4.1 Общие положения
4.1.1 ПО СИ, в том числе измерительных и информационно-измерительных
систем, а также технических систем и устройств с измерительными функциями
должно соответствовать наборам общих и специальных требований.
4.1.2 Общие требования к ПО СИ включают в себя требования
- к документации;
- к структуре ПО;
- к влиянию ПО на метрологические характеристики СИ;
- к защите ПО и данных.
4.1.3 Специальные требования к ПО СИ включают в себя
- требования к разделению ПО и его идентификации;
- специальные требования к ПО (по 4.7).
4.1.4 Все требования к ПО СИ, содержащиеся в настоящем разделе,
установлены в соответствии с ГОСТ Р 8.596 и ГОСТ Р ИСО/МЭК 17025, а также
рекомендациями [1] и [2]. Далее ссылки на стандарты и рекомендации, на основе
которых сформулировано конкретное требование, не приведены.
4.2 Требования к документации
4.2.1 ПО СИ должно сопровождаться документацией, соответствующей
требованиям стандартов Единой системы программной документации.
Документация должна полно и однозначно описывать назначение, основные
функции, структуру и другие необходимые параметры и характеристики ПО.
ГОСТ Р 8.654-2009
4.2.2 Минимальный набор документов, сопровождающих ПО СИ, например,
при его аттестации, рекомендуется представлять в следующем составе:
- техническое задание по ГОСТ 19.201;
- спецификация по ГОСТ 19.202;
- описание применения по ГОСТ 19.502;
- схемы алгоритмов, программ, данных и систем по ГОСТ 19.701;
- руководство пользователя.
В перечисленных документах отображают, как минимум, следующую
информацию, необходимую для проведения аттестации ПО:
- обозначение ПО, включающее в себя его наименование, обозначение его
версии или версий его модулей;
- описание назначения ПО, его структуры и выполняемых функций;
- описание методов и способов идентификации ПО, а также его
метрологически значимых частей, функций и параметров;
- описание реализованных в ПО расчетных алгоритмов, а также их блок-
схемы;
- описание интерфейсов пользователя, всех меню и диалогов;
- описание интерфейсов связи ПО для передачи, обработки и хранения
данных (в т.ч. посредством открытых или закрытых сетей связи);
- описание реализованных методов защиты ПО и данных;
- описание способов хранения измеренных данных на встроенном, удаленном
или съемном носителе;
- описание требуемых системных и аппаратных средств, если эта информация
не приведена в руководстве пользователя.
4.2.3 В отдельных случаях при необходимости при проведении аттестации
ПО СИ его документацию рекомендуется дополнять текстами программ или их
фрагментами в соответствии с ГОСТ 19.401. При этом может быть заключен
договор о соблюдении конфиденциальности.
ГОСТ Р 8.654-2009
4.2.4 Графическая и текстовая информация в технической документации
должна быть представлена таким образом, чтобы она была пригодна для полного и
однозначного понимания.
4.3 Требования к разделению программного обеспечения и его
идентификации
4.3.1 Требования к разделению программного обеспечения
4.3.1.1 Для СИ, применяемых в сфере государственного регулирования, на
этапе разработки рекомендуется выделение метрологически значимой части ПО,
т.е. выделение той его части, которая подлежит аттестации.
П р и м е ч а н и е - Разделение ПО СИ рекомендуется проводить его
разработчикам, поскольку такое разделение предоставляет возможность
модификации метрологически незначимых частей ПО без нарушения его
соответствия утвержденному ПО. Если разделение ПО не проведено, то все оно
рассматривается как метрологически значимое.
4.3.1.2 При разделении ПО аттестации подлежат все метрологически
значимые части программы (подпрограммы, процедуры, функции и т.д.), которые
используются при обработке данных или влияют на них, или используются в таких
вспомогательных функциях, как защита, хранение и передача данных,
идентификация ПО.
