关于家电软件评估1、软件评估的来源IEC 60335-1:2004 （Ed.4.0:2001+A1:2004）《家用和类似用途电器的安全第一部分通用要求》第 4.1版增加了“附录R 软件评估”和三个相关定义（3.9.3/3.9.4/3.9.5）。

IEC 60335-1:2006（Ed.4.2）对附录R做了修改。

IEC60335-1 I-SH 01:2007对22.46做了解释，没有任何实质性变化。

IEC60335-1：2010 Ed.5.0对此作了全面的修改。

取消了B/C类软件的分类，在通用要求中只提出了表R1的控制措施要求，相当于针对B类软件；R2要求相当于C类软件。

标准的变化反映了IEC TC61这帮电工们对软件评估这类现代技术不熟悉，但在逐渐改善。

目前国内使用的版本是GB4706.1-2005，相当于IEC60335-1：2001 + A1:2004。

在CB认证中，按照IEC60335-1：2001 + A1:2004 +A2:2006；在3C认证中，具体实施软件评估时，对GB4706.1-2005做偏离说明，否则乱做多做对企业和工程师都无益。

软件评估的来源，应该说是软件评估要求的来源。

软件评估的标准，讲的比较全的是IEC 61508（Functional safety of electrical/electronic/programmable electronic safety-related systems）这个一个系列的标准，60335－1的annex R和60730的相关部分都是引用这里的一些内容的。

2、那些家电需要软件评估内嵌可编程电子电路（PEC），就是单片机，用保护功能，就叫可编程保护电子电路，保护功能：例如过热、爆炸、燃烧、电磁辐射、机械损伤，等等。

目前看主要是电磁灶、微波炉、部份智能洗衣机、部份贮水式热水器、变频空调器，等等。

软件评估费时费力，是不是能够绕开？回答：能！就是不考虑软件控制的保护功能。

但是，按照19.11.3的要求，就要进行double faults故障模拟，即要增加相当于软件控制的保护功能的硬件，可以实现，但很难成功。

（335-1 ed.4.1）19.11.3如果器具装有使器具符合第19章要求的保护电子电路，则按19.11.2 中a）~f）的要求，相关试验以模拟单一故障的方式重复进行。

ed.4.2有个g）failure of an electronic power switching device in a partial turn-on mode with loss of gate (base) control. During this test, winding temperatures shall not exceed the values given in 19.7.以这条要求考核目前家电功率开关管的电路结构，基本上都不合格。

有些产品的结构从目前来看是没有硬件保护的，比如直流无刷电机，这个就必须通过软件保护。

到目前为止没有看到过有通过硬件来保护的。

另外通过60335 的19.11.3是不能完全来评估的，我们需要了解产品是怎么工作的，比如系统中的时钟频率出错，可能会导致多个元件不工作，这个需要通过软件来模拟的才能知道的。

3、要求以目前使用的标准IEC60335-1：2001 + A1:2004 +A2:2006在第22章结构第22.46条：在保护电子电路中使用的软件，应为B类或C类软件。

依据附录R通过软件评估确定其是否合格。

软件评估按照附录R要求进行，评估方法和流程程序采用了IEC 60730-1（GB14536.1）《家用和类似用途电自动控制器第1部分：通用要求》的附录H。

3.9.3保护电子电路protective electronic circuit防止非正常运行状态下出现危险的电子电路。

注：电路中的部分也可以起到功能作用。

3.9.4 B级软件software classB含有代码的软件，用于防止器具由于非软件故障而引起的危险。

3.9.5 C级软件software classC含有代码的软件，用于防止没有使用其他保护装置时出现的危险。

现有的60335中的定义完全不可用，用这个是没有办法定义是class B还是Class C的，这里只是说了class B和Class C的作用，而没有说明什么是Class B和Class C，估计今年新版的IEC60335－1要发行了，里面会给出新的定义。

