系统安全军用标准MIL-STD-882E(中文全文)

系统安全军用标准MIL-STD-882E(中文全文)前言1.此标准被批准应用于国防部所有的军事部门和国防机构。2.此系统安全标准是系统工程的关键要素，它为识别、分析和减轻危险提供了一个标准和通用方法。3.国防部承诺保护个人免受意外的死亡、伤害、职业病以及在执行国防要求的任务时，保护防御系统、基础设施和财产免受意外的毁坏或破坏。在任务要求里，国防部也会确保把环境保护到最大可能的程,整个这些努力就是使用系统安全方法来识别危险并处理与危险相关的风险。国防部的关键目标是扩大系统安全方法论的使用，来把风险管理融入到整个系统工程当中，而不是把危险看做是操作因素。它不仅可以被系统安全专家使用.还可以应用于其他功能学科，比如火灾保护工程师、职业健康专家和环境工程师来识别危险并通过系统工程减轻风险。此文件的目的不是在其他功能学科使用系统安全解决个人的危险管理问题，但是，所有使用此通用方法的功能学科都应该把工作协调为整个系统工程的一部分，因为一个学科减轻危险的措施可能会在其他学科产生危险。4.此系统安全标准确定了国防部识别危险并评价和减轻相关风险的方法，这些危险和风险是在防御系统的开发、测试、生产、使用以及报废阶段遇到的。这个方法描述了要与国防部指令一致。国防部指令定义了风险的可接受水平。5.本次修订包含了满足政府和工业要求的改变，恢复了任务说明书。这些任务可能在合同文件中规定。当本标准在要求或合同中需要的时候，如果没有特殊要求，只有第三章和第四章是强制的。3.2和整个第四章的定义描绘了任何国防部系统可接受的系统安全最低的强制性定义和要求。本次修订把标准的执行与当前的国防部政策相结合，支持国防部的战略性计划和目标，调整了信息的组织安排，阐明了系统安全过程的基本要素，阐明了术语并定义了任务说明书来改善危险管理。本标准强化了其它功能学科与系统工程的结合，最终通过大纲改进危险管理实务的一致性。特殊的改变包括：a.重新介绍了任务说明书：（1）100-系列任务-管理（2）200-系列任务-分析ii（3）300-系列任务-评价（4）400-系列任务-确认b.强调了可应用的技术要求的识别c.包括附加的任务：（1）危险物质管理计划（2）功能危险分析（3）系统之间危险分析（4）环境危险分析d.应用严重性描述损失价值的增加e.增加了“消除”可能性水平f.增加了软件系统工程技术和实务g.更新了附录6.对此文件的评论、建议或问题应该递交到美国空军装备司令部总部iii附录B(2)与由软件引起并控制的系统危险相关的风险是可以接受的，基于证据（危险，起因以及降低风险的措施已经根据国防部顾客的要求得以识别，执行以及核实）。证据支持了这样一种结论，危险控制提供了必需的降低危险的水平并且合成的风险能够被适当的风险接受权威所接受。就这一点而言，软件与硬件和操作者没有什么不同。如果软件设计没有满足安全要求，那么就会导致与没有充分核实软件危险起因和控制相关联的风险。一般说来，风险评价是以定量和定性的判断和证据为基础的。表格B-I显示这些原则是如何应用的，来提供一种与软件因素相关联的评价方法。表格B-I软件危险因素的风险评价标准风险水平风险标准描述在正常或不正常的操作或测试期间出现软件执行或软件设计不足：高度的●能直接导致灾难性的或危急的事故，或者●使系统处于一种状态，这种状态下，没有独立的连锁装置能够排除潜在的灾难性及危急事故的发生严重的●能直接导致临界的或轻微的事故，或者●使系统处于一种状态，只有一个独立的连锁装置或人为活动来排除潜在的灾难性或危急危险的发生中等的●影响临界的或轻微事故，将系统失效降低到单独的一点，或者，●使系统处于一种状态，有两个相互独立的连锁装置或人为活动来排除潜在的灾难性或危急性事故的发生低的●影响灾难性或危急性的事故，但是有三个相互独立的连锁装置或人为活动保留，或者●会有影响临界的或轻微事故的因果相关的因素，但是有两个相互独立的连锁装置或人为活动保留●没有被分类为高度的、严重的、或中等的安全风险等级的软件的安全关键功能退化●要求，如果执行了，就会对安全产生负面影响，然而代码是安全执行的e.