電能測量設備 嵌入式軟件 要求 征求意見稿

1GB/TXXXXX—XXXX電能測量設備嵌入式軟件通用要求本文件規(guī)定了電能測量設備嵌入式軟件（以下簡稱“軟件”）的軟件標識、軟件保護、參數保護、軟件分離與接口要求、數據存儲與傳輸、維護和升級、事件記錄、軟件比對、故障監(jiān)測及驗證方法，適用于電能測量設備嵌入式軟件的設計、驗證、升級以及電能測量設備型式試驗等活動。本文件不適用于：——實驗室和儀表的試驗設備；——標準電能表；——由彼此間物理上分離的多個設備組成的測量系統(tǒng)；——便攜式儀表。2規(guī)范性引用文件下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T17215.211-2021電測量設備（交流）通用要求、試驗和試驗條件第11部分：測量設備JJF1182-2021計量器具軟件測評指南3術語和定義下列術語和定義適用于本文件。3.1嵌入式軟件embeddedsoftware以微指令形式嵌入在硬件設備中運行的軟件。3.2用戶接口userinterface儀表或測量系統(tǒng)的一部分，能使信息在用戶/操作員和電測量設備或其（硬件）組件或者（軟件）模塊之間交換的接口。注：用戶接口的典型示例有開關、鍵盤、鼠標、顯示器、監(jiān)視器、觸摸屏、屏幕上的軟件窗口（包括生成它的軟件）。3.3保護性接口protectiveinterface用來處理流向法制相關軟件所有數據的法制軟件接口，以防干擾。[JJF1182，定義3.25]3.4軟件分離softwareseparation儀表中的軟件可分成法制相關部分和非法制相關部分，兩部分可通過軟件接口進行通信。[改寫JJF1182，定義3.29]2GB/TXXXXX—XXXX3.5軟件標識softwareidentification與軟件或軟件模塊密切相關的名稱、版本號、版本日期、校驗和等可讀字符串。[改寫JJF1182，定義3.34]3.6消息鑒別碼（MAC）messageauthenticationcode用于數據原發(fā)鑒別和數據完整性的密碼校驗值。是使用一個特定的密鑰將消息通過一種鑒別算法處理所得出的一串代碼。3.7設備專有參數device-specificparameter基于單個儀表的法制相關參數，包含可調整的參數（例如靈敏度或其他修正的參數）和配置參數（如測量范圍、測量單位）的計量參數，設備專有參數應受保護，只有在儀表的特殊操作模式下是可調節(jié)的或可選的。分為不可變更的參數和授權用戶可進行設置的參數。[改寫JJF1182，定義3.26]3.8計量專有參數meterage-specificparameter影響儀表計量的設備專有參數，包括誤差校準參數、脈沖常數等。3.9軟件升級softwareupgrade對儀表進行軟件模塊的加載、安裝、激活等操作。3.10軟件比對softwarecomparison驗證比對程序與儀表運行程序一致性的過程。4軟件組成儀表的軟件分為法制相關軟件和非法制相關軟件，軟件架構示例見圖1。圖1嵌入式軟件的架構示例3GB/TXXXXX—XXXX5技術要求5.1軟件標識儀表的軟件標識可由多個部分組成，法制相關軟件部分標識和非法制相關軟件部分標識應分開，并按照附錄A的要求進行標識。軟件標識應和軟件本身不可分開，唯一對應，無論軟件以何種方式被修改，均應重新分配一個新的標識。軟件標識應可通過命令展示或通過操作顯示出來。