(高清版)GBT 42555-2023 計量器具控制軟件的通 用要求

計量器具控制軟件的通用要求2023-05-23發(fā)布I 12規(guī)范性引用文件 l3術語和定義 14文件的指導作用 85風險評估 85.1風險評估目的 85.2影響風險等級因素 86計量應用軟件的要求 96.1通用要求 96.2特定配置要求 7型式批準 7.1型式批準的申請資料 7.2型式批準的技術要求 7.3軟件的驗證和評價 7.4軟件評價過程 7.5被測計量器具 8計量器具的軟件驗證 8.1通用要求 8.2驗證方法和測試項目 附錄A(資料性)軟件評價報告格式示例 參考文獻 Ⅲ本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。本文件由全國計量器具管理標準化技術委員會(SAC/TC525)提出并歸口。本文件起草單位：北京市計量檢測科學研究院、中國計量協(xié)會、金卡智能集團股份有限公司、浙江蒼南儀表集團股份有限公司、天信儀表集團有限公司、成都秦川物聯(lián)網科技股份有限公司、重慶前衛(wèi)表業(yè)有限公司、遼寧思凱科技股份有限公司、成都安迪生測量有限公司、遼寧航宇星物聯(lián)儀表科技有限公司、新天科技股份有限公司、中山大學、湖南省計量檢測研究院、浙江省計量科學研究院、安徽省計量科學研究院、廣州大幫智能科技有限公司。1計量器具控制軟件的通用要求本文件規(guī)定了計量器具控制軟件(以下簡稱計量軟件)的通用要求，提供了驗證指南。本文件適用于計量軟件的通用要求及軟件評價過程的設計和策劃。具體計量器具以本文件為基礎制定相應的計量軟件要求及檢測要求。本文件僅適用于計量器具或其電子裝置的控制軟件。本文件只規(guī)定了部分信息安全的要求，使用時注意國家相關信息安全的要求。注：本文件不完全包含某些特定控制軟件的所有技術要求，這些技術要求已在相關的國家標準和技術規(guī)范中給2規(guī)范性引用文件下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于JJF1001通用計量術語及定義JJF1001界定的以及下列術語和定義適用于本文件。審核日志audittrail注：這些事件包括某一裝置的參數值更改、軟件升級，或者其他有可能影響到計量特性的、涉及法制計量管理的行為。對某一用戶、過程或裝置的公開或宣稱身份進行檢查的(過程)活動。注：例如檢查下載的軟件是否來源于型式批準證書的持有者。認證結果authenticity認證過程的結果(通過或不通過)。專用模塊built-for-purposedevice能完成特定的計量性能的單元。單獨或與一個或多個輔助設備組合，用于進行測量的裝置。2校驗裝置checkingfacility內置在計量器具中，能檢測到故障且能產生響應的功能單元。注：“產生響應”是指計量器具發(fā)出充分的響應(如發(fā)出光信號、聲信號，及測量過程中的防范措施等)。計量器具的一部分，支持計量器具、電子裝置或者其他系統(tǒng)外部接口之間的數據交互。注1:通信接口數據傳送可以是有線、無線、光學等方式，如通常設計的采用某一個通信協(xié)議。注2:本定義不包括軟件之間的通信。包含有屬于計量器具或用戶的公鑰以及其唯一身份標識的數據集。注：此標識可以是計量器具的序列號、用戶名字或個人識別號碼(PIN碼)及有效日期。在內存中每一個程序用來處理數據的存儲單元。注：數據域可以屬于1個或多個軟件模塊。設備專有參數device-specificparameter計量器具中涉及法制計量的相關參數。注：設備專有參數包含可調整參數(如間距調整參數或其他可調整、修正的參數)和配置參數(如最大值、最小值及計量單位等)。耐久性durability在使用周期內，計量器具保持其計量性能的能力。使用電子手段和(或)裝備有電子裝置，對電量或非電量進行測量的計量器具。注：只要是涉及法制計量的輔助裝置，都被視為是計量器具的一部分。采用軟件方法在源代碼或軟件上增加可驗證的代碼或軟件。注1:通常采用公鑰方法來驗證電子簽名，例如，2把鑰匙中其中一把鑰匙是保密的；另外一把是公開的。注2:如為了驗證真實性，或核對軟件或代碼沒有被修改，可采用公鑰來驗證真?zhèn)?。?:當軟件和代碼需要保密時采用密鑰方法。當軟件和代碼使用前已經驗證采用公鑰法。注4:驗證可能需要加密證書。示值誤差errorofindication計量器具示值與對應輸入量的約定真值之差。3包含有影響計量特性的失效或故障信息記錄的連續(xù)數據文件，特別適用于測量后故障信息失效或者無法識別的情況。對計量器具某一參數、可調系數進行修改或對軟件模塊進行升級的操作。事件一旦發(fā)生就進行累加且不可復位的計數器。安裝在計量器具、電子裝置或組件(EPROM、硬盤等)的計算機系統(tǒng)中的文件。固有誤差intrinsicerror在參考條件下確定的測量儀器或測量系統(tǒng)的誤差。計量器具的示值誤差和基本(固有)誤差之差。注1:通過電子儀器測量不希望發(fā)生變化的偏差。注2:從偏差的定義理解，可以采用測量值或者相對值表達，例如用百分比表達。將一個較大(可能很大)數據域的值映射到一個較小范圍內的(數學)映射值的函數。程序、數據或參數的完整性integrityofprograms,dataorparameters接口interface供兩個或多個功能單元之間連接的共享邊界，通過不同的功能、物理連接、信號交換等附屬特性進行定義，還可通過這些單元其他的一些特性來定義?？芍袛嗟睦鄯e測量在計量器具正常的操作中，可以在正常運行時迅速中斷的累計測量過程量的測量。注1:如自動衡器的不連續(xù)可累積功能和燃油加油機的測量都是可中斷的。注2:參考不可中斷的累積測量定義。4受法制計量管理的屬性。涉及法制計量的計量器具、電子裝置或組件的參數。注：需要區(qū)分以下兩種法制計量相關參數：型式專有參數和設備專有參數。計量器具、電子裝置或組件的軟件模塊中與法制計量相關的部分。最大允許誤差maximumpermissibleerror對給定的測量、測量儀器或測量系統(tǒng)，由規(guī)范或規(guī)程所允許的，相對于已知參考量值的測量誤差的通過實驗獲得并可合理賦予某量一個或多個量值的過程。注1:測量不適用于標稱特性。注2:測量意味著量的比較并包括實體的計數。注3:測量的先決條件是對測量結果預期用途相適應的量的描述、測量程序，以及根據規(guī)定測量程序(包括測量條件)進行操作的經校準的測量系統(tǒng)。在測量過程中使用的數據。注：測量數據包括與測量結果相關的數據和測量過程的數據。測得的量值減去參考量值。注1:測量誤差的概念在以下兩種情況下均可使用：a)當存在單個參考量值時，如用測得值的測量不確定度可忽略的測量標準進行校準，或約定量值給定的，這種情況測量誤差是已知的；b)如果假設被測量使用唯一的真值或范圍可忽略的一組真值表征時，這種情況下測量誤差是未知的。注2:不應將測量誤差與產生的錯誤或過失相混淆。測量過程元數據measurement(process)metadata測量過程中關聯(lián)的元數據。注1:測量元數據包括了測量結構和與測量過程相關的數據。注2:測量過程中關聯(lián)的元數據包括測量參數的格式、設置鏈接的格式或者會話參數的格式。測量過程中需要推導出測量結果的關聯(lián)數據。5注：例如測量過程數據可包括測量參數、設定值或者會話參數。測量過程中關聯(lián)的一組定量值或者變量。注：測量過程信息包括測量過程數據和測量元數據。與其他有用的相關信息一起賦予被測量的一組量值。注1:測量結果通常包含這組量值的“相關信息”,諸如某些可以比其他方式更能代表被測量的信息。