GB/T 41529-2022 用于老年人生活辅助的智能家电系统 通用安全要求

　　ICS 97.030 CCS Y 60

　　中 华 人 民 共 和 国 国 家 标 准

　　GB/T 41529—2022

　　用于老年人生活辅助的智能家电系统 通用安全要求

　　Smart household appliances system for older persons'assisted living— General safety requirements

　　2023-02-01实施

　　2 0 2 2 - 0 7 - 1 1 发 布

　　

　　国家市场监督管理总局 国家标准化管理委员会

　　

　　发 布

　　GB/ T 41529—2022

　　目 次

　　前言 I

　　1 范围 1

　　2 规范性引用文件 1

　　3 术语和定义 1

　　4 一般要求 3

　　5 安全要求 4

　　5.1 装置安全 4

　　5.2 功能安全 4

　　5.3 网络安全 4

　　5.4 平台安全 4

　　5.5 应用服务安全 5

　　5.6 信息系统安全 5

　　5.7 个人信息安全 5

　　5.8 安全运维 5

　　5.9 应急保障 5

　　5.10 安全部署 6

　　附录A (资料性) 风险管理 7

　　参考文献 10

　　GB/T 41529—2022

　　前 言

　　本文件按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。

　　请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

　　本文件由中国轻工业联合会提出。

　　本文件由全国家用电器标准化技术委员会(SAC/TC46) 归口。

　　本文件起草单位：中国家用电器研究院、中国人民解放军总医院、万源众享联盟科技(北京)有限公 司、青岛海尔科技有限公司、美的集团股份有限公司、珠海格力电器股份有限公司、海信家电集团股份有 限公司、苏州傲特敏机器人技术服务有限公司、厦门阿玛苏电子卫浴有限公司、西安庆安制冷设备股份 有限公司、宁波先锋电器制造有限公司、无锡小天鹅电器有限公司。

　　本文件主要起草人：马德军、刘荣、郭丽珍、赵之明、孟元光、茹昭、陈挺、陈进、陈林、陈坚波、瞿卫新、 王淼、侯全舵、孙民、张建华、方庆朕、祖岩岩、李后上。

　　I

　　GB/T 41529—2022

　　用于老年人生活辅助的智能家电系统 通用安全要求

　　1 范围

　　本文件规定了用于辅助老年人生活的智能家电系统(以下简称系统)的一般要求和安全要求。

　　本文件适用于辅助老年人生活的智能家电系统的策划、开发和设计。

　　2 规范性引用文件

　　下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 件，仅该日期对应的版本适用于本文件;不注日期的引用文件，其最新版本(包括所有的修改单)适用于 本文件。

　　GB 9706.1 医用电气设备 第1部分：基本安全和基本性能的通用要求

　　GB/T 22080 信息技术 安全技术 信息安全管理体系 要求

　　GB/T 35273 信息安全技术 个人信息安全规范

　　GB/T 36947 面向老年人的家用电器用户界面设计规范

　　GB/T 38626 信息安全技术 智能联网设备口令保护指南

　　GB/T 40443 适用于老年人的家用电器 通用要求

　　IEC 60335-1 家用和类似用途电器 安全 第1部分：通用要求(Household and similar electrical appliances—Safety—Part 1:General requirements)

　　3 术语和定义

　　下列术语和定义适用于本文件。

　　3.1

　　部件 component

　　单独或与配件或软件相结合的对象，有助于实现系统中制造商定义的应用功能，以辅助有健康问题 的人们的生活。

　　[来源：GB/T 2900.102—2020,871-04-02,有修改]

　　3.2

　　智能家电系统 smart household appliances system

　　至少由一个智能家电和其他部件构成的家电系统。

　　注：系统除包含智能家电产品与相关设备、网络通信系统以及相关服务平台等组成部分外，还包含上述产品、设备、 系统和平台的制造商、用户、服务提供商等相关方。

　　[来源：GB/T 28219—2018,3.9,有修改]

　　3.3

　　用户 user

　　使用和/或受益于设备、系统或服务的人。

　　[来源：GB/T 2900.102—2020,871-02-05,有修改]

　　1

　　GB/T 41529—2022

　　3.4

　　损伤 impairment

　　在心理、生理或解剖结构或功能方面的缺失或异常。

　　注：损伤可能同年龄相关，表现在认知、灵敏度、功能性、听力丧失或视力丧失或它们的组合上。

　　[来源：GB/T 2900.102—2020,871-02-07]

