Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
ISO/IEC 15026-1:2015 (CAN/CSA-ISO/IEC 15026-1:15) 系统和软件保证 第1部分:概念和词汇详解
深入理解保证案例与保证等级的基础框架
一、标准概况与适用范围
随着系统复杂度的不断提升,安全攸关与高可信系统对保证(Assurance)的需求日益迫切。ISO/IEC 15026-1:2015 是国际标准化组织与国际电工委员会联合发布的系统和软件保证系列标准的第1部分,加拿大标准协会将其采纳为国家标准 CAN/CSA-ISO/IEC 15026-1:15(等同采用)。该标准为系统与软件保证领域提供了统一的术语和概念框架,是所有保证活动的基础性参考文献。截至2026年,该标准已被全球航空、汽车、医疗、核电和轨道交通等行业广泛引用和采纳。
本标准适用于任何规模与类型的系统/软件保证活动,包括新研项目、在役系统升级以及商用现成(COTS)产品的集成。其主要目的包括:
- 统一系统与软件保证领域的基本术语,消除跨行业、跨标准的沟通歧义;
- 定义保证案例(Assurance Case)、保证等级(Assurance Level)等核心概念的语义与结构;
- 为同系列其他部分(如ISO/IEC 15026-2 保证案例框架、ISO/IEC 15026-3 保证完整性等级、ISO/IEC 15026-4 生命周期中的保证)提供基础。
| 项目 | 内容 |
|---|---|
| 完整标准编号 | ISO/IEC 15026-1:2015 / CAN/CSA-ISO/IEC 15026-1:15 |
| 发布机构 | ISO、IEC、CSA(加拿大标准协会) |
| 所属系列 | ISO/IEC 15026(系统和软件保证) |
| 标题 | 系统和软件保证 — 第1部分:概念和词汇 |
| 最新确认/参考年份 | ISO 确认2020年有效;本文参考2026年行业实践 |
| 适用范围 | 为系统与软件保证提供通用词汇与概念框架;适用于所有行业的关键与安全攸关系统 |
二、主要技术内容与要求
2.1 核心概念定义
标准明确了以下关键术语的规范含义:
- 保证(Assurance):对系统满足其保证目标(即所声明的安全、可靠、可用性等属性)提供合理论证和证据,以建立信任的持续过程。
- 保证案例(Assurance Case):一种结构化论证,包含目标(Claims)、论据(Arguments)和证据(Evidence),用于证明系统在特定环境下具备所需属性。
- 保证等级(Assurance Level):根据系统风险等级或完整性要求而定义的一整套保证严格度要求,决定论证的深度与证据的严格性。
- 完整性(Integrity):保证案例中证据与论据的可信程度及无缺失、无篡改的属性。
这些术语互通形成了保证领域通用的语言,使得各行业、各学科能够基于一致的理解开展保证工作。
2.2 保证案例的结构
标准将保证案例视为一种结构化论证模型,其基本构造称为 GSN(目标结构表示法) 或类似表示。保证案例通常包含:
- 顶层目标:系统总体保证声明(例如“系统在所有操作条件下保持安全”)。
- 子目标分解:将顶层目标按系统功能、模块或风险条块分解为可论证的子目标。
- 论据:连接子目标与证据的逻辑推理链,说明为何所给证据能支持目标。
- 证据:来自测试、分析、评审、形式化验证等活动的可追溯数据项。
- 语境:对系统定义、假设、判定标准等上下文信息的描述。
2.3 保证等级的定义框架
虽然ISO/IEC 15026-3具体定义了保证完整性等级(Assurance Integrity Level, AIL),本部分建立了等级的概念基础:保证等级越高,对论证的完整性、证据的严格性和独立性要求越高。下表归纳了在实际项目中常见的保证等级划分(基于AIL框架):
| 保证完整性等级 | 典型描述 | 适用场景示例 |
|---|---|---|
| AIL 0 | 无明确保证要求 | 非关键信息系统 |
| AIL 1 | 低保证 | 功能失效后果轻微 |
| AIL 2 | 中保证 | 一般工业控制系统 |
| AIL 3 | 高保证 | 安全攸关系统(如汽车ADAS) |
| AIL 4 | 超高保证 | 可能导致灾难的系统(如航空飞控) |
技术要点:保证等级的选择应当基于系统潜在危害的风险分析,并贯穿系统全生命周期进行动态调整。等级越高,所需证据的严格度和独立性越强。
三、实施与应用要点
