【摘 要】 計量檢定/校準(zhǔn)、數(shù)據(jù)處理及測量不確定度分析中廣泛應(yīng)用計算機(jī)技術(shù)和測量軟件，測量軟件對測量結(jié)果的準(zhǔn)確性和可靠性起到至關(guān)重要的作用。本文通過對OIML D-SW這一技術(shù)標(biāo)準(zhǔn)的理解和解讀，介紹了國際上對計量器具軟件的通用性要求。并為即將頒布的國家技術(shù)規(guī)范“計量器具軟件測評指南”做了技術(shù)鋪墊。 【關(guān)鍵詞】 OIML 計量器具 軟件 Key Words：OIML，Measuring Instruments，Software 伴隨著信息技術(shù)的不斷進(jìn)步，計量器具的自動化、智能化程度日益提高，其測量控制也從簡單電路系統(tǒng)到發(fā)展到復(fù)雜的嵌入式系統(tǒng)乃至工控系統(tǒng)，軟件已成為計量器具中的一個核心部件?；贠IML、NTEP等現(xiàn)有標(biāo)準(zhǔn)中僅對計量器具的外部性能有所規(guī)定，所以國際計量法制組織（OIML）下屬的SC2技術(shù)委員會起草了D-SW，“General Requirements for Software Controlled Measuring Instruments”這一技術(shù)文件，該文件定義了對計量器具控制軟件的通用要求，同時考慮了與加拿大計量軟件標(biāo)準(zhǔn)和歐洲計量器具指令（MID）中的軟件要求。 適用范圍： 1）指導(dǎo)對于計量器具控制軟件功能和性能的符合性確認(rèn)； 2）提供給OIML技術(shù)委員會作為制定計量器具軟件規(guī)范國際建議的基礎(chǔ)； 3）該指南僅適用于受軟件控制的計量器具或電子設(shè)備。 OIML D-SW代表了目前IT技術(shù)的水平，原則上可適用于所有依靠軟件控制的計量儀表、電子裝置和專用部件，在所有OIML的國際建議中需要被考慮。OIML-SW國際計量軟件指南主要包括大部分： 1）對計量器具中所應(yīng)用軟件的要求； 2）型式審批的具體規(guī)則； 3）驗證方法。以下根據(jù)我對這三方面的具體要求的理解逐一解釋。 1．對計量器具中所應(yīng)用軟件的要求 OIML D-SW中對計量器具軟件的要求分為兩類，一類為通用要求，適用于所有計量軟件。第二類為特殊軟件要求，僅適用于某些特殊應(yīng)用領(lǐng)域的計量軟件。 1.1 通用軟件要求主要包括以下幾部分：軟件標(biāo)識、算法和功能正確性、軟件防護(hù)、硬件功能支持。 1.1.1 軟件標(biāo)識 指所有計量相關(guān)軟件（受到計量法規(guī)控制的軟件）必須有軟件版本識別信息，并能通過顯示或其它設(shè)備接口讀取。軟件版本識別信息需要與形式審批備案的信息一致。 1.1.2 算法和功能性 指A/D轉(zhuǎn)換結(jié)果、價格計算方法等算法和功能必須正確并符合有關(guān)標(biāo)準(zhǔn)要求，同時必須被正確地顯示或打印。 1.1.3 軟件防護(hù)要求 指計量器具中的法制相關(guān)軟件需要具備對誤操作或惡意更改的防范能力。例如，用戶不按照說明書進(jìn)行操作，應(yīng)給出警告信息，而且計量結(jié)果不應(yīng)該受到影響。另外，需要采用保護(hù)措施防止外界對計量器具中的法制相關(guān)軟件的惡意更改。除了傳統(tǒng)的保護(hù)手段如鉛封以外，其它保護(hù)手段如密碼驗證等方法都可以被采用以確認(rèn)軟件更新的合法性。如果允許通過用戶接口輸入命令，那么這些命令必須在提交型式評定的軟件文檔中列出。所有與計量性能有關(guān)的參數(shù)設(shè)定也必須受到保護(hù)，同時可以被顯示或被打印輸出以便檢驗。采取這些機(jī)械鉛封、電子或軟件密碼等保護(hù)手段是為了阻止對法制相關(guān)軟件或參數(shù)的非法修改或使其留下紀(jì)錄（如鉛封破損）。 1.1.4 硬件功能支持 計量器具中的軟件需要支持硬件的自檢功能，如對EEPROM、A/D等關(guān)鍵部件的出錯檢測。