关于家电软件评估-1

neutron

广东安规检测
有限公司提供：

小型摆管淋雨试验机

IPX5X6X7喷水试验机

1000L恒温恒湿箱

各种试验指现货

可程式恒温恒湿试验箱

水平垂直燃烧机

自动卷线器试验机

耐划痕试验机

各种灯头量规现货

灼热丝试验机现货

GB1002插头量规

IPX1-X7淋雨现货

IEC61347/UL935镇流器热试验箱

灯具防风罩

IK冲击试验机

UL498插头插座量规

VDE0620插头插座量规

稳定性试验台

家电温升测试角

针焰试验机现货

热电偶焊机现货

家电125mm试验指

E12灯头量规

无绳壶无绳电熨斗插拔寿命试验机

IEC60335试验指甲

现在有时间了，发一些关于家电软件评估的主题，欢迎大家一起讨论。

1. 软件评估的来源
% ?$ V5 D' {* y$ bIEC 60335-1:2004 （Ed.4.0:2001+A1:2004）《家用和类似用途电器的安全 第一部分 通用要求》第4.1版增加了“附录R 软件评估
. t' f8 T# i  m( k* n- b
& @- X1 M% F1 A5 X$ n- @2 [”和三个相关定义（3.9.3/3.9.4/3.9.5）。
5 n) K9 Z! Q: o$ i8 C/ v
  t. `& w, P) w9 EIEC 60335-1:2006（Ed.4.2）对附录R做了修改。

IEC60335-1 I-SH 01:2007对22.46做了解释，没有任何实质性变化。

IEC60335-1：2010 Ed.5.0对此作了全面的修改。取消了B/C类软件的分类，在通用要求中只提出了表R1的控制措施要求，相当于针

对B类软件；R2要求相当于C类软件。
& v( S) \7 q: b7 b% Y
0 [7 E# ?7 V) {& W4 o' y- ~2 y标准的变化反映了IEC TC61这帮电工们对软件评估这类现代技术不熟悉，但在逐渐改善。

目前国内使用的版本是GB4706.1-2005，相当于IEC60335-1：2001 + A1:2004。
6 {% f( p+ |+ Z+ k+ y
在CB认证中，按照IEC60335-1：2001 + A1:2004 +A2:2006；在3C认证中，具体实施软件评估时，对GB4706.1-2005做偏离说明，否则乱做多做对企业和工程师都无益。
2 j4 f8 O* c" M
2. 那些家电需要软件评估

/ k3 b0 `; d$ b( w内嵌可编程电子电路（PEC），就是单片机，用保护功能，就叫可编程保护电子电路，
! B% k/ o% C; [! h  z7 ]- y
/ \9 i+ @% ?2 v2 M' _8 ^保护功能：例如过热、爆炸、燃烧、电磁辐射、机械损伤，等等。
! T1 Z7 j0 Z+ R0 a0 `& K# D. N* m
/ K7 w, r& a" C" v目前看主要是电磁灶、微波炉、部份智能洗衣机、部份贮水式热水器、变频空调器，等等。
# I( b$ E9 ^# R) M6 A7 P/ |. g5 K

' @3 I- C4 ^7 K1 }0 K顺便说，由于软件评估费时费力，是不是能够绕开？
  M2 c! b1 L- q- h
回答：能！
* M$ \: b1 a% D& O" @0 O
1 r1 f( b+ m- `& l, {' s% b就是不考虑软件控制的保护功能。

+ t" X  I# k( D5 j7 m0 Q1 u但是，按照19.11.3的要求，就要进行double faults故障模拟，即要增加相当于软件控制的保护功能的硬件，可以实现，但很难成
: s% E, f: N, q4 d/ [& j$ ^
  V! a% R; o# N9 T功。
7 U! q; P& R' l6 X9 R! ]
（335-1 ed.4.1）19.11.3如果器具装有使器具符合第19章要求的保护电子电路，则按19.11.2 中a）~f）的要求，相关试验以模拟

6 d7 z0 a0 u, T6 [单一故障的方式重复进行。
8 ?6 C4 H/ R! M! P$ s
4 a) ?* l, ~) }. Y. @+ ged.4.2有个g）failure of an electronic power switching device in a partial turn-on mode with loss of gate (base)
/ `' D, b/ \6 r# o& U9 c: l) a
) I, _% ]# G+ K/ q6 C& V' M% fcontrol. During this test, winding temperatures shall not exceed the values given in 19.7.

