Argevide

Weryfikacja AI z użyciem argumentacji assurance case

Andrzej Wardziński — Tue, 05 May 2026 09:22:23 +0000

Wiarygodność i kompletność dokumentacji ma kluczowe znaczenie w certyfikacji systemów. Zastosowanie AI skutecznie przyspiesza przygotowanie takiej dokumentacji, ale może jednocześnie mieć wpływ na jej jakość. Jak efektywnie sprawdzać taką dokumentację, gdy jest duża? Ważne jest, aby informacje były przedstawiane w formie ułatwiającej realizację przeglądów przez człowieka. Taką formą są strukturalne argumentacje assurance case. Ułatwiają prowadzenie weryfikacji i kontroli.

Na ile problem jest poważny i czy taka weryfikacja jest potrzebna? W kwietniu FDA wydało Warning Letter odrzucając zgłoszenie rejestracji leku i wskazując na poważne błędy procesowe, w tym związane z niewłaściwym zastosowaniem AI (zajrzyj do sekcji „Inappropriate Use of Artificial Intelligence”). Podejście FDA jest bardzo restrykcyjne. Konsekwencje przedstawienia nieprawdziwych informacji w zgłaszanej dokumentacji mogą być bardzo poważne. Gdzie są przyczyny tych problemów? Czy dokumenty tworzone przez AI tylko przykrywają błędy ludzi? Niestety AI nie tylko halucynuje, ale też generuje błędy. Publikacja Microsoft Research „LLMs Corrupt Your Documents When You Delegate” wskazuje, że AI może skutecznie uszkodzić nawet 25% dokumentacji po wykonaniu 20 iteracji pracy nad nią. Z jednej strony AI przyspiesza prace, ale jednocześnie tworzy nowe zagrożenie.

Strukturalne argumentacje powstały w celu uporządkowania informacji pod kątem ich weryfikacji oraz ułatwienia przeglądów dokumentacji złożonych systemów. Powiązane informacje, które powinny być sprawdzone razem, bo prowadzą do określonego konkretnego wniosku, są w argumentacji obok siebie. Osoba weryfikująca ma je razem podane na tacy, nie musi ich szukać. Assurance case ułatwia życie weryfikującym, nie twórcom systemu. Jeżeli AI tworzy jakąś dokumentację systemu, to możemy też delegować do AI zadanie uporządkowania informacji z tej dokumentacji w formie argumentacji. Zwykle nie będzie potrzebna żadna modyfikacja samej dokumentacji systemu, bo argumentacja jest dodaną strukturą informacji, która może po prostu odwoływać się do poszczególnych dokumentów i ich fragmentów. Tworzona argumentacja pozwala trochę spojrzeć na dokumentację okiem audytora. Samo zadanie tworzenia argumentacji może pomóc AI w lepszym zrozumieniu celów i poprawy dokumentacji. Niech AI tworzy takie argumentacje, a człowiek niech je sprawdza. Maksimum efektu przy minimum wysiłku.

Jak argumentacje ułatwiają weryfikację?

Argumentacje w jawny sposób pokazują wnioskowanie w jaki sposób możemy wykazać cechy systemu, takie jak bezpieczeństwo, na podstawie dokumentacji. Wnioskowanie jest podzielone na małe kroki o jasno określonych kryteriach akceptacji. Nie oceniamy dużych bloków informacyjnych, ale małe i konkretne kroki wnioskowania. Jeżeli któryś z kroków jest niekompletny, na przykład niepełny zakres testów, łatwo to wskazać.
Kroki wnioskowania są ze sobą połączone i tworzą razem spójną całość. Gdy zauważymy niespójność kontekstu, można wskazać konkretne miejsce do poprawy. Na przykład wymagania dotyczące środowiska eksploatacyjnego komponentu mogą nie być spójne ze środowiskiem docelowym systemu.
Argumentacja jest trwałym zapisem informacji. Jeżeli wskażemy nieprawidłowe kroki argumentacji, to problem ten jest rejestrowany i czeka na rozwiązanie w kolejnej wersji. Mamy w assurance case pełną historię przeglądów. Kontrolujemy proces dochodzenia do pełnej akceptacji.
Argumentacje zachowują powiązania w całej dokumentacji od celów na poziomie systemu, takich jak poziom bezpieczeństwa (safety), zabezpieczeń (security) lub zgodności z normami. Gdy znajdziemy lukę lub błąd w argumentacji, łatwo można to powiązać z wymaganiami i celami określonymi dla systemu.
Mając argumentację możemy wygenerować raport przeglądu. Raport taki stanowi dowód nadzoru człowieka nad procesem i zadaniami AI. Take dowody są istotne w certyfikacji systemu.

Argumentacje assurance case mogą być wykorzystywane jako narzędzie weryfikacji wyników dostarczanych przez AI. Podejście takie jest łatwiejsze dla ludzi niż analiza wprost dokumentacji, choć jej też nie da się całkowicie uniknąć.

Planujesz zastosowanie argumentacji assurance case do weryfikacji wyników generowanych przez AI? A może już prowadzisz takie działania? Podziel się swoimi doświadczeniami lub pytaniami.

Artykuł Weryfikacja AI z użyciem argumentacji assurance case pochodzi z serwisu Argevide.

Certyfikacja systemów AI

Andrzej Wardziński — Wed, 08 Apr 2026 17:01:02 +0000

Certyfikacja systemów AI to złożony proces, który obejmuje zarówno regulacje dotycząc AI, jak i regulacje branżowe. W szczególności rozporządzenie AI Act (EU 2024/1689) definiuje pojęcie systemów wysokiego ryzyka, dla których zostały określone dodatkowe wymagania. Dla tak złożonego procesu, zastosowanie assurance case daje możliwość efektywnego zarządzania rozwojem systemu dla jego certyfikacji.

AI Act definiuje systemy wysokiego ryzyka trochę inaczej, niż przywykliśmy w dziedzinie systemów krytycznych, bo oprócz systemów mających wpływ na zdrowie ludzi i infrastruktur krytycznych, są tu też systemy mające wpływ na prawa podstawowe w UE, pracę, dostęp do usług, wymiar sprawiedliwości czy procesy demokratyczne. Zastosowanie AI w systemie medycznym, na przykład diagnozowania obrazowego, jest typowym przykładem systemy wysokiego ryzyka w rozumieniu AI Act. Jest to system krytyczny, będący przedmiotem regulacji i standardów dotyczących bezpieczeństwa wyrobów medycznych.

Wymagania certyfikacji

Aby porozmawiać o zastosowaniu assurance case dla takiego systemu musimy zacząć o określenia zakresu wymagań formalnych.

Taki system spełnia kryteria systemu wysokiego ryzyka w rozumieniu AI Act, który określa też wymagania na certyfikację zgodności przed dopuszczeniem do użytkowania.
ISO 13485 to podstawowy wymóg po stronie kwalifikacji systemów medycznych. Standard określa wymagania na system zarządzania jakością, co jest też wymagane przez AI Act.
Kolejny wymagany standard branżowy to ISO 14971 dotyczący zarządzania ryzykiem dla wyrobów medycznych. Zarządzanie ryzykiem jest też wymagane w AI Act dla systemów wysokiego ryzyka.
Nie możemy też zapominać o rozporządzeniu MDR (EU Medical Device Regulation 2017/745) dla wyrobów medycznych.

