西门子（一级）授权总代理

    1.2.6  软件维护和二次配置
    只有经过型式审批的法制相关软件版本才被允许使用。根据计量设备和所涉及的OIML国际建议的不同，针对其软件存在以下的不同要求。
    1.2.6.1  版本升级后的合法性确认
    计量设备软件可以通过本地（如透过串口FLASH，通过软驱或光驱进行软件安装）升级或透过网络进行远程升级。在法制相关软件被升级后，计量设备不得立即被用于法制计量目的。必须请法制计量监督人员在现场验证该版本升级合法，然后才能将升级后的计量设备投入使用。
    1.2.6.2  版本升级的跟踪
    按照相应国际建议的要求，需要对计量设备中的软件版本升级进行跟踪。所有的版本升级都需要留下纪录。软件版本升级的跟踪步骤如下：加载、完整性检查、原始版本检查、安装、登录并激活。
    升级的跟踪必须是自动实施的，升级过程中软件保护环境的要求与型式审批要求的保护等级一致。计量设备中必须应该保留一个不能被升级的法制相关软件，以实施软件版本升级跟踪并检测升级后的软件功能。同时需要采用技术手段保障升级软件的可靠性，例如验证其软件许可认证文件或是软件指纹（隐藏在软件中的一列代码）是否与型式审批的一致。如果验证失败，设备拒绝新版本软件的加载，继续沿用前一个软件版本。另外，需要通过校验和或Harsh码来见检查升级软件的完整性，为通过完整性检验的，设备同样拒绝新版本软件的加载。
    为了保障对法制相关软件的管理和监督，要求通过一定技术手段在计量设备内建立以下的软件审计信息，其中需要保存：成功/失败的升级纪录；安装软件的版本和识别号；重要事件的时间纪录；以及下载的软件补丁的识别号。任何对软件的升级操作都会被记录在软件审计信息中。部分国家的法律要求软件升级前必须得到使用者的许可。
    如果在计量设备中非法制相关软件与法制相关软件彼此独立，并且法制相关软件必须在打开铅封的前提下才能被升级，同时型式批准中允许非法制相关软件的升级不受控，那么，计量设备中非法制相关软件的升级就可以不必遵循上述规范。

    2．计量设备软件型式审批

    2.1  软件型式审批文档要求
    计量设备制造商需要申明并记录程序功能、相关数据结构以及接口， 提供给计量主管部门进行计量设备软件型式审批。
    标准的软件型式审批文档（所有计量设备均适用）基本包括：
    ● 对法制相关软件的描述
    - 软件模块、功能、对计量的影响
    - 软件界面描述
    - 软件识别号
    - 受保护的参数及保护手段
    ● Zui小系统配置
    ● 操作系统加密手段
    ● 算法精度（A/D转换输出的滤波，价格计算，归整等）
    ● 用户界面、菜单、对话
    ● 软件识别号和从计量设备中读取识别号的方法
    ● 接口命令集
    ● 存储或发送的数据流定义
    ● 如果软件中包含错误检测功能，列出错误种类和检测方法
    ● 系统硬件的总体介绍，如方框图，计算机型号，联网形式等
    ● 操作手册
    除此以外，型式审批申请还需要附上证明计量软件符合现有计量法规有关条款的说明文件。

    2.2  软件型式审批中的确认流程
    尽管在OIML的一些文件中列出了对型式审批的测试流程，但是这些测试流程都是基于已知的测试设定和测试条件，并且依靠相对的计量装置。而对于软件而言。“测试”和“确认”意味着截然不同的两个概念。软件的准确性和正确性不能采用一般的计量测试手段来测量，而需要采用一些软件工程方面的测试和确认手段。对于不同的计量软件要求，需要采用合适的确认方法。OIML D-SW列出了一些软件确认的方法，并针对计量软件的具体要求，给出了相匹配的软件确认方法。

    2.3  常用的软件确认方法
    软件工程学中常用的软件确认方法包括：设计文档审查、软件功能审查、代码走查（软件代码审查）、软件模块测试，这些方法在软件工程书中都有详细的说明，在此不再赘述。除了以上方法，OIML D-SW还提出了法制计量功能确认测试和计量数据流分析方法。
    法制计量功能确认测试主要是确认从原始测试数据到Zui终计量结果之间的计算过程和算法的正确性。举电子计价秤为例，其中的算法如：线性补偿、蠕变补偿、温度补偿、重量分度换算、零点跟踪、价格圆整等等。具体的确认方法主要是根据设备制造商提供的操作手册和有关计量法规，对产品的法制计量功能逐项进行测试，以确认其软件处理的法规符合性。
    计量数据流分析，是指通过构造法制相关的计量数据流图，分析其所有处理过程是否受控。以电子计价秤为例，从称重传感器输出信号经A/D采样，经滤波模块、数据补偿模块、重量换算模块到价格计算、显示打印模块，每个流经的软件模块都需要被审查确认合乎计量法规。具体的确认方法是根据设备制造商提供的软件文档和源代码，再凭借软件知识来分析其数据流、软件模块结构及实现，并判断其是否满足计量法规要求。

    2.4  确认程序
    确认过程中包括了各种分析和测试，这一程序中主要考虑以下三方面：
    1）常用的软件确认方法
    2）测试结果的评估标准
    3）测试报告中需要提供的结论
    OIML D-SW在附录中给出了不同重要等级的计量设备软件在确认程序的要求。

    2.5  被测设备
    OIML D-SW要求提供制造商完整的计量设备用以做功能测试，如果因为设备体积等愿意无法提供整套设备，可以提交单独的计量模块用以测试。

    3．检定
    如果相关官价有关于计量设备的控制法规，有关部门需要定期在使用现场检查其软件标志和更改的合法性，以确认与符合型式批准样机的一致性。

    4．重要度等级评估
    OIML D-SW要求对所有计量设备考虑具体情况区分对其软件控制的重要度：
    1）欺诈行为的严重性：对社会的不良后果、计量商品的价值等
    2）制造商实现软件控制的难度
    3）可靠性要求：环境条件、出错影响
    4）再次测量的可能性：许多场合的计量行为都具备不可重复性（如加油机，出租车里程计）

    以上几项判断准则，有关计量设备符合的条件越多，对其软件实施法制计量控制的重要度就越高。
    中国国家技术监督局于2005年指定江苏省计量技术研究所门组织人员依据OIML D-SW和WELMEC WG7起草了《计量器具软件测评指南》，将对国内的计量设备按其重要等级逐步实施软件测评，对某些涉及国计民生的计量设备如税控加油机、计价秤等将加强软件控制力度，以预防通过高科技手段进行和欺诈行为。作者受江苏省计量技术研究所邀请参与了该指南的起草工作。个人认为，作为衡器厂商的设计人员，应该主动关注这一领域国际国内的有关标准并做好技术准备，以确保设计产品的标准符合性。在此，仅根据个人的浅薄理解，对OIML D-SW作一剖析，许多内容从原文根据个人理解意译，不当之处，请同行专家指正。