关于家电软件评估-1

neutron

广东安规检测
有限公司提供：

小型摆管淋雨试验机

IPX5X6X7喷水试验机

1000L恒温恒湿箱

各种试验指现货

可程式恒温恒湿试验箱

水平垂直燃烧机

自动卷线器试验机

耐划痕试验机

各种灯头量规现货

灼热丝试验机现货

GB1002插头量规

IPX1-X7淋雨现货

IEC61347/UL935镇流器热试验箱

灯具防风罩

IK冲击试验机

UL498插头插座量规

VDE0620插头插座量规

稳定性试验台

家电温升测试角

针焰试验机现货

热电偶焊机现货

家电125mm试验指

E12灯头量规

无绳壶无绳电熨斗插拔寿命试验机

IEC60335试验指甲

现在有时间了，发一些关于家电软件评估的主题，欢迎大家一起讨论。
+ V' a( x  O' B# v
1. 软件评估的来源
0 p6 M" n4 c, o4 V  ?0 N2 cIEC 60335-1:2004 （Ed.4.0:2001+A1:2004）《家用和类似用途电器的安全 第一部分 通用要求》第4.1版增加了“附录R 软件评估

2 `3 m0 J' [3 l: r, u6 w1 r( U”和三个相关定义（3.9.3/3.9.4/3.9.5）。

# }! @5 {, [4 d7 `IEC 60335-1:2006（Ed.4.2）对附录R做了修改。
$ J, M# ]: z* X6 s$ i" u1 G
IEC60335-1 I-SH 01:2007对22.46做了解释，没有任何实质性变化。
& P6 F- i7 |; O' Q
IEC60335-1：2010 Ed.5.0对此作了全面的修改。取消了B/C类软件的分类，在通用要求中只提出了表R1的控制措施要求，相当于针
8 l3 Y* h9 U% f, T  |9 A4 D6 Z$ M7 |
对B类软件；R2要求相当于C类软件。
1 ]. w% W9 o/ m0 ?' }# j
标准的变化反映了IEC TC61这帮电工们对软件评估这类现代技术不熟悉，但在逐渐改善。
( o5 R6 n8 a! @
目前国内使用的版本是GB4706.1-2005，相当于IEC60335-1：2001 + A1:2004。

在CB认证中，按照IEC60335-1：2001 + A1:2004 +A2:2006；在3C认证中，具体实施软件评估时，对GB4706.1-2005做偏离说明，否则乱做多做对企业和工程师都无益。
2 l, N* ~+ C+ t6 h' h9 Z! q
3 h- o' W+ a8 O) ]$ x( U% O  Z2. 那些家电需要软件评估
% B* m+ x8 w6 g. B. f7 L
2 t( g8 F) r) n0 D内嵌可编程电子电路（PEC），就是单片机，用保护功能，就叫可编程保护电子电路，
" A# b" T9 ^5 }+ z3 A" b
保护功能：例如过热、爆炸、燃烧、电磁辐射、机械损伤，等等。
0 e! w, b: ?8 _3 W
* Y% I4 M( y( L  s, K7 D目前看主要是电磁灶、微波炉、部份智能洗衣机、部份贮水式热水器、变频空调器，等等。
  s; A5 R8 F8 Z6 A) L/ I1 f
+ N9 p$ w2 B7 R& p7 [) k
4 v$ H% D+ r7 n7 U/ T顺便说，由于软件评估费时费力，是不是能够绕开？
8 x% M  v5 O: N+ [1 q, N3 K
- P3 C& J) D, A1 O2 f. X9 J回答：能！

就是不考虑软件控制的保护功能。

但是，按照19.11.3的要求，就要进行double faults故障模拟，即要增加相当于软件控制的保护功能的硬件，可以实现，但很难成
' A! G# D% c# [$ @# e" s- G
功。
2 o5 S7 s+ ^) ]
（335-1 ed.4.1）19.11.3如果器具装有使器具符合第19章要求的保护电子电路，则按19.11.2 中a）~f）的要求，相关试验以模拟

1 c+ c4 m+ S0 J% }3 l单一故障的方式重复进行。

ed.4.2有个g）failure of an electronic power switching device in a partial turn-on mode with loss of gate (base)
- Z1 w- N4 C2 E( C  T- x& K: l
$ r! h6 ~" x; p& E- Qcontrol. During this test, winding temperatures shall not exceed the values given in 19.7.