4.3.1.3 Другие части программы, переменные или параметры [например,
подпрограммы, библиотеки, процедуры взаимодействия с операционной средой и
периферийными устройствами персонального компьютера (кроме СИ)] не
подлежат аттестации. Модификация указанных частей может быть выполнена без
уведомления уполномоченных органов (организаций), если изменение этих частей
не приводит к изменению идентификационных данных (признаков) ПО.
ГОСТ Р 8.654-2009
4.3.1.4 Данные, отображаемые на дисплее и/или передаваемые на устройство
печати, сформированные метрологически незначимым ПО, должны быть визуально
четко отделены от данных, получаемых из метрологически значимых частей ПО.
4.3.1.5 После испытаний СИ с целью утверждения типа метрологически
значимая часть ПО не должна изменяться, т.е. для каждого конкретного экземпляра
СИ должно быть использовано ПО, идентичное утвержденному.
Любая модификация метрологически значимой части ПО приводит к
изменению его идентификации, необходимости его повторной аттестации и
внесения изменений в описание типа СИ.
4.3.1.6 Требования к особенностям взаимодействия между метрологически
значимыми и незначимыми частями ПО изложены в 4.4.3.
4.3.2 Требования к идентификации программного обеспечения
4.3.2.1 Для проверки соответствия ПО СИ тому, которое было
зафиксировано (документировано) при испытаниях с целью утверждения типа СИ,
а также для подтверждения его целостности и подлинности должна быть проведена
идентификация ПО.
4.3.2.2 Идентификация, проводимая пользователем, может быть
осуществлена либо по его команде, либо выполнена в процессе штатного
функционирования ПО.
В случае, когда ПО СИ не поддерживает возможность идентификации
посредством интерфейса пользователя (например, СИ не обладают дисплеем),
идентификация пользователем может быть выполнена через интерфейс связи
(например, на экране персонального компьютера, подключенного к СИ).
4.3.2.3 Для получения идентификационных данных (признаков)
уполномоченными органами (организациями) необходимо предусмотреть
возможность доступа к исполняемому коду метрологически значимой части ПО с
помощью известных интерфейсов связи.
ГОСТ Р 8.654-2009
4.3.2.4 Идентификационные данные (признаки) должны иметь структуру,
которая однозначно определяет метрологически значимое ПО (используемое при
утверждении типа), а также метрологически незначимое ПО.
П р и м е ч а н и е - Идентификационные данные (признаки) ПО СИ могут
состоять из нескольких частей. Одна часть относится к метрологически значимому
ПО, она должна быть рассчитана как хэш-сумма (контрольная сумма) по значимым
частям. Вторая часть относится к метрологически незначимому ПО. Любое
изменение метрологически значимых частей ПО автоматически приводит к
изменению хэш-суммы (контрольной суммы).
4.3.2.5 Идентификация не распространяется на операционную систему и
драйверы, не относящиеся непосредственно к выполнению измерительной задачи
(например, видеодрайверы, драйверы принтера, драйверы дисков и т.п.), но
распространяется на драйверы, используемые для выполнения измерительных
задач.
4.3.2.6 Алгоритм идентификации относится к метрологически значимой
части ПО СИ.
4.3.2.7 При отсутствии или невозможности разделения ПО (см. 4.3.1)
идентификации подлежит все ПО СИ.
4.3.2.8 Техническая документация на ПО СИ должна содержать полный
перечень и изложение способов идентификации метрологически значимого ПО, а
также описание структуры идентификации и интерфейсов связи (при
необходимости).
4.4 Требования к структуре программного обеспечения
Метрологически значимое ПО СИ должно быть разработано таким образом,
чтобы его невозможно было подвергнуть искажающему воздействию через
интерфейсы пользователя и другие интерфейсы.