　　3.5

　　辅助水平 assistance level

　　按照用户独立生活能力和所需的辅助程度，从最低程度的辅助到完全辅助及所对应的自动化程度， 对用户所需辅助划分的等级。

　　3.6

　　日常生活活动 activity of daily living;ADL

　　日常生活中涉及身体自我维持能力的最基本的人类活动。

　　示例：沐浴、穿衣、进食、上下床或起坐、上厕所和室内走动，上楼梯等。

　　3.7

　　工具性日常生活活动 instrumental activity of daily living;IADL

　　除 ADL 外，与独立生活相关的身体/社交/认知技能的日常活动。

　　示例：使用交通工具、打电话、购物，以及做饭、家务、清洁、药物管理、财务管理等。

　　3.8

　　安全 safety

　　免除了不可接受的风险的状态。

　　[来源：GB/T 20002.4—2015,3.14]

　　3.9

　　风险 risk

　　不确定性对目标的影响。

　　注1:影响是指偏离预期，可以是正面的和/或负面的。

　　注2:目标可以是不同方面(如财务、健康与安全、环境等)和层面(如战略、组织、项目、产品和过程等)的目标。

　　注 3: 通常用潜在事件、后果或者两者的组合来区分风险。

　　注4:通常用事件后果(包括情形的变化)和事件发生可能性的组合来表示风险。

　　注5:不确定性是指对事件及其后果或可能性的信息缺失或了解片面的状态。

　　[来源：GB/T 23694—2013,2.1]

　　3.10

　　风险管理

　　在风险(3.9)方面，指导和控制组织的协调活动。

　　[来源：GB/T 23694—2013,3.1]

　　3.11

　　危险 hazard

　　可能导致伤害的潜在根源。

　　[来源：GB/T 20002.4—2015,3.2]

　　3.12

　　风险识别 risk identification

　　发现、确认和描述风险(3.9)的过程。

　　注1:风险识别包括对风险源、事件及其原因和潜在后果的识别。

　　注2:风险识别可能涉及历史数据、理论分析、专家意见以及利益相关者的需求。

　　[来源：GB/T 23694—2013,4.5.1]

　　2

　　GB/T 41529—2022

　　3.13

　　风险分析 risk analysis

　　理解风险性质、确定风险等级的过程。

　　注1:风险分析是风险评价和风险应对决策的基础。

　　注2:风险分析包括风险估计。

　　[ 来 源 ：GB/T 23694—2013,4.6.1]

　　3.14

　　风险评估 risk assessment

　　包括风险识别(3.12)、风险分析(3.13)和风险评价(3.15)的全过程。

　　[ 来 源 ：GB/T 23694—2013,4.4.1]

　　3.15

　　风险评价 risk evaluation

　　对比风险分析(3.13)结果和风险准则，以确定风险(3.9)和/或其大小是否可以接受或容忍的过程。 注：风险评价有助于风险应对决策。

　　[来源：GB/T 23694—2013,4.7.1]

　　3.16

　　失效 failure

　　执行要求的能力的丧失。

　　3.17

　　功能安全 functional safety

　　整体安全中与受控设备和受控设备控制系统相关的部分，它取决于电气/电子/可编程电子安全相 关系统和其他风险降低措施正确执行其功能。

　　[ 来 源 ：GB/T 20438.4—2017,3.1.12,有修改]

　　3.18

　　信息安全 information security

　　保护信息免受未经授权的、意外或故意的披露、传输、修改或销毁。

　　注1:此外，信息安全也包括真实性、问责性、不可否认性和可靠性的属性。

　　注2:信息安全是一个广泛的术语，不拘于形式(如电子数据、物理数据)。

　　[ 来 源 ：GB/T 2900.102—2020,871-04-16]

　　3.19

　　隐私 privacy

　　一个实体(通常是一个人或一个组织)根据自身利益决定其私人信息保密程度的权利。

　　[ 来 源 ：GB/T 2900.102—2020,871-04-23]

　　3.20

　　拒绝服务 denial of service

　　一种使系统失去可用性的攻击。

　　[ 来 源 ：GB/T 25069—2010,2.2.1.75]