其等级是根据保护失效后引起的危险程度来分的，具体在－2部分中指出，否者就是Class B。

也就是说标准会告诉你软件等级的。

注意这个Ed.4.2与GB4706.1-2005版有不一致的地方Annex R(normative)Software evaluationSoftware shall be evaluated in accordance with the following clauses of Annex H of IEC 60730-1, as modified below.H.2 DefinitionsOnly definitions H.2.16 to H.2.20 are applicable.H.7 InformationOnly footnotes 12) to 16) and 18) of Table 7.2 are applicable.In footnote 15), rep lace “the requirements of 17, 25, 26 and 27” by “19.13 of IEC 60335-1”and replace “H.27” by “19.11.2 of IEC 60335-1”.H.11.12 Controls using softwareAll of the subclauses of H.11.12 as modified below are applicable, except subclauses H.11.12.6 and H.11.12.6.1 which are not applicable.In the second paragraph, replace “required in items 66 to 72 inclusive” by “referred to in footnotes 12) to 16) and 18) inclusive”.H.11.12.7 Delete “and identified in table 7.2, requirement 68”.H.11.12.7.1 Replace the text by the following:For appliances using software class C having a single channel with self-test and monitoring structure, the manufacturer shall provide the measures necessary to address the fault/errors in safety related segments and data indicated in Table H.11.12.7-1.H.11.12.8 Replace the text by the following:Software fault/error detection shall occur before compliance with 19.13 of IEC 60335-1 is impaired.H.11.12.8.1 Replace “result in the response declared in table 7.2, requirement 72” by “occur before compliance with 19.13 of IEC 60335-1 is impaired”.H.11.12.13 Replace the text by the following:The software and safety related hardware under its control shall initialize and terminate before compliance with 19.13 of IEC 60335-1 is impaired.4、家电软件评估——评估什么？目前许多人都是糊涂的：软件评估什么？了解软件评估的以为是黑盒白盒测试，其实跟黑盒测试毫无关系。

先看IEC60335标准的目标：就是保证家电的安全使用；有了电子电路，就要按照19.11.2测试，检查电路故障情况下安全是否得到保障；如果有保护电子电路，在19.11.2试验中它就要起作用；在19.11.3中还要对保护电子电路进行故障模拟，同样是检查安全是否得到保障；当故障模拟试验进行到19.11.2的a）～f）时，由于同时要进行19.11.3的a）～f）故障模拟，这就出现了double faults状态；如果保护电子电路使用的是可编程电子电路PEC，上述测试就是黑盒测试，检查安全保护功能是否完善。

这些保护功能相当于一个安全卫士，通过了19.11.2和19.11.3的测试，说明这个卫士称职；问题来了，这个卫士称职归称职了，但要是他的身体状况不咋地，不能保证及时处理不安全现象，就不能保证安全功能及时实现，就是称职而不胜任；这个时候就要对这个卫士进行体能评估，就要考虑他万一缺胳膊少腿中毒脑残怎么办，这就是软件评估的主要内容：控制故障/错误的措施。

故障/错误的发生地指的是智能控制器内部硬件，不是其它。

对于单片机构成的控制器，就是要考虑哪个硬件出了问题，软件控制程序内应有保障器具使用安全的措施。

这个是所有做软件评估的工程师要清楚的。

但是可惜这个并没有讲清楚。

其实软件评估实际上不是来评估软件的，它是用来评估硬件的，看一看，在annex R或60730的annex H中模拟的是哪些错误就知道了。

因为在集成电路或芯片中，电子元件的开路和短路是没有办法通过实际的短路开路来实现，只能通过软件来模拟它失效的。

众所周知的是计算机是二进制代码的，所有的存储是0和1两种形式，stuck-at是指其存储单元坏死，固定在0或者1上的。

DC fault是指内部短路。

芯片制造是刻一层线路涂一层很薄的绝缘很多层线路和绝缘层就组成了芯片。

两个带电位的节点和这个绝缘会形成类似“电容”对任意两个节点短路就相当于对一个“电容”短路。

当通过软件控制电子开关管的断开实现保护时，这个的评估是必然的，同时模拟两个错误也无法实现对软件的模拟。