ГОСТ Р 8.654-2009
4.4.1 Требования к влиянию через интерфейс пользователя
4.4.1.1 Команды и данные, введенные через интерфейс пользователя СИ, не
должны оказывать недопустимого влияния на метрологически значимое ПО СИ и
данные. Следовательно, должно быть однозначное назначение каждой команды для
инициирования функции или изменения данных в соответствии с
сопроводительной технической документацией.
П р и м е ч а н и е - Команды, введенные через интерфейс пользователя СИ,
могут быть как единичными командами, так и в виде клавишных комбинаций,
выполняемых вручную.
4.4.1.2 Если ПО СИ способно воспринимать команды пользователя, то
соответствующая техническая документация ПО должна включать в себя:
- полный перечень всех команд (например, список меню) вместе с
изложением способа их организации;
- краткое описание их назначения и воздействия на функции СИ и данные.
4.4.2 Требования к влиянию через интерфейс связи
4.4.2.1 Команды и данные, полученные через интерфейс связи СИ, не
должны оказывать недопустимого влияния на метрологически значимое ПО и
данные. Следовательно, должно быть однозначное назначение каждой команды для
инициации функции или изменения данных в соответствии с сопроводительной
технической документацией.
П р и м е ч а н и е - Команды, полученные через интерфейс связи, могут
быть последовательностью электрических (оптических, электромагнитных и т.п.)
сигналов на входных и выходных каналах или кодами в протоколах передачи
данных.
4.4.2.2 Сигналы или коды, которые не документированы как команды, не
должны оказывать влияния на функции СИ и данные.
ГОСТ Р 8.654-2009
4.4.2.3 ПО или его компоненты, использующие интерфейс связи СИ для
передачи и приема данных, подлежат аттестации.
4.4.2.4 Интерфейс, который принимает и передает команды или данные
должен быть предназначен для этой цели и может управляться только посредством
метрологически значимого ПО.
4.4.2.5 Если СИ имеет интерфейс связи, то техническая документация на ПО
СИ должна включать в себя:
- полный перечень всех команд вместе с изложением способа их
организации;
- описание назначения команд и их действий на функции СИ и/или данные.
4.4.3 Требования к взаимодействию между метрологически значимыми
и незначимыми частями программного обеспечения
4.4.3.1 Обмен данными между метрологически значимыми и незначимыми
частями ПО СИ проводят через защищенный интерфейс, который охватывает как
все взаимодействия между этими частями ПО, так и прохождение данных.
4.4.3.2 Все взаимодействия между метрологически значимыми и
незначимыми частями ПО СИ и прохождение данных не должны подвергать
искажающему воздействию метрологически значимое ПО.
4.4.3.3 Должно быть однозначное назначение каждого набора команд,
переданных через интерфейс ПО СИ, для инициации функций или изменения
данных в метрологически значимом ПО.
4.4.3.4 Интерфейс должен быть полностью документирован, и никакое
другое недокументированное воздействие или прохождение данных не должно
реализоваться в частях ПО СИ, являющихся метрологически значимыми.
4.5 Требования к влиянию программного обеспечения на
метрологические характеристики средств измерений
ГОСТ Р 8.654-2009
Степень влияния ПО на метрологические характеристики СИ оценивают при
его аттестации. При этом должна быть предусмотрена возможность такой оценки с
помощью программных и метрологических тестов (например, по методикам [3],
[4]), или по другим методикам и рекомендациям аттестации ПО СИ (например, по
методикам, изложенным в рекомендациях [1], [2]).
4.6 Требования к защите программного обеспечения и данных
ПО СИ должно содержать средства обнаружения, отображения и/или
устранения сбоев (функциональных дефектов) и искажений, которые нарушают
целостность ПО и данных.
4.6.1 Требования к защите от случайных или непреднамеренных
изменений
4.6.1.1 Метрологически значимое ПО СИ и данные должны быть защищены
от случайных или непреднамеренных изменений.
