2024年5月7日发(作者：稽秀丽)

现在有时间了，发一些关于家电

软件评估

的主题，欢迎大家一起讨论。

1.

软件评估

的来源

IEC 60335-1:2004 （Ed.4.0:2001+A1:2004）《家用和类似用途电器的安全 第一

部分 通用要求》第4.1版增加了“附录R

软件评估

”和三个相关定义（3.9.3/3.9.4/3.9.5）。

IEC 60335-1:2006（Ed.4.2）对附录R做了修改。

IEC60335-1 I-SH 01:2007对22.46做了解释，没有任何实质性变化。

IEC60335-1：2010 Ed.5.0对此作了全面的修改。取消了B/C类软件的分类，在

通用要求中只提出了表R1的控制措施要求，相当于针

对B类软件；R2要求相当于C类软件。

标准的变化反映了IEC TC61这帮电工们对

软件评估

这类现代技术不熟悉，但在逐

渐改善。

目前国内使用的版本是GB4706.1-2005，相当于IEC60335-1：2001 + A1:2004。

在CB认证中，按照IEC60335-1：2001 + A1:2004 +A2:2006；在3C认证中，具

体实施

软件评估

时，对GB4706.1-2005做偏离说明，否则乱做多做对企业和工程

师都无益。

2. 那些家电需要

软件评估

内嵌可编程电子电路（PEC），就是单片机，用保护功能，就叫可编程保护电子电

路，

保护功能：例如过热、爆炸、燃烧、电磁辐射、机械损伤，等等。

目前看主要是电磁灶、微波炉、部份智能洗衣机、部份贮水式热水器、变频空调

器，等等。

顺便说，由于

软件评估

费时费力，是不是能够绕开？

回答：能！

就是不考虑软件控制的保护功能。

但是，按照19.11.3的要求，就要进行double faults故障模拟，即要增加相

当于软件控制的保护功能的硬件，可以实现，但很难成

功。

（335-1 ed.4.1）19.11.3如果器具装有使器具符合第19章要求的保护电子电

路，则按19.11.2 中a）~f）的要求，相关试验以模拟

单一故障的方式重复进行。

ed.4.2有个g）failure of an electronic power switching device in a partial

turn-on mode with loss of gate (base)

control. During this test, winding temperatures shall not exceed the

values given in 19.7.

以这条要求考核目前家电功率开关管的电路结构，基本上都不合格。

3. 要求

以目前使用的标准IEC60335-1：2001 + A1:2004 +A2:2006

在第22章 结构 第22.46条：在保护电子电路中使用的软件，应为B类或C类

软件。依据附录R通过

软件评估

确定其是否合格。

软件评估

按照附录R要求进行，评估方法和流程程序采用了IEC 60730-1

（GB14536.1）《家用和类似用途电自动控制器 第1部分：通

用要求》的附录H。

3.9.3保护电子电路protective electronic circuit

防止非正常运行状态下出现危险的电子电路。

注：电路中的部分也可以起到功能作用。

3.9.4 B级软件software classB

含有代码的软件，用于防止器具由于非软件故障而引起的危险。

3.9.5 C级软件software classC

含有代码的软件，用于防止没有使用其他保护装置时出现的危险。

注意这个Ed.4.2与GB4706.1-2005版有不一致的地方

Annex R

(normative)

Software evaluation

Software shall be evaluated in accordance with the following clauses of

Annex H of

IEC 60730-1, as modified below.

H.2 Definitions

Only definitions H.2.16 to H.2.20 are applicable.

9

H.7 Information

Only footnotes 12) to 16) and 18) of Table 7.2 are applicable.

In footnote 15), replace “the requirements of 17, 25, 26 and 27” by

“19.13 of IEC 60335-1”

and replace “H.27” by “19.11.2 of IEC 60335-1”.

H.11.12 Controls using software

All of the subclauses of H.11.12 as modified below are applicable, except

subclauses

H.11.12.6 and H.11.12.6.1 which are not applicable.

In the second paragraph, replace “required in items 66 to 72 inclusive”

by “referred to in

footnotes 12) to 16) and 18) inclusive”.

H.11.12.7 Delete “and identified in table 7.2, requirement 68”.

H.11.12.7.1 Replace the text by the following:

For appliances using software class C having a single channel with

self-test and monitoring

structure, the manufacturer shall provide the measures necessary to

address the fault/errors

in safety related segments and data indicated in Table H.11.12.7-1.