Przeglądając AI Act znajdziemy też wymagania cyberbezpieczeństwa, gdzie nie ma wprost wymagania stosowania ISO 27001, ale w tym standardzie znajdziemy wymagane zabezpieczenia.

Bardziej szczegółowa analiza może zidentyfikować więcej standardów, ale przedstawiona grupa zapewnia dobrą bazę do prac nad systemem AI i przygotowaniem do jego certyfikacji. Mamy więc dosyć szeroki zakres procesu i dokumentacji, które podlegają ocenie dla akceptacji systemu. Punktów niezależnej oceny jest kilka, w tym ocena wiarygodności klinicznej, audyty systemu zarządzania jakością (QMS), a na koniec ocena zgodności systemu dla AI Act i MDR.

Certyfikacja systemu nie jest końcem, a punktem przejściowym do fazy użytkowania systemu. Mamy wtedy audyty post-market, w szczególności po wystąpieniu incydentów. A co bardziej istotne dla systemów AI, dla każdej nowej wersji, jeżeli model AI jest modyfikowany, wymagana jest ponowna certyfikacja, o ile certyfikacja nie obejmuje ciągłego uczenia się. To wszystko razem tworzy potrzebę silnego zarządzania spójnością całości dokumentacji oraz kontroli zmian i wersjonowania. Assurance case może być centralnym punktem tych prac.

Główne korzyści zastosowania assurance case dla takiego systemu to przede wszystkim:

Efektywność procesu przygotowań i samej certyfikacji dzięki systematyczności podejścia i przejrzystości zapewnianej przez argumentację
Obniżenie ryzyka dzięki sprawniejszemu i wcześniejszemu wykrywaniu luk i niezgodności
Jednolite raportowanie dla wszystkich obszarów systemu przez cały czas życia systemu
Łatwiejsza interakcja z audytorami i instytucją certyfikującą

Sprawność budowy wersji assurance case dla nowych wersji systemu, szczególnie przy automatyzacji argumentacji w pipeline CI/CD

Od czego zacząć?

Certyfikacja czy kwalifikacja systemów często w praktyce obejmuje wiele regulacji i standardów. Tak jest też w przypadku tego systemu. Pierwsze decyzje dotyczą zwykle organizacji procesu assurance case oraz architektury argumentacji. Dobrze, gdy te działania rozpoczynają się wcześnie, na etapie koncepcji systemu. Pomocne są być szablony argumentacji, w szczególności obejmujące zintegrowany zbiór wymagań mających zastosowanie regulacji i standardów.

Zakres wymagań certyfikacji obejmuje wymagania bezpieczeństwa, ale też specyficzne dla technologii AI. Główne wymagania dotyczą dokładności i czułości modeli dla minimalizacji błędów fałszywie pozytywnych i negatywnych oraz walidacja kliniczna. To dotyczy wprost zastosowania w medycynie, ale są też wymagania dotyczące wprost specyfiki AI, na przykład uprzedzeń, interpretowalność, czyli możliwość wyjaśnienia decyzji. Pełna dekompozycja wymagań tworzy złożony szablon argumentacji, który można te dostosowywać do danego systemu i jego specyfiki.

Zastosowanie assurance case daje dobry poziom kontroli procesu na każdym etapie i pozwala obniżyć ryzyko.

Artykuł Certyfikacja systemów AI pochodzi z serwisu Argevide.

Osiem sposobów na zepsucie assurance case

Andrzej Wardziński — Tue, 10 Feb 2026 11:13:04 +0000

Assurance case stosowany w systematyczny i profesjonalny sposób może być podstawowym narzędziem komunikacji w pracach zapewnienia bezpieczeństwa systemu, wczesnym wykrywaniu problemów i zagrożeń oraz podejmowaniu decyzji dotyczących bezpieczeństwa. Może być istotnym czynnikiem wpływającym na efektywność całego procesu rozwoju systemu. Ale gdy nie jest rozwijany we właściwy sposób, może stać się kosztowym i nikomu niepotrzebnym artefaktem. Ryzykujesz porażkę podczas kwalifikacji czy certyfikacji systemu.

Zwykle doradzamy jak budować wiarygodną argumentację, ale dziś spojrzymy na to z drugiej strony i powiemy, jak można skutecznie zepsuć assurance case. Poniższa lista przedstawia osiem najgorszych praktyk podczas budowy argumentacji. Pewnie jest ich więcej, ale te przedstawione na pewno robią duże szkody. Jeżeli widzisz oznaki takich praktyk, to spodziewaj się, że tworzona argumentacja nie będzie użyteczna.

Programiści mają brzydkie zapachy kodu (code smells), czyli złe praktyki programistyczne. Gdy je zauważą w kodzie, to powinni wykonać odpowiednie refaktoryzacje, aby poprawić strukturę i jakość kodu. Poniżej mamy listę praktyk, które możemy nazwać brzydkimi zapachami argumentacji.

Zacznijmy od definiowania celu dla argumentacji.

1. Zdefiniuj bardzo ogólne cele

Po co poświęcać czas na precyzyjne definiowanie głównego postulatu (top claim) argumentacji. Ogólnie zdefiniowany cel da większą elastyczność w czasie projektu, szczególnie gdy zostawimy niedookreślone warunki eksploatacji. Wymagane cechy systemu nie muszą być mierzalne, żeby rozpocząć prace projektu.

W rzeczywistości nieprecyzyjne cele to recepta na porażkę. Różne osoby mogą je różnie interpretować. Nawet gdy zrobisz dobrą inżynierską robotę i dostarczysz dobrej jakości dowody, to całość zostanie uznana za mało wiarygodną. Jedynym rozwiązaniem jest od początku precyzyjnie definiować cele, kontekst i kryteria akceptacji.

2. Twórz argumentację, gdy system jest już wytworzony

Dlaczego zajmować się argumentacją, gdy jesteśmy zajęci rozwojem systemu? Można po prostu na końcu zebrać wytworzoną dokumentację i zbudować na tym argumentację. Najpierw zbuduj system, a potem zrób diagramy GSN.

Sednem assurance case jest argumentacja, nie diagramy. Prawdziwym celem jest budowanie wiarygodności systemu tak wcześnie, jak to tylko możliwe. Możliwie wcześnie należy identyfikować wymagane do wytworzenia dowody. Później wytworzenie czy naprawa dowodów może być zbyt kosztowna. Późny rozwój argumentacji może powodować, że niektóre ryzyka zostaną późno wykryte, gdy już są podjęte i wdrożone decyzje projektowe. Jedyne rozwiązanie, to szybkie rozpoczęcie prac nad argumentacją na początku projektu, wykonywanie iteracji w kolejnych fazach prac wytwórczych oraz uwzględnianie informacji z argumentacji w podejmowanych decyzjach projektowych.

