7. 引起故障的常见原因

stuck-at或DC故障是许多故障的归类，直觉感到这种分类太笼统，但一时也找不到更好的解释。

什么因素导致故障？标准没有说，因为太多的因素，估计编标准的人一时也反应不过来，这需要时间积累。

常见的导致stuck-at或DC故障的因素是：

静电：集成电路内部的cmos管很容易击穿；
传导电磁骚扰：类似浪涌、脉冲群；
机械损伤：跌落等；
无线骚扰：外界和电路设计不当，导致信号失真；
其它的，大家补充

不好意思，最近开始忙起来了，抓紧时间把这个网上内容搞完整。

上面讲了软件评估的概念，希望说的清楚，如有问题请大家提出来，我尽可能回答清楚。

下面主要讲控制故障/错误的措施，这是硬的要求，在程序中必须有的内容。

IEC60730-1 H.11.12.7 控制故障/错误的措施

Check-Control-Measures.jpg

这个图片大家可以另存放大看。

它显示了所有的检查内容，很明显它所涉及的内容都是控制器硬件，就是考虑哪个部件一旦出现故障应该怎么办。

下面举例说明采取怎样的措施才可以。

以存储器为例，采用通用60335-1 Ed.5.0标准的要求，相当于B类软件。

其措施如图：

example.jpg

如 4.1不可变存储器，就是ROM，对应B类软件，有三种措施选项，任选一种或几种的组合：
周期修改的检查和；或    H.2.19.3.1
多重检查和           H.2.19.3.2
带有一位冗余的字保护    H.2.19.8.2

这条要求中，就是选H.2.19.3.1或者H.2.19.3.2再加上H.2.19.8.2

下面是这几条措施的定义，也就是方法，实现的途径很多，如何实现取决于编程员的个人偏好。

H.2.19.3.1修改的检查和 modified checksum
产生并贮存代表贮存器中全部宇内容的一个单字的一种故障/错误控制技术。在自检期间，从相同的算法中形成一个检查和，并与被贮存的检查和比较。
注:本技术识别所有奇错误和某些偶错误。

H.2.19.3.2 多重检查和 multiple checksum
产生并贮存代表待测贮存区域内在的一个独*立字的一种故障/错误控制技术o 在自检期间，从相同的算法形成一个检查和并与为该区域的贮存的检查和比较。
注:本技术识别所有奇错误和某些偶错误。

H.2.19.8.2 带有一位冗余的字保护 word protection with single bit redundancy
把一位加到被试贮存器区域的每一字，并且贮存的一种故障/错误控制技术，产生的奇偶性或者为奇数或者为偶数。当读每一字时，进行奇偶性校验。
注:本技术识别所有的奇数位错误

对于整个控制系统，控制措施的工作量很大，可能比使用功能的工作量还大，其间涉及到时间节点等问题，所以，程序员很头痛


[ 此贴被neutron在2010-03-09 18:18重新编辑 ]

高手不少, 我认为现在国产的电器虽然用了些软件控制,但不是全智能, 也就是不是B 程序, 软件评估不难,但做成B类程序软件就难了, 开发费用和认证费用都是比较高的, 而且不见 效益. 所以我国是"不提倡鼓励的".

软件评估是个比较麻烦的事情，一般我都会建议工厂避开这个环节，在保留软件控制的保护功能的同时，增加一个硬件控制的保护装置，如直接接在电源极的温度保险丝等等，这样，即使软件失效，在发生危险的时候，还有硬件保护这一保护功能。

楼主的分析很仔细，里面对60730附录H的解析也结合了自己的理解，我觉得很好！

楼主讲的不错，对于具体的操作我还是很迷糊。烦劳再多讲一些。

软件评估这一块，目前都没有太过明确的做法，大家的办法都各不相同。

原帖链接：
http://www.angui.org/read.php?tid-65358.html

看了这个贴子有些不同的意见，另开一个贴子进行说明一下。
1.    软件评估的来源， 应该说是软件评估要求的来源。
软件评估的标准，讲的比较全的是IEC 61508 （Functional safety of electrical/electronic/programmable electronic safety-related systems）这个一个系列的标准，60335－1的annex R和60730的相关部分都是引用这里的一些内容的。
2.    那些家电需要软件评估
“顺便说，由于软件评估费时费力，是不是能够绕开？

回答：能！

就是不考虑软件控制的保护功能。

但是，按照 19.11.3的要求，就要进行double faults故障模拟，即要增加相当于软件控制的保护功能的硬件，可以实现，但很难成

功。

（335-1 ed.4.1）19.11.3如果器具装有使器具符合第19章要求的保护电子电路，则按19.11.2 中a）~f）的要求，相关试验以模拟

单 一故障的方式重复进行。

ed.4.2有个g）failure of an electronic power switching device in a partial turn-on mode with loss of gate (base)

control. During this test, winding temperatures shall not exceed the values given in 19.7.

