前言

1.此標(biāo)準(zhǔn)被批準(zhǔn)應(yīng)用于國(guó)防部所有的軍事部門和國(guó)防機(jī)構(gòu)。

2.此系統(tǒng)安全標(biāo)準(zhǔn)是系統(tǒng)工程的關(guān)鍵要素，它為識(shí)別、分析和減輕危險(xiǎn)提供了

一個(gè)標(biāo)準(zhǔn)和通用方法。

3.國(guó)防部承諾保護(hù)個(gè)人免受意外的死亡、傷害、職業(yè)病以及在執(zhí)行國(guó)防要求的

任務(wù)時(shí)，保護(hù)防御系統(tǒng)、基礎(chǔ)設(shè)施和財(cái)產(chǎn)免受意外的毀壞或破壞。在任務(wù)要

求里，國(guó)防部也會(huì)確保把環(huán)境保護(hù)到最大可能的程，整個(gè)這些努力就是使用系

統(tǒng)安全方法來(lái)識(shí)別危險(xiǎn)并處理與危險(xiǎn)相關(guān)的風(fēng)險(xiǎn).國(guó)防部的關(guān)鍵目標(biāo)是擴(kuò)大

系統(tǒng)安全方法論的使用，來(lái)把風(fēng)險(xiǎn)管理融入到整個(gè)系統(tǒng)工程當(dāng)中，而不是把

危險(xiǎn)看做是操作因素。它不僅可以被系統(tǒng)安全專家使用.還可以應(yīng)用于其他功

能學(xué)科，比如火災(zāi)保護(hù)工程師、職業(yè)健康專家和環(huán)境工程師來(lái)識(shí)別危險(xiǎn)并通

過(guò)系統(tǒng)工程減輕風(fēng)險(xiǎn)。此文件的目的不是在其他功能學(xué)科使用系統(tǒng)安全解決

個(gè)人的危險(xiǎn)管理問(wèn)題，但是，所有使用此通用方法的功能學(xué)科都應(yīng)該把工作

協(xié)調(diào)為整個(gè)系統(tǒng)工程的一部分，因?yàn)橐粋€(gè)學(xué)科減輕危險(xiǎn)的措施可能會(huì)在其他

學(xué)科產(chǎn)生危險(xiǎn)。

4.此系統(tǒng)安全標(biāo)準(zhǔn)確定了國(guó)防部識(shí)別危險(xiǎn)并評(píng)價(jià)和減輕相關(guān)風(fēng)險(xiǎn)的方法，這些

危險(xiǎn)和風(fēng)險(xiǎn)是在防御系統(tǒng)的開(kāi)發(fā)、測(cè)試、生產(chǎn)、使用以及報(bào)廢階段遇到的。

這個(gè)方法描述了要與國(guó)防部指令一致。國(guó)防部指令定義了風(fēng)險(xiǎn)的可接受水平。

5.本次修訂包含了滿足政府和工業(yè)要求的改變，恢復(fù)了任務(wù)說(shuō)明書(shū)。這些任務(wù)

可能在合同文件中規(guī)定。當(dāng)本標(biāo)準(zhǔn)在要求或合同中需要的時(shí)候，如果沒(méi)有特

殊要求，只有第三章和第四章是強(qiáng)制的。3.2和整個(gè)第四章的定義描繪了任何

國(guó)防部系統(tǒng)可接受的系統(tǒng)安全最低的強(qiáng)制性定義和要求。本次修訂把標(biāo)準(zhǔn)的

執(zhí)行與當(dāng)前的國(guó)防部政策相結(jié)合，支持國(guó)防部的戰(zhàn)略性計(jì)劃和目標(biāo)，調(diào)整了

信息的組織安排，闡明了系統(tǒng)安全過(guò)程的基本要素，闡明了術(shù)語(yǔ)并定義了任

務(wù)說(shuō)明書(shū)來(lái)改善危險(xiǎn)管理。本標(biāo)準(zhǔn)強(qiáng)化了其它功能學(xué)科與系統(tǒng)工程的結(jié)合，

最終通過(guò)大綱改進(jìn)危險(xiǎn)管理實(shí)務(wù)的一致性。特殊的改變包括：

a.重新介紹了任務(wù)說(shuō)明書(shū)：

（1）100-系列任務(wù)-管理

（2）200-系列任務(wù).分析

（3）300-系列任務(wù)-評(píng)價(jià)

（4）400-系列任務(wù)-確認(rèn)

b.強(qiáng)調(diào)了可應(yīng)用的技術(shù)要求的識(shí)別

c.包括附加的任務(wù)：

（1）危險(xiǎn)物質(zhì)管理計(jì)劃

（2）功能危險(xiǎn)分析

（3）系統(tǒng)之間危險(xiǎn)分析

（4）環(huán)境危險(xiǎn)分析

d.應(yīng)用嚴(yán)重性描述損失價(jià)值的增加

e.增加了“消除”可能性水平

f.增加了軟件系統(tǒng)工程技術(shù)和實(shí)務(wù)

g.更新了附錄

6.對(duì)此文件的評(píng)論、建議或問(wèn)題應(yīng)該遞交到美國(guó)空軍裝備司令部總部

iii

附錄B

⑵與由軟件引起并控制的系統(tǒng)危險(xiǎn)相關(guān)的風(fēng)險(xiǎn)是可以接受的，基于證據(jù)（危險(xiǎn),

起因以及降低風(fēng)險(xiǎn)的措施已經(jīng)根據(jù)國(guó)防部顧客的要求得以識(shí)別，執(zhí)行以及核實(shí)）。

證據(jù)支持了這樣一種結(jié)論，危險(xiǎn)控制提供了必需的降低危險(xiǎn)的水平并且合成的風(fēng)

險(xiǎn)能夠被適當(dāng)?shù)娘L(fēng)險(xiǎn)接受權(quán)威所接受。就這一點(diǎn)而言，軟件與硬件和操作者沒(méi)有

什么不同。如果軟件設(shè)計(jì)沒(méi)有滿足安全要求，那么就會(huì)導(dǎo)致與沒(méi)有充分核實(shí)軟件

危險(xiǎn)起因和控制相關(guān)聯(lián)的風(fēng)險(xiǎn)。一般說(shuō)來(lái)，風(fēng)險(xiǎn)評(píng)價(jià)是以定量和定性的判斷和證

據(jù)為基礎(chǔ)的。表格B-I顯示這些原則是如何應(yīng)用的，來(lái)提供一種與軟件因素相關(guān)

聯(lián)的評(píng)價(jià)方法。

表格B-I軟件危險(xiǎn)因素的風(fēng)險(xiǎn)評(píng)價(jià)標(biāo)準(zhǔn)

風(fēng)險(xiǎn)水平風(fēng)險(xiǎn)標(biāo)準(zhǔn)描述

在正?；虿徽５牟僮骰驕y(cè)試期間出現(xiàn)軟件執(zhí)行或軟件設(shè)計(jì)不

足：

?能直接導(dǎo)致災(zāi)難性的或危急的事故，或者

高度的?使系統(tǒng)處于一-種狀態(tài)，這種狀態(tài)下，沒(méi)有獨(dú)立的連鎖裝置能

夠排除潛在的災(zāi)難性及危急事故的發(fā)生

?能直接導(dǎo)致臨界的或輕微的事故，或者

嚴(yán)重的?使系統(tǒng)處于一種狀態(tài)，只有一個(gè)獨(dú)立的連鎖裝置或人為活動(dòng)

來(lái)排除潛在的災(zāi)難性或危急危險(xiǎn)的發(fā)生

?影響臨界的或輕微事故，將系統(tǒng)失效降低到單犯的一點(diǎn)，或

中等的者，

?使系統(tǒng)處于一種狀態(tài)，有兩個(gè)相互獨(dú)立的連鎖裝置或人為活

動(dòng)來(lái)排除潛在的災(zāi)難性或危急性事故的發(fā)生

?影響災(zāi)難性或危急性的事故，但是杓二個(gè)相互獨(dú)立的連鎖裝

置或人為活動(dòng)保留，或者

?會(huì)有影響臨界的或輕微事故的因果相關(guān)的因素，但是有兩個(gè)

低的相互獨(dú)立的連鎖裝置或人為活動(dòng)保留

?沒(méi)有被分類為高度的、嚴(yán)重的、或中等的安全風(fēng)險(xiǎn)等級(jí)的軟

件的安全關(guān)鍵功能退化

?要求，如果執(zhí)行了，就會(huì)對(duì)安全產(chǎn)生負(fù)面影響，然而代碼是

安全執(zhí)行的

e.定義并執(zhí)行與危險(xiǎn)相關(guān)的風(fēng)險(xiǎn)評(píng)價(jià)過(guò)程對(duì)計(jì)劃的成功是關(guān)鍵的，尤其是當(dāng)系

統(tǒng)和更加復(fù)雜的系統(tǒng)之間相結(jié)合。這些系統(tǒng)之間常常包含在不同的開(kāi)發(fā)條件和安

全計(jì)劃下開(kāi)發(fā)的系統(tǒng)，并且可能需要與其他服務(wù)（陸、海、空軍）或國(guó)防部機(jī)構(gòu)

系統(tǒng)和接。這些其他的系統(tǒng)之間的利益相關(guān)者可能有他們自己的安全過(guò)程，用來(lái)

決定與他們的系統(tǒng)相結(jié)合的系統(tǒng)的可接受性。

軍用標(biāo)準(zhǔn)882E

1、范圍

1.1范圍：這個(gè)系統(tǒng)安全標(biāo)準(zhǔn)的實(shí)行確定了國(guó)防部系統(tǒng)工程的方法來(lái)消除危

險(xiǎn)，如果可能的話，或者使那些不能消除的危險(xiǎn)的風(fēng)險(xiǎn)最小化。國(guó)防部指令里

5000.02定義了風(fēng)險(xiǎn)可接受的優(yōu)先性。這個(gè)標(biāo)準(zhǔn)覆蓋了系統(tǒng)、產(chǎn)品、設(shè)備、基礎(chǔ)

設(shè)施（包括硬件和軟件的）貫穿于整個(gè)設(shè)計(jì)、研發(fā)、實(shí)驗(yàn)、產(chǎn)品、使用和清理階

段的所有危險(xiǎn)。當(dāng)這個(gè)標(biāo)準(zhǔn)在一個(gè)說(shuō)明或是合同里被要求但是又沒(méi)有特定的任務(wù)

