淺談風險評估在家用電器軟件評估中的重要性

王長林 魏明然 裴廣福

1.中國標準化研究院，缺陷產品管理中心 北京 100101；

2.中家院（北京）檢測認證有限公司 北京 100176

1 引言

隨著自動控制器從機械式轉換到電子式，越來越多的家用電器使用可編程電子電路作為控制器。這些電子控制器包含正常操作條件下的控制功能和非正常工作時的保護功能。在很多家電產品中，電子控制器已經替代部分甚至全部傳統(tǒng)的機械式控制器，使得家電產品在功能的多樣性、產品的智能化方面得到良好的發(fā)展，同時可以更好的節(jié)約成本。

與家電產品對使用者或使用環(huán)境安全性相關聯(lián)的是家電產品所使用的電子控制器的可靠性。電子控制器的保護機制一旦失效，將導致嚴重后果，如火災，機械危險甚至爆炸。因此，將帶有電子控制器的家用電器的安全性評估與傳統(tǒng)機電設備的安全性評估進行比較，只通過設置一個簡單故障條件來判斷其合規(guī)性是不可能的，必須對其進行軟件評估。

2 風險及風險評估的概念

在標準GB/T 23694-2013《風險管理 術語》（ISO Guide 73:2009，IDT）中有對風險的定義。

風險：不確定性對目標的影響。

風險評估方法是通過對可能導致風險發(fā)生的因素進行評估分析，從而確定風險發(fā)生概率的大小。

風險評估包括識別風險來源、事件及其原因和潛在后果，重點關注產品信息，用戶和使用方式、產品在消費過程中各環(huán)節(jié)可能存在的危險性和傷害嚴重程度；還包括理解風險性質、確定風險等級，這是風險評估和風險應對決策的基礎，通過分析確定危害的概率、等級和嚴重程度，確定風險的性質和等級，為后續(xù)風險評估提供依據；它還包括將風險分析結果與風險標準進行比較，以確定風險和/或其規(guī)模是否可接受或可容忍的過程。

3 軟件評估的內容

家用電器的軟件評估是針對家用電器中使用的“電氣/電子/可編程電子系統(tǒng)（E/E/PES）”，在家用電器安全標準里稱其為帶有軟件的保護性電子電路(PEC with software)，這些系統(tǒng)的作用是用于控制或防止不符合家用電器安全標準要求的風險發(fā)生。

E/ E/ PES或 PEC不單單指可編程的電子元件（如 MCU），而是由可編程電子元件、各種傳感器和檢測電路、各種執(zhí)行器件三大部分構成的完整電路系統(tǒng)。因此，軟件評估的目的不僅是評估可編程電子元件，還要評估整個系統(tǒng)。家用電器的功能包括安全相關功能和非安全功能，軟件評估僅對安全相關的部分進行評估，而非安全相關的部分不需要評估。

以目前使用的標準GB 4706.1-2005（IEC 60335-1 Ed 4.1）第22章結構中第22.46條指出，用于保護電子電路中的軟件應為B類或C類軟件，使用的保護軟件級別應根據風險等級確定。一般性危害使用B級軟件，防止特定危害（如爆炸等）使用C級軟件。軟件評估按照附錄R的要求進行。評估方法和程序見GB/T 14536.1-2008（IEC 60730-1 Ed3.1）附錄H。同時，功能安全分析和軟件評估測試需要綜合考慮家電安全的一般要求和特殊要求。

家電中任何軟件功能的實現都是基于相應的硬件環(huán)境，所以家電的軟件評估，不僅僅是對“軟件”的評估，更是對電子控制器整個系統(tǒng)的評估。這包括對電子電路硬件的評估以及可編程電子器件的內部評估。某些風險的產生是沒有辦法通過外圍電路防護的，如集成電路或芯片內部的電子元件或電路失效，這就需要通過保護性軟件周期自檢識別故障，防止軟件在執(zhí)行過程中因為硬件的故障導致執(zhí)行錯誤，從而引起危險發(fā)生。

