西门子（一级）总代理

   伴随着信息技术的不断进步，计量器具的自动化、智能化程度日益提高，其测量控制也从简单电路系统到发展到复杂的嵌入式系统乃至工控系统，软件已成为计量器具中的一个核心部件。基于OIML、NTEP等现有标准中仅对计量器具的外部性能有所规定，所以国际计量法制组织（OIML）下属的SC2技术委员会起草了D-SW，“General Re for Software Controlled Measuring Instruments”这一技术文件，该文件定义了对计量器具控制软件的通用要求，同时考虑了与加拿大计量软件标准和欧洲计量器具指令（MID）中的软件要求。

    适用范围：
    1）指导对于计量器具控制软件功能和性能的符合性确认；
    2）提供给OIML技术委员会作为制定计量器具软件规范国际建议的基础；   
    3）该指南仅适用于受软件控制的计量器具或电子设备。

    OIML D-SW代表了目前IT技术的水平，原则上可适用于所有依靠软件控制的计量仪表、电子装置和专用部件，在所有OIML的国际建议中需要被考虑。OIML-SW国际计量软件指南主要包括大部分：
    1）对计量器具中所应用软件的要求；
    2）型式审批的具体规则；
    3）验证方法。以下根据我对这三方面的具体要求的理解逐一解释。

    1．对计量器具中所应用软件的要求
    OIML D-SW中对计量器具软件的要求分为两类，一类为通用要求，适用于所有计量软件。第二类为特殊软件要求，仅适用于某些特殊应用领域的计量软件。

    1.1  通用软件要求主要包括以下几部分：软件标识、算法和功能正确性、软件防护、硬件功能支持。
    1.1.1  软件标识
    指所有计量相关软件（受到计量法规控制的软件）必须有软件版本识别信息，并能通过显示或其它设备接口读取。软件版本识别信息需要与形式审批备案的信息一致。
    1.1.2  算法和功能性
    指A/D转换结果、价格计算方法等算法和功能必须正确并符合有关标准要求，同时必须被正确地显示或打印。
    1.1.3  软件防护要求
    指计量器具中的法制相关软件需要具备对误操作或恶意更改的防范能力。例如，用户不按照说明书进行操作，应给出警告信息，而且计量结果不应该受到影响。另外，需要采用保护措施防止外界对计量器具中的法制相关软件的恶意更改。除了传统的保护手段如铅封以外，其它保护手段如密码验证等方法都可以被采用以确认软件更新的合法性。如果允许通过用户接口输入命令，那么这些命令必须在提交型式评定的软件文档中列出。所有与计量性能有关的参数设定也必须受到保护，同时可以被显示或被打印输出以便检验。采取这些机械铅封、电子或软件密码等保护手段是为了阻止对法制相关软件或参数的非法修改或使其留下纪录（如铅封破损）。
    1.1.4  硬件功能支持
    计量器具中的软件需要支持硬件的自检功能，如对EEPROM、A/D等关键部件的出错检测。送审文档中需要包括可以被软件检测到的所有错误列表以及检测方法或算法（如EEPROM中的CRC校验和）。计量器具软件同时需要确保计量性能的可靠性，如对于衡器软件，需要定时地检查传感器的零点和SPAN漂移，以及根据法定的检定周期确认是否需要提醒用户进行再次标定。

