安规网

 找回密码
 注册安规
安规论坛 | 仪器设备 | 求职招聘 | 国家标准 公告 | 教程 | 家电 | 灯具 | 环保 | ITAV 签到 充值 在线 打卡 设备 好友| 帖子| 空间| 日志| 相册
IP淋雨机 | 证书查询 | 规范下载 | 资质查询 招聘 | 考试 | 线缆 | 玩具 | 标准 | 综 合 红包 邮箱 打卡 工资 禁言 分享| 记录| 道具| 勋章| 任务
水平垂直燃烧机 | 针焰 | 灼热丝 | 漏电起痕
IP防水防尘设备|拉力机|恒温恒湿|标准试验指
灯头量规|插头量规|静风烤箱|电池设备|球压
万年历 | 距元旦节还有
自2007年5月10日,安规网已运行
IP淋雨设备| 恒温恒湿箱| 拉力机| 医疗检测设备沙特Saber 埃及COI 中东GCC|CoC直接发证机构水平垂直燃烧机|灼热丝|针焰试验机|漏电起痕试验机
灯头量规|试验指|插头插座量规|灯具检测设备耐划痕试验机|可程式恒温恒湿试验箱 | 耦合器设备广东安规-原厂生产-满足标准-审核无忧
查看: 21414|回复: 55
打印 上一主题 下一主题

[IEC标准产品] 关于家电软件评估-1

[复制链接]
跳转到指定楼层
楼主
发表于 2010-2-20 16:38 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
广东安规检测
有限公司提供:
现在有时间了,发一些关于家电软件评估的主题,欢迎大家一起讨论。3 d( m, J; |2 P9 r4 y' q, g! l* M
" t2 w- U- o% [
1. 软件评估的来源
& ?! M+ h0 w# H+ }, K* AIEC 60335-1:2004 (Ed.4.0:2001+A1:2004)《家用和类似用途电器的安全 第一部分 通用要求》第4.1版增加了“附录R 软件评估
3 N5 E. r3 M) b0 {2 ~
4 e! T$ [( B7 a& x+ [# A& P# g' O”和三个相关定义(3.9.3/3.9.4/3.9.5)。
, Y' w# ]/ W. D3 |# H* Y8 e: [9 W6 S9 C+ \- i' H
IEC 60335-1:2006(Ed.4.2)对附录R做了修改。/ g* R" L/ M) q3 _8 H

. O! ~9 j1 V9 w0 K* Z: U2 VIEC60335-1 I-SH 01:2007对22.46做了解释,没有任何实质性变化。
" `7 ~& T1 Z- U( E& ~& W3 U
+ ~. P* A; n9 v" m% CIEC60335-1:2010 Ed.5.0对此作了全面的修改。取消了B/C类软件的分类,在通用要求中只提出了表R1的控制措施要求,相当于针
3 n) I" w3 W$ \& d: ~4 i. L5 v+ ]* [0 ]
对B类软件;R2要求相当于C类软件。
) k- E& y) o7 o3 }/ R8 v
. K1 A6 V, o; p( w0 U2 w$ K9 @$ n标准的变化反映了IEC TC61这帮电工们对软件评估这类现代技术不熟悉,但在逐渐改善。; G4 ]* g) `8 [1 E; w# G; e

- t* z* }8 B7 F  J2 A- X$ v目前国内使用的版本是GB4706.1-2005,相当于IEC60335-1:2001 + A1:2004。
. P8 c2 L3 x  s( d2 [% l# i" k; d# y1 i- ?  b! f
在CB认证中,按照IEC60335-1:2001 + A1:2004 +A2:2006;在3C认证中,具体实施软件评估时,对GB4706.1-2005做偏离说明,否则乱做多做对企业和工程师都无益。# A) }% o* ?+ B! J8 D
& R! I( |% W9 ~7 y( P
2. 那些家电需要软件评估
/ y% N4 X, Y* C; @; p4 `( V& \5 K$ [1 J) o+ u) y
内嵌可编程电子电路(PEC),就是单片机,用保护功能,就叫可编程保护电子电路,1 n6 ~" n$ _- V( S0 S
# {! `% f& d# p# o$ J. b, g
保护功能:例如过热、爆炸、燃烧、电磁辐射、机械损伤,等等。
; h4 X1 u& [5 z" i/ l
5 t( ]8 }9 F$ z% a& p( ?目前看主要是电磁灶、微波炉、部份智能洗衣机、部份贮水式热水器、变频空调器,等等。" |& [% i1 e' l( L" ~/ ~