3. Rób prostą dekompozycję postulatów

Po prostu dekomponuj postulaty na postulaty podrzędne bez dodawania wyjaśnień. Bez strategii, bez uzasadnień. Gdy trzeba, stosuj proste strategie typu „Argumentacja przez testy / analizę / zgodność procesu” unikając analizy, czy jest to wystarczające i adekwatne. Innym przykładem prostej strategii jest „stosujemy followed ISO 26262 / DO-178C / IEC 61508, więc system jest bezpieczny”. Stosuj możliwe uproszczenia dekomponując argumentację.

Niewyjaśniona dekompozycja postulatów nie stanowi argumentacji. Tworzenie argumentacji oznacza definiowanie strategii z jawnymi regułami wnioskowania oraz ich uzasadnienia oraz w razie potrzeby również argumentację zaufania. Wnioskowanie musi pokrywać pełny zakres i kontekst postulatu, a wszelkie wyjątki, warunki, założenia, wątpliwości lub ograniczenia powinny być wyraźnie określone. Każdy krok wnioskowania powinien zwiększać poziom pewności osiągania bezpieczeństwa i innych cech systemu. Ciągle zadawaj pytanie: „Czy to naprawdę buduje pewność?” Pytaj też ekspertów o weryfikację.

4. Ignoruj problemy zapewnienia wiarygodności

Przypisz odpowiedzialność za assurance case osobie, która ma mały wpływ na decyzje podejmowane w projekcie. Traktuj assurance case jako pracę administracyjną i dokumentacyjną na potrzeby certyfikacji. Nie angażuj z te prace osób decyzyjnych.

Rzeczywistość jest taka, że jeżeli mamy realnie obniżyć ryzyko w systemie, to właśnie assurance case jest narzędziem, aby możliwie szybki wskazać potrzebne decyzje. Dlatego właśnie odpowiedzialność na rozwój argumentacji powinna mieć osoba decyzyjna. Zwykle w projektach stosowane są dwie główne role, jedna odpowiedzialna za rozwój i druga za weryfikację i kontrolę jakości. Zalecane jest, aby do nich dołączyła trzecia osoba, odpowiedzialna za assurance. Można ją nazwać Lead Assurance Architect lub inaczej. Niezależnie od nazwy roli, ważne jest, aby wyniki assurance case miały wpływ na decyzje projektowe. Wszelkie ostrzeżenia, ryzyka i wymagania na dowody nie powinny być ignorowane. Reakcją na wszelkie problemy zgłaszane z assurance case powinny być odpowiednie akcje, aby zapewnić wymagany poziom zaufania do argumentacji assurance case.

5. Użyj dowodów, które masz pod ręką

Gdy budujesz argumentację opartą o testy, po prostu użyj raportu z testów. Nie trać czasu na sprawdzanie, czy zakres testów jest wystarczający, by w pełni uzasadnić dany postulat. Ufaj, że te dowody, które masz, są właściwe dla celu argumentacji.

Tanie i mylące podejście. Potrzeba dowodów wynika z argumentacji i to argumentacja jest źródłem wymagań na dowody. Najpierw patrz w argumentacji, jakie dowody są potrzebne, a dopiero potem, jaka dokumentacja jest dostępna, nie odwrotnie. Gdy nie ma dowodów spełniających w pełni wymagania, to albo postaraj się, żeby je wzmocnić lub uzupełnić, albo jawnie opisz luki i odstępstwa. Każdy dowód powinien być dokładnie oceniony. W ten sposób budujemy zaufanie do argumentacji.

Należy zauważyć, że postulaty i dowody działają na różnych poziomach abstrakcji. Dowody zazwyczaj przedstawiają dane techniczne, analizy, modelowanie, testy lub innego rodzaju dane techniczne, które agregujemy, aby tworzyć postulaty dotyczące właściwości systemu. Ważne są też kompetencje techniczne, aby w właściwy sposób interpretować dowody, rozumieć wszystkie ograniczenia i kontekst. Wiarygodne argumentacje wymagają wiarygodnych interpretacji dowodów.

6. Ignoruj założenia

Określ założenia tylko kiedy i gdzie jest to wygodne. Można je również umieszczać w opisach postulatów, nie jako osobne elementy. Koncentruj się na głównej argumentacji, nie szczegółach, takich jak założenia. Zakłada się, że założenia są spełnione, więc to nie ma dużej różnicy, czy są wymionione, czy nie.

Jeśli założenia nie są jawnie przedstawione, czytelnicy mogą interpretować assurance case jako zapewnienie, że opisywane właściwości systemu są zawsze zachowanie, również poza zakresem niejawnych założeń, podczas gdy w rzeczywistości tak nie jest. Unikanie dyskusji o założeniach podczas opracowywania argumentacji może prowadzić do późnego zidentyfikowania powiązanych problemów.
Pomijanie założeń jest jak wprowadzający w błąd marketing: ktoś twierdzi, że produkt jest bardzo atrakcyjny, ale zapomina wspomnieć o ograniczeniach i sytuacjach, gdy nie działa.

7. Zakładaj pewność i zerowe ryzyko resztkowe

Skup się na głównym rozumowaniu w argumentacji, nie wchodząc w szczegóły dotyczące ograniczeń, poziomu zaufania czy występująch luk. Zakładaj, że cała argumentacja jest w pełni skuteczna. Gdy minimalizujesz ryzyko, pomijaj problem ryzyka resztkowego. Pomijaj właściwości, których nie da się przetestować lub wymagają innych metod weryfikacji.

To bardzo naiwne podejście. Żaden system nie jest całkowicie bezpieczny ani zabezpieczony. Celem argumentacji jest wyraźne pokazanie pozostałego poziomu niepewności, ograniczeń oraz tego, czy jaki jest poziom ryzyka po wprowadzeniu zabezpieczeń i czy jest on akceptowalny. Akceptacja czy kwalifikacja systemu powinna być świadomą decyzją, biorącą pod uwage wszystkie ograniczenia i niepewności oraz ryzyko resztkowe.

7. Nie aktualizuj argumentacji

Celem jest formalna akceptacja assurance case. Gdy to zostanie osiągnięte, traktuj je jako formalny dokument, a nie jako produkt techniczny, który wymaga aktualizacji, tak jak wszystkie inne elementy konfiguracji systemu.

Assurance case, które nie są zgodne z aktualną wersją systemów, stają się bezużyteczne dla inżynierów. Argumentacja ma wartość tylko wtedy, gdy jest aktualizowana zgodnie ze wszystkimi produktami procesu wytwórczego systemu. W przeciwnym razie staje się jedynie dokumentem historycznym. Aby tego uniknąć, potrzebny jest skuteczny proces konfiguracji i zarządzania zmianami. Należy utrzymywać jawne informacje o statusie, czy dany fragment argumentu jest aktualny.

Podsumowanie

Warto sprawdzić, czy wymienione powyżej problemy występują w Twoich projektach. Musimy na nie szybko reagować, aby nie zaszkodziły naszym argumentacjom i skuteczności procesu. Właściwe stosowanie assurance case wymaga odpowiedniego przygotowania, warunków organizacyjnych oraz umiejętności technicznych. Dbajmy nie tylko o to, aby diagram GSN ładnie wyglądały, ale przede wszystkim o jakość procesu.

Artykuł Osiem sposobów na zepsucie assurance case pochodzi z serwisu Argevide.