以这条要求考核目前家电功率开关管的电路结构，基本上都不合格。”

有些产品的结构从目前来看是没有硬件保护的，比如直流无刷电机，这个就必须通过软件保护。到目前为止没有看到过有通过硬件来保护的。另外通过60335 的19.11.3是不能完全来评估的，我们需要了解产品是怎么工作的，比如系统中的时钟频率出错，可能会导致多个元件不工作，这个需要通过软件来模拟的才能知道的。
3.    要求
关于class B和class C的定义
3.9.4    B级软件software classB
含有代码的软件，用于防止器具由于非软件故障而引起的危险。


3.9.5 C级软件software classC
含有代码的软件，用于防止没有使用其他保护装置时出现的危险。
现有的60335中的定义完全不可用，用这个是没有办法定义是class B还是Class C的，这里只是说了class B和Class C的作用，而没有说明什么是Class B和Class C， 估计今年新版的iec60335－1要发行了，里面会给出新的定义。其等级是根据保护失效后引起的危险程度来分的，具体在－2部分中指出，否者就是Class B。也就是说标准会告诉你软件等级的。

4.    家电软件评估——评估什么？
这个是所有做软件评估的工程师要清楚的。但是可惜这个并没有讲清楚。其实软件评估实际上不是来评估软件的，它是用来评估硬件的，看一看，在annex R或60730的annex H中模拟的是哪些错误就知道了。因为在集成电路或芯片中，电子元件的开路和短路是没有办法通过实际的短路开路来实现，只能通过软件来模拟它失效的。众所周知的是计算机是二进制代码的，所有的存储是0和1两种形式，stuck-at是指其存储单元坏死，固定在0或者1上的。DC fault是指内部短路。芯片制造是刻一层线路涂一层很薄的绝缘很多层线路和绝缘层就组成了芯片。两个带电位的节点和这个绝缘会形成类似“电容”对任意两个节点短路就相当于对一个“电容”短路。当通过软件控制电子开关管的断开实现保护时，这个的评估是必然的，同时模拟两个错误也无法实现对软件的模拟。因为你不知道当芯片内的计数器或其他元件的出错是否会使所有的开关管失效。除非产品还有另外的机械保护器。
5.     家电安全功能软件——结构设计
结构是设计并不是很难，如果不是产品本身有天生的缺陷的话，目前困扰中国厂家的是软件的拥有权，一般的厂家的线路板是外包的，而线路板的厂家的软件可能是请人设计的。而在做软件评估时，我们需要知道最底层的代码，如果整机厂家无法拿到这个代码并请软件工程师配合的话，根本无法做评估。软件评估必须请软件工程师一起来测试的！！！
6.    控制软件故障/错误的技术和措施以及引起故障的常见原因
这个在annex R中已经有了，按照那个一个一个做就可以了， 60730的annex H和这个差不多的
7.    如何实现相对应的保护措施
这个需要一些计算机硬件和软件的知识单不需要太深，知道一点就可以了，而且也可以边做案子边学习的。举个简单的例子，奇偶校验，一般计算机发出的指令都是一串二进制代码，如果01110110，把这个代码的所有的0和1相加得到5，也就是奇数，当有一个0变成1或有一个1变成0时，所有的1和0加起来就是偶数了，这时通过奇偶校验就会被发现，因为其接受的条件是指令代码必须是奇数，偶数就说明出错了，指令会被拒绝。另一个要知道的是，奇偶校验只能发现一位0或1出错的情况，当有两位数字同时出错，是发现不了的。所以在要求更高的class C软件中，奇偶校验被认为不能满足保护的要求。


[ 此贴被大侠风清扬在2010-05-07 10:00重新编辑 ]

软件评估不是很清楚

很好的学习资料，希望有根多人来探讨。

我有一份关于“家电产品软件评估”的资料，在这里与大家分享。

软件评估，指的是智能方面的，或保护方面的安规评做吗？

目前认证公司在产品认证的时候没有对软件的可靠性进行测试评估.