在实际项目中应用ISO/IEC 15026-1的概念框架,通常遵循以下步骤:
- 定义保证目标:明确系统需要保证的安全、可靠、可用性等关键属性。
- 确定保证等级:基于危害分析和风险可接受准则,选出适用的保证完整性等级。
- 建立保证案例:采用GSN或文本模板构建目标—论据—证据的完整链路,并记录假设与语境。
- 收集并管理证据:确保所有证据可追溯、可重复、可独立评审。
- 持续维护与评审:在系统变更、运行反馈或认证审查时更新保证案例。
为保证实施效果,团队应具备跨学科的论证能力,并借助专门工具(如AdvoCATE、D-Case等)来管理保证案例的复杂结构。
常见误区:许多项目将保证案例等同于证据堆砌,缺少显式的论据链。没有逻辑论证的证据无法建立信任,这是保证案例失败的首要原因。
实施效益:结构化的保证案例能够帮助团队在早期发现论证缺口,减少后期返工成本,并显著提升第三方认证的通过率。
强制要求:在安全攸关系统中(如航空航天、核电),监管机构明确要求保证案例可独立审查,所有证据必须具有清晰标识、版本和可追溯性。
四、与其他标准的关系
ISO/IEC 15026-1作为基础术语标准,其概念被大量行业标准所引用或兼容:
- IEC 61508(功能安全基础标准):其安全生命周期和完整性等级概念与保证等级直接对应,且安全案例实质就是一种保证案例。
- ISO 26262(道路车辆功能安全):要求建立安全案例,其结构与该标准描述的保证案例完全一致。
- ISO 25000系列(软件质量要求与评价):保证概念可用于论证质量属性的满足程度。
- DO-178C(航空机载软件开发):其软件验证案例与保证案例理念相通。
- ISO 15026-2、-3、-4:分别提供保证案例框架、保证完整性等级定义和生命周期集成指南,与本部分形成完整体系。
通过ISO/IEC 15026-1的统一术语,不同行业能够在相同的概念层级上讨论保证问题,极大地促进了跨领域的技术交流和标准融合。
问:ISO/IEC 15026-1与IEC 61508在保证方面有何具体关系?
答:IEC 61508是功能安全的基础标准,它使用安全完整性等级(SIL)和安全管理要求。ISO/IEC 15026-1则为保证案例和保证等级提供了通用概念框架。实践中,IEC 61508的安全案例可以视为保证案例的一种实例,而SIL可归类为保证完整性等级(AIL)的特例。两个标准在术语和论证思路上互补,许多组织同时采用。
答:IEC 61508是功能安全的基础标准,它使用安全完整性等级(SIL)和安全管理要求。ISO/IEC 15026-1则为保证案例和保证等级提供了通用概念框架。实践中,IEC 61508的安全案例可以视为保证案例的一种实例,而SIL可归类为保证完整性等级(AIL)的特例。两个标准在术语和论证思路上互补,许多组织同时采用。
问:保证案例与安全案例是否有区别?
答:保证案例(Assurance Case)是一个通用概念,用于论证任何系统属性(安全、可靠、安保、可用性等)。安全案例(Safety Case)是保证案例在安全领域的具体应用,仅关注安全性。ISO/IEC 15026-1使用保证案例涵盖所有可信性属性。
答:保证案例(Assurance Case)是一个通用概念,用于论证任何系统属性(安全、可靠、安保、可用性等)。安全案例(Safety Case)是保证案例在安全领域的具体应用,仅关注安全性。ISO/IEC 15026-1使用保证案例涵盖所有可信性属性。
问:在小型项目中如何合理应用保证等级?
答:小型项目或低风险系统可选用AIL 1或AIL 2,重点保证关键功能,不必追求完全文档化。核心是识别出最可能导致严重后果的风险并为之构建简洁的保证案例。采用迭代方式逐步完善,避免过度工程化。
答:小型项目或低风险系统可选用AIL 1或AIL 2,重点保证关键功能,不必追求完全文档化。核心是识别出最可能导致严重后果的风险并为之构建简洁的保证案例。采用迭代方式逐步完善,避免过度工程化。
问:加拿大CAN/CSA版与ISO/IEC原版有何差异?
答:CAN/CSA-ISO/IEC 15026-1:15是ISO/IEC 15026-1:2015的等同采用,仅在封面和标准编号上采用CSA格式,技术内容完全一致,无任何增减。在加拿大市场使用该版本可满足法规认可。
答:CAN/CSA-ISO/IEC 15026-1:15是ISO/IEC 15026-1:2015的等同采用,仅在封面和标准编号上采用CSA格式,技术内容完全一致,无任何增减。在加拿大市场使用该版本可满足法规认可。
