浅谈家用电器软件评估要求

浅谈家用电器软件评估要求

林幼琴

东莞标检产品检测有限公司

摘要：家用电器软件评估的对象是家用电器保护电子电路中所使用的软件，软件评估是家用电器安全标准中的新要求，涉及微机控制、自动控制、家用电器安全检测等相关领域。由于标准中没有具体测试方法，也没有测试范例，导致家用电器制造商、检测实验室在进行软件评估过程中操作困难。家用电器软件评估的检验依据、适应性判定、实施步骤等方面进行了详细介绍。

关键词：家用电器；软件评估；要求

引言

家电软件评估是指检查嵌入式设备的可编程保护电子电路是否使用合格的软件。如果软件失败，它将导致发生危险，因此必须进行评估以确定软件是否可接受。必须避免与安全相关的软件结构和相关的硬件布局软件错误和安全措施，以控制硬件故障，使软件可靠，及时地检测和处理设备可能会造成伤害故障/错误，确保家用电器的安全使用，这是软件评估的目标。

在IEe60335-1：2001Ed.4.l结构要求22.46中，首先提出了家用电器软件的评估要求：保护电子电路中使用的软件应该是B类或C类软件。根据附录R（软件评估）确定是否符合软件。检查程序按照附录R修改的IEC60730-1，附录H（电子控制器）的H.2，H.7，H.11.12进行。软件评估的内容适用于IEC60335-1：2006Ed.4.2和IEC60730-1：2007Ed.3.2。

一、软件评估的依据

按照IEC60730一1的定义，软件按照功能分为三类：A类、B类、C类。

A类软件应用于功能（或性能）调节，用来控制电器的正常使用，如空调器的功能选择、温湿度控制、风量风向调节，这类软件不用于保障电器安全。

B类软件是安全相关的软件，用于处理电器非正常工作，防止当保护电子线路出现“滞位”（stcuk一at，开路或电平不变）故障时导致电器不安全动作，如洗衣机排水不畅、压缩机热保护失效等。

C类软件也是安全相关的软件，用于处理特殊危险情况，防止当保护电子线路出现故障时导致危害，这类软件能够处理“DC’故障（滞位现象，因相邻信号线之间或寄存器之间短路产生的逻辑“或”或逻辑“与”），如因DC’，故障导致封闭式热水器的热断路器失效而可能引发爆炸、微波炉开门保护电路失效而可能导致微波泄漏。

IEC60335-12.246要求：用于保护电子电路该软件应为B类或C类软件。安全相关的软件故障将导致危险，IEC60335-1附录R由于硬件和软件问题需要控制由错误数据引起的危害，采取措施避免在开发阶段的过程序列部分中的错误。

当设备中存在其他故障时，应使用软件故障B类软件；如果软件单独出现故障，则应使用C类软件。

危害指的是危险的功能失效、电击、火灾、机械或其他危害。

依据附录R的评估要求来判断器具是否使用了合格的软件类别。评估程序按照修改过的IEc60730一1H.2、H.7、H.ll.12。

IEC60730一1H.2一16一H.2.20是与使用软件的控制器相关的定义；H.7是软件评估所需要的资料要求（IEc60335一对此作了修改）；H.H.12是控制器结构要求（IEC60335一对此作了修改），规定了硬件和软件组件的具体配置。要求使用B类或C类软件的电子电路必须采取措施，控制和避免软件相关的故障醋误，并规定了软件避免错误和控制错误/故障的可接受的措施。这是软件检查的主要内容。

二、评估要素

IEC60335系列标准涵盖家用电气类电器，包括各种家用电加热电器、食品加工电器、卫生清洁电器等，如空调、冰箱、洗衣机、微波炉、电磁灶、吸尘器、抽油烟机、按摩椅等。

IEC60335是针对家用电器的安全标准，其基本要求是：家用电器的结构在正常使用中能够安全地工作，即使在正常使用中出现可能的疏忽，也不会引起对人员和周围环境的危险，这些危险主要包括失火、触电、机械伤害及辐射、毒性及类似危险。

需要实施软件评估的家用电器是指使用了可编程电子线路并且其电子线路具有安全保护功能的家用电器。软件评估的目的就是要求用于安全功能的软件在运行中不出现故障醋误，避免因为软件本身的问题导致不能及时正确地处理家用电器在正常使用中出现的危险。硬件故障引起的不安全现象不属于软件评估的范围，由标准的其他条款考核。

对于与安全相关的软件，标准要求软件的结构必须具有：

（l）控制故障Z错误的措施；

（2）避免错误的措施。

这也是软件评估的两个要素。

故障醋误指的是存在于软件中、与安全相关的数据在产生、存储、传输中出现的故障醋误和源代码中与安全相关的字段存在的错误，即数据错误和编程错误，如存储或者传输的数据不正确、软件结构本身存在不合理的系统错误。

软件评估的方法有源代码视检和试验两种。视检是检查源代码是否具有标准要求的结构和控制避免错误的措施，试验是检查软件是否与其控制的安全相关硬件动作一致。

三、软件评估的适用范围

软件评估适用于使用可编程电子电路作为嵌入式控制器的家用电器。除了可以使用的各种功能外，控制器还控制与安全相关的功能，例如控制异常操作和危险的过热、泄漏，爆炸等现象。此类家用电器还应具有集成的硬件，软件和相应的外围电路（如电源，驱动组件等），根据家用电器的特性和功能要求开发，即专用程序控制板，软件评估不适用于智能控制器。其他外围电路，例如电源部分和驱动部分，根据“第19章异常工作”进行评估。如果设备使用符合IEC60730-1的智能控制器（如保护性智能继电器控制器），则此控制该设备应根据IEC60750-1附录H单独测试。

