关于家电软件评估-1

schwarzwald

广东安规检测
有限公司提供：

小型摆管淋雨试验机

IPX5X6X7喷水试验机

1000L恒温恒湿箱

各种试验指现货

可程式恒温恒湿试验箱

水平垂直燃烧机

自动卷线器试验机

耐划痕试验机

各种灯头量规现货

灼热丝试验机现货

GB1002插头量规

IPX1-X7淋雨现货

IEC61347/UL935镇流器热试验箱

灯具防风罩

IK冲击试验机

UL498插头插座量规

VDE0620插头插座量规

稳定性试验台

家电温升测试角

针焰试验机现货

热电偶焊机现货

家电125mm试验指

E12灯头量规

无绳壶无绳电熨斗插拔寿命试验机

IEC60335试验指甲

单片机的故障模型不只Stuck-at 和DC fault，另外还包括CF （Coupling Fault）PSF（patten sensetive fault）等等。当然这些故障模型用imarchC算法或者其改进算法可以检测，配合冗余校验和适当编码还可以纠正。然而这只是60730 附件H中的一小部分（335附件R引用730的附件H）。
' p1 ?  V. k2 ]% @9 h$ _另外还要参考IEC61508的部分要求。
: k& a( \/ G) c0 ^6 }) Xsoftware evaluation比较麻烦，国内似乎做的不多。
现在很多时候都绕过这一部分评估。
但是随着家电功能的越来越复杂，软件的安全作用越来越关键，这个评估早晚还是要做的。

引用第11楼neutron于2010-02-22 15:14发表的 关于家电软件评估-4 :
6. 控制软件故障/错误的技术和措施

这是考虑软件运行期间遇到故障/错误怎么办的问题。
. ~& k9 e7 U/ c! ?5 E- b9 \* C$ M
# ~; N3 Y7 X/ t8 M所谓故障fault，基本上是有单片机内部元器件问题引起软件工作不正常，通常划归为两种：stuck-at滞位和DC故障。
.......

schwarzwald

应该还是有的
# H0 H* ^3 }" N# ~0 j& Z0 ?; h很多控制板的厂还是有这个技术实力的。但是他们缺少的是安规的知识和经验
, [# e( [& m9 V+ j4 S6 g6 H. n' L既有控制电路的开发经验，又有安规知识的，可能就比较少了

引用第6楼安老盖于2010-02-21 14:19发表的  :
软件评估目前在国内都是一个盲点，真正有作而且做的好的，不知道有没有？

neutron

黑森林说的有道理。

60335-1引用了61508的部分措施；
0 n/ P9 M% n$ D3 i+ C! m- C+ y6 f& h! B
Stuck-at 和DC fault属于持续故障；
2 t7 C: Q" ^& ]% M4 Y  `/ y
5 h  \) j$ e  K/ C2 y4 u7 l4 pCF和PSF属于短时故障；

' f* }% x; K$ F6 y5 Y( DCF和PSF可能引发stuckat或DC故障，诸多诱因之一。

安老盖

Stuck-at是否就是常说的“死机”。

neutron

引用第13楼安老盖于2010-02-24 08:47发表的  :
( P& }# w4 S# B* K7 @2 Z( QStuck-at是否就是常说的“死机”。

+ ^; O0 i7 |+ o对整机来说，stuck-at就是“死机”；要是这样，软件算是过关了
0 \5 j  Y& e3 k! q- Y/ S
& h" E2 B3 ~/ N! L: T; M, D& `5 C. n要是某个元件或针脚"stuck-at"了，整机还在工作，这就麻烦了，对应的处理方法就是控制故障/错误的措施。

% j! D& W" h/ m8 Q% S335的要求针对的是安全控制功能。

neutron

7. 引起故障的常见原因
( K0 x3 v, [1 ]2 @( O4 `# i
stuck-at或DC故障是许多故障的归类，直觉感到这种分类太笼统，但一时也找不到更好的解释。