5 Y8 b$ r6 B* @9 i
; [. r) r4 G3 x3 x$ ~4 U$ }顺便说,由于软件评估费时费力,是不是能够绕开?
+ b: \" m% X& g% B9 k/ `+ T% i* b* A. S" ]4 @
回答:能!& p9 m! {9 s3 a4 [
4 `+ F0 l" L, ^
就是不考虑软件控制的保护功能。+ [- O& g) Q, L0 T7 u, n
: b$ u# e/ c# v2 K9 g; R' Z: ]
但是,按照19.11.3的要求,就要进行double faults故障模拟,即要增加相当于软件控制的保护功能的硬件,可以实现,但很难成
2 ~; T9 l( \7 |; S5 U7 k- F2 y$ i9 w6 N! s
功。' f4 ^# D: x, \/ i9 m! L, P

0 n( d5 e7 N' d(335-1 ed.4.1)19.11.3如果器具装有使器具符合第19章要求的保护电子电路,则按19.11.2 中a)~f)的要求,相关试验以模拟' @& \# C! C9 w
: \/ p1 {! o- Y  p1 b* {
单一故障的方式重复进行。8 N  J$ G' G- E: k1 c" Z! t

* V) O4 {9 j* `9 Ied.4.2有个g)failure of an electronic power switching device in a partial turn-on mode with loss of gate (base)
' j# s4 h/ u2 I& K% w5 [% t$ {0 g  K, O* x. t
control. During this test, winding temperatures shall not exceed the values given in 19.7. + |+ K( ~  S) {: j4 I9 g( j9 p9 E& D$ \
) z/ |6 W2 B6 ^, R9 N
以这条要求考核目前家电功率开关管的电路结构,基本上都不合格。
$ D/ E( P) D6 r& n! J8 d( J+ T: B4 H
3 R5 j& u9 z, P7 M. j

! O+ C. u* P, V2 Y. `3. 要求
% y; j" C  V, m6 Q: c4 u8 l- ^/ G) W; K4 O* b
以目前使用的标准IEC60335-1:2001 + A1:2004 +A2:2006
9 e6 v9 ~: v2 ~
$ e* T& o4 l( r4 J* J1 x. n9 W在第22章 结构 第22.46条:在保护电子电路中使用的软件,应为B类或C类软件。依据附录R通过软件评估确定其是否合格。/ V" I, }' {, `7 j, a. }