以这条要求考核目前家电功率开关管的电路结构，基本上都不合格。
& ^- |9 d# T, h& ?" X1 L
' f7 u& N4 [' N  j- n$ q

6 X' i9 P5 o# h% D! a( h- ~3. 要求
' ]' o% m( ~/ ?% X# e+ j
& J) F" @* i5 X1 o! P( l以目前使用的标准IEC60335-1：2001 + A1:2004 +A2:2006

在第22章 结构 第22.46条：在保护电子电路中使用的软件，应为B类或C类软件。依据附录R通过软件评估确定其是否合格。

软件评估按照附录R要求进行，评估方法和流程程序采用了IEC 60730-1（GB14536.1）《家用和类似用途电自动控制器 第1部分：通

3 H, Q" [7 ~6 h7 f2 d2 n$ T  u  d6 b用要求》的附录H。

( F# I. k0 Z4 q- [  ~( Z- U2 k) m3.9.3保护电子电路protective electronic circuit
防止非正常运行状态下出现危险的电子电路。
注：电路中的部分也可以起到功能作用。
! I" e- W, w- h+ ~7 x* V" ?3 p

3.9.4 B级软件software classB
: }4 ?# i; g8 B: e" _; K5 y含有代码的软件，用于防止器具由于非软件故障而引起的危险。


3.9.5 C级软件software classC
; L9 V- U# N/ R+ F1 M  @9 Q/ o含有代码的软件，用于防止没有使用其他保护装置时出现的危险。
) O2 X* q$ r  w1 i
' L; f3 a, }$ x" o7 c+ E注意这个Ed.4.2与GB4706.1-2005版有不一致的地方
5 j9 B5 H) x1 `/ SAnnex R
(normative)
Software evaluation
Software shall be evaluated in accordance with the following clauses of Annex H of
IEC 60730-1, as modified below.
H.2 Definitions
$ i/ H) _% ?$ Q- t5 `- v9 k8 M) h3 hOnly definitions H.2.16 to H.2.20 are applicable.
H.7 Information
Only footnotes 12) to 16) and 18) of Table 7.2 are applicable.
In footnote 15), replace “the requirements of 17, 25, 26 and 27” by “19.13 of IEC 60335-1”
( R1 f% E: p' j2 k% iand replace “H.27” by “19.11.2 of IEC 60335-1”.
6 b- J* Z. X( G+ H6 ~5 s% b8 m: ^2 bH.11.12 Controls using software
All of the subclauses of H.11.12 as modified below are applicable, except subclauses
H.11.12.6 and H.11.12.6.1 which are not applicable.
In the second paragraph, replace “required in items 66 to 72 inclusive” by “referred to in
footnotes 12) to 16) and 18) inclusive”.
* c' x- Z/ p( p9 w% `$ D& QH.11.12.7 Delete “and identified in table 7.2, requirement 68”.
2 r7 d# I. Z5 O" z- F7 DH.11.12.7.1 Replace the text by the following:
For appliances using software class C having a single channel with self-test and monitoring
structure, the manufacturer shall provide the measures necessary to address the fault/errors
7 A; A% a6 k6 v  N( R( f( sin safety related segments and data indicated in Table H.11.12.7-1.
H.11.12.8 Replace the text by the following:
3 {6 {1 [$ D, W( w. F, B- p, i6 `6 wSoftware fault/error detection shall occur before compliance with 19.13 of IEC 60335-1 is
1 D& B5 e7 ?+ b& pimpaired.
+ Q# r" I: K! q% ^# S4 ?H.11.12.8.1 Replace “result in the response declared in table 7.2, requirement 72” by “occur
before compliance with 19.13 of IEC 60335-1 is impaired”.
H.11.12.13 Replace the text by the following:
/ \1 t' [3 P% S& d( Z$ q$ ~The software and safety related hardware under its control shall initialize and terminate
before compliance with 19.13 of IEC 60335-1 is impaired.

neutron

4. 家电软件评估——评估什么？

% r- y" p' G+ h目前许多人都是糊涂的：软件评估什么？了解软件评估的以为是黑盒白盒测试，其实跟黑盒测试毫无关系。

先看IEC60335标准的目标：就是保证家电的安全使用；
9 L1 e! n9 Y6 I' L
有了电子电路，就要按照19.11.2测试，检查电路故障情况下安全是否得到保障；

如果有保护电子电路，在19.11.2试验中它就要起作用；

9 r/ s" W4 {! y2 q$ c$ F9 s在19.11.3中还要对保护电子电路进行故障模拟，同样是检查安全是否得到保障；当故障模拟试验进行到19.11.2的a）～f）时，由于同时要进行19.11.3的a）～f）故障模拟，这就出现了double faults状态；
5 n- R! D. ]5 t$ Y5 q
2 ^' i  ^+ v& \4 W$ [如果保护电子电路使用的是可编程电子电路PEC，上述测试就是黑盒测试，检查安全保护功能是否完善。

这些保护功能相当于一个安全卫士，通过了19.11.2和19.11.3的测试，说明这个卫士称职；

0 _7 j6 _5 B4 t7 r: |7 a, [, R4 m问题来了，这个卫士称职归称职了，但要是他的身体状况不咋地，不能保证及时处理不安全现象，就不能保证安全功能及时实现，就是称职而不胜任；

& Y0 _* H7 O  W" A* n这个时候就要对这个卫士进行体能评估，就要考虑他万一缺胳膊少腿中毒脑残怎么办，这就是软件评估的主要内容：控制故障/错误的措施。

