ISO15026-3-2023系统和软件工程系统和软件保障第3部分:系统完整性级别(中文文字版).docx
《ISO15026-3-2023系统和软件工程系统和软件保障第3部分:系统完整性级别(中文文字版).docx》由会员分享,可在线阅读,更多相关《ISO15026-3-2023系统和软件工程系统和软件保障第3部分:系统完整性级别(中文文字版).docx(40页珍藏版)》请在课桌文档上搜索。
1、国际标准ISO/IECIEEE15026-3第三版2023-10系统和软件工程一系统和软件保障一第3部分:系统完整性级别IngnierieduIogicieletdessystmesAssuranceduIogicieletdessystmes一Partie3:NiveauxdintegritedusystemeIEEE参考编号ISO/IEC/IEEE15026-3:2023(E)国际标准化组织/国际电工委员会2023IEEE2023国际电ee受版权保护的文档国际标准化组织/国际电工委员会2023IEEE2023国际电ee保留所有权利。除非另有规定,或在其实施过程中另有要求,否则未经事先书面许
2、可,不得以任何形式或任何电子或机械方式(包括影印或在互联网或内联网上发布)复制或使用本出版物的任何部分。可以向以下相应地址的ISO或IEEE申请许可,也可以向申请者所在国家/地区的ISO成员机构申请许可。ISO版权局电气和电子工程师协会CP401Ch.deBlandonnet83ParkAvenue,纽约CH-1214Vernier,GenevaNY10016-5997,USA电话:+41227490111传真:+41227490947电子邮件:copyrightiso.orgEiL子M件:StdS.iprieee.org网站:WWW.iso.org网站:WWW.ieee.org瑞士出版内容前
3、言iv1. 范围12. 规范性参考文献13. 术语和定义14. 定义完整性级别31. 本条款3的用户2. 定义完整性等级的适当区域33. 指定完整性级别4的上下文1. 指定与系统相关的信息42. 指定与风险相关的信息44. 指定完整性级别声明和完整性级别51. 关键概念52. 指定完整性级别声明63. 指定一组完整性级别75. 指定完整性级别要求81. 指定一组完整性级别要求82. 指定完整性级别与其完整性之间的理由级别要求86.指定完整性级别确定过程95.使用完整性级别91. 本条款9的用户2. 使用完整性级别10的目的3. 使用完整性级别10的结果6. 系统完整性级别确定111. 一般问题
4、112. 系统完整性等级确定过程的目的113. 系统完整性等级确定过程的结果124. 系统完整性等级确定过程的活动127. 分配系统元素完整性级别131. 分配系统元素完整性级别过程的目的132. 分配系统元素完整性级别过程的结果133. 分配系统元素完整性级别过程的活动138. 满足完整性级别要求141. 一般问题142. 满足完整性等级要求的目的143. 满足完整性级别要求的结果144. 二、满足诚信等级要求的活动149. 一、协议和批准机构16附件A(信息性)ISOIECIEEEI50263的使用示例17参考书目21IEEE通知和摘要22前言ISO(国际标准化组织)和IEC(国际电工委员
5、会)构成了全球标准化的专业体系。作为ISO或IEC成员的国家机构通过各自组织为处理特定技术活动领域而设立的技术委员会参与国际标准的制定。ISo和IEC技术委员会在共同感兴趣的领域进行合作。其他国际组织,无论是政府还是非政府组织,都与国际标准化组织和国际电工委员会联络,也参与了这项工作。ISO/IEC指令第1部分描述了用于制定本文档的程序以及用于进一步维护的程序。特别是,应注意不同类型文件所需的不同批准标准本文件是根据ISO/IEC指令第2部分的编辑规则起草的(参见第WWW.iso,orgdiectives或WWW.ivc.chmmbersexperts/refdocs)。IEEE标准文件由IE
