|
|
对《关于家电软件评估-1》一贴的一些不同的意见
原帖链接:
& z4 v% _' u/ Bhttp://www.angui.org/read.php?tid-65358.html
- x5 x9 L3 {% x! @
' s; H( Z- A4 S2 k& R U$ r3 t看了这个贴子有些不同的意见,另开一个贴子进行说明一下。
, j. @7 ~5 i3 y3 G1.    软件评估的来源, 应该说是软件评估要求的来源。& ~; k$ G5 ]$ m# {& x( ^4 b& j& m$ B
软件评估的标准,讲的比较全的是IEC 61508 (Functional safety of electrical/electronic/programmable electronic safety-related systems)这个一个系列的标准,60335-1的annex R和60730的相关部分都是引用这里的一些内容的。
0 U/ w/ G5 g0 f1 ?! p/ ]+ i2.    那些家电需要软件评估
8 U1 ~ b) T5 U y& t8 `“顺便说,由于软件评估费时费力,是不是能够绕开? ~9 G, o8 j2 E! P! h! v3 q& ^6 G" [
* [ P9 \6 ~: @3 N& W* s
回答:能!
_1 `) v) M i) t- m ]! |( i6 C! H5 Q Z
就是不考虑软件控制的保护功能。# z( N2 t2 @, x3 H( O
- A% D T y1 p) ]2 y4 F3 z
但是,按照 19.11.3的要求,就要进行double faults故障模拟,即要增加相当于软件控制的保护功能的硬件,可以实现,但很难成0 U8 u" @* v5 n. L! u
0 r" B, V" J" i5 C: k功。1 k" ~8 s! ~+ M8 D
1 T, d2 M5 [0 Q' w* D8 f5 E(335-1 ed.4.1)19.11.3如果器具装有使器具符合第19章要求的保护电子电路,则按19.11.2 中a)~f)的要求,相关试验以模拟0 P$ t( V7 M! i1 ~# r6 p1 G
/ {- ~1 X+ q+ }" a6 I% x; e( m# S单 一故障的方式重复进行。( J: @3 ^- ]$ ?( n0 u) H
4 D8 t; ~% A/ {3 @" H' W3 Jed.4.2有个g)failure of an electronic power switching device in a partial turn-on mode with loss of gate (base) 7 R% m2 I( j4 U0 }% C
! g1 C6 \+ w0 M$ q; L, z6 w+ _
control. During this test, winding temperatures shall not exceed the values given in 19.7. " K9 x3 j4 m7 c, h- k7 C3 y
( }: b6 W* m. k8 m/ F
以这条要求考核目前家电功率开关管的电路结构,基本上都不合格。”
6 e1 S y. w5 i# E3 s8 h
2 s6 F$ H2 s$ u/ ^& S有些产品的结构从目前来看是没有硬件保护的,比如直流无刷电机,这个就必须通过软件保护。到目前为止没有看到过有通过硬件来保护的。另外通过60335 的19.11.3是不能完全来评估的,我们需要了解产品是怎么工作的,比如系统中的时钟频率出错,可能会导致多个元件不工作,这个需要通过软件来模拟的才能知道的。
5 m, O' u M7 e3.    要求: r2 i$ C6 A3 S G
关于class B和class C的定义$ T/ m F0 ^2 Y- \; ^9 @% M' T
3.9.4    B级软件software classB2 ~% k( Q& ? K# U
含有代码的软件,用于防止器具由于非软件故障而引起的危险。" |2 ^' d: e- p1 u9 t
/ c& W2 Z, I9 U4 W/ ]. {: ?) a# _( q) R6 B+ q
3.9.5 C级软件software classC, W: ]! Q0 I% Q% g$ k' D
含有代码的软件,用于防止没有使用其他保护装置时出现的危险。+ M$ H# ^& x! P+ d4 ]2 }2 f
现有的60335中的定义完全不可用,用这个是没有办法定义是class B还是Class C的,这里只是说了class B和Class C的作用,而没有说明什么是Class B和Class C, 估计今年新版的iec60335-1要发行了,里面会给出新的定义。其等级是根据保护失效后引起的危险程度来分的,具体在-2部分中指出,否者就是Class B。也就是说标准会告诉你软件等级的。 p c" E) D+ A4 m% D: h5 S+ }9 r
; y Y& J$ N( f6 j4.    家电软件评估——评估什么? u% u# l( k- Z5 j" {
这个是所有做软件评估的工程师要清楚的。但是可惜这个并没有讲清楚。其实软件评估实际上不是来评估软件的,它是用来评估硬件的,看一看,在annex R或60730的annex H中模拟的是哪些错误就知道了。因为在集成电路或芯片中,电子元件的开路和短路是没有办法通过实际的短路开路来实现,只能通过软件来模拟它失效的。众所周知的是计算机是二进制代码的,所有的存储是0和1两种形式,stuck-at是指其存储单元坏死,固定在0或者1上的。DC fault是指内部短路。芯片制造是刻一层线路涂一层很薄的绝缘很多层线路和绝缘层就组成了芯片。两个带电位的节点和这个绝缘会形成类似“电容”对任意两个节点短路就相当于对一个“电容”短路。当通过软件控制电子开关管的断开实现保护时,这个的评估是必然的,同时模拟两个错误也无法实现对软件的模拟。因为你不知道当芯片内的计数器或其他元件的出错是否会使所有的开关管失效。除非产品还有另外的机械保护器。
2 {3 w0 \5 o7 h# M9 h7 ]" P5.     家电安全功能软件——结构设计8 R4 L7 w8 w: |# q$ b8 ?
结构是设计并不是很难,如果不是产品本身有天生的缺陷的话,目前困扰中国厂家的是软件的拥有权,一般的厂家的线路板是外包的,而线路板的厂家的软件可能是请人设计的。而在做软件评估时,我们需要知道最底层的代码,如果整机厂家无法拿到这个代码并请软件工程师配合的话,根本无法做评估。软件评估必须请软件工程师一起来测试的!!!
, c( C; s+ ]( e. Z6.    控制软件故障/错误的技术和措施以及引起故障的常见原因
3 Q! C* j0 Q( C这个在annex R中已经有了,按照那个一个一个做就可以了, 60730的annex H和这个差不多的
, j( d0 m# u$ A7 V Z0 a, f0 D+ C7.    如何实现相对应的保护措施! K! ]. G4 O# f( ?
这个需要一些计算机硬件和软件的知识单不需要太深,知道一点就可以了,而且也可以边做案子边学习的。举个简单的例子,奇偶校验,一般计算机发出的指令都是一串二进制代码,如果01110110,把这个代码的所有的0和1相加得到5,也就是奇数,当有一个0变成1或有一个1变成0时,所有的1和0加起来就是偶数了,这时通过奇偶校验就会被发现,因为其接受的条件是指令代码必须是奇数,偶数就说明出错了,指令会被拒绝。另一个要知道的是,奇偶校验只能发现一位0或1出错的情况,当有两位数字同时出错,是发现不了的。所以在要求更高的class C软件中,奇偶校验被认为不能满足保护的要求。 |
|
|关于安规|小黑屋|安规QQ群|Archiver|手机版|安规网
( 粤ICP13023453-10 )
窥视卡
雷达卡
发表于 2010-3-29 15:37
显身卡