Automatyzacja assurance case narzędziami CI/CD

Andrzej Wardziński — Thu, 15 Jan 2026 12:10:43 +0000

Stosowanie narzędzi CI/CD jest coraz bardziej powszechne w rozwoju systemów krytycznych. Te same narzędzia mogą być też stosowane do automatyzacji tworzenia i utrzymania assurance case w zakresie struktury argumentacji i dowodów oraz weryfikacji i aktualizacji danych o statusie.

Proces CI/CD a assurance case

Zacznijmy od pojęcia procesów automatyzacji CI/CD (Continuous Integration i Continuous Delivery/Deployment) i zobaczmy, jak to może być powiązane z assurance case dla rozwijanego systemu. Proces CI/CD zapewnia automatyczne wytworzenie, testowanie i wdrożenie produktu, gdzie główną częścią produktu jest oprogramowanie. Czy dane stosowane w procesie CI/CD są użyteczne dla assurance case danego systemu? Niewątpliwie tak, to obejmuje przynajmniej informacji o konfiguracji systemu oraz wyniki testów automatycznych, co ma wpływ na strukturę argumentacji oraz stosowane dowody. Dodatkową wartość dają wyniki testów, które mogą służyć do aktualizacji informacji o statusie argumentacji.

Proces CI/CD może też obejmować wszystkie informacje potrzebne dla budowy safety / security case dla danej wersji systemu. Głównymi artefaktami dla security case będą tu modele zagrożeń (HARA, STRIDE), SBOM (Software Bill of Materials), raporty SAST / DAST / IAST. Dla safety będą to modele hazardów, HAZOP, FMEA, FTA. Gdy proces CI/CD zapewnia zgodność wszystkich artefaktów dla danej wersji systemu, otrzymujemy spójny zestaw danych i dowodów do wykorzystania w assurance case. Automatyzacja zapewnia, że przy wytworzeniu nowej wersji systemu możemy otrzymać wszystkie dane do utworzenia argumentacji, a jednym z końcowych kroków procesu CI/CD może być właśnie wytworzenie samego assurance case.

Podejście jest skuteczne, gdy cały proces CI/CD jest od początku zaprojektowany, aby zapewnić wszystkie informacje potrzebne dla zasilenia assurance case. Umożliwia to osiągnięcie Safety/Security Case driven development proces, gdzie cały proces rozwoju systemu jest ukierunkowany na dostarczenie argumentacji oraz dowodów potrzebnych dla certyfikacji systemu.

Proces generowania argumentacji

Technicznie proces integracji assurance case w procesie CI/CD może obejmować cztery działania pokazane na diagramie poniżej.

Pierwszy krok dotyczy szablonu argumentacji. Nawet jeżeli używasz prostych skryptów do generowania argumentacji, to musisz je zweryfikować przed zastosowaniem. My stosujemy szablony, co daje możliwość użycia uniwersalnego narzędzia generowania argumentacji. Dobrze jest przygotować metamodel systemu na potrzeby argumentacji, dzięki czemu można w pierwszym kroku wykonać weryfikację poprawności szablonu oraz zgodność z metamodelem.

Drugi krok jest kluczowy dla pozyskania danych do budowy argumentacji. Dane w procesie CI/CD są zwykle umieszczona w repozytorium GIT z zastosowaniem różnych formatów danych. Jeżeli plik z repozytorium za być użyty wprost jako dowód w argumentacji, to może być zastosowana referencja do danego pliku, ale w wielu przypadkach potrzebne jest wydobycie danych potrzebnych dla argumentacji. Generator argumentacji potrzebuje danych wejściowych stanowiących spójną ontologię zgodnie z metamodelem danych systemu. Niektóre dane mogą być wprost dostępne, ale często potrzebne jest parsowanie AST dla wydobycia właściwych danych. W wyniku kroku mamy dane dotyczące danej wersji systemu w formacie modelu gotowego do zastosowania do generowania argumentacji.

Trzeci krok jest głównych krokiem generowania argumentacji dla modelu danych systemu zgodnie z szablonem assurance case. Zgodnie z warunkami i parametrami zdefiniowanymi w szablonie tworzona jest argumentacja dla danej wersji systemu z odwołaniami do właściwych dowodów. Argumentacja jest zapisywana w formacie JSON zgodnym z metamodelem OMG SACM i może być dalej poddawana przetwarzaniu.

Ostatnim, czwartym krokiem, jest weryfikacja argumentacji. Obejmuje to kontrolę kompletności, spójności oraz innych warunków poprawności. W wyniku, oprócz samej argumentacji, dostajemy raport jej weryfikacji.

Kolejne działania dotyczące wygenerowanej argumentacji są już realizowane po procesem CI/CD. Na przykład narzędzie PREMIS jest stosowane dla wizualizacji argumentacji w diagramach GSN oraz generowania raportów. Można też w PREMIS łączyć wygenerowane moduły argumentacji z innymi argumentacjami, które są tworzone ręcznie.

Jeżeli zagadnienia automatyzacji assurance case są dla Ciebie interesujące lub masz pytania, napisz do nas!

Artykuł Automatyzacja assurance case narzędziami CI/CD pochodzi z serwisu Argevide.

Argumentacja przez eliminację (Eliminative Argumentation)

Andrzej Wardziński — Fri, 05 Dec 2025 17:24:54 +0000

Argumentacja przez eliminację (Eliminative Argumentation) jest alternatywnym podejściem do budowy assurance case. Zwykle argumentacja jest budowa w sposób pozytywny i koncentruje się na zapewnieniu dlaczego uważamy, że cel został osiągnięty. Argumentacja przez eliminację polega na stałym zadaniu pytania „a jeżeli?”. Struktura argumentacji może być całkiem podobna do zwykłej argumentacji pozytywnej, ale chodzi tu o nastawienie podczas prac na szukanie słabych punktów argumentacji, które stanowią przeszkodę w wykazaniu celu argumentacji. Osiąga się to przez jawne wskazywanie możliwych słabych punktów i następnie jawne wykazywanie, że podane słabości nie występują. Siłą podejścia jest właśnie jawne pokazywanie wszystkich znanych przeszkód. Pozwala to na uniknięcie błędu nadmiernego optymizmu i naginania faktów do planowanego celu.

Proces budowy argumentacji przez eliminację też jest trochę inny. Dla każdego kroku wnioskowania, rozpoczynając od wnioskowania dla głównego postulatu (claim’a), wykonywana jest analiza dla identyfikacji wszystkich możliwych przyczyn, że dany cel nie może zostać osiągnięty. Każda przeszkoda (defeater) zostaje jawnie opisana w argumentacji. W kolejnym kroku dla każdej przeszkody należy znaleźć argumentację popartą dowodami, że dana przeszkoda nie jest skuteczna. Dla tej argumentacji też należy sprawdzić, jakie są możliwe kolejne przeszkody, które mogą sprawić, że nie będzie skuteczna. Budowa argumentacji trwa tak długo, aż nie można już zidentyfikować więcej przeszkód, oraz wszystkie przeszkody są skutecznie odrzucone.

Prześledzimy stosowanie podejścia budowy argumentacji przez eliminację na prostym przykładzie, zaczerpniętym z pierwszej publikacji o tym podejściu, raportu SEI „Eliminative Argumentation: A Basis for Arguing Confidence in System Properties” z roku 2015. Celem argumentacji jest wykazanie, że działa światło w pokoju.