它可以概率密度函數(PDF)的方式表示。注2:測量結果通常表示為單個測得的量值和一個測量不確定度。對某些用途，如果認為測量不確定度可忽略不計，則測量結果可表示為單個測得的量值。在許多領域中這是表示測量結果的常用方式。測量結果關聯(lián)數據measurementresultrelevantdata推導測量結果過程中使用的數據。注：例如數字、傳感器的原始模擬值或者計量器具的授權號，都可能是測量結果的一部分。測量結果關聯(lián)的元數據measurementresultrelevantmetadata能推導出測量結果關聯(lián)的元數據。注：例如數字格式、傳感器的原始模擬值、測量值的格式、計量器具的授權號都可能是測量結果的一部分。測量結果關聯(lián)的一組定量值或者變量。注：包括測量結果關聯(lián)的數據和元數據。元數據metadata描述數據的數據，對數據及信息資源的描述性信息，用于提供某種資源的有關信息的結構數據。不可中斷的累積測量non-interruptiblecumulativemeasurement在計量器具的一個累計的連續(xù)測量。過程中，用戶或操作人員不能終止測量并重新繼續(xù)。注1:如自動衡器的連續(xù)累積功能和熱量表的測量都是不可中斷的。注2:參考可中斷的累積測量定義。保護接口protectiveinterface防止非法影響涉及法制計量管理部分軟件和控制數據流的軟件模塊。為防止對計量器具硬件或軟件部分未經授權的修改、重新調整或拆除等行為，而對相應組件或部位所做的特別保護。注：可以通過硬件或軟件實現(xiàn)，或二者組合共同實現(xiàn)。6防止非法進入計量器具的硬件或軟件的方法手段。導致計量器具運行產生不良影響的事件或者故障。示例1:刪除審計軌跡。示例2:未經授權的修改參數。示例3:未經授權的更新。根據特定流程查驗一個或多個軟件特性的技術操作。注：如技術文檔分析或在受控條件下的程序運行。與需關注的軟件或軟件模塊密切相關的可讀字符串。注1:可以在計量器具的運行過程中進行檢查。注2:如版本號、校驗和等都是軟件標識。由程序代碼和專有數據域構成，在軟件模塊注1:軟件接口不限于涉及法制計量相關部分的。注2:在兩個或多個軟件模塊之間交換和傳輸命令。整個系統(tǒng)中一些相對獨立的程序單元，每個程序單元完成和實現(xiàn)一個相對獨立的軟件功能。注1:包括數據域在內的諸如程序、子程序、庫、對象等，它們的數據區(qū)之間可以關聯(lián)。注2:計量器具的控制軟件可以包括一個或多個軟件模塊。通過硬件或軟件封緘來鎖定保護計量軟件或數據域。注：只有移除、損壞或破壞封緘后，才可以更改軟件。計量器具、電子裝置或組件中的軟件可以分為法制計量相關和不相關兩部分。注：它們之間可以通過軟件接口通信。7未經編譯的，按照一定的程序設計語言規(guī)范編寫的、可讀可編輯的計算機程序。注：源代碼可以編譯或生成可執(zhí)行代碼。測量完成后，為涉及法制計量相關目的(如貿易結算用)而保留測量數據的存儲器。唯一的時間數據。注：例如，表明某一事件或故障發(fā)生的日期或時間，可以表示成秒數或日期加時刻統(tǒng)一格式的字符串。通過通信網絡或其他方法將測量數據傳輸到遠處的電子裝置，以作進一步處理或用于法制計量相關的目的。根據文件要求對測量儀器指定型式的一個或多個樣品性能所進行的系統(tǒng)檢查和試驗，并將其結果寫入型式評價報告中，以確定是否可對該型式予以批準。型式專有參數type-specificparameter量值僅與計量器具的型式有關的涉及法制計量相關的參數。注1:型式專有參數是法制計量相關軟件的一部分。注2:如非水液體的流量測量系統(tǒng)中，某一渦輪流量計的液體運動黏度范圍這一型式專有參數已被型式批準規(guī)定，所有該類渦輪流量計就應具有相同的黏度范圍。通用設備universaldevice不是為特定目的而構造，但可以通過軟件完成計量任務的設備。注：該類設備可能有未聲明的操作系統(tǒng)接口。操作員與計量器具或其硬件、軟件組件之間傳遞信息的接口媒介。提供客觀證據證明計量器具軟件滿足規(guī)定的要求。注：驗證與檢定容易混淆。8查明和確認測量儀器符合法定要求的活動，它包括檢查、加標記和/或出具檢定證書。4文件的指導作用本文件規(guī)定了軟件的通用要求，各條款中的示例是給出的可接受的技術解決方案，并不作為唯一的評判依據，具體計量器具的軟件要求應在遵循本文件要求的基礎上進行細化和編寫。本文件目標是提供一個通用要求，不可能適用于全部的計量器具。不同領域的計量器具風險水平不同，針對具體的計量器具在編寫時需要考慮哪些測量數據時除要遵守本文件要求，還要考慮必要的影響因素。5風險評估5.1風險評估目的建立通用的評估計量器具控制軟件測試風險級別的指南。風險級別并非如準確度分類等級一樣嚴格界定，而且不限定其他標準嚴格和本文件風險等級等效。特殊情況可以依據其他標準特殊處理。5.2影響風險等級因素具體的計量器具(例如：貿易結算、安全防護、醫(yī)療衛(wèi)生、環(huán)境監(jiān)測等)選擇風險等級時，宜考慮以下幾方面情況。a)作弊欺詐風險：1)引起的后果、社會及公眾對此惡意操縱的反應；2)被計量商品的價值；3)使用的平臺(專用或者通用設備);4)潛在欺詐的風險來源(如無人值守自助設備)。b)符合性要求：遵循行業(yè)規(guī)定等級的實際可能性。c)可靠性要求：1)環(huán)境條件：2)引起的后果、社會及公眾對此過失的反應。d)欺詐的動機。e)重復測量或中斷測量的可能性。評估風險等級時可參考ISO/IEC27005。軟件風險等級分為一般風險等級I類和高風險等級Ⅱ類。在第6章給出了計量器具在防欺詐、符合性、可靠性、測量類型的一般風險等級(I類)可接受的技術解決方案的示例。對于高風險等級(Ⅱ類),還提出了增強的應對措施。檢查等級和風險等級是關聯(lián)的。為了檢測軟件缺陷或者安全性能，需要深層次分析軟件并應提高風險等級。另外，檢查等級宜考慮計量器具的機械封印(例如通信接口或外殼的機械封印)。96計量應用軟件的要求6.1通用要求常見典型的技術解決方案不可能適用所有法制計量相關軟件的應用領域。采用特定要求的技術解決方案后，受軟件控制的計量器具在安全性與符合性方面，可視為與非軟件控制計量器具有同等的水平。特定配置要求是針對某些計量軟件或某些應用領域軟件的技術特性，不是所有計量軟件的普遍技術特點。計量器具、組件的法制計量軟件需有清晰的、帶軟件版本號或者其他特征的標識。標識可以含有多個部分，但是至少應有一部分專用于法制計量目的。計量器具的軟件標識應可通過以下方式中的一種或多種顯示或打印：a)通過命令讀取；b)通過操作獲??；c)當設備可以重啟時在啟動時顯示。如果一個組件、電子裝置沒有顯示設備或打印機，標識應通過通信接口傳送到另外一個組件、電子裝置上顯示、打印出來。如果滿足以下所有情形，計量器具或者電子裝置應將軟件標識絲印。a)無法通過用戶接口在顯示屏上控制軟件標識的顯示，或顯示屏不允許顯示軟件標識(模擬顯示裝置或機電計數器)。b)計量器具、電子裝置沒有輸出軟件標識的接口。c)計量器具、電子裝置出廠后，除非硬件或者硬件元器件有變動，否則不能或不允許改動軟件。硬件或有關硬件元器件的制造商要確保在相關計量器具、電子裝置上標記正確的軟件標識?？刂栖浖坏┬薷模碌能浖俗R應明示。I類計量器具當前安裝的軟件版本號應由所含的一個數值或文本字符串能準確無誤地表明。當按下某一按鍵，或設備啟動時，或在定時器循環(huán)控制下，字符串標識在計量器具的顯示屏上顯示。軟件版本號一般的結構如下：A.Y.Z。