被定義時(shí)，只有三、四部分是強(qiáng)制的。3.2里的定義和第四部分的全部描繪了最

小化強(qiáng)制性定義和要求對(duì)于任何國(guó)防部系統(tǒng)的一個(gè)可接受的系統(tǒng)安全努力。

2、適用的文件

2.1通用。在這部分文件列出的是標(biāo)準(zhǔn)的第三、四、五部分里規(guī)定的。這一

章不包括本標(biāo)準(zhǔn)中其他章節(jié)引用的文件或是推薦的額外信息或是例子。然而每個(gè)

努力都已經(jīng)被做確保這一列表的完成。文件使用者應(yīng)注意到他們一定會(huì)遇到在本

標(biāo)準(zhǔn)第三、四、、五章里引用的文件的規(guī)定要求。無(wú)論他們是否列出。

2.2政府文件

2.2.1說(shuō)明書(shū)、標(biāo)準(zhǔn)和手冊(cè)。下面的說(shuō)明書(shū)、標(biāo)準(zhǔn)和手冊(cè)在某種規(guī)定的范圍

內(nèi)形成了文件的一部分。除非不被規(guī)定的，這些文件的問(wèn)題都在合同里被引用。

國(guó)際標(biāo)準(zhǔn)化協(xié)議

A0P52NATOAOP52.關(guān)于軟件安全設(shè)計(jì)的指導(dǎo)和相關(guān)計(jì)算系統(tǒng)必需品的評(píng)估。

（這個(gè)文件的副本在這個(gè)https://assist./quicksearch/網(wǎng)站上可以

獲得或從標(biāo)準(zhǔn)化文件排序桌面獲得。費(fèi)城羅賓斯大街700號(hào)4D建筑里，PA

19111-5094）

國(guó)防部手冊(cè)

沒(méi)有指定者軟件系統(tǒng)安全工程接口手冊(cè)（這個(gè)文件的副本在這個(gè)

http:〃www.system-safety,org/links/網(wǎng)站上電以獲得）

2.2.2其他的政府文件、圖紙和出版物。下面這些其他政府文件、圖紙和出扳物

形成了文件規(guī)定程度上的一部分。除了沒(méi)有規(guī)定的。這些文件的問(wèn)題就是在合同

里引用的。

國(guó)防部指令

DoDI5000.02-防御獲得系統(tǒng)的操作

9DoDl6055.07-事故通告、調(diào)查、報(bào)道和記錄保持

（這個(gè)文件的副本在這個(gè)http://www.system-safety,org/1inks/網(wǎng)站上可

以獲得）

2.3優(yōu)先命令在一個(gè)突發(fā)事件中在這個(gè)文件的文本和引用于此的參考文獻(xiàn)

中間，文件的文本是優(yōu)先的。除了DoDI5000.02例外。在這個(gè)文件中沒(méi)有什么

能接替可應(yīng)用的法律和法規(guī)，除了一個(gè)規(guī)定的免除包含在內(nèi)。

3.定義

3.1首字母縮拼詞

AF0SH空氣促使職業(yè)安全和健康

ANSI美國(guó)國(guó)家標(biāo)準(zhǔn)協(xié)會(huì)

A0P聯(lián)合軍火出版物

AMSC獲得管理系統(tǒng)控制

ASSIST獲得流線型和標(biāo)準(zhǔn)化信息系統(tǒng)

ASTM美國(guó)社會(huì)檢驗(yàn)和材料

AT自主的

CAS化學(xué)文摘服務(wù)

CDR關(guān)鍵設(shè)計(jì)評(píng)審

CPR聯(lián)邦法規(guī)代碼

C0TS商業(yè)成品

DAEHCP軍火防御部門和爆炸危險(xiǎn)分類程序

DID數(shù)據(jù)項(xiàng)描述

DoD國(guó)防部

DoDI國(guó)防部指令

D0DIC國(guó)防部標(biāo)識(shí)碼

DOT運(yùn)輸部

DT研發(fā)測(cè)試

E3電磁環(huán)境影響

ECP工程改變提議

EHA環(huán)境危險(xiǎn)分析

EMD工程和制造業(yè)發(fā)展

E0行政指令

E0D爆炸性軍械處理

ESD靜電放電

ES0H環(huán)境安全和職業(yè)健康

FHA功能危險(xiǎn)分析

FMECA失效模式和效果臨界性分析

FTA故障樹(shù)分析

GFE政府配備的裝備

GFI政府供應(yīng)的信息

GOTS政府常備的

HAZMAT危險(xiǎn)品材料

HERO電磁輻射對(duì)軍火的危險(xiǎn)

HHA健康危害分析

HMAR危險(xiǎn)管理評(píng)估報(bào)告

HMMP危險(xiǎn)物品管理計(jì)劃

HMP危險(xiǎn)管理計(jì)劃

HSI人類系統(tǒng)集成

HTS危險(xiǎn)追蹤系統(tǒng)

IEEE電氣科學(xué)和電子學(xué)工程師學(xué)會(huì)

IM不敏感的軍需品

IMS綜合的設(shè)計(jì)任務(wù)書(shū)

IPT綜合的產(chǎn)品團(tuán)隊(duì)

ISO國(guó)際標(biāo)準(zhǔn)化組織

IV&V獨(dú)立驗(yàn)證和檢驗(yàn)

JCIDS功能集合和開(kāi)發(fā)系統(tǒng)的接口

LOR精確水平

MANPRINT人力資源和人事集合

MIL-1IDBK軍用手冊(cè)

MIL-STD軍用標(biāo)準(zhǔn)

MSDS材料安全數(shù)據(jù)表

NATO北大西洋公約組織

NAVMC海軍和海軍陸戰(zhàn)隊(duì)

NDI發(fā)展條款

NEPA國(guó)家環(huán)境政策法

NSI不安全影響

NSN國(guó)家物料編號(hào)

O&SHA操作和支持危險(xiǎn)分析

OSH職業(yè)安全和健康

OSHA職業(yè)安全與健康管理

0T操作測(cè)試

PESHE綱領(lǐng)性環(huán)境、安全和職業(yè)健康評(píng)價(jià)

PDR初步設(shè)計(jì)評(píng)審

PHA初始危險(xiǎn)分析

PHL初始危險(xiǎn)目錄

PM程序管理器

PPE個(gè)人防護(hù)用品

RAC風(fēng)險(xiǎn)評(píng)估模式

RF無(wú)線電頻率

RFP提案申請(qǐng)

RFR射頻輻射

RFT冗余容錯(cuò)

SAR安全評(píng)估報(bào)告

SAT半自治

SCC軟件控制類別

SCF安全性至關(guān)重要的功能

SCI安全性至關(guān)重要的項(xiàng)目

SDP軟件開(kāi)發(fā)計(jì)劃

SE系統(tǒng)工程

SEMP系統(tǒng)工程管理計(jì)劃

SHA系統(tǒng)風(fēng)險(xiǎn)分析

SMCC特殊材料內(nèi)容的代碼

SoS體系

SOW工作說(shuō)明書(shū)

SRHA危害分析系統(tǒng)需求

SRF安全相關(guān)函數(shù)

SRI安全相關(guān)物品

SRR系統(tǒng)需求評(píng)審

SSF安全問(wèn)題”功能

SSCM軟件安全臨界矩陣

SSHA子系統(tǒng)危害分析

SSPP系統(tǒng)安全工程計(jì)劃

SSSF安全問(wèn)題〃軟件功能

STP軟件測(cè)試計(jì)劃

SwCI軟件臨界指數(shù)

T&E測(cè)試和評(píng)估

TEMP臨時(shí)測(cè)試和評(píng)估總體規(guī)劃

TES測(cè)試工程師測(cè)試和評(píng)仙策略

WDSSR放棄或偏差系統(tǒng)安全報(bào)告

WG工作組

3.2定義在使用這個(gè)標(biāo)準(zhǔn)時(shí)，應(yīng)強(qiáng)制使用。

3.2.1可接受的風(fēng)險(xiǎn)。風(fēng)險(xiǎn)，適當(dāng)?shù)氖芾頇C(jī)關(guān)(定義在多迪5000.02)愿意接受沒(méi)有額

外的緩解。

3.2.2采辦計(jì)劃。一個(gè)直接的，資助的努力，提供了一個(gè)新的,改進(jìn)的，或繼續(xù)物資，武

器,或信息系統(tǒng)或服務(wù)能力以應(yīng)對(duì)一個(gè)批準(zhǔn)的需要。

第3.23病原。一個(gè)或多個(gè)機(jī)制，觸發(fā)了風(fēng)險(xiǎn)，可能導(dǎo)致事故。

3.2.4條商用現(xiàn)貨(COTS)。商業(yè)項(xiàng)目，不需要獨(dú)特的政府修改或維護(hù)生命周期的產(chǎn)

品來(lái)滿足需求的采購(gòu)代理。

325承包商。一個(gè)實(shí)體在私人行業(yè)進(jìn)入合同與政府提供的商品或服務(wù)。在這個(gè)

標(biāo)準(zhǔn)，這個(gè)詞也適用于政府運(yùn)營(yíng)的活動(dòng)，開(kāi)發(fā)或收購(gòu)國(guó)防項(xiàng)目上執(zhí)行工作。

3.2.6環(huán)境影響。一個(gè)對(duì)環(huán)境不利變化引起的全部或部分的系統(tǒng)或其使用。

327ESOHo一個(gè)首字母縮略詞，指的是結(jié)合學(xué)科，包括流程和方法解決的法律、法

規(guī)、行政命令(E0),國(guó)防部政策、環(huán)境合規(guī)，和相關(guān)的危險(xiǎn)的環(huán)境影響、系統(tǒng)安全(如。、

