine moderne Touchscreen-Oberfläche gerecht zu werden. Wenn Touchscreens implementiert oder aktualisiert werden, ist dies ein idealer Weg für die Design-in-Klasse-B-Zertifizierung.

Die ATMXT336UD-MAUHA1 maXTouch Controller-Familie mit ihren einzigartigen sicherheitsrelevanten Funktionen macht eine separate Taste überflüssig, so dass das Ausschalten jetzt durch eine „weiche“ Taste an einer beliebigen Stelle des Touchscreens erfolgen kann. Während die Möglichkeit, den Knopf zu eliminieren und die Kosten zu senken und die erforderliche Funktionalität aufrechtzuerhalten, ein ausreichender Anreiz für Gerätehersteller sein sollte, sollte die vereinfachte Schnittstelle auch für Benutzer attraktiver sein. Der integrierte Ansatz ist einfacher und intuitiver. Es ist auch bequemer, da es die Unordnung und die Kosten der separaten Tasten beseitigt. Vielleicht noch wichtiger ist, dass die Abschaltfunktion für die Globalisierung in der natürlichen Sprache des Benutzers geändert werden kann. Siehe Abbildung 2.

Abbildung 2. Indem die Not-Aus-Funktion auf dem Touchscreen angezeigt wird, kann der Gerätehersteller dem Benutzer ermöglichen, die Sprache auszuwählen, die ihm für die Stopp-Funktion am angenehmsten ist.

Der Rauchmelder leistete vor Jahrzehnten Pionierarbeit für die Sicherheit von Zuhause. Im Gegensatz zum Rauchmelder kann der funktionale Sicherheits-Touchscreen der Klasse B sowohl warnen als auch Maßnahmen ergreifen. Es führt diese proaktiven Funktionen aus, bevor es Rauch oder etwas in der Umgebung wahrnimmt, ohne dass ein menschliches Eingreifen erforderlich ist.

Schauen wir uns ein Beispiel für ein Sicherheitsproblem an, das der Touchscreen der Klasse B lösen kann, ohne den Koch einzubeziehen. Wenn ein schwerer Topf versehentlich auf einen heißen Herd mit induktiven Brennern fällt, würde das dicke Glas in vielen Fällen die Brenner schützen, aber der dünne Indium-Zinn-Oxid (ITO)-Berührungssensor darunter ist zerbrechlicher und könnte brechen. Dieser Bruch kann zu einem Verlust der lokalisierten Touch-Funktionalität in einem bestimmten Bereich des Touchscreens oder, noch schlimmer, zum Ausfall des gesamten Sensors führen.

Der Controller mit Klasse B überwacht in Echtzeit automatisch den Zustand des Berührungssensors. Im Hintergrund, wenn der Sensor nicht nach Berührungen sucht, scannt der IC den Berührungssensor selbst auf verschiedene Arten von Fehlern. Sobald ein Fehler erkannt wird, beispielsweise ein Riss im Touchscreen-Sensor, benachrichtigt der Controller die Host-Zentraleinheit (CPU), damit diese die Brenner automatisch abschalten kann. Dies geschieht, ohne dass ein menschliches Eingreifen erforderlich ist, wodurch ein ausfallsicherer Betrieb gewährleistet wird.

Während diese Art von Funktionalität zuvor möglich war, musste der Host den Touchscreen-IC für Eingaben triggern oder abfragen. Jetzt führt der IC diese Funktion selbst aus und sendet die Nachrichten an den Host, wenn ein Problem auftritt. Eine spezielle I2C-Bus-Nachricht oder ein Allzweck-IO (GPIO)-Pin auf dem IC, der mit einem Interrupt-Pin der Systemhost-CPU verbunden ist, gibt automatisch die Warnung zum Einleiten eines Herunterfahrens aus. Die eingebauten und selbsttätigen Sicherheitsfunktionen bieten die Möglichkeit, einige der Bedingungen zu verhindern, die zu einem Küchenbrand führen könnten. Siehe Abbildung 3.

Abbildung 3. In einer typischen Appliance-Anwendung lässt sich der Touchscreen-Controller der Klasse B problemlos mit einer Host-CPU verbinden.

Um die Klasse B-Zertifizierung zu bestehen, werden mehrere Funktionssicherheitstests vom Touchscreen-IC durchgeführt. Einer der wichtigsten Tests ist der Speichertest. Der Touchscreen-IC verfügt über eine geringe Menge an RAM und Flash-Speicher, die ausreicht, um die erforderlichen Funktionen in der Anwendung auszuführen. In einer eingebetteten Umgebung führt das geschlossene System keinen Kundencode aus. Um die Klasse B-Zertifizierung zu erfüllen, gibt es Regeln, die bestimmen, wie oft Speichertests ausgeführt werden müssen. Zum Beispiel läuft im Hintergrund eine Reihe von gehenden Einsen und gehenden Nullen als Mustertest, um auf RAM-Fehler auf dem IC zu prüfen. Siehe Abbildung 4.