П р и м е ч а н и е - Возможными причинами случайных или
непреднамеренных изменений обрабатываемой информации и измеренных данных
могут быть:
- непредсказуемые физические воздействия;
- эффекты, обусловленные действиями пользователя;
- дефекты ПО СИ.
4.6.1.2 В ПО СИ рекомендуется вводить средства защиты обрабатываемой
информации и данных от изменения или удаления в случае возникновения
непредсказуемых физических воздействий.
4.6.1.3 В ПО СИ должно содержаться требование к пользователю на
подтверждение своих действий перед изменением или удалением обрабатываемой
информации или данных, а также должно выдаваться предупреждение в случае,
ГОСТ Р 8.654-2009 если действия пользователя могут повлечь изменение или удаление
обрабатываемой информации или данных.
4.6.1.4 Должны быть предприняты необходимые меры для защиты
обрабатываемой информации и данных от непреднамеренных изменений, которые
могут происходить из-за некорректного программного исполнения или сбоев в
работе операционной системы.
4.6.1.5 ПО СИ должно содержать средства обнаружения, оповещения
пользователя и фиксации в соответствующем журнале событий различного рода
сбоев и иных изменений случайного или непреднамеренного характера.
4.6.1.6 В технической документации на ПО СИ должны быть описаны все
меры, принимаемые для защиты метрологически значимого ПО и измеренных
данных от случайных или непреднамеренных изменений.
4.6.2 Требования к защите от преднамеренных изменений программного
обеспечения
4.6.2.1 ПО СИ должно быть защищено от несанкционированной
модификации, загрузки или считывания данных из интегрированной памяти.
4.6.2.2 Для СИ без интерфейса для предотвращения удаления и замены
запоминающего устройства другим, содержащим фальсифицированное ПО или
данные, конструкцией прибора или непосредственно физической памятью должна
быть предусмотрена защита от несанкционированного удаления.
4.6.2.3 Интерфейс, при его наличии должен обладать только такими
функциями, которые могут быть подвергнуты проверке.
4.6.2.4 Метрологически значимая часть ПО СИ и данные должны быть
защищены от несанкционированной модификации.
П р и м е ч а н и е - Достаточно защищенными считаются данные,
обрабатываемые только метрологически значимым ПО.
4.7 Специальные требования к программному обеспечению
ГОСТ Р 8.654-2009
Специальные требования к ПО СИ применяются в тех случаях, когда в нем
используются такие информационные технологии как загрузка, долговременное
сохранение данных, их передача и программное разделение ПО. Специальные
требования к разделению ПО рассмотрены в 4.3.1.
4.7.1 Требования к обновлению (загрузке) программного обеспечения
4.7.1.1 ПО СИ может предусматривать обновление (загрузку), требуемое,
например, при обнаружении и исправлении ошибок в ПО, при
расширении/модификации его функций, при обновлении служебных программных
модулей (драйверы, библиотеки и т.п.). Обновление метрологически значимой
части ПО вызывает изменение его идентификационных данных (признаков), что, в
свою очередь, требует проведения повторной аттестации ПО.
4.7.1.2 ПО СИ может быть обновлено с помощью известных интерфейсов
связи.
4.7.1.3 Модули ПО СИ, обеспечивающие обновление, относятся к
метрологически значимому ПО. Они должны быть недоступны для обновления и
содержать функции, обеспечивающие проверку соответствия требованиям по
загрузке ПО.
4.7.1.4 Обновление ПО СИ не должно приводить к изменению или
нарушению уровня его защиты.
П р и м е ч а н и е - Все данные (информация) об обновлении ПО следует
фиксировать. Запись об обновлении создается при каждой его инициации, вне
зависимости от его результата, а также вне зависимости от загружаемой части, т.е.
вне зависимости от того, относится ли обновляемая часть к метрологически
значимому ПО или не относится. К данным об обновлении, как минимум,
относятся: дата загрузки, результат загрузки (успешно/ошибка, включая код
ошибки), прежнее и новое значение идентификации, данные об источнике загрузки.
