看门狗与超时保护：当温度长时间未达到设定值时如何报警并切断加热

在工业温控系统中，加热设备长期无法达到设定温度，往往不是简单的“升温慢”，而是隐藏着严重故障：加热元件断路、热电偶脱落、散热异常加剧、控制信号中断或 PID 参数严重失配。若系统对此类异常状态不做响应，轻则导致产品不合格、能耗飙升，重则引发设备干烧、容器破裂甚至火灾。看门狗（Watchdog）与超时保护（Timeout Protection） 是两类互补但机制不同的实时安全机制——前者监控系统自身运行是否“活着”，后者监控被控过程是否“按预期进展”。本文聚焦后者：当温度长时间未达到设定值时，如何可靠报警并切断加热。全文不依赖 PLC 品牌，所有逻辑均可在通用控制器（如 Arduino、树莓派 Pico、国产 ARM 工控板）、DCS 或主流 PLC 中实现。

一、核心概念辨析：看门狗 ≠ 超时保护

很多工程师混淆二者，导致防护逻辑失效。必须明确：

• 看门狗：是硬件或软件定时器，用于检测控制器程序是否卡死、死循环或崩溃。它要求主程序周期性喂狗（即重置计时器）。一旦超时未喂狗，看门狗强制复位控制器。它不管温度多少度，只管“程序还在跑吗？”
• 超时保护：是应用层逻辑，针对具体工艺参数（如温度）设置时间阈值。它持续监测“从启动加热起，温度是否在规定时间内进入允许区间？”，一旦超时即执行保护动作。它不管程序是否卡死，只管“工艺目标达成了吗？”

二者必须共存：看门狗保系统不死，超时保护保工艺不越界。本文仅展开超时保护设计。

二、超时保护的四个关键要素（缺一不可）

任何可靠的超时保护必须明确定义以下四点，否则逻辑必存漏洞：

1. 触发起点（Start Trigger）：超时计时从哪一刻开始？
2. 目标条件（Target Condition）：什么是“达到设定值”？是等于？还是进入一个带容差的区间？
3. 时间阈值（Timeout Threshold）：最长允许耗时是多少？单位必须精确到毫秒或秒。
4. 保护动作（Action）：超时后执行什么？报警？停加热？记录事件？是否可自动恢复？

下表列出常见错误定义及其后果：

三、推荐实施步骤（零依赖品牌，纯逻辑）

以下步骤可在任意支持基础定时器和比较运算的控制器中实现。假设你已具备：

• 温度传感器（如 PT100 或 K 型热电偶）接入，读数单位为 ℃，变量名 temp_current；
• 设定值变量 temp_setpoint；
• 加热输出变量 heater_output（0 = 关，100 = 全功率）；
• 报警输出变量 alarm_heating_timeout（布尔量）；
• 系统时钟函数 millis()（返回毫秒数）或 micros()。

1. 定义允许误差带与稳定判定窗口

温度不会瞬时跳变。直接比对 temp_current == temp_setpoint 必败。应采用区间判定：

• 设定绝对误差 ε = 2.0 ℃（根据工艺精度要求调整，如食品灭菌可取 0.5，金属退火可取 5.0）；
• 定义“稳定进入”条件：温度连续 N 次采样（如 N = 10）均落入 [temp_setpoint − ε, temp_setpoint + ε] 区间内，且每次采样间隔 T_sample = 500 ms，则稳定判定窗口总长为 10 × 0.5 = 5 秒。此设计滤除瞬时干扰，确保真正进入控制目标区。

2. 明确定义触发起点：加热使能且温度低于下限

超时计时不能从“用户按下启动按钮”开始，因为按钮可能早于加热实际输出。正确起点是：

• heater_output > 0（加热已实际输出）；
• 且 temp_current < temp_setpoint − ε（确未提前进入目标区）；
• 且此前未处于超时保护激活状态（避免重复启动计时器）。
  满足三者时，记录当前毫秒时间戳 timeout_start = millis()，并置位标志 timeout_active = true。

3. 实时判定是否达成目标

每个控制周期（建议 ≤ 500 ms）执行：

• 若 timeout_active == false，跳过本段；
• 否则，计算已过去时间：elapsed = millis() − timeout_start；
• 检查是否超时：if (elapsed > timeout_threshold_ms) → 执行保护；
• 若未超时，检查是否稳定进入：统计最近 N 次 temp_current 是否全部满足 temp_setpoint − ε ≤ temp_current ≤ temp_setpoint + ε；
• 若满足，清除 timeout_active，重置计时器（即保护退出）；
• 若不满足，继续等待。

4. 设定动态时间阈值（强烈推荐）

静态阈值风险高。推荐基于设定值与环境温度估算理论升温时间：
设环境温度 temp_ambient = 25.0 ℃（可实测或默认），最大加热速率 max_rate = 1.8 ℃/min（由设备铭牌或实测获得），则理论最短升温时间（从环境到设定值）为：
$$ t_{\text{min}} = \frac{|temp\_setpoint - temp\_ambient|}{max\_rate} \times 60 \text{ 秒} $$
再乘以安全系数 k = 2.5（覆盖老化、污垢、电压波动等），得最终阈值：
$$ timeout\_threshold\_ms = \left\lceil k \times \frac{|temp\_setpoint - temp\_ambient|}{max\_rate} \times 60 \right\rceil \times 1000 $$
例如：temp_setpoint = 180.0, temp_ambient = 25.0, max_rate = 1.8 →
$ t_{\text{min}} = \frac{155}{1.8} \times 60 \approx 5167 $ 秒 → timeout_threshold_ms ≈ ⌈2.5 × 5167⌉ × 1000 = 12920000 ms（约 3.59 小时）。此值随设定值自动伸缩，鲁棒性强。