    1.2  特殊软件要求
    以下要求可能仅适用于某些特殊的计量（系统）软件。当某些特定技术（如PC、bbbbbbs等开放式软硬件平台）被用于计量设备时，需要考虑这些特殊的软件需求。
    1.2.1  界定并分离法制相关部件并界定部件之间的接口
    一个计量设备（系统）中的法制相关部件（包括软件和硬件）应该不受其它部件的影响。如基于工业PC的称重仪表中的计量软件和计量硬件（A/D板）与系统内的其它部件通过接口（如STD总线）进行通讯时，其计量性能应不受其它部件的影响。
    1.2.1.1  设备之间及子系统之间的隔离
    一个计量系统中实现法制相关功能的所有子系统或电子设备需要被界定，并在提交型式批准的有关文档中加以说明。同时需要确保其法制相关功能和参数不可以被非授权的接口命令修改。
    例如一台数字式汽车衡，数字式仪表和数字式传感器都是其中实现法制相关功能的子系统，两者之间是互相隔离的，通过特定的接口（如RS-485或CAN总线）进行通讯，但是通讯命令必须经过加密，以确保第三方无法通过该接口改变计量功能或伪造计量数据。
    1.2.1.2  软件部件之间的隔离
    所有执行法制相关功能或包含法制相关数据的软件模块必须要被分离出来，否则整个软件都将按法制相关软件受控。例如：在某些应用场合用计算机替代称重仪表，计算机上的称重功能被包装成一个称重处理动态链接库，该动态链接库完成从传感器获取称重信息，然后进行一系列的数据换算，转换成重量数据再在屏幕上显示。其它非法制相关软件可以通过调用该称重动态连接库获得重量数据。这就实现了一个复杂系统中法制相关软件和非法制相关软件的隔离。
    如果法制相关软件部件与其它软件部件之间有通讯，那么必须定义软件接口，所有通讯必须通过该软件接口实现。软件接口包括程序代码和相关的数据域。所谓接口代码即接口调用函数，所谓相关数据域即通过接口函数交互的命令和数据，它们都需要遵从有关约定，并确保安全性。通讯法制相关软件部件及其接口必须在送审文档中加以定义并说明。
如果系统资源有限，必须优先保证法制相关软件部件所需要的资源。如处于一个多任务系统中，必须分配给法制相关软件部件更高的任务优先级，以确保它不被其它软件任务推迟或中断。
    1.2.2  共享的指示装置
    被法制相关软件或其它软件用来输出信息的显示或打印输出称为指示装置。法制相关软件输出的计量信息和其它软件输出的普通信息可能会共享一个指示装置（如显示器、打印机）。在指示装置共享的情况下，必须要求这两类信息有所区分，同时严格禁止非法制相关软件控制或改变法制相关软件输出的计量信息。
    1.2.3  数据的存储和传输
    如果一些应用要求计量数据的采集和使用不在同一时间或地点，就需要将计量数据在被合法使用在一个安全的环境中存储或传输。存储或传输过程必须符合计量法规要求。同时必须通过软件手段确保数据同步和数据完整性，并检查计量数据的采集时间。如果检查到有关计量数据不符合以上要求，则需要忽略该数据或标志为无效。
    对于高保护等级要求的应用场合，还必须在数据存储和传输的两端采用加密、解密手段。所有涉及到法制计量要求的仪器、设备或子系统必须采用密钥系统，并且密钥仅允许在开启铅封的状态下被输入或修改。
    1.2.3.1  自动存储
    当法制要求的计量结果产生前，计量数据必须被自动存储。为了满足可能情况下长时间的数据存储，系统必须提供足够的存储空间。当存储空间用完时，仅在同时满足以下两大条件时允许删除有关存储数据：
    1）按照先入先出的次序根据数据结构来删除数据
    2）数据删除需要在特定的手工输入确认后方可执行
    以上规则要求始终保留Zui新的数据，并且需要介入人工确认以确保删除操作可靠性。
    1.2.3.2  传输延时
    要求计量行为不受传输延时的影响。如果网络连接断开，计量数据不应丢失（在本地暂时存储）。
    1.2.4  操作系统与硬件的兼容性，轻便性
    生产商需要考虑硬件和软件环境是否合适，同时必须申明正确的计量功能执行所需要的Zui小资源和合理配置（CPU，RAM，硬盘，通讯方式，操作系统等）。在无法达到计量功能执行所需要的Zui小资源和合理配置时，必须采用技术手段禁止法制相关软件运行。
    如果计量功能的正确执行需要一个固定的环境，那就必须采取措施确保环境的稳定性。特别是在采用通用计算机实现计量功能时，必须固定硬件、操作系统、系统配置甚至禁止打开机箱。
    1.2.5  在线产品与型式样机的一致性要求
    生产商需要按照批准的型式样机和备案设计文件的要求生产计量设备和法制相关软件。针对不同应用，具体有以下不同级别的一致性要求：
    a）备案设计文件中注明的法制相关软件功能应该和产品中的一致（执行代码可以不同）
    b）产品中部分法制相关软件的源代码与备案文件一致，其它符合a）
    c）产品中所有法制相关软件的源代码与备案文件一致
    d）产品中所有法制相关软件的执行代码与备案文件一致