4 風險評估在軟件評估中的應用

軟件評估在家用電器安全認證中非常重要，但并非所有使用電子控制器的家用電器都需要進行軟件評估。需要通過風險評估來評估家用電器是否需要進行軟件評估。

首先對家電產品進行風險識別，可通過對電子控制器進行功能分析來判斷其是否需要做軟件評估，確定哪些功能是一般性功能，哪些功能是與安全相關的功能。我國家電產品檢測主要依據GB 4706.1-2005（IEC 60335-1 Ed4.1）的標準要求，其中家用電器可能存在火災、機械危險甚至爆炸等危險，這些危險都需要有產品結構、機械保護裝置或者電子電路的保護措施。

其次對家電產品存在的風險進行風險分析，對于發(fā)生概率高、傷害嚴重的風險需要加強防護?？梢酝ㄟ^GB 4706.1-2005第19章的非正常工作試驗來判斷哪些防護用到了軟件，需要進行軟件評估。如果在非正常工作時系統(tǒng)安全依賴于機械保護裝置，如熱斷路器或保險絲，則無需進行軟件評估；如果由保護性電子電路確保家用電器的安全，則電子控制器需要按照19.11.2條款的試驗進行電子電路故障測試，進一步確定電子控制器中屬于PEC的部分，根據不同的風險確定對應的PEC后，再根據標準要求對PEC進行測試，按照19.11.3試驗的順序事先對PEC施加19.11.2的故障條件，然后重復該PEC所保護的19.X（包括19.10X）等試驗，如果電子控制器在雙重故障測試期間不依賴軟件進行保護，則無需進行軟件評估；如果在雙重故障試驗過程中是依靠軟件防護危險，則需要對相關家電產品進行軟件評估。

以熱水器為例，作為以加熱為主要功能的產品，由于產品設計的不合理，可能導致在使用過程中發(fā)生過電流、過熱燃燒等危險，造成嚴重甚至非常嚴重的后果。如果熱水器使用機械式熱斷路器來防止系統(tǒng)過熱，則無需進行軟件評估。但是如果采用溫度傳感器、MCU加繼電器這種保護性電子電路的方式替代機械式熱斷路器來防止系統(tǒng)發(fā)生過熱的風險，這種依賴于電子電路和相關保護軟件正常運行的防護方式就需要進行軟件評估。

最后需要對家電產品存在的風險進行風險評價，對于一旦發(fā)生就會造成嚴重以及非常嚴重的風險要加強防護，使產品的風險處于可以接受或容忍的范圍。

系統(tǒng)風險分析文件是通過風險識別，風險分析和風險評價的全過程形成的。由于電子控制器的核心部件——可編程電子元件是高度集成的元件，其硬件結構和軟件代碼被封裝在芯片中，人眼無法識別，需要借助風險評估的結果、非正常試驗的數據和相關軟件工具來檢查樣品。對于軟件評估來講，這些資料和工具均屬于樣品的一部分。通過對資料的預審、對產品的靜態(tài)分析和動態(tài)測試后，可以判定電子控制器是否通過軟件評估試驗。

5 風險分析對軟件評估的意義

隨著家電行業(yè)的發(fā)展，越來越多的家電產品使用電子控制器替代傳統(tǒng)的機電式控制器，從信號控制到模糊控制，再到智能感知、家電物聯(lián)、智能家居、三網融合等，都離不開軟件的開發(fā)和測試。家電軟件評估將成為家電質量評估的必要組成部分。

風險評估是軟件評估的一個重要組成部分。在進行軟件評估之前，有必要確定系統(tǒng)的風險，確定不同風險的風險等級，并對相應的風險采取不同的保護措施。有助于提高產品質量、提升產品安全防護能力、降低產品風險傷害的嚴重程度。