H.11.12.8 Replace the text by the following:

Software fault/error detection shall occur before compliance with 19.13

of IEC 60335-1 is

impaired.

H.11.12.8.1 Replace “result in the response declared in table 7.2,

requirement 72” by “occur

before compliance with 19.13 of IEC 60335-1 is impaired”.

H.11.12.13 Replace the text by the following:

The software and safety related hardware under its control shall

initialize and terminate

before compliance with 19.13 of IEC 60335-1 is impaired.

关于家电软件评估-2

目前许多人都是糊涂的：

软件评估

什么？了解

软件评估

的以为是黑盒白盒测试，其

实跟黑盒测试毫无关系。

先看IEC60335标准的目标：就是保证家电的安全使用；

2

有了电子电路，就要按照19.11.2测试，检查电路故障情况下安全是否得到保障；

如果有保护电子电路，在19.11.2试验中它就要起作用；

在19.11.3中还要对保护电子电路进行故障模拟，同样是检查安全是否得到保

障；当故障模拟试验进行到19.11.2的a）～f）时，由于同时要进行19.11.3

的a）～f）故障模拟，这就出现了double faults状态；

如果保护电子电路使用的是可编程电子电路PEC，上述测试就是黑盒测试，检查

安全保护功能是否完善。

这些保护功能相当于一个安全卫士，通过了19.11.2和19.11.3的测试，说明这

个卫士称职；

问题来了，这个卫士称职归称职了，但要是他的身体状况不咋地，不能保证及时

处理不安全现象，就不能保证安全功能及时实现，就是称职而不胜任；

这个时候就要对这个卫士进行体能评估，就要考虑他万一缺胳膊少腿中毒脑残怎

么办，这就是

软件评估

的主要内容：控制故障/错误的措施。

故障/错误的发生地指的是智能控制器内部硬件，不是其它。对于单片机构成的

控制器，就是要考虑哪个硬件出了问题，软件控制程序内应有保障器具使用安全

的措施。

关于家电软件评估-3

要软件实现安全控制功能，同时要软件能够运转流畅，就要在设计阶段把好关，

即避免错误的措施。

这方面在目前的标准中提得笼统，下面介绍Ed.5.0的要求。

软件安全要求规范应包括：

——每个要执行的安全相关功能的描述，包括响应时间：

——涉及应用的功能，包括相关软件类别；

——涉及检测、公布和管理软件或硬件故障的功能；

——软件和硬件之间接口的描述；

——任何安全相关功能和非安全相关功能之间接口的描述；

——任何用于把源代码生成目标代码的编译器的描述，包括用于像库函数选项、

存储模式、优化方法、SRAM细节、时钟等级及芯片细节的编译器开关设置的细

节。

软件结构规范应包括下列方面：

——控制软件故障/错误的技术和措施（参见R.2.2）。

——硬件与软件之间的相互作用。

——分成模块和指定安全功能的分配。

——模块的层与调用结构（控制流）。

——中断处理。

——数据流及数据存取限制。

——数据结构与存储。

——顺序和数据相关性的时间

在评估过程中需要提供符合上述要求的证明文件，一般是利用下属框图来说明

的：

——逻辑/功能块框图、

——顺序框图、

——有限态机/状态转换框图、

——数据流框图

软件的功能需要模拟或刺激测试试验：

——正常操作期间出现的输入信号，

——预料发生的现象，

——要求系统动作的不希望的情形。

目前，对大多数企业来说，由于条件限制，采用仿真器或直接使用产品无法实现

这些模拟实验，可行的方法还是软件模拟。

关于家电软件评估-4

这是考虑软件运行期间遇到故障/错误怎么办的问题。

所谓故障fault，基本上是有单片机内部元器件问题引起软件工作不正常，通常

划归为两种：stuck-at滞位和DC故障。

error，不是中文中“错误”的意思，这是翻译问题，应该称作“偏离”，即偏

离正常值的一种现象，常见的如ADC/CDA转换。

stuck-at故障就是电路不能正常反转，粘滞在某个电平的现象；

DC=direct current 故障，也是一种stuck-at故障，一种短路故障，短路中的

电平会发生变化，取决于哪根短路线强势。

一般软件设计人员不会考虑这些故障的，所以程序中不存在控制措施。

控制措施的作用就是，当软件运行中遇到这些故障/错误时，为了保障产品安全，

即应当及时处理这些故障/错误，就是该断路就断路、该停机就停机，不要让危

害发生。

