计量器具软件测评指南

JJF1182—20211计量器具软件测评指南1范围1.1总则本规范描述了针对计量器具软件测试的应用、水平分类及测评细则编制的基本要求、验证程序和主要验证方法。本规范是计量器具有关软件测评内容和方法的指导性文文件。1.2应用范围为了使计量器具软件的测评结果具有可评估性,应采用相对公平一致的计量器具软件测评方法和符合各专业技术要求的水平分类原则。本规范规定了计量器具法制相关软件功能性和测量结果的真实可靠的应用要求,并给出了验证评价其符合性的指导意见。本规范提出的计量器具软件应用要求,覆盖了不同种类的计量器具软件一般技术要求,但不是全部要求。各具体专业计量技术委员会应参照本规范的规定,按计量器具技术特性的分类或应用领域提出特定技术要求,明确该计量器具控制软件的法制相关部分和参数,分别制定相应软件测评的细则和程序。国家对数据安全有要求的遵照相关法律法规执行。以下技术要求适用于所有计量器具软件:1)对计量特性有影响并起关键作用的软件应予以特别标识并得到保护。该标识应易于获得,对软件进行保护的证据记录应保存足够时间。2)测量数据和关键计量参数的存储或传输应得到足够保护,以避免意外或有意的破坏。3)防止欺骗性使用,并将误操作的可能性降至最低。4)计量器具的计量特性不应受到与其连接设备自身特性或与其通信的远程设备(包括无线接入设备)的影响。2引用文件本规范引用了下列文件:GB/T8567计算机软件文档编制规范GB/T9385计算机软件需求规格说明规范GB/T11457—2006信息技术软件工程术语GB/T15532—2008计算机软件测试规范GB/T18491.1—2001信息技术软件测量功能规模测量第1部分:概念定义GB/T25000.51—2016系统与软件工程系统与软件质量要求和评价(SQuaRE)第51部分:就绪可用软件产品(RUSP)的质量要求和测试细则JJF1182—20212OIMLD31:2018(2CD)cleanversion计量器具软件通用要求(Generalrequire-mentsforsoftware-controlledmeasuringinstruments)OIMLD11:2013电子测量仪器通用要求(Generalrequirementsforelectronicmeasuringinstruments)WELMEC7.1(Issue2):2005基于MID的软件检测(SoftwareExaminationbasedontheMeasuringInstrumentsDirective)WELMEC7.2(Issue1):2018MID软件指南[SoftwareGuide(MeasuringIn-strumentsDirective)]凡是注日期的引用文件,仅注日期的版本适用于本规范;凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本规范。3术语和定义GB/T11457—2006、GB/T18491.1—2001中的有关术语和定义适用于本规范。下面引用了一些相关的定义并列出了计量器具软件测评工作中适用于本规范的其他定义和术语。3.1电子计量器具electronicmeasuringinstrument用电子方法或者电子设备对电量或非电量进行测量的计量器具。注:计量管理的辅助装置应视作计量器具的一部分。3.2电子装置electronicdevice使用内置电子集成块执行特定功能的设备。它通常作为一个独立单元进行生产并可单独测试。注:电子装置可以是一个完整的计量器具,也可以是计量器具的一部分。3.3电子组件electronicsub-assembly电子装置中可识别的部分,通常由电子元器件组成。3.4耐久性durability计量器具在使用一段时间之后保持其计量特性的能力。3.5P型计量器具built-for-purposedevice为实现测量任务某特定目标而制造的设备。注:不存在访问操作系统的接口,若有则需要声明。3.6U型计量器具universaldevice通过调整软件来完成测量任务,并非为特定目标而制造的设备。注:这类计量器具可能含有未声明访问操作系统的接口。3.7校验器checkingfacility计量器具内能侦测到重大缺陷且能产生响应的器件。注:“响应”是指计量器具具有任何足够的反馈信息(输出信号),如:发光信号、声信号、测量过程的预防等。3.8认证authentication对用户、进程或计量器具声明或宣称的身份进行核对的过程。JJF1182—20213注:有必要核实下载的软件是否源自证书所有者。3.9真实性authenticity认证结果(通过与否)。3.10哈希函数Hashfunction散列函数数学上将值从大域(可能非常大)映射到较小范围域的函数。“好”的散列函数意味着域中的一组(大)值的输出结果应能在该范围内随机均匀分布。3.11加密措施cryptographicmeans对未授权方隐藏信息的加密或解密方法,例如加密散列或电子签名。3.12加密证书cryptographiccertificate计量器具或个人加上唯一身份标识的公钥数据集,例如,加上有效期的计量器具序列号,人的姓名或个人识别号码(PIN)。3.13时间戳timestamp时间。3.14事件event修改计量器具参数、调整因子和更新软件模块的操作。3.15事件计数器eventcounter每当事件发生时,逐一递增且不可复位的计数器。3.16审计日志audittrail连续记录带时间戳事件信息的数据文件,例如计量器具参数更改或软件更新,或法制相关且可能影响计量特性的有关操作,需附带时间戳记录在日志中。注:可包括以下实现方式:a)事件记录器。可以是一系列记录的文件。文件中的每个记录包含事件描述、种类和时间。如:随着参数标识的变化而引起的计量器具专有参数的变化,参数更改的时间日期及新赋予参数的值应写入文件。实现事件记录的程序部分和包含事件数据的文件是法制相关的,应得到保护。b)事件计数器。3.17错误日志errorlog连续记录对计量器具计量特性造成影响的故障或重大缺陷信息的数据文件。3.18不可中断累积测量non-interruptiblecumulativemeasurement没有明确终点的连续累积测量过程。此过程中,用户或操作人员不可终止并重新继续测量。除非伪造测量结果,比如篡改传感装置参数。示例:a)连续累积自动称重仪;b)热量计。3.19可中断累积测量interruptiblecumulativemeasurement正常操作条件下,某物测量数据的累积过程可轻易停止的测量。示例:JJF1182—20214a)不连续总计自动称重仪;b)燃料分配器。3.20数据域datadomain程序在内存中处理数据所需的空间,可以属于一个或多个软件模块。3.21接口interface两个功能单元之间的共享边界,通常由各种属性来定义,比如,与功能相关的各种特性、物理互连、信号交换以及功能的其他特性。3.22通信接口communicationinterface能够在计量器具之间,或计量器具的组件之间或与外部系统之间传递信息的仪器部分。