如一臺流量計算機，其中字母A代表計算脈沖的核心軟件版本；字母Y代表轉換功能的版本(無轉換、15℃轉換、20℃轉換);字母Z代表用戶界面所使用的語言。Ⅱ類計量器具軟件本身計算執(zhí)行代碼的校驗和替代或附加在I類中的字符串上作為標識符顯示。注：每一臺在用的計量器具軟件與獲批準型式的計量器具版本一致。讓監(jiān)督人員及與測量人員容易確定軟件標識是否一致。6.1.2算法和功能的正確性對給定的應用程序和設備類型，其電子裝置的計量算法應適用，功能應正確(滿足算法精度、價格計國家標準要求或法律規(guī)定的測量結果及附屬信息應能正確地顯示或打印。算法及功能可通過計量試驗、軟件試驗、軟件檢測進行檢查(見7.3)。不允許隱藏、不明示的功能或者參數存在。計量器具的軟件設計應把無意的、意外甚至有意誤操作的可能性降至最低。測量結果應不受各利益攸關方影響。例如，用戶根據菜單操作，法制計量相關功能集成在某一級菜單下。如果測量值可能因某操作而丟失，那么應警示用戶，并且在執(zhí)行此項功能前可以進行另一項操作。注：軟件控制的計量器具在功能上常常比較復雜，用戶需要詳細的操作手冊以便正確使用并得到正確的測量結果。軟件保護應是對任何的干預(例如：軟件更新、參數設置改變)都要留下證據。應采用封緘對法制計量相關軟件進行防護，以防止未經授權許可的更改、裝載或替換存儲器。在采用機械式封緘技術的基礎上，可對有操作系統(tǒng)或是有軟件裝載選項的計量器具，采取必要技術手段來封緘。審核日志也應作為法制計量關聯(lián)軟件部分給予保護。例如，Ⅱ類計量器具如采用的是可擦寫存儲器，那么帶封緘的寫保護開關應在禁止狀態(tài)，電路設計時須防止通過跳線短路等使寫保護失效。I類或Ⅱ類計量器具中的存儲器宜有封緘或存儲器焊接在印刷電路板上。示例：某I類計量器具包括兩個組件，一個是封緘在計量器具內的主要計量功能組件，另一個是帶有操作系統(tǒng)的通用計算機。某些功能比如示值是由這臺計算機上的軟件執(zhí)行的。此時，替換通用計算機上的軟件可能是相對比較容易的欺詐操作——特別是軟件之間是通過標準協(xié)議進行通信的。這種防欺詐(防作弊)可以通過簡單加密措施來達到。數據加密和解密目的是對未獲授權者隱藏信息，或者進行哈希碼進行加密簽名確保認證。比如：對組件和通用計算機之間的傳輸數據進行加密。用于加密的密鑰藏在通用計算機的法制計量相關程序中。僅有這段程序知道密鑰，能讀取、解密和使用測量值。其他程序由于不能解密測量值因而不能進行通信。(見6.2.2.3.4)只有文檔中清楚說明的功能(見7.1)允許被用戶接口激活，接口設計要避免用戶用于防欺詐使用的目的。對于I類或Ⅱ類計量器具，所有來自用戶接口的輸入將指向命令過濾程序，只允許通過文檔中包含的命令，其余的將被丟棄。這段過濾程序或軟件模塊是法制計量相關的。注：檢測人員有權決定所有文檔中的命令是否都能接受。確定計量器具法制計量相關特性并固化在其中的參數應采取封緘或加密授權進行保護，防止未經授權許可的修改。只有在計量器具的特殊操作模式下，才可以調整或選擇設備專有參數。例如對于I類或Ⅱ類設備專有參數被固化在非易失性存儲器中。帶封緘的寫保護開關應在禁止狀態(tài)。注1:它們可分成兩類：一類是固化的(即不可改變的),另一類是可訪問的(可調整/選擇的參數),只有經授權才可進行調整，如計量器具業(yè)主或者供應商。注2:同一型號的型式專有參數具有同樣的值，由獲批準的型式確定。軟件防護措施包括采用機械的、電子的和或數據加密的封緘措施，防止非授權的干涉，且應留下干預的證據。對于I類計量器具的電子封緘，計量器具的計量參數可通過菜單輸入或調整，軟件每識別出一個參數變更，該類事件計數器加1,同時也可以顯示該事件計數器的值。事件計數器的初始值要寄存起來，如果顯示值與寄存值不一致，則該設備處于未檢狀態(tài)(相當于破壞封緘)。計量器具的軟件設計見6.1.3.2.1,應只能通過帶開關保護的菜單才能修改其參數與法制計量相關配置。這個開關被機械封緘在非活動位置，保證不破壞封緘情況下就無法修改參數和法制計量相關配置。如果要修改參數和配置，就只能切換開關且破壞封緘。注：授權機構的電子簽名可以采用密鑰方式。使用公鑰解碼、驗證簽名的真實性。加密證書的數據集由具有電子簽名的可信機構簽發(fā)。對公鑰的分配可以通過可信機構的公鑰加上解密證書簽名來進行驗證。某Ⅱ類計量器具的軟件設計為除了授權人員外，他人無法訪問法制計量相關參數。如果想進入參數菜單項，則要插入含有作為密鑰PIN的智能卡。軟件通過核實PIN的認證結果后才允許進入參數菜單。操作者身份信息的訪問記錄將存儲在審核日志當中(或者至少在使用的智能卡有記錄)。6.1.4硬件支持特性對于具有故障檢測功能的計量器具，制造商應將故障檢測設置在軟件或硬件中，或提供某種技術措施使得計量器具中的硬件支持，軟件也支持。如果軟件包含故障檢測功能，那么應有相應的提示和報警等響應功能。例如當某故障被檢測到，計量器具/電子裝置就失效或是生成一個報警/錯誤記錄在日志里。提交型式批準的文檔中應包括故障列表，說明軟件可測的故障及預期的響應。為便于理解，應包含檢測算法的描述。對于I類計量器具，每次啟動，法制計量相關程序應計算程序代碼與法制計量相關參數的“校驗和”。這個值事先已經算好并預存在計量器具中，如果算出的值和預存的值不匹配，程序將停止執(zhí)行。對于Ⅱ類計量器具，每次啟動，法制計量相關程序應計算與法制計量相關參數的哈希函數密碼。這個值事先已經算好并預存在計量器具中，如果算出的值和預存的值不匹配，程序將停止執(zhí)行。示例：某計量器具測量的是不可中斷的累積量，軟件定時器將會循環(huán)計算并比較哈希函數密碼。一旦不匹配，軟件會顯示錯誤信息或打開錯誤指示器，并將發(fā)生的時間寫入錯誤日志。制造商可選擇在軟件或者硬件中實現(xiàn)耐久性保護，也允許軟件所支持的硬件保護。相關國家標準應推薦合適的方案。如果是采用軟件耐久性保護，應有相應的響應提示。相關國家標準應規(guī)定，檢測到危及耐久性的因素，計量器具/電子裝置就應失效或是生成警告/報告。示例：某計量器具在規(guī)定的時間周期內，需要進行一定的調整以保證計量器具的耐久性。當到達持續(xù)的間隔時間時，軟件會給出一個警告，如果超過了一定的時間間隔，將停止測量工作。時間戳應保持統(tǒng)一的格式，時間軸上兩個不同的記錄和跟蹤容易進行比較。應讀取裝置的時鐘以獲得時間戳。根據計量器具的種類或者應用領域，時鐘的設置應是法制計量相關的，應根據應用風險等獨立計量器具的內置時鐘由于沒有與全球時鐘校對的工具，將會有較大的不確定度。如果特定應用領域測量的時間信息是必不可少的，那么應通過特定的方法與手段加強內置時鐘的可靠性。可對內部時鐘提出技術要求和測試方法。Ⅱ類通過冗余來加強計量器具內置時鐘可靠性。由另一個石英晶振源驅動的微控制器時鐘作為計時器。當計時器的值達到預設點，比如1s,中斷子程序根據微控制器產生的特定標識，來驅動一個秒計數器。假設一天過后，由軟件讀取第1個晶振控制時鐘裝置秒數，并計算出與軟件所計秒數的差值。如果該差值在預定限值之內，軟件計數器就復位重新計數。但當該差值過大，軟件將給出一個適當故障響應。GB/T42555—20236.2特定配置要求本條款中給出的要求基于信息技術中的典型技術要求，盡管在法制計量中可能并不常見。當符合這些要求時，有可能體現(xiàn)出與非軟件控制儀器相同程度的安全性和一致性技術方案。6.2.2法制計量相關部件分離及接口的規(guī)定測量系統(tǒng)中關鍵的計量部分(不管是軟件還是硬件部分)不能受到來自測量系統(tǒng)其他部分的未經許可的影響。