系統(tǒng)安全軍用標準MIL-STD-882E中文全文

./前言此標準被批準應用于國防部所有的軍事部門和國防機構(gòu)。此系統(tǒng)安全標準是系統(tǒng)工程的關(guān)鍵要素,它為識別、分析和減輕危險提供了一個標準和通用方法。國防部承諾保護個人免受意外的死亡、傷害、職業(yè)病以及在執(zhí)行國防要求的任務時,保護防御系統(tǒng)、基礎(chǔ)設(shè)施和財產(chǎn)免受意外的毀壞或破壞。在任務要求里,國防部也會確保把環(huán)境保護到最大可能的程,整個這些努力就是使用系統(tǒng)安全方法來識別危險并處理與危險相關(guān)的風險。國防部的關(guān)鍵目標是擴大系統(tǒng)安全方法論的使用,來把風險管理融入到整個系統(tǒng)工程當中,而不是把危險看做是操作因素。它不僅可以被系統(tǒng)安全專家使用.還可以應用于其他功能學科,比如火災保護工程師、職業(yè)健康專家和環(huán)境工程師來識別危險并通過系統(tǒng)工程減輕風險。此文件的目的不是在其他功能學科使用系統(tǒng)安全解決個人的危險管理問題,但是,所有使用此通用方法的功能學科都應該把工作協(xié)調(diào)為整個系統(tǒng)工程的一部分,因為一個學科減輕危險的措施可能會在其他學科產(chǎn)生危險。此系統(tǒng)安全標準確定了國防部識別危險并評價和減輕相關(guān)風險的方法,這些危險和風險是在防御系統(tǒng)的開發(fā)、測試、生產(chǎn)、使用以及報廢階段遇到的。這個方法描述了要與國防部指令一致。國防部指令定義了風險的可接受水平。本次修訂包含了滿足政府和工業(yè)要求的改變,恢復了任務說明書。這些任務可能在合同文件中規(guī)定。當本標準在要求或合同中需要的時候,如果沒有特殊要求,只有第三章和第四章是強制的。3.2和整個第四章的定義描繪了任何國防部系統(tǒng)可接受的系統(tǒng)安全最低的強制性定義和要求。本次修訂把標準的執(zhí)行與當前的國防部政策相結(jié)合,支持國防部的戰(zhàn)略性計劃和目標,調(diào)整了信息的組織安排,闡明了系統(tǒng)安全過程的基本要素,闡明了術(shù)語并定義了任務說明書來改善危險管理。本標準強化了其它功能學科與系統(tǒng)工程的結(jié)合,最終通過大綱改進危險管理實務的一致性。特殊的改變包括：a.重新介紹了任務說明書：〔1100-系列任務-管理〔2200-系列任務-分析ii〔3300-系列任務-評價〔4400-系列任務-確認b.強調(diào)了可應用的技術(shù)要求的識別c.包括附加的任務：危險物質(zhì)管理計劃功能危險分析系統(tǒng)之間危險分析環(huán)境危險分析d.應用嚴重性描述損失價值的增加e.增加了"消除"可能性水平f.增加了軟件系統(tǒng)工程技術(shù)和實務g.更新了附錄對此文件的評論、建議或問題應該遞交到美國空軍裝備司令部總部iii附錄B<2>與由軟件引起并控制的系統(tǒng)危險相關(guān)的風險是可以接受的,基于證據(jù)〔危險,起因以及降低風險的措施已經(jīng)根據(jù)國防部顧客的要求得以識別,執(zhí)行以及核實。證據(jù)支持了這樣一種結(jié)論,危險控制提供了必需的降低危險的水平并且合成的風險能夠被適當?shù)娘L險接受權(quán)威所接受。就這一點而言,軟件與硬件和操作者沒有什么不同。如果軟件設(shè)計沒有滿足安全要求,那么就會導致與沒有充分核實軟件危險起因和控制相關(guān)聯(lián)的風險。一般說來,風險評價是以定量和定性的判斷和證據(jù)為基礎(chǔ)的。表格B-I顯示這些原則是如何應用的,來提供一種與軟件因素相關(guān)聯(lián)的評價方法。表格B-I軟件危險因素的風險評價標準風險水平風險標準描述在正?；虿徽５牟僮骰驕y試期間出現(xiàn)軟件執(zhí)行或軟件設(shè)計不足：高度的能直接導致災難性的或危急的事故,或者使系統(tǒng)處于一種狀態(tài),這種狀態(tài)下,沒有獨立的連鎖裝置能夠排除潛在的災難性及危急事故的發(fā)生嚴重的能直接導致臨界的或輕微的事故,或者使系統(tǒng)處于一種狀態(tài),只有一個獨立的連鎖裝置或人為活動來排除潛在的災難性或危急危險的發(fā)生中等的影響臨界的或輕微事故,將系統(tǒng)失效降低到單獨的一點,或者,使系統(tǒng)處于一種狀態(tài),有兩個相互獨立的連鎖裝置或人為活動來排除潛在的災難性或危急性事故的發(fā)生低的影響災難性或危急性的事故,但是有三個相互獨立的連鎖裝置或人為活動保留,或者會有影響臨界的或輕微事故的因果相關(guān)的因素,但是有兩個相互獨立的連鎖裝置或人為活動保留沒有被分類為高度的、嚴重的、或中等的安全風險等級的軟件的安全關(guān)鍵功能退化要求,如果執(zhí)行了,就會對安全產(chǎn)生負面影響,然而代碼是安全執(zhí)行的e.定義并執(zhí)行與危險相關(guān)的風險評價過程對計劃的成功是關(guān)鍵的,尤其是當系統(tǒng)和更加復雜的系統(tǒng)之間相結(jié)合。這些系統(tǒng)之間常常包含在不同的開發(fā)條件和安全計劃下開發(fā)的系統(tǒng),并且可能需要與其他服務〔陸、海、空軍或國防部機構(gòu)系統(tǒng)相接。這些其他的系統(tǒng)之間的利益相關(guān)者可能有他們自己的安全過程,用來決定與他們的系統(tǒng)相結(jié)合的系統(tǒng)的可接受性。軍用標準882E1、范圍1.1范圍：這個系統(tǒng)安全標準的實行確定了國防部系統(tǒng)工程的方法來消除危險,如果可能的話,或者使那些不能消除的危險的風險最小化。國防部指令里5000.02定義了風險可接受的優(yōu)先性。這個標準覆蓋了系統(tǒng)、產(chǎn)品、設(shè)備、基礎(chǔ)設(shè)施〔包括硬件和軟件的貫穿于整個設(shè)計、研發(fā)、實驗、產(chǎn)品、使用和清理階段的所有危險。當這個標準在一個說明或是合同里被要求但是又沒有特定的任務被定義時,只有三、四部分是強制的。3.2里的定義和第四部分的全部描繪了最小化強制性定義和要求對于任何國防部系統(tǒng)的一個可接受的系統(tǒng)安全努力。2、適用的文件2.1通用。在這部分文件列出的是標準的第三、四、五部分里規(guī)定的。這一章不包括本標準中其他章節(jié)引用的文件或是推薦的額外信息或是例子。然而每個努力都已經(jīng)被做確保這一列表的完成。文件使用者應注意到他們一定會遇到在本標準第三、四、、五章里引用的文件的規(guī)定要求。無論他們是否列出。2.2政府文件2.2.1說明書、標準和手冊。下面的說明書、標準和手冊在某種規(guī)定的范圍內(nèi)形成了文件的一部分。除非不被規(guī)定的,這些文件的問題都在合同里被引用。國際標準化協(xié)議AOP52NATOAOP52.關(guān)于軟件安全設(shè)計的指導和相關(guān)計算系統(tǒng)必需品的評估?！策@個文件的副本在這個網(wǎng)站上可以獲得或從標準化文件排序桌面獲得。費城羅賓斯大街700號4D建筑里。PA19111-5094國防部手冊沒有指定者軟件系統(tǒng)安全工程接口手冊〔這個文件的副本在這個/links/網(wǎng)站上可以獲得2.2.2其他的政府文件、圖紙和出版物。下面這些其他政府文件、圖紙和出版物形成了文件規(guī)定程度上的一部分。除了沒有規(guī)定的。這些文件的問題就是在合同里引用的。國防部指令DoDI5000.02-防御獲得系統(tǒng)的操作9DoDI6055.07-事故通告、調(diào)查、報道和記錄保持<這個文件的副本在這個/links/網(wǎng)站上可以獲得>2.3優(yōu)先命令在一個突發(fā)事件中在這個文件的文本和引用于此的參考文獻中間,文件的文本是優(yōu)先的。除了DoDI5000.02例外。在這個文件中沒有什么能接替可應用的法律和法規(guī),除了一個規(guī)定的免除包含在內(nèi)。3.定義3.1首字母縮拼詞AFOSH空氣促使職業(yè)安全和健康A(chǔ)NSI美國國家標準協(xié)會AOP聯(lián)合軍火出版物AMSC獲得管理系統(tǒng)控制ASSIST獲得流線型和標準化信息系統(tǒng)ASTM美國社會檢驗和材料AT自主的CAS化學文摘服務CDR關(guān)鍵設(shè)計評審CFR聯(lián)邦法規(guī)代碼COTS商業(yè)成品DAEHCP軍火防御部門和爆炸危險分類程序DID數(shù)據(jù)項描述DoD國防部DoDI國防部指令DODIC國防部標識碼DOT運輸部DT研發(fā)測試E3電磁環(huán)境影響ECP工程改變提議EHA環(huán)境危險分析EMD工程和制造業(yè)發(fā)展EO行政指令EOD爆炸性軍械處理ESD靜電放電ESOH環(huán)境安全和職業(yè)健康FHA功能危險分析FMECA失效模式和效果臨界性分析FTA故障樹分析GFE政府配備的裝備GFI政府供應的信息GOTS政府常備的HAZMAT危險品材料HERO電磁輻射對軍火的危險HHA健康危害分析HMAR危險管理評估報告HMMP危險物品管理計劃HMP危險管理計劃HSI人類系統(tǒng)集成HTS危險追蹤系統(tǒng)IEEE電氣科學和電子學工程師學會IM不敏感的軍需品IMS綜合的設(shè)計任務書IPT綜合的產(chǎn)品團隊ISO國際標準化組織IV&V獨立驗證和檢驗JCIDS功能集合和開發(fā)系統(tǒng)的接口LOR精確水平MANPRINT人力資源和人事集合MIL-HDBK軍用手冊MIL-STD軍用標準MSDS材料安全數(shù)據(jù)表NATO北大西洋公約組織NAVMC海軍和海軍陸戰(zhàn)隊NDI發(fā)展條款NEPA國家環(huán)境政策法NSI不安全影響NSN國家物料編號O&SHA操作和支持危險分析OSH職業(yè)安全和健康OSHA職業(yè)安全與健康管理OT操作測試PESHE綱領(lǐng)性環(huán)境、安全和職業(yè)健康評價PDR初步設(shè)計評審PHA初始危險分析PHL初始危險目錄PM程序管理器PPE個人防護用品RAC風險評估模式RF無線電頻率RFP提案申請RFR射頻輻射RFT冗余容錯SAR安全評估報告SAT半自治SCC軟件控制類別SCF安全性至關(guān)重要的功能SCI安全性至關(guān)重要的項目SDP軟件開發(fā)計劃SE系統(tǒng)工程SEMP系統(tǒng)工程管理計劃SHA系統(tǒng)風險分析SMCC特殊材料內(nèi)容的代碼SoS體系SOW工作說明書SRHA危害分析系統(tǒng)需求SRF安全相關(guān)函數(shù)SRI安全相關(guān)物品SRR系統(tǒng)需求評審SSF安全問題"功能SSCM軟件安全臨界矩陣SSHA子系統(tǒng)危害分析SSPP系統(tǒng)安全工程計劃SSSF安全問題"軟件功能STP軟件測試計劃SwCI軟件臨界指數(shù)T&E測試和評估TEMP臨時測試和評估總體規(guī)劃TES測試工程師測試和評估策略WDSSR放棄或偏差系統(tǒng)安全報告WG工作組3.2定義在使用這個標準時,應強制使用。3.2.1可接受的風險。風險,適當?shù)氖芾頇C關(guān)<定義在多迪5000.02>愿意接受沒有額外的緩解。3.2.2采辦計劃。一個直接的,資助的努力,提供了一個新的,改進的,或繼續(xù)物資,武器,或信息系統(tǒng)或服務能力以應對一個批準的需要。第3.2.3病原。一個或多個機制,觸發(fā)了風險,可能導致事故。3.2.4條商用現(xiàn)貨<COTS>。商業(yè)項目,不需要獨特的政府修改或維護生命周期的產(chǎn)品來滿足需求的采購代理。325承包商。一個實體在私人行業(yè)進入合同與政府提供的商品或服務。在這個標準,這個詞也適用于政府運營的活動,開發(fā)或收購國防項目上執(zhí)行工作。3.2.6環(huán)境影響。一個對環(huán)境不利變化引起的全部或部分的系統(tǒng)或其使用。327ESOH。一個首字母縮略詞,指的是結(jié)合學科,包括流程和方法解決的法律、法規(guī)、行政命令<EO>,國防部政策、環(huán)境合規(guī),和相關(guān)的危險的環(huán)境影響、系統(tǒng)安全<如。、平臺、系統(tǒng)、體系、武器、爆炸物、軟件、軍械、作戰(zhàn)系統(tǒng)>,職業(yè)安全與健康、危險物品管理,和污染防治。328事件風險。相關(guān)的風險和危害,因為它適用于指定的硬件/軟件配置在一個事件。典型的活動包括發(fā)展測試/操作測試<DT/OT>、示威、部署、post菲爾丁測試。329防守。將系統(tǒng)為操作使用單位在田里或艦隊。3210固件。結(jié)合一個硬件設(shè)備和計算機指令或計算機數(shù)據(jù)駐留為只讀軟件硬件設(shè)備。這個軟件不能輕易修改在程序的控制下。3211工作設(shè)備<GFE>。財產(chǎn)的占有或由政府直接獲得,隨后交付或其他可用的承包商使用。3．2.12工作信息<GFI>。信息在擁有或由政府直接獲得,隨后交付或其他可用的承包商使用。政府提供的信息可能包括物品如教訓類似的系統(tǒng)或其他數(shù)據(jù),通常不會被可用的非政府機構(gòu)。3．2.13政府從架子上<GOTS>。硬件或軟件開發(fā)、生產(chǎn),或?qū)儆谝粋€政府機構(gòu),不需要獨特的修改在生命周期的產(chǎn)品來滿足需求的采購代理。3．2.14風險。一個真正的或潛在的條件,可能導致意外事件或一連串的事件<即事故>導致死亡、受傷、職業(yè)疾病,損害或損失的設(shè)備或財產(chǎn),或?qū)Νh(huán)境的破壞。3．2.15有害物質(zhì)<有害>。任何項目或物質(zhì),由于它的化學、物理、毒理學、或生物性質(zhì),可能導致傷害人,設(shè)備,或環(huán)境。3．2.16人力系統(tǒng)集成<溪>。集成的和全面的分析、設(shè)計、評估的需求、概念和參考資料系統(tǒng)人力、人員、培訓、安全、職業(yè)健康、適居性、人員生存能力,和人類工程學。3．2.17最初的風險。第一個評估潛在的風險識別出風險。初步建立了一個固定的基線風險的危害。3．2.18精確級別<特>。一個規(guī)范的深度和廣度的軟件分析和驗證活動必要提供足夠的自信程度,安全性至關(guān)重要的或安全軟件功能將根據(jù)需要執(zhí)行。3．2.19生命周期。系統(tǒng)的所有階段的生活,包括設(shè)計、研究、開發(fā)、測試和評估、生產(chǎn)、部署<庫存>、操作和支持,和處理。3．2.20事故。一個事件或一系列事件導致意外死亡、受傷、職業(yè)疾病,損害或損失的設(shè)備或財產(chǎn),或?qū)Νh(huán)境的破壞。對于本標準中,術(shù)語"災禍"包括從計劃事件對環(huán)境的不良影響。3．2.21緩解措施。行動需要消除危害或當一個危險不能消除,減少相關(guān)的風險,減少事故的嚴重性或降低導致事故的可能性會發(fā)生。3．2.22模式。一個指定的系統(tǒng)狀態(tài)或狀態(tài)<如。、維護、測試、運行、儲存、運輸和非軍事化>。3．2.23貨幣損失。估算成本的總和為設(shè)備維修或更換,設(shè)備維修或更換,環(huán)境清潔、人身傷害或疾病、環(huán)境負債,應包括任何已知的罰款或罰金造成的事故預測。3．2.24非發(fā)展項目<NDI>。項目<硬件、軟件、通訊/網(wǎng)絡,等等>,用于系統(tǒng)開發(fā)程序,但并不發(fā)達,作為該計劃的一部分。NDIs包括但不限于,COTS,GOTS,GFE,再利用物品,或以前開發(fā)的項目提供程序"目前的"。3．2.25概率。一個表達式的事故發(fā)生的可能性的3．2.26個項目經(jīng)理<PM>。指定的政府個人負責和權(quán)威來完成項目目標開發(fā)、生產(chǎn),和系統(tǒng)/產(chǎn)品/設(shè)備的維護以滿足用戶的操作需求。項目經(jīng)理負責可靠的成本,進度,性能并匯報給里程碑決策機構(gòu)。3.2.27重用項目一個提前開發(fā)好的項目被用于另一個程序或應用于令一個單獨的應用程序3.2.28風險事故嚴重性和事故發(fā)生可能性的組合.3.2.29風險水平對風險高,嚴重、中或低的描述.3.2.30安全不能引起死亡、傷害、職業(yè)病、設(shè)備或財產(chǎn)的破壞、損失,環(huán)境破壞的狀態(tài)。3.3.31安全關(guān)鍵性一個術(shù)語應用于一個狀態(tài)、事件、操作、進程或項目。事故的嚴重性是災難性和危機性的。〔例如,安全關(guān)鍵性函數(shù),安全關(guān)鍵性路徑和安全關(guān)鍵性部件3.2.32安全關(guān)鍵性函數(shù)一個函數(shù),其失敗或不正確的操作將直接導致事故的災難性或危機性事故嚴重程度3.2.33安全關(guān)鍵性項目一個硬件或軟件項目被決定于通過分析來確定潛在的導致危害發(fā)生的災難性關(guān)鍵性事故的潛力,或者,或者應用于減輕導致危害的災難性或關(guān)鍵性事故的潛力。本標準中術(shù)語"安全關(guān)鍵項目"的定義是獨立于術(shù)語"關(guān)鍵安全項目"在公共法108-136和109-364的定義的。3.2.34安全相關(guān)一個術(shù)語應用于一個狀態(tài)、事件、操作、進程或項目。事故的嚴重性是臨界的或可以忽略的。3.2.35安全意義個術(shù)語應用于一個狀態(tài)、事件、操作、進程或項目被鑒定為安全關(guān)鍵或安全相關(guān)。3.2.36嚴重性一個事故潛在結(jié)果的大小,包括：死亡,傷害,職業(yè)病,設(shè)備或財產(chǎn)的破壞或損失,環(huán)境破壞,或者財政損失。3.2.37軟件使計算機能夠執(zhí)行計算或控制功能的相關(guān)計算機指令和計算機數(shù)據(jù)的結(jié)合。軟件包括計算機程序、規(guī)程、規(guī)則以及任何相關(guān)的文檔有關(guān)的計算機系統(tǒng)的操作。軟件包括新的發(fā)展,復雜可編程邏輯器件<固件>,NDI,COTS,GOTS、重用、GFE,和政府開發(fā)的軟件用于系統(tǒng)中。3.2.38軟件控制類別在一個系統(tǒng)特性的背景下對軟件功能自治的程度,指揮和控制權(quán)力和冗余容錯的賦值。3.2.39軟件重用在一個軟件應用的發(fā)展程序中使用一種先前開發(fā)的軟件模塊或軟件包3.2.40軟件系統(tǒng)安全將系統(tǒng)安全的原理應用于軟件。3.2.41系統(tǒng)需要在規(guī)定的環(huán)境中得到指定的結(jié)果的硬件、軟件、材料、設(shè)備、人員、數(shù)據(jù)的和指定功能的服務的組織。