Zaczniemy od tradycyjnego podejścia do budowy argumentacji, to znaczy definiujemy główny postulat, a dla niego strategię bazującą na dekompozycji na cele szczegółowe takie jak dostępność energii elektrycznej, podłączenie włącznika oraz sprawność żarówki. Dla każdego z nich należy podać dowody na spełnienie wymagań. Przykładowa argumentacja jest pokazana na diagramie poniżej.

A teraz spojrzymy na to stosując podejście argumentacji przez eliminację. Główny cel będzie taki sam, ale nie tworzymy pod nim strategii nastawionej pozytywnie, ale szukamy warunków, które mogą spowodować, że żarówka nie zaświeci. Warunki dodajemy jako zastrzeżenia „chyba, że…”. Zaczynamy od tego, że żarówka zaświeci, chyba, że nie będzie zasilania. Następnie możemy powiedzieć, że żarówka zaświeci, chyba że włącznik nie będzie podłączony. Gdy skończy się lista znanych problemów, to na końcu możemy dodać „chyba, że wystąpi inny, nieznany jeszcze problem”.

Warunkiem zakończenia tego etapu budowy argumentacji jest brak wiedzy o innych możliwych przeszkodach. Jeżeli dowiemy się o jakiejś innej możliwe przyczynie mogącej spowodować brak spełnienia warunków dla wnioskowanego postulatu, to należy ją dodać jako kolejną przeszkodę.

Dla każdej przeszkody określonej w argumentacji należy teraz wskazać argumentację, że dla naszego systemu dana przeszkoda nie wystąpi. Może to być opisane przez jeden lub więcej postulatów, albo strategia wspierana przez argumentację. Ważne jest przedstawienie przekonujących dowodów, że dana przeszkoda nie stanowi problemu lub jej ryzyko jest wystarczająco niskie. Dla nieznanych przeszkód należy wykazać, że wykonaliśmy tyle działań ich identyfikacji i odpowiednia ich liczba została zidentyfikowana, że kontynuacja nie przyniesie już korzyści z redukcji poziomu ryzyka.

Powstała argumentacja ma podobną strukturę jak przy tradycyjnym podejściu, ale zawiera jawnie podane przeszkody dla osiągania celu danego assurance case. W naszym przykładzie lista dowodów jest prawie taka sama. Jedyna różnica wynika z faktu, że uzasadnienie J1 w pierwszym diagramie nie jest wspierane przez żaden dowód.

Argumentacja budowane przez eliminację przeszkód wymagają trochę więcej pracy, ale jawna prezentacja przeszkód ułatwia weryfikację argumentacji. Pozwala to potencjalnie osiągać wyższy poziom wiarygodności i jakości argumentacji.

Obecnie można już stosować podejście budowy argumentacji przez eliminację w PREMIS. Sposób prezentacji argumentacji oraz funkcje oceniania zostały rozszerzone o nowy typ elementów argumentacji, przeszkody (defeaters).

Artykuł Argumentacja przez eliminację (Eliminative Argumentation) pochodzi z serwisu Argevide.

Uwzględnianie ograniczeń systemu w assurance case (SOTIF)

Andrzej Wardziński — Thu, 20 Nov 2025 13:57:48 +0000

Assurance cases zazwyczaj opierają się na argumentach dotyczących bezpieczeństwa funkcjonalnego, aby wykazać, że awarie nie spowodują niebezpiecznych sytuacji. Jednak wypadki mogą mieć też inne przyczyny związane z zachowaniem systemu niż awarie. Właśnie tutaj pojawia się SOTIF. Skrót ten oznacza bezpieczeństwo zamierzonej funkcjonalności. Co to oznacza? Obejmuje on łagodzenie czynników ryzyja związanych z nieoczekiwanymi sytuacjami lub ograniczeniami systemu. Jednym z przykładów nieoczekiwanej sytuacji jest jasne światło słoneczne utrudniające pojazdowi autonomicznemu identyfikację pasów ruchu. Innym przykładem jest niewłaściwe użycie systemu, takie jak wydanie przez operatora systemu poleceń, których nie przewidziano dla danego trybu pracy systemu. SOTIF pomaga nam zapewnić bezpieczne zachowanie systemu we wszelkich nieoczekiwanych sytuacjach.

SOTIF rozszerza bezpieczeństwo funkcjonalne

Bezpieczeństwo funkcjonalne koncentruje się na zagrożeniach wynikających z usterek lub awarii komponentów systemu, sprzętu lub oprogramowania. W sektorze motoryzacyjnym jest to opisane w normie ISO 26262. Natomiast norma ISO 21448 reguluje zapewnienie bezpieczeństwa w przypadku zagrożeń spowodowanych ograniczeniami systemu i nieoczekiwanymi sytuacjami, czyli SOTIF.

Proces zapewnienia bezpieczeństwa SOTIF obejmuje kilka kroków:

Granice i zakres zamierzonej funkcjonalności muszą zostać zdefiniowane w Projektowej Domenie Operacyjnej (ODD).
Zachowanie systemu jest analizowane pod kątem potencjalnie niebezpiecznych scenariuszy.
Identyfikacja zabezpieczeń, które mogą być powiązane z modyfikacjami funkcjonalnymi w celu osiągnięcia celów SOTIF.
Wdrożenie i weryfikacja zaplanowanych środków łagodzących.
Walidacja przeprowadzana jest w zróżnicowanych i reprezentatywnych warunkach.
Monitorowanie w terenie w celu oceny i utrzymania SOTIF jest definiowane do wdrożenia w trakcie eksploatacji systemu.

Argumentacja SOTIF

Realizacja procesu SOTIF musi być przedstawiona w argumentacji safety case systemu. ISO 21488 zwiera wskazówki jak to robić oraz przykładowe argumentacje GSN. Poniżej przedstawiono przykładowy fragment argumentacji najwyższego poziomu dla procesu zapewnienia bezpieczeństwa SOTIF przed jego wdrożeniem. Dla każdej głównej fazy procesu SOTIF utworzono w argumentacji osobny postulat (Claim).

Argumentację tę należy rozszerzyć o drugą gałąź dla fazy operacyjnej cyklu życia systemu. Ponieważ argumentacja jest opracowywana i zatwierdzana przed rozpoczęciem eksploatacji systemu, koncentruje się na nie na realizacji procesu utrzymania bezpieczeństwa SOTIF, ale na zademonstrowaniu możliwości realizacji tego procesu. W trakcie eksploatacji systemu można argumentację rozszerzyć o dowody, że te działania są wykonywane.

Ponieważ SOTIF stanowi rozszerzenie bezpieczeństwa funkcjonalnego, pojawia się pytanie, jak te dwie argumentacje są ze sobą powiązane. Istnieje kilka wspólnych działań lub produktów procesu, które są współdzielone między bezpieczeństwem funkcjonalnym a SOTIF, takich jak:

zidentyfikowane hazardy
ograniczenia i założenia bezpieczeństwa funkcjonalnego
cele i wymagania bezpieczeństwa
weryfikacja i walidacja wymagań bezpieczeństwa

Można opracować oddzielne moduły assurance case dla bezpieczeństwa funkcjonalnego oraz dla SOTIF, które mogą w razie potrzeby odwoływać się do wspólnych artefaktów. Prawdopodobnie konieczne będzie dodanie postulatu, aby wykazać, że środki bezpieczeństwa funkcjonalnego i SOTIF są spójne i łącznie wystarczające do osiągnięcia akceptowalnego poziomu ryzyka systemu.