送審文檔中需要包括可以被軟件檢測到的所有錯誤列表以及檢測方法或算法（如EEPROM中的CRC校驗和）。計量器具軟件同時需要確保計量性能的可靠性，如對于衡器軟件，需要定時地檢查傳感器的零點和SPAN漂移，以及根據(jù)法定的檢定周期確認(rèn)是否需要提醒用戶進(jìn)行再次標(biāo)定。 1.2 特殊軟件要求 以下要求可能僅適用于某些特殊的計量（系統(tǒng)）軟件。當(dāng)某些特定技術(shù)（如PC、Windows等開放式軟硬件平臺）被用于計量設(shè)備時，需要考慮這些特殊的軟件需求。 1.2.1 界定并分離法制相關(guān)部件并界定部件之間的接口 一個計量設(shè)備（系統(tǒng)）中的法制相關(guān)部件（包括軟件和硬件）應(yīng)該不受其它部件的影響。如基于工業(yè)PC的稱重儀表中的計量軟件和計量硬件（A/D板）與系統(tǒng)內(nèi)的其它部件通過接口（如STD總線）進(jìn)行通訊時，其計量性能應(yīng)不受其它部件的影響。 1.2.1.1 設(shè)備之間及子系統(tǒng)之間的隔離 一個計量系統(tǒng)中實現(xiàn)法制相關(guān)功能的所有子系統(tǒng)或電子設(shè)備需要被界定，并在提交型式批準(zhǔn)的有關(guān)文檔中加以說明。同時需要確保其法制相關(guān)功能和參數(shù)不可以被非授權(quán)的接口命令修改。 例如一臺數(shù)字式汽車衡，數(shù)字式儀表和數(shù)字式傳感器都是其中實現(xiàn)法制相關(guān)功能的子系統(tǒng)，兩者之間是互相隔離的，通過特定的接口（如RS-485或CAN總線）進(jìn)行通訊，但是通訊命令必須經(jīng)過加密，以確保第三方無法通過該接口改變計量功能或偽造計量數(shù)據(jù)。 1.2.1.2 軟件部件之間的隔離 所有執(zhí)行法制相關(guān)功能或包含法制相關(guān)數(shù)據(jù)的軟件模塊必須要被分離出來，否則整個軟件都將按法制相關(guān)軟件受控。例如：在某些應(yīng)用場合用計算機(jī)替代稱重儀表，計算機(jī)上的稱重功能被包裝成一個稱重處理動態(tài)鏈接庫，該動態(tài)鏈接庫完成從傳感器獲取稱重信息，然后進(jìn)行一系列的數(shù)據(jù)換算，轉(zhuǎn)換成重量數(shù)據(jù)再在屏幕上顯示。其它非法制相關(guān)軟件可以通過調(diào)用該稱重動態(tài)連接庫獲得重量數(shù)據(jù)。這就實現(xiàn)了一個復(fù)雜系統(tǒng)中法制相關(guān)軟件和非法制相關(guān)軟件的隔離。 如果法制相關(guān)軟件部件與其它軟件部件之間有通訊，那么必須定義軟件接口，所有通訊必須通過該軟件接口實現(xiàn)。軟件接口包括程序代碼和相關(guān)的數(shù)據(jù)域。所謂接口代碼即接口調(diào)用函數(shù)，所謂相關(guān)數(shù)據(jù)域即通過接口函數(shù)交互的命令和數(shù)據(jù)，它們都需要遵從有關(guān)約定，并確保安全性。通訊法制相關(guān)軟件部件及其接口必須在送審文檔中加以定義并說明。 如果系統(tǒng)資源有限，必須優(yōu)先保證法制相關(guān)軟件部件所需要的資源。如處于一個多任務(wù)系統(tǒng)中，必須分配給法制相關(guān)軟件部件更高的任務(wù)優(yōu)先級，以確保它不被其它軟件任務(wù)推遲或中斷。 1.2.2 共享的指示裝置 被法制相關(guān)軟件或其它軟件用來輸出信息的顯示或打印輸出稱為指示裝置。法制相關(guān)軟件輸出的計量信息和其它軟件輸出的普通信息可能會共享一個指示裝置（如顯示器、打印機(jī)）。在指示裝置共享的情況下，必須要求這兩類信息有所區(qū)分，同時嚴(yán)格禁止非法制相關(guān)軟件控制或改變法制相關(guān)軟件輸出的計量信息。 