3.2.42體系一組或一系列相互依賴的系統(tǒng)相關(guān)聯(lián)于提供一個給定的能力3.2.43系統(tǒng)安全在系統(tǒng)整個生命周期的所有階段,應用工程和管理原則、標準,和技術(shù)利用有限的操作效能和適用性、時間和成本來達到可接受的風險3.2.44系統(tǒng)安全工程一個工程學科,運用專業(yè)知識和技能于應用科學和工程學科,標準和技術(shù),以識別危險然后消除危險或當危險無法消除時減少相關(guān)風險。3.2.45系統(tǒng)安全管理識別危險;評估和減輕相關(guān)風險;跟蹤、控制、接受和記錄在系統(tǒng)、子系統(tǒng)、設(shè)備和設(shè)施的設(shè)計、開發(fā)、測試、獲取、使用和處理中遇到的風險的所有計劃和行動3.2.46系統(tǒng)/子系統(tǒng)說明對于給定的系統(tǒng)中系統(tǒng)等級的功能和性能需求,連接,適應需求,安全性和保密性需求,計算機資源的需求,設(shè)計約束〔包括軟件架構(gòu),數(shù)據(jù)標準和編程語言,軟件支持,優(yōu)先級的需求,研制試驗的需求。3.2.47系統(tǒng)工程一個項目團隊的總體過程,適用于從上述能力的有效運作和合適的系統(tǒng)過渡。系統(tǒng)工程涉及到的應用SE適應每個階段的生命周期〔在整個收購過程的目的是要平衡的解決方案的整合機制,處理能力需求,設(shè)計考慮因素和制約因素。SE還涉及技術(shù),預算和進度的限制。SE進程早期應用材料解決方案的分析和持續(xù)整個生命周期。3.2.48目標風險預計風險水平的PM計劃以實現(xiàn)符合設(shè)計的優(yōu)先順序?qū)嵤┚徑獯胧┑脑?.3.4中的描述3.2．49用戶代表對于保護事件,一個命令或代理,已被正式指定在聯(lián)合功能集成和開發(fā)系統(tǒng)<JCIDS>過程中代表單個或多個用戶的能力和采集過程。對于無保護事件,用戶代表付命令或代理責任對暴露在風險中的人員,設(shè)備和環(huán)境。對于所有的事件,用戶代表將有同等的水平相當于風險接受權(quán)威。4.常規(guī)/一般要求4.1常規(guī)。當本標準被要求在招標或合同,但不包括具體的任務,只有第3節(jié)和第4節(jié)的規(guī)定適用。3.2和所有第4節(jié)中的定義是國防部系統(tǒng)任何一個可以接受的系統(tǒng)安全工作最低強制性規(guī)定和要求。4.2系統(tǒng)安全要求第四節(jié)通過任何系統(tǒng)的整個生命周期定義了系統(tǒng)安全要求。如果運用得當,這些要求應使在系統(tǒng)開發(fā)和維持工程活動的危害和相關(guān)風險的識別和管理。本記錄的目的不是使系統(tǒng)的安全人員負責風險管理在其他的功能學科。然而,所有的功能學科使用這個通用的方法應該協(xié)調(diào)每個部分的努力優(yōu)化的整體的系統(tǒng)工程過程,因為一個學科的最優(yōu)緩解措施可能對其他學科產(chǎn)生危險。4.3系統(tǒng)安全過程。系統(tǒng)安全過程包含8個元素。圖1描述了過程的典型邏輯序列。然而,可能需要在各個步驟之間的迭代。記錄系統(tǒng)安全方法項目管理人和訂約人應該記錄下系統(tǒng)安全方法,為了給作為系統(tǒng)工程進程中完整的一部分的風險管理,系統(tǒng)安全方法的最低要求包括：a.描述風險管理的影響和如何使得風險管理和系統(tǒng)工程進程,集成產(chǎn)品和過程開發(fā)進程,總的項目管理構(gòu)造成為一體。b.描述和記錄可適用于系統(tǒng)的規(guī)定和派生的需求。例子包括頓感彈藥的需求,電磁換效應的需求,污染防治任務,設(shè)計需求,技術(shù)因素,職業(yè)病和社區(qū)噪音標準。一旦需求被定義,確定系統(tǒng)說明書的內(nèi)容和可用的流程要求給轉(zhuǎn)包商,承包商和供應商。c.定義如何使得與美國軍標I5000.02一致的危險和相關(guān)風險被使用者的代表正式的接受和同意。d.文件編制一個閉環(huán)危險追蹤系統(tǒng)危險。危險追蹤系統(tǒng)將會包括,作為最低限度的以下數(shù)據(jù)元素：確認危險,相關(guān)事故,風險評估〔最初的,目標,事件,定義風險緩解措施,選定緩解辦法,危險狀態(tài),驗證風險的降低,和風險的可接受度。政府和承包商有權(quán)使用危險追蹤系統(tǒng)來適當?shù)目刂茢?shù)據(jù)管理。政府應該接收和保留"政府的目標權(quán)利",所有的數(shù)據(jù)記錄在危險追蹤系統(tǒng)和其他條款〔即,研究,分析,測試數(shù)據(jù),注釋,類似的數(shù)據(jù)定義和記錄危險。危險通過系統(tǒng)性的分析過程被定義,這個過程包括系統(tǒng)硬件和軟件,系統(tǒng)界面〔包括人機界面,具體的使用或應用,操作環(huán)境?？紤]和使用事故數(shù)據(jù)；相關(guān)的環(huán)境和職業(yè)；使用者的物理特性；使用者的知識,技術(shù)和能力；來自以往相似系統(tǒng)事故的經(jīng)驗和教訓。危險識別過程應該考慮整個系統(tǒng)的生命周期和對于人的潛在影響,基礎(chǔ)設(shè)施,防御系統(tǒng),公眾,和環(huán)境。危險識別應該被記錄在危險追蹤系統(tǒng)。4.3.3評估和記錄風險事故嚴重程度的分類和所有系統(tǒng)模型的不同危險的潛在事故可能性等級被評估,用來定義表=1\*ROMANI,=2\*ROMANII。a．表一中給出了確定給定的危險在給定的時間點來確定正確的嚴重性分類的方法,定義了死亡或者傷害,環(huán)境影響,或者財產(chǎn)損失的潛在可能性。一個給定的危險可能會產(chǎn)生一個或者所有的影響。表一.嚴重性分類嚴重性分類種類嚴重性分類事故結(jié)果準則災難性的1一種或者多種結(jié)果如下：死亡,終身殘疾,不可逆的重大環(huán)境影響,≥1000萬美金的財產(chǎn)損失。嚴重的2一種或者多種結(jié)果如下：永久性部分殘疾,傷害或者導致住院人數(shù)超過3人的職業(yè)病,可你的重大環(huán)境影響,≥100萬,≤1000萬美金的財產(chǎn)損失。輕微的3一種或者多種結(jié)果如下：導致一天或者更多天的工作日損失的傷害或職業(yè)病,可恢復的輕微環(huán)境影響,≥10萬,≤100萬美金的財產(chǎn)損失?？珊雎缘?一種或者多種結(jié)果如下：導致輕微傷害或職業(yè)病,但不會導致?lián)p失工作日,最小的環(huán)境影響,≤10萬美金的財產(chǎn)損失。b.表二中給出了確定給定危險在給定時間點適當?shù)目赡苄缘燃?評估了事故發(fā)生的可能性。可能性等級F被用來記錄不存在風險的地方的例子。沒有大量的學說,培訓,警報,警告,警示,或者個人防護設(shè)施可以達到事故可能性等級F。表二可能性等級可能性等級種類等級具體內(nèi)容系統(tǒng)頻繁的A在壽命周期內(nèi)可能發(fā)生連續(xù)發(fā)生很可能的B在壽命周期內(nèi)發(fā)生多次將會發(fā)生若干次偶然的C在壽命周期內(nèi)可能發(fā)生將會發(fā)生幾次可能性極小的D在壽命周期內(nèi)不易發(fā)生,但有可能性不易發(fā)生,但有理由可預期發(fā)生不太可能的E極不易發(fā)生,幾乎認為不可能發(fā)生不易發(fā)生,但有可能發(fā)生沒有可能性F不能發(fā)生,這個等級是用來當潛在的危險被定義和被排除時。不能發(fā)生,這個等級是用來當潛在的危險被定義和被排除時。<1>運用適當?shù)暮痛硇缘亩繑?shù)據(jù)定義危險的頻率和發(fā)生率,一般最好定量分析,不可能等級是一般被認為是低于一百萬,附錄A給出了一個定量可能性等級的例子。<2>缺少定量頻率或數(shù)據(jù)率時,依賴于表二的定性分析是有必要的并且適合的。c.風險評價被表達為一個風險評估代碼,這種代碼是嚴重性分類和可能性等級的結(jié)合,例如,RAC中的A是大型和頻繁發(fā)生等級的事故,表三把不同的風險評估代碼的風險等級劃分為,高等,嚴重,中等,和低等。表三風險評價矩陣風險評價矩陣嚴重性可能性災難性的〔1嚴重的〔2輕微的〔3可以忽略的〔4頻繁的〔A高高嚴重的中等的很可能〔B高高嚴重的中等的偶然的〔C高嚴重的中等的低可能性極小的〔D嚴重的中等的中等的低不太可能的〔E中等的中等的中等的低沒有可能性〔F沒有可能性d.表一,表二的定義和表三的RAC〔風險評估代碼應該被用來,除非與美國軍用標準的部分政策一直的不同定義和矩陣被正式的認可,代理人應該從表一到表三中提取。e.項目應該按照4.3.1的要求把所有可能性規(guī)定轉(zhuǎn)換成數(shù)值使用在風險評估中。評估風險應該被記錄在HTS〔危險追蹤系統(tǒng)。4.3.4定義和編輯風險緩解措施。潛在的風險緩解應該被定義,并且預期風險降低的選擇應該被評估和記錄在危險追蹤系統(tǒng)。如果可能的話目標應該是消除危險。當一個風險不能被消除時,通過應用系統(tǒng)安全設(shè)計的優(yōu)先次序,相關(guān)風險應該被降低到成本和性能的最低可接受水平。系統(tǒng)安全設(shè)計的優(yōu)先次序給出了選擇性抑制的方法和通過列表來降低影響。A通過設(shè)計選擇排除危險。理論上,通過設(shè)計的選擇或者是移除危險的材料的選擇,可以排除的危險。B通過修改設(shè)計減小風險。如果采取改變供選擇的設(shè)計或者材料去排除危險是不可行的,那么考慮改變設(shè)計減小因危險引起潛在事故的嚴重性和/或者可能性。