这就是标准对软件的要求

关于家电软件评估-5

stuck-at或DC故障是许多故障的归类，直觉感到这种分类太笼统，但一时也找

不到更好的解释。

什么因素导致故障？标准没有说，因为太多的因素，估计编标准的人一时也反应

不过来，这需要时间积累。

常见的导致stuck-at或DC故障的因素是：

静电：集成电路内部的cmos管很容易击穿；

传导电磁骚扰：类似浪涌、脉冲群；

机械损伤：跌落等；

无线骚扰：外界和电路设计不当，导致信号失真；

其它的，大家补充

控制故障/错误措施

不好意思，最近开始忙起来了，抓紧时间把这个网上内容搞完整。

上面讲了软件评估的概念，希望说的清楚，如有问题请大家提出来，我尽可能回答清楚。

0 s0 i) U-

v. `! F# j安规网

下面主要讲控制故障/错误的措施，这是硬的要求，在程序中必须有的内容。

) l3 }( t1 i+ P/ c% s+ ^9 B"

C安规网

IEC60730-1 H.11.12.7 控制故障/错误的措施

控制措施

这个图片大家可以另存放大看。

! c0 q- G3 [1 U5 S' S% c安规网

它显示了所有的检查内容，很明显它所涉及的内容都是控制器硬件，就是考虑哪个部件一旦出现

故障应该怎么办。

下面举例说明采取怎样的措施才可以。

以存储器为例，采用通用60335-1 Ed.5.0标准的要求，相当于B类软件。

其措施如图：

如 4.1不可变存储器，就是ROM，对应B类软件，有三种措施选项，任选一种或

几种的组合：

周期修改的检查和；或 H.2.19.3.1

多重检查和 H.2.19.3.2

带有一位冗余的字保护 H.2.19.8.2

这条要求中，就是选H.2.19.3.1或者H.2.19.3.2再加上H.2.19.8.2

下面是这几条措施的定义，也就是方法，实现的途径很多，如何实现取决于编程

员的个人偏好。

H.2.19.3.1修改的检查和 modified checksum

产生并贮存代表贮存器中全部宇内容的一个单字的一种故障/错误控制技术。在

自检期间，从相同的算法中形成一个检查和，并与被贮存的检查和比较。

注:本技术识别所有奇错误和某些偶错误。

H.2.19.3.2 多重检查和 multiple checksum

产生并贮存代表待测贮存区域内在的一个独*立字的一种故障/错误控制技术o

在自检期间，从相同的算法形成一个检查和并与为该区域的贮存的检查和比较。

注:本技术识别所有奇错误和某些偶错误。

H.2.19.8.2 带有一位冗余的字保护 word protection with single bit

redundancy

把一位加到被试贮存器区域的每一字，并且贮存的一种故障/错误控制技术，产

生的奇偶性或者为奇数或者为偶数。当读每一字时，进行奇偶性校验。

注:本技术识别所有的奇数位错误

看了这个贴子有些不同的意见，另开一个贴子进行说明一下。

1 m3 B" G" ~! k n安规

网

1.

软件评估

的来源， 应该说是

软件评估

要求的来源。

软件评估

的标准，讲的比较全的是IEC 61508 （Functional safety of

electrical/electronic/programmable electronic safety-related systems）

这个一个系列的标准，60335－1的annex R和60730的相关部分都是引用这里

的一些内容的。

2. 那些家电需要

软件评估

“顺便说，由于软件评估费时费力，是不是能够绕开？

# u# |; |' I9 I8 r+ h2 w5 W' `安规网

回答：能！

就是不考虑软件控制的保护功能。; # V( z5 U# v" a- b安规网

# I( K6 ?" l2 a6 W7 h安规网

但是，按照 19.11.3的要求，就要进行double faults故障模拟，即要增加相当于软件控制的保护功能

的硬件，可以实现，但很难成

+ M1 @9 l( B5 E+ u. h安规网

功。

（335-1 ed.4.1）19.11.3如果器具装有使器具符合第19章要求的保护电子电路，则按19.11.2 中a）

~f）的要求，相关试验以模拟; m$ ]/ Y' C4 t9 W9 G4 P" X3 x安规网

单 一故障的方式重复进行。" K' W$ N7 m+ ~安规网

ed.4.2有个g）failure of an electronic power switching device in a partial turn-on mode with

loss of gate (base) / a% P, y Z1 A* k; D w# d1 m, b安规网

! m4 A- c: [+ W安规网

control. During this test, winding temperatures shall not exceed the values given in 19.7.