1.2.3 數(shù)據(jù)的存儲和傳輸 如果一些應(yīng)用要求計量數(shù)據(jù)的采集和使用不在同一時間或地點，就需要將計量數(shù)據(jù)在被合法使用在一個安全的環(huán)境中存儲或傳輸。存儲或傳輸過程必須符合計量法規(guī)要求。同時必須通過軟件手段確保數(shù)據(jù)同步和數(shù)據(jù)完整性，并檢查計量數(shù)據(jù)的采集時間。如果檢查到有關(guān)計量數(shù)據(jù)不符合以上要求，則需要忽略該數(shù)據(jù)或標(biāo)志為無效。 對于高保護(hù)等級要求的應(yīng)用場合，還必須在數(shù)據(jù)存儲和傳輸?shù)膬啥瞬捎眉用堋⒔饷苁侄?。所有涉及到法制計量要求的儀器、設(shè)備或子系統(tǒng)必須采用密鑰系統(tǒng)，并且密鑰僅允許在開啟鉛封的狀態(tài)下被輸入或修改。 1.2.3.1 自動存儲 當(dāng)法制要求的計量結(jié)果產(chǎn)生前，計量數(shù)據(jù)必須被自動存儲。為了滿足可能情況下長時間的數(shù)據(jù)存儲，系統(tǒng)必須提供足夠的存儲空間。當(dāng)存儲空間用完時，僅在同時滿足以下兩大條件時允許刪除有關(guān)存儲數(shù)據(jù)： 1）按照先入先出的次序根據(jù)數(shù)據(jù)結(jié)構(gòu)來刪除數(shù)據(jù) 2）數(shù)據(jù)刪除需要在特定的手工輸入確認(rèn)后方可執(zhí)行 以上規(guī)則要求始終保留最新的數(shù)據(jù)，并且需要介入人工確認(rèn)以確保刪除操作可靠性。 1.2.3.2 傳輸延時 要求計量行為不受傳輸延時的影響。如果網(wǎng)絡(luò)連接斷開，計量數(shù)據(jù)不應(yīng)丟失（在本地暫時存儲）。 1.2.4 操作系統(tǒng)與硬件的兼容性，輕便性 生產(chǎn)商需要考慮硬件和軟件環(huán)境是否合適，同時必須申明正確的計量功能執(zhí)行所需要的最小資源和合理配置（CPU，RAM，硬盤，通訊方式，操作系統(tǒng)等）。在無法達(dá)到計量功能執(zhí)行所需要的最小資源和合理配置時，必須采用技術(shù)手段禁止法制相關(guān)軟件運行。 如果計量功能的正確執(zhí)行需要一個固定的環(huán)境，那就必須采取措施確保環(huán)境的穩(wěn)定性。特別是在采用通用計算機(jī)實現(xiàn)計量功能時，必須固定硬件、操作系統(tǒng)、系統(tǒng)配置甚至禁止打開機(jī)箱。 1.2.5 在線產(chǎn)品與型式樣機(jī)的一致性要求 生產(chǎn)商需要按照批準(zhǔn)的型式樣機(jī)和備案設(shè)計文件的要求生產(chǎn)計量設(shè)備和法制相關(guān)軟件。針對不同應(yīng)用，具體有以下不同級別的一致性要求： a）備案設(shè)計文件中注明的法制相關(guān)軟件功能應(yīng)該和產(chǎn)品中的一致（執(zhí)行代碼可以不同） b）產(chǎn)品中部分法制相關(guān)軟件的源代碼與備案文件一致，其它符合a） c）產(chǎn)品中所有法制相關(guān)軟件的源代碼與備案文件一致 d）產(chǎn)品中所有法制相關(guān)軟件的執(zhí)行代碼與備案文件一致 1.2.6 軟件維護(hù)和二次配置 只有經(jīng)過型式審批的法制相關(guān)軟件版本才被允許使用。根據(jù)計量設(shè)備和所涉及的OIML國際建議的不同，針對其軟件存在以下的不同要求。 1.2.6.1 版本升級后的合法性確認(rèn) 計量設(shè)備軟件可以通過本地（如透過串口FLASH，通過軟驅(qū)或光驅(qū)進(jìn)行軟件安裝）升級或透過網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程升級。在法制相關(guān)軟件被升級后，計量設(shè)備不得立即被用于法制計量目的。必須請法制計量監(jiān)督人員在現(xiàn)場驗證該版本升級合法，然后才能將升級后的計量設(shè)備投入使用。 