7 U, ?0 x- w% L9 s  t$ E5 b软件评估按照附录R要求进行,评估方法和流程程序采用了IEC 60730-1(GB14536.1)《家用和类似用途电自动控制器 第1部分:通
+ E3 ~8 Z1 W# o7 |
! A+ O9 `, x$ w) l6 M- s用要求》的附录H。
: [6 G/ W# I2 I: J  F# a
9 c, B; I# C! r: F. I: [3.9.3保护电子电路protective electronic circuit
& e9 {; Z( Y) X# {4 W# B/ `防止非正常运行状态下出现危险的电子电路。
! x! w6 r) O7 `注:电路中的部分也可以起到功能作用。
: @: U/ I) P/ }( z* d6 X  S
: d# f, Q% P) N5 U" b  y- W" p1 t8 T# l) {6 G5 U9 F& Y, _! m
3.9.4 B级软件software classB
( _- G1 Y' O0 b$ ]4 T含有代码的软件,用于防止器具由于非软件故障而引起的危险。
+ \- \% H# O; X3 j& a$ c  B+ S$ s. ?, K# g$ r% O  t
7 V- r' `$ {! b! a5 h" w- [" A' O
3.9.5 C级软件software classC8 k" o! R0 g$ O# v! g
含有代码的软件,用于防止没有使用其他保护装置时出现的危险。
$ t+ O( D; L5 d6 |0 D, o2 ^. L. I) T3 G2 y+ y
注意这个Ed.4.2与GB4706.1-2005版有不一致的地方
1 N3 _- p4 y9 T, b* qAnnex R0 O% m) q0 A" @" {: {5 W5 y8 v. D
(normative)" I  v! C5 i2 w" Z) U
Software evaluation
  L1 U" r7 J% @; pSoftware shall be evaluated in accordance with the following clauses of Annex H of
8 ^* V& c0 W$ I  g$ gIEC 60730-1, as modified below.5 D# y5 G1 S8 q2 V1 s$ z/ ^  |# u
H.2 Definitions
# e' k+ @8 a$ S8 a' U- P( nOnly definitions H.2.16 to H.2.20 are applicable.. a) f; I( b0 Y9 `- g, L
H.7 Information3 [/ I; a' ]: H7 Z0 _
Only footnotes 12) to 16) and 18) of Table 7.2 are applicable.
! p) n% K* D. G$ B6 K+ WIn footnote 15), replace “the requirements of 17, 25, 26 and 27” by “19.13 of IEC 60335-1”
( f- V% m4 k7 P! l$ x' d) land replace “H.27” by “19.11.2 of IEC 60335-1”.
7 d# j" @* v" o, c$ }6 jH.11.12 Controls using software
$ [, W( W+ o- t3 ]1 RAll of the subclauses of H.11.12 as modified below are applicable, except subclauses& L& m4 S# Y* Z, C. X# c1 E
H.11.12.6 and H.11.12.6.1 which are not applicable.7 V$ J$ d2 ?5 d. e
In the second paragraph, replace “required in items 66 to 72 inclusive” by “referred to in
$ ~* p7 T& O, `footnotes 12) to 16) and 18) inclusive”.
/ w. f, }$ V  U8 t1 f6 fH.11.12.7 Delete “and identified in table 7.2, requirement 68”.6 ~. M+ n( d* \, @; Y
H.11.12.7.1 Replace the text by the following:
5 u' E, f9 a0 R0 uFor appliances using software class C having a single channel with self-test and monitoring
. f& U: `7 k* Y, d+ l5 Astructure, the manufacturer shall provide the measures necessary to address the fault/errors
' S' N- U- k, U! H7 {  c& Ein safety related segments and data indicated in Table H.11.12.7-1.
, R6 l- O8 p1 }# PH.11.12.8 Replace the text by the following:2 T* S: `5 I6 g( D! B
Software fault/error detection shall occur before compliance with 19.13 of IEC 60335-1 is: R# z" h& r3 k. E4 Y1 Y
impaired.. l0 }4 e. L$ _" @; x/ q. Z8 h
H.11.12.8.1 Replace “result in the response declared in table 7.2, requirement 72” by “occur
2 K6 d( E& q3 l4 f9 sbefore compliance with 19.13 of IEC 60335-1 is impaired”.( o: v) m6 r! N6 E1 r+ w3 ]
H.11.12.13 Replace the text by the following:0 @4 E, [4 Q/ g
The software and safety related hardware under its control shall initialize and terminate
7 {; m' [8 p* Z+ \9 N& Q0 rbefore compliance with 19.13 of IEC 60335-1 is impaired.

评分

参与人数 1安规金币 +6 收起 理由
往事如烟 + 6

查看全部评分

沙发
 楼主| 发表于 2010-2-20 17:12 | 只看该作者

关于家电软件评估-2

4. 家电软件评估——评估什么?
# Z2 M# p6 O; A! S, r9 _+ y5 j! x* V' W- [
目前许多人都是糊涂的:软件评估什么?了解软件评估的以为是黑盒白盒测试,其实跟黑盒测试毫无关系。$ d3 j% @- T4 d
; K; |7 q6 g5 h& S8 O/ n& W
先看IEC60335标准的目标:就是保证家电的安全使用;
$ |: \8 x. M* h$ H$ G8 P9 V/ A: d1 b* y+ a
有了电子电路,就要按照19.11.2测试,检查电路故障情况下安全是否得到保障;7 C* w4 l' n% D9 H8 t- E5 g% N

6 w8 u, ^" C0 [  z5 w9 K5 e如果有保护电子电路,在19.11.2试验中它就要起作用;, A# ^+ d1 w7 F% @4 _9 W
+ g# V4 j( F/ T, F6 H% \) p
在19.11.3中还要对保护电子电路进行故障模拟,同样是检查安全是否得到保障;当故障模拟试验进行到19.11.2的a)~f)时,由于同时要进行19.11.3的a)~f)故障模拟,这就出现了double faults状态;( G. l' t9 Z! G) J: v: q% O
- R' B6 L8 G6 {, x( L: }/ o. w
如果保护电子电路使用的是可编程电子电路PEC,上述测试就是黑盒测试,检查安全保护功能是否完善。4 E' Y( |0 i4 [7 c! D# R8 g