若符合以下條件，可直接在儀表的銘牌上印刷軟件標識：a）顯示器無法通過用戶接口激活顯示軟件標識或者顯示器上無法顯示軟件標識（例如：模擬指示裝置、機電計數器）；b）儀表沒有可通過命令展示軟件標識的接口；c）儀表出廠后，不可更改軟件，或只有在硬件或硬件組件更改時才可更改軟件。軟件標識創(chuàng)建方法（含軟件版本、哈希值、校驗和CRC等）及其標識方法應在儀表用戶手冊或說明書中進行說明。5.2軟件保護儀表軟件應具有防止未經授權操作的加密和/或電子封印等安全防護措施。在不破壞儀表封印的情況下，法制相關軟件應無法修改。修改非法制相關軟件時應有事件記錄。5.3參數保護儀表在出廠后，設備專有參數的保護應符合附錄B的規(guī)定。儀表軟件中確定法制相關特性的參數應能防止未經授權的修改。設備專有參數分為受保護的和可修改的。僅在儀表特殊運行模式（如編程模式）下，設備專有參數才可被授權人員（如儀表擁有人、維修人員）修改。對可供用戶修改的設備專用參數，應對該參數及其訪問限制/規(guī)則在儀表設計文檔中明確說明。儀表應具備設備專有參數修改的事件記錄功能。5.4軟件分離與接口要求儀表軟件應按照法制相關和非法制相關進行分離，法制相關軟件至少應包括：a)電參數的測量（如電壓、電流、有功功率、無功功率、頻率）；b)電能量的計量（如有功電能，無功電能）；c)時鐘或時鐘的維持；d)設備專有參數的保護；e)電參數、電能量數據的凍結；f)清零、升級、校時、修改設備專有參數的事件記錄；g)法制相關軟件與非法制相關軟件的軟件保護性接口；h)保證法制相關功能安全性的方法；i)法制相關軟件的標識。儀表法制相關軟件不允許被儀表的其它部分影響。儀表軟件如果沒有分離，則整個軟件視作法制相關。4GB/TXXXXX—XXXX非法制相關的軟件應經過保護性接口授權與法制相關的軟件部分進行數據交互，保護性接口至少應具備身份認證功能。5.5數據存儲與傳輸5.5.1通用要求儀表軟件應采用身份認證、數字簽名、MAC驗證等手段保護數據，以保證測量數據和測量時間有關信息的真實性、正確性、完整性。時間戳應從儀表的內部時鐘上讀取，并采用一致的格式。設置時鐘（廣播校時除外）視為法制相關參數的修改，應按5.3要求采取適當保護方法。5.5.2數據存儲儀表應具備存放電能值的數據域，當電能計量發(fā)生時，該數據域所記錄的值應能正確地更新，并定時或定量存儲到非易失性存儲器中。儀表應確保在數據存儲周期結束前，不發(fā)生數據覆蓋。如果儀表法制相關測量值要用于其它測量值（如：費率電能、最大需量等）的計算，法制相關測量值應自動存儲。5.5.3數據傳輸儀表通信通道傳輸數據應互不干擾，且不應影響儀表計量功能。法制相關數據的傳輸應采用明文+MAC、密文、密文+MAC或明文+隨機數+MAC等方式，實現數據機密性和完整性保護。5.6維護和升級5.6.1通用要求軟件升級僅適用于非法制相關的軟件。軟件升級分加載、安裝/激活兩步進行。軟件升級應滿足以下要求：a)不應影響電能測量與數據存儲。b)不應影響法制相關軟件運行。5.6.2軟件加載軟件升級可支持本地加載或遠程加載。軟件加載應滿足以下要求：a)在加載前，儀表應采用身份認證等方式鑒別操作者身份。b)儀表軟件應能識別并判斷待加載軟件與儀表運行的軟件、硬件版本兼容性。c)通過驗證簽名等技術方法保證加載軟件的真實性，確保加載軟件源自授權方。d)通過驗證校驗和或哈希值等技術方法保證加載文件的完整性，確保加載軟件未被篡改。