注:1通信接口可设计成有线、光学、无线电接口,通常使用特定的协议。2本定义不含软件接口。3.23软件接口softwareinterface由程序代码和专有数据域组成,在法制相关部分和软件模块之间接收、过滤和传输数据。注:1软件接口不一定是法制相关的。2软件接口是两个或多个软件模块之间用来交换数据和传输命令的。3.24用户接口userinterface用户界面操作人员与计量器具、计量器具的硬件、软件模块之间传递信息接口。注:比如开关、键盘、鼠标、显示器、监视器、打印机、触摸屏、屏幕上的软件窗口以及生成窗口的软件。3.25保护性接口protectiveinterface用来处理流向法制相关软件所有数据的法制软件接口,以防干扰。3.26法制相关参数legallyrelevantparameter依法管理的计量器具或其组件的参数。法制相关参数可分为两种:型式专有参数和设备专有参数。a)型式专有参数是指仅仅依赖计量器具型式的法制相关参数。此参数是法制相关软件的一部分。它们在获型式批准的时候被固化在计量器具中。b)设备专有参数是指取值基于单个仪器的法制相关参数,包含可调整参数(例如调整范围,或其他可调值、修正因子)和配置参数(例如最大值、最小值、测量单位),通常设备专有参数应受保护。只有在器具的特殊操作模式下是可调节的或者可选的。可分为不可变更的参数和授权用户可进行设置的参数。3.27法制相关软件部分legallyrelevantsoftwarepart依法管理的计量器具、装置、组件中定义或执行功能或表述特性的软件模块部分。3.28固定法制相关软件部分fixedlegallyrelevantsoftwarepart5与获型式批准具有相同执行代码的法制相关软件模块部分。计量器具中的软件可被分成法制相关部分和非相关部分，实现法制管理功能的程序代码部分，见图1。图1实现法制相关功能的法制相关子程序和其他被分离的程序部分的举例的，并对其他用户是不可知的。测量完成后，为法制计量目的(例如贸易结算用)保留测量数据的存储装置。计量过程结束后，为法制目的而进行的长期数据存储。可代表所考虑软件或软件模块的可读字符串。计量器具使用过程中可对其进行3.35程序、数据、参数完整性integrityofprograms,data,orparameters由子程序和数据域组成的逻辑实体。用来防止计量器具组件、软件等被任何未经授权/允许的修改、调整、拆除的具体通过硬件或软件封印来保护计量器具软件和数据域。注：只有封印被破坏后软件或数据域才会被更改。JJF1182—202163.39防护securing防止对硬件或软件被未经授权进入访问的保护措施。3.40重大缺陷significantdefect计量器具软件对计量器具符合性产生不良影响的事件或增差。示例:a)删除审计日志;b)未经授权的参数更改;c)未经授权的更新。3.41测量标记measurementmark测量数据存储和传输时,唯一标识测量数据记录的连续数字。注:类似发票号码,测量标记数字的位数至少8位,其中一位是数据有效位,可用0和1分别表示无效和有效。3.42可接受方案acceptablesolution软件模块、硬件单元或特性满足特定要求的设计及原则。方案提供满足特殊要求的例子。注:一个可接受方案不排斥其他任何满足要求的方案。3.43软件一致性conformityofsoftware生产或使用中计量器具软件与获型式批准的软件类似的程度。3.44软件测试softwaretest根据特定程序测定一个或多个软件特性是否符合要求的技术操作。包括技术文档分析或在受控环境下运行程序,目的在于检验软件是否满足规定的需求或是发现预期结果与实际结果之间的差别。3.45黑盒测试blackboxtest基于需求和功能性的测试。[GB/T11457—2006,2.142,有修改]3.46白盒测试whiteboxtest基于内部设计和代码的内部逻辑知识,覆盖全部代码、分支、路径和条件的测试,白盒测试又称“结构测试”。[GB/T11457—2006,2.1848,有修改]3.47测试用例testcase对一项特定的软件进行测试任务的描述,体现测试方案、方法、技术和策略的文档,内容包括测试目标、测试环境、输入数据、测试步骤、预期结果、测试脚本等。[GB/T11457—2006,2.1695,有修改]3.48验证verification通过提供客观证据对计量器具软件的规定要求已得到满足的认定。3.49测评机构testingandevaluationbodies经有关部门能力认可,获取相应资质,在一定范围内从事计量器具软件及系统测评工作的专业机构。JJF1182—202173.50证书certification第三方依据程序对计量器具软件符合规定的要求给予的书面保证。4计量器具软件的应用要求4.1计量器具软件分类及技术特性4.1.1计量器具软件分类计量器具软件按其技术特性可分为基于嵌入式计算机的软件(P型)及基于通用计算机的软件(U型),不同计量器具应按计量器具软件的技术特性分类及其应用领域制定相应的软件测评细则和程序,并满足相应要求。4.1.2计量器具软件特性4.1.2.1P型计量器具软件特性基于嵌入式软件系统(如基于微处理器或微控制器的系统)的P型计量器具,其嵌入式系统所用组件是开放的。其软件特性如下:a)构造仅用于测量目的。为了保证测量结果可靠,需考虑软件和数据的防护、数据的传输和软件的下载等其他功能。b)用户界面主要用于测量目的,通常情况是处于依法管理的操作模式。允许切换到不受法制管理的操作模式。c)以下情况,可包含操作系统(OS)或其子系统:—所有通信均受法制相关软件控制。—不允许载入或更改程序、参数和数据或不允许运行程序。—不容许更改与法制相关应用程序的环境。包括预先设置防止组件访问的措施,而不是任其各自后续配置。d)软件运行环境恒定,软件处于嵌入式状态时,其内外没有对其编程或更改的手段。如符合4.3.4的具体要求,则可下载软件。4.1.2.2U型计量系统的特性4.1.2.2.1硬件部分:a)基于通用的计算机系统,可独立存在,或作为封闭网络,如以太网、令牌环网的一部分,或开放网络的一部分,如因特网;b)由于系统的通用性,作为计算机扩展单元的传感器应通过通信线路连接;c)用户接口除了具备完成测量任务的操作模式,还可提供不受法制管理的功能;d)数据可本地(固定式,如硬盘;移动式,如USB)或远程存储。4.1.2.2.2软件配置部分:a)通常情况下,需要用到操作系统;b)除了计量器具的应用程序,其他软件应用程序也可同时驻留在系统中。上述配置不能完全满足P型计量器具特性,可假定其为U型系统。4.1.3驱动程序现成操作系统及其提供的底层驱动程序,如视频驱动程序、打印机驱动程序、磁盘JJF1182—20218驱动程序等,不是法制相关的。除非某个特定测量任务,可用专用程序替代这些驱动或专门编写驱动程序,这些替代或专门的程序是法制相关的。4.2基本要求4.2.1软件标识运行的计量器具/组件软件应有清晰的标识。标识可含多个部分,但至少应有一部分专用于法制计量,一旦软件有更改,应重新生成软件标识。