如果計量器具(或電子裝置、組件)含有與其他電子裝置、用戶或其他軟件部分的通信接口，并且關鍵計量部分在計量器具(或電子裝置、組件)內部，應滿足6.2.2.2和6.2.2.3的要求。6.2.2.2分離的電子裝置或組件執(zhí)行法制計量相關功能的測量系統(tǒng)的組件或電子裝置應能識別、被清晰地定義并形成文檔，構成測量系統(tǒng)的法制計量相關部分。如果所有組件是通過本地網絡連接起來的，那么數字傳感器、通用計算機和打印機都是法制計量相關組件，并可以與法制計量不相關的商務系統(tǒng)連接。這些法制計量相關組件應滿足6.2.2.2.2的要求。由于數據通過網絡進行傳輸，所以也應滿足6.2.5的要求。測量系統(tǒng)一般包含下列組件：a)計算重量或體積的數字傳感器；b)計算價格的通用計算機；c)打印測量值及付費價格的打印機。注：由檢測人員判定這部分是否完整，以及測量系統(tǒng)的其他部分是否需要作進一步評估。示例：某電表帶一個光學接口，用來連接讀取測量值的電子裝置。電表存儲所有相關的量，在被有效讀出之前應能保持足夠長的時間。只有電表是與法制計量相關。允許其他法制計量不相關的裝置，連接到符合要求計量器具的接口上。不要求電表數據加密傳輸。需證實組件與電子裝置的相關功能和數據通過接口通信時，不能受到未經許可的影響。組件或電子裝置中所有啟動的功能或更改數據的每一條命令都應有明確的任務。示例1:某電表的軟件能接收“讀取數據”命令來發(fā)送用戶所需要的數據。它將測量值與附屬信息比如時間戳、單位組合在一起，發(fā)送給請求裝置。該軟件只允許接收有效的“讀取數據”命令，對其他命令將丟棄并僅返回一個錯誤消息。如果傳輸的不是法制計量管理的數據集，可以對其內容進行加密，但不是強制要求。示例2:某計量器具封緘的內部有切換電表操作模式的開關?！伴_”表示“已檢模式”,“關”表示“未檢模式”(不包括機械封緘的方式)。當開始執(zhí)行接收到的命令時，軟件核查開關所處的狀態(tài)：如處在“未檢模式”,軟件接收到的可執(zhí)行命令集范圍與“已檢模式”相比會擴大。已檢模式下被認為無效而丟棄的命令，在未檢模式下有可能正常執(zhí)行(如對校準因子進行調整)。所有執(zhí)行法制計量相關功能或包含法制計量相關數據域的軟件模塊(程序、子程序、對象等)形成某一測量系統(tǒng)(電子裝置或組件)的法制計量相關軟件部件。該部件在批量生產時應符合要求，而且應打上軟件標識(如6.1.1所述)。如果不需要或不可能對軟件進行分離，那么整個軟件應視作法制計量相關部分。某I類計量器具能顯示測量值的用戶計算機上連接了含有多個數字傳感器的測量系統(tǒng)?？赏ㄟ^把所有實現(xiàn)法制計量相關功能的程序編譯到一個動態(tài)鏈接庫的方法，將計算機上的法制計量相關軟件與法制計量不相關部分實現(xiàn)分離。這些程序從數字傳感器接收測量數據，計算測量結果，并顯示在軟件窗口中。當法制計量相關功能執(zhí)行完畢，控制權將交還給法制計量不相關的應用程序。一個或多個法制計量不相關的應用程序都可以調用鏈接庫中的程序。6.2.2.3.2法制計量相關軟件接口的要求如果法制計量相關軟件部分與其他的軟件通信，那么應定義軟件接口。所有的通信只能通過這個接口執(zhí)行。在文檔中應詳細闡述法制計量相關軟件部分和接口。軟件所有的涉及法制計量相關功能和數據域的描述應完整、清晰，能夠使型式評價機構對軟件分離做出正確判定。軟件接口由程序代碼和專屬的數據域組成。接口的程序代碼由兩部分組成：從法制計量相關部分輸出到接口數據域的代碼(寫),以及從接口輸入到法制計量相關部分的代碼(讀)。軟件接口的代碼與數據域在文檔中應有明確定義。讀寫程序代碼屬于軟件接口的一部分。I類非法制計量關聯(lián)控制軟件在庫文件中啟動法制關聯(lián)流程。繞過接口程序請求必然會禁止法制管理功能。數字傳感器應以加密編碼格式發(fā)送測量數據。解密譯碼密鑰隱藏在數據庫中，只有數據庫的程序知道密鑰并能夠讀取密鑰、解密測量數據和顯示測量結果。注：中斷保護(延時執(zhí)行或者由其他進程阻塞)見6.2.2.3.4。6.2.2.3.3法制計量相關軟件命令的要求軟件的法制計量相關部分所有啟動的功能或更改數據的每一條命令都有明確的任務。經過軟件接口進行通信的命令應公布和備案文檔。只有文檔中的命令才允許通過軟件接口激活。示例1:6.2.2.3.1示例中，軟件接口是通過參數和庫中程序返回值來實現(xiàn)的，庫中數據域返回指針不能繞過接口，例如使用指針調用內部數據。數字、程序性質、參數和返回值都在編譯時生成。示例2:某Ⅱ類計量器具的法制和非法制計量管理關聯(lián)的軟件分開在一套通用設備上的虛擬器上運行。雙方機器配置使得任何通信只能通過定義好的軟件接口。虛擬器的設置包括通信方式都屬于法制計量管理關聯(lián)軟件。操作系統(tǒng)確保只有在破壞封印后才能修改配置。6.2.2.3.4法制計量相關軟件的優(yōu)先權如法制計量相關軟件已經與法制計量不相關軟件分離開來，那么法制計量相關軟件將擁有比法制計量不相關軟件優(yōu)先的資源使用權。由法制計量相關軟件實現(xiàn)的測量任務不能被非法制計量相關軟件中斷。測量過程(法制計量相關軟件實現(xiàn)部分)不應被其他進程任務延遲或鎖住。I類計量器具的法制計量管理功能程序優(yōu)先權要高于一般進程程序，不能由計量器具的使用者/操作者降低優(yōu)先權。如果有高欺詐防護或高符合性的需求，僅依靠軟件分離是不夠的，需要有更多的措施或將整個軟件納入法制計量管理以滿足更高的需求。Ⅱ類計量器具的法制和非法制計量管理關聯(lián)的軟件分開在一套通用設備上的虛擬器上運行。雙方機器配置操作系統(tǒng)，使得法制計量管理關聯(lián)軟件有足夠的系統(tǒng)資源運行。示例：某I類電子電表的軟件從模/數轉換器(ADC)讀取原始測量數據。為正確計算測量值，數據就緒時間，即測量值從ADC到緩沖完成之間的延時是非常重要的因素。由數據就緒信號啟動的中斷程序來讀取原始數據，計量器具與其他并行電子裝置通過接口進行通信，并行裝置是由另一個中斷程序(法制計量不相關的通信)控制的。對這種配置的要求，按照測量值的中斷程序優(yōu)先級高于通信程序的順序來處理?？赏ㄟ^顯示屏或打印機同時給出軟件法制計量相關部分的信息及其他有關信息。對某類計量器具或應用領域應規(guī)定打印的格式和內容應有規(guī)定。法制計量相關部分的信息應更易讀、清晰，可與其他信息區(qū)分。當正在進行的測量所顯示的結果用于法制計量相關目的時，其窗口應不能被其他軟件刪除、不能被其他軟件產生的窗口遮擋、不能最小化或隱藏。對于Ⅱ類計量器具，不僅應有示值打印，還應由高級別的防護措施的組件來顯示測量值。對于I類計量器具，如6.2.2.3的幾個示例中，測量值是在不同的軟件窗口上顯示的。6.2.2.2.4所述的措施將保證只有法制計量相關程序能讀取到測量值。對于帶有多窗口用戶界面的操作系統(tǒng)，需要采取其他的措施以滿足6.2.2中的要求：窗口顯示的法制計量相關數據是由法制計量相關動態(tài)鏈接庫生成并控制的。測量過程中，這些程序循環(huán)核查相應的窗口是否一直在所有打開的窗口的最頂層。否則程序會把它放在最上面。對于Ⅱ類計量器具，6.2.2.3.3的示例中，計量應用軟件以信息亭模式運行，法制計量相關程序控制整個顯示。非法制計量相關數據顯示在特定的標識非法制計量相關顯示器。對于涉及法制計量的測量數據的存儲應符合6.2.4.2、6.2.4.3、6.2.4.4的要求。對于不同的應用可選擇合適的存儲方法。存儲的測量數值，應攜帶所有法制計量相關的必要信息。