S-EG-05 — Norme visant l’approbation des appareils de mesure de l’électricité et du gaz commandés par logiciel

Catégorie : Électricité et gaz
Norme : S-EG-05
Date de diffusion : 2011-11-07
Entrée en vigueur : 2011-11-07

Table des matières

1.0 Objectif

La présente norme a pour but d'énoncer les exigences relatives à la conception, à la fabrication, au rendement et au scellage ou à la sécurité des compteurs aux fins d'approbation de compteurs d'électricité et de gaz commandés par logiciel. La présente norme énonce aussi les exigences relatives à l'approbation des appareils de mesure destinés à accepter des mises à jour de logiciels et de paramètres juridiquement pertinents ou non pertinents sans qu'il ne soit nécessaire d'enlever ni de revérifier les appareils en question.

2.0 Domaine d'application

La présente norme s'applique aux compteurs d'électricité et de gaz commandés par logiciel ainsi qu'aux dispositifs auxiliaires électroniques approuvés par Mesures Canada en vertu de la Loi et du Règlement sur l'inspection de l'électricité et du gaz. Le présent document traite de la sécurité, des mises à jour de logiciels, des paramètres configurables ainsi que d'autres éléments connexes liés au logiciel installé dans un appareil approuvé.

3.0 Autorité

La présente norme provisoire est diffusée en vertu de l'article 12 du Règlement sur l'inspection de l'électricité et du gaz (RIEG).

4.0 Références

4.1 Loi sur l'inspection de l'électricité et du gaz (L.R., 1985, ch. E-4), art. 28.

4.2 Règlement sur l'inspection de l'électricité et du gaz (DORS/86-131), art. 12.

4.3 Normes sur les consignateurs d'événements pour les appareils de mesure de l'électricité et du gaz

4.4 Security Requirements for Cryptographic Modules, Federal Information Processing Standards, Publication 140-2.

5.0 Terminologie

Appareil

Compteur approuvé par Mesures Canada ou système de mesure incorporant un ou plusieurs compteurs approuvés.

Appareil configurable

Appareil conçu pour que l'information provenant de ses signaux d'entrée servant au mesurage puisse être sélectionnée et/ou traitée différemment selon les différentes applications de mesure. Un appareil configurable comprend les appareils qui ont été approuvés pour permettre la suppression, l'ajout, la modification ou le remplacement, en tout ou en partie, de paramètres juridiquement pertinents, directement par l'utilisateur autorisé ou par tout type de lien de communication à partir d'un autre dispositif, par exemple une console ou un ordinateur situé localement ou à distance, que le dispositif secondaire fasse ou non partie du réseau qui relie les appareils.

Attestation

Document ayant force obligatoire par lequel on déclare solennellement par écrit qu'une exigence particulière de la présente norme est respectée et que cette déclaration constitue une représentation exacte des faits comme l'atteste le signataire.

Authentification

Vérification de l'identité déclarée ou alléguée d'un utilisateur, d'un processus ou d'un appareil (p. ex. vérification que le logiciel téléchargé est légitimement lié au demandeur ou au fabricant indiqué dans l'avis d'approbation).

Authenticité

Résultat du processus d'authentification (réussite ou échec).

Autorité de certification

Organisme fiable qui délivre des certificats numériques servant à créer des paires de clés numériques

publique-privée.

Certificat cryptographique

Ensemble de données comprenant la clé publique d'un appareil de mesure et une identification unique du sujet. L'ensemble de données est signé par une institution fiable au moyen d'une signature numérique. L'attribution d'une clé publique à un sujet peut être vérifiée par le déchiffrement de la signature du certificat à l'aide de la clé publique de l'institution fiable.

Clé privée

Clé secrète utilisée pour le chiffrement asymétrique. Elle est mathématiquement équivalente à une clé publique, mais elle est secrète. Une clé privée représente la moitié d'une paire de clés.

Clé publique

Clé distribuée publiquement utilisée pour le chiffrement asymétrique. Elle est mathématiquement équivalente à une clé privée, mais elle est distribuée à grande échelle. Les clés publiques sont souvent certifiées par une autorité de certification pour que les utilisateurs de la clé puissent en vérifier l'authenticité.

Code haché

Code calculé d'après le contenu d'un sujet. Le code haché peut être utilisé pour prouver que le contenu d'un sujet n'a pas été modifié.

Configuration

Action de régler les paramètres juridiquement pertinents.

Consignateur d'événements

Type de registre électronique d'événements sécurisé contenant une série d'enregistrements incorporant le numéro correspondant à un événement ou à la modification d'un paramètre juridiquement pertinent.