e)加載文件傳輸過程中宜采用加密方式傳輸。f)采用遠程加載時，應支持斷點續(xù)傳功能。5.6.3軟件安裝/激活軟件安裝和激活可分別進行或合并進行，安裝/激活應滿足以下要求：5GB/TXXXXX—XXXXa)只有在加裝軟件的真實性、完整性檢查合格之后，才允許儀表安裝/激活當前加載的軟件，否則應維持原有軟件版本運行。b)若軟件安裝/激活不成功，或升級成功但發(fā)現其他異常，或升級過程中檢測到硬件故障（如程序存儲器故障）時，應能恢復到之前運行的版本，并記錄升級失敗的原因。c)在安裝/激活過程中發(fā)生掉電事件，上電后應繼續(xù)完成安裝/激活。d)儀表應能支持在加載完成后立即進行安裝/激活，也能支持在指定時刻進行自動安裝/激活。5.6.4升級記錄儀表應通過事件記錄方式來保證升級過程可追溯。升級記錄應至少包含以下內容：——升級過程的成功/失?。弧惭b軟件版本的軟件標識；——原安裝版本的軟件標識；——升級事件的時間戳；——授權方信息。操作者身份認證通過，且軟件、硬件版本兼容性檢查合格之后，每一次升級無論成功與否，都應生成一條記錄。5.7事件記錄儀表的事件記錄空間應保證每類記錄至少存儲10條，按照先入先出方式進行記錄。儀表軟件升級事件、電表清零事件應永久記錄，不允許修改或清零。在不破壞儀表封印或未授權的情況下，其他事件記錄不能修改或清零。儀表的事件記錄應至少包括：——非法制相關軟件修改記錄；——設備專有參數修改記錄；——電能、最大需量數據清零記錄；——軟件升級記錄；——重大缺陷監(jiān)測記錄。5.8軟件比對儀表軟件應支持通過RS485、紅外或藍牙等接口抄讀儀表內部程序進行軟件比對，比對方法參見附錄E。5.9故障監(jiān)測儀表軟件宜具有發(fā)現儀表故障的能力，并生成事件記錄。儀表軟件可監(jiān)測的故障包括但不限于：——計量故障；——電池欠壓；——時鐘故障；——存儲器故障。6驗證方法6GB/TXXXXX—XXXX6.1軟件標識a)對軟件標識無法通過命令展示或通過操作顯示出來的儀表，直接讀取儀表的銘牌，驗證是否能按照5.1的要求進行標識。b)儀表在正常運行條件下，通過命令、操作檢查儀表的軟件標識，驗證儀表的軟件標識是否能按照5.1的規(guī)定進行可視化展示。c)儀表在正常運行條件下，通過命令對儀表非法制相關軟件進行維護或升級操作，對操作前后儀表的軟件標識進行對比，驗證是否能按照5.1的要求進行標識。6.2軟件保護6.2.1預防誤操作儀表在正常運行條件下，通過用戶接口或者傳輸通道模擬誤操作，驗證儀表的法制相關軟件、設備專有參數、存儲的計量數據、傳輸的數據是否受到影響，是否符合5.2的規(guī)定。6.2.2防止欺詐a）儀表在正常運行條件下，處于禁止編程狀態(tài)，對儀表法制相關軟件、計量數據等進行修改，驗證是否符合5.2的規(guī)定。b）儀表在正常運行條件下，處于編程狀態(tài)，對儀表法制相關軟件、計量數據等進行修改，驗證是否符合5.2的規(guī)定。c）儀表在正常運行條件下，處于編程狀態(tài)，對儀表非法制相關軟件進行參數設置或軟件升級等操作時，驗證是否按5.2的規(guī)定記錄相關事件。6.3參數保護a）儀表在正常運行條件下，處于禁止編程狀態(tài)時，對儀表進行參數更新等操作，驗證是否符合5.3的規(guī)定。b）儀表在正常運行條件下，處于編程狀態(tài)時，修改設備專有參數后檢查事件記錄，包括參數的標識、參數值（當前值或之前值）和時間戳，驗證是否符合5.3的規(guī)定。