8 b; V. x4 `# A这些保护功能相当于一个安全卫士,通过了19.11.2和19.11.3的测试,说明这个卫士称职;/ s# P* U" l0 {! X
9 S: ^# d2 V) D# X5 G  y
问题来了,这个卫士称职归称职了,但要是他的身体状况不咋地,不能保证及时处理不安全现象,就不能保证安全功能及时实现,就是称职而不胜任;
, F1 E8 n; B0 k4 l( i; ?  A  C9 }5 a0 N) P! i& N4 Q: X. C
这个时候就要对这个卫士进行体能评估,就要考虑他万一缺胳膊少腿中毒脑残怎么办,这就是软件评估的主要内容:控制故障/错误的措施。
6 h' Y: v* `* A
. G* r3 J2 }9 p5 ?2 G0 ^( x/ r+ t* ]) M故障/错误的发生地指的是智能控制器内部硬件,不是其它。对于单片机构成的控制器,就是要考虑哪个硬件出了问题,软件控制程序内应有保障器具使用安全的措施。

评分

参与人数 1安规金币 +6 收起 理由
往事如烟 + 6

查看全部评分

板凳
发表于 2010-2-20 17:42 | 只看该作者
不是很清楚
地板
发表于 2010-2-21 10:09 | 只看该作者
很不错的内容,对软件评估这块,还不是很清楚,比较了解有兄弟可以多多介绍一下这方面的
5#
发表于 2010-2-21 13:30 | 只看该作者
以本人经验,软件保护只能辅助性保护,真正的单一故障异常时此保护就不起作用啊!
6#
发表于 2010-2-21 14:19 | 只看该作者
软件评估目前在国内都是一个盲点,真正有作而且做的好的,不知道有没有?
7#
 楼主| 发表于 2010-2-21 14:54 | 只看该作者

关于家电软件评估-3

5. 家电安全功能软件——结构设计
- t' l+ R( e0 W# E% Q/ m- s+ x2 k4 U! [& _0 q
要软件实现安全控制功能,同时要软件能够运转流畅,就要在设计阶段把好关,即避免错误的措施。
: l) H3 N9 r" a8 C( D. q* C
0 Q( l3 ^2 n& s: B: T- k! L7 D, l这方面在目前的标准中提得笼统,下面介绍Ed.5.0的要求。
/ s) ]$ ?/ h& k% N! N) r! n6 n3 {3 z  s8 V0 G1 w/ O& p
软件安全要求规范应包括:
! Y% R" c6 J/ t+ G7 A+ `/ {——每个要执行的安全相关功能的描述,包括响应时间:8 p' L# Z& k2 \' d2 v) `' D2 _) N
    ——涉及应用的功能,包括相关软件类别;$ Z# M# ^3 g& }; y/ R/ _: e1 g
    ——涉及检测、公布和管理软件或硬件故障的功能;
  z8 d3 L) k8 S9 Z——软件和硬件之间接口的描述;
& Z$ ]6 b7 N  X& T; W, H: i——任何安全相关功能和非安全相关功能之间接口的描述;) B5 l5 X) c4 {9 Y3 y
——任何用于把源代码生成目标代码的编译器的描述,包括用于像库函数选项、存储模式、优化方法、SRAM细节、时钟等级及芯片细节的编译器开关设置的细节。$ u1 \2 `/ f) I5 G
' J% l& g) F7 {) d8 j1 T$ B

8 G! p/ L1 F9 ]+ w. W. d软件结构规范应包括下列方面:' Q$ X6 k6 K8 g3 o) w) V1 d
——控制软件故障/错误的技术和措施(参见R.2.2)。
1 }( T7 P0 X$ c: u——硬件与软件之间的相互作用。
6 _1 g) v% Z* `$ p8 y* V; {——分成模块和指定安全功能的分配。
: [1 }! _# e- h$ |——模块的层与调用结构(控制流)。' O" T: R- E4 u$ U
——中断处理。# y9 _) M5 |2 B: _5 m: `& v
——数据流及数据存取限制。
; ]. D+ g" ?3 w+ U——数据结构与存储。/ F: Y& ~# |. _  y2 Y- z( h
——顺序和数据相关性的时间+ n+ Z# w& G+ p* L6 ~/ P
; t8 O% K/ e% W5 [) N7 k6 G
在评估过程中需要提供符合上述要求的证明文件,一般是利用下属框图来说明的:9 ^, t5 D& p0 A; G7 X4 z( c
——逻辑/功能块框图、
) j( H& ?7 w, C6 _! P% J——顺序框图、( E( l) d, B: @0 r
——有限态机/状态转换框图、
, j  |" F# x- Y6 D6 u——数据流框图
/ q; v, `) n8 p& H2 w* \; l* E9 _0 {$ f  ^* c

