Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
CAN/CSA-ISO/IEC 15026-3:16 系统与软件工程 — 系统与软件保证 — 第3部分:完整性级别
定义与管理系统及软件完整性级别的国际标准
一、标准概况与适用范围
CAN/CSA-ISO/IEC 15026-3:16(等同于 ISO/IEC 15026-3:2016)是加拿大标准协会(CSA)采纳的国际标准,属于 ISO/IEC 15026《系统与软件工程 — 系统与软件保证》系列标准的第三部分。该标准最初由 ISO/IEC JTC 1/SC 7(系统与软件工程分技术委员会)制定,旨在为系统和软件完整性级别(Integrity Levels)的界定、分配及验证提供统一的框架。
本标准的适用范围覆盖各类需要明确保证等级的系统与软件开发项目,尤其是那些失效可能导致人身伤害、财产损失、环境破坏或重大业务中断的安全关键系统。典型应用领域包括但不限于航空航天、轨道交通、核电、医疗设备、工业自动化及金融基础设施等。标准同时适用于系统级(硬件+软件)以及独立的软件组件,可为项目早期阶段的完整性级别确定提供指导。
与 ISO/IEC 15026 系列的其他部分(如第1部分:概念与词汇、第2部分:保证案例、第4部分:生命周期中的保证)配合使用,本标准构成了保证管理的完整体系。于 2016 年发布后,加拿大在 2016 年直接采用为 CAN/CSA-ISO/IEC 15026-3:16,并在后续版本中保持与 ISO/IEC 文本的一致性。截至2026年,该标准仍在多个行业作为推荐性或强制性依据被引用。
实用提示: 在制定系统保证计划时,建议首先依据 ISO/IEC 15026-1 明确术语和概念,再按照本部分进行完整性级别分配,可避免跨部门沟通歧义。
二、主要技术内容与要求
2.1 完整性级别的定义与结构
标准定义了四个完整性级别(Integrity Level, IL),分别标记为 IL-1 至 IL-4,级别越高,所需的保证程度越强。完整性级别并非简单的风险等级,而是与失效后果严重性及可接受风险水平的综合映射。各级别的典型特征如下表所示:
| 完整性级别 | 失效后果严重性 | 风险降低要求 | 典型应用场景示例 |
|---|---|---|---|
| IL-1 | 轻微财产损失或服务中断 | 低 | 普通办公软件故障 |
| IL-2 | 较大财产损失或有限环境影响 | 中 | 工业过程控制非安全回路 |
| IL-3 | 人员轻伤或严重环境损害 | 高 | 轨道交通信号系统 |
| IL-4 | 多人死亡或灾难性环境破坏 | 非常高 | 航空飞行控制系统 |
标准并未规定具体的风险量化数值,而是要求组织基于失效频率与后果的组合来确定级别,强调需在系统上下文(Context)中完成分配。对于同一系统,不同的功能可能对应不同的完整性级别。
2.2 完整性级别分配流程
标准要求按照系统化流程进行分配:首先识别危险事件(Hazardous Events),评估其严重性;然后考虑现有的风险降低措施;最后根据残余风险与可接受准则确定所需的完整性级别。该流程应形成文档,并经过独立评审。分配过程中需考虑的因素包括:运行环境、人为因素、系统架构及设计特性。
2.3 保证活动与证据要求
完整性级别直接映射到一系列保证活动,包括但不限于:需求分析、设计验证、测试覆盖分析、配置管理、变更控制及独立评审。标准规定级别越高,活动的严格程度和独立性要求越高。例如,IL-4 要求使用经过广泛验证的形式化方法或高可靠性测试,而 IL-1 仅需基本的评审与测试。
注意事项: 完整性级别并不等同于安全完整性级别(SIL)或类似于 IEC 61508 的等级。虽然概念相通,但 ISO/IEC 15026-3 更注重保证案例(Assurance Case)的一致性,不应机械套用其他标准的分级数值。
三、实施与应用要点
3.1 实施步骤
组织在实施本标准时推荐遵循以下步骤:
- 定义目标:明确系统或软件的运行上下文及风险接受准则;
- 危险分析:开展系统性的危险识别与风险分析(如 HAZOP、FMEA);
- 级别分配:对照标准给出的四种级别,逐项功能或失效模式分配 IL;
- 保证计划编制:根据分配结果制定对应的保证活动计划及证据清单;
- 执行与验证:按照计划执行保证活动,并由独立人员验证符合性;