6、EE协会和IEEE标准协会(IEEE-SA)标准委员会的标准协调委员会制定。IEEE通过美国国家标准协会批准的共识制定过程来制定其标准,该过程将代表不同观点和兴趣的志愿者聚集在一起,以实现最终产品。志愿者不一定是研究所的成员,并且无偿服务。虽然IEEE负责管理该过程并制定规则以促进共识制定过程中的公平性,但IEEE并不独立评估、测试或验证其标准中包含的任何信息的准确性。ISO和IEC提请注意本文件的实施可能涉及使用(a)专利的可能性。ISo和IEC对任何己主张的专利权的证据、有效性或适用性不持任何立场。截至本文件发布之口,ISO和IEC尚未收到实施本文件可能需要的(a)专利的通知。但是,请实施
7、者注意,这可能不代表最新信息,这些信息可以从www.iso.org/patents和https:PatentS.iec.ch提供的专利数据库中获得。ISO和IEC不负责识别任何或所有此类专利权。本文档中使用的任何商品名称均为方便用户而提供的信息,并非构成背书。有关标准的自愿性质的解释、与合格评定相关的ISo特定术语和表达的含义,以及有关ISO在技术性贸易壁垒(TBT)中遵守世界贸易组织(WTO)原则的信息,请参www.iso.org/iso/foreword.htmlOiIEC1l,*i1lwww.iec.ch/understandingstandards本文件由联合技术委员会ISO/IECJ
8、TCK信思友次、小组委员会SC7、软件和系统工程,与IEEE计算机学会系统制软件工程标准委员会合作编写,根据ISO和IEEE之间的合作伙伴标准开发组织合作协议。第三版取消并取代了第二版(ISO/IEC15026-3:2015),后者己经过技术修订。主要变化如下: 删除ISO/IEC/IEEE15026-1:2019中已包含的重复术语条目,但为便于参考,本版中包含的一些基本术语; 对每个参考文献当前版本的规范性参考文献进行了更新。ISO/IEC/IEEE15026系列中所有器件的列表可在ISO和IEC网站上找到。有关本文档的任何反馈或问题应直接向用户的国家标准机构提出。这些尸体的完整清单用WWW
9、.iso.org/members.html和www.iec.ch/national-committeeScISO/IEC2023-版权所有V系统和软件工程一系统和软件保障一第3部分:系统完整性级别1.范围本文档规定了完整性级别的概念,以及实现完整性级别的相应完整性级别要求。提供了定义和使用完整性级别及其相应的完整性级别要求的要求和推荐方法。本文档涵盖系统、软件产品及其元素,以及相关的外部依赖关系。本文档适用于系统和软件,供以下人员使用:1. 诚信等级的定义者,如行业和专业组织、标准组织和政府机构;2. 完整性级别的用户,例如开发人员和维护者、供应商和收购方、系统或软件用户、系统或软件的评估者以
10、及系统和/或软件产品的行政和技术支持人员。诚信级别的一个重要用途是供应商和收购方在协议中,例如,帮助确保交付系统或产品的安全、财务或安保特性。本文档未规定一组特定的完整性级别或其完整性级别要求。此外,它没有规定完整性级别使用与整个系统或软件工程生命周期过程集成的方式。但是,它确实提供了在附件A中使用该文件的示例。3. 规范性参考文献以下文件在正文中引用的方式是,其部分或全部内容构成本文件的要求。对于注明日期的参考文献,仅引用的版本适用。对于未注明日期的参考文献,适用参考文献的最新版本(包括任何修订)。ISO/IEC/IEEE12207,系统和软件工程-软件生命周期过程ISO/IEC/IEEE1