四、软件评估的方法

软件评估的方法有视检和试验两种。

1、视检

视检涉及的硬件有CPU、定时器、存储器、内部数据路径、外部通信、输人喻出外围器件、监测装置和比较器。涉及的软件有程序流程、中断服务（故障处理）、自检和/或检测子程序、指令冗余和软件陷阱。

（l）通过视检生产商提供的资料和样品，检查可编程电子系统的硬件结构和软件结构；

（2）从冗余技术、编码检错、容错设计、故障检测等方面，分析安全相关的程序流程、指令流和数据流；

（3）依据检查数据，评价软件是否结构合适，即是否采取了合适的避免错误和控制故障醋误的措施，以防止不安全现象的发生。

2、试验

IEC60335-1Ed.4.1对此没有要求（H.11.12.6和H.11.12.6.1），但IEC60335-1Ed.5.0u（status；CCDV）提出了具体的要求。在硬件开发阶段，要求生产商进行必要的试验，试验结果作为软件评估的资料提供给认证测试机构。这些试验包括视检（观察）、预审（走查）、静态分析、动态分析硬件分析、硬件模拟故障率计算、故障模式与效果分析（FMEA）操作试验。

五、技术准备

1、测试人员

软件评估人员应熟悉相关的标准条款、IEC60750-1：2003AnnxeH2.16一H-220中的定义，了解相关的编程语言，了解家用电器的结构和安全测试项目，看懂电子线路图和电子硬件结构。

2、技术文件

技术文件应具备相关的测试标准、原始记录格式及测试报告格式。目前没有统一的报告格式，可以参考IEC60335一l和IEC60730一1AnnexH的CBTRF编辑。

3、测试设备

软件评估不需要特殊的测试设备，但必须有可连接互联网的计算机，便于查找元器件参数、下载和运行微处理器的模拟程序。

4、测试所需文件

软件评估基于制造商提供的有关文件，制造商应根据IEC60730一1表H7.2注12一注18的要求提供相应的文件，如用户使用的安装使用说明书、专门提供给测试机构的有关声明等。所需要的文件主要有：

（1）功能说明，包括掉电后重新启动的程序。

（2）产品描述，重点是安全相关软件处理程序部分。

（3）带有风险缓解方案的风险分析文件。

（4）详细的设计说明，重点是安全相关的寄存器、存储器、接口模式

（5）安全相关的流程图和/或状态图。

（6）安全相关软件独立于其他软件的证明。

（7）代码表，包括编程语言识别、注释及子程序列表。

（8）验证确认试验的测试说明和测试报告。

（9）使用、安装和/或维护手册。

（10）实现表H.ll.12.7所选解决方案的证明文件。

六、软件的结构要求

IEC60730一1H.ll.12是针对使用软件的控制器结构提出的要求。下面逐条解释标准的要求和检查方法，即从生产商提供的资料中如何寻找符合标准要求的证据。

（1）H.ll.12使用软件的控制器结构应使得软件不影响控制器符合本标准的要求。

（2）是否符合要求通过本标准关于电子控制器的试验、通过按照本要求的观察和通过表.H.72脚注12）一18）所要求的文件来检查。

（3）H.11.12.2中C类软件的控制器应有下述结构之一：

一带有周期自检和监测的单通道（H2.16.7）；

一-带有比较的双通道（H2.16.3）；

一带有比较的双通道H2.16.2）。

H.11.12.2中B类软件的控制器应有下述结构之一：

一带有功能测试的单通道（H2.16.5）；

一带有周期自检的单通道（H2.16.6）；

一无比较的双通道（H2.16.1）

（4）H.n.12：21允许脾用其他结构，只要达到H.n.12.2要求等效的安全水平。

（5）H.ll.123在相同组件的两区域上具有比较的冗余存储器：用不同方式储存。

（6）H.n.12.4c类软件使用有比较的双通道结构：应有附加的故障嘴误监测措施。

（7）H.n.12.5非A类软件：应提供用于确认并控制在传输到外部与安全有关的数据通道中误差的措施。

（8）H.H.12.7非A类软件功能的控制器：制造商应在控制器内部提供措施，用于寻找表H.n.12.7中指出的与安全有关的区段和数据中的故障腊误的地址。

（9）H.11.12.7.1对于使用带有自检和检测功能的单通道C类软件的器具，制造商应提供措施用于寻找表H.11.12.7中指出的与安全有关的区段和数据中的故障/错误的地址。

（10）H.11.12.8故障醋误检测应在GB4706.1的19.13的试验失败之前进行。

（11）H.n.12.8.1故障腊误发现：—应在GB4706.1的19.13的试验失败之前进行；—如C类，应提供独立措施。

（12）H.ll..12gc类，双通道结构，双通道能力的损失：被认为是一种错误。

（13）H.n.12.10软件应和操作顺序及相关硬件功能的有关部件相关联。

（14）H.n.12.ll存储器的位置使用标签：标签是唯一的。

（15）H.n.12.12软件应被保护以免使用者改变与安全的区段和数据。

（16）H.ll.12.13控制所用软件及安全相关的硬件的初始化及终止应在GB4706.1的19.13的试验失败之前进行。

结束语

家用电器软件识衬占属于可靠性工程的一个分支。软件评估涉及内容广泛、细节复杂，目前在国内外都属起步阶段。本文仅概要介绍了软件评估的通用要求，供相关的测试人员和家电设计人员参考。

参考文献

[1]李红伟，李勍.家用电器软件评估浅析[J].家电科技.2016

[2]刘晓东，徐胜，黄华，等.家用电器软件评估概要[J].安全与电磁兼容，2016

[3]邓旭，葛岩．家用电器软件评估发展现状分析［Ｊ］．认证技术2016