以这条要求考核目前家电功率开关管的电路结构，基本上都不合格。”

有些产品的结构从目前来看是没有硬件保护的，比如直流无刷电机，这个就必须

通过软件保护。到目前为止没有看到过有通过硬件来保护的。另外通过60335 的

19.11.3是不能完全来评估的，我们需要了解产品是怎么工作的，比如系统中的

时钟频率出错，可能会导致多个元件不工作，这个需要通过软件来模拟的才能知

道的。

; Y1 a6 x0 k2 A3 j2 o/ o安规网

3. 要求

关于class B和class C的定义

3.9.4 B级软件software classB; D' b+ }* ^- J+ B安规网

含有代码的软件，用于防止器具由于非软件故障而引起的危险。1 F4 @0 R3 M8 ~) @安规网

) c) J: x0 U! _& m* u9 K; p' M2 P安规网

3.9.5 C级软件software classC

含有代码的软件，用于防止没有使用其他保护装置时出现的危险。5 q$ D4 $ ~8 p/ O- i安规网

现有的60335中的定义完全不可用，用这个是没有办法定义是class B还是Class

C的，这里只是说了class B和Class C的作用，而没有说明什么是Class B和

Class C， 估计今年新版的iec60335－1要发行了，里面会给出新的定义。其等

级是根据保护失效后引起的危险程度来分的，具体在－2部分中指出，否者就是

Class B。也就是说标准会告诉你软件等级的。

. t" y9 X Z6 n) H; j安规网

4. 家电

软件评估

——评估什么？

这个是所有做

软件评估

的工程师要清楚的。但是可惜这个并没有讲清楚。其实

软件

评估

实际上不是来评估软件的，它是用来评估硬件的，

看一看，在annex R或60730的annex

H中模拟的是哪些错误就知道了

。因为在集成电路或芯片中，电子元件的开路和短路是

没有办法通过实际的短路开路来实现，只能通过软件来模拟它失效的。众所周知

的是计算机是二进制代码的，所有的存储是0和1两种形式，stuck-at是指其

存储单元坏死，固定在0或者1上的。DC fault是指内部短路。芯片制造是刻

一层线路涂一层很薄的绝缘很多层线路和绝缘层就组成了芯片。两个带电位的节

点和这个绝缘会形成类似“电容”对任意两个节点短路就相当于对一个“电

容”短路。当通过软件控制电子开关管的断开实现保护时，这个的评估是必然的，

同时模拟两个错误也无法实现对软件的模拟。因为你不知道当芯片内的计数器或

其他元件的出错是否会使所有的开关管失效。除非产品还有另外的机械保护器。

5. 家电安全功能软件——结构设计

; P6 ]$ g# u& 4 z安规网

结构是设计并不是很难，如果不是产品本身有天生的缺陷的话，目前困扰中国厂

家的是软件的拥有权，一般的厂家的线路板是外包的，而线路板的厂家的软件可

能是请人设计的。而在做

软件评估

时，我们需要知道最底层的代码，如果整机厂家

无法拿到这个代码并请软件工程师配合的话，根本无法做评估。

软件评估

必须请软

件工程师一起来测试的！！！

6. 控制软件故障/错误的技术和措施以及引起故障的常见原因

这个在annex R中已经有了，按照那个一个一个做就可以了， 60730的annex H

和这个差不多的

' Z$ X9 t) b3 M# C安规网

7. 如何实现相对应的保护措施

4 y" N- p" ) I* b: c0 ?3 `3 U$ M+ Y+ f安规网

这个需要一些计算机硬件和软件的知识单不需要太深，知道一点就可以了，而且

也可以边做案子边学习的。举个简单的例子，奇偶校验，一般计算机发出的指令

都是一串二进制代码，如果01110110，把这个代码的所有的0和1相加得到5，

也就是奇数，当有一个0变成1或有一个1变成0时，所有的1和0加起来就是

偶数了，这时通过奇偶校验就会被发现，因为其接受的条件是指令代码必须是奇

数，偶数就说明出错了，指令会被拒绝。另一个要知道的是，奇偶校验只能发现

一位0或1出错的情况，当有两位数字同时出错，是发现不了的。所以在要求更

高的class C软件中，奇偶校验被认为不能满足保护的要求

2024年5月7日发(作者：稽秀丽)

现在有时间了，发一些关于家电

软件评估

的主题，欢迎大家一起讨论。

1.

