Re:关于家电软件评估-4
单片机的故障模型不只Stuck-at 和DC fault,另外还包括CF (Coupling Fault)PSF(patten sensetive fault)等等。当然这些故障模型用imarchC算法或者其改进算法可以检测,配合冗余校验和适当编码还可以纠正。然而这只是60730 附件H中的一小部分(335附件R引用730的附件H)。另外还要参考IEC61508的部分要求。
software evaluation比较麻烦,国内似乎做的不多。
现在很多时候都绕过这一部分评估。
但是随着家电功能的越来越复杂,软件的安全作用越来越关键,这个评估早晚还是要做的。
引用第11楼neutron于2010-02-22 15:14发表的 关于家电软件评估-4 :
6. 控制软件故障/错误的技术和措施
这是考虑软件运行期间遇到故障/错误怎么办的问题。
所谓故障fault,基本上是有单片机内部元器件问题引起软件工作不正常,通常划归为两种:stuck-at滞位和DC故障。
....... 应该还是有的
很多控制板的厂还是有这个技术实力的。但是他们缺少的是安规的知识和经验
既有控制电路的开发经验,又有安规知识的,可能就比较少了
引用第6楼安老盖于2010-02-21 14:19发表的:
软件评估目前在国内都是一个盲点,真正有作而且做的好的,不知道有没有? 黑森林说的有道理。
60335-1引用了61508的部分措施;
Stuck-at 和DC fault属于持续故障;
CF和PSF属于短时故障;
CF和PSF可能引发stuckat或DC故障,诸多诱因之一。 Stuck-at是否就是常说的“死机”。
“死机”
引用第13楼安老盖于2010-02-24 08:47发表的:Stuck-at是否就是常说的“死机”。
对整机来说,stuck-at就是“死机”;要是这样,软件算是过关了
要是某个元件或针脚"stuck-at"了,整机还在工作,这就麻烦了,对应的处理方法就是控制故障/错误的措施。
335的要求针对的是安全控制功能。
关于家电软件评估-5
7. 引起故障的常见原因stuck-at或DC故障是许多故障的归类,直觉感到这种分类太笼统,但一时也找不到更好的解释。
什么因素导致故障?标准没有说,因为太多的因素,估计编标准的人一时也反应不过来,这需要时间积累。
常见的导致stuck-at或DC故障的因素是:
静电:集成电路内部的cmos管很容易击穿;
传导电磁骚扰:类似浪涌、脉冲群;
机械损伤:跌落等;
无线骚扰:外界和电路设计不当,导致信号失真;
其它的,大家补充
控制故障/错误措施
不好意思,最近开始忙起来了,抓紧时间把这个网上内容搞完整。上面讲了软件评估的概念,希望说的清楚,如有问题请大家提出来,我尽可能回答清楚。
下面主要讲控制故障/错误的措施,这是硬的要求,在程序中必须有的内容。
IEC60730-1 H.11.12.7 控制故障/错误的措施
控制措施
这个图片大家可以另存放大看。它显示了所有的检查内容,很明显它所涉及的内容都是控制器硬件,就是考虑哪个部件一旦出现故障应该怎么办。
下面举例说明采取怎样的措施才可以。
以存储器为例,采用通用60335-1 Ed.5.0标准的要求,相当于B类软件。
其措施如图:
如 4.1不可变存储器,就是ROM,对应B类软件,有三种措施选项,任选一种或几种的组合:
周期修改的检查和;或 H.2.19.3.1
多重检查和 H.2.19.3.2
带有一位冗余的字保护 H.2.19.8.2
这条要求中,就是选H.2.19.3.1或者H.2.19.3.2再加上H.2.19.8.2
下面是这几条措施的定义,也就是方法,实现的途径很多,如何实现取决于编程员的个人偏好。
H.2.19.3.1修改的检查和 modified checksum
产生并贮存代表贮存器中全部宇内容的一个单字的一种故障/错误控制技术。在自检期间,从相同的算法中形成一个检查和,并与被贮存的检查和比较。
注:本技术识别所有奇错误和某些偶错误。
H.2.19.3.2 多重检查和 multiple checksum
产生并贮存代表待测贮存区域内在的一个独*立字的一种故障/错误控制技术o 在自检期间,从相同的算法形成一个检查和并与为该区域的贮存的检查和比较。
注:本技术识别所有奇错误和某些偶错误。
H.2.19.8.2 带有一位冗余的字保护 word protection with single bit redundancy
把一位加到被试贮存器区域的每一字,并且贮存的一种故障/错误控制技术,产生的奇偶性或者为奇数或者为偶数。当读每一字时,进行奇偶性校验。
注:本技术识别所有的奇数位错误 对于整个控制系统,控制措施的工作量很大,可能比使用功能的工作量还大,其间涉及到时间节点等问题,所以,程序员很头痛