C包含工程特征或裝置。如果通過設(shè)計選擇減緩風險是不可行的,那么使用工程特征或裝置,減少因危險引起潛在事故的嚴重性和可能性。D提供報警裝置。如果工程特征和裝置是不可行的或者不能使因危險引起潛在事故的嚴重性和可能性足夠低。那么使用包括探測和警報系統(tǒng)使人警覺到危險情況的存在或者是危險事件的發(fā)生。E包含指導標示、程序、訓練和保護人的設(shè)備。這里供選擇的設(shè)計、改變設(shè)計、工程特性和裝置是不可行的和警報裝置不能充分的減少因危險引起潛在事故的嚴重性和可能性。那么使用包含指導標示、程序、訓練和保護人的設(shè)備。指導標示包括海報、標示、符號和其他可見的圖形。程序和訓練應該包括適當?shù)木婧途?。程序可以描繪保護人的設(shè)備的使用。對于被賦值為災難性危險或者是危險事故嚴重性分級、指導標示的使用、程序、訓練、和保護人的設(shè)備用作唯一的減少風險的方法應該被避免。4.3.5減小風險。減輕措施被選擇和執(zhí)行去獲得可接受水平?？紤]和評估花費、可行性、候選減輕方法的效果作為系統(tǒng)工程的一部分和使生產(chǎn)機組加工完整。技術(shù)檢查時提出當前存在的危險、他們相關(guān)危險性和嚴重性的評估及危險減輕工作的狀況。4.3.6核實、確認及用文件證明風險的減小。通過合適的分析、測試、演示、或者檢查,核實和確認所有已選減緩風險措施效果及執(zhí)行情況。在危險跟蹤系統(tǒng)中生成核實和確認文件。4.3.7可接受風險和文件。在暴露人、設(shè)備、或者是環(huán)境給以知相關(guān)系統(tǒng)危險前,在DODI5000.02.中,通過合適的權(quán)威機構(gòu)定義的風險應該被接受。通過系統(tǒng)全壽命周期,支持正?？山邮茱L險決定的系統(tǒng)配置和相關(guān)文件應該被提供給政府保留。除非根據(jù)國防部元件政策合適的可供選擇的定義和/或者合適的矩陣將被認可,定義在表一和表二中,風險評估編碼在表三中,標準在表四中的軟件習慣于在可接受的時定義風險。通過系統(tǒng)的全壽命周期,典型的使用者應該是這個過程的一個部分和應該提供正常發(fā)生的所有嚴重的和高危險的可接受決定。在試驗、來自事故報告的數(shù)據(jù)、使用者的反饋、相似系統(tǒng)的經(jīng)驗、或者是其他資源之后可能顯現(xiàn)新的危險、或者演示,演示來自已知危險的風險是比起目前已經(jīng)識別的風險更高或者更低。在這些情況里,依據(jù)DoDI5000.02,修正后的風險應該被接受。注：一個簡單的系統(tǒng)經(jīng)過全壽命周期,將需要大量的事故風險評估和接受。在危險跟蹤系統(tǒng)里,每一個風險接受決定應該被制成文件。4.3.8管理全壽命周期的風險。在系統(tǒng)被測試后,通過系統(tǒng)全壽命周期,系統(tǒng)項目主管使用系統(tǒng)安全過程去識別風險和維護危險跟蹤系統(tǒng)。這個系統(tǒng)周期考慮到了任何的改變。包括但不限制在接口、使用者、硬件和軟件、事故數(shù)據(jù)、任務或剖面和系統(tǒng)安全數(shù)據(jù)。程序應該放在合適的位置,以確保風險管理者可以意識到這些改變。例如,通過部分配置的控制過程。項目主管和使用者協(xié)會應該保持有效的交流合作、識別、管理新的危險及修正危險。如果新的危險被發(fā)現(xiàn)或比起目前的評估,已知的危險決定了更高的風險水平。依據(jù)DoDI5000.02,新的或修正的風險需要被接受。此外,通過提供危險分析,國防部要求項目經(jīng)理支持相關(guān)系統(tǒng)A級和B級〔在國防部說明書6055.07被定義的事故調(diào)查,這樣的事故調(diào)查有助于事故及對材料風險減緩措施的規(guī)范,特別是對那些使人為差錯減小的規(guī)范。4.4軟件促成的系統(tǒng)風險。對于軟件的風險評估和軟件控制或者是軟件加強系統(tǒng)不能單獨的依賴風險的嚴重性和可能性。至多決定一個簡單軟件失效的可能性是困難的,也不能基于歷史數(shù)據(jù)。軟件一般有特殊的應用而和作為與硬件相關(guān)的可靠性參數(shù)不能被評估用相同的方法。因此,在軟件所促成的系統(tǒng)風險的評估中其他方法應該被使用。這些方法應該考慮潛在風險的嚴重度及軟件使用超過硬件的控制的程度。4.4.1軟件評估。通過表六表四應該被使用,除非合適的供選擇的矩陣依據(jù)國防部軟件政策被承認。用在表四中〔或者被承認的合適供選擇的表的軟件控制分類定義軟件控制程度。表五提供了軟件安全危險性矩陣基于表一嚴重度的分類〔或者是被承認的合適的嚴重性分類和表四軟件控制分類。軟件分類嚴重性矩陣建立了軟件嚴重性指標,這個指標被用于定義必要的LOR任務。表四提供了SwCI及LOR任務與如何不滿足LOR需求而影響到軟件促成的風險之間的關(guān)系。A如果遺留的元件功能被包括在子系統(tǒng)的環(huán)境中,所有的軟件控制分類應該被從新評估。遺留功能應該被評估包括功能和物理接口兩方面,這兩個方面對潛在的影響或是參與到子系統(tǒng)頂級水平的事故和危險相關(guān)因素進行評估。b.系統(tǒng)安全和軟件系統(tǒng)安全危險分析過程識別和減少了準確的軟件編著者的危險和事故。預定義的LOR任務成功的執(zhí)行增加了當減少軟件編著者的數(shù)量到適合時,系統(tǒng)中存在的危險軟件會按照軟件經(jīng)營要求的可信度。這兩個過程是減少軟件初始化時危險條件和事故傳播道路可能性的必要條件。附錄B提供了開發(fā)可接受的LOR任務的指導。表IV.軟件控制目錄軟件控制目錄水平名稱描述1自主的·軟件功能練習自主控制的權(quán)威在潛在的安全問題硬件系統(tǒng)、子系統(tǒng)或組件不可能預先確定的安全檢測和通過控制實體來干預阻止事故的發(fā)生或危害?！策@個定義包括復雜的有多個子系統(tǒng)或互相平行的過程的、多界面的、在時間臨界上的安全臨界的系統(tǒng)/軟件功能。2半自主的·軟件功能進行控制潛在的安全度硬件系統(tǒng)、子系統(tǒng)或組件,允許預定的安全檢測和干預由獨立安全機制來減輕或控制事故或災害?！策@個定義包括了控制比較復雜的系統(tǒng)/軟件功能,沒有并行過程,或幾個界面,但其他的安全系統(tǒng)/機制可以部分減少。系統(tǒng)和軟件故障檢測和通告通知需要所需的安全行動的控制實體。·顯示信息安全問題的軟件項目,要求立即操作實體執(zhí)行一個預先確定的行動為來減小或控制事故或者危險。軟件例外,失敗,錯誤,或延遲將允許,或未能防止事故發(fā)生?！策@個定義假設(shè)安全臨界的顯示信息可能是時間特別緊張的,但可用時間不得超過充分控制實體響應和風險控制所需的時間。3冗余容錯的·通過重要度安全硬件系統(tǒng)、子系統(tǒng)或組件來發(fā)布命令的軟件功能,需要控制實體來完成該命令功能。該系統(tǒng)檢測和反應功能包括冗余和為每個已定義的危險狀況準備的獨立的容錯機制?！策@個定義假設(shè)有足夠能力進行故障檢測,報警,容錯,和系統(tǒng)恢復以防止如果軟件失效、失靈或退化時發(fā)生危險。有備用的安全重要度信息和減損功能的可以在任何時間緊張的時間響應?！ぼ浖尚畔⒌陌踩灾陵P(guān)重要的自然用來做重要決定。該系統(tǒng)包括幾個冗余的、獨立的容錯機制對于每個危險條件、檢測和顯示。4有影響的·軟件生成一個與安全相關(guān)種類的信息來讓運營商做決定,但不需要操作者做出行動來避免事故。5不影響安全的·軟件的功能要求不處理命令或控制安全問題硬件系統(tǒng)、子系統(tǒng)或組件的度和不提供安全重要度問題。軟件并不提供需要控制實體相互作用的安全重要度或時間敏感數(shù)據(jù)或信息。軟件不轉(zhuǎn)移或解決與通信的安全問題或?qū)r間敏感的數(shù)據(jù)的交流。4.4.2軟件安全臨界矩陣〔SSCM。SSCM對于列〔表5使用表1的嚴重性類別,對于行使用的是表4的軟件控制類別。矩陣的行和列相互參照的塊在表5中分配為SwCI。盡管它在外觀上相似于風險評估矩陣〔表3,SSCM不是風險的評估。與每個SwCI相關(guān)的LOR任務是最小的任務集合,這個任務是為系統(tǒng)風險等級而需求的評估軟件貢獻。表5.軟件安全臨界矩陣SwCI精確任務的級別SwCI1程序應當執(zhí)行需求、體系結(jié)構(gòu)、設(shè)計和代碼的分析；并進行深入的安全特定測試。SwCI2程序應當執(zhí)行需求、體系結(jié)構(gòu)和設(shè)計的分析；并進行深入的安全特定測試。SwCI3程序應當執(zhí)行需求和體系結(jié)構(gòu)的分析；并進行深入的安全特定測試。SwCI4程序應當進行安全特定測試。SwCI5一旦由安全工程評估為不安全的話,就不需要安全特定分析或者檢查。注釋：對于附加的關(guān)于如何進行所需的軟件分析引導,請查詢聯(lián)合軟件系統(tǒng)安全工程手冊和AOP52。風險評估軟件的貢獻。所有系統(tǒng)風險評估軟件的貢獻,包括表5中應用的任何結(jié)果,在高溫超導中〔HTS都應當記錄。a.為了評估系統(tǒng)風險水平軟件的貢獻,表5中的LOR〔精確的水平任務應當被執(zhí)行。LOR任務的結(jié)果在軟件重要的軟件安全方面提供了一定程度的可信程度,并且記錄了可能需要減少的相關(guān)因素和危險。在風險管理過程中應該包括LOR任務的結(jié)果。