Événement déclencheur de vérification

Tout événement qui nécessite, selon Mesures Canada, une vérification de l'appareil avant que ce dernier puisse être utilisé ou continuer d'être utilisé dans le commerce. L'enregistrement d'un événement déclencheur de vérification est analogue à un bris de sceau et il doit entraîner les mêmes ramifications et conséquences.

Fonction de hachage

Fonction mathématique qui répartit les valeurs d'un domaine étendu dans une zone restreinte par la création d'un code haché. Une bonne fonction de hachage fait en sorte que l'application de la fonction à un grand ensemble de valeurs dans un domaine donne des résultats distribués uniformément (et apparemment, de façon aléatoire) dans toute la zone.

Interface

Frontière commune entre deux unités fonctionnelles définie par diverses caractéristiques relatives aux fonctions, aux interconnexions mécaniques, aux échanges de signaux et à toute autre caractéristique de ces unités (le cas échéant).

Interface logicielle

Interface constituée du code de programme et d'un domaine spécialisé. L'interface reçoit, filtre ou transmet les données entre les modules logiciels (qui ne sont pas nécessairement juridiquement pertinents).

Interface utilisateur

Interface qui permet l'échange d'information entre un humain et l'appareil de mesure ou ses composants matériels ou logiciels. Tous les signaux d'entrée provenant de l'interface utilisateur sont dirigés vers un programme qui les filtre. Ce programme n'admet que les signaux attestés et supprime tous les autres. Ce programme ou ce module logiciel fait partie du logiciel juridiquement pertinent.

Juridiquement pertinent

Logiciel, matériel, données ou partie de ces derniers qui influent sur des propriétés régies par la métrologie légale.

Logiciel

Terme générique comprenant le code, les données et les paramètres du programme. Le logiciel comprend aussi ce que l'on appelle souvent un micrologiciel.

Mise à jour traçable

Procédure utilisée pour modifier un logiciel juridiquement pertinent ou juridiquement non pertinent dans un appareil vérifié qui, après l'installation, ne nécessite pas de vérification subséquente par une partie responsable.

Module de sécurité matériel

Appareil sécurisé renfermant des capacités cryptographiques, normalement des clés privées utilisées dans le domaine de la cryptographie à clés.

Module logiciel

Entités logiques comme les programmes, les sous-programmes, les bibliothèques et les objets, y compris les domaines de données, qui peuvent être liées à d'autres entités. Le logiciel des appareils de mesure, des appareils électroniques ou des sous-ensembles comprend un ou plusieurs modules logiciels.

Moyen cryptographique

Chiffrement des données par l'expéditeur (programme d'expédition ou de stockage) et déchiffrement par le destinataire (programme de lecture) dans le but de protéger l'information contre l'accès non autorisé. Signature électronique des données qui permet au destinataire ou à l'utilisateur des données de vérifier l'origine de ces dernières (c.-à-d. pour prouver leur authenticité).

Nota : Normalement, on utilise un système de clé publique pour la signature électronique, ce qui signifie que l'algorithme nécessite une paire de clés dont l'une doit être secrète et l'autre peut être publique. L'expéditeur (le programme d'expédition ou de stockage) produit un code haché des données et le chiffre au moyen de la clé secrète. Le résultat est la signature. Le destinataire (le programme de réception ou de lecture) déchiffre la signature au moyen de la clé publique de l'expéditeur et compare le résultat avec le code haché réel des données. Si les deux codes sont identiques, les données sont authentifiées. Le destinataire peut avoir besoin d'un certificat cryptographique de l'expéditeur pour être certain de l'authenticité de la clé publique.

Paramètre d'étalonnage

Tout paramètre réglable qui peut influer sur l'exactitude du mesurage d'un appareil.

Paramètre configurable

Tout paramètre d'un appareil configurable qui peut être réglé ou sélectionné et qui peut avoir une incidence sur la précision de l'appareil ou augmenter considérablement le risque d'utilisation frauduleuse de l'appareil et qui, d'après sa nature, pourrait devoir être mis à jour régulièrement ou seulement au moment d'installer l'appareil ou de remplacer un composant.

Paramètre juridiquement pertinent

Paramètre d'un appareil de mesure, d'un appareil électronique ou d'un sous-ensemble soumis à un contrôle juridique. Les paramètres juridiquement pertinents font habituellement partie des fonctions juridiquement pertinentes d'un appareil. On reconnaît les types de paramètres juridiquement pertinents suivants : paramètres propres à un type et à un appareil. Aux fins de la présente norme, les paramètres juridiquement pertinents sont les paramètres qui, seuls ou en tant que partie d'une fonction, sont soumis à une vérification en vertu de la Loi sur l'inspection de l'électricité et du gaz.

