ISO/IEC 15504-5-13:2017 信息技术 — 过程评估 — 第5-13部分：安全过程评估模型示例

标准概况与适用范围

ISO/IEC 15504 系列标准，通称 SPICE（Software Process Improvement and Capability dEtermination），是国际上广泛采用的过程评估框架。其中 ISO/IEC 15504-5-13:2017 是该系列第 5 部分（过程评估模型示例）下的第 13 个子部分，专门定义了一个面向系统安全与功能安全领域的过程评估模型（Process Assessment Model, PAM）。该标准依据 ISO/IEC 15504-2《执行评估》中提出的元模型要求，为安全关键过程提供了详细的过程目的、过程结果以及能力等级指标。

本标准适用于任何需要评估安全相关过程能力的组织，尤其适合汽车（ISO 26262）、航空航天（DO-178C/ED-12C）、轨道交通（EN 50128/50129）、工业自动化（IEC 61508）以及医疗设备（IEC 62304）等高安全完整性等级要求的行业。组织可利用该标准进行内部过程改进、供应商能力评定或第三方合规评估。截至 2026 年，该标准仍是安全过程评估领域的重要参考文档，对提升安全文化与过程成熟度具有指导意义。

标准实施的益处： 通过采用 ISO/IEC 15504-5-13 进行安全过程评估，组织能够系统识别安全开发过程中的薄弱环节，量化过程改善效果，并有效降低因过程缺陷导致的安全风险。

主要技术内容与要求

ISO/IEC 15504-5-13 的核心内容包括以下三个方面：

1. 安全过程参考模型（Security Process Reference Model, PRM）

标准首先定义了一组安全领域特有的过程，并为每个过程规定了明确的目的（Purpose）与结果（Outcomes）。这些过程覆盖从安全策略制定、需求导出、风险评估、安全设计、验证、确认到配置管理等全生命周期活动。下表列出了安全过程参考模型中的部分典型过程示例：

过程 ID	过程名称	过程目的（摘要）
SEC.1	安全计划过程	建立并维护安全计划，确定安全策略、目标和职责，确保安全活动纳入项目计划。
SEC.2	安全需求导出过程	识别并定义系统层面的安全需求，确保危险分析结果被有效转化为可验证的要求。
SEC.3	安全设计过程	设计系统架构和组件以消除或控制危险，并确保安全需求得以实现。
SEC.4	安全验证过程	通过系统分析与测试，证明安全需求已被正确实现，并满足预期安全完整性水平。
SEC.5	安全确认过程	在真实使用环境下确认系统的安全有效性，确保所有风险被控制到可接受水平。

2. 安全过程能力度模型（Process Capability Model）

标准沿用了 ISO/IEC 15504-2 定义的能力等级框架，从等级 0（不完整）到等级 5（持续优化），并为每个过程针对性地定义了基础实践（Base Practices）、工作产品（Work Products）和管理实践（Management Practices）等评估指标。下表总结了能力等级的关键特征：

能力等级	名称	关键特征
0	不完整（Incomplete）	过程未达到预定目的或几乎没有实施证据。
1	已实施（Performed）	过程实现了其目的，但未进行系统化管理。
2	已管理（Managed）	过程中的工作产品得到适当规划、监控和调整。
3	已建立（Established）	使用组织级标准过程，并针对项目进行裁剪。
4	已量化管理（Quantitatively Managed）	过程表现通过度量和统计技术进行管理。
5	持续优化（Optimizing）	基于量化数据与反馈，过程得到主动改进。

3. 评估指标与证据框架

针对每一个安全过程，标准明确了要求的工作产品（如安全计划、危险分析报告、安全验证计划等）以及每个基础实践的输入、输出与评价准则。评估人员依据这些指标收集客观证据并按能力等级评级。

实用提示： 在应用本标准进行评估时，建议评估团队不仅具备过程评估资质（如 ISO/IEC 15504 评估员认证），还应拥有功能安全知识（如 IAF 等）以准确判定安全过程实施的充分性。