附錄B提供了一個如何把一個風險等級分配到由完成LOR分析得到的系統(tǒng)風險軟件貢獻。b.如果LOR任務沒有被執(zhí)行的話,通過表6得到與未被指定或者為完成的LOR任務相關(guān)的系統(tǒng)風險貢獻應當被記錄。表6描述了SwCI,風險等級,LOR任務的完成和風險評估之間的關(guān)系。c.所有系統(tǒng)風險評估軟件的貢獻,包括表5中應用的任何結(jié)果,在高溫超導中〔HTS都應當記錄。按照DoDI5000.02執(zhí)行風險的接受。表6SwCI,風險等級,LOR任務的完成和風險評估之間的關(guān)系SwCI風險等級軟件LOR任務和風險評估/可接受性SwCI1高如果SwCI1LOR任務沒有被指定或者沒有完成,系統(tǒng)風險的貢獻將被記錄為高,并且為抉擇提供PM。PM應該記錄是否擴大資源的決定,這些資源需要實現(xiàn)SwCI1LOR任務或者為高風險的可接受準備一個常規(guī)的風險評估。SwCI2嚴重如果SwCI2LOR任務沒有被指定或者沒有完成,系統(tǒng)風險的貢獻將被記錄為嚴重,并且為抉擇提供PM。PM應該記錄是否擴大資源的決定,這些資源需要實現(xiàn)SwCI2LOR任務或者為嚴重風險的可接受準備一個常規(guī)的風險評估。SwCI3中等如果SwCI3LOR任務沒有被指定或者沒有完成,系統(tǒng)風險的貢獻將被記錄為中等,并且為抉擇提供PM。PM應該記錄是否擴大資源的決定,這些資源需要實現(xiàn)SwCI2LOR任務或者為中等風險的可接受準備一個常規(guī)的風險評估。SwCI4低如果SwCI4LOR任務沒有被指定或者沒有完成,系統(tǒng)風險的貢獻將被記錄為低,并且為抉擇提供PM。PM應該記錄是否擴大資源的決定,這些資源需要實現(xiàn)SwCI4LOR任務或者為低風險的可接受準備一個常規(guī)的風險評估。SwCI5不安全沒有要求特別的安全分析或者測試5.1額外的信息。單個任務,附錄A,和附錄B對于可選的特別的程序要求而包含了可選的信息。5.2任務。在這個標準中的任務可以有選擇地應用到適合量身定制的系統(tǒng)安全。100-系列任務適用于管理。200-系列任務適用于分析。300-系列任務適用于評估。400-系列任務適用于驗證。每個所需任務應當明確要求在一個合同,因為任務描述不包括任何其他任務的要求。5.3任務結(jié)構(gòu)。每個任務分為三個部分的目的、任務描述和指定細節(jié)。a.目表為執(zhí)行的任務提供了解釋理由。b.如果這個任務在合同中提到的話,這個任務描述了一個承包商工作應當履行。當準備提案時,承包人可以推薦將額外的任務或刪除指定任務的理由對于支持每個添加/刪除。c.細節(jié)必須在每個任務描述列出特定信息、添加、修改、刪除或選項來要求的任務時應該考慮的要求一個任務。然后將此信息連同任務數(shù)包括在合同文件。每個任務列表提供不一定是完整的,可以補充。任何在需求中被選擇的任務都應該按照任務數(shù)量被實施為了RFP和ROW。帶有標注"<R>"的指定細節(jié)是必需的。政府給正確的執(zhí)行提供了這個任務的細節(jié)。6.注釋這節(jié)可能包括了一個通用或者可能有用的解釋很自然的信息,但是不是強制的。6.1預期用途。這個系統(tǒng)安全標準被打算作為一個關(guān)鍵的SE的部分使用,SE提供了一個標準的,泛型方法的識別、分類和危險減輕。它也不僅由安全專業(yè)人員使用,而且也被其他功能學科使用,消防工程師、職業(yè)衛(wèi)生專業(yè)人員和環(huán)境工程師。6.2獲得要求。需求文檔應當指定如下：a.標準的標題,數(shù)量,日期。6.3相關(guān)數(shù)據(jù)項說明〔DIDs。DIDs可能被應用到系統(tǒng)安全努力,包括：DIDs編號DIDs標題DI-ADMIN-81250會議記錄DI-MISC-80043彈藥數(shù)據(jù)卡片DI-MISC-80370安全工程分析報告DI-ILSS-81495故障類型影響和臨街分析報告DI-SAFT-80101系統(tǒng)安全危險分析報告DI-SAFT-80102安全及評價報告<SAR>DI-SAFT-80103工程改變建議系統(tǒng)安全報告DI-SAFT-80104免除或偏差系統(tǒng)安全報告<WDSSR>DI-SAFT-80105系統(tǒng)安全程序進度報告DI-SAFT-80106健康危險評價報告DI-SAFT-80184輻射危險控制報告DI-SAFT-80931爆炸性軍械處理數(shù)據(jù)DI-SAFT-81065安全研究報告DI-SAFT-81066安全研究計劃DI-SAFT-81299爆炸危險分類數(shù)據(jù)DI-SAFT-81300事故危險評價報告DI-SAFT-81626系統(tǒng)安全過程計劃獲得流線型和標準化信息系統(tǒng)〔ASSIST數(shù)據(jù)庫應該在一下網(wǎng)址查看來保證只有當前和許可的DIDs被列入DD表1423中6.4主要學科術(shù)語〔關(guān)鍵字列表環(huán)境環(huán)境影響ESOH〔環(huán)境、安全和職業(yè)健康危險危險品材料HAZMAT〔危險品健康危險生命周期事故NEPA〔國家環(huán)境政策法職業(yè)健康PESHE〔環(huán)境、安全和職業(yè)健康評估綱領(lǐng)PPE〔個人防護裝備可能性風險嚴重程度軟件安全系統(tǒng)安全工程系統(tǒng)工程6.5之前發(fā)行版本的改變。在這個版本中邊緣記號由于這個變化的程度不用來表示至于之前的發(fā)行版本的改變。任務部分100-管理任務101基于系統(tǒng)安全方法論的風險識別和風險減輕101.1目的.任務101是基于系統(tǒng)安全方法論,將風險識別和風險減輕結(jié)合起來,應用到國防部獲性系統(tǒng)工程的過程。這個任務的目標應始終消除可能的危險。當一個危險不能夠被消除時,相關(guān)的風險應該在應用系統(tǒng)安全優(yōu)先設(shè)計的基礎(chǔ)上,在花費限制,目錄和表現(xiàn)的范圍內(nèi)將其削減到最小可接受水平。101.2任務描述.承包商應該：101.2.1在系統(tǒng)工程的基礎(chǔ)上,建立并且執(zhí)行一個危險識別和削減的方法來滿足第四節(jié)中,總體要求,以及所有其他的由項目經(jīng)理提出的的要求。101.2.2執(zhí)行危險識別和風險減少的方法,包括識別、足夠的人力資源和資金資源的分配。101.2.3定義角色、責任和相互之間的關(guān)系,也就是項目組織和相關(guān)項目之間的通訊線。定義不同風險識別和其他的風險削減功能性準則〔包括配置控制和數(shù)據(jù)管理,可靠性,可維修性,人類系統(tǒng)合成<HSI>以及項目其他重要性的元素,包括項目管理,測試和升級,計算,財政,和承包。101.2.4確保分包商,相關(guān)的承包商,商販,和供應商的要求是可接受的。這些要求包括由分包商,相關(guān)的承包商,商販,和供應商提出的定義危險分析,風險評價輸出,和核定數(shù)據(jù)與資料〔包括設(shè)計和方法論。101.2.5關(guān)于系統(tǒng),子系統(tǒng),和部件系統(tǒng)審查的風險等級評價報告,例如,系統(tǒng)要求審查〔SRR,預先危險性設(shè)計〔PDR,批判設(shè)計審查〔CDR,靈敏度測試審查,和產(chǎn)品靈敏度審查。101.2.6應用一個封閉的風險監(jiān)控系統(tǒng),包括分包商,商販,和危險數(shù)據(jù)提供者。對于這個監(jiān)控系統(tǒng)所要求的最小數(shù)據(jù)元素是危險,系統(tǒng),子系統(tǒng),可應用性,要求證書,系統(tǒng)模式,因果相關(guān)因素,影響,災難,基本風險,事件風險,目標風險,減少風險的措施,和風險水平,審查和確定方法,其作用的人〔人們,可接受風險記錄,和風險管理的度量。101.2.7除非特定的定義或者是特定的矩陣與國防部的部件政策完全一致,否則,表格一和表格二中的定義,及表格三中的風險評價矩陣將被應用到。101.2.8作為一個最小量,報告如下準則：a.危險和相關(guān)風險b.功能,賬目,和與危險相關(guān)的材料c.對于操作可接受的要求,維持,支持,和排列d.可接受的抑制方法101.2.9對于綜合性的驅(qū)動事件,審查,支持,保證,分析,釋放和文件數(shù)據(jù)提供正確定義和輸出101.3列明的細節(jié).計劃的要求和工作的提議應包括以下可應用到的準則:a.任務101的稅收b.應用于此任務的功能性準則識別c.事件進程的要求d.此任務的要求和方法論的報告e.對于實施危險識別和風險抑制工作的關(guān)鍵人員的資格要求f.其他的列明的危險識別和風險降低的方法的要求,例如,列明的風險識別方法和矩陣〔如果它們與第四節(jié)提到的不同將應用到這個項目任務102系統(tǒng)安全程序計劃102.1目的.任務102是開發(fā)一個系統(tǒng)安全程序計劃來證明對于識別,分類,和安全風險的減少的系統(tǒng)安全方法論是系統(tǒng)安全工程的一部分。系統(tǒng)安全程序計劃應是系統(tǒng)工程管理計劃的不可分割的一部分。系統(tǒng)安全程序計劃詳細描述了實施一個系統(tǒng)的方法進行危險分析,風險評價,和風險管理時所要求的任務和工作。目標始終致力于消除可能出現(xiàn)的危險。當一個危險不能夠被消除時,相關(guān)風險在經(jīng)費限制,日程,和系統(tǒng)安全優(yōu)先設(shè)計應用的演算范圍內(nèi)降到最低。