Prezentowaną argumentację SOTIF można przeglądać online w PREMIS, korzystając z tego linku.

Podsumowując, wspólne assurance case obejmujące SOTIF i bezpieczeństwo funkcjonalne pozawala na zapewnienie bezpieczeństwa systemu obejmującego hazardy związane zarówno z awariami, jak i ograniczeniami systemu, w tym z sytuacjami nieoczekiwanymi. Norma ISO 21448 jest dedykowana dla sektora motoryzacyjnego, ale to podejście jest również przydatne w innych branżach.

Artykuł Uwzględnianie ograniczeń systemu w assurance case (SOTIF) pochodzi z serwisu Argevide.

LTAC – Prosty tekstowy format opisu assurance case

Andrzej Wardziński — Thu, 30 Oct 2025 04:41:46 +0000

Podczas pracy z argumentacjami assurance case użyteczny może być prosty tekstowy format ich opisu. Chodzi o to, aby taka tekstowa argumentacja była możliwa do zrozumienia dla człowieka oraz do stosowania z narzędziami AI, a jednocześnie formalnie zdefiniowana, aby można było takie argumentacje importować do edytorów assurance case. W takim właśnie celu wprowadzamy LTAC – Lightweight Text Assurance Case. Spójrzmy na przykład argumentacji. Czy jest zrozumiały?

- Claim G1: System is acceptably safe to operate
  - Context C1: System Definition
  - Strategy S1: Argue by mitigating all hazards
    - Claim G2: All  hazards have been identified
      - Evidence E1: Hazard analysis report
    - Claim G3: All identified hazards have been mitigated
      - Strategy S3: Decompose mitigation argument by identified hazards
        - Claim S5: All identified hazards have been accurately assessed
        - Claim S6: Mitigation strategies have been implemented for all hazards
        - Claim S7: The effectiveness of the mitigation measures has been validated
    - Claim S4: Continuous monitoring of risks is in place

Powyższy fragment argumentacji jest zrozumiały dla człowieka i to jest bardzo ważne. Można łatwo taką argumentację przeglądać i modyfikować w razie potrzeby.

Gdy argumentacja ta zostanie wklejona do PREMIS, otrzymujemy diagram GSN jak poniżej.

Argumentacja LTAC może być tworzona ręcznie, ale też z użyciem narzędzi AI lub skryptów. Jeżeli chcesz stosować narzędzie AI, to najpierw podaj instrukcję, aby stosować notację LTAC zgodnie ze specyfikacją LTAC. Gdy narzędzie AI pozna notację LTAC, może bez problemu tworzyć i analizować takie argumentacje.

Gdy argumentacja jest większa, to taka forma tekstowa staje się już trudniejsza do przeglądu przez człowieka. Tym niemniej fragmenty argumentacji w LTAC są ciągle łatwe do stosowania.

Jest też jeszcze jedno poważne ograniczenie LTAC. Taka tekstowa argumentacja jest skutecznym rozwiązaniem, gdy nie ma opisów elementów argumentacji lub metadanych takich jak oznaczenie ‘undeveloped’ lub tagi. W takim wypadku można stosować bardziej zaawansowane notacje tekstowe, w tym stosujące YAML. Jednak, gdy dane pojedynczego elementu argumentacji są bardziej złożone i nie są prezentowane w jednym wierszu, stają się trudniejsze do ręcznej analizy.

LTAC jest skutecznym rozwiązaniem gdy stosujesz narzędzia AI, a jednocześnie chcesz przeglądać i korygować argumentację przed wstawieniem do narzędzia assurance case.

Artykuł LTAC – Prosty tekstowy format opisu assurance case pochodzi z serwisu Argevide.

Stosowanie argumentacji zaufania w assurance case

Andrzej Wardziński — Tue, 21 Oct 2025 12:06:59 +0000

Argumentacje zaufania (confidence argument) pomagają uzasadnić, że główne argumentacje w assurance case są skuteczne i wiarygodne. Podczas gdy argumentacja główna bezpośrednio odnosi się do bezpieczeństwa systemu, celem argumentacji zaufania jest odpowiedź na pytanie, dlaczego powinniśmy ufać, że argumentacja główny jest wiarygodna. Niektóre standardy i wytyczne, a także niektóre organizacje certyfikujące, wymagają wykazania wprost argumentacji zaufania, czyli spójnego i kompletnego uzasadnienia dla argumentacji głównej.

Punktem początkowym jest zademonstrowanie zaufania w pojedynczym kroku argumentacji. Istnieje kilka sposobów, aby to zrobić. Poniżej przedstawiamy zastosowanie elementów argumentacji typu uzasadnienia. Standard GSN, wersja 3, w sekcji 1:2.2.18 podaje: „Uzasadnienie może być również powiązane ze strategią, aby zapewnić wsparcie dla argumentacji opisanej przez strategię” („A justification can also be connected to a strategy, to provide backing for the argument described by the strategy”). O to właśnie chodzi. Potrzebujemy wyraźnego wsparcia dla kroku wnioskowania argumentacji opisanego przez strategię. Wsparcie powinno mówić, na jakiej podstawie powinniśmy zaufać, że dana argumentacja jest właściwa, działająca dla pełnego wymaganego zakresu, wspierana przez wszystkie wymagane przesłanki, a wszystkie znane problemy i słabości zostały rozwiązane. Aby stworzyć takie wsparcie, rozszerzyliśmy stosowanie elementu typu Uzasadnienia o możliwość jego wsparcia przez argumentację. Umożliwiamy również powiązanie uzasadnień z postulatami zaufania (confidence claims). Takie podejście pozwala na oddzielenie argumentu głównego od argumentu o pewności.

PREMIS rozszerza strukturę argumentacji GSN umożliwiając wsparcie uzasadnienie przez dowolną argumentację. Poniższy diagram przedstawia po lewej stronie prostą argumentację bezpieczeństwa z uzasadnieniem J1, które jest linkiem do postulatu zaufania CC1. Jego struktura argumentacji jest przedstawiona po prawej stronie. Ten przykład ilustruje, jak można zaimplementować argumentację zaufania i jak jest ona powiązana z główną argumentacją bezpieczeństwa.

To podejście można zastosować zarówno do poszczególnych kroków argumentacji, jak i do przypadków pełnego zapewnienia bezpieczeństwa.

Argument główny stwierdza, że osiągnięto akceptowalny poziom bezpieczeństwa systemu. Każde stwierdzenie w tym argumencie przyczynia się do osiągnięcia bezpieczeństwa systemu.
Argument pewności powinien uzasadniać, że każdy krok argumentacji argumentu głównego jest prawidłowy. Nie przyczynia się to bezpośrednio do bezpieczeństwa systemu, ale jest wymagane, aby zaufać głównemu argumentowi bezpieczeństwa. Jeśli nie możemy przedstawić przekonującego argumentu pewności dla danego kroku argumentu głównego, nie możemy ufać jego poprawności.