定义并执行与危险相关的风险评价过程对计划的成功是关键的，尤其是当系统和更加复杂的系统之间相结合。这些系统之间常常包含在不同的开发条件和安全计划下开发的系统，并且可能需要与其他服务（陆、海、空军）或国防部机构系统相接。这些其他的系统之间的利益相关者可能有他们自己的安全过程，用来决定与他们的系统相结合的系统的可接受性。军用标准882E1、范围1.1范围：这个系统安全标准的实行确定了国防部系统工程的方法来消除危险，如果可能的话，或者使那些不能消除的危险的风险最小化。国防部指令里5000.02定义了风险可接受的优先性。这个标准覆盖了系统、产品、设备、基础设施（包括硬件和软件的）贯穿于整个设计、研发、实验、产品、使用和清理阶段的所有危险。当这个标准在一个说明或是合同里被要求但是又没有特定的任务被定义时，只有三、四部分是强制的。3.2里的定义和第四部分的全部描绘了最小化强制性定义和要求对于任何国防部系统的一个可接受的系统安全努力。2、适用的文件2.1通用。在这部分文件列出的是标准的第三、四、五部分里规定的。这一章不包括本标准中其他章节引用的文件或是推荐的额外信息或是例子。然而每个努力都已经被做确保这一列表的完成。文件使用者应注意到他们一定会遇到在本标准第三、四、、五章里引用的文件的规定要求。无论他们是否列出。2.2政府文件2.2.1说明书、标准和手册。下面的说明书、标准和手册在某种规定的范围内形成了文件的一部分。除非不被规定的，这些文件的问题都在合同里被引用。国际标准化协议AOP52NATOAOP52.关于软件安全设计的指导和相关计算系统必需品的评估。（这个文件的副本在这个网站上可以获得或从标准化文件排序桌面获得。费城罗宾斯大街700号4D建筑里。PA19111-5094）国防部手册没有指定者软件系统安全工程接口手册（这个文件的副本在这个网站上可以获得）2.2.2其他的政府文件、图纸和出版物。下面这些其他政府文件、图纸和出版物形成了文件规定程度上的一部分。除了没有规定的。这些文件的问题就是在合同里引用的。国防部指令DoDI5000.02-防御获得系统的操作9DoDI6055.07-事故通告、调查、报道和记录保持(这个文件的副本在这个网站上可以获得)2.3优先命令在一个突发事件中在这个文件的文本和引用于此的参考文献中间，文件的文本是优先的。除了DoDI5000.02例外。在这个文件中没有什么能接替可应用的法律和法规，除了一个规定的免除包含在内。3.定义3.1首字母缩拼词AFOSH空气促使职业安全和健康ANSI美国国家标准协会AOP联合军火出版物AMSC获得管理系统控制ASSIST获得流线型和标准化信息系统ASTM美国社会检验和材料AT自主的CAS化学文摘服务CDR关键设计评审CFR联邦法规代码COTS商业成品DAEHCP军火防御部门和爆炸危险分类程序DID数据项描述DoD国防部DoDI国防部指令DODIC国防部标识码DOT运输部DT研发测试E3电磁环境影响ECP工程改变提议EHA环境危险分析EMD工程和制造业发展EO行政指令EOD爆炸性军械处理ESD静电放电ESOH环境安全和职业健康FHA功能危险分析FMECA失效模式和效果临界性分析FTA故障树分析GFE政府配备的装备GFI政府供应的信息GOTS政府常备的HAZMAT危险品材料HERO电磁辐射对军火的危险HHA健康危害分析HMAR危险管理评估报告HMMP危险物品管理计划HMP危险管理计划HSI人类系统集成HTS危险追踪系统IEEE电气科学和电子学工程师学会IM不敏感的军需品IMS综合的设计任务书IPT综合的产品团队ISO国际标准化组织IV&V独立验证和检验JCIDS功能集合和开发系统的接口LOR精确