平臺(tái)、系統(tǒng)、體系、武器、爆炸物、軟件、軍械、作戰(zhàn)系統(tǒng))，職業(yè)安全與健康、

危險(xiǎn)物品管理，和污染防治。

328事件風(fēng)險(xiǎn)。相關(guān)的風(fēng)險(xiǎn)和危害，因?yàn)樗m用于指定的硬件/軟件配置在一個(gè)事

件。典型的活動(dòng)包括發(fā)展測(cè)試/操作測(cè)試(DT/OT)、示威、部署、post菲爾丁測(cè)試。

329防守。將系統(tǒng)為操作使用單位在田里或艦隊(duì)。

3210固件。結(jié)合一個(gè)硬件設(shè)備和計(jì)算機(jī)指令或計(jì)算機(jī)數(shù)據(jù)駐留為只讀軟件硬件

設(shè)備。這個(gè)軟件不能輕易修改在程序的控制下。

“11工作設(shè)備(GFF)。財(cái)產(chǎn)的占有或由政府直接獲得,隨后交付或其他可用的承包

商使用。

3.2.12工作信息(GFI),信息在擁有或由政府直接獲得，隨后交付或其他可用的承

包商使用。政府提供的信息可能包括物品如教訓(xùn)類似的系統(tǒng)或其他數(shù)據(jù),通常不

會(huì)被可用的非政府機(jī)構(gòu)。

3.2.13政府從架子上(GOTS)。硬件或軟件開(kāi)發(fā)、生產(chǎn),或?qū)儆谝粋€(gè)政府機(jī)構(gòu)，不需

要獨(dú)特的修改在生命周期的產(chǎn)品來(lái)滿足需求的采購(gòu)代理。

3.2.14風(fēng)險(xiǎn)。一個(gè)真正的或潛在的條件,可能導(dǎo)致意外事件或一連串的事件(即事

故)導(dǎo)致死亡、受傷、職業(yè)疾病，損害或損失的設(shè)備或財(cái)產(chǎn)，或?qū)Νh(huán)境的破壞。

3.2.15有害物質(zhì)(有害)。任何項(xiàng)目或物質(zhì)，由于它的化學(xué)、物理、毒理學(xué)、或生

物性質(zhì)，可能導(dǎo)致傷害人，設(shè)備，或環(huán)境。

3.2.16人力系統(tǒng)集成(溪)。集成的和全面的分析、設(shè)計(jì)、評(píng)估的需求、概念和

參考資料系統(tǒng)人力、人員、培訓(xùn)、安全、職業(yè)健康、適居性、人員生存能力，和

人類工程學(xué)。

3.2.17最初的風(fēng)險(xiǎn)。第一個(gè)評(píng)估潛在的風(fēng)險(xiǎn)識(shí)別出風(fēng)險(xiǎn)。初步建立了一個(gè)固定

的基線風(fēng)險(xiǎn)的危害。

3.2.18精確級(jí)別（特/一個(gè)規(guī)范的深度和廣度的軟件分析和驗(yàn)證活動(dòng)必要提供

足夠的自信程度，安全性至關(guān)重要的或安全軟件功能將根據(jù)需要執(zhí)行。

3.2.19生命周期。系統(tǒng)的所有階段的生活，包括設(shè)計(jì)、研究、開(kāi)發(fā)、測(cè)試和評(píng)估、

生產(chǎn)、部署（庫(kù)存）、操作和支持，和處理。

3.2.20事故。一個(gè)事件或一系列事件導(dǎo)致意外死亡、受傷、職業(yè)疾病，損害或損

失的設(shè)備或財(cái)產(chǎn)，或?qū)Νh(huán)境的破壞。對(duì)于本標(biāo)準(zhǔn)中，術(shù)語(yǔ)〃災(zāi)禍〃包括從計(jì)劃事件對(duì)

環(huán)境的不良影響。

3.2.21緩解措施.行動(dòng)需要消除危害或當(dāng)一個(gè)危險(xiǎn)不能消除，減少相關(guān)的風(fēng)險(xiǎn),

減少事故的嚴(yán)重性或降低導(dǎo)致事故的可能性會(huì)發(fā)生。

3.2.22模式。一個(gè)指定的系統(tǒng)狀態(tài)或狀態(tài)（如。、維護(hù)、測(cè)試、運(yùn)行、儲(chǔ)存、運(yùn)

輸和非軍事化）。

3.2.23貨幣損失。估算成本的總和為設(shè)備維修或更換，設(shè)備維修或更換，環(huán)境清潔、

人身傷害或疾病、環(huán)境負(fù)債,應(yīng)包括任何已知的罰款或罰金造成的事故預(yù)測(cè)。

3.2.24非發(fā)展項(xiàng)目（NDI）。項(xiàng)目（硬件、軟件、通訊/網(wǎng)絡(luò),等等），用于系統(tǒng)開(kāi)發(fā)程

序，但并不發(fā)達(dá)，作為該計(jì)劃的一部分。NDls包括但不限于,COTS,GOTS,GFE,再利用

物品,或以前開(kāi)發(fā)的項(xiàng)目提供程序“目前的〃。

3.2.25概率。一個(gè)表達(dá)式的事故發(fā)生的可能性的

3.2.26個(gè)項(xiàng)目經(jīng)理.（PM）。指定的政府個(gè)人負(fù)責(zé)和權(quán)威來(lái)完成項(xiàng)目目標(biāo)開(kāi)發(fā)、生

產(chǎn),和系統(tǒng)/產(chǎn)品/設(shè)備的維護(hù)以滿足用戶的操作需求。項(xiàng)目經(jīng)理負(fù)責(zé)可靠的戌本,

進(jìn)度，性能并匯報(bào)給里程碑決策機(jī)構(gòu)。

3227重用項(xiàng)目一個(gè)提前開(kāi)發(fā)好的項(xiàng)目被用于另一個(gè)程序或應(yīng)用于令一個(gè)單獨(dú)

的應(yīng)用程序

3.2.28風(fēng)險(xiǎn)事故嚴(yán)重性和事故發(fā)生可能性的組合.

3.2.29風(fēng)險(xiǎn)水平對(duì)風(fēng)險(xiǎn)高,嚴(yán)重、中或低的描述.

3.2.30安全不能引起死亡、傷害、職業(yè)病、設(shè)備或財(cái)產(chǎn)的破壞、損失，環(huán)境破壞

的狀態(tài)。

3.3.31安全關(guān)鍵性一個(gè)術(shù)語(yǔ)應(yīng)用于一個(gè)狀態(tài)、事件、操作、進(jìn)程或項(xiàng)目。事故的

嚴(yán)重性是災(zāi)難性和危機(jī)性的。（例如，安全關(guān)鍵性函數(shù)，安全關(guān)鍵性路徑和安全

關(guān)鍵性部件）

3.2.32安全關(guān)鍵性函數(shù)一個(gè)函數(shù)，其失敗或不正確的操作將直接導(dǎo)致事故的災(zāi)難

性或危機(jī)性事故嚴(yán)重程度

3233安全關(guān)鍵性項(xiàng)目一個(gè)硬件或軟件項(xiàng)目被決定于通過(guò)分析來(lái)確定潛在的導(dǎo)

致危害發(fā)生的災(zāi)難性關(guān)鍵性事故的潛力，或者，或者應(yīng)用于減輕導(dǎo)致危害的災(zāi)難性

或關(guān)鍵性事故的潛力.本標(biāo)準(zhǔn)中術(shù)語(yǔ)〃安全關(guān)鍵項(xiàng)目〃的定義是獨(dú)立于術(shù)語(yǔ)〃關(guān)鍵

安全項(xiàng)目〃在公共法108-136和109-364的定義的。

3.2.34安全相關(guān)一個(gè)術(shù)語(yǔ)應(yīng)用于一個(gè)狀態(tài)、事件、操作、進(jìn)程或項(xiàng)目。事故的嚴(yán)

重性是臨界的或可以忽略的。

3235安全意義個(gè)術(shù)語(yǔ)應(yīng)用于一個(gè)狀態(tài)、事件、操作、進(jìn)程或項(xiàng)目被鑒定為安全

關(guān)鍵或安全相關(guān)。

3.2.36嚴(yán)重性一個(gè)事故潛在結(jié)果的大小，包括：死亡，傷害，職業(yè)病，設(shè)備或

財(cái)產(chǎn)的破壞或損失，環(huán)境破壞，或者財(cái)政損失。

3.2.37軟件使計(jì)算機(jī)能夠執(zhí)行計(jì)算或控制功能的相關(guān)計(jì)算機(jī)指令和計(jì)算機(jī)數(shù)據(jù)

的結(jié)合。軟件包括計(jì)算機(jī)程序、規(guī)程、規(guī)則以及任何相關(guān)的文檔有關(guān)的計(jì)算機(jī)系

統(tǒng)的操作。軟件包括新的發(fā)展，復(fù)雜可編程邏輯器件（固件）,NDI,COTS,GOTS、重用、

GFE,和政府開(kāi)發(fā)的軟件用于系統(tǒng)中。

3.2.38軟件控制類別在一個(gè)系統(tǒng)特性的背景下對(duì)軟件功能自治的程度，指揮和控

制權(quán)力和冗余容錯(cuò)的賦值。

3.2.39軟件重用在一個(gè)軟件應(yīng)用的發(fā)展程序中使用一種先前開(kāi)發(fā)的軟件模塊或

軟件包

3240軟件系統(tǒng)安全將系統(tǒng)安全的原理應(yīng)用于軟件。

3.2.41系統(tǒng)需要在規(guī)定的環(huán)境中得到指定的結(jié)果的硬件、軟件、材料、設(shè)備、

人員、數(shù)據(jù)的和指定功能的服務(wù)的組織。

3.2.42體系一組或一系列相互依賴的系統(tǒng)相關(guān)聯(lián)于提供一個(gè)給定的能力

3243系統(tǒng)安全在系統(tǒng)整個(gè)生命周期的所有階段，應(yīng)用工程和管理原則、標(biāo)準(zhǔn)，

和技術(shù)利用有限的操作效能和適用性、時(shí)間和成本來(lái)達(dá)到可接受的風(fēng)險(xiǎn)

3.2.44系統(tǒng)安全工程一個(gè)工程學(xué)科，運(yùn)用專業(yè)知識(shí)和技能于應(yīng)用科學(xué)和工程學(xué)科,

標(biāo)準(zhǔn)和技術(shù)，以識(shí)別危險(xiǎn)然后消除危險(xiǎn)或當(dāng)危險(xiǎn)無(wú)法消除時(shí)減少相關(guān)風(fēng)險(xiǎn)。

3.2.45系統(tǒng)安全管理識(shí)別危險(xiǎn);評(píng)估和減輕相關(guān)風(fēng)險(xiǎn);跟蹤、控制、接受和記錄在

系統(tǒng)、子系統(tǒng)、設(shè)備和設(shè)施的設(shè)計(jì)、開(kāi)發(fā)、測(cè)試、獲取、使用和處理中遇到的風(fēng)

