关于家电软件评估.docx
《关于家电软件评估.docx》由会员分享,可在线阅读,更多相关《关于家电软件评估.docx(12页珍藏版)》请在冰点文库上搜索。
关于家电软件评估
关于家电软件评估
一、软件评估的来源
IEC60335-1:
2004()《家用和类似用途电器的平安第一部份通用要求》第版增加了“附录R软件评估”和三个相关概念(/)。
IEC60335-1:
2006()对附录R做了修改。
IEC60335-1I-SH01:
2007对做了说明,没有任何实质性转变。
IEC60335-1:
2020对此作了全面的修改。
取消了B/C类软件的分类,在通用要求中只提出了表R1的操纵方法要求,相当于针对B类软件;R2要求相当于C类软件。
标准的转变反映了IECTC61这帮电工们对软件评估这种现代技术不熟悉,但在慢慢改善。
目前国内利用的版本是,相当于IEC60335-1:
2001+A1:
2004。
在CB认证中,依照IEC60335-1:
2001+A1:
2004+A2:
2006;在3C认证中,具体实施软件评估时,对做偏离说明,不然乱做多做对企业和工程师都无益。
软件评估的来源,应该说是软件评估要求的来源。
软件评估的标准,讲的比较全的是IEC61508(Functionalsafetyofelectrical/electronic/programmableelectronicsafety-relatedsystems)那个一个系列的标准,60335-1的annexR和60730的相关部份都是引用那个地址的一些内容的。
2、那些家电需要软件评估
内嵌可编程电子电路(PEC),确实是单片机,用爱惜功能,就叫可编程爱惜电子电路,
爱惜功能:
例如过热、爆炸、燃烧、电磁辐射、机械损伤,等等。
目前看主若是电磁灶、微波炉、部份智能洗衣机、部份贮水式热水器、变频空调器,等等。
软件评估费时费力,是不是能够绕开?
回答:
能!
确实是不考虑软件操纵的爱惜功能。
可是,依照的要求,就要进行doublefaults故障模拟,即要增加相当于软件操纵的爱惜功能的硬件,能够实现,但很难成功。
(335-1)若是器具装有使器具符合第19章要求的爱惜电子电路,那么按中a)~f)的要求,相关实验以模拟单一故障的方式重复进行。
有个g)failureofanelectronicpowerswitchingdeviceinapartialturn-onmodewithlossofgate(base)control.Duringthistest,windingtemperaturesshallnotexceedthevaluesgivenin.
以这条要求考核目前家电功率开关管的电路结构,大体上都不合格。
有些产品的结构从目前来看是没有硬件爱惜的,比如直流无刷电机,那个就必需通过软件爱惜。
到目前为止没有看到过有通过硬件来爱惜的。
另外通过60335的是不能完全来评估的,咱们需要了解产品是怎么工作的,比如系统中的时钟频率犯错,可能会致使多个元件不工作,那个需要通过软件来模拟的才能明白的。
3、要求
以目前利用的标准IEC60335-1:
2001+A1:
2004+A2:
2006
在第22章结构第条:
在爱惜电子电路中利用的软件,应为B类或C类软件。
依据附录R通过软件评估确信其是不是合格。
软件评估依照附录R要求进行,评估方式和流程程序采纳了IEC60730-1()《家用和类似用途电自动操纵器第1部份:
通用要求》的附录H。
爱惜电子电路protectiveelectroniccircuit避免非正常运行状态下显现危险的电子电路。
注:
电路中的部份也能够起到功能作用。
B级软件softwareclassB
含有代码的软件,用于避免器具由于非软件故障而引发的危险。
3.C级软件softwareclassC
含有代码的软件,用于避免没有利用其他爱惜装置时显现的危险。
现有的60335中的概念完全不可用,用那个是没有方法概念是classB仍是ClassC的,那个地址只是说了classB和ClassC的作用,而没有说明什么是ClassB和ClassC,估量今年新版的IEC60335-1要发行了,里面会给出新的概念。
其品级是依照爱惜失效后引发的危险程度来分的,具体在-2部份中指出,否者确实是ClassB。
也确实是说标准会告知你软件品级的。
注意那个与版有不一致的地址
AnnexR
(normative)
Softwareevaluation
SoftwareshallbeevaluatedinaccordancewiththefollowingclausesofAnnexHofIEC60730-1,asmodifiedbelow.
Definitions
Onlydefinitionstoareapplicable.
Information
Onlyfootnotes12)to16)and18)ofTableareapplicable.
Infootnote15),replace“therequirementsof17,25,26and27”by“ofIEC60335-1”andreplace“H.27”by“ofIEC60335-1”.