软件标识以及采用何种方式(如软件版本、散列值、校验和)应在证书中注明。证书中还应说明如何显示或打印软件标识。每一台在用的计量器具,其软件应与获批准型式的计量器具一致。软件标识应能让监督人员及与测量有关的人员确定它们是否一致。通常通过命令,操作打印或显示软件标识,对可关机重启的计量器具,应在启动时打印或显示标识。没有显示屏或打印机,标识应通过通信接口传送到另一个组件显示、打印。示例:在以下情形,计量器具/组件上应印刻软件标识:a)无法通过用户接口在显示屏上显示软件标识,或显示屏不能显示软件标识(模拟显示装置或机电计数器);b)计量器具/组件没有输出软件标识的接口;c)计量器具/组件出厂后,软件无法更改,或者除非硬件被更换才可更改软件。应确保在相关计量器具/组件上标记正确的软件标识。是否印刻软件标识应在具体的计量专业技术规程中明确。示例:软件中所含的一个数字或文本字符串可准确标识当前安装的软件版本。当按下一个按键,或计量器具启动时,也可在定时器控制下,字符串标识应能在显示屏上显示。软件版本号一般的结构为:A.Y.Z。以流量计算机为例,其中字母A代表计算脉冲的核心软件版本,字母Y代表转换功能的版本(无转换、15℃转换、20℃转换),字母Z代表用户界面所使用的语言。软件计算其执行代码的校验和替代或附加在前述字符串上作为标识。应制定详细的计量器具软件标识规范,以便各具体专业计量技术委员会参考,在计量规程或软件测评大纲中提出具体要求。4.2.2算法和功能的正确性对于给定的应用程序和设备类型(算法的精度、满足特定规则的价格计算、舍入算法等)计量器具的测量算法和功能应适当和正确。正确显示或者打印测量结果及其所附信息应在具体的计量专业技术规程中明确。可通过计量检测、软件测试或软件检查来检查算法和功能。禁止存在隐藏的或在文档中未记录的功能或参数。4.2.3软件保护4.2.3.1预防误操作计量器具的硬件构造应将有意无意的误用可能性降至最低。计量器具软件设计提供的保护,应使计量器具误操作的可能性降至最低。JJF1182—20219软件控制的计量器具在功能上常常比较复杂,操作手册应清晰明确,以便用户正确使用并能得到正确的计量结果。结果的表达应明确无误。示例:用户根据菜单操作,法制相关功能在某一级菜单下。如果测量数据可能因某操作而丢失,用户应被警示,在此项功能执行前进行其他必要的操作以保证测量数据的完整可靠。4.2.3.2干预证据4.2.3.2.1证据保留软件应受到保护,任何干预(例如软件更新、参数改变)应留下证据。应防止通过替换存储体来修改、加载或更改软件。有必要通过机械封印或其他技术手段来保护计量器具。示例:封印外壳,或直接把存储体焊死在印刷电路板上。如采用的是可写存储体,写保护应封死。电路设计时应防止通过跳线短路使写保护失效。计量器具包含两个组件:一个组件是封印在外壳内的主要计量功能装组件,另一个组件是带有操作系统的通用设备。示值功能由这个设备上的软件执行。为了防止通用设备上的软件被替换,需对组件和通用设备之间的数据传输进行加密。解密的密钥隐藏在作为通用设备法制相关软件的一部分的程序中。只有这个程序才知道密钥,并且能够读取、解密和使用测量数据。其他程序由于不知道密码因而不能解密,也就不能显示示值。注:此时,替换通用计算机上的软件可能是相对比较容易的欺诈操作———特别是软件之间是通过标准协议进行通信的。4.2.3.2.2完整命令从用户接口输入的命令,在软件测评时提交的软件文档中应有完整描述。只有文档中说明的功能允许被用户接口激活。接口设计要避免用户用于欺骗性使用的目的。软件测评机构、计量管理部门决定所有备档的命令是否是可接受的。应过滤所有来自用户接口的命令,只有备档的命令才允许通过,其余的将被丢弃。这段过滤程序或软件模块是法制相关的。4.2.3.2.3参数防护计量器具中固化的法制相关特性参数应有防护,以防未经授权的修改。如有检定需求,必要时可显示或打印当前参数设置。软件测评后,在特殊运行模式下,授权人员可对设备专有参数进行调整或选择。设备专有参数分为受保护参数(不可更改)和授权人员(设备所有者或供应商)可访问参数(可调整/选择参数)。不变。受保护的设备专有参数存储在非易失性存储器中。存储器的写开关应被封死。4.2.3.2.4保护措施通过保护措施,如机械封印或电子加密措施等,防止未授权的访问或者访问时留有证据。机械封印。计量器具的软件除了通过开关打开菜单,没有其他办法修改法制相关参数。这个开关机械地封印在某个特定位置,正常情况下无法修改法制相关参数。必要时,只有破坏封印才能激活开关,修改法制相关参数。JJF1182—202110可使用加密证书。该软件由具有电子签名的可信机构签名。利用可信机构的公钥,对证书的签名进行解密,验证签名软件的真实性。电子封印。法制相关参数可通过菜单项输入和调整。该软件可以识别每项更改,对这一类型事件启动事件计数器并显示出计数器值。事件计数器的初始值在仪器上永久标记。如果显示值与注册值不同,则仪器处于未通过验证状态(意味着封印损坏)。计量器具的软件设计成只有授权人员可访问法制相关参数。如果用户想要访问参数菜单项,则应插入包含个人身份号码(PIN)的智能卡作为加密证书的一部分。该软件能够通过证书验证PIN的真实性,通过后才能进入参数菜单项。访问被记录在审计日志中,包括人员的身份(或智能卡)。4.2.4硬件特性支持4.2.4.1重大缺陷侦测制造厂商应在软件或硬件中设计检查工具,也可采用软件支持的硬件检查方法。如果通过软件检测缺陷,需要有适当的响应。具体计量专业检定规程应规定当某缺陷被检测到时,计量器具/组件就应失效或在日志产生一个报警记录。提交软件测评的文档中应包括缺陷列表说明,为便于理解,也应有侦测算法的描述。示例:每次启动,法制相关程序会计算程序代码与法制相关参数的“校验和”。这些值已经被事先算好并存在仪器中,如果算出的值和预存的值不匹配,程序将停止执行。对不可中断累积测量,软件计时器将会循环计算校验和。一旦有错误被检测到,软件会显示错误信息或打开错误指示器,并把发生的时间写入日志。高风险时,每次启动,法制相关软件由加密散列函数计算程序代码和法制相关参数产生的散列值。散列的标称值已经预先计算并存储在仪器中。如果计算和存储的值不匹配,则程序停止执行。对不可中断的累积测量,软件计时器将会循环计算散列值。一旦检测到错误,软件显示错误消息或打开故障指示器,并将显著缺陷的时间记录在错误日志中。注:散列值(Hashvalue)是对可执行程序进行密码运算(也称单向散列运算)所得到的结果。其特征如下:据,防止伪造;b)有固定的长度,运算是不可逆的;c)不同的程序其散列值是不同的,而相同程序其散列值是相同的并且唯一。4.2.4.2耐久性保护制造厂商应在软件或硬件中设计检查工具,也可设计成软件支持的硬件检查方法。涉及耐久性检测,应有适当响应。具体计量专业检定规程可规定当有危及稳定的因素被检测到时,计量器具/组件就应失效或是在错误日志产生一个报警记录。耐久性保护工具文档应包含软件可侦测到的耐久性错误列表及侦测算法描述。示例:某些计量器具在一定的时间间隔之后,应进行重新校准。