102.2任務描述。承包商應該開發(fā)一個系統(tǒng)安全程序計劃來提供一個基本方法,以便于承包商和項目經(jīng)理理解安全危險怎樣結(jié)合到系統(tǒng)工程過程中。系統(tǒng)安全程序計劃包括如下準則：102.2.1范圍 和目標.系統(tǒng)安全程序計劃應該在最小量上描述一下：<1>就系統(tǒng)和它的生命周期而言的工作范圍,<2>整個方法可以完成在第四節(jié)和其他合約地要求的任務,<3>整合的這些工作為系統(tǒng)工程和其他項目辦公室管理的流程可以來支持項目的總體目標,和<4>執(zhí)行SSPP所需要的資源需求<資金、人才、和工具>。本節(jié)將解釋所有合同風險管理需求通過提供一個矩陣,這些合同需求相關(guān)的位置在系統(tǒng)安全程序計劃處理中的應用。系統(tǒng)安全程序計劃接口.系統(tǒng)安全程序計劃應該：a.SSPP涵蓋的識別功能規(guī)范。b.在以下二者間描述SSPP的接口:<1>系統(tǒng)工程<2>其他相關(guān)學科<如：物流、可維護性、質(zhì)量保證、可靠性、人體工程學,可移植性工程和醫(yī)療支持<健康危害評估>>。組織.SSPP應當在最低標準描述以下:a.SE過程中的組織或功能的系統(tǒng)安全。使用圖表顯示組織和功能關(guān)系和行通信。b。員工<人力加載和時間表>的系統(tǒng)安全的工作,每一個涉及到的功能性學科和組織單元的合同期限。SSPP將確定參與執(zhí)行系統(tǒng)安全要求合同的每一個人和組織單位的責任和權(quán)力。此外,SSPP將確定關(guān)鍵人員,并提供關(guān)鍵系統(tǒng)安全人員的資格和證書的概要。SSPP將介紹在關(guān)鍵系統(tǒng)安全人員變動之前承包商應何時和怎樣通知政府。c.程序的承包商將使用整合系統(tǒng)級和系統(tǒng)的系統(tǒng)〔SOS級得出的危險管理結(jié)果在合同所涵蓋的范圍內(nèi)。這些將包括：〔1定義每個相關(guān)的承包商和分包商〔供應商和供應商也適用在總系統(tǒng)集合安全要求中的角色?！?確定各個相關(guān)的承包商和分包商之間的安全協(xié)調(diào)工作〔供應商和供應商也適用,例如：整合風險分析?！?與相關(guān)的承包商和分包商〔供應商和供應商也適用的代表建立綜合的產(chǎn)品團隊〔IPTS或工作組〔WGs?！?描述任何特定SOS整合的角色和責任?！?硬件和軟件的整合由政府提供的。〔6為行動的組織和分包商分配要求?！?協(xié)調(diào)分包商系統(tǒng)安全工程的工作?！?幫助實施安全審查?！?建議減損措施;評估可行性、成本和減損措施的效益和與其相關(guān)的承包商和分包商的責任分配落實情況?！?0報告項目的安全狀態(tài)和指標。

〔11為相關(guān)公司的承包商和分包商之間提供解決安全問題的章程。d.承包商在進行管理決策過程中需要將項目中的危害與災難和關(guān)鍵的嚴重性級別,以及高危風險和嚴重風險及時通知政府；在事故,事件,或發(fā)生故障的情況下確定必要的措施；并且要求放棄安全要求和項目的偏差。102.2.4重大事件。SSPP,應當至少包括：a.提供系統(tǒng)安全活動的時間表,包括必要的輸入和輸出,并且提供支持SE過程的開始和完成日期。b．建議將與系統(tǒng)安全活動相關(guān)的整合系統(tǒng)級活動〔例如,設(shè)計分析,測試和演示,技術(shù)評審,方案審查,主要的項目事件列入?yún)R總到綜合表〔IMS。c．除了一些指定的其他工程研究和開發(fā)工作以外,需確定子系統(tǒng)、組件和軟件活動的日程表適用于系統(tǒng)安全活動d．包括相關(guān)承包商和分包商之間的技術(shù)會議討論,審查和整合安全工作的時間表。102.2.5一般安全要求和標準。SSPP應：a.列出含有安全要求的標準和系統(tǒng)規(guī)范,承包商應履行這些合同。包括標題,日期,段落編號和適用的部分。b.在系統(tǒng)的設(shè)計和開發(fā)過程中,應對安全風險管理人員描述一般的工程要求和設(shè)計標準。c.確定安全風險管理的要求,包括規(guī)章,試驗,運行及維護和報廢。d．這種描述方法,以確保減輕危險源的辨識和緩解相關(guān)的分包商/供應商要求的作用。102.2.6危險分析。至少,SSPP應：a．描述危險源辨識,風險評價,風險減損,風險溝通和風險可接受支持的過程?！?危險源辨識,SSPP描述了系統(tǒng)的識別過程,在其整個生命周期內(nèi)評估系統(tǒng)。這種評估應該包括一個最小系統(tǒng)的硬件和軟件,系統(tǒng)接口〔包括人機界面,預使用或者應用程序和運行環(huán)境,及清理。〔2風險評價,SSPP應列出的嚴重程度分類,可能性水平和應遵循的風險評價規(guī)范〔RAC。表一和表二中給出RACS的定義,表三介紹RACS的使用,除非根據(jù)照國防部〔DOD的部分政策正式批準特定的替代定義和/或一個特定基體。〔3風險減損,SSPP應說明如何決定將不會超出整體SE審核。SSPP強調(diào)的目標應該是盡可能的消除危險。當一個危險不能被消除時,在SSPP應講述決定過程中如何在有限的資金、進度和性能下,通過應用第4節(jié)標準講述的系統(tǒng)安全設(shè)計優(yōu)先級將相關(guān)風險降低到最低的可接受水平。SE審核決定的減損經(jīng)營將是涉及技術(shù)學科貿(mào)易之間討論的結(jié)果。〔4對于可接受的風險的,SSPP描述的計劃以設(shè)法解決政府的風險可接受,包括決定通信的風險接受是必要的,并且提供的風險評價文件的規(guī)程。此外,該計劃應包括政府將如何把風險可接受的決策結(jié)果傳達給承包商的程序。根據(jù)國防部指令〔DODI5000.02,在生命周期的多個時期政府可能不得不接受一個重大的風險。b.講述將安全風險管理應用在商用現(xiàn)貨〔COTS,政府專用現(xiàn)貨〔GOTS,非開發(fā)項目〔NDI,政府供應設(shè)備〔GFE,政府供應資料〔GFI的方法。c．描述使用閉環(huán)程序中的跟蹤和報告來確定危險和相關(guān)風險,包括那些涉及COTS,GOTS,NDI,GFE,GFI。包括危險跟蹤系統(tǒng)〔HTS的詳細說明。d．描述是否決定對于一個給定的危險進行恰當?shù)亩ㄐ曰蚨康娘L險評價的過程e．危險識別分析〔例如,預先性危險分析[PHA],子系統(tǒng)危險分析[SSHA],要使用的分析技術(shù)〔例如,故障樹分析[FTA],失效模式和嚴重性影響分析[FMECA]和文檔中的HTS結(jié)果。f.確定每個分析的范圍,隨著每一種分析技術(shù)深入到系統(tǒng)內(nèi)使用和對整個系統(tǒng)的危險分析,整合相關(guān)承包商和分包商的危險分析g.當實施SOS的危險分析時,計劃應說明如何分析整合系統(tǒng)的設(shè)計,操作,和各個相關(guān)承包商或分包商的產(chǎn)品和執(zhí)行項目之間的聯(lián)系。相關(guān)承包商和分包商〔供應商和供應商也適用所提供的數(shù)據(jù)或分析應該用于引導工作的進行。h．描述的結(jié)果用來識別和控制系統(tǒng)生命周期中與使用材料相關(guān)的危險。i.描述一個系統(tǒng)軟件的系統(tǒng)安全性的方法：<1>識別和描述軟件對系統(tǒng)危害的貢獻?！?確定安全顯著性〔安全關(guān)鍵性和安全相關(guān)性的軟件功能和軟件要求?！?確定與軟件組件安全重要性和安全相關(guān)項目的相關(guān)安全要求。〔4每一個安全有效的軟件的功能〔SSSF及其相關(guān)要求確定和分配軟件的臨界指數(shù)〔SwCI支持數(shù)據(jù)。最小程度的系統(tǒng)安全工程計劃應滿足：a.詳細說明收集和處理相關(guān)危險,風險和經(jīng)驗教訓數(shù)據(jù)的方法。這應包括危險識別和風險評估相關(guān)的協(xié)助,既有歷史數(shù)據(jù)相似或遺留系統(tǒng)和當前系統(tǒng)數(shù)據(jù),例如,危險追蹤系統(tǒng)。b．識別所有文件或其他媒體,并將災害管理數(shù)據(jù)的標題、合同編號、交付日期合并,并建議本合同項下擬交付給政府的運載工具〔硬拷貝,電子或?qū)崟r訪問,包括不屬于無限權(quán)利政府的文件或其他媒體。至少,交付的資料應包括危險跟蹤系統(tǒng)在合同執(zhí)行和結(jié)束的數(shù)據(jù)。核查和確認。至少,系統(tǒng)安全工程計劃應證明系統(tǒng)安全風險管理工作會做到：a．通過試驗、分析、檢驗等手段在降低風險過程中審核、驗證和文檔有效的緩解措施。b．審核,驗證與硬件、軟件和進程相關(guān)的文件符合已確定的危險性管理的要求。c．識別認證,獨立審查委員會的評估,以及特殊的測試要求。〔例如,鈍感彈藥的測試和安全或緊急情況的處理程序d．確保政府在審核和驗證信息過程中的程序。102.2.9審計過程。系統(tǒng)安全工程計劃應該描述雇用的承包商的技術(shù)和進程,以確保本標準第4章中所描述的,系統(tǒng)的安全性過程中即將完成的要求。培訓。系統(tǒng)安全工程計劃應描述與系統(tǒng)安全進程有關(guān)的個人的意識培訓。事故報告。承包商應該描述在系統(tǒng)安全工程計劃中包括政府的通知在內(nèi)的事故〔包括偶然事故和事故預警、調(diào)查和報告流程。