計量器具的測量結果的存儲數據集至少應包括以下內容：a)包含計量單位的測量值；b)測量的時間戳；c)測量地點或用于測量計量器具的標識；d)該次測量的明確標識，比如清單上的連號數字。應采用軟件方法手段來保護測量存儲數據，保證真實性、完整性，必要時包括測量時間信息正確性。當從存儲器讀取數據，處理這些測量值及其附帶數據信息，軟件應檢查測量時間、認證結果和完整性。如果發(fā)現(xiàn)異常，丟棄數據或打上不可用標記。存儲數據、讀取檢查數據的軟件模塊屬于法制計量相關軟件的一部分。存儲數據屬于開放式時，宜考慮高風險等級。對高風險等級來說，應采用密鑰措施。I類計量器具發(fā)送裝置計算數據集的校驗和(比如CRC32算法)并附在數據集后面。它采用保密的初始值，而不是標準給出的值來進行計算。初始值以密鑰的形式作為程序代碼的一個常量保存。接收或讀取程序的代碼同樣也保存這個初始值。使用這個數據集之前，接收程序計算校驗和并與附在數據集后面的校驗和進行比較，如果兩者一致，那么數據集沒有被篡改，否則程序認為這是偽造的數據并丟棄該數據集。Ⅱ類計量器具存儲程序屬于法制計量管理關聯(lián)軟件部分，為存儲數據庫生成電子簽名，它被附加在存儲數據集里。用密鑰和公鑰加密得到硬件安全模式簽名，以防操縱密鑰或者讀取和輸出公鑰。接收方用公鑰對附于數據集的簽名解密，驗證數據完整性、真實性。為證明數據的來源，接收方應知道公鑰是否真正屬于發(fā)送方，因此計量器具應顯示公鑰信息，例如使用現(xiàn)場計量器具的序列號共同寄存。注：當封緘遭到破壞時，需要一定的技術措施和方法，才能輸入或讀取這些密鑰。例如，I類要應用本地存儲，Ⅱ類自由存儲。6.2.4.4自動存儲應用程序需要保存數據時，在測量結束時其測量數據的保存應自動進行。例如最后用于法制計量的數據。存儲裝置應足夠耐用，以確保數據正常儲存條件下不會崩潰。應為任何應用程序運行留有足夠的內存空間。如果法制相關測量值要用于其他測量值的計算，法制相關測量值應自動存儲。注1:對于累計測量值，它是要不斷更新的。占用的是同一塊數據域(程序變量),關于存儲容量的規(guī)定不屬于法制計量。注2:只要滿足要求，存儲數據不需要在一個存儲單元里。注3:必要時可定義最后存儲數據。存儲數據如果滿足下列條件之一可以刪除：a)結算已完成；b)打印的數據是由法制計量管理的打印設備打印出來的。注：注意相關規(guī)定(如稅收),其對刪除存儲的數據有嚴格的限制。必要時可以定義數據刪除的條件。6.2.5通過通信線的傳輸用于法制計量相關的測量數據傳輸需要伴隨相關信息。計量器具的測量結果的數據傳輸至少應包括以下內容：a)包含計量單位的測量值；b)測量的時間戳；c)測量地點或用于測量計量器具的標識；d)該次測量的明確標識，比如發(fā)票上的連號數字。采用軟件方法手段來保護測量數據傳輸，保證真實性、完整性、必要時包括測量時間信息正確性。當傳輸數據，處理這些測量值及其附帶數據信息，軟件應檢查測量時間、認證結果和完整性。如果發(fā)現(xiàn)異常，就丟棄數據或打上不可用標記。發(fā)送數據、接收檢查數據的軟件模塊屬于法制計量相關軟件的一部分。例如I類發(fā)送裝置計算數據集的校驗和(比如CRC32算法)并附在數據集后面。它采用保密的初始值，而不是標準給出的值來進行計算。初始值以密鑰的形式作為程序代碼的一個常量保存。接收或讀取程序的代碼同樣也保存這個初始值。使用這個數據集之前，接收程序計算校驗和并與附在數據集后面的校驗和進行比較，如果兩者一致，那么數據集沒有被篡改，否則程序認為這是偽造的數據并丟棄該數據集。Ⅱ類計量器具的存儲程序屬于法制計量管理關聯(lián)軟件部分，為存儲數據庫生成電子簽名，它被附加在存儲數據集里。用密鑰和公鑰加密得到硬件安全模式簽名，以防操縱密鑰或者讀取和輸出接收方用公鑰對附于數據集的簽名解密，驗證數據完整性、真實性。為證明數據的來源，接收方應知道公鑰是否真正屬于發(fā)送方，因此計量器具應顯示公鑰信息，例如使用現(xiàn)場計量器具的序列號共同傳輸數據使用開放網絡時，宜考慮高風險等級。對高風險等級來說，應采用密鑰措施。當封緘遭到破壞，需要一定的技術措施和方法，才能輸入或讀取這些密鑰。測量值不能受傳輸延時或中斷的影響。測量數據不能因網絡不能用或者特別慢而丟失。發(fā)生這種情況時，必要時應停止測量過程避免測量數據的丟失。當傳輸延時或中斷，應用程序可以采用合適的要求和機制來保存測量數據。計量器具發(fā)送裝置需等到接收方發(fā)出一個收到正確數據集確認信息。發(fā)送裝置將數據集一直保留在緩沖區(qū)中，直到收到確認信息。緩沖區(qū)按照先進先出(FIFO)次序調節(jié)多個數據集的容量設置大小。注1:注意考慮區(qū)分靜態(tài)測量和動態(tài)測量。注2:對于容易重復測量的應用領域，允許一定的傳輸數據的丟失。6.2.6操作系統(tǒng)和硬件兼容性如果操作系統(tǒng)作為計量器具的一部分，應滿足6.2.6.2～6.2.6.7的要求。相應計量器具應有對應的應用軟件、匹配的操作系統(tǒng)或者兩者的結合。例如，法制計量關聯(lián)的應用軟件、操作系統(tǒng)、物理層等應包含防護接口。硬件接口不配備保護軟件接口不能影響法制計量軟件。例如采用物理手段鉛封接口。I類計量器具的法制計量應用軟件通常檢查全部輸入信息的開放式物理接口，發(fā)現(xiàn)非法輸入就停止計量。Ⅱ類計量器具的全部開放式接口要進行物理防護，或者通過操作系統(tǒng)禁止使用接口。6.2.6.3.1為了確保法制計量軟件正常，安全啟動過程應滿足6.2.6.3.2～6.2.6.3.5的要求。6.2.6.3.2為了保證法制計量軟件完整性、真實性，應通過開機流程的獨立部件建立可信計算的信任鏈機制。6.2.6.3.3當確認可信計算的信任鏈是完整的，應允許其中斷。6.2.6.3.5不應通過開放的接口進行啟動。I類計量器具啟動引導程序是采用安全手段保護，例如采用安全密碼。Ⅱ類計量器具通過可信平臺模塊(TPM)驗證啟動引導程序的簽名，再驗證操作系統(tǒng)，反過來驗證和啟動法制計量應用軟件。法制計量關聯(lián)組合軟件部分和操作系統(tǒng)應確保有足夠的資源來運行法制計量的應用程序。I類計量器具的法制計量應用程序應確保它必需的資源。Ⅱ類計量器具最小的操作系統(tǒng)組件應確保計量正確運行。6.2.6.5.1非法制計量關聯(lián)軟件的運行不能影響法制計量關聯(lián)應用軟件。6.2.6.5.2法制計量關聯(lián)組合軟件部分和操作系統(tǒng)應確保能區(qū)分法制計量顯示。6.2.6.5.3訪問控制權限配置不能受到非法干擾。6.2.6.5.4法制計量關聯(lián)軟件的管理權限應受到保護。I類計量器具的法制計量應用程序應定期對全部的法制計量相關文件檢查寫保護和訪問權限。允許的修改都應記錄在審核日志上。Ⅱ類計量器具的非法制計量程序要分開運行。6.2.6.6法制計量關聯(lián)軟件的通信法制計量關聯(lián)軟件的通信應通過受保護的接口進行。I類計量器具的法制計量程序模塊負責解析與法制計量相關的軟件命令，并丟棄不可接受的部分。Ⅱ類計量器具通過開放式軟件接口通信的，操作系統(tǒng)應有保護手段。計量器具操作系統(tǒng)的配置認證應可識別，應能用以下方式顯示認證號：a)通過命令；b)運行過程中的操作。示例1:在UNIX操作系統(tǒng)上，計量器具系統(tǒng)配置包含的法制計量部分如下：a)核心模塊；b)安裝包的清單；c)函數庫；d)賬戶和用戶權限；e)密碼；f)配置文件；g)讀/寫文件執(zhí)行權限。以上全部采用校驗和的方法進行認證。