　　3.21

　　装置 device

　　系统中使用的用来执行某种要求的功能的具体要素或这些要素的集合。

　　注：可包括用于用户个人健康、舒适及安全等的装置及传感装置，以及可以汇聚用户数据的装置。

　　4 一般要求

　　4.1 系统各部件厂商、服务提供商及系统集成商，在系统、部件、服务的设计、开发过程和信息存储、使

　　3

　　GB/T 41529—2022

　　用过程中，应采用符合GB/T 22080的要求的信息安全管理体系。

　　4.2 系统、部件和服务的设计、开发、制造、安装、使用、维护维修过程中，应综合考虑使用环境、用户特 征及辅助水平、系统应用功能及性能等因素，进行风险管理和风险评估，并对风险评估的结果分别采取 对应的风险处置或风险降低措施。可参照附录 A 进行风险管理和风险评估。

　　4.3 在风险管理和风险评估的基础上，所开发、设计的系统、部件和服务在符合已有相关法律法规和安 全标准的基础上，还应符合第5章的要求。

　　5 安全要求

　　5.1 装置安全

　　5.1.1 系统中的装置应符合 GB 9706.1 、IEC 60335-1 及其系列等相关国家标准或国际标准的安全 要 求 。

　　5.1.2 不应因装置的集成而发生新的危险。

　　5.1.3 应对接收到的控制数据进行识别，确保只执行安全的数值，如果数据超过了设定的限值，应采取 相应的动作(如不执行或进入自保护状态等)。

　　5.1.4 在人机交互上，应考虑老年人因老年化而带来的视觉、听觉、触觉、嗅觉、体力、认知等方面的损 伤以及由此带来的操控能力减弱的影响，不应因用户的上述能力变化而导致新的危险。

　　5.1.5 在交互设计上，应提供可选择/可替代的多种信息提示方式(如通过视觉、声觉和/或触觉方式), 给出清晰的提醒。上述提醒方式，应对应唯一的结果，不应带来新的危险。

　　注：如声音、灯光闪烁、震动、文字等两种或两种以上的信息提示方式。

　　5.1.6 在设计上应简单易操作，不会因为误操作带来危险。应按照 GB/T 36947 、GB/T 40443 等相关 考虑老年人需求的标准。

　　5.2 功能安全

　　5.2.1 电气/电子/可编程电子安全相关系统可参照 GB/T 20438.1 等相关标准的规定进行设计和 开 发 。

　　5.2.2 应考虑系统内部或系统外部无线信号所产生的相互干扰，不应因干扰而引发功能失效或功能误 触 发 。

　　5.3 网络安全

　　5.3.1 系统所采用的网络通信协议应支持设备授权认证、通信加密或者数据加密传输等安全功能，并 与国家相关标准或相应标准组织标准一致。

　　5.3.2 在系统内部多种或多个网络之间，以及智能家电系统与外部系统的信息交互设计上，应采取网 络安全隔离措施，保障网络安全与信息交互安全。

　　5.4 平台安全

　　5.4.1 平台应支持防火墙、访问控制、入侵检测、主动扫描与告警等安全措施。

　　5.4.2 应为用户和装置提供唯一的身份标识，用户身份标识不应暴露用户隐私信息，设备身份标识不 应暴露易带来安全隐患的设备信息。

　　5.4.3 应支持基于安全属性或确定的属性组(用户角色)实现访问控制，应支持多角色机制、多权限机 制，并保证角色权限的匹配。

　　5.4.4 应可抵御拒绝服务攻击，当检测到拒绝服务攻击时应发出报警。

　　5.4.5 授权系统中的敏感数据访问或者执行关键操作前，应进行多重身份认证，例如，授权开老年人的

　　4

　　GB/T 41529—2022

　　房门、付款操作。

　　5.5 应用服务安全

　　5.5.1 采用操作简单且安全性高的登录方式。若采用口令登录方式，应符合 GB/T 38626的要求。

　　5.5.2 应对恶意软件安装、非正常操作等采用清晰易懂的提示方式，包含图形、文字、语音等的一种或 多种提示方式。对于安全性要求高的设备，应禁止安装未通过厂商认证签名后的开放应用。

　　5.5.3 在需要用户授权进行应用安装或者付款等环节，应具备清晰的风险信息提示(例如，可能安装恶 意软件、可能产生扣费行为等),并使用易于老年人理解的信息呈现方式和内容。