- 维护与变更管理:在后期变更时重新评估完整性级别。
3.2 关键成功因素
- 高层管理者对保证工作的资源投入承诺;
- 保持分配理由的可追溯性,以便通过第三方认证;
- 培养跨学科团队(安全工程、软件工程、系统集成)之间的协作;
- 在项目早期即开始完整性级别的讨论,避免后期返工。
标准实施的益处: 遵循 ISO/IEC 15026-3 能提高系统安全保证的可信度,降低因完整性不足导致的召回或诉讼风险,同时为跨行业领域(如航空、汽车、核电)的标准协调奠定基础,有助于企业产品进入多个受监管市场。
四、与其他标准的关系
ISO/IEC 15026-3 在整个安全与保证标准体系中扮演着“桥梁”角色,它与以下重要标准紧密相关:
- IEC 61508(功能安全基础标准):定义安全完整性等级(SIL),ISO/IEC 15026-3 的 IL 概念与其类似但更通用,可作为一种替代或补充框架用于非电子/可编程系统;
- ISO 26262(道路车辆功能安全):使用汽车安全完整性等级(ASIL),该等级可在 ISO 26262-9 中通过基于 ISO/IEC 15026-3 的方法进行部分借鉴;
- ISO/IEC 15026-2(保证案例):要求构建保证案例,本部分提供的完整性级别是保证案例中论证风险控制的核心输入;
- ISO/IEC 15026-4(生命周期中的保证):与生命周期过程集成,确保完整性级别在每个阶段得到维护。
此外,在航空领域,ARP4754A(民用飞机与系统开发)及 DO-178C(软件考虑因素)的概念可与完整性级别做映射,便于跨标准认证。采用 CAN/CSA-ISO/IEC 15026-3:16 的组织可简化多个标准的统一管理。
强制要求: 当合同或法规要求明确引用 CAN/CSA-ISO/IEC 15026-3 时,组织必须按照标准规定的流程建立完整的完整性级别分配文档及保证证据链。任何未记录的级别调整均可能被视为不符合项,导致认证失败或法律责任。
常见问题 FAQ
问:ISO/IEC 15026-3 中的完整性级别(IL)与 IEC 61508 的安全完整性等级(SIL)有何区别?
答:两者都用于描述风险降低需求,但 SIL 通常针对电气/电子/可编程系统且具备严格量化的失效概率指标,而 IL 更通用,面向系统与软件保证,不限定技术实现类型。IL 更侧重于保证活动的一致性而非概率数字,因此更容易映射到非传统安全系统。
答:两者都用于描述风险降低需求,但 SIL 通常针对电气/电子/可编程系统且具备严格量化的失效概率指标,而 IL 更通用,面向系统与软件保证,不限定技术实现类型。IL 更侧重于保证活动的一致性而非概率数字,因此更容易映射到非传统安全系统。
问:一个系统能否混合使用不同完整性级别?
答:可以。标准允许在同一系统中针对不同功能或失效模式分配不同的 IL,例如制动系统可能为 IL-4,而信息娱乐系统可能为 IL-1。但需确保高等级功能不受低等级组件的级联影响,并应通过接口保证或架构隔离措施实现独立性。
答:可以。标准允许在同一系统中针对不同功能或失效模式分配不同的 IL,例如制动系统可能为 IL-4,而信息娱乐系统可能为 IL-1。但需确保高等级功能不受低等级组件的级联影响,并应通过接口保证或架构隔离措施实现独立性。
问:实施本标准是否需要专门的工具支持?
答:并非强制要求,但推荐使用需求管理、变更追踪及保证案例建模工具来提高一致性和可追溯性。对于高级别(IL-3/IL-4),形式化验证工具可能被要求以提供充足的证据。组织应根据分配的级别选择合适的支持工具。
答:并非强制要求,但推荐使用需求管理、变更追踪及保证案例建模工具来提高一致性和可追溯性。对于高级别(IL-3/IL-4),形式化验证工具可能被要求以提供充足的证据。组织应根据分配的级别选择合适的支持工具。
问:CAN/CSA-ISO/IEC 15026-3:16 在加拿大是否具有法律强制性?
答:该标准本身是自愿性标准,但当被政府部门(如运输、核安全监管机构)引用为法规要求时,则具有强制效力。此外,许多行业合同会直接引用该标准,此时遵守即为合同义务。
答:该标准本身是自愿性标准,但当被政府部门(如运输、核安全监管机构)引用为法规要求时,则具有强制效力。此外,许多行业合同会直接引用该标准,此时遵守即为合同义务。
— 本文基于 CAN/CSA-ISO/IEC 15026-3:16(2026 年信息参考)编写 —