故障/错误的发生地指的是智能控制器内部硬件，不是其它。对于单片机构成的控制器，就是要考虑哪个硬件出了问题，软件控制程序内应有保障器具使用安全的措施。

tianchi0305

不是很清楚

af204

很不错的内容，对软件评估这块，还不是很清楚，比较了解有兄弟可以多多介绍一下这方面的

bill.z

以本人经验，软件保护只能辅助性保护，真正的单一故障异常时此保护就不起作用啊！

安老盖

软件评估目前在国内都是一个盲点，真正有作而且做的好的，不知道有没有？

neutron

5. 家电安全功能软件——结构设计
3 O( v; w& Y1 v& f7 c/ O
要软件实现安全控制功能，同时要软件能够运转流畅，就要在设计阶段把好关，即避免错误的措施。
" G. r* a% I: e  U
# d) J) W$ i" R0 N0 [4 R这方面在目前的标准中提得笼统，下面介绍Ed.5.0的要求。

. r0 ]" g1 Z" }' Q& n# d/ A) Q软件安全要求规范应包括：
——每个要执行的安全相关功能的描述，包括响应时间：
( G) d3 {% h' x" x7 x    ——涉及应用的功能，包括相关软件类别；
    ——涉及检测、公布和管理软件或硬件故障的功能；
——软件和硬件之间接口的描述；
- ]# \7 k3 `. U. t——任何安全相关功能和非安全相关功能之间接口的描述；
——任何用于把源代码生成目标代码的编译器的描述，包括用于像库函数选项、存储模式、优化方法、SRAM细节、时钟等级及芯片细节的编译器开关设置的细节。
6 p( |$ V( Q. r; ?( _0 `' e
! p2 \! F% }5 i, f# j. f9 p
% `- ]* y  k3 @2 Z软件结构规范应包括下列方面：
——控制软件故障/错误的技术和措施（参见R.2.2）。
——硬件与软件之间的相互作用。
7 w# E9 X. X/ y& j——分成模块和指定安全功能的分配。
% V5 V* v3 Z  s4 l9 X: ^6 ^* D——模块的层与调用结构（控制流）。
——中断处理。
% \( A2 U, n$ A6 z——数据流及数据存取限制。
0 l, [0 j0 H* ~' H- i& ?" F——数据结构与存储。
——顺序和数据相关性的时间

在评估过程中需要提供符合上述要求的证明文件，一般是利用下属框图来说明的：
2 C% m# q6 c, B3 o: O——逻辑/功能块框图、
1 g: A, `9 }5 k2 M; X- A——顺序框图、
! i. M4 e  T+ u1 j, W0 D  r——有限态机/状态转换框图、
——数据流框图


3 M  n$ t  H# P$ ]: F) t5 D软件的功能需要模拟或刺激测试试验：
1 R$ P7 z! V3 f+ j——正常操作期间出现的输入信号，
) K  x! {: P& k. f——预料发生的现象，
  `. s" B' X7 ~4 N/ d' q——要求系统动作的不希望的情形。
2 k, M" ~  h5 ^0 G; }' r
目前，对大多数企业来说，由于条件限制，采用仿真器或直接使用产品无法实现这些模拟实验，可行的方法还是软件模拟。

neutron

引用第5楼bill.z于2010-02-21 13:30发表的  :
以本人经验，软件保护只能辅助性保护，真正的单一故障异常时此保护就不起作用啊！

软件保护功能是产品的保护功能之一，仔细看看19.11.2和19.11.3就会明白，单靠软件一路控制保护功能是不够的。

neutron

引用第6楼安老盖于2010-02-21 14:19发表的  :
' I2 F8 c+ X7 N4 O* W9 q软件评估目前在国内都是一个盲点，真正有作而且做的好的，不知道有没有？

- e! x* j; E) v. {* z

% Y+ n+ I4 [8 n0 _# a, f以往的测试经验在这里部分有用，就是非正常测试，提示安全功能是否到位，涉及软件分析评估就是另一个领域了，电工知识和经验不太容易入门。

neutron

6. 控制软件故障/错误的技术和措施
- r- g- D& W9 k
4 ~4 w; y1 j; f$ `' f" {这是考虑软件运行期间遇到故障/错误怎么办的问题。
, x( Z' Y# |8 ]; k
所谓故障fault，基本上是有单片机内部元器件问题引起软件工作不正常，通常划归为两种：stuck-at滞位和DC故障。

0 t; v5 E6 W* w/ b. zerror，不是中文中“错误”的意思，这是翻译问题，应该称作“偏离”，即偏离正常值的一种现象，常见的如ADC/CDA转换。
) i- ^1 K) r9 {8 [
stuck-at故障就是电路不能正常反转，粘滞在某个电平的现象；
5 K) `* S3 u$ q7 X
DC=direct current 故障，也是一种stuck-at故障，一种短路故障，短路中的电平会发生变化，取决于哪根短路线强势。

一般软件设计人员不会考虑这些故障的，所以程序中不存在控制措施。
9 |$ ]6 I9 W2 ^# U
0 ^& T6 d" T2 E8 J控制措施的作用就是，当软件运行中遇到这些故障/错误时，为了保障产品安全，即应当及时处理这些故障/错误，就是该断路就断路、该停机就停机，不要让危害发生。

这就是标准对软件的要求。