5. 执行保护动作（必须带硬锁存）

一旦 elapsed > timeout_threshold_ms 成立：

• 置位 alarm_heating_timeout = true；
• 将 heater_output 强制设为 0；
• 记录事件日志：包含时间戳、temp_current、temp_setpoint、elapsed；
• 禁止自动清除报警：必须由操作员手动确认（如按下 ACK_ALARM 按钮）后，才允许 heater_output 恢复可控；
• 可选：驱动声光报警器（如 digitalWrite(alarm_pin, HIGH)）。

四、防误动作的三项增强措施

即使上述逻辑完备，现场仍可能因干扰误报。加入以下增强：

• 启动抑制期：加热刚开启瞬间，传感器可能因热传导滞后读数偏低。在 heater_output > 0 后前 2000 ms 内，禁止启动超时计时（即 timeout_start 不得在此期间赋值）。
• 抖动过滤：对 temp_current 原始读数做滑动平均（如 5 点移动平均），避免单次尖峰触发起点或目标判定。
• 多条件串联判定：不单看温度，同步监测加热电流（如有电流传感器）：若 heater_output > 0 但电流 I_heater < 0.1 × I_rated，直接判定加热回路开路，立即超时保护——这比等温度不升更快定位故障。

五、典型代码框架（Arduino 风格，可直译为其他平台）

// 参数配置区（依实际修改）
const float EPSILON = 2.0;           // 允许误差带 ±℃
const uint16_t N_SAMPLES = 10;       // 稳定判定采样数
const uint32_t SAMPLE_INTERVAL_MS = 500;
const float MAX_HEATING_RATE_CPM = 1.8; // ℃/min
const float SAFETY_FACTOR = 2.5;
const float TEMP_AMBIENT = 25.0;
const uint32_t START_INHIBIT_MS = 2000;

// 运行时变量
float temp_current = 0.0;
float temp_setpoint = 0.0;
uint8_t heater_output = 0; // 0~100
bool alarm_heating_timeout = false;
bool timeout_active = false;
uint32_t timeout_start = 0;
uint32_t last_sample_time = 0;
float temp_history[N_SAMPLES] = {0};
uint8_t hist_idx = 0;
bool heater_on_since = false;
uint32_t heater_on_time = 0;

void loop() {
  uint32_t now = millis();

  // 1. 读取传感器（含滤波）
  temp_current = read_and_filter_temp();

  // 2. 更新加热状态时间戳
  if (heater_output > 0 && !heater_on_since) {
    heater_on_since = true;
    heater_on_time = now;
  }

  // 3. 启动抑制期：加热开启后2秒内不启动超时
  if (heater_output > 0 && now - heater_on_time > START_INHIBIT_MS) {
    // 检查是否满足触发起点：加热中、温度远低于设定值、未激活超时
    if (heater_output > 0 && 
        temp_current < temp_setpoint - EPSILON && 
        !timeout_active && 
        !alarm_heating_timeout) {
      timeout_start = now;
      timeout_active = true;
      // 清空历史缓冲区
      for (int i = 0; i < N_SAMPLES; i++) temp_history[i] = temp_current;
      hist_idx = 0;
    }
  }

  // 4. 若超时激活，执行判定
  if (timeout_active) {
    uint32_t elapsed = now - timeout_start;
    uint32_t dynamic_threshold_ms = calculate_dynamic_timeout();

    if (elapsed > dynamic_threshold_ms) {
      // 超时！执行保护
      heater_output = 0;
      alarm_heating_timeout = true;
      log_timeout_event(elapsed, temp_current, temp_setpoint);
      timeout_active = false;
      return; // 退出本次循环，防止后续覆盖
    }

    // 检查是否稳定进入目标区间
    if (now - last_sample_time >= SAMPLE_INTERVAL_MS) {
      temp_history[hist_idx] = temp_current;
      hist_idx = (hist_idx + 1) % N_SAMPLES;
      last_sample_time = now;

      bool all_in_band = true;
      for (int i = 0; i < N_SAMPLES; i++) {
        float t = temp_history[i];
        if (t < temp_setpoint - EPSILON || t > temp_setpoint + EPSILON) {
          all_in_band = false;
          break;
        }
      }
      if (all_in_band) {
        timeout_active = false; // 目标达成，退出保护
      }
    }
  }
}

uint32_t calculate_dynamic_timeout() {
  float delta = abs(temp_setpoint - TEMP_AMBIENT);
  float t_min_sec = (delta / MAX_HEATING_RATE_CPM) * 60.0;
  return (uint32_t)(SAFETY_FACTOR * t_min_sec * 1000.0);
}

六、调试与验证方法

• 冷态模拟测试：断开加热器，将传感器置于室温，设 temp_setpoint = 100.0，观察是否在预设时间内准确触发报警并关断输出；
• 热态干扰测试：加热至 90 ℃ 后，人为拔掉热电偶线（模拟断线），验证是否在 1–2 秒内因 temp_current 异常跳变而触发保护（需配合电流检测更优）；
• 日志交叉验证：导出事件日志，检查 timeout_start、elapsed、temp_current 序列是否符合物理规律（如升温曲线单调递增，超时点前温度停滞）；
• 边界压力测试：将 EPSILON 设为 0.1，timeout_threshold_ms 设为最小允许值（如 60000），验证系统在极限条件下是否仍稳定。