險(xiǎn)的所有計(jì)劃和行動(dòng)

3.2.46系統(tǒng)/子系統(tǒng)說(shuō)明對(duì)于給定的系統(tǒng)中系統(tǒng)等級(jí)的功能和性能需求，連接，

適應(yīng)需求，安全性和保密性需求，計(jì)算機(jī)資源的需求，設(shè)計(jì)約束(包括軟件架構(gòu)，

數(shù)據(jù)標(biāo)準(zhǔn)和編程語(yǔ)言)，軟件支持，優(yōu)先級(jí)的需求，研制試驗(yàn)的需求。

3.2.47系統(tǒng)工程一個(gè)項(xiàng)目團(tuán)隊(duì)的總體過(guò)程，適用于從上述能力的有效運(yùn)作和合適

的系統(tǒng)過(guò)渡。系統(tǒng)工程涉及到的應(yīng)用SE適應(yīng)每個(gè)階段的生命周期()在整個(gè)收

購(gòu)過(guò)程的目的是要平衡的解決方案的整合機(jī)制，處理能力需求，設(shè)計(jì)考慮因素和

制約因素。SE還涉及技術(shù)，預(yù)算和進(jìn)度的限制。SE進(jìn)程早期應(yīng)用材料解決方

案的分析和持續(xù)整個(gè)生命周期。

3.2.48目標(biāo)風(fēng)險(xiǎn)預(yù)計(jì)風(fēng)險(xiǎn)水平的PM計(jì)劃以實(shí)現(xiàn)符合設(shè)計(jì)的優(yōu)先順序?qū)嵤┚徑?/p>

措施的在4.3.4中的描述

3.2.49用戶代表對(duì)于保護(hù)事件，一個(gè)命令或代理,已被正式指定在聯(lián)合功能集

成和開(kāi)發(fā)系統(tǒng)(JCIDS)過(guò)程中代表單個(gè)或多個(gè)用戶的能力和采集過(guò)程。對(duì)于無(wú)保護(hù)

事件，用戶代表付命令或代理責(zé)任對(duì)暴露在風(fēng)險(xiǎn)中的人員，設(shè)備和環(huán)境。對(duì)于所

有的事件，用戶代表將有同等的水平相當(dāng)于風(fēng)險(xiǎn)接受權(quán)威。

4.常規(guī)/一般要求

4.1常規(guī)。當(dāng)本標(biāo)準(zhǔn)被要求在招標(biāo)或合同，但不包括具體的任務(wù)，只有第3節(jié)和

第4節(jié)的規(guī)定適用。3.2和所有第4節(jié)中的定義是國(guó)防部系統(tǒng)任何一個(gè)可以接受的

系統(tǒng)安全工作最低強(qiáng)制性規(guī)定和要求。

4.2系統(tǒng)安全要求第四節(jié)通過(guò)任何系統(tǒng)的整個(gè)生命周期定義了系統(tǒng)安全要求。如

果運(yùn)用得當(dāng)，這些要求應(yīng)使在系統(tǒng)開(kāi)發(fā)和維持工程活動(dòng)的危害和相關(guān)風(fēng)險(xiǎn)的識(shí)別

和管理。木記錄的目的不是使系統(tǒng)的安全人員負(fù)責(zé)風(fēng)險(xiǎn)管理在其他的功能學(xué)科。

然而，所有的功能學(xué)科使用這個(gè)通用的方法應(yīng)該協(xié)調(diào)每個(gè)部分的努力優(yōu)化的整體

的系統(tǒng)工程過(guò)程，因?yàn)橐粋€(gè)學(xué)科的最優(yōu)緩解措施可能對(duì)其他學(xué)科產(chǎn)生危險(xiǎn)。

43系統(tǒng)安全過(guò)程-系統(tǒng)安全過(guò)程包含3個(gè)元素。圖1描述了過(guò)程的典型邏輯序列.

然而，可能需要在各個(gè)步驟之間的迭代。

元素1：元素5：

記錄系統(tǒng)安全的方法減少風(fēng)險(xiǎn)

元素2:元素6：

識(shí)別和記錄危險(xiǎn)核實(shí)、險(xiǎn)證和記錄風(fēng)險(xiǎn)降低

元素3：元素7：

評(píng)估和記錄風(fēng)險(xiǎn)接受風(fēng)險(xiǎn)和記錄

元素4：元素8:

確定和記錄的風(fēng)險(xiǎn)緩解措施管理生命周期風(fēng)險(xiǎn)

圖1系統(tǒng)安全過(guò)程的八個(gè)要素

4.3.1記錄系統(tǒng)安全方法項(xiàng)目管理人和訂約人應(yīng)該記錄下系統(tǒng)安全方法，為了

給作為系統(tǒng)工程進(jìn)程中完整的一部分的風(fēng)險(xiǎn)管理，系統(tǒng)安全方法的最低要求包括:

a.描述風(fēng)險(xiǎn)管理的影響和如何使得風(fēng)險(xiǎn)管理和系統(tǒng)工程進(jìn)程，集成產(chǎn)品和過(guò)程開(kāi)

發(fā)進(jìn)程，總的項(xiàng)目管理構(gòu)造成為一體。

b.描述和記錄可適用于系統(tǒng)的規(guī)定和派生的需求。例子包括頓感彈藥的需求，

電磁換效應(yīng)的需求，污染防治任務(wù)，設(shè)計(jì)需求，技術(shù)因素，職業(yè)病和社區(qū)噪音標(biāo)

準(zhǔn)。一旦需求被定義，確定系統(tǒng)說(shuō)明書(shū)的內(nèi)容和可用的流程要求給轉(zhuǎn)包商，承包

商和供應(yīng)商。

c.定義如何使得與美國(guó)軍標(biāo)15000.02一致的危險(xiǎn)和相關(guān)風(fēng)險(xiǎn)被使用者的代表正式

的接受和同意。

d.文件編制一個(gè)閉環(huán)危險(xiǎn)追蹤系統(tǒng)危險(xiǎn)。危險(xiǎn)追蹤系統(tǒng)將會(huì)包括，作為最低限度

的以下數(shù)據(jù)元素：確認(rèn)危險(xiǎn)，相關(guān)事故，風(fēng)險(xiǎn)評(píng)估（最初的，目標(biāo)，事件），定

義風(fēng)險(xiǎn)緩解措施，選定緩解辦法，危險(xiǎn)狀態(tài)，驗(yàn)證風(fēng)險(xiǎn)的降低，和風(fēng)險(xiǎn)的可接受

度。政府和承包商有權(quán)使用危險(xiǎn)追蹤系統(tǒng)來(lái)適當(dāng)?shù)目刂茢?shù)據(jù)管理.政府應(yīng)該接收

和保留“政府的目標(biāo)權(quán)利”，所有的數(shù)據(jù)記錄在危險(xiǎn)追蹤系統(tǒng)和其他條款（即，

研究，分析，測(cè)試數(shù)據(jù)，注釋，類似的數(shù)據(jù)）

4.3.2定義和記錄危險(xiǎn)。危險(xiǎn)通過(guò)系統(tǒng)性的分析過(guò)程被定義，這個(gè)過(guò)程包括系統(tǒng)

硬件和軟件，系統(tǒng)界面（包括人機(jī)界面），具體的使用或應(yīng)用，操作環(huán)境?？紤]

和使用事故數(shù)據(jù)；相關(guān)的環(huán)境和職業(yè)；使用者的物理特性；使用者的知識(shí)，技術(shù)

和能力；來(lái)自以往相似系統(tǒng)事故的經(jīng)驗(yàn)和教訓(xùn)。危險(xiǎn)識(shí)別過(guò)程應(yīng)該考慮整個(gè)系統(tǒng)

的生命周期和對(duì)于人的潛在影響，基礎(chǔ)設(shè)施，防御系統(tǒng)，公眾，和環(huán)境。危險(xiǎn)識(shí)

別應(yīng)該被記錄在危險(xiǎn)追蹤系統(tǒng)。

4.3.3評(píng)估和記錄風(fēng)險(xiǎn)事故嚴(yán)重程度的分類和所有系統(tǒng)模型的不同危險(xiǎn)的潛在

事故可能性等級(jí)被評(píng)估，用來(lái)定義表I，IL

a.表一中給出了確定給定的危險(xiǎn)在給定的時(shí)間點(diǎn)來(lái)確定正確的嚴(yán)重性分類的方

法，定義了死亡或者傷害，環(huán)境影響，或者財(cái)產(chǎn)損失的潛在可能性。一個(gè)給定的

危險(xiǎn)可能會(huì)產(chǎn)生一個(gè)或者所有的影響。

表一.嚴(yán)重性分類

嚴(yán)重性分類

種類嚴(yán)重性分類事故結(jié)果準(zhǔn)則

災(zāi)難性的1一種或者多種結(jié)果如下：死亡，終身殘疾，不

可逆的重大環(huán)境影響，R1000萬(wàn)美金的財(cái)產(chǎn)損

失。

嚴(yán)重的2一種或者多種結(jié)果如下：永久性部分殘疾，傷

害或者導(dǎo)致住院人數(shù)超過(guò)3人的職業(yè)病，可你

的重大環(huán)境影響，2100萬(wàn)，W1000萬(wàn)美金的

財(cái)產(chǎn)損失。

輕微的3一種或者多種結(jié)果如下：導(dǎo)致一天或者更多天

的工作日損失的傷害或職業(yè)病，可恢復(fù)的輕微

環(huán)境影響，210萬(wàn)，W100萬(wàn)美金的財(cái)產(chǎn)損失。

可忽略的4一種或者多種結(jié)果如下；導(dǎo)致輕微傷害或職業(yè)

病，但不會(huì)導(dǎo)致?lián)p失工作日，最小的環(huán)境影響，

W10萬(wàn)美金的財(cái)產(chǎn)損失。

b.表二中給出了確定給定危險(xiǎn)在給定時(shí)間點(diǎn)適當(dāng)?shù)目赡苄缘燃?jí)，評(píng)估了事故發(fā)生

的可能性?？赡苄缘燃?jí)F被用來(lái)記錄不存在風(fēng)險(xiǎn)的地方的例子。沒(méi)有大量的學(xué)說(shuō),

培訓(xùn)，警報(bào)，警告，警示，或者個(gè)人防護(hù)設(shè)施可以達(dá)到事故可能性等級(jí)F。

表二可能性等級(jí)