102.3指定細節(jié)。請求建議書〔RFP和工作說明書〔SOW應包括以下內(nèi)容〔如適用a.征收任務102。<R>b.要解決這個任務的功能學科〔S的鑒定。<R>c.鑒定這項任務所涵蓋的任何系統(tǒng)的系統(tǒng)要求,包括由政府提供的接口硬件和軟件。<R>d.提交,審查和批準本計劃的要求和方法。<R>e.政府正式接受風險傳達給承包商的程序。f.關(guān)鍵職能人員的資格要求。g.其他特定的安全風險管理的要求,例如,特定風險的定義和在矩陣上使用這個程序。任務103危險管理計劃103.1目標。任務103是為了開發(fā)一個能記載標準的危險管理計劃〔HMP,這個計劃一般是為了全部系統(tǒng)安全工程方法中一部分危險的識別、分類和減少而進行的系統(tǒng)安全方法論。這個危險管理計劃應該是系統(tǒng)工程管理計劃〔SEMP的一個重要組成部分。危險管理計劃應描述一個系統(tǒng)化的方法的任務和活動,包括危險分析、風險評價和風險管理。如果可能,我們的目標應該是消除危險。當一個風險沒有被限制,與其相關(guān)的風險應依據(jù)系統(tǒng)的安全性設(shè)計的優(yōu)先次序中時間、效能和成本的限制降低到可接受的最低水平。103.2任務描述。承包商應該制定一個基于承包商和項目經(jīng)理〔PM之間的危險管理計劃,這個計劃是基于危險管理工作是如何被納入到系統(tǒng)工程中的。這個危險管理計劃應包括如下內(nèi)容：103.2.1范圍和目標。危險管理計劃至少應描述：<1>依據(jù)系統(tǒng)和其生命周期范圍所做的努力,<2>一般要求在第4節(jié)和其他合約規(guī)定的任務完成的總體思路,<3>為系統(tǒng)工程和其他項目辦公室的管理流程整合這些努力,并且<4>所需資源〔資金,人才和工具執(zhí)行危險管理計劃。本節(jié)應統(tǒng)計所有合同災害管理的要求,并提供一個矩陣,說明每一個需求的所解決這些合同要求是在的危險管理計劃的什么地方。危險管理計劃的接口。危險管理計劃應該滿足：a.一個確定的危險管理計劃所涵蓋的功能學科。b.描述危險管理計劃的接口問題在下面幾點之間的關(guān)系：〔1系統(tǒng)工程〔2本標準第4章中所描述的功能使用的系統(tǒng)安全性方法的學科〔例如：系統(tǒng)安全、安全范圍、消防工程、環(huán)境工程、爆破安全、化學和生物安全、定向能、激光和無線電頻率安全、軟件系統(tǒng)安全工業(yè)衛(wèi)生、職業(yè)健康、人力系統(tǒng)集成〔HSI〔3其他涉及的學科<例如,物流、維修性、質(zhì)量控制、可靠性、軟件開發(fā)、系統(tǒng)集成、測試等等>。103.2.3組織。危險管理計劃至少應描述：危險管理計劃的成就在系統(tǒng)工程過程中的的組織和運行。使用表格來展示組織性的和運行性的聯(lián)系及其聯(lián)絡線路。使這個訂約持續(xù)的每一個相關(guān)功能性紀律和組織單元的危險管理計劃成就的職工安置〔人力資源的接收和安排。危險管理計劃會識別每一個與危險管理計劃要求的執(zhí)行相關(guān)的人和組織單元的責任和權(quán)力。危險管理組織也會識別關(guān)鍵人員并且提供一個他們認知資格和證書的概要。危險管理計劃會描述如何以及什么時候承包商應該優(yōu)先通知政府關(guān)鍵人物的變換。這個承包商將要使用的程序會使得系統(tǒng)水平完整和體系水平危險管理成就達到被這個合約所概括的程度。這些會包括：明確每一個承包商和分包商〔以及合適的供應商和買主的角色來使得這個整個系統(tǒng)的危險管理計劃完整。明確每一個相關(guān)的承包商和分包商〔以及供應商合適的和買主之間的危險管理計劃的接口,例如,完整危險分析。和來自的承包商和分包商〔以及合適的供應商和買主的代表建立完整的生產(chǎn)團隊和研發(fā)團隊。描述任何細節(jié)性的體系的整合角色和責任。完善政府提供的硬件和軟件。評估對行動組織和分包商的要求。等同化分包商的危險管理計劃工程成就。推薦減輕方法；評估可行性,費用,和方法的效用；還有分配相關(guān)承包商和分包商的實施責任。匯報危險管理地位和度量。描尋址述相關(guān)承包商和分包商之間的危險管理觀點的過程。d．這個通過承包商管理決定的過程會被弄成包括及時通知政府高度嚴重危險；決策災禍,事故,或者故障事件中的必要行為；和對于危險管理要求的免除以及程序偏差的要求。103.2.4重要事件。危險管理計劃本應在最小的情況下：a．提供一個危險管理活動的計劃包括要求的投入和產(chǎn)出,和開始以及結(jié)束時間來支撐系統(tǒng)工程的過程。b.通過推薦他們包括在整體主要計劃中的部分將危險管理活動聯(lián)系到整個的系統(tǒng)水平活動當中〔例如設(shè)計分析,測試,和證明,技術(shù)綜述,程序綜述,和主要程序重要事件。c.識別子系統(tǒng)計劃,成分和適用于風險管理活動但是在其他工程研究和發(fā)展成就中細分的軟件活動。d.包括一個在相關(guān)的承包商和分包商之間的技術(shù)會議的計劃,來討論,綜述,和使整個安全工作完整。103.2.5一般危險管理計劃要求和標準。危險管理計劃本應：a.列出標準和系統(tǒng)規(guī)格包括承包商在在合同中將要執(zhí)行的危險管理要求。包括標題,日期,和哪里適用,段落號。b.描述危險管理在系統(tǒng)設(shè)計和發(fā)展階段的整體工程要求和設(shè)計標準。c.識別危險管理要求,來包括過程,用于測試,操作,支撐和處理。d.描述保證危險鑒別下降和減弱功能以及和分包商和供應者相聯(lián)系的要求的方法。103.2.6危險分析。危險管理計劃本應在最小的情況下：a.描述危險識別,風險評價,風險減小,風險之間聯(lián)系,和支持風險接受。〔1對于危險識別,危險管理計劃會描述評價系統(tǒng)全壽命周期的系統(tǒng)識別過程。這個評價至少應該包括系統(tǒng)硬件和軟件,系統(tǒng)接口〔來包括人的接口,有意的使用或者應用和使用環(huán)境,和處理?！?對于風險評價,危險管理計劃會列出其嚴重類別,可能性水平,和應該被遵守的風險管理規(guī)范。在表格Ⅰ和表格Ⅱ中的定義和在表格Ⅲ中的風險評價規(guī)范會被用到,除非是專用選擇性的定義和/或?qū)Ｓ镁仃嚤徽秸J可和國防部內(nèi)容政策相一致?！?風險降低,危險管理計劃會描述決定在整個系統(tǒng)工程中是怎樣中作出的。危險管理計劃會強調(diào)目標應該一直是盡可能的降低危險。當一個危險不能被降低時,危險管理計劃應該描述在這個標準第4部分描述的花費,計劃,和應用系統(tǒng)安全優(yōu)先次序的表現(xiàn)這些約束條件下決定如何將相關(guān)聯(lián)的風險降低到最低可接受水平的過程。系統(tǒng)工程過程關(guān)于應該繼續(xù)哪個減輕應該是權(quán)衡相關(guān)技術(shù)約束的討論的結(jié)果?！?對于風險接受,危險管理計劃應該描述定度政府可接受風險以包括聯(lián)系政府程序的計劃政府可接受風險決定和提供風險評價文件的程序的計劃。除此之外,這個計劃應該包括政府提供的政府如何聯(lián)系承包商關(guān)于建議可接受風險的決定的程序。為了和國防部5000.2保持一致,政府可能不得不接受再全壽命周期的很多點事件風險。b.描述將安全風險管理應用到商用貨架商品,政府現(xiàn)貨,非發(fā)展性項目,政府供應設(shè)備和政府供應信息的使用當中的方法途徑。c.描述跟蹤報告識別的危險和相關(guān)風險的閉環(huán)程序,包括哪些包括了商用貨架商品,政府現(xiàn)貨,非發(fā)展性項目,政府供應設(shè)備和政府供應信息的程序。包括一個詳細的危險跟蹤系統(tǒng)的描述。d.描述一個過程對于外界危險決定一個定性的或者定量的風險評價是否合適。e.識別即將被被操作的危險分析〔比如初步危險分析,子系統(tǒng)危險分析,應用分析技術(shù)〔比如事故樹分析,故障類型和影響危險度分析和在危險跟蹤系統(tǒng)中的結(jié)果證明文件。f.識別每一個分析的范圍,綜合相關(guān)承包商和分包商危險分析和整個系統(tǒng)危險分析,以及每個分析技術(shù)在系統(tǒng)內(nèi)會用到的深度〔比如系統(tǒng)水平,分系統(tǒng)水平,組件水平。g.當執(zhí)行體系危險分析時,這個計劃應該描述如何分析整個系統(tǒng)設(shè)計,運行,每個相關(guān)的承包商和分包商的產(chǎn)品間的接口,結(jié)束項目的執(zhí)行。相關(guān)承包商和分包商〔供應商和賣主提供的提供的數(shù)據(jù)或分析會被用來知道這項工作。h.描述為了識別、控制在系統(tǒng)全壽命周期過程中使用的設(shè)備所帶來的風險而做出的努力。i.描述一個系統(tǒng)的軟件系統(tǒng)安全方法來：〔1識別并描述系統(tǒng)危險的軟件貢獻。〔2識別安全重要性〔安全關(guān)鍵性和安全相關(guān)性的軟件功能和軟件需求.〔3識別與安全重要性軟件部件和安全問題項目有關(guān)的安全需求。〔4為每一個安全重要性軟件和其相關(guān)的需求識別并確定軟件的臨界指數(shù)。103.2.7支持數(shù)據(jù)。在一個最低的限度下,危險管理方案應該：a.描述收集和處理有關(guān)的危險、事故和經(jīng)驗數(shù)據(jù)的方法。