Controlsusingsoftware
Allofthesubclausesofasmodifiedbelowareapplicable,exceptsubclauses
11.12.6awhicharenotapplicable.
Inthesecondparagraph,replace“requiredinitems66to72inclusive”by“referredtoinfootnotes12)to16)and18)inclusive”.
H.Delete“andidentifiedintable,requirement68”.
H..1Replacethetextbythefollowing:
ForappliancesusingsoftwareclassChavingasinglechannelwithself-testandmonitoringstructure,themanufacturershallprovidethemeasuresnecessarytoaddressthefault/errorsinsafetyrelatedsegmentsanddataindicatedinTable.
H.Replacethetextbythefollowing:
Softwarefault/errordetectionshalloccurbeforecompliancewithofIEC60335-1isimpaired.
H..1Replace“resultintheresponsedeclaredintable,requirement72”by“occurbeforecompliancewithofIEC60335-1isimpaired”.
H.Replacethetextbythefollowing:
ThesoftwareandsafetyrelatedhardwareunderitscontrolshallinitializeandterminatebeforecompliancewithofIEC60335-1isimpaired.
4、家电软件评估——评估什么?
目前许多人都是糊涂的:
软件评估什么?
了解软件评估的以为是黑盒白盒测试,其实跟黑盒测试毫无关系。
先看IEC60335标准的目标:
确实是保证家电的平安利用;
有了电子电路,就要依照测试,检查电路故障情形下安满是不是取得保障;
若是有爱惜电子电路,在实验中它就要起作用;
在中还要对爱惜电子电路进行故障模拟,一样是检查安满是不是取得保障;当故障模拟实验进行到的a)~f)时,由于同时要进行的a)~f)故障模拟,这就显现了doublefaults状态;
若是爱惜电子电路利用的是可编程电子电路PEC,上述测试确实是黑盒测试,检查平安爱惜功能是不是完善。
这些爱惜功能相当于一个平安卫士,通过了和的测试,说明那个卫士称职;
问题来了,那个卫士称职归称职了,但如果是他的躯体状况不咋地,不能保证及时处置不平安现象,就不能保证平安功能及时实现,确实是称职而不胜任;
那个时候就要对那个卫士进行体能评估,就要考虑他万一缺胳膊少腿中毒脑残如何办,这确实是软件评估的要紧内容:
操纵故障/错误的方法。
故障/错误的发生地指的是智能操纵器内部硬件,不是其它。
关于单片机组成的操纵器,确实是要考虑哪个硬件出了问题,软件操纵程序内应有保障器具利用平安的措施。
那个是所有做软件评估的工程师要清楚的。
可是可惜那个并无讲清楚。
其实软件评估事实上不是来评估软件的,它是用来评估硬件的,看一看,在annexR或60730的annexH中模拟的是哪些错误就明白了。
因为在集成电路或芯片中,电子元件的开路和短路是没有方法通过实际的短路开路来实现,只能通过软件来模拟它失效的。
众所周知的是运算机是二进制代码的,所有的存储是0和1两种形式,stuck-at是指其存储单元坏死,固定在0或1上的。
DCfault是指内部短路。
芯片制造是刻一层线路涂一层很薄的绝缘很多层线路和绝缘层就组成了芯片。
两个带电位的节点和那个绝缘会形成类似“电容”对任意两个节点短路就相当于对一个“电容”短路。
当通过软件操纵电子开关管的断开实现爱惜时,那个的评估是必然的,同时模拟两个错误也无法实现对软件的模拟。
因为你不明白当芯片内的计数器或其他元件的犯错是不是会使所有的开关管失效。
除非产品还有另外的机械爱惜器。
5、家电平安功能软件——结构设计