Abbildung 4. Ein laufender 1s-Test für einen 8-Bit-Speicher überprüft sequentiell jedes Bit.

Der Prozess beginnt mit dem Testen des freien RAM, um zu überprüfen, ob er in Ordnung ist. Da der Großteil des kleinen Speichers mit Daten gefüllt ist, wird ein Teil des Anwendungscodes dann in den getesteten Teil verschoben, um einen anderen Teil freizugeben und zu testen. Der Vorgang wird fortgesetzt, bis der gesamte RAM getestet ist. Dieses Mischen des Anwendungscodes während der Ausführung ermöglicht das Testen des gesamten Speichers mit sequentiellem Testen.

Allein die Durchführung dieses Tests ist ein relativ komplexer Prozess und alles ist Teil des Klasse-B-IC, der gleichzeitig Multifinger-Touch-Ereignisse in Echtzeit meldet. Bei mehr als 60 Hz, 60 Mal pro Sekunde, meldet der IC Berührungen an den Host, während er den RAM testet und den Sensor im Hintergrund testet. Ein ähnliches Testen wird durchgeführt, um die nichtflüchtigen Flash-Programmcode-Speicherzellen zu testen.

CPU-Register im Controller müssen getestet werden, um sicherzustellen, dass sie richtig funktionieren. Dies wird erreicht, indem der aktuelle Wert des CPU-Registers gelesen und gespeichert wird und die Daten in einem anderen Register gespeichert werden, das nicht getestet wird. Dann wird das CPU-Register umgeschaltet, um sicherzustellen, dass die neue Einstellung erhalten bleibt. Danach werden die Anfangswerte wiederhergestellt. Dadurch wird überprüft, ob die CPU-Register richtig gesetzt und auf die richtigen Werte zurückgesetzt werden können.

Interne Uhrentests stellen sicher, dass die Uhren richtig laufen. Es gibt verschiedene Taktbäume innerhalb des ICs und die Tests bestätigen, dass sie aufgeteilt sind und richtig laufen. Dies ist keine erschöpfende Liste von Tests, gibt aber eine Vorstellung von den Arten von Tests, die vom IC durchgeführt werden.

Ein weiterer Sicherheitsaspekt des neuen ICs besteht darin, dass der I2C-Bus für die Kommunikation zwischen der System-Host-CPU und dem Touch-Controller stark aufgerüstet wurde. Die I2C-Kommunikation auf dem Touch-Controller verwendet zwei Mechanismen, um die Integrität aller an das und vom Gerät gesendeten Daten sicherzustellen. Der erste Mechanismus verwendet eine Sequenznummer. Darüber hinaus wurde dem Bus zum ersten Mal eine zyklische Redundanzprüfung (CRC) hinzugefügt, um zu überprüfen, dass keine Datenverfälschung (ein Bitfehler) aufgetreten ist.

Da ein Gerät eine elektrisch verrauschte Umgebung sein kann, stellt dies sicher, dass die vom Host empfangenen Koordinaten zuverlässig sind und beim Transport nicht verfälscht wurden. Da den I2C-Nachrichten eine Sequenznummer hinzugefügt wurde, kann der Host jetzt jedes Mal, wenn Koordinaten an den Host gesendet werden, feststellen, ob er ein oder mehrere Datenpakete verpasst hat, und geeignete Maßnahmen ergreifen. Mit der Internetverbindung könnte der Host sogar so programmiert werden, dass er das Mobiltelefon oder die Smartwatch des Benutzers über ein Problem benachrichtigt, selbst wenn der Benutzer nicht zu Hause ist.

Wie bereits erwähnt, wurde dem Touch-Controller mit Standard-Sicherheitstests der Klasse B zusätzliche Intelligenz hinzugefügt, um regelmäßige Selbst- und Sensordiagnosefunktionen zur ständigen Überwachung der Integrität des Touch-Subsystems zu ermöglichen. Diese intelligenten Diagnosefunktionen unterstützen einen konfigurierbaren Heartbeat-Signalausgang ("Keep Alive"), der mit einem Allzweck-IO (GPIO)-Ausgangstrigger an den Host gesendet werden kann.

Ein letzter Sicherheitspunkt. Da die funktionale Sicherheit bereits im Touchscreen-Sicherheitschip qualifiziert ist, wird der Qualifizierungsprozess auf Systemebene für den Benutzer erheblich vereinfacht, da keine zusätzliche Software auf die Host-CPU geschrieben werden muss, um die Sicherheit des Touchscreens zu verwalten. Dies sollte die Gerätehersteller dazu motivieren, diese neue Funktion zu untersuchen und zu implementieren.