ГОСТ Р 8.654-2009
4.7.1.5 Процесс загрузки не должен влиять на функционирование
метрологически значимых функций ПО СИ.
П р и м е ч а н и е - Техническими средствами должна быть обеспечена
корректная работа ПО в процессе загрузки или приостановка его действия на
период загрузки. Выполнение ПО метрологически значимых функций должно
иметь приоритет перед функцией загрузки.
4.7.1.6 ПО СИ, предусматривающее возможность обновления, должно
содержать средства проверки подлинности загружаемого ПО.
4.7.1.7 ПО СИ может быть обновлено только после успешной проверки его
подлинности.
П р и м е ч а н и е - Подлинность загружаемого ПО должна быть проверена
перед началом загрузки. В случае если проверка подлинности показала
отрицательный результат, ПО прерывает загрузку с записью данных о попытке
загрузки.
4.7.1.8 ПО СИ, предусматривающее возможность обновления, должно
содержать средства проверки целостности загружаемого ПО, т.е. проверки того,
что оно не было изменено в процессе загрузки.
П р и м е ч а н и е - Проверка целостности загружаемого ПО может быть
обеспечена, например, добавлением хэш-суммы (контрольной суммы)
загружаемого обновления с проверкой значения контрольной суммы в начале и по
окончании загрузки.
4.7.2 Требования к хранению данных и их передаче через сети
коммуникации
4.7.2.1 В случаях, когда метрологически значимое ПО СИ использует
данные, полученные вне места проведения измерений, возможны передача и
хранение таких данных в незащищенной среде. В таких случаях к ПО и данным
необходимо предъявлять требования 4.7.2.2 - 4.7.2.5.
ГОСТ Р 8.654-2009
4.7.2.2 Сохраняемые или передаваемые данные должны содержать
необходимую информацию об измерении, в процессе которого они были получены.
П р и м е ч а н и е - Данные об измерениях, как минимум, должны содержать:
- измеренные значения, включая единицы измерения,
- время измерения,
- идентификацию СИ или ПО, которое было использовано для получения
этих данных.
4.7.2.3 Данные должны быть защищены с помощью средств,
обеспечивающих их подлинность и целостность.
4.7.2.4 ПО СИ, использующее данные, полученные вне места проведения
измерений, должно иметь средства проверки подлинности и целостности.
Использование данных, полученных вне места проведения измерений, возможно
только после успешной проверки и подтверждения их подлинности и целостности.
П р и м е ч а н и е - Части ПО, обрабатывающие данные для последующего
хранения или передачи по сетям коммуникации, а также выполняющие проверку
подлинности, целостности и времени получения данных, относятся к
метрологически значимым.
4.7.2.5 ПО СИ должно содержать средства защиты данных от прерывания
передачи. В случае повреждения сети передачи данные не должны быть потеряны.
ГОСТ Р 8.654-2009
Библиография
[1] OIML D 31 Edition 2008 (E) General requirements for software controlled
measuring instruments. (Общие требования к программному обеспечению,
контролирующему средства измерений)
[2] WELMEC 7.2. Issue 1. Software Guide (Measuring Instruments Directive
2004/22/EC) May 2005. (Руководство по программному обеспечению
(Директива 2004/22/EC на средства измерений))
[3] МИ 2174 - 91 Государственная система обеспечения единства измерений.
Аттестация алгоритмов и программ обработки данных при измерениях.
Основные положения
[4] МИ 2955 - 2005 Государственная система обеспечения единства
измерений. Типовая методика аттестации программного обеспечения
средств измерений и порядок ее проведения
ГОСТ Р 8.654-2009
19
УДК 389.14: 006.354 ОКС 17.020 Т80
Ключевые слова: средство измерений, программное обеспечение средств
измерений, измерительная система, аттестация программного
обеспечения