示例2:計量器具在Windows操作系統(tǒng)上系統(tǒng)配置包含法制計量部分如下：a)核心模塊；b)安裝包的清單；c)函數庫；d)賬戶和用戶權限；e)密碼；f)配置文件；g)讀/寫文件執(zhí)行權限；h)注冊號碼。以上每項都要采用校驗和的方法進行認證。操作系統(tǒng)的配置設置以及任何的操作干預都要留證據記錄。I類/Ⅱ類計量器具的操作系統(tǒng)配置的任何改變都要在審核日志上記錄。每一條審核日志記錄應包含修改的時間戳和新配置的認證號。制造商應明確硬件和軟件的條件環(huán)境。制造商應規(guī)定的最低配置需求和合適的配置，例如處理器、如資源不滿足最低配置需求，法制計量相關軟件應采取技術手段防止整個系統(tǒng)運行。系統(tǒng)只能在制造商規(guī)定的環(huán)境中正確運行。當系統(tǒng)軟件正確運行需確定一個不變的環(huán)境，尤其在通用計算機上執(zhí)行法制計量相關功能時，應采取一定的措施來保持運行環(huán)境的穩(wěn)定。如遇下列情況，固定硬件、操作系統(tǒng)、通用計算機系統(tǒng)配置，甚至不使用通用計算機都是宜考慮的技a)有高符合性需求；b)有加密算法或密鑰需求(見6.2.3和6.2.5)。6.2.7產品與型式批準的符合性制造商產品應與獲批型式和申請書、法制計量相關軟件一致。6.2.8維護和重新設置計量器具法制計量部分相關軟件的現(xiàn)場升級包括以下情況：a)計量器具的改造：當更換其他獲批版本的軟件時；b)計量器具的維修：當重新安裝同版本軟件時。在改造或維修使用中計量器具后，應進行首次或后續(xù)檢定。非法制相關軟件在升級后無需重新檢定。只允許使用符合型式批準版本的法制計量相關軟件(見6.2.7),在型式評價報告里應對軟件版本描述說明。要根據計量器具種類，編制對應的國家標準，不同種類的計量器具要求不同，根據6.2.8.3和6.2.8.4選擇。對于特殊計量器具參數(如校準系數),只有經過檢定后才能更新。對于計量器具的現(xiàn)場校準要參考相關要求?？梢詮谋镜刂苯釉谟嬃科骶哐b載或通過網絡遠程升級軟件。載入和安裝可以分兩個步驟，也可以合并成一步，取決于技術方案的需要。打開封印才能進行升級更新。授權人員應在計量器具安裝現(xiàn)場核查升級成功。計量器具法制計量相關軟件升級(更換另外批準的版本或重新安裝)后，計量器具在進行檢定并且要更新封緘措施后，才能用于法制計量(升級流程見圖1)。跟蹤升級驗證升級常規(guī)操作模式常規(guī)操作模式請求升級?否是載入升級文是否完整?安裝并激活升級軟件是是合真實?(后續(xù))觀場檢定(見4.2.6)是丟棄載入文件，保留老版木激活狀態(tài)或轉入不可操作模式安裝并激活升級軟件是在審計日惠中記錄升級信息元啟打上檢定合格標記載入升級文件其觀操作模式檢定合格?請求小級?重啟跟蹤升級分為兩步：“裝載”和“安裝/激活”。軟件裝載后被暫時保存并沒有激活。這是因為如果核查不合格，應丟棄載入的軟件并恢復到原先的版本。b驗證升級時，載入的軟件在安裝前也可以暫時保存，不過取決于技術方案，裝載和安裝也可以合并在一個步驟中完成。這里“否”僅需考慮由于軟件升級導致的檢定不合格。其他原因導致的不合格，不需要重新載入并安裝軟件，圖1軟件升級流程根據跟蹤升級的要求(見6.2.8.4.2～6.2.8.4.8),跟蹤升級是對已檢計量器具或裝置更換軟件的過程，符合相關國家標準的軟件已經在計量器具中運行，升級之后并不需要進行后續(xù)檢定。升級軟件不能影響現(xiàn)存的參數。可以從本地直接在計量器具裝載或通過網絡遠程升級軟件。升級記錄應保存在審核軟件的跟蹤升級應可自動更新。某些涉及安全或者防護的計量器具需要關機才能更新，更新后需立即重啟，不依賴更新過程。注：觸發(fā)軟件的跟蹤升級進程可能需要人工對計量器具干預。軟件受到任何的操作干預都應留下證據記錄。更新過程中，任何的審核日志信息和事件計數器應例如I類計量器具通過法制計量軟件計算校驗和與標稱值進行比較，兩者匹配后才能啟動。否則事件計數器值加1。更新過程中，標稱值要修改和新軟件匹配。事件計數器值將被保留，并由新軟件以與以前相同的方式處理。通過一定的技術方法用來保證載入真實的軟件，例如載入軟件來源于型式評價報告的擁有者。例如Ⅱ類計量器具認證結果檢查應通過加密手段，如公共密鑰系統(tǒng)來完成。該型式批準證書擁有者(一般是計量器具制造商)用制造商的密鑰生成一個待升級軟件的電子簽名。公用密鑰存儲在計量器具固定軟件部分中。當計量器具載入改進的軟件時，使用公共密鑰檢查簽名。如果載入軟件的簽名正確，就安裝并激活軟件。如果檢查軟件失敗，計量器具應丟棄它并使用該軟件的早期版本或切換到不可操作模式。通過一定的技術方法用來保證載入軟件的完整性，即軟件載入前不能被非法更改?？赏ㄟ^添加加載軟件的校驗和或哈希碼，并在加載過程中進行驗證來實現(xiàn)。通過審核日志的技術方法來保證法制計量相關軟件的跟蹤升級，如圖1所示，對計量器具的后續(xù)檢定、監(jiān)督和檢查是完全可追溯的。審核日志應至少包含以下信息：a)升級過程成功/失敗；b)安裝版本的軟件標識；c)早期版本的軟件標識；d)事件時間戳；e)下載者標識身份。不論升級成功與否，每次升級嘗試應有對應記錄條目。GB/T42555—2023支持跟蹤升級的存儲裝置應有足夠的內存空間，至少能保證兩次現(xiàn)場檢定/檢查間隔的法制計量相關軟件的可追溯性。審核日志達到存儲器上限后，應通過技術手段保證不破壞封緘就不能再下載。通過指令可以顯示或者打印審核日志。型式評價報告應描述如何顯示或者打印審核日志。注：通過反向追溯相當一段時間(依國家法規(guī)要求)內法制計量相關軟件跟蹤升級，使得法制計量管理計量器具的計量監(jiān)督可靠。6.2.8.4.7客戶同意原則應根據國家有關法規(guī)和需求，可能要經過計量器具的用戶或業(yè)主的同意，才能進行升級操作。計量器具應配有體現(xiàn)其用戶或業(yè)主意向的電子組件或裝置，如開始下載前，需按下某個按鈕。應通過封緘的開關或參數的設定電子組件、裝置的啟用或禁用。如果啟用，則每次下載應首先通過計量器具的用戶或業(yè)主。如果禁用，應無須用戶或業(yè)主激活也可執(zhí)行下載。6.2.8.4.8軟件測試和下載如果下載軟件完整性測試或者真實性測試失敗，計量器具應拋去新軟件，并使用該軟件的早期版本或切換到不可操作模式。不可操作模式下計量器具功能是禁止狀態(tài)，只能重新下載軟件，或者顯示出錯信息。如果審核日志沒有容量了，或者使用者或業(yè)主不同意更新軟件，計量器具就不能啟動。6.2.8.5記錄參數調整可規(guī)定向用戶開放計量器具設備專有參數中某些參數的設定。在這情況下，計量器具應安裝一種裝置，應能自動地記錄計量器具專有參數的任何調整信息且不能被刪除，如審核日志。計量器具應具有呈現(xiàn)所記錄數據的能力。注：審核日志屬于法制計量相關軟件的一部分。6.2.8.6保護審核日志當軟件更新后，審核日志不應被刪除或者被覆蓋。7型式批準7.1型式批準的申請資料7.1.1通用要求申報型式批準時，計量器具制造商應提供與該計量器具中運行的法制計量相關軟件有關全部功能、數據結構和軟件接口的文檔。在為型式批準提交的軟件說明中，命令集及其功能作用應當描述完整。型式批準申請資料中應附有一份聲明文件或其他有效文件聲明：計量軟件的設計和特性符合有關國家標準的規(guī)定。7.1.2提交的文檔目錄提交型式批準的文檔至少包含(適用于所有類型的計量器具、電子裝置和組件)。a)法制計量相關軟件及其驗證方法：1)法制計量相關部分軟件模塊列表，包括對所有涉及法制計量相關功能聲明；2)法制計量相關軟件部分接口及經由此接口的命令集與數據流的描述；3)當有高風險需求時，型評機構有權獲取源代碼(取決于相關標準所選擇的型評驗證方法，見7.3和7.4);4)受保護參數的列表和保護方法描述。