浅谈风险评估在家用电器软件评估中的重要性

王长林 魏明然 裴广福

1.中国标准化研究院，缺陷产品管理中心 北京 100101；

2.中家院（北京）检测认证有限公司 北京 100176

1 引言

随着自动控制器从机械式转换到电子式，越来越多的家用电器使用可编程电子电路作为控制器。这些电子控制器包含正常操作条件下的控制功能和非正常工作时的保护功能。在很多家电产品中，电子控制器已经替代部分甚至全部传统的机械式控制器，使得家电产品在功能的多样性、产品的智能化方面得到良好的发展，同时可以更好的节约成本。

与家电产品对使用者或使用环境安全性相关联的是家电产品所使用的电子控制器的可靠性。电子控制器的保护机制一旦失效，将导致严重后果，如火灾，机械危险甚至爆炸。因此，将带有电子控制器的家用电器的安全性评估与传统机电设备的安全性评估进行比较，只通过设置一个简单故障条件来判断其合规性是不可能的，必须对其进行软件评估。

2 风险及风险评估的概念

在标准GB/T 23694-2013《风险管理 术语》（ISO Guide 73:2009，IDT）中有对风险的定义。

风险：不确定性对目标的影响。

风险评估方法是通过对可能导致风险发生的因素进行评估分析，从而确定风险发生概率的大小。

风险评估包括识别风险来源、事件及其原因和潜在后果，重点关注产品信息，用户和使用方式、产品在消费过程中各环节可能存在的危险性和伤害严重程度；还包括理解风险性质、确定风险等级，这是风险评估和风险应对决策的基础，通过分析确定危害的概率、等级和严重程度，确定风险的性质和等级，为后续风险评估提供依据；它还包括将风险分析结果与风险标准进行比较，以确定风险和/或其规模是否可接受或可容忍的过程。

3 软件评估的内容

家用电器的软件评估是针对家用电器中使用的“电气/电子/可编程电子系统（E/E/PES）”，在家用电器安全标准里称其为带有软件的保护性电子电路(PEC with software)，这些系统的作用是用于控制或防止不符合家用电器安全标准要求的风险发生。

E/ E/ PES或 PEC不单单指可编程的电子元件（如 MCU），而是由可编程电子元件、各种传感器和检测电路、各种执行器件三大部分构成的完整电路系统。因此，软件评估的目的不仅是评估可编程电子元件，还要评估整个系统。家用电器的功能包括安全相关功能和非安全功能，软件评估仅对安全相关的部分进行评估，而非安全相关的部分不需要评估。

以目前使用的标准GB 4706.1-2005（IEC 60335-1 Ed 4.1）第22章结构中第22.46条指出，用于保护电子电路中的软件应为B类或C类软件，使用的保护软件级别应根据风险等级确定。一般性危害使用B级软件，防止特定危害（如爆炸等）使用C级软件。软件评估按照附录R的要求进行。评估方法和程序见GB/T 14536.1-2008（IEC 60730-1 Ed3.1）附录H。同时，功能安全分析和软件评估测试需要综合考虑家电安全的一般要求和特殊要求。

家电中任何软件功能的实现都是基于相应的硬件环境，所以家电的软件评估，不仅仅是对“软件”的评估，更是对电子控制器整个系统的评估。这包括对电子电路硬件的评估以及可编程电子器件的内部评估。某些风险的产生是没有办法通过外围电路防护的，如集成电路或芯片内部的电子元件或电路失效，这就需要通过保护性软件周期自检识别故障，防止软件在执行过程中因为硬件的故障导致执行错误，从而引起危险发生。

4 风险评估在软件评估中的应用

软件评估在家用电器安全认证中非常重要，但并非所有使用电子控制器的家用电器都需要进行软件评估。需要通过风险评估来评估家用电器是否需要进行软件评估。

首先对家电产品进行风险识别，可通过对电子控制器进行功能分析来判断其是否需要做软件评估，确定哪些功能是一般性功能，哪些功能是与安全相关的功能。我国家电产品检测主要依据GB 4706.1-2005（IEC 60335-1 Ed4.1）的标准要求，其中家用电器可能存在火灾、机械危险甚至爆炸等危险，这些危险都需要有产品结构、机械保护装置或者电子电路的保护措施。

其次对家电产品存在的风险进行风险分析，对于发生概率高、伤害严重的风险需要加强防护。可以通过GB 4706.1-2005第19章的非正常工作试验来判断哪些防护用到了软件，需要进行软件评估。如果在非正常工作时系统安全依赖于机械保护装置，如热断路器或保险丝，则无需进行软件评估；如果由保护性电子电路确保家用电器的安全，则电子控制器需要按照19.11.2条款的试验进行电子电路故障测试，进一步确定电子控制器中属于PEC的部分，根据不同的风险确定对应的PEC后，再根据标准要求对PEC进行测试，按照19.11.3试验的顺序事先对PEC施加19.11.2的故障条件，然后重复该PEC所保护的19.X（包括19.10X）等试验，如果电子控制器在双重故障测试期间不依赖软件进行保护，则无需进行软件评估；如果在双重故障试验过程中是依靠软件防护危险，则需要对相关家电产品进行软件评估。

以热水器为例，作为以加热为主要功能的产品，由于产品设计的不合理，可能导致在使用过程中发生过电流、过热燃烧等危险，造成严重甚至非常严重的后果。如果热水器使用机械式热断路器来防止系统过热，则无需进行软件评估。但是如果采用温度传感器、MCU加继电器这种保护性电子电路的方式替代机械式热断路器来防止系统发生过热的风险，这种依赖于电子电路和相关保护软件正常运行的防护方式就需要进行软件评估。

最后需要对家电产品存在的风险进行风险评价，对于一旦发生就会造成严重以及非常严重的风险要加强防护，使产品的风险处于可以接受或容忍的范围。

系统风险分析文件是通过风险识别，风险分析和风险评价的全过程形成的。由于电子控制器的核心部件——可编程电子元件是高度集成的元件，其硬件结构和软件代码被封装在芯片中，人眼无法识别，需要借助风险评估的结果、非正常试验的数据和相关软件工具来检查样品。对于软件评估来讲，这些资料和工具均属于样品的一部分。通过对资料的预审、对产品的静态分析和动态测试后，可以判定电子控制器是否通过软件评估试验。

5 风险分析对软件评估的意义

随着家电行业的发展，越来越多的家电产品使用电子控制器替代传统的机电式控制器，从信号控制到模糊控制，再到智能感知、家电物联、智能家居、三网融合等，都离不开软件的开发和测试。家电软件评估将成为家电质量评估的必要组成部分。

风险评估是软件评估的一个重要组成部分。在进行软件评估之前，有必要确定系统的风险，确定不同风险的风险等级，并对相应的风险采取不同的保护措施。有助于提高产品质量、提升产品安全防护能力、降低产品风险伤害的严重程度。