Paramètre métrologique

Constante, facteur ou algorithme utilisé par un appareil pour produire des résultats aux fins de mesurage commercial.

Paramètre propre à l'appareil

Paramètre juridiquement pertinent dont une valeur dépend de l'appareil. Les paramètres propres à un appareil comprennent les paramètres d'étalonnage, les paramètres métrologiques et les paramètres de configuration.

Paramètre propre au type

Paramètre juridiquement pertinent dont une valeur dépend du type d'appareil. Les paramètres propres au type ont des valeurs identiques pour tous les modèles d'un type approuvé et ils sont déterminés à l'approbation de type de l'appareil.

Partie juridiquement pertinente d'un logiciel

Partie d'un module logiciel d'un appareil électronique ou d'un sous-ensemble d'un appareil de mesure qui est juridiquement pertinente.

Partie fixe du logiciel juridiquement pertinent

Partie du logiciel juridiquement pertinent dont le code exécutable est et demeure identique au code exécutable du type approuvé.

Signature (numérique)

Résultat du chiffrement (au moyen d'une clé privée) d'un code haché produit par la fonction de hachage de l'expéditeur. Le destinataire peut avoir besoin d'un certificat cryptographique de l'expéditeur pour être certain de l'authenticité de la clé publique.

Séparation logicielle

Séparation physique ou logique d'un logiciel en modules logiciels ou en parties de logiciel qui communiquent par une interface logicielle. Le logiciel qui a été séparé en modules ou en parties comprend des identificateurs uniques qui permettent à ces derniers d'être gérés et commandés individuellement.

Sous-ensemble

Partie d'un appareil électronique qui utilise des composants électroniques et qui comprend une fonction reconnaissable qui lui est propre.

Vérification de l'intégrité (programmes, données ou paramètres)

Certitude que les programmes, les données ou les paramètres n'ont pas fait l'objet de modifications non autorisées ou involontaires pendant leur utilisation, leur transmission, leur stockage, leur réparation ou leur maintenance.

6.0 Politique

6.1 Généralités

6.1.1 La mise à jour ou le rechargement d'un logiciel dans un appareil vérifié est considéré comme un événement déclencheur de vérification. Cette intervention équivaut à briser le sceau d'un appareil, sauf si ce dernier a été conçu et fabriqué conformément aux exigences de la présente norme.

6.1.2 Un appareil qui respecte les exigences relatives à la conception, à la fabrication et au rendement d'un appareil aux fins d'approbation qui portent sur une mise à jour traçable (art. 7.0) peut être approuvé comme étant capable de mettre à jour son logiciel juridiquement pertinent ou juridiquement non pertinent sans qu'il ne soit nécessaire de retirer ni de revérifier l'appareil.

6.1.3 Un appareil qui ne respecte pas les exigences relatives à la conception, à la fabrication et au rendement d'un appareil aux fins d'approbation prescrites en 7.0, mais qui respecte les exigences relatives à la conception, à la fabrication et au rendement de l'article 8.1, peut être approuvé comme ayant la capacité de mettre à jour son logiciel juridiquement non pertinent sans qu'il ne soit nécessaire de retirer ni de revérifier l'appareil.

6.1.4 Dans le cas où les mises à jour du logiciel sont permises conformément aux exigences de la présente norme, ces mises à jour peuvent être effectuées localement (directement sur l'appareil) ou à distance si l'appareil est relié à un réseau. Dans les deux cas, la mise à jour doit se faire automatiquement sans intervention humaine une fois le processus lancé.

6.1.5 Une fois que le logiciel a été mis à jour, la protection par logiciel doit demeurer la même, comme il est prescrit dans l'approbation de type ou la présente norme.

6.2 Logiciel juridiquement pertinent

6.2.1 Tous les modules logiciels (programmes, sous-programmes, objets, etc.) qui exécutent des fonctions juridiquement pertinentes ou qui comprennent des domaines de données juridiquement pertinents constituent la partie juridiquement pertinente du logiciel d'un appareil. Plus particulièrement, cette partie comprend tous les modules logiciels qui :

  1. contribuent au calcul d'une unité de mesure légale ou ont une incidence sur ce dernier;
  2. influent sur certaines fonctions comme l'affichage, la sécurisation et le stockage de données juridiquement pertinentes;
  3. identifient le logiciel, ou
  4. exécutent le téléchargement du logiciel.