5 l- B" S/ [8 o4 K2 Y4 e  n软件的功能需要模拟或刺激测试试验:
/ C4 g' m6 E- C3 C$ z——正常操作期间出现的输入信号,3 `  @: r9 x! B  |3 G
——预料发生的现象,. m5 _+ j% R% L! }' Y' _
——要求系统动作的不希望的情形。
3 {5 O$ u; N) G! E& ?3 y
" m9 b, F2 e( ^' m; f目前,对大多数企业来说,由于条件限制,采用仿真器或直接使用产品无法实现这些模拟实验,可行的方法还是软件模拟。

评分

参与人数 2安规金币 +8 收起 理由
indeed_zc + 2 安规好帖很给力!
往事如烟 + 6

查看全部评分

8#
 楼主| 发表于 2010-2-21 15:00 | 只看该作者
引用第5楼bill.z于2010-02-21 13:30发表的  :8 {& f$ N- i/ g  _: y, f, e1 _
以本人经验,软件保护只能辅助性保护,真正的单一故障异常时此保护就不起作用啊!
  c" ~6 c" T6 \
软件保护功能是产品的保护功能之一,仔细看看19.11.2和19.11.3就会明白,单靠软件一路控制保护功能是不够的。
9#
 楼主| 发表于 2010-2-21 15:12 | 只看该作者
引用第6楼安老盖于2010-02-21 14:19发表的  :6 B3 ]# g; e5 V$ M
软件评估目前在国内都是一个盲点,真正有作而且做的好的,不知道有没有?

3 f8 f) k! j" q( f" `" E  ~5 K' i3 }. v- n

& \( o3 ^: E: W2 k; ^; e+ V以往的测试经验在这里部分有用,就是非正常测试,提示安全功能是否到位,涉及软件分析评估就是另一个领域了,电工知识和经验不太容易入门。
10#
 楼主| 发表于 2010-2-22 15:14 | 只看该作者

关于家电软件评估-4

6. 控制软件故障/错误的技术和措施1 x1 r6 ?0 u: V

; W: {1 b* l" o4 [- D6 n% }! v这是考虑软件运行期间遇到故障/错误怎么办的问题。
9 n; R2 P& z: Y: L6 x2 ?; g! p. B) }3 R- ~" Z/ F- @* `# s; u
所谓故障fault,基本上是有单片机内部元器件问题引起软件工作不正常,通常划归为两种:stuck-at滞位和DC故障。
; L2 m; P; n. G
* n. P7 G7 s: v6 i2 D6 Z$ q' Gerror,不是中文中“错误”的意思,这是翻译问题,应该称作“偏离”,即偏离正常值的一种现象,常见的如ADC/CDA转换。
6 T5 t, z- I9 c& x( |" u! R6 {# n6 Z( B7 ]3 ^3 ]9 m
stuck-at故障就是电路不能正常反转,粘滞在某个电平的现象;$ @2 Y/ f# ^# u+ u& k" W% w! s# A

  J  i- h) Y: H: ^1 TDC=direct current 故障,也是一种stuck-at故障,一种短路故障,短路中的电平会发生变化,取决于哪根短路线强势。
2 }" E" a+ J7 [. j+ M* r# q; _' w- Z8 k# J# E2 |! l8 R
一般软件设计人员不会考虑这些故障的,所以程序中不存在控制措施。
7 R  ^$ W2 {4 C# m
$ \6 h& k' u" R% O4 H控制措施的作用就是,当软件运行中遇到这些故障/错误时,为了保障产品安全,即应当及时处理这些故障/错误,就是该断路就断路、该停机就停机,不要让危害发生。3 M6 ^+ Z* z; l: d

8 Z7 i5 A; {& J6 i# c1 U. u这就是标准对软件的要求。

评分

参与人数 1安规金币 +6 收起 理由
往事如烟 + 6

查看全部评分

您需要登录后才可以回帖 登录 | 注册安规

本版积分规则

关闭

安规网为您推荐上一条 /1 下一条

QQ|关于安规|小黑屋|安规QQ群|Archiver|手机版|安规网 ( 粤ICP13023453-10 )

GMT+8, 2024-11-5 20:31 , Processed in 0.074295 second(s), 27 queries .

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表