安全软件评估_1宣贯_Jun

16
（四）什么情况下需要进行软件评估(4)
3、家电产品带有保护性电子电路，并且对保护性电子 电路施加IEC 60335-1：2010 中的19.11.3规定的双重 故障情况下，保护性电子电路动作从而起到进一步保 护，防止危害发生。这种情况下要进一步判断，是软 件起作用还是本身硬件电路起作用，如果是软件起作 用，那么需要进行附录R的软件评估；如果是硬件电路 起作用，就不需要进行软件评估。(一般厂家没必要这 样做)
25
（五）软件评估的流程(6)
5、1 实施测试阶段需要使用到的设备： 包括芯片开发工具，集成开发环境软件（IDE），其他 辅助软件、工具等
计算机 芯片开发工具：仿真器、烧录器等； 集成开发环境：编辑器、编译器、连接器、调试器； 示波器、信号发生器等； 其他辅助工具或设备，包括软件工具（代码查阅编辑工具， 代码比较版本工具）
15
（四）什么情况下需要进行软件评估(3)
2、家电产品带有保护性电子电路，但是对保护性电子 电路施加IEC 60335-1：2010 中的19.11.3规定的双重 故障情况下，家电产品防止危害发生依赖如如热断路 器、管状熔断器等保护装置的动作而不是保护性电子 电路动作，这种情况下不需要进行软件评估。换句话 讲，双重故障下的终极保护不依赖于保护性电子电路 个工作与否，即终极保护是依赖传统的机电式保护装 置并且没有危险发生，即便保护性电子电路中使用了 软件，也不需要评估，因为在这种情况下，软件控制 器仅是正常工作条件下起作用的，不具有安全保护功 能，软件控制器的失效与否不会造成危害。
软件版本，及软件效验码（算法： MD5， CRC ，或 者checksum ）—最终完成项目时，可再统一确认
24
（五）软件评估的流程(5)
5、实施阶段（检查+测试+记录+存档 +整改直至评估通过）
需要开发人员与评估人员的密切配合进行
待客户完成安全代码后（涉及到测试的细节可参见软 件规格书）需要客户发送源代码，以供确认是否一致 进行嵌入式系统的静态, 动态分析和测试
硬件系统方面:
电路及系统原理图（主MCU 的型号）。 PCB Layout 图，或ASSEMBLE 元件图（丝印图，装 配图，可选） 电子元器件开，短路，接地，接电源，(IC)邻近PIN短 路，测试现象结果及数据（19.11.2 测试）
产品系统类
系统结构图（可选） 硬件和软件接口的描述（控制IC PIN 功能说明）
18
（四）什么情况下需要进行软件评估(6)
通过上面的分析，无论是制造商还是认证机构不能简 单的认定某个家电产品是否需要进行软件评估，要通 过结构分析和非正常试验来确定是否需要进行软件评 估。
19
（五）软件评估的流程
1、接洽时间：从产品设计 的方案选择阶段
2、评估起点：判断软件评估的适用性
5
（一）软件评估的背景和必要性（4）
外部：
认证需要（法规要求） 家电行业发展的需要
内部：
提高产品安全可靠性和性能的需要，产品质量的保证（ 安全、质量） 产品技术升级的需要 提高产品竞争力的需要 节省成本和节约资源的需要（成本、数量）
6
（二）什么是软件评估(1)
9
（三）软件评估的范围(2)
危险防护 防触电保护和其他电危险的防护(8,13,16,19,29） 防水和防尘-间接导致其他危险( 15,22 ) 对过热及过热引起的着火危险的防护(11,19,30) 对机械危险防护(19,20) 对过压危险的防护(11,19,22) 防止毒性、辐射或类似危险的防护(32)
家电安全软件评估——宣贯 -PREPARED BY: 谢海燕/KAISON XIE(JUN2015)
主题内容
（一）软件评估的背景和必要性 （二）什么是软件评估 （三）软件评估的范围 （四）什么情况下需要进行软件评估 （五）软件评估的流程(SGS)
2
（一）软件评估的背景和必要性（1）