6.4軟件分離和接口a）對于法制相關軟件和非法制相關軟件實現分離的儀表，將儀表非法制相關軟件卸載或停止運行，或將安裝非法制相關軟件的模塊拔出，檢查儀表是否正常計量，是否符合5.4的規(guī)定。b）驗證儀表軟件保護性接口是否具備身份認證功能，身份認證通過后，儀表可修改的設備專用參數是否允許進行參數設置；身份認證不通過時，儀表可修改的設備專用參數是否不允許參數設置。6.5數據存儲與傳輸6.5.1計量數據存儲的完整性儀表在正常運行條件下，驗證儀表的計量數據存儲的完整性，通過通信接口和顯示器讀取儀表存儲數據，至少能夠存儲以下數據：具有正確分辨力的計量值、計量單位、計量時間，驗證是否符合5.5的規(guī)定。6.5.2計量數據存儲的真實性7GB/TXXXXX—XXXX儀表在正常運行條件下，分別通過不同的通信接口和顯示器讀取儀表存儲的數據，存儲數據和抄讀的數據應保持一致，驗證是否符合5.5的規(guī)定。6.5.3法制相關數據的傳輸儀表在正常運行條件下，通過命令抄讀法制相關數據，對傳輸數據包進行檢查，驗證是否符合5.5的規(guī)定。6.5.4時間測量數據的保護按照GB/T17215.211中7.13執(zhí)行。6.5.5自動存儲儀表在標稱電壓、標稱頻率、功率因數為1的條件下，施加不低于Itr的任意電流，運行時間不少于4h，試驗過程中，驗證儀表是否存在按鈕能中斷或禁用自動存儲。試驗結束后，驗證儀表的數據存儲是否符合5.5.2的規(guī)定。6.5.6傳輸延時儀表在標稱電壓、標稱頻率、功率因數為1的條件下，施加不低于Itr的任意電流，增加通信路由層級模擬傳輸延時，試驗過程中，檢查儀表的計量誤差是否超過相應準確度等級，驗證是否符合5.5.3的規(guī)定。6.5.7傳輸中斷儀表在標稱電壓、標稱頻率、功率因數為1的條件下，施加不低于Itr的任意電流，中斷通信，驗證傳輸中斷是否引起儀表計量數據的丟失，是否符合5.5.3的規(guī)定。6.5.8時間戳儀表在正常運行條件下，對儀表進行校時，檢查校時功能的正確性，驗證是否符合5.5的規(guī)定。6.6維護和升級6.6.1升級機制儀表在正常運行條件下，對儀表執(zhí)行至少一次軟件升級來檢查升級過程的正確性，并檢查儀表生成的升級記錄，驗證是否符合5.6.4的規(guī)定。6.6.2升級軟件的真實性儀表在正常運行條件下，對儀表發(fā)送錯誤的軟件安裝包，驗證儀表是否能阻止該軟件安裝包進行安裝。6.6.3升級軟件的完整性儀表在正常運行條件下，對儀表發(fā)送不完整的軟件安裝包，檢查儀表是否能阻止不完整軟件的安裝，驗證是否符合5.6.3的規(guī)定。6.6.4非法制相關軟件升級的影響8GB/TXXXXX—XXXX儀表在正常運行條件下，將儀表非法制相關軟件完全擦除或者在升級過程中刻意中斷，檢查儀表法制相關部分的功能是否正常運行，驗證是否符合5.6的規(guī)定。6.7事件記錄儀表在正常運行條件下，模擬儀表具備的所有事件記錄功能，事件結束后，驗證儀表所有事件記錄的發(fā)生時刻、前后凍結參數、發(fā)生次數等是否正確，是否符合5.7的規(guī)定。6.8軟件比對從儀表通信接口讀取軟件目標代碼，同留存的目標代碼進行比對，驗證是否符合5.8的規(guī)定。