11、5288,系!统和软件工程-系统生命周期过程ISO/IEC/IEEE15026-1,系统和软件智-系统和软件保障-第1部分:概念和词汇4. 术语和定义就本文档而言,ISO/IEC/IEEE15026-1和以下条款中给出的术语和定义适用。150. IEC和IEEE维护术语数据库,用于以下标准化地址:oISO在线浏览平台:可在https:WWW.iso.org/obp/ui IECElectropedia:可在https:WWW.electropedia.org处获得 IEEE标准词典在线:可在https:dictionary.ieoe.org获得3.1完整性级别利益系统满足相关完整性级砥踮的置信
12、度(3.4)条目注1:相关社区尚未就“完整性”的定义与“完整性级别”中的使用一致。因此,本文件中没有关于完整性的单独定义。条目注释2:完整性级别与满足完整性级别声明的可能性不同,但它们密切相关。注3:“信心”一词意味着诚信程度的定义是一个主观概念。注4:在本文件中,完整性级别是根据风险定义的,因此包括安全、安保、财务和与利益系统相关的任何其他风险方面。资料来源:ISO/IEC/IEEE15026-1:2019,3.3.1,已修改条目注释1已修订,以更准确、更清晰删除了对1SO/IEC25010的引用;在条目注释4中,“经济”已替换为“金融”。3.2诚信等级保证机构负责证明符合该管等级鎏求的独立
13、个人或组织(3.5)来源:ISO/IEC/IEEE15026-1:2019,3.5.4,已修改一该术语已从“诚信保证机构”更改为“诚信等级保证机构”。3.3完整性级别定义权限负责定义完整性级别和完整性级别要求的个人或组织3.4完整性级别声明命题表示对在相关系统的风险处理过程中确定的风险降低措施的要求。注1:一般而言,完整性等级声明是根据要求来描述的,当满足这些要求时,将避免、控制或减轻危险情况的后果,并提供可容忍的风险。注2:IEC61508中可被视为完整性等级声明的声明是E/E/PE安全相关系统在所有规定条件下令人满意地执行指定的安全功能。资料来源:ISO/IEC/IEEE15026-1:2
14、019,3.3.4,已修改条目的注释1和2已修订,以更准确、更清晰。3.5完整性级别要求满足这些要求后,将对相关完整性级砥组JLM)提供与相关完整性级别口)相称的置信度)来源:ISOIECIEEEl5026-1:2019,3.3.2,已修改一条目注释1已删除。0,定义完整性级别1. 本条款的用户此子句解释了为特定系统域定义一组完整性级别的过程以及相关产品的一般要求,例如完整性级别、完整性级别声明和完整性级别要求。因此,该条款的用户是制定规范以定义一组完整性级别的组织。这些组织被称为诚信等级定义机构,包括国际或国内标准化组织、任何其他标准化组织、任意行业组织或组织中负责组织合同管理政策或标准的部
15、门。图1显示了定义完整性级别的过程的概述。加磔的响汽蟠吸电苏嘲阻止加呻羸钥匙表示福呈流(为简单起见,不显示流程迭代)图1定义完整性级别2. 用于定义完整性级别的适当区域并非所有区域都适合定义和使用完整性级别。只有当执行定义的人员充分理解该领域的大量相关经验时,才应为该领域定义完整性等级。完整性级别可用于风险水平(例如高、中、低)可以明确定义。每个风险级别都为满足完整性级别声明所需的不同置信度提供了基础。注意:保证案例通过为诚信级别相关定义和方法提供合理的论据,与诚信级别一起工作,以证明完整性级别的实现。在相关经验较少或不太了解的领域,它们的重要性会增加。3. 指定完整性级别的上下文1. 指定与
16、系统相关的信息完整性级别定义机构应指定有关目标区域中系统的以下信息,以阐明所定义的完整性级别的适用范围:1. 定义目标系统类别;2. 对环境的假设。注意目标系统类别定义的示例可在IEC61508和ISO26262系列中找到。IEC61508和ISO26262系列系统目标类别的定义涉及“用于执行安全功能的电气/电子/可编程电子(E/E/PE)系统”和“包括一个或多个电气和/或电子(E/E)系统的安全相关系统,并安装在最大车辆总质量高达350Okg的批量生产乘用车上,分别。2.指定与风险相关的信息完整性级别定义机构应指定以下与目标区域中系统相关的风险信息,以阐明所定义的完整性级别的适用范围:1.