　　5.5.4 应能够对不清晰的指令进行判断，若存在误操作的可能，不宜立即执行，应提示再次确认。

　　5.5.5 应用程序在安装时，应具备对用户身份、智能终端设备运行环境的验证机制。

　　5.5.6 应用程序不应要求智能终端中的敏感权限和不必要权限。

　　5.5.7 应对异常信息进行记录，并在必要时采取适当的保护措施。

　　5.5.8 应避免在应用端缓存敏感数据，对于需要留存智能终端的数据，应采用加密措施，且仅放置于安 全存储区。

　　5.5.9 应支持对用户下载敏感数据到本地的行为进行权限控制。

　　5.6 信息系统安全

　　5.6.1 安全设置应简单易操作或由系统自动完成。

　　5.6.2 系统应设计监护人角色，并赋予部分管理权限。

　　5.6.3 涉及金融支付业务时，若超过限额，需通知监护人。监护人同意后，才可继续进行。

　　5.6.4 系统中的监护人信息应采用防篡改、防删除机制存储。

　　5.6.5 系统间通信信道应采用安全措施，保证接入的外部资源(如医疗信息)的可靠性。

　　5.6.6 应对主要信息资源设置标记，并严格控制重要信息资源的操作。

　　5.6.7 应记录信息系统日志，至少包含以下内容：操作系统日志、数据库系统日志、中间件日志、业务应 用系统日志、存储系统监控日志、维护操作日志。

　　5.7 个人信息安全

　　5.7.1 个人信息安全总体上应符合GB/T 35273等相关标准的要求。

　　5.7.2 在符合5.7.1的基础上，还应符合如下要求。

　　a) 对个人信息主体要尽到告知、说明和警示的义务。以明确、易懂和适宜老年人的方式如实向个 人信息主体告知处理个人信息的目的、个人信息的收集和使用范围、个人信息保护措施等信 息。例如，对于显示字体无法调节的系统，应支持以语音朗读的方式告知。

　　b) 对个人敏感信息的收集和使用，除应获得用户本人明示同意外，还应获得监护人的同意。

　　c) 用户的健康记录等个人敏感信息应安全存储。

　　5.8 安全运维

　　5.8.1 应定期对系统及其中的部件进行及时的检查、维护和保养，确保系统正常、安全运行。

　　5.8.2 系统服务商在提供服务过程中应遵循国家相关法律、法规和标准要求，在各自服务活动中有效 地保证所提供服务的安全。

　　5.9 应急保障

　　5.9.1 外观标识和使用说明中还应包含需要辅助时的相关组织的联系信息。

　　5.9.2 系统应具有在某些条件触发时，通过自动通知应急联系人。通知方式应能持续引起应急联系人

　　5

　　GB/T 41529—2022

　　的注意和响应。

　　5.9.3 系统应支持由用户指定应急联系人、联系方式和各种紧急情况下的应急联系顺序。

　　5.9.4 系统向应急联系人发出信息时，应同时提供辅助判断老年人和智能家电系统状态的必要信息， 并在必要时提供可能的远程系统操控手段。

　　5.9.5 系统应在应急联系人响应后，提供用户与应急联系人的实时通信(如语音通话)功能。

　　5.10 安全部署

　　5.10.1 对于电源停止供电可能会引起危险的情况，应向应急联系人报警。

　　5.10.2 需要在部件间保持不间断网络连接或数据通信的系统，应提供网络通信故障告警机制，告知对 应的应急联系人。

　　5.10.3 部件或装置故障或失效，可能会引起危险的情况，应向应急联系人报警。

　　5.10.4 为了保证使用者安全操作系统，应提供清晰易懂的操作指南。

　　6

　　GB/T 41529—2022

　　附 录 A (资料性) 风险管理

　　A.1 概述

　　系统、部件和服务的设计、开发、制造、安装、使用、维护维修过程中，可参照 GB/T 15706、 GB/T 20002.2 、GB/T 20002.4 、GB/T 22696.1 、GB/T 24353 、GB/T 31722 、IEC 31010 等标准，通过分析 用于辅助老年人生活的智能家电系统各相关要素，对系统、用户所面临的风险进行评估，根据风险评估 结果，可采取对应的风险处置或降低措施。

　　A.2 系统要素

　　A.2.1 环境因素

　　关联到使用环境的因素：

　　a) 场所：电源、水源、网络及其他基础设施;

　　b) 气候特征：空气、气压、温度、湿度等;

　　c) 其他因素。

　　A.2.2 使用者特征

　　老年人具有特殊的身体能力特征，决定了其风险容忍水平与正常人不同。

　　a) 身体能力特征

　　老年人的身体能力及特征，可参考GB/T 20002.2 及相关信息资源，主要涉及：

　　——体力;

　　——-—感知能力;

　　— -认知能力;

