吴 瀛 吕家圣 陈 禾 王 磊

(1.中国南方电网超高压输电公司检修试验中心，广州 510663；2.中国计量科学研究院，北京 100013 )

0 引言

目前，电能表型式评价中采用的实验方法和评价标准是与IEC标准相一致的，包括了计量性能试验、电磁兼容性能试验、机械性能试验、环境试验、阳光辐射试验和防尘防水试验等。这些实验项目基本满足了检测电能表硬件特性的需求。随着我国智能电能表的大量推广应用，电能表中的软件需要完成大量复杂的工作，实现如复费率功能、预付费功能、电压电流测量功能、报警功能、数据保护功能和电量提示功能等。电能表中软件的作用愈发突出，而对于电能表中越来越复杂的软件，却没有相应的评价方法和要求。OIML TC12技术委员会在IR46的修订工作中也关注到这个问题。修订工作组认为，电能表中的控制软件也应该属于电能表型式中的一部分，电能表中的软件需要进行相应的型式评价工作。因此，IR46修订版中加入了软件评价的要求和试验方法。随着IR46最终发布，我国也将会等同采用，它将会直接转化为国内型式评价机构所必须采用的标准。因此，及时关注IR46修订版中软件型评要求，并在国内同步开展相关研究工作，可以学习标准中先进的试验项目和评价方法，促进我国电能表制造水平的不断提高。

1 IR46中电能表软件型式评价要求

IR46中软件型评要求是放在计量要求这一章节中，它规定电能表应提供计量性能的保护手段。国家权威机构应决定访问软件保护，参数保护，设备检测事件记录的授权等级。

在计量软件评价项目中，IR46要求电能表能够对关键计量信息予以保护。具体要求如下：

1.1 软件标识

电能表的相关合法软件应有清晰的软件版本或其他标识。专用于法律用途的标识由多部分但至少一个部分组成。标识应与软件不可分离，并应当在操作过程中通过命令或显示来呈现。

作为例外，如满足以下三个条件，软件标识可应标印在仪表外部：

1)用户界面无任何控制能力使得软件认证在显示中体现，或显示屏技术上不具备显示软件认证功能(模拟设备或机电式计数器)。

2)电能表无界面显示软件认证。

3)电能表产品化后软件不可能改变，或只是硬件或硬件组件改变。硬件或硬件组件的制造商负责确保电表软件认证被正确的标识在电能表上。

软件认证和认证手段应在型式批准证书中描述。

1.2 软件保护

要求电能表能够防止误操作。电能表应被设计为，使无意地，偶然地，或故意地误操作的可能性降至最低。具有欺骗保护功能，相关合法软件应防止通过存储设备的交互，在未经授权情况下，对其进行修改，加载，或更改。应具有安全手段，如机械或电子封条，被要求用来确保电能表有选择性地加载软件/参数。为了不被不正当使用，只有明确记载的功能才能被用户界面激活。软件保护包括机械、电子封条和/或加密手段，使得未授权的干涉不可能或非常明显。IR46中列举了一个能满足要求的例子：测量设备的软件只有通过一个开关保护菜单，否则无法修改参数和相关合法配置。此开关被机械封存在不激活状态，使得无法修改参数和合法配置。如需修改参数和配置，必须切换开关，而这样做必须破坏封条。测量设备的软件应被设计为只有授权人才能对参数和相关合法配置进行访问。如果有人想要进入参数菜单项，他须插入含有加密认证PIN的智能卡。该设备软件能够验证PIN的真实性，并允许访问参数菜单项。此次访问会被记录在审查索引中，包括访问者身份(或至少智能卡的使用记录)。

1.3 参数保护

要求体现电能表相关法制特性参数应防止未经授权的修改。如须进行必要的核查，则该参数设置应能够被显示。电能表具体参数只能在特定的运行模式下调整或选择。这些参数应被列为受保护类型参数(不可改变)，并且只有授权人才可访问(设置参数)，如设备拥有者、修理人员。对于参数保护，采用简易密码方式不是一个可行的技术解决方案；授权人可被允许访问一组有限的设备具体参数。如一组设备特定参数，并且访问限制规则应明确描述。存储的总电量寄存器置零应被视为一个设备特定参数的修改。因此，所有设备特定参数的相关要求应适用于置零操作。当修改某一设备具体参数时，电能表应停止记录电能。