1.2.6.2 版本升級的跟蹤 按照相應(yīng)國際建議的要求，需要對計量設(shè)備中的軟件版本升級進(jìn)行跟蹤。所有的版本升級都需要留下紀(jì)錄。軟件版本升級的跟蹤步驟如下：加載、完整性檢查、原始版本檢查、安裝、登錄并激活。 升級的跟蹤必須是自動實施的，升級過程中軟件保護(hù)環(huán)境的要求與型式審批要求的保護(hù)等級一致。計量設(shè)備中必須應(yīng)該保留一個不能被升級的法制相關(guān)軟件，以實施軟件版本升級跟蹤并檢測升級后的軟件功能。同時需要采用技術(shù)手段保障升級軟件的可靠性，例如驗證其軟件許可認(rèn)證文件或是軟件指紋（隱藏在軟件中的一列代碼）是否與型式審批的一致。如果驗證失敗，設(shè)備拒絕新版本軟件的加載，繼續(xù)沿用前一個軟件版本。另外，需要通過校驗和或Harsh碼來見檢查升級軟件的完整性，為通過完整性檢驗的，設(shè)備同樣拒絕新版本軟件的加載。 為了保障對法制相關(guān)軟件的管理和監(jiān)督，要求通過一定技術(shù)手段在計量設(shè)備內(nèi)建立以下的軟件審計信息，其中需要保存：成功/失敗的升級紀(jì)錄；安裝軟件的版本和識別號；重要事件的時間紀(jì)錄；以及下載的軟件補(bǔ)丁的識別號。任何對軟件的升級操作都會被記錄在軟件審計信息中。部分國家的法律要求軟件升級前必須得到使用者的許可。 如果在計量設(shè)備中非法制相關(guān)軟件與法制相關(guān)軟件彼此獨立，并且法制相關(guān)軟件必須在打開鉛封的前提下才能被升級，同時型式批準(zhǔn)中允許非法制相關(guān)軟件的升級不受控，那么，計量設(shè)備中非法制相關(guān)軟件的升級就可以不必遵循上述規(guī)范。 2．計量設(shè)備軟件型式審批 2.1 軟件型式審批文檔要求 計量設(shè)備制造商需要申明并記錄程序功能、相關(guān)數(shù)據(jù)結(jié)構(gòu)以及接口， 提供給計量主管部門進(jìn)行計量設(shè)備軟件型式審批。 標(biāo)準(zhǔn)的軟件型式審批文檔（所有計量設(shè)備均適用）基本包括： ● 對法制相關(guān)軟件的描述 - 軟件模塊、功能、對計量的影響 - 軟件界面描述 - 軟件識別號 - 受保護(hù)的參數(shù)及保護(hù)手段 ● 最小系統(tǒng)配置 ● 操作系統(tǒng)加密手段 ● 算法精度（A/D轉(zhuǎn)換輸出的濾波，價格計算，歸整等） ● 用戶界面、菜單、對話 ● 軟件識別號和從計量設(shè)備中讀取識別號的方法 ● 接口命令集 ● 存儲或發(fā)送的數(shù)據(jù)流定義 ● 如果軟件中包含錯誤檢測功能，列出錯誤種類和檢測方法 ● 系統(tǒng)硬件的總體介紹，如方框圖，計算機(jī)型號，聯(lián)網(wǎng)形式等 ● 操作手冊 除此以外，型式審批申請還需要附上證明計量軟件符合現(xiàn)有計量法規(guī)有關(guān)條款的說明文件。 2.2 軟件型式審批中的確認(rèn)流程 盡管在OIML的一些文件中列出了對型式審批的測試流程，但是這些測試流程都是基于已知的測試設(shè)定和測試條件，并且依靠相對精確的計量裝置。而對于軟件而言?！皽y試”和“確認(rèn)”意味著截然不同的兩個概念。軟件的準(zhǔn)確性和正確性不能采用一般的計量測試手段來測量，而需要采用一些軟件工程方面的測試和確認(rèn)手段。對于不同的計量軟件要求，需要采用合適的確認(rèn)方法。OIML D-SW列出了一些軟件確認(rèn)的方法，并針對計量軟件的具體要求，給出了相匹配的軟件確認(rèn)方法。 2.3 常用的軟件確認(rèn)方法 軟件工程學(xué)中常用的軟件確認(rèn)方法包括：設(shè)計文檔審查、軟件功能審查、代碼走查（軟件代碼審查）、軟件模塊測試，這些方法在軟件工程書中都有詳細(xì)的說明，在此不再贅述。除了以上方法，OIML D-SW還提出了法制計量功能確認(rèn)測試和計量數(shù)據(jù)流分析方法。 