软件评估

的来源

IEC 60335-1:2004 （Ed.4.0:2001+A1:2004）《家用和类似用途电器的安全 第一

部分 通用要求》第4.1版增加了“附录R

软件评估

”和三个相关定义（3.9.3/3.9.4/3.9.5）。

IEC 60335-1:2006（Ed.4.2）对附录R做了修改。

IEC60335-1 I-SH 01:2007对22.46做了解释，没有任何实质性变化。

IEC60335-1：2010 Ed.5.0对此作了全面的修改。取消了B/C类软件的分类，在

通用要求中只提出了表R1的控制措施要求，相当于针

对B类软件；R2要求相当于C类软件。

标准的变化反映了IEC TC61这帮电工们对

软件评估

这类现代技术不熟悉，但在逐

渐改善。

目前国内使用的版本是GB4706.1-2005，相当于IEC60335-1：2001 + A1:2004。

在CB认证中，按照IEC60335-1：2001 + A1:2004 +A2:2006；在3C认证中，具

体实施

软件评估

时，对GB4706.1-2005做偏离说明，否则乱做多做对企业和工程

师都无益。

2. 那些家电需要

软件评估

内嵌可编程电子电路（PEC），就是单片机，用保护功能，就叫可编程保护电子电

路，

保护功能：例如过热、爆炸、燃烧、电磁辐射、机械损伤，等等。

目前看主要是电磁灶、微波炉、部份智能洗衣机、部份贮水式热水器、变频空调

器，等等。

顺便说，由于

软件评估

费时费力，是不是能够绕开？

回答：能！

就是不考虑软件控制的保护功能。

但是，按照19.11.3的要求，就要进行double faults故障模拟，即要增加相

当于软件控制的保护功能的硬件，可以实现，但很难成

功。

（335-1 ed.4.1）19.11.3如果器具装有使器具符合第19章要求的保护电子电

路，则按19.11.2 中a）~f）的要求，相关试验以模拟

单一故障的方式重复进行。

ed.4.2有个g）failure of an electronic power switching device in a partial

turn-on mode with loss of gate (base)

control. During this test, winding temperatures shall not exceed the

values given in 19.7.

以这条要求考核目前家电功率开关管的电路结构，基本上都不合格。

3. 要求

以目前使用的标准IEC60335-1：2001 + A1:2004 +A2:2006

在第22章 结构 第22.46条：在保护电子电路中使用的软件，应为B类或C类

软件。依据附录R通过

软件评估

确定其是否合格。

软件评估

按照附录R要求进行，评估方法和流程程序采用了IEC 60730-1

（GB14536.1）《家用和类似用途电自动控制器 第1部分：通

用要求》的附录H。

3.9.3保护电子电路protective electronic circuit

防止非正常运行状态下出现危险的电子电路。

注：电路中的部分也可以起到功能作用。

3.9.4 B级软件software classB

含有代码的软件，用于防止器具由于非软件故障而引起的危险。

3.9.5 C级软件software classC

含有代码的软件，用于防止没有使用其他保护装置时出现的危险。

注意这个Ed.4.2与GB4706.1-2005版有不一致的地方

Annex R

(normative)

Software evaluation

Software shall be evaluated in accordance with the following clauses of

Annex H of

IEC 60730-1, as modified below.

H.2 Definitions

Only definitions H.2.16 to H.2.20 are applicable.

9

H.7 Information

Only footnotes 12) to 16) and 18) of Table 7.2 are applicable.

In footnote 15), replace “the requirements of 17, 25, 26 and 27” by

“19.13 of IEC 60335-1”

and replace “H.27” by “19.11.2 of IEC 60335-1”.

H.11.12 Controls using software

All of the subclauses of H.11.12 as modified below are applicable, except

subclauses

H.11.12.6 and H.11.12.6.1 which are not applicable.

In the second paragraph, replace “required in items 66 to 72 inclusive”

by “referred to in

footnotes 12) to 16) and 18) inclusive”.

H.11.12.7 Delete “and identified in table 7.2, requirement 68”.

H.11.12.7.1 Replace the text by the following:

For appliances using software class C having a single channel with

self-test and monitoring

structure, the manufacturer shall provide the measures necessary to

address the fault/errors

in safety related segments and data indicated in Table H.11.12.7-1.