以这条要求考核目前家电功率开关管的电路结构，基本上都不合格。

, ~: L+ k, d8 F: W# r5 g# ]

: @/ p' r% U, @  D! i2 |3. 要求

9 P5 i- E2 d- b( N8 A/ h% G以目前使用的标准IEC60335-1：2001 + A1:2004 +A2:2006
1 P+ u3 E: P8 ?: Y
在第22章 结构 第22.46条：在保护电子电路中使用的软件，应为B类或C类软件。依据附录R通过软件评估确定其是否合格。
; h4 n: V# J8 d3 d; [9 p- y' K# x
软件评估按照附录R要求进行，评估方法和流程程序采用了IEC 60730-1（GB14536.1）《家用和类似用途电自动控制器 第1部分：通

0 |4 o0 ~8 p$ u( }/ w4 a用要求》的附录H。
4 h$ B0 B" o" l" _
3.9.3保护电子电路protective electronic circuit
防止非正常运行状态下出现危险的电子电路。
注：电路中的部分也可以起到功能作用。

4 S; ?  v2 ^) U8 x& T  w
: _+ v1 J9 W" J0 x6 y3.9.4 B级软件software classB
* z4 Q3 h0 K) c$ _; c含有代码的软件，用于防止器具由于非软件故障而引起的危险。
: k+ C$ a2 ?; ], @$ D: `
9 U% t5 T5 B! c0 t* Q9 g
3.9.5 C级软件software classC
! E+ Y' O( h  {; P0 d含有代码的软件，用于防止没有使用其他保护装置时出现的危险。
. F3 |) g& m  b8 B
注意这个Ed.4.2与GB4706.1-2005版有不一致的地方
; y- ?2 q8 \7 v" y% wAnnex R
(normative)
# t  F4 D6 Z0 Y1 L- H( v( H8 USoftware evaluation
Software shall be evaluated in accordance with the following clauses of Annex H of
IEC 60730-1, as modified below.
2 I; \0 E1 F6 wH.2 Definitions
$ Q% ~, F1 V. X8 {Only definitions H.2.16 to H.2.20 are applicable.
: A3 R+ k: m0 ^+ t; @8 ^H.7 Information
Only footnotes 12) to 16) and 18) of Table 7.2 are applicable.
In footnote 15), replace “the requirements of 17, 25, 26 and 27” by “19.13 of IEC 60335-1”
) f& j. @, ~8 _5 M+ a1 Z  W; a5 qand replace “H.27” by “19.11.2 of IEC 60335-1”.
9 R& V) C2 ]* F2 k# i; dH.11.12 Controls using software
! t. D7 |! y4 Q* S! y7 NAll of the subclauses of H.11.12 as modified below are applicable, except subclauses
( Q) Y; e2 X/ d7 kH.11.12.6 and H.11.12.6.1 which are not applicable.
In the second paragraph, replace “required in items 66 to 72 inclusive” by “referred to in
9 p8 e' s( z7 x8 d! v" X! Sfootnotes 12) to 16) and 18) inclusive”.
& {+ ~& s8 R* q# P. ?# |H.11.12.7 Delete “and identified in table 7.2, requirement 68”.
/ ]  G, v* W  C- G. kH.11.12.7.1 Replace the text by the following:
6 \" k5 ~6 N. @# BFor appliances using software class C having a single channel with self-test and monitoring
; w5 b: C( c7 s) E- [  w( Qstructure, the manufacturer shall provide the measures necessary to address the fault/errors
in safety related segments and data indicated in Table H.11.12.7-1.
H.11.12.8 Replace the text by the following:
9 l3 v% H8 g2 V/ T4 k0 gSoftware fault/error detection shall occur before compliance with 19.13 of IEC 60335-1 is
4 j7 t( o& B1 h1 M" j4 z/ dimpaired.
H.11.12.8.1 Replace “result in the response declared in table 7.2, requirement 72” by “occur
; `% u" n* ^+ x+ c( N+ xbefore compliance with 19.13 of IEC 60335-1 is impaired”.
H.11.12.13 Replace the text by the following:
The software and safety related hardware under its control shall initialize and terminate
" C! Z1 S% ?6 [5 R0 E$ N( r, fbefore compliance with 19.13 of IEC 60335-1 is impaired.