实施与评估应用要点

评估流程

实施基于 ISO/IEC 15504-5-13 的安全过程评估通常分为以下步骤：

确定评估范围： 根据目标选择待评估的安全过程（如安全计划、安全需求导出等），并定义评估深度和符合性等级要求。
组建评估团队： 包括主任评估师、安全专家和记录员。团队成员需独立于被评项目以确保客观性。
证据收集： 通过文档评审、访谈、现场观察等方式收集过程实施的客观证据。
评级与报告： 对标标准中的基础实践和工作产品要求，给出每个过程的单项能力等级，并计算整体能力谱图。
改进计划： 依据评级结果制定安全过程改进路径，优先提升关键安全过程至目标等级。

重要注意事项： 评估时应注意将安全过程评估与通用软件过程评估区分。安全过程具有领域特殊性，例如危险分析与风险评价的经验直接决定了安全需求导出的质量，评估员若缺乏安全工程背景，容易对过程是否满足“已建立”等级作出误判。建议在评估前对团队进行安全意识培训。

安全关键要求： 对于安全完整性等级（SIL）较高的系统（如汽车 ASIL D 或工业 SIL 3/4），组织需要通过评估证明安全过程能力至少达到能力等级 2（已管理级），否则可能不符合功能安全标准的强制性合规要求。

与其他过程改进框架的整合

该标准可与其他软件/系统过程改进模型协调使用。例如：

CMMI®：可将其安全过程评估结果映射至 CMMI 的工程过程域，作为安全成熟度评估的补充。
ISO 26262-6/8：该标准的安全过程参考模型与 ISO 26262 的过程要求高度一致，评估结果可直接支撑功能安全流程审核。

与其他标准的关系

ISO/IEC 15504-5-13 是 SPICE 系列有机组成部分，其依赖性及协同关系如下：

ISO/IEC 15504-2:2012 — 本标准的核心元模型基础，所有评估方法均遵循其框架。
ISO/IEC 12207:2008 与 ISO/IEC 15288:2015 — 本标准中的安全过程参考模型承袭了这两个生命周期标准的过程架构，并针对安全特性进行了领域化扩展。
IEC 61508 系列 — 作为功能安全的基础标准，ISO/IEC 15504-5-13 的安全过程定义与 IEC 61508 的安全生命周期活动兼容，组织可将两者结合实现双合规。
ISO 26262:2018 — 特别针对汽车行业，本标准的过程结果可与 ISO 26262-2（安全管理）、26262-4（系统设计）等要求对齐，已广泛应用于汽车软件供应商的过程能力评估。
EN 50126/50128/50129 — 在铁路信号与控制系统中，本标准同样可以作为安全管理过程评估的参考模型。

通过协同应用上述标准，组织可以构建统一的安全过程评估与改进体系，降低重复审核成本，提高安全性与工程效率。

合规优势： 统一采用 ISO/IEC 15504-5-13 作为安全过程评估的公共基准，有助于在跨行业的供应链中建立通用的安全过程能力语言，便于系统集成商和监管机构的一致性评价。

常见问题（FAQ）

问： ISO/IEC 15504-5-13 是否适用于非安全关键系统？
答：原则上可以，但其过程指标主要针对安全相关活动。对于一般非安全系统，建议使用 ISO/IEC 15504-5-1（软件过程评估模型）或组织定制模型。若希望建立预防性安全文化，本标准的安全风险评估和确认过程同样具有参考价值。

问：该标准与 ISO 26262 的关系是什么？
答： ISO 26262 是面向汽车功能安全的产品标准，它规定了“做什么”（安全生命周期要求）。ISO/IEC 15504-5-13 则侧重“过程能力”（怎么做、做得多好）。两者互补：组织可先按 ISO 26262 建立安全生命周期，再使用本标准评估其过程成熟度，从而满足功能安全审核中对于“过程能力”的期望。

问：组织如何起步实施本标准？
答：建议三步走：
① 培训内部评估员和安全专家，理解标准中的安全过程定义及能力等级指标；
② 选取 1-2 个典型项目进行试点评估，建立本地化证据要求；
③ 将评估结果纳入持续改进计划，逐步扩展至所有安全相关项目。可借助 SPICE 评估工具简化记录和评级工作。

问：评估结果能否用于供应商资格认定？
答：完全可以。许多整车厂、航空航天系统集成商已将安全过程能力等级作为供应商准入的强制性筛选条件。通过本标准得出的评估报告具有行业认可度，可作为供应商安全过程能力的客观证据。

📥 标准文件下载

🔒

请等待 10 秒，广告加载完成后将自动显示下载链接