(高清版)GBT 42555-2023 计量器具控制软件的通 用要求

计量器具控制软件的通用要求2023-05-23发布I 12规范性引用文件 l3术语和定义 14文件的指导作用 85风险评估 85.1风险评估目的 85.2影响风险等级因素 86计量应用软件的要求 96.1通用要求 96.2特定配置要求 7型式批准 7.1型式批准的申请资料 7.2型式批准的技术要求 7.3软件的验证和评价 7.4软件评价过程 7.5被测计量器具 8计量器具的软件验证 8.1通用要求 8.2验证方法和测试项目 附录A(资料性)软件评价报告格式示例 参考文献 Ⅲ本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由全国计量器具管理标准化技术委员会(SAC/TC525)提出并归口。本文件起草单位：北京市计量检测科学研究院、中国计量协会、金卡智能集团股份有限公司、浙江苍南仪表集团股份有限公司、天信仪表集团有限公司、成都秦川物联网科技股份有限公司、重庆前卫表业有限公司、辽宁思凯科技股份有限公司、成都安迪生测量有限公司、辽宁航宇星物联仪表科技有限公司、新天科技股份有限公司、中山大学、湖南省计量检测研究院、浙江省计量科学研究院、安徽省计量科学研究院、广州大帮智能科技有限公司。1计量器具控制软件的通用要求本文件规定了计量器具控制软件(以下简称计量软件)的通用要求，提供了验证指南。本文件适用于计量软件的通用要求及软件评价过程的设计和策划。具体计量器具以本文件为基础制定相应的计量软件要求及检测要求。本文件仅适用于计量器具或其电子装置的控制软件。本文件只规定了部分信息安全的要求，使用时注意国家相关信息安全的要求。注：本文件不完全包含某些特定控制软件的所有技术要求，这些技术要求已在相关的国家标准和技术规范中给2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于JJF1001通用计量术语及定义JJF1001界定的以及下列术语和定义适用于本文件。审核日志audittrail注：这些事件包括某一装置的参数值更改、软件升级，或者其他有可能影响到计量特性的、涉及法制计量管理的行为。对某一用户、过程或装置的公开或宣称身份进行检查的(过程)活动。注：例如检查下载的软件是否来源于型式批准证书的持有者。认证结果authenticity认证过程的结果(通过或不通过)。专用模块built-for-purposedevice能完成特定的计量性能的单元。单独或与一个或多个辅助设备组合，用于进行测量的装置。2校验装置checkingfacility内置在计量器具中，能检测到故障且能产生响应的功能单元。注：“产生响应”是指计量器具发出充分的响应(如发出光信号、声信号，及测量过程中的防范措施等)。计量器具的一部分，支持计量器具、电子装置或者其他系统外部接口之间的数据交互。注1:通信接口数据传送可以是有线、无线、光学等方式，如通常设计的采用某一个通信协议。注2:本定义不包括软件之间的通信。包含有属于计量器具或用户的公钥以及其唯一身份标识的数据集。注：此标识可以是计量器具的序列号、用户名字或个人识别号码(PIN码)及有效日期。在内存中每一个程序用来处理数据的存储单元。注：数据域可以属于1个或多个软件模块。设备专有参数device-specificparameter计量器具中涉及法制计量的相关参数。注：设备专有参数包含可调整参数(如间距调整参数或其他可调整、修正的参数)和配置参数(如最大值、最小值及计量单位等)。耐久性durability在使用周期内，计量器具保持其计量性能的能力。使用电子手段和(或)装备有电子装置，对电量或非电量进行测量的计量器具。注：只要是涉及法制计量的辅助装置，都被视为是计量器具的一部分。采用软件方法在源代码或软件上增加可验证的代码或软件。注1:通常采用公钥方法来验证电子签名，例如，2把钥匙中其中一把钥匙是保密的；另外一把是公开的。注2:如为了验证真实性，或核对软件或代码没有被修改，可采用公钥来验证真伪。注3:当软件和代码需要保密时采用密钥方法。当软件和代码使用前已经验证采用公钥法。注4:验证可能需要加密证书。示值误差errorofindication计量器具示值与对应输入量的约定真值之差。3包含有影响计量特性的失效或故障信息记录的连续数据文件，特别适用于测量后故障信息失效或者无法识别的情况。对计量器具某一参数、可调系数进行修改或对软件模块进行升级的操作。事件一旦发生就进行累加且不可复位的计数器。安装在计量器具、电子装置或组件(EPROM、硬盘等)的计算机系统中的文件。固有误差intrinsicerror在参考条件下确定的测量仪器或测量系统的误差。计量器具的示值误差和基本(固有)误差之差。注1:通过电子仪器测量不希望发生变化的偏差。注2:从偏差的定义理解，可以采用测量值或者相对值表达，例如用百分比表达。将一个较大(可能很大)数据域的值映射到一个较小范围内的(数学)映射值的函数。程序、数据或参数的完整性integrityofprograms,dataorparameters接口interface供两个或多个功能单元之间连接的共享边界，通过不同的功能、物理连接、信号交换等附属特性进行定义，还可通过这些单元其他的一些特性来定义。可中断的累积测量在计量器具正常的操作中，可以在正常运行时迅速中断的累计测量过程量的测量。注1:如自动衡器的不连续可累积功能和燃油加油机的测量都是可中断的。注2:参考不可中断的累积测量定义。4受法制计量管理的属性。涉及法制计量的计量器具、电子装置或组件的参数。注：需要区分以下两种法制计量相关参数：型式专有参数和设备专有参数。计量器具、电子装置或组件的软件模块中与法制计量相关的部分。最大允许误差maximumpermissibleerror对给定的测量、测量仪器或测量系统，由规范或规程所允许的，相对于已知参考量值的测量误差的通过实验获得并可合理赋予某量一个或多个量值的过程。注1:测量不适用于标称特性。注2:测量意味着量的比较并包括实体的计数。注3:测量的先决条件是对测量结果预期用途相适应的量的描述、测量程序，以及根据规定测量程序(包括测量条件)进行操作的经校准的测量系统。在测量过程中使用的数据。注：测量数据包括与测量结果相关的数据和测量过程的数据。测得的量值减去参考量值。注1:测量误差的概念在以下两种情况下均可使用：a)当存在单个参考量值时，如用测得值的测量不确定度可忽略的测量标准进行校准，或约定量值给定的，这种情况测量误差是已知的；b)如果假设被测量使用唯一的真值或范围可忽略的一组真值表征时，这种情况下测量误差是未知的。注2:不应将测量误差与产生的错误或过失相混淆。测量过程元数据measurement(process)metadata测量过程中关联的元数据。注1:测量元数据包括了测量结构和与测量过程相关的数据。注2:测量过程中关联的元数据包括测量参数的格式、设置链接的格式或者会话参数的格式。测量过程中需要推导出测量结果的关联数据。5注：例如测量过程数据可包括测量参数、设定值或者会话参数。测量过程中关联的一组定量值或者变量。注：测量过程信息包括测量过程数据和测量元数据。与其他有用的相关信息一起赋予被测量的一组量值。