neutron

4. 家电软件评估——评估什么？
+ L7 k& W2 O! r5 F
' V# Q" v# ^9 z3 X目前许多人都是糊涂的：软件评估什么？了解软件评估的以为是黑盒白盒测试，其实跟黑盒测试毫无关系。
! W1 a/ u! O6 ^8 ~
先看IEC60335标准的目标：就是保证家电的安全使用；

有了电子电路，就要按照19.11.2测试，检查电路故障情况下安全是否得到保障；
" W. Y2 W+ S; ?; q: H: p
如果有保护电子电路，在19.11.2试验中它就要起作用；

在19.11.3中还要对保护电子电路进行故障模拟，同样是检查安全是否得到保障；当故障模拟试验进行到19.11.2的a）～f）时，由于同时要进行19.11.3的a）～f）故障模拟，这就出现了double faults状态；

7 r  h" ]. [/ U' {$ w如果保护电子电路使用的是可编程电子电路PEC，上述测试就是黑盒测试，检查安全保护功能是否完善。

这些保护功能相当于一个安全卫士，通过了19.11.2和19.11.3的测试，说明这个卫士称职；
- H4 y% f; E1 B. l' N" q
( ?0 u8 c+ S( j  L9 ~0 w问题来了，这个卫士称职归称职了，但要是他的身体状况不咋地，不能保证及时处理不安全现象，就不能保证安全功能及时实现，就是称职而不胜任；

这个时候就要对这个卫士进行体能评估，就要考虑他万一缺胳膊少腿中毒脑残怎么办，这就是软件评估的主要内容：控制故障/错误的措施。

5 V5 n3 N. k; D) W' o( n4 j# t故障/错误的发生地指的是智能控制器内部硬件，不是其它。对于单片机构成的控制器，就是要考虑哪个硬件出了问题，软件控制程序内应有保障器具使用安全的措施。

tianchi0305

不是很清楚

af204

很不错的内容，对软件评估这块，还不是很清楚，比较了解有兄弟可以多多介绍一下这方面的

bill.z

以本人经验，软件保护只能辅助性保护，真正的单一故障异常时此保护就不起作用啊！

安老盖

软件评估目前在国内都是一个盲点，真正有作而且做的好的，不知道有没有？

neutron

5. 家电安全功能软件——结构设计

+ r- l7 y2 A  o& {( k7 P0 s3 D要软件实现安全控制功能，同时要软件能够运转流畅，就要在设计阶段把好关，即避免错误的措施。

这方面在目前的标准中提得笼统，下面介绍Ed.5.0的要求。

- D/ ?" C% N/ V0 g$ B$ z( b软件安全要求规范应包括：
——每个要执行的安全相关功能的描述，包括响应时间：
  W2 K! K. O4 x3 S0 g2 C! @( X. i    ——涉及应用的功能，包括相关软件类别；
% _) n- U9 n7 G% f2 \    ——涉及检测、公布和管理软件或硬件故障的功能；
, c- B. g  L; N( L/ W# C7 x——软件和硬件之间接口的描述；
* c. S1 u3 [1 T& W& g. B——任何安全相关功能和非安全相关功能之间接口的描述；
——任何用于把源代码生成目标代码的编译器的描述，包括用于像库函数选项、存储模式、优化方法、SRAM细节、时钟等级及芯片细节的编译器开关设置的细节。
% x9 }9 d% }( C7 s9 d

