Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
IEC 62741:2015 — 可信性要求验证:可信性论证
💡 核心观点:可信性论证不仅是一项文档工作,更是一种战略工具,能够逐步降低系统能否满足可靠性、可用性、可维护性和保障性要求的不确定性。
1. 范围与目的
IEC 62741 提供了可信性论证的内容和应用指南,并建立了其编制的一般原则。标准针对客户向供应商订购满足可信性要求的系统的基本项目场景,但所述方法可根据需要调整和适用于其他场景。可信性论证是客户、供应商和其他利益相关方之间关于可信性的主要沟通手段,促进整个系统生命周期内的合作。
本标准定义的可信性涵盖了可靠性、可用性、可维护性和保障性(RAMS),以及可用性、可测试性和耐久性等其他属性。论证包括系统的所有方面——组件、过程、硬件、软件及其接口。
✅ 商业价值:结构良好的可信性论证可以通过识别不必要的活动、防止沟通失误、避免因后期发现故障而返工、将资源集中在真正支持可信性主张的证据上,从而降低项目总成本。
2. 可信性论证的原则
2.1 结构与主张
可信性论证从可信性要求的初始陈述开始,可能包括客户规范、内部目标、市场策略和法规要求。然后提出顶层主张,明确声明系统满足这些要求。顶层主张被分解为多层次结构的子主张和连接性子论证,最终基于证据和假设。论证分为两类:展示所有已识别风险已被消除或充分处理的论证,以及为主张提供充分依据的论证。
2.2 证据框架
可信性论证中的证据可以是直接的(展示要求已得到满足)或间接的(显示风险处理活动已成功)。标准强调使用广泛的证据来源:
| 证据来源 | 应用阶段 | 示例 |
|---|---|---|
| 先前使用性能 | 所有阶段 | 类似系统的现场故障数据 |
| 设计计算 | 设计/实现 | MTBF预测、应力分析 |
| 测试/试验数据 | 实现阶段 | 加速寿命试验结果 |
| 仿真结果 | 设计/实现 | 蒙特卡洛可靠性仿真 |
| 分析结果 | 所有阶段 | FMECA、FTA、RBD分析 |
| 专家意见 | 概念/设计 | 领域专家评估 |
| 管理过程 | 所有阶段 | ISO 9001审核结果 |
| 运行/维护数据 | 使用阶段 | 平均修复时间记录 |
2.3 渐进保证
关键概念是渐进保证——可信性论证提供了不断扩充的证据体系,逐步降低围绕可信性要求实现的不确定性。在概念阶段不确定性最高,随着通过设计、实现和使用阶段积累证据,不确定性逐渐降低。然而,标准现实地承认,在重新设计、技术引入或新证据与现有证据冲突时,不确定性可能会增加。
⚠️ 工程说明:渐进保证模型清晰区分了全新开发(高初始不确定性、逐步降低)和改进型现成产品(MOTS)方案(较低初始不确定性,但在新应用或新环境中需要仔细重新评估)。
3. 可信性论证报告与生命周期整合
3.1 报告内容
可信性论证报告应包括:描述系统和范围的引言、系统背景和利益相关方期望、带有验收标准的可信性要求、展示主张如何由证据支持的论证结构、证据摘要、关于要求是否满足的结论以及对未来活动的建议。报告必须在整个系统生命周期内维护和更新,特别关注要求、环境、设计或实际性能的变化。
| 生命周期阶段 | 可信性论证焦点 | 关键活动 |
|---|---|---|
| 概念阶段 | 定义要求,识别风险 | 初始主张,证据框架设计 |
| 开发阶段 | 构建论证,收集证据 | 分析、仿真、设计评审 |
| 实现阶段 | 验证和确认 | 测试、鉴定、演示 |
| 使用阶段 | 监控和更新 | 现场数据收集,持续改进 |
| 退役阶段 | 经验教训总结 | 最终评估,知识保存 |
4. 工程设计要点
💡 工程师实用建议:
- 尽早开始,迭代频繁:可信性论证应在概念阶段启动,而不是在交付前的事后补救。早期识别关键证据需求可防止最后一刻的意外。
- 主张必须可验证:论证层级中的每个主张应制定为可通过证据客观验证的形式。”系统可靠”等模糊主张应替换为具体的量化声明。
- 假设即是负债:必须明确陈述所有假设并制定验证计划。未经验证的假设是对可信性论证的风险。
- COTS/MOTS复用需谨慎:先前的运行历史不会自动转移到新环境或应用。每个新的部署场景都需要仔细重新评估。
- 成本效益对齐:可信性论证对于直接证据获取成本高、价值高、数量少的系统最有价值。对于较简单的系统,轻量级论证可能就足够了。
5. 常见问题解答
Q1: 可信性论证与安全论证有何不同?
可信性论证涵盖可信性的所有方面(可靠性、可用性、可维护性、保障性),而安全论证专门关注安全风险和危险。两者是互补的——可信性论证可以参考安全相关证据,但安全论证有自己独立的法规和标准框架(如IEC 61508、ISO 26262)。
Q2: 谁负责创建和维护可信性论证?
通常,可信性论证由客户和供应商共同编制。客户定义要求和背景;供应商提供来自设计、测试和运行数据的证据。认证机构和监管机构可以审查论证以支持其决策。最终用户如果出于不同目的使用系统,可以更新论证。
Q3: 可信性论证能否应用于纯软件系统?
可以。该标准涵盖系统的所有方面,包括软件。软件可信性证据可以来自形式化验证、测试覆盖分析、故障注入测试、操作剖面测试和可靠性增长建模。同样的主张-证据-论证结构适用。
Q4: 当新证据与现有可信性论证相矛盾时怎么办?
标准承认这种情况——当矛盾证据出现时,不确定性可能增加而非减少。应审查和修订可信性论证,分析矛盾证据以确定其对主张的影响。这可能需要额外的证据收集、设计变更或修订要求。
