1 引言
　　随着电自动控制器逐渐由机械式向电子式过渡，越来越多的家电产品使用由嵌入软件的微处理器构成的电子固件作为控制器。如果嵌入软件中含有安全相关的部分，如过热保护、防火、防爆等，这类软件必须运行可靠，一旦运行出现错误，可能引起机械损伤、失火、电磁辐射等危险，造成人身伤害及财产损失。因此，在电自动控制器类的标准IEC60730-1/GB14536.1中增加了对电自动控制器的额外要求；且新版的家用和类似用途电器的通用标准IEC60335-1/GB4706.1也引用了IEC60730-1对电自动控制器的额外要求[1]。

　　2 软件评估概述
　　2.1实质
　　电自动控制器软件评估是指按照家电产品的安全标准，对家电产品电自动控制器中的嵌入式软件系统进行评估。对于嵌入软件中含有安全相关的部分，其软件结构及相关的硬件布局必须具有避免发生软件错误和控制硬件故障的安全措施，以便软件在产品工作时能够及时可靠地发现并处理可能导致危害的故障/错误，保障家电的安全使用。换言之，软件评估就是考察微处理器及相关的硬件、用以替代原有机械式保护器件的功能是否可靠。
　　2.2软件评估的适用范围
　　电自动控制器软件评估在家电安全认证中十分重要，但是并不是所有的使用电自动控制器的家电产品都要进行软件评估。判断是否需要做软件评估的关键在于：（1）家电产品是否具有保护性电子电路；（2）保护性电子电路是否使用了软件。对于根据家电特点和功能需要开发的软件及相关外围电路如电源部分、驱动部分等不在软件评估考核的范围之内。
　　2.3软件分类
　　按照IEC 60730-l的定义，软件按照控制功能分为A类、B类、C类三类。
　　A类软件为不用于决定受控设备安全的控制功能。A类软件用于功能、性能调节，用来控制电器的正常使用，如空调器的功能选择、房间恒温器、湿度控制器、照明控制器、定时器和计时开关，这类软件不属于安全相关。
　　B类软件用来防止被控设备的不安全操作的控制功能。B类软件是安全相关的软件，用于处理电器非正常工作，防止当保护电子线路出现故障时导致电器不安全动作，如洗衣设备的热断路器和门锁等。
　　C类软件也是安全相关的软件，用于处理特殊危险（如爆炸）情况。防止当保护电子线路出现故障时导致危害，如自动燃烧器控制器和封闭的水加热系统用的热断路器[2]。
　　新版IEC60335-1：2010 Ed.5.0标准中，取消了B/C类软件的分类，在通用要求中只提出了表R1的控制措施要求，相当于针对B类软件；R2要求相当于针对C类软件。
　　2.4基本要求
　　IEC 60730-1 Annex H中的表H11.12.7列举了软件出现故障/错误的组件和应采取的措施，涵盖了单片机系统的全部功能元件，测试时主要是围绕寄存器、时钟系统、中断系统、PC、RAM/ROM、I/O展开。
　　故障/错误是指软件中与安全相关的数据在生成、存储及传输中出现的数据错误以及安全相关字段存在的编程错误[3]。故障（fault）是由微处理器内部元器件问题引起的软件工作不正常，通常划归为两种：滞位（stuck-at）和DC故障。错误（error）即偏离正常值。stuck-at故障就是电路不能正常反转，滞留在低或者高电平上的现象；DC（direct current）故障是指内部短路。
　　控制措施就是要求当软件运行中遇到这些故障/错误时，应当及时处理这些故障/错误，断路或者停机，避免危害的发生。

　　3 软件评估测试相关知识
　　3.1相关标准
　　软件评估依据IEC 60335-1/GB4706.1《家用和类似用途电器的安全 第1部分：通用要求》附录R要求进行，评估方法和流程程序采用了IEC 60730-1/ GB14536.1《家用和类似用途电自动控制器 第1部分：通用要求》的附录H。
　　3.2评估流程
　　软件评估测试流程可分为以下几个部分：资料确认、硬件检查、程序验证、硬件验证、出具报告等，如图1所示。
　　（1）资料确认
　　软件评估需要生产商提供标准要求的完整的资料。根据IEC 60730-1表H.7.2的要求，通常要求生产商提供下述文件：
　　1)产品制造/认证模式；
　　2)产品相关文档；
　　3)电路图；
　　4)可编程器件相关资料；
　　5)程序流程图或有限状态机；
　　6)软件代码及版本控制等。
　　（2）硬件检查
　　核查硬件电路，根据电路图等资料了解电路中各个功能模块的原理，核对是否与所提供的样品电路板一致。了解微处理器的各管脚的定义，及其运行架构，掌握微处理器的指令，初步判断微处理器是否满足标准要求。
　　（3）程序验证
　　分析产品程序中的各功能模块，依照是否涉及整机安全这一原则对各程序中的各功能模块进行分类。根据提供的流程图分析软件程序是否存在逻辑性问题。结合硬件及程序，了解各硬件与软件接口。根据IEC 60730-1表H.11.12.7要求，检查程序是否对每个与安全相关的组件提供相对应有效的措施。
　　（4）硬件验证
　　在确保各项措施的逻辑有效性后，通过在线仿真器ICE、软件评估仿真平台等各项措施，验证各项措施的实际有效性。

　　4结语
　　电自动控制器软件评估在目前国内检测技术中属于新兴领域，处于起步阶段。国际上也没有统一的测试方法，因此技术上仍存在一定的风险，但从起步到成熟，这一过程中可能出现一些问题，需要我们逐步去研究、探索和总结。