b)適合的系統(tǒng)配置和最低資源需求的描述(見6.2.6)。c)操作系統(tǒng)安全措施的描述(如密碼等)。d)軟件電子封緘方法的描述。e)對系統(tǒng)硬件(如拓撲結構圖、網絡類型和計算機型號等)的概述。當一個硬件模塊視為法制計量相關的或其執(zhí)行法制計量相關功能時，需重點注明。f)算法精度描述(如A/D轉換結果的過濾、價格計算、數據修約算法)。h)軟件標識描述及從在用計量器具中獲取軟件標識的指令描述。i)計量器具、電子裝置、組件每一個硬件接口的命令列表。j)軟件檢測的耐久性誤差列表描述，為便于理解，可附上檢測算法描述。k)需要存儲或傳輸的數據集的描述。1)如果軟件具有故障檢測功能，則要包括故障列表和檢測算法描述。m)如果軟件具有審核日志功能，要有如何訪問審核日志的描述。n)操作手冊7.2型式批準的技術要求不同的。雖然ISO/IEC25040:2011規(guī)定了如何“衡量”軟件的質量，但總的來說，軟件的準確性是無法計量的。這里所描述的過程要兼顧法制計量和軟件工程中的驗證與測試的方法，不過它們的目標不同(例如：軟件開發(fā)者一方面要搜尋軟件的錯誤，另一方面也要對軟件性能進行優(yōu)化)。在7.4中，每個軟件需求都會對驗證程序進行適當的調整。驗證程序要反映風險等級。要證實計量器具是否符合相關國家標準規(guī)定。對于軟件控制的計量器具而言，其驗證步驟包括檢查、分析和測試。相關國家標準應對下面提到的方法適當地選擇。這些方法是針對型式評價的。對單臺現(xiàn)場在用計量器具的檢定不限于那些驗證方法。關于檢定更多信息詳見第8章。7.3描述了軟件評價驗證方法，這些方法組合形成完整的軟件評價過程，能滿足要求。制造商應聲明計量器具沒有隱藏的或者沒有公開的功能(如參數、命令、功能、后門等)。沒有額外要求制造商聲明文件資料絕對正確和完整。但是，要求該明示宣稱是作為軟件檢查過程的一部分。7.2.2型式評價報告應包含的信息型式評價報告應至少包含以下的信息：a)認證軟件版本號；b)計量器具顯示認證軟件版本號的方法；c)安全手段以及人為干預后留存證據的檢查方法(例如鉛封、事件計數器、審查日志等);d)涉及法制計量管理的軟件模塊；e)完整性保護檢查的方法(如可能);f)軟件操作環(huán)境(如可能)。7.3軟件的驗證和評價7.3.1方法及其應用概述具體問題具體分析，軟件驗證和評價方法參考表1的驗證方法和順序。表1供選擇的驗證和評價方法概述縮寫描述應用應用條件和工具專業(yè)技能要求AD文檔分析和設計評價通用文檔VFTM計量的功能測試驗證算法正確性、不確定度、補償和糾正算法、價格計算規(guī)則文檔VFTSw軟件的功能測試驗證通信、示值、欺詐防護、誤操作預防、參數保護、缺陷偵測等功能的正確運行文檔、樣本DFA測量數據流分析軟件分離、命令對計量器具功能影響的評價源代碼、通用軟件工具程序語言知識CIWT代碼審查和代碼走查(7.3.2.5)全部目標源代碼、通用軟件分析工具程序語言知識軟件模塊測試當輸入輸出有清晰定義的全部目標源代碼、測試環(huán)境程序語言7.3.2驗證和評價方法的選擇7.3.2.1文檔分析和設計評價應用：軟件評價的基本程序。前提條件：有計量器具制造商的產品文檔。文檔應滿足以下需求。a)計量器具功能性通用說明(適用于功能測試可驗證其所有特性的、欺詐風險低、除顯示外沒有其他接口的簡單計量器具)。b)軟件功能和接口的說明(適用于不能驗證功能特性、欺詐風險可能高、帶有接口的計量器具),對計量特性產生影響的軟件功能應有明顯的詳細說明。c)對于接口，文檔應包括軟件可解釋的全部命令集或者信號列表。詳細闡述每個命令的作用，且應說明計量器具對文檔中未提及的命令是如何響應的。d)如需要理解和評估計量器具軟件功能時，應提供含復雜測量算法、密碼功能、關鍵計時與限值等內容的軟件文檔，例如軟件包對計量功能的貢獻。驗證方法：測試人員要依據型式評價大綱對計量器具的功能和特性進行評價，并且判定是否符合國家標準的要求。考慮和評價計量要求和規(guī)定的軟件功能要求(例如欺詐防護、可調參數防護、禁止的功能、與其他裝置的通信、軟件升級、故障檢測等)。軟件評估報告的格式示例見附錄A。結果：如果制造商能提供適當的文檔，對計量器具的所有特性給出結果。在測試報告中給出計量器具所有文檔符合性的結果。評價報告記錄與軟件有關的結果。補充測試：如果文檔檢查的結論不足以證實驗證需求，需要額外的測試。常采用功能測試來驗證計量功能(見7.3.2.2)。應用：驗證測量數據處理、線性化處理、環(huán)境因素補償、價格舍入等算法的正確性。驗證的軟件功能，制造商有責任開發(fā)一種測試方法。另外，軟件開發(fā)員也要配合回答問題。驗證方法：驗證和評價測試方法基于不同條件下的參考值。這些方法應用不局限于某些計量器具測量技術。雖然主要目的不是驗證軟件，但測試結果可以解釋為一些軟件部件的驗證，通常對計量是重要的。如果測試覆蓋了計量器具全部的計量特性，那么相應的軟件模塊可認為已被驗證。通常不需再進行軟件分析或測試來驗證計量器具計量特性。結果：檢查算法是否正確；在滿足全部條件下的測量值是否在最大允許誤差(MPE)范圍內。補充測試：通常是對7.3.2.1的優(yōu)化處理。在某些情況下，對于動態(tài)測量，將該方法與基于源代碼或輸入信號模擬(如：動態(tài)測量)的檢查相結合，可能是更有效、更容易的。7.3.2.3軟件的功能測試驗證應用：參數保護、軟件標識的表示、故障的軟件檢測、系統(tǒng)配置(特別是軟件運行環(huán)境)的驗證評價。證的軟件功能，制造商有責任開發(fā)一種測試方法。另外，軟件開發(fā)員也要配合回答問題。驗證方法：對操作手冊、計量器具或軟件文檔中按描述的特性進行實際檢查。如果是由軟件控制的，如果它們在沒有控制的情況下正常工作，則應認為通過驗證，而不需做進一步的軟件分析。這里提到的特性有下列幾方面。a)對于由軟件控制計量器具常規(guī)操作的計量器具，宜通過檢查所有的開關或按鍵組合，觀察計量器具響應來評價。圖形用戶界面中所有的菜單和其他的圖標都宜激活檢查。b)參數保護的有效性，可通過激活保護手段并嘗試更改參數方法進行檢查。c)存儲數據保護的有效性，可通過更改文件中的某些數據，觀察程序是否檢測到來檢查。d)軟件標識的顯示，可通過實際檢查來驗證。e)如果軟件支持故障檢測，那么要驗證相關的這部分軟件，可通過誘發(fā)、實施或模擬一個故障來檢查計量器具的響應正確與否。f)如果法制計量相關軟件要求的配置或環(huán)境恒定，可以進行非法的更改來檢查其保護措施。軟件應禁止這些更改或者停止運行。結果：檢查受軟件控制的被測特性正常與否。補充測試：受軟件控制計量器具的一些特性或功能在實際中不能被驗證。如果計量器具帶有接口，一般來說通過隨機試驗不會檢測到非法命令。因此，需要一個產生這些命令的發(fā)生器。對于一般驗的軟件分析是有必要的。應用：對法制測量數據域中測量數據流的軟件結構分析，包括軟件分離檢查。驗證方法：目的是找出軟件中所有參與測量值計算或對其有影響的部分。從接收傳感器原始測量數據的硬件端口開始，搜索讀取原始測量數據的子程序。這個子程序可能對數據進行一些運算，并將它存儲在變量中。由這個變量產生的中間值被其他的子程序讀取，依次類推，直到處理完的測量值輸出到顯示設備。通過簡單文本編輯器和文本搜索程序，所有用于存儲這些中間值的變量和傳輸這些值的子程序都應在源代碼中找到，并進一步查找其他源碼文件中的變量和子程序名。其他數據流也可通過從輸入接口到接收命令的解釋器的方法實現(xiàn)查找。