17、权益财产;2. 可能的不良后果;3. 可能的危险情况以及与危险一起的环境状态条件将导致不良后果;4. 风险标准;5. 可容忍的风险;6. 对风险降低措施结构的假设。注1虽然一般来说,风险是不确定性的负面或正面影响(ISo指南73),但本文档重点关注负面影响的风险。有关感兴趣属性的信息给出了负面影响的定义。不良后果可能具有(但不限于)以下属性: 对导致后果的事件的描述; 事件发生的可能性; 后果的严重性; 事件的可控性;事件的曝光(时间)。危险情况可以按导致该条件的事件类型进行分类。应考虑以下事件类型:随机故障;O系统性故障;O由系统元素之间的交互引起的故障,这些系统没有任何故障兀O由环境元素和
18、系统元素之间的交互导致的故障(例如,由威胁代理引起的故障)。还应考虑危险情况的可能性。风险标准指定了系统相关风险的含义,并用于指定可容忍的风险。风险标准被定义为与适用的合同、法律和监管约束相一致,这些约束可以作为可容忍风险的基础。在指定风险标准之前,定义将评估风险的类别。这些风险类别可能包括:人类健康和安全;环境保护;遵守法律和法规;安全;成本;项目进度;声誉;和性能。为适用类别定义了严重性和可能性的等级。利益相关者通常会合作并就风险标准达成一致。降低风险的措施不仅包括用于降低风险的系统部分,例如,固有的安全设计,以及与安全或安保相关的功能,还包括处理风险的组织支持或社会框架,例如,操作员的应
19、急计划、用户手册中的警告以及开发人员的安全或安保相关标准或法规。应采用减少风险措施的结构,以澄清哪些部分由目标系统类别负责。典型的结构是多层保护结构,以确保安全。对风险降低措施结构的假设由以下标准构成:O多层结构,以降低环境和目标系统的风险;O系统中与降低风险措施相关的部分,包括未定义或未独立识别的部分;O包含人为因素的风险降低措施;风险降低措施功能丧失的可检测性;执行风险降低措施的需求频率。注2IEC61508假设安全相关系统可以独立识别。注3:ISO26262系列假设驾驶员在安全相关机制中发挥重要作用,包括事件的可控性等方面。注4IEC61508给出了三组完整性级别,每组级别对应于执行功能
20、安全机制的需求模式。1. 指定完整性级别声明和完整性级别2. 关键概念图2描述了本文档中关键概念之间的关系。完整性级别框架的目标是实现相对于相关系统及其环境的可容忍风险。完整性级别声明是对在相关系统的风险处理过程中确定的风险降低措施的要求。完整性级别声明的满足应避免、控制或减轻利益系统的任何危险情况。危险条件与特定环境状态相结合会导致不利后果。风险处理过程应产生可容忍的风险,其中风险的特征是其不良后果,具有严重性和可能性的属性。Rk钥匙表示“A是B旬SA是B图2-关键概念之间的关系完整性级别是利益系统满足其完整性级别声明的置信度。完整性级别要求是指在满足时将提供必要程度的置信度的要求。3. 指
21、定完整性级别声明诚信级别声明是关于风险降低措施的主张,如果声明属实,则可实现可容忍的风险。完整性级别声明应为满足以下条件的声明:1.声明应是关于目标系统类别中的系统以及为该系统采取的风险降低措施的主张;2.应说明对环境或系统条件的任何假设,这些假设是完整性级别声明有效的先决条件。在风险处理过程中,可以达到可容忍的风险。作为风险治疗的手段,可以有几种不同的选择;索赔可能因这些方式而异。引入危险条件的概念是为了捕捉导致一种或多种不利后果的潜在情况,并考虑消除或避免不良后果的方法(图3)。因此,完整性级别声明通常根据危险条件进行定义: 声称危险情况得到控制; 声称避免了危险情况; 上述陈述的组合。I
22、Llilftru犬况?口完整性等级声明之间的关系另一种类型的诚信等级声明可以考虑用于其他风险降低措施,包括处理风险源和不利后果:声称风险源已被移除;O声称减轻了不利后果;O上述陈述的组合。对于定义一组完整性级别,不需要精确的声明。例如,声明可能只是说明假设的风险降低措施以预期的方式执行。注1风险处理的典型选项可在ISO31000中找到。注2:索赔可以是上述风险处理方案的任意组合的陈述。注3IEC61508中可被视为完整性等级声明的命题是关于E/E/PE安全相关系统在所有规定条件下令人满意地执行指定安全功能的命题。注4ISO26262中提供了将消除风险源和减轻不利后果相结合的完整性级别声明示例。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ISO15026 2023 系统 软件工程 软件 保障 部分 完整性 级别 中文 文字
链接地址:https://www.desk33.com/p-990725.html