可能性等級(jí)

種類等級(jí)具體內(nèi)容系統(tǒng)

頻繁的A在壽命周期內(nèi)可能發(fā)生連續(xù)發(fā)生

很可能的B在壽命周期內(nèi)發(fā)生多次將會(huì)發(fā)生若干次

偶然的C在壽命周期內(nèi)可能發(fā)生將會(huì)發(fā)生幾次

可能性極小D在壽命周期內(nèi)不易發(fā)生，但有可不易發(fā)生，但有理

的能性由可預(yù)期發(fā)生

不太可能的E極不易發(fā)生，幾乎認(rèn)為不可能發(fā)不易發(fā)生，但有可

生能發(fā)生

沒(méi)有可能性F不能發(fā)生，這個(gè)等級(jí)是用來(lái)當(dāng)潛不能發(fā)生，這個(gè)等

在的危險(xiǎn)被定義和被排除時(shí)。級(jí)是用來(lái)當(dāng)潛在

的危險(xiǎn)被定義和

被排除時(shí)。

⑴運(yùn)用適當(dāng)?shù)暮痛硇缘亩繑?shù)據(jù)定義危險(xiǎn)的頻率和發(fā)生率，一般最好定量分

析，不可能等級(jí)是一般被認(rèn)為是低于一百萬(wàn)，附錄A給出了一個(gè)定量可能性等級(jí)

的例子。

⑵缺少定量頻率或數(shù)據(jù)率時(shí)，依賴于表二的定性分析是有必要的并且適合的。

C.風(fēng)險(xiǎn)評(píng)價(jià)被表達(dá)為一個(gè)風(fēng)險(xiǎn)評(píng)估代碼，這種代碼是嚴(yán)重性分類和可能性等級(jí)的

結(jié)合，例如，RAC中的A是大型和頻繁發(fā)生等級(jí)的事故，表三把不同的風(fēng)險(xiǎn)評(píng)估

代碼的風(fēng)險(xiǎn)等級(jí)劃分為，高等，嚴(yán)重，中等，和低等。

表三風(fēng)險(xiǎn)評(píng)價(jià)矩陣

風(fēng)險(xiǎn)評(píng)價(jià)矩陣

、^性災(zāi)難性的嚴(yán)重的輕微的可以忽略的

(1)(2)(3)(4)

可能性

頻繁的高高嚴(yán)重的中等的

(A)

很可能高同嚴(yán)重的中等的

(B)

偶然的高嚴(yán)重的中等的低

(C)

可能性極小的嚴(yán)重的中等的中等的低

(D)

不太可能的中等的中等的中等的低

(E)

沒(méi)有可能性沒(méi)有可能性

(F)

d.表一，表二的定義和表三的RAC(風(fēng)險(xiǎn)評(píng)估代碼)應(yīng)該被用來(lái)，除非與美國(guó)軍

用標(biāo)準(zhǔn)的部分政策一直的不同定義和矩陣被正式的認(rèn)可，代理人應(yīng)該從表一到表

三中提取。

e.項(xiàng)目應(yīng)該按照4.3.1的要求把所有可能性規(guī)定轉(zhuǎn)換成數(shù)值使用在風(fēng)險(xiǎn)評(píng)估中。

評(píng)估風(fēng)險(xiǎn)應(yīng)該被記錄在HTS(危險(xiǎn)追蹤系統(tǒng)

4.3.4定義和編輯風(fēng)險(xiǎn)緩解措施。潛在的風(fēng)險(xiǎn)緩解應(yīng)該被定義，并且預(yù)期風(fēng)險(xiǎn)降

低的選擇應(yīng)該被評(píng)估和記錄在危險(xiǎn)追蹤系統(tǒng)。如果可能的話目標(biāo)應(yīng)該是消除危險(xiǎn)。

當(dāng)一個(gè)風(fēng)險(xiǎn)不能被消除時(shí)，通過(guò)應(yīng)用系統(tǒng)安全設(shè)計(jì)的優(yōu)先次序，相關(guān)風(fēng)險(xiǎn)應(yīng)該被

降低到成本和性能的最低可接受水平。系統(tǒng)安全設(shè)計(jì)的優(yōu)先次序給出了選擇性抑

制的方法和通過(guò)列表來(lái)降低影響。

4.3.4

A通過(guò)設(shè)計(jì)選擇排除危險(xiǎn)。理論上，通過(guò)設(shè)計(jì)的選擇或者是移除危險(xiǎn)的材料1勺選

擇，可以排除的危險(xiǎn)。

B通過(guò)修改設(shè)計(jì)減小風(fēng)險(xiǎn)。如果采取改變供選擇的設(shè)計(jì)或者材料去排除危險(xiǎn)是不

可行的，那么考慮改變?cè)O(shè)計(jì)減小因危險(xiǎn)引起潛在事故的嚴(yán)重性和/或者可能性。

C包含工程特征或裝置。如果通過(guò)設(shè)計(jì)選擇減緩風(fēng)險(xiǎn)是不可行的，那么使用工程

特征或裝置，減少因危險(xiǎn)引起潛在事故的嚴(yán)重性和可能性。

D提供報(bào)警裝置。如昊工程特征和裝置是不可行的或者不能使因危險(xiǎn)引起潛在

事故的嚴(yán)重性和可能性足夠低。那么使用包括探測(cè)和警報(bào)系統(tǒng)使人警覺(jué)到危險(xiǎn)情

況的存在或者是危險(xiǎn)事件的發(fā)生。

E包含指導(dǎo)標(biāo)示、程序、訓(xùn)練和保護(hù)人的設(shè)備。這里供選擇的設(shè)計(jì)、改變?cè)O(shè)計(jì)、

工程特性和裝置是不可行的和警報(bào)裝置不能充分的減少因危險(xiǎn)引起潛在事故的

嚴(yán)重性和可能性。那么使用包含指導(dǎo)標(biāo)示、程序、訓(xùn)練和保護(hù)人的設(shè)備。指導(dǎo)標(biāo)

示包括海報(bào)、標(biāo)示、符號(hào)和其他可見(jiàn)的圖形。程序和訓(xùn)練應(yīng)該包括適當(dāng)?shù)木婧?/p>

警示。程序可以描繪保護(hù)人的設(shè)備的使用。對(duì)于被賦值為災(zāi)難性危險(xiǎn)或者是危險(xiǎn)

事故嚴(yán)重性分級(jí)、指導(dǎo)標(biāo)示的使用、程序、訓(xùn)練、和保護(hù)人的設(shè)備用作唯一的減

少風(fēng)險(xiǎn)的方法應(yīng)該被避免。

4.3.5減小風(fēng)險(xiǎn)。減輕措施被選擇和執(zhí)行去獲得可接受水平?？紤]和評(píng)估花費(fèi)、

可行性、候選減輕方法的效果作為系統(tǒng)工程的一部分和使生產(chǎn)機(jī)組加工完整。技

術(shù)檢查時(shí)提出當(dāng)前存在的危險(xiǎn)、他們相關(guān)危險(xiǎn)性和嚴(yán)重性的評(píng)估及危險(xiǎn)減輕工作

的狀況。

4.3.6核實(shí)、確認(rèn)及用文件證明風(fēng)險(xiǎn)的減小。通過(guò)合適的分析、測(cè)試、演示、或

者檢查，核實(shí)和確認(rèn)所有已選減緩風(fēng)險(xiǎn)措施效果及執(zhí)行情況。在危險(xiǎn)跟蹤系統(tǒng)中

生成核實(shí)和確認(rèn)文件。

4.3.7可接受風(fēng)險(xiǎn)和文件。在暴露人、設(shè)備、或者是環(huán)境給以知相關(guān)系統(tǒng)危險(xiǎn)前，

在DODI5000Q2.中，通過(guò)合適的權(quán)威機(jī)構(gòu)定義的風(fēng)險(xiǎn)應(yīng)該被接受。通過(guò)系統(tǒng)全壽

命周期，支持正常可接受風(fēng)險(xiǎn)決定的系統(tǒng)配置和相關(guān)文件應(yīng)該被提供給政府保留。

除非根據(jù)國(guó)防部元件政策合適的可供選擇的定義和/或者合適的矩陣將被認(rèn)可，

定義在表一和表二中，風(fēng)險(xiǎn)評(píng)估編碼在表三中，標(biāo)準(zhǔn)在表四中的軟件習(xí)慣于在可

接受的時(shí)定義風(fēng)險(xiǎn)。通過(guò)系統(tǒng)的全壽命周期，典型的使用者應(yīng)該是這個(gè)過(guò)程的一

個(gè)部分和應(yīng)該提供正常發(fā)生的所有嚴(yán)重的和高危險(xiǎn)的可接受決定。在試驗(yàn)、來(lái)自

事故報(bào)告的數(shù)據(jù)、使用者的反饋、相似系統(tǒng)的經(jīng)驗(yàn)、或者是其他資源之后可能顯

現(xiàn)新的危險(xiǎn)、或者演示，演示來(lái)自已知危險(xiǎn)的風(fēng)險(xiǎn)是比起目前已經(jīng)識(shí)別的風(fēng)險(xiǎn)更

高或者更低。在這些情況里，依據(jù)DODI5000.02,修正后的風(fēng)險(xiǎn)應(yīng)該被接受。

注：一個(gè)簡(jiǎn)單的系統(tǒng)經(jīng)過(guò)全壽命周期，將需要大量的事故風(fēng)險(xiǎn)評(píng)估和接受。在危

險(xiǎn)跟蹤系統(tǒng)里，每一個(gè)風(fēng)險(xiǎn)接受決定應(yīng)該被制成文件。

4.3.8管理全壽命周期的風(fēng)險(xiǎn)。在系統(tǒng)被測(cè)試后，通過(guò)系統(tǒng)全壽命周期，系統(tǒng)項(xiàng)

目主管使用系統(tǒng)安全過(guò)程去識(shí)別風(fēng)險(xiǎn)和維護(hù)危險(xiǎn)跟蹤系統(tǒng)。這個(gè)系統(tǒng)周期考慮到