H.11.12.8 Replace the text by the following:

Software fault/error detection shall occur before compliance with 19.13

of IEC 60335-1 is

impaired.

H.11.12.8.1 Replace “result in the response declared in table 7.2,

requirement 72” by “occur

before compliance with 19.13 of IEC 60335-1 is impaired”.

H.11.12.13 Replace the text by the following:

The software and safety related hardware under its control shall

initialize and terminate

before compliance with 19.13 of IEC 60335-1 is impaired.

关于家电软件评估-2

目前许多人都是糊涂的：

软件评估

什么？了解

软件评估

的以为是黑盒白盒测试，其

实跟黑盒测试毫无关系。

先看IEC60335标准的目标：就是保证家电的安全使用；

2

有了电子电路，就要按照19.11.2测试，检查电路故障情况下安全是否得到保障；

如果有保护电子电路，在19.11.2试验中它就要起作用；

在19.11.3中还要对保护电子电路进行故障模拟，同样是检查安全是否得到保

障；当故障模拟试验进行到19.11.2的a）～f）时，由于同时要进行19.11.3

的a）～f）故障模拟，这就出现了double faults状态；

如果保护电子电路使用的是可编程电子电路PEC，上述测试就是黑盒测试，检查

安全保护功能是否完善。

这些保护功能相当于一个安全卫士，通过了19.11.2和19.11.3的测试，说明这

个卫士称职；

问题来了，这个卫士称职归称职了，但要是他的身体状况不咋地，不能保证及时

处理不安全现象，就不能保证安全功能及时实现，就是称职而不胜任；

这个时候就要对这个卫士进行体能评估，就要考虑他万一缺胳膊少腿中毒脑残怎

么办，这就是

软件评估

的主要内容：控制故障/错误的措施。

故障/错误的发生地指的是智能控制器内部硬件，不是其它。对于单片机构成的

控制器，就是要考虑哪个硬件出了问题，软件控制程序内应有保障器具使用安全

的措施。

关于家电软件评估-3

要软件实现安全控制功能，同时要软件能够运转流畅，就要在设计阶段把好关，

即避免错误的措施。

这方面在目前的标准中提得笼统，下面介绍Ed.5.0的要求。

软件安全要求规范应包括：

——每个要执行的安全相关功能的描述，包括响应时间：

——涉及应用的功能，包括相关软件类别；

——涉及检测、公布和管理软件或硬件故障的功能；

——软件和硬件之间接口的描述；

——任何安全相关功能和非安全相关功能之间接口的描述；

——任何用于把源代码生成目标代码的编译器的描述，包括用于像库函数选项、

存储模式、优化方法、SRAM细节、时钟等级及芯片细节的编译器开关设置的细

节。

软件结构规范应包括下列方面：

——控制软件故障/错误的技术和措施（参见R.2.2）。

——硬件与软件之间的相互作用。

——分成模块和指定安全功能的分配。

——模块的层与调用结构（控制流）。

——中断处理。

——数据流及数据存取限制。

——数据结构与存储。

——顺序和数据相关性的时间

在评估过程中需要提供符合上述要求的证明文件，一般是利用下属框图来说明

的：

——逻辑/功能块框图、

——顺序框图、

——有限态机/状态转换框图、

——数据流框图

软件的功能需要模拟或刺激测试试验：

——正常操作期间出现的输入信号，

——预料发生的现象，

——要求系统动作的不希望的情形。

目前，对大多数企业来说，由于条件限制，采用仿真器或直接使用产品无法实现

这些模拟实验，可行的方法还是软件模拟。

关于家电软件评估-4

这是考虑软件运行期间遇到故障/错误怎么办的问题。

所谓故障fault，基本上是有单片机内部元器件问题引起软件工作不正常，通常

划归为两种：stuck-at滞位和DC故障。

error，不是中文中“错误”的意思，这是翻译问题，应该称作“偏离”，即偏

离正常值的一种现象，常见的如ADC/CDA转换。

stuck-at故障就是电路不能正常反转，粘滞在某个电平的现象；

DC=direct current 故障，也是一种stuck-at故障，一种短路故障，短路中的

电平会发生变化，取决于哪根短路线强势。

一般软件设计人员不会考虑这些故障的，所以程序中不存在控制措施。

控制措施的作用就是，当软件运行中遇到这些故障/错误时，为了保障产品安全，

即应当及时处理这些故障/错误，就是该断路就断路、该停机就停机，不要让危

害发生。