随着家电行业的转型和升级，家电智能化发展趋势大 大增强，越来越多的产品中使用电子线路，其中绝大 多数都含有软件控制器。这些电子线路/软件控制器 (MCU)，有些是实现在正常工作条件下的控制功能，有 些除具备正常条件下的控制功能外，同时还具有非正 常条件下的保护功能。如控制温度过高，电机启停， 压力控制以及点火装置等，这些可靠性直接关乎所控 制器对使用者和环境的安全，一旦失效，将导致火灾 ，机械危险甚至爆炸等严重后果。 以洗衣机为例：可能采用保护性电子电路(PEC)及软件 进行防护的主要有过热引起的火灾危险（如电机绕组 堵转故障、带电加热功能的洗衣机温控器失效故障） 、机械危险（门或盖在运动高速运转时意外打开）。
软件评估是一个发现软件系统故障/错误的过程，进而 评价软件系统的可靠性。 可靠性包含两个方面的内容：
7
（二）什么是软件评估(2)
软件评估的依据：依据家电产品的安全标准进行。
8
（三）软件评估的范围(1)
这些控制器或其部分功能用于控制或防止家电产品出 现危害使用者或环境的危险，如危险性功能失效、电 气危险、过热危险、火灾、机械危险、毒性或放射性 危险、其他危险等。 对这些控制器的软件评估，除了评估控制器的输入输 出信号外，很大程度上是评估控制器的本身的可靠性 ，包括评价控制器的硬件结构、软件结构、软硬件接 口以及与安全相关软件的功能、逻辑、运行特性等各 个方面
27
14
（四）什么情况下需要进行软件评估(2)
1、家电产品没有保护性电子电路，这种情况下不需要 进行软件评估。换句话讲，家电产品非正常工作情况 下的保护依赖其他如热断路器、管状熔断器等保护装 置的动作，即便家电产品中使用了带有软件的控制器， 也不需要评估，因为在这种情况下，软件控制器仅是 正常工作条件下起作用的，不具有安全保护功能，软 件控制器的失效与否不会造成危害。
其次，任何软件功能的实现都基于相应的硬件环境， 因而家电安全软件评估，不仅仅是对“软件”的评估 ，而是综合评估E/E/PES 的硬件、软件、接口的结构 和特性。
再次，家电产品功能包括安全相关功能 和非安全功能 两方面，家电安全软件评估仅对安全相关部分进行评 估，涉及相关硬件，软件和接口，因而区分这部分功 能非常必要。
4
（一）软件评估的背景和必要性（3）
IEC 60335-1：2010 附录 R 规定的软件评估，是对 MCU 进行“白盒测试”，是面向结构的，关注的是电 子控制器本身的故障情况，是对MCU 本身可靠性的确 认，可以从根本上保证家电整机对使用者、环境的安 全。通过检查软件控制器结构和具体的模块来确认保 护措施是否合适和可靠，并通过对安全功能模块（相 当于零部件）的分析测试来确认其可靠性
3、硬件方案的预审：对于客户产品进度来讲是关键点) 4、前期准备(设计+认证沟通确认方法)( 资料收集—软件 规格书，及Annex R提及) 5、实施阶段（检查+测试+记录):（测试，记录，再测试， 再记录。存档，评估通过） 6、报告阶段（软件版本确认+软件规格书内容确认）
20
（五）软件评估的流程(2)
3、关键点：硬件方案的预审（对象E/E/PES）
主控IC 选型（时钟，容量，部分有认证等）
软件结构：区分安全功能部分和非安全功能部分的结 构，体现在硬件结构上（如显示部分，主控部分的） 。
硬件电路系统评估（ 参考电路评估Annex Q）
21
（五）软件评估的流程(2)
4、1前期准备( 资料收集—软件规格书，Annex R提及)
3
（一）软件评估的背景和必要性（2）