注1:测量结果通常包含这组量值的“相关信息”,诸如某些可以比其他方式更能代表被测量的信息。它可以概率密度函数(PDF)的方式表示。注2:测量结果通常表示为单个测得的量值和一个测量不确定度。对某些用途，如果认为测量不确定度可忽略不计，则测量结果可表示为单个测得的量值。在许多领域中这是表示测量结果的常用方式。测量结果关联数据measurementresultrelevantdata推导测量结果过程中使用的数据。注：例如数字、传感器的原始模拟值或者计量器具的授权号，都可能是测量结果的一部分。测量结果关联的元数据measurementresultrelevantmetadata能推导出测量结果关联的元数据。注：例如数字格式、传感器的原始模拟值、测量值的格式、计量器具的授权号都可能是测量结果的一部分。测量结果关联的一组定量值或者变量。注：包括测量结果关联的数据和元数据。元数据metadata描述数据的数据，对数据及信息资源的描述性信息，用于提供某种资源的有关信息的结构数据。不可中断的累积测量non-interruptiblecumulativemeasurement在计量器具的一个累计的连续测量。过程中，用户或操作人员不能终止测量并重新继续。注1:如自动衡器的连续累积功能和热量表的测量都是不可中断的。注2:参考可中断的累积测量定义。保护接口protectiveinterface防止非法影响涉及法制计量管理部分软件和控制数据流的软件模块。为防止对计量器具硬件或软件部分未经授权的修改、重新调整或拆除等行为，而对相应组件或部位所做的特别保护。注：可以通过硬件或软件实现，或二者组合共同实现。6防止非法进入计量器具的硬件或软件的方法手段。导致计量器具运行产生不良影响的事件或者故障。示例1:删除审计轨迹。示例2:未经授权的修改参数。示例3:未经授权的更新。根据特定流程查验一个或多个软件特性的技术操作。注：如技术文档分析或在受控条件下的程序运行。与需关注的软件或软件模块密切相关的可读字符串。注1:可以在计量器具的运行过程中进行检查。注2:如版本号、校验和等都是软件标识。由程序代码和专有数据域构成，在软件模块注1:软件接口不限于涉及法制计量相关部分的。注2:在两个或多个软件模块之间交换和传输命令。整个系统中一些相对独立的程序单元，每个程序单元完成和实现一个相对独立的软件功能。注1:包括数据域在内的诸如程序、子程序、库、对象等，它们的数据区之间可以关联。注2:计量器具的控制软件可以包括一个或多个软件模块。通过硬件或软件封缄来锁定保护计量软件或数据域。注：只有移除、损坏或破坏封缄后，才可以更改软件。计量器具、电子装置或组件中的软件可以分为法制计量相关和不相关两部分。注：它们之间可以通过软件接口通信。7未经编译的，按照一定的程序设计语言规范编写的、可读可编辑的计算机程序。注：源代码可以编译或生成可执行代码。测量完成后，为涉及法制计量相关目的(如贸易结算用)而保留测量数据的存储器。唯一的时间数据。注：例如，表明某一事件或故障发生的日期或时间，可以表示成秒数或日期加时刻统一格式的字符串。通过通信网络或其他方法将测量数据传输到远处的电子装置，以作进一步处理或用于法制计量相关的目的。根据文件要求对测量仪器指定型式的一个或多个样品性能所进行的系统检查和试验，并将其结果写入型式评价报告中，以确定是否可对该型式予以批准。型式专有参数type-specificparameter量值仅与计量器具的型式有关的涉及法制计量相关的参数。注1:型式专有参数是法制计量相关软件的一部分。注2:如非水液体的流量测量系统中，某一涡轮流量计的液体运动黏度范围这一型式专有参数已被型式批准规定，所有该类涡轮流量计就应具有相同的黏度范围。通用设备universaldevice不是为特定目的而构造，但可以通过软件完成计量任务的设备。注：该类设备可能有未声明的操作系统接口。操作员与计量器具或其硬件、软件组件之间传递信息的接口媒介。提供客观证据证明计量器具软件满足规定的要求。注：验证与检定容易混淆。8查明和确认测量仪器符合法定要求的活动，它包括检查、加标记和/或出具检定证书。4文件的指导作用本文件规定了软件的通用要求，各条款中的示例是给出的可接受的技术解决方案，并不作为唯一的评判依据，具体计量器具的软件要求应在遵循本文件要求的基础上进行细化和编写。本文件目标是提供一个通用要求，不可能适用于全部的计量器具。不同领域的计量器具风险水平不同，针对具体的计量器具在编写时需要考虑哪些测量数据时除要遵守本文件要求，还要考虑必要的影响因素。5风险评估5.1风险评估目的建立通用的评估计量器具控制软件测试风险级别的指南。风险级别并非如准确度分类等级一样严格界定，而且不限定其他标准严格和本文件风险等级等效。特殊情况可以依据其他标准特殊处理。5.2影响风险等级因素具体的计量器具(例如：贸易结算、安全防护、医疗卫生、环境监测等)选择风险等级时，宜考虑以下几方面情况。a)作弊欺诈风险：1)引起的后果、社会及公众对此恶意操纵的反应；2)被计量商品的价值；3)使用的平台(专用或者通用设备);4)潜在欺诈的风险来源(如无人值守自助设备)。b)符合性要求：遵循行业规定等级的实际可能性。c)可靠性要求：1)环境条件：2)引起的后果、社会及公众对此过失的反应。d)欺诈的动机。e)重复测量或中断测量的可能性。评估风险等级时可参考ISO/IEC27005。软件风险等级分为一般风险等级I类和高风险等级Ⅱ类。在第6章给出了计量器具在防欺诈、符合性、可靠性、测量类型的一般风险等级(I类)可接受的技术解决方案的示例。对于高风险等级(Ⅱ类),还提出了增强的应对措施。检查等级和风险等级是关联的。为了检测软件缺陷或者安全性能，需要深层次分析软件并应提高风险等级。另外，检查等级宜考虑计量器具的机械封印(例如通信接口或外壳的机械封印)。96计量应用软件的要求6.1通用要求常见典型的技术解决方案不可能适用所有法制计量相关软件的应用领域。采用特定要求的技术解决方案后，受软件控制的计量器具在安全性与符合性方面，可视为与非软件控制计量器具有同等的水平。特定配置要求是针对某些计量软件或某些应用领域软件的技术特性，不是所有计量软件的普遍技术特点。计量器具、组件的法制计量软件需有清晰的、带软件版本号或者其他特征的标识。标识可以含有多个部分，但是至少应有一部分专用于法制计量目的。计量器具的软件标识应可通过以下方式中的一种或多种显示或打印：a)通过命令读取；b)通过操作获取；c)当设备可以重启时在启动时显示。如果一个组件、电子装置没有显示设备或打印机，标识应通过通信接口传送到另外一个组件、电子装置上显示、打印出来。如果满足以下所有情形，计量器具或者电子装置应将软件标识丝印。a)无法通过用户接口在显示屏上控制软件标识的显示，或显示屏不允许显示软件标识(模拟显示装置或机电计数器)。b)计量器具、电子装置没有输出软件标识的接口。c)计量器具、电子装置出厂后，除非硬件或者硬件元器件有变动，否则不能或不允许改动软件。硬件或有关硬件元器件的制造商要确保在相关计量器具、电子装置上标记正确的软件标识。控制软件一旦修改，新的软件标识应明示。I类计量器具当前安装的软件版本号应由所含的一个数值或文本字符串能准确无误地表明。当按下某一按键，或设备启动时，或在定时器循环控制下，字符串标识在计量器具的显示屏上显示。