法制計量功能確認(rèn)測試主要是確認(rèn)從原始測試數(shù)據(jù)到最終計量結(jié)果之間的計算過程和算法的正確性。舉電子計價秤為例，其中的算法如：線性補(bǔ)償、蠕變補(bǔ)償、溫度補(bǔ)償、重量分度換算、零點跟蹤、價格圓整等等。具體的確認(rèn)方法主要是根據(jù)設(shè)備制造商提供的操作手冊和有關(guān)計量法規(guī)，對產(chǎn)品的法制計量功能逐項進(jìn)行測試，以確認(rèn)其軟件處理的法規(guī)符合性。 計量數(shù)據(jù)流分析，是指通過構(gòu)造法制相關(guān)的計量數(shù)據(jù)流圖，分析其所有處理過程是否受控。以電子計價秤為例，從稱重傳感器輸出信號經(jīng)A/D采樣，經(jīng)濾波模塊、數(shù)據(jù)補(bǔ)償模塊、重量換算模塊到價格計算、顯示打印模塊，每個流經(jīng)的軟件模塊都需要被審查確認(rèn)合乎計量法規(guī)。具體的確認(rèn)方法是根據(jù)設(shè)備制造商提供的軟件文檔和源代碼，再憑借軟件知識來分析其數(shù)據(jù)流、軟件模塊結(jié)構(gòu)及實現(xiàn)，并判斷其是否滿足計量法規(guī)要求。 2.4 確認(rèn)程序 確認(rèn)過程中包括了各種分析和測試，這一程序中主要考慮以下三方面： 1）常用的軟件確認(rèn)方法 2）測試結(jié)果的評估標(biāo)準(zhǔn) 3）測試報告中需要提供的結(jié)論 OIML D-SW在附錄中給出了不同重要等級的計量設(shè)備軟件在確認(rèn)程序的要求。 2.5 被測設(shè)備 OIML D-SW要求提供制造商完整的計量設(shè)備用以做功能測試，如果因為設(shè)備體積等愿意無法提供整套設(shè)備，可以提交單獨的計量模塊用以測試。 3．檢定 如果相關(guān)官價有關(guān)于計量設(shè)備的控制法規(guī)，有關(guān)部門需要定期在使用現(xiàn)場檢查其軟件標(biāo)志和更改的合法性，以確認(rèn)與符合型式批準(zhǔn)樣機(jī)的一致性。 4．重要度等級評估 OIML D-SW要求對所有計量設(shè)備考慮具體情況區(qū)分對其軟件控制的重要度： 1）欺詐行為的嚴(yán)重性：對社會的不良后果、計量商品的價值等 2）制造商實現(xiàn)軟件控制的難度 3）可靠性要求：環(huán)境條件、出錯影響 4）再次測量的可能性：許多場合的計量行為都具備不可重復(fù)性（如加油機(jī)，出租車?yán)锍逃嫞? 以上幾項判斷準(zhǔn)則，有關(guān)計量設(shè)備符合的條件越多，對其軟件實施法制計量控制的重要度就越高。 中國國家技術(shù)監(jiān)督局于2005年指定江蘇省計量技術(shù)研究所門組織人員依據(jù)OIML D-SW和WELMEC WG7起草了《計量器具軟件測評指南》，將對國內(nèi)的計量設(shè)備按其重要等級逐步實施軟件測評，對某些涉及國計民生的計量設(shè)備如稅控加油機(jī)、計價秤等將加強(qiáng)軟件控制力度，以預(yù)防通過高科技手段進(jìn)行作弊和欺詐行為。作者受江蘇省計量技術(shù)研究所邀請參與了該指南的起草工作。個人認(rèn)為，作為衡器廠商的設(shè)計人員，應(yīng)該主動關(guān)注這一領(lǐng)域國際國內(nèi)的有關(guān)標(biāo)準(zhǔn)并做好技術(shù)準(zhǔn)備，以確保設(shè)計產(chǎn)品的標(biāo)準(zhǔn)符合性。在此，僅根據(jù)個人的淺薄理解，對OIML D-SW作一剖析，許多內(nèi)容從原文根據(jù)個人理解意譯，不當(dāng)之處，請同行專家指正。 參考文獻(xiàn) 〔1〕Document OIML D-SW Working Draft 1WD，“General Requirements for Software Controlled Measuring Instruments”. 2006-1-27，OIML TC5/SC2/N7