国家法规可以规定某些设备具体参数应对用户开放。在这种情况下，电能表应能自动地、非可擦除地记录设备特定参数的任何调整，如审查索引。并且设备应有能呈现记录数据。这种可追溯的手段和记录应为相关法制软件的一部分，应受到同样的保护。负责显示审查索引的软件也属于法制软件范畴。

1.4 电子设备和组件的分离

要求电能表计量的关键部件，无论是软件或硬件部分，不允许被电能表的其它部分所影响。电能表执行法制功能的子组件或电子设备应被认证、明确定义及描述。它们构成了测量系统法制部分。如执行法治功能的子组件未认证，则所有的子组件应都被视为在执行法制功能。例如：电能表中用于连接其他电子设备读出测量值的光接口。该电能表存储所有相关量值，并被其它设备读出。在这个系统中，只有电能表是法制设备。其他非法治相关的设备可连接到法制设备的接口上，该非法制设备自身的数据传输保护不是必需的。型式试验期间，应验证子组件和电子设备的相关功能和数据不会被接口的其它命令接收所影响。

1.5 软件分离

要求作为电能表软件部分的所有软件模块(程序、子程序、对象等)，执行法制功能或包含法制数据的软件，应进行认证。如果执行法制功能软件模块未能认证，则整个系统软件应被视为法制软件。如相关法制软件部分与其他部分软件进行通讯，则软件接口应被明确定义。所有通讯应通过此唯一接口，并且法制软件部分和接口应清晰描述。所有软件的法制功能和数据域应被描述，以使型式批准机构确定软件子集的正确性。形成软件接口的数据域，包括从法制软件部分输出给接口的数据域代码和从接口输入给法制软件的代码，都须清楚地定义和描述。软件接口的声明不能忽略。必须对法制软件部分中的用于激活功能或数据改变的每条命令给予明确的分配。经软件接口通讯的命令应声明和注明。只有已声明的命令才允许通过软件接口激活。制造商应编制完整的命令文件。

1.6 通讯系统中数据存储和传递

要求存储或传递的测量值应附有与法制计量相关的信息；应通过软件的方式保护这些数据的时效性、真实性和完整性，如果这些数据是通过非加密的信道接收或在非加密区读取，则在显示或进一步处理这些数据前，必须检查这些数据的时效性、真实性和完整性；如发现不符，数据应被丢弃或标记为不可用；当保存最终测量结果时，与该测量结果相关的计算值应与最终结果一道保存；当数据传输结束后或该数据通过受控设备打印后，数据可以删除；要求测量结果不受数据传输时延的影响；当传输无效时，测量数据不能丢失；电能测量不应受传输延迟的影响。如网络服务变为无效时，相关法制测量数据不应丢失。时间标记应从设备的时钟中读取。设置时钟被视为一种涉及法制性的行为，应采取适当的保护手段。在特殊领域(多费率电能表，时段电能表)必须对时间进行测量时，内部时钟应通过特殊的方法(如软件方法)减小其不确定度。

1.7 电能表软件维护和重新配置

更新电能表法制软件应被视为电能表的修改，如电能表中的软件替换成其他已批准版本的软件；电能表软件修复，当重新安装同一版本软件时或已运行的电表进行软件修改或修复，则需依照规定，进行电能表的后续检定。

当不容许对使用中电能表的软件进行升级时，可规定通过封印设施(物理开关，参数保护)，使电能表软件升级无法使用。在此种情况下，当不破坏电能表封印时，应无法升级电能表软件。当电能表软件升级对于电能表功能正确性没有影响时，电能表中软件不需要验证。只有通过型式批准试验的法制软件版本才能允许使用。

电能表升级验证要求，软件升级可本地装载，即直接装载到电能表中，或通过网络远程装载。装载和安装可为两个不同的步骤或合并为一个，工作人员应在电能表安装现场，对电能表升级的有效性进行核查。在执行电能表验证和更新保护手段之前，已更新法制软件的电能表(替换其他批准版本或重新安装)不允许被使用。

对于电能表可追溯升级的要求，软件在电能表中的生效应符合可追溯升级条款要求。如可追溯升级过程是通过一已验证的工具或设备进行软件交换，则负责人在现场不是必须的。软件升级可本地装载，即直接装载在测量设备上或通过网络远程装载。软件升级应在审查索引中记录。可追溯升级程序包括以下几个步骤：装载，完整性检查，来源检查(验证)，安装，登录和激活。