2 T; ]+ S* g6 S$ o) F8 P软件结构规范应包括下列方面：
——控制软件故障/错误的技术和措施（参见R.2.2）。
——硬件与软件之间的相互作用。
——分成模块和指定安全功能的分配。
——模块的层与调用结构（控制流）。
——中断处理。
' H) t) s& ?0 T# _# r4 f——数据流及数据存取限制。
+ R1 G+ s0 M2 d7 J& ~——数据结构与存储。
0 c3 I' z7 w- N1 k5 r+ `( A; A——顺序和数据相关性的时间
3 u2 N2 Q; r( P! G- S+ a' M
: s. q5 b/ e! T3 g, {1 C% z/ k在评估过程中需要提供符合上述要求的证明文件，一般是利用下属框图来说明的：
9 y; V- q& ]/ V: _8 x' o——逻辑/功能块框图、
' R/ y: E# l# p; F# m. ~& x7 Z9 c——顺序框图、
——有限态机/状态转换框图、
* O3 z) X8 q+ W* u——数据流框图
0 F5 p1 ^# w6 W5 U9 |6 h3 N

7 j) C/ s& R% y( W, k6 H& @软件的功能需要模拟或刺激测试试验：
* E$ f  L; r: D& P3 z——正常操作期间出现的输入信号，
——预料发生的现象，
6 s# d* C2 \6 `: {/ j& Y——要求系统动作的不希望的情形。
- m0 H7 J# q+ d' ~9 v
目前，对大多数企业来说，由于条件限制，采用仿真器或直接使用产品无法实现这些模拟实验，可行的方法还是软件模拟。

neutron

引用第5楼bill.z于2010-02-21 13:30发表的  :
以本人经验，软件保护只能辅助性保护，真正的单一故障异常时此保护就不起作用啊！

软件保护功能是产品的保护功能之一，仔细看看19.11.2和19.11.3就会明白，单靠软件一路控制保护功能是不够的。

neutron

引用第6楼安老盖于2010-02-21 14:19发表的  :
9 M1 J7 p4 @5 k0 A! P3 g) ]软件评估目前在国内都是一个盲点，真正有作而且做的好的，不知道有没有？

1 N9 G) C5 @; C+ P0 p4 p
; \$ z7 {% [$ O: @; w: f' e- O. t0 F9 A
以往的测试经验在这里部分有用，就是非正常测试，提示安全功能是否到位，涉及软件分析评估就是另一个领域了，电工知识和经验不太容易入门。

neutron

6. 控制软件故障/错误的技术和措施
: Q* d$ \$ u7 g* A* F  |% p
  R& q" m9 l* Y& r0 H8 ]1 u1 |. D& s' J0 U这是考虑软件运行期间遇到故障/错误怎么办的问题。

; m/ a$ g6 }; f- d( q( K所谓故障fault，基本上是有单片机内部元器件问题引起软件工作不正常，通常划归为两种：stuck-at滞位和DC故障。

- z* \# a6 F# |% |& t0 verror，不是中文中“错误”的意思，这是翻译问题，应该称作“偏离”，即偏离正常值的一种现象，常见的如ADC/CDA转换。

# I' [7 E- {4 w& A& Tstuck-at故障就是电路不能正常反转，粘滞在某个电平的现象；
% L- ?: k/ P3 X! B+ o* W" p
DC=direct current 故障，也是一种stuck-at故障，一种短路故障，短路中的电平会发生变化，取决于哪根短路线强势。
, C* @# O2 \9 ?0 D: {
5 r1 m3 R& v7 y) \( f3 t一般软件设计人员不会考虑这些故障的，所以程序中不存在控制措施。
% Y  ]1 m+ i1 @5 `
! [% y$ X' l8 _0 M4 Y控制措施的作用就是，当软件运行中遇到这些故障/错误时，为了保障产品安全，即应当及时处理这些故障/错误，就是该断路就断路、该停机就停机，不要让危害发生。
- L$ U/ U$ F% u2 |6 v. _9 `' g
  I- c' H5 w! P( w1 f这就是标准对软件的要求。