这就是标准对软件的要求

关于家电软件评估-5

stuck-at或DC故障是许多故障的归类，直觉感到这种分类太笼统，但一时也找

不到更好的解释。

什么因素导致故障？标准没有说，因为太多的因素，估计编标准的人一时也反应

不过来，这需要时间积累。

常见的导致stuck-at或DC故障的因素是：

静电：集成电路内部的cmos管很容易击穿；

传导电磁骚扰：类似浪涌、脉冲群；

机械损伤：跌落等；

无线骚扰：外界和电路设计不当，导致信号失真；

其它的，大家补充

控制故障/错误措施

不好意思，最近开始忙起来了，抓紧时间把这个网上内容搞完整。

上面讲了软件评估的概念，希望说的清楚，如有问题请大家提出来，我尽可能回答清楚。

0 s0 i) U-

v. `! F# j安规网

下面主要讲控制故障/错误的措施，这是硬的要求，在程序中必须有的内容。

) l3 }( t1 i+ P/ c% s+ ^9 B"

C安规网

IEC60730-1 H.11.12.7 控制故障/错误的措施

控制措施

这个图片大家可以另存放大看。

! c0 q- G3 [1 U5 S' S% c安规网

它显示了所有的检查内容，很明显它所涉及的内容都是控制器硬件，就是考虑哪个部件一旦出现

故障应该怎么办。

下面举例说明采取怎样的措施才可以。

以存储器为例，采用通用60335-1 Ed.5.0标准的要求，相当于B类软件。

其措施如图：

如 4.1不可变存储器，就是ROM，对应B类软件，有三种措施选项，任选一种或

几种的组合：

周期修改的检查和；或 H.2.19.3.1

多重检查和 H.2.19.3.2

带有一位冗余的字保护 H.2.19.8.2

这条要求中，就是选H.2.19.3.1或者H.2.19.3.2再加上H.2.19.8.2

下面是这几条措施的定义，也就是方法，实现的途径很多，如何实现取决于编程

员的个人偏好。

H.2.19.3.1修改的检查和 modified checksum

产生并贮存代表贮存器中全部宇内容的一个单字的一种故障/错误控制技术。在

自检期间，从相同的算法中形成一个检查和，并与被贮存的检查和比较。

注:本技术识别所有奇错误和某些偶错误。

H.2.19.3.2 多重检查和 multiple checksum

产生并贮存代表待测贮存区域内在的一个独*立字的一种故障/错误控制技术o

在自检期间，从相同的算法形成一个检查和并与为该区域的贮存的检查和比较。

注:本技术识别所有奇错误和某些偶错误。

H.2.19.8.2 带有一位冗余的字保护 word protection with single bit

redundancy

把一位加到被试贮存器区域的每一字，并且贮存的一种故障/错误控制技术，产

生的奇偶性或者为奇数或者为偶数。当读每一字时，进行奇偶性校验。

注:本技术识别所有的奇数位错误

看了这个贴子有些不同的意见，另开一个贴子进行说明一下。

1 m3 B" G" ~! k n安规

网

1.

软件评估

的来源， 应该说是

软件评估

要求的来源。

软件评估

的标准，讲的比较全的是IEC 61508 （Functional safety of

electrical/electronic/programmable electronic safety-related systems）

这个一个系列的标准，60335－1的annex R和60730的相关部分都是引用这里

的一些内容的。

2. 那些家电需要

软件评估

“顺便说，由于软件评估费时费力，是不是能够绕开？

# u# |; |' I9 I8 r+ h2 w5 W' `安规网

回答：能！

就是不考虑软件控制的保护功能。; # V( z5 U# v" a- b安规网

# I( K6 ?" l2 a6 W7 h安规网

但是，按照 19.11.3的要求，就要进行double faults故障模拟，即要增加相当于软件控制的保护功能

的硬件，可以实现，但很难成

+ M1 @9 l( B5 E+ u. h安规网

功。

（335-1 ed.4.1）19.11.3如果器具装有使器具符合第19章要求的保护电子电路，则按19.11.2 中a）

~f）的要求，相关试验以模拟; m$ ]/ Y' C4 t9 W9 G4 P" X3 x安规网

单 一故障的方式重复进行。" K' W$ N7 m+ ~安规网

ed.4.2有个g）failure of an electronic power switching device in a partial turn-on mode with

loss of gate (base) / a% P, y Z1 A* k; D w# d1 m, b安规网

! m4 A- c: [+ W安规网

control. During this test, winding temperatures shall not exceed the values given in 19.7.