Przykład argumentacji bezpieczeństwa i wiarygodności procesu

Poniższy diagram mapy argumentacji przedstawia to zastosowanie opisywanego podejścia dla prostego przykładu assurance case. Mapa argumentacji pokazuje strony diagramów sekcji argumentacji. Dla każdej strony podana jest nazwa głównego postulatu danej strony. Lewa część diagramu zawiera główną argumentację bezpieczeństwa, a argumentacja zaufania jest wyświetlana po prawej stronie. Pełna argumentacja tego assurance case jest dostępna online w systemie PREMIS pod poniższym linkiem.

Przedstawiona tutaj argumentacja zaufania zawiera zaledwie pięć postulatów, co jednak wystarcza do zademonstrowania jej struktury. Powinna być tworzona bezpośrednio w oparciu o proces rozwoju systemu lub jego cykl życia. Argumentacja zaufania powinna być z jednej strony spójna z procesem rozwoju, a jednocześnie zachowywać spójność ze strukturą głównej argumentacji bezpieczeństwa. Dla każdego kroku głównej argumentacji należy przedstawić odpowiadającą mu argumentacje zaufania. W praktyce będą istnieć setki postulatów zaufania oraz linków do argumentacji bezpieczeństwa. Chociaż zastosowanie bramek jakości i innych punktów kontrolnych wdrożonych w procesie zapewnienia bezpieczeństwa może uprościć powiązanie tych dwóch argumentacji, to cały czas argumentacja zaufania musi pokrywać swoim zasięgiem wszystkie wymagania odpowiednich standardów w zakresie procesu rozwoju systemu.

To podejście można rozszerzyć o stosowanie dodatkowych warstwy argumentacji. Na przykład w wytycznych MISRA dotyczących argumentacji bezpieczeństwa w motoryzacji zaproponowano kolejną warstwę argumentacji o nazwie „Środowisko organizacyjne”, która powinna zawierać argumentacje wykazującą, że wszystkie działania w cyklu życia systemu są wykonywane przez organizację w odpowiednim środowisku, obejmującym między innymi system zarządzania jakością (SZJ), proces ciągłego doskonalenia i odpowiednie kwalifikacje zespołu.

Podział warstw argumentacji poprzez stosowanie oddzielnych gałęzi lub modułów argumentacji może ułatwić zarządzanie dużymi assurance case podczas rozwoju, przeglądów i utrzymania systemów. Relacje między główną argumentacją a warstwami argumentacji zaufania są łatwe do utrzymania w systemie PREMIS, gdy struktura argumentacji głównej jest spójna z procesem rozwoju systemu.

Artykuł Stosowanie argumentacji zaufania w assurance case pochodzi z serwisu Argevide.

Wskaźniki operacyjne SPI w dynamicznych assurance case

Andrzej Wardziński — Wed, 10 Sep 2025 12:52:40 +0000

Assurance case stosowane są nie tylko w fazie rozwoju systemu, ale też jego eksploatacji. Dla wielu systemów stosowane są wtedy wskaźniki bezpieczeństwa – Safety Performance Indicators (SPI). Wskaźniki te służą do monitorowania i oceny poziomu bezpieczeństwa systemu w czasie jego eksploatacji. Pomagają one określić, czy cele bezpieczeństwa są osiągane i dostarczają wczesnych sygnałów ostrzegawczych o pojawiających się zagrożeniach. Są również przydatne w identyfikacji słabych punktów w systemie zarządzania bezpieczeństwem.

Argumentacje bezpieczeństwa systemów nie powinny ignorować SPI, ponieważ są one istotnym źródłem informacji o bezpieczeństwie systemu w trakcie jego eksploatacji. Charakter tych wskaźników jest jednak inny, niż zwykłe dowody w argumentacji assurance case. Wartości wskaźników SPI są zmienne i argumentacja musi być w stanie tę zmienność obsłużyć. Potrzebujemy dynamicznych przypadków zapewnienia bezpieczeństwa, które mogą reagować na zmiany raportowanego SPI.

Proces przetwarzania SPI a assurance case

Proces ten składa się z trzech kroków, które mogą być wykonywane automatycznie:

Transfer danych SPI. Przeniesienie danych z systemu pomiaru SPI do uzasadnienia do elementów argumentacji odwołań do dowodów. Dane SPI są przechowywane jako dynamiczne dowody w ramach argumentacji. Oznacza to, że dane w argumentacji mogą być aktualizowane codziennie lub częściej, w razie potrzeby. W systemie PREMIS stosowany jest prosty, ogólny format danych dla wartości SPI, który może reprezentować dowolne wartości, w tym informacje tekstowe i liczbowe.
Interpretacja danych SPI. Aktualizacja ocen postulatów wspieranych bezpośrednio przez dowody SPI. System PREMIS umożliwia zdefiniowanie warunków dla wartości SPI w celu określenia wynikowej oceny postulatu. Wskaźniki SPI mogą mieć trzy możliwe statusy: OK (akceptowalny poziom ryzyka), Ostrzeżenie (ryzyko wkrótce) i Alert (zagrożone).
Propagacja informacji. Mechanizm propagacji ocen w PREMIS automatycznie aktualizuje oceny w argumentacji. W zależności od jej struktury, zmiany wartości wskaźników SPI mogą wpływać na oceny zależnych postulatów, łącznie z postulatem najwyższego poziomu (top claim). Przekroczenie progu pojedynczego krytycznego wskaźnika SPI może nawet skutkować odrzuceniem postulatu najwyższego poziomu.

Proces ten działa w pełni automatycznie, gdy wykonane jest połączenie argumentacji w PREMIS do źródłowych systemów, które dostarczają wartości SPI. Może to być jeden system, który integruje wszystkie wskaźniki SPI, ale może to być wiele systemów źródłowych raportujących poszczególne wskaźniki. Jednym z tych systemów może być na przykład Jira. Może to być dowolny system, który udostępnia dostęp sieciowy do swoich danych lub posiada możliwości przekazywania w dowolny sposób, choćby przesyłając maile.

Dynamiczne dowody, takie jak dowody SPI, zmieniają sposób pracy z argumentacją. Taki wskaźnik może zmienić swoją wartość czasem zmieniać swoją rolę na kontr-dowód. Dzieje się tak wtedy, gdy wartość wskaźnika wskazuje, że jakieś wymagania bezpieczeństwa nie są spełnione. Argumentacja bezpieczeństwa systemu może mieć status zaakceptowanej tylko wtedy, gdy dane z pomiarów będą potwierdzały, że faktycznie system spełnia cele bezpieczeństwa. Gdy jakiś dowód dynamiczny wskazuje, że tak się nie dzieje, to wymagane jest reakcja, ale nie poprzez zmiany w argumentacji, jak to ma miejsce dla defeater’ów, ale przez doprowadzenie do zmiany wartości dowodu, czyli w tym przypadku wskaźnika SPI. Naprawa jest więc wykonywana poza argumentacją, bo sama argumentacja jest poprawna. Ale oczywiście, jeżeli naprawa pociąga za sobą zmiany projektowe lub wydanie nowej wersji systemu, to odpowiednie części argumentacji też powinny zostać uaktualnione. Niezależnie od powiązanych zmian argumentacji konieczne jest, aby dowód dynamiczny został przywrócony do akceptowanego stanu wartości SPI i przestał pełnić rolę kontr-dowodu.