当需要重新校准时,软件会给出一个警告,如果超过了一定的时间,仪器将停止工作。4.2.5时间戳计量器具的时间戳宜采用统一的固定格式,以比较两个不同的记录,跟踪了解进展JJF1182—202111情况。时间戳应从计量器具的内部时钟上读取。根据仪器种类和应用领域,时钟设置是法制相关的,应根据应用领域风险水平采取适当的保护措施。计量器具如果有联网功能,可在有防护措施情况下进行在线校时。独立非联网的计量器具内部时钟无法与标准时间保持同步,那么可能带来时间上相当大的不确定度。当某些特定应用领域涉及确切测量时间时,应采用特别方式提高内部时钟的可靠性。示例:在具体专业计量技术规程中,可规定相应内部时钟的要求和测试方法。通过冗余来提高计量器具内部石英控制时钟的可靠性:由另一个石英晶体衍生的微控制器时钟作为一个计时器。当计时器值达到预设值,比如1s时,微控制器生成一个特定标记,法制相关软件的可中断线程生成一个秒计数器。1d后,读取时钟信息,与秒计数器的值相比较,如果差值在预定限值内,则重置软件计数器,并重复该过程;但如果差值超过限值,则软件给出误差提醒。注:14.2基本要求适用于绝大多数不同专业的计量器具软件。当前信息技术所能达到的水平对计量器具软件能提供足够的解决方案。2具体计量专业检定规程宜规定特定计量器具支持哪些硬件特性功能。4.3特定要求4.3.1计量数据自动和长期存储(用L表示)4.3.1.1数据和必要信息应同时保存日后用于法制管理目的的测量数据及其所有必要的相关信息。例如:带单位的测量数据;测量时间戳,用于测量的计量器具身份标记或测量的地点,类似发票上打印连续票号的明确测量标记。4.3.1.2数据完整性、真实性应通过软件手段保证存储数据的完整性、真实性,必要时还要保证测量时间的准确性。获取存储的数据后应在显示或作其他处理前检查其测量时间、真实性和完整性。一旦发现异常,就要丢弃这些数据并打上无效标记。用来存储和检查的软件模块应是法制相关软件。如采用可任意访问的存储设备,应考虑可能的风险。高风险水平时应采取加密措施,保证一旦封印遭到破坏,只能输入密钥来读取。示例:本地存储设备的程序可在数据集上附加CRC32校验值。计算使用的是秘密初始值,而不是标准正常给定的值。这个初始值作为一个密钥以程序常量存储在程序里。读取程序同样存储这个初始值。用到这个数据集时,读取程序计算校验值并与附加在数据集上的校验值比较,如果一致,表明数据集没有伪造,否则程序就会认定是伪造数据并丢弃。对任意访问的存储设备,存储程序是法制相关的,它会在数据集上附加一个电子签名。用来签名的公钥和私钥由硬件防护模块生成,以防篡改或读取私钥,传播公钥。读取程序用公钥来验证签名,检查数据集的真实性和完整性。为保证数据集的来源,读取程序应了解公钥是否属于存储程序。现场验证时,公钥应能在计量器具的显示屏上显示出来,和仪器的序列号共同注册。4.3.1.3自动存储最终测量数据用于法制目的时,测量数据应要自动存储。用来长期存储计量数据的存储器应有足够容量。通常,涉及存储容量需求的同一数据域(如:程序变量)应充分JJF1182—202112考虑累积的计量值的存储容量。累积的计量值应及时更新,如:电量、加油量等。只要满足规定要求,计量数据不必非要本地存储。满足下列条件可删除存储的数据:a)数据已经传输完毕;b)数据已由法制管理的打印机打印完毕。需要注意的是,各具体专业计量技术委员会应根据国家相关法律法规决定删除存储数据的要求。表1中列出了三种不同的长期存储的技术方案。表1长期存储的技术方案存储方式技术方案集成存储简单嵌入式计量器具中,用来存储测量数据或参数的集成的存储器,如:RAM、闪存和硬盘。无外接有效工具或方法来编辑或改变数据通用计算机存储通用计算机、图形用户界面和多任务操作系统,受法制管理和不受法制管理的任务可并行作业,存储器可从计量器具中移走,或者其中的内容可拷贝到计算机里或计算机外的任何地方可移动的或者远程(外接)的存储器任何基本的计量器具(嵌入式的或使用通用计算机的),它的存储器可从中取出。这些存储器可以是软盘、闪卡(闪存)或者网络中的远程数据库注:测量数据存储适用于日后的法制管理。各具体专业计量技术委员会应对不同的应用场合规定适当的存储条件。通过软件方法保护数据,保证它们的标识、量值及测量时间等信息的正确性、真实性和完整性。4.3.2测量数据的传输(用T表示)4.3.2.1数据项测量数据传输时应附带所有必要的相关信息。且不应受到传输延时的影响。数据包括以下各项信息:a)带单位的测量数据;b)测量时间戳;c)测量设备身份标记或测量地点;d)明确的测量标记,如:类似发票上打印连续票号。4.3.2.2完整性、真实性及准确性应通过软件手段保证传输数据的完整性、真实性,必要时还要保证测量时间的准确性。从传输通道获取数据后应在显示或作其他处理前检查其测量时间、真实性和完整性。一旦发现异常,则丢弃这些数据并打上无效标记。用来发送和接收的软件模块应是法制相关软件。示例:法制相关的发送程序可在数据集上附加CRC32校验值。计算使用的是秘密初始值,而不是标准JJF1182—202113正常给定的值。这个初始值作为一个密钥以程序常量存储在程序里。接收程序同样存储这个初始值。用到这个数据集时,接收程序计算校验值并与附加在数据集上的校验值比较,如果一致,表明数据集没有伪造,否则程序就会认定是伪造数据并丢弃。法制相关的发送程序可在数据集上附加一个电子签名。用来签名的公钥和私钥由硬件防护模块生成,以防篡改或读取私钥,传播公钥。接收程序用公钥来验证签名,检查数据集的真实性和完整性。为保证数据集的来源,接收程序需了解公钥是否属于发送程序。现场验证时,公钥应能在计量器具的显示屏上显示出来,和仪器的序列号共同注册。4.3.2.3传输延时测量命令和测量数据的传输延时应在容忍范围内,如果超出容忍范围,应写入日志或提出告警提示。4.3.2.4传输中断因网络不可用造成传输中断,应停止测量,防止测量数据丢失。静态和动态测量情况有所不同。基于应用场合以及测量的可重复性,有时数据可以丢失。数据传输时,发送方应等待接收方发出数据集正确接收的确认信号。发送方将数据保留在缓存中,直到接收到确认信号。表2中所列为三种最常见的网络结构。最简单的是依法管理的计量器具组成的网络结构,成员(任意功能的计量器具)基本固定。封闭网络,部分受法制管理,其成员不受法制管理,但是可知并且在操作过程中不改变。开放网络对使用人员的身份、功能、存在和位置没有限制。表2常见的网络结构网络结构结构描述封闭网络,完全受法制管理成员的数量是固定的,而且有清楚的身份、功能和连接位置。所有计量器具受法制管理,网络中不存在不受法制管理的计量器具封闭网络,部分受法制管理成员的数量是固定的,且有清楚的身份和连接位置。不是所有的计量器具是受法制管理的,因此它们的功能是不可知的开放网络任何成员都能连接到网络中。参与其中计量器具的身份和功能及其位置对其他成员来说可能是不可知的。任何包含具有红外或无线通信网络接口的法制受控计量器具的网络都可以认为是开放网络注:1计量器具需要在网络上传输或接收法制相关测量数据时适用。2测量数据传输应具有所有必要的相关信息,能在测量不同时间、不同地点使用这些数据进行相关检查。