了任何的改變。包括但不限制在接口、使用者、硬件和軟件、事故數(shù)據(jù)、任務(wù)或

剖面和系統(tǒng)安全數(shù)據(jù)。程序應(yīng)該放在合適的位置，以確保風(fēng)險(xiǎn)管理者可以意識(shí)到

這些改變。例如，通過(guò)部分配置的控制過(guò)程。項(xiàng)目主管和使用者協(xié)會(huì)應(yīng)該保持有

效的交流合作、識(shí)別、管理新的危險(xiǎn)及修正危險(xiǎn)。如果新的危險(xiǎn)被發(fā)現(xiàn)或比起目

前的評(píng)估，已知的危險(xiǎn)決定了更高的風(fēng)險(xiǎn)水平。依據(jù)DODI5000.02,新的或修正的

風(fēng)險(xiǎn)需要被接受。此外，通過(guò)提供危險(xiǎn)分析，國(guó)防部要求項(xiàng)目經(jīng)理支持相關(guān)系統(tǒng)

A級(jí)和B級(jí)（在國(guó)防部說(shuō)明書(shū)60s5.07被定義）的事故調(diào)杳，這樣的事故調(diào)查有

助于事故及對(duì)材料風(fēng)險(xiǎn)減緩措施的規(guī)范，特別是對(duì)那些使人為差錯(cuò)減小的規(guī)范。

4.4軟件促成的系統(tǒng)風(fēng)險(xiǎn)。對(duì)于軟件的風(fēng)險(xiǎn)評(píng)估和軟件控制或者是軟件加強(qiáng)系統(tǒng)

不能單獨(dú)的依賴風(fēng)險(xiǎn)的嚴(yán)重性和可能性。至多決定一個(gè)簡(jiǎn)單軟件失效的可能性是

困難的，也不能基于歷史數(shù)據(jù)。軟件?般有特殊的應(yīng)用而和作為與硬件相關(guān)的可

靠性參數(shù)不能被評(píng)估用相同的方法。因此，在軟性所促成的系統(tǒng)風(fēng)險(xiǎn)的評(píng)估中其

他方法應(yīng)該被使用o這些方法應(yīng)該考慮潛在風(fēng)險(xiǎn)的嚴(yán)重度及軟件使用超過(guò)硬件的

控制的程度。

4.4.1軟件評(píng)估。通過(guò)表六表四應(yīng)該被使用，除非合適的供選擇的矩陣依據(jù)國(guó)防部軟件政策

被承認(rèn)。用在表四中（或者被承認(rèn)的合適供選擇的表）的軟件控制分類定義軟件控制程度。

表五提供了軟件安全危險(xiǎn)性矩陣基于表一嚴(yán)重度的分類（或者是被承認(rèn)的合適的嚴(yán)重性分類）

和表四軟件控制分類。軟件分類嚴(yán)重性矩陣建立了軟件嚴(yán)重性指標(biāo)，這個(gè)指標(biāo)被用于定義必

要的LOR任務(wù)。表四提供「SwCI及LOR任務(wù)與如何不滿足LOR需求而影響到軟件促成的風(fēng)

險(xiǎn)之間的關(guān)系。

A如果遺留的元件功能被包括在子系統(tǒng)的環(huán)境中,所有的軟件控制分類應(yīng)該被從新評(píng)估。遺

留功能應(yīng)該被評(píng)估包括功能和物理接口兩方面，這兩個(gè)方面對(duì)潛在的影響或是參與到子系統(tǒng)

頂級(jí)水平的事故和危險(xiǎn)相關(guān)因素進(jìn)行評(píng)估。

b.系統(tǒng)安全和軟件系統(tǒng)安全危險(xiǎn)分析過(guò)程識(shí)別和減少了準(zhǔn)確的軟件編著者

的危險(xiǎn)和事故。預(yù)定義的LOR任務(wù)成功的執(zhí)行增加了當(dāng)減少軟件編著者的數(shù)量到

適合時(shí)，系統(tǒng)中存在的危險(xiǎn)軟件會(huì)按照軟件經(jīng)營(yíng)要求的可信度。這兩個(gè)過(guò)程是減

少軟件初始化時(shí)危險(xiǎn)條件和事故傳播道路可能性的必要條件。附錄B提供了開(kāi)發(fā)

可接受的LOR任務(wù)的指導(dǎo)。

表IV.軟件控制目錄

軟件控制目錄

水平名稱描述

?軟件功能練習(xí)自主控制的權(quán)威在潛在的安全問(wèn)題硬件系統(tǒng)、

子系統(tǒng)或組件不可能預(yù)先確定的安全檢測(cè)和通過(guò)控制實(shí)體來(lái)干

1自主的預(yù)阻止事故的發(fā)生或危害。

（這個(gè)定義包括復(fù)雜的有多個(gè)子系統(tǒng)或互相平行的過(guò)程的、多

界面的、在時(shí)間臨界上的安全臨界的系統(tǒng)/軟件功能。）

?軟件功能進(jìn)行控制潛在的安全度硬件系統(tǒng)、子系統(tǒng)或組件，

允許預(yù)定的安全檢測(cè)和干預(yù)由獨(dú)立安全機(jī)制來(lái)減輕或控制事故

或?yàn)?zāi)害。

（這個(gè)定義包括了控制比較復(fù)雜的系統(tǒng)/軟件功能，沒(méi)有并行過(guò)

程,或幾個(gè)界面，但其他的安全系統(tǒng)/機(jī)制可以部分減少。系統(tǒng)和

2半自主的軟件故障檢測(cè)和通告通知需要所需的安全行動(dòng)的控制實(shí)體。）

?顯示信息安全問(wèn)題的軟件項(xiàng)目，要求立即操作實(shí)體執(zhí)行一個(gè)預(yù)

先確定的行動(dòng)為來(lái)減小或控制事故或者危險(xiǎn)。軟件例外,失敗，

錯(cuò)誤,或延遲將允許,或未能防止事故發(fā)生。

（這個(gè)定義假設(shè)安全臨界的顯示信息可能是時(shí)間特別緊張的，

但可用時(shí)間不得超過(guò)充分控制實(shí)體響應(yīng)和風(fēng)險(xiǎn)控制所需的時(shí)

間。）

?通過(guò)重要度安全硬件系統(tǒng)、子系統(tǒng)或組件來(lái)發(fā)布命令的軟件

功能,需要控制實(shí)體來(lái)完成該命令功能。該系統(tǒng)檢測(cè)和反應(yīng)功能

包括冗余和為每個(gè)已定義的危險(xiǎn)狀況準(zhǔn)備的獨(dú)立的容錯(cuò)機(jī)制。

（這個(gè)定義假設(shè)有足夠能力進(jìn)行故障檢測(cè)，報(bào)警，容錯(cuò)，和系統(tǒng)

3冗余容錯(cuò)的恢復(fù)以防止如果軟件失效、失靈或退化時(shí)發(fā)生危險(xiǎn)。有備用的

安全重要度信息和減損功能的可以在任何時(shí)間緊張的時(shí)間響

應(yīng)。）

?軟件生成信息的安全性至關(guān)重要的自然用來(lái)做重要決定。該

系統(tǒng)包括幾個(gè)冗余的、獨(dú)立的容錯(cuò)機(jī)制對(duì)于每個(gè)危險(xiǎn)條件、檢

測(cè)和顯小。

4有影響的啾件生成一個(gè)與安全相關(guān)種類的信息來(lái)讓運(yùn)營(yíng)商做決定，但不

需要操作者做出行動(dòng)來(lái)避免事故。

-軟件的功能要求不處理命令或控制安全問(wèn)題硬件系統(tǒng)、了?系

5不影響安全的統(tǒng)或組件的度和不提供安全重要度問(wèn)題。軟件并不提供需要控

制實(shí)體相互作用的安全重要度或時(shí)間敏感數(shù)據(jù)或信息。軟件不

轉(zhuǎn)移或解決與通信的安全問(wèn)題或?qū)r(shí)間敏感的數(shù)據(jù)的交流。

4.4.2軟件安全臨界矩陣（SSCM）oSSCM對(duì)于列（表5）使用表1的嚴(yán)重性

類別，對(duì)于行使用的是表4的軟件控制類別。矩陣的行和列相互參照的塊在表5

中分配為SwCI。盡管它在外觀上相似于風(fēng)險(xiǎn)評(píng)估矩陣（表3）,SSCM不是風(fēng)險(xiǎn)的

評(píng)估。與每個(gè)SwCI相關(guān)的LOR任務(wù)是最小的任務(wù)集合，這個(gè)任務(wù)是為系統(tǒng)風(fēng)險(xiǎn)

等級(jí)而需求的評(píng)估軟件貢獻(xiàn)。

表5.軟件安全臨界矩陣

SOFTWARESAFETYCRITICALITYMATRIX

SEVERITYCATEGORY

SOFTWARE

CatastrophicCriticalMarginalNegligible

CONTROL

CATEGORY(1)(2)⑶(4)

1SwCI1SwCI1SwCI3SwCI4

2SwCMSwCI2SwCI3SwCM

3SwCI2SwCI3SwCI4SwCI4

4SwCI3SwCMSwCMSwCM

5SwCI5SwCI5SwCI5SwCI5

SwCI精確任務(wù)的級(jí)別

SwCI1程序應(yīng)當(dāng)執(zhí)行需求、體系結(jié)構(gòu)、設(shè)計(jì)和代碼的分析；并進(jìn)行深入的安全特定測(cè)試。

SwCI2程序應(yīng)當(dāng)執(zhí)行需求、體系結(jié)構(gòu)和設(shè)計(jì)的分析；并進(jìn)行深入的安全特定測(cè)試。

SwCI3程序應(yīng)當(dāng)執(zhí)行需求和體系結(jié)構(gòu)的分析；并進(jìn)行深入的安全特定測(cè)試。

SwCI4程序應(yīng)當(dāng)進(jìn)行安全特定測(cè)試。

SwCI5一旦由安全工程評(píng)估為不安全的話，就不需要安全特定分析或者檢查。

注釋：對(duì)于附加的關(guān)于如何進(jìn)行所需的軟件分析引導(dǎo)，請(qǐng)查詢聯(lián)合軟件系統(tǒng)安全工程手冊(cè)和

