关于家电软件评估-1

schwarzwald

广东安规检测
有限公司提供：

小型摆管淋雨试验机

IPX5X6X7喷水试验机

1000L恒温恒湿箱

各种试验指现货

可程式恒温恒湿试验箱

水平垂直燃烧机

自动卷线器试验机

耐划痕试验机

各种灯头量规现货

灼热丝试验机现货

GB1002插头量规

IPX1-X7淋雨现货

IEC61347/UL935镇流器热试验箱

灯具防风罩

IK冲击试验机

UL498插头插座量规

VDE0620插头插座量规

稳定性试验台

家电温升测试角

针焰试验机现货

热电偶焊机现货

家电125mm试验指

E12灯头量规

无绳壶无绳电熨斗插拔寿命试验机

IEC60335试验指甲

单片机的故障模型不只Stuck-at 和DC fault，另外还包括CF （Coupling Fault）PSF（patten sensetive fault）等等。当然这些故障模型用imarchC算法或者其改进算法可以检测，配合冗余校验和适当编码还可以纠正。然而这只是60730 附件H中的一小部分（335附件R引用730的附件H）。
6 v8 C! f5 _% M* W( g* d另外还要参考IEC61508的部分要求。
+ T: Z& @% `. h; [) F# g) }software evaluation比较麻烦，国内似乎做的不多。
现在很多时候都绕过这一部分评估。
但是随着家电功能的越来越复杂，软件的安全作用越来越关键，这个评估早晚还是要做的。

引用第11楼neutron于2010-02-22 15:14发表的 关于家电软件评估-4 :
6. 控制软件故障/错误的技术和措施

这是考虑软件运行期间遇到故障/错误怎么办的问题。

" ^$ ]- k$ z1 R, S; U7 V所谓故障fault，基本上是有单片机内部元器件问题引起软件工作不正常，通常划归为两种：stuck-at滞位和DC故障。
.......

schwarzwald

应该还是有的
很多控制板的厂还是有这个技术实力的。但是他们缺少的是安规的知识和经验
既有控制电路的开发经验，又有安规知识的，可能就比较少了

引用第6楼安老盖于2010-02-21 14:19发表的  :
9 |% J  Q$ Q# T2 F" T$ P& ~  r软件评估目前在国内都是一个盲点，真正有作而且做的好的，不知道有没有？

neutron

黑森林说的有道理。
  ^5 k5 K3 v) d. {
60335-1引用了61508的部分措施；

Stuck-at 和DC fault属于持续故障；

CF和PSF属于短时故障；
* J: C4 s5 j0 l) x
: m$ F5 ^7 O$ j0 qCF和PSF可能引发stuckat或DC故障，诸多诱因之一。

安老盖

Stuck-at是否就是常说的“死机”。

neutron

引用第13楼安老盖于2010-02-24 08:47发表的  :
Stuck-at是否就是常说的“死机”。

6 V: p1 p. X, O3 T. Y7 b对整机来说，stuck-at就是“死机”；要是这样，软件算是过关了
- y3 F, Z1 e) q4 C- L/ ~' D
+ s3 r! u+ u' M) H' ^0 ]要是某个元件或针脚"stuck-at"了，整机还在工作，这就麻烦了，对应的处理方法就是控制故障/错误的措施。

335的要求针对的是安全控制功能。

neutron

7. 引起故障的常见原因

stuck-at或DC故障是许多故障的归类，直觉感到这种分类太笼统，但一时也找不到更好的解释。

什么因素导致故障？标准没有说，因为太多的因素，估计编标准的人一时也反应不过来，这需要时间积累。

常见的导致stuck-at或DC故障的因素是：
# }/ c+ z6 `% ]3 ]9 P
静电：集成电路内部的cmos管很容易击穿；
传导电磁骚扰：类似浪涌、脉冲群；
机械损伤：跌落等；
无线骚扰：外界和电路设计不当，导致信号失真；
- W, F* E4 E/ G; R& b" H; r其它的，大家补充

neutron

不好意思，最近开始忙起来了，抓紧时间把这个网上内容搞完整。
) c$ U2 |6 `* ?8 l# y0 Y
上面讲了软件评估的概念，希望说的清楚，如有问题请大家提出来，我尽可能回答清楚。
9 b- X& A4 [4 [: [* a3 V' Y
下面主要讲控制故障/错误的措施，这是硬的要求，在程序中必须有的内容。

' i# h, p! G+ Z( j; C  TIEC60730-1 H.11.12.7 控制故障/错误的措施
  [1 P' v* n  N
/ x6 U4 ?3 l' s) G9 F; P

neutron

这个图片大家可以另存放大看。

. e7 R% U" \/ D1 h7 z# {7 n$ N它显示了所有的检查内容，很明显它所涉及的内容都是控制器硬件，就是考虑哪个部件一旦出现故障应该怎么办。

下面举例说明采取怎样的措施才可以。

& _3 v; h. ^" J4 N$ u; d6 y& P, V, U以存储器为例，采用通用60335-1 Ed.5.0标准的要求，相当于B类软件。

其措施如图：
- Q" w  {* h( @+ F
' K& I% W8 p+ b5 h- s

neutron

如 4.1不可变存储器，就是ROM，对应B类软件，有三种措施选项，任选一种或几种的组合：
- l' E1 d, Y: r周期修改的检查和；或    H.2.19.3.1
多重检查和            H.2.19.3.2
0 B3 o" p4 e2 [  c+ B带有一位冗余的字保护    H.2.19.8.2
# C3 _% g0 P& D4 W* w; g7 m
这条要求中，就是选H.2.19.3.1或者H.2.19.3.2再加上H.2.19.8.2
7 G" p. p0 c6 O: {/ G( j4 r7 N
下面是这几条措施的定义，也就是方法，实现的途径很多，如何实现取决于编程员的个人偏好。

: M0 @! |8 w! A+ n' ^9 t; wH.2.19.3.1修改的检查和 modified checksum
3 Z# G: i2 n$ X6 f3 f! H产生并贮存代表贮存器中全部宇内容的一个单字的一种故障/错误控制技术。在自检期间，从相同的算法中形成一个检查和，并与被贮存的检查和比较。
注:本技术识别所有奇错误和某些偶错误。
: j+ I/ s: i7 ]8 z' h: }
" R; O4 N1 ~: ?" C; {) \H.2.19.3.2 多重检查和 multiple checksum
产生并贮存代表待测贮存区域内在的一个独*立字的一种故障/错误控制技术o 在自检期间，从相同的算法形成一个检查和并与为该区域的贮存的检查和比较。
) j) [4 p0 {  ]( m: r0 ?注:本技术识别所有奇错误和某些偶错误。

H.2.19.8.2 带有一位冗余的字保护 word protection with single bit redundancy
把一位加到被试贮存器区域的每一字，并且贮存的一种故障/错误控制技术，产生的奇偶性或者为奇数或者为偶数。当读每一字时，进行奇偶性校验。
1 G. Q3 b' W, R: V$ r2 M  r注:本技术识别所有的奇数位错误

neutron

对于整个控制系统，控制措施的工作量很大，可能比使用功能的工作量还大，其间涉及到时间节点等问题，所以，程序员很头痛