這應該同時包括從類似的或遺留系統(tǒng)使用的來幫助危險識別和相關(guān)的風險評估中得到的歷史數(shù)據(jù),和當前的系統(tǒng)數(shù)據(jù),例如,危險追蹤系統(tǒng)。b.通過標題、協(xié)議號、投遞日期和再這個協(xié)議下計劃投遞到政府所提出的投遞方式〔硬拷貝、電子或?qū)崟r訪問來識別與危險管理數(shù)據(jù)有關(guān)的所有的文件或其他媒介,包括政府的除了無限制的權(quán)利以外的文件或其他媒介。在一個最低的限度下,投遞數(shù)據(jù)應該包括在協(xié)議執(zhí)行中和結(jié)束時所提供的危險追蹤系統(tǒng)的數(shù)據(jù)。103.2.8驗證和確認。在一個最低的限度下,危險管理方案應該證明危險管理活動將如何：a.驗證、確認并證明在通過測試、分析、檢驗等來減少風險的過程中使用的緩解措施的有效性。b.驗證、確認并證明硬件、軟件和程序遵從已經(jīng)識別出的危險管理需求。c.識別證明需求、獨立的修訂委員會評估和特殊測試〔例如,不敏感的軍火測試,火炮的電磁輻射危險,靜電放電,和安全化/突發(fā)事件處理程序。d.確保這些程序恰當?shù)叵蛘畟鬟f驗證和確認的信息。103.2.9審計程序。危險管理方案應該描述承包商為確保系統(tǒng)安全程序的需求所運用該的技術(shù)和方法,正如本標準中第4章所描述的,已經(jīng)被實現(xiàn)。103.2.10教育。危險管理方案應該描述在危險管理方案程序中與危險管理有關(guān)的全體員工的思想教育。103.2.11事件報告。承包商應該描述在危險管理方案中事件〔特別是事故和故障警報、調(diào)查和報告程序,包括政府的報告。103.3指定的細節(jié)。如果適用的話,提案要求和工作說明應該包括下面的內(nèi)容：a.任務103的強制性?！睷b.這個任務中提出的功能規(guī)則的確定。〔Rc.這個任務中涉及到的任何一個求救需求的確定,包括政府提供的接口連接硬件和軟件?！睷d.這個計劃的建議、復審和批準的需求和方法論?！睷e.承包商交流正式的政府的風險可接受程度的程序。f.關(guān)鍵功能員工的資質(zhì)要求。g.其他特定的風險管理需求,例如,特定風險的定義和這個程序中使用的矩陣。104.1任務104支持政府執(zhí)行的或者為了政府而采取的檢查、認證、委員會和審計。104.2任務描述。承包商應該：104.2.1支持但不限于政府檢查、審計和委員會,例如,程序和技術(shù)檢查,軍需品安全委員會,激光安全委員會,核安全委員會,任務預備檢查,飛行預備檢查,測試預備檢查,發(fā)射預備檢查,飛行安全檢查委員會和國家環(huán)境政策法文件的公眾聽證會。104.2.2為事故調(diào)查提供技術(shù)支持。104.3指定的細節(jié)。如果適用的話,提案要求和工作說明應該包括下面的內(nèi)容：a.任務104的強制性?！睷b.這個任務中提出的功能規(guī)則的確定。〔Rc.支持的檢查、審計和委員會的頻率、持續(xù)時間和可能的位置,以及任何一個指令。〔Rd.其他特定的風險管理需求,例如,特定風險的定義和這個程序中使用的矩陣。任務105集成產(chǎn)品開發(fā)團隊/工作組支持105.1目的：任務105指定政府項目綜合產(chǎn)品小組〔IPTS或工作組〔WGs提供支持。105.2任務描述：承包商應作為一員參與指定綜合產(chǎn)品小組或工作組。這樣的參與應包括,但不限于,以下活動:a：總結(jié)危害分析和與減少風險相關(guān)的狀態(tài)b：發(fā)現(xiàn)與風險緩解措施相關(guān)的問題。c：努力使緩解措施的有效性和相應風險的減少保持一致。d：呈現(xiàn)事件〔特別是系統(tǒng)的事故和故障被發(fā)現(xiàn)的評估結(jié)果,包括建議和采取的行動,以防止再次發(fā)生。e:由指定的綜合產(chǎn)品小組或工作組應對行動項目的分配。f：審查和驗證降低風險的要求,標準和適用于系統(tǒng)的約束條件。g：規(guī)劃和協(xié)調(diào)對所需的審查和認證程序的支持。h：要求選定的分包商,副承包商、供應商或廠商參與指定綜合產(chǎn)品小組或工作組。105.3指定細節(jié)：要求建議書〔RFP和工作說明書〔SOW應包括以下內(nèi)容<如適用>：a：任務105的實施〔Rb：通過這個任務解決了功能學科的識別〔Rc：指定的綜合項目組和工作組,由承包商來支持〔Rd：把承包人會員資格要求和角色分配列入指定的議程和會議記錄的編制和分發(fā)中?！睷e：綜合產(chǎn)品小組或工作組會議的頻率或總數(shù)和可能的位置〔R任務106危險跟蹤系統(tǒng)106.1：目的：任務106是建立和維護一個閉環(huán)的危險跟蹤系統(tǒng)〔HTS。106.2：任務描述：承包商應建立和維護危險跟蹤系統(tǒng),至少應包括以下這些任務：a：危險b：系統(tǒng)c：子系統(tǒng)〔如適用。d：適用范圍〔特定版本的硬件設(shè)計或軟件版本e：要求參考資料f：系統(tǒng)模型g：致病因素〔如硬件,軟件,人力,運行環(huán)境h：影響i：事故j：初步風險評估模型k：目標風險評估模型l：事件風險評估模型m：緩解措施〔識別和選擇可追溯至特定版本的硬件設(shè)計或軟件版本n：危險狀態(tài)o：核查和驗證方法p：行動人員和組織要素q：可接受風險的記錄—可接受風險的權(quán)限<和用戶贊同權(quán)限,即合適的>依據(jù)權(quán)力和組織,可接受日期和簽署可接受風險文檔的位置 r：風險管理日志<在系統(tǒng)的生命周期中進入和更改風險記錄的任何部分>s：由政府指定的危險品〔HAZMAT的數(shù)據(jù)成分106.2.1政府應用適當?shù)目刂茢?shù)據(jù)管理來接觸到危險跟蹤系統(tǒng)106.2.2任務108<危險品管理計劃>、任務204<子系統(tǒng)危害分析>、任務205<系統(tǒng)風險分析>、任務206<操作和支持危害分析>、任務207<健康危害分析>,和任務210<環(huán)境危害分析>對于風險跟蹤系統(tǒng)可能包括額外的需求106.3指定細節(jié)：要求建議書〔RFP和工作說明書〔SOW應包括以下內(nèi)容<如適用>：a：任務106的實施〔Rb：通過這個任務解決了功能學科的識別〔Rc：政府有訪問所有的災害管理數(shù)據(jù)的危險跟蹤系統(tǒng)和數(shù)據(jù)的權(quán)利〔Rd：正式的政府傳達了可接受的風險的程序給承包商〔Re：任何特殊的數(shù)據(jù)元素,格式,或數(shù)據(jù)的報告要求〔Rf:目前規(guī)劃系統(tǒng)的生命周期去讓危險品的使用或產(chǎn)生的投影〔如適用〔Rg:危險品管理異常,豁免,或臨界值<如適用>〔Rh:額外的有害物質(zhì)的數(shù)據(jù)元素和報告的要求〔Ri:其他特定風險管理需求,例如,特定風險的定義和矩陣上使用這個程序〔R任務章節(jié)200-分析任務201初步危險列表201.1目的。任務201是編制出一個在發(fā)展初期的潛在危險列表。201.2任務描述。承包者應該：201.2.1在軍備解決方案分析開始時立刻檢測系統(tǒng),編制一個初步危險列表,可以識別概念中固有的潛在的危險。201.2.2檢測過去相似的文件和遺留系統(tǒng),包含但是卻不限制與：A.災難和事故報告B.危險跟蹤系統(tǒng)C.經(jīng)驗學習D.安全分析和評估E.健康危害信息F.試驗文件G.對于系統(tǒng)測試、訓練、防護/基礎(chǔ)以及維護〔有組織的,持久的,可能地點的環(huán)境問題。H.與國際環(huán)境政策法、總統(tǒng)令12114、環(huán)境影響國外的主要聯(lián)邦行動相關(guān)聯(lián)的文件I.廢除武裝和清理計劃201.2.3承包者應當用文件證明在危險跟蹤系統(tǒng)中被識別的危險。內(nèi)容與格式要按照承包者和機構(gòu)的約定。除非另外的規(guī)定201.3.d,內(nèi)容最少應當包括：危險簡明的描述每個識別的危險因果關(guān)系因素201.3資料詳細說明。提案申請和工作說明書應該包含下面的內(nèi)容,作為適用的：A.任務201的強制性B.解決這個任務的功能性學科的鑒定C.對獲得政府文件的指導D.初步危險列表的內(nèi)容與格式要求E.作業(yè)觀念F.在這個大綱中使用到的其他特定的風險管理要求,等,特殊的風險定義和模型G.風險定義的參考文獻和來源任務202預先危險分析202.1目的。任務202是通過執(zhí)行或證明一個預先危險分析來識別危險,評估最初的風險和識別潛在的減輕措施。202.2任務描述。負責人應執(zhí)行或證明一個預先危險分析,去決定已識別危險的最初風險評估。與被推薦的設(shè)計和功能相聯(lián)系的危險,應該評價其嚴重程度和發(fā)生幾率,基于最合理的數(shù)據(jù)。包括來自同一系統(tǒng)、遺產(chǎn)系統(tǒng)或其他經(jīng)驗學習得來的事故數(shù)據(jù)〔同樣的可訪問性。根據(jù)規(guī)定條款、替代選擇和減輕措施來消除危險或減輕。相關(guān)的風險應該被包括。202.2.1負責人應該用危險跟蹤系統(tǒng)來證明預先危險分析的結(jié)果。202.2.2預先危險分析應識別危險通過考慮通過潛在的導致系統(tǒng)或子系統(tǒng)事故由以下：a．系統(tǒng)組件b．能量來源c．軍械d．危險原材料e．接口與控制f．當在一個網(wǎng)絡