以这条要求考核目前家电功率开关管的电路结构，基本上都不合格。”

有些产品的结构从目前来看是没有硬件保护的，比如直流无刷电机，这个就必须

通过软件保护。到目前为止没有看到过有通过硬件来保护的。另外通过60335 的

19.11.3是不能完全来评估的，我们需要了解产品是怎么工作的，比如系统中的

时钟频率出错，可能会导致多个元件不工作，这个需要通过软件来模拟的才能知

道的。

; Y1 a6 x0 k2 A3 j2 o/ o安规网

3. 要求

关于class B和class C的定义

3.9.4 B级软件software classB; D' b+ }* ^- J+ B安规网

含有代码的软件，用于防止器具由于非软件故障而引起的危险。1 F4 @0 R3 M8 ~) @安规网

) c) J: x0 U! _& m* u9 K; p' M2 P安规网

3.9.5 C级软件software classC

含有代码的软件，用于防止没有使用其他保护装置时出现的危险。5 q$ D4 $ ~8 p/ O- i安规网

现有的60335中的定义完全不可用，用这个是没有办法定义是class B还是Class

C的，这里只是说了class B和Class C的作用，而没有说明什么是Class B和

Class C， 估计今年新版的iec60335－1要发行了，里面会给出新的定义。其等

级是根据保护失效后引起的危险程度来分的，具体在－2部分中指出，否者就是

Class B。也就是说标准会告诉你软件等级的。

. t" y9 X Z6 n) H; j安规网

4. 家电

软件评估

——评估什么？

这个是所有做

软件评估

的工程师要清楚的。但是可惜这个并没有讲清楚。其实

软件

评估

实际上不是来评估软件的，它是用来评估硬件的，

看一看，在annex R或60730的annex

H中模拟的是哪些错误就知道了

。因为在集成电路或芯片中，电子元件的开路和短路是

没有办法通过实际的短路开路来实现，只能通过软件来模拟它失效的。众所周知

的是计算机是二进制代码的，所有的存储是0和1两种形式，stuck-at是指其

存储单元坏死，固定在0或者1上的。DC fault是指内部短路。芯片制造是刻

一层线路涂一层很薄的绝缘很多层线路和绝缘层就组成了芯片。两个带电位的节

点和这个绝缘会形成类似“电容”对任意两个节点短路就相当于对一个“电

容”短路。当通过软件控制电子开关管的断开实现保护时，这个的评估是必然的，

同时模拟两个错误也无法实现对软件的模拟。因为你不知道当芯片内的计数器或

其他元件的出错是否会使所有的开关管失效。除非产品还有另外的机械保护器。

5. 家电安全功能软件——结构设计

; P6 ]$ g# u& 4 z安规网

结构是设计并不是很难，如果不是产品本身有天生的缺陷的话，目前困扰中国厂

家的是软件的拥有权，一般的厂家的线路板是外包的，而线路板的厂家的软件可

能是请人设计的。而在做

软件评估

时，我们需要知道最底层的代码，如果整机厂家

无法拿到这个代码并请软件工程师配合的话，根本无法做评估。

软件评估

必须请软

件工程师一起来测试的！！！

6. 控制软件故障/错误的技术和措施以及引起故障的常见原因

这个在annex R中已经有了，按照那个一个一个做就可以了， 60730的annex H

和这个差不多的

' Z$ X9 t) b3 M# C安规网

7. 如何实现相对应的保护措施

4 y" N- p" ) I* b: c0 ?3 `3 U$ M+ Y+ f安规网

这个需要一些计算机硬件和软件的知识单不需要太深，知道一点就可以了，而且

也可以边做案子边学习的。举个简单的例子，奇偶校验，一般计算机发出的指令

都是一串二进制代码，如果01110110，把这个代码的所有的0和1相加得到5，

也就是奇数，当有一个0变成1或有一个1变成0时，所有的1和0加起来就是

偶数了，这时通过奇偶校验就会被发现，因为其接受的条件是指令代码必须是奇

数，偶数就说明出错了，指令会被拒绝。另一个要知道的是，奇偶校验只能发现

一位0或1出错的情况，当有两位数字同时出错，是发现不了的。所以在要求更

高的class C软件中，奇偶校验被认为不能满足保护的要求