A0P52。

4.4.3風(fēng)險(xiǎn)評(píng)估軟件的貢獻(xiàn)。所有系統(tǒng)風(fēng)險(xiǎn)評(píng)估軟件的貢獻(xiàn)，包括表5中應(yīng)用

的任何結(jié)果，在高溫超導(dǎo)中(HTS)都應(yīng)當(dāng)記錄。

a.為了評(píng)估系統(tǒng)風(fēng)險(xiǎn)水平軟件的貢獻(xiàn)，表5中的LOR(精確的水平)任務(wù)應(yīng)

當(dāng)被執(zhí)行。LOR任務(wù)的結(jié)果在軟件重要的軟件安全方面提供了一定程度的可信程

度，并且記錄了可能需要減少的相關(guān)因素和危險(xiǎn)。在風(fēng)險(xiǎn)管理過(guò)程中應(yīng)該包括

LOR任務(wù)的結(jié)果。附錄B提供了一個(gè)如何把一個(gè)風(fēng)險(xiǎn)等級(jí)分配到由完成LOR分析

得到的系統(tǒng)風(fēng)險(xiǎn)軟件貢獻(xiàn)。

b.如果LOR任務(wù)沒(méi)有被執(zhí)行的話，通過(guò)表6得到與未被指定或者為完成的LOR

任務(wù)相關(guān)的系統(tǒng)風(fēng)險(xiǎn)貢獻(xiàn)應(yīng)當(dāng)被記錄。表6描述了SwCI,風(fēng)險(xiǎn)等級(jí)，LOR任務(wù)的

完成和風(fēng)險(xiǎn)評(píng)估之間的關(guān)系。

c.所有?系統(tǒng)風(fēng)險(xiǎn)評(píng)估軟件的貢獻(xiàn)，包括表5中應(yīng)用的任何結(jié)果，在高溫超

導(dǎo)中（HTS）都應(yīng)當(dāng)記錄。按照DODI5000.02執(zhí)行風(fēng)險(xiǎn)的接受。

表6

SwCI,風(fēng)險(xiǎn)等級(jí)，LOR任務(wù)的完成和風(fēng)險(xiǎn)評(píng)估之間的關(guān)系

SwCI風(fēng)險(xiǎn)等級(jí)軟件LOR任務(wù)和風(fēng)險(xiǎn)評(píng)估/可接受性

如果SwCIlLOR任務(wù)沒(méi)有被指定或者沒(méi)有完成，系統(tǒng)風(fēng)險(xiǎn)的貢獻(xiàn)

SwCI1高將被記錄為高，并且為抉擇提供PMoPM應(yīng)該記錄是否擴(kuò)大資源

的決定，這些資源需要實(shí)現(xiàn)SwCI1LOR任務(wù)或者為高風(fēng)險(xiǎn)的可接

受準(zhǔn)備一個(gè)常規(guī)的風(fēng)險(xiǎn)評(píng)估。

SwCI2嚴(yán)重如果SwCI2LOR任務(wù)沒(méi)有被指定或者沒(méi)有完成，系統(tǒng)風(fēng)險(xiǎn)的貢獻(xiàn)

將被記錄為嚴(yán)重，并且為抉揉提供PM。PM應(yīng)該記錄是否擴(kuò)大資

源的決定，這些資源需要實(shí)現(xiàn)SwCI2LOR任務(wù)或者為嚴(yán)重風(fēng)險(xiǎn)的

可接受準(zhǔn)備一個(gè)常規(guī)的風(fēng)險(xiǎn)評(píng)估。

SwCI3中等如果SwC13LOR任務(wù)沒(méi)有被指定或者沒(méi)有完成，系統(tǒng)風(fēng)險(xiǎn)的貢獻(xiàn)

將被記錄為中等，并且為抉摳提供PMoPM應(yīng)該記錄是否擴(kuò)大資

源的決定，這些資源需要實(shí)現(xiàn)S*CI2LOR任務(wù)或者為中等風(fēng)險(xiǎn)的

可接受準(zhǔn)備一個(gè)常規(guī)的風(fēng)險(xiǎn)評(píng)估。

SwCI4低如果SwCLlLOR任務(wù)沒(méi)有被指定或者沒(méi)有完成，系統(tǒng)風(fēng)險(xiǎn)的貢獻(xiàn)

將被記錄為低，并且為抉擇提供PMOPM應(yīng)該記錄是否擴(kuò)大資源

的決定，這些資源需要實(shí)現(xiàn)SwCI4LOR任務(wù)或者為低風(fēng)險(xiǎn)的可接

受準(zhǔn)備一個(gè)常規(guī)的風(fēng)險(xiǎn)評(píng)估。

SwCI5不安全沒(méi)有要求特別的安全分析或者測(cè)試

5.1額外的信息。單個(gè)任務(wù)，附錄A,和附錄B對(duì)于可選的特別的程序要求而

包含了可選的信息。

5.2任務(wù)。在這個(gè)標(biāo)準(zhǔn)中的任務(wù)可以有選擇地應(yīng)用到適合量身定制的系統(tǒng)安

全。100-系列任務(wù)適用于管理。200-系列任務(wù)適用于分析。300-系列任務(wù)適

用于評(píng)估。400-系列任務(wù)適用于驗(yàn)證。每個(gè)所需任務(wù)應(yīng)當(dāng)明確要求在一個(gè)合同,

因?yàn)槿蝿?wù)描述不包括任何其他任務(wù)的要求。

5.3任務(wù)結(jié)構(gòu)。每個(gè)任務(wù)分為三個(gè)部分的目的、任務(wù)描述和指定細(xì)節(jié)。

a.目表為執(zhí)行的任務(wù)提供了解釋理由。

b.如果這個(gè)任務(wù)在合同中提到的話，這個(gè)任務(wù)描述了一個(gè)承包商工作應(yīng)當(dāng)

履行。當(dāng)準(zhǔn)備提案時(shí),承包人可以推薦將額外的任務(wù)或刪除指定任務(wù)的理由對(duì)于

支持每個(gè)添加/刪除。

c.細(xì)節(jié)必須在每個(gè)任務(wù)描述列出特定信息、添加、修改、刪除或選項(xiàng)來(lái)要

求的任務(wù)時(shí)應(yīng)該考慮的要求一個(gè)任務(wù)。然后將此信息連同任務(wù)數(shù)包括在合同文件。

每個(gè)任務(wù)列表提供不一定是完整的,可以補(bǔ)充。任何在需求中被選擇的任務(wù)都應(yīng)

該按照任務(wù)數(shù)量被實(shí)施為了RFP和ROW'。帶有標(biāo)注"（R）〃的指定細(xì)節(jié)是必需的。政

府給正確的執(zhí)行提供了這個(gè)任務(wù)的細(xì)節(jié)。

6.注釋

這節(jié)可能包括了一個(gè)通用或者可能有用的解釋很自然的信息，但是不是強(qiáng)制

的。

6.1預(yù)期用途。這個(gè)系統(tǒng)安全標(biāo)準(zhǔn)被打算作為?個(gè)關(guān)鍵的SE的部分使用，SE

提供了一個(gè)標(biāo)準(zhǔn)的，泛型方法的識(shí)別、分類和危險(xiǎn)減輕。它也不僅由安全專業(yè)人

員使用，而且也被其他功能學(xué)科使用，消防工程師、職業(yè)衛(wèi)生專業(yè)人員和環(huán)境工

程師。

6.2獲得要求。需求文檔應(yīng)當(dāng)指定如下：

a.標(biāo)準(zhǔn)的標(biāo)題，數(shù)量，日期。

6.3相關(guān)數(shù)據(jù)項(xiàng)說(shuō)明（DIDs）。DIDs可能被應(yīng)用到系統(tǒng)安全努力，包括:

DIDs編號(hào)DIDs標(biāo)題

DI-ADMIN-81250會(huì)議記錄

DI-MISC-80043彈藥數(shù)據(jù)卡片

DI-MISC-80370安全工程分析報(bào)告

DI-ILSS-81495故障類型影響和臨街分析報(bào)告

DI-SAFT-80101系統(tǒng)安全危險(xiǎn)分析報(bào)告

DI-SAFT-80102安全及評(píng)價(jià)報(bào)告（SAR）

DI-SAFT-80103工程改變建議系統(tǒng)安全報(bào)告

DI-SAFT-80104免除或偏差系統(tǒng)安全報(bào)告（WDSSR）

DI-SAFT-80105系統(tǒng)安全程序進(jìn)度報(bào)告

DI-SAFT-80106健康危險(xiǎn)評(píng)價(jià)報(bào)告

DI-SAFT-80184輻射危險(xiǎn)控制報(bào)告

DI-SAFT-80931爆炸性軍械處理數(shù)據(jù)

DI-SAFT-81065安全研究報(bào)告

DI-SAFT-81066安全研究計(jì)劃

DI-SAFT-81299爆炸危險(xiǎn)分類數(shù)據(jù)

DI-SAFT-81300事故危險(xiǎn)評(píng)價(jià)報(bào)告

DI-SAFT-81626系統(tǒng)安全過(guò)程計(jì)劃

獲得流線型和標(biāo)準(zhǔn)化信息系統(tǒng)（ASSIST）數(shù)據(jù)庫(kù)應(yīng)該在一下網(wǎng)址查看

/quicksearc來(lái)保證只有當(dāng)前和許可的DIDs被列入DD表

1423中

6.4主要學(xué)科術(shù)語(yǔ)（關(guān)犍字）列表

環(huán)境

環(huán)境影響

ESOH（環(huán)境、安全和職業(yè)健康）

危險(xiǎn)

危險(xiǎn)品材料

HAZMAT（危險(xiǎn)品）

健康危險(xiǎn)

生命周期

事故

NEPA（國(guó)家環(huán)境政策法）

職業(yè)健康

PESHE（環(huán)境、安全和職業(yè)健康評(píng)估綱領(lǐng)）

PPE（個(gè)人防護(hù)裝備）

可能性

風(fēng)險(xiǎn)

嚴(yán)重程度

軟件安全

系統(tǒng)安全工程

系統(tǒng)工程

6.5之前發(fā)行版本的改變。在這個(gè)版本中邊緣記號(hào)由于這個(gè)變化的程度不用來(lái)表

示至于之前的發(fā)行版本的改變。

任務(wù)部分100■管理

任務(wù)101

基于系統(tǒng)安全方法論的風(fēng)險(xiǎn)識(shí)別和風(fēng)險(xiǎn)減輕

101.1目的.任務(wù)101是基于系統(tǒng)安全方法論，將風(fēng)險(xiǎn)識(shí)別和風(fēng)險(xiǎn)減輕結(jié)合起來(lái)，