软件可追溯升级应是自动的。对于软件升级过程的实现，保护条件应符合型式评价要求。

对于实现可追溯升级的电能表，其软件应包含所有必需检查的功能。如应保证加载软件的真实性，即它来源于认证的所有者。如果加载的软件真实性检查失败，电能表应将被装载软件丢弃并使用先前版本软件或切换到非运行模式。

对于实现可追溯升级的电能表，应确保加载软件的完整性，即装载前软件不允许被修改。这可通过添加装载软件的校验和或hash值，并在装载过程中验证。如果被装载的软件验证失败，设备应将被装载软件丢弃并使用先前版本软件或切换至非运行模式，在这种模式下，测量功能应被禁用。

对于实现可追溯升级的电能表，应使用例如：审查索引，来确保设备中的相关合法软件的可追溯升级能够彻底追溯，并用于后续的验证、监控或检查。

审查索引至少应包含以下信息：升级过程的成功/失败，安装版本的软件标识，先前安装版本的软件标识，升级事件发生时间，下载部分的标识。不管成功与否，每一次的升级都应生成事件记录。

支持可追溯升级电能表的存储单元应具备充足的容量，以确保在特定领域至少可记录两次连续的法制软件可追溯升级。当达到审查索引存储上限时，应确保进一步升级不可用。

1.8 电能表事件记录检查

如电能表配备了检查功能，该功能应有记录至少100个事件的空间(或由技术机构确定的量值)，并应是先入先出的方式。在不破除封印的情况下，事件记录应不被修改或清零，或经授权的访问，例如，通过代码(密码)或特殊的设备(硬件钥匙等)。

2 重点研究方向

对于软件评价方法的研究，目前已有了相关的规范，如国际法制计量组织(OIML)的规范OIML D 31《软件控制计量器具通用要求》[1]，欧洲法制计量组织(WELMEC)的规范WELMEC 7.2《MID软件指南》[2]，国内的JJF 1182—2007《计量器具软件测评指南》[3]。这些规范的核心内容是首先分析计量器具软件需要满足的要求，接下来根据实际需求选择以何种风险等级进行验证，并且使用合适的软件验证方法进行验证。这些规范在顶层给出了进行软件评价的方法，但对于电能表这一具体而又复杂的计量器具如何实现，则必须深入研究。目前最大的难点在于各个生产电能表企业的软件编写方法各不相同，同一企业不同型号电能表的软件也会有不同，因此首先需要统一电能表软件的编写规范。在电能表软件编写规范中制定基本要求、特殊要求的内容。如在基本要求中需要考虑软件标识、算法和功能的正确性、软件保护、输入命令的过滤、预防意外和无意更改等内容。要求电能表软件提供故障检测功能，提示警告信息、实施密码保护、以及设置操作系统权限等手段；要求电能表能防止有意的欺诈性修改。在特定要求中需要考虑电能表远程抄表方式中数据交换的编写要求，如电能表计量数据的自动和长期存储要求的内容。要求电能表软件保证测量数据存储的完备性，测量数据存储的完整性和真实性，存储的容量和连续性。如在通信系统的传输中电能表软件要满足当受到网络延时和网络中断影响时，测量数据不应该丢失等；特定要求中还需考虑软件分离的要求，保证非法制相关程序不能未经许可地影响法制相关程序和参数；为了适应电能表不断增加功能的要求，特定要求中还需考虑软件升级的要求。如从本地或者从通过网络远程加载方式，在升级的过程中需要检查软件的真实性和完整性，升级完成后计量器具内的日志会写入升级记录，保证事后的控制。

在统一了电能表的软件编写规范后，还需要研究电能表软件评价方法。但由于软件的复杂性，对其进行完全的测试和进行正确性的数学推理都是不可行的，没有办法保证软件是完全没有错误的。因此，对于电能表中的软件采取何种评价方法，需要基于不大量增加开发和检测成本的同时，还能减小软件出错的可能性这一出发点。电能表软件的具体评价方法可根据软件编写规范中的通用要求、特殊要求，以及待评价的电能表具体功能，开展相应的验证方法研究。

3 展望

IR46的修订从开始关注电能表的计量性能、电磁兼容性能、储存环境性能等方面，到目前最新版中加入了对电能表软件性能的要求，反映了全世界电能领域专家对电能表认识不断深化的过程。而这些方面对我国目前智能电能表的发展，也具有重要的参考价值。

参考文献

[1] OIML D 31, General Requirement for Software Controlled Measuring Instruments.

[2] WELMEC 7.2, Software Guide(Measuring Instruments Directive 2004/22/EC).

[3] JJF 1182—2007，计量器具软件测评指南.