水平MANPRINT人力资源和人事集合MIL-HDBK军用手册MIL-STD军用标准MSDS材料安全数据表NATO北大西洋公约组织NAVMC海军和海军陆战队NDI发展条款NEPA国家环境政策法NSI不安全影响NSN国家物料编号O&SHA操作和支持危险分析OSH职业安全和健康OSHA职业安全与健康管理OT操作测试PESHE纲领性环境、安全和职业健康评价PDR初步设计评审PHA初始危险分析PHL初始危险目录PM程序管理器PPE个人防护用品RAC风险评估模式RF无线电频率RFP提案申请RFR射频辐射RFT冗余容错SAR安全评估报告SAT半自治SCC软件控制类别SCF安全性至关重要的功能SCI安全性至关重要的项目SDP软件开发计划SE系统工程SEMP系统工程管理计划SHA系统风险分析SMCC特殊材料内容的代码SoS体系SOW工作说明书SRHA危害分析系统需求SRF安全相关函数SRI安全相关物品SRR系统需求评审SSF安全问题”功能SSCM软件安全临界矩阵SSHA子系统危害分析SSPP系统安全工程计划SSSF安全问题”软件功能STP软件测试计划SwCI软件临界指数T&E测试和评估TEMP临时测试和评估总体规划TES测试工程师测试和评估策略WDSSR放弃或偏差系统安全报告WG工作组3.2定义在使用这个标准时，应强制使用。3.2.1可接受的风险。风险,适当的受理机关(定义在多迪5000.02)愿意接受没有额外的缓解。3.2.2采办计划。一个直接的,资助的努力,提供了一个新的,改进的,或继续物资,武器,或信息系统或服务能力以应对一个批准的需要。第3.2.3病原。一个或多个机制,触发了风险,可能导致事故。3.2.4条商用现货(COTS)。商业项目,不需要独特的政府修改或维护生命周期的产品来满足需求的采购代理。325承包商。一个实体在私人行业进入合同与政府提供的商品或服务。在这个标准,这个词也适用于政府运营的活动,开发或收购国防项目上执行工作。3.2.6环境影响。一个对环境不利变化引起的全部或部分的系统或其使用。327ESOH。一个首字母缩略词,指的是结合学科,包括流程和方法解决的法律、法规、行政命令(EO),国防部政策、环境合规,和相关的危险的环境影响、系统安全(如。、平台、系统、体系、武器、爆炸物、软件、军械、作战系统),职业安全与健康、危险物品管理,和污染防治。328事件风险。相关的风险和危害,因为它适用于指定的硬件/软件配置在一个事件。典型的活动包括发展测试/操作测试(DT/OT)、示威、部署、post菲尔丁测试。329防守。将系统为操作使用单位在田里或舰队。3210固件。结合一个硬件设备和计算机指令或计算机数据驻留为只读软件硬件设备。这个软件不能轻易修改在程序的控制下。3211工作设备(GFE)。财产的占有或由政府直接获得,随后交付或其他可用的承包商使用。3．2.12工作信息(GFI)。信息在拥有或由政府直接获得,随后交付或其他可用的承包商使用。政府提供的信息可能包括物品如教训类似的系统或其他数据,通常不会被可用的非政府机构。3．2.13政府从架子上(GOTS)。硬件或软件开发、生产,或属于一个政府机构,不需要独特的修改在生命周期的产品来满足需求的采购代理。3．2.14风险。一个真正的或潜在的条件,可能导致意外事件或一连串的事件(即事故)导致死亡、受伤、职业疾病,损害或损失的设备或财产,或对环境的破坏。3．2.15有害物质(有害)。任何项目或物质,由于它的化学、物理、毒理学、或生物性质,可能导致伤害人,设备,或环境。3．2.16人力系统集成(溪)。集成的和全面的分析、设计、评估的需求、概念和参考资料系统人力、人员、培训、安全、职业健康、适居性、人员生存能力,和人类工程学。3．2.17最初的风险。第一个评估潜在的风险识别出风险。初步建立了一个固定的基线风险的危害。3．2.18精确级别(特)。一个规范的深度和广度的软件分析和验证活动必要