6.2.2 Toutes les variables ou tous les paramètres fixes qui ont une incidence sur l'établissement d'une unité de mesure légale font partie du logiciel juridiquement pertinent.

6.3 Séparation logicielle

6.3.1 Un logiciel ou des parties de logiciel juridiquement pertinents peuvent être séparés d'un logiciel ou de parties de logiciel juridiquement non pertinents. La séparation logicielle exige que les parties séparées comportent un identificateur unique qui permet de les gérer et de les commander. Si la séparation d'un logiciel ou de parties de logiciel est impossible ou inutile, le logiciel dans sa totalité est juridiquement pertinent.

6.3.2 Les interactions, les communications et les flux de données qui passent par une interface logicielle juridiquement pertinente doivent tous être dûment décrits conformément à 11.2 a)(ii).

6.4 Modification de paramètres juridiquement pertinents

6.4.1 Il faut protéger l'accès à un paramètre juridiquement pertinent au moyen d'un sceau ou le sécuriser au moyen d'un consignateur d'événements.

6.4.2 Toutes les modifications apportées à des paramètres juridiquement pertinents propres à un appareil (qui font partie d'une fonction approuvée) constituent des événements déclencheurs de vérification, sauf si la modification est une reconfiguration qui entraîne le remplacement d'un paramètre juridiquement pertinent vérifié antérieurement par un autre paramètre juridiquement pertinent vérifié antérieurement.

6.4.3 Lorsqu'un appareil configurable comprend une fonction juridiquement pertinente qui a été approuvée en tant que fonction destinée à être utilisée avec des paramètres configurables situés dans une plage approuvée, tous les paramètres distincts qui se trouvent dans la plage approuvée sont juridiquement pertinents et ils doivent être considérés comme ayant été vérifiés pendant la vérification de l'appareil.

6.4.4 L'avis d'approbation d'un appareil configurable doit indiquer :

  1. les dispositions autorisées visant le scellage et la sécurisation efficaces de l'appareil;
  2. les paramètres juridiquement pertinents propres à l'appareil qui peuvent être reconfigurés sans qu'il soit nécessaire de revérifier l'appareil.

6.4.5 Les paramètres juridiquement pertinents programmés d'un appareil doivent se trouver dans l'appareil.

6.4.6 Il est interdit de modifier des paramètres juridiquement pertinents propres à un type.

6.4.7 La modification de paramètres d'étalonnage, de paramètres qui dépendent du matériel, de facteurs de configuration d'un compteur en service et de tout paramètre protégé par un sceau constitue un événement déclencheur de vérification.

6.4.8 Lorsque la modification ou la reconfiguration d'un paramètre est permise conformément aux exigences de la présente norme, elles peuvent être effectuées localement (directement sur l'appareil) ou à distance par un réseau.

7.0 Modification du logiciel ou des paramètres juridiquement pertinents ou juridiquement non pertinents à l'aide d'une mise à jour traçable

7.1 Généralités

7.1.1 La mise à jour du logiciel ne doit pas influencer le rendement de l'appareil et les mesures prises par l'appareil doivent être aussi exactes qu'avant la mise à jour.

7.1.2 Lorsqu'un appareil a été approuvé avec la capacité de modifier son logiciel juridiquement pertinent au moyen d'une mise à jour traçable (conformément aux exigences du présent article), cette dernière ne doit pas être classée comme un événement déclencheur de vérification.

7.1.3 Un appareil approuvé comme ayant la capacité d'effectuer des mises à jour traçables doit incorporer un logiciel fixe juridiquement pertinent qui ne peut pas être mis à jour pendant une mise à jour traçable (c.-à-d. le logiciel fixe juridiquement pertinent ne doit pas faire partie du logiciel téléchargé). Le logiciel fixe juridiquement pertinent doit comporter une fonction de vérification de l'authenticité et une fonction de vérification de l'intégrité qui est applicable au logiciel qui tente de se charger dans l'appareil (conformément aux articles 7.2 et 7.3)

7.1.4 L'avis d'approbation publié par Mesures Canada pour un appareil approuvé doté d'une capacité de mise à jour traçable doit indiquer les numéros de version du logiciel et les codes hachés des parties du logiciel juridiquement pertinent de même que la partie fixe du logiciel juridiquement pertinent.