還能發(fā)現(xiàn)隱藏的軟件接結果：根據6.2.2.2驗證軟件分離是否成功；驗證命令集文件清單是否完整。補充測試：當軟件分離已實現(xiàn)并且有高符合性或防欺詐高風險防護需求時宜使用。這是對7.3.2.5代碼審查和代碼走查應用：如果要提高檢查力度，軟件的任何特性都可以通過此方法來驗證。驗證方法：檢測人員走查指定源代碼，對代碼相應的部分進行評價，以確定程序功能和特性與文檔要求是否一致，需求是否能全部滿足。檢測人員也可以集中檢查那些已確定較復雜、易錯、文檔化不充分的算法和功能等。通過分析和查驗來檢查源碼的相應部分。在檢驗前，檢測人員首先應確定法制相關部分(例如通過DFA方法，見7.3.2.4),通常代碼檢查或走查方法僅限于法制相關部分。相比以無故障或性能優(yōu)化為目標的軟件生產對這些方法的使用，兩者結合的檢測所付出的工作量是最少的。結果：檢查是否和軟件文檔一致，是否和需求一致。應用：本方法適用于異常情況。根據唯一已有文本資料，無法檢查程序模塊功能時，可以使用此方法。特別適合動態(tài)計量算法的驗證。前提條件：具有源代碼、開發(fā)工具、軟件模塊測試的運行環(huán)境、輸入數據集和相應的正確參考輸出數據集或自動測試工具。要具備信息技術和程序語言技能，宜與其模塊測試程序員合作。驗證方法：將被測軟件模塊置于測試環(huán)境中，專用的測試程序模塊會調用被測軟件模塊，并提供所需的輸入數據(測試用例)。測試程序接收被測模塊的輸出數據并與參考的期望值進行比較。結果：檢查被測軟件模塊是否正確。補充測試：補充7.3.2.2或7.3.2.5的增強方法。7.4軟件評價過程軟件評價過程包含評價和驗證分析方法的組合與測試，包括以下內容：a)根據考慮的需求執(zhí)行7.3的評價和驗證分析方法；b)如何評價測試執(zhí)行的結果；c)在評價測試報告中和測試證書里包含的內容，至少包含有可執(zhí)行文件的名稱、版本和校驗和軟件水平分類為低、中等的(或風險等級不高的)應參照軟件評價過程A級(標準驗證等級)執(zhí)行，水平分類為高等或防欺詐使用風險較高時應按照軟件評價過程B級(擴展驗證等級)執(zhí)行。表2中定義了可供選擇兩種級別的A級和B級軟件評價過程(采用表1中的字母縮寫)。DFA、CIWT和SMT方法僅僅適用于B級。B級比A級有更多檢測項?？蛇x用A級或B級軟件評價過程，根據下面四點，決定A或B中每條需求相同與否：a)防欺詐使用的風險；b)應用領域；c)與型式評價報告一致性；d)誤操作導致測量結果的風險。風險評估見第5章。表2不同軟件的驗證和評價推薦方法需求A級驗證(標準驗證等級)B級驗證(擴展驗證等級)備注計量應用軟件的通用要求軟件標識AD+VFTSwAD+VFTSw+CIWT高符合性選B級算法和功能的正確性AD+VFTMAD+VFTM+CIWT/SMT軟件保護錯用預防AD+VFTSwAD+VFTSw干預的證據AD+VFTSwAD+VFTSw+DFA/CIWT/SMT高欺詐風險選B級硬件支持特性故障檢測功能AD+VFTSwAD+VFTSw+CIWT+SMT高可靠性選B級耐久性保護功能AD+VFTSwAD+VFTSw+CIWT+SMT高可靠性選B級時間戳AD+VFTSwAD+VFTSw+SMT——法制計量相關部件分離及接口的規(guī)定分離的電子裝置或組件AD+DFA/CIWT分離的軟件AD+DFA/CIWT——共享顯示AD+VFTM/VFTSwAD+VFTM/VFTSw+DFA/CIWT 一數據存儲AD+VFTSwAD+VFTSw+CIWT/SMT在開放式系統(tǒng)中測量數據的傳輸是可預見時選B級存儲數據的完整性AD+VFTSwAD+VFTSw+CIWT/SMT高欺詐風險選B級存儲數據的保護AD+VFTSwAD+VFTSw+SMT—自動存儲AD+VFTSwAD+VFTSw+SMT通過通信線的傳輸AD+VFTSwAD+VFTSw+高欺詐風險，如在開放系統(tǒng)傳輸選B級傳輸數據的完整性AD+VFTSwAD+VFTSw+高欺詐風險，如在開放系統(tǒng)傳輸選B級傳輸數據的保護AD+VFTSwAD+VFTSw+SMT—傳輸延時或中斷AD+VFTSw高欺詐風險，如在開放系統(tǒng)傳輸選B級操作系統(tǒng)和硬件的兼容性AD+VFTSwAD+VFTSw+SMT——硬件接口AD+VFTSwAD+VFTSw+SMT啟動過程AD+VFTSwAD+VFTSw+SMT——系統(tǒng)資源AD+VFTSwAD+VFTSw+SMT表2不同軟件的驗證和評價推薦方法(續(xù))需求A級驗證(標準驗證等級)B級驗證(擴展驗證等級)備注6.2.6.5運行中的保護AD+VFTSwAD+VFTM/VFTSw+DFA6.2.6.6法制計量關聯(lián)軟件的通信AD+VFTSwAD+VFTM/VFTSw+DFA6.2.6.7認證和可追溯性AD+VFTSwAD+VFTSw+SMT6.2.6.8運行要求AD+VFTSwAD+VFTSw+SMT6.2.6.9軟件運行條件AD+VFTSwAD+VFTSw+SMT—維護和重新配置6.2.8.3驗證升級ADAD6.2.8.4跟蹤升級AD+VFTSwAD+VFTSw+CIWT/SMT高欺詐風險選B級7.5被測計量器具一般來說檢測是對完整的計量器具進行的功能測試。當計量器具的尺寸或配置使得其本身不適合作為整體單元進行測試，或者僅考慮計量器具中的單獨裝置(模塊)時，該測試或者某些測試要在電子裝置或軟件模塊分離的情況下進行。假如有需操作裝置來進行測試的情況，則要通過模擬實驗，對其代表性的常規(guī)操作進行充分測試。申請人負責提供所有必需的設備和樣機。8計量器具的軟件驗證8.1通用要求對于法制計量管理的計量器具，應對法制計量管理的計量軟件制定相關規(guī)定，在檢定規(guī)程中，應規(guī)定對運行中計量器具的軟件識別號、參數設置有效性、與獲型式批準一致性的驗證檢查方法。根據不同計量器具特性，可要求對該計量器具在一個或多個階段執(zhí)行軟件的檢查驗證。軟件的檢查驗證應包括下面的內容：a)與型式批準版本(如版本號、安全方法的驗證)軟件的一致性；b)與聲明的最低配置兼容的配置(如果在型式評價報告中給出);c)計量軟件中涉及輸入/輸出的參數不受其他方面的影響；d)設備專有參數(特別是可調整參數)的正確性。8.2驗證方法和測試項目8.2.1軟件文檔檢查對于軟件文檔檢查，從以下方面檢查被檢計量器具軟件分析驗證是否與型式批準一致：a)檢查型式批準的有效性；b)檢查被檢計量器具是否符合型式評價報告；c)檢查操作手冊(必要時)。8.2.2軟件的完整性采用以下其中之一方法檢查軟件的完整性：a)間接法：依據型式評價報告中說明的位置檢查計量器具的封印設置；b)直接法：檢查軟件標識與型式評價報告是否符合。注：直接法和8.2.4的a)是重復的。示例：通過計算程序代碼的校驗和與標稱值進行比較。采用以下方法檢查軟件參數的正確性：a)間接檢查軟件參數的正確性：運行測量結果和標準值進行比較；b)檢查全部的參數設置是否在允許值范圍內。采用以下方法檢查軟件參數的完整性：a)檢查軟件參數的電子封印是否完好無缺；b)檢查訪問修改軟件參數的審查日志。采用以下方法檢查軟件識別號：a)檢查被檢計量器具與其有效型式評價報告的軟件識別號一致否；b)檢查審查日志追溯軟件升級更新(見6.2.8.4.6)。(資料性)軟件評價報告格式示例A公司TT100型流量計的軟件驗證該流量計軟件已被驗證為符合GB/T42555—2023的要求。驗證報告有關于該軟件基本要求的解釋說明。報告描述了對于R-xyz中提出的該軟件需要符合的一些要求的檢查。被測對象A公司的TT100是一種用來測量液體流