Sicherheit im Waschraum

Der Touchscreen-Controller der Klasse B kann andere Sicherheitssituationen außerhalb der Küche bewältigen. Die NFPA gibt beispielsweise an, dass die US-Feuerwehren jedes Jahr auf schätzungsweise 15.970 Brände in Wohngebäuden mit Wäschetrocknern oder Waschmaschinen reagierten. Obwohl es eine Vielzahl von Ursachen für diese Brände gibt, sollte das Design für die Sicherheit einen erheblichen Einfluss auf die Gesamtzahl haben.

In der Waschküche gelten die Anforderungen der Klasse B für Waschmaschinen. Wäschereimaschinen mit Hochgeschwindigkeitsmotoren, insbesondere Frontladermaschinen, verfügen über einen Verriegelungsmechanismus, damit die Tür während des Maschinenbetriebs nicht versehentlich geöffnet wird. Der Autolock-Mechanismus ist eine elektromechanische Vorrichtung, die dafür sorgt, dass beim Einschalten der Maschine die Sicherheitsfunktion ausgelöst wird. Wird der Schließmechanismus über einen Touchscreen gesteuert, könnte auf einen separaten Taster, Mikrocontroller und Sensor verzichtet werden.

Die manuelle Übersteuerung der Türentriegelung ermöglicht das Hinzufügen oder Entfernen von Gegenständen, nachdem die Waschmaschine oder der Trockner gestartet wurde, und muss außerdem sicherheitskonform sein. Dies ist derzeit das Gesetz für Wäschereigeräte in den USA und Europa, wo eine Klasse-B-Zertifizierung erforderlich ist. Die neue Alternative bringt alles auf den Touchscreen – und das gilt wegen der Heizaspekte für Waschmaschinen und Trockner. Außerdem muss bei Frontlader-Waschmaschinen das System vor dem Öffnen der Tür entleert werden, um Überschwemmungen zu vermeiden. Da es ein Aspekt ihres Lebens ist, über den sie eine gewisse Kontrolle ausüben können, machen sich die Menschen zunehmend Sorgen um die Sicherheit.

Während eine bestimmte Region möglicherweise die Klasse-B-Zertifizierung für ein bestimmtes Produkt erfordert, verkauft ein Gerätehersteller, sobald er diese Anforderung erfüllt, das Produkt mit dieser Funktionalität/Fähigkeit in andere Regionen der Welt und fördert die Touchscreen-Sicherheitsfunktionalität als Wettbewerbsvorteil. Dies hat sich in der Vergangenheit als sehr effektiv erwiesen. Der Ansatz ermöglicht ein globales Modell für Europa, Amerika und den Rest der Welt, sodass der Hersteller nur einen Typ dieser Geräteklasse herstellen muss.

Auf dem Weg zu sichereren Geräten

Das Design und die Entwicklung des kundeninitiierten Klasse-B-Touchscreen-Controllers wurden von führenden Geräteherstellern initiiert und dauerten mehrere Mannjahre, um vom Konzept in die Realität zu kommen. Es hatte während des gesamten Prozesses Kundenfeedback, um die Klasse-B-Funktionen zu verfeinern. Obwohl es sicherlich eine Funktion ist, die Anbieter und Kunden in High-End-Geräten anbieten möchten, ziehen einige Gerätehersteller bereits die Sicherheit der Klasse B für Einstiegsdesigns in Betracht, da alle Kunden das höchste verfügbare Sicherheitsniveau verdienen.

Sobald Gerätehersteller mit dieser neuen Fähigkeit und der damit verbundenen Kostenreduzierung vertraut sind und ein Gerät oder Geräte nach Klasse B zertifiziert haben, können sie erwägen, die Technik auf Maschinen/Geräte anzuwenden, bei denen es nicht zwingend erforderlich ist, einen Marketingvorteil zu erzielen und Markendifferenzierung für eine ganze Reihe sicherheitsbewusster Geräte für sicherheitsbewusste Verbraucher. Um Geräte sicher mit Menschen zu verbinden, ist der Touchscreen-Controller der Klasse B eine sichere Wahl für Öfen, Herde, Waschmaschinen und Trockner sowie Geschirrspüler, Kühlschränke, Mikrowellen-/Umluftofen-Kombinationen und sogar Dunstabzugshauben.

Branchenartikel sind eine Inhaltsform, die es Branchenpartnern ermöglicht, nützliche Nachrichten, Nachrichten und Technologien mit All About Circuits-Lesern auf eine Weise zu teilen, für die redaktionelle Inhalte nicht gut geeignet sind. Alle Branchenartikel unterliegen strengen redaktionellen Richtlinien, um den Lesern nützliche Neuigkeiten, technisches Know-how oder Geschichten zu bieten. Die in den Branchenartikeln geäußerten Standpunkte und Meinungen sind die des Partners und nicht unbedingt die von All About Circuits oder seinen Autoren.