7.1.5 Lorsqu'un appareil est approuvé avec une capacité de mise à jour de logiciel traçable, des mises à jour traçables peuvent être utilisées pour réinstaller ou mettre à jour le logiciel approuvé juridiquement pertinent ou pour modifier des paramètres configurables juridiquement pertinents (conformément aux exigences de l'article 6.4).

7.1.6 Les mises à jour traçables peuvent être utilisées pour mettre à jour des logiciels juridiquement pertinents et non pertinents, cependant, des mises à jour traçables doivent être utilisées pour mettre à jour des logiciels juridiquement non pertinents lorsque les exigences de l'article 8.1 ne sont pas respectées.

7.2 Vérification de l'authenticité

7.2.1 La conception et la fabrication de l'appareil doivent comprendre des moyens techniques pour garantir l'authenticité du logiciel qui tente de se charger dans l'appareil. Avant la mise à jour du logiciel, l'appareil doit effectuer une vérification de l'authenticité pour s'assurer que le logiciel est légitimement lié au demandeur ou au fabricant indiqué dans l'avis d'approbation.

7.2.2 Il faut effectuer une vérification de l'authenticité par des moyens cryptographiques qui utilisent une clé publique et un système de signature (voir l'annexe A ou B). La clé publique doit faire partie du logiciel ou du logiciel fixe juridiquement pertinent.

7.2.3 Le module de sécurité matériel utilisé pour protéger les clés privées et délivrer les signatures ou les certificats doit respecter ou dépasser les exigences de sécurité applicables du document FIPS 140-2 (voir 4.4) ou une norme équivalente de sécurité reconnue et appropriée.

7.2.4 Lorsque le logiciel qui tente de se charger dans un appareil ne réussit pas la vérification de l'authenticité, l'appareil doit être conçu pour mettre fin au chargement et s'assurer qu'il conserve la version antérieure approuvée du logiciel. L'appareil peut aussi se mettre dans un mode inactif qui paralyse les fonctions de mesurage. Toutefois, le téléchargement peut être recommencé, conformément aux exigences relatives à la mise à jour traçable.

7.3 Vérification de l'intégrité

7.3.1 Un appareil doit être conçu et fabriqué de manière à comporter des moyens techniques pour garantir l'intégrité du logiciel chargé.

7.3.2 L'appareil doit effectuer une vérification de l'intégrité au moyen d'une fonction de hachage cryptographique qui a pour but de comparer la valeur hachée produite pour le logiciel à installer à la valeur hachée contenue dans le certificat ou la signature reçue (voir l'annexe D ou F).

7.3.3 Lorsque le logiciel qui tente de se charger dans un appareil ne réussit pas la vérification de l'intégrité, l'appareil doit être conçu pour mettre fin au chargement du logiciel et conserver la version antérieure approuvée du logiciel. L'appareil peut aussi se mettre dans un mode inactif qui paralyse les fonctions de mesurage. Toutefois, le téléchargement peut être recommencé, conformément aux exigences relatives à la mise à jour traçable.

7.3.4 Un appareil approuvé pour mettre à jour le logiciel doit pouvoir détecter si le téléchargement du logiciel a échoué ou n'a pas été effectué au complet.

7.3.5 Si la mise à jour ou l'installation du logiciel a échoué ou si la mise à jour ou le chargement du logiciel est interrompu, l'état d'origine de l'appareil doit demeurer le même, ou l'appareil doit afficher un code d'erreur et les fonctions de mesurage doivent être paralysées.

8.0 Modification d'un logiciel ou de paramètres juridiquement non pertinents sans mise à jour traçable

8.1 Mises à jour d'un logiciel juridiquement non pertinent

8.1.1 On peut approuver un appareil capable de mettre à jour son logiciel juridiquement non pertinent sans mise à jour traçable lorsque :

  1. l'appareil a été conçu et fabriqué de manière que le logiciel juridiquement non pertinent soit distinct du logiciel juridiquement pertinent;
  2. toute la partie juridiquement pertinente de l'appareil ne peut être modifiée sans briser le sceau ou utiliser une mise à jour traçable;
  3. l'avis d'approbation de l'appareil indique que le logiciel juridiquement non pertinent peut être modifié.

8.2 Modifications de paramètres juridiquement non pertinents

8.2.1 La modification de paramètres juridiquement non pertinents ou de paramètres non approuvés ne constitue pas un événement déclencheur de vérification.

9.0 Exigences relatives à la conception

9.1 Généralités

9.1.1 Les appareils doivent être conçus de manière que le logiciel juridiquement pertinent puisse être protégé contre les modifications non autorisées indétectables, que ce soit par la mise à jour ou la permutation de la mémoire. La protection du logiciel comprend le scellage adéquat par des moyens mécaniques, électroniques et/ou cryptographiques qui rendent les interventions non autorisées impossibles ou évidentes.