Jak to działa w praktyce?

Prostym przykładem wskaźnika bezpieczeństwa (SPI) jest liczba otwartych zgłoszeń dotyczących bezpieczeństwa w Jira. Możemy mieć epik w Jira dla gromadzenia zgłoszeń dotyczących bezpieczeństwa w jednym miejscu lub filtr do wybierania zgłoszeń objętych wskaźnikiem. Załóżmy, że mamy epik bezpieczeństwa i wszystkie zgłoszenia objęte wskaźnikiem powinny być z nim powiązane jako podzgłoszenia. Niektóre zgłoszenia mogą być nieistotne i definiujemy SPI jako liczbę otwartych zgłoszeń dotyczących bezpieczeństwa o priorytecie wysokim lub krytycznym. Jeśli wartość wskaźnika przekroczy zero, powinien został zgłoszony ALARM. Można to przedstawić za pomocą następujących reguł w PREMIS:

W niektórych przypadkach możemy chcieć dodać stan OSTRZEŻENIA (WARNING), który ma był zgłaszany, gdy wartość wskaźnika zbliży się do limitu, ale limit nie został jeszcze przekroczony.

W zależności od ustawień argumentacji, wynik weryfikacji wartości SPI może wpływać na status wspieranego postulatu oraz innych wspieranych elementów, aż do postulatu najwyższego poziomu. Poniższy diagram przedstawia przykład, w którym pomiar SPI zaimplementowany jako dowód argumentacji dał w wyniku status OSTRZEŻENIA dla wspieranego postulatu, co następnie jest propagowane aż do postulatu najwyższego poziomu. Postulat najwyższego poziomu może zostać zaakceptowany tylko wtedy, gdy wszystkie wskaźniki SPI zgłoszą status OK.

Chociaż argumentacje assurance case nie służą do śledzenia problemów z bezpieczeństwem i zarządzania ich rozwiązywaniem, powinny one utrzymywać informacje o aktualnym stan bezpieczeństwa systemu. Assurance case to żywe artefakty, a jednym z aspektów jest wykorzystanie dynamicznych dowodów, takich jak wskaźniki SPI.

Dynamiczne dowody, w tym wskaźniki SPI, są wspierane przez PREMIS. Skontaktuj się z nami, aby uzyskać więcej informacji o stosowaniu dynamicznych dowodów w assurance case.

Artykuł Wskaźniki operacyjne SPI w dynamicznych assurance case pochodzi z serwisu Argevide.

Budowa silnych argumentacji assurance case

Andrzej Wardziński — Fri, 01 Aug 2025 10:48:36 +0000

Silne argumentacje assurance case są tworzone poprzez budowanie zaufania do skuteczności poszczególnych kroków wnioskowania oraz demonstrowanie sposobu rozwiązania znanych słabości i błędów argumentacji. Te dwa podejścia reprezentują dwa różne kierunki argumentacji. Pierwszy koncentruje się na dostarczeniu solidnych podstaw argumentacji, a drugi na jej obronie przed znanymi słabościami i błędami.

Które podejście jest skuteczniejsze i powinno być stosowane? Jawne określenie słabości i błędów argumentacji wydaje się atrakcyjne, ponieważ dostarcza bezpośrednich odpowiedzi na nasze wątpliwości. Kiedy mam uwagę „ale…”, ktoś może wskazać odpowiadający jej fragment argumentacji i przedstawić sposób rozwiązania. W ten sposób argumentacja może rozwiać obawy osób wątpiących. Mogą być oni usatysfakcjonowani, gdy znajdą bezpośrednie odpowiedzi na swoje wątpliwości.

Z drugiej strony, radzenie sobie z argumentami obalającymi tworzy dodatkowe wyjaśnienia dla argumentu, który powinien być przede wszystkim słuszny. Jeśli argument jest słaby, odpowiedź na argument obalający powinna obejmować modyfikację struktury argumentacji. Aby tego uniknąć, powinniśmy od samego początku rozwijać trafne argumenty. Najlepszym sposobem jest oparcie się na sprawdzonych szablonach argumentacji i zapewnienie poprawności wszystkich etapów rozumowania. Celem jest uniknięcie słabości w całym procesie budowania argumentacji.

Jest kilka podstawowych zasad, które pomagają w tworzeniu silnych argumentacji.

Określ strategię dla każdego kroku wnioskowania, unikaj bezpośredniego wsparcia postulatów przez inne postulaty. Pomoże to recenzentom sprawdzić, czy dekompozycja argumentacji jest kompletna i prawidłowa.
Podaj uzasadnienie, dlaczego uważasz, że strategia jest prawidłowa dla danego postulatu w jego kontekście. Czy jest prawidłowa we wszystkich scenariuszach zastosowania? Czy uwzględniłeś wszystkie interakcje? Czy wszystkie postulaty podrzędne są prawidłowe w kontekście głównego postulatu? Zidentyfikuj wszystkie możliwe słabości. Uzasadnienie jest szczególnie ważne, gdy ponownie wykorzystujesz argumentację w nowym kontekście.
Jeśli uzasadnienie nie jest proste, rozszerz je o argumentację zaufania.

Argumentacja zaufania potwierdza skuteczność głównej argumentacji. Te dwie argumentacje tworzą nierozerwalną parę i powinny być zawarte w jednym module assurance case. Pomaga to zapewnić spójność argumentacji. Moduł argumentacji może zawierać jeden lub więcej postulatów argumentacji zaufania. Ogólny schemat stosowania argumentacji zaufania jest przedstawiony na diagramie poniżej.

Argumentacja zaufania dla kroku wnioskowania powinna uzasadniać skuteczność danego wnioskowania, biorąc pod uwagę następujące warunki:

Reguła wnioskowania jest skuteczna dla danego postulatu w jego kontekście.’
Reguła wnioskowania została zastosowana poprawnie i obejmuje cały wymagany kontekst.’
Przesłanki (postulaty wspierające) są poprawnie zdefiniowane i spełniają wszystkie warunki.
Przesłanki są ważne i spójne.
Nie ma nierozwiązanych zgłoszonych słabości i błędów wnioskowania.

Jasno określone strategie i uzasadnienia pomagają wcześnie zidentyfikować słabe punkty argumentacji. Chociaż może się to wydawać spowalniające proces rozwoju, wykrycie luk w argumentacji umożliwia wczesne dostosowanie jej struktury. Przeglądy argumentacji pod kątem wiarygodności, w miarę możliwości z udziałem zewnętrznych recenzentów, są dobrą praktyką w procesie zapewnienia bezpieczeństwa systemu.

Więcej na temat stosowania argumentacji zaufania można przeczytać w artykule „Integrating Confidence and Assurance Arguments” opublikowanym w 2015 roku. Główna idea argumentacji zaufania jest nadal aktualna.

Artykuł Budowa silnych argumentacji assurance case pochodzi z serwisu Argevide.