如果在不安全的环境中传输测量数据,在用作法制目的前,应满足上述要求。4.3.3组件分离与接口的要求(用S表示)4.3.3.1设备和组件的分离4.3.3.1.1当计量器具带有与其他设备交换信息的通信接口,或计量器具里除计量部分外,还有其他的软件模块,应能区分这些接口组件,并给予明确的标识。计量器具中用来执行法制相关功能的组件或电子装置应有标识,在文档中有明确定义。它们组成计JJF1182—202114量器具的法制相关部分。软件测评机构检测人员、计量管理人员决定法制相关部分是否完整,对非法制计量部分是否做进一步评价。示例:某计量器具由以下组件组成:a)运算重量或体积的数字传感器;b)计算价格的通用设备;c)打印测量数据和价格的打印机。所有组件都在一个局域网内,这种情况下,数字传感器、通用设备和打印机均为法制相关组件,它们可以连接到非法制相关的商业系统。除了满足4.3.3的要求外,这些组件还应满足4.3.2测量数据传输的要求。4.3.3.1.2未经授权的命令通过接口时,不应对组件和设备的相关功能和数据产生影响。组件或设备中启用的功能或数据交换的每条命令都应有一个明确的任务。命令列表及其相应的功能应在提交软件测评时所附软件文档中完整表述。没有声明并备案的命令或代码将不会对组件或设备的功能和数据起作用。制造厂商应声明命令文档的完整性。示例:带有光接口的电表,其接口用来传输读出的测量数据。电表存储所有相关的量值并保证这些测量数据在足够长时间内有效。类似电表这种计量器具,其自身即法制相关。其他法制不相关的设备可以连接到接口上,数据传输过程可不加防护。电表软件可接收所需“量”的测量命令。它把测量数据和附加信息(如时间戳、计量单位)结合在一起作为数据集传回请求的设备,软件只接收允许的“量”的有效测量命令。对其他无效的命令,软件将丢弃,并返回一个“错误”提示信息。这是对数据集保护的一种方法。如果数据集不受法制管理约束,可不采用这个方法。封印在外壳里的开关决定了电表两种操作模式。一种是防护模式(只读模式),另一种是自由模式(设置模式)。当接收到命令时,软件检查开关位置状态,如果是自由模式,可对校准因子进行调整,而防护模式下则不可。注:“量”是指应测量的参数。如果法制相关组件或设备与其他法制相关组件或设备互相影响,参见4.2.3软件保护的内容。4.3.3.2软件要求与分离4.3.3.2.1软件标识所有执行法制相关功能或包含法制相关数据域的软件模块(程序、子程序和对象)组成计量器具(设备或组件)的法制相关部分应有软件标识,应符合4.2.1规定。软件如果不可能或不必进行分离,其整体将被视为法制相关部分。示例:计量器具有多个数字传感器同时连接显示测量数据的电脑。电脑上的法制相关软件通过把所有实现法制相关功能的程序编译到一个动态链接库的方法来与非法制相关部分实现分离。一个或多个非法制相关应用程序可调用库中的程序,这些程序从数字传感器接收测量数据,计算测量结果,并显示在软件的窗口中。4.3.3.2.2软件接口如果法制相关的软件部分与其他的软件部分通信,应明确软件接口。所有的通信只能通过这个接口执行,制造商应声明:不会绕过软件接口而直接读取命令和数据。法制相关的软件部分和接口应在文档中详细说明。软件的所有法制相关功能和数据域的描述应详尽,以便软件测评机构能够正确对软件分离做出判定。接口由程序代码和专用的数JJF1182—202115据域组成,命令或数据在软件的各部分之间进行交换,由软件的写代码存储到专用的数据域再通过软件的读代码读出。读和写程序代码是软件接口的一部分。4.3.3.2.3命令文档完整在软件法制相关部分,每个开启的功能或数据更改的命令有明确任务要求。软件开发者应声明命令文档是完整的,没有在文档中声明和备案的命令对软件的法制相关部分不应起作用。软件开发者应采取相应技术手段预防非授权人员绕过接口,并且保证没有隐藏的命令。4.3.3.2.1中示例的软件接口是通过参数和库中程序返回值来实现的。库中数据域没有返回指针。过程、参数和返回值的数量和类型在编译时即已固定。接口的定义固化在编译过的法制相关库中且不能被任何应用程序所改变。应不可能绕过参数和库中的数据域地址直接访问。一个通用设备上不同的虚拟机分别运行法制相关与非法制相关软件。两台虚拟机配置应满足:两个软件部件之间的任何通信只能通过已定义的软件接口完成。虚拟机的配置,两者之间的通信方式,都属于法制相关软件。操作系统应确保在不破坏封印的情况下不能修改配置。4.3.3.2.4资源优先级软件分离意味着:如果系统资源有限,法制相关软件的优先级高于法制不相关软件,由法制相关软件部分实现的任务不会被法制不相关软件中断,也不得被其他任务延时或锁定。法制相关功能优先级应高于其他普通功能,计量器具的用户或操作人员不能降低这个优先级。示例:为正确计算从数模转换读取的原始测量数据,事件“数据就绪”与测量数据缓冲完成之间的延迟是至关重要的。得到“数据就绪”信号后,启动一个中断线程读取原始数据。通过并行的中断线程,计量器具可经接口和其他电子设备进行非法制相关的通信,而处理测量数据的中断线程优先级应高于并行的其他线程。4.3.3.2.1~4.3.3.2.3的示例仅对一个水平分类较低的计量器具软件来说是可接受的技术方案。如果需要更高的防止欺骗性使用保护或更高的一致性时,仅仅将软件分离是不够的,此时,软件应作为一个整体进行法制管理。4.3.3.3示值共享具体的专业计量检定规程应规定该计量器具的应用场所、特定显示的内容和附加信息。示值通过显示屏或打印机给出软件法制相关部分的信息和其他信息时,法制相关的信息应清晰可读,与其他示值信息的区别应一目了然。示例:提供可区分不同远程地点的计量器具或计量场所的名称或标号。加油系统在打印输出时,含计量结果的那一行应打上星号。这样可以对每一票据向用户解释。注:软件标识可显示在多个显示设备上,4.3.3.2.3满足软件分离和密码的要求时,也允许显示在多个显示设备上,测量数据显示在不同的软件窗口。4.3.3中所说的方法保证了只有法制相关程序部分才可读测量数据。操作系统的每一窗口应采用附加的技术方法来满足4.3.3.3的要求。窗口中显示的法制相关数据由动态链接库中的程序来产生和控制。在测量过程中,这些程序循环检查相关的窗口当前是否仍在其他窗口之上,如果不是,就将其当前显示。JJF1182—202116如果需要更高防护来防止欺骗性使用,显示仅靠单个打印输出可能还不够,应考虑额外的硬件或软件预警。可设置一个增强的防护组件来显示测量数据。当4.3.3.2.1~4.3.3.2.4的计量器具软件安装在一体机中时,整个显示设备法制相关,非法制相关的数据需附有明确标记显示在显示器的特定位置。计量器具非计量部分在未经授权的情况下不得影响计量器具的计量部分(不管是软件还是硬件部分)。4.3.4维护和升级(用D表示)4.3.4.1升级时机一般情况下不必对计量器具软件进行升级更新。如果出现下列情况,应考虑法制相关软件的更新。a)计量器具的改造:当更换其他获批版本的软件时;b)计量器具的维修:当重新安装同版本软件时。具体计量专业检定规程应规定在用的计量器具软件升级后是否需要初次或后续检定。