9.1.2 Un appareil doit être conçu de manière que la mise à jour du logiciel ne puisse pas avoir d'incidence sur les données de mesure juridiquement pertinentes qui peuvent être stockées dans l'appareil.

9.2 Interface logicielle

9.2.1 Si une partie juridiquement pertinente du logiciel d'un appareil communique avec d'autres parties du logiciel, il faut utiliser une interface logicielle impossible à contourner et toutes les communications doivent passer uniquement par cette interface.

9.2.2 Dans le cas où un logiciel juridiquement pertinent a été séparé d'un logiciel juridiquement non pertinent, les autres tâches ne doivent pas avoir une incidence sur les fonctions de mesurage du logiciel juridiquement pertinent (de la partie juridiquement pertinente du logiciel). Il faut fournir des moyens techniques empêchant qu'un programme juridiquement non pertinent nuise à l'exécution de fonctions juridiquement pertinentes.

9.2.3 Les appareils doivent être conçus de manière que toutes les interactions et les communications passant par une interface logicielle n'influent pas de façon inacceptable sur le logiciel juridiquement pertinent.

9.2.4 Les appareils doivent être conçus de manière à attribuer clairement chaque commande qui passe par l'interface logicielle et qui est envoyée au changement de fonction ou de données entamé.

9.2.5 L'interface logicielle doit interdire les interactions, les communications et les flux de données non documentés.

9.3 Identification du logiciel

9.3.1 Un logiciel juridiquement pertinent, ou une partie d'un logiciel juridiquement pertinent, doit être clairement identifié au moyen d'un numéro de version de logiciel. Cette identification doit être étroitement liée au logiciel lui-même au moyen d'un code haché.

9.3.2 Les versions du logiciel juridiquement pertinent doivent pouvoir être affichées et les codes hachés doivent pouvoir être créés et affichés pendant que l'appareil est en marche ou au démarrage (lorsque l'appareil peut être mis en marche et arrêté) ou imprimés (lorsque le système de mesure comporte une imprimante). Sinon, le code haché peut être exporté sur place en tant que fichier électronique qui peut être visualisé et imprimé avec un ordinateur portatif doté d'un système d'exploitation pertinent sur Microsoft Windows.

9.3.3 Lorsqu'un appareil est approuvé comme étant capable de réaliser des mises à jour traçables, le logiciel fixe juridiquement pertinent doit avoir son propre code haché.

9.3.4 Lorsqu'un logiciel juridiquement pertinent est séparé du logiciel juridiquement non pertinent, ce dernier doit être clairement identifié au moyen d'une version de logiciel pouvant être affichée pendant que l'appareil est en marche ou au démarrage (lorsque l'appareil peut être mis en marche et arrêté) ou imprimée (lorsque le système de mesure comporte une imprimante). Sinon, la version de logiciel peut être exportée sur place en tant que fichier électronique qui peut être affiché sur un ordinateur portatif muni d'un système d'exploitation pertinent sur Microsoft Windows et imprimé.

9.4 Mise à jour du logiciel ou téléchargement et installation

Pendant le téléchargement et/ou l'installation du logiciel, l'appareil doit pouvoir continuer de fonctionner et de mesurer correctement, ou les fonctions de mesurage de l'appareil doivent être paralysées.

9.5 Consignateur d'événements

9.5.1 Les appareils approuvés en tant qu'appareils configurables ou les appareils approuvés pour réaliser les mises à jour traçables doivent être dotés d'un consignateur d'événements conforme aux exigences de Mesures Canada prescrites dans la Norme sur les consignateurs d'événements pour les appareils de mesure de l'électricité et du gaz.

9.5.2 Le consignateur d'événements et ses enregistrements (registre d'événements) font partie du logiciel juridiquement pertinent et ils doivent être protégés adéquatement.

10.0 Exigences techniques

10.1 Systèmes de mesure

10.1.1 Lorsqu'un appareil dispose d'interfaces pour communiquer avec l'utilisateur ou d'autres appareils électroniques ou parties de logiciel, les parties juridiquement pertinentes d'un appareil (qu'elles soient logicielles ou matérielles) ne doivent pas être influencées d'une façon inacceptable par d'autres parties du système de mesure.

10.1.2 Les sous-ensembles ou les appareils électroniques d'un système de mesure qui exécutent des fonctions juridiquement pertinentes doivent être identifiés clairement et décrits dans des documents.