软件版本号一般的结构如下：A.Y.Z。如一台流量计算机，其中字母A代表计算脉冲的核心软件版本；字母Y代表转换功能的版本(无转换、15℃转换、20℃转换);字母Z代表用户界面所使用的语言。Ⅱ类计量器具软件本身计算执行代码的校验和替代或附加在I类中的字符串上作为标识符显示。注：每一台在用的计量器具软件与获批准型式的计量器具版本一致。让监督人员及与测量人员容易确定软件标识是否一致。6.1.2算法和功能的正确性对给定的应用程序和设备类型，其电子装置的计量算法应适用，功能应正确(满足算法精度、价格计国家标准要求或法律规定的测量结果及附属信息应能正确地显示或打印。算法及功能可通过计量试验、软件试验、软件检测进行检查(见7.3)。不允许隐藏、不明示的功能或者参数存在。计量器具的软件设计应把无意的、意外甚至有意误操作的可能性降至最低。测量结果应不受各利益攸关方影响。例如，用户根据菜单操作，法制计量相关功能集成在某一级菜单下。如果测量值可能因某操作而丢失，那么应警示用户，并且在执行此项功能前可以进行另一项操作。注：软件控制的计量器具在功能上常常比较复杂，用户需要详细的操作手册以便正确使用并得到正确的测量结果。软件保护应是对任何的干预(例如：软件更新、参数设置改变)都要留下证据。应采用封缄对法制计量相关软件进行防护，以防止未经授权许可的更改、装载或替换存储器。在采用机械式封缄技术的基础上，可对有操作系统或是有软件装载选项的计量器具，采取必要技术手段来封缄。审核日志也应作为法制计量关联软件部分给予保护。例如，Ⅱ类计量器具如采用的是可擦写存储器，那么带封缄的写保护开关应在禁止状态，电路设计时须防止通过跳线短路等使写保护失效。I类或Ⅱ类计量器具中的存储器宜有封缄或存储器焊接在印刷电路板上。示例：某I类计量器具包括两个组件，一个是封缄在计量器具内的主要计量功能组件，另一个是带有操作系统的通用计算机。某些功能比如示值是由这台计算机上的软件执行的。此时，替换通用计算机上的软件可能是相对比较容易的欺诈操作——特别是软件之间是通过标准协议进行通信的。这种防欺诈(防作弊)可以通过简单加密措施来达到。数据加密和解密目的是对未获授权者隐藏信息，或者进行哈希码进行加密签名确保认证。比如：对组件和通用计算机之间的传输数据进行加密。用于加密的密钥藏在通用计算机的法制计量相关程序中。仅有这段程序知道密钥，能读取、解密和使用测量值。其他程序由于不能解密测量值因而不能进行通信。(见6.2.2.3.4)只有文档中清楚说明的功能(见7.1)允许被用户接口激活，接口设计要避免用户用于防欺诈使用的目的。对于I类或Ⅱ类计量器具，所有来自用户接口的输入将指向命令过滤程序，只允许通过文档中包含的命令，其余的将被丢弃。这段过滤程序或软件模块是法制计量相关的。注：检测人员有权决定所有文档中的命令是否都能接受。确定计量器具法制计量相关特性并固化在其中的参数应采取封缄或加密授权进行保护，防止未经授权许可的修改。只有在计量器具的特殊操作模式下，才可以调整或选择设备专有参数。例如对于I类或Ⅱ类设备专有参数被固化在非易失性存储器中。带封缄的写保护开关应在禁止状态。注1:它们可分成两类：一类是固化的(即不可改变的),另一类是可访问的(可调整/选择的参数),只有经授权才可进行调整，如计量器具业主或者供应商。注2:同一型号的型式专有参数具有同样的值，由获批准的型式确定。软件防护措施包括采用机械的、电子的和或数据加密的封缄措施，防止非授权的干涉，且应留下干预的证据。对于I类计量器具的电子封缄，计量器具的计量参数可通过菜单输入或调整，软件每识别出一个参数变更，该类事件计数器加1,同时也可以显示该事件计数器的值。事件计数器的初始值要寄存起来，如果显示值与寄存值不一致，则该设备处于未检状态(相当于破坏封缄)。计量器具的软件设计见6.1.3.2.1,应只能通过带开关保护的菜单才能修改其参数与法制计量相关配置。这个开关被机械封缄在非活动位置，保证不破坏封缄情况下就无法修改参数和法制计量相关配置。如果要修改参数和配置，就只能切换开关且破坏封缄。注：授权机构的电子签名可以采用密钥方式。使用公钥解码、验证签名的真实性。加密证书的数据集由具有电子签名的可信机构签发。对公钥的分配可以通过可信机构的公钥加上解密证书签名来进行验证。某Ⅱ类计量器具的软件设计为除了授权人员外，他人无法访问法制计量相关参数。如果想进入参数菜单项，则要插入含有作为密钥PIN的智能卡。软件通过核实PIN的认证结果后才允许进入参数菜单。操作者身份信息的访问记录将存储在审核日志当中(或者至少在使用的智能卡有记录)。6.1.4硬件支持特性对于具有故障检测功能的计量器具，制造商应将故障检测设置在软件或硬件中，或提供某种技术措施使得计量器具中的硬件支持，软件也支持。如果软件包含故障检测功能，那么应有相应的提示和报警等响应功能。例如当某故障被检测到，计量器具/电子装置就失效或是生成一个报警/错误记录在日志里。提交型式批准的文档中应包括故障列表，说明软件可测的故障及预期的响应。为便于理解，应包含检测算法的描述。对于I类计量器具，每次启动，法制计量相关程序应计算程序代码与法制计量相关参数的“校验和”。这个值事先已经算好并预存在计量器具中，如果算出的值和预存的值不匹配，程序将停止执行。对于Ⅱ类计量器具，每次启动，法制计量相关程序应计算与法制计量相关参数的哈希函数密码。这个值事先已经算好并预存在计量器具中，如果算出的值和预存的值不匹配，程序将停止执行。示例：某计量器具测量的是不可中断的累积量，软件定时器将会循环计算并比较哈希函数密码。一旦不匹配，软件会显示错误信息或打开错误指示器，并将发生的时间写入错误日志。制造商可选择在软件或者硬件中实现耐久性保护，也允许软件所支持的硬件保护。相关国家标准应推荐合适的方案。如果是采用软件耐久性保护，应有相应的响应提示。相关国家标准应规定，检测到危及耐久性的因素，计量器具/电子装置就应失效或是生成警告/报告。示例：某计量器具在规定的时间周期内，需要进行一定的调整以保证计量器具的耐久性。当到达持续的间隔时间时，软件会给出一个警告，如果超过了一定的时间间隔，将停止测量工作。时间戳应保持统一的格式，时间轴上两个不同的记录和跟踪容易进行比较。应读取装置的时钟以获得时间戳。根据计量器具的种类或者应用领域，时钟的设置应是法制计量相关的，应根据应用风险等独立计量器具的内置时钟由于没有与全球时钟校对的工具，将会有较大的不确定度。如果特定应用领域测量的时间信息是必不可少的，那么应通过特定的方法与手段加强内置时钟的可靠性。可对内部时钟提出技术要求和测试方法。Ⅱ类通过冗余来加强计量器具内置时钟可靠性。由另一个石英晶振源驱动的微控制器时钟作为计时器。当计时器的值达到预设点，比如1s,中断子程序根据微控制器产生的特定标识，来驱动一个秒计数器。假设一天过后，由软件读取第1个晶振控制时钟装置秒数，并计算出与软件所计秒数的差值。如果该差值在预定限值之内，软件计数器就复位重新计数。但当该差值过大，软件将给出一个适当故障响应。GB/T42555—20236.2特定配置要求本条款中给出的要求基于信息技术中的典型技术要求，尽管在法制计量中可能并不常见。当符合这些要求时，有可能体现出与非软件控制仪器相同程度的安全性和一致性技术方案。