实现非法制相关功能的软件更新后不必检定。4.3.4.2验证升级软件可从本地直接在计量器具装载,或通过网络远程升级。加载和安装可以是两个步骤,也可合并成一步,取决于技术方案的需要。只有打开封印才能进行升级操作。现场应有人检查升级的有效性。计量器具法制相关软件升级(更换另外批准的版本或重新安装)在检定且更新封印后,才能用于法制计量。4.3.4.3跟踪升级各具体计量专业技术规程规定的跟踪升级要求应与以下a)~f)的内容保持一致。跟踪升级是对检定过的计量器具或组件更换软件的过程,可以不用后续检定。因为跟踪升级是不允许影响现有参数的。升级时,可从本地直接加载,也可通过网络远程升级软件。升级记录保存在审计日志里。它有以下几步:加载、完整性检查、来源检查(真实性)、安装、登录和激活。跟踪升级应满足下列条件和要求:a)软件的跟踪升级应是自动的。如果计量器具的防护措施需关闭以便正常升级,那么根据升级结果,完成升级后应立即打开。跟踪升级的触发可能需要用户的干预或手动操作。软件升级程序完成的环境(硬件、软件、文档资料)应与软件测评要求的一致。数器。计量器具(设备,组件)具有固定的不可升级的法制相关软件,这部分应具备跟踪升级需求的检验功能;c)通过一定的技术方法保证载入软件的真实性,即保证载入软件来源于计量器具的所有者。示例:真实性检查由公钥系统的加密措施完成。证书的所有者(一般是制造厂商)使用密钥生成一个新版软件的电子签名。在接收带签名新版软件的计量器具法制相关软件中存放公钥。当加载新版软件时,使用公钥检查签名,如果加载软件签名正常,则开始安装并激活,若检查失败,计量器具将放弃载入的软件,可以继续使用现有版本软件或者切换至不可操作模式。JJF1182—202117d)通过一定的技术方法保证载入软件的完整性,即软件载入前没有被非法更改。可通过载入软件的附带的校验和或散列值来实现;e)审计日志可以用来保证法制相关软件的跟踪升级完全可追溯,以便后续的检定、监督和检查。示例:日志至少应包含以下信息:升级过程成功/失败,安装版本的软件标识,前版安装版本的软件标识,事件时间戳,下载处的标识。不论升级成功与否,每次升级应有对应记录条目。支持跟踪升级的存储器应有足够容量,以保证至少在两次现场检定或检查期间的法制相关软件可追溯性。日志将达到存储容量时,只有破坏封印才能再次进行下载操作。审计日志可通过命令显示或打印。证书应注明如何显示或打印日志。这可以让负责市场计量监督的检查人员在一段有效期(具体专业计量检定规程应规定)后回溯检查。f)根据各专业计量检定规程的规定和法制需要,部分跟踪升级应经计量器具的用户或所有者明确同意才可升级。例如升级前可通过按下某个按钮以表明用户或所有者的同意。这个按钮可以用封印的开关(硬件封印)或参数(软件封印)来控制。打开状态下可由用户或所有者升级,关闭状态下不可升级。g)载入软件的完整性和真实性检查失败,计量器具使用原来版本的软件或切换到不可操作模式。这种模式下,禁止测量功能,只可继续下载程序或显示一个错误。如果审计日志没有足够容量,或用户/所有者不同意,升级程序则不可启动。若a)~f)的要求不能满足,仍有可能升级法制不相关的软件部分,此时,应满足下列需求:—根据4.3.3.2法制相关和不相关软件有明显区分;—整个法制相关软件部分是固封的,只能在打开封印的情况下升级;—可以在软件测评报告中描述法制不相关部分的升级步骤和操作。具体的专业计量检定规程应规定用户可设置哪些设备专有参数。计量器具应安装记录设备专有参数调整的自动装置,这些记录不可删除,比如审计日志。计量器具应能展示这些记录。作为法制相关软件的审计日志,在升级时不可删除或更换。4.3.4.4硬件和软件4.3.4.4.1硬件依法管理的计量器具。可以是U(通用的计算机系统)型或P(嵌入式系统)型。通信连接可以是直连方式,如:RS232、USB,或通过部分/全部受法制管理的封闭网络,如以太网、令牌环网,或是开放网络,如因特网。4.3.4.4.2软件计量器具软件可以是全部法制相关的,也可以是分离的。法制相关软件的升级应满足下列流程要求,如果软件不能分离,全部软件的升级都应符合规定要求。只有证书中注明的获批法制相关软件版本才允许使用。具体计量专业检定规程应规定升级的方法。对同种计量器具,可有不同的升级方法。4.3.4.2和4.3.4.3两者可任选其一。否是升级文件(注2)是否是升级文件(注1)是重启是否(注3)重启否否图2软件升级流程1跟踪升级中，升级分成：载入，安装/激活两步。软件在载入之后暂存，而不是马上激活。因为如果检验失败的话，将丢弃载入的软件而保持老版本。2验证升级中，软件在安装前也有可能载入后暂存，它由技术方案来决定，也可能一步完成载入和安装。3只有当由于软件升级导致检定不合格才会有这个分支。其他原因导致的不合格不必重新加载重新安装软件。JJF1182—2021194.3.5操作系统和硬件兼容性(用E表示)4.3.5.1硬件接口没有配置保护性软件程序的硬件接口不应影响法制相关软件(比如物理封印)。示例:法制相关应用程序例行检查所有开放的物理接口流入的信息,一旦侦测到非法输入的信息流就禁止相关测量。所有开放接口具有物理防护或被操作系统禁用。4.3.5.2安全启动模式通过安全启动模式来保护法制相关软件,应满足以下条件:a)为确定法制相关软件完整性和真实性,启动过程应建立各独立组件的信任链。b)完整性得到保证的前提下,信任链的处理过程可以中断。c)未经授权不得修改启动配置。d)通过接口启动时,该接口应有防护。示例:引导加载程序应有防护措施,比如安全密码。信任平台模块APM(trustedplatformmodule)检查引导加载程序的签名,引导加载程序然后检查操作系统,依次检查完毕,最后启动法制相关应用程序。4.3.5.3资源配置法制相关软件和操作系统应有足够的资源以保证法制相关应用程序的运行。法制相关应用程序应检查正常运行的所需资源。制造厂商应保证计量器具配置恰当的软硬件环境。满足测量功能所需资源的最低配置(处理器、存储器、硬盘、通信和操作系统版本)应在证书中声明。如最低配置需求不满足,法制相关软件应提供技术方法防止运行。应提供保证软件功能正确运行的恒定环境。示例:应保持法制相关软件运行环境的恒定(硬件、操作系统和整个系统配置),下列情况应避免使用没有保护措施的通用计算机:a)若需求高符合性;b)若需求固定的软件,常用于跟踪升级;c)若应使用加密算法或密码。4.3.5.4使用中保护使用中的保护是指:a)未经授权,非法制相关软件的运行不得影响法制相关应用程序;b)法制相关软件和操作系统应保证法制相关显示屏是明确可辨的;c)未经授权,访问管理配置不得影响预期用途;d)法制相关软件的管理任务应受到保护。示例:法制相关软件例行检查法制相关文件的写保护和访问许可。法制不相关的软件在分开的虚拟环境下运行。4.3.5.5通信接口法制相关软件的通信应通过受保护的接口进行。JJF1182—202120只接收法制相关软件命令,其他无效的将被丢弃。应通过操作系统级的方法来保护开放软件接口的通信。4.3.5.6可测性和可溯性操作系统的配置应明确,同时操作系统配置的修改应可追溯。4.3.5.7产品与获批准型式符合性批量生产的计量器具和获型式批准的计量器具应一致。一致性可以有以下不同层次的要求:a)每台计量器具所带文档中描述的相关法制功能与型式批准的应一致(执行代码可能不一样);b)部分法制相关源代码应与型式批准的一致,法制相关软件其他部分遵从上述a)项的要求;c)所有的法制相关源码应一致;d)所有的执行代码应一致。注:操作系统作为计量器具组成部分时,本条内容适用。根据应用程序或操作系统的水平等级,各具体专业计量技术委员会考虑规定具体的要求。比如,法制相关应用程序、操作系统和物理层需要满足接口保护的要求。本章的要求基于信息技术的典型技术解决方案,并非在所有法制计量应用领域中适用。在满足4.2描述的基本要求外,还需考虑本章提出的特定要求,以保证与非软件控制仪器具有同等的安全性与符合性。5计量器具软件水平分类5.1软件设计和结构5.1.1软件功能计量器具软件应按照本规范的要求设计,使其法制相关功能的一致性易于评价。其软件保护、检测及符合性水平分类及各等级对应要求如下。软件保护水平等级及对应要求:a)低等:只要其相关功能符合指定要求,软件结构等可不考虑;b)中等:软件流程的总体设计、详细设计和测试方案、用户手册等应清晰描述;c)高等:软件及其文档全面符合软件工程CMM2的要求。软件检测水平等级及对应要求:a)低等:检查指定要求的功能符合性;b)中等:检查软件的总体设计、详细设计框图和测试方案;c)高等:检查软件源码及其软件工程涵盖的文档,符合软件工程CMM2的要求。软件符合性水平等级及对应要求:a)低等:软件开发者对软件的修改应有记录;b)中等:修改应符合软件工程CMM2的要求,应提交计量管理部门备案;c)高等:总体设计和详细设计等不允许修改,编码的修改应提交计量管理部门,获得批准后方可实施。JJF1182—2021215.1.2软件分离法制相关软件应按照不受也不允许受其他软件影响的原则来设计。其软件保护、检测及符合性水平分类及各等级对应要求如下。软件保护水平等级及对应要求:a)低等:清晰分离法制相关软件和非法制相关软件,以低耦合的方式交互以实现法制功能;b)中等:法制相关软件与非法制相关软件有严格的交互规范,按照该规范交互;c)高等:法制相关软件的交互规范应受保护。软件检测水平等级及对应要求:a)低等:检查法制软件和非法制软件耦合性;b)中等:检查交互规范,使用可能的方式测试交互规范;c)高等:通过源码测试,分析交互规范的受保护程度。软件符合性水平等级及对应要求:a)低等:不影响法制软件的功能,软件开发者对非法制软件做出修改应有记录;对交互接口做出修改,应提交计量管理部门备案;b)中等:影响法制软件的功能、接口和调用方法的非法制软件修改,应提交计量管理部门,获得批准后方可实施;c)高等:除了修正错误,法制软件执行代码应一致,对不会影响交互接口的非法制软件修改应提交计量管理部门,获得批准后方可实施。5.1.3接口保护法制相关软件应按照不受也不能够被计量器具接口所更改的原则设计。其软件保护、检测及符合性水平分类及各等级对应要求如下。软件保护水平等级及对应要求:a)低等:接口有严格的安全使用规范,按规范操作接口不会更改法制相关软件;b)中等:接口受保护,有相关的法制软件来检查接口使用是否符合规范;c)高等:没有计量器具接口。软件检测水平等级及对应要求:a)低等:检查接口的安全使用规范,按照使用规范对接口检测;b)中等:按照可能的非安全(攻击)使用情况测试接口;c)高等:源码测试,保证接口检测的完整性。软件符合性水平等级及对应要求:a)低等:接口功能基本不变的情况下,接口硬件、接口的调用方法发生更改,对法制相关软件的修改到计量管理部门备案,在软件标识上予以标明;b)中等:接口硬件、接口功能、接口的调用方法发生更改,应提交计量管理部门备案,如对法制软件部分构成影响应获得批准后方可实施;c)高等:除了修正错误外,接口模块执行代码应一致,必要的错误修改应提交计量管理部门获得批准后方可实施。JJF1182—2021225.1.4可测试性软件的功能应设计为具有可测试性。其软件保护、检测及符合性水平分类及各等级对应要求如下。软件保护水平等级及对应要求:a)低等:软件的原始输入和输出结果可获知;b)中等:软件的中间重要数据可获知;c)高等:软件能进入授权的调试模式,提供足够的检测点。软件检测水平等级及对应要求:a)低等:检测软件的原始输入和输出结果;b)中等:基于软件文档找出中间步骤,获取数据检测;c)高等:分析源码,利用足够多的检测点检测。软件符合性水平等级及对应要求:a)低等:计量器具的原始输入和输出结果方法不可更改,若更改应提交计量管理部门备案;备案;c)高等:源码的检测点和授权的调试模式不可更改,若更改应提交计量管理部门备案。5.2软件保护5.2.1偶然(无意)更改法制相关程序和数据应被保护,以避免被偶然或无意地更改。其软件保护、检测及符合性水平分类及各等级对应要求如下。软件保护水平等级及对应要求:a)低等:程序和数据有定时的或与机器开关机结合的检测方法、恢复方法;b)中等:每次对重要程序、重要数据的使用都应有减少错误的检测和恢复方法;c)高等:增加硬件的机制保护重要程序和数据。软件检测水平等级及对应要求:a)低等:按照用户手册正常操作,计量器具的法制程序和数据不会被无意更改;具,计量器具法制程序、数据和功能不会更改;c)高等:分析源码,检测硬件的稳定性。软件符合性水平等级及对应要求:a)低等:不涉及法制相关程序、数据的修改,应提交计量管理部门备案;b)中等:涉及对法制相关程序、数据的修改,应提交计量管理部门批准;c)高等:保护方法不允许修改,若方法、数据格式等修改,都应提交计量管理部门,获得批准后方可实施。JJF1182—2021235.2.2有意更改(破坏)法制相关程序和数据应被保护,以避免遭到破坏或被未授权者有意识的更改。其软件保护、检测及符合性水平分类及各等级对应要求如下。软件保护水平等级及对应要求:a)低等:法制相关程序和数据应有严格的操作规范,操作模块和操作授权应严格定义;b)中等:法制相关程序和数据的访问应具有加密、授权等机制,重要数据应具有恢复机制;c)高等:应采用硬件的方法保护重要程序和数据,避免调试、明码直接访问等。软件检测水平等级及对应要求:a)低等:检查操作规范,分析用户手册,对数据设置等敏感操作做试图破坏和非授权访问,法制相关程序和数据应稳定可靠;b)中等:对硬件或保护机制作模拟攻击;c)高等:分析源码和拆卸计量器具(必要时),检查硬件保护机制。软件符合性水平等级及对应要求:a)低等:保护方法的接口不变,不涉及法制相关程序、数据的修改,应提交计量管理部门备案;b)中等:更改操作规范,涉及对法制程序、数据的修改,应提交计量管理部门,获得批准后方可实施;c)高等:保护方法不允许修改,若操作规范、数据格式、硬件保护机制等发生变化,都应提交计量管理部门,获得批准后方可实施。5.2.3软件标识只有被批准和验证了的软件允许被用于法制目的。它应清晰和明确,并且其结果的表达应由法制相关程序所产生。其软件保护、检测及符合性水平分类及各等级对应要求如下。软件保护水平等级及对应要求:a)低等:软件标识清晰明确,法制计算和法制数据的显示满足技术规范要求;b)中等:软件判断其标识,可被读出或显示,不会让使用者混淆法制数据结果表达和非法制数据结果表达;c)高等:软件标识应有法制相关程序或硬件验证。软件检测水平等级及对应要求:a)低等:检测软件标识;操作可能的显示功能,显示结果不允许出现不满足技术规范要求的结果表达;b)中等:读出或显示软件标识,操作可能的显示功能,由法制相关程序产生的计量结果与其他结果应明显区分;c)高等:分析源码,检查软件标识、电子标记的产生和验证过程。JJF1182—202124软件符合性水平等级及对应要求:a)低等:软件标识未经批准不允许修改;计量结果显示格式的修改应提交计量管理部门备案;b)中等:软件标识和电子标识的产生、判断方法,计量结果显示的格式等做出更改,应提交计量管理部门,获得批准后方可实施;c)高等:任何对软件标识、电子标记、显示格式的更改都应提交计量管理部门,获得批准后方可实施。5.2.4缺陷侦测在软件控制硬件的过程中,能够产生伪测量数据的功能缺陷应能被检测到并采取措施。其软件保护、检测及符合性水平分类及各等级对应要求如下。软件保护水平等级及对应要求:a)低等:检查硬件的设置参数、检查硬件的输入数据,禁止计算错误;b)中等:提供硬件的校准功能或错误侦测功能,提供可能的计算算法;c)高等:提供多硬件冗余控制,进行比较和判断。软件检测水平等级及对应要求:a)低等:正确、多次、充分地构造输入数据,检测计量器具结果的正确性和稳定性;b)中等:检测计量器具极限值和硬件边缘操作等功能;c)高等:分析硬件物理或化学等特性,分析源码处理的科学性和准确性。软件符合性水平等级及对应要求:a)低等:硬件参数的调整,计算方法的改进等不影响计量器具功能和正确性,应提交计量管理部门备案;b)中等:计量传感器的更改、计算方法的更改、校准算法的更改等应提交计量管理部门,获得批准后方可实施;c)高等:任何与软件控制相关的硬件、算法、配置参数的更改都应提交计量管理部门,获得批准后方可实施。5.3计量器具风险分类对计量器具的测试应考虑其安全级别,安全级别的不同不仅取决于客观标准,还有各组专家的主观评价,应考虑以下几方面:a)欺骗性使用风险:—社会影响;—被测计量器具的价值;—改动计算机程序可能的获利;—可能获利所需的成本;—查明欺骗性使用可能性。b)必需的一致性:实际中相关专业级别要求与标准的一致性。JJF1182—202125c)可靠性:电、电磁环境的影响程度。d)计量过程被重复或中断的可能性。5.4水平分类使用对象参照4.2及4.3的应用要求,根据计量器具软件技术特性分类及软件开发者、软件测评机构、计量管理部门的不同要求对计量器具软件实施不同的水平分类。水平评价的类型与实施评价者的对应关系为:a)软件开发者主要参考软件保护水平;b)负责软件测评的软件测评机构主要参考软件检验水平;c)计量管理部门主要参考软件符合性水平。6软件测评6.1文档资料申请单位应按照具体专业计量检定规程相关的软件要求和软件测评机构的规定提供技术文档资料。制造厂商应生产与获批型式一致的产品及软件。计量器具制造厂商应声明为软件测评提供计量器具法制相关软件所有的程序功能、相关数据结构和接口的文档。软件文档中注明所有命令及其作用。不应存在任何隐藏的功能。此外,软件测评申请时应附有一份文件或其他证明材料,说明计量器具软件的设计和特性符合已遵照本规范内容编制的相关具体专业计量检定规程的要求。软件测评的文档应包括以下内容:a)法制相关软件及如何满足规定要求,包括:—隶属法制相关部分软件的模块列表,包括对所有功能和测量影响的声明;—软件接口及通过此接口的命令和数据流描述;—基于具体计量专业技术规程要求的评价方法,高风险时应提供源程序;—受保护参数的列表和保护方法描述。b)最低系统配置及所需资源。c)操作系统防护方法。d)软件封印方法。e)系统硬件概述,包括拓扑结构图、计算机类型、网络类型,应明确法制相关的硬件组件及其执行的相关功能。f)算法精度描述(AD转换结果、价格计算和修约算法)。g)用户界面\菜单\对话框。h)获取在用计量器具软件标识方法。i)每一硬件接口命令列表的完整说明。j)软件侦测的耐久性误差列表,必要时说明侦测算法以便理解。k)基于不同验证方法,软件开发者提供的源码对测评机构应保证可用。JJF1182—202126l)数据存储或传输方式。m)软件实现重大缺陷侦测时,缺陷列表和侦测算法。n)软件实现审计日志时,如何访问日志。o)操作手册。6.2基本要求一般来说,软件的准确性或正确性不能从计量的角度来衡量。尽管有一些标准规定了如何“测量”软件质量(例如ISO/IEC25040:2011系列标准)。本条所述要求既考虑了法定计量,也考虑了软件工程中众所周知的评估和检测方法。每个软件需求都应对测评过程进行单独的调整,测评应能反映风险水平等级。对软件控制的计量器具而言,应通过检测、检查、分析、测试来发现可能存在的问题,验证与获批型式的一致性。各具体专业计量技术委员会应在具体专业计量检定规程或者软件测评规范中适当地选择下述的方法。这些方法主要用于软件的测评。在用仪器的现场验证还包括其他方法。制造厂家应声明没有隐藏或未在文档中说明的软件属性,比如参数、功能、后门等。同时,应提交文档的正确性和完整性声明。计量器具软件应进行完整的功能测试。如果计量器具的尺寸或配置不能将其作为一个整体单元来测试,并且计量器具相关的一部分装置(模块)在模拟环境可完全正常运行,那么具体专业计量检定规程应指出可以对计量器具软件模块进行分离测试。一般情况下,计量器具软件样品由申请单位自行送样。对于大型或者在线的计量器具软件,在技术机构的实验室安装、验证有困难的,可由技术机构提出,经委托的政府计量行政部门同意后,技术机构可以派技术人员到申请单位的生产现场或者使用现场进行验证。6.3验证和评价方法对计量器具软件的验证应具有详细的测试计划、完备的测试条件、准确的测量方法及合适的测试工具。可以采用静态测试或动态测试的方法。静态测试方法包括代码审查、代码走查、静态分析等方法;动态测试方法包括黑盒测试和白盒测试等方法。软件检测关注的重点与计量器具的类型和用途紧密相关。对现场使用的计量器具,应通过软件标识对仪器调整的有效性和与型式批准证书的一致性进行软件检查。具体的计量专业技术规程应规定什么时间段应对仪器软件进行验证。软件的验证包括:a)检查软件的一致性,以核查是否为批准版本(例如:检查软件标识,检查安全措施);b)检查配置,以核查其是否与声明的最小配置兼容(如果证书中给出);c)检查测量仪器的输入/输出,以核查它们没有副作用(后门);d)检查设备专有参数(尤其是可调整参数),以核查设置正确与否。JJF1182—202127各计量技术专业委员会在编写具体计量器具验证程序时应考虑以下要求。这些要求是作为标准程序提出的:a)文档,软件验证的第一步就是检查EUT是否与证书及其附件一致:—检查证书是否有效;—检查受试设备是否与证书及其附件中所述的型式一致;—检查操作手册是否有效(必要时)。b)软件的完整性:—间接