8、系统-of-系统安全案例中的虚实辨析

系统-of-系统安全案例中的虚实辨析

1. 安全案例

许多标准要求系统需附带安全案例，系统-of-系统（SoS）也不例外。安全案例是一种基于证据的论证，表明系统在特定运行环境中具有可接受的安全性。它记录了支持系统安全声明的潜在推理和证据。我们认为所提出的危害评估过程与安全案例的创建是兼容的，并且能够创建一个可管理的 SoS 安全案例，该案例考虑了 SoS 的特定问题并符合相关标准。

1.1 基于过程的标准

像 IEC 61508、DEFSTAN 00 - 55 和 DO - 178B 这类基于过程的标准，列出了预定的活动。系统开发者遵循这些活动后，系统被认为具有可接受的安全性。这三个标准都采用基于风险的方法，根据风险后果（如灾难性、重大等）为系统分配“安全”级别，如安全完整性级别。安全级别代表系统必须达到的量化风险目标，基于事故发生的概率和/或事故的严重程度。根据系统所需达到的安全级别，标准规定了开发者获取系统运行保证的方法，这也适用于证据收集，每个安全级别都有规定的测试技术和方法（或推荐方法）的表格。一般来说，更高的保证级别需要对系统进行更彻底的检查，可能涉及额外的测试技术来“交叉检查”系统行为，以及更先进的技术（如形式化方法）来为系统安全运行声明提供整体保证。

1.2 基于目标的标准

与之相反，像 DEFSTAN 00 - 56（第 4 版）这类基于目标的标准，要求开发者通过结构化推理和提供安全案例来确保交付系统的安全性。这包括在系统开发过程中适时使用正确的（系统开发）技术来支持安全案例。这种方式具有更大的灵活性，因为开发者无需使用特定的技术集。尽管这两类标准采用不同的理念，但普遍认为风险越高，所需的证据和审查就越多。在基于过程