應(yīng)用到國(guó)防部獲性系統(tǒng)工程的過(guò)程。這個(gè)任務(wù)的目標(biāo)應(yīng)始終消除可能的危險(xiǎn)。當(dāng)

一個(gè)危險(xiǎn)不能夠被消除時(shí)，相關(guān)的風(fēng)險(xiǎn)應(yīng)該在應(yīng)用系統(tǒng)安全優(yōu)先設(shè)計(jì)的基祀上,

在花費(fèi)限制，目錄和表現(xiàn)的范圍內(nèi)將其削減到最小可接受水平。

101.2任務(wù)描述.承包商應(yīng)該：

101.2.1在系統(tǒng)工程的基礎(chǔ)上，建立并且執(zhí)行一個(gè)危險(xiǎn)識(shí)別和削減的方法

來(lái)滿足第四節(jié)中，總體要求，以及所有其他的由項(xiàng)目經(jīng)理提出的的要求。

101.2.2執(zhí)行危險(xiǎn)識(shí)別和風(fēng)險(xiǎn)減少的方法，包括識(shí)別、足夠的人力資源和

資金資源的分配。

101.2.3定義角色、責(zé)任和相互之間的關(guān)系，也就是項(xiàng)目組織和相關(guān)項(xiàng)目

之間的通訊線。定義不同風(fēng)險(xiǎn)識(shí)別和其他的風(fēng)險(xiǎn)削減功能性準(zhǔn)則（包括配置控制

和數(shù)據(jù)管理，可靠性，可維修性，人類系統(tǒng)合成（HSI））以及項(xiàng)目其他重要性的

元素，包括項(xiàng)目管理，測(cè)試和升級(jí)，計(jì)算，財(cái)政，和承包。

101.2.4確保分包商，相關(guān)的承包商，商販，和供應(yīng)商的要求是可接受

的。這些要求包括由分包商，相關(guān)的承包商，商販，和供應(yīng)商提出的定義危險(xiǎn)分

析，風(fēng)險(xiǎn)評(píng)價(jià)輸出，和核定數(shù)據(jù)與資料（包括設(shè)計(jì)和方法論）。

101.2.5關(guān)于系統(tǒng)，子系統(tǒng)，和部件系統(tǒng)審查的風(fēng)險(xiǎn)等級(jí)評(píng)價(jià)報(bào)告，例如，

系統(tǒng)要求審查（SRR）,預(yù)先危險(xiǎn)性設(shè)計(jì)（PDR）,批判設(shè)計(jì)審查（CDR）,靈敏

度測(cè)試審查，和產(chǎn)品靈敏度審查。

101.2.6應(yīng)用一個(gè)封閉的風(fēng)險(xiǎn)監(jiān)控系統(tǒng)，包括分包商，商販，和危險(xiǎn)數(shù)據(jù)

提供者。對(duì)于這個(gè)監(jiān)控系統(tǒng)所要求的最小數(shù)據(jù)元素是危險(xiǎn)，系統(tǒng)，子系統(tǒng)，可應(yīng)

用性，要求證書(shū)，系統(tǒng)模式，因果相關(guān)因素，影響，災(zāi)難，基本風(fēng)險(xiǎn)，事件風(fēng)險(xiǎn)，

目標(biāo)風(fēng)險(xiǎn)，減少風(fēng)險(xiǎn)的措施，和風(fēng)險(xiǎn)水平，審查和確定方法，其作用的人（人們），

可接受風(fēng)險(xiǎn)記錄，和風(fēng)險(xiǎn)管理的度量。

101.2.7除非特定的定義或者是特定的矩陣與國(guó)防部的部件政策完全一致，否則,

表格一和表格二中的定義，及表格三中的風(fēng)險(xiǎn)評(píng)價(jià)矩陣將被應(yīng)用到。

101.2.8作為一個(gè)最小量，報(bào)告如下準(zhǔn)則：

a.危險(xiǎn)和相關(guān)風(fēng)險(xiǎn)

b.功能，賬目，和與危險(xiǎn)相關(guān)的材料

c.對(duì)于操作可接受的要求，維持，支持，和排列

d.可接受的抑制方法

101.2.9對(duì)于綜合性的驅(qū)動(dòng)事件，審查，支持，保證，分析，釋放和文件數(shù)據(jù)提

供正確定義和輸出

101.3列明的細(xì)節(jié).計(jì)劃的要求和工作的提議應(yīng)包括以下可應(yīng)用到的準(zhǔn)則：

a.任務(wù)101的稅收

b.應(yīng)用于此任務(wù)的功能性準(zhǔn)則識(shí)別

c.事件進(jìn)程的要求

d.此任務(wù)的要求和方法論的報(bào)告

e.對(duì)于實(shí)施危險(xiǎn)識(shí)別和風(fēng)險(xiǎn)抑制工作的關(guān)鍵人員的資格要求

f.其他的列明的危險(xiǎn)識(shí)別和風(fēng)險(xiǎn)降低的方法的要求，例如，列明的風(fēng)險(xiǎn)識(shí)別方法

和矩陣（如果它們與第四節(jié)提到的不同）將應(yīng)用到這個(gè)項(xiàng)目

任務(wù)102

系統(tǒng)安全程序計(jì)劃

102.1目的.任務(wù)102是開(kāi)發(fā)一個(gè)系統(tǒng)安全程序計(jì)劃來(lái)證明對(duì)于識(shí)別，分類，和

安全風(fēng)險(xiǎn)的減少的系統(tǒng)安全方法論是系統(tǒng)安全工程的一部分。系統(tǒng)安全程序計(jì)劃

應(yīng)是系統(tǒng)工程管理計(jì)劃的不可分割的一部分。系統(tǒng)安全程序計(jì)劃詳細(xì)描述了實(shí)施

一個(gè)系統(tǒng)的方法進(jìn)行危險(xiǎn)分析，風(fēng)險(xiǎn)評(píng)價(jià)，和風(fēng)險(xiǎn)管理時(shí)所要求的任務(wù)和工作。

目標(biāo)始終致力于消除正能出現(xiàn)的危險(xiǎn)。當(dāng)一個(gè)危險(xiǎn)不能夠被消除時(shí)，相關(guān)風(fēng)險(xiǎn)在

經(jīng)費(fèi)限制，日程，和系統(tǒng)安全優(yōu)先設(shè)計(jì)應(yīng)用的演算范圍內(nèi)降到最低。

102.2任務(wù)描述。承包商應(yīng)該開(kāi)發(fā)一個(gè)系統(tǒng)安全程序計(jì)劃來(lái)提供一個(gè)基本方法，

以便于承包商和項(xiàng)目經(jīng)理理解安全危險(xiǎn)怎樣結(jié)合到系統(tǒng)工程過(guò)程中。系統(tǒng)安全程

序計(jì)劃包括如下準(zhǔn)則：

102.2.1范圍和目標(biāo).系統(tǒng)安全程序計(jì)劃應(yīng)該在最小量上描述一下：⑴就系統(tǒng)

和它的生命周期而言的工作范圍，（2）整個(gè)方法可以完成在第四節(jié)和其他合約地

要求的任務(wù)，（3）整合的這些工作為系統(tǒng)工程和其他項(xiàng)目辦公室管理的流程可以

來(lái)支持項(xiàng)目的總體目標(biāo),和⑷執(zhí)行SSPP所需要的資源需求（資金、人才、和工具）。

本節(jié)將解釋所有合同風(fēng)險(xiǎn)管理需求通過(guò)提供一個(gè)矩陣，這些合同需求相關(guān)的位置

在系統(tǒng)安全程序計(jì)劃處理中的應(yīng)用。

102.2.2系統(tǒng)安全程序計(jì)劃接口.系統(tǒng)安全程序計(jì)劃應(yīng)該：

a.SSPP涵蓋的識(shí)別功能規(guī)范。

b.在以下二者間描述SSPP的接口：

（1）系統(tǒng)工程

（2）其他相關(guān)學(xué)科（如：物流、可維護(hù)性、質(zhì)量保證、可靠性、人體工程學(xué)，可移

植性工程和醫(yī)療支持（健康危害評(píng)估））。

102.2.3組織.SSPP應(yīng)當(dāng)在最低標(biāo)準(zhǔn)描述以下：

a.SE過(guò)程中的組織或功能的系統(tǒng)安全。使用圖表顯示組織和功能關(guān)系和行通信。

bo員工（人力加載和時(shí)間表）的系統(tǒng)安全的工作,每一個(gè)涉及到的功能性學(xué)科和組

織單元的合同期限。

SSPP將確定參與執(zhí)行系統(tǒng)安全要求合同的每一個(gè)人和組織單位的責(zé)任和權(quán)力。

此外，SSPP將確定關(guān)鍵人員，并提供關(guān)鍵系統(tǒng)安全人員的資格和證書(shū)的概要。

SSPP將介紹在關(guān)鍵系統(tǒng)安仝人員變動(dòng)之前承包商應(yīng)何時(shí)和怎樣通知政府。

c.程序的承包商將使用整合系統(tǒng)級(jí)和系統(tǒng)的系統(tǒng)（SOS）級(jí)得出的危險(xiǎn)管理結(jié)果

在合同所涵蓋的范圍內(nèi)。這些將包括：

（1）定義每個(gè)相關(guān)的承包商和分包商（供應(yīng)商和供應(yīng)商也適用）在總系統(tǒng)集合

安全要求中的角色。

（2）確定各個(gè)相關(guān)的承包商和分包商之間的安全協(xié)調(diào)工作（供應(yīng)商和供應(yīng)商也

適用），例如：整合風(fēng)險(xiǎn)分析。

（3）與相關(guān)的承包商和分包商（供應(yīng)商和供應(yīng)商也適用）的代表建立綜合的產(chǎn)

品團(tuán)隊(duì)（IPTS）或工作組（WGs）。

（4）描述任何特定SOS整合的角色和責(zé)任。

（5）硬件和軟件的整合由政府提供的。

（6）為行動(dòng)的組織和分包商分配要求。

（7）協(xié)調(diào)分包