5 ?. p9 o0 ~, T5 N# _什么因素导致故障？标准没有说，因为太多的因素，估计编标准的人一时也反应不过来，这需要时间积累。
! O0 ]5 b8 B/ V# v
. V2 n) |3 h. y) y) N7 e常见的导致stuck-at或DC故障的因素是：
& R7 G6 z* k9 l* L8 ?3 y4 c4 ^
  J$ T) m6 n, F- |; v4 ?! l静电：集成电路内部的cmos管很容易击穿；
传导电磁骚扰：类似浪涌、脉冲群；
0 F0 q7 {' K9 w% Q! z机械损伤：跌落等；
$ ^- z% m& v, x( W- {/ }无线骚扰：外界和电路设计不当，导致信号失真；
其它的，大家补充

neutron

不好意思，最近开始忙起来了，抓紧时间把这个网上内容搞完整。
6 F) E6 h6 {( a6 _: k
上面讲了软件评估的概念，希望说的清楚，如有问题请大家提出来，我尽可能回答清楚。

下面主要讲控制故障/错误的措施，这是硬的要求，在程序中必须有的内容。

IEC60730-1 H.11.12.7 控制故障/错误的措施
# `+ a; K/ B6 d1 P
7 _0 A1 k. C5 w8 q/ b1 ]1 f

neutron

这个图片大家可以另存放大看。
% q* t0 M  [. i! c$ F
( Z8 E0 O$ r+ z它显示了所有的检查内容，很明显它所涉及的内容都是控制器硬件，就是考虑哪个部件一旦出现故障应该怎么办。
, |0 ~( j3 i7 @6 k6 Z. ?/ s
下面举例说明采取怎样的措施才可以。
! K2 |9 B" J2 H& P' d2 r2 _  @
以存储器为例，采用通用60335-1 Ed.5.0标准的要求，相当于B类软件。

* u7 S- ^0 Z3 r其措施如图：
; \9 Q' v$ H7 T, D0 f1 e3 j
* F+ O. h9 c/ `6 A% o

neutron

如 4.1不可变存储器，就是ROM，对应B类软件，有三种措施选项，任选一种或几种的组合：
% D3 l5 i' C1 ]# u$ m8 \$ B周期修改的检查和；或    H.2.19.3.1
& Q% d  H5 E5 s0 E. K6 d多重检查和            H.2.19.3.2
9 ]4 I! i" L$ r% |, K带有一位冗余的字保护    H.2.19.8.2

- y( D. V5 U, Z; X0 M  S这条要求中，就是选H.2.19.3.1或者H.2.19.3.2再加上H.2.19.8.2
8 X  n' b& Q. b; e- W6 Y
下面是这几条措施的定义，也就是方法，实现的途径很多，如何实现取决于编程员的个人偏好。
  M# f9 D7 a! S- ]
, X1 k. E8 U# s( p7 g4 z9 C& VH.2.19.3.1修改的检查和 modified checksum
7 a0 T" U0 G5 ]* ^* K产生并贮存代表贮存器中全部宇内容的一个单字的一种故障/错误控制技术。在自检期间，从相同的算法中形成一个检查和，并与被贮存的检查和比较。
, p6 w) ~9 x; c注:本技术识别所有奇错误和某些偶错误。
4 r) R, H" U' A2 M. \/ g+ l, P
H.2.19.3.2 多重检查和 multiple checksum
产生并贮存代表待测贮存区域内在的一个独*立字的一种故障/错误控制技术o 在自检期间，从相同的算法形成一个检查和并与为该区域的贮存的检查和比较。
注:本技术识别所有奇错误和某些偶错误。
) |* G7 h) b( [2 T0 U) z9 g5 |: M7 U* s
H.2.19.8.2 带有一位冗余的字保护 word protection with single bit redundancy
  F; E% G& F5 a把一位加到被试贮存器区域的每一字，并且贮存的一种故障/错误控制技术，产生的奇偶性或者为奇数或者为偶数。当读每一字时，进行奇偶性校验。
* v( M( k. j' V% @0 Q$ a9 r9 t注:本技术识别所有的奇数位错误

neutron

对于整个控制系统，控制措施的工作量很大，可能比使用功能的工作量还大，其间涉及到时间节点等问题，所以，程序员很头痛