10.1.3 Le fabricant doit faire en sorte que les fonctions et les données pertinentes des sous-ensembles et des appareils électroniques ne peuvent être influencées de façon inacceptable par des commandes reçues par l'interface.

11.0 Exigences administratives

11.1 Généralités

11.1.1 Les fabricants doivent produire des appareils et un logiciel juridiquement pertinent qui est conforme au type approuvé et à la documentation fournie à l'appui de l'obtention de l'approbation.

11.1.2 Les fabricants ou les demandeurs de l'approbation doivent déclarer et produire des documents qui décrivent toutes les fonctions du programme, les commandes (y compris celles que l'on peut entrer par l'interface utilisateur), les structures de données pertinentes ainsi que les interfaces logicielles des parties juridiquement pertinentes du logiciel. Aucune fonction cachée (non documentée) ne doit exister.

11.1.3 Il faut déterminer la conformité aux exigences de la présente norme d'après un essai de fonctionnalité et des attestations écrites de conformité.

11.1.4 Les attestations de conformité doivent provenir d'un signataire autorisé que le fabricant d'appareils a dûment désigné pour le représenter à cette fin dans le cadre du processus d'approbation de modèle.

11.1.5 Toutes les attestations d'un fabricant d'appareils doivent constituer des enregistrements de conformité. Elles doivent être conservées comme des documents d'archives dans un dossier d'approbation de modèle de l'appareil.

11.2 Documents sur l'approbation de type

Lorsqu'un demandeur d'approbation souhaite que son appareil soit approuvé comme étant capable de recevoir des mises à jour approuvées du logiciel sans déclencher une revérification, il doit fournir les documents suivants pour appuyer la demande d'approbation :

  1. description du logiciel juridiquement pertinent et façon dont les exigences sont respectées;
    1. liste des modules logiciels associés à la partie juridiquement pertinente, y compris une déclaration selon laquelle toutes les fonctions juridiquement pertinentes sont comprises dans la description,
    2. description des interfaces logicielles de la partie juridiquement pertinente du logiciel et des commandes et des flux de données passant par cette interface, y compris un énoncé d'exhaustivité,
    3. description de l'identification du logiciel (numéro de version),
    4. liste des paramètres à protéger et description des moyens de protection,
  2. description de la configuration appropriée et des ressources minimales requises, le cas échéant;
  3. description des moyens de sécurité du système d'exploitation, le cas échéant;
  4. description de la ou des méthodes de scellage (du logiciel);
  5. description de la façon dont on garantit l'authenticité de l'identification du logiciel;
  6. description de la façon dont on garantit l'intégrité du logiciel;
  7. description de la façon dont on vérifie que le logiciel téléchargé est approuvé pour le type d'appareil dans lequel il a été téléchargé;
  8. aperçu du matériel du système (p. ex. schéma topologique). Il faut aussi indiquer si un composant matériel est jugé juridiquement pertinent ou s'il exécute des fonctions juridiquement pertinentes;
  9. description de l'exactitude des algorithmes (p. ex. filtrage des résultats de conversion analogique-numérique, algorithmes d'arrondissement, etc.);
  10. description de l'interface utilisateur, des menus et des dialogues;
  11. lorsqu'un appareil dispose d'interfaces pour communiquer avec d'autres appareils électroniques, désignation des interfaces);
  12. description de la façon dont l'appareil vérifie que les fonctions et les données pertinentes des sous-ensembles ou des appareils électroniques d'un système de mesure ne peuvent être influencés de façon inacceptable par les commandes provenant des interfaces;
  13. identification du logiciel et directives pour obtenir cette identification lorsque l'appareil est en marche;
  14. liste des commandes de chaque interface matérielle de l'appareil de mesure, de l'appareil électronique ou du sous-ensemble, y compris un énoncé d'exhaustivité;
  15. description des ensembles de données stockés ou transmis;
  16. dessins et schémas de tous les tableaux de connexions imprimés sous le couvercle de l'appareil;
  17. écran sérigraphique ou fichier graphique équivalent des composants de tous les tableaux de connexions imprimés sur lequel on a identifié les microprocesseurs et les mémoires (surlignés ou encerclés). Il faut identifier chaque interface de communication du microprocesseur en traçant une ligne entre les microprocesseurs visés;
  18. liste de chaque partie de logiciel du système, associée à un microprocesseur du système. Il faut indiquer, pour chaque logiciel, la mémoire physique où les données de configuration, les données produites et les autres ensembles de données sont stockés;
  19. description fonctionnelle des microprocesseurs et des interfaces utilisés dans les appareils et endroit où les données sont stockées;
  20. description du système au moyen d'un schéma fonctionnel. Le schéma doit indiquer où se situent les blocs fonctionnels de métrologie par rapport aux microprocesseurs ou aux circuits intégrés comprenant des microprocesseurs dans le système. Il faut aussi indiquer l'emplacement des ensembles de données pour chaque bloc fonctionnel. Si l'on allègue l'existence d'une séparation physique, indiquer la ligne de séparation et décrire le flux de données et les commandes des interfaces qui traversent cette ligne;
  21. si l'on allègue l'existence d'une séparation physique et que l'on peut prouver cette séparation par le démontage de l'appareil et l'essai des sous-systèmes individuels, procédure qui permettrait à l'examinateur de réaliser cet essai.