要软件实现平安操纵功能,同时要软件能够运转流畅,就要在设计时期把好关,即幸免错误的方法。
这方面在目前的标准中提得笼统,下面介绍的要求。
软件平安要求标准应包括:
——每一个要执行的平安相关功能的描述,包括响应时刻:
——涉及应用的功能,包括相关软件类别;
——涉及检测、发布和治理软件或硬件故障的功能;
——软件和硬件之间接口的描述;
——任何平安相关功能和非平安相关功能之间接口的描述;
——任何用于把源代码生成目标代码的编译器的描述,包括用于像库函数选项、存储模式、优化方式、SRAM细节、时钟品级及芯片细节的编译器开关设置的细节。
软件结构标准应包括以下方面:
——操纵软件故障/错误的技术和方法(参见)。
——硬件与软件之间的彼此作用。
——分成模块和指定平安功能的分派。
——模块的层与挪用结构(操纵流)。
——中断处置。
——数据流及数据存取限制。
——数据结构与存储。
——顺序和数据有关性的时刻
在评估进程中需要提供符合上述要求的证明文件,一样是利用下属框图来讲明的:
——逻辑/功能块框图;
——顺序框图;
——有限态机/状态转换框图;
——数据流框图
软件的功能需要模拟或刺激测试实验:
——正常操作期间显现的输入信号;
——预料发生的现象;
——要求系统动作的不希望的情形。
目前,对大多数企业来讲,由于条件限制,采纳仿真器或直接利用产品无法实现这些模拟实验,可行的方式仍是软件模拟。
软件爱惜功能是产品的爱惜功能之一,认真看看和就会明白,单靠软件一路操纵爱惜功能是不够的。
以往的测试体会在那个地址部份有效,确实是非正常测试,提示平安功能是不是到位,涉及软件分析评估确实是另一个领域了,电工知识和体会不太容易入门。
结构是设计并非是很难,若是不是产品本身有天生的缺点的话,目前困扰中国厂家的是软件的拥有权,一样的厂家的线路板是外包的,而线路板的厂家的软件可能是请人设计的。
而在做软件评估时,咱们需要明白最底层的代码,若是整机厂家无法拿到那个代码并请软件工程师配合的话,全然无法做评估。
软件评估必需请软件工程师一路来测试的!
!
!
6、操纵软件故障/错误的技术和方法
这是考虑软件运行期间碰到故障/错误如何办的问题。
所谓故障fault,大体上是有单片机内部元器件问题引发软件工作不正常,通常划归为两种:
stuck-at滞位和DC故障。
error,不是中文中“错误”的意思,这是翻译问题,应该称作“偏离”,即偏离正常值的一种现象,常见的如ADC/CDA转换。
stuck-at故障确实是电路不能正常反转,粘滞在某个电平的现象;
DC=directcurrent故障,也是一种stuck-at故障,一种短路故障,短路中的电平会发生转变,取决于哪根短线路强势。
一样软件设计人员可不能考虑这些故障的,因此程序中不存在操纵方法。
操纵方法的作用确实是,当软件运行中碰到这些故障/错误时,为了保障产品平安,即应当及时处置这些故障/错误,确实是该断路就断路、该停机就停机,不要让危害发生。
这确实是标准对软件的要求。
单片机的故障模型不只Stuck-at和DCfault,另外还包括CF(CouplingFault)PSF(pattensensetivefault)等等。
固然这些故障模型用imarchC算法或其改良算法能够检测,配合冗余校验和适当编码还能够纠正。
但是这只是60730附件H中的一小部份(335附件R引用730的附件H)。
另外还要参考IEC61508的部份要求,60335-1引用了61508的部份方法。
softwareevaluation比较麻烦,国内似乎做的不多。
此刻很多时候都绕过这一部份评估。
可是随着家电功能的愈来愈复杂,软件的平安作用愈来愈关键,那个评估早晚仍是要做的。
Stuck-at和DCfault属于持续故障;
CF和PSF属于短时故障;
CF和PSF可能引发stuckat或DC故障,诸多诱因之一。
对整机来讲,stuck-at确实是“死机”;若是如此,软件算是过关了;
若是某个元件或针脚"stuck-at"了,整机还在工作,这就麻烦了,对应的处置方式确实是操纵故障/错误的方法。
335的要求针对的是平安操纵功能。
那个在annexR中已经有了,依照那个一个一个做就能够够了,60730的annexH和那个差不多的。
7、引发故障的常见缘故
stuck-at或DC故障是许多故障的归类,直觉感到这种分类太笼统,但一时也找不到更好的说明。
什么因素致使故障?
标准没有说,因为太多的因素,估量编标准的人一时也反映只是来,这需要时刻积存。
常见的致使stuck-at或DC故障的因素是:
静电:
集成电路内部的cmos管很容易击穿;
传导电磁骚扰:
类似浪涌、脉冲群;
机械损伤:
跌落等;
无线骚扰:
外界和电路设计不妥,致使信号失真;
其它的,大伙儿补充
操纵故障/错误方法
操纵故障/错误的方法,这是硬的要求,在程序中必需有的内容。
IEC60730-1H.操纵故障/错误的方法
control-measures
操纵方法
它显示了所有的检查内容,很明显它所涉及的内容都是操纵器硬件,确实是考虑哪个部件一旦显现故障应该如何办。
下面举例说明采取如何的方法才能够。
以存储器为例,采纳通用60335-1标准的要求,相当于B类软件。
Memory
如不可变存储器,确实是ROM,对应B类软件,有三种方法选项,任选一种或几种的组合:
周期修改的检查和;或H..1多重检查和带有一名冗余的字爱惜这条要求中,确实是选H..1或再加上下面是这几条方法的概念,也确实是方式,实现的途径很多,如何实现取决于编程员的个人偏好。
H..1修改的检查和modifiedchecksum产生并贮存代表贮存器中全数宇内容的一个单字的一种故障/错误操纵技术。
在自检期间,从相同的算法中形成一个检查和,并与被贮存的检查和比较。
注:
本技术识别所有奇错误和某些偶错误。
H..2多重检查和multiplechecksum
产生并贮存代表待测贮存区域内在的一个独*立字的一种故障/错误操纵技术。
在自检期间,从相同的算法形成一个检查和并与为该区域的贮存的检查和比较。
注:
本技术识别所有奇错误和某些偶错误。
H..2带有一名冗余的字爱惜wordprotectionwithsinglebitredundancy把一名加到被试贮存器区域的每一字,而且贮存的一种故障/错误操纵技术,产生的奇偶性或为奇数或为偶数。
当读每一字时,进行奇偶性校验。
注:
本技术识别所有的奇数位错误
关于整个操纵系统,操纵方法的工作量专门大,可能比利用功能的工作量还大,其间涉及到时刻节点等问题,因此,程序员很头痛。
高手很多,我以为此刻国产的电器尽管用了些软件操纵,但不是全智能,也确实是不是B程序,软件评估不难,但做成B类程序软件就难了,开发费用和认证费用都是比较高的,而且不见效益.因此我国是"不提倡鼓舞的"。
软件评估是个比较麻烦的情形,一样我都会建议工厂躲开那个环节,在保留软件操纵的爱惜功能的同时,增加一个硬件操纵的爱惜装置,如直接接在电源极的温度保险丝等等,如此,即便软件失效,在发生危险的时候,还有硬件爱惜这一爱惜功能。
如何实现相对应的爱惜方法?
那个需要一些运算机硬件和软件的知识单不需要太深,明白一点就能够够了,而且也能够边做案子边学习的。
举个简单的例子,奇偶校验,一样运算机发出的指令都是一串二进制代码,若是01110110,把那个代码的所有的0和1相加取得5,也确实是奇数,当有一个0变成1或有一个1变成0时,所有的1和0加起来确实是偶数了,这时通过奇偶校验就会被发觉,因为其同意的条件是指令代码必需是奇数,偶数就说明犯错了,指令会被拒绝。
另一个要明白的是,奇偶校验只能发觉一名0或1犯错的情形,当有两位数字同时犯错,是发觉不了的。
因此在要求更高的classC软件中,奇偶校验被以为不能知足爱惜的要求。
在平安问题方面要紧表此刻:
一、误操作会可不能引发事故或对人和环境造成危害。
二、有无外围爱惜电路。
如过热,过载之类,在微片不能工作或传感器失效情形下不显现事故。
依照60730附录H的要求执行,软件评估尽管标准里有讲到,但实际操作难度超级大,而且本钱也超级高。
目前安规在这方面仍是通过结构和非正常测试来达到标准的要求。
看看那个:
1家用电器软件评估概要<<平安与电磁兼容>>2020年第01期
2家用电器软件评估要求<<平安与电磁兼容>>2020年第04期
3家用电器软件评估注意事项<<平安与电磁兼容>>2020年第01期其中,“家用电器软件评估注意事项”最有参考价值。
家电软件评估指的是对操纵平安功能的软件进行的靠得住性评估,涉及风险解决方案、硬件结构、软件结构,和家电运行中对操纵单元硬件故障/错误处置方法,内容超级复杂。
靠得住性评估是寻觅证据,确实是你的操纵器在碰到问题时能够及时处置,保证不发生不平安现象。
目前面临的问题是:
1标准混乱
2编程员不懂平安要求,不睬解处置方法干什么,也编不出合理的处置方法,也弄不出模拟实验
3验证软件的方式是静态视检,确实是逐条分析程序,这叫代码级评估。
4再确实是动态模拟。
动态模拟方式有三种:
(1)产品模拟,开发人员弄不了信号源,运行结果不那么准确但能够评估部份处置方法是不是到位。
(2)仿真器模拟,这叫芯片级评估,问题一样,信号源难弄,若是信号源都弄出来了,确实是一个大工程,企业一样可不能这么干。
(3)软件模拟,开发程序都能debug,能够进行代码级模拟;再确实是利用keil+Proteus组成模拟平台,那个动态成效最好,比上变得任何方式都好。