电子线路/软件控制器（MCU）的引入，是家电向智能 化、网络化、集中控制等方向发展的必要条件，这也 便带来了人们对电子线路及其软件有效性和可靠性的 担忧。 因家电嵌入式软件必须通过硬件起作用，所以家电软 件评估实际上是对整个电路控制系统的评估，包括硬 件和软件两个方面。在评估的过程中，首先要评估电 路的功能和可靠性是否符合相关标准要求，然后再确 认软件及其运行环境的可靠性，这是一个宏观到微观 的过程 带有软件保护电子电路(PEC)的家电安全检测进行非正 常试验，如果仅对MCU进行“黑盒测试”，主要是针 对功能的，关注的是电子控制器在家电整机出现非正 常工作条件时能否实现保护功能，前提是控制器是无 故障的，但是实际上控制器的软件可靠性并没有被确 认
10
（三）软件评估的范围(3)
家电安全软件评估的评估对象是家电产品中使用的“ 电气/电子/可编程电子系统（E/E/PES）
11
（三）软件评估的范围(4)
首先，E/E/PES或PEC不等于可编程电子元件（如 MCU），而是包括可编程电子元件（作为处理单元） 、各种传感器和检测电路（作为输入单元）、各种执 行器件（作为输出单元）三大部分的完整系统，因而 家电安全软件评估，不仅仅是对可编程电子元件的评 估，而是对整个系统的评估。（ P144 Annex H ）
26
（五）软件评估的流程(7)
5、2 实施测试阶段之重点：测试及记录
按照Annex R.1/or 2的各项：进行在线仿真或者故障模 式与效果分析(FMEA) 。测试通过后记录存档。
上机前可以先静态分析：如代码查阅+simulation. 部分IC 不支持在线仿真，只能使用FMEA
接受的测试措施见Annex R（Annex H.11.12.7_ IEC 60730-1 or GB14536.1） 故障/错误的避免和控制（R.2 for Class C） 记录数据： 在线仿真读取的数据（CPU , ROM, RAM 等）；示波器的波形(FMEA)等
17
（四）什么情况下需要进行软件评估(5)
4、家电产品带有保护性电子电路，并且对保护性电子 电路施加IEC 60335-1：2010中的19.11.3规定的双重 故障情况下，保护性电子电路和其他如如热断路器、 管状熔断器等保护装置均未动作，但是并没有发生进 一步的危害，这种情况下如果保护性电子电路使用了 软件，也需要进行软件评估。原因是存在进一步发生 危险可能性，如果保护性电子电路中的软件不能正 常工作，则可能无法通过前面提到的双重故障。
12
（三）软件评估的范围(5)
可编程电子控制器中软件分类及软件评估的范围：
Class B 表R.1，处理一般故障/错误的软件 Class C 表R.2，处理特定故障/错误的软件
13
（四）什么情况下需要进行软件评估(1) （不具体展开）
并不是所有的使用电子控制器的家电产品都要进行软 件评估，关键要看家电产品是否具有保护性电子电路， 并且保护性电子电路是否使用了软件。(IEC 60335-1 参考电路评估流程Annex Q) IEC 60335-2-x 的结构或其他章节含E/E/PES, 特定需 满足Annex R（危险防护范围） 下面是几种情况（只考虑 IEC 60335-1 ）
23
（五）软件评估的流程(4)
4、3 前期准备( 资料收集—软件规格书，Annex R提及)
工具
编译器描述（及新建工程，到设置细节，如 存储器 类型，优化，SRAM配置， 时钟，芯片等参数的图片截 图） 链接器描述 集成开发环境，仿真软件描述（可选） 烧录器描述（可选）
版本控制
22
（五）软件评估的流程(3)
4、2 前期准备( 资料收集—软件规格书，Annex R提及)
软件系统方面：
功能规范及安全需求规格书（作简单说明） 模块化设计规范（区分功能安全模块（含控制软件故障 的模块）及非功能安全模块） 详细设计规范（必含功能安全模块，和使用到调用安全 模块的模块） 程序流程图（系统+功能安全程序） 数据流图（系统+功能安数据流） 系统状态转换图 时序图（功能安全程序）（可选） 功能安全相关程序响应（驱动）时间 功能安全源代码 测试记录（用示波器截图，仿真器，现场调试等截图， 等形式记录）