　　——情绪。

　　b) 辅助水平级别

　　辅助水平可参照GB/T 40439 的相关内容：

　　——-—第0级：独立，在该辅助水平上用户不依赖于辅助技术;

　　——第1级： 一些辅助，在该辅助水平上用户在某些或连续的时间点需要辅助技术的一些 辅助;

　　— - 第 2 级 ：IADL 辅助，在该辅助水平上用户需要IADL 的辅助;

　　—-—第3级：ADL 辅助，在该辅助水平上用户需要ADL 的辅助。

　　A.2.3 系统应用功能

　　系统应用功能与老年人身体能力特征和所需的辅助水平密切相关。系统应用功能包括但不限于：

　　a) 日常生活管理：辅助管理日常生活;

　　b) 移动性：助走、助行等;

　　c) 社会交互：辅助保持积极的社会交互;

　　d) 保健及健康管理：辅助健康监测和管理;

　　e) 其他功能。

　　7

　　GB/T 41529—2022

　　A.2.4 生命周期

　　需要考虑的生命周期包括：

　　——设计、开发;

　　——生产/配置;

　　—--组装/安装;

　　— — - — 使用;

　　--—维护/维修等。

　　A.3 风险评估

　　A.3.1 风险识别

　　A.3.1.1 系统中可能面临的风险

　　系统中可能面临的风险包括：

　　——机械电气安全风险;

　　——通信和信息安全风险;

　　——环境安全风险。

　　A.3.1.2 系统失效的原因

　　系统失效原因包括但不限于：

　　— — 电源失效;

　　—--通信失效;

　　— — 硬件失效;

　　— — 软件失效;

　　— — 功能失效;

　　——不充分的使用说明;

　　— — — — 误用;

　　——网络入侵。

　　A.3.1.3 可能带来的后果

　　系统失效可能带来的后果包括：

　　— — 死亡;

　　— — 受伤;

　　——健康受损害;

　　— — 隐私暴露;

　　——-数据毁损;

　　—-—财产损失。

　　A.3.2 风险估计

　　A.3.2.1 伤害的严重程度

　　伤害的严重程度分为：

　　——轻微：失效或设计缺陷不会对用户等带来伤害;

　　8

　　GB/T 41529—2022

　　——中度：失效或设计缺陷会直接给用户等带来较小的伤害，也包括失效或设计缺陷通过不正确或 延时的信息等而间接带来的较小的伤害;

　　——严重：失效或设计缺陷会直接导致用户等死亡或严重伤害，也包括失效或设计缺陷通过不正确 或延时的信息而间接造成的死亡或严重伤害。

　　A.3.2.2 伤害发生的可能性

　　伤害发生的可能性分为：

　　————可能性非常低;

　　— — — 可能性低;

　　——中等可能性;

　　——可能性高。

　　A.3.3 风险评价

　　完成风险估计后，需进行风险评价，确定是否需要进行风险降低。

　　A.4 风险应对

　　需对风险评估的结果分别采取对应的风险处置或风险降低措施。对于机械电气、信息安全等风险， 可参照GB/T 15706 、GB/T 31722 等标准的规定采取相应的降低风险的措施。

　　9

　　GB/T 41529—2022

　　参 考 文 献

　　[1] GB/T 2900.102—2020 电工术语 积极辅助生活

　　[2] GB/T 15706 机械安全 设计通则 风险评估与风险减小

　　[3] GB/T 20002.2 标准中特定内容的起草 第2部分：老年人和残疾人的需求

　　[4] GB/T 20002.4 标准中特定内容的起草 第4部分：标准中涉及安全的内容

　　[5] GB/T 20438.1 电气/电子/可编程电子安全相关系统的功能安全 第1部分：一般要求

　　[6] GB/T 20438.4—2017 电气/电子/可编程电子安全相关系统的功能安全 第4部分：定义 和缩略语

　　[7] GB/T 22696.1 电气设备的安全 风险评估和风险降低 第1部分：总则

　　[8]GB/T 23694—2013 风险管理 术语

　　[9] GB/T 24353 风险管理 原则与实施指南

　　[10] GB/T 25069—2010 信息安全技术 术语

　　[11] GB/T 28219—2018 智能家用电器通用技术要求

　　[12]GB/T 31722 信息技术 安全技术 信息安全风险管理

　　[13] GB/T 40439 用于老年人生活辅助的智能家电系统 架构模型

　　[14] IEC 31010 Risk management—Risk assessment techniques

　　10