6.2.2法制计量相关部件分离及接口的规定测量系统中关键的计量部分(不管是软件还是硬件部分)不能受到来自测量系统其他部分的未经许可的影响。如果计量器具(或电子装置、组件)含有与其他电子装置、用户或其他软件部分的通信接口，并且关键计量部分在计量器具(或电子装置、组件)内部，应满足6.2.2.2和6.2.2.3的要求。6.2.2.2分离的电子装置或组件执行法制计量相关功能的测量系统的组件或电子装置应能识别、被清晰地定义并形成文档，构成测量系统的法制计量相关部分。如果所有组件是通过本地网络连接起来的，那么数字传感器、通用计算机和打印机都是法制计量相关组件，并可以与法制计量不相关的商务系统连接。这些法制计量相关组件应满足6.2.2.2.2的要求。由于数据通过网络进行传输，所以也应满足6.2.5的要求。测量系统一般包含下列组件：a)计算重量或体积的数字传感器；b)计算价格的通用计算机；c)打印测量值及付费价格的打印机。注：由检测人员判定这部分是否完整，以及测量系统的其他部分是否需要作进一步评估。示例：某电表带一个光学接口，用来连接读取测量值的电子装置。电表存储所有相关的量，在被有效读出之前应能保持足够长的时间。只有电表是与法制计量相关。允许其他法制计量不相关的装置，连接到符合要求计量器具的接口上。不要求电表数据加密传输。需证实组件与电子装置的相关功能和数据通过接口通信时，不能受到未经许可的影响。组件或电子装置中所有启动的功能或更改数据的每一条命令都应有明确的任务。示例1:某电表的软件能接收“读取数据”命令来发送用户所需要的数据。它将测量值与附属信息比如时间戳、单位组合在一起，发送给请求装置。该软件只允许接收有效的“读取数据”命令，对其他命令将丢弃并仅返回一个错误消息。如果传输的不是法制计量管理的数据集，可以对其内容进行加密，但不是强制要求。示例2:某计量器具封缄的内部有切换电表操作模式的开关。“开”表示“已检模式”,“关”表示“未检模式”(不包括机械封缄的方式)。当开始执行接收到的命令时，软件核查开关所处的状态：如处在“未检模式”,软件接收到的可执行命令集范围与“已检模式”相比会扩大。已检模式下被认为无效而丢弃的命令，在未检模式下有可能正常执行(如对校准因子进行调整)。所有执行法制计量相关功能或包含法制计量相关数据域的软件模块(程序、子程序、对象等)形成某一测量系统(电子装置或组件)的法制计量相关软件部件。该部件在批量生产时应符合要求，而且应打上软件标识(如6.1.1所述)。如果不需要或不可能对软件进行分离，那么整个软件应视作法制计量相关部分。某I类计量器具能显示测量值的用户计算机上连接了含有多个数字传感器的测量系统。可通过把所有实现法制计量相关功能的程序编译到一个动态链接库的方法，将计算机上的法制计量相关软件与法制计量不相关部分实现分离。这些程序从数字传感器接收测量数据，计算测量结果，并显示在软件窗口中。当法制计量相关功能执行完毕，控制权将交还给法制计量不相关的应用程序。一个或多个法制计量不相关的应用程序都可以调用链接库中的程序。6.2.2.3.2法制计量相关软件接口的要求如果法制计量相关软件部分与其他的软件通信，那么应定义软件接口。所有的通信只能通过这个接口执行。在文档中应详细阐述法制计量相关软件部分和接口。软件所有的涉及法制计量相关功能和数据域的描述应完整、清晰，能够使型式评价机构对软件分离做出正确判定。软件接口由程序代码和专属的数据域组成。接口的程序代码由两部分组成：从法制计量相关部分输出到接口数据域的代码(写),以及从接口输入到法制计量相关部分的代码(读)。软件接口的代码与数据域在文档中应有明确定义。读写程序代码属于软件接口的一部分。I类非法制计量关联控制软件在库文件中启动法制关联流程。绕过接口程序请求必然会禁止法制管理功能。数字传感器应以加密编码格式发送测量数据。解密译码密钥隐藏在数据库中，只有数据库的程序知道密钥并能够读取密钥、解密测量数据和显示测量结果。注：中断保护(延时执行或者由其他进程阻塞)见6.2.2.3.4。6.2.2.3.3法制计量相关软件命令的要求软件的法制计量相关部分所有启动的功能或更改数据的每一条命令都有明确的任务。经过软件接口进行通信的命令应公布和备案文档。只有文档中的命令才允许通过软件接口激活。示例1:6.2.2.3.1示例中，软件接口是通过参数和库中程序返回值来实现的，库中数据域返回指针不能绕过接口，例如使用指针调用内部数据。数字、程序性质、参数和返回值都在编译时生成。示例2:某Ⅱ类计量器具的法制和非法制计量管理关联的软件分开在一套通用设备上的虚拟器上运行。双方机器配置使得任何通信只能通过定义好的软件接口。虚拟器的设置包括通信方式都属于法制计量管理关联软件。操作系统确保只有在破坏封印后才能修改配置。6.2.2.3.4法制计量相关软件的优先权如法制计量相关软件已经与法制计量不相关软件分离开来，那么法制计量相关软件将拥有比法制计量不相关软件优先的资源使用权。由法制计量相关软件实现的测量任务不能被非法制计量相关软件中断。测量过程(法制计量相关软件实现部分)不应被其他进程任务延迟或锁住。I类计量器具的法制计量管理功能程序优先权要高于一般进程程序，不能由计量器具的使用者/操作者降低优先权。如果有高欺诈防护或高符合性的需求，仅依靠软件分离是不够的，需要有更多的措施或将整个软件纳入法制计量管理以满足更高的需求。Ⅱ类计量器具的法制和非法制计量管理关联的软件分开在一套通用设备上的虚拟器上运行。双方机器配置操作系统，使得法制计量管理关联软件有足够的系统资源运行。示例：某I类电子电表的软件从模/数转换器(ADC)读取原始测量数据。为正确计算测量值，数据就绪时间，即测量值从ADC到缓冲完成之间的延时是非常重要的因素。由数据就绪信号启动的中断程序来读取原始数据，计量器具与其他并行电子装置通过接口进行通信，并行装置是由另一个中断程序(法制计量不相关的通信)控制的。对这种配置的要求，按照测量值的中断程序优先级高于通信程序的顺序来处理。可通过显示屏或打印机同时给出软件法制计量相关部分的信息及其他有关信息。对某类计量器具或应用领域应规定打印的格式和内容应有规定。法制计量相关部分的信息应更易读、清晰，可与其他信息区分。当正在进行的测量所显示的结果用于法制计量相关目的时，其窗口应不能被其他软件删除、不能被其他软件产生的窗口遮挡、不能最小化或隐藏。对于Ⅱ类计量器具，不仅应有示值打印，还应由高级别的防护措施的组件来显示测量值。对于I类计量器具，如6.2.2.3的几个示例中，测量值是在不同的软件窗口上显示的。6.2.2.2.4所述的措施将保证只有法制计量相关程序能读取到测量值。对于带有多窗口用户界面的操作系统，需要采取其他的措施以满足6.2.2中的要求：窗口显示的法制计量相关数据是由法制计量相关动态链接库生成并控制的。测量过程中，这些程序循环核查相应的窗口是否一直在所有打开的窗口的最顶层。否则程序会把它放在最上面。对于Ⅱ类计量器具，6.2.2.3.3的示例中，计量应用软件以信息亭模式运行，法制计量相关程序控制整个显示。非法制计量相关数据显示在特定的标识非法制计量相关显示器。对于涉及法制计量的测量数据的存储应符合6.2.4.2、6.2.4.3、6.2.4.4的要求。对于不同的应用可选择合适的存储方法。存储的测量数值，应携带所有法制计量相关的必要信息。计量器具的测量结果的存储数据集至少应包括以下内容：a)包含计量单位的测量值；b)测量的时间戳；c)测量地点或用于测量计量器具的标识；d)该次测量的明确标识，比如清单上的连号数字。应采用软件方法手段来保护测量存储数据，保证真实性、完整性，必要时包括测量时间信息正确性。当从存储器读取数据，处理这些测量值及其附带数据信息，软件应检查测量时间、认证结果和完整性。如果发现异常，丢弃数据或打上不可用标记。存储数据、读取检查数据的软件模块属于法制计量相关软件的一部分。存储数据属于开放式时，宜考虑高风险等级。对高风险等级来说，应采用密钥措施。I类计量器具发送装置计算数据集的校验和(比如CRC32算法)并附在数据集后面。它采用保密的初始值，而不是标准给出的值来进行计算。初始值以密钥的形式作为程序代码的一个常量保存。接收或读取程序的代码同样也保存这个初始值。使用这个数据集之前，接收程序计算校验和并与附在数据集后面的校验和进行比较，如果两者一致，那么数据集没有被篡改，否则程序认为这是伪造的数据并丢弃该数据集。Ⅱ类计量器具存储程序属于法制计量管理关联软件部分，为存储数据库生成电子签名，它被附加在存储数据集里。用密钥和公钥加密得到硬件安全模式签名，以防操纵密钥或者读取和输出公钥。接收方用公钥对附于数据集的签名解密，验证数据完整性、真实性。为证明数据的来源，接收方应知道公钥是否真正属于发送方，因此计量器具应显示公钥信息，例如使用现场计量器具的序列号共同寄存。注：当封缄遭到破坏时，需要一定的技术措施和方法，才能输入或读取这些密钥。例如，I类要应用本地存储，Ⅱ类自由存储。6.2.4.4自动存储应用程序需要保存数据时，在测量结束时其测量数据的保存应自动进行。例如最后用于法制计量的数据。存储装置应足够耐用，以确保数据正常储存条件下不会崩溃。应为任何应用程序运行留有足够的内存空间。如果法制相关测量值要用于其他测量值的计算，法制相关测量值应自动存储。注1:对于累计测量值，它是要不断更新的。占用的是同一块数据域(程序变量),关于存储容量的规定不属于法制计量。注2:只要满足要求，存储数据不需要在一个存储单元里。注3:必要时可定义最后存储数据。存储数据如果满足下列条件之一可以删除：a)结算已完成；b)打印的数据是由法制计量管理的打印设备打印出来的。注：注意相关规定(如税收),其对删除存储的数据有严格的限制。必要时可以定义数据删除的条件。6.2.5通过通信线的传输用于法制计量相关的测量数据传输需要伴随相关信息。计量器具的测量结果的数据传输至少应包括以下内容：a)包含计量单位的测量值；b)测量的时间戳；c)测量地点或用于测量计量器具的标识；d)该次测量的明确标识，比如发票上的连号数字。采用软件方法手段来保护测量数据传输，保证真实性、完整性、必要时包括测量时间信息正确性。当传输数据，处理这些测量值及其附带数据信息，软件应检查测量时间、认证结果和完整性。如果发现异常，就丢弃数据或打上不可用标记。发送数据、接收检查数据的软件模块属于法制计量相关软件的一部分。例如I类发送装置计算数据集的校验和(比如CRC32算法)并附在数据集后面。它采用保密的初始值，而不是标准给出的值来进行计算。初始值以密钥的形式作为程序代码的一个常量保存。接收或读取程序的代码同样也保存这个初始值。使用这个数据集之前，接收程序计算校验和并与附在数据集后面的校验和进行比较，如果两者一致，那么数据集没有被篡改，否则程序认为这是伪造的数据并丢弃该数据集。Ⅱ类计量器具的存储程序属于法制计量管理关联软件部分，为存储数据库生成电子签名，它被附加在存储数据集里。用密钥和公钥加密得到硬件安全模式签名，以防操纵密钥或者读取和输出接收方用公钥对附于数据集的签名解密，验证数据完整性、真实性。为证明数据的来源，接收方应知道公钥是否真正属于发送方，因此计量器具应显示公钥信息，例如使用现场计量器具的序列号共同传输数据使用开放网络时，宜考虑高风险等级。对高风险等级来说，应采用密钥措施。当封缄遭到破坏，需要一定的技术措施和方法，才能输入或读取这些密钥。测量值不能受传输延时或中断的影响。测量数据不能因网络不能用或者特别慢而丢失。发生这种情况时，必要时应停止测量过程避免测量数据的丢失。当传输延时或中断，应用程序可以采用合适的要求和机制来保存测量数据。计量器具发送装置需等到接收方发出一个收到正确数据集确认信息。发送装置将数据集一直保留在缓冲区中，直到收到确认信息。缓冲区按照先进先出(FIFO)次序调节多个数据集的容量设置大小。注1:注意考虑区分静态测量和动态测量。注2:对于容易重复测量的应用领域，允许一定的传输数据的丢失。6.2.6操作系统和硬件兼容性如果操作系统作为计量器具的一部分，应满足6.2.6.2～6.2.6.7的要求。相应计量器具应有对应的应用软件、匹配的操作系统或者两者的结合。例如，法制计量关联的应用软件、操作系统、物理层等应包含防护接口。硬件接口不配备保护软件接口不能影响法制计量软件。例如采用物理手段铅封接口。I类计量器具的法制计量应用软件通常检查全部输入信息的开放式物理接口，发现非法输入就停止计量。Ⅱ类计量器具的全部开放式接口要进行物理防护，或者通过操作系统禁止使用接口。6.2.6.3.1为了确保法制计量软件正常，安全启动过程应满足6.2.6.3.2～6.2.6.3.5的要求。6.2.6.3.2为了保证法制计量软件完整性、真实性，应通过开机流程的独立部件建立可信计算的信任链机制。6.2.6.3.3当确认可信计算的信任链是完整的，应允许其中断。6.2.6.3.5不应通过开放的接口进行启动。I类计量器具启动引导程序是采用安全手段保护，例如采用安全密码。Ⅱ类计量器具通过可信平台模块(TPM)验证启动引导程序的签名，再验证操作系统，反过来验证和启动法制计量应用软件。法制计量关联组合软件部分和操作系统应确保有足够的资源来运行法制计量的应用程序。I类计量器具的法制计量应用程序应确保它必需的资源。Ⅱ类计量器具最小的操作系统组件应确保计量正确运行。6.2.6.5.1非法制计量关联软件的运行不能影响法制计量关联应用软件。6.2.6.5.2法制计量关联组合软件部分和操作系统应确保能区分法制计量显示。6.2.6.5.3访问控制权限配置不能受到非法干扰。6.2.6.5.4法制计量关联软件的管理权限应受到保护。I类计量器具的法制计量应用程序应定期对全部的法制计量相关文件检查写保护和访问权限。允许的修改都应记录在审核日志上。Ⅱ类计量器具的非法制计量程序要分开运行。6.2.6.6法制计量关联软件的通信法制计量关联软件的通信应通过受保护的接口进行。I类计量器具的法制计量程序模块负责解析与法制计量相关的软件命令，并丢弃不可接受的部分。Ⅱ类计量器具通过开放式软件接口通信的，操作系统应有保护手段。计量器具操作系统的配置认证应可识别，应能用以下方式显示认证号：a)通过命令；b)运行过程中的操作。示例1:在UNIX操作系统上，计量器具系统配置包含的法制计量部分如下：a)核心模块；b)安装包的清单；c)函数库；d)账户和用户权限；e)密码；f)配置文件；g)读/写文件执行权限。以上全部采用校验和的方法进行认证。示例2:计量器具在Windows操作系统上系统配置包含法制计量部分如下：a)核心模块；b)安装包的清单；c)函数库；d)账户和用户权限；e)密码；f)配置文件；g)读/写文件执行权限；h)注册号码。以上每项都要采用校验和的方法进行认证。操作系统的配置设置以及任何的操作干预都要留证据记录。I类/Ⅱ类计量器具的操作系统配置的任何改变都要在审核日志上记录。每一条审核日志记录应包含修改的时间戳和新配置的认证号。制造商应明确硬件和软件的条件环境。制造商应规定的最低配置需求和合适的配置，例如处理器、如资源不满足最低配置需求，法制计量相关软件应采取技术手段防止整个系统运行。系统只能在制造商规定的环境中正确运行。当系统软件正确运行需确定一个不变的环境，尤其在通用计算机上执行法制计量相关功能时，应采取一定的措施来保持运行环境的稳定。如遇下列情况，固定硬件、操作系统、通用计算机系统配置，甚至不使用通用计算机都是宜考虑的技a)有高符合性需求；b)有加密算法或密钥需求(见6.2.3和6.2.5)。6.2.7产品与型式批准的符合性制造商产品应与获批型式和申请书、法制计量相关软件一致。6.2.8维护和重新设置计量器具法制计量部分相关软件的现场升级包括以下情况：a)计量器具的改造：当更换其他获批版本的软件时；b)计量器具的维修：当重新安装同版本软件时。在改造或维修使用中计量器具后，应进行首次或后续检定。非法制相关软件在升级后无需重新检定。只允许使用符合型式批准版本的法制计量相关软件(见6.2.7),在型式评价报告里应对软件版本描述说明。要根据计量器具种类，编制对应的国家标准，不同种类的计量器具要求不同，根据6.2.8.3和6.2.8.4选择。对于特殊计量器具参数(如校准系数),只有经过检定后才能更新。对于计量器具的现场校准要参考相关要求。可以从本地直接在计量器具装载或通过网络远程升级软件。载入和安装可以分两个步骤，也可以合并成一步，取决于技术方案的需要。打开封印才能进行升级更新。授权人员应在计量器具安装现场核查升级成功。计量器具法制计量相关软件升级(更换另外批准的版本或重新安装)后，计量器具在进行检定并且要更新封缄措施后，才能用于法制计量(升级流程见图1)。跟踪升级验证升级常规操作模式常规操作模式请求升级?否是载入升级文是否完整?安装并激活升级软件是是合真实?(后续)观场检定(见4.2.6)是丢弃载入文件，保留老版木激活状态或转入不可操作模式安装并激活升级软件是在审计日惠中记录升级信息元启打上检定合格标记载入升级文件其观操作模式检定合格?请求小级?重启跟踪升级分为两步：“装载”和“安装/激活”。软件装载后被暂时保存并没有激活。这是因为如果核查不合格，应丢弃载入的软件并恢复到原先的版本。b验证升级时，载入的软件在安装前也可以暂时保存，不过取决于技术方案，装载和安装也可以合并在一个步骤中完成。这里“否”仅需考虑由于软件升级导致的检定不合格。其他原因导致的不合格，不需要重新载入并安装软件，图1软件升级流程根据跟踪升级的要求(见6.2.8.4.2～6.2.8.4.8),跟踪升级是对已检计量器具或装置更换软件的过程，符合相关国家标准的软件已经在计量器具中运行，升级之后并不需要进行后续检定。升级软件不能影响现存的参数。可以从本地直接在计量器具装载或通过网络远程升级软件。升级记录应保存在审核软件的跟踪升级应可自动更新。某些涉及安全或者防护的计量器具需要关机才能更新，更新后需立即重启，不依赖更新过程。注：触发软件的跟踪升级进程可能需要人工对计量器具干预。软件受到任何的操作干预都应留下证据记录。更新过程中，任何的审核日志信息和事件计数器应例如I类计量器具通过法制计量软件计算校验和与标称值进行比较，两者匹配后才能启动。否则事件计数器值加1。更新过程中，标称值要修改和新软件匹配。事件计数器值将被保留，并由新软件以与以前相同的方式处理。通过一定的技术方法用来保证载入真实的软件，例如载入软件来源于型式评价报告的拥有者。例如Ⅱ类计量器具认证结果检查应通过加密手段，如公共密钥系统来完成。该型式批准证书拥有者(一般是计量器具制造商)用制造商的密钥生成一个待升级软件的电子签名。公用密钥存储在计量器具固定软件部分中。当计量器具载入改进的软件时，使用公共密钥检查签名。如果载入软件的签名正确，就安装并激活软件。如果检查软件失败，计量器具应丢弃它并使用该软件的早期版本或切换到不可操作模式。通过一定的技术方法用来保证载入软件的完整性，即软件载入前不能被非法更改。可通过添加加载软件的校验和或哈希码，并在加载过程中进行验证来实现。通过审核日志的技术方法来保证法制计量相关软件的跟踪升级，如图1所示，对计量器具的后续检定、监督和检查是完全可追溯的。审核日志应至少包含以下信息：a)升级过程成功/失败；b)安装版本的软件标识；c)早期版本的软件标识；d)事件时间戳；e)下载者标识身份。不论升级成功与否，每次升级尝试应有对应记录条目。GB/T42555—2023支持跟踪升级的存储装置应有足够的内存空间，至少能保证两次现场检定/检查间隔的法制计量相关软件的可追溯性。审核日志达到存储器上限后，应通过技术手段保证不破坏封缄就不能再下载。通过指令可以显示或者打印审核日志。型式评价报告应描述如何显示或者打印审核日志。注：通过反向追溯相当一段时间(依国家法规要求)内法制计量相关软件跟踪升级，使得法制计量管理计量器具的计量监督可靠。6.2.8.4.7客户同意原则应根据国家有关法规和需求，可能要经过计量器具的用户或业主的同意，才能进行升级操作。计量器具应配有体现其用户或业主意向的电子组件或装置，如开始下载前，需按下某个按钮。应通过封缄的开关或参数的设定电子组件、装置的启用或禁用。如果启用，则每次下载应首先通过计量器具的用户或业主。如果禁用，应无须用户或业主激活也可执行下载。6.2.8.4.8软件测试和下载如果下载软件完整性测试或者真实性测试失败，计量器具应抛去新软件，并使用该软件的早期版本或切换到不可操作模式。不可操作模式下计量器具功能是禁止状态，只能重新下载软件，或者显示出错信息。如果审核日志没有容量了，或者使用者或业主不同意更新软件，计量器具就不能启动。6.2.8.5记录参数调整可规定向用户开放计量器具设备专有参数中某些参数的设定。在这情况下，计量器具应安装一种装置，应能自动地记录计量器具专有参数的任何调整信息且不能被删除，如审核日志。计量器具应具有呈现所记录数据的能力。注：审核日志属于法制计量相关软件的一部分。6.2.8.6保护审核日志当软件更新后，审核日志不应被删除或者被覆盖。7型式批准7.1型式批准的申请资料7.1.1通用要求申报型式批准时，计量器具制造商应提供与该计量器具中运行的法制计量相关软件有关全部功能、数据结构和软件接口的文档。在为型式批准提交的软件说明中，命令集及其功能作用应当描述完整。型式批准申请资料中应附有一份声明文件或其他有效文件声明：计量软件的设计和特性符合有关国家标准的规定。7.1.2提交的文档目录提交型式批准的文档至少包含(适用于所有类型的计量器具、电子装置和组件)。a)法制计量相关软件及其验证方法：1)法制计量相关部分软件模块列表，包括对所有涉及法制计量相关功能声明；2)法制计量相关软件部分接口及经由此接口的命令集与数据流的描述；3)当有高风险需求时，型评机构有权获取源代码(取决于相关标准所选择的型评验证方法，见7.3和7.4);4)受保护参数的列表和保护方法描述。b)适合的系统配置和最低资源需求的描述(见6.2.6)。c)操作系统安全措施的描述(如密码等)。d)软件电子封缄方法的描述。e)对系统硬件(如拓扑结构图、网络类型和计算机型号等)的概述。当一个硬件模块视为法制计量相关的或其执行法制计量相关功能时，需重点注明。f)算法精度描述(如A/D转换结果的过滤、价格计算、数据修约算法)。h)软件标识描述及从在用计量器具中获取软件标识的指令描述。i)计量器具、电子装置、组件每一个硬件接口的命令列表。j)软件检测的耐久性误差列表描述，为便于理解，可附上检测算法描述。k)需要存储或传输的数据集的描述。1)如果软件具有故障检测功能，则要包括故障列表和检测算法描述。m)如果软件具有审核日志功能，要有如何访问审核日志的描述。n)操作手册7.2型式批准的技术要求不同的。虽然ISO/IEC25040:2011规定了如何“衡量”软件的质量，但总的来说，软件的准确性是无法计量的。这里所描述的过程要兼顾法制计量和软件工程中的验证与测试的方法，不过它们的目标不同(例如：软件开发者一方面要搜寻软件的错误，另一方面也要对软件性能进行优化)。在7.4中，每个软件需求都会对验证程序进行适当的调整。验证程序要反映风险等级。要证实计量器具是否符合相关国家标准规定。对于软件控制的计量器具而言，其验证步骤包括检查、分析和测试。相关国家标准应对下面提到的方法适当地选择。这些方法是针对型式评价的。对单台现场在用计量器具的检定不限于那些验证方法。关于检定更多信息详见第8章。7.3描述了软件评价验证方法，这些方法组合形成完整的软件评价过程，能满足要求。制造商应声明计量器具没有隐藏的或者没有公开的功能(如参数、命令、功能、后门等)。没有额外要求制造商声明文件资料绝对正确和完整。但是，要求该明示宣称是作为软件检查过程的一部分。7.2.2型式评价报告应包含的信息型式评价报告应至少包含以下的信息：a)认证软件版本号；b)计量器具显示认证软件版本号的方法；c)安全手段以及人为干预后留存证据的检查方法(例如铅封、事件计数器、审查日志等);d)涉及法制计量管理的软件模块；e)完整性保护检查的方法(如可能);f)软件操作环境(如可能)。7.3软件的验证和评价7.3.1方法及其应用概述具体问题具体分析，软件验证和评价方法参考表1的验证方法和顺序。表1供选择的验证和评价方法概述缩写描述应用应用条件和工具专业技能要求AD文档分析和设计评价通用文档VFTM计量的功能测试验证算法正确性、不确定度、补偿和纠正算法、价格计算规则文档VFTSw软件的功能测试验证通信、示值、欺诈防护、误操作预防、参数保护、缺陷侦测等功能的正确运行文档、样本DFA测量数据流分析软件分离、命令对计量器具功能影响的评价源代码、通用软件工具程序语言知识CIWT代码审查和代码走查(7.3.2.5)全部目标源代码、通用软件分析工具程序语言知识软件模块测试当输入输出有清晰定义的全部目标源代码、测试环境程序语言7.3.2验证和评价方法的选择7.3.2.1文档分析和设计评价应用：软件评价的基本程序。前提条件：有计量器具制造商的产品文档。文档应满足以下需求。a)计量器具功能性通用说明(适用于功能测试可验证其所有特性的、欺诈风险低、除显示外没有其他接口的简单计量器具)。b)软件功能和接口的说明(适用于不能验证功能特性、欺诈风险可能高、带有接口的计量器具),对计量特性产生影响的软件功能应有明显的详细说明。c)对于接口，文档应包括软件可解释的全部命令集或者信号列表。详细阐述每个命令的作用，且应说明计量器具对文档中未提及的命令是如何响应的。d)如需要理解和评估计量器具软件功能时，应提供含复杂测量算法、密码功能、关键计时与限值等内容的软件文档，例如软件包对计量功能的贡献。验证方法：测试人员要依据型式评价大纲对计量器具的功能和特性进行评价，并且判定是否符合国家标准的要求。考虑和评价计量要求和规定的软件功能要求(例如欺诈防护、可调参数防护、禁止的功能、与其他装置的通信、软件升级、故障检测等)。软件评估报告的格式示例见附录A。结果：如果制造商能提供适当的文档，对计量器具的所有特性给出结果。在测试报告中给出计量器具所有文档符合性的结果。评价报告记录与软件有关的结果。补充测试：如果文档检查的结论不足以证实验证需求，需要额外的测试。常采用功能测试来验证计量功能(见7.3.2.2)。应用：验证测量数据处理、线性化处理、环境因素补偿、价格舍入等算法的正确性。验证的软件功能，制造商有责任开发一种测试方法。另外，软件开发员也要配合回答问题。验证方法：验证和评价测试方法基于不同条件下的参考值。这些方法应用不局限于某些计量器具测量技术。虽然主要目的不是验证软件，但测试结果可以解释为一些软件部件的验证，通常对计量是重要的。如果测试覆盖了计量器具全部的计量特性，那么相应的软件模块可认为已被验证。通常不需再进行软件分析或测试来验证计量器具计量特性。结果：检查算法是否正确；在满足全部条件下的测量值是否在最大允许误差(MPE)范围内。补充测试：通常是对7.3.2.1的优化处理。在某些情况下，对于动态测量，将该方法与基于源代码或输入信号模拟(如：动态测量)的检查相结合，可能是更有效、更容易的。7.3.2.3软件的功能测试验证应用：参数保护、软件标识的表示、故障的软件检测、系统配置(特别是软件运行环境)的验证评价。证的软件功能，制造商有责任开发一种测试方法。另外，软件开发员也要配合回答问题。验证方法：对操作手册、计量器具或软件文档中按描述的特性进行实际检查。如果是由软件控制的，如果它们在没有控制的情况下正常工作，则应认为通过验证，而不需做进一步的软件分析。这里提到的特性有下列几方面。a)对于由软件控制计量器具常规操作的计量器具，宜通过检查所有的开关或按键组合，观察计量器具响应来评价。图形用户界面中所有的菜单和其他的图标都宜激活检查。b)参数保护的有效性，可通过激活保护手段并尝试更改参数方法进行检查。c)存储数据保护的有效性，可通过更改文件中的某些数据，观察程序是否检测到来检查。d)软件标识的显示，可通过实际检查来验证。e)如果软件支持故障检测，那么要验证相关的这部分软件，可通过诱发、实施或模拟一个故障来检查计量器具的响应正确与否。f)如果法制计量相关软件要求的配置或环境恒定，可以进行非法的更改来检查其保护措施。软件应禁止这些更改或者停止运行。结果：检查受软件控制的被测特性正常与否。补充测试：受软件控制计量器具的一些特性或功能在实际中不能被验证。如果计量器具带有接口，一般来说通过随机试验不会检测到非法命令。因此，需要一个产生这些命令的发生器。对于一般验的软件分析是有必要的。应用：对法制测量数据域中测量数据流的软件结构分析，包括软件分离检查。验证方法：目的是找出软件中所有参与测量值计算或对其有影响的部分。从接收传感器原始测量数据的硬件端口开始，搜索读取原始测量数据的子程序。这个子程序可能对数据进行一些运算，并将它存储在变量中。由这个变量产生的中间值被其他的子程序读取，依次类推，直到处理完的测量值输出到显示设备。通过简单文本编辑器和文本搜索程序，所有用于存储这些中间值的变量和传输这些值的子程序都应在源代码中找到，并进一步查找其他源码文件中的变量和子程序名。其他数据流也可通过从输入接口到接收命令的解释器的方法实现查找。还能发现隐藏的软件接结果：根据6.2.2.2验证软件分离是否成功；验证命令集文件清单是否完整。补充测试：当软件分离已实现并且有高符合性或防欺诈高风险防护需求时宜使用。这是对7.3.2.5代码审查和代码走查应用：如果要提高检查力度，软件的任何特性都可以通过此方法来验证。验证方法：检测人员走查指定源代码，对代码相应的部分进行评价，以确定程序功能和特性与文档要求是否一致，需求是否能全部满足。检测人员也可以集中检查那些已确定较复杂、易错、文档化不充分的算法和功能等。通过分析和查验来检查源码的相应部分。在检验前，检测人员首先应确定法制相关部分(例如通过DFA方法，见7.3.2.4),通常代码检查或走查方法仅限于法制相关部分。相比以无故障或性能优化为目标的软件生产对这些方法的使用，两者结合的检测所付出的工作量是最少的。结果：检查是否和软件文档一致，是否和需求一致。应用：本方法适用于异常情况。根据唯一已有文本资料，无法检查程序模块功能时，可以使用此方法。特别适合动态计量算法的验证。前提条件：具有源代码、开发工具、软件模块测试的运行环境、输入数据集和相应的正确参考输出数据集或自动测试工具。要具备信息技术和程序语言技能，宜与其模块测试程序员合作。验证方法：将被测软件模块置于测试环境中，专用的测试程序模块会调用被测软件模块，并提供所需的输入数据(测试用例)。测试程序接收被测模块的输出数据并与参考的期望值进行比较。结果：检查被测软件模块是否正确。补充测试：补充7.3.2.2或7.3.2.5的增强方法。7.4软件评价过程软件评价过程包含评价和验证分析方法的组合与测试，包括以下内容：a)根据考虑的需求执行7.3的评价和验证分析方法；b)如何评价测试执行的结果；c)在评价测试报告中和测试证书里包含的内容，至少包含有可执行文件的名称、版本和校验和软件水平分类为低、中等的(或风险等级不高的)应参照软件评价过程A级(标准验证等级)执行，水平分类为高等或防欺诈使用风险较高时应按照软件评价过程B级(扩展验证等级)执行。表2中定义了可供选择两种级别的A级和B级软件评价过程(采用表1中的字母缩写)。DFA、CIWT和SMT方法仅仅适用于B级。B级比A级有更多检测项。可选用A级或B级软件评价过程，根据下面四点，决定A或B中每条需求相同与否：a)防欺诈使用的风险；b)应用领域；c)与型式评价报告一致性；d)误操作导致测量结果的风险。风险评估见第5章。表2不同软件的验证和评价推荐方法需求A级验证(标准验证等级)B级验证(扩展验证等级)备注计量应用软件的通用要求软件标识AD+VFTSwAD+VFTSw+CIWT高符合性选B级算法和功能的正确性AD+VFTMAD+VFTM+CIWT/SMT软件保护错用预防AD+VFTSwAD+VFTSw干预的证据AD+VFTSwAD+VFTSw+DFA/CIWT/SMT高欺诈风险选B级硬件支持特性故障检测功能AD+VFTSwAD+VFTSw+CIWT+SMT高可靠性选B级耐久性保护功能AD+VFTSwAD+VFTSw+CIWT+SMT高可靠性选B级时间戳AD+VFTSwAD+VFTSw+SMT——法制计量相关部件分离及接口的规定分离的电子装置或组件AD+DFA/CIWT分离的软件AD+DFA/CIWT——共享显示AD+VFTM/VFTSwAD+VFTM/VFTSw+DFA/CIWT 一数据存储AD+VFTSwAD+VFTSw+CIWT/SMT在开放式系统中测量数据的传输是可预见时选B级存储数据的完整性AD+VFTSwAD+VFTSw+CIWT/SMT高欺诈风险选B级存储数据的保护AD+VFTSwAD+VFTSw+SMT—自动存储AD+VFTSwAD+VFTSw+SMT通过通信线的传输AD+VFTSwAD+VFTSw+高欺诈风险，如在开放系统传输选B级传输数据的完整性AD+VFTSwAD+VFTSw+高欺诈风险，如在开放系统传输选B级传输数据的保护AD+VFTSwAD+VFTSw+SMT—传输延时或中断AD+VFTSw高欺诈风险，如在开放系统传输选B级操作系统和硬件的兼容性AD+VFTSwAD+VFTSw+SMT——硬件接口AD+VFTSwAD+VFTSw+SMT启动过程AD+VFTSwAD+VFTSw+SMT——系统资源AD+VFTSwAD+VFTSw+SMT表2不同软件的验证和评价推荐方法(续)需求A级验证(标准验证等级)B级验证(扩展验证等级)备注6.2.6.5运行中的保护AD+VFTSwAD+VFTM/VFTSw+DFA6.2.6.6法制计量关联软件的通信AD+VFTSwAD+VFTM/VFTSw+DFA6.2.6.7认证和可追溯性AD+VFTSwAD+VFTSw+SMT6.2.6.8运行要求AD+VFTSwAD+VFTSw+SMT6.2.6.9软件运行条件AD+VFTSwAD+VFTSw+SMT—维护和重新配置6.2.8.3验证升级ADAD6.2.8.4跟踪升级AD+VFTSwAD+VFTSw+CIWT/SMT高欺诈风险选B级7.5被测计量器具一般来说检测是对完整的计量器具进行的功能测试。当计量器具的尺寸或配置使得其本身不适合作为整体单元进行测试，或者仅考虑计量器具中的单独装置(模块)时，该测试或者某些测试要在电子装置或软件模块分离的情况下进行。假如有需操作装置来进行测试的情况，则要通过模拟实验，对其代表性的常规操作进行充分测试。申请人负责提供所有必需的设备和样机。8计量器具的软件验证8.1通用要求对于法制计量管理的计量器具，应对法制计量管理的计量软件制定相关规定，在检定规程中，应规定对运行中计量器具的软件识别号、参数设置有效性、与获型式批准一致性的验证检查方法。根据不同计量器具特性，可要求对该计量器具在一个或多个阶段执行软件的检查验证。软件的检查验证应包括下面的内容：a)与型式批准版本(如版本号、安全方法的验证)软件的一致性；b)与声明的最低配置兼容的配置(如果在型式评价报告中给出);c)计量软件中涉及输入/输出的参数不受其他方面的影响；d)设备专有参数(特别是可调整参数)的正确性。8.2验证方法和测试项目8.2.1软件文档检查对于软件文档检查，从以下方面检查被检计量器具软件分析验证是否与型式批准一致：a)检查型式批准的有效性；b)检查被检计量器具是否符合型式评价报告；c)检查操作手册(必要时)。8.2.2软件的完整性采用以下其中之一方法检查软件的完整性：a)间接法：依据型式评价报告中说明的位置检查计量器具的封印设置；b)直接法：检查软件标识与型式评价报告是否符合。注：直接法和8.2.4的a)是重复的。示例：通过计算程序代码的校验和与标称值进行比较。采用以下方法检查软件参数的正确性：a)间接检查软件参数的正确性：运行测量结果和标准值进行比较；b)检查全部的参数设置是否在允许值范围内。采用以下方法检查软件参数的完整性：a)检查软件参数的电子封印是否完好无缺；b)检查访问修改软件参数的审查日志。采用以下方法检查软件识别号：a)检查被检计量器具与其有效型式评价报告的软件识别号一致否；b)检查审查日志追溯软件升级更新(见6.2.8.4.6)。(资料性)软件评价报告格式示例A公司TT100型流量计的软件验证该流量计软件已被验证为符合GB/T42555—2023的要求。验证报告有关于该软件基本要求的解释说明。报告描述了对于R-xyz中提出的该软件需要符合的一些要求的检查。被测对象A公司的TT100是一种用来测量液体流