6.9重大缺陷監(jiān)測儀表在正常運行條件下，模擬儀表發(fā)生電池欠壓或時鐘故障、存儲器故障等重大缺陷事件，事件結束后，檢查事件記錄的正確性，包括發(fā)生時刻、前后凍結參數、發(fā)生次數等是否正確，驗證是否符合5.9的規(guī)定。1GB/TXXXXX—XXXX（規(guī)范性）軟件標識“A-B-C-D-E.YYMMDD--X-X.YYMMDD”方式進行標識，其中“ABCDE”為法制相關軟件，“XX”為非法制相關軟件,“YYMMDD”為軟件版本日期?！癤X”部分沒有標識時，則整個軟件視作法制相關。標識可通過命令展示或在開機時顯示。其中：A——廠商唯一代碼（在監(jiān)管機構注冊后取得B——法制相關（組件、子組件）軟件版本號；C——軟件主版本號（按監(jiān)管機構給定的規(guī)則由廠商確定D——軟件可執(zhí)行代碼校驗和；E——順序號（任何方式修改軟件后，E都應單調增加XX——非法制相關（組件、子組件）軟件版本號；YYMMDD——軟件版本日期，其中YY為年，MM為月，DD為日，軟件版本日期為軟件發(fā)布日期。2GB/TXXXXX—XXXX設備專有參數表B.1設備專有參數序號參數列表設備專有參數受保護的可設置的1額定電壓.2基本電流.3最小電流.4轉折電流.5最大電流.6有功準確度等級.7無功準確度等級.8電表有功常數.9電表無功常數.電表型號.制造商.生產日期.法制相關軟件標識...時區(qū)時段參數.費率參數.階梯參數.電價參數.顯示參數.通信參數.事件記錄參數.負荷記錄參數.凍結記錄參數.3GB/TXXXXX—XXXX試驗項目列表表C.1儀表軟件功能試驗項目列表序號試驗項目技術要求條款驗證方法條款1軟件標識2預防誤操作6.2.13防止欺詐6.2.24參數保護6.35軟件分離和接口6.46數據存儲與傳輸計量數據存儲的完整性6.5.17計量數據存儲的真實性6.5.28法制相關數據的傳輸6.5.39時間測量數據的保護6.5.46.5.5傳輸延時6.5.6傳輸中斷6.5.7時間戳6.5.8維護和升級升級機制6.6.1升級軟件的真實性6.6.2升級軟件的完整性6.6.3非法制相關軟件升級的影響6.6.4事件記錄6.7軟件比對6.8重大缺陷監(jiān)測6.94GB/TXXXXX—XXXX（資料性）軟件升級流程圖圖D.1儀表軟件升級流程圖5GB/TXXXXX—XXXX軟件比對方法E.1保護區(qū)要求儀表軟件中的保護區(qū)應滿足如下要求：a)保護區(qū)宜在連續(xù)的存貯空間內，特殊情況可劃出兩塊保護區(qū)；b)保護區(qū)不應含有可執(zhí)行的程序代碼或未用的存貯空間；c)賦值程序代碼不應存放在保護區(qū)。E.2保留區(qū)要求保留區(qū)不應多于8個。5.3邊界處理要求儀表軟件對邊界的處理應滿足如下要求：a)嵌有安全模塊的儀表在比對數據起始地址到邊界（含邊界）的數據長度不足256個字節(jié)時，應進行補位處理補足256個字節(jié)；b)嵌有安全模塊的電儀表在比對因子起始地址到邊界（含邊界）的數據長度不足16個字節(jié)時，應進行補位處理補足16個字節(jié)；c)未嵌安全模塊的儀表在比對數據起始地址或比對因子起始地址到邊界（含邊界）的數據長度不足256個字節(jié)時，應進行補位處理補足256個字節(jié)；d)補位處理時應滿足先補結束符0x80，剩余字節(jié)補0x00的要求。E.3儀表軟件加密流程圖E.1儀表軟件加密處理流程圖6GB/TXXXXX—XXXXE.4內嵌安全