Annexe A (informative) — Processus d'approbation de la mise à jour traçable — Nouveau type d'appareil

Figure 1

figure 1 (la description détaillée se trouve sous l'image)
Description de la figure 1

Étapes du processus d'approbation de la mise à jour traçable - Nouveau type d'appareil

  1. Le fabricant conçoit un nouvel appareil.
  2. Le fabricant demande une nouvelle paire de clés à l'autorité de certification.
  3. L'autorité de certification délivre des justificatifs d'identité au fabricant d'appareils.
  4. Le fabricant utilise les justificatifs d'identité et la clé publique pour élaborer et mettre l'appareil à l'essai.
  5. Les valeurs hachées de la clé publique sont intégrées dans la partie fixe juridiquement pertinente de chaque appareil.
  6. Le fabricant soumet l'appareil à Mesures Canada aux fins d'approbation. Les numéros de version du logiciel et les valeurs hachées sont indiqués dans l'avis d'approbation de l'appareil.
  7. L'appareil approuvé est fabriqué en série.
  8. Les numéros de version du logiciel et les codes hachés sont capables d'être produits puis affichés, imprimés ou exportés par l'appareil.
  9. La conformité des appareils fabriqués est vérifiée avant leur installation.

Annexe B (informative) — Processus de mise à jour traçable — Approbation de la nouvelle version du logiciel

Figure 2

figure 2 (la description détaillée se trouve sous l'image)
Description de la figure 2

Processus de mise à jour traçable - Approbation de la nouvelle version du logiciel

  1. Le fabricant développe un nouveau logiciel qui comprend des parties juridiquement pertinentes ou qui a une incidence sur ces parties.
  2. Le fabricant soumet le logiciel à l'autorité de certification pour obtenir de nouveaux justificatifs d'identité.
  3. Le fabricant soumet l'appareil contenant le nouveau logiciel et le code haché à Mesures Canada aux fins d'approbation.
  4. Les numéros de version du logiciel et les valeurs hachées sont indiqués dans l'avis d'approbation de l'appareil.
  5. Le fabricant distribue le nouveau logiciel aux propriétaires d'appareils (ou à leur représentant) pour qu'ils fassent la mise à jour du logiciel (traçable ou vérifiée) des appareils applicables.

Annexe C (informative) — Processus de production de la signature

Figure 3

figure 3 (la description détaillée se trouve sous l'image)
Description de la figure 3

Processus de production de la signature

  1. L'expéditeur (programme d'expédition ou de stockage) produit un code haché des données et le chiffre au moyen de la clé privée, ce qui crée la signature.

Annexe D (informative) — Processus de vérification de la signature

Figure 4

figure 4 (la description détaillée se trouve sous l'image)
Description de la figure 4

Processus de vérification de la signature

  1. Le destinataire (programme de réception ou de lecture) déchiffre la signature au moyen de la clé publique et compare le résultat avec le code haché réel des données.
  2. S'il y a équivalence, les données sont authentifiées.

Annexe E (informative) — Processus de production du certificat

Figure 5

figure 5 (la description détaillée se trouve sous l'image)
Description de la figure 5

Processus de production du certificat

  1. L'expéditeur (programme d'expédition ou de stockage) produit un code haché des données et le chiffre au moyen de la clé privée, ce qui crée la signature.

Annexe F (informative) — Processus de vérification du certificat

Figure 6

figure 6 (la description détaillée se trouve sous l'image)
Description de la figure 6

Processus de vérification du certificat

  1. Le destinataire (programme de réception ou de lecture) déchiffre la signature au moyen de la clé publique et compare le résultat avec le code haché réel des données.
  2. S'il y a équivalence, les données sont authentifiées.
 Signaler un problème sur cette page
Date de modification: